企业风险管理理论的演进与展望

96 企业风险管理理论的演进与展望?

王稳王东

【摘要】企业风险管理作为风险管理学科的一个重要领域，在50多年的发展过程中实现了从多个领域的分散研究向全面风险管理一体化框架的演进，其中风险管理理论和内部审计与控制理论是两大理论来源，风险管理理论经历了从传统风险管理、财务波动性风险管理向企业风险管理的发展，而内部审计与控制理论也经历了内部会计控制、内部控制整体框架向企业风险管理的演进，上述两大理论的发展都指向了企业风险管理的方向，企业风险管理理论最终实现了集成发展，成为企业管理不可或缺的重要组成部分。【关键词】企业风险管理内部审计内部控制

当今风险管理理论是一个“丛林式”的庞杂体系，但从2004年美国反财务欺诈委员会发起委员会（简称COSO）发布《企业风险管理——整合框架》以后，企业风险管理已经成为风险管理的核心标准，甚至是同义词了。各国官方机构、监管机构以及业务主体纷纷采纳并以此为基础进行有关风险管理的研究和改进。但是，什么是企业风险管理？企业风险管理从何而来？企业风险管理的发展前景和趋势是什么？本文通过相关文献回顾，梳理了企业风险管理理论演进的脉络，展望了企业风险管理的发展趋势。

一、第一个理论来源——风险管理理论的演进

“风险管理”作为一种经营和管理的理念，具有悠久的历史：西方几千年前就有“不要把所有鸡蛋都放在一个篮子里”的谚语，中国古代著名的“积谷防饥”典故以及“义仓”制度、“船帮”组织等都具有现代风险管理思想的雏形，而分船运输、镖局押运等则是分散风险、转移风险的有效方法。

现代意义上的风险管理思想出现在20世纪前半期，如法约尔的安全生产思想、马歇尔的“风险分担管理”观点等；但是风险管理作为一门学科得到系统的发展则是开始于20世纪中叶：1950年，加拉格尔在《风险管理：成本控制的新阶段》的论文中，提出了风险管理的概念；Johnso（1952）提到了农场管理中如何处理风险和不确定性问题，从而较早涉及到了企业（农场）的风险管理问题。

风险管理真正作为一门学科的出现，是以Mehr 和 Hedges的《企业风险管理》（1963）和C.A.Williams 和 Richard M. Heins《风险管理与保险》（1964）的出版为标志。Williams和 Heins认为，“风险管理是通过对风险的识别、衡量和控制从而以最小的成本使风险所致损失达到最低程度的管理方法”，风险管理不仅仅是一门技术、一种方法、一种管理过程，而且是一门新兴的管理科学。风险管理理论的发展，主要经历了三个阶段：

（一）第一阶段：20世纪50年代到70年代

理论倾向主要是防范和管理企业面临的纯粹风险（不利风险）；企业风险管理所采取的主要策略就是风险回避和风险转移，保险成为主要的风险管理工具。通用汽车公司的火灾事件以及美国钢铁行业的工人罢工都对企业的正常经营造成了严重的影响和损失，成为推动企业风险管理理论发展的重要契机。

本阶段风险管理理论的第一个重要领域，是对风险管理对象的界定和研究。20世纪以来，理论界一直把风险管理的对象分为纯粹风险和投机风险两大类，并将纯粹风险作为风险管理的对象和目标（Denenberg，1966；Gahin，1967）。其实，将风险分为纯粹风险和投机风险是一种基于责任划分的方法，是针对损失而言，并非针对风险而言，因此与其将其分为纯粹风险和投机风险，而不如将其分为纯粹损失和投机损失，

?王稳、王东，对外经济贸易大学保险学院，邮政编码：100029，电子邮箱：wangw6966@https://www.wendangku.net/doc/1610513825.html,。本文得到对外经济贸易大学国家“211工程”重点学科建设项目“WTO与中国金融安全与风险防范（项目号：73000010）”、对外经济贸易大学“企业风险管理”学术创新团队项目资助。

因为这样更能体现风险经理的真正着眼点——损失问题。

第二个重要领域是，对企业的保险决策和投保行为，以及保险在应对企业风险中的重要作用和普遍性的研究。Greene（1955）对风险管理的定位就是保险购买者。1955年，《管理评论》发表的论文《对风险问题的一种管理方法》，认为保险作为企业管理风险的最重要手段应该得到企业管理层和股东的重视，认为保险是企业支出的各种成本中最具有价值的部分。Denenberg等（1966）也强调了保险在这个阶段风险管理中的重要作用，指出风险经理的重要职责就是为企业确定合适的保险策略和保险产品，以至于将风险经理的名称改为“保险和风险经理”。Snider（1956）、McCahill，Jr（1971）强调，风险管理部门在企业的组织结构中不仅要具有一定的地位，向最高管理层汇报工作，而且要与财务部门保持良好的沟通和配合。

第三个重要的领域是，将风险管理理论融入到主流经济学和管理学的分析框架中。一方面，通过将风险管理理论与传统的企业理论相结合，将风险管理的决策过程与企业的整体决策相融合；利用资本资产定价模型，企业的决策规则拓展到最优自留比例、累计免赔额的选择以及选择储备政策等方面，使得风险管理融入金融市场理论中；而利用边际分析工具来确定风险管理的最优策略，则标志着风险管理在理论上进一步成型，并成为金融学的一个重要领域（Cummins，1976）。另一方面，William G. Scott的复杂组织系统模型与风险管理相结合，通过对企业基本系统和分支机构的规整，将企业的整体目标与风险经理的日常目标有机统一起来，进而将分支机构的考核目标转向对企业整体风险识别和衡量的贡献，并考虑这些分支机构之间的相互关系以及这些相互关系的动态特征，从而为风险管理学科的发展提供了理论来源（Close，1974）。

（二）第二阶段，20世纪70年代后期到20世纪末

风险管理的对象主要是业务和财务成果的波动性，风险管理的工具也在保险的基础上实现了很大的发展，新的衍生品和另类风险转移（ART）担当了重要的角色。20世纪70年代，布雷顿森林体系的崩溃使得汇率的波动性明显加大，原油价格的大幅上涨使得企业的生产成本难以控制；进入80年代后，高通胀、利率波动以及多起货币和信贷危机使得企业的经营面临更大的不确定性，而投资者对这种收益的波动性表现出明显的厌恶情绪。特别是，跨国公司面临着尤为明显的汇率风险，汇率的波动影响企业的已实现利润、持有的金融资产的价值以及预期的收入。同时，在具体策略和措施的实施中也受到企业的风险态度的影响，针对不同的货币，企业存在着不同的管理行为和策略：在“软”通货中，企业往往会采取有利措施来抵消可能会带来的未预期损失，相反在“硬”通货中，企业偏向于保留部分正向敞口（Folks，Jr. 1972；Rodriguez，1974、1978）。

在这个阶段，随着资本市场和保险市场的融合，发展出了新的风险管理工具——ART（另类风险转移）。ART是一种综合保险和衍生品两者特点的风险转移产品，是一系列非传统风险转移产品、风险工具和风险技术的总称，也称结构性风险管理工具。其中，专属保险公司的发展非常迅速（Davidson 等，1987、1988；Glascock 等，1988 ；Ullrich，1992）。此外，以芝加哥交易所交易的巨灾期权产品为代表的基于资本市场的保险衍生品的出现，使得保险行业具备了从资本市场获取所需的再保险能力，资本市场也因为这些新的产品类型的出现而能够更好地发挥其职能（Canter等，1997）。

结构性工具的大量应用在方便企业进行风险管理的同时，也由于其杠杆性的特点会放大企业使用策略不当造成的损失，因此衍生产品的使用和管理策略就变得十分重要。因此，企业进行风险管理和衍生品交易时，应当密切关注竞争者的对冲策略（Froot等，1994）。而Cummins等（2001）的研究发现，尽管风险和非流动性的测量与保险人的决策有着正面的联系，但是对于那些运用衍生品进行风险对冲的公司来说，风险指标却与对冲的深度和广度有着负面的关系。

（三）第三阶段，21世纪以来

进入21世纪以后，随着全球经济一体化进程的加快，企业面临的风险不断增加，各种风险的影响和潜在后果也随之放大，加之金融衍生品交易的复杂程度和频率都迅速增加，对企业的持续经营提出了严峻的挑战，企业必须突破传统的风险管理模式，从更加综合、全面的视角来分析和管理面临的风险，因此，风险管理发展到了全面风险管理的阶段。全面风险管理的出现和应用为企业风险管理提供了新的方法和工具，其应用领域十分广泛，从企业、非盈利机构到政府都逐步引入这个分析框架。

97

98 二、第二个理论来源——内部审计与控制理论的发展

在企业风险管理理论的演进过程中，第二个理论来源是内部审计与控制理论的演进和发展。从文献看，

内部审计与控制大致经历了内部会计控制——内部控制整体框架——企业风险管理整体框架的过程，其中COSO发挥了主导作用，特别是它发布的两个具有标志性意义的文件《企业内部控制—整体框架》和《企业风险管理—整合框架》。企业所有权和控制权的分离是内部审计与控制理论兴起的根本动因，而企业规模的扩大和分支结构的增多所带来的管理不力和控制不足问题则是促使企业加强内部审计与控制的直接动因。

（一）内部会计控制

内部会计控制是内部控制理论发展的第一个阶段。Grady（1957）指出，内部会计控制就是一个综合了组织的计划和商业中运用的协调过程的制度，用于预防未预期到的或是错误的操作带来的资产损失、检查管理决策中用到的会计数据的准确性和客观性、提升运营效率和鼓励遵守已制定的政策等。

在实践中，会计和审计人员在内部会计控制中发挥了主导作用，审计成为内部控制的最初形式，因此，内部控制是在审计活动中得到深化并基于审计理论得以发展。但是，随着企业管理活动的增加，单纯的审计已经不能满足企业的需求，内部控制应运而生，审计则成为内部控制的一个组成部分（Haun，1955）。内部审计部门是企业实现控制和管理的重要条件，是企业内部控制中的关键组成部分，是最高管理层的“监督之眼”。对于内部控制评估来说，审计是最重要的工具和承担者；同时，审计数据为内部控制的评估提供了条件，通过对审计数据的评估，可以初步判断企业的内部控制制度以及需要改进的方面，从而为内部控制的完善提供思路（Garbade,1944；Mautz等,1966；Smith,1972）。

（二）内部控制整体框架

1992年COSO发布了《企业内部控制—整体框架》，第一次系统构建了企业的内部控制体系。COSO 框架下的内部控制，更多地是基于独立会计师和审计师的视角，提出了企业内部控制构成的概念，认为内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通、监督五大要素组成，由此内部控制的概念完全突破了审计的局限，向企业全面管理控制的范畴发展。

1995年加拿大COCO报告向外部审计师提出了更高的要求，为企业的内部控制加入了外部因素。1996年国际内部审计师协会发布《控制：概念和责任》报告，认为应更加重视内部审计在组织中的贡献和作用。英国风险管理界的卡德伯利报告、哈姆佩尔报告，以及作为综合准则指南的特恩布尔报告最为有名，堪称英国内部控制研究史上的三大里程碑，特别是1992年的卡德伯利报告以内部控制、财务报告质量以及公司治理之间的关系为前提，十分重视独立审计委员会对内部控制的意义。

理论界从多个方面展开研究，突出地是对内控报告和内控信息披露的分析。Root（1998）认为内部控制是一种超越了会计视角的更加全面的企业管理和控制活动。Willis（2000）认为，内控报告可以使投资者加深对公司的全面了解，密切了投资者和公司之间的沟通联系。Mcmullen等（1996）、Newson等（2002）认为，内控信息的披露也间接具有分辨公司好坏的功能。

（三）企业风险管理整体框架

2004年，COSO委员会在1992年报告的基础上，结合《萨班斯—奥克斯法案》的要求，正式发布了《企业风险管理—整合框架》。该分析框架将内部控制涵盖在企业风险管理的范围内，形成了含义更广泛的内部风险管理框架。因此，内部审计与控制理论的发展最终指向了企业的全面风险管理。

回顾内部审计与控制的发展脉络，可以看出，理论的演进经历了“平面——三维——立体”的过程：在内部会计控制阶段，控制环境、控制活动和会计系统三要素构成了一个平面的控制系统；在内部控制整体框架中，控制环境、控制活动、风险评估、信息与沟通、监控五要素，演变成了一个三维的控制系统；到了企业风险管理整体框架阶段，内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八要素，使得企业风险管理成为立体的控制系统。

三、企业风险管理理论的发展

进入21世纪后，学术界对企业风险管理进行研究时，主要聚焦在以下几点：企业风险管理的内涵和目标、企业风险管理实现目标的作用机理、企业风险管理的实施动因以及企业风险管理的组成因素等。

（一）企业风险管理的内涵

Kent D. Miller（1992）对企业国际化经营中的不确定问题的来源和表现进行了分析，提出了整合风险管理的思路，在学术界第一次较为详细地研究了整合风险管理的概念。后来，学者们逐渐用企业风险管理的定义来泛指那些使用全面、综合的方法处理企业面临的风险问题。Skipper（1994）、Lisa Meulbroek（2002）认为，企业风险管理不仅涉及那些只有损失而没有获利可能性的情况，也关注那些可能带来收益的机会和风险。COSO委员会（2004）发布了一个权威的企业风险管理定义。

（二）企业风险管理的目标

对于企业风险管理的目标，学术界主要有单一目标论和多重目标论两大派别。其中单一目标论的核心观点就是，企业风险管理的目标是要实现公司股东价值的最大化。Neal Enriquez （2001）指出，企业风险管理的主要目的是为了节约大量琐碎的理赔成本，便于企业对风险的控制，进而提升公司的价值。多重目标论的观点则认为企业风险管理的目的是为了实现企业发展中的多种目标。James Lam（2003）详细说明了企业全面风险管理的目的，包括降低公司收益的波动性、最大化公司股东的价值以及促进职业和财务安全等；COSO委员会（2004）提出了战略目标、经营目标、报告目标和合规目标四大目标。

（三）企业风险管理提升企业价值的作用机理

企业风险管理提升企业价值的机理主要通过三个途径来完成：（1）优化企业的资本配置。企业风险管理框架下的资本结构管理，能够提高权益回报率和改进公司治理结构，从而影响企业的价值（Peter Tufano，1996）。（2）提升企业的战略决策水平。企业风险管理将风险管理融入企业的整体战略中，覆盖了企业发展的全部流程和业务部门，能够使得企业抓住机会并增强竞争能力，从而提高公司的绩效水平。企业风险管理还能够减少企业陷入财务困境的成本，降低企业破产的概率，减少传统负债对公司价值的影响（Neil Doherty，2005）。（3）强化对管理层的激励进而提高绩效水平。如果能够通过有效的风险管理措施来控制股票价格的波动，使得管理层报酬对公司业绩的灵敏度为正，这样就能够解决公司治理中的代理问题，从而使得管理效率提高并且能够提升公司价值（Aggarwal，1999）。

（四）企业风险管理与公司价值关系的实证研究

企业风险管理究竟对企业价值的提升具有多大的影响，单纯的定性分析难以得到准确的结论。学术界为此通过多种实证方法来研究：（1）从企业的整体层面研究发现，采用企业风险管理的公司，其公司价值的增加具有较大的普遍性（Cyree等，2004；Hoyt 等，2008）；（2）从具体的业务层面，运用托宾Q作为企业价值的替代变量，发现运用了衍生品对冲风险后，企业的价值呈现正增长的态势（Allayannis等，2001；Bartram等，2004；Nain，2004；Kim等，2004）；凯琳伯格（2007）以ABB公司为例分析了风险沟通对于建立公司信誉和维护公司价值的重要意义。

（五）企业风险管理的实施动因

单纯地提升企业价值并不是企业实行企业风险管理的唯一理由，企业是否实行风险管理还取决于另外的因素，包括公司的经营状况和前景（MacMinn，1987），产品市场的竞争前景以及竞争者的企业风险管理策略（Froot等，1993；Cummins等，2001），保险公司的规模、杠杆效率以及资产和负债久期的不匹配程度（Colquitt等，1997），企业的风险偏好（Liebenberg等，2003）。

（六）企业风险管理的组成因素

关于企业风险管理的组成要素，COSO八要素最为经典。学术界对企业风险管理要素的研究主要集中在公司治理、风险沟通以及企业文化等领域。（1）阻碍企业风险管理的主要因素是公司的组织结构不适应企业风险管理的要求以及公司不愿变革的惰性，但是有关公司治理的指引仍然发挥了积极的作用（James Lam，2003；Kleffner等，2003）。（2）风险沟通在企业风险管理中的价值和作用呈现明显的阶段性特征（Nielson等，2005）。（3）企业文化作为企业管理中的“软要素”，即使是企业的技术人员也可以从组织文化的角度来挖掘实施企业风险管理的潜力（Kimbrough，2009）。

四、总结与展望

通过以上分析可以清晰地看到，风险管理理论和内部审计与控制理论的交叉与综合，使得企业风险管

99

理以更加综合、全面的视角和方法来应对企业发展中面临的风险，以保证企业的健康和可持续发展。但是，2007年次贷危机的爆发，对企业风险管理的改进和完善提出了新的命题：如何实施有效的风险管理以应对新的挑战？有下列问题需要进一步研究和探讨：

1. COSO—企业风险管理框架的应用性问题。目前该框架是企业风险管理的核心标准，但是该框架更多地是从流程管理的视角来处理企业的风险问题，对实时风险的管理不够重视，特别是没有充分考虑到企业的偿付能力问题，实际上，企业破产往往是偿付能力不足的直接后果。因此，企业风险管理所不可忽视的问题就是：在企业风险管理的分析框架中，如何充分重视企业的偿付能力并设置有效可行的评价指标。

2. 对金融衍生品及结构性金融工具的使用问题。次贷危机中，AIG、花旗等大型金融机构都是由于企业用来作为风险准备金的资本远远不能够满足巨量结构性产品交易的需要，过高的杠杆倍数给企业带来非预期的损失。因此，如何正确看待和处理结构性金融工具问题，是企业风险管理不能忽视的。

3. 企业的社会责任和声誉问题。随着对企业的要求从单纯的盈利延伸到社会责任和声誉、品牌等领域，企业的风险管理也必须随之进行拓展和延伸，将外部利益相关者的要求纳入到企业风险管理的框架中，以更加宽广的视角来综合实行风险管理。因此，一个企业如何通过可持续风险管理来担当其社会责任，实现经济利益与社会利益的和谐统一，是未来企业风险管理中的一个不可忽视的重要问题。

主要参考文献：

Aggarwal，Rajesh K，Andrew A．Samwick，1999，The Other Side of the Trade–off：The Impact of Risk on Executive Compensation，Journal of Political Economy，V ol.107，No.1：65–105．

Darwin B．Close，1974，An Organization Behavior Approach to Risk Management，The Journal of Risk and Insurance，V ol.41，No.3：435–450．

Fikry S．Gahin，1967，A Theory of Pure Risk Management in the Business Firm，The Journal of Risk and Insurance，V ol.34，No.1：121–129．

Herbert S．Denenberg，J．Robert Ferrari，1966，New Perspectives on Risk Management：The Search for Principles，The Journal of Risk and Insurance，V ol.33，No.4：647–661．

J．David Cummins，1976，Risk Management and the Theory of the Firm，The Journal of Risk and Insurance，V ol.43，No.4：587–609．Kenneth．Froot，David S．Scharfstein，Jeremy C．Stein，1993，Risk Management：Coordinating Corporate Investment and Financing Policies，The Journal of Finance，V ol.48，No.5：1629–1658．

L．Lee Colquitt ，Robert E．Hoyt，1997，Determinants of Corporate Hedging Behavior：Evidence from the Life Insurance Industry，The Journal of Risk and Insurance，V ol.64，No.4：649–671．

Neil A．Doherty，2005，Risk Management，Risk Capital，and the Cost of Capital，Journal of Applied Corporate Finance，V ol.17，No.3：119–123．

The Evolution and Review of Enterprise Risk Management Theory

Wang Wen Wang Dong

Abstract：Enterprise risk management is an important field of risk management discipline，which achieved the development from disperse study of multiple field to Enterprise risk management in the course of fifty years，and it’s theory origin is risk management theory and internal audit and control theory. Risk management theory took a course from the traditional risk management、financial volatility risk management to ERM，and internal audit and control theory also took a course from internal accounting control、internal control integrated framework to ERM，and the above two theories all point to ERM. Enterprise risk management theory finally carries out integration development，which becomes the necessary component of business management.

Keywords：enterprise risk management，internal audit，internal control

100