六：公司如果沒有進行企業風險管理，那么它們是如何管理風險的？

大多數公司都采用傳統的風險管理模式，因此，在這些公司中，企業風險管理只是一個“未來的目標狀態”，如下圖所示：

從傳統風險管理模式過渡到上述的企業風險管理模式不是輕而易舉的事情。在傳統的風險管理方法中，過程是斷續的，缺乏完整性，風險也被看成是（力求避免的）消極不利的因素，臨時的被動行為被普遍地認同，而且風險管理活動也以交易為導向（或以成本為基礎），關注范圍狹隘，依靠職能拉動。但是，在（COSO所定義的）企業風險管理中，整個流程是完整一體化的，是連續不斷的。風險也被看成是積極有利的因素（因認識到成功的公司要抓住機會就必須得冒險），因此，采取主動積極的行為也在人們的預料之中，而風險管理活動也是富有戰略目標（或增值）的活動，關注的范圍較寬廣，依靠流程拉動。傳統風險管理模式側重于管理與實物資產和財務資產相關的不確定因素。企業風險管理則側重于管理企業的整個資產組合，包括無形資產（如客戶資產、雇員和供應商資產）和組織資產（如差別化戰略、獨特品牌、創新性流程和專用系統等）。在業務活動的所有方面都已經采用了真正全企業思想的公司寥寥無幾。在建設企業風險管理基礎設施的初期階段，公司一般都只是奠定了基礎，包括確立共同的風險語言、建立風險管理監督結構和采用適用于整個企業的風險評估流程。少數公司已經逐步地邁向較成熟的階段，如在管理市場和信用風險方面擁有豐富經驗的金融服務業機構。有些公司只在特定的業務單位中實行企業風險管理，如在貿易部門中，對全公司的商品價格風險進行管理。

七：誰負責企業風險管理工作？

因為企業風險管理的重點工作是制定戰略，因此，主體責任應當從企業的最高層開始，自執行管理層逐級地向下延伸，直到各業務單位和職能經理（執行管理層的職責將在第39-45個問題中予以討論）。董事會負責進行監督（董事的職責將在第46-49個問題中予以討論）。此外，首席風險官（或類似職權的高管人員）也將參與這項工作（其職責將在第50-52個問題中予以討論）。視風險的性質及其復雜程度，以及有無跨職能、跨部門協調的必要性，相應地也可能還要設立一個或多個風險管理委員會。第53-57個問題依據風險管理監督結構分別對這些執行人員的職責做了解釋說明。

八：公司可立即采取哪些措施來進行企業風險管理？

有些步驟，任何企業都可以立即開始采用。對于這些措施，我們將在本書中予以闡述。例如，企業可以：

1：采用某種共同的風險語言

2：進行企業風險評估，辯明企業的主要風險，確定其輕重緩急的次序

3：針對重大風險管理能力這個問題，對公司現行狀況及希望達到的水平進行差距分析

4：清楚地表達風險管理的愿景、目的、目標和鮮明的價值主張，為進一步行動提供經濟學上的理據

5：提升企業在1、2項重大風險中的風險管理能力，即先從高級管理層認為為成功實施經營戰略有必要予以改進的某個風險領域開始

盡管可能還有其他的一些措施，但上述這些措施不失為一個良好的開端，能簡化企業風險管理實施工作的環境。此外，梳理清點已完成的工作，及早地取得一些直觀可見的成果，也很重要。關鍵是要把企業風險管理的相關活動同經營戰略及計劃相結合，簡化工作，提高其針對性。

九：企業風險管理對規模較小、復雜性較低的企業是否也適用？

無論規模大小如何，所有企業都面臨著經營風險。企業如果無視這些風險，就有可能會陷于險境。任何一個企業都不能滿足于現有的風險管理能力而停滯不前，因此，每個企業都應該評估如何才能改善自己的風險管理。就這方面來說，COSO的《框架》為各企業提供了一個賴以比較其現有風險管理能力的標準，因此該《框架》對企業大有裨益。COSO在其頒布的《框架》中第13頁上指出：

在實施[企業風險管理]某些內容的過程中，盡管一些中小企業所采用的方式可能與大型公司的有所不同，但它們的風險管理工作可能仍然行之有效。小公司的風險管理方法可能不像大公司的那樣正規，組織體系設計也不像大公司的那樣嚴密，但在每個企業中，基本的思想都應當存在。

十：為什么有些公司雖試行了企業風險管理卻沒有成功？

已經按COSO定義來進行企業風險管理的公司為數不多。例如，COSO的定義明確地指出：企業風險管理必須“在整個企業中實行、在每個層面和每個單元都要實行，包括從企業全局層面的綜合角度來審視各種風險 。”除非在整個公司上下統一地實行企業風險管理，全面綜合地關注所有的主要業務風險，否則就算不上是真正意義上的企業風險管理。此外，除非把企業風險管理的實施工作同企業經營戰略的評估和制定工作緊密地結合起來，否則就也未達到COSO規定的要求。盡管有些公司已經開始走上了實施企業風險管理的道路，但已經走完整段路程的公司卻幾乎沒有幾家。

十一：實施企業風險管理就能確保企業會取得成功嗎？

企業風險管理并不能保證企業就一定能取得成功。企業風險管理可以為管理人員提供更好的信息，更強大高效的流程，但是，它卻并不能把一名拙劣的經理轉變成一名優秀的經理。COSO指出，“由于各種現實情況不同，企業風險管理也會存在一些局限。例如，在進行決策時，人們的判斷可能會有缺陷；在提出響應和控制風險的相關決策時，需要兼顧到相關的成本和利益；由于人為事故（如簡單失誤或過錯等），中途可能會出現阻塞和故障；控制也可能會由于諸如簡單失誤或過錯之類的人為事故，或者多人故意串通舞弊行為，而遭到規避，失去效力；此外，管理層是否能不受企業風險管理決策的約束，是否具有酌情自決的能力。”COSO的定義也提到了“合理保證。”據COSO所述，“合理保證”體現了“不確定性和風險同未來相關”的思想，對于未來，任何人都不可能做出準確無誤的預測。”COSO在其《框架》第8頁中還寫道：“合理保證并不意味著企業風險管理經常會失敗…。由于風險應對能滿足多重目標，會形成一些累積效果，再加上內部控制也具有多功能的屬性，因此，企業目標可能難以實現的可能性會得以降低……但是，一些無法控制的事件、人為過錯或者報告偏差事故依然可能會出現。換句話說，即使是最有效的企業風險管理也可能會失敗。合理保證并不是絕對的保證。”

十二：企業風險管理與一般管理有什么區別？

企業風險管理雖然是企業管理的一個組成部分，但是它并不能推動管理層的每項工作。COSO指出“在進行決策和采取相關管理行動的過程中，管理層要做出許多判斷，這些判斷雖然是管理過程的組成部分，但卻并不是企業風險管理的組成部分。”COSO在《框架》第14頁中舉出了幾個例子。例如，就有關的經營目標、具體的風險應對措施和企業資源的分配劃撥等問題而言，管理層所做出的權衡選擇是管理決定，而不是企業風險管理的一部分。也就是說，風險管理既不是對現行核心業務管理活動的總結反思，也不是對這些管理活動的充實補足。在企業風險管理的環境下，風險管理是與戰略制定、業務規劃、績效測評以及其他業務內容的有效融合。

十三：“實施企業風險管理”是什么意思？

我們認為企業風險管理的實施應該著重于制定戰略。正如我們在解答第85個問題時所述的那樣，由于各企業的主要風險（根據企業經營戰略情境而確定出來的）不同，同管理這些風險相關的各方面差距也不同，相應地，企業風險管理的實施工作也會有所不同。企業風險管理不是現成的、“包治百病”的靈丹妙藥。管理層必須根據企業的規模、目標、結構、文化、管理風格、風險特性、所在行業、競爭環境和企業財力等因素來確定企業風險管理解決方案的性質。據COSO看來，上述因素和其他一些因素都會影響企業風險管理框架的應用方式。實施企業風險管理需要管理層采取以下步驟：

(a) 查明和了解企業面臨的主要風險，進而確定賴以實施風險管理的廣闊情境；

(b) 按照COSO《框架》，確定本企業的風險管理能力現狀； 

(c) 按照COSO《框架》，確定本企業在風險管理能力方面希望達到的水平； 

(d) 分析并明確地表達出(b)和(c)之間的差距，以及消除差距需采取的改進措施。改進措施的性質隨(i)企業的現有能力及經驗和(ii)管理層致力于改進和超凡出色的意愿高低而定；

(e) 根據(d)中的分析，提出解決這個差距的經營模式，為全面的企業風險管理基礎設施改進工作提供經濟依據； 

(f) 制定相應的計劃，以促進實現預期的企業風險管理基礎設施能力，并處理同執行計劃相關聯的變革問題； 

(g) 進行必要的監督，給予必要的援助，確保整個工作得到有效地綜合和協調；

有關啟動企業風險管理工作的進一步建議，參見第85個問題中的解答。COSO指出企業風險管理只是“實現目標的一種手段，其本身并不是目標。”企業風險管理日益盛行的趨勢表明：風險越來越錯綜復雜，相互關聯，企業的經營環境絲毫沒有變得更簡單寬松。因此，在整個企業的基礎上，對風險進行全面綜合的評估和管理具有很大的裨益。進行企業風險管理的過程實質上就是一個施行教育、建立意識、強化認同、最終劃分問責范圍和形成主體責任感的過程。由于全球市場不斷地變化和演變，風險也會隨之不斷地發生變化，所以，我們應該把實施企業風險管理工作看成是對持續改進活動而不是對單一事件的承諾。

十四：實施企業風險管理一般需要多長時間？

目前盛行將企業經營的各項計劃行動看成是松散分立的活動，都有著明確規劃的奮斗目標和嚴格界定的時間安排。盡管從項目管理學科的角度來看，企業風險管理當然也不例外，但企業風險管理卻遠不僅僅只是一個項目，而是一段旅程，也就是說它是一個發展的過程。在這個過程中，企業將風險管理同制定戰略相結合，進而逐步地提升其風險管理能力的效果。實施企業風險管理所需的時間各不相同，隨各公司風險管理能力現狀、希望達到的水平和愿意投入的資源量而定。此外，企業風險管理需要有一個開放的環境，以便于風險及風險管理的相關信息能在企業內實現全方位的有效溝通，因此在許多組織中，可能會存在一些文化方面的障礙需要克服。例如，除了財務方面的障礙之外，企業風險管理還需要消除一系列職能或部門方面的障礙，以便于采取綜合全面的、主動超前的和以流程為導向的方法來管理關鍵的業務風險和機遇。如果還有變革管理方面的重大問題需要解決，實施企業風險管理的時間將會延長。雖然某些具體措施，任何公司都可以采用，而且在12個月之內就有可能初見成效，但我們預計在全面地實行企業風險管理解決方案上，絕大多數公司都需要花上3-5年時間，才能最終實現它們的目標。

十五：是否有某種方法可以作為基準，確定出實施企業風險管理所需的投資水平？

正如第13個和第14個問題的回答中所述，就所需的投資水平很難做出一概而論。其中一個原因是，各公司的風險管理現狀和希望達到的水平各不相同。另外，企業風險管理也是公司內每個主要人員的責任。COSO指出“企業風險管理受董事會、管理層和其他人員的影響”。企業風險管理構成了這些人員活動的一個部分。管理企業和管理風險必然會糾纏在一起，不可分離。因此，管理層必須根據企業的實際情況和環境條件來確定企業風險管理解決方案的性質。由于各公司的起點和終點都不一樣，所以各企業的途徑也都有各自的特點。對于確定實施企業風險管理所需的投資水平而言，一種有效的方法是，將企業的現行風險管理活動同某個框架（如COSO的《框架》）進行對比。然后把比較的結果作為可資參考的依據，授權高級管理人員小組界定風險管理在企業內的角色。在此評估的基礎上，按實施預期的企業風險管理基礎設施所需的人力、工具及其他資源，便可以確定出投資水平。在回答第85個問題中，我們提到企業有必要率先進行企業風險評估和就主要風險的管理進行差距分析，這也為估測投資水平提供了可資參考的情境。