風險管理簡易手冊

1、 風險管理簡易手冊 1風險的定義 傳統(tǒng)定義：風險是損失的不確定性（Risk is the uncertainty of loss）。當代定義：風險是預期與實際結(jié)果的差異（Risk is the variation between expectation and practical reality）。國際標準組織的定義：風險是事件發(fā)生的可能性及其后果的綜合（Risk is the combination of the probability of an event and its consequences）。 可以輕易看出，人們對風險的認識在進步。當代的風

2、險管理不僅僅研究只可能造成經(jīng)濟損失的風險，也開始研究可以帶來收益的風險。對于企業(yè)的經(jīng)營者來說，前者是負面風險，后者是正面風險。 在有些時候，同一風險既可能帶來損失，也可能帶來收益。作為風險管理的一個重要分支，安全管理或風險工程學（Risk Engineering）僅研究負面風險，其目標是如何預防并減少損失，更側(cè)重于防災防損工程技術(shù)方面的研究。 本手冊探討的是最新意義上的風險。 2風險管理 定義：風險管理就是組織對面臨的各種風險進行識別、評估，確定恰當?shù)奶幚矸椒ú⒂枰詫嵤钥纱_定的管理成本替代不確定的風險成本，并以最小經(jīng)濟代價獲得最大現(xiàn)實保障的活動。&#

3、160;風險管理的核心是對風險進行識別和處理，其根本目標是確保組織經(jīng)營的穩(wěn)定、持續(xù)和發(fā)展?？梢哉f，好的風險管理機制能夠增加企業(yè)成功的概率，降低失敗的可能。 風險管理是動態(tài)的，始終貫穿于組織戰(zhàn)略的制訂和執(zhí)行。風險管理為組織的經(jīng)營者提供可靠的方法來對付組織面臨的各種風險，包括過去、現(xiàn)在和將來的風險，尤其是為決策者提供作為或不作為的依據(jù)。 風險管理必須同組織的經(jīng)營文化密切結(jié)合，并需要最高管理層的全力支持。 風險管理的受托人是風險管理經(jīng)理（Risk Manager），而隨著組織決策人對風險管理的日益重視，在風險管理最發(fā)達的北美，一些組織中已經(jīng)出現(xiàn)了首席風險官（Chief

4、Risks Officer），負責把組織的戰(zhàn)略轉(zhuǎn)化成可操作的各種計劃和流程，督促組織各級成員進行實施，并設(shè)立嚴謹?shù)目己梭w系，以確保組織的運營水平不斷提高。 風險管理的功能： ² ²      ²      給組織未來的經(jīng)營活動提供框架性指導；² ²      ²      促進組織決策、規(guī)劃的科學性；² &#

5、178;      ²      提高組織的經(jīng)營免疫力；² ²      ²      促進組織資源的最優(yōu)配置；² ²      ²      保護組織的資產(chǎn)和形象；² ²   &

6、#160;  ²      提高組織的運營效率；² ²      ²      實現(xiàn)組織社會責任目標。 風險管理的目標： ² ²      ²      最低目標：確保組織的生存；² ²   

7、0;  ²      中間目標：促進組織的發(fā)展；² ²      ²      最高目標：實現(xiàn)組織的社會責任。3風險管理流程概述 組織面臨的各種風險可簡單劃分成內(nèi)部風險和外部風險，并可進一步劃分為戰(zhàn)略風險、財務(wù)風險、運營風險和災害類風險。下面是個簡單的示意圖（Risk Mapping）。 財務(wù)風險利率外匯信用     合同自然災

8、害供應商環(huán)境災害風險      法規(guī)組織文化管理人員 運營風險 戰(zhàn)略風險競爭客戶變更行業(yè)變更市場需求    合并、收購現(xiàn)金流 研究與發(fā)展 知識產(chǎn)權(quán)   會計 資產(chǎn)信息系統(tǒng) 員工供應鏈 產(chǎn)品與服務(wù)市場銷售  內(nèi)部因素                   

9、0;       分析組織的經(jīng)營流程與契約結(jié)構(gòu)也是識別風險的重要方法。無論用那種方法，風險管理都既是一個整體過程，也是一個個決策過程的綜合。 其步驟大致如下：組織的戰(zhàn)略目標 風險識別風險描述風險的量化 監(jiān)控與改進 深入分析威脅與機會 管理報告 風險的處理 決策                1 1

10、3             風險的分析與評估 41 風險的識別 風險識別是將組織面臨的各種不確定因素一一鑒別出來。這需要對組織自身的經(jīng)營狀況、其所在市場的情況，其所處法律、社會、政治和文化環(huán)境有深入的認識和了解，同時要求該組織要有明確的經(jīng)營戰(zhàn)略，由此方可識別促使組織成功的因素，以及那些威脅到組織贏取其戰(zhàn)略目標的因素。 風險的識別是一個動態(tài)的過程，隨組織和其所在環(huán)境的發(fā)展變化而發(fā)展、變化。 風險的識別應當一種系統(tǒng)方法來進行，以確保組織的所

11、有主要活動及其風險都被囊括進來，并進行有效的分類。 組織的行為、活動、決策等可用很多方法加以分類，以下是個常見的分類： - -         -         與策略有關(guān)的風險：關(guān)系到組織長遠戰(zhàn)略目標的風險，例如資本的可獲得性、政治風險、法律和政策變更、聲譽、競爭態(tài)勢等等；- -         -   

12、      與運營有關(guān)的風險：關(guān)系到組織日常經(jīng)營的風險；- -         -         與財務(wù)有關(guān)的風險：關(guān)系到組織財務(wù)狀況的風險，例如應收帳款、銀行貸款、外匯匯率、利率變動和其他市場風險等；- -         -      

13、0;  與知識管理有關(guān)的風險：這關(guān)系到組織對知識資源的控制與管理，例如知識產(chǎn)權(quán)的侵權(quán)或被侵權(quán)，競爭技術(shù)的出現(xiàn)，信息系統(tǒng)的功能錯亂，關(guān)鍵技術(shù)人員的流失等等；- -         -         與合法（合規(guī)）經(jīng)營有關(guān)的風險：包括員工的安全與健康、環(huán)境污染、消費者權(quán)益保護等等；- -         -   

14、0;     災害類風險：主要是指自然災害或意外事故給組織帶來的各種經(jīng)濟損失。 有效的風險識別應當形成一個風險清單（Risk Manifest），列明組織面臨的各種主要風險。 42 42        42        風險的描述 將風險識別出來以后，通常需要使用一些表格的形式對風險的特征進行精確的描述。無論是對組織的日常經(jīng)營，還是針對某個特定的項目，都可以采用這種做法。其適用性非常廣

15、泛。見下表。  條目描述1風險的名稱 2風險的波及范圍風險本身、其類型、大小、數(shù)量的定性描述3風險的分類策略類、運營類、財務(wù)類、知識管理類、合法經(jīng)營類、災害類等等4風險的參與者誰分擔這些風險？各自期望如何？5風險的量化頻率與烈度6對風險的期望暴露于風險之下的總價值；潛在損失或收益的規(guī)模與概率；風險控制的目標以及預期。7風險的處理和控制對風險進行處理的現(xiàn)行方法；信心指數(shù)；審核與監(jiān)控的方法。8潛在的改進措施進一步減少風險的方法與措施9策略的制訂確定風險管理策略，并責成職能部門負責日常監(jiān)管。   43 43   

16、;     43        風險的量化 任何風險最后都需要用數(shù)字或精確的文字描述來表述，否則是無法被大多數(shù)人正確認識的。 對于風險的量化，一般是通過分析兩個維度，即發(fā)生的頻率（Frequency）與一旦發(fā)生所造成后果的嚴重程度（Severity），來進行的。這種方法既適用于“負面風險”- 即只有可能造成損失的風險，也適用于“正面風險”- 即有可能造成收益的風險。 風險量化通?？梢酝ㄟ^距陣分析發(fā)來進行，距陣數(shù)列越多，量化得越精密。一般說來，風險管理專家通

17、常使用3x3或 5x5距陣。讀者可以根據(jù)自己組織的具體情況進行選擇。下面是一些簡單的例子。 關(guān)于發(fā)生頻率的分析 損失量化估計描述重要跡象高很可能發(fā)生每年都可能發(fā)生，或者發(fā)生概率高于0.25十年內(nèi)已多次發(fā)生；最近三年內(nèi)發(fā)生過。中有可能發(fā)生每十年發(fā)生一次，或發(fā)生概率小于0.25十年內(nèi)發(fā)生過超過一次；歷史上曾經(jīng)發(fā)生過。低不太可能發(fā)生十年內(nèi)不太可能發(fā)生，或發(fā)生概率小于0.02從來沒有發(fā)生過；根據(jù)合理掌握的知識認為不太可能發(fā)生。 讀者們不妨根據(jù)上表分析一下“非典型性肺炎”這種風險再次爆發(fā)的可能性。 關(guān)于發(fā)生頻率的分析 收益量化估計描述重要跡象高很可能發(fā)生一年內(nèi)可取得最好的預

18、期成果，或成功概率大于0.75短期內(nèi)依靠現(xiàn)有體制并有明確機會取得確定性成果。中有可能發(fā)生一年內(nèi)可取得合理的預期成果，或成功概率在0.25到0.75之間短期內(nèi)按照預定計劃并在現(xiàn)有體制內(nèi)無法取得成果，但采取恰當措施則有可能。低不太可能發(fā)生一年內(nèi)不太可能獲得預期成果，或成功概率小于0.25短期內(nèi)按照預定計劃并在現(xiàn)有體制內(nèi)無法取得成果，管理層暫時也沒有恰當?shù)霓k法。 關(guān)于后果嚴重程度的分析 損失與收益高- -         -       &#

19、160; 對組織財務(wù)狀況的沖擊巨大；- -         -         對組織戰(zhàn)略和經(jīng)營活動造成重大影響；- -         -         引起各關(guān)系方的高度關(guān)注。中- -       

20、60; -         對組織財務(wù)狀況的沖擊較大；- -         -         對組織戰(zhàn)略和經(jīng)營活動造成較大影響；- -         -         引起各關(guān)系方的較多關(guān)注。

21、低- -         -         對組織財務(wù)狀況的沖擊較小（在心理承受線以下）；- -         -         對組織戰(zhàn)略和經(jīng)營活動沒什么影響；- -         -

22、60;        各關(guān)系方不會有很多關(guān)注。 5x5 距陣是在“低”與“中”之間加一個“一般”，在“中”與“高”之間加一個“較高”，這樣將形成五個等級。 至此，讀者可以綜合考慮一下，對一個出口型企業(yè)來說，應當如何評估其產(chǎn)品在海外市場遭到反傾銷投訴的風險。下圖是個簡單的3x3距陣。 44 44        44        風險識別與分析的方法和技巧&#

23、160;風險的識別與分析有很多方法、技巧，一般說來，以下這些是最常用的：風險識別- -         -         頭腦風暴（集思廣益）；- -         -         合同結(jié)構(gòu)分析；- -      

24、;   -         問卷調(diào)查；- -         -         行業(yè)參照；- -         -         業(yè)務(wù)流程分析；- -  

25、       -         情境分析（最好和最差情境）；- -         -         事件分析；- -         -      

26、60;  研討會；- -         -         調(diào)查與審計。 風險分析 對于“正面風險”：- -         -         市場調(diào)研；- -       &

27、#160; -         前景預測；- -         -         研究與發(fā)展；- -         -         實驗性營銷；- -   &#

28、160;     -         沖擊力分析。  對于“正面風險”和“負面風險”- -         -         組織依存模型分析（泛契約關(guān)系模型分析）；- -         -  &

29、#160;      SWOT分析；- -         -         事件樹分析法；- -         -         持續(xù)經(jīng)營計劃（BCP）；- -     &

30、#160;   -         BPEST分析（商業(yè)、政治、經(jīng)濟、社會、技術(shù)分析）- -         -         統(tǒng)計分析與推論；- -         -       &#

31、160; PESTLE分析(政治、經(jīng)濟、社會、技術(shù)、法律、環(huán)境分析)；- -         -         散布與傾向分析。 對于“負面風險”- -         -         威脅分析；- -     &

32、#160;   -         失誤樹分析；- -         -         FMEA分析（失敗模式與效果分析）。 45 45        45        風險剖面圖&#

33、160;上述風險分析完畢后，就可以畫出任意風險的剖面圖，并開始探求對任意風險的處理方法。 風險剖面圖需要列明風險的種類，性質(zhì)，分析（頻率與后果），參與方/關(guān)系方，并提議處理方法。 由于經(jīng)常為一些項目提供風險管理咨詢，我本人非常習慣使用特定格式來畫風險剖面圖。附件一是個簡單的例子。 風險的分析與評估需要達到這樣一個效果，即任意風險都要有明確的歸屬。風險的承擔者可以是組織本身及內(nèi)部的各個構(gòu)成，也可以是與組織有契約關(guān)系的其他組織。 5風險的處理 通過對風險進行分析和評估，組織的管理層應當已經(jīng)識別出了影響組織戰(zhàn)略目標的風險以及其歸屬，需要考慮采取那些手

34、段對風險進行處理。主要手段包括： 1. 1.       1.       前端處理 避免（不去做某事以不承擔任何風險）；2. 2.       2.       自留（由組織自身承擔）；3. 3.       3.     &#

35、160; 控制與弱化（安全管理，降低風險的頻率和烈度）；4. 4.       4.       后端處理 轉(zhuǎn)移（在契約關(guān)系方之間進行）；5. 5.       5.       財務(wù)處理（保險與其他方式）。 成熟的組織應當首先考慮前端處理方法，然后按順序考慮中、后端處理方法。這是因為對風險的處理越靠近前端，組織就越主動，處理成本就越好控

36、制。 任何風險處理系統(tǒng)都至少需要達到下列目標： 1. 1.       1.       確保組織運營的效率；2. 2.       2.       確保有效的內(nèi)部控制；3. 3.       3.       確保組

37、織的合法、合規(guī)經(jīng)營。 必須指出：任何對風險的處理都是有經(jīng)濟代價的，判斷風險處理的方法是否得當主要是比較風險自身的成本和對風險進行處理的成本，后者小于前者是最低標準。 另外，對某一特定風險進行處理在多數(shù)情況下會帶來新的風險。一旦新的風險被識別出來，組織應當進行相應的分析與評估。 舉個簡單的例子：在辦公大樓內(nèi)禁止吸煙降低了火災的頻率，安裝噴淋系統(tǒng)降低了火災的烈度。但噴淋系統(tǒng)有可能在平時破裂造成水損。在這種時候，風險管理人員需要比較對甲風險的處理成本是否低于處理后衍生風險的成本，若否則需要考慮對甲風險的其他處理手段。 在對風險進行財務(wù)處理中，保險是個很重要的方

38、式，但不是唯一的方式。對保險公司進行甄別和選擇需要考慮組織的整體風險管理標準。 在這里提個問題請大家思考：中國企業(yè)挑選保險公司的標準是什么？是否與組織的戰(zhàn)略目標保持一致？6 6         6         風險管理中的匯報渠道與溝通 71 內(nèi)部匯報渠道 優(yōu)秀的風險管理體制應當給組織中不同級別的機構(gòu)和人員提供不同的信息。 董事會及成員應當： ² ² &

39、#160;    ²      知道組織面臨的最主要戰(zhàn)略風險；² ²      ²      知道組織實際經(jīng)營效果與各方預期之間的差異及其后果；² ²      ²      確保組織里各級機構(gòu)及員工都有恰當?shù)娘L險意識；² ²&#

40、160;     ²      知道組織應當如何進行危機處理；² ²      ²      意識到股東對組織信心與信任的重要性；² ²      ²      知道如何管理與投資機構(gòu)的溝通；² ²  

41、;    ²      知道風險管理系統(tǒng)是否在有效運行；² ²      ²      公布組織的風險管理政策、哲學、和使命。 各營業(yè)機構(gòu)應當： ² ²      ²      知道各自工作范圍內(nèi)的主要風險以及對其工作業(yè)績的影響；

42、² ²      ²      設(shè)立明確的運營指標作為基準，以定期考察實際經(jīng)營效果與預期之間的差異，并提供改進建議；² ²      ²      向高級管理層隨時或定期匯報新出現(xiàn)的風險，或當前體制中存在著的風險控制瑕疵； 基層員工應當： ² ²    

43、60; ²      了解組織風險管理系統(tǒng)的基本要求；² ²      ²      了解自己工作職責內(nèi)的主要風險；² ²      ²      知道應當如何持續(xù)改進其各自工作范圍內(nèi)的風險管理；² ²     

44、; ²      意識到個人風險管理和風險意識對組織的重要性；² ²      ²      向上級管理層隨時或定期匯報新出現(xiàn)的風險，或當前體制中存在著的風險控制瑕疵。 72 外部匯報渠道 任何組織都需要向其投資人或主管部門定期匯報風險管理政策，及其實施的有效性。隨著時代的不斷進步，越來越多的投資人、社會公眾和主管部門會對組織的非財務(wù)性經(jīng)營成果表示關(guān)注，例如環(huán)保、安全生產(chǎn)、社區(qū)形象等等，

45、因此組織對外通報其風險管理政策與效果提出了新的要求。 出色的風險管理體制應當提供操作性很強的方法，以達到保障組織的生存，促進其發(fā)展，保護投資人和社會公眾利益的最終目的。 對于經(jīng)營透明度要求很高的公共組織（例如政府或上市公司）來說，以正式途徑向公眾或直接利益方通報其風險管理政策更是舉足輕重。這里處理失敗的例子舉不勝舉，值得深思。 正式通報途徑應當明確指出： ² ²      ²      對風險的控制手段，尤其是主管人員對風險管

46、理的責任與義務(wù)；² ²      ²      識別風險的流程，以及組織風險管理體系的處理方法；² ²      ²      對重大風險的控制手段；² ²      ²      風險管理的監(jiān)督與改進機制。&

47、#160;任何現(xiàn)有風險管理系統(tǒng)沒有涵蓋的重大風險，或者系統(tǒng)本身的瑕疵都應當及時向組織外部關(guān)系方進行通報，并提出行動計劃。 7 7         7         風險管理的結(jié)構(gòu)與日常管理 71 風險管理政策 任何組織的風險管理政策都應當以書面方式表達，并明確提出組織對風險的認識和管理思路（即“風險文化”）。該政策應當對風險管理職責在組織內(nèi)的分配做出清楚的分工。此外，風險管理政策應當盡可能多地援引組織所處

48、法律和政策環(huán)境的要求。 法律規(guī)定是對風險管理的最低要求。 風險管理政策應當提出針對組織運營特點的風險識別、分析與評估方法，要做到簡單明了，以便于組織各級機構(gòu)掌握。 組織的最高決策層應當對風險管理政策的制訂負全面責任。   82 董事會的角色 董事會負責確定組織風險管理的戰(zhàn)略方向，創(chuàng)造并維護一個能夠讓風險管理機制有效運行的大環(huán)境。董事會可以下令成立“風險管理委員會”，由組織內(nèi)高級管理人員組成；也可以委任“首席風險官”來全權(quán)處理風險管理事務(wù)。 董事會至少應當考慮如下事項： ² ² 

49、;     ²      組織承擔負面風險的極限；² ²      ²      這些負面風險一旦發(fā)生組織的命運如何；² ²      ²      如何對這些負面風險進行主動管理；² ²  

50、0;   ²      主動管理這些負面風險的能力極限；² ²      ²      主動管理這些負面風險的成本極限；² ²      ²      主動管理這些負面風險的預期效果；² ²    &

51、#160; ²      主動管理這些負面風險的決策。 83 各營業(yè)機構(gòu)的角色 組織內(nèi)部各營業(yè)機構(gòu)至少應當考慮如下事項： ² ²      ²      各自領(lǐng)域內(nèi)主要風險是否在日常工作中得到了有效管理；² ²      ²      如何在各自機構(gòu)

52、內(nèi)部提高風險意識；² ²      ²      從事的特定項目是否在不同階段都有相應的風險管理措施；² ²      ²      是否有定期對各自領(lǐng)域內(nèi)的風險進行審核的機制。 84 風險管理專職部門的角色 根據(jù)組織的規(guī)模大小和經(jīng)營復雜程度，可以設(shè)立如下專職機構(gòu)： ² ² &#

53、160;    ²      風險管理委員會；² ²      ²      首席風險官；² ²      ²      全職風險管理經(jīng)理；² ²      ² 

54、;     兼職風險管理經(jīng)理；² ²      ²      風險管理協(xié)調(diào)人。 據(jù)說現(xiàn)在判斷一個組織是否實力雄厚的重要依據(jù)是看該組織的官方網(wǎng)站，但在我看來，判斷一個組織的實力也好，發(fā)展前景也好，主要是看該組織是否有專門的風險管理職能部門。這是個重要的分水嶺。全職風險管理經(jīng)理應當至少負責如下事務(wù)： ² ²      ² 

55、     受董事會委托具體制訂組織風險管理戰(zhàn)略和政策；² ²      ²      在組織內(nèi)部推行組織的風險文化，提高全員風險意識；² ²      ²      向組織內(nèi)部機構(gòu)提供風險管理培訓；² ²      ²&

56、#160;     給每個營業(yè)機構(gòu)設(shè)立內(nèi)部風險政策和目標；² ²      ²      根據(jù)組織特點設(shè)計并執(zhí)行風險管理計劃；² ²      ²      受理組織內(nèi)部及外部關(guān)于改進風險管理的建議和意見；² ²     

57、78;      制訂危機處理計劃；² ²      ²      編寫、修訂組織的風險管理手冊；² ²      ²      向董事會或首席執(zhí)行官匯報風險管理事務(wù)，并接受董事會委托向組織外部有關(guān)方面通報風險管理事項。 85 內(nèi)部審計的角色 內(nèi)部審計的功能和角色因組織

58、具體情況而有很多不同，但在風險管理上，至少應當承擔以下任務(wù)： ² ²      ²      審查組織風險管理政策在各機構(gòu)的執(zhí)行情況；² ²      ²      向風險管理專門機構(gòu)提供評估報告；² ²      ²  

59、0;   普及并提高內(nèi)部審計人員的風險意識。 86 人力資源部的角色 ² ²      ²      在工作描述中明確各職位的風險管理功能；² ²      ²      配合風險管理專門部門對組織全體成員提供風險管理培訓。 組織也可以充分利用諸如專業(yè)的風險管理、安全管理咨詢機構(gòu)、保險公司

60、的防災防損服務(wù)、政府主管部門的監(jiān)督檢查機構(gòu)、行業(yè)協(xié)會等外部資源來幫助組織制訂、實施風險管理政策與計劃。8對風險管理的監(jiān)督和審核 有效的風險管理機制不是一個密不透風的鐵罐子，而應當有充分的彈性來采納來自各方面的改進意見。另外，組織和其外部環(huán)境都是在不斷發(fā)展、變化中的，因此需要對組織的風險管理系統(tǒng)進行日常監(jiān)督和定期審查，以保證其可靠性和有效性。 監(jiān)督和審核機制主要考察以下事項： ² ²      ²      風險管理系統(tǒng)是否達到預期效果；

61、² ²      ²      風險管理程序是否合理；² ²      ²      風險信息及其采集方法是否有效；² ²      ²      是否有新的風險管理知識、技術(shù)、方法產(chǎn)生。 至此，組織風險管理的第一個大循環(huán)結(jié)束。 9.風險管理部門與組織內(nèi)其他部門的關(guān)系 自上個世紀七十年代以來，風險管理在組織中發(fā)揮的作用一直在高速地發(fā)展、變化。 七十年代的風險管理負責的僅僅是對組織各種保險的安排和管理，例如財產(chǎn)保險