1、第七章 风险管理,2,案例一:美国安然公司 (Enron),在2002年,安然是美国最大的石油和天然气企业之一2001年末,安然宣布第三季度录得6.4亿美元的亏损,美国证监会对该公司进行调查,发现该公司在1997以来虚报利润5.8亿美元2001年末,安然申请破产保护令,但在之前10个月内,公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利,3,调查发现:安然的董事会及审计委员会均采取不干预(“hands-off”) 监控政策事件发生之后,部分董事表示不太了解安然的财务状况、 期货及期权的业务安然重视短期的业绩指标安然管理高层常常藐视或推翻公司制定的内控制度,4,案例二:美
2、国世通公司 (Worldcom),世通是美国第二大的电信公司2002年,世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法,多年来虚报利润735亿美元世通于2002年末申请破产保护令,成为美国历史上最大的破产个案世通的四名主管(包括公司的CEO和CFO) 承认串谋讹诈,被联邦法院刑事起诉,5,调查发现:世通的董事会持续赋予公司的CEO(Bernard Ebbers) 绝对的权力,让他一人独揽大权美国证监会的调查报告指出:世通完全没有制衡机制世通的董事会并没有负起监督管理层的责任世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金,6,案例三:英国巴林银行 (Barings Bank),
3、巴林银行在90年代前是英国最大的银行之一,有超过200年的历史1992-1994年期间,巴林银行新加坡分行的总经理里森(Nick Lesson) ,从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动 ,累积亏损超过10亿美元,导致巴林银行于1995年2月破产,调查发现:巴林银行的高层对里森所从事的业务并不了解巴林缺乏职责划分的机制巴林银行的高层对财务报告不重视,7,二、风险管理概述,1、风险的定义 (1)事件发生的不确定性 (2)事件遭受损失的机会,8,2、风险的特性客观性普遍性损失性可变性,9,3、企业风险的种类行业风险生命周期阶段波动性集中程度,10,经营风险市场风险(利率
4、、汇率、商品价格、股票价格)政治风险操作风险(员工、技术、舞弊、外部依赖、过程/程序、外包)法律合规性风险项目风险信用风险产品风险流动性风险环境风险声誉风险,11,4、企业风险管理(1)定义 企业风险管理是一个过程,它是由一个主体董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。,12,(2)构成要素内部环境 内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。目标设定 企业风险管理确保管理
5、当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。事项识别 必须识别影响主体目标实现的内部和外部事项,区分风险和机会。风险评估 通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。,13,风险应对 管理当局选择风险应对回避、承受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。控制活动 制定和执行政策与程序以帮助确保风险应对得以有效实施。信息与沟通 相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。监控 对企业风险管理进行全面监控,必要时加以修正。,14,(3)目标战略目标 高层次目标
6、,与企业愿景相关联并支撑其愿景。经营目标 有效和高效率地利用其资源。报告目标 报告的可靠性。合规目标 符合适用的法律和法规。,15,三、企业风险管理框架,16,股东对企业风险管理最关心的四个问题风险管理框架:一个基础、三道防线构建风险管理的关键成功要素,17,企业为何要建立风险管理?,因为企业的股东与管理层常常要面对一些令他们寝食难安的问题。因此,企业需要系统化地建立一套风险管理体制,从而识别影响企业盈利的关键因素,并对那些会影响企业达标的风险进行监控及管理,18,股东对企业风险管理最关心的四个问题:,企业知道它所面对的主要风险吗?例如:什么风险正在或将会影响企业的业务? 企业的品牌 新产品、
7、新市场的开发 战略联盟 客户或供应链的管理,理想的情况:企业能开发一套标准的、共通的风险语言,从而识别企业所面对的风险,并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通,19,企业是否已对这些风险设置内部控制?企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险),构建内部控制(包括预防性控制及觉察性控制) ,以确保企业能实现目标和符合各方面的法律、法规,理想的情况:企业就其所面对的风险和采取的内控,编制一套完整的文档,并借鉴国际最佳的实务不断进行检讨,20,企业的内部控制有效吗?企业要对其内控系统不间断地进行监控和测试,以确保其对风险
8、控制的能力,理想的情况:企业把各类风险控制在可接受的水平,并在这基准上赚取合理的回报,21,哪一些内部控制必须改进?企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施,理想的情况:企业能建立一套具前瞻性的信息管理系统和预警系统,使企业能及时识别新生的风险,并对相关的业务计划、政策和程序进行修正,22,企业风险管理框架,一个基础三道防线,23,一个基础:公司治理结构,什么是公司治理?公司治理是涉及公司的表现:它关系到一家公司如何得到有效的管理,从而发挥最佳表现公司治理是涉及责任的问题:它关系到董事会及管理层如何向股东负责,而使股东能从公司的表现中得益,24,公司治理与风险管
9、理有什么关系?,公司治理是风险管理的一个必要的组成部份,因为它提供了对风险由上而下的监控与管理近年多个国家都订立了公司治理的最佳守则:美国:纽约证交所最佳治理守则英国:Cadbury/Hampel Report、The Combined Code加拿大:Dey ReportOECD Report这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任,25,如何构建一个有利风险管理的公司治理结构?,建立一个健全的、以董事会为首的公司治理结构订立企业的目标和战略,包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观,26,第一道防线:业务单位防线,业务单位包含了企业大部分的资产和业务,
10、它们在日常工作中面对各类的风险,是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中,才能建立好防范风险的第一道防线,27,如何建立第一道防线了解企业战略目标及可能影响企业达标的风险识别风险类别对相关风险作出评估决定转移、避免或减低风险的策略计设及实施风险策略的相关内部控制,28,(风险宇宙TM ),资信,制度,知识产权,财务,流动资产与信贷,资本结构,市场,财务报告,营运,法律,生产程序,营商环境,市场结构,民风与文化,管治,策略,董事会活动,交易,并购,变卖,声誉,道德,社区责任,风险管理,董事会及管理层业绩,组织结构,监察与沟通,执行,筹划与开发,利益有关方,供应商
11、,政府,顾客,股东,经济情况,国家情况,市场变化,竞争对手,人才资源,雇员,沟通,有形资产,机器、厂房与土地,其他有形资产,负债,合约,法规,市场与销售,生产及流通,商品/服务开发,流程,估值与选择买家,评估与甄选,尽职调查,并购后整合,资信管理,运营,组织与监察,硬件,软件,网络,无形资产,知识管理,信息,现金管理,对冲,融资,股东资本,债务,商品,利率,外汇,税务,会计,合规,风险宇宙,29,战略性风险是指公司因作出战略性错误的决定而导致经济上的损失战略性风险是业务单位、高级管理层和董事会的共同责任常见的战略性风险包括:企业的目标与方针市场潜在的威胁业务的范围(深度与广度)品牌及形象的建立
12、,战略性风险,与战略性伙伴的合作投资和融资的策略员工的素质和雇员关系企业的信息及监控系统,30,信贷风险是指贷款人或合同的另一方因不能履行合约而使公司产生经济损失的风险常见的信贷风险包括:贷款未能回收应收帐款未能回收债券跌价 (因信贷评级的减值或债务人未能履行付款义务)买卖金融市场产品而未能兑现企业因合资、合作、联盟、外包等经济活动而产生或暴露的信贷风险,信贷风险,31,市场风险是指因市场价格或利率波动而使公司产生经济损失的风险构成市场风险的三大因素:因买卖或投资金融产品而产生的风险因资产与负债错配、或原材料与产成品价格不能同步浮动而产生的风险资金流动性风险常见的市场风险包括:利率风险外汇风险
13、股票与债券市场风险商品价格风险期货、期权与衍生工具风险,市场风险,32,操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险,它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等流程风险是指交易流程中出现错误而引致损失的风险,流程包括如:销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险业务风险是指因市场或竞争环
14、境出现预期以外的变化而引致损失的风险,所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域,操作风险,33,风险发生的可能性,34,风险对企业造成的影响,35,风险处理方法的效果,36,风险地图(或风险共同语言),影响程度,几乎 肯定,极可能,可能,低,极低,B,C,A,G,I,D,J,K,H,E,F,可能性,说明:A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险,37,风险处理组合,处理评级,风险评级,近乎没有效果,低效,适中,超标,极度,极高,高,中等,低,A,G,I,D,
15、J,K,H,E,说明:A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险,F,采取行动,密切监控,定期审阅,38,风险处理策略,39,风险策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联盟其他分担风险的安排,小心管理投资广泛保护的安排订价反映风险程度可接受自我保险预留储备增加监督,风险处理策略,影响程度,大,小,40,企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行
16、记录和存档,对内控措施的有效性不断进行测试和更新,第一道防线:总结,41,第二道防线:风险管理单位防线,第二道防线是在业务单位之上建立一个更高层次的风险管理功能,它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作,它的职责包括:编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统 、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析,为各业务单位分配经济资本金,42,第三道防线:内审单位防线,第三道防线涉及一个独立于业务单位的部门,监控企业内控和其他
17、企业关心的问题内部审计的定义:,43,内部审计的三大功能,财务监督财务帐的可用性内部管理和制度的执行典型例子:检查分、子公司上报总部的财务报表的准确性以及执行财务管理政策的情况经营诊断管理审计以及效率和效益审计检查和诊断经营和管理过程中的偏差和失误典型例子:企业对某业务单位或某部门执行效益审计(一个输入与产出的关系),44,咨询顾问企业风险管理和发展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子:兼并收购时调查被投资公司的内部管理和流程操作,了解薄弱环节或其他影响并购交易的重大事项,从而确定管理方法和并购策略,45,构建企业风险管理的关键成功要素,1.股东确立对企业监督的机制,考虑
18、是否需要在集团层面:引入以董事会领导的管理体制聘任有经验的外部董事,来加强对企业的监督要求企业建立风险管理和内控系统,并对其运作及有效性作出定期的汇报,46,2.管理高层的支持和参与确立方向和目标营造必要的环境为平衡风险与回报作出战略性的决定,风险,调整风险后的回报,47,3.建立风险管理文化风险管理的手段,必须融入日常的管理流程通过讨论和培训,使风险管理的实施得到“全民” 的支持通过经验的分享,不断加强风险管理的认同性4.采用先进的风险管理的实施方法借鉴如美国 Treadway 委员会所提出的COSO内控框架采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险、评估风险、建立记录和
19、文档、参考国际最佳实务,构建信息管理系统和预警系统,48,案例分析,诺基亚的风险管理 1998年,当时全球惟一供应芯片的菲利普的欧洲芯片厂因失火导致作为手机主板上必不可少的芯片的供货几乎中断。情况万分危急。 作为主要手机生产商的诺基亚公司立即采取了行动:CEO亲自飞抵该制造厂,将仅有的库存拿了下来,并且获得了其恢复生产后对诺基亚公司优先供货的保证;而同样对这件事情的不同处理,使当时手机行业最著名的爱立信公司永远退出了手机制造业,49,一、解读风险管理 “风险”这个词,在诺基亚被认为是那些会导致经营目标(包括短期和长期的经营目标)受损的相关风险。 由于诺基亚公司控制企业经营的风险出发点非常明确为
20、股东创造最大价值,因此,根据股东价值模型:股东价值公司利润公司风险:即利润越高股东价值越大,风险越大股东价值越小。如果企业管理者进行了很好的风险管理和控制,风险可以转化为成本,那么,在这种情况下,股东价值公司利润。,50,诺基亚的风险管理目标:通过减少纯粹风险的成本而使股东的商业价值最大化;通过风险管理,确保企业在任何情况下都能将经营继续下去。 诺基亚的风险管理理念:“公司有责任采取有效的风险管理措施(作为核心管理能力之一)支持公司完成其价值目标。” 诺基亚的风险管理原则:通过采用最基本的、系统的方法管理来自商业交易活动、支持平台和运作流程中的各种风险;风险管理是诺基亚公司的管理层和所有员工的
21、基本责任,包括对自己职责和经营范围内可预见的风险有责任(并且是作为风险管理的第一责任人)提醒他人和管理层注意;积极的预见和管理风险,在机会中获取直接的利益并管理潜在的危险;,51,二、驾驭风险管理 诺基亚公司对于风险的偏好/容忍度是这样: 对于商业活动本身存在的内在风险,诺基亚是准备接受风险并获取最大的回报,理解并利用、管理和化解那些已经风险化的事件中不利的影响。 而在下列方面,公司是厌恶风险的:影响人身安全的;危及公司的生存和关键资产的(比如:商标);会导致触犯法律法规的;,52,在了解了公司风险偏好的基础上,诺基亚对风险可能的应对措施: 接受风险:有很多的商业风险是必须接受的;应对风险:对
22、大部分重大风险采取积极主动的应对措施而不是被动的反应和处理;转嫁风险:通过转移或者转嫁风险来减少影响 (比如:保险), 共担 (比如:与别人合作),通过合同转移等。 注: 转移风险并不会导致转移责任;终止风险:风险是可以通过终止特定的经营活动或从某个市场退出等行动来避免的。,53,技术上,诺基亚的风险管理平台由两部分组成-政策平台和系统平台。政策平台是关于组织与个人在处理风险中的原则、角色和责任的哲理体系。系统平台则是一系列在日常工作的流程与业务活动实践中贯彻风险政策的做法和工具。 程序:一个循环的流程参与的人:参与的人及其职责改进与发展:应对变化与新事务,54,诺基亚风险管理的程序循环从定义
23、职责与实际操作开始,包括了目标的审核,风险的识别,风险的分析,风险的管理,风险的监控六个步骤(如图):,55,以上六步循环过程定义了风险管理的任务和必须做的事情,在实践中,这个流程被用作完成风险管理任务的指导和参照的模型,它由业务与信息的流程、参与风险管理的员工角色定义、完成风险管理的方针以及好的实例或者说榜样等要素组成。上图的每一圆环代表了一个特定的风险管理步骤,并且与一个独立的活动相关联,而每一个活动又由:为什么?怎么做?什么时候做?和由谁来做?等比较详细的活动描述组成,每一个活动都有其特定的输入与输出信息-这也是用来联系上下环节的要素。,56,三、让风险管理落地 为了实现上述活动与目标,
24、在诺基亚公司,除了最基础的管理工作保证了全员参与并实现其风险管理思想外,最有价值的一环就是将这些战略、要求和体系落地的工具。政策、理念、流程、工具以及参与的人构成了风险管理的系统性架构,诺基亚公司通过其创新的风险管理理念和完备的控制手段,真正为股东实现了价值。之所以能够做到这一点,绝对不是诺基亚领导人一时的灵光闪现,而是其多年来风险管理体系发挥的作用,包括1998年“芯片断货事件”如此紧急的事情也是严格按标准处理的,并没有病急乱投医,因为手足无措而打乱了既定的应对风险的程序。,57,此外,诺基亚风险管理中另一个值得我们借鉴的地方是其完善的风险管理和应急机制并没有耗费过多的成本,也没有庞大的风险管理部门来支撑这项业务。它的成功之处在于将其风险管理的意识和政策灌输和落实到了每个管理者和员工的心里并融于日常工作中。这个做法与ISO9000的全员质量管理思想是完全一致的。,58,思考的问题: 诺基亚风险管理的亮点在哪里?,59,本文观看结束!,谢 谢欣 赏!,
