第三节 风险管理程序

风险管理程序可分为四个步骤:第一步是风险识别;第二步是对主要风险进行评估;第三步是确定风险评级和应对计划;第四步是风险监察。
风险管理程序要求识别和了解企业面临的各种风险，以评估风险的成本、影响及发生的可能性，并针对出现的风险制定应对办法，制定文件记录程序以描述发生的情况以及实施的纠正举措。
风险管理程序应覆盖整个企业，包括各级人员和各个部门。大型企业可能会组建一个由风险管理专业人员构成的专门小组，而小型企业亦会安排一些人员负责管理整个企业内部的风险管理程序。无论是设立了正规的风险管理部门或是指定了专门的管理者，企业风险管理均涉及众多人员。上述风险管理程序中的四个步骤应在企业的各层面得以执行，并且不同工种的人员均应参与。无论是设在小地方且各种设施不完善的小型企业还是大型企业，均应制定常见的风险管理方法。这对于当今普遍出现的全球机构来说尤为重要。全球机构可能设立了多个经营单位，开展不同的商业经营活动，并在不同国家建立多种设施。一个单位内的风险可能直接对另一单位的风险产生影响或与之相关，但是对其他风险的考虑却可能实际上是独立的。这些常见风险可能在多种情况下出现，比如财务决策失误、客户口昧的变化以及新的政府监管规定。以下将对风险识别、评级及分析作出详解。
一、风险识别
管理层需要充分了解企业所面临的风险。风险管理中最大的问题是没有认识到潜在的障碍威胁。企业需要知道损失来自何处并能够找出受益于损失控制程序的问题领域。然而，风险管理人员不能对未能识别和计量的风险因素采取行动。作为起点，企业应通过正式的检查程序来全面分析风险和损失。这种风险审查允许企业评估真正的成本驱动因素，以便设计适当的损失控制和预防计划，来减少高风险的活动和高成本的损失事件。
因此，管理层应尽力识别所有可能对企业取得成功产生影响的风险，包括整个业务面临的较大或重大的风险，以及与每个项目或较小的业务单位关联的不太主要的风险。风险识别程序要求采用一种有计划的、经过深思熟虑的方法，来识别业务的每个方面存在的潜在风险，并识别可能在合理的时间段内影响每项业务的较为重大的风险。目的并不只是罗列每个可能的风险，而是识别那些可能对运营产生影响的风险。即在合理的时间段内，发生风险的可能性的大小。如果企业不得不面对某种风险，而又不知道发生风险的可能性或后果，则对风险进行识别可能比较困难。
风险识别程序应在企业内的多个层级得以执行。对每个业务单位或项目有影响的风险，可能不会对整个企业产生同样大甚至更大的影响。因此，对整个经济体产生影响的主要风险会分流到各个企业及其独立的业务单位。某些主要风险发生时会产生很大的影响，但发生的频率不高，所以这种风险较难认定。
风险识别的方法之一是集体讨论可能的风险领域。通过这种方法动员知悉情况的人员迅速给予答复，把他们脑子里第一个想到的事情说出来。指定的主持人向每个小组提出一个与风险有关的问题，然后要求小组成员依次说出他们的想法。之后由风险管理小组对集体讨论后识别的所有风险进行复核，并且认定核心风险。由于风险识别程序一直伴随着讨论和分析活动进行，最后认定的风险与最初识别的一组风险相比，可能会有所改变。企业及具体的经营单位最后认定的组织风险，应提供给负责经营和财务管理的人员，以及参与集体讨论的小组。在开始风险评估前，可恰当地对认定结果进行更改。
之后，为识别风险进行的集体讨论的结果，应提供给未参与讨论的其他单位。应按照来自整个企业的评论和讨论，增加己识别风险。风险识别并非详尽的分析和讨论活动，但是每个人在短时间内产生的想法或评论，会对其他人的想法和评论起到抛砖引玉的作用。
启动风险识别程序的一种不错的方法是，找出列明属于企业层面的重要设施及经营单位的高层级的组织结构图。每个重要的经营单位都可能在全球许多地方建立了设施，也可能开展丁多种不同的业务。每个单独的设施也会有其自己的部门或职能，其中一些部门相互之间是密切关联的，而另外一些部门与企业投资几无差别。应在整个企业范围内实施风险识别程序以识别各独立领域的所有风险。诚然，这很困难，有时甚至是比较复杂的任务。而且，企业内处于不同级别的不同成员将从不同的角度考虑某些相同的风险。更高级的管理层一般会注意与经营相关的一组风险，但这些风险的水平不尽相同。但是，所有这些风险至少应被识别出来，并分别按照每一个经营单位及整个企业层面考虑这些风险。
要使风险识别程序生效，就要求不只是简单地向所有经营单位发出邮件，还应要求列出其单位面对的主要风险。对这种要求的一般反应将是给出的答复不一致且涉及范围广泛，并且没有通用的方法。更好的方式是，弄清楚企业内各级别的人员，要求他们担任风险评估人。对每个重大的经营单位，应识别负责运营、财务、会计、信息技术和单位管理的各类主要人员。这些人员将以识别及帮助评估其所在单位的风险为目标，而这些单位应该是被包括在风险识别模型架构之内的。这样的方式可由企业风险管理小组或类似的部门来牵头，比如内部审计部。
二、对主要风险的评估
风险通常是相互依存的。应依据组织结构考虑和评价风险间的相互依存关系。企业应关注企业内各层级的风险，但实际上各层级可能仅对其范围内的风险实施了控制。每个经营单位负责管理其面临的风险，但是可能受到组织结构中上一级单位或下一单位的风险事件的影响。企业的每个经营单位应认识到，自身遇到的许多风险，均可能对企业内其他单位产生影响。
1 识别出对企业的各个层级有影响的重大风险后，下一步是对风险发生的可能性及相对重大程度进行评估。这对于通过集体讨论快速识别的风险尤为重要。可用于评估风险的方法有很多，包括最佳猜想定性法( best-guess qualitative approach，这种方法相对比较快)，以及一些详尽的、非常精确的定量方法。
用以评估风险影响的常见的定性方法是制作风险评估系图。风险评估系图识别某一风险是否会对企业产生重大影响，并将此结论与风险发生的可能性联系起来。这种方法能够为确定业务风险的优先次序提供框架。如图 9 -1所示，与影响较小且发生的可能性较低的风险(在图中的点 2)相比，具有重大影响且发生的可能性较高的风险(在图中的点 1)更加亟待关注。每种风险的重大程度及影响会因企业结构的不同而有所差别。

图9 -1 风险评估系图

此外，还有大量工具可用来确定风险对企业的影响，比如情景设计、敏感性分析、决策树 (decision tree)、计算机模拟、软件包和对现有数据的分析。
(1)情景设计。通常借助企业内部的讨论，形成关于未来情况的各种可能的看法。
(2)敏感性分析。该分析从改变可能影响分析结果的不同因素的数值人手，估计结果对这些变量的变动的敏感程度。
(3)决策树。常用于目标管理中，以证实每个阶段存在的不确定性，根据每种可能的结果出现的可能性及包含的现金流量，评估项目的期望值。
(4)计算机模拟。利用概率分布，并重复运行，为某项目识别许多可能的情景和结果。
(5 )软件包。旨在协助风险识别和分析程序。
(6)对现有数据的分析。对现有数据作出分析能够有效地掌握过去风险的影响。
在评估风险时，应留意的是概率与不确定性。特别是在识别出大量风险后，评估小组应逐个考虑风险、可能性以及发生的情况(以概率表示，范围为 0-1 )。需要强调的是，本质上来说，风险可能不会保持不变，也不是 100%会发生。关于概率的另外一个基本规则是，不得将独立的概率估计相加，得出综合估值。
三、确定风险评级和应对策略
1.确定风险评级风险无处不在。企业的成功常常可以归结为确认和管理伴随潜在机会及收益的可能风险。大多数企业面临的风险类型是不同的，且范围广泛。风险一般分为财务和运营风险两大类别。风险类型包括市场价格波动的敞口、对手信贷违约和法律责任等。在采取风险管理行动之前，识别风险是至关重要的。
接下来，企业的典型做法是检查风险评级，并得出一份列明潜在风险的清单。系统化的程序有助于识别风险以及按照数量对风险评级，这可以作为关键的第一步，但是有效的风险管理策略一般取决于量化的风险，而这常常通过概率模型技术得到。风险的计量和估值是风险管理中最有难度的工作，但是这对于具成本效益的风险管理及精明的决策是至关重要的。花费一定的时间和资辘，利用工具和专门技术，正确地量化公司的主要风险，对于后期的风险管理程序是有帮助的。此外，在识别、量化和缓解风险时，需要注意的一个关键要素是风险之间的相五影响和相互关系。例如，信贷风险的敞口还可能影响市场价格风险;而运营风险，比如舞弊可能造成法律及名誉风险。应认识到不同公司活动的风险相互影响，这是现在大企业广泛采用的适合企业范围的风险管理方法的一个基础。
下一步是按照已确定的重大程度和可能性估值，计算风险评分，并识别最为重大的风险。根据影响及可能性，对风险进行优先次序的排列。评分较高的风险，将被记人如图 9 -1所示的右上角的象限中，这被称作风险推动因素或主要风险。然后，企业应将注意力继续放在这些主要风险上。
进行优先次序排列时，不应仅考虑财务方面的影响，更重要的是考虑对实现企业目标的潜在影响。并非所有的风险经过识别后都是重大风险。非重大的风险应定期复核，特别是在外部事项发生变化时，应检查这些风险是否仍为非重大风险。
企业风险评估小组应逐个识别各个单位，以确定各层级的风险已评估完毕，而且从整个企业来说，风险的可能性和重要估值是适当的。值得留意的是，远离企业总部、在偏远的地方发生的风险事件可能常常给整个企业带来重大问题 C
然后，风险评估小组要监察每一被识别的风险，估计承担风险的成本。之后用戚本乘以风险因素概率，得出风险的期望值。风险评估小组应与企业内的其他专业人员合作计算风险估值。计算期望值时，无需对成本进行详细的研究，也不需要使用大量的历史趋势和估计作为支持。己识别风险的估值可作为持续的风险矫正决策的基础。
由于市场条件和波动性水平会改变，对手的财力会变化，物理环境会变化，地缘政治形势也会变化。所有这些变化可能突然出现，也可能悄悄出现，不易被发现。企业活动产生的风险敞口也可能发生改变。有效的风险管理要求企业持续对风险进行重新评估，并且在企业风险管理架构中加入程序，以评估当前存在的及预期的风险敞口。预测未来敞口是必要的，原因是
风险管理的决策是以预期风险水平为基础的。
2.应对策略
管理层可针对己评估的关键性风险作出回应。可选的应对风险策略有风险降低、风险消除、风险转移和风险保留。管理层可以选择一个或多个策略结合使用。
(1)风险降低。"风险降低"的风险应对策略，亦称作风险缓解。不同的实际情况适用不同的风险降低方法。常用的一种形式是风险分散，即通过分散的形式来降低风险，比如在多种股票而非单一股票上投资。不愿"将所有的鸡蛋放在一个篮子里"的企业会采用的是风险分散策略。
风险降低的概念是基于企业不愿意被动接受特定的后果分布状态，而通过自身努力改变不利后果的概率。为改变后果分布状态所做的努力，称为风险缓解。企业成功地降低风险后，其成果分布状态将不再是极端的。
缓解风险可以采取多种形式，包括采用套期。套期是交易商建立证券、商品或货币对冲持仓，从而抵消所面临的风险。企业还可以采用其他许多方法降低风险敞口，包括市场研究、地区及。产品线的多样化、筛选和监控客户、外包、给产品定价时分配风险酬金、存货或股权计入生产量中，以及推行巳制定的程序，以将经营风险降至最低。但这种策略在很大程度上取决于套期成本、企业承受风险及潜在损失的能力。为进行套期开展的交易活动，不应出于交易可能被误解为投机行为的担忧而放弃。但是，不同的套期工具对于各个公司及环境来说，成本效益可能不同，是否合适也另当别论。
(2)风险消除。"风险消除"策略包括风险避免、风险化解、风险排斥和/或风险终止。采用风险消除的目的是，预期出现不利后果时，一并化解风险。
(3)风险转移。采用风险转移的目的是，将风险转移给另一家企业、公司或机构。合同及财务协议是转移风险的主要方式。转移风险并不会降低其可能的严重程度，只是从一方移除后转移给另外一方。
转移风险时，管理层应考虑各方的目标、转移的能力、存在风险的情景以及成本效益。其中一种转移风险的方式是购买保险，购买保险具体来说就是企业通过向非关联的第三方付款，让其代为承担风险。接受被转移风险的一方，通常要收取保费。问题是，所支付的保费是否低于风险发生时吸收风险的财务影响的可能成本。即使企业相信其转移了风险，但通常它并不能完全不受影响。比如，如果将某一工程项目的风险转移给承包人，而承包人未能管理风险，导致项目推迟交付。即使承包人可能因推迟交付而面临处罚，但是项目推迟已是在所难免。
(4)风险保留。风险保留包括风险接受、风险吸收和风险容忍。采取风险保留的策略，或者是因为这是比较经济的策略，或者是因为没有其他备选方法(比如降低、消除或转移)。采用风险保留时，管理层需考虑所有的方案，即如果没有其他备选方案，管理层需确定已对所有可能的消除、降低或转移方法进行分析来决定保留风险。此外，商业环境从来不是一成不变的，因此，企业在短期内可能出现新的备选方法，比如保险合同、外包或开发其他市场斗通过定期风险复核，控制风险情景并清楚何时应作出决策，这是非常重要的。要确保不会与备选措施失之交臂，需进行积极的风险管理。而且，如果已经特意作出了保留风险的决策，那么管理层应对付诸实施的影响及风险发生的可能性十分清楚。
总之，风险策略是风险管理总体程序至关重要的一部分。应参照以前的活动制定风险对策。由于情况是不断发生变化的，必须紧跟风险识别和评估，立即实施应对策略。应仔细分析四种风险应对策略，即风险降低、风险消除、风险转移和风险保留，一旦为一种特殊风险确定了风险应对类型，则必须制定具体措施，以落实这一应对策略。一般来说，风险不可能被完全消除。因此，如果能将风险降低至可接受的范围，且风险应对措施的成本未超过收益，那么，可在保留风险的同时，执行风险降低策略。
四、风险监察
对主要风险的识别，绝不是一个单一的、一次性的过程。经正规的集体讨论或其他程序识别的一系列风险所在的环境，将随着这些已识别风险性质的改变而迅速出现变化。某些环境条件改变后，可能使风险变成更严重的威胁。例如，参与集体讨论的小组可能对某个欠发达国家识别出一些潜在的政治风险。但是，事情常常在短时间内发生，这个国家发生的政治变革可能使得这样的担忧变得更具危险性。企业则需要设立一项机制，对已识别的风险进行监察。监测内容包括目标的实现过程，并关注新的风险和相关损失。
风险识别程序不是连续的。正如一个机构在编制年度预算后可能在每季度对预算进行修改一样，风险识别程序常常是每年或每季度执行一次。一旦风险被识别，企业必须对风险进行监察，并在需要时不断作出调整。风险监察者定期检查正在发生的损失，以了解他们的控制建议得以实施，并设计过程来改善风险管理的过程，制定一项战略来应对出现的新风险。
风险监察可由程序的所有者或独立审查人员执行，如企业风险管理部门或内部审计师。
程序的所有者或负责风险领域的企业风险管理小组的成员能不断提供最佳的风险状况信息。企业根据正确的信息进行分析和预测，并持续对这些风险进行调研，提供对巳识别风险的可能性的最新评估。企业应利用信息，加强跟踪反馈，以便进行风险管理，精确调整损失控制程序，并采取新的行动进一步减少损失。如果企业能够识别可能导致重大损失、名誉损害或经营中断的主要缺陷，并且可以有效减轻这些风险.避免产生重大影响，他们将实现风险评估和改进流程的最终目标。
程序的所有者常常能提供某一时点对风险性质的最公正的评估，只有特定几类风险，其风险识别程序的所有者可能无法提供完全公正的信息。例如，除非推刷新产品，否则存在丧失市场份额的风险，则程序的所有者可能由于风险解决方案太过明显，反而无法给出完全公正的跟进评估。
内部审计师也常常能提供非常可靠且完善的信息，来监察己识别风险的当前状态。内部审计师可通过调查或面对面的会谈来收集此类信息。内部审计师常常特别值得信赖且非常权威，因此，当他们提出有关某些已识别风险领域的状况时，负责相关领域的人员很可能会尽量提供准确的信息。如果内部审计师无法取得关于某些已识别风险的状况的信息，他们还能安排实地勘察，以更好地了解风险领域的性质。本书第八章已为内部审计的作用和职能范围作了更详尽的讨论，在此不再重复。
准确的监察程序是风险管理中至关重要的一部分。企业可能已执行了为识别较重大风险而精心设立的程序。但是仍然必须定期对风险的当前状况进行监察，必要时对己识别的风险作出变更。

上一页  [1] [2] [3] [4] [5] 下一页

责任编辑：张瑶