企业全面风险管理

一．全面风险管理的定义、产生背景

风险管理的权威性定义有两个。其一，“企业风险管理是企业在实现未来战略目标的过程中，试图将各类不确定因素产生的结果控制在预期可接受范围的方法和过程，以确保和促进组织的整体利益实现。”（2006年4月，亚洲风险与危机管理委员会）。其二，“企业风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。他的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平，从而帮助企业达成目标”（2003年7月，美国COSO委员会）。以上两个定义都说明，企业风险管理的目的，不是回避风险和减轻风险，而是对风险实施有效的管理，寻求风险和收益的最佳平衡点，以实现企业战略目标。风险管理既包括预测和回避威胁与损失，也包括识别与把握风险后的机遇。

全面风险管理（ERM），指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法(中央国资委，2006年)。

有别于企业危机管理、预警管理等狭义的风险管理手段和方法，全面风险管理（ERM）的“全面”体现在以下几个方面：其一，战略性。企业内部控制、保险工具、金融衍生工具，这些主要用于防损为目的的方法和工具基本上主要用于操作层面，而难以谈及对企业战略的突出支持意义，全面风险管理试图从战略层面入手，对企业面临的风险进行梳理和分析，并制订相应的管理和应对策略；其二，系统性。全面风险管理涉及发展战略、企业文化、公司治理、组织架构、管理流程、信息系统、财务安排、金融工具使用等企业经营的方方面面，对风险管理技术、手段、方法、策略进行了全盘的整合。其三，专业性。全面风险管理推进风险管理职能部门的设立，实施专业化管理。最后，全员性。全面风险管理是企业董事会、管理高层、各部门、各层次全员参与的一项活动。

ERM产生于上世纪90年代中后期，致力于推广ERM的相关机构将其出现称作是“90年代及网络革命后的第二件大事”。ERM产生基于以下原因：首先是来自于企业的动力。经济全球化的驱动、跨国寻求发展等导致企业经营的风险程度不断增加，企业必须考虑增强自身对风险的控制力，增加决策的前瞻性；第二，企业风险管理方法、工具、手段的发展创新（例如企业内控、危机管理理论产生、衍生金融工具和保险市场的发展）等为ERM的产生奠定基础；第三，信息技术革命一方面增加了企业面临风险的新内容，另一方面也提供了管理风险的新手段；第四，对风险评估方法、技术、战略性价值的日益认同；第五，风险管理全球性标准的发展，继澳大利亚和新西兰1996年推出风险管理标准后，加拿大1997年、英国2000年，美国2004年等陆续推出风险管理标准。第六，美国证券市场上的一系列财务丑闻的发生和萨班斯奥克斯里法案的出台。此外，并不排除ERM这一“拼盘式”的管理体系出台和推广能够为一些管理咨询公司带来可观的收益，普华永道等一流咨询公司的推波助澜使ERM迅速“走红”。

二．全面风险管理与公司治理

全面风险管理为公司治理提供了新的视角和内容，这主要体现在三个方面：
第一，基于风险管理思想的风险管理委员会的产生，使公司治理组织形式发生了重大变革。风险管理委员会的基本职能包括：批准风险管理战略、政策与流程；指导企业全面风险管理工作（风险文化、风险评估、工具办法等）；指导善用企业资源；优化与监督企业风险管理体系，保障企业与股东利益；监督与优化企业信息决策系统，保障企业持续发展；以风险管理的新技术和方法技能支持企业绩效最大化的发展。风险管理委员会的设立方式有三种：一是由董事会直接设立。在已有的战略委员会、审计委员会、薪酬与提名委员会的基础上，专设风险管理委员会，向董事会直接负责；二是在首席执行官下设风险执行会员会，贯彻落实董事会的风险管理战略，协调各业务单位、部门、分支机构的风险管理工作，向首席执行官报告；三是双重委员会制。即董事会和管理层分别设置。董事会下风险管理机构侧重于风险管理的规划和监督，首席执行官下的风险管理机构负责贯彻和执行。风险管理委员会搭起了所有者和经营者关于企业风险态度和风险应对的一座沟通桥梁，为所有者风险评价、风险把控提供了渠道和手段；为经营者风险管理搭设了运作平台。

第二，设立专职风险管理岗位，实现风险管理专业化。在CEO、CFO、COO的基础上，世界上第一个风险执行官（CRO）于美国金融机构诞生。目前世界级的金融机构80%以上的企业已经设立了CRO职位。西方一些企业尽管未设立CRO，但其工作职能也暂由副总裁或风险管理委员会代为行使。CRO在组织中的角色包括：提供对企业全面风险管理的统一领导、设想和指引；对整个机构的所有风险建立综合的风险管理框架；研发风险管理策略，包括通过利用特别的风险限制来量化管理层的风险倾向；执行整套的风险指标和报告，包括损失与事故、主要风险敞口和早期预警指示；基于风险程度把经济资本配置给各业务活动，并且通过风险策略优化公司风险组合；向主要相关利益者通报公司的风险状况；发展分析风险管理信息系统以支持企业全面风险管理（詹姆斯.林）。

第三，风险管理与内部审计协同配合，并体现出融合之势。内部审计工作内容的演变，整体呈现出：会计基础审计（查帐防弊）----〉流程基础审计（经营审计）-----〉风险基础审计（风险导向审计）的基本趋势，全面风险管理为内部审计提供了方向、方法，拓宽了内部审计的视角，内部审计工作和风险管理相辅相成、互为弥补，丰富了公司内部自我监督约束的内容和手段。詹姆斯林甚至预言，随着全面风险管理理论与实践的日益成熟，内部审计将成为风险管理的一个执行环节，未来的审计委员会也将最终演变为风险管理委员会。

三．全面风险管理与内部控制

1992年，COSO在其内部控制的标准框架中引入了风险评估等要素，标志着比传统会计模型更为宽泛的风险控制框架的诞生。此后很多专业组织发布了补充性文件或标准，逐步将内部控制与企业风险管理的结合向宽泛化、深度化发展。2004年正式发布的COSO---ERM框架，将内部控制与风险管理的关联性推进至一种近于无缝的结合。企业经营所必须承受的风险，如果不能够采用风险转移或有效对冲等手段进行低成本科学化管理的话，就必须考虑利用企业风险内部控制的方法进行风险管理。尤其是对企业无可回避的关键性重大风险，必须设计严格的控制流程，并密切实施监控，而这些都是内部控制的内容。从某种程度上讲，萨班斯奥克斯利法案强制性地引发了对COSO内控框架的关注，而COSO内部控制框架在2004年依托全面风险管理思想进行的修订和调整，最终将人们对全面风险管理的关注引向巅峰。

全面风险管理和内部控制的区别体现在以下几个方面：

从性质上来讲，内部控制是一种基于损失最小化的被动式预防管理，注重于通过环境分析，在管理政策、组织机构、业务流程、市场经营层面减少不确定性，将风险可能带来的损失降到合理的程度之下，内部控制关注的焦点是信息和决策的质量控制和操作风险控制；风险管理是基于损失最小化管理和绩效最优化管理相结合的一种管理方式，兼具防御性管理和进取性管理的双重特征，寻求的是风险和机遇的最佳平衡点。
从内容上来讲，内部控制主要侧重于企业内部围绕控制活动的各项流程的规范重整，而全面风险管理除了内部流程外，还包括企业外部和证券市场、保险公司、供应商等合作伙伴、政府等相关部门围绕企业风险的各种合作与博弈活动，包括各种财务安排、公共关系（例如政府关系、媒体关系）、衍生金融工具的使用等等。

从涉及的风险特征来看，内部控制针对的是企业需要承担的风险，针对需要承担的风险在流程层面体现应对举措；而全面风险管理应对的是所有的风险，需要根据风险及其收益的判断，来做出风险的取舍。

全面风险管理与内部控制的联系体现在以下几个方面：

内部控制是全面风险管理的重要组成部分和全面风险管理的基本依托。正是在已经成熟完善的内部控制的基础上，进行外围的延伸，将危机管理、预警管理、金融风险控制、战略风险控制的相关内容和风险识别风险评估的相关技术进行整合，形成了全面风险管理体系。

全面风险管理思想贯穿在内部控制体系的设计之中。内部控制系统的设计，首先要识别关键风险流程，例如企业并购、期货交易等，针对这些关键风险流程实施重点设计。其次，要围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行规章制度、程序和措施。

四．全面风险管理流程

（一）建立风险管理信息系统，收集和管理风险信息。

建立合理与完善的现代企业风险管理信息系统是企业提升预测、监测、预警机量化风险管理能力的根本保证。现代风险管理信息系统包括：信息处理系统；风险识别系统；风险预测、预警与报警系统；风险管理量化与分析软件体系；风险审计软件支持系统；网络预警与网络审计系统；分析与决策支持系统。建立全方位多角度的风险信息收集渠道，利用风险管理信息系统对风险信息过滤、梳理、整合、分类。

（二）进行风险评估

风险评估包括风险识别、风险度量、风险分析、风险评价几个组成部分。

ERM层面企业整体风险识别模型框架可以分为四类：一是目标导向型风险识别。任何可能危及整体及部分目标实现的事件都可以被视作风险；二是情景导向风险识别。情景可以理解为达到目的的不同方式，任何触发不希望情景的事件都被视作风险；三是分类导向风险识别。依据风险事故对风险实施编辑；四是经验导向风险识别，将经验转化为知识库，如对常见风险作出检查表，进行对照等。COSO---ERM框架模型属于典型的目标导向分类识别；英国标准模型（AIRMIC）属于分类导向风险识别。风险识别技术包括头脑风暴、问卷调查、操作运营研究、行业标准对照、风险评估研讨会、事故调查、稽核与检查、HAZOP（危害性事件及运作能力研究）等。

当代企业应用最为广泛的几种风险度量与分析方法包括：风险价值法（VAR）；压力测试法（情景分析的一种形式）；风险调整资本收益法（RAROC）；经济资本法。通过风险度量和分析，把握风险的频度、程度、危害和潜在的机遇。

在风险度量和分析的基础上，可以利用风险坐标图等工具，对多项风险进行直观的比较，从而确定各风险管理的优先顺序和策略。

（三）拟定风险管理策略

风险管理基本战略对策包括避免、保留（接受）、转移、减少、利用五类。

应予以避免的风险具备以下特征：该风险与企业战略关联度较小；风险回报率不佳；企业现有条件下还没有能力控制该方面的风险。避免风险的方法包括：放弃或不接受暗含该风险的新机会；停止某业务，放弃与退出市场；抛售（个别或某些）业务；禁止（限制）某些高风险活动（通过政策、处罚、设防等方式）。

应予以保留（接受）的风险具备以下特征：为实现战略而不可摆脱的固有风险；风险稳定，不会再加大；对承受风险损失已经有所准备。保留风险的应对方法包括：预算出可能的损失额度，用额外预留资金或其他风险融资方式对冲；集团内调拨资金平衡总风险；必须制订风险应对计划。

应予以转移的风险具备以下特征：风险发生频率不大，但可能损失太大；市场上已经存在较好的风险转移工具。转移的方法包括：保险合约（通用合约，量身度造合约）转移；衍生金融工具转移；保险---资本市场混合新工具转移）；通过联盟签约等联合承担风险，实现部分风险转移；其他签订合约的专业方法。

应予以减少的风险具备以下特征：为实现企业战略而不可摆脱的固有风险；对风险的损失已经有所准备。“控制”为减少风险的主基调，减少风险的方法包括：风险分散管理原则（如分散资产的类别）；隔离控制原则；全方位管理控制；实施特定风险的特定控制程序；预算出可能的损失额度，计划好自筹资金的对冲方式；制订风险应对计划。

利用风险的前提因素为：风险管理的目的不是消灭风险，而是管理风险，消灭风险也就等于消灭了机遇。风险的利用原则包括：利用固有的风险进入市场、并购联合、引进项目；在有把握的前提下，加大新风险的程度，抓住新机遇；重新设计更具挑战性的经营模式等。开发新市场、新产品，收购合并，企业重组、流程再造、多样化投资、套利交易等均是利用风险的实例。

在制订风险管理对策时应综合考虑以下因素：地区特点、法律环境限制；对剩余风险的考虑；风险的严重程度（关键性）；风险产生的可能性；风险产生的频率；风险的相互关联性；人员的道德操守；信息的有效性（可靠性）；企业文化等。

（四）制订风险管理解决方案

在风险管理策略基础上，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如：关键风险指标管理、损失事件管理等)。风险管理解决方案是风险管理的主干，是要将风险反应策略落实到各项政策（policy）和程序(process)。包括针对每种业务活动建立起清晰的授权体系，建立各项业务流程的运作标准、明确岗位职责、实施业绩评价等。以及保险工具和衍生金融工具的使用等。

五、风险管理技术方法与工具

（一）风险坐标图

风险坐标图是把风险发生可能性的高低、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上（即绘制成直角坐标系）。对风险发生可能性的高低、风险对目标影响程度的评估有定性、定量等方法。定性方法是直接用文字描述风险发生可能性的高低、风险对目标的影响程度，如“极低”、“低”、“中等”、“高”、“极高”等。定量方法是对风险发生可能性的高低、风险对目标影响程度用具有实际意义的数量描述，如对风险发生可能性的高低用概率来表示，对目标影响程度用损失金额来表示。

对风险发生可能性的高低和风险对目标影响程度进行定性或定量评估后，依据评估结果绘制风险坐标图。绘制风险坐标图的目的在于对多项风险进行直观的比较，从而确定各风险管理的优先顺序和策略。如：某公司绘制了如下风险坐标图，并将该图划分为A、B、C三个区域，公司决定承担A区域中的各项风险且不再增加控制措施；严格控制B区域中的各项风险且专门补充制定各项控制措施；确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。

（二）蒙特卡罗方法

蒙特卡罗方法是一种随机模拟数学方法。该方法用来分析评估风险发生可能性、风险的成因、风险造成的损失或带来的机会等变量在未来变化的概率分布。具体操作步骤如下：

1．量化风险。将需要分析评估的风险进行量化，明确其度量单位，得到风险变量，并收集历史相关数据。2．根据对历史数据的分析，借鉴常用建模方法，建立能描述该风险变量在未来变化的概率模型。建立概率模型的方法很多，例如：差分和微分方程方法，插值和拟合方法等。这些方法大致分为两类：一类是对风险变量之间的关系及其未来的情况作出假设，直接描述该风险变量在未来的分布类型（如正态分布），并确定其分布参数；另一类是对风险变量的变化过程作出假设，描述该风险变量在未来的分布类型。3．计算概率分布初步结果。利用随机数字发生器，将生成的随机数字代入上述概率模型，生成风险变量的概率分布初步结果。4．修正完善概率模型。通过对生成的概率分布初步结果进行分析，用实验数据验证模型的正确性，并在实践中不断修正和完善模型。5．利用该模型分析评估风险情况。

由于蒙特卡罗方法依赖于模型的选择，因此，模型本身的选择对于蒙特卡罗方法计算结果的精度影响甚大。蒙特卡罗方法计算量很大，通常借助计算机完成。

（三）关键风险指标管理

一项风险事件发生可能有多种成因，但关键成因往往只有几种。关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。具体操作步骤如下：

1．分析风险成因，从中找出关键成因。
2．将关键成因量化，确定其度量，分析确定导致风险事件发生（或极有可能发生）时该成因的具体数值。
3．以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标。
4．建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息。
5．制定出现风险预警信息时应采取的风险控制措施。
6．跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施。

该方法既可以管理单项风险的多个关键成因指标，也可以管理影响企业主要目标的多个主要风险。使用该方法，要求风险关键成因分析准确，且易量化、易统计、易跟踪监测。

（四）压力测试

压力测试是指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。具体操作步骤如下：

1．针对某一风险管理模型或内控流程，假设可能会发生哪些极端情景。极端情景是指在非正常情况下，发生概率很小，而一旦发生，后果十分严重的事情。假设极端情景时，不仅要考虑本企业或与本企业类似的其他企业出现过的历史教训，还要考虑历史上不曾出现，但将来可能会出现的事情。

2．评估极端情景发生时，该风险管理模型或内控流程是否有效，并分析对目标可能造成的损失。

3．制定相应措施，进一步修改和完善风险管理模型或内控流程。

以信用风险管理为例。如：一个企业已有一个信用很好的交易伙伴，该交易伙伴除发生极端情景，一般不会违约。因此，在日常交易中，该企业只需“常规的风险管理策略和内控流程”即可。采用压力测试方法，是假设该交易伙伴将来发生极端情景(如其财产毁于地震、火灾、被盗)，被迫违约对该企业造成了重大损失。而该企业“常规的风险管理策略和内控流程”在极端情景下不能有效防止重大损失事件，为此，该企业采取了购买保险或相应衍生产品、开发多个交易伙伴等措施。

主要参考文献：
《企业全面风险管理—从激励到控制》，詹姆斯.林著,黄长全译;
《企业风险管理》，托马斯.巴顿著，王剑峰等译；
COSO—ERM(2004)
中央国资委全面风险管理指引
中央国资委全面风险管理培训资料汇编
Brian Ballou: Practical Enterprise Risk Management: A Building Block Approach for Implementing COSO 2004, P28, www.yahoo.com
PCAOB: Proposed Auditing Standard –An Audit of Internal Control Over Financial reporting performed in conjunction with an audit of financial statements, Release No. 2003-017,October 7, 2003. www.erm.coso.org
Mark Beasely：Enterprise Risk Management:A look at COSO’s proposed framework, The Wisconsin C P A  July / August,  2004. P245.

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友