第一節 風險管理理論

一 風險

西方國家對于風險的研究起步較早。關于風險的概念，學界并未形成統一的觀點。1901年，美國學者Willett在博士論文《風險與保險的經濟理論》中提出：風險是關于不愿意發生的事件發生的不確定性的客觀體現。^[1]這個定義指出風險的兩個重要特征：一是風險的客觀性，即風險是不以人的主觀意愿而消失的；二是風險的不確定性，即風險的本質屬性。1921年，美國經濟學家Frank H.Knight在《風險、不確定性和利潤》書中進一步指出：風險具有“可測定的不確定性”，即通過對歷史數據的統計，在概率論基礎上加以分析計量，進而實現對不確定性的測定。1964年，美國學者C.Arthur Williams和Richard M.Heins將人的主觀因素導入風險概念之中，認為：風險是客觀存在的，不因任何人事物而改變，但認識者的主觀判斷不同，導致風險的不確定性。這一論述揭示了風險的相對性特征。持此相同觀點的還有Lawrence Galitz，他于1998年提出：風險不確定性是一種損失或收益的機會。他認為，這種不確定性導致風險成為一種中性的存在。其內涵擴充為：一是事物未來發展結果的不確定性；二是人對客觀世界認識的局限性；三是一定程度上可度量和控制的屬性。1983年，日本學者武井勵在吸收前人研究成果的基礎上對風險的含義重新進行了表述，在其《風險理論》一書中，對風險定義為“是在特定環境中和特定期間內自然存在導致經濟損失的變化”。1998年中國學者趙曙明在《國際企業：風險管理》中將風險定義歸結為“風險是在一定環境和期限內客觀存在的，導致費用、損失與損害產生可以認識與控制的不確定性”。

由上述風險研究發展歷程總結得出風險主要有如下特征：①客觀性，即風險是客觀存在的，這是不以任何人的主觀意志為轉移的；②偶然性，即風險是某種損失可能發生的不確定性，即使人們知道哪些種類的損失將會發生，還存在這些損失是否會發生的不確定性問題；③相對性，即風險相對于不同的主體和情景會存在差異性特征；④可測性，即風險是可以借助相關統計分析進行估計的；⑤可控性，即我們可以借助風險管理和控制來降低風險；⑥共存性，即風險與收益是共存、對等的。

二 風險管理

風險管理理論和實踐始于20世紀30年代的美國保險業。1931年，美國管理協會保險部開始倡導風險管理，并研究風險管理及保險問題。1950年，Gallagher在《風險管理：成本控制的新階段》論文中，提出了“風險管理”的概念。美國學者James C.Cristy在《風險管理基礎》一書中提出：“風險管理是企業或組織為控制偶然損失的風險，以保全獲利能力和資產所做的一切努力集合。”以Mehr和Hedges的《企業風險管理》（1963）、C.A. Williams和Richard.M.Heins的《風險管理與保險》（1964）的出版為標志，風險管理真正作為一門學科開始出現。Williams和Heins指出，“風險管理是通過對風險的識別、衡量和控制而以最小的成本使風險所致損失達到最低程度的管理方法。”20世紀90年代起，全面風險管理逐漸成為國外學術界和企業界的研究熱點。國內對風險管理的研究起步較晚，20世紀中期開始，一些旅美學者將風險管理理念引入中國。如留美學者袁宗蔚在1957年出版的《保險學》中提出：“風險管理是包括識別風險、衡量風險、積極管理風險、有效處置風險及妥善處理風險所致損失等一整套系統而科學的管理方法。”1997年后至今，國內有關風險管理的研究大量涌現，研究領域逐步擴大到投資并購、貿易、工程等各個方面。

三 風險管理的發展歷程

參照一般管理理念的發展歷程，風險管理的學術發展歷程可以劃分為三個階段：傳統風險管理階段、現代風險管理階段、全面風險管理階段。^[2]

（一）傳統風險管理階段（20世紀90年代以前）

傳統風險管理是一種被動型風險管理，強調利用損失控制和內部合規來實現風險成本的最小化，風險管理的主要內容是信用風險和財務風險。這一階段，企業一般采用專業化或部門化的方式對不同類型的風險分別進行管理，不同部門風險管理政策和工具是相互獨立的。國內學者陳志國認為由于傳統風險主要是指那些帶來損失的風險，因此傳統風險實質上屬于純粹風險，傳統風險管理往往是對部分純粹風險的管理，且傳統風險管理技術與方法相對單一，主要對客觀危害型風險進行控制與管理，著重于單個損失或損害的分離管理，缺乏對關聯風險、背景風險甚至集合風險的整體化管理的策略和技術。

（二）現代風險管理階段（1992～2001年）

隨著企業不同類型風險之間的聯系更加緊密，對風險進行分割管理的被動式管理已無法適應行業競爭的加劇。Kent D.Miller提出了“整合風險管理”（Integrated Risk Management）的概念，認為整合風險管理是一種從整體上考慮系統面臨的各種風險，建立前瞻性的優化組合機制的管理體系。隨后理論界研究呈現百家爭鳴，比較有代表性的是整合風險管理（Integrated Risk Management）、完全風險管理（Total Risk Management）、綜合風險管理（Global Risk Management）。工業管理、工程項目管理領域的學者，從控制和組織的角度提出了整合風險管理，強調從整體角度出發分析、識別、評價企業面對的所有風險并實施相應管理策略。Lisa Meulbroek指出，整合風險管理就是對影響公司價值的眾多因素進行辨別和評估，并在全公司范圍內實行相應戰略以管理和控制這些風險。^[3]心理學、社會學和經濟學學者提出完全風險管理，認為風險管理活動應該涉及價格、偏好和概率三個要素，強調將三要素綜合起來進行系統和動態的理性決策。金融機構學者提出了綜合風險管理，強調對金融機構面臨的風險做出連貫一致、準確和及時的度量。

（三）全面風險管理階段（2001年至今）

進入21世紀，關于整體風險管理理論的研究逐漸融合，開始出現全面風險管理。2001年北美非壽險精算師協會（CAS）在一份報告中明確提出了全面風險管理（Enterprise-wide Risk Management或Enterprise Risk Management，ERM）。CAS對ERM的定義為：ERM是一個對各種來源的風險進行評價、控制、應對、監測的系統過程，任何行業和企業都可以通過這一過程提升股東短期或長期的價值。^[4]2004年，銀行監管的國際標準制定者巴塞爾委員會正式發布巴塞爾新資本協議，正式提出“全面風險管理”概念且詳細地表達了監管當局如何處理銀行集團的風險監管思想。2004年，美國COSO委員會發布了《企業風險管理——整合框架》，從風險管理目標、風險管理要素、風險管理層級對企業全面風險管理進行了全方位的描述。

四 全面風險管理框架

國內外影響力較大的風險管理框架主要有美國COSO于2004年頒布的《企業風險管理——整合框架》、國際標準委員會于2009年頒布的《風險管理——原則與指南》（ISO 31000）、中國國務院國有資產監督管理委員會2006年頒布的《中央企業全面風險管理指引》、中華人民共和國國家質量監督檢驗檢疫總局和中國國家標準化管理委員會于2009年聯合發布的《風險管理原則與實施指南》（GB/T 24353-2009）。我們從風險管理定義、風險管理流程對四個框架進行比較分析（見表2-1）。通過比較發現，四個框架對風險管理的定義基本上達成共識，即風險管理是一個過程，通過評估不確定性因素對目標的影響從而采取相應措施，為企業決策及突發事件的應對提供支持。管理流程內容基本相同，區別在于反映的理念存在差異：COSO強調內部環境和目標設定；ISO 31000強調溝通和協商以及環境的建立；《中央企業全面風險管理指引》強調信息收集，在整個風險管理流程中貫穿信息與溝通的內容；《風險管理原則與實施指南》強調風險評估的重要性。

表2-1 四類風險管理框架的比較分析

我國發布的國家標準《風險管理原則與實施指南》（GB/T 24353-2009）參考ISO 31000《風險管理——原則與指南》編制而成，更符合我國實際的發展情況。指南中提出風險管理過程由明確環境信息、風險評估、風險應對、監督和檢查四部分組成（見圖2-1），也是目前包含核心要素的一般性流程。①明確環境信息。通過明確環境信息，組織可明確其風險管理的目標，確定與組織相關的內部和外部參數，并設定風險管理的范圍和有關風險準則，環境信息包括外部環境信息和內部環境信息。②風險評估包括風險識別、風險分析和風險評價三個步驟。風險識別是通過風險源、影響范圍、事件及其原因和潛在的后果等，生成一個全面的風險列表；風險分析是根據風險類型、獲得的信息和風險評估結果的適用目的，對識別出的風險進行定性和定量的分析，為風險評價和風險應對提供支持；風險評價是將風險分析的結果與組織的風險準則比較，或者在各種風險的分析結果之間進行比較，確定風險等級，以便做出風險應對的對策。③風險應對是選擇并執行一種或多種改變風險的措施，包括改變風險事件發生的可能性或后果的措施。④監督和檢查。組織應明確界定監督和檢查的責任，監督和檢查活動包括常規檢查、監控已知的風險、定期或不定期檢查。此外，在風險管理中還需要溝通和記錄。組織在風險管理過程的每一個階段都應當與內部和外部利益相關者有效溝通，以保證實施風險管理的責任人和利益相關者能夠理解組織風險管理決策的依據，以及需要采取某些行動的原因，在風險管理過程中，記錄是實施和改進整個風險管理過程的基礎。

圖2-1 《風險管理原則與實施指南》（GB/T 24353-2009）風險管理過程