第二节 风险管理的概念

一、内部控制与风险管理的联系
在 COSO委员会发布的《内部控制一一整合框架》中，控制环境是其他内部控制元素的根基，它的构成元素包括董事会、组织结构、权责分配方式、员工胜任能力、管理层的哲学及人力资源政策。2004年发布的《企业风险管理一一整合框架} (Enterprise Risk Management，简称 ERM框架)，以"内部环境"代替了"控制环境"。与控制环境相比，内部环境是控制环境在内容上的扩展，引入了风险管理和风险偏好两个概念。内部环境是确立企业对待风险的态度和可能采取的应对策略。
(一)风险偏好
风险偏好是指对风险的偏爱，而风险态度 (risk attitude)、风险承受能力 (risk tolerance)或风险容量 (risk capacity)是企业准备在任一时点承受的风险数量。企业的承受能力将反映其消化风险的能力。企业可以参考所在市场或行业内的其他企业的可用信息，作为自己制定风险承受能力的基准。每家企业的风险承受能力是不同的。企业的风险偏好会因其目标、文化以及整个商业环境条件的不断变化而有所差别。风险态度可分为风险厌恶( risk averse)、风险中立 (risk neutral)或风险追求 (risk seeking)。企业准备承受的风险数量，或其风险偏好，将因诸如已了解的特定风险的财务风险敞口、企业目前取得的成功、经济趋势及各个董事会成员的态度等问题而有所差别。另外，企业的看法可能受到已实行的其他计划的影响，而这些计划的结果尚不可知。如果结果是不利的，就能令整个企业受到影响，或者使企业的名誉受到损害。一旦机构确定了风险容忍水平，那么企业可以向负责决策的高级管理层宣传商业风险文化，使他们在行使批准权时，了解机构对于每个项目和计划的风险容忍水平。董事会希望在符合其风险容忍的范围内作出精明的决策。但是，董事会所获得的信息可能因若干因素而出现质量问题。董事会需要确定他们所获得的信息是否可靠，以及考虑比如分析人员的经验、分析所依据信息的质量、是否为了获得对项目的批准而故意隐瞒风险敞口或者风险管理活动的有效性。
(二)风险管理
如前所述，事件可能产生不利影响或者有利影响，也可能两者兼而有之。产生负面影响的事件代表了风险，可以阻碍创造价值或削弱现有的价值。产生正面影响的事件能够抵消不利影响或带来机会。机会是指事件发生的可能性以及对于目标实现、支持创造价值或保持价值的积极影响。
企业风险管理涉及的风险和机会影响价值的创造或保持。它是一个从战略制定到日常经营过程中对待风险的一系列信念与态度，目的是确定可能影响企业的潜在事项，并进行管理，为实现企业的目标提供合理的保证。整体来说，企业风险管理是:
一个正在进行并贯穿整个企业的过程;
受到企业各个层次人员的影响;
战略制定时得到应用;
适用于各个级别和单位的企业，包括考虑风险组合;
识别能够影响企业及其风险管理的潜在事项;
能够对企业的管理层和董事会提供合理保证;
致力于实现一个或多个单独但是类别相互重叠的目标。
二、风险管理的内容
(一)风险管理的目标与范围企业风险管理必须符合一系列参数。它必须嵌入企业的内部控制系统中，并对其他内部控制作出响应。所有企业都面临着不确定性，对管理层的挑战是决定为增加股东价值而能够接受多大的风险。企业风险管理使管理层得以有效地处理不确定性和随之而来的风险和机会，从而增强创造价值的能力。
企业风险管理是关于保护和提高股价，以满足股东价值最大化的首要业务目标。在风险管理过程中，管理层可获取有助于有效评估总体资本需求和提高资本配置的重要风险信息。这些企业风险管理中固有的能力可以帮助管理层实现业绩和盈利目标，并防止资源流失。管理层制定平衡增长和收益目标及风险的战略和目标，井有效地配置资隙，以实现企业的目标，规避障碍和意外，在此过程中实现股东价值最大化。
企业风险管理必须是包罗万象的，能应对商业计划的所有方面，比如策略计划、营销计划、运营计划、研发计划、管理及组织计划、预测和财务数据、融资、风险管理程序及业务控制等。
在当今经济中运营的企业，具有不断变化的特点。因此需要一种综合方法，以管理其风险敞口。经济、法律、商业和人事风险在过去是单独处理的，井且常常由企业内不同的人员独立应对，而没有顾及由不同的人分别处理的各种风险之间的相互影响 L由于风险具有动态的和可改变的特性，并且相互依赖程度很高。因此，不能独立对风险进行评估或管理。
企业风险管理主要包括以下几个要素:
1.调整风险偏好和战略
没有哪一个风险管理程序能够创造出元风险的环境。相反，企业风险管理使管理层能够在充满波动风险的商业环境中更为有效地经营企业。企业风险管理能提高企业将其风险偏好和策略关联起来的能力。在评估备选策略时，管理层首先应考虑企业的风险偏好，然后为风险设定上下限。
2.加强风险应对决策
企业风险管理严格地规定了对风险对策的选择和识别，可能的选择是风险降低、风险消除、风险转移和风险保留。详细的对策内容可参见本章第三节。
3.降低经营性意外和损失
实施企业风险管理后，企业能够使运营意外造成的损失降至最低。企业识别潜在风险事件、评估风险及作出反应的能力得到提高，从而降低发生令人不悦的意外及附带成本或损失的情况。
4.识别和管理多重和跨企业的风险
企业风险管理还能识别并管理跨企业风险。每家企业都面临着众多对该机构的不同部分产生影响的风险。企业风险管理的好处，仅在整合企业内部的不同风险管理方法并作综合。可通过兰种方法实现整合:集中风险报告、整合风险转移策略，及风险管理纳入企业的商业流程。
5.抓住机遇
企业风险管理不仅是一种防御机制，还是一种使商机最大化的工具。风险管理还能与企业的增长、风险及回报挂钩。企业接受风险，是创造和保存 财富的-环，并预期将获得与风险相当的回报。企业风险管理能提高识别、评估风险、确立与潜在增长及目标实现有关的可接受的风险水平的能力。而且，关于风险敞口的高质量信息，能使管理层更加有效地了解自身总体需求，并改善资本分配。此外，用于识别风险的适当程序，能激励相关人员深入思考，通过全面考虑各种可能的事件，管理层致力于识别和积极把握各种机遇。
(二)实现企业的目标
在企业既定任务的范围内，管理层制定了战略目标、战略选择，并制定整个企业的全套目标。企业的风险管理框架是为了实现企业的目标。事实上，企业的目的和目标应包括在策略计划中，而策略计划应包括任务说明及主要举措。每个部门应为支持企业的策略计划确立目的及目标。针对内部控制定义中包含的三个方面的目的及目标，企业的目标可能包括运营目标、财务报告目标及法规遵守的目标。
运营目标是指，帮助实现企业基本任务的目标，包括设立业绩标准，以计量部门运营的经济成果及效率、运营的效果，以及保护已分配的资漉免于损失。财务报告目标是指，编制可靠的财务报告，指防止向公众提供具有重大错报的财务报告。财务报告可能主要由承担企业会计职能的部门负责，但是，每个部门都必须提供重要的信息，用以编制可靠的会计记录，财务报告即是以此为基础编制的。法规遵守的目标是找出适用于企业及其运营的法律法规，并且遵照执行。
这种企业目标的分类可以把重点放在企业风险管理的各个方面。这些类别明显不同但又相互重叠，适应于不同实体的需要，并且可能属于不同管理人员的直接责任。这种分类也可以区分每个类别的目标。
由于企业控制包括与报告的可靠性和法律法规的遵循相关的目标，企业的风险管理可以提供实现这些目标的合理保证。然而，实现战略目标和经营目标也会受到并非总在企业控制范围内的外部事件的影响。因此，对于这些目标，企业风险管理可以为管理层和董事会进行监督。
(三)风险管理中的个人责任
在风险管理理念中，风险管理是企业内每个人的责任。风险管理不单是行政管理层的角色，所有的雇员均对监察和维持内部控制负有一定的责任。从处于企业上层为内部控制确立基调的董事会及首席执行官，到负责就该系统的有效性作报告的外聘审计师，都属于监察角色。业务部门的领导通常负责制定明确的内部控制政策和程序，而雇员负责执行和遵守内部控制政策和程序。
三、风险管理对利益相关者的意义
风险管理的意义在于减少风险对利益相关者的影响。业务风险最初只对面临风险的企业产生影响，但是，后续会因连锁效应对利益相关者产生影响。而影响的程度取决于利益相关者与企业的关联程度 c在许多情况下，利益相关者通过与企业保持距离的方式降低风险。如果实际上是利益相关者首先导致了业务风险的产生，则其所受到的影响很可能比起初所受到的影响更严重。
对利益相关者的影响，可能造成利益相关者对企业的投资潜在缩水，以及出现投资损失。如果业务风险经识别是由于某)位董事的行为引起的，则该董事可能也会面临收益与声名的损失。例如，这可能意味着董事主管的部门会在某种程度上不能达到预算的要求业绩。因此，该部门管理者很可能失去动力，特别是如果业务风险并不是由他们造成的。如果薪酬与业绩挂钩，则薪酬有可能会降低 。
与对管理者的影响类似，雇员会面临生产率及/或薪酬的下降，因此也会失去动力 c对客户的影响在很大程度上取决于风险的性质。但是，诸如产品信誉不佳等风险会对客户产生影响，使其不再购买公司产品。因此整体影响主要是对公司不利，使销售减少。
如果业务风险是因供货质量低下产生的，则风险对供应商的影响在于无法再为这家公司供货。即使风险的出现不是供货商的原因，也可能出现终止由其供货的情况。对于政府的主要影响是税收收入减少。对银行的影响，极端的情况是企业无法进行交易，从而无法偿还应付银行的贷款和利息。因此，若企业的风险评估结果显示风险增大，银行将限制对其贷款额。
四、风险管理的发展与挑战
(一)整合风险管理流程来预测战略和经营风险
企业风险管理已能够对风险进行更为严格和系统的评估和管理从历史上看，组织内的每个部门都是单独看待和管理各自的风险的。其结果是，一个组织没有办法量化总体风险。在许多企业，财务、经营和战略这三大风险分散在整个组织中.例如，首席财务官处理金融风险，首席执行官负责战略风险，首席经营官负责经营风险，但没有人来考虑所有的风险。
目前，许多大型企业已经创建了新的高级职位---首席风险官来协助执行企业风险管理。不依靠内部部门分工的战略，企业风险管理采取一种全面的方法，在组织的整体经营战略的范围内定义和量化风险。这种企业风险管理办法的巨大好处是风险管理和损失控制举措在组织的战略理想，使命和目标范围内被看做是适当的。
企业中较低级别的管理人员首先给高管和董事会成员带来了关注风险，因此风险是可以自上而下管理的。风险管理嵌人到每一级企业中。通过控制关键风险.企业在市场中取得了更大的收益和竟争优势。量化风险可能是风险管理过程中最困难的部分，它量化了风险的财务影响。如果一个企业没有特定区域的历史诉讼数据，量化是很困难的。举例来说，信誉风险是对企业整体市值最大的威胁之一，但很难量化这种不明显的风险，这也许可以解释企业不准备处理这些问题的原因。然而，在风险管理计划中，风险管理人员必须同样关注可量化的和无法量化的风险。
风险经过量化之后，企业应当根据轻重缓急程度、可能性和影响金额来进行先后排序。一些企业可能在四象限矩阵中对风险进行排序。代表最频繁或危险最大的风险列在右上角的象限中，而低级别的不常发生的风险通常列在左下方的象限中。除了对风险进行量化和排序之外，还必须有一个坚实的计划来控制、减轻或者转移风险。
虽然企业风险管理在理论上有用，但在实践中还需要做大量的工作。许多企业由于要求的努力和成本太高而抵制进行企业风险管理。然而，这种情况可能会随着越来越严格的公司治理和问责要求而有所转变。
大型上市企业显然必须考虑企业风险管理，而小企业实施风险管理也是有用的。利用风险管理办法能够使该企业实施明确定义的风险管理过程，而不是杂乱无章的监督。在每种情况下都必须权衡成本收益。企业风险管理需要更加全面地进行风险评估和风险管理，而不仅仅是了解风险的性质和来掘。因此，它可能并不适合每个企业。许多企业的管理层通过进行成本效益分析，以确定风险管理对其企业的价值。理想的情况应当是在日益熟悉业务和经验丰富的过程中，逐步引人企业风险管理战略。
(二)新风险和新的风险管理办法
过去几年中发生了很多变化，但风险管理的基本原则仍然是保持不变的。由于难以量化和管理的新风险的出现，新的法规要求更为复杂的合规而努力、找出新的办法，如企业风险管理等，已经被开发出来，并且正在被逐渐地采用。
新的风险管理办法的总体任务仍然是相同的:通过系统性的风险分析，保护企业不受意外损失或减少损失，以及能够自我保障.并在适当情况下转移风险。
新的风险管理模式和技术并不是答案本身。无论在任何行业，风险管理必须兼顾技术效率、人力资源和专门知识。通过培训和教育建立一个风险管理文化对于企业中各个层次的员工而言都是至关重要的。

上一页  [1] [2] [3] [4] [5] 下一页

责任编辑：张瑶