(精编)企业风险管理整合框架

(精编)企业风险管理整合框架

第二章《企业风险管理——整合框架》基本理论

一、《企业风险管理——整合框架》（简称ERM框架）的颁布

1992年COSO发布的《内部控制——整合框架》虽然被许多企业采用，但理论界和实务界纷纷提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合。2001年，COSO委托普华永道开发一个对于管理层评价和改进他们所在组织的企业内部控制的简便易行的框架。在此期间出现了安然公司破产事件、美国国会2002年出台了《2002公众公司会计改革和投资者保护法案》（萨班斯——奥克斯利法案），该法案是继美国《1933年证券法》、《1934年证券交易法》以来又一部具有里程碑意义的法律，该法案强调了公司内部控制的重要性，从管理层、内部审计以及外部审计等几个层面对公司内部控制做了具体规定，并设置了问责机制和相应的惩罚措施，成为继20世纪30年代美国经济危机以来，政府制定的涉及范围最广、处罚最严厉的公司法律。

2004年，Treadway 委员会下属的发起组织委员会(COSO)发布了《企业风险管理——整合框架》（ERM）①，该框架是在1992年COSO委员会颁布的内部控制框架基础上，吸收各方风险管理研究成果基础上提出的，是内部控制整体框架的延伸和扩展，一经推出，就迅速得到了推广。这个框架的显著变化是将内部控制上升至全面风险管理的高度来认识。

COSO发布《企业风险管理——整合框架》的目的与当初发布风险管理框架的目的相似，是由于实务界存在对统一的概念性指南的需要。COSO希望新框架能够成为组织董事会和管理者的一个有用工具，用来衡量组织的管理团队处理风险的能力，并希望该框架能够成为衡量企业风险管理是否有效的一个标准。

二、企业风险管理的定义

《企业风险管理——整合框架》（简称ERM框架）指出，“全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。

定如何应对及报告影响组织目标实现的机遇和威胁。

①本人认为COSO发布的《企业风险管理——整合框架》，具有较强的理论可取性和实践可行性，不但涵盖了内部控制整体框架的全部内容，而且有了更多的创新，必将全面替代COSO发布的内部控制整合框架，所以本书按照COSO发布的《企业风险管理——整合框架》来阐述。

这是一个广义的风险管理定义，适用于各种类型的组织、行业和部门。该定义直接关注组织目标的实现，并且为衡量企业风险管理的有效性提供了基础。该定义强调：

(1)企业的风险管理是一个过程，其本身并不是一个结果，而是实现结果的一种方式。企业的风险管理是渗透于组织各项活动中的一系列行动。这些行动普遍存在于管理者对组织的日常管理中，是组织日常管理所固有的。它仅是一种工具，是实现目标的工具而已。如果将风险管理看成是一个目标，就会为建立而建立，就会本末倒置，流于形式。

(2)企业全面风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在于组织目标的实现。这里是一个非常明显的进步，这种进步不仅仅在于提出“风险管理框架针对一类或几类相互独立但又存在重叠的目标”风险管理的目标也是实现多个目标，这里的关键区别在于直接明确风险管理的终极目标是促进组织目标的实现，这就揭示了风险管理的目的，为风险管理指明了方向，同时这也是判断风险管理成功失败的唯一的标准，即风险管理能否有效促进组织目标的实现。

（3）企业的风险管理是一个过程，一个系统的持续的动态过程。这里和风险管理的定义一样，强调风险管理也是一个过程，是动态的，组织经营管理环境的变化必然要求风险管理适应环境变化的要求，风险管理不仅仅是在某个特定时间里执行的政策和程序，不仅仅是一种工具，而是组织内部的各部门连续运作。是一个发现风险、处理风险、发现新风险、处理新风险的循环往复过程。它随着组织的目标的变化而变化，随着面临环境的变化而变化等等，这个过程不是僵化的，就象中国古语“世移时移，变法亦矣！”，这个世界唯一不变的是变化，否则就是刻舟求剑，缘木求鱼。

同时，也强调风险管理是一个全面的系统过程，他不仅仅限于对某一事项和情况的处理，而是渗透到组织的每个方面，只有把风险管理嵌入到组织日常的管理过程中，才能发挥风险管理机制的作用。

(4)企业风险管理是一个由人参与的过程，涉及一个组织各个层次的员工。定义一方面强调风险的管理不是高高在上，由组织的上层和董事会来实施并承担责任的，而是组织内每一个人的责任，强调人人有责任和义务参与风险管理，虽然参与的方式有所不同；另一方面也说明每一个员工所做的每一件事和每一份努力都和组织目标的实现、和风险的控制有直接的关系，培养员工的参与感，树立员工的主人翁意识和归属感，发自内心地关心企业的风险管理。

(5)该过程可用于组织的战略制定。组织目标可以分为不同的层次，战略目标是组织最高层次的目标，它与组织的预期和任务相联系并支持预期和任务的实现。一个组织为实现其战略目标而制定战略，并将战略分解成相应的子目标，再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时，管理者应考虑与不同的战略相关联的风险。

（6）该风险管理过程应该应用于组织内部每个层次和部门，组织管理者对组织所面临的风险

应有一个总体层面上的风险组合观。一个组织必须从全局、从总体层面上考虑组织的各项活动。企业的风险管理应考虑组织内所有层面的活动，从组织总体的活动(如战略计划和资源分配)到业务部门的活动(如市场部、人力资源部)，再到业务流程(如生产过程和新客户信用复核)。组织是一个整体，有一个整体总目标，虽然总目标分成很多分目标，但是分目标和总目标的实现不是矛盾的，而是统一的，分目标的实现有利于总目标的实现，否则，分目标就是失败的。这里在考虑分目标时，鼓励分析人员不要孤立地考虑问题，而是将分目标放在组织整体上来进行考虑，这样判断标准就非常清晰明确，从面上看点就更加全面，而不是管中窥豹，只见一斑，见树木而不见森林。

(7)该过程是用来识别可能对组织造成潜在影响的事项并在组织风险偏好的范围内管理风险。

导人，其风险偏好各不相同，在不同的风险偏好下，风险管理的策略也不相同。风险管理的目的并非将风险降低到零，也并非将风险控制的越低越好，而是在考虑企业风险偏好的前提下，设计风险管理的模式和策略，从而达到企业风险管理的目的——将风险控制在企业可以接受的风险偏好范围内。

(8)设计合理、运行有效的风险管理能够向组织的管理者和董事会在组织各目标的实现上提供合理的保证。一方面强调风险管理可以提供保证；另一方面也强调在完美的风险管理也不可能提供绝对的保证，任何情况下，风险都很难降到零，所以，风险管理只能提供合理的保证，迷信或片面夸大风险管理的效果是不恰当的。

总之，企业风险管理是一个过程，企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断。企业的风险管理要有效，则其设计必须包括所有的要素并得到执行。企业风险管理可以从一个组织的总体来认识，也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部门的角度来看待风险管理，所有的要素也都应作为基准包含在内。

三、企业风险管理框架的构成要素

企业风险管理框架分为内部环境、目标制定（设定）、事项识别、风险评估、风险反应（风险应对）、控制活动、信息和沟通、监控等八个相互关联的要素，各要素贯穿在组织的管理过程之中。

（一）内部环境

1、概念和作用

所谓内部环境就是对组织风险管理的建立和实施有重大影响的因素的统称，是建立、加强或削弱特定政策和程序效率发生影响的各种因素的统称。任何组织的风险管理都存在于一定的环境之