1、.论全面风险管理(ERM)框架体系的构建发布时间:2008-12-26 文章来源:作者惠寄 文章作者:张琴 陈柳钦【内容提要】全面风险管理(ERM)是在以价值为导向的企业目标确立过程中取代传统风险管理,承担增加公司价值使命的新型风险管理体系和手段。ERM 框架体系不仅包括我们常说的风险管理策略和过程,还应该包括所有支持和保障 ERM 效率效果的六方面辅助政策和设施,统称为 ERM 的配套设施,策略、过程和配套设施三个部分缺一不可,共同构成全面风险管理的整体框架。【关 键 词】全面风险管理(ERM);避险策略;风险评估;公司治理;内部控制一、全面风险管理(ERM)的内涵国外文献中关于全面风险管理
2、(Enterprise Risk Management(ERM)的词汇还有 Integrated Risk Management(IRM)、 Holistic Risk Management、Enterprise-wide Risk Management 等。 其中“integrated”的直观解释是“综合的、完整的”,含有“整合”的意思;“holistic”为“整体的、全盘的”之意,其含义强调“整体性”。而“enterprise”的直译解释为“企业、进取心”,它在本文中有两层含义,第一层含义是指审计或过程的控制,强调在整个企业范围内连续有效的控制过程,从管理方法上强调一种连续和综合的方法(c
3、onsistent and comprehensive),企业的所有风险都应该包含在管理或控制范围内;第二层含义是投资与金融中资产组合“portfolio”的同义词,该含义认为,企业尤其是金融企业是风险的集合体,组合风险不仅依赖于单个风险的性质,还依赖于风险之间的相互作用和整合。1 关于 ERM 的定义经历了从百家争鸣到整合统一的历程。主要的定义有:KentD.Miller (1992)提出的整合风险管理(Integrated Risk Management)定义2认为整合风险管理是一种从整体上考虑系统面临的各种风险,建立全瞻性的优化组合机.制的管理体系。Jerry Miccolis & Sa
4、mir Shah (2001)3指出,就一般企业而言,全面风险管理是从企业所有资源出发,对企业的商业目标形成威胁或为企业带来竞争优势的整体风险进行评估和管理的经济活动。就保险企业而言,全面风险管理是整个保险业风险与价值的动态整合优化,它包括为实现提高企业价值的目标而对公司财务风险和操作风险(operational risk)进行评估、减低、融资或利用等技术手段的选择,以及对其所采取的财务战略和经营战略的强化、执行和控制。Lisa Meulbroek (2002)指出,所谓公司整合性风险管理,就是对影响公司价值的众多因素进行辨别和评估,并在全公司范围内实行相应战略以管理和控制这些风险。整合性风险
5、管理的目的就是将企业的各项风险管理活动纳入统一的系统,实现系统的整体优化,创造整体的管理效益,提升或创造企业更大的价值。4他在同一年的另一篇文章中强调,整合风险管理在本质上是战略的,而不是战术的。战术性的风险管理,其视角窄小有限。5William H. Panning (2003) 6指出,ERM 是新的思维方式、测度方式和管理方式的三维统一体,通过这些方式促进管理者实现公司价值最大化。从思维方式上看,ERM 是一种理念和文化;从测度方式上看,它具有一定的技术管理性;从管理方式上看,它是一种行为。2001 年北美非寿险精算师协会(Casualty Acturial Society,CAS)在一
6、份报告中,明确提出了全面风险管理( Enterprise-wide Risk Management 或Enterprise Risk Management,即 ERM)的概念,并对这种基于系统观点的风险管理思想进行了较为深入的研究。CAS(2003)对 ERM 的定义为7:ERM 是一个对各种来源的风险进行评价、控制、研发、融资、监测的系统过程,任何行业和企业都可以通过这一过程提升股东短期或长期的价值。随后,在内部控制领域具有权威影响的 COSO 委员会,于 2004 年 9 月颁布了全面风险管理整合框架(Enterprise Risk ManagementIntegrated Framewo
7、rk)报告。报告从内部控制的角度出发,研究了全面风险管理的过程以及实施的要点8,是全面风险管理理念在运用上的重大突破。COSO 对 ERM 的定义是:全面风险管理是一个过程,它由一个企业的董事会、管理当局和其他人员实施,应用于企业战略制订并贯穿于企业各种经营活动之中,目的是识别可能会影响企业价值的潜在事项,管理风险于企业的风险容量之内, 并为企业目标的实现提供保证。归纳起来一个正确的 ERM 概念应该包括下面几个关键要素,它们是:过程:ERM是一个过程,这个过程贯穿于企业的各种管理和经营活动之中;对象:ERM 的对象是.企业内、外部各种来源的风险整体;主体:ERM 的执行主体涉及到企业各个层级
8、的全体员工和所有部门;目标:ERM 的目标是把风险控制在风险容量以内,同时为企业寻找最佳的风险/收益平衡点,最终的目的是提升股东短期或长期的价值。三、全面风险管理(ERM)体系的构建原则企业全面风险管理是一个涉及多个学科、涵盖方方面面的系统工程,由此构建的ERM 框架应该是一个多维的、立体的、连续的管理方案和过程。要构建这样一个管理框架,必须要遵循以下原则: (1) 多维度目标评价体系原则。ERM 是以增加股东价值为导向的,而股东价值的多维性决定了 ERM 必然是一个多目标决策活动,因此要有全面的目标评价体系,以满足具体情况下不同层次不同价值取向的需要。要实现多目标的风险管理,需要对企业的目标
9、进行完整的表述,形成全面的目标评价体系,并且使用适当的综合目标分析方法来帮助制定决策。(2)多种管理机制配套原则。ERM 要求有一个综合的独立于其他业务部门之外的风险管理机构,这个机构负责制定针对公司所有风险活动的方针政策,并直接向首席执行官(CEO)报告;ERM 还要求有一个综合的风险转移策略,该策略在公司整体范围内整合所有类型风险,在充分考虑了各种风险的“天然对冲效应”后,将管理层认为无用的剩余风险通过衍生品或保险转移出去;最后,ERM 是管理的攻击性武器,它需要把风险管理整合到公司的业务流程中,通过支持和影响定价、资源配置以及其他业务决策来优化企业绩效。因此,ERM 是一个涉及公司治理、
10、内部控制、部门管理、组合管理、权益方管理以及数据和技术资源管理在内的综合框架,其中任何一方面的失误都会影响到整个 ERM 的效率,某些关键失误甚至会导致整个 ERM 系统失效。(3)经验借鉴和因地制宜相结合。ERM 框架构建的目的是为了更准确的反映企业的风险暴露情况,更高效的管理公司的风险敞口,保证公司的稳健经营和价值增长。要实现这个目标,一方面在框架主体上要充分吸收和借鉴国外 ERM框架的成功经验(如表 1 所示的行业经验和综合标准),这些经验从较高视角诠释的ERM 框架主体结构适用于不同国家不同行业的现代企业;另一方面,在涉及到具体风险评估和制度配套上还要立足于我国的实际情况,充分考虑国内
11、消费者独有的文化、习惯、消费心理特征,充分考虑行业和企业的风险管理现状以及所面临的独特的经济、金融和监管环境,立足于中国实际和发展趋势设计出来的 ERM 框架,才更具有现实意义。.表 1 目前国际上流行的主要风险管理标准标准 行业或国家 成果银行巴塞尔银行监管委员会、国际清算银行 1998 年的银行内部控制框架和2003 年的操作风险管理和监管的良好做法巴塞尔银行监管委员会 2004 年出台的新资本协议保险澳大利亚金融监管局(APRA)的审慎监管标准(2001)美国保险监督官协会(NAIC)的 RBC 体系(1990-2000)A. M. Best 公司的 ERM 整体模型风险管理咨询服务公司
12、 Tillinghast-Towers Perrin 的 ERM 设计指南Moody s 公司的新 C-3aRBC 体系(2000)行业标准IT 管理控制 美国信息系统审计与控制协会(ISACA)制定 COBIT 框架 2000 年第二版澳大利亚/新西兰1995 年制定风险管理过程的国家标准,1999 年更新加拿人 1994 制定 Dey 报告要求上市公司报告内部控制的充分性英国伦敦证券交易所在 2003 年更新了 1998 年的 Cadbury 报告,形成“公司治理联合准则(The Combined Code)”美国 美国证券交易委员会:2002 年萨班斯奥克斯利法案德国 1998 年颁布强
13、制性条例the Kon TraG上市公司标准荷兰 1997 年颁布了 Peters 报告,给出了公司治理的 40 条最佳常规综合标准 所有企业1992 年 9 月 COSO 委员会发布内部控制整合框架报告1999 年英国 Turnbull 的内部控制指南2004 年 9 月 COSO 委员会发布整体风险管理框架报告四、全面风险管理(ERM)体系的框架结构及说明ERM 所要做的是了解企业经营活动中所产生的全部风险的同时用最小的成本去管理和利用这些风险,减少损失同时获取风险溢价。基于这个考虑,ERM 框架应该是从全局高度制定的战略目标和风险偏好指导、各种策略和配套设施支持下的连续风险管理过.程(如
14、图 2 所示)。其中,ERM 策略是从财务上对风险的可能结果进行的事前处理,是实现风险管理目标的手段。ERM 过程是为了确定最优的风险管理成本和最有效的资本配置方案,这个过程要便于公司组织内部对风险管理的理解和实施,并能主动支持公司的风险管理策略,是进行风险管理决策的基础。ERM 过程要在目标的指导下进行,ERM目标是风险管理的方向,是前面所有努力所要达到的最终结果,它应该有多个层次多个维度,考虑到企业不同的价值取向和各个发展时期。ERM 的配套设施是实现 ERM 过程的软硬件准备,是风险管理效率效果的必要保证。1、ERM 策略。ERM 策略针对的不是单个风险,而是整个公司的风险剩余,从这个意
15、义上说它包括资产规避、负债规避、股权规避和杠杆管理四个基本策略。不论风险的来源如何,也不管风险从什么方面增加了公司的成本,只要风险对公司价值产生了影响就可以使用这四种策略来管理风险(具体见作者 2008 年的另一篇文章9)。总.之,全面风险管理策略不仅包括传统意义上的风险控制和套期保值策略,还包括新型风险管理工具的运用,并且要和公司的投融资策略以及资本结构政策结合起来,共同为股东和公司关联方利益服务。2、ERM 目标和风险偏好。ERM 框架要求管理当局采取适当的程序去设定目标,确保所选定的目标切合、支持该主体的使命,并且与它的风险容量相一致。目标制定是一切风险评估和管理过程的前提,因此企业必须
16、首先制定目标,在此之后,管理层才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险进行管理。制定战略及其它目标时,必须要考虑企业的风险偏好或风险容忍度,风险容忍度是指在实现企业特定目标过程中对差异的可接受程度。风险容忍度应该是明确的、切实可行的、可以衡量的;风险容忍度应该在整个企业的层面进行适当分配,以便于管理和监控;风险容忍度应该要企业内部外部的人都明确知道。ERM 目标应该包括长远的战略目标和中短期的经营性目标,COSO 发布的全面风险管理整合框架 (Enterprise Risk ManagementIntegrated Framework)(2004 年 9 月)将 ERM 的
17、目标分为:战略(strategic)目标,是较高层次的目标,与企业的使命相关联并支撑其使命;经营(operations)目标,保证企业有效和高效率地利用其资源;报告(reporting)目标,保证各种报告的可靠性;合规(compliance)目标,保证企业各项经营活动符合适用的法律和法规的规定。战略目标的确立把 ERM 提高到了指导企业经营活动的高度,在市场日趋成熟的情况下,企业要想长期稳定的保持其竞争优势,必须把战略目标作为首要考虑的目标,其它三个目标要围绕战略目标来确立。同样,在进行风险决策时也要首先满足战略目标。3、 ERM 过程。一个典型的 ERM 过程应该包括如图 3 所示的基本风险
18、管理步骤。首先要在明确企业使命的前提下制定企业的战略目标,战略目标是在历史分析的基础上做出的远景预测,是对企业未来的一个把握,这个目标一旦确立,就像一个航标指引着企业所有的运营活动,包括全面风险管理活动。ERM 过程的第一个重要步骤是风险评估。风险管理的有效性依赖于对风险因素识别的全面性和测量的准确性,因此需要有科学的风险评估模型和方法来达到以下目的:使高层管理者可以清楚的观察到经过内部对冲之后的“剩余风险”和风险间的“组合效应”;确定用于防范实质性风险和抓住新投资机会的资源的配置方案;提供对风险进行客观、持续检测的模型。基于以上.目的,风险评估应该包括以下几个步骤:识别风险因素。风险因素排序
19、。风险因素分类。风险处理包括两方面的内容:风险控制和风险利用。风险控制是管理不利风险的风险评估步骤,其目的是确保企业承担的风险总量与企业总风险容量相一致。通过风险处理,企业的风险/收益结构得到优化,公司的风险特征有了实际改变,股东价值得到增加,这些都是风险控制和风险利用的结果,而风险评估是实施风险控制和利用的必要铺垫。ERM 过程的最后一个关键步骤是风险管理效果监控。因为在动态的风险环境中,各种风险以及风险对企业影响的方式是不断变化的,随着企业风险管理技能的提高原本不擅长管理的威胁也许会变成企业新的机会,同样,原本的机会由于新的竞争对手的加入可能不能继续带给企业合意的风险溢价而被企业放弃,因此
20、需要不断输入新的风险因素变量、不断对 ERM 过程进行检验。风险管理效果监控的另一个原因是我们对风险和风险管理认识的局限性造成了 ERM 过程中所使用的模型自身的不完美性,原有的风险量化模型和风险控制方法经过实践的检验也许需要改进或替换。总之,ERM 过程应该是一个动态的循环过程,这个过程在实际运行中不断得到充实和完善。.4、ERM 配套设施。ERM 的配套设施主要有六个,之所以把这六个部分作为 ERM 的配套设施是因为这些部分各自是一个研究领域,它们和风险管理密切相关却又不完全相同,它们不完全属于风险管理却对风险管理有至关重要的影响,一个成功的风险管理系统需要这些部分成功运作的支持。因此把这
21、些和风险管理密切相关的研究领域统称为 ERM的配套设施,任何一种设施的缺位或失误都可能影响 ERM 的效率效果,甚至某些关键失误会导致整个 ERM 系统失效。下面分别介绍这些领域以及它们和风险管理的关系。(1)公司治理。公司治理是关于金融机构利益相关者,尤其是股东、经理人和债权人之间权责利关系的安排,其基本结构决定了金融机构对风险的承担和管理以及相应风险/收益的分配,从而对内部控制甚至整个金融机构的风险管理活动起到基础性的决定作用。公司治理与企业风险管理密切相关:首先,公司治理包含了强化风险管理的内容,许多企业的公司治理准则都明确提出风险管理是董事会的一项主要职责,戴易报告和经济合作与发展组织
22、(Organization for Economic Cooperation and Development,OECD)的公司治理准则公开提出,董事会有责任确保适当的风险管理系统和政策到位。其次,二者的最终目标一致,同样关注战略方向、公司整合以及来自公司最高层的动机。第三,良好的董事会常规和公司治理是有效实施企业风险管理的必要条件。董事会的积极参与能促进 ERM 的研发与成功,而公司治理的缺陷将导致内部控制和风险管理从根本上失效。一个有效的风险管理和内部控制体系应该建立在良好的公司治理的基础上,由高层领导制定基调并且身体力行开展风险管理工作,以保证风险管理的独立性,并且他们本身的活动应该成为监
23、督和管理的首要对象。(2)内部控制。内部控制活动主要表现为与业务管理密切相关的各项规章制度的制定和执行的监督活动,因此,内控活动和业务管理活动实际上是融为一体的,业务部门承担主要的内控责任,而审计部门则负责内部控制有效性的评估和监督。企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险等)构建内部控制(包括预防性控制及觉察性控制) ,以确保企业能实现目标和符合各方面的法律、法规。企业还要对其内控系统不间断地进行监控和测试,以确保其对风险控制的能力,把各类风险控制在可接受的水平,并在这基准上赚取合理的回报。内部控制是 ERM 的一个重要组成部分,它曾经在早期风险管理中
24、代替风险管理的职能行事,.内部控制和公司治理共同保障风险管理的有效实施,两者中的任何一个出现问题,所有风险管理技术和方法的有效性就失去了前提和保障。(3)组织和部门管理。理想的风险管理组织结构是由一个独立的风险管理部门来负责实施日常的风险管理,这个部门的领导(风险总监)向上可以直接向 CEO 或董事会报告,以保证风险管理部门的权力和其工作的客观性,向下可以和各个部门通力合作汇总公司的整体风险敞口(如图 4)。在设置 ERM 组织结构时,要注意处理好风险管理部门和业务部门的关系,理想的 ERM 框架下风险管理部门和业务部门之间应该形成一种伙伴关系。在这种关系下,风险管理部门不是严格意义上的监督部
25、门,而是完全融入到了企业的各项业务中,在业务进行的最前端(产品开发和定价阶段或做投资决策时)就和业务部门一起处理风险/收益问题,并拥有共同的目标。这只是一种理想的状况,现实生活中,即使尽最大努力选择和优化风险管理部门与业务部门之间的关系模式,分别追求业务增长和风险控制的两个部门间的冲突仍是不可避免的。所以还应该有一些解决双方矛盾的办法来帮助两个部门伙伴关系的形成,保证风险管理部门和业务部门的一致行动,减少部门间的摩擦成本。.(4)关联方利益管理。关联方包括任何支持和参与公司的生存和成功的团体和个人,主要包括:雇员、客户、供应商、商业伙伴、投资者、监管者、股票分析专家、信用分析专家以及评级机构等
26、,这些关联方中的每一个都是公司成功的要素,关联方流失会给企业带来巨大的成本。一般说来,公司希望各关联方保持对公司的长期的特异性投资,这些特异性投资包括员工学习只对公司有价值在公司外部没有什么价值的知识和技能、供应商为公司特供的零部件进行研发活动、顾客对公司产品价值支付隐含的信用担保等等,同时长期保持与公司的这种关联关系。而所有的这些特异性投资,在公司的风险状况变得糟糕时都会被相关关联方取消,他们觉得一个充满风险的公司可能无法履行对他们的长期利益保证。而这种特异性投资的撤销和关联关系的终止会给企业带来巨大的成本。公司进行的风险管理活动可以保证公司更容易兑现对关联方的承诺,与支付高额成本来维护关联
27、方关系相比,对风险进行套期保值的成本更低。.因此,关联方关系管理是风险管理的一个重要组成部分,是风险管理增加公司价值的重要途径。(5)数据和技术资源。可用的风险管理数据主要是组合数据和市场数据。组合数据包括在不同的前台后台系统收集到的风险头寸;市场数据则包括价格、波动率和相关系数。为了保证这些数据的质量,还要建立数据搜集的适当标准和流程。数据资源的两种获取途径分别是会计系统和前台交易系统,而前台交易系统可以提供许多客户的第一手资料。技术资源主要指用来进行风险量化分析和经风险调整定价的计算机功能软件,包括数据转换界面、数据转换中间设备(messaging oriented middleware
28、,MOM)(帮助减少风险管理实施时间,对点对点界面的改进)、定价分析系统和 ERM 模型实施所需技术资源等,这些资源可以通过自建、购买、定制或外包的方式来获得。数据和技术资源一起支持公司的风险分析和风险处理过程。(6)积极组合管理。组合管理提供了风险管理与公司价值最大化的直接联系,它要求企业像管理基金一样对公司总体风险进行组合管理,充分利用组合内各种风险的“天然对冲”效应和分散化效应,建立组合目标和适当的风险限制以确保获得最佳组合回报率。这意味着把公司面临的诸如负债、投资、利率以及所有其它风险作为一个有机的整体加以管理,以实现总体风险/收益最优化。 ERM 中的积极组合管理的第一步是对风险进行
29、分解。这种分解不是以单个业务为单位进行分解,而是按风险源头、风险保留和风险转移进行分解,目的是考虑公司的核心能力在价值链的哪个部分具有优势,再决定在哪个方面进行竞争。第二步是对风险进行汇总,即汇总公司所有的风险敞口信息以及这些风险敞口间的相关性,可以将所有风险敞口直接或通过风险转移定价机制(以类似与风险转移费用的形式向转出风险的业务单位收取对冲成本)转移到一个中心部门,然后再在这个中心部门进行风险的组合管理和对冲。这个步骤可以帮助企业追踪整体风险敞口、将非对称风险对称化、综合分散化效应、利用组合内风险的自我对冲效应减少管理成本以及风险管理决策集中化。第三步再利用积极组合管理中风险限额和经济资本
30、配置管理的思路,通过分配更多的经济资本给预期风险调整资本收益更高的业务单位,在企业内部形成一个“内部资本市场”,给“好”的业务创造良好的增长环境,同时淘汰“坏”的业务,使企业的整体风险/收益特征的到优化。.1 Society of Actuary. 2005. Enterprise Risk Management Specialty Guide, p.8-102 Miller, Kent D, A Framework for Integrated Risk Management in International Business,Journal of International Busines
31、s Studies, Washington, Second Quarter 1992,Vo1.23,Iss.23 Jerry Miccolis&Samir Shah .2001. Creating Ualue through Enterprise Risk Management: A Practical Approach for the Insurance Industry. p.3&p104 Lisa Meulbroek. 2002. The Promise and Challenge of Integrated Risk Management, Risk Management andTns
32、urance Review0_ Vol. 5. No. 1.p.15 Lisa Meulbroek. 2002. Integrated Risk Management for the Firm: A Senior Managers Guide. p.36 William H. Panning. 2003. Using Enterprise Risk Management to Maximize Shareholder Ualue.2003 CAS/SOA ERM Svmnosium_ Washinston D.C.7 the CAS Enterprise Risk Management Com
33、mittee Overview of Enterprise Risk Management Committee Report Casualty Actuarial Society Forum 20038 COSO.Enterprise Risk Management-Integrated Framework.R.Committee of Sponsoring Organizations of the Three-wav Commission 2004:2-89张琴,陈柳钦:风险管理理论沿袭和最新发展趋势综述J,金融理论与实践2008年第 10 期。作者简介:张琴(1977 年-),女,河北定州
34、人,南开大学风险管理与保险学系博士研究生,研究方向:风险管理;陈柳钦(1969 年),男,湖南省邵东县人,天津社会科学院城市经济研究所教授,研究方向:产业经济、金融理论。 联系地址:天津市河西区黑牛城道纪发大厦 1-205#(300061)陈柳钦.主要参考文献1 Doherty Neil A.,Innovation in Corporate Risk Management: the Case of Catastrophe Risk,in G. Dionne(ed.),Handbook of Insurance,Boston:Kluwer Academic Publisher,pp.503-53
35、9.2 Doherty, Neil A.(1985).”Corporate Risk Management:A Financial Analysis”McGraw- Hill. Companies Inc.3 Jerry AMiccolis, Kevin Hively, and Brian WMerkley(2002), Enterprise Risk Management:Trends and Emerging Practices, Tillinghast-Towers Perrin.4 International Association of Insurance Supervisors(2
36、003),Insurance Core Principles and Methodology,www.iaisweb.org5 Miller, Kent D, A Framework for Integrated Risk Management in International Business,Journal of International Business Studies, Washington, Second Quarter 1992,Vo1.23,Iss.26 SOA, Enterprise Risk Management Subgroup ERM Specialty Guide, 2005,August 30:8 97 美)尼尔多尔蒂著,陈秉正、王珺译:综合风险管理控制公司风险的技术与策略M,北京:经济科学出版社,2005 年。8 詹姆斯林著,黄长全译:企业全面风险管理从激励到控制M,北京:中国金融出版社,2003 年。9 陈忠阳:金融机构现代风险管理基本框架M,北京:中国金融出版社,2006 年。10Gerhard Schroeck 著,贾维国译:金融机构风险管理与价值创造M,北京:中国人民大学出版社,2006 年。
