风险管理简易手册

无知是最大的风险。风险管理简易手册前言今天，风险管理在全球范围内已经成为企业战略管理的核心内容。一位我尊敬的前辈在今年早些时候告诉我，“所有的管理都是风险管理”，让我对自己热爱的事业重新有了认识。我一直自诩为“风险管理和足球运动比较学说”的创始人，喜欢把风险管理之于一个组织类比成中场队员之于一支足球队，是进可攻、退可守的关键位置，最容易被人景仰 如果你足够优秀，也最容易遭人唾骂 如果你不够出色。三年前我在青岛的一个研讨会上打了这个比方，并断言：中国企业风险管理的意识、能力和水平与世界顶级企业相比的差距就象我们的足球和世界先进水平的差距一样大，如果不是更大的话。我很希望事实证明我错了。现在，我很清醒地知道：我是正确的，而且可能将在未来很长一段时间内继续正确下去。我一点也不自豪。我极少把工作上的事儿拿回家，但某一天忍不住向妻子抱怨，国内公司的风险管理实在太落后了，我的耐心已经用光了，我对我事业的前景感到灰心。她象哲学大师一样说了一句话：“这些不足其实都是你的机会”，我因此豁然开朗。在妻子的鼓励下，我决定动笔写这个小册子，献给那些对风险管理有兴趣的人。我对自己能够提供一些有限的帮助感到由衷的高兴。任何读者如果觉得这本小册子对您的工作有小小的启发，请记住一句衷告：扼住风险的喉咙，你就是主宰。我要衷心地感谢George Lazovsky先生，是他带我走进风险管理的殿堂，并让我从中获得了无穷的快乐。祝大家平安健康！马富强2003年5月28日1 风险的定义传统定义：风险是损失的不确定性（Risk is the uncertainty of loss）。当代定义：风险是预期与实际结果的差异（Risk is the variation between expectation and practical reality）。国际标准组织的定义：风险是事件发生的可能性及其后果的综合（Risk is the combination of the probability of an event and its consequences）。可以轻易看出，人们对风险的认识在进步。当代的风险管理不仅仅研究只可能造成经济损失的风险，也开始研究可以带来收益的风险。对于企业的经营者来说，前者是负面风险，后者是正面风险。在有些时候，同一风险既可能带来损失，也可能带来收益。作为风险管理的一个重要分支，安全管理或风险工程学（Risk Engineering）仅研究负面风险，其目标是如何预防并减少损失，更侧重于防灾防损工程技术方面的研究。本手册探讨的是最新意义上的风险。2 风险管理定义：风险管理就是组织对面临的各种风险进行识别、评估，确定恰当的处理方法并予以实施，以可确定的管理成本替代不确定的风险成本，并以最小经济代价获得最大现实保障的活动。风险管理的核心是对风险进行识别和处理，其根本目标是确保组织经营的稳定、持续和发展。可以说，好的风险管理机制能够增加企业成功的概率，降低失败的可能。风险管理是动态的，始终贯穿于组织战略的制订和执行。风险管理为组织的经营者提供可靠的方法来对付组织面临的各种风险，包括过去、现在和将来的风险，尤其是为决策者提供作为或不作为的依据。风险管理必须同组织的经营文化密切结合，并需要最高管理层的全力支持。风险管理的受托人是风险管理经理（Risk Manager），而随着组织决策人对风险管理的日益重视，在风险管理最发达的北美，一些组织中已经出现了首席风险官（Chief Risks Officer），负责把组织的战略转化成可操作的各种计划和流程，督促组织各级成员进行实施，并设立严谨的考核体系，以确保组织的运营水平不断提高。风险管理的功能： 给组织未来的经营活动提供框架性指导； 促进组织决策、规划的科学性； 提高组织的经营免疫力； 促进组织资源的最优配置； 保护组织的资产和形象； 提高组织的运营效率； 实现组织社会责任目标。风险管理的目标： 最低目标：确保组织的生存； 中间目标：促进组织的发展； 最高目标：实现组织的社会责任。3风险管理流程概述组织面临的各种风险可简单划分成内部风险和外部风险，并可进一步划分为战略风险、财务风险、运营风险和灾害类风险。下面是个简单的示意图（Risk Mapping）。战略风险竞争客户变更行业变更市场需求财务风险利率外汇信用 合并、收购现金流 研究与发展 知识产权会计 资产信息系统 员工供应链 产品与服务市场销售 内部因素外部因素外部因素合同自然灾害供应商环境灾害风险法规组织文化管理人员运营风险分析组织的经营流程与契约结构也是识别风险的重要方法。无论用那种方法，风险管理都既是一个整体过程，也是一个个决策过程的综合。其步骤大致如下：决策组织的战略目标审计风险的处理风险识别风险描述风险的量化管理报告深入分析威胁与机会监控与改进3 风险的分析与评估41 风险的识别风险识别是将组织面临的各种不确定因素一一鉴别出来。这需要对组织自身的经营状况、其所在市场的情况，其所处法律、社会、政治和文化环境有深入的认识和了解，同时要求该组织要有明确的经营战略，由此方可识别促使组织成功的因素，以及那些威胁到组织赢取其战略目标的因素。风险的识别是一个动态的过程，随组织和其所在环境的发展变化而发展、变化。风险的识别应当一种系统方法来进行，以确保组织的所有主要活动及其风险都被囊括进来，并进行有效的分类。组织的行为、活动、决策等可用很多方法加以分类，以下是个常见的分类：- 与策略有关的风险：关系到组织长远战略目标的风险，例如资本的可获得性、政治风险、法律和政策变更、声誉、竞争态势等等；- 与运营有关的风险：关系到组织日常经营的风险；- 与财务有关的风险：关系到组织财务状况的风险，例如应收帐款、银行贷款、外汇汇率、利率变动和其他市场风险等；- 与知识管理有关的风险：这关系到组织对知识资源的控制与管理，例如知识产权的侵权或被侵权，竞争技术的出现，信息系统的功能错乱，关键技术人员的流失等等；- 与合法（合规）经营有关的风险：包括员工的安全与健康、环境污染、消费者权益保护等等；- 灾害类风险：主要是指自然灾害或意外事故给组织带来的各种经济损失。有效的风险识别应当形成一个风险清单（Risk Manifest），列明组织面临的各种主要风险。42 风险的描述将风险识别出来以后，通常需要使用一些表格的形式对风险的特征进行精确的描述。无论是对组织的日常经营，还是针对某个特定的项目，都可以采用这种做法。其适用性非常广泛。见下表。条目描述1风险的名称2风险的波及范围风险本身、其类型、大小、数量的定性描述3风险的分类策略类、运营类、财务类、知识管理类、合法经营类、灾害类等等4风险的参与者谁分担这些风险？各自期望如何？5风险的量化频率与烈度6对风险的期望暴露于风险之下的总价值；潜在损失或收益的规模与概率；风险控制的目标以及预期。7风险的处理和控制对风险进行处理的现行方法；信心指数；审核与监控的方法。8潜在的改进措施进一步减少风险的方法与措施9策略的制订确定风险管理策略，并责成职能部门负责日常监管。43 风险的量化任何风险最后都需要用数字或精确的文字描述来表述，否则是无法被大多数人正确认识的。对于风险的量化，一般是通过分析两个维度，即发生的频率（Frequency）与一旦发生所造成后果的严重程度（Severity），来进行的。这种方法既适用于“负面风险”- 即只有可能造成损失的风险，也适用于“正面风险”- 即有可能造成收益的风险。风险量化通常可以通过距阵分析发来进行，距阵数列越多，量化得越精密。一般说来，风险管理专家通常使用3x3或 5x5距阵。读者可以根据自己组织的具体情况进行选择。下面是一些简单的例子。关于发生频率的分析 损失量化估计描述重要迹象高很可能发生每年都可能发生，或者发生概率高于0.25十年内已多次发生；最近三年内发生过。中有可能发生每十年发生一次，或发生概率小于0.25十年内发生过超过一次；历史上曾经发生过。低不太可能发生十年内不太可能发生，或发生概率小于0.02从来没有发生过；根据合理掌握的知识认为不太可能发生。读者们不妨根据上表分析一下“非典型性肺炎”这种风险再次爆发的可能性。关于发生频率的分析 收益量化估计描述重要迹象高很可能发生一年内可取得最好的预期成果，或成功概率大于0.75短期内依靠现有体制并有明确机会取得确定性成果。中有可能发生一年内可取得合理的预期成果，或成功概率在0.25到0.75之间短期内按照预定计划并在现有体制内无法取得成果，但采取恰当措施则有可能。低不太可能发生一年内不太可能获得预期成果，或成功概率小于0.25短期内按照预定计划并在现有体制内无法取得成果，管理层暂时也没有恰当的办法。关于后果严重程度的分析 损失与收益高- 对组织财务状况的冲击巨大；- 对组织战略和经营活动造成重大影响；- 引起各关系方的高度关注。中- 对组织财务状况的冲击较大；- 对组织战略和经营活动造成较大影响；- 引起各关系方的较多关注。低- 对组织财务状况的冲击较小（在心理承受线以下）；- 对组织战略和经营活动没什么影响；- 各关系方不会有很多关注。5x5 距阵是在“低”与“中”之间加一个“一般”，在“中”与“高”之间加一个“较高”，这样将形成五个等级。至此，读者可以综合考虑一下，对一个出口型企业来说，应当如何评估其产品在海外市场遭到反倾销投诉的风险。下图是个简单的3x3距阵。44 风险识别与分析的方法和技巧风险的识别与分析有很多方法、技巧，一般说来，以下这些是最常用的：风险识别- 头脑风暴（集思广益）；- 合同结构分析；- 问卷调查；- 行业参照；- 业务流程分析；- 情境分析（最好和最差情境）；- 事件分析；- 研讨会；- 调查与审计。风险分析对于“正面风险”：- 市场调研；- 前景预测；- 研究与发展；- 实验性营销；- 冲击力分析。对于“正面风险”和“负面风险”- 组织依存模型分析（泛契约关系模型分析）；- SWOT分析；- 事件树分析法；- 持续经营计划（BCP）；- BPEST分析（商业、政治、经济、社会、技术分析）- 统计分析与推论；- PESTLE分析(政治、经济、社会、技术、法律、环境分析)；- 散布与倾向分析。对于“负面风险”- 威胁分析；- 失误树分析；- FMEA分析（失败模式与效果分析）。45 风险剖面图上述风险分析完毕后，就可以画出任意风险的剖面图，并开始探求对任意风险的处理方法。风险剖面图需要列明风险的种类，性质，分析（频率与后果），参与方/关系方，并提议处理方法。由于经常为一些项目提供风险管理咨询，我本人非常习惯使用特定格式来画风险剖面图。附件一是个简单的例子。风险的分析与评估需要达到这样一个效果，即任意风险都要有明确的归属。风险的承担者可以是组织本身及内部的各个构成，也可以是与组织有契约关系的其他组织。5风险的处理通过对风险进行分析和评估，组织的管理层应当已经识别出了影响组织战略目标的风险以及其归属，需要考虑采取那些手段对风险进行处理。主要手段包括：前端处理1. 避免（不去做某事以不承担任何风险）；2. 自留（由组织自身承担）；3. 控制与弱化（安全管理，降低风险的频率和烈度）；后端处理4. 转移（在契约关系方之间进行）；5. 财务处理（保险与其他方式）。成熟的组织应当首先考虑前端处理方法，然后按顺序考虑中、后端处理方法。这是因为对风险的处理越靠近前端，组织就越主动，处理成本就越好控制。任何风险处理系统都至少需要达到下列目标：1. 确保组织运营的效率；2. 确保有效的内部控制；3. 确保组织的合法、合规经营。必须指出：任何对风险的处理都是有经济代价的，判断风险处理的方法是否得当主要是比较风险自身的成本和对风险进行处理的成本，后者小于前者是最低标准。另外，对某一特定风险进行处理在多数情况下会带来新的风险。一旦新的风险被识别出来，组织应当进行相应的分析与评估。举个简单的例子：在办公大楼内禁止吸烟降低了火灾的频率，安装喷淋系统降低了火灾的烈度。但喷淋系统有可能在平时破裂造成水损。在这种时候，风险管理人员需要比较对甲风险的处理成本是否低于处理后衍生风险的成本，若否则需要考虑对甲风险的其他处理手段。在对风险进行财务处理中，保险是个很重要的方式，但不是唯一的方式。对保险公司进行甄别和选择需要考虑组织的整体风险管理标准。在这里提个问题请大家思考：中国企业挑选保险公司的标准是什么？是否与组织的战略目标保持一致？6 风险管理中的汇报渠道与沟通71 内部汇报渠道优秀的风险管理体制应当给组织中不同级别的机构和人员提供不同的信息。董事会及成员应当： 知道组织面临的最主要战略风险； 知道组织实际经营效果与各方预期之间的差异及其后果； 确保组织里各级机构及员工都有恰当的风险意识； 知道组织应当如何进行危机处理； 意识到股东对组织信心与信任的重要性； 知道如何管理与投资机构的沟通； 知道风险管理系统是否在有效运行； 公布组织的风险管理政策、哲学、和使命。各营业机构应当： 知道各自工作范围内的主要风险以及对其工作业绩的影响； 设立明确的运营指标作为基准，以定期考察实际经营效果与预期之间的差异，并提供改进建议； 向高级管理层随时或定期汇报新出现的风险，或当前体制中存在着的风险控制瑕疵；基层员工应当： 了解组织风险管理系统的基本要求； 了解自己工作职责内的主要风险； 知道应当如何持续改进其各自工作范围内的风险管理； 意识到个人风险管理和风险意识对组织的重要性； 向上级管理层随时或定期汇报新出现的风险，或当前体制中存在着的风险控制瑕疵。72 外部汇报渠道任何组织都需要向其投资人或主管部门定期汇报风险管理政策，及其实施的有效性。随着时代的不断进步，越来越多的投资人、社会公众和主管部门会对组织的非财务性经营成果表示关注，例如环保、安全生产、社区形象等等，因此组织对外通报其风险管理政策与效果提出了新的要求。出色的风险管理体制应当提供操作性很强的方法，以达到保障组织的生存，促进其发展，保护投资人和社会公众利益的最终目的。对于经营透明度要求很高的公共组织（例如政府或上市公司）来说，以正式途径向公众或直接利益方通报其风险管理政策更是举足轻重。这里处理失败的例子举不胜举，值得深思。正式通报途径应当明确指出： 对风险的控制手段，尤其是主管人员对风险管理的责任与义务； 识别风险的流程，以及组织风险管理体系的处理方法； 对重大风险的控制手段； 风险管理的监督与改进机制。任何现有风险管理系统没有涵盖的重大风险，或者系统本身的瑕疵都应当及时向组织外部关系方进行通报，并提出行动计划。7 风险管理的结构与日常管理71 风险管理政策任何组织的风险管理政策都应当以书面方式表达，并明确提出组织对风险的认识和管理思路（即“风险文化”）。该政策应当对风险管理职责在组织内的分配做出清楚的分工。此外，风险管理政策应当尽可能多地援引组织所处法律和政策环境的要求。法律规定是对风险管理的最低要求。风险管理政策应当提出针对组织运营特点的风险识别、分析与评估方法，要做到简单明了，以便于组织各级机构掌握。组织的最高决策层应当对风险管理政策的制订负全面责任。82 董事会的角色董事会负责确定组织风险管理的战略方向，创造并维护一个能够让风险管理机制有效运行的大环境。董事会可以下令成立“风险管理委员会”，由组织内高级管理人员组成；也可以委任“首席风险官”来全权处理风险管理事务。董事会至少应当考虑如下事项： 组织承担负面风险的极限； 这些负面风险一旦发生组织的命运如何； 如何对这些负面风险进行主动管理； 主动管理这些负面风险的能力极限； 主动管理这些负面风险的成本极限； 主动管理这些负面风险的预期效果； 主动管理这些负面风险的决策。83 各营业机构的角色组织内部各营业机构至少应当考虑如下事项： 各自领域内主要风险是否在日常工作中得到了有效管理； 如何在各自机构内部提高风险意识； 从事的特定项目是否在不同阶段都有相应的风险管理措施； 是否有定期对各自领域内的风险进行审核的机制。84 风险管理专职部门的角色根据组织的规模大小和经营复杂程度，可以设立如下专职机构： 风险管理委员会； 首席风险官； 全职风险管理经理； 兼职风险管理经理； 风险管理协调人。据说现在判断一个组织是否实力雄厚的重要依据是看该组织的官方网站，但在我看来，判断一个组织的实力也好，发展前景也好，主要是看该组织是否有专门的风险管理职能部门。这是个重要的分水岭。全职风险管理经理应当至少负责如下事务： 受董事会委托具体制订组织风险管理战略和政策； 在组织内部推行组织的风险文化，提高全员风险意识； 向组织内部机构提供风险管理培训； 给每个营业机构设立内部风险政策和目标； 根据组织特点设计并执行风险管理计划； 受理组织内部及外部关于改进风险管理的建议和意见； 制订危机处理计划； 编写、修订组织的风险管理手册； 向董事会或首席执行官汇报风险管理事务，并接受董事会委托向组织外部有关方面通报风险管理事项。85 内部审计的角色内部审计的功能和角色因组织具体情况而有很多不同，但在风险管理上，至少应当承担以下任务： 审查组织风险管理政策在各机构的执行情况； 向风险管理专门机构提供评估报告； 普及并提高内部审计人员的风险意识。86 人力资源部的角色 在工作描述中明确各职位的风险管理功能； 配合风险管理专门部门对组织全体成员提供风险管理培训。组织也可以充分利用诸如专业的风险管理、安全管理咨询机构、保险公司的防灾防损服务、政府主管部门的监督检查机构、行业协会等外部资源来帮助组织制订、实施风险管理政策与计划。8对风险管理的监督和审核有效的风险管理机制不是一个密不透风的铁罐子，而应当有充分的弹性来采纳来自各方面的改进意见。另外，组织和其外部环境都是在不断发展、变化中的，因此需要对组织的风险管理系统进行日常监督和定期审查，以保证其可靠性和有效性。监督和审核机制主要考察以下事项： 风险管理系统是否达到预期效果； 风险管理程序是否合理； 风险信息及其采集方法是否有效； 是否有新的风险管理知识、技术、方法产生。至此，组织风险管理的第一个大循环结束。9.风险管理部门与组织内其他部门的关系自上个世纪七十年代以来，风险管理在组织中发挥的作用一直在高速地发展、变化。七十年代的风险管理负责的仅仅是对组织各种保险的安排和管理，例如财产保险，责任保险，劳工赔偿保险等等。主要思路是统一管理组织需要的各种保险 也就是以支付固定保险费为经济代价将风险转移给保险公司，并相应地负责一些安全管理职能，例如防灾、防损等。这一时期风险管理职能多数情况下是由财务部兼任的 毕竟安排保险也好，向保险公司索赔也好都和财务有直接关系。组织内部并没有大规模出现具有独立职责的风险管理部门，也很少有专职风险管理经理。中国企业眼下的平均风险管理水平大约相当于西方先进企业七十年代初期和中期的水平。七十年代后期到八十年代中期，风险管理开始在组织中起到越来越大的作用，其职责也从最初对保险进行管理升级到了要保证企业的财务稳定与健康。这阶段出现了很多非保险方式的风险处理方法，例如提高风险自留额，设立内部风险基金，最后出现了组织专属的自保公司。风险管理在组织中开始真正介入到管理层面上来，出现了专职的风险管理经理，统一管理组织（尤其是跨国组织）在全球的各种风险，包括但不限于财产损失风险，财务损失风险，法律责任风险，人员损失风险等等。风险管理经理开始与组织内部的有关部门，例如法律部门，审计部门，质量控制部门，安全生产部门，人力资源部门等开始全面的合作。一直到现在，大多数西方企业依然处在这一阶段的后期，风险管理经理在组织中具有非常重要的地位，通常是直接向首席财务长官汇报。这一时期风险管理开始涉足风险管理的中前端部分。下图是一个在今天依然有很多跨国公司采用的风险管理组织机构图。财务总监风险管理经理安全管理保险事务自保公司这一时期风险管理学说也得到了极大丰富和完善，风险管理的理论与实践在各行业都有很好的发展。进入九十年代以来，随着跨国业务的飞速发展，以及组织面临风险的多样化和复杂化，要求风险管理必须发挥更多的主动管理作用，而不是传统的等风险出现后对之进行处理。这要求风险管理必须全面涉及到组织的各个