如果管理层对于“不可想象的问题和风险”竟毫无作为，那么董事会的讨论也便无从谈起。本文总结和探讨了识别新兴风险的实用原则，以及董事会风险监督流程为管理层设定预期，及时向董事会汇报有关风险的重要性。新兴风险往往由商业环境中的意外变化引起。从一触即发的灾难性事件（如海啸、飓风或恐怖袭击）到因外部和/或内部因素长期刺激而加快实现的既有风险（如内部控制环境或风险文化的失效），它们包括但不限于具有潜在破坏性影响的各类事件，其形成和发展速度亦各异。某些市场因素的突然转变（例如客户喜好、竞争对手、技术创新、监管要求和/或经济状况等）同样也会导致新兴风险。对高度重视预先警报的董事会来说，新兴风险的重要性不言而喻，而不时的未雨绸缪可以让董事会与管理层就风险保持实时对话。主要考虑因素每个组织机构都需要设置一个有效的流程来识别新兴风险和既有风险的变化。这些风险与董事会的风险监督流程高度相关。它们就像深埋在企业内部流程的一颗定时炸弹，会在毫无预警的情况下突然爆发，令企业措手不及。例如，疏于防范环境健康和安全问题的企业文化可能会招致一些事件，逼迫企业领导层立即进入损害控制模式。又例如，对公共健康构成危害的未知（或已知）产品缺陷终会暴露在媒体聚光灯下，而届时企业将为此付出惨重代价。

新兴风险就好比在演变成无法控制的明火之前人们就可以从远处看到和嗅到的阴燃火，但其潜伏期会长达数月甚至数年。例如，人口老龄化、贫富差距日益扩大，以及就业持续不足等问题已是年深日久。毋庸置疑，这些问题最终将改变社会和政治格局，并影响消费者对商品和服务的需求。一切不过是早晚的问题。受制于新兴风险的本质，外加对企业所受影响缺少把握和共识，高管人员和风险管理人员很难评估这些风险的相关性并做出恰当应对。鉴于这种不确定性，管理层或许不愿意指定相关风险责任人。

上述种种因素令管理层难以决定应向董事会汇报哪些内容，更何况董事会议程繁忙。即便如此，在企业整体战略的背景下定期考虑新兴风险可以让企业的风险特征和风险管理对话保持实时更新，并令管理层和董事会获得前瞻性视角。大多数公司都会定期开展风险评估工作，通常是一年一次。但风险变化的速度正在持续加快，企业应在开展定期风险评估的间隙建立有效流程来识别新兴风险，这对董事会的风险监督至关重要。即使所识别出的新兴风险并不容易理解，但随后的对话与沟通亦可提高企业的风险意识。为培养这种意识和健全风险监督流程，董事会可参考以下原则来确定其所负责监督的企业应如何识别和传达新兴风险：01预期管理层及时知会董事会与商业模式相关的新兴风险和趋势——高管人员和风险管理人员负责向董事会汇报重大新兴风险和企业既有风险的主要变化。此类汇报工作的时间安排和频率取决于风险对组织影响的严重性、风险影响的速度（或起效速度）以及风险显露与否和显露的时间。董事会应预期或要求管理层审查、监控和理解最重大的新兴风险，并在风险的性质及其对组织的影响日益明朗后制定适当的风险应对措施。02考虑新行动计划的潜在后果及影响——管理层在实施新战略，例如研发、并购以及寻求其他举措和机会时，务必要了解这些措施和机会对企业资源、基础设施（政策、流程、员工和系统）和文化的影响，以及它们对旨在实现其他首要业务目标的现有活动的影响。除此之外，还应考虑行动计划对客户、供应商、监管部门、竞争对手和其他外部各方的潜在影响。03利用合理及最坏情景分析来质疑关键假设——情景分析旨在评估一个或多个事件对关键业务目标的影响，进而识别机遇和避免不可接受的损失及意外。管理层应评估可能会令关键假设失效的相关情景。对于最坏情景，管理层和董事会应确保所采用的情景足够极端，因为即便是发生概率较低的风险，例如爆发瘟疫、基础设施薄弱（断电）或国家/城市因财政困难面临崩溃，也可能会与企业的商业模式高度相关。这里的关键问题不是“会不会发生？”，而是“如果发生了，会产生哪些影响？我们应如何响应？”04利用关键风险指标（KRIs）来识别新兴风险或调整现有风险——KRIs是用以监控风险和风险对策以及协助风险汇报的定量或定性指标。与关键绩效指标（KPIs）不同的是，KPIs在本质上是回溯性的，而KRIs则是前瞻性的引导指标。虽然KRIs主要