企业风险管理是企业在实现未来战略目标的过程中，试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程，以确保和促进组织的整体利益实现。

    企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

　  企业在经营管理过程中会遇到各类事项，可能会带来负面的影响，也可能会带来正面的影响，抑或二者兼而有之。带来负面影响的事项代表风险，它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响，或者说代表机会。机会是一个事项将会发生并对目标——支持价值创造或保持——的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订过程中，以便制订计划去抓住机会。

         一、企业风险管理的发展历程

    在20世纪30年代，由于受到1929－1933年的世界性经济危机的影响，美国约有40%左右的银行和企业破产，经济倒退了约20年。当时美国一些大公司发生了重大损失使公司高层决策者开始认识到风险管理的重要性。其中一次是1953年8月12日通用汽车公司在密执安州的一个汽车变速箱厂因火灾损失了5000万美元，成为美国历史上损失最为严重的15起重大火灾之一。这场大火与自保技术的发展和50年代其它一些偶发事件一起，推动了美国风险管理活动的兴起。美国企业为应对经营上的危机，在这一时期，自保得到了快速发展。许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目。当时的内部控制和风险管理主要依赖保险手段。

     1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究发表了题为《内部控制，协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告，第一次对内部控制做了权威性的定义。1955年，美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。

     20世纪70年代中期，作为美国“水门事件”调查结果，立法者和监管团体开始对内部控制问题给以高度重视。为了制止美国公司向外国政府官员行贿，美国国会于1977年通过了“国外腐败实务法案（1977）”。该法案除了反腐败条款外，还包含了要求公司管理层加强会计内部控制的条款。该法案成为美国在公司内部控制方面的第一个法案。1978年，美国执业会计协会下面的柯恩委员会（Cohen Commission）提出报告，一是建议公司管理层在披露财务报表时，提交一份关于内控系统的报告；二是建议外部独立审计师对管理者内控报告提出审计报告。1980年后，内部控制审计的职业标准逐渐成形。而且，这些标准逐渐得到了监管者和立法者的认可。

     1970年代以后，随着企业面临的风险复杂多样和风险费用的增加，法国从美国引进了内部控制和风险管理并在法国国内传播开来。与法国同时，日本也开始了风险管理研究。 此后20年来，美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会上，世界各国专家学者云集纽约，共同讨论并通过了“101条风险管理准则”，这是风险管理走向实践化的一个重要文件。1992年9月，美国COSO委员会发布了《企业内部控制——整合框架》，这份框架此后被纳入政策和法规之中，并被各国数千家企业用来为实现既定目标所采取的行动加以更好的控制。1995年由澳大利亚和新西兰联合制订的AS/NZS 4360明确定义了风险管理的标准程序，这就是我们通常说的澳新ERM标准，这标志着第一个国家风险管理标准的诞生。

          二、企业风险管理的程序

企业风险管理的目标就是要以最小的成本获取最大的安全保障。因此，它不仅仅只是一个安全生产问题，还包括识别风险、评估风险和处理风险，涉及财务、安全、生产、设备、物流、技术等多个方面，是一套完整的方案，也是一个系统工程。

    风险管理的基本程序包括风险识别、风险分析、风险管理和风险管理效果评价等环节。 

风险的识别：是经济单位和个人对所面临的以及潜在的风险加以判断、归类整理，并对风险的性质进行鉴定的过程。

    风险的分析：是指在风险识别的基础上，通过对所收集的大量的详细损失资料加以分析，运用概率论和数理统计，估计和预测风险发生的概率和损失程度。风险估测的内容主要包括损失频率和损失程度两个方面。

    企业风险管理应根据自身业务特点确定风险偏好和风险承受度，即企业愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。

    风险管理效果评价是通过分析、比较已实施的风险管理方法的结果与预期目标的契合程度，以此来评判管理方案的科学性、适应性和收益性。评价方法从控制损失程度和实际财务损失两个方面进行评估。

    三、企业整合风险管理

     企业整合风险管理（ERM）框架是由Treadway委员会所属的美国虚假财务报告全国委员会的发起组织委员会（COSO）在内部控制框架的基础上，于2004年9月提出的企业风险管理的整合概念。

　　企业整合风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险，为企业目标的实现提供合理保证的过程。

　　企业整合风险管理处理影响价值创造或保持的风险和机会，它抓住了对于公司和其他组织如何管理风险至关重要的关键概念，直接关注特定主体既定目标的实现，并为界定企业风险管理的有效性提供了依据。

　　企业整合风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。当管理当局通过制订战略和目标，力求实现增长和报酬目标以及相关的风险之间的最优平衡，并且在追求所在主体的目标的过程中高效率和有效地调配资源时，价值得以最大化。所有的主体都面临不确定性，管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时，要确定承受多大的不确定性。不确定性可能会破坏或增加价值，因而它既代表风险，也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会，增进创造价值的能力。

　　企业整合风险管理过程包括：

       1、协调风险容量（risk appetite）与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量。

       2、增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。

       3、抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及由此带来的成本或损失。

       4、识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。

抓住机会——通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现机会。

改善资本调配——获取强有力的风险信息，使得管理当局能够有效地评估总体资本需求，并改进资本配置。

　　企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标，防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规，还有助于避免对主体声誉的损害以及由此带来的后果。总之，企业风险管理不仅帮助一个主体到达期望的目的地，还有助于避开前进途中的隐患和意外。

　　尽管企业风险管理带来了重要的好处，但是仍然存在着局限。除了前面讨论过的因素之外，局限还导源于下列现实：人类在决策过程中的判断可能有纰漏，有关应对风险和建立控制的决策需要考虑相关的成本和效益，类似简单误差或错误的个人缺失可能会导致故障的发生，控制可能会因为两个或多个人员的串通而被规避，以及管理当局有能力凌驾于企业风险管理决策之上。这些局限使得董事会和管理当局不可能就主体目标的实现形成绝对的保证。    

　　内部控制是企业风险管理不可分割的一部分。企业风险管理框架涵盖了内部控制，从而构建了一个更强有力的概念和管理工具。内部控制是在《内部控制——整合框架》中加以定义和描述的。由于该框架经受了时间的考验，并且成为现行规则、法规和法律的基础，因此那份文件对内部控制的定义和框架依然有效。尽管《内部控制——整合框架》的正文中只有一部分被本框架所引用，但是本框架通过参考的方式把该框架整体融合了进来。

　　主体中的每个人都对企业风险管理负有一定的责任。首席执行官（CEO）负有首要责任，并且应当假设其拥有所有权。其他管理人员支持主体的风险管理理念，促使符合其风险容量，并在各自的责任范围内依据风险容限去管理风险。风险官、财务官、内部审计师等通常负有关键的支持责任。主体中的其他人员负责按照既定的指引和规程去实施企业风险管理。董事会对企业风险管理提供重要的监督，并察觉和认同主体的风险容量。很多外部方面，例如顾客、卖主、商业伙伴、外部审计师、监管者和财务分析师常常提供影响企业风险管理的有用信息，但是他们不但不对主体的企业风险管理的有效性承担任何责任，而且也不是它的组成部分。

        四、风险管理的误区

　　误区之一：视风险为畏途，放弃发展机会。风险其实是无处不在的，特别是企业经营活动中，其结果本身就有不确定性。不少企业对未来盲目恐惧，缺乏前瞻性，视风险为不可抗力，采取回避的方式防范风险。殊不知，新的发展机会往往是由前期高风险带来的，放弃风险有时候就等于放弃机会。

　　误区之二：企业风险管理是一个筐，什么都往里面装。不少企业的风险管理尚未开展，仅仅是一个概念性的东西，很多高层管理者认为一旦实施企业全面风险管理，所有事务都可以归集到其中来处理。但企业风险管理其实仅仅只是企业管理活动中的一个方面而已，它不可能也不应该涵盖企业生产经营的全部工作。

　　误区之三：片面强调某类风险，忽视其他风险因素。企业风险管理应包括战略、财务、市场、运营、法律等诸多方面，并非某一方面风险所能描述的。有些企业就片面强调某类风险，而忽视对其他方面风险因素的控制。

　　误区之四：舍本逐末，未能抓住风险管理的关键。很多企业都有一整套完备的管理制度，有些企业认为只要这些制度的顺利贯彻执行，就是内部控制的全部，就可以有效防范企业风险。但实际并非如此，如果企业将主要精力放在微不足道的控制上，表面上控制得很好，但往往不仅浪费许多管理资源，而且还会忽视重大风险。

　　误区之五：注重风险制度设计，忽视制度执行。企业都或多或少的存在一定的内部控制制度。很多公司很重视制度的设计，甚至高薪借助“外脑”。但事实是制度的执行比设计更为重要，良好的企业风险管理制度如果不能得到有效的执行，其效用就无法发挥。