搜索
1一、全面风险管理术语(一)风险管理基础术语1、风险指未来的不确定性对企业实现经营目标的影响。未来的不确定性可能会对企业经营目标的实现带来负面的影响,也可能会带来正面的影响。因此,风险可分为以下两类:1.1纯粹风险是指未来事项的发生将对企业经营目标的实现产生负面影响的可能性。1.2机会风险是指未来事项的发生将对企业经营目标的实现产生正面影响的可能性。注:有关可能性的程度可以用不同等级来表示:极不可能/不太可能/可能/很可能/极有可能。2、全面风险管理指企业围绕总体经营目标,建立健全全面风险管理体系,通过在企业管理和企业经营的各个环节执行风险管理的基本流程,培育良好的风险管理文化,从而为实现风险管理的总体目标提供有效保证的过程和方法。3、风险管理框架指企业对风险管理的设计、实施、监控、检查和持续改进等进行的一系列基础的组织安排。4、风险管理基本流程指企业开展风险管理工作所进行的一系列业务活动和工作环节,具体包括:收集风险管理初始信息、风险评估、制定风险管理策略、提出和实施风险管理应对方案、风险管理的监督与改进。5、内部控制系统指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,制定并执行的风险管理规章制度、程序和措施。6、风险管理信息系统2指通过信息技术,为全面风险管理的各项工作,传输企业风险和风险管理信息的系统平台,具备风险数据和信息的采集、存储、加工、分析、测试、传递、报告、披露等各项功能。7、风险文化指在企业的日常运营中,基于企业的风险哲学、风险偏好和整体企业文化形成的对待风险的态度、价值观和系列实践行为等。(二)与风险评估相关的术语1、风险评估指企业及时辨识、科学分析和评价影响经营管理目标实现的各种不确定因素并确定重大风险的过程,包括风险辨识、风险分析、风险评价三个主要步骤。2、风险辨识指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。3、风险分析指对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。4、风险评价指评估风险对企业实现目标的影响程度、风险的价值等。5、来源识别指发现、列举和描述风险来源的过程。6、风险源指单独或联合具有内在的潜在引起危险的因素。7、重大风险指经过风险评估所确定的,在当前所有风险中风险水平较高且超出企业风险承受度的风险,也即在风险图中处于高风险区域的风险。8、风险图指用于风险识别和对其进行优先排序的有效工具。一旦企业的风险被辨识和评估以后,就可以根据风险的影响程度和发生可能性等属性得分将其展示在风险图的不同位置上表明其重要程度,借此为风险管理策略和解决方案的制订提供依3据。(三)与风险应对相关的术语1、风险管理策略指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。2、风险偏好指企业在实现目标的过程中所愿意承受的风险的取向数量和水平。3、风险容忍度指在企业目标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。4、风险应对指企业根据风险管理策略,针对各类风险或每一项重大风险制定的一系列的风险应对方法和措施,主要包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如:关键风险指标管理、损失事件管理等)。5、规避风险退出会产生风险的活动或业务。6、降低风险采取措施降低风险的可能性或影响,或者同时降低两者。7、转移风险通过转移来降低风险的可能性或影响,或者分担一部分风险。8、承受风险不采取任何措施去干预风险的可能性或影响。9、风险融资为实施风险处理及其他相关活动的费用提供资金的活动。10、剩余风险指在实施风险管理及有计划的应对控制措施后剩余的风险。剩余的风险如果4超过组织的可接受风险水平,组织必须安排进一步的风险控制,将剩余风险降低到可接受的水平。二、全面风险管理常见问题解答(一)风险的概念及起源1、什么是风险?怎样正确理解风险?历史上对风险有过许多定义,至今没有完全统一。全面风险管理中将风险定义为“未来的不确定性对实现目标的影响”,可以从以下方面来理解。首先,风险是相对于目标而言的,是对目标实现的影响。一般说来,目标定得越高、越明确,风险就越大。一个企业要想进入世界前列并保持先进地位的风险和要想随波逐流的风险明显是不一样的。实际上,没有风险就没有回报,企业不承担足够的风险就不能满足股东对于回报的期望。从这里我们就看到风险大并不一定是坏事。其次,风险是关于未来的。风险总是同未来的一个时间段联系在一起的。过去发生的事情和现在已确定的情况都不是风险,只有未来的情况才可能成为风险。所以对风险的考虑注定是前瞻性的思维,是对未来的考虑,企业风险管理是企业前瞻性的管理。再次,风险是不确定性的表现。确定的损失或收益不是风险,如果未来是完全可以精确预测的,自然也就无风险可言。不确定性主要表现为两个层面:第一个层面是风险因素本身的不确定性,第二个层面是风险因素对目标影响程度的不确定性。值得注意的是,定义中并没有把风险限定为只是负面的或者只是可能带来损失的。对目标有正面影响的风险称作机会风险,只有负面影响的风险称作纯粹风险,全面风险管理中的定义是一般性的,包含了机会风险与纯粹风险。因此,全面风险管理绝对不是仅仅为了防止出事或防止损失,还包括管理机会风险,为企业创造价值。2、风险有哪些属性?风险具有以下属性:(1)风险的存在具有客观性和普遍性作为未来结果发生的不确定性,风险是不以人的意志为转移并超越人们主观5意识的客观存在,风险是无处不在、无时不有的。虽然人类一直希望认识和控制风险,但直到现在也只能在有限的空间和时间内改变风险存在和发生的条件,降低其发生的频率,减少损失程度,而不能也不可能完全消除风险。(2)某一具体风险发生的偶然性和大量风险发生的必然性任一具体风险的发生都是诸多风险因素和其他因素共同作用的结果,是一种随机现象。个别风险事故的发生是偶然的、杂乱无章的,但对大量风险事故资料的观察和统计分析,发现其呈现出明显的运动规律,这就使人们有可能用概率统计方法及其他现代风险分析方法去计算风险发生的概率和损失程度,使风险管理成为可能。(3)风险的可变性风险是随着事件的进展而发生变化的。有些风险会得到控制并消除,有些风险会发生并得到处理,同时在每一阶段又有可能产生新的风险。(4)风险的多样性和多层次性因企业生命周期长、规模大、涉及范围广、风险因素数量多且种类繁杂致使其在寿命周期内面临的风险多种多样,而且大量风险因素之间的内在关系错综复杂、各风险因素之间与外界交叉影响又使风险显现出多层次性。如果采取适当的措施使破坏或损失的概率不会出现,那么风险可能带来机会,不仅仅是规避风险,可能还会带来比例不等的收益,有时风险越大,机会越大,回报越高。因此,如何判断风险、选择风险、规避风险继而运用风险,在风险中寻求机会创造收益,意义更加深远而重大。3、风险如何分类?风险的分类标准不是绝对的,集团参照全面风险管理指引将风险划分为战略风险、财务风险、运营风险、法律风险等。战略风险是指与公司达到自身确立的战略目标有关的风险,在这些风险的影响下,公司高管层的战略决策可能无法被顺利推行,或偏离了初衷。常见的战略风险包括:政治与政策风险、投资决策风险、发展风险、品牌风险、公司治理与管控结构风险、战略规划风险等。财务风险是指一切与财务领域相关的风险,包括各类资金风险、货币风险、6资产保全风险、报表披露风险等,这类风险容易造成外界甚至管理层对公司财务数据的错误认识,从而影响公司运营及声誉。常见的财务风险包括:预算控制风险、融资风险、投资管理风险、资产损失风险、财务报告编制风险、税收筹划风险、资金风险、投保风险等。运营风险是指公司正常运营过程中遇到的各类风险的总称,会涉及到公司日常业务的各个方面,这些风险的发生可能导致运营不顺、效率低下、执行错误,最严重的时候可能导致整个或部分业务链的中断。常见的运营风险包括:作业风险、HSE风险、人力资源风险、信息系统风险、价格风险、市场营销风险、原材料风险、客户风险、供应商风险等。法律风险是指公司违反国家或行业法律法规的风险,这类风险会对公司整体声誉造成极大的伤害。常见的法律风险包括:国内法律风险、对外合作法律风险、公司制度法律风险、合同风险、诉讼风险、信息披露风险等。企业风险还存在其他分类方法。如将风险依照动因是内部驱动还是外部驱动分为内部风险和外部风险,或者按照结果分为机会风险和纯粹风险。在实践中,有些风险可能会放在不同的分类中。例如,法律风险有时被归入运营风险,有时被归入战略风险。对于管理者而言,真正重要的不是如何将这些风险分类,而是如何管理这些风险。4、什么是风险管理?它是如何发展起来的?因为风险是未来的不确定性对企业实现其目标的影响,企业要想实现既定的目标,为股东取得预期的回报,就必须很好地管理风险。风险管理就是指如何在一个肯定有风险的环境里把纯粹风险降至最低并及时把握可能存在的机会的管理过程。人类对风险管理理论的研究始于20世纪初。企业风险管理发展大致经历了三个阶段:第一阶段:以“安全与保险”为特征的风险管理。100多年前,快速发展的航海业面临的海上风险催生了保险业的迅速发展,最初航运企业风险管理的主要措施就是通过保险把风险转移给保险公司,从而规避自身的风险损失。在20世纪30年代,由于受到1929-1933年的世界性经济危机的影响,美国约有40%左右的银行和企业破产,经济倒退了约20年。美国企业为应对经营上的危机,许7多大中型企业都在内部设立了保险管理部门,负责安排企业的各种保险项目。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,产生了加强“控制纯粹风险”的概念,提出公司在业务管理和流程方面,尤其是财务管理方面,要有内部控制。1949年美国发布了《内部控制一调整组织的各要素及其对管理部门和注册会计师的必要性》,首次对内部控制作出了权威的定义。1955年,美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。20世纪70年代中期,作为美国“水门事件”调查结果,立法者和监管团体开始对内部控制问题给以高度重视。1977年美国国会通过的《反国外贿赂法》,包含了要求公司管理层加强内部会计控制的条款。1983年在美国召开的风险和保险管理协会年会上,世界各国专家学者云集纽约,共同讨论并通过了“101条风险管理准则”,这是风险管理走向实践化的一个重要文件。20世纪80年代至90年代,内部控制在结构上进一步完善。1985年,美国COSO委员会开始研究企业如何建立以财务管理为主线的有效的内部控制,1992年该委员会正式发布了《内部控制一整合框架》,这份框架此后被纳入政策和法规之中,并被各国数千家企业用来为实现既定目标所采取的行动加以更好的控制。1995年由澳大利亚和新西兰联合制订的《AS/NZS4360》明确定义了风险管理的标准程序,这就是我们通常说的澳新ERM标准,这标志着第一个国家风险管理标准的诞生。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。多年来,人们在风险管理实践中逐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。然而,尽管很多企业意识到全面风险管理,但是对全面风险管理有清晰理解的却不多,已经实施了全面风险管理的企业则更少。但2001年11月的美国安然公司倒闭案和2002年6月的世通公司财务欺诈案,加之其它一系列的会计舞弊事件