陳留平　李啟才

中圖分類號：F270 文獻標識碼：A

內容摘要：美國COSO委員會于2004年9月發(fā)布了《企業(yè)風險管理—整合框架》。為了促進中央企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展，國有資產(chǎn)管理委員會于2006年6月頒布了《中央企業(yè)全面風險管理指引》。本文從企業(yè)風險管理的定義、目標、構成要素、組織體系等方面比較分析了兩者的區(qū)別，以期對理解、掌握和運用《中央企業(yè)全面風險管理指引》有所裨益。

關鍵詞：風險管理構成要素

美國COSO委員會于2004年9月頒布了《企業(yè)風險管理—整合框架》（以下簡稱《框架》），旨在為各國的企業(yè)風險管理提供一個統(tǒng)一術語與概念體系的應用指南。為了幫助中央企業(yè)建立健全風險管理長效機制，增強企業(yè)競爭力，促進企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展，防止國有資產(chǎn)流失，提高投資者回報水平，保護投資者利益，國務院國有資產(chǎn)管理委員會借鑒發(fā)達國家企業(yè)風險管理的法律法規(guī)、國外先進的大公司在風險管理方面的通行做法，以及國內有關內部控制機制建設方面的規(guī)定，于2006年6月頒布了《中央企業(yè)全面風險管理指引》（以下簡稱《指引》）。本文著重分析《框架》和《指引》的區(qū)別，以期對我國企業(yè)的風險管理有所借鑒。

企業(yè)風險管理的定義比較

在《框架》中企業(yè)風險管理的定義如下：企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現(xiàn)提供合理保證。

《指引》中的全面風險管理，指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險管理的組織職能體系、風險管理信息系統(tǒng)和內部控制系統(tǒng)等，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

企業(yè)風險管理的目標比較

《框架》將主體的目標分成四類，即與高層次的目的相關的戰(zhàn)略目標；與利用主體資源的有效性和效率相關的經(jīng)營目標；與主體報告的可靠性相關的報告目標；與主體符合適用的法律和法規(guī)的合規(guī)目標。

《指引》將風險管理的目標分成五類，除了涉及以上四類目標之外，還提到另一個目標，即確保企業(yè)建立針對各項重大風險發(fā)生后的危機處理計劃，保護企業(yè)不因災害性風險或人為失誤而遭受重大損失。

企業(yè)風險管理的構成要素比較

在《框架》中，企業(yè)風險管理包括八個相互關聯(lián)的構成要素，即內部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控。在《指引》中，風險管理的基本流程包括五個方面的工作，即收集風險管理初始信息、進行風險評估、制定管理策略、提出和實施風險管理解決方案、風險管理的監(jiān)督與改進，也就是企業(yè)風險管理的五個構成要素。盡管兩者對風險管理組成部分的稱謂不同，但是其內涵還是有很多相同的地方的。本文僅分析兩者的不同點。

《框架》認為內部環(huán)境是企業(yè)風險管理其他構成要素的基礎，為其他要素提供約束和結構。它影響著戰(zhàn)略和目標如何制訂，經(jīng)營活動如何組織以及如何識別、評估風險并采取行動。它主要包括主體的風險管理理念、風險容量、董事會的監(jiān)督，主體中人員的誠信、道德價值觀和勝任能力，以及管理當局分配權力和職責的方式?！吨敢氛J為，風險管理初始信息是良好的風險管理的基礎，詳細列舉了企業(yè)管理戰(zhàn)略、財務、市場、法律四類常規(guī)風險所需的重要基礎信息，還特別強調企業(yè)應注重針對這四類風險廣泛收集導致企業(yè)危機的國內外案例。

《框架》認為，目標設定是事項識別、風險評估和風險應對的前提。在管理當局識別和評估實現(xiàn)目標的風險，并采取行動來管理風險之前，首先必須有目標。而《指引》所稱的風險管理基本流程中并不包括目標設定這一構成要素。

《框架》中的事項識別是指管理當局識別將會對主體產(chǎn)生影響的潛在事項，并確定它們是代表機會還是風險，或者兩者兼而有之。事項通常并不是孤立地發(fā)生的，因此管理當局在事項識別過程中應該明白事項彼此之間的關系。通過評估這種關系，確定風險管理活動的最優(yōu)指向。《指引》中的風險辨識相當于事項識別，而這里所稱的風險辨識只是指查找企業(yè)各業(yè)務單元、各項重要經(jīng)營活動及重要業(yè)務流程中有無風險，有哪些風險。

在《框架》中，管理當局將企業(yè)風險分為固有風險和剩余風險。而《指引》將風險分為戰(zhàn)略風險、財務風險、市場風險、運營風險和法律風險等；或者以能否為企業(yè)帶來盈利等機會為標志，將風險分為純粹風險和機會風險。

《框架》將風險應對分為四種類型，即回避、降低、分擔和承受。在《指引》中，對戰(zhàn)略、財務、運營和法律風險采取風險承擔、風險規(guī)避、風險轉換、風險控制、風險轉移、風險對沖、風險補償?shù)确椒ā?/p>

與《指引》不同的是，《框架》還提出了管理層應從一個企業(yè)全局或者組合的觀點來考慮風險，決定企業(yè)的風險觀是否適應于與其目標相對應的整個風險容量。

企業(yè)風險管理組織體系的構成比較

《框架》指出企業(yè)風險管理由諸多方面實施，包括董事會（直接地或通過其下屬委員會）、管理當局、內部審計師和其他人員。外部方面也可能會提供對主體的企業(yè)風險管理活動有用的信息，例如外部審計師、立法者、客戶、商業(yè)伙伴、外包服務提供者、債券評級機構等。

《指引》指出企業(yè)風險管理組織體系主要包括規(guī)范的公司法人治理結構，風險管理職能部門，內部審計部門的法律事務部門以及其他有關職能部門、業(yè)務單位的組織領導機構及其職責，而沒有包括外部方面的人員或機構。

企業(yè)風險管理信息溝通渠道比較

《指引》指出，企業(yè)應建立貫穿于整個風險管理基本流程，連接各上下級、各部門和業(yè)務單位的風險管理信息溝通渠道，確保信息溝通的及時、準確、完整。

《框架》對溝通的闡述則更加全面，突出了溝通的重要性。對于那些將要報告的信息，必須有暢通的溝通渠道和清晰的傾聽意愿。如果正常的溝通渠道不起作用，就需要單獨的溝通途徑來充當自動防故障機制。它還指出最關鍵的溝通渠道位于高層管理當局和董事會之間。溝通的具體方式包括政策手冊、備忘錄、電子郵件、公告板通知、網(wǎng)絡發(fā)布等。

對目標、構成要素、主體內各個單元的關系比較

在《框架》中，目標、構成要素、主體內的各個單元可以通過一個三維矩陣以立方體的形式表示出來。這三個維度的關系是：企業(yè)風險管理的八個要素是為企業(yè)的四個目標服務的；企業(yè)各個層級都要堅持同樣的四個目標；每個層次都必須從以上八個方面進行風險管理。這種表示方式既能夠從整體上關注一個主體的企業(yè)風險管理，也可以從目標類別、構成要素或主體單元的角度，乃至其中的任何一個分項的角度去加以認識。而《指引》中則沒有體現(xiàn)這種關系。《指引》指出，企業(yè)開展全面風險管理工作應與其他管理工作緊密結合，把風險管理的各項要求融入企業(yè)風險管理和業(yè)務流程中。

另外，《指引》和《框架》對違反誠信準則行為的態(tài)度不同?！吨敢分赋?，對違反道德誠信準則的行為，企業(yè)應嚴肅查處。而《框架》還指出，應形成鼓勵員工報告所懷疑的違反行為的機制，以及針對知情而不報告違反行為的員工的懲戒措施。同時，高層管理當局的行為和他們所作的表率對道德準則遵守也相當重要。

參考文獻：

1.美國COSO制定發(fā)布，方紅星譯.企業(yè)風險管理—整合框架[M].東北財經(jīng)大學出版社，2005

2.鄒兵.《中央企業(yè)全面風險管理指引》解讀[J].商業(yè)會計，2007.4

3.牛成.企業(yè)風險管理框架的思考[J].甘肅社會科學，2005.2