风险管理模式对企业的影响及启示

蒋昆伯

一、引言

刘晓川（2014）提出企业在设计和实施ERM系统时，往往会存在很大的差异，有些企业会建立先进的、完整的ERM系统，而另一些企业只会对一些特定的、明显的风险进行防范。[1]可以说，中兴通讯的风险管理模式便是后者。随着金融环境的不断变更，国际经济的交融程度加深，非全面风险管理模式已经不适应于新的金融环境。

保罗？霍普金（Paul Hopkin）在《风险管理》（Fundamentals of risk management）中提到风险管理的新趋势：国际管理标准ISO31000的出台，对于风险管理人员来说，是一个重要的进步——加强了公司管理守则，也增强了许多国家的风险管理实践。其中“管理、风险和合规”（简称GRC）的出现意味着风险管理活动结构中的一大主要进步。GRC的出现，使机构能够更好地实施风险管理。

本文通过中兴通讯的风险管理案例进而分析中兴风险管理模式的不足，进而分析风险管理模式的改革措施以及新型风险管理模式的可行性。本文首先分析中兴风险管理的可改进之处，之后通过分析新型风险管理模式的特点和运用来对比现在的风险管理模式。文章再着重分析中兴以及其他国内企业应用新型风险管理模式在实际运营方面的具体改变。最后从企业、社会、国家角度提出针对性建议。

二、案例概况

（一）中兴通讯简介

中兴通讯股份有限公司（000063），简称中兴通讯（ZTE），成立于1985年。其1997年在深交所A股上市，2004年在港交所H股上市。中兴全球员工人数截至目前已达8万多人。中兴通讯是我国通信行业的领头羊，是国家 863 高科技成果转化基地与技术创新试点企业，是承担国家“863”项目的重点企业。中兴通讯还是全球领先的综合通信解决方案提供商，中国最大的通信设备上市公司，全球第四大手机生产制造商。

（二）“中兴事件”过程描述

2011年，中兴通讯于向伊朗倒卖了价值1.3亿美元的大量美国禁运的IT软硬件以及软件技术。

2012年，中兴通讯违规交易暴露，中兴通讯的资产收益率从2011年的8.71%直线下降至-12.42%。

2015年，美国就此正式起诉中兴，但中兴高管拒绝出庭。

2016年3月，美国对中兴进行技术管制，该年净资产收益率也从2015年的11.76%直接降至负数。

2017年3月，中兴通讯违反了美国的出口禁令，交付罚款总额近1.2亿美元。

2018年4月，美国对中兴执行贸易禁令。中兴于4月16日停牌，停牌时的股价为 31.20 元。中兴通讯在一天之内市值蒸发160亿元。中兴通讯的H股，开盘暴跌37.5%，收跌41.41%。

截止至2018年6月底，中兴的财务报表披露显示中兴的净资产收益率以跌至历史新低-20.67%。

2018年6月，中兴复盘。中兴通讯向美方交付10亿美元罚款，4亿美元托管金，另外董事会及管理层全面改组，接受美国严格监管。

2018年上半年，中兴通讯上半年营收394. 34 亿元，同比下滑26.99%，实现归属于上市公司普通股股东的净亏损78. 24 亿元，去年同期净利润22. 93 亿元。8月28日，中兴通讯已恢复正常生产产能。

三、风险管理模式探究

（一）中兴的风险管理模式分析

中兴通讯具有相对完善的内控管理体制（传统COSO模式）。其风险管理模式也是由COSO内控体系引申出的风管框架，但中兴所采用的是非全面风险管理体系，这种体系可以应对部分的企业环境变更的风险即低等风险和中等风险。

非全面风险管理模式具有以下特点：风险控制方面包含得较为全面，但只着重于短期内大概率发生的风险，对于长期和小概率事件没有很完善的識别和应对。

非全面的风险管理模式在一定程度上增加了企业经营的魄力，在没有准确预测风险的状况下，任何决策都能得以被执行。且低等风险和中等风险几乎都能够被妥善解决，例如2012年中兴的巨额亏损，在2013年便迅速重回正轨。可见中兴通讯在发展过程中也得以受益，因此虽有过风控改革但是仍旧没有脱离原风险管理模式。由此我们可以看出，这种模式虽然一定程度上增加了企业的运营自由度，但是存在风险管理失效的可能性。

（二）新型风险管理模式

非全面风险管理的弊端已存在多年，而若要变革，就不仅仅是部分变革，必然是制度变革而且是深化变革。由此可以提出新型风险管理模式——通过ERM全面风险管理体系结合GRC风险管理模式，以达到保证传统风险管理模式的优点不变的情况下，改进其短板。

赵来朋（2015）提出从内部控制和风险管理理论的发展和社会实践来看，风险管理是在内部控制基础上发展起来的。[2]现代风险管理涵盖内部控制的内容，是内部控制的继承、拓展和延伸，内部控制是企业风险管理不可分割的一部分，随着社会的实践发展内部控制与风险管理走向相互融合的趋势。

ERM框架便是从COSO内控模式中分离出来具体实施风险管理的方式。ERM框架认为内部控制环境最基本、最主要的就是管理者及所有执行者对内部控制的态度及其胜任能力，同时企业的诚信和道德价值观，对内控体系的有效性具有重要作用。

而GRC风险管理系侧重于管控、风险和合规的一种管理模式，是在企业的各经营业务之上，以战略为中心，以流程管理为基础，通过绩效管理和风险内控管理措施，对各项经营管理过程进行管理和控制，保障战略和经营目标达成的管理方法和工具的总称。

结合此次中兴事件，笔者认为ERM框架是内部改革，而GRC体系则是针对外部视角的改革，要革除风险管理问题则需要内外兼修。

由此，笔者拟结合ERM风险管理框架和GRC风险管理模型提炼出一种新的风险管理模式。结合两者的优势，并补充两种方式的缺陷。以此推出适应于当下经济环境的风险管理模式。

ERM框架概述

COSO在2004年发布了《企业风险管理-整合框架》，其中包括了四个目标、八个要素和四个层级。这便是传统的COSO模型，至今仍被许多企业沿用。而COSO在2016年底通过向社会各界征求意见，进而发布了《企业风险管理-通过策略与绩效调整风险》 的ERM框架修正草案，又在2017年对新修订的ERM框架进行了完善和调整，采用了“构成要素+原则”的结构模式来编写，简化了企业风险管理的概念；强调了风险和价值之间的相关性；对企业风险管理的重新审核；确立了文化对于风险管理的重要性；提升了战略所占比；协同效应的增强，决策的制定和执行更加明确。

对比2004年和2017年两版的COSO模型可以看出，2017年新修正的版本不仅承接了传统版本的管理体系和基本框架，而且对各个部分进行了总结升华。新修订版的ERM模型主要包括：

三个目标：使命；愿景；核心价值观战略与企业目标，提髙绩效；

五个要素：风险治理结构和文化；风险、策略与目标制定；执行中的风险；风险信息沟通和报告；监测全面风险管理的绩效表现；

对比2004版的“监控”，2017版的“检测全面风险管理的绩效表现”则特地指出了需要监控重大改变、监督企业全面风险管理。这也体现了ERM全面风险管理是目前绝大部分企业所需的，但我国大部分企业，包括中兴通讯还在沿用传统的COSO中的非全面风险管理，因此这一方面是需要关注的。

张琴等（2009）指出ERM 框架应该是从全局高度制定的战略目标和风险偏好指导、各种策略和配套设施支持下的连续风险管理过程。[3]

ERM框架中具体包括了策略、过程、目标和配套设施。ERM框架中不仅要执行风险监控还要对风险进行利用并持续跟踪其绩效表现以实现真正的风险管理。这体现了双侧风险观，在考虑规避风险的同时还应该考虑如何利用风险。而ERM框架中，策略、目标、配套设施都是根据企业的整体战略来布局，所以更该关注相对灵活的过程。一个完整的ERM过程应该根据企业的战略目标来制定，应该包括风险评估和评价、风险报告、风险处理、风险处理结果报告和风险管理效果监控。

ERM全面风险管理强调了事前事中和事后的全面风险管控，不仅在风险识别环节报告，在风险的处理结果环节也要求报告，这大大提高了企业运作的安全性，能有效地规避风险。在新ERM框架下，企业内部控制可能会更有序。

GRC理念概述

GRC管理理念是由SPA公司提出的内控管理理念。主要包括公司治理（Governance）、风险（Risk）和合规（Compliance）管理，包含建立公司治理结构， 按照法规影响设计公司的流程， 对企业风险进行评估同时设计并实施内部控制系统， 并在此指导下监督并改进内部控制系统的有效性。识别并设计受法规影响的流程、识别即评估风险、涉及实施内部控制系统、监督并改进内部控制系统的有效性等工作。总体上而言，GRC管理理念是以公司治理、风险控制和合规为核心， 在此过程中传递各类内部控制的信息给管理层和决策层， 同时为此提供流程支持， 从而更好地达成良好的管理效果和决策品质。

张巧良等（2008）调查中显示有效的 GRC包含 8 个要素：（1）企业及组织架构 ，包括操守准则 ；（2）政策及程序 ；（3）循规管理及操守培训；（4）预期的行为模式；（5）持续改善流程；（6）实时汇报 ；（7）监察/衡量 GRC 绩效；（8）准确、及时、完整、连的信息。[4] GRC的整合，是公司治理、风险管理和遵循管理的整合，是指在监控风险管理和战略实施过程中， 就对法律 、法规以及组织内部规章制度和程序的遵守而言， 組织的实践及组织中的董事会、高层管理者 、中层管理者及组织的其他部分所扮演的角色和发挥的作用。贯穿 GRC 的整合始终的一个重要思想是追求诚信驱动的绩效。

吕翊等（2016）指出GRC管理理念有四大能力，分别是洞察能力、对齐能力、执行能力和优化能力。[5]在GRC理论下，公司治理，风险和合规三者呈现出了融合态势，协同达成“有原则的绩效目标”。

综上，笔者提出的新型风险管理模式即以ERM模型为基准结合GRC管理理念中的“合规性”，以达到内部管理得当，外部经营活动稳定的目的。在ERM模型的事前事中事后三阶段风险控制的基础上加入合规性可以大大提高企业的经营安全性，以达到规避风险、利用风险的效果。

四、新型风险管里模式可行性—以中兴通讯为例

（一） 新型风险管理模式与中兴通讯的相容性

中兴通讯采用的是传统的COSO模型，风险管理模式也是非全面风险管理，这也是目前我国大多企业在沿用的管理模型。在COSO模型下，中兴通讯的人事结构由股东大会、董事会、其他权限下属部门构成。是经典的COSO模型下的人事结构。

这样的结构确保了各职位可以各司其职，管理相对高效。但也存在一定弊端，即管理层的滥权问题。COSO更注重运用原则导向与会计准则的规则导向有冲突的地方，若仅仅使用 COSO 框架的原则，可能会导致管理层滥用自由裁量权。例如此次的中兴事件，违规出口如此的高风险的计划能在短时间内通过并执行，必然有管理层滥权的原因。因此如何建立原则导向为主、规则导向为辅的新模式，是当下需要解决的一个问题。将GRC中的“合规性”归为企业经营原则，以合规性为原则导向。以合理的公司条例为规则导向。在企业内部，员工遵循公司条例，确保内控执行者有胜任能力和端正态度，以最大化企业绩效。在企业外部，经营遵循贸易准则，融入国际金融环境以规避类似中兴此次违规交易的风险。

以下为建立新風险管理模式的思路：

①新风险管理模式需要适应当下的国际金融环境，也要结合我国的国情和企业环境做出改变。由此，新型风管模式仍选择以目前权威且企业广泛运用的COSO内部控制模型为基础，但选择采用2017版COSO-ERM模型。

②COSO模式下的原则导向驱动企业政策的基础上加入GRC理念为规则导向。以“合规性”为原则，内部以公司管理条例和企业绩效为规则，外部以贸易准则为规则。双重合规下，进行风险管理。首要考虑合规性其次考虑企业绩效。

③打破部门壁垒，构建全方位风险监管系统，实现实时监控风险。

④顺应时代发展，加速技术结合风险管理。

关于ERM模型的可行性已有许多研究文献，刘晓川（2014）等将ERM框架影响因素分为外部影响、企业特征和公司治理结构。[1]而据成小平等（2016）研究，对ERM框架实施具有显著影响的因素有企业规模、无形资产占比、产权性质以及审计质量。[6]此外刘晓川（2014）还提出ERM实施效果与企业规模呈正相关但和管理层权力集中程度呈负相关。[1]ERM框架虽科学但是管理者无法从实施ERM框架中获取利益，而且因为ERM的实施会使管理层受到更多的监管与约束。因此大部分企业管理者对实施ERM框架表现出消极态度。

中兴通讯是“千亿俱乐部”企业之一，其规模不言而喻，且因为规模庞大处于国际金融环境的前沿，所以相对的环境的不可预见性更大，企业所面临的风险也会更多，所以一个有效的ERM框架于中兴通讯的角度来看是必要的。但是中兴的管理层权力十分集中，且决策者并不是责任承担者或只承担小部分责任。所以要进行风险管理模式的革新首先要开拓管理层的视野，不再谋求个人利益而更注重企业绩效。因此可以在人事结构方面进行改进。

这样能着重审计质量和风险监控，将各种风险进行分类，并由不同部门负责风险管理，以达到风险管控力度最大化。并将GRC理念融入ERM框架中，即在风险管控过程中设立自愿性界限——管理层对公众的承诺、社会职责和企业价值，并遵循强制性界限——外部强制力，如：法律法规；政府管制；国际贸易准则等。将公司治理以及合规性合并入风险管理中，由风险管理委员会一并负责，而非分部门负责。这样可以达到扩大权力下放程度的目的，避免管理层的权力过度集中 。

实施效果方面，中兴所面对的不仅是国内市场还有广阔的国际市场，经济情况更为复杂，所面对的风险也具有不可预见性。这也使得中兴需要一个完整且高效的风险管理体系。再者中兴的规模十分庞大，资源充沛，企业的规模与ERM框架实施效果成正相关关系，所以以ERM框架为基础的新型风险管理框架在中兴执行也会行之有效。其次中兴的公司管理结构也大致符合ERM框架的人事结构，在这样的结构下已经累积了一定经验。所以中兴通讯在客观预期效果来看是适合进行新型风险管理模式改革的。

实施条件方面，首先需要全面的目标评价体系。新型风管模式以股东价值为导向，因此股东价值的多维性就决定了新型风险管理模式是多目标多角度活动。要实现多目标的风险管理就要具体量化企业的各个目标，在实施的各个阶段进行评价以确保风管模式的正确运行。形成全面的目标评价体系有助于在不同阶段采取不同措施，以满足股东价值在不同阶段的取向，还能适时依据环境来制定或调整策略。其次需要多种管理机制相互协调运作，新型风管框架的实施要求有一个独立于其他部门之外的风险管理机构，机构下分成负责不同种类风险的部门来确保风险是整合管理且是分类制定措施。不同部门之间有一定独立性但要进行即时的风险信息沟通，这就需要多种管理机制协调作用。企业的公司治理、内控、部门管理、资源利用、权益管理等都要有严格要求。再者要求经验结合实际，新型风险管理模式结合了ERM框架和GRC理念，以ERM框架为风险的攻击性武器，把风险管理整合到公司的业务流程中，通过支持和影响定价、资源配置以及其他业务决策来优化企业绩效。再以GRC理念构建风险防御措施，以合规性为前提根据企业的战略目标和风险类型进行经营取舍来达到风险规避乃至风险利用的目的。因此要求企业有丰富的经营经验和理论储备来与实际所处金融环境制定对应策略。结合中兴通讯分析，中兴内控混乱在18年贸易风波中被暴露出来，其内部的目标评价体系尚不明确，依违规与伊朗交易的行为可以得知中兴内部的目标评价系统只有完成交易这一个长期目标而没有短期目标，且以贸易结果来看，评价系统并没有让中兴即时止损。因此需要构建阶段性的能正确分析的目标评价体系。而中兴的风险管理模式也需要进行改革，此次风波中暴露出了中兴的风险管理部门之间没有良好的沟通，即“盲人摸象”式风管，没有即时识别违规风险对企业所造成的影响，不仅仅是经济层面的影响也提高了中兴的声誉风险。所以中兴应摒弃竖井式风险管理模式，进而采用风险整合管理。

实施成本方面，新型风险管理模式以ERM为基础，其能够构建的前提是在ERM完全实施的情况下。而ERM框架要求设立独立的风险管理部门，还要求对职工和相关人员进行风险知识的普及。所以实施成本就包括了直接成本和人工成本，其中直接成本包括培训费用、风险部门所产生的费用和为金融风险准备的资金。人工成本包括风险部门人员和因ERM框架特设部门的人员的工资。同理GRC理念下，同样需要资金成本。且由于风管模式的切换，企业在适应过程中也会产生一定费用。这表明构建新风管模型占用了本可以再投资的资金 ， 因此风险管理产生了成本 ， 减少了潜在的企业增长率。但资金的付出也会有所收益，根据财务学理论，风险管理有助于减少企业面临倒闭的财务危机成本，企业金融成本，代理成本，企业税收等。新型风险管理模式需要中兴投入大量资金来构建且成效并不会迅速呈现，还需要与企业有一定的适应期和磨合期。以实施成本的角度来看，资金的投入值得与否取决于中兴管理层的态度。

（二）中興通讯的优势

在技术方面，中兴通讯作为我国顶尖的高新企业，具有显著的技术优势。中兴通讯作为全新技术研究试点企业国家863计划技术成果转化基地，担负着三十个863计划重大课题，是在通讯设备方面我国承担863计划课题最多的企业之一。且中兴通讯不仅在中国大陆，还在北美，南亚以及北欧都拥有属于自己的研究中心，约有十八所，共计约三万名科研人才为中兴的产品创新研发而工作。在2012年以前，据世界知识产权组织的公告显示，中兴通讯以2309项专利成为全球申请PCT专利总量第二的企业。同时也在2011年和2012年蝉联“PCT专利申请全球第一”。而在经历了中兴案后的中兴通讯，虽然苟延残喘，但是拥有深厚底蕴的中兴通讯在2018年依然以1801件PCT专利申请数量位居全国第二。

由此看来，即使是遭遇美国政府制裁后的中兴通讯，依然是一个高新技术产业发达的企业。所以，中兴在实施新型风管模型方面，将风管与技术结合的方案是可行且便于实行的。

在市场方面，中兴通讯是国内主要的通信设备供应商，这是经过多次战略调整，经历市场考验得来的市场地位。除开庞大的国内市场，中兴通讯对海外市场的开拓也是独树一帜的。据统计，中兴通讯的通讯服务遍布全球接近150个国家和地区的多家运营商。除了技术上的显著优势，这庞大的市场规模对中兴实施新型风管模型会起到助力作用，且因中兴占据了多方市场，就更需要注重风险管理，因此新型风管模型与中兴通讯来说是相互需求的关系。

在管理层视角方面，中兴1985年就在深圳成立，1997年就已成功上市，目前已是全球第四大手机生产制造商。可以看出中兴不论是经营经验还是经营理念都具有优越性，也代表中兴的管理层具有卓越的发展眼光和敏锐的经济洞察力。而从2018贸易风波来看，中兴在受到制裁后也即时做出了人事变动，董事会全面改组，新鲜血液也更能接受新鲜事物，因此中兴通讯的风管模式改革受到来自管理层方面的阻力会相对较小。

五、案例启示及建议

（一）中兴应用前景分析

综上，由实施成本方面、实施效果预测方面、实施受阻可能性方面，中兴通讯均具有较为优越的实施条件，初期在适应新型风险管理模式时或许效果会有所削弱，但随时间长期发展，从长远角度看来，中兴通讯如若实施该风险管理模式，在GRC理念下，企业内部控制可以形成可靠闭环，而ERM模型可以帮助中兴通讯即时评估潜在风险，以及时制定并执行应对措施，诸如此次贸易战中的芯片受制，如果能提早预测该一风险，提前提高研发成本便不至于受美方制裁后生产链直接停供。但如今中兴通讯内部有美方人员监督，在具体实施条件看来，或许还需要进一步评估和完善。因此，中兴通讯对该模式的应用前景，效果上相对可观，但从实施前提来说，如何与美方监督人员协商是根本问题。

（二）对其他企业的启示

在中兴通讯如此企业体量下，实施GRC理念与ERM模型结合的新型风险控制模型成本属于可控范围，并且实施效果可以明显减少风险可能造成的损失。因此，在自评与中兴通讯体量相近的企业中，可以适当应用该模型以改善可能存在的内控漏洞。但相对与中兴，体量较小的企业，在引入该模型时需要考虑实施成本问题，由于内控模型的更改还需要考虑企业初期适应的问题，在实施过程中，可能还需要专业人员进行指导，增加人工成本。因此，如若引用该模型可以考虑仅引入GRC理念结合企业本身存在的内控体系，得以部分改善，如果能在企业内部形成内控闭环，在抵御风险层面上，也能较好地得到提高。但如果经权衡后实施该模式减少的可能损失大于收益，仍可以考虑全面引入，降低风险。本次中兴事件也为我国企业敲响了政治风险的警钟，如何做到尽量避免政治风险进行企业运营或成当下国内企业的新课题。

（三）国家政策方面的启示

由此次中兴被制裁事件可以看出，国内企业的内控环境相较西方而言还有许多需要改进的地方。诸如此次的芯片科技受制，当企业的主要盈利科技手段受制于人时，企业不可能独善其身，而由此可知，国家应制定相应政策督促企业完善自身的内部控制体系，以尽可能实现国内企业的健康营运环境。其次，还需要考虑政策鼓励国内企业自主创新，国家可以发放补贴或适当降税的方式刺激企业自主研发芯片等关键技术，避免被他国扼住咽喉的情况再次发生。

参考文献：

[1]刘晓川，刘红霞.中国企业实施全面风险管理（ERM）影响因素研究[J].湖南师范大学社会科学学报.2014（3）：85-92.

[2]赵来朋.关于企业管理与内部控制的研究[J].财会之窗，2015（8）：237-239.

[3]张琴，陈柳钦.企业全面风险管理（ERM）理论梳理和框架构建[J].当代经济管理.2009（7）：25-32.

[4]张巧良 ，宋颖超 ，李艳.基于GRC 整合视角的企业综合防御系统框架的构建[J].南京审计学院学报.2008（5）：33-36.

[5]吕翊，黄海峰.GRC四大能力分析[J].中国管理信息化.2016（12）：33-34.

[6]成小平，庞守林，高磊.基于 Logistic模型的全面风险管理影响因素分析[J]. ACADEMIC RESEARCH.2016（1）：43-49.

[7]张新斌.基于GRC理念的企业信息化管理平台建设实例[J].探索？实践.2014（14）：142-144.