1、美國企業(yè)風險管理框架及對我國的啟示COSO（1992）提出了內部控制的五個要素，其中之一便是風險評估。COSO（ 1992）指出，每一個主體都面臨著各種來源于內部和外部的風險，這些風險必須加以評估。風險評估的前提之一是建立目標，不同層次的目標應當相互 聯(lián)系 并保持內部一致。風險評估是指識別、分析與實現(xiàn)目標相關的風險，它是決定這些風險應如何管理的基礎。由于經(jīng)濟、行業(yè)、管制和經(jīng)營條件會不斷發(fā)生變化，應當建立相應的機制以識別并處理與這些變化相關的特定風險。COSO（ 1992）指出，須從企業(yè)整體和作業(yè)兩個層次來識別風險。企業(yè)整體層次的風險可能由外部或內部因素而產(chǎn)生。外部因素如：科技發(fā)展、顧客的需求或

2、預期改變、競爭、新頒布的 法律 法規(guī)、天然災害、經(jīng)濟 環(huán)境 改變；內部因素如：信息系統(tǒng)處理的中斷、員工的品質、經(jīng)理人的責任改變、企業(yè)活動的性質以及員工可接近企業(yè)資產(chǎn)的程度、董事會或監(jiān)事會不夠堅定或無效。（二）風險管理的新發(fā)展：企業(yè)風險管理整體框架2004 年， COSO發(fā)布了其研究報告企業(yè)風險管理整體框架。風險管理整體框架（ ERM）是在內部控制整體框架基礎上發(fā)展而來的。 COSO(2004)指出，風險管理框架不想也沒有替代內部控制框架，但它將內部控制框架整合在內，采用這一框架，企業(yè)既可以滿足內部控制的需要，也可以建立一個完整的風險管理過程。1. 風險管理的目標COSO(2004)認為，主體的

3、目標包括四個：（1）戰(zhàn)略目標，是高水平的目標，它應與組織的使命一致并支持該使命；（2）經(jīng)營目標，組織應當有效率和效果地使用資源；（3）報告目標，組織應當提供可靠的報告；（4）遵循目標（合規(guī)性目標），即組織應當遵循相關的法律規(guī)章。企業(yè)風險管理實際就是為實現(xiàn)上述目標提供合理的保證。2風險管理的內容企業(yè)風險管理包含以下方面的內容（作用）：（1）協(xié)調風險偏好和戰(zhàn)略。管理層在評估不同的戰(zhàn)略、確定相關目標、建立相關風險的管理機制時，應考慮組織的風險偏好。（2）改進風險反應決策。企業(yè)風險管理要求識別并在不同的風險應對策略（包括規(guī)避、降低、分擔與接受風險）中做出選擇。（3）減少經(jīng)營意外與損失。提高組織識別潛在

4、事項并做出反應，減少意外事項及相關的成本或損失的能力。（4）識別并管理多個企業(yè)之間以及企業(yè)內部的風險。每一個企業(yè)都面臨無數(shù)的、會影響組織不同方面的風險，企業(yè)風險管理應當有助于對相關關聯(lián)的影響作出有效的反應，并對多企業(yè)的風險作出整體性反應。（5）抓住機會。通過考慮所有的潛在事項，管理層應當能夠識別并實現(xiàn)機會。（6）改善資本的配置。在獲得關于風險的信息后，管理層可以有效地評估總體資本需求并改進資本的配置。企業(yè)風險管理的上述作用，有助于管理層實現(xiàn)組織的經(jīng)營和盈利目標，并防止資源損失。企業(yè)風險管理有助于保證提供有效的財務報告和對法律規(guī)章的遵循，并有助于避免組織聲譽的損害及相關不良后果。總之，企業(yè)風險管

5、理有助于企業(yè)向其所期望的方向發(fā)展，避免在發(fā)展的過程中遭遇陷阱和意外。3風險管理的要素企業(yè)風險管理包含八個相互關聯(lián)的要素。這些要素來源于管理層管理企業(yè)的方法，并與管理過程合成一個整體。這些要素包括：（1）內部環(huán)境。內部環(huán)境包含了組織的風格，它確定了組織人員如何看待和處理風險的基礎，是其它要素的基礎。內部環(huán)境具體包括風險管理 哲學 、風險偏好、董事會、誠實度和道德價值觀、組織結構、勝任能力、人力資源政策與實務、權責分配。（2）目標設定。在管理層辨別影響其目標實現(xiàn)的潛在事項之前，必須有目標。企業(yè)風險管理要求管理層設定目標，選擇的目標需要能夠支持組織的使命并與組織使命相一致，并與其風險偏好相一致。（3

6、）事項識別。即識別那些影響組織目標實現(xiàn)的內外部事項，并區(qū)分為風險和機會。機會將被考慮進管理層的戰(zhàn)略或目標設定過程中。（4）風險評估。必須對風險加以分析，考慮其發(fā)生的可能性以及影響，并作為確定這些風險應如何加以管理的基礎。應當對固有風險和殘存風險加以評估。（5）風險應對。管理層應在不同的風險應對（包括回避、接受、降低、分擔風險）中做出選擇，從而采取一系列與組織的風險容忍度（ risk tolerances ）和風險偏好相一致的行動。（6）控制活動。應建立相關的政策和程序，以確保風險應對策略得到有效的執(zhí)行?？刂苹顒油ǔ０▋蓚€要素：確定應從事何種活動的政策、執(zhí)行政策的程序。（7）信息與溝通。應當按

7、照特定的格式和時間框架來識別、捕捉相關信息并加以傳遞溝通，從而使人們可以履行其職責。有效的溝通存在于較廣泛的意義上，包括向下、向上以及平行交互溝通。（8）監(jiān)控。整個企業(yè)風險管理都應當加以監(jiān)控并根據(jù)需要做出調整。監(jiān)督可以通過持續(xù)性的管理活動、單獨評價或者二者同時來實現(xiàn)。對于這八個要素， COSO（2004）指出，企業(yè)風險管理不是一個嚴格的序列過程，即一個要素僅影響下一個要素，而且是一個多方向的、相互影響的過程，任何要素都可以并且確實影響其它的要素。4. 風險管理目標與風險管理要素的關系COSO（2004）認為，目標是主體要實現(xiàn)什么，企業(yè)風險管理的要素則意味著需要什么來實現(xiàn)它們，因此，風險管理的目

8、標與要素之間存在密切的直接聯(lián)系。這樣，企業(yè)目標、風險管理要素與企業(yè)各個層級之間就形成一個三維立體圖。二、美國風險管理準則對我國的啟示從以上 COSO風險管理準則內容和要求上，可以看出存在以下特點：（一）將風險管理與內部控制聯(lián)系在一起。內部控制是風險管理的重要手段，董事會應當建立并維持有效的內部控制系統(tǒng)以實現(xiàn)風險管理。（二）均強調風險管理是一個包含風險識別、計量和應對的系統(tǒng)化過程。風險識別、計量、應對和控制活動是一個緊密的整體，企業(yè)必須識別面臨的潛在風險，并評估其對企業(yè)的影響，從而采取相應的措施來應對風險。在風險識別和分析、評估的技術上，均強調應當結合采用定量技術和定性技術。另外，人們越來越認識

9、到，風險是無法絕對消除的，因此，風險管理的目標是將其控制在主體的風險偏好以內，而不是消除風險。反映到風險應對策略上，相關的風險管理準則大都強調風險的應對措施包括回避、抑減（降低）、轉嫁（分攤）、接受，應當根據(jù)風險發(fā)生的可能性、對主體的影響以及主體自身的風險容量選擇適當?shù)膽獙Υ胧?。（七）強調定期對風險管理過程和內部控制進行評估，并對發(fā)現(xiàn)的缺陷和不足加以 報告 。風險管理是一個持續(xù)的、動態(tài)的過程，企業(yè)的內、外部環(huán)境在不斷地變化，這決定了原先的控制未必有效，因此，必須定期對風險管理過程和內部控制的有效性進行評估，以找出其缺陷和不足并及時采取補救措施。（八）強調風險管理和內部控制信息的對外披露。向外部

10、使用者報告風險管理和內部控制信息，是董事會和管理層受托責任的要求。通過信息披露，外部投資者可以對企業(yè)面臨的機會和風險以及企業(yè)風險控制的業(yè)績作出評價，從而做出相關決策；對董事會和管理層來講，對外披露風險管理和內部控制相關的信息，可以促使企業(yè)完善相關制度以加強風險控制。近年來，西方國家紛紛制定風險管理準則，以幫助和指導企業(yè)建立健全風險管理框架，如英國的 Turnbull 報告、澳大利亞和新西蘭風險管理準則、加拿大標準協(xié)會、日本發(fā)布的建立并 應用 風險管理系統(tǒng)的指南等。從我國企業(yè)風險管理的現(xiàn)狀來看，企業(yè)普遍缺乏風險管理的意識以及整體化風險管理的理念，在風險識別、評估、報告和應對方面也都存在許多錯誤認識，中航油等許多企業(yè)的失敗均表明了這一點。面對日益復雜的經(jīng)營環(huán)境，企業(yè)必須加強風險管理。就政府監(jiān)管部門而言，應當及時制定企業(yè)風險管理指引，以促進企業(yè)建立相關風險管理制度。 中國 銀監(jiān)會已先后發(fā)布了商業(yè)銀行集團客戶授信業(yè)務風險管理指引（ 2003 年 10 月 23 日）、商業(yè)銀行房地產(chǎn)貸款風險管理指引（ 2004 年 9 月 2 日）、商業(yè)銀行個人理財業(yè)務風險管理指引（ 2004 年