企业全面风险管理、程序和方法

1、企业全面风险管理、程序和方法内容安排前 言第一讲 风险原理与企业面临的风险第二讲 风险管理最新发展动态第三讲 风险管理的方法与程序第四讲 国内外风险管理标准介绍企业风险管理(ERM)是一套系统化的方法，用来理解和管理企业面临的各种风险。风险管理是一种全面的管理职能，用以对某一组织所面临的风险进行评价和处理。 前 言（一）什么是风险管理？其他关于风险管理的解释：风险管理是通过对风险的识别、衡量和控制，以最少的成本将风险导致的不利后果减少到最低限度的科学管理方法。（威廉斯、汉 斯）风险管理乃是为管理阶层处理企业可能面临的特定风险的一种方法和技术风险管理的对象是纯粹风险而非投机性风险。（格 林、提斯

2、切曼）风险管理是通过降低意外事故所致之财务损失以保障企业或（个人）的财产与权利的过程。（色 宾）前 言应引起特别注意的是：现代风险管理的新发展包含所有的风险；风险管理是广泛的、多学科交叉的职能，不能被狭义地描述为保险购买的行为。前 言（二）风险管理的发展阶段1、第一阶段：早期风险管理意识的萌芽人们原始的保险意识的产生，即互助互济的思想2、第二阶段：19世纪末至20世纪初法国科学管理大师法约尔在一般与工业管理中首次把风险管理的思想引入企业经营中，但未形成完整的体系1929-1933年，世界经济大危机前 言3、第三阶段：20世纪初至20世纪70年代风险管理一词出现并且深受关注70年代初出现风险管理

3、咨询公司仍然只关注危害性风险，但安全管理与保险有融合的迹象4、第四阶段： 20世纪70年代至20世纪90年代20世纪70年代以后，风险管理出现了革命性的转变这一阶段相继发生了一些大型科技灾难风险分析学会（SRA），1980年由注重技术与财务向注重个人行为与文化社会背景的影响前 言典型状况：（1）在美国的企业中普遍实施；（2）已发展成两种类型，即保险型风险管理和经营管理型风险管理；（3）风险管理协会、学会、研究会的建立；（4）风险管理101条准则的诞生；（5）风险管理教育的普及；（6）其他国家的开展情况。前 言1920年代的德国的Risikopolitik经营管 理型风险管理。通货膨胀时的企业防

4、卫：关于企业经营的危险政策。1930年代的美国的风险管理保险管理型风险管理。通货紧缩时的企业防卫：从控制保险费支出、获得合理的经济补偿出发，出色地利用保险这一风险转移机制来保护资本。前 言1960年代的美国的危机管理危机管理型风险管理。从国家的安全保障扩大到家政、行政危机的管理。1960-1970年代的美国及日本的经营及经营战略型风险对策战略经营战略型风险管理、多国籍企业化、企业的国际化、多面化、企业中心主义、企业革新的倡导。前 言101条风险管理准则的内容1975年，美国风险管理和保险协会成立。在其1983年5月9日的年会上，世界各国的专家学者共同讨论并通过了该准则。前 言12个部分： 风险

5、管理一般准则；风险识别与测量；风险控制；风险财务处理；索赔管理；职工福利；退休年金；国际风险管理；行政事物处理；保险单条款安排技巧；交流；管理哲学前 言为了研究1973年及1979年的石油危机、1984年的森永事件、1989-1991年的海湾战争、1995年的阪神地震等带来的经营危机对策，出现了不测事态应急计划（contingency plan）、危机管理手册等。前 言5、第五阶段：20世纪90年代至今对金融风险管理的认识更深入,巴林银行事件、日本大和银行事件提出风险价值（VAR）的概念全球风险专业协会（GARP）的成立以危害性风险管理为主的保险市场和以金融风险管理为主的资本市场之间的界线被打

6、破前 言（三）风险管理产生的原因（1）与美国30年代的大萧条密切相关（2）社会经济、科学技术的迅猛发展（3）国际局势的动荡、社会矛盾的加剧（4）工商企业对风险管理的内在需求（5）保险的各种局限性前 言（四）风险管理的作用与前景根据美国损失控制协会对于美国企业的统计，未设置风险管理系统的企业，70在遭受巨灾后5年内会结束营业。对于已建立企业风险管理系统的公司而言，在面临损失事故时将具有更大的竞争优势。 前 言 “现代金融理论有三大支柱，依次为资本的时间价值、资产定价和风险管理”。 97年诺贝尔经济学奖得主Robert Merton 前 言第一讲 风险原理与企业风险类型1 风险原理与企业面临的风险

7、（一）我们所熟悉的定义1、风险的定量描述风险是对人们从事生产或社会活动时可能发生的有害后果的定量描述，即风险是在一定时期产生有害事件的概率与有害事件后果的函数：其中，R 风险 p 出现该风险的概率 c 风险损失的严重程度1.1 风险的定义2、风险的定性描述对于“风险”，目前仍有着多种论述，如：风险是在给定情况下存在的可能结果间的差异；风险是一种与损失相联系的潜在损失；风险是指潜在损失的变化范围与幅度；风险是指引起损失产生的不确定性；1.1 风险的定义（二）对风险的新理解1、考察风险的角度风险与人们有目的的活动有关风险同行动方案的选择有关风险与世界的未来变化有关1.1 风险的定义2、不确定的水平

8、与风险风险总是用在这样的一些场合，即未来将要发生的结果是不确定的但不确定并不等于风险不确定：这一术语描述的是一种心理状态，它是存在于客观事物与人们认识之间的一种差距，反映了人们由于难以预测未来活动和事件的后果而产生的怀疑态度。1.1 风险的定义不确定的水平分级：高低未来的结果与发生的概率均无法确定知道未来会有哪些结果，但每一种结果发生的概率无法客观确定主观不确定未来有多种结果，每一种结果及其发生的概率可知客观不确定无（即完全确定）结果可以精确预测风险与不确定性等于零不确定程度第3级第2级第1级1.1 风险的定义严格来说，第3级的不确定已不是风险管理的范畴，但在实践中，人们有时会将其不确定事件的

9、结果划分为几类，从而简化为第2级的不确定事件加以处理。风险不确定的主要来源： （1）与客观过程本身的不确定有关的客观不确定； （2）所选反映系统的模拟模型只是原型的一个，造成了模型的不确定； （3）不能精确量化模型输入参数而导致的参数不确定； （4）数据的不确定，包括测量误差、数据的不一致性和不均匀性、样本缺乏足够的代表性等。1.1 风险的定义这些不确定的来源分别涉及：风险识别、风险评估、风险管理措施的选择，它们贯穿了风险管理的始终。多种形式的责任风险属于第3级的不确定，暴露于责任风险的结果取决于法律环境的进一步完善，法律环境包括决定个体或组织是否承担责任和承担多少责任的法律条款。1.1 风险

10、的定义3、风险的主要学说风险客观说：风险是客观存在的损失的不确定性。风险主观说：不否认风险的不确定性，所谓风险的不确定性是来自于主观的。风险因素结合说：风险是每个人和风险因素的结合体，灾害的发生及其后果与人为因素有着极为复杂的互动关系。1.1 风险的定义4、风险的定义风险是指客观存在的，在特定情况下、特定期间内，某一事件导致的最终顺势的不确定性。 风险的三个特性： 客观性； 损失性； 不确定性。1.1 风险的定义风险的特性风险存在的普遍性风险的客观性及必然性风险的偶然性和不定性风险的可变性1.1 风险的定义1.2 风险的度量损失概率损失幅度低风险高风险高风险低风险一般来说，损失概率和损失幅度是

11、度量风险的两个指标。但最能代表风险的数学符合是风险结果的概率分布，如期望值和差异系数（标准差与均值之比）。可能性 极高高中等低极低 极低 低 中等 高 极高 影响程度风险三要素及其相互关系风险的本质/要素是指构成风险特征，影响风险的产生、存在和发展的因素，可归结为三个要素/因素。风险三要素是指风险因素、风险事故和风险损失。它们构成了风险存在与否的基本条件。理解其概念及其相互联系，有助于领会风险的本质。1.3 风险的本质/要素 风险因素（hazard）1.3 风险的本质/要素亦称风险条件，是指引发风险事故或在风险事故发生时致使损失扩大的条件。风险因素是风险事故发生的潜在原因，通常包括实质风险因素

12、、道德风险因素和心理风险因素。风险因素的分类：根据其性质可分为，有形风险因素和无形风险因素。有形风险因素：是指直接影响事物无力功能的物质性风险因素，又称实质风险因素（physical hazard)。如，建筑物的结构及灭火设施的分布等对于火灾来说就属于有形风险因素；无形风险因素：是指文化、习俗和生活态度等非物质的、影响损失发生可能性和受损程度的因素，又可进一步分为道德风险因素（moral hazard）和心理风险因素（morale hazard）。道德风险因素和心理风险因素均与人的行为有关，又合称人为风险因素。1.3 风险的本质/要素 风险事故（peril） 亦称风险事件，是指直接导致生命财产

13、（人员伤亡、疾病、环境破坏、经济价值减少）损失发生的偶发事件。它是使风险造成损失的可能性转化为现实性的媒介。1.3 风险的本质/要素风险损失（loss） 是指非故意的、非计划的、非预期的经济价值的减少（人员伤亡、疾病/环境破坏）。人员伤亡、疾病甚至于环境破坏，这样的损失是无法用货币来衡量的，如亲人死亡，谁也无法计算出其家人在精神上所遭受的打击和痛苦是多少人民币。尽管如此，在衡量人身伤亡、疾病时（环境破坏），还是要从由此引起的对本人及家庭产生的经济困难或其对社会所创造经济价值的能力减少的角度读来给出一个货币衡量的评价1.3 风险的本质/要素 为了有效地实施风险管理，有必要对各种风险进行分类，以便

14、对具有不同特的风险采取不同的处置措施，从而实现风险管理目标的要求。对风险有多种分类方法，常见的有： 1.4 风险的分类（一）按风险的对象划分：1、财产风险通常指财产的损毁、灭失与贬值等所导致的风险。如厂房、设备、运载工具、家庭住宅、家具及其它无形财产因自然灾害或意外事故而遭受的损失。2、人身风险指由于人的疾病、伤残、死亡所引起的风险。1.4 风险的分类3、责任风险指根据法律、合同或道义上的规定应对他人的财产损失或人身伤亡承担经济赔偿责任的风险。4、信用风险在经济交往中，权利人与义务人之间由于一方违约或犯罪而使对方蒙受经济损失的风险。1.4 风险的分类（二）按风险产生的原因划分：1、自然风险由于

15、自然现象、物理现象可能造成物质损毁和人员伤亡的风险。2、社会风险指由于个人或团体的行为，包括过失、行为不当及故意行为所导致的风险。1.4 风险的分类3、经济风险 一般指在商品生产和购销过程中，由于经营管理不善、市场预测失误、价格波动、消费需求变化等因素引起经济损失的风险。1.4 风险的分类4、政治风险 指起源于种族、宗教、国家之间的冲突、叛乱、战争所引起的，风险，也包括由于政策或制度的变化、政权的更替、罢工、恐怖主义活动等引起的各种损失。5、技术风险由于科学技术发展的负作用而带来的各种风险。 1.4 风险的分类 （三）按风险的性质划分1、纯粹风险指只有损失可能而无获利机会的风险。2、投机风险指

16、既有损失可能又有获利机会的风险。 1.4 风险的分类（四）按风险产生的环境划分1、静态风险不是因社会经济活动发生变化，而是由于自然力不规则变动或人们行为的失误所造成的风险，前者如地震、洪水、台风、疾病等；后者如盗窃、呆帐、事故等。2、动态风险是指以社会经济的变动为直接原因的风险。如经济体制的改变、市场结构的调整、利率的变动等可能引发的风险。1.4 风险的分类（五）按面临风险的经济单位分 1、个人风险 2、家庭风险 3、企业风险 4、社会风险 5、国家风险1.4 风险的分类关于“企业”企业的含义： 企业是从事生产、流通和服务等活动的独立的经济核算单位。它是拥有一定数量的固定资产和流动资金，依照法

17、律进行登记并得到批准，在银行开设帐户，具有法人资格的基本经济单位。经济学上，企业是一个追求利益最大化的组织。1.4 风险的分类（六）按承受风险的能力划分可接受的风险是指经济单位在研究自身承受能力、财务状况基础上，确认能够接受最大损失的限度，把低于这一限度的风险称为可接受风险；反之既为不可接受风险。1.4 风险的分类要考察企业所面临的风险，请牢记“企业是一个追求利益最大化的组织”，因此，就要考察哪些可能使其未来现金流入减少或现金流出增加的因素，即可能（经常、严重）影响其利益最大化的因素。1.5 企业面临的风险企业风险危害性风险金融风险雇员福利员工伤害财产损毁法律责任汇率风险商品价格风险国家风险经

18、营风险流动性风险信用风险金融衍生品价格风险 股票价格风险利率风险企业风险的类型：1.5 企业面临的风险1、危害性风险危害性风险指的是对安全和健康有危害的风险，都是纯粹风险，对企业而言，传统上的风险管理就是对这类风险进行管理。财产损毁风险：包括政府征收（没收）法律责任风险：给他人带来人身伤害或财产损失必须承担相应的法律责任风险员工伤害风险员工福利风险1.5 企业面临的风险2、危害性风险损失企业危害性风险的主要损失类型直接损失间接损失财产损毁员工伤害赔偿法律责任赔偿及抗辩成本员工死亡、生病的福利费用支出利润损失额外费用更高融资成本和放弃的投资机会破产成本1.5 企业面临的风险 第二讲 风险管理最新

19、发展动态2 风险管理最新发展动态1、美国发起人组织委员会(COSO)：一直是国际公认的权威机构，1992年该机构发表并于1994年修订内部控制-整体框架报告； 2004年9月，COSO又提出了企业风险管理-整体框，它既是对内部控制-整体框架的超越，也标志着内部控制的转型，在内涵界定、目标体系、构成要素等方面都进行了拓展和延伸。 2.1 国外最新动态2、澳大利亚国家标准，AS4360:1999。3、澳大利亚/新西兰风险管理标准（AS/NZ4360）4、英国、加拿大、日本等国也制定了全国性的风险 管理标准。2.1 国外最新动态5、国际标准化组织/技术管理局（ISO/TMB）决定成立风险 管理工作组

20、（ISO/TMB/WG on Risk Management），由澳 大利亚标准学会（SA）担任召集人，秘书处设在日本工 业标准委员会（JISC）。风险管理工作组已经召开了3次 国际会议，讨论形成了ISO25700：ISO/TM/WG 风险管 理-风险管理原则与实施通用指南（草案）的工作草案 第三稿（WD3），该标准计划于2008年正式出版。风险管 理工作组的第4次国际会议将于2007年4月在加拿大举行。 2.1 国外最新动态2006年6月6日，国务院国有资产监督管理委员会制定并印发中央企业全面风险管理指引 ，要求各中央企业逐步建立全面风险管理体系。中国远洋运输（集团）总公司已按照AS4360

21、:1999/COSO风险管理框架、“全球契约”社会责任管理体系导则和GRI可持续发展报告体系等要求，开始建立一体化的现代企业管理体系。目前尚没有听说，我国要出台类似的标准。目前我国尚处于起步阶段。2.2 国内最新动态可以预见，全面风险管理将在我国的企业中广泛推行。 政府或有关机构应积极推动制定如COSO企业风险管理整体框架那样的框架，以指导我国企业的风险管理；我国企业应积极借鉴国外先进的企业风险管理理念和方法，建立和完善全面的风险管理体系。2.3 未来发展前景第三讲 风险管理的程序与方法3 风险管理的程序与方法风险管理部与其他部门的合作：股东大会风险管理委员会董事会总经理监事会风险管理部战略组

22、监控组其他部门3.1 风险管理的组织风险管理部的内部组织3.1 风险管理的组织风险经理 风险管理工程师保险经理安全、环境和防损经理索赔经理风险分析经理保险规划员保险办事员安全主管工业卫生主管消防主管索赔管理员危害性风险分析员金融风险分析员安全工程师工业卫生专家消防工程师组织架构（静态）董事会风险管理委员会风险管理办公室风险经理组织运行（动态）风险报告路径独立风险决策执行路径与日常经营决策路径合一授权体系 权责相称岗位制衡组织运行架构3.1 风险管理的组织3.2 风险管理的程序风险识别 按业务或风险类别罗列风险因素风险评估 针对不同类别风险运用恰当的手段（如数学模型）评估风险可能带来的损失风险控

23、制 针对不同类别的风险特性、根据可能损失的大小采取不同措施来化解和防范风险风险管理过程可划分为风险管理策划、风险识别、风险衡量、风险处理和风险管理绩效评价四个基本阶段。3.2 风险管理的程序制定风险管理计划风 险识别风 险衡量或估算风险处理风险管理绩效评价3.2 风险管理的程序风险管理工作的简要图示3.2 风险管理的程序一、风险坐标图风险坐标图是把风险发生可能性的高低、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上（即绘制成直角坐标系）。对风险发生可能性的高低、风险对目标影响程度的评估有定性、定量等方法。 3.3 风险管理的方法应列出对风险发生可能性的定性、定量评估标准及其相互对应

24、关系。 3.3 风险管理的方法二、蒙特卡罗方法蒙特卡罗方法是一种随机模拟数学方法。该方法用来分析评估风险发生可能性、风险的成因、风险造成的损失或带来的机会等变量在未来变化的概率分布。 3.3 风险管理的方法三、关键风险指标管理一项风险事件发生可能有多种成因，但关键成因往往只有几种。关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。 3.3 风险管理的方法四、压力测试压力测试是指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。 3.3 风险管理的方法当前我国企业风险管理存在的问题：1）混淆风险管理与内部控制的关系许多

25、企业的管理者将内部控制与企业管理和风险管理等同起来，常常产生这样的误解：内部控制可保证企业成功并使其财务报告绝对合法；内部控制可以防止企业决策的失误；建立了内部控制就等于实施了科学管理等。两者混淆的关键，在于没有看到内部控制管理是风险管理的本质性要求。 2）过分关注内部控制细节而忽视企业风险管理企业把主要精力放在所有细小的、微不足道的控制上，如有些企业差旅费报销的规定长达数十页，极其繁琐，表面上控制得很好，但浪费了许多管理资源，还会忽视企业重大风险。 3.3 风险管理的方法3）只重视内部控制设计而疏于其执行效果，使企业承担巨大风险任何一个公司都或多或少存在一定的内部控制，否则，公司无法正常运行

26、。公司把大量的精力放在设计内部控制上，而在如何保证制度实施方面，则缺乏应有的措施。在具体控制活动和监督等方面存在缺陷，所以很难保证已设计好的内部控制能够得到执行。如果企业用这一纸空文来管理，势必会带来巨大风险，最终走向灭亡。3.3 风险管理的方法4）对风险管理缺乏足够重视与国际领先企业相比，除了我国的金融、保险等高风险行业非常重视风险管理外，大部分企业尚没有引起应有的重视，风险管理尚处于起步阶段，过分强调企业的增长和效益，没有处理好增长、效益和风险之间的平衡，在企业风险管理方面存在诸多差距。缺乏如COSO企业风险管理整体框架那样的权威框架对企业风险管理的指导；由于有的风险是可以计量的，因此，部

27、分企业重视采取大量复杂的技术来管理这些风险。但是，一些定性的风险却被忽视，如声誉风险、管制风险、遵循风险、安全风险和政治风险等，企业缺乏系统和全面的风险管理。 3.3 风险管理的方法第四讲 国内外风险管理标准介绍4 国内外风险管理标准介绍COSO的企业风险管理-整体框架提出企业风险管理由8个相互关联的要素构成，它们源自管理当局的经营方式，并与管理过程整合在一起，这8个要素包括： (1)内部环境是组织内人员如何看待风险、对待风险的态度。包括风险管理理念、风险承受能力、正直和道德价值观及工作环境。内部环境为企业中的人们如何看待风险和着手控制风险确立了基础。4.1 COSO企业风险管理-整体框架一、

28、COSO企业风险管理-整体框架介绍 (2)目标设定只有先制定目标，管理层才能识别影响目标实现的事件。企业风险管理确保管理层参与目标制定流程，确保所选择的目标不仅和企业使命方向一致，支持企业的使命，而且与其风险承受能力相符。 4.1 COSO企业风险管理-整体框架(3)事项识别必须识别影响企业目标实现的内外事件，分清风险和机会。管理层制定战略或目标时应考虑到机会，机会被追溯到管理当局的战略或目标制定过程。(4)风险评估要对识别的风险进行分析，以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。 4.1 COSO企业风险

29、管理-整体框架(5)风险对策管理层选择风险应对方式，包括规避、接受、降低或分担并制定一套措施把风险控制在企业的风险容忍度和风险承受能力之内。(6)控制活动制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。(7)信息与沟通企业的各个层级都需要借助信息来识别、评估和应对风险。有效信息沟通的外延比较广泛，包括企业内信息的上传、下达和平行流动。 4.1 COSO企业风险管理-整体框架(8)监督整个企业风险管理处于监控之下，必要时还会进行修正。这种方式能够动态地反映风险管理状况，并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理进行单独评价或者两者的结合来完成。企业风险

30、管理整体框架有3个维度：第一维是企业目标；第二维是全面风险管理要素；第三维是企业的各个层级。 4.1 COSO企业风险管理-整体框架本指引共计70条。第三条本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。 4.2 中央企业全面风险管理指引第四条本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。 4.2 中央企业全面风险管理指引第五条本指引所称风险管理基本流程包括以下主要工作：(一)收集风险管理初始信息；(二)进行风险评估；(三)制定风险管理策略；(四)提出和实施风险管理解决方案；(五)风险管理的监督与改进。 4.2 中央企业全面风险管理指引第六条本指引所称内部控制系统，指围绕风险管理策略目标，针对企