企业全面风险管理识别评估与控制

1、企业全面风险管理：识别、评估与控制从风险的识别、评估和控制三个方面对全面风险管理的理念和内涵进行系统阐 述，并对其与传统风险管理的区别与联系进行简要分析，对我国企业全面风险 管理体系的建立具有重要借鉴意义企业全面风险管理：识别、评估与控制企业全面风险管理是指企业围绕总体经营目标，通过在企业管理的各 个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建 立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组 织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体 目标提供合理的过程和方法。与传统风险管理相比较，在管理模式上，全面风 险管理强调对各种风险

2、，包括战略风险、营运风险以及财务风险等的综合统一 管理，强调把风险管理的各项要求融入企业管理和业务流程中；在风险的处 理方式上，全面风险管理在强调防范和化解风险的同时，把机会风险视为企业 的特殊资源，强调通过对其的管理，为企业创造价值，促进经营目标的实现。全面风险管理是对传统风险管理的继承和发展，赋予了风险识别、风 险评估以及风险控制新的内涵。一、以构建企业风险“全景图”为目标的风险识别风险识别是进行有效风险管理的基础和关键。风险管理第一步，就是 要对企业面临的各种风险进行识别，将风险分门别类，并追溯导致风险产生的 各种因素。风险识别工作做得扎实，风险评估和控制的工作效果才有保障。在 全面风险

3、管理框架下，风险识别的目标，就是要广泛、持续地收集与本企业风 险和风险管理相关的内部、外部初始信息，发现企业面临的各种风险，并构建 反映各种风险的风险“全景图”。（一）企业风险“全景图”所谓风险“全景图”，就是将本企业面临的各种风险反映到统一框架 内，为风险评估提供坚实的基础。企业面临的风险，从整体来看可分为外部风 险和内部风险两大类，参见图1、图2。（二）完善的全面风险管理组织体系是风险识别的依托全面风险管理组织体系是有效识别、评估和控制风险的制度保障，它 包括以下几个方面：一是规范的公司法人治理结构。股东大会、董事会、监事 会和经理层要依法履行职责，形成高效运转、有效制衡的监督机制。董事会

4、负 责确定企业风险管理总体目标、风险偏好、风险承受程度，批准风险管理策略 和重大风险管理解决方案及风险管理监督评价审计报告；董事会下设风险管理 委员会，风险管理委员会对董事会负责，并提交全面风险管理年度报告、审议 风险管理策略和重大风险管理解决方案以及风险评估报告；企业总经理对全面 风险管理工作的有效性向董事会负责。二是企业应设立专职部门或确定相关职 能部门履行全面风险管理职责。该部门对总经理或其受委托的高级管理人员负 责，职责包括：研究提出全面风险管理工作报告；提出重大决策、重大风险、 重大事件和重要业务流程的判断标准或判断机制；提出重大决策风险评估报 告并对日常的企业风险进行监控。三是企业

5、应在董事会下设立审计委员会，企 业内部审计部门对审计委员会负责。内部审计部门在风险管理方面，主要负责 研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评 价，出具监督评价审计报告。四是企业其他职能部门及各业务单位在全面风险 管理工作中，应接受风险管理职能部门和内部审计部门的组织、协调、指导和 监督。（三）全体员工的风险意识是有效风险识别的保障风险意识是风险管理过程的出发点，在有风险意识的环境里，很多风 险问题在变成更大的问题之前，都能得到有效地处理。让所有员工知晓他们个 人职责对公司风险有怎样的影响，以及在公司内他们的作用和责任与他人有怎 样的关系，是企业风险管理的一个重要方

6、面，也是风险识别工作充分有效进行 的前提。在企业风险管理过程中，要努力让每一位员工具备充分的风险意识， 使“风险无处不在”的理念遍及企业的每一个角落，只有如此，全面风险管理 才能名副其实。从这个意义上说，未能了解自己的企业是基德皮博迪和德国 石油及金属集团发生灾难的主要原因。（四）通用风险语言是风险识别的基础构建风险“全景图”应使用通用风险语言。通用风险语言，使得来自 不同部门、使用不同术语的人之间的交流成为可能。顺畅有效的交流，能够持 续促进公司不同级别人员风险认识能力的提高，减少达成共识的成本，促成公 司各部门一致对待风险，提高风险管理的效率。可以说，没有通用的商业风险 语言，没有对风险在

7、一个公司的角色的理解，公司的控制流程就将是空中楼阁， 失去成长的基础。（五）恰当的风险识别途径是风险识别工作高效进行的基本保证构建风险“全景图”需优化风险识别途径。风险识别的途径很多，从 公司业务的战略规划和盈利预测，到公司各个主要业务执行层面的管理和流程 控制，都为风险事件的识别提供了按图索骥的指引。笔者认为，最直接的途径 往往也是最有效的。具体而言，企业在风险管理的过程中，应注重从基本业务 单位的经营情况去分析风险，与基层业务人员交流风险，在业务分析报告中找 寻风险。比如微软公司的风险管理部门非常重视与业务部门面对面地交流。按 照微软公司财务总监的说法，通过这样的方式，风险管理部门至少可以

8、掌握企 业所面对的90%的风险。在实践中，从业务报告中分析风险已成为绝大多数企 业识别风险的重要途径。（六）先进的识别工具为风险识别提供了充分有效的技术保障构建风险“全景图”需运用恰当的风险识别工具。用于进行风险识别 的工具很多，常见的主要包括：风险检索列表、PEST问卷、SWOT问卷以及风 险数据库等。其中风险检索列表是由公司经理层基于丰富的工作经验而开发的， 它给公司内部人员以相应的告示和提醒，避免今后的工作重蹈覆辙；PEST问 卷主要分析公司所面临的外部风险，包括对政治、经济、社会和科技等因素的 分析；SWOT问卷主要是对公司的优势、劣势、机会和威胁等问题进行分析。此外，现场分析、自我评

9、估、集体讨论和情景模拟等方法也都被广泛 地运用在风险识别的工作中。这些方法各有侧重，企业应根据管理的需要，选 择恰当的方法组合。二、重视风险之间关系的风险评估对企业面临的风险进行有效识别后，应对各种风险发生的可能性及其 对公司运营造成威胁的大小进行衡量和评估。按重要性、严重性或者对企业影 响的大小，对风险进行排序，形成企业风险评估报告，为风险控制决策提供科 学依据。（一）风险分析和评价是风险评估的基本环节风险分析就是对识别出的各种风险的特征进行明确描述，分析其发生 的可能性和发生的条件。具体体现在如下几个方面：一是无论事件是否会导致 财务损失，都应在当期的风险分析报告中加以反映。风险事件可以包

10、括重要的 顾客账目损失、政策违犯、系统失效、舞弊以及官司等。对于重要的风险事件， 其潜在的影响、根源和商业反应等事项也应包括在风险分析报告之中；二是由 信用、市场和营运风险导致的损失应该系统地从损失数据库中获取并总结在风 险报告中。风险分析的注意力应重点放在超出某一限制上的特别损失以及与收 入或销售量相关的总损失上；三是风险分析应给管理层提供风险的前瞻性评 估，主要是对现有风险的发展趋势及将来可能出现的风险进行预测，为管理层 提供参考。风险分析和评价后，可以根据风险发生可能性的大小、对企业影响程 度的高低，将风险反映到风险坐标图中，如图3所示，A、B、C、D分别代表了 风险发生可能性的大小及影

11、响程度高低的不同组合，对于发生可能性较大且影 响程度较高的风险，应重点关注。（二）全面风险管理应重视风险之间关系的评估企业面临的风险不是孤立的，它们之间或相互促成，或相互消减，或 不相关。风险的变动性、流动性和高度互相依存的特性，使得企业在进行风险 评估时，不仅要评估风险本身，还应对风险之间的关系进行充分评价。在此基 础上，从资产组合的角度去管理风险，既可以利用风险之间相互抵消的关系， 节约企业管理资源，又可以防范风险的相互促成，从而酿成更大的风险。风险 分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件 发生的正负相关性等组合效应，从风险策略上对风险进行集中管理。（三）掌握

12、恰当的分析、评价工具随着管理技术的不断发展，风险评估工具也日渐丰富，常见的有以下几种:风险影响概率矩阵。风险影响概率矩阵对于风险所导致负面影响 的量化，从严重性和发生概率两方面同时描述，使得对风险的刻画更为有效和 清晰。风险指标分析。依据行业和企业自身情况，选取系列指标，根据 对指标的分析，提出可能的症状或警告信号。风险指标还可以与从外部渠道中 获得的主要变量的变动结合起来，提供风险变动的早期警告。实际使用中，可 以根据经验对指标定义不同的重要权数，还可以通过风险诊断获得附加数据， 确认或拒绝前期风险绘制图中的评级，见表1。风险评级或打分。用既定的标准对风险水平“评级”或“打分”， 经常被用来

13、以一致的标准给客户的信用风险进行评价，支持并监督信用决策， 详见表2。表现测量。许多情况下，风险不能直接测量，依靠该风险引起的 企业经营业绩的变动可以对风险本身进行间接和相对有效的测量。例如，客户 满意程度风险就是通过结合公司内部运营统计数字及其他客户反馈信息做出 的。这样，公司可以评估客户满意程度，了解客户的需求，使客户能够接受。风险模型测试。对数据便于收集，便于量化的风险而言，通过严密的评估模型和分析方法来支持风险的测试，是风险评估中行之有效的方法， 对金融服务企业而言更是如此。至于选取何种模型，应视企业的具体情况而定。值得注意的是，风险评估工具是为评估风险服务的。企业经营发展战 略、风险

14、管理的目标和业务流程的特殊性等，都是使用风险评估工具时必须考 虑的因素。（四）形成风险评估报告风险评估报告是对风险识别和风险评估工作的总结和归纳。风险评估 报告应该运用通用风险语言、合理的评估方法，为企业全面风险管理提供一个 整体的参照。在传统的管理体系下，要么无人负责整体的风险报告，要么各风 险管理部门提供了不一致的、有时甚至还互相矛盾的报告。而全面风险管理体 系则有效地克服了这一问题，在确保精炼、明确、全面的前提下，风险评估报 告能够涵盖企业面临的所有风险类别、风险事件和损失程度，并能指出问题的 关键所在，在为企业管理层风险管理决策提供基本依据的同时，也让企业的每 一位员工对企业所面临的风

15、险有个整体的了解，让他们更直观地了解到自己处 在企业风险的哪个环节，从而有利于激励他们积极参与到风险管理中来。三、视风险为企业特殊资源的风险控制全面风险管理，就是要保持企业所面临的风险与可能的收益之间的平 衡，风险控制是落实风险管理目标的最关键、最直接的方式。“企业开展全面 风险管理工作，应注重防范和控制风险可能造成的损失和危害，也应把机会风 险视为企业的特殊资源，通过对其进行管理，为企业创造价值，促进经营目标 的实现。” （一）风险控制原则鉴于风险控制在企业风险全面管理中的重要意义，在进行风险控制时， 应该坚持以下几个原则：区别对待风险。经过风险识别和评估后，各种风险发生的可能性 及影响大小

16、都形成了明显的区分，要优化利用资源，对不同的风险采取不同的 策略。风险与收益相平衡。风险会给企业带来损失，也可能给企业带来 收益。企业全面风险管理与传统的风险管理最重要的不同之处就在于，前者对 风险进行了更仔细的划分，能够积极地从风险中创造价值，而不是对所有的风 险都防范、化解。全面风险管理的核心就是要维持好风险与收益之间的平衡。积极应对。积极应对风险就是要建立起业务单位与风险管理的伙 伴关系模式，即“业务单位与风险管理部门一起评估和解决风险管理问题并且 拥有共同的目标”。在伙伴关系模式中，业务单位与风险管理部门既拥有各自 的绩效目标，同时也共有一些重要的绩效计量目标。（二）确定风险偏好和风险

17、承受程度企业作为一个经济体，在处理风险时，首先应明晰自身的风险偏好， 明确风险的承受程度。明晰自身风险偏好，就是企业要对自身的经营战略和风 险理念有清晰的认识，根据其发展战略要求确定风险偏好标准，并参照此标准 决定愿意或不愿意承受哪些风险。笔者认为，企业在确定自身的风险偏好时应 理性适中，不易过于保守或冒险。过分地冒险，会较大地增强企业遭受损失的 可能性，使企业面临的风险过于外溢，加大企业持续发展的不确定性；过于 规避风险则会使企业在经营发展过程中束手束脚，丧失一些具有一定风险但收 益极为可观的发展机会，不利于企业的快速成长。明确自身的风险承受程度，就是指企业在风险偏好基础上设定的，对 目标实

18、现过程中所出现的差异可容忍限度。在确定各目标的风险容忍度时，企 业应考虑相关目标的重要性，并将其与企业风险偏好联系起来。（三）制定风险应对策略风险控制的核心，就是制定出适当的风险应对策略。策略的制定必须 遵守一些基本原则，特别是在商业运作中，有些风险是无法避免的。根据风险发生的可能性及对企业造成影响的大小，结合公司风险偏好 和风险承受程度，处理风险的策略主要有：避免、转移、小心管理或可接受等，见图4。（1）对于发生可能性较大、且影响程度极深的风险，企业应当尽量避 免，以免损失惨重，危及生存。（2）对于影响程度较低、发生可能性较大的风 险，可以采取转移的策略。相应的方法主要有：与财务独立且有赔偿能力的实 体签订保险合同，进入资本市场利用衍生金融工具对冲风险，通过有效的定价 机制将风险资产证券化，通过外包非核心业务来转移风险等。（3）对于影响程 度较高、发生的可能性较小的风险，应当小心管理，力求将风险控制在合理范 围内。可以采取分散或控制的方法：分散是指在地理区域或客户构成上将业 务进行合理组合，适当降低产品或服务的客户集中度和区域集中度；控制是 指通过内部流程或行动，使负面事件出现的可能性降低到一个可以接受的水平。 （4）对影响程度和发生可能性都较低的风险，可以选择承担的策略。相应的方 法有：分配，即在公司内部适当分配资金，为所承担的风险融资并取得预期 回报；扩展，