一个企业风险管理是否成功,除技术操作外,更大程度取决于企业的风险管理的架构与文化。纵观风险管理在各个行业运作的历史经验与教训,我们从哲学高度概括总结出一个风险管理的“二五五”运作基本原则和模式。
二个内外结合
“二五五”运作模式里的“二”,是指二个结合,即企业内部自律与外部监督相结合。其中内部自律包括内部各个运作环节中风险的防范、财务核算预算管理,企业整体风险的管理与审计等。外部监督则强调政府监管、审计评估、行业及社会监督并行。
外部监督对企业实行风险管理起了不少积极的促进作用。各国政府机构在监管方面也做了大量的工作。例如美国从偿付能力着眼,建立了企业财务状况分析系统(IRIS 和 FAST 系统)、风险资本的监管和现金流测试法,以及2001年美国NAIC19个州立保险署联合倡导的强化风险监管管理评估系统。
除了政府监管之外,独立的审计评估机构对企业也有很强的约束力。审计评估机构可以深入企业内部,考察企业的财务运作情况,检查企业财务报告方法的可靠性,及早发现问题,给予警告,并在问题严重时给予降级。每个企业都非常关心自己的“级别”,因为这直接影响到公司的声誉和运作。
来自社会各方面消费者、投资者第一手的全方位及时反馈,有助于政府进行更为广泛有效的监管。此外,同业行会的相互监督和相互合作可以起到协助监管机构进行有效管理的作用,也是外部监督一个很重要的方面。
尽管外部监督十分重要,但风险管理的真正动力应该源于企业内部发展的需要。一个成功的企业,其风险管理也往往是走在监管法令的前头。成功的企业往往也有非常明确的内部风险管理目标,这将大大提高风险管理的实效性,利用风险管理统一自洽的业绩评估体系,进行内部会计核算审计和相应的财务预算,实现企业资源的最佳分配,从而进一步提高企业的竞争力。
五项基本原则 “二五五”模式中的第一个“五”,是指企业内部整体风险管理的五项基本原则。这里强调的是企业高层管理高度重视的至关重要性和风险管理合理文化架构的重要性,关系到风险管理能否真正具体贯彻实施。
原则一:独立合作,职责明确 风险管理机构行政上应该独立于其他具体业务部门,避免利益冲突可能导致的管理不当或管理不公正。企业全面风险管理一般由首席执行官或财务总监直接授权于首席风险监督官来负责公司风险的整体监督与控制。有关风险管理的政策战略则由风险管理委员会集体讨论制定。大型企业通常还设立专业委员会,如资产负债委员会,投资委员会,市场风险及信用风险委员会等负责制定更加细节的有关政策。
原则二:高度重视,统一沟通 企业最高管理层的风险意识与其对风险管理的重视程度至关重要。没有管理层的大力支持,风险管理很难真正贯彻到基层,风险管理真正的成功实施是最高管理层支持下的一个自我审视,自我有效调控的过程。公司各部门整体运作形成一个以风险管理为基础的有机体,使企业得以稳健地持续成长。
原则三:积极参与,全面推进 风险管理应积极参与企业的各项业务与整体规划,根据对公司运营情况的深入了解,制定出一个动态的风险检查目录及风险策略。风险管理应该本着先抱西瓜、再捡芝麻的原则,循序渐进,最终完成企业全面稽核、全面监督和全面管理的任务。
原则四:预防在先,严格始终 企业风险管理应该未雨绸缪,以预防为主。对整体风险心中有数,对各项风险及变化有相应的对策。一个真正可靠有效的风险管理体系,依赖于从始至终的严格风险政策和对政策的认真贯彻执行。风险管理人员要明确自己的职责,有步骤、有计划地对企业进行全方位的风险管理。做好风险报告和详细的风险记录,随时与公司管理层及各个部门交流沟通。
原则五:及时反馈,动态调整
商业世界瞬息万变,企业内外环境在变,企业面临的风险也不停在变。企业应该建立一套及时的动态反馈系统,对风险管理策略进行定期检查。根据风险因素的变化情况和对风险管理策略效果的调查结果,相应调整风险管理策略,以适合新的形势发展。
五步动态技术流程 风险管理是企业对风险进行系统的内部审核和控制的一个系统化的技术过程。这个系统化的管理技术可概括为以下五步流程。
第一步:风险水准的定位
风险水准直接反映了企业的经营理念和管理哲学,是企业风险管理的核心。没有风险就没有利润,没有风险也就没有保险。风险大小的定位是企业经营的方针与指导。有的企业比较保守,注重稳定发展,对风险的胃口会相对小一些。还有一些则比较激进,利润要求较高,对风险的胃口也就大一些。每个公司的经营和管理者,都要根据自己的实际情况来决定风险水准的高低,并将这种经营风险明确告知股东和投资者。企业要确实了解所承担的风险大小,并根据企业预订的风险水准进行相应管理,将风险维持在既定水准以内。
第二步:风险的识别
全面风险识别是风险管理的一个重要环节。风险识别是通过企业全面风险普查来进行的。基本的普查方式有两种,即第一线实际调查和资料报告调查。第一线调查是由风险管理人员深入到各个具体商业运作的部门,以风险调查问卷及面对面交流的方式,以其敏锐的职业嗅觉去挖掘各种潜在的风险。各商业职能部门往往是“当局者迷”,风险管理人员的责任就是要全面系统地调查企业的各个运作过程,从中识别出各项风险,不留一条漏网之鱼。
公司的资料文件报告和数据库是全面风险识别的另外一条有效的途径。通过收集、分类整理和筛选过滤文件资料数据,分析企业运营所面对的各种风险的大小。企业的财务报表、税务报表、保单汇编、业绩报告和风险管理信息系统通常是最好的工具。我们可以对公司偿付能力、营销、资本运作、财务等方面做纵向比较,如不同季度、不同年份等,找出波动性较大的项目认真分析;横向比较竞争对手,了解整个行业的风险及自己的相对优势劣势。
全面风险识别除了企业内部风险普查之外,还需要对外部宏观经济金融和商业环境进行分析和研究。例如,利率调整的可能性、保险金融法的更新、税务条款的变化及市场的竞争等。外界的这些种种变化都会对企业的经营情况和资产负债产生巨大影响。
第三步:风险计量 风险的计量问题是一个技术性要求较高的工作。对于一些相对简单的产品与风险,业界已有公认的度量衡。但更多的情形下,风险的合理计量需要深入的研究并结合以丰富的经验作出判断。整个量化的过程可以由一个专家小组来共同完成。我们可以根据风险大小及其对企业影响的严重程度加以排序,制定出一个各部门都认同的“风险轮廓图”。这张轮廓图就是下一步行动的基础。对于很难准确量化的风险如运营风险等,可以运用模糊逻辑方法,至少区分出风险发生频率及危害的大中小三档。这种一级排序也是一个很有用的工具,它可以帮助我们半定性地了解公司整体风险状况,并据此安排风险管理的主次顺序。
第四步:风险控制 采用什么样的风险控制和管理手段,取决于企业的总体风险政策和指标。合理的风险限额是企业进行风险管理的核心。
企业董事会和高层管理根据自身的具体情况,制定出一个总体风险限额,包括保险业务自留额度和资产的风险限额。然后根据各种产品线的风险与回报,决定每一产品线的风险限额。风险管理人员和具体业务职能部门则需要以这些风险限额为指导,保证业务操作严格限制在额度之内。对于承保下来的自留风险,传统上多采用准备金来弥补可能的损失。而自留额度之外的风险多使用再保险手段来转移和分散。这些手段比较容易实施,但有时局限性较大,容量有限,往往不能完全奏效。例如购买再保险时,便增加了再保险公司倒闭所带来的附加危险,有时还难以找到愿意承保的公司。近来资本市场的对冲方法发展很快,已被用于变额年金等产品。它的优点是流动性好,市场选择丰富。不仅可以用来降低风险,而且还有盈利的可能。但这个方法实现起来比较复杂,要寻求有效的对冲工具,需要丰富的金融工程理论基础和相应的现代化计算工具。
另外值得注意的是,风险因素之间往往是相互关联的,我们需要进一步研究这些相关性,以便综合考查企业的整体风险状况,从而制定出有关自留额度、准备金、再保险和风险对冲等策略,减少不必要的风险,实现企业资源的最优分配。
第五步:风险监察
有效的政策,依赖于有力的执行。一套及时有效的反馈体系对企业来说与它的风险控制系统同等重要。像资本投资等变化极快,需要每天甚至瞬时反馈,并根据预期的出售周期相应加以调整;其他产品像保险产品周期相对较长,至少要每月定期检查。每逢市场或环境变化较大的时候,不管上一次检查离得多近,都应进一步考察当前风险管理策略的实际效果并加以及时的调整。
上面这种由下而上的五步流程很直观,可以依此进一步指导企业业务的开展。它的缺点是造价昂贵,需要给每项风险都建立模型。而且,它在很大程度上依赖于统计计量,有时误差可能会较大。在实际工作中有时需要结合由上而下或两者相结合的混合战术来实施。
由上至下的模式充分利用公司高层丰富的实践经验,及他们对公司经营方向及风险承受能力的准确直觉。风险管理人员可以以此为依据,做进一步的风险分析,给每个职能部门制定出一个相应的风险限额指标。这些部门可以在不超出自己风险限额的前提下,有充分的业务经营自由。
近年来发展起来的企业整体风险管理模式(Enterprise Risk Management)则尝试将以上两种模式加以结合并改进,发展出集其长、避其短的混合战术。一方面,听取管理层的经验判断,另一方面又对企业潜在的各种风险进行全面的识别和计量,在此基础上制定一系列合乎实际的、切实可行的风险策略。
风险管理的过程,其实也是企业进行全面自身建设的一个复杂系统工程。而且,这是一个动态过程,需要定期考查风险策略的实际功效,不断加以调整。熟悉质量控制管理的读者可能意识到这个五步流程与质量控制的六-西格玛 DMAIC (Define、Measure、Analyze、Improve、Control)过程极其类似,它们都强调定位、计量、分析、改进和控制。这种相似性其实并不偶然。风险管理也是一种质量控制管理过程,这里的质量不再是简单的产品质量,而是公司的整体运作质量。而且,这里影响质量的因素更为抽象和隐蔽,控制手段也更为多样和复杂。但质量控制的许多原理与我们的风险管理都是相通的。质量控制管理的成功经验,值得我们学习和借鉴。
最近更新