浅析有效实施企业风险管理的工具与技术

来源:用户上传      作者: 袁克利

　　一、引言
　　
　　企业风险管理（简称ERM）是企业管理的核心领域之一。简言之，ERM是企业管理层和员工实施的旨在将潜在风险控制在企业可承受的范围之内，并对企业战略、经营效率与效果、财务报告可靠性以及遵循适用的法律法规等目标提供合理保证的过程。
　　本文将着重探讨ERM的实用工具与技术。这些工具与技术大致可以分为风险识别、风险评估和风险应对三个大类。风险识别旨在找出可能对企业目标的实现具有影响的潜在事项，并且分析这些事项与企业目标达成之间的因果关系；风险评估则是对已经发现的风险事项进行评估，确定这些事项对企业目标的影响程度；风险应对则是根据评估结果制定、选择并实施那些降低风险对企业目标的负面影响的各种措施。
　　
　　二、风险识别与分析
　　
　　（一）不确定性与风险
　　经济、政治、技术、市场、竞争、企业内部管理等企业经营所处的内外环境都存在某种程度的不确定性。对于企业的战略目标、经营目标、报告目标和合规目标，这些不确定的事项既可能带来正面影响，也可能带来负面影响。大多数的不确定事项发生之前无法预知其带来的影响是正面的还是负面的。因此，企业需要协调自身的风险偏好，把各种潜在的风险控制在可承受的风险容限之内。
　　（二）识别风险的技术
　　1.自由讨论。请一些理解企业目标并了解企业经营环境的人举行一个讨论会，通过发挥参会人的主动性和创造性查找各种主要风险。这些讨论会要求参与者通力合作，让仅为极少数人知晓的风险被所有参与人知悉，让各种未知风险和未发现的风险变成已知风险。
　　2.风险事件清单和损失事件记录。在自由讨论中非常有必要向参与人提供一些启发性资料，如风险事件清单或损失事项记录。参与人可以从本企业或其他企业已经发生过的危机事件记录中得到启发，有利于查找本企业未来可能发生的类似事件。
　　3.访谈与自我评估。首先向组织或业务单元的每个人提供一个模板，指导他们列举其所负责的范围内的目标及可能影响此目标实现的潜在风险；然后把所有模板汇总到ERM团队，确认和评估各种风险及应对风险的能力。
　　4.引导式研讨会。通过自由讨论和访谈收到了相关信息后，由多个部门或业务单元的人员组成的ERM团队可以举行一个引导式研讨会，通过这种研讨识别风险并且进行评级。
　　5.SWOT分析。SWOT也就是优势―劣势―机会―威胁，通过对四个方面的因素进行分析，可以有效地识别风险。利用SWOT分析技术识别风险时，需要把大量的时间和精力用在考虑组织的劣势和威胁上。在深入地进行讨论进而形成一致意见的基础上编制风险矩阵，这样可以保证每个方面都得到充分的分析。
　　6.风险问卷和风险调研。为了有效地识别风险，可以利用问卷调查形式就组织内部和外部的各种风险收集信息。与外部因素相关的风险包括政治和社会风险、监管风险、行业风险、经济风险、环境风险、竞争风险等；与内部因素相关的风险包括与客户、债权人、投资者、供应商、运营、产品、生产过程、设备和信息系统等相关的风险。也可以不使用冗长的问卷而直接向相关人员提问调查。
　　7.情景分析。进行情景分析时，需要设计一系列“如果……那么……”的问题。情景分析尤其适用于识别战略风险，也经常被用于识别那些高损失/低概率的风险。
　　8.其他技术。其他可以用于识别风险的方法包括价值链分析、系统设计复核、流程分析等。另外，在必要的情况下聘请外部专家也能够帮助组织有效地识别风险。
　　（三）风险动因分析
　　识别一个风险之后，需要对风险进行动因分析，找出导致这种风险的根本原因和主要动因，只有这样才能正确地对风险进行量化评估。可以利用情景分析构造一个因果分析图，进而找到导致该风险的各种动因。例如，在对“未实现收入目标”这一风险进行分析时，可以找到一系列可能导致该风险的原因，进而形成因果分析链和因果分析图，详见图1。
　　
　　为了预测风险事件的后果并对其进行量化，需要在风险动因分析的基础上，分析每个风险动因对目标的影响，进而把这些影响汇总起来，以便定量评估风险对目标的影响。进一步来说，只知整体风险而不知具体动因，会使企业掌握的信息过于综合而无法进行风险防范。而这一过程已经把存在风险的目标分解为不同的风险动因，并且分析每个风险动因对整体风险的影响。因而，企业可以针对不同风险动因对症下药，有效防范风险事件的发生，降低风险事件对企业目标的负面影响。
　　
　　三、风险评估
　　
　　（一）风险分类
　　如果企业识别了成千上万种风险，看起来错综复杂而无法防范和管理，就需要对所有风险进行分类。例如，可以把各种风险分为财务风险、战略风险、经营风险和灾害风险，或者分为可控风险与不可控风险、内部风险与外部风险、可量化风险与不可量化风险、财务风险与非财务风险、可投保风险与不可投保风险等等。经过这样的分类之后，企业才能够进一步针对不同类型的风险进行评估、防范和管理。
　　（二）风险评估技术
　　1.风险评级。风险评级是指ERM团队按照重要性程度排列风险的优先次序，如低、中高。风险评级可以通过组织一个跨部门的会议进行，来自整个组织的各种观点都在评级中得到考虑。风险评级看起来很简单，但其结果却会给人以深刻的印象。
　　2.风险矩阵。一个风险事件的重要性不仅取决于它所产生的影响而且取决于它发生的可能性。因此可以利用各种风险的影响和概率数据编制风险矩阵。这种矩阵不仅有助于捕捉影响和可能性信息，而且有助于企业全盘考虑所有风险，以便逐个排查和分类应对。把影响和概率作为两个向量，分别设置高、中、低三个类别，把所有的风险分别归入相应的区域，进而对不同区域的风险制定相应的防范措施。风险矩阵虽然全盘考虑所有风险，但没有反映风险事件发生的时间以及风险事件之间的关联。因此，使用风险矩阵时非常有必要明确风险及其后果在何时会影响企业，同时考虑各种风险之间的关联性并且从企业整体的角度实施管理。
　　构造风险矩阵的另一种方法是把风险与分支机构或目标对应起来。针对不同分支机构确定确定相应的风险，可以分别找到与不同分支和组织整体对应的风险。而按照目标构造风险矩阵反映了每个目标涉及的全部风险，有助于企业更加全面地理解每个目标面临的风险。
　　3.验证所估计的影响和概率。企业可以利用历史数据来测算风险事件的发生频率及此类事件带来的影响，并据此验证定性评估中对影响和概率的估计。另外，其他企业发生的类似事件也可以帮助企业理解此类事件可能对本企业造成的影响。
　　4.收益－损失曲线。收益－损失曲线以概率分布的形式反映一个风险对企业财务状况和经营成果的影响。收益－损失曲线以横轴表示风险事件对收益的影响（导致的损失或带来的收益），纵轴表示该事件的影响超过曲线上对应的数值的概率，整个曲线则反映了企业从该风险中得到多少收益或遭受多少损失。这种信息是管理层决定花费多少钱来管理该风险时必须掌握的信息。不过，收益－损失曲线不反映各种风险之间的关系，也无法把所有风险同时反映出来。
　　5.旋风图。旋风图反映多个风险对某一目标（如收入、利润、每股收益等）的影响。它虽然不反映风险的相关性和分布，但是它能够把对某个目标有影响的所有风险都放在一起，进而发现影响该目标的最大的风险。
　　6.风险调整后的收益。风险调整后的收益可以使管理层看到，如果风险得到有效管理，收益会怎么样。把固有风险下的收益、剩余风险下的收益和期望收益同时反映在一个图表内，可以看出风险调整后的收益比较平滑和稳定。尽管投资者喜欢收益增长，但他们也喜欢某种程度的稳定性和可预测性，并且愿意为这些特性支付一定的溢价。因此，风险调整后的收益可以帮助管理层制定风险管理目标和评价风险管理业绩。

　　7.风险敏感性分析。风险敏感性分析旨在分析收益（或现金流量、每股收益等指标）围绕期望水平上下波动的情况下。在这种方法中，可以分析各种变量对收益的影响，例如利率变动1个百分点时，收益会变动多少。依此类推，可以编制一份预期或预算利润表，然后测试其对于某些风险的敏感性，进而找到存在风险的收益项目。不仅如此，风险敏感性分析还有助于企业找到收益背后的风险来源，进而有的放矢地实施防范和控制。
　　8.风险分解。企业可以把风险分配到相关业务单元，以便检验和比较每个业务单元面临的风险高低以及风险防范措施的有效性。有了这种信息，公司就可以比较每个业务单元的收益水平和风险。那些收益较低而且风险较高的业务单元也许不是值得保留的业务单元。同样，也可以按月份分解总体风险，以帮助企业找到风险最大的月份。
　　（三）确认和评估剩余风险
　　剩余风险是与固有风险相对而言的定义。固有风险是指在企业不采取任何风险防范措施时面临的风险水平；而剩余风险是指对最初确认的风险采取降低措施和实施控制之后仍然存在的威胁各种目标的风险。
　　为了进一步发挥风险评估在风险应对决策和业绩评价中的作用，可以将剩余风险分为现有控制产生的剩余风险和现有控制加风险应对措施后产生的剩余风险。固有风险与现有控制下的剩余风险之间的差异说明了现有控制的有效性；现有控制下的剩余风险与风险应对后的剩余风险之间的差异则表明风险应对措施的有效性；二者之和则反映整个企业风险管理流程的有效性。
　　
　　四、风险应对
　　
　　1.回避风险是指企业避开特定风险事件以免受其影响，如退出某项业务或细分市场、不参加会产生新风险的方案或活动等。企业虽然通过这些举措回避了风险，但是也无法得到与该风险相关的收益。不仅如此，企业不可能回避所有风险，回避一种风险就会面临另一种风险。企业需要在明确风险偏好的前提下，权衡风险、收益及风险容限，决定回避哪些风险而不回避哪些风险。
　　2.降低风险是指降低可控风险发生的概率以及减少已发生风险事件导致的损失。例如，通过完善业务流程和内部控制可以降低产品缺陷、库存不足、生产管理失误等可控的风险事件的发生概率；通过制定业务连续性计划和危机处理机制可以在风险事件发生后尽可能减少损失。
　　3.分担风险是指通过合同、协议、保险等方式把风险事件可能导致的损失转移给第三方。常见的例子包括给重大意外损失投保、参加合资或合伙、外包部分业务、利用衍生金融工具避险等。
　　4.接受风险是的常见例子包括依靠投资组合自我抵消、设立风险基金抵御风险、接受那些处于风险容限之内的风险等。
　　
　　五、结束语
　　
　　企业风险管理是一个系统工程。虽然COSO ERM框架和IMA ERM公告等文件已经提供了比较具体的风险管理指南，但是实施ERM时仍然有许多难题需要解决。本文仅从技术角度初步探讨了实施ERM的工具和技术。企业具体应用这些方法时需要结合自身情况灵活运用，在ERM实践中对这些方法进行完善和创新。
　　（作者单位：东北财经大学会计学院）

转载注明来源:https://www.xzbu.com/3/view-1343124.htm