什么是企业风险管理？（一）

一：什么是企业风险管理

COSO对企业风险管理作了如下定义：“企业风险管理是由企业董事会、管理层及其他人员实施，在战略制定过程中和整个企业中予以采用的一个过程，它旨在识别可能会对企业产生影响的潜在事件，把风险控制在企业的承受能力之内，并为实现企业目标提供合理保证。”出于某种原因，本定义较为宽泛，反映了一些基本的概念。

1：是持续开展、贯穿整个企业的一种流程；

2：由企业内各级人员执行；

3：在战略制定中实行；

4：在整个企业范围内，也就是在企业的每个层面和每个单元中予以实行；包括从整个公司角度即组合的角度来审视风险；

5：旨在识别可能会对企业产生影响的潜在事件，把风险控制在企业的承受能力之内；

6：能够为企业管理层和董事会提供合理保证；

7：目的是实现一个类别或多个分立而交叠的类别中的目标--只是“实现目标的一种手段，其本身并不是目标。”

企业风险管理是指建立有关的监督、控制和规范职能，以推动企业在不断变化的经营环境下持续地提升其风险管理能力。企业风险管理也可以促进企业管理其主要风险的能力日趋成熟。公司只有首先解决了COSO定义中的所有上述概念之后，然后才可以理直气壮地声称自己正在进行企业风险管理。

二：为什么要实施企业风险管理?

根据第1个问题中所阐明的企业风险管理定义，实施企业风险管理的最高目标是：就公司能够实现其业务目标向公司管理层和董事会提供合理保证。在《框架》第1-4页中，COSO指出：企业风险管理有助于管理层协调风险承受能力与企业战略之间的匹配关系，强化风险应对决策，减少营运意外事件和损失，识别和管理贯穿整个企业的风险，建立抵抗多重风险的综合响应预案，抓住机遇及改善资本配置。我们赞同COSO的观点，并将在本文中进一步地讨论这一观点。我们认为实施企业风险管理有6个基本原因。每个原因都有助于将风险管理提升到一个战略层面。这6个原因分别是：

(1) 减少绩效不稳定性：企业风险管理帮助管理层：(a)评估重大事件发生的可能性及其影响效应；(b)提出预防这些事件发生或管理这些事件（如确实已经发生）影响的响应措施。绝大多数公司都只是重视久为人知的传统风险，而很少有公司具有预测新风险的系统化流程。因此，许多公司等到知道了关键风险时，经常已经太晚了，或者只是因为偶然的机会才得以知道关键风险的，这难免会出现大量的“应急救火”和危机管理的场景，不仅大量地消耗资源，而且也会产生新的薄弱环节。企业风险管理的战略视野超越了只重视发生概率低的毁灭性重大风险的传统风险管理范畴，涵盖了更广阔的风险管理领域，着重化解破坏企业价值主要源泉的风险。通过着力减少盈利波动、避免发生盈利相关的意外情况，和管理关键绩效指标缺陷等手段，企业风险管理协助管理层增加经营绩效的稳定性。企业风险管理改进了日益增长的化解风险成本的管理工作，提高了实现业务目标的成功率。

(2) 协调和整合风险管理的各种观点：企业内部都有许多孤立的机构，拥有自己的风险管理观，如财务、可保风险、信息技术。而在业务单位内，情况也是如此。这种孤立的思维定式会阻碍在全企业范围内有效地分配资源和管理共有的风险。当风险管理的职能部门不止一个，而要管理的风险也不止一种时，就需要有一个通用的框架。例如，有些企业采取以下措施：

1：评估是否需要设立一名首席风险官，包括评估其作用、权力和工作汇报路径；

2：将风险管理融入关键的管理活动，如战略制定、业务规划、资本支出、合并与收购的尽职审查和整合流程；

3：将风险管理同更有效的资源分配及风险转移决策联系起来；

4：确立用以衡量风险和风险管理绩效的定性和定量方法，以提高透明度；

5：叠加多个业务单位共同的风险敞口，以了解企业价值所面临的最大威胁，制定出风险应对综合措施。

(3) 增强投资界和利益相关者的信心：在评估目标公司的过程中，机构投资者、评级机构和监管机构现在越来越经常地谈到风险管理的重要性，而利益相关者也可能会要求企业管理层公开和评论企业在了解和管理风险方面的能力，以便对照所承受的风险，粗略地评估自己的投资回报是否足够丰厚。随着公司风险及风险管理能力的透明度不断增强、公司的主要风险管理能力日趋完善，管理层也将能更有效、更清楚地解释自己在处理现有及潜在的行业问题方面的成就。

(4) 强化公司治理：企业风险管理与公司治理总是相互关联，互为增益。企业风险管理强化董事会的监督职能、强行对高级管理层层级的现行监督结构进行评估、澄清风险管理的作用和职责、确立风险管理的权力和范围、并有效地沟通支持关键风险目标的各项风险应对举措。所有这些活动都离不开良好的治理。同样地，有效的治理也为下列两项活动确立了基调：(a)了解风险及风险管理能力；(b)协调风险承受能力与企业寻求机遇行为之间的关系。董事经常会提出类似这样的问题：“有哪些风险，怎么管理这些风险，你又是怎么知道这些风险的?”

(5)成功地响应不断变化的业务环境：当今时代，业务环境不断在变化，变化的节奏也越来越快，为此，企业必须提升自己识别风险、确定风险轻重缓急次序和规划风险的能力。企业风险管理有助于管理层评估现有经营模式的各项基础假设，评估在执行模型时所采用的各项战略的效能，评估进行决策时所需的各种信息。企业风险管理激励管理层识别未来的各种情景，评估这些情景出现的可能性和严峻性，识别主要风险，并增强企业管理此类风险的能力。由于环境在不断变化，新的风险不断地涌现出来，甚至升级，因此，要适时地采取相应的行动，必要时还要予以披露。这些活动都会影响到整个企业的资源分配。

(6) 协调战略与企业文化之间的关系：企业风险管理帮助管理层建立风险意识，营造开放乐观、积极向上的风险管理文化。在这样的文化环境中，你可以提出任何问题而毋需担心遭到打击报复。对于涉及全公司的事情，企业风险管理通常会统一集中地制定政策，确定焦点、规范和控制措施。企业风险管理可以澄清冒险与避险之间的区别，改进衡量风险的量化工具，强化公司各级部门在管理风险活动中的问责体制，并帮助公司及时地识别风险特征的变化。此外，企业风险管理还有助于统筹创业活动和控制活动，保持两者均衡，避免出现严重的悬殊。

三：在关注的范围上，企业风险管理和现有风险管理方法之间有什么不同？

传统的风险管理方法侧重于保护资产负债表中列举出来的有形资产和合约权利及责任，而企业风险管理则着重于提升经营战略。企业风险管理的关注范围和用途远不仅限于保护实物资产和财务资产。就企业风险管理的方法来说，风险管理的范围涵盖整个公司，风险管理的用途不仅是保护，而且还要提升构成企业经营模式的有形和无形资产的独特组合水平。这个观点符合COSO的主张：企业风险管理在战略制定过程中和整个企业中予以实行。由于市值经常远高于资产负债表的历史成本，因此对无形资产进行风险管理至关重要。就像潜在的未来事件可能会影响有形的实物资产和财务资产一样，同样地，它们也可能会影响主要的无形资产的价值，如客户资产、员工/供应商资产和组织资产。其中，组织资产包括公司的独特品牌、差别化战略、创新性流程和专用系统等。这正是企业风险管理给企业带来的精华-拓展风险管理的应用范围以涵盖所有的价值来源，而不仅仅局限于实物资产和财务资产，从而将风险管理提升到战略的层面。构成价值来源的五类资产及每类资产实例图示如下1：

上述五大资产类型囊括了支撑企业经营战略的价值来源。由于企业风险管理强调制定战略，那么，在管理层力图做出最佳赌注，追求新的增长和收益机会时，风险管理工作实质上已经从规避和对冲风险的博弈术转变成了一种保值增值的差别化技能。企业风险管理帮助管理人员树立信心，充分理解和管理自己所面临的风险，进而激励管理层寻求更佳的发展机会。

如果管理层能识别出究竟是哪些潜在的未来事件，可能会影响到那些对企业执行经营模式起决定性作用的资产，那么，它就能借助风险评估流程，提出较全面的风险应对措施。在风险评估过程中，可能需要考虑的未来事件很多，下图列出了这些潜在的未来事件的类别：

企业的价值来源（包括有形价值和无形价值）与生俱来地存在于经营模式之中，受各种不确定因素的影响。因此，在致力于实现经营绩效目标时，企业必须了解和管理这些不确定因素。这些不确定因素既可能来自企业外部，也可能来自企业内部。例如，环境风险是来自于影响企业经营模式生存能力的外部环境中的不确定因素。而流程风险则是影响经营模式的执行活动的不确定因素，因此，它们经常产生于企业业务流程的内部。由于知识和信息的不足可能会带来更大的不确定性，所以，决策信息风险是对信息的相关性和可靠性产生影响的不确定因素，而这些信息却又支持管理层做出保值增值的决策，因此必须予以重视。这3大类风险-环境风险、流程风险和决策信息风险-为深刻地了解任何一种业务中不确定因素的来源提供了一个基础。如第75个问题所述，这些风险类型又由许多更细分的未来事件组成，所以，在评估风险和制定恰当的风险应对措施的过程中，它们同样也可能成为需要关注的焦点。

总之，有关未来的不确定性会产生风险，而企业风险管理拓宽了风险管理的关注范围，将企业价值的所有重大来源都涵盖在内。通过了解企业中引起不确定性的内外部关键变量，连续长时间地监督它们的变化趋势，管理层就可以更有效地经营企业，发挥企业经营模式的潜力。下表列举出一些经常能见到的事件，阐述这一观点。

各种企业都普遍地存在着上述的这些关键变量。就任一个关键变量而言，相应地都会伴有多种潜在的未来事件，为评估和管理风险提供了依据。战略制定中的一个基本原则也进一步说明了这种依据：潜在的未来事件或后果的离散度越大，企业不确定收益的发生机率也就越高。企业对风险的敏感度随多方面因素而变化：(1)变革或未来事件给企业带来的风险敞口的重大程度；(2)这些变革和未来事件发生的可能性；(3)万一这些可能的未来变革或事件出现后，管理相应的业务影响的能力。企业风险管理基础设施有助于提升企业的风险管理能力，进而更好地认识和了解这些关键变量（或风险），提高管理这些变量变化所形成的效应的能力。

四：实施企业风险管理的价值主张是什么？

董事们和首席执行官都需要面对许多挑战。他们必须得集中企业力量，不失时机地利用新生的机遇。他们必须得把稀缺资源持续不断地投入到虽前景乐观而仍存在不确定因素的业务活动中。他们必须得在不断变化的环境中管理企业。与此同时，他们还必须得做到胸有成竹，能够消除投资者、董事及其他利益相关者的疑虑，让他们相信自己的企业知道如何保护和提升企业的价值。风险特征无时不在变化，在这样的环境中，董事们和首席执行官们就需要企业内各方面的绩效都要达到一个较好的水平，包括风险管理。

企业风险管理借助建立监督、控制和规范等职能手段，来推动公司不断地提升其在持续变化的经营环境下管理风险的能力，进而帮助董事们和首席执行官成功地应对各种挑战。企业风险管理提供了必要的流程和工具，有了这些工具，在为利益相关者持续地创造价值时，企业就能更有效地评估、接受和管理不确定因素。因而，可以说企业风险管理重新定义了风险管理的价值主张。风险管理能力对经营模式的顺利实施至关重要。企业风险管理正是通过持续改进这方面的能力，成功地将风险管理提升到战略的层面。除了推动企业的主要风险管理能力日趋成熟以外，与此同时，企业风险管理还从以下三个方面来帮助管理层保护和提升企业的价值。第一，企业风险管理重视建立可持续的竞争优势。第二，优化风险管理的成本。第三，帮助管理层改善经营业绩。这些优点重新定义了风险管理对于一个企业的价值主张。

下图说明了企业风险管理的价值主张：

企业风险管理的这些增值贡献给风险管理工作可能带来的一个最大益处就是增加了董事会、首席执行官和高级管理层的信心。这些利益相关者需要知道：风险和机会需要在整个企业的基础上，按照同企业风险承受能力和创造价值的经营模式相一致的方式，进行系统地识别和深入地分析，并本着符合成本效益的原则加以管理。通过实施企业风险管理，管理层可以更好地了解业务经营中的固有风险。他们了解赖以识别风险的流程，及时地分配风险责任，确保及时地制定风险应对措施，和有效地监督风险应对措施的执行情况，并在新的风险投资活动中采用风险评估系统技术。他们坚持在制定经营计划中，要审慎地研究风险，确保所提出的经营计划更加坚实可行，行之有效。总之，在企业风险管理的环境下，要经常地质疑支撑经营模式的各种假设，并在持续改善和变化的过程中做出相应的调整（如有必要的话）。

值得注意的是，上述阐述仅是一般性的结论。由于一般性的价值主张不足以促使高级管理层做出决策，对企业风险管理基础设施进行投资，因此，还必须辅以更详细的阐述，才能达到目的。我们可以进行企业风险评估，并针对企业目前的主要风险管理能力进行差距分析，从而得出这些详细的阐述。正如第85个问题所述，企业风险管理能力的现有水平和希望达到的水平之间的差距越大，企业就越需要强化其企业风险管理基础设施，以期提高这些能力。这种认识有助于增加企业风险管理价值主张的针对性，增强其说服力。总之，有效的企业风险管理基础设施能成为一个本源的差别化因素，把市场幸存者和行业领先者区分开来。除了上述的优势之外，在当今越来越苛求挑剔的环境中，重新定义风险管理的价值主张还能丰富和充实首席执行官同利益相关者间进行沟通的内涵。企业风险管理基础设施还能激励和增强符合企业经营目标、战略和绩效目标的预期行为。企业风险管理方法能使企业的经营模式实现差别化，进而帮助公司在客户、供应商和雇员中及资本市场上树立自己的形象，提高自己的声望。所有这一切都是维持企业成功的关键。

五：哪些公司正在实施企业风险管理?

可以理直气壮地声称自己已经全面实施COSO所界定的企业风险管理的公司即便是有，也是极少。就大多数公司来说，传统风险管理模式与企业风险管理之间的鸿沟太宽（如第6个问题所述），它们很难跨越过去。例如，根据COSO的定义，企业风险管理的运用要“贯穿于……整个企业。”但是，由于克服沿用已久的孤立式风险管理传统模式，需要改变企业的经营运作行为，因此，对于多数公司而言，在全企业的范围内对风险进行全面的管理，这个实施标准很高。所以，近年来，在实施企业风险管理的公司之中，大多数公司都是极具远见的公司，而不是那些主流公司。相对于其他方法来说，企业风险管理堪称一流，因为它囊括了各种公司在各种方式下所采用的不同技术。凭借全机构已有的管理市场和信用风险的整体能力，金融服务机构可能已经走到了企业风险管理领域的最前沿。然而，要从整个企业的全盘角度解决整体经营风险，即便是这些机构也还有很大的差距。