网络安全设备项目风险管理评估.docx

泓域/网络安全设备项目风险管理评估网络安全设备项目风险管理评估xxx有限责任公司目录一、 风险成本的影响3二、 风险管理的目标3三、 风险成本的构成8四、 风险成本之间的替代12五、 基本风险与特定风险13六、 纯粹风险与投机风险15七、 考察风险的角度18八、 不确定的水平与风险19九、 风险管理的程序23十、 风险管理的组织28十一、 利用远期合约进行套期保值29十二、 期货风险的特征30十三、 利用互换进行风险管理32十四、 公司简介34十五、 项目基本情况35十六、 投资计划方案40建设投资估算表41建设期利息估算表42流动资金估算表44总投资及构成一览表45项目投资计划与资金筹措一览表46十七、 经济效益47营业收入、税金及附加和增值税估算表48综合总成本费用估算表49利润及利润分配表51项目投资现金流量表53借款还本付息计划表55一、 风险成本的影响风险对企业价值的影响体现在风险成本对公司未来期望净现金流及其变动的影响上。我们再来看前面割草机的例子。由于责任风险的存在，公司不管怎么做都会面临风险成本。首先，保险费、其他损失融资成本、损失控制成本、内部风险抑制成本和风险管理部门费用都会增加公司未来预期的现金流出。一方面，这些风险成本中的绝大部分，甚至是所有的因素都可能使得割草机公司提高这种新产品的价格，而价格的提高势必导致需求减少。另一方面，在一定的价格水平下，伤害风险可能会使得商店里的销售员不那么热心地向消费者推荐这一产品，这又会减少公司未来预期的现金流入。两方面的结果使公司未来净现金流减少，企业价值降低。其次，残余不确定性导致了公司未来净现金流的变动，这也同样降低了企业价值。二、 风险管理的目标1.营利公司的总体目标对于营利公司来说，我们已经通过实例说明了，风险会减少企业价值，那么，对风险进行管理就是要尽量减缓这种减少。事实上，企业价值是企业管理中一个核心的问题，当今财务理论的基本理念就是“价值最大化”，风险管理的目标和企业目标是一致的，也是要使得企业价值最大化。如果将风险成本定义为企业价值的减少，则风险成本最小化和企业价值最大化就是等价的。风险管理通过使得风险成本最小化来实现企业价值最大化，我们将风险成本最小化看做是营利公司风险管理的总体目标。具体地，它通过对以下两个方面的影响而实现：（1）净现金流的期望值风险管理措施要增加公司未来预期现金流入及减少公司未来预期现金流出，使之达到一个平衡点。（2）未来净现金流的变动风险管理者应在边际成本等于边际收益的条件下控制未来净现金流的变动，而降低未来净现金流变动的收益常以股东要求得到的风险补偿来体现，因为在期望净现金流定的情况下，由于未来净现金流的波动而引起的公司股票价格的下跌使得投资者在购买股票时要求得到更高的期望投资回报。由于风险成本之间的替代作用，这两方面又不是独立的，二者之间也存在一个平衡。2.非营利公司和政府机构的目标对于营利公司来说，其价值最大化的目标源于营利公司的股东要求企业价值最大化，而非营利公司和政府机构不存在股东，它们的风险管理目标是什么呢？虽然它们没有股东，但并不意味着其运作就没有约束，非营利公司有来自捐款者的约束，政府有来自纳税人的约束，它们要向这些委托人提供价值最大化的产品或服务。0如果将风险成本看做非营利公司和政府由于风险而导致的行为价值的减少，那么它们的风险管理目标就是实现这些委托人的风险成本最小化。在这个总体目标下，非营利公司在日常决策中的一些准则可能会和营利公司有所不同。例如，非营利公司会更看重巨大损失对客户造成的负面作用，因此，对于巨额损失的管理可能就会付出更多的成本。又如，政府通过贷款或税收筹措资金的能力显然比营利公司强，因此，在选择损失融资措施时就可以得出不同的结果。再有，非营利公司和政府机构一般不缴纳收入所得税，这也会对决策的具体选择产生影响。3.个人和社会的目标个人的追求是基于自身效用函数的个人财富最大化，而在前面个人面临交通风险的例子中我们看到，风险的成本减少了个人财富，因此，如果把风险成本定义为由于风险而造成的个人财富的减少，那么个人风险管理的目标也是风险成本最小化。所谓社会的风险，也就是个人风险和企业风险的总和。综合起来看，当所有的个人和企业所采取的损失控制、损失融资和内部风险抑制等手段的边际成本等于社会总期望损失成本、残余不确定性成本以及无形成本2的边际减少时，就达到了一种有效风险水平，此时能够实现全社会总风险水平最小化，这就是社会风险管理的目标。4.企业目标和社会目标之间的冲突前面我们说明了企业风险管理和社会风险管理的目标，我们当然希望企业在进行风，险管理的过程中，也会同时达到社会风险管理的目标。那么，这二者的目标是一致的吗？也就是说，企业实现了风险成本最小化的同时是否也实现了社会风险成本最小化？这里所谈论的风险管理的风险成本最小化的目标，实际上是价值最大化这个目标的实现方式，只不过强调风险成本最小化比强调价值最大化更具体、更形象。上面这个问题的关键之处就在于，企业风险管理的目标是为了实现股东的价值最大化，而社会风险管理的目标是社会全体成员的一个平衡的价值最大化。企业只有当股东价值受到威胁时，才有动机进行风险管理，例如，如果公司的员工明显感觉到要面对安全隐患，那么公司为了吸引雇员就必须支付更高的薪水，这时公司就会有动机改进安全条件，从而节省薪水方面的支出，同时还可以节省由于伤害的发生而必须支付的法律赔偿。但股东的价值和公司其他主要利益人的价值并不总是一致的，甚至是背道而驰。因此，一个健全的社会制度会对企业有所规范，使得那些企业价值和社会价值冲突的方面会在规范下达到一定的平衡，换句话说，这些规范使得企业在进行决策时，不仅考虑私人成本，而且还要考虑社会成本。当私人成本和社会成本相等时，企业风险最小化的风险管理决策就能同时实现社会总风险成本最小化。什么时候私人成本低于社会成本呢？为了简要说明这一点，我们可以举一个例子。假定一个社会不存在员工赔偿法，也没有法律责任体系可以使员工在遭受了公司伤害后要求赔偿，同时，个人又低估了伤害风险，那么，员工伤害对于企业来说就不是风险，以股东价值最大化为运作目标的企业可能就不会考虑这一未来的不确定事件可能对员工造成的伤害，这就可能使得员工在岗位上受到伤害的风险大大增加。这种情况就是私人成本和社会成本不相等造成的。如果一个社会中存在必要的法规可以保证私人成本基本上和社会成本相等，那么使企业价值最大化的决策就会有助于实现社会总风险成本最小化的目标。三、 风险成本的构成风险成本可以分为有形成本和无形成本。1.有形成本有形成本指的是管理风险所花费的经济资源，包括：（1）期望损失成本企业所面临的一类主要风险就是纯粹风险，而将纯粹风险中的一些可保风险进行投保是风险管理中的常见做法，保险费中的纯保费部分就是期望损失成本，包括直接损失和间接损失的期望成本。我们在第一章中已经讨论过，企业纯粹风险导致的直接损失包括对损毁财产进行修理或重置的成本，对遭受伤害的员工进行赔偿的成本，对法律诉讼进行辩护和赔偿的成本以及雇员死亡、生病的福利费用支付。间接损失包括由于直接损失使得生产缩减或中断从而导致的正常利润的减少和额外费用的增多，当损失较大时带来的更高融资成本、放弃的投资机会以及损失巨大时与公司重组和破产清算有关的法律费用和其他成本。在前文所述的割草机公司的例子中，直接损失的期望成本包括法律责任诉讼的辩护和赔偿成本。该例子的间接损失的期望成本包括：由于法律责任问题导致销售减少而带来的利润损失的期望成本；由于对产品进行回收而带来的期望成本；如果发生了巨大的责任损失，使得公司内部资金紧张并增加了公司借债或发行新股的成本，以及由此使得公司放弃了一些投资机会而导致的利润损失的期望成本。对于投机风险，期望损失成本主要指间接损失成本，如上文的在生产中需要使用石油的制造商的例子。（2）损失融资成本损失融资成本是指损失融资措施的交易成本，包括专用基金和自保成本、保险费中的附加保费以及套期保值和其他合约化风险转移手段的交易成本。我们在第十二章将会详细讨论，风险自留时资金的来源渠道包括将损失摊入营业成本、专用基金、自保、应急贷款和特别贷款，其中，专用基金和自保都是事先提留资金备付，而其他三种方式都是待损失发生后再筹措资金，因此，这里的损失融资成本中只包括专用基金和自保的成本。专用基金和自保成本是指这些资金中扣除期望损失成本之外的部分，投资于这些资金而需要支付的税费及为了维持这些资金而使公司无法对其他项目进行投资而造成的机会成本。套期保值和其他合约化风险转移手段的成本指的是这些交易的合同在拟定、协商和实施过程中的交易成本。这一项成本中不包括风险自留中的将损失摊人营业成本、应急贷款和特别贷款，是因为这些措施的成本在风险损失发生前无法确定，我们将之归为第（5）类。（3）损失控制成本管理风险的积极的做法之一就是事先采取各种措施预防和控制风险损失，与此相关的成本称为损失控制成本，如事先购置用于预防和减损的设备以及对各种风险因素定期检测等，以及其维护费、咨询费等，具体包括计划费用、资本支出和折旧费、安全人员费（培训费、薪金、津贴、服装费等）以及增加的机会成本。对上述生产割草机的公司来说，在正式生产该产品前进行的安全测试成本就是一种损失控制成本。（4）内部风险抑制成本除自留以外的其他损失融资措施和某些类型的损失控制措施都可以降低损失的不确定性，即使得损失成本更易预见，而内部风险抑制的措施，即分散化和信息投资也同样具有这样的效果。内部风险抑制成本包括分散化的交易成本及管理这些分散行为相关的成本、对数据等信息进行收集和分析的成本。（5）残余不确定性成本实施了保险、套期保值、其他合约化风险转移合同、损失控制以及内部风险抑制措施之后，损失的不确定性通常并不能完全消除，也就是说，还可能发生这些措施没有覆盖的风险损失，这些风险损失的成本被公司主动或被动地进行了自留，我们将其称为残余不确定性成本。对风险规避型的个人和投资者来说，不确定性带来的损失往往是代价很高的，例如，它会影响投资者在购买公司股票时要求得到的回报数额。（6）风险管理部门费用风险管理部门的支出主要指人员薪资与行政费用。2.无形成本风险成本中的无形成本主要指由于不确定性的存在，使得风险管理人员或企业决策者对此忧虑，如生产成本价格的波动会使得制造商深感忧虑，当然，忧虑的程度取决于多种因素，如不确定性的程度、潜在损失的大小、人们对损失的承受能力以及有关的心理因素。这种忧虑容易造成公司资源分配不当。首先，企业可能会放弃一些本来非常愿意从事的活动，例如，某一产品虽然有较丰厚的利润和广阔的市场，但企业考虑到潜在的责任风险而不生产，这可能导致一些资源的浪费。其次，对于一些带有风险的活动，企业可能会减少从事的程度。最后，这种忧虑还可能造成一些投资的短期化行为。四、 风险成本之间的替代风险成本的各组成部分之间存在着一定的替代关系，此消彼长。1.期望损失成本和损失控制成本之间的替代期望损失成本和损失控制成本之间可以互相替代。在割草机公司的例子中，投入更多的资金研制一种安全性更高的割草机可以使得责任诉讼的期望成本降低。当我们暂不考虑损失控制对风险成本的其他组成部分的影响时，损失控制方面投入资金的最佳数量就是使得其边际成本与边际收益（指更低的期望损失成本）相等时的数量，这样会使得风险成本最小化。读者稍后将会看到，风险成本最小化就是风险管理的目标。由于风险管理的目标是风险成本最小化，因此，将损失风险完全降为零的风险控制措施并不是最佳的选择，也就是说，实现风险成本最小化时的损失控制通常并不能使得风险最小化。这主要是因为，要把损失发生的可能性降到零的代价是非常昂贵的，当损失控制超过一定的程度后，在损失控制方面增加的成本会超过期望损失减少的部分，即边际成本超过了边际收益。这时，损失控制方面增加的成本反而会增加风险成本。所以，通常将损失风险降为零，对于企业和社会而言并不会达到风险成本最小化的目的。人们常常更愿意冒一定的伤害风险，也不愿意为降低风险而花更多的钱。2.损失融资的成本和内部风险抑制的成本与间接损失的期望成本之间的替代如果在包括保险在内的损失融资措施和内部风险抑制方面增加支出，那么就会减少公司现金流的变动，这样，企业发生破产的可能性以及由于发生了巨额的未保险损失而放弃回报丰厚的投资机会的可能性就都会随之降低，这就相当于降低了间接损失的期望成本。这一点，对于我们以后理解保险的作用非常关键。3.损失融资的成本和内部风险抑制的成本与残余不确定性成本之间的替代这种替代关系是很明显的，如企业增加了用于保额更高的保险的支出，则残余不确定性就会降低，未来也变得更加好预测。五、 基本风险与特定风险按照风险的起源以及影响范围不同，风险可以分为基本风险与特定风险。1.基本风险基本风险是由非个人的，或至少是个人往往不能阻止的因素所引起的、损失通常波及很大范围的风险。这种风险事故一旦发生，任何特定的社会个体都很难在较短的时间内阻止其蔓延。例如与社会、政治有关的战争、失业、罢工等，以及地震、洪水等自然灾害都属于基本风险。基本风险不仅仅影响一个群体或一个团体，而且影响到很大的一组人群，甚至整个人类社会。由于基本风险主要不在个人的控制之下，又由于在大多数情况下它们并不是由某个特定个人的过错所造成的，个人也无法有效分散这些风险，因此，应当由社会而不是个人来应付它们，这就产生了社会保险。例如在美国，洪水风险就是由联邦紧急事务管理局制定出一系列措施进行风险管理。此外，社会保险所覆盖的风险也包括那些私营保险市场不能提供充分保障的风险，它被视作是对市场失灵的一种补救，同时也表现出社会对于促进公平以及保护弱势人群利益的愿望。例如，失业风险一般就不由商业保险公司进行保险，而是由社会保险计划负责，又如伤残、健康、退休等保障也是由社会保险来负担。2.特定风险特定风险是指由特定的社会个体所引起的，通常是由某些个人或者某些家庭来承担损失的风险。例如，由于火灾、爆炸、盗窃等所引起的财产损失的风险，对他人财产损失和身体伤害所负法律责任的风险等，都属于特定风险。特定风险通常被认为是由个人引起的，在个人的责任范围内，因此，它们的管理也主要由个人来完成，如通过保险、损失防范和其他工具来应付这一类风险。基本风险和特定风险的界定也不是一成不变的，它随着时代和观念的不同而不同。如失业在过去被认为是特定风险，是由于个人懒惰或无能的缘故造成的，而现在则认为失业主要是整个经济结构方面的问题造成的，属于基本风险。六、 纯粹风险与投机风险按照风险所导致的后果不同，可以将风险分为纯粹风险与投机风险。1.纯粹风险纯粹风险是指只有损失机会而无获利机会的风险。纯粹风险导致的后果只有两种：或者损失，或者无损失，没有获利的可能性。火灾、疾病、死亡等都是纯粹风险。又如，一个人买了一辆汽车，他立即就会面临一些风险，如汽车碰撞、丢失等。对这个车主来说，结果只可能有两种：或者发生损失，或者没有损失，因此，他面临的这些风险都属于纯粹风险。2.投机风险投机风险是指那些既存在损失可能性，也存在获利可能性的风险，它所导致的结果有三种可能：损失、无损失也无获利、获利。股票是说明投机风险的一个很好的例子。人们购买股票以后，必然面临三种可能的结果：股票的价格下跌，持股人遭受损失2；股票价格不变，持股人无损失但也不获利；股票价格上涨，持股人获利。又如生产商所面临的其生产所用原材料的价格风险，当原材料市场价格上涨时，生产商的生产成本增大，这是一种损失；而当原材料市场价格下跌时，生产商的生产成本减小，则其盈利就会增大；而当原材料市场价格不变时，生产商无损失也无获利。3.二者在风险管理方面的比较对纯粹风险和投机风险做出区分是非常重要的，因为二者在很多方面都有所不同，这就使得适用的风险管理措施也有所区别。首先，如果要控制风险，则很多纯粹风险可以通过采取一定的措施来影响产生这些风险的原因，从而达到降低风险的目的。例如，一个工厂面临火灾风险，它可以采取安装烟火报警器、自动喷淋系统、防火卷帘等设备以及加强职工防火灭火培训等措施降低火灾发生的可能性及损失幅度。而大多数投机风险则不具备这样的性质。例如一个公司面临汇率风险，对于造成汇率波动的经济因素，一个公司是根本无法控制的。面对这类投机风险，风险承受体（即承担风险的组织或个人）可以从提高自身的风险承受能力或回避风险等角度来降低风险。其次，如果要想在损失发生后获得补偿，则大多数纯粹风险都可以选择保险来管理。2这些可以通过保险来转移的风险称为可保风险，它们的损失概率和损失幅度能够比较容易地用大数定律估算出，大数定律是保险公司预估损失以及厘定费率时的一个重要的理论基础。另外，某个被保险人发生损失时，其他的被保险人不会同时都遭受这种损失，这样就可以通过商业保险公司的保险来进行损失的分摊。而绝大多数投机风险事故的发生变化无常，很难应用大数定律预测未来损失，当某个市场因素，如利率发生变动时，可能有一大批企业会受到负面影响，这些都不符合传统保险运作原理的要求，不是传统保险业务经营的对象，这就必须要寻找其他的应付措施。如价格风险就通常使用金融衍生合约来管理，由于价格风险在给一些风险承担者带来损失的同时，可能使另一些风险承担者获益，因此和保险的损失分摊不同，金融衍生合约的原理是将可能遭受损失一方的损失风险转移给可能获取收益的一方。最后，从损失的角度来说，纯粹风险所造成的损失与投机风险不同，它是社会财富和人身的净损失。如2008年中国汉川大地震造成超过8451亿元的直接经济损失，又如2011年日本“311”震灾的直接经济损失高达16.9万亿日元，是1995年阪神大地震的损失的1.8倍。除了这些直接损失以外，纯粹风险还会造成大量的间接损失，如税收减少、社会福利费减少、价格波动、人们实际生活水平降低等。而投机风险发生后，一部分人遭受了损失，另一部分人却可能从中获利。实际上风险事故并没有改变社会财富的总量，没有产生净损失，只是将社会财富在一定范围和程度上进行了重新分配。因此，从整个社会的角度来说，对一些纯粹风险采取损失控制的做法比进行风险融资要积极。例如水灾风险，即便是有了成熟的水灾保险，如果只是保险，没有一系列相应的损失控制的做法，对于风险承担者个体来说水灾风险可能就降低了，但整个地区甚至国家的水灾风险并没有降低。这里值得一提的是，美国的“国家洪水保险计划”之所以比较成功，就是因为它将保险和损失控制有机地结合在一起，达到了降低全社会水灾总损失的目的。七、 考察风险的角度风险可以从三个角度来考察。首先，风险与人们活动的目标有关。人们从事某项活动，总是在事先有一个预期的目标，希望达到某种目的。如果人们对于这一目标的实现没有十分的把握，存在偏离目标的可能，那么，人们就会认为该项活动有风险。其次，风险同行动方案的选择有关。对于一项活动，总是有多种行动方案可供选择，应该采取哪种方案才能不受或少受损失？如果这项活动既可能造成损失，也可能带来收益，那么哪种方案才能既减少损失，又保证收益？不同的行动方案，风险是不同的。最后，风险与世界的未来变化有关。当客观环境或者人们的思想发生变化时，活动的结果也会发生变化。如果世界永恒不变，人们也不会有风险的概念。八、 不确定的水平与风险风险总是用在这样的一些场合，即未来将要发生的结果是不确定的。我们在解释风，险时，很多时候会用到不确定这个词。但不确定并不等同于风险。为了满足风险测度的需要，有必要将不确定与风险加以区分。不确定与确定是特定时间下的概念。在韦伯斯特新词典中，“确定”的一个解释是“一种没有怀疑的状态”，而确定的反义词“不确定”也就成为“怀疑自己对当前行为所造成的将来结果的预测能力”。因此，不确定这一术语，描述的是一种心理状态，它是存在于客观事物与人们的认识之间的一种差距，反映了人们由于难以预测未来活动和事件的后果而产生的怀疑态度。有的时候，一项活动虽然有多种可能的结果，人们由于无法掌握活动的全部信息，因此事先不能确切预知最终会产生哪一种结果，但可以知道每一种结果出现的概率。另外一些时候，人们可能连这些概率都不能估计出来，甚至未来会出现哪些结果都不可知。这些都是不确定的情况。一项活动的结果的不确定程度，一方面和这项活动本身的性质有关，另一方面，也是很主要的一个方面，是和人们对这项活动的认知有关的。在不确定的这三个水平中，第1级是不确定的最低水平，这一层次的不确定只是指不能确定究竟哪一种结果会发生，但未来有哪些结果以及每种结果发生的概率是确定的，所以通常也被称为“客观不确定”。客观不确定是自然界本身所具有的、一种统计意义上的不确定，是由大量的历史经历或试验所揭示出的一种性质，它是指那些有明确的定义，但不一定出现的事件中所包含的不确定性。例如投币试验就是一个典型的客观不确定的例子。我们无法确定未来一次投币的结果是正面还是反面，但有一点是肯定的，即其正反面出现的概率皆为0.5。由此可知，客观不确定不是由于人们对事件不了解，而是由于事件结果所固有的狭义的不唯一所造成的，即虽然结果是正还是反不能唯一确定，但结果的概率分布唯一确定。概率论是处理客观不确定的主要工具。第2级不确定的程度更高一些，对于这一级的活动，虽然知道未来会有哪些结果，但事先既不知道未来哪种结果会发生，也不清楚每种结果发生的概率，即这是一种广义的结果不唯一。这种不确定是由于我们对系统的动态发展机制缺乏深刻的认识。这一类活动要么是发生的可能性很小，目前还没有足够的数据和信息判断各种结果出现的概率，例如核事故；要么是影响最终结果的因素很多，事先无法判断，例如一个司机在行驶的过程中可能遭遇车祸，他可以判断车祸造成的结果，但一般情况下很难准确估计卷入到一场车祸中的可能性以及不同损失程度的可能性，除非事先能够掌握车辆行驶的地形、行驶的时间、路况、司机以及其他驾驶员的行驶习惯、车辆的性能、保养程度和维修费用等信息。由于在这一级中，结果发生的概率的不确定主要是由于人们没有足够的信息来进行判断，进而带有一定主观猜测的成分，因此也称为“主观不确定”。第3级的不确定程度最高，早期的太空探险等活动都属于这种类型。理论上来说，随着历史资料与信息的逐渐增多，高级别的不确定可以转化为低级别，的不确定。不确定是存在于客观事物与人们的认识之间的一种差距，有关活动的信息掌握得越充分，人们对此活动的认识越充分，不确定的程度就越小。例如随着时间的推移，如果得到了足够的核事故数据，就可以判断除去人为破坏或疏忽因素之外的核事故的发生概率。风险中的不确定指的是第1级和第2级的不确定，而第3级的不确定严格来说已不是风险管理的范畴。但在实践中，人们有时也会将第3级不确定事件的结果划分为几类，从而将其简化为第2级的不确定事件加以处理。例如，多种形式的责任风险属于第3级的不确定，暴露于责任风险的结果取决于法律环境的进一步完善，法律环境包括决定个体或组织是否承担责任和承担多少责任的法律条款。然而保险商一般会对他们承担的责任数量进行限制，至少确定为两个结果（最小和最大的损失），这些限制就使得保险商所面临的不确定由第3级降到了第2级。风险的不确定主要来源于以下几方面：（1）与客观过程本身的不确定有关的客观的不确定；（2）由于所选择的为了准确反映系统真实物理行为的模拟模型只是原型的一个，造成了模型的不确定；（3）不能精确量化模型输入参数而导致的参数的不确定；（4）数据的不确定，包括测量误差、数据的不一致性和不均匀性，数据处理和转换误差，由于时间和空间限制数据样本缺乏足够的代表性等。这些不确定的来源分别涉及风险识别、风险分析、风险评价和风险管理措施的选择，它们贯穿了风险管理的始终。九、 风险管理的程序无论是个人、企业还是政府机构，风险管理的程序都是大致相同的，这一过程可以分为如下五个步骤。1.制订风险管理计划制订合理的风险管理计划是风险管理的第一步。它主要包括：（1）明确风险管理的目标风险管理的成功与否很大程度上取决于是否预先有一个明确的目标。因此，组织在一开始就要权衡风险与收益，表明对风险的态度。（2）确定风险管理人员的责任以及与其他部门的合作关系在实践中，风险管理计划常通过风险管理策略书来表达。从上面这两张表可以看出，企业和政府在某些风险管理策略方面有共同之处，但目标就有非常显著的差异了。通用压榨机公司是一家公众持股的公司，其经营目标是股东财富最大化，而明尼苏达州州政府的目标就比较难概括，包括提供社会安全和基础设施、管理商业活动、保护个人合法权利、执行法律等。2.风险识别风险识别就是识别出公司所面临风险的类别、形成原因及其影响。这一过程的重点，包括：（1）将公司人员和资产的构成与分布进行全面总结和归类风险识别的方法有很多，但首先都要了解公司的人员和资产的情况，这有助于全面地掌握风险。（2）对人和物所面临的风险进行识别与判断这一步是风险识别的核心，实践中可以按照业务流程的顺序进行分析，也可以按照风险承受对象逐一排查，我们将在第五章介绍一些不同的风险识别方法。（3）分析损失原因（4）对后果与损失形态进行归类与分析得出“可能面临风险”这样的结论并不意味着风险识别工作就完成了，接下来还要分析风险的影响，是人员损失、财务损失、营业费用损失还是责任损失。当然，在实践中，这一步经常是和上面一步结合在一起的。风险识别是风险管理的基础。有未来就有风险，而且未来的风险不仅有过去曾经面临的这些类型，还可能会面临新的风险，因此，风险识别是一项制度性、系统性的持续工作，它是风险管理成功的关键。3.风险分析与评价风险评估是指在风险识别的基础上，估算损失发生的概率和损失幅度，并依据个人的风险态度和风险承受能力，对风险的相对重要性以及缓急程度进行分析。风险评估既有定性分析的内容，也有定量的分析，它需要一定的专业技术知识，如风险估算中概率统计的应用。风险估算是一项极其复杂和困难的工作，尤其是对于那些发生概率低且损失巨大的风险，如核风险，由于缺乏足够的历史数据，很难应用传统的统计方法进行评估，必须探索新的途径。得到风险估算的结果以后，公司还要根据自身的风险承受能力对风险给出一个主观的认识。对同样一个风险，不同的承担者对它的感知可能是不同的。4.风险管理措施的选择根据风险评估的结果，本着增加股东企业价值的目的，公司要设计并选择恰当的风险管理措施。（1）控制型风险管理措施控制型措施通过避免、消除和减少意外事故发生的机会以及控制损失幅度来减少期望损失成本。主要的控制型风险管理措施包括风险规避、损失控制和控制型风险转移。（2）融资型风险管理措施融资型措施的着眼点在于获得损失一旦发生后用于弥补损失的资金，其核心在于将消除和减少风险的成本分摊在一定时期内，以避免因随机的巨大损失发生而引起财务上的波动。其中，风险自留是将风险的影响在公司内部的财务上分摊，而保险、套期保值和其他合约化风险转移手段更多的是将风险转移给他方。（3）内部风险抑制控制型措施和融资型措施都是从降低期望损失的角度来改变风险的，而内部风险抑制的作用在于降低未来结果的变动，即降低方差，这使得风险管理者对未来的判断更有把握。在实践中，通常将各种风险管理措施进行一定的优化组合，使得在成本最小的情况下达到最佳的风险管理效果。我们将在后面的章节中详细讨论这些措施的选择标准。5.措施的实施与效果评价在执行风险管理决策的过程中，风险管理人员一般对风险管理措施有执行权限，而对管理方面只有参谋权限。例如，当需要投保时，风险管理人员可以选择保险人，设定适当的保险责任限额和免赔额，并就投保事项与保险人商谈。又如，如果决定对所面临的火灾风险选择损失控制的措施，则风险管理人员就要确定是安装自动喷淋装置，还是安装烟雾报警器，但对于这些装置，风险管理人员就不能直接命令工人在什么时候安装和怎样安装，这是其他部门经理的执行权限。措施实施后并不等于风险管理就告一段落，还必须对其实施的效果进行评价。评价的目的主要有两个：一是考察是否达到预先设定的标准，二是适应新的变化。首先，预先设定的标准包括行动标准和结果标准。行动标准是指围绕风险管理所开展的一些活动的标准，如每个月召开一次汇报会，每年检查一次消防系统等；结果标准是指所要达到的风险程度，如员工受伤的机会由5%降到2%。对预定标准进行考察的原因包括：有时先前所做的风险管理决策是错误的，一些措施在执行中可能存在很大的困难等。其次，当前最佳的风险管理决策，并不见得以后也是最佳，原因主要有：首先，风险是不断变化的，人们对风险的认识水平具有一定的阶段性；其次，风险管理技术处于不断完善的过程中；最后，服务于企业经营目标的风险管理目标可能会随着整体目标阶段性的变化和调整而发生变化。因此，要对风险识别、风险评估以及风险管理措施的适用性和收益性进行定期检查，及时了解过去一段时间的工作绩效，发现执行中的困难及新的风险，进而调整既定的决策以适应新环境，是相当重要而且必要的。也就是说，整个风险管理工作并不是直线型的，而是上述步骤周而复始的循环。十、 风险管理的组织不同的公司中，由什么部门负责风险管理以及风险管理人员的责任，可能是不同的，这取决于高层管理者对风险管理的认识及需求。风险管理部通常设有战略组和监控组。战略组的职责是制定公司的风险管理政策、风险管理制度、风险度量模型和标准等，及时修订有关办法或调整风险管理策略，并且指导业务人员的日常风险管理工作。监控组的职能是贯彻风险管理战略，具体包括三个方面：第一，根据战略组制定的风险度量模型进行风险的衡量、评估，持续检测风险的动态变化，并及时、全面地向战略组汇报风险状况；第二，监督业务部门的操作流程，促使各部门严格遵循风险管理程序；第三，审核和评价各业务部门实施的风险管理措施，评估各业务部门的风险管理业绩。虽然风险管理主要是由风险管理部来完成的，但由于产生损失的原因多种多样，因此理论上来说，风险管理的整个过程不可能由风险管理部独立完成，而是和公司的其他主要部门一起完成的，包括人力资源部、生产操作部门、市场营销部门以及财务部门等。风险经理也很可能介入一个公司很多方面的活动，例如为雇员建立养老基金和医疗保险，调查影响收购兼并和公司收益的风险因素，购买保险以转移一些类型的风险。十一、 利用远期合约进行套期保值利用远期进行风险转移的原理和期货是一样的。远期的出现早于期货。19世纪40年代，芝加哥迅速成为中西部地区的运输和销售中心。农民们将自己种植的农产品运到艺加哥销售，然后再通过铁路和五大湖的水路销往东部地区。但是，由于农作物的季节性，大部分农产品会在夏季末和秋季时运往芝加哥。城市的存储设施无法满足这种临时性的供给增加，因此，在收获季节，农产品价格大幅下跌；而随着供应的减少，价格又会稳步上升。1848年，一群商人成立了芝加哥期货交易所，向解决这一问题迈出了第一步。芝加哥期货交易所成立的最初目的是使农产品的数量和质量标准化。几年后，第一份远期合约诞生。这种合约当时被称为到达合约，它使得农民能够与买方就农产品在未来某一日的交割预先达成价格协定。此后不久，交易所建立了一套管理这种交易的规章和制度。20世纪20年代，清算所成立，期货合约的本质才开始显现出来。远期市场是一个巨大的世界范围的市场。由于交易非常私人化，因此其规模很难准确说清。根据瑞士布鲁塞尔国际清算银行的一份调查，截至1999年年末，估计远期场外市场的面值达170000亿美元。远期合约的双方必须相互协商一致，由于不像场内交易那样有一套完善的保证机制，远期交易的任何一方都需承担对方的信用风险。尽管如此，远期交易仍然具有很多优点：(1)合约条款灵活与场内交易的期货只有标准化的交易单位不同，远期合约的条款能根据交易双方的具体需要灵活拟定。（2）不受监管场外市场是不受监管的，虽然这引起了很多争论，但不受约束的场外市场给予了投资者非常大的投入资金的灵活度，并通过从旧式合约中发展出新的变形品种，使市场能根据需求和环境的变化做出迅速反应。十二、 期货风险的特征利用期货进行套期保值，首先要面临价格风险。这种价格风险来源于期货交易的保证金制度。为了有效防止交易者因市场价格波动而违约，期货交易建立了保证金制度。期货合约的买卖双方都必须向经纪人缴纳保证金，存入其保证金账户以保证履行合约。保证金分为初始保证金和维持保证金。客户开仓时缴纳的保证金称为初始保证金，一般相当于合约价值的5%10%。初始保证金存入后，随着期货价格的变化，期货合约的价格也在变化，这样与市场价格相比，投资者未结清的期货合约就出现了账面盈亏，因而在每个交易日结束后，结算公司将根据当日的结算价格（一般为收盘价），对投资者未结清合约进行重新估价，确定当日的盈亏水平。如果账户余额超过初始保证金，投资者可将超出部分提走，但如果出现亏损，保证金账户余额必须维持在一个最低水平上，这就是维持保证金。它通常为初始保证金的75%。当账户余额低于维持保证金水平，经纪人就会要求客户再存入一笔保证金，使之达到初始保证金，这就是追加保证金。若客户不及时存入追加保证金，则经纪人将予以强行平仓。这种每日结算收益和损失的制度也称为逐日盯市。保证金导致的杠杆作用以及逐日盯市制度使得套期保值者需要一定的资金维持期货仓位，当保值对象的数额比较大时，可能就会因为拿不出巨额的保证金而面临一定的风险。此外，使用期货的套期保值者还会面临基差风险。通过期货交易，使得交易方预先锁定一个价格，完全消除了风险，这样的保值是完美的保值。但实践中，期货市场的损益与现货市场的损益可能不完全吻合，这就导致基差风险。具体地，期货交易的基差指的是现货价格与期货价格的差，在期货交易开始和终止时，如果基差恰好相等，就是完全的套期保值，现货市场的损益和期货市场的损益恰好抵消，反之，则可能有少量的净亏损或净收益。十三、 利用互换进行风险管理互换包括三种基本类型：货币互换、利率互换及货币利率互换。通过互换，可以将自身面临的汇率风险或利率风险转移出去，从而达到风险管理的目的。1.货币互换在货币互换中，互换双方将自己所持有的、以一种货币表示的资产或负债调换成以另一种货币表示的资产或负债。它起源于20世纪70年代发展起来的平行贷款和“背靠背”式贷款。货币互换可能会给交易双方都带来好处，包括：解决市场规模限制的困难，轧平各种货币头寸，充分发挥各自的相对优势以增加收益或降低成本，以及转移外汇风险。由于货币互换的期限通常为57年，有的甚至长达10年以上，因此它常用来转移长期的外汇风险。最初，由银行担任经纪人的角色，将两家需求恰好相对应的公司联系起来。例如，美国的A公司在德国有一投资项目，需借人2亿欧元，如果A公司直接从欧洲欧元市场上筹措2亿欧元，利率高达8%，如果在未来3年内欧元升值，还可能在还本付息中由于汇率风险而遭受损失。另有一个公司B，需要1亿美元，但由于种种原因，它在欧洲欧元市场融资成本更低。这样的两个公司就有互换的基础。接下来，在中介银行的安排下，两个公司进行相应的商洽，安排随后的本金互换与利息互换。银行收取一笔服务费。随着互换的发展，市场发生了一些变化，如果暂时无法找到对应的交易方，银行有时也会充当另一方的角色，从而促成交易。在随后的时间里，银行再寻找合适的交易对手方。这一变化使得互换业务的交易量在20世纪80年代中期出现了爆炸性的增长。2.利率互换一个标准的利率互换是交易