美国企业风险管理框架及对我国的启示

　　  20世纪90年代以后，许多国家政府以及有关国际组织纷纷加大了对风险管理和内部控制及公司治理的研究，并发布了一系列的文告，就风险管理及与之紧密相关的内部控制问题做出了规定，其中，尤以COSO的《企业风险管理——整体框架》最具代表性。本文以美国企业风险管理框架为重点，探讨我国企业建立风险管理的必要性。

　　一、COSO的内部控制整体框架和风险管理整体框架

　　（一）《内部控制——整体框架》关于风险管理的论述

　　1992年，COSO发布了其研究报告《内部控制——整体框架》，并于1994年进行了增补修订。在该报告中，COSO（1992）指出，企业必须了解它所面临的风险，并加以处理。企业必须制定目标，而目标又必须与销售、生产、营销、财务等活动相结合，如此企业才能很好地运作。企业还必须建立识别、分析和管理相关风险的机制。

　　COSO（1992）提出了内部控制的五个要素，其中之一便是风险评估。COSO（1992）指出，每一个主体都面临着各种来源于内部和外部的风险，这些风险必须加以评估。风险评估的前提之一是建立目标，不同层次的目标应当相互联系并保持内部一致。风险评估是指识别、分析与实现目标相关的风险，它是决定这些风险应如何管理的基础。由于经济、行业、管制和经营条件会不断发生变化，应当建立相应的机制以识别并处理与这些变化相关的特定风险。COSO（1992）指出，须从企业整体和作业两个层次来识别风险。企业整体层次的风险可能由外部或内部因素而产生。外部因素如：科技发展、顾客的需求或预期改变、竞争、新颁布的法律法规、天然灾害、经济环境改变；内部因素如：信息系统处理的中断、员工的品质、经理人的责任改变、企业活动的性质以及员工可接近企业资产的程度、董事会或监事会不够坚定或无效。

　　（二）风险管理的新发展：《企业风险管理——整体框架》

　　2004年，COSO发布了其研究报告《企业风险管理——整体框架》。风险管理整体框架（ERM）是在内部控制整体框架基础上发展而来的。COSO（2004）指出，风险管理框架不想也没有替代内部控制框架，但它将内部控制框架整合在内，采用这一框架，企业既可以满足内部控制的需要，也可以建立一个完整的风险管理过程。

　　1.风险管理的目标

　　COSO（2004）认为，主体的目标包括四个：（1）战略目标，是高水平的目标，它应与组织的使命一致并支持该使命；（2）经营目标，组织应当有效率和效果地使用资源；（3）报告目标，组织应当提供可靠的报告；（4）遵循目标（合规性目标），即组织应当遵循相关的法律规章。

　　企业风险管理实际就是为实现上述目标提供合理的保证。

　　2.风险管理的内容

　　企业风险管理包含以下方面的内容（作用）：

　　（1）协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时，应考虑组织的风险偏好。

　　（2）改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略（包括规避、降低、分担与接受风险）中做出选择。

　　（3）减少经营意外与损失。提高组织识别潜在事项并做出反应，减少意外事项及相关的成本或损失的能力。

　　（4）识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险，企业风险管理应当有助于对相关关联的影响作出有效的反应，并对多企业的风险作出整体性反应。

　　（5）抓住机会。通过考虑所有的潜在事项，管理层应当能够识别并实现机会。

　　（6）改善资本的配置。在获得关于风险的信息后，管理层可以有效地评估总体资本需求并改进资本的配置。

　　企业风险管理的上述作用，有助于管理层实现组织的经营和盈利目标，并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循，并有助于避免组织声誉的损害及相关不良后果。总之，企业风险管理有助于企业向其所期望的方向发展，避免在发展的过程中遭遇陷阱和意外。

　　3.风险管理的要素

　　企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法，并与管理过程合成一个整体。这些要素包括：

　　（1）内部环境。内部环境包含了组织的风格，它确定了组织人员如何看待和处理风险的基础，是其它要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。

　　（2）目标设定。在管理层辨别影响其目标实现的潜在事项之前，必须有目标。企业风险管理要求管理层设定目标，选择的目标需要能够支持组织的使命并与组织使命相一致，并与其风险偏好相一致。

　　（3）事项识别。即识别那些影响组织目标实现的内外部事项，并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。

　　（4）风险评估。必须对风险加以分析，考虑其发生的可能性以及影响，并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。

　　（5）风险应对。管理层应在不同的风险应对（包括回避、接受、降低、分担风险）中做出选择，从而采取一系列与组织的风险容忍度（risk tolerances）和风险偏好相一致的行动。

　　（6）控制活动。应建立相关的政策和程序，以确保风险应对策略得到有效的执行。控制活动通常包括两个要素：确定应从事何种活动的政策、执行政策的程序。

　　（7）信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息并加以传递沟通，从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上，包括向下、向上以及平行交互沟通。

　　（8）监控。整个企业风险管理都应当加以监控并根据需要做出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。

　　对于这八个要素，COSO（2004）指出，企业风险管理不是一个严格的序列过程，即一个要素仅影响下一个要素，而且是一个多方向的、相互影响的过程，任何要素都可以并且确实影响其它的要素。

　　4.风险管理目标与风险管理要素的关系

　　COSO（2004）认为，目标是主体要实现什么，企业风险管理的要素则意味着需要什么来实现它们，因此，风险管理的目标与要素之间存在密切的直接联系。这样，企业目标、风险管理要素与企业各个层级之间就形成一个三维立体图。

　　二、美国风险管理准则对我国的启示

　　从以上COSO风险管理准则内容和要求上，可以看出存在以下特点：

　　（一）将风险管理与内部控制联系在一起。内部控制是风险管理的重要手段，董事会应当建立并维持有效的内部控制系统以实现风险管理。

　　（二）均强调风险管理是一个包含风险识别、计量和应对的系统化过程。风险识别、计量、应对和控制活动是一个紧密的整体，企业必须识别面临的潜在风险，并评估其对企业的影响，从而采取相应的措施来应对风险。在风险识别和分析、评估的技术上，均强调应当结合采用定量技术和定性技术。另外，人们越来越认识到，风险是无法绝对消除的，因此，风险管理的目标是将其控制在主体的风险偏好以内，而不是消除风险。反映到风险应对策略上，相关的风险管理准则大都强调风险的应对措施包括回避、抑减（降低）、转嫁（分摊）、接受，应当根据风险发生的可能性、对主体的影响以及主体自身的风险容量选择适当的应对措施。

　　（三）强调风险管理应当融入到企业日常经营活动中，并贯穿于企业的各个层次、所有的经营活动。风险管理针对的是企业经营活动中对企业目标实现产生影响的风险事项，因此，风险管理必须与企业的经营活动紧密地结合在一起，在经营活动中处处体现风险管理的理念与做法，这不仅有助于及时识别企业所面临的风险事项，也有助于降低风险管理成本、提高风险管理效率。

　　（四）强调控制环境的作用。公司的高层基调、管理层的管理哲学、董事会和相关委员会、员工的胜任能力对于有效的风险管理具有重要作用，如果没有一个良好的、注重风险管理的内部环境，风险管理很难取得成功。

　　（五）强调全员参与。全员管理是现代风险管理的重要特征，风险管理不仅仅是风险管理部门的事，而且需要靠企业的全体员工来落实，所有员工都会影响到企业风险管理的效果，企业应当使所有员工了解自己在风险管理中的作用。

　　（六）强调信息与沟通。信息和沟通对于良好的风险管理和内部控制相当重要，下层要了解公司的风险管理战略和政策、措施，并有顺畅的向上沟通风险管理和内部控制情况的渠道，上层要及时向员工及外部了解企业面临的重大风险及其管理情况。

　　（七）强调定期对风险管理过程和内部控制进行评估，并对发现的缺陷和不足加以报告。风险管理是一个持续的、动态的过程，企业的内、外部环境在不断地变化，这决定了原先的控制未必有效，因此，必须定期对风险管理过程和内部控制的有效性进行评估，以找出其缺陷和不足并及时采取补救措施。

　　（八）强调风险管理和内部控制信息的对外披露。向外部使用者报告风险管理和内部控制信息，是董事会和管理层受托责任的要求。通过信息披露，外部投资者可以对企业面临的机会和风险以及企业风险控制的业绩作出评价，从而做出相关决策；对董事会和管理层来讲，对外披露风险管理和内部控制相关的信息，可以促使企业完善相关制度以加强风险控制。

　　近年来，西方国家纷纷制定风险管理准则，以帮助和指导企业建立健全风险管理框架，如英国的Turnbull报告、澳大利亚和新西兰风险管理准则、加拿大标准协会、日本发布的《建立并应用风险管理系统的指南》等。从我国企业风险管理的现状来看，企业普遍缺乏风险管理的意识以及整体化风险管理的理念，在风险识别、评估、报告和应对方面也都存在许多错误认识，中航油等许多企业的失败均表明了这一点。面对日益复杂的经营环境，企业必须加强风险管理。就政府监管部门而言，应当及时制定企业风险管理指引，以促进企业建立相关风险管理制度。中国银监会已先后发布了《商业银行集团客户授信业务风险管理指引》（2003年10月23日）、《商业银行房地产贷款风险管理指引》（2004年9月2日）、《商业银行个人理财业务风险管理指引》（2004年9月29日）、《商业银行市场风险管理指引》（2004年12月29日）等一系列风险管理指引。然而，这些指引仅针对商业银行某一方面的风险。因此，我国尚缺乏一个建立起风险管理的基本框架、可以指导一般企业风险管理实务的指南，有必要借鉴西方相关风险管理准则，并结合我国企业的实际，制定我国的风险管理规范，以便为企业风险管理提供指导。