现代企业风险管理方法论 --- 全面风险管理<BR> Enterprise Risk Management--- An Integrated Approach<BR>作者: 卓继民<BR>风险导向审计网/WWW.ACRISK.COM<BR><BR>经营企业必然要面对许许多多的风险，纵然风险各异, 但这些风险是有许多共性。概括起来, 可以把风险定义为那些影响企业实现其战略目标的不确定性，这一概念包含了以下三层意义：<BR>• 风险总是源于企业的战略。企业的使命是实现其战略目标，而风险正是企业实现战略目标的障碍，因此，企业的战略目标不同，所面临的一系列风险也可能不一样；<BR>• 风险并不代表一个单一的估计结果（即：最有可能的结果）。相反风险代表一系列可能发生的结果。正是由于风险的可能结果不是单一的，而是一系列的，因此该系列的结果正是在理解和评估风险时可能所产生的众多不确定性;<BR>• 风险意味着机会与威胁并存。许多人对风险的理解仅仅是关注于其可能产生的不良和消极影响，虽然风险确实代表了威胁，然而错过难得的商业机会从而丧失竞争优势同样是一种风险。<BR><BR>由于风险具有以上的特点，因此在经营企业中离不开对风险的管理，甚至从某种意义上理解经营企业的核心就在于经营风险、管理风险。<BR><BR>当今的商业社会变化是多样的，其变化速度亦是令人难以估计的。随着人类进入知识经济时代，信息技术的高度发达及在商业领域的广泛和深入应用，以及金融创新的不断出现，企业的经营模式也不断变化，所有这些变化在意味着巨大财富机会的同时，也形成多种新的商业风险。<BR><BR>在国内，随着经济体制改革的深入，众多国有企业现代体制的逐步建立，国有资产产权改革的力度加大，民营企业的日益兴起以及WTO规则对本土企业的影响日益体现，所有这一切经济领域的变化，再加上法律制度和商业运作规则的不断完善，都使本土企业的经营环境同以往相比有着不可估算的改变，这些外围环境的变化更是促使国内企业面临的经营风险变幻莫测，于是出现了诸如企业做大容易但做久却很困难，战略目标远景规划设计容易，但实践现起来却是困难重重，ERP流程重担耗资巨大但收效都不很明显等等企业管理的新问题。这些新问题是企业实现其战略目标的眼前障碍，因此，必须实现良好的风险管理以将其对企业的不良影响降到最低的可接受水平。最近中国公司所发生的“创维管理层财务舞弊案件” , “长虹巨额应收款难以收回事件”及 “中航油破产丑闻”更说明中国企业在加强风险管理方面的重要性和紧迫性。<BR><BR>传统的风险管理理论和方法已经无法适应现代经营风险的管理需求，于是产生了新型的企业风险管理理论和方法------ 全面风险管理 ( Enterprise Risk Management ------ an integrated approach)。全面风险管理从上个世纪九十年代后期在纵多跨国公司中广泛得以运用， 一些国际咨询公司和国际会计公司也开始运用这一概念并将其同咨询或审计业务相结合（主要是当时的安达信会计公司, 其在上世纪九十年代中期所开发并从一九九七年在全球推广应用的风险导向审计模型, 就是以全面风险管理理念为依据的）。于二零零四年九月美国国家财务报告舞弊委员会(National Commission On Fraudulent Financial Reporting, i.e Treadway Commission) 所发起的内部控制研究发起组织( Committee of Sponsoring Organization, COSO) 发布了《企业风险管理框架》 ( Enterprise Risk Management – integrated framework) 。该风险管理框架COSO 是委托美国普华永道会计公司组织编写的, 基本上是对在全球跨国公司运用多年的全面风险管理实践，在原安达信公司联同英国经济学人集团于一九九五年之后，业界第二次比较系统地对全面风险管理理论和实践作出总结。<BR><BR>与传统风险管理相比较现代企业风险管理方法 (全面风险管理)有以下特点：<BR><BR>传统风险管理方法 现代风险管理方法 (全面风险管理)<BR>风险评估被视为是后勤支持性行为，只有管理层认为必要时候才采取该行为 风险评估是企业进行的一个持续的行为<BR><BR>只有会计、财务和内审部门才关注风险和风险控制 组织机构中的任何人都关注企业风险的识别和管理<BR>松散性——各职能和部门各自独立行事 风险评估和控制开始关注企业的流程，而流程往往是跨部门、跨职能的，并在高层的监督下相互配合<BR><BR>风险管理只关注财务风险和财务结果 风险管理首先制定控制程序以确保企业避免接受不能承受的经营风险，而之后对其他经营风险采取紧密控制以将其降低至可接受水平<BR><BR>并无经营风险管理政策 制定明确的风险管理控制政策，并经由管理层和重事会批准之后，广泛传播并可以让员工清晰理解<BR><BR>对经营风险先是检查和预防，然后采取应对措施 在经营风险的源头就估计和预防其发生，并持续不断地采取监督性控制<BR>产生经营风险的主要原因是人的因素 产生经营风险的主要原因是经营活动流程失败<BR><BR>现代企业风险管理方法论主要由以下三大部分组成：<BR>• 制定通用的风险模型(Bossiness Risk model) —通用风险语言和定义；<BR>• 制定有效的组织层面控制架构(Organizational Control)；<BR>• 制定业务流程控制（Process Control）<BR>（本文摘自近期由中国财经出版社出版的《现代企业风险管理审计》一书，作者为：卓继民，由作者授权本刊转载，题目由本刊编辑另加）<BR>