风险管理定义范文第1篇

通过对风险管理实践活动中常见问题的分析，论述了管理者认知程度对风险管理工作造成的影响，指出管理者在进行风险管理实践的过程中必须准确把握风险的定义特点。同时，认为风险的定义为“不确定性对目标的影响”，对风险的结构化表述通常包括风险源、事件、原因和后果4个要素，风险具有不确定性、可预测性、主观性、客观性和可变性特点。对风险管理工作中的常见错误行为提出了警示。

关键词：

风险；管理；常见问题

当前，风险管理越来越受到管理者的重视，但由于不同管理者对“风险”的认知角度和认知水平各有不同，风险管理还存在着各种问题。笔者从风险管理实践活动中的常见问题出发，通过对风险的定义及特点进行分析，将出现的问题与对风险概念的认知之间的内在联系进行剖析，指出管理者必须准确全面地理解风险的定义和特点。

1风险管理实践活动中的常见问题

1.1试图完全消除风险

一部分管理者试图完全消除风险，全面预测到未来存在的各种可能性。这些管理者对风险管理的重视是值得肯定的，但在实践中却总会出现这样或那样的问题，超出其对未来的预测。而他们往往又会归咎于风险管理人员的经验、能力或态度问题，为此投入了大量的人力、物力，包括招聘具有经验的人员、建立严格的奖惩制度、组织大量的培训等措施，结果依然不能完全消除风险。

1.2认为风险管理是浪费资源

在风险管理实践活动中，由于成功的不利后果的规避往往是不可见的，而对消极不利后果的规避往往归因于风险管理人员的失职，久而久之使一部分管理者认为风险管理工作没有成效。

1.3以危险源辨识代替风险识别

一部分管理者认为风险识别就是危险源辨识。这种行为很少会明显显示为风险管理失败，但这样开展风险管理工作并不能充分发挥风险管理的作用。

1.4认为风险管理是一次性工作

有的管理者试图以一次轰轰烈烈的风险分析活动一劳永逸地控制住风险，而结果往往以失败告终。

1.5风险管理工作形式化

有的管理者将注意力集中在工作流程和所采用的工具上，认为只要工作流程标准化、工具先进就可以妥善控制项目风险。结果往往是使风险管理逐渐成为了一项机械性劳动，最终流于形式。

1.6过分追求风险源数量

有的管理者认为识别出的风险源越多，越能说明风险识别工作进行得深入细致。结果风险源识别的结果中充斥着大量重复的或者互为因果的条目，给后续的风险分析工作带来了极大的困难，同时也大大增加大了风险管理的投入，却未能产生相应的成效。

2风险的定义及特点

在笔者看来，上述问题的产生或多或少与管理者对风险概念的认知有关，下面将对风险的定义以及特点进行分析。

2.1“风险”一词的起源

英语词汇“risk”来自近代早期的航海贸易和保险业，[1]表示在早期资本主义航海﹑探险和海外贸易等活动中可能遇到的危险，特别是用来表示冒险者进入他以前所未知的水域时可能发生的意外情形。后来，保险、投资、借贷等业务兴起，就用“风险”这一概念描述未来某一时段内可能出现的经济波动和可能所遭受的损失。中文词汇“风险”大约出现于近代。茅盾《子夜》中有这样的句子：“你看这件事有没有风险？”而在《辞海》[2]中并没有收录“风险”这一词条。就此而言，虽然在人类存在伊始，风险意识就客观存在，中国自古就有“天有不测风云，人有旦夕祸福”的说法，但作为严格意义的“风险”概念是一个现代性范畴，它发端于15世纪资本主义航海与殖民探险活动时期。

2.2对“风险”的定义

由于对风险的理解和认识程度不同，或对风险的研究角度不同，对风险概念的定义并不统一。目前在我国影响力较大的定义主要有以下几种。《现代汉语词典》中对“风险”词条的解释为：“可能存在的危险”。[3]作为一本通用的权威性工具书，《现代汉语词典》对风险的定义最大程度地与大家日常生活中的使用习惯相符合。但“危险”是不确定性的影响结果，而我们分析风险的目的是为了控制风险，许多情况下控制措施需要作用于原因而不是结果，显然这种定义不适合在风险管理领域直接使用。在风险管理领域，我国沿用了与国际标准化组织(InternationalOrganizationforStandardization，ISO)相同的定义：“不确定性对目标的影响”。[4]这一定义是准确、全面的，因此也得到了越来越多的组织的认可，例如国际内部审计师协会(InstituteofInternalAuditors，IIA)在2004年提出风险管理概念的同时把风险定义为：“可能对目标的实现产生影响的事件发生的不确定性”。而在2012年国际注册内部审计师(CIA)考试大纲中已经接受了风险是指“不确定性对目标的影响”这一概念。而这一概念的问题在于不确定性对目标的影响是一个动态过程，不利于对风险进行表示和区分，因此需要通过风险源、事件、原因和后果4要素对风险描述[4]进行再次定义。此外，正是因为其定义的全面性和抽象性加大了理解的难度，由于管理者的主观认知能力和认知条件的不同，在实践活动中引发了各种各样的问题。美国项目管理协会(ProjectManagementInstitute，PMI)将风险定义为：“一旦发生，会对一个或多个项目目标产生积极或消极影响的不确定事件或条件”。[5]PMI的定义可以看作是对ISO定义的范围进行了限制，不但将“不确定性”限定为“事件或条件”，同时将“目标”限定为“项目目标”。全国一级建造师执业资格考试教材中认为：“风险指的是损失的不确定性，对建设工程项目管理而言，风险是指可能出现的影响项目目标实现的不确定因素”。[6]这里可以产生两种理解：①风险就是一种不确定性，这种不确定性有造成损失的可能；②当对损失的发生条件、损失的大小或损失是否会发生等情况不能确定时就构成了风险。至于建设工程项目管理部分可以看作是对PMI定义的不同描述。上述几种概念的共同点是都涉及到了不确定性，因此可以认为不确定性是风险概念的核心，而分歧在于不确定性与风险的关系。[7]风险管理的基础是风险的可预测性，虽然具体到特定的个别风险事件，其发生是偶然的，但通过大量历史资料的统计分析，可以发现其中的规律性，即具有一定的可预测性，而对特定事件是否可预测或者可预测的程度不完全由事件本身的性质决定，很大程度上也要取决于决策者的认知能力和所拥有的信息量。因此一个不确定性是否会形成风险往往需要建立在决策者的主观认知能力和认知条件的基础上，具有明显的主观色彩。综上所述，风险是一个抽象的概念，描述的是风险源、事件、原因和后果构成的统一体，不确定性是风险构成要素之间发生作用的过程中所体现出来的一种特性，不具有不确定性就不构成风险。不确定性对目标的影响具体体现为风险源在一定条件下引起或改变事件发生的可能性，事件发生的后果会对目标造成影响。

2.3风险的特点

一般来说，风险具备以下特点：[7]

2.3.1不确定性

不确定性是风险的根本特点，不具备不确定性就不能构成风险。

2.3.2可预测性

个别风险的发生是偶然的、杂乱无序的。但通过大量风险事件历史资料的统计分析，可以发现其存在的规律性，具有一定的必然性。因此风险具有可预测性。

2.3.3主观性

对特定事件是否可预测或者可预测的程度不完全由事件本身的性质决定，很大程度上也要取决于个体对风险的认知能力和所拥有的信息量。

2.3.4客观性

风险是一种不以人的意志为转移的客观存在。人们只能在一定的时间和空间内改变风险存在和发生的条件，降低风险发生的频率和损失程度，但总体来说，风险不可能彻底消除。

2.3.5可变性

风险的可变性是指风险性质、风险发生的频率、收益或损失大小会发生变化甚至出现新的风险。

3项目风险管理实践活动中常见问题的再思考

3.1试图完全消除风险

风险的根本特点就是不确定性，完全消除风险需要完全消除不确定性。显然，在目前以及可预见的未来这都是一个不可能完成的任务，这是对风险的不确定性的忽视。同时，风险的客观性也决定了风险不可能彻底消除。

3.2认为项目风险管理是浪费资源

风险的不确定性和客观性决定了多数情况下风险控制措施可以降低发生消极后果的可能性或损失程度，不能因为未发生不利后果就否认风险管理的作用。笔者认为风险管理是一个以长期的必然性低成本投入换来降低偶然性高成本支出发生几率的过程，也是一个变个人经验为企业底蕴的过程。而问题在于如何评定风险管理带来的收益，这也一直是摆在管理者面前的一道难题。

3.3以危险源辨识代替风险识别

这些管理者混淆了“危险源”与“风险源”这两个概念。“危险源”的概念是指“可能导致人身伤害和(或)健康损害的根源、状态或行为或其组合”，[8]而“风险源”的概念是指“可能单独或共同引发风险的内在要素”。[4]这两个概念易被混淆，尤其是在《职业健康安全管理体系实施指南》[9]中同时提到了“危险源辨识”与“风险评价”的情况下。事实上很明显，“危险源”概念涉及的范畴远小于“风险源”概念，这在风险管理实践活动中需要特别注意。

3.4认为风险管理是一次性工作

风险具有可变性，每个项目都有其特殊性，不同项目的风险源以及事件发生概率都不尽相同。此外即使在一个特定的项目中，风险同样具有可变性，会随着时间的流逝以及环境的变化而不断变化。因此，不论企业层面还是项目层面均不可能一劳永逸地解决风险问题。

3.5风险管理工作形式化

风险具有主观性，对特定事件是否可预测或者可预测的程度不完全由事件本身的性质决定，很大程度上也要取决于对风险的认知能力和所拥有的信息量。仅仅依靠机械的文案工作难以实现足够的预见性和适用性，往往会在风险识别与风险分析阶段以后知后觉或废话连篇的形式表现出来。因此在风险管理实践活动中需要重视风险的主观性，要在风险评估方法的选择上充分考虑，在风险评估过程中充分利用管理者、项目组成员甚至是企业各级员工的主观能动性。

3.6过分追求风险源数量

根据对“风险描述”[4]的定义可知，风险描述包括“风险源”、“事件”、“原因”和“后果”4个要素，各个要素之间的关系错综复杂，需要风险管理人员认真细致地进行分析、归纳。过多的风险源数量往往代表着对同一个风险分别从风险源、事件、原因、后果4要素中的某一个或某几个角度进行的重复描述，给后续的风险分析工作带来极大的困难。

4结语

综上所述，风险的定义是“不确定性对目标的影响”，对风险的结构化表述通常包括风险源、事件、原因和后果4个要素。风险具有不确定性、可预测性、主观性、客观性以及可变性特点。对风险以及风险特点的认知水平会对风险管理工作的过程以及结果造成深远影响。因此管理者必须结合风险管理的实践活动准确把握风险的定义和特点，这样才能充分发挥风险管理的作用，利用风险管理手段降低风险造成消极后果的概率，提高导致积极后果的概率，为企业降低成本、提高效益。

作者：高桢 李宏斌 孙宝国 范勇强 单位：中国市政工程华北设计研究总院有限公司

参考文献

［1］刘高峰.现代性话语体系下的风险与风险控制[J].河南社会科学，13(2)：99-102.

［2］夏征农，陈至立.辞海[K].6版，上海：上海辞书出版社，2010.

［3］中国社会科学院语言研究所词典编辑室.现代汉语词典[K].3版，北京：商务印书馆，1996.

［4］GB/T23694—2013/ISOGuide73：2009.风险管理术语[S].

［5］ProjectManagementInstitute.项目管理知识体系指南(PMBOK®指南)[M].5版，许江林等，译.北京：电子工业出版社，2013：570.

［6］缪长江.建设工程项目管理[M].2版，北京：中国建筑工业出版社，2010：60.

风险管理定义范文第2篇

[关键词]风险管理 理性计算 反思与批评 风险治理

一、风险管理的发端及其基本意涵

风险，从广义的角度讲，伴随着人类的整个发展历程，凡是存在不确定性的和灾难性后果的地方就存在风险。风险管理与人们天然地渴望降低不确定性的本性相联系。但风险的观念以及风险管理的观念并非始终为人们所理解，Judith Green（1997）从对“事故（accident）”系谱学地分析出发，认为风险观念是人们摆脱了决定主义的命定论并接受了理性的因果分析时才得以产生。Gray等（2001）认为，风险管理扎根于资本主义发展初期，但只有到了20世纪40年代后，风险管理才得到了进一步的发展，所以也有人认为现代风险管理起源于20世纪二三十年代统计方法在大规模生产中的运用，在二战中随着数学概念在军事领域的运用而得到发展，直至五十年代，决策科学作为一门确切的学科出现后，风险管理的一般观念才得以出现。不同的人或组织对风险管理可能形成不同的界定，但在任何定义中，风险管理都包含三个基本要素：风险管理的主体、风险管理的对象、风险管理的方式和原则。故本文将从这三个方面简要勾勒出风险管理理念的演进和发展。

二、以理性计算为基础的风险管理

风险管理的出现建立在概率论在管理科学中的系统运用，起初的风险管理建立在理性计算的基础之上。以理性计算为基础的风险管理大致包括两个视角，即风险管理的技术视角和经济学视角。风险管理的技术视角，就是力图通过对大量数据的统计分析在风险暴露和风险后果之间建立联系，形成风险分析的技术模型，其基本的内容大致包括数据收集、风险分析和风险应对措施的采取。经济学视角的风险管理与技术视角的风险管理最为接近，其基本的理论假设是成本—收益原则和预期效用理论。

早期（从20世纪40年代到60年代）以理性计算为基础的风险管理，对风险采用了一种客观实体主义的定义，即将风险视为可能发生的对人类造成负面伤害的事件。这种定义在保险业和化学工业中最广泛地被采用，风险本身是可以通过数据的收集、模型的建立而得到估算的，比如在保险业中的风险评估和管理。应对风险的方法大致包括风险处理、风险规避、风险转移等。

在这一阶段，即风险管理主要以理性的计算为基础阶段，风险管理的主体是单一的，即作为管理者的个人、企业或者政府（或者说是风险分析和管理的专家）；管理的对象，亦即被定义为风险的事物，也是明晰的，对何谓风险在这一阶段并没有太大的争议；而风险管理的原则和方法也是命令式的。

以理性计算为基础的风险管理，其最大的优点在于其模型的简单性和明晰性，尽管这种简单性与明晰性可能获得一种方法论上的活力，能够分析数据、风险描述和价值判断，但其最大的不足之处也正是在于由于其简单性和明晰性而无可避免的狭隘性。

三、对以理性计算为基础的风险管理的反思和发展

进入上世纪70年代，人们开始对这种以单纯的理性计算为基础的风险管理提出了大量质疑和批评，不同的视角和理论被引入了风险研究之中。下文主要介绍三种主要的理论视角，即心理学视角、社会学视角和文化研究视角，及其对风险管理的反思和发展。

心理学视角的风险研究强调人们对风险的感知，即对风险的主观判断和评估，风险认知是风险管理者在风险认定和策划风险排减措施时必须考虑的因素。由于风险感知的引入，风险管理开始从纯粹客观的分析，转向开始关注人们主观对风险的判断，风险管理也开始转向一种来自于底层的视角，对风险的认定也并非仅限于专家的视角。

社会学的视角将风险的定义由实体论层面拓展到了社会定义和社会建构层面，“真实的”风险后果总是包含着社会诠释并与群体的价值和利益相联系。Zinn 和Taylor-Gooby（2006）概括了社会科学中五种风险研究的理论路径：理性选择路径、反思性现代性路径、后现代视角、系统理论视角、批判理论路径。理性选择路径将后果的不确定性与管理决策联系起来，强调不同的个人偏好与组织文化价值对风险的可能性和后果的理解。反思性现代性理论假设现代性的元理性基础已经失去了其合法化力量，经典的现代性转向了反思性的现代性，包括生活方式的个体化、知识和价值的多元化以及个人生活计划不确定性的增长等。系统理论视角将风险视为一种与社会定次级群体紧密相连的基础性社会建构，社会系统不断内在化外在威胁，将外在威胁转化为风险，风险的接受者和承担者之间存在非连续性。批判理论强调发达的或晚期资本主义的悖论和自反性后果，强调政治权力运用造成不平等的风险分配。后现论家发展了一种最为激进的建构主义观点，何谓风险、何谓收益及其何种程度都依赖于社会力量的塑造作用，重视社会框架和文化偏见的作用。

风险的文化视角将风险视为由社会中结构性力量所决定的社会建构，诸如健康威胁、不平等、公平性、控制等问题都不是有科学分析可以决定的，而只能是社会中不同行动者信念和理性的再建构。这些建构反映了不同风险领域中各个群体或组织的利益与价值以及这些群体之间共享的意义、文化产品和自然现象。风险政策是所有行动参与者持续斗争的结果，是将各自对风险的理解纳入公共日程之中，并强加给他者。自我利益之间需要做出妥协以实现群体自己的现实，不同群体之间为了建构有意义的现实有必要进行沟通，决定可能的现实建构的范围和界限。

各种研究视角的引入，丰富了人们对风险管理本身的理解，风险认知、风险沟通、风险参与等概念的提出，打破了原有风险管理的狭隘界限。风险管理的主体的单一性和明晰性受到质疑，风险的界定也成为一个建构、商讨甚至斗争的过程，风险管理的方式也开始变得更为复杂。

四、风险治理：风险管理理念的综合演进

对传统的以理性计算为基础的风险管理受到了多重挑战：风险感知挑战了理性风险分析的理想模型，技术性的风险分析也面临挑战，科学专家的权威开始受到挑战，政府在风险管理中的合法性也开始受到质疑。1992年英国皇家协会了一份关于公共风险感知和风险管理过程的报告，首肯了风险的可接受性之于科学的风险管理的重要性，企图将风险分析的技术科学观念与风险感知的社会和心理分析整合起来。90年代后，国际政治、经济、社会的巨大变迁也要求一种更为综合的风险管理框架，风险治理的观念开始出现。

治理（governance）的概念在90年代中期以后在有关国际关系、比较政治科学、政策研究、环境与技术社会学以及风险研究的文献中大量出现，涉及风险治理的组织和机构也大量出现。从国家层面来看，治理阐述了涉及到政府与非政府行动者的集体决策的结构和过程，现代社会中的治理被视为政府机构、经济力量和市民社会行动者之间相互作用的结果。在全球层面，治理意味着一种横向组织结构，包含了政府和非政府行动者，这些行动者在没有更高权威组织的情况下做出决策，非政府组织扮演了一种至关重要的角色。风险治理包含了横向和纵向两个为维度，横向上看，风险治理包含了政府及其机构、行业（或企业）、科学和学术团体、市民社会（或非政府组织）等行动者，从纵向看，风险治理包括了地方性风险治理、区域性风险治理、全国性的风险治理、跨国的风险治理以及全球性的风险治理。风险治理成为一个多维度、多元行动者的综合的风险管理框架，风险治理要求考虑各种情境性因素，诸如不同的制度安排以及包含不同风险感知的政治文化。

2001年欧盟委员会，提出了良好的风险治理必须遵循的几个原则：开放性、参与性、责任性、有效性、一致性、均衡性与辅。2005年，基于传统的风险分析和风险管理的路径和有效的风险管理的基本原则，国际风险管理委员以风险治理的概念为基础，提出了一个整合了的风险管理框架。这个整合的框架力图提供一种综合的方式以整合风险认定、风险评估、风险管理和风险沟通，弥补之前风险治理中的不足。这个框架包含了风险预评估、风险评估、可忍受性与可接受性判断、风险管理以及伴随以上每一个阶段的风险沟通。

五、小结

从摆脱决定主义的命定论观念到以理性计算为基础的风险管理理念的出现，再到更为强调主体的多元、对象的不确定以及原则和方法上的协商和参与的风险治理框架的出现，风险管理理念经历了其自身的发展和变化。随着现代化、信息化和经济全球化进程的加快，人们一方面享受着社会快速发展所带来的各种好处，但另一方面，人们也更加深刻地认识到社会快速发展背后所隐藏的危机，风险管理理念的演进也恰好体现了这种现代性自身的困境。如何走出这种现代性的困境，走向何种理念和原则的风险管理，有待于我们进一步地思考。

参考文献：

[1]Green， Judith， Risk and Misfortune（1997）. The Social Construction of Accidents， London： UCL Press

[2]Gray， P. C. R. and Wiedemann， P. M.（2001） 'Risk management and sustainable development： mutual lessons from approaches to the use of indicators'， Journal of Risk Research， 2： 3， 201—218

[3]Aven，Terje and Renn， Ortwin（2010）. Risk Management and Governance： Concepts， Guidelines and Applications， Heidelberg： Springer

[4]Zinn， J. O.， & Taylor-Gooby， P. （2006）. Risk as an interdisciplinary research area. In P. Taylor-Gooby & J. Zinn （Eds.）， Risk in social science （pp. 20–53）. Oxford： Oxford University Press

风险管理定义范文第3篇

关键词： 操作风险；量化管理；风险度量；巴塞尔新资本协议

        0  引言

操作风险这一话题并不新鲜，伴随着银行的诞生，风险管理和操作风险管理就一直存在。随着世界经济和银行业的发展，人们对待操作风险的态度已由最初的忽视逐渐转变为目前的较为重视。通常不是主动产生的操作风险在较早的时候由于人们的认识不足，仅仅被称作除市场风险和信贷风险之外的其他风险；而现在，多种可供分析的操作风险管理方法正在逐渐的形成，商业银行多年来一直试图对它进行一定程度的控制，定性并尝试测量这一风险。目前银行家们已经达成了共识：好的操作风险管理能通过减少风险、改善服务质量和降低经营成本，从而形成一种竞争优势并在股东价值中得到相应体现。

        1  操作风险的定义、分类及其特点

关于操作风险的定义全世界的银行家们还仍然没有达成共识，但对操作风险的性质正在形成一致的看法：操作风险是一种引起损失的风险，是由不当的或者说失败的操作程序，工作人员或工作系统以及外部事件所造成的风险。目前被广泛采用的定义有两个：

        一是全球衍生产品研究小组的定义，他们认为“操作风险是由于控制和系统的不完善、人为的错误或管理不当所导致的损失的风险。”这一定义从人员、系统和操作流程三个方面对操作风险进行了界定。

        二是《新巴塞尔资本协议》（2003）给出的定义：“操作风险是指由于不正确的内部操作流程、人员、系统或外部事件所导致的直接或间接损失的风险。”这一定义侧重于从操作风险的成因包括法律方面的风险，但将策略风险和声誉风险排除在外。

        除了以上两个定义之外，世界著名的瑞士信贷集团也给出了他们有关操作风险的定义：“操作风险是指由于以不当或不足的方式操作业务而对业务带来负面影响的风险，操作风险也可能是由外部因素造成的。

瑞士信贷集团认为操作风险可具体表现为经营混乱、失控、出差错、不当行为或外部事件，但都不外乎组织、政策/过程、技术、人员和外部5大类。①其中组织风险源于管理层的更替、项目组织管理，企业文化和沟通、责任以及持续经营计划；政策和过程风险源于操作过程中较为薄弱的环节，例如支付、结算、操作违反政策规定和产品方面的失败；技术风险源于计算机系统软件或硬件方面的不足，通信技术、信息技术安全方面的漏洞等；人员风险源于不适当的雇佣关系引发的利益冲突以及其他内部欺诈行为；外部风险源于外部欺诈或法律冲突。

这5个分类只是对操作风险最初步的分析辨别，很显然它们还需要进一步的细化，进行次级分类。例如组织风险可以细化为治理结构、文化、沟通、项目管理、持续经营等几个方面；技术风险可以细化为通信、软硬件和信息技术安全三个方面等等。

操作风险的性质决定了操作风险与其他风险相比有着较为明显的特点：

（1）市场风险和信用风险不同，操作风险的风险因素存在于银行的业务操作过程之中，且引起操作风险的因素与之导致的损失之间并不存在清晰的可以用数量关系衡量的联系。因此对于操作风险的管理需要整个银行的业务人员和部门共同努力防范。

（2）越是业务规模大、交易量大，结构调整迅速的领域，越是容易受到操作风险的冲击。

（3）由于前面提到的，可以观测识别的操作风险因素与其可能导致的损失的规模和频率之间不存在直接的数量关系，因此银行的风险管理部门很难确定什么因素对操作风险的管理最为重要。

（4）操作风险几乎覆盖银行经营管理的所有方面，既包括那些发生频率高、造成经济损失相对较小的日常业务处理中的小错误，也包括那些较少发生但能够导致较大损失的自然灾害和大规模舞弊行为等。因此试图用一种方法来测量和管理操作风险的所有领域几乎是不可能的。

        2  巴塞尔新资本协议对管理操作风险的建议

对于如此难以驾驭的操作风险，巴塞尔委员会在总结国际金融经验的基础上将商业银行对操作风险的管理工作归纳为四个部分：

        ①建立适当的风险管理环境；

        ②风险管理：识别、衡量、监督和控制；

        ③监管者的作用；

        ④信息披露的作用。

        巴塞尔委员会认为，对银行来说首先应当建立适当的风险管理环境，要求董事会了解银行操作风险的主要方面，并对银行的操作风险战略进行定期审查。银行的操作风险战略应当能够反映银行的风险容忍程度及其对各种风险种类特征的理解。巴塞尔委员会同时认为银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面能够发挥重要的作用。

        其次银行应当建立识别、衡量、监督与控制操作风险的管理系统，找出衡量操作风险的有效方法和持续对操作风险敞口和重大损失事件进行监督。在这些措施的基础上，监管者应当对银行经营中与操作风险相关的战略、政策、程序和方法直接或间接地进行定期的独立评价，并保证银行具备一个有效的报告机制以便及时了解银行在相关方面的新进展。

风险管理定义范文第4篇

关键词:内部控制;风险管理;风险管理审计

中图分类号:F239文献标识码:A

一、我国风险管理审计准则的内容及局限性

随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号―风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。

风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。

可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。

中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。

二、重新认识内部控制与风险管理的关系

对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标―风险―控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯――奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:

1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。

2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。

总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。

三、建议

基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。

(作者单位:江苏科技大学经济管理学院)

主要参考文献:

[1]中国内部审计协会.内部审计具体准则第16号――风险管理审计.2005.

风险管理定义范文第5篇

论文提要：本文在分析内部控制整合框架与企业风险管理整合框架关系的基础上，分析现行风险管理审计准则的局限性，并提出开展风险管理审计的建议。

一、我国风险管理审计准则的内容及局限性

随着经济形势发展及我国内部审计自身发展的需要，我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号—风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施，该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。

风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中，还特别强调:风险管理是组织内部控制的基本组成部分，内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。

可以看出，该准则所称的“风险管理”是从狭义上理解的风险管理，即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程，还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行，风险管理审计就会忽略这些起辅助作用的要素，以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。

中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》，设有专门的风险管理委员会及软件监测系统，实施交易员、风险控制委员会、审计部、总裁、董事会层层上报，交叉控制，按照《风险管理手册》的规定，任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员，损失的最大限额应是500万美元(10×50万=500万)。但是，中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元，以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡，而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注，最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对，更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作，对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义，全盘考虑风险管理的构成要素及其运作方式，及时有效地发现企业风险管理实践中存在的短板。

二、重新认识内部控制与风险管理的关系

对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前，已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标—风险—控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而，理论界和实务界还是认为该内部控制框架有些局限性，如对风险强调不够，使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上，结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架，ERM框架在多个方面都有所发展和深化，具体表现在以下几个方面:

1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义，对内部控制框架下的风险管理要素进行细化，按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时，在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素，可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程，也可以理解为狭义上的风险管理。这样看来，内部控制框架与风险管理框架中的要素完全一致。但是系统论认为，系统的性质不仅取决于组成系统的各要素，更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标，并扩大了报告目标的范围，将“财务报告的可靠性”发展为“报告的可靠性”。

2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险，考虑风险的集合和风险的交互作用，并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下，ERM框架显然不同于内部控制框架。

总之，ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看，内部控制是ERM的主要构成部分，但绝对不能等于ERM范畴，ERM的理论和实务都要比内部控制宽泛得多，ERM更适合企业战略风险管理的要求。因此，不能说风险管理审计是内部控制审计的一部分。

三、建议

基于以上分析，要实现真正意义上的风险管理审计，对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上，即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系，在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系，以使风险管理审计准则能得以更有效的实施。

主要参考文献

[1]中国内部审计协会.内部审计具体准则第16号——风险管理审计.2005.