【内容提要】全面风险管理(erm)是在以价值为导向的企业目标确立过程中取代传统风险管理,承担增加公司价值使命的新型风险管理体系和手段。erm框架体系不仅包括我们常说的风险管理策略和过程,还应该包括所有支持和保障erm效率效果的六方面辅助政策和设施,统称为erm的配套设施,策略、过程和配套设施三个部分缺一不可,共同构成全面风险管理的整体框架。
【关 键 词】全面风险管理(erm);避险策略;风险评估;公司治理;内部控制
一、全面风险管理(erm)的内涵
国外文献中关于全面风险管理(enterprise risk management(erm))的词汇还有integrated risk management(irm)、 holistic risk management、enterprise-wide risk management等。 其中“integrated”的直观解释是“综合的、完整的”,含有“整合”的意思;“holistic”为“整体的、全盘的”之意,其含义强调“整体性”。而“enterprise”的直译解释为“企业、进取心”,它在本文中有两层含义,第一层含义是指审计或过程的控制,强调在整个企业范围内连续有效的控制过程,从管理方法上强调一种连续和综合的方法(consistent and comprehensive),企业的所有风险都应该包含在管理或控制范围内;第二层含义是投资与金融中资产组合“portfolio”的同义词,该含义认为,企业尤其是金融企业是风险的集合体,组合风险不仅依赖于单个风险的性质,还依赖于风险之间的相互作用和整合。wWw.11665.CoM[1]
关于erm的定义经历了从百家争鸣到整合统一的历程。主要的定义有:kentd.miller (1992)提出的整合风险管理(integrated risk management)定义[2]认为整合风险管理是一种从整体上考虑系统面临的各种风险,建立全瞻性的优化组合机制的管理体系。jerry miccolis & samir shah (2001)[3]指出,就一般企业而言,全面风险管理是从企业所有资源出发,对企业的商业目标形成威胁或为企业带来竞争优势的整体风险进行评估和管理的经济活动。就保险企业而言,全面风险管理是整个保险业风险与价值的动态整合优化,它包括为实现提高企业价值的目标而对公司财务风险和操作风险(operational risk)进行评估、减低、融资或利用等技术手段的选择,以及对其所采取的财务战略和经营战略的强化、执行和控制。lisa meulbroek (2002)指出,所谓公司整合性风险管理,就是对影响公司价值的众多因素进行辨别和评估,并在全公司范围内实行相应战略以管理和控制这些风险。整合性风险管理的目的就是将企业的各项风险管理活动纳入统一的系统,实现系统的整体优化,创造整体的管理效益,提升或创造企业更大的价值。[4]他在同一年的另一篇文章中强调,整合风险管理在本质上是战略的,而不是战术的。战术性的风险管理,其视角窄小有限。[5]william h. panning (2003) [6]指出,erm是新的思维方式、测度方式和管理方式的三维统一体,通过这些方式促进管理者实现公司价值最大化。从思维方式上看,erm是一种理念和文化;从测度方式上看,它具有一定的技术管理性;从管理方式上看,它是一种行为。2001年北美非寿险精算师协会(casualty acturial society,cas)在一份报告中,明确提出了全面风险管理( enterprise-wide risk management或enterprise risk management,即 erm)的概念,并对这种基于系统观点的风险管理思想进行了较为深入的研究。cas(2003)对erm的定义为[7]:erm是一个对各种来源的风险进行评价、控制、研发、融资、监测的系统过程,任何行业和企业都可以通过这一过程提升股东短期或长期的价值。随后,在内部控制领域具有权威影响的coso委员会,于2004年9月颁布了《全面风险管理—整合框架(enterprise risk management——integrated framework)》报告。报告从内部控制的角度出发,研究了全面风险管理的过程以及实施的要点[8],是全面风险管理理念在运用上的重大突破。coso对erm的定义是:全面风险管理是一个过程,它由一个企业的董事会、管理当局和其他人员实施,应用于企业战略制订并贯穿于企业各种经营活动之中,目的是识别可能会影响企业价值的潜在事项,管理风险于企业的风险容量之内, 并为企业目标的实现提供保证。
归纳起来一个正确的erm概念应该包括下面几个关键要素,它们是:①过程:erm是一个过程,这个过程贯穿于企业的各种管理和经营活动之中;②对象:erm的对象是企业内、外部各种来源的风险整体;③主体:erm的执行主体涉及到企业各个层级的全体员工和所有部门;④目标:erm的目标是把风险控制在风险容量以内,同时为企业寻找最佳的风险/收益平衡点,最终的目的是提升股东短期或长期的价值。
三、全面风险管理(erm)体系的构建原则
企业全面风险管理是一个涉及多个学科、涵盖方方面面的系统工程,由此构建的erm框架应该是一个多维的、立体的、连续的管理方案和过程。要构建这样一个管理框架,必须要遵循以下原则: (1) 多维度目标评价体系原则。erm是以增加股东价值为导向的,而股东价值的多维性决定了erm必然是一个多目标决策活动,因此要有全面的目标评价体系,以满足具体情况下不同层次不同价值取向的需要。要实现多目标的风险管理,需要对企业的目标进行完整的表述,形成全面的目标评价体系,并且使用适当的综合目标分析方法来帮助制定决策。(2)多种管理机制配套原则。erm要求有一个综合的独立于其他业务部门之外的风险管理机构,这个机构负责制定针对公司所有风险活动的方针政策,并直接向首席执行官(ceo)报告;erm还要求有一个综合的风险转移策略,该策略在公司整体范围内整合所有类型风险,在充分考虑了各种风险的“天然对冲效应”后,将管理层认为无用的剩余风险通过衍生品或保险转移出去;最后,erm是管理的攻击性武器,它需要把风险管理整合到公司的业务流程中,通过支持和影响定价、资源配置以及其他业务决策来优化企业绩效。因此,erm是一个涉及公司治理、内部控制、部门管理、组合管理、权益方管理以及数据和技术资源管理在内的综合框架,其中任何一方面的失误都会影响到整个erm的效率,某些关键失误甚至会导致整个erm系统失效。(3)经验借鉴和因地制宜相结合。erm框架构建的目的是为了更准确的反映企业的风险暴露情况,更高效的管理公司的风险敞口,保证公司的稳健经营和价值增长。要实现这个目标,一方面在框架主体上要充分吸收和借鉴国外erm框架的成功经验(如表1所示的行业经验和综合标准),这些经验从较高视角诠释的erm框架主体结构适用于不同国家不同行业的现代企业;另一方面,在涉及到具体风险评估和制度配套上还要立足于我国的实际情况,充分考虑国内消费者独有的文化、习惯、消费心理特征,充分考虑行业和企业的风险管理现状以及所面临的独特的经济、金融和监管环境,立足于中国实际和发展趋势设计出来的erm框架,才更具有现实意义。
表1 目前国际上流行的主要风险管理标准
标准
行业或国家
成果
行业标准
银行
巴塞尔银行监管委员会、国际清算银行1998年的《银行内部控制框架》和2003年的《操作风险管理和监管的良好做法》
巴塞尔银行监管委员会2004年出台的《新资本协议》
保险
澳大利亚金融监管局(apra)的审慎监管标准(2001)
美国保险监督官协会(naic)的rbc体系(1990-2000)
a. m. best公司的erm整体模型
风险管理咨询服务公司tillinghast-towers perrin 的erm设计指南
moody' s公司的新c-3arbc体系(2000)
it管理控制
美国信息系统审计与控制协会(isaca)制定cobit框架2000年第二版
上市公司标准
澳大利亚/新西兰
1995年制定风险管理过程的国家标准,1999年更新
加拿人
1994制定dey报告要求上市公司报告内部控制的充分性
英国
伦敦证券交易所在2003年更新了1998年的cadbury报告,形成“公司治理联合准则(the combined code)”
美国
美国证券交易委员会:2002年《萨班斯——奥克斯利法案》
德国
1998年颁布强制性条例——the kon trag
荷兰
1997年颁布了peters报告,给出了公司治理的40条最佳常规
综合标准
所有企业
1992年9月coso委员会发布《内部控制——整合框架》报告
1999年英国turnbull的《内部控制指南》
2004年9月coso委员会发布《整体风险管理框架》报告
四、全面风险管理(erm)体系的框架结构及说明
erm所要做的是了解企业经营活动中所产生的全部风险的同时用最小的成本去管理和利用这些风险,减少损失同时获取风险溢价。基于这个考虑,erm框架应该是从全局高度制定的战略目标和风险偏好指导、各种策略和配套设施支持下的连续风险管理过程(如图2所示)。其中,erm策略是从财务上对风险的可能结果进行的事前处理,是实现风险管理目标的手段。erm过程是为了确定最优的风险管理成本和最有效的资本配置方案,这个过程要便于公司组织内部对风险管理的理解和实施,并能主动支持公司的风险管理策略,是进行风险管理决策的基础。erm过程要在目标的指导下进行,erm目标是风险管理的方向,是前面所有努力所要达到的最终结果,它应该有多个层次多个维度,考虑到企业不同的价值取向和各个发展时期。erm的配套设施是实现erm过程的软硬件准备,是风险管理效率效果的必要保证。
1、erm策略。erm策略针对的不是单个风险,而是整个公司的风险剩余,从这个意义上说它包括资产规避、负债规避、股权规避和杠杆管理四个基本策略。不论风险的来源如何,也不管风险从什么方面增加了公司的成本,只要风险对公司价值产生了影响就可以使用这四种策略来管理风险(具体见作者2008年的另一篇文章[9])。总之,全面风险管理策略不仅包括传统意义上的风险控制和套期保值策略,还包括新型风险管理工具的运用,并且要和公司的投融资策略以及资本结构政策结合起来,共同为股东和公司关联方利益服务。
2、erm目标和风险偏好。erm框架要求管理当局采取适当的程序去设定目标,确保所选定的目标切合、支持该主体的使命,并且与它的风险容量相一致。目标制定是一切风险评估和管理过程的前提,因此企业必须首先制定目标,在此之后,管理层才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险进行管理。制定战略及其它目标时,必须要考虑企业的风险偏好或风险容忍度,风险容忍度是指在实现企业特定目标过程中对差异的可接受程度。风险容忍度应该是明确的、切实可行的、可以衡量的;风险容忍度应该在整个企业的层面进行适当分配,以便于管理和监控;风险容忍度应该要企业内部外部的人都明确知道。erm目标应该包括长远的战略目标和中短期的经营性目标,coso发布的《全面风险管理——整合框架 (enterprise risk management——integrated framework)》(2004年9月)将erm的目标分为:①战略(strategic)目标,是较高层次的目标,与企业的使命相关联并支撑其使命;②经营(operations)目标,保证企业有效和高效率地利用其资源;③报告(reporting)目标,保证各种报告的可靠性;④合规(compliance)目标,保证企业各项经营活动符合适用的法律和法规的规定。战略目标的确立把erm提高到了指导企业经营活动的高度,在市场日趋成熟的情况下,企业要想长期稳定的保持其竞争优势,必须把战略目标作为首要考虑的目标,其它三个目标要围绕战略目标来确立。同样,在进行风险决策时也要首先满足战略目标。
3、 erm过程。一个典型的erm过程应该包括如图3所示的基本风险管理步骤。首先要在明确企业使命的前提下制定企业的战略目标,战略目标是在历史分析的基础上做出的远景预测,是对企业未来的一个把握,这个目标一旦确立,就像一个航标指引着企业所有的运营活动,包括全面风险管理活动。erm过程的第一个重要步骤是风险评估。风险管理的有效性依赖于对风险因素识别的全面性和测量的准确性,因此需要有科学的风险评估模型和方法来达到以下目的:使高层管理者可以清楚的观察到经过内部对冲之后的“剩余风险”和风险间的“组合效应”;确定用于防范实质性风险和抓住新投资机会的资源的配置方案;提供对风险进行客观、持续检测的模型。基于以上目的,风险评估应该包括以下几个步骤:①识别风险因素。②风险因素排序。③风险因素分类。风险处理包括两方面的内容:风险控制和风险利用。风险控制是管理不利风险的风险评估步骤,其目的是确保企业承担的风险总量与企业总风险容量相一致。通过风险处理,企业的风险/收益结构得到优化,公司的风险特征有了实际改变,股东价值得到增加,这些都是风险控制和风险利用的结果,而风险评估是实施风险控制和利用的必要铺垫。erm过程的最后一个关键步骤是风险管理效果监控。因为在动态的风险环境中,各种风险以及风险对企业影响的方式是不断变化的,随着企业风险管理技能的提高原本不擅长管理的威胁也许会变成企业新的机会,同样,原本的机会由于新的竞争对手的加入可能不能继续带给企业合意的风险溢价而被企业放弃,因此需要不断输入新的风险因素变量、不断对erm过程进行检验。风险管理效果监控的另一个原因是我们对风险和风险管理认识的局限性造成了erm过程中所使用的模型自身的不完美性,原有的风险量化模型和风险控制方法经过实践的检验也许需要改进或替换。总之,erm过程应该是一个动态的循环过程,这个过程在实际运行中不断得到充实和完善。
4、erm配套设施。erm的配套设施主要有六个,之所以把这六个部分作为erm的配套设施是因为这些部分各自是一个研究领域,它们和风险管理密切相关却又不完全相同,它们不完全属于风险管理却对风险管理有至关重要的影响,一个成功的风险管理系统需要这些部分成功运作的支持。因此把这些和风险管理密切相关的研究领域统称为erm的配套设施,任何一种设施的缺位或失误都可能影响erm的效率效果,甚至某些关键失误会导致整个erm系统失效。下面分别介绍这些领域以及它们和风险管理的关系。
(1)公司治理。公司治理是关于金融机构利益相关者,尤其是股东、经理人和债权人之间权责利关系的安排,其基本结构决定了金融机构对风险的承担和管理以及相应风险/收益的分配,从而对内部控制甚至整个金融机构的风险管理活动起到基础性的决定作用。公司治理与企业风险管理密切相关:首先,公司治理包含了强化风险管理的内容,许多企业的公司治理准则都明确提出风险管理是董事会的一项主要职责,戴易报告和经济合作与发展组织(organization for economic cooperation and development,oecd)的公司治理准则公开提出,董事会有责任确保适当的风险管理系统和政策到位。其次,二者的最终目标一致,同样关注战略方向、公司整合以及来自公司最高层的动机。第三,良好的董事会常规和公司治理是有效实施企业风险管理的必要条件。董事会的积极参与能促进erm的研发与成功,而公司治理的缺陷将导致内部控制和风险管理从根本上失效。一个有效的风险管理和内部控制体系应该建立在良好的公司治理的基础上,由高层领导制定基调并且身体力行开展风险管理工作,以保证风险管理的独立性,并且他们本身的活动应该成为监督和管理的首要对象。
(2)内部控制。内部控制活动主要表现为与业务管理密切相关的各项规章制度的制定和执行的监督活动,因此,内控活动和业务管理活动实际上是融为一体的,业务部门承担主要的内控责任,而审计部门则负责内部控制有效性的评估和监督。企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险等)构建内部控制(包括预防性控制及觉察性控制) ,以确保企业能实现目标和符合各方面的法律、法规。企业还要对其内控系统不间断地进行监控和测试,以确保其对风险控制的能力,把各类风险控制在可接受的水平,并在这基准上赚取合理的回报。内部控制是erm的一个重要组成部分,它曾经在早期风险管理中代替风险管理的职能行事,内部控制和公司治理共同保障风险管理的有效实施,两者中的任何一个出现问题,所有风险管理技术和方法的有效性就失去了前提和保障。
(3)组织和部门管理。理想的风险管理组织结构是由一个独立的风险管理部门来负责实施日常的风险管理,这个部门的领导(风险总监)向上可以直接向ceo或董事会报告,以保证风险管理部门的权力和其工作的客观性,向下可以和各个部门通力合作汇总公司的整体风险敞口(如图4)。在设置erm组织结构时,要注意处理好风险管理部门和业务部门的关系,理想的 erm框架下风险管理部门和业务部门之间应该形成一种伙伴关系。在这种关系下,风险管理部门不是严格意义上的监督部门,而是完全融入到了企业的各项业务中,在业务进行的最前端(产品开发和定价阶段或做投资决策时)就和业务部门一起处理风险/收益问题,并拥有共同的目标。这只是一种理想的状况,现实生活中,即使尽最大努力选择和优化风险管理部门与业务部门之间的关系模式,分别追求业务增长和风险控制的两个部门间的冲突仍是不可避免的。所以还应该有一些解决双方矛盾的办法来帮助两个部门伙伴关系的形成,保证风险管理部门和业务部门的一致行动,减少部门间的摩擦成本。
(4)关联方利益管理。关联方包括任何支持和参与公司的生存和成功的团体和个人,主要包括:雇员、客户、供应商、商业伙伴、投资者、监管者、股票分析专家、信用分析专家以及评级机构等,这些关联方中的每一个都是公司成功的要素,关联方流失会给企业带来巨大的成本。一般说来,公司希望各关联方保持对公司的长期的特异性投资,这些特异性投资包括员工学习只对公司有价值在公司外部没有什么价值的知识和技能、供应商为公司特供的零部件进行研发活动、顾客对公司产品价值支付隐含的信用担保等等,同时长期保持与公司的这种关联关系。而所有的这些特异性投资,在公司的风险状况变得糟糕时都会被相关关联方取消,他们觉得一个充满风险的公司可能无法履行对他们的长期利益保证。而这种特异性投资的撤销和关联关系的终止会给企业带来巨大的成本。公司进行的风险管理活动可以保证公司更容易兑现对关联方的承诺,与支付高额成本来维护关联方关系相比,对风险进行套期保值的成本更低。因此,关联方关系管理是风险管理的一个重要组成部分,是风险管理增加公司价值的重要途径。
(5)数据和技术资源。可用的风险管理数据主要是组合数据和市场数据。组合数据包括在不同的前台后台系统收集到的风险头寸;市场数据则包括价格、波动率和相关系数。为了保证这些数据的质量,还要建立数据搜集的适当标准和流程。数据资源的两种获取途径分别是会计系统和前台交易系统,而前台交易系统可以提供许多客户的第一手资料。技术资源主要指用来进行风险量化分析和经风险调整定价的计算机功能软件,包括数据转换界面、数据转换中间设备(messaging – oriented middleware ,mom)(帮助减少风险管理实施时间,对点对点界面的改进)、定价分析系统和erm模型实施所需技术资源等,这些资源可以通过自建、购买、定制或外包的方式来获得。数据和技术资源一起支持公司的风险分析和风险处理过程。
(6)积极组合管理。组合管理提供了风险管理与公司价值最大化的直接联系,它要求企业像管理基金一样对公司总体风险进行组合管理,充分利用组合内各种风险的“天然对冲”效应和分散化效应,建立组合目标和适当的风险限制以确保获得最佳组合回报率。这意味着把公司面临的诸如负债、投资、利率以及所有其它风险作为一个有机的整体加以管理,以实现总体风险/收益最优化。 erm中的积极组合管理的第一步是对风险进行分解。这种分解不是以单个业务为单位进行分解,而是按风险源头、风险保留和风险转移进行分解,目的是考虑公司的核心能力在价值链的哪个部分具有优势,再决定在哪个方面进行竞争。第二步是对风险进行汇总,即汇总公司所有的风险敞口信息以及这些风险敞口间的相关性,可以将所有风险敞口直接或通过风险转移定价机制(以类似与风险转移费用的形式向转出风险的业务单位收取对冲成本)转移到一个中心部门,然后再在这个中心部门进行风险的组合管理和对冲。这个步骤可以帮助企业追踪整体风险敞口、将非对称风险对称化、综合分散化效应、利用组合内风险的自我对冲效应减少管理成本以及风险管理决策集中化。第三步再利用积极组合管理中风险限额和经济资本配置管理的思路,通过分配更多的经济资本给预期风险调整资本收益更高的业务单位,在企业内部形成一个“内部资本市场”,给“好”的业务创造良好的增长环境,同时淘汰“坏”的业务,使企业的整体风险/收益特征的到优化。
[1] society of actuary. 2005. enterprise risk management specialty guide, p.8-10
[2] miller, kent d, a framework for integrated risk management in international business,journal of international business studies, washington, second quarter 1992,vo1.23,iss.2
[3] jerry miccolis&samir shah .2001. creating ualue through enterprise risk management: a practical approach for the insurance industry. p.3&p10
[4] lisa meulbroek. 2002. the promise and challenge of integrated risk management, risk management and
tnsurance review0_ vol. 5. no. 1.p.1
[5] lisa meulbroek. 2002. integrated risk management for the firm: a senior manager's guide. p.3
[6] william h. panning. 2003. using enterprise risk management to maximize shareholder ualue.2003 cas/soa erm svmnosium_ washinston d.c.
[7] the cas enterprise risk management committee overview of enterprise risk management committee report casualty actuarial society forum 2003
[8] coso.enterprise risk management-integrated framework.[r].committee of sponsoring organizations of the three-wav commission 2004:2-8
[9]张琴,陈柳钦:《风险管理理论沿袭和最新发展趋势综述》[j],《金融理论与实践》2008年第10期。
主要参考文献
[1] doherty neil a.,innovation in corporate risk management: the case of catastrophe risk,in g. dionne(ed.),handbook of insurance,boston:kluwer academic publisher,pp.503-539.
[2] doherty, neil a.(1985).”corporate risk management:a financial analysis”mcgraw- hill. companies inc.
[3] jerry a.miccolis, kevin hively, and brian w.merkley(2002), enterprise risk management:trends and emerging practices, tillinghast-towers perrin.
[4] international association of insurance supervisors(2003),insurance core principles and methodology,
[5] miller, kent d, a framework for integrated risk management in international business,journal of international business studies, washington, second quarter 1992,vo1.23,iss.2
[6] soa, enterprise risk management subgroup erm specialty guide, 2005,august 30:8~ 9
[7] 美)尼尔·多尔蒂著,陈秉正、王珺译:《综合风险管理——控制公司风险的技术与策略》[m],北京:经济科学出版社,2005年。
[8] 詹姆斯·林著,黄长全译:《企业全面风险管理——从激励到控制》[m],北京:中国金融出版社,2003年。
[9] 陈忠阳:《金融机构现代风险管理基本框架》[m],北京:中国金融出版社,2006年。
[10]gerhard schroeck著,贾维国译:《金融机构风险管理与价值创造》[m],北京:中国人民大学出版社,2006年。
