石化化工产品公司企业风险管理报告（参考）.docx

泓域/石化化工产品公司企业风险管理报告石化化工产品公司企业风险管理报告xx集团有限公司目录一、 企业多元化经营的适用条件4二、 风险分散与多元化投资4三、 风险回避适用的情形8四、 风险回避的概念9五、 法人治理结构10六、 培训15七、 运营风险的含义及其主要内容17八、 运营风险的表现及其特征24九、 信息系统风险及其管理25十、 技术创新风险及其管理26十一、 风险价值法（VaR）28十二、 风险度评价法34十三、 评价损失程度的几个概念35十四、 确定风险评价标准需要考虑的因素37十五、 项目基本情况39十六、 公司概况42公司合并资产负债表主要数据42公司合并利润表主要数据42十七、 法人治理结构43十八、 SWOT分析说明59十九、 组织机构及人力资源70劳动定员一览表70一、 企业多元化经营的适用条件企业多种经营的问题主要在于高额的成本，可能只是模仿股东分散其资产的能力。对于私营企业，多种经营通常是合适的，因为业主的大部分资产可能集中于本企业，而没有充分分散化的投资组合。对于公司制企业，股东自己有能力分散风险，从而不愿意授权公司来分散风险。从纯粹风险的角度看，当股东分散风险的难度大于企业分散风险时，企业多元化经营是合适的。这种情况十分少见，除非在某些相对特殊的场合（如在封闭型市场中，某些企业具有特别的经营权），否则投资者可以同样有效地运用这些技巧。然而，现实中往往因为不适当的理由而进行多元化。比如，某些高层经理为了现固自己的职权、提高个人收入、改善自己的职业前景而进行多元化经营。即使理由是合理的，由于实现多元化的效益难度很大而使多元化大为逊色。混业经营、文化冲突、人员流动、促使大家共同合作的难度、控制问题等都是实现多元化的潜在效益的障碍。鉴于许多多元化策略的失败，大量企业进行了重组，将经营重心集中于原来的核心业务。这种专业化策略降低了多元化程度，增加了意外损失。二、 风险分散与多元化投资“不要把鸡蛋放在一个篮子里”，企业适度的、恰当的投资组合（或项目组合）可以降低机会成本并能分散风险（独有风险减少，市场风险大致不变）。鉴于项目投资的“高风险”性，单个项目的投资成功率相对较低，企业一般采取“组合”模式以分散风险，即选择10个项目，其中12个估计会很成功，34个成功概率大概在50%60%，其余几个风险则很大。这样，如果目标项目有12个有几倍乃至十几倍的投资收益率，那么这10个项目的投资总体上就会有很好的效益。企业实现风险分散的重要手段就是实现组合投资，即多元化投资。在投资多元化理论出现以后，人们认识到投资多元化可以降低风险。当增加投资组合中资产的种类时，组合的风险将不断降低，而收益仍然是个别资产的加权平均值。当投资组合中的资产多元化到一定程度后，唯一剩下的风险便是系统风险。系统风险是没有有效的方法可以消除的、影响所有资产的风险，它来自于整个经济系统，是影响企业经营的普遍因素。投资者必须承担系统风险并可以获得相应的投资回报。在充分组合的情况下，单个资产的风险对于决策是没有用的，投资人关注的只是投资组合的风险；特殊风险与决策是不相关的，相关的只是系统风险。在投资组合理论出现以后，风险是指投资组合的系统风险，既不指单个资产的收益变动性，也不是指投资组合收益的变动性。降低风险是多元化经营的主要动因，尤其是垂直兼并业务。比如，一家企业（如信用卡企业）可能是一个净的借款企业，而另一家企业（如商业银行）是净的贷款企业，两者合并可以减少短期利率风险敞口。更为常见的，多元化经营相关企业（包括横向收购竞争对手、纵向收购客户和供应商）的动因是，不同企业共同经营可以降低生产成本或产生协同效应。比如，在研发、通信、产品生产、销售等方面经常具有规模经济和范围经济效应。另外，不同企业之间还可能存在收入协同效应，市场力量越强（尤其是横向合并），收益越高。规模经济、混业经营可以提高产品、使服务多样化。另一个多元化经营的理由是管理可以将品牌、核心竞争力或商誉从一个企业转移到另一个企业。尽管多元化经营有种种理由，但大多数的预期利益并不明显。原因之一是多种经营不是很经济的，兼并收购和启动成本数额十分可观。当企业涉足差别很大的业务时，还可能出现规模不经济。多元化经营也使得业务更为复杂，带来额外的经营风险，从而抵消了部分应有的效果。比如，关键人员的流失、不匹配的系统平台、反垄断法规、文化冲突及不满意的顾客都可能在兼并和收购后出现。多元化经营的另一项成本是内部控制难度加大、管理技术稀释，从而增加了巨额损失（如内部欺诈）的风险。例如，组合投资常常会出现“撒胡椒面现象”，即指将一定的资金投放于多个项目，而每个项目的资金投入都在“阅点”以下或接近于“阈点”，从而使每个项目都难以产生投资效益。育目分散投资使得企业每个项目都不能顺利达成，盲目分散资金也很难使投资企业形成拳头产品及市场优势和技术优势。“撒胡椒面现象”不仅不会分散投资风险，反而会加剧投资风险，使投资者发生风险损失。该现象的根本问题是不能积极、有效地确定投资项目，从而使风险分散的“馅饼”成为“陷阱”。太阳神从最兴旺的1993年开始，以多元化战略改变企业原有的“以纵向发展为主，以横向发展为辅”的战略，一年内投资包括石油、房地产、化妆品、电脑、边贸、酒店等在内的20个项目。据了解，太阳神转移到这20个项目的资金多达3.4亿元，非常不幸的是这3.4亿元全部血本无归。巨人集团盲目追求多元化经营，涉足的电脑业、房地产业、保健品业等行业跨度太大，而新进入的领域并非优势所在，却急于铺摊子，有限资金被牢牢套死，其结果导致的财务危机拖垮了整个企业。飞龙集团过于强调产业多元化，涉足许多不熟悉的领域，“资金撒胡椒面”，资金长时间处于分散使用状态，不能够有计划、有规模地集中使用，造成资源严重浪费、资金短缺。任何企业的生产经营和投资决策都期望投资能得到最大的回报，但是较大的回报常常伴随着较大的风险。多元化经营的目的，并不仅是向多个行业投资以分散风险，更重要的是通过多元化战略取得最大的利润。多元化策略是分散风险的重要手段，但也是一把双刃剑，多元化程度过大、投资目标决策失误必然导致企业资源分配过于分散，运作费用过高，管理水平降低，最终无法维持在某一领域中的最低投资规模要求和最低竞争维持要求。鉴于此，如何有效分散风险，多元化目标的选择及相应投资额的确定至关重要。三、 风险回避适用的情形风险回避是处理风险的有效办法，通过风险回避，风险管理者可以明确知道风险不可能发生，风险主体也不会承受某些潜在的风险。风险回避适用的情形主要有以下几个方面。风险回避适用于发生损失频率和损失程度较大的特大风险；风险回避适用于损失频率虽不大，但是损失后果严重，并且无法得到补偿的风险；风险回避适用于采用其他风险管理措施的成本超过进行该项活动预期收益的情形；某些风险的损失是不可避免的，采取风险回避的方法无效。例如，地震、海啸、暴风等自然灾害给人类造成损失是不可避免的，而且造成的损失较大；又如，生老病死风险是没有回避风险可能性的。对于这类风险采取风险回避的办法是无效的。四、 风险回避的概念风险回避是指考虑到影响预定目标达成的诸多风险因素，结合决策者自身的风险偏好和风险承受能力，从而做出的中止、放弃某种决策方案或调整、改变某种决策方案的风险处理方式。风险回避是一项有意识不让个人或者企业面临特定风险的行为。从某种意义上说，风险回避是将风险发生的概率降低为零。风险回避是各种风险应对技术中最简单的方式，同时也是较为消极的一种方式，它可以在事前、事中使用。在事前放弃某项活动，从而避免该活动可能带来的风险，或在计划进行过程中变更某项计划，从而避免原计划可能带来的损失。比如，某信贷机构在一项贷款的资信调查过程中，发现一家贷款申请企业的财务状况良好，但产品缺乏市场竞争能力，这项贷款即存在一定的风险。假如近期内企业不能开发新产品，扩大市场竞争能力，一段时间后可能发生亏损，从而难以按时偿还这笔贷款。为避免此类风险的产生，贷款机构将拒绝为该企业提供贷款。又比如，某化工企业计划生产一种新产品，在可行性研究过程中，发现该产品可能产生一定的辐射性，会严重损害消费者的身心健康，那么企业决策层就可以考虑放弃该产品的研发和生产计划，彻底消除因生产该产品而可能带来的产品责任损失暴露和潜在的经济损失。如果企业已经开始某项经营活动，给企业造成了重大的损失或破坏，而且这种情况还将继续下去，因没有有效的补救措施而主动终止这一经营活动，以免产生更大的损失，这就属于事中采取风险回避措施。如果上述化工企业因考虑不周、论证不充分而仓促上马，在产品销售过程中因客户起诉才发现产品存在严重的缺陷，这时，企业应立即停止生产和销售，收回各销售网点的待售产品，以免损失进一步扩大。事中的风险回避技术只能防止风险暴露的进一步扩大，而不能消除已有的风险暴露，如已出售产品的责任损失暴露。五、 法人治理结构20世纪90年代发生了一系列重大风险管理失误事件，其中巴林银行、德国金属企业和日本住友银行造成的损失超过10亿美元。21世纪初发生了更严重的企业欺诈，使安然、世通、阿德菲亚等多家企业损失了数百亿美元的股值，股票市场蒙受了极大的耻辱。这些灾难对企业的权益人造成的后果是毁灭性的，无论是投资者、雇员、客户，还是商业伙伴。有些事件甚至威胁到整个市场的稳定。例如，无赖交易员尼克，里森在期货市场造成的巨大的损失，使巴林银行崩溃，并严重地威胁到期货市场的稳定。住友银行的滨中泰男竟然通过交易成为全球铜市场5%的拥有者，臭名昭著。安然企业的崩溃严重地损害了能源交易市场。对每一起事件的调查及反思，昭示了在这些机构的麻烦背后的一个共同的问题：缺乏有效的风险管理，缺乏董事会对企业运营的监督。问题的严重程度促使监管者、股票交易所和投资者重新开始强调企业要符合企业法人治理的最佳行为准则。2002年美国通过了萨班斯奥克斯利法案，对企业法人治理实践建立了清楚的规则，例如，要求首席执行官和首席财务官签名确认企业的财务报表，保证审计者及审计委员会的独立性。企业法人治理结构是企业运转的核心，也是防范企业投资风险的重要工具。因此，在企业的营运过程中，必须依照公司法的规定，股东会、董事会、监事会、经理层分别行使各自的权利和职能，把企业的投资活动纳入企业法人治理结构的严格监督和管理范围之内，从而防止因经营者个人的独断专行和决策失误而引发企业投资风险。（1）企业应发挥股东大会的作用。股东大会是企业的权力机构，对于企业的经营方针和投资计划、非由职工代表担任的董事监事、董事会报告和监事会报告、财务预决算方案、利润分配方案、增资和减资方案、企业债券发行方案、企业合并分立解散清算方案等有决议权。因此，股东应借股东大会充分行使自己的权利，对不以股东利益为重或损害企业利益的董事监事应通过股东大会或临时股东大会决议更换，对影响企业利益的各重大方案应严格把关，尽量降低风险。（2）企业应强化董事会的作用，董事会是企业的决策机构。COSO报告中指出，内部控制是由企业董事、经理和其他员工实施，为运营的效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程。企业内部控制制度得以有效运行的基础和保证在于企业的董事会，企业应该关注董事会成员的合理构成，提高他们的工作质量，使其充分发挥决策和监督作用。具体表现为在选出合适的董事会成员后，要建立健全董事会的工作机制，明确董事会的内部分工，设立专门的委员会，包括风险委员会、审计委员会、预算管理委员会、投资委员会等，并由专门的董事负责，使其在内部审计、预算控制和投资决策等方面发挥监督作用，通过加强内部管理控制，从而提高企业会计信息的真实性，实现企业的经营管理目标，保证投资者和所有者资产的安全性和完整性。此外在董事会中由于董事长与董事会成员权力行使的不平衡状态，企业还应该强调和突出权力结构中董事会的独立性和有效的监督，发展二者之间的一种新型合作和互动关系。企业还应该对董事的任职资格、来源及其所承担的监督义务作出明文规定。针对董事长权力制衡的问题，董事会应利用建立对董事长的问责机制来制约董事长的一些特权，并且常规性地对董事长是否按照这些标准执行业务作出评估和审核，最终达到对董事长进行监督的目的，使董事会的整体发挥更大效用。（3）企业应强化监事会的监督作用，监事会是企业的监督机构。我国公司法规定监事会是企业内部治理中代表股东对董事会、经理承担监督职责的法定机构。目前我国企业监事会形式化，主要是由于监事会人员的资质不明确并缺乏有效的知情权。监事会成员主要来源于职代会和股东提名，职工代表由于工作报酬等掌握在管理者手中，很难实现监督职能，而股东方面的监事则缺少必要的渠道，对企业的实际情况并不了解。监事会仅有监督权而无处罚权，无法实现有效监督。因此强化监事会的作用应从如下几方面入手。监事会的构成。由于监事会成员的构成代表其监督时的利益趋向，所以应选派具有法律、财务、会计等方面的专业知识和工作经验，并具有与股东及相关利益者进行交流能力的专家进入监事会，这些专家可以在自身良好声誉的约束下客观公正地监督检查企业的经营行为。另外监事会还应建立与现代企业制度相适应的提名制度，股东监事应由股东大会选举产生，职工监事应通过工会或企业主管部门选举产生。同时为了防止内部监事被内部人收买操纵，企业应从外部引入一定数量的独立监事，从而使监事会的人员构成更加合理。监事会的职责。企业应扩大监事会的职权，从传统的对企业财务状况的检查权，扩展到有对企业业务状况的调查权。监事会应享有极大的信息拥有权和审查权，监事会需要了解董事会制订的或意向中的政策，了解企业的收益情况、支付能力及销售情况，只有这样才能获得企业政策远期方面的信息及近期计划和任务，使其能够做到事前监控和随时监督。不仅如此，监事会还必须对会计师作出的业务报告和年度报告等最终审核并发表意见。在制度中如果能保障监事会的知情权和审查权，这就是有效监督的基础。另外当企业的董事会成员有重大违规和损害企业利益行为时，企业还应赋予监事会特别任免权，使其监督具有权威性。建立对监事责任的追究制度。若监事会没有及时有效执行检查权使企业受到损害时，有关监事应该承担责任。（4）企业应有效发挥独立董事的作用。公司法第一百二十三条规定，公司设立独立董事，具体办法由国务院规定。中国证监会发布的关于在上市公司建立独立董事制度的指导意见也要求上市公司应该引入独立董事制度，这是对完善我国上市公司治理结构，维护中小股东权益的积极探索。针对目前我国企业中独立董事制度不完善和独立董事缺乏知情权的现状，发挥独立董事的作用应从以下几个方面加以改进。应改善独立董事的提名制度。独立性是独立董事制度的关键，在独立董事的提名上，企业应通过完善严格的选任程序来保证独立董事的独立性，进而保证独立董事发挥应有的作用。尽管无法从根本上杜绝独立董事和企业特定组织间的联系，但从国外企业治理实践中看，独立董事的选任一般是由董事会提名，经股东大会批准的。所以在独立董事的选任上要保证相对独立性，并且要经过股东大会认可。赋予独立董事实际的权力。如董事会下的审计、薪酬和提名委员会必须由独立董事组成。除了在实权的岗位任职之外，独立董事最重要的权力应该是对企业各项信息的知情权。对于独立董事本身而言，他们就是社会公众利益的代表，表现在督促企业遵守法律法规上，凡有违规之举，无论这种举措代表哪些股东的利益，独立董事必须坚决反对，若董事会一意孤行，独立董事则应本着诚信的原则，有责任将信息披露。所以企业应保证独立董事获取信息的完整性和正确性，使独立董事履行诚实的义务，并将他们可能获得的企业有关的所有重大信息进行披露。只有在独立董事能够有效获得各项信息，公允地对各项信息进行评价，对董事会进行严格监督时，才能从源头上控制企业内部人控制现象。独立董事在获取大量信息的情况下，还应作出对企业经营层的业绩评估。通过对企业大量报表的解释，可以使广大投资者特别是中小投资者充分了解企业经营状况，如果企业将这些独立董事作出的评估结果披露出来，既可以有效地约束企业管理层，又可以督促独立董事尽职尽责，从而更有效地发挥独立董事的作用。六、 培训培训涉及的领域很广，通常难以给出一个统一的有效培训准则。但中国证券监督管理委员会于2005年12月22日，以证监字2005147号文的形式，对上市公司高级管理人员的培训工作进行了规范。该文指出；为贯彻落实上市公司辖区监管责任制，加强对上市公司高级管理人员培训工作的指导，进一步规范上市公司高级管理人员执业行为，促使上市公司高级管理人员在认真掌握有关法律、法规和规范的基础上，不断提高自律意识，推动上市公司规范运作，中国证监会制定了上市公司高级管理人员培训工作指引及上市公司董事长、总经理培训实施细则、上市公司董事、监事培训实施细则、上市公司独立董事培训实施细则、上市公司财务总监培训实施细则、上市公司董事会秘书培训实施细则。对培训工作的目的、培训对象、培训内容及要求、培训组织及实施进行了规范。企业除了对高层管理人员进行培训外，还应在企业内部经常对内部员工进行风险管理方面知识的培训，以让受训者获得潜在损失的信息，并培养如何衡量、分析和管理风险的技能。一线员工的技能和知识是防范所有运作风险的第一道屏障。比如，让员工认识到潜在的客户欺诈就可以为银行避免成千上万的损失。有经验的风险管理员工可以使银行处于比竞争对手更有利的地位。培训的作用主要是向新员工传达企业的风险管理政策和实践，帮助员工获得完成本职工作所需的技能和信息，以及为其他职位（如提升或岗位轮换）提供必要的培训。大多数风险培训计划的内容应针对影响特定工作、业务或特定机构层面的特定风险，培训对象的范围和规模应根据当前的工作需要、现有的技能水平及预期达到的技能而定。培训时应注意以下几点。（1）有效学习的最重要的动因是激励，可以给以现金奖励、晋升机会及声誉等无形的好处。（2）企业应作出明确承诺，有关技能培训和保持的费用由企业承担。（3）企业应该利用行业范围的培训论坛和课程，使自己的员工接受前沿的风险概念和管理方法。（4）信息和技术转移必须是渐进的、系统化的。应该让受训者明白，所学到的知识和技能必须应用到更广泛的领域。（5）一般地，培训课时应该相对较短，适当的间歇有利于学员吸收和消化学习材料。老师应该与学员进行沟通，让学员了解自己的表现。七、 运营风险的含义及其主要内容和所有的其他风险一样，无论是理论界还是实务界对运营风险均没有一个被一致认可的概念。但一般认为，运营风险是指企业在运营过程中，由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性，而导致的运营失败或使运营活动达不到预期目标的可能性。运营风险并不是指某一种特定的风险，而是由一系列具体风险组成。不同行业、不同规模、不同性质的企业，其运营过程可能相差巨大，而运营风险的内容构成与具体企业的具体运营过程相关。通常，在对非金融类行业企业的研究中，对“运营”一词的理解可以限制在“有关整个产品生产和交付系统”的概念之内。而对于金融类行业的企业，其运营风险则遵从2003年巴塞尔银行监督管理委员会风险管理小组所提出的概念：“运营风险是指源于失效或挫败的内部程序，人力资源或系统以及外部事件所带来的风险。”不同行业的企业或组织面临不同的运营过程，从而承担不同的运营风险。运营风险主要来源于企业内部，同时与外部事件密切相关。在过去的几年中，诸如巴林银行、中航油公司等所发生的重大风险损失事件，均属于运营风险管理失效的典型案例。运营风险已经日益成为企业管理层所关注的主题，这主要是基于两个重要的理由。运营风险通常与信用和市场风险相关联，并且在复杂的市场条件下运营风险失败的潜在代价可能极为昂贵。如果运营风险没有一个分工明确的组织系统对之进行管理，那么往往难以对之进行有效地应对。这种缺少系统性的处理可能导致对关键性风险问题的忽略，以及在各种不同业绩计量中产生偏差，最终还可能导致管理层在不准确信息基础上做出决策。本书将运营风险定位为一种主要源自于企业内部失效或失败的企业战略管理决策、业务管理流程、人为或系统错误而产生经济损失的可能性，并将它分为战略风险、流程风险、人力资源风险、内部技术风险等主要类别。（一）战略风险战略风险是指影响企业实现战略目标的各种事件或可能性。战略风险与企业战略管理密切相关，它蕴涵于企业战略管理的各个步骤中。1、企业外部环境分析一般将企业的外部环境分为3大类：一般宏观环境、行业环境、经营环境与竞争优势环境。在战略分析过程中需要对这些外部环境因素进行分析。宏观环境分析中的关键要素包括：政治和法律因素、经济因素、社会和文化因素、技术因素。目的是要确定影响行业和企业的关键因素，预测这些关键因素未来的变化，以及这些变化对企业影响的程度和性质、机遇与威胁。行业环境分析中的关键要素有行业生命周期、分析行业竞争结构的迈克尔，波特的“五力模型”，用以确定企业在行业中的竞争优势和行业可能达到的最终资本回报率。经营环境与竞争优势环境分析主要包括市场分析和竞争地位、消费者消费状况、融资者、劳动力市场状况等。经营环境比宏观环境和行业环境更容易为企业所影响和控制，也更有利于企业主动应对其带来的机会和威胁。2、企业内部条件分析在对企业进行详尽而全面的外部环境分析之后，接下来要做的就是通过内部分析找出什么是企业的核心竞争力。企业通过从事一系列活动提供产品和服务，这些活动形成了提供最终产品和服务的链条，而价值的创造就是源于顾客购买这些产品和服务的链条，即价值链。综合价值链的基本活动（如进货后勤、生产作业、发货后勤、营销及售后服务等物质流基本活动）及辅助活动（技术开发、人力资源、财务管理）的分析，确认企业内部管理中存在的优势和劣势。企业使用优于竞争对手的方式从事生产经营活动从而为顾客创造优越价值，这是企业创造竞争优势，也是企业战略目标的本质。3、确定企业使命与愿景企业使命与愿景是对企业存在意义及未来发展远景的陈述，除表明企业长期存在的合法性及合理性外，还要与所有者和企业主要利益相关者的价值观或期望相一致，它应富有想像，对企业员工有很强感召力，并能得到社会公众认可；它应用简单、精练的语言来表达。4、确定企业战略目标企业战略目标通常是与企业使命和愿景相一致的、对企业发展方向的具体陈述。一般情况下，企业战略目标应是定量目标，如企业的市场占有率。5、确定企业战略方案企业高层领导在作战略决策时，应要求战略制订人员尽可能多地列出可供选择的方案，不要只考虑那些比较明显的方案，因为战略涉及的因素非常多，有些因素的影响往往不那么明显，因此，在战略选择过程中形成多种战略方案是战略评价与选择的前提。6、企业战略方案的评价与选择高层管理人员要对每个战略方案按一定标准逐一进行分析研究，以决定哪一种方案最有助于实现战略目标。战略评估过程要坚持三条基本原则，即适用性、可行性及可接受性。既要使企业资源和能力能够支持战略方案的实现，同时外界环境的限制条件是在可接受的限度内，也为企业内的干部、职工所接受。选择可行的战略并不完全是理性推理的过程，更为重要的要取决于管理者对风险的态度、企业文化及价值观的影响、利益相关者的期望、企业内部的权力及政治关系，以及高层管理者的需要及欲望等，因此，战略选择的过程是对各种方案进行比较权衡，进而决定一个较为满意的方案的过程。7、企业职能部门策略根据前述确定的企业战略，进一步具体化做出企业的组织机构策略、市场营销策略、人力资源开发与管理策略、财务管理策略等各职能部门策略，这样才能使企业总战略真正落实。要求各职能部门策略与企业战略保持一致。8、企业战略的实施与控制企业战略实施要遵循三个原则，即适度合理性的原则、统一领导与统一指挥的原则、权变的原则。为贯彻实施战略要建立起贯彻实施战略的组织机构，配置资源，建立内部支持系统，发挥好领导作用，使组织机构、企业文化均能与企业战略相匹配，处理好企业内部各方面的关系，动员全体员工投入到战略实施中来，以保证战略目标的实现。（二）流程风险流程风险是指企业在业务交易流程中出现错误而引致损失的可能性。一般地，业务交易流程包括：销售与收款、购货与付款、产品生产或提供服务等环节。任何企业的常见流程风险都是与其业务交易处理过程相联系的。这包括了在任何业务交易阶段中失误的潜在可能性。在交易处理过程的各个具体环节，企业都可能面临着财务、客户或声誉损失的风险。（三）人力资源风险人力资源风险是指因员工缺乏知识和能力，或缺乏诚信，或道德操守而引致企业损失的风险。它通常缘于员工约束不足、专业胜任能力不足、不诚实或者由一个无法培养风险意识的企业文化造成。员工约束主要由于缺乏合适岗位的劳动力或者能够提供能吸引合格员工的具有竞争力的薪酬。招聘不当，缺乏日常的专业训练可能是导致专业胜任能力不足的关键因素。对企业的不忠诚会导致欺诈行为的发生，而它与特定员工的禀性、企业文化的培养相关。那些无法积极引进风险意识的企业文化，或是为了鼓励利润而不顾所使用的方法等情况都可能导致有害的员工行为。（四）内部技术风险内部技术风险同企业内部所开发或使用的技术或信息系统相关。随着技术在企业中日益变得必不可少，在越来越多的商业领域，内部技术风险已经变得日益突出。内部技术风险可分为技术创新风险和信息系统风险两大类别。技术创新风险，是指由外部环境的不确定性、技术创新项目本身的难度与复杂性、创新者自身能力与实力的有限性等导致技术创新活动达不到预期目标的可能性。这种可能性影响到企业核心竞争力，以及可持续发展能力的培养。信息系统风险指因技术落后，或信息系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的可能性。在信息技术得以广泛运用的今天，信息系统的自动化控制和人工控制中存在的不确定性对企业整个运营活动安全的影响极为重大。八、 运营风险的表现及其特征运营风险是任何企业经营管理活动中面临风险的一个固有部分。在许多企业中，风险损失的一个很大部分是由普通的处理偏差所造成。除了这些日常损失外，企业还面临更大规模的运营风险事件。这些事件中有些因意外事故或失败造成；另一些则是有意的，比如欺诈或其他犯罪活动。虽然这类运营风险事件发生的概率很低，但是后果却很严重，可能使整个企业遭受经营危机。更糟糕的是，在日益增加的全球化和网络化的背景中，其效应可能进一步传播至企业外部，而不是仅仅局限于单一的机构。除了对企业最终损益结果的影响外，运营风险可能因为其行为丧失商业道德、欺诈等犯罪活动，导致对企业声誉的巨大损害。这种损失很可能影响到与客户的关系以及现在和未来的利益相关者的关系。此外，企业声誉的损害也可能对企业的资本市场业务产生负面影响，融资成本可能变得更加品贵。如果不能有效管理运营风险，资本市场可能会低估企业股票或债券的价值。与之相反，有效的运营风险管理则可能会带给企业重要收益。至少包括：提升企业实现其各种经营目标的能力；使管理层有机会去关注增加收入的业务，而不必被迫地去应对一次又一次的危机；减少日常业务活动中的损失等。在日益激烈的市场竞争当中，企业在运营管理中会遇到各种各样的风险，规避运营风险是一项系统工程。鉴于运营风险的上述特征，企业需要通过一个包含各种政策、流程与程序的框架对运营风险加以管理，各业务单元通过该框架来确定、评估、监督与控制其运营风险。九、 信息系统风险及其管理随着信息技术的发展，企业借助计算机系统支持日常经营运作和管理越来越广泛。如使用企业资源计划系统、办公自动化系统、财务软件等协助企业进行信息管理；使用电子邮件，文件服务器等手段进行公司内外部信息的传递和沟通；利用互联网，进行网上宣传、网上调查等开拓市场；使用客户关系管理系统，收集客户资料，分析客户需求，制定公司营销策略等。信息系统包括一般信息系统和应用信息系统。信息系统风险包括系统的适用性、数据的真实性与完整性、系统能力、未经授权的入侵和使用以及各种意外事故中恢复业务运作能力等。企业在使用上述信息系统过程中会涉及自动化和人工成分。其中，自动化成分涉及信息系统本身的运行风险，人工成分涉及信息系统操作风险。（1）信息系统运行风险。信息系统运行风险指系统本身存在的不确定性。例如，信息系统的不稳定，信息系统本身设计中的漏洞等。（2）信息系统操作风险。即使信息技术使自动化控制达到很高程度，人工因素仍然会存在于各种信息系统当中。而人工因素的参与，必然带来不确定性。例如：在未得到授权的情况下访问数据，或处理了不正确的数据，或对数据进行了不恰当的修改等。十、 技术创新风险及其管理技术的先进性是一个企业竞争力的核心。技术创新风险是指企业在经营过程中由于所拥有的专有技术方面的因素的不确定性导致经营失败的可能性。1、技术创新风险存在的主要领域技术创新风险可能存在于以下领域。（1）技术的先进性。企业所拥有的技术是否具有独特优势，是否已被市场所淘汰。（2）技术的可靠性。在规定条件下和规定时间内无故障地发挥其特定功能的概率。（3）技术的合规性。本企业所拥有或使用的技术，与国家产业政策方向是否一致，技术与国际、国家和行业标准是否相符合。（4）技术的市场可接受性。一项技术是否为使用者接受，决定了其市场前景。2、技术创新风险的来源（1）技术领先地位的不确定性。对大多数企业而言，均很难一直保持在同行业同领域中的领先地位。特别是在知识经济时代，科技发展迅速，这种时效性越来越短。如果企业失去技术领先的地位，其高收益将降低或失去，从而增加企业的风险。影响技术领先地位的因素可进一步分为三方面原因。其一，技术本身的特点。如果技术与产品或服务直接相关，即技术凝结于产品的性能结构或服务方式中，随着投入市场，可能被其他企业所模仿。如果仅存在于企业内部，则可能继续保持领先地位。此外，技术本身的先进程度也会影响到竞争对手的模仿能力，如果具有较大的先进性，则竞争对手需要更长的时间来模仿。其二，外部环境的影响。如果竞争对手实力较强，则可能短期内取代本企业的技术优势，反之，则需较长时间。法律保障制度的完善程度也会影响到被模仿的可能性。其三，企业自身保密工作的有效性。在技术开发，生产或销售过程中，如果十分重视技术保密工作，可以减少技术资产被窃取的危险，从而维护技术优势。（2）社会环境的变化。外界变化对企业技术收益的实现可能产生很大的影响。例如，市场对技术的接受程度，技术会否过于超前以至于不被顾客所接受，法律法规的变化等。一个极端的例子是，如果美国食品药物管理局规定禁止出售任何形式的基因食品和药品，那么将会直接影响到从事基因药物和食品研制企业的经营。又如，不符合汽车尾气排放标准的汽车，可能无法在市场上出售。十一、 风险价值法（VaR）（一）VaR方法的背景传统的ALM（资产负债管理）过于依赖报表分析，缺乏时效性；利用方差及B系数来衡量风险太过于抽象，不直观，而且反映的只是市场（或资产）的波动幅度；而CAPM（资本资产定价模型）又无法糅合金融衍生品种。在上述传统的几种方法都无法准确定义和度量金融风险时，G30集团在研究衍生品种的基础上，于1993年发表了题为衍生产品的实践和规则的报告，提出了度量市场风险的VaR（风险价值）方法，该方法目前已成为金融界测量市场风险的主流方法。稍后由J.P.Morgan推出的用于计算VaR的RiskMetrics风险控制模型更是被众多金融机构广泛采用。目前国外一些大型金融机构已将其所持资产的VaR风险值作为其定期公布的会计报表的一项重要内容加以列示。（二）VaR方法的定义VaR按字面解释就是“在险价值”，其含义是指：在市场正常波动下，某一金融资产或证券组合的最大可能损失。更为确切的是指，在一定概率水平（置信度）下，某一金融资产或证券组合价值在未来特定时期内的最大可能损失。计算VaR的步骤如下。（1）确认经济单位持有的头寸。（2）确认影响头寸价值的风险因素。（3）为所有风险因素确定可能的背景并确定发生概率。（4）建立所有头寸的定价函数，以此作为风险因素的价值函数。（5）使用定价函数为所有头寸在各种环境下重新定价，建立结果分布模型。（6）在给定的概率水平下求分布的分位点。VaR从统计的意义上讲，本身是个数字，是指面临“正常”的市场波动时“处于风险状态的价值”。即在给定的置信区间和一定的持有期限内，预期的最大损失量（可以是绝对值，也可以是相对值）。（三）VaR方法的特点（1）可以用来简明表示市场风险的大小，没有任何技术色彩，没有任何专业背景的投资者和管理者都可以通过VaR值对金融风险进行评判。（2）可以事前计算风险，不像以往风险管理的方法都是在事后衡量风险大小。（3）不仅能计算单个金融工具的风险。还能计算由多个金融工具组成的投资组合风险，这是传统金融风险管理所不能做到的。（四）VaR方法的系数由上述定义出发，要确定一个金融机构或资产组合的VaR值或建立VaR的模型，必须首先确定以下三个系数：一是持有期间的长短；二是置信区间的大小；三是观察期间。1、持有期持有期，即确定计算在哪一段时间内的持有资产的最大损失值，也就是明确风险管理者关心资产在一天内、一周内还是一个月内的风险价值。持有期的选择应依据所持有资产的特点来确定。从银行总体的风险管理看持有期长短的选择取决于资产组合调整的频度及进行相应头寸清算的可能速率。巴塞尔委员会在这方面采取了比较保守和稳健的姿态，要求银行以两周即10个营业日为持有期限。2、置信水平一般来说对置信区间的选择在一定程度上反映了金融机构对风险的不同偏好。选择较大的置信水平意味着其对风险比较厌恶，希望能得到把握性较大的预测结果，希望模型对于极端事件的预测准确性较高。根据各自的风险偏好不同，选择的置信区间也各不相同。3、观察期间观察期间是对给定持有期限的回报的波动性和关联性考察的整体时间长度，是整个数据选取的时间范围，有时又称数据窗口。综上所述，VaR实质是在一定置信水平下经过某段持有期资产价值损失的单边临界值，在实际应用时它体现为作为临界点的金额数目。（五）VaR方法的优点（1）VaR模型测量风险简洁明了，统一了风险计量标准，管理者和投资者较容易理解掌握。风险的测量是建立在概率论与数理统计的基础之上，既具有很强的科学性，又表现出方法操作上的简便性。同时，VaR改变了在不同金融市场缺乏表示风险统一度量，使不同术语（例如基点现值、现有头寸等）有统一比较标准，使不同行业的人在探讨其市场风险时有共同的语言。另外，有了统一标准后，金融机构可以定期测算VaR值并予以公布，增强了市场透明度，有助于提高投资者对市场的把握程度，增强投资者的投资信心，稳定金融市场。（2）可以事前计算，降低市场风险。不像以往风险管理的方法都是在事后衡量风险大小，不仅能计算单个金融工具的风险，还能计算由多个金融工具组成的投资组合风险。综合考虑风险与收益因素，选择承担相同的风险能带来最大收益的组合，具有较高的经营业绩。（3）确定必要资本及提供监管依据。VaR为确定抵御市场风险的必要资本量确定了科学的依据，使金融机构资本安排建立在精确的风险价值基础上，也为金融监管机构监控银行的资本充足率提供了科学、统一、公平的标准。VaR适用于综合衡量包括利率风险、汇率风险、股票风险以及商品价格风险和衍生金融工具风险在内的各种市场风险。因此，这使得金融机构可以用一个具体的指标数值就可以概括地反映整个金融机构或投资组合的风险状况，大大方便了金融机构各业务部门对有关风险信息的交流，也方便了机构最高管理层随时掌握机构的整体风险状况，因而非常有利于金融机构对风险的统一管理。同时，监管部门也得以对该金