扩展学习|风险管理的文献综述汇总（持续更新向）

一、风险管理发展历程和趋势综述（2007年发表）

文献来源：[1]严复海,党星,颜文虎.风险管理发展历程和趋势综述[J].管理现代化, 2007(2):4.DOI:CNKI:SUN:GLXX.0.2007-02-009.

简介：该文以风险管理发展历程中的大事件为线索, 对风险管理的历程进行了梳理, 将其划分为传统风险管理阶段、现代风险管理阶段和全面风险管理阶段, 并对风险管理的最新趋势进行了分析, 指出了风险管理新趋势对我国企业实施ERM的启示。

（一）风险管理发展历程分析（截止到2007年）

本文将风险管理的发展历程划分为表中的三个阶段: 传统风险管理阶段、现代风险管理阶段和全面风险管理阶段。风险管理大事件如( 表1) 。

（1）传统风险管理阶段

学术界一般认为风险管理始于美国。1931年, 美国管理协会保险部开始倡导风险管理, 并研究风险管理及保险问题。在20世纪50年代早期和中期, 美国大公司发生的重大损失使高层决策者认识到风险管理的重要性, 其中1953年, 通用汽车公司的一场火灾震惊了美国企业界和学术界, 这场火灾成了风险管理科学发展的契机。。1980年, 美国风险分析协会( the Society for Risk Analysis, SRA) 成立, SRA 自成立之日起, 就成为不同学术团体交流思想的焦点论坛。1983年5月在美国风险与保险管理学会的年会上, 世界各地的专家学者通过了针对危害性风险的“101条风险管理准则”, 其中包括: 风险管理的一般原则, 风险评估, 风险控制, 风险财务处理, 索赔管理, 职工福利, 退休年金, 国际风险管理等。

在传统风险管理阶段, 风险管理思想自萌芽逐渐形成全球性的运动, 其间取得了许多风险管理的理论成果。如: 1952年, 马克维茨发表“组合选择”理论, 假定投资风险可以视为投资收益的不确定性, 这种不确定性可以用统计学中的方差或标准差加以度量, 为金融风险的研究开辟了一条全新的思路; 1965 年, 夏普( Sharp) 在马克维茨证券组合理论的基础上研究提出了资本资产定价模型(CAPM) ; 罗斯(Ross) 突破性地发展了资本资产定价模型, 建立了套利定价理论; 1973年, Black & Scholes发表期权定价公式。这些理论成果大大提高了风险管理的水平和策略。

在传统风险管理阶段, 风险管理的内容主要是针对信用风险和财务风险, 相应的, 这一时期信用风险和财务风险的管理测量方法已发展比较成熟; 但风险管理的研究还只是局限在某些单一、局部或分离性的层面上, 没有涉及到众多层面的风险管理的问题; 风险管理方法缺乏系统性和全局性。在大公司内部, 风险管理往往处于一种诸侯割据的状态, 进行的是一种纯粹的风险管理, 在公司中各种担负着风险管理职责的人往往只针对自己工作中的风险提出了各自独立的(有时甚至是矛盾的)工作计划, 他们采用的风险管理技术不同, 甚至连使用的语言都不一样。风险管理是事后的管理, 只有经理们认为风险存在的时候才对风险进行处理和管理。传统的风险管理办法也可以把公司的所有风险都找出来, 并加以描绘, 但没有把公司面临的风险同公司的商业战略联系起来。

（2）现代风险管理阶段

20世纪80年代末、90年代初, 随着国际金融和工商业的不断发展, 迅速发展的新经济使企业面对的社会大环境发生了很大的变化。企业面临的风险更加多样化和复杂化, 从墨西哥金融危机、亚洲金融危机、拉美部分国家出现的金融动荡等系统性事件, 到巴林银行、爱尔兰联合银行、长期资本基金倒闭等个体事件, 都昭示着损失不再是由单一风险造成, 而是由信用风险、市场风险和操作风险等多种风险因素交织作用而成的。人们意识到以零散的方式管理公司所面对的各类风险已经不能满足需要。在一个企业内部不同部门或不同业务的风险, 有的相互叠加放大, 有的相互抵消减少。因此, 企业不能仅仅从某项业务、某个部门的角度考虑风险, 必须根据风险组合的观点, 从贯穿整个企业的角度看风险。于是产生了全面风险管理思想的萌芽和发展, 其标志是:

第一, 在许多公司中, 零散方式管理公司风险的管理者已被直接对董事会负责的高级风险管理专业人士所代替。第二, 1995年由澳大利亚标准委员会和新西兰标准委员会成立的联合技术委员会经过广泛的信息搜集、整理和讨论, 并多次修改, 制订和出版了全球第一个企业风险管理标准——澳大利亚 /新西兰风险管理标准( AS/NZS4360, 以下简称澳洲风险标准) 。第三, 全球风险管理协会( GARP) 成立。第四, 整体风险管理( TRM) 的思想形成及成熟。他们发现金融风险往往是以复合的形式存在, 单一形式的金融风险往往具有相互联动性。风险管理不仅是对过去的单个业务的单个风险进行管理, 而应从整个系统的角度对所有风险综合管理。整体风险管理理论认为: 对一定量的风险进行控制是金融风险管理的最终目的, 风险管理必然要涉及到风险偏好和风险估价因素, 将金融风险管理中的价格、偏好和概率三要素综合起来进行系统和动态的决策, 从而实现对风险的全面控制。1998年之后, 理论界提出了全面风险管理理论 ( ERM) 和全面综合的风险管理( Global risk management, GRM) 。

(3)全面风险管理阶段

1) 全面风险管理理论( ERM) 的形成和发展

1999年, 《巴塞尔新资本协议》形成了全面风险管理发展的一个推动力, 《巴塞尔新资本协议》将市场风险和操作风险纳入资本约束的范围, 提出了资本充足率、监管部门监督检查和市场纪律三大监管支柱, 蕴含了全面风险管理的理念。进入21世纪, 尤其以2001年美国遭受9.11恐怖主义袭击、2002年安然公司倒闭等重大事件为标志, 使众多企业意识到风险是多元的, 复杂的, 必须采用综合的管理手段。全面风险管理的概念获得广泛认同。

2)COSO的风险管理整合框架

2004年, COSO适应时代的要求, 出台了《企业风险管理——整合框架》。COSO的风险管理整合框架中的风险管理概念、内容、框架构成了现代全面风险管理理论的核心。ERM框架定义全面风险管理, 阐述原则、模式、标准, 为企业和其他类型组织评价和加强全面风险管理提供了基础, 并引入了风险偏好、风险容忍度、风险度量等概念和方法, 为衡量企业风险管理的有效性提供指导。

如图2所示全面风险管理框架有三个维度, 第一是风险管理目标维度。风险管理目标和组织的风险要求紧密联系, 决定着组织经营活动中对风险的容忍度。整体框架所界定的目标有四类: 战略目标、经营目标、报告目标和监管目标。这种分类可以把重心放在全面风险管理的不同侧面, 不同类型的目标互相重叠, 一种特定的目标可能会落入不止一个类别, 不同类别的目标对应组织的不同需要。 第二是风险管理要素维度。全面风险管理包括八个方面的要素, 即内部环境、目标设定、风险识别、风险评估、风险对策、控制活动、信息和交流、监控, 这几个要素来自管理层经营企业的方式, 并和管理流程整合在一起八个因素相互独立、相互联系又相互制约, 共同构成了全面风险管理这一有机体系。第三企业组织层级维度。企业的各个层级包括组织的高级管理层、各职能部门、各条业务线及下属各子公司, 组织里的每个人对全面风险管理都负有责任。

二、风险管理理论沿袭和最新研究趋势综述（2008年发表）

文献来源：[1]张琴,陈柳钦.风险管理理论沿袭和最新研究趋势综述[J].金融理论与实践, 2008, 026(005):22-27.DOI:10.3969/j.issn.1003-4625.2008.10.028.

简介：现代风险管理已经从传统风险管理阶段向整体化风险管理过渡;风险管理能为公司创造价值, 人们的安全性需求、风险成本和公司相关权益方要求开展公司全面风险管理。全面风险管理是目前风险管理发展的最新趋势, 它是一种站在整个公司角度进行的整体化风险管理方式。该文介绍了风险管理理论演变的内在思维转变以及驱动力，并详细介绍了美国 COSO委员会和 GARP组织根据各自的情况秉承各自的标准提出了全面风险管理框架。

（一）从传统风险管理到整体化风险管理

(1)风险管理理论发展及思维演变

风险管理 ( RiskManagement)是家庭或企业对其面临的风险, 事前运用各种风险管理策略和技术所做的一切处理过程。风险管理是一种颇具常识性且系统化的学科或艺术, 狭义的风险管理使用各种专业性或创意性的系统化措施, 来达到以下目的:一是损失事故发生前, 预防损失;二是损失事故发生时, 减轻损失;三是损失发生后, 弥补损失。而风险管理理论真正发展起来经历了传统风险管理和整体化风险管理两个阶段。

1)传统风险管理。

彼得·伯恩斯坦 ( P. L.Bernstein, 1996)认为, 人类在文艺复兴时期就想操控灾害或风险。随着概率论的产生, 人们对于灾害事件的估计开始有了客观的科学根据, 这推动了风险理论与实证研究的产生, 这个时候还没有“风险管理 ”的名词, 但与其功能相当的安全管理与保险已经有了相当的发展。在这个阶段的安全管理与保险领域中, 风险管理的思维仅限于对客观存在的实体损害的管理。真正的风险管理起源于 20世纪 50年代的美国, 最初的风险管理以保险行业最具代表性。 1970年到 1990 年是风险管理发展的重要阶段。这一时期, 随着经济、社会和科学技术的迅速发展, 人类开始面临种类越来越多、危害越来越严重的风险。 1979年美国三里岛核电站的爆炸事故, 1984年在印度的美国联合碳化物公司农药厂发生的毒气外泄事故等多起重大科技灾难, 对风险管理在全球的推动与发展, 起到了极大的催化与推动作用。这一时期, 在美国一些大学的商管学院首先开始讲授一门涉及如何对企业的人员、财产、责任及财务资源等进行保护的新型管理学科, 这是风险管理正式在学术领域传授的开始。目前, 风险管理己经发展成企业管理中一个具有相对独立功能的管理学科, 围绕企业经营和发展的核心目标, 风险管理与企业的经营管理、策略管理一样具有十分重要的作用。

2)新型的整体化风险管理。

1990年以后, 风险管理进入了一个全新的阶段———整体化风险管理阶段。整体化风险管理冲破了传统风险管理对风险的狭隘理解, 把风险看做一个整体进行研究。造成这一时期风险管理发生重大转变的原因主要有两个: 第一, 由于衍生金融商品使用不当引发了多起金融风暴, 促使财务性风险管理有了进一步的发展 ;第二, 保险理财与衍生性金融商品的整合, 打破了保险市场与资本市场间的藩篱, 财务再保险与巨灾风险债券的出现就是明显的例证。

3)新型风险管理的范畴。

正如人们对风险存在各种各样的界定那样, 人们对风险管理的范畴也没有一致的看法。从风险因素的角度看, 风险管理包括针对各个风险因子的风险管理活动和从整个金融机构战略管理的角度将各个风险因子整合在一起进行的全面风险管理活动。从金融机构管理风险所使用的工具和方法的角度看, 风险管理活动可以划分为内部控制活动和风险产品交易活动 (即金融工程活动 ) 。内部控制活动所使用的工具主要是管理制度、组织架构和审计稽核等, 金融工程所使用的工具和方法主要是风险计量、衍生产品对冲和风险定价补偿等。从针对损失采取的措施的角度看, 风险管理活动包括三方面的内容:第一是避免损失发生或降低损失严重程度和发生概率的管理活动, 主要指各项业务的管理和内部控制活动;第二是将可能发生的损失转嫁给其他机构或市场参与者的活动, 主要指保险、再保险转移和衍生产品对冲活动;第三种是风险的承担活动, 即通过提取准备金或风险定价方式为可能的损失募集资金的活动。从盈利管理的角度看, 风险管理活动包括风险定价、经济资本配置、经风险调整资本回报率和经风险调整业绩衡量等。

（二）风险管理的理由 —风险管理为公司创造价值

人们之所以要进行风险管理, 是因为风险管理会为公司创造价值。因为现实世界的金融市场远非完美, 到处充满了摩擦和信息不对称, 以对冲为主要内容的风险管理并非与公司的价值无关, 而是可以增加公司价值, 这就是风险管理相关论。这个理论的典型代表是 Froot等 ( 1993) 的外部融资成本增加说。 Froot等认为, 一个公司如果不对冲风险, 其现有资产所产生的内部现金流的波动就会加大, 其后果是要么投资总额的波动增大, 要么是外部融资额的波动增大。这两种情况对公司都不利, 会减少公司价值。因此, 公司对导致内部现金流波动的风险而言是风险厌恶者, 对冲风险、降低内部现金流波动性的风险管理活动会给公司带来价值 。

风险管理的直接理由主要有三个 :

(1)人们的安全需求

现代投资学和风险管理的两个基本结论是 :投资者都是风险承担者, 投资者都是风险厌恶者。

(2)风险的成本

(1)税收成本。风险管理的主要目标之一是降低公司收益和市值对外部变量的敏感性。( 2)财务困境成本。另外一个讨论比较多的风险成本是财务困境成本。(3)委托 — 代理成本。这里的委托 —代理关系包括债权人和股东之间的代理关系以及股东和经理人之间的代理关系。(4)资金使用的高成本和投资方案的 “挤出 ”。这主要是针对成长型公司而言的。

(3)外界对风险管理的要求

1.监管者的要求。 20 世纪 90年代以来, 以风险和风险管理为基础的风险监管开始发展起来；2.股东的要求。股东基于以下两方面的原因而关注企业的风险管理活动。3.管理者 (经理人 ) 的要求。 SmithandStulz ( 1985)提出, 从经理人的角度看, 风险管理的理由来自相对于股东而言, 经理人很难将自己在公司面临的风险进行多样化和分散化。4.债权人和客户的要求。上面对风险成本的分析有好几次都涉及了债权人的利益, 比如财务困境成本和委托—代理成本, 公司经营的稳定性直接决定了债权人能否按期收回本息。

（三）风险管理的最新趋势—全面风险管理

全面风险管理是目前风险管理发展的最新趋势, 它是一种站在整个公司角度进行的整体化风险管理方式, 我们平时见到的公司风险管理或整体风险管理也是指全面风险管理。全面风险管理的核心思想是 :一个公司的风险来自很多方面, 比如, 一个保险公司可能会面对由需求变化、利率变化、资产价格变化等带来的种种不同风险, 最终对公司产生影响的不是某一种风险, 而是所有风险联合作用的结果, 所以只有从公司整体角度进行的风险管理才是最有效的。

(1)全面风险管理产生的基础

全面风险管理涵盖的范围很广, 内容涉及保险、财务套期保值、投融资、杠杆管理、薪酬设计甚至税收管理等多个领域的内容。 一是风险管理与保险理论的发展。风险管理是 20世纪 60、70年代为了管理 “可保风险 ”而出现的。 RobertMehr和 BobHedhes于 20世纪 60年代建立了可保风险管理的基本框架。之后, 可保风险管理又有了一系列的创新, 比如有限风险计划、保险公司自身的资产负债管理以及 20世纪 90年代出现的捆绑式保障保单, 这种保单不仅包括传统的可保风险 (财产和责任风险 ), 还包括财务风险 (如利率风险和汇率风险 ), 从而打破了保险市场和资本市场之间的障碍。 二是衍生产品市场和金融工程理论的发展。 20 世纪 80、90年代是金融创新高速发展的时期, 其赖以产生和发展的理论基础主要是马柯威茨的资产组合管理理论、夏普和罗斯创立的资产定价模型以及布莱克和舒尔茨创立的期权定价理论。衍生产品和金融工程的发展不仅丰富了风险管理用于套期保值的工具, 还为公司其他的风险管理策略提供了方便。公司不仅可用衍生产品对特定的风险进行套期保值, 还可以将衍生产品嵌入到公司的负债和权益里。而新近发行的巨灾债券和非传统风险转移工具 ( ART)则是直接出于风险管理的目的而出现的。 三是公司风险管理理论的发展。 20世纪 80、90 年代人们开始关注风险对于公司价值的影响, 1976 年 David Cummings 通过对资本资产定价模型的进一步分析, 说明了公司是如何通过对风险进行保险而实现价值最大化的 ;Mayers和 Smith( 1983)又基于风险给公司带来的摩擦成本, 提出了更新的公司风险管理理论, 即风险的摩擦成本或交易成本可以使风险管理成为一个增加公司价值的过程。针对风险的成本解释, DohertyNeilA.( 1985)又提出了管理风险的 “对偶策略 ”, 即公司既可以通过降低风险又可以通过调整财务或组织结构、改变杠杆作用的方式来减少风险的交易成本。

(2)全面风险管理框架

1）COSO全面风险管理框架。

COSO全称为 “发起机构委员会 ” ( CommitteeofSponsoringOrganization), 它是一个自愿性质的私营机构, 致力于通过商业伦理、有效的内部控制和公司治理来提高财务报告的质量。早在 1958年, 美国注册会计师协会将 “内部控制”区分为两类 :内部会计控制和内部管理控制。 1992年, COSO提出了内部控制整体框架, 并在 1994年进行了增补, 指出内控是为了实现经营的效果和效率、财会报告的可靠性、对现行法规的遵守三大目标的过程。 2004年 10月, COSO委员会正式发布了《全面风险管理 —整合框架》 ( Enterprise Risk Management— Integrated Framework), 目前已受到国际企业界、金融界和政府监管部门的广泛关注。新发布的《全面风险管理 —整合框架》对全面风险管理给的定义是:全面风险管理是一个过程, 它由一个企业的董事会、管理当局和其他人员实施, 应用于企业战略制订并贯穿于企业各种经营活动之中, 目的是识别可能会影响企业价值的潜在事项, 管理风险于企业的风险容量之内, 并为企业目标的实现提供保证。 COSO的风险管理框架扩展了其内部控制框架, 强调企业风险管理有三个维度, 分别是目标、风险管理要素和管理层级。

目标由内部控制框架的 3个扩展为 4 个, 即战略、经营、报告和合规 。

风险管理要素由内部控制框架的 5个 (内部环境、风险评估、控制活动、信息与沟通、监控 )扩展为 8个, 即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

管理层级包括整个企业、职能部门、业务单位和分支机构 4层。

各管理层级是风险管理主体, 风险管理要素是必备条件, 目标是企业努力实现的对象, 企业的各个管理层级都要按照风险管理的 8个要素为 4个目标服务。该框架适合各种类型的企业或机构的风险管理。 COSO于 2001年起开始进行企业风险管理研究, 强调风险管理框架必须和内部控制框架相一致, 把内部控制目标和要素整合到企业全面风险管理过程中。美国 COSO委员会颁布的企业风险管理框架提供了一个一体化的企业风险管理框架。目前, 国际风险管理领域存在诸多的企业内部控制和风险管理标准, 但都与 COSO框架紧密相关, COSO框架已成为企业全面风险管理的标准。

2）GARP全面风险管理框架。

① GARP(全球风险专业人员协会 )成立于 1996年, 是在英国老牌巴林银行倒闭、全球风险重要性开始凸现的背景下由风险专业人士倡议产生的专业组织。 GARP认为全面风险管理所要做的是了解从金融机构活动中所产生的全部风险同时去有效地管理这些风险, 因而一个有效的风险管理方案会平衡风险管理结构和质量方面的问题。基于这一认识, 该组织认为全面风险管理框架应该包括策略、程序、基础设施和环境四个模组以及它们之间的融合。 GARP认为, 风险管理任务主要包括以下六点:

(1) 把交易策略和风险管理策略结合起来, 这样可以确保企业在预测并分散风险方面的优势;

(2) 建立风险管理过程, 这个过程要便于公司组织内部对风险管理的理解和实施, 并能主动支持公司的风险管理策略;

(3) 通过在组织人员指导和风险行为的支持系统之间的合理安排来提高风险管理的水平;

(4) 对各种类型的风险进行理性和动态的划分, 合理地反映公司商业策略和外部市场环境所对应的风险;

(5) 建立一个风险和行为的衡量系统, 这个系统要透明、可信、及时, 并具有较强的可操作性, 以实现个人行为与企业目标以及风险管理目标的统一;

(6)强化组织的风险管理意识, 重视风险管理的质量和持续性, 提高企业风险承受的能力, 满足顾客要求和增加股东收益。

GARP全面风险管理的四个模组协调合作, 共同负责完成以上六项风险管理任务。实际上 GARP方案与 COSO的 ERM框架并无实质区别, GARP方案囊括了 COSO全面风险管理框架的八大要素, 并做了重新组合, 更进一步来说, 策略是中心, 风险管理基础设施、过程和环境是全面风险管理体系的三大平台。