風險管理

出自 MBA智库百科(https://wiki.mbalib.com/)

該條目對應的頁面分類是風險管理。

風險管理(risk management)

　　風險管理（Risk Management）是指如何在項目或者企業一個肯定有風險的環境里把風險減至最低的管理過程。風險管理是指通過對風險的認識、衡量和分析，選擇最有效的方式，主動地、有目的地、有計劃地處理風險，以最小成本爭取獲得最大安全保證的管理方法。當企業面臨市場開放、法規解禁、產品創新，均使變化波動程度提高，連帶增加經營的風險性。良好的風險管理有助於降低決策錯誤之幾率、避免損失之可能、相對提高企業本身之附加價值。^[1]

　　風險管理作為企業的一種管理活動，起源於20世紀50年代的美國。當時美國一些大公司發生了重大損失使公司高層決策者開始認識到風險管理的重要性。其中一次是1953年8月12日通用汽車公司在密執安州的一個汽車變速箱廠因火災損失了5000萬美元，成為美國曆史上損失最為嚴重的15起重大火災之一。這場大火與50年代其它一些偶發事件一起，推動了美國風險管理活動的興起。後來，隨著經濟、社會和技術的迅速發展，人類開始面臨越來越多、越來越嚴重的風險。科學技術的進步在給人類帶來巨大利益的同時，也給社會帶來了前所未有的風險。1979年3月美國三里島核電站的爆炸事故，1984年12月3日美國聯合碳化物公司在印度的一家農藥廠發生了毒氣泄漏事故，1986前蘇聯烏克蘭切爾諾貝利核電站發生的核事故等一系列事件，大大推動了風險管理在世界範圍內的發展，同時，在美國的商學院里首先出現了一門涉及如何對企業的人員、財產、責任、財務資源等進行保護的新型管理學科，這就是風險管理。目前，風險管理已經發展成企業管理中一個具有相對獨立職能的管理領域，在圍繞企業的經營和發展目標方面，風險管理和企業的經營管理、戰略管理一樣具有十分重要的意義。

　　風險管理是一項有目的的管理活動，只有目標明確，才能起到有效的作用。否則，風險管理就會流於形式，沒有實際意義，也無法評價其效果。

　　風險管理的目標就是要以最小的成本獲取最大的安全保障。因此，它不僅僅只是一個安全生產問題，還包括識別風險、評估風險和處理風險，涉及財務、安全、生產、設備、物流、技術等多個方面，是一套完整的方案，也是一個系統工程。

　　風險管理目標的確定一般要滿足以下幾個基本要求：

　　(1)風險管理目標與風險管理主體(如生產企業或建設工程的業主)總體目標的一致性。

　　(2)目標的現實性，即確定目標要充分考慮其實現的客觀可能性。

　　(3)目標的明確性，即使用正確選擇和實施各種方案，並對其效果進行客觀的評價。

　　(4)目標的層次性，從總體目標出發，根據目標的重要程度，區分風險管理目標的主次，以利於提高風險管理的綜合效果。

　　風險管理的具體目標還需要與風險事件的發生聯繫起來，從另一角度分析，它可分為損前目標和損後目標兩種。

　　(1)損前目標

　　①經濟目標。企業應以最經濟的方法預防潛在的損失，即在風險事故實際發生之前，就必須使整個風險管理計劃、方案和措施最經濟、最合理，這要求對安全計劃、保險以及防損技術的費用進行準確分析。

　　②安全狀況目標。安全狀況目標就是將風險控制在可承受的範圍內。風險管理者必須使人們意識到風險的存在，而不是隱瞞風險，這樣有利於人們提高安全意識，防範風險並主動配合風險管理計劃的實施。

　　③合法性目標。風險管理者必須密切關註與經營相關的各種法律法規，對每一項經營行為、每一份合同都加以合法性的審視，不致於使企業蒙受財務、人才、時間、名譽的損失，保證企業生產經營活動的合法性。

　　④履行外界賦予企業責任目標。例如，政府法規可以要求企業安裝安全設施以免發生工傷，同樣一個企業的債權人可以要求貸款的抵押品必須被保險。

　　(2)損後目標

　　①生存目標。一旦不幸發生風險事件，給企業造成了損失，損失發生後風險管理的最基本、最主要的目標就是維持生存。實現這一目標，意味著通過風險管理人們有足夠的抗災救災能力，使企業、個人、家庭、乃至整個社會能夠經受得住損失的打擊，不至於因自然災害或意外事故的發生而元氣大傷、一撅不振。實現維持生存目標是受災風險主體在損失發生之後，在一段合理的時間內能夠部分恢復生產或經營的前提。

　　②保持企業生產經營的連續性目標。風險事件的發生給人們帶來了不同程度的損失和危害，影響正常的生產經營活動和人們的正常生活，嚴重者可使生產和生活陷於癱瘓。對公共事業尤為重要，這些單位有義務提供不問斷的服務。

　　③收益穩定目標。保持企業經營的連續性便能實現收益穩定的目．標，從而使企業保特生產持續增長。對大多數投資者來說，一個收益穩定的企業要比高風險的企業更具有吸引力。穩定的收益意味著企業的正常發展，為了達到收益穩定目標，企業必須增加風險管理支出。

　　④社會責任目標。儘可能減輕企業受損對他人和整個社會的不利影響，因為企業遭受一次嚴重的損失會影響到員工、顧客，供貨人、債權人、稅務部門以至整個社會的利益。為了實現上述目標，風險管理人員必須辨識風險、分析風險和選擇適當的應對風險損失的方法和措施。

　　1．計劃職能。風險管理的計劃職能是指通過對企業風險識別、估測、評價和選擇處理風險的手段，設計管理方案，並制定風險處理的實施計劃。風險處理預算的編製則在處理手段選定後，計算合理的、必要的風險處理費用，並編製風險處理費用預算以及擬訂風險處理的實施計劃。

　　2．組織職能。風險管理的組織職能是根據風險管理計劃，分配各種風險處理技術的業務分擔，許可權的下放，組織上的職務調整等方面進行組織。也就是說，風險管理的組織職能意味著創造為達到風險管理目標和實現風險處理計劃所必須的人、財、物的結合。風險管理組織職能的關鍵在於組織關係的確立，在風險管理部門處於企業主管部門位置的情況下，把執行許可權下放給部門各成員；在風險管理部門處於參謀部門位置的情況下，風險管理則對生產、銷售、財務、勞動人事等主管部門進行工作上的聯繫、建議和調整。

　　3．指導職能。風險管理的指導職能是對風險處理計划進行解釋、判斷、傳達計劃方案，交流信息和指揮活動。也就是說，是組織該機構的成員去實現風險管理計劃。

　　4．管制職能。風險管理的管制職能是指對風險處理計劃執行情況的檢查、監督、分析和評價，也就是根據事先設計的標準以計劃的執行情況測定、評價和分析，對計劃與實際不符之處予以糾正。管制職能的範圍包括：風險的識別是否準確全面、風險的估測是否有誤、風險處理技術的選擇是否奏效、風險處理技術的組合是否最佳、自保和基金的留取是否恰當、控制風險技術能否防止或減少風險的發生、按制定的預算能否保障計劃內的保險事故發生後得到及時補償等。

　　風險管理的基本程式包括風險識別、風險估測、風險評價、風險控制和風險管理效果評價等環節。

　　1．風險的識別

　　風險的識別：是經濟單位和個人對所面臨的以及潛在的風險加以判斷、歸類整理，並對風險的性質進行鑒定的過程。

　　2．風險的估測

　　風險的估測：是指在風險識別的基礎上，通過對所收集的大量的詳細損失資料加以分析，運用概率論和數理統計，估計和預測風險發生的概率和損失程度。風險估測的內容主要包括損失頻率和損失程度兩個方面。

　　3．風險管理方法

　　風險管理方法分為控製法和財務法兩大類，前者的目的是降低損失頻率和損失程度，重點在於改變引起風險事故和擴大損失的各種條件；後者是事先做好吸納風險成本的財務安排。

　　4．風險管理效果評價

　　風險管理效果評價是分析、比較已實施的風險管理方法的結果與預期目標的契合程度，以此來評判管理方案的科學性、適應性和收益性。

　　美國COSO（反欺詐交易委員會）委托普華永道開發《COSO風險管理整合框架》中指出，企業風險管理基本框架包括八個方面內容：

　　·內部環境

　　內部環境包含組織的基調，它為主體內的人員如何認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和道德價值觀，以及他們所處的經營環境。

　　·目標設定

　　必須先有目標，管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局採取適當的程式去設定目標，確保所選定的目標支持和切合該主體的使命，並且與它的風險容量相符。

　　·事項識別

　　必須識別影響主體目標實現的內部和外部事項，區分風險和機會。機會被反饋到管理當局的戰略或目標制訂過程中。

　　·風險評估

　　通過考慮風險的可能性和影響來對其加以分析，並以此作為決定如何進行管理的依據。風險評估應立足於固有風險和剩餘風險。

　　·風險應對

　　管理當局選擇風險應對——迴避、承受、降低或者分擔風險——採取一系列行動以便把風險控制在主體的風險容限（risk tolerance）和風險容量以內。

　　·控制活動

　　制訂和執行政策與程式以幫助確保風險應對得以有效實施。

　　·信息與溝通

　　相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。

　　·監控

　　對企業風險管理進行全面監控，必要時加以修正。監控可以通過持續的管理活動、個別評價或者兩者結合來完成。

　　企業風險管理並不是一個嚴格的順次過程，一個構成要素並不是僅僅影響接下來的那個構成要素。它是一個多方向的、反覆的過程，在這個過程中幾乎每一個構成要素都能夠、也的確會影響其他構成要素。

　　關於風險的分類，學術界尚無統一的說法。

• 金融界依據巴塞爾協議常把風險分為：市場風險、信用風險、操作風險三類。

• 國資委在《中央企業全面風險管理》中把風險分為：戰略風險、市場風險、運營風險、財務風險、法律風險。

*國外比較流行的是安達信的風險分類表。

　　一、市場風險： 市價波動對於企業營運或投資可能產生虧損之風險，如利率、匯率、股價等變動對相關部位損益的影響。

　　二、信用風險：交易對手無力償付貨款、或惡意倒閉致求償無門的風險。

　　三、流動性風險：影響企業資金調度能力之風險，如負債管理、資產變現性、緊急流動應變能力。

　　四、作業風險：作業制度不良與操作疏失對企業造成之風險，如流程設計不良或矛盾、作業執行發生疏漏、內部控制未落實。

　　五、法律風險：契約之完備與有效與否對企業可能產生之風險，如承作業務之適法性、外文契約及外國法令之認知。

　　六、會計風險：會計處理與稅務對企業盈虧可能產生之風險，如帳務處理之妥適性、合法性、稅務咨詢及處理是否完備。

　　七、資訊風險：資訊系統之安控、運作、備援失當導致企業之風險，如系統障礙、當機、資料消滅，安全防護或電腦病毒預防與處理等。

　　八、策略風險：於競爭環境中，企業選擇市場利基或核心產品失當的風險。

　　(一)風險管理對企業的意義

　　1．風險管理有利於維持企業生產經營的穩定。有效的風險管理，可使企業充分瞭解自己所面臨的風險及其性質和嚴重程度，及時採取措施避免或減少風險損失，或者當風險損失發生時能夠得到及時補償，從而保證企業生存並迅速恢復正常的生產經營活動。

　　2．風險管理有利於提高企業的經濟效益。一方面通過風險管理，可以降低企業的費用，從而直接增加企業的經濟效益；另一方面，有效的風險管理會使企業上下獲得安全感，並增強擴展業務的信心，增加領導層經營管理決策的正確性，降低企業現金流量的波動性。

　　3．風險管理有利於企業樹立良好的社會形象。有效的風險管理有助於創造一個安全穩定的生產經營環境，激發勞動者的積極性和創造性，為企業更好地履行社會責任創造條件，幫助企業樹立良好的社會形象。

　　(二)風險管理對個人與家庭的意義

　　通過有效的風險管理，可以防範個人與家庭遭受經濟損失，使個人與家庭在意外事件之後得以繼續保持原有的生活方式和生活水平。一個家庭能否有效地預防家庭成員的死亡或疾病、家庭財產的損壞或喪失、責任訴訟等風險給家庭生活帶來的困擾，直接決定了此家庭的成員能否從身心緊張或恐慌中解脫出來。他們所承擔的身體上和精神上的壓力減少了，就可以在其他活動中更加投人。

　　(三)風險管理對社會的意義

　　風險管理對於企業、個人與家庭和其他任何經濟單位，都具有提高效益的功效，從而必然使整個社會的經濟效益得到保證或增加。同時，風險管理可以使社會資源得到有效利用，使風險處理的社會成本下降，使全社會的經濟效益增加。

　　隨著社會的發展和科技的進步，現實生活中的風險因素越來越多，無論企業還是家庭，都日益認識到進行風險管理的必要性和迫切性。人們想出種種辦法來對付風險，但無論採用何種方法，風險管理的一條基本原則是：以最小的成本獲得最大的保障。對風險的處理有迴避風險、預防風險、自留風險和轉移風險等四種方法。

　　（1）迴避風險。

　　迴避風險是指主動避開損失發生的可能性。如考慮到游泳有溺水的危險，就不去游泳。雖然迴避風險能從根本上消除隱患，但這種方法明顯具有很大的局限性，因為並不是所有的風險都可以迴避或應該進行迴避。如人身意外傷害，無論如何小心翼翼，這類風險總是無法徹底消除。再如，因害怕出車禍就拒絕乘車，車禍這類風險雖可由此而完全避免，但將給日常生活帶來極大的不便，實際上是不可行的。

　　（2）預防風險。

　　預防風險是指採取預防措施，以減小損失發生的可能性及損失程度。興修水利、建造防護林就是典型的例子。預防風險涉及一個現時成本與潛在損失比較的問題：若潛在損失遠大於採取預防措施所支出的成本，就應採用預防風險手段。以興修堤壩為例，雖然施工成本很高，但與洪水泛濫造成的巨大災害相比，就顯得微不足道。

　　（3）自留風險。

　　自留風險是指自己非理性或理性地主動承擔風險。"非理性"自留風險是指對損失發生存在僥幸心理或對潛在的損失程度估計不足從而暴露於風險中；"理性"自留風險是指經正確分析，認為潛在損失在承受範圍之內，而且自己承擔全部或部分風險比購買保險要經濟合算。自留風險一般適用於對付發生概率小，且損失程度低的風險。

　　（4）轉移風險。

　　轉移風險是指通過某種安排，把自己面臨的風險全部或部分轉移給另一方。通過轉移風險而得到保障，是應用範圍最廣、最有效的風險管理手段，保險就是其中之一。

　　風險識別過程的活動是將不確定性轉變為明確的風險陳述。包括下麵幾項，他們在執行時可能是重覆，也可能是同時進行的：

　　1.進行風險評估。在項目的初期，以及主要的轉折點或重要的項目變更發生時進行。這些變更通常指成本、進度、範圍或人員等方面的變更。

　　2.系統地識別風險。採用下列三種簡單的方法識別風險：風險檢查表，定期會議（周例會上），日常輸入（每天晨會上）。

　　3.將已知風險編寫為文檔。通過編寫風險陳述和詳細說明相關的風險背景來記錄已知風險，相應的風險背景包括風險問題的何事、何時、何地、如何及原因。

　　4.交流已知風險。同時以口頭和書面方式交流已知風險。在大家都參加的會議上交流已知風險，同時將識別出來的風險詳細記錄到文檔中，以便他人查閱。

　　風險分析過程的活動是將風險陳述轉變為按優先順序排列的風險列表。包括以下活動：

　　1.確定風險的驅動因素。為了很好地消除軟體風險，項目管理者需要標識影響軟體風險因素的風險驅動因數，這些因素包括性能、成本、支持和進度。

　　2.分析風險來源。風險來源是引起風險的根本原因。

　　3.預測風險影響。如果風險發生，就將可能性和後果來評估風險影響。可能性被定義為大於0而小於100，分為5個等級（1、2、3、4、5）。將後果分為4個等級（低，中等，高，關鍵的）。採用風險可能性和後果對風險進行分組。具體組別如下表所示：

　　4.對風險按照風險影響進行優先排序，優先順序別最高的風險，其風險嚴重程度等於1，優先順序別最低的風險，其風險嚴重程度等於20。對級別高的風險優先處理。

　　風險計划過程的活動是將按優先順序排列的風險列表轉變為風險應對計劃。包括以下內容：

　　1.制定風險應對策略。風險應對策略有接受、避免、保護、減少、研究、儲備和轉移幾種方式。

　　2.制定風險行動步驟。風險行動步驟詳細說明瞭所選擇的風險應對途徑。它將詳細描述處理風險的步驟。

　　風險跟蹤過程的活動包括監視風險狀態以及發出通知啟動風險應對行動。包括以下內容：

　　1.比較閾值和狀態。通過項目控制面板來獲取。如果指標的值在可接受標準之外，則表明出現了不可接受的情況。

　　2.對啟動風險進行及時通告。對要啟動的風險，在每天的晨會上通報給全組人員，並安排負責人進行處理。

　　3.定期通報風險的情況。在定期的會議上通告相關人員目前的主要風險以及他們的狀態。

　　風險應對過程的活動是執行風險行動計劃，以求將風險降至可接受程度。包括以下內容：

　　1.對觸發事件的通知作出反應。得到授權的個人必須對觸發事件作出反應。適當的反應包括回顧當前現實以及更新行動時間框架，並分派風險行動計劃。

　　2.執行風險行動計劃。應對風險應該按照書面的風險行動計划進行。

　　3.對照計劃，報告進展。確定和交流對照原計劃所取得的進展。定期報告風險狀態，加強小組內部交流。小組必須定期回顧風險狀態。

　　4.校正偏離計劃的情況。有時結果不能令人滿意，就必須換用其他途徑。將校正的相關內容記錄下來。

　　如果成本和收益都是事先確定的，那麼對於單階段項目，我們可以用期望收益E（X）作為衡量投資優劣的指標；對於多階段項目，兩個常採用的評價方法是內部收益率IRR或凈現值NPV。假設某項目的初始投入為C，未來某一階段的凈現金流量為 ，貼現率為 ，則一個有階段的項目的凈現值為：

　　而IRR就是使NPV=C的那個貼現率。需要指出的是，這裡的貼現率表現的是收益的時間價值（機會成本），而不包含風險的因素。

　　如果決策面臨著風險，那麼每一階段的收益就不是一個確定的收益 ，而是一個概率分佈，從而整個項目的凈現值也呈現為一個有著均值和方差的概率分佈。此時，對多階段投資項目的考察、評價和選擇。

　　組合收益的均值是各單項投資收益均值在投資比重基礎上的加權平均數。即：

　　投資組合的風險不僅取決於各單項投資的風險和各單項投資在組合中的比重，而且與單項投資之間預期收益的相關程度有很大關係