論文導讀:：本文對COSO《企業風險管理—整合框架》、《中央企業全面風險管理指引》、《ISO/FDIS31000風險管理—原則和指引》進行了比較分析，得出《指引》適用于中國企業風險管理初級階段，COSO風險管理框架適用于風險管理中級階段，ISO/FDIS31000風險管理適用于風險管理高級階段，中國企業在實施全面風險管理的過程中應以《指引》為基礎，參與另外兩個標準，并隨著實踐的開展不斷推進風險管理向更高階段邁進。 論文關鍵詞：風險，全面風險管理，風險管理框架 一、引言 中國自2001年加入WTO以來，中國對外開放不斷深入，從十六大召開后，中國企業進入了對外開放新階段，紛紛加大了“走出去”的戰略步伐。隨著企業跨國經營和全球化進程的加快，企業面臨的不確定因素加大，如一度被視為明星企業的中航油，2004年折戟獅城，損失5.5億美元，折射出企業風險控制能力的薄弱，在企業界引起極大的震動。面對慘重的教訓，企業的經營理念也悄然發生了轉變，避免滅頂風險比獲取超常收益更重要，這是企業界的共識。尤其在經歷了2007年以來的史無前例的經濟危機后現代企業管理論文，風險管理被受到前所未有的重視，然而企業在開展風險管理的過程中，發現不同版本的風險管理框架差異較大，如何選擇適合企業自身的風險管理框架是擺在企業面前的實際問題，本文擬對目前國內外比較具有影響力的風險管理框架進行分析和比較，以期為企業實施全面風險管理提供幫助。 二、全面風險管理框架比較 目前國內外具有影響力的風險管理框架有美國COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月發布的《企業風險管理—整合框架》（以下簡稱COSO風險管理框架）。國際標準委員會于2009年頒布的《ISO/FDIS31000風險管理—原則和指引》（以下簡稱ISO31000），該風險管理標準是在2004年修訂的澳大利亞/新西蘭風險管理標準(AS/ NZS 4360)的基礎上制定的。中國有國資委于2006年6月頒布了《中央企業全面風險管理指引》（國資發改革[2006]108號）（以下簡稱《指引》）。本文擬從風險和風險管理概念、風險管理流程、風險管理架構等內容對三個框架進行比較分析。 1．風險概念比較分析 COSO風險框架將風險定義為“風險是指一個事項將會發生并給目標實現帶來負面影響的可能性”，而事項是源于內部或外部的影響目標實現的事故或事件，事項可能有正面或負面的影響，或兩者兼而有之。從COSO對風險的定義可以看出，負面影響的事件為風險，正面的影響的事件為機會，強調風險的負面作用，并將目標明確分為戰略目標、經營目標、報告目標和合規目標。這種分類方法有助于企業關注風險管理的不同側面，滿足企業增長和報酬以及監管者的要求。 《指引》認為企業風險是“指未來的不確定性對企業實現其經營目標的影響”，這里的影響包括正面的和負面的或者是兩者兼有論文下載。并將風險明確指出對經營目標的影響。因此從風險的定義上可以看出，《指引》對企業風險的定義明確指出對經營目標的影響，經營目標是與經營戰略相對應的目標，這可從《指引》后面提到的風險管理策略的制定要和經營戰略相適應，經營戰略是屬于業務層面的戰略，可以看出《指引》中企業風險更多指業務層面的風險而言的。 ISO31000將風險定義為“不確定性對目標的影響”。并指出影響是指實際與預期的偏差，可是正面的或負面的或兩者兼有。并表明目標可以有不同方面，如財務、健康和安全以及環境目標，可以體現在不同的層次，如戰略、運營、項目、產品和流程層面。從ISO31000對風險的定義描述可以看出ISO31000對風險的定義更加全面，兼顧了傳統的財務、健康、安全以及環境風險，表明了風險的兩面性，即正的作用和負的作用。 從以上比較來看，各風險管理框架對風險的定義基本上達成共識現代企業管理論文，即風險是不確定性對目標的影響，區別是目標的范圍不一樣和風險的兩面性上。《指引》特指經營目標，COSO將目標分為戰略目標、經營目標、報告目標和合規目標，ISO31000目標范圍更加廣范，可以指不同方面，也可以指不同層面。 2．風險管理概念比較分析 COSO 認為“企業風險管理是一個過程，它由一個企業的董事會、管理層和其他人員實施，應用于企業戰略制定并一直貫穿到企業的各項活動中，旨在識別可能會影響企業的潛在事項，管理風險以使其在該企業的風險容量之內，并為企業目標的實現提供合理保證”。根據企業風險管理的定義可以發現COSO所指的企業風險管理覆蓋的企業活動的范圍包括戰略制定活動。 《指引》認為全面風險管理，“指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法”。《指引》中的風險管理的總體目標，包括戰略目標、經營目標、報告目標、合規目標和危機管理目標。與企業風險的定義相適應，風險管理的定義也是圍繞經營目標的實現，而展開了一系列活動。 ISO31000認為風險管理指“對指導和控制組織有關風險的活動進行協調”，即所有跟風險有關的指導和控制活動都稱為風險管理，涉及不同層面不同范圍。 從以上比較分析可以看出，《指引》的風險管理覆蓋的范圍相對較窄，而COSO，強調風險管理不僅包括經營層面的活動而且包括戰略制定活動。ISO31000的風險管理涉及任何與風險有關的指導和控制活動，涉及的程度和范圍更加廣范。 3．風險管理流程比較分析 COSO風險管理流程包括內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。COSO框架的風險管理流程始企業內部環境，并認為內部環境影響組織中人員的風險意識，是企業風險管理所有其他構成要素的基礎。COSO將目標設定作為風險管理流程的一個關鍵要素，并明確指出目標設定是事項識別、風險評估和風險應對的前提條件。在識別和評估影響業績的風險必要的措施來管理風險之前首先要設定目標。COSO區分四種類型的目標：戰略目標、經營目標、報告目標和合規目標。 《指引》風險管理基本流程包括現代企業管理論文，收集風險管理初始信息；進行風險評估；制定風險管理策略；提出和實施風險管理解決方案；風險管理的監督與改進。信息與溝通貫穿于整個流程中。《指引》并未在風險管理流程中提到目標的設定，但是從風險的定義、風險評估可看出其中暗含著目標設定的內容。 ISO31000風險管理基本流程包括溝通與協商、建立環境、風險評估、風險處理、監控與回顧，如圖1所示論文下載。ISO31000將溝通與協商是整個風險管理流程的首要因素，旨在采用一種工作團隊的工作方法，為風險管理建立一個適合的環境。通過與內外部利益相關者進行充分的溝通與協商有助于有效識別風險、不同領域的專業知識被用于風險分析、風險評估標準的建立、風險管理計劃的執行和風險管理流程的變更等，確保整個風險管理過程中能充分理解和考慮利益相關者的利益。另外，ISO31000將環境建立作為風險管理流程的一個重要步驟，環境建立包括內外部環境的建立、風險管理流程環境的建立以及風險評估標準的建立。該步驟使風險管理活動與內外部環境相匹配，并在組織內建立了風險管理的組織基礎和范圍，如界定風險管理活動的目標和風險管理流程的責任、風險管理的范圍、廣度和深度以及風險評估的有效性和風險評估的標準等。 圖1. ISO31000風險管理流程 從以上對各標準的風險管理流程來看，內容上基本相同，區別之處所反映的理念存在差異，COSO強調內部環境和目標設定，ISO31000強調溝通和協商以及環境的建立，《指引》強調信息收集，在整個風險管理流程中貫穿信息與溝通的內容。 4．風險管理架構比較分析 COSO風險管理架構保留了其內部控制框架的三個維度結構，即目標維、風險管理要素維和管理層級維，并在此基礎上進行了拓展，目標由內部控制框架的3類擴展為4類，即除了經營目標、報告目標和合規目標外，增加了戰略目標。風險管理要素由內部控制框架的5個擴展為8個，包括內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。管理層級包括整個企業、職能部門、業務單位和分支機構4層。目標、要素和管理層級之間的關系為：各管理層級是風險管理主體，目標是企業努力實現的對象，風險管理要素是目標實現的步驟，企業的各個管理層級都要按照風險管理的8個要素為4個目標服務。 《指引》的全面風險管理框架包括總體目標、風險管理文化、風險管理流程和全面風險管理體系四個組成部分，其中風險管理體系由風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統構成。風險管理總體目標除包括COSO的四大目標外，還增加了“確保企業建立針對各項重大風險發生后的危機處理計劃，保護企業不因災害性風險或人為失誤而遭受重大損失”的應急管理目標。《指引》清晰提出風險管理的三道防線，即各有關職能部門和業務單位為第一道防線；風險管理職能部門和董事會下設的風險管理委員會為第二道防線；內部審計部門和董事會下設的審計委員會為第三道防線。但《指引》四個部分內在的邏輯關系表述的不是十分清晰。比如：建立全面風險管理體系是先建基本流程還是先建立體系沒有界定清楚。風險管理基本流程中和風險管理體系中都有風險管理策略的內容現代企業管理論文，二者的內涵是否一致，并沒有闡述清楚，風險理財措施屬于風險管理工具或方法之一，它與組織職能體系、內部控制系統的內容不在一個管理層面上。對于全面風險管理體系中最重要的目標政策體系的沒有突出。風險管理的目標政策對風險管理基本流程、風險管理體系和風險管理文化三個部分具有指導和引領的作用，但是在指引中沒有獨立章節表述，相關內容也不夠詳盡。 ISO31000風險管理架構定義為“為整個組織設計、實施、監控和檢查與持續改進風險管理提供基礎和組織安排的系列要素”。其中基礎要素包括“管理風險的政策、目標、授權和承諾”。組織安排包括“計劃、領導、職責、資源、流程和活動”。風險管理框架被植入到組織的整個戰略和運營政策的制定和實踐活動中。ISO31000風險管理框架如圖2所示。 圖2. ISO31000風險管理架構 ISO31000風險管理框架建立了風險管理原則、風險管理架構和風險管理流程之間的關系。如圖3所示。風險管理原則為建立風險管理架構提供指導方針論文下載。風險管理架構中的管理政策，程序和活動，系統地應用到風險管理流程中，同時風險管理流程應在風險管理架構中通過風險管理計劃，成為組織各個層面和活動的組成部分，并得到實施。從風險管理原則可以看出，ISO31000風險原則除了包括COSO和《指引》的風險管理理念外，還提出風險管理成為決策的組成部分，充分體現風險管理的重要性。價值的充分體現。 圖3. 風險管理原則、風險管理架構和風險管理流程之間的關系圖 三、比較分析結論與實施建議 根據全面風險管理的目標和覆蓋范圍，全面風險管理可以劃分三個階段，初級階段、中級階段和高級階段。初級階段主要關注經營目標，在企業內開始導入全面風險管理，風險管理的理念、方法和工具處于試用階段，企業內部需要逐步形成統一的風險語言和廣為接受的風險管理方法、措施、政策、職責分配以及風險管理流程和關鍵經營活動融合的過程，風險管理處于探索和價值逐步接受過程。風險管理中級階段，風險管理逐步被接受，且提出了更高的要求，將風險管理提升到戰略層面，和戰略進行整合，保障戰略目標的實現，發揮風險管理的價值創造和價值保持作用。風險管理高級階段，風險管理應用于決策過程，為決策提供信息基礎，并有機的與企業的內外環境、組織、文化和戰略相融合現代企業管理論文，并隨著內外部環境的變化而變更，成為企業的競爭力的重要來源。 從以上對各全面風險管理框架的概念、流程和架構的比較分析可以看出， ISO31000風險管理標準風險管理的范圍和理念以及整個框架相對比較完善，適用于風險管理高級階段。COSO風險框架將風險管理提升到戰略層面，適用于風險管理中級階段，但COSO風險框架僅提出了風險管理的要素和風險管理的目標，并未提出風險管理體系。《指引》適用于風險管理初級階段。ISO31000風險管理標準解決了以上所有的問題，闡述清了風險管理原則、風險管理構架和風險管理流程之間的關系，為全面風險管理的實施掃清的障礙。 因此，中國中央企業在全面建設風險管理框架時，以《指引》為基礎，充分參考與借鑒COSO的目標設定內容以及ISO31000的風險管理標準的內容，使風險管理流程和風險管理體系有機融為一體。同時應該指出《指引》的內容是適應中國企業風險管理實踐而制定的風險管理框架，隨著風險管理實踐的開展，企業應提升風險管理的范圍，即將戰略制定活動和保障戰略目標的實現納入全面風險管理的范圍。最后，在實踐中充分貫徹ISO31000風險管理的思想和內容，使風險管理向更高的階段邁進，從而不斷提高企業自身的風險管理能力和增強企業的核心競爭力。