公司风险管理理论基础

　　第 2 章 公司风险管理理论基础

　　2.1 风险管理理论

　　2.1.1 风险管理的起源和定义

　　作为企业管理的一部分，风险管理始于 20 世纪 50 年代的美国。当时的美国对风险管理的尚无理论上的认识，但是一系列知名企业在安全生产上的重大损失，使得许多当时公司高级管理人员逐渐意识到预防事故的发生比事故发生时处理事故或者事后的补救能够为企业减少更多地损失，风险控制应当作为企业管理体系的一部分，风险管理的理论便因此逐渐应运而生了。

　　随着全世界经济的迅速发展，人类从事经济活动的种类也随着越来越多，开发和改造地球的活动也越来越多，越来越频繁，由此导致人类面临的风险也越来越多，风险的严重程度也越来越大。

　　1979 年美国三里岛核事故、1986 年美国“挑战者号”航天飞机爆炸，1986 年乌克兰切尔诺贝利核电爆炸事故，使得全世界对风险管理的关注度逐渐提高，对保护人员财产安全、预防事故发生的风险管理理论研究也因此而逐渐兴起。

　　目前在企业管理研究领域，风险管理理论与实践的研究已经成为了一个相对独立的研究领域。与企业战略、经营管理一样，风险管理在企业发展过程中同样具有举足轻重的重要意义。

　　根据国际标准组织 ISO31000 的定义：风险管理是在相对消耗较少的生产资料的前提下，尽可能地监督和控制生产经营中可能出现的生产风险的集识别与评价一体的管理体系。这个风险可能存在于资本市场、项目开发、外部环境、政策调整、信用变更以及其他如自然灾害等不可抗力发生的过程中。

　　2.1.2 风险管理的目标

　　风险管理作为日常管理活动，要想行之有效，有效地发挥其管理作用，就应当具有明确的管理目标；失去目标的指引，风险管理就无法与企业的实际情况相结合，也就无法体现出他的管理效果。

　　风险管理的目标其实就是为了增大单位的生产效益，在相对节约的情况下，通过合理的资源配置，在单位生产过程中，降低风险发生概率，减少事故发生损失，提升管理效率。

　　为了实现这个目标，风险管理应当贯穿于整个企业管理运营的过程中，包括风险的识别和确认、风险的分析和评估、风险的处理和消除，涉及到生产、财务、资产、技术等多个方面，是包括一整套方案体系的系统工程。

　　确认风险管理目标的原则应当满足如下基本要求：

　　1、创造价值，即风险管理的最终目的与风险管理的本体运营目的保持一致，为本体创造价值，保证管理主体的存续。

　　2、操作有效，即风险管理的目标是可实现的，具备可操作性的，否则不切实际的目标设定不但无助于企业的管理，反而会增加额外的管理负担。

　　3、过程透明，即风险管理应当与管理主体主要管理过程相融和，将管理主体的每个决策、运营过程都置于风险管理可控的范围内，也让风险管理能够体现在管理主体运营的各个环节之中。

　　4、结构清晰，不同节点、不同环节的风险管理应当根据相关和重要程度进行合理划分，区别对待不同主次重要程度的风险。

　　5、动态持久，要实现风险管理的目标是一个长期持久的过程，但这并不意味这风险管理的目标是一成不变的，应当随着管理主体的发展及外部环境的变化而做出相应调整，以符合管理主体的实际运营需要。

　　2.1.3 风险管理的职能

　　（1） 组织计划

　　由于风险管理与企业内部各业务管理目标一致，都是为企业创造价值，因此风险管理应当与企业各业务管理体系相融和，这就决定了在整个企业管理过程中，风险管理既要作为一套相对独立的管理体系，单独运行；又要与企业各业务管理流程相融和，把风险管理的理念渗透到企业其他管理体系中去。

　　因此，在企业设计整体管理计划时，应当考虑将风险管理的计划与其他各业务管理计划向结合，既单独考虑风险管理的成本费用、所需资源的合理性，也要统筹风险管理活动与其他业务活动的总成本，总效率。

　　企业整体计划设计完成后，根据相关计划，需要对各业务、权限、资源使用进行合理分配下方，此时，风险管理也应当根据管理计划中风险管理所占比例，与其他业务所需资源同时实施分配。与其他业务管理体系类似，风险管理的组织安排，也应当以风险管理的目标和实现该目标所需生产资源相结合，既要在各具体业务环节中进行合理分配，也要兼顾各业务管理工作之间沟通、联系、衔接的统筹安排
　　
　　（2） 内部指导

　　风险管理的内部指导职能就是在要对融和在各具体业务环节中的风险控制节点进行解释、判定及给予决策选择，简而言之，就是要在告知企业人员在所处的各自业务环节中应当依据哪些因素进行分析，面对各种情况如何做出选择，当出现问题时，应当如何操作以化解可能出现的风险或将风险造成的损失降至最低。

　　（3） 监督管理

　　监督管理职能指的是，在企业日常的生产经营管理活动中，风险管理应当发挥其活动前指引、活动中监督、活动后分析评价的作用。在活动前，向活动实施者告知活动各节点的具体操作步骤和可能出现的状况；在活动中，对活动的过程实施全程监控，为避免活动中风险的发生提供有效的保障；一旦风险发生，提供风险应对的及时响应策略，确保风险造成的损失尽可能小；在活动发生后，对活动的执行情况和相关风险应对措施进行详细评价，并分析活动过程是否效率最佳，风险的评估是否恰当，应对策略是否准确有效等。

　　2.1.4 风险的种类

　　对于风险的分类，学术界内目前并没有统一的标准。目前，国外较为流行的安达信风险分类把风险分为市场风险、信用风险、会计风险等 8 类风险；而金融界则习惯根据巴塞尔协议把风险分为：市场、信用、操作风险三大类。

　　在我国，根据国资委在《中央企业全面风险管理》中的规定，风险分为如下五类：

　　战略风险：如国内外宏观经济、产业政策变更可能导致的风险，国内外经济运行整体情况、企业自身所在行业运行状况及所在行业技术创新情况可能导致的风险以及企业自身中长期发展战略、投资计划、经营目标等是否符合企业实际情况产生的风险。

　　市场风险：如产品的价格及供需变化导致的风险，竞争者及产品替代品导致的风险，上下游产业链供求变化导致的风险，国际市场、汇率变化导致的风险等。

　　运营风险：如企业自身产品结构，产品研发能力可能导致的风险，企业市场定位，市场开发，产品营销可能导致的风险，企业自身组织效能、企业文化、人员结构、人员素质等可能导致的风险财务风险：如与企业相关的行业会计政策变更，企业投融资渠道发生变化，企业自身资产负债情况、现金流转情况、盈利能力变化，在财务处理时可能发生的人为误操作等导致的风险。

　　法律风险：企业与合作方签订的重要协议合同等，企业及对手的产品技术等知识产权储备情况，企业内部员工职业道德水准，可能影响企业的法律政策变更，企业所在国内外政治经济法律环境等可能导致的风险。

　　2.1.5 风险管理的基本框架

　　美国 COSO（反欺诈交易委员会）委托普华永道开发《COSO 风险管理整合框架》中指出，企业风险管理基本框架包括八个方面内容：

　　（1） 内部环境

　　内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。

　　（2） 目标设定

　　必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。

　　（3） 事项识别

　　必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。

　　（4） 风险评估通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。

　　（5） 风险应对。

　　管理当局选择风险应对--回避、承受、降低或者分担风险--采取一系列行动以便把风险控制在主体的风险容限（risk tolerance）和风险容量以内。

　　（6） 控制活动。

　　制订和执行政策与程序以帮助确保风险应对得以有效实施。

　　（7） 信息与沟通。

　　相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。

　　（8） 监控。

　　对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。

　　2.1.6 风险管理过程

　　（1） 建立体系。

　　在这个过程中首先把企业各所处环境中主要风险识别出来，然后对各风险环节结合实际运营情况进行相应的过程规划，在过程规划的过程中，我们要结合整个社会环境对风险管理的认知、企业所有者对企业目标的期望、风险评估和管控的依据对整个过程规划进行综合的考虑，接着我们要定义一整套业务流程和风险识别标准，并对各业务流程中的风险进行详细的分析研究，最后借助企业技术、组织、人力等资源的帮助给出相关风险的避免或解决方式。

　　（2） 风险识别。

　　风险体系建立完毕后，下一步就是要对潜在的风险进行识别，我们可以从问题的成因或者对问题本身进行分析对潜在风险进行识别。风险的起源可能来自于企业的内部因素或外部环境，比如投资者对企业的经营预期，又或者是企业内部职员的工作状况都可能给企业带来潜在的风险。而问题分析法则是通过对在问题发生的过程中发现的线索进行分析，从而发现潜在风险的另一种方式。如财务现金丢失的来龙去脉，人为失误的操作过程记录等线索都可以成为分析问题所需要的素材。

　　选择识别风险的依据有很多种，比如环境文化因素，产业结构，企业运营模式等等。比较常用的风险识别方式有：基于组织目标的风险识别、基于所处行业的风险识别，基于分类学的风险识别，检查通用风险分类表以及风险图册等。

　　（3） 风险评估。

　　风险评估的过程就是将已经识别出来的风险按照发生率或重要程度进行分类排列，并因此为依据制定按风险优先级处理的风险列表。在评估的过程中，为了能够达到最佳的效果，风险的发生率以及重要程度的测定应该非常严格及准确，这样制作的风险列表中各类风险的优先级才能够如实的反应风险体系的实际情况。正因为如此，测定风险的发生率和确定风险的重要程度是风险评估过程的一个重点和难点。

　　2.2 内部控制理论

　　2.2.1 内部控制的定义
　　
　　企业内部控制是企业发展和组织效率提高需求的产物，随着企业组织形态进化、社会环境不断变化而不断深化。自 20 世纪 30 年代美国《证券交易法》

　　提出内部会计概念以来，内部控制的内涵和外延都发生了深刻的变化。内部控制由外部审计界发端、企业监管部门参与，通过企业界为主体的经营管理实践，不断总结和发展，形成了完整的理论体系和实践框架。

　　在实际企业管理中，内部控制不是单纯的一件工作，而是应该成为公司内部的一套完整的管理体系，通过对组织内资源的管理、控制实现企业内控。因此对于内部控制的定义，必须结合特定的角度和层次。在最新的《企业内部控制基本规范》中，对企业内部控制给出了定义：企业的内部控制是企业的各个成员不分级别都应该实施和参与，并努力实现本单位的内部控制目标的过程，是一项整体性的工作。这个内部控制的定义，要求无论是企业的各层管理者还是全体员工都需要进行观念的转变，并且应该充分认识到企业的社会责任，提高自身的风险防范意识。这一定义还是的人们甩开了企业的内部控制致使企业进行方法人员舞弊的一项工具这一错误而通俗的理解。笔者认为，应该从以下两点来更好的理解这一定义。

　　首先，内部控制是整体性工作，是企业的各个成员部分级别都应该实施和参与的过程。也就是说，在企业，无论是高层的董事会、经理层，还是级别较低的管理层，或是普通员工，都需要实行自我控制和监督他人的内部控制工作。

　　各个级别虽然负责的内部控制工作各不相同，但是都应该做到积极参与和认真贯彻执行企业的内部控制要求和目标。并且，企业的内部控制工作应该涵盖企业的各项事项和各项业务，全面进行企业内控体系的建设。

　　其次，企业的内部控制是一个达到内部控制目标的管理过程。也即，企业的内部控制过程应该是动态的，而不应是指静止的那些规章制度。所以，企业的内部控制更重要的是更为有效地施行企业的内部控制规章制度，而不只是将这些规章制度制定的更为完善。这个实现目标的过程也就是指通过强有力的贯彻和有效的执行制度，而保证企业的价值最大化，企业更好的实现其经营目标。
　　
　　2.2.2 内部控制的构成要素
　　
　　基本规范中明确规定了内部控制的构成要素，并且内部控制的框架体系就是由这五要素组成的。企业内控体系的组成要素如下：

　　1、企业的内部环境。

　　内部控制的基本定义中指出，企业内控是整体性的，企业的各个成员、各个级别都要参与到过程当中，而这些要素毫无疑问也是构成企业内部环境的基础。理论上，影响内部控制的企业内部环境主要由以下五大方面：

　　企业治理结构：治理结构是公司内部环境的核心，只有完善有效的法人治理结构，才能解决公司决策领导层由谁监管的问题，也是内部控制首要解决的问题。同时，一个健康的治理结构，可以保障内部控制在执行过程中及时发现错误并纠正。企业的机构设置及权责分配企业内部机构需要按照内部控制的要求进行设置，相反不合理的机构设置和不清晰的权责则是导致内部管理风险的重要原因。

　　企业的内部审计内部审计本质上就市公司的自我监督、自我控制，是内部控制的重要手段。企业的人力资源内部控制机制的有效开展最终势必落实到人，而人力资源则是通过对薪酬、激励等手段对员工行为进行牵引。企业文化企业文化明确了公司使命、愿景与核心价值观，因此全公司上下的风险意识、法律意识、道德意识需要有强大的精神文化作为支撑。

　　2、企业的风险评估

　　企业的风险评估是指企业在生产经营过程中及时识别、系统科学的分析生产经营活动中影响企业内控目标实现的相关风险，合理判断和确定风险并积极采取应对策略的企业内控管理过程。

　　企业风险的内部来源

　　如前文所述，企业内部环境五大因素都会对内部控制机制产生影响，同理当这些内部因素无法满足企业管理需求时，就会带来风险，如不合规范的治理结构，缺乏客观有效的管理信息系统，员工素质低下，培训缺失，激励不足，管理人员权责利不对等。

　　企业风险的外部来源

　　而外部风险则包括企业无法通过自身调节控制的因素，例如政策影响，新法规的颁布实施，自然环境变化如灾害发生，宏观经济环境变化，社会环境边画、科学技术发展引起的顾客需求变化等。

　　3、企业的控制活动

　　内部控制体系的最重要使命和根本目的就是控制风险并将风险的影响尽可能缩小。根据风险评估结果进行风险点定位，在对每个风险点进行分析或提出对应的控制措施。常用的控制手段如权责划分（职能分工调整、授权），审计体系完善（营业绩效审核）等。

　　4、企业的信息与沟通

　　内部风险控制的重要前提是企业可以及时、准确地收集到与风险相关的有效信息，此类信息进过处理、识别才能进行风险评估，对症下药。另一方面，只有当企业内外有一套完整流畅的信息传递机制，才能保证风险信息和控制手段实现有效的传递，在现代企业管理中则主要是通过管理信息系统来实现这个功能，一个有效、优质的管理信息系统必须具备以下特点：准确提供信息及时反映问题有效决策支撑适应企业管理5、企业的内部监督。

　　内部监督指的是企业自行对内部控制建立与执行状况的真实性和合理性进行监督检查，并科学认真的评估内部控制的有效性，一旦发现企业的内部控制存在相应的缺陷，及时做出相关处理并加以改进和完善的企业的内控管理过程，包括持续监督、综合监督、个性评估。

　　持续监督：在经营过程中的例行管理和监督活动，也包括各级成员履行其职责所采取的行为；个性评估：指在例行监督之外，根据特定的监督需求开展的行为，监督范围、频率取决于具体环境；综合评估：持续监督和个性监督相结合的方式。

　　2.2.3 内部控制构成要素之间的关系

　　上述五个要素在企业管理实践中的有机结合是企业内部控制整体性、体系性的根本保证。

　　1、内部环境是根本基础

　　治理结构对一个公司的风险是决定性的，不合理、合规的组织结构本身就是一种内部风险；内部审计机制是有效的风险控制手段；人员素质、内部精神凝聚力薪酬激励体系、机构设置和权责分配则是有效保证信息收集、风险评估、风险控制等行为有效实施的基本条件。

　　2、风险评估是重要环节

　　是决定如何管理的基础，它在充分考虑影响机构实现经营目标的内部不确定性因素的基础上，明确了内控的关键点。

　　3、控制活动是重要手段。

　　包括保证控制目标实现的政策、程序和行为。它在风险评估的基础上，针对关键点，进一步明确了行动和控制活动的要点，并制定了一系列政策和相关实施程序。

　　4、信息交流是重要载体

　　不管是风险还是管理手段在企业内部都是以信息的方式呈现的，同时也是通过信息的传递实现的。信息贯穿于内部控制程序始终，而一个高效的信息传递机制和支撑系统则是确保发现问题，实施不久，确保内部控制效率和实现内控目标的前提条件。

　　5、监督手段是质量保障

　　监督管理则通过独立的核查部门对内部控制系统各个要素的运行情况进行有效的监控，并且对现有政策及程序是否健全做出判断。企业应该及时通过信息与交流得出的情况，加强内部监督工作的有效性和及时性，并且还应该使内部监督的制度、方法和程序更加规范，从内控体系出发，全方位，多角度的对各个内部控制要素进行调整和改进。企业的内部监督是企业内部控制的自我修正、改进和完善的管理过程。