现代通信设备公司企业风险管理报告_参考.docx

泓域/现代通信设备公司企业风险管理报告现代通信设备公司企业风险管理报告目录一、 危机管理3二、 应急计划4三、 规章制度法7四、 工程物理法8五、 风险回避适用的情形10六、 风险回避常用的方法11七、 风险管理信息系统的构建原则13八、 风险管理信息系统的基本功能17九、 风险管理信息系统概述19十、 管理信息系统的基本概念28十一、 损失频率的估计28十二、 损失程度的估计31十三、 变动程度的测定35十四、 中心趋势测量37十五、 项目简介39十六、 产业环境分析43十七、 加强质量和品牌建设48十八、 必要性分析50十九、 SWOT分析说明51二十、 发展规划分析59二十一、 法人治理结构67二十二、 人力资源分析80劳动定员一览表80一、 危机管理由于有些重大损失事件是难以预料、难以控制的，或者预测和防范的成本过高，而必须求助于危机管理，即在危机发生后，如何解决危机并从中吸取教训。危机管理不能替代应急计划，而只能视为应急计划的后续措施之一。简单地讲，企业危机管理是为了尽可能减少企业和其利益相关者的损失而对企业危机进行预防和处理的过程。完整地讲，企业危机管理是危机管理者通过危机信息分析，危机应对计划、组织、控制、领导等职能管理过程来最大程度地降低企业和其各个利益相关者可能遭受的各种损害，最终保障企业整体安全、健康和持久运行的动态过程。从危机形成的诱因分类，主要结合企业内外环境及是否人为，有以下4种类型的危机。（1）企业内部人为危机是由于企业内部人为而造成的，是企业通过加强有效的危机管理基本可以避免的。又可分为企业公共关系危机、企业营销危机、企业人力资源危机、企业信用与财务危机、企业发展和战略危机等。（2）企业内部非人为危机主要是由于企业内部工业意外、灾害事故所引发的危机。例如，环境污染、爆炸塌方、有毒有害化学物品泄漏等所引起的非常事件而对企业造成的巨大人财物损害危机。对这类危机的策略是定期对企业重大设备检查，对主要污染物质、可能发生的重大事故的原材料、能源进行专人专库保管，对事故隐患一经发现，应该立即处理。（3）企业外部人为危机主要是由企业外部人为因素造成的对企业不利的事件，如有人恶意在产品中下毒、恐怖袭击、严重的产品仿制及造谣中伤等。对这类危机事件的基础应对策略是启动危机应对计划和反应机制，树立企业良好形象，做好企业与社会各类公众、利益相关者的日常沟通基础工作。（4）企业外部非人为危机是指企业外部环境中重大自然灾害、战争、行业或经济危机等不可抗因素造成的直接影响企业正常生产经营活动的严重事件。这种危机是非人力所能及的，所以危害性较大。对这些危机的基本应对策略是立即与企业内部员工沟通，启动危机应对计划和反应机制，配合政府行动，保护好企业人员和财产的安全，在危机过后尽快恢复生产经营活动，力争将损失补回来。在危机处理过程中，必须确保危机处理小组成员的必要权限，能够及时获得客户信息，办公设备、通信设施等关键的企业资源，并分配到最为紧要的环节。危机之后，企业要总结经验教训，提升风险管理水平。二、 应急计划应急计划是针对可能造成企业经营中断的小概率事件，事先进行安排，确保企业在事故发生后、恢复正常运作前保持生产的连续性，从而降低中断营业、客户关系、商誉等方面的损失。当然，应急计划对腿风、洪水等大范围的巨灾事故，通常也是无能为力的。应急计划与上文的风险回避、因子管理、损失预防等风险应对技术都有关，一般可分为识别重大的意外事件、描述和分析意外事件的演进过程、针对意外事件设计修复和管理方案、建立危机管理中心、测试和更新应急计划、估计事故损失、事后明确责任归属等一系列活动。识别重大意外事件类似于风险识别，所不同的是前者主要关注可能使企业营业中断、带来重大损失的事件，而后者旨在衡量风险本身。制定应急计划，通常从企业整体出发，分析和确定少数几个关键的环节或资源。比如，涉及电子交易的金融企业必须时刻跟上金融市场的节奏，不容片刻的差错或故障，因此，系统稳定性就是最关键的因素，而有些财务报告就显得次要一些了，有时因特殊情况推迟几周也影响不大。多数重大意外事件是不可控的、损失巨大的，而且往往会导致商誉损失。比如，可以将可能在未来40年内发生或在过去一年内本行业有一个以上的企业发生的损失事件视为重大意外事件。应急计划与管理（1996，5）刊登了一篇题为“财富1000家与危机管理”的文章，列示了关于高级经理对不同风险因素的重要性排序的调查报告。调查发现，各类风险按被调查者关注程度从高到低依次为：股价下跌、企业丑闻、恶意接管、企业兼并、规模缩减、基本设施停业、工会纠纷、产品积压、侵犯产权和专利权、洗钱交易、伪造、谣言、媒体危机等。描述和分析意外事件的演进过程旨在明确特定意外事件在不同时间对企业的影响，以及时间敏感性的程序和资源的恢复周期等，有时还要进一步显示可能导致意外事件的原因，作为高级管理层制定风险管理和应急计划的决策依据。应急计划所需考虑的意外事件比较难以预测，与人相关的意外事件可能起因于设计不合理、粗心、偷盗、纵火、恐怖活动、绑架、间谍活动等，与基础设施相关的意外事件包括建筑问题、水电供应、燃料短缺、电缆线中断等。应急计划必须包括一个危机管理中心，事先指定特定的员工组成危机管理小组，根据各种可能事件的严重程度分别设计修复和管理方案，并进行定期监测和更新。应急计划的另一个重要组成部分是估计意外事件的应急资金，类似于损失准备金，以便在事故发生后，应付发生的直接损失及间接损失。一般地，可以从三方面去评价应急计划，首先是可靠性，即该计划对重大意外事件的保障程度；其次是可行性，通常考虑企业恢复正常经营所需的时间；最后是成本与效益分析，即企业资源和程序改变后该计划的成本和适应性，这一点在许多情况下是最为关键的。三、 规章制度法如果损失预防侧重于建立规章制度、操作手册、值班条例等，则属于规章制度法。规章制度法是指国家制定相应的规章制度，要求风险管理单位在国家规章制度的范围内进行经济和社会活动，预防风险事故的发生。例如，为了防止商业银行倒闭而给社会经济带来的负面影响，建立的法定存款准备金制度。又如，中华人民共和国劳动法规定：“用人单位必须建立、健全劳动安全卫生制度，严格执行国家劳动卫生规程和标准，对劳动者进行安全、卫生教育，防止劳动过程中的事故，减少职业危害。”有些风险预防措施侧重于物理工程法，有些措施侧重于人们行为法，还有一些措施侧重于规章制度程序法来进行损失的控制。其实，对于某一具体风险事故来说，可能采取了这3方面的措施，很难说明属于哪一种损失预防办法。例如，为了防止职工工伤事故的发生，工厂修建了防止工伤事故发生的安全设施，就属于物理工程法；企业对于工人安全操作的培训、教育，就属于人们行为法；国家为防止工伤事故的发生，出台法律加强管理，就属于规章制度法。一些改变风险因素的损失预防措施，了解这些损失预防的措施，有助于加强对于风险管理的认识。四、 工程物理法损失预防的措施如果侧重于风险单位的物质因素，则称为工程物理法。例如，防火结构的设计、防盗系统的设置、机器的安全检查等都属于工程物理法。按照工程物理法的理论，损失预防所采取的具体措施主要包括以下几个方面。（1）预防风险因素的产生。例如，造纸厂在堆草垛时，应该严格按照有关方面的规定，使每一草垛的重量、体积及草垛之间的间隔距离等都能够满足风险防范的要求，防止某一草垛燃烧，引起所有草垛的损失。（2）减少已经存在的风险因素。例如，用新的电线替换已经老化、破损的旧电线，可以减少已经存在的风险因素，达到降低损失的目的。又如，通过限制生产车间易燃、易爆物质的存放量等措施，可以减少发生火灾的风险因素，防止风险事故的发生。（3）防止已经存在的风险因素释放能量。例如，保持汽车刹车系统处于良好状态，以保证其功能不致失控，减少风险事故的发生。又如，在建筑工程中，限制工人登高的人数，可以预防工人摔伤的风险。（4）改善风险因素的空间分布和限制能量释放的速度。例如，在建筑工程中，安装防护栏，可以防止登高工人摔下来。又如，使用限制能量释放速度的缓冲装置，能量一旦释放出来，就能够采取通风、排气等措施，使能量无法积累到引发风险事故发生的能量下限。（5）在时间、空间上将风险因素与可能遭受损害的人、财、物隔离。例如，用道路护栏、过街天桥分离行人和机动车辆，可以避免机动车撞人的风险。又如，遇到大雾天气关闭机场和高速公路等，可以将风险因素与可能遭受损失的人、财、物分离。（6）借助物质障碍将风险因素与人、财、物隔离。例如，利用防火墙将两栋紧挨的房子分开，其中一栋房子发生火灾时，防火墙可以起到阻止火势蔓延、减少损失的作用；而对于未遭受火灾的房屋而言，防火墙可以起到损失预防的作用。（7）改变风险因素的基本性质。例如，在容易产生静电的绝缘材料中，加入少量抗静电的添加剂，以增强材料的吸湿性，减少风险事故的发生。又如，在有爆炸性粉尘飞扬的空间，使空间通风、减低浓度可以减少粉尘爆炸事故的发生。（8）加强风险单位（或个人）的防护能力。例如，为了防止粉尘危害职工身体健康，要求作业工人佩戴防尘口罩、防尘衣、防尘面罩等，可以减少职业病的发生。又如，为了防止雷电危害，建筑物安装避雷针、避雷线、避雷网、避雷带等，可以减少建筑物遭遇雷击的风险。（9）救护被损害的风险单位。救护被损害的物质、人员等，可以降低风险事故造成的损失。例如，火灾发生后，抢救受损物资、受伤人员等措施，可以降低风险事故带来的损失。（10）修理或者复原被损害的风险单位。例如，受伤人员的康复、被损害物品的维修等，都属于修理或者复原风险单位，修理或者复原风险单位可以减少损失。五、 风险回避适用的情形风险回避是处理风险的有效办法，通过风险回避，风险管理者可以明确知道风险不可能发生，风险主体也不会承受某些潜在的风险。风险回避适用的情形主要有以下几个方面。风险回避适用于发生损失频率和损失程度较大的特大风险；风险回避适用于损失频率虽不大，但是损失后果严重，并且无法得到补偿的风险；风险回避适用于采用其他风险管理措施的成本超过进行该项活动预期收益的情形；某些风险的损失是不可避免的，采取风险回避的方法无效。例如，地震、海啸、暴风等自然灾害给人类造成损失是不可避免的，而且造成的损失较大；又如，生老病死风险是没有回避风险可能性的。对于这类风险采取风险回避的办法是无效的。六、 风险回避常用的方法风险回避常用的方法有剥离、禁止、终止、锁定、筛选和消除。（一）剥离剥离是指通过退出某市场或地域，或出售、清算，或分立某产品类别或业务等措施剥离资产。剥离资产方式常常发生在经济不景气、资源紧缩、产品滞销甚至出现重大的内部矛盾、财务状况恶化及原先的经营领域处于明显劣势的时候。当企业现有经营领域的市场吸引力微弱，获利丧失而趋向衰退时，市场占有率受到侵蚀，企业经营活动受阻，或者企业发现了更好的领域和机会时，为了捕捉和利用这一机会，有意从原来的领域脱身，转移阵地，另辟新径。企业在采取减少投资、压缩开支、削减人员的同时，也会考虑将经营领域或是生产线出售给该领域的市场追随者或市场新进入者，从而实现企业长远的经营目标。当战略失效，企业受到全面威胁、濒于破产时，企业也会选择清算方式将企业的资产转让、出售。通过出售，企业可以去掉经营赘瘤，快速回收资金，有的放矢，合理配置资源以发展新的事业领域，从而转移风险。出售财产转移风险，是因为实体的权属问题与风险概念是密不可分的。通常以实体所有权转移的时间作为风险转移的时间，其理论依据在于：转移实体所有权是买卖合同的主要特征和法律后果，风险和利益都是基于所有权而产生的，是所有权的法律后果。因此，当实体所有权因买卖合同生效而发生转移时，风险也随之发生转移。这类似于货物买卖中的“物主承担风险”的原则。当实体（货物、权力或服务）本来在卖方手中时，他无可避免地承担着占有或经营该实体的风险。通过出售，所有权从卖方手中转移到买方手中，买方就需要对该实体承担全部的风险后果。在大多数情况下，谁拥有实体的所有权，风险就在谁手中。但是在某些特殊的场合，虽然实体处于卖方手中，但风险却已经转移到买方手中，或者实体在买方手中，但风险仍由卖方承担。出售的风险转移问题，当事人可自行规定，并不需要强行规定。只有当事人选择法律规定或未自行约定时，法律规定才有效。在出售实践中，风险转移条款并未在合同中订立。基于出售方式的风险转移以实体交付为标准，这是风险转移的基本条件，因此如何判定实体交付是通过出售方式来实现风险转移的基础。通常情况下是卖方将实体的占有和实际控制权移交给买方。（二）禁止禁止是指企业通过适宜的企业政策，风险限额架构及标准，禁止企业从事风险性大的，或产生财务损失和资产敞口的活动和交易。（三）终止终止是指企业通过重新确立目标，调整战略和政策的重心或者改变资源配置方向，终止某些业已进行的活动和交易。（四）锁定锁定是指企业提高业务发展和市场扩张的针对性，避免追逐偏离企业战略的机会。（五）筛选通过对企业的资本项目和投资活动进行筛选，以回避低收益、偏离企业战略或高风险的行动计划。（六）消除消除是指通过规划和实施内部预防流程，从源头上消除风险，使风险事件的发生概率降低为零。七、 风险管理信息系统的构建原则管理信息系统的开发，是“三分技术、七分管理”。对于像企业全面风险管理信息系统的开发，管理领域知识显得非常重要，首先对企业风险的成因、分析与评估方法、模型的建立等要十分了解；其次对管理信息系统的开发原理和过程也要十分清楚。国外很多银行开发风险管理信息系统的经验是自主开发、借助外力、积累经验、调整改进，很值得国内企业参考借鉴。企业的风险管理涉及单位的各个部门、整个运营和管理流程和全体人员，是一个复杂的系统工程。因此，建立企业全面风险管理信息系统除了要遵循信息系统设计时的一般原则之外，还要根据企业所面临的风险的特殊性及其对风险管理的特殊要求，遵循一些特殊原则。1、一般原则（1）规范系统开发过程。信息系统的建设是一项系统工程、必须按照软件工程的规律来组织系统的开发、必须建立严格的软件工程控制方法，要求开发组的每一个人都要遵守软件工程规范。经验证明，没有规范就不可能开发出用户满意的系统。（2）正确的开发策略与方法。为了保证信息系统的开发质量、降低开发费用及提高系统开发的成功率，必须借助于正确的开发策略和科学的开发方法。管理信息系统的开发方法有很多种，如结构化生命周期法、企业系统规划法、战略数据规划法、原型法和面向对象法等，其中最为常用的是结构化生命周期法和原型法。对于风险管理信息系统的开发，可以采用复合的开发策略、将生命周期法与原型法相结合、以原型演化法作为系统开发的过程模型，以面向功能开发方法为主、结合面向对象和基于构件的方法进行开发，在系统分析、设计与实现中借鉴项目管理的管理思想。（3）整体性原则。企业风险管理信息系统是相互联系，相互作用的诸要素组成的综合体。必须从整体和各组成部分的相互关系来考察企业的风险，从整体目标和功能出发，正确处理各风险管理子系统之间及子系统内部各组成部分之间的相互关系和相互作用。为了使这一大系统能够协调地运行，前提条件就是所有子系统的信息要素必须有统一规定，有一套公认的标准和规范。（4）分解协调原则。企业经营和业务的特殊性决定了其所面临的风险在种类、风险因素的来源上都更加复杂、多样，因此企业的风险管理的复杂性可想而知。分解协调原则，就是要求在建立信息系统时，要把复杂问题转化成若干相对简单的子问题以方便求解。在处理各类子问题时，还必须根据整个系统的整体功能和目标，协调各子系统的行为、功能与目标，以保证整体功能目标的实现。（5）目标优化原则。所谓目标优化原则对简单系统来说，是求最优解，对复杂系统来说，求的是满意解。鉴于目前在理论领域，某些风险还不能用准确的量化指标来加以衡量，有些风险即使理论上已经有了评估模型，但也可能由于现实的数据问题，还不能实现。因此，企业风险管理信息系统的建立，是在目前的条件下，最大可能性地去实现风险的管理与控制，即达到目前所能达到的最满意的风险管理目标。需要指出的是，以上5原则是系统方法中处理复杂系统问题的5个主要原则，并非全部原则。在处理实际问题时，还需在这些原则的指导下，根据问题的特点，确定求解的具体方法和策略。2、特殊原则（1）易用的原则。风险管理信息管理系统不同于财务、人事等业务软件，只需要少数人经过培训、掌握使用方法就可以，而是涉及多个部门、多个岗位、多个人员的工作。因此，企业风险管理信息系统，尤其是风险因素的录入系统，要在保证全面、完整地基础上，容易操作，简单易用。（2）整体性保障原则。企业风险管理信息系统是企业风险管理的数字神经系统，影响到企业经营与发展的每一个风险要素都应纳入此系统，因此，它需要与各项业务系统有通畅的信息接口，充分利用原有的系统资源。新的风险管理信息系统虽然与其他各业务系统有交接，但又独立于其他任何一个系统，其他系统的运行本身并不影响风险管理信息系统的运行，它自身是一个整体，是一个专门为企业风险管理提供技术支持的完整系统。并且，此系统内部的各功能模块，也可以独立升级、增添或自行设计开发，以保证整体信息系统的发展和完善，适应企业不断发展的需求。（3）实用性与适应性原则。由于风险管理的复杂性，所以构建的该系统必须更加注意具有较强的实用性，这样才能为企业的风险管理提供技术支撑。由于很多风险是不可预知的，随着企业与环境的发展，新的风险随时可能出现，所以企业风险管理信息系统的设计，从最开始就应该适应于多种运行环境，而且还必须具有应变能力，以适应未来变化的环境和需求。例如，对某类风险及没有考虑到的风险因素，要在技术设计上为留待以后的系统改进做好准备。（4）先进性与发展性原则。风险管理信息系统是以业务信息系统为基础建立的。企业的各项业务信息，是在业务活动中产生、通过业务信息系统采集处理的。其收集和提供的信息，既有企业经营管理中产生的内源信息，又有社会经济的外源信息，这些信息不仅在企业内部交流传递，而且在企业之间、企业与社会之间进行交换，是一个开放性的系统。保证风险管理信息系统能够获得足够的基础数据信息进行分析处理，必须建立一个快速有效的风险信息收集网络。因此从长远的角度考虑，要采用当代最新技术，建立一种新的、开放的现代风险管理系统。八、 风险管理信息系统的基本功能信息系统为风险管理提供数据，RMIS储存与风险相关的数据并允许进行数据的检索。该系统可以为报告的编制提供输入信息，它肩负着存放与企业风险相关的所有当前和历史信息的重要作用。其中存放的信息包括风险识别文件（通过使用模板文件）、风险定性和定量评估文件、合同可交付成果（如果适用）以及其他风险报告。风险管理办公室将使用该系统的信息，编制提交给高层管理层的报告并检索日常风险管理所需要的信息。通过使用风险管理模板文件，每个风险项目都可以编制一套标准的报告，用以定期汇报使用，并且能够针对特殊要求编制特殊报告。该信息与失败报告信息系统和经验教训信息系统息息相关。具体而言风险管理信息系统的基本功能应包括以下6个方面。（1）将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。（2）采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。（3）能够进行对各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。（4）实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。（5）确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。（6）补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统，将风险管理与企业各项管理业务流程及管理软件统一规划、统一设计、统一实施、同步运行。九、 风险管理信息系统概述（一）什么是风险管理信息系统管理信息系统的概念与风险管理结合，便产生了风险管理信息系统。所谓的风险管理活动的最终目的是为了企业对于任何风险的发生，均能预先通过各种方案，以最小的代价来达到管理风险的最大效益，而获得企业经营的安全。由此可知，风险管理活动与企业政策有关，是属于管理信息系统应用观念中的策略规划层次。因此风险管理信息系统可简单定义为：收集、分析与规划组织中有关风险管理信息的系统。风险管理信息系统是管理信息系统中必不可少的系统，风险管理人员由此认识并处理现实的或者潜在的偶然损失，以抵御偶然损失所产生的不利效应，降低风险成本。风险管理信息系统是为整个经济单位及其每个损失暴露单位而设置的工具，对于风险管理全过程乃至经济单位的全部活动都起着重要的作用。这里需要指出的是，风险管理信息系统可以减少的不是损失的不确定性，而是减少作出的有关决策的不确定性，这是管理信息系统的最终目的。一个管理信息系统，特别是风险管理信息系统，应该使一个管理人员相信在现有的数据信息条件下作出的决策是最优的。其次，要明确业务数据和管理信息。数据是指一些孤立、分散的事实，它是不便于作出推断和结论的；而信息是指有助于决策的、经过企业加工过的数据。信息和数据之间的这种区别表明了许多管理信息系统和风险管理信息系统具有潜在的缺陷，即存在很多未提供足够的管理信息的数据。一个设计得较好的风险管理信息系统应能将数据有机组合，提供正确的信息，提高风险管理的效率。风险管理信息系统的应用范围可以包括业务处理、标准风险管理报告和提供数据库的随机存取及支持风险管理决策的定量分析。（二）风险管理信息系统发展阶段风险管理信息系统的概念在30年之前就在国外的企业里出现。自从它出现后，风险管理信息系统概念已经从简单的保险索赔自动化发展到了复杂的金融管理与决策支持系统，这些系统提供了数据整合、报告、分析与操作的功能，支持企业的整体风险管理与相关规章制度。风险管理信息系统的发展共经历了5个阶段。（1）简单事务处理阶段。计算机在风险管理中的早期应用是保险损失和报废的计算机管理，时间是20世纪60年代末。该应用技术由少数承保人开发，帮助部分被保险人记录可保损失，并对一些常见的事故的某些原因列出清单以便于风险控制。该阶段有两个明显缺陷。过分集中于保险业务，这些系统没有充分注意到经济单位整体的风险成本。这样就难以充分有效地向管理整个企业的高级管理决策层传达风险管理的核心内容。由于计算机技术较不发达，不能及时得到准确的数据，而不正确和过时的信息对风险管理决策来说是没有什么实质的决策用处的。（2）标准风险管理报告阶段。20世纪60年代末至70年代初，在此期间，风险成本的概念已被广为接受，风险管理人员开始利用电脑作辅助计算和控制本企业的整个风险成本。系统对于风险管理者和整个经济单位管理人员之间的交流有非常重要的意义。此阶段的应用提升到批次处理的层次，各种标准的定期报表（月/季/年）广泛地被使用，扩大了信息的流通且有助于组织内部管理阶层的沟通。该阶段有两个明显缺陷。虽然这一阶段的系统可以使风险管理人员更多更快地收集数据，但很多基本数据仍来自于承保人而不是来自于企业内部，这会造成数据的不完整。承保人提供的大量报告有时容易使风险管理部门感觉好像被置于计算机报告的海洋中，数据很多但管理信息很少。（3）数据直接调用阶段。为了避免陷入许多数据中，投保人、经纪人组织、保险人开发出更为灵活的风险管理信息系统，使他们不仅能够设计自己特定的报告，而且能任意调用他们自己的风险管理数据，时间是20世纪70年代末。随机存取数据使得风险管理人员能编制自己的报表，并能对高级经理和其他管理人员的信息需求作出反应。这种根据需要就能以任何格式提取数据的能力对风险管理至少具有以下益处。通过与风险管理数据库的互访，提高风险管理资料库与客户之间的互动性，可以增加对风险管理作用的认识。因为满足了管理人员的信息需求，从而获得了他们对风险管理的支持。随着风险管理人员监控风险能力的提高，企业内部关于风险管理的沟通和通信也得以改善，因此增加了风险管理人员对其他管理人员所提问题的快速反应能力。（4）风险管理决策支持阶段。交互是风险管理决策支持的核心，使计算机利用已有数据库中的数据预测风险管理人员提出的各种可供选择方案的可能结果，并且作出最佳选择。交互式风险管理决策支持的关键是计算机应具有对“whatif”查询的反应能力，通过数据库中的数据来预测风险管理人员建议的各种行动方案的可能结果，因此要求开发各种分析模型，用于进行损失预测、风险成本分配和经济的预测。风险管理信息系统开始提供分析性的模块以协助客户进行风险成本的分析，包括风险的衡量、风险成本与效益分析、预测整体风险成本随风险要素变化的情形、估计年度总损失以及记录每次非预期损失幅度与频率等。一旦证实了这些预测模型和决策支持能力之间的关系，风险管理人员便可在大量的风险管理工作中运用它们。其运用范围包括：预测一种特定风险管理措施的成本和效益；预测企业内部风险成本的变化及各组成部分的变化；选择企业每年的总的风险自留水平；把实际采取的安全措施与事故发生频率和损失程度联系起来；测试各种损失准备金充足与否。该阶段的系统可以存取更为广义上的数据库。特别是通过调制解调器和电话线把本企业的内部计算机与金融市场、经济动态及有关法规等外部的数据源连接起来，可以增强风险管理信息系统作为决策支持的使用价值，这主要是因为作出决策所依据的数据将更为可靠，以及计算机辅助决策的类型将更为多样化。（5）网际网络应用阶段。20世纪90年代随着网际网络的兴起、台式计算机价格逐渐下降及计算能力的提升，RMIS逐渐向主从式架构发展，并提供通过网络让远端计算机方便存取数据库的功能，以快速反应并处理风险管理的问题。网络的发展也使银行保险公司与客户间的互动增加，并朝向全球化的目标发展。（三）风险管理信息系统的基本组成RMIS主要由以下几个部分组成：数据库；收集、操作数据产生信息的程序软件；计算机装备一硬件；运行RMIS的人员。1、数据库它是风险管理信息系统的核心，是贮存基本信息的记忆库。像所有的管理信息系统的数据一样，计算机化的风险管理信息系统输出的数据应该是有序的。而且数据必须是完备、正确、一致、相关和及时的，否则就会出现垃圾数据。在风险管理信息系统中，数据常被分为：损失数据、风险数据、法律数据、风险筹资数据、管理数据和风险控制数据。（1）损失数据。损失数据是对一个企业过去损失的细节描述，常占风险管理数据的大部分，如事故/理赔等清单、理赔准备金、毁损记录、理赔对象情况记录、赔付记录等。风险管理人员、经纪人、代理人和承保人能从这些数据中得到损失频率、程度、原因及最后处理的信息，因此能为现在或将来面临的损失风险安排一个合理的准备金。大部分风险管理决策需要有适当的预测作为基础，如预测未来损失金额、预测各种控制型和财务型对付风险的方法的效果和成本，建立一个好的风险管理信息系统的损失数据库能为预测打下良好的基础。（2）风险数据。这种类型的数据多种多样，对风险管理人员来说，风险数据一般与一个企业的总体特征有关，如企业财产、其主要供应商和客户的业务关系及人员有关。就财产而言，数据库应能鉴别其类型、所处地点、原始成本和现行价值及所有权状况等。财产数据也常常包括企业不动产信息、销售商信息及对每项财产的最大可能损失的估计。相关的数据类型如净收入记录、关键人物、普通员工记录、生产经营记录等。（3）法律数据。数据库中的法律信息应包括该企业的合同义务方面的详细数据。另外，一旦企业因违反了法律而可能遭致某种法律索赔时，数据库应当为确定和跟踪这些索赔提供信息。（4）风险筹资数据。风险管理信息系统的数据库中的风险筹资数据提供了收入、费用、现金流量、债务、借贷计划、生产水平、其他资金来源、使用的现行数据及预测数据，如资本、费用、债务、财务报表等。（5）管理数据。如果一个企业的结构是多变的，这种变化可能涉及多个部门、若干附属机构和分散在不同地区的成本中心，数据库应当能反映这种层次结构，并能将风险管理数据分离开来以反映这种多变性。（6）风险控制数据。为了补充数据库中其他部分的数据，风险控制数据应当包括有助于评价企业防损工作质量和估计由此带来效益的信息。对这样的评估，数据库很可能包括了行业范围内的各种事故发生的频率和严重程度的统计信息，以及关于操作安全、产品安全和环境保护方面的信息。为了估计风险控制的财务效益，数据库应当包括有关员工福利计划、财产成本、汽车维修成本及医疗保健费用。这些成本费用信息可以用来证明防止事故和索赔所带来的效益。2、软件大部分风险管理信息系统的应用程序都要求具有以下软件：数据库管理软件，用来增加、修改企业数据库的数据；分析软件，执行统计、分析功能；通信软件，在计算机之间或企业之间进行信息传输。风险管理信息系统所需软件，部分可以直接购买，大部分的软件功能还需要自行开发与集成。3、硬件硬件是指计算机化的风险管理信息系统物理设备，即计算机本身。硬件的选择主要取决于用户的需要，硬件所要求的两个重要特性是可靠性和可扩展性。一般来说，风险管理信息系统要求的数据库越大，则要求功能越强的计算机。另外，工作站的数量也是选择计算机时应考虑的，在过去常见的做法是几个人共享一个计算机终端，但现在倾向于每个用户一个终端。4、网络企业信息化的运行平台是局域网，大多采用客户服务器结构，随着技术发展，越来越多的企业开始以Intranet为平台，采用浏览器服务器结构。5、人事风险管理信息系统中人是最重要的，人提供和解释数据，设计、组建、安排并维修硬件。由人来操作风险管理信息系统；由人使用风险管理信息系统的信息来支持其决策。人员同时也是风险管理信息系统中成本最高的一部分，其费用由人员工资及一些附加费用组成。操作一个风险管理信息系统所需的人数取决于系统的大小和需求。有些风险管理信息系统要求有一组专家，包括计算机程序员、分析员、软硬件专家；而有些系统，特别是使用现成软件，并且终端很少的系统，也许只需一两个系统辅助人员。此外，如果用户懂得一些计算机知识，则对附加人员的需求量将减少。十、 管理信息系统的基本概念简单地说，管理信息系统就是管理一些信息的一个系统，它可以是一个很大的系统，也可以是一个很简单的系统。一个企业制定目标之后，接着就是一连串的决策，而决策来自于管理者，管理者依靠信息的收集来决策。在传统概念里，管理者收集信息的效率太低，而现在因为电子信息时代的来临，许许多多重复性的工作都交给了计算机处理，进而加强了效率。渐渐地，管理信息系统发展起来，它可以使管理者更有效率地得知一切最新、最正确的信息，以快速作出决策。现在大多数企业都已经接受管理信息系统的概念，至于用在什么地方，就需要视企业的需求和创新情况来定。十一、 损失频率的估计通过对大量资料的统计分析，可以估算损失次数和损失幅度的概率，并建立一定形式的概率分布。常见的方法有两种：根据经验损失资料建立损失概率分布表；应用理论概率建立损失概率分布表。根据经验损失资料建立损失概率分布表。利用经验损失资料构造概率分布的首要任务是使收集的资料足够多，并且具有相当的可靠性。当企业自身缺乏经验数据时，可以利用来自保险公司、同业公会、统计部门等的经验数据作补充。风险管理人员应该系统地、连续地收集相关的经验损失资料，包括风险单位的特性和数量、事故发生的日期、造成事故损失的原因、每次损失金额、每次损失事故涉及的风险单位等数据。当风险管理人员掌握了大量在相同条件下风险单位发生的损失资料后，可以通过统计整理和分析，获得经验损失概率分布，并以此预测未来发生的损失情况。根据“大数法则”随着观察样本量的不断增加，实际观察结果与客观存在的结果之间的差异将逐渐减小，估计精度不断提高。应用理论概率建立损失概率分布表。在风险管理实践中，通常没有足够多的观察资料来建立损失概率分布，但是可以从中发现某些类型的损失结果呈现出某些统计规律。比如，损失事故发生的次数可以视为离散型随机变量，其概率分布服从二项分布或泊松分布，损失金额是连续型随机变量，其概率分布通常服从正态分布或对数正态分布等。由此，利用经验数据来拟合模型的待定参数后，就可以得到损失概率分布表，进而预测未来一定时期内的损失情况。在衡量损失频率时，需要考虑三项因素：风险单位数、损失形态、损失事件（或原因）。这三项因素的不同组合，会使风险损失频率的大小不同。下面举例说明风险单位数，损失形态、损失事件不同组合下的损失频率估计。（1）一个风险单位遭受单一事件所致单一损失形态的损失频率。如果某一事件发生，另一事件不可能发生，这两个事件是相互排斥事件。（2）一个风险单位遭受多种事件所致单一形态的损失频率。如果两种或多种事件能在同一时期内发生，那么这些结果共同发生的概率就需要计算得到。（3）一个风险单位遭受单一事件所致多种损失形态的损失频率。（4）多个风险单位遭受单一事件所致单一形态的损失频率。多个风险单位遭受单一事件所致损失的概率取决于这些风险单位是否独立。如果两个风险单位具有这样的特性，其中一个风险单位遭受事件的损失，不会影响另一个风险单位损失的概率，则称这两个风险单位是相互独立的。如果两个风险单位是相关的，可以用条件概率来计算事故发生的概率。两个风险单位A、B都发生损失的概率是两个概率的乘积：A风险单位发生的概率；在A风险单位发生事故的情况下，B风险单位发生的条件概率。在A风险单位发生的条件下，B风险单位发生的概率，称为A风险单位对B风险单位的条件概率。如果两个风险单位不相互独立，那么，计算多风险单位遭受一个风险事件的损失概率，就需要考虑条件概率。根据相关性风险单位的计算，可以得出以下几方面的结论。条件概率越大，风险单位的相关性越强。一个风险单位发生事故，另一个风险单位不发生事故的概率越小。如果两个风险单位完全相关，则一个风险单位发生事故，就意味着另一个风险单位发生事故。条件概率越大，风险单位都发生风险事故的概率越大。（5）多个风险单位遭受多种损失事件所致多种损失形态的损失频率。例如，某企业仓库，要估计这6座仓库遭受火灾、爆炸、台风等损失事件所致财产损失、责任损失和人身伤亡的损失频率。十二、 损失程度的估计风险损失程度是指风险事故可能造成的损失值，即风险价值。在衡量风险损失程度时，除了需要考虑风险单位的内部机构、用途、消防设施等以外，还需要考虑以下几方面的因素：损失形态、损失频率、损失金额和损失的时间。（一）同一原因所致各种形态的损失同一原因导致的多形态的损失，不仅要考虑风险事件所致的直接损失，而且还要考虑风险事件引起的其他相关的间接损失。一般来说，间接损失比直接损失更严重。例如，尽管汽车碰撞发生的次数大于因碰撞所致的潜在损失，但是因责任诉讼所致的责任损失往往大于汽车因碰撞所致的损失，因此，一般来说，汽车责任风险的所致损失大于财产损失风险。（二）单一风险事件所涉及的损失单位数单一风险事件所引起损失的单位越多，其损失就越严重，损失程度和风险单位数大多呈正相关关系。（三）损失的时间一般来说，风险事件发生的时间越长，损失频率越大，损失的程度也就越大。估计损失程度不仅要考虑损失的金额，还要考虑损失的时间价值。（四）损失金额一般情况下，损失金额直接显示损失程度的