企业全面风险管理体系的构建(1)

第27卷第1期2009年2月郑州航空工业管理学院学报JournalofZhengzhouInstituteofAeronauticalIndustryManagementVo.l27No.1Feb.2009:2008-11-25:张琴,女,河北定州人,博士生,研究方向为风险管理。陈柳钦,男,湖南邵东人,教授,研究方向为产业经济、金融理论。企业全面风险管理体系的构建张琴1,陈柳钦2(1.,300071;2.,300191):(ERM),。ERM,ERM,、、、、、,ERM。、,。:;;;;:F270:A:1007-9734(2009)01-0063-06、(ERM)国外文献中关于全面风险管理(EnterpriseRiskManagement(ERM))的词汇还有IntegratedRiskManagement(IRM),HolisticRiskManage2men,tEnterprise-wideRiskManagement等。其中/integrated0的直观解释是/综合的、完整的0,含有/整合0的意思;/holistic0为/整体的、全盘的0之意,其含义强调/整体性0。而/enterprise0的直译解释为/企业、进取心0,它在本文中有两层含义:第一层含义是指审计或过程的控制,强调在整个企业范围内连续有效的控制过程,从管理方法上强调一种连续和综合的方法(ConsistentandComprehensive),企业的所有风险都应该包含在管理或控制范围内;第二层含义是投资与金融中资产组合/portfolio0的同义词,该含义认为,企业尤其是金融企业是风险的集合体,组合风险不仅依赖于单个风险的性质,还依赖于风险之间的相互作用和整合。¹一些学者从不同角度对ERM进行了定义,主要有:KentDMiller(1992)提出的整合风险管理(IntegratedRiskManagement)定义º,认为整合风险管理是一种从整体上考虑系统面临的各种风险,建立全瞻性的优化组合机制的管理体系。JerryMiccolis和SamirShah(2001)»指出,就一般企业而言,全面风险管理是从企业所有资源出发,对企业的商业目标形成威胁或为企业带来竞争优势的整体风险进行评估和管理的经济活动。就保险企业而言,全面风险管理是整个保险业风险与价值的动态优化整合,它包括为实现提高企业价值的目标而对公司财务风险和操作风险(OperationalRisk)进行评估、减低、融资或利用等技术手段的选择,以及对其所采取的财务战略和经营战略的强化、执行和控制。LisaMeulbroek(2002)指出,所谓公司整合性风险管理,就是对影响公司价值的众多因素进行辨别和评估,并在全公司范围内实行相应战略,以管理和控制这些风险。整合性风险管理的目的就是将企业的各项风险管理活动纳入统一的系统,实现系统的整体优化,创造整体的管理效益,提升或创造企业更大的价值。¼他在同一年的另一篇文章中强调,整合风险管理在本质上是战略的,而不是战术的。战术性的风险管理,其视角窄小有限。½WilliamHPanning(2003)¾指出,ERM是新的思维方式、测度方式和管理方式的三维统一体,通过这些方式促进管理者实现公司价值最大郑州航空工业管理学院学报第27卷化。从思维方式上看,ERM是一种理念和文化;从测度方式上看,它具有一定的技术管理性;从管理方式上看,它是一种行为。2001年北美非寿险精算师协会(CasualtyAc2turialSociety,CAS)在一份报告中,明确提出了全面风险管理(Enterprise-wideRiskManagement或EnterpriseRiskManagemen,t即ERM)的概念,并对这种基于系统观点的风险管理思想进行了较为深入的研究。CAS(2003)对ERM的定义为¿:ERM是一个对各种来源的风险进行评价、控制、研发、融资、监测的系统过程,任何行业和企业都可以通过这一过程提升股东短期或长期的价值。随后,在内部控制领域具有权威影响的CO2SO委员会,于2004年9月颁布了5全面风险管理)))整合框架(EnterpriseRiskManagement)IntegratedFramework)6报告。报告从内部控制的角度出发,研究了全面风险管理的过程以及实施的要点À,是全面风险管理理念在运用上的重大突破。COSO对ERM的定义是:全面风险管理是一个过程,它由一个企业的董事会、管理当局和其他人员实施,应用于企业战略制定并贯穿于企业各种经营活动之中,目的是识别可能会影响企业价值的潜在事项。管理风险位于企业的风险容量之内,并为企业目标的实现提供保证。归纳起来,一个正确的ERM概念应该包括下面几个关键要素。(1)过程:ERM是一个过程,这个过程贯穿于企业的各种管理和经营活动之中;(2)对象:ERM的对象是企业内、外部的各种风险;(3)主体:ERM的执行主体涉及企业各个层级的全体员工和所有部门;(4)目标:ERM的目标是把风险控制在风险容量以内,同时为企业寻找最佳的风险/收益平衡点,最终的目的是提升股东短期或长期的价值。、(ERM)1.多维度目标评价体系原则ERM是以增加股东价值为导向的,而股东价值的多维性决定了ERM必然是一个多目标决策活动,因此要有全面的目标评价体系,以满足具体情况下不同层次不同价值取向的需要。要实现多目标的风险管理,需要对企业的目标进行完整的表述,形成全面的目标评价体系,并且使用适当的综合目标分析方法来帮助制定决策。2.多种管理机制配套原则ERM要求有一个综合的独立于其他业务部门之外的风险管理机构,这个机构负责制定针对公司所有风险活动的方针政策,并直接向首席执行官(CEO)报告;ERM还要求有一个综合的风险转移策略,该策略在公司整体范围内整合所有类型风险,在充分考虑各种风险的/天然对冲效应0后,将管理层认为无用的剩余风险通过衍生品或保险转移出去;最后,ERM是管理的攻击性武器,它需要把风险管理整合到公司的业务流程中,通过支持和影响定价、资源配置以及其他业务决策来优化企业绩效。因此,ERM是一个涉及公司治理、内部控制、部门管理、组合管理、权益方管理以及数据和技术资源管理在内的综合框架,其中任何一方面的失误都会影响到整个ERM的效率,某些关键失误甚至会导致整个ERM系统失效。3.经验借鉴和因地制宜相结合1标准行业或国家成果行业标准银行巴塞尔银行监管委员会、国际清算银行1998年的5银行内部控制框架6和2003年的5操作风险管理和监管的良好做法6巴塞尔银行监管委员会2004年出台的5新资本协议6保险澳大利亚金融监管局(APRA)的审慎监管标准(2001)美国保险监督官协会(NAIC)的RBC体系(1990~2000)AMBest公司的ERM整体模型风险管理咨询服务公司Tillinghast-Tow2ersPerrin的ERM设计指南Moody's公司的新C-3aRBC体系(2000)IT管理控制美国信息系统审计与控制协会(ISACA)制定COBIT框架2000年第二版上市公司标准澳大利亚/新西兰1995年制定风险管理过程的国家标准,1999年更新加拿大1994制订Dey报告要求上市公司报告内部控制的充分性英国伦敦证券交易所在2003年更新了1998年的Cadbury报告,形成/公司治理联合准则(TheCombinedCode)0美国美国证券交易委员会:2002年5萨班斯)奥克斯利法案6德国1998年颁布强制性条例)))theKonTraG荷兰1997年颁布了Peters报告,给出了公司治理的40条最佳常规综合标准所有企业1992年9月COSO委员会发布5内部控制)))整合框架6报告1999年英国Turnbull的5内部控制指南62004年9月COSO委员会发布5整体风险管理框架6报告ERM框架构建的目的是为了更准确地反映64第1期张琴,陈柳钦:企业全面风险管理体系的构建企业的风险情况,更高效地管理公司的风险敞口,保证公司的稳健经营和价值增长。要实现这个目标,一方面在框架主体上要充分吸收和借鉴国外ERM框架的成功经验(如表1所示的行业经验和综合标准),这些经验从较高视角诠释的ERM框架主体结构适用于不同国家、不同行业的现代企业;另一方面,在涉及具体风险评估和制度配套上还要立足于我国的实际情况,充分考虑国内消费者独有的文化、习惯、消费心理特征,充分考虑行业和企业的风险管理现状以及所面临的独特的经济、金融和监管环境。立足于中国实际和发展趋势设计出来的ERM框架,才更具有现实意义。、(ERM)ERM所要做的是在了解企业经营活动中所产生的全部风险的同时用最小的成本去管理和利用这些风险,减少损失,同时获取风险溢价。基于这个考虑,ERM框架应该是从全局高度制定的战略目标和风险偏好指导、各种策略和配套设施支持下的连续风险管理过程(如图1所示)。1ERM其中,ERM策略是从财务上对风险的可能结果进行的事前处理,是实现风险管理目标的手段。ERM过程是为了确定最优的风险管理成本和最有效的资本配置方案。这个过程要便于公司组织内部对风险管理的理解和实施,并能主动支持公司的风险管理策略,是进行风险管理决策的基础。ERM过程要在目标的指导下进行,ERM目标是风险管理的方向,是前面所有努力所要达到的最终结果,它应该有多个层次多个维度,考虑到企业不同的价值取向和不同的发展时期。ERM的配套设施是实现ERM过程的软硬件准备,是风险管理效率及效果的必要保证。1.ERM策略ERM策略针对的不是单个风险,而是整个公司的风险剩余,从这个意义上说它包括资产规避、负债规避、股权规避和杠杆管理四个基本策略。不论风险的来源如何,也不管风险从什么方面增加了公司的成本,只要风险对公司价值产生了影响就可以使用这四种策略来管理风险。总之,全面风险管理策略不仅包括传统意义上的风险控制和套期保值策略,还包括新型风险管理工具的运用,并且要和公司的投融资策略以及资本结构政策结合起来,共同为股东和公司关联方利益服务。2.ERM目标和风险偏好ERM框架要求管理当局采取适当的程序去设定目标,确保所选定的目标切合、支持该主体的使命,并且与它的风险容量相一致。目标制定是一切风险评估和管理过程的前提,因此企业必须首先制定目标,在此之后,管理层才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险进行管理。制定战略及其他目标时,必须要考虑企业的风险偏好或风险容忍度。风险容忍度是指在实现企业特定目标过程中对差异的可接受程度。风险容忍度应该是明确的、切实可行的、可以衡量的;风险容忍度应该在整个企业的层面进行适当分配,以便于管理和监控;风险容忍度应该被企业内部及外部的人明确知道。ERM目标应该包括长远的战略目标和中短期的经营性目标,COSO发布的5全面风险管理)))整合框架(EnterpriseRiskMan2agement-IntegratedFramework)6(2004年9月)将ERM的目标分为:(1)战略(Strategic)目标,是较高层次的目标,与企业的使命相关联并支撑其使命;(2)经营(Operations)目标,保证企业有效和高效率地利用其资源;(3)报告(Repor2ting)目标,保证各种报告的可靠性;(4)合规(Compliance)目标,保证企业各项经营活动符合法律和法规的规定。战略目标的确立把ERM提高到了指导企业经营活动的高度,在市场日趋成熟的情况下,企业要想长期稳定地保持其竞争优势,必须把战略目标作为首要考虑的目标,其他三个目标要围绕战略目标来确立。同65郑州航空工业管理学院学报第27卷样,在进行风险决策时也要首先满足战略目标。3.ERM过程一个典型的ERM过程应该包括如图2所示的基本风险管理步骤。2ERM首先要在明确企业使命的前提下制定企业的战略目标。战略目标是在分析历史的基础上做出的远景预测,是对企业未来的一个把握,这个目标一旦确立,就像一个航标指引着企业所有的运营活动,包括全面风险管理活动。ERM过程的第一个重要步骤是风险评估。风险管理的有效性依赖于对风险因素识别的全面性和测量的准确