2.3 企業全面風險管理理論

隨著經濟全球化和一體化程度的加深，企業作為獨立的市場主體，時刻面臨著激烈的市場競爭和復雜多變的生存環境。這種隨時隨地存在的來自外部環境和內部環境的不確定性，就構成了各種風險。這些風險可能給企業帶來收益和機會，也可能給企業帶來挫折和損失。企業要實現其價值最大化和損失最小化，保證企業的健康持續發展，就必須重視和加強對風險的管理和控制。

2.3.1 企業全面風險管理的理論基礎

1．風險的概念

在現實生活中，風險是應用得極為廣泛的概念。然而，對于“風險”的嚴格定義，學術界并未達成一致意見。最早提出風險概念的美國學者海恩斯（J.Haynes）在其1895年出版的著作《Risk as an Economic Factor》中描述：“‘風險’一詞在經濟學和其他學術領域中并無任何技術上的內容，它意味著損害或損失的可能性。某種行為能否產生有害的后果應以其不確定性而定。如果某種行為具有不確定性時，其行為就反映了風險的負擔。”海恩斯的定義反映了風險的兩個基本特性，即負面性和不確定性。

1901年，美國學者雷特（A.H.Willett）在博士論文《風險與保險的經濟理論》中指出：“風險是關于不愿發生的事件發生的不確定性之客觀體現。”這個定義強調了風險的客觀性及其本質屬性上的不確定性。1921年，美國經濟學家芝加哥學派創始人奈特（F.H. Knight）教授在著作《風險、不確定性和利潤》中，將風險與不確定性作了明確區分，指出風險是可用概率測定的不確定性，而不確定性的概率是不可測定的。1964年，美國明尼蘇達大學的威廉姆斯（C.A.Williams）和漢斯（R.M.Heins）在著作《風險管理與保險》中將人的因素引入風險分析，認為雖然風險是客觀的，對任何人都同樣程度地存在，但不確定必是風險分析者的主觀判斷，不同的人對同一風險可能存在不同的看法。1983年，日本學者武井勛在著作《風險理論》中，總結了歷史上眾家觀點，歸納了風險定義本身應具有3個基本因素：（1）風險與不確定性有所差異；（2）風險是客觀存在的；（3）風險可以被測算。在此基礎上，武井勛對風險作了新的表述：“風險是在特定環境中和特定期間內自然存在的導致經濟損失的變化。”

上百年來，眾多學者、諸多標準對風險的定義雖各有差異，但基本上都圍繞著負面性和不確定性這兩個特性來闡述[87],[88],[89]。然而，發展到當今時代，企業層面風險具有了“危害”和“可利用”兩重性，使如何為企業范疇的“風險”進行重新定義帶來激烈的爭執。根據ISO 31000:2009-Risk management—Principles and guide-lines和我國相應標準GB/T 24353—2009《風險管理 原則與實施指南》的定義，風險是指不確定性對目標的影響。至此達成共識，風險已經成為一個中性字眼。然而，對于企業發展來說，廉實力相關風險均屬于純粹風險，通常意味著危害和損失。

2．企業風險的分類

根據國資委發布的《中央企業全面風險管理指引》（國資發改革[2006]108號），企業風險一般可分為戰略風險、財務風險、市場風險、運營風險、法律風險等。

戰略風險指不確定性對企業戰略目標實現的影響。戰略風險是未來影響企業的各種不確定性事件，已經發生的確定性事件不能作為企業戰略風險。而且，只有當某個事件或偶然性影響到戰略目標的實現時，才可以稱為戰略風險[90],[91]。

財務風險指在企業各項財務活動過程中，由于各種難以預料或控制的因素影響，使企業的財務收益與預期收益發生偏離，從而使企業有蒙受損失的可能性。從財務管理職能角度，企業財務風險可分為籌資風險、投資風險和收益分配風險。

市場風險包括產品市場風險、金融市場風險等。產品市場風險是指因市場變化、產品滯銷等原因導致跌價或不能及時賣出自己的產品。金融市場風險包括利率風險，外匯風險，股票與債券市場風險，期貨，期權與衍生工具風險等。

運營風險指企業內部流程、人為錯誤或外部因素而令公司產生經濟損失的風險。運營風險包括公司的流程風險、人為風險、系統風險、事件風險和業務風險等。

法律風險指因企業內外部的具體行為不規范，引起與企業所期望達到的目標相違背的法律上的不利后果發生的可能性。全面風險管理的范圍涵蓋商業運作的全過程，任何經營活動都可能引發一定的風險，商業風險層面和法律風險層面都有所涉及，但對法律風險的理解應更為寬泛。

3．企業全面風險管理的概念

風險管理對企業來說，早在20世紀五六十年代已經是耳熟能詳的詞語，許多企業也都有著成功的應用。然而，傳統的企業風險管理主要集中在業務層面上，尤其注重經營過程中的事故和安全；管理方式往往是分離的，比如許多企業設有風險經理負責管理企業保險事宜，財務部門負責管理財務風險，一些生產經理可能負責著有關生產安全的管理。各職能部門負責該部門所管理或經營活動過程中的風險；各部門之間在風險的管理方式、方法、策略選擇方面聯系少，管理者之間一般缺乏溝通和交流。

但是，隨著全球化及先進技術的快速發展，很多企業開始發現他們處在了一個全新的環境中，事物間的聯系越來越復雜，往往是牽一發而動全身，復雜變化的環境和激烈的競爭致使企業稍有不慎就陷入危機，甚至破產消亡。在風險管理的運用過程中，人們發現先前的孤立的企業風險管理模式已經不再適應新的形勢了，必須綜合、全面地考慮所面臨的風險。因此，很多企業開始探索一些新的集成化的風險管理模式。

1999年，《巴塞爾新資本協議》形成了全面風險管理發展的一個推動力，《巴塞爾新資本協議》將市場風險和操作風險納入資本約束的范圍，提出了資本充足率、監管部門監督檢查和市場紀律三大監管支柱，其中蘊含著全面風險管理的理念。2001年，美國反對虛假財務報告委員會下屬的由美國會計學會、注冊會計師協會、國際內部審計師協會、財務經理協會和管理會計學會等組織參與的“發起組織委員會”（Committee of Sponsoring Organizations of the Treadway Commission, COSO）提出了對企業全面風險管理進行研究的構想，并邀請了普華永道事務所作為合作伙伴，組織各方面的專家進行集體的討論。2003年7月，COSO委員會發布了企業全面風險管理框架的征求意見稿，并于2004年9月發布了《全面企業風險管理——整合框架》正式稿，給出了一個全新的企業風險管理模式建立的指導意見。

2006年6月，國資委為指導其作為出資人的企業（以下簡稱中央企業）開展全面風險管理工作，增強企業競爭力，提高投資回報，促進企業持續、健康、穩定發展，根據《中華人民共和國公司法》《企業國有資產監督管理暫行條例》等法律法規，制定了《中央企業全面風險管理指引》（以下簡稱《指引》），標志著我國中央企業開始實施全面風險管理。

根據《指引》，企業全面風險管理是指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。

根據《指引》，企業開展全面風險管理的總體目標主要包括：①確保將風險控制在與總體目標相適應并可承受的范圍內；②確保內外部，尤其是企業與股東之間，實現真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告；③確保遵守有關法律法規；④確保企業有關規章制度和為實現經營目標而采取重大措施的貫徹執行，保障經營管理的有效性，提高經營活動的效率和效果，降低實現經營目標的不確定性；⑤確保企業建立針對各項重大風險發生后的危機處理計劃，保護企業不因災害性風險或人為失誤而遭受重大損失。

2.3.2 企業全面風險管理的過程框架

企業風險管理的過程框架是描述企業全面風險管理的骨架，企業一般是在風險管理的過程框架指引下，將各類概念、信息、方法、工具和策略運用其中，形成具有企業自身特點的風險管理過程和體系。1995年由澳大利亞標準委員會和新西蘭標準委員會成立的聯合技術委員會經過廣泛的信息搜集、整理和討論，并經過多次修改，制訂和出版了全球第一個企業風險管理標準——澳大利亞/新西蘭風險管理標準（AS/NZS 4360，以下簡稱澳新標準）。該標準的特點是適用范圍廣泛，為各行業各部門的風險管理提供了一個共同框架，在全世界很多國家和地區加以應用。

之后澳新標準經過1999年和2004年兩次修訂，成為當今較為充分反映企業利益和相關者利益的更為適宜的企業層面風險管理過程框架。主要參考澳新AS/NZS 4360標準，同時結合我國《中央企業全面風險管理指引》，形成了圖2-1所描述的企業全面風險管理過程框架。

企業全面風險管理的基本流程包括：收集風險管理初始信息，進行風險評估，制定風險管理策略，提出和實施風險管理解決方案，以及風險管理的監督與改進。根據《中央企業全面風險管理指引》，基本流程主要內容如下：

1．收集風險管理初始信息

在實施全面風險管理時，企業應廣泛、持續不斷地收集與本企業風險和風險管理相關的內部、外部初始信息，包括歷史數據和未來預測。這些信息應包括戰略風險、財務風險、市場風險、運營風險、法律風險等各個方面。企業對收集的初始信息應進行必要的篩選、提煉、對比、分類、組合，以便進行風險評估。

2．進行風險評估

企業應對收集的風險管理初始信息和企業各項業務管理及其重要業務流程進行風險評估。風險評估通常包括風險辨識、風險分析、風險評價3個步驟。風險辨識是指查找企業各業務單元、各項重要經營活動及其重要業務流程中有無風險，有哪些風險。風險分析是對辨識出的風險及其特征進行明確的定義描述，分析和描述風險發生可能性的高低、風險發生的條件。風險評價是評估風險對企業實現目標的影響程度、風險的價值等。

3．制定風險管理策略

風險管理策略，是指企業根據自身條件和外部環境，圍繞企業發展戰略，確定風險偏好、風險承受度、風險管理有效性標準，選擇風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償、風險控制等適合的風險管理工具的總體策略，并確定風險管理所需人力和財力資源的配置原則。一般情況下，對戰略、財務、運營和法律風險，可采用風險承擔、風險規避、風險轉換、風險控制等方法。對能夠通過保險、期貨、對沖等金融手段進行理財的風險，可以采用風險轉移、風險對沖、風險補償等方法。

4．提出和實施風險管理解決方案

企業應根據風險管理策略，針對各類風險或每一項重大風險制訂風險管理解決方案。方案一般應包括風險解決的具體目標，所需的組織領導，所涉及的管理及業務流程，所需的條件、手段等資源，風險事件發生前、中、后所采取的具體應對措施以及風險管理工具（如關鍵風險指標管理、損失事件管理等）。企業應當按照各有關部門和業務單位的職責分工，認真組織實施風險管理解決方案，確保各項措施落實到位。

5．風險管理的監督與改進

企業應以重大風險、重大事件和重大決策、重要管理及業務流程為重點，對風險管理初始信息、風險評估、風險管理策略、關鍵控制活動及風險管理解決方案的實施情況進行監督，采用壓力測試、返回測試、穿行測試以及風險控制自我評估等方法對風險管理的有效性進行檢驗，根據變化情況和存在的缺陷及時加以改進。企業應建立貫穿于整個風險管理基本流程，聯結各上下級、各部門和業務單位的風險管理信息溝通渠道，確保信息溝通的及時、準確、完整，為風險管理監督與改進奠定基礎。

6．風險管理的信息與溝通

在風險管理過程的早期，為達到一個好的與內部和外部利益相關方溝通的效果就應建立一個風險溝通計劃。這一溝通計劃作用和貫穿于風險管理過程的始終，并影響到風險管理的實施效果。這一計劃就是要保證風險管理計劃的執行者與組織利益相關方了解所涉及的風險和了解所涉及的風險管理過程所處于的基礎環境。企業應將信息技術應用于風險管理的各項工作，建立涵蓋風險管理基本流程和內部控制系統各環節的風險管理信息系統，包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。