自动化设备公司企业风险管理评估【参考】

泓域/自动化设备公司企业风险管理评估自动化设备公司企业风险管理评估xxx有限公司目录一、 项目基本情况3二、 战略风险的应对5三、 战略风险的含义及分类7四、 运营风险管理理论与实务的发展13五、 运营风险的含义及其主要内容15六、 人力资源风险管理的主要内容22七、 人力资源的特点及管理过程27八、 总经理（风险管理总监）31九、 风险管理职能部门33十、 风险管理组织体系的总体框架34十一、 业务单位和相关职能部门的组织结构及职责设计40十二、 组建专业自保公司41十三、 建立信用额度52十四、 资产负债管理52十五、 公司概况58公司合并资产负债表主要数据58公司合并利润表主要数据59十六、 发展规划59十七、 法人治理62十八、 SWOT分析说明72一、 项目基本情况（一）项目投资人xxx有限公司（二）建设地点本期项目选址位于xxx（以选址意见书为准）。（三）项目选址本期项目选址位于xxx（以选址意见书为准），占地面积约97.00亩。（四）项目实施进度本期项目建设期限规划24个月。（五）投资估算本期项目总投资包括建设投资、建设期利息和流动资金。根据谨慎财务估算，项目总投资40264.40万元，其中：建设投资30923.19万元，占项目总投资的76.80%；建设期利息782.76万元，占项目总投资的1.94%；流动资金8558.45万元，占项目总投资的21.26%。（六）资金筹措项目总投资40264.40万元，根据资金筹措方案，xxx有限公司计划自筹资金（资本金）24289.84万元。根据谨慎财务测算，本期工程项目申请银行借款总额15974.56万元。（七）经济评价1、项目达产年预期营业收入（SP）：82100.00万元。2、年综合总成本费用（TC）：67492.86万元。3、项目达产年净利润（NP）：10678.79万元。4、财务内部收益率（FIRR）：19.71%。5、全部投资回收期（Pt）：6.11年（含建设期24个月）。6、达产年盈亏平衡点（BEP）：29901.15万元（产值）。（八）主要经济技术指标主要经济指标一览表序号项目单位指标备注1占地面积64667.00约97.00亩1.1总建筑面积128745.76容积率1.991.2基底面积42033.55建筑系数65.00%1.3投资强度万元/亩297.622总投资万元40264.402.1建设投资万元30923.192.1.1工程费用万元25753.072.1.2工程建设其他费用万元4398.912.1.3预备费万元771.212.2建设期利息万元782.762.3流动资金万元8558.453资金筹措万元40264.403.1自筹资金万元24289.843.2银行贷款万元15974.564营业收入万元82100.00正常运营年份5总成本费用万元67492.866利润总额万元14238.397净利润万元10678.798所得税万元3559.609增值税万元3072.8510税金及附加万元368.7511纳税总额万元7001.2012工业增加值万元24393.6413盈亏平衡点万元29901.15产值14回收期年6.11含建设期24个月15财务内部收益率19.71%所得税后16财务净现值万元16372.60所得税后二、 战略风险的应对为了减少战略风险发生的概率，降低其损失程度并有效地对风险加以利用，依据风险的性质和战略风险的管理目标，主要有以下几种战略风险应对策略。1、风险回避回避战略风险是以放弃或拒绝承担风险作为控制方法来回避损失的可能性。回避战略风险是最消极的风险应对策略，通过回避战略风险源，进而避免战略风险可能性。风险回避的使用有其局限性，在回避风险的同时，也失去了市场机会。2、风险降低降低策略即通过减少战略风险发生的机会或削弱损失的严重性以控制战略风险损失。战略风险回避策略和战略风险减弱策略的区别在于，战略风险减弱策略不消除战略风险发生的可能性，而战略风险回避策略则使战略风险发生的损失可能性为零。3、风险分担战略风险转移是指企业以付出一定的经济成本（如保险费、盈利机会、担保费和利息等），采取某种方式（如：参加保险、信用担保、租赁经营、套期交易、票据贴现等）将风险损失转嫁他人承担，以避免战略管理过程中出现的风险给企业带来灾难性损失。转移战略风险的基本方式包括保险转移与非保险转移。与战略风险回避和减弱策略不同的是，战略风险的非保险转移不是通过回避抛弃的方式中止与存在的战略风险的联系，而是将存在的战略风险的后果转移到其他地方。4、风险接受如果企业有足够的战略资源承受该风险损失时，可以采取风险自担和风险自保自行消化风险损失。战略风险自留策略与战略风险减弱策略不同之处在于，战略风险自留策略是在战略风险发生之后处理其风险，而战略风险减弱策略是在风险发生前采取措施，以改变风险事件发生的概率和影响程度。风险自担就是直接将损失摊入成本或费用，或冲减利润。风险自保就是企业预留一笔风险金或随着生产经营的进行，有计划计提风险基金，如呆账损失、大修理基金等，这适用于损失较小的风险。企业因承受风险能力不同以及面临战略风险的差异，依据上述战略风险管理策略而选用合适的战略风险应对技术，主要有4种，即：多元化风险管理、各种形式的合约、金融衍生工具、实物期权。在选择战略风险应对技术时，一般是将好几种战略风险应对技术组合起来以确保收益/成本下的边际利益最大化。三、 战略风险的含义及分类（一）战略风险的定义战略风险研究是战略研究和风险研究的交叉学科。国外对企业战略风险的研究可以追溯到不确定性、变化对组织和绩效的影响，战略管理学者对风险的系统研究始于20世纪70年代末期，在90年代初期达到顶峰，目前已经成为风险和战略管理交叉领域的前沿课题之一。虽然战略风险的研究已经有20年的历史，但是尚未形成普遍接受的研究成果，各种观点还处于“丛林”状态，其中战略风险的定义一直是战略风险研究领域一个争论的焦点。大部分学者以所使用的研究方法为基础对战略风险进行定义，例如，Andrews（1971）在其决策理论中认为，战略风险就是战略性决策所带来的风险。MichaelH.Lubatki（1990）等金融学者认为，战略风险是企业收益受宏观产业经济波动影响而发生损失的可能性，战略风险主要分为系统风险和非系统风险。JanEmblemsvag（2002）等组织行为学学者认为，战略风险是组织在市场竞争中为实现目标而呈现出的不可避免的风险。而在管理学研究领域，JamesBrianQuinn（1980）认为，战略风险是影响整个公司的发展方向、公司文化、信息和生存能力或公司业绩的因素；SidneyBarton（1990）将战略风险定义为当企业面临破产等不确定性经营后果时进行决策所面临的风险；RobertSimons（1998）认为战略风险指的是一个未预料的事件或一系列事件，它们会严重削弱管理实施其原定企业战略的能力。Christopher认为企业战略风险是企业战略层的风险，是整个企业范围的风险，把战略风险管理看作是企业建立竞争优势的手段。上述对战略风险的定义还存在一定的分歧，主要集中在战略风险是战略性风险还是战略的风险。一般认为，战略风险的定义应当从企业战略和战略管理的角度来看。企业战略是指企业为实现长期的生存与发展，充分估计未来环境的不确定性，以最小化其风险的一系列行动的规划和措施。企业战略是企业长期生存与发展的前提和基础，也是企业实现长期生存与发展的方式和手段。它具有长期性、全局性、指导性、竞争性、相对稳定性、以长期利益为导向等特征。由于企业战略是基于企业外部环境和内部资源与能力制定的，而外部环境和内部资源是处于动态变化之中的，再加之人们认识和知识、经验的局限性，注定企业战略从其诞生之初就存在风险。经营环境的更加动态化和复杂化，致使企业只能在动态竞争的条件下制定战略，战略风险必须作为动态风险进行研究，而不仅仅涉及静态的战略性风险要素或可保风险要素。而战略管理是指企业选择适当的战略为实现企业长期生存与发展的战略目标而进行的一系列决策和采取的行动。随着战略思想意识的深入以及日益加剧的市场竞争环境，企业战略以及战略管理的重心也在不断发生着转移。以竞争优势为目标的企业战略管理强调企业外部环境与内部条件的结合，注重影响企业战略的各种风险因素的管理和控制。这些风险因素包括诸如政治、法律、技术、人口、社会、文化、企业所处行业等的外生因素和基于企业内生的诸如增长、文化、资源及信息管理等方面的因素。由此可见，从企业战略管理的角度看，战略风险因素实际包含了影响企业战略的各种因素。这些因素实际上就是企业所有的外部环境因素和内部条件因素。因此，从这个意义上，可以将战略风险定义为：影响企业实现战略目标的各种事件或可能性。这个定义有两层含义。首先，战略风险的来源包含了各种因素，既有已经发生的一系列的事件，也包括可以预测到的将来会影响战略目标实现的事物的变化趋势，即可能性。这是由企业战略的特点所决定的。因为战略本身就是一个长远的过程，各种因素对其目标的影响并不一定会马上显现，需要有一个时间过程。其次，尽管战略风险因素来源广泛，但并不是所有的事件或可能性都构成了战略风险，只有当这些事件或可能性影响战略目标的实现时，才称得上是战略风险。战略风险性质包括损失的不确定、动态性、特质性、主观性、不可消除性等。（1）损失的不确定性是一切风险所具有的性质。（2）战略风险的动态性更强调时间的变化，因为战略实施过程是一个比较长的过程，在不同的时点上，由于经营环境和内部资源的变化，企业的战略风险也很有可能发生变化。（3）战略风险的特质性是指不同的企业由于其战略目标的不同、企业规模不同、拥有资源的多少不同、管理能力和经验的不同，其含义也是不同的。这是很容易理解的，对小企业来说的战略风险，对大企业来说可能仅仅是一般的风险。（4）战略风险的主观性是指对战略风险的认识要受到战略管理者个人因素的影响，其阅历、经验、能力以及风险倾向都会对企业战略风险产生影响，尤其是对未来可能性的判断上更具有主观的色彩。（5）战略风险的不可消除性是指战略风险管理的目标更多的不是消除风险，而是控制风险。这是企业战略的性质所决定的。企业战略的一个本质特点就是创新性，因此其本身就是与风险联系在一起的。因此从根本的意义上说，战略风险管理的目标是控制风险而不是消除风险。战略风险是影响整个企业的发展方向、企业文化、信息和生存能力或企业效益的因素。战略风险因素也就是对企业发展战略目标、资源、竞争力或核心竞争力、企业效益产生重要影响的因素。战略风险管理的研究在我国还处在起步阶段，应用于企业实践更是一个比较新的课题。但是由于企业现实环境的压力，对战略风险管理的要求会越来越强。可以预见，战略风险管理如同战略管理一样，将在企业竞争环境中的生存和发展中发挥重要作用。（二）企业战略风险的分类企业战略风险，从不同的角度来看有不同的分类。根据企业战略分析的特点，可以将企业的战略风险分成外部风险和内部风险。外部风险又可以分为宏观环境风险和产业风险。内部风险是由企业自身因素所决定的。如破产风险、信息缺失、收益的损失、信用下降等。需要说明的是，这样的划分只是便于理解，但不科学。因为企业在日益复杂多变的环境下，其所面临的风险很难用外部因素或内部因素来说明，更多的是多种因素综合作用的结果。一种比较好的划分是罗伯特，西蒙斯提出的战略风险的4个来源。他把战略风险的来源和构成分成4个部分：运营风险、资产损伤风险、竞争风险、商誉风险。运营风险是指企业在核心运作过程中产生的风险。主要是由企业制造或流程能力方面出现问题而产生的。所有通过制造或服务活动创造价值的公司都在不同程度上暴露在运营风险之下。当出现严重的产品或流程失误时，运营风险就转变成战略风险。资产损伤风险主要是指对实施战略有重要影响的财务价值（知识产权或者是资产的自然条件）发生退化并对企业战略造成影响时，资产损伤就变成一种战略风险。竞争风险来源于会使企业成功创造价值和使自己产品或服务与众不同的能力受损伤的竞争环境的变化。如开发高品质产品或服务方面竞争对手的活动、法令和公共政府方面的变化、顾客需求的变化、供应商定价和政策上的变化等都可能削弱企业竞争优势，并成为战略风险。商誉风险是上述3个方面的综合的结果。由于上述原因，当整个企业的信誉下降而使企业价值减少时，就产生了商誉风险。战略管理必须解决好这4个方面的问题，这些问题解决不好，会给企业带来风险。战略风险的构成要素是企业战略风险发生的必要条件，有学者根据企业战略风险的构成要素，将其分为战略环境风险、战略资源风险、战略定位风险以及战略执行风险。战略风险的构成要素是企业战略风险发生的必要条件，有学者根据企业战略风险的构成要素，将其分为战略环境风险、战略资源风险、战略定位风险以及战略执行风险。战略环境是企业赖以生存的土壤，包括政治经济环境、法律制度环境、技术发展环境和行业竞争环境。战略资源是企业所具有的关键性资源，对于不同的企业，它是企业独家掌握的先进技术，或者数量庞大的客户资源，也包括特殊的运营模式等。而战略定位工作需要深入分析企业所处的环境和所具备的资源，找到有效利用资源满足环境需要的切入点，制定企业生存的使命和目标。战略执行是保证企业资源利用方式符合战略定位要求。以上四方面因素中的任何一种不确定加大，都将增加企业战略目标实现的风险。四、 运营风险管理理论与实务的发展（一）国外国际上，运营风险的理论与实务的发展，是随着金融类机构，尤其是保险业对风险管理关注的发展而发展的。保险是转移企业运营过程中纯风险的损失，对保险的管理也就是对运营过程中的风险进行管理。因而，随着保险业对风险管理关注程度的加深，运营风险管理的思想也在萌芽。到20世纪50年代，成本控制制度和内部控制制度的发展极大推动了运营风险管理的发展。20世纪80年代初，因受债务危机的影响，金融业开始普遍重视对信用风险的防范和管理，其结果是产生了著名的巴塞尔协议（1988）。该协议提出了商业银行的经营规范，标志着运营风险管理系统性研究的开始。其后更于2003年提出金融类机构运营风险的定义。20世纪90年代后，在非金融领域中相继出现严重的风险事件（主要由运营风险和战略风险造成），不仅降低了企业的绩效，而且给企业造成了重大损失，运营风险管理开始在非金融领域中得到了重视。实体企业的利益相关者们发现这些风险因素绝大部分能够管理却没能得到有效管理，风险管理逐步向监督、管理和控制有关组织机构的管理流程的方向发展。运营风险管理成为企业界和学术界研究的热点。其中，2002年7月，美国国会通过萨班斯法案（SOX法案），要求所有在美国上市的公司必须建立和完善内控体系以确保提交的财务报告的正确性，它是对运营风险管理的重要推动。而COSO委员会的ERM报告（2004）则是对运营风险进行控制和应对的原则及程序的重要指南。（二）国内在国内学术界，张纪康企业经营风险管理（1999），张继焦控制链管理：防范客户风险和应收账款风险（2003），张云起营销风险管理（2004），高立法等的企业经营管理实务（2009）等著作均是专门针对企业运营风险进行的研究。近年来，我国先后出台的一些法规政策，如企业国有资产监督管理暂行条例、内部会计控制规范、商业银行内部控制指引、证券公司内部控制指引、商业银行市场风险管理指引（征求意见稿）等，极大地推动了风险管理的发展，为运营风险管理的发展打下了坚实的基础。在国有资产监督管理委员会颁发的中央企业全面风险管理指引中更是明确提出了构建运营风险管理的实务要求。五、 运营风险的含义及其主要内容和所有的其他风险一样，无论是理论界还是实务界对运营风险均没有一个被一致认可的概念。但一般认为，运营风险是指企业在运营过程中，由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性，而导致的运营失败或使运营活动达不到预期目标的可能性。运营风险并不是指某一种特定的风险，而是由一系列具体风险组成。不同行业、不同规模、不同性质的企业，其运营过程可能相差巨大，而运营风险的内容构成与具体企业的具体运营过程相关。通常，在对非金融类行业企业的研究中，对“运营”一词的理解可以限制在“有关整个产品生产和交付系统”的概念之内。而对于金融类行业的企业，其运营风险则遵从2003年巴塞尔银行监督管理委员会风险管理小组所提出的概念：“运营风险是指源于失效或挫败的内部程序，人力资源或系统以及外部事件所带来的风险。”不同行业的企业或组织面临不同的运营过程，从而承担不同的运营风险。运营风险主要来源于企业内部，同时与外部事件密切相关。在过去的几年中，诸如巴林银行、中航油公司等所发生的重大风险损失事件，均属于运营风险管理失效的典型案例。运营风险已经日益成为企业管理层所关注的主题，这主要是基于两个重要的理由。运营风险通常与信用和市场风险相关联，并且在复杂的市场条件下运营风险失败的潜在代价可能极为昂贵。如果运营风险没有一个分工明确的组织系统对之进行管理，那么往往难以对之进行有效地应对。这种缺少系统性的处理可能导致对关键性风险问题的忽略，以及在各种不同业绩计量中产生偏差，最终还可能导致管理层在不准确信息基础上做出决策。本书将运营风险定位为一种主要源自于企业内部失效或失败的企业战略管理决策、业务管理流程、人为或系统错误而产生经济损失的可能性，并将它分为战略风险、流程风险、人力资源风险、内部技术风险等主要类别。（一）战略风险战略风险是指影响企业实现战略目标的各种事件或可能性。战略风险与企业战略管理密切相关，它蕴涵于企业战略管理的各个步骤中。1、企业外部环境分析一般将企业的外部环境分为3大类：一般宏观环境、行业环境、经营环境与竞争优势环境。在战略分析过程中需要对这些外部环境因素进行分析。宏观环境分析中的关键要素包括：政治和法律因素、经济因素、社会和文化因素、技术因素。目的是要确定影响行业和企业的关键因素，预测这些关键因素未来的变化，以及这些变化对企业影响的程度和性质、机遇与威胁。行业环境分析中的关键要素有行业生命周期、分析行业竞争结构的迈克尔，波特的“五力模型”，用以确定企业在行业中的竞争优势和行业可能达到的最终资本回报率。经营环境与竞争优势环境分析主要包括市场分析和竞争地位、消费者消费状况、融资者、劳动力市场状况等。经营环境比宏观环境和行业环境更容易为企业所影响和控制，也更有利于企业主动应对其带来的机会和威胁。2、企业内部条件分析在对企业进行详尽而全面的外部环境分析之后，接下来要做的就是通过内部分析找出什么是企业的核心竞争力。企业通过从事一系列活动提供产品和服务，这些活动形成了提供最终产品和服务的链条，而价值的创造就是源于顾客购买这些产品和服务的链条，即价值链。综合价值链的基本活动（如进货后勤、生产作业、发货后勤、营销及售后服务等物质流基本活动）及辅助活动（技术开发、人力资源、财务管理）的分析，确认企业内部管理中存在的优势和劣势。企业使用优于竞争对手的方式从事生产经营活动从而为顾客创造优越价值，这是企业创造竞争优势，也是企业战略目标的本质。3、确定企业使命与愿景企业使命与愿景是对企业存在意义及未来发展远景的陈述，除表明企业长期存在的合法性及合理性外，还要与所有者和企业主要利益相关者的价值观或期望相一致，它应富有想像，对企业员工有很强感召力，并能得到社会公众认可；它应用简单、精练的语言来表达。4、确定企业战略目标企业战略目标通常是与企业使命和愿景相一致的、对企业发展方向的具体陈述。一般情况下，企业战略目标应是定量目标，如企业的市场占有率。5、确定企业战略方案企业高层领导在作战略决策时，应要求战略制订人员尽可能多地列出可供选择的方案，不要只考虑那些比较明显的方案，因为战略涉及的因素非常多，有些因素的影响往往不那么明显，因此，在战略选择过程中形成多种战略方案是战略评价与选择的前提。6、企业战略方案的评价与选择高层管理人员要对每个战略方案按一定标准逐一进行分析研究，以决定哪一种方案最有助于实现战略目标。战略评估过程要坚持三条基本原则，即适用性、可行性及可接受性。既要使企业资源和能力能够支持战略方案的实现，同时外界环境的限制条件是在可接受的限度内，也为企业内的干部、职工所接受。选择可行的战略并不完全是理性推理的过程，更为重要的要取决于管理者对风险的态度、企业文化及价值观的影响、利益相关者的期望、企业内部的权力及政治关系，以及高层管理者的需要及欲望等，因此，战略选择的过程是对各种方案进行比较权衡，进而决定一个较为满意的方案的过程。7、企业职能部门策略根据前述确定的企业战略，进一步具体化做出企业的组织机构策略、市场营销策略、人力资源开发与管理策略、财务管理策略等各职能部门策略，这样才能使企业总战略真正落实。要求各职能部门策略与企业战略保持一致。8、企业战略的实施与控制企业战略实施要遵循三个原则，即适度合理性的原则、统一领导与统一指挥的原则、权变的原则。为贯彻实施战略要建立起贯彻实施战略的组织机构，配置资源，建立内部支持系统，发挥好领导作用，使组织机构、企业文化均能与企业战略相匹配，处理好企业内部各方面的关系，动员全体员工投入到战略实施中来，以保证战略目标的实现。（二）流程风险流程风险是指企业在业务交易流程中出现错误而引致损失的可能性。一般地，业务交易流程包括：销售与收款、购货与付款、产品生产或提供服务等环节。任何企业的常见流程风险都是与其业务交易处理过程相联系的。这包括了在任何业务交易阶段中失误的潜在可能性。在交易处理过程的各个具体环节，企业都可能面临着财务、客户或声誉损失的风险。（三）人力资源风险人力资源风险是指因员工缺乏知识和能力，或缺乏诚信，或道德操守而引致企业损失的风险。它通常缘于员工约束不足、专业胜任能力不足、不诚实或者由一个无法培养风险意识的企业文化造成。员工约束主要由于缺乏合适岗位的劳动力或者能够提供能吸引合格员工的具有竞争力的薪酬。招聘不当，缺乏日常的专业训练可能是导致专业胜任能力不足的关键因素。对企业的不忠诚会导致欺诈行为的发生，而它与特定员工的禀性、企业文化的培养相关。那些无法积极引进风险意识的企业文化，或是为了鼓励利润而不顾所使用的方法等情况都可能导致有害的员工行为。（四）内部技术风险内部技术风险同企业内部所开发或使用的技术或信息系统相关。随着技术在企业中日益变得必不可少，在越来越多的商业领域，内部技术风险已经变得日益突出。内部技术风险可分为技术创新风险和信息系统风险两大类别。技术创新风险，是指由外部环境的不确定性、技术创新项目本身的难度与复杂性、创新者自身能力与实力的有限性等导致技术创新活动达不到预期目标的可能性。这种可能性影响到企业核心竞争力，以及可持续发展能力的培养。信息系统风险指因技术落后，或信息系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的可能性。在信息技术得以广泛运用的今天，信息系统的自动化控制和人工控制中存在的不确定性对企业整个运营活动安全的影响极为重大。六、 人力资源风险管理的主要内容人力资源风险主要表现在以下方面。（一）人力资源管理制度风险人力资源管理相关制度包括：员工手册、岗位管理、人员招聘录用、劳动合同管理、定期考核、新员工岗前培训或新员工见习、员工培训、奖惩、薪酬分配、职业安全与劳动保护、社会保障等。这些制度如果设计不合理，或缺少必要的内容，则可能给企业带来重要损失。例如，如果企业与员工之间聘用与被聘关系过于简单和不规范，为员工流动打开了方便之门。又如，薪酬体系的不合理，培训体制的缺失，考评制度的不公正等，诸如此类种种制度的弊端都隐藏着风险的种子。（二）招聘风险在招聘中，由于求职者与企业之间关于求职者能力认知的信息不对称，从而导致企业招聘面临着两种逆选择风险：一是错误地接受了本来不适合企业的求职者；二是错误地拒绝了本来适合于企业的求职者。这两种情形，或者会给企业增加费用，或者使企业丧失机会。不仅如此，招聘风险还可能进一步影响到人力资源的其他相关风险。例如，招聘了品行不合格的员工，为道德风险的产生埋下了祸根；招聘身体状况不佳的员工，为健康风险的发生留下了后遗症；招聘爱跳槽的员工，为员工流失风险的发生创造了条件。（三）员工流失风险此部分风险尤其需要关注关键员工流失问题。从企业的角度，关键岗位人员流失可能给企业带来很大损失。包括增加该岗位的人工成本，重新招聘和培训；在某些情况下，还可能引起工作进度的拖延，甚至造成组织的瘫痪，或者造成企业赖以生存的商业机密的泄露。除此之外，流失的员工到一个竞争对手那里，可能损害到本企业的业务和与客户的关系。流失的员工可能挖走顾客或进一步带走其他关键员工，或者设立一个与公司竞争的公司。员工流失风险可分为显性流失和隐性流失。当员工对现行工作不满，或者在一些企业中，因各种原因使其员工看不到企业未来的发展方向或者缺乏安全感时，可能对企业前景产生错误的估计，结果人心涣散，辞职情况频繁。这种事实上的失去，即是显性流失；而当员工只是在心里产生不满，并没有选择离开，而是采取消极怠工，甚至为其他组织服务的方式继续留在原工作岗位上，这种情形即为隐性流失。这种隐性流失如果不能为企业所发现，企业不仅需要继续为之支付人力成本，还可能为之承担经营上的损失，因而它的破坏性可能比显性流失更大。（四）道德风险员工会否因道德问题使得企业产生不必要的损失，是企业必须关注的问题。商业贿赂或欺骗消费者的行为可能严重影响企业的声誉。企业应当设立一定的道德标准或行事准则，明确个人责任，使员工警惕不道德的做法。这样的道德标准或行事准则，其内容应当包括以下几点。（1）与收取和给予贿赂、雇金、礼物和招待相关的政策。（2）报告道德败坏事件的程序。其程序应当保证让通风报信者不被人打击报复。（3）对于顾客、竞争对手、供货商、其他员工和公众的违法或不道德活动的处罚等。（五）渎职风险从员工本身来看，员工本身的不胜任是产生渎职风险的重要原因之一。然而，在一个企业中，引发员工隐性渎职的原因很多，既可能有企业文化环境等因素，也可能是管理者本身的问题。渎职风险分为显性渎职和隐性渎职。显性渎职造成的损失是易见的，企业可采取合同约束，并诉诸于法律。从企业文化环境来看，如果员工对先进管理理念仿其表却未谙其里，则可能发生隐性渎职。如果员工的行为举止及氛围并未得到根本改变，其结果导致员工并未真正执行先进的管理经验，就是一种隐性渎职。（六）专业能力风险企业可能缺乏教育培训或让员工事业发展的机会。这往往表现在企业整体知识水平落后，与日新月异的社会发展形势脱节，从而使企业的知识能力无力支撑企业的长期发展。该风险往往在知识更新速度较快的高科技行业企业中表现最为明显。专业能力风险还包括管理层缺乏领导魄力或经营管理常识问题。有的企业的人事选拔制度遵循等级模式，即提升到某一级别的管理者必须在下一级职位中任职达到一定的年限，逐层向上提升，并将选拔范围放到最小的圈子，最后的结果是大部分的领导职位由不能胜任的人所担任。（七）团队合作风险组织内团队的密切合作是企业顺利实现经营目标的必要条件，而企业完成经营目标又是企业人力资源投资最终产生经济效益的前提，因此，团队合作状态关系到企业人力资源投资的最终收回。如果员工之间不能建立协调关系，会影响组织效率、效果从而带来团队合作风险。（八）人力资源外包风险人力资源外包，是企业通过与外部的人力资源管理业务承包商签订合同，由外包公司为企业提供人力资源管理活动的服务，而企业支付给外包公司酬金的一种交易形式。人力资源管理外包的风险因素主要包括以下几点。（1）法律方面。人力资源外包需要完善的法律法规来规范其具体运作。如果缺乏相关的制度规范，则可能蕴藏较大的法律风险。（2）内部员工管理方面的风险。一方面，将人力资源外包，可能需要对现有员工的调整，例如辞退，被换岗，或者被取消或减少训练机会。如果处理不当，会影响其他在岗或转岗员工的工作积极性，从而对企业造成负面的影响。另一方面，人力资源外包，还难以培养员工对企业的忠诚度，增加了道德风险和团队合作风险。（3）选择外包服务商的风险。在对外包服务商的选择中，企业冒着很大的决策风险，外包合作中的冲突或失败不仅会极大地影响企业的正常经营，而且会影响企业的市场地位。外包服务商的选择通常是为了降低运营成本、提升企业的核心竞争力；但如果合作不当，无疑会导致企业的严重损失。（4）企业商业信息安全的风险。人力资源管理的一些业务内容对企业来说很可能是商业秘密；当企业把这些业务外包时，就意味着外包服务商掌握了企业的这些商业秘密。这些机密一旦泄露给竞争对手，可能对企业造成极其不利的影响。七、 人力资源的特点及管理过程作为自然人的本身与企业其他资源存在重要区别，这一特殊性决定了人力资源风险的特殊性。从人力资源风险管理过程的角度，一般认为其风险一方面是来自于人力资源本身的特性，另一方面是来自于人力资源管理失效。（一）人力资源本身的特点1、人的心理及生理的复杂性一方面，人力资源的个体在决定自己行为时，表现出过程上的不确定性，主要表现在个体在信息获取、处理、输出及反馈时主体对客观的依赖性。另一方面，人力资源的行为表现出有限理性特征。赫伯特西蒙最早将有限理性概念引入经济学，并建立了有关过程理性假设的各种模型。他认为，人们只能在决策过程中寻求满意解而难以寻求最优解，行为主体打算做到理性，但现实中却只能有限度地实现理性。2、人力资源的能动性人力资源是生产力诸要素中最为活跃并唯一具有主观能动性的因素。人力资源的使用会受人的主观意愿和行为的影响，当人的主观意愿与组织的目标不一致时，就有可能造成组织目标的难以实现，并给组织带来损失。人力资源可以通过激励实现资源价值的不断增长，也可能由于激励不当，而导致消极价值的产生，甚至影响组织的发展。另外人力资源的能动性还决定了知识与行为不一致的可能性。3、人力资源的动态性人力资源的一个独特性还在于其自适应能力。人们可以在从事企业经营活动中学习理论知识，或向同行学习，或通过具体的工作在“干中学”，使得人力资源的素质在时间上呈现动态特征。当员工素质与组织目标一致时，有利于组织目标的实现；当员工素质的发展与组织目标不一致时，则会阻碍组织目标的实现。4、人力资源的流动性人力资源的能动性和动态性又决定了人力资源的流动性，具体表现为不可“压榨性”。人力资本作为天然的个人私产，其产权所有者，即人，能控制人力资本的开发和利用。人力资本产权本身所具有的自主性、排他性和可交易性的特征可能产生人才外流或无所作为等风险。（二）人力资源管理过程人力资源管理过程具有复杂性、人力资源管理的系统性及信息的不对称性等特征。1、人力资源管理的复杂性人力资源管理系统是兼有自组织系统特性与人造系统的全部特性。一方面，为严格劳动纪律维持企业生产秩序，需要相对固定的规章制度和量化的考核指标，从而对人力资源进行直观的、简单的管理；另一方面，由于人的心理及心理的复杂性，又必须辅以其他的模糊的、复杂的方法来调动人的劳动积极性。复杂多变的经济环境，还在进一步加大人力资源管理的不确定性。2、人力资源管理的系统性人力资源管理的系统性首先表现在系统的整体性，它是由相互依赖的若干部分组成的，但各个部分不是简单的组合，而是具有统一性和整体性。它把组织的整体目标与组织内员工的个人目标结合起来，实现组织整体和组织员工的共同发展。它强调相互依赖和开发利用两个原则。3、人力资源信息的不对称性由于信息的不对称，员工的行为具有非可测性，很难准确测度工作人员的行为，加上人力资本的产权特性，构成了人力资源管理的难点。工作人员靠他们自身的人力资源取得收益，其利己动机或者称为投机动机是普遍存在的。当信息的不对称性存在时，这种动机就有可能行为化。从而产生一种管理者与被管理者非协作、非效率的“道德风险”。在人力资源管理领域，信息的不对称可能产生合约前的逆向选择和合约后的道德风险。合约前的逆向选择，是指合约谈判中的信息不对称。在合约谈判中，拥有信息优势的一方可能欺骗信息劣势的另一方。如果信息劣势的一方预期到了对方的欺骗，就可能拒绝相信对方提供的信息。那么最终还可能导致谈判破裂：如果信息劣势一方未能发现对方的欺骗行为而与之缔约，那么信息劣势一方实际上就会面临信息优势方的逆向选择问题。而在劳动契约签订以后，如果企业掌握了员工生产的一切信息，包括努力程度和生产成果，那么企业就可以完全按照员工的努力程度和成果来支付工资，以刺激他们达到企业期望的目标。但现实中，企业虽然可以考核员工的生产成果，但有时候衡量成果相当困难。比如人事经理的业绩就很难衡量。企业也可以通过监督生产过程去考察员工的努力程度，并按照努力程度来支付工资，但是有时候有效的监督也很困难。因为一方面企业不可能时刻地监视员工的一言一行。另一方面即使能够如此，也难以确定被监视的员工在实质上是否努力（尤其是技术含量较高的工作）。因此，员工的工作信息对于企业来说始终是不完全的。八、 总经理（风险管理总监）COSO企业风险管理整合框架指出，企业总经理（首席执行官）对企业风险管理的执行，“承担最根本的职责，并应当负有主体责任”。总经理对企业全面风险管理工作的有效性向董事会负责，为企业的风险管理工作确定基调。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，并负责拟订企业风险管理组织机构设置及其职责方案。总经理在企业风险管理中的主要职责有以下几点。（1）组建并管理企业风险管理职能部门，任命风险管理总监（风险经理或首席风险官）。（2）安排业务职能部门的职责分工并制定风险汇报和审批机制。（3）负责设计、操作及监督风险管理系统。（4）审批非重大决策的评估报告。（5）落实董事会有关风险决策和方案。（6）组织日常风险监督和改进工作。（7）就风险管理工作计划和结果向董事会汇报。随着企业面临的风险日益扩大，风险管理工作的重要性也与日俱增。总经理往往需要委任一名风险管理总监（风险经理或首席风险官）全面负责企业风险管理日常工作，如我国的股份制银行一般设有首席风险官。风险管理总监（风险经理或首席风险官）在国外企业中由来已久，是现代企业管理中重要的高级管理人员，是公司重要的战略决策制定和执行者之一。他们的工作将根据董事会、股东大会的要求，对总经理或总经理授权的副总经理负责，并根据其职责协助总经理开展工作。其职责是负责组织制定并具体执行企业全面风险管理政策和控制措施，负责建立涵盖战略风险、财务风险、市场风险、运营风险和法律风险等在内的全面风险管理组织架构。同时，风险管理总监（风险经理或首席风险官）将作为牵头人参加风险决策的评估和审批工作，确保企业按照风险控制流程进行风险管理，确保各项经营业务符合有关法律、法规和政策的要求等。风险管理总监（风险经理或首席风险官）的主要职责有以下几点。（1）确立和传达企业的风险管理愿景。（2）确定和实施适宜的企业风险管理基础设施（包括风险政策、度量指标、汇报和监督渠道）。（3）建立、沟通和促进适宜的企业了解风险管理方法、工具和技术的运用。（4）推动全企业的风险评估，监督企业主要风险管理能力。（5）向董事会、风险管理委员会、审计委员会和总经理等高级管理层进行适宜的风险汇报。九、 风险管理职能部门企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责。风险管理部对包括生产、销售、财务、人力资源、研发等在内的各业务和职能部门运营流程中的各环节进行监控，检查其遵守公司规章制度的情况，并针对各项检查结果，向总经理和风险管理委员会汇报。具体而言，风险管理部主要履行以下职责。（1）研究提出全面风险管理工作报告。（2）研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。（3）研究提出跨职能部门的重大决策风险评估报告。（4）研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控。（5）负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案。（6）负责组织建立风险管理信息系统。（7）负责组织协调全面风险管理的日常工作。（8）负责指导、监督有关职能部门、各业务单位，以及全资、控股子企业开展全面风险管理工作。（9）负责风险管理其他有关工作。需要明确的是，虽然风险管理部门涉及不同的部门，但是绝不能说风险管理部门可以控制不同部门的风险。实际上，多数企业风险都是在风险管理部门和各职能部门的共同努力下得到控制并有效管理的。在风险管理部门内部，也会设立不同的专业团队或组织，重点控制和管理某一方面的风险。十、 风险管理组织体系的总体框架1、风险管理的第一道防线：业务单位与相关职能部门业务单位与相关职能部门是企业中的业务经营单位，有特定的目标、战略、市场、客户和产品。成功的业务单位了解自己的竞争对手、客户及所面临的机遇和风险。它们管理和监督经营活动，以创造利润、服务客户、提高产品质量、缩短周期和降低成本；按足以能负担相关成本和风险的价格，向目标的细分市场提供产品和服务，同时还要能够为股东挣得在风险扣除后仍可接受的回报。业务单位向总经理和企业执行委员会汇报业务活动。业务单位与相关职能部门包含了企业大部分的资产和业务，它们在日常工作中直接面对各类风险，风险是他们最先要考虑的。在推出新产品、进入新市场或投资新的研发项目时，业务单位和相关职能部门经常要承受风险。此外，在客户关系、供应商关系、雇员关系及自己所管理的专有资产等方面，业务单位与相关职能部门也面临许多风险。他们需要了解这些会对其产生影响的风险和不确定因素，并且应该有能力对其进行管理。实质上，身处第一线的业务与相关职能单位的管理层不仅负责管理所选定的经营模式中许多固有风险，也是防范这些风险的第一道防线，是企业风险管理的最前线。企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线。企业建立第一道防线，就是要各业务单位就其战略风险、财务风险、市场风险、运营风险和法律风险，进行系统化的识别、衡量、评价、管理和监控。要建立好第一道防线，企业的各业务单位和相关职能部门需要进行以下工作。（1）调整风险排序、风险容忍度和风险战略，使其符合全企业的政策和指导方针。（2）按照企业的整体风险承受能力，调整经营和产品开发活动的针对性，从而为企业开辟新的价值来源。（3）识别和度量风险，查明风险的来源。（4）为各项流程确定基准，交流最佳实践方法，以期持续地改进各项措施和流程。（5）向主要的经理分派风险管理职责和责任。（6）就风险应对措施、控制活动以及信息与沟通的整体质量进行报告。2、企业风险管理的第二道防线：风险管理委员会和风险管理职能部门第二道防线是在第一道防线基础上建立一个更高层次的风险管理功能，它的组成部门可以包括董事会下的风险管理委员会、投资审批委员会、信贷审批委员会等和风险管理职能部门。风险管理职能部门是企业风险管理解决方案中一个选设的部门。在企业经营模式中，有些固有的特定风险不由业务单位予以管理，或者从企业的角度来说没有得到有效的管理，那么，按照风险组合观，这些特定的风险就由风险管理职能部门负责管理。风险管理职能部门的目标是使同一个或多个风险相关的管理工作发展成为企业的一项核心能力。风险管理职能部门可能负责管理的风险包括：利率风险、货币风险、商品价格风险、信用风险、气候风险及灾难风险等。它们评估、集中控制、降低、转移和利用自己负责的这些风险。当业务单位考虑承担某些风险，而自己又没有相关知识和专门技能予以管理时，风险管理职能部门就和它们合作，给予帮助。对企业经营战略实施来说，风险管理职能部门常常会起到非常重要的促进作用。风险管理职能部门可以由企业的某个职能部门或独立运作的单位组成，责任是领导和协调企业内各单位在管理风险方面的工作，它的主要职责包括以下几点。（1）编制规章制度。（2）对各业务单位的风险进行组合管理。（3）度量风险和评估风险的界限。（4）建立风险信息系统和预警系统、厘定关键风险指标。（5）负责风险信息披露，沟通、协调员工培训和学习的工作。（6）按风险与回报的分析，为各业务单位分配风险管理相关资源。相对于业务部门而言，风险管理部门会克服狭隘的部门利益，能够从企业整体利益角度考察企业所面临的各类风险。此外，风险管理部门还可以综合平衡各部门风险。企业在不同的发展阶段，各部门所面临的风险往往是不同的。而作为风险管理职能部门，则需要根据一定的原则，将风险分配于不同部门，对每个部门进行风险上限控制。风险管理总监（风险经理或首席风险官）对风险管理委员会直接负责，但对总经理（执行总裁）负有汇报责任。同样，风险管理职能部门经理直接对风险管理总监负责，但对策略性业务部门负责人负有汇报责任。3、企业风险管理的第三道防线：审计委员会和内部审计部门第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题，这就是企业的内部审计部门。美国内部审计师协会对内部审计所下的定义是：内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内部审计通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。内部审计师应就管理层的决策提出劝告和质疑或表示支持，而不是对风险管理作出决策。依据上述观点，内部审计师协会还确定了在企业风险管理实施中内部审计的核心角色及不应承担的角色。其中核心角色包括以下几点。（1）为企业风险管理流程提供保障。（2）确保风险得到正确的评估。（3）评估风险管理流程。（4）评估关键风险的报告工作。（5）检查对关键风险的管理工作。内部审计不应承担以下职责。（1）设定风险承受能力。（2）批准和命令实施风险管理流程。（3）在就风险及风险管理绩效提供保障方面承担管理角色。（4）决定风险应对的决策。（5）代表管理层实施风险应对措施。（6）接受对风险管理的责任。另外，内部审计师学会特别指出内部审计还可以承担上述两种极端角色之间的其他一些“合理合法的内部审计职责”，但前提是要有适宜的安全保障措施存在。（1）协助风险的识别和评估。（2）指导管理层对风险作出应对。（3）协调企业风险管理活动。（4）综合对风险的报告。（5）维持和完善企业风险管理框架。（6）领导建立企业风险管理。（7）制定风险管理战略，呈报董事会审批。总之，内部审计可以通过评估风险识别的充分性，评价已有风险衡量的恰当性，以及评估风险防范措施的有效性等三方面参与企业风险管理工作，不应主导企业的风险管理工作。企业的内部审计工作是对各业务部门和风险管理职能部门的风险管理活动进行再监督，而不是亲自参与每项风险的评估与控制。内部审计总监对审计委员会直接负责，但对执行总裁负有汇报责任。同样，内部审计员直接对内部审计总监负责，但对各策略性业务部门负责人负有汇报责任。十一、 业务单位和相关职能部门的组织结构及职责设计在风险管理方面，上述各部门的职责如下。1、执行总裁（1）对董事会制定的风险管理策略的执行情况负最终的责任。（2）对处理各种具体风险的执委会进行责任分配。（3）定期听取风险总监的工作汇报，确保及时了解风险管理出现的问题及其对策。2、行政管理执委会（1）监管并控制企业整体性风险，确保运营过程中的风险策略与董事会对风险的取向相一致。（2）审阅资产负债及资本分配执委会提议的政策、程序，制定企业整体的资产负债策略。3、资产负债及资本分配委员会（1）主要专注于研究提出资本在各个业务中的分配，研究提出企业整体的资产负债策略，提交行政管理执委会审核。（2）由专注于市场风险管理的财资管理执委会提供协助。4、业务部门（1）在风险管理政策及程序规范下执行日常运营活动。（2）确保风险信息传递给相关的风险管理部门及经理。（3）参与对风险管理政策及程序的定期检讨（包括对支持系统的适当性，对风险管理的测定方法，汇报渠道，信息科技和人力资源提出意见）。5、一般的职能部门（1）基本责任是向营业单位的经营运作提供支援。（2）有责任就它们在处理风险管理方面遇到的情况向风险管理单位定期汇报。十二、 组建专业自保公司专业自保公司是由母公司所有的，主要为母公司及其附属公司提供保险或再保险的保险公司。其业务主要源于母公司，由母公司控制和管理，依附于母公司。本质上，它是一种由被保险人所有的保险公司，是为了保障被保险人所面临的风险而自筹资金的保险方式。被保险人参与专业自保公司的保险活动，影响专业自保公司的承保、运营以及投资等活动。专业自保公司产生于16世纪的英国，随着航海业的发展，船东们以相互保险或者共同保险的保险安排来降低海上灾难给他们带来的巨大损失，这种安排类似于今天的自保公司。20世纪上半叶，一些著名的专业自保公司纷纷成立，其中包括1929年由主教教会成立的教会保险公司和1935年2月成立的马哈宁保险公司。20世纪80年代，由于美国保险市场日益疲软，公司或非营利机构买不到合适的或特定的保险，而另一方面，保险公司没有能力偿付赔款。这些因素引发了公司建立专业自保公司的浪潮。80年代末期，有成百家自保公司注册成立。尽管保险市场不再疲软，但公司成立专业自保公司的意愿却没有回落，处于不断上升的态势。到2004年，全世界有5000多家专业自保公司为母公司或旗下分支机构提供风险保障，专业自保公司越来越受到全球公司的认同和采纳。（一）专业自保公司的类型根据其业务范围的不同，自保公司可分为单个母公司所有的自保公司、多个母公司所有的自保公司、行业自保公司、协会自保公司、代理自保公司、租赁型自保公司、蜂窝保护型自保公司等类型。单个母公司所有的自保公司，这种自保公司通常被称为“纯粹自保公司”，它为一家单独的公司所有并提供保险保障，通常由母公司的风险经理或财务官员监督自保公司的工作，也可以委托专门的管理公司管理，但如果母公司派专门人员对自保公司工作进行监督执行时，管理公司就很难争取到对公司事务的决定权。多个母公司所有的自保公司在美国比较普遍，它在相互保险的基础上进行业务经营。多个母公司的结构使风险得到有效分散，增强了承保能力，但这样的运作结构往往也会引发各个母公司之间的利益冲突，因此多个母公司所有的自保公司面临的主要问题就是母公司之间如何进行有效的合作和利益的合理分配。行业自保公司是由同一个行业内的公司共同出资，专门为解决行业内部的风险保障问题而进行设置的自保公司。自保公司的所有者或股东选举