企業(yè)全面風險管理（ＥＲＭ）理論梳理和框架構(gòu)建

張　琴　陳柳欽

[摘要]全面風險管理(ERM)是在以價值為導向的企業(yè)目標確立過程中取代傳統(tǒng)風險管理，承擔增加公司價值使命的新型風險管理體系和手段。ERM的理論體系應該包括全面風險現(xiàn)、整體化風險管理理論以及ERM框架體系。ERM框架體系不僅包括我們常說的風險管理策略和過程，還應該包括所有支持和保障ERM效率效果的六方面輔助政策和設(shè)施，統(tǒng)稱為ERM的配套諼施，策略、過程和配套設(shè)施三個部分缺一不可，共同構(gòu)成全面風險管理的整體框架。

[關(guān)鍵詞]全面風險管理(ERM)；風險評估；公司清理；內(nèi)部控制

[中圖分類號]F270.7[文獻標識碼]A

[文章編號]1673-0461(2009)07-0025-08

一、全面風險管理(ERM)的必要和充分條件

目前人們公認的企業(yè)總目標是增加公司價值，當然公司價值到底是股東價值還是公司這個中介組織的價值也存在諸多爭議。由于公司注重股東價值可能會影響公司其他利益關(guān)聯(lián)方的價值，比如債權(quán)人價值，因此本文所指的公司價值不同于股東價值。而風險管理之所以是公司戰(zhàn)略管理的重要組成部分，為越來越多的公司尤其是金融機構(gòu)所重視，其主要原因是風險管理可以增加公司價值。本文從風險管理增加公司價值的必要和充分條件兩方面，證明公司內(nèi)部開展現(xiàn)代化的全面風險管理確實可以增加公司價值。

(一)全面風險管理的必要條件

現(xiàn)實生活中人們對風險管理越來越重視，越來越多的對沖風險，在企業(yè)內(nèi)部建立全面風險管理框架的呼聲也越來越高。究其原因主要是：隨著經(jīng)濟全球化和一體化進程的加快，公司面臨的風險越來越多；市場上的匯率、利率和商品價格波動越來越頻繁，使得公司價值面臨的風險正逐步提高；各行各業(yè)不斷出現(xiàn)的公司經(jīng)營失敗案例警示人們，建立良好的全面風險管理體系迫在眉睫。圖1所示的不幸之輪形象的描述各行各業(yè)由于各種各樣的風險管理問題而遭受重大損失的公司的名稱、損失金額以及主要損失原因，說明風險管理災難可以以各種不同的方式發(fā)生在任何行業(yè)的任何一家企業(yè)。這些都是公司進行風險管理的必要條件。

(二)全面風險管理的充分條件

風險管理存在的充分條件是“風險管理可以增加企業(yè)的價值”。雖然人們一直都認可這個觀點，但關(guān)于風險管理通過什么樣的途徑可以在多大程度上增加企業(yè)的價值這個問題卻一直沒有定論。關(guān)于風險管理可以增加公司價值的論證要從新古典主義金融理論的風險管理無關(guān)論開始說起?，F(xiàn)代的新古典主義金融理論認為在完美和完整的市場下，投資者個人層面的風險管理措施已經(jīng)十分完善，從而公司層面的風險管理是不必要的甚至是有害(風險管理成本會降低公司價值)的。

但是，現(xiàn)實世界的金融市場遠非完美，到處充滿了摩擦和信息不對稱，以對沖為主要內(nèi)容的風險管理并非與公司的價值無關(guān)，而是可以增加公司價值，這就是風險管理相關(guān)論(RiBk Man-agement Relevance)。如stulz(1984)，第一次系統(tǒng)地利用現(xiàn)代金融理論的框架分析了企業(yè)風險管理的價值所在；Froot等(1993)利用外部融資成本增加說，證明公司層面的風險對沖、風險控制活動會給公司帶來價值；在此基礎(chǔ)上，F(xiàn)root和Stein(1998)又針對銀行等金融機構(gòu)構(gòu)建了一個理論模型，，證明風險對沖(風險管理)、資本預算和資本結(jié)構(gòu)這三個相互聯(lián)系相互影響的金融機構(gòu)基本財務問題作為一個整體，共同決定金融機構(gòu)的價值增長；Doherty(1985)從風險成本的角度論述了風險管理對公司的價值。總之，這些學者認為，風險管理可以通過減少不完美市場因素引起的各種摩擦成本的方式增加企業(yè)價值。這些成本包括：破產(chǎn)成本、財務危機成本、稅收成本、代理成本、投資機會喪失成本等。還有一些學者從實證的角度證明了風險管理可以增加企業(yè)價值。如弗吉尼亞大學的George Allayannis和James Weston在1998年的一項研究，他們比較了1990年到1995年或多或少(以它們進行對沖活動的程度來計量)積極從事市場風險管理的公司的市值與面值的比率，結(jié)果發(fā)現(xiàn)更積極的從事市場風險管理的公司得到了市值平均增長20％的回報。所有這些都充分說明，風險管理是可以增加企業(yè)價值的，而這正是風險管理存在的充分條件。當然并不是所有的風險管理都可以達到增加公司價值的目的，只有站在公司角度對風險進行整體衡量與控制的全面風險管理才可以達到這個目的。傳統(tǒng)的風險管理手段由于自身固有的種種弊端并不能很好的完成提升公司價值的任務。

二、全面風險管理對風險的認知

任何有效的管理活動都要建立在對被管理對象的準確定義和分類的基礎(chǔ)上，全面風險管理也不例外。全面風險管理理論體系的第一個重要部分是現(xiàn)代風險理論。

(一)風險的內(nèi)涵——雙側(cè)風險觀

傳統(tǒng)的風險定義常常將風險定義為損失的可能性，這種定義注重風險的負面影響，是典型的單側(cè)風險定義?，F(xiàn)代的ERM觀點認為風險等同于結(jié)果的不確定性。不確定性是指人們對事物的未來狀態(tài)不能確切知道或掌握，也就是說人們總是對事物未來的發(fā)展與變化缺乏信息與控制力。根據(jù)能否事前估計事件的最終結(jié)果又將不確定性分為可衡量的不確定性和不可衡量的不確定性。從不確定性角度出發(fā)，事物的結(jié)果可能是壞的，也有可能是好的，即潛在損失與盈利機會并存。美國經(jīng)濟學家奈特在其名著《風險、不確定性和利潤》一書中認為：風險是可以測定的不確定性。美國的阿瑟·威廉姆斯等在《風險管理與保險》一書中，把風險定義為：“在給定的情況下和特定的時間內(nèi)。那些可能發(fā)生的結(jié)果間的差異。如果肯定只有一個結(jié)果發(fā)生，則差異為零，風險為零；如果有多種可能結(jié)果，則有風險，且差異越大，風險越大?！睔w納起來，這些定義都涵蓋了一個“雙側(cè)”的含義。即不僅將不利的波動(下側(cè)風險Downside Risk)視為風險，同樣將有利的波動(上側(cè)風險Upside Risk)也視為風險，將風險定義為雙側(cè)風險，風險既是損失的可能又是盈利的機會。與單側(cè)風險的定義相比，雙側(cè)風險定義更適合進行風險管理，更有利于對盈利制造部門和明星交易員的風險管理，同時也為全面經(jīng)濟資本配置和經(jīng)風險調(diào)整的業(yè)績衡量提供了理論依據(jù)。

(二)風險的性質(zhì)

在現(xiàn)代的全面風險管理框架下，風險具有雙向性、對稱性和風險/收益平衡性三個重要特點。風險的對稱性是指：在ERM的世界里，風險(尤其是市場風險，如利率風險、股票和外匯風險)常常被認為是對稱的，在市場風險的計量中常常使用正態(tài)分布的假設(shè)，如參數(shù)的Var模型；對于信用風險和操作風險(或稱作營運風險。在本文中指除了市場風險和信用風險之外金融機構(gòu)面臨的其它所有的風險)，雖然其自身的損失分布是非對稱的，但對于投資組合(尤其是大量獨立的產(chǎn)

品和業(yè)務的組合)而言，依據(jù)大數(shù)定律，整個組合的損失分布仍然是趨于正態(tài)和對稱的?；谶@種對稱性的認識，ERM強調(diào)把盈利部門納入風險管理的范疇，注重利用組合管理將非對稱風險轉(zhuǎn)化為對稱風險來降低風險管理的難度(非對稱風險較對稱風險更難于計量和管理)。另外，ERM還強調(diào)風險/收益的平衡性特征，對“沒有風險就沒有收益，風險越大，收益越高”這個投資學基本理念進行了重新認識。ERM認為，在風險和收益的這種正相關(guān)關(guān)系下，收益指的是相對收益而不是絕對收益。因為隨著風險程度的增加。邊際收益是遞減的，所以風險增加到一定程度后收益會變得無效率。真正有意義的是圖2所描述的風險收益關(guān)系，即風險與相對收益或經(jīng)風險調(diào)整后的收益的關(guān)系。圖2中位于區(qū)域1的公司承擔的風險不夠，它的資本沒有得到充分利用。位于區(qū)域3的公司則承擔了過度的風險，其風險承擔水平超出了公司資本的風險吸收能力和就員工和系統(tǒng)而言的風險管理能力。處在區(qū)域2的公司則找到了風險，收益特征的最佳結(jié)合點，這是所有公司都渴望達到的最佳境界。ERM可以幫助企業(yè)測定整體風險敞口，找到公司的最佳風險收益結(jié)合點，使公司在風險承擔最佳的區(qū)域2高效率運行。

三、整體化風險管理理論

(一)全面風險管理(ERM)的內(nèi)涵

國外文獻中關(guān)于全面風險管理(EnterpriseRisk Management(ERM)的詞匯還有IntegratedRisk Management(IRM)、Holistic Risk Manage-ment、Enterprise-wide Risk Management等。其中“integrated"的直觀解釋是“綜合的、完整的”，含有“整合”的意思；“holistic”為“整體的、全盤的”之意，其含義強調(diào)“整體性”。而“ell-terprise”的直譯解釋為“企業(yè)、進取心”，它在本文中有兩層含義，第一層含義是指審計或過程的控制，強調(diào)在整個企業(yè)范圍內(nèi)連續(xù)有效的控制過程，從管理方法上強調(diào)一種連續(xù)和綜合的方法(consistent and comprehensive)，企業(yè)的所有風險都應該包含在管理或控制范圍內(nèi)；第二層含義是投資與金融中資產(chǎn)組合“portfolio”的同義詞，該含義認為。企業(yè)尤其是金融企業(yè)是風險的集合體，組合風險不僅依賴于單個風險的性質(zhì)，還依賴于風險之間的相互作用和整合嘲?！叭妗边@個詞語包含了“integrated，holistic，enterprise，total”的共同特征。

關(guān)于ERM的定義經(jīng)歷了從百家爭鳴到整合統(tǒng)一的歷程。主要的定義有：KentD，Mfller(1992)提出的整合風險管理(Integrated Risk Management)定義認為整合風險管理是一種從整體上考慮系統(tǒng)面臨的各種風險，建立全瞻性的優(yōu)化組合機制的管理體系。Jerry Miceolis＆Samir Shah(2001)指出，就一般企業(yè)而言，全面風險管理是從企業(yè)所有資源出發(fā)，對企業(yè)的商業(yè)目標形成威脅或為企業(yè)帶來競爭優(yōu)勢的整體風險進行評估和管理的經(jīng)濟活動。就保險企業(yè)而言，全面風險管理是整個保險業(yè)風險與價值的動態(tài)整合優(yōu)化，它包括為實現(xiàn)提高企業(yè)價值的目標而對公司財務風險和操作風險(operational risk)進行評估、減低、融資或利用等技術(shù)手段的選擇，以及對其所采取的財務戰(zhàn)略和經(jīng)營戰(zhàn)略的強化、執(zhí)行和控制。LisaMeulbmek(2002)指出，所謂公司整合性風險管理。就是對影響公司價值的眾多因素進行辨別和評估，并在全公司范圍內(nèi)實行相應戰(zhàn)略以管理和控制這些風險。整合性風險管理的目的就是將企業(yè)的各項風險管理活動納入統(tǒng)一的系統(tǒng)，實現(xiàn)系統(tǒng)的整體優(yōu)化，創(chuàng)造整體的管理效益，提升或創(chuàng)造企業(yè)更大的價值。他在同一年的另一篇文章中強調(diào)，整合風險管理在本質(zhì)上是戰(zhàn)略的，而不是戰(zhàn)術(shù)的。戰(zhàn)術(shù)性的風險管理，其視角窄小有限。William H.Panning(2003)指出，ERM是新的思維方式、測度方式和管理方式的三維統(tǒng)一體，通過這些方式促進管理者實現(xiàn)公司價值最大化。從思維方式上看，ERM是一種理念和文化；從測度方式上看，它具有一定的技術(shù)管理性；從管理方式上看，它是一種行為。2001年北美非壽險精算師協(xié)會(casuahy AeturiaI Society，CAs)在一份報告中，明確提出了全面風險管理(Enterprise-wide Risk Management或Enterprise Risk Manage-ment，即ERM)的概念，并對這種基于系統(tǒng)觀點的風險管理思想進行了較為深入的研究。CAS(2003)對ERM的定義為：ERM是一個對各種來源的風險進行評價、控制、研發(fā)、融資、監(jiān)測的系統(tǒng)過程。任何行業(yè)和企業(yè)都可以通過這一過程提升股東短期或長期的價值。(The process bywhich organizations in aIl industries assess，control，exploit，finance and monitor risks from aJl sources forthe purpose of increasing the organizatien's short andlong term value to its stakeholders，)。隨后，在內(nèi)部控制領(lǐng)域具有權(quán)威影響的COSO委員會，于2004年9月頒布了《全面風險管理一整合框架(Enter-prise Riak Management——Integrated Framework)》報告。報告從內(nèi)部控制的角度出發(fā)，研究了全面風險管理的過程以及實施的要點，是全面風險管理理念在運用上的重大突破。COSO對ERM的定義是：全面風險管理是一個過程，它由一個企業(yè)的董事會、管理當局和其他人員實施，應用于企業(yè)戰(zhàn)略制定并貫穿于企業(yè)各種經(jīng)營活動之中，目的是識別可能會影響企業(yè)價值的潛在事項，管理風險于企業(yè)的風險容量之內(nèi)，并為企業(yè)目標的實現(xiàn)提供保證。

歸納起來一個正確的ERM概念應該包括下面幾個關(guān)鍵要素，它們是：①過程：ERM是一個過程，這個過程貫穿于企業(yè)的各種管理和經(jīng)營活動之中；②對象：ERM的對象是企業(yè)內(nèi)、外部各種來源的風險整體；③主體：ERM的執(zhí)行主體涉及到企業(yè)各個層級的全體員工和所有部門；④目標：ERM的目標是把風險控制在風險容量以內(nèi)。同時為企業(yè)尋找最佳的風險，收益平衡點，最終的目的是提升股東短期或長期的價值。

(二)整體化風險管理方式

傳統(tǒng)風險管理注重風險的來源，認為不同來源的風險應該由不同部門采取不同方法分別處理。而部門之間的溝通和合作非常少，這種風險管理方式被稱為“豎井式(silo approach)”管理方式。豎井。英文silo。為豎井，筒倉之意，silo ap-

proaeh，即孤立的、不與他人聯(lián)系的方式。Shimpi(2001)在其風險管理巨著《整合性公司風險管理》中非常形象的描述了傳統(tǒng)風險管理方式的缺陷：風險就像一頭大象(Risk i8 like an elephant)，傳統(tǒng)的風險管理就像盲人摸象，雖然每個人都摸對了一部分，但總體上來講還是錯的(Thougheach'was partly in the right，and all!were灑thewrong)。ERM沖破了傳統(tǒng)風險管理對風險的狹隘理解，把風險看做一個整體加以考慮，研究和解決的是公司整體的風險暴露和對企業(yè)的整體影響，其核心理念是從企業(yè)整體的角度，對整個機構(gòu)內(nèi)部各個層次的業(yè)務單位和業(yè)務環(huán)節(jié)的各個種類的風險進行通盤管理。因此，現(xiàn)代化的全面風險管理要求一切風險管理活動都要圍繞公司價值最大化這個目標，公司的風險管理活動和投資活動要結(jié)合起來考慮，同時還要考慮新的投資機會對公司原有資本結(jié)構(gòu)的影響，對公司整體風險的影響，從而決定采取什么樣的風險管理策略；現(xiàn)代化的全面風險管理利用先進的技術(shù)手段來估計公司整體風險敞口的風險暴露(如Vat方法)，對于該整體風險的可交易部分(流動性高)進行套期保值，對于不可交易部分(缺乏流動性)則采取風險控制的方法從項目選擇初期就加以考慮，只選擇那些風險回報超過該項目對整體風險的貢獻因素的投資機會；現(xiàn)代化的全面風險管理要求公司上下使用一套統(tǒng)一的風險政策和風險語言，由獨立的風險管理部門向董事會提交關(guān)于公司整體風險敞口的有用信息而不是各個部門的風險暴露信息，因此不會造成關(guān)鍵資源的浪費和重要風險的遺漏?？傊?，在全面風險管理的理論框架下，公司價值增加的過程是風險管理、資本結(jié)構(gòu)、資本預算相互結(jié)合共同作用的過程，如圖3，同時輔以相應的風險文化、組織結(jié)構(gòu)、技術(shù)資源等必要設(shè)施的支持。

四、ERM框架體系

(一)構(gòu)建原則

企業(yè)全面風險管理是一個涉及多個學科、涵蓋方方面面的系統(tǒng)工程，由此構(gòu)建的ERM框架應該是一個多維的、立體的、連續(xù)的管理方案和過程。要構(gòu)建這樣一個管理框架，必須要遵循以下原則：①多維度目標評價體系原則。ERM是以增加股東價值為導向的，而股東價值的多維性決定了ERM必然是一個多目標決策活動，因此要有全面的目標評價體系，以滿足具體情況下不同層次不同價值取向的需要。要實現(xiàn)多目標的風險管理，需要對企業(yè)的目標進行完整的表述，形成全面的目標評價體系，并且使用適當?shù)木C合目標分析方法來幫助制定決策。②多種管理機制配套原則。ERM要求有一個綜合的獨立于其他業(yè)務部門之外的風險管理機構(gòu)，這個機構(gòu)負責制定針對公司所有風險活動的方針政策，并直接向首席執(zhí)行官(CEO)報告；ERM還要求有一個綜合的風險轉(zhuǎn)移策略，該策略在公司整體范圍內(nèi)整合所有類型風險，在充分考慮了各種風險的“天然對沖效應”后，將管理層認為無用的剩余風險通過衍生品或保險轉(zhuǎn)移出去；最后，ERM是管理的攻擊性武器，它需要把風險管理整合到公司的業(yè)務流程中，通過支持和影響定價、資源配置以及其他業(yè)務決策來優(yōu)化企業(yè)績效。因此，ERM是一個涉及公司治理、內(nèi)部控制、部門管理、組合管理、權(quán)益方管理以及數(shù)據(jù)和技術(shù)資源管理在內(nèi)的綜合框架，其中任何一方面的失誤都會影響到整個ERM的效率，某些關(guān)鍵失誤甚至會導致整個ERM系統(tǒng)失效。③經(jīng)驗借鑒和因地制宜相結(jié)合。ERM框架構(gòu)建的目的是為了更準確的反映企業(yè)的風險暴露情況，更高效的管理公司的風險敞口，保證公司的穩(wěn)健經(jīng)營和價值增長。要實現(xiàn)這個目標，一方面在框架主體上要充分吸收和借鑒國外ERM框架的成功經(jīng)驗(如表1所示的行業(yè)經(jīng)驗和綜合標準)，這些經(jīng)驗從較高視角詮釋的ERM框架主體結(jié)構(gòu)適用于不同國家不同行業(yè)的現(xiàn)代企業(yè)；另一方面，在涉及到具體風險評估和制度配套上還要立足于我國的實際情況，充分考慮國內(nèi)消費者獨有的文化、習慣、消費心理特征，充分考慮行業(yè)和企業(yè)的風險管理現(xiàn)狀以及所面臨的獨特的經(jīng)濟、金融和監(jiān)管環(huán)境，立足于中國實際和發(fā)展趨勢設(shè)計出來的ERM框架，才更具有現(xiàn)實意義。

(二)ERM框架

ERM所要做的是了解企業(yè)經(jīng)營活動中所產(chǎn)生的全部風險的同時用最小的成本去管理和利用這些風險，減少損失同時獲取風險溢價?；谶@個考慮，ERM框架應該是從全局高度制定的戰(zhàn)略目標和風險偏好指導、各種策略和配套設(shè)施支持下的連續(xù)風險管理過程(如圖4所示)。其中，ERM策略是從財務上對風險的可能結(jié)果進行的事前處理，是實現(xiàn)風險管理目標的手段。ERM過程是為了確定最優(yōu)的風險管理成本和最有效的資本配置方案，這個過程要便于公司組織內(nèi)部對風險管理的理解和實施，并能主動支持公司的風險管理策略，是進行風險管理決策的基礎(chǔ)。ERM過程要在目標的指導下進行，ERM目標是風險管理的方向，是前面所有努力所要達到的最終結(jié)果，它應該有多個層次多個維度，考慮到企業(yè)不同的價值取向和各個發(fā)展時期。ERM，的配套設(shè)施是實現(xiàn)ERM過程的軟硬件準備，是風險管理效率效果的必要保證。

(三)框架說明

1ERM策略

ERM策略針對的不是單個風險，而是整個公司的風險剩余。從這個意義上說它包括資產(chǎn)規(guī)避、負債規(guī)避、股權(quán)規(guī)避和杠桿管理四個基本策略。不論風險的來源如何，也不管風險從什么方面增加了公司的成本，只要風險對公司價值產(chǎn)生了影響就可以使用這四種策略來管理風險(具體見作者2008年的另一篇文章。總之，全面風險管理策略不僅包括傳統(tǒng)意義上的風險控制和套期保值策略，還包括新型風險管理工具的運用，并且要和公司的投融資策略以及資本結(jié)構(gòu)政策結(jié)合起來，共同為股東和公司關(guān)聯(lián)方利益服務。

2ERM目標和風險偏好

ERM框架要求管理當局采取適當?shù)某绦蛉ピO(shè)定目標，確保所選定的目標切合、支持該主體的使命，并且與它的風險容量相一致。目標制定是一切風險評估和管理過程的前提，因此企業(yè)必須首先制定目標，在此之后，管理層才能識別和評估影響目標實現(xiàn)的風險并且采取必要的行動對這些風險進行管理。制定戰(zhàn)略及其它目標時，必須要考慮企業(yè)的風險偏好或風險容忍度，風險容忍度是指在實現(xiàn)企業(yè)特定目標過程中對差異的可接受程度。風險容忍度應該是明確的、切實可行的、可以衡量的；風險容忍度應該在整個企業(yè)的層面進行適當分配，以便于管理和監(jiān)控；風險容忍度應該要企業(yè)內(nèi)部外部的人都明確知道。ERM，目標應該包括長遠的戰(zhàn)略目標和中短期的經(jīng)營性目標，COSO發(fā)布的《全面風險管理——整合框架(En-terprise Risk Management——Integrated Frame-work)》(2004年9月j將ERM的目標分為：①戰(zhàn)略(strategic)目標，是較高層次的目標。與企

業(yè)的使命相關(guān)聯(lián)并支撐其使命；②經(jīng)營(opera-Sons)目標。保證企業(yè)有效和高效率地利用其資源；③報告(reporing)目標，保證各種報告的可靠性；④合規(guī)(compliance)目標，保證企業(yè)各項經(jīng)營活動符合適用的法律和法規(guī)的規(guī)定。戰(zhàn)略目標的確立把ERM提高到了指導企業(yè)經(jīng)營活動的高度，在市場日趨成熟的情況下。企業(yè)要想長期穩(wěn)定的保持其競爭優(yōu)勢，必須把戰(zhàn)略目標作為首要考慮的目標，其它三個目標要圍繞戰(zhàn)略目標來確立。同樣，在進行風險決策時也要首先滿足戰(zhàn)略目標。

3ERM過程

一個典型的ERM過程應該包括如圖5所示的基本風險管理步驟。首先要在明確企業(yè)使命的前提下制定企業(yè)的戰(zhàn)略目標，戰(zhàn)略目標是在歷史分析的基礎(chǔ)上做出的遠景預測，是對企業(yè)未來的一個把握，這個目標一旦確立。就像一個航標指引著企業(yè)所有的運營活動，包括全面風險管理活動。ERM過程的第一個重要步驟是風險評估。風險管理的有效性依賴于對風險因素識別的全面性和測量的準確性，因此需要有科學的風險評估模型和方法來達到以下目的：使高層管理者可以清楚的觀察到經(jīng)過內(nèi)部對沖之后的“剩余風險”和風險間的“組合效應”；確定用于防范實質(zhì)性風險和抓住新投資機會的資源的配置方案；提供對風險進行客觀、持續(xù)檢測的模型?；谝陨夏康?，風險評估應該包括以下幾個步驟：①識別風險因素。這里要考慮到所有可能對公司目標產(chǎn)生影響的因素，不僅包括威脅，也包括機會。風險因素的來源可以是公司內(nèi)部也可以是公司外部，可以是經(jīng)濟社會環(huán)境也可以是各項業(yè)務或財務，這些風險因素的一個共同特征就是它的存在會影響到公司的各項目標的實現(xiàn)。識別風險因素的方法主要是定性的征求專家意見和審查各種文檔資料，這些專家和資料包括來源于公司外部的資源，如公司的合作方或客戶；識別的結(jié)果包括各種風險因素的發(fā)生的可能性、可預測性和對組織關(guān)鍵績效指標的影響程度以及組織目前對該風險因素在硬件系統(tǒng)和觀念上的準備情況。另外還要注意，ERM關(guān)于風險因素的識別是一個自上而下的過程，它是以各項業(yè)務為出發(fā)點，而不是風險檢查表，以保證風險因素識別的全面性。這一部分的風險評估已經(jīng)包括了風險的量化，是風險管理活動的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。也是最難操作的環(huán)節(jié)，這一環(huán)節(jié)結(jié)果的真實性直接影響到整個風險評估步驟的準確性。②風險因素排序。前面所識別出來的風險因素需要經(jīng)過排序才能方便的被使用，常常由專家小組來對各種風險因素進行評估和打分，再根據(jù)各項因素的分值進行排序，排序的目的是篩選出對公司影響嚴重的關(guān)鍵風險因素。③風險因素分類。為了和下一步的風險控制和風險利用順利的銜接，還必須對風險因素進行排序，以確定哪些因素需要加以控制，哪些因素可以被利用。關(guān)于風險因素的分類要結(jié)合行業(yè)的特征，一般可以按風險來源(如來源于外部環(huán)境還是來源于公司內(nèi)部)或風險管理的難易程度(如屬于公司已經(jīng)熟悉并具備現(xiàn)成的軟硬件系統(tǒng)去處理的“可管理的風險因素”，還是屬于公司不熟悉的或缺乏應對這種風險因素的資源的“戰(zhàn)略性風險因素”)進行分類。經(jīng)過分類的風險已經(jīng)可以區(qū)分出盈利機會和損失可能，可以直接為接下來的風險處理過程所用。

風險處理包括兩方面的內(nèi)容，風險控制和風險利用。因為通過前面的風險評估已經(jīng)把風險進行了排序和分類，列出了關(guān)鍵的損失可能和盈利機會，所以接下來要做到是對這些關(guān)鍵風險進行管理。風險控制是管理不利風險的風險評估步驟，其目的是確保企業(yè)承擔的風險總量與企業(yè)總風險容量相一致。風險控制分析的技術(shù)方法有三種：情景分析、經(jīng)濟資本金和風險指標或稱早期預警系統(tǒng)；風險控制過程包括以下四步：首先要為每個關(guān)鍵風險因素建模，確定它們的概率分布和相關(guān)性，其次利用一個隨機財務模型把這些不同風險因素的分布和一個基礎(chǔ)性財務指標(如現(xiàn)金流指標)聯(lián)系起來，第三步是利用隨機財務模型對各種風險控制策略進行評估，最后是利用優(yōu)化組合方法給出最優(yōu)的ERM預算。風險利用專注于優(yōu)化公司的風險/收益特征，以確保公司承擔的風險具有最高的經(jīng)風險調(diào)整收益率。風險利用的分析方法主要有風險價值VaR(value at Risk)方法、經(jīng)風險調(diào)整資本收益率(risk-adjusted return of on capital。RAROC)、經(jīng)濟創(chuàng)收(economic income ereatee,EIC)、股東價值(shareholder value，SHY)和股東增加值(shareholder value-added，SVA)等。通過風險處理，企業(yè)的風險，收益結(jié)構(gòu)得到優(yōu)化。公司的風險特征有了實際改變，股東價值得到增加，這些都是風險控制和風險利用的結(jié)果。而風險評估是實施風險控制和利用的必要鋪墊。

ERM過程的最后一個關(guān)鍵步驟是風險管理效果監(jiān)控。因為在動態(tài)的風險環(huán)境中，各種風險以及風險對企業(yè)影響的方式是不斷變化的，隨著企業(yè)風險管理技能的提高原本不擅長管理的威脅也許會變成企業(yè)新的機會，同樣，原本的機會由于新的競爭對手的加入可能不能繼續(xù)帶給企業(yè)合意的風險溢價而被企業(yè)放棄，因此需要不斷輸入新的風險因素變量、不斷對ERM過程進行檢驗。風險管理效果監(jiān)控的另一個原因是我們對風險和風險管理認識的局限性造成了ERM過程中所使用的模型自身的不完美性，原有的風險量化模型和風險控制方法經(jīng)過實踐的檢驗也許需要改進或替換?？傊?。ERM過程應該是一個動態(tài)的循環(huán)過程，這個過程在實際運行中不斷得到充實和完善。

4ERM配套設(shè)施

ERM的配套設(shè)施主要有六個，之所以把這六個部分作為ERM的配套設(shè)施是因為這些部分各自是一個研究領(lǐng)域，它們和風險管理密切相關(guān)卻又不完全相同，它們不完全屬于風險管理卻對風險管理有至關(guān)重要的影響，一個成功的風險管理系統(tǒng)需要這些部分成功運作的支持。因此把這些和風險管理密切相關(guān)的研究領(lǐng)域統(tǒng)稱為ERM的配套設(shè)施，任何一種設(shè)施的缺位或失誤都可能影響ERM的效率效果，甚至某些關(guān)鍵失誤會導致整個ERM系統(tǒng)失效。下面分別介紹這些領(lǐng)域以及它們和風險管理的關(guān)系。

(1)公司治理。首先，公司治理包含了強化風險管理的內(nèi)容，許多企業(yè)的公司治理準則都明確提出風險管理是董事會的一項主要職責，戴易報告和經(jīng)濟合作與發(fā)展組織(Organization for E-conomic Cooperation and Development,OECD)的公司治理準則公開提出，董事會有責任確保適當?shù)娘L險管理系統(tǒng)和政策到位。其次，二者的最終目標一致，同樣關(guān)注戰(zhàn)略方向、公司整合以及來自公司最高層的動機。巴塞而銀行監(jiān)管委員會2005年公布的《加強銀行機構(gòu)公司治理》(Basel，2005)的征求意見稿中明確指出：“良好的公司治理應該為董事會和管理層提供恰當?shù)募钊プ非笈c公司利益和股東價值相符的目標，并且有利

于對各方面的有效監(jiān)督?！边@與ERM的最終目標是一致的。第三，良好的董事會常規(guī)和公司治理是有效實施企業(yè)風險管理的必要條件。董事會的積極參與能促進ERM的研發(fā)與成功，而公司治理的缺陷將導致內(nèi)部控制和風險管理從根本上失效。一個有效的風險管理和內(nèi)部控制體系應該建立在良好的公司治理的基礎(chǔ)上。由高層領(lǐng)導制定基調(diào)并且身體力行開展風險管理工作，以保證風險管理的獨立性，并且他們本身的活動應該成為監(jiān)督和管理的首要對象。

(2)內(nèi)部控制。如果將控制理解為對目標實現(xiàn)過程的管理，而把風險理解為結(jié)果對目標的偏離，那么，內(nèi)部控制顯然是金融機構(gòu)歷史最悠久的風險管理機制。內(nèi)部控制活動主要表現(xiàn)為與業(yè)務管理密切相關(guān)的各項規(guī)章制度的制定和執(zhí)行的監(jiān)督活動，因此，內(nèi)控活動和業(yè)務管理活動實際上是融為一體的，業(yè)務部門承擔主要的內(nèi)控責任，而審計部門則負責內(nèi)部控制有效性的評估和監(jiān)督。企業(yè)需要就各業(yè)務單位在日常運作中所面對的風險(戰(zhàn)略性風險、業(yè)務性風險、流程性風險等)構(gòu)建內(nèi)部控制(包括預防性控制及覺察性控制)，以確保企業(yè)能實現(xiàn)目標和符合各方面的法律。法規(guī)。企業(yè)還要對其內(nèi)控系統(tǒng)不間斷地進行監(jiān)控和測試，以確保其對風險控制的能力，把各類風險控制在可接受的水平，并在這基準上賺取合理的回報。1992年COSO委員會發(fā)布了《內(nèi)部控制——綜合框架》(COSO，1992)，在國際上被廣泛接受。該框架將內(nèi)部控制定義為：內(nèi)部控制是一個依靠包括董事會、管理層和其他員工參與，保證實現(xiàn)公司經(jīng)營活動的有效性和效率、財務報告的可靠性和對法律法規(guī)的遵循性三大目標的過程。內(nèi)部控制是ERM的一個重要組成部分，它曾經(jīng)在早期風險管理中代替風險管理的職能行事，內(nèi)部控制和公司治理共同保障風險管理的有效實施，兩者中的任何一個出現(xiàn)問題，所有風險管理技術(shù)和方法的有效性就失去了前提和保障。

(3)組織和部門管理。理想的風險管理組織結(jié)構(gòu)是由一個獨立的風險管理部門來負責實施日常的風險管理，這個部門的領(lǐng)導(風險總監(jiān))向上可以直接向CEO或董事會報告，以保證風險管理部門的權(quán)力和其工作的客觀性，向下可以和各個部門通力合作匯總公司的整體風險敞口(如圖6)。在設(shè)置ERM組織結(jié)構(gòu)時，要注意處理好風險管理部門和業(yè)務部門的關(guān)系，理想的ERM框架下風險管理部門和業(yè)務部門之間應該形成一種伙伴關(guān)系。在這種關(guān)系下，風險管理部門不是嚴格意義上的監(jiān)督部門，而是完全融入到了企業(yè)的各項業(yè)務中，在業(yè)務進行的最前端(產(chǎn)品開發(fā)和定價階段或做投資決策時，就和業(yè)務部門一起處理風險／收益問題，并擁有共同的目標。這只是一種理想的狀況，現(xiàn)實生活中，即使盡最大努力選擇和優(yōu)化風險管理部門與業(yè)務部門之間的關(guān)系模式，分別追求業(yè)務增長和風險控制的兩個部門間的沖突仍是不可避免的。所以還應該有一些解決雙方矛盾的辦法來幫助兩個部門伙伴關(guān)系的形成。保證風險管理部門和業(yè)務部門的一致行動，減少部門間的摩擦成本。

(4)關(guān)聯(lián)方利益管理。關(guān)聯(lián)方包括任何支持和參與公司的生存和成功的團體和個人，主要包括：雇員、客戶、供應商、商業(yè)伙伴、投資者、監(jiān)管者、股票分析專家、信用分析專家以及評級機構(gòu)等，這些關(guān)聯(lián)方中的每一個都是公司成功的要素，關(guān)聯(lián)方流失會給企業(yè)帶來巨大的成本。如員工流失成本(尤其是流失到競爭對手那里，伴隨技術(shù)和商業(yè)信息流失將會給企業(yè)帶來莫大的損失)。在美國，有研究表明替換一個工人所帶來的招聘和培訓費用大概為待聘職位薪金的1～2.5倍。職位越復雜費用越高，而伴隨其中的技術(shù)和商業(yè)信息流失造成的無形損失則更高?？蛻袅魇С杀疽彩侨绱?，一般說來贏得一個新客戶的代價至少是留住一個老客戶的5倍，因為老客戶一般購買的更多、對價格更不敏感，并且常常為公司帶來新客戶。公司進行的風險管理活動可以保證公司更容易兌現(xiàn)對關(guān)聯(lián)方的承諾，與支付高額成本來維護關(guān)聯(lián)方關(guān)系相比，對風險進行套期保值的成本更低。因此，關(guān)聯(lián)方關(guān)系管理是風險管理的一個重要組成部分，是風險管理增加公司價值的重要途徑。

(5)數(shù)據(jù)和技術(shù)資源?？捎玫娘L險管理數(shù)據(jù)主要是組合數(shù)據(jù)和市場數(shù)據(jù)。組合數(shù)據(jù)包括在不同的前臺后臺系統(tǒng)收集到的風險頭寸；市場數(shù)據(jù)則包括價格、波動率和相關(guān)系數(shù)。為了保證這些數(shù)據(jù)的質(zhì)量，還要建立數(shù)據(jù)搜集的適當標準和流程。數(shù)據(jù)資源的兩種獲取途徑分別是會計系統(tǒng)和前臺交易系統(tǒng)，而前臺交易系統(tǒng)可以提供許多客戶的第一手資料。技術(shù)資源主要指用來進行風險量化分析和經(jīng)風險調(diào)整定價的計算機功能軟件，包括數(shù)據(jù)轉(zhuǎn)換界面、數(shù)據(jù)轉(zhuǎn)換中間設(shè)備(messag-ing-oriented middleware，MOM)(幫助減少風險管理實施時間，對點對點界面的改進)、定價分析系統(tǒng)和ERM模型實施所需技術(shù)資源等。這些資源可以通過自建、購買、定制或外包的方式來獲得。數(shù)據(jù)和技術(shù)資源一起支持公司的風險分析和風險處理過程。

(6)積極組合管理。組合管理提供了風險管理與公司價值最大化的直接聯(lián)系。它要求企業(yè)像管理基金一樣對公司總體風險進行組合管理，充分利用組合內(nèi)各種風險的“天然對沖”效應和分散化效應，建立組合目標和適當?shù)娘L險限制以確保獲得最佳組合回報率。這意味著把公司面臨的諸如負債、投資、利率以及所有其它風險作為一個有機的整體加以管理，以實現(xiàn)總體風險，收益最優(yōu)化。