企业风险管理简易手册模板.doc

风险管理简易手册   序言   今天，风险管理在全球范围内已经成为企业战略管理关键内容。一位我尊敬前辈在今年早些时候告诉我，“全部管理全部是风险管理”，让我对自己热爱事业重新有了认识。   我一直自诩为“风险管理和足球运动比较学说”创始人，喜爱把风险管理之于一个组织类比成中场队员之于一支足球队，是进可攻、退可守关键位置，最轻易被人景仰 – 假如你足够优异，也最轻易遭人唾骂 – 假如你不够出色。   三年前我在青岛一个研讨会上打了这个比方，并断言：中国企业风险管理意识、能力和水平和世界顶级企业相比差距就象我们足球和世界优异水平差距一样大，假如不是更大话。我很期望事实证实我错了。   现在，我很清醒地知道：我是正确，而且可能将在未来很长一段时间内继续正确下去。我一点也不自豪。   我极少把工作上事儿拿回家，但某一天忍不住向妻子埋怨，中国企业风险管理实在太落后了，我耐心已经用光了，我对我事业前景感到气馁。她象哲学大师一样说了一句话：“这些不足其实全部是你机会”，我所以豁然开朗。   在妻子激励下，我决定动笔写这个小册子，献给那些对风险管理有爱好人。我对自己能够提供部分有限帮助感到由衷快乐。   任何读者假如认为这本小册子对您工作有小小启发，请记住一句衷告：扼住风险喉咙，你就是主宰。   我要衷心地感谢George Lazovsky先生，是她带我走进风险管理殿堂，并让我从中取得了无穷愉快。   祝大家平安健康！   马富强 5月28日 1．风险定义   传统定义：风险是损失不确定性（Risk is the uncertainty of loss）。 现代定义：风险是预期和实际结果差异（Risk is the variation between expectation and practical reality）。 国际标准组织定义：风险是事件发生可能性及其后果综合（Risk is the combination of the probability of an event and its consequences）。   能够轻易看出，大家对风险认识在进步。现代风险管理不仅仅研究只可能造成经济损失风险，也开始研究能够带来收益风险。对于企业经营者来说，前者是负面风险，后者是正面风险。   在有些时候，同一风险既可能带来损失，也可能带来收益。作为风险管理一个关键分支，安全管理或风险工程学（Risk Engineering）仅研究负面风险，其目标是怎样预防并降低损失，更侧重于防灾防损工程技术方面研究。   本手册探讨是最新意义上风险。   2．风险管理   定义：风险管理就是组织对面临多种风险进行识别、评定，确定合适处理方法并给予实施，以可确定管理成本替换不确定风险成本，并以最小经济代价取得最大现实保障活动。   风险管理关键是对风险进行识别和处理，其根本目标是确保组织经营稳定、连续和发展。能够说，好风险管理机制能够增加企业成功概率，降低失败可能。   风险管理是动态，一直贯穿于组织战略制订和实施。风险管理为组织经营者提供可靠方法来对付组织面临多种风险，包含过去、现在和未来风险，尤其是为决议者提供作为或不作为依据。   风险管理必需同组织经营文化亲密结合，并需要最高管理层全力支持。   风险管理受托人是风险管理经理（Risk Manager），而伴随组织决议人对风险管理日益重视，在风险管理最发达北美，部分组织中已经出现了首席风险官（Chief Risks Officer），负责把组织战略转化成可操作多种计划和步骤，督促组织各级组员进行实施，并设置严谨考评体系，以确保组织运行水平不停提升。   风险管理功效：   ² ²      给组织未来经营活动提供框架性指导； ² ²      促进组织决议、计划科学性； ² ²      提升组织经营免疫力； ² ²      促进组织资源最优配置； ² ²      保护组织资产和形象； ² ²      提升组织运行效率； ² ²      实现组织社会责任目标。   风险管理目标：   ² ²      最低目标：确保组织生存； ² ²      中间目标：促进组织发展； ² ²      最高目标：实现组织社会责任。 3．风险管理步骤概述   组织面临多种风险可简单划分成内部风险和外部风险，并可深入划分为战略风险、财务风险、运行风险和灾难类风险。下面是个简单示意图（Risk Mapping）。   财务风险 利率 外汇 信用         协议 自然灾难 供给商 环境 灾难风险           法规 组织文化 管理人员   运行风险 战略风险 竞争 用户变更 行业变更 市场需求     合并、收购 现金流 研究和发展 知识产权       会计 资产 信息系统 职员 供给链 产品和服务 市场销售 内部原因                                                     分析组织经营步骤和契约结构也是识别风险关键方法。不管用那种方法，风险管理全部既是一个整体过程，也是一个个决议过程综合。   其步骤大致以下： 组织战略目标 风险识别 风险描述 风险量化 监控和改善 深入分析 威胁和机会 管理汇报 风险处理 决议                               1． 3．             风险分析和评定   4．1 风险识别   风险识别是将组织面临多种不确定原因一一判别出来。这需要对组织本身经营情况、其所在市场情况，其所处法律、社会、政治和文化环境有深入认识和了解，同时要求该组织要有明确经营战略，由此方可识别促进组织成功原因，和那些威胁到组织赢取其战略目标原因。   风险识别是一个动态过程，随组织和其所在环境发展改变而发展、改变。   风险识别应该一个系统方法来进行，以确保组织全部关键活动及其风险全部被囊括进来，并进行有效分类。   组织行为、活动、决议等可用很多方法加以分类，以下是个常见分类：   - -         和策略相关风险：关系到组织长远战略目标风险，比如资本可取得性、政治风险、法律和政策变更、声誉、竞争态势等等； - -         和运行相关风险：关系到组织日常经营风险； - -         和财务相关风险：关系到组织财务情况风险，比如应收帐款、银行贷款、外汇汇率、利率变动和其它市场风险等； - -         和知识管理相关风险：这关系到组织对知识资源控制和管理，比如知识产权侵权或被侵权，竞争技术出现，信息系统功效错乱，关键技术人员流失等等； - -         和正当（合规）经营相关风险：包含职员安全和健康、环境污染、消费者权益保护等等； - -         灾难类风险：关键是指自然灾难或意外事故给组织带来多种经济损失。   有效风险识别应该形成一个风险清单（Risk Manifest），列明组织面临多种关键风险。   4．2 4．2        风险描述   将风险识别出来以后，通常需要使用部分表格形式对风险特征进行正确描述。不管是对组织日常经营，还是针对某个特定项目，全部能够采取这种做法。其适用性很广泛。见下表。     条目 描述 1 风险名称   2 风险波及范围 风险本身、其类型、大小、数量定性描述 3 风险分类 策略类、运行类、财务类、知识管理类、正当经营类、灾难类等等 4 风险参与者 谁分担这些风险？各自期望怎样？ 5 风险量化 频率和烈度 6 对风险期望 暴露于风险之下总价值； 潜在损失或收益规模和概率； 风险控制目标和预期。 7 风险处理和控制 对风险进行处理现行方法； 信心指数； 审核和监控方法。 8 潜在改善方法 深入降低风险方法和方法 9 策略制订 确定风险管理策略，并责成职能部门负责日常监管。       4．3 4．3        风险量化   任何风险最终全部需要用数字或正确文字描述来表述，不然是无法被大多数人正确定识。   对于风险量化，通常是经过分析两个维度，即发生频率（Frequency）和一旦发生所造成后果严重程度（Severity），来进行。这种方法既适适用于“负面风险”- 即只有可能造成损失风险，也适适用于“正面风险”- 即有可能造成收益风险。   风险量化通常能够经过距阵分析发来进行，距阵数列越多，量化得越精密。通常说来，风险管理教授通常使用3x3或 5x5距阵。读者能够依据自己组织具体情况进行选择。下面是部分简单例子。   相关发生频率分析 – 损失 量化估量 描述 关键迹象 高 很可能发生 每十二个月全部可能发生，或发生概率高于0.25 十年内已数次发生； 最近三年内发生过。 中 有可能发生 每十年发生一次，或发生概率小于0.25 十年内发生过超出一次； 历史上曾经发生过。 低 不太可能发生 十年内不太可能发生，或发生概率小于0.02 历来没有发生过； 依据合理掌握知识认为不太可能发生。   读者们不妨依据上表分析一下“非经典性肺炎”这种风险再次爆发可能性。   相关发生频率分析 – 收益 量化估量 描述 关键迹象 高 很可能发生 十二个月内可取得最好预期结果，或成功概率大于0.75 短期内依靠现有体制并有明确机会取得确定性结果。 中 有可能发生 十二个月内可取得合理预期结果，或成功概率在0.25到0.75之间 短期内根据预定计划并在现有体制内无法取得结果，但采取合适方法则有可能。 低 不太可能发生 十二个月内不太可能取得预期结果，或成功概率小于0.25 短期内根据预定计划并在现有体制内无法取得结果，管理层临时也没有合适措施。   相关后果严重程度分析 – 损失和收益 高 - -         对组织财务情况冲击巨大； - -         对组织战略和经营活动造成重大影响； - -         引发各关系方高度关注。 中 - -         对组织财务情况冲击较大； - -         对组织战略和经营活动造成较大影响； - -         引发各关系方较多关注。 低 - -         对组织财务情况冲击较小（在心理承受线以下）； - -         对组织战略和经营活动没什么影响； - -         各关系方不会有很多关注。   5x5 距阵是在“低”和“中”之间加一个“通常”，在“中”和“高”之间加一个“较高”，这么将形成五个等级。   至此，读者能够综合考虑一下，对一个出口型企业来说，应该怎样评定其产品在海外市场遭到反倾销投诉风险。下图是个简单3x3距阵。   4．4 4．4        风险识别和分析方法和技巧   风险识别和分析有很多方法、技巧，通常说来，以下这些是最常见： 风险识别 - -         头脑风暴（集思广益）； - -         协议结构分析； - -         问卷调查； - -         行业参考； - -         业务步骤分析； - -         情境分析（最好和最差情境）； - -         事件分析； - -         研讨会； - -         调查和审计。   风险分析   对于“正面风险”： - -         市场调研； - -         前景估计； - -         研究和发展； - -         试验性营销； - -         冲击力分析。     对于“正面风险”和“负面风险” - -         组织依存模型分析（泛契约关系模型分析）； - -         SWOT分析； - -         事件树分析法； - -         连续经营计划（BCP）； - -         BPEST分析（商业、政治、经济、社会、技术分析） - -         统计分析和推论； - -         PESTLE分析(政治、经济、社会、技术、法律、环境分析)； - -         散布和倾向分析。   对于“负面风险” - -         威胁分析； - -         失误树分析； - -         FMEA分析（失败模式和效果分析）。   4．5 4．5        风险剖面图   上述风险分析完成后，就能够画出任意风险剖面图，并开始探求对任意风险处理方法。   风险剖面图需要列明风险种类，性质，分析（频率和后果），参与方/关系方，并提议处理方法。   因为常常为部分项目提供风险管理咨询，我本人很习惯使用特定格式来画风险剖面图。附件一是个简单例子。   风险分析和评定需要达成这么一个效果，即任意风险全部要有明确归属。风险负担者能够是组织本身及内部各个组成，也能够是和组织有契约关系其它组织。   5．风险处理   经过对风险进行分析和评定，组织管理层应该已经识别出了影响组织战略目标风险和其归属，需要考虑采取那些手段对风险进行处理。关键手段包含：   1. 1.       前端处理 避免（不去做某事以不负担任何风险）； 2. 2.       自留（由组织本身负担）； 3. 3.       控制和弱化（安全管理，降低风险频率和烈度）； 4. 4.       后端处理 转移（在契约关系方之间进行）； 5. 5.       财务处理（保险和其它方法）。   成熟组织应该首先考虑前端处理方法，然后按次序考虑中、后端处理方法。这是因为对风险处理越靠近前端，组织就越主动，处理成本就越好控制。   任何风险处理系统全部最少需要达成下列目标：   1. 1.       确保组织运行效率； 2. 2.       确保有效内部控制； 3. 3.       确保组织正当、合规经营。   必需指出：任何对风险处理全部是有经济代价，判定风险处理方法是否适当关键是比较风险本身成本和对风险进行处理成本，后者小于前者是最低标准。   另外，对某一特定风险进行处理在多数情况下会带来新风险。一旦新风险被识别出来，组织应该进行对应分析和评定。   举个简单例子：在办公大楼内严禁吸烟降低了火灾频率，安装喷淋系统降低了火灾烈度。但喷淋系统有可能在平时破裂造成水损。在这种时候，风险管理人员需要比较对甲风险处理成本是否低于处理后衍生风险成本，若不然需要考虑对甲风险其它处理手段。   在对风险进行财务处理中，保险是个很关键方法，但不是唯一方法。对保险企业进行甄别和选择需要考虑组织整体风险管理标准。   在这里提个问题请大家思索：中国企业挑选保险企业标准是什么？是否和组织战略目标保持一致？ 6． 6．         风险管理中汇报渠道和沟通   7．1 内部汇报渠道   优异风险管理体制应该给组织中不一样等级机构和人员提供不一样信息。   董事会及组员应该：   ² ²      知道组织面临最关键战略风险； ² ²      知道组织实际经营效果和各方预期之间差异及其后果； ² ²      确保组织里各级机构及职员全部有合适风险意识； ² ²      知道组织应该怎样进行危机处理； ² ²      意识到股东对组织信心和信任关键性； ² ²      知道怎样管理和投资机构沟通； ² ²      知道风险管理系统是否在有效运行； ² ²      公布组织风险管理政策、哲学、和使命。   各营业机构应该：   ² ²      知道各自工作范围内关键风险和对其工作业绩影响； ² ²      设置明确运行指标作为基准，以定时考察实际经营效果和预期之间差异，并提供改善提议； ² ²      向高级管理层随时或定时汇报新出现风险，或目前体制中存在着风险控制瑕疵；   基层职员应该：   ² ²      了解组织风险管理系统基础要求； ² ²      了解自己工作职责内关键风险； ² ²      知道应该怎样连续改善其各自工作范围内风险管理； ² ²      意识到个人风险管理和风险意识对组织关键性； ² ²      向上级管理层随时或定时汇报新出现风险，或目前体制中存在着风险控制瑕疵。   7．2 外部汇报渠道   任何组织全部需要向其投资人或主管部门定时汇报风险管理政策，及其实施有效性。伴随时代不停进步，越来越多投资人、社会公众和主管部门会对组织非财务性经营结果表示关注，比如环境保护、安全生产、小区形象等等，所以组织对外通报其风险管理政策和效果提出了新要求。   出色风险管理体制应该提供操作性很强方法，以达成保障组织生存，促进其发展，保护投资人和社会公众利益最终目标。   对于经营透明度要求很高公共组织（比如政府或上市企业）来说，以正式路径向公众或直接利益方通报其风险管理政策更是举足轻重。这里处理失败例子举不胜举，值得深思。   正式通报路径应该明确指出：   ² ²      对风险控制手段，尤其是主管人员对风险管理责任和义务； ² ²      识别风险步骤，和组织风险管理体系处理方法； ² ²      对重大风险控制手段； ² ²      风险管理监督和改善机制。   任何现有风险管理系统没有涵盖重大风险，或系统本身瑕疵全部应该立即向组织外部关系方进行通报，并提出行动计划。   7． 7．         风险管理结构和日常管理   7．1 风险管理政策   任何组织风险管理政策全部应该以书面方法表示，并明确提出组织对风险认识和管理思绪（即“风险文化”）。该政策应该对风险管理职责在组织内分配做出清楚分工。另外，风险管理政策应该尽可能多地援引组织所处法律和政策环境要求。   法律要求是对风险管理最低要求。   风险管理政策应该提出针对组织运行特点风险识别、分析和评定方法，要做到简单明了，方便于组织各级机构掌握。   组织最高决议层应该对风险管理政策制订负全方面责任。       8．2 董事会角色   董事会负责确定组织风险管理战略方向，发明并维护一个能够让风险管理机制有效运行大环境。董事会能够下令成立“风险管理委员会”，由组织内高级管理人员组成；也能够委任“首席风险官”来全权处理风险管理事务。   董事会最少应该考虑以下事项：   ² ²      组织负担负面风险极限； ² ²      这些负面风险一旦发生组织命运怎样； ² ²      怎样对这些负面风险进行主动管理； ² ²      主动管理这些负面风险能力极限； ² ²      主动管理这些负面风险成本极限； ² ²      主动管理这些负面风险预期效果； ² ²      主动管理这些负面风险决议。   8．3 各营业机构角色   组织内部各营业机构最少应该考虑以下事项：   ² ²      各自领域内关键风险是否在日常工作中得到了有效管理； ² ²      怎样在各自机构内部提升风险意识； ² ²      从事特定项目是否在不一样阶段全部有对应风险管理方法； ² ²      是否有定时对各自领域内风险进行审核机制。   8．4 风险管理专职部门角色   依据组织规模大小和经营复杂程度，能够设置以下专职机构：   ² ²      风险管理委员会； ² ²      首席风险官； ² ²      全职风险管理经理； ² ²      兼职风险管理经理； ² ²      风险管理协调人。   听说现在判定一个组织是否实力雄厚关键依据是看该组织官方网站，但在我看来，判定一个组织实力也好，发展前景也好，关键是看该组织是否有专门风险管理职能部门。这是个关键分水岭。 全职风险管理经理应该最少负责以下事务：   ² ²      受董事会委托具体制订组织风险管理战略和政策； ² ²      在组织内部推行组织风险文化，提升全员风险意识； ² ²      向组织内部机构提供风险管理培训； ² ²      给每个营业机构设置内部风险政策和目标； ² ²      依据组织特点设计并实施风险管理计划； ² ²      受理组织内部及外部相关改善风险管理提议和意见； ² ²      制订危机处理计划； ² ²      编写、修订组织《风险管理手册》； ² ²      向董事会或首席实施官汇报风险管理事务，并接收董事会委托向组织外部相关方面通报风险管理事项。   8．5 内部审计角色   内部审计功效和角色因组织具体情况而有很多不一样，但在风险管理上，最少应该负担以下任务：   ² ²      审查组织风险管理政策在各机构实施情况； ² ²      向风险管理专门机构提供评定汇报； ² ²      普及并提升内部审计人员风险意识。   8．6 人力资源部角色   ² ²      在工作描述中明确各职位风险管理功效； ² ²      配合风险管理专门部门对组织全体组员提供风险管理培训。   组织也能够充足利用诸如专业风险管理、安全管理咨询机构、保险企业防灾防损服务、政府主管部门监督检验机构、行业协会等外部资源来帮助组织制订、实施风险管理政策和计划。 8．对风险管理监督和审核   有效风险管理机制不是一个密不透风铁罐子，而应该有充足弹性来采纳来自各方面改善意见。另外，组织和其外部环境全部是在不停发展、改变中，所以需要对组织风险管理系统进行日常监督和定时审查，以确保其可靠性和有效性。   监督和审核机制关键考察以下事项：   ² ²      风险管理系统是否达成预期效果； ² ²      风险管理程序是否合理； ² ²      风险信息及其采集方法是否有效； ² ²      是否有新风险管理知识、技术、方法产生。   至此，组织风险管理第一个大循环结束。   9. 风险管理部门和组织内其它部门关系   自上个世纪七十年代以来，风险管理在组织中发挥作用一直在高速地发展、改变。   七十年代风险管理负责仅仅是对组织多种保险安排和管理，比如财产保险，责任保险，劳工赔偿保险等等。关键思绪是统一管理组织需要多种保险 – 也就是以支付固定保险费为经济代价将风险转移给保险企业，并对应地负责部分安全管理职能，比如防灾、防损等。   这一时期风险管理职能多数情况下是由财务部兼任 – 毕竟安排保险也好，向保险企业索赔也好全部和财务有直接关系。组织内部并没有大规模出现含有独立职责风险管理部门，也极少有专职风险管理经理。   中国企业眼下平均风险管理水平大约相当于西方优异企业七十年代早期和中期水平。   七十年代后期到八十年代中期，风险管理开始在组织中起到越来越大作用，其职责也从最初对保险进行管理升级到了要确保企业财务稳定和健康。这阶段出现了很多非保险方法风险处理方法，比如提升风险自留额，设置内部风险基金，最终出现了组织专属自保企业。风险管理在组织中开始真正介入到管理层面上来，出现了专职风险管理经理，统一管理组织（尤其是跨国组织）在全球多种风险，包含但不限于财产损失风险，财务损失风险，法律责任风险，人员损失风险等等。   风险管理经理开始和组织内部相关部门，比如法律部门，审计部门，质量控制部门，安全生产部门，人力资源部门等开始全方面合作。   一直到现在，大多数西方企业仍然处于这一阶段后期，风险管理经理在组织中含有很关键地位，通常是直接向首席财务长官汇报。   这一时期风险管理开始涉足风险管理中前端部分。   下图是一个在今天仍然有很多跨国企业采取风险管理组织机构图。   风险管理经理 自保企业 保险事务 安全管理 财务总监                     这一时期风险管理学说也得到了极大丰富和完善，风险管理理论和实践在各行业全部有很好发展。   进入九十年代以来，伴随跨国业务飞速发展，和组织面临风险多样化和复杂化，要求风险管理必需发挥更多主动管理作用，而不是传统等风险出现后对之进行处理。这要求风险管理必需全方面包含到组织各个方面，而且能够在对过去和现在进行科学分析基础上，为组织决议者提供前瞻性信息和依据，真正做到高瞻远瞩，未雨绸缪。   九十年代后期，部分最优异跨国企业开始考虑对组织面临多种风险进行统一、全方面管理，这就是今天部分风险管理人士津津乐道“Enterprises Risk Management”，简称ERM。   在这一新体系下，风险管理负担了前所未相关键职责，风险管理者在组织中地位也比以往任何时候全部关键。下图是现在全世界最优异跨国企业采取风险管理组织结构。     董事会 首席风险官 首席法务官 首席运行官 首席财务官 风险管理 委员会 首席实施官 各自下属部门 各自下属部门 各自下属部门 内部审计                             战略风险 财务风险 运行风险 灾难风险   保险事务 安全管理 由此可见，风险管剪发展到了今天，已经在组织中起到了决定性作用。伴随经济发展，新风险也在不停出现，是否拥有一个科学全方面风险管理体系对任何组织来说已经是生死攸关大事，我们对风险和其管理认识更要 “和时俱进”。   对于中国企业来说，风险管理能带来效益实在太多了。但首先需要决议者清醒地认识到本身差距，然后再奋起直追。听说在信息时代中国企业含有很多“后发优势”，能够少走很多发达国家企业走过歧途，我衷心期望我能首先在风险管理领域看到这种迹象。   这也是为何我选择无偿发放本手册根本原因。   祝聪慧中国企业家们好运！       感谢叶会文先生对本章提议。 后记   在立即完工时候，一个看过初稿好友问我：“从事风险管理专业需要什么样素质？”这真是个很好问题，因为没有标准答案，或说有很多个答案 – 就象鲍勃·笛伦那首歌唱那样。   我记得大学里教保险数学老师对精算师素质有这么评论：“优异精算师应该是四分之一数学家，四分之一统计学家，四分之一经济学家，再加上四分之一社会学家。”   对于风险管理人士，上述要求大约是太高了。在这里我斗胆给出一个答案吧。   “假如你受过良好教育，是个老实、遵法、尊重科学并掌握了常识人，有一定发明性和想象力，经过系统学习、训练和实践，就有可能成为风险管理专业人士。” 这么要求算不算太高？ 大家来给我答案吧