全面风险管理理论与实践

1、全面风险管理理论与实践 一coso理论一. 全面风险管理1. 定义全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。全面风险管理是一个从企业战略目标制定，到目标实现的风险管理过程。它可以简单用“348”的框架来描述。即三个维度：企业目标、全面风险管理要素、企业的各个层级；企业目标包括四个方面：战略目标、经营目标，、报告目标和合规目标；全面风险管理要素有八个：

2、内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。全面风险管理的八个要素为企业的四个目标服务；企业的各个层面要坚持同样的四个目标；每个层面都必须从八个要素进行风险管理。 2.目标现在世界上最先进的体系化风险防范机制是在企业建立全面风险管理体系，全面风险管理代表着风险管理的最前沿的理论和最佳实务。全面风险管理是这样一个过程：它与企业的董事会、经理层和其他员工紧密相关，在战略制定中得到应用，贯穿于整个企业，用来识别影响企业目标实现的潜在事件，在企业风险偏好的指导下管理风险，为企业目标的实现提供合理的保证。由此可见，企业建立全面风险管理体系的总体目标就是为企业实现其经营目

3、标提供合理的保证，也就是为了保证企业经营目标的实现，将企业的风险控制在由企业战略决定的范围之内。换句话说就是全面风险管理可以帮助所有的企业，不管其大小或目标是什么，来全面系统地辨识、衡量、排序并处理所面临可导致其偏离企业目标的风险。同时，企业建立全面风险管理体系还可以确保企业遵守有关法律法规，确保企业内外部尤其是企业与股东之间实现真实、可靠的信息沟通，保障企业经营管理的有效性，提高经营效率，保护企业不至于因灾害性事件或人为失误而遭受重大损失。3.主要内容全面风险管理体系由风险战略、风险管理职能、综合内控、风险理财及风险管理信息系统五个模块组成。风险战略是指导企业风险管理活动的指导方针和行动纲领

4、，是针对企业面临的主要风险设计的一整套风险处理方案。风险管理组织职能是风险管理的具体实施者，通过合理的组织结构设计和职能安排，可以有效管理和控制企业风险。内部控制作为全面管理体系的一部分，是通过针对企业的各个主要业务流程设计和实施一系列政策、制度、规章和措施，对影响业务流程目标实现的各种风险进行管理和控制。风险理财是指企业运用金融手段来管理、转移风险的一整套措施、政策和方法。风险管理信息系统是传输企业风险和风险管理状况的信息系统，其包括企业信息和运营数据的存储、分析、模型、传送及内部报告和外部的披露系统。4.风险风险是企业特殊的资源，它总是伴随着企业的有形的、确定的资源而存在。风险的定义就是指

5、未来的不确定性对企业实现其既定目标的影响。它突出了以下几个方面：风险是关于“未来的不确定性”。过去和现在属于已发生和正在发生的领域，没有风险，但所有的人都不确定将来的事情，将来存在风险。为了准确度量和管理风险，风险总是定义在未来的某一个时间段内的，比如，企业职工有人身安全的风险，为此要为职工买人身安全保险，保险合同总是在一段时间内有效的。又如，企业的财务报表反应的都是发生的经济行为，而现金流预测作为投资决策的基础评估方法之一，是对未来的一定期间内的净现金流入预测用贴现系数来计算现值，这里表现的风险包括时间价值的概念，还包括风险的贴现。风险是和企业目标有关系的。一般来说，企业目标定得越高风险越大

6、，目标定得越低风险越小。例如，企业的目标是跻身于世界五百强还是维持盈亏平衡，其所须承担风险的大小是不一样的。风险是相对于要实现的目标而言的。目标越高，风险就越大；目标越小，风险就越小。风险对实现目标的影响表现在实际的行为可能与我们的目标有差距。这种差距可能不仅表现在最后结果的差距（如盈利额的差距、损益值），还可能表现在路径的差距，即如何实现最后的结果，这同样是不确定性的影响，使得人们对稳定的、可预期的表现要更看重一些，因为不确定性越大，风险成本就越高。需要注意的是风险对实现企业的既定目标有好处，也可能有坏处。所谓好坏或正面负面都是指对结果的判断而言的，风险本身是无所谓好坏的。把风险看作是纯粹的

7、负面的东西，有利于我们专注于防范风险带来的负面效应，但同时有可能使我们忽略风险中蕴藏的机会。因此，企业对风险正负面影响的考虑应该是结合在一起的，这和“没有风险就没有回报，高回报蕴含着高风险”的观点是一致的，收益是对承担风险的补偿。事实上，在没有交易成本等的无摩擦、无套利机会的理想市场的情形，在负面风险和正面风险之间存在确定的平价关系（call-putparity）。如果只考虑风险的负面影响，势必会影响人们的决策忽视正面风险的存在，向风险规避型倾斜。例如，考虑商业银行某一笔贷款的信用风险，从表面上看，这个信用风险是纯粹负面的。但是，由于风险交易市场的存在，这个信用风险有可能被作为一个金融产品被定

8、价，并进而被该银行卖出。而持有代表这个信用风险的金融产品的交易方有可能与其他交易对象继续交易，以期在交易过程中获得收益。当然，并不排除该商业银行本身在某一时刻将这个信用风险的金融产品买回。在这个交易过程中，交易双方并不在意信用风险本身是否是纯负面的，他们的关注点是在于该信用风险本身的变化的特性。反过来说，如果把风险定义为纯负面的影响，就不会有人会对风险的交易感兴趣了。保险公司的业务可以作为这方面的另外一个例子。最后，风险所依赖的未来的不确定性可以分析为许多因素。这些因素就称为风险因素。比如，公司的股价依赖于市场上原材料的价格，农作物的收成依赖于天气的情况等。这些风险因素的未来的情况是不定的，也

9、就是说，在目前来看，风险因素的情况存在一个概率的分布。因此，风险本身也存在一个分布。险的分类风险的分类标准不是绝对的，国际上比较通用的分类是把风险分为战略风险、财务风险、运营风险和危害性风险。战略风险是指不确定因素对企业实现战略发展目标和实施发展规划的影响，企业要符合股东的要求，结合市场情况保持企业的核心竞争优势，选择合适的产品组合，抓住发展机会，规避市场损失等方面的风险因素。财务风险包括利率和汇率的变动、原材料或产品价格波动、信用政策等不确定因素对企业现金流的影响，以及公司在理财方面的行为对企业财务目标的影响。运营风险包括供应链的管理、运营资源的合理调配、关键人员的流动、法律合规、监督检查等

10、涉及公司运营方面的不确定性因素对公司运营目标方面的影响。灾害性风险包括水灾、火灾、事故、偷盗、人身伤亡等不确定性的因素对实现安全管理目标的影响。风险按其来源分为外部风险和内部风险。企业的外部风险来自企业经营的外部环境，包括外部环境本身和外部环境的变化对企业目标的影响，如社会政治风险、供应链风险、市场风险、竞争对手风险、技术革新风险、法律法规风险、自然地理环境风险、灾害风险。企业的内部风险来源于企业的决策和经营活动。企业决策的风险一方面表现在与外界环境不相适应，另一方面表现在企业本身的经营活动中，经营活动中的风险来自企业的各个流程和各个部门。在评价风险管理的有效性时，人们会用到固有风险和剩余风险

11、的概念。前者与后者是相对于某一风险管理的手段的应用实施而言的。也就是说，在没有实施该风险管理手段时的风险称为固有风险，而实施该风险管理手段后的风险称为剩余风险。应当指出，在给定风险管理的现状时，固有风险和剩余风险是一样的。风险按其是否有盈利的可能又分为纯粹风险和机会风险。纯粹风险指不含盈利的可能性，如灾害性风险，大多数运营风险。机会风险是盈利与损失的可能性并存的风险，如许多战略风险，市场风险。从风险及风险管理的若干个“第一”中来了解一下它的历史与发展：第一个准确、科学地描述风险的科学家。瑞士数学家贝努利1705年发现了大数定律。大数定律后来成为一切保险的计价基础。第一家保险公司。世界上第一家保

12、险公司于1720年在伦敦成立。当时英国人已经在定价时使用了抽样的统计方法。标志着风险管理在实际应用中的重大进展。 第一个权威性的“内部控制”定义。1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究发表了题为内部控制，协调系统诸要素及其对管理部门和注册会计师的重要性的专题报告，对内部控制做了权威性的定义。第一次发表“组合选择”理论。1952年，马柯维茨发表了题为证券组合选择的论文，他将金融资产的收益和风险进行了合理的量化。在此基础上，他通过一系列的数学模型和方法，从理论上论证了证券投资的分散化可以有效地降低非系统风险，并提出了确定最优证券组合的方法，为现代金融风险管理奠定了基础。第

13、一个提出“风险管理”的人。1955年，在美国宾夕法尼亚大学的沃顿商学院，施耐德教授提出了“风险管理”的概念。第一个巴塞尔协议。八十年代，随着金融市场的发展，特别是金融衍生产品的使用，银行风险的增大引起了国际上的严重关注。国际清算银行于1988年发表了第一个巴塞尔协议，提出了商业银行的经营规范。第一个国家风险管理标准的诞生。世界上第一个国家风险管理标准是1995年由澳大利亚和新西兰联合制订的as/nzs4360明确定义了风险管理的标准程序。第一个中国的全面风险管理指导性文件发布。2006年6月6日，国务院国有资产监督管理委员会发布了中央企业全面风险管理指引，标志着中国走上了风险管理的中心舞台，掀

14、开了风险管理历史上新的一页从风险及风险管理的若干个“第一”中来了解一下它的历史与发展：第一个准确、科学地描述风险的科学家。瑞士数学家贝努利1705年发现了大数定律。大数定律后来成为一切保险的计价基础。第一家保险公司。世界上第一家保险公司于1720年在伦敦成立。当时英国人已经在定价时使用了抽样的统计方法。标志着风险管理在实际应用中的重大进展。第一个权威性的“内部控制”定义。1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究发表了题为内部控制，协调系统诸要素及其对管理部门和注册会计师的重要性的专题报告，对内部控制做了权威性的定义。第一次发表“组合选择”理论。1952年，马柯维茨发表了

15、题为证券组合选择的论文，他将金融资产的收益和风险进行了合理的量化。在此基础上，他通过一系列的数学模型和方法，从理论上论证了证券投资的分散化可以有效地降低非系统风险，并提出了确定最优证券组合的方法，为现代金融风险管理奠定了基础。第一个提出“风险管理”的人。1955年，在美国宾夕法尼亚大学的沃顿商学院，施耐德教授提出了“风险管理”的概念。第一个巴塞尔协议。八十年代，随着金融市场的发展，特别是金融衍生产品的使用，银行风险的增大引起了国际上的严重关注。国际清算银行于1988年发表了第一个巴塞尔协议，提出了商业银行的经营规范。第一个国家风险管理标准的诞生。世界上第一个国家风险管理标准是1995年由澳大利

16、亚和新西兰联合制订的as/nzs4360明确定义了风险管理的标准程序。第一个中国的全面风险管理指导性文件发布。2006年6月6日，国务院国有资产监督管理委员会发布了中央企业全面风险管理指引，标志着中国走上了风险管理的中心舞台，掀开了风险管理历史上新的一页对风险的掌握是一个极其漫长的过程。人类活动的扩展引起风险日趋复杂，其种类不断增加，同时，风险的发展刺激了风险管理的发展，而风险管理的发展又推动人们向更高的目标登攀。近些年来风险管理作为一个为更多企业所认可和采纳的新的管理方法其发展主要来自以下几方面的推动：第一，企业内外部日趋复杂的风险环境。自二十世纪九十年代末起，伴随着信息技术的发展和全球经济

17、一体化，世界市场变化风起云涌，风险数量及其复杂性也与日俱增。据美国一家公司2001年的统计，一个典型的大型跨国公司可以有多达11,000种的风险，其中能够用现有的手段管理控制的只有2,600左右。也就是说所有其他75%的风险都由公司或者说主要由股东承担。旧的风险管理范例不足以参考以化解当今有代表性的企业所面临的风险，企业迫切需要新的风险管理方法和技术。第二，风险管理技术的不断提高。风险数量及其复杂性的增加促进了金融衍生品市场的增长，期货、期权、远期互换、资产证券化等金融衍生产品层出不穷。这些金融衍生品为企业提供了转移风险的工具，使得企业应对风险的策略和手段日益丰富。同时，信息技术的发展虽然提高

18、了企业风险的发生水平，但也使得对许多风险的有效监控成为可能。一些更精确更直观更容易操作的风险度量方法和风险管理工具不断涌现，如var、eva等。与20年前相比，风险管理的手段更趋多样化、系统化，风险应对策略更趋复杂化、专业化。第三，国际组织及各国风险管理协会的大力推动。自上世纪80年以来，美国、英国、法国、日本等国家先后建立起全国性和地区性的风险管理协会。这些组织积极推动各国的风险管理理论研究和实践，先后出台了各国的风险管理标准，在1995年由澳大利亚和新西兰联合制订了世界上第一个风险管理标准（as/nzs4360）后，2003年英国制订了airmic/alarm/irm标准，2004年美国coso制订了cosoerm标准等。与此同时，西方十国集团在2001年又签署了巴塞尔协议，对银行的风险管理提出了更加明确的要求。国际标准化组织（iso）也正着手制定风险管理标