一、什么是风险和风险管理风险是指在某一特定环境下，在某一特定时间段内，某种损失发生的可能性。

风险是由风险因素、风险事故和风险损失等要素组成。

换句话说，是在某一个特定时间段里，人们所期望达到的目标与实际出现的结果之间产生的距离称之为风险。

风险管理是指如何在项目或者企业一个肯定有风险的环境里把风险可能造成的不良影响减至最低的管理过程。

良好的风险管理有助于降低决策错误之几率、避免损失之可能、相对提高企业本身之附加价值。

1、风险管理和内部控制的区别和联系基于COSO报告下的内部控制与风险管理比较：内部控制是由一个企业董事会、管理人员和其他职员实施的一个过程。

其目的是为提高经营活动的效果和效率、确保财务报告的可靠性、促使与可适应的法律相符合提供的一种合理的保证。

——COSO《内部控制的整体框架》1992 企业的风险管理是一个过程，它由主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，用于识别那些可能影响主体的潜在事件，管理风险以使其在该主体的风险偏好之内，并为主题目标的实现提供合理的保证。

——COSO《企业风险管理—整合框架》20041.1 内部控制与风险管理的联系（1）企业的风险管理涵盖了内部控制。

COSO框架中明确地指出企业全面风险管理体系框架包括内控，将之作为一个子系统。

（2）内部控制是风险管理的必要环节。

内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。

同时，维持充分的内控系统也是国内外许多法律法规的合规要求。

因此，满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。

1.2 内部控制与风险管理的区别（1）两者的范畴不一致。

内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而企业风险管理则贯穿于管理过程的各个方面，更重要的是在事前制订目标时就充分考虑了风险的存在。

而且，在两者所要达到的目标上，风险管理多于内部控制。

（2）两者的活动不一致。

企业风险管理的一系列具体活动并不都是内部控制要做的。

目前所提倡的企业风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。

而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。

两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。

（3）两者对风险的对策不一致。

企业的风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现企业全面风险管理的四项目标。

这些内容都是现行的内部控制框架所不能做到的。

从国际国内发展趋势来看，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。

二、全面风险管理1、定义：全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

——国有资产监督管理委员会发布的《中央企业全面风险管理指引》20062、全面风险管理的重要性（简单的案例）（1）在一般企业的应用霍尼韦尔公司和米德(Mead)公司通过使用ART产品，即把保险保障与金融风险防范技术结合起来，通过把各种风险捆绑在一起，使风险转移方面的费用节省了大约20％～30％（2）在银行业的应用已有的成果有：将银行业的信用风险的管理与其他金融风险的管理相整合；银行的资产负债管理与企业经营风险管理相整合。

例如，早在1999年，Piraeu银行集团就开发和使用了整体风险管理方案，将资产负债管理与企业经营风险管理整合为一个部门，使用整合的计算机信息系统，提供融合资产负债管理与企业经营风险管理的报告。

该集团又于2001年将资产负债管理和市场风险、信用风险管理相整合。

另外，一些金融服务机构正在开发和利用IRM这巨大的潜在市场；许多保险公司也在开发和使用将负债管理与资产管理相结合的信息系统软件；更多的保险公司对IRM及其软件包产生了浓厚的兴趣和使用愿望。

信用风险是银行的最重要风险之一，也是一种可保风险。

现在越来越多的银行放弃传统的信用保险而转向使用IRM的方式将信用风险与金融衍生工具相结合，将信用风险通过资本市场进行分散和转移。

（3）在保险业的应用现在保险公司新发行的许多保单都是将多种可保风险甚至是传统不可保风险如利率风险等金融风险捆绑在一起，提供更大范围的保障而且保费更为低廉。

例如，综合型保单、组合型保单、一揽子保单就是将许多不同的风险类型集中在同一张保单里，为所承保的每类风险损失的自留额之上提供一个总保障额。

1997年Honeywell公司开创的一种保单同时为四种风险(财产、责任、董事和高级职员责任和汇率波动)提供保障，其中包含一种金融风险——汇率风险。

这是一种将纯粹风险和投机风险相结合的保单例子。

这是保险业在负债业务方面运用整体风险管理思想，另外还有许多在资产管理、财务管理、以及设计保单方面的应用。

（4）在金融监管中的应用根据SAS软件公司在2006年7月对全世界339家金融机构进行的一项问卷调查(SAS，2006)结果显示，改善企业经营成果并满足监管条件是推动金融机构实施ERM的主要推动力；除此以外，就是改善企业管理绩效、能基于风险进行合理定价、节省分配资本并减少信用风险损失。

分析者从所获得的调查结果判断，平均而言，应用ERM系统可以减少资本要求10％。

更具体地说，对于一个需要100亿美元资本分配的银行，其中60亿美元被分配给信用风险，那么进行先进的、系统化的ERM管理将可以减少6亿美元的资本分配；按照10％的年度资本回报率计算，银行因此可在一年中净增收益6000美元。

（5）在政府宏观管理中的应用早在1997年，加拿大政府就已经将政府部门的整体风险管理呈上了政府议事日程，并开始了在政府各级服务机构推行整体风险管理的研究和实践工作。

在加拿大政府报告“theReportoftheIndependentReviewPanelonModernizationofComptrollershipintheGovernment ofCanada(1997)”中，政府强调在政府公共服务部门推行现代化风险管理的重要性；为响应政府的号召，加拿大内阁秘书处的财政部牵头组建了一个关于公共服务部门整体风险管理的研究团队。

该团队由联邦机构、教育机构和一些个体研究者构成和参与，开发了一个适应公共服务机构风险管理的整体风险管理框架IRMF，并将其应用于“千年虫”的风险控制问题，如今，这些方法的应用已经扩展到了政府在线业务和规划整合管理。

3、全面风险管理理论的沿革以ler（1992）提出了整合风险管理（Integrated Risk Management）的概念为标志，随后的十多年，其发展可以分为两个阶段。

（一）多学派百家争鸣的阶段（1992～2001）各个领域的专家学者从自己熟悉的学科出发，讨论和探索类似于整体风险管理的概念，具有代表性的学派如下：1.整合风险管理（Integrated Risk Management）。

工业管理、工程项目管理领域的学者，从控制和组织的角度提出了整合风险管理，认为企业要从整体角度出发分析、识别、评价企业面对的所有风险并实施相应的管理策略。

其主要观点在于企业可以根据具体的风险状况，对多种风险管理方式进行整合，强调风险研究范围的扩展。

2.完全风险管理（Total Risk Management）。

心理学、社会学和经济学的交叉学者认为，风险管理活动应该涉及三个要素：价格、偏好和概率。

价格用来确定因预防各种风险所必须支付的成本；概率用来估计这些风险发生的可能性；偏好用来确定承受风险的能力和意愿及信心度。

风险管理必须将三要素综合起来，进行系统和动态的理性决策。

3.综合风险管理（Global Risk Management）。

金融机构的学者在对金融机构特别是银行的风险管理实践中，提出了综合风险管理的理论。

强调对金融机构面临的风险做出连惯一致、准确和及时的度量；试图建立一种严密的程序，用来分析总的风险在交易过程、资产组合及其他经营活动范围内的分布情况，以及对不同类型的风险应该怎样进行定价和合理配置资本。

同时，在金融机构内部建立专门的风险管理部门，致力于防范和化解风险并且消化由此带来的成本。

（二）整体风险管理思想的融合阶段（2001－）随着对风险和风险管理认识在深度和广度上的拓展，以上理论不再限于各自的原有范畴，各种学说逐渐趋向内涵的融合与统一。

北美非寿险精算师协会（CAS）将整体风险管定义为：一个对各种来源的风险进行评价、控制、研发、融资、监测的过程，任何行业的企业都可以通过这一过程提升短期或长期的利益相关者价值［5］。

这一概念不仅明确了风险管理的价值取向，而且首次将风险管理措施扩展到“研发”、“融资”，反映了风险管理理念的最新成果和较高水平。

随后，在内部控制领域具有权威影响的COSO 委员会，于2004 年9月颁布了《整体风险管理——总体框架》报告。

报告从内部控制的角度出发，研究了整体风险管理的过程以及实施的要点，是整体风险管理理念在运用上的重大突破。

4、企业全面风险管理发展趋势全面风险管理，是指企业围绕总体经营目标。

通过在企业管理的各个环节和经营过程中，执行风险管理的基本流程。

培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。

从而为实现风险管理的总体目标提供合理保证的过程和方法。

从国际上看，许多国家已从制度安排上着手建立以风险容量控制为中枢的相关风险全面管理框架。

如美国萨班斯法案的实施。

对在美上市公司的治理和管理控制提出了更高的要求，该法案404条款（管理层对内部控制的评价）规定了内部控制方面的要求和内部控制评价报告，这对美国企业内部流程梳理、加强财务投资监管、提高管理透明度等方面产生相当大的影响。

2004年，美国著名的反虚假财务报告委员会下属赞助委员会COSO在内部控制框架概念基础上，提出一个概念全新的COSO报告《企业风险管理——总体框架》（简称EBM），使内部控制研究发展到一个新的阶段。