一．Coso理论  

一.   全面风险管理

1.       定义

全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险 ，包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

全面风险管理是一个从企业战略目标制定，到目标实现的风险管理过程。它可以简单用“348”的框架来描述。即三个维度：企业目标、全面风险管理要素、企业的各个层级；企业目标包括四个方面：战略目标、经营目标，、报告目标和合规目标；全面风险管理要素有八个：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。全面风险管理的八个要素为企业的四个目标服务；企业的各个层面要坚持同样的四个目标；每个层面都必须从八个要素进行风险管理。

 

2.目标

   现在世界上最先进的体系化风险防范机制是在企业建立全面风险 ，全面风险管理代表着风险管理的最前沿的理论和最佳实务。

全面风险管理是这样一个过程：它与企业的董事会、经理层和其他员工紧密相关，在战略制定中得到应用，贯穿于整个企业，用来识别影响企业目标实现的潜在事件，在企业风险偏好的指导下管理风险，为企业目标的实现提供合理的保证。

由此可见，企业建立全面风险 的总体目标就是为企业实现其经营目标提供合理的保证，也就是为了保证企业经营目标的实现，将企业的风险控制在由企业战略决定的范围之内。换句话说就是全面风险管理可以帮助所有的企业，不管其大小或目标是什么，来全面系统地辨识、衡量、排序并处理所面临可导致其偏离企业目标的风险。

同时，企业建立全面风险 还可以确保企业遵守有关法律法规，确保企业内外部尤其是企业与股东之间实现真实、可靠的信息沟通，保障企业经营管理的有效性，提高经营效率，保护企业不至于因灾害性事件或人为失误而遭受重大损失。

 

3.主要内容

全面风险 由风险战略、风险管理职能、综合内控、风险理财及风险管理信息系统五个模块组成。

风险战略是指导企业风险管理活动的指导方针和行动纲领，是针对企业面临的主要风险设计的一整套风险处理方案。

风险管理组织职能是风险管理的具体实施者，通过合理的组织结构设计和职能安排，可以有效管理和控制企业风险。

内部控制作为全面 的一部分，是通过针对企业的各个主要业务流程设计和实施一系列政策、制度、规章和措施，对影响业务流程目标实现的各种风险进行管理和控制。

风险理财是指企业运用金融手段来管理、转移风险的一整套措施、政策和方法。

风险管理信息系统是传输企业风险和风险管理状况的信息系统，其包括企业信息和运营数据的存储、分析、模型、传送及内部报告和外部的披露系统。

 

4.风险

风险是企业特殊的资源，它总是伴随着企业的有形的、确定的资源而存在。风险的定义就是指未来的不确定性对企业实现其既定目标的影响。它突出了以下几个方面：

风险是关于“未来的不确定性”。过去和现在属于已发生和正在发生的领域，没有风险，但所有的人都不确定将来的事情，将来存在风险。为了准确度量和管理风险，风险总是定义在未来的某一个时间段内的，比如，企业职工有人身安全的风险，为此要为职工买人身安全保险，保险合同总是在一段时间内有效的。又如，企业的财务报表反应的都是发生的经济行为，而现金流预测作为投资决策的基础评估方法之一，是对未来的一定期间内的净现金流入预测用贴现系数来计算现值，这里表现的风险包括时间价值的概念，还包括风险的贴现。

风险是和企业目标有关系的。一般来说，企业目标定得越高风险越大，目标定得越低风险越小。例如，企业的目标是跻身于世界五百强还是维持盈亏平衡，其所须承担风险的大小是不一样的。风险是相对于要实现的目标而言的。目标越高，风险就越大；目标越小，风险就越小。

风险对实现目标的影响表现在实际的行为可能与我们的目标有差距。这种差距可能不仅表现在最后结果的差距（如盈利额的差距、损益值），还可能表现在路径的差距，即如何实现最后的结果，这同样是不确定性的影响，使得人们对稳定的、可预期的表现要更看重一些，因为不确定性越大，风险成本就越高。

需要注意的是风险对实现企业的既定目标有好处，也可能有坏处。所谓好坏或正面负面都是指对结果的判断而言的，风险本身是无所谓好坏的。把风险看作是纯粹的负面的东西，有利于我们专注于防范风险带来的负面效应，但同时有可能使我们忽略风险中蕴藏的机会。因此，企业对风险正负面影响的考虑应该是结合在一起的，这和“没有风险就没有回报，高回报蕴含着高风险”的观点是一致的，收益是对承担风险的补偿。事实上，在没有交易成本等的无摩擦、无套利机会的理想市场的情形，在负面风险和正面风险之间存在确定的平价关系（Call-PutParity）。如果只考虑风险的负面影响，势必会影响人们的决策忽视正面风险的存在，向风险规避型倾斜。

例如，考虑商业银行某一笔贷款的信用风险，从表面上看，这个信用风险是纯粹负面的。但是，由于风险交易市场的存在，这个信用风险有可能被作为一个金融产品被定价，并进而被该银行卖出。而持有代表这个信用风险的金融产品的交易方有可能与其他交易对象继续交易，以期在交易过程中获得收益。当然，并不排除该商业银行本身在某一时刻将这个信用风险的金融产品买回。在这个交易过程中，交易双方并不在意信用风险本身是否是纯负面的，他们的关注点是在于该信用风险本身的变化的特性。反过来说，如果把风险定义为纯负面的影响，就不会有人会对风险的交易感兴趣了。保险公司的业务可以作为这方面的另外一个例子。

最后，风险所依赖的未来的不确定性可以分析为许多因素。这些因素就称为风险因素。比如，公司的股价依赖于市场上原材料的价格，农作物的收成依赖于天气的情况等。这些风险因素的未来的情况是不定的，也就是说，在目前来看，风险因素的情况存在一个概率的分布。因此，风险本身也存在一个分布。
 

风险的分类标准不是绝对的，国际上比较通用的分类是把风险分为战略风险、财务风险、运营风险和危害性风险。战略风险是指不确定因素对企业实现战略发展目标和实施发展规划的影响，企业要符合股东的要求，结合市场情况保持企业的核心竞争优势，选择合适的产品组合，抓住发展机会，规避市场损失等方面的风险因素。财务风险包括利率和汇率的变动、原材料或产品价格波动、信用政策等不确定因素对企业现金流的影响，以及公司在理财方面的行为对企业财务目标的影响。运营风险包括供应链的管理、运营资源的合理调配、关键人员的流动、法律合规、监督检查等涉及公司运营方面的不确定性因素对公司运营目标方面的影响。灾害性风险包括水灾、火灾、事故、偷盗、人身伤亡等不确定性的因素对实现安全管理目标的影响。

风险按其来源分为外部风险和内部风险。企业的外部风险来自企业经营的外部环境，包括外部环境本身和外部环境的变化对企业目标的影响，如社会政治风险、供应链风险、市场风险、竞争对手风险、技术革新风险、法律法规风险、自然地理环境风险、灾害风险。企业的内部风险来源于企业的决策和经营活动。企业决策的风险一方面表现在与外界环境不相适应，另一方面表现在企业本身的经营活动中，经营活动中的风险来自企业的各个流程和各个部门。

在评价风险管理的有效性时，人们会用到固有风险和剩余风险的概念。前者与后者是相对于某一风险管理的手段的应用实施而言的。也就是说，在没有实施该风险管理手段时的风险称为固有风险，而实施该风险管理手段后的风险称为剩余风险。应当指出，在给定风险管理的现状时，固有风险和剩余风险是一样的。

风险按其是否有盈利的可能又分为纯粹风险和机会风险。纯粹风险指不含盈利的可能性，如灾害性风险，大多数运营风险。机会风险是盈利与损失的可能性并存的风险，如许多战略风险，市场风险。

从风险及风险管理的若干个“第一”中来了解一下它的历史与发展：

第一个准确、科学地描述风险的科学家。瑞士数学家贝努利1705年发现了大数定律。大数定律后来成为一切保险的计价基础。

第一家保险公司。世界上第一家保险公司于1720年在伦敦成立。当时英国人已经在定价时使用了抽样的统计方法。标志着风险管理在实际应用中的重大进展。