风险管理简易手册范本

1、风险管理简单手册前言如今，风险管理已成为全球企业战略管理的核心内容。今年早些时候，我尊敬的一位资深人士告诉我，“所有的管理都是风险管理”，这让我重新认识了自己热爱什么。我一直自称是“风险管理与足球比较理论”的创始人。我喜欢将风险管理比作一个组织，就像一个中场球员比一个足球队。这是一个可攻可守的关键阵地。最容易被人钦佩如果你足够好，最容易被骂如果你不够好。我在三年前的一次研讨会上用了这个比喻，断言中国的企业风险管理意识、能力和水平与世界顶级公司相比的差距，就像我们足球与世界先进水平的差距一样大。如果不是更大。我很想被证明是错误的。现在，我清醒地知道：我是对的，而且可能会在很长一段时间内继续正确。

2、我一点也不骄傲。我很少把工作带回家，但有一天我忍不住向妻子抱怨说，中国公司的风险管理太落后，我的耐心已经耗尽，我对自己的职业前景感到灰心。她说了一句哲学大师似的：“这些不足其实是你的机会”，我顿时豁然开朗。在妻子的鼓励下，我决定为那些对风险管理感兴趣的人写这本小册子。我很高兴能够提供一些有限的帮助。对于任何认为这本小册子对您的工作有所启发的读者，请记住这条信息：保持风险，您就是大师。衷心感谢George Lazovsky先生带我走进风险管理的殿堂，给了我无尽的快乐。祝大家平安健康！ 1. 风险定义传统定义：风险是损失的不确定性（风险是损失的不确定性）。当代定义：风险是期望与现实之间的差异。国际

3、标准组织的定义：风险是事件发生的概率及其后果的组合。不难看出，人们的风险意识正在提高。当代风险管理不仅研究了只能导致经济损失的风险，也开始研究能带来收益的风险。对于经营者来说，前者是负风险，后者是正风险。在某些情况下，同样的风险可能会带来损失和收益。作为风险管理的一个重要分支，安全管理或风险工程（ Risk Engineering ）只研究负面风险，其目标是如何预防和减少损失，更侧重于防灾减损工程技术的研究。本手册讨论了最新意义上的风险。2. 风险管理定义：风险管理是组织识别和评估所面临的各种风险，确定适当的处理方法并实施，用可确定的管理成本代替不确定的风险成本，以最小的经济成本获得最大的现实

4、保证的活动。 .风险管理的核心是识别和应对风险，其根本目标是保证组织运行的稳定性、连续性和发展性。可以说，良好的风险管理机制可以增加业务成功的概率，降低失败的可能性。风险管理是动态的，贯穿于组织战略的制定和执行。风险管理为组织的经营者提供了一种可靠的方法来处理组织面临的各种风险，包括过去的、现在的和未来的风险，尤其是为决策者采取行动或不采取行动提供了依据。风险管理必须与组织的运营文化紧密结合，并需要最高管理层的全力支持。风险管理的受托人是风险管理经理（ Risk Manager ），随着组织决策者对风险管理的日益重视，在风险管理最为发达的北美，一些组织出现了首席风险官（ Chief Risks

5、官员），负责将组织的战略转化为各种运营计划和流程，督促各级成员落实，并建立严格的考核体系，确保组织的运营水平不断提高。风险管理功能： 为组织未来的业务活动提供框架指导； 促进组织决策和规划的科学性； 提高组织的运营免疫力； 促进组织资源的优化配置； 保护组织的资产和形象； 提高组织的运营效率； 实现组织的社会责任目标。风险管理的目标： 最低目标：确保组织的生存； 中期目标：促进组织的发展； 最高目标：实现组织的社会责任。3 .风险管理流程概述一个组织面临的各种风险可以简单地分为部门风险和外部风险，又可以进一步分为战略风险、财务风险、运营风险和灾害风险。下面是一个简单的图表（风险映射）。财务风险

6、利率外汇信用合同自然灾害供应商环境灾害风险法规组织文化管理人员运营风险战略风险竞争客户变更行业变更市场需求 合并、收购现金流 研究与发展 知识产权会计 资产信息系统 员工供应链 产品与服务市场销售 内部因素分析组织的业务流程和合同结构也是识别风险的重要方法。无论哪种方式，风险管理既是一个整体过程，也是单个决策过程的综合。步骤大致如下：组织的战略目标风险识别风险描述风险的量化监控与改进深入分析威胁与机会管理报告风险的处理决策3. 风险分析与评估4 . 1风险识别风险识别就是对组织面临的各种不确定性进行一一识别。这需要深入了解和了解组织自身的经营状况、经营所在的市场条件以及经营所在的法律、社会、政

7、治和文化环境。它还要求组织有明确的业务战略。组织成功的因素与威胁组织实现其战略目标的因素。风险识别是一个动态的过程，它随着组织及其环境的发展变化而发展变化。风险识别应以系统的方式进行，以确保组织的所有主要活动及其风险得到有效覆盖和分类。组织的行为、活动、决策等可以有多种分类方式，以下是常见的分类方式：- 战略相关风险：与组织长期战略目标相关的风险，如资本可用性、政治风险、法律和政策变化、声誉、竞争动态等；- 运营相关风险：与组织日常运营相关的风险；- 财务相关风险：与机构财务状况相关的风险，如应收账款、银行贷款、外汇汇率、利率变动等市场风险；- 与知识管理相关的风险：这与组织对知识资源的控制和

8、管理有关，如知识产权侵权或侵权、竞争技术的出现、信息系统的功能障碍、关键技术人员的流失等；- 与合法（合规）运营相关的风险：包括员工安全与健康、环境污染、消费者权益保护等；- 灾害风险：主要是指自然灾害或事故给组织造成的各种经济损失。有效的风险识别应产生风险清单（ Risk Manifest ），列出组织面临的主要风险。4.2 风险描述风险识别后，通常需要以一些表格的形式准确描述风险的特征。这既可以用于组织的日常运营，也可以用于特定项目。它的适用性非常广泛。见下表。入口描述1风险名称2风险的浪潮和情况对风险本身、其类型、大小、金额的定性描述3风险分类战略、运营、财务、知识管理、法律业务、灾难等

9、。4风险参与者谁分担这些风险？他们的期望是什么？5风险量化频率和强度6风险预期风险敞口的总价值；潜在损失或收益的大小和概率；风险控制目标和期望。7处理和控制风险当前的风险管理方法；信心指数；审计和监测方法。8潜在的改进进一步降低风险的方法和措施9战略制定确定风险管理策略并分配职能部门负责日常监督。4.3 风险量化任何风险最终都需要用数字或精确的文字描述来表达，否则大多数人无法正确识别。风险的量化一般通过分析两个维度来进行，即发生的频率（ Frequency ）和一旦发生后果的严重程度（ Severity ）。这种方法既适用于“负面风险” （仅可能导致损失的风险），也适用于“正面风险” （可能导

10、致收益的风险）。风险量化通常可以通过矩阵分析来进行。距离阵列越多，量化越精确。一般来说，风险管理专家通常使用3x3或5x5矩阵。读者可以根据自己组织的具体情况进行选择。下面是一些简单的例子。发生频率分析损失定量估计描述重要标志高的可能发生每年都可能发生，或发生概率高于0.25十年间发生过很多次；发生在最近三年。中间它可能会发生每十年发生一次，或概率小于0.25十年内发生一次以上；历史上曾经发生过。低的不太可能发生10 年不太可能，或小于0.02 的概率从未发生过；根据可合理获得的知识，认为不太可能发生。读者不妨根据上表分析一下“非典型肺炎”风险复发的可能性。发生频率分析效益定量估计描述重要标志

11、高的可能发生一年内可达到最佳预期结果，或成功概率大于0.75短期内依靠现有机构有明确的机会实现确定性结果。中间它可能会发生一年内的合理预期结果，或成功概率在0.25到0.75之间短期内，按照既定的计划，在现有的体制下，不能取得成果，但可以采取适当的措施。低的不太可能发生一年内不太可能达到预期效果，或成功概率小于0.25短期内，按既定计划，现有制度无法取得成效，管理层暂时没有合适的解决方案。后果严重性分析损失与收益高的- 对组织财务状况的影响巨大；- 对组织的战略和业务活动产生重大影响；- 引起了有关各方的高度重视。中间- 对组织财务状况的影响更大；- 对组织战略和业务活动产生重大影响；- 引起

12、了各方的更多关注。低的- 对组织财务状况的影响较小（在心理承受线以下）；- 对组织战略和业务活动影响不大；- 相关各方不会有太多关注。5x5矩阵是在“Low”和“Medium”之间添加“Normal”，在“Medium”和“High”之间添加“Higher”，从而产生五个等级。至此，读者可以全面思考出口型企业应如何评估其产品在海外市场的反倾销投诉风险。下图是一个简单的3x3矩阵。4.4 风险识别和分析的方法和技术有许多用于风险识别和分析的方法和技术。一般来说，以下是最常用的：风险识别- 头脑风暴（头脑风暴的想法）；- 合同结构分析；- 问卷；- 行业参考；- 业务流程分析；- 情景分析（最佳和

13、最差情景）；- 事件分析；- 研讨会;- 调查和审计。风险分析对于“正面风险”：- 市场调查;- 前景预测；- 研究与开发;- 实验营销；- 影响分析。对于“正面风险”和“负面风险”- 组织依赖模型分析（泛契约关系模型分析）；- SWOT分析；- 事件树分析；- 持续经营计划（ BCP ）；- BPEST分析（商业、政治、经济、社会、技术分析）- 统计分析和推断；- PESTLE分析（政治、经济、社会、技术、法律、环境分析） ；- 分散和倾向分析。对于“负面风险”- 威胁分析；- 错误树分析；- FMEA分析（失效模式和影响分析）。4.5 风险概况完成上述风险分析后，您就可以绘制出任何风险的轮

14、廓，并开始探索如何应对任何风险。风险概况需要说明风险的类型、性质、分析（频率和后果）、所涉及的各方/关系以及处理它的建议方法。由于我经常为一些项目提供风险管理咨询，我非常习惯使用特定的格式来绘制风险概况。附件一是一个简单的例子。对风险的分析和评估需要达到这样的效果，即任何风险都必须有明确的归属。风险承担者可以是组织本身和部门的各个组成部分，也可以是与组织有合同关系的其他组织。5 .风险处理通过对风险的分析和评价，组织的管理层应该已经识别和归因于影响组织战略目标的风险，并需要考虑采取哪些措施来应对这些风险。主要手段包括：1. 前端处理避免（不做某事以不承担任何风险）；2. 保留（由组织本身）；3

15、. 控制和缓解（安全管理、降低风险的频率和强度）；4. 后端处理转让（合同关联方之间）；5. 财务处理（保险和其他方式）。成熟的组织应该首先考虑前端处理方法，然后依次考虑中后端处理方法。这是因为越靠近前端处理风险，组织就越主动，处理成本就越容易管理。任何风险管理系统至少需要实现以下目标：1. 确保组织运作的效率；2. 确保有效的部门控制；3. 确保组织合法合规运作。必须指出的是，任何风险处理都有经济成本。判断风险处理方法是否合适的主要方法是比较风险本身的成本和应对风险的成本。后者低于前者是最低标准。此外，在大多数情况下，对特定风险的处理会引入新的风险。一旦识别出新的风险，组织应进行相应的分析和

16、评估。一个简单的例子：在办公楼内禁止吸烟可以减少火灾发生的频率，安装自动喷水灭火系统可以降低火灾的强度。但是，洒水系统在平时可能会破裂并造成水损坏。这时，风险管理者需要比较处理A风险的成本是否低于处理衍生风险的成本，如果不是，则需要考虑其他处理A风险的方式。保险是金融风险管理的重要方式，但不是唯一方式。筛选和选择保险公司需要考虑组织的整体风险管理标准。这里有一个问题供大家思考：中国企业选择保险公司的标准是什么？是否与组织的战略目标一致？6. 风险管理中的报告渠道与沟通7 . 1个报告渠道一个好的风险管理系统应该为组织中不同层次的机构和人员提供不同的信息。董事会和成员应： 了解组织面临的最重要的

17、战略风险； 了解组织实际运营结果与各方期望的差异及其后果； 确保组织的各个层级和员工都有适当的风险意识； 了解组织应如何处理危机； 认识到股东对组织的信心和信任的重要性； 知道如何管理与投资机构的沟通； 了解风险管理系统是否有效运行； 发布组织的风险管理政策、理念和使命。每个商业机构应： 了解各自工作的主要风险及其对工作绩效的影响； 建立明确的经营指标作为基准，定期检查实际经营成果与预期的差异，并提出改进建议； 随时或定期向高级管理层报告新出现的风险，或当前系统中存在的风险控制缺陷；较低级别的员工应该： 了解组织风险管理体系的基本要求； 了解您的工作职责的主要风险； 知道如何在各自的工作领域不

18、断改进风险管理； 意识到个人风险管理和风险意识对组织的重要性； 随时或定期向高层管理人员报告当前系统中出现的风险或风险控制缺陷。7 . 2外部报告渠道任何组织都需要定期向其投资者或当局报告其风险管理政策及其实施的有效性。随着时代的不断进步，越来越多的投资者、公众和主管部门对组织的环保、安全生产、社区形象等非财务经营成果表示关注。因此，组织将与外界沟通其风险管理。政策和效果提出了新的要求。一个优秀的风险管理体系应提供高度可操作的方法，以达到确保组织生存、促进其发展、保护投资者和公众利益的最终目标。对于需要较高运营透明度的公共组织（如政府或上市公司）而言，将其风险管理政策正式告知公众或直接利益相关

19、者更为重要。这里处理失败的例子不胜枚举，值得深思。官方通知路线应明确说明： 风险控制手段，特别是监管者对风险管理的责任和义务； 识别与组织风险管理体系方法相关的风险的过程； 重大风险控制措施； 风险管理的监测和改进机制。任何现有风险管理体系未涵盖的重大风险，或体系本身存在缺陷，应及时向组织外部各方报告，并提出行动计划。7. 风险管理结构和日常管理7 . 1风险管理政策任何组织的风险管理政策都应以书面形式表达，并清楚地表达组织对风险的认知和管理（“风险文化”）。该政策应明确划分组织内风险管理职责的分配。此外，风险管理政策应尽可能多地提及组织运营所在的法律和政策环境的要求。法律要求是风险管理的最低

20、要求。风险管理方针应根据组织运行的特点提出风险识别、分析和评估方法，并应简单明了，使组织各层级都能掌握。组织的最高决策层应全面负责风险管理政策的制定。8 . 2董事会的作用董事会负责确定组织风险管理的战略方向，并创造和维护风险管理机制能够有效运作的环境。董事会可以命令成立由本组织高级管理人员组成的“风险管理委员会”；还可指定“首席风险官”全权处理风险管理事项。董事会至少应考虑以下事项： 组织承担负面风险的限度； 一旦这些负面风险发生，组织的命运如何； 如何主动管理这些负面风险； 主动管理这些负面风险的能力有限； 主动管理这些负面风险的成本限制； 主动管理这些负面风险的预期效果； 主动管理这些负

21、面风险的决策。8 . 3每个商业组织的角色组织部各业务机构至少应考虑以下事项： 各自领域的主要风险在日常工作中是否得到有效管理； 如何提高各自机构部门的风险意识； 承接的具体项目在不同阶段是否有相应的风险管理措施； 是否有机制定期审查各自领域的风险。8 . 4风险管理专业部门的作用根据组织的规模和业务的复杂性，可以设立以下专门机构： 风险管理委员会； 首席风险官； 全职风险管理经理； 兼职风险管理经理； 风险管理协调员。据说判断一个组织是否强大的重要依据是看该组织的官网，但在我看来，判断一个组织的实力和发展前景，主要看该组织是否有专门的风险管理部。 .这是一个重要的分水岭。专职风险管理经理至少

22、应负责以下工作： 受董事会委托，制定具体的组织风险管理战略和政策； 在组织部门推广组织风险文化，提高全员风险意识； 为组织部门提供风险管理培训； 为每个业务组织制定部门风险政策和目标； 根据组织特点设计并实施风险管理计划； 接受组织部及外部各方对改进风险管理的建议和意见； 制定危机管理计划； 编制和修订组织的风险管理手册； 向董事会或首席执行官报告风险管理事项，并受董事会委托向组织外相关方通报风险管理事项。8 . 5审计师的角色部门审计的职能和作用因组织的具体情况而异，但在风险管理方面，至少应承担以下工作： 审查跨机构的组织风险管理政策的实施情况； 向专门的风险管理机构提供评估报告； 普及和提

23、高部门审计人员的风险意识。8 . 6人力资源的作用 明确岗位说明书中各岗位的风险管理职能； 与专门的风险管理部门合作，为组织所有成员提供风险管理培训。组织还可以充分利用专业风险管理、安全管理咨询机构、保险公司防灾防损服务、政府监督检查机构、行业协会等外部资源，帮助组织制定和实施风险管理政策和计划。8 .风险管理的监督和审查有效的风险管理机制不是密封罐头，而是应有足够的灵活性，以采纳各方面的改进建议。此外，组织及其外部环境不断发展变化，因此有必要对组织的风险管理体系进行日常监督和定期审查，以确保其可靠性和有效性。监督审计机制主要审查以下事项： 风险管理体系是否达到预期效果； 风险管理程序是否合理

24、； 风险信息及其收集方法是否有效； 是否有新的风险管理知识、技术和方法。至此，组织风险管理的第一个大循环结束了。9.风险管理部门与组织其他部门的关系自 1970 年代以来，风险管理在组织中的作用一直在快速发展和变化。1970年代的风险管理只负责财产险、责任险、工伤险等各类保险的安排和管理。其主要思想是对组织所需的各项保险进行统一管理即以支付固定保费的经济成本将风险转移给保险公司，并承担一些安全管理职能，如如防灾、防损等。在此期间，风险管理职能主要由财务部门承担毕竟，无论是安排保险还是向保险公司索赔，都与财务直接相关。组织部门中没有独立负责的大型风险管理部门，专职的风险管理经理也很少。当今中国企

25、业的平均风险管理水平大致相当于1970年代初期和中期西方先进企业的水平。从1970年代末到1980年代中期，风险管理开始在组织中发挥越来越大的作用，其职责从最初的保险管理升级为确保企业的财务稳定和健康。在这个阶段，出现了很多非保险风险的处理方式，比如增加风险自留额，设立部门风险基金，最后是组织特定的自保公司。风险管理开始真正介入组织中的管理层面，出现了专职的风险管理经理，统一管理全球组织（尤其是跨国组织）的各种风险，包括但不限于财产损失风险、财务损失风险、法律责任风险、个人损失风险等。风险管理经理开始与组织部门的相关部门充分合作，如法务部、审计部、质量控制部、安全生产部、人力资源部等。到目前为止，大多数西方公司还处于这一阶段的后期，风险管理经理在组织中具有非常重要的地位，通常直接向首席财务官汇报。在此期间，风险管理开始涉足风险管理的中前端。下图是当今许多跨国公司仍在使用的风险管理组织结构图。风险管理经理自保公司保险事务安全管理财务总监这一时期，风险管理的理论也得到了极大的丰富和完善，风险管理的理论和实践在各个行业都有很好的发展。1990年代以来，随着跨境业务的快速发展以及组织面临的风险的多样化和复杂性，风险管理必须在管理风险方面发挥更加积极的作用，而不是传统