內控體系建設——全面風險管理的基石

早在1987年，美國COSO委員會整合了各種內部控制的概念和定義，于1992年推出《內部控制——整合框架》，至20世紀90年代后期，隨著亞洲金融危機、巴林銀行倒閉等一系列事件的出現，人們逐漸意識到，傳統的分散的風險管理模式已不能適應現代企業的需要，金融界率先做出反應，2001年，《新巴塞爾協議》頒布，之后，COSO于2004年發布了《全面風險管理——整合框架》，它曾被哈佛商業評論列為2004年最有突破性和影響力的思想之一。

全面風險管理只是中文的一種譯法，曾經也聽到有人對這種翻譯提出疑問，為什么不直接按英文的字面意思翻譯為企業風險管理？說到全面風險管理，難道還有不全面的風險管理嗎？可能最初提出這種譯法的人，希望能夠籍此強調這種風險管理的理念與傳統風險管理理念的不同吧。

在傳統風險管理時代，對風險的管理是“豎井”式的，即不同風險之間互相割裂，例如，市場風險由交易員用金融衍生品對沖，違約風險由信貸專家專門評估，法律風險由法律專家解決，純粹風險則通過購買保險來處理。這一做法并沒有以一種組合的方式把不同風險類型結合起來，雖然常常導致過度對沖和保險范圍過大，但在過去各種風險之間相關性較弱的時期，這樣的管理方法也還是可行的。

但隨著時代的發展，社會經濟關系日趨復雜，各種風險之間開始相互依賴和交叉，企業不能再將風險分割成單獨的各個部分來獨立地管理。于是，許多學者通過與過去的傳統風險管理的對比，提出了新的企業風險管理的思想，即應利用風險單元之間的不完全相關性節約風險管理費用，從而增加企業價值；另一方面，全面衡量各個風險單元，將風險資本在不同的風險單元中進行有效地配置。這被稱為狹義的全面風險管理，更廣義的概念包括COSO的定義，即全面風險管理是一個過程，它由一個企業的董事會、管理當局和其他人員實施，應用于企業戰略制定并貫穿于企業各種經營活動之中，目的是識別可能會影響企業價值的潛在事項，管理風險于企業的風險容量之內，并為企業目標的實現提供保證。

在COSO頒布的《全面風險管理——整合框架》中，還對全面風險管理的三個維度的框架進行了描述，雖然它還是沿用了自1963年就出現的風險管理流程，但是在風險識別、風險整合、風險優化和風險報告中，仍然與傳統的風險管理模式有所差別。