企业全面风险管理_ERM_理论梳理和框架构建

2009年7月第31卷第7期

当代经济管理

CONTEMPORARYECONOMY&MANAGEMENT

Jul.2009Vol.31No.7

企业全面风险管理（ERM）理论梳理和框架构建

张琴1，陈柳钦2

（1.南开大学风险管理与保险学系，天津300071；2.天津社会科学院，天津300191）

[摘要]全面风险管理（ERM）是在以价值为导向的企业

目标确立过程中取代传统风险管理，承担增加公司价值使命的新型风险管理体系和手段。ERM的理论体系应该包括全面风险观、整体化风险管理理论以及ERM框架体系。ERM框架体系不仅包括我们常说的风险管理策略和过程，还应该包括所有支持和保障ERM效率效果的六方面辅助政策和设施，统称为ERM的配套设施，策略、过程和配套设施三个部分缺一不可，共同构成全面风险管理的整体框架。

[关键词]全面风险管理（ERM）；风险评估；公司治理；内部控制

[中图分类号]F270.7［文献标识码］A[文章编号]1673－0461（2009）07－0025－08

交易损失

要求的援助基金

$737

可疑的交易

$1BN

BankerstrustBaringsLTCM

BANKS

法律诉讼$300MM

Cendan

$350MM

Kidder

虚假利润$42MM

会计丑闻

Bausch&LombCORPs

$350

Phar-MorMM

房地产损失

清算PCACOsMGMTINSU$3.5

RANCBN

MorganMGGrenfell

ConfedLoydis

$1$300Life

$236不实报告

的收入

$1.3BN

一、全面风险管理（ERM）的必要和充分条件目前人们公认的企业总目标是增加公司价值，当然公司价值到底是股东价值还是公司这个中介组织的价值也存在诸多争议。由于公司注重股东价值可能会影响公司其他利益关联方的价值，比如债权人价值，因此本文所指的公司价值不同于股东价值。而风险管理之所以是公司战略管理的重要组成部分，为越来越多的公司尤其是金融机构所重视，其主要原因是风险管理可以增加公司价值。本文从风险管理增加公司价值的必要和充分条件两方面，证明公司内部开展现代化的全面风险管理确实可以增加公司价值。

（一）全面风险管理的必要条件

现实生活中人们对风险管理越来越重视，越来越多的对冲风险，在企业内部建立全面风险管理框架的呼声也越来越高。究其原因主要是：随着经济全球化和一体化进程的加快，公司面临的风险越来越多；市场上的汇率、利率和商品价格波动越来越频繁，使得公司价值面临的风险正逐步提高；各行各业不断出现的公司经营失败案例警示人们，建立良好的全面风险管理体系迫在眉睫。图1所示的不幸之轮形象的描述各行各业由于各种各样的风险管理问题而遭受重大损失的公司的名称、损失金额以及主要损失原因，说明风险管理灾难可以以各种不同的方式发生在任何行

交易损失

$3.2BN理赔

损耗费用

图1、不幸之轮

资料来源：《企业全面风险管理———从激励到控制》，詹姆斯·林著，黄长全译，北京：中国金融出版设，2003年，第9页。

业的任何一家企业。这些都是公司进行风险管理的必要条件[1]。

（二）全面风险管理的充分条件

风险管理存在的充分条件是“风险管理可以

。虽然人们一直都认可这个观增加企业的价值”

点，但关于风险管理通过什么样的途径可以在多大程度上增加企业的价值这个问题却一直没有定论。关于风险管理可以增加公司价值的论证要从新古典主义金融理论的风险管理无关论开始说起。现代的新古典主义金融理论认为在完美和完整的市场下①，投资者个人层面的风险管理措施已经十分完善，从而公司层面的风险管理是不必要的甚至是有害（风险管理成本会降低公司价值）的[2][3]。

但是，现实世界的金融市场远非完美，到处充满了摩擦和信息不对称，以对冲为主要内容的风险管理并非与公司的价值无关，而是可以增加公司价值，这就是风险管理相关论（RiskMan－agementRelevance）。如stulz(1984)，第一次系统地利用现代金融理论的框架分析了企业风险管理

1993）利用外部融资成的价值所在[4]；Froot等（

本增加说，证明公司层面的风险对冲、风险控制

[作者简介]张琴（1977-），女，河北定州人，南开大学风险管理与保险学系博士研究生，研究方向：风险管理；陈柳钦（1969-），男，湖南邵东人，天津社会科学院城市经济研究所教授，研究方向：产业经济、金融理论。

张琴，陈柳钦：企业全面风险管理（ERM）

理论梳理和框架构建

活动会给公司带来价值[5]；在此基础上，Froot和Stein（1998）又针对银行等金融机构构建了一个理论模型，证明风险对冲（风险管理）、资本预算和资本结构这三个相互联系相互影响的金融机构基本财务问题作为一个整体，共同决定金融机构的价值增长[6]；Doherty(1985)从风险成本的角度论述了风险管理对公司的价值[7]。总之，这些学者认为，风险管理可以通过减少不完美市场因素引起的各种摩擦成本的方式增加企业价值。这些成本包括：破产成本、财务危机成本、税收成本、代理成本、投资机会丧失成本等。还有一些学者从实证的角度证明了风险管理可以增加企业价值。如弗吉尼亚大学的GeorgeAllayannis和JamesWeston在1998年的一项研究，他们比较了1990年到1995年或多或少（以它们进行对冲活动的程度来计量）积极从事市场风险管理的公司的市值与面值的比率，结果发现更积极的从事市场风险管理的公司得到了市值平均增长20%的回报。[1]所有这些都充分说明，风险管理是可以增加企业价值的，而这正是风险管理存在的充分条件。当然并不是所有的风险管理都可以达到增加公司价值的目的，只有站在公司角度对风险进行整体衡量与控制的全面风险管理才可以达到这个目的。传统的风险管理手段由于自身固有的种种弊端并不能很好的完成提升公司价值的任务。

二、全面风险管理对风险的认知

任何有效的管理活动都要建立在对被管理对象的准确定义和分类的基础上，全面风险管理也不例外。全面风险管理理论体系的第一个重要部分是现代风险理论。

（一）风险的内涵———双侧风险观

传统的风险定义常常将风险定义为损失的可能性，这种定义注重风险的负面影响，是典型的单侧风险定义。现代的ERM观点认为风险等同于结果的不确定性。不确定性是指人们对事物的未来状态不能确切知道或掌握，也就是说人们总是对事物未来的发展与变化缺乏信息与控制力。根据能否事前估计事件的最终结果又将不确定性分为可衡量的不确定性和不可衡量的不确定性。从不确定性角度出发，事物的结果可能是坏的，也有可能是好的，即潜在损失与盈利机会并存。美国经济学家奈特在其名著《风险、不确定性和利润》一书中认为：风险是可以测定的不确定性。美国的阿瑟·威廉姆斯等在《风险管理与保险》一书中，把风险定义为：“在给定的情况下和特定的时间内，那些可能发生的结果间的差异。如果肯定只有一个结果发生，则差异为零，风险为零；如果有多种可能结果，则有风险，且差异越大，风险越大。”归纳起来，这些定义都涵盖了一个“双侧”的含义，即不仅将不利的波动（下侧风险

DownsideRisk）视为风险，同样将有利的波动

（上侧风险UpsideRisk）也视为风险，将风险定义为双侧风险，风险既是损失的可能又是盈利的机会。与单侧风险的定义相比，双侧风险定义更适合进行风险管理，更有利于对盈利制造部门和明星交易员的风险管理，同时也为全面经济资本配置和经风险调整的业绩衡量提供了理论依据。

（二）风险的性质

在现代的全面风险管理框架下，风险具有双向性②、对称性和风险/收益平衡性三个重要特点。风险的对称性是指：在ERM的世界里，风险（尤

）其是市场风险，如利率风险、股票和外汇风险

常常被认为是对称的，在市场风险的计量中常常使用正态分布的假设，如参数的Var模型；对于信用风险和操作风险（或称作营运风险，在本文中指除了市场风险和信用风险之外金融机构面临的其它所有的风险），虽然其自身的损失分布是非对称的，但对于投资组合（尤其是大量独立的产品和业务的组合）而言，依据大数定律，整个组合的损失分布仍然是趋于正态和对称的。基于这种对称性的认识，ERM强调把盈利部门纳入风险管理的范畴，注重利用组合管理将非对称风险转化为对称风险来降低风险管理的难度（非对称风险较对称风险更难于计量和管理）。另外，ERM还强调风险/收益的平衡性特征，对“没有风险就没有收益，风险越大，收益越高”这个投资学基本理念进行了重新认识。ERM认为，在风险和收益的这种正相关关系下，收益指的是相对收益而不是绝对收益。因为随着风险程度的增加，边际收益是递减的，所以风险增加到一定程度后收益会变得无效率。真正有意义的是图2所描述的风险收益关系，即风险与相对收益或经风险调整后的收益的关系[1]。图2中位于区域1的公司承担的风险不够，它的资本没有得到充分利用。位于区域3的公司则承担了过度的风险，其风险承担水平超出了公司资本的风险吸收能力和就员工和系统而言的风险管理能力。处在区域2的公司则找到了风险/收益特征的最佳结合点，这是所有公

图2、风险与相对收益

张琴，陈柳钦：企业全面风险管理（ERM）理论梳理和框架构建

司都渴望达到的最佳境界。ERM可以帮助企业测定整体风险敞口，找到公司的最佳风险收益结合点，使公司在风险承担最佳的区域2高效率运行。

三、整体化风险管理理论（一）全面风险管理（ERM）的内涵

国外文献中关于全面风险管理（Enterprise

））的词汇还有IntegratedRiskManagement（ERM

RiskManagement(IRM)、HolisticRiskManage－ment、Enterprise-wideRiskManagement等。其中“integrated”的直观解释是“综合的、完整的”，含有“整合”的意思；“holistic”为“整体的、全盘的”之意，其含义强调“整体性”。而“en－terprise”的直译解释为“企业、进取心”，它在本文中有两层含义，第一层含义是指审计或过程的控制，强调在整个企业范围内连续有效的控制过程，从管理方法上强调一种连续和综合的方法(consistentandcomprehensive)，企业的所有风险都应该包含在管理或控制范围内；第二层含义是投资与金融中资产组合“portfolio”的同义词，该含义认为，企业尤其是金融企业是风险的集合体，组合风险不仅依赖于单个风险的性质，还依赖于风险之间的相互作用和整合[8]。“全面”这个词语包含了“integrated,holistic,enterprise,total”的共同特征。

关于ERM的定义经历了从百家争鸣到整合统一的历程。主要的定义有：KentD.Miller(1992)提出的整合风险管理(IntegratedRiskManagement)定义[9]认为整合风险管理是一种从整体上考虑系统面临的各种风险，建立全瞻性的优化组合机制的管理体系。JerryMiccolis&SamirShah(2001)指出，就一般企业而言，全面风险管理是从企业所有资源出发，对企业的商业目标形成威胁或为企业带来竞争优势的整体风险进行评估和管理的经济活动。就保险企业而言，全面风险管理是整个保险业风险与价值的动态整合优化，它包括为实现提高企业价值的目标而对公司财务风险和操作风险(operationalrisk)进行评估、减低、融资或利用等技术手段的选择，以及对其所采取的财务战略和经营战略的强化、执行和控制[10]。LisaMeulbroek(2002)指出，所谓公司整合性风险管理，就是对影响公司价值的众多因素进行辨别和评估，并在全公司范围内实行相应战略以管理和控制这些风险。整合性风险管理的目的就是将企业的各项风险管理活动纳入统一的系统，实现系统的整体优化，创造整体的管理效益，提升或创造企业更大的价值[11]。他在同一年的另一篇文章中强调，整合风险管理在本质上是战略的，而不是战术的。战术性的风险管理，其视角窄小有限[12]。WilliamH.Panning(2003)指出，ERM是新的思维方式、测度方式和管理方式的三维统一体，通过这些方式促进管理者实现公司价值最大化[13]。从思维方式上看，ERM是一种理念和文化；从测度方式上看，它具有一定的技术管理性；从管理方式上看，它是一种行为。2001年北美非寿险精算师协会(CasualtyActurialSociety，CAS)在一份报告中，明确提出了全面风险管理(Enterprise-wideRiskManagement或EnterpriseRiskManage－ment，即ERM)的概念，并对这种基于系统观点的风险管理思想进行了较为深入的研究。CAS（2003）对ERM的定义为：ERM是一个对各种来源的风险进行评价、控制、研发、融资、监测的系统过程，任何行业和企业都可以通过这一过程提升股东短期或长期的价值。(Theprocessbywhichorganizationsinallindustriesassess,control,exploit,financeandmonitorrisksfromallsourcesforthepurposeofincreasingtheorganization'sshortandlongtermvaluetoitsstakeholders.)。随后，在内部控制领域具有权威影响的COSO委员会，于2004年9月颁布了《全面风险管理—整合框架(Enter－priseRiskManagement———IntegratedFramework)》报告。报告从内部控制的角度出发，研究了全面风险管理的过程以及实施的要点[14]，是全面风险管理理念在运用上的重大突破。COSO对ERM的定义是[15]：全面风险管理是一个过程，它由一个企业的董事会、管理当局和其他人员实施，应用于企业战略制定并贯穿于企业各种经营活动之中，目的是识别可能会影响企业价值的潜在事项，管理风险于企业的风险容量之内，并为企业目标的实现提供保证。

归纳起来一个正确的ERM概念应该包括下面几个关键要素，它们是：①过程：ERM是一个过程，这个过程贯穿于企业的各种管理和经营活动之中；②对象：ERM的对象是企业内、外部各种来源的风险整体；③主体：ERM的执行主体涉及到企业各个层级的全体员工和所有部门；④目标：ERM的目标是把风险控制在风险容量以内，同时为企业寻找最佳的风险/收益平衡点，最终的目的是提升股东短期或长期的价值。

（二）整体化风险管理方式

传统风险管理注重风险的来源，认为不同来源的风险应该由不同部门采取不同方法分别处理，而部门之间的沟通和合作非常少，这种风险管理方式被称为“竖井式(siloapproach)”管理方式。竖井，英文silo，为竖井，筒仓之意，siloap－proach，即孤立的、不与他人联系的方式。Shimpi（2001）在其风险管理巨著《整合性公司风险管理》中非常形象的描述了传统风险管理方式的缺陷：风险就像一头大象（Riskislikeanelephant），传统的风险管理就像盲人摸象，虽然每个人都摸对了一部分，但总体上来讲还是错的（Though

张琴，陈柳钦：企业全面风险管理（ERM）理论梳理和框架构建

eachwaspartlyintheright,andallwereinthe

[16]

wrong）。ERM冲破了传统风险管理对风险的狭隘理解，把风险看做一个整体加以考虑，研究和解决的是公司整体的风险暴露和对企业的整体影响，其核心理念是从企业整体的角度，对整个机构内部各个层次的业务单位和业务环节的各个种类的风险进行通盘管理。因此，现代化的全面风险管理要求一切风险管理活动都要围绕公司价值最大化这个目标，公司的风险管理活动和投资活动要结合起来考虑，同时还要考虑新的投资机会对公司原有资本结构的影响，对公司整体风险的影响，从而决定采取什么样的风险管理策略；现代化的全面风险管理利用先进的技术手段来估计公司整体风险敞口的风险暴露（如Var方法），对于该整体风险的可交易部分（流动性高）进行套期保值，对于不可交易部分（缺乏流动性）则采取风险控制的方法从项目选择初期就加以考虑，只选择那些风险回报超过该项目对整体风险的贡献因素的投资机会；现代化的全面风险管理要求公司上下使用一套统一的风险政策和风险语言，由独立的风险管理部门向董事会提交关于公司整体风险敞口的有用信息而不是各个部门的风险暴露信息，因此不会造成关键资源的浪费和重要风险的遗漏。总之，在全面风险管理的理论框架下，公司价值增加的过程是风险管理、资本结构、资本预算相互结合共同作用的过程，如图3，同时辅以相应的风险文化、组织结构、技术资源等必要设施的支持。

目标评价体系，并且使用适当的综合目标分析方法来帮助制定决策。②多种管理机制配套原则。ERM要求有一个综合的独立于其他业务部门之外的风险管理机构，这个机构负责制定针对公司所有风险活动的方针政策，并直接向首席执行官CEO）报告；ERM还要求有一个综合的风险转移（

策略，该策略在公司整体范围内整合所有类型风险，在充分考虑了各种风险的“天然对冲效应”后，将管理层认为无用的剩余风险通过衍生品或保险转移出去；最后，ERM是管理的攻击性武器，它需要把风险管理整合到公司的业务流程中，通过支持和影响定价、资源配置以及其他业务决策来优化企业绩效。因此，ERM是一个涉及公司治理、内部控制、部门管理、组合管理、权益方管理以及数据和技术资源管理在内的综合框架，其中任何一方面的失误都会影响到整个ERM的效率，某些关键失误甚至会导致整个ERM系统失效。③经验借鉴和因地制宜相结合。ERM框架构建的目的是为了更准确的反映企业的风险暴露情况，更高效的管理公司的风险敞口，保证公司的稳健经营和价值增长。要实现这个目标，一方面在框架主体上要充分吸收和借鉴国外ERM框架的

），成功经验（如表1所示的行业经验和综合标准

这些经验从较高视角诠释的ERM框架主体结构适用于不同国家不同行业的现代企业；另一方面，在涉及到具体风险评估和制度配套上还要立足于我国的实际情况，充分考虑国内消费者独有的文化、习惯、消费心理特征，充分考虑行业和企业的风险管理现状以及所面临的独特的经济、金融和监管环境，立足于中国实际和发展趋势设计出来的ERM框架，才更具有现实意义。表1.

标准

目前国际上流行的主要风险管理标准

行业或国家

银行

成

果

巴塞尔银行监管委员会、国际清算银行1998年的《银行内部控制框架》和2003年的《操作风险管理和监管的良好做法》巴塞尔银行监管委员会2004年出台的《新资本协议》澳大利亚金融监管局(APRA)的审慎监管标准(2001)美国保险监督官协会(NAIC)的RBC体系(1990-2000)A.M.Best公司的ERM整体模型

风险管理咨询服务公司Tillinghast-TowersPerrin的ERM设计指南Moody's公司的新C-3aRBC体系(2000)

美国信息系统审计与控制协会(ISACA)制定COBIT框架2000年第二版

1995年制定风险管理过程的国家标准，1999年更新

1994制定Dey报告要求上市公司报告内部控制的充分性

伦敦证券交易所在2003年更新了1998年的Cadbury报告，形成“公司治理联合准则(TheCombinedCode)”美国证券交易委员会：2002年《萨班斯———奥克斯利法案》1998年颁布强制性条例———theKonTraG

1997年颁布了Peters报告，给出了公司治理的40条最佳常规1992年9月COSO委员会发布《内部控制———整合框架》报告1999年英国Turnbull的《内部控制指南》2004年9月COSO委员会发布《整体风险管理框架》报告

行业标准

保险

图3、公司价值创造过程

四、ERM框架体系（一）构建原则

企业全面风险管理是一个涉及多个学科、涵盖方方面面的系统工程，由此构建的ERM框架应该是一个多维的、立体的、连续的管理方案和过程。要构建这样一个管理框架，必须要遵循以下原则：①多维度目标评价体系原则。ERM是以增加股东价值为导向的，而股东价值的多维性决定了ERM必然是一个多目标决策活动，因此要有全面的目标评价体系，以满足具体情况下不同层次不同价值取向的需要。要实现多目标的风险管理，需要对企业的目标进行完整的表述，形成全面的

IT管理控制澳大利亚/新西兰加拿人

上市公司标准

英语美国德国荷兰

综合标准

所有企业

（二）ERM框架

ERM

所要做的是了解企业经营活动中所产生

张琴，陈柳钦：企业全面风险管理（ERM）理论梳理和框架构建

的全部风险的同时用最小的成本去管理和利用这些风险，减少损失同时获取风险溢价。基于这个考虑，ERM框架应该是从全局高度制定的战略目标和风险偏好指导、各种策略和配套设施支持下

）。其中，ERM的连续风险管理过程（如图4所示

策略是从财务上对风险的可能结果进行的事前处理，是实现风险管理目标的手段。ERM过程是为了确定最优的风险管理成本和最有效的资本配置方案，这个过程要便于公司组织内部对风险管理的理解和实施，并能主动支持公司的风险管理策略，是进行风险管理决策的基础。ERM过程要在目标的指导下进行，ERM目标是风险管理的方向，是前面所有努力所要达到的最终结果，它应该有多个层次多个维度，考虑到企业不同的价值取向和各个发展时期。ERM的配套设施是实现ERM过程的软硬件准备，是风险管理效率效果的必要保证。

资产规避策略

负债规避策略

股权规避策略

杠杆管理策略

策略

过程

持续优化

目标确定

效果监控与报告

风险评估

风险利用

风险控制

配套设施

公司治理

内部控制

部门管理

关联方管理

组合管理

图4、ERM框架

（三）框架说明1.ERM策略

ERM策略针对的不是单个风险，而是整个公司的风险剩余，从这个意义上说它包括资产规避、负债规避、股权规避和杠杆管理四个基本策略。不论风险的来源如何，也不管风险从什么方面增加了公司的成本，只要风险对公司价值产生了影响就可以使用这四种策略来管理风险（具体见作者2008年的另一篇文章③）。总之，全面风险管理策略不仅包括传统意义上的风险控制和套期保值策略，还包括新型风险管理工具的运用，并且要和公司的投融资策略以及资本结构政策结合起来，共同为股东和公司关联方利益服务。

2.ERM目标和风险偏好

ERM框架要求管理当局采取适当的程序去设

定目标，确保所选定的目标切合、支持该主体的使命，并且与它的风险容量相一致。目标制定是一切风险评估和管理过程的前提，因此企业必须首先制定目标，在此之后，管理层才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险进行管理。制定战略及其它目标时，必须要考虑企业的风险偏好或风险容忍度，风险容忍度是指在实现企业特定目标过程中对差异的可接受程度。风险容忍度应该是明确的、切实可行的、可以衡量的；风险容忍度应该在整个企业的层面进行适当分配，以便于管理和监控；风险容忍度应该要企业内部外部的人都明确知道。ERM目标应该包括长远的战略目标和中短期的经营性目标，COSO发布的《全面风险管理———整合框架(En－terpriseRiskManagement———IntegratedFrame－work)》（2004年9月）将ERM的目标分为：①战略（strategic）目标，是较高层次的目标，与企

opera－业的使命相关联并支撑其使命；②经营（

tions）目标，保证企业有效和高效率地利用其资

reporting）目标，保证各种报告的可源；③报告（

靠性；④合规（compliance）目标，保证企业各项经营活动符合适用的法律和法规的规定。战略目标的确立把ERM提高到了指导企业经营活动的高度，在市场日趋成熟的情况下，企业要想长期稳定的保持其竞争优势，必须把战略目标作为首要考虑的目标，其它三个目标要围绕战略目标来确立。同样，在进行风险决策时也要首先满足战略目标。

3.ERM过程

一个典型的ERM过程应该包括如图5所示的基本风险管理步骤。首先要在明确企业使命的前提下制定企业的战略目标，战略目标是在历史分析的基础上做出的远景预测，是对企业未来的一个把握，这个目标一旦确立，就像一个航标指引着企业所有的运营活动，包括全面风险管理活动。ERM过程的第一个重要步骤是风险评估。风险管理的有效性依赖于对风险因素识别的全面性和测量的准确性，因此需要有科学的风险评估模型和方法来达到以下目的：使高层管理者可以清楚的观察到经过内部对冲之后的“剩余风险”和风险间的“组合效应”；确定用于防范实质性风险和抓住新投资机会的资源的配置方案；提供对风险进行客观、持续检测的模型。基于以上目的，风险评估应该包括以下几个步骤：①识别风险因素。这里要考虑到所有可能对公司目标产生影响的因素，不仅包括威胁，也包括机会。风险因素的来源可以是公司内部也可以是公司外部，可以是经济社会环境也可以是各项业务或财务，这些风险因素的一个共同特征就是它的存在会影响到公司的各项目标的实现。识别风险因素的方法主要是定性的征求专家意见和审查各种文档资料，这些

张琴，陈柳钦：企业全面风险管理（ERM）理论梳理和框架构建

组织的战略目标assessment）风险评估（★识别风险因素

★风险因素排序★风险因素分类风险评价(evaluation)

意见反馈

风险处理★风险控制★风险利用风险报告区分威胁和机会

审计部门审计

风险处理结果报告风险管理效果监控图5、ERM过程图

专家和资料包括来源于公司外部的资源，如公司的合作方或客户；识别的结果包括各种风险因素的发生的可能性、可预测性和对组织关键绩效指标的影响程度以及组织目前对该风险因素在硬件系统和观念上的准备情况。另外还要注意，ERM关于风险因素的识别是一个自上而下的过程，它是以各项业务为出发点，而不是风险检查表，以保证风险因素识别的全面性。这一部分的风险评估已经包括了风险的量化，是风险管理活动的基础和关键环节，也是最难操作的环节，这一环节结果的真实性直接影响到整个风险评估步骤的准确性。②风险因素排序。前面所识别出来的风险因素需要经过排序才能方便的被使用，常常由专家小组来对各种风险因素进行评估和打分，再根据各项因素的分值进行排序，排序的目的是筛选出对公司影响严重的关键风险因素。③风险因素分类。为了和下一步的风险控制和风险利用顺利的衔接，还必须对风险因素进行排序，以确定哪些因素需要加以控制，哪些因素可以被利用。关于风险因素的分类要结合行业的特征，一般可以按风险来源（如来源于外部环境还是来源于公司内部）或风险管理的难易程度（如属于公司已经熟悉并具备现成的软硬件系统去处理的“可管理的风险因素”，还是属于公司不熟悉的或缺乏应对这种风险因素的资源的“战略性风险因素”）进行

分类。经过分类的风险已经可以区分出盈利机会

和损失可能，可以直接为接下来的风险处理过程所用。

风险处理包括两方面的内容，风险控制和风险利用。因为通过前面的风险评估已经把风险进行了排序和分类，列出了关键的损失可能和盈利机会，所以接下来要做到是对这些关键风险进行管理。风险控制是管理不利风险的风险评估步骤，其目的是确保企业承担的风险总量与企业总风险容量相一致。风险控制分析的技术方法有三种：情景分析、经济资本金和风险指标或称早期预警系统；风险控制过程包括以下四步：首先要为每个关键风险因素建模，确定它们的概率分布和相关性，其次利用一个随机财务模型把这些不同风险因素的分布和一个基础性财务指标（如现金流指标）联系起来，第三步是利用随机财务模型对各种风险控制策略进行评估，最后是利用优化组合方法给出最优的ERM预算。风险利用专注于优化公司的风险/收益特征，以确保公司承担的风险具有最高的经风险调整收益率。风险利用的分析方法主要有风险价值VaR(ValueatRisk)方法、经风险调整资本收益率（risk-adjustedreturnofoncapital,RAROC）、经济创收（economicincome

）、股东价值（shareholdervalue,SHV）createc,EIC

）和股东增加值（shareholdervalue-added,SVA

等。通过风险处理，企业的风险/收益结构得到优化，公司的风险特征有了实际改变，股东价值得到增加，这些都是风险控制和风险利用的结果，而风险评估是实施风险控制和利用的必要铺垫。

ERM过程的最后一个关键步骤是风险管理效果监控。因为在动态的风险环境中，各种风险以及风险对企业影响的方式是不断变化的，随着企业风险管理技能的提高原本不擅长管理的威胁也许会变成企业新的机会，同样，原本的机会由于新的竞争对手的加入可能不能继续带给企业合意的风险溢价而被企业放弃，因此需要不断输入新的风险因素变量、不断对ERM过程进行检验。风险管理效果监控的另一个原因是我们对风险和风险管理认识的局限性造成了ERM过程中所使用的模型自身的不完美性，原有的风险量化模型和风险控制方法经过实践的检验也许需要改进或替换。总之，ERM过程应该是一个动态的循环过程，这个过程在实际运行中不断得到充实和完善。

4.ERM配套设施

ERM的配套设施主要有六个，之所以把这六个部分作为ERM的配套设施是因为这些部分各自是一个研究领域，它们和风险管理密切相关却又不完全相同，它们不完全属于风险管理却对风险管理有至关重要的影响，一个成功的风险管理系统需要这些部分成功运作的支持。因此把这些和风险管理密切相关的研究领域统称为ERM的配套

张琴，陈柳钦：企业全面风险管理（ERM）理论梳理和框架构建

设施，任何一种设施的缺位或失误都可能影响ERM的效率效果，甚至某些关键失误会导致整个ERM系统失效。下面分别介绍这些领域以及它们和风险管理的关系。

（1）公司治理。首先，公司治理包含了强化风险管理的内容，许多企业的公司治理准则都明确提出风险管理是董事会的一项主要职责，戴易报告和经济合作与发展组织（OrganizationforE－conomicCooperationandDevelopment,OECD）的公司治理准则公开提出，董事会有责任确保适当的风险管理系统和政策到位。其次，二者的最终目标一致，同样关注战略方向、公司整合以及来自公司最高层的动机。巴塞而银行监管委员会2005年公布的《加强银行机构公司治理》（Basel，2005）的征求意见稿中明确指出：“良好的公司治理应该为董事会和管理层提供恰当的激励去追求与公司利益和股东价值相符的目标，并且有利于对各方面的有效监督。”这与ERM的最终目标是一致的。第三，良好的董事会常规和公司治理是有效实施企业风险管理的必要条件。董事会的积极参与能促进ERM的研发与成功，而公司治理的缺陷将导致内部控制和风险管理从根本上失效。一个有效的风险管理和内部控制体系应该建立在良好的公司治理的基础上，由高层领导制定基调并且身体力行开展风险管理工作，以保证风险管理的独立性，并且他们本身的活动应该成为监督和管理的首要对象。

(2)内部控制。如果将控制理解为对目标实现过程的管理，而把风险理解为结果对目标的偏离，那么，内部控制显然是金融机构历史最悠久的风险管理机制。内部控制活动主要表现为与业务管理密切相关的各项规章制度的制定和执行的监督活动，因此，内控活动和业务管理活动实际上是融为一体的，业务部门承担主要的内控责任，而审计部门则负责内部控制有效性的评估和监督。企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险等)构建内部控制(包括预防性控制及觉察性控制)，以确保企业能实现目标和符合各方面的法律、法规。企业还要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力，把各类风险控制在可接受的水平，并在这基准上赚取合理的回报。1992年COSO委员会发布了《内部控——综合框架》（COSO，1992），在国际上被制—

广泛接受。该框架将内部控制定义为：内部控制是一个依靠包括董事会、管理层和其他员工参与，保证实现公司经营活动的有效性和效率、财务报告的可靠性和对法律法规的遵循性三大目标的过程。内部控制是ERM的一个重要组成部分，它曾经在早期风险管理中代替风险管理的职能行事，内部控制和公司治理共同保障风险管理的有效实

施，两者中的任何一个出现问题，所有风险管理技术和方法的有效性就失去了前提和保障。

（3）组织和部门管理。理想的风险管理组织结构是由一个独立的风险管理部门来负责实施日常的风险管理，这个部门的领导（风险总监）向上可以直接向CEO或董事会报告，以保证风险管理部门的权力和其工作的客观性，向下可以和各个部门通力合作汇总公司的整体风险敞口（如图6）。在设置ERM组织结构时，要注意处理好风险管理部门和业务部门的关系，理想的ERM框架下风险管理部门和业务部门之间应该形成一种伙伴关系。在这种关系下，风险管理部门不是严格意义上的监督部门，而是完全融入到了企业的各项业务中，在业务进行的最前端（产品开发和定价阶段或做投资决策时）就和业务部门一起处理风险/收益问题，并拥有共同的目标。这只是一种理想的状况，现实生活中，即使尽最大努力选择和优化风险管理部门与业务部门之间的关系模式，分别追求业务增长和风险控制的两个部门间的冲突仍是不可避免的。所以还应该有一些解决双方矛盾的办法来帮助两个部门伙伴关系的形成，保证风险管理部门和业务部门的一致行动，减少部门间的摩擦成本[17]。

股东大会

监事会

董事会

会合责公公财薪审规任共司务酬计委政治委委委法员策理员员员律会和委会会会

社员委

会会员

、

风

险管理委员会

再保险检查委员会

衍生金融交易检查委员会操作风险管理委员会信用风险管理委员会市场风险管理委员会★监控内部审计部门审

职能的发挥计★检查、监督公司财务委员报表、财务披露；会

★保证公司报告合法合规

部门管理层中设CRO、CCO、CIA及首席规则官

业务部门一

业务部门二

业务部门N

……

其它部门

图6、ERM组织结构图

（4）关联方利益管理。关联方包括任何支持和参与公司的生存和成功的团体和个人，主要包括：雇员、客户、供应商、商业伙伴、投资者、监管者、股票分析专家、信用分析专家以及评级机构等，这些关联方中的每一个都是公司成功的要素，关联方流失会给企业带来巨大的成本。如员工流失成本（尤其是流失到竞争对手那里，伴随技术和商业信息流失将会给企业带来莫大的损

张琴，陈柳钦：企业全面风险管理（ERM）理论梳理和框架构建

失），在美国，有研究表明替换一个工人所带来的招聘和培训费用大概为待聘职位薪金的1～2.5倍，职位越复杂费用越高，而伴随其中的技术和商业信息流失造成的无形损失则更高。客户流失成本也是如此，一般说来赢得一个新客户的代价至少是留住一个老客户的5倍，因为老客户一般购买的更多、对价格更不敏感，并且常常为公司带来新客户。④公司进行的风险管理活动可以保证公司更容易兑现对关联方的承诺，与支付高额成本来维护关联方关系相比，对风险进行套期保值的成本更低。因此，关联方关系管理是风险管理的一个重要组成部分，是风险管理增加公司价值的重要途径。

（5）数据和技术资源。可用的风险管理数据主要是组合数据和市场数据。组合数据包括在不同的前台后台系统收集到的风险头寸；市场数据则包括价格、波动率和相关系数。为了保证这些数据的质量，还要建立数据搜集的适当标准和流程。数据资源的两种获取途径分别是会计系统和前台交易系统，而前台交易系统可以提供许多客户的第一手资料。技术资源主要指用来进行风险量化分析和经风险调整定价的计算机功能软件，

messag－包括数据转换界面、数据转换中间设备（

ing-orientedmiddleware,MOM）（帮助减少风险管理实施时间，对点对点界面的改进）、定价分析系统和ERM模型实施所需技术资源等，这些资源可以通过自建、购买、定制或外包的方式来获得。数据和技术资源一起支持公司的风险分析和风险处理过程。

（6）积极组合管理。组合管理提供了风险管理与公司价值最大化的直接联系，它要求企业像管理基金一样对公司总体风险进行组合管理，充分利用组合内各种风险的“天然对冲”效应和分散化效应，建立组合目标和适当的风险限制以确保获得最佳组合回报率。这意味着把公司面临的诸如负债、投资、利率以及所有其它风险作为一个有机的整体加以管理，以实现总体风险/收益最优化。[18]

[3]Modigliani,F.andM.H.Miller..TheCostofCapital,Corporation

FinanceandtheTheoryofInvestment[J].AmericanEconomic

3）:261-297.Review,1958,48（

[4]Stulz,R.M.RiskManagementandDerivatives[M].Thomson

South-WesternPublishers,2004.

[5]Froot,Kenneth,DavidScharfstein,andJeremyStein.Risk

Management:Co-ordinatingInvestmentandFinancingProblems[J].JournalofFinance,1993,48,1629-1658.

[6]陈忠阳.金融机构现代风险管理基本框架[M].北京：中国金

融出版社，2006.

[7]Doherty,NeilA.CorporateRiskManagement:AFinancialAnalysis

[M].McGraw-Hill.CompaniesInc,1985.

[8]SocietyofActuary.EnterpriseRiskManagementSpecialtyGuide

[D].2005:8-10.

[9]Miller,KentD.AFrameworkforIntegratedRiskManagementin

InternationalBusiness[J].JournalofInternationalBusinessStudies,Washington,SecondQuarter1992，Vo1.23，Iss.2.

[10]JerryMiccolis&SamirShah.CreatingUaluethroughEnterprise

RiskManagement:APracticalApproachfortheInsuranceIndustry[Z].2001:3-10.

[11]LisaMeulbroek.ThePromiseandChallengeofIntegratedRisk

Management[J].RiskManagementandTnsuranceReview,2002.Vol.5.No.1:1.

[12]LisaMeulbroek.IntegratedRiskManagementfortheFirm:A

SeniorManager'sGuide[Z].2002:3.

[13]WilliamH.Panning.UsingEnterpriseRiskManagementto

MaximizeShareholderUalue[R].2003CAS/SOAERMSvmnosium_WashinstonD.C.2003.

[14]TheCASEnterpriseRiskManagementCommittee.Overviewof

EnterpriseRiskManagement[R].theCasualtyActuarialSocietyForum2003:99-164..

[15]COSO.EnterpriseRiskManagement-IntegratedFramework[R].

CommitteeofSponsoringOrganizationsoftheThree-wavCommission2004:2-8.

[16]Shimpi，P.A.IntegratingCorporateRiskManagement[M].NY:

TexereLLc,2001.

[17]JerryA．Miccolis,KevinHively,andBrianW.Merkle.Enterprise

RiskManagement:TrendsandEmergingPractices[R].Tillinghast-TowersPerrin,2002.

[18]SOA,EnterpriseRiskManagementSubgroupERMSpecialty

Guide[Z].2005，August30:8-9.

TheTheoryandFrameofEnterpriseRiskManagement

ZhangQin1，ChenLiuqin2

（1.RiskManagementandInsuranceDepartment，NankaiUniversity,Tianjin300071,China；2.TianjinAcademyofSocialScience,Tianjin300191,China）

Abstract：EnterpriseRiskManagement(ERM)isthenewriskman－agementsystemandthemethodwhichundertakestheresponsibilityof

svalue,replacingthetraditionriskmanage－increasingthecompany’

mentintheprocessoftakingthevalueastheguidegoalofenterprises.TheERMsystemshouldincludethecomprehensiveriskview,theinte－grationriskmanagementtheoryaswellastheERMframesystem.TheERMframesystemdoesnotonlyincludetheriskmanagementstrategyandtheprocess,butalsoallsupportsandsixauxiliarypoliciesandthefacilitiestoguaranteetheERM’sefficiency.Thesearegenerallycon－sideredastheERM’smatchingfacilities.Thestrategy,theprocessandthesupportingfacilitiesarethreeindispensableparts,constitutingthecomprehensiveriskmanagementoverallframetogether.

Keywords：EnterpriseRiskManagement;riskassessment;companygovernment;internalcontrol

[注释]

①关于完美和完整市场的定义，参考GerhardSchroeck著，贾维国

金融机构风险管理与价值创造》[M].中国人民大学出版译：《

社，2006年12月第42页。

②关于风险的双向性在第一个问题“ERM对风险的定义”中已经有详细阐述。

③张琴，陈柳钦：《风险管理理论沿袭和最新发展趋势综述》[J].《金融理论与实践》2008年第10期第105-109页。④詹姆斯·林著，黄长全译：《企业全面风险管理———从激励到控制》[J].北京：中国金融出版社，2003年第124-132页。

[参考文献]

[1]詹姆斯·林著，黄长全译.企业全面风险管理———从激励到控制[M].北京：中国金融出版社，2003.

[2]GerhardSchroeck著，贾维国译.金融机构风险管理与价值创造

[M].北京：中国人民大学出版社，2006.

（责任编辑：张丹郁）

企业全面风险管理_ERM_理论梳理和框架构建

相关文章