——企業(yè)全面風險管理綜述 

       編者按:加強風險管理，是企業(yè)經營發(fā)展中的一個重要工具，尤其面對目前整體經濟下行的狀況十分重要。風險管理的3道防線，第一道防線是經營部門，第二道防線是風險管理部門，第三道防線是審計部門，把好3道防線關，對于企業(yè)健康發(fā)展起著非常重要的效果。這其實意味著，風險管理就是全員行動、全面行動，需要企業(yè)全體人員形成風險管理意識，養(yǎng)成用風險管理的思路應對企業(yè)經營決策、管理中的問題，協(xié)調好風險與機遇之間的關系與轉換，減少負面風險的損失，抓住風險帶來的效益機遇，達到“風險管理，創(chuàng)造價值”的效果。
     為此，甘肅建投最近邀請了卜范濤、趙阿興、曲保智等國內著名的企業(yè)風險管理專家，對集團總公司及旗下公司的負責人、部門負責人進行了專題培訓。學員們普遍反映，通過培訓受益匪淺，在工作中有醍醐灌頂之感。現(xiàn)本報計劃組織一批企業(yè)風險管理的稿件，將廣大職工企業(yè)風險管理的心得體會與大家共享，同時力求在企業(yè)內部掀起學習掌握風險管理知識、運用風險管理思路的好方法決策企業(yè)發(fā)展、經營管理好企業(yè)的新熱潮，使甘肅建投整體在全省、全國和國際大市場上穩(wěn)步、健康地發(fā)展。
        
     墨西哥金融危機、亞洲金融風暴、由美國次貸危機引起的全球金融危機、歐洲金融危機等，從上世界90年代起，一起又一起的風險危機與事件層見疊出，將“風險”二字推到了風口浪尖上，也將風險管理推到了企業(yè)決策、管理、發(fā)展的金字塔尖上。
     那么風險是什么？ISO-31000將風險定義為，“風險是不確定性對目標的影響”。ISO /IEC Risk-Guide73uqf將風險管理定義為，是指導和控制組織、企業(yè)風險的各類協(xié)調活動。
     事實上，風險是無處不在，無時不在的。只要存在于社會，風險就會以各種不同的方式出現(xiàn)。正如易經中的陰陽卦象一樣，“風險與機遇”并存，代表著陰陽兩象相互抵觸、相互依存、相互融合的環(huán)境。“實現(xiàn)企業(yè)零風險”是一個不存在的概念，只要企業(yè)存在和發(fā)展，就會面臨著風險與機遇共存的狀態(tài)，只有企業(yè)消失了，才能“實現(xiàn)企業(yè)零風險”。
     因此，企業(yè)全面風險管理的宗旨就是“管理風險，創(chuàng)造價值”。 企業(yè)風險管理概念、原則與框架風險具有主觀性與客觀性，往往不是孤立的而是關聯(lián)的，具有不確定性，風險的發(fā)生往往具有條件性，其結果不僅僅具有負面性而且有可能具有正面性，風險一般具有三大要素：風險因素、風險事件與風險損益。
     廣義風險概念一般指公共、企業(yè)和個體（個人和家庭）等廣義范疇，包括自然、社會、經濟、政治、財產、人身、責任、技術風險等方面。而關于企業(yè)風險框架較多，2000年以后在全球通用的企業(yè)風險一般主要包括戰(zhàn)略風險、操作風險、財務風險、環(huán)境風險、過程風險、信息風險、信用風險、市場風險、運營風險、法律風險、聲譽風險等方面。
     基于風險與機遇共存的狀況，如何使社會和企業(yè)能發(fā)現(xiàn)風險、避免風險、減少風險造成的損失、從風險中取得獲益，自1995年澳大利亞/新西蘭聯(lián)合發(fā)布AS/NZS4360之后，全球某些國家和地區(qū)陸續(xù)頒布了有關全面風險管理的標準與指引，其中以澳新、英國、美國、中國的地方版的影響力和特點最為突出，最近頻布的國際版的1SO以三個標準系列將風險管理推到了一個史無前例的高度。
     澳/新AS/NZS4360（1995，1999，2004）清新地闡明了風險/收益，風險/機會的關系；英國AIRMIC/ALARM/IRM（2002）標準，描述了風險管理過程，給出了較為特征的風險驅動因素分析框架，包括戰(zhàn)略、操作、財務和危害性四大版塊的風險驅動源泉在內部環(huán)境和外部環(huán)境的信用下可能產生的風險事項分類；美國COSO-ERM（2004）《企業(yè)風險管理-整合框架》，從四類目標、八大要素和四層企業(yè)內部的不同層次的單元構成了三維視覺的企業(yè)全面風險管理的模型。四大目標為戰(zhàn)略、經營、報告、合規(guī)目標，八大要素包括內部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息溝通和監(jiān)控，四大層次包括主體層次、分布、業(yè)務單位、子公司。
     中國《中央企業(yè)全面風險管理指引》（2006年國資委頒布），奠定了中國就實施企業(yè)全面風險管理方面在全球的突出地位，是全球為數不多出臺ERM（企業(yè)風險管理）《指引》的國家。
     ISO-31000（2009年）系列版本，包括“風險管理原則和實施指引”、“風險管理詞匯”和“風險管理-風險評估技術”。ISO-31000是風險管理謀略的歷史上第一個大框架，積累了幾千年來人類的“血和淚”換來的風險管理智慧，將對全球企業(yè)產生的重大影響。
     風險管理的三大終極目標： 財務目標 (損最小化,盈利最大化)； 社會責任目標 (安全、質量、環(huán)境、節(jié)能、勞工權益)； 聲譽目標 (品牌存在持續(xù)性)。風險管理的任務目標：弱勢最小化管理；不確定性管理；績效最優(yōu)化管理。
     管理企業(yè)重要風險的原則，主要是戰(zhàn)略風險管理、操作風險管理、財務風險管理、市場風險管理、法律風險管理與合規(guī)風險管理。在風險管理中，首先最重要的是戰(zhàn)略風險。企業(yè)的經營中，財務、經營、品牌等各個方面均有可能出現(xiàn)不準確的決定和損失，但確定戰(zhàn)略平臺不能出現(xiàn)錯誤?；{的戰(zhàn)略風險是一種投機性風險，寓意既充滿風險也同時面臨機遇。嚴重的負責戰(zhàn)略風險發(fā)生將會影響企業(yè)全局發(fā)展或者導致企業(yè)快速死亡；相反，如果企業(yè)制定的和執(zhí)行了正確和富有遠見的戰(zhàn)略，企業(yè)具有極強的應對能力，企業(yè)就會控制和利用戰(zhàn)略風險方面游刃有余，并能適度地平衡風險與機遇，從而抓住發(fā)展的戰(zhàn)略先機。


企業(yè)全面風險的基本對策


     面對風險，很多企業(yè)對風險管理和風險應對有多種對策，例如對沖、隔離、轉移、轉換、轉包、分散和多元化等手段，歸納起來基本表現(xiàn)為避免、保留、改善、轉移和分擔、移開風險源、風險應對等幾種對策，選擇多種策略的組合拳，最終產生最佳策略組合。
     1.避免原則。根據風險評估所顯示的結果，企業(yè)首先一步就是就排除或接受某種風險而做出第一步的選擇。與企業(yè)戰(zhàn)略方向關聯(lián)不大的新機遇，與企業(yè)新戰(zhàn)略不吻合的舊業(yè)務，或風險／回報率不佳的項目，或企業(yè)現(xiàn)有條件還沒有能力控制該方面的風險，企業(yè)應盡力排除和規(guī)避這些風險。企業(yè)常常選用退出、出售、停止、禁止、限制、放棄、不接受或消除等具體戰(zhàn)略選擇措施而實施“避免某些風險的原則”。
     2.保留原則。 企業(yè)要經營就要冒風險，攜帶有相當數量的為實現(xiàn)企業(yè)戰(zhàn)略而不可擺脫的固有風險，而具有策略風險管理的企業(yè)往往根據風險評估的結果有意的把風險發(fā)生頻率小和損失又小的風險承受下來，并往往計為損失而反映在企業(yè)的經營成本中。企業(yè)還往往把尚不能找到其他合理辦法管理的風險也承擔下來，或者有進即便能找到其他方法管理風險的成本可能高過風險保留成本，因而企業(yè)也把這些風險承擔下來。曾經有組織作過評估并宣布，從目前企業(yè)對風險管理所達到的技術水平而言，即便是在一個有效實施風險管理的組織大約也會保留其所有風險數量的70％。對于這些保留下來的風險，企業(yè)必須對其可能造成的損失有所準備，要通過監(jiān)視、加強監(jiān)測和采取預警、自保方式解決、控制或進行嚴格控制以及應急措施的準備等方面做好匹配性準備。
     3.轉移原則。根據風險評估的結果，企業(yè)一般會考慮將發(fā)生概率不大，但損失程度巨大的風險轉移出去，以便以小的成本換得大的風險保障。一般企業(yè)做出風險轉移的決策往往是在與其他風險管理的工具進行成本、風險、收益的基礎上做出的。企業(yè)實施風險轉移可以通過保險轉移、合約風險轉移或保險衍生品轉移等。企業(yè)可以完全轉移某種風險，也可以部分轉移風險或將風險轉移的方式與其他風險管理的工具聯(lián)合使用。企業(yè)如果采用部分轉移風險的方式，則必須能夠識別轉移后所剩余的風險，并且對剩余的風險管理做出合理安排。
     4.改善風險特征原則?！皽p小不利風險，加大有利風險”，這往往需要改變風險的特征，如改變風險的發(fā)生頻率(可能性)和影響程度(后果)，或改變兩者其一。企業(yè)往往對于希望承擔的風險通過改善或分擔等措施實施廣泛適宜的管理，對不希望承擔的風險通過規(guī)避，轉移，控制措施而減小這些風險。
     企業(yè)對于保留下來的希望承擔的、有利可圖的投機性風險往往也要實施改善處理，這種改善處理的原則是：盡量增大獲利的程度和頻率。近些年來企業(yè)在這方面的努力主要有幾種模式。一是企業(yè)常使用風險調整資本收益率等方法來實施對投機性風險的評價和改善；二是對于企業(yè)已經有風險管理能力進行管理的投機性風險加大對風險的承擔程度，以增加盈利程度。與此同時甚至企業(yè)可以考慮重新設計更具挑戰(zhàn)性的經營模式和實施重組等；三是在進入新市場、并購聯(lián)合和引進項目等方面，由于在這些過程中增加了風險管理技術的支持進而改善企業(yè)在這些項目的設計和選擇方面的獲勝能力。
     5.分擔原則。如果企業(yè)從運營能力上或從承擔風險的程度上等認為不宜獨立承擔某一新機遇，則可以考慮與合作伙伴分享——共擔機會。這種機會共擔的結果一般是：共享機會，共擔成本，共擔風險。企業(yè)實施共擔機會的做法一般是通過合約的方式實現(xiàn)的，在合約中規(guī)范雙方的業(yè)務范疇和利益分配原則，以及規(guī)范雙方的責任義務和風險成本義務。企業(yè)如何在共享機會、共擔成本和共擔機會中獲得有利地位，取決于在共擔機會中的甲乙方的地位，取決于合作協(xié)議中所陳述的利益、成本和風險的權衡比例的適宜程度。
     6.消除或轉移風險源。企亞繞開對擬治理風險的直接治理措施，從消除或移走產生風險的源頭角度而選擇應對某一(或某組合)風險的較佳解決方案。
     7.風險應對的原則。企業(yè)面臨毫無認知的、無法抗拒的或毫無準備的突發(fā)風險事件只能選擇應對，考慮到這種情況企業(yè)應事先制定一種意外計劃也會對減輕在這種情形下的損失有所幫助。另外，企業(yè)預先制定的其他各類危機管理計劃都是為緊急狀態(tài)下的理性應對危機和努力減小損失而準備的。除了制定各類危機管理計劃之外，企業(yè)為可預測到的風險事先安排一些財務補償策略(例如風險轉移或風險對沖等)也是常見的活動。


企業(yè)風險管理的措施、技術、工具和手段


     企業(yè)風險治理方案一般包括風險治理的策略與相應落實措施或手段(或某些情形下又稱作技術或工具)，其關系是企業(yè)風險治理策略的落實必須靠使用風險管理的技術或手段來完成。風險管理使用的手段主要設置是“企業(yè)內部控制”、“保險與風險管理”、“衍生工具與風險管理”、“合同方式的風險管理技術”等四類措施、技術、工具和手段。
     1.風險控制技術。企業(yè)對風險實施控制就是我們常談到的企業(yè)內部控制。通過風險控制以減小不利和促進有利。改善型風險控制具有兩種使命：一是傳統(tǒng)意義上的通過風險控制以減低不利風險和損失，二是改善對企業(yè)盈利能力的控制和對機會的把控，實質上利用風險。企業(yè)實施風險改善的目的就是實現(xiàn)風險特征的實際改變，以保障企業(yè)風險控制目標實現(xiàn)和進而保障企業(yè)風險管理目標實現(xiàn)，并最終服務和推動企業(yè)戰(zhàn)略目標的實現(xiàn)。尤其是對企業(yè)無可回避的關鍵性重大風險，必須設計嚴格的控制流程和制定嚴格的控制制度實施控制，并密切實施監(jiān)控。企業(yè)對于為保留機遇和圖發(fā)展而必須保留的固有風險常常不得不采用控制的方法將風險控制在可接受的范圍之內。顯然，在企業(yè)常用的四類風險治理措施和手段中，內部控制是企業(yè)最常規(guī)的和最基本的治理風險手段。
     2.保險轉移。保險是實施風險轉移的一種常見工具或是一種分攤損失的方法，是風險發(fā)生時的經濟補償手段，保險不是傳統(tǒng)的實物產品而是一種合同契約，因而保險產品的出售往往與承擔法律責任關聯(lián)密切。保險是一種經濟行為，保險活動既是一種商業(yè)活動也是一種金融活動。在保險活動中，需求方是投保人，他們從保險市場上得到購買合約中所陳述的風險“保障”；供給方是保險人，他們根據大數法則，將大量面臨同樣風險的個人、企業(yè)或其他組織匯集到一起，按照等價原則和損失分攤原則向投保人收取保費，建立保險基金，當被保險人遭受損失后根據保險條款向其提供經濟補償。因此當一個企業(yè)購買了一張保單時，被該保單條款涵蓋的與某事項相關的部分或全部風險就被有效地從該企業(yè)轉移到保險公司了。
     3.金融衍生品。金融衍生工具在企業(yè)風險管理中的使用往往被解釋為“起到風險對沖工具的作用”。衍生工具也稱為衍生產品，是一種雙邊合約或付款互換協(xié)議，其價值從相關資產或相關參考比率或指數中衍生而來。一般金融衍生工具具有的功能包括：轉化功通巳定價功能、規(guī)避風險功能、盈利功能、資源配置功能。
     4.合同方式的風險管理。合同手段較為靈活的風險管理手段，并且適用性也較為廣泛，制定一種能為企業(yè)帶來低風險和高回報的合約是企業(yè)經營管理能力及風險管理智慧水平的象征。
     5.風險自留的財務應對措施。風險自留是指企業(yè)自己承擔風險損失，主動和有計劃的風險自留通常是企業(yè)處理殘余風險的技術措施，被動的和無計劃的風險自留是由于企業(yè)無意識、無防備或低估了風險而不得不在風險事件發(fā)生之后風險自留。主要有幾種主動和周密的風險自留技術：1．將損失攤入經營成本，這些風險通常被企業(yè)視為擺脫不掉或不可避免的風險。2．建立意外損失基金，又稱自保基金或應急基金，是企業(yè)預先提取以補償風險事件所致?lián)p失的一種基金，可以節(jié)約附加保費、獲取投資收益、降低道德風險和理賠迅速，其缺點是可能發(fā)生財務周轉困難或應急基金嚴重不足。 3．為損失建立信用額度，是企業(yè)在損失發(fā)生前安排好企業(yè)可以得到的貸款條件，緩解企業(yè)突然發(fā)生的現(xiàn)金流壓力。 4．籌集外部資金，理論上用傳統(tǒng)的企業(yè)融資工具，如發(fā)行災難債券或出讓權益來為損失融資等等。 5．自保措施。組建全資自保子公司，自保公司通常為整個母公司集團提供或安排損失融資，或者說提供保險或再保險。自保公司一般分為單一自保公司、聯(lián)合自保公司和租借式自保公司等類型。
企業(yè)全面風險管理基礎體系建設
     通過統(tǒng)一風險意識，企業(yè)應確定一個上上下下員工都信奉的風險管理的體系，面對風險展示出的組織的共同信仰和態(tài)度。
     企業(yè)全面風險管理（ERM)體系建設關注的焦點是：建立ERM體系和能力、采納ERM方法和工具、配置資源、設立崗位，從而能夠對企業(yè)面臨的風險實施預測、預防、監(jiān)測、預警和應對，以保障企業(yè)目標得以實現(xiàn)。
     目前全球企業(yè)基本上是按照ISO-31000“風險管理的原則和指引”來建立ERM的體系框架，核心是圍繞著風險管理的能力建設，其中主要包括：風險管理的框架體系、風險文化基礎、治理結構建設；風險管理責權機制建設（最根本：風險管理一票否決權機制）；3、風險報告體系建設；4、風險評估能力建設；5、風險預測和預警能力建設（特別針對重大風險）；6、風險控制能力建設(例如合規(guī)體系建設，全盤控制水平， 監(jiān)督/審核）；對重大風險的治理能力建設；風險應急能力建設；風險管理決策智慧和藝術水平建設；風險管理績效考核體系建設。


建設企業(yè)全面風險管理的總體規(guī)劃


●定位企業(yè)風險管理的哲學和風險偏好
●圍繞著企業(yè)發(fā)展總目標、經營目標和業(yè)務目標，梳理企業(yè)風險管理目標  
    戰(zhàn)略目標、操作目標、報告目標、合規(guī)目標
●確定企業(yè)風險管理的框架
●建設風險管理六個基礎模塊
    組織與環(huán)境、系統(tǒng)和數據、風險指標、戰(zhàn)略、內控、風險理財
●建立一個風險管理過程
    溝通與磋商＞確認相關內容＞風險評估＞識別對策＞選擇與實施對策＞
    監(jiān)控與改進
●建立和提升六種風險管理能力
    策略、人員、過程、報告、方法與技術、數據與系統(tǒng)
●掌握一套理論體系、知識體系、方法體系、措施/技術/手段/工具體系
    例如：ERM14個模塊：注冊企業(yè)風險管理師應掌握的知識和技能體系
    基本風險管理手段：內部控制、保險、衍生工具、其他合約
    基本風險反應對策：回避、保留、改善（減小不利因素的努力和增進獲利因
    素的努力）、轉移、分擔（如外包）、移去風險源、風險應對等
●生成企業(yè)風險管理的解決方案
    建立框架（包括政策/過程框架）、建立基礎與能力、確定策略/措施、制定計劃 
                                     (轉自建投網)