（中国海洋大学管理学院 山东青岛266100）

一、引言

伴随着信息技术的发展，作为市场主体的企业，所面临的不确定性日益加强。这种不确定性蕴藏着企业成长机会的同时也可能使企业遭受难以弥补的损失。基于人们所处的环境、所掌握的知识以及所研究的问题的需要，人们对风险的理解存在一定的差异性。因此，需要对风险做一个重新的认知，对风险的深刻理解将有助于企业的风险管理。

受到早期对风险认识的局限性的影响，人们对于风险管理的理解仅限于某个领域，缺乏对组合风险的研究，甚至单纯将风险管理理解为消除风险。传统的风险管理缺乏对主体风险偏好的研究，仅仅看到了风险的客观性，而忽视了造成风险的主观性原因。通过对风险管理发展历程的研究，我们将清晰地看到风险管理所涉及的领域越来越广，而且发展至今人们更加重视从战略的视角来理解全面风险管理。COSO的《企业风险管理——整合框架》对企业的风险管理活动起到了重要的指导作用，相比较于《内部控制——整合框架》，“内部控制被涵盖在企业风险管理之内，是其不可分割的一部分。企业风险管理比内部控制更广泛，拓展和细化了内部控制”，这也引起了国内学者对风险管理和内部控制相关关系的研究。本文梳理了各学者对二者关系的观点以及在此基础上形成整合框架，以希望对企业管理体系有一定的指导作用。

二、文献评述

（一）对风险的认识

对于风险的探讨，在亚当斯密的《国富论》中就有所体现，他主要关注于资本的利润率问题，而且着重体现了与收益确定性的关系。在早期美国学者海恩斯的著作中最早提出了风险的概念，“风险一词在经济学和其他学术领域中并无任何技术上的内容，它意味着损害或损失的可能性。偶然性的因素是划分风险的本质特征，某种行为能否产生有害的后果应以其不确定性而定。如果某种行为具有不确定性，则该行为就承担了风险。”威雷特在对风险进行定义时也将其视为不确定性的具体体现。可以说早期对风险的理解与不确定性问题是不可分割的，风险更多的被看作不确定性的结果，当然这两者之间的关系也是现如今热于探讨的问题。但风险和不确定的区别又是怎样的呢？出于对利润问题的研究，奈特指出利润源于真正的不确定性，而风险之所以不同于不确定性是因为风险可以度量，可以看出奈特将风险与不确定性的区别定位于可预测性与否。而莫顿在其《金融学》中指出：“不确定性是风险的必要条件而非充分条件。任何一种存在风险的情况都是不确定的，但在没有风险的情况下也存在不确定性。”不同于奈特以是否可预测性作为区分不确定和风险的标准，莫顿更注重对行为主体的影响。这不仅阐明了风险管理的原因，也隐含了风险管理的方式，即主体可以通过资源的使用和行为的选择合理规避风险。

可以看出风险不仅体现了偏离主体预期的不确定性，也突出了对行为主体的影响。从风险所造成的影响来看，部分学者将其理解为给主体带来的损失，张勋彪指出“风险是指在一定的时空条件下，导致人们遭受损失的事件发生的不确定性”。宋执旺将风险视为造成较大损失的可能性。这两位学者所提到的风险似乎更应该理解为纯粹风险，即只有损失机会而无获利机会的风险。

在上世纪60年代，美国学者威廉和汉斯在《风险与保险》中将人的主观因素引入风险分析，他们一方面肯定了风险的客观性，同时也指出由于主体之间的差异性，即使是针对同一风险也可能持有不同的看法。主体的合理预期是基于其当前所获得的信息以及处理信息的能力而产生的，主体的差异性往往使其预期与客观实际产生不同的偏离程度进而影响风险的大小。此外，不同的主体间也存在风险偏好的差异，因此对于风险的评价也受到主观因素的影响。

（二）企业风险管理

1.企业风险管理的发展。20世纪30年代的经济危机促成了风险管理思想萌芽的产生，人们更加关注通过何种手段来减少甚至消除风险以降低经济损失。到20世纪中叶风险管理作为一个独立的学科体系发展起来，而对风险管理的系统性研究则以梅尔与赫尔奇斯《企业风险管理》和威廉姆斯与汉斯《风险管理与保险》的出版为标志。从企业风险管理的整体发展来看，国内学者主要以风险管理中的大事件为线索，将企业风险管理划分为传统风险管理阶段、现代风险管理阶段以及全面风险管理阶段（严复海等，2007；王农跃，2008）。当然也有学者将20世纪50年代之前的企业风险管理界定为萌芽期的风险管理阶段（许国栋、李心丹，2001）。

萌芽期的风险管理体现在资本市场上的运用，在这一时期，费歇尔的期限结构理论以及在此基础上希克斯和卡尔博特林对该理论所做的修正促进了实务界和理论界对利率风险管理的研究。此时期的风险管理的应用具有很大的局限性，而且缺乏系统性。风险管理更多关注于资本市场上的收益率问题，并将利率的久期及凸性作为风险管理的重要工具，这主要受早期对风险认识的影响。

20世纪中叶风险管理成为企业管理领域的一门独立学科，这被视为传统风险管理阶段开始的重要标志，概率论和数理统计的应用，使风险管理从经验走向科学。马柯维茨的均值方差理论，资本资产定级模型以及期权定价模型等理论的提出是该时期风险管理的重要理论贡献，对于风险管理尤其是金融市场的风险管理意义重大。在这一时期，越来越多的企业开始重视风险管理，企业的风险管理成为公司三大管理活动（策略管理，经营管理和风险管理）之一。在该阶段的理论倾向主要是防范和管理企业面临的纯粹风险，企业风险管理所采取的主要策略就是风险回避和风险转移，保险成为主要的风险管理工具。风险管理理论的提出，使得这一时期的信用风险和财务风险的测量方法日趋成熟，但风险管理的研究依旧是单一、局部的，缺乏多层次性更缺乏战略性的指导意义。

伴随着企业面临的社会环境的巨大转变，到20世纪80年代，企业更加注重不同部门风险的综合影响，现代风险管理的理念更强调根据风险组合的观点，从贯穿整个企业的角度看风险。而且在资本市场上产生了新的风险管理工具，资本市场也因为这些新的产品类型的出现而更好地发挥其职能。至于全面风险管理阶段，国内大多数学者将COSO的风险管理整合框架中的风险管理概念、内容、框架视为现代全面风险管理理论的核心。

对于这种将企业风险管理分为三个发展阶段的方法，也有其他学者表示质疑。曹元坤（2011）认为这种划分并不能清晰地反映出风险管理理论的发展脉络。他们强调的现代风险管理和全面风险管理并没有本质的区别，都强调风险管理的综合性、整体性和整合性。基于这一原因，曹元坤将风险管理的历程分为基于保险和财务层面的风险管理阶段和基于整体层面的风险管理阶段。在基于保险和财务层面的风险管理阶段，曹元坤认为风险管理研究的领域主要集中于可保风险和财务风险，而保险则成为该时期风险管理的重要手段，而且截止到该阶段的后期。

2.企业风险管理的认识。对于企业风险管理的理解与人们对风险的认识存在重大的关联性，威廉姆斯与汉斯认为“风险管理是通过对风险的识别、衡量和控制从而以最小的成本使风险所致损失达到最低程度的管理方法”，在这里风险管理被认为是一种技术和方法，而且在风险管理的过程中要坚持成本收益原则。在莫顿的经典著作《金融学》中风险管理被定义为 “确定减少风险的成本收益权衡方案和决定采取的行动计划的过程”，在莫顿看来之所以要做成本收益的权衡，是因为信息的获取对最佳决策的选择有重大的影响，进而影响到企业所要面临的风险。而且莫顿更关注于风险主体的风险厌恶和风险暴露对企业风险管理的影响。国内的学者陈秉正认为，风险管理是通过对风险进行识别、衡量和控制，以最小的成本使风险损失达到最低的管理活动。许瑾良则指出，风险管理就是应用一般的管理原理去管理一个组织的资源和活动，并以合理的成本尽可能减少灾害事故损失和它对组织及其环境的不良影响。他们都看到了在风险管理中的成本支出问题，但对风险的理解上更倾向于将风险视为纯粹风险，所以提出在成本允许的范围内减少风险对企业造成的损失，因此，在风险管理的手段上更多的是考虑如何降低和转移风险。

由于胡万杰将风险视为未来不确定性对企业既定目标的影响，因此对于风险管理他认为“是各经济单位通过风险识别、风险衡量、风险评价、风险应对等方式，对风险实施有效控制和妥善处理损失的过程”。可以看出，胡万杰对于风险管理的定义体现了通过合理的风险管理的程序实现对风险的有效控制，而且最关键的一点，他认为风险管理的主旨不在于消除风险，因为那样只会把获得回报的机会浪费掉。风险管理所需要做的应该是对风险进行管理，主动选择那些能够带来收益的风险。

在COSO编制的《企业风险管理——整合框架》中，首先明确对风险和机会做出合理界定：“风险是一个事项将会发生并给目标实现带来负面影响的可能性”，而“机会是一个事项将会发生并给目标实现带来正面影响的可能性”，风险管理则是处理风险以便创造或保持价值。它将风险管理定义为 “企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。COSO的风险管理的定义中着重强调了主体的风险容量，因为这里强调的风险管理是立足于战略高度而制订的。主体的风险容量存在差异性，将影响企业的战略选择和资源的配置，因此在进行企业风险管理时，必须先明确主体所愿承受的广泛意义上的风险的数量。

3.风险管理与内部控制。风险管理与内部控制一直是人们所争论的话题，尤其是在继颁布《内部控制——整合框架》之后于2004年颁布了《企业风险管理——整合框架》，这一问题更是得到了人们的广泛关注。基于COSO所制定的两个整合框架的区别和联系，可以看出，后者是对前者的深化和拓展，“内部控制被涵盖在企业风险管理之内，是其不可分割的一部分。企业风险管理比内部控制更广泛，拓展和细化了内部控制”，而且在目标类别上，风险管理所涉及的报告不仅包含内部控制所指定的财务目标，还包括管理当局内部使用的报告。COSO在企业风险管理整合框架中指出相比较于内部控制整合框架，企业风险管理更强调从“组合”的角度考虑复合风险。此外在构成要素、内部环境、事项识别及风险评估等方面企业风险管理框架都做了一定的拓展。在对COSO的框架报告进行比较的基础上，周兆生（2004）看到了风险管理和内部控制的一致性，虽然现实中风险管理和内部控制还存在一定的差距，但随着他们各自的不断完善和发展，它们将交叉融合，直至统一，内部控制将扩展为更全面的风险管理。董月超（2009）阐述了内部控制和风险管理概念的异同点，认为风险管理是对内部控制的继承和发展，而风险管理融入战略的要素，更加强调效益的产生。风险管理的决策为内部控制提供了依据，而内部控制作为风险管理的基础，其动力来自于企业对风险的识别和管理。丁友刚（2007）则认为内部控制本质上是组织的内部风险控制机制，为了解决组织内部的代理问题。而风险管理包含风险计划、风险控制及风险应对，其中风险控制不仅包含内部风险控制还包括外部风险控制，由此可以看出，风险管理包含内部控制。

为避免企业管理体系的交叉、重复，谢志华（2007）分析比较了内部控制、公司治理及风险管理之间的关系。在比较各位学者观点的基础上，指出这三者的关系集中表现为三种形态：互为前提关系、相互包含关系、等同关系。通过从历史和逻辑的统一中的论证，谢志华认为虽然三者在文字表述上存在差异性，但本质上是相同的——实现风险控制。从历史变迁中来看，内部控制先于公司治理和风险管理，最早的内部控制是为了实现企业财务安全和信息的真实性，这也说明了内部控制以风险管理为起点。“内部控制是为了控制风险，控制风险就是风险管理。所以内部控制和风险管理是控制风险的两种不同的语义表达形式。内部控制主要是从风险控制的方式和手段说明风险控制的，风险管理就是从风险控制的目的来说明风险控制的”。而且从逻辑推理来看，企业收益的不确定性是企业风险的具体表现，所以企业经营管理活动是对风险的经营管理。进而企业的内部控制、公司治理、风险管理都应归于企业管理的范畴以实现对风险的控制。因此，有必要建立一个兼顾内部控制、公司治理和风险管理的统一的规范。谢志华认为这一整合的框架体系应“以风险控制为主线，以全员、全要素、全过程的造假、私吞、违规和非理性行为的风险为控制内容，以风险管理过程为控制方法，构成一个风险管理的有机整体”。可以看出谢志华并没有局限于内部控制、公司治理和风险管理关系的探讨，而是验证了三者本质上的一致性，为建立一种统一的整合框架提供理论支撑。这种统一的整合框架不仅兼顾了传统的内部控制的内容，而且考虑到了主体的风险容忍度以及风险控制的各种方法，最为关键的是避免了企业管理体系的重复、交叉。

虽然白华（2012）并不赞同谢志华按照历史逻辑的观点“先有内部控制，而后出现公司治理，最后提出风险管理。”但他支持谢志华关于内部控制和风险管理的内在一致性的看法。他认为之所以之前对内部控制和风险管理的关系有较大的争议，是因为大部分学者将内部控制视为一种制度，而实际上内部控制是一种职能，或者说就是管理上所指的控制职能。COSO的两个整合框架只是在命名上考虑的侧重点不同，“内部控制是从管理职能上来讲的，侧重于强调控制职能的发挥；风险管理则是从控制的对象上来讲的，侧重于强调风险控制的重要性，二者涵义相同”。在笔者看来公司治理包含内部控制和风险管理的思想，而内部控制和风险管理只能说是表述上存在差异。

三、总结

企业在生产经营活动中所面临的风险，可以理解为企业经营决策的预期与既定目标的偏差。这一预期是基于决策主体的知识、经验和所获取的信息而确立的，而既定目标的实现同样受到外部环境和内部组织结构等多方因素的影响。因此企业风险管理是在成本收益的原则下，对涉及企业诸多层次的活动进行统筹安排和战略规划，以将风险容量控制在企业所有者的可接受范围内，并为企业目标的实现提供合理保证的活动。

伴随着人们对风险的认识，企业风险管理框架得到不断的修正和完善。COSO颁布的风险管理整合框架，对企业的风险管理起到基本的指导作用，但就其可操作性而言，仍有部分观点值得推敲。比如，就风险容量而言，具体以哪部分人的风险容量为参考标准。由于不同人的风险偏好存在差异性，而且受到其自身所持有的资产等相关因素的影响，不同个体之间的风险容量必然有所不同。在风险管理中如何确定一个合理的风险容量以兼顾诸方的利益，是企业进行风险管理所需解决的问题。