风险管理体系构建十步法

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

风险管理体系构建十步法

一、现状调研和总体评估

二、风险管理体系框架设计

首先风险管理体系与集团战略、集团管控之间的关系,集团战略决定集团管控,风险管理体系是集团管控的其中一个分支,这是我们大家要明白的,它们三者之间的关系是什么。风险管理在整个集团管控里面,是一个组成部分,那么集团管控,是战略的一个组成部门,所以他们二者之间的关系,就是这么一个母子孙的关系。

其次是风险管理建设的基本框架,就是一个文化,一个信息系统,所以风险管理的环境,尤其是风险文化的建设,风险信息系统的建设。风险信息系统不仅在ERP里有所表现,而且各种子公司的风险管理部,给母公司风险管理中心上哪些报告,母公司的风险管理中心给风险管理委员会上哪些报告,风险管理部门如何参与到各级会议里去,如何协助决策,都是这里面的一个组成部分。

最后,风险管理组织怎么设,风险管理组织怎么运作,作为一个组织和流程。这些设计完了以后,整个风险管理体系的基本框架就完成了。专门就是风险方面的一些认识、理念,一些行为等等。那么这是风险管理当中,各级组织,母公司下面有风险管理委员会,另外有风险管理部门,公司层面上有风险控制的部门,在子公司里有风险控制的部门,就是子公司风险管理部或专员,在信息系统里面有风险管理的派驻机构,这样的话,风险管理部门才是完全的。另外呢,外部还有中介机构,外审等等。

三、风险信息系统的建设

首先是风险基础信息收集,整个所有其他公司发生过的风险,历史以来的风险的法律法规,风险管理方面的各种文件,做法全部收集在这里,另外

整个公司的风险地图,就是公司面临哪些风险,所有罗列的风险全部画出来,另外风险数据库,把各种风险初始信息全部收集上来,甚至按照风险感觉宇宙,分门别类,你看成根目录就好了,一个目录,然后就不断地在这上面填空,发动各级员工,公司外部内部的,全部去收集,然后风险识别。

四、风险的识别和评估

首先是对内部风险、外部风险进行识别,具体识别手法可以有这么一些,比如头脑风暴,一些人坐在这里,我们法律上有哪些风险,大家一说,一个人记录,差不多就下来了,不是说这些记录下来就可以了,记录下来的都是原始记录,可能有些逻辑表述不清,还有些包容关系,母与子的关系,还有一些不搭介的等等,还要再识别。

其次是对风险进行评估,那么风险识别出来以后,对风险进行分析,这个风险它的成因是什么,类别是什么,这个风险可能发生的可能性高低,破坏性高低,对风险进行分析。

最后,把所有的风险根据它的影响度和可能性进行进一步的分析,最后对风险进行评价,这是刚才的风险分析。风险分析出来以后,比如说所有落在蓝的里面的都是重大风险,但是即使是重大风险,我们仍然要进一步打分,不能说重大风险都是等量齐观的,还有风险一,风险二,给权重评分,把重大风险找出来了。

五、风险管理策略

风险管理策略就是整个公司面对风险的基本的态度,为什么要制定最基本的态度呢,因为如果太害怕风险,对公司不敢向前,也有问题,太不害怕风险,傻大胆,基本上它的成功就是概率事件,我们认为首先要建立一个风险管理策略。

风险管理策略标准有三个,一是风险偏好,风险偏好在这里特指公司风险偏好,而不是个人风险偏好。有些大胆的领导,被分配到一个胆子很小的

公司里去,行业很谨慎,千万不能出错。因此有些行业本身是低风险偏好的,不能冒险,有些行业是高风险偏好的,必须冒险。二是风险承受度,不同的公司风险承受度不同,不同的行业有不同的风险承受度,有些行业根本承受不了风险,风险太敏感了,放大杠杆倍数非常高,一下子就把你推垮了,而有些行业完全不所谓,有很强的风险抗击能力,比如说那种两元店,哪怕世界毁灭,两元店都干不掉,我在两元店里可以买到很多东西,甚至一元店里面可以买到非常好的指甲刀,像那种指甲刀,正常买的话要7、8块钱,甚至十几块钱,777牌的,我就可以在那里一元钱买到,而且一看,一剪就知道是正规牌子,它通过供应链,它的处理,总之把价格降到这么低了,有绝对的风险承受度。三是风险管理的有效性标准。要把风险管理到什么程度,有些有效性标准过高。

以上这三点是企业的最基本的出发点,这三点和企业所在的行业、战略、领导人、管理风格、文化,甚至宏观环境有绝对的关系。有了这三个以后,才谈得上企业的风险策略,风险策略就这几个东西,一是不设防或有计划地风险承担或者有计划地承担。二是少冒险或低风险。三是对冲。如果同时承担多个风险的话,风险与风险之间可能本身会互相抵消,我们进行风险组合,举一个最基本的例子,比如说摩根史丹利从华容手上买了30亿元的资产包,它就是典型的一个对冲,因为有些资产肯定是死资产,盘不活,但是毕竟会有些资产盘活,一旦盘活,那我就赚了。四是风险补偿,就是用风险补偿机制进行创新,风险补偿讲得很简单,如果要让承受高风险,必须高回报,如果让我低回报,必须低风险。最后风险控制,控制风险因素或发生的频度和程度。因为风险控制不住,所以只好控制风险因素,就风险的造成因素进行控制。具体就风险策略来讲的话,只能说这几大类是最具代表性的,不是说整个风险就这六大策略。

六、设计风险控制计划体系

简言之,就是整个公司所有的风险全部找出来以后,辩证性地分析,固定的风险我们就把它内控化了,就不管了,哪些风险设置到哪些部门,财务部、人力资源部,各自涉及到哪些风险,所涉及到的风险,从部门层面编制控制计划,当然这里的部门,也是指子公司,它的风险,只不过子公司的风险,需要单独再做一套。

部门层面设计风险控制计划,最后汇合成为公司风险控制计划,这很简单,当然不是简单加总,沿用我们刚开始讲的思路,总体层面,总部层面还有一些风险控制,各个部门层面有些风险控制。具体的风险控制计划,所有的风险控制计划,由两个部分构成,一个是内控方案。这里只需内部执行方案就好了,否则会引起歧义,先内部执行,因为有些是可以内控化,有些没法内控化,只能说内部执行,还有些风险要外包掉,风险的检查、管理。另一个是建立一个预警体系,预警体系在执行过程当中,最简单的预警就是,根据财务报表,根据数据,连续两三个月没达成目标,偏离目标的,我们就进行行动,但是广泛地来说,预警一直可以预警到先兆、因素。

七、导入全面风险管理体系

体系设计完后、方案写好后,并不意味着企业按这个操作了,其实企业里面导入一个体系是非常麻烦的,要把体系切换进制度,各种工作和岗位挂起钩来,原先的考核流程发生改变,动员等等。

体系导入以后,整个企业就建立了三道防线,第一道防线就是日常,由风险管理部门、内审部门和业务部门共同完成的,事前、事中的风险管理。第二道防线就是风险发生了以后,风险管理部门报告给风险管理委员会,这个事已经提到议事日程上,最后一道防线就是审计委员会和审计。

现在有一种做法是错误的,就是把风险部门和审计合并到一起,好就好在很直接,坏就坏在,如果这两个部门合并到一起,等于是一次性地通过两个人,相当于后卫当守门员,如果绕过后卫,基本上这个球就必进了,理论上这个防火墙应单独设。

八、各种风险处置方案的实施

企业里面一般会把前20大,或者前30大风险,每一个建立一个预案,这个风险用哪些数据来衡量,一旦出现了以后怎么管理,或者事前、事中怎么管理,领导人是谁,每一个领导人管理两三个风险,等于风险有分管领

相关文档
最新文档