风险管理简易手册

风险管理简易手册

前百

今天，风险管理在全球范围内已经成为企业战略管理的核心内容。一

位我尊敬的前辈在今年早些时候告诉我，“所有的管理都是风险管理”,

让我对自己热爱的事业重新有了认识。

我一直自诩为“风险管理和足球运动比较学说”的创始人，喜欢把风

险管理之于一个组织类比成中场队员之于一支足球队，是进可攻、退

可守的关键位置，最容易被人景仰-如果你足够优秀，也最容易遭

人唾骂—如果你不够出色。

三年前我在青岛的一个研讨会上打了这个比方，并断言：中国企叱风

险管理的意识、能力和水平与世界顶级企业相比的差距就象我们的足

球和世界先进水邛的差距一样大，如果不是更大的话。我很希望事实

证明我错了。

现在，我很清醒地知道：我是正确的，而且可能将在未来很长一段时

间内继续正确下去。我一点也不自豪。

我极少把工作上的事儿拿回家，但某一天忍不住向妻子抱怨，国内公

司的风险管理实在太落后了，我的耐心已经用光了，我对我事业的前

景感到灰心。她象哲学大师一样说了一句话：“这些不足其实都是你

的机会”，我因此豁然开朗。

在妻子的鼓励下，我决定动笔写这个小册子，献给那些对风险管理有

兴趣的人。我对自己能够提供一些有限的帮助感到由衷的高兴。

任何读者如果觉得这本小册子对您的工作有小小的启发，请记住一句

衷告：扼住风险的喉咙，你就是主宰。

我要衷心地感谢GeorgeLazovsky先生，是他带我走进风险管理的殿

堂，并让我从中获得了无穷的快乐。

祝大家平安健康！

马富强

2003年5月28日

1.风险的定义

传统定义：风险是损失的不确定性(Riskistheuncertaintyofloss)o

当代定义：风险是预期与实际结果的差异(Riskisthevariationbetween

expectationandpracticalreality)。

国际标准组织的定义：风险是事件发生的可能性及其后果的综合

(Riskisthecombinationoftheprobabilityofaneventandits

consequences)o

可以轻易看出，人们对风险的认识在进步。当代的风险管理不仅仅研

究只可能造成经济损失的风险，也开始研究可以带来收益的风险。对

于企业的经营者来说，前者是负面风险，后者是正面风险。

在有些时候，同一风险既可能带来损失，也可能带来收益。作为风险

管理的一个重要分支，安全管理或风险工程学(RiskEngineering)仅

研究负面风险，其目标是如何预防并减少损失，更侧重于防灾防损工

程技术方面的研究。

本手册探讨的是最新意义上的风险。

2.风险管理

定义：风险管理就是组织对面临的各种风险进行识别、评估，确定恰

当的处理方法并予以实施，以可确定的管理成本替代不确定的风险成

本，并以最小经济代价获得最大现实保障的活动。

风险管理的核心是对风险进行识别和处理，其根本目标是确保组织经

营的稳定、持续和发展。可以说，好的风险管理机制能够增加企叱成

功的概率，降低失败的可能。

风险管理是动态的，始终贯穿于组织战略的制订和执行。风险管理为

组织的经营者提供可靠的方法来对付组织面临的各种风险，包括过去、

现在和将来的风险，尤其是为决策者提供作为或不作为的依据。

风险管理必须同组织的经营文化密切结合，并需要最高管理层的全力

支持。

风险管理的受托人是风险管理经理(RiskManager),而随着组织决

策人对风险管理的日益重视，在风险管理最发达的北美，一些组织中

已经出现了首席风险官(ChiefRisksOfficer),负责把组织的战略转

化成可操作的各种计划和流程，督促组织各级成员进行实施，并设立

严谨的考核体系，以确保组织的运营水平不断提高。

风险管理的功能:

今给组织未来的经营活动提供令促进组织资源的最优配置;

框架性指导；令保护组织的资产和形象；

令促进组织决策、规划的科学＜提高组织的运营效率；

性；令实现组织社会责任目标。

。提高组织的经营免疫力；

风险管理的目标：

。最低目标：确保组织的生存；

。中间目标：促进组织的发展；

令最高目标：实现组织的社会责任。

分析组织的经营流程与契约结构也是识别风险的重要方法。无论用那

种方法，风险管理都既是一个整体过程，也是一个个决策过程的综合。

其步骤大致如下:

3.风险的分析与评估

4.1风险的识别

风险识别是将组织面临的各种不确定因素一一鉴别出来。这需要对组

织自身的经营状况、其所在市场的情况，其所处法律、社会、政治和

文化环境有深入的认识和了解，同时要求该组织要有明确的经营战略,

由此方可识别促使组织成功的因素，以及那些威胁到组织赢取其战略

目标的因素。

风险的识别是一个动态的过程，随组织和其所在环境的发展变化而发

展、变化。

风险的识别应当一种系统方法来进行，以确保组织的所有主要活动及

其风险都被囊括进来，并进行有效的分类。

组织的行为、活动、决策等可用很多方法加以分类，以下是个常见的

分类：

与策略有关的风险：关系到组织长远战略目标的风险，例如资本

的可获得性、政治风险、法律和政策变更、声誉、竞争态势等等；

-与运营有关的风险：关系到组织日常经营的风险；

-与财务有关的风险：关系到组织财务状况的风险，例如应收帐款、

银行贷款、外汇汇率、利率变动和其他市场风险等；

-与知识管理有关的风险：这关系到组织对知识资源的控制与管理,

例如知识产权的侵权或被侵权，竞争技术的出现，信息系统的功

能错乱，关键技术人员的流失等等；

-与合法(合规)经营有关的风险：包括员工的安全与健康、环境

污染、消费者权益保护等等；

-灾害类风险：主要是指自然灾害或意外事故给组织带来的各种经

济损失。

有效的风险识别应当形成一个风险清单(RiskManifest),列明组织

面临的各种主要风险。

4.2风险的描述

将风险识别出来以后，通常需要使用一些表格的形式对风险的特征进

行精确的描述。无论是对组织的日常经营，还是针对某个特定的项目，

都可以采用这种做法。其适用性非常广泛。见下表。

条目描述

1风险的名称

2风险的波及范围风险本身、其类型、大小、数量的定性描述

3风险的分类策略类、运营类、财务类、知识管理类、合

法经营类、灾害类等等

4风险的参与者谁分担这些风险？各自期望如何？

5风险的量化频率与烈度

6对风险的期望暴露于风险之下的总价值；

潜在损失或收益的规模与概率；

风险控制的目标以及预期。

7风险的处理和控制对风险进行处理的现行方法；

信心指数；

审核与监控的方法。

8潜在的改进措施进一步减少风险的方法与措施

9策略的制订确定风险管理策略，并责成职能部门负责日

常监管。

4.3风险的量化

任何风险最后都需要用数字或精确的文字描述来表述，否则是无法被

大多数人正确认识的。

对于风险的量化，一般是通过分析两个维度，即发生的频率

(Frequency)与一旦发生所造成后果的严重程度(Severity),来进

行的。这种方法既适用于“负面风险。即只有可能造成损失的风险，

也适用于“正面风险”-即有可能造成收益的风险。

风险量化通常可以通过距阵分析发来进行，距阵数列越多，量化得越

精密。一般说来，风险管理专家通常使用3x3或5x5距阵。读者可

以根据自己组织的具体情况进行选择。下面是一些简单的例子。

关于发生频率的分析-损失

量化估计描述重要迹象

高每年都可能发生，或者发生十年内已多次发生；

很可能发生概率高于0.25最近三年内发生过。

中每十年发生一次，或发生概十年内发生过超过一次；

有可能发生率小于0.25历史上曾经发生过。

低十年内不太可能发生，或发从来没有发生过；

不太可能发生生概率小于0.02根据合理掌握的知识认为

不太可能发生。

读者们不妨根据上表分析一下“非典型性肺炎”这种风险再次爆发的

可能性。

关于发生频率的分析-收益

量化估计描述重要迹象

高一年内可取得最好的预期短期内依靠现有体制并有明确

很可能发生成果，或成功概率大于0.75机会取得确定性成果。

中一年内可取得合理的预期短期内按照预定计划并在现有

有可能发生成果，或成功概率在0.25体制内无法取得成果，但采取

恰当措施则有可能。

到0.75之间

低一年内不太可能获得预期短期内按照预定计划并在现有

不太可能发生成果，或成功概率小于0.25体制内无法取得成果，管理层

暂时也没有恰当的办法。

关于后果严重程度的分析-损失与收益

W~・对组织财务状况的冲击巨大;

-对组织战略和经营活动造成重大影响；

・引起各关系方的高度关注。

+~~・对组织财务状况的冲击较大;

-对组织战略和经营活动造成较大影响；

-引起各关系方的较多关注。

低・对组织财务状况的冲击较小（在心理承受线以下）；

-对组织战略和经营活动没什么影响；

-各关系方不会有很多关注。

5x5距阵是在“低”与“中”之间加一个“一般"，在"中”与"高"

之间加一个“较高”，这样将形成五个等汲。

至此，读者可以综合考虑一下，对一个出口型企业来说，应当如何评

估其产品在海外市场遭到反倾销投诉的风险。下图是个简单的3x3距

阵。

69

损

害258

程

度

147

发生频率

4.4风险识别与分析的方法和技巧

风险的识别与分析专很多方法、技巧，一般说来，以下这些是最常用

的：

风险识别

-头脑风暴（集思广益）；-合同结构分析；

-问卷调查；-行业参照；

-业务流程分析；-情境分析（最好和最差情境）；

-事件分析；-研讨会；

-调查与审计。

风险分析

对于“正面风险”：

-市场调研；-前景预测；

-研究与发展；-实验性营销；

-冲击力分析。

对于“正面风险”前“负面风险”

-组织依存模型分析（泛契约关系模-SWOT分析；

型分析）；

-事件树分析法；-持续经营计划（BCP）；

-BPEST分析（商业、政治、经济、-统计分析与推论；

社会、技术分析）

-PESTLE分析（政治、经济、社会、-散布与倾向分析。

技术、法律、环境分析）；

对于“负面风险”

・威胁分析；|・失误树分析;

-FMEA分析（失败模式与效果分析）。

4.5风险剖面图

上述风险分析完毕后，就可以画出任意风险的剖面图，并开始探求对

任意风险的处理方法。

风险剖面图需要列明风险的种类，性质，分析（频率与后果），参与

方/关系方，并提议处理方法。

由于经常为一些项目提供风险管理咨询，我本人非常习惯使用特定格

式来画风险剖面图。附件一是个简单的例子。

风险的分析与评估需要达到这样一个效果，即任意风险都要有明确的

归属。风险的承担者可以是组织本身及内部的各个构成，也可以是与

组织有契约关系的其他组织。

5.风险的处理

通过对风险进行分析和评估，组织的管理层应当已经识别出了影峋组

织战略目标的风险以及其归属，需要考虑采取那些手段对风险进行处

理。主要手段包括：

1.避免（不去做某事以不承担任何风险）；

2.自留（由组织自身承担）；

3.控制与弱化（安全管理，降低风险的频率和烈度）；

4.转移（在契约关系方之间进行）；

5.财务处理（保险与其他方式）。

成熟的组织应当首先考虑前端处理方法，然后按顺序考虑中、后端处

理方法。这是因为对风险的处理越靠近前端，组织就越主动，处理成

本就越好控制。

任何风险处理系统都至少需要达到下列目标:

1.确保组织运营的效率；

2.确保有效的内部控制；

3.确保组织的合法、合规经营。

必须指出：任何对风险的处理都是有经济代价的，判断风险处理的方

法是否得当主要是比较风险自身的成本和对风险进行处理的成本，后

者小于前者是最低标准。

另外，对某一特定风险进行处理在多数情况下会带来新的风险。一旦

新的风险被识别出来，组织应当进行相应的分析与评估。

举个简单的例子：在办公大楼内禁止吸烟降低了火灾的频率，安装喷

淋系统降低了火灾的烈度。但喷淋系统有可能在平时破裂造成水损。

在这种时候，风险管理人员需要比较对甲风险的处理成本是否低于处

理后衍生风险的成本，若否则需要考虑对甲风险的其他处理手段。

在对风险进行财务处理中，保险是个很重要的方式，但不是唯一的方

式。对保险公司进行甄别和选择需要考虑组织的整体风险管理标准。

在这里提个问题请大家思考：中国企业挑选保险公司的标准是什么？

是否与组织的战略目标保持一致？

6.风险管理中的汇报渠道与沟通

7.1内部汇报渠道

优秀的风险管理体制应当给组织中不同级别的机构和人员提供不同

的信息。

董事会及成员应当：

。知道组织面临的最主要战略风险；

令知道组织实际经营效果与各方预期之间的差异及其后果；

今确保组织里各级机构及员工都有恰当的风险意识；

令知道组织应当如何进行危机处理；

。意识到股东对组织信心与信任的重要性；

。知道如何管理与投资机构的沟通；

＜知道风险管理系统是否在有效运行；

。公布组织的风险管理政策、哲学、和使命。

各营业机构应当：

令知道各自工作范围内的主要风险以及发其工作业绩的影响；

令设立明确的运营指标作为基准，以定期考察实际经营效果与预期

之间的差异，并提供改进建议；

令向高级管理层随时或定期汇报新出现的风险，或当前体制中存在

着的风险控制瑕疵；

基层员工应当：

令了解组织风险管理系统的基本要求；

令了解自己工作职责内的主要风险；

令知道应当如何持续改进其各自工作范围内的风险管理；

令意识到个人风险管理和风险意识对组织的重要性；

令向上级管理层随时或定期汇报新出现的风险，或当前体制中存在

着的风险控制瑕疵。

7.2外部汇报渠道

任何组织都需要向其投资人或主管部门定期汇报风险管理政策，及其

实施的有效性。随着时代的不断进步，越来越多的投资人、社会公众

和主管部门会对组织的非财务性经营成果表示关注，例如环保、安全

生产、社区形象等等，因此组织对外通报其风险管理政策与效果提出

了新的要求。

出色的风险管理体制应当提供操作性很强的方法，以达到保障组织的

生存，促进其发展，保护投资人和社会公众利益的最终目的。

对于经营透明度要求很高的公共组织（例如政府或上市公司）来说，

以正式途径向公众或直接利益方通报其风险管理政策更是举足轻重。

这里处理失败的例子举不胜举，值得深思。

正式通报途径应当明确指出：

令对风险的控制手段，尤其是主管人员友风险管理的责任与义务；

令识别风险的流程，以及组织风险管理体系的处理方法；

＜对重大风险的控制手段；

今风险管理的监督与改进机制。

任何现有风险管理系统没有涵盖的重大风险，或者系统本身的瑕疵都

应当及时向组织外部关系方进行通报，并提出行动计划。

7.风险管理的结构与日常管理

7.1风险管理政策

任何组织的风险管理政策都应当以书面方式表达，并明确提出组织对

风险的认识和管理思路（即“风险文化”）o该政策应当对风险管理

职责在组织内的分配做出清楚的分工。此外，风险管理政策应当尽可

能多地援引组织所处法律和政策环境的要求。

法律规定是对风险管理的最低要求。

风险管理政策应当提出针对组织运营特点的风险识别、分析与评估方

法，要做到简单明了，以便于组织各级机构掌握。

组织的最高决策层应当对风险管理政策的制订负全面责任。

8.2董事会的角色

董事会负责确定组织风险管理的战略方向，创造并维护一个能够让风

险管理机制有效运行的大环境。董事会可以下令成立“风险管理委员

会”，由组织内高级管理人员组成；也可以委任“首席风险官”来全

权处理风险管理事务。

董事会至少应当考虑如下事项：

今组织承担负面风险的极限；

令这些负面风险一旦发生组织的命运如何；

令如何对这些负面风险进行主动管理；

令主动管理这些负面风险的能力极限；

令主动管理这些负面风险的成本极限；

。主动管理这些负面风险的预期效果；

令主动管理这些负面风险的决策。

8.3各营业机构的角色

组织内部各营业机构至少应当考虑如下事项：

今各自领域内主要风险是否在日常工作中得到了有效管理；

令如何在各自机构内部提高风险意识；

令从事的特定项目是否在不同阶段都有相应的风险管理措施；

今是否有定期对各自领域内的风险进行'审核的机制。

8.4风险管理专职部门的角色

根据组织的规模大小和经营复杂程度，可以设立如下专职机构：

。风险管理委员会；

今首席风险官；

令全职风险管埋经埋；

。兼职风险管理经理；

令风险管理协调人。

据说现在判断一个组织是否实力雄厚的重要依据是看该组织的官方

网站，但在我看来，判断一个组织的实力也好，发展前景也好，主要

是看该组织是否有专门的风险管理职能部门。这是个重要的分水岭。

全职风险管理经理应当至少负责如下事务：

e受董事会委托具体制订组织风险管理战略和政策；

今在组织内部推行组织的风险文化，提高全员风险意识；

令向组织内部机构提供风险管理培训；

令给每个营业机构设立内部风险政策和目标；

。根据组织特点设计并执行风险管理计划；

e受理组织内部及外部关于改进风险管理的建议和意见；

个制订危机处理计划；

令编写、修订组织的《风险管理手册》；

令向董事会或首席执行官汇报风险管理事务，并接受董事会委托向

组织外部有关方面通报风险管理事项。

8.5内部审计的角色

内部审计的功能和角色因组织具体情况而有很多不同，但在风险管理

上，至少应当承担以下任务：

令审查组织风险管理政策在各机构的执行情况；

令向风险管理专门机构提供评估报告；

。普及并提高内部审计人员的风险意识。

8.6人力资源部的角色

今在工作描述中明确各职位的风险管理功能；

。配合风险管理专门部门对组织全体成员提供风险管理培训。

组织也可以充分利用诸如专业的风险管理、安全管理咨询机构、保险

公司的防灾防损服务、政府主管部门的监督检查机构、行业协会等外

部资源来帮助组织制订、实施风险管理政策与计划。

8.对风险管理的监督和审核

有效的风险管理机制不是一个密不透风的铁罐子，而应当有充分的弹

性来采纳来自各方面的改进意见。另外，组织和其外部环境都是在不

断发展、变化中的，因此需要对组织的风险管理系统进行日常监督和

定期审查，以保证其可靠性和有效性。

监督和审核机制主要考察以下事项：

令风险管理系统是否达到预期效果；

令风险管理程序是否合理；

令风险信息及其采集方法是否有效；

令是否有新的风险管理知识、技术、方法产生。

至此，组织风险管理的第一个大循环结束。

9.风险管理部门与组织内其他部门的关系

自上个世纪七十年代以来，风险管理在组织中发挥的作用一直在高速

地发展、变化。

七十年代的风险管理负责的仅仅是对组织各种保险的安排和管理，例

如财产保险，责任保险，劳工赔偿保险等等。主要思路是统一管理组

织需要的各种保险-也就是以支付固定保险费为经济代价将风险转

移给保险公司，并相应地负责一些安全管理职能，例如防灾、防损等。

这一时期风险管理职能多数情况下是由财务部兼任的-毕竟安排保

险也好，向保险公司索赔也好都和财务有直接关系。组织内部并没有

大规模出现具有独立职责的风险管理部门，也很少有专职风险管理经

理。

中国企业眼下的平均风险管理水平大约柜当于西方先进企业七十年

代初期和中期的水平。

七十年代后期到八十年代中期，风险管理开始在组织中起到越来越大

的作用，其职责也从最初对保险进行管理升级到了要保证企业的财务

稳定与健康。这阶段出现了很多非保险方式的风险处理方法，例如提

高风险自留额，设立内部风险基金，最后出现了组织专属的自保公司。

风险管理在组织中开始真正介入到管理层面上来，出现了专职的风险

管理经理，统一管理组织（尤其是跨国组织）在全球的各种风险，包

括但不限于财产损失风险，财务损失风险，法律责任风险，人员损失

风险等等。

风险管理经理开始与组织内部的有关部门，例如法律部门，审计部门，

质量控制部门，安全生产部门，人力资源部门等开始全面的合作。

一直到现在，大多数西方企业依然处在这一阶段的后期，风险管理经

理在组织中具有非常重要的地位，通常是直接向首席财务长官汇报。

这一时期风险管理开始涉足风险管理的中前端部分。

下图是一个在今天依然有很多跨国公司采用的风险管理组织机构图。

这一时期风险管理学说也得到了极大丰富和完善，风险管理的理论与

实践在各行业都有很好的发展。

进入九十年代以来，随着跨国业务的飞速发展，以及组织面临风险的

多样化和复杂化，要求风险管理必须发挥更多的主动管理作用，而不

是传统的等风险出现后对之进行处理。这要求风险管理必须全面涉及

到组织的各个方面，而且能够在对过去和现在进行科学分析的基础上,

为组织的决策者提供前瞻性的信息和依据，真正做到高瞻远瞩，未雨

绸缪。

九十年代后期，一些最先进的跨国公司开始考虑对组织面临的各种风

险进行统一的、全面的管理，这就是今天一些风险管理人士津津乐道

的uEnterprisesRiskManagement"，简称ERM。

在这一新体系下，风险管理承担了前所未有的重要职责，风险管理者

在组织中的地位也比以往任何时候都重要。下图是目前全世界最先进

的跨国公司采用的风险管理组织结构。

但首先需要决策者清醒地认识到自身的差距，然后再奋起安全管理

直追。据说在信息时代中国企业具有很多“后发优势”，

可以少走很多发达国家企业走过的歧途，我衷心希望我能首先在风险

管理领域看到这种迹象。

这也是为什么我选择免费发放本手册的根本原因。

祝聪明的中国企业家们好运！

感谢叶会文先生对本章的建议。

后记

在即将