第二★，战略与目标制定。过去，企业往往将关注点放在战略执行风险，而ERM框架提示企业注意，战略可能会不符合企业的使命、愿景和核心价值，以及战略目标的风险特征。例如，国内某保险公司因偏离“保险姓保”，实施过于激进的投资策略★，而受到监管处罚。

　　企业风险管理的核心要素主要包括：1、目标导向，服务于企业战略★，确保风险承受能力与战略目标一致。2、全流程覆盖★，贯穿企业经营决策、执行★、监控等企业的全生命周期。 3★、整合性★，统筹企业内部部门和业务条线，整合财务★、运营★、合规★、战略等多元风险管理。4★、文化基础，自上而下建立“风险意识文化★”，鼓励全员参与风险识别与应对★。

　　第一★，治理与文化。公司治理与文化是确保企业风险管理行之有效的强大基石。ERM框架强调董事会作为企业最高层应履行好治理责任，并组建运营机构以达成战略与业务目标★。同时，需要将风险管理文化厚植于企业核心价值观和日常业务中★。

　　党的二十大报告中指出★：“当今世界正经历百年未有之大变局★”，“世界之变、时代之变、历史之变正以前所未有的方式展开★”。面对日新月异的技术进步以及变幻莫测的国际形势，企业风险管理的重要性或价值日益凸显。从巴林银行因交易员从事期货投机失败而倒闭，诺基亚未跟上手机智能化时代黯然退场，再到雷曼兄弟由于投资失利、美国政府拒绝救助引发全球金融海啸，以及近几年我国经济面临转型难题，许多企业生存日益艰难，企业风险管理逐步成为当前企业经营和管理的一门必修课。

　　DeepSeek等大模型预测★，企业风险管理将从企业被动应对风险转向主动价值创造★，成为现代企业治理的核心能力。其发展体现了从“碎片化风控”到“战略性韧性★”的演进，未来将进一步与人工智能★、大数据融合★，实现预测性风险管理（Predictive Risk Management）。三、企业风险管理的渊源企业风险管理作为跨风险管理学科、会计学科的重要新兴领域，在超过半个世纪的发展过程中实现了从多个领域的分散研究向全面风险管理一体化框架的演进。可以从三个理论来源进行梳理★。

　　1992年，COSO委员会发布了《内部控制——整合框架》，该框架为企业提供了关于内部控制的统一标准，也是ERM框架的雏形★。随着企业对风险管理需求的增加，COSO于2004年发布了《企业风险管理——整合框架》（Enterprise Risk Management——Integrated Framework）★，旨在帮助企业和组织有效防范风险并提高风险管理水平★，明确了风险管理的八大要素。但是，COSO在2004年发布的ERM框架仍然有许多问题并未解决。比如，从流程管理视角出发来处理企业风险问题，但企业破产往往是现金流（或偿付能力）不足的直接后果，实践也已经充分证明，建立并实施严格的内控与管理机制，不足以规避企业风险★；在金融工具管理上★，2008年次贷危机反映出AIG、花旗等大型金融机构在衍生品等企业风险管理重要工具中出现了明显问题★。当然，ERM框架与1992年发布的内部控制框架高度重合★，因发布时间较早未能纳入ESG因素等，也是ERM框架更新的重要推动因素★。

　　第三，绩效。企业需要识别、评估和应对可能会影响战略和业务目标实现的风险，这也是普遍认知的狭义企业风险管理的主要内容。ERM框架要求★，企业组织对风险进行排序★，以作为风险应对的基础★，对于接近企业既定业务目标可接受绩效偏差或风险偏好边缘的风险，一般会给予较高优先级★。风险应对方案可以包括：接受风险、规避风险★、利用风险、降低风险以及共担风险，在充分考虑风险排序★、成本和效益以及风险偏好等因素后确定★。

　　4★. 在技术上★，新框架用绩效的波动区间替代原有的风险容量★。旧框架中，风险容量（Risk Tolerance）只是颗粒化的、更细节的风险偏好（Risk Appetite，企业原因承受的风险量）。采用可接受的绩效变动区间（Accepted Variation in Performance）替代了原先的风险容量作为企业实际操作的具体细节★，其目的在于推动风险管理与企业管理深度融合。

　　3.明确风险管理与战略的协同作用★，将企业风险管理上升到新的高度。旧框架只强调了企业风险管理应当从明确战略目标就开始介入，但并未作深入讨论。实践上看，不少历史悠久的大型跨国集团具备成熟的内控机制以及完善的外部审计，却未能有效防控企业风险（如前文所述的雷曼兄弟和诺基亚），这表明制定战略目标本身也应当是风险管理的一部分（而非旧框架所述为实现目标提供合理保证）。因而★，新框架提高了风险管理工作的高度（这恰恰是内控力所不逮之处），提示企业注意战略和业务目标与使命★、愿景和价值观不匹配的可能性，选定的战略所隐含的意义★，以及执行战略过程中的风险。企业资源并非无限，追求价值最大化而制定过高★、不切实际的目标只会倒逼管理层铤而走险、从事更高风险的业务★，新框架则从正面回答了这一问题。

　　2.对风险的认知发生了重大变化。旧框架将风险定义为“一个事项将会发生并给目标实现带来负面影响的可能性★”，侧重点在于负面影响。而新框架则定义为★“事项发生并影响战略和业务目标之实现的可能性”，兼顾了负面和正面因素，即包含了纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。

　　1★.重新定义ERM。旧版定义强调★，ERM是一个过程，应用于战略制定并贯穿于企业之中，通过识别和管理风险为主体目标实现提供合理保证。新框架对ERM的定义为“组织在创造、保存★、实现价值的过程中赖以进行风险管理的★，与战略制定和实施相结合的文化、能力和实践★”★。其主要变化有二：一方面★，企业风险管理不再强调过程★，而是泛化至文化、能力和实践★，即企业风险管理不是企业单独或额外的活动★，而是企业战略实施和运营的重要组成部分。另一方面★，更加强调风险管理与价值创造（而非避免损失，区别于内部控制）的相结合，反映出企业利益相关方更加关心风险管理对企业价值的创造，尤其是在战略的制定和执行中体现风险管理价值。以上变化的核心在于★，ERM不再是一个控制机制（类似于传统油车的刹车片）★，而是一个管理机制（类似于新能源车的智能驾驶系统）。

　　通过实施企业风险管理，企业获得了更多的价值提升，Eastman等人（风险与保险杂志2024年第3期）的实证研究结果显示，企业风险管理使得美国样本企业获得更公平的税收负担和利润增长。企业风险管理价值的传导路径体现在提升决策质量、保护资产与声誉、增强韧性★、创造竞争优势等诸多方面。例如★，华为通过建立全球化的“风险三道防线”体系，放弃高风险的海外业务菲律宾尊龙网上娱乐，应对地缘政治和技术封锁风险；沃尔玛通过企业风险管理优化全球供应链，应对自然灾害和物流中断，避免停工风险★；星巴克将气候风险纳入企业风险管理，投资可持续咖啡豆种植以规避原料短缺。

　　企业风险管理（Enterprise Risk Management，ERM），也称整合风险管理、一体化风险管理或企业全面风险管理，基本的内涵是指，企业经营管理过程中的一个系统化★、前瞻性必要的流程，通过识别、评估、应对和监控风险，将风险管理嵌入企业战略★、运营和文化，以平衡风险与机遇，实现企业可持续发展和稳定增长的目标★。

　　ERM框架建议企业建立风险的组合观，即从整体或组合的角度来考虑风险。例如，跨国经营企业可能同时涉及到不同部门的外币收支业务，从整体上考虑整个公司外汇净敞口再进行风险应对，可以以更低成本实现更优效果。

　　第五，风险信息、沟通和报告。企业应当从内外部渠道持续获取和分享相关信息，用于决策的信息必须能够在整个企业得到全方位的沟通和传达。二★、 企业风险管理的实践价值是什么？随着企业危机事件（如安然破产、硅谷银行破产）推动各国监管部门出台《萨班斯法案》、《企业全面风险管理指引》，企业风险管理越来越普及，而以大数据、人工智能为标志的企业数字化转型带来的新型风险正在加速企业风险管理体系、框架和方法的升级★。

　　首先★，风险管理理论。★“风险管理”作为一种经营和管理理念具有悠久的历史，西方几千年前就有“不要把所有鸡蛋都放在一个篮子里★”的谚语★，而中国古代的“积谷防饥”典故、★“义仓”制度、★“船帮”组织等都具有现代风险管理思想的雏形★，而分船运输、镖局押运等方法则是分散风险★、转移风险的有效法则★。Johnso（1952）提到了农场的管理中如何处理风险和不确定性问题，从而较早的涉及到了企业（农场）的风险管理问题。1964年，C.A.Williams和Richard M. Heins最早提出了风险管理概念，但到20世纪70年代之前企业风险管理主要是防范和管理企业面临的纯粹风险（不利风险）。随着金融工具持续创新带来风险管理理念和工具不断丰富，Kent D. Miller（1992）在分析企业的国际经营策略时提出了整合风险管理的思想，这一般被视为是全面风险管理的雏形★，而不是单独研究某一风险管理工具或者技术。这一思想体现在ERM框架中★，表现为将企业风险管理贯穿于企业各项经营活动中★，强调风险管理工作的全面性，以及与企业战略★、绩效相结合。

　　第二，会计学和内部控制理论。内部控制的思想理念也是早在几千年前就为人们所认识和重视，古埃及的法老时代就设有专门负责监督的官员，对全国的各级机构和官员是否忠于职责以及财政收支是否准确进行间接管理和监督，古罗马的宫廷更是采取了“双人记账”、“对账制度”等财务制度，我国古代在朱熹所著《周礼·理其财之所出》中指出，★“虑夫掌财用财之吏，渗漏乾后★，或者容奸而肆欺……于是一毫财务之出入，数人之耳目通焉★”★。具体到企业管理上★，企业所有权和控制权的分离是内部控制制度兴起的根本动因，而企业规模的扩大和分支结构的增多所带来的管理不力和控制不足问题则是促使企业加强内部控制的直接动因。随着企业管理活动的增加，单纯的审计已经不能满足企业的需求，因此内部控制应运而生（Haun★，1955）。长期以来，内部控制作为企业管理层控制风险的重要工具★，在企业风险管理中占有重要地位，2004年COSO委员会《企业风险管理—整合框架》就是以其1992年《企业内部控制—整体框架》为基础上，结合《萨班斯—奥克斯法案》而最终形成★，可以说内部控制框架是ERM框架基本雏形，因而ERM依然以企业内部管理为主（尽管在最新的ERM框架中★，与内部控制做了区分★，详见后文）★。

　　第四，监控★。ERM框架要求企业应当监控并确保其风险管理长期有效性★，不断识别机会以优化风险管理流程★。如发生重大变化★，企业应当在评估其可能对战略和业务目标影响的基础上，予以适当调整和改进。

　　第三，安全管理理论、可持续发现管理理论和ESG理论。工业革命前，人类对于事故一直处于听天由命的态度★，因此就谈不上方法论与对策。工业革命的爆发至20世纪初，由于事故致因理论提供了对事故经验上的统计分析，人们的安全认识论提高到经验论水平★，在事故的策略上有了“事后弥补”的特征★；20世纪末，由于航天、核电、民航等“高可靠性组织”（high reliability organization）和石油化工等★“流程工业”（process industry）要求生产中的绝对安全，人类的安全认识论进入了本质论阶段，超前预防成为现代安全管理的主要特征。例如故障树分析（Fault Tree Analysis）方法(H.A Watson，1962)★，并催生了预防型的对策。伴随着安全管理理论的不断向可持续风险理论、ESG理论的拓展和创新，在风险管理理念上，ERM框架强调应对气候变化、绿色转型和公司治理风险，甚至在企业战略和目前制定时就需要考虑风险管理因素菲律宾尊龙网上娱乐★。

　　为了进一步满足风险管理实践的需求★，COSO对ERM框架进行了更新升级，并于2017年9月6日正式发布了新版的风险管理框架《Enterprise Risk Management——Integrating with Strategy and Performance》（以下简称ERM 2017）★。除了行文上采用了要素加原则的国际文件惯用规则进行书写之外★，与2004年版本相比，ERM 2017进行了较大幅度的颠覆性变化，反映了当前企业风险管理理念和关注点的重大变革★，主要体现在以下几个方面：