全面风险管理基础知识.doc

下载

下载

16积分

20积分

下载

20积分

VIP价：16积分

带你入门…… 全面风险管理基础知识 目 录 一、风险管理的发展 二、风险的基本概念 风险的定义 风险的分类 企业面临的主要风险 三、全面风险管理的基本概念 全面风险管理的定义 全面风险管理的目标 全面风险管理的必要性 四、全面风险管理体系的组成部分 风险管理策略 风险管理组织职能 风险管理内部控制体系 风险理财 风险管理信息系统 五、全面风险管理的一般程序 建立综合信息框架 风险评估 制定风险管理策略 制定实施解决方案 监控改进 全面风险管理的关键应用 六、风险管理的未来 “确定现代与过去之分野的革命性理念是对风险的掌握……” 。 —— 伯恩斯坦《与天为敌》 风险管理的发展 人类认识风险的历史几乎与人类的文明一样久远。风险来自于未来的不确定性。当人类的第一个成员思考明天的生存问题的时候，人类对风险的认识就已经开始了。 对风险的认识必然成就文明的进步。诚如当代史学家伯恩斯坦在论述人类文明史时所断言，“确定现代与过去之分野的革命性理念是对风险的掌握……” 。 然而，对风险的掌握是一个极其漫长的过程。人类活动的扩展引起风险日趋复杂，其种类不断增加。同时，风险的发展刺激了风险管理的发展，而风险管理的发展又推动人们向更高的目标登攀。 人类科学认识风险的历史可以从十八世纪算起…… 历史上第一个准确、科学地描述风险的是瑞士数学家贝努利。1705年，贝努利发现了大数定律，该定律后来成为一切保险的计价基础。几乎是在同时，世界上第一家保险企业于1720年在伦敦成立。 下一个关于风险的伟大发现则是在将近250年以后的1952年，马柯维茨发表了“组合选择”理论，为现代金融风险管理奠定了基础。 1955年，在美国宾夕法尼亚大学的沃顿商学院，施耐德教授提出了“风险管理”的概念。 八十年代，随着金融市场的发展，特别是金融衍生产品的使用，银行风险的增大引起了国际上的严重关注。国际清算银行于1988年发表了第一个巴塞尔协议，提出了商业银行的经营规范。 与之相应，对一般非金融企业，各国的监管也在不断加强。为了适应风险的发展水平，美国的COSO组织于1992年发表了《综合内控框架》。 1995年，世界上第一个国家风险管理标准诞生。由澳大利亚和新西兰联合制订的AS/NZS4360明确定义了风险管理的标准程序。 在上个世纪末，受企业巨额亏损和金融丑闻的刺激，世界上出现了许多以整合风险管理或企业整体风险管理等为主题的文章和实践，全面风险管理的概念获得广泛认同。 全面风险管理的孕育和诞生标志着风险管理走上了企业管理的中心舞台，掀开了风险管理历史的新的一页…… 新千年的开始并非如人们想象的美好。首先美国市场受到金融丑闻和恐怖主义的双重打击：2001年夏天，美国安然企业财务丑闻曝光，涉案金额超过10亿美元。一年之内安然股票价值骤跌99%。安然曾是美国股市上第七大企业。安然丑闻给美国乃至全球金融市场带来了巨大的冲击。紧接着，恐怖分子袭击了纽约世贸大厦和五角大楼。“”事件不仅改变了世界的政治格局，也极大影响了世界的经济体系。 2001年12月，中国正式加入WTO。自此，中国企业在迎来发展机遇的同时，也将置于是全球风险的漩涡之中。中国企业的整体风险水平骤然升高，但是中国绝大多数企业家还没有认识现代风险管理的概念。 美国国会于2002年7月通过了萨班斯法案。萨班斯法案的冲击波及世界各地，影响深远。由此，企业有效的内部控制不再是企业的自发行为，而成为企业经营的合规要求。 2003年4月的中国，非典疫情突如其来，对正常的社会秩序和经济生活造成巨大威胁。这次的非典危机是一次全民的风险文化启蒙，其普及风险意识的作用影响深远。 2004年发达国家中已有73%的企业建立了全部或部分全面风险管理体系，比2001年增加了24%。 随着全面风险管理理论和实践的蓬勃发展，美国的COSO于2004年颁布了全面风险管理框架。全面风险管理框架扩展了1992年COSO的综合内控框架体系，对全面风险管理提出了详详尽的阐述。COSO框架的发表是全面风险管理走向成熟的标志。 2004年，中航油（新加坡）企业违规越权进行原油期货期权投机，造成巨额亏空。中航油事件在国内企业界引起了极大震撼，“风险管理”的字眼在媒体上频繁出现，中央企业的风险管理得到了国资委乃至全社会的高度重视。 从此，风险管理走进了中国大部分企业家的视野。 风险的基本概念 风险的定义 全面风险管理带来的变化之一就是对风险的态度的变化。首先是对风险的定义的变化。历史上，对风险有过许多定义，至今没有统一的定义。经济学家、统计学家、社会学家、精算师、保险经纪人以及政治学家等对风险都有不同的定义。一个比较通用的定义是风险是损失的可能性。具体到企业风险管理来讲，风险可以定义为未来的不确定性对企业实现其既定目标的影响。 现在无风险，过去无风险，只有将来有风险。而为了准确度量和管理风险，风险总是定义在未来的某一个时间段内的。比如，企业职工有人身安全的风险，为此要为职工买人身安全保险，保险合同总是在一段时间内有效的，这就意味着风险具有时间价值。 风险是不确定性的表现，如果是确定的损失，就不是风险了。未来的不确定性总是存在的，即使知道风险发生的概率，如果不是0或100%，未来的结果还是不确定的，更何况风险事件的发生还存在波动性的问题。 风险是相对于要实现的目标而言的。目标越高，风险就越大；目标越小，风险就越小。所谓“指哪打哪”和“打哪指哪” 完全不同。风险对实现目标的影响表现在实际的行为可能与我们的目标有差距。这种差距可能不仅表现在最后结果的差距（如盈利额的差距、损益值），还可能表现在路径的差距，即如何实现最后的结果，这同样是不确定性的影响，使得人们对稳定的、可预期的表现要更看重一些，因为不确定性越大，风险成本就越高。 如下图所示，图中的实线表示企业未来三年的计划，但实际上由于各种因素的影响，企业实际的行为可能是按照这些虚线的轨迹运行的，由于在未来几年内可能发生的情况具有不确定性，因此这些虚线又有很多种，所有这些曲线构成了一个可能路径的空间，这空间的分布就是企业在进行风险管理时的基本研究对象。 将风险对实现目标的影响进行量化的结果就是风险的价值。理论上，股东期望看到企业承担足够的风险。实际上，没有风险就没有回报，说明企业风险是资源，是产生回报的资源。由于风险是特殊的资源，经营风险就与经营其他的资源不同。经营风险就要认识各种风险的特性，如何识别，如何定价，如何处理，如何转换等。 有人把正面的影响叫做机会，而把负面的影响叫做风险或威胁。而这里的定义是一般性的。好处是在概念上和技术上处理都比较容易一些。例子如一般人总觉得企业现金赢余或者叫自由现金流越多越好，实际上从长远看，当期赢余多也有问题，有可能是由于投资不足，或错过市场机会，或计划不周，把明年的利润今年拿了，或引起市场的过高预期，反而对今后有影响，还有就是，企业现金赢余多，可能引起对手眼红，掀起恶意并购，总之，“过犹不及”。当然，把风险限制为负面影响也有它的道理。因为，对于很多经济上的情形而言，正面和负面不是完全对称的。比如，一个企业总资产是一个亿，如果它赚了一个亿，不过是变成了一个大一点的企业，但是，如果它损失了一个亿，那么它就要破产了。另外，在心理学上也证明了人们对所失去的东西的感受比对所得到的东西的感受要强烈得多。 风险的分类 风险的分类标准不是绝对的，国际上比较通用的分类是把风险分为战略风险、财务风险、运营风险和危害性风险。战略风险是指满足股东的要求，结合市场情况保持企业的核心竞争优势，选择合适的产品组合，抓住发展机会，规避市场损失等方面的风险因素，如商业模式的风险。财务风险包括各种利率风险、汇率风险、产品价格波动、销售政策等对企业现金流的影响以及公司在理财方面的行为对财务指标的影响等。运营风险包括供应链的管理、资源的合理调配、关键人员的流失、合规、监督检查等涉及公司运营方面的风险因素。灾害性风险包括水灾、火灾、车船事故、偷盗、人身伤亡、飓风、海啸、恐怖分子袭击等。 风险按其来源分为外部风险和内部风险。企业的外部风险来自企业经营的外部环境，包括外部环境本身和外部环境的变化对企业的影响，如社会政治风险、供应链风险、市场风险、竞争对手风险、技术革新风险、法律法规风险、自然地理环境风险、灾害风险。企业的内部风险来源于企业的决策和经营活动。企业决策的风险一方面表现在与外界环境不相适应，另一方面表现在企业本身的经营活动中，经营活动中的风险来自企业的各个流程和各个部门。 在评价风险管理的有效性时，人们会用到固有风险和剩余风险的概念。前者与后者是相对于某一风险管理的手段的应用实施而言的。也就是说，在没有实施该风险管理手段时的风险称为固有风险，而实施该风险管理手段后的风险称为剩余风险。应当指出，在给定风险管理的现状时，固有风险和剩余风险是一样的。 风险按其是否有盈利的可能又分为纯粹风险和机会风险。纯粹风险指不含盈利的可能性，如灾害性风险，大多数运营风险。机会风险是盈利与损失的可能性并存的风险，如许多战略风险，市场风险。 风险按其风险事件的发生是否可控又分为可控风险和不可控风险。可控风险指企业可以通过某些风险管理手段影响其风险事件发生的可能性和发生方式；反之，则称为不可控风险。应当注意的是，可控风险和不可控风险对企业的影响都是可以控制的。 企业面临的主要风险 Tillinghast Towers-Perrin 2001年的调查结果显示，跨国公司最关心的十大风险依次为：盈利增长、销售增长、盈利一致性、资本回报、技术成本、成本控制、人力成本、法律法规变化、产品定价以及投资管理。 国资委企业全面风险管理研究课题组在2004年对部分中国企业进行调研的结果表明，中国的经理们最关心的十大风险依次为：市场竞争加剧、国家政策导向、战略决策失误、关键人才流失、WTO及全球一体化、环境保护、成本上升、客户需求发生转变、利率及汇率波动以及坏账风险。 调查显示，按行业划分的五大风险的排序如下表所示： 风险 排序 金融 服务 零售 生产 高科技 /电信 公共事业 /能源 化工/制药 1 市场风险 股票、先进和利率的波动 竞争风险 宏观经济风险 竞争风险 市场风险 商品价格的波动性 环境风险 2 客户风险 人才风险 竞争风险 客户风险 合规风险 合规风险 3 竞争风险 操作风险 操作风险 合规风险 竞争风险 客户风险 4 宏观经济风险 客户风险 供应链风险 人才风险 客户风险 研发风险 5 合规风险 宏观经济风险 人才风险 供应链风险 人才风险 操作风险 资料来源：EIU（The Economist Intelligence Unit Limited） 全面风险管理的基本概念 全面风险管理的定义 全面风险管理，是指企业围绕风险管理的总体目标，在企业经营管理的各个环节和业务过程中执行风险管理的基本流程，制定风险管理战略，落实风险管理措施，培育良好的风险管理文化，建立健全风险管理的组织体系、信息系统和内部控制系统的过程和方法。如下图所示，中间的实线表示企业预测的今后几年的收入，但因为有不确定影响，可能发生的情况是这条弯曲的实线表示的情况；周围的两条虚线表示企业的管理层和股东，对经营目标可接受的区间，在区间以内认为可以接受，在区间以外不可以接受的。 需要说明的是，全面风险管理是要控制企业的行为在可接受的范围之内，但是不能给企业提供绝对的保证，而只能为企业实现其经营目标提供一个合理的保证。所谓合理的保证，打一个比方来讲，就是企业的领导或者股东或者董事会心里边有信心，如果不发生百年不遇千年不遇的情况，企业的战略目标就能实现，所以全面风险管理是一个一般性的过程和方法，只能为企业实现目标提供一个合理的保证。 相对于经验式的传统风险管理而言，企业全面风险管理更具有科学性和系统性。二者的区别如下图所示： 项目 传统风险管理 全面风险管理 方 式 就单个风险个体实施风险管理 从总体上集中考虑和管理所有风险 职能部门 分散的职能部门 集中的管理部门 态 度 被动的将风险管理作为成本中心 主动积极地将风险管理作为价值中心 目 标 与企业战略联系不紧，目标是转移或避免风险 紧密联系企业战略，目标是寻求风险优化 手 段 基本上采用保险手段和内部控制手段 采用多种手段，结合战略、组织、信息、金融、内控等多种手段 注意焦点 专注在纯粹和灾害性风险以及可控的运营风险 注意焦点在所有利益关系人的共同利益最大化 另外，有些人认为全面风险管理是独立于现有管理体系的一个新的管理系统，这是一个误区。全面风险管理是对现有数据的挖掘和利用，是对现有管理体系的整合，是对现有管理职能的强化，全面风险管理的内容融入了现有的管理职能。 全面风险管理的目标 全面风险管理的目标为：风险最优化、防范重大损失、有效和有效率的经营、可靠的信息沟通以及遵守法律法规。 风险最优化是指企业的风险在企业经营战略决定的可接受的范围之内，要求企业的风险承担与企业的经营目标一致。 保护企业不致因灾害性事件或错误而遭受重大损失一方面要求指企业对可控风险的控制有效，另一方面要企业对不可控风险的应对措施符合企业风险管理策略的要求，同时把不可控的风险的影响控制在可承受的范围之内。 全面风险管理应当而且能够提高企业的经营效益和效率。企业的经营的目标，包括财务与非财务目标，主要与企业利用资源的效率和达到的效果有关。 可靠的信息沟通意味着沟通信息的真实、及时、公允。信息沟通包含企业内外部的信息沟通，企业内部的信息沟通应当使董事会和高管层了解企业的风险情况，使企业每一个工作人员明确企业的风险管理政策；企业向外的沟通主要是信息披露和财务报告，包括税务报告。 所谓合规经营是指企业的行为符合有关国家的法律法规的要求，包括符合法律和法规的要求、上市公司要符合监管机构对财务报表的要求、国有企业要符合国资委对国有企业的要求。 如前所述，全面风险管理的最终目标是为企业实现经营目标提供合理保证。 全面风险管理的必要性 全面风险管理是企业持续健康发展的需要。近年来在国内国际发生的如巴林银行、长期资本管理、世通、安然、中航油等著名案例说明，企业的倒闭或者遭受重大损失都是因为不良的风险管理造成的。 全面风险管理也是政府等监管部门、员工、社会、股东、债权人、管理层以及商业伙伴等企业利益相关人的要求。 在企业层面，董事会和管理层需要全面风险管理回答的问题包括： 公司目前面临的风险有哪些？ 哪些风险可能影响战略目标的实现，甚至危及到公司的生存？公司应该怎样度量这些风险？ 这些风险产生的动因有哪些？ 目前的风险状况是否符合公司发展战略的需要？ 公司现有的风险管理是否有效？ 公司应该如何管理所面临的风险？ 公司应当如何构建风险管理的体系？ 公司应该怎样利用风险管理来实现自己的目标？我们有多少把握能够达到我们预定的战略目标？是98％还是95％？如果是98%，那么2%的可能性又意味着什么情况？这些意外情况对我们公司有什么样的影响？我们应该怎样应对这些情况？…… 全面风险管理就是回答以上这些问题最好的方式。 全面风险管理体系 全面风险管理体系是企业在风险管理中建立并维护的必要系统，包括指导企业整体风险管理活动的风险管理策略、执行风险管理功能的风险管理组织职能、为保证风险管理顺利执行的内部控制系统、用于提高风险信息收集、分析、传递的效率和效果的风险管理信息系统以及风险理财五个组成部分。 风险管理策略 风险管理策略是根据企业整体经营战略制定的全面风险管理的战略，如同企业战略是指导企业运作的总纲领一样，风险管理策略是指导企业风险管理活动的方针和行动纲领，是针对企业面临的主要风险设计的一整套处理方案。明确的风险管理策略是全面风险管理体系能否有效运行的关键。 风险管理策略包括企业的风险度量模型、风险偏好和风险承受度、全面风险管理的指导方针、全面风险管理的资源配置和风险文化等几个组成部分。 风险度量模型 风险度量模型要解决的是“如何衡量企业风险？”的问题，是整个风险管理策略以及风险分析和评价的基础。 在风险评价的过程中，应尽量将风险的价值量化，这将有利于管理层做出正确的风险管理决策。度量风险的方法有许多。这些风险的度量包括对风险的影响直接估计如损失额，对风险事件发生的概率的估计，以及二者的结合如数学期望值、波动性、VaR、保险费、期权价值等，还包括风险对目标的变化的影响如各种导数类的指标等。 统一的风险度量模型可以使企业了解自身的整体风险水平，从而确定可以接受的风险组合和风险量的大小，同时可以衡量不同业务之间的风险大小，确定哪些风险是企业应当着重管理的，以及为风险管理资源奠定了分配基准。 风险偏好和风险承受度 风险偏好和承受度要解决的是“企业要承担什么风险？承担多少风险？”的问题。风险偏好是企业为了达到目标而愿意接受的风险及风险组合,风险偏好和企业的战略直接相关。风险承受度是企业为了实现其目标所愿意承担的风险的限度。风险承受度既可以作为风险偏好的边界，也可以作为风险预警指标。 风险管理指导方针 风险管理指导方针要解决的是“怎样管理企业的风险？”的问题。风险管理的指导方针即指管理每个或每一类风险的对策，包括风险规避、风险接受、风险转移、风险控制或其它战略手段，风险的对策还可以包括培训、教育、组织调整等手段。 风险规避是从战略决策的角度停止或避免引发风险的所有行动，如通过退出一个市场或地域，或者抛售、放弃一个产品类别或服务来避免风险。当某一风险与战略目标没有关系、同时该风险在可接受的范围之外、或者没有其他对策能够降低影响和可能性至一个可接受的程度时，企业应该考虑在战略上规避该风险。 风险控制是企业最多使用的风险管理策略，是指采取行动减少或者控制风险发生的可能性或者影响。这里的风险控制是单个风险控制的手段，是狭义的控制。主要方法是通过内部控制，将不可预见意外事件的可能性减少到可接受程度。 风险转移是指通过购买保险产品、集中风险、外包服务、使用特定的交易合同或其他金融工具来转移某些风险。风险转移是将剩余风险降低至企业能够承受的风险范围之内。 风险接受是指当潜在的风险已在可承受的风险范围内时或者其管理成本超过预期的收益时，指不采取行动而是接受风险发生的可能性和影响。当接受风险时，应该考虑主要问题是：如果出现任何损失的话，怎样为损失而提供资金和补偿。因此解决的方法了可以是建立通过增加一笔额外费用，在市场条件允许的情况下，弥补风险承担者的损失，通过这种方式重新定价产品或服务。 全面风险管理的资源配置 全面风险管理的资源配置要解决的是“如何安排风险管理资源？”的问题。企业应当为实施风险管理总体战略准备必需的资源，以保证风险管理策略的执行，同时注意把握风险管理成本与风险管理收益的平衡。 企业的风险偏好引导着资源分配，因此企业应该根据风险偏好，结合现有的资源、能力，以及企业管理不同的风险所愿意付出的时间和成本等来确定承担风险成本的资金预算和控制风险的组织体系、人力资源、管理措施等的总体安排。 风险文化 风险文化是企业风险管理水平的反映，也是风险管理的有力工具。企业应当致力于风险文化的培养，使风险管理真正成为企业文化的有机组成部分。风险文化是关于企业在日常运营中对待风险的态度、价值和实践，风险文化从企业的风险哲学和风险偏好中应运而生。 企业应当大力培育企业审慎的风险文化，在日益激烈的市场竞争中，让员工充分了解不断面临的新的风险。通过风险管理的培训等手段，增强每一位职工的风险意识，用文化使全体员工统一认识、自觉行动，促进风险管理水平的提高。 董事会应当高度重视风险管理文化的培育，总经理负责培育风险管理文化的日常工作，董事和高级管理人员应当在培育风险管理文化中起表率作用。重要业务流程和风险控制点的管理人员和业务操作人员应当成为培育风险管理文化的骨干力量。企业要充分发挥党组织和职工代表大会的作用，推进风险文化的建设。 风险管理组织职能 风险管理组织职能是整个风险管理的核心，是风险管理的具体实施者。通过合理的组织结构设计和职能安排，可以为有效管理企业风险提供基础。风险管理组织职能决定了企业控制、监督和评估其所承担风险的能力，它的目标是保证与企业的风险管理战略一致。 完整的风险管理组织结构一般包括：董事会、风险管理委员会、总经理、风险管理部门、内部审计部门、其他职能部门以及各业务单元以及风险管理岗位。不同的风险管理层面其职责各有侧重。 风险管理的最终实施者是人。企业应该培养、储备一批在战略管理、财务管理、运营管理等方面的专业人才，充实风险管理相关部门以满足风险管理的人才缺口。 风险管理内部控制系统 风险管理内部控制系统作为全面风险管理体系的一部分，是指企业管理层通过制定有效的监控措施，规范管理行为，控制企业经营管理过程中可能发生的内、外部风险，保证企业整体目标的最终实现。 完整的内部控制体系和完善的内部控制制度是约束、规范企业行为的准则，是减少风险的重大措施。有效的内控可以保证明确授权，对风险做到提前预防、适时管理和及时反馈，能保证管理行为的效率和效果，保证信息的准确性。内部控制活动是风险管理的关键，是风险管理实际操作的核心，内控体现的完整性、准确性和有效性直接决定到具体风险管理的效果。 风险管理的内部控制系统还包括风险管理流程、重大风险、重大事件的应对流程等以及一套风险整体的管理制度，如确定重大风险、风险管理策略、落实风险责任以及相关的考核报告的要求，以指导整个企业的风险管理实践。 风险管理信息系统 风险管理信息系统是将信息技术应用于风险管理的各项工作，传输企业风险和风险管理信息的主要渠道，包括风险信息和运营数据的采集、存储、加工、分析、测试、传递、报告、披露等各项功能。风险管理信息系统是全面风险管理各个子系统的信息集成，是企业高效率风险管理的必要工具，也是企业风险管理战略的载体。风险管理信息系统为量化风险提供计算服务，并且可根据管理层的要求就某一风险事件进行情境分析。 企业加强风险管理信息系统的工作应该从提高与风险相关的数据管理流程的顺畅性、数据模型和来源的统一性、数据所有权的清晰性、数据质量的准确性和可靠性、数据传递的及时性等方面做起。 在加强数据管理的同时，企业要根据不同管理层次的信息需求设计清晰的风险报告系统，以提供给决策者简洁而有用的信用风险管理信息。风险报告系统不仅要满足单项业务风险管理的要求，而且要满足企业整体的和跨职能部门、业务单位的综合性的风险管理的要求，尤其要关注那些影响企业战略目标实现的重大风险信息。 风险管理信息系统的建设要根据企业的信息化战略规划的要求，与建立企业管理信息系统紧密结合。在企业的统一指导下，已建立或基本建立管理信息系统的，应当补充、调整、更新已有的管理流程和管理软件，建立完善的风险管理信息系统；尚未建立管理信息系统的，应当将风险管理与企业各项管理的业务流程、管理软件统一规划、统一设计、统一组织、同步运行。 风险理财 风险理财是指运用金融手段来管理、转移风险的一整套措施政策和方法。风险理财的传统手段包括风险准备金和保险。随着金融市场的发展，风险理财手段不断增加，包括使用期权、期货、利率汇率互换等金融衍生产品，为风险的转移、分担、对冲、融资和补偿提供了工具。 全面风险管理的程序 如果说全面风险管理体系犹如计算机的硬件系统，那么全面风险管理程序就是在此基础上运行的应用程序。企业开展全面风险管理工作的核心是有效执行全面风险管理的程序。这一程序既可以用来管理影响整个集团战略、经营目标实现的整体风险，也可以应用在某个管理主体或者某个流程的任何风险。企业可以通过建立综合信息框架、风险评估、制定或调整风险管理策略、设计并实施风险管理解决方案以及监控改进这五个步骤形成一个全面风险管理的闭环。 建立综合信息框架 建立综合信息框架是收集与企业风险和风险管理相关的内外部风险的信息，并将其整理成可用于分析的形式的过程。 企业的风险可以分为战略风险、财务风险、运营风险、灾害性风险等几大类，对于与这些风险及风险管理相关信息的收集，可以为后续阶段的风险辨识和风险评估提供基础资料，为风险管理诊断、风险管理策略制定、风险管理体系设计以及风险管理的监控改进提供基本依据。同时，企业应该注重在风险文化、风险理财、风险管理的效果、成本和效率等方面信息的收集。 企业应当对收集的初始信息进行必要的筛选、提炼、对比、分类、组合等整理，以便于进行风险辨识和分析。信息收集应保证范围全面和数据完整、真实、及时。同时，各下属企业可根据自身的情况制定对数据的全面性、完整性、真实性和及时性的具体标准并报经上级批准后执行。 风险评估 风险评估是对企业风险状况和风险管理水平进行分析、诊断和评价的过程。 风险评估是风险管理程序中非常重要的环节，可以帮助企业了解所面临的风险组合，并在分析其动因及影响程度的基础上，确定需要关注的重大风险，发现风险管理中的不足，确定改进的方向，进而制定风险管理的中长期规划，以提升企业的整体风险管理水平。 企业应当建立并维护风险评估流程的内部控制系统，对其有效性进行及时的评估，并提出评估报告，另外应当对重大风险评估过程的内部控制设计和操作上的重大缺陷做出及时的修正，并记录存档以备检查。 企业风险状况的评估 对于企业风险状况的评估目的是了解企业面临的风险并对这些风险进行分析、度量，从而确定风险管理的重点。风险状况的评估可以分为风险辨识、风险分析和风险评价三个步骤。 风险辨识是在了解企业基本状况的基础之上，辨识出对实现企业经营目标有影响的风险因素。 风险分析是对辨识出的风险进行定性和定量的分析。企业风险的定性分析可以包括分析风险表现形式、风险的影响、风险的来源、与其它风险的关系等。风险的定量分析就是试图从风险的分布和价值评估上对风险做出更深入地描述。风险的定量分析内容包括风险的影响、风险事件的发生概率、风险之间的相关性分析及其他分析。 风险评价是评价每一个风险和风险的组合对经营目标的影响。在风险评价的过程中，应尽量将风险的价值量化，严格的量化分析有利于企业管理层做出正确的风险管理决策、提高资本使用的效率。风险的评价对企业来讲具重要的价值，尽管量化分析可能在开始时可能不够精确，但是通过企业上下之间的协作和互动，对风险的认知就可以得到进一步的统一。 企业的各级风险管理主体应当根据风险分析结果及风险管理策略的要求，重点是风险对企业经营目标的影响程度，采用绘制风险图谱等手段对所辨识出的风险的价值进行评价，对各项风险进行比较，确定各风险管理优先顺序，并统一确定各风险度量单位和风险度量模型，量化描述风险，并从中得出风险管理有效性评价。 风险图谱（Risk mapping）是用于风险识别和对其进行优先排序的有效工具。一旦企业的风险被识别以后，就可以依据其对企业业绩影响的重要性和发生的可能性两个维度来绘制风险图谱，一些风险因素被描绘在一个二维坐标的不同位置上，而每一个风险处于不同的位置，表明其需要处理的紧急程度，以及处理的措施和方案就有所区别。 处于“红灯区”的风险由于其发生的可能性大、影响重要性高，因此一般是需要重点管理的风险，企业对这些风险的管理是一种战略性需要； 处于“绿灯区”的风险是指那些不那么重要的资源，因为他们或者与企业业务不太相关，或者无意义，并且通常在目前的水平上可以接受，企业可以取消与此风险相关的、多余的风险控制措施，以减少成本和资源消耗，来管理更重要的风险，但应该持续跟踪这些风险，防止风险由量变到质变的演化。 处于“黄灯区”的风险虽然不像“红灯区”风险那样危急，但是他们一般包括突然发生的非常事件，还包括与日常经营和遵守法律方面的问题。高重要性、低可能性的风险包括一些非常事件，例如：暴风雨、偷盗、政治事件和其他事故，这些因素可能严重影响商务活动；高可能性、低重要性的风险往往与日常经营和遵守法律方面的问题有关。如果对此不加以管理，这些风险事件的聚积力量，可能达到我们不愿接受的水平；对于实际上肯定发生的风险，但其对业务有很小影响或无影响的风险事件，应监视其条件的改变。 因此，企业在分析风险图谱的基础上，可以直观地获得企业风险管理的重要控制点和风险转化方案。从而可以进行具体的风险诊断，做出企业全面风险管理的规划。 企业风险管理水平的评估 企业应该持续对企业风险管理水平进行诊断，及时发现单个风险管理和控制的薄弱环节，从而可以进一步提升企业的经营管理水平，同时可以有针对性地制定风险的管理对策，有效地排除风险或接受风险，规避一些企业在正常运营中不必要承担的风险，并为制定和实施有效的风险承担方案打好基础。企业风险管理水平的评估可以从对单个风险管理水平的评估和企业整体风险管理水平的评估两个层面进行。 对单个风险管理水平的诊断是企业风险评估的重要内容，这一过程主要根据具体风险的属性和特点，结合风险关键控制点以及企业实际状况分析和评价风险管理的效果和效率。 企业整体风险管理水平诊断，是综合评价企业总体风险管理体系和程序的有效性。企业进行风险管理整体水平诊断时，可以参考全面风险管理体系标准框架，从风险管理策略、组织职能、内部控制、风险理财、风险管理信息系统五个方面来进行全面风险管理体系建设和运行状况的分析和评价，并从建立综合信息框架、风险评估、建立风险管理策略、设计执行风险管理解决方案、风险持续改进等方面对风险管理流程进行有效性评价。 对体系的评价是企业全面风险管理体系建设的基础，根据评价的等级和以及建立全面风险管理体系企业的优势和不足，可以确定建设企业全面风险管理体系不同侧面的紧要程度和改进方向，为企业搭建全面风险管理体系的规划和实施奠定基础。 制定或调整风险管理策略 风险管理策略决定了企业全面风险管理的方向，企业在制定经营战略的同时系统考虑到了企业面临的各种风险，但是随着时间的推移和环境的变化，企业的风险状况以及风险管理的水平都有所变化，企业应当定期总结和分析已制定的风险管理策略的有效性和合理性，并结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线去实施的结果是否有效。具备条件时，可提出定性或定量的有效性标准。 设计并实施风险管理解决方案 风险管理解决方案是企业风险管理策略的具体执行方案，是风险管理策略的延伸。风险管理解决方案主要是针对单个风险或风险组合的应对以及对风险管理体系的更新和持续改进。具体包括风险解决的具体目标、所需的组织领导、所涉及的管理流程、所需的条件、手段等资源以及具体风险的管理方案的设计实施，如转移和对冲方案，应急和预警方案等。 风险管理的监控改进 监控改进工作是监控风险和风险管理的情况，并据此更新综合信息框架，对全面风险管理的工作做出持续的改进，包括监控内外部风险的发展和风险事件的发生、监控全面风险管理的运行情况、改进风险管理策略、改进风险管理解决方案等。 在制定了明确的风险管理策略后，企业应当定期对风险管理策略进行评估，对风险解决方案进行评价，判断其能否符合现实情况及其有效性，并对风险管理战略和风险解决方案提出调整或改进的建议。 监控的结果和改进建议通常体现在各种报告中，报告的内容可以是简单的信息收集结果，也可能是复杂的分析结果。企业各风险管理主体应该将各自管理和业务领域的风险监控、改进报告报送至企业的风险管理部门，风险管理职能部门的评价和建议报告应及时报送董事会。企业的内部审计部门应每年至少一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价。各有关部门和业务单位应当向内部审计部门提供其所需的一切信息或资料。内部审计部门的监督评价报告应直接报送企业的风险管理部门。企业还可以聘请有资质、信誉好、风险管理专业能力强的中介机构对全面风险管理工作进行评价，并出具审计报告。 全面风险管理的具体应用 开展全面风险管理是为了更好地管理企业在实现战略目标过程中的重大风险和重大事项，因此企业管理层应该及重点关注重大风险的评估、重大事件的应对、重大决策的制定、重要信息的报告和披露以及重要流程的内部控制。 重大风险的评估 重大风险是对实现企业战略目标有重大影响的风险，如政策风险、技术风险、法律风险、经济环境风险、通信安全、财务合规风险等。 企业应当根据风险管理策略制定关于重大风险的统一判断标准或判断机制，建立有效的风险评估流程，经常进行重大风险的评估，持续监控企业的风险情况，以作为企业战略和风险管理策略调整的依据。 重大事件的应对 重大事件是对实现企业战略目标有重大影响的管理事件，其中包括分立、合并、破产、解散、增减资本等涉及企业股权变更的事项，也包括金融市场环境的重大变化、行业内企业的重大变化、重要客户的变化和重大灾害的发生等事件。 企业应明确对于重大事件的判断标准或判断机制，同时完善重大事件的应对机制，包括对重大事件的分类、重大事件的评估、报告以及事前、事中和事后的处理机制。企业应当在重大事件发生后重新进行系统的风险评估，审视企业的风险管理策略并在必要时进行适当的调整。 重大决策的制定 重大决策是直接关系到企业经营目标实现的决策，包括企业短期和长期经营目标的设立和改变、企业的重大投融资决策、企业的股权变更决策和并购决策等。 企业应当根据风险管理策略统一并明确关于重大决策的判断标准或判断机制，针对重大决策制定严格的制度和详细的流程，定期检查重大决策的执行情况，包括财务和非财务的目标的实现情况，提出执行情况报告，并根据检查结果和需要及时调整策略。企业应当对重大决策制定过程的内部控制的设计和操作上的重大缺陷做出及时的修正，并记录存档以备检查。 重要信息的报告和披露 重要信息的报告和披露包括对内和对外的信息报告和披露。对内的重要信息主要是指对企业决策和各级管理层的工作有重大影响的信息；对外的重要信息主要是指企业依法所作的定期与非定期的报告和披露，包括财务和非财务的信息披露。 企业应当坚持对重要信息的报告和披露渠道的持续改进，积极利用电子网络等先进技术手段，提高效率，保证信息的及时、完整、真实。 重要流程的内部控制 重要流程是对实现企业经营目标有重大影响的流程，包括与企业的核心业务、财务报告和披露以及战略决策等有关的流程。 企业应当根据风险管理策略制定关于重要流程的判断标准或判断机制，并明确企业所有的重要流程。企业应当定期评价重要流程的范围、有效性，并提出报告，以确保没有任何重要流程被遗漏或失效。 以上几项工作的成效决定了全面风险管理工作的成效，而做好这几项工作需要企业全体员工积极参与，保证全面风险管理体系所有组成部分的有效运行。 全面风险管理的未来 全面风险管理的深入意味着企业管理境界的提升，全面风险管理的推广意味着企业卓越文化的形成。其时，可以想见： 风险信息的可接受程度大大提高，经理人可以通过高效的风险管理信息系统，实时定量地了解企业的风险，为管理层和所有利益相关人提供充分的信心； 经理们不再是被动被迫地回应风险事件的发生，而是主动自觉地掌握风险的情形。企业风险的状况成为经理人和股东最关心的日常课题，风险管理成为企业价值的核心。 认识风险，驾驭风险，就能在竞争中掌握企业的命运，于混沌中主导自己的方向，在必然中到达自由的彼岸。 PAGE PAGE 14