企業全面風險管理企業風險管理(ERM)是一套系統化的方法，用來理解和管理企業面臨的各種風險。風險管理是一種全面的管理職能，用以對某一組織所面臨的風險進行評價和處理。

（一）什么是風險管理？其他關于風險管理的解釋：風險管理是通過對風險的識別、衡量和控制，以最少的成本將風險導致的不利后果減少到最低限度的科學管理方法。（威廉斯、漢

斯）風險管理乃是為管理階層處理企業可能面臨的特定風險的一種方法和技術……風險管理的對象是純粹風險而非投機性風險。（格林、提斯切曼）風險管理是通過降低意外事故所致之財務損失以保障企業或（個人）的財產與權利的過程。（色賓）應引起特別注意的是：現代風險管理的新發展——包含所有的風險；風險管理是廣泛的、多學科交叉的職能，不能被狹義地描述為保險購買的行為。（二）風險管理的發展階段1、第一階段：早期風險管理意識的萌芽人們原始的保險意識的產生，即互助互濟的思想2、第二階段：19世紀末至20世紀初法國科學管理大師法約爾在《一般與工業管理》中首次把風險管理的思想引入企業經營中，但未形成完整的體系1929-1933年，世界經濟大危機3、第三階段：20世紀初至20世紀70年代風險管理一詞出現并且深受關注70年代初出現風險管理咨詢公司仍然只關注危害性風險，但安全管理與保險有融合的跡象4、第四階段：20世紀70年代至20世紀90年代20世紀70年代以后，風險管理出現了革命性的轉變這一階段相繼發生了一些大型科技災難風險分析學會（SRA），1980年由注重技術與財務向注重個人行為與文化社會背景的影響典型狀況：（1）在美國的企業中普遍實施；（2）已發展成兩種類型，即保險型風險管理和經營管理型風險管理；（3）風險管理協會、學會、研究會的建立；（4）風險管理101條準則的誕生；（5）風險管理教育的普及；（6）其他國家的開展情況。1920年代的德國的Risikopolitik——經營管理型風險管理。通貨膨脹時的企業防衛：關于企業經營的危險政策。1930年代的美國的風險管理——保險管理型風險管理。通貨緊縮時的企業防衛：從控制保險費支出、獲得合理的經濟補償出發，出色地利用保險這一風險轉移機制來保護資本。1960年代的美國的危機管理——危機管理型風險管理。從國家的安全保障擴大到家政、行政危機的管理。1960-1970年代的美國及日本的經營及經營戰略型風險對策戰略——經營戰略型風險管理、多國籍企業化、企業的國際化、多面化、企業中心主義、企業革新的倡導。101條風險管理準則的內容1975年，美國風險管理和保險協會成立。在其1983年5月9日的年會上，世界各國的專家學者共同討論并通過了該準則。12個部分：風險管理一般準則；風險識別與測量；風險控制；風險財務處理；索賠管理；職工福利；退休年金；國際風險管理；行政事物處理；保險單條款安排技巧；交流；管理哲學為了研究1973年及1979年的石油危機、1984年的森永事件、1989-1991年的海灣戰爭、1995年的阪神地震等帶來的經營危機對策，出現了不測事態應急計劃（contingencyplan）、危機管理手冊等。5、第五階段：20世紀90年代至今對金融風險管理的認識更深入,巴林銀行事件、日本大和銀行事件提出風險價值（VAR）的概念全球風險專業協會（GARP）的成立以危害性風險管理為主的保險市場和以金融風險管理為主的資本市場之間的界線被打破（三）風險管理產生的原因（1）與美國30年代的大蕭條密切相關（2）社會經濟、科學技術的迅猛發展（3）國際局勢的動蕩、社會矛盾的加劇（4）工商企業對風險管理的內在需求（5）保險的各種局限性（四）風險管理的作用與前景根據美國損失控制協會對于美國企業的統計，未設置風險管理系統的企業，70％在遭受巨災后5年內會結束營業。對于已建立企業風險管理系統的公司而言，在面臨損失事故時將具有更大的競爭優勢。“現代金融理論有三大支柱，依次為資本的時間價值、資產定價和風險管理”。

——97年諾貝爾經濟學獎得主RobertMerton

關于“企業”企業的含義：企業是從事生產、流通和服務等活動的獨立的經濟核算單位。它是擁有一定數量的固定資產和流動資金，依照法律進行登記并得到批準，在銀行開設帳戶，具有法人資格的基本經濟單位。經濟學上，企業是一個追求利益最大化的組織。要考察企業所面臨的風險，請牢記“企業是一個追求利益最大化的組織”，因此，就要考察哪些可能使其未來現金流入減少或現金流出增加的因素，即可能（經常、嚴重）影響其利益最大化的因素。1.5企業面臨的風險企業風險危害性風險金融風險雇員福利員工傷害財產損毀法律責任匯率風險商品價格風險國家風險經營風險流動性風險信用風險金融衍生品價格風險股票價格風險利率風險企業風險的類型：1、危害性風險危害性風險指的是對安全和健康有危害的風險，都是純粹風險，對企業而言，傳統上的風險管理就是對這類風險進行管理。財產損毀風險：包括政府征收（沒收）法律責任風險：給他人帶來人身傷害或財產損失必須承擔相應的法律責任風險員工傷害風險員工福利風險2、危害性風險損失企業危害性風險的主要損失類型直接損失間接損失財產損毀員工傷害賠償法律責任賠償及抗辯成本員工死亡、生病的福利費用支出利潤損失額外費用更高融資成本和放棄的投資機會破產成本1、美國發起人組織委員會(COSO)：一直是國際公認的權威機構，1992年該機構發表并于1994年修訂《內部控制-整體框架》報告；2004年9月，COSO又提出了《企業風險管理-整體框》，它既是對《內部控制-整體框架》的超越，也標志著內部控制的轉型，在內涵界定、目標體系、構成要素等方面都進行了拓展和延伸。2、澳大利亞國家標準，AS4360:1999。3、澳大利亞/新西蘭風險管理標準（AS/NZ4360）4、英國、加拿大、日本等國也制定了全國性的風險管理標準。5、國際標準化組織/技術管理局（ISO/TMB）決定成立風險管理工作組（ISO/TMB/WGonRiskManagement），由澳大利亞標準學會（SA）擔任召集人，秘書處設在日本工業標準委員會（JISC）。風險管理工作組已經召開了3次國際會議，討論形成了ISO25700：《ISO/TM/WG風險管理-風險管理原則與實施通用指南（草案）》的工作草案第三稿（WD3），該標準計劃于2008年正式出版。風險管理工作組的第4次國際會議將于2007年4月在加拿大舉行。2006年6月6日，國務院國有資產監督管理委員會制定并印發《中央企業全面風險管理指引》，要求各中央企業逐步建立全面風險管理體系。中國遠洋運輸（集團）總公司已按照AS4360:1999/COSO風險管理框架、“全球契約”社會責任管理體系導則和GRI可持續發展報告體系等要求，開始建立一體化的現代企業管理體系。目前尚沒有聽說，我國要出臺類似的標準。目前我國尚處于起步階段。可以預見，全面風險管理將在我國的企業中廣泛推行。

政府或有關機構應積極推動制定如COSO《企業風險管理——整體框架》那樣的框架，以指導我國企業的風險管理；我國企業應積極借鑒國外先進的企業風險管理理念和方法，建立和完善全面的風險管理體系。風險管理部與其他部門的合作：股東大會風險管理委員會董事會總經理監事會風險管理部戰略組監控組其他部門風險管理的組織風險管理部的內部組織風險管理的組織風險經理風險管理工程師保險經理安全、環境和防損經理索賠經理風險分析經理保險規劃員保險辦事員安全主管工業衛生主管消防主管索賠管理員危害性風險分析員金融風險分析員安全工程師工業衛生專家消防工程師組織架構（靜態）董事會風險管理委員會風險管理辦公室風險經理組織運行（動態）風險報告路徑獨立風險決策執行路徑與日常經營決策路徑合一授權體系權責相稱崗位制衡組織運行架構風險管理的組織風險管理的程序風險識別

按業務或風險類別羅列風險因素風險評估

針對不同類別風險運用恰當的手段（如數學模型）評估風險可能帶來的損失風險控制

針對不同類別的風險特性、根據可能損失的大小采取不同措施來化解和防范風險風險管理過程可劃分為風險管理策劃、風險識別、風險衡量、風險處理和風險管理績效評價四個基本階段。風險管理的程序制定風險管理計劃風

險識別風險衡量或估算風險處理風險管理績效評價風險管理的程序風險管理工作的簡要圖示風險管理的程序一、風險坐標圖風險坐標圖是把風險發生可能性的高低、風險發生后對目標的影響程度，作為兩個維度繪制在同一個平面上（即繪制成直角坐標系）。對風險發生可能性的高低、風險對目標影響程度的評估有定性、定量等方法。

風險管理的方法應列出對風險發生可能性的定性、定量評估標準及其相互對應關系。風險管理的方法二、蒙特卡羅方法蒙特卡羅方法是一種隨機模擬數學方法。該方法用來分析評估風險發生可能性、風險的成因、風險造成的損失或帶來的機會等變量在未來變化的概率分布。風險管理的方法三、關鍵風險指標管理一項風險事件發生可能有多種成因，但關鍵成因往往只有幾種。關鍵風險指標管理是對引起風險事件發生的關鍵成因指標進行管理的方法。風險管理的方法四、壓力測試壓力測試是指在極端情景下，分析評估風險管理模型或內控流程的有效性，發現問題，制定改進措施的方法，目的是防止出現重大損失事件。風險管理的方法當前我國企業風險管理存在的問題：

1）混淆風險管理與內部控制的關系

許多企業的管理者將內部控制與企業管理和風險管理等同起來，常常產生這樣的誤解：內部控制可保證企業成功并使其財務報告絕對合法；內部控制可以防止企業決策的失誤；建立了內部控制就等于實施了科學管理等。兩者混淆的關鍵，在于沒有看到內部控制管理是風險管理的本質性要求。

2）過分關注內部控制細節而忽視企業風險管理

企業把主要精力放在所有細小的、微不足道的控制上，如有些企業差旅費報銷的規定長達數十頁，極其繁瑣，表面上控制得很好，但浪費了許多管理資源，還會忽視企業重大風險。風險管理的方法3）只重視內部控制設計而疏于其執行效果，使企業承擔巨大風險

任何一個公司都或多或少存在一定的內部控制，否則，公司無法正常運行。公司把大量的精力放在設計內部控制上，而在如何保證制度實施方面，則缺乏應有的措施。在具體控制活動和監督等方面存在缺陷，所以很難保證已設計好的內部控制能夠得到執行。如果企業用這一紙空文來管理，勢必會帶來巨大風險，最終走向滅亡。

風險管理的方法4）對風險管理缺乏足夠重視

與國際領先企業相比，除了我國的金融、保險等高風險行業非常重視風險管理外，大部分企業尚沒有引起應有的重視，風險管理尚處于起步階段，過分強調企業的增長和效益，沒有處理好增長、效益和風險之間的平衡，在企業風險管理方面存在諸多差距。缺乏如COSO《企業風險管理——整體框架》那樣的權威框架對企業風險管理的指導；由于有的風險是可以計量的，因此，部分企業重視采取大量復雜的技術來管理這些風險。但是，一些定性的風險卻被忽視，如聲譽風險、管制風險、遵循風險、安全風險和政治風險等，企業缺乏系統和全面的風險管理。風險管理的方法

COSO的《企業風險管理-整體框架》提出企業風險管理由8個相互關聯的要素構成，它們源自管理當局的經營方式，并與管理過程整合在一起，這8個要素包括：

(1)內部環境是組織內人員如何看待風險、對待風險的態度。包括風險管理理念、風險承受能力、正直和道德價值觀及工作環境。內部環境為企業中的人們如何看待風險和著手控制風險確立了基礎。

COSO《企業風險管理-整體框架》一、COSO《企業風險管理-整體框架》介紹(2)目標設定只有先制定目標，管理層才能識別影響目標實現的事件。企業風險管理確保管理層參與目標制定流程，確保所選擇的目標不僅和企業使命方向一致，支持企業的使命，而且與其風險承受能力相符。COSO《企業風險管理-整體框架》(3)事項識別必須識別影響企業目標實現的內外事件，分清風險和機會。管理層制定戰略或目標時應考慮到機會，機會被追溯到管理當局的戰略或目標制定過程。(4)風險評估要對識別的風險進行分析，以便確定管理的依據。風險與可能被影響的目標相關聯。既要對固有風險進行評估，也要對剩余風險進行評估，評估要考慮到風險的可能性和影響。COSO《企業風險管理-整體框架》(5)風險對策管理層選擇風險應對方式，包括規避、接受、降低或分擔并制定一套措施把風險控制在企業的風險容忍度和風險承受能力之內。(6)控制活動制定和實施政策與程序以確保管理當局所選擇的風險應對策略得以有效實施。(7)信息與溝通企業的各個層級都需要借助信息來識別、評估和應對風險。有效信息溝通的外延比較廣泛，包括企業內信息的上傳、下達和平行流動。COSO《企業風險管理-整體框架》(8)監督整個企業風險管理處于監控之下，必要時還會進行修正。這種方式能夠動態地反映風險管理狀況，并使之根據條件的要求而變化。監控通過持續的管理活動、對企業風險管理進行單獨評價或者兩者的結合來完成。

企業風險管理整體框架有3個維度：第一維是企業目標；第二維是全面風險管理要素；第三維是企業的各個層級。COSO《企業風險管理-整體框架》本指引共計70條。第三條本指引所稱企業風險，指未來的不確定性對企業實現其經營目標的影響。企業風險一般可分為戰略風險、財務風險、市場風險、運營風險、法律風險等；也可以能否為企業帶來盈利等機會為標志，將風險分為純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存)。

《中央企業全面風險管理指引》第四條本指引所稱全面風險管理，指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。《中央企業全面風險管理指引》第五條本指引所稱風險管理基本流程包括以下主要工作：

(一)收集風險管理初始信息；

(二)進行風險評估；

(三)制定風險管理策略；

(四)提出和實施風險管理解決方案；

(五)風險管理的監督與改進。《中央企業全面風險管理指引》第六條本指引所稱內部控制系統，指圍繞風險管理策略目標，針對企業戰略、規劃、產品研發、投融資、市場運營、財務、內部審計、法律事務、人力資源、采購、加工制造、銷售、物流、質量、安全生產、環境保護等各項業務管理及其重要業務流程，通過執行風險管理基本流程，制定并執行的規章制度、程序和措施。《中央企業全面風險管理指引》第七條企業開展全面風險管理要努力實現以下風險管理總體目標：

(一)確保將風險控制在與總體目標相適應并可承受的范圍內；

(二)確保內外部，尤其是企業與股東之間實現真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告；

(三)確保遵守有關法律法規；

(四)確保企業有關規章制度和為實現經營目標而采取重大措施的貫徹執行，保障經營管理的有效性，提高經營活動的效率和效果，降低實現經營目標的不確定性；

(五)確保企業建立針對各項重大風險發生后的危機處理計劃，保護企業不因災害性風險或人為失誤而遭受重大損失。《中央企業全面風險管理指引》第九條企業應本著從實際出發，務求實效的原則，以對重大風險、重大事件(指重大風險發生后的事實)的管理和重