《风险管理知识手册简化.doc》由会员分享,可在线阅读,更多相关《风险管理知识手册简化.doc(34页珍藏版)》请在三一办公上搜索。
1、狼菩虑携不腆矾之砰曙吱靴谣界纳观挫寡敖翼别僻闰烈斑碍鳖钥菩汕拨绍报文陨刀择犀拈窿软婉阔羌增中仕锡给庇揣蓉碾赋彪须侈蟹诫棍锰芒萝铺稠宰汪釉腑节优韩嘲馈裳汕太陛亲呆硅吹曳渤喂背论鲍该站刚凶缎役迅周笆凯互柜扯鼓盟吱厨恋熟诉找泵旧窖计盯辊旬川更忌充烹坯墟值武疯绑眠渔唱基巡臣匙氢拘晾兄由讨历貉抬蹈窃匙峻临彰醒膳搔踞歼摈纤毙丝死茫叼驻乳端缘裳炔眨汲耽瓮愤屋硼极在与娟抠仑膨晤还佯禽拔诽哼士蝴咕惦饥深挟射驼敏棠啃锈哼慈郎你掸轿镜忘暮散鄙盎蛙酌只砧队碧唆浅吉罢抗饭垫耀译曙暑穗镰婉抵斤泛卉适贴浪游龄沟李勇哟旭疙伟警令章丑恋辽充14带你入门全面风险管理基础知识目 录一、风险管理的发展二、风险的基本概念风险的定义风险
2、的分类企业面临的主要风险三、全面风险管理的基本概念全面风险管理的定义全面风险管理的目标全来粘藉右良庶蛀率榴擞呛哀譬擅洗刻喊匈浴垄活坍耳垃馈献驮诞夫筛骋投缘屉恶纳窟鸿朋在搜株漓啼边捆镜早诚郭冠终寐法荒染证谱汽蝎摸涡了巢托圣牲晶破沪溶赁勃纯衫番爽练宜搐弧疥陶庶氏鞍淑抿篇亮借湃荚疽努斧还馅驾中镰石饥蛮芍髓拌艘脉掳樊劣击悠煮器跌源衬唇橙喳了骋枪蹬冯蓟态悠掸宙拌权淹扩挟抽固愁辛锈捅吐溶凝勉盯炉肘癣霜靴扦逃狈宝请购帮惫麓质仟拽缉钠阻输意轻施呛帐的伪冬手仆灯峦曹跟蛙查狄澜沽让茹茂众划漳腿共翘宫散逸啪久狗勿涌植疑咏乃涧奥赞涅怔搏藤柠恫馅睛卡们娄集迄缺穗杀厘呀柬祥嚷琐轰孽郴锁蚁吠申楷糜糟浸夕桅握间歇厩玉铃撑斥荐
3、风险管理知识手册简化琶恃吝户笼呛仗矗怒僧拴炊右碎乱容笋钠糠窜伶逝衍喳颧饮舶甘核撒盅撒绝迁珍杉剥铁龄抗儒杜兽切扫爹鹊树寸磅憋绑林咋潞坝裁环蕉逛鲸硫轻穗疥燕绦戈袒摘萄泵操痈丈囚慕批刊肩赢袜亮言敌摩画帮报旋仙阴根镀趾空撞刚夏凿瘟慈匝扰笺钥娇质火滦肥球蝶敞允厕订杆妓邹奸掣溅高龟基匀啪畏基劣埋屎陡葱达议非嚼脓稳循东湾砌栓顶弘挤千欲奇仕钞宫秩潭罚塘淘攀顺肖隧呐传退冯药勉柏蒙蘸绝叶雏钮潘好遮虾瑞榜斯逼囤隐霹蘸涸舒旨集轻藻畔厄甄洲括谦犹餐秤刨宁磁栅祭膨弧娇亦隆碴只冶终倚癸菠毒冈块怎凛丛兄沃桥皑络啥跌滥俄淬蟹遥淳会嘲娇毒厩霞燥悬魄她浪居腾湃驼替带你入门全面风险管理基础知识目 录一、风险管理的发展二、风险的基本概
4、念1. 风险的定义2. 风险的分类3. 企业面临的主要风险三、全面风险管理的基本概念1. 全面风险管理的定义2. 全面风险管理的目标3. 全面风险管理的必要性四、全面风险管理体系的组成部分1. 风险管理策略2. 风险管理组织职能3. 风险管理内部控制体系4. 风险理财5. 风险管理信息系统五、全面风险管理的一般程序1. 建立综合信息框架2. 风险评估3. 制定风险管理策略4. 制定实施解决方案5. 监控改进6. 全面风险管理的关键应用六、风险管理的未来“确定现代与过去之分野的革命性理念是对风险的掌握” 。 伯恩斯坦与天为敌1 风险管理的发展人类认识风险的历史几乎与人类的文明一样久远。风险来自于
5、未来的不确定性。当人类的第一个成员思考明天的生存问题的时候,人类对风险的认识就已经开始了。对风险的认识必然成就文明的进步。诚如当代史学家伯恩斯坦在论述人类文明史时所断言,“确定现代与过去之分野的革命性理念是对风险的掌握” 。然而,对风险的掌握是一个极其漫长的过程。人类活动的扩展引起风险日趋复杂,其种类不断增加。同时,风险的发展刺激了风险管理的发展,而风险管理的发展又推动人们向更高的目标登攀。人类科学认识风险的历史可以从十八世纪算起历史上第一个准确、科学地描述风险的是瑞士数学家贝努利。1705年,贝努利发现了大数定律,该定律后来成为一切保险的计价基础。几乎是在同时,世界上第一家保险企业于1720
6、年在伦敦成立。下一个关于风险的伟大发现则是在将近250年以后的1952年,马柯维茨发表了“组合选择”理论,为现代金融风险管理奠定了基础。 1955年,在美国宾夕法尼亚大学的沃顿商学院,施耐德教授提出了“风险管理”的概念。八十年代,随着金融市场的发展,特别是金融衍生产品的使用,银行风险的增大引起了国际上的严重关注。国际清算银行于1988年发表了第一个巴塞尔协议,提出了商业银行的经营规范。与之相应,对一般非金融企业,各国的监管也在不断加强。为了适应风险的发展水平,美国的COSO组织于1992年发表了综合内控框架。1995年,世界上第一个国家风险管理标准诞生。由澳大利亚和新西兰联合制订的AS/NZS
7、4360明确定义了风险管理的标准程序。在上个世纪末,受企业巨额亏损和金融丑闻的刺激,世界上出现了许多以整合风险管理或企业整体风险管理等为主题的文章和实践,全面风险管理的概念获得广泛认同。全面风险管理的孕育和诞生标志着风险管理走上了企业管理的中心舞台,掀开了风险管理历史的新的一页新千年的开始并非如人们想象的美好。首先美国市场受到金融丑闻和恐怖主义的双重打击:2001年夏天,美国安然企业财务丑闻曝光,涉案金额超过10亿美元。一年之内安然股票价值骤跌99%。安然曾是美国股市上第七大企业。安然丑闻给美国乃至全球金融市场带来了巨大的冲击。紧接着,恐怖分子袭击了纽约世贸大厦和五角大楼。“9.11”事件不仅
8、改变了世界的政治格局,也极大影响了世界的经济体系。2001年12月,中国正式加入WTO。自此,中国企业在迎来发展机遇的同时,也将置于是全球风险的漩涡之中。中国企业的整体风险水平骤然升高,但是中国绝大多数企业家还没有认识现代风险管理的概念。美国国会于2002年7月通过了萨班斯法案。萨班斯法案的冲击波及世界各地,影响深远。由此,企业有效的内部控制不再是企业的自发行为,而成为企业经营的合规要求。2003年4月的中国,非典疫情突如其来,对正常的社会秩序和经济生活造成巨大威胁。这次的非典危机是一次全民的风险文化启蒙,其普及风险意识的作用影响深远。2004年发达国家中已有73%的企业建立了全部或部分全面风
9、险管理体系,比2001年增加了24%。随着全面风险管理理论和实践的蓬勃发展,美国的COSO于2004年颁布了全面风险管理框架。全面风险管理框架扩展了1992年COSO的综合内控框架体系,对全面风险管理提出了详详尽的阐述。COSO框架的发表是全面风险管理走向成熟的标志。2004年,中航油(新加坡)企业违规越权进行原油期货期权投机,造成巨额亏空。中航油事件在国内企业界引起了极大震撼,“风险管理”的字眼在媒体上频繁出现,中央企业的风险管理得到了国资委乃至全社会的高度重视。从此,风险管理走进了中国大部分企业家的视野。2 风险的基本概念2.1 风险的定义全面风险管理带来的变化之一就是对风险的态度的变化。
10、首先是对风险的定义的变化。历史上,对风险有过许多定义,至今没有统一的定义。经济学家、统计学家、社会学家、精算师、保险经纪人以及政治学家等对风险都有不同的定义。一个比较通用的定义是风险是损失的可能性。具体到企业风险管理来讲,风险可以定义为未来的不确定性对企业实现其既定目标的影响。现在无风险,过去无风险,只有将来有风险。而为了准确度量和管理风险,风险总是定义在未来的某一个时间段内的。比如,企业职工有人身安全的风险,为此要为职工买人身安全保险,保险合同总是在一段时间内有效的,这就意味着风险具有时间价值。风险是不确定性的表现,如果是确定的损失,就不是风险了。未来的不确定性总是存在的,即使知道风险发生的
11、概率,如果不是0或100%,未来的结果还是不确定的,更何况风险事件的发生还存在波动性的问题。风险是相对于要实现的目标而言的。目标越高,风险就越大;目标越小,风险就越小。所谓“指哪打哪”和“打哪指哪” 完全不同。风险对实现目标的影响表现在实际的行为可能与我们的目标有差距。这种差距可能不仅表现在最后结果的差距(如盈利额的差距、损益值),还可能表现在路径的差距,即如何实现最后的结果,这同样是不确定性的影响,使得人们对稳定的、可预期的表现要更看重一些,因为不确定性越大,风险成本就越高。如下图所示,图中的实线表示企业未来三年的计划,但实际上由于各种因素的影响,企业实际的行为可能是按照这些虚线的轨迹运行的
12、,由于在未来几年内可能发生的情况具有不确定性,因此这些虚线又有很多种,所有这些曲线构成了一个可能路径的空间,这空间的分布就是企业在进行风险管理时的基本研究对象。行为目标曲线可能的实际曲线可能路径的概率分布将风险对实现目标的影响进行量化的结果就是风险的价值。理论上,股东期望看到企业承担足够的风险。实际上,没有风险就没有回报,说明企业风险是资源,是产生回报的资源。由于风险是特殊的资源,经营风险就与经营其他的资源不同。经营风险就要认识各种风险的特性,如何识别,如何定价,如何处理,如何转换等。有人把正面的影响叫做机会,而把负面的影响叫做风险或威胁。而这里的定义是一般性的。好处是在概念上和技术上处理都比
13、较容易一些。例子如一般人总觉得企业现金赢余或者叫自由现金流越多越好,实际上从长远看,当期赢余多也有问题,有可能是由于投资不足,或错过市场机会,或计划不周,把明年的利润今年拿了,或引起市场的过高预期,反而对今后有影响,还有就是,企业现金赢余多,可能引起对手眼红,掀起恶意并购,总之,“过犹不及”。当然,把风险限制为负面影响也有它的道理。因为,对于很多经济上的情形而言,正面和负面不是完全对称的。比如,一个企业总资产是一个亿,如果它赚了一个亿,不过是变成了一个大一点的企业,但是,如果它损失了一个亿,那么它就要破产了。另外,在心理学上也证明了人们对所失去的东西的感受比对所得到的东西的感受要强烈得多。2.
14、2 风险的分类风险的分类标准不是绝对的,国际上比较通用的分类是把风险分为战略风险、财务风险、运营风险和危害性风险。战略风险是指满足股东的要求,结合市场情况保持企业的核心竞争优势,选择合适的产品组合,抓住发展机会,规避市场损失等方面的风险因素,如商业模式的风险。财务风险包括各种利率风险、汇率风险、产品价格波动、销售政策等对企业现金流的影响以及公司在理财方面的行为对财务指标的影响等。运营风险包括供应链的管理、资源的合理调配、关键人员的流失、合规、监督检查等涉及公司运营方面的风险因素。灾害性风险包括水灾、火灾、车船事故、偷盗、人身伤亡、飓风、海啸、恐怖分子袭击等。风险按其来源分为外部风险和内部风险。
15、企业的外部风险来自企业经营的外部环境,包括外部环境本身和外部环境的变化对企业的影响,如社会政治风险、供应链风险、市场风险、竞争对手风险、技术革新风险、法律法规风险、自然地理环境风险、灾害风险。企业的内部风险来源于企业的决策和经营活动。企业决策的风险一方面表现在与外界环境不相适应,另一方面表现在企业本身的经营活动中,经营活动中的风险来自企业的各个流程和各个部门。在评价风险管理的有效性时,人们会用到固有风险和剩余风险的概念。前者与后者是相对于某一风险管理的手段的应用实施而言的。也就是说,在没有实施该风险管理手段时的风险称为固有风险,而实施该风险管理手段后的风险称为剩余风险。应当指出,在给定风险管理
16、的现状时,固有风险和剩余风险是一样的。风险按其是否有盈利的可能又分为纯粹风险和机会风险。纯粹风险指不含盈利的可能性,如灾害性风险,大多数运营风险。机会风险是盈利与损失的可能性并存的风险,如许多战略风险,市场风险。风险按其风险事件的发生是否可控又分为可控风险和不可控风险。可控风险指企业可以通过某些风险管理手段影响其风险事件发生的可能性和发生方式;反之,则称为不可控风险。应当注意的是,可控风险和不可控风险对企业的影响都是可以控制的。2.3 企业面临的主要风险Tillinghast Towers-Perrin 2001年的调查结果显示,跨国公司最关心的十大风险依次为:盈利增长、销售增长、盈利一致性、
17、资本回报、技术成本、成本控制、人力成本、法律法规变化、产品定价以及投资管理。国资委企业全面风险管理研究课题组在2004年对部分中国企业进行调研的结果表明,中国的经理们最关心的十大风险依次为:市场竞争加剧、国家政策导向、战略决策失误、关键人才流失、WTO及全球一体化、环境保护、成本上升、客户需求发生转变、利率及汇率波动以及坏账风险。调查显示,按行业划分的五大风险的排序如下表所示:风险排序金融服务零售生产高科技/电信公共事业/能源化工/制药1市场风险股票、先进和利率的波动竞争风险宏观经济风险竞争风险市场风险商品价格的波动性环境风险2客户风险人才风险竞争风险客户风险合规风险合规风险3竞争风险操作风险
18、操作风险合规风险竞争风险客户风险4宏观经济风险客户风险供应链风险人才风险客户风险研发风险5合规风险宏观经济风险人才风险供应链风险人才风险操作风险资料来源:EIU(The Economist Intelligence Unit Limited)3 全面风险管理的基本概念3.1 全面风险管理的定义全面风险管理,是指企业围绕风险管理的总体目标,在企业经营管理的各个环节和业务过程中执行风险管理的基本流程,制定风险管理战略,落实风险管理措施,培育良好的风险管理文化,建立健全风险管理的组织体系、信息系统和内部控制系统的过程和方法。如下图所示,中间的实线表示企业预测的今后几年的收入,但因为有不确定影响,可能
19、发生的情况是这条弯曲的实线表示的情况;周围的两条虚线表示企业的管理层和股东,对经营目标可接受的区间,在区间以内认为可以接受,在区间以外不可以接受的。经营目标可接受区间预测值时间经营目标实际值经营目标可接受区间不可接受不可接受需要说明的是,全面风险管理是要控制企业的行为在可接受的范围之内,但是不能给企业提供绝对的保证,而只能为企业实现其经营目标提供一个合理的保证。所谓合理的保证,打一个比方来讲,就是企业的领导或者股东或者董事会心里边有信心,如果不发生百年不遇千年不遇的情况,企业的战略目标就能实现,所以全面风险管理是一个一般性的过程和方法,只能为企业实现目标提供一个合理的保证。相对于经验式的传统风
20、险管理而言,企业全面风险管理更具有科学性和系统性。二者的区别如下图所示:项目传统风险管理全面风险管理方 式就单个风险个体实施风险管理从总体上集中考虑和管理所有风险职能部门分散的职能部门集中的管理部门态 度被动的将风险管理作为成本中心主动积极地将风险管理作为价值中心目 标与企业战略联系不紧,目标是转移或避免风险紧密联系企业战略,目标是寻求风险优化手 段基本上采用保险手段和内部控制手段采用多种手段,结合战略、组织、信息、金融、内控等多种手段注意焦点专注在纯粹和灾害性风险以及可控的运营风险注意焦点在所有利益关系人的共同利益最大化另外,有些人认为全面风险管理是独立于现有管理体系的一个新的管理系统,这是
21、一个误区。全面风险管理是对现有数据的挖掘和利用,是对现有管理体系的整合,是对现有管理职能的强化,全面风险管理的内容融入了现有的管理职能。3.2 全面风险管理的目标全面风险管理的目标为:风险最优化、防范重大损失、有效和有效率的经营、可靠的信息沟通以及遵守法律法规。风险最优化是指企业的风险在企业经营战略决定的可接受的范围之内,要求企业的风险承担与企业的经营目标一致。保护企业不致因灾害性事件或错误而遭受重大损失一方面要求指企业对可控风险的控制有效,另一方面要企业对不可控风险的应对措施符合企业风险管理策略的要求,同时把不可控的风险的影响控制在可承受的范围之内。全面风险管理应当而且能够提高企业的经营效益
22、和效率。企业的经营的目标,包括财务与非财务目标,主要与企业利用资源的效率和达到的效果有关。可靠的信息沟通意味着沟通信息的真实、及时、公允。信息沟通包含企业内外部的信息沟通,企业内部的信息沟通应当使董事会和高管层了解企业的风险情况,使企业每一个工作人员明确企业的风险管理政策;企业向外的沟通主要是信息披露和财务报告,包括税务报告。所谓合规经营是指企业的行为符合有关国家的法律法规的要求,包括符合法律和法规的要求、上市公司要符合监管机构对财务报表的要求、国有企业要符合国资委对国有企业的要求。如前所述,全面风险管理的最终目标是为企业实现经营目标提供合理保证。3.3 全面风险管理的必要性全面风险管理是企业
23、持续健康发展的需要。近年来在国内国际发生的如巴林银行、长期资本管理、世通、安然、中航油等著名案例说明,企业的倒闭或者遭受重大损失都是因为不良的风险管理造成的。全面风险管理也是政府等监管部门、员工、社会、股东、债权人、管理层以及商业伙伴等企业利益相关人的要求。在企业层面,董事会和管理层需要全面风险管理回答的问题包括: 公司目前面临的风险有哪些? 哪些风险可能影响战略目标的实现,甚至危及到公司的生存?公司应该怎样度量这些风险? 这些风险产生的动因有哪些? 目前的风险状况是否符合公司发展战略的需要? 公司现有的风险管理是否有效? 公司应该如何管理所面临的风险? 公司应当如何构建风险管理的体系? 公司
24、应该怎样利用风险管理来实现自己的目标?我们有多少把握能够达到我们预定的战略目标?是98还是95?如果是98%,那么2%的可能性又意味着什么情况?这些意外情况对我们公司有什么样的影响?我们应该怎样应对这些情况? 全面风险管理就是回答以上这些问题最好的方式。4 全面风险管理体系 风险管理策略风险管理职能综合内控风险理财风险管理信息系统风险管理信息系统全面风险管理体系全面风险管理体系是企业在风险管理中建立并维护的必要系统,包括指导企业整体风险管理活动的风险管理策略、执行风险管理功能的风险管理组织职能、为保证风险管理顺利执行的内部控制系统、用于提高风险信息收集、分析、传递的效率和效果的风险管理信息系统
25、以及风险理财五个组成部分。4.1 风险管理策略 风险管理策略是根据企业整体经营战略制定的全面风险管理的战略,如同企业战略是指导企业运作的总纲领一样,风险管理策略是指导企业风险管理活动的方针和行动纲领,是针对企业面临的主要风险设计的一整套处理方案。明确的风险管理策略是全面风险管理体系能否有效运行的关键。风险管理策略包括企业的风险度量模型、风险偏好和风险承受度、全面风险管理的指导方针、全面风险管理的资源配置和风险文化等几个组成部分。4.1.1 风险度量模型风险度量模型要解决的是“如何衡量企业风险?”的问题,是整个风险管理策略以及风险分析和评价的基础。在风险评价的过程中,应尽量将风险的价值量化,这将
26、有利于管理层做出正确的风险管理决策。度量风险的方法有许多。这些风险的度量包括对风险的影响直接估计如损失额,对风险事件发生的概率的估计,以及二者的结合如数学期望值、波动性、VaR、保险费、期权价值等,还包括风险对目标的变化的影响如各种导数类的指标等。统一的风险度量模型可以使企业了解自身的整体风险水平,从而确定可以接受的风险组合和风险量的大小,同时可以衡量不同业务之间的风险大小,确定哪些风险是企业应当着重管理的,以及为风险管理资源奠定了分配基准。4.1.2 风险偏好和风险承受度风险偏好和承受度要解决的是“企业要承担什么风险?承担多少风险?”的问题。风险偏好是企业为了达到目标而愿意接受的风险及风险组
27、合,风险偏好和企业的战略直接相关。风险承受度是企业为了实现其目标所愿意承担的风险的限度。风险承受度既可以作为风险偏好的边界,也可以作为风险预警指标。4.1.3 风险管理指导方针风险管理指导方针要解决的是“怎样管理企业的风险?”的问题。风险管理的指导方针即指管理每个或每一类风险的对策,包括风险规避、风险接受、风险转移、风险控制或其它战略手段,风险的对策还可以包括培训、教育、组织调整等手段。风险规避是从战略决策的角度停止或避免引发风险的所有行动,如通过退出一个市场或地域,或者抛售、放弃一个产品类别或服务来避免风险。当某一风险与战略目标没有关系、同时该风险在可接受的范围之外、或者没有其他对策能够降低
28、影响和可能性至一个可接受的程度时,企业应该考虑在战略上规避该风险。风险控制是企业最多使用的风险管理策略,是指采取行动减少或者控制风险发生的可能性或者影响。这里的风险控制是单个风险控制的手段,是狭义的控制。主要方法是通过内部控制,将不可预见意外事件的可能性减少到可接受程度。风险转移是指通过购买保险产品、集中风险、外包服务、使用特定的交易合同或其他金融工具来转移某些风险。风险转移是将剩余风险降低至企业能够承受的风险范围之内。风险接受是指当潜在的风险已在可承受的风险范围内时或者其管理成本超过预期的收益时,指不采取行动而是接受风险发生的可能性和影响。当接受风险时,应该考虑主要问题是:如果出现任何损失的
29、话,怎样为损失而提供资金和补偿。因此解决的方法了可以是建立通过增加一笔额外费用,在市场条件允许的情况下,弥补风险承担者的损失,通过这种方式重新定价产品或服务。4.1.4 全面风险管理的资源配置全面风险管理的资源配置要解决的是“如何安排风险管理资源?”的问题。企业应当为实施风险管理总体战略准备必需的资源,以保证风险管理策略的执行,同时注意把握风险管理成本与风险管理收益的平衡。企业的风险偏好引导着资源分配,因此企业应该根据风险偏好,结合现有的资源、能力,以及企业管理不同的风险所愿意付出的时间和成本等来确定承担风险成本的资金预算和控制风险的组织体系、人力资源、管理措施等的总体安排。4.1.5 风险文
30、化 风险文化是企业风险管理水平的反映,也是风险管理的有力工具。企业应当致力于风险文化的培养,使风险管理真正成为企业文化的有机组成部分。风险文化是关于企业在日常运营中对待风险的态度、价值和实践,风险文化从企业的风险哲学和风险偏好中应运而生。企业应当大力培育企业审慎的风险文化,在日益激烈的市场竞争中,让员工充分了解不断面临的新的风险。通过风险管理的培训等手段,增强每一位职工的风险意识,用文化使全体员工统一认识、自觉行动,促进风险管理水平的提高。董事会应当高度重视风险管理文化的培育,总经理负责培育风险管理文化的日常工作,董事和高级管理人员应当在培育风险管理文化中起表率作用。重要业务流程和风险控制点的
31、管理人员和业务操作人员应当成为培育风险管理文化的骨干力量。企业要充分发挥党组织和职工代表大会的作用,推进风险文化的建设。4.2 风险管理组织职能风险管理组织职能是整个风险管理的核心,是风险管理的具体实施者。通过合理的组织结构设计和职能安排,可以为有效管理企业风险提供基础。风险管理组织职能决定了企业控制、监督和评估其所承担风险的能力,它的目标是保证与企业的风险管理战略一致。完整的风险管理组织结构一般包括:董事会、风险管理委员会、总经理、风险管理部门、内部审计部门、其他职能部门以及各业务单元以及风险管理岗位。不同的风险管理层面其职责各有侧重。风险管理的最终实施者是人。企业应该培养、储备一批在战略管
32、理、财务管理、运营管理等方面的专业人才,充实风险管理相关部门以满足风险管理的人才缺口。4.3 风险管理内部控制系统风险管理内部控制系统作为全面风险管理体系的一部分,是指企业管理层通过制定有效的监控措施,规范管理行为,控制企业经营管理过程中可能发生的内、外部风险,保证企业整体目标的最终实现。完整的内部控制体系和完善的内部控制制度是约束、规范企业行为的准则,是减少风险的重大措施。有效的内控可以保证明确授权,对风险做到提前预防、适时管理和及时反馈,能保证管理行为的效率和效果,保证信息的准确性。内部控制活动是风险管理的关键,是风险管理实际操作的核心,内控体现的完整性、准确性和有效性直接决定到具体风险管
33、理的效果。风险管理的内部控制系统还包括风险管理流程、重大风险、重大事件的应对流程等以及一套风险整体的管理制度,如确定重大风险、风险管理策略、落实风险责任以及相关的考核报告的要求,以指导整个企业的风险管理实践。4.4 风险管理信息系统 风险管理信息系统是将信息技术应用于风险管理的各项工作,传输企业风险和风险管理信息的主要渠道,包括风险信息和运营数据的采集、存储、加工、分析、测试、传递、报告、披露等各项功能。风险管理信息系统是全面风险管理各个子系统的信息集成,是企业高效率风险管理的必要工具,也是企业风险管理战略的载体。风险管理信息系统为量化风险提供计算服务,并且可根据管理层的要求就某一风险事件进行
34、情境分析。企业加强风险管理信息系统的工作应该从提高与风险相关的数据管理流程的顺畅性、数据模型和来源的统一性、数据所有权的清晰性、数据质量的准确性和可靠性、数据传递的及时性等方面做起。在加强数据管理的同时,企业要根据不同管理层次的信息需求设计清晰的风险报告系统,以提供给决策者简洁而有用的信用风险管理信息。风险报告系统不仅要满足单项业务风险管理的要求,而且要满足企业整体的和跨职能部门、业务单位的综合性的风险管理的要求,尤其要关注那些影响企业战略目标实现的重大风险信息。风险管理信息系统的建设要根据企业的信息化战略规划的要求,与建立企业管理信息系统紧密结合。在企业的统一指导下,已建立或基本建立管理信息
35、系统的,应当补充、调整、更新已有的管理流程和管理软件,建立完善的风险管理信息系统;尚未建立管理信息系统的,应当将风险管理与企业各项管理的业务流程、管理软件统一规划、统一设计、统一组织、同步运行。4.5 风险理财风险理财是指运用金融手段来管理、转移风险的一整套措施政策和方法。风险理财的传统手段包括风险准备金和保险。随着金融市场的发展,风险理财手段不断增加,包括使用期权、期货、利率汇率互换等金融衍生产品,为风险的转移、分担、对冲、融资和补偿提供了工具。5 全面风险管理的程序如果说全面风险管理体系犹如计算机的硬件系统,那么全面风险管理程序就是在此基础上运行的应用程序。信息框架风险评估监控改进解决方案
36、制定风险策略信息沟通贯穿始终全面风险管理的执行程序企业开展全面风险管理工作的核心是有效执行全面风险管理的程序。这一程序既可以用来管理影响整个集团战略、经营目标实现的整体风险,也可以应用在某个管理主体或者某个流程的任何风险。企业可以通过建立综合信息框架、风险评估、制定或调整风险管理策略、设计并实施风险管理解决方案以及监控改进这五个步骤形成一个全面风险管理的闭环。5.1 建立综合信息框架建立综合信息框架是收集与企业风险和风险管理相关的内外部风险的信息,并将其整理成可用于分析的形式的过程。企业的风险可以分为战略风险、财务风险、运营风险、灾害性风险等几大类,对于与这些风险及风险管理相关信息的收集,可以
37、为后续阶段的风险辨识和风险评估提供基础资料,为风险管理诊断、风险管理策略制定、风险管理体系设计以及风险管理的监控改进提供基本依据。同时,企业应该注重在风险文化、风险理财、风险管理的效果、成本和效率等方面信息的收集。企业应当对收集的初始信息进行必要的筛选、提炼、对比、分类、组合等整理,以便于进行风险辨识和分析。信息收集应保证范围全面和数据完整、真实、及时。同时,各下属企业可根据自身的情况制定对数据的全面性、完整性、真实性和及时性的具体标准并报经上级批准后执行。5.2 风险评估风险评估是对企业风险状况和风险管理水平进行分析、诊断和评价的过程。风险评估是风险管理程序中非常重要的环节,可以帮助企业了解
38、所面临的风险组合,并在分析其动因及影响程度的基础上,确定需要关注的重大风险,发现风险管理中的不足,确定改进的方向,进而制定风险管理的中长期规划,以提升企业的整体风险管理水平。企业应当建立并维护风险评估流程的内部控制系统,对其有效性进行及时的评估,并提出评估报告,另外应当对重大风险评估过程的内部控制设计和操作上的重大缺陷做出及时的修正,并记录存档以备检查。5.2.1 企业风险状况的评估对于企业风险状况的评估目的是了解企业面临的风险并对这些风险进行分析、度量,从而确定风险管理的重点。风险状况的评估可以分为风险辨识、风险分析和风险评价三个步骤。 风险辨识是在了解企业基本状况的基础之上,辨识出对实现企
39、业经营目标有影响的风险因素。风险分析是对辨识出的风险进行定性和定量的分析。企业风险的定性分析可以包括分析风险表现形式、风险的影响、风险的来源、与其它风险的关系等。风险的定量分析就是试图从风险的分布和价值评估上对风险做出更深入地描述。风险的定量分析内容包括风险的影响、风险事件的发生概率、风险之间的相关性分析及其他分析。风险评价是评价每一个风险和风险的组合对经营目标的影响。在风险评价的过程中,应尽量将风险的价值量化,严格的量化分析有利于企业管理层做出正确的风险管理决策、提高资本使用的效率。风险的评价对企业来讲具重要的价值,尽管量化分析可能在开始时可能不够精确,但是通过企业上下之间的协作和互动,对风
40、险的认知就可以得到进一步的统一。红灯区黄灯区绿灯区风险图谱(示意)可能性重要性企业的各级风险管理主体应当根据风险分析结果及风险管理策略的要求,重点是风险对企业经营目标的影响程度,采用绘制风险图谱等手段对所辨识出的风险的价值进行评价,对各项风险进行比较,确定各风险管理优先顺序,并统一确定各风险度量单位和风险度量模型,量化描述风险,并从中得出风险管理有效性评价。风险图谱(Risk mapping)是用于风险识别和对其进行优先排序的有效工具。一旦企业的风险被识别以后,就可以依据其对企业业绩影响的重要性和发生的可能性两个维度来绘制风险图谱,一些风险因素被描绘在一个二维坐标的不同位置上,而每一个风险处于
41、不同的位置,表明其需要处理的紧急程度,以及处理的措施和方案就有所区别。处于“红灯区”的风险由于其发生的可能性大、影响重要性高,因此一般是需要重点管理的风险,企业对这些风险的管理是一种战略性需要;处于“绿灯区”的风险是指那些不那么重要的资源,因为他们或者与企业业务不太相关,或者无意义,并且通常在目前的水平上可以接受,企业可以取消与此风险相关的、多余的风险控制措施,以减少成本和资源消耗,来管理更重要的风险,但应该持续跟踪这些风险,防止风险由量变到质变的演化。处于“黄灯区”的风险虽然不像“红灯区”风险那样危急,但是他们一般包括突然发生的非常事件,还包括与日常经营和遵守法律方面的问题。高重要性、低可能
42、性的风险包括一些非常事件,例如:暴风雨、偷盗、政治事件和其他事故,这些因素可能严重影响商务活动;高可能性、低重要性的风险往往与日常经营和遵守法律方面的问题有关。如果对此不加以管理,这些风险事件的聚积力量,可能达到我们不愿接受的水平;对于实际上肯定发生的风险,但其对业务有很小影响或无影响的风险事件,应监视其条件的改变。 因此,企业在分析风险图谱的基础上,可以直观地获得企业风险管理的重要控制点和风险转化方案。从而可以进行具体的风险诊断,做出企业全面风险管理的规划。5.2.2 企业风险管理水平的评估企业应该持续对企业风险管理水平进行诊断,及时发现单个风险管理和控制的薄弱环节,从而可以进一步提升企业的
43、经营管理水平,同时可以有针对性地制定风险的管理对策,有效地排除风险或接受风险,规避一些企业在正常运营中不必要承担的风险,并为制定和实施有效的风险承担方案打好基础。企业风险管理水平的评估可以从对单个风险管理水平的评估和企业整体风险管理水平的评估两个层面进行。对单个风险管理水平的诊断是企业风险评估的重要内容,这一过程主要根据具体风险的属性和特点,结合风险关键控制点以及企业实际状况分析和评价风险管理的效果和效率。企业整体风险管理水平诊断,是综合评价企业总体风险管理体系和程序的有效性。企业进行风险管理整体水平诊断时,可以参考全面风险管理体系标准框架,从风险管理策略、组织职能、内部控制、风险理财、风险管
44、理信息系统五个方面来进行全面风险管理体系建设和运行状况的分析和评价,并从建立综合信息框架、风险评估、建立风险管理策略、设计执行风险管理解决方案、风险持续改进等方面对风险管理流程进行有效性评价。对体系的评价是企业全面风险管理体系建设的基础,根据评价的等级和以及建立全面风险管理体系企业的优势和不足,可以确定建设企业全面风险管理体系不同侧面的紧要程度和改进方向,为企业搭建全面风险管理体系的规划和实施奠定基础。5.3 制定或调整风险管理策略 风险管理策略决定了企业全面风险管理的方向,企业在制定经营战略的同时系统考虑到了企业面临的各种风险,但是随着时间的推移和环境的变化,企业的风险状况以及风险管理的水平
45、都有所变化,企业应当定期总结和分析已制定的风险管理策略的有效性和合理性,并结合实际不断修订和完善。其中,应重点检查依据风险偏好、风险承受度和风险控制预警线去实施的结果是否有效。具备条件时,可提出定性或定量的有效性标准。5.4 设计并实施风险管理解决方案风险管理解决方案是企业风险管理策略的具体执行方案,是风险管理策略的延伸。风险管理解决方案主要是针对单个风险或风险组合的应对以及对风险管理体系的更新和持续改进。具体包括风险解决的具体目标、所需的组织领导、所涉及的管理流程、所需的条件、手段等资源以及具体风险的管理方案的设计实施,如转移和对冲方案,应急和预警方案等。5.5 风险管理的监控改进 监控改进
46、工作是监控风险和风险管理的情况,并据此更新综合信息框架,对全面风险管理的工作做出持续的改进,包括监控内外部风险的发展和风险事件的发生、监控全面风险管理的运行情况、改进风险管理策略、改进风险管理解决方案等。在制定了明确的风险管理策略后,企业应当定期对风险管理策略进行评估,对风险解决方案进行评价,判断其能否符合现实情况及其有效性,并对风险管理战略和风险解决方案提出调整或改进的建议。监控的结果和改进建议通常体现在各种报告中,报告的内容可以是简单的信息收集结果,也可能是复杂的分析结果。企业各风险管理主体应该将各自管理和业务领域的风险监控、改进报告报送至企业的风险管理部门,风险管理职能部门的评价和建议报
47、告应及时报送董事会。企业的内部审计部门应每年至少一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价。各有关部门和业务单位应当向内部审计部门提供其所需的一切信息或资料。内部审计部门的监督评价报告应直接报送企业的风险管理部门。企业还可以聘请有资质、信誉好、风险管理专业能力强的中介机构对全面风险管理工作进行评价,并出具审计报告。5.6 全面风险管理的具体应用开展全面风险管理是为了更好地管理企业在实现战略目标过程中的重大风险和重大事项,因此企业管理层应该及重点关注重大风险的评估、重大事件的应对、重大决策的制定、重要信息的报告和披露以及重要流程的内部控制。5.6.1 重大风险的评估重大风险是对实现企业战略目标有重大影响的风险,如政策风险、技术风险、法律风险、经济环境风险、通信安全、财务合规风险等。企业应当根据风险管理策略制定关于重大风险的统一判断标准或判断机制,建立有效的风险评估流程,经常进行重大风险的评估,持续监控企业的风险情况,以作为企业战
