风险管理读书心得

　 风险管理，简言之，就是对风险实施有效的管理，确保将风险控制在与总体目标相适应并可承受的范围内。

　人类认识风险的历史几乎与人类的文明一样久远。虽然人类真正提出“风险”并对之进行研究不过始于 18 世纪，但是当人类的第一个成员思考明天的生存问题的时候，人类对风险的认识就开始了。然而，对风险的掌握是一个极其漫长的过程。人类活动的扩展引起风险日趋复杂，其种类不断增加；同时，风险的发展又刺激了风险管理的发展。

　我们可以从风险及风险管理的若干个“第一”中了解一下它的历史与发展； 第一个准确、科学地描述风险的科学家。瑞士数学家贝努利 1705 年发现了大数定律。大数定律后来成为一切保险的计价基础。

　第一家保险公司。世界上第一家保险公司于 1720 年在伦敦成立。当时英国人已经在定价时使用了抽样的统计方法。标志着风险管理在实际应用中的重大进展。

　第一个权威性的“内部控制”定义。1949 年美国审计程序委员会下属的内部控制专门委员会经过两年研究

　发表了题为《内部控制，协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告，对内部控制做了权威性的定义。

　第一个提出“风险管理”的人。1955 年，在美国宾夕法尼亚大学的沃顿商学院，施耐德教授提出了“风险管理”的概念。

　第一个国家风险管理标准的诞生。1995 年由澳大利亚和新西兰联合制订了世界上第一个国家风险管理标准，明确定义了风险管理的标准程序。

　第一个中国的全面风险管理指导性文件发布。2006年 6 月 6 日，国务院国有资产监督管理委员会发布了《中央企业全面风险管理指引》，标志着中国走上了风险管理的中心舞台，掀开了风险管理历史上新的一页。

　近些年来，全面风险管理作为一个新的管理方法，越来越为更多企业认可和采纳。究其原因，主要来自以下四个方面的推动：

　第一，企业内外部日趋复杂的风险环境。

　自二十世纪九十年代末起，伴随着信息技术的发展和全球经济一体化，世界市场变化风起云涌，风险数量及其复杂性也与日俱增。据美国一家公司 2001 年的统计，一个典型的大型跨国公司可以有多达 11，000 种的风险，其

　中能够用现有的手段管理控制的只有 2，600 左右。也就是说所有其他 75% 的风险都由公司或者说主要股东承担。旧的风险管理范例不足以参考以化解当今有代表性的企业所面临的风险，企业迫切需要新的风险管理方法和技术。

　第二，风险管理技术的不断提高。

　风险数量及其复杂性的增加促进了金融衍生品市场的增长，期货、期权、远期互换、资产证券化等金融衍生品层出不穷。这些金融衍生品为企业提供了转移风险的工具，使得企业应对风险的策略和手段日益丰富。同时，信息技术的发展虽然加大了企业风险的发生可能性，但也使得对许多风险的有效监控成为可能。一些更精确更直观更容易操作的风险度量方法和风险管理工具不断涌现，如VAR、EVA 等。与 20 年前相比，风险管理的手段更趋多样化、系统化，风险应对策略更趋复杂化、专业化。

　第三，国际组织及各国风险管理协会的大力推动。

　自上世纪 80 年以来，美国、英国、法国、日本等国家先后建立起全国性和地区性的风险管理协会。这些组织积极推动各国的风险管理理论研究和实践，先后出台了各国的风险管理标准，如 2004 年美国 COSO 制订了企业风险管理框架标准。国际标准化组织（ISO）也正着手制定风

　险管理标准，预计 2008 年前后颁布。

　第四，各国的立法。

　各国从上世纪 80 年代以来，加快了对公司治理结构和内控系统的立法，如英国 1998 年制订了公司治理委员会综合准则，该准则被伦敦证券交易所认可，成为交易所上市规则的补充，要求所有英国上市公司强制遵守。2002年 7 月，美国国会通过萨班斯法案，要求所有美国上市公司必须建立和完善内控体系。萨班斯法案被称为是美国自1934 年以来最重要的公司立法，在其影响下，世界各国纷纷出台类似的方案，加强公司治理和内部控制规范，加大信息披露的要求，加强企业全面风险管理。到目前为止，世界上已有 30 几个国家和地区，包括所有资本市场发达国家和地区和一些发展中国家如马来西亚，都发表了对企业监管条例和公司治理准则。在各国的法律框架下，企业有效的风险管理不再是企业的自发行为，而成为企业经营的合规要求。

　对于企业而言，其全面风险管理的发展历程是：

　 第一，企业全面风险管理的发展始于 1992 年美国 COSO 委员会发布的 COSO 内部控制整合框架，COSO 委员会即美国“反对虚假财务报告委员会”所属的内部控制专门研究委员会发起机构委员会，简称 COSO 委员会。

　第二，经过不断的完善发展，2002 年 7 月美国国会通过了萨班斯法案（Sarbanes-Oxley 法案），该法案要求所有美国上市公司必须建立和完善内控体系，此时的企业风险管理还着重于企业内控方面。

　 第三，2004 年美国 COSO 委员会发布了 COSO-ERM 标准——企业风险管理整合框架，至此形成了一套企业全面风险管理标准，该标准主要包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通及监控八方面内容。

　我国市场经济发展起步晚，造成企业风险管理发展较西方发达国家相对滞后，随着我国经济的快速发展，企业全面风险管理愈来愈受到各方重视。

　1.2006年6月6日国务院国有资产监督管理委员会出台了《中央企业全面风险管理指引》（国资发改革[2006]108 号），文件对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面内容进行了详细阐述，据以指导企业开展全面风险管理工作，进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展。

　2.2008 年 6 月 28 日，为加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，财政部、证监会、

　审计署、银监会、保监会联合发布了《企业内部控制基本规范》，该基本规范自 2009 年 7 月 1 日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。规范主要包括总则、内部环境、风险评估、控制活动、信息与沟通、内部监督及附则等七章内容，突破了我国传统的将内部控制局限于会计与审计的局面，将内部控制嵌入公司治理并融入生产、人力资源等环节的管理，为我国企业首次构建了一个企业内部控制的标准框架，标志着我国企业内部控制的标准体系初步建立起来。

　 企业全面风险管理的主要内容。

　1.企业全面风险管理的基本理念。

　 企业全面风险管理的理念主要包括以下几个要点：风险是一种可能性，有风险不可怕，可怕的是没有风险管理的思维和行动；企业的风险通常以剩余风险的形式表现出来，企业要将剩余风险控制在风险容忍度以内；风险管理是为了让企业实现风险偏好与风险容忍度之间的平衡（风险偏好是指主观上愿意承担的风险数量。风险容忍度是指客观上能够承担的风险数量）；风险管理本身不是目的，风险管理总是围绕着企业的生产经营，目的是为了降低风险发生的可能性及降低风险的影响程度；企业全面风险管理的四个标准是全面化、系统化、制度化、规范化；企业全面风险管理最终要落实到制度和文化上，要成为一种习惯、一种常态。

　2.企业领导如何防范和控制企业风险。实施企业内部控制及建立企业全面风险管理体系是企业领导防范和控制企业风险应关注的两方面内容。企业内部控制主要从内部环境、风险评估、控制活动、信息与沟通及内部监管五个方面着手。

　 内部环境包括规范的公司治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等六方面的完善。这其中比较重要的是企业内部审计机构设置及反舞弊机制：

　 （1）企业内部审计委员会应承担起审查企业内部控制、监督内部控制的有效实施和内部控制自我评价情况、协调内部控制审计及其他相关事宜的责任，对此，应要求审计人员具备相应的独立性、良好的职业操守和专业胜任能力，审计机构设置、人员配备和工作具有相对的独立性，内部审计机构对监督检查中发现的内部控制缺陷，按照企业内部审计工作程序进行报告，若监督检查中发现的内部控制重大缺陷，直接向董事会及其审计委员会、监事会报告。

　 （2）反舞弊机制重点应关注企业是否存在以下几点隐患：未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；董事、监事、经理及其他高级管理人员滥用职权；相关机构或人员串通舞弊。

　对此，应实施的措施为建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，以确保举报、投诉成为企业有效掌握信息的重要途径。

　风险评估就是考虑潜在事件发生的可能性和对企业目标实现的影响程度，主要包括风险识别、风险分析及风险评价，这是企业全面风险管理的核心环节，企业风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险，企业主要存在的风险包括政策形势风险、组织结构风险、战略方向风险、资本风险、企业管理风险、人力资源风险、财务风险、运营风险、生产风险、质量风险、市场风险、文化风险、信息系统风险、合规风险、环境风险、安全与健康风险。

　内部监督包括持续监督（各有关部门和业务单位）、单独评价（风险职能部门、审计部门 ）、报告缺陷（各有关部门和业务单位 ）、压力测试、返回测试、穿行测试、风险控制、自我评估。

　3.建立企业全面风险管理体系。企业全面风险管理的流程为：收集风险管理初始信息；进行风险评估；制定风险管理策略；提出和实施风险管理解决方案；风险管理的监督与改进。

　（1）收集风险管理初始信息是全面风险管理的基础工作，主要收集战略、财务、市场、运营及法律风险初始信息，包括宏观环境数据、行业基准数据、企业历史数据等等。

　（2）风险评估可以运用定性或定量分析法，结合多种分析技术进行风险的识别、分析及评价。

　（3）风险管理策略主要分为回避、减少、转移、接受、对冲五种策略，需要注意的是风险管理策略并不是将风险降到最低，也就是说风险管理的目标并不是不惜代价消除风险，而是使剩余风险最多与企业的风险容忍度一致。

　（4）风险管理的策略都是根据企业的风险偏好或风险容忍度来制定的，可以单独使用，也可组合使用。

　（5）企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案，方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如：关键风险指标管理、损失事件管理等)。其中的损失事件管理是对可能给企业造成重大损失的风险事件的事前、事中、事后管理的方法。损失包括企业的资金、声誉、技术、品牌、人才等。

　除此之外，企业全面风险管理体系还包括剩余风险的管理、风险管理的监督与改进、建立健全企业全面风险管理的组织体系及培育企业全面风险管理文化。

　未来，全面风险管理将保持蓬勃发展的势头。除企业以外，将有越来越多的非盈利机构，包括政府、学校等开始实施全面风险管理。将有越来越多的大学开始设置企业全面风险管理的课程。虽然全面风险管理作为一种管理理论还有待进一步成熟和完善，但其理念和方法已经开始深刻地影响组织的首脑、企业的 CEO 们。全面风险管理将不仅引发风险管理理论和方法的一场革命，而且将引发企业管理理论的一场革命。