企業全面風險管理的框架構建

趙斯昕，丁日佳

(中國礦業大學(北京) 管理學院，北京 100083)

1995年COSO發布的《內部控制——綜合框架》，幫助企業和其他實體評估和提升他們的內部控制系統。但近年來，隨著安然、世通等一系列公司丑聞爆發，在我國有中航油、四川長虹壞賬、創維數碼盜用資金等事件產生，傳統內部控制已力不從心，風險管理的論題得到廣泛關注[1]。COSO于2004年底發布了全新的COSO報告：《企業風險管理(ERM)——綜合框架》。筆者結合新COSO報告、國資委《中央企業全面風險管理指引》及相關的風險管理準則，構建了全面風險管理框架，并對其進行介紹和分析。

1 全面風險管理(GERM)的內涵及特色

傳統風險管理注重風險的來源，認為不同來源的風險應由不同部門采取不同方法分別處理，這種方式被稱為“豎井式”管理方式。Shimpi(2001)在其著作《整合性公司風險管理》中，描述了傳統風險管理方式的缺陷：風險就像一頭大象，傳統的風險管理就像盲人摸象，雖然每個人都摸對了一部分，但總體上來講還是錯的[2]。

從Kent D. Miller (1992)提出的整合風險管理，到Lisa Meulbroek (2002)指出的公司整合性風險管理，2001年北美非壽險精算師協會在一份報告中，明確提出了全面風險管理(即ERM)的概念。隨后，COSO委員會于2004年9月頒布了《全面風險管理——整合框架》報告。COSO對ERM的定義是：全面風險管理，是由一個企業的董事會、管理當局和其他人員實施，應用于企業戰略制定并貫穿于企業各種經營活動之中的過程，目的是識別可能會影響企業價值的潛在事項，管理風險于企業的風險容量之內，并為企業目標的實現提供保證。

歸納起來，一個正確的ERM概念應該包括下面幾個關鍵要素：①過程。貫穿于企業的各種管理和經營活動之中；②對象。企業內、外部各種來源的風險整體；③主體。涉及到企業各個層級的所有部門和全體員工；④目標。在風險容量內，尋找最佳的風險/收益平衡點，以提升公司短期或長期的價值。其特點就是從企業整體的角度，對整個機構內部各個層次的業務單位和業務環節的各個種類的風險進行通盤管理。

2 ERM框架

ERM所要做的是了解企業經營活動中所產生的全部風險，同時，用最小的成本去管理和利用這些風險，減少損失，同時獲取風險溢價。基于此考慮，本ERM框架是從全局高度制定戰略目標和風險偏好指導、在配套設施支持下的連續風險管理過程(圖1)。其中，ERM過程是進行風險管理決策的基礎，目的是為了確定最優的風險管理成本和最有效的資本配置方案。ERM過程要在目標的指導下進行，目標設置應考慮到企業不同的價值取向和各個發展時期。ERM的配套設施，是實現ERM過程的軟硬件準備，是風險管理效率效果的必要保證。本框架的邏輯結構，是以其過程和配套設施為支撐支持其目標的實現。

圖1 ERM框架示意圖

3 框架說明

3.1 ERM目標和風險容忍度

本ERM框架要求管理當局采取適當的程序去設定目標，確保所選定的目標切合、支持該主體的使命，并且與它的風險容量相一致。制定戰略及其他目標時，必須要考慮企業的風險容忍度，風險容忍度是在實現企業特定目標過程中對差異的可接受程度。風險容忍度應該是明確的、可行的、可衡量的，并且要在整個企業的層面進行適當分配，以便于管理和監控。本框架采取新COSO報告的ERM的目標分類：戰略目標、經營目標、報告目標、合規目標。其中：戰略目標的確立，把ERM提高到了指導企業經營活動的高度，企業要想長期保持其競爭優勢，必須把戰略目標作為首要考慮的目標。其他具體目標的設定，應以戰略為指導，并與戰略目標一致。同樣，在進行風險決策時，也要首先滿足戰略目標。報告目標，分為對內報告和對外報告，涉及財務和非財務信息，保證企業各種報告的可靠性[3]。

3.2 ERM過程

一個典型的ERM過程，應該包括基本的風險管理步驟。首先，要在明確企業使命的前提下，制定企業的戰略目標。戰略目標是在歷史分析的基礎上做出的遠景預測，一旦確立，就像一個航標指引著企業所有的運營活動，包括全面風險管理活動。

ERM過程的首要步驟是風險評估，COSO新報告建議，從固有風險和殘存風險的角度來看待風險。因此，需要有科學的風險評估模型和方法來達到以下目的：使高層管理者可以清楚的觀察到經過內部對沖之后的“剩余風險”和風險間的“組合效應”；確定用于防范實質性風險和抓住新投資機會的資源的配置方案；提供對風險進行客觀、持續檢測的模型。企業風險評估方法，主要分為定量和定性分析。企業可根據不同的風險目標，確定不同的相應的風險評估方法，實現成本最低情況下的效益最大化。基于以上目的，風險評估應該包括以下幾個步驟：①識別風險因素。要考慮到所有可能對公司目標產生影響的因素，包括威脅和機會。識別風險因素的方法，主要是定性的征求專家意見和審查各種文檔資料；識別的結果包括各種風險因素的發生的可能性、可預測性和對組織關鍵績效指標的影響程度，以及組織目前對該風險因素，在硬件系統和觀念上的準備情況。另外須注意，風險因素識別是以各項業務為出發點，一個自上而下的全面過程，而不是風險檢查表。這部分的風險評估包括了風險的量化，其結果的真實性直接影響到整個風險評估步驟的準確性，是最難操作和關鍵的環節。②風險因素排序。前面識別出的風險因素通常由專家小組對它們進行評估和打分，根據分值進行排序，篩選出關鍵風險因素。③風險因素分類。為了下一步的風險控制和風險利用。風險因素的分類要結合行業的特征，一般可以按風險來源或風險管理的難易程度分類，然后區分出盈利機會和損失可能，為接下來的風險處理過程所用。

風險處理包括風險控制和風險利用，對關鍵的損失可能和盈利機會進行管理。風險控制是控制風險事件發生的動因、環境、條件等，以確保企業承擔的風險總量在企業總風險容量以內。風險控制可以通過控制影響某一風險的多個因素中的一個或多個來達到目的，但主要的是風險事件發生的概率和發生后的損失。風險控制分析的技術方法有三種：情景分析、經濟資本金和風險指標(或稱早期預警系統)。風險利用，要保證公司承擔的風險具有最高的經風險調整收益率。風險利用的分析方法主要有：風險價值VAR 方法、經風險調整資本收益率、經濟創收、股東價值和股東增加值等。風險評估是風險控制和利用的必要前提，而通過風險處理，企業的風險/收益結構得到優化，公司價值得到增加。

ERM過程的最后一個關鍵步驟，是風險管理效果監控。監控，需要不斷輸入新的風險因素變量，不斷對ERM過程進行檢驗。風險管理效果監控的另一個原因是：ERM過程中所使用的模型自身的不完善，原有的風險量化模型和風險控制方法隨著實踐的檢驗，也需要不斷改進或更換，源于我們目前對風險和風險管理認識具有局限性。

總之，ERM過程應該是一個動態的過程，這個過程在實際運行中不斷得到充實和完善。

3.3 ERM配套設施

本ERM框架的配套設施主要有五個，這些部分各自是一個研究領域，它們不完全屬于風險管理卻對風險管理有至關重要的影響，這些部分成功運作和支持，構成了一個完整的風險管理系統。因此，把這些和風險管理交叉和相關的研究領域統稱為ERM的配套設施。任何一種設施的失誤或缺位，都可能影響ERM的效率和效果，甚至某些關鍵失誤會導致整個ERM系統失效[4]。下面分別介紹這些領域以及它們和風險管理的關系。

(1)公司治理

首先，公司治理包含了強化風險管理的內容，許多企業的公司治理準則都明確提出風險管理是董事會的一項主要職責。其次，二者的最終目標一致，同樣關注戰略方向、公司整合以及來自公司最高層的動機。 第三，良好的董事會常規和公司治理是有效實施企業風險管理的必要前提。《中央企業全面風險管理指引》(2006)提出，董事會要督導公司建立全面風險管理體系。董事會的積極參與能促進ERM的研發與成功，而公司治理的缺陷將導致內部控制和風險管理從根本上失效[5]。公司治理的核心是有效制衡，利用制衡控制風險。一個建立在良好的公司治理的基礎上的風險管理和內部控制體系才是有效的。

(2)內部控制

內部控制是歷史最悠久的風險管理機制，是一個受到董事會、經理層和其他人員影響的過程，包括組織機制的設計和企業內部采取的所有相互協調的方法和措施。因此，內控活動和業務管理活動實際上是融為一體的，業務部門承擔主要的內控責任，而審計部門則負責內部控制有效性的評估和監督。企業需要就各業務單位在日常運作中所面對的各類風險構建內部控制。企業還要對其內控系統不間斷地進行監控和測試，把各類風險控制在可接受的范圍內，并能賺取風險溢價。內部控制曾經在早期風險管理中代替風險管理的職能行事，新COSO報告指出，內部控制是ERM的一個重要組成部分。所有風險管理技術和方法的有效性，以內部控制和公司治理為前提和保障，內部控制和公司治理共同保障風險管理的有效實施。

(3)組織和部門管理

在設置ERM組織結構時，要注意處理好風險管理部門和業務部門的關系。理想的ERM框架下，風險管理部門和業務部門之間，應該形成一種伙伴關系。在這種關系下，風險管理部門完全融入到了企業的各項業務中，在業務進行的最前端就和業務部門一起處理風險/收益問題，并擁有共同的目標。

而現實生活中，在全面風險管理工作中，業務部門應接受風險管理職能部門和內部審計部門的組織、協調、指導和監督(圖2)。保證風險管理部門和業務部門的行動協調，減少部門間摩擦。

圖2 風險管理部門與業務部門關系圖

(4)數據和技術資源

可用的風險管理數據，主要是組合數據和市場數據。為了保證這些數據的質量，還要建立數據搜集的適當標準和流程(圖3)。數據資源的兩種獲取途徑分別是會計系統和前臺交易系統，而前臺交易系統可以提供許多客戶的第一手資料。技術資源主要指用來進行風險量化分析和經風險調整定價的計算機功能軟件，包括數據轉換界面、數據轉換中間設備、定價分析系統和ERM模型實施所需技術資源等。數據和技術資源一起支持公司的風險分析和風險處理過程。

圖3 信息系統示意圖

(5)關聯方利益管理

關聯方包括任何支持和參與公司的生存和成功的個人和團體，主要包括：雇員、客戶、供應商、商業伙伴、投資者、監管者、信用分析專家以及評級機構等。以上關聯方中的每一個，都是公司成功的要素，因為關聯方流失會給企業帶來巨大的成本。如員工流失成本，尤其是流失到競爭對手那里，伴隨技術和商業信息流失，將會給企業帶來莫大的損失。公司進行的風險管理活動，可以保證公司更容易兌現對關聯方的承諾。因此，關聯方關系管理是風險管理的一個重要組成部分，是風險管理增加公司價值的重要途徑。

4 結 論

全面風險管理沖破了傳統風險管理對風險的狹隘理解，把風險看作一個整體加以考慮，對整個機構內部各個層次的業務單位和業務環節的各個種類的風險進行通盤管理。正如新COSO報告所提出的，全面風險管理強調風險組合觀。因為企業是許多業務單元、職能機構、流程等的結合體，對單個單元來說，風險可能落在其容忍范圍內，而將這些風險組合在一起形成的整體風險，可能超過企業總體的風險偏好范圍，或者反之亦然。基于上述認識，本ERM框架是從全局高度制定的戰略目標和風險偏好、在配套設施支持下的連續風險管理過程。以期在了解企業經營活動中所產生的全部風險的同時，用最小的成本去管理和利用這些風險，減少損失同時獲取風險溢價，實現全面風險管理的目標。

[1] 肖凌. 企業風險管理(ERM)——一個概念框架[J].經濟師.2006(3).

[2] 詹姆斯·林著，黃長全譯.企業全面風險管理—從激勵到控制[M].北京：中國金融出版社，2003.

[3] 胡昌紅.現代企業風險管理框架研究[D]. 安徽大學,2007,4.

[4] 張琴，陳柳欽.企業全面風險管理(ERM)理論梳理和框架構建[J].當代經濟管理,2009(7).

[5] 國資委企業改革局.中央企業全面風險管理指引解讀[M]. 2006,10.