全面風險管理
出自 MBA智库百科(https://wiki.mbalib.com/)
全面風險管理(Comprehensive Risk Management)
目錄 |
所謂全面風險管理,是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。
全面風險管理是一個全新的概念,目前主要應用於企業管理領域,所以以下都圍繞企業管理進行闡述。這裡的定義是參照了國有資產監督管理委員會2006年6月發佈的《中央企業全面風險管理指引》。
全面風險管理的發展與應用狀況[1]
很早以前就出現具有一定整體風險管理思想的應用實踐。例如,早在1979年XL環境有限公司曾就化學業提出了一套綜合風險管理方案,不過那隻是將幾種不同的可保風險加以綜合考慮,提供一些新型的保險品種或風險管理方案。XL環境有限公司是一家資本供給公司,客戶是化學產品製造商和銷售商。其客戶面臨的主要風險暴露有:生產過程中因化學要素污染環境而產生的責任賠付和銷售過程中可能出現的產品責任。這些風險暴露的發生都將削弱公司的盈利能力,影響到還款能力。為此,XL環境有限公司通過它的保險操作部門為這些化學製造商和銷售商客戶提供了一套綜合性的風險管理方案,涉及保險、風險控制和索賠管理,它為客戶提供的保險與保險公司提供的標準保險所設定的保險責任範圍有很大區別,在其保單中,保障範圍不但包括環境污染責任損失,也包括產品銷售過程中的產品責任損失。
到了20世紀90年代,在世界經濟快速發展,在自然災害給人類帶來頻繁衝擊的環境和狀態下,整體風險管理思想一經提出就立即受到企業各界人士的青睞,專家和學者開始著手探討具體實施的方法和技術,許多金融機構著手將這一思想應用於自己實際的風險管理活動中。IRM的研究和實踐主要以純粹風險和投機風險的相互關聯為出發點,其過程則是從局部向著整體方向的發展,例如,先從幾種重要風險的綜合管理開始,然後逐漸過渡到真正意義上的整體風險管理實踐;將金融風險管理的理論和方法(如金融工程)逐漸推廣到既包含純粹風險又包含金融風險的情形。
整體風險管理方式作為一種內部管理整合方式已經在許多大型企業推廣應用,尤其是銀行和保險公司應用最為普遍。那些初步實施了整體風險管理方案的企業已經獲得了成效和收益,大大提高了企業競爭力。
整體風險管理方式應用最為普遍的是銀行業,整體風險管理產品出現最多的是保險業,其次是證券業和銀行,其他應用比較廣泛的領域有政府部門在生態管理、巨集觀經濟管理、行業管理的政策研究方面。
較多的要算銀行業。已有的成果有:將銀行業的信用風險的管理與其他金融風險的管理相整合;銀行的資產負債管理與企業經營風險管理相整合。例如,早在1999年,Piraeu銀行集團就開發和使用了整體風險管理方案,將資產負債管理與企業經營風險管理整合為一個部門,使用整合的電腦信息系統,提供融合資產負債管理與企業經營風險管理的報告。該集團又於2001年將資產負債管理和市場風險、信用風險管理相整合。另外,一些金融服務機構正在開發和利用IRM這巨大的潛在市場;許多保險公司也在開發和使用將負債管理與資產管理相結合的信息系統軟體;更多的保險公司對IRM及其軟體包產生了濃厚的興趣和使用願望。
信用風險是銀行的最重要風險之一,也是一種可保風險。現在越來越多的銀行放棄傳統的信用保險而轉向使用IRM的方式將信用風險與金融衍生工具相結合,將信用風險通過資本市場進行分散和轉移。
(一)在負債業務方面運用整體風險管理思想
現在保險公司新發行的許多保單都是將多種可保風險甚至是傳統不可保風險如利率風險等金融風險捆綁在一起,提供更大範圍的保障而且保費更為低廉。例如,綜合型保單、組合型保單、一攬子保單就是將許多不同的風險類型集中在同一張保單里,為所承保的每類風險損失的自留額之上提供一個總保障額。1997年Honeywell公司開創的一種保單同時為四種風險(財產、責任、董事和高級職員責任和匯率波動)提供保障,其中包含一種金融風險——匯率風險。這是一種將純粹風險和投機風險相結合的保單例子。
(二)在資產負債管理中運用整體風險管理思想
保險人不但在承保業務中面臨入不敷出的問題,所持有的資產,如債權、股票、不動產等,也面臨價值貶值的風險。保險人所面I臨的整體風險取決於資產組合和負債組合的風險的綜合效應。設想一下,如果保險人承保的保單持有人出現了超乎意料的索賠,同時股票市場暴跌,所擁有的股票資產在大量縮水,保險人的處境會怎麼樣?顯然保險人將進入一種“雪上加霜”的境地。反過來,如果保險人承保的保單持有人出現了超乎意料的索賠,但是由於金融市場的價格狀態使保險人擁有的資產大幅度升值,那麼,保險人的資產就起到了“雪中送炭”的作用,保險人能順利渡過超常賠付的難關。
保險人運用整體風險管理來進行資產負債管理的途徑之一就是利用保險風險與金融風險相互關聯、此消彼長的性質,以降低風險損失的波動性,爭取穩定的利潤。
這種思路的典型應用就是,保險人在承保了農作物(如大麥)遭受自然災害的保險的同時適當進行一些農作物方面的期貨或期權投資。例如,當某個保險人承保了某家大型農場的農作物保險,這家農場主要生產大麥,風險因素是惡劣天氣(如嚴重乾旱)或過多雨水造成農作物歉收所帶來的損失。該保險人可以投資於一定的大麥期貨或者大麥看漲期權來降低自己的風險程度。當惡劣天氣真的發生,大麥的市場價格也可能大幅上漲。因此,一方面保險公司不得不進行巨額賠付以彌補農場歉收的損失,另一方面期貨或期權價格將上漲,由此帶來額外收益可在一定程度上彌補保險賠償的損失。
(三)在財務管理中運用整體風險管理思想
保險公司利用不同風險此消彼長的性質,將所承保的一些重要風險重新組合或打包,將難以承受的損失部分通過再保險轉移出去,以改善財務狀況,滿足監管要求。如有限風險再保險就是其中一例。
有限風險再保險實際上是再保險合同與融資合同的整合創新形式。與傳統再保險不同的是,在有限風險再保險期間,原保險人與再保險人會共同設立一個經驗賬戶或稱風險管理基金來管理承保期間的承保風險及其資金運營。這種保險合同一般提供多年期的保障,再保險人僅承擔有限風險損失的保障,保障水平一般根據保險期內繳納和積累的保費水平。再保險分出人和分人人可以共用經營成果。例如,如果保險期內發生保險損失低於所繳納的保費,或者積累的保費的投資收益較好使基金積累高於損失的總額,分出人還可以獲得部分保費的返還。在極端的有限風險再保險保單中,幾乎可以不發生任何風險轉移,例如當累積的保費等於累積發生的損失額的時候,再保險人只是起到為時間建立了一個風險基金,這時這種再保險單隻是一種融資工具。
有限風險再保險合同是一種具備IRM思想的典型方案。首先,這種合同是以解決財務問題為目的的保險方式。財務問題本身是綜合了企業各種風險因素之後的結果,因此有限風險再保險合同不是一般的轉移單個承保風險的合同,而是解決企業整體風險的解決方案。其次,有限風險再保險合同一般是多年期的合同,其主要風險管理機制是通過再保險期間不同年份承保損失的平滑來分散承保風險和財務風險,換句話說,這種保險是通過多年時間內承保風險的自然規避來達到分散風險的目的。由於有限風險再保險的特殊運作機制,這種保險不但有助於分散原保險公司的承保風險和財務風險,而且還有助於幫助原保險人滿足監管要求和進行合理避稅,從而有助於原保險人提高盈餘、平衡利潤、業務擴大、改善投資效益等。這種風險融資方式也用於一般企業,稱之為有限風險保單,在這裡建立風險基金、提供融資的是保險公司。
(四)其他應用例
如,IRIVI思想在保險公司設計保單方面就有許多的應用。保險人也將這些整體風險管理思想擴展到向客戶提供整體性的保障產品。保險人往往針對特別客戶的資產與負債特點設計一些特殊保險產品,這些產品將客戶面臨的一些重要風險捆綁在一起,利用這些風險此消彼長的特點,設計賠付條款和確定保險價格,使得這些產品不同於傳統保險產品,它們將以更低廉的價格獲得更大範圍的保障。多觸髮型保險合同就是這種典型的新型產品。
以雙觸髮型保險合同為例。這種保險單與傳統的保險單的主要差異在於,保險賠付不但取決於保險期內的保險事故是否發生並達到賠付的水平(稱為第一種觸發器),而且,還取決於另一個特定非保險事件的發生(稱為第二觸發器)。一般來說,這一特定非保險事件往往與被保人的財務狀況緊密相連的指標,如原材料價格、產品價格、利率以及匯率等。也就是說,當被保險人只是遭受了保險風險的衝擊,其另一影響財務狀況的重要指標沒有惡化的表現,保險人不給予賠付;只有被保人處於“屋漏偏逢連夜雨”的時候才給予補償。這種保單旨在控制企業償付能力不足的整體風險。
霍尼韋爾公司和米德(Mead)公司通過使用ART產品,即把保險保障與金融風險防範技術結合起來,通過把各種風險捆綁在一起,使風險轉移方面的費用節省了大約20%~30%。
早在1997年,加拿大政府就已經將政府部門的整體風險管理呈上了政府議事日程,並開始了在政府各級服務機構推行整體風險管理的研究和實踐工作。在加拿大政府報告“theReportoftheIndependentReviewPanelonModernizationofComptrollershipintheGovernmentofCanada(1997)”中,政府強調在政府公共服務部門推行現代化風險管理的重要性;為響應政府的號召,加拿大內閣秘書處的財政部牽頭組建了一個關於公共服務部門整體風險管理的研究團隊。該團隊由聯邦機構、教育機構和一些個體研究者構成和參與,開發了一個適應公共服務機構風險管理的整體風險管理框架IRMF(In—tegratedRiskManagementFramework)。
IRMF提倡在聯邦公共服務機構內部推行一種系統的、整體化的風險管理方法和體系,強調在公共服務機構內部的風險交流和風險容忍度的重要性。
他們建立IRMF的主要目的是期望:(1)促進各級政府服務部門管口理的創新,以提升公共服務部門的服務功效,保持政府的可信性、可靠性和勤勉印象,使政府行政人員不觸犯並能保護公眾的興趣和利益。(2)促進推廣應用先進的風險管理思想和方法。IRMF可以為公共服務部門及其工作人員提供一個實踐的指南來幫助他們在決策過程中如何識別、評估那些與政策、計劃、項目及其操作相關聯的重要風險,如何適度有序地管理這些重要風險,從而強化政府的責任和義務。
IRMF有四個要件,以下是這四個要件的基本內容以及實施IRMF期望達到的目標:
(1)描繪機構(或公司)層面的風險圖。這一要件的實質就是公司機構層面重要風險的識別與評價,他們期望能獲得三個關鍵成果:①通過對機構內部和外部環境的分析研究,發現機構潛在的威脅和利好機會;②在進行機構層面的風險管理決策規劃中,能充分把握和意識到機構目前的風險管理狀態,包括挑戰、機會、能力、實踐經驗及其文化氛圍;③能繪製機構的風險圖,其中包括的重要內容有:關鍵風險領域、風險容忍度、緩解風險的能力等。
(2)建立一個IRM職能體系。該職能體系達到下麵的目標和要求:①是風險管理的指揮中心,能促進機構內有關風險管理政策、操作規則的制定,推動風險管理計劃的交流、理解和應用。②能藉助和協同現有機構決策機制,包括各級管理部門、明確的責任人以及績效呈報單位,以促進IRM方案和方法的順利落實和推行,並藉助各種績效評價方式,如審計部門獨立地審核和評估,來對IRM的績效進行合理評價。③組織和引導開發使用整個機構的ERM能力(包括相應的人力資本和管理工具及過程)培育計劃和建設措施,以及時應對不斷變化的機構內部及外部環境。
(3)推進IRM的實踐。期望IRM的實踐具備條件:①各部門所使用的風險管理過程是協調一致的;②能使機構決策及其重要性次序的排定兼顧到各個層次的風險管理實踐結果;③輔以決策和與利益關聯者(stakeholder)交流所使用的方法和措施具有持續性和穩定性。
(4)促使風險管理機制的不斷進步和發展。對於這一要素,IRMF期望獲得下麵的結果:①從經驗教訓中學會辨識IRM合適的工作環境;②將學習計劃融入機構的風險管理實踐過程中;③風險管理的成果能用以推動機構中包括個人、團隊的管理的創新、能力培育和不斷改進;④做到經驗和實踐成果能在機構內部以及各級管理層共用。
依據所設定的目標和要求,IRMF詳細地給出了公共服務機構的風135口風險管理科學的發展及其整合趨勢險管理基本過程和重要環節,並給出了這些環節的一般含義和執行規則。
加拿大政府還將整體風險管理思想應用於“千年蟲”的風險控制問題,這些方法的應用已經擴展到了政府線上業務和規劃整合管理。
根據SAS軟體公司在2006年7月對全世界339家金融機構進行的一項問卷調查(SAS,2006)結果顯示,改善企業經營成果並滿足監管條件是推動金融機構實施ERM的主要推動力;除此以外,就是改善企業管理績效、能基於風險進行合理定價、節省分配資本並減少信用風險損失。分析者從所獲得的調查結果判斷,平均而言,應用ERM系統可以減少資本要求10%。更具體地說,對於一個需要100億美元資本分配的銀行,其中60億美元被分配給信用風險,那麼進行先進的、系統化的ERM管理將可以減少6億美元的資本分配;按照10%的年度資本回報率計算,銀行因此可在一年中凈增收益6000美元。
全面風險管理理論的沿革[2]
以KentD.Miller(1992)提出了整合風險管理(Integrated Risk Management)的概念為標誌,隨後的十多年,其發展可以分為兩個階段。
(一)多學派百家爭鳴的階段(1992~2001)
各個領域的專家學者從自己熟悉的學科出發,討論和探索類似於整體風險管理的概念,具有代表性的學派如下:
1.整合風險管理(Integrated Risk Management)。工業管理、工程項目管理領域的學者,從控制和組織的角度提出了整合風險管理,認為企業要從整體角度出發分析、識別、評價企業面對的所有風險並實施相應的管理策略。其主要觀點在於企業可以根據具體的風險狀況,對多種風險管理方式進行整合,強調風險研究範圍的擴展。
2.完全風險管理(Total Risk Management)。心理學、社會學和經濟學的交叉學者認為,風險管理活動應該涉及三個要素:價格、偏好和概率。價格用來確定因預防各種風險所必須支付的成本;概率用來估計這些風險發生的可能性;偏好用來確定承受風險的能力和意願及信心度。風險管理必須將三要素綜合起來,進行系統和動態的理性決策。
3.綜合風險管理(Global Risk Management)。金融機構的學者在對金融機構特別是銀行的風險管理實踐中,提出了綜合風險管理的理論。強調對金融機構面臨的風險做出連慣一致、準確和及時的度量;試圖建立一種嚴密的程式,用來分析總的風險在交易過程、資產組合及其他經營活動範圍內的分佈情況,以及對不同類型的風險應該怎樣進行定價和合理配置資本。同時,在金融機構內部建立專門的風險管理部門,致力於防範和化解風險並且消化由此帶來的成本。
(二)整體風險管理思想的融合階段(2001-)
隨著對風險和風險管理認識在深度和廣度上的拓展,以上理論不再限於各自的原有範疇,各種學說逐漸趨向內涵的融合與統一。北美非壽險精算師協會(CAS)將整體風險管理
定義為:一個對各種來源的風險進行評價、控制、研發、融資、監測的過程,任何行業的企業都可以通過這一過程提升短期或長期的利益相關者價值[5]。這一概念不僅明確了風險管理的價值取向,而且首次將風險管理措施擴展到“研發”、“融資”,反映了風險管理理念的最新成果和較高水平。隨後,在內部控制領域具有權威影響的COSO 委員會,於2004 年9月頒佈了《整體風險管理——總體框架》報告。報告從內部控制的角度出發,研究了整體風險管理的過程以及實施的要點,是整體風險管理理念在運用上的重大突破。
中央企業要在促進國有經濟佈局和結構優化方面發揮表率作用,實現國有資本優化配置,充分發揮跨省市經營,產業分佈廣的優勢,就必須逐步建立全面風險管理框架,降低生產經營風險。在中央企業全面風險管理建立和實施的過程中,應該遵循以下原則。
(一)預測先導原則
成功地迴避風險,必須建立在對風險發生可能性科學預測的基礎上,這就要求在選擇具體操作方法時,堅持理論與實際、定性與定量、歷史與未來相結合的方法,以確保實施方法的準確性和有效性。
(二)權衡輕重原則
對風險的性質、風險程度做出合理評估,結合企業管理、財務等綜合能力,制定風險管理方針和策略。
(三)避免超載原則
國資委或中央企業應對所屬企業管理者的風險管理能力進行監控,避免超出其承受能力的經營風險。
(四)成本效益原則
對因進行風險管理而產生的成本及其績效進行比較,擇優採用。如果風險防範成本超出了最終風險可預測損失,那麼,該項風險防範措施的效果無疑應該大打折扣。
企業全面風險管理髮展趨勢[3]
全面風險管理,是指企業圍繞總體經營目標。通過在企業管理的各個環節和經營過程中,執行風險管理的基本流程。培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統。從而為實現風險管理的總體目標提供合理保證的過程和方法。
從國際上看,許多國家已從制度安排上著手建立以風險容量控製為中樞的相關風險全面管理框架。如美國薩班斯法案的實施。對在美上市公司的治理和管理控制提出了更高的要求,該法案404條款(管理層對內部控制的評價)規定了內部控制方面的要求和內部控制評價報告,這對美國企業內部流程梳理、加強財務投資監管、提高管理透明度等方面產生相當大的影響。2004年,美國著名的反虛假財務報告委員會下屬贊助委員會COSO在內部控制框架概念基礎上,提出一個概念全新的COSO報告《企業風險管理——總體框架》(簡稱EBM),使內部控制研究發展到一個新的階段。COSO委員會提出,企業風險管理是企業的董事會、管理層和其他員工共同參與的一個過程,應用於企業的戰略制定和企業的各個部門和各項經營活動,用於確定可能影響企業的潛在事項,併在其風險偏好範圍內管理風險,從而對企業目標實現提供合理保證。
從國內來看,中央政府已越來越重視風險控制,將風險管理提高到企業管理的重要位置。2006年6月。國務院國資委發佈了《中央企業全面風險管理指引》。對中央企業如何開展全面風險管理工作提出了總體原則,並對企業風險管理的基本流程、組織體系、風險評估等方面進行了比較詳細的引導。該《指引》的出台,對國有資產的保值增值和企業的健康發展。將起到一定積極作用,為我國企業應對經濟全球化挑戰和市場經濟條件下的內外風險,提供了指南。 2007年3月全國工商聯發佈《關於指導民營企業加強危機管理工作的若幹意見》,指導民營企業增強危機意識,建立防範風險的危機預警機制和用於解決危機的應急處理機制,提高危機防範與危機化解的能力和水平。由此可見,我國在企業全面風險管理方面已經邁出了一大步,已經從初始的意識教育發展階段上升到具體策劃實施的實質性階段。但是,全面風險管理在我國企業管理中還屬於相對薄弱的環節。許多企業缺乏經驗,風險意識不強,風險管理手段相對匱乏。因此。廣泛開展企業全面風險管理理論與實踐研究。積極借鑒國際上企業全面風險管理技術和經驗,努力提高我國企業全面風險管理水平,將是我國政府和企業面臨的日益緊迫的重要任務。
全面把握企業全面風險管理的基本流程與要求[3]
企業全面風險管理不同於企業個別風險管理。它需要對企業各種風險進行統一、集中的識別、排序和控制,需要建立科學的全面風險管理流程,保證企業全面風險管理工作的有序性和有效性。為了更好地指導企業風險管理工作,《中央企業全面風險管理指引》第五條詳細提出了我國中央企業全面風險管理基本流程的主要工作,具體包括:
(一)收集風險管理初始信息
收集風險管理初始信息是企業全面風險管理的首要環節,其目的在於及時發現企業可能面臨的各種風險。為企業風險評估提供依據。
不同的風險,源於企業內外不同方面,而且隨時隨地都有可能發生。因此,收集風險管理初始信息應該貫穿於企業所有的業務單位,並且作為一項經常性工作。它要求企業有效地建立風險信息收集與管理系統,廣泛、持續地收集與企業各種風險和風險管理相關的內外初始信息。主要包括與企業戰略風險、財務風險、市場風險、運營風險、法律風險相關的國內外巨集觀經濟政策、經濟運行情況、產業政策、技術進步與技術政策、市場供給與市場需求變化、競爭對手有關情況、本企業戰略與內部條件、有關法律法規等。
(二)進行風險評估
企業風險評估,是對所收集的風險管理初始信息企業各項業務管理及其重要業務流程進行的風險評估,具體包括風險識別、風險分析和風險評價三個步驟,其目的在於查找和描述企業風險,評價所識別出的各種風險對企業實現目標的影響程度和風險價值,給出風險控制的優先次序等。
風險識別、風險分析和風險評價,是一項專業性和組織性很強的管理工作。可以由企業組織有關職能部門和業務單位進行,也可以聘請外部專家乃至有資質、信譽好、專業能力強的中介機構協助進行。但無論如何,都要採取定性與定量相結合的方法,如問卷調查、專家咨詢、管理層訪談、集體討論、情景分析、統計分析、模擬分析等。為了提高風險評估的質量與效率,還要統一制定各種風險度量單位和風險評估模型,要保證風險評估的前提假設、數據來源和評估程式的合理性與準確性。對各類風險之間的相互關係,也要進行必要的相關分析,以便對各種風險進行集中管理。此外,風險評估也是一項經常性工作,需要進行動態管理。
(三)制定風險管理策略
制定風險管理策略,就是根據內外條件,對所識別出的各種風險,按照所給出的優先次序。圍繞企業目標與戰略,確定風險偏好、風險承受度和風險管理有效性標準,選擇適當的風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償和風險控制等風險管理工具,確定風險管理所需要的人力與物力資源的配置原則。這是風險控制的首要環節,決定著企業風險控制的成本與效率。企業應該定期總結和分析所制定的風險管理策略的合理性和有效性,對不適當的風險管理策略進行及時的修正或調整。
(四)提出和實施風險管理解決方案
提出和實施風險管理解決方案,就是根據所制定的風險管理策略。針對各類風險或各項重大風險制定風險解決方案。這是對風險管理策略的具體落實。一般包括:提出和確定風險解決的具體目標、所需要的組織領導、所涉及的管理與業務流程、所需要的條件、手段以及各種內控制度等,以及風險事件發生之前、之中和之後應該採取的具體應對措施(包括外包方案)以及風險管理工具。
所制定的風險管理解決方案,應該滿足合規性要求,同時要註重成本、質量與效率的平衡,堅持經營戰略與風險策略、風險控制與運行效率的統一,保護自身商業秘密,防止自身對外包解決方案產生依賴性風險。
(五)風險管理的監督與改進
企業風險管理的重點是對事關企業生存與發展的重大風險的識別、分析與控制。因此,企業應該以重大風險、重大事件、重大決策和重要管理與業務流程為重點,對上述各項風險管理工作實施情況進行監督,並且採取有效的方法對其有效性進行檢驗。根據監督和檢驗結果,對所存在的問題或缺陷加以改進。
為了加強風險管理的監督與改進工作,企業應該建立健全風險管理工作自查制度、監督評價制度(包括外部評價制度)、報告制度和信息反饋系統,為改進和有效落實風險管理策略和風險管理解決方案提供保證。
全面風險管理的一般程式包括七個步驟。這七個步驟是:
- 建立綜合信息框架;
- 風險評估;
- 制定風險戰略;
- 構造風險管理解決方案;
- 實施風險管理解決方案;
- 監控改進風險管理的過程;
- 貫穿於整個風險管理過程中的信息溝通。
說到風險管理,有個概念是必須要提到的,即企業內部控制。在實踐中有很多企業不能真正理解全面風險管理與內部控制的區別和聯繫,要麼將兩者完全隔離開來,要麼只是簡單地將它們等同起來。那麼它們有什麼聯繫和差異呢?目前國際上基本上是接受了美國COSO(全國虛假財務報告委員會的發起人委員會)2004年發佈的《企業風險管理——整合框架》(國內也有譯作《全面風險管理框架》的)對兩者的闡釋。
- 一、按COSO框架,兩者的聯繫為:
(1)全面風險管理涵蓋了內部控制。COSO框架中明確地指出全面風險管理體系框架包括內控,將之作為一個子系統。
(2)內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理,對於企業所面臨的大部分運營風險,或者說對於在企業的所有業務流程之中的風險,內控系統是必要的、高效的和有效的風險管理方法。同時,維持充分的內控系統也是國內外許多法律法規的合規要求。因此,滿足內部控制系統的要求也是企業風險管理體系建立應該達到的基本狀態。
- 二、內部控制與全面風險管理的差異為:
(1)兩者的範疇不一致。內部控制僅是管理的一項職能,主要是通過事後和過程的控制來實現其自身的目標,而全面風險管理則貫穿於管理過程的各個方面,更重要的是在事前制訂目標時就充分考慮了風險的存在。而且,在兩者所要達到的目標上,全面風險管理多於內部控制。
(2)兩者的活動不一致。全面風險管理的一系列具體活動並不都是內部控制要做的。目前所提倡的全面風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程式等活動。而內部控制所負責的是風險管理過程中間及其以後的重要活動,如對風險的評估和由此實施的控制活動、信息與交流活動和監督評審與缺陷的糾正等工作。兩者最明顯的差異在於內部控制不負責企業經營目標的具體設立,而只是對目標的制定過程進行評價,特別是對目標和戰略計劃制定當中的風險進行評估。
(3)兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,因此,該框架在風險度量的基礎上,有利於企業的發展戰略與風險偏好相一致,增長、風險與回報相聯繫,進行經濟資本分配及利用風險信息支持業務前臺決策流程等,從而幫助董事會和高級管理層實現全面風險管理的四項目標。這些內容都是現行的內部控制框架所不能做到的。
從國際國內發展趨勢來看,隨著內部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統一。
- 三、內部控制與全面風險管理的產生和發展
內部控制和風險管理的概念是在實踐中逐步產生、發展和完善起來的。
在20世紀30年代,由於受到1929-1933年的世界性經濟危機的影響,美國約有40%左右的銀行和企業破產,經濟倒退了約20年。美國企業為應對經營上的危機,許多大中型企業都在內部設立了保險管理部門,負責安排企業的各種保險項目。可見,當時的內部控制和風險管理主要依賴保險手段。
1949年美國審計程式委員會下屬的內部控制專門委員會經過兩年研究發表了題為《內部控制,協調系統諸要素及其對管理部門和註冊會計師的重要性》的專題報告,第一次對內部控製做了權威性的定義。1955年,美國賓夕法尼亞大學沃頓商學院的施耐德教授第一次提出了“風險管理”的概念。
20世紀70年代中期,作為美國“水門事件”調查結果,立法者和監管團體開始對內部控制問題給以高度重視。為了制止美國公司向外國政府官員行賄,美國國會於1977年通過了“國外腐敗實務法案(1977)”。該法案除了反腐敗條款外,還包含了要求公司管理層加強會計內部控制的條款。該法案成為美國在公司內部控制方面的第一個法案。1978年,美國執業會計協會下麵的柯恩委員會(Cohen Commission)提出報告,一是建議公司管理層在披露財務報表時,提交一份關於內控系統的報告;二是建議外部獨立審計師對管理者內控報告提出審計報告。1980年後,內部控制審計的職業標準逐漸成形。而且,這些標準逐漸得到了監管者和立法者的認可。
1970年代以後,隨著企業面臨的風險複雜多樣和風險費用的增加,法國從美國引進了內部控制和風險管理併在法國國內傳播開來。與法國同時,日本也開始了風險管理研究。此後20年來,美國、英國、法國、德國、日本等國家先後建立起全國性和地區性的風險管理協會。1983年在美國召開的風險和保險管理協會年會上,世界各國專家學者雲集紐約,共同討論並通過了“101條風險管理準則”,這是風險管理走向實踐化的一個重要文件。1992年9月,美國COSO委員會發佈了《企業內部控制——整合框架》,這份框架此後被納入政策和法規之中,並被各國數千家企業用來為實現既定目標所採取的行動加以更好的控制。 1995年由澳大利亞和紐西蘭聯合制訂的AS/NZS 4360明確定義了風險管理的標準程式,這就是我們通常說的澳新ERM標準,這標志著第一個國家風險管理標準的誕生。
多年來,人們在風險管理實踐中逐漸認識到,一個企業內部不同部門或不同業務的風險,有的相互疊加放大,有的相互抵消減少。因此,企業不能僅僅從某項業務、某個部門的角度考慮風險,必鬚根據風險組合的觀點,從貫穿整個企業的角度看風險,即要實行全面風險管理。然而,儘管很多企業意識到全面風險管理,但是對全面風險管理有清晰理解的卻不多,已經實施了全面風險管理的企業則更少。但2001年11月的美國安然公司倒閉案和2002年6月的世通公司財務欺詐案,加之其它一系列的會計舞弊事件,促使企業的風險管理問題受到全社會的關註。2002年7月,美國國會通過薩班斯法案(Sarbanes- Oxley法案),要求所有在美國上市的公司必須建立和完善內控體系。薩班斯法案被稱為是美國自1934年以來最重要的公司法案,在其影響下,世界各國紛紛出台類似的方案,加強公司治理和內部控制規範,加大信息披露的要求,加強企業全面風險管理。接著在2004年9月,COSO發佈《企業風險管理——整合框架》(Enterprise Risk Management — Integrated Framework),該框架拓展了內部控制,更加關註於企業全面風險管理這一更為寬泛的領域,並隨之成為世界各國和眾多企業廣為接受的標準規範。
到目前為止,世界上已有30幾個國家和地區,包括所有資本發達國家和地區及一些發展中國家如馬來西亞,都發表了對企業的監管條例和公司治理準則。在各國的法律框架下,企業有效的風險管理不再是企業的自發行為,而成為企業經營的合規要求。
- 四、內部控制與全面風險管理運用的一些誤區
(1)把內部控制與全面風險管理體系的建設理解為建章立制。其實從 COSO框架的定義中,我們可以看出它們都被明確為是一個“過程”,不能當作某種靜態的東西,如制度文件、技術模型等,也不是單獨或額外的活動,如檢查評估等,最好是內置於企業日常管理過程中,作為一種常規運行的機制來建設。
(2)內部控制體系和全面風險管理體系是相互獨立的。建設內部控制和全面風險管理體系都是一個系統工程,兩者在內涵上也有一定重合,企業需要綜合考慮自身業務特點、發展階段、信息技術條件、外部環境要求等,確定選擇合適的管理體系和建設重點。比如,在監管嚴格的金融業或涉及人民生命健康的製藥與醫療行業,風險管理的迫切性更強,企業以風險管理主導內部控制可能更方便。而在另一些企業,為了符合信息披露中內部控制報告的要求,企業以內部控制系統為主導、兼顧風險管理可能更適合。在相關管理理論和實踐不斷發展變化的今天,有時候先做起來比爭論更有意義。
(3)內部控制和全面風險管理的作用被誇大。有些企業對內部控制和風險管理體系的建設寄有過高期望,他們希望內部控制和風險管理可以確保企業的成功、確保財務報告的可靠性和法律法規的遵循性。而實際上無論多麼先進的內部控制和風險管理體系都只能為企業相關目標的實現提供合理的而非絕對的保證。
(4)內部控制與全面風險管理理念在企業實踐落地難。由於新的管理理念和方法的引進,與國內企業原有的管理體系和觀點存在較多的差異和差距,目前這些理念和方法還更多的處於導入階段,大多數企業管理人員還不能在這些框架和概念與企業的日常經營管理行為和語言之間建立直接的聯繫。這造成了企業在這方面的理解有差異或者關註度不夠,除非出現強制性的相關規範和要求。其實這些理念、概念的出現並不是說企業就缺乏這些,事實是理論來源於實踐又高於實踐,這些理論的提出有助於我們將散佈於企業管理各個方面的相關元素按照框架的要求和標準進行補充、修正和組合。
斯坦福大學研究院提出的是企業全面風險管理(CERM:Comprehensive Enterprises Risk Management)框架。
企業全面風險管理(CERM:Comprehensive Enterprises Risk Management)強調通過量化分析支撐下的決策分析,在決策層面上管控戰略方向選擇、重大業務決策等方面的風險。相形之下,COSO風險管理框架以內控為中心,強調通過制度、流程和財務等手段,在業務層面上管控運營、操作過程中的風險。它可以在企業整體層面制定風險戰略,構建內控體系,完善風險管理制度,優化流程和組織職能,為企業構建風險管理的長效機制,從根本上提升風險管理的效率和效果,最終幫助企業實現風險管理的各項目標,包括:
- 建立包括風險識別、風險測評、風險應對和風險監控在內的企業風險管理體系
- 利用系統的、科學的方法對各類風險進行識別和分析
- 將風險應對措施落實到企業的制度、組織、流程和職能當中
- 形成企業風險管理戰略,支持企業經營戰略目標的實現
- 使所有企業利益相關人瞭解企業的風險,滿足股東以及監管機構的要求
提高我國企業全面風險管理水平的主要措施[3]
(一)提高企業高層管理者綜合素質,增強高層管理者全面風險管理能力。
企業全面風險管理水平,取決於高層管理者的風險偏好、處理風險事件的態度、方法和能力。這就要求企業高層管理者必須擁有專門的風險管理知識、才能和智慧,形成一套系統的風險管理理念,樹立科學的風險應對策略觀,以確保履行其風險監控責任,引導企業風險管理文化的形成,推動企業風險管理系統的合理構建。與此相適應,在選拔、聘用和考核企業高層管理者時,應該強調其風險意識、風險管理態度與風險管理能力,要從制度設計著手,引導或迫使企業高層管理者不斷提高其自身綜合素質,增強其全面風險管理能力。
(二)塑造風險管理文化,增強全員風險管理意識。
風險管理是一項全員參與的系統工程,需要以塑造風險管理文化。增強全員風險管理意識為支撐。風險管理文化是企業文化的重要組成部分,其內容主要包括風險管理理念、風險控制行為、風險道德標準和風險管理環境。在風險管理文化建設中。要倡導和強化“全員的風險管理意識”,通過各種途徑將風險管理理念傳遞給每一個員工,並且內化為員工的職業態度和工作習慣;要在企業內部形成風險控制的文化氛圍和職業環境。使企業能敏銳地感知風險、分析風險、防範風險。
(三)設立風險管理機構,構築全面風險管理組織體系。
設立風險管理機構,構築全面風險管理組織體系,是提高企業風險管理水平的重要保證。主要涉及到:企業法人治理結構、風險管理職能部門、內部審計部門、法律事務部門以及其他有關職能部門、業務單位的組織領導機構及其職責。董事會應該成為企業全面風險管理工作的最高決策者和監督者,就企業全面風險管理的有效性對股東會負責。董事會內部可以設置風險管理委員會,專門研究和制定企業風險管理政策與策略等。經理層應該成為企業全面風險管理政策與策略的執行者,主要負責企業全面風險管理的日常工作。就企業全面風險管理工作的有效性對董事會負責。企業風險管理職能部門等內部有關部門。應該形成各有分工、各司其責、相互聯繫、相互配合的有機整體。各機構人員應該由熟悉本職工作,能對個案做出風險評估和處理的專家或專門人才組成。根據各企業經營特點,應該確立各部門、各單位風險控制的重點環節和重點對象。制定相應的風險應對方案;監督企業決策層和各部門、各單位的規範運作。風險發生時。風險管理組織系統應該能夠全面有效地指導和協調風險應對工作。
2009年中央企業全面風險管理報告(模本)[4]
- 一、2008年度風險管理工作有關情況
(一)簡要說明本企業及主要所屬企業2008年度企業風險管理工作計劃的執行情況。
(二)簡要說明2008年本企業管理重大風險的效果,包括在管理機會風險方面所取得的主要成效。
(三)簡要說明本企業建立風險事件庫的相關情況。
1.企業建立風險事件庫,收集整理分析本企業、國內同行業及國外企業發生的風險事件案例的相關情況。
2.根據本企業確定的重大風險損失事件標準,對企業近三年來發生的重大風險損失事件,從發生過程、造成的損失或影響、產生原因、事件的處理以及為防止同類事件再次發生所採取的對策等方面,進行收集整理分析的相關情況。
企業向國資委報送的年度報告中可以僅從分類和數量方面,簡要說明建立風險事件庫、分析重大風險損失事件的有關情況。
- 二、2009年風險管理工作有關情況
中央企業應高度重視當前及今後一定時期內更加複雜的經濟形勢對本企業的影響,在進行風險評估、制訂重大風險管理策略及解決方案時,更具針對性,確保企業持續穩定健康發展。
(一)企業2009年面臨的重大風險。
1.重大風險描述。
說明本企業2009年經風險評估後確定的重大風險(包括純粹風險和機會風險),並從風險類別、產生原因、涉及的主要所屬企業、涉及的重要流程、風險發生後可能給企業帶來的影響等方面逐一進行簡要描述。
2.其他重要風險描述。
對經評估後確定的其他重要風險(發生概率小,一旦發生將對企業的經營目標產生重大影響的風險),比照對重大風險的相關要求逐一進行簡要描述。
3.風險坐標圖。
按照發生的可能性及發生後對經營目標的影響程度兩個維度,將企業2009年面臨的重大風險和其他重要風險繪製成風險坐標圖。
(二)重大風險管理基本流程執行情況。
1.風險評估情況。
(1)簡要說明企業為開展本年度風險評估,尤其是結合當前經濟形勢,進一步在戰略風險、財務風險、市場風險、運營風險和法律風險等方面收集風險管理初始信息的情況。
(2)簡要說明本企業開展2009年風險評估的範圍、方式及參與人員等情況。
(3)以附件形式說明本企業在分析風險發生的可能性、風險發生後對經營目標的影響程度時,所採用的評估標準。
(4)簡要說明同2008年相比,本企業2009年經風險評估後確定的重大風險的變化情況。
(5)按照風險分類,說明風險評估結果的數量分佈情況。
2.重大風險管理策略與解決方案。
(1)以附件形式說明本企業根據自身情況界定的企業重大風險判斷標準。
(2)從以下兩個方面,逐一簡要說明各項重大風險的管理策略和解決方案。
①風險管理策略。包括企業對每一項重大風險的風險偏好、風險承受度及據此確定的風險預警指標等。
②風險解決方案。包括風險事件發生前、中、後擬採取的具體應對措施,所使用的風險管理工具,以及如何抓住重大風險中的機會等。
3.風險管理的監督與改進。
(1)簡要說明本企業對執行重大風險管理策略和解決方案的監督機制。
(2)簡要說明參與風險管理的各業務單位、職能部門,根據可能發生的變化情況和管理中存在的缺陷,完善和改進重大風險管理的機制。
(三)企業全面風險管理工作總體規劃及2009年企業風險管理計劃。
1.簡要說明本企業全面風險管理工作總體規劃。
2.簡要說明本企業2009年全面風險管理工作計劃。
3.說明董事會或經理辦公會議對本企業2009年全面風險管理工作提出的要求。
- 三、企業全面風險管理體系及風險管理文化建設現狀
(已提交《2008年中央企業全面風險管理報告》的企業,本部分只需說明有關變動情況。)
(一)風險管理組織體系。
以附件形式說明企業最新的組織結構圖(三級公司以上)與風險管理組織機構圖。
2.董事會與企業經理層。
設立董事會的企業:
設立風險管理委員會或已確定履行相關職責的專門委員會的,說明該委員會的名稱、構成、職責及履職情況;尚未設立的,說明相關工作計劃;並說明本企業經理層分工負責風險管理工作的相關情況。
未設立董事會的企業:
說明本企業經理辦公會議履行風險管理職責情況及經理層分工負責風險管理工作的相關情況;經理辦公會議下設了風險管理機構(如全面風險管理領導小組、風險管理委員會等)的,說明該管理機構的名稱、構成、職責及履職情況。
3.風險管理職能部門。
設立風險管理專職部門的,說明該部門的名稱、編製、主要職責及人員構成。
確定相關職能部門履行風險管理職責的,說明該部門的名稱、風險管理專職或兼職崗位設置、人員配置及主要職責。
4.主要所屬企業的風險管理組織體系。
本企業主要所屬企業的風險管理組織體系,可比照本節前述2、3的相關要求進行簡要說明。
(二)內部控制系統。
1.簡要說明本企業及主要所屬企業內部控制系統建設現狀,包括重要流程的管理、內部控制評價等。
2.已制訂《內部控制手冊》的企業,簡要說明其主要內容及執行情況。
3.簡要說明本企業建設內部控制系統的工作計劃。
(三)風險管理信息系統。
已建立風險管理信息系統(包括在企業管理信息系統的基礎上,進行補充、調整、更新,使之具備風險信息管理功能)的企業,簡要說明該系統覆蓋的所屬企業範圍、主要管理及業務流程,監控的重大風險以及對這些風險的預警功能等情況。
(四)風險管理文化。
1.簡要說明本企業風險管理文化建設現狀。
2.簡要說明《風險管理指引》印發以來,本企業開展風險管理培訓的有關情況,包括時間、內容、人次及師資等。
3.企業已制定員工行為、道德誠信等有關規定的,簡要說明其主要內容。
(五)風險管理與績效考核。
企業已將風險管理納入績效考核體系的,簡要說明風險管理考核指標及其權重等情況。
- 四、有關意見和建議
(一)需要國資委協助解決的有關重大風險管理問題。
(二)對國資委推動中央企業全面風險管理工作的建議。
全面風險管理有哪些關鍵點呢?如何評估