风险管理风险管理简易手册

风险治理简易手册

前言

今天,风险治理在全球范围内已经成为企业战略治理的核心内容.一位我

尊敬的前辈在今年早些时候告诉我，“所有的治理都是风险管理〃，让我

对自己热爱的事业重新有了熟悉.

我一直自诩为“风险治理和足球运动比拟学说”的创始人，喜欢把风险治理

之于一个组织类比成中场队员之于i支足球队，是进可攻、退可守的关键位

置，最容易被人景仰-如果你足够优秀，也最容易遭人唾骂-如果你不够出色.

三年前我在青岛的一个研讨会上打了这个比方，并断言：中国企业风险治理

的意识、水平和水平与世界顶级企业相比的差距就象我们的足球和世界先

进水平的差距一样大,如果不是更大的话.我很希望事实证实我错了.

现在，我很清醒地知道：我是正确的，而且可能将在未来很长一段时间内继

续正确下去.我一点也不自豪.

我极少把工作上的事儿拿回家，但某一天忍不住向妻子抱怨，国内公司的风

险治理实在太落后了，我的耐心已经用光了，我对我事业的前景感到灰心.她

象哲学大师一样说了一句话：“这些缺乏其实都是你的时机〃，我因此豁然

开朗.

在妻子的鼓励下，我决定动笔写这个小册子，献给那些对风险治埋令兴趣的人.

我对白己能够提供一些有限的帮助感到由衷的快乐.

任何读者如果觉得这木小册子对您的工作有小小的启发,请记住一句衷告：

扼住风险的喉咙,你就是主宰.

我要衷心地感谢GeorgeLazovsky先生,是他带我走进风险治理的殿堂，并让

我从中获得了无穷的快乐.

祝大家平安健康！

马富强

2003年5月28日

1.风险的定义

传统定义：风险是损失的不确定性(Riskistheuncertaintyofloss).

当代定义：风险是预期与实际结果的差异(Riskisthevariationbetween

expectationandpracticalreality).

国际标准组织的定义：风险是事件发生的可能性及其后果的综合

(Riskisthecombinationoftheprobabilityofaneventandits

consequences).

可以轻易看出，人们对风险的熟悉在进步.当代的风险治理不仅仅研究只可能

造成经济损失的风险,也开始研究可以带来收益的风险.对于企业的经营者来

说,前者是负面风险,后者是正面风险.

在有些时候,同一风险既可能带来损失，也可能带来收益.作为风险治理

的一个重要分支，平安治理或风险工程学(RiskEngineering)仅研究负

面风险,其目标是如何预防并减少损失,更侧重于防灾防损工程技术方面

的研究.

本手册探讨的是最新意义上的风险.

2.风险治理

定义：风险治理就是组织对面临的各种风险进行识别、评估,确定恰当的处

理方法并予以实施，以可确定的治理本钱替代不确定的风险成本，并以最小经

济代价获得最大现实保证的活动.

风险治理的核心是对风险进行识别和处理,其根本目标是保证组织经营的稳

定，持续和开展.可以说,好的风险治理机制能够增加企业成功的概率，降低

失败的可能.

风险治理是动态的,始终贯穿于组织战略的制订和执行.风险治理为组织的经

营者提供可靠的方法来对付组织面临的各种风险，包括过

去、现在和将来的风险，尤其是为决策者提供作为或不作为的依据.

风险治理必须同组织的经营文化密切结合，并需要最高治理层的全力支持.

风险治理的受托人是风险治理经理(RiskManager),而随着组织决策人对风

险治理的日益重视，在风险治理最兴旺的北美，一些组织中已经出现了首席

风险官9山.£RisksOfficer),负责把组织的战略转化成可操作的各种方

案和流程,催促组织各级成员进行实施，并设立严谨的考核体系，以保证组织

的运营水平不断提升.

风险治理的功能：

令令给组织未来的经营活动提令令促进组织资源的最优配

供框架性指导；置；

令令促进组织决策、规划的科令令保护组织的资产和形象；

学性；令令提升组织的运营效率；

今今樨升组织的经昔色疳力：令令实现组织社会责任目标.

风险治理的目标，

令令最低目标：保证组织的生存；

令令中间目标：促进组织的开展；

令令最高目标：实现组织的社会责任.

3.风险治理流程概述

组织面临的各种风险可位单划分成内部风险和外部风险，井口J进一步划分为

战略风险、财务风险、运营风险和灾害类风险.下面是个简单的示意图

(RiskMapping).

财务风险战略风险

利率竞争

外汇客户变更

信用行业变更

市场需求

合并、收购

现金流斫究与开展

知识产权

内部因素

会计

信息系统

供给链

市场销售

法规

组织文化治理人员

运营风险

资产

员工

产品与效劳

需司自

灾害

供

给商

环境

灾害风险

分析组织的经营流程与契约结构也是识别风险的重要方法.无论用那种方

法,风险治理都既是一个整体过程,也是一个个决策过程的综合.

其步骤大致如下:

;组织的战略目标腾

风险识别风险描述风险的量化

治理报告风险的处理

深入分析

威胁与时机监控与改良

1.3.风险的分析与评估

4.1风险的识别

风险识别是将组织面临的各种不确定因素一一鉴别出来.这需要对组

织自身的经营状况、其所在市场的情况，其所处法律、社会、政治和文化环境

有深入的熟悉和了解，同时要求该组织要有明确的经营战略，由此方可识别促

使组织成功的因素，以及那些威胁到组织赢取其战略目标的因素.

风险的识别是一个动态的过程，随组织和其所在环境的开展变化而发展、变化.

风险的识别应当一种系统方法来进行，以保证组织的所有主要活动及其风险

都被囊括进来，并进行有效的分类.

组织的行为、活动、决策等可用很多方法加以分类，以下是个常见的分类：

--与策略有关的风险：关系到组织长远战略目标的风险,例如资本的可获

得性、政治风险、法律和政策变更、声誉、竞争态势等等；

--与运营有关的风险：关系到组织日常经营的风险；

--与财务有关的风险：关系到组织财务状况的风险，例如应收帐款、银行

贷款、外汇汇率、利率变动和其他市场风险等；

--与知识治理有关的风险：这关系到组织对知识资源的限制与管理，例如

知识产权的侵权或被侵权,竞争技术的出现,信息系统的功能错乱,关键技

术人员的流失等等；

--与合法（合规）经营有关的风险：包括员工的平安与健康、环

境污染、消费者权益保护等等；

--灾害类风险：主要是指自然灾害或意外事故给组织带来的各种经济损

失.

有效的风险识别应当形成一个风险清单(RiskManifest),列明组织面临的

各种主要风险.

4.24.2风险的描述

将风险识别出来以后,通常需要使用一些表格的形式对风险的特征进行精确

的描述.无论是对组织的三常经营,还是针对某个特定的项

目，都可以采用这种做法.其适用性非常广泛.见下表.

条目描述

1风险的名称

2风险的涉及范围风险本身、其类型、大小、数量的定性描

述

3风险的分类策略类、运营类、财务类、知识治理类、

合法经营类、灾害类等等

4风险的参与者谁分担这些风险？各自期望如何？

5风险的量化频率与烈度

6对风险的期望

暴露于风险之下的总价值；潜在损失或收益的

规模与概率：风险限制的目标以及预期.

对风险进行处理的现行方法；

7风险的处理和限制

信心指数；

审核与监控的方法.

8潜在的改良举措进一步减少风险的方法与举措

9策略的制id确定风险治埋策略，并责成职能部门负责

日常监管.

4.34.3风险的量化

任何风险最后都需要用数字或精确的文字描述来表述，否那么是无法被

大多数人正确熟悉的.

对于风险的量化,一般是通过分析两个维度，即发生的频率(Frequency)与一

旦发生所造成后果的严重程度(Severity),来进行

的.这种方法既适用于“负面风险〃-即只有可能造成损失的风险，也适用于

“正面风险”-即有可能造成收益的风险.

风险量化通常可以通过距阵分析发来进行,距阵数列越多，量化得越精密.一

般说来,风险治理专家通常使用3x3或5x5距阵.读者可以根据自己组织的具

体情况进行选择.下面是一些简单的例子.

关于发生频率的分析-损失

量化估计描述重要迹象

高每年都可能发生，或者发生十年内已屡次发生；

很可能发生概率高于0.25最近三年内发生过.

中每十年发生一次，或发生概十年内发生过超过一次；

有可能发生率小于0.25历史上曾经发生过.

低十年内不太可能发生,或发从来没有发生过：

不太可能发生生概率小于0.02根据合理掌握的知识认为

不太可能发生.

读者们不妨根据上表分析一下“非典型性肺炎〃这种风险再次爆发的

可能性.

关于发生频率的分析•收益

量化估计描述重要迹象

一年内可取得最好的预期短期内依靠现有体制并有明确

很可能发生成果,或成功概率大于0.75时机取得确定性成果.

一年内可取得合理的预期短期内根据说定方案并在现有

有可能发生成果，或成功概率在0.25体制内无法取得成果，但采取

到0.75之间恰当举措那么有可能.

一年内不太可能获得预期短期内根据预定方案并在现有

不太可能发生成果，或成功概率小于0.25体制内无法取得成果，治理层

暂时也没有恰当的方法.

关于后果严重程度的分析•损失与收益

高--对组织财务状况的冲击巨大;

对组织战略和经营活动造成重大影响;

--引起各关系方的高度关注.

中一对组织财务状况的冲击较大；

--对组织战略和经营活动造成较大影响；

--引起各关系方的较多关注.

低--对组织财务状况的冲击较小（在心理承受线以下）；

--对组织战略和经营活动没什么影响；

--各关系方不会有很多关注.

5x5距阵是在“低”与"中〃之间加一个“一般〃，在“中〃与"高”之间加

一个“较高〃，这样将形成五个等级.

至此,读者可以综合考虑一下，对一个出口型企业来说,应当如何评估其产品

在海外市场遭到反倾销投诉的风险以下图是个简单的3x3距阵.

4.44.4风险识别与分析的方法和技巧

风险的识别与分析有很多方法、技巧，一般说来，以下这些是最常用的：

风险识别

一头脑风暴［集思广益）；卜-合同结构分析;

-问卷调查;-行业参照;

一业务流程分析；一情境分析：最好和最差情

境）：

一事件分析；一研讨会；

一调查与审计.

风险分析

对于“正面风险〃:

一市场调研；--前景预测；

一研究与开展；一实验性营销；

一冲击力分析.

对于“正面风险〃和“负面风险〃

一组织依存模型分析（泛契约关—SWOT分析;

系模型分析）；

一事件树分析法；一持续经营方案（BCP）；

-BPEST分析（商业、政治、经一统计分析与推论：

济、社会、技术分析）

一PESTLE分析（政治、经济、社会、技一散布与倾向分析.

术、法律、环境分析】：

对于“负面风险〃

一威胁分析；一失误树分析;

FMEA分析（失败模式与效果分析）.

4.54.5风险剖面图

上述风险分析完毕后,就可以画出任意风险的剖面图,并开始探求对任意风险的

处理方法.

风险剖面图需要列明风险的种类，性质，分析（频率与后果），参与方/关系方，

并提议处理方法.

由于经常为一些工程提供风险治理咨询，我本人非常习惯使用特定格式来画风

险剖面图.附件一是个简单的例子.

风险的分析与评估需要到达这样一个效果，即任意风险都要有明确的归属.风险

的承当者可以是组织本身及内部的各个构成,也可以是与组织有契约关系的其

他组织.

5.风险的处理

通过对风险进行分析和评估，组织的治理层应当已经识别出了影响组织战略目

标的风险以及其归属，需要考虑采取那些手段对风险进行处理.主要手段包括：

1.1.防止（不去做某事以不承当任何风险）；前端处理

2.2.自留（由组织自身承当）；

3.3.限制与弱化（平安治理，降低风险的频率和烈度）：

4.4.转移（在契约关系方之间进行）；后端处理

5.5.财务处理（保险与其他方式）.

成熟的组织应当首先考虑前端处理方法,然后按顺序考虑中、后端处理方法.这

是由于对风险的处理越靠近前端,组织就越主动,处理成本就越好限制.

任何风险处理系统都至少需要到达以下目标：

1.1.保证组织运营的效率：

2.2.保证有效的内部限制：

3.3.保证组织的合法、合规经营.

必须指出：任何对风险的处理都是有经济代价的，判断风险处理的方法是否得当

主要是比拟风险自身的本钱和对风险进行处理的本钱，后

者小于前者是最低标准.

另外,对某一特定风险进行处理在多数情况下会带来新的风险.一旦新的风险被

识别出来,组织应当进行相应的分析与评估.

举个简单的例子：在办公大楼内禁止吸烟降低了火灾的频率，安装喷淋系统降

低了火灾的烈度.但喷淋系统有可能在平时破裂造成水损.在这种时候,风险治

理人员需要比拟对甲风险的处理本钱是否低于处理后衍生风险的本钱,假设否

那么需要考虑对甲风险的其他处理手段.

在对风险进行财务处理中，保险是个很重要的方式，但不是唯一的方式.对保险

公司进行甄别和选择需要考虑组织的整体风险治理标准.

在这里提个问题请大家思考：中国企业挑选保险公司的标准是什么？是否

与组织的战略目标保持一致？

6.6.风险治理中的汇报渠道与沟通

7.1内部汇报渠道

优秀的风险治理体制应当给组织中不同级别的机构和人员提供不同的信息.

董事会及成员应当:

令令知道组织面临的最主耍战略风险；

令令知道组织实际经营效果与各方预期之间的差异及其后果；

令令保证组织里各级机构及员工都有恰当的风险意识；

令令知道组织应当如何进行危机处理；

令令意识到股东对组织信心与信任的重要性；

令令知道如何治理与投资机构的沟通；

令令知道风险治理系统是否在有效运行；

令令公布组织的风险治理政策、哲学、和使命.

各营业机构应当：

令令知道各自工作范围内的主要风险以及对其工作业绩的影响；

令令设立明确的运营指标作为基准，以定期考察实际经营效果与预期之间的差

异，并提供改良建议；

令令向高级治理层随时或定期汇报新出现的风险,或当前体制中存在着的风险

限制瑕疵；

基层员工应当：

令令了解组织风险治理系统的根本要求；

令令了解自己工作责任内的主要风险；

令令知道应当如何持续改良其各自工作范围内的风险治理；

令令意识到个人风险治埋和风险意识对组织的重要性；

令令向上级治理层随时或定期汇报新出现的风险,或当前体制中

存在着的风险限制瑕疵.

7.2外部汇报渠道

任何组织都需要向其投资人或主管部门定期汇报风险治理政策,及其实施的有

效性.随着时代的不断进步,越来越多的投资人、社会公众和主管部门会对组织

的非财务性经营成果表示关注，例如环保、平安生产、社区形象等等，因此组织

对外通报其风险治理政策与效果提出了新的要求.

出色的风险治理体制应当提供操作性很强的方法，以到达保证组织的生存，促进

其开展，保护投资人和社会公众利益的最终R的.

对于经营透明度要求很高的公共组织（例如政府或上市公司）来说，以正式途

径向公众或直接利益方通报其风险治理政策更是举足轻重.这里处理失败的例

子举不胜举,值得深思.

正式通报途径应当明确指出：

令令对风险的限制手段，尤其是主管人员对风险治理的责任与义务；

令令识别风险的流程，以及组织风险治理体系的处理方法；

令令对重大风险的限制手段；

令令风险治理的监督与改良机制.

任何现有风险治理系统没有涵盖的重大风险,或者系统本身的瑕疵都应当及时

向组织外部关系力进行通报，并提出行动方案.

7.7.风险治理的结构与日常治理

7.1风险治理政策

任何组织的风险治理政策都应当以书面方式表达,并明确提出组织对风险的熟

悉和治理思路（即“风险文化〃）.该政策应当对风险治理责任在组织内的分

配做出清楚的分工.此外，风险治理政策应当尽可能多地援引组织所处法律和政

策环境的要求.

法律规定是对风险治理的最低要求.

风险治理政策应当提出针对组织运营特点的风险识别、分析与评估方法，要做

到简单明了，以便于组织各级机构掌握.

组织的最高决策层应当对风险治理政策的制订负全面责任.

8.2董事会的角色董事会负责确定组织风险治理的战略方向，创造并维护一个

能够让风险治理机制有效运行的大环境.董事会可以下令成立“风险治理委员

会"，由组织内高级治理人员组成；也可以委任“首席风险官〃来全权处理风

险治理事务.

董事会至少应当考虑如下事项:

令令组织承当负面风险的极限；

令令这些负面风险一旦发生组织的命运如何；

令令如何对这些负面风险进行主动治理：

令令主动治理这些负面风险的水平极限：

令令主动治理这些负面风险的本钱极限：

令令主动治理这些负面风险的预期效果；令令主动治理这些负面风险的决策.

8.3各营业机构的角色

组织内部各营业机构至少应当考虑如下事项：

令令各自领域内主要风险是否在日常工作中得到了有效治理：

令令如何在各自机构内部提升风险意识：

令令从事的特定工程是否在不同阶段都有相应的风险治理举措；令令是否有定

期对各自领域内的风险进行审核的机制.

8.4风险治理专职部门的角色

根据组织的规模大小和经营复杂程度，可以设立如下专职机构：

令令风险治理委员会；

令令首席风险官；

令令全职风险治埋经埋；

令令兼职风险治理经理：令令风险治理协调人.

据说现在判断一个组织是否实力雄厚的重要依据是看该组织的官方网站，但在

我看来,判断一个组织的实力也好,开展前景也好,主要是看该组织是否有专门

的风险治理职能部门.这是个重要的分水岭.全职风险治理经理应当至少负责如

下事务：

令令受董事会委托具体制订组织风险治理战略和政策；

令令在组织内部推行组织的风险文化,提升全员风险意识；

令令向组织内部机构提供风险治理培训；

令令给每个营业机构设立内部风险政策和目标；

令令根据组织特点设计并执行风险治理方案；

令令受理组织内部及外部关于改良风险治理的建议和意见：

令令制订危机处理方案；

令令编写、修订组织的?风险治理手册？；

令令向董事会或首席执行官汇报风险治理事务，并接受董事会委

托向组织外部有关方面通报风险治理事项.

8.5内部审计的角色

内部审计的功能和角色因组织具体情况而有很多不同，但在风险治理上,至少应

当承当以下任务：

令令审查组织风险治理政策在各机构的执行情况;

令令向风险治理专门机构提供评估报告；

令令普及并提升内部审计人员的风险意识.

8.6人力资源部的角色

令令在工作描述中明确各职位的风险治理功能；

令令配合风险治理专门部门对组织全体成员提供风险治理培训.

组织也可以充分利用诸如专业的风险治理、平安治理咨询机构、保险公司的防

灾防损效劳、政府主管部门的监督检查机构、行业协会等外部资源来帮助组织

制订、实施风险治理政策与方案.

8.对风险治理的监督和审核

有效的风险治理机制不是一个密不透风的铁罐子,而应当有充分的弹性来采纳

来自各方面的改良意见.另外，组织和其外部环境都是在不断开展、变化中的，

因此需要对组织的风险治理系统进行日常监督和定期审查，以保证其可靠性和

有效性.

监督和审核机制主要考察以卜.事项：

令令风险治理系统是否到达预期效果;

令令风险治理程序是否合理；

令令风险信息及其采集方法是否有效；

令令是否有新的风险治理知识、技术、方法产生.

至此,组织风险治理的第一个大循环结束:.

9.风险治理部门与组织内其他部门的关系

自上个世纪七十年代以来,风险治理在组织中发挥的作用一直在高速地开展、变

化.

七十年代的风险治理负责的仅仅是对组织各种保险的安排和治理，例如财产保

险,责任保险,劳工赔偿保险等等.主要思路是统一治理组织需要的各种保险-也

就是以支付固定保险费为经济代价将风险转

移给保险公司，并相应地负责一些平安治理职能,例如防灾、防损等.

这一时期风险治理职能多数情况下是由财务部兼任的毕竟安排保险也好，向保

险公司索赔也好都和财务有直接关系.组织内部并没有大规模出现具有独立-责

任的风险治理部门，也很少有专职风险治理经理.

中国企业眼下的平均风险治理水平大约相当于西方先进企业七十年代初期和中

期的水平.

七十年代后期到八十年代中期，风险治理开始在组织中起到越来越大的作用，其

责任也从最初对保险进行治理升级到了要保证企业的财务稳定与健康.这阶段

出现了很多非保险方式的风险处理方法,例如提高风险自留额，设立内部风险基

金,最后出现了组织专属的自保公司.风险治理在组织中开始真正介入到治理层

面上来，出现了专职的风险治理经理，统一治理组织尤其是跨国组织）在全球

的各种风险，包括但不限于财产损失风险,财务损失风险,法律责任风险,人员损

失风险等等.

风险治理经理开始与组织内部的有关部门，例如法律部门，审计部门，质量限制

部门，平安生产部门，人力资源部门等开始全面的合作.

一直到现在,大多数西方企业依然处在这一阶段的后期,风险治理经理在组织中

具有非常重要的地位,通常是直接向首席财务长官汇报.

这一时期风险治理开始涉足风险治理的中前端局部.

图是一个在今天依然有很多跨国公司采用的风险治理组织机构图.

财务总监

风险治理经理

自保公司保险事务平安治理

这一时期风险治理学说也得到了极大丰富和完善，风险治理的理论与实践在各

行业都有很好的开展.

进入九十年代以来,随着跨国业务的飞速开展，以及组织面临风险的多样化和复

杂化,要求风险治理必须发挥更多的主动治理作用，而不是传统的等风险出现后

对之进行处理.这要求风险治理必须全面涉及到组织的各个方面,而且能够在对

过去和现在进行科学分析的根底上,为组织的决策者提供前瞻性的信息和依据,

真正做到高瞻远瞩，未雨绸缪.

九十年代后期，一些城先进的跨国公司开始考虑对组织面临的