【摘要】風險管理和內部控制及公司治理的研究正成為許多國家政府以及有關國際組織的研究重點，COSO的《企業(yè)風險管理——整體框架》標志著內部控制理論與實踐進入了整體框架的新階段。關注COSO報告中風險管理框架的新發(fā)展，加快企業(yè)風險管理，在完善社會主義市場經濟體制進程中無疑具有重要的現(xiàn)實意義。

　　20世紀90年代以后，許多國家政府以及有關國際組織紛紛加大了對風險管理和內部控制及公司治理的研究，并發(fā)布了一系列的文告，就風險管理及與之緊密相關的內部控制問題做出了規(guī)定，其中，尤以COSO的《企業(yè)風險管理——整體框架》最具代表性。本文以美國企業(yè)風險管理框架為重點，探討我國企業(yè)建立風險管理的必要性。

　　一、COSO的內部控制整體框架和風險管理整體框架

　?。ㄒ唬秲炔靠刂?mdash;—整體框架》關于風險管理的論述

　　1992年，COSO發(fā)布了其研究報告《內部控制——整體框架》，并于1994年進行了增補修訂。在該報告中，COSO（1992）指出，企業(yè)必須了解它所面臨的風險，并加以處理。企業(yè)必須制定目標，而目標又必須與銷售、生產、營銷、財務等活動相結合，如此企業(yè)才能很好地運作。企業(yè)還必須建立識別、分析和管理相關風險的機制。

　　COSO（1992）提出了內部控制的五個要素，其中之一便是風險評估。COSO（1992）指出，每一個主體都面臨著各種來源于內部和外部的風險，這些風險必須加以評估。風險評估的前提之一是建立目標，不同層次的目標應當相互聯(lián)系并保持內部一致。風險評估是指識別、分析與實現(xiàn)目標相關的風險，它是決定這些風險應如何管理的基礎。由于經濟、行業(yè)、管制和經營條件會不斷發(fā)生變化，應當建立相應的機制以識別并處理與這些變化相關的特定風險。COSO（1992）指出，須從企業(yè)整體和作業(yè)兩個層次來識別風險。企業(yè)整體層次的風險可能由外部或內部因素而產生。外部因素如：科技發(fā)展、顧客的需求或預期改變、競爭、新頒布的法律法規(guī)、天然災害、經濟環(huán)境改變；內部因素如：信息系統(tǒng)處理的中斷、員工的品質、經理人的責任改變、企業(yè)活動的性質以及員工可接近企業(yè)資產的程度、董事會或監(jiān)事會不夠堅定或無效。

　?。ǘ╋L險管理的新發(fā)展：《企業(yè)風險管理——整體框架》

　　2004年，COSO發(fā)布了其研究報告《企業(yè)風險管理——整體框架》。風險管理整體框架（ERM）是在內部控制整體框架基礎上發(fā)展而來的。COSO（2004）指出，風險管理框架不想也沒有替代內部控制框架，但它將內部控制框架整合在內，采用這一框架，企業(yè)既可以滿足內部控制的需要，也可以建立一個完整的風險管理過程。

　　1.風險管理的目標

　　COSO（2004）認為，主體的目標包括四個：（1）戰(zhàn)略目標，是高水平的目標，它應與組織的使命一致并支持該使命；（2）經營目標，組織應當有效率和效果地使用資源；（3）報告目標，組織應當提供可靠的報告；（4）遵循目標（合規(guī)性目標），即組織應當遵循相關的法律規(guī)章。

　　企業(yè)風險管理實際就是為實現(xiàn)上述目標提供合理的保證。

　　2.風險管理的內容

　　企業(yè)風險管理包含以下方面的內容（作用）：

　　（1）協(xié)調風險偏好和戰(zhàn)略。管理層在評估不同的戰(zhàn)略、確定相關目標、建立相關風險的管理機制時，應考慮組織的風險偏好。

　?。?）改進風險反應決策。企業(yè)風險管理要求識別并在不同的風險應對策略（包括規(guī)避、降低、分擔與接受風險）中做出選擇。

　?。?）減少經營意外與損失。提高組織識別潛在事項并做出反應，減少意外事項及相關的成本或損失的能力。

　　（4）識別并管理多個企業(yè)之間以及企業(yè)內部的風險。每一個企業(yè)都面臨無數(shù)的、會影響組織不同方面的風險，企業(yè)風險管理應當有助于對相關關聯(lián)的影響作出有效的反應，并對多企業(yè)的風險作出整體性反應。

　?。?）抓住機會。通過考慮所有的潛在事項，管理層應當能夠識別并實現(xiàn)機會。

　?。?）改善資本的配置。在獲得關于風險的信息后，管理層可以有效地評估總體資本需求并改進資本的配置。

　　企業(yè)風險管理的上述作用，有助于管理層實現(xiàn)組織的經營和盈利目標，并防止資源損失。企業(yè)風險管理有助于保證提供有效的財務報告和對法律規(guī)章的遵循，并有助于避免組織聲譽的損害及相關不良后果?？傊髽I(yè)風險管理有助于企業(yè)向其所期望的方向發(fā)展，避免在發(fā)展的過程中遭遇陷阱和意外。

　　3.風險管理的要素

　　企業(yè)風險管理包含八個相互關聯(lián)的要素。這些要素來源于管理層管理企業(yè)的方法，并與管理過程合成一個整體。這些要素包括：

　　（1）內部環(huán)境。內部環(huán)境包含了組織的風格，它確定了組織人員如何看待和處理風險的基礎，是其它要素的基礎。內部環(huán)境具體包括風險管理哲學、風險偏好、董事會、誠實度和道德價值觀、組織結構、勝任能力、人力資源政策與實務、權責分配。

　?。?）目標設定。在管理層辨別影響其目標實現(xiàn)的潛在事項之前，必須有目標。企業(yè)風險管理要求管理層設定目標，選擇的目標需要能夠支持組織的使命并與組織使命相一致，并與其風險偏好相一致。

　?。?）事項識別。即識別那些影響組織目標實現(xiàn)的內外部事項，并區(qū)分為風險和機會。機會將被考慮進管理層的戰(zhàn)略或目標設定過程中。

　　（4）風險評估。必須對風險加以分析，考慮其發(fā)生的可能性以及影響，并作為確定這些風險應如何加以管理的基礎。應當對固有風險和殘存風險加以評估。

　?。?）風險應對。管理層應在不同的風險應對（包括回避、接受、降低、分擔風險）中做出選擇，從而采取一系列與組織的風險容忍度（risk tolerances）和風險偏好相一致的行動。

　?。?）控制活動。應建立相關的政策和程序，以確保風險應對策略得到有效的執(zhí)行?？刂苹顒油ǔ０▋蓚€要素：確定應從事何種活動的政策、執(zhí)行政策的程序。

　?。?）信息與溝通。應當按照特定的格式和時間框架來識別、捕捉相關信息并加以傳遞溝通，從而使人們可以履行其職責。有效的溝通存在于較廣泛的意義上，包括向下、向上以及平行交互溝通。

　?。?）監(jiān)控。整個企業(yè)風險管理都應當加以監(jiān)控并根據(jù)需要做出調整。監(jiān)督可以通過持續(xù)性的管理活動、單獨評價或者二者同時來實現(xiàn)。

　　對于這八個要素，COSO（2004）指出，企業(yè)風險管理不是一個嚴格的序列過程，即一個要素僅影響下一個要素，而且是一個多方向的、相互影響的過程，任何要素都可以并且確實影響其它的要素。

　　4.風險管理目標與風險管理要素的關系

　　COSO（2004）認為，目標是主體要實現(xiàn)什么，企業(yè)風險管理的要素則意味著需要什么來實現(xiàn)它們，因此，風險管理的目標與要素之間存在密切的直接聯(lián)系。這樣，企業(yè)目標、風險管理要素與企業(yè)各個層級之間就形成一個三維立體圖。

　　二、美國風險管理準則對我國的啟示

　　從以上COSO風險管理準則內容和要求上，可以看出存在以下特點：

　?。ㄒ唬L險管理與內部控制聯(lián)系在一起。內部控制是風險管理的重要手段，董事會應當建立并維持有效的內部控制系統(tǒng)以實現(xiàn)風險管理。

　?。ǘ┚鶑娬{風險管理是一個包含風險識別、計量和應對的系統(tǒng)化過程。風險識別、計量、應對和控制活動是一個緊密的整體，企業(yè)必須識別面臨的潛在風險，并評估其對企業(yè)的影響，從而采取相應的措施來應對風險。在風險識別和分析、評估的技術上，均強調應當結合采用定量技術和定性技術。另外，人們越來越認識到，風險是無法絕對消除的，因此，風險管理的目標是將其控制在主體的風險偏好以內，而不是消除風險。反映到風險應對策略上，相關的風險管理準則大都強調風險的應對措施包括回避、抑減（降低）、轉嫁（分攤）、接受，應當根據(jù)風險發(fā)生的可能性、對主體的影響以及主體自身的風險容量選擇適當?shù)膽獙Υ胧?/p>

　?。ㄈ娬{風險管理應當融入到企業(yè)日常經營活動中，并貫穿于企業(yè)的各個層次、所有的經營活動。風險管理針對的是企業(yè)經營活動中對企業(yè)目標實現(xiàn)產生影響的風險事項，因此，風險管理必須與企業(yè)的經營活動緊密地結合在一起，在經營活動中處處體現(xiàn)風險管理的理念與做法，這不僅有助于及時識別企業(yè)所面臨的風險事項，也有助于降低風險管理成本、提高風險管理效率。

　?。ㄋ模娬{控制環(huán)境的作用。公司的高層基調、管理層的管理哲學、董事會和相關委員會、員工的勝任能力對于有效的風險管理具有重要作用，如果沒有一個良好的、注重風險管理的內部環(huán)境，風險管理很難取得成功。

　?。ㄎ澹娬{全員參與。全員管理是現(xiàn)代風險管理的重要特征，風險管理不僅僅是風險管理部門的事，而且需要靠企業(yè)的全體員工來落實，所有員工都會影響到企業(yè)風險管理的效果，企業(yè)應當使所有員工了解自己在風險管理中的作用。

　?。娬{信息與溝通。信息和溝通對于良好的風險管理和內部控制相當重要，下層要了解公司的風險管理戰(zhàn)略和政策、措施，并有順暢的向上溝通風險管理和內部控制情況的渠道，上層要及時向員工及外部了解企業(yè)面臨的重大風險及其管理情況。

　　（七）強調定期對風險管理過程和內部控制進行評估，并對發(fā)現(xiàn)的缺陷和不足加以報告。風險管理是一個持續(xù)的、動態(tài)的過程，企業(yè)的內、外部環(huán)境在不斷地變化，這決定了原先的控制未必有效，因此，必須定期對風險管理過程和內部控制的有效性進行評估，以找出其缺陷和不足并及時采取補救措施。

　?。ò耍娬{風險管理和內部控制信息的對外披露。向外部使用者報告風險管理和內部控制信息，是董事會和管理層受托責任的要求。通過信息披露，外部投資者可以對企業(yè)面臨的機會和風險以及企業(yè)風險控制的業(yè)績作出評價，從而做出相關決策；對董事會和管理層來講，對外披露風險管理和內部控制相關的信息，可以促使企業(yè)完善相關制度以加強風險控制。

　　近年來，西方國家紛紛制定風險管理準則，以幫助和指導企業(yè)建立健全風險管理框架，如英國的Turnbull報告、澳大利亞和新西蘭風險管理準則、加拿大標準協(xié)會、日本發(fā)布的《建立并應用風險管理系統(tǒng)的指南》等。從我國企業(yè)風險管理的現(xiàn)狀來看，企業(yè)普遍缺乏風險管理的意識以及整體化風險管理的理念，在風險識別、評估、報告和應對方面也都存在許多錯誤認識，中航油等許多企業(yè)的失敗均表明了這一點。面對日益復雜的經營環(huán)境，企業(yè)必須加強風險管理。就政府監(jiān)管部門而言，應當及時制定企業(yè)風險管理指引，以促進企業(yè)建立相關風險管理制度。中國銀監(jiān)會已先后發(fā)布了《商業(yè)銀行集團客戶授信業(yè)務風險管理指引》（2003年10月23日）、《商業(yè)銀行房地產貸款風險管理指引》（2004年9月2日）、《商業(yè)銀行個人理財業(yè)務風險管理指引》（2004年9月29日）、《商業(yè)銀行市場風險管理指引》（2004年12月29日）等一系列風險管理指引。然而，這些指引僅針對商業(yè)銀行某一方面的風險。因此，我國尚缺乏一個建立起風險管理的基本框架、可以指導一般企業(yè)風險管理實務的指南，有必要借鑒西方相關風險管理準則，并結合我國企業(yè)的實際，制定我國的風險管理規(guī)范，以便為企業(yè)風險管理提供指導。