全面风险管理.pdf

所谓全面风险管理，是指企业围绕总体经营目标，通过在企业管理的各个

环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立

健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织

职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目

标提供合理保证的过程和方法。

说到风险管理，有个概念是必须要提到的，即企业内部控制。在实践中有

很多企业不能真正理解全面风险管理与内部控制的区别和联系，要么将两者完

全隔离开来，要么只是简单地将它们等同起来。那么它们有什么联系和差异呢?

国际上基本上是接受了美国COSO(全国虚假财务报告委员会的发起人委员

会)2004年发布的《企业风险管理--整合框架》(国内也有译作《全面风险管理

框架》的)对两者的阐释。

二者联系

(1)全面风险管理涵盖了内部控制。COSO框架中明确地指出全面风险管理

体系框架包括内控，将之作为一个子系统。

(2)内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险

的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有

业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同

时，维持充分的内控系统也是国内外许多法律法规的合规要求。因此，满足内

部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。内部控制

与全面风险管理的差异为(1)两者的范畴不一致。内部控制仅是管理的一项职

能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯

穿于管理过程的各个方面，更重要的是在事前制订目标时就充分考虑了风险的

存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。

(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制

要做的。全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选

择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部

控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由

此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最

明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制

定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。

(3)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容

忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度

量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相

联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助

董事会和高级管理层实现全面风险管理的四项目标。这些内容都是现行的内部

控制框架所不能做到的。

COSO的ERM框架是个三维立体的框架。这种多维立体的表现形式，有

助风险管理结构于全面深入地理解控制和管理对象，分析解决控制中存在

的复杂问题。

第一个维度(上面维度)是目标体系，包括四类目标:(1)战略(Strategic)目标，即高层次

目标，与使命相关联并支撑使命;(2)经营(operations)目标，高效率地利用资源;(3)报告

(reporting)目标，报告的可靠性;(4)合规(compliance)目标，符合适用的法律和法规。

第二个维度(正面维度)是管理要素，包括八个相互关联的构成要素,它们源自管理当局

的经营方式，并与管理过程整合在一起，具体为:

内部环境

管理当局确立关于风险的理念，并确定风险容量。所有企业的核心都是人(他们的个

人品性，包括诚信、道德价值观和胜任能力)以及经营所处的环境,内部环境为主体中的人

们如何看待风险和着手控制风险确立了基础。

目标设定

必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理

当局采取恰当的程序去设定目标，并保证选定的目标支持主体的使命并与其相衔接，以及

与它的风险容量相适应。

事项识别

必须识别可能对主体产生影响的潜在事项，包括表示风险的事项和表示机会的事项，

以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程。

风险评估

要对识别的风险进行分析，以便确定管理的依据。风险与可能被影响的目标相关联。

既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影

响。