一．Coso理論??

一.?? 全面風險管理

1.?????? 定義

全面風險管理是指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險管理措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。

全面風險管理是一個從企業戰略目標制定，到目標實現的風險管理過程。它可以簡單用“348”的框架來描述。即三個維度：企業目標、全面風險管理要素、企業的各個層級；企業目標包括四個方面：戰略目標、經營目標，、報告目標和合規目標；全面風險管理要素有八個：內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監控。全面風險管理的八個要素為企業的四個目標服務；企業的各個層面要堅持同樣的四個目標；每個層面都必須從八個要素進行風險管理。

?

2.目標

?? 現在世界上最先進的體系化風險防范機制是在企業建立全面風險管理體系，全面風險管理代表著風險管理的最前沿的理論和最佳實務。

全面風險管理是這樣一個過程：它與企業的董事會、經理層和其他員工緊密相關，在戰略制定中得到應用，貫穿于整個企業，用來識別影響企業目標實現的潛在事件，在企業風險偏好的指導下管理風險，為企業目標的實現提供合理的保證。

由此可見，企業建立全面風險管理體系的總體目標就是為企業實現其經營目標提供合理的保證，也就是為了保證企業經營目標的實現，將企業的風險控制在由企業戰略決定的范圍之內。換句話說就是全面風險管理可以幫助所有的企業，不管其大小或目標是什么，來全面系統地辨識、衡量、排序并處理所面臨可導致其偏離企業目標的風險。

同時，企業建立全面風險管理體系還可以確保企業遵守有關法律法規，確保企業內外部尤其是企業與股東之間實現真實、可靠的信息溝通，保障企業經營管理的有效性，提高經營效率，保護企業不至于因災害性事件或人為失誤而遭受重大損失。

?

3.主要內容

全面風險管理體系由風險戰略、風險管理職能、綜合內控、風險理財及風險管理信息系統五個模塊組成。

風險戰略是指導企業風險管理活動的指導方針和行動綱領，是針對企業面臨的主要風險設計的一整套風險處理方案。

風險管理組織職能是風險管理的具體實施者，通過合理的組織結構設計和職能安排，可以有效管理和控制企業風險。

內部控制作為全面管理體系的一部分，是通過針對企業的各個主要業務流程設計和實施一系列政策、制度、規章和措施，對影響業務流程目標實現的各種風險進行管理和控制。

風險理財是指企業運用金融手段來管理、轉移風險的一整套措施、政策和方法。

風險管理信息系統是傳輸企業風險和風險管理狀況的信息系統，其包括企業信息和運營數據的存儲、分析、模型、傳送及內部報告和外部的披露系統。

?

4.風險

風險是企業特殊的資源，它總是伴隨著企業的有形的、確定的資源而存在。風險的定義就是指未來的不確定性對企業實現其既定目標的影響。它突出了以下幾個方面：

風險是關于“未來的不確定性”。過去和現在屬于已發生和正在發生的領域，沒有風險，但所有的人都不確定將來的事情，將來存在風險。為了準確度量和管理風險，風險總是定義在未來的某一個時間段內的，比如，企業職工有人身安全的風險，為此要為職工買人身安全保險，保險合同總是在一段時間內有效的。又如，企業的財務報表反應的都是發生的經濟行為，而現金流預測作為投資決策的基礎評估方法之一，是對未來的一定期間內的凈現金流入預測用貼現系數來計算現值，這里表現的風險包括時間價值的概念，還包括風險的貼現。

風險是和企業目標有關系的。一般來說，企業目標定得越高風險越大，目標定得越低風險越小。例如，企業的目標是躋身于世界五百強還是維持盈虧平衡，其所須承擔風險的大小是不一樣的。風險是相對于要實現的目標而言的。目標越高，風險就越大；目標越小，風險就越小。

風險對實現目標的影響表現在實際的行為可能與我們的目標有差距。這種差距可能不僅表現在最后結果的差距（如盈利額的差距、損益值），還可能表現在路徑的差距，即如何實現最后的結果，這同樣是不確定性的影響，使得人們對穩定的、可預期的表現要更看重一些，因為不確定性越大，風險成本就越高。

需要注意的是風險對實現企業的既定目標有好處，也可能有壞處。所謂好壞或正面負面都是指對結果的判斷而言的，風險本身是無所謂好壞的。把風險看作是純粹的負面的東西，有利于我們專注于防范風險帶來的負面效應，但同時有可能使我們忽略風險中蘊藏的機會。因此，企業對風險正負面影響的考慮應該是結合在一起的，這和“沒有風險就沒有回報，高回報蘊含著高風險”的觀點是一致的，收益是對承擔風險的補償。事實上，在沒有交易成本等的無摩擦、無套利機會的理想市場的情形，在負面風險和正面風險之間存在確定的平價關系（Call-PutParity）。如果只考慮風險的負面影響，勢必會影響人們的決策忽視正面風險的存在，向風險規避型傾斜。

例如，考慮商業銀行某一筆貸款的信用風險，從表面上看，這個信用風險是純粹負面的。但是，由于風險交易市場的存在，這個信用風險有可能被作為一個金融產品被定價，并進而被該銀行賣出。而持有代表這個信用風險的金融產品的交易方有可能與其他交易對象繼續交易，以期在交易過程中獲得收益。當然，并不排除該商業銀行本身在某一時刻將這個信用風險的金融產品買回。在這個交易過程中，交易雙方并不在意信用風險本身是否是純負面的，他們的關注點是在于該信用風險本身的變化的特性。反過來說，如果把風險定義為純負面的影響，就不會有人會對風險的交易感興趣了。保險公司的業務可以作為這方面的另外一個例子。

最后，風險所依賴的未來的不確定性可以分析為許多因素。這些因素就稱為風險因素。比如，公司的股價依賴于市場上原材料的價格，農作物的收成依賴于天氣的情況等。這些風險因素的未來的情況是不定的，也就是說，在目前來看，風險因素的情況存在一個概率的分布。因此，風險本身也存在一個分布。
?

風險的分類標準不是絕對的，國際上比較通用的分類是把風險分為戰略風險、財務風險、運營風險和危害性風險。戰略風險是指不確定因素對企業實現戰略發展目標和實施發展規劃的影響，企業要符合股東的要求，結合市場情況保持企業的核心競爭優勢，選擇合適的產品組合，抓住發展機會，規避市場損失等方面的風險因素。財務風險包括利率和匯率的變動、原材料或產品價格波動、信用政策等不確定因素對企業現金流的影響，以及公司在理財方面的行為對企業財務目標的影響。運營風險包括供應鏈的管理、運營資源的合理調配、關鍵人員的流動、法律合規、監督檢查等涉及公司運營方面的不確定性因素對公司運營目標方面的影響。災害性風險包括水災、火災、事故、偷盜、人身傷亡等不確定性的因素對實現安全管理目標的影響。

風險按其來源分為外部風險和內部風險。企業的外部風險來自企業經營的外部環境，包括外部環境本身和外部環境的變化對企業目標的影響，如社會政治風險、供應鏈風險、市場風險、競爭對手風險、技術革新風險、法律法規風險、自然地理環境風險、災害風險。企業的內部風險來源于企業的決策和經營活動。企業決策的風險一方面表現在與外界環境不相適應，另一方面表現在企業本身的經營活動中，經營活動中的風險來自企業的各個流程和各個部門。

在評價風險管理的有效性時，人們會用到固有風險和剩余風險的概念。前者與后者是相對于某一風險管理的手段的應用實施而言的。也就是說，在沒有實施該風險管理手段時的風險稱為固有風險，而實施該風險管理手段后的風險稱為剩余風險。應當指出，在給定風險管理的現狀時，固有風險和剩余風險是一樣的。

風險按其是否有盈利的可能又分為純粹風險和機會風險。純粹風險指不含盈利的可能性，如災害性風險，大多數運營風險。機會風險是盈利與損失的可能性并存的風險，如許多戰略風險，市場風險。

從風險及風險管理的若干個“第一”中來了解一下它的歷史與發展：

第一個準確、科學地描述風險的科學家。瑞士數學家貝努利1705年發現了大數定律。大數定律后來成為一切保險的計價基礎。

第一家保險公司。世界上第一家保險公司于1720年在倫敦成立。當時英國人已經在定價時使用了抽樣的統計方法。標志著風險管理在實際應用中的重大進展。