无为而治：商业银行风险管理新思维

曹 蕾，唐 玮

(1.东北财经大学会计学院，辽宁 大连 116025；2.安徽财经大学会计学院，安徽 蚌埠 233030)

改革开放40年来，我国的经济发展取得了举世瞩目的成就，经济的快速增长为金融的发展提供了必要的空间，但同时也带来了各种挑战。经济的发展离不开金融，商业银行作为一种经营风险的金融企业，对内面临金融创新的内在需求，对外面对日趋严苛的风险监管和激烈的行业竞争，再加上长期性、基础性、结构性、制度性等因素的共同作用，银行业的风险过高已经成为不争的事实。我国经济发展正在经历由高速增长的阶段转向高质量发展的阶段[2]，商业银行想要获得可持续发展，还需要进一步加深对风险管理的理解程度和进一步提高自身的风险管理能力。

近年来，风险管理问题备受关注。2008年财政部等五部委联合印发《企业内部控制基本规范》；2013年财政部引进并翻译美国反虚假财务报告委员会的下属发起委员会(以下简称COSO委员会)发布的第二版《企业内部控制框架》，这两个规范均强调内部控制应该和风险管理相结合。继2004年COSO委员会发布第一版《企业风险管理——整合框架》[3](以下简称COSO-ERM-2004)之后，以及在2009年国际标准组织发布第一版《风险管理指南》的同时，我国也于2009年同步颁布了国家标准《风险管理：原则与实施指南》，这说明我国的标准制定者在企业风险管理方面思维超前，也极大地推动了企业风险管理意识的逐渐增强。与此同时，随着复杂多变的外部环境和日新月异的技术革新，新的风险逐渐出现，风险管理的复杂性程度不断升级。2017年9月6日，COSO委员会正式发布第二版《企业风险管理——与战略和绩效的整合》(以下简称COSO-ERM-2017)[4-5]，2018年国际标准组织也发布第二版ISO31000《风险管理指南》，提出了风险管理工作应该更好地与企业战略和绩效相融合的全新理念要求。作为金融核心主体的商业银行，急需根据全新的风险管理理念提高风险管理能力来调整自身以应对外部压力和提升企业价值。

一、对风险和风险管理的全新认识

随着风险管理实践的深入，虽然对于风险的定义一直在演变，目前为止仍未形成最广泛的共识，但不可否认的是人们对风险的认识在不断加深。

(一)对“可能性”的重新解读

COSO-ERM-2017对于风险的定义较之COSO-ERM-2004发生了根本性的变化(如表1所示)。通过对比可以发现，两个版本中对风险的诠释都用了“可能性”一词，但是两次的含义却大不相同。COSO-ERM-2004将风险和机会视为一组相对的概念，认为风险是妨碍或破坏现有价值的负向概率；机会相对于风险则是正向概率，它能够维持价值或创造价值。COSO-ERM-2017颠覆了对风险的原有认识，这里的“可能性”具有双向性，可以是妨碍或破坏价值造成的负的影响，也可以是维系或创造新价值带来的正的影响，所以风险可能会导致损失，也可能会是机遇。一般情况下，组织通常关注到的风险是那些具有负面影响可能性的事项，而对于那些具有正面影响可能性的事项也应该纳入考虑的范围之内，因为它对某一目标可能带来正面影响，但有可能同时限制其他目标的实现。新的风险定义给我们带来的启示是：组织花费一定的时间来预测可能性和不可能性以及事件可能发生的概率是值得的，因为在面对市场变化和资源有限的情况下，提高组织适应变化的能力不仅使组织在面对风险时更加具有柔性，同时也会增强组织能够承担风险的信心，从而更好地实现可持续的价值创造。

表1 COSO-ERM-2004与COSO-ERM-2017风险定义的比较

(二)风险管理的新内涵

COSO-ERM-2017对于风险管理的定义是颠覆性的(如表2所示)。通过比较可以看出，COSO-ERM-2004对于风险管理的理解是一个流程或者一个程序，认为风险管理是内部控制活动的一种[6]。COSO-ERM-2017将风险管理的内涵提升为一种将组织和战略整合的“文化、能力和实践”，它更倾向于认为风险管理是有利于企业创造、保持和实现价值的综合治理活动，并且融合于公司治理、绩效管理、内部控制、商业运营等各方面。COSO-ERM-2017强调了风险管理在创造、保持和实现价值过程中的作用[4]。更重要的是风险管理不再把工作重点放于预防价值损失，而是被嵌入到战略制定、绩效达成、价值创造的过程中；风险管理不再是只关注将风险控制和降低在可接受范围内，而是成为核心价值链管理中一个动态的和不可分割的重要组成部分。

表2 COSO-ERM-2004与COSO-ERM-2017风险管理定义的比较

(三)风险管理的框架

COSO-ERM-2017以5个要素为基础，以20条原则为导向，以价值提升为目标，以风险管理与战略和绩效融合为路径，强调风险管理在企业价值创造、保持和实现过程的重要作用。

在要素构成和原则方面，COSO-ERM-2017将COSO-ERM-2004的8个要素(内部环境；目标制定；事项识别；风险评估；风险反应；控制活动；监控；信息和沟通)整合为5个要素(治理和文化；战略和目标设定；执行；审阅与修订；信息、沟通与报告)[4]。具体来看，治理和文化要素是由内部环境要素发展而来，这里的一个重要变化是突出了文化在风险管理中的重要性及其对其他要素的影响；战略和目标设定要素在原有的目标制定要素基础之上，提升和扩展了风险管理对战略层面的作用，强调风险管理与战略和组织目标之间的关系；执行要素是对原来三个要素(事项识别、风险评估、风险反应)的整合，并剔除控制活动要素，由此可见，将与控制有关的内容留给内部控制框架，使得风险管理框架和内部控制框架原本模糊的界限得以澄清，两个框架各司其职，侧重点有所不同；审阅与修订要素在原来的监控要素基础之上，强调了风险管理改进；信息沟通与报告要素是对原来的信息和沟通要素的深化，通过信息获取、沟通交流、报告传递，是使风险管理成为一个动态、系统框架的前提(如表3所示)。

表3 COSO-ERM-2017企业风险管理框架的要素和原则

在框架结构方面，COSO-ERM-2017告别了COSO-ERM-2004的立方体框架，而是将五要素整合成为螺旋式的结构(如图1所示)，使风险管理融合于管理工作的全方位、全过程，与组织的文化、能力、实践融为一体。从图1可以看出，这种螺旋式的框架突出了风险管理在企业管理过程中的定位，企业风险管理工作的重心不再是防止损害企业价值的事件发生或者把风险降低到可接受范围内，而是把风险管理视为在战略制定、创造、保持和实现价值时不可或缺的重要组成部分。企业风险管理不是企业高层或者单独的风险管理部门的工作，而是把每一个人都视为风险管理者，并主动进行风险管理。企业风险管理不再是一项额外的工作，而是融入到企业的所有业务流程中去，从制定战略、到规划商业目标、再到达成绩效，并最终实现价值的创造。所以，企业风险管理以一种动态的、螺旋式的方式，融入于组织管理活动和核心价值链之中。这个框架带给我们很大的启示，它描述了如何将一项职能整合融入主体的其他正在运行的业务活动中去的方法，这给企业带来一种全新的管理思路。

注：五条螺旋上的数字分别代表：1表示治理和文化；2表示战略和目标设定；3表示执行；4表示审阅与修订；5表示信息、沟通与报告。

二、风险管理的新思维

(一)无为而治：去风险化的新思维

在全新的思维模式下，风险管理融合到组织运营的各个方面，更新后的《企业风险管理——与战略和绩效的整合》(COSO-ERM-2017)中五大要素在名称上去掉“风险”二字，这一变化体现了对企业风险管理工作重新定位，风险管理不再是一个附加的或者独立的活动或者过程，而是抛弃自我真正融入战略和绩效管理的工作中去，在战略制定、商业目标设置和业绩实践的方方面面，通过组织运营、绩效管理以及价值创造、实现和维持的方式来体现出企业风险管理的重要性和作用。以这种去风险化的思维进行风险管理的做法可谓是化有形为无形，恰是遵循客观规律而为之的体现，与《道德经》中“无为而治”的思想不谋而合。

(二)水乳交融：将风险管理融合于企业战略和绩效之中

更新后的《企业风险管理——与战略和绩效的整合》(COSO-ERM-2017)强调了在战略制定和绩效执行的过程中，考虑风险的重要性。充分考虑风险管理与其他管理工作的关系，颠覆以往那种为了风险管理而进行风险管理的思维模式，注重将风险管理融入到现有的管理活动中。通过深入了解风险管理在战略制定和执行中的作用，增强组织绩效与企业风险管理之间的一致性，以满足对治理和监督的需求。这需要从企业使命、愿景和核心价值出发，将风险管理定位为提升企业的价值，强调嵌入企业管理业务活动和核心价值链，满足企业更高层次的需求。

(三)各司其职：厘清风险管理与内部控制的关系

为了解决1992年颁布的《内部控制整合框架》中过分注重财务报告，而忽略了从全局和战略的高度来关注企业风险的问题，2004年COSO委员会颁布《企业风险管理——整合框架》(COSO-ERM-2004)，顺应了内部控制与企业风险管理相结合的需要。但是，这两个框架在要素上非常接近，内容上高度重合，使得风险管理和内部控制界线模糊不清，关系尚未理顺，职能交叉重叠，因此，在实施过程中形成很多困惑，协调成本高，造成资源的浪费。

《内部控制整合框架》适用于设计、执行、评价内部控制效力，并提出相关报告，主要解决主体的运营和对于相关法律法规的遵从性上[7]。更新后的《企业风险管理——与战略和绩效的整合》(COSO-ERM-2017)则着眼于内部控制以外的必要领域，并将内部控制视为风险管理工作的一个基本方面。COSO-ERM-2017以企业使命、愿景和核心价值为起点，将风险管理融入到企业管理业务活动和核心价值链，以达到提高组织价值的目标。COSO-ERM-2017的颁布解决了长期以来风险管理和内部控制界限模糊不清的问题，厘清了风险管理和内部控制之间的关系，两者侧重点各不相同，互为补充，互不替代。

三、我国商业银行风险管理现状与问题

(一)《巴塞尔协议》与我国商业银行风险管理

《巴塞尔协议》对我国商业银行风险管理的发展历程有很大影响[8]。20世纪90年代以前，我国商业银行风险管理主要是被动式管理。自1988年我国引入《巴塞尔协议》并陆续出台一系列银行风险管理的相关制度和举措，风险管理的理念逐渐被接受。商业银行开始主动建立专门的风险管理部门，同时也制定了很多风险管理的相关原则、制度办法以提高商业银行的风险管理水平。信贷风险的管理成为这一时期风险管理工作的主要内容。2009年，我国正式加入巴塞尔银行监管委员会(Basel Committee on Banking Supervision，简称巴塞尔委员会)，我国商业银行进入到主动研究《巴塞尔协议》的改进和推动《巴塞尔协议》在中国应用的新阶段。我国商业银行借鉴国际风险管理的先进经验，推行覆盖信用风险、市场风险、操作风险的全面风险管理模式[9]。

(二)我国商业银行风险管理的现状

1. 风险管理复杂性程度的提高与风险管理理念相对滞后之间的矛盾

随着复杂多变的外部环境和日新月异的技术革新，新的风险不断出现，商业银行风险管理的复杂性程度也随之升级，理念上的革新才能带来适应商业银行发展需要的科学的管理模式。在风险管理的意识和理念方面，我国相对滞后甚至有所偏差，常常把风险管理工作视为一项独立的任务，认为风险管理阻碍了追求眼前的业绩，因此想方设法规避监管要求。在风险管理参与范围方面，认为风险管理只是高层管理人员或者监督部门的工作范畴，全员参与风险管理的意识薄弱，对于风险管理的重要性认识不足，对风险管理的执行力不够。

2. 银行业务不断创新的强烈内在需求与管理流程不完善之间的矛盾

随着大数据、智能化、移动化、云计算等新技术的快速进阶，商业银行面临拥抱金融科技的时代需求，对我国商业银行的金融创新提出新方向、新焦点、新思路。但由于商业银行在风险管理流程上的不完善决定了其发展受到一定程度的制约。在风险管理的执行层面上，我国商业银行在风险策略、风险识别、风险评估、风险应对以及风险管理评价、审阅和改进方面尚未形成完整的风险管理流程体系[10]，风险管理在战略上缺乏整体性、系统性、全局性、主动性，不同类型的风险管理之间缺乏联动性，前、中、后台的部门和人员之间仍然存在信息孤岛，信息的利用与沟通尚未得到有效的保障。

3. 资本需求的迫切性与资本供给的不可持续性之间的矛盾

经济的发展推高了商业银行信贷的增长，资本需要补充，在日趋严格的资本监管约束下，商业银行的资本补充需求越发迫切。然而，目前的资本充足率情况是由于前几年资产剥离和高利差的环境而得以维持，再加上长期以来我国商业银行的融资渠道主要依赖于增发和发债等外源性融资，随着利率市场化进程的加快、存贷利差的收窄，以往的融资来源难以长期持续。资本补充需求的迫切性与融资渠道的不可持续性之间的矛盾，必然影响未来的资本充足率的稳定性[11]。

四、我国商业银行风险管理新框架

商业银行在追求目标的过程中每一个选择都存在风险，在制定和执行战略、业绩管理时，有效的风险管理有助于商业银行从更大的范围中选择机会，增加积极效应并减少负面效应发生的可能性，完善资源配置，优化结果。

COSO-ERM-2017提供的企业风险管理框架给商业银行管理带来了很多的启示。首先，对于风险定义中可能性理解由单一关注负面影响的可能性拓展为负面影响和正面影响兼顾，体现了混沌理论的“随机结果”的思想。其次，以螺旋式的结构将风险管理要素链接起来，动态展示风险管理与战略和绩效之间的关系，体现了复杂系统理论中分析事物时使用非线性结构思维替代简单的两元结构思维。西方科学的方法和前沿的思维，值得我们认真探究。

如果用更加符合中国人思维习惯的表述来阐述同样的道理，应该会更有利于使用者的理解和新框架的传播。本文尝试用中国传统文化的哲学思想重新诠释COSO-ERM-2017企业风险管理的新思维(如图2所示)，这不仅是对中国传统文化的继承与发展，也是基于“中魂西制”对于COSO-ERM-2017在中国情境下在商业银行应用路径的新探索。

——追求圆满，善始善终。太极图的外形是圆，意为圆满。要做到善始善终，唯有因上努力、果上随缘，就是我们常说的只问耕耘、不问收获。把这种思维应用到风险管理，那就是重视风险管理的过程，淡化风险管理的结果。

——无为而治，制衡变通。太极运用浑沌哲学的观念看待万事万物的现象和本质，这种看似混沌的思维方式，实则包涵着清醒睿智的哲思，顺应大道至德和自然规律，不为外物所拘，无为而无不为，最终到达一种无所不容的和谐境界。体现到风险管理，那就是不是为了风险管理而进行风险管理，而是以一种去边界化的态度对待风险管理，将风险管理真正融入到企业战略和业绩[12]。风险管理和战略与业绩之间的关系是“你中有我，我中有你”，最终达到企业这个生命统一体价值的提升，也就是将这个圆画得更大。

伴随着世界经济与日俱增的的波动性和模糊性，商业银行对内面临金融创新的内在需求，对外面对趋于严苛的风险监管和激烈的行业竞争，简单的线性思维已经无法满足商业银行风险管理的复杂性程度。商业银行作为组织是一个有机的整体，在形成战略和提升绩效的过程中实施商业银行风险管理有赖于多方面要素的相互作用、相互关联，从商业银行全局视角把握银行的整体状况，并对风险管理的各要素进行深入的分析，研究五要素在动态过程中的相互关系，并在此基础之上，以要素为出发点，每一项要素与企业管理之间相生相克，呈现出动态演化的超循环系统(如图3所示)。

具体来说，首先，商业银行风险管理的五要素之间存在“治理和文化—战略和目标设定—执行—审阅与修订—信息、沟通与报告—治理和文化”依次出现、循环往复，并呈现出相互促进的关系，这是一种“相生”的关系[13]，在图3中呈现为外圆的实线单箭头；除此以外，五要素之间还存在相互制约、支持和耦合的关联关系[14]，在图3中以内部的虚线双箭头来表示。其次，从每一项要素本身出发，每一要素与商业银行的战略与绩效之间存在一种“你中有我，我中有你”的博弈力量抗衡，这是一种“相克”的关系，在图3中呈现为5个太极圆。因此，企业风险管理，不可割裂地看待某一个风险管理要素而切断其与风险管理要素之间的联系，更不能将风险管理孤立于企业管理的其他活动之外，而是应该将组织本身视为一个生命统一体，彻底摆脱头痛医头，脚痛医脚的片面视角，企业风险管理绝不是为了管理而管理，而是服务于企业这个生命统一体本身，这样才能真正发挥风险管理的作用。

五、结论及展望

本文从COSO委员会2017年9月6日发布第二版《企业风险管理——与战略和绩效的整合》出发，通过比较分析了全新的风险和风险管理概念，尤其是该规范提出的新的风险管理框架。该框架首次提出将风险管理与战略和绩效相融合，并以一种螺旋式的结构展现风险管理与企业其他活动的动态融合过程，它描述了如何将一项职能整合融入主体的其他正在运行的业务活动中去的方法，这个框架诠释了一种全新的管理思路，值得在我国的企业管理中借鉴、吸收并创新。本文基于“中魂西制”，尝试用中国传统文化的哲学思想重新诠释COSO企业风险管理框架的新思维，并尝试构建适合我国商业银行风险管理的新框架。用太极图形重新表述风险管理与战略和绩效相融合的关系，更加直观地体现了你中有我，我中有你相互制衡的无为而治的思想。风险管理的五要素之间既有依次出现、循环往复，呈现出互促进的关系，又存在相互制约、支持和耦合的关联关系，每一要素和战略与绩效之间存在融合与制衡的关系，这一系列的复杂关系类似于五行中的“生克关系”。商业银行是经营风险的企业，银行业的风险过高已经成为不争的事实，所以，风险管理对于商业银行来说尤为重要，本文探索风险管理五要素与战略和绩效融合新框架在我国商业银行的应用路径。本文所提出的商业银行风险管理与战略和绩效融合的新框架在理论上是可行的，实际的成效有赖于实践应用的验证和理论研究的进一步完善。后续研究可以通过实证来进一步检验新框架下风险管理的有效性，以及尝试从更为细分的层面或者他维度来探讨这一问题。