【企业管理】风险管理简易手册.pdf

【企业管理】风险管理简易手册 前言 今天，风险管理在全球范围内已经成为企业战略管理的核心内容。一位我尊敬的前辈在今年早些时候告诉我，“所有的管理都是风险管理”，让我对自己热爱的事业重新有了认识。我一直自诩为“风险管理与足球运动比较学说”的创始人，喜欢把风险管理之于一个组织类比成中场队员之于一支足球队，是进可攻、退可守的关键位置，最容易被人景仰 假如你足够优秀，也最容易遭人唾骂 假如你不够出色。三年前我在青岛的一个研讨会上打了这个比方，并断言：中国企业风险管理的意识、能力与水平与世界顶级企业相比的差距就象我们的足球与世界先进水平的差距一样大，假如不是更大的话。我很希望事实证明我错了。现在，我很清醒地明白：我是正确的，而且可能将在未来很长一段时间内继续正确下去。我一点也不自豪。我极少把工作上的事儿拿回家，但某一天忍不住向妻子埋怨，国内公司的风险管理实在太落后了，我的耐心已经用光了，我对我事业的前景感到灰心。她象哲学大师一样说了一句话：“这些不足事实上都是你的机会”，我因此豁然开朗。在妻子的鼓励下，我决定动笔写这个小册子，献给那些对风险管理有兴趣的人。我对自己能够提供一些有限的帮助感到由衷的高兴。任何读者假如觉得这本小册子对您的工作有小小的启发，请记住一句衷告：扼住风险的喉咙，你就是主宰。我要衷心地感谢 George Lazovsky 先生，是他带我走进风险管理的殿堂，并让我从中获得了无穷的快乐。祝大家平安健康！马富强 2003 年 5 月 28 日 1风险的定义 传统定义：风险是缺失的不确定性（Risk is the uncertainty of loss）。当代定义：风险是预期与实际结果的差异（Risk is the variation between expectation and practical reality）。国际标准组织的定义：风险是事件发生的可能性及其后果的综合（Risk is the combination of the probability of an event and its consequences）。能够轻易看出，人们对风险的认识在进步。当代的风险管理不仅仅研究只可能造成经济缺失的风险，也开始研究能够带来收益的风险。关于企业的经营者来说，前者是负面风险，后者是正面风险。在有些时候，同一风险既可能带来缺失，也可能带来收益。作为风险管理的一个重要分支，安全管理或者风险工程学（Risk Engineering）仅研究负面风险，其目标是如何预防并减少缺失，更侧重于防灾防损工程技术方面的研究。本手册探讨的是最新意义上的风险。2风险管理 定义：风险管理就是组织对面临的各类风险进行识别、评估，确定恰当的处理方法并予以实施，以可确定的管理成本替代不确定的风险成本，并以最小经济代价获得最大现实保障的活动。风险管理的核心是对风险进行识别与处理，其根本目标是确保组织经营的稳固、持续与进展。能够说，好的风险管理机制能够增加企业成功的概率，降低失败的可能。风险管理是动态的，始终贯穿于组织战略的制订与执行。风险管理为组织的经营者提供可靠的方法来应付组织面临的各类风险，包含过去、现在与将来的风险，特别是为决策者提供作为或者不作为的根据。风险管理务必同组织的经营文化密切结合，并需要最高管理层的全力支持。风险管理的受托人是风险管理经理（Risk Manager），而随着组织决策人对风险管理的日益重视，在风险管理最发达的北美，一些组织中已经出现了首席风险官（Chief Risks Officer），负责把组织的战略转化成可操作的各类计划与流程，督促组织各级成员进行实施，并设立严谨的考核体系，以确保组织的运营水平不断提高。风险管理的功能：给组织未来的经营活动提供框架性指导；促进组织决策、规划的科学性；提高组织的经营免疫力；促进组织资源的最优配置；保护组织的资产与形象；提高组织的运营效率；实现组织社会责任目标。风险管理的目标：最低目标：确保组织的生存；中间目标：促进组织的进展；最高目标：实现组织的社会责任。3风险管理流程概述 组织面临的各类风险可简单划分成内部风险与外部风险，并可进一步划分为战略风险、财务风险、运营风险与灾害类风险。下面是个简单的示意图（Risk Mapping）。财务风险 利率 外汇 信用 合同 自然灾害 供应商 法规 组织文化 管理人员 战略风险 竞争 客户变更 行业变更 市场需求 合并、收购 现金流 研究与进展 知识产权 内部因素 分析组织的经营流程与契约结构也是识别风险的重要方法。不管用那种方法，风险管理都既是一个整体过程，也是一个个决策过程的综合。其步骤大致如下：1 3 风险的分析与评估 41 风险的识别 风险识别是将组织面临的各类不确定因素一一鉴别出来。这需要对组组织的战略目标 风险识别 风险描述 风险的量化 监控与改进 深入分析 威胁与机会 管理报告 风险的处理 决策 织自身的经营状况、其所在市场的情况，其所处法律、社会、政治与文化环境有深入的认识与熟悉，同时要求该组织要有明确的经营战略，由此方可识别促使组织成功的因素，与那些威胁到组织赢取其战略目标的因素。风险的识别是一个动态的过程，随组织与其所在环境的进展变化而进展、变化。风险的识别应当一种系统方法来进行，以确保组织的所有要紧活动及其风险都被囊括进来，并进行有效的分类。组织的行为、活动、决策等可用很多方法加以分类，下列是个常见的分类：-与策略有关的风险：关系到组织长远战略目标的风险，比如资本的可获得性、政治风险、法律与政策变更、声誉、竞争态势等等；-与运营有关的风险：关系到组织日常经营的风险；-与财务有关的风险：关系到组织财务状况的风险，比如应收帐款、银行贷款、外汇汇率、利率变动与其他市场风险等；-与知识管理有关的风险：这关系到组织对知识资源的操纵与管理，比如知识产权的侵权或者被侵权，竞争技术的出现，信息系统的功能错乱，关键技术人员的流失等等；-与合法（合规）经营有关的风险：包含员工的安全与健康、环境污染、消费者权益保护等等；-灾害类风险：要紧是指自然灾害或者意外事故给组织带来的各类经济缺失。有效的风险识别应当形成一个风险清单（Risk Manifest），列明组织面临的各类要紧风险。42 42 风险的描述 将风险识别出来以后，通常需要使用一些表格的形式对风险的特征进行精确的描述。不管是对组织的日常经营，还是针对某个特定的项目，都能够使用这种做法。其适用性非常广泛。见下表。条目 描述 1 风险的名称 2 风险的波及范围 风险本身、其类型、大小、数量的定性描述 3 风险的分类 策略类、运营类、财务类、知识管理类、合法经营类、灾害类等等 4 风险的参与者 谁分担这些风险？各自期望如何？5 风险的量化 频率与烈度 6 对风险的期望 暴露于风险之下的总价值；潜在缺失或者收益的规模与概率；风险操纵的目标与预期。7 风险的处理与操纵 对风险进行处理的现行方法；信心指数；审核与监控的方法。8 潜在的改进措施 进一步减少风险的方法与措施 9 策略的制订 确定风险管理策略，并责成职能部门负责日常监管。43 43 风险的量化 任何风险最后都需要用数字或者精确的文字描述来表述，否则是无法被大多数人正确认识的。关于风险的量化，通常是通过分析两个维度，即发生的频率（Frequency）与一旦发生所造成后果的严重程度（Severity），来进行的。这种方法既适用于“负面风险”-即只有可能造成缺失的风险，也适用于“正面风险”-即有可能造成收益的风险。风险量化通常能够通过距阵分析发来进行，距阵数列越多，量化得越精密。通常说来，风险管理专家通常使用 3x3 或者 5x5 距阵。读者能够根据自己组织的具体情况进行选择。下面是一些简单的例子。关于发生频率的分析 缺失 量化估计 描述 重要迹象 高 很可能发生 每年都可能发生，或者者发生概率高于 0.25 十年内已多次发生；最近三年内发生过。中 有可能发生 每十年发生一次，或者发生概率小于 0.25 十年内发生过超过一次；历史上曾经发生过。低 不太可能发生 十年内不太可能发生，或者发生概率小于 0.02 从来没有发生过；根据合理掌握的知识认为不太可能发生。读者们不妨根据上表分析一下“非典型性肺炎”这种风险再次爆发的可能性。关于发生频率的分析 收益 量化估计 描述 重要迹象 高 很可能发生 一年内可取得最好的预期成果，或者成功概率大于0.75 短期内依靠现有体制并有明确机会取得确定性成果。中 有可能发生 一年内可取得合理的预期成果，或者成功概率在 0.25到 0.75 之间 短期内按照预定计划并在现有体制内无法取得成果，但采取恰当措施则有可能。低 不太可能发生 一年内不太可能获得预期成果，或者成功概率小于0.25 短期内按照预定计划并在现有体制内无法取得成果，管理层暂时也没有恰当的办法。关于后果严重程度的分析 缺失与收益 高-对组织财务状况的冲击巨大；-对组织战略与经营活动造成重大影响；-引起各关系方的高度关注。中-对组织财务状况的冲击较大；-对组织战略与经营活动造成较大影响；-引起各关系方的较多关注。低-对组织财务状况的冲击较小（在心理承受线下列）；-对组织战略与经营活动没什么影响；-各关系方不可能有很多关注。5x5 距阵是在“低”与“中”之间加一个“通常”，在“中”与“高”之间加一个“较高”，这样将形成五个等级。至此，读者能够综合考虑一下，对一个出口型企业来说，应当如何评估其产品在海外市场遭到反倾销投诉的风险。下图是个简单的 3x3 距阵。44 44 风险识别与分析的方法与技巧 风险的识别与分析有很多方法、技巧，通常说来，下列这些是最常用的：风险识别-头脑风暴（集思广益）；-合同结构分析；-问卷调查；-行业参照；-业务流程分析；-情境分析（最好与最差情境）；-事件分析；-研讨会；-调查与审计。风险分析 关于“正面风险”：-市场调研；-前景预测；-研究与进展；-实验性营销；-冲击力分析。关于“正面风险”与“负面风险”-组织依存模型分析（泛契约关系模型分析）；-SWOT 分析；-事件树分析法；-持续经营计划（BCP）；-BPEST 分析（商业、政治、经济、社会、技术分析）-统计分析与推论；-PESTLE 分析(政治、经济、社会、技术、法律、环境分析)；-散布与倾向分析。关于“负面风险”-威胁分析；-失误树分析；-FMEA 分析（失败模式与效果分析）。45 45 风险剖面图 上述风险分析完毕后，就能够画出任意风险的剖面图，并开始探求对任意风险的处理方法。风险剖面图需要列明风险的种类，性质，分析（频率与后果），参与方/关系方，并提议处理方法。由于经常为一些项目提供风险管理咨询，我本人非常习惯使用特定格式来画风险剖面图。附件一是个简单的例子。风险的分析与评估需要达到这样一个效果，即任意风险都要有明确的归属。风险的承担者能够是组织本身及内部的各个构成，也能够是与组织有契约关系的其他组织。5风险的处理 通过对风险进行分析与评估，组织的管理层应当已经识别出了影响组织战略目标的风险与其归属，需要考虑采取那些手段对风险进行处理。要紧手段包含：1.1.避免（不去做某事以不承担任何风险）；2.2.自留（由组织自身承担）；3.3.操纵与弱化（安全管理，降低风险的频率与烈度）；4.4.转移（在契约关系方之间进行）；5.5.财务处理（保险与其他方式）。成熟的组织应当首先考虑前端处理方法，然后按顺序考虑中、后端处理方法。这是由于对风险的处理越靠近前端，组织就越主动，处理成本就越好操纵。任何风险处理系统都至少需要达到下列目标：1.1.确保组织运营的效率；2.2.确保有效的内部操纵；3.3.确保组织的合法、合规经营。务必指出：任何对风险的处理都是有经济代价的，推断风险处理的方法是否得当要紧是比较风险自身的成本与对风险进行处理的成本，后前端处理 后端处理 者小于前者是最低标准。另外，对某一特定风险进行处理在多数情况下会带来新的风险。一旦新的风险被识别出来，组织应当进行相应的分析与评估。举个简单的例子：在办公大楼内禁止吸烟降低了火灾的频率，安装喷淋系统降低了火灾的烈度。但喷淋系统有可能在平常破裂造成水损。在这种时候，风险管理人员需要比较对甲风险的处理成本是否低于处理后衍生风险的成本，若否则需要考虑对甲风险的其他处理手段。在对风险进行财务处理中，保险是个很重要的方式，但不是唯一的方式。对保险公司进行甄别与选择需要考虑组织的整体风险管理标准。在这里提个问题请大家思考：中国企业选择保险公司的标准是什么？是否与组织的战略目标保持一致？6 6 风险管理中的汇报渠道与沟通 71 内部汇报渠道 优秀的风险管理体制应当给组织中不一致级别的机构与人员提供不一致的信息。董事会及成员应当：明白组织面临的最要紧战略风险；明白组织实际经营效果与各方预期之间的差异及其后果；确保组织里各级机构及员工都有恰当的风险意识；明白组织应当如何进行危机处理；意识到股东对组织信心与信任的重要性；明白如何管理与投资机构的沟通；明白风险管理系统是否在有效运行；公布组织的风险管理政策、哲学、与使命。各营业机构应当：明白各自工作范围内的要紧风险与对其工作业绩的影响；设立明确的运营指标作为基准，以定期考察实际经营效果与预期之间的差异，并提供改进建议；向高级管理层随时或者定期汇报新出现的风险，或者当前体制中存在着的风险操纵瑕疵；基层员工应当：熟悉组织风险管理系统的基本要求；熟悉自己工作职责内的要紧风险；明白应当如何持续改进其各自工作范围内的风险管理；意识到个人风险管理与风险意识对组织的重要性；向上级管理层随时或者定期汇报新出现的风险，或者当前体制中存在着的风险操纵瑕疵。72 外部汇报渠道 任何组织都需要向其投资人或者主管部门定期汇报风险管理政策，及事实上施的有效性。随着时代的不断进步，越来越多的投资人、社会公众与主管部门会对组织的非财务性经营成果表示关注，比如环保、安全生产、社区形象等等，因此组织对外通报其风险管理政策与效果提出了新的要求。出色的风险管理体制应当提供操作性很强的方法，以达到保障组织的生存，促进其进展，保护投资人与社会公众利益的最终目的。关于经营透明度要求很高的公共组织（比如政府或者上市公司）来说，以正式途径向公众或者直接利益方通报其风险管理政策更是举足轻重。这里处理失败的例子举不胜举，值得深思。正式通报途径应当明确指出：对风险的操纵手段，特别是主管人员对风险管理的责任与义务；识别风险的流程，与组织风险管理体系的处理方法；对重大风险的操纵手段；风险管理的监督与改进机制。任何现有风险管理系统没有涵盖的重大风险，或者者系统本身的瑕疵都应当及时向组织外部关系方进行通报，并提出行动计划。7 7 风险管理的结构与日常管理 71 风险管理政策 任何组织的风险管理政策都应当以书面方式表达，并明确提出组织对风险的认识与管理思路（即“风险文化”）。该政策应当对风险管理职责在组织内的分配做出清晰的分工。此外，风险管理政策应当尽可能多地援引组织所处法律与政策环境的要求。法律规定是对风险管理的最低要求。风险管理政策应当提出针对组织运营特点的风险识别、分析与评估方法，要做到简单明了，以便于组织各级机构掌握。组织的最高决策层应当对风险管理政策的制订负全面责任。82 董事会的角色 董事会负责确定组织风险管理的战略方向，制造并保护一个能够让风险管理机制有效运行的大环境。董事会可下列令成立“风险管理委员会”，由组织内高级管理人员构成；也能够委任“首席风险官”来全权处理风险管理事务。董事会至少应当考虑如下事项：组织承担负面风险的极限；这些负面风险一旦发生组织的命运如何；如何对这些负面风险进行主动管理；主动管理这些负面风险的能力极限；主动管理这些负面风险的成本极限；主动管理这些负面风险的预期效果；主动管理这些负面风险的决策。83 各营业机构的角色 组织内部各营业机构至少应当考虑如下事项：各自领域内要紧风险是否在日常工作中得到了有效管理；如何在各自机构内部提高风险意识；从事的特定项目是否在不一致阶段都有相应的风险管理措施；是否有定期对各自领域内的风险进行审核的机制。84 风险管理专职部门的角色 根据组织的规模大小与经营复杂程度，能够设立如下专职机构：风险管理委员会；首席风险官；全职风险管理经理；兼职风险管理经理；风险管理协调人。据说现在推断一个组织是否实力雄厚的重要根据是看该组织的官方网站，但在我看来，推断一个组织的实力也好，进展前景也好，要紧是看该组织是否有专门的风险管理职能部门。这是个重要的分水岭。全职风险管理经理应当至少负责如下事务：受董事会委托具体制订组织风险管理战略与政策；在组织内部推行组织的风险文化，提高全员风险意识；向组织内部机构提供风险管理培训；给每个营业机构设立内部风险政策与目标；根据组织特点设计并执行风险管理计划；受理组织内部及外部关于改进风险管理的建议与意见；制订危机处理计划；编写、修订组织的风险管理手册；向董事会或者首席执行官汇报风险管理事务，并同意董事会委托向组织外部有关方面通报风险管理事项。85 内部审计的角色 内部审计的功能与角色因组织具体情况而有很多不一致，但在风险管理上，至少应当承担下列任务：审查组织风险管理政策在各机构的执行情况；向风险管理专门机构提供评估报告；普及并提高内部审计人员的风险意识。86 人力资源部的角色 在工作描述中明确各职位的风险管理功能；配合风险管理专门部门对组织全体成员提供风险管理培训。组织也能够充分利用诸如专业的风险管理、安全管理咨询机构、保险公司的防灾防损服务、政府主管部门的监督检查机构、行业协会等外部资源来帮助组织制订、实施风险管理政策与计划。8对风险管理的监督与审核 有效的风险管理机制不是一个密不透风的铁罐子，而应当有充分的弹性来采纳来自各方面的改进意见。另外，组织与其外部环境都是在不断进展、变化中的，因此需要对组织的风险管理系统进行日常监督与定期审查，以保证其可靠性与有效性。监督与审核机制要紧考察下列事项：风险管理系统是否达到预期效果；风险管理程序是否合理；风险信息及其采集方法是否有效；是否有新的风险管理知识、技术、方法产生。至此，组织风险管理的第一个大循环结束。9.风险管理部门与组织内其他部门的关系 自上个世纪七十年代以来，风险管理在组织中发挥的作用一直在高速地进展、变化。七十年代的风险管理负责的仅仅是对组织各类保险的安排与管理，比如财产保险，责任保险，劳工赔偿保险等等。要紧思路是统一管理组织需要的各类保险 也就是以支付固定保险费为经济代价将风险转移给保险公司，并相应地负责一些安全管理职能，比如防灾、防损等。这一时期风险管理职能多数情况下是由财务部兼任的 毕竟安排保险也好，向保险公司索赔也好都与财务有直接关系。组织内部并没有大规模出现具有独立职责的风险管理部门，也很少有专职风险管理经理。中国企业眼下的平均风险管理水平大约相当于西方先进企业七十年代初期与中期的水平。七十年代后期到八十年代中期，风险管理开始在组织中起到越来越大的作用，其职责也从最初对保险进行管理升级到了要保证企业的财务稳固与健康。这阶段出现了很多非保险方式的风险处理方法，比如提高风险自留额，设立内部风险基金，最后出现了组织专属的自保公司。风险管理在组织中开始真正介入到管理层面上来，出现了专职的风险管理经理，统一管理组织（特别是跨国组织）在全球的各类风险，包含但不限于财产缺失风险，财务缺失风险，法律责任风险，人员缺失风险等等。风险管理经理开始与组织内部的有关部门，比如法律部门，审计部门，质量操纵部门，安全生产部门，人力资源部门等开始全面的合作。一直到现在，大多数西方企业依然处在这一阶段的后期，风险管理经理在组织中具有非常重要的地位，通常是直接向首席财务长官汇报。这一时期风险管理开始涉足风险管理的中前端部分。下图是一个在今天依然有很多跨国公司使用的风险管理组织机构图。这一时期风险管理学说也得到了极大丰富与完善，风险管理的理论与实践在各行业都有很好的进展。进入九十年代以来，随着跨国业务的飞速进展，与组织面临风险的多样化与复杂化，要求风险管理务必发挥更多的主动管理作用，而不是传统的等风险出现后对之进行处理。这要求风险管理务必全面涉及到组织的各个方面，而且能够在对过去与现在进行科学分析的基础上，为组织的决策者提供前瞻性的信息与根据，真正做到高瞻远瞩，未雨绸缪。风险管理经理 自保公司 保险事务 安全管理 财务总监 九十年代后期，一些最先进的跨国公司开始考虑对组织面临的各类风险进行统一的、全面的管理，这就是今天一些风险管理人士津津乐道的“Enterprises Risk Management”，简称 ERM。在这一新体系下，风险管理承担了前所未有的重要职责，风险管理者在组织中的地位也比以往任何时候都重要。下图是目前全世界最先进的跨国公司使用的风险管理组织结构。董事会 首席风险官 首席法务官 首席运营官 首席财务官 风险管理 首席执行官 各自下属部门 各自下属部门 各自下属部门 内部审计 由此可见，风险管理进展到了今天，已经在组织中起到了决定性的作用。随着经济的进展，新的风险也在不断出现，是否拥有一个科学的全面风险管理体系对任何组织来说已经是生死攸关的大事，我们对风险与其管理的认识更要“与时俱进”。关于中国企业来说，风险管理能带来的效益实在太多了。但首先需要决策者清醒地认识到自身的差距，然后再奋起直追。据说在信息时代中国企业具有很多“后发优势”，能够少走很多发达国家企业走过的歧途，我衷心希望我能首先在风险管理领域看到这种迹象。这也是为什么我选择免费发放本手册的根本原因。祝聪明的中国企业家们好运！感谢叶会文先生对本章的建议。保险事务 战略风险 财务风险 运营风险 灾害风险 安全管理 后记 在马上完工的时候，一个看过初稿的朋友问我：“从事风险管理专业需要什么样的素养？”这真是个很好的问题，由于没有标准答案，或者者说有很多种答案 就象鲍勃笛伦的那首歌唱的那样。我记得大学里教保险数学的老师对精算师的素养有这样的评论：“优秀的精算师应当是四分之一的数学家，四分之一的统计学家，四分之一的经济学家，再加上四分之一的社会学家。”关于风险管理人士，上述要求大概是太高了。在这里我斗胆给出一个答案吧。“假如你受过良好的教育，是个诚实、守法、尊重科学并掌握了常识的人，有一定的制造性与想象力，通过系统的学习、训练与实践，就有可能成为风险管理专业人士。”这样的要求算不算太高？大家来给我答案吧