中外企业风险管理比较

陈留平　李启才

中图分类号：F270 文献标识码：A

内容摘要：美国COSO委员会于2004年9月发布了《企业风险管理—整合框架》。为了促进中央企业持续、健康、稳定发展，国有资产管理委员会于2006年6月颁布了《中央企业全面风险管理指引》。本文从企业风险管理的定义、目标、构成要素、组织体系等方面比较分析了两者的区别，以期对理解、掌握和运用《中央企业全面风险管理指引》有所裨益。

关键词：风险管理构成要素

美国COSO委员会于2004年9月颁布了《企业风险管理—整合框架》（以下简称《框架》），旨在为各国的企业风险管理提供一个统一术语与概念体系的应用指南。为了帮助中央企业建立健全风险管理长效机制，增强企业竞争力，促进企业持续、健康、稳定发展，防止国有资产流失，提高投资者回报水平，保护投资者利益，国务院国有资产管理委员会借鉴发达国家企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法，以及国内有关内部控制机制建设方面的规定，于2006年6月颁布了《中央企业全面风险管理指引》（以下简称《指引》）。本文着重分析《框架》和《指引》的区别，以期对我国企业的风险管理有所借鉴。

企业风险管理的定义比较

在《框架》中企业风险管理的定义如下：企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

《指引》中的全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险管理的组织职能体系、风险管理信息系统和内部控制系统等，从而为实现风险管理的总体目标提供合理保证的过程和方法。

企业风险管理的目标比较

《框架》将主体的目标分成四类，即与高层次的目的相关的战略目标；与利用主体资源的有效性和效率相关的经营目标；与主体报告的可靠性相关的报告目标；与主体符合适用的法律和法规的合规目标。

《指引》将风险管理的目标分成五类，除了涉及以上四类目标之外，还提到另一个目标，即确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

企业风险管理的构成要素比较

在《框架》中，企业风险管理包括八个相互关联的构成要素，即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。在《指引》中，风险管理的基本流程包括五个方面的工作，即收集风险管理初始信息、进行风险评估、制定管理策略、提出和实施风险管理解决方案、风险管理的监督与改进，也就是企业风险管理的五个构成要素。尽管两者对风险管理组成部分的称谓不同，但是其内涵还是有很多相同的地方的。本文仅分析两者的不同点。

《框架》认为内部环境是企业风险管理其他构成要素的基础，为其他要素提供约束和结构。它影响着战略和目标如何制订，经营活动如何组织以及如何识别、评估风险并采取行动。它主要包括主体的风险管理理念、风险容量、董事会的监督，主体中人员的诚信、道德价值观和胜任能力，以及管理当局分配权力和职责的方式。《指引》认为，风险管理初始信息是良好的风险管理的基础，详细列举了企业管理战略、财务、市场、法律四类常规风险所需的重要基础信息，还特别强调企业应注重针对这四类风险广泛收集导致企业危机的国内外案例。

《框架》认为，目标设定是事项识别、风险评估和风险应对的前提。在管理当局识别和评估实现目标的风险，并采取行动来管理风险之前，首先必须有目标。而《指引》所称的风险管理基本流程中并不包括目标设定这一构成要素。

《框架》中的事项识别是指管理当局识别将会对主体产生影响的潜在事项，并确定它们是代表机会还是风险，或者两者兼而有之。事项通常并不是孤立地发生的，因此管理当局在事项识别过程中应该明白事项彼此之间的关系。通过评估这种关系，确定风险管理活动的最优指向。《指引》中的风险辨识相当于事项识别，而这里所称的风险辨识只是指查找企业各业务单元、各项重要经营活动及重要业务流程中有无风险，有哪些风险。

在《框架》中，管理当局将企业风险分为固有风险和剩余风险。而《指引》将风险分为战略风险、财务风险、市场风险、运营风险和法律风险等；或者以能否为企业带来盈利等机会为标志，将风险分为纯粹风险和机会风险。

《框架》将风险应对分为四种类型，即回避、降低、分担和承受。在《指引》中，对战略、财务、运营和法律风险采取风险承担、风险规避、风险转换、风险控制、风险转移、风险对冲、风险补偿等方法。

与《指引》不同的是，《框架》还提出了管理层应从一个企业全局或者组合的观点来考虑风险，决定企业的风险观是否适应于与其目标相对应的整个风险容量。

企业风险管理组织体系的构成比较

《框架》指出企业风险管理由诸多方面实施，包括董事会（直接地或通过其下属委员会）、管理当局、内部审计师和其他人员。外部方面也可能会提供对主体的企业风险管理活动有用的信息，例如外部审计师、立法者、客户、商业伙伴、外包服务提供者、债券评级机构等。

《指引》指出企业风险管理组织体系主要包括规范的公司法人治理结构，风险管理职能部门，内部审计部门的法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责，而没有包括外部方面的人员或机构。

企业风险管理信息沟通渠道比较

《指引》指出，企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整。

《框架》对沟通的阐述则更加全面，突出了沟通的重要性。对于那些将要报告的信息，必须有畅通的沟通渠道和清晰的倾听意愿。如果正常的沟通渠道不起作用，就需要单独的沟通途径来充当自动防故障机制。它还指出最关键的沟通渠道位于高层管理当局和董事会之间。沟通的具体方式包括政策手册、备忘录、电子邮件、公告板通知、网络发布等。

对目标、构成要素、主体内各个单元的关系比较

在《框架》中，目标、构成要素、主体内的各个单元可以通过一个三维矩阵以立方体的形式表示出来。这三个维度的关系是：企业风险管理的八个要素是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上八个方面进行风险管理。这种表示方式既能够从整体上关注一个主体的企业风险管理，也可以从目标类别、构成要素或主体单元的角度，乃至其中的任何一个分项的角度去加以认识。而《指引》中则没有体现这种关系。《指引》指出，企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业风险管理和业务流程中。

另外，《指引》和《框架》对违反诚信准则行为的态度不同。《指引》指出，对违反道德诚信准则的行为，企业应严肃查处。而《框架》还指出，应形成鼓励员工报告所怀疑的违反行为的机制，以及针对知情而不报告违反行为的员工的惩戒措施。同时，高层管理当局的行为和他们所作的表率对道德准则遵守也相当重要。

参考文献：

1.美国COSO制定发布，方红星译.企业风险管理—整合框架[M].东北财经大学出版社，2005

2.邹兵.《中央企业全面风险管理指引》解读[J].商业会计，2007.4

3.牛成.企业风险管理框架的思考[J].甘肃社会科学，2005.2