企业风险管理是什么

企业风险管理是企业在实现未来战略目标的过程中，试图将各种不确定因素的结果控制在预期可接受范围内，以确保和促进组织整体利益实现的方法和过程。

企业风险管理是企业在实现未来战略目标的过程中，试图将各种不确定因素的结果控制在预期可接受范围内，以确保和促进组织整体利益实现的方法和过程。企业风险管理(ERM)框架是2004年9月由美国全国虚假财务报告委员会COSO(发起组织委员会)在特雷德韦委员会的基础上，在内部控制框架的基础上提出的企业风险管理的综合概念。

ERM是企业董事会、管理层和其他员工参与的，应用于企业战略制定的过程，用于识别可能对企业产生潜在影响的事项，管理其风险偏好范围内的风险，为企业目标的实现提供合理保证。

企业风险管理处理影响价值创造或维持的风险和机会，其定义如下:

企业风险管理是由一个主体的董事会、管理当局和其他人员实施的一个过程。它应用于战略制定，贯穿于企业始终，旨在识别可能影响主体的潜在事项，管理风险，使其处于主体的风险承受能力之内，为主体目标的实现提供合理保证。

这个定义反映了几个基本概念。企业风险管理是:

一个过程，它持续地流动于主体之内；由组织中各个层级的人员实施；应用于战略制订；贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；能够向一个主体的管理当局和董事会提供合理保证；力求实现一个或多个不同类型但相互交叉的目标。

这个定义挺宽泛的。它捕获了对公司和其他组织管理风险至关重要的关键概念，并为不同组织形式、行业和部门的应用提供了基础。它直接关注特定主体既定目标的实现，为界定企业风险管理的有效性提供依据。

企业风险管理的基本前提

企业风险管理的基本前提是各主体的存在为其利益相关者提供价值。所有主体都面临着不确定性，管理层面临的挑战是在努力增加利益相关者价值的同时，确定要承受多大的不确定性。不确定性可能会破坏或增加价值，因此它既代表风险，也代表机遇。企业风险管理使管理当局能够有效地处理不确定性及其带来的风险和机遇，增强创造价值的能力。

当管理层试图通过制定战略和目标来实现增长和回报目标以及相关风险之间的最佳平衡，并在追求主体目标的过程中高效、有效地分配资源时，价值就可以最大化。

企业风险管理的内容

企业风险管理包括:

协调风险容量（risk appetite） 与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量。增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及由此带来的成本或损失。识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。抓住机会——通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现机会。改善资本调配——获取强有力的风险信息，使得管理当局能够有效地评估总体资本需求，并改进资本配置。

企业风险管理的这些内在能力有助于管理当局实现其主体的绩效和利润目标，防止资源损失。企业风险管理有助于确保有效报告和遵守法律法规，也有助于避免对主体声誉的损害及其后果。总之，企业风险管理不仅有助于一个主体达到预期的目的，而且有助于避免前进道路上的隐患和事故。

事项——风险与机会

事件可能会产生负面影响或正面影响，或者两者都有。具有负面影响的事项代表风险，会阻碍价值创造或破坏现有价值。带来积极影响的事情可以抵消消极影响，或者代表机会。机会是一个事件发生，并对支持价值创造或维持的目标的实现产生积极影响的可能性。管理层将机会反馈给战略或目标制定过程，以便制定计划来抓住机会。

企业风险管理框架的构成

COSO(反欺诈交易委员会)委托普华永道(PricewaterhouseCoopers)制定了《COSO风险管理集成框架》，其中指出企业风险管理的基本框架包括内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、监控八个方面。

(一)内部环境

中央企业的内部环境是所有其他风险管理要素的基础，为其他要素提供规则和结构。尤其是中央企业领导的风险偏好决定了中央企业对突发事件的态度，中央企业管理层必须明确战略及其实施中的风险和回报。

(2)目标设定

管理层根据SASAC确定的任务或期望，制定企业的战略目标，选择战略并确定其他相关目标，并在企业内部不同层次进行分解和实施。管理层必须首先确定企业的目标，然后才能确定对目标的实现有潜在影响的事项。企业风险管理是为企业管理提供一个合适的过程，将目标与企业的任务或期望联系起来，确保设定的目标与企业的风险偏好一致。

(3)事项的确定

企业风险管理要求识别所有可能对中央企业目标实现产生负面影响的重要情况或事件。事件识别的基础是将可能的风险与环境进行比较。这就要求综合运用各种专业知识，尽可能了解企业当前或未来的环境和经营状况。

(4)风险评估

风险一般用两个指标来衡量:概率和影响结果。根据不同的情况，风险评估的过程采用定性和定量的方法。如果能够获得足够的数据，可以采用决策风险的量化评估方法；如果潜在可能性和影响结果较小，或者无法获得数据，可以采用定性评价方法。

(5)风险应对

中央企业应评估和平衡每一个重要风险及其相应的回报，并根据平衡的情况采取规避、接受、分担或降低这些风险的措施。风险应对是中央企业风险管理的重要组成部分。

(6)控制活动

控制活动包括审计、批准、授权、确认、业务绩效评估、资产安全管理和不相容的工作分离。这些是中央企业管理层设计的政策和程序，为具体风险应对措施的实施提供了合理的保障。

(七)信息和通信

风险信息必须以一定的形式和框架进行交换，让中央企业的员工和管理层各司其职。中央企业必须对各种数据和信息流进行处理，形成对企业风险组合轮廓的统一看法，以便于沟通。通常有三种有效的沟通形式:自上而下、平行和自下而上。员工风险信息交流意识是风险管理环境的重要组成部分。应鼓励员工就其意识到的重要风险与央企管理层沟通，央企管理层应重视员工的意见。

(8)监测

中央企业应通过持续监控和独立评估活动监控企业风险管理的有效性。持续监控以日常运营中的事件和交易为对象，包括中央企业管理层和专门监控人员的活动。

企业风险管理的目标

管理当局在主体既定的使命或愿景范围内，在企业内部自上而下地制定战略目标，选择战略，设定相应的目标。企业风险管理框架努力实现以下四类目标:

战略（strategic）目标——高层次目标，与使命相关联并支撑其使命；经营（operations）目标——有效和高效率地利用其资源；报告（reporting）目标——报告的可靠性；合规（compliance）目标——符合适用的法律和法规。

这种主体目标的分类可以让我们关注企业风险管理的不同方面。这些不同但又重叠的类别——一个特定的目标可以分为多个类别，反映了主体的不同需求，并可能成为不同管理者的直接责任。这种分类也有助于区分每种目标的预期。一些学科采用的另一种目标——保护资源也包括在上述类别中。

由于相关报告的可靠性和遵守法律法规的目标在主体的控制范围内，我们可以期望企业风险管理为实现这些目标提供合理的保证。但是，战略目标和经营目标的实现取决于不总是在主体控制范围内的外部事项。对于这些目标，企业风险管理可以合理地确保管理当局和监事会能够及时了解主体在实现目标方面的进展程度。

目标和构成要素之间的关系

目标是指一个主体试图实现什么，而企业风险管理的构成要素是指实现这些目标需要什么，它们之间有直接的关系。这种关系可以通过三维矩阵以立方体的形式表示。

四种类型的目标——战略、运营、报告和合规——由垂直的列表示，八个组成部分由水平的行表示，主题中的每个单元由第三维表示。这种表征使我们不仅能把一个主体的企业风险管理作为一个整体来关注，还能从目标类别、构成要素或主体单元，甚至任何子项的角度去理解。

有效性

确定一个主体的企业风险管理是否“有效”，是在评价八大要素存在和有效运行的基础上做出的判断。因此，构成要素也是判断企业风险管理有效性的标准。如果构成要素存在且运行正常，可能没有重大缺陷，风险可能已经控制在主体的风险承受能力之内。

如果确定企业风险管理在所有四种类型的目标中都是有效的，那么董事会和管理当局可以合理地确保他们了解主体实现其战略和业务目标的程度，主体的报告是可靠的，并且符合适用的法律和法规。

各科八要素的操作并不统一。比如中小科目的申请可能不正规，不健全。然而，当这八个要素存在并正常运行时，小规模实体仍将拥有有效的企业风险管理。

局 限

虽然企业风险管理带来了重要的好处，但仍然存在局限性。除了上述因素之外，局限性还源于以下现实:决策过程中可能存在人为判断的错误，在处理风险和建立控制的决策中应考虑相关的成本和收益，类似的简单错误或错误的个人缺陷可能导致失败，控制可能因两个或两个以上的人串通而规避，管理当局有能力推翻企业风险管理决策。这些限制使得董事会和管理当局不可能对主要目标的实现形成绝对保证。

涵盖内部控制

内部控制是企业风险管理的一个组成部分。这种企业风险管理框架涵盖了内部控制，从而构建了更强大的概念和管理工具。内部控制在内部控制-集成框架中定义和描述。由于该框架经受住了时间的考验，并成为现有规则、条例和法律的基础，该文件中的内部控制定义和框架仍然有效。虽然该框架只引用了《内部控制-整合框架》的部分文本，但该框架通过引用整合了整个框架。

职能与责任

主体中的每个人都对企业风险管理负责。首席执行官(CEO)负有主要责任，应该假设他拥有所有权。其他管理人员支持主体的风险管理理念，促进其风险能力的合规性，并在各自的职责范围内根据风险承受能力管理风险。风险官、财务官、内部审计师等。通常负有关键的支持责任。主体中的其他人员负责按照既定的准则和程序实施企业风险管理。董事会对企业风险管理提供重要监督，感知并认可主体的风险能力。许多外部方，如客户、供应商、业务伙伴、外部审计师、监管机构和财务分析师，经常提供影响企业风险管理的有用信息，但他们不仅对企业风险管理的有效性不承担任何责任，而且不是其中的一部分。

企业风险管理的七种方法

每个企业在经营中都可能存在风险，但如何化解和降低风险是企业管理者必须研究的问题，企业风险管理是一项重要的工作。在创业者的心目中，首先要搞清楚有哪些类型的风险，然后有针对性地采取措施。只有增强风险意识，进行科学管理和决策，建立相应的制度，才能规避风险。从目前的市场环境来看，大致有七种风险，相应的措施是:

首先是投资风险。

投资风险是指投入运营的企业经营效率低下，投资资本因投资不当而下降。企业应采取以下措施:在投资项目前，各职能部门和项目评估小组必须共同进行严格、科学的审查和论证，不能盲目操作。对于外资项目，我们不能做风险承诺，不能保证差额，不能承诺固定的收益率。
二是经济合同风险。

经济合同风险是指在经济合同履行过程中，因对方违约或不可抗力给企业造成的经济损失。因此，企业在签订业务和产品合同后的履约和赔偿责任。签订合同后，要密切关注合同的执行情况，有远见地随时应对变化。

三是产品市场风险。

产品市场风险是指由于市场变化、产品滞销等原因导致价格下跌或未能及时销售自己的产品。市场风险的原因有三:(1)市场销售不景气，包括市场疲软和产品产销不对；(2)商品更新换代快，新产品不能及时投放市场；(3)国外进口产品占领国内市场。

第四是库存风险。

库存风险是指因价格变动、陈旧过时和自然损耗而导致的库存价值的减少。此时，企业应立即清理库存，在生产过程中按时控制投入、采购和产出，并加强保管。一些思想保守的企业担心库存贬值，可能会影响当前的效益。结果产品积压，亏损越来越大。

第五是债务风险。

债务风险是指企业因借款不当或借款后资金使用不当而造成的损失。为了避免企业的资产负债，企业应该控制负债比例。许多企业，由于股东投资强度不足，借钱扩大生产经营或盲目扩大税收，导致资产负债率上升，导致资金周转不灵，影响正常还本付息。最有可能导致资不抵债破产。

第六，担保风险。

担保风险是指为其他企业的贷款提供担保，最终因其他企业无力偿还而代其偿还债务。企业要认真办理担保业务，严格审批手续，完善反担保程序，避免不必要的损失。

第七，汇率风险。

汇率风险是指企业在从事进出口等对外经济活动中，因本国与外国之间的汇率变动而在兑换过程中遭受的损失。企业要时刻注意自己的外币债务。密切关注各种货币的汇率变化，以便采取相应措施。尤其是银行有外币贷款的企业。

风险管理的误区

误区之一:把风险当成一种危险的方式，放弃发展机会。事实上，风险无处不在，尤其是在商业活动中，结果本身是不确定的。很多企业对未来盲目恐惧，缺乏远见，将风险视为不可抗力，采取规避措施防范风险。众所周知，新的发展机会往往是前期高风险带来的，有时放弃风险就意味着放弃机会。

误区二:企业风险管理是一个篮子，什么都放进去。许多企业的风险管理还没有进行，这只是一个概念上的事情。许多高级管理人员认为，一旦实施企业全面风险管理，所有事务都可以收集和处理。然而，企业风险管理只是企业管理活动的一个方面，它不能也不应该涵盖企业生产经营的所有工作。

误区三:片面强调某些风险，忽略其他风险因素。企业风险管理应该包括战略、财务、市场、运营、法律等多个方面，而不是某一方面的风险所能描述的。一些企业片面强调某些风险，而忽视了对其他风险因素的控制。

误区四:没有抓住风险管理的关键。很多企业都有一套完整的管理体系。一些企业认为，只要这些制度顺利实施，就是内部控制的整体，可以有效防范企业风险。然而，实际情况并非如此。如果一个企业专注于无关紧要的控制，表面上可以控制得很好，但往往会浪费大量的管理资源，忽略重大风险。

误区五:注重风险系统的设计，而忽视系统的实施。企业在某种程度上有一些内部控制制度。许多公司非常重视系统的设计，甚至使用“外部大脑”来获取高薪。但事实是，系统的实现比设计更重要。一个好的企业风险管理体系如果不能有效实施，其有效性就无法发挥。