一、引言

企業(yè)風險管理（簡稱ERM）是企業(yè)管理的核心領域之一。簡言之，ERM是企業(yè)管理層和員工實施的旨在將潛在風險控制在企業(yè)可承受的范圍之內，并對企業(yè)戰(zhàn)略、經營效率與效果、財務報告可靠性以及遵循適用的法律法規(guī)等目標提供合理保證的過程。

本文將著重探討ERM的實用工具與技術。這些工具與技術大致可以分為風險識別、風險評估和風險應對三個大類。風險識別旨在找出可能對企業(yè)目標的實現(xiàn)具有影響的潛在事項，并且分析這些事項與企業(yè)目標達成之間的因果關系；風險評估則是對已經發(fā)現(xiàn)的風險事項進行評估，確定這些事項對企業(yè)目標的影響程度；風險應對則是根據評估結果制定、選擇并實施那些降低風險對企業(yè)目標的負面影響的各種措施。

二、風險識別與分析

（一）不確定性與風險

經濟、政治、技術、市場、競爭、企業(yè)內部管理等企業(yè)經營所處的內外環(huán)境都存在某種程度的不確定性。對于企業(yè)的戰(zhàn)略目標、經營目標、報告目標和合規(guī)目標，這些不確定的事項既可能帶來正面影響，也可能帶來負面影響。大多數的不確定事項發(fā)生之前無法預知其帶來的影響是正面的還是負面的。因此，企業(yè)需要協(xié)調自身的風險偏好，把各種潛在的風險控制在可承受的風險容限之內。

（二）識別風險的技術

1.自由討論。請一些理解企業(yè)目標并了解企業(yè)經營環(huán)境的人舉行一個討論會，通過發(fā)揮參會人的主動性和創(chuàng)造性查找各種主要風險。這些討論會要求參與者通力合作，讓僅為極少數人知曉的風險被所有參與人知悉，讓各種未知風險和未發(fā)現(xiàn)的風險變成已知風險。

2.風險事件清單和損失事件記錄。在自由討論中非常有必要向參與人提供一些啟發(fā)性資料，如風險事件清單或損失事項記錄。參與人可以從本企業(yè)或其他企業(yè)已經發(fā)生過的危機事件記錄中得到啟發(fā)，有利于查找本企業(yè)未來可能發(fā)生的類似事件。

3.訪談與自我評估。首先向組織或業(yè)務單元的每個人提供一個模板，指導他們列舉其所負責的范圍內的目標及可能影響此目標實現(xiàn)的潛在風險；然后把所有模板匯總到ERM團隊，確認和評估各種風險及應對風險的能力。

4.引導式研討會。通過自由討論和訪談收到了相關信息后，由多個部門或業(yè)務單元的人員組成的ERM團隊可以舉行一個引導式研討會，通過這種研討識別風險并且進行評級。

5.SWOT分析。SWOT也就是優(yōu)勢—劣勢—機會—威脅，通過對四個方面的因素進行分析，可以有效地識別風險。利用SWOT分析技術識別風險時，需要把大量的時間和精力用在考慮組織的劣勢和威脅上。在深入地進行討論進而形成一致意見的基礎上編制風險矩陣，這樣可以保證每個方面都得到充分的分析。

6.風險問卷和風險調研。為了有效地識別風險，可以利用問卷調查形式就組織內部和外部的各種風險收集信息。與外部因素相關的風險包括政治和社會風險、監(jiān)管風險、行業(yè)風險、經濟風險、環(huán)境風險、競爭風險等；與內部因素相關的風險包括與客戶、債權人、投資者、供應商、運營、產品、生產過程、設備和信息系統(tǒng)等相關的風險。也可以不使用冗長的問卷而直接向相關人員提問調查。

7.情景分析。進行情景分析時，需要設計一系列“如果……那么……”的問題。情景分析尤其適用于識別戰(zhàn)略風險，也經常被用于識別那些高損失/低概率的風險。

8.其他技術。其他可以用于識別風險的方法包括價值鏈分析、系統(tǒng)設計復核、流程分析等。另外，在必要的情況下聘請外部專家也能夠幫助組織有效地識別風險。

（三）風險動因分析

識別一個風險之后，需要對風險進行動因分析，找出導致這種風險的根本原因和主要動因，只有這樣才能正確地對風險進行量化評估?？梢岳们榫胺治鰳嬙煲粋€因果分析圖，進而找到導致該風險的各種動因。例如，在對“未實現(xiàn)收入目標”這一風險進行分析時，可以找到一系列可能導致該風險的原因，進而形成因果分析鏈和因果分析圖，詳見圖1。

為了預測風險事件的后果并對其進行量化，需要在風險動因分析的基礎上，分析每個風險動因對目標的影響，進而把這些影響匯總起來，以便定量評估風險對目標的影響。進一步來說，只知整體風險而不知具體動因，會使企業(yè)掌握的信息過于綜合而無法進行風險防范。而這一過程已經把存在風險的目標分解為不同的風險動因，并且分析每個風險動因對整體風險的影響。因而，企業(yè)可以針對不同風險動因對癥下藥，有效防范風險事件的發(fā)生，降低風險事件對企業(yè)目標的負面影響。

三、風險評估

（一）風險分類

如果企業(yè)識別了成千上萬種風險，看起來錯綜復雜而無法防范和管理，就需要對所有風險進行分類。例如，可以把各種風險分為財務風險、戰(zhàn)略風險、經營風險和災害風險，或者分為可控風險與不可控風險、內部風險與外部風險、可量化風險與不可量化風險、財務風險與非財務風險、可投保風險與不可投保風險等等。經過這樣的分類之后，企業(yè)才能夠進一步針對不同類型的風險進行評估、防范和管理。

（二）風險評估技術

1.風險評級。風險評級是指ERM團隊按照重要性程度排列風險的優(yōu)先次序，如低、中高。風險評級可以通過組織一個跨部門的會議進行，來自整個組織的各種觀點都在評級中得到考慮。風險評級看起來很簡單，但其結果卻會給人以深刻的印象。

2.風險矩陣。一個風險事件的重要性不僅取決于它所產生的影響而且取決于它發(fā)生的可能性。因此可以利用各種風險的影響和概率數據編制風險矩陣。這種矩陣不僅有助于捕捉影響和可能性信息，而且有助于企業(yè)全盤考慮所有風險，以便逐個排查和分類應對。把影響和概率作為兩個向量，分別設置高、中、低三個類別，把所有的風險分別歸入相應的區(qū)域，進而對不同區(qū)域的風險制定相應的防范措施。風險矩陣雖然全盤考慮所有風險，但沒有反映風險事件發(fā)生的時間以及風險事件之間的關聯(lián)。因此，使用風險矩陣時非常有必要明確風險及其后果在何時會影響企業(yè)，同時考慮各種風險之間的關聯(lián)性并且從企業(yè)整體的角度實施管理。

構造風險矩陣的另一種方法是把風險與分支機構或目標對應起來。針對不同分支機構確定確定相應的風險，可以分別找到與不同分支和組織整體對應的風險。而按照目標構造風險矩陣反映了每個目標涉及的全部風險，有助于企業(yè)更加全面地理解每個目標面臨的風險。

3.驗證所估計的影響和概率。企業(yè)可以利用歷史數據來測算風險事件的發(fā)生頻率及此類事件帶來的影響，并據此驗證定性評估中對影響和概率的估計。另外，其他企業(yè)發(fā)生的類似事件也可以幫助企業(yè)理解此類事件可能對本企業(yè)造成的影響。

4.收益－損失曲線。收益－損失曲線以概率分布的形式反映一個風險對企業(yè)財務狀況和經營成果的影響。收益－損失曲線以橫軸表示風險事件對收益的影響（導致的損失或帶來的收益），縱軸表示該事件的影響超過曲線上對應的數值的概率，整個曲線則反映了企業(yè)從該風險中得到多少收益或遭受多少損失。這種信息是管理層決定花費多少錢來管理該風險時必須掌握的信息。不過，收益－損失曲線不反映各種風險之間的關系，也無法把所有風險同時反映出來。

5.旋風圖。旋風圖反映多個風險對某一目標（如收入、利潤、每股收益等）的影響。它雖然不反映風險的相關性和分布，但是它能夠把對某個目標有影響的所有風險都放在一起，進而發(fā)現(xiàn)影響該目標的最大的風險。

6.風險調整后的收益。風險調整后的收益可以使管理層看到，如果風險得到有效管理，收益會怎么樣。把固有風險下的收益、剩余風險下的收益和期望收益同時反映在一個圖表內，可以看出風險調整后的收益比較平滑和穩(wěn)定。盡管投資者喜歡收益增長，但他們也喜歡某種程度的穩(wěn)定性和可預測性，并且愿意為這些特性支付一定的溢價。因此，風險調整后的收益可以幫助管理層制定風險管理目標和評價風險管理業(yè)績。

7.風險敏感性分析。風險敏感性分析旨在分析收益（或現(xiàn)金流量、每股收益等指標）圍繞期望水平上下波動的情況下。在這種方法中，可以分析各種變量對收益的影響，例如利率變動1個百分點時，收益會變動多少。依此類推，可以編制一份預期或預算利潤表，然后測試其對于某些風險的敏感性，進而找到存在風險的收益項目。不僅如此，風險敏感性分析還有助于企業(yè)找到收益背后的風險來源，進而有的放矢地實施防范和控制。

8.風險分解。企業(yè)可以把風險分配到相關業(yè)務單元，以便檢驗和比較每個業(yè)務單元面臨的風險高低以及風險防范措施的有效性。有了這種信息，公司就可以比較每個業(yè)務單元的收益水平和風險。那些收益較低而且風險較高的業(yè)務單元也許不是值得保留的業(yè)務單元。同樣，也可以按月份分解總體風險，以幫助企業(yè)找到風險最大的月份。

（三）確認和評估剩余風險

剩余風險是與固有風險相對而言的定義。固有風險是指在企業(yè)不采取任何風險防范措施時面臨的風險水平；而剩余風險是指對最初確認的風險采取降低措施和實施控制之后仍然存在的威脅各種目標的風險。

為了進一步發(fā)揮風險評估在風險應對決策和業(yè)績評價中的作用，可以將剩余風險分為現(xiàn)有控制產生的剩余風險和現(xiàn)有控制加風險應對措施后產生的剩余風險。固有風險與現(xiàn)有控制下的剩余風險之間的差異說明了現(xiàn)有控制的有效性；現(xiàn)有控制下的剩余風險與風險應對后的剩余風險之間的差異則表明風險應對措施的有效性；二者之和則反映整個企業(yè)風險管理流程的有效性。

四、風險應對

1.回避風險是指企業(yè)避開特定風險事件以免受其影響，如退出某項業(yè)務或細分市場、不參加會產生新風險的方案或活動等。企業(yè)雖然通過這些舉措回避了風險，但是也無法得到與該風險相關的收益。不僅如此，企業(yè)不可能回避所有風險，回避一種風險就會面臨另一種風險。企業(yè)需要在明確風險偏好的前提下，權衡風險、收益及風險容限，決定回避哪些風險而不回避哪些風險。

2.降低風險是指降低可控風險發(fā)生的概率以及減少已發(fā)生風險事件導致的損失。例如，通過完善業(yè)務流程和內部控制可以降低產品缺陷、庫存不足、生產管理失誤等可控的風險事件的發(fā)生概率；通過制定業(yè)務連續(xù)性計劃和危機處理機制可以在風險事件發(fā)生后盡可能減少損失。

3.分擔風險是指通過合同、協(xié)議、保險等方式把風險事件可能導致的損失轉移給第三方。常見的例子包括給重大意外損失投保、參加合資或合伙、外包部分業(yè)務、利用衍生金融工具避險等。

4.接受風險是的常見例子包括依靠投資組合自我抵消、設立風險基金抵御風險、接受那些處于風險容限之內的風險等。

五、結束語

企業(yè)風險管理是一個系統(tǒng)工程。雖然COSO ERM框架和IMA ERM公告等文件已經提供了比較具體的風險管理指南，但是實施ERM時仍然有許多難題需要解決。本文僅從技術角度初步探討了實施ERM的工具和技術。企業(yè)具體應用這些方法時需要結合自身情況靈活運用，在ERM實踐中對這些方法進行完善和創(chuàng)新。

（作者單位：東北財經大學會計學院）