公司全面风险管理分析状况

1、公司层面的风险分析全面风险治理课 程：财务经济学与财务治理姓 名：陈宇董曲琰唐琳琳 刘丽洁张闻院 系：工商治理学院 专 业：市场营销&旅游治理 公司层面风险治理全面风险治理摘要：本文从制定通用的风险模型、有效的组织层面操纵架构、业务流程操纵三个方面对现代企业风险治理方法 (全面风险治理)进行了详细探讨。关键词：全面风险治理 业务流程操纵 战略风险 运作风险 财务风险前言（一）风险确实是指在一定条件下和一定时期内，由于各种结果发生的不确定性而导致行为主体遭受损失的大小，以及这种损失发生可能性的大小。企业的风险是指企业在经营中由于各种不确定因素而招致企业经济损失或收益率负向波动的可能性。（二）风险

2、治理风险治理包含四个方面的含义:（1）风险治理是指风险测量，包括收集数据、识不并量化各种类不的风险；（2）风险治理是指以监控风险为目的的风险操纵；（3）风险治理包括依照风险治理方针，对各业务单位的经营行为进行监督，并为改变公司的风险状况而实施某些行为或措施;（4）风险治理将企业的经营绩效、风险治理与企业的进展战略结合起来，为企业内部资本配置提供指导方针。综上所述，风险治理包括了风险辨识、风险测量、风险操纵、风险决策，目的在于调整和改变企业的风险、收益均衡状况。当今的商业社会变化是多样的，其变化速度亦是令人难以可能的。随着人类进入知识经济时代，信息技术的高度发达及在商业领域的广泛和深入应用，以及

3、金融创新的不断出现，企业的经营模式也不断变化，所有这些变化在意味着巨大财宝机会的同时，也形成多种新的商业风险。风险已成为新时代的重要特征；风险治理也成为企业追求长期进展的核心竞争力。在国内，随着经济体制改革的深入，众多国有企业现代体制的逐步建立，国有资产产权改革的力度加大，民营企业的日益兴起以及WTO规则对本土企业的阻碍日益体现，所有这一切经济领域的变化，再加上法律制度和商业运作规则的不断完善，都使本土企业的经营环境同以往相比有着不可估算的改变，这些外围环境的变化更是促使国内企业面临的经营风险变幻莫测，因此出现了诸如企业做大容易但做久却专门困难，战略目标远景规划设计容易，但实践起来却是困难重重

4、，ERP流程重担耗资巨大但收效都不专门明显等等企业治理的新问题。这些新问题是企业实现其战略目标的眼前障碍，因此，必须实现良好的风险治理以将其对企业的不良阻碍降到最低的可同意水平。最近中国公司所发生的“创维治理层财务舞弊案件” , “长虹巨额应收款难以收回事件”及 “中航油破产丑闻”更讲明中国企业在加强风险治理方面的重要性和紧迫性。传统的企业风险治理要紧集中在经营风险的治理上，尤其注重经营过程中的事故和安全；治理方式往往是分离的，比如讲火灾由专门的安全部门负责，各职能部门负责该部门所管辖、或经营活动过程中的风险；各部门之间在风险的治理方式、方法、策略选择方面联系少，治理者之间一般缺乏沟通和交流。

5、然而，多年来人们在风险治理实践中逐渐认识到，一个企业内部不同部门或不同业务的风险，有的相互叠加放大，有的相互抵消减少。因此，企业不能仅仅从某项业务、某个部门的角度考虑风险，必须依照风险组合的观点，从贯穿整个企业的角度看风险。即要实行全面风险治理 ( Enterprise Risk Management)。全面风险治理从上个世纪九十年代后期在纵多跨国公司中广泛得以运用， 一些国际咨询公司和国际会计公司也开始运用这一概念并将其同咨询或审计业务相结合（要紧是当时的安达信会计公司, 其在上世纪九十年代中期所开发并从一九九七年在全球推广应用的风险导向审计模型, 确实是以全面风险治理理念为依据的）。与传统

6、风险治理相比较现代企业风险治理方法 (全面风险治理)有以下特点：传统风险治理方法现代风险治理方法 (全面风险治理)风险评估被视为是后勤支持性行为，只有治理层认为必要时候才采取该行为风险评估是企业进行的一个持续的行为只有会计、财务和内审部门才关注风险和风险操纵组织机构中的任何人都关注企业风险的识不和治理松散性各职能和部门各自独立行事风险评估和操纵开始关注企业的流程，而流程往往是跨部门、跨职能的，并在高层的监督下相互配合风险治理只关注财务风险和财务结果风险治理首先制定操纵程序以确保企业幸免同意不能承受的经营风险，而之后对其他经营风险采取紧密操纵以将其降低至可同意水平并无经营风险治理政策制定明确的风

7、险治理操纵政策，并经由治理层和重事会批准之后，广泛传播并能够让职员清晰理解对经营风险先是检查和预防，然后采取应对措施在经营风险的源头就可能和预防其发生，并持续不断地采取监督性操纵产生经营风险的要紧缘故是人的因素产生经营风险的要紧缘故是经营活动流程失败一、全面风险治理全面风险治理方法论要紧由以下三大部分组成：制定通用的风险模型(Bossiness Risk model)风险的识不、度量和应对；制定有效的组织层面操纵架构(Organizational Control)；制定业务流程操纵（Process Control）以下我们将分不对这三大组成部分进行讲明。1.1 风险的识不、度量和应对 为使企业

8、在整个企业不同职能部门，不同层次全方位的运作有效，治理层必须制定有一套通用的风险语言的定义，如此才有助于企业所有风险治理者的相互了解和沟通。因为信息的有效沟通往往是风险治理成效大小的关键，而缺乏通用的沟通语言则无法对商业风险进行有效理解。一个有效的风险治理离不开企业组织内部不同职能、不同部门之间、上下之间的信息相互沟通。我们称这种沟通为四维沟通模式（Four-Way Communication）。由于企业面临的不确定性可能会成为企业实现其战略目标、运营目标和财务目标的障碍，因此，一个比较典型且有效的方法是将风险归纳为三大类：战略风险、运作风险和财务风险。战略风险（Strategy Risk）是

9、指因公司内、外部环境的不确定性而导致战略的选择和实施的实际结果与战略预期目标存在偏差的现象；运作风险（Operational Risk）是指企业在经营过程中对外和对内的治理风险，如内部的安全生产、人力资源、网路安全，以及对外的合同和供应链风险等财务风险（Financial Risk）是指公司财务结构不合理、融资不当使公司可能丧失偿债能力而导致投资者预期收益下降的风险。（一）风险识不风险识不是指运用各种方法对尚未发生的潜在的及存在的各种风险进行系统地归类，并总结出企业面临的所有风险。风险识不所要解决的要紧问题是：风险因素、风险的性质以及后果，识不的方法及其效果。从风险识不的途径来看,风险识不可运

10、用外部经济单位,如保险公司、风险及保险学会等，设计的风险分析表格直接用来识不自身的风险。这些方法有:保险调查法，保单对比法，资产损失分析法等，但此类方法仅提供一般性风险的识不。由于经济单位都各有自己的特点，经济单位也可针对内部特有状况自行设计识不风险的方法，此类方法有：财务报表分析法，流程图分析法等。 现在使用的风险识不方法，能够分为宏观领域中的决策分析（可行性分析、投入产出分析等）和微观领域的具体分析（资产负债分析、损失清单分析等）。下面介绍几种要紧方法：1财务报表分析法。是以资产负债表、损益表和现金流量表等财务报表为依据，通过采取水平分析法、垂直分析法、趋势分析法、比率分析法等来识不当前所

11、面临的所有财务风险，甚至还能发觉企业以后的财务风险。如依照资产负债率指标，能够综合反映企业的偿债能力，一般认为该指标为50%比较合适，假如该指标过高，相对而言，发生财务风险的可能性就要大些，尤其超过100%时，表明企业差不多资不抵债，视为达到了破产警戒线。2类比分析法。比照过去的财务风险治理实践类似的案例，从中总结经验和方法，汲取教训。如依照以往的赊销经验，推断企业的现金流量风险。3德尔菲法，又称专家调查法。指在识只是程中，采纳信函的形式向有关专家，再次征求意见，然后综合反馈。反复多次，直到意见比较一致为止。4幕景分析法。这是西方国家风险分析的一种常用方法。其操作过程为：先利用有关的数据、曲线

12、与图表等资料将某种商品的生产经营或某项资金的借贷与经营的以后状态进行描述，以便用来研究引起有关风险的关键因素及其后果和阻碍程度，然后再研究当某些因素发生变化时，又将出现如何样的风险及其造成的损失与后果如何。5业务流程分析法。立即企业的各项财务活动按其内在的逻辑联系建立一系列的流程图，针对每一个环节逐一进行调查、研究和分析，从中发觉其潜在财务风险。需要指出的是,每一种风险识不方法都存在一定的局限性，这是因为：1、任何一种方法不可能揭示出经济单位面临的全部风险，更不可能揭示导致风险事故的所有因素，因此必须依照经济单位的性质、规模以及每种方法的用途将多种方法结合使用。2、由于经费的限制和不断地增加工

13、作会引起收益下降，风险治理人员必须依照实际条件选择效果最优的方法或方法组合。3、如前所述，风险识不是一个连续不断的过程，仅凭一两次调查分析不能解决问题，许多复杂的和潜在的风险要通过多次识不才能获得较为准确的答案。（二）风险度量风险衡量确实是对风险存在及发生的可能性以及风险损失的范围与程度进行可能和衡量。其差不多内容为运用概率统计方法对风险的发生及其后果加以可能，得出一个比较准确的概率水平，为风险治理奠定可靠的数学基础。企业想要明白所拥有的各类资源是否得到了有效的运用、资金配置是否合理、是否将时刻花在了风险小的地点，惟一的方法确实是对风险进行度量。目前风险治理领域，对风险的预测和度量的论著专门多

14、，以下列举几种比较常见的：（1）战略风险度量方法：1、CAPM 法（资本资产定价模型）2、方差分析法方差分析法在国内又被称作为变化的方法，是利用特定变量的变化特征（比如方差和标准差）来可能企业作为一个整体的风险水平，也是战略风险度量中使用较为广泛的方法之一。以此方法为基础的战略风险的差不多内涵是收益的变化。经常使用的是一些收益类的指标，如ROA（资产回报率），ROE（股本回报率），E/P（盈利价格比）等。其具体方法为取特定变量的历史数据的平均值作为收益指标，再取全部数据整体的方差作为风险指标，以下属事业部，企业整体，产业为单位来可能风险和收益之间的关系。3、状态确定方法、国外学者 James

15、M. Collins 等人在1996年前后提出了一种比较新颖的战略风险度量方法，该方法要紧把企业战略风险的构成着眼于企业竞争地位的下降以及下降的幅度，James 把该方法称作状态确定方法。方法具体过程如下：首先选取某一个体企业作为研究对象，并选取能够反映该企业竞争地位的相关指标，如市场占有率，资本回报率等，关于各年度，对行业内所有企业按所选指标的优劣进行排序，从而每一年度都会有一个关于企业竞争力大小的一系列排名。对比每个年度的排名，分析企业排名变化的程度和变化的频率，以此作为基础来衡量企业所面临的风险。（2）运作风险度量方法：1、自我评估操纵这种方法是通过问卷调查和一系列讨论会，向公司内相关责

16、任部门提问，主观地评估组织的各部门及其特征，以识不重要的风险。下图是一个自我评估操纵框架及其要紧分类的实例。公司治理公司治理公司治理人力资源运作市场财务技术发货采购广告行政上税运作经营进货生产成本销售售后服务会计赔偿基金资产报表公司治理运作图三 用于风险识不及风险归类的自我评估操纵框架实例在自我评估操纵框架中，各个分类都对应着组织中相应的部分及职能。关于每一个类不都有一些特定的问题需要回答，以猎取相应风险及其严峻程度的信息。2、流程分析在这种方法中，从任务层面上对公司的运作流程进行分析，以明确在流程、执行和相关过程操纵方面的误差所可能导致的风险。用详细的工作流程及操纵图来编制出一份清单，列出关

17、键的操纵点和流程中相关的风险，作为流程中任务和操纵绩效的指南。当重新建立流程和修正流程操纵的时候，流程分析是特不有用的，它能够为编写相关流程提供一个整体的概念和设计。由于它是对复杂流程特不详细的描述，因此关于大型组织会产生大量的文件，但流程分析没有一个好的对大量反馈信息进行度量的方法，通常都依靠于主观的评估，例如：审计评分。尽管流程分析能够对与流程相关的风险进行识不和分类，并确定来源，但对流程以外的风险分析几乎无能为力，它不能为治理层提供客观的、中肯的度量反馈。3、损失归类在这种方法中，运作损失及对损失的解释和每类损失的属性都被输入到一个数据库中。要建立一个损失数据库，先要建立一个损失数据模型

18、，然后需要进行详细的分析以保证分类能够用于风险度量。理想状态下，分类是能够构成的，使得所有的损失都仅属于一种分类，同时能够累计。但常常发生的情况是，分类经常互相重叠，以至于有些损失并不属于任何一个差不多定义好的分类。显而易见，这些分类方法都会导致损失重叠。在分类中的重叠会产生重复计算，使得风险度量结果分配特不困难。专门多外部的损失数据库缺乏完整分析所需要的透明度，而且看起来同样会受到重叠问题的困扰。因为没有一个标准对损失进行讲明，因此用损失数据库时一定要慎重，损失分类能够对反馈（损失的数量）提供一个客观的度量，但仅能识不差不多发生的损失，不能依照已给出的条件来找出损失，以及决定损失的缘故。4、

19、绩效分析用这种方法，业务活动的绩效度量被用来开发相关的风险度量。理由是：假如绩效度量反映了业务活动和公司收益之间的因果关系，那么绩效度量的波动性度量将反映业务活动和收益风险之间的因果关系。公司的绩效模型，如价值链(Value Chain)(Porter,1985)，以及平衡积分卡(Kaplan&Norton,1996)，通过基于因果的度量方法，提供一个能被大伙儿同意的公司绩效度量方法，这两种模型为大多数公司所采纳，同时在多种业务类型中都取得了成功。它们在风险方面的应用为绩效和风险之间建立起一致的联系。然而，它们关注于制造收益的绩效驱动力，而不是关注于导致损失的各种风险因素的波动。同时，由于它们

20、是共同使用而不是累计使用，因此它们也存在着其他损失模型同样的重叠分类问题。（3）财务风险度量方法：财务风险的衡量通常能够借助于简化的模型来计算某种风险程度下的期望收益，通常采纳定性分析和定量分析相结合的方法，将情况的分析推断和数据的整理计算结合起来，其最常见的确实是概率度量法。1、概率度量法从风险的定义能够看出，风险事件的发生与否具有不确定性，在概率论中称为随机事件，其发生的可能性大小通常用概率进行衡量。从理论上讲，发生损失的概率越大，财务风险也就越大；概率越小，财务风险也就越小。此方法原理确实是:对任何投资而言，预期以后的酬劳率分布愈集中，投资的风险则愈小，反之亦然。它要紧是用数理统计上的标

21、准差来计量出概率分布集中程度的大小。越小，概率分布越集中，风险程度就越小。2、盈亏平衡分析盈亏平衡分析是研究盈亏平衡时各有关经济变量之间的关系，是就销售量变化对投资收益的阻碍进行分析，以确定项目不亏损所需要的最低销售量。盈亏平衡分析一般是依照项目正常年份的销售价格、变动成本、固定成本等因素确定盈亏平衡点的销售量，即项目年收入与年成本相等时的销售水平，其计算公式为：盈亏平衡点销售量=固定成本/（销售单价单位变动成本）=固定成本/单位边际贡献盈亏平衡点销售收入=固定成本/边际贡献率边际贡献率=边际贡献/销售收入通过盈亏平衡分析，企业能够了解市场需求对企业盈利状况的阻碍。假如可能市场需求量远大于盈亏

22、平衡点，企业投资比较安全；假如可能市场需求量接近盈亏平衡点，企业在投资决策时必须慎重，以防止可能失误给公司带来不利后果。3、敏感性分析敏感性分析是通过分析、预测项目要紧因素发生变化时对经济评价指标的阻碍，从中确定出敏感因素并确定其对经济评价指标的阻碍程度的分析方法。敏感性分析一般选择净现值（NPV）或内部收益率（IRR）作为分析的指标，有时也会分析投资回收期和投资借款偿还期。4、杠杆分析法杠杆分析是财务经理在进行财务分析时经常运用的工具，它又能够分为经营风险与经营杠杆、债务筹资风险与财务杠杆和企业总风险与总杠杆这三方面内容。经营风险是指由于商品经营上的缘故给企业的利润或利润率带来的不确定性。阻

23、碍经营风险的因素要紧有：产品需求变动、产品价格变动、产品成本变动等。衡量这一风险的方法专门多，其中通过经营杠杆系数来衡量是最常用的一种。经营杠杆反映销售量与息税前利润之间的关系，要紧用于衡量销售量变动对息税前利润的阻碍。衡量债务筹资风险的方法专门多，其中常用的方法之一是财务杠杆系数衡量法。财务杠杆要紧反映息税前利润与一般股每股收益之间的关系，用于衡量息税前利润变动对一般股每股收益变动的阻碍程度。企业总风险是指经营风险和债务风险之和，总杠杆要紧用于反映销售量与每个收益之间的关系。下面介绍一下目前在风险度量领域最常用的两种方法：风险价值法(Value At Risk, VAR)和压力测试法(Str

24、ess Testing)。风险价值法(Value At Risk, VaR)VaR最初在1993年被提出，是一种对在市场不利情况下潜在损失的测度。而VaR的最大优点在于:不管金融风险的根源在哪个市场，VaR模型都可用一个数值表示以后某个时期的潜在损失，如此不同的市场、交易者和金融工具间就可进行风险的比较。VaR(valueatrisk)按字面意思解释确实是按风险估价，确实是指在某一特定的时期内，对给定的置信度、给定的资产或资产组合可能遭受的最大损失值。其数学定义为:P(Pt VaR) =1-.其中Pt表示在t时刻内,某资产的市场值的变化，为给定的概率。即:对某资产或资产组合，在市场条件下，对给

25、定的时刻区间和置信水平。VaR给出了其最大可能的预期损失。也确实是讲，我们能够1-的概率保证.损失可不能超过VaR。 VaR方法把一种资产或资产组合的风险归纳起来用一个的单一的指标来衡，把风险治理中所涉及的要紧方面组合价值的潜在损失用具体的货币的一位来表达。资产组合价值波动的统计测量，其核心在于构造组合价值变化的概率分布，差不多思想仍然是利用资产价值的历史波动信息来推断以后情形。只是对以后价值波动的推断不是一个确定值，而是一个概率分布。令一种资产或一个投资组合的初始价值为Po.收益率为R，则期末的价值为P=Po(1 +R)。令R的期望值与波动性分不为林和二.在给定置信水平下，该投资组合的最小价

26、值为P = Po(1 + R)。风险价值VaR伯定义为相对损失.即VaR=E(P)一P .将P与P代入.则VaR=一Po(R一林)。VaR方法适合于包括利率风险、汇率风险、股票价格风险以及衍生工具风险在内的各种市场风险的衡量，使商业银行用一个具体的指标数值就能够概括银行整体风险状况，加快了以盯市报告为基础的风险交流，而且通过对不同市场上风险状况的比较，合理配置资源，大大方便了商业银行最高治理层随时掌握机构的整体风险状况。压力测试法:压力测试是指在极端情景下，分析评估风险治理模型或内控流程的有效性，发觉问题，制定改进措施的方法，目的是防止出现重大损失事件。具体操作步骤如下：1针对某一风险治理模型

27、或内控流程，假设可能会发生哪些极端情景。极端情景是指在非正常情况下，发生概率专门小，而一旦发生，后果十分严峻的情况。假设极端情景时，不仅要考虑本企业或与本企业类似的其他企业出现过的历史教训，还要考虑历史上不曾出现，但今后可能会出现的情况。2评估极端情景发生时，该风险治理模型或内控流程是否有效，并分析对目标可能造成的损失。3制定相应措施，进一步修改和完善风险治理模型或内控流程。以信用风险治理为例。如：一个企业已有一个信用专门好的交易伙伴，该交易伙伴除发生极端情景，一般可不能违约。因此，在日常交易中，该企业只需“常规的风险治理策略和内控流程”即可。采纳压力测试方法，是假设该交易伙伴今后发生极端情景

28、(如其财产毁于地震、火灾、被盗)，被迫违约对该企业造成了重大损失。而该企业“常规的风险治理策略和内控流程”在极端情景下不能有效防止重大损失事件，为此，该企业采取了购买保险或相应衍生产品、开发多个交易伙伴等措施。 了解企业面临风险的真实程度无疑有着重大的意义。这需要首先对风险进行评级，接下来尽可能对风险进行度量。只有在此基础上，企业治理人员才能真正制定出价值最大化的经营决策。尽管风险度量还受到专门多限制，但那个领域不断取得的进展会使得这些限制逐步减少。掌握有关风险的这些知识，治理人员就能够制定出更有效的风险治理制度。（三）风险应对策略风险应对发生在对风险进行充分有效地识不和度量之后，是企业风险治

29、理的重要时期，直接关系到企业风险治理的成败与否。企业风险处理需要企业能够充分利用各种手段和技巧来应对各种风险，常见的风险处理方法有风险幸免、风险转移、风险减低等1、战略风险的操纵战略风险的操纵按照时刻顺序分为三种：事前操纵，事中操纵和事后操纵。事前操纵是指在战略打算付诸实施前，对战略打算本身及其目标的合理性进行分析和操纵。事中操纵是指在战略打算实施过程中，通过调节与操纵企业内，外部因素来实现战略能够朝着既定的战略目标展开。事后操纵的要紧目标是考虑如何最大限度地降低风险事件发生带来的不利阻碍，并尽可能在承担了风险的情况利用风险实现和保证企业的收益。若企业实现了战略目标，则无需事后操纵。财务风险的

30、应对企业财务风险分为五大类：筹资风险、投资风险、现金流量风险、利率风险及汇率风险。筹资风险是指企业在筹资过程活动中由于资金供需市场、宏观经济环境的变化或筹资来源结构、币种结构、期限结构等因素而给企业成果带来的不确定性。企业能够采纳利率互换策略与货币互换策略来规避筹资风险。投资风险是指企业在投资活动中，由于受到各种难以可能或操纵因素的阻碍给企业财务成果带来的不确定性，只是投资的收益率达不到预期目标而产生的风险。企业的决策者能够通过规模投资、组合投资，分步投资、合理的负债投资降低财务风险。现金流量风险是指企业现金流出与现金流入在时刻上不一致所形成的风险。企业的治理者能够采纳流淌比率和速动比率来加强

31、对这种风险的预测和操纵。利率风险是指在一定时期内由于利率水平的不确定变动而导致经济损失的可能性。这在财务风险中要紧体现在企业筹资中所承担的风险。企业能够利用利率互换进行风险操纵。汇率风险是指在一定时期内由于汇率变动一起企业外汇业务成果的不确定性。企业能够利用货币互换、外汇风险保值、期权合约来进行风险操纵。1.2 制定有效的组织层面操纵架构为确保整个风险治理体系能够在企业内部有效的动作，公司必须适应一套有效的一体化的组织的架构，这一架构属于组织层面的操纵包括战略层面操纵（Strategic Control）和治理层面层操纵（Management Control）二部分。当今的组织结构差不多由传统

32、的以垂直治理为主进展成为新型多样的组织形式，如通用电气公司的无边界组织结构（Boundless Organizations ）以及目前是差不多被国内大型企业所开始采纳的“平行治理组织结构”Horizontal Structures)。这些新型的组织架构表现为较为宽松、非集权的、倾向平行而非垂直治理的，更倾向于以信息流程而非以上下级领导为导向的这些特点。这种向新型组织架构的转变，使每一治理团队在进行风险治理的同时确保整个组织架构的有效运行以及每一个商业流程的成功运作。任何一个业务流程的失效都有可能增大整个组织架构运行失败的风险。而战略层面与治理层面操纵正是形成了该新型组织架构中所运用的风险治理方

33、法、手段、流程及评价。战略层面操纵(Strategic Control）战略层面操纵由六个要紧流程构成，用以持续地评估外部环境因素变化成对企业运作的阻碍、制定企业风险治理战略并将企业组织架构同这些战略相联系。在多变且充满竞争的环境里，有效的战略风险操纵流程确实是必不可少的。该六大要紧流程由下图所列亦并具体分不阐述如下：战略层面操纵六大要素1、评估/监控外部环境外部环境风险在以下二种情况下有可能发生：企业对外部环境的假设同实际情况不一致，比如实际情况差不多发生变化或有可能企业的初始假设就不成立；企业缺乏一个有效、持续的流程以猎取外部环境的相关信息。为降低该风险, 治理层需要建立一套机制/流程用以

34、系统地监控外部环境变化，包括来自竞争对手、市场、监管及其他任何在企业自身组织之外的因素。正因为企业今天的成功并不是改日胜利的保证，因此环境的变化对企业的阻碍是至关重大的，企业因此必须有能力确保其商业模式所依靠的假设及治理层对公司战略正确性的理解是环境的变化相一致的。常见的监控方法包括进行行业分析、竞争对手分析，市场分析、标杠分析、不同可能出现方案分析等等。2、评估外部环境对企业战略的阻碍任何企业都需要进行有效的风险评估并确认风险的源头，这一评估过程涉及企业组织架构（即控股公司及业务单元层面）以及业务流程二个层面。关于业务流程层面的评估，我们将在后文再作阐述，那个地点首先了解组织层面的评估。在组

35、织层面，风险评估是战略性的，因此要紧侧重于对环境风险的评估。如若环境的变化阻碍到企业商业模式所依靠的假设，则企业必须对其战略目标进行重新考虑。为达到这目的，企业需要一个机制/流程用以确保组织内部每个人对环境变化的认识转化为公司行动中 ，而制定一套通用的风险定义确实是该流程的一个重要组成部分。在这一评估过程中，治理层应确保每个具体风险责任人能够：（1）主体环境及流程风险对其责任范围内业绩的阻碍；（2）将环境相关的风险信息与更高一层治理层进行沟通；（3）设计出一套有效的风险治理程序并付出实施以将风险降至可控水平.因此评估外部环境风险所使用的信息可能来自于公司内部或外部，决策者不仅要评价这些信息本身

36、，更重要的是评估其对公司风险的阻碍，从而采取妥当行动，如对已同意或拒绝风险进行重新评价，对设计不可同意风险的业务行为采取暂停性措施以及对现行风险治理流程进行重新审定并予以改进等。总之，环境的重大改变需要企业重新评估其战略目标。3、制定企业风险治理战略企业的经营需要有一个能确保治理层进行合理决策的框架，该框架必须能引导企业治理层识不重大的经营风险，分析出风险的根源，了解所识不风险同企业资本所面临风险之间的关系，并能够决定是否同意或拒绝该风险及评估这些风险治理决策对企业整体公司政策的阻碍。一个有效的企业风险治理政策应明确风险治理目标和公司经营哲学。其应该涉及下列重点：评估和操纵经营风险的具体目标；

37、是否同意依旧拒绝风险的分析框架；哪些部门负责实施这些政策；不同经营风险的治理策略，如设立权限用以明确治理层对风险的可容忍度；风险治理授权部门，即哪些部门或人员经授权并配备公司资源（尤其是面对高风险商业行为时）从而执行具体的风险治理策略；公司组织结构中每一经理岗位的职能及责任；业绩考核指标及重大风险汇报机制，包括跨职能部门的汇报，从而使风险治理真正地是在整个企业组织中予以全面执行；在这一风险治理政策中，首先注重的是风险的内容，而不是如何操作，每一责任经理应该自己制定出的治理步骤来执行这些同公司确定的风险治理战略相一致的政策。风险政策一般经由董事会批准并在由向首席执行官直接负责的治理高层直接指导下

38、运作执行。一般能够建立一个称为风险治理监督委员会的机构，用以协助治理高层确保风险治理政策在公司的不同职能、流程和部门中得以一致地执行。一个比较常用的作法是要求每一责任单元对风险进行自我评估(Self Assessments)。 例如：某流程负责人应该通过对风险自我评估中所提相关问题予以关注，进一步评估本流程的业绩表现、风险及风险操纵手段。因此，风险自我评估中必须要确保流程责任人能识不风险及分析风险根源，从而能够采纳最佳实践和操纵程序来防范重大风险。风险自我评估能够采取多种方式进行。例如业绩指标的设立、会议、调整及访谈等等差不多上有助的自我评估方式。有些流程其涉及的经理及所关注到的职员可能是来自

39、不同职能部门的，那么通过培训机制则能够提高风险评估的效果，同时亦可减少所花需的成本。4、猎取并分配相关资源企业的成功离不开对稀缺的资源进行有效的分配，立即资源分配至那些能够生成合理回报同时可对所承担风险进行有效治理的投资项目中去。因此，需要建立一套资源分配机制以确保资源的有效分配。此种机制能够包括：制定一套一致的项目风险测评、比较和选择方法；建立一套监督、评价资源分配结果的系统，又称，事后需核（Post-Audit）;制定业绩评估指标，为资源分配决策提供信息，如经济增加值(EVA、Economic Value-Added)、可操纵盈利水平、投资现金回报（CFROI、Cash-Flow Retu

40、rn On Investment）及同行业比较的所投入资本；而在这机制中，以下二点关键性风险应该予以考虑：投资评估风险，即企业可能缺少足够的财务信息做出长期和短期的投资决策，并将其所同意的风险同所投入资本面临的风险相联系；资源分配风险，即企业做出的资源分配可能无法建立并维持一个比较竞争优势或无法使股东财宝最大化。5、监督组织/业务单元的业绩企业需要确保其业绩能达到以下两点要求：业绩考核的充分平衡。组织业绩考核应通过一系列平衡的指标来进行(平衡计分卡)，不能以牺牲长期业绩来猎取短期盈利。需要同公司战略保持一致。如若企业真正地注重其全面质量水平，则有可能可不能向人为单纯达到生产预算而不顾产品质量的

41、生产部门提供任何奖励。总之，要确保企业的内部和外部行为对顾客而言是价值的，然后据此采纳平衡计分的方法进行业绩考核。有效的战略层面操纵一般会以下列方式对业绩评价风险进行治理：在组织层面采纳与企业战略相挂钩的业绩指标进行评价。例如：联邦快递公司将公司战略同业务流程相挂钩而进行业绩考核。由于公司的战略可能会随外部环境的改变而作调整，因此，需要将这一公司战略在每一业务流程及人员的层面以质量、成本及业绩考核时刻的具体形式体现出来。如若不将公司的业绩同业战略目标和组织相联系，这本身确实是一个重大风险。因此，如若不将二者相联系，治理层则永久无法认识到公司的战略是否有效得以实施。制定高标准的考核指标是特不关键

42、的，如若这些指导不是具有竞争性，则公司的经营风险势必会增大。6、持续改进战略风险评估及操纵流程正如其他商业流程，战略层面的风险治理流程亦是需要持续改进的。治理层将会持续地提出下列问题：在决策过策中什么信息是最有用的？过去发生了哪些错误？哪些事项的发生治理层并未预见到？在过去制定战略风险治理并未使用到的哪些外部环境信息在今后可能会更有关心？如若猎取了该等信息、结果有什么不同，这意味着公司现行信息猎取流程出了什么问题？公司如何改进目前战略风险操纵机制？治理层面操纵（Management Control）治理层面操纵驱使了风险评估及操纵程序在整个组织中得以运作，因为治理层在日常所采纳的治理方法，流程

43、和业绩评价对职员行为的阻碍是极其重大的。治理层面操纵可由六大部分组成，其公司的内在关系可由下图列示:治理层面操纵正如上图所示，首先治理层必须通过阐述公司的目的，共同价值理念及目标等信息以展示其领导才能并猎取信任。这离不开权限的明确设置。接着应选出最佳人选，并使他们对经营结果负责。而整个过程是离不开信息的四维沟通和共系。因此实施有效风险治理机制（包括政策、通用风险语言/定义，标准等）就得以建立起来。1、沟通组织目标（我们想达到什么？）一个可持久成功的企业往往都有自己的明确理念、总体目标、具体目标及共同价值观，正是这些才能够激励其职员从而凝聚人的力量。缺乏具有领导能力治理层的企业往往无法引起其顾客

44、的关注，组织机构内往往表现出缺乏激情、相互信任不足及信用低下等不良现象。企业价值理念如若不明确地得以沟通并真正地诸实施，企业则往往无法针对快变的外围环境做出反应，也就无法保持永久竞争优势。2、权限清晰设置权限清晰设置是至关重要的，职员们在明白自己的目标时必须同时清晰地认识到什么不能做。3、选择/进展最佳人选公司高管层首选需要具备某一个体职能的知识和专业能力。因此公司需建立一个有效的人力部门以确保所选人员达到这些要求，同时人员的进展（职员培训）亦是一个重要的持续过程。4、明确责任公司需要确保其组织结构中每一层次的职员都有明确的责任，这些责任将其业绩表现期望值同奖励机制相联系，并及时进行评价。5、

45、信息四维沟通及共享公司业绩、风险及风险操纵措施等信息需在公司组织内部从上至下并从下至上地得以全面沟通。6、全面实施有效的风险评估及操纵程序要做到这一点，公司通常需要：有一明确政策以确保每一经理层及职员参与风险评估及操纵过程；有一套通用的风险语言/定义；领先的风险操纵实践；成本效益原则的考虑；治理高层的领导能力及参考力度；1.3 业务流程操纵（Process Control）战略层面操纵及治理层面操纵建立以后，就能够考虑业务流程的操纵。许多公司是按职能的不同来建立组织架构的，企业产品及服务的开发与提供需要众多职能部门的共同努力，包括市场、工程、销售制造及财务等等。这些不同职能部门的共同活动就构成

46、了业务流程。业务流程是跨职能部门的，因此是企业成功的关键。由于流程是建立在业务活动而不是上下级汇报关系这一基础上的，因此流程是比垂直治理架构更富有弹性，也更容易予以变更的。跨职能部门的有效沟通与协作往往是企业风险评估与操纵的关键。公司应确保每一业务流程皆有最佳人选，同时治理层应确保流程负责人皆有明确的流程目标，同时建立业绩评价体系。下述图形列出在流程操纵环节的要紧关键性活动：下面我们对这些要紧活动予以进一步分析：1、确立流程目标在设计业绩评价指标、评估企业风险及设计风险操纵这些过程中，都需要考虑所有流程的目标。这些目标包括运作的效率、效果、流程信息可靠性和相关性及合规性。与企业战略相符的流程目

47、标将会更符合风险操纵的成本与效益原则，而流程风险操纵则为流程目标的实现提供合理保障。这些流程的目标可举例如下（并非所有目标都适应于每一个流程）：2、风险评估风险的识不、溯源及分析阻碍流程目标威胁的根源等等行为皆有助于对风险操纵的评价和设计。风险评估的目的确实是查找针对风险可采取的是幸免（avoiding）、转移(transferring)依旧降低（reducing）风险的策略。进行风险评估之前应首先明确企业的经营目标并了解企业经营活动及战略，之后在业务流程层面应进行下列三个步骤：（1）风险识不（Identify Risk）企业组织内部应有恰当人员了解风险的性质，包括了解哪些是可控风险与不可控风

48、险。例如：以顾客为导向的企业必须确保每个职员了解操纵顾客中意度的重要性。而一套完整且通用的风险定义/语言则可协助企业对风险的识不。（2）查找风险源（Source Risk）即确定风险产生的根源何在，从而有助于风险评估及操纵的设计。(3) 衡量风险（Measure Risk）指衡量风险的重要性及发生的可能性，从而企业能够获知风险是否被降低至可同意水平及风险操纵考核体系中发生了什么变化。对风险的衡量还有助于企业如何设定可同意风险的程度。假如讲在组织层面对风险的评估是展战略性的，那么在业务层面对风险的评估收上属战术性的。企业流程负责人必须对差不多流程风险进行自我评估。3、风险操纵的设计/实施/改进当

49、风险识不并得以衡量之后，企业就应该设计出一套可行的风险操纵程序，并加以实施和改进。风险识不风险识不风险溯源风险衡量风险评析及监控风险操纵的设计/实施的改进环境发生了什么变化?客户中意度如何?我们从何可知?企业组织的目标是什么?流程中产生有什么阻碍或可能发生何种错误?风险是源于外部?如是,根源是什么?风险是源于内部?如是,是源自于哪一业务流程?流程内部风险的根源是什么?风险有多大?发生的可能性有多高?企业情愿同意多大的风险?企业如何决定同意依旧拒绝风险?企业是否能够对阻碍风险和回报的因素进行监控?对不可同意的风险,企业是否能够进行评析其是否已被纳入可同意范围?对目前可同意的风险,企业是否能够进行

50、再次监控对不可控风险：企业是否应该中止进行的那些产生不可控风险的活动? 关于可控风险：企业是否能够转移该风险?企业是否已有一套有效的风险操纵机制?如有：企业的操纵机制运作有效吗?这些操纵手段与最佳实践存在缺口吗?如没有：企业应采取什么方法以降低风险水平? 企业在设计风险操纵程序时，治理层首先需明确企业可承担/容忍好风险程度（Limits Of Tolerable Risk）。例如，多少的意外事件或何种错误及错误率是在公司可接的范围之内？每一单个交易或在一定期间可同意风险的程度、风险的易变程度与广泛程度、公司评估风险的能力大小及成本效益原则等这些因素都会阻碍企业可容忍风险程度的确定。而风险评估过

51、程对风险操纵设计的阻碍则可通过如下坐称图予以进一步描述：通过风险评估，企业对风险的性质有差不多的了解，在此基础上，能够进一步关注风险的衡量及考虑风险操纵的设计与实施。对A类风险，则更是应该设计操纵程序以在源头对该风险予以规避、转移或预防。规避该风险往往意味着终止或暂停那些产生风险的经营活动；转移则指同某一财力健全且独立的第三方共担该风险，包括担保、再保险、套期保值、建立合资/合作实体或战略联盟及订立合同保障等等；关于不可转移的风险，较好的方法是建立操纵程序以确保在源头预防这些风险。总之，对A类风险的要紧策略是在源头进行规避或预防。对B类和C类风险，采取检查及改正的风险操纵措施一般是足够的，尤其

52、是假如采取源头预防的成本太高的话。由于这二种操纵措施按自上而下的方法进行的，因此能够讲是属于事后操纵程序（detection）。假如风险缘故是那些生产流程中进行重新生产花费巨大或是信息重新输入处置劳动量过大的这些行为，则采取事后操纵的效率是比较低的而且代价也是比较高的。关于D类风险，则通常由于其属于可同意范围之内，因此大多公司不采取不相关和多余的操纵程序。4、业绩评价（Measure Performance）流程业绩评价必须同企业的战略目标、整个组织的业绩评价及流程的目标相联系。业绩评价指标由于其能够显示流程运作的状况，因此也往往确实是企业经营风险的迹象（Risk Indicator）。假如这

53、些数据显示某一流程运作并未达到设定的目标。而流程业绩指标数据则能够协助流程责任人进行自我评估其流程运作状况，了解流程运作是否同公司质量要求相一致，是否达到及时性和成本效益性目标。而针关于人的业绩评价指标则是侧重于酬劳、职员进展及激励、技能、责任心和灵活性。总之，如若企业在整个组织内部使用一致的评价指标，且这些指标同企业战略相联系，则治理层就拥有了其对企业战略实施及财务流程进行监督所需要的信息。例如，公司的重要战略目标之一是进展新业务，那么相对应的组织层面的业绩评估指标，能够是新业务增加百分比，而在业务流程所采纳的指规则能够是打算销售与实际销售的比率。5、流程监督处理 (Monitoring)流

54、程运作的关键除了有效流程设计及选择相关业绩评价指标之外，还包括对流程运作进行监督。而这一监督行为应该关注如下问题：流程是否实现其设计目标？企业/流程的风险改变了吗？风险操纵过程运作如何？业务流程的运作情况如何？尽管企业会由内审部门对风险操纵进行独立评价，但审计并不能代替监督，因为负责进行监督的是流程责任人而不是审计师。每个流程负责人应该对相关流程的运作风险负责，而监督正是其要紧工作，包括进行业绩评价，定期对流程风险进行自我评估及日常的沟通，外部审计师对企业风险操纵进行评价只是作为其对报表审计工作的一部分，并不是我们在本文中所指的监督。但由外部审计师所提出的治理建议则要赶忙进行调查并予以落实。二

55、、授权与自我操纵在了解现代企业风险治理三大组成部分之后，我们还需要进行了解的一点是人员授权对风险治理模型的阻碍。因为这直接涉及到风险治理在企业内部如何实施。首席执行官负责制定公司的目标及战略，但同时其又必须确保授权与责任二者之间的平衡，这也正是企业风险治理方法的核心。授权与自我操纵（Empowerment and self-control）对营业进行恰当的授权将会有助于企业增长机会的增加、持续改进、更多创新及顾客中意度的增加。但不确定对职员如何授权，如何采取措施确保职员关注企业战略目标、爱护公司资产、幸免承担不可同意的风险及确保组织整体的可靠性等等这些仍然是企业治理层的要紧责任。自我操纵则是架

56、在职员授权与治理层责任之间的栋梁。在风险治理方法中，授权只是达到自我操纵的其中一个途径而已。自我操纵一词则更多是对企业要实现的目标是什么这一问题进行描述，是企业进行风险评估与操纵的驱动力，并为企业如何在多变的外围环境中进行风险操纵提供了一个方法。其不仅意识到要进行授权，更是关注到那些对流程实施负首要责任的人员进行流程操纵这一方面。而达到这一点则首先流程负责人要持续进行跨职能部门地评估流程运作绩效、风险及操纵。公司治理层要向流程负责人提供必要资源和信息的标准。需要明确的是自我操纵并不意味着由职员自行确定公司组织的目标是什么，也并不意味着由职员决定对公司资源的猎取，分配和调度，更不意味着放弃领导和

57、有效治理; 相反, 这些组织目标、资源调配、领导和治理的职能的照旧由公司的治理层通过风险评估，流程操纵等风险治理方式进行. 如若把自我操纵的定义作一概括，能够是：自我操纵是对责任及决策权向有足够知识的经理层和职员授权，供其用以监控企业经营风险、持续提高风险操纵流程，不论是通过其个人行为或集体行为，使其所服务的内、外客户及公司股东利益最大化，同时，这一授权是在下列范围之内进行：在有明确定义的业务流程之内（或明确的职能部门范围之内）；在有特定的权力大小限制的范围之内；必须具有可靠性及相关性的决策所使用信息；以下的图形正是对自我操纵这一体系作出了全面描述，这一模型在当今许多跨国公司中得以广泛使用，这

58、些具备成功经验的公司无不意识到在公司成功的众多因素中最重要的是职员培训与教育、风险自我评估，组织内部信息的四维沟通及对业绩(不论是组织层面业绩依旧业务层面业绩)进行标杠分析这四大因素。自我操纵模型概念图三、企业风险治理框架二零零四年九月美国国家财务报告舞弊委员会(National Commission On Fraudulent Financial Reporting, i.e. Treadway Commission) 所发起的内部操纵研究发起组织( Committee of Sponsoring Organization, COSO) 公布了企业风险治理框架 ( Enterprise Ri

59、sk Management integrated framework) 。该风险治理框架COSO 是托付美国普华永道会计公司组织编写的，差不多上是对在全球跨国公司运用多年的全面风险治理实践，在原安达信公司联同英国经济学人集团于一九九五年之后，业界第二次比较系统地对全面风险治理理论和实践做出总结。依照ERM框架，“全面风险治理是一个过程。那个过程受董事会、治理层和其他人员的阻碍。那个过程从企业战略制定一直贯穿到企业的各项活动中，用于识不那些可能阻碍企业的潜在事件并治理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。” ERM框架有三个维度：第一维是企业的目标：即战略目标、经营目标

60、、报告目标和合规目标。第二维是全面风险治理要素：即内部环境、目标设定、事件识不、风险评估、风险对策、操纵活动、信息和交流、监控。第三维是企业的各个层级：包括整个企业、各职能部门、各条业务线及下属各子公司。全面风险治理的八个要素差不多上为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上八个方面进行风险治理。ERM框架三个维度之间的关系如图：（）内部环境（Internal Environment）。内部环境是企业风险治理所有要素的基础，对其它要素的各方面都能产生阻碍。明确企业的内部环境是进行风险治理活动的基础。董事会是内部环境的重要组成部分，对其他内部环境要素有重要的