全面風險管理

所謂全面風險管理，是指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。

說到風險管理，有個概念是必須要提到的，即企業內部控制。在實踐中有很多企業不能真正理解全面風險管理與內部控制的區別和聯繫，要么將兩者完全隔離開來，要么只是簡單地將它們等同起來。那么它們有什麼聯繫和差異呢？國際上基本上是接受了美國COSO（全國反虛假財務報告委員會的發起人委員會）2004年發布的《企業風險管理——整合框架》（國內也有譯作《全面風險管理框架》的）對兩者的闡釋。

（1）全面風險管理涵蓋了內部控制。COSO框架中明確地指出全面風險管理體系框架包括內控，將之作為一個子系統。

（2）內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理，對於企業所面臨的大部分運營風險，或者說對於在企業的所有業務流程之中的風險，內控系統是必要的、高效的和有效的風險管理方法。同時，維持充分的內控系統也是國內外許多法律法規的合規要求。因此，滿足內部控制系統的要求也是企業風險管理體系建立應該達到的基本狀態。內部控制與全面風險管理的差異為　　（1）兩者的範疇不一致。內部控制僅是管理的一項職能，主要是通過事後和過程的控制來實現其自身的目標，而全面風險管理則貫穿於管理過程的各個方面，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多於內部控制。

（2）兩者的活動不一致。全面風險管理的一系列具體活動並不都是內部控制要做的。全面風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程式等活動。而內部控制所負責的是風險管理過程中間及其以後的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監督評審與缺陷的糾正等工作。兩者最明顯的差異在於內部控制不負責企業經營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰略計畫制定當中的風險進行評估。

（3）兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利於企業的發展戰略與風險偏好相一致，增長、風險與回報相聯繫，進行經濟資本分配及利用風險信息支持業務前台決策流程等，從而幫助董事會和高級管理層實現全面風險管理的四項目標。這些內容都是現行的內部控制框架所不能做到的。

從國際國內發展趨勢來看，隨著內部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統一。

內部控制和風險管理的概念是在實踐中逐步產生、發展和完善起來的。

在20世紀30年代，由於受到1929－1933年的世界性經濟危機的影響，美國約有40%左右的銀行和企業破產，經濟倒退了約20年。美國企業為應對經營上的危機，許多大中型企業都在內部設立了保險管理部門，負責安排企業的各種保險項目。可見，當時的內部控制和風險管理主要依賴保險手段。

1949年美國審計程式委員會下屬的內部控制專門委員會經過兩年研究發表了題為《內部控制，協調系統諸要素及其對管理部門和註冊會計師的重要性》的專題報告，第一次對內部控制做了權威性的定義。1955年，美國賓夕法尼亞大學沃頓商學院的施耐德教授第一次提出了“風險管理”的概念。

20世紀70年代中期，作為美國“水門事件”調查結果，立法者和監管團體開始對內部控制問題給以高度重視。為了制止美國公司向外國政府官員行賄，美國國會於1977年通過了“國外腐敗實務法案（1977）”。該法案除了反腐敗條款外，還包含了要求公司管理層加強會計內部控制的條款。該法案成為美國在公司內部控制方面的第一個法案。1978年，美國執業會計協會下面的柯恩委員會（Cohen Commission）提出報告，一是建議公司管理層在披露財務報表時，提交一份關於內控系統的報告；二是建議外部獨立審計師對管理者內控報告提出審計報告。1980年後，內部控制審計的職業標準逐漸成形。而且，這些標準逐漸得到了監管者和立法者的認可。

1970年代以後，隨著企業面臨的風險複雜多樣和風險費用的增加，法國從美國引進了內部控制和風險管理並在法國國內傳播開來。與法國同時，日本也開始了風險管理研究。 此後20年來，美國、英國、法國、德國、日本等國家先後建立起全國性和地區性的風險管理協會。1983年在美國召開的風險和保險管理協會年會上，世界各國專家學者雲集紐約，共同討論並通過了“101條風險管理準則”，這是風險管理走向實踐化的一個重要檔案。1992年9月，美國COSO委員會發布了《企業內部控制——整合框架》，這份框架此後被納入政策和法規之中，並被各國數千家企業用來為實現既定目標所採取的行動加以更好的控制。1995年由澳大利亞和紐西蘭聯合制訂的AS/NZS 4360明確定義了風險管理的標準程式，這就是我們通常說的澳新ERM標準，這標誌著第一個國家風險管理標準的誕生。

多年來，人們在風險管理實踐中逐漸認識到，一個企業內部不同部門或不同業務的風險，有的相互疊加放大，有的相互抵消減少。因此，企業不能僅僅從某項業務、某個部門的角度考慮風險，必須根據風險組合的觀點，從貫穿整個企業的角度看風險，即要實行全面風險管理。然而，儘管很多企業意識到全面風險管理，但是對全面風險管理有清晰理解的卻不多，已經實施了全面風險管理的企業則更少。但2001年11月的美國安然公司倒閉案和2002年6月的世通公司財務欺詐案，加之其它一系列的會計舞弊事件，促使企業的風險管理問題受到全社會的關注。2002年7月，美國國會通過薩班斯法案（Sarbanes-Oxley法案），要求所有在美國上市的公司必須建立和完善內控體系。薩班斯法案被稱為是美國自1934年以來最重要的公司法案，在其影響下，世界各國紛紛出台類似的方案，加強公司治理和內部控制規範，加大信息披露的要求，加強企業全面風險管理。接著在2004年9月，COSO發布《企業風險管理——整合框架》（Enterprise Risk Management — Integrated Framework），該框架拓展了內部控制，更加關注於企業全面風險管理這一更為寬泛的領域，並隨之成為世界各國和眾多企業廣為接受的標準規範。

到目前為止，世界上已有30幾個國家和地區，包括所有資本已開發國家和地區及一些開發中國家如馬來西亞，都發表了對企業的監管條例和公司治理準則。在各國的法律框架下，企業有效的風險管理不再是企業的自發行為，而成為企業經營的合規要求。

COSO的ERM框架是個三維立體的框架。這種多維立體的表現形式，有助於全面深入地理解控制和管理對象，分析解決控制中存在的複雜問題。

風險管理結構

第一個維度（上面維度）是目標體系，包括四類目標：(1) 戰略(Strategic)目標，即高層次目標，與使命相關聯並支撐使命；(2) 經營(operations)目標，高效率地利用資源；(3) 報告(reporting)目標，報告的可靠性；(4) 合規(compliance)目標，符合適用的法律和法規。

第二個維度（正面維度）是管理要素，包括八個相互關聯的構成要素,它們源自管理當局的經營方式，並與管理過程整合在一起，具體為：

管理當局確立關於風險的理念，並確定風險容量。所有企業的核心都是人(他們的個人品性，包括誠信、道德價值觀和勝任能力)以及經營所處的環境,內部環境為主體中的人們如何看待風險和著手控制風險確立了基礎。

必須先有目標，管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局採取恰當的程式去設定目標，並保證選定的目標支持主體的使命並與其相銜接，以及與它的風險容量相適應。

必須識別可能對主體產生影響的潛在事項，包括表示風險的事項和表示機會的事項，以及可能二者兼有的事項。機會被追溯到管理當局的戰略或目標制定過程。

要對識別的風險進行分析，以便確定管理的依據。風險與可能被影響的目標相關聯。既要對固有風險進行評估，也要對剩餘風險進行評估，評估要考慮到風險的可能性和影響。

員工識別和評價可能的風險應對措施，包括迴避、承擔、降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相適應。

制定和實施政策與程式以確保管理當局所選擇的風險應對策略得以有效實施。

主體的各個層級都需要藉助信息來識別、評估和應對風險。廣泛意義的有效溝通包括信息在主體中向下、平行和向上流動。

整個企業風險管理處於監控之下,必要時還會進行修正。這種方式能夠動態地反應風險管理狀況，並使之根據條件的要求而變化。監控通過持續的管理活動、對企業風險管理的單獨評價或者兩者的結合來完成。

第三個維度（側面維度）是主體單元，包括集團、部門、業務單元、分支機構四個層面。

在中國銀行業從業人員資格認證的相關書籍中，將全面風險管理要素表述為

1、內部環境和目標設定

2、事件識別和風險評估

3、風險反映和控制活動

4、信息和交流以及監控

1、風險辨識

2、風險評價

3、風險診斷

4、風險戰略設計

5、風險文化建設

6、風險防範管理規劃

7、風險流程設計

8、組織職能設計

9、風險理財設計

10、信息系統建設

中國在這方面的研究開始於上世紀80年代。一些學者將風險管理和安全系統工程理論引入中國，在少數企業試用中感覺比較滿意。但中國大部分企業缺乏對風險管理的認識，也沒有建立專門的風險管理機構和制度建設。

企業風險

我國系統的內控制度建設是在有了《會計法》之後。1999年修訂的《會計法》第一次以法律的形式對建立健全內部控制提出原則要求，財政部隨即連續制定發布了《內部會計控制規範———基本規範》等7項內部會計控制規範。但從更寬泛的管理意義上來說，真正把內部控制和風險管理形成法規，是受到美國2002年安然事件、世通公司財務欺詐案及隨後美國的薩班斯法案的影響。2006年經當時國務院副總理黃菊的批准，這一問題提上議事日程，成立了企業內部控制標準委員會，正式開始這項工作。當年6月6日，國資委發布了《中央企業全面風險管理指引》，這是我國第一個全面風險管理的指導性檔案，意味著中國走上了風險管理的中心舞台。2008年6月28日，財政部、證監會、審計署、銀監會、保監會五部門聯合發布了《企業內部控制基本規範》，《規範》自2009年7月1日起先在上市公司範圍內施行，鼓勵非上市的其他大中型企業執行。《規範》的發布，標誌著我國企業內部控制規範體系建設取得重大突破，有業內人士和媒體甚至稱之為中國版的“薩班斯法案”。2010年4月26日，財政部、證監會、審計署、銀監會、保監會等五部委剛剛聯合併發布了《企業內部控制配套指引》。　該配套指引包括18項《企業內部控制套用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》，連同此前發布的《企業內部控制基本規範》，標誌著適應我國企業實際情況、融合國際先進經驗的中國企業內部控制規範體系基本建成。為確保企業內控規範體系平穩順利實施，財政部等五部門制定了實施時間表：自2011年1月1日起首先在境內外同時上市的公司施行，自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主機板上市的公司施行；在此基礎上，擇機在中小板和創業板上市公司施行；同時，鼓勵非上市大中型企業提前執行。

《企業內部控制基本規範》及配套指引，在實踐中的套用範圍，可以分為三類企業：一類是上市公司，這是必須要進行的。其次是國有企業。按國資委出台的風險管理指引要求，下屬的企業都要全面貫徹風險管理。風險管理和內部控制是相通的。風險管理是戰略層面，最後要落腳到內部控制。對這部分企業來講，內控建設也是必須開展的。第三類就是民營企業。這一類公司沒有相關主管部門，在《基本規範》的實施上，有較大的自由度，但是作為一個真正有商業頭腦、有戰略眼光的企業家應該要做這個工作，畢竟從長遠來看，這個花費是值得的。

（1）把內部控制與全面風險管理體系的建設理解為建章立制。其實從COSO框架的定義中，我們可以看出它們都被明確為是一個“過程”，不能當作某種靜態的東西，如制度檔案、技術模型等，也不是單獨或額外的活動，如檢查評估等，最好是內置於企業日常管理過程中，作為一種常規運行的機制來建設。

（2）內部控制體系和全面風險管理體系是相互獨立的。建設內部控制和全面風險管理體系都是一個系統工程，兩者在內涵上也有一定重合，企業需要綜合考慮自身業務特點、發展階段、信息技術條件、外部環境要求等，確定選擇合適的管理體系和建設重點。比如，在監管嚴格的金融業或涉及人民生命健康的製藥與醫療行業，風險管理的迫切性更強，企業以風險管理主導內部控制可能更方便。而在另一些企業，為了符合信息披露中內部控制報告的要求，企業以內部控制系統為主導、兼顧風險管理可能更適合。在相關管理理論和實踐不斷發展變化的今天，有時候先做起來比爭論更有意義。

（3）內部控制和全面風險管理的作用被誇大。有些企業對內部控制和風險管理體系的建設寄有過高期望，他們希望內部控制和風險管理可以確保企業的成功、確保財務報告的可靠性和法律法規的遵循性。而實際上無論多么先進的內部控制和風險管理體系都只能為企業相關目標的實現提供合理的而非絕對的保證。

（4）內部控制與全面風險管理理念在企業實踐落地難。由於新的管理理念和方法的引進，與國內企業原有的管理體系和觀點存在較多的差異和差距，這些理念和方法還更多的處於導入階段，大多數企業管理人員還不能在這些框架和概念與企業的日常經營管理行為和語言之間建立直接的聯繫。這造成了企業在這方面的理解有差異或者關注度不夠，除非出現強制性的相關規範和要求。其實這些理念、概念的出現並不是說企業就缺乏這些，事實是理論來源於實踐又高於實踐，這些理論的提出有助於我們將散布於企業管理各個方面的相關元素按照框架的要求和標準進行補充、修正和組合。

七、史丹福大學研究院的企業全面風險管理框架

史丹福大學研究院提出的是企業全面風險管理（CERM：Comprehensive Enterprises Risk Management）框架。

企業全面風險管理（CERM：Comprehensive Enterprises Risk Management）強調通過量化分析支撐下的決策分析，在決策層面上管控戰略方向選擇、重大業務決策等方面的風險。相形之下，COSO風險管理框架以內控為中心，強調通過制度、流程和財務等手段，在業務層面上管控運營、操作過程中的風險。它可以在企業整體層面制定風險戰略，構建內控體系，完善風險管理制度，最佳化流程和組織職能，為企業構建風險管理的長效機制，從根本上提升風險管理的效率和效果，最終幫助企業實現風險管理的各項目標，包括：

﹡ 建立包括風險識別、風險測評、風險應對和風險監控在內的企業風險管理體系

﹡ 利用系統的、科學的方法對各類風險進行識別和分析

﹡ 將風險應對措施落實到企業的制度、組織、流程和職能當中

﹡ 形成企業風險管理戰略，支持企業經營戰略目標的實現

﹡ 使所有企業利益相關人了解企業的風險，滿足股東以及監管機構的要求

銀行全面風險管理的核心包括：（1）全球的風險管理體系；（2）全面的風險管理範圍；（3）全程的風險管理過程；（4）全新的風險管理方法；（5）全員的風險管理文化。