赵斯昕，丁日佳

(中国矿业大学(北京) 管理学院，北京 100083)

1995年COSO发布的《内部控制——综合框架》，帮助企业和其他实体评估和提升他们的内部控制系统。但近年来，随着安然、世通等一系列公司丑闻爆发，在我国有中航油、四川长虹坏账、创维数码盗用资金等事件产生，传统内部控制已力不从心，风险管理的论题得到广泛关注[1]。COSO于2004年底发布了全新的COSO报告：《企业风险管理(ERM)——综合框架》。笔者结合新COSO报告、国资委《中央企业全面风险管理指引》及相关的风险管理准则，构建了全面风险管理框架，并对其进行介绍和分析。

1 全面风险管理(GERM)的内涵及特色

传统风险管理注重风险的来源，认为不同来源的风险应由不同部门采取不同方法分别处理，这种方式被称为“竖井式”管理方式。Shimpi(2001)在其著作《整合性公司风险管理》中，描述了传统风险管理方式的缺陷：风险就像一头大象，传统的风险管理就像盲人摸象，虽然每个人都摸对了一部分，但总体上来讲还是错的[2]。

从Kent D. Miller (1992)提出的整合风险管理，到Lisa Meulbroek (2002)指出的公司整合性风险管理，2001年北美非寿险精算师协会在一份报告中，明确提出了全面风险管理(即ERM)的概念。随后，COSO委员会于2004年9月颁布了《全面风险管理——整合框架》报告。COSO对ERM的定义是：全面风险管理，是由一个企业的董事会、管理当局和其他人员实施，应用于企业战略制定并贯穿于企业各种经营活动之中的过程，目的是识别可能会影响企业价值的潜在事项，管理风险于企业的风险容量之内，并为企业目标的实现提供保证。

归纳起来，一个正确的ERM概念应该包括下面几个关键要素：①过程。贯穿于企业的各种管理和经营活动之中；②对象。企业内、外部各种来源的风险整体；③主体。涉及到企业各个层级的所有部门和全体员工；④目标。在风险容量内，寻找最佳的风险/收益平衡点，以提升公司短期或长期的价值。其特点就是从企业整体的角度，对整个机构内部各个层次的业务单位和业务环节的各个种类的风险进行通盘管理。

2 ERM框架

ERM所要做的是了解企业经营活动中所产生的全部风险，同时，用最小的成本去管理和利用这些风险，减少损失，同时获取风险溢价。基于此考虑，本ERM框架是从全局高度制定战略目标和风险偏好指导、在配套设施支持下的连续风险管理过程(图1)。其中，ERM过程是进行风险管理决策的基础，目的是为了确定最优的风险管理成本和最有效的资本配置方案。ERM过程要在目标的指导下进行，目标设置应考虑到企业不同的价值取向和各个发展时期。ERM的配套设施，是实现ERM过程的软硬件准备，是风险管理效率效果的必要保证。本框架的逻辑结构，是以其过程和配套设施为支撑支持其目标的实现。

图1 ERM框架示意图

3 框架说明

3.1 ERM目标和风险容忍度

本ERM框架要求管理当局采取适当的程序去设定目标，确保所选定的目标切合、支持该主体的使命，并且与它的风险容量相一致。制定战略及其他目标时，必须要考虑企业的风险容忍度，风险容忍度是在实现企业特定目标过程中对差异的可接受程度。风险容忍度应该是明确的、可行的、可衡量的，并且要在整个企业的层面进行适当分配，以便于管理和监控。本框架采取新COSO报告的ERM的目标分类：战略目标、经营目标、报告目标、合规目标。其中：战略目标的确立，把ERM提高到了指导企业经营活动的高度，企业要想长期保持其竞争优势，必须把战略目标作为首要考虑的目标。其他具体目标的设定，应以战略为指导，并与战略目标一致。同样，在进行风险决策时，也要首先满足战略目标。报告目标，分为对内报告和对外报告，涉及财务和非财务信息，保证企业各种报告的可靠性[3]。

3.2 ERM过程

一个典型的ERM过程，应该包括基本的风险管理步骤。首先，要在明确企业使命的前提下，制定企业的战略目标。战略目标是在历史分析的基础上做出的远景预测，一旦确立，就像一个航标指引着企业所有的运营活动，包括全面风险管理活动。

ERM过程的首要步骤是风险评估，COSO新报告建议，从固有风险和残存风险的角度来看待风险。因此，需要有科学的风险评估模型和方法来达到以下目的：使高层管理者可以清楚的观察到经过内部对冲之后的“剩余风险”和风险间的“组合效应”；确定用于防范实质性风险和抓住新投资机会的资源的配置方案；提供对风险进行客观、持续检测的模型。企业风险评估方法，主要分为定量和定性分析。企业可根据不同的风险目标，确定不同的相应的风险评估方法，实现成本最低情况下的效益最大化。基于以上目的，风险评估应该包括以下几个步骤：①识别风险因素。要考虑到所有可能对公司目标产生影响的因素，包括威胁和机会。识别风险因素的方法，主要是定性的征求专家意见和审查各种文档资料；识别的结果包括各种风险因素的发生的可能性、可预测性和对组织关键绩效指标的影响程度，以及组织目前对该风险因素，在硬件系统和观念上的准备情况。另外须注意，风险因素识别是以各项业务为出发点，一个自上而下的全面过程，而不是风险检查表。这部分的风险评估包括了风险的量化，其结果的真实性直接影响到整个风险评估步骤的准确性，是最难操作和关键的环节。②风险因素排序。前面识别出的风险因素通常由专家小组对它们进行评估和打分，根据分值进行排序，筛选出关键风险因素。③风险因素分类。为了下一步的风险控制和风险利用。风险因素的分类要结合行业的特征，一般可以按风险来源或风险管理的难易程度分类，然后区分出盈利机会和损失可能，为接下来的风险处理过程所用。

风险处理包括风险控制和风险利用，对关键的损失可能和盈利机会进行管理。风险控制是控制风险事件发生的动因、环境、条件等，以确保企业承担的风险总量在企业总风险容量以内。风险控制可以通过控制影响某一风险的多个因素中的一个或多个来达到目的，但主要的是风险事件发生的概率和发生后的损失。风险控制分析的技术方法有三种：情景分析、经济资本金和风险指标(或称早期预警系统)。风险利用，要保证公司承担的风险具有最高的经风险调整收益率。风险利用的分析方法主要有：风险价值VAR 方法、经风险调整资本收益率、经济创收、股东价值和股东增加值等。风险评估是风险控制和利用的必要前提，而通过风险处理，企业的风险/收益结构得到优化，公司价值得到增加。

ERM过程的最后一个关键步骤，是风险管理效果监控。监控，需要不断输入新的风险因素变量，不断对ERM过程进行检验。风险管理效果监控的另一个原因是：ERM过程中所使用的模型自身的不完善，原有的风险量化模型和风险控制方法随着实践的检验，也需要不断改进或更换，源于我们目前对风险和风险管理认识具有局限性。

总之，ERM过程应该是一个动态的过程，这个过程在实际运行中不断得到充实和完善。

3.3 ERM配套设施

本ERM框架的配套设施主要有五个，这些部分各自是一个研究领域，它们不完全属于风险管理却对风险管理有至关重要的影响，这些部分成功运作和支持，构成了一个完整的风险管理系统。因此，把这些和风险管理交叉和相关的研究领域统称为ERM的配套设施。任何一种设施的失误或缺位，都可能影响ERM的效率和效果，甚至某些关键失误会导致整个ERM系统失效[4]。下面分别介绍这些领域以及它们和风险管理的关系。

(1)公司治理

首先，公司治理包含了强化风险管理的内容，许多企业的公司治理准则都明确提出风险管理是董事会的一项主要职责。其次，二者的最终目标一致，同样关注战略方向、公司整合以及来自公司最高层的动机。 第三，良好的董事会常规和公司治理是有效实施企业风险管理的必要前提。《中央企业全面风险管理指引》(2006)提出，董事会要督导公司建立全面风险管理体系。董事会的积极参与能促进ERM的研发与成功，而公司治理的缺陷将导致内部控制和风险管理从根本上失效[5]。公司治理的核心是有效制衡，利用制衡控制风险。一个建立在良好的公司治理的基础上的风险管理和内部控制体系才是有效的。

(2)内部控制

内部控制是历史最悠久的风险管理机制，是一个受到董事会、经理层和其他人员影响的过程，包括组织机制的设计和企业内部采取的所有相互协调的方法和措施。因此，内控活动和业务管理活动实际上是融为一体的，业务部门承担主要的内控责任，而审计部门则负责内部控制有效性的评估和监督。企业需要就各业务单位在日常运作中所面对的各类风险构建内部控制。企业还要对其内控系统不间断地进行监控和测试，把各类风险控制在可接受的范围内，并能赚取风险溢价。内部控制曾经在早期风险管理中代替风险管理的职能行事，新COSO报告指出，内部控制是ERM的一个重要组成部分。所有风险管理技术和方法的有效性，以内部控制和公司治理为前提和保障，内部控制和公司治理共同保障风险管理的有效实施。

(3)组织和部门管理

在设置ERM组织结构时，要注意处理好风险管理部门和业务部门的关系。理想的ERM框架下，风险管理部门和业务部门之间，应该形成一种伙伴关系。在这种关系下，风险管理部门完全融入到了企业的各项业务中，在业务进行的最前端就和业务部门一起处理风险/收益问题，并拥有共同的目标。

而现实生活中，在全面风险管理工作中，业务部门应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督(图2)。保证风险管理部门和业务部门的行动协调，减少部门间摩擦。

图2 风险管理部门与业务部门关系图

(4)数据和技术资源

可用的风险管理数据，主要是组合数据和市场数据。为了保证这些数据的质量，还要建立数据搜集的适当标准和流程(图3)。数据资源的两种获取途径分别是会计系统和前台交易系统，而前台交易系统可以提供许多客户的第一手资料。技术资源主要指用来进行风险量化分析和经风险调整定价的计算机功能软件，包括数据转换界面、数据转换中间设备、定价分析系统和ERM模型实施所需技术资源等。数据和技术资源一起支持公司的风险分析和风险处理过程。

图3 信息系统示意图

(5)关联方利益管理

关联方包括任何支持和参与公司的生存和成功的个人和团体，主要包括：雇员、客户、供应商、商业伙伴、投资者、监管者、信用分析专家以及评级机构等。以上关联方中的每一个，都是公司成功的要素，因为关联方流失会给企业带来巨大的成本。如员工流失成本，尤其是流失到竞争对手那里，伴随技术和商业信息流失，将会给企业带来莫大的损失。公司进行的风险管理活动，可以保证公司更容易兑现对关联方的承诺。因此，关联方关系管理是风险管理的一个重要组成部分，是风险管理增加公司价值的重要途径。

4 结 论

全面风险管理冲破了传统风险管理对风险的狭隘理解，把风险看作一个整体加以考虑，对整个机构内部各个层次的业务单位和业务环节的各个种类的风险进行通盘管理。正如新COSO报告所提出的，全面风险管理强调风险组合观。因为企业是许多业务单元、职能机构、流程等的结合体，对单个单元来说，风险可能落在其容忍范围内，而将这些风险组合在一起形成的整体风险，可能超过企业总体的风险偏好范围，或者反之亦然。基于上述认识，本ERM框架是从全局高度制定的战略目标和风险偏好、在配套设施支持下的连续风险管理过程。以期在了解企业经营活动中所产生的全部风险的同时，用最小的成本去管理和利用这些风险，减少损失同时获取风险溢价，实现全面风险管理的目标。

[1] 肖凌. 企业风险管理(ERM)——一个概念框架[J].经济师.2006(3).

[2] 詹姆斯·林著，黄长全译.企业全面风险管理—从激励到控制[M].北京：中国金融出版社，2003.

[3] 胡昌红.现代企业风险管理框架研究[D]. 安徽大学,2007,4.

[4] 张琴，陈柳钦.企业全面风险管理(ERM)理论梳理和框架构建[J].当代经济管理,2009(7).

[5] 国资委企业改革局.中央企业全面风险管理指引解读[M]. 2006,10.