國外風險管理理論研究綜述

摘要：風險管理在五十年的發展中實現了從多領域分散研究向企業風險管理整合框架的演進，本文對傳統風險管理理論、金融風險管理理論、內部控制理論和企業風險管理理論的主要觀點進行了綜述，并對后危機時代的風險管理發展趨勢進行了展望。

關鍵詞：風險管理；內部控制；企業風險管理

Abstract：Risk management transited from disperse study of multiple fields to integrated framework of enterprise risk management in last fifty years. This paper summarizes the major views about traditional risk management theory，financial risk management theory，internal control theory and enterprise risk management theory，and reviews the future development tendency of risk management after the subprime crisis.

Key Words：risk management，internal control，enterprise risk management

中圖分類號：F830 文獻標識碼：A 文章編號：1674-2265（2011）02-0023-05

2007年次貸危機的爆發，各大金融機構的破產，使得風險管理再度成為理論界研究的熱點，雷曼兄弟、美林等公司都曾經是風險管理的先行者，但還是在危機面前走向了破產，那么究竟該如何進行風險管理呢？在回答這個問題之前，我們有必要回顧一下風險管理理論的演進與發展，從歷史的脈絡中來尋找企業風險管理的精要所在。

一、傳統風險管理理論

風險管理作為一門學科出現，是在二十世紀60年代中期。1963年梅爾和赫奇斯的《企業的風險管理》、1964年威廉姆斯和漢斯的《風險管理與保險》出版標志著風險管理理論正式登上了歷史的舞臺。他們認為風險管理不僅僅是一門技術、一種方法或是一種管理過程，而且是一門新興的管理科學，從此風險管理迅速發展，成為企業經營和管理中必不可少的重要組成部分。

傳統風險管理的對象主要是不利風險（也就是純粹風險），目的就是為了減少純粹風險對企業經營和可持續發展的影響；企業風險管理所采取的主要策略就是風險回避和風險轉移，保險則成為最主要的風險管理工具。

在這個階段，研究者的主要工作就是對風險管理對象的界定和區分，辨別出那些對企業只有不利影響的風險類型并著手解決，是傳統風險管理的重要思路。實踐中，純粹風險確實對企業的可持續經營具有很大的影響，特別是那些沒有預測到的純粹風險，往往會直接拖垮一個企業，而且企業對純粹風險的管理涉及到機會成本的問題，這更加需要企業在綜合權衡的基礎上做出風險管理決策（Gahin，1967），因此，純粹風險一直被當作風險管理的對象和目標。而具體的解決辦法，是以保險作為主要手段，通過購買保險來轉移那些影響企業的純粹風險，至于如何購買保險、購買什么樣的保險就屬于風險管理決策的范圍了，而不僅僅是一種技術手段，實際上，風險管理就是從保險行為中延伸出來的管理手段，因此，保險在這個時期的風險管理中具有重要的作用（Denenberg，1966）。

此外，這一時期風險管理的應用從企業擴展到了市政領域。Todd（1969）、Vaughan（1971）通過對美國九個州市政管理的調研發現，市政官員對風險管理的認識還十分薄弱，提出加強市政領域的風險管理是市政官員的重要職能，目的是保證市政財務預算免受意外災害的影響，以保持提供應有的市政服務的能力。

而這個階段風險管理理論的重要成就是實現了與主流經濟、管理學科的融合。風險管理方法論的提出無疑是最為重要的，1965年Hedges第一次提出了有關構建企業風險管理的方法論，界定了分析風險管理的觀察視角問題，指出風險管理往往存在著兩種不同的視角：一是基于首席財務官職位的財務政策視角，二是基于風險管理官職位的風險與保險視角，同時指出，保險是企業風險管理的重要工具，但是保險并不意味著風險管理的全部，從而將風險管理的范圍進一步拓展，并且明確了保險只是風險管理的一種工具，使得風險管理從方法論角度更為全面和完善。Close（1974）將風險管理與現代管理學中的復雜組織系統模型相結合，為風險管理學科的發展提供了更為主流的理論來源；Cummins（1976）將風險管理與傳統的企業理論相結合，運用現代經濟學的分析方法來確定風險管理的最優策略，從而使風險管理融入到金融市場理論中并成為金融學的一個重要領域。

二、金融風險管理理論

如果說傳統風險管理理論是為了解決純粹風險，那么金融風險管理就是為了應對投機風險的問題，是為了實現“風險最小條件下的收益最大，或是收益一定條件下的風險最小”目標，這是金融風險管理與傳統風險管理的最重要區別。

金融風險管理理論的重要組成部分，就是自二十世紀50年代開始發展起來的一系列現代微觀金融方法：Markowitz（1952）提出的資產組合理論為金融風險管理提供了有利的支撐，用統計學中的方差來度量風險， 用期望值來度量收益，并且首次在此基礎上研究了證券資產的投資組合問題，指出投資者的理性投資行為是以追求在相同風險下的收益最大化或在相同收益下的風險最小化為基礎；在此基礎上，Hart 和Jaffee（1974） 又提出了將銀行所有資產和負債視同為一種特定類型的證券組合來進行管理的理論框架， 根據該理論框架， 商業銀行的資產分布、貸款分布應形成一個合理的投資組合， 應避免風險過度集中；Sharpe（1964）提出的資本資產定價模型（CAPM）則是開創了現代風險資產定價理論的先河，提出了投資的回報與風險成正比的基本規律，即資產的期望報酬等于無風險利率加上風險調整后的收益率，揭示了在均衡條件下證券的期望收益率和市場風險之間的關系，證明了通過證券組合可以有效地分散和規避非系統風險，但是無法分散具有整體特征的系統性風險；因此，對于企業進行風險管理來說，每種業務的費用至少應等于資本的CAPM成本，從而可以確保投資的回報率經過風險調整后能夠實現最大化；Black和Scholes（1973）提出了著名的Black—Scholes期權定價模型，解決了期權定價問題，推動了金融衍生產品的迅速發展和現代金融風險管理市場的形成，為企業的風險管理提供了更為精確的工具，企業可以通過金融衍生工具市場的交易進行風險管理，既可以通過金融衍生品交易來轉移市場風險，也可以通過信用衍生品的交易來進行信用風險管理。這些理論的提出，使得風險管理突破了傳統模式下依靠保險轉移風險的思路，開始利用風險獲取收益，標志著風險管理理論開始向縱深發展。

這個階段風險管理的對象十分繁雜，但是影響最大的則是外匯風險。布雷頓森林體系的崩潰使得匯率的波動性明顯加大，原油價格的大幅上漲使得企業的生產成本難以控制，這些對于那些大型跨國公司來說影響都很大，其中外匯風險是最致命的，匯率的波動影響企業的已實現利潤、持有的金融資產的價值以及預期的收入，因此以企業的預期效用最大化為原則的風險管理，在具體策略和措施的實施中也受到企業的風險態度的影響：如果企業風險管理的目的是為了減少外匯風險敞口至零，那么企業將會采取分散化的財務策略；如果外匯風險僅僅是被看成另外一個必須考慮的風險變量的話，那么企業將會采取集中化的財務策略；同時，企業在管理外匯市場中的風險時往往采取不對稱的態度，即針對不同的貨幣，采取不同的管理行為和策略：在“軟”通貨中，企業會采取有利措施來抵消可能會帶來的未預期損失，相反在“硬”通貨中，企業偏向于保留部分正向敞口（Folks，1972；Rodriguez，1974、1978）。

金融風險管理的工具以ART為主，這是一種隨著資本市場和保險市場融合而出現的、綜合保險和衍生品兩者特點的風險轉移產品，是一系列非傳統風險轉移產品、風險工具和風險技術的總稱，一般分為用來防范傳統風險的非傳統風險工具和基于資本市場的風險管理工具（James Lam，2003）。其中，專屬保險公司是用來防范傳統風險的非傳統風險載體的重要方式，它可以為母公司提供稅收減免優惠，從而提升公司的盈利能力和市場價值（Davidson和Thornton，1987、1988；Wood、Glascock和Bigbee，1988）。而Ullrich（1992）的研究揭示了專屬保險公司的另外一個優勢，即提供給母公司更優先的成本優勢：相對于商業保險公司來說，專屬保險公司能夠為母公司而不是為商業保險公司提供儲備基金的投資收入；為母公司在手續費和利潤獲取方面實現成本減少；為母公司進入再保險市場提供方便以降低交易成本；通過提供有競爭力的保險業務而進化成母公司的利潤中心；協助母公司規避周期性的商業保險市場。

三、內部控制理論

實際上，內部控制理論是風險管理理論的重要分支，特別是2004年COSO頒布了《企業風險管理—整合框架》后，風險管理與內部控制的關系更為緊密，內部控制融入到企業風險管理（ERM）框架中。

（一）內部會計控制

內部會計控制是內部控制理論發展的第一個階段。Grady（1957）指出，內部會計控制就是一個綜合了組織的計劃和商業中運用的協調過程的制度，用于預防未預期到的或是錯誤的操作帶來的資產損失、檢查管理決策中用到的會計數據的準確性和客觀性、提升運營效率和鼓勵遵守已制定的政策等。Scott（1976）則認為，內部控制不應當被看成是一個人格因素，而是應當看成是一個經營和管理環境的函數，而且環境的一個重要因素是實際行為，而不是態度，因此內部控制更強調其管理本性。

美國注冊會計師協會（AICPA）是這個階段促進內部會計控制發展的重要力量，它發布的一系列公告和文件，如《SAP No.1》、《SAS No.1》和《SAS No.55》等，不僅對于推動內部會計控制的完善具有積極的作用，而且對于完善、發展的方向以及具體的業務操作等都提供了有價值的意見。

（二）內部控制整體框架

1992年COSO發布了《企業內部控制—整體框架》，第一次系統構建了企業的內部控制體系。COSO框架下的內部控制，更多的是基于獨立會計師的視角，明確指出，內部控制是由企業董事會、經理層以及其他員工影響實施的，旨在為財務報告的可靠性、經營效果和效率以及現行法規的遵循而提供合理保證的過程；同時提出了企業內部控制構成的概念，認為內部控制整體框架主要由控制環境、風險評估、控制活動、信息與溝通、監督五大要素組成，由此內部控制的概念完全突破了審計的局限，向企業全面管理控制的范疇發展。1994年COSO委員會又提出了《對外報告的修改篇》，增加了與保障資產安全有關的控制，從而進一步擴大了內部控制的范圍。

在COSO報告的基礎上，這一階段的研究對內控報告和內控信息披露格外重視，從而使得內控領域的研究更加具有整體化的色彩。內控報告對投資者加深對公司的全面了解具有積極作用，密切了投資者和公司之間的溝通聯系，強化了投資者對公司經營能力和競爭優勢的信任，增強了投資者對公司的信心（Willis，2000）；內控信息的披露也間接具有分辨公司好壞的功能，那些不敢提供內控報告的公司較之那些提供了內控報告的公司來說，往往會具有更差的財務表現，同時內控報告的公布使企業能夠彰顯自己的核心能力和競爭策略，以圖對投資者的決策施加影響，這也間接使得外部投資者能夠對公司的內部控制施加影響，從而使得內部控制的發展真正進入到了全面、綜合的階段（Mcmullen，1996；Newson，2002）。

這個時期，英國的內部控制理論發展也很迅速?？ǖ虏麍蟾妗⒐放鍫枅蟾?，以及作為綜合準則指南的特恩布爾報告堪稱英國內部控制研究史上的三大里程碑。1992年的卡德伯利報告以內部控制、財務報告質量以及公司治理之間的關系為前提，從財務角度入手并將內部控制置于公司治理的框架下，特別強調內部控制聲明的重要性，并且重視獨立的審計委員會對內部控制的意義，還第一次提出了實行獨立董事制度的觀點，在很多領域開創了英國內部控制和公司治理的先河。1998年的哈姆佩爾報告明確提出了內部控制的目的是保護資產的安全、保持正確的財務會計記錄、保證公司內部使用和向外部提供的財務信息的可靠性，認為董事對內部控制具有關鍵的作用，并且強調了“內部控制不局限于財務方面，而是應該包括更多的管理過程”的觀點。1999年的特恩布爾報告則是英國內部控制和公司治理研究的集大成者，為公司及董事會提供了具體的、頗具可行性的內部控制指引：高度重視董事會在內部控制中的地位和作用，包括制定正確的內部控制政策、對內部控制有效性的復核以及實行正確的風險管理政策等；尤為重要的是，該報告較早地認識到內部控制與風險管理的關系并且對公司管理層在風險控制和管理中的角色進行了分析與界定，從而為內部控制向全面風險管理的發展提供了初步的借鑒。

從上述內部控制理論的發展過程來看，內部控制理論的演進經歷了“平面—三維” 的過程：在內部會計控制階段，控制環境、控制活動和會計系統三要素構成了一個平面的控制系統；在內部控制整體框架中，控制環境、控制活動、風險評估、信息與溝通、監控五要素，則演變成了一個三維的控制系統。

四、企業風險管理理論

COSO發布的《Enterprise Risk Management —Integrated Framework》，是一份具有劃時代意義的風險管理報告。它是在1992年《Internal Control—Integrated Framework》的基礎上，結合《薩班斯—奧克斯法案》在報告方面的要求進行擴展研究而最終形成的。該報告對企業風險管理（ERM）下了一個全新的、綜合的定義：“企業風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用于戰略制定并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證”，并列出了風險管理的八要素：內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控，從而為企業風險管理提供了更為具體的思路。

學術界的研究很大一部分體現在企業風險管理與公司價值的關系上。Allayannis等（2001）分析了運用衍生品進行風險管理對企業價值的影響，運用托賓Q作為企業價值的替代變量，通過對1990—1995年間720家非金融企業運用外匯衍生品情況的研究，發現運用了外匯衍生品后，企業的價值呈現正增長的態勢，風險對沖的報酬對于那些在外匯領域具有風險敞口的企業來說，在統計和經濟意義上都具有重要影響，比那些同樣面臨外匯風險敞口卻不實行對沖的企業高大約4.87%的市場價值；而對于那些本身不具有外匯風險敞口，但是在經營中涉及到進出口業務的企業來說，衍生品對沖帶來的市場機制提升并不明顯。同時，還發現了有利的證據支持風險對沖能提升企業價值的假設。Hoyt和Liebenberg（2008）運用美國上市保險公司的資料數據，對2000—2004年期間共166家保險公司的經營情況進行了分析，得出的結論是，采用ERM的公司，其公司價值的增加具有較大的普遍性，這種價值的增加體現在公司特征上，表現在采用了ERM的公司往往規模更大，行業多樣化、國際化程度更高以及財務融資能力較強等；同時，本文的研究還發現，采用ERM的公司價值比未采用ERM的公司平均高出3.6%，且在統計和經濟意義的檢驗方面均為顯性，從而證明了ERM對提升公司價值的積極作用。Kallenberg（2007）分析了風險管理對于公司價值的影響，指出隨著世界經濟一體化的發展，風險管理和風險交流越來越成為企業經營的重要內容。他以ABB公司為例分析了開放的、直接的風險管理對于建立公司信譽和維護公司價值的重要意義，ABB公司的股價在2001—2002年間下跌了90%，其中50%是與石棉危機有關的。

對風險管理要素的研究也受到了學者們的關注。Andreas Muller（1999）分析ERM流程的角度是成本控制，他認為ERM包括風險剝離（risk stripping）、風險地圖（risk mapping）、風險組合和套期（risk packing and hedging）三個階段。Colquitt等（1999）以實證研究的方法分析了風險經理在ERM過程中的角色及作用。Lisa Meulbroek（2002）在傳統風險管理流程風險識別、風險衡量（可能性預測和后果評估）、風險策略制定和方法選擇的基礎上，提出了建立公司價值模型來提高風險管理能力的方法。CAS（2003）對ERM流程的分析注重了企業環境因素的影響，在傳統風險管理流程的基礎上，著重強調了環境分析的基礎性意義，提出了ERM流程包括環境分析、風險識別、風險量化、風險整合、風險優化和利用、風險控制與評估等步驟的循環。

對利益相關者與企業風險管理關系的研究是最近的一種趨勢。注重企業的社會責任、聲譽風險以及可持續發展在風險管理中的應用，逐漸將這些問題納入到企業風險管理的分析框架中，從而將風險管理的目的拓展到了利益相關者最大化方面。CAS—ERM報告（2003）就提到了企業風險管理的目的就是為了增加組織的利益相關者在短期和長期的價值；Marsiglia等（2005）、Forstmoser（2006）的研究分別從企業價值所面臨的社會責任和可持續性挑戰、企業聲譽風險的管理問題出發，來研究風險管理問題，從而將對企業風險管理的研究擴展到了一個新的領域。

五、展望與趨勢

始于2007年的次貸危機對風險管理提出了新的挑戰，未來的風險管理需要在以下兩個方面進行加強：

第一，企業破產風險的衡量問題。次貸危機中，很多金融機構的流動性是在極短時間內枯竭的，償付能力在幾個月中發生了根本性的變化，那么，以防范企業破產風險為直接動因的企業風險管理，該如何來衡量企業的破產風險呢？該使用什么工具來動態監控呢？

第二，風險管理工具的使用問題。本來作為風險管理工具的金融產品如CDS等，反而變成了導致企業破產的風險來源，本意是要分散、降低風險，結果反而集聚、惡化了風險，那么該如何來使用這些具有兩面性的工具呢？

參考文獻：

[1]Fikry S. Gahin，A Theory of Pure Risk Management in the Business Firm[J]，The Journal of Risk and Insurance， 1967，34（1）：121-129.

[2]Herbert S.Denenberg，J.Robert Ferrari，New Perspectives on Risk Management：The Search for Principles[J]， The Journal of Risk and Insurance，1966， 33（4）：647-661.

[3]J.David Cummins，Risk Management and the Theory of the Firm[J]，The Journal of Risk and Insurance，1976， 43（4）： 587-609.

[4]Harry Markowitz，Portfolio Selection[J]，The Journal of Finance，1952，7（1）：77-91.

[5]William F Sharpe，Capital Asset Prices：A Theory of Market Equilibrium under Conditions of Risk[J]，Journal of Finance，1964，19（3）：425-442.

[6]James Lam，Enterprise Risk Management：From Incentive to Controls[M].London：John Wiley and Sons，2003：88-91.

[7]Thomas Ullrich， Pooling Risks in a Captive Insurance Company[J]， The John Liner Review ， 1992， （6）： 41-49.

[8]Richard R. Scott，Attribution of Internal Control[J]，Journal of Black Studies， 1976，6（3）：. 277-290.

[9]George Allayannis，James Weston，The Use of Foreign Exchange Derivatives and Firm Market Value[J]， The Review of Financial Studies spring，2001， 14（1）： 243-276.

[10]Robert E. Hoyt，Andre P. Liebenberg，The Value of Enterprise Risk Management：Evidence from the U.S. Insurance Industry[R]，the Society of Actuaries， 2008.

[11]Kristian Kallenberg，The Role of Risk in Corporate Value：A Case Study of the ABB Asbestos Litigation[J]， Journal of Risk Research，2007，10（8）： 1007-1025.

[12]L.Lee Colquitt，Robert E. Hoyt，Ryan B.Lee，Integrated Risk Management and the Role of the Risk Manager[J]，Risk Management and Insurance Review， 1999，2（3）： 43-61.

[13]Lisa Meulbroek.Integrated Risk Management for the Firm：A Senior Management’s Guide[R]，Harvard Business School Working papers. 2002.

[14]Casualty Acturial Society Enterprise Risk Management Committee，Overview of Enterprise Risk Management[R].2003.

[15]E Marsiglia，I Falautano，Corporate Social Responsibility and Sustainability Challenges for a Bancassurance Company[J]，Geneva Papers on Risk and Insurance-issues and practice， 2005，30（3）：485-497.

[16]Peter Forstmoser，Nikodemus Herger，Managing Reputational Risk： A Reinsurer’s View[J]， The Geneva Papers on Risk and Insurance-Issues and Practice， 2006， 31(3）： 409–424.

（責任編輯 耿欣）