全面风险管理理论与实践

张苏玉

在20世纪30年代，美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目，这是企业内部控制和风险管理的雏形。当时进行实践的主要是有金融背景的企业，其中包括信孚银行、J.P摩根、GE资产管理公司等，他们开发风险管理的分析工具，初步形成了风险管理的框架和专职风险管理岗位；90年代中期，金融行业的实践传授给了各行各业的市场领袖或者跨国巨头企业，例如杜邦公司、微软公司、摩托罗拉等跨国企业。2000年前后跨国公司的全面风险管理已经形成，走在前列的公司通过实施周期性风险评估，进一步推进风险量化技术的应用，不断改进风险应对策略，应用合理化和系统化风险管理工具，推进风险文化的建设，推进“管理风险，创造价值，绩效最大化”的实践。目前跨国企业所致力的实践主要包括：如何将企业关键业绩的促进或者将企业目标的实现与风险管理的能力发挥联系起来，如何将企业传统的企业决策某些基准改变为风险调整基准，如何应用和开发对提升企业竞争力具有意义的风险量化技术，如何将风险管理更好的融入到企业的日常业务中。从风险管理的历史沿革看，风险管理已从20世纪初纯粹的风险管理、50年代的财务风险管理90年代的金融风险管理演化到整体化风险管理。

伴随着实践，风险管理理论得到完善，从澳大利亚AS/NZS 4360 1995：1999风险管理标准的开展，到美国AIRMIC/ALARM/IRM：2003.10标准的确立，对风险管理的认识从只是负面到包括正面，认识到了风险管理是一个不可认证的过程，没有固定的处方。直到COSO ERM：2004.9（企业风险管理—整合框架）的实施，为各国企业风险管理提供了一个统一与概念体系的全面的应用指南。

我国在2006年由国务院国资委颁布了《中央企业全面风险管理指引》，2009年，ISO-31000为核心的的风险管理系列标准出台，我国在2009年12月发布了GBT24353风险管理原则与指引，GBT23694风险管理术语等一系列风险管理相关文件，这些标准的出台，定义了风险管理的框架、方法论和重要风险领域的管理原则，全面风险管理的理念不断与国际接轨。目前全球企业基本上是按照ISO-31000“风险管理的原则和指引”来建立ERM的体系框架。

COSO的定义指出，企业风险管理是由一个实体的董事会、管理层、和其它相关人员共同设立、用于战略制定和整个企业范围的管理过程，它的功能是识别那些会影响该实体的潜在事件并把风险管理到实体可接受的风险承受水平内，为实体目标的实现提供合理保证。

从COSO的定义及整合框架中，我们可以看出以下几点：

一、全面分风险管理应用于战略、应用于整个企业，包括每个级别和单位，是由人们实行不仅包括政策、调查和表格，还包括企业各个级别的人员的一个管理过程，被用于辨识潜在的可能会影响企业的事件和将风险控制在可接受的范围内。突出了整体化风险管理的内容，上升到与企业战略管理相同的从避免损失到创造价值的高度。

二、风险管理不是要将所有的风险都控制住，不允许风险损失，而是要将风险控制在“承受水平”内，风险管理的意义在于可以使企业的经营更加稳健，注重的是对过程的控制和考核。

三、企业风险管理的4类目标（战略目标、经营目标、报告目标、合规目标）与风险管理的8个要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控）及风险管理的不同主体（企业层面、子公司、业务单元等）是一个立体的多维度组合。

四、风险识别需要区别风险与机会，从两个角度—可能性和影响—对事项进行评估，采取定性、定量相结合的方法（重点是利用概率技术和非概率技术）评估固有风险（未采取措施的风险）和剩余风险（采取措施后的残余风险），从而决定风险的应对策略。

五、风险管理是一种具有风险意识的企业文化，要融入到企业文化建设的全过程，保障企业风险管理目标的实现。

我国企业风险管理建设中应注意的问题：

（一）抓好公司的治理结构建设：风险管理已经进入企业的决策层，需要专门的机构负责推进和实施，做好组织保障和沟通协调工作，使之处于公司治理的顶层，保证工作的有序开展（如设立董事会之下，经理层之上的风险管理委员会或董事会办事机构等）。

（二）全面风险管理工作体系在执行层应建成信息收集、风险评估、风险策略、解决方案、监督与改进的闭环系统，并在其中多运用定量分析技术决定风险策略，改变我们长期以来风险管理不系统、缺整合，重视程序但缺少标准，重视控制但缺少预防的现状。

（三）全面风险管理的管理保障体系要注重激励考核，通过对不同层次人员的不同技术方法培训，不断完善风险信息系统，使风险管理职能与现有职能有效融合，确保风险指标全面、具有操作性，并通过激励、考核营造企业的风险管理文化。

参考文献：

[1]ISO31000 风险管理标准（译文）.

[2]COSO企业风险管理——整合框架.

[3]COSO （The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）.

[4]ERM （Enterprise Risk Manage-ment Framework）.

（作者单位：舞阳钢铁有限责任公司）