陈　伟　赵国梁

摘要:自上世纪90年代，企业所面临来自各个方面的风险数量和负责性在增大，企业风险管理被越来越多的组织所重视和接受，COSO组织2004年发布了《企业风险管理——整合框架》，本文通过在对COSO企业风险管理要素的讨论基础上，分析企业风险管理的职能，对我国企业构建风险管理部门提出建议。

关键词:风险 风险要素 企业风险管理

0 引言

随着科技水平的发展、经济全球化、企业金融环境的改变和风险的种类和复杂性的增加，公司董事会和高级管理人员更加关注来自企业各个方面的风险管理，企业风险管理(enterprise risk management ERM)被越来越多的企业采用。风险管理作为现代企业管理的一个重要部分，也具有管理的四大职能：既计划、组织、领导和控制[1]。通过对企业风险管理概念及要素的讨论，可以使我们对企业风险管理及其职能有更深的理解，以便指导企业在实践中设置风险管理部门，实施有效的风险管理政策。

1 现代企业风险管理要素

企业风险管理不同与传统“竖井”式风险管理方法，是从战略上考虑企业所面临的各种风险之间的相互作用，通过全企业视角来管理和协调各个风险，渗透于企业各项活动中，自上到下的、一体化地有效管理企业风险，以达到保护和增加股东和企业价值的目的，使的企业的风险符合股东的风险偏好。2004年COSO发布了著名的《企业风险管理——整合框架》中把企业风险管理要素分为内部环境、目标指定、事项识别、风险评估、风险反应、控制活动、信息和沟通、控制等八个相互关联的要素，各个要素贯穿于企业风险管理的整个过程之中。COSO框架并没有对企业设置风险管理部门提出建议。

1.1 风险管理环境 企业的风险管理环境是进行所有风险管理活动的基础，包括COSO强调的内部环境，还应包括企业所处的外部环境。企业的内部环境包括企业的公司治理、战略目标、风险管理理念、风险容量、董事会的监督和企业核心人员的人格品性以及全体员工的的风险意识。在企业风险管理中，倡议建立公司控制体系并强调董事会和高级管理层在风险管理中的责任，从“高层”强调并培养企业的风险文化，并通过激励机制使每个阶层管理者与员工理解自己所做的工作与风险责任之间的关系。企业风险管理也应考虑企业所处的外部环境，理解外部股东的价值，建立与外部各方的沟通政策对风险管理的有效实施极其重要。

1.2 建立目标 目标设定是有效的事项识别、风险评估和风险应对的前提。企业首先制定高层次的目标的战略目标，董事会和管理层要对各个战略目标与其所承受的风险之间的衡量，企业主体的风险容量是战略目标制定的指向标,根据选定的战略目标，建立企业整体上的相关目标：经营目标、报告目标、合规目标等等。根据战略目标制定的具体目标贯穿于整个组织，细化为针对诸如研究、生产和销售等各项活动和基础职能机构所能确立的次级目标。

1.3 事项识别 COSO框架中强调对具有负面事项的识别和管理，而忽视了对企业有正面效应的事项，风险管理活动是减少企业活动的不确定性，企业风险管理的重要职能就是降低负面事项对企业的影响以及确保和增加正面事项的顺利实现。管理者根据风险事项的不同影响因素将事项归入不同的类别，并识别事项彼此之间的相互关系，通过对风险事项进行归类分级和危害性排序，以确定它们在企业风险管理活动中的重要性和相应的应对方法。

1.4 风险分析 风险分析使管理者了解潜在事项对企业目标实现的影响，对风险的评估从两个方面进行——风险发生的可能性和给企业带来的影响程度。在风险评估时，既要考虑在没有采取任何措施来改变风险的可能性或者影响的情况下的固有风险，也要关注在管理者做出风险应对之后所残余的风险，还应注意风险事项之间的相关性。同时，在风险评估中，管理者还要考虑重大非预期事项对企业可能给企业带来的风险。

1.5 风险应对 COSO框架中提出风险应对方法包括风险回避、降低风险、共担风险和接受风险单独管理方法，但企业风险管理要求从整个组织范围或组合的角度去考虑风险，我们也应该同时强调管理层拥有建立在企业整体层面上的组合风险管理观。它不应当仅仅是完全独立进行的业务交易的累积效应，相反，管理者应当“像基金经理一样行动”并且设立组合目标和风险限制以确保适当的分散化以及最佳的风险管理效果。应从企业总体层面上考虑相互关联的风险和企业的总体风险。

1.6 控制活动 控制活动是帮助确保企业的风险应对方案得以实施的政策和程序。控制活动贯穿于整个组织，涉及到企业的各个管理层次和各个职能机构。控制活动通常包括两个要素：确定要做什么样的政策和与该政策相关的相应程序。在选择控制活动的过程中，需要考虑控制活动之间的关联性，如：一项单独的控制活动实现对多项风险应对；对个控制活动应对一项风险；或者执行一个控制组合来处理相关的风险应对方法。

1.7 信息与沟通 充分、及时、准确、有效的信息是进行有效风险管理的基础之一。风险管理部门对组织的信息应有充分的接触权，与会计部门、数据处理中心、人事部门、法律部门和生产部门沟通合作，以取得风险管理所需要的相关信息。风险管理不仅是一个内部管理过程，它也应当用来改善对主要权益方的透明度，在沟通中应加入与外部客户、供应商、相关债券人、行政管理部门和股东的沟通等等，相关权益方可以为企业提供关键的风险信息。

1.8 监控和回顾 企业处在变化中的经济环境中，曾经有效的风险应对手段和控制活动可能不太有效；企业的目标也可能发生变化，监控风险管理过程的所有步骤是很必要的，这对于风险管理方法的持续改进很重要。通过持续的监控活动以评价风险管理活动的执行质量和执行情况。通过监控，风险管理的缺陷被报告给负责所涉及的职能或活动人员以及上级人员，以确保采取适当的措施。

2 企业风险管理职能

2.1 风险管理的计划职能 企业风险管理强调从战略上、全企业视角考虑企业的风险，企业在分析自身内部与外部的环境基础上，分析企业所面临所有风险，制定适合自身的风险管理计划。风险管理计划本身就是企业计划的一部分，“企业风险管理”计划旨在为整个企业增加实质性价值。风险管理计划定义在组织中风险管理的实施过程，包括具体的风险分析方法和应对计划，风险报告具体要求等，以及具体到部门在特定区域的风险应对计划和过程。企业风险管理强调风险管理活动只有融入企业的日常活动才能达到最佳效果。

2.2 风险管理组织职能 并不是所有的企业利益方都直接对风险管理活动施加影响，由于所有权与经营权的分离，使风险管理计划落实可能遇到诸多困难。可以通过有效的公司治理结构来实现对高级管理层的监督和指导。良好的公司治理结构有助于推动企业风险管理的运用和执行。企业风险管理计划需要得到董事会和高级管理层等的支持，因此需要在组织中建立一个向董事会报告并负责的风险管理委员会作为风险管理计划的有形保证。风险管理委员会必须明确规定其角色和职责。

2.3 风险管理领导职能 在企业风险管理中，董事会是企业风险管理的重要组成部分，有效的董事会能确保管理当局保持有效的风险管理，倡议建立公司控制体系并强调懂事会和高级管理层在风险管理中的责任，董事会和高层管理者对组织的风险管理负最后责任。组织中所有人对在他们控制内的风险负责并向董事会定期承交风险管理报告，并通过激励机制来强化这种投入,使每个阶层管理者与员工更好理解自己所做的工作与风险责任之间的关系。在风险管理实施过程中，风险管理部门与其他部门必须有良好的信息沟通，同时也应该处理好他们之间的关系，要注意到风险管理部门与其他部门比不是领导与被领导、监督与被监督关系，而是合作关系。

2.4 风险管理控制职能 风险管理控制活动确保企业的风险应对方案得以实施。控制活动贯穿于整个组织，涉及到企业的各个管理层次和各个职能机构。控制活动通常包括两个要素：确定要做什么样的政策以及相应程序。企业需要根据风险管理计划设定风险管理的控制目标，通过风险管理使的企业风险控制在企业所能接受的风险偏好和风险容量内，通过对风险管理过程的所有步骤进行监控和回顾，衡量和分析各部门的风险管理执行情况，进行差异分析，对不再适合企业的风险管理方法进行持续的改进，对随时可能出现的新风险进行评价和监管。

3 企业风险管理职能部门设置建议

企业风险管理对风险管理部门的设置提出更高的要求，由于ERM对能力、独立性以及客观性的要求，人们开始意识到组织结构和报告渠道在实现风险管理有效性的过程中扮演重要角色，国资委风险管理指引要求企业建立风险管理组织体系、风险管理信息系统和风险管理文化，对企业设立风险管理组织提出非常清晰和明确的要求。恰当的风险管理组织与企业战略、业务运作、文化等保持一致，因此我们对风险管理职能部门提出以下几点建议：

3.1 成立了风险管理委员会（Enterprise risk council ERC） 在组织中成立风险管理委员会已经达成共识。ERC一般包括：董事会成员、投资部门主管、财务总监、信息部门、法律和商务部门等高级管理人员，董事会在企业风险管理中处于核心地位,风险管理委员会的设置保证了企业风险管理计划可以得到来自董事会和企业高层的支持，同时也强调了董事会在风险管理过程中的责任和义务[5]。ERC主要职责包括：建立企业的风险文化；定义企业的风险倾向和风险容量；确保公司拥有业务战略的风险管理技巧和风险吸纳能力；建立合理的风险管理组织结构，确定风险管理人员（包括CRO）的作用和职能；根据风险管理部门提供的信息，作出经营和战略方面的决策并付诸实施，并向董事会提供定期的风险管理报告。

3.2 风险管理委员会下设立ERM工作小组 有效的风险管理部门必须具备两个准则：必须具备高度的独立性，以提供客观的风险管理策略；风险管理部门不具有或只具有非常有限的风险管理策略执行权。风险管理部门规模取决于公司规模以及风险的规模、复杂程度及不同风险类别的差异性而定。风险管理部门对企业的信息有全面的接触权利，具有明确的报告路线，以及与业务部门很好的沟通和合作，而非管理与被管理的关系。

ERM工作小组成员通常由风险管理专家和来自各个部门风险管理代表组成，工作小组核心职能是风险信息的收集、分析和报告，根据董事会和风险管理委员会的风险管理政策设计企业活动中具体风险管理结构；风险管理政策的陈述；明确各部门在风险管理过程中的责任和义务；风险管理方法的开发和风险控制实行的监控；风险文化的教育和普及；企业内部风险管理咨询顾问，分析和解决业务和管理人员提出的风险管理相关问题；组织企业内部各职能部门和业务单位识别、评估风险，就特定和关键风险推荐相应的对策；定期向风险管理委员会和董事会做出风险报告。

参考文献：

[1]陈红.现代管理学[M].北京：国防工业出版社.2007.

[2]杜杰.风险管理智慧——企业风险管理实务[M].机械工业出版社.2008.

[3]方红星，王宏.企业风险管理——整合框架[M].东北财经大学出版社.2005.

[4]黄长全.企业全面风险管理[M].中国金融出版社.2006.

[5]吴素玲，许召来.现代企业风险管理要素及过程[M].中国内部审计协会.