【每日背练】2025CPA《战略》第六章风险与风险管理概述

2006 年国务院国有资产监督管理委员会发布《中央企业全面风险管理指引》，将企业风险定义为“未来的不确定性对企业实现其经营目标的影响”；并以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有“带来损失”一种可能性）和机会风险（“带来损失”和“盈利”的可能性并存）。理解这个定义需要从以下四个方面把握：

1. 企业风险与企业战略和绩效相关。企业经营中战略目标不同，企业面临的风险也就不同。

2. 风险是一系列可能发生的结果，而不能简单地理解为最有可能的结果。

3. 风险既具有客观性，又具有主观性。风险是事件本身的不确定性，是在一定具体情况下的风险，可以由人的主观判断来选择不同的风险。

4. 风险往往与机遇并存。在许多情况下，风险孕育着机遇，有风险是机遇存在的基础，即创造价值的机遇，因此必须学会把握风险可能带来的机遇。

（一）风险因素

1. 风险因素的含义

风险因素是指促使某一风险事件发生，或增加其发生的可能性的原因或条件。它是风险事件发生的潜在原因，是造成风险后果的内在或间接原因。

2. 风险因素的分类

风险因素根据其性质，可以分为有形风险因素和无形风险因素。

（二）风险事件（事故）

风险事件是指造成损失的偶发事故。

1. 风险一般只是一种潜在的危险，它只有通过风险事件的发生才能导致风险后果，即风险事件的发生使潜在的危险转化成为现实的损失。

2. 风险事件是导致损失的直接原因，是风险与风险后果的媒介物。

3. 风险事件发生的根源主要有自然力作用、社会经济变动、人的行为等。

（三）风险后果

1. 概念

根据现代风险管理理论，风险后果是指对目标产生的影响。后果可能是确定的或不确定的，可能对目标产生正面或负面、直接或间接的影响。正面影响是指能促进企业目标实现，负面影响即风险损失。

风险管理中的损失包括两个方面内容：一是非故意的、非预期的和非计划的；二是经济价值（即能以货币衡量的价值）的减少，二者缺一不可。

2. 损失的类型

损失可分为直接损失和间接损失两种类型。

（四）风险因素、风险事件、风险后果三者的关系

风险因素、风险事件和风险后果是共同构成风险的统一体。它们之间相互依存、相互作用。 

风险管理的本质就是通过有效的技术手段去控制风险事件所带来的不利影响，从而将组织可能蒙受的损失降至最低，并致力于为组织保持和创造更大的价值。风险管理具有管理学上的计划、组织、协调、指挥、反馈、控制等功能和职能，其独特内涵主要体现为以下几个方面：

1. 风险管理的决策主体是风险管理单位

风险管理的决策主体是风险管理单位，既可以是个人、家庭和企业，也可以是政府、事业单位、社会团体等，还可以是国际组织等。风险管理单位不同，风险管理的侧重点也会有所不同。

2. 风险管理的核心是降低损失并致力于创造价值

风险管理的核心是在风险事件发生前防患于未然，预见将来可能发生的损失，或者在风险事件发生后，采取一些减少损失、保持和创造价值的方法。

3. 风险管理的对象可以是纯粹风险，也可以是投机风险

传统的风险管理理论认为，风险管理的对象是纯粹风险，而不包括投机风险。纯粹风险是指只有损失机会而无获利可能的风险。纯粹风险的发生，对当事人而言必有损失。投机风险是指那些既存在损失可能性，又存在获利可能性的风险。

4. 风险管理过程是决策和控制的过程

风险识别、风险分析和风险评价是为了认识、评价风险管理单位的风险状况，解决风险管理中的各种问题，最终作出风险管理决策。从这一角度来看，风险管理过程实际上是一个管理决策和控制的过程，其本质是通过合理和科学的管理决策为组织实现价值保持和创造。

风险管理目标的确立，是风险识别、风险分析、风险评价和风险应对的前提。依据目标的层次，风险管理的目标可分为基本目标、直接目标、核心目标及支撑目标等。

（一）传统风险管理思想（20 世纪 30 年代前）

风险管理思想萌芽于 20 世纪初期。根据传统风险管理思想，风险管理的对象主要是不利风险，目的是减少不利风险对企业经营和可持续发展的影响，风险管理的主要策略是风险回避和风险转移，保险是最主要的风险管理工具。

（二）现代风险管理理论（20 世纪 30 年代初 ~20 世纪 90 年代末）

1992 年 9 月，美国 COSO 发布了《企业内部控制——整合框架》（以下简称 COSO 框架），进一步明确了内部控制的定义：“内部控制是由主体的董事会、管理层和其他员工实施的，旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。”

国内对风险管理的系统研究始于 20 世纪 80 年代后期。一些企业引进了风险管理和安全系统工程管理的理论，运用风险管理的经验识别、衡量和估计风险，取得了较好的效果，推动了风险管理理论研究。

（三）当代风险管理理论（20 世纪 90 年代末至今）

为了适应环境的急剧变化，对风险管理的研究逐渐突破传统的风险管理模式，基于风险组合的全新观点，从贯穿整个企业组织架构和各项业务的角度，更加综合地看待和分析风险。于是，全面风险管理思想和理论开始产生并形成，其标志是：

1. 北美非寿险精算师协会（Casualty Actuarial Society，CAS）明确提出了全面风险管理的概念，并对基于系统观点的风险管理思想进行了较为深入的研究。

2. 巴塞尔银行监管委员会推出《巴塞尔新资本协议》。

3. 美国 COSO 发布的《企业风险管理——整合框架》。该框架拓展了内部控制的内涵，正式提出了全面风险管理的基本概念和框架体系。

4. 美国 COSO 发布的《企业风险管理——整合战略和绩效》。首次提出或强调了企业风险管理与企业战略、价值、绩效以及企业所有业务流程的关联性、统一性、相容性，实现了风险管理思想和理论的又一次飞跃。

与风险管理理论的产生、形成和发展相互适应，相互推动，风险管理实践的发展也经历了传统风险管理实践、现代风险管理实践和当代风险管理实践三个阶段。

（一）传统风险管理实践阶段

1. 萌芽阶段

企业风险管理实践是伴随工业革命的开始而萌生的。工业革命的爆发和工业文明的产生与发展，促进了生产力的高度发展，促进了社会财富的急剧增加。但是，与之相伴的是巨大的财产损失和人员伤亡事故的增加。这不仅影响到企业的经营和发展，也影响到员工的生命安全。

2. 形成阶段

1931 年，美国管理协会明确了对企业风险进行管理的重要意义，并设立保险部门作为美国管理协会的独立机构。

1938 年以后，一些重大损失事件使许多公司高层决策者认识到风险管理的重要性，因而在企业中设立风险管理岗位，指定专人即“全职风险管理人”，负责管理风险。

3. 发展阶段

20 世纪 60~70 年代，美国一些主要大学的工商管理学院都开设了风险管理课程，将风险管理的教育和培训贯穿于经济管理课程之中。从这些学院的毕业的学生进入企业管理部门后，将风险管理的理论知识运用于管理的各个领域，极大地促进了风险管理实践的发展。

20 世纪 70 年代初期，风险管理理念开始传入亚洲、欧洲、拉丁美洲，风险管理实务在许多国家、地区的企业中得到重视并广泛开展。

（二）现代风险管理实践阶段

美国国会于 1977 年通过了《反海外贿赂法案》，该法案从法律层面推动了风险管理实践深入发展。1983 年，在美国召开的风险和保险管理协会年会上，通过了《101 条风险管理准则》，这是风险管理进入现代风险管理实践阶段的一项重要成果和体现。1985 年，诸多职业团体联合创建了反舞弊财务报告全国委员会，两年后，在该委员会的提议下，又成立了 COSO。此后，该委员会通过制定和发布企业风险管理框架指引，有力地推进了风险管理实践的发展。

（三）当代风险管理实践阶段

1. 风险管理标准化实施阶段

20 世纪末，风险管理的标准化引起了国际社会的广泛关注，许多国家试图通过规范化、标准化的风险管理手段加强风险管理的绩效。形成了一定的风险管理标准体系，如英国的特恩布尔指南和美国的 COSO 框架。

2. 全面风险管理实施阶段

伴随许多国家、企业风险管理标准化的实施，全面风险管理也逐渐兴起并成为风险管理的主流。

CAS 于 2001 年在一份报告中明确提出了全面风险管理的概念，并对基于系统观点的风险管理进行了较为深入的研究；美国 COSO 于 2004 年发布的《企业风险管理——整合框架》和于2017 年发布的《企业风险管理——与战略和绩效的整合》，对全面风险管理的框架和内容做了详细规定，引领企业全面风险管理的实施。

国务院国资委、财政部及相关行政管理或监管部门制定、颁布、下达的一系列“指引”“规范”“指南”和“通知”，适应宏观环境、产业环境、市场环境的变化以及企业发展的内在要求，及时、适时地为各类企业牢固树立全面风险管理理念、建立健全全面风险管理体系、采用科学化和规范化的风险管理措施和手段，指明了方向和途径，提出了原则和要求。