关于印发《中央企业全面风险管理指引》的通知
各中央企业:
企业全面风险管理是一项十分重要的工作,关系到国有资产保值增值和企业持续、健康、稳定发展。为了指导企业开展全面风险管理工作,进一步提高企业管理水平,增强企业竞争力,促进企业稳步发展,我们制定了《中央企业全面风险管理指引》,现印发你们,请结合本企业实际执行。企业在实施过程中的经验、做法及遇到的问题,请及时反馈我委。
国务院国有资产监督管理委员会
二○○六年六月六日
中央企业全面风险管理指引
第一章 总则
第一条 为指导国务院国有资产监督管理委员会(以下简称国资委)履行出资人职责的企业(以下简称中央企业)开展全面风险管理工作,增强企业竞争力,提高投资回报,促进企业持续、健康、稳定发展,根据《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,制定本指引。
第二条 中央企业根据自身实际情况贯彻执行本指引。中央企业中的国有独资公司董事会负责督导本指引的实施;国有控股企业由国资委和国资委提名的董事通过股东(大)会和董事会按照法定程序负责督导本指引的实施。
第三条 本指引所称企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。
第四条 本指引所称全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
第五条 本指引所称风险管理基本流程包括以下主要工作:
(一)收集风险管理初始信息;
(二)进行风险评估;
(三)制定风险管理策略;
(四)提出和实施风险管理解决方案;
(五)风险管理的监督与改进。
第六条 本指引所称内部控制系统,指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。
第七条 企业开展全面风险管理要努力实现以下风险管理总体目标:
(一)确保将风险控制在与总体目标相适应并可承受的范围内;
(二)确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;
(三)确保遵守有关法律法规;
(四)确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;
(五)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
第八条 企业开展全面风险管理工作,应注重防范和控制风险可能给企业造成损失和危害,也应把机会风险视为企业的特殊资源,通过对其管理,为企业创造价值,促进经营目标的实现。
第九条 企业应本着从实际出发,务求实效的原则,以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点,积极开展全面风险管理工作。具备条件的企业应全面推进,尽快建立全面风险管理体系;其他企业应制定开展全面风险管理的总体规划,分步实施,可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作,建立单项或多项内部控制子系统。通过积累经验,培养人才,逐步建立健全全面风险管理体系。
第十条 企业开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。
第二章 风险管理初始信息
第十一条 实施全面风险管理,企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。
第十二条 在战略风险方面,企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例,并至少收集与本企业相关的以下重要信息:
(一)国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策;
(二)科技进步、技术创新的有关内容;
(三)市场对本企业产品或服务的需求;
(四)与企业战略合作伙伴的关系,未来寻求战略合作伙伴的可能性;
(五)本企业主要客户、供应商及竞争对手的有关情况;
(六)与主要竞争对手相比,本企业实力与差距;
(七)本企业发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据;
(八)本企业对外投融资流程中曾发生或易发生错误的业务流程或环节。
第十三条 在财务风险方面,企业应广泛收集国内外企业财务风险失控导致危机的案例,并至少收集本企业的以下重要信息(其中有行业平均指标或先进指标的,也应尽可能收集):
(一)负债、或有负债、负债率、偿债能力;
(二)现金流、应收账款及其占销售收入的比重、资金周转率;
(三)产品存货及其占销售成本的比重、应付账款及其占购货额的比重;
(四)制造成本和管理费用、财务费用、营业费用;
(五)盈利能力;
(六)成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节;
(七)与本企业相关的行业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。
第十四条 在市场风险方面,企业应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与本企业相关的以下重要信息:
(一)产品或服务的价格及供需变化;
(二)能源、原材料、配件等物资供应的充足性、稳定性和价格变化;
(三)主要客户、主要供应商的信用情况;
(四)税收政策和利率、汇率、股票价格指数的变化;
(五)潜在竞争者、竞争者及其主要产品、替代品情况。
第十五条 在运营风险方面,企业应至少收集与本企业、本行业相关的以下信息:
(一)产品结构、新产品研发;
(二)新市场开发,市场营销策略,包括产品或服务定价与销售渠道,市场营销环境状况等;
(三)企业组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;
(四)期货等衍生产品业务中曾发生或易发生失误的流程和环节;
(五)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节;
(六)因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵;
(七)给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险;
(八)对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力;
(九)企业风险管理的现状和能力。
第十六条 在法律风险方面,企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与本企业相关的以下信息:
(一)国内外与本企业相关的政治、法律环境;
(二)影响企业的新法律法规和政策;
(三)员工道德操守的遵从性;
(四)本企业签订的重大协议和有关贸易合同;
(五)本企业发生重大法律纠纷案件的情况;
(六)企业和竞争对手的知识产权情况。
第十七条 企业对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估。
第三章 风险评估
第十八条 企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个步骤。
第十九条 风险评估应由企业组织有关职能部门和业务单位实施,也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。
第二十条 风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
第二十一条 进行风险辨识、分析、评价,应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。
第二十二条 进行风险定量评估时,应统一制定各风险的度量单位和风险度量模型,并通过测试等方法,确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化,定期对假设前提和参数进行复核和修改,并将定量评估系统的估算结果与实际效果对比,据此对有关参数进行调整和改进。
第二十三条 风险分析应包括风险之间的关系分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,从风险策略上对风险进行统一集中管理。
第二十四条 企业在评估多项风险时,应根据对风险发生可能性的高低和对目标的影响程度的评估,绘制风险坐标图,对各项风险进行比较,初步确定对各项风险的管理优先顺序和策略。
第二十五条 企业应对风险管理信息实行动态管理,定期或不定期实施风险辨识、分析、评价,以便对新的风险和原有风险的变化重新评估。
第四章 风险管理策略
第二十六条 本指引所称风险管理策略,指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
第二十七条 一般情况下,对战略、财务、运营和法律风险,可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险,可以采用风险转移、风险对冲、风险补偿等方法。
第二十八条 企业应根据不同业务特点统一确定风险偏好和风险承受度,即企业愿意承担哪些风险,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度,要正确认识和把握风险与收益的平衡,防止和纠正忽视风险,片面追求收益而不讲条件、范围,认为风险越大、收益越高的观念和做法;同时,也要防止单纯为规避风险而放弃发展机遇。
第二十九条 企业应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置,进一步确定风险管理的优选顺序,明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。
第三十条 企业应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断修订和完善。其中,应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。
第五章 风险管理解决方案
第三十一条 企业应根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如:关键风险指标管理、损失事件管理等)。
第三十二条 企业制定风险管理解决的外包方案,应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等,并制定相应的预防和控制措施。
第三十三条 企业制定风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。
第三十四条 企业制定内控措施,一般至少包括以下内容:
(一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定;
(二)建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等;
(三)建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任;
(四)建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度;
(五)建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等;
(六)建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩;
(七)建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施;
(八)建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度;
(九)建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。
第三十五条 企业应当按照各有关部门和业务单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。
第六章 风险管理的监督与改进
第三十六条 企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。
第三十七条 企业应建立贯穿于整个风险管理基本流程,连接各上下级、各部门和业务单位的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为风险管理监督与改进奠定基础。
第三十八条 企业各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送企业风险管理职能部门。
第三十九条 企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,要根据本指引第三十条要求对风险管理策略进行评估,对跨部门和业务单位的风险管理解决方案进行评价,提出调整或改进建议,出具评价和建议报告,及时报送企业总经理或其委托分管风险管理工作的高级管理人员。
第四十条 企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。
第四十一条 企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议:
(一)风险管理基本流程与风险管理策略;
(二)企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设;
(三)风险管理组织体系与信息系统;
(四)全面风险管理总体目标。
第七章 风险管理组织体系
第四十二条 企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。
第四十三条 企业应建立健全规范的公司法人治理结构,股东(大)会(对于国有独资公司或国有独资企业,即指国资委,下同)、董事会、监事会、经理层依法履行职责,形成高效运转、有效制衡的监督约束机制。
第四十四条 国有独资公司和国有控股公司应建立外部董事、独立董事制度,外部董事、独立董事人数应超过董事会全部成员的半数,以保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择。
第四十五条 董事会就全面风险管理工作的有效性对股东(大)会负责。董事会在全面风险管理方面主要履行以下职责:
(一)审议并向股东(大)会提交企业全面风险管理年度工作报告;
(二)确定企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案;
(三)了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策;
(四)批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(五)批准重大决策的风险评估报告;
(六)批准内部审计部门提交的风险管理监督评价审计报告;
(七)批准风险管理组织机构设置及其职责方案;
(八)批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为;
(九)督导企业风险管理文化的培育;
(十)全面风险管理其他重大事项。
第四十六条 具备条件的企业,董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任;董事长兼任总经理的,召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事,以及具备风险管理监管知识或经验、具有一定法律知识的董事。
第四十七条 风险管理委员会对董事会负责,主要履行以下职责:
(一)提交全面风险管理年度报告;
(二)审议风险管理策略和重大风险管理解决方案;
(三)审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;
(四)审议内部审计部门提交的风险管理监督评价审计综合报告;
(五)审议风险管理组织机构设置及其职责方案;
(六)办理董事会授权的有关全面风险管理的其他事项。
第四十八条 企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员,负责主持全面风险管理的日常工作,负责组织拟订企业风险管理组织机构设置及其职责方案。
第四十九条 企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责,主要履行以下职责:
(一)研究提出全面风险管理工作报告;
(二)研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(三)研究提出跨职能部门的重大决策风险评估报告;
(四)研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控;
(五)负责对全面风险管理有效性评估,研究提出全面风险管理的改进方案;
(六)负责组织建立风险管理信息系统;
(七)负责组织协调全面风险管理日常工作;
(八)负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作;
(九)办理风险管理其他有关工作。
第五十条 企业应在董事会下设立审计委员会,企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合《中央企业内部审计管理暂行办法》(国资委令第8号)的有关规定。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。
第五十一条 企业其他职能部门及各业务单位在全面风险管理工作中,应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督,主要履行以下职责:
(一)执行风险管理基本流程;
(二)研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(三)研究提出本职能部门或业务单位的重大决策风险评估报告;
(四)做好本职能部门或业务单位建立风险管理信息系统的工作;
(五)做好培育风险管理文化的有关工作;
(六)建立健全本职能部门或业务单位的风险管理内部控制子系统;
(七)办理风险管理其他有关工作。
第五十二条 企业应通过法定程序,指导和监督其全资、控股子企业建立与企业相适应或符合全资、控股子企业自身特点、能有效发挥作用的风险管理组织体系。
第八章 风险管理信息系统
第五十三条 企业应将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。
第五十四条 企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据,未经批准,不得更改。
第五十五条 风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试;能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态;能够对超过风险预警上限的重大风险实施信息报警;能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。
第五十六条 风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享,既能满足单项业务风险管理的要求,也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。
第五十七条 企业应确保风险管理信息系统的稳定运行和安全,并根据实际需要不断进行改进、完善或更新。
第五十八条 已建立或基本建立企业管理信息系统的企业,应补充、调整、更新已有的管理流程和管理程序,建立完善的风险管理信息系统;尚未建立企业管理信息系统的,应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。
第九章 风险管理文化
第五十九条 企业应注重建立具有风险意识的企业文化,促进企业风险管理水平、员工风险管理素质的提升,保障企业风险管理目标的实现。
第六十条 风险管理文化建设应融入企业文化建设全过程。大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理意识转化为员工的共同认识和自觉行动,促进企业建立系统、规范、高效的风险管理机制。
第六十一条 企业应在内部各个层面营造风险管理文化氛围。董事会应高度重视风险管理文化的培育,总经理负责培育风险管理文化的日常工作。董事和高级管理人员应在培育风险管理文化中起表率作用。重要管理及业务流程和风险控制点的管理人员和业务操作人员应成为培育风险管理文化的骨干。
第六十二条 企业应大力加强员工法律素质教育,制定员工道德诚信准则,形成人人讲道德诚信、合法合规经营的风险管理文化。对于不遵守国家法律法规和企业规章制度、弄虚作假、徇私舞弊等违法及违反道德诚信准则的行为,企业应严肃查处。
第六十三条 企业全体员工尤其是各级管理人员和业务操作人员应通过多种形式,努力传播企业风险管理文化,牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大等意识和理念。
第六十四条 风险管理文化建设应与薪酬制度和人事制度相结合,有利于增强各级管理人员特别是高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽视风险等行为的发生。
第六十五条 企业应建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途经和形式,加强对风险管理理念、知识、流程、管控核心内容的培训,培养风险管理人才,培育风险管理文化。
第十章 附则
第六十六条 中央企业中未设立董事会的国有独资企业,由经理办公会议代行本指引中有关董事会的职责,总经理对本指引的贯彻执行负责。
第六十七条 本指引在中央企业投资、财务报告、衍生产品交易等方面的风险管理配套文件另行下发。
第六十八条 本指引的《附录》对本指引所涉及的有关技术方法和专业术语进行了说明。
第六十九条 本指引由国务院国有资产监督管理委员会负责解释。
第七十条 本指引自印发之日起施行。
附录:风险管理常用技术方法简介
附录
风险管理常用技术方法简介
一、风险坐标图
风险坐标图是把风险发生可能性的高低、风险发生后对目标的影响程度,作为两个维度绘制在同一个平面上(即绘制成直角坐标系)。对风险发生可能性的高低、风险对目标影响程度的评估有定性、定量等方法。定性方法是直接用文字描述风险发生可能性的高低、风险对目标的影响程度,如“极低”、“低”、“中等”、“高”、“极高”等。定量方法是对风险发生可能性的高低、风险对目标影响程度用具有实际意义的数量描述,如对风险发生可能性的高低用概率来表示,对目标影响程度用损失金额来表示。
下表列出某公司对风险发生可能性的定性、定量评估标准及其相互对应关系,供实际操作中参考。
定量方法一 |
评分 |
1 |
2 |
3 |
4 |
5 |
定量方法二 |
一定时期发生 的概率 |
10%以下 |
10% - 30% |
30% - 70% |
70% - 90% |
90%以上 |
定 性 方 法 |
文字描述一 |
极低 |
低 |
中等 |
高 |
极高 |
文字描述二 |
一般情况下不会发生
|
极少情况下才发生
|
某些情况下发生 |
较多情况下发生 |
常常会发生 |
|
文字描述三 |
今后10年内发生的可能少于1次 |
今后5-10年内可能发生1次 |
今后2-5年内可能发生1次 |
今后1年内可能发生1次 |
今后1年内至少发生1次 |
下表列出某公司关于风险发生后对目标影响程度的定性、定量评估标准及其相互对应关系,供实际操作中参考。
适 用 于 所 有 行 业 |
定量方法一 |
评分
|
1 |
2 |
3 |
4 |
5 |
|
定量方法二 |
企业财务损失占税前利润的百分比(%) |
1%以下
|
1%-5%
|
6%-10%
|
11%-20%
|
20%以上
|
||
定性方法 |
文字描述一 |
极轻微的 |
轻微的 |
中等的 |
重大的 |
灾难性的 |
||
文字描述二 |
极低 |
低 |
中等 |
高 |
极高 |
|||
文 字 描 述 三
|
企业日常运行 |
不受影响 |
轻度影响(造成轻微的人身伤害,情况立刻受到控制)
|
中度影响(造成一定人身伤害,需要医疗救援,情况需要外部支持才能得到控制)
|
严重影响(企业失去一些业务能力,造成严重人身伤害,情况失控,但无致命影响)
|
重大影响(重大业务失误,造成重大人身伤亡,情况失控,给企业致命影响) |
||
财务损失 |
较低的财务损失 |
轻微的财务损失 |
中等的财务损失 |
重大的财务损失 |
极大的财务损失 |
|||
企业声誉 |
负面消息在企业内部流传,企业声誉没有受损
|
负面消息在当地局部流传,对企业声誉造成轻微损害
|
负面消息在某区域流传,对企业声誉造成中等损害
|
负面消息在全国各地流传,对企业声誉造成重大损害
|
负面消息流传世界各地,政府或监管机构进行调查,引起公众关注,对企业声誉造成无法弥补的损害 |
|||
适 用 于 开 采 业 、 制 造 业 |
定 性 与 定 量 结 合 |
安 全 |
短暂影响职工或公民的健康
|
严重影响一位职工或公民健康 |
严重影响多位职工或公民健康 |
导致一位职工或公民死亡
|
引致多位职工或公民死亡
|
|
营 运 |
-对营运影响微弱 -在时间、人力或成本方面不超出预算1%
|
-对营运影响轻微 -受到监管者责难 -在时间、人力或成本方面超出预算1%-5%
|
-减慢营业运作 -受到法规惩罚或被罚款等 -在时间、人力或成本方面超出预算6%-10%
|
-无法达到部分营运目标或关键业绩指标 -受到监管者的限制 -在时间、人力或成本方面超出预算11%-20%
|
-无法达到所有的营运目标或关键业绩指标 -违规操作使业务受到中止 -时间、人力或成本方面超出预算20% |
|||
环 境 |
-对环境或社会造成短暂的影响 -可不采取行动
|
-对环境或社会造成一定的影响 -应通知政府有关部门
|
-对环境造成中等影响 -需一定时间才能恢复 -出现个别投诉事件 -应执行一定程度的补救措施
|
-造成主要环境損害 -需要相当长的时间来恢复 -大规模的公众投诉 -应执行重大的补救措施
|
-无法弥补的灾难性环境損害 -激起公众的愤怒
-潜在的大规模的公众法律投诉 |
对风险发生可能性的高低和风险对目标影响程度进行定性或定量评估后,依据评估结果绘制风险坐标图。如:某公司对9项风险进行了定性评估,风险①发生的可能性为“低”,风险发生后对目标的影响程度为“极低”;……;风险⑨发生的可能性为“极低”,对目标的影响程度为“高”,则绘制风险坐标图如下:
可能性
极高 |
|
|
|
⑥ |
|
高 |
|
② |
|
|
⑧ |
中等 |
|
⑤ |
③ |
|
|
低 |
① |
|
④ |
|
⑦ |
极低 |
|
|
|
⑨ |
|
极低 低 中等 高 极高 影响程度
如某公司对7项风险进行定量评估,其中:风险①发生的可能性为83%,发生后对企业造成的损失为2100万元;风险②发生的可能性为40%,发生后对企业造成的损失为3800万元;…….;而风险⑦发生的可能性在55%到62%之间,发生后对企业造成的损失在7500万元到9100万元之间,在风险坐标图上用一个区域来表示,则绘制风险坐标图如下:
风险1 |
风险2 |
1 |
可能性(%) |
|
● ● ● ● ● ● |
0.8 |
0.6 |
0.4 |
0.2 |
风险7 |
影响损失(亿元) |
|
|
● ●●●● |
|
40 |
20 |
100 |
60 |
80 |
绘制风险坐标图的目的在于对多项风险进行直观的比较,从而确定各风险管理的优先顺序和策略。如:某公司绘制了如下风险坐标图,并将该图划分为A、B、C三个区域,公司决定承担A区域中的各项风险且不再增加控制措施;严格控制B区域中的各项风险且专门补充制定各项控制措施;确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。
B区域 |
可能性
A区域 |
C区域 |
B区域 |
C区域
极高 |
|
|
|
⑥ |
|
高 |
|
② |
|
|
⑧ |
中等 |
|
⑤ |
③ |
|
|
低 |
① |
|
④ |
|
⑦ |
极低 |
|
|
|
⑨ |
|
极低 低 中等 高 极高 影响程度
二、蒙特卡罗方法
蒙特卡罗方法是一种随机模拟数学方法。该方法用来分析评估风险发生可能性、风险的成因、风险造成的损失或带来的机会等变量在未来变化的概率分布。具体操作步骤如下:
1.量化风险。将需要分析评估的风险进行量化,明确其度量单位,得到风险变量,并收集历史相关数据。
2.根据对历史数据的分析,借鉴常用建模方法,建立能描述该风险变量在未来变化的概率模型。建立概率模型的方法很多,例如:差分和微分方程方法,插值和拟合方法等。这些方法大致分为两类:一类是对风险变量之间的关系及其未来的情况作出假设,直接描述该风险变量在未来的分布类型(如正态分布),并确定其分布参数;另一类是对风险变量的变化过程作出假设,描述该风险变量在未来的分布类型。
3.计算概率分布初步结果。利用随机数字发生器,将生成的随机数字代入上述概率模型,生成风险变量的概率分布初步结果。
4.修正完善概率模型。通过对生成的概率分布初步结果进行分析,用实验数据验证模型的正确性,并在实践中不断修正和完善模型。
5.利用该模型分析评估风险情况。
正态分布是蒙特卡罗风险方法中使用最广泛的一类模型。通常情况下,如果一个变量受很多相互独立的随机因素的影响,而其中每一个因素的影响都很小,则该变量服从正态分布。在自然界和社会中大量的变量都满足正态分布。描述正态分布需要两个特征值:均值和标准差。其密度函数和分布函数的一般形式如下:
密度函数:
分布函数:
其中m为均值,σ为标准差。
由于蒙特卡罗方法依赖于模型的选择,因此,模型本身的选择对于蒙特卡罗方法计算结果的精度影响甚大。蒙特卡罗方法计算量很大,通常借助计算机完成。
三、关键风险指标管理
一项风险事件发生可能有多种成因,但关键成因往往只有几种。关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。具体操作步骤如下:
1.分析风险成因,从中找出关键成因。
2.将关键成因量化,确定其度量,分析确定导致风险事件发生(或极有可能发生)时该成因的具体数值。
3.以该具体数值为基础,以发出风险预警信息为目的,加上或减去一定数值后形成新的数值,该数值即为关键风险指标。
4.建立风险预警系统,即当关键成因数值达到关键风险指标时,发出风险预警信息。
5.制定出现风险预警信息时应采取的风险控制措施。
6.跟踪监测关键成因数值的变化,一旦出现预警,即实施风险控制措施。
以易燃易爆危险品储存容器泄漏引发爆炸的风险管理为例。容器泄漏的成因有:使用时间过长、日常维护不够、人为破坏、气候变化等因素,但容器使用时间过长是关键成因。如容器使用最高期限为50年,人们发现当使用时间超过45年后,则易发生泄漏。该“45年”即为关键风险指标。为此,制定使用时间超过“45年”后需采取的风险控制措施,一旦使用时间接近或达到“45年”时,发出预警信息,即采取相应措施。
该方法既可以管理单项风险的多个关键成因指标,也可以管理影响企业主要目标的多个主要风险。使用该方法,要求风险关键成因分析准确,且易量化、易统计、易跟踪监测。
四、压力测试
压力测试是指在极端情景下,分析评估风险管理模型或内控流程的有效性,发现问题,制定改进措施的方法,目的是防止出现重大损失事件。具体操作步骤如下:
1.针对某一风险管理模型或内控流程,假设可能会发生哪些极端情景。极端情景是指在非正常情况下,发生概率很小,而一旦发生,后果十分严重的事情。假设极端情景时,不仅要考虑本企业或与本企业类似的其他企业出现过的历史教训,还要考虑历史上不曾出现,但将来可能会出现的事情。
2.评估极端情景发生时,该风险管理模型或内控流程是否有效,并分析对目标可能造成的损失。
3.制定相应措施,进一步修改和完善风险管理模型或内控流程。
以信用风险管理为例。如:一个企业已有一个信用很好的交易伙伴,该交易伙伴除发生极端情景,一般不会违约。因此,在日常交易中,该企业只需“常规的风险管理策略和内控流程”即可。采用压力测试方法,是假设该交易伙伴将来发生极端情景(如其财产毁于地震、火灾、被盗),被迫违约对该企业造成了重大损失。而该企业“常规的风险管理策略和内控流程”在极端情景下不能有效防止重大损失事件,为此,该企业采取了购买保险或相应衍生产品、开发多个交易伙伴等措施。
风险管理专业术语解释
1.风险理财:利用金融手段管理风险的方法,包括:预提风险准备金、购买保险或使用专业自保公司、衍生产品交易以及风险融资等。
2.情景分析:通过假设、预测、模拟等手段生成未来情景,并分析其对目标产生影响的方法,包括:历史情景重演法、预期法、因素分解法、随机模拟法等方法。
3.集中趋势法:指根据随机变量的分布情况,计算出该变量分布的集中特性值(均值、中数、众数等),从而预测未来情况的方法。它是数据推论方法的一种。
4.失效模式与影响分析:通过辨识系统失去效用后的各种状况,分析其影响,并采取相应措施的方法。
5.事件树分析:以树状图形方式分析风险事件间因果关系的方法。
6.风险偏好:为了实现目标,企业在承担风险的种类、大小等方面的基本态度。
7.风险承受度:企业愿意承担的风险限度,也是企业风险偏好的边界。
8.风险对冲:通过承担多个风险,使相关风险能够互相抵消的方法。使用该方法,必须进行风险组合,而不是对单一风险进行规避、控制。如:资产组合、多种外币结算、战略上的分散经营、套期保值等。
9.损失事件管理:对可能给企业造成重大损失的风险事件的事前、事中、事后管理的方法。损失包括企业的资金、声誉、技术、品牌、人才等。
10.返回测试:将历史数据输入到风险管理模型或内控流程中,把结果与预测值对比,以检验其有效性的方法。
11.穿行测试:在正常运行条件下,将初始数据输入内控流程,穿越全流程和所有关键环节,把运行结果与设计要求对比,以发现内控流程缺陷的方法。