楊曉娜

（天津交通職業(yè)學(xué)院，天津 300110）

一、經(jīng)濟風險的大致分類

經(jīng)濟風險大致分為兩類：靜態(tài)的和動態(tài)的。經(jīng)濟學(xué)家Willett認為風險是靜態(tài)的，這是考慮到風險的不確定性。這一認知是基于對經(jīng)濟風險的管理和保險的觀點。不同于Willett的靜態(tài)分類，動態(tài)風險的觀點認為風險是在一個特定時期在特定情況下產(chǎn)生的潛在變化。這些變化源于預(yù)期的過程和實際過程之間的差異，例如不斷變化的監(jiān)管環(huán)境，這些差異預(yù)示著預(yù)期結(jié)果與實際結(jié)果之間的差異。因此，差異越大所存在的風險也越大。

二、實際商業(yè)世界中面臨的風險

就現(xiàn)代企業(yè)而言，風險是一個不受歡迎的因素，因為它可能會給企業(yè)帶來實際損失并且導(dǎo)致企業(yè)不能實現(xiàn)他們的目標或者降低企業(yè)實現(xiàn)目標的可能性。在我看來，企業(yè)面臨的主要風險可以分為四類：政治風險，戰(zhàn)略風險，運營風險以及金融風險。政治風險是指政府的宏觀經(jīng)濟政策或者產(chǎn)業(yè)政策的變化會使得企業(yè)處于一個危險的境地。戰(zhàn)略風險體現(xiàn)在公司的多維運營，并購以及收購行為。運營風險可以根據(jù)不同部門的日常運營分為供應(yīng)風險，生產(chǎn)風險以及銷售風險。企業(yè)的金融風險指的是企業(yè)財務(wù)活動所產(chǎn)生的各種不可預(yù)知的可能性，包括融資風險，資本投資風險以及其他金融活動風險。

管理這些風險就要采取特定的方法去檢查和評估風險，以便把風險降低到一個可接受的最低水平并且使它維持在這個低水平。就功能性而言，風險管理是在觀察和評估的基礎(chǔ)上控制由風險造成的可能的損失，以確保企業(yè)的目標得以實現(xiàn)。

三、企業(yè)風險管理的發(fā)展史

1980年代之后，企業(yè)的運營環(huán)境開始發(fā)生戲劇性的變化。價格風險，利率風險和匯率風險等等的風險都對企業(yè)構(gòu)成了巨大的財務(wù)方面的威脅。企業(yè)不得不尋求各種金融工具來規(guī)避金融風險。然而，企業(yè)的這些努力都被限制在一些獨立的實踐活動中，而不是被整合成系統(tǒng)的理論或方法論。相反，由金融機構(gòu)提供的風險越來越大的金融產(chǎn)品又促使著一個更加綜合更為系統(tǒng)化的金融風險管理框架的產(chǎn)生來為各種不同行業(yè)的企業(yè)服務(wù)。

直到二十世紀末，一些大公司特別是那些巨型跨國公司所面臨的商業(yè)風險的多樣性和復(fù)雜性引起他們對一套能包含一個企業(yè)所能遇到的所有風險，包括純粹的風險和財務(wù)風險的綜合管理方法的需求。這一需求最終將兩種發(fā)展于不同時代并且分化成兩種完全不同路徑的風險管理——傳統(tǒng)風險管理和金融風險管理，整合成一種全新的概念——全面風險管理。全面風險管理為實現(xiàn)企業(yè)整體的風險管理目標提供了合理的過程保證和方法保證。為了實現(xiàn)其特定的運營目標，企業(yè)需要確保各部門所承擔的每道工序的準確性并且建立起一套全面的風險管理體系，包括風險策略管理，風險財政管理，組織功能系統(tǒng)以及有效地內(nèi)部控制系統(tǒng)。

在當今多元化的商務(wù)環(huán)境下，許多企業(yè)比以往任何時候都更加關(guān)注企業(yè)風險管理。他們對于風險管理框架的需求程度與日俱增。2001年，全美反舞弊性財務(wù)報告委員會發(fā)起組織 （COSO）委任普華永道設(shè)計一套可以用于企業(yè)管理層評估和改善其企業(yè)風險管理的體系框架。在這段時間內(nèi)發(fā)生了包括使得投資者遭受巨大損失的安然事件在內(nèi)的一系列的公司財務(wù)丑聞。在這之后，越來越多的人希望通過重組企業(yè)治理結(jié)構(gòu)來提高企業(yè)管理風險的能力。于2002年通過的“薩班斯——奧克斯利法案”的第404號條款規(guī)定上市公司的行政管理部門報告企業(yè)內(nèi)部管理的效率，并且要求會計師事務(wù)所審計這些上市公司內(nèi)部管理的效率。在這一背景下，全美反舞弊性財務(wù)報告委員會發(fā)起組織 （COSO）于2004年10月通過了企業(yè)風險管理與整合框架。

四、對于企業(yè)風險管理（ERM）更加清晰的定義

全美反舞弊性財務(wù)報告委員會發(fā)起組織（COSO）將企業(yè)風險管理定義為“一個用來識別可能對企業(yè)產(chǎn)生影響的潛在事件并管理企業(yè)可能遇到的風險使其處于風險偏好的范圍內(nèi)，并且為企業(yè)實現(xiàn)其目標提供合理的保證的過程”。從這一定義中，我們可以看出企業(yè)風險管理是識別和管理關(guān)鍵風險幫助企業(yè)實現(xiàn)其使命和戰(zhàn)略發(fā)展的一個重要組成部分。企業(yè)風險管理是一個會受到董事會成員，高級管理人員以及其他工作人員影響的過程。這一過程必須把企業(yè)的的各種活動和企業(yè)戰(zhàn)略規(guī)劃全部整合在一起。企業(yè)風險管理也可以用來識別可能影響企業(yè)發(fā)展的各種潛在事件，以便于將各項風險控制在企業(yè)風險偏好限制的范圍內(nèi)以確保企業(yè)可以實現(xiàn)指定目標。

此外，全美反舞弊性財務(wù)報告委員會發(fā)起組織 （COSO），還進一步較清楚地說明了企業(yè)風險管理的四個總體目標：

戰(zhàn)略目標——這一目標與它的價值和愿景有關(guān)，并且和他們相互支撐；

運營目標——有效地并且高效地利用各種資源；

報告目標——可靠性；

一致性目標——確保企業(yè)的運營與相關(guān)法律規(guī)定相一致。

在我看來，企業(yè)風險管理最迷人的特點在于它是一個基于策略的風險管理方法。由于組織內(nèi)部的風險僅作為其策略和目標的結(jié)果而存在，因此，根據(jù)策略來調(diào)整風險預(yù)期可以對潛在的風險有個更加深入的理解和認知。

五、企業(yè)內(nèi)部審計員在企業(yè)風險管理中的作用

企業(yè)風險管理為企業(yè)識別并且克服在其實現(xiàn)企業(yè)戰(zhàn)略目標上遇到的各種不確定因素指明了道路。內(nèi)部審計人員在這個過程中負有重大責任，并在確保企業(yè)風險管理駛向正確的方向問題上發(fā)揮著重要的作用。根據(jù)國際內(nèi)部審計師協(xié)會（Institute of Internal Auditors，簡稱IIA）的要求，內(nèi)部審計員的主要職責中與企業(yè)風險管理聯(lián)系最緊密的部分應(yīng)該是“它向管理層以及董事會對于企業(yè)風險管理的有效性提供保證”。這也就是說，內(nèi)部審計人選首先需要對于各種風險的認知和管理有足夠的把握，然后需要評估整個風險管理的過程并且保證這個過程的有效性通過評估和報告管理者如何操控這些風險，企業(yè)內(nèi)部審計人員可以更好的協(xié)助企業(yè)的高級管理人員提高企業(yè)的運營效率并且為企業(yè)風險管理項目在正確的軌道上運行提供保證。然而，我們需要注意到企業(yè)風險管理必須從企業(yè)的最高領(lǐng)導(dǎo)和決策層向下級推行。企業(yè)的內(nèi)部審計人員只能作為增值的角色存在而不能充當管理的職能。

六、企業(yè)風險管理與內(nèi)部控制的聯(lián)系

談到全美反舞弊性財務(wù)報告委員會發(fā)起組織（COSO），我們很自然的就會想到內(nèi)部控制框架。內(nèi)部控制是當代企業(yè)所采用的用于管理風險和不確定因素的一個重要方法。建立起一個有效的企業(yè)內(nèi)部控制系統(tǒng)是企業(yè)防止欺詐，降低損失以及增加企業(yè)利潤的堅實基礎(chǔ)。此外，有效的內(nèi)部控制系統(tǒng)為企業(yè)各種資產(chǎn)的安全性和完整性提供了一個更好的保證。

然而，當時光的車輪進入21世紀的時候，我們見證了一系列的會計丑聞，這些丑聞甚至涉及了許多全球知名企業(yè)，例如安然公司，世通公司，施樂公司等等。因此，債權(quán)人和投資人的信心開始動搖，企業(yè)內(nèi)部控制的各種問題也在逐步顯露出來。實踐學(xué)派和理論學(xué)派在世界范圍內(nèi)達成了一個共識，也就是說現(xiàn)存的內(nèi)部管理框架存在著嚴重的局限性，例如：缺乏對風險管理的關(guān)注導(dǎo)致內(nèi)部控制和風險管理相分離。因此，企業(yè)風險管理被突然置于企業(yè)戰(zhàn)略管理的聚光燈下。它也成為企業(yè)治理的核心。2004年10月，全美反舞弊性財務(wù)報告委員會發(fā)起組織基于薩班斯－奧克斯利法案的相關(guān)需求并且根據(jù)原有1992年全美反舞弊性財務(wù)報告委員會發(fā)起組織報告中列的內(nèi)容進行了更新：把內(nèi)部控制作為一個集成的框架。這一更新后的框架比原有版本更注重風險管理和企業(yè)內(nèi)部控制。專注風險管理的條款的涌現(xiàn)對于內(nèi)部控制具有重要的影響。根據(jù)全美反舞弊性財務(wù)報告委員會發(fā)起組織，內(nèi)部控制框架是企業(yè)風險管理框架中不可分割的一部分。企業(yè)風險管理框架是由內(nèi)部控制的綜合框架進化而來的。因此，內(nèi)部控制的概念與企業(yè)風險管理之間是密不可分的。

在1994年全美反舞弊性財務(wù)報告委員會發(fā)起組織報告里提出的內(nèi)部控制集成框架中提出了五種元素：環(huán)境控制，風險評估，控制活動，信息和溝通，以及監(jiān)督。企業(yè)風險控制框架又把這些元素擴展到了八個，新增了內(nèi)部和外部事件的識別，目標設(shè)定，以及風險響應(yīng)元素。具體的說，內(nèi)部和外部事件的識別需要內(nèi)部和外部事件必須在企業(yè)高層領(lǐng)導(dǎo)著設(shè)計內(nèi)部控制規(guī)定的時候被認識到。目標設(shè)定要求目標首先要被設(shè)定出來，然后企業(yè)風險管理要與這些目標相契合。風險響應(yīng)為管理者在選擇如何應(yīng)對和對沖風險的方法時提供了指導(dǎo)。

在我看來，這三個新添加的元素一定會在管理者對于企業(yè)戰(zhàn)略的解讀，對于評估金融賬戶的虛假陳述風險，以及對于其實施內(nèi)部控制的時候產(chǎn)生重大影響。

七、內(nèi)部控制與企業(yè)風險管理之間比較

在全美反舞弊性財務(wù)報告委員會發(fā)起組織新框架的影響下，企業(yè)內(nèi)部控制傾向于被整合到企業(yè)風險管理之中去。這是因為企業(yè)風險管理的終極目標是規(guī)避風險，及時的發(fā)現(xiàn)風險，預(yù)測風險將會帶來的潛在影響以及將風險降低到最低水平。同樣，內(nèi)部控制實際上正是企業(yè)所采取的進行風險控制的方法并且由各種風險元素所決定。

然而，內(nèi)部控制和企業(yè)風險管理的著重點不同。企業(yè)內(nèi)部控制更多的強調(diào)一個有助于減輕風險的有效的整體系統(tǒng)。另一方面來說，企業(yè)風險管理更加側(cè)重于市場交易方面，例如：通過自由競爭和市場交易來管理風險。

一般來說，一個公司的內(nèi)部控制系統(tǒng)是用來確保其資產(chǎn)的安全以及金融信息的可靠性的。財務(wù)控制正是內(nèi)部控制的核心。因此，內(nèi)部控制系統(tǒng)通常僅限于金融以及和它相關(guān)的各個部門。然而，企業(yè)風險管理，幾乎涉及到企業(yè)的每個部門以及每項活動，例如：信用額度管理，匯率風險或者流動性風險的管理等等方面。

［1］Outreville，J．（2011）．The Geneva Risk and Insurance Review 2010：We have learned much since Willett and Knight．Geneva Papers on Risk ＆Insurance，36（3），476－487．

［2］Scandizzo，P．L．，＆Knudsen，O．K．（2012）．Risk management and regulation compliance with tradable permits under dynamic uncertainty．European Journal of Law and Economics，33（1），127－157．

［3］IIA Position Paper：（Updated 2009）．The Role of Internal Auditing in Enterprise－wide Risk Management，The Institute of Internal Auditors．

［4］McMullen，D．A．，K．Raghunandan，and D．V Rama．（1996）．Internal control reports and financial reporting problems．Accounting Horizons（December）：67－75．