曹 蕾，唐 瑋

(1.東北財經(jīng)大學會計學院，遼寧 大連 116025；2.安徽財經(jīng)大學會計學院，安徽 蚌埠 233030)

改革開放40年來，我國的經(jīng)濟發(fā)展取得了舉世矚目的成就，經(jīng)濟的快速增長為金融的發(fā)展提供了必要的空間，但同時也帶來了各種挑戰(zhàn)。經(jīng)濟的發(fā)展離不開金融，商業(yè)銀行作為一種經(jīng)營風險的金融企業(yè)，對內面臨金融創(chuàng)新的內在需求，對外面對日趨嚴苛的風險監(jiān)管和激烈的行業(yè)競爭，再加上長期性、基礎性、結構性、制度性等因素的共同作用，銀行業(yè)的風險過高已經(jīng)成為不爭的事實。我國經(jīng)濟發(fā)展正在經(jīng)歷由高速增長的階段轉向高質量發(fā)展的階段[2]，商業(yè)銀行想要獲得可持續(xù)發(fā)展，還需要進一步加深對風險管理的理解程度和進一步提高自身的風險管理能力。

近年來，風險管理問題備受關注。2008年財政部等五部委聯(lián)合印發(fā)《企業(yè)內部控制基本規(guī)范》；2013年財政部引進并翻譯美國反虛假財務報告委員會的下屬發(fā)起委員會(以下簡稱COSO委員會)發(fā)布的第二版《企業(yè)內部控制框架》，這兩個規(guī)范均強調內部控制應該和風險管理相結合。繼2004年COSO委員會發(fā)布第一版《企業(yè)風險管理——整合框架》[3](以下簡稱COSO-ERM-2004)之后，以及在2009年國際標準組織發(fā)布第一版《風險管理指南》的同時，我國也于2009年同步頒布了國家標準《風險管理：原則與實施指南》，這說明我國的標準制定者在企業(yè)風險管理方面思維超前，也極大地推動了企業(yè)風險管理意識的逐漸增強。與此同時，隨著復雜多變的外部環(huán)境和日新月異的技術革新，新的風險逐漸出現(xiàn)，風險管理的復雜性程度不斷升級。2017年9月6日，COSO委員會正式發(fā)布第二版《企業(yè)風險管理——與戰(zhàn)略和績效的整合》(以下簡稱COSO-ERM-2017)[4-5]，2018年國際標準組織也發(fā)布第二版ISO31000《風險管理指南》，提出了風險管理工作應該更好地與企業(yè)戰(zhàn)略和績效相融合的全新理念要求。作為金融核心主體的商業(yè)銀行，急需根據(jù)全新的風險管理理念提高風險管理能力來調整自身以應對外部壓力和提升企業(yè)價值。

一、對風險和風險管理的全新認識

隨著風險管理實踐的深入，雖然對于風險的定義一直在演變，目前為止仍未形成最廣泛的共識，但不可否認的是人們對風險的認識在不斷加深。

(一)對“可能性”的重新解讀

COSO-ERM-2017對于風險的定義較之COSO-ERM-2004發(fā)生了根本性的變化(如表1所示)。通過對比可以發(fā)現(xiàn)，兩個版本中對風險的詮釋都用了“可能性”一詞，但是兩次的含義卻大不相同。COSO-ERM-2004將風險和機會視為一組相對的概念，認為風險是妨礙或破壞現(xiàn)有價值的負向概率；機會相對于風險則是正向概率，它能夠維持價值或創(chuàng)造價值。COSO-ERM-2017顛覆了對風險的原有認識，這里的“可能性”具有雙向性，可以是妨礙或破壞價值造成的負的影響，也可以是維系或創(chuàng)造新價值帶來的正的影響，所以風險可能會導致?lián)p失，也可能會是機遇。一般情況下，組織通常關注到的風險是那些具有負面影響可能性的事項，而對于那些具有正面影響可能性的事項也應該納入考慮的范圍之內，因為它對某一目標可能帶來正面影響，但有可能同時限制其他目標的實現(xiàn)。新的風險定義給我們帶來的啟示是：組織花費一定的時間來預測可能性和不可能性以及事件可能發(fā)生的概率是值得的，因為在面對市場變化和資源有限的情況下，提高組織適應變化的能力不僅使組織在面對風險時更加具有柔性，同時也會增強組織能夠承擔風險的信心，從而更好地實現(xiàn)可持續(xù)的價值創(chuàng)造。

表1 COSO-ERM-2004與COSO-ERM-2017風險定義的比較

(二)風險管理的新內涵

COSO-ERM-2017對于風險管理的定義是顛覆性的(如表2所示)。通過比較可以看出，COSO-ERM-2004對于風險管理的理解是一個流程或者一個程序，認為風險管理是內部控制活動的一種[6]。COSO-ERM-2017將風險管理的內涵提升為一種將組織和戰(zhàn)略整合的“文化、能力和實踐”，它更傾向于認為風險管理是有利于企業(yè)創(chuàng)造、保持和實現(xiàn)價值的綜合治理活動，并且融合于公司治理、績效管理、內部控制、商業(yè)運營等各方面。COSO-ERM-2017強調了風險管理在創(chuàng)造、保持和實現(xiàn)價值過程中的作用[4]。更重要的是風險管理不再把工作重點放于預防價值損失，而是被嵌入到戰(zhàn)略制定、績效達成、價值創(chuàng)造的過程中；風險管理不再是只關注將風險控制和降低在可接受范圍內，而是成為核心價值鏈管理中一個動態(tài)的和不可分割的重要組成部分。

表2 COSO-ERM-2004與COSO-ERM-2017風險管理定義的比較

(三)風險管理的框架

COSO-ERM-2017以5個要素為基礎，以20條原則為導向，以價值提升為目標，以風險管理與戰(zhàn)略和績效融合為路徑，強調風險管理在企業(yè)價值創(chuàng)造、保持和實現(xiàn)過程的重要作用。

在要素構成和原則方面，COSO-ERM-2017將COSO-ERM-2004的8個要素(內部環(huán)境；目標制定；事項識別；風險評估；風險反應；控制活動；監(jiān)控；信息和溝通)整合為5個要素(治理和文化；戰(zhàn)略和目標設定；執(zhí)行；審閱與修訂；信息、溝通與報告)[4]。具體來看，治理和文化要素是由內部環(huán)境要素發(fā)展而來，這里的一個重要變化是突出了文化在風險管理中的重要性及其對其他要素的影響；戰(zhàn)略和目標設定要素在原有的目標制定要素基礎之上，提升和擴展了風險管理對戰(zhàn)略層面的作用，強調風險管理與戰(zhàn)略和組織目標之間的關系；執(zhí)行要素是對原來三個要素(事項識別、風險評估、風險反應)的整合，并剔除控制活動要素，由此可見，將與控制有關的內容留給內部控制框架，使得風險管理框架和內部控制框架原本模糊的界限得以澄清，兩個框架各司其職，側重點有所不同；審閱與修訂要素在原來的監(jiān)控要素基礎之上，強調了風險管理改進；信息溝通與報告要素是對原來的信息和溝通要素的深化，通過信息獲取、溝通交流、報告?zhèn)鬟f，是使風險管理成為一個動態(tài)、系統(tǒng)框架的前提(如表3所示)。

表3 COSO-ERM-2017企業(yè)風險管理框架的要素和原則

在框架結構方面，COSO-ERM-2017告別了COSO-ERM-2004的立方體框架，而是將五要素整合成為螺旋式的結構(如圖1所示)，使風險管理融合于管理工作的全方位、全過程，與組織的文化、能力、實踐融為一體。從圖1可以看出，這種螺旋式的框架突出了風險管理在企業(yè)管理過程中的定位，企業(yè)風險管理工作的重心不再是防止損害企業(yè)價值的事件發(fā)生或者把風險降低到可接受范圍內，而是把風險管理視為在戰(zhàn)略制定、創(chuàng)造、保持和實現(xiàn)價值時不可或缺的重要組成部分。企業(yè)風險管理不是企業(yè)高層或者單獨的風險管理部門的工作，而是把每一個人都視為風險管理者，并主動進行風險管理。企業(yè)風險管理不再是一項額外的工作，而是融入到企業(yè)的所有業(yè)務流程中去，從制定戰(zhàn)略、到規(guī)劃商業(yè)目標、再到達成績效，并最終實現(xiàn)價值的創(chuàng)造。所以，企業(yè)風險管理以一種動態(tài)的、螺旋式的方式，融入于組織管理活動和核心價值鏈之中。這個框架帶給我們很大的啟示，它描述了如何將一項職能整合融入主體的其他正在運行的業(yè)務活動中去的方法，這給企業(yè)帶來一種全新的管理思路。

注：五條螺旋上的數(shù)字分別代表：1表示治理和文化；2表示戰(zhàn)略和目標設定；3表示執(zhí)行；4表示審閱與修訂；5表示信息、溝通與報告。

二、風險管理的新思維

(一)無為而治：去風險化的新思維

在全新的思維模式下，風險管理融合到組織運營的各個方面，更新后的《企業(yè)風險管理——與戰(zhàn)略和績效的整合》(COSO-ERM-2017)中五大要素在名稱上去掉“風險”二字，這一變化體現(xiàn)了對企業(yè)風險管理工作重新定位，風險管理不再是一個附加的或者獨立的活動或者過程，而是拋棄自我真正融入戰(zhàn)略和績效管理的工作中去，在戰(zhàn)略制定、商業(yè)目標設置和業(yè)績實踐的方方面面，通過組織運營、績效管理以及價值創(chuàng)造、實現(xiàn)和維持的方式來體現(xiàn)出企業(yè)風險管理的重要性和作用。以這種去風險化的思維進行風險管理的做法可謂是化有形為無形，恰是遵循客觀規(guī)律而為之的體現(xiàn)，與《道德經(jīng)》中“無為而治”的思想不謀而合。

(二)水乳交融：將風險管理融合于企業(yè)戰(zhàn)略和績效之中

更新后的《企業(yè)風險管理——與戰(zhàn)略和績效的整合》(COSO-ERM-2017)強調了在戰(zhàn)略制定和績效執(zhí)行的過程中，考慮風險的重要性。充分考慮風險管理與其他管理工作的關系，顛覆以往那種為了風險管理而進行風險管理的思維模式，注重將風險管理融入到現(xiàn)有的管理活動中。通過深入了解風險管理在戰(zhàn)略制定和執(zhí)行中的作用，增強組織績效與企業(yè)風險管理之間的一致性，以滿足對治理和監(jiān)督的需求。這需要從企業(yè)使命、愿景和核心價值出發(fā)，將風險管理定位為提升企業(yè)的價值，強調嵌入企業(yè)管理業(yè)務活動和核心價值鏈，滿足企業(yè)更高層次的需求。

(三)各司其職：厘清風險管理與內部控制的關系

為了解決1992年頒布的《內部控制整合框架》中過分注重財務報告，而忽略了從全局和戰(zhàn)略的高度來關注企業(yè)風險的問題，2004年COSO委員會頒布《企業(yè)風險管理——整合框架》(COSO-ERM-2004)，順應了內部控制與企業(yè)風險管理相結合的需要。但是，這兩個框架在要素上非常接近，內容上高度重合，使得風險管理和內部控制界線模糊不清，關系尚未理順，職能交叉重疊，因此，在實施過程中形成很多困惑，協(xié)調成本高，造成資源的浪費。

《內部控制整合框架》適用于設計、執(zhí)行、評價內部控制效力，并提出相關報告，主要解決主體的運營和對于相關法律法規(guī)的遵從性上[7]。更新后的《企業(yè)風險管理——與戰(zhàn)略和績效的整合》(COSO-ERM-2017)則著眼于內部控制以外的必要領域，并將內部控制視為風險管理工作的一個基本方面。COSO-ERM-2017以企業(yè)使命、愿景和核心價值為起點，將風險管理融入到企業(yè)管理業(yè)務活動和核心價值鏈，以達到提高組織價值的目標。COSO-ERM-2017的頒布解決了長期以來風險管理和內部控制界限模糊不清的問題，厘清了風險管理和內部控制之間的關系，兩者側重點各不相同，互為補充，互不替代。

三、我國商業(yè)銀行風險管理現(xiàn)狀與問題

(一)《巴塞爾協(xié)議》與我國商業(yè)銀行風險管理

《巴塞爾協(xié)議》對我國商業(yè)銀行風險管理的發(fā)展歷程有很大影響[8]。20世紀90年代以前，我國商業(yè)銀行風險管理主要是被動式管理。自1988年我國引入《巴塞爾協(xié)議》并陸續(xù)出臺一系列銀行風險管理的相關制度和舉措，風險管理的理念逐漸被接受。商業(yè)銀行開始主動建立專門的風險管理部門，同時也制定了很多風險管理的相關原則、制度辦法以提高商業(yè)銀行的風險管理水平。信貸風險的管理成為這一時期風險管理工作的主要內容。2009年，我國正式加入巴塞爾銀行監(jiān)管委員會(Basel Committee on Banking Supervision，簡稱巴塞爾委員會)，我國商業(yè)銀行進入到主動研究《巴塞爾協(xié)議》的改進和推動《巴塞爾協(xié)議》在中國應用的新階段。我國商業(yè)銀行借鑒國際風險管理的先進經(jīng)驗，推行覆蓋信用風險、市場風險、操作風險的全面風險管理模式[9]。

(二)我國商業(yè)銀行風險管理的現(xiàn)狀

1. 風險管理復雜性程度的提高與風險管理理念相對滯后之間的矛盾

隨著復雜多變的外部環(huán)境和日新月異的技術革新，新的風險不斷出現(xiàn)，商業(yè)銀行風險管理的復雜性程度也隨之升級，理念上的革新才能帶來適應商業(yè)銀行發(fā)展需要的科學的管理模式。在風險管理的意識和理念方面，我國相對滯后甚至有所偏差，常常把風險管理工作視為一項獨立的任務，認為風險管理阻礙了追求眼前的業(yè)績，因此想方設法規(guī)避監(jiān)管要求。在風險管理參與范圍方面，認為風險管理只是高層管理人員或者監(jiān)督部門的工作范疇，全員參與風險管理的意識薄弱，對于風險管理的重要性認識不足，對風險管理的執(zhí)行力不夠。

2. 銀行業(yè)務不斷創(chuàng)新的強烈內在需求與管理流程不完善之間的矛盾

隨著大數(shù)據(jù)、智能化、移動化、云計算等新技術的快速進階，商業(yè)銀行面臨擁抱金融科技的時代需求，對我國商業(yè)銀行的金融創(chuàng)新提出新方向、新焦點、新思路。但由于商業(yè)銀行在風險管理流程上的不完善決定了其發(fā)展受到一定程度的制約。在風險管理的執(zhí)行層面上，我國商業(yè)銀行在風險策略、風險識別、風險評估、風險應對以及風險管理評價、審閱和改進方面尚未形成完整的風險管理流程體系[10]，風險管理在戰(zhàn)略上缺乏整體性、系統(tǒng)性、全局性、主動性，不同類型的風險管理之間缺乏聯(lián)動性，前、中、后臺的部門和人員之間仍然存在信息孤島，信息的利用與溝通尚未得到有效的保障。

3. 資本需求的迫切性與資本供給的不可持續(xù)性之間的矛盾

經(jīng)濟的發(fā)展推高了商業(yè)銀行信貸的增長，資本需要補充，在日趨嚴格的資本監(jiān)管約束下，商業(yè)銀行的資本補充需求越發(fā)迫切。然而，目前的資本充足率情況是由于前幾年資產(chǎn)剝離和高利差的環(huán)境而得以維持，再加上長期以來我國商業(yè)銀行的融資渠道主要依賴于增發(fā)和發(fā)債等外源性融資，隨著利率市場化進程的加快、存貸利差的收窄，以往的融資來源難以長期持續(xù)。資本補充需求的迫切性與融資渠道的不可持續(xù)性之間的矛盾，必然影響未來的資本充足率的穩(wěn)定性[11]。

四、我國商業(yè)銀行風險管理新框架

商業(yè)銀行在追求目標的過程中每一個選擇都存在風險，在制定和執(zhí)行戰(zhàn)略、業(yè)績管理時，有效的風險管理有助于商業(yè)銀行從更大的范圍中選擇機會，增加積極效應并減少負面效應發(fā)生的可能性，完善資源配置，優(yōu)化結果。

COSO-ERM-2017提供的企業(yè)風險管理框架給商業(yè)銀行管理帶來了很多的啟示。首先，對于風險定義中可能性理解由單一關注負面影響的可能性拓展為負面影響和正面影響兼顧，體現(xiàn)了混沌理論的“隨機結果”的思想。其次，以螺旋式的結構將風險管理要素鏈接起來，動態(tài)展示風險管理與戰(zhàn)略和績效之間的關系，體現(xiàn)了復雜系統(tǒng)理論中分析事物時使用非線性結構思維替代簡單的兩元結構思維。西方科學的方法和前沿的思維，值得我們認真探究。

如果用更加符合中國人思維習慣的表述來闡述同樣的道理，應該會更有利于使用者的理解和新框架的傳播。本文嘗試用中國傳統(tǒng)文化的哲學思想重新詮釋COSO-ERM-2017企業(yè)風險管理的新思維(如圖2所示)，這不僅是對中國傳統(tǒng)文化的繼承與發(fā)展，也是基于“中魂西制”對于COSO-ERM-2017在中國情境下在商業(yè)銀行應用路徑的新探索。

——追求圓滿，善始善終。太極圖的外形是圓，意為圓滿。要做到善始善終，唯有因上努力、果上隨緣，就是我們常說的只問耕耘、不問收獲。把這種思維應用到風險管理，那就是重視風險管理的過程，淡化風險管理的結果。

——無為而治，制衡變通。太極運用渾沌哲學的觀念看待萬事萬物的現(xiàn)象和本質，這種看似混沌的思維方式，實則包涵著清醒睿智的哲思，順應大道至德和自然規(guī)律，不為外物所拘，無為而無不為，最終到達一種無所不容的和諧境界。體現(xiàn)到風險管理，那就是不是為了風險管理而進行風險管理，而是以一種去邊界化的態(tài)度對待風險管理，將風險管理真正融入到企業(yè)戰(zhàn)略和業(yè)績[12]。風險管理和戰(zhàn)略與業(yè)績之間的關系是“你中有我，我中有你”，最終達到企業(yè)這個生命統(tǒng)一體價值的提升，也就是將這個圓畫得更大。

伴隨著世界經(jīng)濟與日俱增的的波動性和模糊性，商業(yè)銀行對內面臨金融創(chuàng)新的內在需求，對外面對趨于嚴苛的風險監(jiān)管和激烈的行業(yè)競爭，簡單的線性思維已經(jīng)無法滿足商業(yè)銀行風險管理的復雜性程度。商業(yè)銀行作為組織是一個有機的整體，在形成戰(zhàn)略和提升績效的過程中實施商業(yè)銀行風險管理有賴于多方面要素的相互作用、相互關聯(lián)，從商業(yè)銀行全局視角把握銀行的整體狀況，并對風險管理的各要素進行深入的分析，研究五要素在動態(tài)過程中的相互關系，并在此基礎之上，以要素為出發(fā)點，每一項要素與企業(yè)管理之間相生相克，呈現(xiàn)出動態(tài)演化的超循環(huán)系統(tǒng)(如圖3所示)。

具體來說，首先，商業(yè)銀行風險管理的五要素之間存在“治理和文化—戰(zhàn)略和目標設定—執(zhí)行—審閱與修訂—信息、溝通與報告—治理和文化”依次出現(xiàn)、循環(huán)往復，并呈現(xiàn)出相互促進的關系，這是一種“相生”的關系[13]，在圖3中呈現(xiàn)為外圓的實線單箭頭；除此以外，五要素之間還存在相互制約、支持和耦合的關聯(lián)關系[14]，在圖3中以內部的虛線雙箭頭來表示。其次，從每一項要素本身出發(fā)，每一要素與商業(yè)銀行的戰(zhàn)略與績效之間存在一種“你中有我，我中有你”的博弈力量抗衡，這是一種“相克”的關系，在圖3中呈現(xiàn)為5個太極圓。因此，企業(yè)風險管理，不可割裂地看待某一個風險管理要素而切斷其與風險管理要素之間的聯(lián)系，更不能將風險管理孤立于企業(yè)管理的其他活動之外，而是應該將組織本身視為一個生命統(tǒng)一體，徹底擺脫頭痛醫(yī)頭，腳痛醫(yī)腳的片面視角，企業(yè)風險管理絕不是為了管理而管理，而是服務于企業(yè)這個生命統(tǒng)一體本身，這樣才能真正發(fā)揮風險管理的作用。

五、結論及展望

本文從COSO委員會2017年9月6日發(fā)布第二版《企業(yè)風險管理——與戰(zhàn)略和績效的整合》出發(fā)，通過比較分析了全新的風險和風險管理概念，尤其是該規(guī)范提出的新的風險管理框架。該框架首次提出將風險管理與戰(zhàn)略和績效相融合，并以一種螺旋式的結構展現(xiàn)風險管理與企業(yè)其他活動的動態(tài)融合過程，它描述了如何將一項職能整合融入主體的其他正在運行的業(yè)務活動中去的方法，這個框架詮釋了一種全新的管理思路，值得在我國的企業(yè)管理中借鑒、吸收并創(chuàng)新。本文基于“中魂西制”，嘗試用中國傳統(tǒng)文化的哲學思想重新詮釋COSO企業(yè)風險管理框架的新思維，并嘗試構建適合我國商業(yè)銀行風險管理的新框架。用太極圖形重新表述風險管理與戰(zhàn)略和績效相融合的關系，更加直觀地體現(xiàn)了你中有我，我中有你相互制衡的無為而治的思想。風險管理的五要素之間既有依次出現(xiàn)、循環(huán)往復，呈現(xiàn)出互促進的關系，又存在相互制約、支持和耦合的關聯(lián)關系，每一要素和戰(zhàn)略與績效之間存在融合與制衡的關系，這一系列的復雜關系類似于五行中的“生克關系”。商業(yè)銀行是經(jīng)營風險的企業(yè)，銀行業(yè)的風險過高已經(jīng)成為不爭的事實，所以，風險管理對于商業(yè)銀行來說尤為重要，本文探索風險管理五要素與戰(zhàn)略和績效融合新框架在我國商業(yè)銀行的應用路徑。本文所提出的商業(yè)銀行風險管理與戰(zhàn)略和績效融合的新框架在理論上是可行的，實際的成效有賴于實踐應用的驗證和理論研究的進一步完善。后續(xù)研究可以通過實證來進一步檢驗新框架下風險管理的有效性，以及嘗試從更為細分的層面或者他維度來探討這一問題。