第七章企业全面风险管理

第七章企业全面风险管理COSO《企业风险管理框架》企业全面风险管理又称企业级风险管理，它的最初定义来源于巴塞尔银行监管委员会针对商业银行保险管理问题于2003年出台的“巴塞尔新资本协议”，是指金融企业对整个企业的风险进行识别和控制。从20世纪90年代后期开始就在跨国公司中广泛采用。企业全面风险管理是近年来国际风险管理领域最前沿的思想之一，指的是从整个组织所有的业务范围出发，积极、超前和系统地理解、管理及交流风险，从企业的目标出发制定风险管理策略。企业全面风险管理的特点

1、企业全面风险管理的核心理念是将企业的风险管理融入到企业战略、组织结构、经营流程等各个环节，风险管理战略必须与企业的业务战略相适应；风险管理组织、流程、工具和系统必须服务于风险管理战略的实现；更为重要的是将风险管理第一责任人锁定为从事经营活动的第一行为人。第一行为人所从事的经营活动才是形成企业风险的根源。2、企业全面风险管理强调全程实时管理，需要财务部门或专门的风险管理部门及内审部门更全面、实时地参与这一过程，对第一行为人的风险管理策略、过程、现状和结果进行实时观察、分析、评价，提出改进措施等。第一行为人必须将风险管理作为日常具体经营行为的首要考虑因素。3、企业全面风险管理还突出企业内外部环境对企业风险管理成效的影响。4、企业全面风险管理强调全员参与，人人有责，要不断提高全体员工的风险意识，丰富风险管理文化。传统风险管理模式与企业全面风险管理模式的比较传统风险管理模式企业全面风险管理模式分散的－－以部门或职务为单位对风险进行管理；主要由会计、财务主管、内审等部门负责一体化的－－在管理高层的参与下，各部门或各职务进行风险管理的协调；组织中的每个人都把风险管理作为自己的职责非连续的－－只有当经理们认为必要时才进行风险管理连续的－－风险管理应该是一个连续不断、每时每刻都要进行的工作小范围的、局部的－－主要是可保风险和财务风险大视野、全方位的－－把所有的企业风险和机会都考虑进来COSO《企业风险管理框架》

20世纪七、八十年代的财务报告的舞弊行为促使美国五个会计职业团体合作成立了“全美反舞弊性财务报告委员会”，人们通常称之为“特雷德威委员会”（CommitteeofSponsoringOrganizationoftheTreadwayCommission）。由于财务报告丑闻不断发生，1987年，特雷德威委员会建议统一关于内部控制的不同概念和定义，其结果便是1992年由COSO颁布的《内部控制整体框架》，其后为回应来自各方面的批评以及之后发生的财务丑闻，特雷德威委员会于1994年和1996年对该报告进行修改和补充。Treadway委员会是由美国注册会计师协会(AICPA)、美国审计总署(AAA)、财务执行官协会(FEI)、内部审计师协会(IIA)及管理会计师协会(IMA)于1985年共同赞助成立的全国反虚假财务报告委员会（NationalCommissionOnFraudulentFinancialReporting）框架的产生与此同时，在2002年美国多家公司暴露的金融丑闻的背景下，美国出台了《萨班斯——奥克斯利法案》(Sarbanes-OxleyAct)。COSO委员会在结合《萨班斯—奥克斯利法案》等相关要求的基础上，于2003年7月完成了《企业风险管理——整体框架》（EnterpriseRiskManagement－IntegratedFramework，简称ERM）（草案），并公开向业界征求意见。2004年9月，该框架正式发布，这表明内部控制理论进入了风险管理阶段。COSO发布《企业风险管理框架》的目的，是希望新框架能够成为企业董事会和管理者的一个有用工具，用来衡量企业的管理团队处理风险的能力，并希望这个框架能成为衡量企业风险管理有效性的一个标准。框架的要素内部环境风险反应目标设定控制活动事项识别信息和沟通风险评估监控内部环境企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织及对风险的识别、评估和反应，还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。内部环境包括许多内容，如企业的道德价值观、员工的胜任能力、人员的培训、企业管理者的风险管理理念以及权力和职责的分配方式等。其中，董事会、企业管理者以及企业的风险文化是内部环境的重要组成部分。

一般而言，企业的风险偏好是由企业管理层设定，董事会进行复核的，它直接影响企业制定战略的制定。风险偏好可以分为高、中、低三种类型。比如，为了实现一个预定的收益目标，企业可以制定若干不同的战略，每一个战略都有自身的风险。这时企业管理层就要将各战略的风险与企业能承受的风险相对比，选择与企业风险偏好一致的战略。企业的风险文化也是内部环境一个重要方面。企业员工的态度、价值判断等都受到企业风险文化的影响，从而在企业财务风险管理过程中表现出不同的行为，导致不同的结果。此外，内部环境会因企业的不同而有所不同。比如，一家员工较少的专业化经营的企业，其管理者可能就不会制定正式的职责划分和具体的风险管理制度。德隆公司的内部环境德隆模式是资本运作为纽带，通过企业购并和整合传统产业，为传统产业引进新技术和新产品，增强其核心竞争力。这种模式有一定的风险但也有利于企业的高速发展。在早期，德隆有较强的风险控制意识，风险偏好属于中等。后来，随着德隆逐渐壮大，背离了自己的原则。风险文化：德隆人常自信地认为“企业在到一定的程度就不会失败（toobigtofail）”,唐说：“德隆很大，大到成为市场的一部分。”没有风险意识。目标设定目标设定是风险识别、风险评估和风险控制的基础。战略目标、相关目标（经营目标、报告目标、合规目标）

这种目标的划分方法,可以使企业管理者注意到企业风险管理的不同方面。企业的某一个具体项目的目标可能不仅仅属于某一类目标,这些目标之间互相区别又互相重叠,但是根据企业的不同需要,可以有不同的侧重点。目标会随着内外部环境的变化而变化和调整。战略目标相关目标战略目标经营目标报告目标合规目标风险偏好风险容忍度目标重合包括符合(1)战略目标:企业最高层次的目标，和企业的长远发展相联系，并且保证企业的发展。(2)经营目标:企业经营的效率和效果，包括企业业绩目标和盈利能力目标等。 (3)报告目标:企业报告的有效性，包括企业对外披露的信息和内部使用的信息，包括财务信息，也包括非财务信息。 (4)合规目标:企业的经营过程必须符合相关的法律和法规。德隆公司的目标设定德隆的战略目标是要“做大做强”，其模式是以产业和金融为两翼，互相配合，共同前进。德隆管理层的风险偏好决定了其选择高风险的战略目标和战略模式，但是这些模式隐含的风险可能已经超过了德隆所能承受的范围。德隆这种“规模最大化”的目标隐含着极大的风险。事项识别不确定性的存在，使得企业的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的影响、负面的影响或者两者同时存在。有负面影响的事项是企业的风险，要求企业的管理者对其进行评估和反应。作为事项识别的一部分，管理者应考虑影响事项的各种外在因素，如经济，自然环境、社会、政治等因素；同时也应考虑内部因素，如设施、人员、生产过程和技术等。从外部看：两大支撑体系，即以上市公司为主体的资本市场和金融机构为主体的资金市场。这两个市场是垄断的、变化莫测的，且民营企业处于一个相对不平等的竞争环境中。从内部看：在实施多元化策略时，一味追求无节制的扩张，资本规模在400亿元左右，同时在十多条产业链上扩张与发展，并同时进行行业整合，资金压力极大。德隆公司的事项识别风险评估主要有两个方面：评估风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对风险发生的可能性和影响的估计经常要根据历史数据的趋势来进行分析。风险评估的方法通常是定量方法和定性方法的结合，如可以用财务杠杆分析来评估筹资风险，用敏感性分析来评估项目投资风险，用马柯维茨的方差模型、VaR模型等来评估证券投资风险。风险反应风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性，减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险，降低风险发生的可能性或降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。对德隆的风险评估和风险反应描述风险描述影响可能性风险应对评估结果资本市场和资金市场表现为垄断性、易变性、非市场性在金融投资领域面临极大的不确定性，一旦国家的贷款政策改变，企业将面临巨大的资金压力较高接受高民营企业所面临相对不平等的竞争环境，可能在竞争中处于劣势收购资产状况并不良好；收购必须支付现金；面对政策限制和外资资本的夹攻一般接受一般国内外存在强有力的竞争者严重影响市场占有率；利润下降；产业整合难以实现高接受高多元化经营对新产业“无知”导致整合失败；收购资产质量不佳，整合难度大资金不足，资金链断裂高接受高收益不佳，靠举债度日资金紧张很高接受高6.控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部门。7.信息和沟通。来自企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行好各自的职责。8.监控。对企业风险管理的监控是指评估风险管理要素内容和运行，以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。德隆的控制活动面对风险没有采取相应的控制活动：对被