风险管理原则.doc

第九章 风险管理原则本书第四章曾简单介绍了战略决策过程中的风险评估与管理概念，而本章将对风险及风险管理原则和程序作更详细的讨论和分析。第一节 风险概览一、风险的定义由于现代社会活动甚为复杂，每个人及各行各业每天都必须面对各种不同的风险。但是，到目前为止对于风险的定义，国内外学术界众说纷纭，尚未发展出一个简易明了、大家一致认同的说辞。经济学家、行为科学家、风险理论学家、统计学家以及精算师，均有自己的风险观念。在理论上，比较有代表性的观点有三种:第一种观点是把风险视为机会，认为风险越大可能获得的回报就越大，相应可能遭受的损失也越大;第二种观点把风险视为危机，认为风险是消极的事件，可能产生损失，这常常是大多数企业所理解的风险;第三种观点介于两者之间，也更为学术，认为风险是一种不确定性。在实务中，人们从不同的角度对风险进行理解。一般来说，风险的定义主要可分为以下两种:(一)事件发生的不确定性这是一种主观的看法，着重于个人及心理状况。由于对未来事情的发生难以预测，在企业的经营活动中常会遭遇到许多的不确定性，令企业经营者产生恐惧、忧虑，使得企业经营的绩效降低。相反地，不确定性并非全是风险，亦有充满希望的一面，为企业经营者带来希望、光明、迈向成功，获得盈利。因此，从主观观点而言，风险是指在一定情况下的不确定性，此不确定性意指:(1)发生与否不确定 (2)发生的时间不确定 (3)发生的状况不确定; (4)发生的后果严重性程度不确定。(二)事件遭受损失的机会这是一种客观的看法，着重于整体及数量的状况。该观点认为风险是指在企业经营的各种活动中发生损失的可能性，亦即企业在某一特定期间内的经营活动，例如某企业一年中遭受损失的概率介于 0与 l之间。若概率为 0，即表示该企业的经营活动不会遭受损失;若概率为 1，则该企业的经营活动必定会发生损失;若该企业在经营活动中发生火灾损失的概率为 0.5，亦表示该企业遭受火灾损失的风险可能在未来的两年中发生一次。因此，企业经营活动损失的概率越大，风险也越大。二、风险的特性风险具有客观性、普遍性、损失性和可变性四种特性。(一)风险具有客观性风险是不以企业意志为转移，独立于企业意志之外的客观存在。企业只能采取风险管理办法降低风险发生的频率和损失幅度，而不能彻底消除风险。(二)风险具有普遍性在现代社会，个体或企业面临着各式各样的风险。随着科学技术的发展和生产力的提高，还会不断产生新的风险，且风险事故造成的损失也越来越大。例如，核能技术的运用产生了核子辐射、核子污染的风险;航空技术的运用产生了意外发生时的巨大损失的风险。(三)风险具有损失性只要风险存在，就一定有发生损失的可能。如果风险发生之后不会有损失，那么就没必要研究风险了。风险的存在，不仅会造成人员伤亡，而且会造成生产力的破坏、社会财富的损失和经济价值的减少，因此才使得个体或企业寻求应对风险的方法。(四)风险具有可变性风险的可变性是指在一定条件下风险具有可转化的特性。世界上任何事物都是互相联系、互相依存、互相制约的。而任何事物都处于变动与变化之中，这些变化必然会引起风险的变化。例如科学发明和文明进步，都可能使风险因素发生变动。三、企业可能面对的风险种类在商业活动的层面上，企业可能面对的风险可分为两大类:行业风险和经营风险。(一)行业风险行业风险是指在特定行业中与经营相关的风险。企业选择在哪个行业中经营显得非常关键。在考虑企业可能面对的行业风险时，以下几个因素是非常关键的:1.生命周期阶段。如本书第二章所述，行业有生命周期。企业会经历起步期、成长期、成熟期及最后的衰退期。显然，处于成长期的行业会比处于成熟期或衰退期的行业有利得多。波动性。波动性是与变化相关的一个指标。波动性行业是指成长迅速变化，充满上下起伏的行业。波动性行业会涉及较大的不确定性，使计划和决策变得更难。波动性行业包括电子业、软件业、房地产业和建筑业。 集中程度。对企业来说，比较好的情况是在一个受保护的行业中处于垄断地位，就像某些国家公用事业公司或国家政府所管理的公司一样。但是，随着大多数国家的发展、国家企业私有化、关税壁垒降低，以及新兴行业与成熟公司的相互竞争，这些垄断地位已经被推翻，而且各行业变得更具竞争性。(二)经营风险经营风险可简单定义为经营企业时面临的风险。从某种程度上来说，企业所做的所有决策都具有风险，管理层不能保证所做的每一个决策都是正确的。例如，每次雇用新的员工，他们都会面临风险。如果该员工表现不良怎么办?如果他不遵守指示并且在工作中不断犯错误怎么办?但是，在很多情况下，公司和个人为了获取利润也会承担风险。如果他们能盈利，那么企业就会发展并为股东及其他权益持有者创造财富。经营风险的广义标准定义是指由于采用的战略不当，资源不足，或者经济环境或竞争环境发生变化而不能达成经营目标的风险。它包括市场风险、政治风险、操作风险、法律/合规性风险、项目风险、信用风险、产品风险、流动性风险、环境风险和声誉风险。1.市场风险市场风险，有时也称为财务风险或价格风险，它指由于市价的变化而导致亏损的风险。企业需要管理的主要市场风险是利率风险、汇率风险、商品价格风险和股票价格风险。（1）利率风险。利率风险是指困利率提高或降低而产生预期之外损失的风险。（2）汇率风险。汇率风险或货币风险是由汇率变动的可能性，以及一种货币对另一种货币的价值发生变动的可能性导致的。 （3）商品价格风险。主要商品的价格出人意料地上涨或下跌，可能使业务面临风险。提供商品的公司，比如石油公司和农产品公司，会直接受到价格变动的影响。同样地，依靠使用日用品的公司，也会遭受来自价格变动的风险。商品价格风险会影响到消费者和最终用户，如制造商、各国政府、加工商和批发商。如果商品价格上升，商品采购成本增加，减少交易利润。价格风险也会影响到商品生产者。如果商品价格下降，生产收入也会降低，从而减少企业所得。价格风险是影响商品生产者的最大风险，因此应加以管理。商品价格可能由本国货币决定，便于本地客户业务的进行。然而，当一个商品通常由另一种货币进行交易却由本国货币定价时，汇率将是商品总价格的一个组成部分，因此，汇率风险仍需要加以考虑。一些公司通过提供国内商品价格帮助他们的客户进行风险管理。企业可在一段时间内制定商品价格，或者可以转嫁商品价格变化，但允许用户使用固定汇率计算国内价格。对于后者，供应商有效地承担了汇率风险。两种情况对于小型企业或那些只偶尔购买商品并且自己不愿管理风险的企业来说都是有所帮助的。 (4)股票价格风险。股票价格风险影响企业股票或其他资产的投资者，其表现是与股票价格相联系的。例如，若企业须为员工保持足够的养老基金，则暴露于股票价格风险，因其回报率取决于一系列的股票红利以及股票价格变动产生的资本利得。对该风险的敞口可能是一只股票或几只股票，也、可能是一个行业或整个市场。股票价格风险也影响到企业通过出售股票和相关证券进行融资的能力。因此，股权风险与企业获取足够资本或流动资金的能力有关。对以上四类风险而言，利率风险与汇率风险可能会互相关联。对于承包商来说，这些市场风险可能会极其严重。当对一项完工时间较长的合同进行投标时，必须对利率、汇率和原材料(商品)价格作出相应假设。除非这些价格的所有变化能完全转移到客户身上，否则承包商必须承担这些风险。对大多数风险而言，时间范围越大，越难预测相关价值;而且据我们所知，对这些风险进行套期的可能性也越小。承包商还需要从另一角度进行考虑。承接合同的目的是盈利，就算收到付款，而且作出了合理准确的成本估计，承包商仍可能会因接受付款之前所发生的不利的汇率变动而遭受亏损。假定最后一次付款通常是延期的，以涵盖保质期。如果在此期间突然发生贬值，则仍然会较大程度地降低预期回报率。不幸的是，许多企业，甚至是发达国家的企业对市场风险不了解，而且有时由于无知而承担了很重大的风险。有时不作任何应对也是一种具有风险的决定。不对风险进行套期，意味着企业实际上接受了一个开放式的风险，即价格会朝着违反企业意愿的方向变化。 2.政治风险政治风险在很大程度上取决于企业运营的所在国家的政治稳定性，及当地的政治制度。政府的更迭，有时会导致业务出现重大变化。甚至在政治制度稳定的国家，政治改革的影响也可能是重大的。 3.操作风险操作风险是指出于员工、过程、基础设施或技术或对运作有影响的类似因素(包括欺诈活动)的失误而导致亏损的风险。从本质上来说，许多已经识别出的风险是操作方面的。操作风险可组合成以下几种风险:(1)员工。员工风险包括员工的雇用、培训和解雇所涉及的风险。主要的问题是要确保有足够的员工，他们有恰当的能力并且愿意执行企业所要求的任务。员工包括确定公司战略方向、控制资源分配的高级管理层和其他各运营部门的中低层员工。 (2)技术。企业是否存在和实施支持经营活动所必须的系统?是否定期为系统进行检查和评估?是否找出系统运行不佳的情况?系统不佳是否导致企业发生亏损?以及企业是如何确保系统是最新和能够应对经营风险的? (3)舞弊。企业是否拥有保护自身不受舞弊影响的方法。 (4)外部依赖。企业越来越依赖基础设施、电话、交通系统和能源供应商。如果这些供应商出现问题，企业如何保护各部门运作不会受到影响? (5)过程/程序。企业未能制定程序操作要求，可能会导致员工在运营操作时采取不正确的行动。 (6)外包。外包通常被看做是减少戚本和将企业资源集中在核心业务的方法。但是，很多企业越来越担心将公司的关键业务过程外包可能会导致失控。 4.法律/合规性风险法律/合规性风险指不符合法律或法规要求的风险。毫无疑问，所有的企业都受到相关的监管。大多数企业受到国家级、省级和地区级的监管，也可能受到职业团体的监管。企业所面临的监管是无处不在的，从监管职业安全健康的法规到有关如何恰当储存危险物质的规定，到报告有关经营活动的详情以满足税收目的的要求。与法规有关的主要风险并不是指法规存在的事实。越来越多的企业认识到，法规的实施是必要的，它能为企业提供一个顺利执行商业交易的环境。实际上，与法规有关的主要风险是指法规突然发生了变化。由于法规都是强制性的，很多企业意识到最重要的是要及时应对这些法规变化所带来的风险。 5.项目风险在企业中，有很多的项目需要进行日常管理，例如建立新的业务线、开发新市场。由于项目的流行性，项目管理的一个重要组成部分就是风险管理。项目管理的责任是以一定的预算，根据规格及时完成任务，从而使客户满意。项目风险管理应对项目可能无法执行、项目进度可能发生变化、项目成本可能超支、项目不能达到预定规格，或者项目成果可能会遭到顾客拒绝等风险。越来越多的经营活动是以项目为基础的，所以企业是否能对项目风险进行管理也变得越来越重要。否则，企业会发现它所启动的项目很少能达成目标。 6.信用风险多数企业生产产品或提供劳务，并将其提供给买家，同时企业会允许买家在一定时间内付款。这一过程被称为除欠。除欠会产生不予支付的风险。因而，信用风险是指交易对方在账款到期时不予支付的风险。确定允许除欠的对象以及允许除欠的金额是公司经理应当考虑的最为重要的决策之一，且这一决策通常决定着企业的存亡。这一决策之所以重要，是因为多数企业在每一项达成的交易中或产品销售中只能取得适度毛利。即使最终应收账款会被支付，但延迟支付期间所产生的额外戚本或收回应收账款所需的成本会极大地降低交易的利润。对小规模企业而言尤其如此，因为小规模企业经常面临延期支付，而且其几乎无法补偿这些额外费用。 7.产品风险所有销售产品、提供劳务的企业都会涉及产品风险。可以用以下基本问题来识别产品风险:当公司将一项产品投放市场时，该产品是否有销路?显然，这一问题是引人新产品的公司最为关心的问题。新产品所面临的问题就是这些产品没有经验可循。管理层不知道新产品对客户是否具有吸引力。新产品越具有创新性，引入该产品所面临的风险就越大。在新产品开发过程中，无法排除现在取胜的产品在上市后失败的可能性，但是新产品一旦取得成功就能赚取大额利润。除了新产品外，成熟的产品也会面临产品风险。例如旦产品变得商业化，若企业的产品无法与竞争者的产品区别开来，其能否在市场上取得成功在很大程度上取决于产品价格。以电脑为例，电脑价格越低其销量就越大。产品价格能否降低取决于运营部门而非营销部门。如本书第三章中所述，企业要通过采取在市场中取得竞争优势的战略行为来缓解产品风险。 8.流动性风险流动性风险是指由于缺乏可用资金而产生的到期无法支付应付款项的风险。值得注意的是，即使企业报告了令人满意的利润，但一且发生流动性危机，企业也会很快走向下滑。在金融领域更为如此，尤其是当银行和金融机构过多地依赖于银行间融资时。到期时及时偿还债务对于维持信誉度以及消费者信心都是非常重要的，因为这能够确保企业的商业信用不受影响。无法按时偿还债务很可能意味着信用的丧失。不仅受直接影响的各方会对企业的信用丧失信心，许多潜在的客户也会丧失信心，因为在这种情况下坏消息传播得很快。在偿还债务时，企业可采用不同的方式筹集资金，包括现有的现金余额、借款或企业资产出售。 9.环境风险环境风险在近几年来逐渐赢得了广泛关注，这主要源于绿色行动的环保者提高了公众的环保意识，并使其更加关心人类行为有意或元意造成的环境破坏。环境风险是指企业由于其自身或影响其业务的其他方造成的环境破坏而承担损失的风险。我们需要关注的不仅包括企业对环境造成的直接影响，还应包括企业与客户和供应商之间的联系而对环境造成的间接影响。项目过程可能并不会导致环境破坏，但产品本身却可能造成环境破坏。直接的环境影响通常比较明显，例如，石油泄漏或排放到河流造成的污染、烟囱产生的空气污染、垃圾处理场的废物倾倒等产生的环境破坏;而间接的环境影响就不太明显，例如，公司的产品达到了其使用寿命，则产品的处理就会产生环境问题，比如核废弃物。 10.声誉风险声誉风险是指企业声誉会受到负面影响的风险。声誉风险产生的负面影响会非常重大，其能导致企业的经营陷入严重衰退，极端情况下还可能导致企业被接管或倒闭。在某些情况下，这种影响会比较缓慢，而在其他情况下影响也可能非常迅速。负面传闻或公共信息通常会导致声誉缓慢下滑，声誉缓慢下滑会对企业产生长远的影响。例如，对一家制造型企业而言，由于其客户担心公司按期交货的能力，公司的订单数量会出现下降。随着销售量的下降，盈利能力以及现金流量都会受到影响，而这又会带来更多的负面传闻，从而引发订单量和利润的螺旋式下滑。除此之外，贸易以及品牌信用供应商会变得焦虑，并制定更为严格的条款或取消原有的支持，从而导致可能的流动性问题。螺旋式下滑会不断持续，直到管理层采取一致行动扭转这一趋势。在金融服务领域声誉是至关重要的，并且任何负面的影响都会迅速产生严重后果。值得重点注意的是，声誉风险主要是二级风险，其产生的原因来自企业未能有效地控制其他类型的风险。例如，因违背法律而采取的法律行动，或绿色环保者对企业造成的环境破坏提出的抗议等都会导致负面的公众形象。声誉的建立需要很长时间，但声誉的破坏却只在一时，因此，企业中各层员工都必须认真对待声誉风险。在本书的第十章，会对企业在经营过程中所面临的关键风险，包括政治风险、操作风险、项目风险、法律/合规性风险和主要的市场风险，即汇率风险和利率风险，作重点讲述。第二节 风险管理的概念一、内部控制与风险管理的联系在 COSO委员会发布的内部控制一一整合框架中，控制环境是其他内部控制元素的根基，它的构成元素包括董事会、组织结构、权责分配方式、员工胜任能力、管理层的哲学及人力资源政策。2004年发布的企业风险管理一一整合框架 (Enterprise Risk Management，简称 ERM框架)，以内部环境代替了控制环境。与控制环境相比，内部环境是控制环境在内容上的扩展，引入了风险管理和风险偏好两个概念。内部环境是确立企业对待风险的态度和可能采取的应对策略。(一)风险偏好风险偏好是指对风险的偏爱，而风险态度 (risk attitude)、风险承受能力 (risk tolerance)或风险容量 (risk capacity)是企业准备在任一时点承受的风险数量。企业的承受能力将反映其消化风险的能力。企业可以参考所在市场或行业内的其他企业的可用信息，作为自己制定风险承受能力的基准。每家企业的风险承受能力是不同的。企业的风险偏好会因其目标、文化以及整个商业环境条件的不断变化而有所差别。风险态度可分为风险厌恶( risk averse)、风险中立 (risk neutral)或风险追求 (risk seeking)。企业准备承受的风险数量，或其风险偏好，将因诸如已了解的特定风险的财务风险敞口、企业目前取得的成功、经济趋势及各个董事会成员的态度等问题而有所差别。另外，企业的看法可能受到已实行的其他计划的影响，而这些计划的结果尚不可知。如果结果是不利的，就能令整个企业受到影响，或者使企业的名誉受到损害。一旦机构确定了风险容忍水平，那么企业可以向负责决策的高级管理层宣传商业风险文化，使他们在行使批准权时，了解机构对于每个项目和计划的风险容忍水平。董事会希望在符合其风险容忍的范围内作出精明的决策。但是，董事会所获得的信息可能因若干因素而出现质量问题。董事会需要确定他们所获得的信息是否可靠，以及考虑比如分析人员的经验、分析所依据信息的质量、是否为了获得对项目的批准而故意隐瞒风险敞口或者风险管理活动的有效性。(二)风险管理如前所述，事件可能产生不利影响或者有利影响，也可能两者兼而有之。产生负面影响的事件代表了风险，可以阻碍创造价值或削弱现有的价值。产生正面影响的事件能够抵消不利影响或带来机会。机会是指事件发生的可能性以及对于目标实现、支持创造价值或保持价值的积极影响。企业风险管理涉及的风险和机会影响价值的创造或保持。它是一个从战略制定到日常经营过程中对待风险的一系列信念与态度，目的是确定可能影响企业的潜在事项，并进行管理，为实现企业的目标提供合理的保证。整体来说，企业风险管理是:一个正在进行并贯穿整个企业的过程; 受到企业各个层次人员的影响; 战略制定时得到应用; 适用于各个级别和单位的企业，包括考虑风险组合; 识别能够影响企业及其风险管理的潜在事项; 能够对企业的管理层和董事会提供合理保证; 致力于实现一个或多个单独但是类别相互重叠的目标。二、风险管理的内容(一)风险管理的目标与范围企业风险管理必须符合一系列参数。它必须嵌入企业的内部控制系统中，并对其他内部控制作出响应。所有企业都面临着不确定性，对管理层的挑战是决定为增加股东价值而能够接受多大的风险。企业风险管理使管理层得以有效地处理不确定性和随之而来的风险和机会，从而增强创造价值的能力。企业风险管理是关于保护和提高股价，以满足股东价值最大化的首要业务目标。在风险管理过程中，管理层可获取有助于有效评估总体资本需求和提高资本配置的重要风险信息。这些企业风险管理中固有的能力可以帮助管理层实现业绩和盈利目标，并防止资源流失。管理层制定平衡增长和收益目标及风险的战略和目标，井有效地配置资隙，以实现企业的目标，规避障碍和意外，在此过程中实现股东价值最大化。企业风险管理必须是包罗万象的，能应对商业计划的所有方面，比如策略计划、营销计划、运营计划、研发计划、管理及组织计划、预测和财务数据、融资、风险管理程序及业务控制等。在当今经济中运营的企业，具有不断变化的特点。因此需要一种综合方法，以管理其风险敞口。经济、法律、商业和人事风险在过去是单独处理的，井且常常由企业内不同的人员独立应对，而没有顾及由不同的人分别处理的各种风险之间的相互影响 L由于风险具有动态的和可改变的特性，并且相互依赖程度很高。因此，不能独立对风险进行评估或管理。企业风险管理主要包括以下几个要素:1.调整风险偏好和战略没有哪一个风险管理程序能够创造出元风险的环境。相反，企业风险管理使管理层能够在充满波动风险的商业环境中更为有效地经营企业。企业风险管理能提高企业将其风险偏好和策略关联起来的能力。在评估备选策略时，管理层首先应考虑企业的风险偏好，然后为风险设定上下限。 2.加强风险应对决策企业风险管理严格地规定了对风险对策的选择和识别，可能的选择是风险降低、风险消除、风险转移和风险保留。详细的对策内容可参见本章第三节。 3.降低经营性意外和损失实施企业风险管理后，企业能够使运营意外造成的损失降至最低。企业识别潜在风险事件、评估风险及作出反应的能力得到提高，从而降低发生令人不悦的意外及附带成本或损失的情况。 4.识别和管理多重和跨企业的风险企业风险管理还能识别并管理跨企业风险。每家企业都面临着众多对该机构的不同部分产生影响的风险。企业风险管理的好处，仅在整合企业内部的不同风险管理方法并作综合。可通过兰种方法实现整合:集中风险报告、整合风险转移策略，及风险管理纳入企业的商业流程。 5.抓住机遇企业风险管理不仅是一种防御机制，还是一种使商机最大化的工具。风险管理还能与企业的增长、风险及回报挂钩。企业接受风险，是创造和保存 财富的-环，并预期将获得与风险相当的回报。企业风险管理能提高识别、评估风险、确立与潜在增长及目标实现有关的可接受的风险水平的能力。而且，关于风险敞口的高质量信息，能使管理层更加有效地了解自身总体需求，并改善资本分配。此外，用于识别风险的适当程序，能激励相关人员深入思考，通过全面考虑各种可能的事件，管理层致力于识别和积极把握各种机遇。(二)实现企业的目标在企业既定任务的范围内，管理层制定了战略目标、战略选择，并制定整个企业的全套目标。企业的风险管理框架是为了实现企业的目标。事实上，企业的目的和目标应包括在策略计划中，而策略计划应包括任务说明及主要举措。每个部门应为支持企业的策略计划确立目的及目标。针对内部控制定义中包含的三个方面的目的及目标，企业的目标可能包括运营目标、财务报告目标及法规遵守的目标。运营目标是指，帮助实现企业基本任务的目标，包括设立业绩标准，以计量部门运营的经济成果及效率、运营的效果，以及保护已分配的资漉免于损失。财务报告目标是指，编制可靠的财务报告，指防止向公众提供具有重大错报的财务报告。财务报告可能主要由承担企业会计职能的部门负责，但是，每个部门都必须提供重要的信息，用以编制可靠的会计记录，财务报告即是以此为基础编制的。法规遵守的目标是找出适用于企业及其运营的法律法规，并且遵照执行。这种企业目标的分类可以把重点放在企业风险管理的各个方面。这些类别明显不同但又相互重叠，适应于不同实体的需要，并且可能属于不同管理人员的直接责任。这种分类也可以区分每个类别的目标。由于企业控制包括与报告的可靠性和法律法规的遵循相关的目标，企业的风险管理可以提供实现这些目标的合理保证。然而，实现战略目标和经营目标也会受到并非总在企业控制范围内的外部事件的影响。因此，对于这些目标，企业风险管理可以为管理层和董事会进行监督。(三)风险管理中的个人责任在风险管理理念中，风险管理是企业内每个人的责任。风险管理不单是行政管理层的角色，所有的雇员均对监察和维持内部控制负有一定的责任。从处于企业上层为内部控制确立基调的董事会及首席执行官，到负责就该系统的有效性作报告的外聘审计师，都属于监察角色。业务部门的领导通常负责制定明确的内部控制政策和程序，而雇员负责执行和遵守内部控制政策和程序。三、风险管理对利益相关者的意义风险管理的意义在于减少风险对利益相关者的影响。业务风险最初只对面临风险的企业产生影响，但是，后续会因连锁效应对利益相关者产生影响。而影响的程度取决于利益相关者与企业的关联程度 c在许多情况下，利益相关者通过与企业保持距离的方式降低风险。如果实际上是利益相关者首先导致了业务风险的产生，则其所受到的影响很可能比起初所受到的影响更严重。对利益相关者的影响，可能造成利益相关者对企业的投资潜在缩水，以及出现投资损失。如果业务风险经识别是由于某)位董事的行为引起的，则该董事可能也会面临收益与声名的损失。例如，这可能意味着董事主管的部门会在某种程度上不能达到预算的要求业绩。因此，该部门管理者很可能失去动力，特别是如果业务风险并不是由他们造成的。如果薪酬与业绩挂钩，则薪酬有可能会降低 。与对管理者的影响类似，雇员会面临生产率及/或薪酬的下降，因此也会失去动力 c对客户的影响在很大程度上取决于风险的性质。但是，诸如产品信誉不佳等风险会对客户产生影响，使其不再购买公司产品。因此整体影响主要是对公司不利，使销售减少。如果业务风险是因供货质量低下产生的，则风险对供应商的影响在于无法再为这家公司供货。即使风险的出现不是供货商的原因，也可能出现终止由其供货的情况。对于政府的主要影响是税收收入减少。对银行的影响，极端的情况是企业无法进行交易，从而无法偿还应付银行的贷款和利息。因此，若企业的风险评估结果显示风险增大，银行将限制对其贷款额。四、风险管理的发展与挑战(一)整合风险管理流程来预测战略和经营风险企业风险管理已能够对风险进行更为严格和系统的评估和管理从历史上看，组织内的每个部门都是单独看待和管理各自的风险的。其结果是，一个组织没有办法量化总体风险。在许多企业，财务、经营和战略这三大风险分散在整个组织中.例如，首席财务官处理金融风险，首席执行官负责战略风险，首席经营官负责经营风险，但没有人来考虑所有的风险。 目前，许多大型企业已经创建了新的高级职位-首席风险官来协助执行企业风险管理。不依靠内部部门分工的战略，企业风险管理采取一种全面的方法，在组织的整体经营战略的范围内定义和量化风险。这种企业风险管理办法的巨大好处是风险管理和损失控制举措在组织的战略理想，使命和目标范围内被看做是适当的。 企业中较低级别的管理人员首先给高管和董事会成员带来了关注风险，因此风险是可以自上而下管理的。风险管理嵌人到每一级企业中。通过控制关键风险.企业在市场中取得了更大的收益和竟争优势。量化风险可能是风险管理过程中最困难的部分，它量化了风险的财务影响。如果一个企业没有特定区域的历史诉讼数据，量化是很困难的。举例来说，信誉风险是对企业整体市值最大的威胁之一，但很难量化这种不明显的风险，这也许可以解释企业不准备处理这些问题的原因。然而，在风险管理计划中，风险管理人员必须同样关注可量化的和无法量化的风险。风险经过量化之后，企业应当根据轻重缓急程度、可能性和影响金额来进行先后排序。一些企业可能在四象限矩阵中对风险进行排序。代表最频繁或危险最大的风险列在右上角的象限中，而低级别的不常发生的风险通常列在左下方的象限中。除了对风险进行量化和排序之外，还必须有一个坚实的计划来控制、减轻或者转移风险。虽然企业风险管理在理论上有用，但在实践中还需要做大量的工作。许多企业由于要求的努力和成本太高而抵制进行企业风险管理。然而，这种情况可能会随着越来越严格的公司治理和问责要求而有所转变。大型上市企业显然必须考虑企业风险管理，而小企业实施风险管理也是有用的。利用风险管理办法能够使该企业实施明确定义的风险管理过程，而不是杂乱无章的监督。在每种情况下都必须权衡成本收益。企业风险管理需要更加全面地进行风险评估和风险管理，而不仅仅是了解风险的性质和来掘。因此，它可能并不适合每个企业。许多企业的管理层通过进行成本效益分析，以确定风险管理对其企业的价值。理想的情况应当是在日益熟悉业务和经验丰富的过程中，逐步引人企业风险管理战略。(二)新风险和新的风险管理办法过去几年中发生了很多变化，但风险管理的基本原则仍然是保持不变的。由于难以量化和管理的新风险的出现，新的法规要求更为复杂的合规而努力、找出新的办法，如企业风险管理等，已经被开发出来，并且正在被逐渐地采用。新的风险管理办法的总体任务仍然是相同的:通过系统性的风险分析，保护企业不受意外损失或减少损失，以及能够自我保障.并在适当情况下转移风险。新的风险管理模式和技术并不是答案本身。无论在任何行业，风险管理必须兼顾技术效率、人力资源和专门知识。通过培训和教育建立一个风险管理文化对于企业中各个层次的员工而言都是至关重要的。第三节 风险管理程序风险管理程序可分为四个步骤:第一步是风险识别;第二步是对主要风险进行评估;第三步是确定风险评级和应对计划;第四步是风险监察。风险管理程序要求识别和了解企业面临的各种风险，以评估风险的成本、影响及发生的可能性，并针对出现的风险制定应对办法，制定文件记录程序以描述发生的情况以及实施的纠正举措。风险管理程序应覆盖整个企业，包括各级人员和各个部门。大型企业可能会组建一个由风险管理专业人员构成的专门小组，而小型企业亦会安排一些人员负责管理整个企业内部的风险管理程序。无论是设立了正规的风险管理部门或是指定了专门的管理者，企业风险管理均涉及众多人员。上述风险管理程序中的四个步骤应在企业的各层面得以执行，并且不同工种的人员均应参与。无论是设在小地方且各种设施不完善的小型企业还是大型企业，均应制定常见的风险管理方法。这对于当今普遍出现的全球机构来说尤为重要。全球机构可能设立了多个经营单位，开展不同的商业经营活动，并在不同国家建立多种设施。一个单位内的风险可能直接对另一单位的风险产生影响或与之相关，但是对其他风险的考虑却可能实际上是独立的。这些常见风险可能在多种情况下出现，比如财务决策失误、客户口昧的变化以及新的政府监管规定。以下将对风险识别、评级及分析作出详解。一、风险识别管理层需要充分了解企业所面临的风险。风险管理中最大的问题是没有认识到潜在的障碍威胁。企业需要知道损失来自何处并能够找出受益于损失控制程序的问题领域。然而，风险管理人员不能对未能识别和计量的风险因素采取行动。作为起点，企业应通过正式的检查程序来全面分析风险和损失。这种风险审查允许企业评估真正的成本驱动因素，以便设计适当的损失控制和预防计划，来减少高风险的活动和高成本的损失事件。因此，管理层应尽力识别所有可能对企业取得成功产生影响的风险，包括整个业务面临的较大或重大的风险，以及与每个项目或较小的业务单位关联的不太主要的风险。风险识别程序要求采用一种有计划的、经过深思熟虑的方法，来识别业务的每个方面存在的潜在风险，并识别可能在合理的时间段内影响每项业务的较为重大的风险。目的并不只是罗列每个可能的风险，而是识别那些可能对运营产生影响的风险。即在合理的时间段内，发生风险的可能性的大小。如果企业不得不面对某种风险，而又不知道发生风险的可能性或后果，则对风险进行识别可能比较困难。风险识别程序应在企业内的多个层级得以执行。对每个业务单位或项目有影响的风险，可能不会对整个企业产生同样大甚至更大的影响。因此，对整个经济体产生影响的主要风险会分流到各个企业及其独立的业务单位。某些主要风险发生时会产生很大的影响，但发生的频率不高，所以这种风险较难认定。风险识别的方法之一是集体讨论可能的风险领域。通过这种方法动员知悉情况的人员迅速给予答复，把他们脑子里第一个想到的事情说出来。指定的主持人向每个小组提出一个与风险有关的问题，然后要求小组成员依次说出他们的想法。之后由风险管理小组对集体讨论后识别的所有风险进行复核，并且认定核心风险。由于风险识别程序一直伴随着讨论和分析活动进行，最后认定的风险与最初识别的一组风险相比，可能会有所改变。企业及具体的经营单位最后认定的组织风险，应提供给负责经营和财务管理的人员，以及参与集体讨论的小组。在开始风险评估前，可恰当地对认定结果进行更改。之后，为识别风险进行的集体讨论的结果，应提供给未参与讨论的其他单位。应按照来自整个企业的评论和讨论，增加己识别风险。风险识别并非详尽的分析和讨论活动，但是每个人在短时间内产生的想法或评论，会对其他人的想法和评论起到抛砖引玉的作用。启动风险识别程序的一种不错的方法是，找出列明属于企业层面的重要设施及经营单位的高层级的组织结构图。每个重要的经营单位都可能在全球许多地方建立了设施，也可能开展丁多种不同的业务。每个单独的设施也会有其自己的部门或职能，其中一些部门相互之间是密切关联的，而另外一些部门与企业投资几无差别。应在整个企业范围内实施风险识别程序以识别各独立领域的所有风险。诚然，这很困难，有时甚至是比较复杂的任务。而且，企业内处于不同级别的不同成员将从不同的角度考虑某些相同的风险。更高级的管理层一般会注意与经营相关的一组风险，但这些风险的水平不尽相同。但是，所有这些风险至少应被识别出来，并分别按照每一个经营单位及整个企业层面考虑这些风险。要使风险识别程序生效，就要求不只是简单地向所有经营单位发出邮件，还应要求列出其单位面对的主要风险。对这种要求的一般反应将是给出的答复不一致且涉及范围广泛，并且没有通用的方法。更好的方式是，弄清楚企业内各级别的人员，要求他们担任风险评估人。对每个重大的经营单位，应识别负责运营、财务、会计、信息技术和单位管理的各类主要人员。这些人员将以识别及帮助评估其所在单位的风险为目标，而这些单位应该是被包括在风险识别模型架构之内的。这样的方式可由企业风险管理小组或类似的部门来牵头，比如内部审计部。二、对主要风险的评估风险通常是相互依存的。应依据组织结构考虑和评价风险间的相互依存关系。企业应关注企业内各层级的风险，但实际上各层级可能仅对其范围内的风险实施了控制。每个经营单位负责管理其面临的风险，但是可能受到组织结构中上一级单位或下一单位的风险事件的影响。企业的每个经营单位应认识到，自身遇到的许多风险，均可能对企业内其他单位产生影响。 1 识别出对企业的各个层级有影响的重大风险后，下一步是对风险发生的可能性及相对重大程度进行评估。这对于通过集体讨论快速识别的风险尤为重要。可用于评估风险的方法有很多，包括最佳猜想定性法( best-guess qualitative approach，这种方法相对比较快)，以及一些详尽的、非常精确的定量方法。用以评估风险影响的常见的定性方法是制作风险评估系图。风险评估系图识别某一风险是否会对企业产生重大影响，并将此结论与风险发生的可能性联系起来。这种方法能够为确定业务风险的优先次序提供框架。如图 9 -1所示，与影响较小且发生的可能性较低的风险(在图中的点 2)相比，具有重大影响且发生的可能性较高的风险(在图中的点 1)更加亟待关注。每种风险的重大程度及影响会因企业结构的不同而有所差别。图9 -1 风险评估系图此外，还有大量工具可用来确定风险对企业的影响，比如情景设计、敏感性分析、决策树 (decision tree)、计算机模拟、软件包和对现有数据的分析。(1)情景设计。通常借助企业内部的讨论，形成关于未来情况的各种可能的看法。 (2)敏感性分析。该分析从改变可能影响分析结果的不同因素的数值人手，估计结果对这些变量的变动的敏感程度。 (3)决策树。常用于目标管理中，以证实每个阶段存在的不确定性，根据每种可能的结果出现的可能性及包含的现金流量，评估项目的期望值。 (4)计算机模拟。利用概率分布，并重复运行，为某项目识别许多可能的情景和结果。 (5 )软件包。旨在协助风险识别和分析程序。 (6)对现有数据的分析。对现有数据作出分析能够有效地掌握过去风险的影响。在评估风险时，应留意的是概率与不确定性。特别是在识别出大量风险后，评估小组应逐个考虑风险、可能性以及发生的情况(以概率表示，范围为 0-1 )。需要强调的是，本质上来说，风险可能不会保持不变，也不是 100%会发生。关于概率的另外一个基本规则是，不得将独立的概率估计相加，得出综合估值。三、确定风险评级和应对策略1.确定风险评级风险无处不在。企业的成功常常可以归结为确认和管理伴随潜在机会及收益的可能风险。大多数企业面临的风险类型是不同的，且范围广泛。风险一般分为财务和运营风险两大类别。风险类型包括市场价格波动的敞口、对手信贷违约和法律责任等。在采取风险管理行动之前，识别风险是至关重要的。接下来，企业的典型做法是检查风险评级，并得出一份列明潜在风险的清单。系统化的程序有助于识别风险以及按照数量对风险评级，这可以作为关键的第一步，但是有效的风险管理策略一般取决于量化的风险，而这常常通过概率模型技术得到。风险的计量和估值是风险管理中最有难度的工作，但是这对于具成本效益的风险管理及精明的决策是至关重要的。花费一定的时间和资辘，利用工具和专门技术，正确地量化公司的主要风险，对于后期的风险管理程序是有帮助的。此外，在识别、量化和缓解风险时，需要注意的一个关键要素是风险之间的相五影响和相互关系。例如，信贷风险的敞口还可能影响市场价格风险;而运营风险，比如舞弊可能造成法律及名誉风险。应认识到不同公司活动的风险相互影响，这是现在大企业广泛采用的适合企业范围的风险管理方法的一个基础。下一步是按照已确定的重大程度和可能性估值，计算风险评分，并识别最为重大的风险。根据影响及可能性，对风险进行优先次序的排列。评分较高的风险，将被记人如图 9 -1所示的右上角的象限中，这被称作风险推动因素或主要风险。然后，企业应将注意力继续放在这些主要风险上。进行优先次序排列时，不应仅考虑财务方面的影响，更重要的是考虑对实现企业目标的潜在影响。并非所有的风险经过识别后都是重大风险。非重大的风险应定期复核，特别是在外部事项发生变化时，应检查这些风险是否仍为非重大风险。企业风险评估小组应逐个识别各个单位，以确定各层级的风险已评估完毕，而且从整个企业来说，风险的可能性和重要估值是适当的。值得留意的是，远离企业总部、在偏远的地方发生的风险事件可能常常给整个企业带来重大问题 C然后，风险评估小组要监察每一被识别的风险，估计承担风险的成本。之后用戚本乘以风险因素概率，得出风险的期望值。风险评估小组应与企业内的其他专业人员合作计算风险估值。计算期望值时，无需对成本进行详细的研究，也不需要使用大量的历史趋势和估计作为支持。己识别风险的估值可作为持续的风险矫正决策的基础。由于市场条件和波动性水平会改变，对手的财力会变化，物理环境会变化，地缘政治形势也会变化。所有这些变化可能突然出现，也可能悄悄出现，不易被发现。企业活动产生的风险敞口也可能发生改变。有效的风险管理要求企业持续对风险进行重新评估，并且在企业风险管理架构中加入程序，以评估当前存在的及预期的风险敞口。预测未来敞口是必要的，原因是风险管理的决策是以预期风险水平为基础的。2.应对策略管理层可针对己评估的关键性风险作出回应。可选的应对风险策略有风险降低、风险消除、风险转移和风险保留。管理层可以选择一个或多个策略结合使用。(1)风险降低。风险降低的风险应对策略，亦称作风险缓解。不同的实际情况适用不同的风险降低方法。常用的一种形式是风险分散，即通过分散的形式来降低风险，比如在多种股票而非单一股票上投资。不愿将所有的鸡蛋放在一个篮子里的企业会采用的是风险分散策略。风险降低的概念是基于企业不愿意被动接受特定的后果分布状态，而通过自身努力改变不利后果的概率。为改变后果分布状态所做的努力，称为风险缓解。企业成功地降低风险后，其成果分布状态将不再是极端的。缓解风险可以采取多种形式，包括采用套期。套期是交易商建立证券、商品或货币对冲持仓，从而抵消所面临的风险。企业还可以采用其他许多方法降低风险敞口，包括市场研究、地区及。产品线的多样化、筛选和监控客户、外包、给产品定价时分配风险酬金、存货或股权计入生产量中，以及推行巳制定的程序，以将经营风险降至最低。但这种策略在很大程度上取决于套期成本、企业承受风险及潜在损失的能力。为进行套期开展的交易活动，不应出于交易可能被误解为投机行为的担忧而放弃。但是，不同的套期工具对于各个公司及环境来说，成本效益可能不同，是否合适也另当别论。 (2)风险消除。风险消除策略包括风险避免、风险化解、风险排斥和/或风险终止。采用风险消除的目的是，预期出现不利后果时，一并化解风险。 (3)风险转移。采用风险转移的目的是，将风险转移给另一家企业、公司或机构。合同及财务协议是转移风险的主要方式。转移风险并不会降低其可能的严重程度，只是从一方移除后转移给另外一方。转移风险时，管理层应考虑各方的目标、转移的能力、存在风险的情景以及成本效益。其中一种转移风险的方式是购买保险，购买保险具体来说就是企业通过向非关联的第三方付款，让其代为承担风险。接受被转移风险的一方，通常要收取保费。问题是，所支付的保费是否低于风险发生时吸收风险的财务影响的可能成本。即使企业相信其转移了风险，但通常它并不能完全不受影响。比如，如果将某一工程项目的风险转移给承包人，而承包人未能管理风险，导致项目推迟交付。即使承包人可能因推迟交付而面临处罚，但是项目推迟已是在所难免。 (4)风险保留。风险保留包括风险接受、风险吸收和风险容忍。采取风险保留的策略，或者是因为这是比较经济的策略，或者是因为没有其他备选方法(比如降低、消除或转移)。采用风险保留时，管理层需考虑所有的方案，即如果没有其他备选方案，管理层需确定已对所有可能的消除、降低或转移方法进行分析来决定保留风险。此外，商业环境从来不是一成不变的，因此，企业在短期内可能出现新的备选方法，比如保险合同、外包或开发其他市场斗通过定期风险复核，控制风险情景并清楚何时应作出决策，这是非常重要的。要确保不会与备选措施失之交臂，需进行积极的风险管理。而且，如果已经特意作出了保留风险的决策，那么管理层应对付诸实施的影响及风险发生的可能性十分清楚。总之，风险策略是风险管理总体程序至关重要的一部分。应参照以前的活动制定风险对策。由于情况是不断发生变化的，必须紧跟风险识别和评估，立即实施应对策略。应仔细分析四种风险应对策略，即风险降低、风险消除、风险转移和风险保留，一旦为一种特殊风险确定了风险应对类型，则必须制定具体措施，以落实这一应对策略。一般来说，风险不可能被完全消除。因此，如果能将风险降低至可接受的范围，且风险应对措施的成本未超过收益，那么，可在保留风险的同时，执行风险降低策略。四、风险监察对主要风险的识别，绝不是一个单一的、一次性的过程。经正规的集体讨论或其他程序识别的一系列风险所在的环境，将随着这些已识别风险性质的改变而迅速出现变化。某些环境条件改变后，可能使风险变成更严重的威胁。例如，参与集体讨论的小组可能对某个欠发达国家识别出一些潜在的政治风险。但是，事情常常在短时间内发生，这个国家发生的政治变革可能使得这样的担忧变得更具危险性。企业则需要设立一项机制，对已识别的风险进行监察。监测内容包括目标的实现过程，并关注新的风险和相关损失。风险识别程序不是连续的。正如一个机构在编制年度预算后可能在每季度对预算进行修改一样，风险识别程序常常是每年或每季度执行一次。一旦风险被识别，企业必须对风险进行监察，并在需要时不断作出调整。风险监察者定期检查正在发生的损失，以了解他们的控制建议得以实施，并设计过程来