论全面风险管理(ERM)框架体系的构建发布时间:2008-12-26文章来源:作者惠寄文章作者:张琴陈柳钦【内容提要】全面风险管理(ERM)是在以价值为导向的企业目标确立过程中取代传统风险管理,承担增加公司价值使命的新型风险管理体系和手段。ERM框架体系不仅包括我们常说的风险管理策略和过程,还应该包括所有支持和保障ERM效率效果的六方面辅助政策和设施,统称为ERM的配套设施,策略、过程和配套设施三个部分缺一不可,共同构成全面风险管理的整体框架。【关键词】全面风险管理(ERM);避险策略;风险评估;公司治理;内部控制一、全面风险管理(ERM)的内涵国外文献中关于全面风险管理(EnterpriseRiskManagement(ERM))的词汇还有IntegratedRiskManagement(IRM)、HolisticRiskManagement、Enterprise-wideRiskManagement等。其中“integrated”的直观解释是“综合的、完整的”,含有“整合”的意思;“holistic”为“整体的、全盘的”之意,其含义强调“整体性”。而“enterprise”的直译解释为“企业、进取心”,它在本文中有两层含义,第一层含义是指审计或过程的控制,强调在整个企业范围内连续有效的控制过程,从管理方法上强调一种连续和综合的方法(consistentandcomprehensive),企业的所有风险都应该包含在管理或控制范围内;第二层含义是投资与金融中资产组合“portfolio”的同义词,该含义认为,企业尤其是金融企业是风险的集合体,组合风险不仅依赖于单个风险的性质,还依赖于风险之间的相互作用和整合。[1]关于ERM的定义经历了从百家争鸣到整合统一的历程。主要的定义有:KentD.Miller(1992)提出的整合风险管理(IntegratedRiskManagement)定义[2]认为整合风险管理是一种从整体上考虑系统面临的各种风险,建立全瞻性的优化组合机制的管理体系。JerryMiccolis&SamirShah(2001)[3]指出,就一般企业而言,全面风险管理是从企业所有资源出发,对企业的商业目标形成威胁或为企业带来竞争优势的整体风险进行评估和管理的经济活动。就保险企业而言,全面风险管理是整个保险业风险与价值的动态整合优化,它包括为实现提高企业价值的目标而对公司财务风险和操作风险(operationalrisk)进行评估、减低、融资或利用等技术手段的选择,以及对其所采取的财务战略和经营战略的强化、执行和控制。LisaMeulbroek(2002)指出,所谓公司整合性风险管理,就是对影响公司价值的众多因素进行辨别和评估,并在全公司范围内实行相应战略以管理和控制这些风险。整合性风险管理的目的就是将企业的各项风险管理活动纳入统一的系统,实现系统的整体优化,创造整体的管理效益,提升或创造企业更大的价值。[4]他在同一年的另一篇文章中强调,整合风险管理在本质上是战略的,而不是战术的。战术性的风险管理,其视角窄小有限。[5]WilliamH.Panning(2003)[6]指出,ERM是新的思维方式、测度方式和管理方式的三维统一体,通过这些方式促进管理者实现公司价值最大化。从思维方式上看,ERM是一种理念和文化;从测度方式上看,它具有一定的技术管理性;从管理方式上看,它是一种行为。2001年北美非寿险精算师协会(CasualtyActurialSociety,CAS)在一份报告中,明确提出了全面风险管理(Enterprise-wideRiskManagement或EnterpriseRiskManagement,即ERM)的概念,并对这种基于系统观点的风险管理思想进行了较为深入的研究。CAS(2003)对ERM的定义为[7]:ERM是一个对各种来源的风险进行评价、控制、研发、融资、监测的系统过程,任何行业和企业都可以通过这一过程提升股东短期或长期的价值。随后,在内部控制领域具有权威影响的COSO委员会,于2004年9月颁布了《全面风险管理—整合框架(EnterpriseRiskManagement——IntegratedFramework)》报告。报告从内部控制的角度出发,研究了全面风险管理的过程以及实施的要点[8],是全面风险管理理念在运用上的重大突破。COSO对ERM的定义是:全面风险管理是一个过程,它由一个企业的董事会、管理当局和其他人员实施,应用于企业战略制订并贯穿于企业各种经营活动之中,目的是识别可能会影响企业价值的潜在事项,管理风险于企业的风险容量之内,并为企业目标的实现提供保证。归纳起来一个正确的ERM概念应该包括下面几个关键要素,它们是:①过程:ERM是一个过程,这个过程贯穿于企业的各种管理和经营活动之中;②对象:ERM的对象是企业内、外部各种来源的风险整体;③主体:ERM的执行主体涉及到企业各个层级的全体员工和所有部门;④目标:ERM的目标是把风险控制在风险容量以内,同时为企业寻找最佳的风险/收益平衡点,最终的目的是提升股东短期或长期的价值。三、全面风险管理(ERM)体系的构建原则企业全面风险管理是一个涉及多个学科、涵盖方方面面的系统工程,由此构建的ERM框架应该是一个多维的、立体的、连续的管理方案和过程。要构建这样一个管理框架,必须要遵循以下原则:(1)多维度目标评价体系原则。ERM是以增加股东价值为导向的,而股东价值的多维性决定了ERM必然是一个多目标决策活动,因此要有全面的目标评价体系,以满足具体情况下不同层次不同价值取向的需要。要实现多目标的风险管理,需要对企业的目标进行完整的表述,形成全面的目标评价体系,并且使用适当的综合目标分析方法来帮助制定决策。(2)多种管理机制配套原则。ERM要求有一个综合的独立于其他业务部门之外的风险管理机构,这个机构负责制定针对公司所有风险活动的方针政策,并直接向首席执行官(CEO)报告;ERM还要求有一个综合的风险转移策略,该策略在公司整体范围内整合所有类型风险,在充分考虑了各种风险的“天然对冲效应”后,将管理层认为无用的剩余风险通过衍生品或保险转移出去;最后,ERM是管理的攻击性武器,它需要把风险管理整合到公司的业务流程中,通过支持和影响定价、资源配置以及其他业务决策来优化企业绩效。因此,ERM是一个涉及公司治理、内部控制、部门管理、组合管理、权益方管理以及数据和技术资源管理在内的综合框架,其中任何一方面的失误都会影响到整个ERM的效率,某些关键失误甚至会导致整个ERM系统失效。(3)经验借鉴和因地制宜相结合。ERM框架构建的目的是为了更准确的反映企业的风险暴露情况,更高效的管理公司的风险敞口,保证公司的稳健经营和价值增长。要实现这个目标,一方面在框架主体上要充分吸收和借鉴国外ERM框架的成功经验(如表1所示的行业经验和综合标准),这些经验从较高视角诠释的ERM框架主体结构适用于不同国家不同行业的现代企业;另一方面,在涉及到具体风险评估和制度配套上还要立足于我国的实际情况,充分考虑国内消费者独有的文化、习惯、消费心理特征,充分考虑行业和企业的风险管理现状以及所面临的独特的经济、金融和监管环境,立足于中国实际和发展趋势设计出来的ERM框架,才更具有现实意义。表1目前国际上流行的主要风险管理标准标准行业或国家成果行业标准银行巴塞尔银行监管委员会、国际清算银行1998年的《银行内部控制框架》和2003年的《操作风险管理和监管的良好做法》巴塞尔银行监管委员会2004年出台的《新资本协议》保险澳大利亚金融监管局(APRA)的审慎监管标准(2001)美国保险监督官协会(NAIC)的RBC体系(1990-2000)A.M.Best公司的ERM整体模型风险管理咨询服务公司Tillinghast-TowersPerrin的ERM设计指南Moody's公司的新C-3aRBC体系(2000)IT管理控制美国信息系统审计与控制协会(ISACA)制定COBIT框架2000年第二版上市公司标准澳大利亚/新西兰1995年制定风险管理过程的国家标准,1999年更新加拿人1994制定Dey报告要求上市公司报告内部控制的充分性英国伦敦证券交易所在2003年更新了1998年的Cadbury报告,形成“公司治理联合准则(TheCombinedCode)”美国美国证券交易委员会:2002年《萨班斯——奥克斯利法案》德国1998年颁布强制性条例——theKonTraG荷兰1997年颁布了Peters报告,给出了公司治理的40条最佳常规综合标准所有企业1992年9月COSO委员会发布《内部控制——整合框架》报告1999年英国Turnbull的《内部控制指南》2004年9月COSO委员会发布《整体风险管理框架》报告四、全面风险管理(ERM)体系的框架结构及说明ERM所要做的是了解企业经营活动中所产生的全部风险的同时用最小的成本去管理和利用这些风险,减少损失同时获取风险溢价。基于这个考虑,ERM框架应该是从全局高度制定的战略目标和风险偏好指导、各种策略和配套设施支持下的连续风险管理过程(如图2所示)。其中,ERM策略是从财务上对风险的可能结果进行的事前处理,是实现风险管理目标的手段。ERM过程是为了确定最优的风险管理成本和最有效的资本配置方案,这个过程要便于公司组织内部对风险管理的理解和实施,并能主动支持公司的风险管理策略,是进行风险管理决策的基础。ERM过程要在目标的指导下进行,ERM目标是风险管理的方向,是前面所有努力所要达到的最终结果,它应该有多个层次多个维度,考虑到企业不同的价值取向和各个发展时期。ERM的配套设施是实现ERM过程的软硬件准备,是风险管理效率效果的必要保证。1、ERM策略。ERM策略针对的不是单个风险,而是整个公司的风险剩余,从这个意义上说它包括资产规避、负债规避、股权规避和杠杆管理四个基本策略。不论风险的来源如何,也不管风险从什么方面增加了公司的成本,只要风险对公司价值产生了影响就可以使用这四种策略来管理风险(具体见作者2008年的另一篇文章[9])。总之,全面风险管理策略不仅包括传统意义上的风险控制和套期保值策略,还包括新型风险管理工具的运用,并且要和公司的投融资策略以及资本结构政策结合起来,共同为股东和公司关联方利益服务。2、ERM目标和风险偏好。ERM框架要求管理当局采取适当的程序去设定目标,确保所选定的目标切合、支持该主体的使命,并且与它的风险容量相一致。目标制定是一切风险评估和管理过程的前提,因此企业必须首先制定目标,在此之后,管理层才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险进行管理。制定战略及其它目标时,必须要考虑企业的风险偏好或风险容忍度,风险容忍度是指在实现企业特定目标过程中对差异的可接受程度。风险容忍度应该是明确的、切实可行的、可以衡量的;风险容忍度应该在整个企业的层面进行适当分配,以便于管理和监控;风险容忍度应该要企业内部外部的人都明确知道。ERM目标应该包括长远的战略目标和中短期的经营性目标,COSO发布的《全面风险管理——整合框架(EnterpriseRiskManagement——IntegratedFramework)》(2004年9月)将ERM的目标分为:①战略(strategic)目标,是较高层次的目标,与企业的使命相关联并支撑其使命;②经营(operations)目标,保证企业有效和高效率地利用其资源;③报告(reporting)目标,保证各种报告的可靠性;④合规(compliance)目标,保证企业各项经营活动符合适用的法律和法规的规定。战略目标的确立把ERM提高到了指导企业经营活动的高度,在市场日趋成熟的情况下,企业要想长期稳定的保持其竞争优势,必须把战略目标作为首要考虑的目标,其它三个目标要围绕战略目标来确立。同样,在进行风险决策时也要首先满足战略目标。3、ERM过程。一个典型的ERM过程应该包括如图3所示的基本风险管理步骤。首先要在明确企业使命的前提下制定企业的战略目标,战略目标是在历史分析的基础上做出的远景预