化纤公司企业风险管理报告.docx

泓域/化纤公司企业风险管理报告化纤公司企业风险管理报告xx有限责任公司目录一、 流程风险的特征4二、 企业业务流程管理5三、 人力资源风险管理的主要内容7四、 人力资源风险管理过程12五、 信息系统风险及其管理17六、 技术创新风险及其管理18七、 流程图的缺陷20八、 运用流程图识别风险21九、 故障树分析法22十、 事件树分析法25十一、 其他职能部门及各业务单位26十二、 总经理（风险管理总监）27十三、 业务单位和相关职能部门的组织结构及职责设计29十四、 风险管理组织体系的总体框架30十五、 产业环境分析36十六、 推动纤维新材料高端化发展37十七、 必要性分析37十八、 公司概况38公司合并资产负债表主要数据39公司合并利润表主要数据39十九、 法人治理40二十、 人力资源配置51劳动定员一览表52二十一、 SWOT分析说明54一、 流程风险的特征与其他类型的风险相比，流程风险在以下方面具有明显的特征。（1）普遍存在性和复杂性。企业业务流程是企业经营活动的基础，不仅在企业内部运行（如企业部门内的业务流程和跨部门的业务流程），有时还可能延伸到企业外部（如供应商管理流程、业务外包流程等），从而与企业相关的合作伙伴、竞争对手和客户以及外部的政治、经济、法律环境，甚至与所提供产品和服务相关的所有人员、设备、资金等各种要素相关。这些因素之间纵横交错、复杂多变，直接导致了企业流程风险的普遍存在性和复杂性。（2）动态性和扩大的传递性。业务流程是由相互之间具有密切逻辑关系的一系列活动组成的集合体，这些活动需要协调配合方能维持企业的正常运转。如果业务流程的某个或几个环节出现问题，那么将影响其他环节的工作。一个环节发生的风险，会沿着流程的方向向后传递，在传递过程中还可能放大其影响，并改变整个流程的输出结果。这种现象就好像多米诺骨牌游戏，一张牌的倒下会引起下一张牌、再下一张牌的连续倒下，直至最后一张牌。（3）风险的可控性。流程风险看起来十分复杂，然而其发生常常是在业务流程的关键控制点。如果能够对关键控制点进行判别，对关键控制点设计和执行有效的控制措施，并通过某些指标对其执行情况进行监测并预警，则或者可能避免风险事件的发生，或者在风险事件发生的情况下，使其难以进一步沿着流程的方向继续传递，从而有可能实现对整个业务流程的有效风险管理。二、 企业业务流程管理自20世纪90年代初，企业业务流程管理概念由美国的两位管理学专家首次正式提出后，迅速引起全球范围内的重视。业务流程管理按照其变革的程度可分为3个层次：业务流程的建立、业务流程的优化和业务流程的重组。这3个不同层次的变革分别适用于不同阶段和管理基础的企业。（一）业务流程的建立在企业建立初期，由于企业生存的压力，管理者普遍关注市场和销售，对流程和制度不重视，运作基本靠员工的经验和一些简单的制度，企业的成功往往取决于企业主的个人能力和一些偶然的机会，比如拥有该行业成功所需要的特定资源。处于这个层次的企业，在解决了生存问题，开始走向规模化的时候，面临着从人治向法治的转变。这个时候的企业通常会出现组织结构不健全，机构因人设岗，权责不清和没有系统性的制度流程等问题。企业的运作基本上依赖于人的经验和惯性，经常会发生越级指挥事件，同时会表现出高度集权的特点。此时，流程风险处于最高程度，如果不能及早建立起基本的流程和规范，如业务运作流程、作业指引、岗位说明书、人力资源管理体系等，企业可能迅速地由盛转衰。我国许多民营企业，例如，“爱多VCD”就是此类问题的典型案例。（二）业务流程的优化随着规模的扩大，企业的组织机构日渐庞大，职责分工越来越细。此时，企业官僚化程度也在随着增加，流程风险的主要表现是效率低下。这个时候的企业，通常会出现部门间合作不畅，跨部门流程工作效率低下，决策时间长，虽制定有系统性的制度流程，但没有达到精细化的程度，且制度流程执行不到位。为应对此种情况，企业通常可采用的方法是先对现有流程的绩效进行评估，识别缺失的关键环节和需要改善的环节，然后通过对现有流程的简化、整合、增加、调整等方式来提升流程效率，还可以通过明确流程责任人的形式来监督流程的整体表现，从而减少部门间责任推诿等问题。（三）业务流程的重组这个时候往往是公司的战略转型期，企业的流程本身并没有很多的问题，但是往往不能适应新的战略，因而需要对流程进行根本性的变革。为了尽可能地减少重组过程中，以及重组后业务流程管理的风险，企业需要全面评估业务流程，并根据战略需要对流程进行重新设计以适应公司的要求。业务流程重组往往伴随着IT系统的实施、重大的组织变革和业务模式的变革。三、 人力资源风险管理的主要内容人力资源风险主要表现在以下方面。（一）人力资源管理制度风险人力资源管理相关制度包括：员工手册、岗位管理、人员招聘录用、劳动合同管理、定期考核、新员工岗前培训或新员工见习、员工培训、奖惩、薪酬分配、职业安全与劳动保护、社会保障等。这些制度如果设计不合理，或缺少必要的内容，则可能给企业带来重要损失。例如，如果企业与员工之间聘用与被聘关系过于简单和不规范，为员工流动打开了方便之门。又如，薪酬体系的不合理，培训体制的缺失，考评制度的不公正等，诸如此类种种制度的弊端都隐藏着风险的种子。（二）招聘风险在招聘中，由于求职者与企业之间关于求职者能力认知的信息不对称，从而导致企业招聘面临着两种逆选择风险：一是错误地接受了本来不适合企业的求职者；二是错误地拒绝了本来适合于企业的求职者。这两种情形，或者会给企业增加费用，或者使企业丧失机会。不仅如此，招聘风险还可能进一步影响到人力资源的其他相关风险。例如，招聘了品行不合格的员工，为道德风险的产生埋下了祸根；招聘身体状况不佳的员工，为健康风险的发生留下了后遗症；招聘爱跳槽的员工，为员工流失风险的发生创造了条件。（三）员工流失风险此部分风险尤其需要关注关键员工流失问题。从企业的角度，关键岗位人员流失可能给企业带来很大损失。包括增加该岗位的人工成本，重新招聘和培训；在某些情况下，还可能引起工作进度的拖延，甚至造成组织的瘫痪，或者造成企业赖以生存的商业机密的泄露。除此之外，流失的员工到一个竞争对手那里，可能损害到本企业的业务和与客户的关系。流失的员工可能挖走顾客或进一步带走其他关键员工，或者设立一个与公司竞争的公司。员工流失风险可分为显性流失和隐性流失。当员工对现行工作不满，或者在一些企业中，因各种原因使其员工看不到企业未来的发展方向或者缺乏安全感时，可能对企业前景产生错误的估计，结果人心涣散，辞职情况频繁。这种事实上的失去，即是显性流失；而当员工只是在心里产生不满，并没有选择离开，而是采取消极怠工，甚至为其他组织服务的方式继续留在原工作岗位上，这种情形即为隐性流失。这种隐性流失如果不能为企业所发现，企业不仅需要继续为之支付人力成本，还可能为之承担经营上的损失，因而它的破坏性可能比显性流失更大。（四）道德风险员工会否因道德问题使得企业产生不必要的损失，是企业必须关注的问题。商业贿赂或欺骗消费者的行为可能严重影响企业的声誉。企业应当设立一定的道德标准或行事准则，明确个人责任，使员工警惕不道德的做法。这样的道德标准或行事准则，其内容应当包括以下几点。（1）与收取和给予贿赂、雇金、礼物和招待相关的政策。（2）报告道德败坏事件的程序。其程序应当保证让通风报信者不被人打击报复。（3）对于顾客、竞争对手、供货商、其他员工和公众的违法或不道德活动的处罚等。（五）渎职风险从员工本身来看，员工本身的不胜任是产生渎职风险的重要原因之一。然而，在一个企业中，引发员工隐性渎职的原因很多，既可能有企业文化环境等因素，也可能是管理者本身的问题。渎职风险分为显性渎职和隐性渎职。显性渎职造成的损失是易见的，企业可采取合同约束，并诉诸于法律。从企业文化环境来看，如果员工对先进管理理念仿其表却未谙其里，则可能发生隐性渎职。如果员工的行为举止及氛围并未得到根本改变，其结果导致员工并未真正执行先进的管理经验，就是一种隐性渎职。（六）专业能力风险企业可能缺乏教育培训或让员工事业发展的机会。这往往表现在企业整体知识水平落后，与日新月异的社会发展形势脱节，从而使企业的知识能力无力支撑企业的长期发展。该风险往往在知识更新速度较快的高科技行业企业中表现最为明显。专业能力风险还包括管理层缺乏领导魄力或经营管理常识问题。有的企业的人事选拔制度遵循等级模式，即提升到某一级别的管理者必须在下一级职位中任职达到一定的年限，逐层向上提升，并将选拔范围放到最小的圈子，最后的结果是大部分的领导职位由不能胜任的人所担任。（七）团队合作风险组织内团队的密切合作是企业顺利实现经营目标的必要条件，而企业完成经营目标又是企业人力资源投资最终产生经济效益的前提，因此，团队合作状态关系到企业人力资源投资的最终收回。如果员工之间不能建立协调关系，会影响组织效率、效果从而带来团队合作风险。（八）人力资源外包风险人力资源外包，是企业通过与外部的人力资源管理业务承包商签订合同，由外包公司为企业提供人力资源管理活动的服务，而企业支付给外包公司酬金的一种交易形式。人力资源管理外包的风险因素主要包括以下几点。（1）法律方面。人力资源外包需要完善的法律法规来规范其具体运作。如果缺乏相关的制度规范，则可能蕴藏较大的法律风险。（2）内部员工管理方面的风险。一方面，将人力资源外包，可能需要对现有员工的调整，例如辞退，被换岗，或者被取消或减少训练机会。如果处理不当，会影响其他在岗或转岗员工的工作积极性，从而对企业造成负面的影响。另一方面，人力资源外包，还难以培养员工对企业的忠诚度，增加了道德风险和团队合作风险。（3）选择外包服务商的风险。在对外包服务商的选择中，企业冒着很大的决策风险，外包合作中的冲突或失败不仅会极大地影响企业的正常经营，而且会影响企业的市场地位。外包服务商的选择通常是为了降低运营成本、提升企业的核心竞争力；但如果合作不当，无疑会导致企业的严重损失。（4）企业商业信息安全的风险。人力资源管理的一些业务内容对企业来说很可能是商业秘密；当企业把这些业务外包时，就意味着外包服务商掌握了企业的这些商业秘密。这些机密一旦泄露给竞争对手，可能对企业造成极其不利的影响。四、 人力资源风险管理过程（一）风险识别企业人力资源风险的识别可以从企业的外部和内部两个方面进行。企业风险的识别过程包括感知风险和分析风险两个步骤，感知风险就是通过调查，识别人力资源管理风险的存在。如企业人力资源流失风险的发生，可以从员工的年度辞职数量、员工辞职后企业不能正常运作、客户的流失和商业秘密的泄露等中感知出来。从企业外部进行就是利用外界的信息、人才市场行情动态、其他企业已有的人力资源管理资料等进行分析，掌握社会人力资源的构成、供求及变化状况，将企业的人力资源置于社会的大环境中考虑，以一种系统论的观点来分析研究本企业的人力资源状况，把握住人力资源运行的时代特征。从企业内部进行就是利用企业的历史资料，对企业的运作历史、企业文化的演进、企业制度的变迁、企业绩效及企业人力资本的运动特性等方面进行历史分析比较研究，发现企业人力资源活动规律，寻找出人力资源风险因素。（二）风险评估识别出企业人力资源风险因素后，需要对这些因素进行风险评估。风险评估就是对识别的风险做进一步的分析及量度，以便采取有针对性的风险应对措施，从而将公司的损失减至最低或将损失控制在可接受的范围。其主要的步骤为以下几点。（1）根据风险识别的条目有针对性地进行调研。（2）根据调研结果和经验，预测发生的可能性，并用百分比表示发生可能性的程度。（3）根据风险程度排定优先队列。风险评估通常是以重要性排序，可从损失的可能程度和损失概率两个方面进行评估。常用的风险识别与评估方法，如专家意见法，蒙特卡罗法、外推法、风险价值法、多层次模糊分析法等均可用于人力资源风险的识别与评估。（三）风险应对对常用的风险应对策略在人力资源风险管理运用中需关注的问题分述如下。1、风险降低风险降低策略的途径一是降低风险事件发生的可能性，二是降低风险事件的损失程度。降低风险事件发生可能性的措施，包括以下几点。（1）进行企业文化的宣导，培养企业凝聚力。（2）系统性地对员工加强后续培训，减少员工工作上的障碍，并提高员工胜任能力。（3）强化身体锻炼，增强身体素质，定期对企业从业人员进行体检，做到有病早发现早治疗。（4）加强对员工的考核，以发现员工工作的优点和不足，激励员工的工作积极性，提高员工的素质，改善组织的效率，考核的结果也为员工今后的薪酬、培训、晋升、换岗等利益提供依据。（5）科学合理地采取激励约束机制，提高员工对企业的忠诚度，并减少人力资源流失的可能性。例如，采取经济刺激措施（工资和/或利润分享），明确管理责任和分散决策，或生活方式的利益（给关键员工所需要的尊敬和鼓励，或给他们喜欢的生活方式等）等。降低风险事件的损失程度的措施，包括以下两点。（1）为企业关键岗位储备人才，使关键岗位人员一旦出现意外或辞职行为，企业可以在短期内很快复原，从而减小损失程度。（2）合同约束。对于员工流失风险有些企业在合同中规定人员流出后，在若干时期内不能与客户合作，或者不得从事与本企业竞争的业务活动等用以减少风险损失。2、风险回避人力资源风险可能源自人力资源本身的特点或人力资源的管理过程，实际并不可能完全回避。因而，此类策略的采取需在考虑风险损失的大小及发生的可能性大小的基础上，考虑对那些预计损失较大，发生可能性也较高的风险采取此类措施。还需关注的是，在回避某项人力资源风险时，常常会引入另一项风险。因此，人力资源风险管理需要综合考虑其影响。例如，企业去各大院校招聘大学应届毕业生，这不仅有利于企业知识的更新，而且能够带来积极的企业文化与价值观，通过适当的引导，能使员工与企业发展的目标有效的结合。然而，与此同时，应届毕业生工作经验不足的问题，是否能融入到企业现有的工作团队中的问题，都有可能产生新的风险。3、风险分担人力资源风险分担可考虑以下措施。（1）人力资本租借。企业在进行人力资本租借时，明确约定所租借的人员在正常的工作条件下，被租借人医疗费用、人身意外等均由其原雇佣方负责。但必须注意的是企业在与自身所雇的人员签订风险转移合约时要考虑到国家和地方所制定的有关法律法规，以免转移了人力资源风险却又产生了新的法律风险。（2）人力资源外包。前文已述及相关概念。在此方面的典型案例有华为技术有限公司（简称：华为公司）的人力资源外包策略。华为公司是中国一家大型民营企业，比较早开始进行人力资源外包。华为公司最初将其物业管理这一块外包给了戴德梁行。当戴德梁行接手华为在龙岗区坂田基地的物业管理之后，不但通过内在的挖掘潜力与自身管理能力的提升，大大降低了原来由华为公司自己操作物业的各项人力资源管理费用，而且还极大地提升了物业管理的品质。又如，对招聘IPQC这一品质管理岗位的工作人员而言，若华为公司自己招聘，必须要按华为公司的平均工资水平来支付劳务成本。于是，华为公司将此类人力资源聘用外包给鹏劳人力资源管理公司，结果按照市场上通行的工资水平（不到华为公司工资水平的一半），招聘到所需的人员来从事该岗位的工作。并且，从事该岗位的人员是由鹏劳公司来管理。这样一来，还使华为公司规避了因人员不满而引起劳资纠纷的可能性。（3）保险策略。企业还可以结合保险的险种和自己企业人力资源风险状况选择哪些风险购买保险。例如，对于企业职工可能患的重大伤残或重大疾病可以通过购买保险来防范，于是将相关风险转移到保险公司。4、风险接受充分认识到人力资源风险领域及风险大小的企业，对于员工一般的常见病或轻微工伤可采取风险接受策略，而对于员工重大疾病的风险则可采取疾病保险或其他策略。对于员工流失风险，对于一般员工（素质要求不高，且容易从人力市场获取）的流失风险采取风险接受策略。五、 信息系统风险及其管理随着信息技术的发展，企业借助计算机系统支持日常经营运作和管理越来越广泛。如使用企业资源计划系统、办公自动化系统、财务软件等协助企业进行信息管理；使用电子邮件，文件服务器等手段进行公司内外部信息的传递和沟通；利用互联网，进行网上宣传、网上调查等开拓市场；使用客户关系管理系统，收集客户资料，分析客户需求，制定公司营销策略等。信息系统包括一般信息系统和应用信息系统。信息系统风险包括系统的适用性、数据的真实性与完整性、系统能力、未经授权的入侵和使用以及各种意外事故中恢复业务运作能力等。企业在使用上述信息系统过程中会涉及自动化和人工成分。其中，自动化成分涉及信息系统本身的运行风险，人工成分涉及信息系统操作风险。（1）信息系统运行风险。信息系统运行风险指系统本身存在的不确定性。例如，信息系统的不稳定，信息系统本身设计中的漏洞等。（2）信息系统操作风险。即使信息技术使自动化控制达到很高程度，人工因素仍然会存在于各种信息系统当中。而人工因素的参与，必然带来不确定性。例如：在未得到授权的情况下访问数据，或处理了不正确的数据，或对数据进行了不恰当的修改等。六、 技术创新风险及其管理技术的先进性是一个企业竞争力的核心。技术创新风险是指企业在经营过程中由于所拥有的专有技术方面的因素的不确定性导致经营失败的可能性。1、技术创新风险存在的主要领域技术创新风险可能存在于以下领域。（1）技术的先进性。企业所拥有的技术是否具有独特优势，是否已被市场所淘汰。（2）技术的可靠性。在规定条件下和规定时间内无故障地发挥其特定功能的概率。（3）技术的合规性。本企业所拥有或使用的技术，与国家产业政策方向是否一致，技术与国际、国家和行业标准是否相符合。（4）技术的市场可接受性。一项技术是否为使用者接受，决定了其市场前景。2、技术创新风险的来源（1）技术领先地位的不确定性。对大多数企业而言，均很难一直保持在同行业同领域中的领先地位。特别是在知识经济时代，科技发展迅速，这种时效性越来越短。如果企业失去技术领先的地位，其高收益将降低或失去，从而增加企业的风险。影响技术领先地位的因素可进一步分为三方面原因。其一，技术本身的特点。如果技术与产品或服务直接相关，即技术凝结于产品的性能结构或服务方式中，随着投入市场，可能被其他企业所模仿。如果仅存在于企业内部，则可能继续保持领先地位。此外，技术本身的先进程度也会影响到竞争对手的模仿能力，如果具有较大的先进性，则竞争对手需要更长的时间来模仿。其二，外部环境的影响。如果竞争对手实力较强，则可能短期内取代本企业的技术优势，反之，则需较长时间。法律保障制度的完善程度也会影响到被模仿的可能性。其三，企业自身保密工作的有效性。在技术开发，生产或销售过程中，如果十分重视技术保密工作，可以减少技术资产被窃取的危险，从而维护技术优势。（2）社会环境的变化。外界变化对企业技术收益的实现可能产生很大的影响。例如，市场对技术的接受程度，技术会否过于超前以至于不被顾客所接受，法律法规的变化等。一个极端的例子是，如果美国食品药物管理局规定禁止出售任何形式的基因食品和药品，那么将会直接影响到从事基因药物和食品研制企业的经营。又如，不符合汽车尾气排放标准的汽车，可能无法在市场上出售。七、 流程图的缺陷流程图是识别风险比较有效的办法，但是，流程图在识别风险方面存在着一定的缺陷，主要表现在以下几个方面。（1）流程图法不能识别企业面临的一切风险。任何一种方法不可能揭示风险管理单位面临的全部风险，更不可能全面揭示导致风险事故的所有因素，因此，必须根据风险管理单位的性质、规模及每种方法的用途将各种方法结合起来使用。（2）流程图是否准确，决定着风险管理部门识别风险的准确性。制作企业生产、销售等方面的流程图，需要准确地反映生产、销售的全貌，任何部分的疏漏和错误都有可能导致风险管理部门无法准确地识别风险。（3）流程图识别风险的管理成本比较高。一般来说，流程图由具有专业知识的风险管理人员绘制，需要花费的时间较多，其管理成本也比较高。企业的生产工序、经营活动越复杂，越能够表现出流程图识别风险的优势。八、 运用流程图识别风险根据生产条件和工作目的的不同，可以将风险主体的生产经营活动制成不同的流程图，以便于识别风险。一般来说，风险主体的经营规模越大，生产工艺越复杂，流程图分析就越具有优势。（1）流程图可以比较清楚地显示产品生产销售各个环节的风险。从原材料的来源、生产、包装、存储、销售等产品生产的不同阶段都可以反映在流程图上。在产品生产销售流程中，一个环节出现问题，就会引发企业生存的危机。如果原材料供应不上或者遭遇意外损失，会导致生产的中断；生产过程中的意外事故，也会导致生产的中断，还会引起企业财产和人员的损失；成品仓库的事故，会引起企业财产和人员的损失，会导致企业利润的损失；产成品批发不出去，会引发企业利润的损失和经营的危机。（2）流程图强调某一事物的结果。流程图只是生产、经营过程的简单概括，其目的是揭示生产、经营过程中的所有风险。可见，流程图并不是寻求损失的原因，诸如火灾、盗窃、责任等风险，而是强调某一事物的结果。（3）流程图的解释。通常，对流程图进行解释的常用方法是填写简表。九、 故障树分析法故障树分析，是安全系统工程的重要分析方法之一，它能对各种系统的危险性进行辨识和评价，不仅能分析出事故的直接原因，而且能深入地揭示出事故的潜在原因。用它描述事故的因果关系直观、明了、思路清晰、逻辑性强，既可定性分析，又可定量分析。故障树分析法首先是由美国贝尔电话研究所于1961年为研究民兵式导弹发射控制系统时提出来的，1974年美国原子能委员会运用FTA对核电站事故进行了风险评价，发表了著名的拉姆逊报告。该报告对故障树分析作了大规模有效的应用。此后，在社会各界引起了极大的反响，受到了广泛的重视，从而迅速在许多国家和许多企业应用和推广。我国开展故障树分析方法的研究是从1978年开始的。目前已有很多部门和企业正在进行推广工作，并已取得大量成绩，促进了企业的安全生产。故障材法就是从某一事故出发，运用逻辑推理的方法寻找引起事故的原因，即从结果推导出引发风险事故的原因。故障树法也是我国国家标准局规定的事故分析的技术方法之一。（一）故障树分析用故障树法分析导致某些事故发生的前提条件，并说明哪些前提条件对于风险事故的发生是必要的，哪些是辅助性的。故障树法的理论基础是，任何一个事故的发生，必定是一系列事件按照时间顺序相继出现的结果，前一事件的出现是随后事件发生的条件，在事件的发展过程中，每一事件有两种可能的状态，即成功或者失败。故障树中的逻辑关系说明如下。“非”：输入事件不发生，输出事件就发生。“条件与”：输入事件同时发生且满足某条件，输出事件才发生。“条件或”：在满足某条件下，输入事件中至少有一个发生，输出事件就发生。“顺序与”：输入事件都发生，但满足一定先后顺序，输出事件才发生。“排斥或”：输入事件中仅有一个发生，输出事件才发生。“单事件限制”：输入事件仅一个且满足某条件，输出事件发生。以上关系都有代表符号。上例中，若知各个基本事件的概率，则所有组合情况下，上一层事件的发生概率可以求得。（二）故障树分析的优缺点故障树分析法是以选择某一风险因素为事件，按照逻辑推理推论其各种可能的结果及产生结果的途径。故障树分析法的优点如下。（1）由于故障树分析法是采用演绎方法分析事故的因果关系，能详细找出系统各种固有的潜在的危险因素，为安全设计、制定安全技术措施和安全管理要点提供了依据。（2）能简洁、形象地表示出事故和各种原因之间的因果关系及逻辑关系。（3）在故障树分析中，顶上事件可以是已经发生的事故，也可以是预想的事故。通过分析找出原因，采取对策加以控制，从而起到预测、预防事故的作用。（4）可以用于定性分析，求出危险因素（原因）对事故影响的大小；也可用于定量分析，由各危险因素（原因）的概率计算出事故发生的概率，从数量上说明是否能满足预定目标值的要求，从而明确采取对策措施的重点和轻重缓急的顺序。（5）可选择最感兴趣的事故作为顶上事件进行分析。这和事件树不同，因为事件树是由一个故障开始的，而引起的事故不一定是使用者最感兴趣的。故障树分析法的缺点如下。（1）故障树的绘制需要专门的技术。在风险识别中，故障树的绘制需要专门的技术，这也是风险管理人员较少使用故障树法分析问题的重要原因。只有风险事故造成的损失较大或者存在很深的安全隐患时，需要采用故障树对系统进行整体分析。（2）采用故障树法识别风险的管理成本比较高。由于风险管理经费的限制和不断增加的风险管理工作，会使风险管理受到限制。故障树分析风险事故的方法需要花费大量的时间，需要搜集大量的资料，会导致风险管理成本的增加。（3）相关概率的准确程度直接影响估测的结果。在故障树分析中，有关事件概率的准确程度直接影响风险识别的结果。十、 事件树分析法事件树是一种从初始原因事件起，分析各环节事件正常、失败及发展变化过程，并预测各种可能结果的方法。一个事件树由初因事件和系统事件组成。初因事件是引起事故的起因事件，一个事件树只有一个初因事件。系统事件是由初因事件引起的事件，一个事件树可有多个系统事件。事件序列是表示事件发生过程的一系列符号。事件树分析的步骤归纳如下。（1）确定或寻找可能导致系统严重后果的初因事件，并进行分析，对于那些可能导致相同事件树的初因可归纳为一类。（2）构造事件树，先构造事件树，再构造系统事件树。（3）进行事件树的简化。（4）进行事件序列的定量化。事件树简便易行，但受分析评价人员的主观因素影响。十一、 其他职能部门及各业务单位企业的其他职能部门及各业务单位在全面风险管理工作中应当接受风险管理职能部门和内部审计部门的组织、协调、指导和监督，这些部门的管理人员既包括直接运营部门的经理，也包括财务经理等支持部门的管理人员。他们管理风险并汇报其结果，评估风险与管理过程，按照企业层面的风险排序和风险承受程度投入相应资源，并确定与企业层面战略保持一致的业务单位战略。这些管理部门主要履行以下职责。（1）执行风险管理的基本流程。（2）研究提出本职能部门或业务单位的企业重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。（3）研究提出本职能部门或业务单位的企业重大决策风险评估报告。（4）做好本职能部门或业务单位有关建立风险管理信息系统的工作。（5）做好培育风险管理文化的有关工作。（6）建立健全本职能部门或业务单位的风险管理内部控制子系统。（7）负责风险管理其他有关工作。十二、 总经理（风险管理总监）COSO企业风险管理整合框架指出，企业总经理（首席执行官）对企业风险管理的执行，“承担最根本的职责，并应当负有主体责任”。总经理对企业全面风险管理工作的有效性向董事会负责，为企业的风险管理工作确定基调。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，并负责拟订企业风险管理组织机构设置及其职责方案。总经理在企业风险管理中的主要职责有以下几点。（1）组建并管理企业风险管理职能部门，任命风险管理总监（风险经理或首席风险官）。（2）安排业务职能部门的职责分工并制定风险汇报和审批机制。（3）负责设计、操作及监督风险管理系统。（4）审批非重大决策的评估报告。（5）落实董事会有关风险决策和方案。（6）组织日常风险监督和改进工作。（7）就风险管理工作计划和结果向董事会汇报。随着企业面临的风险日益扩大，风险管理工作的重要性也与日俱增。总经理往往需要委任一名风险管理总监（风险经理或首席风险官）全面负责企业风险管理日常工作，如我国的股份制银行一般设有首席风险官。风险管理总监（风险经理或首席风险官）在国外企业中由来已久，是现代企业管理中重要的高级管理人员，是公司重要的战略决策制定和执行者之一。他们的工作将根据董事会、股东大会的要求，对总经理或总经理授权的副总经理负责，并根据其职责协助总经理开展工作。其职责是负责组织制定并具体执行企业全面风险管理政策和控制措施，负责建立涵盖战略风险、财务风险、市场风险、运营风险和法律风险等在内的全面风险管理组织架构。同时，风险管理总监（风险经理或首席风险官）将作为牵头人参加风险决策的评估和审批工作，确保企业按照风险控制流程进行风险管理，确保各项经营业务符合有关法律、法规和政策的要求等。风险管理总监（风险经理或首席风险官）的主要职责有以下几点。（1）确立和传达企业的风险管理愿景。（2）确定和实施适宜的企业风险管理基础设施（包括风险政策、度量指标、汇报和监督渠道）。（3）建立、沟通和促进适宜的企业了解风险管理方法、工具和技术的运用。（4）推动全企业的风险评估，监督企业主要风险管理能力。（5）向董事会、风险管理委员会、审计委员会和总经理等高级管理层进行适宜的风险汇报。十三、 业务单位和相关职能部门的组织结构及职责设计在风险管理方面，上述各部门的职责如下。1、执行总裁（1）对董事会制定的风险管理策略的执行情况负最终的责任。（2）对处理各种具体风险的执委会进行责任分配。（3）定期听取风险总监的工作汇报，确保及时了解风险管理出现的问题及其对策。2、行政管理执委会（1）监管并控制企业整体性风险，确保运营过程中的风险策略与董事会对风险的取向相一致。（2）审阅资产负债及资本分配执委会提议的政策、程序，制定企业整体的资产负债策略。3、资产负债及资本分配委员会（1）主要专注于研究提出资本在各个业务中的分配，研究提出企业整体的资产负债策略，提交行政管理执委会审核。（2）由专注于市场风险管理的财资管理执委会提供协助。4、业务部门（1）在风险管理政策及程序规范下执行日常运营活动。（2）确保风险信息传递给相关的风险管理部门及经理。（3）参与对风险管理政策及程序的定期检讨（包括对支持系统的适当性，对风险管理的测定方法，汇报渠道，信息科技和人力资源提出意见）。5、一般的职能部门（1）基本责任是向营业单位的经营运作提供支援。（2）有责任就它们在处理风险管理方面遇到的情况向风险管理单位定期汇报。十四、 风险管理组织体系的总体框架1、风险管理的第一道防线：业务单位与相关职能部门业务单位与相关职能部门是企业中的业务经营单位，有特定的目标、战略、市场、客户和产品。成功的业务单位了解自己的竞争对手、客户及所面临的机遇和风险。它们管理和监督经营活动，以创造利润、服务客户、提高产品质量、缩短周期和降低成本；按足以能负担相关成本和风险的价格，向目标的细分市场提供产品和服务，同时还要能够为股东挣得在风险扣除后仍可接受的回报。业务单位向总经理和企业执行委员会汇报业务活动。业务单位与相关职能部门包含了企业大部分的资产和业务，它们在日常工作中直接面对各类风险，风险是他们最先要考虑的。在推出新产品、进入新市场或投资新的研发项目时，业务单位和相关职能部门经常要承受风险。此外，在客户关系、供应商关系、雇员关系及自己所管理的专有资产等方面，业务单位与相关职能部门也面临许多风险。他们需要了解这些会对其产生影响的风险和不确定因素，并且应该有能力对其进行管理。实质上，身处第一线的业务与相关职能单位的管理层不仅负责管理所选定的经营模式中许多固有风险，也是防范这些风险的第一道防线，是企业风险管理的最前线。企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线。企业建立第一道防线，就是要各业务单位就其战略风险、财务风险、市场风险、运营风险和法律风险，进行系统化的识别、衡量、评价、管理和监控。要建立好第一道防线，企业的各业务单位和相关职能部门需要进行以下工作。（1）调整风险排序、风险容忍度和风险战略，使其符合全企业的政策和指导方针。（2）按照企业的整体风险承受能力，调整经营和产品开发活动的针对性，从而为企业开辟新的价值来源。（3）识别和度量风险，查明风险的来源。（4）为各项流程确定基准，交流最佳实践方法，以期持续地改进各项措施和流程。（5）向主要的经理分派风险管理职责和责任。（6）就风险应对措施、控制活动以及信息与沟通的整体质量进行报告。2、企业风险管理的第二道防线：风险管理委员会和风险管理职能部门第二道防线是在第一道防线基础上建立一个更高层次的风险管理功能，它的组成部门可以包括董事会下的风险管理委员会、投资审批委员会、信贷审批委员会等和风险管理职能部门。风险管理职能部门是企业风险管理解决方案中一个选设的部门。在企业经营模式中，有些固有的特定风险不由业务单位予以管理，或者从企业的角度来说没有得到有效的管理，那么，按照风险组合观，这些特定的风险就由风险管理职能部门负责管理。风险管理职能部门的目标是使同一个或多个风险相关的管理工作发展成为企业的一项核心能力。风险管理职能部门可能负责管理的风险包括：利率风险、货币风险、商品价格风险、信用风险、气候风险及灾难风险等。它们评估、集中控制、降低、转移和利用自己负责的这些风险。当业务单位考虑承担某些风险，而自己又没有相关知识和专门技能予以管理时，风险管理职能部门就和它们合作，给予帮助。对企业经营战略实施来说，风险管理职能部门常常会起到非常重要的促进作用。风险管理职能部门可以由企业的某个职能部门或独立运作的单位组成，责任是领导和协调企业内各单位在管理风险方面的工作，它的主要职责包括以下几点。（1）编制规章制度。（2）对各业务单位的风险进行组合管理。（3）度量风险和评估风险的界限。（4）建立风险信息系统和预警系统、厘定关键风险指标。（5）负责风险信息披露，沟通、协调员工培训和学习的工作。（6）按风险与回报的分析，为各业务单位分配风险管理相关资源。相对于业务部门而言，风险管理部门会克服狭隘的部门利益，能够从企业整体利益角度考察企业所面临的各类风险。此外，风险管理部门还可以综合平衡各部门风险。企业在不同的发展阶段，各部门所面临的风险往往是不同的。而作为风险管理职能部门，则需要根据一定的原则，将风险分配于不同部门，对每个部门进行风险上限控制。风险管理总监（风险经理或首席风险官）对风险管理委员会直接负责，但对总经理（执行总裁）负有汇报责任。同样，风险管理职能部门经理直接对风险管理总监负责，但对策略性业务部门负责人负有汇报责任。3、企业风险管理的第三道防线：审计委员会和内部审计部门第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题，这就是企业的内部审计部门。美国内部审计师协会对内部审计所下的定义是：内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内部审计通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。内部审计师应就管理层的决策提出劝告和质疑或表示支持，而不是对风险管理作出决策。依据上述观点，内部审计师协会还确定了在企业风险管理实施中内部审计的核心角色及不应承担的角色。其中核心角色包括以下几点。（1）为企业风险管理流程提供保障。（2）确保风险得到正确的评估。（3）评估风险管理流程。（4）评估关键风险的报告工作。（5）检查对关键风险的管理工作。内部审计不应承担以下职责。（1）设定风险承受能力。（2）批准和命令实施风险管理流程。（3）在就风险及风险管理绩效提供保障方面承担管理角色。（4）决定风险应对的决策。