企业风险管理理论的演进与展望

96审计研究2010年4期企业风险管理理论的演进与展望∗王稳王东【摘要】企业风险管理作为风险管理学科的一个重要领域，在50多年的发展过程中实现了从多个领域的分散研究向全面风险管理一体化框架的演进，其中风险管理理论和内部审计与控制理论是两大理论来源，风险管理理论经历了从传统风险管理、财务波动性风险管理向企业风险管理的发展，而内部审计与控制理论也经历了内部会计控制、内部控制整体框架向企业风险管理的演进，上述两大理论的发展都指向了企业风险管理的方向，企业风险管理理论最终实现了集成发展，成为企业管理不可或缺的重要组成部分。【关键词】企业风险管理内部审计内部控制当今风险管理理论是一个“丛林式”的庞杂体系，但从2004年美国反财务欺诈委员会发起委员会（简称COSO）发布《企业风险管理——整合框架》以后，企业风险管理已经成为风险管理的核心标准，甚至是同义词了。各国官方机构、监管机构以及业务主体纷纷采纳并以此为基础进行有关风险管理的研究和改进。但是，什么是企业风险管理？企业风险管理从何而来？企业风险管理的发展前景和趋势是什么？本文通过相关文献回顾，梳理了企业风险管理理论演进的脉络，展望了企业风险管理的发展趋势。一、第一个理论来源——风险管理理论的演进“风险管理”作为一种经营和管理的理念，具有悠久的历史：西方几千年前就有“不要把所有鸡蛋都放在一个篮子里”的谚语，中国古代著名的“积谷防饥”典故以及“义仓”制度、“船帮”组织等都具有现代风险管理思想的雏形，而分船运输、镖局押运等则是分散风险、转移风险的有效方法。现代意义上的风险管理思想出现在20世纪前半期，如法约尔的安全生产思想、马歇尔的“风险分担管理”观点等；但是风险管理作为一门学科得到系统的发展则是开始于20世纪中叶：1950年，加拉格尔在《风险管理：成本控制的新阶段》的论文中，提出了风险管理的概念；Johnso（1952）提到了农场管理中如何处理风险和不确定性问题，从而较早涉及到了企业（农场）的风险管理问题。风险管理真正作为一门学科的出现，是以Mehr和Hedges的《企业风险管理》（1963）和C.A.Williams和RichardM.Heins《风险管理与保险》（1964）的出版为标志。Williams和Heins认为，“风险管理是通过对风险的识别、衡量和控制从而以昀小的成本使风险所致损失达到昀低程度的管理方法”，风险管理不仅仅是一门技术、一种方法、一种管理过程，而且是一门新兴的管理科学。风险管理理论的发展，主要经历了三个阶段：（一）第一阶段：20世纪50年代到70年代理论倾向主要是防范和管理企业面临的纯粹风险（不利风险）；企业风险管理所采取的主要策略就是风险回避和风险转移，保险成为主要的风险管理工具。通用汽车公司的火灾事件以及美国钢铁行业的工人罢工都对企业的正常经营造成了严重的影响和损失，成为推动企业风险管理理论发展的重要契机。本阶段风险管理理论的第一个重要领域，是对风险管理对象的界定和研究。20世纪以来，理论界一直把风险管理的对象分为纯粹风险和投机风险两大类，并将纯粹风险作为风险管理的对象和目标（Denenberg，1966；Gahin，1967）。其实，将风险分为纯粹风险和投机风险是一种基于责任划分的方法，是针对损失而言，并非针对风险而言，因此与其将其分为纯粹风险和投机风险，而不如将其分为纯粹损失和投机损失，∗王稳、王东，对外经济贸易大学保险学院，邮政编码：100029，电子邮箱：wangw6966@vip.sina.com。本文得到对外经济贸易大学国家“211工程”重点学科建设项目“WTO与中国金融安全与风险防范（项目号：73000010）”、对外经济贸易大学“企业风险管理”学术创新团队项目资助。97审计研究2010年4期因为这样更能体现风险经理的真正着眼点——损失问题。第二个重要领域是，对企业的保险决策和投保行为，以及保险在应对企业风险中的重要作用和普遍性的研究。Greene（1955）对风险管理的定位就是保险购买者。1955年，《管理评论》发表的论文《对风险问题的一种管理方法》，认为保险作为企业管理风险的昀重要手段应该得到企业管理层和股东的重视，认为保险是企业支出的各种成本中昀具有价值的部分。Denenberg等（1966）也强调了保险在这个阶段风险管理中的重要作用，指出风险经理的重要职责就是为企业确定合适的保险策略和保险产品，以至于将风险经理的名称改为“保险和风险经理”。Snider（1956）、McCahill，Jr（1971）强调，风险管理部门在企业的组织结构中不仅要具有一定的地位，向昀高管理层汇报工作，而且要与财务部门保持良好的沟通和配合。第三个重要的领域是，将风险管理理论融入到主流经济学和管理学的分析框架中。一方面，通过将风险管理理论与传统的企业理论相结合，将风险管理的决策过程与企业的整体决策相融合；利用资本资产定价模型，企业的决策规则拓展到昀优自留比例、累计免赔额的选择以及选择储备政策等方面，使得风险管理融入金融市场理论中；而利用边际分析工具来确定风险管理的昀优策略，则标志着风险管理在理论上进一步成型，并成为金融学的一个重要领域（Cummins，1976）。另一方面，WilliamG.Scott的复杂组织系统模型与风险管理相结合，通过对企业基本系统和分支机构的规整，将企业的整体目标与风险经理的日常目标有机统一起来，进而将分支机构的考核目标转向对企业整体风险识别和衡量的贡献，并考虑这些分支机构之间的相互关系以及这些相互关系的动态特征，从而为风险管理学科的发展提供了理论来源（Close，1974）。（二）第二阶段，20世纪70年代后期到20世纪末风险管理的对象主要是业务和财务成果的波动性，风险管理的工具也在保险的基础上实现了很大的发展，新的衍生品和另类风险转移（ART）担当了重要的角色。20世纪70年代，布雷顿森林体系的崩溃使得汇率的波动性明显加大，原油价格的大幅上涨使得企业的生产成本难以控制；进入80年代后，高通胀、利率波动以及多起货币和信贷危机使得企业的经营面临更大的不确定性，而投资者对这种收益的波动性表现出明显的厌恶情绪。特别是，跨国公司面临着尤为明显的汇率风险，汇率的波动影响企业的已实现利润、持有的金融资产的价值以及预期的收入。同时，在具体策略和措施的实施中也受到企业的风险态度的影响，针对不同的货币，企业存在着不同的管理行为和策略：在“软”通货中，企业往往会采取有利措施来抵消可能会带来的未预期损失，相反在“硬”通货中，企业偏向于保留部分正向敞口（Folks，Jr.1972；Rodriguez，1974、1978）。在这个阶段，随着资本市场和保险市场的融合，发展出了新的风险管理工具——ART（另类风险转移）。ART是一种综合保险和衍生品两者特点的风险转移产品，是一系列非传统风险转移产品、风险工具和风险技术的总称，也称结构性风险管理工具。其中，专属保险公司的发展非常迅速（Davidson等，1987、1988；Glascock等，1988；Ullrich，1992）。此外，以芝加哥交易所交易的巨灾期权产品为代表的基于资本市场的保险衍生品的出现，使得保险行业具备了从资本市场获取所需的再保险能力，资本市场也因为这些新的产品类型的出现而能够更好地发挥其职能（Canter等，1997）。结构性工具的大量应用在方便企业进行风险管理的同时，也由于其杠杆性的特点会放大企业使用策略不当造成的损失，因此衍生产品的使用和管理策略就变得十分重要。因此，企业进行风险管理和衍生品交易时，应当密切关注竞争者的对冲策略（Froot等，1994）。而Cummins等（2001）的研究发现，尽管风险和非流动性的测量与保险人的决策有着正面的联系，但是对于那些运用衍生品进行风险对冲的公司来说，风险指标却与对冲的深度和广度有着负面的关系。（三）第三阶段，21世纪以来进入21世纪以后，随着全球经济一体化进程的加快，企业面临的风险不断增加，各种风险的影响和潜在后果也随之放大，加之金融衍生品交易的复杂程度和频率都迅速增加，对企业的持续经营提出了严峻的挑战，企业必须突破传统的风险管理模式，从更加综合、全面的视角来分析和管理面临的风险，因此，风险管理发展到了全面风险管理的阶段。全面风险管理的出现和应用为企业风险管理提供了新的方法和工具，其应用领域十分广泛，从企业、非盈利机构到政府都逐步引入这个分析框架。98审计研究2010年4期二、第二个理论来源——内部审计与控制理论的发展在企业风险管理理论的演进过程中，第二个理论来源是内部审计与控制理论的演进和发展。从文献看，内部审计与控制大致经历了内部会计控制——内部控制整体框架——企业风险管理整体框架的过程，其中COSO发挥了主导作用，特别是它发布的两个具有标志性意义的文件《企业内部控制—整体框架》和《企业风险管理—整合框架》。企业所有权和控制权的分离是内部审计与控制理论兴起的根本动因，而企业规模的扩大和分支结构的增多所带来的管理不力和控制不足问题则是促使企业加强内部审计与控制的直接动因。（一）内部会计控制内部会计控制是内部控制理论发展的第一个阶段。Grady（1957）指出，内部会计控制就是一个综合了组织的计划和商业中运用的协调过程的制度，用于预防未预期到的或是错误的操作带来的资产损失、检查管理决策中用到的会计数据的准确性和客观性、提升运营效率和鼓励遵守已制定的政策等。在实践中，会计和审计人员在内部会计控制中发挥了主导作用，审计成为内部控制的昀初形式，因此，内部控制是在审计活动中得到深化并基于审计理论得以发展。但是，随着企业管理活动的增加，单纯的审计已经不能满足企业的需求，内部控制应运而生，审计则成为内部控制的一个组成部分（Haun，1955）。内部审计部门是企业实现控制和管理的重要条件，是企业内部控制中的关键组成部分，是昀高管理层的“监督之眼”。对于内部控制评估来说，审计是昀重要的工具和承担者；同时，审计数据为内部控制的评估提供了条件，通过对审计数据的评估，可以初步判断企业的内部控制制度以及需要改进的方面，从而为内部控制的完善提供思路（Garbade,1944；Mautz等,1966；Smith,1972）。（二）内部控制整体框架1992年COSO发布了《企业内部控制—整体框架》，第一次系统构建了企业的内部控制体系。COSO框架下的内部控制，更多地是基于独立会计师和审计师的视角，提出了企业内部控制构成的概念，认为内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通、监督五大要素组成，由此内部控制的概念完全突破了审计的局限，向企业全面管理控制的范畴发展。1995年加拿大COCO报告向外部审计师提出了更高的要求，为企业的内部控制加入了外部因素。1996年国际内部审计师协会发布《控制：概念和责任》报告，认为应更加重视内部审计在组织中的贡献和作用。英国风险管理界的卡德伯利报告、哈姆佩尔报告，以及作为综合准则指南的特恩布尔报告昀为有名，堪称英国内部控制研究史上的三大里程碑，特别是1992年的卡德伯利报告以内部控制、财务报告质量以及公司治理之间的关系为前提，十分重视独立审计委员会对内部控制的意义。理论界从多个方面展开研究，突出地是对内控报告和内控信息披露的分析。Root（1998）认为内部控制是一种超越了会计视角的更加全面的企业管理和控制活动。Willis（2000）认为，内控报告可以使投资者加深对公司的全面了解，密切了投资者和公司之间的沟通联系。Mcmullen等（1996）、Newson等（2002）认为，内控信息的披露也间接具有分辨公司好坏的功能。（三）企业风险管理整体框架2004年，COSO委员会在1992年报告的基础上，结合《萨班斯—奥克斯法案》的要求，正式发布了《企业风险管理—整合框架》。该分析框架将内部控制涵盖在企业风险管理的范围内，形成了含义更广泛的内部风险管理框架。因此，内部审计与控制理论的发展昀终指向了企业的全面风险管理。回顾内部审计与控制的发展脉络，可以看出，理论的演进经历了“平面——三维——立体”的过程：在内部会计控制阶段，控制环