企業風險管理

企業風險管理

全面風險管理（Enterprise Risk Management，ERM）

什么是企業風險管理

企業風險管理是企業在實現未來戰略目標的過程中，試圖將各類不確定因素產生的結果控制在預期可接受范圍內的方法和過程，以確保和促進組織的整體利益實現。企業風險管理（ERM）框架是由Treadway委員會所屬的美國虛假財務報告全國委員會的發起組織委員會（COso）在內部控制框架的基礎上，于2004年9月提出的企業風險管理的整合概念。

ERM是一個由企業的董事會、管理層和其他員工共同參與的，應用于企業戰略制定，用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險，為企業目標的實現提供合理保證的過程。

企業風險管理處理影響價值創造或保持的風險和機會，定義如下：

企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制訂并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證。

這個定義反映了幾個基本概念。企業風險管理是：

這個定義比較寬泛。它抓住了對于公司和其他組織如何管理風險至關重要的關鍵概念，為不同組織形式、行業和部門的應用提供了基礎。它直接關注特定主體既定目標的實現，并為界定企業風險管理的有效性提供了依據。

企業風險管理的基礎前提

企業風險管理的基礎性前提是每一個主體的存在都是為它的利益相關者提供價值。所有的主體都面臨不確定性，管理當局所面臨的挑戰就是在為增加利益相關者價值而奮斗的同時，要確定承受多大的不確定性。不確定性可能會破壞或增加價值，因而它既代表風險，也代表機會。企業風險管理使管理當局能夠有效地應對不確定性以及由此帶來的風險和機會，增進創造價值的能力。

當管理當局通過制訂戰略和目標，力求實現增長和報酬目標以及相關的風險之間的最優平衡，并且在追求所在主體的目標的過程中高效率和有效地調配資源時，價值得以最大化。

企業風險管理的內容

企業風險管理包括：

企業風險管理所固有的這些能力幫助管理當局實現所在主體的業績和贏利目標，防止資源損失。企業風險管理有助于確保有效的報告以及符合法律和法規，還有助于避免對主體聲譽的損害以及由此帶來的后果。總之，企業風險管理不僅幫助一個主體到達期望的目的地，還有助于避開前進途中的隱患和意外。

事項可能會帶來負面的影響，也可能會帶來正面的影響，抑或二者兼而有之。帶來負面影響的事項代表風險，它會妨礙價值創造或者破壞現有價值。帶來正面影響的事項可能會抵消負面影響，或者說代表機會。機會是一個事項將會發生并對目標——支持價值創造或保持——的實現產生正面影響的可能性。管理當局把機會反饋到戰略或目標制訂過程中，以便制訂計劃去抓住機會。

企業風險管理框架的組成

美國COSO（反欺詐交易委員會）委托普華永道開發《COSO風險管理整合框架》中指出，企業風險管理基本框架包括八個方面內容： 內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通以及監控等8個要素構成。

（一）內部環境

中央企業內部環境是其他所有風險管理要素的基礎，為其他要素提供規則和結構。其中特別是中央企業領導班子的風險偏好，決定了中央企業對可能出現的預料之外的事件的態度，中央企業管理層必須明確戰略及其執行過程中的風險和回報。

（二）目標設定

根據國資委確定的任務或預期，管理層制定企業的戰略目標，選擇戰略并確定其他與之相關的目標并在企業內層層分解和落實。管理層必須首先確定企業的目標，才能夠確定對目標的實現有潛在影響的事項。企業風險管理就是提供給企業管理層一個適當的過程，將目標與企業的任務或預期聯系在一起，保證制定的目標與企業的風險偏好相一致。

（三）事項識別

企業風險管理要求辨別可能對實現中央企業目標產生負面影響的所有重要情況或事件，事項識別的基礎是將可能的風險與環境進行對比。這要求綜合運用各種專業知識，盡可能地了解企業當前或將來的環境和經營情況。

（四）風險評估

一般用可能性（概率）和影響結果兩個指標度量風險。風險評估的過程根據不同的情況，采用定性和定量相結合的方法。若可以獲取充足的數據，可采用決策風險定量評估方法；若潛在的可能性及影響結果都較小，或者無法獲得數據，則可采取定性的評估方法。

（五）風險應對

中央企業要對每一個重要的風險及其對應的回報進行評價和平衡，據平衡的情況采取包括回避、接受、共擔或降低這些風險。風險應對是中央企業風險管理的整體重要組成部分。

（六）控制活動

控制活動包括在整個組織使用的審核、批準、授權、確認以及對經營績效考核、資產安全管理、不相容職務分離等方法。這是中央企業管理層設計的政策和程序，為執行特定的風險應對措施提供合理保證。

（七）信息與溝通

風險信息必須以一定的形式和框架進行交流，使中央企業員工、管理層履行各自的責任。中央企業必須對各種數據和信息流進行加工，形成關于企業風險組合輪廓的統一觀點，以利于交流。通常存在自上而下式、平行式和自下而上式3種有效的交流形式。員工的風險信息交流意識是風險管理環境的重要組成部分，應鼓勵員工就其意識到的重要風險與中央企業管理層進行交流，中央企業管理層應當重視員工的意見。

（八）監控

中央企業應通過持續的監控和獨立的評價活動，監控企業風險管理的有效性。持續監控以日常經營中發生的事件和交易為對象，包括中央企業管理層和專門的監控人員的活動。

企業風險管理的目標

在主體既定的使命或愿景（vision）范圍內，管理當局制訂戰略目標、選擇戰略，并在企業內自上而下設定相應的目標。企業風險管理框架力求實現主體的以下四種類型的目標：

對主體目標的這種分類可以使我們關注企業風險管理的不同側面。這些各不相同但卻相互交叉的類別——一個特定的目標可以歸入多個類別，反映了主體的不同需要，而且可能會成為不同管理人員的直接責任。這個分類還有助于區分從每一類目標中能夠期望的是什么。一些主體采用的另一類目標——保護資源也包含在上述類別之內。

因為有關報告的可靠性和符合法律、法規的目標在主體的控制范圍之內，所以可以期望企業風險管理為實現這些目標提供合理保證。但是，戰略目標和經營目標的實現取決于并不一定總在主體控制范圍之內的外部事項，對于這些目標而言，企業風險管理能夠合理地保證管理當局和起監督作用的董事會及時地了解主體朝著實現目標前進的程度。

目標與構成要素之間的關系

目標是指一個主體力圖實現什么，企業風險管理的構成要素則意味著需要什么來實現它們，二者之間有著直接的關系。這種關系可以通過一個三維矩陣以立方體的形式表示出來。

四種類型的目標——戰略、經營、報告和合規——用垂直方向的欄表示，八個構成要素用水平方向的行表示，而一個主體內的各個單元則用第三個維度表示。這種表示方式使我們既能夠從整體上關注一個主體的企業風險管理，也可以從目標類別、構成要素或主體單元的角度，乃至其中的任何一個分項的角度去加以認識。

認定一個主體的企業風險管理是否“有效”，是在對八個構成要素是否存在和有效運行進行評估的基礎之上所作的判斷。因此，構成要素也是判定企業風險管理有效性的標準。構成要素如果存在并且正常運行，那么就可能沒有重大缺陷，而風險則可能已經被控制在主體的風險容量范圍之內。

如果確定企業風險管理在所有四類目標上都是有效的，那么董事會和管理當局就可以合理保證他們了解主體實現其戰略和經營目標、主體的報告可靠以及符合適用的法律和法規的程度。

八個構成要素在每個主體中的運行并不是千篇一律的。例如，在中小規模主體中的應用可能不太正式，不太健全。盡管如此，當八個構成要素存在且正常運行時，小規模主體依然會擁有有效的企業風險管理。

盡管企業風險管理帶來了重要的好處，但是仍然存在著局限。除了前面討論過的因素之外，局限還導源于下列現實：人類在決策過程中的判斷可能有紕漏，有關應對風險和建立控制的決策需要考慮相關的成本和效益，類似簡單誤差或錯誤的個人缺失可能會導致故障的發生，控制可能會因為兩個或多個人員的串通而被規避，以及管理當局有能力凌駕于企業風險管理決策之上。這些局限使得董事會和管理當局不可能就主體目標的實現形成絕對的保證。

內部控制是企業風險管理不可分割的一部分。這份企業風險管理框架涵蓋了內部控制，從而構建了一個更強有力的概念和管理工具。內部控制是在《內部控制——整合框架》中加以定義和描述的。由于該框架經受了時間的考驗，并且成為現行規則、法規和法律的基礎，因此那份文件對內部控制的定義和框架依然有效。盡管《內部控制——整合框架》的正文中只有一部分被本框架所引用，但是本框架通過參考的方式把該框架整體融合了進來。

主體中的每個人都對企業風險管理負有一定的責任。首席執行官（CEO）負有首要責任，并且應當假設其擁有所有權。其他管理人員支持主體的風險管理理念，促使符合其風險容量，并在各自的責任范圍內依據風險容限去管理風險。風險官、財務官、內部審計師等通常負有關鍵的支持責任。主體中的其他人員負責按照既定的指引和規程去實施企業風險管理。董事會對企業風險管理提供重要的監督，并察覺和認同主體的風險容量。很多外部方面，例如顧客、賣主、商業伙伴、外部審計師、監管者和財務分析師常常提供影響企業風險管理的有用信息，但是他們不但不對主體的企業風險管理的有效性承擔任何責任，而且也不是它的組成部分。

企業風險管理的七種方法

每個企業在經營中都有可能性發生風險，但如何化解和減少風險是企業經營者必須進行研究的，企業的風險管理是一項重要的工作。在企業家的頭腦中首先要明確有哪幾種風險，然后有的放矢地采取措施。只有加強風險意識，進行科學的管理和科學的決策，建立起相應的制度才能避免風險的發生。從目前市場環境來看大致有七種風險，相應采取的措施有：

第一為投資風險。

投資風險是指因投資不當造成投產企業經營的效益不好，投資資本下跌。企業對此應采取：在項目投資前，一定要各職能部門和項目評審組一起進行嚴格的、科學的審查和論證，不能盲目運作。對外資項目更不能作風險承諾，也不能作差額擔保和許諾固定回報率。第二為經濟合同風險。

經濟合同風險是指企業在履行經濟合同過程中，對方違反合同規定或遇到不可抗力影響，造成本企業的經濟損失。因此，企業在進行經營和產品合同簽訂后的履約及賠償責任問題。合同簽訂后還應密切注視其執行情況，要有遠見地處理隨時發生的變化。

第三為產品市場風險。

產品市場風險是指因市場變化、產品滯銷等原因導致跌價或不能及時賣出自己的產品。產生市場風險的原因有三個：（1）市場銷售不景氣，包括市場疲軟和產品產銷不對路；（2）商品更新換代快，新產品不能及時投放市場；（3）國外進口產品擠占國內市場。

第四為存貨風險。

存貨風險是指因價格變動或過時、自然損耗等損失引起存貨價值減少。這時企業應馬上清理存貨，生產時要控制投入、控制采購、按時產出，加強保管。有些觀念保守的企業擔心存貨貶值，怕影響當前效益，長期不處理，結果造成產品積壓，損失越來越大。

第五為債務風險。

債務風險是指企業舉債不當或舉債后資金使用不當致使企業遭受損失。為了避免企業資產負債，企業應控制負債比率。許多企業因股東投資強度不夠，便以舉債擴大生產經營或盲目擴大征稅，結果提高資產負債率，造成資金周轉不靈，還會影響正常地還本付息。最有可能導致企業資不抵債而破產。

第六為擔保風險。

擔保風險是指為其他企業的貸款提供擔保，最后因其他企業無力還款而代其償還債務。企業應謹慎辦理擔保業務，嚴格審批手續，一定要完善反擔保手續以避免不必要的損失。

第七為匯率風險。

匯率風險是指企業在經營進出口及其他對外經濟活動時，因本國與外國匯率變動，使企業在兌換過程中遭受的損失。企業平時就要隨時注意其外幣債務。密切注視各種貨幣的匯率變化，以便采取相應措施。特別是在銀行有外幣貸款的企業更應如此。

風險管理的誤區

誤區之一：視風險為畏途，放棄發展機會。風險其實是無處不在的，特別是企業經營活動中，其結果本身就有不確定性。不少企業對未來盲目恐懼，缺乏前瞻性，視風險為不可抗力，采取回避的方式防范風險。殊不知，新的發展機會往往是由前期高風險帶來的，放棄風險有時候就等于放棄機會。

誤區之二：企業風險管理是一個筐，什么都往里面裝。不少企業的風險管理尚未開展，僅僅是一個概念性的東西，很多高層管理者認為一旦實施企業全面風險管理，所有事務都可以歸集到其中來處理。但企業風險管理其實僅僅只是企業管理活動中的一個方面而已，它不可能也不應該涵蓋企業生產經營的全部工作。

誤區之三：片面強調某類風險，忽視其他風險因素。企業風險管理應包括戰略、財務、市場、運營、法律等諸多方面，并非某一方面風險所能描述的。有些企業就片面強調某類風險，而忽視對其他方面風險因素的控制。

誤區之四：舍本逐末，未能抓住風險管理的關鍵。很多企業都有一整套完備的管理制度，有些企業認為只要這些制度的順利貫徹執行，就是內部控制的全部，就可以有效防范企業風險。但實際并非如此，如果企業將主要精力放在微不足道的控制上，表面上控制得很好，但往往不僅浪費許多管理資源，而且還會忽視重大風險。

誤區之五：注重風險制度設計，忽視制度執行。企業都或多或少的存在一定的內部控制制度。很多公司很重視制度的設計，甚至高薪借助“外腦”。但事實是制度的執行比設計更為重要，良好的企業風險管理制度如果不能得到有效的執行，其效用就無法發揮。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。