企业风险管理简易办法

1、1 / 39风险治理简易手册.、八、一前言今天，风险治理在全球范围内差不多成为企业战略治理的核心内 容。一位我尊敬的前辈在今年早些时候告诉我， “所有的治理差 不多上风险治理”，让我对自己热爱的事业重新有了认识。我一直自诩为“风险治理和足球运动比较学讲”的创始人，喜爱 把风险治理之于一个组织类比成中场队员之于一支足球队， 是进 可攻、退可守的关键位置，最容易被人景仰 -假如你足够优秀， 也最容易遭人唾骂-假如你不够出色。三年前我在青岛的一个研讨会上打了那个比方，并断言： 中国企业风险治理的意识、 能力和水平与世界顶级企业相比的差距就象 我们的足球和世界先进水平的差距一样大，假如不是更大的话。我

2、专门希望事实证明我错了。2 / 39现在，我专门清醒地明白：我是正确的，而且可能将在以后专门 长一段时刻内接着正确下去。我一点也不自豪。我极少把工作上的事儿拿回家， 但某一天忍不住向妻子抱怨， 国 内公司的风险治理实在太落后了， 我的耐心差不多用光了， 我对 我事业的前景感到灰心。她象哲学大师一样讲了一句话： “这些 不足事实上差不多上你的机会” ，我因此豁然爽朗。在妻子的鼓舞下， 我决定动笔写那个小册子， 献给那些对风险治 理有兴趣的人。 我对自己能够提供一些有限的关心感到由衷的快 乐。任何读者假如觉得这本小册子对您的工作有小小的启发， 请记住 一句衷告：扼住风险的喉咙，你确实是主宰。我要衷

3、心地感谢George Lazovsky先生， 是他带我走进风险治理 的殿堂，并让我从中获得了无穷的欢乐。祝大伙儿平安健康！马富强2003年5月28日1风险的定义传统定义： 风险是损失的不确定性 (Risk is the uncertainty of loss)。当代 定 义 ： 风 险 是预 期 与 实 际结 果 的差 异 (Risk is the variationbetween expectation and practical reality)。国际标准组织的定义：风险是事件发生的可能性及其后果的综合 (Risk isthe combination of the probability

4、of an event and its consequences)。能够轻易看出， 人们对风险的认识在进步。 当代的风险治理不仅 仅研究只可能造成经济损失的风险， 也开始研究能够带来收益的 风险。关于企业的经营者来讲，前者是负面风险，后者是正面风 险。在有些时候，同一风险既可能带来损失，也可能带来收益。作为3 / 39风险治理的一个重要分支，安全治理或风险工程学(RiskEngineering)仅研究负面风险， 其目标是如何预防并减少损失， 更侧重于防灾防损工程技术方面的研究。本手册探讨的是最新意义上的风险。2风险治理定义： 风险治理确实是组织对面临的各种风险进行识不、评估，确定恰当的处理方法

5、并予以实施， 以可确定的治理成本替代不确定的风险成本，并以最小经济代价获得最大现实保障的活动。风险治理的核心是对风险进行识不和处理， 其全然目标是确保组 织经营的稳定、持续和进展。能够讲，好的风险治理机制能够增 加企业成功的概率，降低失败的可能。风险治理是动态的， 始终贯穿于组织战略的制订和执行。 风险治 理为组织的经营者提供可靠的方法来应付组织面临的各种风险， 包括过去、 现在和今后的风险， 尤其是为决策者提供作为或不作4 / 395 / 39为的依据。风险治理必须同组织的经营文化紧密结合，并需要最高治理层的全力支持。风险治理的受托人是风险治理经理(Risk Manager)，而随着组织决策

6、人对风险治理的日益重视，在风险治理最发达的北美，一些组织中差不多出现了首席风险官(Chief Risks Officer)，负责把组织的战略转化成可操作的各种打算和流程，督促组织各级成员进行实施， 并设立严谨的考核体系， 以确保组织的运营水平 不断提高。风险治理的功能:给组织以后的经营活促进组织资源的最优动提供框架性指导；配置；促进组织决策、规划爱护组织的资产和形的科学性；象；提高组织的经营免疫提高组织的运营效6 / 39率；实现组织社会责任目标。最低目标：确保组织的生存；中间目标：促进组织的进展；最高目标：实现组织的社会责任3.风险治理流程概述组织面临的各种风险可简单划分成内部风险和外部风险

7、，并可进一步划分为战略风险、财务风险、运营风险和灾难类风险。下面是个简单的示意图(Risk Mapping)。财务风险战略风险利率竞争外汇客户变更信用行业变更合并、收购市场需求现金流研究与进展内部因素知识产权力;风险治理的目标:7 / 39合同8 / 399 / 39分析组织的经营流程与契约结构也是识不风险的重要方法。不管用那种方法，风险治理都既是一个整体过程， 也是一个个决策过 程的综合。其步骤大致如下：组织的战略目i风险识不:风险描述决策风险的处理监控与改进10 / 3941风险的识不风险识不是将组织面临的各种不确定因素一一鉴不出来。 这需要 对组织自身的经营状况、 其所在市场的情况， 其

8、所处法律、 社会、 政治和文化环境有深入的认识和了解， 同时要求该组织要有明确 的经营战略， 由此方可识不促使组织成功的因素， 以及那些威胁 到组织赢取其战略目标的因素。风险的识不是一个动态的过程， 随组织和其所在环境的进展变化 而进展、变化。风险的识不应当一种系统方法来进行， 以确保组织的所有要紧活 动及其风险都被囊括进来，并进行有效的分类。组织的行为、活动、决策等可用专门多方法加以分类，以下是个 常见的分类：13风险的分析与评估与策略有关的风险：关系到组织长远战略目标的风险，例如资本的可获得性、政治风险、法律和政 策变更、声誉、竞争态势等等；-与运营有关的风险：关系到组织日常经营的风险；-

9、与财务有关的风险：关系到组织财务状况的风险，例如应收帐款、银行贷款、外汇汇率、利率变动 和其他市场风险等；-与知识治理有关的风险：这关系到组织 对知识资源的操纵与治理，例如知识产权的侵权或被侵权， 竞争技术的出现，信息系统的功能错乱，关键技术人员的流-与合法(合规)经营有关的风险：包括职员的安全与健康、环境污染、消费者权益爱护等等；-灾难类风险：要紧是指自然灾难或意外事故给组织带来的各种经济损失。有效的风险识不应当形成一个风险清单(Risk Manifest)，列明11 / 3913 / 39组织面临的各种要紧风险。4.24.2将风险识不出来以后，通常需要使用一些表格的形式对风险的特 征进行精

10、确的描述。不管是对组织的日常经营， 依旧针对某个特 定的项目，都能够采纳这种做法。其适用性特不广泛。见下表。条目描述1风险的名称2风险的波及范围风险本身、其类型、大小、数量的定性描述3风险的分类策略类、运营类、财务类、知识治理类、合法经营类、灾难类等等4风险的参与者谁分担这些风险？各自期望如何？5风险的量化频率与烈度6对风险的期望暴露于风险之下的总价值； 潜在损失或收益的规模与概率； 风险操纵的目标以及预期。7风险的处理和操纵对风险进行处理的现行方法；风险14 / 39信心指数；审核与监控的方法。8潜在的改进措施进 步减少风险的方法与措施9策略的制订确定风险治理策略，并责成职能部门负责日常监管

11、。4.34.3任何风险最后都需要用数字或精确的文字描述来表述，否则是无法被大多数人正确认识的。关于风险的量化，一般是通过分析两个维度，即发生的频率(Frequency)与一旦发生所造成后果的严峻程度(Severity)，来进行的。这种方法既适用于“负面风险”-即只有可能造成损 失的风险，也适用于“正面风险”-即有可能造成收益的风险。风险量化通常能够通过距阵分析发来进行，距阵数列越多，量化风险的量化15 / 39得越周密。一般讲来，风险治理专家通常使用3x3或5x5距阵读者能够依照自己组织的具体情况进行选择。下面是一些简单的例子。关于发生频率的分析-损失量化可能描述重要迹象高每年都可能发生，或者

12、发生十年内已多次发生；专门可能概率咼于0.25最近三年内发生过。发生中每十年发生一次，或发生概十年内发生过超过一次；有可能发率小于0.25历史上曾经发生过。生低十年内不太可能发生，或发从来没有发生过；不太可能生概率小于0.02依照合理掌握的知识认为发生不太可能发生。读者们不妨依照上表分析一下“非典型性肺炎”这种风险再次爆 发的可能性。关于发生频率的分析-收益16 / 39量化可能描述重要迹象高年内可取得最好的预期短期内依靠现有体制并专门可能成果，或成功概率大于0.75有明确机会取得确定性发生成果。中一年内可取得合理的预期短期内按照预定打算并有可能发成果，或成功概率在0.25在现有体制内无法取得生到0.75之间成果，但采取恰当措施则有可能。低一年内不太可能获得预期短期内按照预定