【摘要】風險管理和內(nèi)部控制及公司治理的研究正成為許多國家政府以及有關(guān)國際組織的研究重點，COSO的《企業(yè)風險管理——整體框架》標志著內(nèi)部控制理論與實踐進入了整體框架的新階段。關(guān)注COSO報告中風險管理框架的新發(fā)展，加快企業(yè)風險管理，在完善社會主義市場經(jīng)濟體制進程中無疑具有重要的現(xiàn)實意義。

　　20世紀90年代以后，許多國家政府以及有關(guān)國際組織紛紛加大了對風險管理和內(nèi)部控制及公司治理的研究，并發(fā)布了一系列的文告，就風險管理及與之緊密相關(guān)的內(nèi)部控制問題做出了規(guī)定，其中，尤以COSO的《企業(yè)風險管理——整體框架》最具代表性。本文以美國企業(yè)風險管理框架為重點，探討我國企業(yè)建立風險管理的必要性。

　　一、COSO的內(nèi)部控制整體框架和風險管理整體框架

　?。ㄒ唬秲?nèi)部控制——整體框架》關(guān)于風險管理的論述

　　1992年，COSO發(fā)布了其研究報告《內(nèi)部控制——整體框架》，并于1994年進行了增補修訂。在該報告中，COSO（1992）指出，企業(yè)必須了解它所面臨的風險，并加以處理。企業(yè)必須制定目標，而目標又必須與銷售、生產(chǎn)、營銷、財務(wù)等活動相結(jié)合，如此企業(yè)才能很好地運作。企業(yè)還必須建立識別、分析和管理相關(guān)風險的機制。

　　COSO（1992）提出了內(nèi)部控制的五個要素，其中之一便是風險評估。COSO（1992）指出，每一個主體都面臨著各種來源于內(nèi)部和外部的風險，這些風險必須加以評估。風險評估的前提之一是建立目標，不同層次的目標應(yīng)當相互聯(lián)系并保持內(nèi)部一致。風險評估是指識別、分析與實現(xiàn)目標相關(guān)的風險，它是決定這些風險應(yīng)如何管理的基礎(chǔ)。由于經(jīng)濟、行業(yè)、管制和經(jīng)營條件會不斷發(fā)生變化，應(yīng)當建立相應(yīng)的機制以識別并處理與這些變化相關(guān)的特定風險。COSO（1992）指出，須從企業(yè)整體和作業(yè)兩個層次來識別風險。企業(yè)整體層次的風險可能由外部或內(nèi)部因素而產(chǎn)生。外部因素如：科技發(fā)展、顧客的需求或預期改變、競爭、新頒布的法律法規(guī)、天然災害、經(jīng)濟環(huán)境改變；內(nèi)部因素如：信息系統(tǒng)處理的中斷、員工的品質(zhì)、經(jīng)理人的責任改變、企業(yè)活動的性質(zhì)以及員工可接近企業(yè)資產(chǎn)的程度、董事會或監(jiān)事會不夠堅定或無效。

　?。ǘ╋L險管理的新發(fā)展：《企業(yè)風險管理——整體框架》

　　2004年，COSO發(fā)布了其研究報告《企業(yè)風險管理——整體框架》。風險管理整體框架（ERM）是在內(nèi)部控制整體框架基礎(chǔ)上發(fā)展而來的。COSO（2004）指出，風險管理框架不想也沒有替代內(nèi)部控制框架，但它將內(nèi)部控制框架整合在內(nèi)，采用這一框架，企業(yè)既可以滿足內(nèi)部控制的需要，也可以建立一個完整的風險管理過程。

　　1.風險管理的目標

　　COSO（2004）認為，主體的目標包括四個：（1）戰(zhàn)略目標，是高水平的目標，它應(yīng)與組織的使命一致并支持該使命；（2）經(jīng)營目標，組織應(yīng)當有效率和效果地使用資源；（3）報告目標，組織應(yīng)當提供可靠的報告；（4）遵循目標（合規(guī)性目標），即組織應(yīng)當遵循相關(guān)的法律規(guī)章。

　　企業(yè)風險管理實際就是為實現(xiàn)上述目標提供合理的保證。

　　2.風險管理的內(nèi)容

　　企業(yè)風險管理包含以下方面的內(nèi)容（作用）：

　?。?）協(xié)調(diào)風險偏好和戰(zhàn)略。管理層在評估不同的戰(zhàn)略、確定相關(guān)目標、建立相關(guān)風險的管理機制時，應(yīng)考慮組織的風險偏好。

　　（2）改進風險反應(yīng)決策。企業(yè)風險管理要求識別并在不同的風險應(yīng)對策略（包括規(guī)避、降低、分擔與接受風險）中做出選擇。

　?。?）減少經(jīng)營意外與損失。提高組織識別潛在事項并做出反應(yīng)，減少意外事項及相關(guān)的成本或損失的能力。

　?。?）識別并管理多個企業(yè)之間以及企業(yè)內(nèi)部的風險。每一個企業(yè)都面臨無數(shù)的、會影響組織不同方面的風險，企業(yè)風險管理應(yīng)當有助于對相關(guān)關(guān)聯(lián)的影響作出有效的反應(yīng)，并對多企業(yè)的風險作出整體性反應(yīng)。

　　（5）抓住機會。通過考慮所有的潛在事項，管理層應(yīng)當能夠識別并實現(xiàn)機會。

　?。?）改善資本的配置。在獲得關(guān)于風險的信息后，管理層可以有效地評估總體資本需求并改進資本的配置。

　　企業(yè)風險管理的上述作用，有助于管理層實現(xiàn)組織的經(jīng)營和盈利目標，并防止資源損失。企業(yè)風險管理有助于保證提供有效的財務(wù)報告和對法律規(guī)章的遵循，并有助于避免組織聲譽的損害及相關(guān)不良后果。總之，企業(yè)風險管理有助于企業(yè)向其所期望的方向發(fā)展，避免在發(fā)展的過程中遭遇陷阱和意外。

　　3.風險管理的要素

　　企業(yè)風險管理包含八個相互關(guān)聯(lián)的要素。這些要素來源于管理層管理企業(yè)的方法，并與管理過程合成一個整體。這些要素包括：

　?。?）內(nèi)部環(huán)境。內(nèi)部環(huán)境包含了組織的風格，它確定了組織人員如何看待和處理風險的基礎(chǔ)，是其它要素的基礎(chǔ)。內(nèi)部環(huán)境具體包括風險管理哲學、風險偏好、董事會、誠實度和道德價值觀、組織結(jié)構(gòu)、勝任能力、人力資源政策與實務(wù)、權(quán)責分配。

　?。?）目標設(shè)定。在管理層辨別影響其目標實現(xiàn)的潛在事項之前，必須有目標。企業(yè)風險管理要求管理層設(shè)定目標，選擇的目標需要能夠支持組織的使命并與組織使命相一致，并與其風險偏好相一致。

　?。?）事項識別。即識別那些影響組織目標實現(xiàn)的內(nèi)外部事項，并區(qū)分為風險和機會。機會將被考慮進管理層的戰(zhàn)略或目標設(shè)定過程中。

　　（4）風險評估。必須對風險加以分析，考慮其發(fā)生的可能性以及影響，并作為確定這些風險應(yīng)如何加以管理的基礎(chǔ)。應(yīng)當對固有風險和殘存風險加以評估。

　　（5）風險應(yīng)對。管理層應(yīng)在不同的風險應(yīng)對（包括回避、接受、降低、分擔風險）中做出選擇，從而采取一系列與組織的風險容忍度（risk tolerances）和風險偏好相一致的行動。

　?。?）控制活動。應(yīng)建立相關(guān)的政策和程序，以確保風險應(yīng)對策略得到有效的執(zhí)行。控制活動通常包括兩個要素：確定應(yīng)從事何種活動的政策、執(zhí)行政策的程序。

　?。?）信息與溝通。應(yīng)當按照特定的格式和時間框架來識別、捕捉相關(guān)信息并加以傳遞溝通，從而使人們可以履行其職責。有效的溝通存在于較廣泛的意義上，包括向下、向上以及平行交互溝通。

　?。?）監(jiān)控。整個企業(yè)風險管理都應(yīng)當加以監(jiān)控并根據(jù)需要做出調(diào)整。監(jiān)督可以通過持續(xù)性的管理活動、單獨評價或者二者同時來實現(xiàn)。

　　對于這八個要素，COSO（2004）指出，企業(yè)風險管理不是一個嚴格的序列過程，即一個要素僅影響下一個要素，而且是一個多方向的、相互影響的過程，任何要素都可以并且確實影響其它的要素。

　　4.風險管理目標與風險管理要素的關(guān)系

　　COSO（2004）認為，目標是主體要實現(xiàn)什么，企業(yè)風險管理的要素則意味著需要什么來實現(xiàn)它們，因此，風險管理的目標與要素之間存在密切的直接聯(lián)系。這樣，企業(yè)目標、風險管理要素與企業(yè)各個層級之間就形成一個三維立體圖。

　　二、美國風險管理準則對我國的啟示

　　從以上COSO風險管理準則內(nèi)容和要求上，可以看出存在以下特點：

　?。ㄒ唬L險管理與內(nèi)部控制聯(lián)系在一起。內(nèi)部控制是風險管理的重要手段，董事會應(yīng)當建立并維持有效的內(nèi)部控制系統(tǒng)以實現(xiàn)風險管理。

　　（二）均強調(diào)風險管理是一個包含風險識別、計量和應(yīng)對的系統(tǒng)化過程。風險識別、計量、應(yīng)對和控制活動是一個緊密的整體，企業(yè)必須識別面臨的潛在風險，并評估其對企業(yè)的影響，從而采取相應(yīng)的措施來應(yīng)對風險。在風險識別和分析、評估的技術(shù)上，均強調(diào)應(yīng)當結(jié)合采用定量技術(shù)和定性技術(shù)。另外，人們越來越認識到，風險是無法絕對消除的，因此，風險管理的目標是將其控制在主體的風險偏好以內(nèi)，而不是消除風險。反映到風險應(yīng)對策略上，相關(guān)的風險管理準則大都強調(diào)風險的應(yīng)對措施包括回避、抑減（降低）、轉(zhuǎn)嫁（分攤）、接受，應(yīng)當根據(jù)風險發(fā)生的可能性、對主體的影響以及主體自身的風險容量選擇適當?shù)膽?yīng)對措施。

　?。ㄈ娬{(diào)風險管理應(yīng)當融入到企業(yè)日常經(jīng)營活動中，并貫穿于企業(yè)的各個層次、所有的經(jīng)營活動。風險管理針對的是企業(yè)經(jīng)營活動中對企業(yè)目標實現(xiàn)產(chǎn)生影響的風險事項，因此，風險管理必須與企業(yè)的經(jīng)營活動緊密地結(jié)合在一起，在經(jīng)營活動中處處體現(xiàn)風險管理的理念與做法，這不僅有助于及時識別企業(yè)所面臨的風險事項，也有助于降低風險管理成本、提高風險管理效率。

　?。ㄋ模娬{(diào)控制環(huán)境的作用。公司的高層基調(diào)、管理層的管理哲學、董事會和相關(guān)委員會、員工的勝任能力對于有效的風險管理具有重要作用，如果沒有一個良好的、注重風險管理的內(nèi)部環(huán)境，風險管理很難取得成功。

　?。ㄎ澹娬{(diào)全員參與。全員管理是現(xiàn)代風險管理的重要特征，風險管理不僅僅是風險管理部門的事，而且需要靠企業(yè)的全體員工來落實，所有員工都會影響到企業(yè)風險管理的效果，企業(yè)應(yīng)當使所有員工了解自己在風險管理中的作用。

　?。娬{(diào)信息與溝通。信息和溝通對于良好的風險管理和內(nèi)部控制相當重要，下層要了解公司的風險管理戰(zhàn)略和政策、措施，并有順暢的向上溝通風險管理和內(nèi)部控制情況的渠道，上層要及時向員工及外部了解企業(yè)面臨的重大風險及其管理情況。

　?。ㄆ撸娬{(diào)定期對風險管理過程和內(nèi)部控制進行評估，并對發(fā)現(xiàn)的缺陷和不足加以報告。風險管理是一個持續(xù)的、動態(tài)的過程，企業(yè)的內(nèi)、外部環(huán)境在不斷地變化，這決定了原先的控制未必有效，因此，必須定期對風險管理過程和內(nèi)部控制的有效性進行評估，以找出其缺陷和不足并及時采取補救措施。

　?。ò耍娬{(diào)風險管理和內(nèi)部控制信息的對外披露。向外部使用者報告風險管理和內(nèi)部控制信息，是董事會和管理層受托責任的要求。通過信息披露，外部投資者可以對企業(yè)面臨的機會和風險以及企業(yè)風險控制的業(yè)績作出評價，從而做出相關(guān)決策；對董事會和管理層來講，對外披露風險管理和內(nèi)部控制相關(guān)的信息，可以促使企業(yè)完善相關(guān)制度以加強風險控制。

　　近年來，西方國家紛紛制定風險管理準則，以幫助和指導企業(yè)建立健全風險管理框架，如英國的Turnbull報告、澳大利亞和新西蘭風險管理準則、加拿大標準協(xié)會、日本發(fā)布的《建立并應(yīng)用風險管理系統(tǒng)的指南》等。從我國企業(yè)風險管理的現(xiàn)狀來看，企業(yè)普遍缺乏風險管理的意識以及整體化風險管理的理念，在風險識別、評估、報告和應(yīng)對方面也都存在許多錯誤認識，中航油等許多企業(yè)的失敗均表明了這一點。面對日益復雜的經(jīng)營環(huán)境，企業(yè)必須加強風險管理。就政府監(jiān)管部門而言，應(yīng)當及時制定企業(yè)風險管理指引，以促進企業(yè)建立相關(guān)風險管理制度。中國銀監(jiān)會已先后發(fā)布了《商業(yè)銀行集團客戶授信業(yè)務(wù)風險管理指引》（2003年10月23日）、《商業(yè)銀行房地產(chǎn)貸款風險管理指引》（2004年9月2日）、《商業(yè)銀行個人理財業(yè)務(wù)風險管理指引》（2004年9月29日）、《商業(yè)銀行市場風險管理指引》（2004年12月29日）等一系列風險管理指引。然而，這些指引僅針對商業(yè)銀行某一方面的風險。因此，我國尚缺乏一個建立起風險管理的基本框架、可以指導一般企業(yè)風險管理實務(wù)的指南，有必要借鑒西方相關(guān)風險管理準則，并結(jié)合我國企業(yè)的實際，制定我國的風險管理規(guī)范，以便為企業(yè)風險管理提供指導。