第二节风险管理的概念


一、内部控制与风险管理的联系


在COSO委员会发布的《内部控制一一整合框架》中,控制环境是其他内部控制元素的根基,它的构成元素包括董事会、组织结构、权责分配方式、员工胜任能力、管理层的哲学及人力资源政策。2004年发布的《企业风险管理一一整合框架}(Enterprise Risk Management,简称ERM框架),以"内部环境"代替了"控制环境"。与控制环境相比,内部环境是控制环境在内容上的扩展,引入了风险管理和风险偏好两个概念。内部环境是确立企业对待风险的态度和可能采取的应对策略。


(一)风险偏好


风险偏好是指对风险的偏爱,而风险态度(risk attitude)、风险承受能力(risk tolerance)或风险容量(risk capacity)是企业准备在任一时点承受的风险数量。企业的承受能力将反映其消化风险的能力。企业可以参考所在市场或行业内的其他企业的可用信息,作为自己制定风险承受能力的基准。每家企业的风险承受能力是不同的。企业的风险偏好会因其目标、文化以及整个商业环境条件的不断变化而有所差别。风险态度可分为风险厌恶(risk averse)、风险中立(risk neutral)或风险追求(risk seeking)。企业准备承受的风险数量,或其风险偏好,将因诸如已了解的特定风险的财务风险敞口、企业目前取得的成功、经济趋势及各个董事会成员的态度等问题而有所差别。另外,企业的看法可能受到已实行的其他计划的影响,而这些计划的结果尚不可知。如果结果是不利的,就能令整个企业受到影响,或者使企业的名誉受到损害。一旦机构确定了风险容忍水平,那么企业可以向负责决策的高级管理层宣传商业风险文化,使他们在行使批准权时,了解机构对于每个项目和计划的风险容忍水平。董事会希望在符合其风险容忍的范围内作出精明的决策。但是,董事会所获得的信息可能因若干因素而出现质量问题。董事会需要确定他们所获得的信息是否可靠,以及考虑比如分析人员的经验、分析所依据信息的质量、是否为了获得对项目的批准而故意隐瞒风险敞口或者风险管理活动的有效性。


(二)风险管理


如前所述,事件可能产生不利影响或者有利影响,也可能两者兼而有之。产生负面影响的事件代表了风险,可以阻碍创造价值或削弱现有的价值。产生正面影响的事件能够抵消不利影响或带来机会。机会是指事件发生的可能性以及对于目标实现、支持创造价值或保持价值的积极影响。


企业风险管理涉及的风险和机会影响价值的创造或保持。它是一个从战略制定到日常经营过程中对待风险的一系列信念与态度,目的是确定可能影响企业的潜在事项,并进行管理,为实现企业的目标提供合理的保证。整体来说,企业风险管理是:


一个正在进行并贯穿整个企业的过程;


受到企业各个层次人员的影响;


战略制定时得到应用;


适用于各个级别和单位的企业,包括考虑风险组合;


识别能够影响企业及其风险管理的潜在事项;


能够对企业的管理层和董事会提供合理保证;


致力于实现一个或多个单独但是类别相互重叠的目标。