一、收集风险管理初始信息
风险管理基本流程的第一步,要广泛地、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。
收集初始信息要根据所分析的风险类型具体展开。例如:
(一)分析战略风险,企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例,并至少收集与本企业相关的以下重要信息:
1.国内外宏观经济政策以及经济运行情况、企业所在产业的状况、国家产业政策;
2.科技进步、技术创新的有关内容;
3.市场对该企业产品或服务的需求;
4.该企业主要客户、供应商及竞争对手的有关情况;
5.与企业战略合作伙伴的关系,未来寻求战略合作伙伴的可能性;
6.与主要竞争对手相比,该企业实力与差距;
7.本企业发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据;
8.该企业对外投融资流程中曾发生或易发生错误的业务流程或环节。
(二)分析财务风险,企业应广泛收集国内外企业财务风险失控导致危机的案例,并至少收集本企业的以下重要信息:
1.负债、或有负债、负债率、偿债能力;
2.现金流、应收账款及其占销售收人的比重、资金周转率;
3.产品存货及其占销售成本的比重、应付账款及其占购货额的比重;
4.制造成本和管理费用、财务费用、营业费用;
5.盈利能力;
6.成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节;
7.与本企业相关的产业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。
(三)分析市场风险,企业应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与该企业相关的以下重要信息:
1.产品或服务的价格及供需变化;2.能源、原材料、配件等物资供应的充足性、稳定性和价格变化;3.主要客户、主要供应商的信用情况;4.税收政策和利率、汇率、股票价格指数的变化;5.潜在竞争者、竞争者及其主要产品、替代品情况。
(四)分析运营风险,企业应至少收集与本企业、本产业相关的以下信息:
1.产品结构、新产品研发;
2.新市场开发,市场营销策略,包括产品或服务定价与销售渠道,市场营销环境状况等;
3.企业组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;
4.期货等衍生产品业务中曾发生或易发生失误的流程和环节;
5.质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节;
6.因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵;
7.给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险;
8.对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力;
9.企业风险管理的现状和能力。
(五)分析法律风险,企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与该企业相关的以下信息:
1.国内外与该企业相关的政治、法律环境;
2.影响企业的新法律法规和政策;
3.员工道德操守的遵从性;
4.该企业签订的重大协议和有关贸易合同;
5.该企业发生重大法律纠纷案件的情况;
6.企业和竞争对手的知识产权情况。
企业还要对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估。
二、进行风险评估
完成了风险管理初始信息收集之后,企业要对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。
(一)风险评估的步骤
风险评估包括风险辨识、风险分析、风险评价三个步骤。
1.风险辨识。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。
2.风险分析。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。
3. 风险评价。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
(二)风险评估的方法
进行风险辨识、分析和评价,应将定性与定量方法相结合。
定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡洛分析法)、失效模式与影响分析、事件树分析等。
企业在评估多项风险时,应根据对风险发生可能性的高低和对目标的影响程度的评估,绘制风险坐标图,对各项风险进行比较,初步确定对各项风险的管理优先顺序和策略。
风险评估应由企业组织有关职能部门和业务单位实施,也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。
三、制定风险管理策略
风险管理基本流程的第三步是制定风险管理策略。风险管理策略,是指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
企业要根据风险的不同类型选择适宜风险管理策略。
制定风险管理策略的一个关键环节是企业应根据不同业务特点统一确定风险偏好和风险承受度,即企业愿意承担哪些风险,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应采取的对策。
另外,应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置,进一步确定风险管理的优选顺序,明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。
四、提出和实施风险管理解决方案
按照风险管理的基本流程,制定风险管理策略后的工作是制定实施风险管理解决方案, 也就是执行前一阶段制定风险管理解决策略,进一步落实风险管理工作。在这一阶段,企业应根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。
(一)风险管理解决方案的两种类型
风险管理解决方案可以分为外部和内部解决方案。
1.外部解决方案
外部解决方案一般指外包。企业经营活动外包是利用产业链专业分工,提高运营效率的必要措施。
如果企业制订风险管理解决的外包方案,应注重成本与收益的平衡、外包工作的质量、 自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等,并制定相应的预防和控制措施。
2.内部解决方案
内部解决方案是风险管理体系的运转。在具体实施中,一般是以下几种手段的综合应用:风险管理策略;组织职能;内部控制(包括政策、制度、程序);信息系统(包括报告体系);风险理财措施。
企业制订风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则。
针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取控制措施。
《中央企业全面风险管理指引》指出,企业制定内控措施,一般至少包括以下内容:
(1)建立内控岗位授权制度。
(2)建立内控报告制度。
(3)建立内控批准制度。
(4)建立内控责任制度。
(5)建立内控审计检查制度。
(6)建立内控考核评价制度。
(7)建立重大风险预警制度。
(8)建立健全以总法律顾问制度为核心的企业法律顾问制度。
(9)建立重要岗位权力制衡制度,明确规定不相容职责的分离。
(二)关键风险指标管理
关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。关键风险指标管理可以管理单项风险的多个关键成因,也可以管理影响企业主要目标的多个主要风险。
1.关键风险指标管理的步骤
关键风险指标管理的步骤一般分为以下六步:
(1)分析风险成因,从中找出关键成因。
(2)将关键成因量化,确定其度量,分析确定导致风险事件发生(或极有可能发生)时该成因的具体数值。
(3)以该具体数值为基础,以发出风险信息为目的,加上或减去一定数值后形成新的数值,该数值即为关键风险指标。
(4)建立风险预警系统,即当关键成因数值达到关键风险指标时,发出风险预警信息。
(5)制定出现风险预警信息时应采取的风险控制措施。
(6)跟踪监测关键成因的变化,一旦出现预警,即实施风险控制措施。
对于关键风险指标的分解,要兼顾各职能部门和业务单位的诉求。一个可行的方法是在企业的总体领导和整体战略的指导下进行部门和业务单位间的协调。
2.关键风险指标分解
企业目标的实现要靠企业的各个职能部门和业务单位共同的努力,同样,企业的指标要分解到企业的各个职能部门和业务单位。对于关键风险指标也是一样。
对于关键风险指标的分解要注意职能部门和业务单位之间的协调。
对于关键风险指标的分解,要兼顾各职能部门和业务单位的诉求。
(三)落实风险管理解决方案
1.高度重视,要认识到风险管理是企业时刻不可放松的工作,是企业价值创造的根本源泉。2.风险管理是企业全员的分内工作,没有风险的岗位是不创造价值的岗位,没有理由存在。3.落实到组织,明确分工和责任,全员进行风险管理。4.为确保工作的效果落实到位,要对风险管理解决方案的实施进行持续监控改进,并与绩效考核联系起来。
五、风险管理的监督与改进
风险管理基本流程的最后一个步骤是风险管理的监督与改进。
企业应确定重点风险对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。
企业应建立贯穿于整个风险管理基本流程,连接各上下级、各部门和业务单位的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为风险管理监督与改进奠定基础。
企业各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送企业风险管理职能部门。
企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,要根据在制定风险策略时提出的有效性标准的要求对风险管理策略进行评估,对跨部门和业务单位的风险管理解决方案进行评价,提出调整或改进建议,出具评价和建议报告,及时报送企业总经理或其委托分管风险管理工作的高级管理人员。
企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。
企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告。
报告一般应包括以下几方面的实施情况、存在缺陷和改进建议:
1.风险管理基本流程与风险管理策略;
2.企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设;
3.风险管理组织体系与信息系统;
4.全面风险管理总体目标。
风险管理基本流程的第一步,要广泛地、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。
收集初始信息要根据所分析的风险类型具体展开。例如:
(一)分析战略风险,企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例,并至少收集与本企业相关的以下重要信息:
1.国内外宏观经济政策以及经济运行情况、企业所在产业的状况、国家产业政策;
2.科技进步、技术创新的有关内容;
3.市场对该企业产品或服务的需求;
4.该企业主要客户、供应商及竞争对手的有关情况;
5.与企业战略合作伙伴的关系,未来寻求战略合作伙伴的可能性;
6.与主要竞争对手相比,该企业实力与差距;
7.本企业发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据;
8.该企业对外投融资流程中曾发生或易发生错误的业务流程或环节。
(二)分析财务风险,企业应广泛收集国内外企业财务风险失控导致危机的案例,并至少收集本企业的以下重要信息:
1.负债、或有负债、负债率、偿债能力;
2.现金流、应收账款及其占销售收人的比重、资金周转率;
3.产品存货及其占销售成本的比重、应付账款及其占购货额的比重;
4.制造成本和管理费用、财务费用、营业费用;
5.盈利能力;
6.成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节;
7.与本企业相关的产业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。
(三)分析市场风险,企业应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与该企业相关的以下重要信息:
1.产品或服务的价格及供需变化;2.能源、原材料、配件等物资供应的充足性、稳定性和价格变化;3.主要客户、主要供应商的信用情况;4.税收政策和利率、汇率、股票价格指数的变化;5.潜在竞争者、竞争者及其主要产品、替代品情况。
(四)分析运营风险,企业应至少收集与本企业、本产业相关的以下信息:
1.产品结构、新产品研发;
2.新市场开发,市场营销策略,包括产品或服务定价与销售渠道,市场营销环境状况等;
3.企业组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;
4.期货等衍生产品业务中曾发生或易发生失误的流程和环节;
5.质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节;
6.因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵;
7.给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险;
8.对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力;
9.企业风险管理的现状和能力。
(五)分析法律风险,企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与该企业相关的以下信息:
1.国内外与该企业相关的政治、法律环境;
2.影响企业的新法律法规和政策;
3.员工道德操守的遵从性;
4.该企业签订的重大协议和有关贸易合同;
5.该企业发生重大法律纠纷案件的情况;
6.企业和竞争对手的知识产权情况。
企业还要对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估。
二、进行风险评估
完成了风险管理初始信息收集之后,企业要对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。
(一)风险评估的步骤
风险评估包括风险辨识、风险分析、风险评价三个步骤。
1.风险辨识。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。
2.风险分析。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。
3. 风险评价。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
(二)风险评估的方法
进行风险辨识、分析和评价,应将定性与定量方法相结合。
定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡洛分析法)、失效模式与影响分析、事件树分析等。
企业在评估多项风险时,应根据对风险发生可能性的高低和对目标的影响程度的评估,绘制风险坐标图,对各项风险进行比较,初步确定对各项风险的管理优先顺序和策略。
风险评估应由企业组织有关职能部门和业务单位实施,也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。
三、制定风险管理策略
风险管理基本流程的第三步是制定风险管理策略。风险管理策略,是指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
企业要根据风险的不同类型选择适宜风险管理策略。
制定风险管理策略的一个关键环节是企业应根据不同业务特点统一确定风险偏好和风险承受度,即企业愿意承担哪些风险,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应采取的对策。
另外,应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置,进一步确定风险管理的优选顺序,明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。
四、提出和实施风险管理解决方案
按照风险管理的基本流程,制定风险管理策略后的工作是制定实施风险管理解决方案, 也就是执行前一阶段制定风险管理解决策略,进一步落实风险管理工作。在这一阶段,企业应根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。
(一)风险管理解决方案的两种类型
风险管理解决方案可以分为外部和内部解决方案。
1.外部解决方案
外部解决方案一般指外包。企业经营活动外包是利用产业链专业分工,提高运营效率的必要措施。
如果企业制订风险管理解决的外包方案,应注重成本与收益的平衡、外包工作的质量、 自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等,并制定相应的预防和控制措施。
2.内部解决方案
内部解决方案是风险管理体系的运转。在具体实施中,一般是以下几种手段的综合应用:风险管理策略;组织职能;内部控制(包括政策、制度、程序);信息系统(包括报告体系);风险理财措施。
企业制订风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则。
针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取控制措施。
《中央企业全面风险管理指引》指出,企业制定内控措施,一般至少包括以下内容:
(1)建立内控岗位授权制度。
(2)建立内控报告制度。
(3)建立内控批准制度。
(4)建立内控责任制度。
(5)建立内控审计检查制度。
(6)建立内控考核评价制度。
(7)建立重大风险预警制度。
(8)建立健全以总法律顾问制度为核心的企业法律顾问制度。
(9)建立重要岗位权力制衡制度,明确规定不相容职责的分离。
(二)关键风险指标管理
关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。关键风险指标管理可以管理单项风险的多个关键成因,也可以管理影响企业主要目标的多个主要风险。
1.关键风险指标管理的步骤
关键风险指标管理的步骤一般分为以下六步:
(1)分析风险成因,从中找出关键成因。
(2)将关键成因量化,确定其度量,分析确定导致风险事件发生(或极有可能发生)时该成因的具体数值。
(3)以该具体数值为基础,以发出风险信息为目的,加上或减去一定数值后形成新的数值,该数值即为关键风险指标。
(4)建立风险预警系统,即当关键成因数值达到关键风险指标时,发出风险预警信息。
(5)制定出现风险预警信息时应采取的风险控制措施。
(6)跟踪监测关键成因的变化,一旦出现预警,即实施风险控制措施。
对于关键风险指标的分解,要兼顾各职能部门和业务单位的诉求。一个可行的方法是在企业的总体领导和整体战略的指导下进行部门和业务单位间的协调。
2.关键风险指标分解
企业目标的实现要靠企业的各个职能部门和业务单位共同的努力,同样,企业的指标要分解到企业的各个职能部门和业务单位。对于关键风险指标也是一样。
对于关键风险指标的分解要注意职能部门和业务单位之间的协调。
对于关键风险指标的分解,要兼顾各职能部门和业务单位的诉求。
(三)落实风险管理解决方案
1.高度重视,要认识到风险管理是企业时刻不可放松的工作,是企业价值创造的根本源泉。2.风险管理是企业全员的分内工作,没有风险的岗位是不创造价值的岗位,没有理由存在。3.落实到组织,明确分工和责任,全员进行风险管理。4.为确保工作的效果落实到位,要对风险管理解决方案的实施进行持续监控改进,并与绩效考核联系起来。
五、风险管理的监督与改进
风险管理基本流程的最后一个步骤是风险管理的监督与改进。
企业应确定重点风险对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。
企业应建立贯穿于整个风险管理基本流程,连接各上下级、各部门和业务单位的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为风险管理监督与改进奠定基础。
企业各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送企业风险管理职能部门。
企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,要根据在制定风险策略时提出的有效性标准的要求对风险管理策略进行评估,对跨部门和业务单位的风险管理解决方案进行评价,提出调整或改进建议,出具评价和建议报告,及时报送企业总经理或其委托分管风险管理工作的高级管理人员。
企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。
企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告。
报告一般应包括以下几方面的实施情况、存在缺陷和改进建议:
1.风险管理基本流程与风险管理策略;
2.企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设;
3.风险管理组织体系与信息系统;
4.全面风险管理总体目标。