第七章风险管理的流程、体系与方法

第七章风险管理的流程、体系与方法

随着经济全球化的发展,企业在市场竞争中将面临各种各样的风险,如何评估、监测、控制风险,已成为企业关心的热点问题。实践中,风险管理的理念、技术、方法和手段,已经应用于企业战略制定、投融资决策、财务报告管理、内部审计体系建设等方面,涵盖了从公司法人治理结构安排,到各项业务运作流程和操作等各个层面,形成了系统化、制度化、规范化的全面风险管理体系。

第一节风险管理的流程

《中央企业全面风险管理指引》借鉴了有关国家企业风险管理的法律法规、大型跨国公司在风险管理方面的通行做法,以及国内有关内控机制建设方面的规定,将风险管理基本流程分为以下几项主要工作:①收集风险管理初始信息;②进行风险评估;③制定风险管理策略;④提出和实施风险管理解决方案;⑤风险管理的监督与改进。如图7-1所示。本节将以《中央企业全面风险管理指引》为蓝本,介绍企业风险管理基本流程。

 图7-1中央企业风险管理基本流程

一、收集风险管理初始信息

收集风险管理初始信息是风险管理基本流程的第一步。企业要广泛地、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息,包括历史数据和预测数据。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。

企业收集初始信息要根据所分析的风险类型具体展开,包括但不限于以下方面。

(一)分析战略风险

企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例,本企业制定和实施发展战略的依据、效果,并收集与本企业相关的诸如国内外宏观环境、产业环境、竞争环境以及企业内部环境等方面的重要信息。

(二)分析财务风险

企业应广泛收集国内外企业财务风险失控导致危机的案例,并收集全面反映本企业财务战略选择和财务管理状况及效果的指标、数据。

(三)分析市场风险

企业应广泛收集国内外企业因忽视市场风险、缺乏应对措施导致企业蒙受损失的案例,并收集与本企业相关的市场供给、需求、价格、竞争以及影响企业经营效益的经济政策等方面的重要信息。

(四)分析运营风险

企业应广泛收集国内外企业因轻视或忽视运营风险、应对措施不力导致企业蒙受损失甚至经营失败的案例,并收集本企业生产运营、市场营销、研发、组织人员、信息系统、风险管理等方面的重要信息,以及企业外部可能给本企业带来运营风险的社会、自然等方面的重要信息。

(五)分析法律合规风险

企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,并收集国内外可能给本企业带来法律风险的政治、法律法规、政策等方面的重要信息,以及企业内部存在的可能导致法律风险的因素。

企业还要对收集的初始信息进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估。

二、进行风险评估

企业完成了风险管理初始信息收集之后,要对收集的风险管理初始信息和企业各项业务管理及重要业务流程进行风险评估

风险评估包括风险辨识、风险分析、风险评价等三个步骤。

风险辨识是指查找企业各业务单元、各项重要经营活动及重要业务流程中有无风险,有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。

进行风险辨识、分析、评价,应将定性与定量方法相结合。定性方法包括问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法包括统计推论法、马尔科夫分析法。失效模式、影响和危害度分析法以及事件树分析法等则既属于定性方法又属于定量方法。这些方法的具体内容在本章第三节展开。进行风险定量AM古时,应统一制定各风险的度量单位和风险度量模型,并通过测试等方法,确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。企业要根据环境的变化,定期对假设前提和参数进行复核和修改,并将定量评估系统的估算结果与实际效果进行对比,据此对有关参数进行调整和改进。

风险分析应包括风险之间的关系分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,从风险管理策略上对风险进行统一集中管理。

企业在评估多项风险时,应根据对风险发生可能性的高低和对目标影响程度的评估,绘制风险坐标图,对各项风险进行比较,初步确定对各项风险进行管理的先后顺序和策略。

风险评估应由企业组织有关职能部门和业务单位实施,也可聘请有资质、信誊好、风险管理专业能力强的专业人员或机构协助实施。

企业应对风险管理信息实行动态管理,定期或不定期实施风险辨识、分析、评价,以便对新的风险和原有风险的变化进行重新评估。

三、制定风险管理策略

企业完成风险评估后,需要制定风险管理策略。风险管理策略,是指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理策略工具,并确定风险管理所需人力、财力等资源配置原则的总体策略。这些风险管理策略的具体内容在本章第二节展开。

企业在制定风险管理策略时,要根据风险的不同类型选择适宜的风险管理策略工具。例如,一般认为,对战略、财务、运营、政治、法律风险等,可采取风险承担、风险规避、风险转换、风险控制等工具。对能够通过保险、期货等金融手段进行管理的风险,可以采用风险转移、风险对冲、风险补偿等工具。

企业制定风险管理策略的一个关键环节是应根据不同业务特点统一确定风险偏好和风险承受度,即企业愿意承担哪些风险,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度,要正确认识和把握风险与收益的平衡,防止和纠正两种错误倾向:一是忽视风险,片面追求收益而不讲条件、范围,认为风险越大、收益越高的观念和做法;二是单纯为规避风险而放弃发展机遇的做法。

在制定风险管理策略时,还应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置,进一步确定风险管理的优先顺序,明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。

对于已经制定和实施的风险管理策略,企业应定期总结和分析其有效性和合理性,结合实际不断修订和完善。其中,应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。

四、提出和实施风险管理解决方案

制定风险管理策略后的工作是制订和实施风险管理解决方案,也就是执行前一阶段制定的风险管理策略,进一步落实风险管理工作。在这一阶段,企业应根据风险管理策略,针对各类风险或每一项重大风险制订风险管理解决方案。方案一般包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。

(一)风险管理解决方案的两种类型

从制定解决方案的主体来看,风险管理解决方案可以分为外部解决方案和内部解决方案。

1外部解决方案。

外部解决方案一般指方案制订的外包。企业经营活动外包是利用产业链专业分工提高运营效率的必要措施。企业许多风险管理工作可以外包出去,如外包给投资银行、信用评级公司、保险公司、律师事务所、会计师事务所、风险管理咨询公司等专业机构,这样可以降低企业的风险,提高效率。外包可以使企业规避一些风险,但同时可_带来另一些风险,应当加以控制。

企业制订风险管理外部解决方案,应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止对方案制订的外包产生依赖性风险等,并制定相应的预防和控制措施。

2内部解决方案。

内部解决方案是后面要阐述的风险管理体系的运转。在具体实施中,一般是以下几种系统的综合应用:组织职能体系;风险管理策略;风险理财措施;内部控制系统,包括政策、制度、程序;信息系统,包括报告体系。

企业制订风险管理内部解决方案,应满足合规的要求,坚持经营战略与风险管理策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。

内部控制(以下简称内控)是企业通过有关流程设计和实施的一系列政策、制度、程序和措施,控制影响流程目标的各种风险的过程。内控是全面风险管理的重要组成部分,是全面风险管理的基础和必要举措。一般说来,内控系统针对的风险是可控纯粹风险,其控制对象是企业中的个人,其控制目的是规范员工的行为,其控制范围是企业的业务和管理流程。

企业制定内控措施,一般至少包括以下内容:

(1)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定。

(2)建立内控报告制度。内控报告制度是内控信息与沟通要素的具体体现,该制度明确规定报告人与接受报告人,以及报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。

(3)建立内控批准制度。内控批准制度是授权制度的表现,该制度对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。

(4)建立内控责任制度。内控责任制度应与内控岗位授权制度相配套,该制度按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。

(5)建立内控审计检查制度。该制度结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等。内控审计检査制度是内控系统中的重要组成部分,是内控系统执行风险管理基本流程中监控改进步骤的重要环节,是保证内控有效且不断加强的关键。应当坚持内控审计部门与内控执行部门的相对独立。

(6)建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩。内控的绩效考核与评价是落实内部控制奖惩制度的基础,有条件时,要量化内控的绩效。

(7)建立重大风险预警制度。重大风险预警制度是对引起风险事件发生的关键成因指标进行管理的方法,该制度依靠对关键成因的监测,对重大风险发生的可能性进行持续不断的监控,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施。具体步骤详见下文对关键风险指标管理的陈述。

(8)建立健全企业法律顾问制度。企业要充分考虑到法律风险的环境特性和复合特——性,即法律风险管理的专业性,大力加强企业法律风险防范机制建设,有条件的企业可以设置总法律顾问,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系,完善企业重大法律纠纷案件的备案管理制度。

(9)建立重要岗位权力制衡制度,明确规定不相容职责的分离。涉及重大决策制定、重大事件应对、重大风险管理、重要信息披露等责任的岗位应视为重要岗位。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点。

更多的有关内容,可参考本章第二节“风险管理体系”第三部分“内部控制系统”。

企业应当按照各有关部门和业务单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。

(二)关键风险指标管理

关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。关键风险指标管理可以管理单项风险的多个关键成因,也可以管理影响企业主要目标的多个主要风险的成因。例如,假设公司现在关心的主要目标是年度盈利指标,那么关键风险指标管理就要对影响年度盈利指标的年度销售额、原材料价格、制造成本、销售成本、投资收入、利息、应收账款等多个风险因素进行管理。

1关键风险指标管理的步骤。

关键风险指标管理过程一般分为以下六步:

(1)分析风险成因,从中找出关键成因。使用关键风险指标管理法,首先要对风险

的关键成因分析准确,且易量化、易统计、易跟踪监测。

(2)将关键成因量化,确定其度量,分析确定导致风险事件发生(或极有可能发生)时该成因的具体数值。

(3)以具体数值为基础,以发出风险预警信息为目的,加上或减去一定数值后形成新的数值,该数值即为关键风险指标。

(4)建立风险预警系统。当关键成因数值达到关键风险指标时,发出风险预警信息。

(5)制定出现风险预警信息时应采取的风险控制措施。

(6)跟踪监测关键成因的变化,一旦出现预警,即实施风险控制措施。

以易燃易爆危险品储存容器泄漏引发爆炸的风险管理为例。容器泄漏的成因有:使用时间过长、日常维护不够、人为破坏、气候变化等,但容器使用时间过长是关键成因。如容器使用最高期限为50年,人们发现当使用时间超过45年后,易发生泄漏,则该“45年”即为关键风险指标。为此,制定使用时间超过“45年”后须采取的风险控制措施,一旦使用时间接近或达到“45年”,便发出预警信息,随即采取相应措施。

2关键风险指标分解。

企业目标的实现要靠企业各个职能部门和业务单位共同努力,同样,企业的关键风险指标也要分解到企业的各个职能部门和业务单位。

对于关键风险指标的分解要注意职能部门和业务单位之间的协调,关键是从企业整体出发并把风险控制在一定范围内。对一个具体单位而言,不可采用“最小化”的说法。比如,信用管理部门负责信用风险的管理,如果其强调最小化信用风险,紧缩信用,就会给负责扩大市场占有率和销量的市场和销售部门造成伤害,从而影响企业整体目标的实现。

对于关键风险指标的分解,要兼顾各职能部门和业务单位的诉求。一个可行的方法是在企业统一领导和整体战略指导下进行部门和业务单位间的协调。

(三)落实风险管理解决方案

落实风险管理解决方案应做到:

(1)高度重视风险管理,充分认识风险管理是企业时刻不可放松的工作,是企业价值创造的根本源泉。

(2)风险管理是企业全员的分内工作,没有风险的岗位是不创造价值的岗位,没有理由存在。

(3)将风险管理解决方案落实到各级各类组织,明确分工和责任。

(4)对风险管理解决方案的实施进行持续监控改进,并把实施情况与绩效考核联系起来,以确保工作的效果。

五、风险管理的监督与改进

风险管理基本流程的最后一个步骤是风险管理的监督与改进。企业应以重大风险、重大事件和重大决策、重要管理及业务流程为监督重点,对风险管理初始信息、风险评估、风险管理策略及风险管理解决方案的实施情况进行监督,并依据监督发现的问题及面临的新的风险因素改进风险管理措施。

(一)风险管理监督方法

企业可采用压力测试、返回测试、穿行测试以及风险控制自我评估(RiskandControlSelfAssessment,RCSA)等方法对风险管理的有效性进行检验,根据情况变化和存在的缺陷及时加以改进。

其中,压力测试是指在极端情景下,分析评估风险管理模型或内控流程的有效性、发现问题、制定改进措施的方法,目的是防止出现重大损失事件。以信用风险管理为例,一个企业已有一个信用很好的交易伙伴,该交易伙伴除发生极端情景,一般不会违约。因此,在日常交易中,该企业只需“常规的风险管理策略和内控流程”即可。采用压力测试方法,是假设该交易伙伴将来发生极端情景(如其财产毁于地震、火灾、被盗),被迫违约对该企业造成了重大损失,而该企业“常规的风险管理策略和内控流程”在极端情景下不能有效防止重大损失事件,为此,该企业应采取购买保险或相应衍生产品、开发多个交易伙伴等措施。

返回测试是指将历史数据输人风险管理模型或内控流程中,把结果与预测值进行对比,以检验风险管理有效性的方法。

穿行测试是指在正常运行条件下,将初始数据输入内控流程,穿越全流程和所有关键环节,把运行结果与设计要求进行对比,以发现内控流程缺陷的方法。

风险控制自我评估是公司为更好地实现风险管理的目标,定期或不定期地评价自己及子公司的风险管理系统、风险管理的有效性及风险管理实施的效率效果。

(二)风险管理监督与改进的职责分工

企业应明确各部门风险管理监督与改进的职责分工,具体如下:

第一,企业各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检査、检验报告应及时报送企业风险管理职能部门。

第二,企业风险管理职能部门应定期对各部门和业务单位风险管理工作的实施情况和有效性进行检查和检验,要根据在制定风险管理策略时提出的有效性标准对风险管理策略进行评估,对跨部门和业务单位的风险管理解决方案进行评价,提出调整或改进建议’出具评价和建议报告,及时报送企业总经理或其委托分管风险管理工作的高级管理人员。

第三,企业内部审计部门应每年至少一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。

此外,企业还可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价,出具风险管理评价和建议专项报告。

第二节风险管理体系

企业风险管理体系包括五大系统:(1)风险管理的组织职能体系;(2)风险管理策略;(3)风险理财措施;(4)内部控制系统;(5)风险管理信息系统。如图7-2所示。

 图7-2企业风险管理体系

一、风险管理的组织职能体系

风险管理的组织职能体系一般主要包括规范的公司法人治理结构、风险管理委员会、风险管理职能部门、审计委员会、企业其他职能部门及各业务单位。具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。

(一)规范的公司法人治理结构

本书第五章详细阐述公司治理结构的概念。企业应建立健全规范的公司法人治理结构,股东(大)会、董事会、监事会、经理层依法履行职责,形成高效运转、有效制衡的监督约束机制。同时,还应建立外部董事、独立董事制度,以保证董事会能够在重大决策、重大风险管理等方面做出独立于经理层的判断和选择。

董事会就全面风险管理工作的有效性对股东(大)会负责。董事会在全面风险管理方面主要履行以下职责:

(1)审议并向股东(大)会提交企业全面风险管理年度工作报告;

(2)确定企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案;

(3)了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策;

(4)批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;

(5)批准重大决策的风险评估报告;

(6)批准内部审计部门提交的风险管理监督评价审计报告;

(7)批准风险管理组织机构设置及其职责方案;

(8)批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为;

(9)督导企业风险管理文化的培育

(10)批准或决定全面风险管理的其他重大事项。

对于国有企业,其重大经营管理事项必须经党委(党组)研究讨论后,再由董事会或者经理层做出决策,防范国有企业重大经营风险。国有企业党委(党组)研究讨论的主要事项见第五章第二节中的相关内容。

(二)风险管理委员会

具备条件的企业,董事会可下设风险管理委员会。该委员会的召集人应由

不兼任总经理的董事长担任;董事长兼任总经理的,召集人应由外部董事或独立董事
什么人?

担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事,以及具备风险管理监管知识或经验、具有一定法律知识的董事。

2022真题:根据资料四(三),结合经济法相关制度和战略与风险管理相关理论,逐项判断罗文山和黄安迪联合法务部所提建议有无不妥之处,简要说明理由。

风险管理委员会对董事会负责,主要履行以下职责:

(1)提交全面风险管理年度报告;

(2)审议风险管理策略和重大风险管理解决方案;

(3)审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;

(4)审议内部审计部门提交的风险管理监督评价审计综合报告;

(5)审议风险管理组织机构设置及其职责方案;

(6)办理董事会授权的有关全面风险管理的其他事项。

企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员负责主持全面风险管理的日常工作,负责组织拟订企业风险管理组织机构设置及其职责方案。

(三)风险管理职能部门

企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责,主要履行以下职责:

(1)研究提出全面风险管理工作报告;

(2)研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;

(3)研究提出跨职能部门的重大决策风险评估报告

(4)研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控;

(5)负责对全面风险管理有效性的评估,研究提出全面风险管理的改进方案;

(6)负责组织建立风险管理信息系统

(7)负责组织协调全面风险管理日常工作;

(8)负责指导、监督有关职能部门,各业务单位以及全资、控股子企业开展全面风险管理工作

(9)办理风险管理的其他有关工作。

(四)审计委员会

企业应在董事会下设立审计委员会,企业内部审计部门对审计委员会负责。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。

1,审计委员会履行职责的方式。

董事会应决定委派给审计委员会的责任。审计委员会的任务因企业的规模、复杂性及风险状况而有所不同。

审计委员会应定期与外聘及内部审计师会面,讨论与审计相关的事宜,但无须管理层出席。审计委员会成员之间的不同意见如无法内部调解,应提请董事会解决。

此外,审计委员会应每年对其权限及其有效性进行复核,并就必要的人员变更向董事会报告。为了很好地完成这项工作,行政管理层必须向审计委员会提供恰当的信息。管理层对审计委员会有告知义务,并应主动提供信息,而不应等待审计委员会索取。

2审计委员会与合规。

审计委员会的主要活动之一是核查对外报告合规的情况。审计委员会一般有责任确保企业履行对外报告合规的义务。审计委员会应结合企业财务报表的编制情况,对重大的财务报告事项和判断进行复核。管理层的责任是编制财务报表,审计师的责任是编制审计计划和执行审计。

审计委员会应倾听审计师关于审计问题的看法。如果对拟采用的财务报告的任何方面不满意,审计委员会应告知董事会。审计委员会还应对财务报表后所附的与财务有关的信息(比如,运营和财务复核信息及公司治理部分关于审计和风险管理的陈述)进行复核。

3审计委员会与内部审计。

确保充分且有效的内部控制是审计委员会的义务,其中包括负责监督内部审计部门的工作。审计委员会应监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性,并确保内部审计部门能直接与董事长或董事会主席接触。审计委员会复核及评估年度内部审计工作计划,听取内部审计部门的定期工作报告,复核和监察管理层对内部审计的调查结果的反映。审计委员会还应确保内部审计部门提出的合理建议得到执行。审计委员会有助于保持内部审计部门对压力或干涉的独立性。审计委员会及内部审计师需要确保内部审计部门的有效运作,并在四个主要方面对内部审计进行复核,即组织中的地位、职能范围、技术才能和专业应尽义务。

(五)其他职能部门及各业务单位

企业其他职能部门及各业务单位在全面风险管理工作中,应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督,主要履行以下职责:

(1)执行风险管理基本流程

(2)研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;

(3)研究提出本职能部门或业务单位的重大决策风险评估报告;

(4)做好本职能部门或业务单位建立风险管理信息系统的工作’

(5)做好培育风险管理文化的有关工作

(6)建立健全本职能部门或业务单位的风险管理内部控制子系统;

(7)办理风险管理其他有关工作

(六)下属公司

企业应通过法定程序,指导和监督其全资、控股子企业建立与企业相适应或符合全资、控股子企业自身特点并能有效发挥作用的风险管理组织职能体系。

二、风险管理策略

(一)风险管理策略总体定位与作用

风险管理策略的总体定位:

(1)风险管理策略在企业战略管理过程中起着承上启下的作用,制定与企业战略保持一致的风险管理策略降低了企业战略实施失误的可能性;

(2)风险管理策略是根据企业战略制定的全面风险管理的总体策略;

(3)风险管理策略在整个风险管理体系中起着统领全局的作用。企业根据确定的风险管理策略,优化组织职能体系、选择风险理财措施、完善内部控制系统与风险管理信息系统。如图7-3所7K。

 图7-3从公司战略到风险管理策略

风险管理策略的总体定位决定了风险管理策略的作用:

(1)为企业的总体战略服务,保证企业经营目标的实现;

(2)连接企业的整体经营战略和运营活动;

(3)指导企业的一切风险管理活动。

(二)风险管理策略的组成部分

(1)风险偏好和风险承受度。明确企业要承担什么风险,承担多少风险

(2)全面风险管理的有效性标准。明确怎样衡量风险管理工作成效。

(3)风险管理策略工具的选择。明确怎样管理重大风险。

(4)风险管理的资源配置。明确如何安排人力、财力、物资、外部资源等风险管理资源。

(三)确定风险偏好和风险承受度

1风险偏好和风险承受度的概念。

风险偏好和风险承受度是风险管理概念的重要组成部分。

风险偏好是企业希望承受的风险范围,分析风险偏好要回答的问题是企业希望承担什么风险。风险偏好是一个企业运营风格的体现,受到企业利益相关各方价值取向和利益追求方式的影响和调节。例如:

(1)应当与这个公司联盟吗?

(2)是否需要套期保值?

(3)应当在他国进行投资吗?

(4)应当保持多高的资产负债率?

风险承受度是指企业风险偏好的边界,它可以作为企业采取行动的预警指标。企业可以设置若干风险承受度指标,以显示不同的警示级别。例如

(1)市场表现持续到什么时候,我们就应当追回投资或退出?

(2)资产负债率高到多少以及高到什么时候,我们就应当停止投资?

2确定风险偏好和风险承受度需考虑的因素。

企业在确定企业整体风险偏好和风险承受度时要考虑以下因素:

(1)风险个体:对每一个风险都可以确定风险偏好和风险承受度

(2)相互关系:既要考虑同一个风险在各个业务单位或子公司之间的分配,又要考虑不同风险之间的关系。

(3)整体形状:一个企业的整体风险偏好和风险承受度是基于针对每一个风险的风险偏好和风险承受度。

(4)行业因素:同一风险在不同行业的风险偏好和M险承受度不同

一般来讲,风险偏好和风险承受度是针对企业的重风险确定的,对企业非重大风险的风险偏好和风险承受度不一定要十分明确,甚至可以先不提出。

企业风险和风险承受度的确定依赖于企业风险评估的结果。由于企业面对的风险不断变化,企业需要持续进行风险评估,并调整自己的风险偏好和风险承受度。

重大风险的风险偏好和风险承受度是企业的重大决策,应由董事会决定。

(四)风险度量

1关键在于风险的量化。

风险承受度的表述需要对风险进行量化。风险偏好可以只定性,但风险承受度一定要定量。如果不能量化,仅靠直观或感觉确定风险承受度很可能出错,而且很难在整个企业统一思想,不能准确计算成本与收益的关系,不能同绩效考核联系起来。很多风险管理手段如风险理财必须有风险的量化描述。

2风险度量方法。

选择合适的风险度量方法是确定风险管理策略的需要。企业应该对所采取的风险度量方法取得共识,但不一定在整个企业使用唯一的风险度量方法,而应对不同的风险采取不同的度量方法。

常用的风险度量方法包括:最大可能损失;概率值(损失发生的概率或可能性);期望值(统计期望值,效用期望值);波动性(方差或均方差);在险值(又称VaR)、直观方法以及其他类似的度量方法。

(1)最大可能损失。最大可能损失是指风险事件发生后可能造成的最大损失。用最大可能损失来定义风险承受度是最差情形的思考逻辑。企业一般在无法判断或无须判断发生概率的时候,可将最大可能损失作为风险的度量方法。

(2)概率值。概率值是指风险事件发生的概率或造成损失的概率。在可能的结果只有好坏、对错、是否、输赢、生死等简单情况下,常常使用概率值。在实践中,统计意义上的频率和主观判断的概率都可以采用,但是要分清不同的场合。有时人们的主观判断会由于心理上的原因造成失误。同时,在许多场合使用频率作为概率值是没有意义的,特别是在缺少数据或者一次性决策的场合。

(3)期望值。期望值通常是指数学期望,即概率加权平均值。所有事件中,先将每一事件发生的概率乘以该事件的影响得出乘积,然后将这些乘积相加。常用的期望值有统计期望值和效用期望值。期望值综合了概率值和最大损失两种方法,如图7-4所示。

 图7-4期望值

(4)波动性。波动性反映数据的离散程度,也就是该变量离其期望值的距离。一般用方差或均方差(标准差)来描述波动性。方差是各个数据与其期望值的离差平方和的平均数;方差的算术平方根称为该变量的标准差,也称均方差。

(5)在险值。在险值是指在正常的市场条件下,在给定的时间段和给定的置信区间内,预期可能发生的最大损失,如图7-5所示。在险值具有通用、直观、灵活的特点,为《巴塞尔协议》所采用。在险值的局限性是适用的M险范围小,对数据姜求严格,计算困难,对肥尾效应无能为力。

 (6)直观方法。直观方法指不依赖于概率统计结果的度量方法,即人们直观判断的方法,如专家意见法。当统计数据不足或需要度量的结果包括人们的偏好时,可以使用直观方法。

在很多情况下,统计和直观的方法可综合使用。例如,首先使用专家意见法来缩小范围,取得初始数据,然后使用统计度量方法。

3选择适当的风险度量模型。

对不同种类的风险要使用不同的度量模型。外部风险的度量模型应包括市场指标、景气指数等。内部运营风险的度量模型则应包括各种质量指标、执行效果、安全指数等。战略风险的度量模型比较困难,一般可以考虑财务表现、市场对标、创新能力系数等。

4风险量化的困难。

要找到一种普遍适用的风险度量模型是很困难的,也没有必要,因为人们有不同的主观目的和偏好。风险量化的客观困难主要源自以下几个方面:

(1)方法误差:企业情况很复杂,致使采用的风险度量不能准确反映企业的实际情况;

(2)数据:很多情况下,企业的有关风险数据不足,质量不好;

(3)信息系统:企业的信息传递不够理想,导致需要的信息未能及时到达;

(4)整合管理:数据不能与现实的管理连接。

(五)确立风险管理有效性标准

风险管理有效性标准是企业衡量风险管理是否有效的标准。风险管理有效性标准的作用是帮助企业了解:

(1)企业现在的风险是否在风险承受度之内,即风险是否优化;

(2)企业风险的变化是否符合要求,即风险的变化是否优化。

由此可知,风险管理有效性标准可以基于企业风险承受度的度量来确定。

确立风险管理有效性标准的原则如下:

(1)风险管理有效性标准要针对企业的重大风险,能够反映企业重大风险管理的现状

(2)风险管理有效性标准应当在企业的风险评估中应用,并根据风险的变化随时调整

(3)风险管理有效性标准应当用于衡量全面风险管理体系的运行效果。

(六)选择风险管理策略工具

风险管理策略工具共有7种:风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制。

1风险承担^

风险承担亦称风险保留、风险自留,是指企业对所面临的风险采取接受的态度,从而承担风险带来的后果。

企业面临的风险有很多,通常企业能够明确辨识的风险只占全部风险的少数。风险评估工作的结果对于企业是否采用风险承担影响很大。

X#未能辨识出的风险,企业只能采用风险承担。对于辨识出的风险,企业也可能由于以下几种原因采用风险承担:

(1)缺乏能力进行主动管理;

(2)没有其他备选方案;

(3)从成本效益考虑,风险承担是最适宜的。

对于企业的重大风险,即影响到企业目标实现的风险,企业不应采用风险承担。

2风险规避。

风险规避是指企业回避、停止或退出蕴含某一风险的商业活动或商业环境,避免成为风险的所有人。例如

(1)退出某一市场以避免激烈竞争;

(2)拒绝与信用不好的交易对手进行交易;

(3)外包某项对工人健康安全风险较高的工作;

(4)停止生产可能有潜在客户安全隐患的产品;

(5)禁止各业务单位在金融市场进行投机;

(6)不准员工访问某些网站或下载某些内容。

3风险转移。

风险转移是指企业通过合同将风险转移到第三方,企业对转移后的风险不再拥有所有权。转移风险不会降低风险可能的严重程度,只是从一方转移到另一方。例如:

(1)保险:保险合同规定保险公司为预定的损失支付补偿,作为交换,在合同开始时,投保人要向保险公司支付保险费。

(2)非保险型的风险转移:将风险可能导致的财务风险损失负担转移给非保险机构。例如服务保证书。

(3)风险证券化:将风险事件作为保险标的,通过构造和在资本市场上发行保险连接型证券,使保险市场上的风险得以分散。这种证券的利息支付和本金偿还取决于某个风险事件是否发生或其严重程度。

4风险转换。

风险转换指企业通过战略调整等手段将企业面临的风险转换成另一个风险。风险转换的手段包括战略调整和使用衍生产品等。

风险转换一般不会直接降低企业总的风险,其简单形式就是在减少某一风险的同时增加另一风险。例如,通过放松交易客户信用标准增加了应收账款,但扩大了销售。企业可以通过风险转换在两个或多个风险之间进行调整,以达到最佳效果。

风险转换可以在低成本或者无成本的情况下达到目的。

5风险对冲。

风险对冲是指采取各种手段,引入多个风险因素或承担多个风险,使得这些风险能够互相冲抵,也就是使这些风险的影响互相抵消。常见的例子有资产组合使用、多种外币结算的使用和战略上的多种经营等。

在金融资产风险管理中,对冲也包括使用衍生产品,如利用期货进行套期保值。在企业面临的风险中,有些具有自然对冲的性质,应当加以利用。例如,不同行业的经济周期风险对冲。

风险对冲不是针对单一风险,而是涉及风险组合。对于单一风险,只能采用风险规避、风险控制等其他工具。

6风险补偿。

风险补偿是指企业对风险可能造成的损失采取适当的措施进行补偿。风险补偿表现为企业主动承担风险,并采取措施以补偿可能的损失。

风险补偿的形式有财务补偿、人力补偿、物资补偿等。财务补偿是损失融资,包括企业自身的风险准备金或应急资本等。例如,某公司以前一直购买灾害保险,后来经过数据分析,认为保险公司历年的赔付不足以平衡相应的保险费用支出,因此不再续保;同时,为了应付可能发生的灾害性事件,公司与银行签订应急资本协议,规定在灾害发生时,由银行提供资本以保证公司的持续经营。

7风险控制。

风险控制是指通过控制风险事件发生的动因、环境、条件等,来达到减轻风险事件发生时的损失或降低风险事件发生概率的目的。

通常影响某一风险的因素有很多。风险控制可以通过控制这些因素中的一个或多个来达到目的。控制风险事件发生概率的例子如室内使用不易燃地毯、山林中禁止吸烟等。控制风险事件发生后的损失的例子如修建水坝防洪、设立质量检查防止次品出厂等。

风险控制对象一般是可控风险,包括多数运营风险,如质量、安全和环境风险,以及法律风险中的合规性风险。

(七)风险管理的资源配置

风险管理的资源包括人才、组织、政策、设备、物资、信息、经验、知识、技术、信息系统、资金等。

由于全面风险管理覆盖面广,资源的使用一般是多方面的、综合性的。企业应当统筹兼顾,将资源优先用于需要管理的重大风险。

企业可以使用内部和外部的资源。许多资源可以从外部获得,如信息、知识、技术等,但有些资源不能从外部得到,如经验,只能靠内部积累。

(八)确定风险管理的优先顺序

企业应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置,进一步确定风险管理的优先顺序。

1风险管理的优先顺序。

风险管理的优先顺序决定企业优先管理哪些风险,对哪些风险管理优先配置资源。

风险管理的优先顺序体现了企业的风险偏好。因此,要找到一种普适性的方法来确定风险管理的优先顺序是很困难的。一个很重要的原则是风险与收益相平衡的原则,在风险评估结果的基础上,全面考虑风险与收益。

要特别重视对企业有影响的重大风险,要首先解决“颠覆性”风险问题,保证企业持续发展。

2确定风险管理的优先顺序须考虑的因素。

根据风险与收益相平衡原则,确定风险管理的优先顺序可以考虑以下几个因素:

(1)风险事件发生的可能性和影响;

(2)风险管理的难度;

(3)风险的价值或风险管理可能带来的收益;

(4)合规的需要;

(5)对企业各种资源的需求;

(6)利益相关者的要求。

(九)风险管理策略检査

企业应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断地修订和完善。其中,应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。

风险管理策略要随着企业经营状况的变化、经营战略的变化、外部环境的变化而调整。

风险管理策略定期检査的频率取决于企业面临的风险;回顾企业经营战略时应该同时总结和分析风险管理策略。

三、风险理财措施

风险管理体系中的一个重要组成部分是风险理财措施。

(一)风险理财概述

1风险理财的一般概念。

风险理财是企业运用金融手段来实施风险管理策略。例如:

(1)企业为了转移自然灾害可能造成的损失而购买巨灾保险;

(2)企业在对外贸易中产生了大量的外币远期支付或应收账款,为了对冲汇率变化可能造成的损失,使用外币套期保值;

(3)企业为了应对原材料价格波动的风险,在金融市场上运用期货进行套期保值;

(4)企业为了应对可能的突发事件造成的资本需求,与银行签订应急资本合同。

以上这些措施都属于风险理财。

2风险理财的必要性。

风险理财是全面风险管理的重要组成部分。

对于可控风险,所有的风险管理策略工具,除了风险规避在特定范围内有效外,其余的均无法保证风险和损失不会发生。因此,即使对于可控风险,如果存在重大损失的可能,只有风险管理策略工具而无风险理财,仍然不能提供合理的安全保证。

风险理财还可以针对不可控的风险。

风险理财发展迅速,形式灵活,覆盖的风险面广,有很多创新,日益成为企业经营中不可或缺的重要内容。

3风险理财的特点。

(1)风险理财既不改变风险事件发生的可能性,也不改变风险事件可能引起的直接损失程度。

(2)风险理财需要判断风险的定价,因此量化的标准较高,即不仅需要判断风险事件的可能性和损失的分布,更需要量化风险本身的价值。

(3)风险理财的应用范围一般不包括声誉等难以衡量价值的风险,也难以消除战略失误造成的损失。

(4)风险理财技术性强,许多风险理财工具本身具有比较复杂的风险特性,使用不当容易造成重大损失。

4风险理财创造价值。

传统的风险理财是损失理财,即为可能发生的损失融资,补偿风险造成的财务损失,如购买保险。传统的风险理财的目的是降低企业承担的风险。

与损失理财相反,企业可能通过使用金融工具来承担额外的风险,改善企业的财务状况,创造价值。例如,一家矿产公司在市场上通过期货的方式出卖产品,增加收入的稳定性,提高回报率。

因此,风险理财对机会的利用是整个经营战略的有机组成部分

(二)选择风险理财策略与方案的原则和要求

1与企业整体风险管理策略一致。

选择风险理财的策略,要与企业整体风险管理策略通盘考虑。应根据企业整体风险管理策略确定的风险偏好和承受度确定风险理财的目标,并量化风险的特性及其价值。要考虑到诸如对企业的资产负债率等方面的影响。

2与企业所面对风险的性质相匹配

企业面对各种类型的风险,这些风险的性质差异很大,适宜使用的风险理财手段不尽相同。要采用与企业所面对风险的性质相匹配的风险理财手段。

3选择风险理财工具的要求。

风险理财工具有多种,如准备金、保险、应急资本、期货、期权、其他衍生产品等,企业在选择这些风险理财工具时,要考虑如下几点:合规的要求、可操作性、法律法规环境、企业的熟悉程度、风险理财工具的风险特征等。不同的风险理财手段可能适用同一风险。

4成本与收益的平衡。

企业进行风险理财时要注意成本与收益的平衡。风险理财的基础是对风险的定价,相对于其他风险管理手段,风险理财的成本与收益比较容易计算,但是要注意纠正忽视风险价值的倾向。

风险理财的方案可以简单,也可以复杂,如图7-6与图7-7所示。

企业选择风险理财方案的复杂程度要考虑风险的性质、企业的资源能力等因素。

 图7-6简单的风险理财方案

 图7-7复杂的风险理财方案

(三)主要的风险理财措施

风险理财措施主要分为两类:损失事件管理与套期保值。其中,企业选择套期保值的风险理财措施,涉及对金融衍生产品的选择,相关内容多见于金融学和公司财务管理类教材,本教材重点阐述损失事件管理。

损失事件管理是指对可能给企业造成重大损失的风险事件进行事前、事后管理的方法。损失的内容包括企业的资金、声誉、技术、品牌、人才等。损失事件管理包括:

1损失融资。

损失融资是为风险事件造成的财物损失融资,是从风险理财的角度进行损失事件的事后管理,是损失事件管理中最具共性也最重要的部分。

企业损失分为预期损失和非预期损失,因此损失事件融资也相应分为预期损失融资和非预期损失融资。

预期损失融资一般作为运营资本的一部分,非预期损失融资则属于风险资本范畴。

2风险资本。

风险资本是除经营资本之外,企业为补偿风险造成的财务损失而需要的资本,是使一家企业破产的概率低于某一给定水平所需的资金,因此取决于企业的风险偏好。

例如,一家公司每年最低运营资本是5亿元,但是有5%的可能性需要75亿元维持运营,有1%的可能性需要10亿元才能维持运营。换句话说,如果风险资本为25亿元,那么这家公司的生存概率就是95%,而5亿元的风险资本对应的则是99%的生存概率。如图7-8所示。

 图7-8风险资本作为风险成本

3应急资本。

应急资本是一个金融合约,规定在某一个时间段内、某个特定事件发生的情况下企业有权从应急资本提供方募集股本或贷款(或资产负债表上的其他实收资本项目),并为此按约定时间向资本提供方缴纳费用。所谓特定事件可称为触发事件。

应急资本费用、利息和额度应在合同签订时约定。

应急资本最简单的形式是企业为满足特定条件下的经营需要而从银行获得的信贷额度,一般通过与银行签订协议加以明确,比如信用证、循环信用工具等。

图7-9显示了某公司应急资本的结构。

 图7-9某公司应急资本的结构

应急资本具有如下特点:

(1)应急资本的提供方并不承担特定事件发生的风险,而只是在事件发生并造成损失后提供用于弥补损失、持续经营的资金。事后企业要向资本提供者归还这部分资金,并支付相应的利息。

(2)应急资本是一个综合运用保险和资本市场技术设计和定价的产品。与保险不同,应急资本不涉及风险的转移,是企业实施风险补偿策略的一种方式。

(3)应急资本是一个在一定条件下的融资选择权,企业可以不使用这个权利。

(4)应急资本可以提供经营持续性的保证。

4保险。

保险是一种金融合约。保险合同规定保险公司为预定的损失支付补偿(也就是为损失进行融资),作为交换,在合同签订时,购买保险合同的一方要向保险公司支付保险费。

保险合同降低了购买保险一方的风险,因为它把投保人损失的风险转移给了保险公司,而保险公司通过损失的分散化来降低自己的风险。例如,保险公司可以通过出售大量涉及多种类型损失的保险合同来降低自己的风险。

保险是风险转移的传统手段,即投保人通过保险把风险可能导致的财务损失负担转移给保险公司。

可保风险是纯粹风险,机会风险不可保。表7-1显示了保险的主要类型和其所适应的企业风险的类型

 表7-1保险的主要类别

保险市场的运行结构如图7-10所示。

 图7-10保险市场的运行结构

运用保险实施风险转移只适合一定的条件。图7-11以一家公司的保险实例说明公司运用保险的条件及其原因。

 图7-11B石油公司保险实务举例

5专业自保。

专业自保公司又称“专属保险公司”,是非保险公司的附属机构,为其母公司(及其子公司)提供保险,并由母公司筹集保险费,建立损失储备金。几乎所有的大型跨国公司都有专业自保公司。■

专业自保的特点包括:由被保险人所有和控制;承保其母公司(及其子公司)的风险,也可以通过租借方式承保其他公司的风险;不在保险市场上开展业务。图7-12显示了纯专业自保公司的结构。

 图7-12纯专业自保公司的结构

与没有设立专业自保公司的母公司相比,建立专业自保公司的母公司会把一笔少于商业保险公司较高收费的保费,转给自己的专业自保公司,也就是把这部分资金留在本公司。因此,母公司设立专业自保公司具有如下主要优点:降低运营成本;改善公司现金流;保障项目更多;相对公平的费率;保障的稳定性;可进行再保险;提高服务水平。

旦是,母公司设立专业自保公司也存在缺点:①±鲁加了资本投入。专门成立一家自保公司,相比向外部商业保险公司投保的方式,增加了公司的资本投入。②提髙了内部管理成本。专业自保公司需与母公司(及其子公司)之间进行险种和费率的多次协商,提高了内部管理成本。③减少其他保险的可得性。受限于专业自保公司的发展水平,企业能投保的险种较少。④损失储备金不足。与外部专业的商业保险公司相比,用于理赔的损失储备金不足。

综上所述,正确运用风险理财措施要明确以下几点:

(1)风险理财是全面风险管理的重要组成部分,在对许多风险的管理上,有着不可替代的地位和作用;

(2)风险理财形式多样,应用灵活,时效性强,具有许多其他手段不可比拟的优点;

(3)风险理财技术性强,需要专门的人才、知识、组织结构、程序和法律环境;

(4)风险理财的不当使用,包括风险管理策略错误和内部控制失灵,可能带来巨大的损失。因此,风险理财本身的风险管理尤为重要。

四、内部控制系统

内部控制系统是指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项重要务及其管理,逋过执行风险管理基本流程,制定并执行的规章制度、程序和措施。

(一)美国COSO关于内部控制的框架

本书第六章第三节对美国COSO于1992年9月提出的《企业内部控制——整合框架》的基本内容进行了阐述,该框架提出了内部控制的三项目#和五大要素,如图7-13所示

 图7-13COSO内部控制整体框架

内部控制的三项目标包括:取得经营的效率和有效性;确保财务报告的可靠性;遵循适用的法律法规。

内部控制的五大要素包括:①控制环境。控制环境包括员工的正直、道德价值观和能力,管理当局的理念和经营风格,管理当局确立权威性和责任、组织和开发员工的方法等。②风险评估。风险评估是指为了实现组织目标而对相关风险进行的辨别与分析。③控制活动。控制活动是指为了确保实现管理当局的目标而采取的政策和程序,包括审批、授权、验证、确认、经营业绩的复核、资产的安全性等。④信息与沟通。信息与沟通是指为了保证员工履行职责而必须识别、获取的信息及其沟通。⑤监控。监控是指对内部控制实施质量的评价,主要包括经营过程中的持续监控,即日常管理和监督、员工履行职责的行动等。

美国COSO于1994年、2003年和2013年,对《企业内部控制■整合框架》进行了增补和修订,形成新版COSO《企业内部控制——整合框架》,简称《内部控制框架》。

(二)我国内部控制规范体系

1《企业内部控制基本规范

本书第六章第三节已述,2008年5月22日,财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》(以下简称《基本规范》)。《基本规范》规定了内部控制的目标、要素、原则和总体要求,是内部控制的总体框架,在内部控制体系中起统领作用。

《基本规范》要求企业建立内部控制体系时应符合以下目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;提高经营效率和效果;促进企业实现发展战略。相较于美国COSO《内部控制框架》的三项目标,《基本规范》增加了资产安全目标,同时要求内部控制体系不仅合理保证财务报告的真实完整,还应合理保证相关非财务信息的真实完整。

《基本规范》借鉴了美茵COSO《内部控制框架》,并结合中国国情,要求企业所建立与实施的内部控制应当包括五个要素:(1)内部环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)内部监督。

2《企业内部控制应用指引》。

《企业内部控制应用指引》(以下简称《应用指引》)是对企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制所提供的指引,在整个内部控制规范体系中占据主体地位。

《应用指引》针对组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统共18项企业主要业务的内控领域,提出了建议性的应用指引,为企业以友外部审核人建立与评价内控体系提供了参照性标准。

3《企业内部控制评价指引》和《企业内部控制审计指引》。

《企业内部控制评价指引》和《企业内部控制审计指引》(以下简称《评价指引》和《审计指引》)是对企业按照内部控制原则和内部控制“五要素”建立健全本企业“事后控制”的指引,是对企业贯彻《基本规范》和《应用指引》的效果进行评价与检验的指引。

《评价指引》为企业对内部控制的有效性进行全面评价、形成评价结论、出具评价报吿提供指引。《评价指引》明确内部控制评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素;企业应当确定评价的具体内容及对内部控制设计与运行情况进行全面评价。同时,该指引对内部控制评价的内容、程序、缺陷的认定、评价报告、工作底稿要求、评估基准日等做出了规定。

《审计指引》为会计师事务所对特定基准日与财务报告相关内部控制设计与执行有效性进行审计提供指引。它明确注册会计师应对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露。同时,为审计计划工作、审计实施、如何评价控制缺陷、审计期后事项、审计报告内容和方法以及审计工作底稿做出了规定。

(三)内部控制的要素

1控制(内部)环境。

(1)美国COSO《内部控制框架》关于控制环境要素的要求与原则。美国COSO《内部控制框架》关于控制环境要素的要求为:控制环境决定了企业的基调,直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架,是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能;管理哲学和经营风格;权责分配方法、人事政策;董事会的经营重点和目标等。

根据2013年修订发布的美国COSO《内部控制框架》,控制环境要素应当坚持以下原则:

①企业对诚信和道德价值观做出承诺。

②董事会独立于管理层,对内部控制的制定及其绩效施以监控。

③管理层在董事会的监控下,建立目标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任。

④企业致力于吸引、发展和留任优秀人才,以配合企业目标达成。

⑤企业根据其目标,使员工各自担负起内部控制的相关责任。

(2)我国《基本规范》关于内部环境要素的要求。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。具体要求如下:

①企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。

②董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。

③企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。

④企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。

⑤企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。

⑥企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容:员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩;关键岗位员工的强制休假制度和定期岗位轮换制度;掌握国家秘密或重要商业秘密的员工离岗的限制性规定;有关人力资源管理的其他政策。

⑦企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。

⑧企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则,认真履行岗位职责。

⑨企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。

2风险评估。

(1)美国COSO《内部控制框架》关于风险评估要素的要求与原则。美国COSO《内部控制框架》关于风险评估要素的要求为:每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接,保持一致。风险评估指识别、分析相关风险以实现既定目标,从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化,需要确立一套机制来识别和应对由这些变化带来的风险。

根据2013年修订发布的美国COSO《内部控制框架》,风险评估要素应当坚持以下原则:

①企业制定足够清晰的目标,以便识别和评估有关目标所涉及的风险。

②企业从整个企业的角度来识别实现目标所涉及的风险,分析风险,并据此决定应如何管理这些风险。

③企业在评估影响目标实现的风险时,考虑潜在的舞弊行为。

④企业识别并评估可能会对内部控制系统产生重大影响的变更。

(2)我国《基本规范》关于风险评估要素的要求。风险评估是指企业及时识别、系统分析经营活动中与实现内部控制目标相的风险,合理确定风险应对策略。具体要求如下:

①企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。

②企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承_受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。

③企业识别内部风险,应当关注下列因素:董事、监事、经理及其他高级管理人员的职业操守,员工专业胜任能力等人力资源因素;组织机构、经营方式、资产管理、业务流程等管理因素;研究开发、技术投入、信息技术运用等自主创新因素;财务状况、经营成果、现金流量等财务因素;营运安全、员工健康、环境保护等安全环保因素;其他有关内部风险因素。

④企业识别外部风险,应当关注下列因素:经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;法律法规、监管要求等法律因素;安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;技术进步、工艺改进等科学技术因素;自然灾害、环境状况等自然环境因素;其他有关外部风险因素。

⑤企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。

⑥企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益确定风险应对策略。企业应当合理分析并准确掌握董事、经理及其他高级管理人员和关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。

⑦企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。

⑧企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。

3控制活动。

(1)美国COSO《内部控制框架》关于控制活动要素的要求与原则。美国COSO《内部控制框架》关于控制活动要素的要求为:控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险,实现经营目标。控制行为体现在整个企业的不同层次和不同部门中,它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

根据2013年修订发布的美国COSO《内部控制框架》,控制活动要素应当坚持以下原则

①企业选择并制定有助于将目标实现风险降低至可接受水平的控制活动。

②企业为用以支持目标实现的技术选择并制定一般控制政策。

③企业通过政策和程序来部署控制活动:政策用来确定所期望的目标;程序则将政策付诸行动。

(2)_我国《基本规范》关于控制活动要素的要求。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。具体要求如下:

①企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。此外,常用的控制方法还有:内部报告控制、复核控制、人员素质控制等。

②不相容职务分离控制。所谓不相容职务,是指那些如果由一个人担任既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。不相容职务一般包括:授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检査等。对于不相容的职务如果不实行相互分离的措施,就容易发生舞弊等行为。不相容职务分离的核心是“内部牵制”,要求企业首先应全面系统地分析、梳理业务流程中所涉及的不相容职务,其次要明确规定各个机构和岗位的职责权限,使不相容岗位和职务之间能够相互监督、相互制约,形成有效的制衡机制。

③授权审批控制。授权审批是指单位在办理各项经济业务时,必须经过规定程序的授权批准。授权审批形式通常有常规授权和特别授权之分。常规授权是指单位在日常经营管理活动中按照既定的职责和程序进行的授权,用以规范经济业务的权力、条件和有关责任者,其时效性一般较长。特别授权是指单位对办理例外的、非常规性交易事件的权力、条件和责任的应急性授权。

授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。

④会计系统控制。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等而进行的控制。其内容主要包括:

a依法设置会计机构,配备会计人员。从事会计工作的人员,必须具备从事会计工作必要的专业能力,会计机构负责人应当具备会计师以上专业技术职务资格或从事会计工作3年以上经历。大中型企业应当设置总会计师或者财务总监,设置总会计师或者财务总监的单位,不得设置与其职权重叠的副职。

b建立会计工作的岗位责任制,对会计人员进行科学合理的分工,使之相互监督和制约。

c按照规定取得和填制原始凭证。

d设计良好的凭证格式。

e对凭证进行连续编号。

f明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。

g明确凭证的装订和保管手续责任。

h合理设置账户,登记会计账簿,进行复式记账。

i按照《会计法》和国家统一的会计准则制度的要求编制、报送、保管财务报告。

⑤财产保护控制。财产保护控制要求企业建立财产日常管理制度和定期清査制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。

财产保护控制主要包括:

a财产记录和实物保管。关键是要妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁。对重要的文件资料,应当留有备份,以便在遭受意外损失或毁坏时重新恢复,这在计算机处理条件下尤为重要。

b定期盘点和账实核对。它是指定期对实物资产进行盘点,并将盘点结果与会计记录进行比较。盘点结果与会计记录如不一致,说明可能在资产管理上出现错误、浪费、损失或其他不正常现象,应当分析原因、査明责任、完善管理制度。

c限制接近。它是指严格限制未经授权的人员对资产的直接接触,只有经过授权批准的人员才能接触该资产。限制接近包括限制对资产本身的接触和通过文件批准方式对资产使用或分配的间接接触。一般情况下,对货币资金、有价证券、存货等变现能力强的资产必须限制无关人员的直接接触。

⑥预算控制。预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。

预算控制的内容涵盖了单位经营活动的全过程,单位通过预算的编制和检查预算的执行情况,可以比较、分析内部各单位未完成预算的原因,弁对未完成预算的不良后果采取改进措施,确保各项预算的严格执行。在实际工作中,预算编制不论采用自上而下还是自下而上的方法,其决策权都应落实在内部管理的最高层,由这一权威层次进行决策、指挥和协调。预算确定后由各预算单位组织实施,并辅之以对等的权、责、利关系,由内部审计部门等负责监督预算的执行。预算控制的主要环节有:

a确定预算的项目、标准和程序;

b编制和审定预算;

c预算指标的下达和责任人的落实;

d预算执行的授权

e预算执行过程的监控;

f预算差异的分析和调整;

g预算业绩的考核和奖惩。

⑦运营分析控制。运营分析控制要求企业建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时査明原因并加以改进。

⑧绩效考评控制。绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评,结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

⑨企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。

⑩企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。

4信息与沟通。

(1)美国COSO《内部控制框架》关于信息与沟通要素的要求与原则。美国COSO《内部控制框架》关于信息与沟通要素的要求为:公允的信息必须被确认、捕获并以一定形式及时传递,以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告,以助于经营和控制企业。信息系统不仅处理内部产生的信息,还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息,认真履行控制职责。员工必须理解自身在整个内控系统中的位置,理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时,与外部诸如客户、供应商、管理当局和股东之间也需要有效的沟通。

根据2013年修订发布的美国COSO《内部控制框架》,信息与沟通要素应当坚持以下原则_

①企业选择、制定并实行持续及/或单独的评估,以判定内部控制各要素是否存在且发挥效用。

②企业及时评估内部控制缺陷,并将有关缺陷及时通报给负责整改措施的相关方,包括高级管理层和董事会(如适当)。企业选择并制定有助于将目标实现风险降低至可接受水平的控制活动。

(2)我国《基本规范》关于信息与沟通要素的要求。信息与沟通是指企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。具体要求如下:

①企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。

②企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。

③企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。

④企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统的开发与维护、访问与变更、数据输人与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。

⑤企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点:未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益;在财务会计报告和信息披露等方面存在虚假记载、误导性陈述或者重大遗漏等;董事、监事、经理及其他高级管理人员滥用职权;相关机构或人员串通舞弊。

⑥企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。

5监控(即内部监督)。

(1)美国COSO《内部控制框架》关于监控要素的要求与原则。美国COSO《内部控制框架》关于监控要素的要求为:内部控制系统需要被监控,即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中,包括企业的日常管理和监控行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报,性质严重的应上报最高管理层和董事会。

(2)我国《基本规范》及配套指引关于内部监督要素的要求。内部监督是指企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,及时加以改进。具体要求如下:

①企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。

②企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。

③企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。

企业围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行评价。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的,从其规定。

内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。

企业可以授权内部审计部门或专门机构(以下简称内部控制评价部门)负责内部控制评价的具体组织实施工作。内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷

a个别访谈法。个别访谈法是指企业根据检查评价需要,对被检查单位员工进行单独访谈,以获取有关信息。通过找有关人员谈话,可以调查了解内部控制制度,还可以针对可疑账项或异常情况等向有关人员提出询问。

b调查问卷法。调查问卷法是指企业设置问卷调查表,分别对不同层次的员工进行问卷调查,根据调査结果对相关项目做出评价。

C专题讨论会法。专题讨论会法是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。

d穿行测试和重新执行法。穿行测试见本章第一节中的相关内容。重新执行是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。

e抽样法。抽样法是指企业针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性做出评价。

f比较分析法。比较分析法是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法

内部控制评价工作组应当根据现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受范围之内,并追究有关部门或相关人员的责任。

④企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。

五、风险管理信息系统

企业的管理信息系统在风险管理中发挥着至关重要的作用。

企业应将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

信息采集方面,企业应采取措施确保向风险管理信息系统输人的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输人信息系统的数据,未经批准,不得更改。

信息存储方面,企业应建立良好的数据架构,解决好数据标准化和存储技术问题。

信息加工、分析和测试方面,风险基础信息经风险管理信息系统加工和提炼,成为可进行分析的风险管理信息。风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试;能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态。

信息传递方面,风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享,既能满足单项业务风险管理的要求,也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。企业应建立贯穿于整个风险管理基本流程,连接各上下级、各部门和业务单位的风险管理信息传递渠道,确保信息沟通的及时、准确、完整。信息沟通及时性是指企业须保证把重要相关信息在应该被传递的时间传递到相关部门和岗位,

准确性是指企业须保证把重要风险管理信息不被修饰或改变地传递到相关部门和岗位,完整性是指企业须保证把应该传递的信息不打任何折扣地传递到相关部门和岗位。

信息报告和披露方面,风险管理信息系统能够对超过风险预警上限的重大风险实施信息报警;能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。

此外,企业应确保风险管理信息系统的稳定运行和安全,并根据实际需要不断进行改进、完善或更新。

B建立或基本建立管理信息系统的企业,应补充、调整、更新已有的管理流程和管理程序,建立完善的风险管理信息系统;尚未建立管理信息系统的企业,应将风险管理与企业各项管理业务流程及管理软件统一规划、统一设计、统一实施、同步运行。

第三节风险管理的技术与方法

风险管理的技术与方法很多,既有定性分析,也有定量分析,这取决于不同风险识别技术和方法的特点。风险定性分析,往柱带有较强的主观性,需要凭借分析者的经验和直觉,或者是以行业标准和惯例为风险各要素的大小或高低程度定性分级。虽然看起来比较容易,但实际上要求分析者具备较高的经验和能力,否则会因操作者经验和直觉的偏差而使分析结果失准。定量分析是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素都被赋值,风险分析和评估过程及结果就得以量化。定量分析比较客观,但对数据的要求较高,同时还须借助数学工具和计算机程序,其操作难度较大。

本节主要介绍头脑风暴法,德尔菲法(DelphiMethod),失效模式、影响和危害度分析法(FailureMode,EffectsandCriticalityAnalysis,FMECA),流程图分析法(FlowChartsAnalysis),马尔科夫分析法(MarkovAnalysis),风险评估系图法,情景分析法,敏感性分析法,事件树分析法(ETA),决策树法,统计推论法。这些技术与方法适用于风险辨识、分析及评价等风险评估各阶段,如表7-2所示(攀表亲非常适用,◦表示适用,空白表示不适用)。

 

一、头脑风暴法

头脑风暴法又称智力激励法、BS法、自由思考法,是指刺激并鼓励一群知识渊博、知悉风险情况的人员畅所欲言,开展集体讨论的方法。头脑风暴法又可分为直接头脑风暴法(通常简称为“头脑风暴法”)和质疑头脑风暴法(也称“反头脑风暴法”)。前者是在专家群体决策方面,尽可能激发他们的创造性,使其产生尽可能多的设想的方法;后者则是对前者提出的设想、方案逐一质疑,分析其现实可行性的方法。将头脑风暴法应用于风险识别,就是由指定的主持人提出与风险有关的问题,然后要求小组成员依次在第一时间给出对问题的看法,之后由风险管理小组对专家集体讨论后识别的所有风险进行复核,并且认定核心风险。

(一)适用范围

适用于在风险识别阶段充分发挥专家意见,对风险进行定性分析。

(二)实施步骤

(1)会前准备:确定参与人、主持人和要讨论识别的风险主题。

(2)风险主题展开探讨:由主持人公布会议主题并介绍与风险主题相关的情况;突破思维惯性,大胆进行联想;主持人控制好时间,力争在有限的时间内获得尽可能多的创意性设想。

(3)风险主题探讨意见分类与整理。

(三)主要优点和局限性

1主要优点。

(1)激发了专家想象力,有助于发现新的风险和全新的解决方案;

(2)主要的利益相关者参与其中,有助于进行全面沟通;

(3)速度较快并易于开展。

2局限性。

(1)参与者可能缺乏必要的技术或知识,无法提出有效的建议;

(2)头脑风暴法的实施过程和参与者提出的意见容易分散,较难保证全面性(例如/一切潜在风险均被识别出来);

(3)集体讨论时可能出现特殊情况,导致某些有重要观点的人保持沉默而其他人成为讨论的主角。

二、德尔菲法

德尔菲法又称专家意见法,是在一组专家中取得可靠共识的程序,其基本特征是专家单独、匿名表达各自的观点,同时随着过程的进展,他们有机会了解其他专家的观点。德尔菲法采用背对背的通信方式征询专家小组成员的意见,专家之间不得互相讨论,不发生横向联系,只能与调査人员发生关系。通过反复填写问卷,收集各方意见,达成专家之间的共识。

(一)适用范围

适用于在风险识别阶段专家取得一致性意见的基础上,对风险进行定性分析。

(二)实施步骤

(1)滴定专家并组成专家小组。专家人数可根据风险预测课题的大小和相关问题涉及面的宽窄而定,一般不超过20人。

(2)向所有专家提出所要预测的问题及有关要求,并附上有关这个问题的所有背景材料,同时请专家提出还需要什么材料,然后由专家做书面答复。

(3)各个专家根据他们所收到的材料,提出自己的预测意见,并说明自己是怎样利用这些材料并提出预测值的。

(4)将各位专家第一次提出的判断意见汇总,列成图表,进行对比,再分发给各位专家,让专家比较自己同他人的不同意见,修改自己的意见和判断,也可以把各位专家的意见加以整理,或请身份更高的其他专家加以评论,然后把这些意见分送给各位专家,请他们参考后修改自己的意见。

(5)将所有专家的修改意见收集起来并汇总,再次分发给各位专家,请他们做第二次修改。逐轮收集意见并为专家反馈信息是德尔菲法的主要环节。收集意见和反馈信息一般要经过三四轮。在向专家进行反馈的时候,只给出各种意见,不说明发表这些意见的专家的姓名。这一过程重复进行,直到每一个专家不再改变自己的意见为止。

(6)对专家的意见进行综合处理。

以上六个步骤并非一定都完成,如果在第4步专家意见就达成一致,则不需要进行第(5)步、第(6)步。

(三)主要优点和局限性

1主要优点。

(1)由于观点是匿名的,因而专家更有可能表达出那些不受欢迎的观点;

(2)所有观点都有相同的权重,避免重要人物的观点占主导地位;

(3)专家不必聚集在某个地方,实施比较方便;

(4)专家最终形成的意见具有广泛的代表性。

2局限性。

(1)权威人士的意见难免影响他人的意见;

(2)有些专家可能碍于情面,不愿意发表与其他人不同的意见;

(3)有的专家可能出于自尊心而不愿意修改自己原来的意见;

(4)过程比较复杂,花费时间较长,这是德尔菲法的主要缺点。

(四)案例

甲公司从事某一高铁工程项目的建设。为避免施工建设过程中遇到的风险导致工程项目质量受损或无法按期竣工交付,甲公司决定采用德尔菲法对项目风险进行识别。

1建立风险识别专家组。

专家组由甲公司内部和外部的专业人士及工程技术人员共18人组成,其中包括铁路建设经验丰富的行业专家、高校教师、从事地质研究与风险论证的专家、参与项目的总工程师和技术人员等。

2编制风险识别调查表。

甲公司委托管理咨询机构,根据高铁工程项目实际规划情况,并参考类似工程项目风险管理实践经验,针对从施工到竣工验收过程中涉及的经济、自然、财务、管理、技术等方面共30个风险因素编制风险识别调査表。

3实施多轮问卷调查。

高铁项目风险识别调查表编制完成后递交给各位专家,每位专家独立评分并提出补充意见。汇总专家的评分结果和意见,统计风险因素平均分并根据评分确定各个风险因素的等级,同时补充相关意见。开展第二轮调查时,将评分差异较大的风险因素和专家意见,采用匿名方式递交各位专家,每位专家重新评分并说明理由。第三轮调查在第二轮的基础上,重复相同步骤。

4形成风险识别结果。

通过上述工作,形成最终的风险识别结果。甲公司依据风险识别结果制定相应的风险管理策略。

三、失效模式、影响和危害度分析法

失效模式、影响和危害度分析法可用来分析、审查系统的潜在故障(或称失效)模式。失效模式、影响和危害度分析法按规则记录系统中所有可能存在的影响因素,分析每种因素对系统的工作及状态的影响,将每种影响因素按其影响的程度及发生概率排序,从而发现系统中潜在的薄弱环节,提出预防改进措施,以消除或减少风险发生的可能性,保证系统的可靠性。失效模式、影响和危害度分析法可根据重要性和危害程度,对系统中每种被识别的失效模式进行排序,并用于协助挑选具有髙可靠性的替代性设计方案;可确保所有的失效模式及其对运行的影响得到分析;可为系统测试及维修工作规划提供依据。失效模式、影响和危害度分析法还可为其他风险识别方法如定性及定量的故障树法的分析提供数据支持。

(一)适用范围

该方法适用于对失效模式、影响及危害进行定性或定量分析,还可以对其他风险识别方法提供数据支持。广泛应用于产品的设计与开发、生产和使用等阶段的风险管理,旨在发现缺陷和薄弱环节,为提高产品或服务质量和可靠性水平提供改进依据。

(二)实施步骤

(1)失效模式分析。将系统分成组件或步骤,确认各部分出现明显故障的方式,即失效模式,分析造成这些失效模式的具体机制以及故障可能产生的影响。

(2)失效影响分析。根据故障后果的严重性,对识别出的各个失效模式进行分类并确定风险等级。风险等级一般可以通过故障后果的严重程度与故障发生概率的组合获得,并予以定性、半定量或定量表达。:

(3)失效危害度分析。识别风险优先级(theriskprioritynumber),这是一种半定量的危害度测量方法,它将故障后果、可能性和发现故障的难度(如果故障很难发现,则认为其优先级较高)进行等级赋值(通常在1~10之间),然后相乘获得危险度。

(4)列出一份失效模式、失效机制及其对系统影响的清单,该清单包含系统失效的可能性、失效模式导致的风险程度等结果,如果结果是定量的,同时故障率的资料可靠,FMECA可以输出定量结果。

(三)主要优点和局限性

1主要优点。

(1)广泛适用子人力、设备和系统以及硬件、软件和程序失效模式的分析;

(2)识别组件失效模式及其原因和对系统的影响,同时用可读性较强的形式表达出来;

(3)能够在设计初期发现问题,因而避免了开支较大的设备改造;

(4)识别单个失效模式以适合系统安全的需要。

局限性。

(1)只能识别单个失效模式,无法同时识别多个失效模式;

(2)除非能够充分控制并集中精力,否则采用此法较耗时且开支较大

(四)案例

某公司主营生i3!——款GPS汽车天线导航设备,利用失效模式;、影响和危害度分析法发现系统中潜在的_弱环节如下。

1失效模式分析。

该系统的功能性能要求是环保、接收信号、确保汽车在行驶过程中能够很好地接收信号及防水等。据此确认失效模式为不防水、不环保、接收不到信号或信号接收弱。原本的要求是在汽车行驶过程中产品要稳定且不会损坏,失效后果就是不能使用,比如无法定位或者无法导航。经分析,失效机制主要有增益过低、PCB电流过高或过低、材料选用错误、结构不合理等几个方面,这些失效原因都有可能成为子系统电气总成、PCB总成、陶瓷天线的失效模式。

2失效影响分析。

失效影响的严重度是根据失效后果来评价的,并且以1~10分的分值来表示:违反法律法规一般为9~10分;主要功能失效为7~8分;次要功能失效为5~6分;功能基本正常但会带来麻烦的情况,如汽车玻璃升降特别慢或汽车车门关不紧等,一般打2~4分。以这款GPS为例,违反法律法规的是不符合环保要求,严重度为9分;主要功能是接收信号,失效影响严重度为7~8分;防水是次要功能,失效影响严重度为6分。发生频率指失效模式发生的概率,一般从设计验证或量产中表现出来,并且也以1~10分的分值来表示:全新产品全新技术失效模式发生的概率高,一般是10分;新设计的变更一般为7~9分;类似设计变更为4~6分;相同设计的模仿为2~3分;通过采取预防手段使失效发生概率较低,一般为1分。GPS天线是市场上的成熟产品,在设计方面基本上是模仿,通过设计规范一般就可以解决失效的问题,因此失效发生频率为1分

3失效危害度分析

测算系统发现故障的难度,越容易识别的其失效分数也就越低。具体如下:在样品验证阶段能找到失效的计为3~5分,在试产阶段能找到失效的计为6~8分,在量产阶段能够找到失效的计为9~10分,通过虚拟关联分析就能找到失效的计为2分,用设计预防手段来控制失效的计为1分。这款GPS天线一般在打样阶段就可找到设计失效或设计预防就能控制失效,所以发现故障的难度是2〜3分。将故障严重度、发生频率和发现故障的难度三项相乘,得到危害度数值,作为排序参考。

4列出FMECA清单,如表7-3所示。

 表7-3某公司GPS汽车天线导航设备FMECA分析

参考危害度和严重度数值,确立风险应对措施实施的优先级。

四、流程图分析法

流程图分析法是对流程的每一阶段、每一环节逐一进行调查分析,从中发现潜在风险,找出导致风险发生的因素,分析风险产生后可能造成的损失以及对整个组织可能造成的不利影响。流程图是指使用一些标准符号代表某些类型的动作,直观地描述一个工作过程的具体步骤。流程图分析法将一项特定的生产或经营活动按步骤或阶段顺序以若干个模块形式组成一个流程图系列,在每个模块中都标示出各种潜在的风险因素或风险事件,从而给决策者一个清晰的总体印象。在企业风险识别过程中,运用流程图绘制企业的经营管理业务流程,可以将与企业各种活动有影响的关键点清晰地表现出来,结合企业中这些关键点的实际情况和相关历史资刺,就能够明确企业的风险状况。

(一)适用范围

适用于对企业生产或经营中的风险及其成因进行定性分析。

(二)实施步骤

(1)根据企业实际绘制业务流程图。

(2)识别流程图上各业务节点的风险因素,并予以重点关注。

(3)针对风险及其产生的原因,提出监控和预防的方法。

(三)主要优点和局限性

1主要优点。

流程图分析法是识别风险最常用的方法之一。它清晰明了,易于操作,且组织规模越大,流程越复杂,流程图分析法就越能体现出优越性。

2局限性

该方法的使用效果依赖于专业人员的水平。

(四)案例

财务费用报销流程中的各环节及其风险审核点,如表7-4所示。

 表7-4财务费用报销流程风险分析

五、马尔科夫分析法

马尔科夫分析方法主要围绕“状态”这个概念展开。如果系统未来的状态仅取决于其现在的状况,那么就可以使用马尔科夫分析法。这种方法通常用于对那些存在多种状态(包括各种降级使用状态)的可维修复杂系统进行分析。马尔科夫分析法是一项定量技术,它分析的各种状态可以是不连续的(利用状态间变化的概率),也可以是连续的(利用各状态的变化率)。随机转移概率矩阵可用来描述状态间的转移,以计算各种输出结果,即各种状态下的概率。马尔科夫分析虽然可以手动进行,但是该技术的性质使其更适合于计算机程序。

(一)适用范围

适用于对复杂系统中的不确定性事件及其状态改变进行定量分析。

(二)实施步骤

(1)调查不确定性事件的各种状态及其变化情况。

(2)建立数学模型。

(3)求解模型,得到风险事件各个状态发生的可能性。

(三)主要优点和局限性

1主要优点。

能够计算出具有维修能力和多重降级状态的系统的概率。

2局限性。

(1)无论是故障还是维修,都假设状态变化的概率是固定的;

(2)所有事项在统计上都具有独立性,因此未来的状态独立于一切过去的状态,除非两个状态紧密相接;

(3)需要了解状态变化的各种概率;

(4)有关矩阵运算的知识比较复杂,非专业人士很难看懂。

(四)案例

为了说明马尔科夫分析方法,不妨分析一种仅存在三种状态的复杂系统。功能、降级和故障将分别界定为状态S1、状态S2以及状态S30系统每天都存在于这三种状态中的某一种状态。表7-5的马尔科夫矩阵说明了系统明天处于状态Si的概率(i可以是1、2或3)。

 表7-5马尔科夫矩阵

上述概率矩阵称为马尔科夫矩阵,或是转移矩阵。注意,每栏数值之和是1,因为它们是每种情况一切可能结果的总和。这个系统可以用图7-14所示的马尔科夫图来表示。其中,圆圈表示状态,箭头表示相应概率的转移。

 图7-14系统马尔科夫图

Pi表示系统处于状态i(i可以是1、2或3)的概率,那么需要解决的联立方程包括:

 这三个方程并非独立的,无法解出三个未知数。因此,下列方程必须使用,而上述方程中有一个方程可以弃用。

 解联立方程组,得到状态1、2及3的概率分别是。_85、。13和。。2,即该系统只在85%的时间里能充分发挥功效,在13%的时间内处于降级状态,而在2%的时间里存在故障。现实中的系统状态比上述例子复杂得多,须联立求解的方程也更为复杂,故需要借助计算机程序来完成。

六、风险评估系图法

评估风险影响常见的卑性方法之一是制作风险评估系图,又称风险矩阵、风险坐标图。通过风险评估系图可以识别某一风险是否会对企业产生重大影响,并将此结论与风险发生的可能性联系起来,为确定企业风险的优先次序提供框架。设定风险等级的方法应与组织的风险偏好相一致。

(一)适用范围

适用于对风险进行初步的定性分析。

(二)实施步骤

风险评估系图如图7-15所示。

(1)根据企业实际情况绘制风险评估系图,如图7-15所示。

(2)分析每种风险的重大程度及影响。与影响较小且发生可能性较低的风险(在图中的点2)相比,具有重大影响且发生可能性较高的风险(在图7-15中的点1)更加亟待关注。

 图7-15风险评估系图

(三)主要优点和局限性

1主要优点。

作为一种简单的定性方法,为企业确定各项风险重要性等级提供了可视化的工具,直观明了。

2局限性。

(1)需要对风险重要性等级标准、风险发生可能性、后果严重程度等做出主观判断,可能影响使用的准确性;

(2)所确定的风险重要性等级是通过相互比较确定的,因而无法将列示的个别风险重要性等级通过数学运算得到总体风险的重要性等级;

(3)如需要进一步探求风险原因,则采用该方法过于简单,缺乏经验证明和数据支持

(四)案例

一家公司对9项风险发生可能性的高低和风险对目标影响程度进行评估,风险①发生的可能性为“低”,风险发生后对目标的影响程度为“极低”……风险⑨发生的可能性为“极低”,对目标的影响程度为“高”,在此基础上,绘制风险评估系图如图7-16(a)所示。

 图7-16(a)某公司风险评估系图

绘制风险评估系图的目的在于对多项风险进行直观的比较,从而确定各风险管理的优先顺序和策略。该公司将图7-16(a)划分为A、B、C三个区域[如图7-16(b)所示],公司决定承担A区域中的各项风险且不再增加控制措施;严格控制B区域中的各项风险且专门补充制定各项控制措施;确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。

 图7-16(b)某公司风险评估系图

七、情景分析法

情景分析法可用来预计威胁和机遇可能发生的方式。在周期较短及数据充分的情况下,可以从现有情景中推断出未来可能出现的情景。对于周期较长或数据不充分的情况,情景分析法的有效性更依赖于合乎情理的想象力。在识别和分析那些反映诸如最佳情景、最差情景及期望情景的多种情景时,可用来识别在特定环境下可能发生的事件及其后果,以及每种情景出现的可能性。如果积极后果和消极后果的分布存在比较大的差异,则情景分析法就能发挥很大作用。

运用情景分析法需要分析的变化可能包括:外部情况的变化(例如技术变化);不久将要做出的各种决定,而这些决定可能会产生各种不同的后果;利益相关者的需求以及这些需求可能变化的方式;宏观环境的变化(如监管及人口统计等)。有些变化是必然的,有些变化是不确定的。有时,某种变化可能归因于另“个风险带来的结果。例如,气候变化的风险造成与食物链有关的消费需求发生变化,而后者会引起生产结构的改变。局部和宏观因素或其变动趋势可以按重要性和不确定性进行列举并排序。应特别关注那些最重要、最不确定的因素或趋势。可以绘制出关键因素或趋势的图形,以显示那些情景可能产生和存在的区域。

(一)适用范围

适用于对企业面临的风险进行定性和定量分析。

(二)实施步骤

(1)建立团队和相关沟通渠道,确定需要处理的问题和事件的背景。

(2)确定可能出现的变化的性质。

(3)对主要因素、趋势变化的可能性进行研究、预测。

(三)主要优点和局限性

1主要优点。

对于未来变化不大的情况能够给出比较精确的模拟结果。

2局限性。

(1)在存在较大不确定性的情况下,模拟有些情景可能不够现实;

(2)对数据的有效性以及分析师和决策者开发现实情境的能力有很高的要求;

(3)将情景分析法作为一种决策工具,所用情景可能缺乏充分的基础,数据可能具有随机性。

(四)案例

一家企业在评估一项投资项目的风险时所进行的情景分析,如表7-6所示。

 表7-6某投资项目未来情景分析

八、敏感性分析法

敏感性分析法是针对潜在的风险,研究项目的各种不确定因素变化至一定幅度时,计算其主要经济指标的变化率及敏感程度的一种方法。敏感性分析是在确定性分析的基础上,进一步分析不确定性因素对项目最终效果指标的影响及影响程度。敏感性分析一般可选择诸如销售收入、经营成本、生产能力、初始投资、寿命期、建设期、达产期等主要参数进行。若某参数的小幅度变化能导致效果指标的较大变化,则称此参数为敏感性因素,反之则称其为非敏感性因素。该分析从改变可能影响分析结果的不同因素的数值人手,估计结果对这些变量变动的敏感程度。

敏感性分析可以找出影响最大、最敏感的变量因素,进一步分析、预测或估算其影响程度,找出产生不确定性的根源,采取相应有效措施;通过计算主要变量因素的变化引起项目最终效果指标变动的范围,使决策者全面了解项目方案可能出现的效益变动情况,以减少和避免不利因素的影响;通过对可能出现的最有利与最不利的效益变动范围的分析,为决策者预测可能出现的风险程度,并对原方案采取某些控制措施或寻找可替代方案、最后确定可行方案提供可靠的决策依据。敏感性分析最常用的显示方式是龙卷风图。龙卷风图有助于比较具有较高不确定性的变量与相对稳定的变量之间的相对重要程度。它因其显示形式像龙卷风而得名。

(一)适用范围

适用于对项目不确定性对结臬产生的影响进行定量分挤。

(二)实施步骤

(1)选定不确定因素,并设定这些因素的变动范围。

(2)确定分析指标。

(3)进行敏感性分析。

(4)绘制龙卷风图。

(5)确定变化的临界点。

(三)主要优点和局限性

1主要优点。

(1)为决策提供有价值的参考信息;

(2)清晰地为风险分析指明方向;

(3)帮助企业制定紧急预案。

2局限性。

(1)所需要的数据经常缺乏,充法提供岢靠的参数变化;

(2)分析时借助公式计算,没有考虑各种不确定因素在未来发生变动的概率,因此其分析结果可能和实际相反。

(四)案例

某企业打算在A市兴建一座大桥,但这个项目的不确定性因素很多,如项目总投资、银行贷款利率;过桥费收入。这些因素变化的可能性较大,例如,工程设计变更、不可抗力、材料价格上涨都会导致项目的投资増加;,银行贷款利率会在一定范围内变化,在较大程度上影响项目贷款金额;能否取得体桌贷款对资金成本影响很大,进而对工程经济指标产生影响;根据A市物价局的规定,本大桥开始收费后每三年需要重新报批收费标准,并且过桥车辆数量也会发生增减变化,这些都会导致过桥费收入的变化。这项新建项目的总投资、银行贷款利率、过桥费收入都不是投资方所能控制的,因此敏感性分析将这三个因素作为分析对象,分析每一个因素的变化对本大桥内部收益率的影响。

九、事件树分析法

——事件树分析法(EventTreeAnalysis,ETA)是一种表示初始事件发生之后互斥性后果的图解技术。它按事件发展的时间顺序由初始事件开始推论可能的后果,从而进行危险源的辨识。这种方法将系统可能发生的某种事件与导致事件发生的各种原因之间的逻辑关系用一种称为事件树的树形图表示,通过对事件树的定性与定量分析,找出事件发生的主要厚因,为确定安全对策提供可靠依据。

(一)适用范围

适用于具有多种环节的故障发生以后,对各种可能后果进行定性和定量分析。

(二)实施步骤

(1)挑选初始事件。初始事件可能是粉尘爆炸或停电这样的事项。

(2)顺序列出那些旨在缓解事件结果的现有功能或系统,用一条线来表示每个功能或系统成功(用“是”表示)或失败(用“否”表示)。

(3)在每条线上标注一定的失效概率,同时通过专家判断来估算这种条件概率。这样,初始事件的不同途径就得以建模。

,初始事件的不同途径就得以建模。注意,事件树的可能性是一种有条件的可能性,例如,启动洒水功能的可能性并不是正常状况下的可能性,而是爆炸引起火灾状况下的可能性。事件树的各条路径代表了该路径内各种事项发生的可能性。由于各种事项都是独立的,因而结果的概率用单个条件概率与初始事件发生频率的乘积来表示。

(三)主要优点和局限性

1主要优点。

(1)ETA以清晰的图形显示了经过分析的初始事件之后的潜在情景,以及缓解系统或功能成败产生的影响;

(2)它能说明时机、依赖性以及很烦琐的多米诺效应

(3)它生动地体现事件的顺序。

2局限性。

(1)为了将ETA作为综合评估的组成部分,一切潜在的初始事件都要进行识别,这——可能需要使用其他分析方法(如危害及可操作研究法),但总有可能错过一些重要的初始事件。

(2)事件树只分析了某个系统的成功及故障状况,很难将延迟成功或恢复事项纳入其中。

(3)任何路径都取决于路径上以前分支点处发生的事项。因此,要分1析各可能路径上的众多从属因素。然而,人们可能会忽视某些从属因素,如常见组件、应用系统以及操作员等。如果不认真处理这些从属因素,就会导致风险评估过于乐观。

(四)案例

如图7-17所示,分析初始事件为爆炸事件之后,在发生火灾、洒水系统工作、火警出动等不确定性事件下产生各种后果的频率。爆炸发生以后(频率为10^-2,即100年发生一次),发生火灾的概率为0.8,不发生火灾的概率为0.2;发生火灾后,洒水系统工作的概率为0.99,不工作的概率为0.01;在洒水系统工作的条件下,火警激活的概率为0.999,不激活的概率为0.001。因此,爆炸发生以后发生火灾、洒水系统工作、火警激活产生有报警的可控火灾这一结果,其发生频率为10^2x0.8x0.99x0.999=7.9x10^-3。

图7-17显示当分支壳全独立时对简单事件树的计算。ETA具有散开的树形结构,可用于初始事件发生后建模、计算和排列(从风险观点)不同事故情景。ETA的定性分析有利于群体对初始事件发生之后可能出现的情景及依次发生的事项进行研讨,就各种处理方法、障碍或旨在缓解不良结果的控制手段对结果的影响方式提出各种看法,集思广益,定量分析更有利于分析控制措施的可接受性,主要用于拥有多项安全措施的失效模式。

 


图7-17火灾事件树分析

十、决策树法

决策树法(DecisionTree)是在不确定的情况下,以序列方式表示决策选择和结果的一种方法。类似于事件树法,决策树法始于初始事项或最初决策,之后对可能发生的事件及可能做出的决策的各种路径和结果进行建模。决策树法用于项目风险管理,有助于在不确定的情况下选择最佳的行动步骤。

决策树法始于最初决策。假定需要对项目A和项目B做出投资决策,随着对假定项目投资条件和效果分析的展开,预计不同的事项会发生,需要做出不同的预见性决定,并用树形格式表示。事项发生的可能性能够与路径最终结果的成本或用途一起估算。有关最佳决策路径的信息是富有逻辑性的。考虑各条路径上的条件概率和结果值可以产生最高的期望值。决策树显示采取不同选择的风险逻辑分析,同时给出每一个可能路径的预期值计算结果

(一)适用范围

适用于对不确定性投资方案期望收益的定量分析。

(二)实施步骤

如图7-18所示,决策树中的方块代表决策节点,从它引出的分枝叫方案分枝。每条分枝代表一个方案,分枝数就是可能的方案数。圆圈代表方案的节点,从它引出的是概率分枝,每条概率分枝上标明了状态及其发生的概率。概率分枝数反映了该方案面对的可能状态数。根据右端的损益值和概率分枝的概率,计算出期望值的大小,确定方案的期望结果,然后根据不同方案的期望结果做出选择。计算完毕后,开始对决策进行剪枝,在每个决策结点删除了最高期望值以外的其他所有分枝,最后步步推进到第一个决策结点,这时就找到了处理问题的最佳方案。方案的舍弃称作修枝,被舍弃的方案用“#”的记号表示。最后的决策点留下一条树枝,此为最优方案。

(三)主要优点和局限性

1主要优点。

(1)对于决策问题的细节提供了一种清楚的图解说明;

(2)能够计算到达一种情形的最优路径。

2局限性。

(1)大的决策树可能过于复杂,不容易与其他人交流;

(2)为了能够用树形图表示,可能有过于简化环境的倾向。

(四)案例

如图7-18所示,A1、A2两方案投资分别为450万元和240万元,经营年限为5年,销路好的概率为0.8,销路差的概率为0.2。A1方案销路好、销路差年的损益值分别为300万元和-60万元;A2方案分别为120万元和30万元。据此绘制决策树如图7-19所示。

A1的净收益值=[300x0.8+(-60)x0.2]x5-450=690(万元)

A2的净收益值=(120x0.8+30x0.2)x5-240=210(万元)

选择:因为A1大于A2,所以选择A1方案。

剪枝:在A2方案枝上打杠,表明舍弃。

十一、统计推论法

统计推论是进行项目风险评估和分析的一种十分有效的方法,是根据过去和现在的发展趋势推断未来的一类方法的总称,它可分为前推、后推和旁推三种类型。

前推是应用最为广泛的类型,是指根据历史的经验和数据,向前推断出未来事件发生的概率及其后果,在时间序列上表现为由后向前推算。如果历史数据具有明显的周期性,就可据此直接对风险做出周期性的评估和分析,如公司根据销售数据推断未来的销售风险等;如果从历史记录中看不出明显的周期性,就可用一曲线或分布函数来拟合这些数据再进行统计推论。函数有线性函数、指数函数、幂函数、双曲线函数、抛物线函数、生长曲线、包络曲线等,此外还得注意历史数据的不完整性和主观性。

后推法是在手头没有历史数据时所采用的一种方法,是把未知的想象的事件及后果与已知事件与后果联系起来,把未来风险事件归结到有数据可查的造成这一风险事件的初始事件上,从而对风险做出评估和分析,在时间序列上表现为由前向后推算。由于很多项目的一次性和不可重复性,对这些项目的风险评估和分析时常用后推法。

旁推法就是利用类似项目的数据进行统计推论,利用某一项目的历史记录对新的类似项目可能遇到的风险进行评估和分析,如依据其他国家产业的发展趋势,推测公司所处行业未来的市场风险等,当然这需要充分考虑新环境的各种变化。这三种方法在项目风险评估和分析中都得到了广泛采用。

(一)适用范围

适合于各种风险分析预测。

(二)实施步骤

(1)收集并整理与风险相关的历史数据。

(2)选择合造的评估指标并给出数学模型。

(3)根据数学模型和历史数据预测未来风险发生的可能性和损失大小。

(三)主要优点和局限性

1主要优点。

(1)在数据充足可靠的情况下简单易行;

(2)应用领域广泛。

2局限性。

(1)由于历史事件的前提和环境已发生了变化,不一定适用于今天或未来;

(2)没有考虑事件的因果关系,使外推结果可能产生较大偏差。为了修正这些偏差,有时必须在历史数据的处理中加入专家或集体的经验修正。

(四)案例

某企业运用统计推论法预测A地区汽车市场各种车型的销量。第一步,选取构建模型所需的指标。根据历史经验和数据,选择A地区人均国民生产总值、运营公交车数量、道路总长、人均可支配收入、汽油年均价等五项指标,衡量A地区汽车市场的外部环境条件。第二步,搜集历史数据,并构建预测模型。将历年各车型的销量,与所选择的五项外部环境条件指标进行拟合回归,构建线性函数,得出A地区各车型销量与外部环境条件指标的拟合关系,预测未来几年外部环境指标大小。第三步,代入线性函数,即可根据模型预测未来几年A地区各种车型的销量。

 

End

posted @ 2024-02-07 20:40  BIT祝威  阅读(70)  评论(0编辑  收藏  举报
canvas start.

canvas end.