企业风险管理的定义

企业风险管理（Enterprise Risk Management，ERM），又称为全面风险管理（Comprehensive Enterprise Risk Management，CERM）、综合风险管理（Integrated Risk Management）和全球风险管理（Global Risk Management），是针对企业面临的所有风险进行管理。

阿瑟•威廉姆斯（1990）在《风险管理与保险》一书中认为，风险管理是“根据组织的目标或目的，以最少费用，通过风险识别、测定、处理及风险控制技术把风险带来的不利影响降低到最低程度的科学管理”。伯恩斯坦（1996）也认为“风险管理的精髓在于，最大化我们能对结果进行控制的领域，最小化那些因果关系隐藏在我们身后、无法控制的领域”。我国学者陈秉正（2003）指出：“风险管理是通过对风险进行识别、衡量和控制，以最小的成本使风险损失达到最低的管理活动。”从这些定义中可以归纳出风险管理是针对各种风险的管理活动的总称，其目的是以最小的成本使风险造成的损失降到最低。目前，国际组织、发达国家和我国对企业风险管理的认识主要有：

（1）国际组织的定义

国际内部审计师协会《内部审计实务标准》（2004）认为：“风险管理指确认、评价、管理和控制潜在事件或情况的一个过程，其目的是为实现组织目标提供合理保证。”亚洲风险与危机管理协会（2006）认为：“企业风险管理是企业在实现未来战略目标的过程中，试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程，以保障和促进组织的整体利益实现。”国际标准化组织（ISO）在其颁布的ISO 31000（2009）中把风险管理界定为“针对风险指挥和控制组织的协调活动”，并且指出了风险管理的框架、方针、计划和过程。

（2）发达国家的定义

美国COSO对企业风险管理的定义如下：企业风险管理的主要目的是识别影响企业经营活动的潜在事项，并对这些风险事项进行管理，使其能被企业所接受，并为企业目标的实现提供保障。企业风险管理由企业董事会、管理部门和企业人员实施，并应用于战略制定，贯穿于企业整个经营活动的过程。澳大利亚—新西兰风险管理标准AS/NZS 4360把风险管理看作一个过程，并给出了这个过程的一般定义，即风险管理应分为通信和咨询、建立环境、风险识别、风险分析、风险处置、风险监控与回顾七个步骤。

（3）我国的定义

《中央企业全面风险管理指引》（2006）第一章第四条所下的定义与美国COSO类似，也认为企业风险管理是一种过程和方法，主要内容包括风险管理的策略、理财措施、组织体系、信息系统和内部控制系统，其主要目标是为实现企业总体经营目标提供保障。《内部审计具体准则第16号——风险管理审计》第二条认为，风险管理是识别与评估影响企业目标实现的不确定性，并将这些不确定性控制在可以接受的范围内的过程，其主要目标是为企业组织目标的实现提供合理保证。《国家投资开发公司全面风险管理暂行规定》认为风险管理是指遵循风险管理的基本流程，运用风险管理的技术方法和手段，辨识和评估风险，并制定相应的风险管理战略，对之进行有效监控、预警、规避、转移、化解风险的全过程。

从上述文献上看，不同学者和不同机构大致从以下三个角度对企业风险管理做出了定义：

（1）从战略角度看，企业风险管理关系到企业目标的实现。正因为风险无处不有、无所不在，企业也不可避免地面临各种各样的来自企业内部和外部的风险。“企业风险管理是应对各种各样威胁组织战略目标实现的风险的方法，以建立企业竞争优势。”（John J.Hampton，2009）

（2）从功能角度看，企业风险管理是减少企业风险的活动。毕马威会计师事务所认为，企业风险管理是通过协调战略、流程、人、技术和知识，管理企业面临的不确定性，从而增加企业价值的严格方法（John J.Hampton，2009）。

（3）从过程和方法角度看，企业风险管理是企业经营者为管理风险所采取的措施和方法。如澳大利亚—新西兰风险管理标准AS/NZS 4360（1995）、美国COSO企业风险管理整合框架等。

结合上述观点，本书认为风险管理具有以下几个因素：（1）应用于战略制定；（2）由组织各个层级的人员实施；（3）对风险进行辨识、评估，并有效监控、预警、规避、转移、化解风险的动态过程；（4）其目的是以最小的成本使风险造成的损失降到最低程度，从而为主体目标的实现提供合理保证。

因此，本书对企业风险管理做出如下定义：企业风险管理是在企业战略目标的指导下，由企业各个层级人员实施的，旨在保证企业目标实现的，对风险进行辨识、评估，并有效监控、预警、规避、转移、化解风险的动态过程。