全面风险管理筑起企业的防火墙学习资料

1、全面风险管理 筑起企业的防火墙殷俊国资委职业经理研究中心特聘专家，曾在多家公司任职首席顾问，有着多 年的管理实践经验。主要研究领域：企业全面风险管理、企业危机管理、 企业危机管理与风险管理、突发事件的应急管理、冲突管理与有效沟通、 冲突管理等。全面风险管理就是指企业围绕总体经营目标，通过在企业管理的各个 环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化， 建立全面的风险管理体系（包括风险管理策略、风险理财措施、风险管理 的组织职能体系、风险管理信息系统和内部控制系统），从而为实现风险管理的总体目标提供合理的过程和方法。其具体实施流程包括以下六个步 骤。步骤一：收集风险管理初始信息

2、初始信息包括战略风险信息、财务风险信息、市场风险信息、运营风险信息、法律风险信息等内容。第一，在战略风险方面，企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例，并至少收集与本企业相关的以下重要信息：国内外宏观经济政策以及经济运行情况、 本行业状况、 国家产业政策；科技进步、技术创新的有关内容；市场对本企业产品或服务的需求；与企业战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；本企业主要客户、供应商及竞争对手的有关情况；与主要竞争对手相比，本企业实力与差距； 本企业发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据；本企业对外投融资流程中

3、曾发生或易发生错误的业务流程或环节。第二，在财务风险方面，企业应广泛收集国内外企业财务风险失控导致危机的案例， 并至少收集本企业的以下重要信息 （其中有行业平均指标或先进指标的，也应尽可能收集 ）：负债、或有负债、负债率、偿债能力;现金流、应收账款及其占销售收入的比重、资金周转率；产品存货及其占销售成本的比重、应付账款及其占购货额的比重；制造成本和管理费用、财务费用、营业费用；盈利能力；成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流 程或环节；与本企业相关的行业会计政策、会计估算、与国际会计制度的差异与 调节（如退休金、递延税项等）等信息。第三，在市场风险方面，企业应广泛收集国内

4、外企业忽视市场风险、 缺乏应对措施导致企业蒙受损失的案例，并至少收集与本企业相关的以下 重要信息：产品或服务的价格及供需变化；能源、原材料、配件等物资供应的充足性、稳定性和价格变化;主要客户、主要供应商的信用情况；税收政策和利率、汇率、股票价格指数的变化；潜在竞争者、竞争者及其主要产品、替代品情况。第四，在运营风险方面，企业应至少收集与本企业、本行业相关的以 下信息：产品结构、新产品研发；新市场幵发，市场营销策略，包括产品或服务定价与销售渠道，市场 营销环境状况等；企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务 流程中专业人员的知识结构、专业经验；期货等衍生产品业务中曾发生或易发

5、生失误的流程和环节；质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流 程或环节；因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失 灵；给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险;对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改 进能力；企业风险管理的现状和能力。第五，在法律风险方面，企业应广泛收集国内外企业忽视法律法规风 险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与本企业相关的 以下信息：国内外与本企业相关的政治、法律环境；影响企业的新法律法规和政策；员工道德操守的遵从性；本企业签订的重大协议和有关贸易合同；本企业发生重大法律纠纷案

6、件的情况；企业和竞争对手的知识产权情况。步骤二：进行风险评估风险评估就是考虑风险事件发生的可能性和对企业目标实现的影响程度，它包括风险识别、风险分析和风险评价。企业风险识别是指查找企 业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险；风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和 描述风险发生可能性的高低、风险发生的条件；风险评价是评估风险对企 业实现目标的影响程度、风险的价值等。步骤三：制定风险管理策略为了更好地进行风险评估，我们必须掌握相应的风险管理的方法、技 术和工具。企业风险管理的方法一般有定性分析研究方法和定量分析研究 方法；企业风险管理的技术一般有头

7、脑风暴法运用技术、风险管理问卷设 计技术、风险内部控制技术、 SWOT 分析技术、风险驱动因素图技术、风 险坐标图技术、风险管理计量技术、影响计分卡和频率计分卡技术；企业 风险管理的工具一般有财务工具和非财务工具。风险管理策略是指企业根据自身条件和外部环境，围绕企业发展战略，确定风险 偏好、风险承受度、风险管理有效性标准，选择适合的风险管理工具的总体策略。一般情况下，对战略、财务、运营和法律风险，可采取风险承担、 风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等 金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方 法。企业应根据不同业务特点统一确定风险偏好和风险承

8、受度。风险偏好 是指企业在制定和实现战略目标以及追求价值的过程中愿意承担的广泛 意义上的风险数量，即企业愿意承担哪些风险。企业有时用高中低的定性 方式来表述风险偏好，有时用定量数据来描述。风险容忍度，也可称为风 险承受能力，是一个企业在实现未来目标的过程中所能够接受的与目标的 偏离度，即明确风险的最低限度和不能超过的最高限度，并据此确定风险 的预警线及相应采取的对策。确定风险偏好和风险承受度，要正确认识和 把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、 范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规 避风险而放弃发展机遇。此外，根据各风险在风险坐标图上的位

9、置，企业可以进一步确定风险 管理的优选顺序。风险坐标图是把风险发生可能性的高低、发生后对目标的影响程度， 作为两个维度绘制在同一个平面上。对风险发生可能性的高低、风险对目 标影响程度的评估有定性、 定量等方法。定性方法是直接用文字进行描述， 如“极低”、“低”、“中等”、“高”、“极高”。定量方法则是用具有实际意 义的数量描述，如对风险发生可能性的高低用概率来表示，对目标影响程 度用损失金额来表示。对风险发生可能性的高低和风险对目标影响程度进行定性或定量评 估后，依据评估结果绘制风险坐标图（见图1）和风险定量评估图（见图2）。绘制风险坐标图的目的在于对多项风险进行直观的比较，从而确定各 风险管

10、理的优先顺序和策略（见图 3）。步骤四：提出和实施风险管理解决方案提出和实施风险管理解决方案，企业应根据风险管理策略，针对各类 风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决 的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、 手段等资源，风险事件发生前、 中、后所采取的具体应对措施以及风险 管理工具。风险管理解决方案一般包括内控方案和全面方案。企业制定风险解决 的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控 制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对 其他风险所涉及的业务流程，要

11、把关键环节作为控制点，采取相应的控制 措施。风险管理内控方案的框架一般包括： 内部环境、风险评估、控制活动、 信息与沟通、监控。内控方案的内容一般包括：重大风险预警制度、内控 报告制度、内控批准制度、内控责任制度、内控审计检查制度、内控考核 评价制度、健全以总法律顾问制度为核心的企业法律顾问制度、内控岗位 授权制度、重要岗位权力制衡制度等。步骤五：风险管理的监督与改进风险管理的监督与改进，企业应以重大风险、重大事件和重大决策、 重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理 策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力 测试、返回测试、穿行测试以及风险控制

12、自我评估等方法对风险管理的有 效性进行检验，根据变化情况和存在的缺陷及时加以改进。企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和 业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整, 为风险管理监督与改进奠定基础。企业各有关部门和业务单位应定期对风险管理工作进行自查和检验， 及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部 门。企业风险管理职能部门应定期对各部门和业务单位风险管理工作实 施情况和有效性进行检查和检验，要对风险管理策略进行评估，对跨部门 和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评 价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管 理人员。企业内部审计部门应至少每年一次对包括风险管理职能部门在内的 各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效 果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管 理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审 计工作一并开展。企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业 全面风险管理工作进行评价，出具风险管理评估和建议专项报告。此外，企