企業風險管理(ERM)是一套系統化的方法，用來理解和管理企業面臨的各種風險。企業風險管理包括內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控等八個相互關聯的要素，貫穿在企業的管理過程之中。根據美國損失控制協會對于美國企業的統計，未設置風險管理系統的企業，70%在遭受巨災后5年內會結束營業。對于已建立企業風險管理系統的公司而言，在面臨損失事故時將具有更大的競爭優勢。一個成功的企業風險管理系統是藉由公司政策、發展策略、資源管理、組織架構、操作程序及營運上各項關鍵參數所發展而成，而企業建立與提升風險管理能力，除了能有效降低災害發生后之嚴重性之外，更能提升企業相關人員風險管控與災后復原的技能與專業，落實管理運作之必要基礎。

    1風險管理的基本要素

  內部環境：企業的內部環境是其他所有風險管理要素的基礎，為其他要素提供規則和結構。企業管理者是內部環境的重要部分，其職責是建立企業風險管理理念，確定企業的風險偏好，營造企業的風險文化，并將企業的風險管理和相關的初步行動結合起來。

目標制定：根據企業確定的任務或發展方向，管理者制定企業的戰略目標，選擇戰略方案并確定其他與之相關的目標，在企業內層層分解和落實。

   事項識別：有時，管理者不能確切地知道某一潛在事項是否會發生、何時發生及造成的結果，使得企業的管理者需要對這些事項進行識別。

   風險評估：風險評估可以使管理者了解潛在事項如何影響企業目標的實現。管理者應從兩個方面對風險進行評估——風險發生的可能性和影響。風險評估應從企業的發展戰略角度進行。

   風險反應：風險反應可以分為規避風險、減少風險、共擔風險和接受風險四類。對于每一個重要的風險，企業都應考慮所有的風險反應方案。選定某一風險反應方案后，管理者應在殘存風險的基礎上重新評估風險，即從企業總體的角度，或者從組合風險的角度，重新計量風險。

   控制活動：控制活動是幫助保證風險反應方案得到正確執行的相關政策和程序?？刂苹顒哟嬖谟谄髽I的各部分、各個層面和各個部門?？刂苹顒邮瞧髽I為實現其商業目標而執行過程的一部分。

信息和溝通：來自于企業內部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業的員工能夠執行各自的職責，包括企業內自上而下、自下而上以及橫向的溝通。

監控：對企業風險管理的監控，是指評估風險管理要素的內容和運行中執行質量的一個過程。企業可以通過兩種方式對風險管理進行監控——持續監控和個別評估。

   2 企業風險管理的方法

每個企業在經營中都有可能性發生風險，如何化解和減少風險是企業經營者必須進行研究的。首先要明確有哪幾種風險，然后有的放矢地采取措施。只有加強風險意識，進行科學的管理和科學的決策，建立起相應的制度才能避免風險的發生。從目前市場環境來看主要有七種風險，相應采取的措施有：

   經濟合同風險：是指企業在履行經濟合同過程中，對方違反合同規定或遇到不可抗力影響，造成本企業的經濟損失。因此，企業在進行經營和產品合同簽訂后的履約及賠償責任問題。合同簽訂后還應密切注視其執行情況，要有遠見地處理隨時發生的變化。

   債務風險：是指企業舉債不當或舉債后資金使用不當致使企業遭受損失。為了避免企業資產負債，企業應控制負債比率。

   擔保風險：是指為其他企業的貸款提供擔保，最后因其他企業無力還款而代其償還債務。企業應謹慎辦理擔保業務，嚴格審批手續，一定要完善反擔保手續以避免不必要的損失。

   匯率風險：是指企業在經營進出口及其他對外經濟活動時，因本國與外國匯率變動，使企業在兌換過程中遭受的損失。企業平時就要隨時注意其外幣債務，密切注視各種貨幣的匯率變化，以便采取相應措施。

   投資風險：是指因投資不當造成投產企業經營的效益不好，投資資本下跌。企業對此應采?。涸陧椖客顿Y前，一定要各職能部門和項目評審組一起進行嚴格的、科學的審查和論證，不能盲目運作。對外資項目更不能作風險承諾，也不能作差額擔保和許諾固定回報率。

產品市場風險：是指因市場變化、產品滯銷等原因導致跌價或不能及時賣出自己的產品。產生市場風險的原因有三個：(1)市場銷售不景氣，包括市場疲軟和產品產銷不對路;(2)商品更新換代快，新產品不能及時投放市場;(3)國外進口產品擠占國內市場。必須對癥下藥。

存貨風險：是指因價格變動或過時、自然損耗等損失引起存貨價值減少。這時企業應馬上清理存貨，生產時要控制投入、控制采購、按時產出，加強保管。

   3 當前我國企業風險管理存在的問題

   1)混淆風險管理與內部控制的關系

許多企業的管理者將內部控制與企業管理和風險管理等同起來，常常產生這樣的誤解：內部控制可保證企業成功并使其財務報告絕對合法;內部控制可以防止企業決策的失誤;建立了內部控制就等于實施了科學管理等。兩者混淆的關鍵，在于沒有看到內部控制管理是風險管理的本質性要求。

   2)過分關注內部控制細節而忽視企業風險管理

企業把主要精力放在所有細小的、微不足道的控制上，如有些企業差旅費報銷的規定長達數十頁，極其繁瑣，表面上控制得很好，但浪費了許多管理資源，還會忽視企業重大風險。

   3)只重視內部控制設計而疏于其執行效果，使企業承擔巨大風險 任何一個公司都或多或少存在一定的內部控制，否則，公司無法正常運行。公司把大量的精力放在設計內部控制上，而在如何保證制度實施方面，則缺乏應有的措施。在具體控制活動和監督等方面存在缺陷，所以很難保證已設計好的內部控制能夠得到執行。如果企業用這一紙空文來管理，勢必會帶來巨大風險，最終走向滅亡。

   4)對風險管理缺乏足夠重視

與國際領先企業相比，除了我國的金融、保險等高風險行業非常重視風險管理外，大部分企業尚沒有引起應有的重視，風險管理尚處于起步階段，過分強調企業的增長和效益，沒有處理好增長、效益和風險之間的平衡，在企業風險管理方面存在諸多差距。缺乏如COSO《企業風險管理——整體框架》那樣的權威框架對企業風險管理的指導;由于有的風險是可以計量的，因此，部分企業重視采取大量復雜的技術來管理這些風險。但是，一些定性的風險卻被忽視，如聲譽風險、管制風險、遵循風險、安全風險和政治風險等，企業缺乏系統和全面的風險管理。

   4 當前應首先加強合規性風險管理

每個企業由于所處發展階段不同，因而面臨的最大風險也存在差異。有的企業是戰略風險問題，有的企業是經營風險問題，也有企業是財務風險問題。但我國企業目前普遍面臨的最大風險問題是法律法規的遵循風險，也就是合規性風險。它主要是由于企業無法滿足法律、法規、規則要求，也沒有遵循自己制定的標準，以及運作的行為準則，而造成企業面臨著財務損失的風險或者聲譽風險。

因此，當前我國企業應首先強調合規性風險的管理。合規在企業文化里非常重要，強調誠信和正直，這點需要從董事會和高層領導做起，這也是我國企業規避風險的必要措施。合規關系到企業內的每一位職員。企業在經營時，必須以高標準來要求每個職員，確保所有行為達到合規的要求。一旦違規操作，將對股東、客戶、職員以及市場帶來嚴重的負面影響，并將影響企業的聲譽。

    5 以立法的形式促進企業加強內部控制

針對安然、世通等財務欺詐事件，美國國會出臺了《2002年公眾公司會計改革和投資者保**案》。法案的核心在于促進企業完善內部控制，加強信息向公眾披露的質量和透明度，并對公司管理層提出了明確的責任要求。法案還將影響到公司的各項管理行為，公司的會計和財務、內部審計、風險管理、人力資源政策和程序、公司治理等諸多方面。

可見，以立法的形式來要求企業加強其內部控制，其影響和意義是深遠的。從我國企業的實際情況分析，企業內部控制的不足主要表現在：內部控制過分關注如何達到財務報告目標的要求，忽視內部控制的經營目標和滿足法律法規要求的目標，并受限于會計控制;在內部控制的整體結構上，重視業務層面控制，忽略公司層面和信息系統層面的控制：缺乏完整的內部控制文檔，以及對主要業務環節/程序/目標/風險/控制的全面分析;內部控制按傳統的職能部門開展，缺乏流程觀，內部控制不系統化;缺乏正式的內部控制測試方法，管理層內控報告依據不充分等。正如COSO在其《企業風險管理——整體框架》中所指出的那樣，內部控制是企業風險管理必不可少的一部分，風險管理框架建立在內部控制框架的基礎上。我國企業要加強風險管理，首先從內部控制人手，而通過立法的形式予以強化，將推動我國企業的內部控制體系的建設。

    6 內部審計在企業風險管理中的作用日趨重要

風險管理監督和風險承受部門必須有效分離，這已成為現代經營風險管理的一項重要原則。隨著公司治理力度和風險防范意識的加強，整合提升管理水平，內部質量管理體系審核必然會成為組織內部控制的一種重要方式。

1)內部審計師從評價各部門的內部控制制度入手，在生產、采購、銷售、財務會計、人力資源管理等各個領域查找管理漏洞，識別并防范風險，查錯糾弊，對既成損失提出應對策略等。

2)內部審計可以深入到經營管理的各個過程和行為，分析其合理性，查找并防范風險。

3)內部審計在部門風險管理中還起著協調作用。不僅各部門有內部風險，而且各管理部門還有共同承擔的綜合風險，內部審計師作為第三方，可協調各部門共同管理這一投資決策帶來的風險。

4)內部審計有助于識別組織風險。風險管理的首要環節是對風險的識別。內部審計正是以風險敏感性分析為起點開展工作。內部審計人員通常關注的風險主要有：財務和經營信息不足;政策、計劃、程序、法律和標準貫徹失敗;資產流失;資源浪費和無效使用;不能達到目的和目標。在決定所要審計的內容之前，內部審計師不僅要評估和備選內容相關的風險的類型，還要評估當前有多少風險。按照各待審內容風險水平的順序排列，然后首先審查高風險的內容。

5)內部審計有助于進一步確定并防范風險。通過審查業務流程的合規性，在生產環節中識別并防范的風險，避免因生產計劃和實際生產脫節造成的產品積壓和供不應求產生的損失。

6)人力資源管理內部控制審計。許多大型跨國集團包括眾多的成本利潤中心，這些成本利潤中心有相對的獨立性，它們的負責人管理水平的高低直接影響到整個集團的效益。對一些關鍵崗位人員聘用的失誤，往往給組織帶來巨大的經濟損失甚至造成滅頂之災。任期經濟責任審計是高級管理人員崗位輪換、解聘、重新聘任、提拔的前提。在任期審計中認為業績不佳的管理人員不能得到職位提升，大大減少了人員聘用不當帶來的風險。

    7 人力資源管理在風險管理中的重要性

   人力資源風險管理中最常見的幾類問題，包括：黑單、泄露公司機密及商業秘密、虛報或假報賬目等。出現以上問題，有以下幾個方面的原因：我國社會信用體系不完善;公司內部管理制度存在缺陷，制度制訂不足，特別是有些企業根本沒有建立人力資源道德風險的防范和監督制度，公司管理層對公司制度執行不力，甚至參與有損公司利益的行為;員工職業素養有待提高，缺少必要的職業規范和素質或者道德水準、特別是盡職性不高。因此，企業加強內部風險控制，必須建立并完善內部人力資源風險防范體系和危機處理機制，控制內部人力資源風險，從而保障企業商業安全。

建立人力資源風險管理體系，其重點在于建立事前的風險防范和事中風險監控機制。企業必須培養事前風險防范的意識，并建立相應的監督體制，以確保這種意識落實到現實的管理過程中;企業監督體制的建立和實際運作，包括雇傭資質調查和背景調查、風險測試機制;企業須建立完善的數據記載機制，對記載數據進行分析并合理利用。

    其次，建立事中預防監控機制。事中預防監控是事前防范的延伸。公司內部，要對在職人員，特別是重要崗位員工進行公開的定期、不定期考核或心理測試;加強對員工個人職業素養的培訓與提高，完善新員工的培訓機制和對在職員工的考核機制。公司外部，可聘請專業的調查公司對重點崗位員工的盡職狀況進行定期保密調查。 最后，建立事后危機處理機制。公司內部要設立專門的危機管理部門，并不斷健全和完善部門制度;公司外部，可聘請專業調查公司對在職人員、離職人員的職業去向進行追蹤調查。

   8 把風險管理落到實處的四步曲

風險管理是企業管理中的重要內容，風險管理機制更是企業管理體系的關鍵組成部分。然而，這些卻是目前中國企業在項目管理方面的薄弱環節。如何切實地進行風險管理，建立風險管理機制，是企業項目管理走向成熟過程中必須要解決的問題。

    1、風險識別

主要是確定何種風險可能會對項目產生影響，并以明確的文檔描述這些風險和其特性。風險識別一般來講，是一個反復進行的過程，由項目主要成員、企業風險管理小組分頭進行，來盡可能地識別出項目可能存在的風險。對風險進行分類和歸納是風險識別中常用的方法。風險分類應該是經過綜合考慮而定義的，應當反映出項目所屬行業或應用領域內的常見風險來源。例如下面的分類：項目的技術方面的風險、項目的時間安排方面的風險、項目的財務方面的風險等。檢查表是風險識別中非常有效的工具。根據以往類似的項目和積累的其他風險管理的知識和信息，可以開發和編制項目風險檢查表。檢查表的好處是使風險識別過程短平快，提高了效率。

     2、風險分析

主要是評估已識別出風險的影響和可能性的過程。風險分析可以選擇定性分析或定量分析方法，進一步確定已識別的風險對項目目標的影響，并根據其影響對風險進行排序，確定項目的關鍵風險項，并指導接下來的風險應對計劃的制定。項目的風險指數是一個有效的指標，表征整個項目的風險程度。該指標，是應用一個風險指數計算的數學模型，根據風險識別和風險分析的結果，計算得到一個量化的項目風險指數。通過應用項目風險指數，在項目選擇和執行過程中，以量化的指標反映項目的風險，監控風險管理的績效。同時該指標，也可以用于橫向比較不同項目之間的風險程度。

    3、風險應對

主要是針對項目的風險開發和制定一個風險應對的方案，目的是提高實現項目目標的機會。風險應對計劃包括項目主要風險，針對該風險的主要應對措施，每個措施必須有明確的人員來負責，要求完成的時間以及進行的狀態。

    4、風險監控

主要是在項目的整個過程中，跟蹤已識別的風險，監視殘余風險和識別新的風險，確保項目風險應對計劃的執行，評估風險應對措施對減低風險的有效性。風險監控是項目整個生命周期中的一種持續的過程，隨著項目逐漸的推進，風險會不斷變化，可能會有新的風險出現，也可能有預期的風險的消失。

    9 逐步推行全面風險管理

政府或有關機構應積極推動制定如COSO《企業風險管理——整體框架》那樣的框架，以指導我國企業的風險管理;我國企業應積極借鑒國外先進的企業風險管理理念和方法，建立和完善全面的風險管理體系，通過持續的風險管理來評估決策和交易中的風險，計算實行風險管理所取得的報酬和不實行風險管理所得到的懲罰。其目的是發現和處理好企業在減輕財務、經營和戰略風險與為股東創造競爭價值之間的恰當平衡。以結構化的風險管理過程為理論基礎，根據企業的業務特點，制定企業的風險管理方針和制度，然后結合實用的風險管理軟件，特別是軟件平臺與知識庫相結合的軟件工具，形成切實可行、易于操作、收效突出。