作者:暢享論壇??佚名
2010-3-22 17:23:04
暢享網:?全面風險管理(ERM),指企業圍繞總體經營目標,在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化。
本文關鍵字:?風險管理?企業?暢享原創
一.全面風險管理的定義、產生背景
風險管理的權威性定義有兩個。其一,“企業風險管理是企業在實現未來戰略目標的過程中,試圖將各類不確定因素產生的結果控制在預期可接受范圍的方法和過程,以確保和促進組織的整體利益實現。”(2006年4月,亞洲風險與危機管理委員會)。其二,“企業風險管理是一套由企業董事會與管理層共同設立、和與企業戰略相結合的管理流程。他的功能是識別那些會影響企業運作的潛在事件和把相關的風險管理到一個企業可接受的水平,從而幫助企業達成目標”(2003年7月,美國COSO委員會)。以上兩個定義都說明,企業風險管理的目的,不是回避風險和減輕風險,而是對風險實施有效的管理,尋求風險和收益的最佳平衡點,以實現企業戰略目標。風險管理既包括預測和回避威脅與損失,也包括識別與把握風險后的機遇。
全面風險管理(ERM),指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法(中央國資委,2006年)。
有別于企業危機管理、預警管理等狹義的風險管理手段和方法,全面風險管理(ERM)的“全面”體現在以下幾個方面:其一,戰略性。企業內部控制、保險工具、金融衍生工具,這些主要用于防損為目的的方法和工具基本上主要用于操作層面,而難以談及對企業戰略的突出支持意義,全面風險管理試圖從戰略層面入手,對企業面臨的風險進行梳理和分析,并制訂相應的管理和應對策略;其二,系統性。全面風險管理涉及發展戰略、企業文化、公司治理、組織架構、管理流程、信息系統、財務安排、金融工具使用等企業經營的方方面面,對風險管理技術、手段、方法、策略進行了全盤的整合。其三,專業性。全面風險管理推進風險管理職能部門的設立,實施專業化管理。最后,全員性。全面風險管理是企業董事會、管理高層、各部門、各層次全員參與的一項活動。
ERM產生于上世紀90年代中后期,致力于推廣ERM的相關機構將其出現稱作是“90年代及網絡革命后的第二件大事”。ERM產生基于以下原因:首先是來自于企業的動力。經濟全球化的驅動、跨國尋求發展等導致企業經營的風險程度不斷增加,企業必須考慮增強自身對風險的控制力,增加決策的前瞻性;第二,企業風險管理方法、工具、手段的發展創新(例如企業內控、危機管理理論產生、衍生金融工具和保險市場的發展)等為ERM的產生奠定基礎;第三,信息技術革命一方面增加了企業面臨風險的新內容,另一方面也提供了管理風險的新手段;第四,對風險評估方法、技術、戰略性價值的日益認同;第五,風險管理全球性標準的發展,繼澳大利亞和新西蘭1996年推出風險管理標準后,加拿大1997年、英國2000年,美國2004年等陸續推出風險管理標準。第六,美國證券市場上的一系列財務丑聞的發生和薩班斯奧克斯里法案的出臺。此外,并不排除ERM這一“拼盤式”的管理體系出臺和推廣能夠為一些管理咨詢公司帶來可觀的收益,普華永道等一流咨詢公司的推波助瀾使ERM迅速“走紅”。
二.全面風險管理與公司治理
全面風險管理為公司治理提供了新的視角和內容,這主要體現在三個方面:
第一,基于風險管理思想的風險管理委員會的產生,使公司治理組織形式發生了重大變革。風險管理委員會的基本職能包括:批準風險管理戰略、政策與流程;指導企業全面風險管理工作(風險文化、風險評估、工具辦法等);指導善用企業資源;優化與監督企業風險管理體系,保障企業與股東利益;監督與優化企業信息決策系統,保障企業持續發展;以風險管理的新技術和方法技能支持企業績效最大化的發展。風險管理委員會的設立方式有三種:一是由董事會直接設立。在已有的戰略委員會、審計委員會、薪酬與提名委員會的基礎上,專設風險管理委員會,向董事會直接負責;二是在首席執行官下設風險執行會員會,貫徹落實董事會的風險管理戰略,協調各業務單位、部門、分支機構的風險管理工作,向首席執行官報告;三是雙重委員會制。即董事會和管理層分別設置。董事會下風險管理機構側重于風險管理的規劃和監督,首席執行官下的風險管理機構負責貫徹和執行。風險管理委員會搭起了所有者和經營者關于企業風險態度和風險應對的一座溝通橋梁,為所有者風險評價、風險把控提供了渠道和手段;為經營者風險管理搭設了運作平臺。
第二,設立專職風險管理崗位,實現風險管理專業化。在CEO、CFO、COO的基礎上,世界上第一個風險執行官(CRO)于美國金融機構誕生。目前世界級的金融機構80%以上的企業已經設立了CRO職位。西方一些企業盡管未設立CRO,但其工作職能也暫由副總裁或風險管理委員會代為行使。CRO在組織中的角色包括:提供對企業全面風險管理的統一領導、設想和指引;對整個機構的所有風險建立綜合的風險管理框架;研發風險管理策略,包括通過利用特別的風險限制來量化管理層的風險傾向;執行整套的風險指標和報告,包括損失與事故、主要風險敞口和早期預警指示;基于風險程度把經濟資本配置給各業務活動,并且通過風險策略優化公司風險組合;向主要相關利益者通報公司的風險狀況;發展分析風險管理信息系統以支持企業全面風險管理(詹姆斯.林)。
第三,風險管理與內部審計協同配合,并體現出融合之勢。內部審計工作內容的演變,整體呈現出:會計基礎審計(查帳防弊)----〉流程基礎審計(經營審計)-----〉風險基礎審計(風險導向審計)的基本趨勢,全面風險管理為內部審計提供了方向、方法,拓寬了內部審計的視角,內部審計工作和風險管理相輔相成、互為彌補,豐富了公司內部自我監督約束的內容和手段。詹姆斯林甚至預言,隨著全面風險管理理論與實踐的日益成熟,內部審計將成為風險管理的一個執行環節,未來的審計委員會也將最終演變為風險管理委員會。
三.全面風險管理與內部控制
1992年,COSO在其內部控制的標準框架中引入了風險評估等要素,標志著比傳統會計模型更為寬泛的風險控制框架的誕生。此后很多專業組織發布了補充性文件或標準,逐步將內部控制與企業風險管理的結合向寬泛化、深度化發展。2004年正式發布的COSO---ERM框架,將內部控制與風險管理的關聯性推進至一種近于無縫的結合。企業經營所必須承受的風險,如果不能夠采用風險轉移或有效對沖等手段進行低成本科學化管理的話,就必須考慮利用企業風險內部控制的方法進行風險管理。尤其是對企業無可回避的關鍵性重大風險,必須設計嚴格的控制流程,并密切實施監控,而這些都是內部控制的內容。從某種程度上講,薩班斯奧克斯利法案強制性地引發了對COSO內控框架的關注,而COSO內部控制框架在2004年依托全面風險管理思想進行的修訂和調整,最終將人們對全面風險管理的關注引向巔峰。
全面風險管理和內部控制的區別體現在以下幾個方面:
從性質上來講,內部控制是一種基于損失最小化的被動式預防管理,注重于通過環境分析,在管理政策、組織機構、業務流程、市場經營層面減少不確定性,將風險可能帶來的損失降到合理的程度之下,內部控制關注的焦點是信息和決策的質量控制和操作風險控制;風險管理是基于損失最小化管理和績效最優化管理相結合的一種管理方式,兼具防御性管理和進取性管理的雙重特征,尋求的是風險和機遇的最佳平衡點。
從內容上來講,內部控制主要側重于企業內部圍繞控制活動的各項流程的規范重整,而全面風險管理除了內部流程外,還包括企業外部和證券市場、保險公司、供應商等合作伙伴、政府等相關部門圍繞企業風險的各種合作與博弈活動,包括各種財務安排、公共關系(例如政府關系、媒體關系)、衍生金融工具的使用等等。
從涉及的風險特征來看,內部控制針對的是企業需要承擔的風險,針對需要承擔的風險在流程層面體現應對舉措;而全面風險管理應對的是所有的風險,需要根據風險及其收益的判斷,來做出風險的取舍。
全面風險管理與內部控制的聯系體現在以下幾個方面:
內部控制是全面風險管理的重要組成部分和全面風險管理的基本依托。正是在已經成熟完善的內部控制的基礎上,進行外圍的延伸,將危機管理、預警管理、金融風險控制、戰略風險控制的相關內容和風險識別風險評估的相關技術進行整合,形成了全面風險管理體系。
全面風險管理思想貫穿在內部控制體系的設計之中。內部控制系統的設計,首先要識別關鍵風險流程,例如企業并購、期貨交易等,針對這些關鍵風險流程實施重點設計。其次,要圍繞風險管理策略目標,針對企業戰略、規劃、產品研發、投融資、市場運營、財務、內部審計、法律事務、人力資源、采購、加工制造、銷售、物流、質量、安全生產、環境保護等各項業務管理及其重要業務流程,通過執行風險管理基本流程,制定并執行規章制度、程序和措施。
四.全面風險管理流程
(一)建立風險管理信息系統,收集和管理風險信息。
建立合理與完善的現代企業風險管理信息系統是企業提升預測、監測、預警機量化風險管理能力的根本保證。現代風險管理信息系統包括:信息處理系統;風險識別系統;風險預測、預警與報警系統;風險管理量化與分析軟件體系;風險審計軟件支持系統;網絡預警與網絡審計系統;分析與決策支持系統。建立全方位多角度的風險信息收集渠道,利用風險管理信息系統對風險信息過濾、梳理、整合、分類。
(二)進行風險評估
風險評估包括風險識別、風險度量、風險分析、風險評價幾個組成部分。
ERM層面企業整體風險識別模型框架可以分為四類:一是目標導向型風險識別。任何可能危及整體及部分目標實現的事件都可以被視作風險;二是情景導向風險識別。情景可以理解為達到目的的不同方式,任何觸發不希望情景的事件都被視作風險;三是分類導向風險識別。依據風險事故對風險實施編輯;四是經驗導向風險識別,將經驗轉化為知識庫,如對常見風險作出檢查表,進行對照等。COSO---ERM框架模型屬于典型的目標導向分類識別;英國標準模型(AIRMIC)屬于分類導向風險識別。風險識別技術包括頭腦風暴、問卷調查、操作運營研究、行業標準對照、風險評估研討會、事故調查、稽核與檢查、HAZOP(危害性事件及運作能力研究)等。
當代企業應用最為廣泛的幾種風險度量與分析方法包括:風險價值法(VAR);壓力測試法(情景分析的一種形式);風險調整資本收益法(RAROC);經濟資本法。通過風險度量和分析,把握風險的頻度、程度、危害和潛在的機遇。
在風險度量和分析的基礎上,可以利用風險坐標圖等工具,對多項風險進行直觀的比較,從而確定各風險管理的優先順序和策略。
(三)擬定風險管理策略
風險管理基本戰略對策包括避免、保留(接受)、轉移、減少、利用五類。
應予以避免的風險具備以下特征:該風險與企業戰略關聯度較小;風險回報率不佳;企業現有條件下還沒有能力控制該方面的風險。避免風險的方法包括:放棄或不接受暗含該風險的新機會;停止某業務,放棄與退出市場;拋售(個別或某些)業務;禁止(限制)某些高風險活動(通過政策、處罰、設防等方式)。
應予以保留(接受)的風險具備以下特征:為實現戰略而不可擺脫的固有風險;風險穩定,不會再加大;對承受風險損失已經有所準備。保留風險的應對方法包括:預算出可能的損失額度,用額外預留資金或其他風險融資方式對沖;集團內調撥資金平衡總風險;必須制訂風險應對計劃。
應予以轉移的風險具備以下特征:風險發生頻率不大,但可能損失太大;市場上已經存在較好的風險轉移工具。轉移的方法包括:保險合約(通用合約,量身度造合約)轉移;衍生金融工具轉移;保險---資本市場混合新工具轉移);通過聯盟簽約等聯合承擔風險,實現部分風險轉移;其他簽訂合約的專業方法。
應予以減少的風險具備以下特征:為實現企業戰略而不可擺脫的固有風險;對風險的損失已經有所準備。“控制”為減少風險的主基調,減少風險的方法包括:風險分散管理原則(如分散資產的類別);隔離控制原則;全方位管理控制;實施特定風險的特定控制程序;預算出可能的損失額度,計劃好自籌資金的對沖方式;制訂風險應對計劃。
利用風險的前提因素為:風險管理的目的不是消滅風險,而是管理風險,消滅風險也就等于消滅了機遇。風險的利用原則包括:利用固有的風險進入市場、并購聯合、引進項目;在有把握的前提下,加大新風險的程度,抓住新機遇;重新設計更具挑戰性的經營模式等。開發新市場、新產品,收購合并,企業重組、流程再造、多樣化投資、套利交易等均是利用風險的實例。
在制訂風險管理對策時應綜合考慮以下因素:地區特點、法律環境限制;對剩余風險的考慮;風險的嚴重程度(關鍵性);風險產生的可能性;風險產生的頻率;風險的相互關聯性;人員的道德操守;信息的有效性(可靠性);企業文化等。
(四)制訂風險管理解決方案
在風險管理策略基礎上,針對各類風險或每一項重大風險制定風險管理解決方案。方案一般應包括風險解決的具體目標,所需的組織領導,所涉及的管理及業務流程,所需的條件、手段等資源,風險事件發生前、中、后所采取的具體應對措施以及風險管理工具(如:關鍵風險指標管理、損失事件管理等)。風險管理解決方案是風險管理的主干,是要將風險反應策略落實到各項政策(policy)和程序(process)。包括針對每種業務活動建立起清晰的授權體系,建立各項業務流程的運作標準、明確崗位職責、實施業績評價等。以及保險工具和衍生金融工具的使用等。
五、風險管理技術方法與工具
(一)風險坐標圖
風險坐標圖是把風險發生可能性的高低、風險發生后對目標的影響程度,作為兩個維度繪制在同一個平面上(即繪制成直角坐標系)。對風險發生可能性的高低、風險對目標影響程度的評估有定性、定量等方法。定性方法是直接用文字描述風險發生可能性的高低、風險對目標的影響程度,如“極低”、“低”、“中等”、“高”、“極高”等。定量方法是對風險發生可能性的高低、風險對目標影響程度用具有實際意義的數量描述,如對風險發生可能性的高低用概率來表示,對目標影響程度用損失金額來表示。
對風險發生可能性的高低和風險對目標影響程度進行定性或定量評估后,依據評估結果繪制風險坐標圖。繪制風險坐標圖的目的在于對多項風險進行直觀的比較,從而確定各風險管理的優先順序和策略。如:某公司繪制了如下風險坐標圖,并將該圖劃分為A、B、C三個區域,公司決定承擔A區域中的各項風險且不再增加控制措施;嚴格控制B區域中的各項風險且專門補充制定各項控制措施;確保規避和轉移C區域中的各項風險且優先安排實施各項防范措施。
(二)蒙特卡羅方法
蒙特卡羅方法是一種隨機模擬數學方法。該方法用來分析評估風險發生可能性、風險的成因、風險造成的損失或帶來的機會等變量在未來變化的概率分布。具體操作步驟如下:
1.量化風險。將需要分析評估的風險進行量化,明確其度量單位,得到風險變量,并收集歷史相關數據。2.根據對歷史數據的分析,借鑒常用建模方法,建立能描述該風險變量在未來變化的概率模型。建立概率模型的方法很多,例如:差分和微分方程方法,插值和擬合方法等。這些方法大致分為兩類:一類是對風險變量之間的關系及其未來的情況作出假設,直接描述該風險變量在未來的分布類型(如正態分布),并確定其分布參數;另一類是對風險變量的變化過程作出假設,描述該風險變量在未來的分布類型。3.計算概率分布初步結果。利用隨機數字發生器,將生成的隨機數字代入上述概率模型,生成風險變量的概率分布初步結果。4.修正完善概率模型。通過對生成的概率分布初步結果進行分析,用實驗數據驗證模型的正確性,并在實踐中不斷修正和完善模型。5.利用該模型分析評估風險情況。
由于蒙特卡羅方法依賴于模型的選擇,因此,模型本身的選擇對于蒙特卡羅方法計算結果的精度影響甚大。蒙特卡羅方法計算量很大,通常借助計算機完成。
(三)關鍵風險指標管理
一項風險事件發生可能有多種成因,但關鍵成因往往只有幾種。關鍵風險指標管理是對引起風險事件發生的關鍵成因指標進行管理的方法。具體操作步驟如下:
1.分析風險成因,從中找出關鍵成因。
2.將關鍵成因量化,確定其度量,分析確定導致風險事件發生(或極有可能發生)時該成因的具體數值。
3.以該具體數值為基礎,以發出風險預警信息為目的,加上或減去一定數值后形成新的數值,該數值即為關鍵風險指標。
4.建立風險預警系統,即當關鍵成因數值達到關鍵風險指標時,發出風險預警信息。
5.制定出現風險預警信息時應采取的風險控制措施。
6.跟蹤監測關鍵成因數值的變化,一旦出現預警,即實施風險控制措施。
該方法既可以管理單項風險的多個關鍵成因指標,也可以管理影響企業主要目標的多個主要風險。使用該方法,要求風險關鍵成因分析準確,且易量化、易統計、易跟蹤監測。
(四)壓力測試
壓力測試是指在極端情景下,分析評估風險管理模型或內控流程的有效性,發現問題,制定改進措施的方法,目的是防止出現重大損失事件。具體操作步驟如下:
1.針對某一風險管理模型或內控流程,假設可能會發生哪些極端情景。極端情景是指在非正常情況下,發生概率很小,而一旦發生,后果十分嚴重的事情。假設極端情景時,不僅要考慮本企業或與本企業類似的其他企業出現過的歷史教訓,還要考慮歷史上不曾出現,但將來可能會出現的事情。
2.評估極端情景發生時,該風險管理模型或內控流程是否有效,并分析對目標可能造成的損失。
3.制定相應措施,進一步修改和完善風險管理模型或內控流程。
以信用風險管理為例。如:一個企業已有一個信用很好的交易伙伴,該交易伙伴除發生極端情景,一般不會違約。因此,在日常交易中,該企業只需“常規的風險管理策略和內控流程”即可。采用壓力測試方法,是假設該交易伙伴將來發生極端情景(如其財產毀于地震、火災、被盜),被迫違約對該企業造成了重大損失。而該企業“常規的風險管理策略和內控流程”在極端情景下不能有效防止重大損失事件,為此,該企業采取了購買保險或相應衍生產品、開發多個交易伙伴等措施。
主要參考文獻:
《企業全面風險管理—從激勵到控制》,詹姆斯.林著,黃長全譯;
《企業風險管理》,托馬斯.巴頓著,王劍峰等譯;
COSO—ERM(2004)
中央國資委全面風險管理指引
中央國資委全面風險管理培訓資料匯編
Brian Ballou: Practical Enterprise Risk Management: A Building Block Approach for Implementing COSO 2004, P28,www.yahoo.com
PCAOB: Proposed Auditing Standard –An Audit of Internal Control Over Financial reporting performed in conjunction with an audit of financial statements, Release No. 2003-017,October 7, 2003.?www.erm.coso.org
Mark Beasely:Enterprise Risk Management:A look at COSO’s proposed framework, The Wisconsin C P A? July / August,? 2004. P245.
