论文导读::同时兼顾了不同风险的综合效应。真正理解企业风险管理的内涵。内部控制理论的发展。理论发展前景展望。
论文关键词:ERM,风险管理,内部控制,发展前景
一 引言
复杂多变的经济环境和关联性越来越强的风险因素使得企业全面风险管理(ERM)备受热捧。ERM同时兼顾了不同风险的综合效应,与企业价值最大化的目标相符合,与企业所有者利益相一致,是一种承担增加公司价值使命的新型风险管理体系和手段(李社环,2003,张琴、陈柳钦,2009)。它正迅速成为企业的最低标准,成为主导企业兴衰的关键因素(Stroh, 2005)。在这样的背景下,真正理解企业风险管理的内涵,掌握企业风险管理的发展规律,成为企业决胜未来的一堂必修课。这就要求我们必须从根本上理解ERM理论发展的来龙去脉。ERM主要有两个理论来源[②]:风险管理理论和内部控制理论。风险管理理论和内部控制理论发展至今已不再是彼此孤立的理论体系,而是你中有我,我中有你发展前景,相互糅合在一起,并最终不约而同地指向了同一个方向——ERM。
二 风险管理理论的发展
1930年美国管理协会的一次保险会议上最早提出了风险管理的概念,风险管理理论和实践自此而始。按照一般管理理论的发展历程,我们将风险管理理论的发展历程分为三个阶段:早期风险管理阶段、现代风险管理阶段和全面风险管理阶段。
(一)早期风险管理阶段
1952年3月马科维茨发表《资产组合的选择》一文提出了著名的均值——方差理论。他首次将统计学中期望与方差的概念引入资产组合问题的研究,提出用资产收益的期望来度量预期收益用资产收益的标准差来度量风险的思想,将风险定量化,为金融风险的研究开辟了一条全新的思路。同时,他首次引入了系统风险和非系统风险的概念,给出了在一定预期收益率水平下使投资风险达到最小化的最优投资组台计算方法,改变了过去常识或经验等定性的衡量风险的方法。与此同时,美国保险统计从业人员开发出了正式的资产/负债管理模式(ALM),用于估计和管理寿险公司中长期产品涉及的利率风险。ALM方法逐渐发展成为寿险公司、养老金、银行和衍生产品所用风险管理技术的基础。1963年Myer和Hedges的《企业风险管理》最早系统地对风险管理进行了研究。1964年Williams和Hans著成《风险管理与保险》一书,进一步全面、系统地对风险管理进行了研究,他们认为风险管理的目标是以最小成本实现损失最小化。在均值一方差模型的理论框架下,William Sharpe (1964)、Limner (1965)、Mossin(1966) 分别推导出了资本资产定价模型(CAPM)。根据CAPM模型,单种资产的总风险中只有其中的系统风险对资产的预期收益有贡献,投资者不会因资产具有的非系统性风险而得到任何附加的预期收益。迄今为止,西方国家的企业财务人员,金融界以及经济学界一直将CAPM作为处理风险同题的重要工具,将其大量运用于财务决策与风险管理等方面杂志铺。1975年Murton提出了多因素C A P M模型对传统C A P M模型予以修正,在市场因素的基础上引入了其他市场之外的因素进行分析。同时期风险管理理论的另一个重要发展就是期权定价理论,它为衍生产品设计理论引入风险管理之中以及对衍生产品的风险管理提出了理论与决策基础,具有十分重要的理论和实践意义。该时期风险管理的重要特点是专注于防范不利风险,风险管理的主要内容是信用风险和财务风险,保险是风险转移的基本方法。风险管理实务主要涉及设立信贷控制、投资与清算政策、审计程序以及保险范围。这些防卫性风险管理实务的目标是最小化损失。
(二)现代风险管理阶段
20世纪90年代兴起的以损失为基础的风险管理方法(Value at Risk,VaR)引领了风险管理的潮流。摩根大通将VaR定义为在既定头寸被冲销或重估前可能发生的市场价值最大损失的估计值。VaR的一个更通俗的定义是[③]:给定置信区间的一个持有期内的最坏的预期损失。VaR成功将风险标准化和数量化,因此在金融领域应用广泛发展前景,非金融机构也因此受益量多,VaR正逐渐成为风险管理领域的规范。而且,VaR目前仍在不断地被改进完善。1992年Kent D.Miller提出了整合风险管理,指出企业可以根据具体的风险状况对多种风险管理方式进行整合,强调风险研究范围的扩展。风险管理的目标由最初的以最小成本实现损失最小化转变为以最小成本获得最大的安全保障 ( Skipper, 1999)。之后在VaR缺陷的基础上发展起来的整体风险管理(Total Risk Management,TRM)综合考虑了影响风险管理的三个因素:价格、偏好、概率,谋求在三要素系统中达到风险管理上客观计量和主体偏好的均衡最优,使投资者承担其所愿意承担的风险从而获得最大的风险报酬。TRM为完整的企业风险管理开辟了新的道路。这一时期,另类风险转移(ART)不断涌现,传统的衍生产品和保险不再是公司风险转移需要的完全解决方案。此时,风险管理专注于管理业务和财务成果的波动性,管理方向从纯粹风险向投机风险转变,由保险型向经营型转变。同时,基德·皮博迪、巴林银行、埃克森、长期资本管理公司等明星企业的危机事件使得企业对营运风险管理的重视骤升。
(三)全面风险管理阶段
Zail et al.(1996),James(1996),Matten(2000)相继提出了经济资本框架(即风险资本框架)的主要内容,掀起了经济资本技术的发展热潮。经济资本技术将风险控制由被动转为主动的同时,在其理念下的EVA指标和RAROC指标将利润指标同风险指标统一起来,以实现风险调整收益最大化。经济资本技术凭借以往风险管理方法无法比拟的巨大优势被迅速推广应用于银行、保险、大型跨国企业的风险管理活动中。经济资本注重风险的模型化和定量计算,大大提高了风险管理的精密度。经济资本有效参与业务战略规划。在制定战略规划时,权衡业务发展与所面临的风险变化之间的平衡,提高业务发展规划制定的科学性,推动企业持续健康发展。
进入二十一世纪以来,日益复杂的国际金融环境促使企业深刻反思巴林银行、长期资本管理公司等金融业巨子在金融动荡中难逃浩劫的缘故。血的教训使得他们进一步深入考虑风险防范与管理问题。他们逐渐发现金融风险往往是以复合的形式存在,不同的金融风险之间往往具有相互联动性。风险管理不应该是对单个业务的单个风险进行管理,而应从整个系统的角度对所有风险进行综合管理。在这种背景下,全面风险管理(Enterprise Risk Management ,ERM)理论应运而生。2001年北美非寿险精算师协会(CAS)在一份报告中明确提出了全面企业风险管理(ERM)。在该报告中发展前景,CAS认为风险管理包括环境扫描、风险识别、风险分析、风险集成、风险评估、风险应对和风险监控7个紧密联系的步骤。2004年6月巴塞尔银行监管委员会发布了《巴塞尔新资本协议》(BASEL Ⅱ)。新资本协议首次提出了全面风险管理的概念,同时关注了信用风险、市场风险和操作风险[④],明确了主动控制风险的原则,鼓励全面风险管理模型的建立和使用,并把激励商业银行不断提高风险管理水平作为两大监管目标之一[⑤]。2004年9月,COSO委员会颁布了《全面风险管理——整合框架》报告。报告强调从整个组织的层面识别和管理风险的重要性,明确提出应该把风险管理提升到公司战略的高度,突出了风险管理的战略意义。Harrington和 Niehaus(2004)认为,风险管理的总体目标是通过风险成本最小化实现企业价值最大化;ABA则认为“商业银行风险管理的目标并不是人们通常误认为的风险最小化 ,而是风险与收益的优化” [⑥]。在这一阶段,企业风险管理以主动处理所有类型的风险为特征,以创造价值为管理导向(张维功,何建敏,丁德臣,2008),成为企业管理的进攻性武器。许多公司将ERM看作是一种衡量重大投资的工具,并最终将其转化为包括成本可容度、提高收益等指标在内的股东价值战略(Adams,Campbell,2005)。
三 内部控制理论的发展
关于内部控制的较早研究来自于审计领域杂志铺。1934年美国《证券交易法》首先提出“内部会计控制”的概念,开创了内部控制理论研究的先河。内部控制理论的发展经历了一个漫长的历史过程。它的发展可分为以下五个阶段[⑦]:
(一)以内部牵制为基础
1936年美国注册会计师协会发布《独立注册会计师对财务报告审查》的文告,首次提出审计师在制定审计程序时,应该考虑的一个重要因素是审查企业的内部牵制和控制。1939年10月美国注册会计师协会的审计程序委员会公布了《审计程序文告第1号》文件,在修改的标准化审计报告中首次增加了对内部控制审查的内容。在内部牵制阶段,账目间的相互核对是内部控制的主要内容,设定岗位分离是内部控制的主要方式。
(二)以内部会计和内部管理为基础
单一的内部牵制无法满足日益复杂的经济环境下的管理需求。1958年,美国注册会计师协会迈出了历史性的一步,将内部控制区分为两类:内部会计控制和内部管理控制。内部控制的内涵得以扩展到管理层面。在这段时期内发展前景,内部控制的重点是建立和健全规章制度,加强控制和管理活动。
(三)以控制环境、会计制度和控制程序为基础
会计体系的不断完善成为内部控制理论发展的一个重要推动力。日臻完善的会计制度被看作是内部控制的一种有效方式。系统、完整的政策程序成为规范的会计制度的有益补充。经济全球化日益开放的格局使企业面临着更为复杂的商业环境。巨大的内外压力下,控制环境理所当然的进入内部控制主体的视野。1987年,美国Treadway报告关注避免虚假财务报表和引导公司治理问题的学术讨论,它认为内部控制包含三个要素:控制环境、会计制度和控制程序。这一时期,内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序。
(四)以控制环境、风险评估、控制活动、信息沟通和监控为基础
二十世纪八十年代末期以来,随着政府干预逐渐减弱,审计人员处在一个非同寻常的弱势地位,企业的内部控制悄无声息地发生了巨大转变。两个重要的因素促成了这种变化:信息技术的发展和审计方法的改变。大型的关联数据库不断涌现,数据库存取和操作软件的成本不断降低,这意味着系统需要经常进行改良,信息的及时有效的沟通至关重要,传统的过程控制过时了,控制活动异常活跃起来。科学技术和审计的变化促使控制向组织层面转移,而且,最初政策和程序式的服从被风险语言所代替,在风险系统中,组织高层关注重要的风险。
1992年,Treadway报告的发布机构(COSO)发布了《内部控制——整体框架》,专门强调了公司治理中内部控制的关键作用。该报告包括了内部控制特点分析和其构建与评估的框架,它把内部控制定义为[⑧]:
一个受董事会、管理层、和其他个体影响,用于为以下目标的实现提供合理保证的过程:效力和运营效率;财务报告的可靠性;符合适用的法律法规。
1992年Cadbury 报告指出,董事会应该就财务报告和内部控制体系的效力做出声明,并且审计人员应该就此作出相应报告[⑨]。1994年Rutteman 报告借鉴了COSO对内部控制的定义但着重强调了与内部财务控制有关的部分。它把内部控制定义为:内部控制是为了提供以下合理保证:(1)防止资产未经许可下使用和处置;(2)保留相应的会计记录,维持商业和公共使用的财务信息的可靠性。这样,信息的沟通和监控被纳入了内部控制体系。同一年发展前景,COSO对1992年的《内部控制——整体框架》进行了增补,形成内部控制报告。1995年,加拿大特许会计师协会提出了COCO(Criteria of Control Framework)框架,它提出了控制的定义和一系列评价效力的分类标准。该框架从更高的层次上反映了内部控制和风险管理的关系,内部控制与组织目标的实现密切相关。
(五)以企业全面风险管理为基础
1998年Hampel报告首次把内部控制的注意力从财务报告问题上移开,开拓了内部控制新领域。1999年Turnbull报告走的更远。它是第一个强调公司治理中内部控制和企业风险管理关系的文件[⑩]。它认为公司的内部控制系统在风险管理中起着关键作用,对于实现企业的战略目标意义重大[11]。ICAEW在如何实施Turnbull报告要求方面走的更远,它将内部控制和风险管理完全结合起来。1999年加拿大特许会计师协会提出“内部控制应该包含风险的识别和应对”。Krogstad et al.诠释新IIA对内部审计的定义时提到:内部控制是帮助组织管理风险,提高公司的治理效率。2002年7月,美国国会通过了《萨班斯——奥克斯法案》,第一次对财务报告内部控制有效性提出了明确要求。
随后,在内部控制领域具有权威影响的COSO委员会于2004年9月颁布了《全面风险管理——整合框架》报告杂志铺。报告从内部控制的角度出发,研究了全面风险管理的过程以及实施的要点,是全面风险管理理念在运用上的重大突破。内部控制也由最初的“一点论”发展为当前的“八点论”——内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。这样内部控制框架经历了点——线——平面——三维——立体的发展过程,发展至今的《全面风险管理——整合框架》代表着国际上内部控制研究方面的最高水平,是内部控制理论研究历史性的突破。
至此,风险管理与内部控制的关系发生了巨大转变。风险管理与内部控制已不再是孤立的或是包含的关系,而是完全等价的(陈关亭,2009)。风险管理理论和内部控制理论成为ERM的两大理论来源。
四 ERM理论发展前景展望
ERM是企业风险管理理念和实务上的一次重大转型(韦军亮,陈漓高,王炜,2008),“是要以风险损失为分析基础转变为以企业价值为分析基础,化分离式的风险管理为整合式的风险管理,变单一的损失控制为综合性的价值创造”(卓志,2006)。ERM的特性从实践上契合了企业在风险交互影响和日益复杂的经济环境中更高层次的管理需求。另一方面发展前景,巴塞尔新资本协议(BaselⅡ)、国际财务报告标准(IFRS)、萨班斯法案(Sarbanes-Oxley)等法规法案的颁布和实施在理论层面上进一步促进了ERM理论的发展和推广。正如James Lam(2006)预测的那样,ERM将不断发展成为风险管理的行业标准。
尽管ERM是一种很受企业热捧的战略经营工具,但对很多公司来说,ERM能够得以成功实施的路依然很长[12]。造成这种结果的原因除了有来自企业操作层面的[13],还有来自理论体系层面的因素。这主要表现为ERM理论框架中有诸多尚待完善的部分。其中一个重要的体现就是ERM的界定问题至今国内外学术界仍然争论激烈[14],尚未达成共识。在ERM实施过程中,企业上下连什么是ERM都搞不清楚,这显然不利于ERM在企业的全面顺利实施。再加上ERM牵涉面极广,影响极大,ERM的推广和实施困难重重。实践和理论的需要将引导ERM的后续发展逐步解决这一问题。另一个重要的问题在于,目前ERM体系中缺乏一种行之有效的全面风险管理方法。令人欣慰的是,理论研究一直在继续。巴塞尔新资本协议对此给予了特别关注,协议指导并鼓励集市场风险、信用风险和其他多种风险于一体的各种新模型的创立,实现对全面风险的量化管理。
参考文献
【1】Laura F.Spira and MichaelPage. Risk management:The reinvention of inernal control and the changing role of internalaudit[J]. Accounting, Auditing&Accountability Journal.Vol.16 No.4,2003.
pp.640-661.
