一、现状调研和总体评估

建立全面的风险管理体系首先要对整个企业的现状，分别从战略、组织、领导风格等各个模块做一个总体评估，了解一下企业的风险管理处在一个什么样的水平，合规性的内控有没有建立起来？管控的基本框架建设的怎么样？公司治理机制运作规不规范？相应的风险组织健不健全，onmouseover=displayAd(3);onmouseout=hideAd(); onclick=linkClick(3);>企业文化适不适应？对企业的风险管理水平做一个总体上的判断。

二、风险管理体系框架设计

（一）优化治理机制，建立有效的公司治理结构

风险管理从公司治理这一制度安排决定了企业目标、决策人及风险和收益的分配都围绕风险展开；风险直接影响目标的实现；而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度；治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。公司治理是组织应对风险的战略反应，包含了一些战略性的风险管理的因素。例如：公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型；再如公司决策层在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。因此，规范的公司治理是风险管理的核心。

（二）在有效的公司治理结构基础上，建立相互独立的、垂直的风险管理组织框架。

三个层次的风险管理：监事会、董事会、高级管理层

三级经营单位的风险控制：母公司、子公司、孙公司

（三）建立风险管理流程框架

企业可以下几个方面考虑建立风险管理流程框架:

1、风险管理政策、标准和工具的制定与审批流程;

2、政策执行和监督流程;

3、例外计划的处理流程;

4、风险状况变动的连续跟踪流程;

5、向高级管理层和相应的管理委员会的报告流程。

（四）建立有效的风险防范内部控制制度

风险管理是一项复杂的系统工作，贯穿于现代企业的所有经营管理活动中，从日常的质量控制到突发事件的防范都包含风险管理的概念。企业有效的管理风险，必须把内控系统和经营系统有机地结合起来，建立一种自动风险防范机制，防止因为风险的产生导致企业的更大损失。
（5）建立风险管理信息系统

企业应建立风险管理信息系统，将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

　　企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。

（六）建立风险管理文化

风险管理做的较好的企业，具有共同的特征：领导者有极强的风险意识，并极力将这种意识 灌输给企业内的所 有成员，即注重风险管理文化的培育。　

onmouseover=displayAd(3);onmouseout=hideAd(); onclick=linkClick(3);>企业文化是一种尽管绕的最远,反过来却是最有效的一种管理方式,这种影响是通过企业文化与管理体系的互动形成对企业员工的价值取向和行为方式施加强有力的导向和支配作用，因此，在企业集团文化中渗透风险管理的意识尤为重要。

首先，集团公司应当书面建构集团的风险管理哲学。

其次，集团公司上层和成员企业高层要积极地响应和支持风险管理流程。

再次，集团应该利用onmouseover=displayAd(4);onmouseout=hideAd(); onclick=linkClick(4);>人力资源部门的培训不断强化企业集团文化的影响。

最后，企业集团在接纳一个新成员时，也应考察将被吸纳的这个成员是否能接受并执行集团一贯所遵循的风险管理哲学，否则，就应考虑放弃。

正是这种自上而下，自下而上风险文化的建立才可以保证全面风险管理体系得到全面的实施。

三、风险信息系统构建

（一）收集风险管理初始信息

风险信息系统构建的第一步是就是风险管理初始信息的收集，把整个这一类企业所面临的风险，全部罗列出来，建立一个风险档案，战略上面有些什么风险，财务上有些什么风险，只要是企业所有发生过或可能发生的风险，全部用一个所谓的风险宇宙，给它导出来，看到底有哪些风险，风险宇宙，就像辞典一样，风险宇宙越健全，越容易帮助企业找出这个风险，在企业里面，战略、财务下面，一般罗列八条足够了。要知道，风险管理是有代价的，把风险管理得越细、越充分，资源配置越不足，所以风险管理有一个适可而止，与公司的发展成熟度相匹配的概念，并不是所有的风险要进行管理。

四、风险的识别分析与评估

企业对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险分析评估。

　　风险分析应包括单个风险的分析和风险之间相互作用的风险关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。

企业在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。

常用的风险识别方法主要有:

故障树分析法　(FauhTreeAnalysis，简称FTA)。
最初是 1961年由美国贝尔实验室的H.A.研 /atson和D.F.Hassl首先提出的，并用于“民兵”导弹的发射系统控制，此后，故障树分析法越来越多地应用到航空、航天、核能和化工等领域，并被公认为是对复杂系统进行可靠性分析的好方法。故障树分析通过对可能造成系统故障的硬件、软件、环境、概率，由总体至部分，按树状结构，逐层进行细分。

流程图法

流程图分析法是按照流程图法，应首先将生产过程按顺序排成流

程图，然后对每一阶段、每一环节，逐段进行调查分析，从中发现潜在的风险，挖掘产生风险的根源，分析风险发生后可能造成的损失及其对整个企业造成的不利影响。流程图分析是识别风险最常用的方法之一，而且组织规模越大，流程图越复杂，流程图分析越能体现出其优越性。

环境分析法

环境分析法是根据对企业面临的外部环境和内部环境的系统分析，推断环境可能对企业产生的风险与潜在损失的一种识别风险的方法。采用环境分析法，首先应全面系统地分析企业的外部环境和内部环境，以及环境变化对企业生产经营的影响;其次应分析企业与内部环境和外部环境的相互关系及其稳定程度。

德尔菲法

德尔菲法是一种集中众人智慧进行科学预测的风险分析方法。德尔菲法是美国咨询机构兰德公司首先提出的，它主要是借助于有关专家的知识、经验和判断来对企业的潜在风险加以估计和分析。德尔菲法本质上是一种反馈匿名函询法。其作法是，在对所要预测的问题征得专家的意见之后，进行整理、归纳、统计，再匿名反馈给各专家，再次征求意见，再集中，再反馈，直至得到稳定的意见。其过程可简单图示如下:匿名征求专家意见—归纳、统计—匿名反馈—归纳、统计……，若干轮后，停止。总之，它是一种利用函询形式的集体匿名思想交流过程。它有区别于其他专家预测方法的三个明显的特点。它们是:匿名性、多次反馈、小组的统计回答

情景分析法

情景分析法是指通过利用数字、图表、曲线等，对企业未来的状态进行描绘，从而识别引起风险的关键因素及其影响程度的风险识别方法。情景分析法研究的重点是:当引发风险的条件和因素发生变化时，会产生什么样的风险，导致什么样的后果等。幕景分析法既注意描述未来的状态，又注重描述未来某种情况发展变化的过程。

五、风险策略的确定

（一）集团公司的风险偏好

风险管理的目标之一就是为战略而服务。在市场日趋成熟的情况下，企业集团要想长期稳定地保持其竞争优势，必须将战略目标作为首当其冲考虑的事项。战略目标对企业集团的影响至关重大。企业集团在制定战略目标时，必须考虑其设定的战略是否在集团所设定的风险偏好内。因为不同的战略会带来不同的风险，企业风险管理有助于集团公司选择与预期的价值创造和集团风险偏好相一致的战略。全面风险管理要求主体要有风险组合观。对于经营多元化的企业集团来说，集团公司和每一个成员企业（包括控股层、参股层和协作层企业），以及它的各个事业部，各项业务活动，各条流程的风险都存在着不同程度的关联。集团中个别成员的风险可能在企业自身的风险承受能力范围之内，但是可能所有成员企业的风险汇总后就会超过集团总体的风险承受能力。反过来，潜在事项对某个成员来说代表着不可接受的风险，超过了其风险容忍度，但可能另一个成员企业却能抵消该事项的负面影响。因此，为了有效地管理风险，集团公司不仅要处理集团各项业务中存在的风险，还要善于处理风险之间的相互关系。从风险组合的角度，将集团总体风险控制在集团公司为整个集团所设定的风险偏好范围内。风险的三种偏好类型：

1、风险爱好（Risk-Love）型企业：对于这种供应链企业来说，它不顾可能发生的危险，仍实施某项行为和进行某项决策活动。其效用函数是凸型的，期望效用必然小于概率事件的期望效用。风险爱好企业获随机收益比获取确定收益所承担的风险要大，而机会则小。

2、风险厌恶（Risk-Averse，也叫风险规避）型企业：这种企业较保守，回避可能发生的风险。其效用函数是凹型的，期望效用必然大于概率事件的期望效用。风险厌恶型企业宁愿获取确定收益而不愿获取随机收益或不确定收益，即尽可能回避风险。

3、风险中性（Risk-Neutral）型企业：这种企业既不冒险也不保守，而是介于风险爱好与风险厌恶之间。

（二）制定风险应对措施：

风险应对策略主要有风险回避、风险控制、风险转移和风险自留。

风险回避是以放弃或拒绝承担风险作为控制方法来回避损失发生的可能性。它在彻底消除风险损失的同时使获利的可能性降为零，他是风险管理技术中最简单也是最消极的一种，但应注意一些风险是无法回避的，一些风险采取回避手段是不经济的，一些风险的回避可能带来新的风险的产生。此种方法是受到限制最大的风险管理技术，对风险企业不能盲目的一味的回避风险，而是在恰当的时候、用恰当的方式来回避风险，应是一种策略性的回避。

风险控制是企业通过降低风险发生概率和减少风险发生带来的损失来达到控制风险目的的手段和方法。风险控制可分为风险发生前的风险预防和风险发生后的风险控制，风险发生前的风险预防主要是以控制发生概率为主，以减少风险发生带来的损失为副；风险发生后主要以减少风险损失为并购且要兼顾预防风险的扩散和斩断因风险发生引起反应。
风险转移就是通过一定的方式将风险转嫁给其它的主体以达到本企业对风险的管理目的。风险转移的方式有：保险和非保险转移。

风险自留又称风险承担，风险自留是指一个企业以其内部的资源来弥补损失。风险自留是一种财务型的风险处理手段。风险自留是处理残余风险的一种技术处理措施，当风险采取避免的手段不经济或不可能，又不能有效的预防且无处可以转移的情况下，企业只能采取风险自留的手段，从财务上做出安排，以备在损失发生后进行处理。风险自留是最普通的风险处理方法。主要的风险自留方法有：将损失摊入经营成本、建立意外损失基金、借款来补偿风险的经济损失和自负额保险。

各种风险应对手段都有其优点和不足，企业在选择风险管理手段时应根据不同的风险性质，不同的状态和集团的风险偏好来综合考虑。

六、设计风险控制计划体系,

首先，在制定风险策略的基础上进而制定集团(或公司)风险管理计划框架，在此基础上制定子公司（或部门）风险管理计划。

其次，设计风险预警体系。海恩法则指出: 每一起严重事故的背后，必然有29次轻微事故和300起未遂先兆以及1000起事故隐患。危机是由不确定性的大量存在而引起的，具有相当强的突发性和偶然性。冰冻三尺非一日之寒，危机突然爆发的背后总会有一个从端倪到爆发的变化过程，总会表现出来一些征兆。这时建立起一套规范、全面的危机管理预警系统就显得极其重要。当预警系统发出警告后，企业可以及时地采取防范或补救措施，完全可以避免危机的发生或使损害和影响尽可能减少。

七、导入全面风险管理体系

导入全面风险管理体系，必须要企业高层高度重视，把项目纳入年度管理计划当中去，并持续对员工进行培训，提高风险意识建立风险文化。

同时要把企业的相关风险计划深入到各个业务系统里，比如考核系统、信息系统，系统化地进行分析、确认、度量、管理和监控。

企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新。

八、实施风险管理处置方案

企业其他职能部门及各业务单位在全面风险管理工作中，应接受风险管理职能部门和内部审计部门的组 织、协调、指导和监督，主要履行以下职责执行风险管理基本流程研究提出本职能部门或业务单位重大决策、重大风险、重大 事件和重要业务流程的判断标准或判断机制；研究提出本职能部门或业务单位的重大决策风险评估报告做好本职能部门或业务单位建立风险管理信息系统的工作；　做好培育风险管理文化的有关 工作 建立健全本职能部门或业务单位的风险管理内部控制子系统办理风险管理其他有关工作。

九、执行体系保障有效性持续监测与评估

监督和改进的实质是关注风险管理的目标、深思熟虑的对风险管理进行分析、 集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷、 并根据变化情况进行改进，持续提升风险管理水平。

各部门内部指定专人负责本部门流程与其他部门的接口、部门内部的接口、流程的运行维护等；同时针对本部门流程的目标，监控内外部环境的变化及新的风险事项、影响程度等；不断更新目标与风险事项数据库，提示修正内部控制流程，并形成风险事项汇总文件并上报。

常用的监督风险管理有效性的方法：压力测试、返回测试、穿行测试、风险控制自我评估。

十、优化风险管理体系，进行风险管理体系特别是风险管理能力的提升

一个主体的风险管理会随着时间的不同而有所改变。曾经有效的风险应对措施可能变得不相关了；监控活动的有效性也可能降低，或者已经不再被执行；主体的目标也可能发生改变。在种种变化面前，企业集团必须对成员企业的风险管理是否依然有效作出判断。对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估，不断优化公司的风险管理系统与战略的适应性，进行整体风险管理体系的组合管理。

所以企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。

优化应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，通过采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。

扩展阅读

版权声明：