内控体系建设——全面风险管理的基石

早在1987年，美国COSO委员会整合了各种内部控制的概念和定义，于1992年推出《内部控制——整合框架》，至20世纪90年代后期，随着亚洲金融危机、巴林银行倒闭等一系列事件的出现，人们逐渐意识到，传统的分散的风险管理模式已不能适应现代企业的需要，金融界率先做出反应，2001年，《新巴塞尔协议》颁布，之后，COSO于2004年发布了《全面风险管理——整合框架》，它曾被哈佛商业评论列为2004年最有突破性和影响力的思想之一。

全面风险管理只是中文的一种译法，曾经也听到有人对这种翻译提出疑问，为什么不直接按英文的字面意思翻译为企业风险管理？说到全面风险管理，难道还有不全面的风险管理吗？可能最初提出这种译法的人，希望能够籍此强调这种风险管理的理念与传统风险管理理念的不同吧。

在传统风险管理时代，对风险的管理是“竖井”式的，即不同风险之间互相割裂，例如，市场风险由交易员用金融衍生品对冲，违约风险由信贷专家专门评估，法律风险由法律专家解决，纯粹风险则通过购买保险来处理。这一做法并没有以一种组合的方式把不同风险类型结合起来，虽然常常导致过度对冲和保险范围过大，但在过去各种风险之间相关性较弱的时期，这样的管理方法也还是可行的。

但随着时代的发展，社会经济关系日趋复杂，各种风险之间开始相互依赖和交叉，企业不能再将风险分割成单独的各个部分来独立地管理。于是，许多学者通过与过去的传统风险管理的对比，提出了新的企业风险管理的思想，即应利用风险单元之间的不完全相关性节约风险管理费用，从而增加企业价值；另一方面，全面衡量各个风险单元，将风险资本在不同的风险单元中进行有效地配置。这被称为狭义的全面风险管理，更广义的概念包括COSO的定义，即全面风险管理是一个过程，它由一个企业的董事会、管理当局和其他人员实施，应用于企业战略制定并贯穿于企业各种经营活动之中，目的是识别可能会影响企业价值的潜在事项，管理风险于企业的风险容量之内，并为企业目标的实现提供保证。

在COSO颁布的《全面风险管理——整合框架》中，还对全面风险管理的三个维度的框架进行了描述，虽然它还是沿用了自1963年就出现的风险管理流程，但是在风险识别、风险整合、风险优化和风险报告中，仍然与传统的风险管理模式有所差别。