企業風險管理的五步流程

一個企業內部風險管理最重要的五個方面就是：風險水準定位、風險識別、風險計量、風險控制和風險監查，即管理風險的五步流程。這個五步流程僅僅是具體技術操作過程，一個企業風險管理是否成功，除技術操作外，更大程度取決于企業的風險管理的架構與文化。縱觀風險管理在各個行業運作的歷史經驗與教訓，我們從哲學高度概括總結出一個風險管理的“二五五”運作基本原則和模式。

二個內外結合

“二五五”運作模式里的“二”，是指二個結合，即企業內部自律與外部監督相結合。其中內部自律包括內部各個運作環節中風險的防范、財務核算預算管理，企業整體風險的管理與審計等。外部監督則強調政府監管、審計評估、行業及社會監督并行。

外部監督對企業實行風險管理起了不少積極的促進作用。各國政府機構在監管方面也做了大量的工作。例如美國從償付能力著眼，建立了企業財務狀況分析系統（IRIS 和 FAST 系統）、風險資本的監管和現金流測試法，以及2001年美國NAIC19個州立保險署聯合倡導的強化風險監管管理評估系統。

除了政府監管之外，獨立的審計評估機構對企業也有很強的約束力。審計評估機構可以深入企業內部，考察企業的財務運作情況，檢查企業財務報告方法的可靠性，及早發現問題，給予警告，并在問題嚴重時給予降級。每個企業都非常關心自己的“級別”，因為這直接影響到公司的聲譽和運作。

來自社會各方面消費者、投資者第一手的全方位及時反饋，有助于政府進行更為廣泛有效的監管。此外，同業行會的相互監督和相互合作可以起到協助監管機構進行有效管理的作用，也是外部監督一個很重要的方面。

盡管外部監督十分重要，但風險管理的真正動力應該源于企業內部發展的需要。一個成功的企業，其風險管理也往往是走在監管法令的前頭。成功的企業往往也有非常明確的內部風險管理目標，這將大大提高風險管理的實效性，利用風險管理統一自洽的業績評估體系，進行內部會計核算審計和相應的財務預算，實現企業資源的最佳分配，從而進一步提高企業的競爭力。

五項基本原則

“二五五”模式中的第一個“五”，是指企業內部整體風險管理的五項基本原則。這里強調的是企業高層管理高度重視的至關重要性和風險管理合理文化架構的重要性，關系到風險管理能否真正具體貫徹實施。

原則一：獨立合作，職責明確

風險管理機構行政上應該獨立于其他具體業務部門，避免利益沖突可能導致的管理不當或管理不公正。企業全面風險管理一般由首席執行官或財務總監直接授權于首席風險監督官來負責公司風險的整體監督與控制。有關風險管理的政策戰略則由風險管理委員會集體討論制定。大型企業通常還設立專業委員會，如資產負債委員會，投資委員會，市場風險及信用風險委員會等負責制定更加細節的有關政策。

原則二：高度重視，統一溝通

企業最高管理層的風險意識與其對風險管理的重視程度至關重要。沒有管理層的大力支持，風險管理很難真正貫徹到基層，風險管理真正的成功實施是最高管理層支持下的一個自我審視，自我有效調控的過程。公司各部門整體運作形成一個以風險管理為基礎的有機體，使企業得以穩健地持續成長。

原則三：積極參與，全面推進

風險管理應積極參與企業的各項業務與整體規劃，根據對公司運營情況的深入了解，制定出一個動態的風險檢查目錄及風險策略。風險管理應該本著先抱西瓜、再撿芝麻的原則，循序漸進，最終完成企業全面稽核、全面監督和全面管理的任務。

原則四：預防在先，嚴格始終

企業風險管理應該未雨綢繆，以預防為主。對整體風險心中有數，對各項風險及變化有相應的對策。一個真正可靠有效的風險管理體系，依賴于從始至終的嚴格風險政策和對政策的認真貫徹執行。風險管理人員要明確自己的職責，有步驟、有計劃地對企業進行全方位的風險管理。做好風險報告和詳細的風險記錄，隨時與公司管理層及各個部門交流溝通。

原則五：及時反饋，動態調整

商業世界瞬息萬變，企業內外環境在變，企業面臨的風險也不停在變。企業應該建立一套及時的動態反饋系統，對風險管理策略進行定期檢查。根據風險因素的變化情況和對風險管理策略效果的調查結果，相應調整風險管理策略，以適合新的形勢發展。

五步動態技術流程

風險管理是企業對風險進行系統的內部審核和控制的一個系統化的技術過程。這個系統化的管理技術可概括為以下五步流程。

第一步：風險水準的定位

風險水準直接反映了企業的經營理念和管理哲學，是企業風險管理的核心。沒有風險就沒有利潤，沒有風險也就沒有保險。風險大小的定位是企業經營的方針與指導。有的企業比較保守，注重穩定發展，對風險的胃口會相對小一些。還有一些則比較激進，利潤要求較高，對風險的胃口也就大一些。每個公司的經營和管理者，都要根據自己的實際情況來決定風險水準的高低，并將這種經營風險明確告知股東和投資者。企業要確實了解所承擔的風險大小，并根據企業預訂的風險水準進行相應管理，將風險維持在既定水準以內。

第二步：風險的識別

全面風險識別是風險管理的一個重要環節。風險識別是通過企業全面風險普查來進行的。基本的普查方式有兩種，即第一線實際調查和資料報告調查。第一線調查是由風險管理人員深入到各個具體商業運作的部門，以風險調查問卷及面對面交流的方式，以其敏銳的職業嗅覺去挖掘各種潛在的風險。各商業職能部門往往是“當局者迷”，風險管理人員的責任就是要全面系統地調查企業的各個運作過程，從中識別出各項風險，不留一條漏網之魚。

公司的資料文件報告和數據庫是全面風險識別的另外一條有效的途徑。通過收集、分類整理和篩選過濾文件資料數據，分析企業運營所面對的各種風險的大小。企業的財務報表、稅務報表、保單匯編、業績報告和風險管理信息系統通常是最好的工具。我們可以對公司償付能力、營銷、資本運作、財務等方面做縱向比較，如不同季度、不同年份等，找出波動性較大的項目認真分析；橫向比較競爭對手，了解整個行業的風險及自己的相對優勢劣勢。

全面風險識別除了企業內部風險普查之外，還需要對外部宏觀經濟金融和商業環境進行分析和研究。例如，利率調整的可能性、保險金融法的更新、稅務條款的變化及市場的競爭等。外界的這些種種變化都會對企業的經營情況和資產負債產生巨大影響。

第三步：風險計量

風險的計量問題是一個技術性要求較高的工作。對于一些相對簡單的產品與風險，業界已有公認的度量衡。但更多的情形下，風險的合理計量需要深入的研究并結合以豐富的經驗作出判斷。整個量化的過程可以由一個專家小組來共同完成。我們可以根據風險大小及其對企業影響的嚴重程度加以排序，制定出一個各部門都認同的“風險輪廓圖”。這張輪廓圖就是下一步行動的基礎。對于很難準確量化的風險如運營風險等，可以運用模糊邏輯方法，至少區分出風險發生頻率及危害的大中小三檔。這種一級排序也是一個很有用的工具，它可以幫助我們半定性地了解公司整體風險狀況，并據此安排風險管理的主次順序。

第四步：風險控制

采用什么樣的風險控制和管理手段，取決于企業的總體風險政策和指標。合理的風險限額是企業進行風險管理的核心。

企業董事會和高層管理根據自身的具體情況，制定出一個總體風險限額，包括保險業務自留額度和資產的風險限額。然后根據各種產品線的風險與回報，決定每一產品線的風險限額。風險管理人員和具體業務職能部門則需要以這些風險限額為指導，保證業務操作嚴格限制在額度之內。對于承保下來的自留風險，傳統上多采用準備金來彌補可能的損失。而自留額度之外的風險多使用再保險手段來轉移和分散。這些手段比較容易實施，但有時局限性較大，容量有限，往往不能完全奏效。例如購買再保險時，便增加了再保險公司倒閉所帶來的附加危險，有時還難以找到愿意承保的公司。近來資本市場的對沖方法發展很快，已被用于變額年金等產品。它的優點是流動性好，市場選擇豐富。不僅可以用來降低風險，而且還有盈利的可能。但這個方法實現起來比較復雜，要尋求有效的對沖工具，需要豐富的金融工程理論基礎和相應的現代化計算工具。

另外值得注意的是，風險因素之間往往是相互關聯的，我們需要進一步研究這些相關性，以便綜合考查企業的整體風險狀況，從而制定出有關自留額度、準備金、再保險和風險對沖等策略，減少不必要的風險，實現企業資源的最優分配。

第五步：風險監察

有效的政策，依賴于有力的執行。一套及時有效的反饋體系對企業來說與它的風險控制系統同等重要。像資本投資等變化極快，需要每天甚至瞬時反饋，并根據預期的出售周期相應加以調整；其他產品像保險產品周期相對較長，至少要每月定期檢查。每逢市場或環境變化較大的時候，不管上一次檢查離得多近，都應進一步考察當前風險管理策略的實際效果并加以及時的調整。

上面這種由下而上的五步流程很直觀，可以依此進一步指導企業業務的開展。它的缺點是造價昂貴，需要給每項風險都建立模型。而且，它在很大程度上依賴于統計計量，有時誤差可能會較大。在實際工作中有時需要結合由上而下或兩者相結合的混合戰術來實施。

由上至下的模式充分利用公司高層豐富的實踐經驗，及他們對公司經營方向及風險承受能力的準確直覺。風險管理人員可以以此為依據，做進一步的風險分析，給每個職能部門制定出一個相應的風險限額指標。這些部門可以在不超出自己風險限額的前提下，有充分的業務經營自由。

近年來發展起來的企業整體風險管理模式（Enterprise Risk Management）則嘗試將以上兩種模式加以結合并改進，發展出集其長、避其短的混合戰術。一方面，聽取管理層的經驗判斷，另一方面又對企業潛在的各種風險進行全面的識別和計量，在此基礎上制定一系列合乎實際的、切實可行的風險策略。

風險管理的過程，其實也是企業進行全面自身建設的一個復雜系統工程。而且，這是一個動態過程，需要定期考查風險策略的實際功效，不斷加以調整。熟悉質量控制管理的讀者可能意識到這個五步流程與質量控制的六－西格瑪 DMAIC （Define、Measure、Analyze、Improve、Control）過程極其類似，它們都強調定位、計量、分析、改進和控制。這種相似性其實并不偶然。風險管理也是一種質量控制管理過程，這里的質量不再是簡單的產品質量，而是公司的整體運作質量。而且，這里影響質量的因素更為抽象和隱蔽，控制手段也更為多樣和復雜。但質量控制的許多原理與我們的風險管理都是相通的。質量控制管理的成功經驗，值得我們學習和借鑒。