企業風險管理

企業風險管理（英語：Enterprise risk management，簡稱ERM）在商業中，指企業管理風險、抓住機會、達到目標的方法和流程。ERM為風險管理提供了框架，風險管理一般指與企業目標（風險、機遇）有關的特殊事件管理，評估發生可能性、規模，確定反應機制，監控流程的方法。通過發現風險和機遇，可以保護企業、創造股東（包括員工、客戶、監督者、社會等）價值。

ERM也是管理企業風險的方法，包括內部控制, 薩班斯奧克斯利法案和戰略計劃。風險管理是根據不同股東的要求，了解風險的範圍，面對複雜情況，保障確實管理。監督者和債務機構可以通過風險管理對公司評級。

ERM定義

風險管理有不同的定義，包括鑑定、分析、回應、監督風險和機遇的方法，在內部和外部環境中，通過風險應對機制對風險進行管理，包括：

1. 避禍: 避開引發風險的機制
2. 減禍: 減少風險的幾率和幅度
3. 替代: 決定減少風險的替代機制
4. 分享、保險: 把風險損失轉移、保險，承保
5. 接受: 由於成本效益，不採取任何行動

北美產險精算學會

2003年，北美產險精算學會 Casualty Actuarial Society(CAS)將風險管理定義為，企業為了評估、控制、挖掘、投保、監督風險的任何機制，目的是提高企業短期和長期的股東價值。"^[1] CAS 把風險管理定義為兩個維度：風險類型和風險管理流程^[1] 風險類型和例子包括：^[2]

冒險風險

債務侵權，財產損失，自然災害

財務風險

定價風險、財產風險、匯率風險、流動率風險

運營風險

客戶滿意度、產品失敗、誠信、信譽風險

戰略風險

競爭、社會潮流、資本可用率

風險管理流程包括:^[3]

1. 確定背景: 理解企業現階段內部、外部風險管理的條件
2. 確定風險: 包括記錄企業達到目標可能遇到的風險和企業獲得競爭優勢可能開發的區域
3. 分析/量化風險: 包括對風險進行量化，如果可以，計算概率分佈。
4. 整合風險: 包括所有風險分佈的集合，進行組合分析，形成結果，計算對組織關鍵績效指標的影響。
5. 評估/定義風險優先性: 確定每種風險的幅度，整合風險預測，進行適當的優先化。
6. 對抗/解決風險: 展開不同策略，控制、解決不同風險。
7. 監督和反饋: 持續測量、監控風險環境和風險管理策略的效果。

COSO的風險管理定義

特雷德韋委員會贊助組織委員會（Committee of Sponsoring Organizations of the Treadway Commission，簡稱COSO）把"企業風險管理"定義為"企業的董事會、管理層和其他人員對企業內戰略設定中，發現潛在可能影響組織的事件和管理風險在風險偏好範圍內，提供合理達到企業目標的保障的流程。"^[4]

COSO風險管理有八個小項：

• 內部環境
• 目標設定
• 事件發覺
• 風險評估
• 風險回應
• 控制行為
• 信息溝通
• 監控

四種目的 - 附加小項包括:

• 戰略 - 高層目標，支持企業使命
• 操作 - 有效使用資源
• 財務報告 - 運營、財務報告可靠性
• 合規 - 符合相關法律法規

實施風險控制項目

風險控制目標

企業的風險控制有很多功能 ("風險功能")，可確定、管理特定風險，每種風險功能容量不同，與其他風險功能互動也不同。風險管理的核心是提高容量、協調性，整合產出，提供整體股東風險，提高企業應對風險的能力。

典型的風險功能

大企業的風險功能包括：

• 戰略計劃 - 發現外部威脅、競爭機會，以及戰略方法
• 市場營銷 - 了解目標客戶，保障產品和服務符合客戶需求
• 供應鏈管理 - 優化供應商與企業的協同，降低由收到訂單到交付的資金及時間成本
• 合規倫理 - 監督符合行為習慣，直接調查欺詐
• 財務和金融合規 - 根據《薩班斯奧克斯利法案》第302和404部分：評估，確定金融報告風險
• 法律 - 管理糾紛、分析潛在法律潮流
• 保險 - 保障企業購買了恰當保險
• 財產 - 保障擁有足夠現金流，管理進出口商品定價風險
• 流程質量保障 - 保障流程產出符合要求
• 流程管理 - 保障日常運營中的障礙消除
• 信貸 - 保障客戶所有信貸能否支付
• 客戶服務 - 保障客戶訴求及時處理，根源問題進行報告，獲得解決
• 內審 - 評估上述風險解決的有效性

風險控制常遇到的挑戰

很多諮詢公司有關於風險控制的諮詢。^[5] Common topics and challenges include^[6]:

• 確定領導層支持風險控制
• 建立通用語言、術語
• 建立企業的風險偏好 (包括可採納和不可採納的冒險)
• 把所有可能風險歸納入"風險庫".
• 把風險進行評級，包括每種功能的風險進行評級
• 建立風險委員會或首席風險官(CRO)協調每種風險功能
• 建立特定風險、反應的負責人
• 計算風險管理過程中的投入、產出
• 開展行動計劃，保障風險適當處理
• 針對特殊固定，開展特殊計劃
• 監督彌補風險流程的有效性
• 保證內審、諮詢團隊和其他評估團隊能加入工作
• 用技術保障第三方和遠程員工可以加入

內審角色

除了信息科技審計，內部審計在評估風險中非常重要，對於企業持續改進也很重要。為了保證其獨立性、目標明確性，內審的專業標準指出，該機構不能直接負責管理風險決策，或者風險管理機構。^[7]

內審一般為公司做年度風險報告，對下一年的審計風險進行計劃。計劃適時更新，一般需評估不同的風險(戰略計劃、競爭標杆、SOX從上而下風險評估)，考慮前期審計，與上層管理進行面談。是為發現、優先、管理風險審計項目而設立。

風險控制現狀

美國企業的風險控制正在逐步加強，經過私有企業的監督。風險是商業的組成部分，如果管理恰當，可帶動增長和機遇。經理頂着商業壓力，採取部分或完全超出直接控制的行為，例如在金融市場低潮中，進行併購、收購和重組等。破壞性技術改變了地理的限制。

薩班斯奧克斯利法案

2002年頒佈的薩班斯奧克斯利法案要求美國所有上市公司利用控制機制，進行內部控制評估。很多公司選擇特雷德韋委員會贊助組織委員會（Committee of Sponsoring Organizations of the Treadway Commission，簡稱COSO）的內部控制機制，包括風險控制機制。後來，證券外匯委員會(Securities and Exchange Commission，簡稱SEC)和PCAOB在2007年，對自上而下財務評估提出了更嚴格要求，包括進行欺詐風險評估。^[8]欺詐風險評估一般是發現潛在欺詐風險情景，進行恰當管理，採取行動。

NYSE公司管理制度

紐約證券交易所要求審計委員會和上市公司"討論與風險評估和風險控制有關的政策"，包括: "CEO和公司高層經理負責公司風險管理，審計委員會需討論流程的政策和規則。審計委員會需討論公司主要財務風險、管理步驟、控制流程。審計委員會不需成為負責風險評估和管理的單一機構。同時，委員會需討論管理流程的政策。很多公司，特別是金融公司，通過審計委員會以外的機制管理、評估風險，這些流程需要審計委員會進行統一把控，但審計委員會不可進行修改。"^[9]

風險控制和企業債務評級

標準普爾（Standard & Poor's，簡稱S&P）是著名的債務評級機構，計劃對公司評估流程引入一系列問題，首先於2007年開始使用。^[10]作為進行債務評級的重要依據，對貸款方對企業的貸款和債券都將產生影響。^[11] 2008年5月7日，S&P還宣佈將對非金融公司從2009年起進行風險評估。^[12] 在2008年Q4的報表上進行體現。^[13]

ISO 31000 : 新的國際風險管理標準

ISO 31000是國際上風險管理標準，於2009年11月13日公佈，ISO 31010 - 風險評估技術標準，也隨後很快發佈(2009年12月1日)，還發佈了風險管理詞彙表ISO Guide 73。

精算方法

北美產險精算學會

2003年，北美產險精算學會 Casualty Actuarial Society (CAS)的企業風險管理委員會發佈了風險管理概況。^[14]包括風險管理中精算方法的發展、合理性、定義和框架、詞彙表、技術基礎、實際操作和應用方法。^[14]

CAS還規定了風險管理的目標，包括成為"全球傷亡類財產領域風險管理方面教育材料的領先提供者"^[15]還投資傷亡類精算法的科研、發展、培訓。^[16]CAS 已經停止發放證書; 但是，2007年，CAS董事會決定參與開發全球ERM認證。^[17]

精算協會

2007年，精算協會開發了註冊企業風險分析師(CERA)執照，主要為了應對企業風險管理方面人才的大量需求。^[18]這是SOA的第一個專業執照。^[19]CERA主要集中於不同風險、包括運營、投資、戰略、聲譽風險對企業的影響。CERA在保險、再保險、諮詢市場、金融、能源、運輸、媒體、製造業和醫療行業有很多從業者。^[19]

一般大約需要3-5年完成CERA課程，包括技術精算學、風險管理概況、職業培訓等。要拿到CERA執照，還需要進行考試，完成教育要求，完成一個在線課程。^[19] CERAs are members of the Society of Actuaries.^[20]

企業越來越重視風險管理

企業已將風險管理確定為核心內容，從企業投入風險管理的資源、構建力度就可以看出來。2008年Towers Perrin在美國的調查顯示，^[21] 在大多數壽險公司，風險管理職責在C-suite以內。首席風險官(CRO)或首席財務官(CFO)是負責風險管理的最高領導。CRO或CFO可確定整個公司的風險管理機制，以及公司的風險偏好，提高技能、工具、流程，對風險進行評估、衡量、管理。公司也在積極提高風險管理工具能力，四四分之三的公司表示，有專門監控企業級風險的工具，這些工具主要用於發現、測量風險，評估決策。測試公司還表示，在風險管理能力方面有了很大提高。

另一項2008年的調查顯示，儘管受到金融危機影響，出現了關於風險、資產管理的六個主要發現:^[22]

• 植入風險管理是明顯的挑戰
• 公司規模決定風險管理
• 歐洲保險公司的風險管理定位更明確
• 風險管理是有影響力的戰略決策
• 經濟資本標準正在逐漸贏得市場
• 運營風險仍是一個弱項

參見

• 巴塞爾協議III
• 效益風險
• 成本風險
• 信貸風險
• 信息質量管理
• ISO 31000
• 市場風險
• 運營風險管理
• 樂觀偏好
• 風險調整的資本收益法
• 風險管理工具
• RiskLab
• RiskAoA
• ISA 400 風險評估和內部控制
• SOX 404 至上而下風險管理
• 整體安全管理

參考

1. Enterprise Risk Management Committee. Overview of Enterprise Risk Management (PDF). Casualty Actuarial Society: 8. May 2003 [2008-09-15]. （原始內容存檔 (PDF)於2012-07-17）.
2. Enterprise Risk Management Committee. Overview of Enterprise Risk Management (PDF). Casualty Actuarial Society: 9–10. May 2003 [2008-09-15]. （原始內容存檔 (PDF)於2012-07-17）.
3. Enterprise Risk Management Committee. Overview of Enterprise Risk Management (PDF). Casualty Actuarial Society: 11–13. May 2003 [2008-09-15]. （原始內容存檔 (PDF)於2012-07-17）.
4. Enterprise Risk Management — Integrated Framework: Executive Summary (PDF). Committee of Sponsoring Organizations of the Treadway Commission. September 2004 [2008-09-16]. （原始內容存檔 (PDF)於2016-11-03）.
5. ERM Implementation Advice (PDF). [2012-09-26]. （原始內容存檔 (PDF)於2007-09-27）.
6. ERM Frequently Asked Questions (PDF). [2012-09-26]. （原始內容 (PDF)存檔於2007-09-28）.
7. Role of Internal Auditing in ERM. [2012-09-26]. （原始內容存檔於2013-09-05）.
8. PCAOB Auditing Standard No 5 (PDF). [2012-09-26]. （原始內容存檔 (PDF)於2007-06-27）.
9. NYSE Listing Standards Part 7d (PDF). [2012-09-26]. （原始內容存檔 (PDF)於2007-09-24）.
10. S&P Ratings - Treasury & Risk Article. [2012-09-26]. （原始內容存檔於2007-09-28）.
11. S&P ERM for Financial Institutions (PDF). [2012-09-26]. （原始內容存檔 (PDF)於2020-05-14）.
12. S&P ERM FAQs (PDF). [2021-02-17]. （原始內容存檔 (PDF)於2013-06-17）.
13. S&P ERM Announcement (PDF). [2021-02-17]. （原始內容存檔 (PDF)於2013-06-17）.
14. Enterprise Risk Management Committee. Overview of Enterprise Risk Management (PDF). Casualty Actuarial Society. May 2003 [2008-09-15]. （原始內容存檔 (PDF)於2012-07-17）.
15. ERM SAM Goals (PDF). CAS Centennial Goal and SAM Goals. Casualty Actuarial Society. March 2008 [2008-09-15]. （原始內容存檔 (PDF)於2020-05-14）.
16. Enterprise Risk Management Web Site. Casualty Actuarial Society. 2008 [2008-09-15]. （原始內容存檔於2020-08-15）.
17. Executive Summary: CAS Board of Directors Meeting (PDF). Casualty Actuarial Society. June 17, 2007 [2008-09-15]. （原始內容 (PDF)存檔於2010-06-27）.
18. Credential Overview. Society of Actuaries. 2008 [2008-09-15]. （原始內容存檔於2017-05-14）.
19. CERA Fast Facts. Society of Actuaries. 2008 [2008-09-15]. （原始內容存檔於2016-12-04）.
20. Benefits. Society of Actuaries. 2008 [2008-09-15]. （原始內容存檔於2017-06-24）.
21. （[//web.archive.org/web/20130617040825/http://www.towersperrin.com/tp/getwebcachedoc?webc=TILL%2FUSA%2F2008%2F200805%2FCFO_Survey19.pdf 頁面存檔備份，存於互聯網檔案館） Embedding Enterprise Risk Management Towers Perrin]
22. （[//web.archive.org/web/20130617040912/http://www.towersperrin.com/tp/getwebcachedoc?webc=GBR%2F2009%2F200901%2F2008_Global_ERM_Survey_12809.pdf 頁面存檔備份，存於互聯網檔案館） 2008 Global Insurance Industry ERM Survey Report Towers Perrin]

• Airmic / Alarm / IRM (2010) "A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000"
• Hopkin, Paul "Fundamentals of Risk Management 2nd Edition" Kogan-Page (2012) ISBN 978-0-7494-6539-1

外部連結

• Springer Series: Computational Risk Management （頁面存檔備份，存於互聯網檔案館）