企业风险控制 外延与框架演进 价值 (企业风险控制措施包括哪些)

党的二十大报告中指出：“当今全球正派历百年未有之大变局”，“全球之变、时代之变、历史之变正以史无前例的形式展开”。面对一日千里的技术提高以及变幻莫测的国际情势，企业风险控制的关键性或价值日益凸显。从巴林银行因买卖员从事期货投机失败而开张，诺基亚未跟上手机自动化时代黯然退场，再到雷曼兄弟由于投资失利、美国政府拒绝救助引发全球金融海啸，以及近几年我国经济面临转型难题，许多企业生活日益困难，企业风险控制逐渐成为以后企业运营和控制的一门必经课。

一、什么是企业风险控制？

企业风险控制（Enterprise Risk Management，ERM），也称整合风险控制、一体化风险控制或企业片面风险控制，基本的外延是指，企业运营控制环节中的一个系统化、前瞻性必要的流程，经过识别、评价、应对和监控风险，将风险控制嵌入企业战略、运营和文明，以平衡风险与机遇，成功企业可继续展开和稳如泰山增长的目的。

企业风险控制的中心要素关键包括：1、目的导向，服务于企业战略，确保风险接受才干与战略目的分歧。2、全流程掩盖，贯串企业运营决策、行动、监控等企业的全生命周期。 3、整合性，统筹企业外部部门和业务条线，整合财务、运营、合规、战略等多元风险控制。4、文明基础，自上而下树立“风险看法文明”，奖励全员介入风险识别与应对。

美国五大会计师协会共同发动成立的反虚伪财务报告委员会下属发动人委员会（The Committee of Sponsoring Organizations of the Treadway Commission，COSO）以为，企业风险控制的关键外延是：

第一，控制与文明。公司控制与文明是确保企业风险控制行之有效的弱小基石。ERM框架强调董事会作为企业最高层应实行好控制责任，并组建运营机构以达成战略与业务目的。同时，要求将风险控制文明厚植于企业中心价值观和日常业务中。

第二，战略与目的制定。过去，企业往往将关注点放在战略行动风险，而ERM框架提醒企业留意，战略或许会不契合企业的使命、愿景和中心价值，以及战略目的的风险特征。例如，国际某保险公司因偏离“保险姓保”，实施过于保守的投资战略，而遭到监管奖励。

第三，绩效。企业要求识别、评价和应对或许会影响战略和业务目的成功的风险，这也是普遍认知的狭义企业风险控制的关键内容。ERM框架要求，企业组织对风险启动排序，以作为风险应对的基础，关于靠近企业既定业务目的可接受绩效倾向或风险偏好边缘的风险，普通会给予较高优先级。风险应对计划可以包括：接受风险、规避风险、运行风险、下降风险以及共担风险，在充沛思索风险排序、本钱和效益以及风险偏好等要素后确定。

ERM框架倡议企业树立风险的组合观，即从全体或组合的角度来思索风险。例如，跨国运营企业或许同时触及到不同部门的外币收支业务，从全体上思索整个公司外汇净敞口再启动风险应对，可以以更低本钱成功更优效果。

第四，监控。ERM框架要求企业应当监控并确保其风险控制终年有效性，不时识别机遇以优化风险控制流程。如出现严重变化，企业应当在评价其或许对战略和业务目的影响的基础上，予以适当调整和改良。

第五，风险信息、沟通和报告。企业应当从内外部渠道继续失掉和分享相关信息，用于决策的信息肯定能够在整个企业失掉全方位的沟通和传达。二、 企业风险控制的通常价值是什么？随着企业危机事情（如安然破产、硅谷银行破产）推进各国监管部门出台《萨班斯法案》、《企业片面风险控制指引》，企业风险控制越来越普及，而以大数据、人工默以为标志的企业数字化转型带来的新型风险正在减速企业风险控制体系、框架和方法的更新。

经过实施企业风险控制，企业取得了更多的价值优化，Eastman等人（风险与保险杂志2024年第3期）的实证研讨结果显示，企业风险控制使得美国样本企业取得更公允的税收担负和利润增长。企业风险控制价值的传导途径体如今优化决策质量、维护资产与声誉、增强韧性、发明竞争优点等诸多方面。例如，华为经过树立全球化的“风险三道防线”体系，丢弃高风险的海外业务，应对地缘政治和技术封锁风险；沃尔玛经过企业风险控制优化全球供应链，应对天然灾祸和物流终止，防止停工风险；星巴克将气候风险归入企业风险控制，投资可继续咖啡豆种植以规避原料充足。

DeepSeek等大模型预测，企业风险控制将从企业主动应对风险转向主动价值发明，成为现代企业控制的中心才干。其展开表现了从“碎片化风控”到“战略性韧性”的演进，未来将进一步与人工自动、大数据融合，成功预测性风险控制（Predictive Risk Management）。三、企业风险控制的渊源企业风险控制造为跨风险控制学科、会计学科的关键新兴范围，在逾越半个世纪的展开环节中成功了从多个范围的分散研讨向片面风险控制一体化框架的演进。可以从三个通常来源启动梳理。

首先，风险控制通常。“风险控制”作为一种运营和控制理念具有悠久的历史，西方几千年前就有“不要把一切鸡蛋都放在一个篮子里”的谚语，而中国现代的“积谷防饥”典故、“义仓”制度、“船帮”组织等都具有现代风险控制思想的雏形，而分船运输、镖局押运等办规律是分散风险、转移风险的有效规律。Johnso（1952）提到了农场的控制中如何处置风险和不确定性疑问，从而较早的触及到了企业（农场）的风险控制疑问。1964年，C.A.Williams和Richard M. Heins最早提出了风险控制概念，但到20世纪70年代之前企业风险控制关键是防范和控制企业面临的地道风险（不利风险）。随着金融工具继续创新带来风险控制理念和工具不时丰厚，Kent D. Miller（1992）在剖析企业的国际运营战略时提出了整合风险控制的思想，这普通被视为是片面风险控制的雏形，而不是独自研讨某一风险控制工具或许技术。这一思想体如今ERM框架中，表现为将企业风险控制贯串于企业各项运营活动中，强调风险控制任务的片面性，以及与企业战略、绩效相结合。

第二，会计学和外部控制通常。外部控制的思想理念也是早在几千年前就为人们所看法和注重，古埃及的法老时代就设有专门担任监视的官员，对全国的各级机构和官员能否忠于职责以及财政收支能否准确启动直接纳理和监视，古罗马的宫廷更是采取了“双人记账”、“对账制度”等财务制度，我国现代在朱熹所著《周礼·理其财之所出》中指出，“虑夫掌财用财之吏，渗漏乾后，或许容奸而肆欺……于是一毫财务之出入，数人之耳目通焉”。详细到企业控制上，企业一切权和控制权的区分是外部控制制度兴起的基本动因，而企业规模的扩展和分支结构的增多所带来的控制不力和控制有余疑问则是促使企业增强外部控制的直接动因。随着企业控制活动的介入，单纯的审计曾经不能满足企业的需求，因此外部控制应运而生（Haun，1955）。终年以来，外部控制造为企业控制层控制风险的关键工具，在企业风险控制中占有关键位置，2004年COSO委员会《企业风险控制—整合框架》就是以其1992年《企业外部控制—全体框架》为基础上，结合《萨班斯—奥克斯法案》而最终构成，可以说外部控制框架是ERM框架基本雏形，因此ERM依然以企业外部控制为主（虽然在最新的ERM框架中，与外部控制做了区分，详见后文）。

第三，安保控制通常、可继续发现控制通常和ESG通常。工业反派前，人类关于异常不时处于听其天然的态度，因此就谈不上方法论与对策。工业反派的迸发至20世纪初，由于异常致因通常提供了对异常阅历上的统计剖析，人们的安保看法论提高到阅历论水平，在异常的战略上有了“预先补偿”的特征；20世纪末，由于航天、核电、民航等“高牢靠性组织”（high reliability organization）和石油化工等“流程工业”（process industry）要求消费中的相对安保，人类的安保看法论进入了实质论阶段，超前预防成为现代安保控制的关键特征。例如缺陷树剖析（Fault Tree Analysis）方法(H.A Watson，1962)，并催生了预防型的对策。随同着安保控制通常的不时向可继续风险通常、ESG通常的拓展和创新，在风险控制理念上，ERM框架强调应对气候变化、绿色转型和公司控制风险，甚至在企业战略和目前制定时就要求思索风险控制要素。

四、企业风险控制框架和方法的演进

1992年，COSO委员会公布了《外部控制——整合框架》，该框架为企业提供了关于外部控制的分歧规范，也是ERM框架的雏形。随着企业对风险控制需求的介入，COSO于2004年公布了《企业风险控制——整合框架》（Enterprise Risk Management——Integrated Framework），旨在协助企业和组织有效防范风险并提高风险控制水平，明白了风险控制的八大要素。但是，COSO在2004年公布的ERM框架依然有许多疑问并未处置。比如，从流程控制视角动身来处置企业风险疑问，但企业破产往往是现金流（或偿付才干）有余的直接结果，通常也曾经充沛证明，树立并实施严峻的内控与控制机制，有余以规避企业风险；在金融工具控制上，2008年次贷危机反映出AIG、花旗等大型金融机构在衍生品等企业风险控制关键工具中出现了清楚疑问。当然，ERM框架与1992年公布的外部控制框架高度重合，因公布时期较早未能归入ESG要素等，也是ERM框架更新的关键推进要素。

为了进一步满足风险控制通常的需求，COSO对ERM框架启动了更新更新，并于2017年9月6日正式公布了新版的风险控制框架《Enterprise Risk Management——Integrating with Strategy and Performance》（以下简称ERM 2017）。除了行文上采纳了要素加准绳的国际文件习用规则启动书写之外，与2004年版本相比，ERM 2017启动了较大幅度的推翻性变化，反映了以后企业风险控制理念和关注点的严重革新，关键体如今以下几个方面：

1.重新定义ERM。旧版定义强调，ERM是一个环节，运转于战略制定并贯串于企业之中，经过识别和控制风险为主体目的成功提供合理保证。新框架对ERM的定义为“组织在发明、保管、成功价值的环节中赖以启动风险控制的，与战略制定和实施相结合的文明、才干和通常”。其关键变化有二：一方面，企业风险控制不再强调环节，而是泛化至文明、才干和通常，即企业风险控制不是企业独自或额外的活动，而是企业战略实施和运营的关键组成部分。另一方面，愈增强调风险控制与价值发明（而非防止损失，区别于外部控制）的相结合，反映出企业利益相关方愈加关心风险控制对企业价值的发明，尤其是在战略的制定和行动中表现风险控制价值。以上变化的中心在于，ERM不再是一个控制机制（相似于传统油车的刹车片），而是一个控制机制（相似于新动力车的自动驾驶系统）。

2.对风险的认知出现了严重变化。旧框架将风险定义为“一个事项将会出现并给目的成功带来负面影响的或许性”，偏重点在于负面影响。而新框架则定义为“事项出现并影响战略和业务目的之成功的或许性”，统筹了负面和正面要素，即包括了地道风险（只需带来损失一种或许性）和机遇风险（带来损失和盈利的或许性并存）。

3.明白风险控制与战略的协同作用，将企业风险控制上升到新的高度。旧框架只强调了企业风险控制应当从明白战略目的就末尾介入，但并未作深化讨论。通常上看，不少历史悠久的大型跨国集团具有成熟的内控机制以及完善的外部审计，却未能有效防控企业风险（如前文所述的雷曼兄弟和诺基亚），这标明制定战略目的自身也应当是风险控制的一部分（而非旧框架所述为成功目的提供合理保证）。因此，新框架提高了风险控制任务的高度（这恰恰是内控力所不逮之处），提醒企业留意战略和业务目的与使命、愿景和价值观不婚配的或许性，选定的战略所隐含的意义，以及行动战略环节中的风险。企业资源并非有限，追求价值最大化而制定过高、不实践践的目的只会倒逼控制层铤而走险、从事更高风险的业务，新框架则从正面回答了这一疑问。

4. 在技术上，新框架用绩效的坚定区间替代原有的风险容量。旧框架中，风险容量（Risk Tolerance）只是颗粒化的、更细节的风险偏好（Risk Appetite，企业要素接受的风险量）。采纳可接受的绩效变化区间（Accepted Variation in Performance）替代了原先的风险容量作为企业通常操作的详细细节，其目的在于推进风险控制与企业控制深度融合。

本文作者为张运智博士，瀚海风险书院资本市场首席研讨员

瀚海风险书院“风险话题”编辑部2025年2月16日