伺服电机公司企业风险管理手册

1、泓域/伺服电机公司企业风险管理手册伺服电机公司企业风险管理手册目录 TOC o 1-3 h z u HYPERLINK l _Toc112192770 一、 公司概况 PAGEREF _Toc112192770 h 3 HYPERLINK l _Toc112192771 公司合并资产负债表主要数据 PAGEREF _Toc112192771 h 3 HYPERLINK l _Toc112192772 公司合并利润表主要数据 PAGEREF _Toc112192772 h 3 HYPERLINK l _Toc112192773 二、 企业风险管理文化建设的关键要素 PAGEREF _Toc112

2、192773 h 4 HYPERLINK l _Toc112192774 三、 企业风险管理文化建设的路径选择 PAGEREF _Toc112192774 h 5 HYPERLINK l _Toc112192775 四、 行为模块的塑造 PAGEREF _Toc112192775 h 11 HYPERLINK l _Toc112192776 五、 环境模块的塑造 PAGEREF _Toc112192776 h 13 HYPERLINK l _Toc112192777 六、 变动程度的测定 PAGEREF _Toc112192777 h 13 HYPERLINK l _Toc112192778

3、七、 中心趋势测量 PAGEREF _Toc112192778 h 15 HYPERLINK l _Toc112192779 八、 损失频率的估计 PAGEREF _Toc112192779 h 16 HYPERLINK l _Toc112192780 九、 损失程度的估计 PAGEREF _Toc112192780 h 19 HYPERLINK l _Toc112192781 十、 风险衡量的理论基础 PAGEREF _Toc112192781 h 23 HYPERLINK l _Toc112192782 十一、 风险衡量的概念 PAGEREF _Toc112192782 h 25 HYPE

4、RLINK l _Toc112192783 十二、 风险管理组织体系的总体框架 PAGEREF _Toc112192783 h 27 HYPERLINK l _Toc112192784 十三、 风险管理及审计部门的组织结构及职责设计 PAGEREF _Toc112192784 h 33 HYPERLINK l _Toc112192785 十四、 其他职能部门及各业务单位 PAGEREF _Toc112192785 h 34 HYPERLINK l _Toc112192786 十五、 风险管理委员会和审计委员会 PAGEREF _Toc112192786 h 35 HYPERLINK l _To

5、c112192787 十六、 项目基本情况 PAGEREF _Toc112192787 h 39 HYPERLINK l _Toc112192788 十七、 人力资源分析 PAGEREF _Toc112192788 h 42 HYPERLINK l _Toc112192789 劳动定员一览表 PAGEREF _Toc112192789 h 42 HYPERLINK l _Toc112192790 十八、 法人治理结构 PAGEREF _Toc112192790 h 43 HYPERLINK l _Toc112192791 十九、 SWOT分析说明 PAGEREF _Toc112192791 h

6、 54 HYPERLINK l _Toc112192792 二十、 发展规划分析 PAGEREF _Toc112192792 h 60公司概况（一）公司基本信息1、公司名称：xx有限公司2、法定代表人：范xx3、注册资本：1250万元4、统一社会信用代码：xxxxxxxxxxxxx5、登记机关：xxx市场监督管理局6、成立日期：2011-8-77、营业期限：2011-8-7至无固定期限8、注册地址：xx市xx区xx（二）公司主要财务数据公司合并资产负债表主要数据项目2020年12月2019年12月2018年12月资产总额18644.5214915.6213983.39负债总额6108.4448

7、86.754581.33股东权益合计12536.0810028.869402.06公司合并利润表主要数据项目2020年度2019年度2018年度营业收入59255.2747404.2244441.45营业利润12781.8510225.489586.39利润总额10286.858229.487715.14净利润7715.146017.815554.90归属于母公司所有者的净利润7715.146017.815554.90企业风险管理文化建设的关键要素风险管理文化的构建是一个系统工程，影响风险管理文化构建的因素众多，主要有三个因素起着举足轻重的作用。1、管理层的积极倡导与策划营造良好的风险管理文化

8、无疑是企业的制胜之道，在这一过程中没有比将风险管理的价值观深深根植于企业高级管理层的大脑中更为有效的风险管理办法了。从文化经营角度来看，高级管理层的使命就是创造风险管理文化，通过提炼风险价值观念，为整个风险管理文化的塑造定下基调，并在价值观的传播与沟通中保持足够的热情、敏锐的大局观，做好风险管理文化的策划。企业高层管理者要成为风险管理文化建设忠实的追随者、布道者、传播者、感召者、激励者。在日常经营管理过程中，最高管理层不但要直接领导、组织、参与风险管理文化的塑造，亲自向企业员工进行风险管理文化宣讲，在企业内不断地布道，在企业内部形成一种氛围，形成一种无形的文化推动力、约束力。企业高层还要身体力

9、行，要不做违反风险管理原则的事，从而维护风险价值观的权威性。2、科学合理的激励约束机制企业所承担的各种风险特别是内部风险与其内部激励约束机制的建设有相当大的关联。在一定程度上，激励约束机制的先进性可以有效控制和弱化风险，风险管理文化的建设不能与激励约束机制的建设割裂开来。积极的态度不是回避风险，而是积极地去经营风险。要通过科学合理的激励约束机制，使风险得到有效的控制，业务得到有效的发展。同时，在对业务部门、人员的奖励安排上，应该尽量避免出台短期行为导向的激励措施，以免埋下风险隐患。3、信息获取和共享的水平风险来自预期损失的不确定性，来自于信息的不对称，也来自于对信息的错误理解。现代企业需要建立

10、完善高效的信息采集、整理、分析、交流的渠道，加强信息化建设，加强对国家政策导向、有关行业发展、市场变化及同业竞争的研究和交流，建设中心数据仓库和信息平台，建设风险分析、预警、防范和处理机制。企业风险管理文化建设的路径选择1、立足国情放眼未来竞争，积极打造有自身特色的风险管理文化风险管理文化建设是一项牵动全局、意义深远的工作，是全球化竞争新格局下的新任务。当今时代的风险管理文化，应当是面向市场、面向国际、面向未来的文化。一方面，企业要立足现状，注重体现和挖掘国内风险管理文化的民族特色，发挥固有文化基础的优势，趋利除弊，使风险管理文化适合于国情，体现民族化、本土化的优良特性。另一方面还要散开胸襟，

11、大胆汲取域外文化的精华，与本土文化汇集交融，相得益彰，使风险管理文化更具开放性，更能紧跟时代发展的潮流，更加适应未来国际竞争的需要。企业必须时刻保持警醒，一定要注意培养自己的独特优势，任何完全“亦步亦趋”的方式最终都不可能达到业界领头羊的地位。只有建立自己的独特优势，才有可能在证券市场中胜出，成为投资者持续关注的热点和焦点。2、树立科学的风险管理理念，营造全员参与的浓厚风险管理文化风险存在于企业各项经营活动中，正是因为风险无时不有、无处不在的特征，使得风险管理对企业来讲应该是全方位、多角度的管理过程。为了有效地识别、防范和控制风险，企业需要设立专门的风险管理部门，专司风险控制之职。然而，随着风

12、险日趋多样化和复杂化，风险管理已非个别部门和对策所能应付，只有全面性风险管理才能奏效，全面风险管理的推行，有赖于风险管理团队的互相交流和共同努力。因此，企业要强调全员参与风险管理的文化理念，企业全体员工都应该具有风险管理意识和自觉性。风险控制绝不仅是风险管理部门的事情，无论是高级管理人员还是基层业务人员，无论是风险管理部门还是业务部门，每个岗位、每个人在做每项业务时都要考虑风险因素。企业的高级管理层应负责衡量企业的总体风险，并对风险管理承担总的、最终的责任。而独立于管理层的风险管理委员会负责对企业风险管理的重大事项进行判断和决策。除了高层以外的各级管理者也要承担风险管理文化建设的责任，第一要共

13、同参与企业风险管理文化的制定；第二是提炼经验，总结教训，探寻方法，确立准则，行为带动；第三是将风险管理核心理念融入企业制度建设和流程建设之中。真正接触员工的是中层和基层管理者，所以风险管理文化的真正推动者是中基层，使员工加强风险意识更多地要靠舆论导向，靠氛围去带动，所以对员工的推动要有强化的过程，从开始的强制至最终的自觉。3、强化人力资源管理，突出风险管理文化的主体人是创造文化的主体，又是传承文化的载体，风险管理文化塑造要以人为中心，着眼于人们的思维方式和心理状态，因此，人力资源管理要坚持“以人为本”的工作方针，充分发挥人的主导作用，体现以人为本的思想，注重风险管理文化中人的因素，突出风险管理

14、文化的主体。其一，从文化这一更广阔的角度出发，因人而异，扬长避短，通过建立一支素质高、责任心强的风险管理队伍，以点带面，以风险控制和防范为责任，让风险管理贯穿于企业经营管理的全过程。其二，要关注员工的个人素质和个体价值。优秀的风险管理文化应当将培养人才放到首位，从而提高员工的个人素质并使个人素质转化为个体价值。其三，处理好企业和员工利益的关系。要实现企业的价值最大化，出发点要落在实现员工利益最大化上。风险管理文化的构建是为了满足企业发展的需要，但在细节上要体现出以人为本的思想，提高员工的认同感和参与的积极性。同时注意风险管理政策的内容与实施的时机、方式，处理好员工心理期望与现实之间的关系，以在

15、企业内建立良性互动的政策心理场，产生一种凝聚力，促进企业的升级变革和可持续发展。4、加强风险管理文化的研究推广，培育员工风险管理意识营造一种成熟的风险管理文化需要努力研究企业风险管理文化的优势、劣势及下一步的发展目标、工作步骤和工作措施等，还应加强企业间的文化交流和工作沟通，不断提高风险管理文化建设的科学性，切实起到促进企业发展的重要作用。企业风险管理文化建设可以采取以下步骤。（1）企业风险管理文化体系的构建提炼。通过挖掘基因、筛选梳理、精炼升华，正确评估企业风险管理文化现状，对风险管理文化的功能和作用进行准确的定位。首先，针对目前风险管理文化的状况予以全面、正确的评价，既提炼出经验、成果又查

16、找出诸要素中的问题，并从历史背景、客观条件、人为因素等方面分析问题的成因及危害。其次，立足现状并结合时代特征和未来竞争需求就风险管理文化的功能、作用进行合理定位。以市场为导向，全面分析、衡量风险管理文化的市场潜力、引导、规范、明确风险管理文化在企业文化中的角色和地位。最后，在员工广泛讨论的基础上制定员工道德诚信准则，经董事会批准后执行，形成讲道德诚信、合规经营的风险管理文化。（2）企业风险管理文化的推广与传播，即如何表达企业的风险管理文化，从外在形象、企业核心价值理念到制度文化建设各方面。企业应当在各个层面营造风险管理文化氛围。董事会应当高度重视风险管理文化的培育，总经理负责培育风险管理文化的

17、日常工作。董事和高级管理人员应当在培育风险管理文化中起表率作用。重要业务流程和风险控制点的管理人员和业务操作人员应成为培育风险管理文化的骨干。企业全体员工尤其是各级管理人员和业务操作人员应通过多种形式，努力传播企业风险管理文化，牢固树立风险无处不有、风险无时不在、严格防范纯粹风险、审慎处置机会风险、岗位风险管理责任重于泰山等风险意识和理念。（3）风险管理文化资源的消费和利用，这是真正的树榜样、人心田、成习惯、变物质、社会化，使风险管理文化资源真正成为企业全体员工成长的消费品，这时才称得上风险管理文化在企业中落地生根。5、培育系统性思考能力，持续推进风险管理文化建设系统性体现的是动态的、发展的观

18、念和全局的视野，没有全局的把握和动态的调整将难以适应业务的持续动态性调整和扩张。风险管理文化的建设是一项持续动态的系统工程，并不是一劳永逸的工作。所以企业必须培养系统的观念，掌握看清系统复杂而微妙结构的艺术，避免“只见树木不见森林”的片面、短期行为，多考虑全局的发展需要和企业的整体性问题，对具体事务进行系统性思考，努力寻找小而有效的高杠杆解。系统性的观念不是一朝一夕就能形成的，需要在现实中不断磨砺，领导层、管理层首先需要培养自己的系统化思考问题的模式，继而对员工的意识形态进行影响和引导。先进文化的建设必须依靠先进的管理来支撑。管理水平一旦滞后，即使发展方向是正确的，最后的结果还有可能是事半功倍

19、。企业在保持相对稳定的核心风险价值观的前提下，需要不断进行改进、提高乃至与世界先进企业的风险管理文化进行融合。尤其要因企业面临的现实环境需要，不断进行调整，形成一个对各种风险进行防范的动态防护网。因此，企业的从业人员特别是领导层对风险管理文化建设的认知必须具有连续性，只有这样，才能使风险管理文化的价值观、传统和意识沉淀下来，根植于整个企业的运作行为之中。行为模块的塑造风险管理文化建设的行为层面应分为管理层与员工层两个层次。各级管理层既是风险管理政策规定的制定者，又是执行者和落实者。实践证明，领导者风险意识的强弱、综合素质的高低、管理是否尽职、行为表现是否率先垂范在整个风险管理文化建设中至关重要

20、。与此相对应，员工层的行为管理同样不可忽视。在风险管理文化建设中，如果说制度管理是一种外在管理的话，那么，员工的行为管理就是一种内在的核心的管理。它通过作用于人的内心世界，激发员工的工作积极性、主动性和创造性，使其形成强大合力，达到“1+12”的效果。加强员工的行为管理，必须强化三种意识。“零距离管理”意识，即在风险管理过程中的每一个环节，必须坚持精益求精，做到“精细化、零缺陷”，使风险降到最低。倡导和强化风险意识，树立囊括各个部门、各项业务、各种产品的全方位风险管理理念，推行涵盖事前监测、事中管理、事后处置的全过程风险管理行为，引导和推进风险管理的发展。把风险管理责任深入渗透到每一个部门、每

21、一个岗位、每一个工作环节，让每一位员工认识到自身的工作岗位上可能存在的危险，时刻警觉，形成防范风险的第一道屏障。让每一位员工树立正确的职业态度和工作习惯，将风险管理工作植根到全员的每一项工作中，确保风险管理工作全面开展，以适应市场不断变化的需要。全员执行意识，通过树立“执行第一”和全员执行意识，从根本上提高员工执行政策规定的能力，以保证风险管理目标的实现。在加强员工行为管理的同时，企业还应该注重员工品格的培养。品格是企业和个人的立足之本，一个企业有品格才能成为公众投资的方向，一个人有品格才能真正为企业做贡献，带来组织的成长，所以要通过所有员工高品格的整合来凸显企业的品格。个人品格不仅是道德的操

22、守，更重要的是责任心，对社会、对企业、对他人很强的责任意识。管理者是楷模，是政策和组织行为的化身，好的表率是无形的力量，能够促使全员形成一致的行动、集体的合力。因此，对领导者、管理者而言，除了工作的热情、方法、情商方面的要求和培养以外，还要强调对品格的要求和责任的诉求。发挥管理者的表率作用，这是风险管理文化提升的关键。选任管理者应遵循“品格第一”的原则，防止品格有缺陷人员的任用所可能产生的危险和连带效应。对所有员工也要讲“品格第一”，可以由高品格领导者和管理者来推动，由上而下，身体力行，通过一定的疏导、示范、影响、培训和约束来逐步实现，建立严谨的“风范”，使员工能上行下效。环境模块的塑造企业风

23、险管理文化的构建，需要有良好的环境氛围。通过建立“学习型”组织，改善心智模式。国外安全学人士研究表明：侥幸产生意外，而意外导致伤害的概率仅为几百分之一。这一论点说明了为什么人类容易产生侥幸、冒险的动机和心态。为此，有必要建立各级学习型组织，改善员工的心智模式，培养其对风险的正确态度，使其养成良好的风险习惯。满足员工需要，培育安全氛围。即按照马斯洛的需求层次论，从员工的社会需求、心理需求和自我实现需求等方面入手，努力营造一个使员工思想、士气处于最佳的安全文化氛围。要建立良好的职业环境，强化守法经营意识，企业的很多问题都是因为没有守法经营造成的，因此，合规经营必须创造一种良好的执行制度的氛围，利用

24、奖励和处罚机制增强员工防范风险的自觉性和主动性。变动程度的测定衡量风险大小取决于不确定性的大小，取决于实际损失偏离预期损失的程度，而不确定性的大小可以通过对发生损失距离期望的偏差来确定，即风险度。风险度是衡量风险大小的一个数值，这个数值是根据风险所致损失的概率和一定规则的计算得到的。风险度越大，就意味着对将来越没有把握，风险就越大；反之，风险就越小。（一）方差和标准差对于随机变量X，如果X1，X2，Xn是随机变量的n个观测值，X是随机变量的算术平均数，称（Xi-X）2（i=1,2,n）为观测值Xi的平方偏差，称（X1-X）2，（X2-X）2， ，（Xi- X）2的算术平均数为这组数据的平均平方

25、偏差，简称方差（或均方差）。方差的算术平方根是标准差或根方差。标准差是衡量测量值与平均值离散程度的尺度，标准差越大，数据就越分散，损失波动的幅度就越大，较大损失出现的可能性就越大。（二）变异系数风险的稳定性可以通过变异系数反映出来。变异系数越大，风险的稳定性越弱，风险也就越大；相反，风险的稳定性越强，损失的风险越小。变异系数是标准差与均值或期望值的比例，也称标准差系数或平均偏差系数。风险衡量中，风险的稳定性对衡量具有重要意义。某一事故偏离预期损失的方差越大，管理人员就越担心，损害也就越大。对变异系数的大小没有统一的规范，可以根据需要在一定幅度内灵活确定。一般情况下，变异系数越小，则偏差就越小，

26、据此制定的风险管理策略就越可靠，重大风险事故发生的可能性就越小。（三）偏态前面讲过平均数与中位数的概念，在这两个指标相等的情况下，变量的频数分布呈对称分布，即没有偏态。当中位数与平均数不相等时，分布就会出现偏态。当中位数大于平均数时，表明分布聚集于左边而向右边偏斜。当中位数小于平均数时，表明分布聚集于右边而向左边偏斜。中心趋势测量中心趋势测量是确定风险概率分布中心的重要方法。在各种不同的测量方法中，主要有以下几种方法。（一）算术平均数算术平均数是指用平均数表示的统计指标，分为总体的一般平均指标和时序平均指标。一般平均指标是指同质总体内某个数量标志（在一定时间内）的平均值；时序平均指标是某一个统

27、计指标在不同时间的数量平均值。（二）加权平均数加权平均数（期望值）是用每一项目或事件的概率加权平均计算出来的。（三）中位数衡量损失、预测损失的另一种方法是计算中位数。中位数也称值，位于数据的中心位置。（四）众数众数是一种根据位置确定的平均数。顾名思义，众数就是分布数列中最常出现的变量值，即频数或频率最大的变量X的观测值。数列中最常出现的变量的观测值说明该变量观测值最具有代表性，因此以之反映变量的一般水平。众数具有这样的特点：众数是一种位置平均数，它不受数列中各单位变量观测值的影响，因此难以准确地反映数列变量观测值的平均水平。但是，当数列中有异常变量观测值时，它不受数列两端异常变量观测值的影响，

28、增强其作为变量观测值数列的一般水平的代表性。由于众数是频数最大的变量观测值，因此，当分布数列没有明显的集中趋势而趋于均匀分布的情况下，就无众数可言了。如果分布数列有多个众数出现就应重新分组，或将各组频数依序双双合并，求得一个有明显集中趋势的分布数列，然后再确定众数。损失频率的估计通过对大量资料的统计分析，可以估算损失次数和损失幅度的概率，并建立一定形式的概率分布。常见的方法有两种：根据经验损失资料建立损失概率分布表；应用理论概率建立损失概率分布表。根据经验损失资料建立损失概率分布表。利用经验损失资料构造概率分布的首要任务是使收集的资料足够多，并且具有相当的可靠性。当企业自身缺乏经验数据时，可以

29、利用来自保险公司、同业公会、统计部门等的经验数据作补充。风险管理人员应该系统地、连续地收集相关的经验损失资料，包括风险单位的特性和数量、事故发生的日期、造成事故损失的原因、每次损失金额、每次损失事故涉及的风险单位等数据。当风险管理人员掌握了大量在相同条件下风险单位发生的损失资料后，可以通过统计整理和分析，获得经验损失概率分布，并以此预测未来发生的损失情况。根据“大数法则”随着观察样本量的不断增加，实际观察结果与客观存在的结果之间的差异将逐渐减小，估计精度不断提高。应用理论概率建立损失概率分布表。在风险管理实践中，通常没有足够多的观察资料来建立损失概率分布，但是可以从中发现某些类型的损失结果呈现

30、出某些统计规律。比如，损失事故发生的次数可以视为离散型随机变量，其概率分布服从二项分布或泊松分布，损失金额是连续型随机变量，其概率分布通常服从正态分布或对数正态分布等。由此，利用经验数据来拟合模型的待定参数后，就可以得到损失概率分布表，进而预测未来一定时期内的损失情况。在衡量损失频率时，需要考虑三项因素：风险单位数、损失形态、损失事件（或原因）。这三项因素的不同组合，会使风险损失频率的大小不同。下面举例说明风险单位数，损失形态、损失事件不同组合下的损失频率估计。（1）一个风险单位遭受单一事件所致单一损失形态的损失频率。如果某一事件发生，另一事件不可能发生，这两个事件是相互排斥事件。（2）一个风

31、险单位遭受多种事件所致单一形态的损失频率。如果两种或多种事件能在同一时期内发生，那么这些结果共同发生的概率就需要计算得到。（3）一个风险单位遭受单一事件所致多种损失形态的损失频率。（4）多个风险单位遭受单一事件所致单一形态的损失频率。多个风险单位遭受单一事件所致损失的概率取决于这些风险单位是否独立。如果两个风险单位具有这样的特性，其中一个风险单位遭受事件的损失，不会影响另一个风险单位损失的概率，则称这两个风险单位是相互独立的。如果两个风险单位是相关的，可以用条件概率来计算事故发生的概率。两个风险单位A、B都发生损失的概率是两个概率的乘积：A风险单位发生的概率；在A风险单位发生事故的情况下，B风

32、险单位发生的条件概率。在A风险单位发生的条件下，B风险单位发生的概率，称为A风险单位对B风险单位的条件概率。如果两个风险单位不相互独立，那么，计算多风险单位遭受一个风险事件的损失概率，就需要考虑条件概率。根据相关性风险单位的计算，可以得出以下几方面的结论。条件概率越大，风险单位的相关性越强。一个风险单位发生事故，另一个风险单位不发生事故的概率越小。如果两个风险单位完全相关，则一个风险单位发生事故，就意味着另一个风险单位发生事故。条件概率越大，风险单位都发生风险事故的概率越大。（5）多个风险单位遭受多种损失事件所致多种损失形态的损失频率。例如，某企业仓库，要估计这6座仓库遭受火灾、爆炸、台风等损

33、失事件所致财产损失、责任损失和人身伤亡的损失频率。损失程度的估计风险损失程度是指风险事故可能造成的损失值，即风险价值。在衡量风险损失程度时，除了需要考虑风险单位的内部机构、用途、消防设施等以外，还需要考虑以下几方面的因素：损失形态、损失频率、损失金额和损失的时间。（一）同一原因所致各种形态的损失同一原因导致的多形态的损失，不仅要考虑风险事件所致的直接损失，而且还要考虑风险事件引起的其他相关的间接损失。一般来说，间接损失比直接损失更严重。例如，尽管汽车碰撞发生的次数大于因碰撞所致的潜在损失，但是因责任诉讼所致的责任损失往往大于汽车因碰撞所致的损失，因此，一般来说，汽车责任风险的所致损失大于财产损

34、失风险。（二）单一风险事件所涉及的损失单位数单一风险事件所引起损失的单位越多，其损失就越严重，损失程度和风险单位数大多呈正相关关系。（三）损失的时间一般来说，风险事件发生的时间越长，损失频率越大，损失的程度也就越大。估计损失程度不仅要考虑损失的金额，还要考虑损失的时间价值。（四）损失金额一般情况下，损失金额直接显示损失程度的大小，损失金额越大，损失程度就越大。在一些特殊的情况下，损失金额的大小使损失频率、损失时间的估计变得微不足道。1、单次风险事故所致损失金额单次风险事故所致的损失金额一般来说不能全部列举出来，它可以在某一区间内取值，因此它是连续型随机变量。对于损失金额的概率分布，很多经验数据

35、表明可以利用正态分布、对数正态分布、帕累托分布等来进行拟合估计。2、一定时期总损失一定时期总损失是指在已知该时期内损失次数概率分布和每次损失金额概率分布的基础上所求的损失总额。一定时期总损失金额为发生一次损失时的损失额，加上2次损失发生时的损失额，等等。为简单起见，以例子说明。3、随机模拟法的应用现实中，企业财产损失次数的分布和损失程度的分布可能是比较复杂的，所以以上逐个分析各种可能的方法太烦琐，甚至是不可能的。在这种情况下，就要应用到随机模拟的方法。随机模拟法是一种仿真的方法，通过产生随机数的方法，模拟企业财产在较长时间内（如100年）发生损失的情况，从中得到年总损失额的分布。具体过程是：首

36、先规定随机数大小与损失次数的关系、随机数大小与损失程度的关系，然后开始第一轮模拟。产生一个随机数，看其代表的损失次数，假如这个随机数代表该年发生N次损失，则再生成N个随机数，对应于每次损失中的损失额，把这N个损失额累加起来，就得到了第一轮模拟中的损失额。接下来开始第2轮，第3轮，一直模拟下去，直到达到要求的轮数。这样就可以得到年总损失额的概率分布。当然，由于总的模拟轮数偏少，表中的结果是不准确的。在这种少轮次模拟中出现的损失额其概率是偏高的。在实践中，可以采用计算机进行模拟的计算，因而可以进行上万轮的模拟计算，以得到比较可靠的模拟结果。4、均值和标准差的估算有时人们只关心损失幅度的某个特征值，

37、如均值和标准差。这时就可以直接对总体均值和标准差进行区间估算。不同的数据量，采用的方法也不同。（1）样本容量较大，已知样本均值和抽样误差，估计总体均值。（2）样本容量较小，总体为正态分布而o未知时，估计总体均值。（3）样本容量较小，总体为正态分布时，估计总体方差。（五）所需暴露单位数量的估算根据大数定律可知，随着暴露单位的数量趋于无穷大，实际的损失频率将会趋近于期望的真实损失频率。但在实际中，一个组织的暴露单位的数量绝不可能无穷大，大多数情况下这是一个有限的数字。而且在很多情况下，这个数字几乎称不上“大”。因此，就存在这样一个问题：当样本不够充分大时，会导致多大的错误？也就是说，风险评估并不是

38、百分之百地以一种概率的说法对未来进行预测，尽管概率就已经体现了不确定性，但实际中由于许多统计原理所需的条件不能满足，这种预测本身也带有一定的不确定性。对于这种情况，风险经理可能会有另一种问法：“为了有95%的把握使最大可能损失的估计值与真实值的差别不超过5%，必须有多少暴露单位？”或者说，如果风险管理者希望有（1a）的把握保证，企业面临的某种实际损失率与给定的预期损失率之差的变动程度不超过E，则风险单位数要多大才能满足上述要求？在回答这个问题时，我们假设损失是以二项分布假定的方式发生的，即风险单位发生损失是相互独立的，并且每个风险单位损失发生的概率不变。这样，当n足够大时，损失近似服从正态分布

39、。从以上影响损失的因素可以看出，风险的大小取决于损失的程度而不是损失发生的频率。风险是损失的不确定性，风险事件导致的损失频率和损失程度的大小具有随机性，损失频率和损失程度是衡量风险的两个重要指标。但是，风险的大小主要取决于损失的程度而不是损失的概率。风险衡量的理论基础（一）大数法则大数法则为风险衡量奠定了理论基础，即只要被观察的风险单位多，就可以对损失发生的频率、损失的严重程度进行衡量。被观察的风险数量越多，预测的损失就越可能接近实际发生的损失。（二）概率推理原理单个风险事故是随机事件，事件发生的时间、空间、损失严重程度都是不确定的。但是，就总体而言，风险事故的发生又会呈现出某种统计的规律性。

40、运用概率论和数理统计方法，可以推断出风险事故出现状态的各种概率。（三）类推原理数理统计学为从部分去推断总体提供了非常成熟的理论和众多有效的方法。利用类推原理衡量风险的优点是，能够弥补事故统计资料的不足。在风险管理实务中，进行风险衡量时，往往没有足够的损失统计资料，而且由于时间、经费等许多条件的限制，很难甚至不可能取得所需要的足够数量数据资料。根据事件的相似关系，从已经掌握的实际资料出发，运用科学的衡量方法而得到的数据，可以基本符合实际情况，满足风险衡量的需要。（四）惯性原理在风险事故发生作用的条件等大体相对稳定的条件下，利用事物发展的惯性原理，可以预测未来风险事故发生的损失和损害的程度。值得注

41、意的是，风险发生作用的条件并不是不变的，风险衡量的结果会同实际发生的状况存在一定的偏离，这就需要风险衡量不仅要考虑引发事故的稳定因素，还要考虑引发事故发生的偶然因素。风险衡量的概念风险衡量是在对过去损失资料分析的基础上，运用概率论和数理统计的方法对某一特定或者几个风险事故发生的损失频率和损失程度作出估计，以此作为选择风险应对技术的依据。对于风险衡量的概念可以从以下几个方面进行理解。（一）风险衡量的基础是充分有效的数据资料为了使风险衡量的结果客观地反映过去发生的风险事故的状况，预测未来可能发生的状况，需要风险管理人员掌握完整的、一致的、有关主题的和有组织的相关资料，以增强风险衡量结果的准确性。对

42、此，要求搜集到的资料需要具备以下条件。1、数据是完整的风险管理人员不仅要了解损失金额，而且还要了解每次损失的环境情况，如货物列车出轨的地点、时间，出轨时的车组人员和所载的货物等，以便于分析特定损失发生的确切原因。风险管理人员还必须运用洞察力去判断在什么情况下可能遗漏了某些重要资料。2、数据是一致的损失数据必须是在一致的基础上收集的。如果从不同的来源用不同的方法收集资料，就会有很多不一致的数据。3、数据是有关主题的对过去的损失金额还应在与风险管理相关的基础上估计，一般以恢复损失前的费用来估计损失。财产损失是指损失发生时的修复费用或重置成本而不是财产的原始成本；责任损失不仅应包括赔偿金，还应包括调

43、查、辩护和处理赔偿的费用；营业中断损失必须包括营业中断所致的收入损失，还应包括恢复营业所需要的额外费用。某企业的风险管理人员发现他收集的资料中的损失金额包括了每次出轨造成的所有损失，即包括了铁路财产损坏的重置费用、支付给货主的货物损失、铁路的收益损失和由于出轨造成的其他费用损失。这样，只要把这些损失数据按通货膨胀率进行调整后，就可以适用于风险管理了。如果这些数据不切题，风险管理人员就要会同会计和统计人员对损失金额进行调整。4、数据是有组织的如果按日历顺序列出损失，就可能不易发现损失的模式，而如果按损失大小列出就容易发现损失模式。这种调整的损失金额是把损失金额最小的列于最后一位，把损失金额最大的

44、列于第一位。越严重的损失在风险管理中所起的作用越大。这样调整并组织的历史损失资料，为预测将来损失提供了一个很好的基础。（二）风险衡量是对损失发生的频率和程度量化分析的过程风险衡量是对损失发生的频率和程度进行量化分析的过程，风险衡量的结果可以为风险评价提供依据，也可以为风险管理者进行决策提供依据。统计分析和概率分析是衡量风险的重要工具，但是，统计分析和概率分析并不等于风险管理。（三）风险衡量是风险管理的重要手段风险衡量是风险管理的重要手段，也是风险管理的一个重要环节，但是风险衡量不是风险管理的目的，风险管理的目的是选择防范和处理风险的有效办法。风险管理组织体系的总体框架1、风险管理的第一道防线：

45、业务单位与相关职能部门业务单位与相关职能部门是企业中的业务经营单位，有特定的目标、战略、市场、客户和产品。成功的业务单位了解自己的竞争对手、客户及所面临的机遇和风险。它们管理和监督经营活动，以创造利润、服务客户、提高产品质量、缩短周期和降低成本；按足以能负担相关成本和风险的价格，向目标的细分市场提供产品和服务，同时还要能够为股东挣得在风险扣除后仍可接受的回报。业务单位向总经理和企业执行委员会汇报业务活动。业务单位与相关职能部门包含了企业大部分的资产和业务，它们在日常工作中直接面对各类风险，风险是他们最先要考虑的。在推出新产品、进入新市场或投资新的研发项目时，业务单位和相关职能部门经常要承受风险

46、。此外，在客户关系、供应商关系、雇员关系及自己所管理的专有资产等方面，业务单位与相关职能部门也面临许多风险。他们需要了解这些会对其产生影响的风险和不确定因素，并且应该有能力对其进行管理。实质上，身处第一线的业务与相关职能单位的管理层不仅负责管理所选定的经营模式中许多固有风险，也是防范这些风险的第一道防线，是企业风险管理的最前线。企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线。企业建立第一道防线，就是要各业务单位就其战略风险、财务风险、市场风险、运营风险和法律风险，进行系统化的识别、衡量、评价、管理和监控。要建立好第一道防线，企业的各业务单位和相关

47、职能部门需要进行以下工作。（1）调整风险排序、风险容忍度和风险战略，使其符合全企业的政策和指导方针。（2）按照企业的整体风险承受能力，调整经营和产品开发活动的针对性，从而为企业开辟新的价值来源。（3）识别和度量风险，查明风险的来源。（4）为各项流程确定基准，交流最佳实践方法，以期持续地改进各项措施和流程。（5）向主要的经理分派风险管理职责和责任。（6）就风险应对措施、控制活动以及信息与沟通的整体质量进行报告。2、企业风险管理的第二道防线：风险管理委员会和风险管理职能部门第二道防线是在第一道防线基础上建立一个更高层次的风险管理功能，它的组成部门可以包括董事会下的风险管理委员会、投资审批委员会、信

48、贷审批委员会等和风险管理职能部门。风险管理职能部门是企业风险管理解决方案中一个选设的部门。在企业经营模式中，有些固有的特定风险不由业务单位予以管理，或者从企业的角度来说没有得到有效的管理，那么，按照风险组合观，这些特定的风险就由风险管理职能部门负责管理。风险管理职能部门的目标是使同一个或多个风险相关的管理工作发展成为企业的一项核心能力。风险管理职能部门可能负责管理的风险包括：利率风险、货币风险、商品价格风险、信用风险、气候风险及灾难风险等。它们评估、集中控制、降低、转移和利用自己负责的这些风险。当业务单位考虑承担某些风险，而自己又没有相关知识和专门技能予以管理时，风险管理职能部门就和它们合作，

49、给予帮助。对企业经营战略实施来说，风险管理职能部门常常会起到非常重要的促进作用。风险管理职能部门可以由企业的某个职能部门或独立运作的单位组成，责任是领导和协调企业内各单位在管理风险方面的工作，它的主要职责包括以下几点。（1）编制规章制度。（2）对各业务单位的风险进行组合管理。（3）度量风险和评估风险的界限。（4）建立风险信息系统和预警系统、厘定关键风险指标。（5）负责风险信息披露，沟通、协调员工培训和学习的工作。（6）按风险与回报的分析，为各业务单位分配风险管理相关资源。相对于业务部门而言，风险管理部门会克服狭隘的部门利益，能够从企业整体利益角度考察企业所面临的各类风险。此外，风险管理部门还可

50、以综合平衡各部门风险。企业在不同的发展阶段，各部门所面临的风险往往是不同的。而作为风险管理职能部门，则需要根据一定的原则，将风险分配于不同部门，对每个部门进行风险上限控制。风险管理总监（风险经理或首席风险官）对风险管理委员会直接负责，但对总经理（执行总裁）负有汇报责任。同样，风险管理职能部门经理直接对风险管理总监负责，但对策略性业务部门负责人负有汇报责任。3、企业风险管理的第三道防线：审计委员会和内部审计部门第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题，这就是企业的内部审计部门。美国内部审计师协会对内部审计所下的定义是：内部审计是一项独立、客观的审查和咨询活动，其目

51、的在于增加企业的价值和改进经营。内部审计通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。内部审计师应就管理层的决策提出劝告和质疑或表示支持，而不是对风险管理作出决策。依据上述观点，内部审计师协会还确定了在企业风险管理实施中内部审计的核心角色及不应承担的角色。其中核心角色包括以下几点。（1）为企业风险管理流程提供保障。（2）确保风险得到正确的评估。（3）评估风险管理流程。（4）评估关键风险的报告工作。（5）检查对关键风险的管理工作。内部审计不应承担以下职责。（1）设定风险承受能力。（2）批准和命令实施风险管理流程。（3）在就风险及风险管理绩效提供保障方面承担管

52、理角色。（4）决定风险应对的决策。（5）代表管理层实施风险应对措施。（6）接受对风险管理的责任。另外，内部审计师学会特别指出内部审计还可以承担上述两种极端角色之间的其他一些“合理合法的内部审计职责”，但前提是要有适宜的安全保障措施存在。（1）协助风险的识别和评估。（2）指导管理层对风险作出应对。（3）协调企业风险管理活动。（4）综合对风险的报告。（5）维持和完善企业风险管理框架。（6）领导建立企业风险管理。（7）制定风险管理战略，呈报董事会审批。总之，内部审计可以通过评估风险识别的充分性，评价已有风险衡量的恰当性，以及评估风险防范措施的有效性等三方面参与企业风险管理工作，不应主导企业的风险管理

53、工作。企业的内部审计工作是对各业务部门和风险管理职能部门的风险管理活动进行再监督，而不是亲自参与每项风险的评估与控制。内部审计总监对审计委员会直接负责，但对执行总裁负有汇报责任。同样，内部审计员直接对内部审计总监负责，但对各策略性业务部门负责人负有汇报责任。风险管理及审计部门的组织结构及职责设计风险管理体系中风险管理及审计部门的组织结构各部门的职责如下。1、风险管理委员会（1）由董事会正式授权监管风险活动，并须确保行政总裁的风险责任作适当履行。（2）主要职责包括制定符合企业风险容忍度的风险管理策略，批准风险管理政策及程序。2、风险管理职能部门（1）风险管理职能部门是风险管理委员会的全职执行机构

54、，通过对逐单交易及风险组合资料的审查及预先/事后批准来确保风险管理政策和程序得到遵守。（2）通过风险管理经理在营运单位的日常工作及风险管理总监等参与行政管理执委会并对重大事故向行政总裁作出汇报等渠道建立与管理部门（行政总裁/行政管理执委会/营运单位）的汇报机制。3、审计委员会（1）由董事会正式授权对财务报告和内控框架的效率和成效进行独立评核。（2）审阅财务报告/资料以确保法律法规得到遵守。4、内部审计部门（1）内部审计部门是审计委员会的全职执行机构，通过周期/临时审查业务部门和职能单位的具体运作来监察它们对营运的政策及程序的遵守情况。（2）通过与市场及信贷风险主管保持紧密联系，了解确保风险管理

55、政策及程序得以遵守的具体运作过程和相关文件，以便设计适当的审计步骤和执行方法。（3）与风险管理总监、信贷风险主管、市场风险主管及营运风险主管等讨论分析不遵守风险政策的事件及其产生的风险影响及必要的纠正措施等。其他职能部门及各业务单位企业的其他职能部门及各业务单位在全面风险管理工作中应当接受风险管理职能部门和内部审计部门的组织、协调、指导和监督，这些部门的管理人员既包括直接运营部门的经理，也包括财务经理等支持部门的管理人员。他们管理风险并汇报其结果，评估风险与管理过程，按照企业层面的风险排序和风险承受程度投入相应资源，并确定与企业层面战略保持一致的业务单位战略。这些管理部门主要履行以下职责。（1

56、）执行风险管理的基本流程。（2）研究提出本职能部门或业务单位的企业重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。（3）研究提出本职能部门或业务单位的企业重大决策风险评估报告。（4）做好本职能部门或业务单位有关建立风险管理信息系统的工作。（5）做好培育风险管理文化的有关工作。（6）建立健全本职能部门或业务单位的风险管理内部控制子系统。（7）负责风险管理其他有关工作。风险管理委员会和审计委员会（一）风险管理委员会具备条件的企业，董事会应下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任；董事长兼任总经理的，召集人应由外部董事或独立董事担任。该委员会成员中需要熟悉企业

57、各项业务流程的董事，以及具备风险管理监管知识或经验的董事。风险管理委员会对董事会负责，向董事会提交风险管理决策和报告，主要履行以下职责。（1）提交全面风险管理年度报告。（2）审计风险管理策略和重大风险管理解决方案。（3）审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告。（4）对企业风险及管理状况和风险管理能力及水平进行评价，提出完善企业风险管理和内部控制的建议。（5）审议内部审计部门提交的综合性的风险管理监督评议审计报告。（6）审议风险管理组织机构设置及其职责方案。（7）办理董事会授权的有关全面风险管理的其他事项。（二）审计委员会企业还应在董事会下

58、设立审计委员会。一般而言，企业审计委员会应由熟悉企业财务、会计和审计等方面专业知识并具备相应业务能力的董事组成，而其中主任委员需要由外部董事担任。审计委员会的关注焦点历来仅限于公开的财务报告风险，但是这种有限的关注范围随着时间的推移也可能会有所拓宽。纽约证券交易所的上市要求明确地规定：审计委员会章程在界定审计委员会的义务和责任时，应该规定审计委员会必须讨论管理层反映出的风险评估和管理的各项政策。风险评估是内部控制的一部分内容，评价内部控制就必然会以风险作为基础，因此，审计委员会可能会询问这个流程是否有效。涵盖全企业的风险评估流程也是实施企业风险管理的有效开端。在与高级管理层讨论风险评估和风险管

59、理时，审计委员会应当做到以下几点。（1）讨论公司是否面临可能会影响品牌形象和声誉的未来潜在事件的风险（如灾难性损失、舞弊行为、非法行动、诉讼纠纷等）。（2）了解管理层对财务报告风险的评估情况，询问外部审计师是否认同前述的评估。（3）了解能诱发重大风险的财务报告方面的薄弱环节，如准备金、或有负债、估值、计算值和需要作出重大判断的披露领域。（4）了解在管理财务报告风险方面，自评和公司级及流程级监督工作的就绪落实程度。（5）了解内部审计师的风险评估和根据该评估而制定的审计计划。（6）询问有无经理人员负责关键风险的识别、评估、管理和监督工作，询问委员会是否应经常同这些经理开会，讨论其活动对公众报告及财

60、务报告的影响意义。（7）了解管理层的企业风险评估结果及其对公众报告的财务报告的影响意义。审计委员会还负责指导监督企业内部审计部门，内部审计部门对董事会负责，其审计报告经审计委员会报董事会（或主要负责人）。内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，并出具监督评价审计报告。在风险管理方面，企业内部审计部门具有以下职能。（1）对企业的财务收支、财务预算、财务决算、资产质量、经营绩效及其他有关经济活动进行审计监督。（2）对企业采购、产品销售、工程招标、对外投资等经济活动和重要经济合同进行审计监督。（3）对企业全面风险管理系统的合理性、健