第七章 风险管理的流程、体系与方法
一、风险管理的流程
1.1 收集风险管理初始信息
企业应广泛、持续地收集与风险和风险管理相关的内外部初始信息,包括历史数据、行业经验和企业运营数据等。
(1)战略风险
| 序号 | 收集内容 |
|---|---|
| ① | 国内外企业战略风险失控导致企业蒙受损失的案例 |
| ② | 本企业制定和实施发展战略的依据、效果 |
| ③ | 与本企业相关的国内外宏观环境、产业环境、竞争环境以及企业内部环境等方面的重要信息 |
(2)财务风险
| 序号 | 收集内容 |
|---|---|
| ① | 国内外企业财务风险失控导致危机的案例 |
| ② | 全面反映本企业财务战略选择和财务管理状况及效果的指标、数据 |
(3)市场风险
| 序号 | 收集内容 |
|---|---|
| ① | 国内外企业因忽视市场风险、缺乏应对措施导致企业蒙受损失的案例 |
| ② | 与本企业相关的市场供给、需求、价格、竞争以及影响企业经营效益的经济政策等方面的重要信息 |
(4)运营风险
| 序号 | 收集内容 |
|---|---|
| ① | 国内外企业因轻视或忽视运营风险、应对措施不力导致企业蒙受损失甚至经营失败的案例 |
| ② | 本企业生产运营、市场营销、研发、组织人员、信息系统、风险管理等方面的重要信息 |
| ③ | 企业外部可能给本企业带来运营风险的社会、自然等方面的重要信息 |
(5)法律合规风险
| 序号 | 收集内容 |
|---|---|
| ① | 国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例 |
| ② | 国内外可能给本企业带来法律风险的政治、法律法规、政策等方面的重要信息 |
| ③ | 企业内部存在的可能导致法律风险的因素 |
1.2 进行风险评估
风险评估三步骤
- 风险辨识:查找企业各业务单元、各项重要经营活动及重要业务流程中是否存在风险,以及存在风险的类别
- 风险分析:分析风险发生的可能性、发生的条件、风险之间的关系等
- 风险评价:评估风险对实现目标的影响程度、风险的价值等
1.3 制定风险管理策略
企业根据自身条件和外部环境,结合风险偏好、风险承受度、风险管理有效性标准,选择风险管理策略工具,配置资源,制定总体策略。
1.4 提出和实施风险管理解决方案
| 方案类型 | 内容 |
|---|---|
| 外部解决方案 | 外包 |
| 内部解决方案 | 风险管理体系的运转(综合应用风险管理策略、组织职能体系、内部控制系统、信息系统、运用金融工具实施风险管理策略) |
1.5 风险管理的监督与改进
风险管理监督方法
压力测试、返回测试、穿行测试以及风险控制自我评估
职责分工:
| 序号 | 监督主体 | 职责 |
|---|---|---|
| (1) | 各有关部门和业务单位 | 定期自查和检验,形成报告报送风险管理职能部门 |
| (2) | 风险管理职能部门 | 定期评价各部门的风险管理工作,出具评价和建议报告报送总经理或其委托分管风险管理工作的高级管理人员 |
| (3) | 内审部门 | 应每年至少一次对各部门的风险管理工作进行监督评价,形成报告报送董事会或董事会下设的风险管理委员会和审计委员会 |
| (4) | 外部中介机构 | 企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告 |
二、风险管理体系
2.1 组织职能体系
(1)董事会职责
| 序号 | 职责内容 |
|---|---|
| ① | 审议并向股东会提交企业全面风险管理年度工作报告 |
| ② | 确定企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案 |
| ③ | 了解和掌握企业面临的各项重大风险及其风险管理现状,作出有效控制风险的决策 |
| ④ | 批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制 |
| ⑤ | 批准重大决策的风险评估报告 |
| ⑥ | 批准内部审计部门提交的风险管理监督评价审计报告 |
| ⑦ | 批准风险管理组织机构设置及其职责方案 |
| ⑧ | 批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度作出的风险性决定的行为 |
| ⑨ | 督导企业风险管理文化的培育 |
| ⑩ | 批准或决定全面风险管理的其他重大事项 |
(2)风险管理委员会职责
| 序号 | 职责内容 |
|---|---|
| ① | 提交全面风险管理年度报告 |
| ② | 审议风险管理策略和重大风险管理解决方案 |
| ③ | 审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告 |
| ④ | 审议内部审计部门提交的风险管理监督评价审计综合报告 |
| ⑤ | 审议风险管理组织机构设置及其职责方案 |
| ⑥ | 办理董事会授权的有关全面风险管理的其他事项 |
(3)风险管理职能部门职责
| 序号 | 职责内容 |
|---|---|
| ① | 研究提出全面风险管理工作报告 |
| ② | 研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制 |
| ③ | 研究提出跨职能部门的重大决策风险评估报告 |
| ④ | 研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控 |
| ⑤ | 负责对全面风险管理有效性的评估,研究提出全面风险管理的改进方案 |
| ⑥ | 负责组织建立风险管理信息系统 |
| ⑦ | 负责组织协调全面风险管理日常工作 |
| ⑧ | 负责指导、监督有关职能部门,各业务单位以及全资、控股子企业开展全面风险管理工作 |
| ⑨ | 办理风险管理的其他有关工作 |
(4)审计委员会职责
| 序号 | 职责内容 |
|---|---|
| ① | 应每年对其权限及其有效性进行复核,并就必要的人员变更向董事会报告 |
| ② | 一般有责任确保企业履行对外报告合规的义务 |
| ③ | 应结合企业财务报表的编制情况,对重大的财务报告事项和判断进行复核 |
| ④ | 确保充分且有效的内部控制 |
| ⑤ | 复核及评估年度内部审计工作计划,听取内部审计部门的定期工作报告,复核和监察管理层对内部审计的调查结果的反映 |
| ⑥ | 应确保内部审计部门提出的合理建议得到执行 |
| ⑦ | 有助于保持内部审计部门对压力或干涉的独立性 |
(5)其他职能部门及各业务单位职责
| 序号 | 职责内容 |
|---|---|
| ① | 执行风险管理基本流程 |
| ② | 研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制 |
| ③ | 研究提出本职能部门或业务单位的重大决策风险评估报告 |
| ④ | 做好本职能部门或业务单位建立风险管理信息系统的工作 |
| ⑤ | 做好培育风险管理文化的有关工作 |
| ⑥ | 建立健全本职能部门或业务单位的风险管理内部控制子系统 |
| ⑦ | 办理风险管理其他有关工作 |
(6)下属公司职责
指导和监督其全资、控股子企业建立与企业相适应或符合全资、控股子企业自身特点并能有效发挥作用的风险管理组织职能体系。
2.2 风险管理策略
(1)总体定位
风险管理策略的定位
- 风险管理策略在企业战略管理过程中起着承上启下的作用,制定与企业战略保持一致的风险管理策略降低了企业战略实施失误的可能性
- 风险管理策略是根据企业战略制定的全面风险管理的总体策略
- 风险管理策略在整个风险管理体系中起着统领全局的作用
(2)组成部分
| 组成部分 | 说明 |
|---|---|
| 风险偏好和风险承受度 | 明确公司要承担什么风险、承担多少风险 |
| 全面风险管理的有效性标准 | 明确怎样衡量风险管理工作成效 |
| 风险管理策略工具的选择 | 明确怎样管理重大风险 |
| 风险管理的资源配置 | 明确如何安排人力、物力、财力、外部资源等风险管理资源 |
(3)风险度量方法
| 方法 | 说明 |
|---|---|
| 最大可能损失 | 企业无法判断或者无须判断风险的发生概率 |
| 概率值 | 风险事件发生的概率和造成损失的概率 |
| 期望值 | 综合了概率值和最大可能损失两种方法 |
| 波动性 | 反映风险的离散程度 |
| 在险值(VaR) | 给定的时间段和给定的置信区间内,预期可能发生的最大损失 |
| 直观方法 | 不依赖于概率统计结果的方法,如专家意见法 |
(4)风险管理的有效性标准
- 风险是否在风险承受度范围之内,即风险是否优化
- 风险的变化是否符合要求,即风险的变化是否优化
(5)风险管理策略工具
| 策略工具 | 说明 |
|---|---|
| 风险承担 | 对风险采取接受态度,承担风险带来的后果 |
| 风险规避 | 回避、停止或退出,避免成为风险的所有人 |
| 风险转移 | 通过合同或非合同的方式将风险全部或部分转移到第三方,企业对转移后的风险不再拥有所有权(如组建合资公司、服务保证书、保险、风险证券化) |
| 风险转换 | 通过战略调整等手段将企业面临的风险转换成另一个风险(如战略调整、使用衍生产品) |
| 风险对冲 | 引入多个风险因素或承担多个风险,使得这些风险能够互相对冲(如多种外币结算、多种经营战略、将 IT 运作中心设置在两个独立的地点) |
| 风险补偿 | 企业对风险可能造成的损失采取适当的措施进行补偿(如风险准备金、应急资本) |
| 风险控制 | 控制风险事件发生的动因、环境、条件等,来减轻风险事件发生时的损失或降低发生概率(如定期进行消防安全检查、建立严格的产品质量检验流程) |
2.3 运用金融工具实施风险管理策略
金融工具的特点
- 需要量化风险
- 应用范围有限
- 技术性强
- 创造价值
| 工具 | 说明 |
|---|---|
| 损失融资 | 为风险事件造成的财物损失融资,是对风险事件的事后管理,分为预期损失融资(运营资本)和非预期损失融资(风险资本) |
| 风险资本 | 除经营资本之外,公司补偿风险造成的财务损失而需要的资本 |
| 应急资本 | 通过金融合约在特定事件发生时获得融资选择权 |
| 保险 | 投保人通过保险把风险可能导致的财务损失负担转移给保险公司的传统风险转移手段 |
| 专业自保 | 非保险公司的附属机构,为母公司(及其子公司)提供保险,并由其母公司筹集保险费,建立损失储备金 |
2.4 内部控制系统(我国五大要素)
(1)内部环境
| 序号 | 内容 |
|---|---|
| ① | 建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制 |
| ② | 董事会负责内控的建立健全和有效实施;监事会进行监督;经理层负责日常运行 |
| ③ | 董事会下设审计委员会 |
| ④ | 结合业务特点和内控要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位 |
| ⑤ | 加强内审工作,保证内审独立性 |
| ⑥ | 实施可持续发展的人力资源政策 |
| ⑦ | 将职业道德修养和专业胜任能力作为选拔聘用员工的标准 |
| ⑧ | 加强文化建设,培育积极向上的价值观和社会责任感 |
| ⑨ | 加强法制教育 |
(2)风险评估
| 序号 | 内容 |
|---|---|
| ① | 根据控制目标,全面系统持续地收集信息 |
| ② | 开展风险评估,确定风险承受度 |
| ③ | 识别内部风险 |
| ④ | 识别外部风险 |
| ⑤ | 定性与定量相结合,按风险可能性和影响程度进行排序,确定重点和优先控制的风险 |
| ⑥ | 权衡风险与收益,确定风险应对策略 |
| ⑦ | 综合运用风险应对策略,实现有效控制 |
| ⑧ | 结合不同发展阶段和业务拓展情况,及时调整风险应对策略 |
(3)控制活动
| 序号 | 内容 |
|---|---|
| ① | 综合运用各项控制措施将风险控制在可承受度内 |
| ② | 不相容职务分离控制 |
| ③ | 授权审批控制 |
| ④ | 会计系统控制 |
| ⑤ | 财产保护控制 |
| ⑥ | 预算控制 |
| ⑦ | 运营分析控制 |
| ⑧ | 绩效考评控制 |
| ⑨ | 根据内部控制目标对各项业务和事项实施有效控制 |
| ⑩ | 建立重大风险预警机制和突发事件应急处理机制 |
(4)信息与沟通
| 序号 | 内容 |
|---|---|
| ① | 建立信息与沟通制度,促进内控有效运行 |
| ② | 对内外部信息进行筛选整合,提高信息有用性 |
| ③ | 将相关信息在企业内外部进行沟通和反馈 |
| ④ | 利用信息技术促进信息的集成与共享 |
| ⑤ | 建立反舞弊机制 |
| ⑥ | 建立举报投诉制度和举报人保护制度 |
(5)内部监督
| 序号 | 内容 |
|---|---|
| ① | 制定内部控制监督制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求 |
| ② | 制定内部控制缺陷认定标准,分析缺陷性质和原因,提出整改方案 |
| ③ | 定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告 |
| ④ | 妥善保存内控建立与实施过程中相关记录或资料 |
2.5 风险管理信息系统
信息系统主要功能
信息采集 → 信息存储 → 信息加工、分析和测试 → 信息传递 → 信息报告和披露
三、风险管理的技术与方法
3.1 定性方法
| 方法 | 说明 |
|---|---|
| 头脑风暴法 | 专家激烈讨论,充分激发专家想象力 |
| 德尔菲法 | 专家匿名发表意见,直至达成一致意见 |
| 流程图分析法 | 将生产经营活动按步骤或阶段顺序以若干模块形式形成流程图,分析各模块的风险因素、损失大小、影响程度 |
| 风险评估系图法 | 按照风险发生的可能性和风险发生后果的严重程度将风险绘制在矩阵图中,展示风险及其重要性等级 |
| 马尔科夫分析法 | 通过分析随机变量的现时变化情况来预测这些变量未来变化情况的一种预测方法 |
3.2 定量方法
| 方法 | 说明 |
|---|---|
| 敏感性分析法 | 针对潜在的风险,研究项目的各种不确定因素变化至一定幅度时,计算其主要经济指标的变化率及敏感程度 |
| 决策树法 | 对项目管理初始事项之后可能做出的决策的各种路径和结果建模 |
| 统计推论法 | 根据过去和现在的发展趋势评估和分析未来项目风险,可分为前推、后推和旁推三种类型 |
| 失效模式、影响和危害度分析法 | 按规则记录系统中所有可能存在的影响因素,分析每种因素对系统的工作及状态的影响,将每种影响因素按其影响的程度及发生概率排序,从而发现系统中潜在的薄弱环节 |
3.3 定性与定量结合
| 方法 | 说明 |
|---|---|
| 情景分析法 | 识别在特定环境下可能发生的事件及其结果,以及每种情景(最佳、最差、基准)出现的可能性 |
| 事件树分析法 | 将系统可能发生的某种事件与导致事件发生的各种原因之间的逻辑关系用一种称为事件树的树形图表示 |