第一节 风险管理理论

一 风险

西方国家对于风险的研究起步较早。关于风险的概念，学界并未形成统一的观点。1901年，美国学者Willett在博士论文《风险与保险的经济理论》中提出：风险是关于不愿意发生的事件发生的不确定性的客观体现。^[1]这个定义指出风险的两个重要特征：一是风险的客观性，即风险是不以人的主观意愿而消失的；二是风险的不确定性，即风险的本质属性。1921年，美国经济学家Frank H.Knight在《风险、不确定性和利润》书中进一步指出：风险具有“可测定的不确定性”，即通过对历史数据的统计，在概率论基础上加以分析计量，进而实现对不确定性的测定。1964年，美国学者C.Arthur Williams和Richard M.Heins将人的主观因素导入风险概念之中，认为：风险是客观存在的，不因任何人事物而改变，但认识者的主观判断不同，导致风险的不确定性。这一论述揭示了风险的相对性特征。持此相同观点的还有Lawrence Galitz，他于1998年提出：风险不确定性是一种损失或收益的机会。他认为，这种不确定性导致风险成为一种中性的存在。其内涵扩充为：一是事物未来发展结果的不确定性；二是人对客观世界认识的局限性；三是一定程度上可度量和控制的属性。1983年，日本学者武井励在吸收前人研究成果的基础上对风险的含义重新进行了表述，在其《风险理论》一书中，对风险定义为“是在特定环境中和特定期间内自然存在导致经济损失的变化”。1998年中国学者赵曙明在《国际企业：风险管理》中将风险定义归结为“风险是在一定环境和期限内客观存在的，导致费用、损失与损害产生可以认识与控制的不确定性”。

由上述风险研究发展历程总结得出风险主要有如下特征：①客观性，即风险是客观存在的，这是不以任何人的主观意志为转移的；②偶然性，即风险是某种损失可能发生的不确定性，即使人们知道哪些种类的损失将会发生，还存在这些损失是否会发生的不确定性问题；③相对性，即风险相对于不同的主体和情景会存在差异性特征；④可测性，即风险是可以借助相关统计分析进行估计的；⑤可控性，即我们可以借助风险管理和控制来降低风险；⑥共存性，即风险与收益是共存、对等的。

二 风险管理

风险管理理论和实践始于20世纪30年代的美国保险业。1931年，美国管理协会保险部开始倡导风险管理，并研究风险管理及保险问题。1950年，Gallagher在《风险管理：成本控制的新阶段》论文中，提出了“风险管理”的概念。美国学者James C.Cristy在《风险管理基础》一书中提出：“风险管理是企业或组织为控制偶然损失的风险，以保全获利能力和资产所做的一切努力集合。”以Mehr和Hedges的《企业风险管理》（1963）、C.A. Williams和Richard.M.Heins的《风险管理与保险》（1964）的出版为标志，风险管理真正作为一门学科开始出现。Williams和Heins指出，“风险管理是通过对风险的识别、衡量和控制而以最小的成本使风险所致损失达到最低程度的管理方法。”20世纪90年代起，全面风险管理逐渐成为国外学术界和企业界的研究热点。国内对风险管理的研究起步较晚，20世纪中期开始，一些旅美学者将风险管理理念引入中国。如留美学者袁宗蔚在1957年出版的《保险学》中提出：“风险管理是包括识别风险、衡量风险、积极管理风险、有效处置风险及妥善处理风险所致损失等一整套系统而科学的管理方法。”1997年后至今，国内有关风险管理的研究大量涌现，研究领域逐步扩大到投资并购、贸易、工程等各个方面。

三 风险管理的发展历程

参照一般管理理念的发展历程，风险管理的学术发展历程可以划分为三个阶段：传统风险管理阶段、现代风险管理阶段、全面风险管理阶段。^[2]

（一）传统风险管理阶段（20世纪90年代以前）

传统风险管理是一种被动型风险管理，强调利用损失控制和内部合规来实现风险成本的最小化，风险管理的主要内容是信用风险和财务风险。这一阶段，企业一般采用专业化或部门化的方式对不同类型的风险分别进行管理，不同部门风险管理政策和工具是相互独立的。国内学者陈志国认为由于传统风险主要是指那些带来损失的风险，因此传统风险实质上属于纯粹风险，传统风险管理往往是对部分纯粹风险的管理，且传统风险管理技术与方法相对单一，主要对客观危害型风险进行控制与管理，着重于单个损失或损害的分离管理，缺乏对关联风险、背景风险甚至集合风险的整体化管理的策略和技术。

（二）现代风险管理阶段（1992～2001年）

随着企业不同类型风险之间的联系更加紧密，对风险进行分割管理的被动式管理已无法适应行业竞争的加剧。Kent D.Miller提出了“整合风险管理”（Integrated Risk Management）的概念，认为整合风险管理是一种从整体上考虑系统面临的各种风险，建立前瞻性的优化组合机制的管理体系。随后理论界研究呈现百家争鸣，比较有代表性的是整合风险管理（Integrated Risk Management）、完全风险管理（Total Risk Management）、综合风险管理（Global Risk Management）。工业管理、工程项目管理领域的学者，从控制和组织的角度提出了整合风险管理，强调从整体角度出发分析、识别、评价企业面对的所有风险并实施相应管理策略。Lisa Meulbroek指出，整合风险管理就是对影响公司价值的众多因素进行辨别和评估，并在全公司范围内实行相应战略以管理和控制这些风险。^[3]心理学、社会学和经济学学者提出完全风险管理，认为风险管理活动应该涉及价格、偏好和概率三个要素，强调将三要素综合起来进行系统和动态的理性决策。金融机构学者提出了综合风险管理，强调对金融机构面临的风险做出连贯一致、准确和及时的度量。

（三）全面风险管理阶段（2001年至今）

进入21世纪，关于整体风险管理理论的研究逐渐融合，开始出现全面风险管理。2001年北美非寿险精算师协会（CAS）在一份报告中明确提出了全面风险管理（Enterprise-wide Risk Management或Enterprise Risk Management，ERM）。CAS对ERM的定义为：ERM是一个对各种来源的风险进行评价、控制、应对、监测的系统过程，任何行业和企业都可以通过这一过程提升股东短期或长期的价值。^[4]2004年，银行监管的国际标准制定者巴塞尔委员会正式发布巴塞尔新资本协议，正式提出“全面风险管理”概念且详细地表达了监管当局如何处理银行集团的风险监管思想。2004年，美国COSO委员会发布了《企业风险管理——整合框架》，从风险管理目标、风险管理要素、风险管理层级对企业全面风险管理进行了全方位的描述。

四 全面风险管理框架

国内外影响力较大的风险管理框架主要有美国COSO于2004年颁布的《企业风险管理——整合框架》、国际标准委员会于2009年颁布的《风险管理——原则与指南》（ISO 31000）、中国国务院国有资产监督管理委员会2006年颁布的《中央企业全面风险管理指引》、中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会于2009年联合发布的《风险管理原则与实施指南》（GB/T 24353-2009）。我们从风险管理定义、风险管理流程对四个框架进行比较分析（见表2-1）。通过比较发现，四个框架对风险管理的定义基本上达成共识，即风险管理是一个过程，通过评估不确定性因素对目标的影响从而采取相应措施，为企业决策及突发事件的应对提供支持。管理流程内容基本相同，区别在于反映的理念存在差异：COSO强调内部环境和目标设定；ISO 31000强调沟通和协商以及环境的建立；《中央企业全面风险管理指引》强调信息收集，在整个风险管理流程中贯穿信息与沟通的内容；《风险管理原则与实施指南》强调风险评估的重要性。

表2-1 四类风险管理框架的比较分析

我国发布的国家标准《风险管理原则与实施指南》（GB/T 24353-2009）参考ISO 31000《风险管理——原则与指南》编制而成，更符合我国实际的发展情况。指南中提出风险管理过程由明确环境信息、风险评估、风险应对、监督和检查四部分组成（见图2-1），也是目前包含核心要素的一般性流程。①明确环境信息。通过明确环境信息，组织可明确其风险管理的目标，确定与组织相关的内部和外部参数，并设定风险管理的范围和有关风险准则，环境信息包括外部环境信息和内部环境信息。②风险评估包括风险识别、风险分析和风险评价三个步骤。风险识别是通过风险源、影响范围、事件及其原因和潜在的后果等，生成一个全面的风险列表；风险分析是根据风险类型、获得的信息和风险评估结果的适用目的，对识别出的风险进行定性和定量的分析，为风险评价和风险应对提供支持；风险评价是将风险分析的结果与组织的风险准则比较，或者在各种风险的分析结果之间进行比较，确定风险等级，以便做出风险应对的对策。③风险应对是选择并执行一种或多种改变风险的措施，包括改变风险事件发生的可能性或后果的措施。④监督和检查。组织应明确界定监督和检查的责任，监督和检查活动包括常规检查、监控已知的风险、定期或不定期检查。此外，在风险管理中还需要沟通和记录。组织在风险管理过程的每一个阶段都应当与内部和外部利益相关者有效沟通，以保证实施风险管理的责任人和利益相关者能够理解组织风险管理决策的依据，以及需要采取某些行动的原因，在风险管理过程中，记录是实施和改进整个风险管理过程的基础。

图2-1 《风险管理原则与实施指南》（GB/T 24353-2009）风险管理过程