摘要：随着数学模型、计量方法的深入，及金融工程、公司财务等多门学科的融合，企业风险管理技术呈现系统化、规范化、数量化和模型化的趋势。目前我国理论研究和实践滞后于公司治理的要求和经营环境的改变，故应加强风险意识和专业人才培养，加快企业风险管理制度体系建设。

关键词：企业风险管理；内部控制；公司治理；启示

一、企业风险管理的内涵及研究框架

20世纪90年代以前，公司的风险管理主要专注于使用各种金融工具对利率、汇率及商品价格等金融风险敞口进行套期保值。随着经济的发展，局限于对金融风险敞口的保险和对冲等风险管理已远远不能适应新时期的要求，而逐渐扩展到了整个企业层面各种风险的确认、估计、整合和管理，这便是企业风险管理。

1、企业风险管理的内涵。很多研究文献介绍或讨论过诸如“战略风险管理”、“综合风险管理”及“整体风险管理”等概念，这些概念与企业风险管理有相似之处，因为它们都强调了以一种全面的观点来对待风险和风险管理。但企业风险管理不仅仅是以全封闭式的方法在组织内部分散管理各种不同风险，而且是在对风险进行规避之外还将风险管理视为一种价值创造过程。美国反欺诈财务报告委员会(treadway commission)的发起组织委员会(committee ofsponsoring organization，coso)将企业风险管理定义为：处理影响企业价值创造或保持的风险和机会的过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

可见企业风险管理首先是一个原则，它影响了企业的决策并最终成为企业文化的一部分。其次它不仅只针对保险等金融行业，而是适用于各种行业。再次它将利用风险视为风险管理过程的一部分，在弱化风险同时还能进行价值创造。然后它考虑了各种风险来源，而并非局限于传统的金融风险等。最后它强调了诸如股东、债权人、管理层、员工、顾客甚至企业社区等所有利益相关者。因此企业风险管理作为一个管理战略决策的支持框架，有利于企业所有层面的决策制定。

2、企业风险管理的研究框架。本文分别从风险种类识别和风险管理结构两个维度来分析风险管理的框架。总的说来，企业所面临的风险敞口可以分为以下五类。(1)灾害风险：火灾等其他财产损失；风暴等其他自然灾难：失窃等其他认为犯罪损失；经营终止；与工作有关的疾病及残疾：债务索偿。(2)金融风险：资产价值、利率、汇率及商品价格的波动；现金流、机会成本等流动性；违约、资信下降等信用变动；通胀、购买力平价的变动；套期保值等基础风险。(3)合规风险：因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。(4)营运风险：人力资源、产品开发、销售渠道、供应链管理等经营运作；领导层关系等授权管理；信息技术的应用；预算计划、会计信息、养老金、投资估值、税赋等经营报告。(5)战略风险：信誉破坏；竞争；顾客需求；人口统计等社会化倾向：技术创新：法规和政治走势。

企业风险管理将风险管理与组织价值创造联系在一起，将风险解读为对组织的客观影响因子，并将风险的度量与综合公司绩效度量融合在一起。进行风险管理的企业至少都有一个关于其营运活动的简单风险数量模型，这一模型刻画了诸如风险因子、外界条件、战略及战术计划等各种投入是如何影响企业的核心绩效指标。这些核心绩效指标反映的公司绩效包括了收入增长、盈余增长、每股收益、嵌入价值增长、顾客满意度及品牌形象等，对于上市公司而言，这些指标通常由诸如股票分析师等市场参与者定义，企业风险管理的实质就是利用规范化的数量工具对模型中各个风险间可能相互影响(如经济的通胀与利率)进行深入的了解和分析，随时对其构成要素的存在和运行进行评估，并将企业风险管理的缺陷被报告给上级，严重的问题报告给高层管理当局和董事会。

长期以来，尤其是2001年前后，美国安然、世通等著名公司进行财务作假等一系列丑闻和失败事件之后，投资者、公司员工和其他利益相关者因此受到巨大的损失，随之而来的是对采用新的法律、法规和上市公司准则来加强公司治理和风险管理的呼吁，关于内部控制的研究和立法行动深受社会各界的重视和关注。coso在《内部控制——整合框架》的基础上，于2004年发布了《企业风险管理——整合框架》，它提供了一个包括五个紧密联系的组成部分、宽口径的风险管理框架，这五个部分是风险管理环境、风险评估、风险管理活动、信息与交流及风险监控。华盛顿州投资董事会(wsib)结合了上述文件的精神，制定了企业风险管理的框架。

这一框架拓展了内部控制，更有力、更广泛的关注于企业风险管理这一更加宽泛的领域。对于管理当局评价和改进其所在组织的企业风险管理而言简便易行，被纳入政策、规则和法规之中后有助于企业用来更有效的识别、评估和控制风险，从而为其实现既定目标所采取的行动加以更好的控制。

二、企业风险管理的演进

企业风险管理理论是由内部和外部因素共同驱动而不断发展的。首先公司治理的需要迫使企业进行全面的风险管理以加强对企业的内部控制，这一概念包括了战略规划层面和战术实施层面，旨在通过对企业宏观和经营单位微观的影响而创造价值。其次公司财务丑闻和失败事件引起了公众对企业进行有效监管的呼声，对一个提供关键原则和概念、共同语言以及明晰的方向和指南的企业风险管理框架的需要变得尤为迫切。同时大量的数学、统计学、系统工程及金融学理论和方法被应用于企业风险管理中，使其越来越具有数量化和模型化的特点，为企业风险者提供了理论和技术支持。

早在20世纪90年代中期，由于诸如巴林银行倒闭及大量金融机构巨额损失等一系列事件的发生，人们开始反思由复杂金融衍生工具失控而产生的严重金融灾难，风险管理作为一种金融原则逐渐兴起并为控制风险提供了有益的方法。风险管理作为一个金融目标涉及到了markowitz提出的资产组合理论并被开始应用于商业组织的保险投资组合管理。随着j.p摩根银行于1995年首先提出了在险值(value at risk，var)等新技术，风险管理才将金融机构的日间交易与借贷行为联系在一起。

20世纪90年代末期，由于英国的公司财务在经济衰退中倍受压力，公司治理的倡导者开始在寻求解决脆弱内部控制的对策。风险管理受到理论界和实务界的广泛关注，不管是金融企业还是非金融企业的管理者都将风险管理视作良好内部控制及为股东利益服务的支柱。carey和tumbull认为风险管理是商业组织良好管理必不可少的一个部分，tumbull是英国公司治理委员会的主席，该委员会在19981[]