风险管理框架的理解.doc

一、农业企业的风险类别农业企业的生产运营过程集自然再生产和经济再生产于一体，这导致农业企业面临的风险具有自身的行业特征。按照风险形成的不同层次，农业企业的风险可分为三类，即自然环境风险、市场环境风险和企业内部风险。这三个层次的风险具有很强的整体性和关联性，很难将其割裂后进行孤立的理解和管理。（一）自然环境风险1.自然资源风险。自然资源风险可以理解为正常条件下的自然环境风险。农业企业生产的自然特性与其所占用资源的量、质和地理位置都密不可分，并在很大程度上直接决定了农业企业经营业绩的好坏。在数量方面，相关资源的短缺（如水资源和土地资源）会严重影响农业企业的生产营运。在质量方面，环境污染对资源质量所带来的不利影响会从根本上影响农业企业的效益。与此同时，资源的地理位置也直接决定了农业企业的营运成本高低。2.自然灾害风险。自然灾害风险可以理解为异常条件下的自然环境风险。由于农业的生产特性，自然因素对农业的影响相比其他行业更为敏感和严重。我国是世界上两条巨灾多发地带（即北半球中纬度重灾带和太平洋重灾带）都涉及的国家，气候变化大，灾害种类多且发生频繁，这都给农业生产带来了巨大的损失。近年来，我国每年农田受灾面积达7亿亩以上，受灾农作物面积占农作物播种总面积的20%35%，造成粮食损失200亿公斤（吴振宇，2005）。其中干旱、洪涝、冷灾、寒害是我国最主要的农业天气灾害（霍治国，2003）。据民政部公布的最新统计数字，截至2008年1月31日，我国2008年1月10号以来的低温雨雪冰冻灾害，共造成18个省份受灾，农作物受灾面积达727.08万公顷，因灾直接经济损失537.9亿元。自然灾害一方面会影响农业企业的产量，另一方面还会影响农业企业的产品质量，这都会增加农业企业的风险，造成农业企业效益不稳定。（二）市场环境风险1.政策体制风险。柯柄生（2001）指出，对于农业生产而言，一个主要的风险源于不稳定的政策环境。现阶段我国农业正处于转型时期，农业政策的稳定性较差。整体而言，农业政策的调整总是朝有利于农业经济发展的方向进行，但就个体而言，它不可能对每一个农业企业都有益。国家工业化政策使我国经济快速增长，然而农业经营规模却跟不上我国经济增长的平均速度。这一现象的背后是工业对农业在资金、技术等方面的回馈率较低（瞿翔、张俊飚，2006）。这一体制原因将使农业企业的可持续竞争力受到损害。2.市场竞争风险。在一定的政策体制下，市场竞争主体行为的相互影响也将给农业企业带来风险。按照五力模型（波特，1997）的理论架构，对某一企业生产经营产生影响的市场主体可分为五类，分别是购买者、供应者、业内企业、潜在的进入者和替代品生产者，随后又有学者（Andrew s.Grove，1986）在此基础上补充了第六种力量，即互补品生产者。对农业企业而言，购买者的产品需求的不确定性影响着企业的销售风险，而供应商因素则影响着农业企业的采购风险，这都需要农业企业关注供应链上下游的产品质量和供给周期问题。同时，潜在的进入者、替代品生产者、互补品生产者和业内企业则一起决定了农业企业所在行业内竞争关系的变化。（三）企业内部风险1.观念风险。一般而言，管理者忽视危机的征兆、不重视对风险的监测都是因为企业未能对不确定性做出恰当和及时的反应。目前我国大多数农业企业起步较晚，且以中小企业居多，普遍风险意识淡薄，对加强风险管理没有给予足够的重视。可以说，风险观念的落后是我国农业企业内部风险的重要组成部分。2.技术风险。农业企业往往是新技术应用的载体，但新技术优化农业自然再生产过程是有条件的。农业企业生产对象（植物和动物）的状态是不稳定的，这决定了农业企业生产技术的一系列特点，包括生产对象的不稳定性、区域环境的适应性、操作者水平的差异性。此外，有些技术的应用还需要考虑农业企业产品消费者的安全，例如基因技术的应用等。即使采用的技术在这几个方面都没有问题，也还存在着新技术的推广和应用的风险。3.管理风险。农业企业的管理风险可以分为三个层次：首先，在人员组织方面，农业企业生产人员的来源、生产和管理人员的素质以及技能都不易把握和提高，这使得农业企业难以优化和实施有效管理。其次，在生产经营方面，农业自然再生产的特点决定了农业企业生产的原辅料以有机的、生物的或化学物料为主，因此，运输、存藏和使用这些物料的工艺难度相应较大，这构成了农业企业生产营运方面的不稳定因素。最后，在财务运作方面，农业企业的资本结构、资产结构、财务信息的透明、财务人员的职业操守也都加大了农业企业的内部管理风险。二、农业企业的风险管理整合框架自1992年美国COSO（Committee of Sponsoring Organization）委员会发布内部控制整合框架（简称COSO报告）以来，该内部控制框架已经被世界上许多企业所采用，但理论界和实务界纷纷对内部控制框架提出一些改进建议，强调内部控制框架的建立应与企业的风险管理相结合。2004年9月COSO委员会以原内部控制整合框架为基础，并结合萨班斯奥克斯法案（SatbanesOxley Act）的相关要求，颁布了企业风险管理整合框架（COSOERM）。在该报告中，COSO委员会提出了企业风险管理的八个要素，分别是内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。笔者认为，农业企业可以立足于这八个要素，形成一个前后一贯、相互联系的风险管理整合框架以应对其面临的自然环境风险、市场环境风险和企业内部风险。（一）内部环境1.风险管理理念。企业的风险管理理念是一整套共同的信念和态度，它决定着企业成员在做事情时如何考虑风险，包括从战略的制定和执行到日常的活动。农业企业的风险管理不应该只重视技术层面的问题，更应该强调上下一贯的风险理念，这种理念实质上反映在管理活动中企业成员所做的每一件事情上，例如对供应商的选择和管理、对农业新技术的研发和推广、对自然灾害的预防和补救等。2.权力和职责的分配。权力与职责的分配确定了企业内成员被授权和采取行动去处理问题和解决问题的模式。针对农业企业所面临风险的特性，企业应该有专门的部门或机构以及专门的流程承担风险识别和应对的职责，例如及时对行业政策的变化做出反应、密切关注竞争对手、潜在进入者和替代品生产者的实时动态等。相关权力和职责的划分要以充分的信息沟通为基础，以有效的监督为保障。3.对胜任能力的要求。针对农业企业的人员组织问题，企业需要明确特定岗位的胜任能力和水平，并把这些要求转换成所需的知识和技能，从而使风险管理有着坚实的基础。这些必要的知识和技能取决于企业成员的基本素质、后续培训和经验积累。农业企业在明确了自身风险管理的能力要求后，应该进行相应的风险管理技能知识的培训，这需要覆盖从企业面临的外部环境到内部观念以及相关的技术 1 2 3 下一页 和管理技能等各个方面的内容。有必要的话还需要从外部聘请风险管理专业人士。（二）目标设定目标设定是事项识别、风险评估和风险应对的前提。农业企业管理层应根据企业确定的任务或预期，制定企业的战略目标和经营目标，并在此基础之上确定对目标的实现有潜在影响的事项。企业的风险管理就是提供给管理者一个适当的程序，在这样一个过程当中，既能帮助制定企业的目标，又能够将目标与企业所面临的内外部风险以及日常的营运联系在一起，同时还要保证制定的目标与企业的风险偏好和对风险的容忍程度相一致。从这个意义上说，针对农业企业特别需要关注的因素包括自身对自然资源的占有情况，对自然灾害风险的容忍程度，对农业政策性变动的承受力大小，对市场竞争环境的适应能力以及对企业内部各风险因素的控制程度。（三）事项识别不确定性的存在使得企业的管理者需要对影响设定目标实现的事项进行识别。事项识别是风险评估和风险应对的基础。整体而言，农业企业在进行事项识别时应充分考虑影响自然环境风险、市场环境风险和企业内部风险的各个事项。农业企业生产的自然特性与其所占用资源的量、质和地理位置无疑是影响其自然资源风险的事项；企业所处区域的常见和偶发自然灾害则是影响自然灾害风险的事项；国家的农业产业政策、进出口政策、汇率政策等则是影响农业企业政策体制风险的事项；企业现存竞争对手的威胁、潜在进入者的威胁、替代品和互补品生产者的威胁以及买方的侃价能力和供方的侃价能力等事项则影响着企业市场竞争风险。需要注意的是，这些影响农业企业风险状况的事项通常不是孤立的，一个事项可能引发另一个事项。在事项识别的过程中，农业企业应该明白事项彼此之间的关系，通过评估这种关系，才能确定采取恰当风险管理措施的方向。例如冰雪和洪涝等自然灾害会导致农业产量和质量下降，从而影响市场供求平衡，推动农产品价格的波动，这样一来，农业企业面临的自然灾害风险加大了其面临的市场竞争风险；与此同时，产品市场价格波动又会作用于政策制定，为平抑价格波动而进行的政策修订又可能会在一定程度上加大农业企业面临的政策体制风险。由此可见，农业企业对风险事项的识别需要具有一定的前瞻性和系统性。 （四）风险评估企业风险评估，即企业在事项识别的基础上，进一步分析风险发生的可能性和对目标实现的可能影响程度。风险发生的可能性是指某一特定事项发生的可能性，而影响则是指事项的发生将会给企业带来的影响。农业企业在进行风险评估的过程中，可以使用SWOT分析这一强大工具。农业企业可以从优势（Strength）、劣势（Weakness）、机会（Opportunities）和威胁（Threat）四个方面给自己进行定位，进行风险评估，进而从以下四大战略模块中确定一个适合自己的战略：一是优势机会（SO）战略，即发挥企业内部优势利用外部市场机会的战略，例如利用自身资源优势发展生态农业；二是弱点机会（WO）战略，即通过利用外部市场机会来弥补内部弱点，例如尽量享受农业优惠政策弥补自身技术和资金的不足；三是优势威胁（ST）战略，即利用本企业的优势回避或减轻外部威胁的影响，例如锻造产业链抵抗竞争威胁；四是弱点威胁（WT）战略，即减少企业内部弱点的同时回避外部环境的威胁，例如与优势企业进行合作经营等。企业往往通过运用WO、ST或WT战略最终达致SO战略。当企业存在重大弱点时，它将努力克服这一弱点并尽量发挥自身的优势。当企业面临巨大威胁时，它将努力化解这些威胁以便集中精力利用机会。以“山东寿光蔬菜”核心企业的发展为例进行研究发现，从20世纪80年代起步，经过20世纪90年代规模的扩张和品质结构的优化升级，到21世纪初已经初步锻造出一条以高品质蔬菜种植为核心，向下衍生出蔬菜销售和加工配送企业，向上吸纳农药、化肥、种苗、竹竿和钢筋等生产资料企业的优势供应链，同时通过合作组织与农业研发机构合作，积极开展技术和管理创新及应用，并借助逐步建立起来的“寿光蔬菜”的品牌效应，吸引大量的海内外资金与技术，弥补自身农业发展资金的不足。由此可见，这些底子薄弱的蔬菜种植企业，通过上下游供应链的锻造、优势产业的互补以及相关产业政策的扶持，已经逐步将自身的弱点变成优势，外部的威胁转化为机会，并具备了强大的资源优势，牢牢掌握了市场先机，与此同时，企业通过这种战略性的风险评估模式，也使得其抗御风险的能力得到提高。（五）风险应对风险应对建立在深入的风险评估基础之上，为风险控制活动提供依据。农业企业应根据相关目标、企业风险偏好、风险可接受程度、风险发生的原因和风险重要性水平，结合实际情况确定适当的风险应对策略。风险应对策略可以分为规避风险、减少风险、共担风险和接受风险四类。针对没有超越自身风险容忍度的事项，农业企业可以采取风险接受策略，例如对一定的自然灾害风险的承受；而在迫不得已时，农业企业则采取规避风险策略，这主要是指撤出高风险领域。总体而言，农业企业最主要的风险应对策略主要是减少风险和共担风险。减少风险和共担风险策略可以从战术和战略两个层面进行。在战术层面，农业企业可以采用订单农业、期货工具（包括天气期货）、保险（含产量保险和收入保险等）和控制财务杠杆等措施。在战略层面上，农业企业可以采用多元化和产业链风险管理措施。多元化风险管理措施是指充分利用生产和加工相关程度较低的农业和农副产品以分散风险。通过进行投资组合，达到在相同期望收益情形下组合风险最小或相同组合风险情形下期望收益最大的目的。产业链风险管理措施是指通过将整个农业生产过程分为产前、产中和产后三个环节，将不同类型风险在整个链条中进行分解，通过明确不同环节的主要风险类型及其作用机制，寻求不同的风险管理方式，然后进行有效的风险组合管理，实现降低农业企业风险的目的。对农业企业而言，以上战术和战略两个层面的措施应该结合使用。（六）控制活动控制活动是保证风险应对方案得到正确执行的相关政策和程序，通常包括两个要素：确定应该制定什么政策和实现该政策的一系列程序。农业企业为确保风险应对策略的有效执行和落实，首先应该强化企业每一位成员的风险管理意识，使相关的风险管理控制活动成为其自发的选择，这需要对员工进行必要的技能培训，同时对各个岗位的权责进行划分。控制活动包含的措施和程序主要有：批准、授权、验证、协调、复核、定期盘点、记录核对、财产保护、职责分离、绩效考核等内容。在整合的风险管理框架中，这些控制活动应存在于农业企业的各个部分、各个层面和各个部门。因此，农业企业应明确界定各部门和岗位的目标、职责和权限，建立相应的授权、检查和逐级问责制度，确保其在授权范围内履行职能；同时设立完善的控制架构，制定各层级之间的控制程序，保证相关规章制度能够被有效执行。（七）信息和沟通对确保农业企业风险管理的效率和效果而言，信息和沟通具有不可替代的作用。农业企业应以一定的形式和时间间隔确认、捕捉和传递企业内外部的相关信息，在企业内进行全方位的沟通，以保证企 上一页  1 2 3 下一页 业员工能够有效执行各自职责，为企业风险管理策略的实施提供保障。企业获取的原始资料数据和信息（如气候状况、农产品价格等）必须及时可靠，以确保有效地做出决策。企业的信息系统应该能够根据内外部环境变化做必要的调整，确保信息高效传递，支持决策制定，以适应不断变化的环境。（八）监控从管理的角度来讲，企业风险管理系统本身的运行也需要进行监控。对企业风险管理的监控是指评估风险管理要素的内容和执行质量。农业企业可以通过两种方式对风险管理进行监控，即持续监控和个别评估。持续监控活动包含在企业正常的、反复的经营活动中，在正常的业务经营过程中被实时地执行，并且动态地对变化的情况做出反应。而个别评估则直接关注企业风险管理的有效性，对重大问题给予关注。就农业企业而言，对自身所面临的自然环境、市场环境和企业内部各种风险都需要保持应有的谨慎，进行持续监控；而个别评估则在重大事件出现时启动，如极有可能发生自然灾害时或有关政策发生变迁的情况下。三、小结农业企业面临的自然环境风险、市场风险和企业内部风险相互之间密切关联，这使得孤立的风险管理方式作用有限。本文通过借鉴最新的COSO报告的八大风险管理要素，为农业企业的风险管理给出了一个前后一贯、相互联系的整合治理架构。它通过强调内部环境中的风险意识，在企业目标设定的基础上识别风险事项，通过SWOT分析评估自身风险并采取应对措施，而后将其融入日常控制活动，最后在充分的信息与沟通的基础上对整个风险控制系统实时监控。这样的风险管理整合治理架构能够为我国农业企业的风险管理水平提升提供有力的支持。成为企业董事会和管理者的一个有用工具，用来衡量企业的管理团队处理风险的能力，并希望该框架能够成为衡量企业风险管理是否有效的一个标准。对风险的持续确认，与确定抓住什么机遇一样，对保护和提高企业利益相关者的价值是至关重要的。不确定性既代表风险，也代表机遇，既存在使企业增值的可能，也存在使企业减值的风险。在实现企业目标的过程中，企业风险管理框架是一个帮助企业管理者有效处理不确定性和减少风险进而提高企业创造价值的能力的框架。1企业风险管理的定义企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。这是一个广义的风险管理定义，适用于各种类型的组织、行业和部门。该定义直接关注企业目标的实现，并且为衡量企业风险管理的有效性提供了基础。该定义强调：(1)企业的风险管理是一个过程，其本身并不是一个结果，而是实现结果的一种方式。企业的风险管理是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。(2)企业风险管理是一个由人参与的过程，涉及一个企业各个层次员工。(3)该过程可用于企业的战略制定。企业的战略目标是企业最高层次的目标，它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标而制定战略，并将战略分解成相应的子目标，再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时，管理者应考虑与不同的战略相关联的风险。(4)该风险管理过程应应用于企业内部每个层次和部门，企业管理者对企业所面临的风险应有一个总体层面上的风险组合观。一个企业必须从全局、从总体层面上考虑企业的各项活动。企业的风险管理应考虑组织内所有层面的活动，从企业总体的活动(如战略计划和资源分配)到业务部门的活动 (如市场部、人力资源部)，再到业务流程(如生产过程和新客户信用复核)。(5)该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好的范围内管理风险。(6)设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。(7)企业风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在于企业目标的实现。总之，企业风险管理是一个过程，企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断。企业的风险管理要有效，则其设计必须包括所有的要素并得到执行。企业风险管理可以从一个企业的总体来认识，也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部门的角度来看待风险管理，所有的要素也都应作为基准包含在内。2企业风险管理的构成要素企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素，各要素贯穿在企业的管理过程之中。(1)内部环境企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应，还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。董事会是内部环境的重要组成部分，对其他内部环境要素有重要的影响。企业的管理者也是内部环境的一部分，其职责是建立企业风险管理理念，确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的初步行动结合起来。(2)目标制定根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中，其他相关目标是指除战略目标之外的其他三个目标，其制定应与企业的战略相联系。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。而企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且保证制定的目标与企业的风险偏好相一致。(3)事项识别不确定性的存在，使得企业的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的彭响、负面的影响或者两者同时存在。有负面影响约事项是企业的风险，要求企业的管理者对其进行评估和反应。因此，风险是指某一对企业目标的实观可能造成负面影响的事项发生的可能性。对企业有正面影响的事项，或者是企业的机遇，或者是可以低消风险对企业的负面影响的事项。机遇可以在企业战略或目标制定的过程中加以考虑，以确定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。(4)风险评估风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对于风险的评估应从企业战略和目标的角度进行。首先，应对企业的固有风险进行评估。确定对固有风险的风险反应模式扰能够确定对固有风险的管理措施。其次，管理者应在对固有风险采取有关管理措施的基础上，对企业的残存风险进行评估。(5)风险反应风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险，降低风险发生的可能性或降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要的风险，企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险，即从企业总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。(6)控制活动控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门，通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。第1页  第2页  第3页  第4页  第5页 (7)信息和沟通来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通，包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。(8)监控对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。监控还包括对企业风险管理的记录。对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。适当的记录通常会使风险管理的监控更为有效果和有效率。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时，他们应考虑为企业风险管理设计一套记录模式并保持有关的记录。3风险管理要素和企业目标、企业内各层面及部门的关系企业的风险管理框架包括四类目标和八要素。四类目标分别是战略目标、经营目标、报告目标和合法性目标，八要素是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控，是企业实现各类目标的保证，它们相互之间存在直接的关系。而且，新的风险管理框架还强调在整个企业范围内实行风险管理。4各管理层在企业风险管理中的地位和职责(1)董事会。董事会对企业的风险管理负有监督职责，主要通过以下方式实现其职责：了解管理者在企业内部建立有效的风险管理的程度；获知并认可企业的风险偏好；复核企业的风险组合观并与企业的风险偏好相比较；评估企业最重要的风险并评估管理者的风险反应是否适当。(2)管理者。企业的首席执行官对企业的风险管理最终负责，企业的高层确定风险管理的基调，从而影响企业内部环境中的员工操守和价值观及其他因素。(3)风险管理员。风险管理员是指某一组织内的首席风险管理员或首席风险管理经理，他与企业内其他管理者一起，在各自的职责范围内建立并维护有效的风险管理框架。首席风险管理员也可以担当监督风险管理进度和帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责，并可以成为企业风险管理委员会的一员。(4)内部审计人员。内部审计人员在企业风险管理的监控中占有重要的地位，这一职责作为其日常职责的一部分。他们可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会履行其职责。(5)其他员工。从某种程度上讲，企业风险管理是企业内每一个员工的责任，因此，风险管理应是企业内每一个员工的工作手册的一部分内容。本质上，企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。同样，企业所有的员工都有责任向上报告风险。企业的许多外部相关方也有助于企业目标的实现。如外部审计人员，他们从一个独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核，直接有助于企业目标的实现。同时，外部审计人员还可以向管理者和董事会提供履行其职责有用的额外信息，间接地为企业目标的实现做出贡献。其他向企业提供风险管理的有用信息的相关方还包括行政管理部门、客户、其他与企业进行交易的各方、财务分析师、债券承销商和新闻媒介等等。但是，外部的各相关方并不对企业的风险管理负责。第1页  第2页  第3页  第4页  第5页 嘉宾简介：Miles Everson，普华永道国际会计公司合伙人。Miles领导美国普华的公司治理、风险管理和404条款遵循工作。Miles在风险管理领域有长达十五年的经验，为各类企业提供风险管理解决方案，他是COSO企业风险管理整体框架研究项目的负责人，做出了重要的贡献。Miles还著有变革加速器-通过企业风险管理把握未来一书。同时，他还是许多国际机构和论坛的演讲人。 主旨演讲： 注：本文为现场速记稿，未经嘉宾本人确认。如需引用，请联系嘉宾本人。 首先感谢大家邀请我参加本次论坛，我要感谢上海国家会计学院和英国皇家注册管理协会，我也向你们表示祝贺，你们本次的论坛是管理风险，这是今天企业越来越关注的一个话题。我相信今天在座嘉宾的演讲一定会对大家有帮助。我还要感谢所有的参与企业，包括普华永道，还有其他的一些公司，向他们表示感谢，在接下来的一个小时时间里面，我要给大家来介绍一下企业风险管理。我主要讲的是三方面的内容。也就是在企业风险管理具体实践当中我们应该关注哪些要素。第二点来描述一下COSO的企业风险管理框架。我今天会讲这个COSO，COSO你们都熟悉这个说法吗？第三点我会给大家介绍一下企业管理的原则、框架如何进行具体的实施。但是在我具体讲这三点内容之前，我来讲讲企业风险管理的重要性。经常有企业的主管或者投资者问我一个问题，为什么企业风险管理在今天这个环境里面比五年之前更加重要呢？我把这个原因总结为三点，为什么企业风险管理在今天的环境里面比五年或者十年之前更加重要，而且重要性会越来越强。第一个原因我们面对的这个变化环境将会更加的剧烈。不管你的企业在哪个国家或者是从事什么样的行业，我们面临整个环境的变化只会越来越快。第二个原因就是为了要应对飞速的变化，对企业而言必须要改变或者调整自己企业的业务模式，要变的更加灵活。这样一来就面临很多不确定性。也就是说创造这些灵活的时候对业务就增加了复杂性。第三个原因就是对企业透明度的要求也越来越高，特别是对那些券市上、在股票市场上运作的企业，投资者对他们的透明度提高了更多更高的要求。一旦企业的运作出了什么事情的话，有可能企业还没有意识到，而资本市场上已经是意识到了。所以外部的投资者也要求企业能够更加的透明，能够对风险做出更快的鉴别和反应。下面我就讲讲企业风险管理有哪些驱动和益处。我们在四年之前就开始进行了一项研究，而且不断的在进行更新。我们花了很多的时间和一些企业的CEO，他们主要是大型的跨国企业，他们都是很有实力的企业，我们就问他们全面实施企业风险管理有哪些要素，我们问了他们一系列的问题。比如说他们之间有多少的CEO对他们企业全面实施风险管理感到有信心。这是很重要的一点，因为只有CEO对他们企业的风险管理有信心，才能代表他们已经建立起一个完善的体系。比如说风险管理的要素，包括在企业层面他们是不是额能够获得风险管理的信息，可以看到只有不到30恩%的CEO觉得可以获得足够风险管理的信息。下面一个问题是他们是不是有一个通用的风险标准制定，也是不到1/3，问他们是不是有与流程相整合的战略管理，也是不到30%。那么风险管理数据是不是有被量化，只有不到25%的CEO说有。是不是他们有完全的整合职能与业务部门，只有不到25%。是不是整个集团的每个人都理解岗位职责，可以说只有不到15%的CEO说有。也就是说只有不到15%的CEO说他们整个企业的每个人都理解其岗位职责。是不是有一个仔细跟踪监管遵循的成本，或者说有整个监控的成本，可以说这个是不到35%。可以看最后一个问题，为什么只有30%左右的CEO呢？因为这些CEO对他们在全球是不是都能够完整的实施风险管理感到没有信心。有些CEO认为他们已经实施了风险管理，为了实现风险管理对他们最大的挑战是什么呢？我们可以看到一系列的因素，人员、信息、信息的纪实性、竞争、组织的架构、技术支持、以及一些其他的因素。有两个最重要的因素带来了最大的挑战，对于实施企业风险管理的公司来说。第一个是人员，如果看看之前的幻灯片，不到15%的人了解自己的职责所在，所以我们就要讨论一下为什么人是最大的问题之一。他们不知道自己的职责在哪里。他们不理解所面临的风险是什么。第二个在实施方面最重要的就是信息，有时候不能获得足够的信息，一个是及时性，一个是充分性。所以当你看到企业风险管理的时候，这两个领域往往是带来实施方面最大的挑战：人、信息。一会我会更加详细的介绍这两个挑战。有些CEO说他们是个人非常致力于推动ERM的。我们跟这些CEO交流，并且于那些并不致力于CRM的CEO做一个比较。怎么样推动风险管理的实施呢？对于那些致力于ERM的CEO来说，超过55%的人都说已经有了一套通用的标准和定义，有53%的CEO说他们有了更高层面的信息。但是下面一栏可以看到，致力于ERM的CEO，他们是进行了与战略计划的整合。很多人都把ERM纳入了他们的战略计划中，占到42%，而对其他的CEO来说只有17%做到这一点。同样我也还是了在实际的经验中来帮助一些公司进行ERM。可以看到最关键的一个因素就是让企业风险管理的原则和你的战略计划相结合，来选择并且实施你的战略计划流程。因为你继续看一看这个幻灯片，往下走，可以看到致力于ERM的CEO，他们更多去实施的一些主要的驱动器。我希望大家可以看到倒数第三个，也就是量化到最大的程度，所有的风险都被量化，29%致力于ERM的CEO都这么做。我们觉得这种调研经常给我们提供很好的信息，让我们可以更好的来了解其他人的经验，就是实施一个ERM带来的好处和结果是时间。在我们反思这些结果的时候，我们还可以有很多的经验帮助企业实施ERM，并且帮助已经实施的人来加强，这个工作是从几年前开始的。下面我将谈谈今天第二个话题。也就是COSO企业风险管理框架的概览。我会给大家简要的介绍一下我们的框架。第一个重点就是一个原则基础的框架。我们花了四年的时间做研究，试图理解有效的公司是如何由于他们很好的管理风险得到收益的，我们就设定了一些原则，这就是必须要运用的原则，不管你是哪种公司，不管你在管理哪种风险，也不管你的目标是什么，这些原则都是通用的。除了原则之外还有一些导则指南，这是很关键的。框架是一个概念性的框架，那么指南可以帮助公司来实施这些原则。原则是一个方向，每个公司都可以度身定做，根据自己的需要来调整。框架是比较灵活的，要写框架的话，必须从别人身上听到很多的建议，理解你如何来运用这些原则。但是这些框架我们设计的时候就有一个目标，希望它把能够运用于任何公司，无论在哪个行业都可以采用这个框架。所以我们可能做了很多很多的诊断。但是如果你做的太过于详细，这个框架可能就不能运用于所有的企业了，这是很重要的。在过去四年中我们推出这个框架以来一直看到这种情况。因为它的运用非常广泛，是基于一种运用的，所以我们可以成为一种标准可以被世界上各种各样的公司所采用。我们这个框架第四个特征就是兼顾的现有的风险管理程序。我想今天任何的公司都已经在承担风险，他们已经有了一些流程来帮助他们自己了解风险。问题是现在的流程有效性如何？他们是不是平衡风险的时候很准备。众所周知COSO委员会在1992年推出了内部控制的框架，这个内控框架被世界的监管机构所采纳，而且有一些监管者以及交易所把它作为一个基础，让所有的公司都来以次为基础。最后实施一个ERM并没有一刀切的方案，根据我谈到了这个事实，公司大不同、行业不同、公司运作的复杂性不同、以及生命周期也不同，还有其他的一些运作，除了我刚才讲的五个因素之外还有其他的因素，各个公司也是不尽相同的。下面我们花一点点时间看看我们企业风险管理的基础在哪里。首先这个框架有两个值，第一是框架本身，第二是运用实施的技术。首先看看框架的本身，我已经说过这是一个原则基础的框架。它提供了一个风险的定义，以及风险管理的定义。有概念、分类、原则，并提供了一个通用的术语和定义。也皆是不同行业的人都可以用同一种语言来谈论风险。一共有80个组成部分来进行风险管理程序，也强化了对现有风险管理的指导。最后这个框架还提供了一些标准让你来确定风险管理的有效性。在实施技术方面，我们还有一部分内容，但是是一种案例，告诉你如何来应用。当然它不可能涉及所有的实施技术的运用，但是可以给大家举例看看是如何实施运用的。企业风险管理方面我给大家举个例子，我们分成几个方面，首先企业的风险管理是一个流程，这个流程受到人的影响，是在战略环境当中加以应用的。如果大家看到我刚才谈过的调查，我们在和其他的企业研究中发现，如果你已经把你的ERM放在更好的战略中，你就可以更好的获得成功，更好的理解风险，并且更好的对风险进行管理。最后企业风险管理是贯穿于整个企业的，并不是仅仅应对某一个风险，也不仅仅是应用于某一个部门，而是贯穿于整个企业的。对企业有潜在影响的事项进行识别，并且根据风险偏好进行风险管理，这是两个非常根本的原则，我一会会详细的介绍。这也是关于识别你的事项，并且了解你的风险偏好。它可以想管理层和董事会进行保证。最后一点它与企业目标的达成相切合。我们来看一看这个框架的架构。我刚才说它是和企业目标的达成相一致、相契合的。所以在我们的框架中确定了四个战略目标。运用的有效性、效果、报告的目标、以及是否遵循了所有的法律法规。我们知道并不是所有的企业都根据这四个方面来设定目标，但是我想向你证明，任何公司的目标都可以分成这四个部分。第二，这是可以应用于组织的各个层面。（请看看方块的右手边），它可以应用于所有的业务部门、子公司，重要的一点根据公司的管理模式、根据目标来应用风险管理的框架，这也是COSO框架的基础之一。其中有八个相互联系的组成部分，包括内部环境、目标的设置、事项的变时、风险评估、风险的应对、控制活动、信息和沟通以及最后的监督。在每一个组成部分之中都体现了我刚才介绍的原则，如果大家看过框架的话都知道，这些原则在附录B中可以了解到原则具体是什么。然后