企業(yè)全面風險管理:識別、評估與控制
企業(yè)全面風險管理是指企業(yè)圍繞總體經(jīng)營目標,通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng),從而為實現(xiàn)風險管理的總體目標提供合理的過程和方法。與傳統(tǒng)風險管理相比較,在管理模式上,全面風險管理強調(diào)對各種風險,包括戰(zhàn)略風險、營運風險以及財務風險等的綜合統(tǒng)一管理,強調(diào)把風險管理的各項要求融入企業(yè)管理和業(yè)務流程中; 在風險的處理方式上,全面風險管理在強調(diào)防范和化解風險的同時,把機會風險視為企業(yè)的特殊資源,強調(diào)通過對其的管理,為企業(yè)創(chuàng)造價值,促進經(jīng)營目標的實現(xiàn)。
全面風險管理是對傳統(tǒng)風險管理的繼承和發(fā)展,賦予了風險識別、風險評估以及風險控制新的內(nèi)涵。
一、以構建企業(yè)風險“全景圖”為目標的風險識別
風險識別是進行有效風險管理的基礎和關鍵。風險管理第一步,就是要對企業(yè)面臨的各種風險進行識別,將風險分門別類,并追溯導致風險產(chǎn)生的各種因素。風險識別工作做得扎實,風險評估和控制的工作效果才有保障。在全面風險管理框架下,風險識別的目標,就是要廣泛、持續(xù)地收集與本企業(yè)風險和風險管理相關的內(nèi)部、外部初始信息,發(fā)現(xiàn)企業(yè)面臨的各種風險,并構建反映各種風險的風險“全景圖”。
(一)企業(yè)風險“全景圖”
所謂風險“全景圖”,就是將本企業(yè)面臨的各種風險反映到統(tǒng)一框架內(nèi),為風險評估提供堅實的基礎。企業(yè)面臨的風險,從整體來看可分為外部風險和內(nèi)部風險兩大類,參見圖1、圖2。
(二)完善的全面風險管理組織體系是風險識別的依托
全面風險管理組織體系是有效識別、評估和控制風險的制度保障,它包括以下幾個方面:一是規(guī)范的公司法人治理結(jié)構。股東大會、董事會、監(jiān)事會和經(jīng)理層要依法履行職責,形成高效運轉(zhuǎn)、有效制衡的監(jiān)督機制。董事會負責確定企業(yè)風險管理總體目標、風險偏好、風險承受程度,批準風險管理策略和重大風險管理解決方案及風險管理監(jiān)督評價審計報告;董事會下設風險管理委員會,風險管理委員會對董事會負責,并提交全面風險管理年度報告、審議風險管理策略和重大風險管理解決方案以及風險評估報告;企業(yè)總經(jīng)理對全面風險管理工作的有效性向董事會負責。二是企業(yè)應設立專職部門或確定相關職能部門履行全面風險管理職責。該部門對總經(jīng)理或其受委托的高級管理人員負責,職責包括:研究提出全面風險管理工作報告;提出重大決策、重大風險、重大事件和重要業(yè)務流程的判斷標準或判斷機制; 提出重大決策風險評估報告并對日常的企業(yè)風險進行監(jiān)控。三是企業(yè)應在董事會下設立審計委員會,企業(yè)內(nèi)部審計部門對審計委員會負責。內(nèi)部審計部門在風險管理方面,主要負責研究提出全面風險管理監(jiān)督評價體系,制定監(jiān)督評價相關制度,開展監(jiān)督與評價,出具監(jiān)督評價審計報告。四是企業(yè)其他職能部門及各業(yè)務單位在全面風險管理工作中,應接受風險管理職能部門和內(nèi)部審計部門的組織、協(xié)調(diào)、指導和監(jiān)督。
(三)全體員工的風險意識是有效風險識別的保障
風險意識是風險管理過程的出發(fā)點,在有風險意識的環(huán)境里,很多風險問題在變成更大的問題之前,都能得到有效地處理。讓所有員工知曉他們個人職責對公司風險有怎樣的影響,以及在公司內(nèi)他們的作用和責任與他人有怎樣的關系,是企業(yè)風險管理的一個重要方面,也是風險識別工作充分有效進行的前提。在企業(yè)風險管理過程中,要努力讓每一位員工具備充分的風險意識,使“風險無處不在”的理念遍及企業(yè)的每一個角落,只有如此,全面風險管理才能名副其實。從這個意義上說,未能了解自己的企業(yè)是基德•皮博迪和德國石油及金屬集團發(fā)生災難的主要原因。
(四)通用風險語言是風險識別的基礎
構建風險“全景圖”應使用通用風險語言。通用風險語言,使得來自不同部門、使用不同術語的人之間的交流成為可能。順暢有效的交流,能夠持續(xù)促進公司不同級別人員風險認識能力的提高,減少達成共識的成本,促成公司各部門一致對待風險,提高風險管理的效率。可以說,沒有通用的商業(yè)風險語言,沒有對風險在一個公司的角色的理解,公司的控制流程就將是空中樓閣,失去成長的基礎。
(五)恰當?shù)娘L險識別途徑是風險識別工作高效進行的基本保證
構建風險“全景圖”需優(yōu)化風險識別途徑。風險識別的途徑很多,從公司業(yè)務的戰(zhàn)略規(guī)劃和盈利預測,到公司各個主要業(yè)務執(zhí)行層面的管理和流程控制,都為風險事件的識別提供了按圖索驥的指引。筆者認為,最直接的途徑往往也是最有效的。具體而言,企業(yè)在風險管理的過程中,應注重從基本業(yè)務單位的經(jīng)營情況去分析風險,與基層業(yè)務人員交流風險,在業(yè)務分析報告中找尋風險。比如微軟公司的風險管理部門非常重視與業(yè)務部門面對面地交流。按照微軟公司財務總監(jiān)的說法,通過這樣的方式,風險管理部門至少可以掌握企業(yè)所面對的90%的風險。在實踐中,從業(yè)務報告中分析風險已成為絕大多數(shù)企業(yè)識別風險的重要途徑。
(六)先進的識別工具為風險識別提供了充分有效的技術保障
構建風險“全景圖”需運用恰當?shù)娘L險識別工具。用于進行風險識別的工具很多,常見的主要包括: 風險檢索列表、PEST問卷、SWOT問卷以及風險數(shù)據(jù)庫等。其中風險檢索列表是由公司經(jīng)理層基于豐富的工作經(jīng)驗而開發(fā)的,它給公司內(nèi)部人員以相應的告示和提醒,避免今后的工作重蹈覆轍; PEST問卷主要分析公司所面臨的外部風險,包括對政治、經(jīng)濟、社會和科技等因素的分析;SWOT問卷主要是對公司的優(yōu)勢、劣勢、機會和威脅等問題進行分析。
此外,現(xiàn)場分析、自我評估、集體討論和情景模擬等方法也都被廣泛地運用在風險識別的工作中。這些方法各有側(cè)重,企業(yè)應根據(jù)管理的需要,選擇恰當?shù)姆椒ńM合。
二、重視風險之間關系的風險評估
對企業(yè)面臨的風險進行有效識別后,應對各種風險發(fā)生的可能性及其對公司運營造成威脅的大小進行衡量和評估。按重要性、嚴重性或者對企業(yè)影響的大小,對風險進行排序,形成企業(yè)風險評估報告,為風險控制決策提供科學依據(jù)。
(一)風險分析和評價是風險評估的基本環(huán)節(jié)
風險分析就是對識別出的各種風險的特征進行明確描述,分析其發(fā)生的可能性和發(fā)生的條件。具體體現(xiàn)在如下幾個方面:一是無論事件是否會導致財務損失,都應在當期的風險分析報告中加以反映。風險事件可以包括重要的顧客賬目損失、政策違犯、系統(tǒng)失效、舞弊以及官司等。對于重要的風險事件,其潛在的影響、根源和商業(yè)反應等事項也應包括在風險分析報告之中;二是由信用、市場和營運風險導致的損失應該系統(tǒng)地從損失數(shù)據(jù)庫中獲取并總結(jié)在風險報告中。風險分析的注意力應重點放在超出某一限制上的特別損失以及與收入或銷售量相關的總損失上; 三是風險分析應給管理層提供風險的前瞻性評估,主要是對現(xiàn)有風險的發(fā)展趨勢及將來可能出現(xiàn)的風險進行預測,為管理層提供參考。
風險分析和評價后,可以根據(jù)風險發(fā)生可能性的大小、對企業(yè)影響程度的高低,將風險反映到風險坐標圖中,如圖3所示,A、B、C、D分別代表了風險發(fā)生可能性的大小及影響程度高低的不同組合,對于發(fā)生可能性較大且影響程度較高的風險,應重點關注。
(二)全面風險管理應重視風險之間關系的評估
企業(yè)面臨的風險不是孤立的,它們之間或相互促成,或相互消減,或不相關。風險的變動性、流動性和高度互相依存的特性,使得企業(yè)在進行風險評估時,不僅要評估風險本身,還應對風險之間的關系進行充分評價。在此基礎上,從資產(chǎn)組合的角度去管理風險,既可以利用風險之間相互抵消的關系,節(jié)約企業(yè)管理資源,又可以防范風險的相互促成,從而釀成更大的風險。風險分析應包括風險之間的關系分析,以便發(fā)現(xiàn)各風險之間的自然對沖、風險事件發(fā)生的正負相關性等組合效應,從風險策略上對風險進行集中管理。
(三)掌握恰當?shù)姆治?、評價工具
隨著管理技術的不斷發(fā)展,風險評估工具也日漸豐富,常見的有以下幾種:
1.風險影響概率矩陣。風險影響概率矩陣對于風險所導致負面影響的量化,從嚴重性和發(fā)生概率兩方面同時描述,使得對風險的刻畫更為有效和清晰。
2.風險指標分析。依據(jù)行業(yè)和企業(yè)自身情況,選取系列指標,根據(jù)對指標的分析,提出可能的癥狀或警告信號。風險指標還可以與從外部渠道中獲得的主要變量的變動結(jié)合起來,提供風險變動的早期警告。實際使用中,可以根據(jù)經(jīng)驗對指標定義不同的重要權數(shù),還可以通過風險診斷獲得附加數(shù)據(jù),確認或拒絕前期風險繪制圖中的評級,見表1。
3.風險評級或打分。用既定的標準對風險水平“評級”或“打分”,經(jīng)常被用來以一致的標準給客戶的信用風險進行評價,支持并監(jiān)督信用決策,詳見表2。
4.表現(xiàn)測量。許多情況下,風險不能直接測量,依靠該風險引起的企業(yè)經(jīng)營業(yè)績的變動可以對風險本身進行間接和相對有效的測量。例如,客戶滿意程度風險就是通過結(jié)合公司內(nèi)部運營統(tǒng)計數(shù)字及其他客戶反饋信息做出的。這樣,公司可以評估客戶滿意程度,了解客戶的需求,使客戶能夠接受。
5.風險模型測試。對數(shù)據(jù)便于收集,便于量化的風險而言,通過嚴密的評估模型和分析方法來支持風險的測試,是風險評估中行之有效的方法,對金融服務企業(yè)而言更是如此。至于選取何種模型,應視企業(yè)的具體情況而定。
值得注意的是,風險評估工具是為評估風險服務的。企業(yè)經(jīng)營發(fā)展戰(zhàn)略、風險管理的目標和業(yè)務流程的特殊性等,都是使用風險評估工具時必須考慮的因素。
(四)形成風險評估報告
風險評估報告是對風險識別和風險評估工作的總結(jié)和歸納。風險評估報告應該運用通用風險語言、合理的評估方法,為企業(yè)全面風險管理提供一個整體的參照。在傳統(tǒng)的管理體系下,要么無人負責整體的風險報告,要么各風險管理部門提供了不一致的、有時甚至還互相矛盾的報告。而全面風險管理體系則有效地克服了這一問題,在確保精煉、明確、全面的前提下,風險評估報告能夠涵蓋企業(yè)面臨的所有風險類別、風險事件和損失程度,并能指出問題的關鍵所在,在為企業(yè)管理層風險管理決策提供基本依據(jù)的同時,也讓企業(yè)的每一位員工對企業(yè)所面臨的風險有個整體的了解,讓他們更直觀地了解到自己處在企業(yè)風險的哪個環(huán)節(jié),從而有利于激勵他們積極參與到風險管理中來。
三、視風險為企業(yè)特殊資源的風險控制
全面風險管理,就是要保持企業(yè)所面臨的風險與可能的收益之間的平衡,風險控制是落實風險管理目標的最關鍵、最直接的方式。“企業(yè)開展全面風險管理工作,應注重防范和控制風險可能造成的損失和危害,也應把機會風險視為企業(yè)的特殊資源,通過對其進行管理,為企業(yè)創(chuàng)造價值,促進經(jīng)營目標的實現(xiàn)。”
(一)風險控制原則
鑒于風險控制在企業(yè)風險全面管理中的重要意義,在進行風險控制時,應該堅持以下幾個原則:
1.區(qū)別對待風險。經(jīng)過風險識別和評估后,各種風險發(fā)生的可能性及影響大小都形成了明顯的區(qū)分,要優(yōu)化利用資源,對不同的風險采取不同的策略。
2.風險與收益相平衡。風險會給企業(yè)帶來損失,也可能給企業(yè)帶來收益。企業(yè)全面風險管理與傳統(tǒng)的風險管理最重要的不同之處就在于,前者對風險進行了更仔細的劃分,能夠積極地從風險中創(chuàng)造價值,而不是對所有的風險都防范、化解。全面風險管理的核心就是要維持好風險與收益之間的平衡。
3.積極應對。積極應對風險就是要建立起業(yè)務單位與風險管理的伙伴關系模式,即“業(yè)務單位與風險管理部門一起評估和解決風險管理問題并且擁有共同的目標”。在伙伴關系模式中,業(yè)務單位與風險管理部門既擁有各自的績效目標,同時也共有一些重要的績效計量目標。
(二)確定風險偏好和風險承受程度
企業(yè)作為一個經(jīng)濟體,在處理風險時,首先應明晰自身的風險偏好,明確風險的承受程度。明晰自身風險偏好,就是企業(yè)要對自身的經(jīng)營戰(zhàn)略和風險理念有清晰的認識,根據(jù)其發(fā)展戰(zhàn)略要求確定風險偏好標準,并參照此標準決定愿意或不愿意承受哪些風險。筆者認為,企業(yè)在確定自身的風險偏好時應理性適中,不易過于保守或冒險。過分地冒險,會較大地增強企業(yè)遭受損失的可能性,使企業(yè)面臨的風險過于外溢,加大企業(yè)持續(xù)發(fā)展的不確定性; 過于規(guī)避風險則會使企業(yè)在經(jīng)營發(fā)展過程中束手束腳,喪失一些具有一定風險但收益極為可觀的發(fā)展機會,不利于企業(yè)的快速成長。
明確自身的風險承受程度,就是指企業(yè)在風險偏好基礎上設定的,對目標實現(xiàn)過程中所出現(xiàn)的差異可容忍限度。在確定各目標的風險容忍度時,企業(yè)應考慮相關目標的重要性,并將其與企業(yè)風險偏好聯(lián)系起來。
(三)制定風險應對策略
風險控制的核心,就是制定出適當?shù)娘L險應對策略。策略的制定必須遵守一些基本原則,特別是在商業(yè)運作中,有些風險是無法避免的。
根據(jù)風險發(fā)生的可能性及對企業(yè)造成影響的大小,結(jié)合公司風險偏好和風險承受程度,處理風險的策略主要有: 避免、轉(zhuǎn)移、小心管理或可接受等,見圖4。
(1)對于發(fā)生可能性較大、且影響程度極深的風險,企業(yè)應當盡量避免,以免損失慘重,危及生存。(2)對于影響程度較低、發(fā)生可能性較大的風險,可以采取轉(zhuǎn)移的策略。相應的方法主要有:與財務獨立且有賠償能力的實體簽訂保險合同,進入資本市場利用衍生金融工具對沖風險,通過有效的定價機制將風險資產(chǎn)證券化,通過外包非核心業(yè)務來轉(zhuǎn)移風險等。(3)對于影響程度較高、發(fā)生的可能性較小的風險,應當小心管理,力求將風險控制在合理范圍內(nèi)??梢圆扇》稚⒒蚩刂频姆椒? 分散是指在地理區(qū)域或客戶構成上將業(yè)務進行合理組合,適當降低產(chǎn)品或服務的客戶集中度和區(qū)域集中度; 控制是指通過內(nèi)部流程或行動,使負面事件出現(xiàn)的可能性降低到一個可以接受的水平。(4)對影響程度和發(fā)生可能性都較低的風險,可以選擇承擔的策略。相應的方法有: 分配,即在公司內(nèi)部適當分配資金,為所承擔的風險融資并取得預期回報;擴展,即通過投資新行業(yè)、新的市場及新的客戶群擴展商業(yè)組合;創(chuàng)新,即創(chuàng)造新的產(chǎn)品、拓展新的服務及渠道;定價,即通過對產(chǎn)品定價來影響客戶的選擇等。
(四)充分利用機會風險的價值
全面風險管理要求從資產(chǎn)組合的角度看待和處理企業(yè)所面對的各種風險。在單一的風險管理中,風險策略只在單一交易或單一層面實施,這樣就忽視了各風險類型之間或許能相互分散的關系,容易引起過度的對沖及過多的保護。因而,在對風險之間的關系進行充分評估的基礎上,風險控制應合理利用這種關系,從資產(chǎn)組合的角度看待公司所面臨的各種風險,以達到擴大收益與降低風險的雙贏目標。
(五)控制不利風險
在實際操作上,可選取先進的技術指標對不利風險進行控制,如止損限額、靈敏度限制等。止損限額即是將上述風險承受程度數(shù)量化、具體化,對每一重要的風險敞口,都可以在充分考慮收益及企業(yè)承受能力的基礎上制定具體的止損指標,當實際的損失或表現(xiàn)觸及這一限額時,企業(yè)則應做出一些決策或行動,包括管理回顧審查、對沖策略、緊急應變預案以及退出策略等。企業(yè)還可以嘗試在止損限額之下設立“預警”限制,就像在紅色交通信號之前設立黃色信號一樣。靈敏度限制則主要用于避免風險過度集中,在已知風險頭寸和經(jīng)濟環(huán)境的不利變化的情況下,控制企業(yè)擁有的風險資本數(shù)量。當然,設立風險限制只是整體風險管理過程的一個環(huán)節(jié),其作用的發(fā)揮依賴于有關限制的信息(特別是限制被突破的信息)能否及時報告給管理層,且管理層是否能依據(jù)該信息果斷地做出應對措施。