企业风险管理框架在企业战略制定中的运用

　　在激烈的市场竞争环境下，许多企业制定了战略目标，构筑了企业美好的愿景。但无数事例说明：制定了正确的战略并不等于战略的成功。笔者认为成功的战略规划要借助于风险管理和内部控制作为基础或先决条件，惟有如此才有助于企业目标的实现和核心竞争力的提高。脱离这一点，再好的战略规划也无济于事，只能是空中楼阁。笔者通过对企业风险管理框架在企业战略制定中运用的探讨，希望将企业风险管理引入企业战略制定之中，从而提高企业的效率和效果。

　　一、企业风险管理框架产生于内部控制框架

　　企业风险管理框架构筑于企业内部控制。企业内部控制不仅有助于企业战略目标的实现，还有助于企业提高经营的效率和效果以及提高财务报告的准确性，保护企业资产的安全。企业战略目标表明企业在一定时期内沿其经营方向所预期达到的理想结果。目标体系的建立是将企业使命与愿景转化为具体的目标，如果企业使命与愿景没有转化为具体业绩目标，那么企业使命与愿景的宣言也仅仅是一些美丽的词句。最佳的战略决策近似于合理，但总带有风险。如果企业管理者在每一个关键领域建立目标体系，并为达到些设定目标而采取适当的风险管理行动，会有利于企业的成长。然而由于人们受到内部控制认识上的局限，未能将其与企业风险管理和战略管理结合起来，结果战略效果大打折扣。

　　内部控制的定义自出现以来不断得到发展，但人们已经认识到内部控制框架仍有许多不足：如将企业的目标限定得过于狭窄（如财务报告目标只与公开披露的财务报表的可靠性相关，而没有覆盖企业编制的所有报告），没有与企业战略目标联系起来。在内容上，没有考虑到在整个企业范围内识别和管理风险的重要性，而这些内容恰恰是影响一个企业成败的关键所在。2003年7月美国COSO委员会颁布了企业风险管理框架thldl.org.cn的讨论稿，并于2004年发布了企业风险管理框架。该讨论稿是在1992年COSO委员会颁布的内部控制框架基础上，吸收各方风险管理研究成果提出的，新框架中的许多讨论的内容比内部控制框架的内容要更为全面，更为深刻，范围更为广泛，有助于企业战略目标和各项具体目标的实现。

　　二、企业风险管理框架提升了内部控制框架，与企业战略目标紧密相联

　　风险管理框架建立在内部控制框架的基础上，内部控制则是企业风险管理必不可少的一部分。风险管理框架是一个主要针对风险的更为明确的概念。风险来自于企业内、外部各种因素，而且可能在企业的各个层面上出现，应根据对实现企业目标的潜在影响来确认风险。对风险的持续确认，与确定抓住什么机遇一样，对保护和提高企业利益相关者的价值是至关重要的。不确定性既代表风险，也代表机遇，既存在使企业增值的可能，也存在使企业减值的风险。

　　企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。企业的风险管理是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业日常管理中，是企业日常管理所固有的。企业风险管理分为八个相互关联的要素，即：内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等，各要素贯穿于企业的管理过程之中。

　　企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险，即应该具有战略的眼光。

　　企业风险管理框架能帮助企业管理者有效地处理不确定性和减少风险，进而提高企业创造价值的能力。企业风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在于企业目标的实现。在这一点上是与企业战略目标一致的。

　　三、企业风险管理框架在企业战略规划中的运用

　　企业在实现其目标的过程中，(续致信网上一页内容)愿意接受的风险的数量与企业的战略是直接相关的，企业在制定战略时，应考虑将该战略的既定收益与企业的风险偏好结合起来，运用SWOT分析，目的是要帮助企业的管理者在不同战略间，选择与企业的风险偏好相一致的战略。企业的风险管理应针对企业目标的实现在企业战略制定阶段就予以考虑。一个企业为实现其战略目标而制定战略，并将战略分解成相应的子目标，再将子目标层层分解到业务部门、行政部门和各生产过程。企业的战略目标是企业最高层次的目标，它与企业的预期和任务相联系并支持预期和任务的实现，即明确战略目标在风险管理中的统领地位，同时注重经营目标、报告目标和合法性目标等其他目标的实现。企业内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应，还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。在制定战略时，管理者应考虑与不同的战略相联系的风险。而企业在对其下属部门进行风险管理时，应对风险进行加总，从组织的顶端、以一种全局的风险组合观来看待风险。设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。