1、內部控制框架的新發展企業風險管理框架COSO委員會新報告企業風險管理框架簡介朱榮恩賀欣(上海財經大學200083) (中南財經政法大學430060)【摘要】美國Treadway委員會的發起人組織委員會于2003年7月頒布了企業風險管理框架的討論稿，并將于2004年4月頒布正式稿。該討論稿是在1992年COSO委員會頒布的內部控制框架基礎上，吸收各方風險管理研究成果基礎上提出的，本文將主要討論其與內部控制框架的區別及其主要內容。【關鍵詞】風險管理框架內部控制框架風險管理內部控制2003年7月15日，美國COSO委員會在廣泛吸收各國理論界和實務界研究成果的基礎上，公布了企業風險管理框架(Enter

2、prise Risk Management Framework)討論稿，并將于2004年4月頒布正式稿。該討論稿在1992年COSO的內部控制框架報告的基礎上建立企業風險管理框架，將企業管理的重心由內部控制轉向以風險管理為中心。對于新的風險管理框架與原內部控制框架既有區別又有聯系，本文主要分析企業風險管理框架與內部控制框架的聯系與區別，并簡要說明企業風險管理框架的主要內容。一、 企業風險管理框架與內部控制框架的聯系與區別自1992年美國COSO委員會發布內部控制框架（簡稱COSO報告）以來，該內部控制框架已經被世界上許多企業所采用，但理論界和實務界紛紛對內部控制框架提出一些改進建議，強調內部控

3、制框架的建立應與企業的風險管理相結合 如Stephen J. Root, Beyond COSO Internal Control to Enhance Corporate Governance(1998); KMPG, Internal Control: a Practice Guide(1999); PricewaterhouseCoopers, Operational Risk Management: The Next Frontier(2001)等。新的企業風險管理框架就是在COSO1992年的研究成果內部控制框架報告的基礎上，結合薩班斯奧克法案（Sarbanes-Oxley Act）

4、在報告方面的要求，進行擴展研究得到的。普華永道的項目參與者認為，新報告中有60%的內容得益于COSO1992年報告所做的工作。但是，由于風險是一個比內部控制更為廣泛的概念，因此，新框架中的許多討論比92年報告的討論要更為全面、更為深刻 GAP Enterprises, Ltd., New COSO Framework, 2003。此外，COSO在其風險管理框架討論稿中也說明，風險管理框架建立在內部控制框架的基礎上，內部控制則是企業風險管理必不可少的一部分。風險管理框架的范圍比內部控制框架的范圍更為廣泛，是對內部控制框架的擴展，是一個主要針對風險的更為明確的概念。簡單地看，相對于內部控制框架而言

5、，新的COSO報告新增加了一個觀念、一個目標、兩個概念和三個要素，即“風險組合觀”、“戰略目標”、“風險偏好”和“風險容忍度”的概念以及“目標制定”、“事項識別”和“風險反應”要素。對應風險管理的需要，新框架還要求企業設立一個新的部門風險管理部。新的風險管理框架比起內部控制框架，無論在內容還是范圍上都有所擴大和提高，具體表現在：1提出一個新的觀念風險組合觀（An Entity-level Portfolio View of Risk）在單獨考慮如何實現企業各個目標的過程中，企業風險管理框架更看重風險因素。除單獨考慮各個風險因素之外，更有必要從總體的、組合的角度理解風險。企業風險管理要求企業管理

6、者以風險組合的觀點看待風險，對相關的風險進行識別并采取措施使企業所承擔的風險在風險偏好的范圍內。對企業內每個單位而言，其風險可能落在該單位的風險容忍度范圍內，但從企業總體來看，總風險可以超過企業總體的風險偏好范圍。因此，應從企業總體的風險組合的觀點看待風險。2增加一類目標戰略目標，并擴大了報告目標的范疇內部控制框架將企業的目標分為三類經營、財務報告和合法性目標。企業風險管理框架也包含三個類似的目標，但是其中只有兩個目標與內部控制框架中的定義相同，財務報告目標的界定則有所區別。內部控制框架中的財務報告目標只與公開披露的財務報表的可靠性相關，而企業風險管理框架中的報告目標的范圍有很大的擴展，該目標

7、覆蓋了企業編制的所有報告，既包括內部報告，也包括外部報告；既包括企業內部管理者使用的報告，也包括向外部提供的報告；既包括法定報告，也包括向其他利益相關者年的非法定報告；既包括財務信息，也包括非財務信息。此外，企業風險管理框架比內部控制框架增加了一個目標戰略目標。該目標的層次比其他三個目標更高。戰略目標來源于企業的任務或對未來的預期，經營、報告和合法目標都與其相關。企業的風險管理在應用于實現企業其他三類目標的過程中，也應用于企業的戰略制定階段。3針對風險度量提出兩個新概念風險偏好（Risk Appetite）和風險容忍度(Risk Tolerances)風險管理框架是針對企業目標實現過程中所面臨

8、的風險，對企業風險管理提出風險偏好和風險容忍度兩個概念。從廣義上看，風險偏好是指企業在實現其目標的過程中愿意接受的風險的數量。一般從定性的角度將風險偏好分為風險喜好、風險中性和風險厭惡三種類型。此外，企業也可以采用定量的方法對風險偏好進行衡量，反映企業的目標、收益與風險之間的關系并進行權衡。企業的風險偏好與企業的戰略直接相關，企業在制定戰略時，應考慮將該戰略的既定收益與企業的風險偏好結合起來。不同的戰略給企業帶來的風險也不同，在企業戰略制定階段就進行風險管理，就是要幫助企業的管理者在不同戰略間選擇與企業的風險偏好相一致的戰略。風險偏好的概念是建立在風險容忍度概念基礎上的。風險容忍度是指在企業目

9、標實現的過程中對差異的可接受程度，是企業在風險偏好的基礎上設定的對相關目標實現過程中所出現的差異的可容忍限度。在確定各目標的風險容忍度時，企業應考慮相關目標的重要性，并將其與企業風險偏好聯系起來。將風險控制在風險容忍度之內能夠在更大程度上保證企業的風險被控制在風險偏好的范圍內，也就能夠從更高程度上保證企業目標的實現。4增加了三個風險管理要素，對其他要素的分析更加深入，范圍上也有所擴大 企業風險管理框架新增了三個風險管理要素“目標制定”、“事項識別”和“風險反應”。此外，針對企業將管理的重心移至風險管理，風險管理框架更加深入地闡述了其他要素的內涵，并擴大了相關要素的范圍。(1)目標制定(Obje

10、ctive Setting)在風險管理框架中，由于要針對不同的目標分析其相應的風險，因此目標的制定自然就成為風險管理流程的首要步驟，并將其確認為風險管理框架的一部分。（2）事項識別（Event Identification）企業風險管理和內部控制框架都承認風險來自于企業內、外部各種因素，而且可能在企業的各個層面上出現，并且應根據對實現企業目標的潛在影響來確認風險。但是，企業風險管理框架深入探討了潛在事項的概念，認為潛在事項是指來自于企業內部和外部資源的，可能影響企業戰略的執行和目標的實現的一件或者一系列偶發事項。存在潛在的積極影響的事項代表機遇，而存在潛在負面影響的事項則稱為風險。企業風險管理

11、框架采用一系列技術來識別有關事項并考慮有關事項的起因，對企業過去和未來的潛在事項以及事項的發生趨勢進行計量。（3）風險反應(Risk Response)企業風險管理框架提出對風險的四種反應方案規避、減少、共擔和接受風險。作為風險管理的一部分，管理者應比較不同反應方案的潛在影響，并且在接受的殘存風險應在企業風險容忍度范圍內的假設下，考慮風險反應方案的選擇。在個別和分組考慮風險的各反應方案后，企業管理者應從總體的角度考慮企業選擇的所有風險反應方案組合后對企業的總體影響。（4）控制環境在控制環境要素上，企業風險管理框架更直接、更廣泛地關注風險是如何影響企業的風險文化，無論是明確地還是無意地影響。企業

12、的風險文化是企業員工共有的態度、價值、目標和行動的集合，它表明企業是如何認識風險的。（5）風險評估內部控制框架和企業風險管理框架都強調對風險的評估，評估特定風險發生的可能性和風險的潛在影響，但企業風險管理框架建議更加透徹地看待風險管理，即從固有風險和殘存風險的角度來看待風險，對風險影響的分析則采用簡單算術平均數、最差的情形下的估計值或者事項的分布等技術來分析。最好能夠找到與風險相關的目標一致的計量單位進行計量，將風險與相關的目標聯系起來。風險評估的時間基準應與企業的戰略和目標相一致，如果可能，時間基準也應與可觀測到的數據相一致。企業風險管理框架還要求注意相互關聯的風險，確定一件單一的事項如何為

13、企業帶來多重的風險。正如前面所說，企業風險管理需要管理者建立一種企業總體層面上的風險組合觀。在風險評估方面體現為，對各業務單位、職能部門、生產過程或相應的其他活動負責的各層管理者對其負責的部門或單位的風險應進行復合式評估，而企業高層管理者也應從企業總體層面上考慮相互關聯的風險和企業的總風險。（6）信息和溝通企業風險管理框架擴大了企業信息和溝通的構成內容，認為企業的信息應包括來自過去、現在和未來潛在事項的數據。歷史數據可以使企業將實際的經營成果與目標、計劃和預期相比較，以深入了解企業在過去不斷變化的市場條件下是如何經營的。現在狀況的數據可以向企業管理者提供更多重要的信息，而未來潛在事項的數據和潛

14、在的影響因素可以幫助完成對信息的分析。企業的信息系統的基本職能應以時間序列的形式收集、捕捉數據，其收集數據的詳細程度則視企業風險識別、評估和反應的需要而定，并保證將風險維持在風險偏好的范圍內。此外，由于各管理層是企業風險管理（或者內部控制）的組成部分，并為企業的風險管理（或者內部控制）提供信息，因此，兩個框架對不同管理層的地位和責任都比較關注。但相對于內部控制框架，企業風險管理框架提出設立新的風險管理部門并規定了風險管理員的地位和職責，同時擴大了董事會的職責?？偟膩碇v，新的框架強調在整個企業范圍內識別和管理風險的重要性，強調企業的風險管理應針對企業目標的實現在企業戰略制定階段就予以考慮，而企業

15、在對其下屬部門進行風險管理時，應對風險進行加總，從組織的頂端、以一種全局的風險組合觀來看待風險。此外，根據風險管理的需要，對企業目標進行重新的分類，明確戰略目標在風險管理中的地位。二、 企業風險管理框架的主要內容COSO發布企業風險管理框架的目的與當初發布內部控制框架的目的相似，是由于實務界存在對統一的概念性指南的需要。目前，企業風險管理實務中沒有統一的術語，在企業內部建立一個有效的風險管理框架時也沒有任何普遍接受的原則作為指南。因此，美國COSO委員會于2001年1月設立了風險管理框架計劃，該研究計劃由普華永道會計師事務所牽頭，在參考各國實務界和理論界風險管理研究成果的基礎上，嘗試建立一個風

16、險管理的完整的概念性框架及詳細的實務指南。COSO希望新的框架能夠成為企業董事會和管理者的一個有用的工具，用來衡量企業的管理團隊處理風險的能力，并希望該框架能夠成為衡量企業風險管理項目是否有效的一個標準。所有的組織，無論是盈利組織還是非盈利組織，都是為了其利益相關者的利益而存在。對風險的持續確認和緩和，與確定抓住什么機遇一樣，對保護和提高企業利益相關者的價值是至關重要的。不確定性既代表風險，也代表機遇，既存在使企業增值的可能，也存在使企業減值的風險。在實現企業目標的過程中，企業風險管理框架是一個幫助企業管理者有效處理不確定性和減少風險進而提高企業創造價值的能力的框架。1企業風險管理的定義企業風

17、險管理是一個由企業的董事會、管理層和其他員工共同參與的，應用于企業戰略制定和企業內部各個層次和部門的，用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的，為企業目標的實現提供合理保證的過程。 The Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management Framework, 2003, P3這是一個廣義的風險管理定義，適用于各種類型的組織、行業和部門。該定義直接關注企業目標的實現，并且為衡量企業風險管理的有效性提供了基礎。該定義強調：（1）企業的風

18、險管理是一個過程，其本身并不是一個結果，而是實現結果的一種方式。企業的風險管理并不是一個事項或環境，而是滲透于企業各項活動中一系列行動。這些行動普遍存在于管理者對企業的日常管理中，是企業日常管理所固有的。（2）企業風險管理是一個由人參與的過程，它不只是企業的政策、調查和表格，還涉及一個企業各個層次員工。（3）該過程可用于企業的戰略制定。一個企業確定其對未來的預期和任務，并制定企業的戰略目標。企業的戰略目標是企業最高層次的目標，它與企業的預期和任務相聯系并支持預期和任務的實現。一個企業為實現其戰略目標而制定戰略，并將戰略分解成相應的子目標，再將子目標層層分解到業務部門、行政部門和各生產過程。在制

19、定戰略時，管理者應考慮與不同的戰略相關聯的風險。（4）該風險管理過程應應用于企業內部每個層次和部門，企業管理者對企業所面臨的風險應有一個總體層面上的風險組合觀。為使企業的風險管理獲得成功，一個企業必須從全局、從總體層面上考慮企業的各項活動。企業的風險管理應考慮組織內所有層面的活動，從企業總體的活動（如戰略計劃和資源分配）到業務部門的活動（如市場部、人力資源部），再到業務流程（如生產過程和新客戶信用復核）。（5）該過程是用來識別可能對企業造成潛在影響的事項并在企業風險偏好的范圍內管理風險。（6）設計合理、運行有效的風險管理能夠向企業的管理者和董事會在企業各目標的實現上提供合理的保證。不確定性和風

20、險是與未來相關，但是沒有人可以確切地預測未來。因此，即使建立風險管理框架，也只能提供合理保證。其原因在于人們在進行決策時的判斷可能出錯，對風險反應的決策和建立的控制需要考慮相關的成本和效益，由于人們簡單的失誤和錯誤可能出現企業的破產，可能由于兩個或多個人的串通而繞過控制，管理者有能力忽視企業的風險管理決策等因素。這些限制使得董事會和管理者無法得到企業目標實現的絕對保證。（7）企業風險管理框架針對一類或幾類相互獨立但又存在重疊的目標，目的在于企業目標的實現。有效的風險管理可以為企業財務報告和合法性目標的實現提供合理的保證。這些目標的實現一般在企業的控制范圍內，其實現依賴于相關活動執行的好壞。但是

21、，戰略性目標和經營性目標并不一定在企業的控制范圍內。對于戰略目標和經營目標，企業風險管理只能合理保證管理者和董事會及時了解企業目標實現的進度。總之，企業風險管理是一個過程，企業風險管理的有效性是某一時點的一個狀態或條件。決定一個企業的風險管理是否有效是基于對風險管理八要素設計和執行是否正確的評估基礎上的一個主觀判斷。企業的風險管理要有效，則其設計必須包括所有的八要素并得到執行。但是，各要素之間可能存在著相互抵消的作用，因此，這并不意味著在不同的企業間，不同企業的同一管理層次間，每一要素的執行都同樣有效。企業風險管理可以從一個企業的總體來認識，也可以從一個單獨的部門或多個部門的角度來認識。即使是

22、站在某一特定的業務部門的角度來看待風險管理，所有的八要素也都應作為基準包含在內。該討論稿所討論的概念可以應用于所有企業，無論其規模大小。某些中小企業所采用的風險管理要素的內容與大企業可能不同，但其風險管理仍舊有效。對于每個要素的應用，小企業采用的方法與大企業相比可能并不正式和也沒有系統化，但是，無論企業的規模，其風險管理框架的設計都應包括該風險管理框架報告所講的基本概念。2企業風險管理的構成要素企業風險管理包括八個相互關聯的要素，各要素貫穿在企業的管理過程之中。根據管理者經營的方式，分為內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控等。八要素所包含的內容可以用圖1

23、表示，該圖也表示企業風險管理的業務流程。圖1風險管理八要素的內容內部環境風險管理理念風險文化董事會操守和價值觀對勝任能力的承諾管理方法和經營模式風險偏好組織結構職責和權限的分配人力資源政策和實務目標制定戰略目標其他相關目標選擇目標風險偏好風險容忍度事項識別事項影響戰略及目標的因素方法和技術事項的相互依存性事項類別風險和機遇風險評估固有風險和殘存風險可能性和影響方法和技術相關性風險反應確認風險反應方案對可能的風險反應方案進行評估選擇反應方案風險組合觀控制活動與風險反應相結合控制活動的類型一般控制應用控制特定主體信息與溝通信息戰略和整合系統溝通監控個別評估持續評估（1）內部環境企業的內部環境是其他

24、所有風險管理要素的基礎，為其他要素提供規則和結構。企業的內部環境不僅影響企業戰略和目標的制定、業務活動的組織和對風險的識別、評估和反應。它還影響企業控制活動、信息和溝通系統以及監控活動的設計和執行。內部環境包含的內容很多，包括企業員工的價值觀、人員的勝任能力和發展計劃、管理者的經營模式、權限和職責的分配方式等。董事會是內部環境的重要組成部分，對其他內部環境要素有重要的影響。企業的管理者也是內部環境的一部分，其職責是建立企業風險管理理念，確定企業的風險偏好，營造企業的風險文化，并將企業的風險管理和相關的初步行動結合起來。（2）目標制定根據企業確定的任務或預期，管理者制定企業的戰略目標，選擇戰略并

25、確定其他與之相關的目標并在企業內層層分解和落實。其中，其他相關目標是指除戰略目標之外的其他三個目標，其制定應與企業的戰略相聯系。管理者必須首先確定企業的目標，才能夠確定對目標的實現有潛在影響的事項。而企業風險管理就是提供給企業管理者一個適當的過程，既能夠幫助制定企業的目標，又能夠將目標與企業的任務或預期聯系在一起，并且保證制定的目標與企業的風險偏好相一致。企業的目標可以分為四類：戰略目標是企業的高層次目標，與企業的任務和預期相聯系并支持企業的任務和預期。經營目標是指企業經營的有效性和效率，包括業績目標和盈利性目標，根據管理者對企業結構和經營選擇的不同而變化。報告目標指企業報告的有效性，包括內部

26、和外部報告，既涉及財務信息，也涉及非財務信息。合法性目標是指企業是否符合相關的法律和法規。某些企業使用另一類目標“資源安全”目標，有時也叫“資產安全”目標。從廣義上看，這一目標是防止企業資產或資源的損失，防止由于偷竊、浪費、無效率或僅僅是企業錯誤的商業決策等引起的損失。這里的商業決策錯誤包括以過低的價格出售產品、沒有留住企業的關鍵員工、沒有阻止對本企業專利權的侵害，或者是出現未預期的負債等等。這類廣義的資產安全目標可以針對某些報告目的而收窄其范圍，此時的資產安全概念可以僅僅指預防或及時防止對企業資產的未經授權的購買、使用或處置。(3)事項識別不確定性的存在，即管理者不能確切地知道某一事項是否會

27、發生、何時發生或者事項的結果，使得企業的管理者需要對這些事項進行識別。而潛在事項對企業可能有正面的影響、負面的影響或者兩者同時存在。有負面影響的事項是企業的風險，要求企業的管理者對其進行評估和反應。因此，風險是指某一對企業目標的實現可能造成負面影響的事項發生的可能性。對企業有正面影響的事項，或者是企業的機遇，或者是可以抵消風險對企業的負面影響的事項。機遇可以在企業戰略或目標制定的過程中加以考慮，以確定有關行動抓住機遇。可能潛在地抵消風險的負面影響的事項則應在風險的評估和反應階段予以考慮。（4）風險評估風險評估可以使管理者了解潛在事項如何影響企業目標的實現。管理者應從兩個方面對風險進行評估風險發

28、生的可能性和影響。風險發生的可能性是指某一特定事項發生的可能性，影響則是指事項的發生將會帶來的影響。對于風險的評估應從企業戰略和目標的角度進行。首先，應對企業的固有風險進行評估。固有風險是指企業沒有采用任何管理措施可能使企業面臨的風險。確定對固有風險的風險反應模式就能夠確定對固有風險的管理措施。其次，管理者應在對固有風險采取有關管理措施的基礎上，對企業的殘存風險進行評估。殘存風險是指管理者采取有關的管理措施后仍舊存在的風險。（5）風險反應風險反應可以分為規避風險、減少風險、共擔風險和接受風險四類。規避風險是指采取措施退出會給企業帶來風險的活動。減少風險是指減少風險發生的可能性、減少風險的影響或

29、兩者同時減少。共擔風險是指通過轉嫁風險或與他人共擔風險，降低風險發生的可能性或降低風險對企業的影響。接受風險則是不采取任何行動而接受可能發生的風險及其影響。對于每一個重要的風險，企業都應考慮所有的風險反應方案，為風險反應方案的選擇提供廣泛的空間，這也是對現狀提出挑戰。有效的風險管理要求管理者選擇可以使企業風險發生的可能性和影響都落在風險容忍度之內的風險反應方案。選定某一風險反應方案后，管理者應在殘存風險的基礎上重新評估風險，即從企業總體的角度、或者組合風險的角度重新計量風險。各行政部門、職能部門或者業務部門的管理者應采取一定的措施對該部門的風險進行復合式評估并選擇相應的風險反應方案。這種組合風

30、險觀是相對于部門的目標和風險容忍度而言的。應用于各獨立部門風險組合觀，也可以被大多數高層管理者所采用，以決定企業總體的風險組合與相對企業目標而言的企業總體的風險偏好是否相等。（6）控制活動控制活動是幫助保證風險反應方案得到正確執行的相關政策和程序?？刂苹顒哟嬖谟谄髽I的各部分、各個層面和各個部門。控制活動是企業為實現其商業目標而執行的過程的一部分。通常包括兩個要素：確定應該做什么的一個政策和影響該政策的一系列程序。每個主體都有其自己的一套目標和執行目標的方法，因此，其子目標、結構和相關的控制活動也會不同。即使兩個企業有同樣的目標和結構，由于每個企業的管理人員都不同，不同的管理人員在影響內部控制時

31、使用不同的個人判斷，他們的控制活動也很可能不同。而且，控制活動還會受企業所處的環境和行業、企業的復雜性、企業的歷史和文化的影響。（7）信息和溝通來自于企業內部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業的員工能夠執行各自的職責。有效的溝通也是廣義上的溝通，包括企業內自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關的信息與企業外部相關方的有效溝通和交換，如客戶、供應商、行政管理部門和股東等。（8）監控對企業風險管理的監控是指評估風險管理要素的內容和運行以及一段時期的執行質量的一個過程。企業可以通過兩種方式對風險管理進行監控持續監控和個別評估。持續監控和個別評

32、估都是用來保證企業的風險管理在企業內各管理層面和各部門持續得到執行。所有風險管理的失效都會影響企業確定和執行戰略的能力，影響企業實現其既定目標的能力。這里“失效”是指企業風險管理過程中值得注意的某種情形。失效可能代表一種預期的、潛在的或真實的缺陷，或者代表加強風險管理過程的一個機會，以增加企業目標實現的可能性。對此，應將企業所有的風險管理失效都報告給適當的管理層，以保證其采取必要的措施以糾正風險管理失效。監控還包括對企業風險管理的記錄，對企業風險管理進行記錄的程度根據企業的規模、經營的復雜性和其他因素的影響而有所不同。企業風險管理的內容沒有記錄并不意味著風險管理無效或無法對風險管理進行評估。但

33、是，適當的記錄通常會使風險管理的監控更為有效果和有效率。當企業管理者打算向外部相關方提供關于企業風險管理效率的報告時，他們應考慮為企業風險管理設計一套記錄模式并保持有關的記錄。3風險管理要素和企業目標、企業內各層面及部門的關系企業的風險管理框架包括四類目標和八要素。四類目標分別是戰略目標、經營目標、報告目標和合法性目標，八要素是內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控，是企業實現各類目標的保證，它們相互之間存在直接的關系。而且，新的風險管理框架還強調在整個企業范圍內實行風險管理。對此，可以用一個三維矩陣圖來表示（如圖2所示）。合法目目標標告標目營經報戰略目標

34、子公司業務單位部門層面企業總體層面監控信 息 和 溝 通控制活動風險反應風險評估事項識別目標制定內部環境圖2風險管理八要素與企業目標、各層面及部門的關系4各管理層在企業風險管理中的地位和職責（1）董事會企業的管理者向董事會負責，而董事會對管理者履行管理、指導和監督職能。董事會是企業內部環境的一個組成部分，必須有保證風險管理有效的必要的組織結構和對風險管理的關注。通過選舉管理者，董事會在界定其所期望的員工的操守和價值觀時起主要作用，并能夠通過監督活動證實其對員工的預期。同樣，通過在某些關鍵的決策中保留其權限，董事會在制定戰略、確定企業高層次的目標和進行廣義的資源配置時起到一定的作用。董事會對企業

35、的風險管理負有監督職責，主要通過以下方式實現其職責：了解管理者在企業內部建立有效的風險管理的程度；獲知并認可企業的風險偏好；復核企業的風險組合觀并與企業的風險偏好相比較；評估企業最重要的風險并評估管理者的風險反應是否適當。（2）管理者企業的首席執行官對企業的風險管理最終負責，即擁有企業風險管理的“所有權”。與企業內其他員工不同，首席執行官在企業的高層確定風險管理的基調，從而影響企業內部環境中的員工操守和價值觀及其他因素。在大公司中，首席執行官通過向高級管理者分派領導權和提供指令并復核其管理企業的方式等來履行其職能。高級管理者會進一步將制定更具體的風險管理政策和程序的責任分派給負責各部門運行的管理者。在一個小企業，首席執行官既是企業的管理者，但同時也是企業的所有者，其對風險管理的影響則更為直接。（