十六：經營成功的公司是不是早已實施了企業風險管理？

我們可以料定：經營良好的公司都正在運用企業風險管理基礎設施的許多要素。因為如果對風險不進行識別、正式評估、做出回應、控制和監控，公司很難獲得成功。但是，我們的意思是說，世界上幾乎沒有哪家公司可以斷言自己的風險管理實踐不需要再進一步改善了。事情的實質不是公司當前正在做什么，而是在經營環境不斷變化的情況下，公司應該采取哪些行動，提升或者改進自己的風險管理能力。COSO《框架》給出了公司可賴以評估自己風險管理實踐的標準。企業始終都面臨著各種各樣的風險，但是，當今時代，變化速度及其對企業所產生的后果似乎前所未見。下面舉一些這方面的實例：

1：全球化增加了企業受國際事件影響的風險。國界已經很少能繼續保護企業免受此類事件的影響。能源價格正是這方面的一個明證；

2：隨著公司不斷地尋求各種新途徑，力求與眾不同，別具一格，因此，盡管提高效率、開展創新和實現差異化一向都是需要考慮的問題，但現在更加必要，也更加重要了；

3：盡管競爭風險依然是個首要問題，但在全球市場上，戰略失誤的代價也在不斷地加大。金融市場也更不穩定。陳舊粗陋的經營模式會在競爭中帶來失利。而且，即使經營模式合適，能夠形成可持續的競爭優勢，但也只有得到有效地采用時，它才可以使企業在競爭中獲勝；

4：當今市場細分的針對性逐漸加強，客戶的口味越來越挑剔，因此，了解消費者的需求并做出及時的反應依舊是關鍵。如果不能跟上客戶需求變化的腳步，可能會迅速失去市場份額； 

5：隨著外包模式不斷地普及，出現了風險的保留和轉移問題；

6：不幸的是，曾經無法想象的事情現在也可能會發生。2001年發生的“9.11事件”已經改變了我們對業務中斷風險的看法；

7：由于對多起公開報告丑聞的大肆渲染和核證官員的苛嚴要求，公司開始重視自己的信息披露程序和內部控制結構，更重視它們是否具有可持續性，因此財務報告現在也已經成為一個重大的風險領域。

如今，上述因素及其他一些風險都在促使風險特征不斷發生變化，不僅對財務產生影響，而且對戰略和經營活動也產生影響。在審視公司今天所面臨的風險時，執行人員會發現風險特征已經與幾年以前的情況完全不同了。更重要的是，他們甚至可以預期幾年過后，將來的風險與現在的風險又會不同。這正是企業風險評估之所以如此重要的原因。歸結而言：在全球經濟中，能繁榮昌盛的企業，并不是最強大或最精明的企業，而是最能適應變化的企業。隨著市場和客戶的變化，經營模式也應跟著發生變化。隨著競爭環境的變化，經營戰略也應跟著發生變化。此外，除非企業風險管理的實施工作與經營戰略的評估及制定工作緊密地結合，否則企業風險管理的潛力就不能得到全面的發揮。已在風險管理領域取得驕人成績的公司仍應該定期評估其風險管理能力，其中的原因正是如此。

十七：企業風險管理已經存在多久了？為什么現在要重新關注它？

支撐企業風險管理的各種概念和理論，即風險組合觀，已經出現很長一段時間了，它們最初只在金融機構和世界級企業的財會部門使用，因為這些機構采用涉險框架、資本歸因技術和其他估量方法來管理市場風險和信用風險。近年來的市場發展新動態明確地揭示出，動蕩不穩再也不只限于貨幣、利率和期權股票等金融產品了。客戶偏好、競爭對手的產品上市、勞動力市場和技術等全都在變化，而且變化的節奏也越來越快，就像金融市場的變化一樣。甚至組織經營模式的生命周期也在日漸縮短。變化也不再只是簡單的線性變化，而是日趨復雜。成功的公司必須進行革新，提供完整的解決方案，能為客戶和市場創造新的價值來源，否則在迎接行動敏捷、富有創意的對手的競爭時，就只能淪為敗將。不停的創新也會引起新的風險，對于這些風險應當經常進行評估。如果采用這種思維方式，經營戰略也就成了一個多變的動態過程，而風險管理更進一步加劇了這個過程的多變性。變化節奏日漸加快，人們對變化是一種積極生存方式的認知日趨深刻，風險識別、測量、報告和規劃的技術也越來越有效，所有的這些因素都促使公司開始更加密切地觀察自己的風險管理狀況。過去，傳統的風險管理模式與企業風險管理之間的差距太大，絕大多數公司都無力縮短這種差距（如第6個問題所述）。然而，遵守《薩班斯-奧克斯利法案》為實施原本不具備的企業風險管理能力奠定了基礎。已經采用了改良披露流程和財務報告內部控制機制的公司應該進一步地仔細研究如何才能擴大自己的這些能力，將其他的關鍵業務活動也涵蓋進去，因為隨著《薩班斯-奧克斯利法案》所規定的合規努力不斷地持續下去，差距已經不像原先那么大了。為了幫助管理層對所需開展的工作進行評估，COSO《企業風險管理-綜合框架》提供了一套標準，并包含了許多公司在評估其財務報告內部控制的有效性時所采納的COSO《內部控制-綜合框架》。

十八：目前擁有企業風險管理流程或系統的上市公司占多大比例？

簡單地說，對于回答這個問題，COSO《框架》只提供了必要的判定依據。只有當這個《框架》在市場上獲得更大的拉動作用，公司能參照該《框架》來確定出自己的風險管理基準，以評估自己的現狀時，我們才能知道回答這個問題的完整答案。不過，我們有一些精辟見解，這些見解可能有助于我們推斷公司的現狀：

1：在2004年，普華永道公司發布了一份《全球首席執行官調查報告》，這份《報告》顯示在受訪的1400名首席執行官中，有39%的人極力地贊同企業風險管理是企業的一項首要工作。盡管這些首席執行官（被普華永道稱作是“具有高度責任感的首席執行官”）全都列報了企業風險管理的各種益處，但普華永道的調查顯示53%的人表示他們能擁有自己所需要的企業信息，42%的人將企業風險管理同戰略規劃結合起來，29%的人聲稱盡可能地使用量化手段，27%的人聲稱將企業風險管理應用于所有的職能部門和單位，而只有20%的人表示每個人都了解自己在風險管理方面的責任。相比之下，其余的首席執行官（據報告，他們不太關注企業風險管理）在回答這些及其他相關問題時，他們答案中所給出的相關比例數據則明顯低得多。

2：在我們過去10年來的研究中，我們曾開展了幾次調查（最后一次調查在2005年秋天進行），以期了解高級管理人員對于他們企業的風險管理的信心水平。每次調查均顯示，在這些受訪的高級管理人員中，約有60%的人聲稱，在識別和管理所有潛在重大風險方面，他們對自己組織的風險管理能力是否行之有效缺乏很高的信心。我們的經驗告訴我們，這種信心不足的根源是企業沒有一個系統化的流程，可以讓相應的執行人員參與識別整個企業的風險，確定它們的輕重緩急次序。重大風險只有在經過了有效的企業風險管理流程，進入管理層的視野之后，管理層才能開始決定要采取什么措施和如何采取這些措施。

3：缺乏透明度也一直延伸到董事會。就在《薩班斯-奧克斯利法案》成為法律之前，麥肯錫公司公布了一份調查，這項調查采訪了200名董事，他們分別代表著500多個董事會。其中，有36%的董事表示他們的董事會不知道公司的主要風險。大約有40%的董事表示他們缺乏如何有效地識別、防范和規劃風險的相關知識。這項研究還發現，董事會把非財務風險只是作為“沒有實據性的軼事”來處理。管理層收到董事們有關公司風險及風險管理的問題越來越多，也就不足為怪了。

十九：是否存在企業風險管理被有效應用的例子？

COSO《應用技術》列舉了一些處理風險管理的方法實例。這些方法都是不同公司各級人員在運用企業風險管理法則時曾采用過的方法。熟悉本《框架》的讀者會發現這些資料非常有用。

二十：企業風險管理的實施工作因行業不同會有哪些不同

在COSO《應用技術》第3頁中，COSO指出:“無論是第一次應用《框架》的思想和法則，還是考慮現有企業風險管理流程（也許是應時而專門建立的）是否真正有效，由于備選的方法和選擇事項很多，即使是在相似的企業中，實施企業風險管理的方式也會不一樣。”COSO特別地指出公司經營所處的行業也是“影響《框架》的思想和法則如何得以最有效應用”的一個屬性。行業的性質將會影響風險的性質，也會影響企業在管理這些風險時所采取的實踐方法。例如，銀行會比其他機構更側重于管理市場風險和信用風險，因為承擔這些風險是其經營模式的本質內容。制藥公司則更側重于管理研發流程，因為這是公司日后收益來源的生命線。而核能發電廠則會更側重于管理合規方面的風險，因為這是關系到其名譽及日后生存能力的關鍵。然而，無論公司處于何種行業，COSO所界定的《框架》各組成部分仍然適用。

二十一：有些組織是否不需要實行企業風險管理？

每一個成功的企業都面臨風險。COSO已經明確指出，企業風險管理是一個對風險與機遇做出響應的過程。不管在哪個行業，絕大多數企業的執行管理層都是關注投資和回報、機遇和利潤、競爭優勢和企業增長。這正是企業風險管理對企業成功至關重要的原因—它幫助經理們樹立信心，幫助他們充分地了解本企業所面臨的風險，幫助他們備妥管理這些風險所需的能力。

每一個成功的企業都會冒險。企業管理層所做出的每一個行動或不行動的抉擇都影響著這個企業的風險特征。鑒于外部環境中因素錯綜復雜，如競爭、管制法規和其他影響因素，企業風險管理能幫助管理層培養起選擇最佳賭注的獨特技能，與其他競爭對手拉開差距。而當選擇最佳賭注能力的提高后，反過來又會激發企業完善其獵尋機遇的行為。

每一個成功的企業都要對風險作出應對。企業管理層必須在不斷變化的市場現實中進行經營。當他們根據企業的風險承受能力，把資源投入到最佳機遇中去時，必須對相應的風險和回報進行仔細地評估。他們必須滿懷信心地讓投資者和其他利益相關者相信：除了能在國際市場上日漸走向繁榮的同時，企業也正在行之有效地管理相伴而來的風險。根據《薩班斯－奧克斯利法案》的規定，上述措施似乎仍嫌不足，首席執行官與首席財務官作為核證官員，必須支持公開透明的匯報工作。針對這些風險和經營模式中的內在風險，作出應對，正是成功企業應有的作為。企業風險管理基礎設施將有助于管理層和董事們更好地應對這些挑戰。這個論斷我們將在第23個問題中予以探討，無論對上市公司，還有對私有企業，它都同樣適用。

二十二：實施企業風險管理的法律法規要求有哪些？

雖然現在還并沒有明確的法律法規規定，要求必須使用COSO的《企業風險管理-綜合框架》，但是法律法規的最新發展動態已經營造了一個有益的環境，在這樣的環境中，實施企業風險管理的企業能獲得益處。COSO指出法律法規就像外部環境的其他決定因素一樣，也會給企業的運營帶來不確定性。

《薩班斯－奧克斯利法案》于2002年7月獲得通過成為法律。自此以后直至本刊物付印之時，它一直是美國報界的新聞熱點。盡管《法案》的焦點僅限于財務報告的可靠性，但是如果一個風險管理流程把識別企業主要風險，進而做出及時響應和披露作為關注的焦點，那么，我們堅信實施這樣的流程將會大有裨益。美國還有一些其他的相關法案，如《美國愛國者法案》，規定要“了解客戶”，包括了多項反洗錢的條例。《格雷姆-里奇-比利雷法案》規定金融機構須保護客戶“非公開”信息的隱私。根據美國紐約證券交易所的上市規定，《審計委員會章程》必須要求審計委員會討論有關風險評估和風險管理的各項政策。此外，美國紐約證券交易所還規定了一項內部審計職能，以期向公司管理層和審計委員會持續地提供有關風險管理流程和內控體系的評估報告。雖然上述各《法案》沒有規定必須得進行企業風險管理，但企業風險管理的確有助于企業去達到上述各項法案的這些規定，借助某種基礎設施和過程，促使企業更加重視保護和增加企業的價值除了美國以外，在德國，《公司控制和透明度準則》也要求大型公司要建立風險管理監督體系，并向股東們匯報風險控制的相關信息。在英國，凡在倫敦證券交易所上市和在英國注冊成立的公司，也必須按照一套明確指定的公司治理準則（即《綜合守則》，同時參照《特布爾報告》中的指導方法）向股東們報告上述信息。巴塞爾銀行監管委員會頒布的新《巴塞爾資本協定》同樣地規定金融機構要匯報運營風險。在這些國家，企業風險管理流程同樣地也有助于企業達到這些要求。此外，類似于《薩班斯-奧克斯利法案》的法規條例在其他國家也陸續地出臺。

二十三：私有企業和上市公司實施企業風險管理的標準是否不同？

COSO《框架》適用于所有企業，不管規模大小如何，也不管是上市公司還是私有公司。但在《框架》各部分的實際應用中，所用的方法可能會有所不同，隨多種因素而變化，如企業的規模、運營目標、公司戰略、企業結構、公司文化、管理風格、風險特征、所處行業、市場競爭環境以及財務實力等。

二十四：企業必須要在所有的風險管理環節都采取了先進的控制流程后才能獲得益處嗎?

COSO《框架》沒有規定風險管理要達到的先進尖端程度。我們也沒有必要對所有的風險都采取最先進高端的控制技術。幾乎沒有哪家企業能擁有可以這樣做的資源，而且也沒有令人心服口服的業務案例，表明曾經這樣做過。風險管理的先進程度取決于兩方面的因素：(a)企業面臨的風險的性質，也就是說風險的復雜程度、不穩定性、涉及范圍和估測的難易程度；(b)企業可能會采用的實際解決方案的準備就緒程度。在公司某一或某些風險領域中，當對希望達到的風險管理能力水平進行評估時，核心問題并不是要采用最先進的流程，最精干的人手，最尖端的技術和知識，而是要選擇最合適的程序、人手、技術和相關專業知識。這是一項管理決策，而且這個決策應該在制定戰略的大背景中做出。

針對每個風險或每組相關的風險，管理層都必須評估本企業管理這些風險的現行能力。也就是說，管理層必須確定要實現企業的風險管理目標，還需要增加多大風險管理能力。此外，管理層還必須得解決提高風險管理能力所引發的預期成本和利益的問題。最終目的是查明最急迫的風險因素和不確定因素，增加改進工作的針對性，讓人力物力集中到風險管理基礎設施的相應部分，以便能更有效地管理這些風險因素和不確定因素。