企业风险管理框架的思考

企业风险管理框架的思考

戴梦星

身份证号码：31011519****XXXX26厦门大学上海200000

摘要：随着经济全球化、竞争国际化，知识经济为主题新经济时代的到来，企业风险管理愈来愈成为企业管理的热点问题。基于此，本文重点对COSO委员会提出的企业风险管理框架中有关方面进行评述与思考，以期对我国企业风险管理工作提供借鉴和指导作用。

关键词：风险管理；风险管理框架；内部控制；思考

引言：当我们正在步入新世纪的时候，会发现我们的生活正面临着由于经济发展和科技进步所带来的比以往任何时候都要多得多的风险。人类社会正在进入一个充满机遇和风险的新世纪，这些都促使我们必须从理论上和实践上重视对企业的风险管理。

一、企业风险管理定义的思考

COSO的企业风险管理框架对企业风险管理的定义是：企业风险管理是一个过程，受组织的董事会、管理层和其他人员影响，风险管理应用于战略制定，贯穿整个企业。企业风险管理旨在识别影响组织的潜在事件，在组织的风险偏好（riskappetite）范围内管理风险，为组织目标的实现提供合理的保证。这个定义反映了一些基本概念，但从中我们可以看出：（1）企业风险管理是一个过程，并且是实现结果的一种方式；（2）企业风险管理被人影响，它不仅仅只是政策，还涉及整个组织各个层级的人；（3）企业风险管理应用于企业的战略制定；（4）企业风险管理贯穿整个企业的所有层级和单位；（5）企业风险管理旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；（6）企业风险管理为组织的管理层和董事会提供合理保证；（7）企业风险管理从一个或多个分开但重叠的方面实现目标。这个定义定得十分宽泛。它抓住一些公司或其他组织管理风险的重要概念，因此可以运用于不同类型的组织、不同行业和不同部门，它直接针对组织目标的实现。而且，这个概念还是定义企业风险管理有效性的基础，并为管理层提供了一个框架，能有效地应对风险，使风险和机会相结合，提升企业创造价值的能力。

二、企业风险管理内容的思考

企业风险管理的内容源自于商业组织的管理方法并整合到企业管理程序中，且由此形成了企业风险管理的基本程序。

1.内部环境，即公司管理层树立的风险观、建立的风险偏好及承受力。企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反映，还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。内部环境建立了组织中各级人员如何识别和看待风险的基础。董事会是内部环境的重要组成部分，对其他内部环境要素有重要的影响。企业的管理者也是内部环境的一部分，其职责是建立企业风险管理理念，确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的初步行动结合起来。

2.目标设定，即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中，其他相关目标是指除战略目标之外的其他目标，其制定应与企业的战略相联系。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项，而企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且保证制定的目标与企业的风险偏好相一致。

3.事项识别，即能对组织产生影响的潜在风险必须识别出来。风险识别包括内部和外部的反映潜在因素怎样影响战略执行和目标业绩的要素。这也包括区别哪些是风险、哪些是机会以及风险和机会并存的事项。管理层识别潜在事项的相关性并把这些事项加以分类，目的在于建立并强化贯穿组织的风险语言、形成以组合的观点来考虑各种事项的基本方法论。

4.风险评估，即评估识别出来的风险是为管理风险打基础。风险与一系列目标相关联。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估———风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对于风险的评估应从企业战略和目标的角度进行。首先，应对企业的固有风险进行评估，确定对固有风险的风险反映模式就能够确定对固有风险的管理措施。其次，管理者应在对固有风险采取有关管理措施的基础上，对企业的剩余风险进行评估。

5.风险反映，即在公司战略和目标的指引下，管理层根据风险偏好和承受力来选择方法考虑如何应对风险，这主要包括规避、减少、共担和接受风险。

6.控制措施，即建立和执行政策和程序保证管理层所选择的风险反映行动的有效执行。控制活动存在于企业的各部分、各个层面和各个部门。

三、企业内各层面及部门的关系的思考

企业风险管理的要素以及它们之间的联系可用一个三维模型来展示。第一维度：风险管理8要素———内部环境、目标设定、事项识别、风险评估、风险反映、控制措施、信息和沟通、监控；第二维度：组织层级———企业层次、子公司、业务单位、分支机构；第三维度：组织目标———战略、运作、财务报告准确性、法规遵循性。这三个维度的关系是：企业风险管理的8个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上8个方面进行风险管理。企业风险管理是一个动态的过程。

1.从二者的框架结构看

（1）企业风险管理除包括内部控制的三个目标之外，还增加了战略目标，并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营、财务报告和合规性目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同，财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖了企业编制的所有报告。此外，企业风险管理框架比内部控制框架增加了一个目标———战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。

（2）企业风险管理的8个要素除了包括内部控制的全部5个要素之外，还增加了目标设定，事项识别和风险反映三个要素。①目标设定。在风险管理框架中，由于要针对不同的目标分析其相应的风险，因此目标的设定自然就成为风险管理流程的首要步骤，并将其确认为风险管理框架的一部分；②事项识别。企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素，而且可能在企业的各个层面上出现，并且应根据对实现企业目标的潜在影响来确认风险。但是，企业风险管理框架深入探讨了潜在事项的概念，认为潜在事项是指来自企业内部和外部资源的、可能影响企业战略的执行和目标实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机会，而存在潜在负面影响的事项则称为风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的影响，并对企业过去和未来的潜在事项以及事项的发生趋势进行计量；③风险反映。企业风险管理框架提出对风险的四种反映方案：规避、减少、共担和接受风险。作为风险管理的一部分，管理者应比较不同方案的潜在影响，并且应在企业风险容忍度范围的假设下，考虑风险反映方案的选择。

2.从二者的实质内容看

（1）内部控制仅是管理的一项职能，而企业风险管理属于风险范畴，贯穿于管理过程的各个方面；（2）在企业风险管理框架中，由于把风险明确定义为对企业的目标产生负面影响的事件发生的可能性（将产生正面影响的事件视为机会），因此，该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险；内部控制框架没有区分风险和机会；（3）提出一个新的观念———风险组合观。企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在在该单位的风险容忍度范周内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险；（4）由于企业风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现企业风险管理的四项目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。

结束语

总的来讲，企业风险管理框架强调在整个企业范围内识别和管理风险的重要性，强调企业的风险管理应针对企业目标的实现在企业战略制定阶段就予以考虑，而企业在对其下属部门进行风险管理时，应对风险进行加总，从组织的顶端，以一种全局的风险组合观来看待风险。此外，根据风险管理的需要，对企业目标进行重新的分类，明确战略目标在风险管理中的地位。

参考文献：

[1]王强全面风险管理体系建设与内部控制在企业管理中的应用[J].企业科技与发展，2012（11）：128-129，134

[2]张庆企业全面风险管理体系架构研究[J].中国市场，2009（5）：54-55

[3]张琴，陈柳钦企业全面风险管理（ERM）理论梳理和框架构建[J].当代经济管理，2009（7）：25-32