風險管理論文賞析

　　風險管理論文篇二

　　企業(yè)全面風險管理框架比較研究

　　摘要：本文對COSO《企業(yè)風險管理—整合框架》、《中央企業(yè)全面風險管理指引》、《ISO/FDIS31000風險管理—原則和指引》進行了比較分析，得出《指引》適用于中國企業(yè)風險管理初級階段，COSO風險管理框架適用于風險管理中級階段，ISO/FDIS31000風險管理適用于風險管理高級階段，中國企業(yè)在實施全面風險管理的過程中應以《指引》為基礎，參與另外兩個標準，并隨著實踐的開展不斷推進風險管理向更高階段邁進。

　　關(guān)鍵詞：風險，全面風險管理，風險管理框架

　　一、引言

　　中國自2001年加入WTO以來，中國對外開放不斷深入，從十六大召開后，中國企業(yè)進入了對外開放新階段，紛紛加大了“走出去”的戰(zhàn)略步伐。隨著企業(yè)跨國經(jīng)營和全球化進程的加快，企業(yè)面臨的不確定因素加大，如一度被視為明星企業(yè)的中航油，2004年折戟獅城，損失5.5億美元，折射出企業(yè)風險控制能力的薄弱，在企業(yè)界引起極大的震動。面對慘重的教訓，企業(yè)的經(jīng)營理念也悄然發(fā)生了轉(zhuǎn)變，避免滅頂風險比獲取超常收益更重要，這是企業(yè)界的共識。尤其在經(jīng)歷了2007年以來的史無前例的經(jīng)濟危機后現(xiàn)代，風險管理被受到前所未有的重視，然而企業(yè)在開展風險管理的過程中，發(fā)現(xiàn)不同版本的風險管理框架差異較大，如何選擇適合企業(yè)自身的風險管理框架是擺在企業(yè)面前的實際問題，本文擬對目前國內(nèi)外比較具有影響力的風險管理框架進行分析和比較，以期為企業(yè)實施全面風險管理提供幫助。

　　二、全面風險管理框架比較

　　目前國內(nèi)外具有影響力的風險管理框架有美國COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月發(fā)布的《企業(yè)風險管理—整合框架》(以下簡稱COSO風險管理框架)。國際標準委員會于2009年頒布的《ISO/FDIS31000風險管理—原則和指引》(以下簡稱ISO31000)，該風險管理標準是在2004年修訂的澳大利亞/新西蘭風險管理標準(AS/ NZS 4360)的基礎上制定的。中國有國資委于2006年6月頒布了《中央企業(yè)全面風險管理指引》(國資發(fā)改革[2006]108號)(以下簡稱《指引》)。本文擬從風險和風險管理概念、風險管理流程、風險管理架構(gòu)等內(nèi)容對三個框架進行比較分析。

　　1.風險概念比較分析

　　COSO風險框架將風險定義為“風險是指一個事項將會發(fā)生并給目標實現(xiàn)帶來負面影響的可能性”，而事項是源于內(nèi)部或外部的影響目標實現(xiàn)的事故或事件，事項可能有正面或負面的影響，或兩者兼而有之。從COSO對風險的定義可以看出，負面影響的事件為風險，正面的影響的事件為機會，強調(diào)風險的負面作用，并將目標明確分為戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。這種分類方法有助于企業(yè)關(guān)注風險管理的不同側(cè)面，滿足企業(yè)增長和報酬以及監(jiān)管者的要求。

　　《指引》認為企業(yè)風險是“指未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響”，這里的影響包括正面的和負面的或者是兩者兼有。并將風險明確指出對經(jīng)營目標的影響。因此從風險的定義上可以看出，《指引》對企業(yè)風險的定義明確指出對經(jīng)營目標的影響，經(jīng)營目標是與經(jīng)營戰(zhàn)略相對應的目標，這可從《指引》后面提到的風險管理策略的制定要和經(jīng)營戰(zhàn)略相適應，經(jīng)營戰(zhàn)略是屬于業(yè)務層面的戰(zhàn)略，可以看出《指引》中企業(yè)風險更多指業(yè)務層面的風險而言的。

　　ISO31000將風險定義為“不確定性對目標的影響”。并指出影響是指實際與預期的偏差，可是正面的或負面的或兩者兼有。并表明目標可以有不同方面，如財務、健康和安全以及環(huán)境目標，可以體現(xiàn)在不同的層次，如戰(zhàn)略、運營、項目、產(chǎn)品和流程層面。從ISO31000對風險的定義描述可以看出ISO31000對風險的定義更加全面，兼顧了傳統(tǒng)的財務、健康、安全以及環(huán)境風險，表明了風險的兩面性，即正的作用和負的作用。

　　從以上比較來看，各風險管理框架對風險的定義基本上達成共識現(xiàn)代，即風險是不確定性對目標的影響，區(qū)別是目標的范圍不一樣和風險的兩面性上?！吨敢诽刂附?jīng)營目標，COSO將目標分為戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標，ISO31000目標范圍更加廣范，可以指不同方面，也可以指不同層面。

　　2.風險管理概念比較分析

　　COSO 認為“企業(yè)風險管理是一個過程，它由一個企業(yè)的董事會、管理層和其他人員實施，應用于企業(yè)戰(zhàn)略制定并一直貫穿到企業(yè)的各項活動中，旨在識別可能會影響企業(yè)的潛在事項，管理風險以使其在該企業(yè)的風險容量之內(nèi)，并為企業(yè)目標的實現(xiàn)提供合理保證”。根據(jù)企業(yè)風險管理的定義可以發(fā)現(xiàn)COSO所指的企業(yè)風險管理覆蓋的企業(yè)活動的范圍包括戰(zhàn)略制定活動。

　　《指引》認為全面風險管理，“指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法”?！吨敢分械娘L險管理的總體目標，包括戰(zhàn)略目標、經(jīng)營目標、報告目標、合規(guī)目標和危機管理目標。與企業(yè)風險的定義相適應，風險管理的定義也是圍繞經(jīng)營目標的實現(xiàn)，而展開了一系列活動。

　　ISO31000認為風險管理指“對指導和控制組織有關(guān)風險的活動進行協(xié)調(diào)”，即所有跟風險有關(guān)的指導和控制活動都稱為風險管理，涉及不同層面不同范圍。

　　從以上比較分析可以看出，《指引》的風險管理覆蓋的范圍相對較窄，而COSO，強調(diào)風險管理不僅包括經(jīng)營層面的活動而且包括戰(zhàn)略制定活動。ISO31000的風險管理涉及任何與風險有關(guān)的指導和控制活動，涉及的程度和范圍更加廣范。

　　3.風險管理流程比較分析

　　COSO風險管理流程包括內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控。COSO框架的風險管理流程始企業(yè)內(nèi)部環(huán)境，并認為內(nèi)部環(huán)境影響組織中人員的風險意識，是企業(yè)風險管理所有其他構(gòu)成要素的基礎。COSO將目標設定作為風險管理流程的一個關(guān)鍵要素，并明確指出目標設定是事項識別、風險評估和風險應對的前提條件。在識別和評估影響業(yè)績的風險必要的措施來管理風險之前首先要設定目標。COSO區(qū)分四種類型的目標：戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。

　　《指引》風險管理基本流程包括現(xiàn)代，收集風險管理初始信息;進行風險評估;制定風險管理策略;提出和實施風險管理解決方案;風險管理的監(jiān)督與改進。信息與溝通貫穿于整個流程中?！吨敢凡⑽丛陲L險管理流程中提到目標的設定，但是從風險的定義、風險評估可看出其中暗含著目標設定的內(nèi)容。

　　ISO31000風險管理基本流程包括溝通與協(xié)商、建立環(huán)境、風險評估、風險處理、監(jiān)控與回顧，如圖1所示。ISO31000將溝通與協(xié)商是整個風險管理流程的首要因素，旨在采用一種工作團隊的工作方法，為風險管理建立一個適合的環(huán)境。通過與內(nèi)外部利益相關(guān)者進行充分的溝通與協(xié)商有助于有效識別風險、不同領域的專業(yè)知識被用于風險分析、風險評估標準的建立、風險管理計劃的執(zhí)行和風險管理流程的變更等，確保整個風險管理過程中能充分理解和考慮利益相關(guān)者的利益。另外，ISO31000將環(huán)境建立作為風險管理流程的一個重要步驟，環(huán)境建立包括內(nèi)外部環(huán)境的建立、風險管理流程環(huán)境的建立以及風險評估標準的建立。該步驟使風險管理活動與內(nèi)外部環(huán)境相匹配，并在組織內(nèi)建立了風險管理的組織基礎和范圍，如界定風險管理活動的目標和風險管理流程的責任、風險管理的范圍、廣度和深度以及風險評估的有效性和風險評估的標準等。

　　從以上對各標準的風險管理流程來看，內(nèi)容上基本相同，區(qū)別之處所反映的理念存在差異，COSO強調(diào)內(nèi)部環(huán)境和目標設定，ISO31000強調(diào)溝通和協(xié)商以及環(huán)境的建立，《指引》強調(diào)信息收集，在整個風險管理流程中貫穿信息與溝通的內(nèi)容。

　　4.風險管理架構(gòu)比較分析

　　COSO風險管理架構(gòu)保留了其內(nèi)部控制框架的三個維度結(jié)構(gòu)，即目標維、風險管理要素維和管理層級維，并在此基礎上進行了拓展，目標由內(nèi)部控制框架的3類擴展為4類，即除了經(jīng)營目標、報告目標和合規(guī)目標外，增加了戰(zhàn)略目標。風險管理要素由內(nèi)部控制框架的5個擴展為8個，包括內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控。管理層級包括整個企業(yè)、職能部門、業(yè)務單位和分支機構(gòu)4層。目標、要素和管理層級之間的關(guān)系為：各管理層級是風險管理主體，目標是企業(yè)努力實現(xiàn)的對象，風險管理要素是目標實現(xiàn)的步驟，企業(yè)的各個管理層級都要按照風險管理的8個要素為4個目標服務。

　　《指引》的全面風險管理框架包括總體目標、風險管理文化、風險管理流程和全面風險管理體系四個組成部分，其中風險管理體系由風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)構(gòu)成。風險管理總體目標除包括COSO的四大目標外，還增加了“確保企業(yè)建立針對各項重大風險發(fā)生后的危機處理計劃，保護企業(yè)不因災害性風險或人為失誤而遭受重大損失”的應急管理目標。《指引》清晰提出風險管理的三道防線，即各有關(guān)職能部門和業(yè)務單位為第一道防線;風險管理職能部門和董事會下設的風險管理委員會為第二道防線;內(nèi)部審計部門和董事會下設的審計委員會為第三道防線。但《指引》四個部分內(nèi)在的邏輯關(guān)系表述的不是十分清晰。比如：建立全面風險管理體系是先建基本流程還是先建立體系沒有界定清楚。風險管理基本流程中和風險管理體系中都有風險管理策略的內(nèi)容現(xiàn)代，二者的內(nèi)涵是否一致，并沒有闡述清楚，風險理財措施屬于風險管理工具或方法之一，它與組織職能體系、內(nèi)部控制系統(tǒng)的內(nèi)容不在一個管理層面上。對于全面風險管理體系中最重要的目標政策體系的沒有突出。風險管理的目標政策對風險管理基本流程、風險管理體系和風險管理文化三個部分具有指導和引領的作用，但是在指引中沒有獨立章節(jié)表述，相關(guān)內(nèi)容也不夠詳盡。

　　ISO31000風險管理架構(gòu)定義為“為整個組織設計、實施、監(jiān)控和檢查與持續(xù)改進風險管理提供基礎和組織安排的系列要素”。其中基礎要素包括“管理風險的政策、目標、授權(quán)和承諾”。組織安排包括“計劃、領導、職責、資源、流程和活動”。風險管理框架被植入到組織的整個戰(zhàn)略和運營政策的制定和實踐活動中。ISO31000風險管理框架如圖2所示。

　　ISO31000風險管理框架建立了風險管理原則、風險管理架構(gòu)和風險管理流程之間的關(guān)系。如圖3所示。風險管理原則為建立風險管理架構(gòu)提供指導方針。風險管理架構(gòu)中的管理政策，程序和活動，系統(tǒng)地應用到風險管理流程中，同時風險管理流程應在風險管理架構(gòu)中通過風險管理計劃，成為組織各個層面和活動的組成部分，并得到實施。從風險管理原則可以看出，ISO31000風險原則除了包括COSO和《指引》的風險管理理念外，還提出風險管理成為決策的組成部分，充分體現(xiàn)風險管理的重要性。價值的充分體現(xiàn)。

　　三、比較分析結(jié)論與實施建議

　　根據(jù)全面風險管理的目標和覆蓋范圍，全面風險管理可以劃分三個階段，初級階段、中級階段和高級階段。初級階段主要關(guān)注經(jīng)營目標，在企業(yè)內(nèi)開始導入全面風險管理，風險管理的理念、方法和工具處于試用階段，企業(yè)內(nèi)部需要逐步形成統(tǒng)一的風險語言和廣為接受的風險管理方法、措施、政策、職責分配以及風險管理流程和關(guān)鍵經(jīng)營活動融合的過程，風險管理處于探索和價值逐步接受過程。風險管理中級階段，風險管理逐步被接受，且提出了更高的要求，將風險管理提升到戰(zhàn)略層面，和戰(zhàn)略進行整合，保障戰(zhàn)略目標的實現(xiàn)，發(fā)揮風險管理的價值創(chuàng)造和價值保持作用。風險管理高級階段，風險管理應用于決策過程，為決策提供信息基礎，并有機的與企業(yè)的內(nèi)外環(huán)境、組織、文化和戰(zhàn)略相融合現(xiàn)代，并隨著內(nèi)外部環(huán)境的變化而變更，成為企業(yè)的競爭力的重要來源。

　　從以上對各全面風險管理框架的概念、流程和架構(gòu)的比較分析可以看出， ISO31000風險管理標準風險管理的范圍和理念以及整個框架相對比較完善，適用于風險管理高級階段。COSO風險框架將風險管理提升到戰(zhàn)略層面，適用于風險管理中級階段，但COSO風險框架僅提出了風險管理的要素和風險管理的目標，并未提出風險管理體系?！吨敢愤m用于風險管理初級階段。ISO31000風險管理標準解決了以上所有的問題，闡述清了風險管理原則、風險管理構(gòu)架和風險管理流程之間的關(guān)系，為全面風險管理的實施掃清的障礙。

　　因此，中國中央企業(yè)在全面建設風險管理框架時，以《指引》為基礎，充分參考與借鑒COSO的目標設定內(nèi)容以及ISO31000的風險管理標準的內(nèi)容，使風險管理流程和風險管理體系有機融為一體。同時應該指出《指引》的內(nèi)容是適應中國企業(yè)風險管理實踐而制定的風險管理框架，隨著風險管理實踐的開展，企業(yè)應提升風險管理的范圍，即將戰(zhàn)略制定活動和保障戰(zhàn)略目標的實現(xiàn)納入全面風險管理的范圍。最后，在實踐中充分貫徹ISO31000風險管理的思想和內(nèi)容，使風險管理向更高的階段邁進，從而不斷提高企業(yè)自身的風險管理能力和增強企業(yè)的核心競爭力。

　　參考文獻：

　　[1](美)COSO，方紅星，王宏譯.企業(yè)風險管理—整合框架[M] ,大連：東北財經(jīng)大學出版社,2007.

　　[2]國有資產(chǎn)管理委員會.中央企業(yè)全面風險管理指引(國資發(fā)改革[2006]108號)

　　[3]國際標準委員會.ISO/FDIS31000 Risk management – Principles and guidelines, 2009

　　
看了“風險管理論文賞析”的人還看：

1.風險管理論文精選范文

2.風險管理論文范文精選

3.風險管理論文案例分析

4.風險管理論文參考

5.有關(guān)風險管理論文