企业风险管理-战略与绩效整合(中文版-雷泽佳译)

Treadway委员会的发起组织委员会

企业风险管理

2016年6月版

目次

1引言.................................................................................3

2理解术语：风险和企业风险管理........................................................8

3企业风险管理和战略.................................................................10

4考虑风险和实体绩效.................................................................13

5要素和原则..........................................................................18

6风险治理和文化.....................................................................22

7风险、战略和目标设定...............................................................35

8执行中的风险........................................................................50

9风险信息、沟通和报告...............................................................71

10监视风险管理绩效..................................................................83

附录A：术语表........................................................................87

附录B：企业风险管理的角色和职责.....................................................90

附录D：风险概况图解................................................................102

2

企业风险管理一战略与绩效整合

应用框架：将其置于环境中

1引言

将企业风险管理整合至整个组织中，可以改进治理、战略、目标设定和日常运营方面的决策。它通过将战

略和业务目标与风险和机会更紧密地联系起来，有助于提高绩效。整合企业风险管理所需的努力为实体提供创

造、保持和实现价值的明确途径。

对企业风险管理的讨论始于这样一个基本前提：每个实体一一无论是营利性、非营利性的还是政府的一都

是为了给其利益相关方提供价值而存在。本出版物建立在一个相关的前提上：所有实体在追求价值的过程中都

面临不确定性。本出版物所阐述的企业风险管理的概念和原则，旨在适用于所有实体，无论其法律结构、规模、

行业或地理位置如何。

“不确定性”通常被理解为不完全已知的事物或不确定的状态。风险涉及不确定性，并影响组织实现其战

略和业务目标的能力。因此，管理层面临的挑战是组织准备并能够承受多大程度的不确定性，也就是多少风险。

有效的企业风险管理使管理层能够平衡风险敞口与机会，目的是提高创造、维持和最终实现价值的能力。

管理层在如何应用企业风险管理实践方面有许多选择，没有一种方法比另一种更好。然而，如果读者希望

获得框架之外的信息，或者可以应用不同的实践来将概念和原则整合到实体中，那么他们会发现本出版物的附

录很有帮助。

企业风险管理影响价值

实体的价值很大程度由管理层的决策（从整体战略决策到日常决策）决定的。这些决策可以决定价值是否

被创造、保持、实现或还是被侵蚀。

・当部署的资源的价值低于从该部署中获得的利益时，就会创造。这些资源可以是人力、财务资本、技

术、流程、市场占有率（品牌）。

・当部署在日常运营中的资源的价值维持所创造的收益时，价值就得以保持。例如，通过交付优质的产

品、服务和生产能力来保持价值，从而使客户和利益相关方满意。

・当利益相关方获得实体创造的收益时，价值就实现了。收益可以是货币性或非货币性。

・当管理层实施的战略无法产生预期结果或无法执行日常任务时，价值就会受到侵蚀。

3

如何创造价值取决于实体的类型。营利性实体通过成功实施平衡市场机会和追求这些机会的风险的战略决

策来创造价值。非营利性和政府实体可以通过提供商品和服务来创造价值，在服务更广泛的社区的机会和任何

相关的风险之间取得平衡。无论是哪种类型的实体，应用企业风险管理实践都能创造信任，并为利益相关方灌

输信心。

企业风险管理影响战略

“战略”是指组织为实现其使命和愿景以及应用其核心价值而制定的计划。清晰的战略可以推动资源的有

效分配和有效决策。它还提供了制定业务目标的路线图。

企业风险管理并不创造实体的战略，但它影响其制定。组织将企业风险管理整合到战略规划中，向管理层

提供其需要的风险信息，以考虑可供选择的战略，并最终采用具体的战略。

企业风险管理与业务相关联

企业风险管理与企业的所有其他方面相结合，包括治理、战略、绩效管理和内部控制。具体来说：

・治理和战略构成了最广泛的概念，涵盖了企业风险管理、内部控制和绩效管理。治理的某些方面不属

于企业风险管理的范畴（董事会成员的招聘和评价：实体的使命、愿景和核心价值观的制定）。

・企业风险管理包括内部控制的各个方面，并与绩效管理有交叉。企业风险管理的某些方面不属于内部

控制和绩效管理的范畴（设定风险偏好，支持战略和目标的设定）。

•绩效管理的侧重于实体的绩效和高效部署资源，以实现实体的战略和业务目标。

绩效管理

组织为实现或超越其战略和业务目标而制定各种措施。绩效管理涉及根据预先确定的目标（包括短期和长

期）来测量这些措施，并确定这些目标的实现程度。然而，由于各种已知和未知风险都可能影响实体的绩效,

因此可以使用各种衡量标准。

・运营绩效，如运营小时数、产量或产能百分比。

•遵守义务，如服务水平协议或监管合规要求。

・新产品的推出时间表，例如每180天推出一个新产品。

・具体的增长目标，例如扩大新兴市场的市场份额。

・在预算范围内按时向指定人群提供商定的服务水平。

通过将企业风险管理整合到口常运营中，并将业务目标与风险和机会更紧密地联系起来，可以提高实体的

整体绩效。

内部控制

“内部控制”最好描述为一个由实体的董事会、管理层和其他人员实施的过程，旨在为实现与运营、合规

和报告相关的目标提供合理保证。内部控制有助于组织了解实现这些目标的风险，以及如何将风险控制在一个

4

可接受的水平。拥有一套内部控制系统，使管理层能够在相关法律法规的范围内运营的同时，专注于实体的运

营和追求其绩效目标。

COSO的出版物《内部控制一一整合框架》旨在帮助管理层更好地管理与实现目标相关的风险，并使董事会

能够监督内部控制。

为避免重复，本出版物和《内部控制一一整合框架》中内部控制的某些共同方面在此不再赘述（例如，与

财务报告目标相关的欺诈风险评估、与合规目标相关的控制活动、与运营目标相关的持续和单独评价的必要性）。

然而，内部控制的其他方面在框架一节中进一步阐述（例如，企业风险管理的治理方面）。请参阅《内部

控制一整合框架》，作为本出版物中应用框架的一部分。

企业风险管理的好处

组织需要能够识别未来的挑战，并适应这些挑战。它在参与决策时，必须意识到创造价值的机会和挑战价

值实现的风险。简而言之，它必须将企业风险管理实践与战略制定和绩效管理相整合，这样做将实现许多与价

值有关的好处。

好处包括能够：

・增加机会的范围。通过考虑所有合理的可能性（包括风险的积极和消极方面），管理层可以为实体发

现机会和与当前机会相关的独特挑战。例如，当一家食品公司的经理考虑到可能影响可持续收入增长业务目标

的潜在风险时，认定该公司的主要顾客正越来越注重健康，并正在改变饮食偏好。这一变化表明了一种不确

定性：对该公司现有产品的需求将来会减少。管理层对此做出反应，确定了开发新产品和改进现有产品的方

法，使得公司不仅能够保持来源于现有顾客的收入（保持价值），还能够吸引更广泛的顾客基础而获得额

外的收入（创造价值）。

・在整体范围内识别和管理的风险。每个实体都面临着无数的风险影响到实体的不同部门。有时，风险

从组织的某一个部分产生，却影响了另一个部分。管理层必须识别和管理这些整体范围内的风险，以维持和提

高绩效。例如，当一家银行意识到它在交易活动中面临各种风险时，管理层通过开发一个系统来分析由相关外

部信息支持的内部交易和市场信息。该系统提供了对所有交易活动风险的总体看法，允许对部门、客户和交易

员进行深入分析。它还允许银行对相对风险进行量化。该系统满足了该实体的企业风险管理要求，并使银行能

够把曾经使完全不相关的数据集中起来，更有效地应对风险。

•减少意外和损失。企业风险管理使组织能够提高识别潜在风险和建立适当的反应机制的能力，减少意

外和相关成本或损失。例如，一家制造公司向客户提供准时交货的零件，供其在生产中使用，如果不能按时交

货，就有可能受到处罚。为了应对这一风险，该公司通过评审交付时间、典型交付路线和交付车队的计划外维

修等因素来评估其内部运输流程。该公司利用调查结果为其配送车队制定维护计划，在高峰时段之外安排配送,

并设计关键路线的备选方案。认识到不是所有的交通延误都可以避免，它还制定了协议，向客户警告可能出现

5

的延误。这种情况下，通过管理层在其能力范围内影响风险（生产和调度）并适应其直接影响以外的风险（交

通延误）来提高绩效。

・减少绩效的波动性。对于有些实体而言，挑战不是来自于意外和损失，而是来自于绩效的波动。而且,

绩效的提前或超出预期，与绩效的落后或达不到预期一样，都会造成严重的问题。例如，在公共交通系统中，

当公共汽车或火车提前10分钟发车时,乘客会和迟到10分钟时一样恼火,这两种情况都可能导致乘客错过接驳。

为了管理这种可变性，交通调度员在时间表中建立了自然停顿。无论他们何时到达，司机都会在指定的站点等

待，直到设定的时间。这样做有助于解决出行时间的可变性，改进整体绩效和乘客对公交系统的的看法。风险

管理让组织预测风险，并且落实必要的措施以使干扰最小化。

•优化资源分配。获得有效的风险信息，使得管理层能够评估总体资源需求，提高资源分配效率。例如，

一家下游天然气配送公司认识到，其老化的基础设施增加了发生天然气泄漏的风险。通过观察天然气泄漏相关

数据的趋势，该组织能够评估整个分销网络的风险。管理层随后制定了一项计划，以更换磨损的基础设施，并

修复那些剩余使用寿命的部分。这种方法使公司能够保持基础设施的完整性，同时在较长的时间内分配大量的

额外资源需求。

•增强企业的应变能力。企业的长期生存和发展，取决于企业对风险的预测和应变能力。随着变革的加

快和业务复杂程度的增加，风险管理能够有效地增强企业的应变能力。

请记住，将企业风险管理与战略制定和绩效管理相整合的好处因实体而异。没有适用于所有实体的“一刀

切”方法。然而，实施企业风险管理通常有助于组织实现其绩效和盈利目标，并防止或减少资源损失。

企业风险管理与适应、生存和繁荣的能力

每个实体都在变化的环境中着手实现其战略和业务目标。市场全球化、技术突破、兼并和收购、资本市场

波动、竞争、政治不稳定、劳动力能力和监管等因素，使我们很难了解该战略和业务目标的所有可能风险。

因为风险总是存在并且总是在变化，所以追求目标可能很困难。虽然组织不可能管理风险的所有潜在结果，

但他们可以改进如何适应不断变化的环境，这有时被称为组织可持续性。本框架（见第6章至第10章）在创造、

保持和实现价值的大环境下纳入了这一概念。

企业风险管理的重点是管理风险以减少事件发生的可能性，以及管理事件发生时的影响。"管理影响"可能

需要组织随机应变。在某些极端情况下，这可能包括实施危机管理计划。

例如，假设游轮运营商担心其船只在海上可能发生病毒疫情。游轮没有能力在疫情爆发时隔离乘客，但它

可以执行程序，最大限度地减少细菌的传播。然而，尽管在全船安装了洗手台，提供了洗衣设施，并每天对扶

手、盥洗室和其他公共区域进行消毒，但病毒疫情仍然可能而且确实会发生。该组织通过实施具体的协议来应

对。首先，升级船上常规的清洁和消毒工作。一旦船舶进港，所有乘客都必须下船，以便由受过专门培训的人

员对整艘船进行消毒。然后，根据发现的病毒菌株更新清洁协议。推迟下一班出发的游轮，直到所有清洁协议

6

得到解决。在大多数情况下，延迟时间不超过48小时。通过建立强大的企业风险管理能力来立即应对和适应每

一种独特的情况，公司能够将影响降到最低，同时保持乘客对邮轮公司的信心。

有时，当事件发生时，组织无法在短期内恢复正常运营。在这种情况下，组织必须采取长期解决方案。例

如，假设-一艘游轮在海上因火灾而瘫痪。与病毒爆发只影响到少数乘客的情况不同，火灾影响到所有乘客。可

能立即需要医疗援助、食物、水和住所，甚至需要呼吁所有船上的乘客下船。由于船舶很少在同一个地方，常

规危机应对计划可能不太奏效，因为每个地点和类型的事故都会带来不同的挑战。然而，通过安排其船队的位

置和错开出发时间，公司可以保持船舶在24小时内总是在港口或另一艘邮轮的路线。这种重叠使该公司能够迅

速重新部署船舶和船员，以协助处理紧急情况。

如果管理层花时间去预测很可能发生、可能发生和不可能发生的事情，就会处于更有利的位置。适应变化

的能力使组织更具弹性，在面对市场和资源限制时能够更好地发展。这种能力还可以使管理层有信心增加组织

愿意接受的风险量，并最终促进增长和增加价值。

7

2理解术语：风险和企业风险管理

定义风险和不确定性

不知道实体的战略和业务目标可能会受到潜在事件的影响，这就存在风险。事件发生（或不发生）的风险

会产生不确定性。在企业中，当实体着手实现未来战略和商业目标时，就存在不确定性。在这种情况下，风险

被定义为：

事件发生并影响战略和业务目标实现的可能性。

・事件：一个或一组事项的发生。

・不确定性：不了解潜在事件可能或不可能出现的状态。

・严重程度。对考虑因素的衡量，如事件的可能性和影响，或从事件中恢复所需的时间。

本页的方框包含了扩展和支持风险定义的术语。本框架（第6章至第10章）强调，风险与事件的可能性有关,

通常从严重程度方面考虑。在某些情况下，风险可能与未发生事件的预期有关。

在风险方面，事件不仅仅是常规交易；它们是更广泛的业务事项，如治理和运营模式的变化，地缘政治和

社会影响以及合同谈判等。有些事件是显而易见的一一利率的变化，竞争对手推出新产品，或网络攻击。其他

事件则不那么明显，特别是当多个小事件组合起来形成一种趋势或状况时。例如，可能很难确定与全球变暖有

关的具体事件，但人们普遍认为这种情况正在发生。在某些情况下，组织可能甚至不知道或无法确定可能发生

什么事件。

组织通常关注那些可能导致负面结果的风险，如火灾造成的损失、失去关键客户或出现新的竞争对手。然

而，事件也可能有积极的结果，这些也必须加以考虑。同样，有利于实现一个目标的事件同时也可能对实现其

他目标构成挑战。例如，一个产品的推出，其需求量高于预测，这就给供应链管理带来风险，如果公司无法提

供产品，可能会导致客户不满意。

有些风险对实体的影响很小，而有些风险的影响较大。企业风险管理的作用是识别和关注那些可能阻碍价

值创造、保持和实现或者侵蚀现有价值的风险。企业风险管理有助于组织寻求与风险相关的潜在机会。

企业风险管理在此定义为：

组织在创造、保持、实现价值的过程中赖以进行风险管理的，整合战略制定和执行的文化、能力和实践。

对企业风险管理的定义进行更深入的研究，强调其重点是通过以下方式管理风险：

•认可文化和能力：

・应用实践；

•与战略制定和执行相整合；

•管理战略和业务目标的风险；

8

・与创造、保存和实现价值相关联。

认可文化和能力

文化是企业风险管理的一个关键方面。文化是由实体的各级人员通过他们的言行来培育和塑造的。正是人

确定了实体的使命、战略和业务目标，并切实践行企业风险管理。同样，企业风险管理也影响着人的行为。每

个人都有一个独特的参考点，这影响着他们如何识别、评估和应对风险。企业风险管理帮助人们理解实体战略

和业务目标环境下的风险。

同样，企业风险管理为组织提供了一种核心能力。组织追求各种竞争优势，为实体创造价值。企业风险管

理有助于组织开发所需的技能，以执行实体的使命和愿景，并预测可能阻碍组织成功的挑战。一个有能力适应

变化的组织，在面对市场和资源限制时，更有弹性且更有能力发展。

应用实践

企业风险管理并不是静止的，也不是企业的附属品。相反，它是持续的，适用于整个活动范围以及特定项

目和新举措。它是实体各级管理决策的一部分。

企业风险管理中所采用的实践是从实体的最高层应用开始的，并向下贯穿于各个部门、业务单位和职能部

门。这些实践旨在帮助实体内的人员更好地理解其战略、己设定的业务目标、存在的风险、可接受的风险量、

风险如何影响绩效以及如何管理风险。反过来，这种理解支持各级决策，并有助于减少组织的偏差。

与战略制定和执行相整合

组织制定的战略符合并支持其使命和愿景。它还制定从战略出发的业务目标，并逐级分解到实体的业务单

位、部门和职能。最高层将企业风险管理与战略制定相整合，管理层考虑每个战略对实体风险概况的影响。管

理层特别考虑通过创新和新兴追求而产生的任何新机会。

但企业风险管理并没有就此止步，它继续存在于实体日常工作中，这样做可能会实现巨大收益。与“分层”

企业风险管理程序相比，组织将企业风险管理整合到口常工作中更有可能降低成本。在竞争激烈的市场中，这

种成本节约对企业成功至关重要。此外，通过将企业风险管理嵌入实体结构中，管理层可能会发现新的业务增

长机会。

企业风险管理还可与其他管理过程相整合。特定任务需要具体的行动，如业务规划、运营和财务管理。例

如，考虑信用和货币风险的组织，可能需要开发模型并获取分析所需的大量数据。通过将这些行动与实体的运

经营活动相整合，企业风险管理就会变得更加有效。

管理战略和业务目标的风险

企业风险管理是实现战略和业务目标的有机组成部分。设计良好的企业风险管理实践为管理层和董事会提

供了一个合理的预期，即他们能够实现实体的整体战略和业务目标。认识到没有人可以精确地预测风险,有合理

的预期意味着实现战略和业务目标的不确定性的大小适合该实体。

9

即使拥有强大的企业风险管理实践的实体也会遇到不可预见的挑战，包括经营失败。然而，健全的企业风

险管理实践将提高管理层对实体实现其战略和业务目标能力的信心。

与创造、保存和实现价值相关联

组织必须根据其风险偏好来管理战略和业务目标的风险，也就是说，在广泛的层面上，组织在追求价值时

所愿意接受的风险类型和数量。具体而言，风险偏好为鼓励组织实施或不实施的实践提供指导。风险偏好设定

了适当实践的范围，而不是规定一个限制。不同的策略将使实体面临不同的风险或不同数量的类似风险。

3企业风险管理和战略

当企业风险管理和战略制定相整合时，组织就能更好地理解：

・使命、愿景和核心价值观如何形成可接受类型和风险量的初始表达，以供制定战略时考虑。

・战略和业务目标与使命、愿景和核心价值观不一致的可能性。

・执行其战略和实现业务目标的风险类型和数量。

图3.1说明了在使命、愿景和核心价值观的环境下制定战略，以及实体总体方向和绩效的驱动因素。

图3.1环境中的战略

略

自

不

战

一

致

略

的

选

可

择

、能

的绩效的提高

在战略中形成可接受风险/性

影

的初始表达，/

/

战略执行的风险

使命、愿景和核心价值观

实体的使命、愿景和核心价值观决定了它努力成为什么样的企业以及它希望如何开展业务。他们向利益相

关方传达实体的宗旨。对于大多数实体来说，使命、愿景和核心价值随着时间的推移保持稳定，在战略规划期

间，它们通常会得到重申。然而，使命、愿景和核心价值观可能会随着利益相关方的期望变化而变化。例如，

一个新的执行管理团队可能会对使命提出不同的想法，以增加实体的价值。

・使命：实体的核心宗旨，它确定了实体想要实现的目的和存在的理由。

・愿景：实体对其未来状态的愿望，或该组织在一段时间内要实现的目标。

10

・核心价值观：实体关于什么是好的或坏的，什么是可接受或不可接受的信念和理想，它影响着该

组织的行为。

在框架（第6章至第10章）中，使命和愿景是在组织制定和实施其战略和业务目标的环境下考虑的。核心价

值观是在实体希望采纳的文化环境下考虑的。

与战略相一致的重要性

使命和愿景都为实体提供了可接受的风险类型和数量的最高视角。它们帮助组织建立边界，并关注决策如

何影响战略。一个理解其使命和愿景的组织可以制定能够产生预期风险概况的战略。

考虑图3.2中医疗保健提供者的陈述。

图3.2:使命、愿景和核心价值观示例

・使命：通过提供高质量的护理、全方位的服务以及方便、快捷、卓越的患者服务和同情心，改进

我们所服务对象的健康。

・愿景：我们的医院将成为医生和患者的首选医疗服务机构，以提供无与伦比的质量、提供著名的

服务以及成为绝佳的行医场所而闻名。

・核心价值观：我们的价值观是我们所有思想和言行的基础。我们将以尊重、诚实、同情和负责的

态度对待我们的医生、病人和同事。

这些陈述指导组织确定其可能遇到和接受的风险类型和数量。例如，该组织将考虑与提供高质量护理（使

命）、提供方便、快捷的服务（使命）以及成为行医场所（愿景）相关的风险。考虑到该组织对质量、服务和

各种技能的高度重视，该组织可能会寻求一种与医疗质量和病人服务有关的低风险战略。这可能意味着提供住

院和/或门诊服务而非主要的在线服务。另一方面，如果该组织在创新患者护理方法或先进交付渠道方面阐述其

使命，那么它可能己经采用了具有不同风险概况的战略。

简而言之，实体的战略应该与其使命、愿景和核心价值观保持一致，或者支持其使命、愿景和核心价值观。

如果战略不一致，组织实现其使命和愿景的能力就会大大降低。即使成功地执行了（不相一致的）战略，也可

能发生这种情况。例如，就图3.2所示的医疗保健公司而言，如果它采取的战略是专注于成为特定领域的最佳专

家服务提供者，那么它成功提供全方面患者服务的可能性就会降低。

整合企业风险管理可以帮助实体避免战略错位。它可以为组织提供洞察力确保其选择的战略支持该实体更

广泛的使命和愿景，供管理层和董事会考虑。

评估备选策略

企业风险管理并不创建实体的战略，但它告知组织与所考虑的备选战略相关的风险以及最终所采用的战略。

组织需要评价所选战略如何影响实体的风险概况，特别是组织可能面临的风险类型和数量。

11

在评价战略可能产生的潜在风险时，管理层还会考虑他们所做的、构成所选战略基础的关键假设。企业风

险管理对假设变化的敏感性提供了宝贵的见解；也就是说，这些变化对实现战略的影响是小还是大。

再考虑一下前面讨论过的医疗机构的使命和愿景，以及它们是如何层层展开到实体的战略中的（图3.3）。

图3.3：战略声明示例

我们的战略：

•通过提高各种服务的质量，为患者创造最大价值

•遏制成本增长趋势。

•整合运营效率和成本管理措施。

・协调医生和临床整合。

・充分利用临床项目创新。

・发展战略伙伴关系。

•管理患者服务提供，并在可行的情况下减少等待时间。

利用图3.3所示的声明，组织可以考虑所选战略可能带来的风险。例如，与医疗创新相关的风险可能会更加

明显，提供高质量护理能力的风险可能会在成本管理措施之后上升，而与管理新伙伴关系相关的风险可能对组

织来说是新的。这些风险和许多其他风险都是战略选择的结果。仍然存在的问题是，该实体是否有可能通过这

一战略实现其使命和愿景，或者是否存在着实现既定目标的较高风险。

执行战略的风险

执行战略总是有风险的，这是每个组织都必须考虑的。在这里，重点是理解所制定的战略及其相关性和可

行性有哪些风险。有时，风险变得足够重要，以至于组织可能希望重新审视其战略，并考虑对其进行修订或选

择具有更合适风险概况的战略。

执行战略的风险还可以从业务目标的角度来看待。目标是识别和评估风险的基础。组织可以使用各种技术

来评估风险，但只要有可能，就应该努力使用某种衡量标准，然后对每个目标使用相同或相似的衡量单位。这

样做将有助于使风险的严重程度与既定的绩效衡量标准相一致。

在评估执行战略的风险时，管理层制定了诸如财务绩效、客户满意度、学习和成长以及合规性等业务目标,

并将这些目标分配给实体的不同部分。例如，在图3.2中介绍的示例中，医疗保健公司的业务目标是提供高质量

的患者护理。因此，该组织考虑了与员工能力、医疗保健和治疗、医疗立法改革、电子健康记录获取等相关的

风险。

实体的治理和运营模式也会影响组织识别、评估和应对战略实现的风险的能力。无论采用何种模式，实体

都必须了解这种影响。

治理与运营模式

12

实体的治理模式规定并确立了权力、职责和责任。它使所有层面的角色和职责与运营模式相一致一从董事

会到管理层、各部门、运营单位和职能部门。企业风险管理有助于让所有层面了解战略的潜在风险以及组织如

何管理这些风险。

运营模式描述了管理层如何组织和执行其日常运营。它通常与法律结构和管理结构保持一致。通过运营模

式，员工负责制定和实施管理风险的实践，并与实体的核心价值保持一致。这样，运营模式有助于管理战略风

险。

法律结构

实体的法律结构如何影响其运营方式，不同的法律结构可能更适合或不适合，这取决于各种因素，包括实

体的规模和任何相关的监管、税收或股东结构。小实体可能作为一个单一的法律实体运营。大型实体可能由儿

个不同的法律实体组成，在这种情况下，如果风险不从不同的法律模式中汇总，就可能被分离开来。

管理结构

可能影响管理结构的因素包括监管要求、税务影响、报告要求、劳动力的可用性和流动性、地域集中和重

点、市场竞争力、资本可用性以及产品或服务的复杂性。例如，一家跨国银行可能有不同的核心产品和服务，

如抵押贷款、零售银行和信用卡。该银行在不同的法律实体中提供这些核心产品。另一个实体可能会选择根据

地理区域进行组织。例如，一个大型的全球饮料公司可以按照北美、拉美、欧洲、非洲和亚太地区的地域进行

运营和报告。

通过价值链来管理风险

以上讨论的重点是通过业务模式来管理执行战略的风险。但有些组织会从价值链模式的视角来看待企业风

险管理。传统上，在这种模式下，组织会分析在哪里以及如何创造价值以获得竞争优势。组织可以通过价值链

的不同部分创造价值。一个实体可以通过拥有卓越的分销能力来创造价值，另一个实体可以通过营销来创造价

值，还有一个实体可以通过反复提供创新产品的能力来创造价值。

企业风险管理可应用于整个价值链。在这种情况下，实体分析风险如何影响整个价值链的战略和业务目标

的实现。这种分析使组织能够确定执行实体战略所需的能力，并最终创造、保持和实现价值。

4考虑风险和实体绩效

风险与不确定性

"绩效"描述了如何根据预先设定的目标来衡量行动的执行情况。始终存在与绩效目标相关的风险。

无论实体绩效的水平如何，都存在不确定性。或者，反过来说，存在的不确定性的数量预计特定数量的绩

效风险。例如，大规模的农业生产者对其生产满足客户需求和实现盈利目标所需数量的能力会有一定数量的不

13

确定性。同样，航空公司一定数量也有一定程度的不确定性。然而，航空公司可能不太确定他们是否能运营90弱

甚至80%的计划内航班。在这两个例子中，每一个绩效水平一一生产量和航班运营都存在许多不确定性。

风险通常用图形描述为与绩效水平相交的一个点。然而，这并不能说明风险的数量如何变化，从而影响实

体的绩效。如果预期绩效水平发生变化，风险的严重程度也会随之变化。

理解风险概况

实体的风险概况提供了对实体特定层次或业务模式的某一方面的风险的综合看法。这种综合看法使管理层

能够考虑风险的类型、严重程度和相互依赖性，以及它们可能如何影响相对于战略和业务目标的绩效。

风险和绩效之间的关系很少是线性的和一对一的。绩效目标的递增变化并不总是导致风险的相应变化，因

此，单点说明并不总是有用的。风险概况的更真实表示（有时用图形表示）说明了与不同绩效水平相关的风险

总量。这样的表述将风险视为一个相继的潜在结果，组织必须据此平衡实体的风险量及其所期望的绩效。

描述风险概况有几种方法。本框架（第6章至第10章）使用了一种方法（如图所示）来说明企业风险管理各

方面之间的关系。

图4.1:风险概况

目标

绩效

在图4.1中，每根柱子代表了一个特定绩效点的风险概况。垂直目标线描述了组织选择的绩效水平，作为战

略制定的一部分，它通过业务目标和指标来表达。

如图4.1所示，风险概况呈上升趋势，代表与以下方面相关的业务目标：

・石油和天然气勘探。新的石油和天然气储量的勘探工作面向越来越偏远和无法进入的地区，石油和天

然气公司油气公司在寻找资源时可能面临更大的风险。

・矿业开采。随着矿山数量的增长以满足全球需求，或采矿作业变得更加复杂，国际矿业公司可能会看

到其全球运营的风险增加。

・招聘专家资源。随着实体的发展，与吸引和保留其员工队伍中的专业知识和经验有关的风险也在增加。

14

・为基建工程和改进提供资金。在流动性差的市场，或消费者信任度低的地方，公司为基建工程、项目

或倡议获得资金的能力相关的风险增加。

然而，这里没有一个通用的风险概况模型或趋势。每个实体的风险概况将因其独特的战略和业务目标而异。

各组织可以利用他们的风险概况来更好地理解和讨论风险和绩效之间的内在关系。

表述风险偏好

风险偏好是企业风险管理的组成部分。它指导组织在追求价值过程中愿意接受的风险类型和数量的决策。

风险偏好的初始表达是实体的使命和愿景。风险偏好不是静止的，随着时间的推移，它会随着风险管理能力的

变化而变化。此外，选择战略和制定风险偏好的过程不是线性的，总是一个先于另一个。许多组织同时制定战

略和风险偏好，在整个战略制定过程中不断相互完善。

还没有适用于所有实体的通用风险偏好。一些实体从定性的角度考虑风险偏好，而其他实体则倾向于定量

的角度，通常侧重于平衡增长、回报和风险。无论描述风险偏好的方法是什么，都应反映实体的文化。对一个

实体来说，最好的方法是与用于评估总体风险的分析相一致，无论是定性还是定量。制定风险偏好声明是一项

在风险和机会之间寻找折衷的工作。

应由管理层来制定风险偏好声明。一些组织可能认为像"低偏好”这样的通用术语很明确，而另一些组织

可能发现这样的声明过于模糊，难以在整个实体内沟通和实施。随着组织在企业风险管理方面的经验越来越丰

富，风险偏好声明变得更加精确是很常见的。同样常见的是，组织制定一系列从总体风险偏好声明层层展开的

"子级”表述。这些较低层级的声明提供了更多的精确性，并使用诸如"目标"、〃范围"、"底线"或"上限"

等术语。这些声明可能包括：

・战略参数。考虑诸如要追求或避免的新产品、资本支出的投资以及并购活动等事项。

・财务参数。考虑财务绩效的最大可接受波动、资产回报率或风险调整后的资本回报率、目标债务评级

和目标债务/权益比率等事项。

・运营参数。考虑到诸如能力管理、环境要求、安全目标、质量目标和客户集中度等事项。

综上所述，这些考虑有助于制订实体的风险偏好，并提供比单一的、更高层次的声明更精确的信息。

图4.2将风险概况描述为一个实心区域（蓝色），从各个风险概况栏填充绩效轴的空间。还增加了一条显示

风险偏好的线。

图4.2:显示风险偏好和风险容量的风险概况

15

目标

绩效

■风险状况■风险偏好自风险容量

虽然这里介绍了风险偏好，但本框架列出了许多将风险偏好作为企业风险管理一部分应用的实例。风险偏

好的一些更重要应用包括：

•它有助于将可接受的风险量与组织管理风险的能力保持一致。

・它在制定战略和业务目标时的相关性，帮助管理层考虑业绩目标是否与可接受的风险量相一致。

・它与风险能力的相关性和一致性。

・它应用于以组合观评价的总体风险。

在对风险概况的任何描述上，各组织还可以绘制风险容量（如图4.2）,这是一个实体在实现战略和业务目

标时所能承受的最大风险量。在设定风险偏好时，必须考虑风险容量，因为通常组织会努力将风险偏好保持在

其容量范围内。组织通常不会将风险偏好置于其风险容量之上，但在极少数情况下，组织可能会接受破产和无

法在战略方向上生存的威胁，因为它明白成功可以创造相当大的价值。（关于风险概况的补充讨论见附录C）。

考虑可接受的绩效波动

与风险偏好密切相关的是可接受的绩效波动，有时也称为“风险容忍（度）"。这两个术语都是指与实现业

务目标相关的可接受结果的边界（包括超出目标的边界和落后于目标的边界）。图4.3说明了可接受的绩效绩效。

图4.3:显示可接受绩效波动的风险概况

16

目标

绩效

■风险状况■风险偏好■风险容量

理解可接受的绩效波动使管理层能够提高实体的价值。例如，可接受波动的右边界通常不应超过风险概况

与风险偏好相交的点。但是，如果正确的边界低于风险偏好，管理层可能能够改变其目标，并且仍在其总体风

险偏好范围内。最佳点是绩效可接受波动的右边界与风险偏好相交（图4.3中的“A”点）。

实际风险概况

使用风险概况有助于管理层确定在实现战略和业务目标时可以接受和管理的风险量。风险概况可帮助管理

层：

・鉴于组织管理风险的能力，找出最佳绩效水平（即组织对目标的定位）。

・确定与目标相关的可接受的绩效波动（即组织建立领先或落后的绩效目标）。

・了解实体风险偏好环境下的绩效水平（即组织相对于风险偏好的位置）。

・识别组织在哪些方面可以选择承担更多的风险以提高绩效。

虽然此处所示的风险概况数字意味着需要特定的精确水平，或许还需要数据来创建，但请记住，这些描述

也可以使用定性信息来开发。这样做有助于加强对风险、风险偏好、可接受的绩效波动以及与绩效目标的整体

关系的讨论。

17

5要素和原则

企业风险管理的要素和原则

本框架（第6至10章）由企业风险管理的五个相互关联的要素组成。图5.1说明了这些要素及其与实体的使

命、愿景和核心价值的关系，以及它们如何影响实体的绩效。企业风险管理不是静止的，而是循环往复的，它

被整合到战略规划和日常决策中。

企业风险管理

使命、愿景与核心战略与业务目标绩效的提高

价值观

风险治理与

文化

风险、战略和目标设定

执行中的风险

风龄信息、沟通和

报告

旅祝企业风险管理绩

效

图5.2:企业风险管理原则

18

风险治理和文化风险、战略和目标设定

7.考虑风险和业务环境

8.定义风险偏好

9.评估备选战略

1.董事会行使风险监督

10.制定业务目标的同时考

2.建立治理和运营模式虑风险

3.定义期望的组织行为11.规定可接受的绩效波动

4.证实对诚实和道德的承诺

企业风险管理

5.加强问责

6.吸引、发展并留住优秀的个体

使命、愿景与核心\战略与业务目标)绩效的提高

价值观/

/

执行中的风险风险信息、沟通和报告监视风险管理绩效

12.识别执行中

22.监视重在变更

的风险18.使用相关风险信息

23.监视企业风险管理

13.评估风险的严重19.充分利用信息系统

程度20.沟通风险信息

14.对风险进行优先排序21.报告风险、文化和绩效

15.识别和选择风险应对

措施

16.建立风险组合

观

17.评估执行中的风险

19

这五个要素是：

•风险治理和文化。风险治理和文化共同构成了企业风险管理的所有其他要素的基础。风险治理确

定了实体的基调，强化企业风险管理的重要性，并确定了监督取责。文化涉及道德价值观，期望的行为以

及对实体内风险的理解。文化反映在决策中。

・风险、战略和目标设定。通过制定战略和业务目标的过程，将企业风险管理整合到实体的战略规

划中。通过理解业务环境，组织可以深入了解内部和外部因素及其对风险的影响。组织在制定战略的同时

设定其风险偏好。业务目标将战略付诸实践，并决定实体的日常运营和优先事项。

・执行中的风险。组织识别和评估可能影响实体实现其战略和业务目标能力的风险。它根据风险的

严重程度并考虑到实体的风险偏好对风险进行优先排序。然后，组织选择风险应对措施，并监视绩效的变

化。这样，实体对追求其战略和业务目标的过程中所承担的风险量建立起一个组合观。

•风险信息、沟通和报告。沟通是获取信息并在整个实体中分享信息的持续、循环往复的过程。管

理层使用来自内部和外部的相关和高质量信息来支持企业风险管理。组织利用信息系统来获取、处理和管

理数据和信息。通过使用适用于所有要素的信息，组织报告风险、文化和绩效。

・监视风险管理绩效。通过监视企业风险管理绩效，组织可以考虑企业风险管理要素随着时间的推

移和重在变更的运行情况。

在这五个要素中有一系列的原则（如图5.2所示）。这些原则代表了与每个要素相关的基本概念。这些

原则被表述为各组织作为实体的企业风险管理实践的一部分而要做的事情。虽然这些原则是通用的，并构

成了任何有效的企业风险管理措施的一部分，但管理层在应用这些原则时必须作出判断。每个原则都在有

关要素的相应章节中详细介绍。

评估风险管理

组织应具备可靠的手段，向实体的利益相关方提供合理的预期，即能够将与战略和业务目标相关的风

险管理到可接受的水平。它通过评估现有的企业风险管理实践来做到这一点。除非法律或法规另有要求，

否则此类评估是自愿的。本框架（第6章至第10章）并不要求完成对企业风险管理总体有效性的评估，但它

确实为进行评估和作出合理结论提供了准则。

在评估过程中，组织可考虑：

・与企业风险管理有关的要素和原则已经存在并发挥作用。

•与企业风险管理有关的要素正在以整合方式共同运作。

・实施原则所需的控制措施存在并发挥作用。

20

为了实现战略和业务目标，在企业风险管理的设计和实施过程中，存在影响这些原则的要素、相关原

则和控制措施。实现这些原则的要素、相关原则和控制措施继续运行，以实现战略和业务目标。”共同运

行”指的是要素之间的相互依赖性以及它们如何协同运行。

评估企业风险管理有不同的方法.当评估是为了与外部利益相关方沟通而进行时，可以考虑框架（第6

章至第10章）中规定的原则。

在评估过程中，管理层还可以评审这些能力和实践的适宜性，同时牢记实体的复杂性和组织通过企业

风险管理寻求获得的收益。增加复杂性的因素可能包括实体的地理位置、行业、性质、实体内部变化的程

度和频率；历史绩效和绩效的变化、对技术的依赖以及监管监督的程度。

21

框架

6风险治理和文化

本章概要

风险治理和文化共同构成了企业风险管理的所有其他要素的基础。风险治理确定了实体的基调，强化

企业风险管理的重要性，并确定了监督职责。文化涉及道德价值观，期望的行为以及对实体内风险的理解。

文化反映在决策中。

与风险治理和文化的原则

1.董事会行使风险监督——董事会监督战略并履行风险治理职责，以支持管理层实现战略和业务目

标。

2.建立治理和运营模式——组织在追求战略和业务目标的过程中建立运营结构。

3.定义期望的组织行为-组织定义以实体核心价值观和风险态度为特征的期望行为。

4.证实对诚实和道德的承诺----组织证实对诚实和道德价值的承诺。

5.加强问责——组织要求各级人员对企业风险管理负责，并要求自身负责提供标准和指导。

6.吸引、发展并留住优秀的个体——组织致力于建设与战略和业务目标相一致的人力资本。

引言

实体的董事会在风险治理中发挥着重要作用，并对企业风险管理产生重大影响。如果董事会独立于管

理层，并且通常由经验丰富、技术娴熟、才华横溢的成员组成，那么在履行监督职责的同时，董事会可以

提供适当程度的行业、业务和技术投入。这种投入包括在必要时审查管理层的活动、提出不同的观点、挑

战组织的偏见，并在面对错误行为时采取行动。最重要的是，在履行其提供风险监督的职责时，董事会在

不介入管理层角色的情况下向管理层提出挑战。

对企业风险管理的另一个重要影响是文化。无论该实体是小型的家族式私营公司、大型复杂跨国公司、

政府机构或者非营利组织，其文化都反映了该实体的道德规范：价值观、信仰、态度、期望的行为和对风

险的理解。文化支持实体的使命和愿景的实现。具有风险意识文化的实体强调管理风险的重要性，并鼓励

风险信息的透明和及时流动。它在这样做的时候，没有责备，而是以一种理解、负责和持续改进的态度。

原则1:董事会行使风险监督

董事会监督战略并履行风险治理职责，以支持管理层实现战略和业务目标。

责任与职责

22

董事会对实体的风险监督负有首要责任，在许多国家，董事会对其利益相关方负有受托责任，包括对

企业风险管理实践进行评审。通常，全体董事会保留风险监督的职责，将管理和监督风险的日常职责留给

管理层或委员会，如风险委员会。无论结构如何，在章程中记录职责是很常见的，该章程规定了董事会的

责任与管理层的责任。

技能、经验和业务知识

董事会有能力提供适当的专业知识，并通过其集体技能、经验和业务知识理解和管理实体的风险。这

包括例如在必要时就战略、业务目标、计划和绩效目标向管理层提出适当的问题。它还包括与外部利益相

关方互动，提出备选观点和行动。

只有当董事会理解实体的战略和行业，并随时了解影响实体的因素时，才有可能进行风险监督。随着

战略和业务环境的变化，经营模式中的风险以及战略和业务目标的风险也会随之变化。因此，董事会成员

的资格要求可能会随着时间的推移而变化。每个董事会必须自行确定并定期评审其是否具备适当的技能、

专业知识和结构，以提供有效的风险监督。例如，网络风险对大多数实体来说是一个现实，因此面临网络

风险的实体需要有董事会成员拥有信息技术方面的专业知识，或通过独立顾问或外部顾问获得所需的专业

知识。

独立性

董事会总体上必须独立才能有效•独立性使董事能够客观地评价实体的绩效和福利，而不存在任何利

益冲突或利益相关方的不当影响。董事会通过每一位董事会成员展示其个人客观性来证实其独立性（见示

例6.1）。

示例6.1：妨碍董事会独立性的因素

董事会成员的独立性可能会受到阻碍，如果他或她。

•在该实体中拥有大量的财务利益。

・目前或最近受实体雇用担任行政职务。

•最近以物质的方式为董事会提供建议。

・与实体有重大的业务关系，如作为供应商、客户或外包服务提供商。

・与实体有现有合同关系（除董事关系外）。

・向实体捐赠了大笔资金。

•与某实体内的主要利益相关方有业务或个人关系。

・担任其他实体的董事会成员，这代表了潜在的利益冲突。

23

独立董事会对管理层起着制衡作用，确保实体的运营符合其利益相关方的最佳利益，而不是少数董事

会成员或管理层的最佳利益。

企业风险管理的适宜性

重要的是，董事会要了解实体的复杂性，以及企业风险管理将如何帮助实体，包括它将获得什么好处。

企业风险管理的适宜性是指其将风险管理到可接受的程度的能力。董事会通过与管理层进行对话来确定企

业风险管理是否适合该实体的需要，从而帮助确定这些预期的收益。董事会还与管理层合作，确定运营模

式、报告关系和实现这些收益的能力。

例如，一些组织可能认为企业风险管理的好处是“获得对战略的风险的理解”。在这种情况下，管理

层会把企业风险管理的重点放在实现战略和业务目标的实践上一也许是减少意外和损失的方法，或者是减

少绩效波动。其他组织可能将企业风险管理的价值定义为“理解战略不一致的风险”。还有一些组织可能

认为企业风险管理的价值是“支持实现使命、愿景和核心价值的能力，以及所选战略对其风险概况的影响

在这种情况下，管理层将更多地关注战略的制定，并使企业目标与日常执行保持一致。

组织偏见

决策中的偏见一直存在，而且会一直存在。在一个实体中，经常会发现“群体思维”、主导人格、过

分依赖数字、忽视相反信息、对最近事件的过度重视以及规避风险或承担风险的倾向。因此，问题不是偏

见是否存在，而是如何管理企业风险管理中的偏见。董事会应了解存在的潜在组织偏见，并挑战管理层来

克服这些偏见。

原则2:建立治理和运营模式

组织在追求战略和业务目标的过程中建立运营结构。

运营模式和报告关系

组织建立了一个运营模式并设计了报告关系，以执行战略和业务目标。在设计运营模式中的报告报告

关系时，组织必须明确界定职责。组织还可能与可能影响报告关系的外部第三方建立关系（例如，战略商

业联盟或合资企业）。

不同的运营模式可能导致风险概况的不同看法，这可能会影响企业风险管理实践。例如，在分散经营

模式中评估风险可能表明风险很少，而在集中经营模式中的观点可能表明风险集中一一可能与某些客户类

型、外汇或税务风险有关。

组织在决定采用何种运营模式时考虑了这些因素和其他因素。这些因素还影响到运营单位和职能部门

内企业风险管理实践的设计。例如，董事会决定哪些管理角色与董事会之间至少有一条虚线，以便就所有

重要问题进行公开沟通。同样，在实体各个层面上规定直接报告和信息报告线。

建立和评价运营模式的因素可能包括：

24

•实体的战略和业务目标。

•实体业务的性质、规模和地理分布。

•与实体战略和业务目标相关的风险。

・对实体各级的权力、责任和职责的分配。

・报告线的类型（例如，直接报告/实线与二级报告）和沟通渠道。

・财务、税务、监管和其他报告要求。

企业风险管理结构

管理层根据实体的使命、愿景和核心价值，规划、组织和执行实体的战略和业务目标。因此，管理层

需要了解与战略相关的风险在整个实体中是如何发生的。收集这些信息的方法之一是将责任委托给委员会。

委员会成员通常是管理层任命或选举的高管或高级领导，每个人都贡献个人技能、知识和经验。委员会共

同提供风险监督。

结构复杂的实体可能有几个委员会，每个委员会都有不同但重叠的管理成员。然后，这种多委员会的

结构与运营模式和报告关系相一致，这使得管理层能够根据需要做出业务决策，并充分理解这些决策中的

固有风险。

无论建立何种特定的管理委员会结构，通常都会明确说明委员会的权力、作为委员会成员的管理成员、

会议的频率以及委员会关注的具体职责和