亚洲风险与危机管理委员会),ERM自然成为了企业规避风险的一大利器

企业风险管理(ERM)是对企业内可能产生的各种风险进行识别、衡量、分析、评价,并适时采取及时有效的方法进行防范和控制,用最经济合理的方法来综合处理风险,以实现最大安全保障的一种科学管理方法。在全球商业环境变幻莫测的当下,ERM自然成为了企业规避风险的一大利器。  不久前,有关于白酒上市企业泸州老窖1.5亿银行存款凭空失踪一事,引起了市场的广泛关注。有媒体报道表示,泸州老窖10月15日公告称,公司在中国农业银行长沙迎新支行的一笔1.5亿元存款失踪,经多方协调并多次磋商后无果,公司将就此事向四川省高级人民法院提起诉讼。  对此,有业内人士分析称,泸州老窖作为上市公司,在1.5亿资金被盗取之后才发现,企业自身的内控环节难辞其咎。这让我们看到了企业风险管理的重要性。同时,对于在华发展的外资企业来说,风险更是无处不在,ERM的必要性也更为凸显。  IBM认为,在企业风险管理中,对于IT的风险管理是非常重要的一环。因此,IBM会帮助企业建立IT风险和信息安全管理模型,从而减少企业运营成本,规避可能存在的风险。了解公开课更多内容,请狂戳链接:

作者:畅享论坛  佚名

达信顾问公司大中国区董事长及首席执行官韦朴(摄影:尹忠华
来源:金融界网站)
  由《21世纪经济报道》、21世纪研究院金融研究中心发起的21世纪亚洲金融年会11月29日在北京隆重举行,金融界网站予以全程直播。以下是达信顾问公司大中国区董事长及首席执行官韦朴的精彩发言。  韦朴:  各位来宾,女士们、先生们下午好,很高兴能够在这里与您共同探讨风险管理的话题,今天我想谈谈如何借助全面风险管理在金融危机中创造战略价值,让我们看看当前金融危机的严重性,什么是全面风险管理,以及全面风险管理是否有效,如何有效发挥全面风险管理的益处。相信各位都了解如今席卷全球的金融海啸,对比过去20年来的危机,例如80年代垃圾债券危机,97年亚洲金融危机,以及01年互联网泡沫的破灭。危机的严重程度是通过两方面来衡量的,一个是危机的持续时间,及盈利恢复到危机前水平所用的时间,另外一个是危机的深度。最后一列显示的是危机总体严重性,表明现在发生的金融危机远比我们20年前所经历的危机都要严重,这项分析是在几个月前做的,但是现在看来我想我们当时还是过于乐观了。如今危机当前,人们会问,不是华尔街发明了ERM吗,信托银行被公认为是现代风险管理的先河,在20世纪70年代末都在业界粉墨登场。到了80年代和90年代,包括保险业在内的各行各业纷纷效仿银行业的做法,金融机构被认为是将ERM理念深刻应用到实践中的。但是,20多年过去了,我们再次遭遇化铁炉,如果这些金融机构是ERM的实践高手,而我们却深陷信贷危机,那么看来ERM并不是一套行之有效的方略,不是这样吗?  然而,在达信的角度看来,我们认为ERM并不是失败的,实际上在如今的经济形势下,ERM就更为重要了。现在让我们来看看到底什么是ERM?全面风险管理是一个过程,它帮助公司了解自身的总体风险状况,它使风险状况与风险偏好相匹配,它需要通过综合的管理方法。ERM其实并不是一套严格的流程,仅用以满足合规和披露的要求,它也不是一份未经量化的风险清单,风险仅仅分为高、中、低三各级别。要想完全发挥全面风险管理的功效就必须了解关键目标以及ERM的真正理念,然而通常情况是ERM被狭隘的用来定性的识别和评估潜在的风险。如果仅仅是这样的话,ERM是无法使风险对公司的一些关键领域,如价值驱动,资本,资源分配等产生的影响做出有价值的洞察,而ERM对于提升商业决策以及绩效管理的作用也将大打折扣。我们相信在当前的环境下,ERM比以前任何时候都更加至关重要。  外向的看,当前我们运营的市场环境,股权和债券市场以及监管和评级压力,形势非常严峻,在此种环境之下,降低不确定性和意料之外的风险事件就显得无比重要。如果内向的看,如何合理分配有限的资本,如何保存资本等待转机也是压力之一,而所有这些问题正是ERM可以解决的。ERM为企业带来的益处通过承担风险,获得相应的风险回报,并以此创造先于对手的竞争优势。我在此说一句题外话,坦率的讲不论公司实践全面风险管理有多长时间了,我们仍然还处于ERM应用的初级阶段,很多公司尚未开发ERM价值体系可以为其带来的优势。无疑如今的金融危机的诱因是方方面面,错综复杂的,回顾此次金融危机,我在这里想就不完全的ERM对银行和其他金融机构所产生的影响做几点阐述:  第一,任何模型都是有局限性的,风险分析已经成为现代风险管理不可或缺的部分,尤其是对保险公司而言。但是,仅仅依靠分析模型还不够,有效遏制风险管理还需要良好的判断力。任何监管也都是有局限性的,单纯的达到监管要求不能等同于行之有效的风险管理。流动性风险是终结者,每次银行业危机最终都是由于银行短期融资资源的骤减而演化为流动性危机。像雷曼兄弟,以及现在的花旗充分提醒我们,银行业是一个信心行业,其运行依赖于储户和业界同行是否愿意为高杠杆资产负债提供资金。  另外一点是会计问题,会计报告处理方式不同会造成投资者对财务报告中体现的风险理解上的巨大差异。最终此次危机带来最惨痛的教训是,金融机构高管对公司面临的风险缺乏最基本的认识、理解和防范。那么,公司究竟应该怎么做呢?公司必须沿着风险管理的阶梯致力于价值创造有三件事情:  第一,应该把风险管理看成一种运营效能和公司价值最大化的策略。第二,要大力抓住将风险评估纳入公司决策程序这项工作。第三,管理层应该清楚的传达公司整体风险偏好是怎样的,风险偏好确定了公司可承担风险的界限,结合风险评估的绩效制度应该纳入目标设定程序,形成风险承受力指标。这些都是大方向的策略,那么公司又应该采取哪些具体措施呢?第一是压力测试,当涉及到模型时,良好的判断力和模型管理中至关重要的一部分是对模型假设以及情景分析进行系统测试,主要要针对那些无法完全进行定量分析的领域。第二,要认识到会计问题的重要性,公司需要将风险考量融入会计财务中,正如同风险控制与业务部门密不可分,无论你是否认可公平定价的会计准则,现实的状况是这是如今通行的准则,全面风险管理体系必须将其纳入其中。第三,基础设施建设必须跟上,IT的基础设施在危机出现时尤为重要,不兼容的系统,落后的数据管理,不健全的报告体制造成许多公司在应对危机时不能有效的进行内部以及外部的沟通。  最后,我想说的是对于金融业界来说,发现风险管理体系的缺陷,对于重建金融系统的信心至关重要,对保险市场也是这样的,这应该成为公司董事会和高管的首要任务。只有合理的将全面风险管理与公司战略相结合,使之得到公司最高层的关注和监控才能创造ERM的完全价值,就是这样简单,这就是ERM的真正价值。  达信的ERM团队拥有丰富的经验,并且与多家中国主要的保险公司开展合作,并且希望将来与更多的保险公司合作,谢谢大家。

2010-3-22 17:23:04

畅享网: 全面风险管理(ERM),指企业围绕总体经营目标,在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化。

本文关键字: 风险管理 企业 畅享原创

一.全面风险管理的定义、产生背景

风险管理的权威性定义有两个。其一,“企业风险管理是企业在实现未来战略目标的过程中,试图将各类不确定因素产生的结果控制在预期可接受范围的方法和过程,以确保和促进组织的整体利益实现。”(2006年4月,亚洲风险与危机管理委员会)。其二,“企业风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。他的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平,从而帮助企业达成目标”(2003年7月,美国COSO委员会)。以上两个定义都说明,企业风险管理的目的,不是回避风险和减轻风险,而是对风险实施有效的管理,寻求风险和收益的最佳平衡点,以实现企业战略目标。风险管理既包括预测和回避威胁与损失,也包括识别与把握风险后的机遇。

全面风险管理(ERM),指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法(中央国资委,2006年)。

有别于企业危机管理、预警管理等狭义的风险管理手段和方法,全面风险管理(ERM)的“全面”体现在以下几个方面:其一,战略性。企业内部控制、保险工具、金融衍生工具,这些主要用于防损为目的的方法和工具基本上主要用于操作层面,而难以谈及对企业战略的突出支持意义,全面风险管理试图从战略层面入手,对企业面临的风险进行梳理和分析,并制订相应的管理和应对策略;其二,系统性。全面风险管理涉及发展战略、企业文化、公司治理、组织架构、管理流程、信息系统、财务安排、金融工具使用等企业经营的方方面面,对风险管理技术、手段、方法、策略进行了全盘的整合。其三,专业性。全面风险管理推进风险管理职能部门的设立,实施专业化管理。最后,全员性。全面风险管理是企业董事会、管理高层、各部门、各层次全员参与的一项活动。

ERM产生于上世纪90年代中后期,致力于推广ERM的相关机构将其出现称作是“90年代及网络革命后的第二件大事”。ERM产生基于以下原因:首先是来自于企业的动力。经济全球化的驱动、跨国寻求发展等导致企业经营的风险程度不断增加,企业必须考虑增强自身对风险的控制力,增加决策的前瞻性;第二,企业风险管理方法、工具、手段的发展创新(例如企业内控、危机管理理论产生、衍生金融工具和保险市场的发展)等为ERM的产生奠定基础;第三,信息技术革命一方面增加了企业面临风险的新内容,另一方面也提供了管理风险的新手段;第四,对风险评估方法、技术、战略性价值的日益认同;第五,风险管理全球性标准的发展,继澳大利亚和新西兰1996年推出风险管理标准后,加拿大1997年、英国2000年,美国2004年等陆续推出风险管理标准。第六,美国证券市场上的一系列财务丑闻的发生和萨班斯奥克斯里法案的出台。此外,并不排除ERM这一“拼盘式”的管理体系出台和推广能够为一些管理咨询公司带来可观的收益,普华永道等一流咨询公司的推波助澜使ERM迅速“走红”。

二.全面风险管理与公司治理

全面风险管理为公司治理提供了新的视角和内容,这主要体现在三个方面:

第一,基于风险管理思想的风险管理委员会的产生,使公司治理组织形式发生了重大变革。风险管理委员会的基本职能包括:批准风险管理战略、政策与流程;指导企业全面风险管理工作(风险文化、风险评估、工具办法等);指导善用企业资源;优化与监督企业风险管理体系,保障企业与股东利益;监督与优化企业信息决策系统,保障企业持续发展;以风险管理的新技术和方法技能支持企业绩效最大化的发展。风险管理委员会的设立方式有三种:一是由董事会直接设立。在已有的战略委员会、审计委员会、薪酬与提名委员会的基础上,专设风险管理委员会,向董事会直接负责;二是在首席执行官下设风险执行会员会,贯彻落实董事会的风险管理战略,协调各业务单位、部门、分支机构的风险管理工作,向首席执行官报告;三是双重委员会制。即董事会和管理层分别设置。董事会下风险管理机构侧重于风险管理的规划和监督,首席执行官下的风险管理机构负责贯彻和执行。风险管理委员会搭起了所有者和经营者关于企业风险态度和风险应对的一座沟通桥梁,为所有者风险评价、风险把控提供了渠道和手段;为经营者风险管理搭设了运作平台。

第二,设立专职风险管理岗位,实现风险管理专业化。在CEO、CFO、COO的基础上,世界上第一个风险执行官(CRO)于美国金融机构诞生。目前世界级的金融机构80%以上的企业已经设立了CRO职位。西方一些企业尽管未设立CRO,但其工作职能也暂由副总裁或风险管理委员会代为行使。CRO在组织中的角色包括:提供对企业全面风险管理的统一领导、设想和指引;对整个机构的所有风险建立综合的风险管理框架;研发风险管理策略,包括通过利用特别的风险限制来量化管理层的风险倾向;执行整套的风险指标和报告,包括损失与事故、主要风险敞口和早期预警指示;基于风险程度把经济资本配置给各业务活动,并且通过风险策略优化公司风险组合;向主要相关利益者通报公司的风险状况;发展分析风险管理信息系统以支持企业全面风险管理(詹姆斯.林)。

第三,风险管理与内部审计协同配合,并体现出融合之势。内部审计工作内容的演变,整体呈现出:会计基础审计(查帐防弊)—-〉流程基础审计(经营审计)—–〉风险基础审计(风险导向审计)的基本趋势,全面风险管理为内部审计提供了方向、方法,拓宽了内部审计的视角,内部审计工作和风险管理相辅相成、互为弥补,丰富了公司内部自我监督约束的内容和手段。詹姆斯林甚至预言,随着全面风险管理理论与实践的日益成熟,内部审计将成为风险管理的一个执行环节,未来的审计委员会也将最终演变为风险管理委员会。

三.全面风险管理与内部控制

1992年,COSO在其内部控制的标准框架中引入了风险评估等要素,标志着比传统会计模型更为宽泛的风险控制框架的诞生。此后很多专业组织发布了补充性文件或标准,逐步将内部控制与企业风险管理的结合向宽泛化、深度化发展。2004年正式发布的COSO—ERM框架,将内部控制与风险管理的关联性推进至一种近于无缝的结合。企业经营所必须承受的风险,如果不能够采用风险转移或有效对冲等手段进行低成本科学化管理的话,就必须考虑利用企业风险内部控制的方法进行风险管理。尤其是对企业无可回避的关键性重大风险,必须设计严格的控制流程,并密切实施监控,而这些都是内部控制的内容。从某种程度上讲,萨班斯奥克斯利法案强制性地引发了对COSO内控框架的关注,而COSO内部控制框架在2004年依托全面风险管理思想进行的修订和调整,最终将人们对全面风险管理的关注引向巅峰。

全面风险管理和内部控制的区别体现在以下几个方面:

从性质上来讲,内部控制是一种基于损失最小化的被动式预防管理,注重于通过环境分析,在管理政策、组织机构、业务流程、市场经营层面减少不确定性,将风险可能带来的损失降到合理的程度之下,内部控制关注的焦点是信息和决策的质量控制和操作风险控制;风险管理是基于损失最小化管理和绩效最优化管理相结合的一种管理方式,兼具防御性管理和进取性管理的双重特征,寻求的是风险和机遇的最佳平衡点。

从内容上来讲,内部控制主要侧重于企业内部围绕控制活动的各项流程的规范重整,而全面风险管理除了内部流程外,还包括企业外部和证券市场、保险公司、供应商等合作伙伴、政府等相关部门围绕企业风险的各种合作与博弈活动,包括各种财务安排、公共关系(例如政府关系、媒体关系)、衍生金融工具的使用等等。

从涉及的风险特征来看,内部控制针对的是企业需要承担的风险,针对需要承担的风险在流程层面体现应对举措;而全面风险管理应对的是所有的风险,需要根据风险及其收益的判断,来做出风险的取舍。

全面风险管理与内部控制的联系体现在以下几个方面:

内部控制是全面风险管理的重要组成部分和全面风险管理的基本依托。正是在已经成熟完善的内部控制的基础上,进行外围的延伸,将危机管理、预警管理、金融风险控制、战略风险控制的相关内容和风险识别风险评估的相关技术进行整合,形成了全面风险管理体系。

全面风险管理思想贯穿在内部控制体系的设计之中。内部控制系统的设计,首先要识别关键风险流程,例如企业并购、期货交易等,针对这些关键风险流程实施重点设计。其次,要围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行规章制度、程序和措施。

四.全面风险管理流程

(一)建立风险管理信息系统,收集和管理风险信息。

相关文章