陈柳钦-论全面风险管理（ERM）框架体系的构建

陈柳钦-论全面风险管理（ERM）框架体系的构建 陈柳钦:论全面风险管理（ERM）框架体系的构建 张琴 陈柳钦 管理与保险学系，天津，300071）（天津社会科学院，天津，300191） 【内容提要】全面风险（ERM）是在以价值为导向的企业目标确立过程中取代传统风险，承担 增加公司价值使命的新型风险体系和手段。ERM框架体系不仅包括我们常说的风险策略和过 程，还应该包括所有支持和保障ERM效率效果的六方面辅助政策和设施，统称为ERM的配套设施，策略、过程和配套设施三个部分缺一不可，共同构成全面风险的整体框架。 【关键词】全面风险（ERM）；避险策略；风险评估；公司治理；内部控制 一、全面风险（ERM）的内涵 国外文献中关于全面风险（Enterprise Risk Management（ERM））的词汇还有Integrated Risk Management(IRM)、 Holistic Risk Management、Enterprise-wide Risk Management等。其中“integrated”的直观解释是“综合的、完整的”，含有“整合”的意思；“holistic”为“整体的、全盘的”之意，其含义强调“整体性”。而“enterprise”的直译解释为“企业、进取心”，它在本文中有两层含义，第一层含义是指审计或过程的控制，强调在整个企业范围 内连续有效的控制过程，从方法上强调一种连续和综合的方法(consistent and comprehensive)，企业的所有风险都应该包含在或控制范围内；第二层含义是投资与金融中 资产组合“portfolio”的同义词，该含义认为，企业尤其是金融企业是风险的集合体，组合 风险不仅依赖于单个风险的性质，还依赖于风险之间的相互作用和整合。[?] 关于ERM的定义经历了从百家争鸣到整合统一的历程。主要的定义有：KentD.Miller (1992)提出的整合风险(Integrated Risk Management)定义[?]认为整合风险是一种从整体上考虑 系统面临的各种风险，建立全瞻性的优化组合机制的体系。Jerry Miccolis & Samir Shah (2001)[?]指出，就一般企业而言，全面风险是从企业所有资源出发，对企业的商业目标形 成威胁或为企业带来竞争优势的整体风险进行评估和的经济活动。就保险企业而言，全面风 险是整个保险业风险与价值的动态整合优化，它包括为实现提高企业价值的目标而对公司财 务风险和操作风险(operational risk)进行评估、减低、融资或利用等技术手段的选择，以 及对其所采取的财务战略和经营战略的强化、执行和控制。Lisa Meulbroek (2002)指出，所谓公司整合性风险，就是对影响公司价值的众多因素进行辨别和评估，并在全公司范围内实 行相应战略以和控制这些风险。整合性风险的目的就是将企业的各项风险活动纳入统一的系 统，实现系统的整体优化，创造整体的效益，提升或创造企业更大的价值。[?]他在同一年的另一篇文章中强调，整合风险在本质上是战略的，而不是战术的。战术性的风险，其视角 窄小有限。[?]William H. Panning (2003) [?]指出，ERM是新的思维方式、测度方式和 方式的三维统一体，通过这些方式促进者实现公司价值最大化。从思维方式上看，ERM是一种理念和文化；从测度方式上看，它具有一定的技术性；从方式上看，它是一种行为。2001年北美非寿险精算师协会(Casualty Acturial Society，CAS)在一份报告中，明确提出了全 面风险( Enterprise-wide Risk Management或Enterprise Risk Management，即 ERM)的概念，并对这种基于系统观点的风险思想进行了较为深入的研究。CAS（2003）对ERM的定义为[?]：ERM是一个对各种来源的风险进行评价、控制、研发、融资、监测的系统过程，任何 行业和企业都可以通过这一过程提升股东短期或长期的价值。随后，在内部控制领域具有权 威影响的COSO委员会，于2004年9月颁布了《全面风险—整合框架(Enterprise Risk Management——Integrated Framework)》报告。报告从内部控制的角度出发，研究了全面风 险的过程以及实施的要点[?]，是全面风险理念在运用上的重大突破。COSO对ERM的定义是：全面风险是一个过程，它由一个企业的董事会、当局和其他人员实施，应用于企业战略制订 并贯穿于企业各种经营活动之中，目的是识别可能会影响企业价值的潜在事项，风险于企业 的风险容量之内，并为企业目标的实现提供保证。 归纳起来一个正确的ERM概念应该包括下面几个关键要素，它们是：?过程：ERM是一个过程，这个过程贯穿于企业的各种和经营活动之中；?对象：ERM的对象是企业内、外部各种 来源的风险整体；?主体：ERM的执行主体涉及到企业各个层级的全体员工和所有部门；? 目标：ERM的目标是把风险控制在风险容量以内，同时为企业寻找最佳的风险/收益平衡点，最终的目的是提升股东短期或长期的价值。 三、全面风险（ERM）体系的构建原则 企业全面风险是一个涉及多个学科、涵盖方方面面的系统 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 ，由此构建的ERM框架应该是一个多维的、立体的、连续的方案和过程。要构建这样一个框架，必须要遵循以下原则： (1) 多维度目标评价体系原则。ERM是以增加股东价值为导向的，而股东价值的多维性决定了ERM必然是一个多目标决策活动，因此要有全面的目标评价体系，以满足具体情况下不同层次不 同价值取向的需要。要实现多目标的风险，需要对企业的目标进行完整的表述，形成全面的 目标评价体系，并且使用适当的综合目标分析方法来帮助制定决策。(2)多种机制配套原则。ERM要求有一个综合的独立于其他业务部门之外的风险机构，这个机构负责制定针对公司所 有风险活动的方针政策，并直接向首席执行官（CEO）报告；ERM还要求有一个综合的风险转 移策略，该策略在公司整体范围内整合所有类型风险，在充分考虑了各种风险的“天然对冲 效应”后，将层认为无用的剩余风险通过衍生品或保险转移出去；最后，ERM是的攻击性武器，它需要把风险整合到公司的业务 流程 快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计 中，通过支持和影响定价、资源配置以及其他业务 决策来优化企业绩效。因此，ERM是一个涉及公司治理、内部控制、部门、组合、权益方以 及数据和技术资源在内的综合框架，其中任何一方面的失误都会影响到整个ERM的效率，某些关键失误甚至会导致整个ERM系统失效。（3）经验借鉴和因地制宜相结合。ERM框架构建的目的是为了更准确的反映企业的风险暴露情况，更高效的公司的风险敞口，保证公司的稳 健经营和价值增长。要实现这个目标，一方面在框架主体上要充分吸收和借鉴国外ERM框架的成功经验（如表1所示的行业经验和综合标准），这些经验从较高视角诠释的ERM框架主体结构适用于不同国家不同行业的现代企业；另一方面，在涉及到具体风险评估和 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 配套上 还要立足于我国的实际情况，充分考虑国内消费者独有的文化、习惯、消费心理特征，充分 考虑行业和企业的风险现状以及所面临的独特的经济、金融和监管环境，立足于中国实际和 发展趋势设计出来的ERM框架，才更具有现实意义。 四、全面风险（ERM）体系的框架结构及说明 ERM所要做的是了解企业经营活动中所产生的全部风险的同时用最小的成本去和利用这些风 险，减少损失同时获取风险溢价。基于这个考虑，ERM框架应该是从全局高度制定的战略目 标和风险偏好指导、各种策略和配套设施支持下的连续风险过程（如图2所示）。其中，ERM策略是从财务上对风险的可能结果进行的事前处理，是实现风险目标的手段。ERM过程是为了确定最优的风险成本和最有效的资本配置方案，这个过程要便于公司组织内部对风险的理 解和实施，并能主动支持公司的风险策略，是进行风险决策的基础。ERM过程要在目标的指导下进行，ERM目标是风险的方管理效率效果的必要保证。 图2 ERM框架结构 组合 公司治理 部门 关联方 配 套 设 施 数据和技术 内部控制 资产规避策略 负债规避策略 股权规避策略 杠杆策略 策 略 风险利用 风险控制 持续优化 效果监控与报告 目标确定 风险评估 过程 1、ERM策略。ERM策略针对的不是单个风险，而是整个公司的风险剩余，从这个意义上说它 包括资产规避、负债规避、股权规避和杠杆四个基本策略。不论风险的来源如何，也不管风 险从什么方面增加了公司的成本，只要风险对公司价值产生了影响就可以使用这四种策略来 风险（具体见作者2008年的另一篇文章[?]）。总之，全面风险策略不仅包括传统意义上的 风险控制和套期保值策略，还包括新型风险工具的运用，并且要和公司的投融资策略以及资 本结构政策结合起来，共同为股东和公司关联方利益服务。 2、ERM目标和风险偏好。ERM框架要求当局采取适当的程序去设定目标，确保所选定的目标 切合、支持该主体的使命，并且与它的风险容量相一致。目标制定是一切风险评估和过程的 前提，因此企业必须首先制定目标，在此之后，层才能识别和评估影响目标实现的风险并且 采取必要的行动对这些风险进行。制定战略及其它目标时，必须要考虑企业的风险偏好或风 险容忍度，风险容忍度是指在实现企业特定目标过程中对差异的可接受程度。风险容忍度应 该是明确的、切实可行的、可以衡量的；风险容忍度应该在整个企业的层面进行适当分配， 以便于和监控；风险容忍度应该要企业内部外部的人都明确知道。ERM目标应该包括长远的 战略目标和中短期的经营性目标，COSO发布的《全面风险——整合框架 (Enterprise Risk Management——Integrated Framework)》（2004年9月）将ERM的目标分为：?战略（strategic） 目标，是较高层次的目标，与企业的使命相关联并支撑其使命；?经营（operations）目标， 保证企业有效和高效率地利用其资源；?报告（reporting）目标，保证各种报告的可靠性；?合规（compliance）目标，保证企业各项经营活动符合适用的和法规的规定。战略目标的 确立把ERM提高到了指导企业经营活动的高度，在市场日趋成熟的情况下，企业要想长期稳 定的保持其竞争优势，必须把战略目标作为首要考虑的目标，其它三个目标要围绕战略目标 来确立。同样，在进行风险决策时也要首先满足战略目标。 3、 ERM过程。一个典型的ERM过程应该包括如图3所示的基本风险步骤。首先要在明确企业使命的前提下制定企业的战略目标，战略目标是在历史分析的基础上做出的远景预测，是 对企业未来的一个把握，这个目标一旦确立，就像一个航标指引着企业所有的运营活动，包 括全面风险活动。ERM过程的第一个重要步骤是风险评估。风险的有效性依赖于对风险因素 识别的全面性和测量的准确性，因此需要有科学的风险评估模型和方法来达到以下目的：使 高层者可以清楚的观察到经过内部对冲之后的“剩余风险”和风险间的“组合效应”；确定用 于防范实质性风险和抓住新投资机会的资源的配置方案；提供对风险进行客观、持续检测的 模型。基于以上目的，风险评估应该包括以下几个步骤：?识别风险因素。?风险因素排序。 ?风险因素分类。风险处理包括两方面的内容：风险控制和风险利用。风险控制是不利风险 的风险评估步骤，其目的是确保企业承担的风险总量与企业总风险容量相一致。通过风险处 理，企业的风险/收益结构得到优化，公司的风险特征有了实际改变，股东价值得到增加，这 些都是风险控制和风险利用的结果，而风险评估是实施风险控制和利用的必要铺垫。ERM过 程的最后一个关键步骤是风险效果监控。因为在动态的风险环境中，各种风险以及风险对企 业影响的方式是不断变化的，随着企业风险技能的提高原本不擅长的威胁也许会变成企业新 的机会，同样，原本的机会由于新的竞争对手的加入可能不能继续带给企业合意的风险溢价 而被企业放弃，因此需要不断输入新的风险因素变量、不断对ERM过程进行检验。风险效果监控的另一个原因是我们对风险和风险认识的局限性造成了ERM过程中所使用的模型自身的不完美性，原有的风险量化模型和风险控制方法经过实践的检验也许需要改进或替换。总之， ERM过程应该是一个动态的循环过程，这个过程在实际运行中不断得到充实和完善。 组织的战略目标 风险评估（assessment） 风险评价(evaluation) ?识别风险因素 ?风险因素排序 ?风险因素分类 风险报告 区分威胁和机会 风险处理 ?风险控制 ?风险利用 风险处理结果报告 风险效果监控 图3 ERM过程图 4、ERM配套设施。ERM的配套设施主要有六个，之所以把这六个部分作为ERM的配套设施是 因为这些部分各自是一个研究领域，它们和风险密切相关却又不完全相同，它们不完全属于 风险却对风险有至关重要的影响，一个成功的风险系统需要这些部分成功运作的支持。因此 把这些和风险密切相关的研究领域统称为ERM的配套设施，任何一种设施的缺位或失误都可 能影响ERM的效率效果，甚至某些关键失误会导致整个ERM系统失效。下面分别介绍这些领域以及它们和风险的关系。 （1）公司治理。公司治理是关于金融机构利益相关者，尤其是股东、经理人和债权人之间权 责利关系的安排，其基本结构决定了金融机构对风险的承担和以及相应风险/收益的分配，从 而对内部控制甚至整个金融机构的风险活动起到基础性的决定作用。公司治理与企业风险密 切相关：首先，公司治理包含了强化风险的内容，许多企业的公司治理准则都明确提出风险 是董事会的一项主要 职责 岗位职责下载项目部各岗位职责下载项目部各岗位职责下载建筑公司岗位职责下载社工督导职责.docx ，戴易报告和经济合作与发展组织（Organization for Economic Cooperation and Development,OECD）的公司治理准则公开提出，董事会有责任确保适当的风险系统和政策到位。其次，二者的最终目标一致，同样关注战略方向、公司整合以及来自 公司最高层的动机。第三，良好的董事会常规和公司治理是有效实施企业风险的必要条件。 董事会的积极参与能促进ERM的研发与成功，而公司治理的缺陷将导致内部控制和风险从根 本上失效。一个有效的风险和内部控制体系应该建立在良好的公司治理的基础上，由高层领 导制定基调并且身体力行开展风险工作，以保证风险的独立性，并且他们本身的活动应该成 为监督和的首要对象。 (2)内部控制。内部控制活动主要表现为与业务密切相关的各项规章制度的制定和执行的监督 活动，因此，内控活动和业务活动实际上是融为一体的，业务部门承担主要的内控责任，而 审计部门则负责内部控制有效性的评估和监督。企业需要就各业务单位在日常运作中所面对 的风险(战略性风险、业务性风险、流程性风险等)构建内部控制(包括预防性控制及觉察性控 制) ，以确保企业能实现目标和符合各方面的、法规。企业还要对其内控系统不间断地进行 监控和测试，以确保其对风险控制的能力，把各类风险控制在可接受的水平，并在这基准上 赚取合理的回报。内部控制是ERM的一个重要组成部分，它曾经在早期风险中代替风险的职能行事，内部控制和公司治理共同保障风险的有效实施，两者中的任何一个出现问题，所有 风险技术和方法的有效性就失去了前提和保障。 （3）组织和部门。理想的风险组织结构是由一个独立的风险部门来负责实施日常的风险，这 个部门的领导（风险总监）向上可以直接管理部门的权力和其工作的客观性，向下可以和各 个部门通力合作汇总公司的整体风险敞口（如图4）。在设置ERM组织结构时，要注意处理好 风险部门和业务部门的关系，理想的 ERM框架下风险部门和业务部门之间应该形成一种伙伴关系。在这种关系下，风险部门不是严格意义上的监督部门，而是完全融入到了企业的各项 业务中，在业务进行的最前端（产品开发和定价阶段或做投资决策时）就和业务部门一起处 理风险/收益问题，并拥有共同的目标。这只是一种理想的状况，现实生活中，即使尽最大努 力选择和优化风险部门与业务部门之间的关系模式，分别追求业务增长和风险控制的两个部 门间的冲突仍是不可避免的。所以还应该有一些解决双方矛盾的办法来帮助两个部门伙伴关 系的形成，保证风险部门和业务部门的一致行动，减少部门间的摩擦成本。 股 东 大 会 董 事 会 部门层中设CRO、CCO、CIA及首席 规则 编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf 官 再保险检查委员会 衍生金融交易检查委员会 操作风险委员会 信用风险委员会 市场风险委员会 ?监控内部审计部门职能的发挥 ?检查、监督公司财务报表、财务披露； ?保证公司报告合法合规 监事会 图4 ERM组织结构图 （4）关联方利益。关联方包括任何支持和参与公司的生存和成功的团体和个人，主要包括： 雇员、客户、供应商、商业伙伴、投资者、监管者、股票分析专家、信用分析专家以及评级 机构等，这些关联方中的每一个都是公司成功的要素，关联方流失会给企业带来巨大的成本。 一般说来，公司希望各关联方保持对公司的长期的特异性投资，这些特异性投资包括员工学 习只对公司有价值在公司外部没有什么价值的知识和技能、供应商为公司特供的零部件进行 研发活动、顾客对公司产品价值支付隐含的信用担保等等，同时长期保持与公司的这种关联 关系。而所有的这些特异性投资，在公司的风险状况变得糟糕时都会被相关关联方取消，他 们觉得一个充满风险的公司可能无法履行对他们的长期利益保证。而这种特异性投资的撤销 和关联关系的终止会给企业带来巨大的成本。公司进行的风险活动可以保证公司更容易兑现 对关联方的承诺，与支付高额成本来维护关联方关系相比，对风险进行套期保值的成本更低。 因此，关联方关系是风险的一个重要组成部分，是风险增加公司价值的重要途径。 （5）数据和技术资源。可用的风险数据主要是组合数据和市场数据。组合数据包括在不同的 前台后台系统收集到的风险头寸；市场数据则包括价格、波动率和相关系数。为了保证这些 数据的质量，还要建立数据搜集的适当标准和流程。数据资源的两种获取途径分别是系统和 前台交易系统，而前台交易系统可以提供许多客户的第一手资料。技术资源主要指用来进行 风险量化分析和经风险调整定价的计算机功能软件，包括数据转换界面、数据转换中间设备 （messaging – oriented middleware ,MOM）（帮助减少风险实施时间，对点对点界面的改 进）、定价分析系统和ERM模型实施所需技术资源等，这些资源可以通过自建、购买、定制或 外包的方式来获得。数据和技术资源一起支持公司的风险分析和风险处理过程。 （6）积极组合。组合提供了风险与公司价值最大化的直接联系，它要求企业像基金一样对公 司总体风险进行组合，充分利用组合内各种风险的“天然对冲”效应和分散化效应，建立组 合目标和适当的风险限制以确保获得最佳组合回报率。这意味着把公司面临的诸如负债、投 资、利率以及所有其它风险作为一个有机的整体加以，以实现总体风险/收益最优化。 ERM 中的积极组合的第一步是对风险进行分解。这种分解不是以单个业务为单位进行分解，而是 按风险源头、风险保留和风险转移进行分解，目的是考虑公司的核心能力在价值链的哪个部 分具有优势，再决定在哪个方面进行竞争。第二步是对风险进行汇总，即汇总公司所有的风 险敞口信息以及这些风险敞口间的相关性，可以将所有风险敞口直接或通过风险转移定价机 制（以类似与风险转移费用的形式向转出风险的业务单位收取对冲成本）转移到一个中心部 门，然后再在这个中心部门进行风险的组合和对冲。这个步骤可以帮助企业追踪整体风险敞 口、将非对称风险对称化、综合分散化效应、利用组合内风险的自我对冲效应减少成本以及 风险决策集中化。第三步再利用积极组合中风险限额和经济资本配置的思路，通过分配更多 的经济资本给预期风险调整资本收益更高的业务单位，在企业内部形成一个“内部资本市场”， 给“好”的业务创造良好的增长环境，同时淘汰“坏”的业务，使企业的整体风险/收益特征 的到优化。 主要参考文献 [1] Doherty Neil A.，Innovation in Corporate Risk Management: the Case of Catastrophe Risk，in G. Dionne(ed.)，Handbook of Insurance，Boston：Kluwer Academic Publisher， pp.503-539. [2] Doherty, Neil A.(1985).”Corporate Risk Management:A Financial Analysis”McGraw- Hill. Companies Inc. [3] Jerry A．Miccolis, Kevin Hively, and Brian W．Merkley(2002), Enterprise Risk Management:Trends and Emerging Practices, Tillinghast-Towers Perrin. [4] International Association of Insurance Supervisors(2003)，Insurance Core Principles and Methodology，www.iaisweb.org [5] Miller, Kent D, A Framework for Integrated Risk Management in International Business,Journal of International Business Studies, Washington, Second Quarter 1992，Vo1.23，Iss.2 [6] SOA, Enterprise Risk Management Subgroup ERM Specialty Guide, 2005，August 30:8~ 9 [7]美）尼尔?多尔蒂著，陈秉正、王珺译：《综合风险——控制公司风险的技术与策略》[M]，北京：经济科学出版社，2005年。 [8] 詹姆斯?林著，黄长全译：《企业全面风险——从激励到控制》[M]，北京：中国金融出版社，2003年。 [9] 陈忠阳：《金融机构现代风险基本框架》[M]，北京：中国金融出版社，2006年。 [10]Gerhard Schroeck著，贾维国译：《金融机构风险与价值创造》[M]，北京：中国人民大学出版社，2006年。 [?] Society of Actuary. 2005. Enterprise Risk Management Specialty Guide, p.8-10 [?] Miller, Kent D, A Framework for Integrated Risk Management in International Business,Journal of International Business Studies, Washington, Second Quarter 1992，Vo1.23，Iss.2 [?] Jerry Miccolis&Samir Shah .2001. Creating Ualue through Enterprise Risk Management: A Practical Approach for the Insurance Industry. p.3&p10 [?] Lisa Meulbroek. 2002. The Promise and Challenge of Integrated Risk Management, Risk Management and Tnsurance Review0_ Vol. 5. No. 1.p.1 [?] Lisa Meulbroek. 2002. Integrated Risk Management for the Firm: A Senior Manager's Guide. p.3 [?] William H. Panning. 2003. Using Enterprise Risk Management to Maximize Shareholder Ualue.2003 CAS/SOA ERM Svmnosium_ Washinston D.C. [?] the CAS Enterprise Risk Management Committee Overview of Enterprise Risk Management Committee Report Casualty Actuarial Society Forum 2003 [?] COSO.Enterprise Risk Management-Integrated Framework.[R].Committee of Sponsoring Organizations of the Three-wav Commission 2004:2-8 [?]张琴，陈柳钦：《风险理论沿袭和最新发展趋势综述》[J]，《金融理论与实践》2008年第10期。