◆ 玄仲平

     编者按:加强风险管理，是企业经营发展中的一个重要工具，尤其面对目前整体经济下行的状况十分重要。风险管理的3道防线，第一道防线是经营部门，第二道防线是风险管理部门，第三道防线是审计部门，把好3道防线关，对于企业健康发展起着非常重要的效果。这其实意味着，风险管理就是全员行动、全面行动，需要企业全体人员形成风险管理意识，养成用风险管理的思路应对企业经营决策、管理中的问题，协调好风险与机遇之间的关系与转换，减少负面风险的损失，抓住风险带来的效益机遇，达到“风险管理，创造价值”的效果。
     为此，甘肃建投最近邀请了卜范涛、赵阿兴、曲保智等国内著名的企业风险管理专家，对集团总公司及旗下公司的负责人、部门负责人进行了专题培训。学员们普遍反映，通过培训受益匪浅，在工作中有醍醐灌顶之感。现本报计划组织一批企业风险管理的稿件，将广大职工企业风险管理的心得体会与大家共享，同时力求在企业内部掀起学习掌握风险管理知识、运用风险管理思路的好方法决策企业发展、经营管理好企业的新热潮，使甘肃建投整体在全省、全国和国际大市场上稳步、健康地发展。
        
     墨西哥金融危机、亚洲金融风暴、由美国次贷危机引起的全球金融危机、欧洲金融危机等，从上世界90年代起，一起又一起的风险危机与事件层见叠出，将“风险”二字推到了风口浪尖上，也将风险管理推到了企业决策、管理、发展的金字塔尖上。
     那么风险是什么？ISO-31000将风险定义为，“风险是不确定性对目标的影响”。ISO /IEC Risk-Guide73uqf将风险管理定义为，是指导和控制组织、企业风险的各类协调活动。
     事实上，风险是无处不在，无时不在的。只要存在于社会，风险就会以各种不同的方式出现。正如易经中的阴阳卦象一样，“风险与机遇”并存，代表着阴阳两象相互抵触、相互依存、相互融合的环境。“实现企业零风险”是一个不存在的概念，只要企业存在和发展，就会面临着风险与机遇共存的状态，只有企业消失了，才能“实现企业零风险”。
     因此，企业全面风险管理的宗旨就是“管理风险，创造价值”。
企业风险管理概念、原则与框架
     风险具有主观性与客观性，往往不是孤立的而是关联的，具有不确定性，风险的发生往往具有条件性，其结果不仅仅具有负面性而且有可能具有正面性，风险一般具有三大要素：风险因素、风险事件与风险损益。
     广义风险概念一般指公共、企业和个体（个人和家庭）等广义范畴，包括自然、社会、经济、政治、财产、人身、责任、技术风险等方面。而关于企业风险框架较多，2000年以后在全球通用的企业风险一般主要包括战略风险、操作风险、财务风险、环境风险、过程风险、信息风险、信用风险、市场风险、运营风险、法律风险、声誉风险等方面。
     基于风险与机遇共存的状况，如何使社会和企业能发现风险、避免风险、减少风险造成的损失、从风险中取得获益，自1995年澳大利亚/新西兰联合发布AS/NZS4360之后，全球某些国家和地区陆续颁布了有关全面风险管理的标准与指引，其中以澳新、英国、美国、中国的地方版的影响力和特点最为突出，最近频布的国际版的1SO以三个标准系列将风险管理推到了一个史无前例的高度。
     澳/新AS/NZS4360（1995，1999，2004）清新地阐明了风险/收益，风险/机会的关系；
     英国AIRMIC/ALARM/IRM（2002）标准，描述了风险管理过程，给出了较为特征的风险驱动因素分析框架，包括战略、操作、财务和危害性四大版块的风险驱动源泉在内部环境和外部环境的信用下可能产生的风险事项分类；
美国COSO-ERM（2004）《企业风险管理-整合框架》，从四类目标、八大要素和四层企业内部的不同层次的单元构成了三维视觉的企业全面风险管理的模型。四大目标为战略、经营、报告、合规目标，八大要素包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息沟通和监控，四大层次包括主体层次、分布、业务单位、子公司。
     中国《中央企业全面风险管理指引》（2006年国资委颁布），奠定了中国就实施企业全面风险管理方面在全球的突出地位，是全球为数不多出台ERM（企业风险管理）《指引》的国家。
     ISO-31000（2009年）系列版本，包括“风险管理原则和实施指引”、“风险管理词汇”和“风险管理-风险评估技术”。ISO-31000是风险管理谋略的历史上第一个大框架，积累了几千年来人类的“血和泪”换来的风险管理智慧，将对全球企业产生的重大影响。
     风险管理的三大终极目标： 财务目标 (损最小化,盈利最大化)； 社会责任目标 (安全、质量、环境、节能、劳工权益)； 声誉目标 (品牌存在持续性)。风险管理的任务目标：弱势最小化管理；不确定性管理；绩效最优化管理。
     管理企业重要风险的原则，主要是战略风险管理、操作风险管理、财务风险管理、市场风险管理、法律风险管理与合规风险管理。在风险管理中，首先最重要的是战略风险。企业的经营中，财务、经营、品牌等各个方面均有可能出现不准确的决定和损失，但确定战略平台不能出现错误。基调的战略风险是一种投机性风险，寓意既充满风险也同时面临机遇。严重的负责战略风险发生将会影响企业全局发展或者导致企业快速死亡；相反，如果企业制定的和执行了正确和富有远见的战略，企业具有极强的应对能力，企业就会控制和利用战略风险方面游刃有余，并能适度地平衡风险与机遇，从而抓住发展的战略先机。

企业全面风险的基本对策

     面对风险，很多企业对风险管理和风险应对有多种对策，例如对冲、隔离、转移、转换、转包、分散和多元化等手段，归纳起来基本表现为避免、保留、改善、转移和分担、移开风险源、风险应对等几种对策，选择多种策略的组合拳，最终产生最佳策略组合。
     1.避免原则。根据风险评估所显示的结果，企业首先一步就是就排除或接受某种风险而做出第一步的选择。与企业战略方向关联不大的新机遇，与企业新战略不吻合的旧业务，或风险／回报率不佳的项目，或企业现有条件还没有能力控制该方面的风险，企业应尽力排除和规避这些风险。企业常常选用退出、出售、停止、禁止、限制、放弃、不接受或消除等具体战略选择措施而实施“避免某些风险的原则”。
     2.保留原则。 企业要经营就要冒风险，携带有相当数量的为实现企业战略而不可摆脱的固有风险，而具有策略风险管理的企业往往根据风险评估的结果有意的把风险发生频率小和损失又小的风险承受下来，并往往计为损失而反映在企业的经营成本中。企业还往往把尚不能找到其他合理办法管理的风险也承担下来，或者有进即便能找到其他方法管理风险的成本可能高过风险保留成本，因而企业也把这些风险承担下来。曾经有组织作过评估并宣布，从目前企业对风险管理所达到的技术水平而言，即便是在一个有效实施风险管理的组织大约也会保留其所有风险数量的70％。对于这些保留下来的风险，企业必须对其可能造成的损失有所准备，要通过监视、加强监测和采取预警、自保方式解决、控制或进行严格控制以及应急措施的准备等方面做好匹配性准备。
     3.转移原则。根据风险评估的结果，企业一般会考虑将发生概率不大，但损失程度巨大的风险转移出去，以便以小的成本换得大的风险保障。一般企业做出风险转移的决策往往是在与其他风险管理的工具进行成本、风险、收益的基础上做出的。企业实施风险转移可以通过保险转移、合约风险转移或保险衍生品转移等。企业可以完全转移某种风险，也可以部分转移风险或将风险转移的方式与其他风险管理的工具联合使用。企业如果采用部分转移风险的方式，则必须能够识别转移后所剩余的风险，并且对剩余的风险管理做出合理安排。
     4.改善风险特征原则。“减小不利风险，加大有利风险”，这往往需要改变风险的特征，如改变风险的发生频率(可能性)和影响程度(后果)，或改变两者其一。企业往往对于希望承担的风险通过改善或分担等措施实施广泛适宜的管理，对不希望承担的风险通过规避，转移，控制措施而减小这些风险。
     企业对于保留下来的希望承担的、有利可图的投机性风险往往也要实施改善处理，这种改善处理的原则是：尽量增大获利的程度和频率。近些年来企业在这方面的努力主要有几种模式。一是企业常使用风险调整资本收益率等方法来实施对投机性风险的评价和改善；二是对于企业已经有风险管理能力进行管理的投机性风险加大对风险的承担程度，以增加盈利程度。与此同时甚至企业可以考虑重新设计更具挑战性的经营模式和实施重组等；三是在进入新市场、并购联合和引进项目等方面，由于在这些过程中增加了风险管理技术的支持进而改善企业在这些项目的设计和选择方面的获胜能力。
     5.分担原则。如果企业从运营能力上或从承担风险的程度上等认为不宜独立承担某一新机遇，则可以考虑与合作伙伴分享——共担机会。这种机会共担的结果一般是：共享机会，共担成本，共担风险。企业实施共担机会的做法一般是通过合约的方式实现的，在合约中规范双方的业务范畴和利益分配原则，以及规范双方的责任义务和风险成本义务。企业如何在共享机会、共担成本和共担机会中获得有利地位，取决于在共担机会中的甲乙方的地位，取决于合作协议中所陈述的利益、成本和风险的权衡比例的适宜程度。
     6.消除或转移风险源。企亚绕开对拟治理风险的直接治理措施，从消除或移走产生风险的源头角度而选择应对某一(或某组合)风险的较佳解决方案。
     7.风险应对的原则。企业面临毫无认知的、无法抗拒的或毫无准备的突发风险事件只能选择应对，考虑到这种情况企业应事先制定一种意外计划也会对减轻在这种情形下的损失有所帮助。另外，企业预先制定的其他各类危机管理计划都是为紧急状态下的理性应对危机和努力减小损失而准备的。除了制定各类危机管理计划之外，企业为可预测到的风险事先安排一些财务补偿策略(例如风险转移或风险对冲等)也是常见的活动。

企业风险管理的措施、技术、工具和手段

     企业风险治理方案一般包括风险治理的策略与相应落实措施或手段(或某些情形下又称作技术或工具)，其关系是企业风险治理策略的落实必须靠使用风险管理的技术或手段来完成。风险管理使用的手段主要设置是“企业内部控制”、“保险与风险管理”、“衍生工具与风险管理”、“合同方式的风险管理技术”等四类措施、技术、工具和手段。
     1.风险控制技术。企业对风险实施控制就是我们常谈到的企业内部控制。通过风险控制以减小不利和促进有利。改善型风险控制具有两种使命：一是传统意义上的通过风险控制以减低不利风险和损失，二是改善对企业盈利能力的控制和对机会的把控，实质上利用风险。企业实施风险改善的目的就是实现风险特征的实际改变，以保障企业风险控制目标实现和进而保障企业风险管理目标实现，并最终服务和推动企业战略目标的实现。尤其是对企业无可回避的关键性重大风险，必须设计严格的控制流程和制定严格的控制制度实施控制，并密切实施监控。企业对于为保留机遇和图发展而必须保留的固有风险常常不得不采用控制的方法将风险控制在可接受的范围之内。显然，在企业常用的四类风险治理措施和手段中，内部控制是企业最常规的和最基本的治理风险手段。
     2.保险转移。保险是实施风险转移的一种常见工具或是一种分摊损失的方法，是风险发生时的经济补偿手段，保险不是传统的实物产品而是一种合同契约，因而保险产品的出售往往与承担法律责任关联密切。保险是一种经济行为，保险活动既是一种商业活动也是一种金融活动。在保险活动中，需求方是投保人，他们从保险市场上得到购买合约中所陈述的风险“保障”；供给方是保险人，他们根据大数法则，将大量面临同样风险的个人、企业或其他组织汇集到一起，按照等价原则和损失分摊原则向投保人收取保费，建立保险基金，当被保险人遭受损失后根据保险条款向其提供经济补偿。因此当一个企业购买了一张保单时，被该保单条款涵盖的与某事项相关的部分或全部风险就被有效地从该企业转移到保险公司了。
     3.金融衍生品。金融衍生工具在企业风险管理中的使用往往被解释为“起到风险对冲工具的作用”。衍生工具也称为衍生产品，是一种双边合约或付款互换协议，其价值从相关资产或相关参考比率或指数中衍生而来。一般金融衍生工具具有的功能包括：转化功通巳定价功能、规避风险功能、盈利功能、资源配置功能。
     4.合同方式的风险管理。合同手段较为灵活的风险管理手段，并且适用性也较为广泛，制定一种能为企业带来低风险和高回报的合约是企业经营管理能力及风险管理智慧水平的象征。
     5.风险自留的财务应对措施。风险自留是指企业自己承担风险损失，主动和有计划的风险自留通常是企业处理残余风险的技术措施，被动的和无计划的风险自留是由于企业无意识、无防备或低估了风险而不得不在风险事件发生之后风险自留。主要有几种主动和周密的风险自留技术：1．将损失摊入经营成本，这些风险通常被企业视为摆脱不掉或不可避免的风险。2．建立意外损失基金，又称自保基金或应急基金，是企业预先提取以补偿风险事件所致损失的一种基金，可以节约附加保费、获取投资收益、降低道德风险和理赔迅速，其缺点是可能发生财务周转困难或应急基金严重不足。 3．为损失建立信用额度，是企业在损失发生前安排好企业可以得到的贷款条件，缓解企业突然发生的现金流压力。 4．筹集外部资金，理论上用传统的企业融资工具，如发行灾难债券或出让权益来为损失融资等等。 5．自保措施。组建全资自保子公司，自保公司通常为整个母公司集团提供或安排损失融资，或者说提供保险或再保险。自保公司一般分为单一自保公司、联合自保公司和租借式自保公司等类型。
企业全面风险管理基础体系建设
     通过统一风险意识，企业应确定一个上上下下员工都信奉的风险管理的体系，面对风险展示出的组织的共同信仰和态度。
     企业全面风险管理（ERM)体系建设关注的焦点是：建立ERM体系和能力、采纳ERM方法和工具、配置资源、设立岗位，从而能够对企业面临的风险实施预测、预防、监测、预警和应对，以保障企业目标得以实现。
     目前全球企业基本上是按照ISO-31000“风险管理的原则和指引”来建立ERM的体系框架，核心是围绕着风险管理的能力建设，其中主要包括：风险管理的框架体系、风险文化基础、治理结构建设；风险管理责权机制建设（最根本：风险管理一票否决权机制）；3、风险报告体系建设；4、风险评估能力建设；5、风险预测和预警能力建设（特别针对重大风险）；6、风险控制能力建设(例如合规体系建设，全盘控制水平， 监督/审核）；对重大风险的治理能力建设；风险应急能力建设；风险管理决策智慧和艺术水平建设；风险管理绩效考核体系建设。

建设企业全面风险管理的总体规划

●定位企业风险管理的哲学和风险偏好
●围绕着企业发展总目标、经营目标和业务目标，梳理企业风险管理目标  
    战略目标、操作目标、报告目标、合规目标
●确定企业风险管理的框架
●建设风险管理六个基础模块
    组织与环境、系统和数据、风险指标、战略、内控、风险理财
●建立一个风险管理过程
    沟通与磋商＞确认相关内容＞风险评估＞识别对策＞选择与实施对策＞
    监控与改进
●建立和提升六种风险管理能力
    策略、人员、过程、报告、方法与技术、数据与系统
●掌握一套理论体系、知识体系、方法体系、措施/技术/手段/工具体系
    例如：ERM14个模块：注册企业风险管理师应掌握的知识和技能体系
    基本风险管理手段：内部控制、保险、衍生工具、其他合约
    基本风险反应对策：回避、保留、改善（减小不利因素的努力和增进获利因
    素的努力）、转移、分担（如外包）、移去风险源、风险应对等
●生成企业风险管理的解决方案
    建立框架（包括政策/过程框架）、建立基础与能力、确定策略/措施、制定计划