風險管理模式對企業的影響及啟示

蔣昆伯

一、引言

劉曉川（2014）提出企業在設計和實施ERM系統時，往往會存在很大的差異，有些企業會建立先進的、完整的ERM系統，而另一些企業只會對一些特定的、明顯的風險進行防范。[1]可以說，中興通訊的風險管理模式便是后者。隨著金融環境的不斷變更，國際經濟的交融程度加深，非全面風險管理模式已經不適應于新的金融環境。

保羅？霍普金（Paul Hopkin）在《風險管理》（Fundamentals of risk management）中提到風險管理的新趨勢：國際管理標準ISO31000的出臺，對于風險管理人員來說，是一個重要的進步——加強了公司管理守則，也增強了許多國家的風險管理實踐。其中“管理、風險和合規”（簡稱GRC）的出現意味著風險管理活動結構中的一大主要進步。GRC的出現，使機構能夠更好地實施風險管理。

本文通過中興通訊的風險管理案例進而分析中興風險管理模式的不足，進而分析風險管理模式的改革措施以及新型風險管理模式的可行性。本文首先分析中興風險管理的可改進之處，之后通過分析新型風險管理模式的特點和運用來對比現在的風險管理模式。文章再著重分析中興以及其他國內企業應用新型風險管理模式在實際運營方面的具體改變。最后從企業、社會、國家角度提出針對性建議。

二、案例概況

（一）中興通訊簡介

中興通訊股份有限公司（000063），簡稱中興通訊（ZTE），成立于1985年。其1997年在深交所A股上市，2004年在港交所H股上市。中興全球員工人數截至目前已達8萬多人。中興通訊是我國通信行業的領頭羊，是國家 863 高科技成果轉化基地與技術創新試點企業，是承擔國家“863”項目的重點企業。中興通訊還是全球領先的綜合通信解決方案提供商，中國最大的通信設備上市公司，全球第四大手機生產制造商。

（二）“中興事件”過程描述

2011年，中興通訊于向伊朗倒賣了價值1.3億美元的大量美國禁運的IT軟硬件以及軟件技術。

2012年，中興通訊違規交易暴露，中興通訊的資產收益率從2011年的8.71%直線下降至-12.42%。

2015年，美國就此正式起訴中興，但中興高管拒絕出庭。

2016年3月，美國對中興進行技術管制，該年凈資產收益率也從2015年的11.76%直接降至負數。

2017年3月，中興通訊違反了美國的出口禁令，交付罰款總額近1.2億美元。

2018年4月，美國對中興執行貿易禁令。中興于4月16日停牌，停牌時的股價為 31.20 元。中興通訊在一天之內市值蒸發160億元。中興通訊的H股，開盤暴跌37.5%，收跌41.41%。

截止至2018年6月底，中興的財務報表披露顯示中興的凈資產收益率以跌至歷史新低-20.67%。

2018年6月，中興復盤。中興通訊向美方交付10億美元罰款，4億美元托管金，另外董事會及管理層全面改組，接受美國嚴格監管。

2018年上半年，中興通訊上半年營收394. 34 億元，同比下滑26.99%，實現歸屬于上市公司普通股股東的凈虧損78. 24 億元，去年同期凈利潤22. 93 億元。8月28日，中興通訊已恢復正常生產產能。

三、風險管理模式探究

（一）中興的風險管理模式分析

中興通訊具有相對完善的內控管理體制（傳統COSO模式）。其風險管理模式也是由COSO內控體系引申出的風管框架，但中興所采用的是非全面風險管理體系，這種體系可以應對部分的企業環境變更的風險即低等風險和中等風險。

非全面風險管理模式具有以下特點：風險控制方面包含得較為全面，但只著重于短期內大概率發生的風險，對于長期和小概率事件沒有很完善的識別和應對。

非全面的風險管理模式在一定程度上增加了企業經營的魄力，在沒有準確預測風險的狀況下，任何決策都能得以被執行。且低等風險和中等風險幾乎都能夠被妥善解決，例如2012年中興的巨額虧損，在2013年便迅速重回正軌。可見中興通訊在發展過程中也得以受益，因此雖有過風控改革但是仍舊沒有脫離原風險管理模式。由此我們可以看出，這種模式雖然一定程度上增加了企業的運營自由度，但是存在風險管理失效的可能性。

（二）新型風險管理模式

非全面風險管理的弊端已存在多年，而若要變革，就不僅僅是部分變革，必然是制度變革而且是深化變革。由此可以提出新型風險管理模式——通過ERM全面風險管理體系結合GRC風險管理模式，以達到保證傳統風險管理模式的優點不變的情況下，改進其短板。

趙來朋（2015）提出從內部控制和風險管理理論的發展和社會實踐來看，風險管理是在內部控制基礎上發展起來的。[2]現代風險管理涵蓋內部控制的內容，是內部控制的繼承、拓展和延伸，內部控制是企業風險管理不可分割的一部分，隨著社會的實踐發展內部控制與風險管理走向相互融合的趨勢。

ERM框架便是從COSO內控模式中分離出來具體實施風險管理的方式。ERM框架認為內部控制環境最基本、最主要的就是管理者及所有執行者對內部控制的態度及其勝任能力，同時企業的誠信和道德價值觀，對內控體系的有效性具有重要作用。

而GRC風險管理系側重于管控、風險和合規的一種管理模式，是在企業的各經營業務之上，以戰略為中心，以流程管理為基礎，通過績效管理和風險內控管理措施，對各項經營管理過程進行管理和控制，保障戰略和經營目標達成的管理方法和工具的總稱。

結合此次中興事件，筆者認為ERM框架是內部改革，而GRC體系則是針對外部視角的改革，要革除風險管理問題則需要內外兼修。

由此，筆者擬結合ERM風險管理框架和GRC風險管理模型提煉出一種新的風險管理模式。結合兩者的優勢，并補充兩種方式的缺陷。以此推出適應于當下經濟環境的風險管理模式。

ERM框架概述

COSO在2004年發布了《企業風險管理-整合框架》，其中包括了四個目標、八個要素和四個層級。這便是傳統的COSO模型，至今仍被許多企業沿用。而COSO在2016年底通過向社會各界征求意見，進而發布了《企業風險管理-通過策略與績效調整風險》 的ERM框架修正草案，又在2017年對新修訂的ERM框架進行了完善和調整，采用了“構成要素+原則”的結構模式來編寫，簡化了企業風險管理的概念；強調了風險和價值之間的相關性；對企業風險管理的重新審核；確立了文化對于風險管理的重要性；提升了戰略所占比；協同效應的增強，決策的制定和執行更加明確。

對比2004年和2017年兩版的COSO模型可以看出，2017年新修正的版本不僅承接了傳統版本的管理體系和基本框架，而且對各個部分進行了總結升華。新修訂版的ERM模型主要包括：

三個目標：使命；愿景；核心價值觀戰略與企業目標，提髙績效；

五個要素：風險治理結構和文化；風險、策略與目標制定；執行中的風險；風險信息溝通和報告；監測全面風險管理的績效表現；

對比2004版的“監控”，2017版的“檢測全面風險管理的績效表現”則特地指出了需要監控重大改變、監督企業全面風險管理。這也體現了ERM全面風險管理是目前絕大部分企業所需的，但我國大部分企業，包括中興通訊還在沿用傳統的COSO中的非全面風險管理，因此這一方面是需要關注的。

張琴等（2009）指出ERM 框架應該是從全局高度制定的戰略目標和風險偏好指導、各種策略和配套設施支持下的連續風險管理過程。[3]

ERM框架中具體包括了策略、過程、目標和配套設施。ERM框架中不僅要執行風險監控還要對風險進行利用并持續跟蹤其績效表現以實現真正的風險管理。這體現了雙側風險觀，在考慮規避風險的同時還應該考慮如何利用風險。而ERM框架中，策略、目標、配套設施都是根據企業的整體戰略來布局，所以更該關注相對靈活的過程。一個完整的ERM過程應該根據企業的戰略目標來制定，應該包括風險評估和評價、風險報告、風險處理、風險處理結果報告和風險管理效果監控。

ERM全面風險管理強調了事前事中和事后的全面風險管控，不僅在風險識別環節報告，在風險的處理結果環節也要求報告，這大大提高了企業運作的安全性，能有效地規避風險。在新ERM框架下，企業內部控制可能會更有序。

GRC理念概述

GRC管理理念是由SPA公司提出的內控管理理念。主要包括公司治理（Governance）、風險（Risk）和合規（Compliance）管理，包含建立公司治理結構， 按照法規影響設計公司的流程， 對企業風險進行評估同時設計并實施內部控制系統， 并在此指導下監督并改進內部控制系統的有效性。識別并設計受法規影響的流程、識別即評估風險、涉及實施內部控制系統、監督并改進內部控制系統的有效性等工作。總體上而言，GRC管理理念是以公司治理、風險控制和合規為核心， 在此過程中傳遞各類內部控制的信息給管理層和決策層， 同時為此提供流程支持， 從而更好地達成良好的管理效果和決策品質。

張巧良等（2008）調查中顯示有效的 GRC包含 8 個要素：（1）企業及組織架構 ，包括操守準則 ；（2）政策及程序 ；（3）循規管理及操守培訓；（4）預期的行為模式；（5）持續改善流程；（6）實時匯報 ；（7）監察/衡量 GRC 績效；（8）準確、及時、完整、連的信息。[4] GRC的整合，是公司治理、風險管理和遵循管理的整合，是指在監控風險管理和戰略實施過程中， 就對法律 、法規以及組織內部規章制度和程序的遵守而言， 組織的實踐及組織中的董事會、高層管理者 、中層管理者及組織的其他部分所扮演的角色和發揮的作用。貫穿 GRC 的整合始終的一個重要思想是追求誠信驅動的績效。

呂翊等（2016）指出GRC管理理念有四大能力，分別是洞察能力、對齊能力、執行能力和優化能力。[5]在GRC理論下，公司治理，風險和合規三者呈現出了融合態勢，協同達成“有原則的績效目標”。

綜上，筆者提出的新型風險管理模式即以ERM模型為基準結合GRC管理理念中的“合規性”，以達到內部管理得當，外部經營活動穩定的目的。在ERM模型的事前事中事后三階段風險控制的基礎上加入合規性可以大大提高企業的經營安全性，以達到規避風險、利用風險的效果。

四、新型風險管里模式可行性—以中興通訊為例

（一） 新型風險管理模式與中興通訊的相容性

中興通訊采用的是傳統的COSO模型，風險管理模式也是非全面風險管理，這也是目前我國大多企業在沿用的管理模型。在COSO模型下，中興通訊的人事結構由股東大會、董事會、其他權限下屬部門構成。是經典的COSO模型下的人事結構。

這樣的結構確保了各職位可以各司其職，管理相對高效。但也存在一定弊端，即管理層的濫權問題。COSO更注重運用原則導向與會計準則的規則導向有沖突的地方，若僅僅使用 COSO 框架的原則，可能會導致管理層濫用自由裁量權。例如此次的中興事件，違規出口如此的高風險的計劃能在短時間內通過并執行，必然有管理層濫權的原因。因此如何建立原則導向為主、規則導向為輔的新模式，是當下需要解決的一個問題。將GRC中的“合規性”歸為企業經營原則，以合規性為原則導向。以合理的公司條例為規則導向。在企業內部，員工遵循公司條例，確保內控執行者有勝任能力和端正態度，以最大化企業績效。在企業外部，經營遵循貿易準則，融入國際金融環境以規避類似中興此次違規交易的風險。

以下為建立新風險管理模式的思路：

①新風險管理模式需要適應當下的國際金融環境，也要結合我國的國情和企業環境做出改變。由此，新型風管模式仍選擇以目前權威且企業廣泛運用的COSO內部控制模型為基礎，但選擇采用2017版COSO-ERM模型。

②COSO模式下的原則導向驅動企業政策的基礎上加入GRC理念為規則導向。以“合規性”為原則，內部以公司管理條例和企業績效為規則，外部以貿易準則為規則。雙重合規下，進行風險管理。首要考慮合規性其次考慮企業績效。

③打破部門壁壘，構建全方位風險監管系統，實現實時監控風險。

④順應時代發展，加速技術結合風險管理。

關于ERM模型的可行性已有許多研究文獻，劉曉川（2014）等將ERM框架影響因素分為外部影響、企業特征和公司治理結構。[1]而據成小平等（2016）研究，對ERM框架實施具有顯著影響的因素有企業規模、無形資產占比、產權性質以及審計質量。[6]此外劉曉川（2014）還提出ERM實施效果與企業規模呈正相關但和管理層權力集中程度呈負相關。[1]ERM框架雖科學但是管理者無法從實施ERM框架中獲取利益，而且因為ERM的實施會使管理層受到更多的監管與約束。因此大部分企業管理者對實施ERM框架表現出消極態度。

中興通訊是“千億俱樂部”企業之一，其規模不言而喻，且因為規模龐大處于國際金融環境的前沿，所以相對的環境的不可預見性更大，企業所面臨的風險也會更多，所以一個有效的ERM框架于中興通訊的角度來看是必要的。但是中興的管理層權力十分集中，且決策者并不是責任承擔者或只承擔小部分責任。所以要進行風險管理模式的革新首先要開拓管理層的視野，不再謀求個人利益而更注重企業績效。因此可以在人事結構方面進行改進。

這樣能著重審計質量和風險監控，將各種風險進行分類，并由不同部門負責風險管理，以達到風險管控力度最大化。并將GRC理念融入ERM框架中，即在風險管控過程中設立自愿性界限——管理層對公眾的承諾、社會職責和企業價值，并遵循強制性界限——外部強制力，如：法律法規；政府管制；國際貿易準則等。將公司治理以及合規性合并入風險管理中，由風險管理委員會一并負責，而非分部門負責。這樣可以達到擴大權力下放程度的目的，避免管理層的權力過度集中 。

實施效果方面，中興所面對的不僅是國內市場還有廣闊的國際市場，經濟情況更為復雜，所面對的風險也具有不可預見性。這也使得中興需要一個完整且高效的風險管理體系。再者中興的規模十分龐大，資源充沛，企業的規模與ERM框架實施效果成正相關關系，所以以ERM框架為基礎的新型風險管理框架在中興執行也會行之有效。其次中興的公司管理結構也大致符合ERM框架的人事結構，在這樣的結構下已經累積了一定經驗。所以中興通訊在客觀預期效果來看是適合進行新型風險管理模式改革的。

實施條件方面，首先需要全面的目標評價體系。新型風管模式以股東價值為導向，因此股東價值的多維性就決定了新型風險管理模式是多目標多角度活動。要實現多目標的風險管理就要具體量化企業的各個目標，在實施的各個階段進行評價以確保風管模式的正確運行。形成全面的目標評價體系有助于在不同階段采取不同措施，以滿足股東價值在不同階段的取向，還能適時依據環境來制定或調整策略。其次需要多種管理機制相互協調運作，新型風管框架的實施要求有一個獨立于其他部門之外的風險管理機構，機構下分成負責不同種類風險的部門來確保風險是整合管理且是分類制定措施。不同部門之間有一定獨立性但要進行即時的風險信息溝通，這就需要多種管理機制協調作用。企業的公司治理、內控、部門管理、資源利用、權益管理等都要有嚴格要求。再者要求經驗結合實際，新型風險管理模式結合了ERM框架和GRC理念，以ERM框架為風險的攻擊性武器，把風險管理整合到公司的業務流程中，通過支持和影響定價、資源配置以及其他業務決策來優化企業績效。再以GRC理念構建風險防御措施，以合規性為前提根據企業的戰略目標和風險類型進行經營取舍來達到風險規避乃至風險利用的目的。因此要求企業有豐富的經營經驗和理論儲備來與實際所處金融環境制定對應策略。結合中興通訊分析，中興內控混亂在18年貿易風波中被暴露出來，其內部的目標評價體系尚不明確，依違規與伊朗交易的行為可以得知中興內部的目標評價系統只有完成交易這一個長期目標而沒有短期目標，且以貿易結果來看，評價系統并沒有讓中興即時止損。因此需要構建階段性的能正確分析的目標評價體系。而中興的風險管理模式也需要進行改革，此次風波中暴露出了中興的風險管理部門之間沒有良好的溝通，即“盲人摸象”式風管，沒有即時識別違規風險對企業所造成的影響，不僅僅是經濟層面的影響也提高了中興的聲譽風險。所以中興應摒棄豎井式風險管理模式，進而采用風險整合管理。

實施成本方面，新型風險管理模式以ERM為基礎，其能夠構建的前提是在ERM完全實施的情況下。而ERM框架要求設立獨立的風險管理部門，還要求對職工和相關人員進行風險知識的普及。所以實施成本就包括了直接成本和人工成本，其中直接成本包括培訓費用、風險部門所產生的費用和為金融風險準備的資金。人工成本包括風險部門人員和因ERM框架特設部門的人員的工資。同理GRC理念下，同樣需要資金成本。且由于風管模式的切換，企業在適應過程中也會產生一定費用。這表明構建新風管模型占用了本可以再投資的資金 ， 因此風險管理產生了成本 ， 減少了潛在的企業增長率。但資金的付出也會有所收益，根據財務學理論，風險管理有助于減少企業面臨倒閉的財務危機成本，企業金融成本，代理成本，企業稅收等。新型風險管理模式需要中興投入大量資金來構建且成效并不會迅速呈現，還需要與企業有一定的適應期和磨合期。以實施成本的角度來看，資金的投入值得與否取決于中興管理層的態度。

（二）中興通訊的優勢

在技術方面，中興通訊作為我國頂尖的高新企業，具有顯著的技術優勢。中興通訊作為全新技術研究試點企業國家863計劃技術成果轉化基地，擔負著三十個863計劃重大課題，是在通訊設備方面我國承擔863計劃課題最多的企業之一。且中興通訊不僅在中國大陸，還在北美，南亞以及北歐都擁有屬于自己的研究中心，約有十八所，共計約三萬名科研人才為中興的產品創新研發而工作。在2012年以前，據世界知識產權組織的公告顯示，中興通訊以2309項專利成為全球申請PCT專利總量第二的企業。同時也在2011年和2012年蟬聯“PCT專利申請全球第一”。而在經歷了中興案后的中興通訊，雖然茍延殘喘，但是擁有深厚底蘊的中興通訊在2018年依然以1801件PCT專利申請數量位居全國第二。

由此看來，即使是遭遇美國政府制裁后的中興通訊，依然是一個高新技術產業發達的企業。所以，中興在實施新型風管模型方面，將風管與技術結合的方案是可行且便于實行的。

在市場方面，中興通訊是國內主要的通信設備供應商，這是經過多次戰略調整，經歷市場考驗得來的市場地位。除開龐大的國內市場，中興通訊對海外市場的開拓也是獨樹一幟的。據統計，中興通訊的通訊服務遍布全球接近150個國家和地區的多家運營商。除了技術上的顯著優勢，這龐大的市場規模對中興實施新型風管模型會起到助力作用，且因中興占據了多方市場，就更需要注重風險管理，因此新型風管模型與中興通訊來說是相互需求的關系。

在管理層視角方面，中興1985年就在深圳成立，1997年就已成功上市，目前已是全球第四大手機生產制造商。可以看出中興不論是經營經驗還是經營理念都具有優越性，也代表中興的管理層具有卓越的發展眼光和敏銳的經濟洞察力。而從2018貿易風波來看，中興在受到制裁后也即時做出了人事變動，董事會全面改組，新鮮血液也更能接受新鮮事物，因此中興通訊的風管模式改革受到來自管理層方面的阻力會相對較小。

五、案例啟示及建議

（一）中興應用前景分析

綜上，由實施成本方面、實施效果預測方面、實施受阻可能性方面，中興通訊均具有較為優越的實施條件，初期在適應新型風險管理模式時或許效果會有所削弱，但隨時間長期發展，從長遠角度看來，中興通訊如若實施該風險管理模式，在GRC理念下，企業內部控制可以形成可靠閉環，而ERM模型可以幫助中興通訊即時評估潛在風險，以及時制定并執行應對措施，諸如此次貿易戰中的芯片受制，如果能提早預測該一風險，提前提高研發成本便不至于受美方制裁后生產鏈直接停供。但如今中興通訊內部有美方人員監督，在具體實施條件看來，或許還需要進一步評估和完善。因此，中興通訊對該模式的應用前景，效果上相對可觀，但從實施前提來說，如何與美方監督人員協商是根本問題。

（二）對其他企業的啟示

在中興通訊如此企業體量下，實施GRC理念與ERM模型結合的新型風險控制模型成本屬于可控范圍，并且實施效果可以明顯減少風險可能造成的損失。因此，在自評與中興通訊體量相近的企業中，可以適當應用該模型以改善可能存在的內控漏洞。但相對與中興，體量較小的企業，在引入該模型時需要考慮實施成本問題，由于內控模型的更改還需要考慮企業初期適應的問題，在實施過程中，可能還需要專業人員進行指導，增加人工成本。因此，如若引用該模型可以考慮僅引入GRC理念結合企業本身存在的內控體系，得以部分改善，如果能在企業內部形成內控閉環，在抵御風險層面上，也能較好地得到提高。但如果經權衡后實施該模式減少的可能損失大于收益，仍可以考慮全面引入，降低風險。本次中興事件也為我國企業敲響了政治風險的警鐘，如何做到盡量避免政治風險進行企業運營或成當下國內企業的新課題。

（三）國家政策方面的啟示

由此次中興被制裁事件可以看出，國內企業的內控環境相較西方而言還有許多需要改進的地方。諸如此次的芯片科技受制，當企業的主要盈利科技手段受制于人時，企業不可能獨善其身，而由此可知，國家應制定相應政策督促企業完善自身的內部控制體系，以盡可能實現國內企業的健康營運環境。其次，還需要考慮政策鼓勵國內企業自主創新，國家可以發放補貼或適當降稅的方式刺激企業自主研發芯片等關鍵技術，避免被他國扼住咽喉的情況再次發生。

參考文獻：

[1]劉曉川，劉紅霞.中國企業實施全面風險管理（ERM）影響因素研究[J].湖南師范大學社會科學學報.2014（3）：85-92.

[2]趙來朋.關于企業管理與內部控制的研究[J].財會之窗，2015（8）：237-239.

[3]張琴，陳柳欽.企業全面風險管理（ERM）理論梳理和框架構建[J].當代經濟管理.2009（7）：25-32.

[4]張巧良 ，宋穎超 ，李艷.基于GRC 整合視角的企業綜合防御系統框架的構建[J].南京審計學院學報.2008（5）：33-36.

[5]呂翊，黃海峰.GRC四大能力分析[J].中國管理信息化.2016（12）：33-34.

[6]成小平，龐守林，高磊.基于 Logistic模型的全面風險管理影響因素分析[J]. ACADEMIC RESEARCH.2016（1）：43-49.

[7]張新斌.基于GRC理念的企業信息化管理平臺建設實例[J].探索？實踐.2014（14）：142-144.