1、Chapter 一 企业风险管理基础,西北大学经济管理学院 王满仓 教授 博士导师 Tel:13991355313,企业风险管理讲座,金融资本时代的竞争,争夺财源、创造价值、增加财富,金融,货币化,资本化,证券化,财富化,社会化,时代的战争,毛泽东,邓小平,胡锦涛,江泽民,习近平,人 文 战 争,体 制 战 争,贸 易 战 争,货 币 战 争,金 融 战 争,4,1、 风险管理概论,风险决策,风险管理的定义 风险管理当中包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。 风险管理亦
2、要面对有效资源运用的难题。这牵涉到机会成本(opportunity cost)的因素。把资源用于风险管理,可能使能运用于有回报活动的资源减低;而理想的风险管理,正希望能够花最少的资源去去尽可能化解最大的危机。 在降低风险的收益与成本之间进行权衡并决定采取何种措施的过程。 确定减少的成本收益权衡方案(trade-off)和决定采取的行动计划(包括决定不采取任何行动)的过程成为风险管理。,5,风险决策,企业管理决策的核心是收益与风险的博弈 管理决策只是两件事: 计算收益:捕捉商机,找到赢利点,量化收益; 评估风险:识别风险,用预期收益作为砝码,评估风险。,企业风险的基本分类,风险较大,风险较小,风
3、 险 级 差 光 谱,1,2,3,4,5,6,风险内涵,客观角度 系统风险:企业所处外部环境产生的风险。其特点是无法控制,只能被动应对,减少损失。例海起风浪。 非系统风险:由企业内部原因产生的风险。特点:可以主动预防和控制。例船出故障。 俗话说“天作孽尚可恕,自作孽不可活”。 主观角度 认识风险:是指那些难以预见的风险,它考验企业的学习能力。 决策风险:是指那些难以预防的风险,它考验企业的管理能力。 控制风险:是指那些难以应对的风险,它考验企业的执行能力。 未能识别“非典”病毒,是认识风险;识别了不知道该怎样应付是决策风险;有了对策但挡不住疫情蔓延是控制风险。 认识风险 决策风险 控制风险。,
4、项目风险分析,项目风险通常包括以下方面:政策风险、市场风险、环境风险、技术风险、客户风险、资金风险、配套风险、协作风险、财务风险、管理风险。,政策风险,经济政策风险是指在建设期货经营期内,由于所处的经济环境和经济条件的变化,致使实际的经济效益与预期的经济效益相背离。对经济环境和经济条件,应以宏观和微观两个角度进行考察。宏观经济环境与经济条件的变化,是指国家经济制度的变革、经济法规和经济政策的修改、产业政策的调整及经济发展速度的波动。 公司面临一般企业共有的政策风险,包括国家宏观调控政策,财政货币政策,税收政策,可能对项目今后的运作产生影响。,市场风险,市场风险是指由于某种全局性的因素引起的投资
5、收益的可能变动,这些因素来自公司外部,是公司无法控制盒回避的。随着潜在进入者与行内现有竞争对手两种竞争力量的逐步加剧,我国许多行业具有营运主体多、小、散、乱,市场竞争较为激烈且处于无序状态的特点。因此企业为了生存及竞争的需要,会采取“价格战”策略打击竞争对手,因而引起公司产品价格波动,进而影响公司收益。,财务风险,财务风险是指企业由于不同的资本结构而对企业投资者的收益产生的不确定影响。财务风险来源于企业资金利润率和接入资金利息率差额上的不确定因素以及借入资金与自有资金的比例的大小。借入资金比例越大,风险程度越大;反之则越小。,管理风险,管理风险。 项目的实施有一定的周期,涉及的环节也较多,在这
6、期间如果出现一些人力不可抗拒的意外事件或某个环节出现问题以及宏观经济形势发生较大的变化,公司组织结构、管理方法可能不适应不断变化的内外环境,将会大大影响项目的进展或收益。 特别是项目融资成功后,相应在项目管理、资金运筹等诸多方面对合作公司均提出了高的要求。公司内部管理中存在诸如成本控制、人员变动、资金运营等方面的不确定性,将为公司的运营带来风险。如何减少管理风险是项目运行过程中必须予以关注的。,对于现代企业来说,风险管理就是通过风险的识别、预测和衡量、选择有效的手段,以尽可能降低成本,有计划地处理风险,以获得企业安全生产的经济保障。这就要求企业在生产经营过程中,应对可能发生的风险进行识别,预测
7、各种风险发生后对资源及生产经营造成的消极影响,使生产能够持续进行。 可见,风险的识别、风险的预测和风险的处理是企业风险管理的主要步骤。,2、 风险识别与头脑风暴,风险识别包括确定可能对项目造成影响的风险,并且把每一风险的特性编制成文档.风险识别不是一次性活动,必须在整个项目过程中经常进行. 风险识别应同时注意内部和外部的风险. 严格的说,风险仅包括遭受损失或损失的可能性.而在项目的背景中,风险识别同时也与机会和威胁有关.,16,风险识别结果,风险识别的意义是为可能发生的风险定性,鉴别其类别,查找其原因。结果分为三个层次: 显性风险:指那些已识别出来的常规性风险。例产品质量的缺陷、生产成本超支、
8、客户拖欠帐款等。这些风险可以用制度性措施类防范,例财务审计制度、质量管理制度、库存盘点制度、技术保密制度等。 潜在风险:指那些暂时没形成威胁,而需要特定条件才能诱发的风险因素。例路上埋的地雷,可主动避免的,但需要工兵和扫雷器。 风险征兆:一方面是指诱发潜在风险发生的特定条件,例气候干燥不是祸但是引起火灾的诱因 ;另一方面指预示系统风险降临前的典型迹象。例股市崩盘前的泡沫繁荣。,风险识别的根本是掌握风险生成的规律,构建预示风险的指标体系,然后进行归类和分析。管理决策中最经常采用的识别风险的方法是头脑风暴法,即依靠集体和专家的智慧。,18,头脑风暴识别法,风险识别方法,社会风险,市场风险,管理风险
9、,技术风险,自然风险,政治风险,案例:投资风险识别,有个朋友在一个高层写字楼旁边投资快餐店,专为投资楼里的办公人员送午餐。投资前把所有可能出现的问题都想到了,而且对投资项目的论证结论是所有风险都是可控的。但一个月内遭致惨败,为什么?,?,客户需求不足?饭菜质量问题?劳动力不足?服务态度?收款?原料供应?周转资金?产权争议?竞争对手?卫生检疫?税务?法律许可?宗教信仰风俗习惯?,电梯,!,中午上下班时期是电梯高峰期,保安不允许送餐人员与工作人员争抢电梯,饭菜如何到达20层楼?,风险识别系统,产品描述,产品描述,项目产品的特性将会对识别出的风险产生主要的影响,使用成熟的技术与需要革新和发明的产品相
10、比,承担较小的风险。,风险识别的工具和技术,检查表:检查表通常是由风险来源组织而成的。来源包括:项目内容;其他风险输出;项目产品或技术事宜;内部来源,如项目队伍成员的 技能等。 绘制流程图:绘制流程图能帮助项目队伍更好地理解风险的成因及结果。 访问调查:走访不同的项目干系人将有助于风险识别,这些风险在通常的计划活动中不易被发现。另外还可以获取以前的调查记录。,风险来源,风险来源:是根据可能发生的风险事件分类的。来源清单应该是综合的,通常应该包括所有已识别的事项,如风险发生频率、发生的可能性、得失的大小等。一般风险来源包括: 需求变化; 设计错误,漏洞及误解; 对角色和责任的不当定义或理解; 估
11、算不当; 员工技能不足。,风险来源描述,对风险来源的描述通常应包括对以下事项的估算:该来源引起风险的可能性; 可能后果的范围; 预计发生的时间; 预计此来源引起风险事件的频率,潜在的风险事件,对项目产生影响的潜在的风险事件是离散发生的,如自然灾害或项目队伍的某一成员离开。除了那些发生可能性及造成的损失量都相对教大的风险来源以外还必须对潜在的风险事件仔细识别。在应用领域中,一般的风险事件检查表是具体明确的,而潜在的风险很少 能明确描述,例如: 在电子行业,新技术的发展将会减少对项目的需求,而房地产行业则不尽然。 由于风暴引起的损失在建筑行业十分常见,而不会发生在生物工程方面。,潜在风险的描述,对
12、潜在风险的描述应包括以下的估算:发生的可能性 可能发生后果的多样性 预计发生的时间 预计发生的频率,3、 风险的模拟情景分析,风险因素分析法也称模拟情景分析法,是风险识别的重要工具。其功能是分析并判断在构成风险的各种因素中,何种因素的影响最大。 基本原理:,风险因素分析,风险因素-A,风险因素-B,风险因素-C,风险因素-D,产生后果,波及范围,影响程度,减收,亏损,破产,质量,工期,成本,中止,改变,挫折,模拟分析数量模型,输入项目的目标和约束条件,调整变量,预测变化,输入,输出,29,4、 风险加权平均量化表,风险评估,风险识别之后进行评估。 量化分析的优点是易于对比和鉴别;易于沟通并达成
13、共识;易于通过设置临界值来进行控制。,量化指标判断风险大小; 风险后果严重性 风险发生概率对比风险值与收益值进行投资决策;设置临界指标控制退出时机。 最常用的风险量化工具是加权平均量化表。其功能是风险定量,即事先确定企业的风险承载底线r,然后再根据测定的风险加权平均量R进行比较。如果R r,则说明风险高于预期值;反之则低。,风险加权平均量化表,注:风险加权综合值公式:R=PiSi,n,i=1,31,5、概率树风险分析,概率树操作步骤,概率树作为一种量化工具,常用于最优化决策分析。其原理是逐步排除风险的路径,最终找出最佳效益路径。操作过程:第一,逻辑推演出可能实现项目目标的所有备选方案,以及实现
14、阶段性目标的下级备选方案,各级备选方案的因果关系形成了树状结构,称为概率树 。 第二,测定各途径中每个可选择节点的成功和失败概率,具体量化成功的收益和失败的风险。 第三,分析对比所有备选方案的收益和风险概率,筛除风险途径,找出效益最大化的最佳途径。,例:某高科技项目的概率树决策图,科技产品,技术鉴定 1040,不申请鉴定 920,成功50% 1680,失败50% 400,920,生产销售 1680,转让技术 1200,生产销售 -240,转让技术 400,生产销售 920,转让技术 800,成功90% 2000,失败10% -1200,成功30% 2000,失败70% -1200,成功60%
15、2200,失败40% -1000,1200,400,800,机会价值分析,第一步:路径计算 技术鉴定成功后生产销售的机会价值:90%*2000+10%*(-1200)=1680万元 技术鉴定成功后转让技术的机会价值:1200万元 技术鉴定失败后生产销售的机会价值:30%*2000+70%*(-1200)=-240万元 技术鉴定失败后转让技术的机会价值:400万元 不鉴定技术后生产销售的机会价值:920万元 不鉴定技术后转让的机会价值:800万元 第二步:比较计算 进行技术鉴定的机会价值:50%*1680+50%*400=1040万元 不鉴定技术的机会价值:920万元 第三步:确定路径:申请技术
16、鉴定,然后生产销售产品,机会价值=成功概率*成功收益+失败概率*失败损失,34,6、 风险应对的六种模式,风险应对的措施,回避风险:三十六计走为上策分散风险:扩大受压面积减轻单位面积压力转移风险:投保,外包,融资退出缓解风险:时间上分段化解,空间上分割消化限制风险:弃卒保车,解枝养干承受风险:设置止损线,风险应对的程序和措施图,放弃投资机会,增股东或项目,弃兵卒保将帅,分解/拖延/淡化,回避风险,分散风险,转移风险,承受风险,限制风险,缓减风险,计损耗 设底线,投保/外包/退出,投资,失败,否,否,否,否,否,否,是,是,是,是,是,是,风险应对措施,风险应对措施通常采用以下三种措施之一:避免
17、:消除具体的威胁,通常是消除威胁产生的原因; 减轻:减少风险事件的预计货币价值有两个方发,一是通过降低风险发生的概率,另一种是减少风险发生的事件价值,或者两者同时使用。 接受:接受风险事件的后果。接受可以是主动的(例如通过编制盈余计划,在风险事件发生时执行之)或被动的(例如如果某些活动超支,则接受较低的利润)。,风险应对措施的开发,风险应对措施的开发包括定义增大机会和应对威胁的措施,风险应对措施的工具和技术1,采购:即从直接的项目组织之外获取产品或服务,这通常是应对某些类型风险的正确方法。例如,使用某种特定技术开发的风险,可以通过与一个已掌握该技术的组织签定技术合同来降低。 采购经常造成由一种
18、风险转化为另外一种风险,例如采用固定价格的合同而降低的成本风险可能会由买方无法执行合同而产生进度风险。同样,试图将所有技术风险转嫁给卖方可能导致无法接受的高成本建议书。,风险应对措施的工具和技术2,应急计划编制:应急计划编制就是确定在已识别的风险事件确实发生时应采取的行动步骤。 替代方案策略:风险事件可以通过改变原计划的方案而阻止其发生或完全避免。例如,额外的设计工作可减少实施或建设阶段必须应付的变更次数。在许多领域中都有记载不同策略的潜在价值的大量文献。 保险:保险或类似于保险的安排,例如担保,可以应对某些类型的风险。可以投保的种类及其成本随不同的应用领域而有所变化。,风险应对措施开发的输出
19、1,风险管理计划:应当书面说明整个项目中管理风险的程序。此外,它也说明风险识别和风险量化过程的结果。它应该包括管理不同方面的风险的负责人,如何维护最初识别和量化的结果,如何实施应急计划,以及如何分配储备金。 风险管理计划可以是正式的或非正式的,十分详细或粗略框架的,这取决于项目需要。它是整个项目计划的组成部分。,风险应对措施开发的输出2,其他过程的输入:选定或建议的替代方案,应急计划,预计的采购,和其他与风险有关的输出必须被反馈到其他知识领域的合适过程中去。 应急计划:应急计划就是预先计划好的一旦已识别的风险事件发生应当采取的行动步骤。应急计划是风险管理计划的一部分,但是他可以被集成到整个项目
20、计划的其他部分里。,风险应对措施开发的输出3,储备金:为减轻成本和进度风险而在项目计划中设置的一种准备。该术语常用修饰成分(例如,管理储备金,应急储备金)进一步详细说明要减轻何种类型的风险。然而这些修饰成分其具体含义却因其应用领域而异。此外,储备金的使用以及确定储备应包含的内容因具体应用领域而异。 契约性协议:为了减少或避免威胁,可以签定保险,服务或其他必要项目的协议。协议的条款和条件对减少风险的程度有重大影响。,风险应对措施控制,风险应对措施控制,风险应对措施控制就是执行风险应对计划以应付项目过程中的风险事件。当变化发生的时候,需要重复识别、量化、响应的基本循环过程。重要的是,必须明白再全面
21、综合的分析也不能正确识别全部的风险和概率,因此需要控制和重复这些过程。,7、风险管理过程问题的诊断一个典型的风险过程始于一个有确定的控制责任和权限的治理结构,它由风险管理循环的各个要素组成,包括确认、量化、监控与报告以及持续的管理。通过对上述风险管理失败案件的分析与总结,发现机构出现风险问题的结点是:,(1)治理上的缺陷风险管理过程不存在独立进行控制的职能部门和业务单位; 高层管理者不了解其所承担风险的性质与意义,视风险问题简单化; 针对风险责任的界定不佳; 风险部门缺乏权威或管理层支持; 风险管理执行目标不明确,缺乏执行指令; 风险政策模糊且不完整,没有细致的解释规则; 缺乏风险管理计划,员
22、工认识不到风险管理过程,且不开展定期性风险教育。,(2)管理上的缺陷管理者缺乏潜在风险意识和正确的判断力,对风险估价不足或总是质疑风险信息; 缺乏自动化的追踪过期(法律)文件的机制,对业务单位的法律程序不了解; 基础设施缺陷,一方面业务经理对其客户关系的性质无法了解,另一方面技术性设施不能追踪各种需要的信息; 风险人员在管理过程中不主动或有经验的风险人员不能从事风险职能; 风险经理优柔寡断,对关键的风险决策经常不采取措施; 缺乏风险沟通机制; 缺乏风险限额机制,风险人员对需要限制和监控的风险不能充分的了解; 风险管理过于集中非流动资产和长期合约,风险结构不合理; 缺乏内控机制,尤其是财务控制职
23、能薄弱。,(3)确认和度量上缺陷没有正确的风险定价机制,风险职能没有足够的信息用于评价产品和业务风险; 缺乏科学的风险分析系统,不能区分风险的来源,风险限额结构在控制风险暴露方面没有效果; 风险分析人员不了解风险度量方法,往往低估了风险潜在的损失;,(4)报告和监控上的缺陷风险报告不能及时完成,或日常的报告不准确; 达不到管制的风险报告要求; 损益来源无法分解和监控(不理解“风险-成本-收益”原则); 缺乏技术平台和数据库建设,数据质量监督不严格。 缺乏风险预警体系。,8、风险管理理念,某管理大师曾经说:“能力使你能够去做某件事,动机决定了你做什么,态度决定了你能把这个事情做得多好”。一个有效
24、的管理必须有好理念的支持。理念属于文化管理范畴,企业的风险管理文化是由知识、制度和精神三个层面构成的,而风险管理理念则属于其精神层面,是风险管理文化的核心。 风险管理理念是企业长期发展过程中形成的,是全体成员统一于风险方向上的某种思想观念、价值标准、道德规范和行为方式等精神因素。它比制度具有更长远的效应。 对一个企业来说,竞争优势中起决定的因素有两个:一个是健康的风险管理理念和拥有健康文化的员工队伍;另一个是先进的风险管理制度、流程和技术。,风险管理系统=(风险管理组织系统+风险管理功能系统+风险管理信息系统+风险管理制度体系)X风险管理理念这个公式说明风险管理理念对于风险管理效能的影响是呈倍
25、数变化的,先进的管理理念往往起到事半功倍的效果。,在公司层面上创造风险理念,是一个权衡多种因素的过程,这些因素涉及公司目标、偏好、权力、经济上的收益、可用的资源、控制能力等等。虽然对不同的机构针对风险的方法不存在唯一的正确的答案这最终取决于单个机构的需求,但风险理念一旦形成,对风险的权衡过程必须具体化。对那些风险厌恶的机构来说,有必要设置充分的控制,确保消除暴露的风险;而对那些风险偏好的机构来说,要有深度地参与风险管理过程,即建立治理构架、完善基础设施、确认/度量、监控/报告以及持续风险管理的过程。,由风险理念界定的边界: 风险指令 风险厌恶 风险偏好 所要求的回报 承受风险所需技能 管理专家
26、 财务资源 技术资源,基于风险的基础设施,风险治理和监督,风险确认 风险度量/量化 风险监控/报告 风险管理/执行,综合的风险管理过程,风险管理环境,风险管理环境,风险管理环境,后评价和持续改进,风险管理目标与政策制定,风险监测与识别,风险评估,风险应对,内 部 控 制,风险信息处理与报告,(1)风险理念的执行,风险理念的执行是一个系统,这个系统站在哲学的高度,以风险管理目标为导向,以人力资源制度为基本载体,将风险管理哲学制度化,使管理者与员工都能明确风险管理的意义,共同遵循统一的风险管理制度和规则。其具体内容:董事会与管理层的推动 建立激励约束机制 明确组织结构和权责分配 教育和培训,(2)
27、风险理念的评估,风险理念的评估是对金融企业的风险管理各项要素做出判断,这些要素共同支持风险管理目标的实现。其内容分为目标、尽职、能力、监测与学习四个方面:目标评估是“方向判断”; 尽职评估是“身份和价值判断”; 能力评估是“资格判断”; 监测和学习评估是“发展的判断”。,企业风险管理理念的评估表,目标评估,尽职评估,能力评估,监测与学习评估,9、风险管理执行,全面风险管理体系 风险治理,(1)全面风险管理体系 实施规划的八个模块,第一模块:,风险管理环境,风险管理文化,风险组织体系,授权管理模式,制定并发布风险文化理念,制定风险文化执行情况的评估制度,对内的风险文化理念培训,行内宣传风险文化理
28、念,确立首席风险官负责制,明确管理体系,建立风险经理业绩考核和能力培训制,建立与管理体系相匹配的法人授权管理模式,明确业务风险主管,第二模块:,风险管理目标与政策制定,确定管理目标,明确监管目标,明确报告目标,激励约束机制,最高层:企业的控制目标,扣除风险损失后赢利目标,中间层:资产组合目标,类别风险目标,层次风险目标,微观层:单一客户或业务流程控制目标和综合盈利目标,资本充足率目标,资产组合和客户风险集中度目标,资产负债比例目标,明确风险报告目标和要求,建立按生命周期和任职期间的考核制度,第三模块:,风险监测与识别,政策和流程制定,技术与支持工具,信用风险,市场风险,操作风险,交叉风险,设计
29、流程图和工作步骤,建立事件详细目录清单,建立事件分类矩阵,确定关键风险指标,建立预警系统,完善数据,蒙特卡罗模拟法应用,计量模型应用:CM信贷组合模型、内部评级法模型等,采用VaR模型并引入损益表分析、情景分析等,建立操作风险分类树,采用一般系数法,建立风险间两两相关系数矩阵,交叉风险损失曲线研究,第四模块:,风 险 评 估,信用风险评估,市场风险评估,操作风险评估,组合风险评估,剩余风险评估,建立信用风险内部评级工程,建立风险管理系统,建立信用评估模型,建立风险价值为核心的风险限额管理系统,建立操作风险平分卡,风险内部评估,建立敏感度分析模型,优化预警系统对资产组合的评估,完善风险减值准备测
30、算法,完善经济资本管理体系,第五模块:,风险应对,政策和流程制定,风险应对评估,风险应对规划:明确各类风险的应对政策和程序,补充细化、提炼和归纳风险应对的措施,优化改进风险应对操作程序,完善以盈亏平衡为基础的贷款定价模型,创建全面成本与收益评估模型,第六模块:,内部控制,政策和程序,管理 控制,信息系统控制,系统化内控文件,明确审计部门的内控体系内部审核职能,建立规范的工作报告制度,完善风险识别与评估的机制,建立信息控制系统和文件支持系统,第七模块:,信息处理与报告,政策和流程指定,数据和 系统,完善内控管理报告内容,优化风险报告格式与功能,整合风险与内控管理信息交流反馈线路,建立对外信息披露
31、办法,建立完善数据库系统,实施全面数据质量管理,第八模块:,总结与改进,建立全面风险管理个模块的评价与改进机制,完善风险管理目标的差距分析和反应机制,对内外因素变化及时的检测机制,(2)风险治理企业一旦形成风险理念,就已为创建风险治理过程做好准备。治理要求企业具有明晰的风险指令,建立具有权威、授权和问责性的架构。恰当的风险治理要求董事会、风险委员会、风险经理、内部审计和其他控制部门积极地参与。,董事会,风险管理委员会,风险经理,业务单位,内部审计,外部监管,风险指令、偏好 授权,政策、限制、权限,计划、控制,报告,报告,审计复核,风险治理过程,PKRI风险管理金字塔,资金运用程序,操作程序,投资决策程序,管理决策程序,项目组 合风险,主要风险指标,程序,谢谢大家!,
