全面风险管理概念范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的5篇全面风险管理概念范例，将为您的写作提供有力的支持和灵感！

篇1

社会组织或者个人用以降低风险的消极结果的决策过程我们称作风险管理，风险管理主要包括了风险识别、风险估测、风险评价，并在这些内容上加以整合，从而组合出比较优化的风险管理技术，达到以最小成本换取最大安全保险的目的。从上述风险管理的概念我们可以总结出风险管理具体有以下含义：第一，风险是风险管理的对象。第二，风险管理的主体是任何个人或者组织。第三，以最小的成本获得最大的安全保障是风险管理的主要目标。第四，风险管理是一门新兴的学科，是一个独立的管理系统。第五，风险识别、风险估测、风险评价、选择风险管理技术等是风险管理的重要组成部分。

（二）全面风险管理的概念

全面风险管理，是以企业的总体经营目标为基础，以企业经营过程中执行风险管理和各个管理环节为基本流程，全面风险管理需要有良好的风险管理文化和健全的风险管理体系，健全的全面风险管理应该包括以下内容：风险理财措施、风险管理策略、内部控制系统以及风险管理的组织职能体系等，企业实施全面风险管理的目的在为企业实现风险管理提供更好的方法。全面风险管理是一个新的概念，现阶段主要应用于企业管理当中，在参照了2006年6月国有资产监督管理委员会的《中央企业全面风险管理指引》后我们得出了以上全面风险管理的概念。

二、企业全面风险管理体系的构建

构建企业全面风险管理体系，有助于企业实现全面风险管理的目标，在构建企业全面风险管理体系过程中要注意以下几点：

（一）构建企业全面风险管理体系的原则

在构建企业全面风险管理体系的过程中要遵循一定的原则，构建时要坚持以下原则：

（1）分层管理原则。企业构建全面风险管理体系要坚持分层管理原则，也就是说企业要将风险管理中所涉及的工作，例如管理、运营、决策等工作交付给不同层次的企业管理机构，这样有利于形成金字塔形的全面风险管理结构，更好的实现全面的风险管理体系。

（2）全面管理原则。企业构建全面风险管理体系要坚持全面管理原则，企业要对经营过程中各个方面潜在的风险进行管理，其中风险主要包括了战略风险、财务风险、运营风险等。同时，企业风险管理组织上也应该坚持全面管理原则，全面风险管理不仅仅是风险管理部门的工作，更应该是企业全体员工的工作，上到董事会下到普通员工都应该参与到全面风险管理体系的构建当中去。

（3）定量化原则。定量化原则是指企业在对风险的识别、评价和预警方面上，要尽可能的量化风险，既要从企业自身的发展情况出发建立全面风险指标体系，又要虚心的借鉴国内外先进的管理经验，进一步保证全面风险管理体系量化的行之有效。

（二）构建企业全面风险管理体系的要求

（1）要符合企业的发展战略目标。因为企业潜在风险存在于企业整个运营过程中，在构建企业全面风险管理体系就要求符合企业的发展战略目标，要在企业的经营范围内明确风险管理的目标和计划，并且与企业的经营业绩目标紧密结合起来。

（2）要建立过程化、动态化的管理体系。从企业设立风险管理目标到为了实现目标而采取的措施，可以说风险管理是一个动态的过程，因此在构建企业全面风险管理体系的时候，也要实行过程化和动态化，内部控制要有明确的标准，过程有动态的监控，只有这样才能更好地实现企业全面风险管理所制定的目标。

（三）构建企业全面风险管理体系的路径

（1）加强全面风险管理文化建设。全面风险管理文化建设水平的高低直接影响到企业全面风险管理能否更好地实现，全面风险管理文化建设主要包括了风险控制行为和管理理念、风险管理环境和道德标准等，企业的管理人员要制定好行之有效的管理制度，并且要严格按照制度执行，这样既可以提高管理人员的风险意识，又可以让全体员工参与到全面风险管理中，保证全面风险管理安全运行。

（2）运用先进的风险管理工具和手段。很多企业在全面风险管理过程中越来越重视定量分析法，这就要求企业在大量的识别、检测和衡量等工作上做到高效准确。因此，我们必须运用先进的风险管理工具和手段，努力实现“精细化”的风险管理。

三、企业全面风险管理体系的实施策略

（一）树立现代化的风险管理理念

风险管理意识是构建企业全面风险管理体系的基础工作之一，正确的风险管理意识有利于企业更好的发展。因此，企业要树立起全员的风险意识和现代风险理念，全面考虑企业面临的风险和存在的机遇，为了达到对潜在风险的防范和化解，要对潜在风险有充分的认识。正确的风险管理观念是要让全体员工参与到风险管理过程中去，要让每位员工认识到自身工作与风险管理有着密切的联系，激发员工参与全面风险管理的积极性。

（二）构建全面风险管理组织架构

持续性和协调性是企业风险管理的一个重要的特征，这就要求企业有一个专门的风险管理部门来统一领导风险管理工作。风险管理组织系统应该包括风险管理委员会和审计委员会，其中风险管理委员会的主要成员包括财务主管、运营主管、风险主管和信息主管，审计委员会主要是由独立董事会组成。企业要尽快健全全面风险管理制度组织结构，各个组织结构要认真履行自己的职责，保证企业全面风险管理有序进行。

（三）建立风险管理信息系统，不断更新风险管理信息

企业全面风险管理是随着风险及信息管理的产生、收集、处理的过程，信息的完全性水平直接影响到全面风险管理的水平。因此，在构建企业全面风险管理体系的过程中要优化信息流程，在适当的时间内将准确的信息传达到信息使用者的手中。风险管理信息系统的内容既要包括企业自身风险及风险管理政策信息，也要包括来自外部的可以给企业风险管理支持的信息，风险管理信息系统应该是一个全方位立体的网络。

（四）健全内部控制制度，构建全方位风险监督体系

完善的内部控制制度对于构建企业全面风险管理有着重要的作用，完善的内部控制制度可以及时的发现管理过程中的错误，并及时的更正错误。虽然一些企业建立了一些看起来比较健全的内部控制制度，在组织结构上既有董事会又有监事会，但是在企业的重大经济决策的时候，还是由个别人说的算。因此，企业的董事会、监事会、经理层要依法履行职责，健全内部控制制度，并且将内部控制制度落实到实处。同时监事会也要构建全方位的监督体系，实现经常性监督和事后监督，避免企业全面风险管理过程中徇私舞弊行为的发生。

篇2

3C全面风险管理标准包括基本框架、实务标准、操作指南，基本涵盖了COSO全面风险管理框架和国务院国资委颁布的《中央企业全面风险管理指引》的所有内容。3C全面风险管理标准力求自主创新，除增加了实务标准、操作指南（COSO和国资委还未）这些具有可操作性的内容之外，在基本框架方面也进行了一系列的创新，充分考虑了中国企业的实际情况，在构建中国企业自己的全面风险管理标准方面进行了有益探索。仅基本框架而言，在全面风险管理领域的探索是全方位的，简单归纳起来主要包括以下几个方面：

（一）总体结构逻辑关系简单明了

COSO全面风险管理框架主体结构由定义、内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控、职能与责任、企业风险管理的局限、该做些什么等构成。《中央企业全面风险管理指引》由总则、风险管理初始信息、风险评估、风险管理策略、风险管理解决方案、风险管理的监督与改进、风险管理组织体系、风险管理信息系统、风险管理文化、附则等组成。而3C全面风险管理基本框架从总体结构上是按照目标体系、风险整合、管理融合来安排的，形成了由目标体系、风险整合、管理融合组成的有机体系，贯彻严密的目标――风险――管理的逻辑关系。

（二）框架内容力求科学系统

COSO全面风险管理框架认为企业风险管理包括8个相互关联的构成要素。这些构成要素是：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。《中央企业全面风险管理指引》没有直接引入管理要素概念，仅从全面风险管理内容看，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统5个方面。3C全面风险管理基本框架从总体看包括目标、风险、管理3个部分，从流程看包括管理准备、管理实施、管理报告和监督改进4个程序。具体探索体现在以下几个方面：

1.3C全面风险管理基本框架没有引入“内部环境”要素，而是将COSO全面风险管理框架中“内部环境”要素中的具体内容全部融入了整个框架中。COSO全面风险管理框架中“内部环境”界定的风险管理理念、风险容量、董事会、诚信与道德价值观、对胜任能力的要求、组织结构、权力和职责的分配、人力资源准则等要素，既有全面风险管理的“软要素”，又涉及到全面风险管理“硬要素”，确实是全面风险管理的基础，但用“内部环境”来界定难以理解，使人容易产生是诱发风险的内部环境因素，因此，3C全面风险管理基本框架没有引入“内部环境”要素，而是将它们分别作为全面风险管理的基础和内容独立出来了。

2.3C全面风险管理基本框架没有把“目标设定”作为全面风险管理的基本要素，并将COSO全面风险管理框架“目标设定”改为“目标确定”。目标管理很重要，是管理中的管理，目标确定是企业目标管理的核心内容，是企业管理工作的首要任务，董事会和各级管理人员必须确定目标。企业管理层在确定目标时要考虑风险因素，这是必然的，但全面风险管理工作不能事事从确定目标开始，确定目标本身就是管理人员的事，全面风险管理作为企业管理的一项核心内容，可以把目标确定作为风险管理的内容进行关注，但不是流程，至多说目标确定是全面风险管理的前提条件之一。

3.3C全面风险管理基本框架把COSO全面风险管理框架“信息与沟通”作为全面风险管理的重要手段，而不单独作为全面风险管理的一个流程或重要要素。信息在现代社会很重要，沟通无限，全面风险管理的全过程都涉及“信息与沟通”，不可能也没有必要独立出来，应该贯穿于全面风险管理的全过程。

4.3C全面风险管理基本框架把COSO全面风险管理框架“事件识别”定义为“风险识别”，把COSO全面风险管理框架“风险评估”细化为“风险分析”、“风险计价”、“风险评价”，把COSO全面风险管理框架“控制活动”重新定义为“风险控制”，把COSO全面风险管理框架“监控”改为“监督改进”，并细化为“风险监督”、“风险审计”、“管理改进”等。

5.3C全面风险管理基本框架从我国企业的实际情况出发，把全面风险管理流程界定为管理准备、管理实施、管理报告、监督改进四个基本流程。对每个具体流程都明确了工作内容、方法、步骤以及相应的表单，具有可操作性。

6.3C全面风险管理基本框架在包含COSO全面风险管理框架基本内容的同时，又增加了不少内容。比如明确提出风险偏好、风险意识、风险理念、风险文化等全面风险管理软要素；增加了全面风险管理政策、战略、策略、决策，风险学习等重要内容；总结了我国企业全面风险管理的一系列重要方法和工具；增加“风险预警”的独立内容，强调实时报警的重要性；增加“管理报告”的独立环节，强调风险报告的重要性；增加“风险审计”独立内容，强调风险审计的重要性，等等。

（三）将目标作为全面风险管理的前提而独立出来了

COSO全面风险管理框架认为企业风险管理框架力求实现主体的战略、经营、报告和合规4种类型的目标，并认为目标设定是事项识别、风险评估和风险应对的前提。《中央企业全面风险管理指引》未涉及企业目标的具体内容。3C全面风险管理基本框架首先界定了企业的目标体系，将其作为全面风险管理的前提而独立出来了。具体探索表现在以下几个方面：

1.3C全面风险管理基本框架明确了目标概念。企业目标是尽可能地创造价值，使企业价值最大化，全面风险管理目标与企业目标在总体方向上是一致的，但具体目标肯定是不同的，不能把企业目标和全面风险管理目标混为一谈。

2.3C全面风险管理基本框架明确了目标分类。从全面风险管理的需要出发，考虑到我国企业的一般情况，企业的目标可从总体上分为社会目标、管理目标、经营目标、财务目标、遵循目标、其他目标等一级目标，在这个一级目标下细分了若干个二级目标，在二级目标下再细分三级目标。当然，在三级目标下，还可再继续分下去，这就看企业管理的细化程度了。

3.3C全面风险管理基本框架明确了目标体系。企业目标是一个相互联系、相互依存的目标体系。企业目标体系是有层次的。由于企业存在着不同的管理层次，每一层次都有其自身的目标，低一层次的目标必然要服务于高一层次的目标。企业目标体系是相互关联相互渗透的。企业目标体系是需要整合的。企业目标体系是不断变化的。

4.3C全面风险管理基本框架将COSO全面风险管理框架目标设定改为目标确定。

（四）强调了风险整合的理念

COSO全面风险管理框架特别强调风险组合观，《中央企业全面风险管理指引》虽未明确提出风险整合的概念，但都有风险组合观的思想。3C全面风险管理基本框架借鉴了COSO全面风险管理框架风险组合观的观点，将风险整合作为全面风险管理的基本标准，并明确了风险偏好、风险意识、风险理念、风险文化等全面风险管理软要素。具体探索表现在以下几个方面：

1.提出了一个全面的风险概念，认为危险和机会并存。COSO全面风险管理框架引入了“事项”这一概念，事项包括风险和机会。《中央企业全面风险管理指引》用不确定性对企业实现其经营目标的影响来定义企业风险，抓住了风险的本质特征，但其只是针对经营目标的影响，范围狭窄。

2.明确界定了风险因素。COSO全面风险管理框架和《中央企业全面风险管理指引》均未明确风险要素，3C全面风险管理基本框架明确界定风险是由风险因素、风险事故和风险损失3要素构成。

3.确定了风险属性。COSO全面风险管理框架首先界定了主体的所面临的不确定性，国务院国资委颁布的《中央企业全面风险管理指引》对风险属性没有明确的界定，3C全面风险管理基本框架认为风险属性是多样的，具有客观性、相对性、可变性、不确定性等属性，其中不确定性是风险的本质特性。

4.明确了风险分类。COSO全面风险管理框架对风险未进行明确的分类，《中央企业全面风险管理指引》对风险按其内容和能否为企业带来盈利等机会为标志进行了分类。3C全面风险管理基本框架认为企业风险应从总体上分为社会风险、管理风险、经营风险、财务风险、遵循风险、其他风险六个一级风险，在这些一级风险下细分了若干个二级风险，在二级风险下再细分三级风险。实际工作中，根据全面风险管理的需要，在三级风险下，还可再继续分下去，但考虑到全面风险管理的成本和效益，一般分到三级即可。

（五）突出了内部控制与风险管理融合

COSO全面风险管理框架和《中央企业全面风险管理指引》都体现了管理融合的思想。3C全面风险管理基本框架将管理融合视为企业风险管理自身内部的融合，企业风险管理与企业业务的融合，企业风险管理与企业管理的融合，突出了内部控制与风险管理的融合。具体探索表现在以下几个方面：

1.重新定义了全面风险管理。

2.明确全面风险管理目标。

3.强调了全面风险管理意义。

4.增加了全面风险管理政策、战略、策略、决策的新内容。

5.明确了全面风险管理的主体。

6.确定了全面风险管理内容。

7.细化了全面风险管理流程。

8.总结了我国中央企业全面风险管理的方法。

9.将信息与沟通独立出来。

10.增加了全面风险管理学习。

（六）进一步统一了全面风险管理语言

3C全面风险管理基本框架将风险辨识、风险确认、事件识别统一为风险识别，并定义为确认风险的过程；将风险计量、风险衡量、风险量度、风险测量、风险估计、风险估价统一为风险计价，并定义为风险的量化过程；将风险策略、风险应对、风险工具统一为风险应对，并定义为选择应对风险策略的过程；将控制活动、控制政策、控制程序、控制措施、应对措施 统一为风险控制，并定义为应对风险的各种措施；将监督检查、监督评价、持续监督、监控、监控系统、内部监督统一为风险监督，并定义为监督检查风险的过程等等。

此外，3C全面风险管理实务标准和操作指南是COSO全面风险管理框架和《中央企业全面风险管理指引》所没有的内容，不具有可比性，但它都是全面风险管理实际工作非常需要的具有可操作性的内容。

二、必然趋势――内部控制和风险管理逐步走向融合

内部控制与风险管理走向融合，是一个必然的趋势，这不仅是内部控制体系向前迈进了一大步，也为内部审计的发展指明了方向，因此为了适应这样一种发展趋势，我国现行的内部控制体系有必要逐步向全面风险管理体系升级和完善。

实际上，世界上内部控制与风险管理已逐渐融合了，把内部控制与风险管理试为同一事件。1992年，Treadway委员会的发起组织委员会(the Committee of Sponsoring Organizations of the Treadway Commission)了《内部控制――整合框架》，2004年，该委员会又了《企业风险管理――整合框架》，在该框架附件C中明确：内部控制被涵盖在企业风险管理之内，是其不可分割的一部分。

国资委颁布的《中央企业全面风险管理指引》要求企业在开展全面风险管理工作的同时，还要与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。我国的有些企业都在积极探索内部控制与风险管理的融合之道，中天恒管理咨询公司为我国某中央企业设计的《全面风险管理手册》，与公司现有管理体系和管理手段相衔接，实际上不仅仅是内部控制与风险管理的融合，而是整个管理的融合。

内部控制与风险管理融合的道理其实非常简单。企业在实现目标的漫程中，会遇到各种各样的风险；因此，就要采取措施控制风险。也正因为有风险才要控制，如果没有风险，控制就是多余的了，就是添乱，当然更是浪费资源。风险与控制的关系简单地说就是风险减去控制就等于剩余风险。当然，这个剩余风险一定要在企业可接受的水平范围内。

篇3

摘　要：在体制上全面风险管理与内部控制分别由国务院国资委和财政部提出，并在国有企业中广泛实施，全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的。但由于分别有同的国家部分主抓，从而形成了在企业内部也会又不同的单位和人员来分别从事全面风险管理和内部控制管理，造成了企业内部机构设置繁冗、业务交叉重复等现象。因此研究全面风险管理与内部控制相融合非常必要。

关键词 ：全面风险管理；内部控制；融合

中图分类号：F275文献标志码：A文章编号：1000-8772（2015）10-0179-02

收稿日期：2015-03-20

作者简介：曹江涛（1976-）男，汉，陕西咸阳人，大学，会计师，陕西华燕航空仪表有限公司企业管理部部长，研究方向：企业管理。

全面风险管理是国务院国资委提出并推行的。全面风险管理是通过一定的方式识别出企业所有的风险，然后依据一定的标准对识别出的风险进行排序，寻找出企业应当重点关注的风险，再根据风险的属性采取相应的应对方案予以防范风险。其中绝大多数风险都是要依靠应对方案对风险进行控制，预防其发生或者将其控制在最小范围。

内部控制是财政部提出并推行的。内部控制是依据一定的标准对企业的流程进行审理，找出缺陷然后改进缺陷，以防止风险的发生。

可以看出全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的，但是在管理推进过程中，全面风险管理与内部控制形成了各自的体系，并在企业中并行开展。这样的做法在初期对于推动该两项项管理活动有很大帮助，但是也造成了企业内部机构设置繁冗、业务交叉重复、推诿扯皮、资源浪费等问题的出现。因此，研究风险管理与内部控制的融合具有很现实的价值。

一、组织体系的融合

全面风险管理与内部控制在组织体系设计上无论是层级还是职能都基本一致，所以便于融合。

全面风险管理的组织机构设置为三级，分别是风险管理委员会、风险管理办公室和部门风险管理小组（风险管理员）。其中，风险管理委员会是顶层决策机构，风险管理办公室是组织推进管理单位，部门风险管理小组是具体执行单位。

内部控制组织结构设置也分为三级，分别是企业级的内部控制领导小组、内部控制管理办公室和各部门内部控制管理员，其职能分别是决策、归口管理和实施。

因此，组织机构的融合可以采取合并方式，以全面风险管理组织机构为主，风险管理办公室在管理人员上要兼顾内部控制管理的专业人员。

二、管理语言的融合统一

在两个体系融合过程中建立统一的风险控制语言非常重要，有利于管理中信息的传递和管理行为的一致性，避免概念含糊不清导致的管理混乱。统一语言的原则是既可以保证语言的一致，也要保证两个体系的全面融合，避免融合过程中失去内控的对风险管理的辅助优势。

需要统一的语言首要的是对风险的名称定义方式，全面风险管理与内部控制对风险名称的定义办法完全不同。在全面风险管理中，对具体风险事件的名称没有统一规范，均采取描述的方式表达，描述规则是风险事件的“表现+影响”。例如：“应收账款超过诉讼时效导致无法收回”就是对应收账款风险中的一项具体风险事件的描述。对二级风险名称定义是按照业务类别定义的。例如财务风险可分为应收账款风险、现金管理风险、现金流风险等等。对一级风险名称的定义一般是按照风险的属性定义的。例如：战略风险、财务风险、市场风险、运营风险、法律风险等等。

在内部控制管理中，仅有缺陷的概念，而没有风险的概念，但缺陷导致的结果就是风险。内部控制对缺陷的分类是与流程级别对应的，也就是说一级流程缺陷、二级流程缺陷的名称定义方式是“流程名称+缺陷”。例如采购缺陷、采购付款缺陷等。缺陷所导致的风险也没有统一的命名方法，与风险管理一样是采用“表现+影响”的描述方法。

通过上述分析我们发现，对于具体风险事件的命名方法全面风险管理与内部控制管理基本是一样的。对于二级、一级风险（或者缺陷），全面风险管理与内部控制管理命名方法虽然不同，但全面风险管理一、二级风险包含了内部控制管理的一、二级缺陷，因此，在体系融合过程中，可以统一管理语言，即不再使用缺陷的概念，而统一使用全面风险管理的风险概念。

三、风险识别方法的融合

全面风险管理中，风险识别方法有初始信息识别法、分类识别法、头脑风暴识别法、流程分析识别法、价值链分析识别法等。通过这些方法的综合运用，识别出各业务单元、重要业务活动和重要业务流程中的风险。

内部控制识别缺陷（即风险）是通过对业务流程进行实际观察和穿行测试的方法，测试流程是否可以满足控制目标的方式来查找流程缺陷。内部控制识别缺陷的方法确定性很强，因此，该识别方法可以直接融入风险识别中来，为了管理中的语言统一，我们可以把内部控制的这种识别风险的方法命名为流程识别法。

这样的融合既满足了内部控制对风险的识别，也充实了全面风险管理对风险的识别方法。

除此之外内部控制还有通过不相容职务的识别来查找风险的方法。这个方法可以被风险管理借鉴，也作为风险识别的一个方法。

四、风险分析方法的融合

全面风险管理的风险分析就是在识别出风险的基础上，对风险发生的原因、风险发生的可能性以及风险发生后的影响进行甄别与描述。这一过程与内部控制基本是一致的。

内部控制在查找出缺陷的基础上也要对缺陷可能导致的风险进行分析与评价。两者的分析方法没有本质区别，因此完全可以合并融合。

五、评价标准的融合

在全面风险管理中，通过风险识别、风险分析后，依据事前制定的风险评估标准，对风险进行评估。评估是通过对风险发生的可能性和风险发生后的影响程度分别打分（1-5份），然后将这两个分值相乘所得的积作为对某一风险的评估值。而内部控制管理中，通过识别缺陷、分析缺陷后，依据事先制定的标准，根据缺陷的风险发生后的影响，分为重大缺陷、重要缺陷和一般缺陷。由于内部控制对于缺陷的评价仅限于影响程度层面，而且影响程度的评价与风险影响程度的评价维度基本一致，因此，可以将内部控制对缺陷的评价标准纳入风险评估标准中的风险发生后的影响程度这一维度中，并根据企业的实际情况对风险评估标准进行适当修改，以便可以充分反映出内部控制评价的要求。这样就可以实现全面风险管理与内部控制的评价标准的融合。

六、风险应对方案的融合

在全面风险管理中，对风险评估结束后，根据风险评估值的大小排序，企业选择其中重大、重要风险进行重点管控。对重大、重要风险的管控是通过制定相应的风险应对方案来实现的。应对方案包括制度、流程保障以及针对风险特性所制定的一系列措施。

在内部控制管理中，对缺陷评价后，无论缺陷重要与否，都应当制定措施、完善流程以达到最大限度地控制风险发生。

内部控制所采用的通过对流程梳理完善以达到控制风险的方法，其实也是全面风险管理中的重要方法之一，可以完全融入全面风险管理之中，即在风险应对方案中要求必须对相应的控制流程进行分析评估，对有缺陷的流程进行完善，以确保有效控制风险的发生。

七、体系的融合

所谓体系的融合就是要把现在的两个管理体系有机地融合在一起，包括组织体系、管理方法、管理语言、评价标准等，统一为一项管理，并能兼顾原来两个体系各自的优点。

通过对上述六个方面的分析，可以看出在全面风险管理与内部控制体系融合中采用吸收融合法可以满足原来两个体系的管控功能，即以风险管理体系为主，通过统一评价标准、统一语言、合并组织体系、融合识别方法、融合分析方法、融合评价方法和融合应对方案等措施，丰富和完善全面风险管理体系，取消内部控制管理体系。重点在评价标准修订、识别风险环节和风险应对环节充分吸收和兼顾内部控制管理的方式、方法，就能使原来的两个体系有机融合。

融合后对体系运行情况的审计评价，则由原来对两个体系的评价改为对一个体系的评价，评价方法不变。

八、融合前后的流程示意图对比

篇4

文章编号：1003－4625（2008）10－0105－5 中图分类号：F833文献标识码：A

全面风险管理是目前风险管理发展的最新趋势，它是一种站在整个公司角度进行的整体化风险管理方式，我们平时见到的公司风险管理（Corporate Risk Management）或整体风险管理（Enterprise-wide Risk Management）也是指全面风险管理。全面风险管理的核心思想是：一个公司的风险来自很多方面，比如，一个保险公司可能会面对由需求变化、利率变化、资产价格变化等带来的种种不同风险，最终对公司产生影响的不是某一种风险，而是所有风险联合作用的结果，所以只有从公司整体角度进行的风险管理才是最有效的。目前关于全面风险管理的理论与方法主要有以下两大类：第一类是基于组织结构体系全面风险标准化度量的全面风险管理方法――ERM(Enterprise-wide Risk Management)。ERM的概念是由美国最大的几家银行和证券公司最先提出的。其核心理念是从企业整体的角度，对整个机构内部各个层次的业务单位和业务环节的各个种类的风险进行通盘管理。ERM 要求对市场风险、信用风险、操作风险等各种风险、各种风险所涉及的金融资产与资产组合（利率、汇率、股票、期权等）以及承担具体风险的各个业务单位，进行全面有效的整合风险管理。第二类是基于风险决策因素的全面风险管理理论――TRM。TRM(Total Risk Management)是从风险决策角度提出的另一种全面风险管理理论，其核心思想是从系统决策的角度出发，引入风险管理策略的三因素概念,这三个因素包括概率(Probability)、价格(Price)和偏好(Preference)因素。风险管理的目标是谋求三要素(3P’S）的最优均衡。目前TRM还只是一个理论上的概念，现实生活中建立如此庞大而复杂的TRM系统现在看来似乎是不可能的。相对TRM理论而言，ERM具有良好的现实可操作性，本文所讲的全面风险管理指的是ERM。

一、全面风险管理经典文献回顾

（一）国内（中文）文献回顾。陈秉正（2003）在其著作《整体化公司风险管理》中论述了风险管理概念的演进、风险管理与企业价值、风险管理与资本管理以及风险管理的各种策略，并对整体化风险管理进行了展望。文章主要是融合了Shimpi（2001）的《整合性公司风险管理》和Doherty（2003）的《整体化风险管理》两本风险管理巨著的精华，论述了全面风险管理的基本理论。阳（2006）《金融机构现代风险管理基本框架》一书从金融机构的风险角色分析入手，归纳了风险的概念和性质，并从金融机构的角度论述了现代风险管理的内涵和特征，以及现代风险管理框架体系的构建。该书的特色在于对风险角色的分析和风险、风险管理概念的归纳，但作者只是提出了现代风险管理的框架体系构建，并没有关于风险管理的实证分析和风险管理框架的具体应用。（美）尼尔・多尔蒂（Doherty, Neil. A.，2003）《综合风险管理――控制公司风险的技术与策略》，这本由陈秉正，王在2005年翻译的风险管理著作认为随着近年来衍生金融市场的快速成长以及金融工程技术的不断发展，加上保险市场开始重视在保单内容的设计上将可保风险与财务风险相结合，因此，当前风险管理的主要目标是反映公司的理财能力和增加公司的价值。整合型风险管理是结合保险与金融工程技术，利用创新性避险工具来管理公司的风险，包括可保风险（Insurable Risk）、财务风险、营运性风险和事业风险（Business Risk）。Doherty, Neil. A.还认为考察风险的成本是进行全面风险管理的基础，因此对风险的成本做了深入分析，并考察了容易产生风险成本的公司结构特征，指出改变公司的结构特征同规避风险一样属于重要的风险管理策略。该书对如何利用简单的和复杂的财务杠杆对风险进行管理，包括应急性融资工具的分析在全面风险管理领域是一个创新，增强了全面风险管理的可操作性。赖志仁（1999）在《风险管理与全球保险之未来趋势》一文中论述了近年来，随着经济全球化和信息技术的不断发展，国与国之间的距离越来越小，产业间的合并和企业并购行为在全球范围内开展，保险、银行、共同基金、资本市场之间的界限变得越来越模糊，金融商品之间的差异性变小，替代性变强。因此金融机构的风险管理不能继续局限于传统的方式，而应该从公司整体的视角上开发一种综合的风险处理方法。该文章还指出多种避嫌工具的风险管理策略会成为未来的潮流，但并没有具体说明企业应该如何整合这些避险工具来处理公司所面临的风险。潘国臣等完成的文章《整合风险管理与会司价值》（2006）指出，新兴风险管理工具有资产避险、负债避险和权益避险三种，这三种避险工具的价格分别为、和，并且三者的关系是＞＞ 。如果采取避险措施之前的资产与负债额分别为与，则在资本结构已经是最优的假设下，采用负债型避险方式对资本结构的冲击是最小的，其次是权益型避险方式，而资本型避险方式对资本结构的冲击是最大的。若是分析损失后对公司资本结构的影响，则单纯使用资产型或负债型避险工具都是不利的，应该综合运用多种避险工具。但文章并没有就该理论进行实证研究。

（二）国外文献回顾。瑞士再保险公司（Swiss Re.）研究部在其著名期刊《Sigma，No3/2005》发表了《产险业资本承保与价值创造的实践》①一文，该文章指出：影响产物保险公司的资本成本因素是投资活动与承保风险的组合。而公司价值比较高的产险公司的承保利润波动较小，这些公司都有较好的风险选择、风险分散与再保险安排，或者使用了创新的风险转移技术。这篇文章的特点是从实证角度出发验证了风险管理提升公司价值的重要作用。Shimpi（2001）年的著作《整合性公司风险管理》中提到：风险就像一头大象，传统的风险管理就像盲人摸象，“虽然每个人都摸对了一部分，但总体上来讲还是错的”。书中对于传统个别的风险管理与创新整合型风险管理做了比较，其中包括：资本管理与风险管理；公司财务与保险；财务长与风险管理人；众多个别风险与整合风险；众多个别市场与整合的市场。并对整合前后的风险管理效果进行了论述。该书与Doherty（2003）②的著作是学术界公认的风险管理理论与实践领域中最经典的两本著作，两本书的着重点不同，内容各有千秋。Doherty（2003）主要论述了各种创新型避险工具的运作与风险分析。Meulbroek（2002）在其论文“A Senior Manager’s Guide to Integrated Risk Management”中强调现代风险管理的观念不应该局限在可保风险暴露单位上，而应该关注会影响公司价值的所有风险，包括营运风险、法律责任风险、财务风险、投资风险、税收负担风险、监管及合规风险等。并提出了处理风险的三大基本原则：一是修正公司的营运方式；二是调整公司的资本结构；三是选择适当的金融工具（包括衍生金融产品）。以此来适应资本市场和保险市场的变化。Meulbroek认为应该用最具成效的方法达成风险管理的目标，使企业在遭受不可预测的意外损失时，可以及时获得融资资金，以维持企业的正常运转甚至进一步发展。Culp（2002）的两篇文章认为，资金管理和风险管理本来是一件事情的两个方面，但长久以来的公司财务处理方法总是将两者分开来管理，这不仅浪费了资源也损失了管理的效率。Culp建议公司应该采用整体化风险管理，利用创新型金融避险工具来管理风险对企业内部的现金流、盈余与资产负债表的不利影响，并避免非预期损失事件实际发生时对公司的财务状况产生巨大的冲击。

二、全面风险管理产生的基础

全面风险管理涵盖的范围很广，它是在图1所示的三个理论与实践基础上发展起来的，内容涉及保险、财务套期保值、投融资、杠杆管理、薪酬设计甚至税收管理等多个领域的内容。③

首先是风险管理与保险理论的发展。风险管理是20世纪六、七十年代为了管理“可保风险”而出现的。Robert Mehr和Bob Hedhes于20世纪60年代建立了可保风险管理的基本框架。之后，可保风险管理又有了一系列的创新，比如有限风险计划；保险公司自身的资产负债管理；以及20世纪90年代出现的捆绑式保障保单，这种保单不仅包括传统的可保风险（财产和责任风险），还包括财务风险（如利率风险和汇率风险），从而打破了保险市场和资本市场之间的障碍。

其次是衍生产品市场和金融工程理论的发展。20世纪八九十年代是金融创新高速发展的时期，其赖以产生和发展的理论基础主要是马柯威茨的资产组合管理理论、夏普和罗斯创立的资产定价模型以及布莱克和舒尔茨创立的期权定价理论。衍生产品和金融工程的发展不仅丰富了风险管理用于套期保值的工具，还为公司其他的风险管理策略提供了方便。公司不仅可用衍生产品对特定的风险进行套期保值，还可以将衍生产品嵌入到公司的负债和权益里。而新近发行的巨灾债券和非传统风险转移工具（ART）则是直接出于风险管理的目的而出现的。

再次是公司风险管理理论的发展。20世纪八九十年代人们开始关注风险对于公司价值的影响，1976年David Cummings通过对资本资产定价模型的进一步分析，说明了公司是如何通过对风险进行保险而实现价值最大化的；Mayers和Smith（1983）又基于风险给公司带来的摩擦成本，提出了更新的公司风险管理理论（关于风险的成本，在文章的第二部分有详细的论述），即风险的摩擦成本或交易成本可以使风险管理成为一个增加公司价值的过程。针对风险的成本解释， Doherty Neil A.（1985）又提出了管理风险的“对偶策略”，即公司既可以通过降低风险又可以通过调整财务或组织结构、改变杠杆作用的方式来减少风险的交易成本。

三、全面风险管理框架

这里主要介绍美国COSO委员会和GARP组织提出的全面风险管理框架。

（一）COSO全面风险管理框架①。COSO全称为“发起机构委员会”（ Committee of Sponsoring Organization )，它是一个自愿性质的私营机构，致力于通过商业伦理、有效的内部控制和公司治理来提高财务报告的质量。2004年9月，COSO委员会正式了《全面风险管理――整合框架》(Enterprise Risk Management――Integrated Framework)，目前已受到国际企业界、金融界和政府监管部门的广泛关注。新的《全面风险管理――整合框架》对全面风险管理给的定义是：全面风险管理是一个过程，它由一个企业的董事会、管理当局和其他人员实施，应用于企业战略制订并贯穿于企业各种经营活动之中，目的是识别可能会影响企业价值的潜在事项，管理风险于企业的风险容量之内， 并为企业目标的实现提供保证。COSO全面风险管理框架(下称REM框架)力求实现以下四种类型的目标：战略目标―高层次目标，与使命相关联并支撑其使命；经营目标―有效和高效率地利用企业资源；报告目标―报告的可靠性；合规目标―符合法律法规的要求。全面风险管理框架包括八个相互关联的构成要素，这些要素来源于管理当局经营企业的方式，并与企业管理过程整合在一起。这八个构成要素分别是:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。企业风险管理随着时间而不断变化，曾经有效的风险应对方式可能会失灵，控制活动可能会变得无效或不再被执行，企业的目标也可能发生变化等。面对这些变化，管理者需要通过控制手段，以确定企业风险管理的运行是否持续有效。监控可以通过持续的管理活动、个别评价或者两者结合来完成。ERM框架有如图2所示的三个维度:第一维是企业的目标，即战略目标、经营目标、报告目标和合规目标；第二维是全面风险管理的八个要素，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控；第三维是企业的各个层级，包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是，全面风险管理的八个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标，每个层次都必须从以上八个方面开展风险管理活动。该框架适合各种类型的企业或机构的风险管理。

（二）GARP全面风险管理框架②。GARP(全球风险专业人员协会)成立于1996年，是在英国老牌巴林银行倒闭、全球风险重要性开始凸现的背景下由风险专业人士倡议产生的专业组织。GARP认为全面风险管理所要做的是了解从金融机构活动中所产生的全部风险同时去有效地管理这些风险，因而一个有效的风险管理方案会平衡风险管理结构和质量方面的问题。基于这一认识该组织认为全面风险管理框架应该包括策略、程序、基础设施和环境四个模组以及它们之间的融合（如图3所示）。

GARP认为，风险管理任务主要包括以下六点： (1) 把交易策略和风险管理策略结合起来，这样可以确保企业在预测并分散风险方面的优势；(2) 建立风险管理过程，这个过程要便于公司组织内部对风险管理的理解和实施，并能主动支持公司的风险管理策略； (3) 通过在组织人员指导和风险行为的支持系统之间的合理安排来提高风险管理的水平； (4) 对各种类型的风险进行理性和动态的划分，合理地反映公司商业策略和外部市场环境所对应的风险；(5) 建立一个风险和行为的衡量系统，这个系统要透明、可信、及时，并具有较强的可操作性，以实现个人行为与企业目标以及风险管理目标的统一；(6)强化组织的风险管理意识，重视风险管理的质量和持续性,提高企业风险承受的能力，满足顾客要求和增加股东收益。GARP全面风险管理的四个模组协调合作，共同负责完成以上六项风险管理任务。实际上GARP方案与COSO的ERM框架并无实质区别，GARP方案囊括了COSO全面风险管理框架的要素，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控，并做了重新组合，更进一步来说，策略是中心，风险管理基础设施、过程和环境是全面风险管理体系的三大平台。

四、全面风险管理的四种基本策略①

全面风险管理策略针对的不是单个风险，而是整个公司的风险剩余，它包括下面四个基本策略。不论风险的来源如何，也不管风险是增加了税收成本还是财务困境成本，只要风险对公司价值产生了影响就可以使用这四种风险管理策略来管理风险。

（一）资产规避策略。“资产规避”可以定义为用一项资产为其他资产所存在的风险提供规避。资产规避策略的思想是：一个包括了基础资产和规避资产的投资组合可以有很小的风险甚至没有风险。比如投资组合F，一定量的资金$被投资于两项资产。第一项是基础资产，每投入的一美元的回报为AB；第二项资产，即规避资产，每一美元的回报为AH。资金$按{1h}分配于两项资产，并且两项资产的相关系数ρBH为负，在接近－1的极限时规避效果最好。

资产规避：F= $(AB+hAH) 0>ρBH≥－1（1）

如果ρBH＝－1，则存在某个规避率h*使得投资组合不存在风险，此时COV{ $(AB+hAH) }=0。

再保险保单是保险人采用的一种传统的资产规避形式。新型的资产规避工具是巨灾期权，巨灾期权是根据保险公司所要求的指数价值而制定的期权，当指数达到预先设定的指数值（执行价格）时，保险公司就可以获得一笔支付报酬。资产避险核心思想是当基础资产遭到损失时可以通过另一项资产的获取来弥补，当然中间涉及规避费用的问题（再保险保费或期权价格）。

（二）负债规避策略。与资产规避策略不同，负债规避是在资产负债表的相反方面实现的，即用一种负债的免除来弥补基础资产的损失的风险管理策略。这样，投资组合包括的就不是规避资产，而是基础资产和规避负债的组合。

负债规避：F= $(AB-hLH ) 0

如果ρBH=1，则存在某个h使得投资组合不存在风险，即COV{$(AB-hLH )}=0。许多新型的风险管理策略，如目前市场上存在的股票期权和巨灾债券都属于负债规避。

（三）股权规避策略。全面风险管理的目的包括避免风险带来的各项成本，保值公司对突然损失的融资能力和对投资机会的筹资能力。除了获得外部资本注入和借债，还有另一种方式可以达到这些目的，那就是损失后的股权融资。当损失事件发生后，公司为损失或投资机会筹措资金的难易程度以及资金使用的成本取决于损失事件的严重程度、公司的特许价值以及当时金融市场的环境，而公司所关心的一是资金需求数量和成本，二是损失后的杠杆水平。股权融资可以满足筹资需要，而且不会增加杠杆率。虽然债务融资也可以达到这个目的，但会增加杠杆率①。当一个公司现有的流动资产无力支付投机性损失（流动性危机），而公司其实还具有一定数量的特许价值，这时候采取的资本调整措施实质上是特许价值的一种变现。

股权规避策略有两种方式。第一种是简单的损失后权益融资。这种策略的一个特征就是新的权益资本的可发行价格会由于损失而降低。第二个策略是保险人购买其自己股票的一个看跌期权，这个期权可以在预定规模的损失发生后被执行。这些新的工具已经在市场上发行的“巨灾看跌期权”中被使用。

（四）杠杆调节策略。风险的成本可以通过降低风险或减少风险的交易成本两种方式降低，这是新型风险管理的“对偶性”特征，也是我们进行风险管理策略时考虑问题的两个基本方向。其中减少交易成本的策略可以叫做风险调整策略，而对杠杆率的控制是最重要的风险调整策略，它可以用于降低任何风险来源导致的风险成本，是典型的全面风险管理策略。杠杆调节策略可以用来处理财务困境成本，贷款人和剩余权利要求者之间成本等。此外，如果发生了突然的损失，公司将发现由于杠杆率的降低使得公司在资本市场上处于有利的位置，或者对已破坏资产进行重购，或者对新方案进行融资都变得相对容易。

杠杆调节策略顾名思义是对公司财务杠杆水平的调节，因此严格意义上讲，债务融资和权益融资都属于杠杆调节的范畴，只是由于近年来风险管理领域的创新都集中在新型规避工具的使用上，这些新型工具又都属于股权或负债型避险工具，所以把这两种工具单独拿出来介绍以示重视。除了债务融资和权益融资，杠杆调节策略涵盖的内容还很多，比如红利政策的制定、债务和权益间的转换等，这属于更广泛的公司财务管理的领域。

参考文献：

[1]Culp, C.L., (2002, Spring), Contingent Capital: Integrated Financing and Risk Management Decisions, Journal of Applied Corporate Finance.

[2]Culp, C.L., (2002, Winter), The Revolution in Corporate Risk Management: A Decade ofInnovations in Process and Products, Journal of Applied Corporate Finance.

[3]Doherty, N.A.,(2003). Integrated Risk Management, International edition. The McGraw -Hill. Companies Inc.

[4]Meulbroek，L.K.,(2002).A Senior Manager’s Guide to Integrated Risk Management, Journal of Applied Corporate Finance.

[5]Shapiro,Alan C.andSheridanTitman(1985).“An Intergrated Approach to Corporate Risk Management”,Midland Corporate Finance Journal,3,#2,41-56.

[6]Shelor,Roger M.,Dwight C. Anderson and Mark L. Cross(1992).“Gaining from Loss :Property-LiABility Insurer Stock Prices in the Aftermath of the 1989 California Earthquake”,Journal of Risk and Insurance,5,476-488.

[7]Shimpi，P.A.,(2001).Integrating Corporate Risk Management，NY:Texere LLc.

[8]陈秉正.整体化公司风险管理[M].北京:清华大学出版,2003.

[9](美)尼尔・多尔蒂著.陈秉正、王译.综合风险管理―控制公司风险的技术与策略[M].北京:经济科学出版社,2005.

[10]阳.金融机构现代风险管理基本框架[M].北京:中国金融出版社,2006.

[11]潘国臣等.整合风险管理与公司价值[J].保险研究,2006,(9).

[12]赖志仁.风险管理与全球保险之未来趋势[J].风险管理学报,1999,(2).

篇5

二、全面风险管理和公司治理的概念

（一）全面风险管理的概念

全面风险管理指的是银行要将全部风险集中起来，对其分级管理控制的一种管理模式。商业银行要实现全面风险管理，不能只仅仅对一二个目标加以控制，而应该综合银行各类风险管控技术，建立一个科学的管理系统来预警风险和控制风险。全面风险管理在企业真正实施，受到企业董事会、经理管理层的影响，体现在企业公司治理活动中，通过全面风险管理，识别出商业银行潜在风险，并将风险控制在合理范围内。从这可以看出，全面风险管理不能离开公司治理。COSO委员会在2004年出台《企业风险管理——整体框架》，明确规定董事会是风险管理的核心，另外，比如证监会在2002年出台的《上市公司治理准则》，对上市公司治理进行了规定，为上市公司风险管理提供了坚实的保障。

（二）公司治理的概念

公司治理分内部治理与外部治理，商业银行治理也包括内部治理和外部治理。公司内部治理结构大多为“股东大会——董事会——监事会——高级管理层”。其中，董事会是公司治理的核心，对股东大会负责。在商业银行中，银行董事会能够利用杠杆控制银行风险，此外监事会和高级管理层也是公司治理的主体。特别要提及的是商业银行具有特殊性，商业银行治理主体还包括政府监管部门。商业银行外部监督力量主要是债权人与市场，公司治理下的商业银行风险管理要发挥债权人与市场力量，使它成为风险管理的重要参与者。

三、基于公司治理视角下的商业银行全面风险管理

（一）建立健全公司治理结构

我国商业银行基本上都完成了股份制改造，建立了现代公司治理结构。但是，许多商业银行还是没有处理好“内部人控制”难题，例如监事会难以对董事会以及商业银行高层管理者进行有效监管，董事会很难有效监督高层管理者。为了解决这个难题，商业银行应该继续优化风险管理组织结构，建议将商业银行的职能部门分解出风险战略部、内在风险管理部、外在风险管理部，加强这些部门的独立性，发挥对商业银行风险监控作用。

（二）制定风险管理政策与考核机制

商业银行要重视风险管理战略的制定。战略是商业银行的发展方向，是商业银行经营的目标，董事会根据经济环境确定商业银行的长期发展战略，在此基础上，根据股东风险收益偏好，制定商业银行风险管理战略，并且建立健全考核目标机制，促进商业银行全面风险管理系统的建立。商业银行全面风险管理考核机制的建立，要求业务指标和利润指标根据风险情况修正考核指标权重。

（三）制定完整的风险管理流程系统

商业银行制定完整的风险管理流程系统主要体现在以下五个方面：第一，制定完整的风险管理政策、标准以及审核流程；第二，制定政策的实施以及监督机制；第三，关于例外事件的处理流程；第四，风险的动态跟踪流程；第五，风险报告流程框架安排。商业银行建立健全这些风险管理流程系统后，对科学分析风险以及回避风险奠定了基础。

（四）建立全面风险管理要求的内控系统

经济全球化以及一体化背景下，商业银行面临的风险也呈现出复杂化、衍生性特征。迫切需要建立动态化、系统化的内部控制系统的建立，使商业银行内部各组成部分之间联系更加紧密与协调。建立全面风险管理要求的内控系统，要求制定有效的内控管理规则，根据商业银行自身的特点，建立内控评价指标系统，方便商业银行对风险管理做出正确评价。

（五）加强商业银行信息系统的管理

为了更加有效地回避风险，执行信息化控制是其有效的手段。建立一个信息能够有效沟通的信息管理系统，实现信息上传下达更加快捷传送，有助于商业银行减小风险的发生与损失。为此，需要将风险控制制度指标和流程进行计算机程序化处理，建立一个内控管理数据库，为信息化手段预警风险与处理风险打下坚实基础。