企業全面風險管理（ＥＲＭ）理論梳理和框架構建

張　琴　陳柳欽

[摘要]全面風險管理(ERM)是在以價值為導向的企業目標確立過程中取代傳統風險管理，承擔增加公司價值使命的新型風險管理體系和手段。ERM的理論體系應該包括全面風險現、整體化風險管理理論以及ERM框架體系。ERM框架體系不僅包括我們常說的風險管理策略和過程，還應該包括所有支持和保障ERM效率效果的六方面輔助政策和設施，統稱為ERM的配套諼施，策略、過程和配套設施三個部分缺一不可，共同構成全面風險管理的整體框架。

[關鍵詞]全面風險管理(ERM)；風險評估；公司清理；內部控制

[中圖分類號]F270.7[文獻標識碼]A

[文章編號]1673-0461(2009)07-0025-08

一、全面風險管理(ERM)的必要和充分條件

目前人們公認的企業總目標是增加公司價值，當然公司價值到底是股東價值還是公司這個中介組織的價值也存在諸多爭議。由于公司注重股東價值可能會影響公司其他利益關聯方的價值，比如債權人價值，因此本文所指的公司價值不同于股東價值。而風險管理之所以是公司戰略管理的重要組成部分，為越來越多的公司尤其是金融機構所重視，其主要原因是風險管理可以增加公司價值。本文從風險管理增加公司價值的必要和充分條件兩方面，證明公司內部開展現代化的全面風險管理確實可以增加公司價值。

(一)全面風險管理的必要條件

現實生活中人們對風險管理越來越重視，越來越多的對沖風險，在企業內部建立全面風險管理框架的呼聲也越來越高。究其原因主要是：隨著經濟全球化和一體化進程的加快，公司面臨的風險越來越多；市場上的匯率、利率和商品價格波動越來越頻繁，使得公司價值面臨的風險正逐步提高；各行各業不斷出現的公司經營失敗案例警示人們，建立良好的全面風險管理體系迫在眉睫。圖1所示的不幸之輪形象的描述各行各業由于各種各樣的風險管理問題而遭受重大損失的公司的名稱、損失金額以及主要損失原因，說明風險管理災難可以以各種不同的方式發生在任何行業的任何一家企業。這些都是公司進行風險管理的必要條件。

(二)全面風險管理的充分條件

風險管理存在的充分條件是“風險管理可以增加企業的價值”。雖然人們一直都認可這個觀點，但關于風險管理通過什么樣的途徑可以在多大程度上增加企業的價值這個問題卻一直沒有定論。關于風險管理可以增加公司價值的論證要從新古典主義金融理論的風險管理無關論開始說起。現代的新古典主義金融理論認為在完美和完整的市場下，投資者個人層面的風險管理措施已經十分完善，從而公司層面的風險管理是不必要的甚至是有害(風險管理成本會降低公司價值)的。

但是，現實世界的金融市場遠非完美，到處充滿了摩擦和信息不對稱，以對沖為主要內容的風險管理并非與公司的價值無關，而是可以增加公司價值，這就是風險管理相關論(RiBk Man-agement Relevance)。如stulz(1984)，第一次系統地利用現代金融理論的框架分析了企業風險管理的價值所在；Froot等(1993)利用外部融資成本增加說，證明公司層面的風險對沖、風險控制活動會給公司帶來價值；在此基礎上，Froot和Stein(1998)又針對銀行等金融機構構建了一個理論模型，，證明風險對沖(風險管理)、資本預算和資本結構這三個相互聯系相互影響的金融機構基本財務問題作為一個整體，共同決定金融機構的價值增長；Doherty(1985)從風險成本的角度論述了風險管理對公司的價值。總之，這些學者認為，風險管理可以通過減少不完美市場因素引起的各種摩擦成本的方式增加企業價值。這些成本包括：破產成本、財務危機成本、稅收成本、代理成本、投資機會喪失成本等。還有一些學者從實證的角度證明了風險管理可以增加企業價值。如弗吉尼亞大學的George Allayannis和James Weston在1998年的一項研究，他們比較了1990年到1995年或多或少(以它們進行對沖活動的程度來計量)積極從事市場風險管理的公司的市值與面值的比率，結果發現更積極的從事市場風險管理的公司得到了市值平均增長20％的回報。所有這些都充分說明，風險管理是可以增加企業價值的，而這正是風險管理存在的充分條件。當然并不是所有的風險管理都可以達到增加公司價值的目的，只有站在公司角度對風險進行整體衡量與控制的全面風險管理才可以達到這個目的。傳統的風險管理手段由于自身固有的種種弊端并不能很好的完成提升公司價值的任務。

二、全面風險管理對風險的認知

任何有效的管理活動都要建立在對被管理對象的準確定義和分類的基礎上，全面風險管理也不例外。全面風險管理理論體系的第一個重要部分是現代風險理論。

(一)風險的內涵——雙側風險觀

傳統的風險定義常常將風險定義為損失的可能性，這種定義注重風險的負面影響，是典型的單側風險定義?，F代的ERM觀點認為風險等同于結果的不確定性。不確定性是指人們對事物的未來狀態不能確切知道或掌握，也就是說人們總是對事物未來的發展與變化缺乏信息與控制力。根據能否事前估計事件的最終結果又將不確定性分為可衡量的不確定性和不可衡量的不確定性。從不確定性角度出發，事物的結果可能是壞的，也有可能是好的，即潛在損失與盈利機會并存。美國經濟學家奈特在其名著《風險、不確定性和利潤》一書中認為：風險是可以測定的不確定性。美國的阿瑟·威廉姆斯等在《風險管理與保險》一書中，把風險定義為：“在給定的情況下和特定的時間內。那些可能發生的結果間的差異。如果肯定只有一個結果發生，則差異為零，風險為零；如果有多種可能結果，則有風險，且差異越大，風險越大。”歸納起來，這些定義都涵蓋了一個“雙側”的含義。即不僅將不利的波動(下側風險Downside Risk)視為風險，同樣將有利的波動(上側風險Upside Risk)也視為風險，將風險定義為雙側風險，風險既是損失的可能又是盈利的機會。與單側風險的定義相比，雙側風險定義更適合進行風險管理，更有利于對盈利制造部門和明星交易員的風險管理，同時也為全面經濟資本配置和經風險調整的業績衡量提供了理論依據。

(二)風險的性質

在現代的全面風險管理框架下，風險具有雙向性、對稱性和風險/收益平衡性三個重要特點。風險的對稱性是指：在ERM的世界里，風險(尤其是市場風險，如利率風險、股票和外匯風險)常常被認為是對稱的，在市場風險的計量中常常使用正態分布的假設，如參數的Var模型；對于信用風險和操作風險(或稱作營運風險。在本文中指除了市場風險和信用風險之外金融機構面臨的其它所有的風險)，雖然其自身的損失分布是非對稱的，但對于投資組合(尤其是大量獨立的產

品和業務的組合)而言，依據大數定律，整個組合的損失分布仍然是趨于正態和對稱的。基于這種對稱性的認識，ERM強調把盈利部門納入風險管理的范疇，注重利用組合管理將非對稱風險轉化為對稱風險來降低風險管理的難度(非對稱風險較對稱風險更難于計量和管理)。另外，ERM還強調風險/收益的平衡性特征，對“沒有風險就沒有收益，風險越大，收益越高”這個投資學基本理念進行了重新認識。ERM認為，在風險和收益的這種正相關關系下，收益指的是相對收益而不是絕對收益。因為隨著風險程度的增加。邊際收益是遞減的，所以風險增加到一定程度后收益會變得無效率。真正有意義的是圖2所描述的風險收益關系，即風險與相對收益或經風險調整后的收益的關系。圖2中位于區域1的公司承擔的風險不夠，它的資本沒有得到充分利用。位于區域3的公司則承擔了過度的風險，其風險承擔水平超出了公司資本的風險吸收能力和就員工和系統而言的風險管理能力。處在區域2的公司則找到了風險，收益特征的最佳結合點，這是所有公司都渴望達到的最佳境界。ERM可以幫助企業測定整體風險敞口，找到公司的最佳風險收益結合點，使公司在風險承擔最佳的區域2高效率運行。

三、整體化風險管理理論

(一)全面風險管理(ERM)的內涵

國外文獻中關于全面風險管理(EnterpriseRisk Management(ERM)的詞匯還有IntegratedRisk Management(IRM)、Holistic Risk Manage-ment、Enterprise-wide Risk Management等。其中“integrated"的直觀解釋是“綜合的、完整的”，含有“整合”的意思；“holistic”為“整體的、全盤的”之意，其含義強調“整體性”。而“ell-terprise”的直譯解釋為“企業、進取心”，它在本文中有兩層含義，第一層含義是指審計或過程的控制，強調在整個企業范圍內連續有效的控制過程，從管理方法上強調一種連續和綜合的方法(consistent and comprehensive)，企業的所有風險都應該包含在管理或控制范圍內；第二層含義是投資與金融中資產組合“portfolio”的同義詞，該含義認為。企業尤其是金融企業是風險的集合體，組合風險不僅依賴于單個風險的性質，還依賴于風險之間的相互作用和整合嘲。“全面”這個詞語包含了“integrated，holistic，enterprise，total”的共同特征。

關于ERM的定義經歷了從百家爭鳴到整合統一的歷程。主要的定義有：KentD，Mfller(1992)提出的整合風險管理(Integrated Risk Management)定義認為整合風險管理是一種從整體上考慮系統面臨的各種風險，建立全瞻性的優化組合機制的管理體系。Jerry Miceolis＆Samir Shah(2001)指出，就一般企業而言，全面風險管理是從企業所有資源出發，對企業的商業目標形成威脅或為企業帶來競爭優勢的整體風險進行評估和管理的經濟活動。就保險企業而言，全面風險管理是整個保險業風險與價值的動態整合優化，它包括為實現提高企業價值的目標而對公司財務風險和操作風險(operational risk)進行評估、減低、融資或利用等技術手段的選擇，以及對其所采取的財務戰略和經營戰略的強化、執行和控制。LisaMeulbmek(2002)指出，所謂公司整合性風險管理。就是對影響公司價值的眾多因素進行辨別和評估，并在全公司范圍內實行相應戰略以管理和控制這些風險。整合性風險管理的目的就是將企業的各項風險管理活動納入統一的系統，實現系統的整體優化，創造整體的管理效益，提升或創造企業更大的價值。他在同一年的另一篇文章中強調，整合風險管理在本質上是戰略的，而不是戰術的。戰術性的風險管理，其視角窄小有限。William H.Panning(2003)指出，ERM是新的思維方式、測度方式和管理方式的三維統一體，通過這些方式促進管理者實現公司價值最大化。從思維方式上看，ERM是一種理念和文化；從測度方式上看，它具有一定的技術管理性；從管理方式上看，它是一種行為。2001年北美非壽險精算師協會(casuahy AeturiaI Society，CAs)在一份報告中，明確提出了全面風險管理(Enterprise-wide Risk Management或Enterprise Risk Manage-ment，即ERM)的概念，并對這種基于系統觀點的風險管理思想進行了較為深入的研究。CAS(2003)對ERM的定義為：ERM是一個對各種來源的風險進行評價、控制、研發、融資、監測的系統過程。任何行業和企業都可以通過這一過程提升股東短期或長期的價值。(The process bywhich organizations in aIl industries assess，control，exploit，finance and monitor risks from aJl sources forthe purpose of increasing the organizatien's short andlong term value to its stakeholders，)。隨后，在內部控制領域具有權威影響的COSO委員會，于2004年9月頒布了《全面風險管理一整合框架(Enter-prise Riak Management——Integrated Framework)》報告。報告從內部控制的角度出發，研究了全面風險管理的過程以及實施的要點，是全面風險管理理念在運用上的重大突破。COSO對ERM的定義是：全面風險管理是一個過程，它由一個企業的董事會、管理當局和其他人員實施，應用于企業戰略制定并貫穿于企業各種經營活動之中，目的是識別可能會影響企業價值的潛在事項，管理風險于企業的風險容量之內，并為企業目標的實現提供保證。

歸納起來一個正確的ERM概念應該包括下面幾個關鍵要素，它們是：①過程：ERM是一個過程，這個過程貫穿于企業的各種管理和經營活動之中；②對象：ERM的對象是企業內、外部各種來源的風險整體；③主體：ERM的執行主體涉及到企業各個層級的全體員工和所有部門；④目標：ERM的目標是把風險控制在風險容量以內。同時為企業尋找最佳的風險，收益平衡點，最終的目的是提升股東短期或長期的價值。

(二)整體化風險管理方式

傳統風險管理注重風險的來源，認為不同來源的風險應該由不同部門采取不同方法分別處理。而部門之間的溝通和合作非常少，這種風險管理方式被稱為“豎井式(silo approach)”管理方式。豎井。英文silo。為豎井，筒倉之意，silo ap-

proaeh，即孤立的、不與他人聯系的方式。Shimpi(2001)在其風險管理巨著《整合性公司風險管理》中非常形象的描述了傳統風險管理方式的缺陷：風險就像一頭大象(Risk i8 like an elephant)，傳統的風險管理就像盲人摸象，雖然每個人都摸對了一部分，但總體上來講還是錯的(Thougheach'was partly in the right，and all!were灑thewrong)。ERM沖破了傳統風險管理對風險的狹隘理解，把風險看做一個整體加以考慮，研究和解決的是公司整體的風險暴露和對企業的整體影響，其核心理念是從企業整體的角度，對整個機構內部各個層次的業務單位和業務環節的各個種類的風險進行通盤管理。因此，現代化的全面風險管理要求一切風險管理活動都要圍繞公司價值最大化這個目標，公司的風險管理活動和投資活動要結合起來考慮，同時還要考慮新的投資機會對公司原有資本結構的影響，對公司整體風險的影響，從而決定采取什么樣的風險管理策略；現代化的全面風險管理利用先進的技術手段來估計公司整體風險敞口的風險暴露(如Vat方法)，對于該整體風險的可交易部分(流動性高)進行套期保值，對于不可交易部分(缺乏流動性)則采取風險控制的方法從項目選擇初期就加以考慮，只選擇那些風險回報超過該項目對整體風險的貢獻因素的投資機會；現代化的全面風險管理要求公司上下使用一套統一的風險政策和風險語言，由獨立的風險管理部門向董事會提交關于公司整體風險敞口的有用信息而不是各個部門的風險暴露信息，因此不會造成關鍵資源的浪費和重要風險的遺漏。總之，在全面風險管理的理論框架下，公司價值增加的過程是風險管理、資本結構、資本預算相互結合共同作用的過程，如圖3，同時輔以相應的風險文化、組織結構、技術資源等必要設施的支持。

四、ERM框架體系

(一)構建原則

企業全面風險管理是一個涉及多個學科、涵蓋方方面面的系統工程，由此構建的ERM框架應該是一個多維的、立體的、連續的管理方案和過程。要構建這樣一個管理框架，必須要遵循以下原則：①多維度目標評價體系原則。ERM是以增加股東價值為導向的，而股東價值的多維性決定了ERM必然是一個多目標決策活動，因此要有全面的目標評價體系，以滿足具體情況下不同層次不同價值取向的需要。要實現多目標的風險管理，需要對企業的目標進行完整的表述，形成全面的目標評價體系，并且使用適當的綜合目標分析方法來幫助制定決策。②多種管理機制配套原則。ERM要求有一個綜合的獨立于其他業務部門之外的風險管理機構，這個機構負責制定針對公司所有風險活動的方針政策，并直接向首席執行官(CEO)報告；ERM還要求有一個綜合的風險轉移策略，該策略在公司整體范圍內整合所有類型風險，在充分考慮了各種風險的“天然對沖效應”后，將管理層認為無用的剩余風險通過衍生品或保險轉移出去；最后，ERM是管理的攻擊性武器，它需要把風險管理整合到公司的業務流程中，通過支持和影響定價、資源配置以及其他業務決策來優化企業績效。因此，ERM是一個涉及公司治理、內部控制、部門管理、組合管理、權益方管理以及數據和技術資源管理在內的綜合框架，其中任何一方面的失誤都會影響到整個ERM的效率，某些關鍵失誤甚至會導致整個ERM系統失效。③經驗借鑒和因地制宜相結合。ERM框架構建的目的是為了更準確的反映企業的風險暴露情況，更高效的管理公司的風險敞口，保證公司的穩健經營和價值增長。要實現這個目標，一方面在框架主體上要充分吸收和借鑒國外ERM框架的成功經驗(如表1所示的行業經驗和綜合標準)，這些經驗從較高視角詮釋的ERM框架主體結構適用于不同國家不同行業的現代企業；另一方面，在涉及到具體風險評估和制度配套上還要立足于我國的實際情況，充分考慮國內消費者獨有的文化、習慣、消費心理特征，充分考慮行業和企業的風險管理現狀以及所面臨的獨特的經濟、金融和監管環境，立足于中國實際和發展趨勢設計出來的ERM框架，才更具有現實意義。

(二)ERM框架

ERM所要做的是了解企業經營活動中所產生的全部風險的同時用最小的成本去管理和利用這些風險，減少損失同時獲取風險溢價?；谶@個考慮，ERM框架應該是從全局高度制定的戰略目標和風險偏好指導、各種策略和配套設施支持下的連續風險管理過程(如圖4所示)。其中，ERM策略是從財務上對風險的可能結果進行的事前處理，是實現風險管理目標的手段。ERM過程是為了確定最優的風險管理成本和最有效的資本配置方案，這個過程要便于公司組織內部對風險管理的理解和實施，并能主動支持公司的風險管理策略，是進行風險管理決策的基礎。ERM過程要在目標的指導下進行，ERM目標是風險管理的方向，是前面所有努力所要達到的最終結果，它應該有多個層次多個維度，考慮到企業不同的價值取向和各個發展時期。ERM，的配套設施是實現ERM過程的軟硬件準備，是風險管理效率效果的必要保證。

(三)框架說明

1ERM策略

ERM策略針對的不是單個風險，而是整個公司的風險剩余。從這個意義上說它包括資產規避、負債規避、股權規避和杠桿管理四個基本策略。不論風險的來源如何，也不管風險從什么方面增加了公司的成本，只要風險對公司價值產生了影響就可以使用這四種策略來管理風險(具體見作者2008年的另一篇文章?？傊骘L險管理策略不僅包括傳統意義上的風險控制和套期保值策略，還包括新型風險管理工具的運用，并且要和公司的投融資策略以及資本結構政策結合起來，共同為股東和公司關聯方利益服務。

2ERM目標和風險偏好

ERM框架要求管理當局采取適當的程序去設定目標，確保所選定的目標切合、支持該主體的使命，并且與它的風險容量相一致。目標制定是一切風險評估和管理過程的前提，因此企業必須首先制定目標，在此之后，管理層才能識別和評估影響目標實現的風險并且采取必要的行動對這些風險進行管理。制定戰略及其它目標時，必須要考慮企業的風險偏好或風險容忍度，風險容忍度是指在實現企業特定目標過程中對差異的可接受程度。風險容忍度應該是明確的、切實可行的、可以衡量的；風險容忍度應該在整個企業的層面進行適當分配，以便于管理和監控；風險容忍度應該要企業內部外部的人都明確知道。ERM，目標應該包括長遠的戰略目標和中短期的經營性目標，COSO發布的《全面風險管理——整合框架(En-terprise Risk Management——Integrated Frame-work)》(2004年9月j將ERM的目標分為：①戰略(strategic)目標，是較高層次的目標。與企

業的使命相關聯并支撐其使命；②經營(opera-Sons)目標。保證企業有效和高效率地利用其資源；③報告(reporing)目標，保證各種報告的可靠性；④合規(compliance)目標，保證企業各項經營活動符合適用的法律和法規的規定。戰略目標的確立把ERM提高到了指導企業經營活動的高度，在市場日趨成熟的情況下。企業要想長期穩定的保持其競爭優勢，必須把戰略目標作為首要考慮的目標，其它三個目標要圍繞戰略目標來確立。同樣，在進行風險決策時也要首先滿足戰略目標。

3ERM過程

一個典型的ERM過程應該包括如圖5所示的基本風險管理步驟。首先要在明確企業使命的前提下制定企業的戰略目標，戰略目標是在歷史分析的基礎上做出的遠景預測，是對企業未來的一個把握，這個目標一旦確立。就像一個航標指引著企業所有的運營活動，包括全面風險管理活動。ERM過程的第一個重要步驟是風險評估。風險管理的有效性依賴于對風險因素識別的全面性和測量的準確性，因此需要有科學的風險評估模型和方法來達到以下目的：使高層管理者可以清楚的觀察到經過內部對沖之后的“剩余風險”和風險間的“組合效應”；確定用于防范實質性風險和抓住新投資機會的資源的配置方案；提供對風險進行客觀、持續檢測的模型?；谝陨夏康模L險評估應該包括以下幾個步驟：①識別風險因素。這里要考慮到所有可能對公司目標產生影響的因素，不僅包括威脅，也包括機會。風險因素的來源可以是公司內部也可以是公司外部，可以是經濟社會環境也可以是各項業務或財務，這些風險因素的一個共同特征就是它的存在會影響到公司的各項目標的實現。識別風險因素的方法主要是定性的征求專家意見和審查各種文檔資料，這些專家和資料包括來源于公司外部的資源，如公司的合作方或客戶；識別的結果包括各種風險因素的發生的可能性、可預測性和對組織關鍵績效指標的影響程度以及組織目前對該風險因素在硬件系統和觀念上的準備情況。另外還要注意，ERM關于風險因素的識別是一個自上而下的過程，它是以各項業務為出發點，而不是風險檢查表，以保證風險因素識別的全面性。這一部分的風險評估已經包括了風險的量化，是風險管理活動的基礎和關鍵環節。也是最難操作的環節，這一環節結果的真實性直接影響到整個風險評估步驟的準確性。②風險因素排序。前面所識別出來的風險因素需要經過排序才能方便的被使用，常常由專家小組來對各種風險因素進行評估和打分，再根據各項因素的分值進行排序，排序的目的是篩選出對公司影響嚴重的關鍵風險因素。③風險因素分類。為了和下一步的風險控制和風險利用順利的銜接，還必須對風險因素進行排序，以確定哪些因素需要加以控制，哪些因素可以被利用。關于風險因素的分類要結合行業的特征，一般可以按風險來源(如來源于外部環境還是來源于公司內部)或風險管理的難易程度(如屬于公司已經熟悉并具備現成的軟硬件系統去處理的“可管理的風險因素”，還是屬于公司不熟悉的或缺乏應對這種風險因素的資源的“戰略性風險因素”)進行分類。經過分類的風險已經可以區分出盈利機會和損失可能，可以直接為接下來的風險處理過程所用。

風險處理包括兩方面的內容，風險控制和風險利用。因為通過前面的風險評估已經把風險進行了排序和分類，列出了關鍵的損失可能和盈利機會，所以接下來要做到是對這些關鍵風險進行管理。風險控制是管理不利風險的風險評估步驟，其目的是確保企業承擔的風險總量與企業總風險容量相一致。風險控制分析的技術方法有三種：情景分析、經濟資本金和風險指標或稱早期預警系統；風險控制過程包括以下四步：首先要為每個關鍵風險因素建模，確定它們的概率分布和相關性，其次利用一個隨機財務模型把這些不同風險因素的分布和一個基礎性財務指標(如現金流指標)聯系起來，第三步是利用隨機財務模型對各種風險控制策略進行評估，最后是利用優化組合方法給出最優的ERM預算。風險利用專注于優化公司的風險/收益特征，以確保公司承擔的風險具有最高的經風險調整收益率。風險利用的分析方法主要有風險價值VaR(value at Risk)方法、經風險調整資本收益率(risk-adjusted return of on capital。RAROC)、經濟創收(economic income ereatee,EIC)、股東價值(shareholder value，SHY)和股東增加值(shareholder value-added，SVA)等。通過風險處理，企業的風險，收益結構得到優化。公司的風險特征有了實際改變，股東價值得到增加，這些都是風險控制和風險利用的結果。而風險評估是實施風險控制和利用的必要鋪墊。

ERM過程的最后一個關鍵步驟是風險管理效果監控。因為在動態的風險環境中，各種風險以及風險對企業影響的方式是不斷變化的，隨著企業風險管理技能的提高原本不擅長管理的威脅也許會變成企業新的機會，同樣，原本的機會由于新的競爭對手的加入可能不能繼續帶給企業合意的風險溢價而被企業放棄，因此需要不斷輸入新的風險因素變量、不斷對ERM過程進行檢驗。風險管理效果監控的另一個原因是我們對風險和風險管理認識的局限性造成了ERM過程中所使用的模型自身的不完美性，原有的風險量化模型和風險控制方法經過實踐的檢驗也許需要改進或替換。總之。ERM過程應該是一個動態的循環過程，這個過程在實際運行中不斷得到充實和完善。

4ERM配套設施

ERM的配套設施主要有六個，之所以把這六個部分作為ERM的配套設施是因為這些部分各自是一個研究領域，它們和風險管理密切相關卻又不完全相同，它們不完全屬于風險管理卻對風險管理有至關重要的影響，一個成功的風險管理系統需要這些部分成功運作的支持。因此把這些和風險管理密切相關的研究領域統稱為ERM的配套設施，任何一種設施的缺位或失誤都可能影響ERM的效率效果，甚至某些關鍵失誤會導致整個ERM系統失效。下面分別介紹這些領域以及它們和風險管理的關系。

(1)公司治理。首先，公司治理包含了強化風險管理的內容，許多企業的公司治理準則都明確提出風險管理是董事會的一項主要職責，戴易報告和經濟合作與發展組織(Organization for E-conomic Cooperation and Development,OECD)的公司治理準則公開提出，董事會有責任確保適當的風險管理系統和政策到位。其次，二者的最終目標一致，同樣關注戰略方向、公司整合以及來自公司最高層的動機。巴塞而銀行監管委員會2005年公布的《加強銀行機構公司治理》(Basel，2005)的征求意見稿中明確指出：“良好的公司治理應該為董事會和管理層提供恰當的激勵去追求與公司利益和股東價值相符的目標，并且有利

于對各方面的有效監督?！边@與ERM的最終目標是一致的。第三，良好的董事會常規和公司治理是有效實施企業風險管理的必要條件。董事會的積極參與能促進ERM的研發與成功，而公司治理的缺陷將導致內部控制和風險管理從根本上失效。一個有效的風險管理和內部控制體系應該建立在良好的公司治理的基礎上。由高層領導制定基調并且身體力行開展風險管理工作，以保證風險管理的獨立性，并且他們本身的活動應該成為監督和管理的首要對象。

(2)內部控制。如果將控制理解為對目標實現過程的管理，而把風險理解為結果對目標的偏離，那么，內部控制顯然是金融機構歷史最悠久的風險管理機制。內部控制活動主要表現為與業務管理密切相關的各項規章制度的制定和執行的監督活動，因此，內控活動和業務管理活動實際上是融為一體的，業務部門承擔主要的內控責任，而審計部門則負責內部控制有效性的評估和監督。企業需要就各業務單位在日常運作中所面對的風險(戰略性風險、業務性風險、流程性風險等)構建內部控制(包括預防性控制及覺察性控制)，以確保企業能實現目標和符合各方面的法律。法規。企業還要對其內控系統不間斷地進行監控和測試，以確保其對風險控制的能力，把各類風險控制在可接受的水平，并在這基準上賺取合理的回報。1992年COSO委員會發布了《內部控制——綜合框架》(COSO，1992)，在國際上被廣泛接受。該框架將內部控制定義為：內部控制是一個依靠包括董事會、管理層和其他員工參與，保證實現公司經營活動的有效性和效率、財務報告的可靠性和對法律法規的遵循性三大目標的過程。內部控制是ERM的一個重要組成部分，它曾經在早期風險管理中代替風險管理的職能行事，內部控制和公司治理共同保障風險管理的有效實施，兩者中的任何一個出現問題，所有風險管理技術和方法的有效性就失去了前提和保障。

(3)組織和部門管理。理想的風險管理組織結構是由一個獨立的風險管理部門來負責實施日常的風險管理，這個部門的領導(風險總監)向上可以直接向CEO或董事會報告，以保證風險管理部門的權力和其工作的客觀性，向下可以和各個部門通力合作匯總公司的整體風險敞口(如圖6)。在設置ERM組織結構時，要注意處理好風險管理部門和業務部門的關系，理想的ERM框架下風險管理部門和業務部門之間應該形成一種伙伴關系。在這種關系下，風險管理部門不是嚴格意義上的監督部門，而是完全融入到了企業的各項業務中，在業務進行的最前端(產品開發和定價階段或做投資決策時，就和業務部門一起處理風險／收益問題，并擁有共同的目標。這只是一種理想的狀況，現實生活中，即使盡最大努力選擇和優化風險管理部門與業務部門之間的關系模式，分別追求業務增長和風險控制的兩個部門間的沖突仍是不可避免的。所以還應該有一些解決雙方矛盾的辦法來幫助兩個部門伙伴關系的形成。保證風險管理部門和業務部門的一致行動，減少部門間的摩擦成本。

(4)關聯方利益管理。關聯方包括任何支持和參與公司的生存和成功的團體和個人，主要包括：雇員、客戶、供應商、商業伙伴、投資者、監管者、股票分析專家、信用分析專家以及評級機構等，這些關聯方中的每一個都是公司成功的要素，關聯方流失會給企業帶來巨大的成本。如員工流失成本(尤其是流失到競爭對手那里，伴隨技術和商業信息流失將會給企業帶來莫大的損失)。在美國，有研究表明替換一個工人所帶來的招聘和培訓費用大概為待聘職位薪金的1～2.5倍。職位越復雜費用越高，而伴隨其中的技術和商業信息流失造成的無形損失則更高。客戶流失成本也是如此，一般說來贏得一個新客戶的代價至少是留住一個老客戶的5倍，因為老客戶一般購買的更多、對價格更不敏感，并且常常為公司帶來新客戶。公司進行的風險管理活動可以保證公司更容易兌現對關聯方的承諾，與支付高額成本來維護關聯方關系相比，對風險進行套期保值的成本更低。因此，關聯方關系管理是風險管理的一個重要組成部分，是風險管理增加公司價值的重要途徑。

(5)數據和技術資源?？捎玫娘L險管理數據主要是組合數據和市場數據。組合數據包括在不同的前臺后臺系統收集到的風險頭寸；市場數據則包括價格、波動率和相關系數。為了保證這些數據的質量，還要建立數據搜集的適當標準和流程。數據資源的兩種獲取途徑分別是會計系統和前臺交易系統，而前臺交易系統可以提供許多客戶的第一手資料。技術資源主要指用來進行風險量化分析和經風險調整定價的計算機功能軟件，包括數據轉換界面、數據轉換中間設備(messag-ing-oriented middleware，MOM)(幫助減少風險管理實施時間，對點對點界面的改進)、定價分析系統和ERM模型實施所需技術資源等。這些資源可以通過自建、購買、定制或外包的方式來獲得。數據和技術資源一起支持公司的風險分析和風險處理過程。

(6)積極組合管理。組合管理提供了風險管理與公司價值最大化的直接聯系。它要求企業像管理基金一樣對公司總體風險進行組合管理，充分利用組合內各種風險的“天然對沖”效應和分散化效應，建立組合目標和適當的風險限制以確保獲得最佳組合回報率。這意味著把公司面臨的諸如負債、投資、利率以及所有其它風險作為一個有機的整體加以管理，以實現總體風險，收益最優化。