企业风险管理-战略与绩效整合(中文版)

这五个要素是：风险治理和文化。风险治理和文化共同构成了企业风险管理的所有其他要素的基础。风险治理确定了实体的基调，强化企业风险管理的重要性，并确定了监督职责。文化涉及道德价值观，期望的行为以及对实体内风险的理解。文化反映在决策中。风险、战略和目标设定。通过制定战略和业务目标的过程，将企业风险管理整合到实体的战略规划中。通过理解业务环境，组织可以深入了解内部和外部因素及其对风险的影响。组织在制定战略的同时设定其风险偏好。业务目标将战略付诸实践，并决定实体的日常运营和优先事项。执行中的风险。组织识别和评估可能影响实体实现其战略和业务目标能力的风险。它根据风险的严重程度并考虑到实体的风险偏好对风险进行优先排序。然后，组织选择风险应对措施，并监视绩效的变化。这样，实体对追求其战略和业务目标的过程中所承担的风险量建立起一个组合观。风险信息、沟通和报告。沟通是获取信息并在整个实体中分享信息的持续、循环往复的过程。管理层使用来自内部和外部的相关和高质量信息来支持企业风险管理。组织利用信息系统来获取、处理和管理数据和信息。通过使用适用于所有要素的信息，组织报告风险、文化和绩效。监视风险管理绩效。通过监视企业风险管理绩效，组织可以考虑企业风险管理要素随着时间的推移和重在变更的运行情况。在这五个要素中有一系列的原则（如图5.2所示）。这些原则代表了与每个要素相关的基本概念。这些原则被表述为各组织作为实体的企业风险管理实践的一部分而要做的事情。虽然这些原则是通用的，并构成了任何有效的企业风险管理措施的一部分，但管理层在应用这些原则时必须作出判断。每个原则都在有关要素的相应章节中详细介绍。评估风险管理组织应具备可靠的手段，向实体的利益相关方提供合理的预期，即能够将与战略和业务目标相关的风险管理到可接受的水平。它通过评估现有的企业风险管理实践来做到这一点。除非法律或法规另有要求，否则此类评估是自愿的。本框架（第6章至第10章）并不要求完成对企业风险管理总体有效性的评估，但它确实为进行评估和作出合理结论提供了准则。在评估过程中，组织可考虑：与企业风险管理有关的要素和原则已经存在并发挥作用。与企业风险管理有关的要素正在以整合方式共同运作。实施原则所需的控制措施存在并发挥作用。为了实现战略和业务目标，在企业风险管理的设计和实施过程中，存在影响这些原则的要素、相关原则和控制措施。实现这些原则的要素、相关原则和控制措施继续运行，以实现战略和业务目标。“共同运行”指的是要素之间的相互依赖性以及它们如何协同运行。评估企业风险管理有不同的方法。当评估是为了与外部利益相关方沟通而进行时，可以考虑框架（第6章至第10章）中规定的原则。在评估过程中，管理层还可以评审这些能力和实践的适宜性，同时牢记实体的复杂性和组织通过企业风险管理寻求获得的收益。增加复杂性的因素可能包括实体的地理位置、行业、性质、实体内部变化的程度和频率；历史绩效和绩效的变化、对技术的依赖以及监管监督的程度。框架风险治理和文化本章概要风险治理和文化共同构成了企业风险管理的所有其他要素的基础。风险治理确定了实体的基调，强化企业风险管理的重要性，并确定了监督职责。文化涉及道德价值观，期望的行为以及对实体内风险的理解。文化反映在决策中。与风险治理和文化的原则董事会行使风险监督——董事会监督战略并履行风险治理职责，以支持管理层实现战略和业务目标。建立治理和运营模式——组织在追求战略和业务目标的过程中建立运营结构。定义期望的组织行为——组织定义以实体核心价值观和风险态度为特征的期望行为。证实对诚实和道德的承诺——组织证实对诚实和道德价值的承诺。加强问责——组织要求各级人员对企业风险管理负责，并要求自身负责提供标准和指导。吸引、发展并留住优秀的个体——组织致力于建设与战略和业务目标相一致的人力资本。引言实体的董事会在风险治理中发挥着重要作用，并对企业风险管理产生重大影响。如果董事会独立于管理层，并且通常由经验丰富、技术娴熟、才华横溢的成员组成，那么在履行监督职责的同时，董事会可以提供适当程度的行业、业务和技术投入。这种投入包括在必要时审查管理层的活动、提出不同的观点、挑战组织的偏见，并在面对错误行为时采取行动。最重要的是，在履行其提供风险监督的职责时，董事会在不介入管理层角色的情况下向管理层提出挑战。对企业风险管理的另一个重要影响是文化。无论该实体是小型的家族式私营公司、大型复杂跨国公司、政府机构或者非营利组织，其文化都反映了该实体的道德规范：价值观、信仰、态度、期望的行为和对风险的理解。文化支持实体的使命和愿景的实现。具有风险意识文化的实体强调管理风险的重要性，并鼓励风险信息的透明和及时流动。它在这样做的时候，没有责备，而是以一种理解、负责和持续改进的态度。原则1：董事会行使风险监督董事会监督战略并履行风险治理职责，以支持管理层实现战略和业务目标。责任与职责董事会对实体的风险监督负有首要责任，在许多国家，董事会对其利益相关方负有受托责任，包括对企业风险管理实践进行评审。通常，全体董事会保留风险监督的职责，将管理和监督风险的日常职责留给管理层或委员会，如风险委员会。无论结构如何，在章程中记录职责是很常见的，该章程规定了董事会的责任与管理层的责任。技能、经验和业务知识董事会有能力提供适当的专业知识，并通过其集体技能、经验和业务知识理解和管理实体的风险。这包括例如在必要时就战略、业务目标、计划和绩效目标向管理层提出适当的问题。它还包括与外部利益相关方互动，提出备选观点和行动。只有当董事会理解实体的战略和行业，并随时了解影响实体的因素时，才有可能进行风险监督。随着战略和业务环境的变化，经营模式中的风险以及战略和业务目标的风险也会随之变化。因此，董事会成员的资格要求可能会随着时间的推移而变化。每个董事会必须自行确定并定期评审其是否具备适当的技能、专业知识和结构，以提供有效的风险监督。例如，网络风险对大多数实体来说是一个现实，因此面临网络风险的实体需要有董事会成员拥有信息技术方面的专业知识，或通过独立顾问或外部顾问获得所需的专业知识。独立性董事会总体上必须独立才能有效。独立性使董事能够客观地评价实体的绩效和福利，而不存在任何利益冲突或利益相关方的不当影响。董事会通过每一位董事会成员展示其个人客观性来证实其独立性（见示例6.1）。示例6.1：妨碍董事会独立性的因素董事会成员的独立性可能会受到阻碍，如果他或她。在该实体中拥有大量的财务利益。目前或最近受实体雇用担任行政职务。最近以物质的方式为董事会提供建议。与实体有重大的业务关系，如作为供应商、客户或外包服务提供商。与实体有现有合同关系（除董事关系外）。向实体捐赠了大笔资金。与某实体内的主要利益相关方有业务或个人关系。担任其他实体的董事会成员，这代表了潜在的利益冲突。独立董事会对管理层起着制衡作用，确保实体的运营符合其利益相关方的最佳利益，而不是少数董事会成员或管理层的最佳利益。企业风险管理的适宜性重要的是，董事会要了解实体的复杂性，以及企业风险管理将如何帮助实体，包括它将获得什么好处。企业风险管理的适宜性是指其将风险管理到可接受的程度的能力。董事会通过与管理层进行对话来确定企业风险管理是否适合该实体的需要，从而帮助确定这些预期的收益。董事会还与管理层合作，确定运营模式、报告关系和实现这些收益的能力。例如，一些组织可能认为企业风险管理的好处是“获得对战略的风险的理解”。在这种情况下，管理层会把企业风险管理的重点放在实现战略和业务目标的实践上--也许是减少意外和损失的方法，或者是减少绩效波动。其他组织可能将企业风险管理的价值定义为“理解战略不一致的风险”。还有一些组织可能认为企业风险管理的价值是“支持实现使命、愿景和核心价值的能力，以及所选战略对其风险状况的影响“。在这种情况下，管理层将更多地关注战略的制定，并使企业目标与日常执行保持一致。组织偏见决策中的偏见一直存在，而且会一直存在。在一个实体中，经常会发现“群体思维”、主导人格、过分依赖数字、忽视相反信息、对最近事件的过度重视以及规避风险或承担风险的倾向。因此，问题不是偏见是否存在，而是如何管理企业风险管理中的偏见。董事会应了解存在的潜在组织偏见，并挑战管理层来克服这些偏见。原则2：建立治理和运营模式组织在追求战略和业务目标的过程中建立运营结构。运营模式和报告关系组织建立了一个运营模式并设计了报告关系，以执行战略和业务目标。在设计运营模式中的报告报告关系时，组织必须明确界定职责。组织还可能与可能影响报告关系的外部第三方建立关系（例如，战略商业联盟或合资企业）。不同的运营模式可能导致风险状况的不同看法，这可能会影响企业风险管理实践。例如，在分散经营模式中评估风险可能表明风险很少，而在集中经营模式中的观点可能表明风险集中——可能与某些客户类型、外汇或税务风险有关。组织在决定采用何种运营模式时考虑了这些因素和其他因素。这些因素还影响到运营单位和职能部门内企业风险管理实践的设计。例如，董事会决定哪些管理角色与董事会之间至少有一条虚线，以便就所有重要问题进行公开沟通。同样，在实体各个层面上规定直接报告和信息报告线。建立和评价运营模式的因素可能包括：实体的战略和业务目标。实体业务的性质、规模和地理分布。与实体战略和业务目标相关的风险。对实体各级的权力、责任和职责的分配。报告线的类型（例如，直接报告/实线与二级报告）和沟通渠道。财务、税务、监管和其他报告要求。企业风险管理结构管理层根据实体的使命、愿景和核心价值，规划、组织和执行实体的战略和业务目标。因此，管理层需要了解与战略相关的风险在整个实体中是如何发生的。收集这些信息的方法之一是将责任委托给委员会。委员会成员通常是管理层任命或选举的高管或高级领导，每个人都贡献个人技能、知识和经验。委员会共同提供风险监督。结构复杂的实体可能有几个委员会，每个委员会都有不同但重叠的管理成员。然后，这种多委员会的结构与运营模式和报告关系相一致，这使得管理层能够根据需要做出业务决策，并充分理解这些决策中的固有风险。无论建立何种特定的管理委员会结构，通常都会明确说明委员会的权力、作为委员会成员的管理成员、会议的频率以及委员会关注的具体职责和运行原则。在小型实体中，企业风险管理的监督可能不那么正式，管理层更多地参与日常执行。权限和职责在只有一个董事会的实体中，董事会授权管理层设计和实施支持实现战略和业务目标的实践。反过来，管理层规定整个实体及其运营单位的角色和责任。管理层还规定与战略和业务目标相一致的个人、团队、部门、运营单位和职能的角色、职责和责任。在拥有双重董事会的实体中，监事会专注于影响业务的长期决策和战略。管理委员会负责监督日常运营，包括对高级管理层的监督和授权。与单一董事会治理模式类似，管理层规定整个实体及其运营单位的角色和职责。主要角色通常包括：担任管理角色的个人，他们有权和职责做出决策并监督业务实践，以实现战略和业务目标。在管理团队中，首席风险官通常是负责提供专业知识和协调风险考虑的个人。其他人员，他们了解实体的行为标准和责任范围内有关业务目标以及实体中各层面的相关企业风险管理实践。管理层授予权力和职责，使员工能够做出决策。管理层可能通过减少管理层次、将更多权力和责任下放给下级或与其他实体合作来定期重新审视其结构。明确界定权力很重要，因为它赋予人们在特定角色中按需行事的权力，但也对权力施加了限制。基于风险的决策在管理方面会得到加强，当管理层：只在实现实体的战略和业务目标所需的范围内授权（例如，新产品的评审和批准涉及业务和支持职能部门，与销售团队分开）。指定需要评审和批准的交易（例如，管理层可能有权批准收购）。将新兴风险作为决策的一部分（例如，在没有进行尽职调查的情况下，不接受一个新的供应商）。发展中的实体内企业风险管理随着实体的变化，它从企业风险管理中寻求的能力和价值也可能发生变化。企业风险管理应适应实体的能力，既要考虑组织所追求的目标，又要考虑其管理风险的方式。随着业务性质和战略的发展，运营模式自然会发生变化。因此，管理层要定期评价运营模式和相关的报告关系。当今世界信息技术不断发展，新的运营模式正在出现。标准运营模式可能很快就变成了“虚拟”的性质，大大减少了对物理位置的依赖，而更多地依赖于技术互联。这种转变需要研究风险如何也会随之转变：在决策哪个点考虑风险？这对战略和业务目标的实现有什么影响？管理层必须准备在新的运营模式下解决这些问题，并了解创新带来的变化将如何影响企业风险管理实践。原则3：定义期望的组织行为组织定义以实体核心价值观和风险态度为特征的期望行为。文化特征和期望行为实体的文化反映在其核心价值观和企业风险管理方法中。从制定和执行战略到影响日常工作的决策，整个实体的决策都体现了文化。实体的文化影响组织如何应用本框架：组织如何识别风险、接受什么类型的风险以及如何管理风险。建立一种所有员工都能接受的文化，即人们在正确的时间做正确的事情，这对于组织能够抓住机遇、将风险降至最低从而实现战略和业务目标至关重要。应由董事会和管理层来规定整个实体和内部个人的期望行为。文化驱动着日常决策中的期望行为，以满足内部和外部利益相关方的期望。成熟的文化并不意味着企业风险管理的模板方法。也就是说，一些经营单位的管理者可能准备承担更多的风险，而另一些单位的管理者则可能更保守。例如，一个积极进取的销售单位可能会把注意力集中在销售上，而没有仔细注意预期风险偏好之外的监管合规性；而合同单位的人员可能会把注意力集中在预期险偏好之内的全面合规性。这两个部门单独工作可能会对实体产生不利影响，但通过合作，他们可以在规定的风险偏好范围内作出适当反应，以实现战略和业务目标。许多因素形成了实体文化。内部因素包括（除其他因素外），实体员工之间和他们的管理者之间如何互动，标准和规则，工作场所的物理布局，以及现有的奖励制度。外部因素包括监管要求和客户、投资者和其他人的期望。所有这些因素都会影响到实体在文化波谱中的位置，其范围从厌恶风险到积极风险（见图6.1）。实体越接近积极风险的一端，其对实现战略和商业目标所需的风险类型和数量的倾向性和接受度就越高（另见示例6.2）。图6.1文化波谱风险厌恶风险中性风险喜好示例6.2：文化波谱核电站在日常运营中可能会有一种规避风险的文化。管理层和外部利益相关立都希望有关新技术和系统的决策能够谨慎作出，并高度重视细节和安全，以便为电厂的可靠性提供合理预期。对于核电站来说，进行大量投资于对运营管理至关重要的创新和未经验证的技术是不可取的。相比之下，对冲基金可能是一个风险喜好的实体。管理层和外部投资者将对绩效期望很高，需要承担潜在的严重风险，同时仍在实体的既定风险偏好范围内。拥抱风险意识文化管理层规定随着时间推移实现预期文化所需的特征，董事会提供监督和关注。组织可以通过以下方式拥抱风险意识文化：保持强大的领导能力。董事会和管理层重视在整个实体内建立正确的风险意识和基调。文化和风险意识不能仅从二线职能改变；组织的领导必须是变革的真正驱动力。采用参与式管理风格。管理层鼓励员工参与决策，讨论战略和业务目标的风险。对所有行动实施问责。管理层将问责政策形成文件并遵守这些政策，向员工证实，不容忍缺乏责任的行为，履行责任会得到适当的奖励。将风险嵌入决策中。管理层在做出关键业务决策时始终如一地应对风险，包括讨论和评审风险情景，以帮助每个人在最终确定决策之前了解风险的相互关系和影响。对实体所面临的风险进行公开和诚实的讨论。管理层并不认为风险是负面的，而是认为风险对实现战略和业务目标至关重要。鼓励整个实体的风险意识。管理层不断向员工传达信息，管理风险是他们日常职责的一部分，它不仅受到重视，而且对实体的成功和生存至关重要。公开沟通和报告风险：管理层对整个实体的风险保持透明。在风险意识文化中，员工知道实体的主张和他们可以运营的边界。他们可以公开讨论和辩论应该承担哪些风险来实现实体的战略和业务目标，结果是员工和管理层的行为与实体的风险偏好相一致。原则4：证实对诚实和道德的承诺组织证实对诚实和道德价值的承诺。在整个组织中设定基调组织的基调是企业风险管理的基础。如果没有一个强有力的、支持性的、由组织高层传达的、支持道德文化的基调，风险意识就会被逐渐削弱，对风险的反应可能不恰当，信息和沟通渠道可能会衰弱，监视实体绩效的反馈可能不会被听到或采取行动。基调是由管理层和董事会的经营风格和个人行为决定的。他们对风险的正式确认向组织传递了信息。当管理层和董事会的采取道德和负责任的行为并证实对解决不当行为的承诺时，他们他们会向每个人传达组织强烈支持诚信的信息。但是，如果存在个人不检点行为，缺乏对坏消息的接受能力，或薪酬计划不公平，那么发出的信息可能是漠不关心，这可能对文化产生负面影响并引发不当行为。员工员工可能会对什么是可接受的和不可接受的，以及对风险和风险应对措施，形成与管理层相同的态度。拥有一致的基调有助于组织对核心价值、业务驱动因素以及人员和业务伙伴的的期望行为达成共识。一致性有助于将组织凝聚在一起，以追求实体的战略和业务目标。但要保持一致的基调并不容易。例如，不同的市场和挑战可能需要不同的激励、评价和客户服务方法。这些因素可能会不时地给实体不同层面带来压力，从而导致基调的改变。（在大型实体中，这种基调的观点有时被称为"中间基调"）。然而，基调在整个实体中保持的一致性越高，在追求实体战略和业务目标时企业风险管理责任的绩效就越一致。建立和评价行为标准行为标准通过以下方式指导组织追求战略和业务目标。确定什么是可接受的和不可接受的。提供指导，以便在可接受和不可接受之间找到方向。反映法律、法规、标准和实体的利益相关方可能具有的其他期望，如企业的社会责任。道德期望和规范因地区和实体而异。因此，因此，管理层和董事会建立适当的标准和机制来遵守这些标准，其中包括应对潜在的不合规。然后将这些期望转化为组织声明，即行为准则。行为准则的目的是传达组织对道德和期望行为的期望，包括与企业风险管理和决策相关的行为。在面临困难的决策时，组织会评实其对应用行为准则的承诺。例如，当必须做出具有挑战性的决策时，组织可能会问以下问题。是否违反实体的行为标准？是否合法？我们是否希望我们的股东、客户、监管机构、外部各方或其他利益相关方了解此事？它是否会对个人或实体产生负面影响？实体的诚信标准和道德价值观应成为与员工进行各种形式沟通的核心信息：例如，政策、培训、雇佣或服务合同。一些组织要求员工正式确认收到并遵守标准。培训方案对建立行为标准也很重要。那些经常被认为是“最佳工作场所”且员工保留率高的实体通常会提供有关企业道德价值观的培训。通常，培训课程每季度或每半年进行一次，具体取决于新聘用的人员数量。在此类培训中，员工将了解到实体的道德氛围是如何形成的，以及直言不讳和提出隐忧的重要性。此外，还向员工提供诚信和道德价值如何帮助发现问题和解决问题的实例。有了行为标准，组织就可以评价对诚信和道德的遵守情况。例如，组织可以制定一项具有可衡量指标的政策，以监视和管理其按照核心价值观推动道德实体的能力。应对偏离标准的行为当行为标准没有得到遵守时，通常是由于以下原因之一：高层的基调没有有效传达期望。董事会未监督管理层遵守标准的情况。中层管理人员和职能经理没有与实体的使命、愿景、核心价值观、战略和风险应对措施保持一致。风险是战略制定和业务规划的事后考虑。绩效目标产生激励或压力，使道德行为受到损害。在重要的风险和合规事项上，没有明确的上报政策。调查和解决过度承担风险的程序不充分。存在管理层或人员有意或故意不合规的情况。一旦发现偏差，组织就会发出明确的信息，说明什么是可接受的、什么是不可接受的行为。偏离行为标准的行为必须得到及时和一致的处理（见例6.3）。示例6.3：发生偏离行为标准的情形对于一家全球性制药公司来说，研发（R&D）往往是最大的成本之一，因为产品的开发和上市可能需要10到20年的时间，需要大量的资金投入。在研究阶段，发现产品的许多副作用是很常见的。但是，如果研发部门没有向管理层披露所有潜在的副作用，以便他们可以做出知情的决策，从药物试验转向生产，并且药物已经上市，则可能会对实体产生严重影响。此外，研发部门未能披露可能会明显违反公司的预期行为。对偏差的反应将取决于偏差的大小，这由管理层考虑任何相关法律和行为标准后确定。应对措施可能包括警告员工并提供辅导，给予试用期甚至解聘。在所有情况下，实体的行为标准必须保持一致。一致性能确保实体的文化不受破坏。使文化、道德和个人行为保持一致如果建立一种管理层和员工“在正确的时间做正确的事”的文化是企业风险管理的基础，那么为什么有时会出错？即使在那些充分展现诚信和道德的实体中，丑闻和危机有时也会发生——损害声誉并最终导致组织无法实现其战略和业务目标。不道德的行为的发生有三个原因：好人犯错（出于困惑或无知），好人一时意志薄弱，坏人选择伤害。由于知道这三种情况中的任何一种都可能发生，组织必须调整道德和文化，以帮助人们避免错误和保持坚强的意志，并识别潜在的不法分子、个人或团体。这需要对风险进行适当的评估和优先排序，并制定详细的风险应对措施。使个人行为与文化保持一致至关重要。最有力的影响来自于管理层，他们创建并保持了组织的行动纲。组织“言出必行”明确地执行核心价值观和行为标准。关键是管理层要执行它声明是重要的事物，认识到最有效地建立文化的是隐性和微妙的过程。人们对行为强化的反应比对书面规则和政策的反应更好。文化和道德是实体实现其使命和愿景的能力不可或缺的组成部分，尽管文化是一种强大的力量，但它不是决定性的力量。个人决策以及个人责任是道德和企业风险管理的基础。保持沟通畅通并免于报复管理层有责任培养关于风险和风险承担期望的公开沟通和透明度。管理层表明，风险不是留待董事会讨论的问题。它通过向员工发出明确和一致的信息，即管理风险是每个人日常职责的一部分，它不仅受到重视，而且对实体的成功和生存也至关重要。公开的沟通和风险透明度使管理层和工作人员能够持续合作，在整个实体内分享风险信息。此外，管理层向董事会提供适当数量的风险信息，以衡量当前的企业风险管理实践是否适当。董事会只有在得到及时和完整的信息，并且沟通线畅通，能够与第一和第二责任线的管理层讨论风险问题时，才能进行风险监督。展现出公开沟通和透明度的实体为管理层和人员提供多种渠道，以报告对潜在不当或过度承担风险、业务行为或行为的隐忧，而无需担心报复或恐吓。实体还禁止对任何善意参与调查不符合行为标准的行为和不符合风险偏好的行为的个人进行任何形式的不适当的报复。从事不当或非法报复或恐吓行为的人员将受到纪律处分。原则5：加强问责组织要求各级人员对企业风险管理负责，并要求自身负责提供标准和指导。加强问责董事会最终要求首席执行官通过建立企业风险管理实践和能力来支持实现实体的战略和业务目标，对管理实体所面临的风险负责。首席执行官、首席风险官和其他管理层成员共同负责问责制的各个方面--从最初的设计到文化和企业风险管理能力的定期评估。企业风险管理的责任在实体所使用的每个结构中都有所体现。管理层向员工提供指导，使他们了解风险。管理层还通过传达对企业风险管理所有方面的行为期望来展示领导力。这种来自高层的领导有助于建立和加强责任、士气和共同宗旨。问责制体现在以下方面：管理层和董事会明确期望（例如，制定并执行行为准则）。管理层确保有关风险的信息在整个实体中流动（沟通如何做出决策以及如何将风险视为决策的一部分）。员工致力于实现集体业务目标（例如，使个人目标和绩效与实体的业务目标保持一致）。管理层应对偏离标准和行为（例如，对不遵守组织标准的人员进行解雇或采取其他纠正措施；启动绩效评价）。为自己负责在一些治理结构中，绩效目标从董事会逐级分解到首席执行官、管理层和其他人员，并在每个层面上对绩效进行评价。董事会评价首席执行官的绩效，首席执行官再评价管理团队，依次类推。在每个层面上，都会评估对行为标准和期望能力水平的遵守情况，并酌情分配奖励或采取纪律处分。董事会也可以进行自我评价，以评估其自身的优势，并确定改进企业风险管理的机会。在其他治理结构中，如双层董事会，监事会评价整个执行委员会及其每个成员的绩效；执行委员会评价直接向执行委员会报告的管理团队。奖励绩效个人承担责任的程度和奖励方式对绩效有很大影响。考虑到短期和长期业务目标的实现，应由管理层和董事会制定适合实体各级的激励措施和其他奖励。建立此类激励和奖励，需要适当地评估、优先排序风险并制定详细的风险应对措施。反之，根据激励计划，那些不遵守实体行为标准的个人将受到制裁，而不会得到晋升或其他奖励。加薪和奖金是常见的激励措施，但非货币性的奖励，如赋予更大的责任、透明度和认可也是有效的。管理层应根据组织的行为标准和期望行为，持续应用并定期评审组织的衡量和奖励结构。这样做时，个人和团队的绩效要根据规定的衡量标准进行评审，其中包括业务绩效因素和已证实的能力（见例6.4）。示例6.4：绩效、激励和奖励一个家族式的家具制造商正试图以其高质量的家具来赢得客户忠诚度。它让员工参与到降低生产缺陷率，并将其绩效措施、激励和奖励与经营单位的生产目标以及遵守所有安全和质量标准、工作场所安全法律、客户忠诚度计划和准确的产品召回报告的期望相一致。这样，实现客户忠诚度和销售高质量家具的业务目标、通过缺陷了解风险并考虑安全问题都与业务绩效、激励和奖励相一致。应对压力组织中的压力来自于许多方面。管理层为实现战略和业务目标而制定的目标，究其本质，也会产生压力。压力还可能发生在特定任务的常规周期中（例如，销售合同的谈判），有时可能是自我施加的。意外的外部因素，如经济的突然下滑，也会增加压力。压力既可以激励个人达到期望，也可以使他们担心不能实现战略和业务目标的后果。在后一种情况下，有可能出现个人规避流程或从事欺诈活动的风险。组织可以通过重新平衡工作量或适当增加资源水平来积极影响压力以降低这种风险，并继续宣传道德行为的重要性。压力过高最常与以下情况有关：不切实际的绩效目标，尤其是短期结果的目标。不同利益相关方的业务目标相互冲突。短期财务绩效回报和长期关注的利益相关方回报之间的不平衡，如企业的可持续发展目标（见例6.5）。示例6.5：压力的代价证实投资策略盈利能力的压力可能会导致交易员利用未经批准的产品承担非战略风险，以弥补已发生的损失。同样，急于将产品推向市场并迅速产生收入的压力可能会导致制药公司人员在产品开发或安全测试方面走捷径，这可能会对消费者有害，或导致接受度低或声誉受损。在考虑薪酬和激励措施时，应考虑对压力可能产生的负面反应。例如，投资经理代表其客户投资组合承担风险，而这些投资的绩效可能会显著影响实体的薪酬。与基金价值模式相比，基于基金金绩效的费用模式可能会导致实体内截然不同的行为。将个人薪酬与组织结构相结合，有助于实现战略和业务目标。反之，如果激励结构没有充分考虑到与组织结构相关的风险，就会产生不当行为。压力也会因变化而产生：战略、经营模式、收购或剥离活动以及业务环境的变化，这些变化通常是组织外部的，例如市场竞争对手的行动。管理层和董事会必须做好准备，在分配职责、设计绩效衡量标准和评价绩效时，酌情设定和调整压力。管理层有责任指导那些被他们授权的人人在经营过程中做出适当的决策。原则6：吸引、发展并留住优秀的个体组织致力于建设与战略和业务目标相一致的人力资本。建立和评价能力管理层在董事会的监督下，确定执行战略和业务目标所需的人力资本。了解所需的能力有助于确定应如何执行各种业务流程，以及应运用哪些技能。这首先是董事会相对于首席执行官，以及首席执行官相对于实体各部门、经营单位和职能部门的每个管理层和人员。也就是说，董事会评价首席执行官的能力，反过来，管理层评价整个实体的能力，并在必要时解决任何缺陷或过度。人力资源职能通过制定工作描述、角色和职责、促进培训和评价个人风险管理绩效，帮助提升能力。管理层在制定能力要求时考虑以下因素：企业风险管理的知识、技能和经验。适用于特定职位的判断性质和程度以及权限限制。不同技能水平和经验的成本和收益。吸引、发展并留住优秀的个体对能力的持续承诺得到了人力资源管理过程的支持并嵌入其中。不同级别的管理层建立了结构和程序，以：吸引。寻找必要数量且符合实体的风险意识文化、期望行为、运营风格和组织需求的候选人，以及有能力胜任拟定职位的候选人。培训。使个人能够发展和保持适合指定角色和职责的企业风险管理能力，加强行为标准和期望的能力水平，根据具体需求定制培训，并考虑多种传授技术，包括课堂教学、自学和在职培训。辅导。对个人在行为和能力标准方面的表现提供指导，使个人的技能和专长与实体的战略和业务目标保持一致，并帮助个人适应不断变化的内部环境和外部环境。评价。根据服务水平协议或其他商定的标准，衡量个人在实现业务目标和证实企业风险管理能力方面的绩效。留住。提供激励措施来激发个人，并加强期望的绩效和行为水平。这包括提供适当的培训和资格认证。在整个过程中，及时识别、评估和纠正任何不符合行为标准、政策、绩效预期和企业风险管理责任的行为。此外，组织必须持续识别和评估对实现战略和业务目标至关重要的角色。通过评估暂时或永久不派人担任某个角色的后果，来决定该角色是否重要。需要问的问题是：如果首席执行官的职位空缺，战略和业务目标将如何实现？为继任做准备为准备继任，董事会和管理层必须制定应急计划，分配对企业风险管理至关重要的职责。特别是，需要为关键高管制定继任计划，并对继任候选人进行培训、辅导和指导，以使其承担该角色。通常，较大的实体会确定不止一个可以担任关键角色的人。风险、战略和目标设定通过制定战略和业务目标的过程，将企业风险管理整合到实体的战略规划中。通过理解业务环境，组织可以深入了解内部和外部因素及其对风险的影响。组织在制定战略的同时设定其风险偏好。业务目标将战略付诸实践，并决定实体的日常运营和优先事项。风险、战略和目标设定7.考虑风险和业务环境——组织考虑业务环境对风险状况的潜在影响。8.定义风险偏好——组织在创造、保持和实现价值的环境下定义风险偏好。9.评估备选战略——组织评估备选战略和对风险状况的影响。10.制定业务目标的同时考虑风险——组织在制定符合和支持战略的各级业务目标时考虑风险。11.规定可接受的绩效波动——组织规定与战略和业务目标相关的可接受的绩效波动。引言评估战略和业务目标是否与使命、愿景和核心价值观相一致可能是一个挑战，但这是一个必须接受的挑战。通过将企业风险管理与战略制定相整合，组织可以深入了解与战略及其执行相关的风险状况。这样做可以指导组织，有助于加强战略及其执行。原则7：考虑风险和业务环境组织考虑业务环境对风险状况的潜在影响。理解业务环境组织在制定战略以支持其使命、愿景和核心价值观时，会考虑业务环境。“业务环境”"是指影响、阐明或推动组织当前和未来战略及业务目标变化的趋势、关系和其他因素。业务环境可以是：动态的。新的风险随时可能出现，导致扰乱和改变现状（例如，新的竞争者导致产品销售下降，甚至使产品被淘汰）。复杂的。有许多相互联系和相互依赖关系（例如，一个实体在世界各地有许多经营单位，每个单位都有自己独特的政治制度、监管政策和税法）。不可预测的。因为变化可能很快发生，而且是以意想不到的方式发生（例如，货币波动和政治力量）。考虑外部环境和利益相关方外部环境是业务环境的一部分。它是实体之外的任何能够影响实体实现其战略和业务目标的能力的事物。外部利益相关方也是外部环境的一部分。外部利益相关方的一个例子是监管机构，它授予实体经营许可证，但也有权对实体进行罚款或强制其暂时或永久关闭。另一个例子是为实体提供资本的投资者，但如果他不认同实体的战略方向或其绩效水平，则可以决定将该投资转移到其他地方。组织如果能识别其外部环境和利益相关方及其对业务影响程度，就能更好地预测和适应变化。外部利益相关方不直接参与实体的运营，但他们：受实体的影响（客户、供应商、竞争者等）。直接影响实体的业务环境（政府、监管机构等）。影响实体的声誉、品牌和信任（社区、利益集团等）。与外部利益相关方一样，外部环境可以影响实体实现其战略和业务目标的能力。外部环境由几个因素组成，这些因素可按首字母缩写PESTLE进行分类：政治、经济、社会、技术、法律和环境（图7.1）。示例7.1说明了这一概念。图7.1:外部环境类别和特征类府干如，成的灾难，持续的气候变化，能源消费法规的变化，对环境的态度类别外部环境的特征政治政府干预和影响的性质和程度，包括税收政策、劳动法、环境法、贸易限制、关税和政治稳定经济利率、通货膨胀、外汇汇率、信贷可用性等。社会客户需求或期望；人口统计学，如年龄分布、教育水平、财富分布等技术研发活动、自动化和技术激励；技术变革或破坏的速度法律法律（例如，就业、消费者、健康和安全）、法规和行业标准环境自然或人为造成的灾难，持续的气候变化，能源消费法规的变化，对环境的态度示例7.1：外部环境影响一家全球科技公司正在寻求通过在发展中国家推出一种成熟的产品来增加收入，而另一家科技公司正在为其本国的消费者群体开发一种产品。当每家公司评估备选战略时，他们会考虑不同的外部环境类别。第一家公司受到政治、法律和经济因素的影响，因为它要驾驭特定国家的法律、政府法规和资本考虑。相比之下，第二家公司在寻求了解新客户需求时，重点关注社会和技术因素。尽管两家公司处于同一行业，但它们有不同的外部环境，这些环境会影响其特定的风险状况，并最终影响其选择的战略。考虑内部环境和利益相关方实体的内部环境是指实体内部可能影响其实现战略和业务目标能力的任何事物（图7.2）。内部利益相关方是指在实体内部工作并直接影响组织的人员（董事会董事、管理层和其他人员）。由于实体的规模和结构差异很大，内部利益相关方对组织整体的影响可能不同于部门、经营单位或职能层面的影响（见示例7.2）。图7.2:内部环境类别和特征类府干如，成的灾难，持续的气候变化，能源消费法规的变化，对环境的态度类别内部环境的特征资本资产，包括现金、设备、财产、专利人知识、技能、态度、关系、核心价值和文化。过程活动、任务、政策或程序；管理、运营和支持过程的变化技术新的、修正的或采用的技术示例7.2：内外部环境影响使命、愿景和核心价值观支持经济困难地区的社区劳动力的实体，要考虑政治、经济、社会和环境因素如何影响其雇用和维持熟练劳动力的能力。它考虑支持其使命、愿景和坚持其核心价值观所需的人员和能力。在考虑与各种战略相关的风险状况时，该组织会注意到其确保熟练劳动力的能力。了解这些外部和内部影响可以在选择战略时提供有价值的见解。业务环境如何影响风险状况业务环境对实体风险状况的影响可分为三个阶段：过去、现在和未来绩效。回顾过去的绩效可以为组织提供宝贵的信息，用于形成其风险状况。观察当前绩效可以向组织展示当前趋势、关系和其他因素如何影响风险状况。通过思考这些因素在未来会是什么样子，组织可以考虑其风险状况将如何随着其前进方向或希望前进方向而演变。示例7.3说明了组织通过企业风险管理的要素来考虑业务环境。例7.3：在每个框架要素中考虑业务环境风险治理和文化：零售公司的管理层在逐步理解与内部和外部利益相关方的互动时，会考虑业务环境。这样做时，它考虑了影响行业发展的大趋势。风险、战略和目标设定：公司将其对业务环境的理解（例如，大趋势）整合至战略规划周期，以实现长期价值和成功。执行中的风险：公司将其对业务环境的理解纳入其风险识别、评估和应对实践，可能会对当前和未来的风险产生影响。风险信息、沟通和报告：公司考虑业务环境的变化如何影响组织获取、沟通和报告风险信息的方式。监视企业风险管理绩效：公司考虑影响业务环境的变化如何影响实体的文化和企业风险管理实践，包括改进当前实践的机会。原则8：定义风险偏好组织在创造、保持和实现价值的环境下定义风险偏好。确定风险偏好风险偏好指导组织确定其愿意接受的风险类型和数量。没有适用于所有实体的标准或“正确”风险偏好。管理层和董事会在充分了解相关利弊得失的情况下选择风险偏好。风险偏好可能包括对可接受的风险类型和数量的单一描述，或对一致并共同支持实体使命和愿景的多个描述。有多种方法可用于确定风险偏好，包括促进讨论，评审过去和当前的绩效目标以及建模。由管理层负责在整个实体的各个细节层面上沟通商定的风险偏好。在董事会的批准下，管理层还会根据新的和正在出现的考虑因素来重新审视和加强风险偏好。此外，虽然风险偏好在考虑战略和设定业务目标和绩效目标时极为重要，但一旦实体考虑到执行中的风险，重点就会转移到在可接受的变化范围内管理风险。对于某些实体，使用“低偏好”或“高偏好”等通用术语就足够了。其他人可能认为这些陈述过于含糊，无法有效沟通和执行，因此他们可能会寻找更定量的度量。通常，随着组织在企业风险管理方面的经验越来越丰富，他们对风险偏好的描述也越来越精确。有些人将制定一系列风险偏好级联表达，引用“目标”、“范围”、“下限”或“上限”（见示例7.4）。其他人将使用具体的定量术语来提高精度。示例7.4:风险偏好表达示例目标。对贷款损失风险偏好较低的信用合作社通过将贷款损失目标设定为总贷款组合的0.25%，将低偏好信息传递给企业。范围。医疗供应公司在总体低风险范围内运营。其最低风险偏好与安全和合规目标相关，包括员工健康和安全，而其战略、报告和运营目标的风险偏好略高。这意味这意味着将各种医疗系统、产品、设备和工作环境产生的风险降低到合理可行的程度，以及履行法律义务将优先于其他业务目标。上限。一所大学接受适度的风险偏好，因为它寻求在财务稳健的情况下扩大其服务范围，并将探索吸引新学生的机会。如果大学有或可以很容易地获得必需的能力来提供新课程，大学则将支持这些课程。然而，大学不会接受对大学使命和愿景构成严重风险的课程，这对可接受的决策形成一个上限。下限。一家科技公司对其行业的增长有着积极的目标，并认识到这种增长需要大量的资本投资。虽然管理层不接受不明智的资本投资，但认为至少应将运营预算的25%（即下限）分配给追求技术创新。组织可以考虑任何数量的参数，以帮助确定其风险偏好并提供更大的精确性。例如，组织可以考虑。战略参数。如追求或避免的新产品、资本支出的投资以及并购活动。财务参数。如财务绩效的最大可接受波动、资产回报率或风险调整后的资本回报率、目标债务评级以及目标债务/股东权益比率。运营参数。如环境要求、安全目标、质量目标和客户集中度。在确定风险偏好时，管理层还可以考虑实体的风险状况、风险容量、风险能力和成熟度等。风险状况提供了有关实体当前的风险量、风险在整个实体中如何分布以及实体不同风险类别的信息。新的组织不会有现有的风险状况可供借鉴，但他们可能能够从其行业和竞争对手那里获得有价值的信息。第三章介绍的风险容量是指实体能够承受的最大风险量。如果风险偏好很高，但其风险容量却不足以承受相关风险的潜在影响，那么实体可能会失败。另一方面，如果实体的风险容量大大超过其风险偏好，组织可能会失去为其利益相关方增加价值的机会。企业风险管理能力和成熟度提供了关于企业风险管理运作情况的信息。成熟的组织通常能够界定企业风险管理能力，从而更好地了解其现有风险偏好和影响风险容量的因素。不太成熟、未界定企业风险管理能力的组织可能没有同样的理解，这可能导致更广泛的风险偏好声明或需要尽快重新定义的声明。企业风险管理能力和成熟度也会影响组织如何坚持风险偏好并在风险偏好范围内营运。阐述风险偏好一些组织将风险偏好表述为一个单一的点；另一些组织则表述为一个连续带（见例7.5）。示例7.5:风险偏好连续带一所大学制定了其业务目标，重点关注其作为一所卓越教学和研究型大学的角色，吸引优秀学生以及作为顶尖教师的理想工作场所。大学的风险偏好声明承认，几乎所有活动都存在风险。建立风险偏好的关键问题是大学在多大程度上愿意接受与每个领域相关的风险。为了回答这个问题，管理层使用一个连续带来表示大学主要业务目标（教学、研究、服务、学生安全和运营效率）的风险偏好。他们把各种风险放在连续带上，作为最高级别讨论的基础。组织可以在以下环境下阐明详细的风险偏好声明：与使命、愿景和核心价值相一致的战略和业务目标。业务目标17个类别。实体的绩效目标。风险偏好由管理层传达，由董事会批准，并在整个实体内传播。传播风险偏好很重要，因为目标是让所有决策者了解他们必须在其中运营的风险偏好，并让所有业务与风险偏好保持一致，特别是那些执行任务以实现业务目标的人（例如，当地销售团队、国家经理、运营单位）。示例7.6说明了组织是如何通过与高层业务目标相一致的声明来逐级分解风险偏好的，而这些目标又与实体的总体战略相一致。应用风险偏好风险偏好指导组织如何分配资源，包括在整个实体和每个经营单位中分配资源。其目的是使资源分配与实体的使命、愿景和核心价值相一致。因此，管理层在经营单位之间分配资源时，要考虑到实体的风险偏好和各个经营单位创造价值的计划。管理层还会调整人员、流程和基础设施，以成功实施战略，同时保持在其风险偏好范围内。风险偏好被纳入组织运营和管理决策中，管理层在董事会的监督下，持续监视各级风险偏好，并在需要时适应变化。通过这种方式，管理层创造了一种文化，强调风险偏好的重要性，并将负责实施企业风险管理的人员置于风险偏好参数范围内。原则9：评估备选战略组织评估备选战略和对风险状况的影响。作为战略制定过程的一部分，一个组织必须对备选战略进行评价，并评估每个备选方案的风险和机遇。这种评价通常被称为"尽职调查"。备选战略要在组织创造、保持和实现价值的资源和能力环境下进行评估。企业风险管理的一部分包括从两个不同的风险角度评价战略：（1）战略与实体的使命、愿景和核心价值不一致的可能性，以及（2）所选战略的影响。与战略保持一致的重要性战略必须支持使命和愿景及其核心价值，并与实体的文化和风险偏好保持一致。否则，实体可能无法实现其使命和愿景。此外，不一致的战略会增加利益相关方的风险，因为组织的价值和声誉可能会受到影响。例如，一家电信公司正在考虑采取限制其产品和服务提供地区的战略，以提高其财务绩效。但这一战略与它作为关键服务提供商和当地社区主要企业公民的使命相冲突。虽然预期的财务绩效改进是旨在吸引股东和投资者，但其在坚持维持服务的社区团体和监管机构中的声誉可能会受到不利影响而受到损害。理解所选战略的影响在评估备选战略时，组织试图识别和理解所考虑的每个战略的潜在风险。已识别的风共同构成了每个选项的风险状况；也就是说，不同的战略产生不同的风险况况。鉴于实体的风险偏好，管理层和董事会在决定采用最佳战略时使用这些风险状况。评估备选战略时，另一个考虑因素是与业务环境、资源和能力相关的支持性假设。与组织更确定地知道不会发生与战略相关的破坏性事件相比，如果假设未得到证实通常发生破坏性事件的风险更高。管理层和董事会对每个假设的置信水平将影响每个战略的风险状况。此外，当做出大量假设时，战略通常具有较高的风险状况。一旦为所选战略确定了风险状况，管理层就能更好地考虑在执行该战略时将面临的风险类型和数量。具体来说，了解风险状况使管理层能够确定需要和分配哪些资源来支持战略的执行，同时保持在风险偏好范围内。资源要求包括基础设施、技术专长和运营资本。在评估备选战略所需的工作量和精确度，将因决策的重要性、可用的资源和能力以及被评价的战略数量而异。决策越重要，评价就越详细，可能要使用几种方法（见例7.7）。示例7.7:评价战略处于高度监管行业中的化工公司需要评价将产品推向新地理市场的战略。这一特定战略代表了资本资源的重大支出。市场受到高度监管，新的地理区域带来了不同的文化影响，因此管理层的评价必须是广泛的。管理层评审进入市场的壁垒、潜在市场份额、竞争对手分析、收入预测、地理/文化分析、供应链分析和监管调查。同时，公司正在考虑改变其供应链中的分销伙伴。与该战略相关的决策不太重要，因为预计不会有额外的资本支出，并且此变化不会引入新的监管市场，因此管理层的评价不那么严格。在这种情况下，他们进行成本分析、质量控制分析和价值链分析。评价备选战略的普遍方法是SWOT分析、建模、估值、收入预测、竞争对手分析和情景分析。评价（或尽职调查）通常由管理人员进行，他们具有整个实体风险观点并了解战略如何影响绩效。也就是说，管理层在实体层面了解所选择的战略将如何支持不同部门、职能和地域的绩效。在制定备选战略时，管理层会做出某些假设。这些基本假设对变化很敏感，而这种变化的倾向会极大地影响风险状况。一旦选择了战略，并且通过了解假设的变化趋势，组织就能够制定与假设变化相关的必要监督机制。示例7.8说明了一个组织评价备选战略的过程。示例7.8:考虑备选战略•使命：为客户提供最高质量的运输服务，安全是运营的首要考虑因素，同时为股东保持强劲的财务回报。•愿景：提升我们的品牌，使之成为全球值得信赖的交通运输供应商。一家全球物流服务供应商希望扩大业务以满足全球需求，为此需要一个新的配送中心。在战略规划期间，评估了几个备选方案。备选方案1：在发展中国家开设一个海外分销中心。这是目前考虑的地点中建设成本和运营劳动力成本最低的一个，但会使交付时间平均增加30%。设在这个发展中国家还会带来地缘政治和经济风险。备选方案2：在一个中型城市开设一个陆上配送中心。这个地方的建造成本比备选方案1稍高，但劳动力供应充足。然而，该地区冬季严寒，这增加了天气相关事件扰乱运输的风险。备选方案3：在一个较大城市的陆上位置。这个地方的建设成本最高，劳动力市场竞争最激烈，可能导致运营成本增加。然而，气候一年四季很温和。战略与使命和愿景不一致的可能性以及战略对风险状况的影响总结如下：战略与使命和愿景不一致的可能性战略对风险状况的影响方案1•政治不稳定可能带来未来的安全问题•额外的交付时间可能会影响客户满意度并侵蚀价值•地缘政治和经济风险增加方案2•暴风雪可能会给飞机和卡车带来安全问题•股东价值在经济下滑时期可能受到影响•交付时间可能会因冬季恶劣的天气条件而延迟，这可能会影响客户满意度方案3•成本持有人价值增加可能会侵蚀股东价值•人工成本可能更高•成本增加可能会造成定价差异并降低销售量使战略与风险偏好保持一致组织应期望其选择的战略能够在实体的风险偏好范围内执行；也就是说，战略必须与风险偏好保持一致。如果与特定战略相关的风险与实体的风险偏好或风险容量不一致，则需要修订战略、选择备选战略或重新审视风险偏好。例如，一家饮料制造商制定了这样的战略：“通过扩大全球生产地点来扩大业务。”然而，当一些全球地点的风险明显超过制造商的风险偏好时，该战略得到了更新：“在既定的基础设施要求和政府法规范围内，通过向全球各地扩张来扩大业务。”改变战略通常，组织会定期举行战略规划会议，概述短期和长期战略。如果组织确定当前战略无法创造、实现或保持价值，则需要改变战略；或者业务环境的变化导致实体过于接近其愿意接受的最大风险，或者需要组织无法获得的资源和能力。最后，业务环境的发展可能会导致组织不再合理地期望能够实现战略（见示例7.9）。示例7.9:改变战略一家全球相机制造商过去销售胶卷相机，但随着数码相机普及，该公司的价值开始因销售量下降而受到侵蚀。作为回应，它通过适应不断变化的消费者需求和新技术来调整其战略。它现在开发了数码相机，并降低了其产品可能被淘汰的风险。这些战略变化由相关业务目标和绩效目标的变化来支持。减轻偏见偏见总是存在的，但一个组织在评估备选战略时，应尽量做到不偏不倚或减少任何偏见。第一步是发现战略制定过程中可能存在的任何偏见。下一步是减轻已发现的偏见。偏见可能会妨碍组织选择最佳支持实体使命、愿景、核心价值并反映实体风险偏好的战略。原则10：制定业务目标的同时考虑风险组织在制定符合和支持战略的各级业务目标时考虑风险。制定业务目标组织制定可测量或可观察、可实现和相关的业务目标。业务目标提供了与实体内实践的联系，以支持战略的实现。例如，业务目标可能涉及：财务绩效。保持所有业务的盈利运营。客户愿望。在方便客户访问的位置建立客户关怀中心。运营卓越。谈判有竞争力的劳动合同，以吸引和留住员工。合规义务。在所有工作场所遵守适用的健康和安全法律。效率提升。在节能环境中运营。创新领导。通过频繁地推出新产品，在市场上引领创新。业务目标可以在整个实体（部门、经营单位、职能部门）中逐级分解，也可以选择性地应用。逐级分解的目标从实体最高层向下逐步应用时，会变得更加详细。例如，财务业绩目标是由部门目标逐级分解到各个运营单位。或者，许多业务目标将具体到运营维度、地理位置、产品或服务。业务目标与战略相一致无论目标的结构如何以及在何处应用，每个目标都与战略保持一致。业务目标与战略相一致有助于实体实现其使命和愿景。与战略不一致或仅部分一致的业务目标将不支持实现使命和愿景，并可能给实体的风险状况带来不必要的风险。也就是说，组织可能会消耗原本可以更有效地部署在执行其他业务目标上的资源。业务目标还应与实体的风险偏好保持一致。如果它们不一致，组织可能会接受过多或过少的风险。因此，当组织评价提议的业务目标时，必须考虑可能发生的潜在风险并确定对风险状况的影响。导致组织超出风险偏好的业务目标可能会被修改，或者可能会被放弃。如果组织发现，在保持其风险偏好或能力范围内，无法建立支持战略实现的业务目标，则需要对战略或风险状况进行评审。理解所选业务目标的影响组织在决定业务目标时有很多选择。例如，假设组织有机会升级其核心操作系统并重新设计其现有的IT基础设施。为实现业务目标，一种选择是确定一个合适的供应商并签订第三方协议来开发一个定制的IT系统；另一个选择是组织在内部建立自己的系统，对其IT能力进行大量投资并增加人员数量。这两个目标都与总体战略相一致，因此管理层必须对这两个目标进行评价，并根据对实体的风险状况、资源和能力的潜在影响确定适当的行动方案。与制定战略的情况一样，组织需要有合理的预期，即在给定的实体风险偏好或可用资源的条件下，业务目标可以实现。实体的能力和资源决定了预期。如果不存在合理的预期，组织必须选择超出风险偏好、获取更多的资源或改变业务目标。根据业务目标对战略的重要性，可能还需要修改战略（见示例7.10）。示例7.10:确定所选业务目标的影响作为其五年战略的一部分，农业生产者正在寻求培育有机产品作为差异化竞争。公司分析向有机环境过渡的成本，并确定需要大量投资，这可能会威胁到实体的财务绩效目标。鉴于维持财务绩效的重要性，组织选择放弃该战略。对业务目标进行分类组织如何对其业务目标进行分类是由管理层决定的。无论如何分类，它们都必须与业务实践、产品、地理位置或其他组织层面保持一致。在某些情况下，组织必须遵守外部要求，这些要求规定了出于报告目的对业务目标进行分类的方式。例如，如果组织被要求报告其环境风险评估，作为其经营许可证的一部分，它将在其业务目标和报告中具体包括这些要求。组织需要注意不要混淆业务目标类别和风险类别。风险类别与可能影响这些业务目标的风险的共享或共同分组有关。设定绩效衡量标准和指标组织设定指标以监视实体的绩效并支持业务目标的实现。例如：一家资产管理公司寻求其投资组合每年实现5%的投资回报率（ROI）。一家餐厅的目标是在40分钟内交付在线送货上门订单。一个呼叫中心努力将未接来电降至总来电的2%。这些目标应与战略和风险偏好相一致。通过设定目标，组织能够影响实体的风险状况。积极的目标可能会导致该业务目标的风险更大。例如，组织可能设定积极的增长目标，从而增加执行风险。相反，组织可能设定一个更保守的增长目标，这将降低实现目标的风险，但也可能导致目标不再与业务目标的实现保持一致。再举一个例子，再考虑一下上面列表中的资产管理公司，该公司了解5%的投资回报率将使实体能够实现其财务目标。如果它争取7%的回报率，那么它在执行过程中会面临更大的风险。如果它争取达到3%，这使得风险状况不那么积极，它将无法实现更广泛的财务目标。（识别和评估实现业务目标的风险以及监视绩效措施和目标的适当性，将在第八章讨论）。示例7.11提供了在实体、部门、运营单位和职能层面考虑的业务目标以及支持目标的更全面示例。该示例说明了业务目标是如何随着它们在整个实体和各个层次上的逐级递增而提高其具体性的。示例7.11：各层级业务目标示例业务目标绩效测量指标业务目标（实体）•继续开发令消费者感兴趣和兴奋的创新产品•扩大保健食品行业的零售业务•始终有8种产品在研发中•同比增长5%北美地区（部门）业务目标•增加共享我们核心价值观的主要商店的货架空间•继续在当地市场采购产品•货架空间增加7%•92%的本地货源率零食部（经营单位）业务目标•开发超出消费者预期的高质量、安全的零食产品•客户满意度调查中，4.8分（满分5分）•营业额低于10%人力资源（职能）业务目标•保持良好的员工年营业额•在未来一年招聘和培训产品销售经理•招聘50名销售经理•销售人员的培训率达到95%原则11：规定可接受的绩效波动组织规定与战略和业务目标相关的可接受的绩效波动。理解可接受的绩效波动可接受的绩效波动与风险偏好密切相关，有时被称为“风险容忍（度）”。它描述了与在风险偏好范围内实现业务目标相关的可接受结果的范围。它还提供了一种方法来衡量实现战略和业务目标的风险是可接受的还是不可接受的。与广泛的风险偏好不同的是，可接受的绩效变化是战术性的和有针对性的。也就是说，它应该用可衡量的单位（最好用与业务目标相同的单位）表示，适用于所有业务目标并在整个实体内实施。在设定可接受的绩效波动时，组织会考虑每个业务目标和战略的相对重要性。例如，对于那些被认为对实现实体战略至关重要的目标，或战略对实体的使命和愿景至关重要的目标，组织可能希望设定较低水平的可接受绩效波动。在可接受的绩效波动范围内运营，使管理层对实体保持在其风险偏好范围内更有信心，并为实体实现其业务目标提供更大程度的慰藉。与业务目标相关的绩效测量有助于确认实际绩效在既定可接受的绩效波动范围之内（见例7.12）。绩效测量可以是定量的，也可以是定性的（见例7.13）。示例7.12：可接受的绩效波动陈述示例业务目标指标可接受的绩效波动资产管理者的投资回报率（ROI）其投资组合的目标年回报率为5%3%至7%的年回报率餐厅提供在线送货上门服务的订单目标为在40分钟内交付30至50分钟的交付时间尽量减少呼叫中心的未接电话目标为总通话量的2%占总通话量的1%至5示例7.13:定性和定量测量的示例定量的绩效测量定性的绩效测量航空业•新目的地的数量•座位占用率•每个座位的收入•客户满意度•品牌认可度农业•选择的作物数量•作物产量•有机认证•环境合规石油和天然气•每天的桶数•活跃的油井数量•安全事故数量•环境保护•健康和安全记录非营利性卫生机构•捐赠者数量和捐赠金额•赞助的研究项目数量•提供的咨询项目数量•捐赠者满意度•社会媒体评论政府机构•颁发的许可证数量•获得援助的人数•社会媒体评论•公众满意度可接受的绩效波动也考虑了超过和落后的波动，有时被称为正波动或负波动。请注意，超过和落后的波动并不总是设置为与目标等距超过和落后的波动幅度取决于几个因素。例如，一个拥有丰富经验的成熟组织，在管理低水平波动方面了获得经验后，可能会使超出和落后波动更接近目标。实体的风险偏好是另一个因素：与风险偏好较高的实体相比，风险偏好较低的实体可能更喜欢较小的绩效波动。组织通常认为，超过绩效波动是一种好处，而落后于绩效波动是一种风险。超过目标通常表明效率高或绩效好，而不仅仅是机会被利用。但是，落后于目标并不一定意味着失败：这取决于组织的目标和如何定义波动（见例7.14）。示例7.14:落后于目标的绩效波动一家大型饮料装瓶商设定了一个目标，即一年内在装瓶车间发生的损失时间事件不超过五起，并将可接受的绩效波动设定为为0至7起。为0至7起之间的波动过大，意味着更多的事故和潜在的损失时间以及健康和安全索赔的增加，这对实体来说是一个负面的结果。相比之下，落后的波动到5代表了一种好处：损失时间的事件更少，健康和安全索赔更少。组织还需要考虑争取零损失时间事故的成本。有时，对利益的追求会减损其他业务目标的实现，这就是为什么正波动可能会受到限制的原因。组织还应了解成本与绩效可接受波动之间的关系，以便有效应对相关风险和机遇。通常，可接受的绩效波动越小，在该绩效水平内营运所需的资源就越多。以航空公司为例，它跟踪准时到达和出发的航班。航空公司可能会决定停止为几个机场服务，因为其准点率不符合航空公司修订后的（减少的）可接受的绩效波动。然后，该航空公司需要权衡放弃服务收入的成本影响，以实现其波动减少的绩效目标。执行中的风险组织识别和评估可能影响实体实现其战略和业务目标能力的风险。它根据风险的严重程度并考虑到实体的风险偏好对风险进行优先排序。然后，组织选择风险应对措施，并监视绩效的变化。这样，实体对追求其战略和业务目标的过程中所承担的风险量建立起一个组合观。通过识别、评估和应对可能影响实体战略和业务目标实现的风险，可以进一步实现实体价值的创造、保持和实现。源于交易层面的风险可能被证明与实体层面的风险一样具有破坏性。风险也可能影响经营单位或整个实体。风险可能与业务环境中的因素或其他风险高度相关。此外，风险应对可能需要对基础设施进行大量投资，也可能被接受为经营的一部分。由于风险来自不同的来源，需要一系列应对措施，因此识别、评估和应对过程是在整个实体和所有层面上进行的。本框架的这个要素侧重于支持组织决策和实现战略和业务目标的企业风险管理实践。为此，各组织使用其运营模式来制定一个流程，该流程：识别新的和新兴风险，以便管理层能够及时部署风险应对措施。评估风险的严重程度，了解风险如何如何随实体层级而变化。对风险进行优先排序，使管理层能够优化资源分配以应对这些风险。识别和选择对风险应对措施。建立风险组合观，以增强组织阐明在追求战略和业务目标过程中承担风险量的能力。监视实体绩效，并识别实体绩效或风险状况的重大变化。图8.1说明了这个过程是循环往复，过程中一个步骤的输入通常是前一个步骤的输出。这个过程是在所有层级上进行，且适当的企业风险管理的职责和责任与风险的严重程度相一致。图8.1:将风险评估过程、输入、方法和输出相关联过程输入方法类别输出识别风险•战略和业务目标•风险偏好和可接受的绩效波动•业务环境•数据跟踪•访谈•引导式研讨会•问卷和调查•流程分析•领先指标•风险宇宙（风险清单）评估风险•风险范围•风险严重程度测量•概率建模（风险价值（VaR））•非概率模型（如敏感性分析）•判断性评价•标杆管理•风险评估结果风险进行优先排序•风险评估结果•优先排序准则•判断性评价•定量评分法•已进行优先排序按的风险评估结果风险应对•已进行优先排序按的风险评估结果•风险状况模板或模拟风险状况•成本效益分析•已部署的风险应对措施•剩余风险评估结果建立风险组合观剩余风险评估结果•判断性评价•定量评分法•风险组合观监视绩效剩余风险评估结果风险组合观•仪表板•绩效报告纠正措施组织对实现其战略和业务目标的新的、新兴的和不断变化的风险进行识别。首次进行风险识别过程的组织需要建立风险清单，然后在随后的识别过程中，确认现有风险是否仍然适用和相关。组织多长时间经历一次这个过程取决于新风险出现的速度。在风险可能需要数月或数年才能形成的情况，风险识别的频率可能低于风险不太可预测或可能以更快速度发生的情况。新的、新兴的和不断变化的风险包括那些：源于业务目标的变化（例如，实体采用由业务目标支持的新战略或修正现有业务目标）。源于业务环境的变化（例如，消费者对环保或有机产品偏好的变化，对公司产品的销售有潜在的不利影响）。与以前可能不适用于实体的业务环境变化有关（例如，导致对该实体承担新义务的法规变化）。之前未知（例如，发现公司生产过程中使用的原材料易受腐蚀）。之前已经确定，但后来由于业务环境、风险偏好或支持性假设的变化而有所改变。管理层承认，一些风险可能仍然未知——风险识别过程中无法合理预期地考虑到这些风险。这些风险通常与业务环境中的变化有关。例如，竞争对手的未来行动或意图通常是未知的，但它们可能对实体的绩效构成新的风险。当业务环境发生变化时，也会出现新兴风险，这些风险可能会在未来改变实体的风险状况。请注意，对新兴风险的理解可能不够深入，无法在首次识别时准确识别和评估。识别新的和新兴风险，或现有风险的变化，使管理层能够展望未来，并有时间评估风险的潜在严重程度。反过来，有时间评估风险使管理层能够预测风险应对，或在必要时评审实体的战略和业务目标。组织希望识别那些可能扰乱运营并影响实现战略和业务目标的合理预期的风险。此类风险代表风险状况的重大变化，可能是特定事件或不断变化的情况。以下是一些示例：新兴技术：可能影响现有产品和服务的相关性和寿命的技术进步。大数据的作用不断扩大：组织如何有效和高效地访问和转换大量的结构化和非结构化数据。自然资源的枯竭：影响产品和服务的供应、需求和地点的自然资源的可用性不断减少，成本不断增加。虚拟实体的兴起：影响传统市场结构的供应、需求和分销渠道的虚拟实体日益突出。劳动力流动：移动和远程的劳动力，为实体的日常运营引入了新的流程。劳动力短缺：确保劳动力具备实体支持绩效所需的技能和教育水平的挑战。生活方式、医疗保健和人口统计方面的变化：随着人口的变化，当前和未来客户的习惯和需求不断变化。在识别风险时，组织应力求措辞准确，确保阐明实际风险和其他考虑因素之间的区别，这些因素包括：可能影响风险严重程度的潜在根本原因。描述中嵌入风险的潜在影响。无效或失败的风险应对和控制的潜在影响。图8.2提供了一些示例。风险以外的考虑因素说明风险以外的考虑因素的风险描述首选的风险描述潜在的根本原因•缺乏培训会增加发生处理错误和事故的风险•员工士气低落导致关键员工离职的风险，造成从而导致人员流失率高•处理错误影响生产单位质量的风险•关键员工流失和人员流动的风险，影响员工保留目标描述中嵌入风险的潜在影响•生产能力无法跟上增长的需求，客户订单减少了10%•极端天气导致需求比预期高20%•生产能力无法满足影响生产目标的增长需求的风险•气温高于预期，导致夏季产品需求超出产能的风险。无效或失败的风险的潜在影响•银行对账未能发现向客户支付的错误款项的风险•质量保证检查未能在分销前发现产品缺陷的风险•对客户的错误付款影响到实体的财务结果的风险•产品缺陷影响质量和安全目标的风险因此，鼓励各组织使用标准句子结构描述风险。这里有两种方法：【描述潜在事件或情况】发生的可能性以及对【描述组织设定的具体业务目标】的相关影响。——示例：外汇汇率变化的可能性以及对收入的相关影响。与【描述可能发生的事件或情况】有关的【描述组织设定的类别】的风险，以及【描述相关影响]。——示例：与外汇汇率可能变化有关的财务绩效风险以及对收入的影响。准确的风险识别非常重要，因为：它使管理层能够更准确地评估风险的严重程度。它帮助管理层识别典型的根本原因和影响，从而选择和部署最合适的风险应对措施。它支持对风险进行汇总，以产生组合观。风险识别应在所有层面进行：实体、部门、运营单位、职能部门和过程（见示例8.1）。示例8.1:区域性能源公司可能会在部门或实体层面识别与经济前景变化相关的风险，而不是在流程层面识别。反之，它可能在流程层面上识别客户的最后期限可能被错过的风险，而不是在部门或实体层面上识别。无论在哪里识别风险，所有风险都构成实体风险宇宙的一部分。为了证明风险识别是全面的，管理层将评估所有职能部门和层次的风险，包括多个职能部门的共同存在风险以及特定产品、服务提供、管辖范围或其他职能部门特有的风险。管理层还必须考虑可能存在的超出职能范围的风险。例如，实体的技术团队可能会识别IT系统和应用相关的风险，但这些风险也会影响其他运营单位。在这种情况下，管理层确定并确认适当的风险所有者。有多种方法可用于识别风险。这些方法从简单的问卷调查到复杂的引导式研讨会和会议。有些方法可以通过技术手段来实现，如在线调查、数据跟踪和复杂的分析。根据实体的规模、地理足迹和复杂性，管理层可能会使用多种技术。例如，大型实体可能会收集有关历史事件和损失的内部数据，并对其进行分析，以识别新的、新兴的和不断变化的风险。一些组织可能会利用同一行业或地区其他组织的信息来告知他们潜在的风险。图8.3和下列清单提供了针对不同类型风险的有用方法的信息。图8.3:识别风险的方法风险类别研讨会访谈流程分析关键风险指标数据追踪PPPPP新风险PPPP新兴风险PPP研讨会将来自不同职能和层次的个人聚集在一起，利用团队的集体知识，制定一份与实体的战略或业务目标相关的风险清单。访谈征求个人对过去和潜在事件的了解。对于征求一大群人意见，可以使用问卷或调查。流程分析包括绘制流程图，以更好地理解其要素输入、活动、输出和职责之间的相互关系。一旦绘制完成，就可以根据相关业务目标识别和考虑风险。关键风险指标是旨在识别现有风险变化的定性或定量措施。风险指标不应与通常具有回顾性的绩效测量指标混淆。对过去事件的数据跟踪可以帮助预测未来发生的事件。虽然