《公司层面风险管理全面风险管理.doc》由会员分享,可在线阅读,更多相关《公司层面风险管理全面风险管理.doc(23页珍藏版)》请在三一文库上搜索。
1、公司层面的风险分析全面风险管理课 程:财务经济学与财务管理姓 名:陈宇董曲琰唐琳琳 刘丽洁张闻院 系:工商管理学院 专 业:05市场营销&旅游管理 日期: 2006 年 5 月公司层面风险管理全面风险管理摘要:本文从制定通用的风险模型、有效的组织层面控制架构、业务流程控制三个方面对现代企业风险管理方法 (全面风险管理)进行了详细探讨。关键词:全面风险管理 业务流程控制 战略风险 运作风险 财务风险前言(一)风险就是指在一定条件下和一定时期内,由于各种结果发生的不确定性而导致行为主体遭受损失的大小,以及这种损失发生可能性的大小。企业的风险是指企业在经营中由于各种不确定因素而招致企业经济损失或收益
2、率负向波动的可能性。(二)风险管理风险管理包含四个方面的含义:(1)风险管理是指风险测量,包括收集数据、识别并量化各种类别的风险;(2)风险管理是指以监控风险为目的的风险控制;(3)风险管理包括根据风险管理方针,对各业务单位的经营行为进行监督,并为改变公司的风险状况而实施某些行为或措施;(4)风险管理将企业的经营绩效、风险管理与企业的发展战略结合起来,为企业内部资本配置提供指导方针。综上所述,风险管理包括了风险辨识、风险测量、风险控制、风险决策,目的在于调整和改变企业的风险、收益均衡状况。当今的商业社会变化是多样的,其变化速度亦是令人难以估计的。随着人类进入知识经济时代,信息技术的高度发达及在
3、商业领域的广泛和深入应用,以及金融创新的不断出现,企业的经营模式也不断变化,所有这些变化在意味着巨大财富机会的同时,也形成多种新的商业风险。风险已成为新时代的重要特征;风险管理也成为企业追求长期发展的核心竞争力。在国内,随着经济体制改革的深入,众多国有企业现代体制的逐步建立,国有资产产权改革的力度加大,民营企业的日益兴起以及WTO规则对本土企业的影响日益体现,所有这一切经济领域的变化,再加上法律制度和商业运作规则的不断完善,都使本土企业的经营环境同以往相比有着不可估算的改变,这些外围环境的变化更是促使国内企业面临的经营风险变幻莫测,于是出现了诸如企业做大容易但做久却很困难,战略目标远景规划设计
4、容易,但实践起来却是困难重重,ERP流程重担耗资巨大但收效都不很明显等等企业管理的新问题。这些新问题是企业实现其战略目标的眼前障碍,因此,必须实现良好的风险管理以将其对企业的不良影响降到最低的可接受水平。最近中国公司所发生的“创维管理层财务舞弊案件” , “长虹巨额应收款难以收回事件”及 “中航油破产丑闻”更说明中国企业在加强风险管理方面的重要性和紧迫性。传统的企业风险管理主要集中在经营风险的管理上,尤其注重经营过程中的事故和安全;管理方式往往是分离的,比如说火灾由专门的安全部门负责,各职能部门负责该部门所管辖、或经营活动过程中的风险;各部门之间在风险的管理方式、方法、策略选择方面联系少,管理
5、者之间一般缺乏沟通和交流。但是,多年来人们在风险管理实践中逐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险。即要实行全面风险管理 ( Enterprise Risk Management)。全面风险管理从上个世纪九十年代后期在纵多跨国公司中广泛得以运用, 一些国际咨询公司和国际会计公司也开始运用这一概念并将其同咨询或审计业务相结合(主要是当时的安达信会计公司, 其在上世纪九十年代中期所开发并从一九九七年在全球推广应用的风险导向审计模型, 就是以全面风险管
6、理理念为依据的)。与传统风险管理相比较现代企业风险管理方法 (全面风险管理)有以下特点:传统风险管理方法现代风险管理方法 (全面风险管理)风险评估被视为是后勤支持性行为,只有管理层认为必要时候才采取该行为风险评估是企业进行的一个持续的行为只有会计、财务和内审部门才关注风险和风险控制组织机构中的任何人都关注企业风险的识别和管理松散性各职能和部门各自独立行事风险评估和控制开始关注企业的流程,而流程往往是跨部门、跨职能的,并在高层的监督下相互配合风险管理只关注财务风险和财务结果风险管理首先制定控制程序以确保企业避免接受不能承受的经营风险,而之后对其他经营风险采取紧密控制以将其降低至可接受水平并无经营
7、风险管理政策制定明确的风险管理控制政策,并经由管理层和重事会批准之后,广泛传播并可以让员工清晰理解对经营风险先是检查和预防,然后采取应对措施在经营风险的源头就估计和预防其发生,并持续不断地采取监督性控制产生经营风险的主要原因是人的因素产生经营风险的主要原因是经营活动流程失败一、全面风险管理全面风险管理方法论主要由以下三大部分组成: 制定通用的风险模型(Bossiness Risk model)风险的识别、度量和应对; 制定有效的组织层面控制架构(Organizational Control); 制定业务流程控制(Process Control)以下我们将分别对这三大组成部分进行说明。1.1 风
8、险的识别、度量和应对 为使企业在整个企业不同职能部门,不同层次全方位的运作有效,管理层必须制定有一套通用的风险语言的定义,这样才有助于企业所有风险管理者的相互了解和沟通。因为信息的有效沟通往往是风险管理成效大小的关键,而缺乏通用的沟通语言则无法对商业风险进行有效理解。一个有效的风险管理离不开企业组织内部不同职能、不同部门之间、上下之间的信息相互沟通。我们称这种沟通为四维沟通模式(Four-Way Communication)。由于企业面临的不确定性可能会成为企业实现其战略目标、运营目标和财务目标的障碍,因此,一个比较典型且有效的方法是将风险归纳为三大类:战略风险、运作风险和财务风险。战略风险(
9、Strategy Risk)是指因公司内、外部环境的不确定性而导致战略的选择和实施的实际结果与战略预期目标存在偏差的现象;运作风险(Operational Risk)是指企业在经营过程中对外和对内的管理风险,如内部的安全生产、人力资源、网路安全,以及对外的合同和供应链风险等财务风险(Financial Risk)是指公司财务结构不合理、融资不当使公司可能丧失偿债能力而导致投资者预期收益下降的风险。(一)风险识别风险识别是指运用各种方法对尚未发生的潜在的及存在的各种风险进行系统地归类,并总结出企业面临的所有风险。风险识别所要解决的主要问题是:风险因素、风险的性质以及后果,识别的方法及其效果。从风
10、险识别的途径来看,风险识别可运用外部经济单位,如保险公司、风险及保险学会等,设计的风险分析表格直接用来识别自身的风险。这些方法有:保险调查法,保单对照法,资产损失分析法等,但此类方法仅提供一般性风险的识别。由于经济单位都各有自己的特点,经济单位也可针对内部特有状况自行设计识别风险的方法,此类方法有:财务报表分析法,流程图分析法等。 现在使用的风险识别方法,可以分为宏观领域中的决策分析(可行性分析、投入产出分析等)和微观领域的具体分析(资产负债分析、损失清单分析等)。下面介绍几种主要方法:1财务报表分析法。是以资产负债表、损益表和现金流量表等财务报表为依据,通过采取水平分析法、垂直分析法、趋势分
11、析法、比率分析法等来识别当前所面临的所有财务风险,甚至还能发现企业未来的财务风险。如根据资产负债率指标,可以综合反映企业的偿债能力,一般认为该指标为50%比较合适,如果该指标过高,相对而言,发生财务风险的可能性就要大些,尤其超过100%时,表明企业已经资不抵债,视为达到了破产警戒线。2类比分析法。比照过去的财务风险管理实践类似的案例,从中总结经验和方法,汲取教训。如根据以往的赊销经验,判断企业的现金流量风险。3德尔菲法,又称专家调查法。指在识别过程中,采用信函的形式向有关专家,再次征求意见,然后综合反馈。反复多次,直到意见比较一致为止。4幕景分析法。这是西方国家风险分析的一种常用方法。其操作过
12、程为:先利用有关的数据、曲线与图表等资料将某种商品的生产经营或某项资金的借贷与经营的未来状态进行描述,以便用来研究引起有关风险的关键因素及其后果和影响程度,然后再研究当某些因素发生变化时,又将出现怎样的风险及其造成的损失与后果如何。5业务流程分析法。即将企业的各项财务活动按其内在的逻辑联系建立一系列的流程图,针对每一个环节逐一进行调查、研究和分析,从中发现其潜在财务风险。需要指出的是,每一种风险识别方法都存在一定的局限性,这是因为:1、任何一种方法不可能揭示出经济单位面临的全部风险,更不可能揭示导致风险事故的所有因素,因此必须根据经济单位的性质、规模以及每种方法的用途将多种方法结合使用。2、由
13、于经费的限制和不断地增加工作会引起收益下降,风险管理人员必须根据实际条件选择效果最优的方法或方法组合。3、如前所述,风险识别是一个连续不断的过程,仅凭一两次调查分析不能解决问题,许多复杂的和潜在的风险要经过多次识别才能获得较为准确的答案。(二)风险度量风险衡量就是对风险存在及发生的可能性以及风险损失的范围与程度进行估计和衡量。其基本内容为运用概率统计方法对风险的发生及其后果加以估计,得出一个比较准确的概率水平,为风险管理奠定可靠的数学基础。企业想要知道所拥有的各类资源是否得到了有效的运用、资金配置是否合理、是否将时间花在了风险小的地方,惟一的方法就是对风险进行度量。目前风险管理领域,对风险的预
14、测和度量的论著很多,以下列举几种比较常见的:(1)战略风险度量方法:1、CAPM 法(资本资产定价模型)2、方差分析法方差分析法在国内又被称作为变化的方法,是利用特定变量的变化特征(比如方差和标准差)来估计企业作为一个整体的风险水平,也是战略风险度量中使用较为广泛的方法之一。以此方法为基础的战略风险的基本内涵是收益的变化。经常使用的是一些收益类的指标,如ROA(资产回报率),ROE(股本回报率),E/P(盈利价格比)等。其具体方法为取特定变量的历史数据的平均值作为收益指标,再取全部数据整体的方差作为风险指标,以下属事业部,企业整体,产业为单位来估计风险和收益之间的关系。3、状态确定方法、国外学
15、者 James M. Collins 等人在1996年前后提出了一种比较新颖的战略风险度量方法,该方法主要把企业战略风险的构成着眼于企业竞争地位的下降以及下降的幅度,James 把该方法称作状态确定方法。方法具体过程如下:首先选取某一具体企业作为研究对象,并选取能够反映该企业竞争地位的相关指标,如市场占有率,资本回报率等,对于各年度,对行业内所有企业按所选指标的优劣进行排序,从而每一年度都会有一个关于企业竞争力大小的一系列排名。对比每个年度的排名,分析企业排名变化的程度和变化的频率,以此作为基础来衡量企业所面临的风险。(2)运作风险度量方法:1、自我评估控制这种方法是通过问卷调查和一系列讨论会
16、,向公司内相关责任部门提问,主观地评估组织的各部门及其特征,以识别重要的风险。下图是一个自我评估控制框架及其主要分类的实例。图三 用于风险识别及风险归类的自我评估控制框架实例在自我评估控制框架中,各个分类都对应着组织中相应的部分及职能。对于每一个类别都有一些特定的问题需要回答,以获取相应风险及其严重程度的信息。2、流程分析在这种方法中,从任务层面上对公司的运作流程进行分析,以明确在流程、执行和相关过程控制方面的误差所可能导致的风险。用详细的工作流程及控制图来编制出一份清单,列出关键的控制点和流程中相关的风险,作为流程中任务和控制绩效的指南。当重新建立流程和修正流程控制的时候,流程分析是非常有用
17、的,它可以为编写相关流程提供一个整体的概念和设计。由于它是对复杂流程非常详细的描述,因此对于大型组织会产生大量的文件,但流程分析没有一个好的对大量反馈信息进行度量的方法,通常都依赖于主观的评估,例如:审计评分。虽然流程分析能够对与流程相关的风险进行识别和分类,并确定来源,但对流程以外的风险分析几乎无能为力,它不能为管理层提供客观的、中肯的度量反馈。3、损失归类在这种方法中,运作损失及对损失的解释和每类损失的属性都被输入到一个数据库中。要建立一个损失数据库,先要建立一个损失数据模型,然后需要进行详细的分析以保证分类能够用于风险度量。理想状态下,分类是可以构成的,使得所有的损失都仅属于一种分类,并
18、且可以累计。但常常发生的情况是,分类经常互相重叠,以至于有些损失并不属于任何一个已经定义好的分类。显而易见,这些分类方法都会导致损失重叠。在分类中的重叠会产生重复计算,使得风险度量结果分配非常困难。很多外部的损失数据库缺乏完整分析所需要的透明度,而且看起来同样会受到重叠问题的困扰。因为没有一个标准对损失进行说明,所以用损失数据库时一定要谨慎,损失分类可以对反馈(损失的数量)提供一个客观的度量,但仅能识别已经发生的损失,不能根据已给出的条件来找出损失,以及决定损失的原因。4、绩效分析用这种方法,业务活动的绩效度量被用来开发相关的风险度量。理由是:如果绩效度量反映了业务活动和公司收益之间的因果关系
19、,那么绩效度量的波动性度量将反映业务活动和收益风险之间的因果关系。公司的绩效模型,如价值链(Value Chain)(Porter,1985),以及平衡积分卡(Kaplan&Norton,1996),通过基于因果的度量方法,提供一个能被大家接受的公司绩效度量方法,这两种模型为大多数公司所采用,并且在多种业务类型中都取得了成功。它们在风险方面的应用为绩效和风险之间建立起一致的联系。然而,它们关注于创造收益的绩效驱动力,而不是关注于导致损失的各种风险因素的波动。同时,由于它们是共同使用而不是累计使用,因此它们也存在着其他损失模型同样的重叠分类问题。(3)财务风险度量方法:财务风险的衡量通常可以借助
20、于简化的模型来计算某种风险程度下的期望收益,通常采用定性分析和定量分析相结合的方法,将情况的分析判断和数据的整理计算结合起来,其最常见的就是概率度量法。1、概率度量法从风险的定义可以看出,风险事件的发生与否具有不确定性,在概率论中称为随机事件,其发生的可能性大小通常用概率进行衡量。从理论上讲,发生损失的概率越大,财务风险也就越大;概率越小,财务风险也就越小。此方法原理就是:对任何投资而言,预期未来的报酬率分布愈集中,投资的风险则愈小,反之亦然。它主要是用数理统计上的标准差来计量出概率分布集中程度的大小。越小,概率分布越集中,风险程度就越小。2、盈亏平衡分析盈亏平衡分析是研究盈亏平衡时各有关经济
21、变量之间的关系,是就销售量变化对投资收益的影响进行分析,以确定项目不亏损所需要的最低销售量。盈亏平衡分析一般是根据项目正常年份的销售价格、变动成本、固定成本等因素确定盈亏平衡点的销售量,即项目年收入与年成本相等时的销售水平,其计算公式为:盈亏平衡点销售量=固定成本/(销售单价单位变动成本)=固定成本/单位边际贡献盈亏平衡点销售收入=固定成本/边际贡献率边际贡献率=边际贡献/销售收入通过盈亏平衡分析,企业可以了解市场需求对企业盈利状况的影响。如果预计市场需求量远大于盈亏平衡点,企业投资比较安全;如果预计市场需求量接近盈亏平衡点,企业在投资决策时必须慎重,以防止预计失误给公司带来不利后果。3、敏感
22、性分析敏感性分析是通过分析、预测项目主要因素发生变化时对经济评价指标的影响,从中确定出敏感因素并确定其对经济评价指标的影响程度的分析方法。敏感性分析一般选择净现值(NPV)或内部收益率(IRR)作为分析的指标,有时也会分析投资回收期和投资借款偿还期。4、杠杆分析法杠杆分析是财务经理在进行财务分析时经常运用的工具,它又可以分为经营风险与经营杠杆、债务筹资风险与财务杠杆和企业总风险与总杠杆这三方面内容。经营风险是指由于商品经营上的原因给企业的利润或利润率带来的不确定性。影响经营风险的因素主要有:产品需求变动、产品价格变动、产品成本变动等。衡量这一风险的方法很多,其中通过经营杠杆系数来衡量是最常用的
23、一种。经营杠杆反映销售量与息税前利润之间的关系,主要用于衡量销售量变动对息税前利润的影响。衡量债务筹资风险的方法很多,其中常用的方法之一是财务杠杆系数衡量法。财务杠杆主要反映息税前利润与普通股每股收益之间的关系,用于衡量息税前利润变动对普通股每股收益变动的影响程度。企业总风险是指经营风险和债务风险之和,总杠杆主要用于反映销售量与每个收益之间的关系。下面介绍一下目前在风险度量领域最常用的两种方法:风险价值法(Value At Risk, VAR)和压力测试法(Stress Testing)。风险价值法(Value At Risk, VaR)VaR最初在1993年被提出,是一种对在市场不利情况下潜
24、在损失的测度。而VaR的最大优点在于:不管金融风险的根源在哪个市场,VaR模型都可用一个数值表示未来某个时期的潜在损失,这样不同的市场、交易者和金融工具间就可进行风险的比较。VaR(valueatrisk)按字面意思解释就是按风险估价,就是指在某一特定的时期内,对给定的置信度、给定的资产或资产组合可能遭受的最大损失值。其数学定义为:P(Pt VaR) =1-.其中Pt表示在t时间内,某资产的市场值的变化,为给定的概率。即:对某资产或资产组合,在市场条件下,对给定的时间区间和置信水平。VaR给出了其最大可能的预期损失。也就是说,我们可以1-的概率保证.损失不会超过VaR。 VaR方法把一种资产或
25、资产组合的风险归纳起来用一个的单一的指标来衡,把风险管理中所涉及的主要方面组合价值的潜在损失用具体的货币的一位来表达。资产组合价值波动的统计测量,其核心在于构造组合价值变化的概率分布,基本思想仍然是利用资产价值的历史波动信息来推断未来情形。只是对未来价值波动的推断不是一个确定值,而是一个概率分布。令一种资产或一个投资组合的初始价值为Po.收益率为R,则期末的价值为P=Po(1 +R)。令R的期望值与波动性分别为林和二.在给定置信水平下,该投资组合的最小价值为P = Po(1 + R)。风险价值VaR伯定义为相对损失.即VaR=E(P)一P .将P与P代入.则VaR=一Po(R一林)。VaR方法
26、适合于包括利率风险、汇率风险、股票价格风险以及衍生工具风险在内的各种市场风险的衡量,使商业银行用一个具体的指标数值就可以概括银行整体风险状况,加快了以盯市报告为基础的风险交流,而且通过对不同市场上风险状况的比较,合理配置资源,大大方便了商业银行最高管理层随时掌握机构的整体风险状况。压力测试法:压力测试是指在极端情景下,分析评估风险管理模型或内控流程的有效性,发现问题,制定改进措施的方法,目的是防止出现重大损失事件。具体操作步骤如下:1针对某一风险管理模型或内控流程,假设可能会发生哪些极端情景。极端情景是指在非正常情况下,发生概率很小,而一旦发生,后果十分严重的事情。假设极端情景时,不仅要考虑本
27、企业或与本企业类似的其他企业出现过的历史教训,还要考虑历史上不曾出现,但将来可能会出现的事情。2评估极端情景发生时,该风险管理模型或内控流程是否有效,并分析对目标可能造成的损失。3制定相应措施,进一步修改和完善风险管理模型或内控流程。以信用风险管理为例。如:一个企业已有一个信用很好的交易伙伴,该交易伙伴除发生极端情景,一般不会违约。因此,在日常交易中,该企业只需“常规的风险管理策略和内控流程”即可。采用压力测试方法,是假设该交易伙伴将来发生极端情景(如其财产毁于地震、火灾、被盗),被迫违约对该企业造成了重大损失。而该企业“常规的风险管理策略和内控流程”在极端情景下不能有效防止重大损失事件,为此
28、,该企业采取了购买保险或相应衍生产品、开发多个交易伙伴等措施。 了解企业面临风险的真实程度无疑有着重大的意义。这需要首先对风险进行评级,接下来尽可能对风险进行度量。只有在此基础上,企业管理人员才能真正制定出价值最大化的经营决策。尽管风险度量还受到很多限制,但这个领域不断取得的进展会使得这些限制逐步减少。掌握有关风险的这些知识,管理人员就可以制定出更有效的风险管理制度。(三)风险应对策略风险应对发生在对风险进行充分有效地识别和度量之后,是企业风险管理的重要阶段,直接关系到企业风险管理的成败与否。企业风险处理需要企业能够充分利用各种手段和技巧来应对各种风险,常见的风险处理方法有风险避免、风险转移、
29、风险减低等1、战略风险的控制战略风险的控制按照时间顺序分为三种:事前控制,事中控制和事后控制。事前控制是指在战略计划付诸实施前,对战略计划本身及其目标的合理性进行分析和控制。事中控制是指在战略计划实施过程中,通过调节与控制企业内,外部因素来实现战略能够朝着既定的战略目标展开。事后控制的主要目标是考虑如何最大限度地降低风险事件发生带来的不利影响,并尽可能在承担了风险的情况利用风险实现和保证企业的收益。若企业实现了战略目标,则无需事后控制。2、 财务风险的应对企业财务风险分为五大类:筹资风险、投资风险、现金流量风险、利率风险及汇率风险。筹资风险是指企业在筹资过程活动中由于资金供需市场、宏观经济环境
30、的变化或筹资来源结构、币种结构、期限结构等因素而给企业成果带来的不确定性。企业可以采用利率互换策略与货币互换策略来规避筹资风险。投资风险是指企业在投资活动中,由于受到各种难以预计或控制因素的影响给企业财务成果带来的不确定性,只是投资的收益率达不到预期目标而产生的风险。企业的决策者可以通过规模投资、组合投资,分步投资、合理的负债投资降低财务风险。现金流量风险是指企业现金流出与现金流入在时间上不一致所形成的风险。企业的管理者可以采用流动比率和速动比率来加强对这种风险的预测和控制。利率风险是指在一定时期内由于利率水平的不确定变动而导致经济损失的可能性。这在财务风险中主要体现在企业筹资中所承担的风险。
31、企业可以利用利率互换进行风险控制。汇率风险是指在一定时期内由于汇率变动一起企业外汇业务成果的不确定性。企业可以利用货币互换、外汇风险保值、期权合约来进行风险控制。1.2 制定有效的组织层面控制架构为确保整个风险管理体系可以在企业内部有效的动作,公司必须适应一套有效的一体化的组织的架构,这一架构属于组织层面的控制包括战略层面控制(Strategic Control)和管理层面层控制(Management Control)二部分。当今的组织结构已经由传统的以垂直管理为主发展成为新型多样的组织形式,如通用电气公司的无边界组织结构(Boundless Organizations )以及目前是已经被国内
32、大型企业所开始采用的“平行管理组织结构”Horizontal Structures)。这些新型的组织架构表现为较为宽松、非集权的、倾向平行而非垂直管理的,更倾向于以信息流程而非以上下级领导为导向的这些特点。这种向新型组织架构的转变,使每一管理团队在进行风险管理的同时确保整个组织架构的有效运行以及每一个商业流程的成功运作。任何一个业务流程的失效都有可能增大整个组织架构运行失败的风险。而战略层面与管理层面控制正是形成了该新型组织架构中所运用的风险管理方法、手段、流程及评价。(一) 战略层面控制(Strategic Control)战略层面控制由六个主要流程构成,用以持续地评估外部环境因素变化成对企
33、业运作的影响、制定企业风险管理战略并将企业组织架构同这些战略相联系。在多变且充满竞争的环境里,有效的战略风险控制流程确实是必不可少的。该六大主要流程由下图所列亦并具体分别阐述如下:战略层面控制六大要素1、评估/监控外部环境外部环境风险在以下二种情况下有可能发生: 企业对外部环境的假设同实际情况不一致,比如实际情况已经发生变化或有可能企业的初始假设就不成立; 企业缺乏一个有效、持续的流程以获取外部环境的相关信息。为降低该风险, 管理层需要建立一套机制/流程用以系统地监控外部环境变化,包括来自竞争对手、市场、监管及其他任何在企业自身组织之外的因素。正因为企业今天的成功并不是明天胜利的保证,所以环境
34、的变化对企业的影响是至关重大的,企业因此必须有能力确保其商业模式所依赖的假设及管理层对公司战略正确性的理解是环境的变化相一致的。常见的监控方法包括进行行业分析、竞争对手分析,市场分析、标杠分析、不同可能出现方案分析等等。2、评估外部环境对企业战略的影响任何企业都需要进行有效的风险评估并确认风险的源头,这一评估过程涉及企业组织架构(即控股公司及业务单元层面)以及业务流程二个层面。关于业务流程层面的评估,我们将在后文再作阐述,这里首先了解组织层面的评估。在组织层面,风险评估是战略性的,因此主要侧重于对环境风险的评估。如若环境的变化影响到企业商业模式所依赖的假设,则企业必须对其战略目标进行重新考虑。
35、为达到这目的,企业需要一个机制/流程用以确保组织内部每个人对环境变化的认识转化为公司行动中 ,而制定一套通用的风险定义就是该流程的一个重要组成部分。在这一评估过程中,管理层应确保每个具体风险责任人可以:(1)主体环境及流程风险对其责任范围内业绩的影响;(2)将环境相关的风险信息与更高一层管理层进行沟通;(3)设计出一套有效的风险管理程序并付出实施以将风险降至可控水平.当然评估外部环境风险所使用的信息可能来自于公司内部或外部,决策者不仅要评价这些信息本身,更重要的是评估其对公司风险的影响,从而采取妥当行动,如对已接受或拒绝风险进行重新评价,对设计不可接受风险的业务行为采取暂停性措施以及对现行风险
36、管理流程进行重新审定并予以改进等。总之,环境的重大改变需要企业重新评估其战略目标。3、制定企业风险管理战略企业的经营需要有一个能确保管理层进行合理决策的框架,该框架必须能引导企业管理层识别重大的经营风险,分析出风险的根源,了解所识别风险同企业资本所面临风险之间的关系,并可以决定是否接受或拒绝该风险及评估这些风险管理决策对企业整体公司政策的影响。一个有效的企业风险管理政策应明确风险管理目标和公司经营哲学。其应该涉及下列重点: 评估和控制经营风险的具体目标; 是否接受还是拒绝风险的分析框架; 哪些部门负责实施这些政策; 不同经营风险的管理策略,如设立权限用以明确管理层对风险的可容忍度; 风险管理授
37、权部门,即哪些部门或人员经授权并配备公司资源(尤其是面对高风险商业行为时)从而执行具体的风险管理策略; 公司组织结构中每一经理岗位的职能及责任; 业绩考核指标及重大风险汇报机制,包括跨职能部门的汇报,从而使风险管理真正地是在整个企业组织中予以全面执行;在这一风险管理政策中,首先注重的是风险的内容,而不是如何操作,每一责任经理应该自己制定出的管理步骤来执行这些同公司确定的风险管理战略相一致的政策。风险政策一般经由董事会批准并在由向首席执行官直接负责的管理高层直接指导下运作执行。一般可以建立一个称为风险管理监督委员会的机构,用以协助管理高层确保风险管理政策在公司的不同职能、流程和部门中得以一致地执
38、行。一个比较常用的作法是要求每一责任单元对风险进行自我评估(Self Assessments)。 例如:某流程负责人应该通过对风险自我评估中所提相关问题予以关注,进一步评估本流程的业绩表现、风险及风险控制手段。当然,风险自我评估中必须要确保流程责任人能识别风险及分析风险根源,从而可以采用最佳实践和控制程序来防范重大风险。风险自我评估可以采取多种方式进行。例如业绩指标的设立、会议、调整及访谈等等都是有助的自我评估方式。有些流程其涉及的经理及所关注到的员工可能是来自不同职能部门的,那么通过培训机制则可以提高风险评估的效果,同时亦可减少所花需的成本。4、获取并分配相关资源企业的成功离不开对稀缺的资源
39、进行有效的分配,即将资源分配至那些可以生成合理回报同时可对所承担风险进行有效管理的投资项目中去。因此,需要建立一套资源分配机制以确保资源的有效分配。此种机制可以包括: 制定一套一致的项目风险测评、比较和选择方法; 建立一套监督、评价资源分配结果的系统,又称,事后需核(Post-Audit); 制定业绩评估指标,为资源分配决策提供信息,如经济增加值(EVA、Economic Value-Added)、可控制盈利水平、投资现金回报(CFROI、Cash-Flow Return On Investment)及同行业比较的所投入资本;而在这机制中,以下二点关键性风险应该予以考虑: 投资评估风险,即企业
40、可能缺少足够的财务信息做出长期和短期的投资决策,并将其所接受的风险同所投入资本面临的风险相联系; 资源分配风险,即企业做出的资源分配可能无法建立并维持一个比较竞争优势或无法使股东财富最大化。5、监督组织/业务单元的业绩企业需要确保其业绩能达到以下两点要求: 业绩考核的充分平衡。组织业绩考核应通过一系列平衡的指标来进行(平衡计分卡),不能以牺牲长期业绩来获取短期盈利。 需要同公司战略保持一致。如若企业真正地注重其全面质量水平,则有可能不会向人为单纯达到生产预算而不顾产品质量的生产部门提供任何奖励。总之,要确保企业的内部和外部行为对顾客而言是价值的,然后据此采用平衡计分的方法进行业绩考核。有效的战
41、略层面控制一般会以下列方式对业绩评价风险进行管理: 在组织层面采用与企业战略相挂钩的业绩指标进行评价。例如:联邦快递公司将公司战略同业务流程相挂钩而进行业绩考核。 由于公司的战略可能会随外部环境的改变而作调整,因此,需要将这一公司战略在每一业务流程及人员的层面以质量、成本及业绩考核时间的具体形式体现出来。如若不将公司的业绩同业战略目标和组织相联系,这本身就是一个重大风险。因此,如若不将二者相联系,管理层则永远无法认识到公司的战略是否有效得以实施。制定高标准的考核指标是非常关键的,如若这些指导不是具有竞争性,则公司的经营风险势必会增大。6、持续改进战略风险评估及控制流程正如其他商业流程,战略层面
42、的风险管理流程亦是需要持续改进的。管理层将会持续地提出下列问题: 在决策过策中什么信息是最有用的? 过去发生了哪些错误?哪些事项的发生管理层并未预见到? 在过去制定战略风险管理并未使用到的哪些外部环境信息在将来可能会更有帮助? 如若获取了该等信息、结果有什么不同,这意味着公司现行信息获取流程出了什么问题? 公司如何改进目前战略风险控制机制?(二) 管理层面控制(Management Control)管理层面控制驱使了风险评估及控制程序在整个组织中得以运作,因为管理层在日常所采用的管理方法,流程和业绩评价对员工行为的影响是极其重大的。管理层面控制可由六大部分组成,其公司的内在关系可由下图列示:管
43、理层面控制正如上图所示,首先管理层必须通过阐述公司的目的,共同价值理念及目标等信息以展示其领导才能并获取信任。这离不开权限的明确设置。接着应选出最佳人选,并使他们对经营结果负责。而整个过程是离不开信息的四维沟通和共系。于是实施有效风险管理机制(包括政策、通用风险语言/定义,标准等)就得以建立起来。1、沟通组织目标(我们想达到什么?)一个可持久成功的企业往往都有自己的明确理念、总体目标、具体目标及共同价值观,正是这些才可以激励其员工从而凝聚人的力量。缺乏具有领导能力管理层的企业往往无法引起其顾客的关注,组织机构内往往表现出缺乏激情、相互信任不足及信用低下等不良现象。企业价值理念如若不明确地得以沟
44、通并真正地诸实施,企业则往往无法针对快变的外围环境做出反应,也就无法保持永久竞争优势。2、权限清晰设置权限清晰设置是至关重要的,员工们在知道自己的目标时必须同时清楚地认识到什么不能做。3、选择/发展最佳人选公司高管层首选需要具备某一具体职能的知识和专业能力。因此公司需建立一个有效的人力部门以确保所选人员达到这些要求,同时人员的发展(员工培训)亦是一个重要的持续过程。4、明确责任公司需要确保其组织结构中每一层次的员工都有明确的责任,这些责任将其业绩表现期望值同奖励机制相联系,并及时进行评价。5、信息四维沟通及共享公司业绩、风险及风险控制措施等信息需在公司组织内部从上至下并从下至上地得以全面沟通。
45、6、全面实施有效的风险评估及控制程序要做到这一点,公司通常需要: 有一明确政策以确保每一经理层及员工参与风险评估及控制过程; 有一套通用的风险语言/定义; 领先的风险控制实践; 成本效益原则的考虑; 管理高层的领导能力及参考力度;1.3 业务流程控制(Process Control)战略层面控制及管理层面控制建立以后,就可以考虑业务流程的控制。许多公司是按职能的不同来建立组织架构的,企业产品及服务的开发与提供需要众多职能部门的共同努力,包括市场、工程、销售制造及财务等等。这些不同职能部门的共同活动就构成了业务流程。业务流程是跨职能部门的,因此是企业成功的关键。由于流程是建立在业务活动而不是上下
46、级汇报关系这一基础上的,因此流程是比垂直管理架构更富有弹性,也更容易予以变更的。跨职能部门的有效沟通与协作往往是企业风险评估与控制的关键。公司应确保每一业务流程皆有最佳人选,同时管理层应确保流程负责人皆有明确的流程目标,同时建立业绩评价体系。下述图形列出在流程控制环节的主要关键性活动:下面我们对这些主要活动予以进一步分析:1、确立流程目标在设计业绩评价指标、评估企业风险及设计风险控制这些过程中,都需要考虑所有流程的目标。这些目标包括运作的效率、效果、流程信息可靠性和相关性及合规性。与企业战略相符的流程目标将会更符合风险控制的成本与效益原则,而流程风险控制则为流程目标的实现提供合理保障。这些流程
47、的目标可举例如下(并非所有目标都适应于每一个流程):2、风险评估风险的识别、溯源及分析影响流程目标威胁的根源等等行为皆有助于对风险控制的评价和设计。风险评估的目的就是寻找针对风险可采取的是避免(avoiding)、转移(transferring)还是降低(reducing)风险的策略。进行风险评估之前应首先明确企业的经营目标并了解企业经营活动及战略,之后在业务流程层面应进行下列三个步骤:(1)风险识别(Identify Risk)企业组织内部应有恰当人员了解风险的性质,包括了解哪些是可控风险与不可控风险。例如:以顾客为导向的企业必须确保每个员工了解控制顾客满意度的重要性。而一套完整且通用的风险定义/语言则可协助企业对风险的识别。(2)寻找风险源(Source Risk)即确定风险产生的根源何在,从而有助于风险评估及控制的设计。(3) 衡量风险(Measure Risk)指衡量风险的重要性及发生的可能性,从而企业可以获知风险是否被降低至可接受水平及风险控制考核体系中发生了什么变化。对风险的衡量还有助于企业如何设定可接受风险的程度。如果说在组织层面对风险的评估是展战略性的,那么在业务层面对风险的评估收上属战术性的。企业流程负责人必须对基本流程风险进行自我评估。3、风险控制的设计/实施/改进当风险识别并得以衡量之后,企业就应该设计出一套可行的风