第五章 风险与风险管理

第五章 风险与风险管理本章考情分析本章属于次重点章，主要介绍了风险及风险管理的一些基本概念和原理，以及企业在生产经营中遇到的各种风险的评估和应对等内容。本章所介绍的风险管理的原理和方法在企业的整个战略管理流程中具有重要的意义，因而考生应该认真学习掌握。本章重点掌握的内容包括：（1）企业面对的风险种类（包括外部风险和内部风险共12种）；（2）企业风险管理发展历程、风险管理的概念、风险管理的目标、风险管理的范围、风险管理的成本与效益、风险管理的文化和风险管理的障碍与关键问题；（3）风险管理基本流程（包括收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进）；（4）企业风险管理体系（包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统、内部控制系统）；（5）风险管理技术与方法（包括头脑风暴法、德尔菲法、失效模式影响和危害度分析法、流程图分析法、马尔科夫分析法、风险评估系图法、情景分析法、敏感性分析法、事件树分析法、决策树法、蒙特卡洛随机模拟法和统计推论法）；（6）8大案例的分析。本章考题一般为客观题和简答题，但对本章的一些基础知识的理解是解决综合题的必要前提，近3年平均分值为10分。2013年考试主观题主要关注风险的含义及类别；风险管理的文化；风险管理策略；衍生金融工具的简单计算；企业的各种主要风险（重点是结合【案例5.4】【案例5.8】，关注政治风险、利率风险、汇率风险、操作风险和财务风险的管理流程、策略与方法）的分析和应对策略。第一节 风险概述一、风险的概念（一）风险的定义企业风险是指那些影响企业实现其战略目标的不确定性。理解这个定义需要把握以下几个方面：1.企业风险与企业战略相关。2.风险是一系列可能发生的结果，不能简单理解为最有可能的结果。3.风险既具有客观性，又具有主观性。4.风险总是与机遇并存。（二）风险理论学派根据研究角度的不同，风险理论学派可归纳总结为两类：1.客观实体派，该学派主要依据保险精算、工程学、经济学与财务理论进行研究，认为风险是客观的不确定性，是客观存在的实体，是可以预测的，一般以客观概率的概念规范与测度不确定性。2.主观构建派，该学派主要依据心理学、社会学、人类学与哲学进行研究，认为风险不是测度的问题，它是构建过程的问题。二、企业面对的风险种类企业面对的主要风险可以分为两大类：外部风险和内部风险。外部风险主要包括政治风险、法律风险与合规风险、社会文化风险、技术风险、自然环境风险、市场风险、产业风险、信用风险等。内部风险主要包括：战略风险、操作风险、运营风险、财务风险等。（一）外部风险1.政治风险（1）定义：政治风险是指完全或部分由政府官员行使权力和政府组织的行为而产生的不确定性。政府的不作为或直接干预也可能产生政治风险。政治风险也指企业因一国政府或人民的举动而遭受损失的风险。（2）类别：政治风险常常分为两大类：宏观政治风险和微观政治风险。宏观政治风险对一国之内的所有企业都有潜在影响。如“恐怖活动”、“内战”或“军事政变”等。微观政治风险仅对特定企业、产业或投资类型产生影响。如设立新的监管机构或对本国内的特殊企业征税。另外，当地业务合作伙伴如果被政府发现有不当行为，也会对本企业产生不利的影响。【相关链接1】跨国并购中常见的政治风险（1）政策变动风险。比如，吉利公司2005年计划在马来西亚制造、组装和出口吉利汽车，当生产准备工作一切就绪并准备年底正式开工时，马来西亚政府出于保护本国汽车产业的目的，突然宣布新进入的汽车品牌在该国生产的汽车不能在该国销售，必须100%出口。这一政策变动使吉利公司蒙受巨大损失。（2）歧视性干预风险。比如，2005年中海油收购美国优尼科公司本是一次正常的商业活动，却被某些美国政客和媒体炒作成威胁美国国家安全的政治行为，最后由国会出面，在收购行动中设置种种障碍，迫使中海油放弃收购计划。（3）恐怖袭击风险。如2004年就发生了在阿富汗的11名中国工人于睡梦中遭袭击身亡、在巴基斯坦的中国工程师遭绑架和杀害等恐怖袭击事件。（4）国有化风险。如2006年4月，厄瓜多尔议会就通过了一项石油改革法案，规定包括中国企业在内的所有外国公司必须将利润的50%交给厄瓜多尔政府，政府根据修改后的石油法同外国公司重新进行石油合同的谈判。这几年，我国在委内瑞拉、秘鲁、厄瓜多尔、巴西、古巴等拉美国家进行能源项目投资时，遭遇这类国有化风险的情况非常多。（5）战争动乱风险。如，苏丹是我国最大的国外石油投资所在地，也是我国的友好合作国家。但是自1956年苏丹独立以来，除了从1972至1982年这十年之外，苏丹的内战到今天都没停过，投资安全系数极低。这对已在该国投下巨资的中石油来说，一直为所投项目忧心忡忡，不敢过多增加投资。（6）劳工风险。以秘鲁为例，1992年首钢集团斥资近1.2亿美元收购秘鲁铁矿公司。然而，并购后，公司面临的劳资纠纷不断。由于秘鲁工会势力很大，且工会在企业经营状况之外，更关注提高“会员”工资和福利待遇，而一旦工会要求得不到满足就组织罢工。然而，对此状况，首钢在收购前并无所知。再如韩国的民众意识和工会力量比较强，韩国的教师工会甚至已经敦促其会员告知他们的学生：自由贸易会加剧贫穷和不平等，并且会破坏环境。因此韩国人总体对全球化持怀疑态度，并且对商界不信任。韩国民众不仅认为本国的资金已经足够，不欢迎外国资本、产品进入韩国市场，对韩国对外投资导致的国内就业岗位减少也持反对态度。这给京东方收购韩国现代电子生产线和上汽集团控股韩国双龙带来了一定的困难。（3）产生的源头：政府推行有关外汇管制；进口配额和进口关税；当地投资人的最低持股比例和组织结构等的规定；对外国企业征收额外税收；在当地银行借款受到限制；没收资产等。【例题1多选题】某矿业集团近期收购了厄瓜多尔铜矿，集团风险管理部派李辉驻该铜矿担任中方管理人员，并负责该铜矿的风险管理工作。下列各项中，李辉可以用以应对该铜矿政治风险的措施有( )。（2010年考题）A与当地职工建立良好关系B向国际保险公司对该项目政治风险投保C当厄瓜多尔出现自然灾害时，主动进行捐助D在原料、零配件的采购上适当以当地企业优先【答案】ABCD【解析】善用当地的员工可更好地使公司尊重当地的风俗习惯，融入当地的社会生活。企业遭到政治风险时，企业的当地员工面临失业问题会迫使当地政府慎重决策。所以，选项A正确；向国际保险公司对该项目政治风险投保，把被保险人的政治风险转移给保险人，从而减小损失。所以，选项B正确；公关（即公共关系）包括政府公关、媒体公关和危机公关这三点。当厄瓜多尔出现自然灾害时，主动进行捐助，属于媒体公关。所以，选项C正确；在东道国进行本地采购，这样做既可以使东道国的相关公司受益，又能使东道国政府不情愿作出对铜矿不利的行为，因为东道国对外国公司的干预将会使东道国相关企业遭受经济上的损失。所以，选项D正确。2.法律风险与合规风险（1）定义：法律风险是指企业在经营过程中因自身经营行为的不规范或者外部法律环境发生重大变化而造成的不利法律后果的可能性。合规风险是指因违反法律或监管要求而受到制裁、遭受金融损失以及因未能遵守所有适用法律、法规、行为准则或相关标准而给企业信誉带来的损失的可能性。（2）类别：法律风险通常包括以下三方面：法律环境因素，包括立法不完备、执法不公正等；市场主体自身法律意识淡薄，在经营活动中不考虑法律因素等；交易相对方的失信、违约或欺诈等。（3）区别：合规风险侧重于行政责任和道德责任的承担，而法律风险则侧重于民事责任的承担。【相关链接2】跨国并购中常见的法律风险与合规风险（1）面临可能违反反垄断法律规定的风险。（2）面临可能违反市场管理方面的法律规定的风险。（3）收购后的经营中也可能会涉及到劳动法问题。 （4）环境责任承担的法律风险。（5）知识产权保护中的法律风险。3.社会文化风险（1）定义：文化风险是指文化这一不确定性因素的影响给企业经营活动带来损失的可能。（2）类别：从文化风险成因来看，文化风险存在并作用于企业经营的更深领域，主要有以下方面：跨国经营活动引发的文化风险。企业并购活动引发的文化风险。组织内部因素引发的文化风险。【相关链接3】跨国并购中的社会文化风险由于东西方文化差异而导致其对公司的很多管理方式持不同观点。比如个人主义与集体主义的区别就导致了公司管理员工的方式不同，组织结构设计不同；对权利、官僚的不同认识也导致了他们对经理人角色的不同理解。不同文化观念的人很难真正沟通、融合，因而看待公司治理也不同。企业要进行全球化经营，在公司治理乃至人力资源整合中，必须考虑到文化整合的问题。4.技术风险（1）定义：技术风险就是技术在创新过程中，由于技术本身的复杂性和其他相关因素变化产生的不确定性而导致技术创新遭遇失败的可能性，包括纯技术风险及其他过程中由于技术方面的因素所造成的风险。（2）类别：从技术活动过程所处的不同阶段考察，技术可以划分为技术设计风险、技术研发风险和技术应用风险。5.自然环境风险（1）定义：自然环境风险，是指企业由于其自身或影响其业务的其他方造成的自然环境破坏而承担损失的风险。（2）类别：企业自身对自然环境造成的直接影响；企业与客户和供应商之间的联系而对自然环境造成的间接影响。【相关链接4】跨国并购中的环境保护要求追加投资的风险拉美主要油气生产国近年来愈发重视环境保护问题。拉美国家或非政府组织在环境保护方面提出的新条件，将使中国在拉美的投资项目面临追加投资的风险。6.市场风险依据中央企业全面风险管理指引，市场风险可以考虑以下几个方面：（1）产品或服务的价格及供需变化带来的风险。（2）能源、原材料、配件等物资供应的充足性、稳定性和价格的变化带来的风险。（3）主要客户、主要供应商的信用风险。（4）税收政策和利率、汇率、股票价格指数的变化带来的风险：税收风险指由于税收政策变化使企业税后利润发生变化产生的风险。利率风险是指因利率提高或降低而产生预期之外损失的风险。汇率风险或货币风险是由汇率变动的可能性，以及一种货币对另一种货币的价值发生变动的可能性导致的。股票价格风险影响企业股票或其他资产的投资者，其表现是与股票价格相联系的。潜在进入者、竞争者与替代品的竞争带来的风险。【相关连接5】风险敞口风险敞口，也称为风险暴露，是指未加保护的风险。举例说明：甲公司收入的是日元，但甲公司有一笔美元的借款要还，如果甲公司对此没有做任何对冲的交易（比如远期外汇买卖或货币互换等)，那么，甲公司就有了一个日元对美元的汇率风险敞口。7.产业风险（1）定义：产业风险是指在特定产业中与经营相关的风险。这一风险与企业选择在哪个产业中经营直接相关。（2）影响因素：在考虑企业可能面对的产业风险时，以下几个因素是非常关键的：产业（产品）生命周期阶段。产业波动性。产业集中程度。8.信用风险定义：企业生产产品或提供劳务，并将其提供给客户，同时企业会允许客户一定时间内付款， 这一过程被称为赊欠。赊欠会产生不予支付的风险。因而，客户信用风险主要体现为对方在账款到期时不予支付的风险。而企业的生产经营需要各种生产要素的提供，如果供应商不能按照双方合同或协议的要求按时、保质、保量地提供这些生产要素，就产生了供应商的信用风险。（二）内部风险1.战略风险（1）定义：未来的不确定性对企业实现其战略目标的影响。这一定义的内涵可以从以下两个方面展开：从战略风险可能导致的结果来看，有整体性损失和战略目标无法实现两种结果。从战略风险产生的原因来看，战略风险产生于外部环境和战略管理行为和战略成功必要条件。（2）制定与实施发展战略需关注的主要风险缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。2.操作风险（1）定义：操作风险是指由于员工、过程、基础设施和技术或对运作有影响的类似因素（包括欺诈活动）的失误而导致亏损的风险。（2）类别：从本质上来说，许多已经识别出的风险是操作方面的。操作风险可组合成以下几种风险：员工、技术、舞弊、外部依赖、过程/程序、外包。【例题2单选题】甲公司是一家大型基础设施承建企业，根据业务发展需要，甲公司需要在美国采购一套大型机械设备。管理层经过讨论确定了与此次设备采购相关的主要风险。下列各项与该设备采购有关的风险中，属于操作风险的是（ ）。（2011年考题改编）A.采购部门可能由于不熟悉美国市场供应商的情况，无法在有限时间内寻找到最佳设备供应商B.该套设备由于采用了某项国防科技核心技术，可能受到美国政府的监控，甚至可能限制外国厂商购买C.财务人员可能由于不熟悉外汇市场交易规则，发生错误的外汇套期操作指令D.该套设备购置单价较高，甲公司向一家外资申请专项贷款，但是由于无法提供同等金额的担保物/质押品，甲公司可能无法获得必要的贷款【答案】C【解析】本题考核的是操作风险。选项C是由于财务人员操作失误导致发出错误的指令，属于操作风险。3.运营风险（1）定义：运营风险是指企业在运营过程中，由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性，而导致的运营失败或使运营活动达不到预期的目标的可能性及其损失。（2）类别：运营风险包含一系列具体的风险。依据中央企业全面风险管理指引，运营风险至少要考虑以下几个方面：企业产品结构、新产品研发方面可能引发的风险；企业新市场开发，市场营销策略（包括产品或服务定价与销售渠道，市场营销环境状况等）方面可能引发的风险；企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验等方面可能引发的风险；期货等衍生产品业务中发生失误带来的风险；质量、安全、环保、信息安全等管理中发生失误导致的风险；因企业内、外部人员的道德风险或业务控制系统失灵导致的风险；给企业造成损失的自然灾害等风险；企业现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力方面引发的风险。4.财务风险（1）定义：财务风险是指公司财务结构不合理、融资不当使公司可能丧失偿债能力而导致投资者预期收益下降和陷入财务困境甚至破产的风险。财务风险是客观存在的，企业管理者对财务风险只有采取有效措施来降低风险，而不可能完全消除风险。（2）双刃剑作用：管理失误和公司治理的不完善在公司破产中所扮演的主要角色，通常被强调为公司破产的直接导火索。如果破产归因于治理公司行为的程序设计的局限，那么债务违约可能迫使管理者降低产能，并重新考虑公司的运营政策和战略决策。从这个角度来看，债务违约及财务困境也能创造价值。因此，债务违约及破产机制能够帮助财务上陷入困境，但经济上可行的公司继续经营，同时也促使无效率公司的退出。尽管财务困境和破产存在拥有尚未得到经验量化的潜在好处的可能性，但是财务困境和 破产程序涉及大量直接的（法律、行政和咨询费用）和间接（机会）的成本，这些成本会消耗公司及其利益相关者的真实资源。【例题3多选题】甲公司是在上海证券交易所上市的钢铁生产企业。甲公司60%以上的铁矿石从巴西淡水河谷公司进口。甲公司的长期债务中，长期银行借款占 80%。下列各项中，属于甲公司在日常经营中面临的市场风险有( )。（2011年考题改编）A.利率风险 B.信用风险C.商品价格风险 D.股票价格风险【答案】ABCD【解析】本题考核的是市场风险的类别。市场风险，也称为价格风险，是指由于市价的变化而导致亏损的风险。企业需要管理的市场风险主要是利率风险、汇率风险、商品价格风险、股票价格风险和信用风险。【例题4多选题】某钢铁公司铁矿石原料主要依赖进口，下列各项中，属于其市场风险的是( )。（2010年考题改编）A产品风险 B信用风险C流动性风险 D汇率风险【答案】BD【解析】产品风险属于运营风险；流动性风险属于财务风险。市场风险包括利率风险、汇率风险、商品价格风险、股票价格风险和信用风险。所以，选项B、D正确。【例题5单选题】甲公司只生产一种产品，主要采用信用方式对外销售，产品毛利率为10%。为有效应对信用风险，甲公司强化对应收账款逾期的管理。甲公司2010年度预算批准的半年度逾期应收账款余额(不含税)不超过1800万元。截至2010年6月30日，甲公司逾期应收账款(不含税)余额为3000万元。甲公司截至2010年6月30日应收账款(不含税)信用风险敞口为( )。（2010年）A120万元 B300万元C1200万元 D3000万元【答案】C【解析】风险敞口就是指未加保护的风险。本题3000万元的应收账款中，已经得到预算批准的逾期应收账款余额有l800万元，即有1800万元的应收账款信用风险已经得到保护，尚有1200万元的信用风险敞口。第二节 风险管理概述一、企业风险管理发展历程（一）风险管理发展阶段一般认为，风险管理可分为三个阶段，即简单风险管理阶段、商务风险管理阶段和全面风险管理阶段。国内学者将风险管理的发展分为两个阶段：基于保险和财务层面的风险管理阶段和基于整体的风险管理阶段。 1.基于保险和财务层面的风险管理20世纪90年代以前，风险管理研究的内容基本上限于可保风险和财务风险。风险应对的主要手段就是保险，即通过保险来承受或转嫁风险。 2.基于整体的风险管理20世纪90年代以来，社会环境和经济环境发生了很大的变化，建立良好的全面风险管理体系迫在眉睫，基于整体层面的风险管理应运而生。2003年7月，C0S0委员会发布企业全面风险管理框架的征求意见稿，并于2004年9月发布企业风险管理整合框架（ERM) 正式稿，将风险管理纳入企业的各种活动之中，并将战略目标引入风险管理。ERM从内部控制的角度出发，融合了整合风险管理、整体风险管理、综合风险管理的思想，宽泛地定义了风险管理，确立了适用于各种类型的组织、行业和部门的风险管理标准。（二）全面风险管理的特征1.战略性。风险管理主要运用于企业战略管理层面，站在战略层面整合和管理企业层面风险是全面风险管理的价值所在。2.全员化。企业全面风险管理是一个由企业治理层、管理层和所有员工参与的，对企业所有风险进行管理，旨在把风险控制在风险容量以内，增进企业价值的过程。在这个过程中，只有将风险意识转化为全体员工的共同认识和自觉行动，才能确保风险管理目标的实现。【提示】风险容量，也称作风险承受度。风险承受度是指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。 风险承受度较大，说明企业承受风险的能力较强，在承受度范围内的小风险可以采取日常应对措施。企业可以根据本企业的经营环境、经营规范、资本结构等确定风险承受度，在风险事件来临时采取不同的措施加以应对。3.专业性。即风险管理的专业人才实施专业化管理。4.二重性。企业全面风险管理的商业使命在于：（1）损失最小化管理；（2）不确定性管理；（3）绩效最优化管理。全面风险管理既要管理纯粹的风险，也要管理机会风险。5.系统性。全面风险管理必须拥有一套系统的、规范的方法，来确保所有的风险都得到识别，而且所有的风险都得到管理。二、风险管理的概念（一）风险偏好与风险承受度风险偏好和风险承受度是风险管理概念的重要组成部分。风险偏好是企业希望承受的风险范围，回答公司希望承担什么风险和承担多少风险。风险承受度是指企业风险偏好的边界，分析风险承受度可以将其作为企业采取行动的预警指标，企业可以设置若干承受度指标，以显示不同的警示级别。风险偏好和风险承受度概念的提出是基于企业风险管理理念的变化。传统风险管理理念认为风险只是灾难，被动地将风险管理作为成本中心；而全面风险管理理念认为风险具有二重性，风险总是与机遇并存。企业风险管理要在机遇和风险中寻求平衡点，以实现企业价值最大化的目标。【提示1】风险偏好是指对风险的偏爱，而风险承受度或风险容量是企业准备在任一时点承受的风险数量。（二）风险管理的内涵企业风险管理涉及的风险和机会影响价值的创造或保持。企业风险管理是一个过程，它由企业的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响企业的潜在事项，管理风险以促使其在该企业的风险容量之内，并为企业目标的实现提供合理保证。整体来说，企业风险管理的内涵包括：1.一个正在进行并贯穿整个企业的过程（全过程管理）；2.受到企业各个层次人员的影响（全员参与）；3.战略制定时得到应用（属于战略管理范畴）；4.适用于各个级别和单位的企业，包括考虑风险组合（具有普遍适用性）；5.识别能够影响企业及其风险管理的潜在事项（管理的重点）；6.能够对企业的管理层和董事会提供合理保证（管理的局限性）； 7.致力于实现一个或多个单独但是类别相互重叠的目标（管理目标）。【提示2】全面风险管理，是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中，执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系。包括风险管理程序、风险管理策略、风险管理文化、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。三、风险管理的目标我国中央企业全面风险管理指引设定了风险管理如下的总体目标：（一）确保将风险控制在与公司总体目标相适应并可承受的范围内；（二）确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；（三）确保遵守有关法律法规；（四）确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；（五）确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。四、风险管理的范围传统风险管理主要涉及财务会计主管和内部审计等部门负责人，就单个风险个体实施风险管理，主要是可保风险和财务风险；而全面风险管理在高层的参与下，每个成员都承担与自己行为相关的风险管理责任，从总体上集中考虑和管理所有风险（包括纯粹风险和机会风险）。传统风险管理是事后反应式的风险管理方法，即先检查和预防经营风险，然后采取应对措施；全面风险管理贯穿企业整个经营过程，包括事前风险防范，事中风险预警和及时处理，事后风险报告、评估、备案及其他相应措施。企业风险管理主要包括以下几个要素：（一）调整风险偏好和战略。（二）加强风险应对决策。（三）降低经营性意外和损失。（四）识别和管理多重和跨企业的风险。（五）抓住机遇。五、风险管理成本与效益风险具有一项重要的特征，即损失与收益的对称性。正确地估计和计量风险，在对各种可能结果进行分析的基础上，趋利防弊，以求以最小的风险谋求最大的收益，就成为企业风险管理的本质所在。因此，在风险管理过程中，必须要进行成本效益分析。（一）风险管理的成本及其主要构成风险管理成本是指在风险管理过程中发生的成本，是公司经营成本的一部分。1.以风险为基点的分类（1）预防成本。是指为了防止风险的发生，而在组织内部采取目标制定、跟踪监督、事项识别和应对防范措施所花费的成本费用，以及因此增加了控制和管理环节而降低了业务效率所造成的直接、间接损失。（2）纠正成本。是指发现了风险苗头而对其实施检查、追究、处置、复原所花费的成本费用。（3）惩治成本。是指当风险发生，且对组织内部和外部（包括对社会）造成了现实危害，因而对其进行处理、处罚、整治而支付的成本费用。（4）损失成本。是指风险发生后对企业带来的直接的、间接的、有形的、无形的、经济的、社会的、短期的、长远的、现实的和潜在的经济损失。这种损失有的可以准确确认和计量，有的则难以准确计算。2.以风险管理为基点的分类（1）进入成本。是指为建立风险管理的能力而付出的代价。这种成本主要是为了技术、工具，以及训练而发生的。（2）维持成本。是为了有效维持组织风险管理的能力，保持风险程序在最新状态而发生的成本。例如，增补训练以保持和发展员工的技巧，以及配合最新发展及新途径以更新程序等费用。（3）评估成本。是在风险管理过程中对事项识别、风险评估发生的成本，包括在风险辨识讨论会或访谈中所消耗的时间与资源、执行风险评估与分析、参加风险审查以及撰写风险报告等而付出的代价。（4）处置成本。涵盖执行风险管理计划的行动成本，这些行动原本不在项目计划中，但被认为是必要的，以便切实地应付被辨识出的风险。（二）公司风险管理的效益与成本分析风险损失与收益的对称性，要求风险管理在建立利益机制的同时也要考虑风险防范机制，使两者相互制约平衡。建立健全风险管理体系需要考虑投入的人力、物力和财力，以及该系统运行成本能否为企业所承受且达到合理的成本效益比。这就要求风险管理在成本效益分析中寻找以实现企业价值最大化为目标的平衡点。从构成风险管理成本的预防成本、纠正成本、惩治成本和损失成本来看，预防成本和纠正成本与惩治成本和损失成本相互之间呈反向运动。遵循成本效用原则，需要在这四种成本中寻找一个最优平衡点。在理论上说这个平衡点就是预防成本、纠正成本、惩治成本和损失成本之和的最低点，也是企业的综合利益最大化的最优点。预防成本、纠正成本与惩治成本、损失成本是方向和走势相反的曲线，其相交点六、风险管理的文化风险管理最重要的一方面是将风险融合到企业文化和价值观中。这也是区分全面风险管理与传统风险管理的主要标志之一。风险应被视为企业战略中一个不可分割的组成部分。风险管理目标应当包含在企业目标之中，并且企业的主要动机应纳入风险评估和风险策略。由于一个组织的整体文化对于企业的成功至关重要，因此，它的风险文化将决定企业如何成功地进行风险管理。建立风险管理文化的主要作用有以下三个方面：（一）沟通。风险管理成功的企业通常都大力强调沟通计划目标。（二）协作。把所有的目光集中在同一方向，并对风险和目标形成共同的理解，成为每一位员工的责任。（三）联系。一个成功的风险管理计划必须建立起所有利益相关者之间的关系，以确保目标的实现。我国中央企业全面风险管理指引对于建立企业风险管理文化提出如下方针和措施：1.企业应注重建立具有风险意识的企业文化，促进企业风险管理水平、员工风险管理素质的提升，保障企业风险管理目标的实现。2.风险管理文化建设应融入企业文化建设全过程。3.企业应在内部各个层面营造风险管理文化氛围。4.企业应大力加强员工法律素质教育，制定员工道德诚信准则，形成人人讲道德诚信、合法合规经营的风险管理文化。5.企业全体员工尤其是各级管理人员和业务操作人员应通过多种形式，努力传播企业风险管理文化，牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大等意识和理念。6.风险管理文化建设应与薪酬制度和人事制度相结合，有利于增强各级管理人员特别是高级管理人员风险意识，防止盲目扩张、片面追求业绩、忽视风险等行为的发生。7.企业应建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途径和形式，加强对风险管理理念、知识、流程、管控核心内容的培训，培养风险管理人才，培育风险管理文化。【相关链接】企业风险管理文化的培育风险管理文化涉及员工的个人价值观和他们接受风险的态度。除非员工尊重和遵守公司的规章制度和内部控制，否则风险管理难以成功。要建立健康的企业文化及价值观，企业必须由上而下，身体力行，建立严谨的“作风”，使员工能上行下效，企业要订立管理原则和行为规范，通过绩效管理的方法，鼓励员工正确的行为和态度。加强培训和沟通，建立有效机制，使员工能从企业本身所犯错误或接近犯错的经验中，吸取教训。更重要的是公司行政人员必须定期举行会议，讨论并接受其他公司所犯的严重过失的教训，包括：了解事件发生的经过；搞清楚犯错的原因以及对该公司财务与业务造成的损失；最后反问如何避免类似事件发生在自己公司身上。七、风险管理的障碍与关键问题（一）实施风险管理的障碍阻碍实施风险管理的主要因素有：1.企业风险管理的目标有时和企业目标并不一致，在这种情况下，就会产生集体或个人之间的摩擦。2.高管的承诺并不充分。企业风险管理的实施需要来自髙级管理层的全力支持。不足或不恰当的风险管理模式将不会带来期望的商业利益，甚至会影响整个计划。3.统计分析的决策支持、工具和系统不太充分。在一个整体风险管理环境中，实施企业风险管理的最终产品要求有效的统计和分析工具来支持，以便进行明智的决策。如果没有这些工具，就可能无法得到最优决策。4.文化有时是不匹配的。企业风险管理面临改变管理的所有挑战。如果这个文化变革没有得到很好的管理，这可能就是一个整体实施的问题。（二）实施风险管理的关键问题1.董事会支持。风险管理有时很难获得董事会和高管的支持，大多数组织认为管理层有必要表明风险管理的有形收益和获得关键的利益相关者支持。董事会必须将风险管理看做是降低或规避成本的途径，而非增加成本。2.责任和问责制。管理层应当考虑整合鉴证活动和风险管理以及合规活动的必要性来实施风险管理。3.风险计量。企业中的风险计量对利益相关者的影响是重要的。此外，从定性到定量估计的计量方法的转变在企业的风险计量及其影响中非常关键。4.与企业战略的关系。独立的风险管理是行不通的，它应与企业战略相结合。5.树立风险管理增加企业价值的观念。管理层应当看到建立将战略风险管理和价值创造/竞争优势相联系的流程的必要性。s6.风险管理意识。为了提高企业中的风险管理意识，管理层应该看到沟通和报告一致的必要性,并运用风险管理方法。7.管理层认同。管理层的认同有利于接受责任和积极参与，并因此减少变革的阻力。8.与控制自我评价的联系。管理层应该看到，有必要自上而下地整合和比较战略风险管理流程，来完成自下而上的控制/自我评估。9.风险报告。在风险管理过程中，有必要设计适当的报告，以协助管理并做出适当考虑风险管理原则的决策。其中一个关键性的挑战是在这个领域获得适当的工具，协助识别和报告风险，以确保数据能够易于用作管理信息。10.信息技术。一些管理层忽视了信息技术在风险管理中所起的作用和重要性。第三节 风险管理基本流程一、收集风险管理初始信息风险管理基本流程的第一步，要广泛地、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。收集初始信息要根据所分析的风险类型具体展开。例如： （一）分析战略风险，企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例，并至少收集与本企业相关的以下重要信息：1.国内外宏观经济政策以及经济运行情况、企业所在产业的状况、国家产业政策；2.科技进步、技术创新的有关内容；3.市场对该企业产品或服务的需求；4.该企业主要客户、供应商及竞争对手的有关情况；5.与企业战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；6.与主要竞争对手相比，该企业实力与差距；7.本企业发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据；8.该企业对外投融资流程中曾发生或易发生错误的业务流程或环节。（二）分析财务风险，企业应广泛收集国内外企业财务风险失控导致危机的案例，并至少收集本企业的以下重要信息：1.负债、或有负债、负债率、偿债能力；2.现金流、应收账款及其占销售收人的比重、资金周转率；3.产品存货及其占销售成本的比重、应付账款及其占购货额的比重；4.制造成本和管理费用、财务费用、营业费用；5.盈利能力；6.成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；7.与本企业相关的产业会计政策、会计估算、与国际会计制度的差异与调节（如退休金、递延税项等）等信息。（三）分析市场风险，企业应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与该企业相关的以下重要信息:1.产品或服务的价格及供需变化；2.能源、原材料、配件等物资供应的充足性、稳定性和价格变化；3.主要客户、主要供应商的信用情况；4.税收政策和利率、汇率、股票价格指数的变化；5.潜在竞争者、竞争者及其主要产品、替代品情况。（四）分析运营风险，企业应至少收集与本企业、本产业相关的以下信息：1.产品结构、新产品研发；2.新市场开发，市场营销策略，包括产品或服务定价与销售渠道，市场营销环境状况等；3.企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；4.期货等衍生产品业务中曾发生或易发生失误的流程和环节；5.质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；6.因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵；7.给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险；8.对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；9.企业风险管理的现状和能力。（五）分析法律风险，企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与该企业相关的以下信息：1.国内外与该企业相关的政治、法律环境；2.影响企业的新法律法规和政策；3.员工道德操守的遵从性；4.该企业签订的重大协议和有关贸易合同；5.该企业发生重大法律纠纷案件的情况；6.企业和竞争对手的知识产权情况。企业还要对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。二、进行风险评估完成了风险管理初始信息收集之后，企业要对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。（一）风险评估的步骤风险评估包括风险辨识、风险分析、风险评价三个步骤。1.风险辨识。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。2.风险分析。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。3. 风险评价。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。（二）风险评估的方法进行风险辨识、分析和评价，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡洛分析法）、失效模式与影响分析、事件树分析等。企业在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。风险评估应由企业组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。三、制定风险管理策略风险管理基本流程的第三步是制定风险管理策略。风险管理策略，是指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。企业要根据风险的不同类型选择适宜风险管理策略。制定风险管理策略的一个关键环节是企业应根据不同业务特点统一确定风险偏好和风险承受度，即企业愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。另外，应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置，进一步确定风险管理的优选顺序，明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。四、提出和实施风险管理解决方案按照风险管理的基本流程，制定风险管理策略后的工作是制定实施风险管理解决方案， 也就是执行前一阶段制定风险管理解决策略，进一步落实风险管理工作。在这一阶段，企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。（一）风险管理解决方案的两种类型风险管理解决方案可以分为外部和内部解决方案。1.外部解决方案外部解决方案一般指外包。企业经营活动外包是利用产业链专业分工，提高运营效率的必要措施。如果企业制订风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、 自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。2.内部解决方案内部解决方案是风险管理体系的运转。在具体实施中，一般是以下几种手段的综合应用：风险管理策略；组织职能；内部控制（包括政策、制度、 程序）；信息系统（包括报告体系）；风险理财措施。企业制订风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则。针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取控制措施。中央企业全面风险管理指引指出，企业制定内控措施，一般至少包括以下内容：（1）建立内控岗位授权制度。（2）建立内控报告制度。（3）建立内控批准制度。（4）建立内控责任制度。（5）建立内控审计检查制度。（6）建立内控考核评价制度。（7）建立重大风险预警制度。（8）建立健全以总法律顾问制度为核心的企业法律顾问制度。（9）建立重要岗位权力制衡制度，明确规定不相容职责的分离。（二）关键风险指标管理关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。关键风险指标管理可以管理单项风险的多个关键成因，也可以管理影响企业主要目标的多个主要风险。 1.关键风险指标管理的步骤关键风险指标管理的步骤一般分为以下六步：（1）分析风险成因，从中找出关键成因。（2）将关键成因量化，确定其度量，分析确定导致风险事件发生（或极有可能发生）时该成因的具体数值。（3）以该具体数值为基础，以发出风险信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标。（4）建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息。（5）制定出现风险预警信息时应采取的风险控制措施。（6）跟踪监测关键成因的变化，一旦出现预警，即实施风险控制措施。对于关键风险指标的分解，要兼顾各职能部门和业务单位的诉求。一个可行的方法是在企业的总体领导和整体战略的指导下进行部门和业务单位间的协调。2.关键风险指标分解企业目标的实现要靠企业的各个职能部门和业务单位共同的努力，同样，企业的指标要分解到企业的各个职能部门和业务单位。对于关键风险指标也是一样。对于关键风险指标的分解要注意职能部门和业务单位之间的协调。对于关键风险指标的分解，要兼顾各职能部门和业务单位的诉求。（三）落实风险管理解决方案1.高度重视，要认识到风险管理是企业时刻不可放松的工作，是企业价值创造的根本源泉。2.风险管理是企业全员的分内工作，没有风险的岗位是不创造价值的岗位，没有理由存在。3.落实到组织，明确分工和责任，全员进行风险管理。4.为确保工作的效果落实到位，要对风险管理解决方案的实施进行持续监控改进，并与绩效考核联系起来。五、风险管理的监督与改进风险管理基本流程的最后一个步骤是风险管理的监督与改进。企业应确定重点风险对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门。企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据在制定风险策略时提出的有效性标准的要求对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员。企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：1.风险管理基本流程与风险管理策略；2.企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；3.风险管理组织体系与信息系统；4.全面风险管理总体目标。第四节 风险管理体系一、风险管理策略（一）风险管理策略总体定位与作用中央企业全面风险管理指引指出，风险管理策略指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。1.风险管理策略的总体定位（1）风险管理策略是根据企业经营战略制定的全面风险管理的总体策略；（2）风险管理策略在整个风险管理体系中起着统领全局的作用；（3）风险管理策略在企业战略管理的过程中起着承上启下的作用，制定与企业战略保持一致的风险管理策略减少了企业战略错误的可能性。2.风险管理策略的作用（1）为企业的总体战略服务，保证企业经营目标的实现；（2）连接企业的整体经营战略和运营活动；（3）指导企业的一切风险管理活动；（4）分解为各领域的风险管理指导方针。（二）风险管理策略的组成部分1.风险偏好和风险承受度。明确公司要承担什么风险，承担多少。2.全面风险管理的有效性标准。明确怎样衡量我们的风险管理工作成效。3.风险管理的工具选择。明确怎样管理重大风险。4.全面风险管理的资源配置。明确如何安排人力、财力、物资、外部资源等风险管理资源。（三）风险管理工具风险管理工具共有七种：风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制。1.风险承担风险承担亦称风险保留、风险自留。风险承担是指企业对所面临的风险采取接受的态度，从而承担风险带来的后果。对未能辨识出的风险，企业只能采用风险承担。对于辨识出的风险，企业也可能由于以下几种原因采用风险承担：（1）缺乏能力进行主动管理，对这部分风险只能承担；（2）没有其他备选方案；（3）从成本效益考虑，这一方案是最适宜的方案。对于企业的重大风险，即影响到企业目标实现的风险，企业一般不应采用风险承担。2.风险规避风险规避是指企业回避、停止或退出蕴含某一风险的商业活动或商业环境，避免成为风险的所有人。例如：（1）退出某一市场以避免激烈竞争；（2）拒绝与信用不好的交易对手进行交易；（3）外包某项对工人健康安全风险较高的工作；（4）停止生产可能有潜在客户安全隐患的产品；（5）禁止各业务单位在金融市场进行投机；（6）不准员工访问某些网站或下载某些内容。3.风险转移风险转移是指企业通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权。转移风险不会降低其可能的严重程度，只是从一方移除后转移到另一方。例如：（1）保险：保险合同规定保险公司为预定的损失支付补偿，作为交换，在合同开始时， 投保人要向保险公司支付保险费。（2）非保险型的风险转移：将风险可能导致的财务风险损失负担转移给非保险机构。 例如，服务保证书等。（3）风险证券化：通过证券化保险风险构造的保险连接型证券（ILS)。这种债券的利息支付和本金偿还取决于某个风险事件的发生或严重程度。4.风险转换风险转换是指企业通过战略调整等手段将企业面临的风险转换成另一个风险。风险转换的手段包括战略调整和衍生产品等。风险转换一般不会直接降低企业总的风险，其简单形式就是在减少某一风险的同时，增加另一风险。例如，通过放松交易客户信用标准，增加了应收账款，但扩大了销售。企业可以通过风险转换在两个或多个风险之间进行调整，以达到最佳效果。风险转换可以在低成本或者无成本的情况下达到目的。5.风险对冲风险对冲是指采取各种手段，引入多个风险因素或承担多个风险，使得这些风险能够互相对冲，也就是使这些风险的影响互相抵消。常见的例子有资产组合使用、多种外币结算的使用和战略上的多种经营等。在金融资产管理中，对冲也包括使用衍生产品，如利用期货进行套期保值。在企业的风险中，有些风险具有自然对冲的性质，应当加以利用。例如，不同行业的经济周期风险对冲。风险对冲必须涉及风险组合，而不是对单一风险；对于单一风险，只能进行风险规避、 风险控制。6.风险补偿风险补偿是指企业对风险可能造成的损失采取适当的措施进行补偿。风险补偿表现在企业主动承担风险，并采取措施以补偿可能的损失。风险补偿的形式有财务补偿、人力补偿、物资补偿等。财务补偿是损失融资，包括企业自身的风险准备金或应急资本等。【提示】风险承担与风险补偿的辨析。风险承担是指风险保留在企业内部，企业以其内部的资源来弥补损失或者对这些保留下来的风险不采取任何措施。通常适宜于损失频率小并且损失程度较小的风险，或者适宜损失频率高但损失程度较小的风险，这些风险通常被企业视为摆脱不掉或不可避免的风险。从以上的分析可以看出，风险承担的主要特征有：事后性、非重大性、被动性、内部资源。风险补偿是指企业对风险可能造成的损失采取适当的措施进行补偿。其主要方式有：（1）对于无法通过风险转移、风险转换、风险对冲或风险控制进行管理，而且又无法规避、不得不承担的较重大风险，投资者可以采取在交易价格上附加风险溢价，即通过提高风险回报的方式，获得承担风险的价格补偿。商业银行可以预先在金融资产定价中充分考虑到各种风险因素，通过价格调整来获得合理的风险回报。（2）当意外损失发生后，企业无法依靠内部资金度过财务危机时，企业可以向银行寻求特别贷款或从其他渠道融资