全面風險管理:應用于企業管理領域的概念-中文百科頻道

産生發展

風險管理的概念是在實踐中逐步産生、發展和完善起來的。

在20世紀30年代，由于受到1929－1933年的世界性經濟危機的影響，美國約有40％左右的銀行和企業破産，經濟倒退了約20年。美國企業為應對經營上的危機，許多大中型企業都在内部設立了保險管理部門，負責安排企業的各種保險項目。當時的内部控制和風險管理主要依賴保險手段。

1949年美國審計程序委員會下屬的内部控制專門委員會經過兩年研究發表了題為《内部控制，協調系統諸要素及其對管理部門和注冊會計師的重要性》的專題報告，第一次對内部控制做了權威性的定義。1955年，美國賓夕法尼亞大學沃頓商學院的施耐德教授第一次提出了“風險管理”的概念。

20世紀70年代中期，作為美國“水門事件”調查結果，立法者和監管團體開始對内部控制問題給以高度重視。為了制止美國公司向外國政府官員行賄，美國國會于1977年通過了“國外腐敗實務法案（1977）”。該法案除了反腐敗條款外，還包含了要求公司管理層加強會計内部控制的條款。該法案成為美國在公司内部控制方面的第一個法案。1978年，美國執業會計協會下面的柯恩委員會（Cohen Commission）提出報告，一是建議公司管理層在披露财務報表時，提交一份關于内控系統的報告；二是建議外部獨立審計師對管理者内控報告提出審計報告。1980年後，内部控制審計的職業标準逐漸成形。而且，這些标準逐漸得到了監管者和立法者的認可。

1970年代以後，随着企業面臨的風險複雜多樣和風險費用的增加，法國從美國引進了内部控制和風險管理并在法國國内傳播開來。與法國同時，日本也開始了風險管理研究。此後20年來，美國、英國、法國、德國、日本等國家先後建立起全國性和地區性的風險管理協會。1983年在美國召開的風險和保險管理協會年會上，世界各國專家學者雲集紐約，共同讨論并通過了“101條風險管理準則”，這是風險管理走向實踐化的一個重要文件。1992年9月，美國COSO委員會發布了《企業内部控制——整合框架》，這份框架此後被納入政策和法規之中，并被各國數千家企業用來為實現既定目标所采取的行動加以更好的控制。1995年由澳大利亞和新西蘭聯合制訂的AS/NZS 4360明确定義了風險管理的标準程序，這就是通常說的澳新ERM标準，這标志着第一個國家風險管理标準的誕生。

人們在風險管理實踐中逐漸認識到，一個企業内部不同部門或不同業務的風險，有的相互疊加放大，有的相互抵消減少。因此，企業不能僅僅從某項業務、某個部門的角度考慮風險，必須根據風險組合的觀點，從貫穿整個企業的角度看風險，即要實行全面風險管理。然而，盡管很多企業意識到全面風險管理，但是對全面風險管理有清晰理解的卻不多，已經實施了全面風險管理的企業則更少。但2001年11月的美國安然公司倒閉案和2002年6月的世通公司财務欺詐案，加之其它一系列的會計舞弊事件，促使企業的風險管理問題受到全社會的關注。2002年7月，美國國會通過薩班斯法案（Sarbanes-Oxley法案），要求所有在美國上市的公司必須建立和完善内控體系。薩班斯法案被稱為是美國自1934年以來最重要的公司法案，在其影響下，世界各國紛紛出台類似的方案，加強公司治理和内部控制規範，加大信息披露的要求，加強企業全面風險管理。接着在2004年9月，COSO發布《企業風險管理——整合框架》（Enterprise Risk Management — Integrated Framework），該框架拓展了内部控制，更加關注于企業全面風險管理這一更為寬泛的領域，并随之成為世界各國和衆多企業廣為接受的标準規範。

到2008年為止，世界上已有30幾個國家和地區，包括所有資本發達國家和地區及一些發展中國家如馬來西亞，都發表了對企業的監管條例和公司治理準則。在各國的法律框架下，企業有效的風險管理不再是企業的自發行為，而成為企業經營的合規要求。

現階段,在世界經濟高度一體化及現代信息化技術飛速發展的背景下，各種技術、人才和資金都在全世界範圍内快速流轉，市場經濟體制中的不确定因素日益增多，企業在發展過程中面臨的風險也越來越多。企業為了維持穩定發展，需要搭建一套科學、高效且符合企業自身情況的"全面風險管理體系"。基于此,全面風險管理理論及其應用需要受到企業的高度重視。論文分析總結了全面風險管理的概念、特征、建設目标和内涵,以期為企業建立完善的全面風險管理架構提供理論支持。

整合框架

COSO的ERM框架是個三維立體的框架。這種多維立體的表現形式，有助于全面深入地理解控制和管理對象，分析解決控制中存在的複雜問題。

第一個維度（上面維度）是是目标體系，包括四類目标：

(1) 戰略(Stntegic)目标，即高層次目标，與使命相關聯并支撐使命；

(2) 經營(operations)目标，高效率地利用資源；

(3) 報告(reporting)目标，報告的可靠性；

(4) 合規(compliance)目标，符合适用的法律和法規。

第二個維度（正面維度）是管理要素，包括八個相互關聯的構成要素,它們源自管理當局的經營方式，并與管理過程整合在一起，具體為：

(1)内部環境。管理當局确立關于風險的理念，并确定風險容量。所有企業的核心都是人(他們的個人品性，包括誠信、道德價值觀和勝任能力)以及經營所處的環境,内部環境為主體中的人們如何看待風險和着手控制風險确立了基礎。

(2)目标設定。必須先有目标，管理當局才能識别影響目标實現的潛在事項。企業風險管理确保管理當局采取恰當的程序去設定目标，并保證選定的目标支持主體的使命并與其相銜接，以及與它的風險容量相适應。

(3)事項識别。必須識别可能對主體産生影響的潛在事項，包括表示風險的事項和表示機會的事項，以及可能二者兼有的事項。機會被追溯到管理當局的戰略或目标制定過程。

(4)風險評估。要對識别的風險進行分析，以便确定管理的依據。風險與可能被影響的目标相關聯。既要對固有風險進行評估，也要對剩餘風險進行評估，評估要考慮到風險的可能性和影響。

(5)風險應對。員工識别和評價可能的風險應對措施，包括回避、承擔、降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相适應。

(6)控制活動。制定和實施政策與程序以确保管理當局所選擇的風險應對策略得以有效實施。

(7)信息與溝通。主體的各個層級都需要借助信息來識别、評估和應對風險。廣泛意義的有效溝通包括信息在主體中向下、平行和向上流動。

(8)監控。整個企業風險管理處于監控之下,必要時還會進行修正。這種方式能夠動态地反應風險管理狀況，并使之根據條件的要求而變化。監控通過持續的管理活動、對企業風險管理的單獨評價或者兩者的結合來完成。

第三個維度（側面維度）是主體單元，包括集團、部門、業務單元、分支機構四個層面。

斯坦福大學

斯坦福大學研究院提出的是企業全面風險管理（CERM：Comprehensive Enterprises Risk Management）框架。

企業全面風險管理（CERM：Comprehensive Enterprises Risk Management）強調通過量化分析支撐下的決策分析，在決策層面上管控戰略方向選擇、重大業務決策等方面的風險。相形之下，COSO風險管理框架以内控為中心，強調通過制度、流程和财務等手段，在業務層面上管控運營、操作過程中的風險。它可以在企業整體層面制定風險戰略，構建内控體系，完善風險管理制度，優化流程和組織職能，為企業構建風險管理的長效機制，從根本上提升風險管理的效率和效果，最終幫助企業實現風險管理的各項目标，包括：

1 建立包括風險識别、風險測評、風險應對和風險監控在内的企業風險管理體系；

2 利用系統的、科學的方法對各類風險進行識别和分析；

3 将風險應對措施落實到企業的制度、組織、流程和職能當中；

4 形成企業風險管理戰略，支持企業經營戰略目标的實現；

5 使所有企業利益相關人了解企業的風險，滿足股東以及監管機構的要求。

企業内部

在實踐中有很多企業不能真正理解全面風險管理與内部控制的區别和聯系，要麼将兩者完全隔離開來，要麼隻是簡單地将它們等同起來。國際上基本上是接受了美國COSO（全國虛假财務報告委員會的發起人委員會）2004年發布的《企業風險管理——整合框架》（中國也有譯作《全面風險管理框架》的）對兩者的闡釋。

按COSO框架，兩者的聯系為：

（1）全面風險管理涵蓋了内部控制。COSO框架中明确地指出全面風險管理體系框架包括内控，将之作為一個子系統。

（2）内部控制是全面風險管理的必要環節。内部控制的動力來自企業對風險的認識和管理，對于企業所面臨的大部分運營風險，或者說對于在企業的所有業務流程之中的風險，内控系統是必要的、高效的和有效的風險管理方法。同時，維持充分的内控系統也是許多法律法規的合規要求。因此，滿足内部控制系統的要求也是企業風險管理體系建立應該達到的基本狀态。

内部控制與全面風險管理的差異為：

（1）兩者的範疇不一緻。内部控制僅是管理的一項職能，主要是通過事後和過程的控制來實現其自身的目标，而全面風險管理則貫穿于管理過程的各個方面，更重要的是在事前制訂目标時就充分考慮了風險的存在。而且，在兩者所要達到的目标上，全面風險管理多于内部控制。

（2）兩者的活動不一緻。全面風險管理的一系列具體活動并不都是内部控制要做的。全面風險管理包含了風險管理目标和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而内部控制所負責的是風險管理過程中間及其以後的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監督評審與缺陷的糾正等工作。兩者最明顯的差異在于内部控制不負責企業經營目标的具體設立，而隻是對目标的制定過程進行評價，特别是對目标和戰略計劃制定當中的風險進行評估。

（3）兩者對風險的對策不一緻。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利于企業的發展戰略與風險偏好相一緻，增長、風險與回報相聯系，進行經濟資本分配及利用風險信息支持業務前台決策流程等，從而幫助董事會和高級管理層實現全面風險管理的四項目标。這些内容都是現行的内部控制框架所不能做到的。

從發展趨勢來看，随着内部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統一。

設立原則

中央企業要在促進國有經濟布局和結構優化方面發揮表率作用，實現國有資本優化配置，充分發揮跨省市經營，産業分布廣的優勢，就必須逐步建立全面風險管理框架，降低生産經營風險。在中央企業全面風險管理建立和實施的過程中，應該遵循以下原則。

預測先導原則

成功地回避風險，必須建立在對風險發生可能性科學預測的基礎上，這就要求在選擇具體操作方法時，堅持理論與實際、定性與定量、曆史與未來相結合的方法，以确保實施方法的準确性和有效性。

權衡輕重原則

對風險的性質、風險程度做出合理評估，結合企業管理、财務等綜合能力，制定風險管理方針和策略。

避免超載原則

國資委或中央企業應對所屬企業管理者的風險管理能力進行監控，避免超出其承受能力的經營風險。

成本效益原則

對因進行風險管理而産生的成本及其績效進行比較，擇優采用。如果風險防範成本超出了最終風險可預測損失，那麼，該項風險防範措施的效果無疑應該大打折扣。

運用的誤區

（1）把内部控制與全面風險管理體系的建設理解為建章立制。其實從COSO框架的定義中，可以看出它們都被明确為是一個“過程”，不能當作某種靜态的東西，如制度文件、技術模型等，也不是單獨或額外的活動，如檢查評估等，最好是内置于企業日常管理過程中，作為一種常規運行的機制來建設。

（2）内部控制體系和全面風險管理體系是相互獨立的。建設内部控制和全面風險管理體系都是一個系統工程，兩者在内涵上也有一定重合，企業需要綜合考慮自身業務特點、發展階段、信息技術條件、外部環境要求等，确定選擇合适的管理體系和建設重點。比如，在監管嚴格的金融業或涉及人民生命健康的制藥與醫療行業，風險管理的迫切性更強，企業以風險管理主導内部控制可能更方便。而在另一些企業，為了符合信息披露中内部控制報告的要求，企業以内部控制系統為主導、兼顧風險管理可能更适合。

（3）内部控制和全面風險管理的作用被誇大。有些企業對内部控制和風險管理體系的建設寄有過高期望，他們希望内部控制和風險管理可以确保企業的成功、确保财務報告的可靠性和法律法規的遵循性。而實際上無論多麼先進的内部控制和風險管理體系都隻能為企業相關目标的實現提供合理的而非絕對的保證。

（4）内部控制與全面風險管理理念在企業實踐落地難。由于新的管理理念和方法的引進，與國内企業原有的管理體系和觀點存在較多的差異和差距，這些理念和方法還更多的處于導入階段，大多數企業管理人員還不能在這些框架和概念與企業的日常經營管理行為和語言之間建立直接的聯系。這造成了企業在這方面的理解有差異或者關注度不夠，除非出現強制性的相關規範和要求。其實這些理念、概念的出現并不是說企業就缺乏這些，事實是理論來源于實踐又高于實踐，這些理論的提出有助于我們将散布于企業管理各個方面的相關元素按照框架的要求和标準進行補充、修正和組合。

中國實踐

中國在這方面的研究開始于上世紀80年代。一些學者将風險管理和安全系統工程理論引入中國，在少數企業試用中感覺比較滿意。但中國大部分企業缺乏對風險管理的認識，也沒有建立專門的風險管理機構和制度建設。

中國系統的内控制度建設是在有了《會計法》之後。1999年修訂的《會計法》第一次以法律的形式對建立健全内部控制提出原則要求，财政部随即連續制定發布了《内部會計控制規範———基本規範》等7項内部會計控制規範。但從更寬泛的管理意義上來說，真正把内部控制和風險管理形成法規，是受到美國2002年安然事件、世通公司财務欺詐案及随後美國的薩班斯法案的影響。2006年經當時國務院副總理黃菊的批準，這一問題提上議事日程，成立了企業内部控制标準委員會，正式開始這項工作。當年6月6日，國資委發布了《中央企業全面風險管理指引》，這是中國第一個全面風險管理的指導性文件，意味着中國走上了風險管理的中心舞台。2008年6月28日，财政部、證監會、審計署、銀監會、保監會五部門聯合發布了《企業内部控制基本規範》，《規範》自2009年7月1日起先在上市公司範圍内施行，鼓勵非上市的其他大中型企業執行。《規範》的發布，标志着中國企業内部控制規範體系建設取得重大突破，有業内人士和媒體甚至稱之為中國版的“薩班斯法案”。

《企業内部控制基本規範》在實踐中的應用範圍，可以分為三類企業：一類是上市公司，這是必須要進行的。其次是國有企業。按國資委出台的風險管理指引要求，下屬的企業都要全面貫徹風險管理。風險管理和内部控制是相通的。風險管理是戰略層面，最後要落腳到内部控制。對這部分企業來講，内控建設也是必須開展的。第三類就是民營企業。這一類公司沒有相關主管部門，在《基本規範》的實施上，有較大的自由度。