2004年,美国的COSO委员会(全美反舞弊性财务报告委员会发起组织)提出了《企业风险管理—整体框架》,其中明确规定:“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”同时,该《框架》将风险管理的要素分为八个方面:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。
2006年6月,国务院国有资产监督管理委员会印发《中央企业全面风险管理指引》(国资发改革[2006]108号)明确规定:“企业风险是指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。”
同时,该《指引》明确规定:“全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。”并从风险信息、风险评估、管理策略、解决方案、监督与改进、组织体系、信息系统、风险文化等方面进行了规范和要求。
在内容上,风险管理具有全面性和总体性的特征。全面性体现在一方面风险管理是一种持续性行为,贯穿于企业经营管理全过程,对各项业务管理、环节、流程等全面风险控制,对企业内外部风险全面把控,对历史、现在及未来全生命周期的风险分析预测等;另一方面风险管理本身的全流程性,从组织、制度、程序、措施、系统、文化,到建立、评估、执行、解决、处置、监督、评价、改进等全方位的管理系统和体系,识别企业所面临的各类风险。总体性体现在围绕企业总体经营目标和战略发展,关注的是企业整体风险,整体宏观上实现经营管理战略目标。
在设置上,风险管理具有独立性和权威性的特征。一方面将风险管理职能提升到高级管理层,体现出权威性,另一方面企业要独立于业务部门设置职责清晰、权责明确的风险管理部门,并直接从属于高级管理层管理,体现出独立性,不受其他部门影响,以保证其客观性和公正性。
在效果上,风险管理具有合目的性和价值性特征。首先,风险管理是一个动态的过程,强调风险管理与企业经营管理过程相结合,并受人、文化等因素影响,强调“软控制”(即精神层面的内容,例如管理层的风格和理念、企业文化等)的作用和风险意识,即不同企业的风险管理都深深烙上企业文化的印记。其次,风险管理受目标驱动,并明确组织中的每一个人对风险管理负有责任,且由于内部控制的固有限制,风险管理只能提供合理保证,而非绝对保证。最后,风险管理的最终目标与企业目标一致,在现代社会中,企业目标已不仅仅是追求利润最大化、价值最大化,而是追求构建起一个和谐的内部控制机制,考虑所有利益相关者的利益,改进和提高内部控制的效率和效果,也是风险管理价值所在。
国务院国资委的颁布的《全面风险管理指引》将全面风险管理定义为:企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理体系,为实现风险管理的总体目标提供合理保证的过程和方法。COSO用过程来描述全面风险管理,是目前比较通行的做法。这个定义反映了以下几方面的基本概念:
1、企业风险管理是一个过程,一个流程,它持续作用于企业,并渗透于企业的各项活动中,是降低和控制风险的一系列程序。
2、企业风险管理不仅仅是企业管理层或风险管理机构的职责,同时需要企业各个层级几乎所有的员工共同参与实施。
3、企业风险管理应当在企业战略的制定过程中被应用。
4、由于风险的客观存在性,风险管理并不能给企业提供绝对的保证,而只能为企业实现其经营目标提供一个合理的保证。
5、企业风险管理旨在识别将会影响企业的潜在事项,并将风险控制在风险承受能力之内。
2004年9月,COSO结合《萨班斯—奥克斯利法案》的相关要求,颁布了一个概念全新的报告,即《企业风险管理—整体框架》(以下简称“ERM”框架)。框架的出台顺应了各方需求。与1992年的《内部控制—整体框架》相比,ERM 框架在内部控制的内涵、目标、要素以及内部控制责任承担等层面作了全新突破,对企业风险管理作出了更为详尽的阐述。ERM 框架并没有取代《内部控制—整体框架》,而是基于该框架并将其融入其中,全面推进了内部控制标准的发展。
在ERM中明确提出了风险管理的8要素,即:内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、内部监督。