【文章內(nèi)容簡介】 。 1955 年，在美國賓夕法尼亞大學的沃頓商學院，施耐德教授提出了“風險管理”的概念。 第一個國家風險管理標準的誕生。 1995 年由澳大利亞和新西蘭聯(lián)合制訂了世界上第一個國家風險管理標準，明確定義了風險管理的標準程序。 第一個中國的全面風險管理指導性文件發(fā)布。 2020年 6 月 6 日，國務院國有資產(chǎn)監(jiān)督管理委員會發(fā)布了《中央企業(yè)全面風險管理指引》 ，標志著中國走上了風險管理的中心舞臺，掀開了風險管理歷史上新的一頁。 近些年來，全面風險管理作為一個新的管理方法，越來越為更多企業(yè)認可和采納。究其原因，主要來自以下四個方面的推動： 第一，企業(yè)內(nèi)外部日趨復雜的風險環(huán)境。 自二十世紀九十年代末起，伴隨著信息技術的發(fā)展和全球經(jīng)濟一體化，世界市場變化風起云涌，風險數(shù)量及其復雜性也與日俱增。據(jù)美國一家公司 2020 年的統(tǒng)計，一 3 個典型的大型跨國公司可以有多達 11， 000 種的風險，其中能夠用現(xiàn)有的手段管理控制的只有 2， 600 左右。也就是說所有其他 75% 的風險都由公司或者 說主要股東承擔。舊的風險管理范例不足以參考以化解當今有代表性的企業(yè)所面臨的風險，企業(yè)迫切需要新的風險管理方法和技術。 第二，風險管理技術的不斷提高。 風險數(shù)量及其復雜性的增加促進了金融衍生品市場的增長，期貨、期權、遠期互換、資產(chǎn)證券化等金融衍生品層出不窮。這些金融衍生品為企業(yè)提供了轉(zhuǎn)移風險的工具，使得企業(yè)應對風險的策略和手段日益豐富。同時，信息技術的發(fā)展雖然加大了企業(yè)風險的發(fā)生可能性，但也使得對許多風險的有效監(jiān)控成為可能。一些更精確更直觀更容易操作的風險度量方法和風險管理工具不斷涌現(xiàn)，如VAR、 EVA 等。與 20年前相比，風險管理的手段更趨多樣化、系統(tǒng)化，風險應對策略更趨復雜化、專業(yè)化。 第三，國際組織及各國風險管理協(xié)會的大力推動。 自上世紀 80 年以來，美國、英國、法國、日本等國家先后建立起全國性和地區(qū)性的風險管理協(xié)會。這些組織積極推動各國的風險管理理論研究和實踐，先后出臺了各國的風險管理標準，如 2020 年美國 COSO 制訂了企業(yè)風險 4 管理框架標準。國際標準化組織（ ISO）也正著手制定風險管理標準，預計 2020 年前后頒布。 第四，各國的立法。 各國從上世紀 80 年代以來，加快了對公司治理結(jié)構和內(nèi)控系統(tǒng)的立法，如英國 1998 年制訂了公司治理委員會綜合準則，該準則被倫敦證券交易所認可，成為交易所上市規(guī)則的補充，要求所有英國上市公司強制遵守。 2020年 7 月，美國國會通過薩班斯法案，要求所有美國上市公司必須建立和完善內(nèi)控體系。薩班斯法案被稱為是美國自1934 年以來最重要的公司立法，在其影響下，世界各國紛紛出臺類似的方案，加強公司治理和內(nèi)部控制規(guī)范，加大信息披露的要求，加強企業(yè)全面風險管理。到目前為止，世界上已有 30 幾個國家和地區(qū)，包括所有資本市場發(fā)達國家和地區(qū)和一些發(fā)展中國家如馬來西亞，都發(fā)表了對企業(yè)監(jiān)管條例和公司治理準則。在 各國的法律框架下，企業(yè)有效的風險管理不再是企業(yè)的自發(fā)行為，而成為企業(yè)經(jīng)營的合規(guī)要求。 對于企業(yè)而言，其全面風險管理的發(fā)展歷程是： 第一， 企業(yè)全面風險管理的發(fā)展始于 1992 年美國 COSO 委員會發(fā)布的 COSO 內(nèi)部控制整合框架， COSO 委員會即美國“反 5 對虛假財務報告委員會”所屬的內(nèi)部控制專門研究委員會發(fā)起機構委員會，簡稱 COSO 委員會。 第二， 經(jīng)過不斷的完善發(fā)展， 2020 年 7 月美國國會通過了薩班斯法案（ SarbanesOxley 法案），該法案要求所有美國上市公司必須建立和完善內(nèi)控體系，此時的企業(yè)風險管理 還著重于企業(yè)內(nèi)控方面。 第三， 2020 年美國 COSO 委員會發(fā)布了 COSOERM 標準 ——企業(yè)風險管理整合框架，至此形成了一套企業(yè)全面風險管理標準，該標準主要包括內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通及監(jiān)控八方面內(nèi)容。 我國市場經(jīng)濟發(fā)展起步晚，造成企業(yè)風險管理發(fā)展較西方發(fā)達國家相對滯后，隨著我國經(jīng)濟的快速發(fā)展，企業(yè)全面風險管理愈來愈受到各方重視。 6月 6日國務院國有資產(chǎn)監(jiān)督管理委員會出臺了《中央企業(yè)全面風險管理指引》（國資發(fā)改革 [2020]108 號），文件對中 央企業(yè)開展全面風險管理工作的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監(jiān)督與改進、風險管理文化、風險管理信息系統(tǒng)等方面內(nèi)容進行了詳細闡述，據(jù)以指導企業(yè)開展全面風險管理工作，進一步提高企業(yè)管理水平，增強企業(yè)競爭力，促進企業(yè)穩(wěn)步發(fā)展。 6 6 月 28日，為加強和規(guī)范企業(yè)內(nèi)部控制，提高企業(yè)經(jīng)營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，維護社會主義市場經(jīng)濟秩序和社會公眾利益，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，該基本規(guī)范自 2020 年 7 月 1 日起先在上市公司范圍內(nèi)施行，鼓勵非上市的其他大中型企業(yè)執(zhí)行。規(guī)范主要包括總則、內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督及附則等七章內(nèi)容，突破了我國傳統(tǒng)的將內(nèi)部控制局限于會計與審計的局面，將內(nèi)部控制嵌入公司治理并融入生產(chǎn)、人力資源等環(huán)節(jié)的管理，為我國企業(yè)首次構建了一個企業(yè)內(nèi)部控制的標準框架，標志著我國企業(yè)內(nèi)部控制的標準體系初步建立起來。 企業(yè)全面風險管理的主要內(nèi)容。 。 企業(yè)全面風險管理的理念主要包括以下幾個要點：風險是一種可能性，有風險不可怕，可怕的是沒有 風險管理的思維和行動；企業(yè)的風險通常以剩余風險的形式表現(xiàn)出來，企業(yè)要將剩余風險控制在風險容忍度以內(nèi)；風險管理是為了讓企業(yè)實現(xiàn)風險偏好與風險容忍度之間的平衡（風險偏好是指主觀上愿意承擔的風險數(shù)量。風險容忍度是指客觀上能夠承擔的風險數(shù)量）；風險管理本身不是目的，風險管理總是圍繞著企業(yè)的生產(chǎn)經(jīng)營，目的是為了降低風險發(fā)生的可能性及降低風險的影響 7 程度；企業(yè)全面風險管理的四個標準是全面化、系統(tǒng)化、制度化、規(guī)范化；企業(yè)全面風險管理最終要落實到制度和文化上，要成為一種習慣、一種常態(tài)。 。實施企業(yè)內(nèi)部控制及建立企業(yè)全面風險管理體系是企業(yè)領導防范和控制企業(yè)風險應關注的兩方面內(nèi)容。企業(yè)內(nèi)部控制主要從內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通及內(nèi)部監(jiān)管五個方面著手。 內(nèi)部環(huán)境包括規(guī)范的公司治理結(jié)構、組織機構設置與權責分配、企業(yè)文化、人力資源政策、內(nèi)部審計機構設置、反舞弊機制等六方面的完善。這其中比較重要的是企業(yè)內(nèi)部審計機構設置及反舞弊機制： （ 1）企業(yè)內(nèi)部審計委員會應承擔起審查企業(yè)內(nèi)部控制、監(jiān)督內(nèi)部控制的有效實施和內(nèi)部控制自我評價情況、協(xié)調(diào)內(nèi)部控制審計及其他相關事宜的責任，對此，應要求審計 人員具備相應的獨立性、良好的職業(yè)操守和專業(yè)勝任能力，審計機構設置、人員配備和工作具有相對的獨立性，內(nèi)部審計機構對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制缺陷，按照企業(yè)內(nèi)部審計工作程序進行報告，若監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制重大缺陷，直接向董事會及其審計委員會、監(jiān)事會報告。 （ 2）反舞弊機制重點應關注企業(yè)是否存在以下幾點隱患：未經(jīng)授權或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)，牟取不 8 當利益；在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等；董事、監(jiān)事、經(jīng)理及其他高級管理人員濫用職權；相關機構或人員串通舞弊。 對此，應實施的措施為建立舉報投訴制度和舉報人保護制度，設置舉報專線，明確舉報投訴處理程序、辦理時限和辦結(jié)要求，以確保舉報、投訴成為企業(yè)有效掌握信息的重要途徑。 風險評估就是考慮潛在事件發(fā)生的可能性和對企業(yè)目標實現(xiàn)的影響程度，主要包括風險識別、風險分析及風險評價，這是企業(yè)全面風險管理的核心環(huán)節(jié)，企業(yè)風險辨識是指查找企業(yè)各業(yè)務單元、各項重要經(jīng)營活動及其重要業(yè)務流程中有無風險，有哪些風險，企業(yè)主要存在的風險包括政策形勢風險、組織結(jié)構風險、戰(zhàn)略方向風險、資本風險、企業(yè)管理風險、人力資源風險、財務風險、運營風險 、生產(chǎn)風險、質(zhì)量風險、市場風險、文化風險、信息系統(tǒng)風險、合規(guī)風險、環(huán)境風險、安全與健康風險。 內(nèi)部監(jiān)督包括持續(xù)監(jiān)督（各有關部門和業(yè)務單位）、單獨評價（風險職能部門、審計部門 ）、報告缺陷（各有關部門和業(yè)務單位 ）、壓力測試、返回測試、穿行測試、風險控制、自我評估。 9 。企業(yè)全面風險管理的流程為：收集風險管理初始信息；進行風險評估；制定風險管理策略；提出和實施風險管理解決方案；風險管理的監(jiān)督與改進。 （ 1）收集風險管理初始信息是全面風險管理的基礎工作，主要收集戰(zhàn)略、財務、市場、運 營及法律風險初始信息，包括宏觀環(huán)境數(shù)據(jù)、行業(yè)基準數(shù)據(jù)、企業(yè)歷史數(shù)據(jù)等等。 （ 2）風險評估可以運用定性或定量分析法，結(jié)合多種分析技術進行風險的識別、分析及評價。 （ 3）風險管理策略主要分為回避、減少、轉(zhuǎn)移、接受、對沖五種策略，需要注意的是風險管理策略并不是將風險降到最低，也就是說風險管理的目標并不是不惜代價消除風險，而是使剩余風險最多與企業(yè)的風險容忍度一致。 （ 4）風險管理的策