内部控制框架的新发展--企业风险管理框架

内部控制框架的新发展企业风险管理框架 (上海财经大学200083) (中南财经政法大学430060)【摘要】美国Treadway委员会的发起人组织委员会于2003年7月颁布了企业风险管理框架的讨论稿，并将于2004年4月颁布正式稿。该讨论稿是在1992年COSO委员会颁布的内部控制框架基础上，吸收各方风险管理研究成果基础上提出的，本文将主要讨论其与内部控制框架的区别及其主要内容。【关键词】风险管理框架内部控制框架风险管理内部控制2003年7月15日，美国COSO委员会在广泛吸收各国理论界和实务界研究成果的基础上，公布了企业风险管理框架(Enterprise Risk Management Framework)讨论稿，并将于2004年4月颁布正式稿。该讨论稿在1992年COSO的内部控制框架报告的基础上建立企业风险管理框架，将企业管理的重心由内部控制转向以风险管理为中心。对于新的风险管理框架与原内部控制框架既有区别又有联系，本文主要分析企业风险管理框架与内部控制框架的联系与区别，并简要说明企业风险管理框架的主要内容。一、 企业风险管理框架与内部控制框架的联系与区别自1992年美国COSO委员会发布内部控制框架（简称COSO报告）以来，该内部控制框架已经被世界上许多企业所采用，但理论界和实务界纷纷对内部控制框架提出一些改进建议，强调内部控制框架的建立应与企业的风险管理相结合 如Stephen J. Root, Beyond COSO Internal Control to Enhance Corporate Governance(1998); KMPG, Internal Control: a Practice Guide(1999); PricewaterhouseCoopers, Operational Risk Management: The Next Frontier(2001)等。新的企业风险管理框架就是在COSO1992年的研究成果内部控制框架报告的基础上，结合萨班斯奥克法案（Sarbanes-Oxley Act）在报告方面的要求，进行扩展研究得到的。普华永道的项目参与者认为，新报告中有60%的内容得益于COSO1992年报告所做的工作。但是，由于风险是一个比内部控制更为广泛的概念，因此，新框架中的许多讨论比92年报告的讨论要更为全面、更为深刻 GAP Enterprises, Ltd., New COSO Framework, 2003。此外，COSO在其风险管理框架讨论稿中也说明，风险管理框架建立在内部控制框架的基础上，内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制框架的范围更为广泛，是对内部控制框架的扩展，是一个主要针对风险的更为明确的概念。简单地看，相对于内部控制框架而言，新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素，即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要，新框架还要求企业设立一个新的部门风险管理部。新的风险管理框架比起内部控制框架，无论在内容还是范围上都有所扩大和提高，具体表现在：1提出一个新的观念风险组合观（An Entity-level Portfolio View of Risk）在单独考虑如何实现企业各个目标的过程中，企业风险管理框架更看重风险因素。除单独考虑各个风险因素之外，更有必要从总体的、组合的角度理解风险。企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总风险可以超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险。2增加一类目标战略目标，并扩大了报告目标的范畴内部控制框架将企业的目标分为三类经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同，财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖了企业编制的所有报告，既包括内部报告，也包括外部报告；既包括企业内部管理者使用的报告，也包括向外部提供的报告；既包括法定报告，也包括向其他利益相关者年的非法定报告；既包括财务信息，也包括非财务信息。此外，企业风险管理框架比内部控制框架增加了一个目标战略目标。该目标的层次比其他三个目标更高。战略目标来源于企业的任务或对未来的预期，经营、报告和合法目标都与其相关。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。3针对风险度量提出两个新概念风险偏好（Risk Appetite）和风险容忍度(Risk Tolerances)风险管理框架是针对企业目标实现过程中所面临的风险，对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看，风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。一般从定性的角度将风险偏好分为风险喜好、风险中性和风险厌恶三种类型。此外，企业也可以采用定量的方法对风险偏好进行衡量，反映企业的目标、收益与风险之间的关系并进行权衡。企业的风险偏好与企业的战略直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的风险偏好结合起来。不同的战略给企业带来的风险也不同，在企业战略制定阶段就进行风险管理，就是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现的过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。在确定各目标的风险容忍度时，企业应考虑相关目标的重要性，并将其与企业风险偏好联系起来。将风险控制在风险容忍度之内能够在更大程度上保证企业的风险被控制在风险偏好的范围内，也就能够从更高程度上保证企业目标的实现。4增加了三个风险管理要素，对其他要素的分析更加深入，范围上也有所扩大 企业风险管理框架新增了三个风险管理要素“目标制定”、“事项识别”和“风险反应”。此外，针对企业将管理的重心移至风险管理，风险管理框架更加深入地阐述了其他要素的内涵，并扩大了相关要素的范围。(1)目标制定(Objective Setting)在风险管理框架中，由于要针对不同的目标分析其相应的风险，因此目标的制定自然就成为风险管理流程的首要步骤，并将其确认为风险管理框架的一部分。（2）事项识别（Event Identification）企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素，而且可能在企业的各个层面上出现，并且应根据对实现企业目标的潜在影响来确认风险。但是，企业风险管理框架深入探讨了潜在事项的概念，认为潜在事项是指来自于企业内部和外部资源的，可能影响企业战略的执行和目标的实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇，而存在潜在负面影响的事项则称为风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因，对企业过去和未来的潜在事项以及事项的发生趋势进行计量。（3）风险反应(Risk Response)企业风险管理框架提出对风险的四种反应方案规避、减少、共担和接受风险。作为风险管理的一部分，管理者应比较不同反应方案的潜在影响，并且在接受的残存风险应在企业风险容忍度范围内的假设下，考虑风险反应方案的选择。在个别和分组考虑风险的各反应方案后，企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。（4）控制环境在控制环境要素上，企业风险管理框架更直接、更广泛地关注风险是如何影响企业的风险文化，无论是明确地还是无意地影响。企业的风险文化是企业员工共有的态度、价值、目标和行动的集合，它表明企业是如何认识风险的。（5）风险评估内部控制框架和企业风险管理框架都强调对风险的评估，评估特定风险发生的可能性和风险的潜在影响，但企业风险管理框架建议更加透彻地看待风险管理，即从固有风险和残存风险的角度来看待风险，对风险影响的分析则采用简单算术平均数、最差的情形下的估计值或者事项的分布等技术来分析。最好能够找到与风险相关的目标一致的计量单位进行计量，将风险与相关的目标联系起来。风险评估的时间基准应与企业的战略和目标相一致，如果可能，时间基准也应与可观测到的数据相一致。企业风险管理框架还要求注意相互关联的风险，确定一件单一的事项如何为企业带来多重的风险。正如前面所说，企业风险管理需要管理者建立一种企业总体层面上的风险组合观。在风险评估方面体现为，对各业务单位、职能部门、生产过程或相应的其他活动负责的各层管理者对其负责的部门或单位的风险应进行复合式评估，而企业高层管理者也应从企业总体层面上考虑相互关联的风险和企业的总风险。（6）信息和沟通企业风险管理框架扩大了企业信息和沟通的构成内容，认为企业的信息应包括来自过去、现在和未来潜在事项的数据。历史数据可以使企业将实际的经营成果与目标、计划和预期相比较，以深入了解企业在过去不断变化的市场条件下是如何经营的。现在状况的数据可以向企业管理者提供更多重要的信息，而未来潜在事项的数据和潜在的影响因素可以帮助完成对信息的分析。企业的信息系统的基本职能应以时间序列的形式收集、捕捉数据，其收集数据的详细程度则视企业风险识别、评估和反应的需要而定，并保证将风险维持在风险偏好的范围内。此外，由于各管理层是企业风险管理（或者内部控制）的组成部分，并为企业的风险管理（或者内部控制）提供信息，因此，两个框架对不同管理层的地位和责任都比较关注。但相对于内部控制框架，企业风险管理框架提出设立新的风险管理部门并规定了风险管理员的地位和职责，同时扩大了董事会的职责。总的来讲，新的框架强调在整个企业范围内识别和管理风险的重要性，强调企业的风险管理应针对企业目标的实现在企业战略制定阶段就予以考虑，而企业在对其下属部门进行风险管理时，应对风险进行加总，从组织的顶端、以一种全局的风险组合观来看待风险。此外，根据风险管理的需要，对企业目标进行重新的分类，明确战略目标在风险管理中的地位。二、 企业风险管理框架的主要内容COSO发布企业风险管理框架的目的与当初发布内部控制框架的目的相似，是由于实务界存在对统一的概念性指南的需要。目前，企业风险管理实务中没有统一的术语，在企业内部建立一个有效的风险管理框架时也没有任何普遍接受的原则作为指南。因此，美国COSO委员会于2001年1月设立了风险管理框架计划，该研究计划由普华永道会计师事务所牵头，在参考各国实务界和理论界风险管理研究成果的基础上，尝试建立一个风险管理的完整的概念性框架及详细的实务指南。COSO希望新的框架能够成为企业董事会和管理者的一个有用的工具，用来衡量企业的管理团队处理风险的能力，并希望该框架能够成为衡量企业风险管理项目是否有效的一个标准。所有的组织，无论是盈利组织还是非盈利组织，都是为了其利益相关者的利益而存在。对风险的持续确认和缓和，与确定抓住什么机遇一样，对保护和提高企业利益相关者的价值是至关重要的。不确定性既代表风险，也代表机遇，既存在使企业增值的可能，也存在使企业减值的风险。在实现企业目标的过程中，企业风险管理框架是一个帮助企业管理者有效处理不确定性和减少风险进而提高企业创造价值的能力的框架。1企业风险管理的定义企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。 The Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management Framework, 2003, P3这是一个广义的风险管理定义，适用于各种类型的组织、行业和部门。该定义直接关注企业目标的实现，并且为衡量企业风险管理的有效性提供了基础。该定义强调：（1）企业的风险管理是一个过程，其本身并不是一个结果，而是实现结果的一种方式。企业的风险管理并不是一个事项或环境，而是渗透于企业各项活动中一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。（2）企业风险管理是一个由人参与的过程，它不只是企业的政策、调查和表格，还涉及一个企业各个层次员工。（3）该过程可用于企业的战略制定。一个企业确定其对未来的预期和任务，并制定企业的战略目标。企业的战略目标是企业最高层次的目标，它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标而制定战略，并将战略分解成相应的子目标，再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时，管理者应考虑与不同的战略相关联的风险。（4）该风险管理过程应应用于企业内部每个层次和部门，企业管理者对企业所面临的风险应有一个总体层面上的风险组合观。为使企业的风险管理获得成功，一个企业必须从全局、从总体层面上考虑企业的各项活动。企业的风险管理应考虑组织内所有层面的活动，从企业总体的活动（如战略计划和资源分配）到业务部门的活动（如市场部、人力资源部），再到业务流程（如生产过程和新客户信用复核）。（5）该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好的范围内管理风险。（6）设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。不确定性和风险是与未来相关，但是没有人可以确切地预测未来。因此，即使建立风险管理框架，也只能提供合理保证。其原因在于人们在进行决策时的判断可能出错，对风险反应的决策和建立的控制需要考虑相关的成本和效益，由于人们简单的失误和错误可能出现企业的破产，可能由于两个或多个人的串通而绕过控制，管理者有能力忽视企业的风险管理决策等因素。这些限制使得董事会和管理者无法得到企业目标实现的绝对保证。（7）企业风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在于企业目标的实现。有效的风险管理可以为企业财务报告和合法性目标的实现提供合理的保证。这些目标的实现一般在企业的控制范围内，其实现依赖于相关活动执行的好坏。但是，战略性目标和经营性目标并不一定在企业的控制范围内。对于战略目标和经营目标，企业风险管理只能合理保证管理者和董事会及时了解企业目标实现的进度。总之，企业风险管理是一个过程，企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理八要素设计和执行是否正确的评估基础上的一个主观判断。企业的风险管理要有效，则其设计必须包括所有的八要素并得到执行。但是，各要素之间可能存在着相互抵消的作用，因此，这并不意味着在不同的企业间，不同企业的同一管理层次间，每一要素的执行都同样有效。企业风险管理可以从一个企业的总体来认识，也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部门的角度来看待风险管理，所有的八要素也都应作为基准包含在内。该讨论稿所讨论的概念可以应用于所有企业，无论其规模大小。某些中小企业所采用的风险管理要素的内容与大企业可能不同，但其风险管理仍旧有效。对于每个要素的应用，小企业采用的方法与大企业相比可能并不正式和也没有系统化，但是，无论企业的规模，其风险管理框架的设计都应包括该风险管理框架报告所讲的基本概念。2企业风险管理的构成要素企业风险管理包括八个相互关联的要素，各要素贯穿在企业的管理过程之中。根据管理者经营的方式，分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等。八要素所包含的内容可以用图1表示，该图也表示企业风险管理的业务流程。内部环境风险管理理念风险文化董事会操守和价值观对胜任能力的承诺管理方法和经营模式风险偏好组织结构职责和权限的分配人力资源政策和实务图1风险管理八要素的内容目标制定战略目标其他相关目标选择目标风险偏好风险容忍度事项识别事项影响战略及目标的因素方法和技术事项的相互依存性事项类别风险和机遇风险评估固有风险和残存风险可能性和影响方法和技术相关性风险反应确认风险反应方案对可能的风险反应方案进行评估选择反应方案风险组合观控制活动与风险反应相结合控制活动的类型一般控制应用控制特定主体信息与沟通信息战略和整合系统沟通监控个别评估持续评估（1）内部环境企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应。它还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。内部环境包含的内容很多，包括企业员工的价值观、人员的胜任能力和发展计划、管理者的经营模式、权限和职责的分配方式等。董事会是内部环境的重要组成部分，对其他内部环境要素有重要的影响。企业的管理者也是内部环境的一部分，其职责是建立企业风险管理理念，确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的初步行动结合起来。（2）目标制定根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中，其他相关目标是指除战略目标之外的其他三个目标，其制定应与企业的战略相联系。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。而企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且保证制定的目标与企业的风险偏好相一致。企业的目标可以分为四类：战略目标是企业的高层次目标，与企业的任务和预期相联系并支持企业的任务和预期。经营目标是指企业经营的有效性和效率，包括业绩目标和盈利性目标，根据管理者对企业结构和经营选择的不同而变化。报告目标指企业报告的有效性，包括内部和外部报告，既涉及财务信息，也涉及非财务信息。合法性目标是指企业是否符合相关的法律和法规。某些企业使用另一类目标“资源安全”目标，有时也叫“资产安全”目标。从广义上看，这一目标是防止企业资产或资源的损失，防止由于偷窃、浪费、无效率或仅仅是企业错误的商业决策等引起的损失。这里的商业决策错误包括以过低的价格出售产品、没有留住企业的关键员工、没有阻止对本企业专利权的侵害，或者是出现未预期的负债等等。这类广义的资产安全目标可以针对某些报告目的而收窄其范围，此时的资产安全概念可以仅仅指预防或及时防止对企业资产的未经授权的购买、使用或处置。(3)事项识别不确定性的存在，即管理者不能确切地知道某一事项是否会发生、何时发生或者事项的结果，使得企业的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的影响、负面的影响或者两者同时存在。有负面影响的事项是企业的风险，要求企业的管理者对其进行评估和反应。因此，风险是指某一对企业目标的实现可能造成负面影响的事项发生的可能性。对企业有正面影响的事项，或者是企业的机遇，或者是可以抵消风险对企业的负面影响的事项。机遇可以在企业战略或目标制定的过程中加以考虑，以确定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。（4）风险评估风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对于风险的评估应从企业战略和目标的角度进行。首先，应对企业的固有风险进行评估。固有风险是指企业没有采用任何管理措施可能使企业面临的风险。确定对固有风险的风险反应模式就能够确定对固有风险的管理措施。其次，管理者应在对固有风险采取有关管理措施的基础上，对企业的残存风险进行评估。残存风险是指管理者采取有关的管理措施后仍旧存在的风险。（5）风险反应风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险，降低风险发生的可能性或降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要的风险，企业都应考虑所有的风险反应方案，为风险反应方案的选择提供广泛的空间，这也是对现状提出挑战。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险，即从企业总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。这种组合风险观是相对于部门的目标和风险容忍度而言的。应用于各独立部门风险组合观，也可以被大多数高层管理者所采用，以决定企业总体的风险组合与相对企业目标而言的企业总体的风险偏好是否相等。（6）控制活动控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业为实现其商业目标而执行的过程的一部分。通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系列程序。每个主体都有其自己的一套目标和执行目标的方法，因此，其子目标、结构和相关的控制活动也会不同。即使两个企业有同样的目标和结构，由于每个企业的管理人员都不同，不同的管理人员在影响内部控制时使用不同的个人判断，他们的控制活动也很可能不同。而且，控制活动还会受企业所处的环境和行业、企业的复杂性、企业的历史和文化的影响。（7）信息和沟通来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通，包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。（8）监控对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行。所有风险管理的失效都会影响企业确定和执行战略的能力，影响企业实现其既定目标的能力。这里“失效”是指企业风险管理过程中值得注意的某种情形。失效可能代表一种预期的、潜在的或真实的缺陷，或者代表加强风险管理过程的一个机会，以增加企业目标实现的可能性。对此，应将企业所有的风险管理失效都报告给适当的管理层，以保证其采取必要的措施以纠正风险管理失效。监控还包括对企业风险管理的记录，对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。企业风险管理的内容没有记录并不意味着风险管理无效或无法对风险管理进行评估。但是，适当的记录通常会使风险管理的监控更为有效果和有效率。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时，他们应考虑为企业风险管理设计一套记录模式并保持有关的记录。3风险管理要素和企业目标、企业内各层面及部门的关系企业的风险管理框架包括四类目标和八要素。四类目标分别是战略目标、经营目标、报告目标和合法性目标，八要素是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控，是企业实现各类目标的保证，它们相互之间存在直接的关系。而且，新的风险管理框架还强调在整个企业范围内实行风险管理。对此，可以用一个三维矩阵图来表示（如图2所示）。内部环境目标制定事项识别风险评估风险反应控制活动信 息 和 沟 通监控企业总体层面部门层面业务单位子公司标目略战报经营目标告目标标目法合图2风险管理八要素与企业目标、各层面及部门的关系4各管理层在企业风险管理中的地位和职责（1）董事会企业的管理者向董事会负责，而董事会对管理者履行管理、指导和监督职能。董事会是企业内部环境的一个组成部分，必须有保证风险管理有效的必要的组织结构和对风险管理的关注。通过选举管理者，董事会在界定其所期望的员工的操守和价值观时起主要作用，并能够通过监督活动证实其对员工的预期。同样，通过在某些关键的决策中保留其权限，董事会在制定战略、确定企业高层次的目标和进行广义的资源配置时起到一定的作用。董事会对企业的风险管理负有监督职责，主要通过以下方式实现其职责：了解管理者在企业内部建立有效的风险管理的程度；获知并认可企业的风险偏好；复核企业的风险组合观并与企业的风险偏好相比较；评估企业最重要的风险并评估管理者的风险反应是否适当。（2）管理者企业的首席执行官对企业的风险管理最终负责，即拥有企业风险管理的“所有权”。与企业内其他员工不同，首席执行官在企业的高层确定风险管理的基调，从而影响企业内部环境中的员工操守和价值观及其他因素。在大公司中，首席执行官通过向高级管理者分派领导权和提供指令并复核其管理企业的方式等来履行其职能。高级管理者会进一步将制定更具体的风险管理政策和程序的责任分派给负责各部门运行的管理者。在一个小企业，首席执行官既是企业的管理者，但同时也是企业的所有者，其对风险管理的影响则更为直接。（3）风险管理员风险管理员是指某一组织