风险偏好和风险承受能力

风险偏好和风险容忍度风险管理研究所的一篇咨询论文2011 年 5 月风险偏好和风险容忍度本文乃根据风险管理研究所的一个工作组的总体方向而作。 该小组已经举行了一系列会议，探讨想法并就论文的方向达成一致。 我们很深入地讨论并给出了话题的本质，还有些内容还可以继续探讨。 我们已经提出的各种会议和纲要的思想，我们本文向 50 多人散发了草案。 现在，我们正在为更广泛的循环咨询。 我们知道，这个指导未来的版本中很可能受到重大修改。 该将是一个良好和健康发展的标志。 正是在这方面，我们呈上本文供您们点评。前言本文的目的是在第一时间提供指导，董事，风险专业人士和其他与英国企业管治守则的一部分，负责向议会在遵守，指出“董事会负责确定的重大风险的性质和程度是愿意在实现其战略目标“（财务汇报局，2010）。然而，我们希望在这里，该方法将有更广泛的共鸣与任何人感兴趣的主题，风险偏好和风险容忍度。 虽然这不是一个带有一种失去光泽的历史：大多数英国银行已经预计，以确定自己的风险偏好，我们现在有望超越这种思维方式。不是一个单一的银行可能会说，它希望法院（在某些情况下，屈服于）遗忘在金融危机的形式。 无论是设置的问题，监督或监督的风险偏好，这是一个主题，已被证明是有些难以捉摸-很多不同的人意味着许多不同的东西。 例如，有的把它看作是一系列的限额，一些人认为它赋予权力，有些人看到的东西所要表达的净风险其他毛。 出于这个原因，这个问题值得严重关注。在写这篇文章时，我们意识到，我们可能会出现有从英国，报公司为中心的角度来看，这是违反 IRM 的国际风气。 事实上，虽然这指导已被写入与英国企业管治守则一点，它也已经被开发希望它是适用于所有地区的所有行业。 我们欢迎在这方面的读者反馈。写这本小册子，我们的目标是提供：1、 风险偏好的一个理论基础，但更重要的是提供2、 对于那些需要处理的问题，无论是对自己的企业一些指导治理报表，或者，或者，仅仅是因为他们认为讨论会通知他们的企业或组织的运行方式。本指导原则是不明确的：我们不认为我们已经说出了关于这个问题的最后一句话。风险偏好和风险容忍度的问题的思考，将继续发展，如果如我们所希望的，这本小册子取代之前，很多报告季节来来去去，那么我们就会知道，概念开始扎根。我们认为，风险偏好，可能是一个正确的定义，接近和实施根本的经营理念，企业如何将作出重大差异组织运行。 我们完全有理由相信，最初的怀疑风险偏好将逐渐更换董事会及执行董事更深入地了解它的用处。 我们亦预期分析师将很快被询问关于风险偏好的行政总裁，主席及财务总监。毕竟这个问题是在承担风险的心脏组织，私营部门，公共或第三部门，无论大或 小的是什么管理组织。 从指导财务汇报局是一个机会，将风险管理，特别是风险食欲不振，辩论的中心，有效的公司治理和董事会的作用在正在运行的组织。我们想知道本文的方法对您的工作是否有所帮助，通过在自己的组织的风险偏好和风险容忍度的后果。 请花时间告诉我们，这样我们就可以跟上形势的发展，并确保我们都在同最好的做法。 在 IRM，我们是领先的专业充满热情，这是一种我们可以做的方式。在个人层面，我想感谢许多人对本文作出了贡献，包括工作组，通过各种的 IRM 会议辩论早期版本的思维的思想领袖卡罗琳威廉斯，在 IRM，当然，所有这些人，客户，风险专业人士们，内部核数师，和很多很多的人，谁讨论过这个主题工作组的所有成员。欢迎对本文的任何方面的评论，但我们会特别有兴趣知道：1、在什么程度上你认为载于本咨询文件的方法提供了一个可行的基础上发展组织的方法进行风险偏好和风险容忍度？2、 你是否同意组织有多个风险承受能力？ 相应地是什么概念反映在指导？3、 你是否同意风险管理成熟度是一个合适的概念为出发点的风险偏好和风险容忍度？ 是否有足够的指导，在这个问题上的文件吗？4、 你同意承担风险的倾向和倾向的方法行使控制权？5、 你同意需要采用某种形式的测量风险偏好吗？ 是股东适用于上市公司的价值？ 你认为有更好的选择吗？6、 你认为有足够的指导，在发展的风险偏好？ 什么额外的指导，你想看看吗？7、你认为有足够的监督指导，由董事会（或风险管理委员会）在制定和实施的风险偏好？8、 是否有任何重要的元素，你认为缺少的指导？9、 在此之前发行的最终版本，您希望我们考虑是否有任何其他事宜？请通过 e-mail 把您的意见发送至 IRM 的思维领袖的主任卡罗琳威廉姆斯的邮箱 carolyn.williams ，截止日期为 5 月 31 日（星期二）。请提供足够的细节和建议的修正案在回答我们，使我们有充分的了解您的意见，当我们回顾他们与其他所有评论在谘询期结束。 请提供您的姓名，联系方式和组织，并请是否和我们如何与您联系，讨论您的宝贵意见表示，在有需要时。 我们发表您的意见提交，包括您的姓名和组织，除非你明确另有要求。理查德安德森风险管理协会副主席关于 IRM风险管理（IRM）是世界上领先的企业范围内的风险教育学院研究所。 我们独立的，备受尊敬的风险行业的倡导者，拥有执业风险专业人士。 我们提供资格，短期课程和活动在各种不同水平从入门到专家和支持风险专业人士提供的技能和工具需要处理一个不断变化的需求，复杂和具有挑战性的商业环境。我们经营国际业务的会员和学员，超过 90 个国家和地区，来自各种风险相关的学科和广泛的行业。关于作者这本小册子的主要作者理查德安德森，是 IRM 的副主席， 特许会计师，前身为罗兵咸永道会计师事务所在欧洲，中东和非洲地区，在过去十年在那里他有七年运行自己的 GRC 实践经验。 Richard 一直专业所涉及的风险自上世纪九十年代中期的管理。 Richard 拥有广泛的行业经验。 他写了一份报告，经济合作与发展组织公司在英国，美国和法国在银行业的风险管理。 他是在风险管理和治理问题的许多会议和杂志上是一个常客。目录1背景2设计风险3构建风险偏好4.实施风险偏好5.管理的风险偏好6.旅程还没结束附录：确定董事会愿意承担的风险职责承担风险图表目录图 1 -图 2 -风险偏好图 3 -风险文化诊断图 4 -风险偏好-主图 5 -股东价值模型图 6 -股东价值模型图 7 -股东价值模型图 9 -治风险图 10 -风险偏好执行摘要没有一家公司可以不承担风险的情况下赚取利润。 还采取有意识地管理风险，而不这些风险可导致组织的垮台。 这是挑战，所强调的在英国企业管治守则的最新发展发出的财务报告委员会（以下简称“FRC”）于 2010 年。 在金融崩溃的银行，我们都认为，沉淀优秀的管理风险，毕竟他们存在的理由，这是第一次在沃克报告，并然后由财务汇报局的企业管治检讨强调需要对电路板进行重新评估只是如何好，他们是在管理风险。 因此风险偏好和风险容忍度的所有上市公司的议程。 但是，这是一个巨大的挑战：风险专业人士被划分为如何确定风险偏好，并有珍贵的小有用的指导。 作为一个因此，风险管理研究所的指导。 对于一些详细页面会显得过度的负担，太复杂了。 这是有原因的：我们拉一起完全不同的思维成一个文件，直到我们都相信在日常使用的风险偏好和风险容忍度，我们认为这是更好地提供更多，而不是更少。更重要的，是我们压倒一切的意义上，任何方法（一）理论上的声音（但，能够迅速消失在背景）;（ii）实际和务实的，我们不希望创建一个官僚主义，而我们正在寻找帮助找到解决方案，可以为各种形状的组织和大小;及（iii）的东西，这将使我们怀疑，特别是在初期，一定会成功的方法来审查风险偏好和风险容忍度在板房导致了紧张的气氛。 换句话说，我们认为应该有所作为的决定，否则它减少到只有标记框活动-没有人需要更多的板房。 因此，我们设置的详细指导，这种方法可以和应根据组织的需求和成熟度的明确：它是不是一个维度适合所有的方法。我们的方法中有四个压倒一切的原则：1、 过于简单，虽然表面上很吸引人，可能会导致危险的水域：要好得多承认它的复杂性和处理，而不是忽视它。2、 风险偏好需要的是一个可衡量的概念。 我们正在推广一个方法股东价值在战略层面上，但其他方法也同样是有效的。 相关的股东价值，我们期待更多的使用关键风险指标和关键控制指标根据可用的内部数据或从组织外部。3、会有不同的风险偏好，并且这些将随着时间的推移而变化的范围：风险偏好方面的整个发展是一个重要的属性。4、 正如下面所讨论的风险管理成熟度。从本质上讲，我们推荐一个组织的风险偏好和风险容忍度应：开发的背景下，他们的风险管理成熟度 。 这听起来可能有些奇怪人，但风险管理仍然是一个新兴的学科，一些组织，不论大小或复杂性，它比别人做得更好。 这部分是由于其风险管理文化（整体文化的一个子集），部分原因是由于他们的系统和流程，部分原因是由于其业务性质。 然而，直到一个组织有一个明确的说法其风险管理的成熟度不能明确什么办法工作，或者它是如何应该得到实施。考虑到在 战略 ， 战术和操作层面上的不同意见 。 换言之，而代码设想从战略高度看待风险偏好，其实风险食欲需要解决整个组织作出任何实际意义。在隔离控制的组织文化的理解。 这个模型探讨这个“ 倾向采取风险 ”和“ 倾向行使控制 “。 该模式促进战略层面的想法，是按比例的有关冒险，比行使控制权，而在业务层面的比例大致扭转。 很明显，相对比例，将取决于该组织本身的性质，它面临的风险和其经营的监管环境。所设想的这种风险偏好模型表明，该方法是很重要的组织确定 的风险偏好的措施 。 否则，有一种风险，即任何语句变成空的，空虚的。我们认为，这种双重风险和行使控制的重点是适当的创新，但关键了解风险偏好和风险容忍度。 按比例更多的时间很可能将用于风险在战略层面上比在操作层面，其中的重点是更可能是在行使控制权。 虽然一个警告，我们不等同战略与板级和业务水平较低的组织。 A 板将正确地想知道它的操作尽可能多的控制之下，因为它要负责战略的制定和实施。 在详细的文章中，我们包括了一些建议，董事会如何可能要考虑这些双重职责。 最重要的是，我们非常专注于需要承担风险不亚于传统的中心地带，许多风险管理计划，这是避免伤害。在本文中，我们已经设置了一个说明性的发展过程中风险偏好的一种方法。这与内部和外部利益相关者，包括适当的咨询与板认为适当的咨询，在这个问题上。 它还包括一个审查过程，或由董事会适当的董事委员会，最后，它包含的周期结束时的审查程序，以便适当的教训可以吸取。我们还包括一个简短的部分董事会或风险管理委员会的作用：我们所提出的建议，董事会应保留在模型管理的四个关键点：认证：所讨论的风险偏好陈述的发展;测量需要有定期和一致的测量对模型和使用证明，该模型在现实生活中;监控委员会将需要处理的偏好，违反或出现的紧张局势，从它的实现。 如果没有违规和不紧张局势的可能性是还没有得到应有的发展。学习：开发部分所讨论的，董事会需要确保该组织学习实施的风险偏好模型，使之成为更嵌入式进入组织。这需要进行的基本戒律记住，风险偏好也将发生改变随着时间的推移，例如，经济从繁荣到胸围转移，或作为现金储备下降。 在其他的话，违规的风险偏好可能反映了一个需要重新考虑的风险偏好一部分的方式通过一个报告周期以及更以年度为周期定期检讨。 迅速变化的情况下，例如，在金融危机期间被目击在 2008-9，肯定会表明需要组织重新评估其风险偏好。这是我们的信念，作为一个有用的结构治理和风险偏好的发展管理机构将随着时间的推移。 但也有一些问题，我们认为值得牢记。 特别是，风险偏好：既是“启用”承担风险“制约”的不良风险;是一种管理工具，以及治理要求;需要积极的“利益相关者”的参与;需要建成像往常一样“过程”的经营;应当经董事会（或执行董事会风险管理委员会）有积极监控管理进行审查，并由董事会定期;需要测量的工具和技术。但同样也有一些实实在在的好处。 风险偏好可以帮助：保护组织;创建一个框架，以更好的决策;在早期阶段发现问题（允许更多的蠕动空间来应对风险）;提供了一个框架，减少的惊喜;开发模型的结构化思维;促进更好地实现长期目标，同时尊重利益相关方的意见;给风险过程带来意义。在 IRM 它我们的目的是工作的公司，董事会，风险专业人士，监管者和其他风险偏好各地发展的思想。 对我们来说，即时接下来的步骤包括：在发展的共识，以什么样的风险偏好是指：这本小册子是仅仅是讨论的第一步;工作与有关各方进行测量，建立适当的机制包括了解： 将需要的数据源; 业务框架的影响; 新的数据架构和数据管理模式，将需要;宣传活动，其中将包括处理板卡和个人的需求。最后，我们设置了以下的问题，我们认为，议会将要回答，因为他们的发展风险偏好的方法：1。 而董事会明确有关的重大风险的性质和程度是愿意实现其战略目标是什么？2。 的战略目标是什么？ 他们明白了吗？ 什么是明确的，什么是隐含在这些目标是什么？3。 板是愿意采取的显著风险是什么？ 什么是显着的风险板不愿意承担？4。 哪些措施已采取措施，确保董事会的风险管理监督？5。 董事会是否需要建立更清晰的风险偏好和承受能力的管治组织吗？6。 是风险管理组织中的成熟程度如何？ 是在不同层面的观点一致组织吗？这些问题的答案证据或投机的基础上吗？7。 有什么具体因素的风险偏好应该考虑到的业务环境中吗？风险过程吗？ 风险系统？ 风险管理成熟度？8。 在哪个水平是合适的董事会审议风险偏好吗？9。 组织风险文化方面的高层基调的主要特点是什么？治理？ 能力？ 决策？10。 多少组织的风险管理，每年花费吗？ 它需要多少，以花？ 什么是业务，监管机构或其他因素会影响的相对重要性该组织的倾向，承担风险和倾向行使控制战略，战术和作战水平？11。 组织是否聘请有帮助的，便于识别和风险分类法管理风险，以及了解如何管理风险的责任？12。 组织是否清楚地了解为什么以及如何与风险？13。 是该组织所有相关的风险，只有那些可以被捕获在风险管理流程？14。 组织是否有一个框架，应对风险？15。 什么办法组织采取的测量和量化的风险吗？16。 该组织有一个可靠的方法，制定风险偏好？17。 谁是主要的外部利益相关者和有足够的探测考虑他们的意见？ 是这些意见进行适当的处理在最后的文件吗？18。 的风险偏好定制和相称的组织？19。 风险偏好进行适当的审批程序，包括董事会（或风险监督委员会）？20。 该组织已经实施了风险偏好有效的证据是什么？21。 有董事会发挥了积极的作用，批准，计量，监测和学习风险偏好的过程？22。 在何种程度上的董事会确定了实施的风险偏好而产生的紧张局势？23。 有多少资源制定和实施风险偏好？ 这个级别的资源合适吗？ 是否需要修改的前进吗？24。 下一次什么需要改变？25。 组织是否有足够和适当的资源和系统？26。 有什么区别？的过程，我们怎么会喜欢它的影响下一次呢？最重要的是，我们希望听到您的。 请告诉我们你的想法是好或坏的这本小册子，什么需要改变的，在那里你需要进一步的信息或指导，最重要的是我们如何可以作为支持板，建议他们在这一重要领域的企业管治。I. 背景101 2008 年的金融危机有很多后果，其中最重要的问题是，为什么董事会没有看到它的到来。 在的一天，首相戴维沃克先生的要求，进行了审查银行及其他金融机构的公司治理（“BOFI”）并且在这之后迅速进行了审查，在英国更广泛的企业管治景观财务汇报局（以下简称“FRC”）。 FRC 这个问题的所有重要环节之间风险偏好和风险容忍度的主题将参考这两个主题在他们的 C 节的英国企业管治常规守则（“守则”）（财务报告的修改草案会，2010 年）。虽然这些很的话没有生存的切割，概念生存。 在新扩建的 C 部分，董事会明确任务，负责“确定的性质和程度是愿意在实现其战略的重大风险董事会目标“。 这是任何其他名称的风险偏好和风险容忍度。 本节的其余部分探讨的性质的话“守则”，并期待在现有的指导，这可能有助于了解的话。第二部分和第三部分在拟议的新模型的风险偏好和风险容忍度;第四部分和五部分在实际的实施和监督风险偏好风险承受能力;第六部分解决了一些可能需要进一步考虑的问题;附录是一个总结，关于一个董事会如何在实际应用中去确定是愿意承担风险。在整篇文章中，我们已经指出的问题，可能是有益探讨董事会确保主体的风险偏好和承受能力，适当的解决。英国企业管治守则102在其最近更新的英国企业管治守则，财务汇报局，扩大了部分问责制在下面的框中的代码：C 节：问责制董事会应平衡和理解评估公司的地位和前景。 董事会负责确定的重大风险的性质和程度愿意在实现其战略目标。 董事会应保持良好的风险管理和内部控制系统。董事会应考虑应该如何建立正式及具透明度的安排申请公司报告，风险管理和内部控制的原则.103本节进一步扩大“守则”中的详细规定：C.1 财务和商业报告C.1.2 条董事应在年度报告中包括的解释的基础上，公司生成或保存在较长时期内（商业模式）和战略价值提供该公司的目标。C.2 风险管理和内部控制主要原则董事会负责确定的重大风险的性质和程度是愿意采取在实现其战略目标。 董事会应保持良好的风险管理和内部控制制度。守则条文C.2.1 董事会应至少每年进行检讨公司的风险的有效性管理和内部控制制度，并应当向股东报告，他们已经这样做了。检讨应涵盖所有重要的监控方面，包括财务，营运及合规控制。104本文探讨了风险管理的后果，这些高层次的报表，特别是那些有关“的性质和程度的显着风险董事会愿意采取实现其战略目标“。 这些话，取代了风险偏好的参考和在早期草稿的耐受性。 值得一提的是，这句话之前的要求“董事会应维持健全的风险管理和内部控制制度”。 因此，这是不空的专栏，而是一个实质性问题，尤其是因为守则条文第 C.2.1 条要求“董事会每年至少* +公司的风险的有效性进行审查管理和内部控制制度“一些这听起来像一个配方萨班斯-奥克斯利法案 S404 式的工作。 这显然不是财务汇报局的意图，也不会受到欢迎在英国董事会中。然而，事实上这篇评论必须向股东汇报。 并列的“显著风险“的句子保持”健全的风险管理和内部控制的要求系统“的建议，风险偏好元件是，组织需要的原因之一风险的系统。 这是一个根本性的 FRC 和新的出发点，引入了一个新的概念对许多人来说董事及董事会的非金融服务机构。105顺便说一句，“风险偏好” 和“风险承受能力”的条款似乎有很深的关联在一些头脑金融服务行业（尤其是英国），并尝试将非金融服务机构之一，在这个方向可能是困难的。 但是澄清的 FRC 看到的新词，对于所有意图和目的，作为 IRM 会议建议从以前的短语没有什么区别。 这是我们的感觉（我们的立场予以纠正）这些科目更困难的是风险承受能力。 因此，我们主要集中的概念在本文的风险偏好的方式向董事提供指导，并负责与建议董事守则的要求，到目前为止，因为这涉及到风险偏好。什么是风险偏好？106风险偏好是一个短语，被广泛使用，但经常在不同的背景和不同的的目的。这是一个短语，有些人不善表达其含义，并就其中不同人群的含义是不同的。有限的工作基础上，本文进行很明显，有一点肯定，这句话是什么意思，但似乎有几乎一致通过的，它可能是，确实应该是一个有用的概念，只要它可能是正确的表示。 在这本小册子中，我们采取了非常务实的观点：风险偏好是最常见的短语，我们所遇到的，是一个被用于经 FRC 的上下文中，企业治常规守则（非正式会议仍然是他们所使用的），因此，我们更愿意定义它的方式，为尽可能多的人开始变得有意义。107由于缺乏符合这句话的意义，这是值得期待的关键风险管理标准，ISO31000（ISO，2009），BS311001（英国标准，2008 年），看什么样的光，他们流下的主题。 有趣的是，国际标准，ISO31000 是沉默的受风险偏好的（而是专注于“风险态度”和“风险标准”），虽然（ISO 指南 73，2002）定义“的数量和类型的风险，组织风险偏好是愿意追求或保留“。108BS31100 包含更多的细节。 它定义了风险食欲作为“的数量和类型的风险组织，准备寻求，接受或容忍“ -非常相似指南 73。 该标准到确定风险承受能力（铭记风险偏好的定义包括参考容忍“组织愿意承担风险）风险风险后处理，以达到其目标“。 的定义，然后骑手其中包括指出：“注意：风险承受能力是有限的，法律或法规要求“。109尽管在同一个句子中经常出现的风险偏好和风险容忍度（或定义的情况下，BS31100）这是我们的信念，即风险承受能力是一个更简单的概念，它往往建议了一系列的限制，其中，取决于该组织，可以是：在自然界中绝对的画线在沙子里，超出该组织不希望以继续进行;更多的绊网的性质，提醒即将发生的违反容忍的组织风险。因此，我们更集中在这本小册子上寻求发展对风险偏好的认识。110虽然没有标准是非常丰富的，它是有启发性的“偏好”字或类似的话：BS31100第 3.1 段治理的风险管理框架包括一颗子弹的影响应该“定义的参数周围的组织，是可以接受的风险水平，阈值触发升级，审查和批准授权的人士/团体。“第 3.3.2 段的内容第一次明确提及风险的风险管理政策食欲说，这应该是在政策和纲要“的组织风险偏好情绪，阈值和升级程序“。第 3.8 段的风险偏好和风险提供了一个更全面的评论风险偏好，载列如下：考虑并制订风险偏好，使组织能够提高其回报通过优化风险承担和接受在一个适当的水平计算的风险权威。组织的风险偏好，应建立和/或董事会批准（或同等学历），并有效地传达到整个组织。组织应编制风险偏好陈述，这可能是：“提供可以接受的风险，在不同的方向和界限；组织水平，风险及任何相关联的奖励是如何平衡，并可能作出的反应;“考虑到该组织的背景下，价值的理解，成本管理出效益，控制和保证过程的严谨性;“定义的控制，权限和制裁环境，包括有关代表团的权力，批准组织的风险验收，突出的升级点，并确定升级过程验收标准，能力或能力之外的风险;“反映在组织的风险管理政策和报告作为该组织的内部风险报告制度;“包括定量表述，形容限制，阈值或关键风险载有一定的风险，其回报要判断的指标，和/或后果的总风险进行评估并监控。风险偏好. 应监测由董事会（或同等学历），并正式审查组织的战略和规划过程的一部分。 这应该考虑组织的风险偏好是否仍然适当提供组织目标的内部和外部的驱动和约束。“第 4.7 段风险的审查表明，定期的风险审查是否应该考虑“关键风险正在管理的风险偏好。“111总之，BS31100 提供了一些指导如何 使用的风险偏好，但它没有（也没有没有想过载）提供指导如何 计算或衡量风险偏好，虽然标准不建议使用“定量表述”，没有进一步阐述。风险承受能力112值得一提的是，在一些评论家的眼里，风险承受能力是更重要的的概念。虽然风险追求风险偏好，风险承受能力是什么，你可以承受。毫无疑问会有场合，一个组织可以承担更多的风险比它被认为是审慎的追求，我们依然认为，关节的耐受性是相对简单的，工作时，你想追求的是相对复杂。113很清楚的是，不同的电路板在不同的情况下会采取不同的意见，以在任何给定的时间，这两个概念是更重要的是它们。结论114有三个过早下结论，我们已经制定的工作，我们已承诺在编制本小册子：第一，设定风险偏好，如果你仅仅是一个值得做的，作为一个组织，能够管理的风险，它被设置在哪一级。第二，很少有正式指导的方式对风险的定义食欲。 我们已审阅大量的文件，无论是从专业的组织和从咨询公司。 然而，我们的信念是，这个问题仍然是欠发达和剩下的这本小册子的目的是扮演一个角色，在纠正这一缺点。第三，风险偏好和确实必须改变，例如随着经济转变从繁荣到破灭，然后再返回，或者作为现金储备的数额。 风险偏好，而事实上风险宽容，都有一个时间的因素，这也反映在我们的方式，讨论了监测和治理的风险偏好在这本小册子。115我们通过这个主题的风险偏好设定图下面的路线：图 1 -我们的方法这反映在该文献的其余部分载根据以下的主标题：第二部分：设计风险偏好第三部分：构建风险偏好第四部分：实施风险偏好第五节：“风险偏好在 第六节 ，我们称为“旅程还没有结束”，我们探讨的一些问题，我们将需要探讨这个概念，因为我们发展的一个董事会主题。董事会讨论的问题：1。 而董事会清楚的重大风险的性质和程度，它是愿意在实现其战略目标？2。 的战略目标是什么？ 他们明白了吗？ 什么是明确的，什么是隐含在这些目标是什么？3。 板是愿意采取的显著风险是什么？ 什么是显着的风险板是不是愿意承担吗？4。 哪些措施已采取措施，确保董事会的风险管理监督？5。 董事会是否需要建立更清晰的风险偏好和承受能力的管治组织吗？II设计风险偏好201在发展的可能模式的风险偏好，IRM 工作小组意识到五个关键因素：我们听到的组织似乎已经定义了非常 误导的风险承受能力 ：例如，一个组织，得出的结论是“吃不饱”的 IT 风险，因此显然放松了许多的环绕声系统发展的正常过程控制。 如因此，他们未能在至少两个主要的实现，因为基本和基本的控制程序没有得到遵守。 系统故障是如此深远的，董事会感到被迫辞职，或从后 的教训，我们吸引了来自其他的例子是，风险偏好至少有两个组件：风险和 控制 ，无论是在考虑隔离可能会导致在次优的决定。我们意识到，风险偏好 需要一个可衡量的概念 。 有许多风险管理的例子，它充其量只能是一个比较空的，空洞的过程描述为“数据精简版”，如果不是“无数据”区域。 因此，我们认为，风险偏好需要有某种形式的有意义的“准绳”，以支持其正确实施。似乎有一个广泛的共识，没有一个统一的风险偏好，而是 一个范围不同类型的风险偏好 。 因此，它似乎是适当的，看的主题不同层次的风险偏好。风险偏好有一个 时间维度 ：换句话说，偏好和承受能力，将改变随着时间的推移，情况的变化。 这是不是可以写在石版然后忽略其余的一年。最后，我们意识到，不同的组织在不同阶段的风险管理的发展，更不用说风险承受能力。 对于有些人来说将是一个相对简单的附加 步骤，将变得更加困难。 出于这个原因，我们采取了短语农作物反复 BS31100：组织应制定一个有针对性的和相称响应。 我们已经定义了这个 组织成熟度 的 。 我们不是这个意思，在任何感觉到轻蔑：一个不成熟的风险管理方法，本身不是一个问题，它只是对于一个给定的组织是事实的陈述。 有一些非常大的公司，在其风险管理相对简单和较小的是非常先进的。202所有这一切都在我们的头脑后面，风险偏好 IRM 工作组一种方法来解开各种要素的风险偏好。 该模型是在图中所示如下：这种模式有几个主要特点：1。 我们认为，风险偏好的背景下，成熟的商业设置。 在其他一个相对不成熟的业务，寻求一个复杂的的话有什么优势风险偏好，如果它不具有的能力和能力来管理风险偏好它们设置。 因此，重要的是，这并没有被视为一个“大小”一刀切“的模式的风险偏好，而是应该根据相称的规模，性质和成熟的业务。2。 我们所提出的建议，可以看出，成熟的商业，在四个方面：（一）企业背景：国家的发展，规模，行业，地域分布，复杂的商业模式等;（二） 风险管理文化：本公司董事会（及其相关委员会）的程度，管理层，员工及相关监管部门的理解和接受的风险管理制度和流程的组织;（三） 风险管理流程：在何种程度上确定对风险的过程评估。在交谈的一个因素已经很清楚许多组织在很长一段：风险管理成熟度是不明确的可辨别从顶部的组织。 许多板成员和高级管理人员采取鉴于其相对良性组织成熟度的面对面的风险管理，调查进一步下降的组织，是一个典型的更大程度的怀疑态度，在风险管理中的组织能力。因此，我们不认为组织应把它当作阅读，风险管理成熟度的看法从顶部是全面的。 我们强烈建议，董事会应委托审查风险管理成熟，内部，或由一个外部供应商，以确定水平风险管理的成熟度，以确保该组织做好充分准备走上发展的企业风险承受能力。（四） 风险管理系统：在何种程度上有适当的 IT 及其他系统支持的风险管理流程。3。 概述的方法设想在战略，战术和操作的风险偏好的水平。 换句话说，而英国企业管治守则所设想的战略眼光风险偏好，风险偏好其实需要解决的整个组织做任何实际意义。 这种“分配”的风险偏好在不同的方面组织代表面临的最大挑战之一，仍然是一个地方，我们相信进一步的工作是必需的。4。 我们认为，理解风险偏好不能做隔离了解控制的组织文化。 这种模式探讨通过查看“ 倾向采取风险 ”和“ 行使控制 ”的倾向 。 该模型鼓吹战略层面的比例承担风险比行使控制权，而在业务层面的比例大致逆转。 明确地的相对比例，将取决于该组织本身，它所面临的风险的性质其经营和监管环境。5。 所设想的这种风险偏好模型表明，该方法是很重要的组织确定的风险偏好的措施。 否则是有风险的任何声明成为空的，空虚的。组织成熟度204风险管理的成熟度是越来越熟悉的概念。 许多组织已经制定了风险涵盖了各种管理成熟度模型属性。 某些地址的成熟的风险管理和控制过程，有些人认为的风险文化管理，有些人认为的准备组织面对（或易受）的灾难。205我们认为有四个方面的风险管理成熟度，董事会应考虑在确定其准备走上风险偏好锻炼身体。 这些是：业务背景：几乎没有什么优势到组织定义风险偏好是不基于牢固地在上下文中的业务。 阿广各种商业因素影响的风险食欲和一些例子，这些在如下表所示。在本质上是一个很好的理解的商业模式是一个重要的第一步目前确定有多少业务风险与多少，它可能希望与未来。风险管理文化的能力来确定，管理和监控风险偏好成熟的风险管理文化在很大的程度上取决于组织。 风险管理的态度是一副无所谓的样子，或者从某种意义上说，风险在哪里管理是多一点的官僚纸追逐，那么发展的可能性有效的风险偏好是远程的。 同样，有必要设置的风险管理的音色顶：如果主席及行政总裁是冷漠的，然后将最有可能的态度，进一步通过组织反映。风险管理流程：有一些共同的因素应出现在所有风险管理流程，包括风险识别，风险评估和风险监测和报告。 需要理解的问题，包括在何种程度上这些都是常见的整个组织，在何种程度上在整个企业有一个共同的语言，和最重要的是，是否所有的风险管理信息收集和报告，使业务运行的方式在任何的区别。 正如我们前面所说，设定风险偏好如果你作为一个组织，能够管理风险的水平是值得做的在它被设置。 这意味着需要进行有效的风险管理流程。全面和有效的风险管理系统：大多数组织系统收集后寻找关键绩效指标（KPI），即会计制度。 IT 系统，人员，责任等，都是定义在或多或少顺利操作系统。很少组织类似的方法来管理的前瞻性问题：在其他词语的系统（在最广泛的意义上的字）是很少受相同的严密性或复杂程度。 我们期待越来越多的组织将需要收集，处理和传播的风险信息在整个企业才能真正有效的。206不用说，这些“要考虑的因素”是不全面的，任何组织需要定制一个成熟的审查自己的情况“。 在本指南中的一切重要的是专门的风险管理成熟度，审查和相称的组织本身，而不是取决于外部的指导和检查表。多重风险偏好207我们认为，这几乎是不可能的封装业务的风险偏好在一个短语如“ 风险规避 ”或“ 风险欢迎 ”。 这样的短语没有认识到，但在所有的最简单企业不可避免地存在着不止一个风险偏好。 可能有一个风险偏好销售特定的产品，不同的风险，同时卖出另一种产品的偏好。 有可能是在一个国家，在不同的监管制度的另一个食欲的监管风险的偏好。 它似乎是不可避免的，风险偏好能够被表达不同为不同的类的风险，并在不同层次的组织结构。 但是，我们认为，需要有交叉检查的顶出机构之间的风险和全面的观点。208我们已经在上面的图 1 所示的模型，该模型结合的能力来表示多的风险承受能力，在两个方面：在第一个实例，它认识到，在不同的层次上，会有不同的风险偏好。该图明确地显示了在战略，战术和操作层面的风险偏好。 下一个本文的部分更详细的讨论。 然而，在本质上的重要性，这是它结合在一起，两个元素的“倾向采取风险”和“倾向行使控制“。 该模型的本质是按比例更多的时间，精力和资源致力于在战略层面上的风险，而且比例有更多的时间，精力和资源致力于在业务层面的组织行使控制。该模型的一个重要方面是，它需要一种机制，用于测量。 这将便于比较不同的风险类型，并允许某种形式的聚集整个组织。风险文化209我们认为，这是值得我们深思的风险文化，风险的专业人士认识到作为重要的辩论。 良好的风险文化将有利于更好地管理风险和确将支持组织的工作能力在其风险偏好（见“风险文化”框更多讨论）。 运作不良的风险文化的症状包括：领导发出不一致或不明确的消息，在可接受的风险水平;风险被认为直观地进行管理，而不是讨论决策;提供的业务成果交付，得到问几个问题，就可能会去错误的;有很少或根本没有的制裁对于那些采取不适当的风险水平。董事会的问题1。是风险管理组织中的成熟程度如何？ 一致的看法是在不同层面的组织吗？这些问题的答案证据或投机的基础上吗？2。有什么具体因素的风险偏好应该考虑到的业务背景？ 风险过程吗？ 风险系统？ 风险管理成熟度？3。在哪个水平是合适的董事会审议风险偏好吗？4。组织风险文化方面的高层基调的主要特点是什么？治理？ 能力？ 决策？5。多少组织的风险管理，每年花费吗？ 它需要多少花？III构建风险偏好301在本文的第二部分中，我们探讨的风险偏好模型的主要特征：本节，我们来看看更详细的主要方面。302在风险偏好模型的心脏，我们的主要问题，组织处理在制定和监测其风险偏好。 这些在下面的图表：风险偏好水平303这至少有三个层次的模型设想在以下各段所载的风险偏好。战略304在战略层面的风险偏好是主要的风险或组织类型的风险具有独特的竞争力管理（或确实知道，他们既不能管理，也减轻），并提供其竞争优势（私人部门）的能力，以实现其目标（公共或第三部门）。在战略层面上的风险偏好也将是决定从风险或风险类型的组织需要保护自己。305在考虑该组织希望从事或避免风险（或风险类型），它应考虑到帐户还表现的组织文化，因为这将决定这些风险的个人需要，和公司道德和行为组织显示，因为这将是重要的，在确定风险的程度和避免。306上面的图 4 显示了更多的强调比在战略层面行使控制权的风险。这不应该被混淆这意味着战略等同于板级。 董事会可采取适当的控制，部分原因是其治理责任，部分是因为兴趣组织的监管环境，部分原因是因为控制在顶部的开始组织。 因此，该图应视为相对的战略重要性，而不是整体的风险与控制的重要性。307这是董事会和高级管理层确定的相对重要战略意义的组织承担风险的倾向行使的控制和影响，相对的倾向注重整个组织。 然而，广泛组织下强调风险过分强调费用控制在战略层面上可能会遇到的风险患有整个层次结构不能承担风险。 而一个组织，过分强调风险承担在战略层面上的不足，强调控制的费用可能会遇到的风险，未控制的的风险，可能会导致不必要的风险在危险暴露。 该技能是在确定正确的平衡的组织。战术308许多组织的斗争，以实现自己的战略，不管如何高度发达和磨练他们的策略。 有定义之间的间隙是一个公认的现象战略的实施。 我们所描述的风险偏好的战术元素：风口浪尖之间的战略眼光和执行。 这很可能是现有的控制机制需要进行审查和完善，为了使新的战略得到有效实施。309我们的模型表明，这是需要之间的平衡冒险和行使控制权。 一个非常明确的风险偏好，将有助于确定时间的相对比例，精力和资源上的风险和行使控制权，则可能需要花费分别。通过示例的方式，该公司做出决定，对于一个给定类型的风险将它有一个大的食欲确定在这个水平如何细致的方式，控制机制的运作。 高偏好，说，它的风险，这主要新系统的发展战略上产生并不意味着所有的控制机制应该甩了出去。 然而，控件的详细的实施的水平，水平的审查和授权机关的层次结构可能比在一个更加宽松组织，继续有怀疑或敌对的偏好 IT风险。项目或业务310在提供产品或服务，流程或项目的详细级别的，很可能，重点将放在通过实行适当的控制，尽量减少不利风险。311时间，精力和资源的优势将被部署，以最大限度地降低风险，而不是采取新的风险。 然而，即使在这个水平是非常重要的个人理解他们如何能够应对他们遇到了新的和正在出现的风险，有风险偏好框架，以帮助他们来作出适当的决定。 作为一个组织介绍，他们希望前线督导人员能够应对的一员，但作为一个新的或新出现的风险执行管理团队站在他们的肩膀。 通过定义风险偏好，工作人员将了解他们的反应，当他们应该考虑的一个问题升级进一步上升行了。承担风险的倾向312在最基础的，承担风险的倾向是多一点了解是否有风险或类型的风险是，该组织希望从事有或没有。 一些组织表示这简单来说，如：避免终止风险;规避;保守;接受性（风险，如果预期回 报认股权证，在一定范围内）;无限（的风险，如果预期回 报认股权证，无约束的限制）。313其他使用的词语，像“饥饿的风险”或“风险谨慎”。 然而，有些人会认为，采取风险倾向是依赖于与该特定的风险或一组用于啮合的原因风险。314风险偏好不能被定义在整体组织使用简单的一个字标签。规避风险的公司很少或根本没有未来，而风险鲁莽的组织可以预期的快速退出从业务。 所以，在最简单的层次，倾向采取任何给定的风险可以定义由单字标签。 在其最先进的，它会考虑组织所从事的原因，任何给定的风险和风险本身的性质。行使控制权的倾向315在定义了一个组织承担风险的倾向，它是那么重要，以确定其行使控制权的倾向。 这是我们的观点，即设置风险偏好，而不确定的水平控制是一个弄巧成拙的运动：平衡风险理查德安德森（理查德安德森Associates 公司，2009）认为主要有四个原因从事的风险：同时考虑到更多的风险管理;避免陷阱;由于业绩的文化;由于企业的道德和行为。从本质上讲，他认为，企业与风险，这四个原因中的一个或多个，每个这代表了不同的管理挑战。 可以说，许多的大型国际过份集中的银行采取更多的管理风险，主要是因为他们的绩效文化，而比考虑的陷阱和他们的企业道德和行为。 从风险偏好的问题，的角度来看，是他们无法理解之间平衡的重要性，这四个原因与风险，因此暴露了他们企业（的情况下，整个银行经济）来不必要的失败的风险。因此，定义和测量风险偏好默认情况下，更复杂的组织，该组织与一个给定的风险或风险类，意味着发展的理解。从另一个角度来看承担风险的倾向可能会教授约翰亚当斯“分类风险一节中的风险分类标准。 然而，不同的组织有不同的三种类型的风险定义的亚当斯的偏好。有一种感觉在分类到这三类中的任何有效的风险该组织的经验。 阅读的很多事情，这是说，核工业，和的工作人员例行公事（直接可辨的风险）可能是完全陌生的，在在没有先验知识或专业知识的公司或人员之间的另一个组织（虚风险）。对于一些组织，他们的偏好会坚持他们所知道的最好的，只暴露自己可见，通过科学，他们在那里的自来水现有的专门知识，并在最大程度上这些风险可能的话，避免虚拟的风险。 其他组织将要利用的潜力，虚拟的风险管理控制带来的风险。传统的风险“厌恶”组织的决定为特定类型的，他们是“饿”风险，而忘记了要保留适当的控制水平很可能会失败，有时显着;传统的创新组织决定，他们是“厌恶”的一个特定类型的风险，而忘记行使或提高控制水平，也同样有可能失败。316风险偏好的工作取决于物色合适的控制水平相匹配的风险的愿望。 在一个简单的层面上，将有控制的风险偏好相匹配，因此“风险饿了”需要“授权控制”，而“风险厌恶”要求“苛刻的控制”。 赋权控件可能是高层次的代表团，最小的监管审查和报告例外，而苛刻的控制可能包括，定期详细签核，性能，和授权和详细的定期报告。 显然有无数不同的方法之间。317总之，行使控制权的倾向是重要的配重的倾向承担风险。 以不能被认为是风险控制机制也没有考虑。 有一个通过各种可能的方法，从简单的单个词的定义，传统的会计或其他类似的模型，到 COSO 方法，因为在他们的报告中概述的内部控制（COSO，1992 年）。 但是，有两个新的方法，是值得考虑的是风险分析管理时钟速度和维度控制。风险管理时钟频率风险管理的脉动速度在新定义的概念有相当大的兴趣。这个概念，从本质上讲，笔者认为，基思史密斯（Smith，2010），较慢的时钟频率风险那些管理了一个漫长的成熟期，是那些管理最有效地通过传统的控制机制。 另一方面快速时钟速度的风险（那些那里有计划外或突发事件需要快速响应，或响应速度比内部流程管理）可能需要不同的方法。 从本质上他认为，快速的时钟频率风险需要管理的文化机制，以及过程。管理的第一阶段将是了解的启发式（经验法则），经理通常使用的快速时钟速度的风险管理。 这些都需要进行评估的有效性，然后经过严格的培训计划改变或加强这样的反应的风险是嵌入到组织文化。 通常情况下快速的时钟速度的风险，采取从第一识别的影响相对短的时间内，将定义是受到较少的数据并很可能会不容易受到分析前。这是很有理由认为，许多企业集中在较慢的时钟频率风险的风险快速的时钟频率风险管理程序和可能给予足够的重视。控制问题不论风险的时钟速度，有很多传统的寻址控制方式。 COSO 报告（COSO 内部控制，1992 年）提供了一个全面的方法，确定了五个控制元件涉及控制环境，风险评估，控制活动，信息与沟通，监控。 此外，还确定了预防，检测和监测控制。 在一个更基本的层面上，传统的会计模式控制的完整性，准确性和确定控制目标时效性。 这本小册子的目的不是找出所有可能的信息来源的方法来控制，但大量的工作已进行更新，例如方法维度控制最初是由伦敦政治经济学院的罗布鲍德温着眼于五个方面的控制，每个其中有几个要素：策略：该组织主要侧重于风险的可能性或影响的提高该组织的应变能力吗？人物：该组织希望提名的个人负责一个给定的风险，或者是每个人都在一个团队，部门或组织的风险管理？详细说明：是在一个非常具体的风险集中的组织，或者是有一个通用的各种风险？任务：组织收集信息的方式，它解决了的基础控制的风险？ 它打算如何行使控制，它采取什么样的行动呢？驱动程序：是管理人员的组织推动下，由监管机构或各种文化的控制在组织内部存在的吗？维度控制这五个维度和控制的元素在下面的图表所示。 更严厉的控制机制将采取不同的路线，通过这种模式，不是更有利的控制机制。 这模型提供了一种方式，为组织考虑如何可以改变其倾向行使控制，通过改变其控制之旅的维度控制模型。测量318我们认为，有必要制定一个切合实际的测量方法，使董事会和经理都了解自己的风险偏好所带来的后果，以及是否违反是材料的公司的战略方向。 我们认为，会有不同的的方法测量时，它被认为是在每个上面提到的三个级别：战略，战术和运作。战略319在战略层面，我们所提出的建议，股东价值，可能是一个合适的模型测量工具（黑色，怀特和巴克曼，2000 年）。 相关股东价值模型，我们有通过如下所示。 该模型的基础上的假设，即股东价值的计算公式为来自经营业务的现金流量，折现的加权平均资本成本，更少的债务价值。320我们的主张是，风险，通常在大多数 ERM 计划目标，还需要链接到相关股东价值驱动因素如下：321虽然在实践中，大多数风险将影响多个驱动程序如下：322我们认为，像这样的一个模型对测试风险，使企业能够有一个更更好地了解哪些风险是重要的，以便在早期阶段存在最大在处理与他们的的“蠕动房”。 例如，它可能是风险承受能力得到表达，条款中任一项的关键价值驱动从预期水平的一个可以接受的偏差。 这可能的说，表示接受风险或一系列风险，合共可能会导致 X的销量下降。323股东价值（如果组织更喜欢）的东西，如经济增加值（EVA）或经济资本，可能是更复杂的比不太成熟的组织是必要的，是在公共部门或一些第三部门组织