黑龍江省瀚睿企業管理咨詢有限公司

Zhengzhou Rethink Enterprise Management Consulting Co.Ltd.

公司新聞

最新最權威的動态

The most authoritative news dynamic

淺談企業全面風險管理

時間:2013年06月20日 來源:瑞信咨詢 編輯:瑞信咨詢 點擊:/次

一(yī).全面風險管理的定義、産生(shēng)背景

風險管理的權威性定義有兩個。其一(yī),“企業風險管理是企業在實現未來戰略目标的過程中(zhōng),試圖将各類不确定因素産生(shēng)的結果控制在預期可接受範圍的方法和過程,以确保和促進組織的整體(tǐ)利益實現。”(2006年4月,亞洲風險與危機管理委員(yuán)會)。其二,“企業風險管理是一(yī)套由企業董事會與管理層共同設立、和與企業戰略相結合的管理流程。他的功能是識别那些會影響企業運作的潛在事件和把相關的風險管理到一(yī)個企業可接受的水平,從而幫助企業達成目标”(2003年7月,美國COSO委員(yuán)會)。以上兩個定義都說明,企業風險管理的目的,不是回避風險和減輕風險,而是對風險實施有效的管理,尋求風險和收益的最佳平衡點,以實現企業戰略目标。風險管理既包括預測和回避威脅與損失,也包括識别與把握風險後的機遇。
全面風險管理(ERM),指企業圍繞總體(tǐ)經營目标,通過在企業管理的各個環節和經營過程中(zhōng)執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體(tǐ)系,包括風險管理策略、風險理财措施、風險管理的組織職能體(tǐ)系、風險管理信息系統和内部控制系統,從而爲實現風險管理的總體(tǐ)目标提供合理保證的過程和方法(中(zhōng)央國資(zī)委,2006年)。
有别于企業危機管理、預警管理等狹義的風險管理手段和方法,全面風險管理(ERM)的“全面”體(tǐ)現在以下(xià)幾個方面:其一(yī),戰略性。企業内部控制、保險工(gōng)具、金融衍生(shēng)工(gōng)具,這些主要用于防損爲目的的方法和工(gōng)具基本上主要用于操作層面,而難以談及對企業戰略的突出支持意義,全面風險管理試圖從戰略層面入手,對企業面臨的風險進行梳理和分(fēn)析,并制訂相應的管理和應對策略;其二,系統性。全面風險管理涉及發展戰略、企業文化、公司治理、組織架構、管理流程、信息系統、财務安排、金融工(gōng)具使用等企業經營的方方面面,對風險管理技術、手段、方法、策略進行了全盤的整合。其三,專業性。全面風險管理推進風險管理職能部門的設立,實施專業化管理。最後,全員(yuán)性。全面風險管理是企業董事會、管理高層、各部門、各層次全員(yuán)參與的一(yī)項活動。
ERM産生(shēng)于上世紀90年代中(zhōng)後期,緻力于推廣ERM的相關機構将其出現稱作是“90年代及網絡革命後的第二件大(dà)事”。ERM産生(shēng)基于以下(xià)原因:首先是來自于企業的動力。經濟全球化的驅動、跨國尋求發展等導緻企業經營的風險程度不斷增加,企業必須考慮增強自身對風險的控制力,增加決策的前瞻性;第二,企業風險管理方法、工(gōng)具、手段的發展創新(例如企業内控、危機管理理論産生(shēng)、衍生(shēng)金融工(gōng)具和保險市場的發展)等爲ERM的産生(shēng)奠定基礎;第三,信息技術革命一(yī)方面增加了企業面臨風險的新内容,另一(yī)方面也提供了管理風險的新手段;第四,對風險評估方法、技術、戰略性價值的日益認同;第五,風險管理全球性标準的發展,繼澳大(dà)利亞和新西蘭1996年推出風險管理标準後,加拿大(dà)1997年、英國2000年,美國2004年等陸續推出風險管理标準。第六,美國證券市場上的一(yī)系列财務醜聞的發生(shēng)和薩班斯奧克斯裏法案的出台。此外(wài),并不排除ERM這一(yī)“拼盤式”的管理體(tǐ)系出台和推廣能夠爲一(yī)些管理咨詢公司帶來可觀的收益,普華永道等一(yī)流咨詢公司的推波助瀾使ERM迅速“走紅”。

二.全面風險管理與公司治理
全面風險管理爲公司治理提供了新的視角和内容,這主要體(tǐ)現在三個方面:
第一(yī),基于風險管理思想的風險管理委員(yuán)會的産生(shēng),使公司治理組織形式發生(shēng)了重大(dà)變革。風險管理委員(yuán)會的基本職能包括:批準風險管理戰略、政策與流程;指導企業全面風險管理工(gōng)作(風險文化、風險評估、工(gōng)具辦法等);指導善用企業資(zī)源;優化與監督企業風險管理體(tǐ)系,保障企業與股東利益;監督與優化企業信息決策系統,保障企業持續發展;以風險管理的新技術和方法技能支持企業績效最大(dà)化的發展。風險管理委員(yuán)會的設立方式有三種:一(yī)是由董事會直接設立。在已有的戰略委員(yuán)會、審計委員(yuán)會、薪酬與提名委員(yuán)會的基礎上,專設風險管理委員(yuán)會,向董事會直接負責;二是在首席執行官下(xià)設風險執行會員(yuán)會,貫徹落實董事會的風險管理戰略,協調各業務單位、部門、分(fēn)支機構的風險管理工(gōng)作,向首席執行官報告;三是雙重委員(yuán)會制。即董事會和管理層分(fēn)别設置。董事會下(xià)風險管理機構側重于風險管理的規劃和監督,首席執行官下(xià)的風險管理機構負責貫徹和執行。風險管理委員(yuán)會搭起了所有者和經營者關于企業風險态度和風險應對的一(yī)座溝通橋梁,爲所有者風險評價、風險把控提供了渠道和手段;爲經營者風險管理搭設了運作平台。
第二,設立專職風險管理崗位,實現風險管理專業化。在CEO、CFO、COO的基礎上,世界上第一(yī)個風險執行官(CRO)于美國金融機構誕生(shēng)。目前世界級的金融機構80%以上的企業已經設立了CRO職位。西方一(yī)些企業盡管未設立CRO,但其工(gōng)作職能也暫由副總裁或風險管理委員(yuán)會代爲行使。CRO在組織中(zhōng)的角色包括:提供對企業全面風險管理的統一(yī)領導、設想和指引;對整個機構的所有風險建立綜合的風險管理框架;研發風險管理策略,包括通過利用特别的風險限制來量化管理層的風險傾向;執行整套的風險指标和報告,包括損失與事故、主要風險敞口和早期預警指示;基于風險程度把經濟資(zī)本配置給各業務活動,并且通過風險策略優化公司風險組合;向主要相關利益者通報公司的風險狀況;發展分(fēn)析風險管理信息系統以支持企業全面風險管理(詹姆斯.林)。
第三,風險管理與内部審計協同配合,并體(tǐ)現出融合之勢。内部審計工(gōng)作内容的演變,整體(tǐ)呈現出:會計基礎審計(查帳防弊)----〉流程基礎審計(經營審計)-----〉風險基礎審計(風險導向審計)的基本趨勢,全面風險管理爲内部審計提供了方向、方法,拓寬了内部審計的視角,内部審計工(gōng)作和風險管理相輔相成、互爲彌補,豐富了公司内部自我(wǒ)監督約束的内容和手段。詹姆斯林甚至預言,随着全面風險管理理論與實踐的日益成熟,内部審計将成爲風險管理的一(yī)個執行環節,未來的審計委員(yuán)會也将最終演變爲風險管理委員(yuán)會。

三.全面風險管理與内部控制
1992年,COSO在其内部控制的标準框架中(zhōng)引入了風險評估等要素,标志(zhì)着比傳統會計模型更爲寬泛的風險控制框架的誕生(shēng)。此後很多專業組織發布了補充性文件或标準,逐步将内部控制與企業風險管理的結合向寬泛化、深度化發展。2004年正式發布的COSO---ERM框架,将内部控制與風險管理的關聯性推進至一(yī)種近于無縫的結合。企業經營所必須承受的風險,如果不能夠采用風險轉移或有效對沖等手段進行低成本科學化管理的話(huà),就必須考慮利用企業風險内部控制的方法進行風險管理。尤其是對企業無可回避的關鍵性重大(dà)風險,必須設計嚴格的控制流程,并密切實施監控,而這些都是内部控制的内容。從某種程度上講,薩班斯奧克斯利法案強制性地引發了對COSO内控框架的關注,而COSO内部控制框架在2004年依托全面風險管理思想進行的修訂和調整,最終将人們對全面風險管理的關注引向巅峰。
全面風險管理和内部控制的區别體(tǐ)現在以下(xià)幾個方面:
從性質上來講,内部控制是一(yī)種基于損失最小(xiǎo)化的被動式預防管理,注重于通過環境分(fēn)析,在管理政策、組織機構、業務流程、市場經營層面減少不确定性,将風險可能帶來的損失降到合理的程度之下(xià),内部控制關注的焦點是信息和決策的質量控制和操作風險控制;風險管理是基于損失最小(xiǎo)化管理和績效最優化管理相結合的一(yī)種管理方式,兼具防禦性管理和進取性管理的雙重特征,尋求的是風險和機遇的最佳平衡點。
從内容上來講,内部控制主要側重于企業内部圍繞控制活動的各項流程的規範重整,而全面風險管理除了内部流程外(wài),還包括企業外(wài)部和證券市場、保險公司、供應商(shāng)等合作夥伴、政府等相關部門圍繞企業風險的各種合作與博弈活動,包括各種财務安排、公共關系(例如政府關系、媒體(tǐ)關系)、衍生(shēng)金融工(gōng)具的使用等等。
從涉及的風險特征來看,内部控制針對的是企業需要承擔的風險,針對需要承擔的風險在流程層面體(tǐ)現應對舉措;而全面風險管理應對的是所有的風險,需要根據風險及其收益的判斷,來做出風險的取舍。
全面風險管理與内部控制的聯系體(tǐ)現在以下(xià)幾個方面:
内部控制是全面風險管理的重要組成部分(fēn)和全面風險管理的基本依托。正是在已經成熟完善的内部控制的基礎上,進行外(wài)圍的延伸,将危機管理、預警管理、金融風險控制、戰略風險控制的相關内容和風險識别風險評估的相關技術進行整合,形成了全面風險管理體(tǐ)系。
全面風險管理思想貫穿在内部控制體(tǐ)系的設計之中(zhōng)。内部控制系統的設計,首先要識别關鍵風險流程,例如企業并購、期貨交易等,針對這些關鍵風險流程實施重點設計。其次,要圍繞風險管理策略目标,針對企業戰略、規劃、産品研發、投融資(zī)、市場運營、财務、内部審計、法律事務、人力資(zī)源、采購、加工(gōng)制造、銷售、物(wù)流、質量、安全生(shēng)産、環境保護等各項業務管理及其重要業務流程,通過執行風險管理基本流程,制定并執行規章制度、程序和措施。

四.全面風險管理流程
(一(yī))建立風險管理信息系統,收集和管理風險信息。
建立合理與完善的現代企業風險管理信息系統是企業提升預測、監測、預警機量化風險管理能力的根本保證。現代風險管理信息系統包括:信息處理系統;風險識别系統;風險預測、預警與報警系統;風險管理量化與分(fēn)析軟件體(tǐ)系;風險審計軟件支持系統;網絡預警與網絡審計系統;分(fēn)析與決策支持系統。建立全方位多角度的風險信息收集渠道,利用風險管理信息系統對風險信息過濾、梳理、整合、分(fēn)類。
(二)進行風險評估
風險評估包括風險識别、風險度量、風險分(fēn)析、風險評價幾個組成部分(fēn)。
ERM層面企業整體(tǐ)風險識别模型框架可以分(fēn)爲四類:一(yī)是目标導向型風險識别。任何可能危及整體(tǐ)及部分(fēn)目标實現的事件都可以被視作風險;二是情景導向風險識别。情景可以理解爲達到目的的不同方式,任何觸發不希望情景的事件都被視作風險;三是分(fēn)類導向風險識别。依據風險事故對風險實施編輯;四是經驗導向風險識别,将經驗轉化爲知(zhī)識庫,如對常見風險作出檢查表,進行對照等。COSO---ERM框架模型屬于典型的目标導向分(fēn)類識别;英國标準模型(AIRMIC)屬于分(fēn)類導向風險識别。風險識别技術包括頭腦風暴、問卷調查、操作運營研究、行業标準對照、風險評估研讨會、事故調查、稽核與檢查、HAZOP(危害性事件及運作能力研究)等。
當代企業應用最爲廣泛的幾種風險度量與分(fēn)析方法包括:風險價值法(VAR);壓力測試法(情景分(fēn)析的一(yī)種形式);風險調整資(zī)本收益法(RAROC);經濟資(zī)本法。通過風險度量和分(fēn)析,把握風險的頻(pín)度、程度、危害和潛在的機遇。
在風險度量和分(fēn)析的基礎上,可以利用風險坐标圖等工(gōng)具,對多項風險進行直觀的比較,從而确定各風險管理的優先順序和策略。
(三)拟定風險管理策略
風險管理基本戰略對策包括避免、保留(接受)、轉移、減少、利用五類。
應予以避免的風險具備以下(xià)特征:該風險與企業戰略關聯度較小(xiǎo);風險回報率不佳;企業現有條件下(xià)還沒有能力控制該方面的風險。避免風險的方法包括:放(fàng)棄或不接受暗含該風險的新機會;停止某業務,放(fàng)棄與退出市場;抛售(個别或某些)業務;禁止(限制)某些高風險活動(通過政策、處罰、設防等方式)。
應予以保留(接受)的風險具備以下(xià)特征:爲實現戰略而不可擺脫的固有風險;風險穩定,不會再加大(dà);對承受風險損失已經有所準備。保留風險的應對方法包括:預算出可能的損失額度,用額外(wài)預留資(zī)金或其他風險融資(zī)方式對沖;集團内調撥資(zī)金平衡總風險;必須制訂風險應對計劃。
應予以轉移的風險具備以下(xià)特征:風險發生(shēng)頻(pín)率不大(dà),但可能損失太大(dà);市場上已經存在較好的風險轉移工(gōng)具。轉移的方法包括:保險合約(通用合約,量身度造合約)轉移;衍生(shēng)金融工(gōng)具轉移;保險---資(zī)本市場混合新工(gōng)具轉移);通過聯盟簽約等聯合承擔風險,實現部分(fēn)風險轉移;其他簽訂合約的專業方法。
應予以減少的風險具備以下(xià)特征:爲實現企業戰略而不可擺脫的固有風險;對風險的損失已經有所準備。“控制”爲減少風險的主基調,減少風險的方法包括:風險分(fēn)散管理原則(如分(fēn)散資(zī)産的類别);隔離(lí)控制原則;全方位管理控制;實施特定風險的特定控制程序;預算出可能的損失額度,計劃好自籌資(zī)金的對沖方式;制訂風險應對計劃。
利用風險的前提因素爲:風險管理的目的不是消滅風險,而是管理風險,消滅風險也就等于消滅了機遇。風險的利用原則包括:利用固有的風險進入市場、并購聯合、引進項目;在有把握的前提下(xià),加大(dà)新風險的程度,抓住新機遇;重新設計更具挑戰性的經營模式等。開(kāi)發新市場、新産品,收購合并,企業重組、流程再造、多樣化投資(zī)、套利交易等均是利用風險的實例。
在制訂風險管理對策時應綜合考慮以下(xià)因素:地區特點、法律環境限制;對剩餘風險的考慮;風險的嚴重程度(關鍵性);風險産生(shēng)的可能性;風險産生(shēng)的頻(pín)率;風險的相互關聯性;人員(yuán)的道德操守;信息的有效性(可靠性);企業文化等。
(四)制訂風險管理解決方案
在風險管理策略基礎上,針對各類風險或每一(yī)項重大(dà)風險制定風險管理解決方案。方案一(yī)般應包括風險解決的具體(tǐ)目标,所需的組織領導,所涉及的管理及業務流程,所需的條件、手段等資(zī)源,風險事件發生(shēng)前、中(zhōng)、後所采取的具體(tǐ)應對措施以及風險管理工(gōng)具(如:關鍵風險指标管理、損失事件管理等)。風險管理解決方案是風險管理的主幹,是要将風險反應策略落實到各項政策(policy)和程序(process)。包括針對每種業務活動建立起清晰的授權體(tǐ)系,建立各項業務流程的運作标準、明确崗位職責、實施業績評價等。以及保險工(gōng)具和衍生(shēng)金融工(gōng)具的使用等。

五、風險管理技術方法與工(gōng)具
(一(yī))風險坐标圖
風險坐标圖是把風險發生(shēng)可能性的高低、風險發生(shēng)後對目标的影響程度,作爲兩個維度繪制在同一(yī)個平面上(即繪制成直角坐标系)。對風險發生(shēng)可能性的高低、風險對目标影響程度的評估有定性、定量等方法。定性方法是直接用文字描述風險發生(shēng)可能性的高低、風險對目标的影響程度,如“極低”、“低”、“中(zhōng)等”、“高”、“極高”等。定量方法是對風險發生(shēng)可能性的高低、風險對目标影響程度用具有實際意義的數量描述,如對風險發生(shēng)可能性的高低用概率來表示,對目标影響程度用損失金額來表示。
對風險發生(shēng)可能性的高低和風險對目标影響程度進行定性或定量評估後,依據評估結果繪制風險坐标圖。繪制風險坐标圖的目的在于對多項風險進行直觀的比較,從而确定各風險管理的優先順序和策略。如:某公司繪制了如下(xià)風險坐标圖,并将該圖劃分(fēn)爲A、B、C三個區域,公司決定承擔A區域中(zhōng)的各項風險且不再增加控制措施;嚴格控制B區域中(zhōng)的各項風險且專門補充制定各項控制措施;确保規避和轉移C區域中(zhōng)的各項風險且優先安排實施各項防範措施。
B區域
可能性
A區域
C區域
B區域
C區域

極高











中(zhōng)等











極低





極低 低 中(zhōng)等 高 極高 影響程度

(二)蒙特卡羅方法
蒙特卡羅方法是一(yī)種随機模拟數學方法。該方法用來分(fēn)析評估風險發生(shēng)可能性、風險的成因、風險造成的損失或帶來的機會等變量在未來變化的概率分(fēn)布。具體(tǐ)操作步驟如下(xià):
1.量化風險。将需要分(fēn)析評估的風險進行量化,明确其度量單位,得到風險變量,并收集曆史相關數據。2.根據對曆史數據的分(fēn)析,借鑒常用建模方法,建立能描述該風險變量在未來變化的概率模型。建立概率模型的方法很多,例如:差分(fēn)和微分(fēn)方程方法,插值和拟合方法等。這些方法大(dà)緻分(fēn)爲兩類:一(yī)類是對風險變量之間的關系及其未來的情況作出假設,直接描述該風險變量在未來的分(fēn)布類型(如正态分(fēn)布),并确定其分(fēn)布參數;另一(yī)類是對風險變量的變化過程作出假設,描述該風險變量在未來的分(fēn)布類型。3.計算概率分(fēn)布初步結果。利用随機數字發生(shēng)器,将生(shēng)成的随機數字代入上述概率模型,生(shēng)成風險變量的概率分(fēn)布初步結果。4.修正完善概率模型。通過對生(shēng)成的概率分(fēn)布初步結果進行分(fēn)析,用實驗數據驗證模型的正确性,并在實踐中(zhōng)不斷修正和完善模型。5.利用該模型分(fēn)析評估風險情況。
由于蒙特卡羅方法依賴于模型的選擇,因此,模型本身的選擇對于蒙特卡羅方法計算結果的精度影響甚大(dà)。蒙特卡羅方法計算量很大(dà),通常借助計算機完成。
(三)關鍵風險指标管理
一(yī)項風險事件發生(shēng)可能有多種成因,但關鍵成因往往隻有幾種。關鍵風險指标管理是對引起風險事件發生(shēng)的關鍵成因指标進行管理的方法。具體(tǐ)操作步驟如下(xià):
1.分(fēn)析風險成因,從中(zhōng)找出關鍵成因。
2.将關鍵成因量化,确定其度量,分(fēn)析确定導緻風險事件發生(shēng)(或極有可能發生(shēng))時該成因的具體(tǐ)數值。
3.以該具體(tǐ)數值爲基礎,以發出風險預警信息爲目的,加上或減去(qù)一(yī)定數值後形成新的數值,該數值即爲關鍵風險指标。
4.建立風險預警系統,即當關鍵成因數值達到關鍵風險指标時,發出風險預警信息。
5.制定出現風險預警信息時應采取的風險控制措施。
6.跟蹤監測關鍵成因數值的變化,一(yī)旦出現預警,即實施風險控制措施。
該方法既可以管理單項風險的多個關鍵成因指标,也可以管理影響企業主要目标的多個主要風險。使用該方法,要求風險關鍵成因分(fēn)析準确,且易量化、易統計、易跟蹤監測。
(四)壓力測試
壓力測試是指在極端情景下(xià),分(fēn)析評估風險管理模型或内控流程的有效性,發現問題,制定改進措施的方法,目的是防止出現重大(dà)損失事件。具體(tǐ)操作步驟如下(xià):
1.針對某一(yī)風險管理模型或内控流程,假設可能會發生(shēng)哪些極端情景。極端情景是指在非正常情況下(xià),發生(shēng)概率很小(xiǎo),而一(yī)旦發生(shēng),後果十分(fēn)嚴重的事情。假設極端情景時,不僅要考慮本企業或與本企業類似的其他企業出現過的曆史教訓,還要考慮曆史上不曾出現,但将來可能會出現的事情。
2.評估極端情景發生(shēng)時,該風險管理模型或内控流程是否有效,并分(fēn)析對目标可能造成的損失。
3.制定相應措施,進一(yī)步修改和完善風險管理模型或内控流程。
以信用風險管理爲例。如:一(yī)個企業已有一(yī)個信用很好的交易夥伴,該交易夥伴除發生(shēng)極端情景,一(yī)般不會違約。因此,在日常交易中(zhōng),該企業隻需“常規的風險管理策略和内控流程”即可。采用壓力測試方法,是假設該交易夥伴将來發生(shēng)極端情景(如其财産毀于地震、火(huǒ)災、被盜),被迫違約對該企業造成了重大(dà)損失。而該企業“常規的風險管理策略和内控流程”在極端情景下(xià)不能有效防止重大(dà)損失事件,爲此,該企業采取了購買保險或相應衍生(shēng)産品、開(kāi)發多個交易夥伴等措施。