王东

摘要：2004年的COSO《企业风险管理—整合框架》报告发布以后，COSO—ERM 框架成了企业风险管理的标准框架，但是次贷危机中众多金融机构的破产，使得COSO—ERM框架的有效性受到了怀疑。在后危机时代，发展新的风险管理框架成为必然要求。企业风险管理的目标从追求公司（股东）利益最大化转向追求企业利益相关者利益最大化，企业风险管理的内容也从COSO八要素风险管理发展到以经济资本、风险管理要素、结构性金融工具和可持续风险管理为支柱的全面风险管理。

关键词：企业风险管理；经济资本；风险管理要素；可持续风险管理

Abstract：Since COSO issued“Enterprise Risk Management-Integrated Framework”，COSO-ERM framework has become the standard of enterprise risk management，but as some financial institutions broke in the Subprime Crisis，the effectiveness of the enterprise risk management was suspected. Today in the post-crisis era，developing new analytical framework of enterprise risk management becomes an inevitable claim. In the new analysis framework，the objective of enterprise risk management is shifted from the company（shareholders）to maximize the interests to maximize the interests of corporate stakeholders，and the contents of enterprise risk management are shifted from the COSO eight elements to the economic capital，risk management elements，structured financial instruments and risk management for the pillars of sustainable comprehensive risk management.

Key Words：enterprise risk management，economic capital，risk management elements，sustainability risk management

中图分类号：F830文献标识码：A文章编号：1674-2265（2012）06-0009-05

风险管理理论已有五十年的发展历史，已成为指导企业经营管理不可或缺的重要思想。2004年COSO颁布《企业风险管理——整合框架》后，COSO—ERM框架很快成为风险管理的核心标准，企业风险管理首次拥有了一个系统的分析框架。但是，发生于2007年的次贷危机，动摇了人们对COSO框架的信心，风险管理该如何实施成为后危机时代风险管理理论必须回答的问题。王稳（2010）提出了一个新的企业风险管理分析框架，以经济资本、风险管理要素、结构性金融工具和可持续风险管理作为企业风险管理的核心内容，为后危机时代的风险管理提供了一个可参考的框架思路。本文在这个分析框架的基础上，系统梳理了已有文献对风险管理框架和内容的论述。

一、企业风险管理分析框架的演进

首先，企业风险管理（ERM）分析框架的演进表现为内涵的演进。从现有文献看，经历了从全面（整合性）风险管理向ERM转变的过程。斯基珀（Skipper，1994）、马尔伯里（Lisa Meulbroek，2002）、威廉（William，2003）的研究都是从全面风险管理的角度来定义企业风险管理，认为以更加综合的方法处理所有种类的风险是其主要特征；CAS（美国产险精算协会）的ERM报告认为，企业风险管理是一个组织主体为了增加其利益相关者的长期和短期利益而采取的包括风险评估、风险控制、风险开发、风险融资以及风险监控等一系列活动；但COSO（2004）对企业风险管理的定义影响最为深远：“企业风险管理是一个过程，它由主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。

其次，企业风险管理分析框架的演进表现为ERM内容的演进。米勒（Miller，1992）、鲁特等（Froot等，1993、1994）、马尔伯里（2002）等都提出了各自的风险管理框架，但以CAS—ERM报告（2003）、COSO（2004）以及《巴塞尔协议》等最为有名。CAS发布的ERM报告认为风险管理包括两方面内容：一是企业面临的风险的类型和种类，二是不同的风险管理程序步骤，包括风险识别、风险分析（量化）、风险整合、风险定价、风险应对和风险监控等；COSO框架以风险管理目标设定和八要素为主体内容，全面看待风险与机会的关系，涵盖了内部控制的内容和方法，构建了一个较为全面的风险管理框架；《巴塞尔协议Ⅰ》是以风险为基础的银行业风险监管框架，主要包括资本的分类、资本监管协议以及风险权重的计算方法等；《巴塞尔资本协议Ⅱ》则是在《巴塞尔协议Ⅰ》的基础上，对银行业的风险管理提出了全新的要求，其核心内容即三大支柱：最低资本金要求、外部监管、信息披露和市场约束，创新主要集中在风险权重的计量，将风险范围扩展到信用风险、市场风险和操作风险，以及内部评级法等；《巴塞尔协议Ⅲ》是在《巴塞尔资本协议Ⅱ》的基础上，对银行的资本充足率、普通股和资本缓冲做出了较为详细的规定及过渡期安排，对银行的风险管理提出了新的要求和挑战。

再次，企业风险管理分析框架的演进表现为ERM目标的演进。（恩里克斯，2001；马尔伯里，2002）的研究大都认可“企业风险管理是为了实现股东价值最大化”的观点。也有些研究在股东利益最大化的范围内将风险管理的目标进一步细化，如拉姆（James Lam，2003）、COSO（2004）的研究就分别将企业全面风险管理的目标进行了细化，包括降低公司收益的波动性、促进职业和财务安全等。后来，随着企业社会责任、可持续发展等领域研究的兴起，风险管理的目的拓展到了利益相关者最大化方面，CAS—ERM报告（2003）就提到了企业风险管理的目标就是为了增加组织的利益相关者在短期和长期的价值，马尔萨拉等（E.Marsiglia等，2005）、弗斯特莫塞（Peter Forstmoser，2006）分别从企业价值所面临的社会责任和可持续性挑战、企业声誉风险的管理问题出发，来研究风险管理的目标问题。风险管理理论越来越重视利益相关者的地位，逐渐将追求利益相关者利益最大化并实现企业的可持续发展作为企业风险管理的目标。

二、对已有企业风险管理分析框架的评价

现有框架的局限性逐渐显现，表现在以下四个方面：

（一）没有考虑到企业的偿付能力问题

实际上，企业破产往往是偿付能力不足的直接后果。那么，企业风险管理的分析框架中就应该对企业的偿付能力给予足够的关注。但是现有研究对此涉及不多，尽管巴塞尔协议中强调很多，但那是专门针对银行业的特例，在更普遍意义上的研究很少，特别是作为风险管理标准的COSO框架中只提到了风险容量的问题，但是没有说明如何来操作，导致现有研究在处理风险的动态性方面有所欠缺。

（二）流程管理有所欠缺

从表面上来看，现有的风险管理框架、尤其是COSO框架的八要素中基本涵盖了风险管理流程的全过程，但是它忽视了风险管理很重要的一个流程——风险沟通。尽管在信息与沟通要素中提到了沟通问题，但是对其重要性强调的不够，现实中的情况是，风险沟通是风险管理流程非常重要的一部分，风险信息的传递速度和质量直接关系到风险管理的及时性和有效性，因此，对风险沟通的忽视是COSO框架流程管理的一大缺陷。

（三）没有涉及到风险管理工具的问题

在当今金融市场高度发达的经济环境下，企业风险管理离不开金融衍生品等金融工具的使用问题，而现有的分析框架中并没有着意提及这一方面。次贷危机中，AIG、花旗等大型金融机构的损失绝大部分就是由这些金融工具造成的。因此，这种缺失无疑影响了风险管理有效性的发挥。

（四）对企业利益相关者的重视不够，并由此疏忽了对可持续风险的管理

尽管部分学者的研究涉及到了可持续风险问题，但是在主流的风险管理框架中却很少涉及，如COSO框架开篇就提到了要为主体的利益相关者提供价值，但是后续的分析中并未进一步的分析如何为利益相关者来谋取价值，而是更多的从企业视角展开；也正是由于这个原因，COSO框架根本就没有涉及到可持续风险管理问题，而这正是风险管理发展的最新趋势。环境问题、声誉问题、社会责任问题等都是现在风险管理乃至企业管理学科的热门领域，因此，现有研究在这方面的不足将使得企业难以适应社会和经济发展的要求。

基于现有风险管理框架的不足和缺陷，王稳（2010）提出了一个新的企业风险管理分析框架理论假说，即ECSS分析范式：其中E代表经济资本（Economic Capital），C代表风险管理要素（Component），S代表结构性工具（Structured Vehicle），S代表可持续风险管理（Sustainability Risk Mananagment）。该范式包括了COSO八要素，将经济资本和结构性金融工具纳入到企业风险管理的分析框架中，考虑了可持续发展对风险管理的影响，将风险管理扩展到利益相关者的范围内，从而构建了一套较为全面的企业风险管理分析框架，对企业风险管理具有一定的参考价值，本文就是以这个理论假说作为基础，系统梳理了已有文献中涉及本框架假说的观点和理论，从而为该框架的完善和发展提供文献支持。

三、基于ECSS范式的企业风险管理分析框架

（一）经济资本是企业风险管理的核心支柱

经济资本可以看成为了保持一定的债务评级所需要的防范意外损失的资本额，它实质上是一定时间内在一定的置信度下保持公司的偿债能力不变所需要的资本水平。经济资本作为风险管理的工具，最早是源于美国信孚银行开发的RAROC体系，该方法蕴含了风险需要资本覆盖的思想，后来美国银行将其发展到涵盖非预期风险，并由孔（Kong，1999）、施罗克（Schroeck，2002）进一步深化与扩展，成为了风险管理的重要工具。对于经济资本如何适用于风险管理，主要集中在经济资本的计量与配置方面。

在计量方面，一是基于VaR方法来计量经济资本，由若里翁（Jorion，1997）给出VAR的计量方法后，相继发展出了CM、PM、PRT、CPV和CR+五种计量模型；二是一致性方法来计量经济资本，这是基于风险的损失分布非对称性的特点，由Artzner等（1999）首先提出了TCE模型来作为一致性风险度量指标，后来尼尔（Panjer，2002）、兰兹曼和瓦尔德斯（Landsman和Valdez，2003）、弗曼和兰兹曼（Furman和Landsman，2005）、韦尔尼克（Vernic，2006）、凡德费尔（Vanduffel，2008）分别基于不同的损失分布函数运用TCE模型进行了经济资本的计量，而阿切尔比（Acerbi，2002）证明了ES模型作为一致性风险度量指标的合理性。

在经济资本配置方面，研究主要集中在三个方面：（1）完全以风险为基础配置经济资本，达尼奥（Denault，2001）提出了一致性经济资本配置的四项原则，分别是：完全配置、无缩减性、对称性和无风险资产对冲配置，卡尔克布伦纳（Kalkbrener，2005）提出了经济资本的梯度配置原则，布赫和多尔弗雷纳（Buch和Dorfleitner，2008）全面总结了一致性经济资本配置原则；（2）以风险和成本相统一为基础配置经济资本，卡斯等（Kaas等，2001）引入了风险残余的新概念来配置经济资本，将经济资本配置问题转化为求解经济资本成本与风险残余之和的最优化问题，利文和戈费茨（Laeven和Goovaerts，2004）、戈费茨等（2005）进一步研究了如何运用风险残余的方法来配置经济资本；（3）以风险和收益相统一为基础配置经济资本，这种方法的最初是起源于美孚银行的RAROC方法，默顿（Merton，1993）、鲁特和斯坦因（Froot和Stein，1998）是对RAROC方法进行了改进以更准确的配置经济资本，而斯托顿和策希纳（Stoughton和Zechner，2007）在RAROC方法的基础上，将信息不对称理论融入到经济资本配置中，深化了对经济资本配置问题的研究。

（二）COSO八要素是企业风险管理的功能工具

对于风险管理的要素，COSO报告给出的八要素最为全面，不但涵盖了风险管理的流程管理，而且对内部环境、目标设定和信息的关注为企业的风险管理提供了有力的支持。除此之外，学术界对风险管理要素的研究涉及了公司治理、人力资源、风险管理流程等多个方面。

在风险管理流程方面，马勒（Andreas Muller，1999）分析ERM流程的角度是成本控制，他认为ERM包括风险剥离、风险地图、风险组合和套期三个阶段；马尔伯里（2002）在传统风险管理流程的基础上，提出了建立公司价值模型来提高风险管理能力的方法；CAS（2003）对ERM流程的分析注重了企业环境因素的影响，提出ERM流程包括环境分析、风险识别、风险量化、风险整合、风险优化和利用、风险控制与评估等步骤的循环；尼尔森等（Nielson等，2005）对风险沟通的强调是流程管理的一个重要突破，指出风险管理在过去的数十年间已经在沟通领域发生了巨大的变化，充分强调了风险沟通在风险管理流程中的作用。

在公司治理方面，研究者认为公司治理是ERM的重要组成部分，提供了对风险的自上而下的监察和管理，涉及到权益方的沟通、董事会的独立性、董事会绩效评估以及董事和高管的薪酬等问题（拉姆，2003；克勒夫纳等，2003）。

在人力资源方面，对风险经理的研究是最主要的话题。从早期的风险（保险）经理到现在的首席风险官，名称和职责的变化昭示着风险管理中人力资源地位的提升。早期风险（保险）经理更多的是为购买保险的决策提供咨询和建议，从而为企业确定合适的保险策略和保险产品（桑德，1956；德内伯格等，1966）；后来对风险经理重要性的认识逐渐深化，更加注重风险经理在企业组织架构中的地位，并对其职能做出了拓展，对任职人员的素质和能力也提出了多方面的要求（麦卡希尔，1971）；现在，首席风险官（CRO）已经在公司的管理层中占据了显要位置，对CRO的雇佣已经成为公司实行风险管理意愿和水平的标志，CRO对企业管理的深入程度、对企业决策的介入和影响程度以及其本身背景和能力水平，都对企业风险管理的效果具有不可忽视的影响（科尔基特等，1999）。

此外，企业文化作为企业管理中的“软要素”，对于ERM的推行具有不可忽视的意义，研究证实了组织文化与企业风险管理的实施效果有着密切关系的结论，指出即使是企业的技术人员也可以从组织文化的角度来挖掘实施ERM的潜力（金布罗，2009）。

（三）结构性工具是企业风险管理的扩展工具

随着金融市场的发展和金融创新的深化，企业风险管理所需要的工具逐渐实现了从单一的传统保险产品向复杂的现代结构性产品的转化，各种新型的结构性金融产品为企业的风险管理策略如风险转移、风险融资、风险控制等提供了针对性的工具，从而使得企业风险管理的精细度和复杂度都有了很大的提升。

在结构性金融产品的使用策略方面，研究者普遍认为，没有明确风险管理目标的企业，盲目地运用结构性产品将会加大企业的风险。因此，进行风险对冲要有明确的目标。具体的策略包括密切关注竞争者的对冲策略、不要单独授权给企业的财务专家以特殊衍生品的选择权力等。那些运用衍生品进行风险对冲的企业，其实践中的使用策略往往有“不对称管理”的倾向，即风险和非流动性的测量与企业实行风险管理的决策有着正面的联系，但是在风险对冲时的广度和深度却与这些风险指标有着负向的关系，如跨国公司在外汇市场上的风险对冲策略（罗德里格斯，1974；鲁特等，1994；卡明斯等，2001）。

在结构性产品的使用诱因方面，企业内、外部因素都有影响。汇率波动性加剧、市场风险增加导致的企业财务指标波动性变大，而投资者的风险规避偏好使得企业必须要通过风险对冲来降低波动性，特别是对于跨国公司来说，市场波动性的影响更为明显，运用衍生品工具对冲管理外汇风险，是这段时间企业风险管理的重要内容，这是金融衍生品使用的外部诱因（福克斯，1972；施拉姆等，1974；罗德里格斯，1978）；企业的内部诱因中，企业发展前景是首要因素，基于对破产的恐惧和代理问题的考虑，企业很有动力来实行风险对冲以锁定和减小企业面临的风险（麦克明，1987），企业的规模、杠杆效率以及资产和负债久期的不匹配程度、资本资产比率以及税收考虑也是促使企业实行风险对冲和风险管理的重要因素。同时，企业的风险偏好程度特别是那些风险偏好高的企业更偏向于运用金融衍生品来控制和管理风险（科尔基特和霍伊特，1997；卡明斯等，2001；利本伯格等，2003）。

在结构性产品的类别方面，主要是集中在用来防范传统风险的非传统风险载体和基于资本市场的工具而形成的风险载体两个领域。在防范传统风险的非传统风险载体中，专属保险公司的应用极为普遍，它能减低母公司的保险成本、提升母公司的保险效率并为母公司赢得税收和投资方面的实惠，进而提升母公司的盈利水平，因此成为很重要的金融衍生品工具（戴维森等，1987、1988；伍德等，1988 ；乌尔里克，1992）；基于资本市场的工具而形成的风险载体代表则是巨灾期权产品，它的出现使得保险行业具备了从资本市场获取所需再保险的能力，资本市场也因为这些新的产品类型的出现而能够更好的发挥其职能（肯特，1997）。

（四）可持续风险管理是企业风险管理的拓展和延伸

可持续风险管理是可持续发展战略在风险管理领域的应用，主要包括环境风险管理和社会公平风险及社会责任管理两大类。同时，如何进行可持续风险管理也是该领域的重要话题。

在环境风险管理方面，研究普遍认为注重环境保护和管理不仅不会导致企业相应成本的增加，反而是企业增加收入的市场机会，是促进企业发展的潜在动力；如果企业涉及了环境破坏或是保护不力的问题，那么其股东价值将受到负面影响，股价将会受到打击；现在保险行业也开始注重环境风险管理问题，开始为绿色经济和全球环境的保护提供更多的产品和专业服务（科恩，1997；弗罗曼，1997；米尔斯，2009）。

在社会公平风险及社会责任管理方面，德里斯科尔等（Driscoll等，2004）对企业的社会责任提出了新的分析，将自然环境因素直接融合进企业的风险管理决策程序中，不仅拓展了利益相关者的概念范围和理论广度，而且为企业的社会公平风险管理理论也提供了新的研究视角和思路。马克斯菲尔德（Maxfield等，2007）以更广阔的企业社会责任框架来研究公司可持续发展问题，指出传统的招聘和激励方式以实现雇员产出最大化的思路并不完全适合现代社会的发展，多元化对企业的贡献不仅体现在扩大销售和提高顾客满意度，而且有助于企业的风险管理、提高企业经营的创新性和灵活性进而解决企业发展中遇到的各种问题，他们还对拉丁美洲企业的社会责任状况进行了分析和展望。

在如何进行可持续风险管理方面，威尔逊等（Wilson等，2007）分析了采取结构性决策等方法进行可持续风险管理在提升企业社会责任方面的作用，布施等（Busch等，2009）就企业在投资决策过程中如何处理由自然环境引发的不确定性问题进行了分析，将这些不确定性问题整合进公司战略管理和投资框架中，从而对如何进行可持续风险管理给出了理论上的建议。此外，以案例研究的方法来研究可持续风险管理问题也很常见，霍夫曼等（Hoffmann等，2007）对碳限制条件下的企业风险管理问题的研究、吉蒂等（Kitti等，2009）以咖啡生产为例分析的运用经济手段和工具来促进企业可持续发展与生态多元化保护之间均衡共存的问题，都具有很强的现实意义。

四、企业风险管理分析框架的发展趋势

虽然基于ECSS范式的企业风险管理分析框架对现有框架的缺陷有所弥补，但是在实际应用中，还有以下问题需要注意：

（一）经济资本模型的适用性问题

虽然大量的文献对经济资本问题进行了分析和论述，但是作为动态衡量企业风险水平的工具，经济资本模型需要根据企业的实际情况特征进行调整，尤其是在将经济资本作为企业风险管理的核心支柱后，一个适合企业特征的经济资本模型对于提高企业的风险管理能力具有不可忽视的影响。

（二）结构性金融工具的使用策略问题

作为企业风险管理拓展工具的结构性金融工具，其本身的“双刃剑”特征对企业的使用策略提出了很高的要求，次贷危机中很多大型金融企业就是因为结构性金融工具的使用不当而倒闭破产的。因此，如何发挥其避险对冲功能而弱化其投机功能，是企业风险管理中必须重视的问题。

（三）可持续风险管理的实施问题

实施可持续风险管理，不仅是为了满足利益相关者的要求，也是企业自身发展的需要。但是，在现实经营中，如何协调企业的短期利益与长期利益、所有者利益与相关者利益，是可持续风险管理能否真正落实的关键，也是可持续风险管理能否真正发挥作用的核心问题。

参考文献：

[1]Casualty Acturial Society Enterprise Risk Management Committee，2003，Overview of Enterprise Risk Management.

[2]Evan Mills，2009，A Global Review of Insurance Industry Responses to Climate Change，The Geneva Papers on Risk and Insurance—Issues and Practice，34：323–359.

[3]Edward Zaik，John Walter，Gabriela Kelling， Christopher James，1996，RAROC at Bank of American： From Theory to Practice，Journal of Applied Corporate Finance，9（2）：83-93.

（责任编辑 孙 军；校对 SJ）