第27章
企業風險管理

到目前為止，我們討論的重點是如何建立合理的規程來理解和量化金融機構面對的不同風險（信用風險、市場風險、操作風險和流動性風險等）。確保對風險進行正確的評估是風險管理人員的重要職責之一。同等重要的是，金融機構中的風險管理部門應建立針對風險的統一的、全局性的系統，識別可能出現的不利事件以及它們造成的後果。某一不利事件造成的全局性影響可能比逐個考慮單一風險類別得出的結果更大（或更小）。這種對風險進行整體管理的方法被稱為企業風險管理（enterprise risk management，ERM）。

要理解企業風險管理，需要區分風險管理中的自上而下法與自下而上法。自下而上法關注不同業務類別中不同風險種類的評估和彙總，在前面的章節中我們已經討論過如何完成這項任務。而在自上而下法中，會首先明確整個機構的風險偏好（risk appetite），然後據此制定各個部門風險的容忍度（risk limit）。在實踐中，金融機構需要同時採用這兩種方法。自上而下法用來制定風險偏好，而自下而上法用來評估各部門承擔的風險是否與風險偏好一致。

2004年，全美反舞弊性財務報告委員發起組織（Committee of Sponsoring Organization of the Treadway Commission，COSO）發佈了企業風險管理整合框架（enterprise risk management integrated framework，詳見www.coso.org），其中對企業風險管理進行了如下定義：

企業風險管理是這樣一個過程：它由企業董事會成員、管理層及其他人員把控，在戰略層面橫跨企業各部門實施，用於識別對企業有不利影響的潛在事件，並管理風險使其符合風險偏好，以確保有較大的把握實現企業的既定目標。

以上定義突出了幾點：第一，企業風險管理要有董事會成員的參與；第二，企業風險管理是企業戰略的一部分；第三，涉及對潛在不利事件的識別；第四，作為企業風險管理的一部分，企業必須制定自己的風險偏好，並據此管理自己的風險；第五，企業風險管理應幫助企業達成自己的目標，是戰略規劃和戰略實施過程中的一個核心部分。

傳統上，在自上而下的風險管理中，很多金融機構（以及它們的董事會）普遍存在合規至上的導向，它們的目標僅是讓監管機構滿意並在法律的條文內行事。企業風險管理正在改變金融機構的這種心態，它使風險管理部門具備了戰略導向以及價值提升的作用。一家風險管理更加有效的公司相對其他公司，會擁有競爭優勢。

本章將討論企業風險管理中的核心因素，包括風險偏好、風險文化、如何識別潛在不利事件以及企業風險管理如何與金融機構的戰略進行整合。