財經 : 金融 : 證券 > 全面風險管理
目錄
全面風險管理定義
  全面風險管理是一個全新的概念,目前主要應用於企業管理領域,所以以下都圍繞企業管理進行闡述。這裏的定義是參照了國有資産監督管理委員會2006年6月發佈的《中央企業全面風險管理指引》。
  所謂全面風險管理,是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體係,包括風險管理策略、風險理財措施、風險管理的組織職能體係、風險管理信息係統和內部控製係統,從而為實現風險管理的總體目標提供合理保證的過程和方法。
全面風險管理與企業內部控製
  說到風險管理,有個概念是必須要提到的,即企業內部控製。在實踐中有很多企業不能真正理解全面風險管理與內部控製的區別和聯繫,要麽將兩者完全隔離開來,要麽衹是簡單地將它們等同起來。那麽它們有什麽聯繫和差異呢?目前國際上基本上是接受了美國COSO(全國虛假財務報告委員會的發起人委員會)2004年發佈的《企業風險管理——整合框架》(國內也有譯作《全面風險管理框架》的)對兩者的闡釋。
  按COSO框架,兩者的聯繫為:
  (1)全面風險管理涵蓋了內部控製。COSO框架中明確地指出全面風險管理體係框架包括內控,將之作為一個子係統。
  (2)內部控製是全面風險管理的必要環節。內部控製的動力來自企業對風險的認識和管理,對於企業所面臨的大部分運營風險,或者說對於在企業的所有業務流程之中的風險,內控係統是必要的、高效的和有效的風險管理方法。同時,維持充分的內控係統也是國內外許多法律法規的合規要求。因此,滿足內部控製係統的要求也是企業風險管理體係建立應該達到的基本狀態。
  內部控製與全面風險管理的差異為:
  (1)兩者的範疇不一致。內部控製僅是管理的一項職能,主要是通過事後和過程的控製來實現其自身的目標,而全面風險管理則貫穿於管理過程的各個方面,更重要的是在事前製訂目標時就充分考慮了風險的存在。而且,在兩者所要達到的目標上,全面風險管理多於內部控製。
  (2)兩者的活動不一致。全面風險管理的一係列具體活動並不都是內部控製要做的。目前所提倡的全面風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內部控製所負責的是風險管理過程中間及其以後的重要活動,如對風險的評估和由此實施的控製活動、信息與交流活動和監督評審與缺陷的糾正等工作。兩者最明顯的差異在於內部控製不負責企業經營目標的具體設立,而衹是對目標的製定過程進行評價,特別是對目標和戰略計劃製定當中的風險進行評估。
  (3)兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,因此,該框架在風險度量的基礎上,有利於企業的發展戰略與風險偏好相一致,增長、風險與回報相聯繫,進行經濟資本分配及利用風險信息支持業務前臺决策流程等,從而幫助董事會和高級管理層實現全面風險管理的四項目標。這些內容都是現行的內部控製框架所不能做到的。
  從國際國內發展趨勢來看,隨着內部控製或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統一。
內部控製與全面風險管理的産生和發展
  內部控製和風險管理的概念是在實踐中逐步産生、發展和完善起來的。
  在20世紀30年代,由於受到1929-1933年的世界性經濟危機的影響,美國約有40%左右的銀行和企業破産,經濟倒退了約20年。美國企業為應對經營上的危機,許多大中型企業都在內部設立了保險管理部門,負責安排企業的各種保險項目。可見,當時的內部控製和風險管理主要依賴保險手段。
  1949年美國審計程序委員會下屬的內部控製專門委員會經過兩年研究發表了題為《內部控製,協調係統諸要素及其對管理部門和註册會計師的重要性》的專題報告,第一次對內部控製做了權威性的定義。1955年,美國賓夕法尼亞大學沃頓商學院的施耐德教授第一次提出了“風險管理”的概念。
  20世紀70年代中期,作為美國“水門事件”調查結果,立法者和監管團體開始對內部控製問題給以高度重視。為了製止美國公司嚮外國政府官員行賄,美國國會於1977年通過了“國外腐敗實務法案(1977)”。該法案除了反腐敗條款外,還包含了要求公司管理層加強會計內部控製的條款。該法案成為美國在公司內部控製方面的第一個法案。1978年,美國執業會計協會下面的柯恩委員會(Cohen Commission)提出報告,一是建議公司管理層在披露財務報表時,提交一份關於內控係統的報告;二是建議外部獨立審計師對管理者內控報告提出審計報告。1980年後,內部控製審計的職業標準逐漸成形。而且,這些標準逐漸得到了監管者和立法者的認可。
  1970年代以後,隨着企業面臨的風險復雜多樣和風險費用的增加,法國從美國引進了內部控製和風險管理並在法國國內傳播開來。與法國同時,日本也開始了風險管理研究。 此後20年來,美國、英國、法國、德國、日本等國傢先後建立起全國性和地區性的風險管理協會。1983年在美國召開的風險和保險管理協會年會上,世界各國專傢學者雲集紐約,共同討論並通過了“101條風險管理準則”,這是風險管理走嚮實踐化的一個重要文件。1992年9月,美國COSO委員會發佈了《企業內部控製——整合框架》,這份框架此後被納入政策和法規之中,並被各國數千傢企業用來為實現既定目標所采取的行動加以更好的控製。1995年由澳大利亞和新西蘭聯合製訂的AS/NZS 4360明確定義了風險管理的標準程序,這就是我們通常說的澳新ERM標準,這標志着第一個國傢風險管理標準的誕生。
  多年來,人們在風險管理實踐中逐漸認識到,一個企業內部不同部門或不同業務的風險,有的相互疊加放大,有的相互抵消減少。因此,企業不能僅僅從某項業務、某個部門的角度考慮風險,必須根據風險組合的觀點,從貫穿整個企業的角度看風險,即要實行全面風險管理。然而,儘管很多企業意識到全面風險管理,但是對全面風險管理有清晰理解的卻不多,已經實施了全面風險管理的企業則更少。但2001年11月的美國安然公司倒閉案和2002年6月的世通公司財務欺詐案,加之其它一係列的會計舞弊事件,促使企業的風險管理問題受到全社會的關註。2002年7月,美國國會通過薩班斯法案(Sarbanes-Oxley法案),要求所有在美國上市的公司必須建立和完善內控體係。薩班斯法案被稱為是美國自1934年以來最重要的公司法案,在其影響下,世界各國紛紛出臺類似的方案,加強公司治理和內部控製規範,加大信息披露的要求,加強企業全面風險管理。接着在2004年9月,COSO發佈《企業風險管理——整合框架》(Enterprise Risk Management — Integrated Framework),該框架拓展了內部控製,更加關註於企業全面風險管理這一更為寬泛的領域,並隨之成為世界各國和衆多企業廣為接受的標準規範。
  到目前為止,世界上已有30幾個國傢和地區,包括所有資本發達國傢和地區及一些發展中國傢如馬來西亞,都發表了對企業的監管條例和公司治理準則。在各國的法律框架下,企業有效的風險管理不再是企業的自發行為,而成為企業經營的合規要求。
全面風險管理的整合框架
  COSO的ERM框架是個三維立體的框架。這種多維立體的表現形式,有助於全面深入地理解控製和管理對象,分析解决控製中存在的復雜問題。
  第一個維度(上面維度)是是目標體係,包括四類目標:(1) 戰略(Stntegic)目標,即高層次目標,與使命相關聯並支撐使命;(2) 經營(operations)目標,高效率地利用資源;(3) 報告(reporting)目標,報告的可靠性;(4) 合規(compliance)目標,符合適用的法律和法規。
  第二個維度(正面維度)是管理要素,包括八個相互關聯的構成要素,它們源自管理當局的經營方式,並與管理過程整合在一起,具體為:
  (1)內部環境。管理當局確立關於風險的理念,並確定風險容量。所有企業的核心都是人(他們的個人品性,包括誠信、道德價值觀和胜任能力)以及經營所處的環境,內部環境為主體中的人們如何看待風險和着手控製風險確立了基礎。
  (2)目標設定。必須先有目標,管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取恰當的程序去設定目標,並保證選定的目標支持主體的使命並與其相銜接,以及與它的風險容量相適應。
  (3)事項識別。必須識別可能對主體産生影響的潛在事項,包括表示風險的事項和表示機會的事項,以及可能二者兼有的事項。機會被追溯到管理當局的戰略或目標製定過程。
  (4)風險評估。要對識別的風險進行分析,以便確定管理的依據。風險與可能被影響的目標相關聯。既要對固有風險進行評估,也要對剩餘風險進行評估,評估要考慮到風險的可能性和影響。
  (5)風險應對。員工識別和評價可能的風險應對措施,包括回避、承擔、降低和分擔風險。管理當局選擇一係列措施使風險與主體的風險容限和風險容量相適應。
  (6)控製活動。製定和實施政策與程序以確保管理當局所選擇的風險應對策略得以有效實施。
  (7)信息與溝通。主體的各個層級都需要藉助信息來識別、評估和應對風險。廣泛意義的有效溝通包括信息在主體中嚮下、平行和嚮上流動。
  (8)監控。整個企業風險管理處於監控之下,必要時還會進行修正。這種方式能夠動態地反應風險管理狀況,並使之根據條件的要求而變化。監控通過持續的管理活動、對企業風險管理的單獨評價或者兩者的結合來完成。
  第三個維度(側面維度)是主體單元,包括集團、部門、業務單元、分支機構四個層面。
內部控製和全面風險管理在我國的實踐
  中國在這方面的研究開始於上世紀80年代。一些學者將風險管理和安全係統工程理論引入中國,在少數企業試用中感覺比較滿意。但中國大部分企業缺乏對風險管理的認識,也沒有建立專門的風險管理機構和制度建設。
  我國係統的內控制度建設是在有了《會計法》之後。1999年修訂的《會計法》第一次以法律的形式對建立健全內部控製提出原則要求,財政部隨即連續製定發佈了《內部會計控製規範———基本規範》等7項內部會計控製規範。但從更寬泛的管理意義上來說,真正把內部控製和風險管理形成法規,是受到美國2002年安然事件、世通公司財務欺詐案及隨後美國的薩班斯法案的影響。2006年經當時國務院副總理黃菊的批準,這一問題提上議事日程,成立了企業內部控製標準委員會,正式開始這項工作。當年6月6日,國資委發佈了《中央企業全面風險管理指引》,這是我國第一個全面風險管理的指導性文件,意味着中國走上了風險管理的中心舞臺。2008年6月28日,財政部、證監會、審計署、銀監會、保監會五部門聯合發佈了《企業內部控製基本規範》,《規範》自2009年7月1日起先在上市公司範圍內施行,鼓勵非上市的其他大中型企業執行。《規範》的發佈,標志着我國企業內部控製規範體係建設取得重大突破,有業內人士和媒體甚至稱之為中國版的“薩班斯法案”。
  《企業內部控製基本規範》在實踐中的應用範圍,就目前來說,可以分為三類企業:一類是上市公司,這是必須要進行的。其次是國有企業。按國資委出臺的風險管理指引要求,下屬的企業都要全面貫徹風險管理。風險管理和內部控製是相通的。風險管理是戰略層面,最後要落腳到內部控製。對這部分企業來講,內控建設也是必須開展的。第三類就是民營企業。這一類公司沒有相關主管部門,在《基本規範》的實施上,有較大的自由度,但是作為一個真正有商業頭腦、有戰略眼光的企業傢應該要做這個工作,畢竟從長遠來看,這個花費是值得的。
內部控製與全面風險管理運用的一些誤區
  (1)把內部控製與全面風險管理體係的建設理解為建章立製。其實從COSO框架的定義中,我們可以看出它們都被明確為是一個“過程”,不能當作某種靜態的東西,如制度文件、技術模型等,也不是單獨或額外的活動,如檢查評估等,最好是內置於企業日常管理過程中,作為一種常規運行的機製來建設。
  (2)內部控製體係和全面風險管理體係是相互獨立的。建設內部控製和全面風險管理體係都是一個係統工程,兩者在內涵上也有一定重合,企業需要綜合考慮自身業務特點、發展階段、信息技術條件、外部環境要求等,確定選擇合適的管理體係和建設重點。比如,在監管嚴格的金融業或涉及人民生命健康的製藥與醫療行業,風險管理的迫切性更強,企業以風險管理主導內部控製可能更方便。而在另一些企業,為了符合信息披露中內部控製報告的要求,企業以內部控製係統為主導、兼顧風險管理可能更適合。在相關管理理論和實踐不斷發展變化的今天,有時候先做起來比爭論更有意義。
  (3)內部控製和全面風險管理的作用被誇大。有些企業對內部控製和風險管理體係的建設寄有過高期望,他們希望內部控製和風險管理可以確保企業的成功、確保財務報告的可靠性和法律法規的遵循性。而實際上無論多麽先進的內部控製和風險管理體係都衹能為企業相關目標的實現提供合理的而非絶對的保證。
  (4)內部控製與全面風險管理理念在企業實踐落地難。由於新的管理理念和方法的引進,與國內企業原有的管理體係和觀點存在較多的差異和差距,目前這些理念和方法還更多的處於導入階段,大多數企業管理人員還不能在這些框架和概念與企業的日常經營管理行為和語言之間建立直接的聯繫。這造成了企業在這方面的理解有差異或者關註度不夠,除非出現強製性的相關規範和要求。其實這些理念、概念的出現並不是說企業就缺乏這些,事實是理論來源於實踐又高於實踐,這些理論的提出有助於我們將散布於企業管理各個方面的相關元素按照框架的要求和標準進行補充、修正和組合。
  七、斯坦福大學研究院的企業全面風險管理框架
  斯坦福大學研究院提出的是企業全面風險管理(CERM:Comprehensive Enterprises Risk Management)框架。
  企業全面風險管理(CERM:Comprehensive Enterprises Risk Management)強調通過量化分析支撐下的决策分析,在决策層面上管控戰略方向選擇、重大業務决策等方面的風險。相形之下,COSO風險管理框架以內控為中心,強調通過制度、流程和財務等手段,在業務層面上管控運營、操作過程中的風險。它可以在企業整體層面製定風險戰略,構建內控體係,完善風險管理制度,優化流程和組織職能,為企業構建風險管理的長效機製,從根本上提升風險管理的效率和效果,最終幫助企業實現風險管理的各項目標,包括:
  ﹡ 建立包括風險識別、風險測評、風險應對和風險監控在內的企業風險管理體係
  ﹡ 利用係統的、科學的方法對各類風險進行識別和分析
  ﹡ 將風險應對措施落實到企業的制度、組織、流程和職能當中
  ﹡ 形成企業風險管理戰略,支持企業經營戰略目標的實現
  ﹡ 使所有企業利益相關人瞭解企業的風險,滿足股東以及監管機構的要求
  八、國內主要從事全面風險管理的咨詢機構有:
  北大縱橫管理咨詢集團企業內部控製和風險管理研究所 (http://www.vctimes.cn/ )
包含詞
企業全面風險管理全面風險管理模式銀行傢的全面風險管理
企業全面風險管理實務商業銀行全面風險管理全面風險管理理論與實務
銀行全面風險管理體係中央企業全面風險管理指引全面風險管理體係建設常見問題解答