全面风险管理近几年在世界范围内发展很快，部分大公司开始建立全面风险管理体系，一些国家的中央和地方政府发布了风险管理指引，国际标准组织继发布了通用的风险管理标准ISO31000以后，最近又开始了制定ISO31000的实施细则ISO31004的工作。作为全面风险管理的倡导者和实践者，我们为这些变化感到高兴的同时也在思考，争取把握历史的趋势，能够在变化的大潮中找准自己的定位，更好地服务于企业，促进个人成长，进一步推动风险管理的发展。

最近数十年来，世界上陆续也曾出现过一些新的管理理念，如质量管理，价值链管理，6σ方法等。但这些理念的影响面没有一个像全面风险管理这样深入且广泛。从历史上传统的风险管理到今天的风险管理——全面风险管理的转变，是一个本质上的转变。这个转变的社会效果虽然刚刚开始显现，但可以预料其必将带来企业和社会各种组织管理领域里的深刻变革。观察全面风险管理的发展历史可以帮助我们认识这个转变的意义。

回顾风险管理发展的历史，可以看到全面风险管理的发展是多个途径融合的结果，其中三条路线影响最大。这三条路线第一条的源头是保险，第二条路线是沿着银行界的巴塞尔协议发展，第三条路线的源头是内部控制。

风险管理发展的第一条路线起始是在1956年，当时在保险领域历史上第一次提出了风险管理的概念。提出风险管理的概念的是两位美国教授。他们当时在保险领域研究中看到了各个险种所面对的风险的统一性，由此提出了保险是风险管理的一部分的概念。

由于风险管理的概念最初是从保险领域提出的，故而在企业中原有的保险经理就一直被称为风险经理。传统的企业风险经理的职责是给企业购买保险。给风险经理提供服务的主要是保险经纪人和保险公司的有关人员。

风险管理发展的第二条路线是围绕着巴塞尔协议的发展进行的。国际上于1970年代后期开始的旨在加强银行业监管的努力，最终形成了巴塞尔协议。早期巴塞尔协议本身由于其明确的银行业监管痕迹，对非金融类企业和其他社会组织的影响较小。但巴塞尔协议随后的研究中确立了银行业的监管乃至银行内部管理的核心是管理风险的理念。这个理念目前已经成为国际金融界的共识，而且其对非金融类企业和其他社会组织的影响正在逐渐显示出来。同时，巴塞尔协议的持续努力，包括在2008年世界金融危机后所作的大量工作，为非金融领域的风险管理提供了一个很好的借鉴样板。

内部控制是风险管理发展的第三条路线，而且是一条主要路线。内部控制的发展最早是从审计的会计控制的概念发端，由于整合管理的需要，最终形成了以1992年的COSO报告为代表的内部控制框架。而澳大利亚和新西兰、加拿大等国则从COSO的内部控制框架中得到启发，发展出各自国家的风险管理标准。进一步，COSO从对其内控框架的反思中形成了2004年的风险管理框架。这条路线对当前全面风险管理的影响比保险业和银行业内形成的概念的影响要大得多。

在内控的研究中提出风险管理的需要也是由于整合的需要。传统的企业管理中，主要部门或职能的设置是按照比较具体的企业活动分类来划分的，如供产销等，这就是M. Porter的价值链分析所采用的方法。这时的企业风险管理是各个部门管自己的风险，我称之为企业“risks by function”的状态。随着市场环境和企业活动的复杂性的增加，function和risk的矛盾日益突出，人们发现了这种传统的管理分工的许多问题，其中典型的表现是所谓的“silo effect”和“orphan effect”。“silo effect”即各部门之间由于界限分明，“各家自扫门前雪”，沟通不够，造成管理效率不高。更严重的问题是“orphan effect”，即企业的许多重大问题没有人管，因为这些问题多是落在各部门明确划分的职责以外的“三不管”或交界的地方，例如财务报告的虚假不实问题，治理结构的问题，战略决策问题等。可以说，近年来企业风险管理的发展很大程度上是由于“orphan effect”和“silo effect”日益严重引起的。“orphan effect”和“silo effect”的根源是一样的，表面上是由于分工造成，实质是由于管理的function或事务导向，导致在整个公司内部缺少一种整合性的语言及其相应的管理架构，能够面对公司面临的任何问题。

现在，我们看到风险管理正是提供了这种整合性的语言，而全面风险管理框架就是所需要的管理架构。风险管理的整合性作用表现在其将一切管理纳入风险管理的范畴，在一切管理活动中贯彻风险导向。因此，风险，而不是具体的各项事务，变成了管理的对象；风险管理变成了管理的核心。这就从根本上解决了固化的function或事务管理和变化的风险之间的矛盾问题。由于风险的相对主观性质，管理向风险导向转型给企业提供了更大的决策空间，更多的战略期权，本身已经含有巨大的价值。

在解决具体问题时，风险管理或者说风险导向的管理有传统的管理手段所不具备的优点和特点。风险管理的视角的优点是对风险的直接关注。这是直指管理核心的独特视角。传统的管理手段不能解决的许多问题，原因在于忽略了管理的最本质的东西，就是风险。抓住了本质的东西，问题往往就迎刃而解了。当然，目前风险管理在解决具体问题方面还没有形成很成熟的普遍性的思路和方法，我们和全世界一样在探索。

目前，在世界范围内，风险管理在多数企业中的实施还处于起步阶段。例如，在我国，极少有中央企业在做重大决策时，能够将结论明确建立在风险评估的结果上。在绩效考核方面，企业依然追求不计风险的业绩表现，包括销售规模和利润水平。许多企业管理的内容变成了事务性管理，进而蜕变成了形式上的管理，而忽视了管理风险的本质。有些企业成立了风险管理的部门，更多是由于是上级的要求，而不是真正意识到了风险管理的重要性。在这种情况下，风险管理专门职能的工作开展面临许多困难。有些企业中，风险管理部门的日常工作都很难开展，受到诸多局限。许多人看待风险管理是一个企业中“新添”的职能，认为其所管的应该是那些原来没有人管，而且也不易分到某个现有部门的事情。

其实，从风险管理的整合功能出发，全面风险管理框架中的风险管理部门的设立是为了面向企业所有的风险。但是，不能理解为企业的所有风险都归口风险管理部门具体管理。所谓面向所有风险，主要是指整体上推动企业管理向风险管理的导向转变。所以，风险管理部门或风险管理专门职能的功能是在整个企业中引入企业的风险管理的基本流程，以及建立并维护所需要的管理架构以保障其执行。简而言之，这包括两个层面的内容。

（1）在流程层面，即企业的各具体活动层面，保证其风险有人管理，并管理有效。这时，具体的风险管理活动成为企业日常业务活动的一部分；

（2）在企业层面，及时辨识、分析、评价企业的风险，使得企业能够应对环境的变化，做出正确的决策。

由于全面风险管理框架的存在，各业务活动中的风险信息不再封闭于“silo”之中，而得以在企业层面得到关注；企业层面的风险也及时得到识别和各部门协调的应对，消除“orphan effect”。这时就是我称之为企业“function by risks”的状态。对全面风险管理框架的运行，在所有的function之中，企业的风险管理部门或专门职能应该起到枢纽的作用。
 

扩展阅读

版权声明：