全面風險管理理論與實踐

張?zhí)K玉

在20世紀30年代，美國企業(yè)為應對經(jīng)營上的危機，許多大中型企業(yè)都在內(nèi)部設立了保險管理部門，負責安排企業(yè)的各種保險項目，這是企業(yè)內(nèi)部控制和風險管理的雛形。當時進行實踐的主要是有金融背景的企業(yè)，其中包括信孚銀行、J.P摩根、GE資產(chǎn)管理公司等，他們開發(fā)風險管理的分析工具，初步形成了風險管理的框架和專職風險管理崗位；90年代中期，金融行業(yè)的實踐傳授給了各行各業(yè)的市場領袖或者跨國巨頭企業(yè)，例如杜邦公司、微軟公司、摩托羅拉等跨國企業(yè)。2000年前后跨國公司的全面風險管理已經(jīng)形成，走在前列的公司通過實施周期性風險評估，進一步推進風險量化技術的應用，不斷改進風險應對策略，應用合理化和系統(tǒng)化風險管理工具，推進風險文化的建設，推進“管理風險，創(chuàng)造價值，績效最大化”的實踐。目前跨國企業(yè)所致力的實踐主要包括：如何將企業(yè)關鍵業(yè)績的促進或者將企業(yè)目標的實現(xiàn)與風險管理的能力發(fā)揮聯(lián)系起來，如何將企業(yè)傳統(tǒng)的企業(yè)決策某些基準改變?yōu)轱L險調(diào)整基準，如何應用和開發(fā)對提升企業(yè)競爭力具有意義的風險量化技術，如何將風險管理更好的融入到企業(yè)的日常業(yè)務中。從風險管理的歷史沿革看，風險管理已從20世紀初純粹的風險管理、50年代的財務風險管理90年代的金融風險管理演化到整體化風險管理。

伴隨著實踐，風險管理理論得到完善，從澳大利亞AS/NZS 4360 1995：1999風險管理標準的開展，到美國AIRMIC/ALARM/IRM：2003.10標準的確立，對風險管理的認識從只是負面到包括正面，認識到了風險管理是一個不可認證的過程，沒有固定的處方。直到COSO ERM：2004.9（企業(yè)風險管理—整合框架）的實施，為各國企業(yè)風險管理提供了一個統(tǒng)一與概念體系的全面的應用指南。

我國在2006年由國務院國資委頒布了《中央企業(yè)全面風險管理指引》，2009年，ISO-31000為核心的的風險管理系列標準出臺，我國在2009年12月發(fā)布了GBT24353風險管理原則與指引，GBT23694風險管理術語等一系列風險管理相關文件，這些標準的出臺，定義了風險管理的框架、方法論和重要風險領域的管理原則，全面風險管理的理念不斷與國際接軌。目前全球企業(yè)基本上是按照ISO-31000“風險管理的原則和指引”來建立ERM的體系框架。

COSO的定義指出，企業(yè)風險管理是由一個實體的董事會、管理層、和其它相關人員共同設立、用于戰(zhàn)略制定和整個企業(yè)范圍的管理過程，它的功能是識別那些會影響該實體的潛在事件并把風險管理到實體可接受的風險承受水平內(nèi)，為實體目標的實現(xiàn)提供合理保證。

從COSO的定義及整合框架中，我們可以看出以下幾點：

一、全面分風險管理應用于戰(zhàn)略、應用于整個企業(yè)，包括每個級別和單位，是由人們實行不僅包括政策、調(diào)查和表格，還包括企業(yè)各個級別的人員的一個管理過程，被用于辨識潛在的可能會影響企業(yè)的事件和將風險控制在可接受的范圍內(nèi)。突出了整體化風險管理的內(nèi)容，上升到與企業(yè)戰(zhàn)略管理相同的從避免損失到創(chuàng)造價值的高度。

二、風險管理不是要將所有的風險都控制住，不允許風險損失，而是要將風險控制在“承受水平”內(nèi)，風險管理的意義在于可以使企業(yè)的經(jīng)營更加穩(wěn)健，注重的是對過程的控制和考核。

三、企業(yè)風險管理的4類目標（戰(zhàn)略目標、經(jīng)營目標、報告目標、合規(guī)目標）與風險管理的8個要素（內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控）及風險管理的不同主體（企業(yè)層面、子公司、業(yè)務單元等）是一個立體的多維度組合。

四、風險識別需要區(qū)別風險與機會，從兩個角度—可能性和影響—對事項進行評估，采取定性、定量相結(jié)合的方法（重點是利用概率技術和非概率技術）評估固有風險（未采取措施的風險）和剩余風險（采取措施后的殘余風險），從而決定風險的應對策略。

五、風險管理是一種具有風險意識的企業(yè)文化，要融入到企業(yè)文化建設的全過程，保障企業(yè)風險管理目標的實現(xiàn)。

我國企業(yè)風險管理建設中應注意的問題：

（一）抓好公司的治理結(jié)構(gòu)建設：風險管理已經(jīng)進入企業(yè)的決策層，需要專門的機構(gòu)負責推進和實施，做好組織保障和溝通協(xié)調(diào)工作，使之處于公司治理的頂層，保證工作的有序開展（如設立董事會之下，經(jīng)理層之上的風險管理委員會或董事會辦事機構(gòu)等）。

（二）全面風險管理工作體系在執(zhí)行層應建成信息收集、風險評估、風險策略、解決方案、監(jiān)督與改進的閉環(huán)系統(tǒng)，并在其中多運用定量分析技術決定風險策略，改變我們長期以來風險管理不系統(tǒng)、缺整合，重視程序但缺少標準，重視控制但缺少預防的現(xiàn)狀。

（三）全面風險管理的管理保障體系要注重激勵考核，通過對不同層次人員的不同技術方法培訓，不斷完善風險信息系統(tǒng)，使風險管理職能與現(xiàn)有職能有效融合，確保風險指標全面、具有操作性，并通過激勵、考核營造企業(yè)的風險管理文化。

參考文獻：

[1]ISO31000 風險管理標準（譯文）.

[2]COSO企業(yè)風險管理——整合框架.

[3]COSO （The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）.

[4]ERM （Enterprise Risk Manage-ment Framework）.

（作者單位：舞陽鋼鐵有限責任公司）