企业风险管理20118.doc

回 答 内 容 浅议企业风险管理摘要：企业风险管理作为风险管理学科的一个重要领域，在 50 多年的发展过程中实现了从多个领域的分散研究向全面风险管理一体化框架的演进，其中风险管理理论和内部审计与控制理论是两大理论来源，风险管理理论经历了从传统风险管理、财务波动性风险管理向企业风险管理的发展，而内部审计与控制理论也经历了内部会计控制、内部控制整体框架向企业风险管理的演进，上述两大理论的发展都指向了企业风险管理的方向，企业风险管理理论最终实现了集成发展，成为企业管理不可或缺的重要组成部分。关键字：企业风险管理；内部控制；内部审计一、 企业风险管理理论的演进当今风险管理理论是一个“丛林式”的庞杂体系，但从 2004 年美国反财务欺诈委员会发起委员会（简称 COSO）发布企业风险管理整合框架以后，企业风险管理已经成为风险管理的核心标准，甚至是同义词了。 风险管理真正作为一门学科的出现，是以 Mehr 和 Hedges 的企业风险管理（1963）以及C.A.Williams和 Richard M. Heins风险管理与保险（1964）的出版为标志。Williams 和 Heins 认为，“风险管理是通过对风险的识别、衡量和控制从而以最小的成本使风险所致损失达到最低程度的管理方法”，风险管理不仅仅是一门技术、一种方法、一种管理过程，而且是一门新兴的管理科学。风险管理理论的发展，主要经历了三个阶段：（一）第一阶段：20 世纪 50 年代到 70 年代理论倾向主要是防范和管理企业面临的纯粹风险（不利风险）；企业风险管理所采取的主要策略就是风险回避和风险转移，保险成为主要的风险管理工具。通用汽车公司的火灾事件以及美国钢铁行业的工人罢工都对企业的正常经营造成了严重的影响和损失，成为推动企业风险管理理论发展的重要契机。本阶段风险管理理论的第一个重要领域，是对风险管理对象的界定和研究。20 世纪以来，理论界一直把风险管理的对象分为纯粹风险和投机风险两大类，并将纯粹风险作为风险管理的对象和目标。其实，将风险分为纯粹风险和投机风险是一种基于责任划分的方法，是针对损失而言，并非针对风险而言，因此与其将其分为纯粹风险和投机风险，而不如将其分为纯粹损失和投机损失，因为这样更能体现风险经理的真正着眼点损失问题。第二个重要领域是，对企业的保险决策和投保行为，以及保险在应对企业风险中的重要作用和普遍性的研究。Greene（1955）对风险管理的定位就是保险购买者。1955 年，管理评论发表的论文对风险问题的一种管理方法，认为保险作为企业管理风险的最重要手段应该得到企业管理层和股东的重视，认为保险是企业支出的各种成本中最具有价值的部分。第三个重要的领域是，将风险管理理论融入到主流经济学和管理学的分析框架中。一方面，通过将风险管理理论与传统的企业理论相结合，将风险管理的决策过程与企业的整体决策相融合；利用资本资产定价模型，企业的决策规则拓展到最优自留比例、累计免赔额的选择以及选择储备政策等方面，使得风险管理融入金融市场理论中；而利用边际分析工具来确定风险管理的最优策略，则标志着风险管理在理论上进一步成型，并成为金融学的一个重要领域。另一方面，William G. Scott 的复杂组织系统模型与风险管理相结合，通过对企业基本系统和分支机构的规整，将企业的整体目标与风险经理的日常目标有机统一起来，进而将分支机构的考核目标转向对企业整体风险识别和衡量的贡献，并考虑这些分支机构之间的相互关系以及这些相互关系的动态特征，从而为风险管理学科的发展提供了理论来源。（二）第二阶段，20 世纪 70 年代后期到 20 世纪末风险管理的对象主要是业务和财务成果的波动性，风险管理的工具也在保险的基础上实现了很大的发展，新的衍生品和另类风险转移（ART）担当了重要的角色。20 世纪 70 年代，布雷顿森林体系的崩溃使得汇率的波动性明显加大，原油价格的大幅上涨使得企业的生产成本难以控制；进入 80 年代后，高通胀、利率波动以及多起货币和信贷危机使得企业的经营面临更大的不确定性，而投资者对这种收益的波动性表现出明显的厌恶情绪。特别是，跨国公司面临着尤为明显的汇率风险，汇率的波动影响企业的已实现利润、持有的金融资产的价值以及预期的收入。同时，在具体策略和措施的实施中也受到企业的风险态度的影响，针对不同的货币，企业存在着不同的管理行为和策略：在“软”通货中，企业往往会采取有利措施来抵消可能会带来的未预期损失，相反在“硬”通货中，企业偏向于保留部分正向敞口。在这个阶段，随着资本市场和保险市场的融合，发展出了新的风险管理工具ART（另类风险转移）。ART 是一种综合保险和衍生品两者特点的风险转移产品，是一系列非传统风险转移产品、风险工具和风险技术的总称，也称结构性风险管理工具。其中，专属保险公司的发展非常迅速。此外，以芝加哥交易所交易的巨灾期权产品为代表的基于资本市场的保险衍生品的出现，使得保险行业具备了从资本市场获取所需的再保险能力，资本市场也因为这些新的产品类型的出现而能够更好地发挥其职能。结构性工具的大量应用在方便企业进行风险管理的同时，也由于其杠杆性的特点会放大企业使用策略不当造成的损失，因此衍生产品的使用和管理策略就变得十分重要。因此，企业进行风险管理和衍生品交易时，应当密切关注竞争者的对冲策略。而 Cummins 等的研究发现，尽管风险和非流动性的测量与保险人的决策有着正面的联系，但是对于那些运用衍生品进行风险对冲的公司来说，风险指标却与对冲的深度和广度有着负面的关系。（三）第三阶段，21 世纪以来进入 21 世纪以后，随着全球经济一体化进程的加快，企业面临的风险不断增加，各种风险的影响和潜在后果也随之放大，加之金融衍生品交易的复杂程度和频率都迅速增加，对企业的持续经营提出了严峻的挑战，企业必须突破传统的风险管理模式，从更加综合、全面的视角来分析和管理面临的风险，因此，风险管理发展到了全面风险管理的阶段。全面风险管理的出现和应用为企业风险管理提供了新的方法和工具，其应用领域十分广泛，从企业、非盈利机构到政府都逐步引入这个分析框架。二、 企业风险管理的框架的内容COSO认为ERM为公司董事会提供了有关企业所面临的重要风险，以及如何进行风险管理方面的信息，并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。内部环境:企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构，也为ERM的其他组成因素提供了框架。目标设定，即管理层必须基于目标来识别成功的潜在因素。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项，而企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且保证制定的目标与企业的风险偏好相一致。事件辨别，在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上，企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件，事件辨别的基础是将可能的风险与环境进行对比。风险评估，一般用可能性(概率)和影响结果两个维度度量风险，前者是一定的负面影响事件发生的可能性;后者是假设事件发生，对经营、财务报告以及战略产生影响的可能结果，潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险反应，风险反应是企业风险管理的整体重要组成部分，主要包括接受、规避或缓和这些风险，后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。控制活动，控制活动是管理当局设计的政策和程序，为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。信息和交流，风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息，与财务信息一样，风险信息必须以一定的形式和框架进行交流，使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告，报告使用趋势指标、业绩矩阵及运营或财务成果的形式，这些报告能够引导出及时的决策。监督企业应通过持续的监督和独立的评价活动，监督企业风险管理的有效性。二、企业风险管理与内部控制的融合自1992年美国COSO委员会提出内部控制框架报告(简称c0So报告)以来，该内部控制框架己经被世界上许多企业所采用，但理论界和实务界纷纷对内部控制框架提出一些改进建议，强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果内部控制框架报告的基础上，结合SOX法案在报告方面的要求，进行扩展研究得到的。普华永道的项目参与者认为，新报告中有60%的内容得宜于COSO1992年报告所做的工作。但由于风险是一个比内部控制更为广泛的概念，因此，新框架中的许多讨论比1992年报告的讨论更为全面、更为深刻。通过比较，我们可以发现，风险管理和内部控制既相互联系又有重要差异。从二者的框架结构看，企业风险管理的定义采用了1992年内部控制框架定义的模式，认为企业风险管理与内部控制同样是一个程序，它不是静态的，而是处于不断的调整和变化之中，以适应组织环境的变化。企业风险管理除包括内部控制的三个目标之外，还增加了战略目标，并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营、财务报告和合规性目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同，财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖了企业编制的所有报告。此外，企业风险管理框架比内部控制框架增加了一个目标战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。企业风险管理的8个要素除了包括内部控制的全部5个要素之外，还增加了目标设定、事件辨别和风险反应三个要素。由于对象不同，风险管理更加针对组织面临的“风险”，增加这三个要素，拓展了概念的深度和广度。从二者的实质内容看，第一，在企业风险管理框架中，由于把风险明确定义为对企业的目标产生负面影响的事件发生的可能性(将产生正面影响的事件视为机会)，因此，该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险;内部控制框架没有区分风险和机会;第二，新框架提出一个新的观念风险组合观。企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险;第三，由于企业风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现企业风险管理的四项目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。新报告中，风险管理框架建立在内部控制框架的基础上，内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制框架的范围更为广泛，是对内部控制框架的扩展，是一个主要针对风险的更为明确的概念。对应风险管理的需要，新框架还要求企业设立一个新的部门风险管理部。企业风险管理框架相比1992年内部控制框架，无论在内容上还是范围上都有所扩大和提高。总的来讲，企业风险管理框架强调在整个企业范围内识别和管理风险的重要性，强调企业的风险管理应针对企业目标的实现在企业战略制定阶段就予以考虑，而企业在对其下属部门进行风险管理时，应对风险进行加总，从组织的顶端、以一种全局的风险组合观来看待风险。此外，根据风险管理的需要，对企业目标进行重新分类，明确战略目标在风险管理中的地位。其实，内部控制与风险管理的融合很早就引发了人们的关注，但二者的关系仍无普遍认可的观点。一种观点认为内部控制从属于风险管理的范畴，是风险管理的方式之一。例如Krogstad就认为，内部控制不存在于真空或暗箱之中，而存在于协助组织进行风险管理并提升有效的治理程序之中。另一种有代表性的观点是将风险管理纳入内部控制体系，认为控制包含了风险。如COSO1992年内部控制框架就将风险评估视为内部控制的要素之一。经过长期的争论和实践，人们对二者关系的认识不断深化，逐渐认识到将两者关系隔离的分析方法是不可取的，内部控制与风险管理只有相融合，才能实现最佳效果。COSO企业风险管理概念的提出，将风险管理与内部控制的融合大大地向前推动了一步，这种融合必将极大地推进内部控制和内部审计的发展。三、风险管理对内部审计的影响内部审计应该积极参与企业风险管理，充当“管理层的耳目”。国际内部审计师协会2001年版内部审计实务标准的工作标准第2010款指出:首席审计执行官应该以风险为基础编制审计计划，决定内部审计活动的优先性，与组织目标保持一致。该条款说明，每年内部审计活动应该以风险评估为基础。A主席伍顿安德森博士在2004年5月25日的上海报告中指出，内部审计实务标准认为内部审计在风险管理中的角色和作用主要有两个方面:一是协助风险估算程序;二是对风险管理程序的评价，对风险管理的恰当程度作出保证。我们认为内部审计应积极参与到企业风险管理中，内部审计在风险管理中的角色是就风险管理政策、程序的适当性和有效性为管理层作出评价，对风险管理的恰当程度作出保证，审计人员通过接受风险管理方面的咨询帮助管理层。具体体现在鉴别风险;区分可控制的风险;指出缺乏控制的区域并提出建议;指出过度控制的区域并提出建议。同时，内部审计还需要考虑怎样以精细的成本、少量的时间耗费来执行风险审计工作，降低审计风险。内部控制向风险管理领域扩展，对内部审计的发展产生了深远影响，这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同，尚未形成统一的最佳做法，国际内部审计师协会目前还没有标准的风险基础审计定义，A的职业问题委员会认为，风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应，与其他形式的审计不同，这种审计的出发点是风险，而非控制，其目的在于为风险管理提供独立保证，并在必要时加以引导和改进，审计业务的范围和优先次序应由组织所面临的风险所决定。风险基础内部审计的特征可以总结为以下几点:第一，风险基础内部审计不仅关注风险管理，同时也是风险管理的重要组成部分。公司针对风险管理功能，设立一个分部，配置一位风险经理，内部审计人员建立风险评估模式，内部审计工作成为企业风险管理的一个组成部分，整个审计工作根植于以未来为导向的风险分析。第二，内部审计的方法不再是强调确认和测试控制的完整性，而是强调确认经营风险并测试这些风险是否得到有效管理，由交易事项和对政策的遵循，转变为对目标、战略和风险管理程序的关注，“控制是否适当且有效”虽然仍被关注，但已不是关键。第三，内部审计的反应方式不再是反应式的、事后的、不连续的监控，从以交易为基础转变为以过程为基础，对组织战略计划的创新也由观察者转变为参与者。第四，内部审计在组织中扮演的角色不再是独立的评价者，更是风险管理与公司治理的集合者，内部审计人员应就战略规划、企业并购、合资经营、战略联盟及环境保护等重大问题，及时、客观、独立地提供咨询。最后，内部审计的建议不再是强化控制、强调成本效益配比以及提高控制的效率和效果，而是风险规避、风险转移和风险控制，通过有效的风险管理提高组织整体管理的效率和效果。四、企业风险管理的内容及其意义对企业风险管理的认识,当前有不同的观点。几种有代表性的看法是:“企业风险管理是对经营风险、财务风险和业务风险的综合管理,从而化风险为企业的股东价值最大化”;“企业风险管理是贯穿于整个组织的对风险的确认、计量和处理的一贯方法”;“企业风险管理是一个由董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程”。从上述对企业风险管理的定义中不难看出,企业风险管理内容极为丰富。企业所面临的风险交互作用与影响,风险管理的主体涉及到企业内部各个层次和部门的人员,企业风险管理的目标是为股东增加其短期和长期的价值。具体而言,企业层面的风险主要有:经营风险、财务风险、业务风险和保险风险等。各种风险又相互交叉、相互依存。其中经营风险是指企业在生产经营过程中所冒的风险。在激烈的竞争中,销售额随时可能下降,导致利润相应的减少,甚至发生营业亏损。财务风险是指企业利用借入资本从事经营,即利用财务杠杆所冒的风险。业务风险是指企业各项业务活动运行的风险。保险风险是与上述三种风险有关的如文书、副本和证件等不能提供的可能性。仅就财务风险而言,具体又可分为三种:市场风险、信用风险和资金流动性风险。其中,市场风险投资有关的信用风险交互影响。信用风险是指与借款人有关的,贷款不能收回的可能性。因而需要评定借款人的信用等级。另外,要求提供抵押品和保证人也是防范风险发生的一种常见做法。资金流动性风险是指资产流动性没有足够的能力偿还到期债务的可能性。以上三种风险交互影响,企业如果不能实施有效的管理,将会毁于一旦。中航油巨亏就是典型的例子。可见,全面推进企业风险管理,有助于管理当局有效地处理不确定性及相关的机会和风险,从而提高创造企业价值的能力;有助于管理当局实现企业的业绩和企业获利目标,防止资源的损失;有助于确保财务报告的有效性和遵守相关的法律法规;有助于避免对企业名声的损害,并且在企业发展中避开陷阱和意想不到的损失,从而整合并改善企业整体绩效。五、企业风险管理的主体及应遵循的原则按照现代企业理论,企业是各种类型的契约关系的结点或交叉点,这些契约关系包括管理当局、股东、债权人和政府等利益相关者。企业风险管理的主体,因企业所面对的各种风险的不同而有所不同:在应对企业的战略风险时,是由企业的董事会和首席执行官起主导作用,负责规划企业的发展战略;在应对企业的经营风险时,是由企业经理和项目经理通过生产计划、经营检查和项目管理等措施化解风险;对于财务风险,主要是由首席财务官和财务科长负责运用各种财务手段和措施化解风险;对于业务活动的风险,是通过内部控制,由内部审计发挥作用,使企业的各项业务活动符合计划或预算的过程。企业风险管理应遵循的原则可通过现代企业理论进行分析。现代企业理论基本假设包括人和环境两个方面:人的因素是指行为主体的两个有关行为的基本假定,即有限理性和机会主义;环境因素是交易活动的不确定性。有限理性的思考是指人们由于受到信息的不完全、知识的缺乏等影响,在对事物进行分析、判断时无法做到完全的客观和准确。机会主义是一种狡诈地追求利润的利已主义,是为实现个人效用最大化而损害他人利益的行为。企业面临的环境是交易的不确定性。不确定性的含义很广,既包括那种只要花费代价便能预见的变化,从而可以在合约中预先设置条款加以防范的情况;也包括那种先前最多只能加以粗略猜想的变化;还包括这样一种情况,即交易一方掌握了另一方所不知晓的重要信息。当不确定性很高时,很难达成进行交易的合约。由此可见,无论是从人的机会主义假设来看,还是从经济人追求个人利益最大化的特质来看;无论是从人的有限理性看,还是从企业面对的交易不确定性的环境来看,企业风险管理的实施必须抓住主要矛盾。关键是首先要确认和识别风险。为此,必须重视风险管理计量,包括风险评估以及持续地监控风险,确保风险管理程序的有效实施;必须运用信息技术的快速及具有连结性的特性,加强内部网络及资料库的建设及其使用的管理,发挥其在风险管理中的关键性作用;必须完善公司治理,定义风险的管理人与衡量标准,明确董事会与管理阶层在风险管理中的职责及约束机制,成立企业风险委员会,特别是进行国际化经营的集团公司,更应强调风险管理制度和程序的统一性与执行的一致性。风险管理的原则是:为了利用风险管理来增加股东价值,必须在企业文化中强化风险意识,将风险管理的精神深植于企业的组织文化与员工的心中,包括企业风险管理政策、风险管理基础技术及风险管理训练;利用风险管理支持并衡量作业程序。同时为了确保创造股东价值,需要董事会定期履行审核风险管理的情况,起到应有的监督作用。六、企业风险管理的实施涉及企业整个价值链的创造过程首先,企业风险管理过程可用于企业战略的制定。企业的战略目标是企业最高层次的目标,它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标而制定战略,并将战略分解成相应的子目标,再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时,管理者应考虑与不同的战略相关联的风险。其次,企业风险管理必须包括内部控制的内容。在企业风险管理中,会计或其他人员所提供的信息对于应付风险和不确定性具有一定的价值。而财务信息的真实性与企业内部控制是否完善有直接关系,因此有必要将内部控制包含在企业风险管理之中。企业如果没有建立或虚设内部控制,企业风险管理的效果将大打折扣;但如果只强调完善企业内部控制,而不是从企业整体的角度全面、全过程地实施企业风险管理,也满足不了激烈竞争环境下企业生存和发展的要求。因此,企业风险管理框架扩大了内部控制,风险管理的范围比内部控制框架的范围更为广泛,是一个主要针对风险的更为明确的概念。然而企业风险管理的初衷并非代替内部控制框架,即内部控制是企业风险管理不可缺少的一部分。因而企业风险管理框架既能满足内部控制的需要,又能推进比较全面的风险管理程序。可见,有效建立企业风险管理架构,将能确保所有隐含风险的决策,是根据准确的信息并结合企业的风险偏好及策略做出的。反之,如果忽略企业风险管理,将可能使股东价值在面对激烈竞争的情况下遭受更大的风险。所以,提供广泛及常识性的方法,管理整个企业组织的风险;利用价值及风险最适化的概念,系统化地辨识风险,并采用风险组合观来探讨风险议题,是风险管理的主旨。再次,企业还需把风险管理置于企业日常的作业程序及使用的技术与科技之中。平衡计分卡提供了一个很好的手段。平衡计分卡是一个从财务、客户、内部业务流程、学习与成长四个维度来设计和选择企业业绩评价指标体系;它能够将企业组织的战略转化为一套可供操作的战略实施与控制的框架,从而实现了业绩评价与战略管理的结合,把企业战略规划体现在具体的行动之中。首先,平衡计分卡从各经营单位的角度描述了企业的使命和愿景,促进了各单位之间的了解。其次,平衡计分卡制定了一个关系到企业整体的、全局性的战略,并且能够让员工知道自己如何为企业的成长与成功而有所作为,明确自己努力的方向。第三,平衡计分卡把企业战略的要求落实在行动上,其实质是企业战略目标与企业业绩目标的统一。平衡计分卡的运用使企业价值的创造从企业内部扩展到企业外部整个价值链,同时完善了企业风险管理机制。参考文献：1王晓龙，武岳.风险管理框架下的企业战略并购风险管理体系构建.J商业时代2009（10）.2张琴，