一般而言,风险管理是指对影响企业目标实现的各种不确定性事件进行识别和评估,并采取应对措施将其影响控制在可接受范围内的过程。
现代意义上的风险管理曾被冠以不同的称谓:全面风险管理(comprehensiveriskmanagement,CRM)与整合/集成风险管理(integratedriskmanagement,IRM)、整体风险管理(holisticriskmanagement,HRM)、整体风险管理理论(totalriskmanagement,TRM)、全面综合的风险管理(globalriskmanagement,GRM)等等。但是,不管如何称谓,它们均包含了两方面的含义:第一,研究和解决的是风险对企业的整体影响,而不是个别风险对企业的个别影响和个别解决办法;第二,从整体上去认识风险,既要看到风险的负面影响,也要看到风险可能带来的正面效应,从而把握风险的本质和可能的机会。
由此可见,现代意义上的风险管理通常是指全面风险管理。
下面介绍两种有代表性的全面风险管理的定义:
(1)美国COSO的定义
全面风险管理是一个过程,它由一个企业的董事会、管理当局和其他人员实施,应用于企业战略制定并贯穿于企业各种经营活动之中,目的是识别可能会影响企业价值的潜在事项,管理风险于企业的风险容量之内,并为企业目标的实现提供保证。
美国COSO的定义宽泛却抓住了全面风险管理的内涵:
①它是一个全员参与实施的动态过程。
②应用于现代企业战略的制定,并应考虑现代企业所有层面的活动。
③识别可能对现代企业造成影响的事项并将其控制在风险容量以内。
④需要设计一整套能够合理有效运行的风险管理机制。
(2)中国国有资产监督管理委员会《中央企业全面风险管理指引》的定义
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
以上定义表明,全面风险管理中的“风险”是指所有影响企业达成企业经营目标和战略目标的因素,而“管理”则指用综合运用企业的战略、人员、流程、技术和知识等系统的原则方法来评估和管理企业面临的这些不确定性因素,通过综合管理业务风险、财务风险、经营风险和风险转移,完成企业的战略目的和经营目标,力求公司价值最大化。
