范文一:企业全面风险管理的流程及措施
企业全面风?险管理的流?程及措施
企业风险,指未来的不?确定性对企?业实现其经?营目标的影?响。在当今复杂?的商业环境?中,每个企业都?面临众多的?风险因素,除了火灾、财产损害、业务中断等?传统风险以?外,还有不断涌?现的战略风?险、市场风险、运营风险、人员风险、财务风险、技术风险和?法律风险等?。面对这些风?险因素,企业要实现?其价值最大?化和可持续?发展目标。就不仅要关?注独立的、个别的风险?,更要进行全?面风险管理?。这是时代发?展的必然要?求。是市场经济?中企业持续?生存与发展?的重要保证?。 一、企业全面风?险管理已成?必然
全面风险管?理,是指企业围?绕总体经营?目标。通过在企业?管理的各个?环节和经营?过程中,执行风险管?理的基本流?程。培育良好的?风险管理文?化,建立健全全?面风险管理?体系,包括风险管?理策略、风险理财措?施、风险管理的组织职能体??系、风险管理信?息系统和内?部控制系统?。从而为实现?风险管理的?总体目标提?供合理保证?的过程和方?法。
从国际上看?,许多国家已从制度安排??上着手建立?以风险容量?控制为中枢?的相关风险?全面管理框?架。如美国萨班?斯法案的实?施。对在美上市?公司的治理?和管理控制?提出了更高?的要求,该法案40?4条款(管理层对内?部控制的评?价)规定了内部?控制方面的?要求和内部?控制评价报?告,这对美国企业内部流程??梳理、加强财务投?资监管、提高管理透?明度等方面?产生相当大?的影响。2004年?,美国著名的?反虚假财务?报告委员会?下属赞助委?员会COS?O在内部控?制框架概念?基础上,提出一个概?念全新的C?OSO《企业风险管报告??理——总体框架》(简称EBM?),使内部控制?研究发展到?一个新的阶?段。COSO委?员会提出,企业风险管?理是企业的?董事会、管理层和其?他员工共同?参与的一个?过程,应用于企业?的战略制定?和企业的各?个部门和各?项经营活动?,用于确定可?能影响企业?的潜在事项?,并在其风险?偏好范围内?管理风险,从而对企业?目标实现提?供合理保证?。
从国内来看?,中央政府已?越来越重视?风险控制,将风险管理?提高到企业?管理的重要?位置。2006年?6月。国务院国资?委发布了《中央企业全?面风险管理?指引》。对中央企业?如何开展全?面风险管理?工作提出了?总体原则,并对企业风?险管理的基?本流程、组织体系、风险评估等?方面进行了?比较详细的?引导。该《指引》的出台,对国有资产?的保值增值?和企业的健?康发展。将起到一定?积极作用,为我国企业?应
对经济全?球化挑战和?市场经济条?件下的内外?风险,提供了指南?。2007年?3月全国工?商联发布《关于指导民?营企业加强?危机管理工?作的若干意?见》,指导民营企?业增强危机?意识,建立防范风?险的危机预?警机制和用?于解决危机?的应急处理?机制,提高危机防?范与危机化?解的能力和?水平。由此可见,我国在企业?全面风险管?理方面已经?迈出了一大?步,已经从初始?的意识教育?发展阶段上?升到具体策?划实施的实?质性阶段。但是,全面风险管?理在我国企?业管理中还?属于相对薄?弱的环节。许多企业缺?乏经验,风险意识不?强,风险管理手?段相对匮乏?。因此。广泛开展企?业全面风险?管理理论与?实践研究。积极借鉴国?际上企业全?面风险管理?技术和经验?,努力提高我?国企业全面?风险管理水?平,将是我国政?府和企业面?临的日益紧?迫的重要任?务。
二、全面把握企?业全面风险?管理的基本?流程与要求?
企业全面风?险管理不同?于企业个别?风险管理。它需要对企?业各种风险?进行统一、集中的识别?、排序和控制?,需要建立科?学的全面风?险管理流程?,保证企业全?面风险管理?工作的有序?性和有效性?。为了更好地?指导企业风?险管理工作?,《中央企业全?面风险管理?指引》第五条详细?提出了我国?中央企业全?面风险管理?基本流程的?主要工作,具体包括:
(一)收集风险管?理初始信息?
收集风险管?理初始信息?是企业全面?风险管理的?首要环节,其目的在于?及时发现企?业可能面临?的各种风险?。为企业风险?评估提供依?据。
不同的风险?,源于企业内?外不同方面?,而且随时随?地都有可能?发生。因此,收集风险管?理初始信息?应该贯穿于?企业所有的?业务单位,并且作为一?项经常性工?作。它要求企业?有效地建立?风险信息收?集与管理系?统,广泛、持续地收集?与企业各种?风险和风险?管理相关的?内外初始(续致信网上?一页内容)信息。主要包括与?企业战略风?险、财务风险、市场风险、运营风险、法律风险相?关的国内外?宏观经济政?策、经济运行情?况、产业政策、技术进步与?技术政策、市场供给与?市场需求变?化、竞争对手有?关情况、本企业战略?与内部条件?、有关法律法?规等。
(二)进行风险评?估
企业风险评?估,是对所收集?的风险管理?初始信息企?业各项业务?管理及其重?要业务流程?进行的风险?评估,具体包括风?险识别、风险分析和?风险评价三?个步骤,
其目的在于?查找和描述?企业风险,评价所识别?出的各种风?险对企业实?现目标的影?响程度和风?险价值,给出风险控?制的优先次?序等。
风险识别、风险分析和?风险评价,是一项专业?性和组织性?很强的管理?工作。可以由企业?组织有关职?能部门和业?务单位进行?,也可以聘请?外部专家乃?至有资质、信誉好、专业能力强?的中介机构?协助进行。但无论如何?,都要采取定?性与定量相?结合的方法?,如问卷调查?、专家咨询、管理层访谈?、集体讨论、情景分析、统计分析、模拟分析等?。为了提高风?险评估的质?量与效率,还要统一制?定各种风险?度量单位和?风险评估模?型,要保证风险?评估的前提?假设、数据来源和?评估程序的?合理性与准?确性。对各类风险?之间的相互?关系,也要进行必?要的相关分?析,以便对各种?风险进行集?中管理。此外,风险评估也?是一项经常?性工作,需要进行动?态管理。
(三)制定风险管?理策略
制定风险管?理策略,就是根据内?外条件,对所识别出?的各种风险?,按照所给出?的优先次序?。围绕企业目?标与战略,确定风险偏?好、风险承受度?和风险管理?有效性标准?,选择适当的?风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和?风险控制等?风险管理工?具,确定风险管?理所需要的?人力与物力?资源的配置?原则。这是风险控?制的首要环?节,决定着企业?风险控制的?成本与效率?。企业应该定?期总结和分?析所制定的?风险管理策?略的合理性?和有效性,对不适当的?风险管理策?略进行及时?的修正或调?整。
(四)提出和实施?风险管理解?决方案
提出和实施?风险管理解?决方案,就是根据所?制定的风险?管理策略。针对各类风?险或各项重?大风险制定?风险解决方?案。这是对风险管理策略的??具体落实。一般包括:提出和确定?风险解决的?具体目标、所需要的组?织领导、所涉及的管?理与业务流?程、所需要的条?件、手段以及各?种内控制度?等,以及风险事?件发生之前?、之中和之后?应该采取的?具体应对措?施(包括外包方?案)以及风险管?理工具。
所制定的风?险管理解决?方案,应该满足合?规性要求,同时要注重?成本
范文二:企业全面风险管理的流程及措施
terence@cosox.cnwww.cosox.cn内部控制与全面风险管理俱乐部
管理研究
●扎世君/李角奇
企业全面风险管理的流程及措施
企业风险,指未来的不确定性对企业实现其经营目标的影响。在当今复杂的商业环境中,每个企业都面临众多的风险因素,除了火灾、财产损害、业务中断等传统风险以外,还有不断涌现的战略风险、市场风险、运营风险、人员风险、财务风险、技术风险和法律风险等。面对这些风险因素,企业要实现其价值最大化和可持续发展目标,就不仅要关注独立的、个别的风险,更要进行全面风险管理。这是时代发展的必然要求,是市场经济中企业持续生存与发展的重要保证。
一、企业全面风险管理已成必然全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中,执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
从国际上看,许多国家已从制度安排上着手建立以风险容量控制为中枢的相关风险全面管理框架。如美国萨班斯法案的实施,对在美上市公司的治理和管理控制提出了更高的要求,该法案404条款(管理层对内部控制的评价)规定了内部控制方面的要求和内部控制评价报告,这对美国企业内部流程梳理、加强财务投资监管、提高管理透明度等方面产生相当大的影响。2004年,美国著名的反虚假财务报告委员会下属赞助委员会COSO在内部控制框架概念基础上,提出一个企业风险管概念全新的COSO报告《
—总体框架》(简称ERM),使内部理——
控制研究发展到一个新的阶段。COSO委员会提出,企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的各个部门和各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
从国内来看,中央政府已越来越重视风险控制,将风险管理提高到企业管理的重要位置。2006年6月,国务院国资委发布了《中央企业全面风险管理指引》,对中央企业如何开展全面风险管理工作提出了总体原则,并对企业风险管理的基本流程、组织体系、风险评估等方面进行了比较详细的引导。该《指引》的出台,对国有资产的保值增值和企业的健康发展,将起到一定积极作用,为我国企业应对经济全球化挑战和市场经济条件下的内外风险,提供了指南。2007年3月全国工商联发布《关于指导民营企业加强危机,指导民营企业管理工作的若干意见》
增强危机意识,建立防范风险的危机预警机制和用于解决危机的应急处理机制,提高危机防范与危机化解的能力和水平。由此可见,我国在企业全面风险管理方面已经迈出了一大步,已经从初始的意识教育发展阶段上升到具体策划实施的实质性阶段。但是,全面风险管理在我国企业管理中还属于相对薄弱的环节。许多企业缺乏经验,风险意识不强,风险管理手段相对匮乏。因此,广泛开展企业全面风险管理理论与实践研究,积极借鉴国际上企业全面风险管理技术和经验,努力提高我国企业全面风险管理水平,将是
我国政府和企业面临的日益紧迫的重要任务。
二、全面把握企业全面风险管理的基本流程与要求
企业全面风险管理不同于企业个别风险管理。它需要对企业各种风险进行统一、集中的识别、排序和控制,需要建立科学的全面风险管理流程,保证企业全面风险管理工作的有序性和有效性。为了更好地指导企业风险管理工作,《中央企业全面风险管理指引》第五条详细提出了我国中央企业全面风险管理基本流程的主要工作,具体包括:
(一)收集风险管理初始信息收集风险管理初始信息是企业全面风险管理的首要环节,其目的在于及时发现企业可能面临的各种风险,为企业风险评估提供依据。
不同的风险,源于企业内外不同方面,而且随时随地都有可能发生。因此,收集风险管理初始信息应该贯穿于企业所有的业务单位,并且作为一项经常性工作。它要求企业有效地建持立风险信息收集与管理系统,广泛、续地收集与企业各种风险和风险管理相关的内外初始信息。主要包括与企业战略风险、财务风险、市场风险、运营风险、法律风险相关的国内外宏观经济政策、经济运行情况、产业政策、技术进步与技术政策、市场供给与市场需求变化、竞争对手有关情况、本企业战略与内部条件、有关法律法规等。
(二)进行风险评估
企业风险评估,是对所收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行的风险评估,具体包括风险识别、风险分析和风险
开放?分享?共赢第 1 页,共 2 页呆瓜梁山伯工作室
企业改革与管理2008年第7期
管理研究
评价三个步骤,其目的在于查找和描述企业风险,评价所识别出的各种风险对企业实现目标的影响程度和风险价值,给出风险控制的优先次序等。
风险识别、风险分析和风险评价,是一项专业性和组织性很强的管理工作,可以由企业组织有关职能部门和业务单位进行,也可以聘请外部专家乃至有资质、信誉好、专业能力强的中介机构协助进行。但无论如何,都要采取定性与定量相结合的方法,如问卷调查、专家咨询、管理层访谈、集体讨论、情景分析、统计分析、模拟分析等。为了提高风险评估的质量与效率,还要统一制定各种风险度量单位和风险评估模型,要保证风险评估的前提假设、数据来源和评估程序的合理性与准确性。对各类风险之间的相互关系,也要进行必要的相关分析,以便对各种风险进行集中管理。此外,风险评估也是一项经常性工作,需要进行动态管理。
(三)制定风险管理策略
制定风险管理策略,就是根据内外条件,对所识别出的各种风险,按照所给出的优先次序,围绕企业目标与战略,确定风险偏好、风险承受度和风险管理有效性标准,选择适当的风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制等风险管理工具,确定风险管理所需要的人力与物力资源的配置原则。这是风险控制的首要环节,决定着企业风险控制的成本与效率。企业应该定期总结和分析所制定的风险管理策略的合理性和有效性,对不适当的风险管理策略进行及时的修正或调整。
(四)提出和实施风险管理解决方案
提出和实施风险管理解决方案,就是根据所制定的风险管理策略,针对各类风险或各项重大风险制定风险解决方案。这是对风险管理策略的具体落实。一般包括:提出和确定风险解决的具体目标、所需要的组织领导、所涉及的管理与业务流程、所需要的条
terence@cosox.cn
件、手段以及各种内控制度等,以及风
www.cosox.cn内部控制与全面风险管理俱乐部
员风险管理意识。
(二)塑造风险管理文化,增强全风险管理是一项全员参与的系统
险事件发生之前、之中和之后应该采取的具体应对措施(包括外包方案)以及风险管理工具。
所制定的风险管理解决方案,应该满足合规性要求,同时要注重成本、质量与效率的平衡,坚持经营战略与风险策略、风险控制与运行效率的统一,保护自身商业秘密,防止自身对外包解决方案产生依赖性风险。
(五)风险管理的监督与改进企业风险管理的重点是对事关企业生存与发展的重大风险的识别、分析与控制。因此,企业应该以重大风险、重大事件、重大决策和重要管理与业务流程为重点,对上述各项风险管理工作实施情况进行监督,并且采取有效的方法对其有效性进行检验。根据监督和检验结果,对所存在的问题或缺陷加以改进。
为了加强风险管理的监督与改进工作,企业应该建立健全风险管理工作自查制度、监督评价制度(包括外部评价制度)、报告制度和信息反馈系统,为改进和有效落实风险管理策略和风险管理解决方案提供保证。
三、提高我国企业全面风险管理水平的主要措施
(一)提高企业高层管理者综合素质,增强高层管理者全面风险管理能力。
企业全面风险管理水平,取决于高层管理者的风险偏好、处理风险事件的态度、方法和能力。这就要求企业高层管理者必须拥有专门的风险管理知识、才能和智慧,形成一套系统的风险管理理念,树立科学的风险应对策略观,以确保履行其风险监控责任,引导企业风险管理文化的形成,推动企业风险管理系统的合理构建。与此相聘用和考核企业高层管适应,在选拔、
理者时,应该强调其风险意识、风险管理态度与风险管理能力,要从制度设计着手,引导或迫使企业高层管理者不断提高其自身综合素质,增强其全面风险管理能力。
工程,需要以塑造风险管理文化,增强全员风险管理意识为支撑。风险管理文化是企业文化的重要组成部分,其内容主要包括风险管理理念、风险控制行为、风险道德标准和风险管理环境。在风险管理文化建设中,要倡导和强化“全员的风险管理意识”,通过各种途径将风险管理理念传递给每一个员工,并且内化为员工的职业态度和工作习惯;要在企业内部形成风险控制的文化氛围和职业环境,使企业能敏锐地感知风险、分析风险、防范风险。
(三)设立风险管理机构,构筑全面风险管理组织体系。
设立风险管理机构,构筑全面风险管理组织体系,是提高企业风险管理水平的重要保证。主要涉及到:企业法人治理结构、风险管理职能部门、内部审计部门、法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。董事会应该成为企业全面风险管理工作的最高决策者和监督者,就企业全面风险管理的有效性对股东会负责。董事会内部可以设置风险管理委员会,专门研究和制定企业风险管理政策与策略等。经理层应该成为企业全面风险管理政策与策略的执行者,主要负责企业全面风险管理的日常工作,就企业全面风险管理工作的有效性对董事会负责。企业风险管理职能部门等内部有关部门,应该形成各有分工、各司其责、相互联系、相互配合的有机整体。各机构人员应该由熟悉本职工作,能对个案做出风险评估和处理的专家或专门人才组成。根据各企业经营特点,应该确立各部门、各单位风险控制的重点环节和重点对象,制定相应的风险应对方案;监督企业决策层和各部门、各单位的规范运作。风险发生时,风险管理组织系统应该能够全面有效地指导和协调风险应对工作。
责任编辑/梅村
开放?分享?共赢第 2 页,共 2 页呆瓜梁山伯工作室
企业改革与管理2008年第7期
范文三:煤炭企业全面风险管理和应对措施
龙源期刊网 http://www.qikan.com.cn
煤炭企业全面风险管理和应对措施
作者:徐绍勇
来源:《财经界·学术版》2014年第08期
摘要:目前企业面临着优化产业结构、全面管理风险的重要任务,作为传统行业的煤炭企业更是如此。当前,如何在市场经济中提高风险管理能力,有效地规避风险,提高企业经营效率,增强企业的综合竞争力,是煤炭企业改革的重点。
关键词:煤炭企业 风险管理 含义 必要性 问题 措施
随着经济的发展,煤炭企业的生产规模和经营范围已不能满足市场发展的需求,亟需进行改革和更新。与此同时,市场经济的不确定性、竞争性也为煤炭企业的发展带来挑战,使得煤炭企业面临着经营、法律、战略等多方面的风险,提高煤炭企业全面风险管理能力,建立健全的风险管理制度,是实现煤炭企业可持续发展的必经之路。
一、全面风险管理的含义
全面风险管理是指企业通过建立完善的风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,制定完善的风险预防制度、风险应对机制以及事后保障制度,风险管理体系将运用于企业的经营环节与经营范围,实现企业的总体经营目标,促进企业的生产经营,营造良好的企业文化,增强企业的总体竞争力。
二、加强煤炭企业全面风险管理的必要性
(一)优化产业结构导致成本增加、利润下滑
在日益强调科学发展观、可持续发展的今天,传统的煤炭企业必须调整和优化产业结构。一方面,由于经济的飞速发展,煤炭开采的资源成本、资金成本、安全成本不断增加;另一方面,新技术的应用和国家环境治理的迫切需要使得煤炭价格持续下滑,同时,进口煤炭对我国传统煤炭也造成了一定的冲击,导致煤炭企业经营利润大幅下降、甚至出现亏损的局面。 成本的增加和利润的下降使得煤炭企业面临着资金短缺的风险,此外,煤炭企业由于亟需进行更新与改革,面临着产业结构调整等多方面的风险,必须加强对煤炭企业的全面风险管理,以实现降低风险的目的。
(二)适应国家宏观经济政策的需求
煤炭企业在我国社会主义市场经济中担任着龙头的角色,尤其是大中型煤炭企业,对我国整体经济发展有着举足轻重的作用。
范文四:全面风险管理
浙江师范大学
研究生课程论文封面
课程名称:
开课时间:
《项目管理专题》 2016.3-2016.4
学院 经济与管理学院
工商管理
2014210752
潘刘蕾
学术型硕士
张永胜
2016.5.25
学科专业 学姓号 名 学位类别 任课教师 交稿日期 成绩 评阅日期 评阅教师签名
浙江师范大学研究生学院制
目 录
一、项目风险管理理论依据 ..................................................... 2
(一) 项目风险管理的概念 ................................................ 2
(二) 项目风险管理的进程 ................................................ 3
(三) 企业项目风险管理的维度 ............................................ 4
二、IT项目全面风险管理体系构建前提 .......................................... 5
(一) 强化对项目的全面风险管理的认识 .................................... 5
(二) IT项目全面风险管理框架体系构建原则 ............................... 5
1.有效性原则 ........................................................ 5
2.全面性原则 ........................................................ 6
3.系统性原则 ........................................................ 6
4.成本效益原则 ...................................................... 6
三、IT项目全面风险管理体系的内容 ............................................ 6
(一) 时间维度 .......................................................... 6
(二) 逻辑维度 .......................................................... 6
(三) 知识维度 .......................................................... 7
(四) 组织维度 .......................................................... 7
四、IT项目全面风险管理体系的内容 ............................................ 7
(一) 风险管理计划 ...................................................... 7
(二) 风险识别 .......................................................... 8
1.需求风险 .......................................................... 8
2.计划编制风险 ...................................................... 8
3.组织和管理风险 .................................................... 9
4.人员风险 .......................................................... 9
5.开发环境风险 ...................................................... 9
6.客户风险 .......................................................... 9
7.承包商风险 ........................................................ 9
8.产品风险 .......................................................... 9
9.设计和实现风险 ................................................... 10
10.过程风险 ........................................................ 10
(三) 风险评估 ......................................................... 10
(四) 风险应对计划 ..................................................... 11
(五) 风险控制 ......................................................... 12
(六) 后评价和持续改进 ................................................. 13
IT行业项目管理中的全面风险管理体系构建
摘要:本文在对项目全面风险管理方法论思考和内涵研究的基础上,提出了构建项目全面风险管理的原则,并依据原则体系构建了项目全面风险管理结构框架,包括九个基本模块:项目环境,风险计划、风险管理目标设定,风险识别,风险评估,风险应对,控制活动,风险信息管理,后评价和持续改进。对具体框架展开分析,主要包括各个流程的任务结构及相关的风险管理方法分析。
关键词:IT行业;项目管理;全面风险管理
一、项目风险管理理论依据
(一)项目风险管理的概念
最早提出风险概念的美国学者Haynes①提到风险一词在经济学和其他学术领域中并无任何技术上的内容,它意味着损害或损失的可能性。偶然性的因素是划分风险的本质特征,某种行为能否产生有害的后果应以其不确定性而定。如果某种行为具有不确定性,则该行为就承担了风险”。1921年,Knight(奈特)通过对风险与不确定性的区分,认为风险是“可测定的不确定性”,只有当变化及其结果是不可预测的时候,才可能带来利润。这种不可预测的变化及其结果就是不确定性,不确定性具有比风险更深一层的含义,不确定性实质上规定着风险。只有在企业家的创造性活动之后,风险才开始存在。Wayne Snider最早提出风险管理的概念,并得到美国管理协会和美国保险管理学会的承认和支持,其后许多学者致力于对风险管理进行研究,如梅尔与赫尔奇斯、威廉姆斯与汉斯等学者,越来越多的企业也开始重视风险管理,企业的风险管理成为公司三大管理活动(策略管理,经营管理和风险管理)之一。
对于风险管理的定义都普遍认为风险管理至少有风险的辨识、估计、控制和监督等几个部分组成,目前对于风险管理的定义主要是从两个方面阐述,一是从风险管理作为一组活动入手进行定义,一是着重从风险管理过程入手阐述风险管理的定义:威廉姆斯与汉斯指出风险管理是通过对风险的识别、衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法;美国国防部认为,风险管理是处理风险的行为或实践,它包括风险计划、估计辨识和分析风险区域、制定风险解决方案、监督风险事件以确定风险评估值的变化,并且归档整体风险管理方案、认为:风险管理指辨识、分析和控制风险的活动,风险管理过程指系统化的和显式的风险管理活动中认为风险管理是一种分析问题①
②② John Haynes.Risk as an Economic Factor.Quarterly Journal of Economics.1895.9(4):409-449
的手段,它釆用风险概率模型来估计某种情况下的风险,以达到对相关风险更为精确的了解;风险管理内容包括风险识别、分析、优先级排序和控制;赵晓玲③从技术方法的角度,对制定企业风险管理计划、识别评估企业风险、制定风险应对计划这些风险管理流程进行了介绍,使得险管理更具可操作性;马敬川④认为风险管理的内容主要包括风险识别、风险的分析与预测、风险管理的策略及措施。
风险管理应用到项目管理领域是近十几年才兴起的,在1987年出版的“A Guide to Project Management Body of Knowledge”一书中,风险管理才单独作为项目管理的一个知识领域被显式地提出来。美国项目管理学会(PMD)的项目管理知识体系把项目管理划分为个知识领域,风险管理就是其中之一。我国于2001年推出的《中国项目管理知识体系》对风险管理进行了详细规范,以作为项目管理规范化运作的理论基础和技术指南。
(二)项目风险管理的进程
早期的风险管理的内容主要是针对信用风险和财务风险,局限在某些单一、局部或分离性的层面上,没有涉及到众多层面的风险管理的问题:方法缺乏系统性和全局性;主要是事后的管理,只有上级管理人员认为风险存在的时候才对风险进行处理和管理,而且与企业的经营战略脱节,被排除在整个企业的经营管理体系之外。二十世纪八十年代末至九十年代初,随着国际金融行业和工商企业的不断发展,企业面对的社会环境和经济环境都发生了很大的变化,风险也更加多样化和复杂化,风险管理不仅是对过去的单个业务的单个风险进行管理,而应从整个系统的角度对所有风险综合管理,学者们提出了整体风险管理及全面综合的风险管理(GRM)。GRM的核心理念是对金融机构面临的所有风险做出连贯一致、准确和及时的度量;建立一种严密的程序用来分析系统风险在交易、资产组合和各种经营活动范围内的分布,以及对不同类型的风险怎样进行定价和合理配置资本;同时,在金融机构内部建立专门负责风险管理的部门,致力于防范和化解并且消化由此带来的成本。但由于TRM和GRM—般只用于金融界,故而其在理论界的研究和企业界的应用受到了一定的限制。
随着企业风险管理范围的扩大、复杂程度的加深及风险呈现的相互联系和互动性,传统的风险管理已不能满足要求,企业应采用更广泛的和整合的方法进行风险管理。2004年9月,美国内部控制研究发起组织发布了《企业风险管理整合框架》,COSO框架以及其提出的全面风险管理理论对企业界的风险管理运作的影响是巨大的。
COSO框架给出的企业全面风险管理定义为:企业全面风险管理是企业的董事会、符理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的③
④ 赵晓玲:《企业风险管理》,河北理工学院学报(社会科学版),2013。 马敬川:《企业风险管理研究》,商场现代化,2005。
各个部门和各项经营活动,用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险,对企业目标的实现提供合理的保证。2006年6月,国务院国有资产监督管理委员会为指导其作为出资人的企业开展全面风险管理工作,增强企业竞争力,提高投资回报,促进企业持续、健康、稳定发展,制定了《中央企业全面风险管理指引》,《指引》中对企业全面风险管理给出的定义为:企业全面风险管理指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
目前国外的全面风险管理研究主要集中在对现有的实施全面风险管理的企业的具体实施状况进行分析,并从中总结经验,再提升到理论高度,从而为所有的企业成功实施全面风险管理提供指导,企业风险管理在企业中的应用及其实施效果和效率的研究和尝试是这一阶段的主流。国内对于企业全面风险管理的研究大多处于理论的引进阶段,已经有部分学者致力于企业全面风险管理的理论思想在某些行业领域的应用理论研究,如模型。
(三)企业项目风险管理的维度
企业风险管理整体框架具有三个维度:第一维是企业的目标;第二维是企业风险管理的构成要素;第三维是企业的各个层级。第一维的企业目标有四个,即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理构成要素有八个,即内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息和沟通、监控。第三个维度是企业的层级,包括整个企业、各职能部门、业务单位及各子公司。企业全面风险管理三个维度的关系是,全面风险管理的八个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。
为了实现风险管理的有效性,需要企业风险管理的八个构成要素的支持,各要素相互独立、相互联系又相互制约,贯穿在企业的管理过程之中,共同构成了全面风险管理这一有机体系。内部环境是全面风险管理的平台,风险管理理念和风险偏好影响决定了风险管理目标设定;目标设定是风险识别、风险评估和风险应对的前提,具体风险管理战略和流程都要符合风险管理政策的要求,实现风险管理的目标;事件识别、风险评估、风险应对是风险管理的具体实施流程,是对风险管理政策的细化和执行;控制活动是风险管理目标实现和风险管理流程有效运行的保障;风信息沟通是保障全面实施风险管理的媒介,风险管理的各项活动都要形成风险信息并通过风险报告机制传递;监控是对风险管理体系进行再控
制和再完善,以保持风险管理体系的科学性和适宜性。
二、IT项目全面风险管理体系构建前提
将全面风险管理理论应用到项目中需要我们首先从思想上理清对风险管理的认识、设计机理上把好方向,据此提出设计准则,最后形成IT项目全面动态的风险管理体系框架。
(一)强化对项目的全面风险管理的认识
项目都是在风险中寻找机会、走向成功,所以开展风险管理的目的不在于消除风险,而是要提供更多的风险决策信息和方案,以使部分风险的可能性降低,或减轻风险发生后的危害,或利用我们的知识回避开风险,最大限度地降低风险带给IT项目建设的不确定性。风险管理以项目应该怎样才不会失败为出发点,项目管理是以项目怎样做才会成功为着眼点,二者殊途同归的,因此在进行项目管理是也应该建立健康的正确对待项目风险的企业文化,让人人都关心风险的识别、估计和跟踪控制。风险管理活动是一个连续的动态活动,客观世界在变、IT技术在变,所以风险管理体系除了应该有适应性外,还应该有包容性和开放性。全面风险管理要求以系统思想解决复杂系统问题,所以要系统、整合的看待IT项目风险,不要孤立片面的看问题。
风险管理既是科学也是艺术,一方面需要用理性的数学知识和技术建模求解,另一方面也需要借助心理学、社会学等方面的知识诱导风险根源。IT项目的成本大部分是潜在的成本,也与企业的其他因素密切相关,不能单纯对IT项目的效益进行定量分析而应从长远着手从宏观分析IT项目全面风险管理给企业IT项目的成功实施带来的好处,IT项目风险管理应得到高层领导的重视。进行全面风险管理不是以消除风险为目的,需要根据成本收益原则来实施风险管理,选择确的应对策略,例如对于像知识的缺乏和交流的不畅等引起的风险,在解决时我们需要考虑排除的代价;源于环境或技术进步等我们无法阻止的风险,我们要预先设计备选方案,规避其中不口接受的风险。IT项目是劳动密集型项需求不确定性是一切密集项目的最大风险之一,企业往往会在IT项目实施过程中会通过对实际情况分析改变其需求,IT项目承包方此时就需要根据其具体的需求,使项目成果随着项目相关方对企业的认识程度加深而成熟。
(二)IT项目全面风险管理框架体系构建原则
构建IT项目全面风险管理框架体系构建原则构建项目的全面风险管理框架体系,必须遵循以下几条原则:
1.有效性原则
有效的风险管理必须是能够在项目实施过程中得到贯彻执行并发挥作用,保证项目顺利实现目标。风险管理框架必须有效,它必须适用于企业和IT项目的
具体特点,必须能够发现和化解所面临的风险。制定的各项风险管理制度要与企业内部管理和IT项目的发展相适应。
2.全面性原则
构建项目的全面风险研究模型一定要遵循全面性原则,全面性体现在以下几个方面:全过程性,风险管理要贯穿于企业经营管理活动的各个方面;全方位性,管理者应针对人、财、物、信息各要素及各业务活动领域,构建相对全面的风险管理框架,使其触角摄入企业经营的各项业务和各个操作环节,涵盖所有的部门和岗位;全员性,它涉及到企业中所有部门和全体员工。
3.系统性原则
在设计风险管理模型时,必须按照系统论的观点,将各部门和各岗位形成既相互制约又具有纵横交错关系的统一整体,以保证各部门和岗位均能按照特定的目标相互协调的发挥作用,从而发挥风险管理框架的总体功能,实现风险管理总体目标。
4.成本效益原则
风险管理可以帮助企业抵御风险,增强抗风险能力,合理保证目标实现,但是建立、维护风险管理框架总要付出一定的代价,如风险管理的构建成本、风险管理运行中的人力和物力支出、不适当的风险管理措施对企业产生的不良影响等。建立风险管理框架必须贯彻成本效益原则,通过运用科学化的经营管理方法以降低其成本,提高经济效益,力争以最小的管理成本获収最大的经济效益。
三、IT项目全面风险管理体系的内容
本文借鉴企业风险管理整体框架,软件项风险管理思想,SEI的连续风险管理和项目管理中的风险规划、风险识别、风险评估、风险应对计划、风险监视与控制的风险管理流程,选用适当的方法和工具,针对IT项目特点,以实现项目的全面风险管理为目标,设计了一类项目的全面风险管理体系。
全面风险管理在逻辑上要求将风险管理要素有机地集成起来。IT项目全面风险管理需要将IT项目风险管理全过程进行集成化,以系统论和全面风险管理理论为依据,将时间(维度项目生命周期)、组织维度(风险管理机构、人员)、逻辑维度(项目风险管理逻辑过程)和知识维度(风险管理理论、技术与方法)集成起来,形成项目全面风险管理运作的过程框架。
(一)时间维度。它是指项目寿命周期的各个阶段是从时间维度对项目展幵过程的描述。项目一般划分为规划阶段、软件开发阶段、运行和维护阶段、终结。
(二)逻辑维度。它是指项目风险管理的逻辑过程,包括风险计划,风险识别,风险评估,风险应对,控制活动,后评价和持续改进等活动。在项目寿命周期的每个阶段其风险管理活动都要经历这个步骤循环往复。
(三)知识维度。它是指为完成项目风险管理各项工作所需的各种知识和专门技术的总和。包括风险识别工具和技术、风险估计与评价方法、风险应对措施、风险监控方法等。
(四)组织维度。它是指参与项目风险管理的组织机构和人员,既包括决策层,也包括操作层;既包括企业内部人员,也包括企业外部人员。
构建项目全面风险管理体系,首先,必须全面考虑项目中的所有风险,实现全面风险管理应该与项目管理实现无缝融合;项目全面风险管理体系应能尽可能早期地识别风险并保持风险管理在整个项目生命期内的连续性,还要保证风险管理各组成部分之间的结构性和连续性。各项风险管理活动应该是一个有机的过程整体,各部分之间相互依托,相互补充。体系框架如图所示:
四、IT项目全面风险管理体系的内容
(一)风险管理计划
风险管理计划是决定如何采取和计划一个项目的风险管理活动的过程,包括风险管理实施的目标、策略、方法、机制。项目风险管理计划就是依据项目的相关信息,如:项目章程(目标、计划)、范围说明书、项目管理计划、组织过程资产、环境和组织因素、历史信息、风险承受能力和计划在风险上的投入等在项目计划会议上由项目关键干系人和对风险计划编制和应对措施负有责任的人员
共同讨论编制出一个风险管理计划书。风险管理计划书是风险管理的导航图,它告诉项目组织,如何保障项目从当前所处状态到达所希望的未来状态。风险管理计划应该清楚、易于操作,主要包括风险管理的目标,风险管理的工作方向和工作重点,风险管理策略,风险管理过程及其标准和程序,风险管理机制、方法、技术,风险管理资源和成本预算等。
(二)风险识别
风险识别是项目风险管理的基础和重要组成部分,主要工作为确定何种风险事件可能影响项目,并将这些风险的特性整理成文档,存入风险管理数据库。没有风险识别的风险管理是盲目的。通过风险识别,才能使理论联系实际,把风险管理的注意力集中到具体的事件上来。
风险识别的主要内容包括:识别并确定项目有哪些潜在风险;识别引起这些风险的主要因素;识别项目风险可能的后果;将已知风险编写为文档,进行存储和交流。风险识别是以收集的历史和项目信息为依据,主要包括项目章程、项目管理计划、项目范围说明书、风险管理数据库和组织过程资产等等,综合应用多种结构化和非结构化的风险监测识别方法,如头脑风暴法、德尔菲法、访谈法、分析法、因果分析图法、系统或作业流程图法、影响图法、检查表法等等,以便全面彻底的识别出潜在的风险。
现在使用的风险识别办法,可以分为宏观领域中的决策分析(可行性分析、投入产出分析等)和微观领域的具体分析(资产负债分析、损失清单分析等。主要方法有生产流程分析法(又称流程图法,是指在生产工艺中,从原料投入到成品产出,通过一定的设备按顺序连续地进行加工的过程。强调根据不同的流程,对每一阶段和环节,逐个进行调查分析,找出风险存在的原因)、风险专家调查列举法(由风险管理人员对该企业、单位可能面临的风险逐一列出,并根据不同的标准进行分类)、资产财务状况分析法、分解分析法、环境分析、保险调查、事故分析等。企业在识别风险时,应该交互使用各种方法。
对风险的识别是准确度量风险的甜提,本文主要通过风险专家调查列举法分析总结出了影响IT项目成功的十大关键因素,确定IT项目生命周期内可能发生的风险一般包括:
1.需求风险:需求已经成为项目基准,但需求还在继续变化;需求定义欠佳,而进一步的定义会扩展项目范畴;添加额外的需求;产品定义含混的部分比预期需要更多的时间;在做需求中客户参与不够;缺少有效的需求变化管理过程;
2.计划编制风险:计划、资源和产品定义全凭客户或上层领导口头指令,并且不完全一致;计划是优化的,是“最佳状态”,但计划不现实,只能算是“期望状态”;计划基于使用特定的小组成员,而那个特定的小组成员其实指望不上;
产品规模(代码行数、功能点、与前一产品规模的百分比)比估计的要大;完成目标日期提前,但没有相应地调整产品范围或可用资源;涉足不熟悉的产品领域,花费在设计和实现上的时间比预期的要多;
3.组织和管理风险:仅由管理层或市场人员进行技术决策,导致计划进度缓慢,计划时间延长;低效的项目组结构降低生产率;管理层审查/决策的周期比预期的时间长;预算削减,打乱项目计划;管理层作出了打击项目组织积极性的决定;缺乏必要的规范,导致工作失误与重复工作;非技术的第三方的工作(预算批准、设备釆购批准、法律方面的审查、安全保证等)时间比预期的延长;
4.人员风险:作为先决条件的任务(如培训)不能按时完成;幵发人员和管理层之间关系不佳,导致决策缓慢,影响全局;缺乏激励措施,士气低下,降低了生产能力;某些人员需要更多的时间适应还不熟悉的软件工具和环境;项目后期加入新的开发人员,需进行培训并逐渐与现有成员沟通,从而使现有成员的工作效率降低;由于项目组成员之间发生冲突,导致沟通不畅、设计欠佳、接口出现错误和额外的重复工作;不适应工作的成员没有调离项目组,影响了项目组其他成员的积极性;没有找到项目急需的具有特定技能的人;
5.开发环境风险:设施未及时到位;设施虽到位,但不配套;设施拥挤、杂乱或者破损;开发工具未及时到位;开发工具不如期望的那样有效,开发人员需要时间创建工作环境或者切换新的工具;新的开发工具的学习期比预期的长,内容繁多;
6.客户风险:客户对于最后交付的产品不满意,要求重新设计和重做;客户的意见未被采纳,造成产品最终无法满足用户要求,因而必须重做;客户对规划、原型和规格的审核决策周期比预期的要长;客户没有或不能参与规划、原型和规格阶段的审核,导致需求不稳定和产品生产周期的变更;客户答复的时比预期长;客户提供的组件质量欠佳,导致额外的测试、设计和集成工作,以及额外的客户关系管理工作;
7.承包商风险:承包商没有按承诺交付组件;承包商递交的组件质量低下,无法接收,必须花时间加以改进;承包商没有购进项目开发需要的工具,从而无法提供需要的性能水平;
8.产品风险:矫质量低下的不可接受的产品,需要比预期更多的测试、设计和实现工作;开发额外的不需要的功能镀金,延长了计划进度;严格要求与现有系统兼容,需要进行比预期更多的测试、设计和实现工作;要求与其他系统或不受本项目组控制的系统相连,导致无法预料的设计、实现和测试工作;在不熟悉或未经检验的软件和硬件环境中运行所产生的未预料到的问题;发一种全新的模块将比预期花费更长的时间;依赖在开发中的技术将延长计划进度;
9.设计和实现风险:设计质量低下,导致重复设计;一些必要的功能无法使用现有的代码和库实现,幵发人员必须使用新的库或者自行开发新的功能;代码和库质量低下,导致需要进行额外的测试,修错误,或重新制作;过高估计了增强型工具对计划进度的节省量;分别开发的模块无法有效集成,需要重新设计或制作;
10.过程风险:大量的纸面工作导致进程比预期的慢;前期的质量保证行为不真实,导致后期的重复工作;太不正规(缺乏对软件开发策略和标准的遵循),导致沟通不足,质量欠佳,甚至需重新开发;过于正规教条地竖持软件幵发策略和标准,导致过多耗时于无用的工作;向管理层撰写进程报告占用开发人员的时间比预期的多;风险管理粗心,导致未能发现重大的项目风险。
(三)风险评估
风险评估包括对识别风险通过风险发生的概率及影响程度的综合评价确定风险的优先级排序。风险管理资源有限,不可能对所有的风险进行分析和减轻。我们应该把重点放在关键风险,并花较多的时间和资源管理它们,因此我们必须对风险进行排序。风险评估的主要活动包括以下几步,在实际操作时他们既可以重复,也可以同时进行:
1.对已识别的风险进行度量,评估风险发生的可能性及其后果。风险度量有定性、定量和混合等多种方法如主观评分法决策树法、层次分析法、模糊风险综合评价法、故障树分析法和蒙特卡洛模拟法等等。但是对项目由于其自身的许多独特的特点,而且缺少丰富的历史数据,损失难以确切预测等诸多原因,难以准确量化,而且项目对评估结果数据的精确度要求不高,因此,方法的选择多以定性分析为主,重在可行和高效。
2.归类与合并风险:对风险从不同的角度进行分类,将类似的风险归为一组,以便全面的了解风险形势。可以按照项目发展阶段、风险所属的领域、项目的属性对风险进行分类归属,以便分别对每个阶段或领域的风险进行排序,对各阶段、领域的相对风险量进行比较,找出其中影响比较大的风险。
3.分析风险事件的发生时段和何时采取行动才能阻止风险的发生。利用因果分析图、网络图和等,对风险来源、驱动因素和风险影响的区域和范围进行确定,找出风险根源、发展路径、风险间的关系及转化影响过程,具体找出风险驱动因素。把风险对号入座,据此得到风险分布图,找出风险集中的区域,记录重复发生的风险的次数及每次出现的时间和领域,以了解其重要性。
4.利用以上分析结果,确定风险最大的类、阶段、受影响最大的风险项目、哪些是局部风险、哪些是全局风险、哪些风险会频繁发生,得出最终的风险排序表,把排序较前的风险作为风险管理的重点,并优化完善风险管理数据库。
风险评估可从定性和定量两个方面进行,并且要尽量数据量化地确定受险程度。IT项目的风险评估中常用的分析方法包括层次分析法和概率影响风险评分矩阵等等。
(四)风险应对计划
风险应对是根据风险环境、风险管理目标和项目约束,幵发制定一些程序和技术手段等风险应对策略,用来提高实现项目目标的机会和减少风险对实现项目目标的威胁。风险应对策略包括风险避免、转移、缓解、接受、储备以及退避等,根据风险管理的成本收益原则,选择最佳的风险解决途径。我们一般通过对风险指标的量化和风险阈值的设立建立风险预警触发机制,我们对每一风险的控制行动计划都设置特定的启动阈值,风险阈值为可以接受非最低风险指标量化值。风险阈值根据风险指标的量化设定(如表所示),用于定义风险的开端,当项目风险指标达到阈值时便启动项目预警机制,并实施以此为依据编写风险监控计划、 风险应对计划。风险应对计划中存储风险控制行动计划的相关信息,主要包括:风险编号、风险控制目标、控制策略类型、策略描述、所需资源、使用的方法和工具、行动计划、识别期、执行期、持续时间、责任人、执行效果、启动阈值、备用方案。
风险应对策略从风险的定义出发,从减少发生的概率、减少损失的大小和改变风险后果等方面提出的策略,包括风险预防、转移、缓解、接受、储备、回避等。预防风险是一种主动的风险管理策略,防止风险发生或造成不利后果,此策略会在定程度上增加项目的成本,因此决策时需要进行成本效益分析;转移风险是将风险转移至参与该项目的其他人或其他组织,所以又叫合伙分担风险。其目的不是降低风险发生的概率和减轻不利后果,而是借用合同或协议,在风险事件一旦发生时将损失的一部分转移到有能力承受或控制项目风险的个人或组织,实行这种策略要遵循两个原则:第一,必须让承担风险者得到相应的回报;第二,对于各具体风险,谁最有能力管理就让谁分担;缓解风险是通过缓和或预知等手段来减轻风险,降低风险发生的可能性或减轻风险带来的不利后果,以达到风险减少的目的;接受风险是有意识地选择承担风险后果,当觉得自己可以承担损失时,就可用这种策略。接受风险可以是主动的,也可以是被动的。由于在风险规
划阶段已对一些风险有了准备,所以当风险事件发生时马上执行应急计划,这是主动接受。被动接受风险是指在风险事件造成的损失数额不大,不影响项目大局时,项目管理组将损失列为项目的一种费用。当采取其他风险应对方法的费用超过风险事件造成的损失数额时,可采取接受风险的方法;储备风险是指制定项目风险应急措施。一旦项目实际进展情况与计划不同,就动用后备应急措施。主要针对两种类型的风险:一是高危害的风险,以防缓解策略失败,二是不能或没有采取行动缓和的风险。项目风险应急措施主要有费用、进度和技术三种。预算应急费是用于补偿差错、疏漏及其他不确定性对项目费用估计精确性的影响;回避风险一一是指当项目风险潜在威胁发生可能性太大,不利后果也太严重,又无其他策略可用时,主动放弃项目或改变项目目标与行动方案,从而规避风险的一种策略。
总之,风险应对管理后的结果应包括以下几项内容:风险记录;已识别的风险及其描述,受影响的项目领域,风险成因及如何影响项目目标;风险责任人及其职责,定性定量的分析过程的结果;一致同意的应对策略;应对策略的具体行动;应对策略执行后的残留风险水平;风险发生的预警和信号;执行风险应对策略的预算和时间;启动应急计划非触发条件;执行应对措施引发的新风险;需要的应急储备量;风险相关的合同协议。
(五)风险控制
风险控制过程是指执行风险行动计划,以求使风险得到有效的防范、使风险指标回落到可以接受的范围内、并校正风险行动计划,积累风险经验。要及时的对触发事件的通知做出反应;按照风险应对计划开展风险应对措施,及时存储、报告和评审风险应对的结果,加强项目组内部交流。如果实施结果不能令人满意,就必须换用其他途径,必要时还需要采取校正行动,重新对风险进行评估,对风险控制行动计划乃至风险管理计划做出修正,以保证重要风险得到恰当控制。风险控制阶段用到的工具主要有风险评估、风险审计、定期的风险评审、技术绩效评估、差异和趋势分析、预留管理等等。要根据风险控制结果更新风险检查表和风险管理数据库。
风险管理全过程都需要当前项目信息和记录风险信息的风险数据库支撑,风险管理数据库可以用来辅助存储风险相关信息,以便于风险管理活动中的信息交流和管理跟踪。项目管理本身对知识和经验的积累有很大的依赖性。项目全面风险管理应特别重视对知识、经验的积累的学习,不断地对风险管理数据库进行更新、丰富和完善。根据本文的风险管理模型,本文拟建立的风险管理数据库包含了项目表、风险表、风险计划表、风险跟踪表,括号内是数据表中个属性的基本字段描述。
1.目标表(目标编号、目标描述);
2.风险表(风险编号、名称、类别、事件描述、可能性、后果、风险大小、风险优先级、发生时段、所处阶段、风险场景、风险状态、影响范围、触发器、阈值);
3.风险行动计划表(风险编号、风险控制目标、控制策略类型、策略描述、所需资源、使用的方法和工具、行动计划、识别期、执行期、持续时间、责任人、执行效果、启动阈值、备用方案);
4.风险跟踪表(风险编号、跟踪期、风险状态、上次优先级、当前优先级、进入前十位的次数)。
(六)后评价和持续改进
项目风险管理部门应该对全部规章制度,项目管理流程,风险管理流程的执行情况进行后评价,并建立相应的授权调整和问责制度,确保风险管理体系的运行。同时,风险管理部门应根据外部环境,监管当局要求以及后评价中发现的问题,对风险管理体系中有关内容提出调整和完善意见,由项目决策层来对全面风险管理体系进行持续改进。被识别或评估为不重要的风险,其重要性可能随时间的推移而改变。当可能性较低或行动时间框架较晚时,有严重后果的风险看起来可能并不重要。而那些没有被识别出来的风险很有可能演变为问题。所以,后评价不仅仅是监视关键风险状态还包括其它己识别的风险,以及任何有助于识别出未知风险的新信息。及时将跟踪情况存入数据库,便于交流、共享和及时触发启动风险控制计划。
参考文献:
[1]赵传君.风险经济学[M].哈尔滨:黑龙江教育出版社,1985.
[2]李志辉译.风险模型——资本分配与绩效计量天津[M].天津:南开大学出版社,2004.
[3]陈翊斌.试论工程项目管理的研究现状及我国的对策[J].项目管理者联盟文库,2007,11.
[4]胡宣达,沈厚才.风险管理学基础——数理方法[M].南京:东南大学出版社,2001.
[5]宋明哲.现代风险管理[M].北京:中国纺织出版社,2003.
[6]赵晓玲.企业风险管理[J].河北理工学院学报.社会科学版,2003,3(1):70-72.
[7]马敬川.企业风险管理研究[J].商场现代化,2005(9):11-12.
[8]詹姆斯·林,黄长全译.企业全面风险管理——激励到控制[M].北京:中国金融出版社,2006
[9]运怀立.现代企业全面风险管理的测度与策略选择[J].现代财经,2007(4):32-35.
[10]沈建明.项目风险管理[M].北京:机械工业出版社,2004.
[11]李中斌.风险管理解读[M].北京:石油工业出版社,2000
[12]毕星,翟丽.项目管理[M].上海:复旦大学出版社,2000
[13]张洛玲,李师贤.软件项目风险管理方法比较和研究[J].计算机工程,2003,29(3),92.
[14]方德英,李敏强,寇纪淞.软件项目风险管理方法比较和研究[J].运筹与管理,2004,13(3).
[15]邵强,罗杰.国际石油工程项全面风险管理体系[J].油气地面工程,2010(05),36.
[16]李金海,徐敏.基于霍尔三维结构的项目风险管理集成化研究[J].项目管理技
术,2008,6(8):18-20.
[17]田中敏.论项目开发中的风险管理[J].武汉科技大学学报,2002,4(3).
[18]卢有杰,卢家仪.项目风险管理[M].北京:清华大学出版社,1998.
[19]宋明哲.风险管理[M]台北:中华企业管理发展中心,1987.
[20]柳纯录,刘明亮.信息系统项目管理师教程[M].北京:清华大学出版社,2005.
[21]傅俊元,吴文往.企业风险管理制度如何建立[J].财务与会计.理财版,2006(9):27.
[22]Kontio,Jyrki.Software Engineering Risk Management:A Method,Improvement Framework, and Empirical Evalution[D].A doctoral dissertation from Helsinki University of Tehnology,2001,09.
[23]Andrew W.The Three P’s of Total Risk Management[J].Financial Analysts Journal.1999(2):39-50.
[24]Barry Boehm.Software Risk Management:Principle and Practices[J].IEEE software,2010(01).
范文五:全面风险管理
公司治理-全面风险管理的基石
作者:李菲菲(博睿世纪高级咨询顾问) 发布时间:2008-9-1 现代企业的生存或死亡,发展或衰退,很大程度上取决于企业如何应对风险,取决于企业有没有科学的风险管理理念和严密有效的风险管理体系。企业风险管理理念的建立和落实,关键在于高层管理者能否充分认识到风险管理的紧迫性和重要性,并建立一套高效灵活的风险管理体系,以保证企业对风险危害的有效控制和风险机会的,恰当利用。公司治理作为一项企业的制度安排,是否与企业风险管理理念相协调,无疑对整个企业的风险管理水平起着决定性的作用。同时,能否有效地进行风险管理,也越来越成为公司治理有效性的一个重要标准。因此,协调风险管理与公司治理是现代企业避免失败、走向成功的关键。
1、全面风险管理的定义 国资委定义的全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
2、公司治理的定义
公司治理是一个多角度多层次的概念,很难用简单的术语来表达。狭义的公司治理,是指所有者,主要是股东对经营者的一种监督与制衡机制。即通过一种制度安排,来合理地配置所有者与经营者之间的权利与责任关系。公司治理的目标是保证股东利益的最大化,防止经营者对所有者利益的背离。其主要特点是通过股东大会、董事会、监事会及管理层所构成的公司治理结构的内部治理。广义的公司治理则不局限于股东对经营者的制衡,而是涉及到广泛的利害相关者,包括股东、债权人、供应商、雇员、政府和社区等与公司有利害关系的集团。公司治理是通过一套包括正式或非正式的、内部的或外部的制度或机制来协调公司与所有利害相关者之间的利益关系,以保证公司决策的科学化,从而最终维护公司各方面的利益。因为在广义上,公司已不仅仅是股东的公司,而是一个利益共同体,公司的治理机制也不仅限于以治理结构为基础的内部治理,而是利益相关者通过一系列的内部、外部机制来实施共同治理,治理的目标不仅是股东利益的最大化,而是要保证公司决策的科学性,从而对保证公司各方面的利益相关者的利益最大化。
3、全面风险管理与公司治理的关系 全面风险管理就是企业董事会及经理阶层为实现未来战略目标的过程中,将市场变化不确定因素产生的影响控制在可接受范围内的过程和系统方法。但全面风险管理与公司治理的目标都是通过科学决策,在最大程度上规避风险,以实现公司价值最大化。
全面风险管理与公司治理相辅相成、相互促进、相互制约的关系。
3.1、全面风险管理是公司治理的核心
公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开,风险直接影响目标的实现,而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度,治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。公司治理是组织应对风险的战略反应,其职责核心就是确保有效的风险管理方案的适当性,公司治理中包含一些战略性的风险管理的因素。因此,全面风险管理是公司治理的核心。
3.2、公司治理决定全面风险管理的实现程度。
公司治理这一制度安排所决定的企业目标、决策人和收益的分配实质上都是围绕风险展开的。从某种意义上来说,公司治理是组织应对风险的战略反应,其职责就是确保企业实现有效的风险管控。
3.3、公司治理是落实全面风险管理的组织保证和制度基础。 企业全面风险管理的实施必须由公司治理结构中的董事会和高级管理层等相关主体应用到企业战略决策等重大事项中,并由他们进一步将其贯彻落实在企业的方方面面。COSO在《企业风险管理一一整合框架》中明确指出:企业风险管理是一个过程,受组织的董事会、管理层和其他人员影响,应用于战略制定及各个方面,旨在识别影响组织的重大潜在事件,将组织的风险控制在可接受的程度内,从而为组织目标的实现提供合理的保证。COSO还提出了企业风险管理的八个要素,其中第一个就是内部环境,它是整个框架中其他要素的基础。内部环境本身也包含很多要素,例如,企业的道德价值观,员工的胜任能力,管理当局管理风险的理念以及如何分配权利和职责,董事会的独立性和监督等,这些要素大都在公司治理的范畴之中。由此可见,全面风险管理与公司治理紧密相连,有效的公司治理可以为企业风险管理提供良好的制度环境。
3.4、与公司治理协调一致的全面风险管理的实施有助于公司治理目标的达成。
全面风险管理可以为董事会、高级管理层等提供重大风险方面的信息,协助他们进行有效的治理和管理,同时避免发生损失和意外,达到提升价值创造能力的目的。特别是公司治理风险已经成为当今企业面临的一个重要风险,公司治理的缺陷有可能导致企业走向失败,甚至“突然死亡”,安然、世通、银广夏、中航油等众多国内外企业失败的案例都充分证明了这一点。因此,从全面风险管理的理念入手加强公司治理是一个必然的选择。
3.5、全面风险管理与公司治理相互制衡
一个健全、完善的治理结构关键在于股东大会、董事会、经理阶层和监事会即法人治理结构的健全,相互之间的权力、责任和利益明确,以形成有效制衡的机
制。全面风险管理是基于管理当局与其下属高级管理人员之间、高级管理人员与低阶层管理人员、管理人员与一般员工之间的委托代理关系而产生的,主要是保证下级管理人员和工人的对企业的各种风险如投资风险、经营风险、产品风险等做到及时发现并回报,保障企业目标的实现。强调的是高级管理人员之间、高级管理人员与低阶层管理人员、管理人员与一般员工之间的一种制衡。从这个角度来说全面风险管理与公司治理都遵守相互制衡的原则。 虽然全面风险管理理念与公司治理具有密切的联系,但这并不意味着两者之间的关系在实际中协调的很好。公司治理与风险管理之间需要有效的协调。具体而言,主要有以下几个方面:
? 1)建设规范有效的公司治理,奠定全面风险管理的组织基础,加强风险管理。
全面风险管理理念的推行,需要依靠恰当的组织基础。而能够承担其实施的组织基础,只能是企业高层的公司治理结构。只有这个层面,才能从总体上把握企业全面风险管理的各项要求,才有能力和资源在企业经营的各环节、企业内部的各部门中有效地贯彻落实风险管理理念。因此,建设规范有效的公司治理是推行全面风险管理理念的组织基础。
? 2)强化公司治理中的风险管理目标要求,为风险管理理念的落实提供努力方向。
企业全面风险管理理念必须转化为可考核的、具有行动导向的目标要
求,才能真正得到各方面的重视,才能真正落实到位。
? 3)根据企业全面风险管理的要求改进和完善公司治理内部组织。
目前,国外比较成功企业的普遍做法是董事会下设风险管理委员会和审计委员会,作为董事会进行风险管理的主要内部组织;管理层下设风险管理职能部门和内部审计部门,并同时向董事会的相应委员会报告工
作,作为协助管理层、董事会进行风险管理的主要职能部门。实践证明,这种公司治理内部组织设置上的改进与完善,对于加强风险管理是非常有效的。《中央企业全面风险管理指引》对此也提出了明确要求,具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线,风险管理职能部门和董事会下设的风险管理委员会为第二道防线,内部审计部门和董事会下设的审计委员会为第三道防线。
? 4)加强公司治理相关主体的风险管理职责与胜任能力。 全面风险管理理念赋予了董事会新的职责。董事会应就全面风险管理
工作的有效性对股东(大)会负责,其具体职责主要包括:对企业风险管理的全过程进行监控,包括了解主体中企业风险管理的范围;批准主体的风险容量;审核主体的风险组合观,并对照主体的风险容量对其进行考核;了解最重大的风险以及管理当局是否恰当地应对,督导企业风险管理文化的培育等。
全面风险管理理念对董事会的构成提出了新的要求。如,增加董事会
中独立董事人数的要求,使独立董事在董事中占多数,以保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择。再如,对董事的诚信、经验和技术方面的胜任能力提出了更高的要求,
要求其熟悉企业重要管理及业务流程,具备风险管理监管知识或经验,具有一定的法律知识等。
赋予了首席执行官新的职责。企业首席执行官的主要职责在于恰当地
建立风险管理的所有构成要素,制定战略目标和有关的高层次目标,构建主体的风险管理理念,定期与负责主要职能领域(销售、营销、生产、采购、财务、人力资源)的高级管理人员进行会谈,从而对他们的职责进行核查。
设置风险官员。有条件的企业在首席执行官之下设置专门的风险官
员,其职责是确定各业务单元对于风险管理的权力和义务,指导风险管理与其他经营计划和管理活动的整合,对企业整体风险管理进行监控,并向首席执行官报告进展和问题并建议必要的措施。
? 5)全面风险管理应高度关注公司治理风险。
公司治理风险主要是指由于公司治理结构和治理机制不合理而引发的
公司战略和治理上的风险,这种风险会极大打击投资者的信心,从根本上危及公司的持续发展与成长。因此,除了关注战略风险、财务风险、市场风险、运营风险、法律风险等以外,现代企业的全面风险管理必须从治理环境变化风险、公司内部治理风险、外部治理风险三个维度测评公司治理风险,建立治理风险预警指标,并通过督促公司建立完善的治理结构和治理机制来防范公司的治理风险。
4、加强全面风险管理,需要提高公司治理能力
通过提高公司治理能力来加强全面风险管理国际经验表明,在经济发展较快、竞争日益激烈的情况下,加强企业全面风险管理已提上日程。我国近年来经济发展较快,外部经济环境较为复杂,行业发展还很不成熟,风险管理形势严峻。增强我国企业的抗风险能力成为企业改革与发展的重任之一。我们要加强企业全面风险管理,要从加强监管、完善公司治理结构、加强市场监督、健全公司治理文化、改善公司治理环境四个方面着手:
? 4.1 要实施严格的外部监管和考核。
对我国来说,国有企业是我国国民经济的支柱,一旦倒闭将给我国经济
带来巨大的冲击,影响到就业,国家安定等一系列问题,因此对国有企业的监督尤其重要。国家在国有企业的管理上,要履行出资人的责任,要给企业放权的同时加强监察力度。建立让国有企业负责任的制度之一,就是不让企业负两项责任,也不能脚踩两只船。制度设计上,把公益性和赢利性国有企业分开。公益性国有企业制度设计建立在社会公益基础上,以公益目标为主监管和考核企业。这类企业微利或不亏即可,利润大幅增长倒是该警惕了,可能损害了公益。为实现公益目标必然的效率损失由财政补贴。财政补得值也补得起,因为补贴换取了社会公益,这类企业也不多。另外,从利益相关者的角度来看,企业不仅仅属于股东,企业属于所有利益相关者,包括政府、供应商、社区、顾客、债权人等等。因此,企业的风险和利益相关者的利益息息相关。充分发动利益相关者的
监督作用,发挥政府的控制和监督作用,利用新闻媒体的舆论作用,建立全社会的风险预警系统。
? 4.2 我国企业迫切要建立适合我国国情的完善的公司治理结构。
完善公司治理结构是建立现代企业制度,提高企业的可持续发展能力、竞争能力和抗风险能力的根本所在。建立公司治理结构当前迫切需要做好两方面工作:
o 构建完整独立的风险管理体系。
建立全面风险管理模式,是提高我国风险管理水平的关键。一是
要培育先进的全员的风险管理文化;二是建立独立而权威的风险
管理部门实现对各机构风险统一管理;三是通过科学的风险管理
模式,对各类风险实现全面管理;四是通过风险识别、衡量、监测、
控制和转移实现全过程管理;五是确定风险管理职责在各业务部
门之间、上下级之间的协调联动管理。
o 完善内控机制,保障公司治理机制的运行。
内部控制是防范企业全面风险最主要、最基本的防线,防范全面
风险必须首先从风险机构内部控制做起。建立健全科学的决策体
系、有效的自我约束和激励机制提高经营管理水平,增加盈利能
力,是推进我国企业改造的基础。强化董事会在内控体系中的作
用。要强化董事会在公司治理结构中的主导地位,突出董事会在
建立和完善内控体系过程中的核心作用。
? 4.3建立规范的、严格的信息披露制度,自觉接受市场监督。
我国上市公司信息披露存在两大痼疾:第一,信息披露违规事件屡禁不
绝。第二,虚假信息泛滥成灾。
? 4.4健全公司治理文化防范道德风险。
5、未来公司治理中应关注的风险管理问题
? 5.1 企业永续经营的计划。
企业能否做到永续经营,还是一个正在讨论的问题,不过对公司治理的
核心——董事会来说,必须以此为目标,在做决策时必须考虑到未来的
不确定性,最大程度规避各种风险,使企业做到可持续发展。对于企业来说,要做到永续经营,不仅要考虑企业内部的风险,还要考虑到企业外部的风险,因此,企业要勇于承担社会责任,充分调动利益相关者的积极性,对企业进行监督,使企业能可持续发展。
? 5.2 共同价值观的理解和人性化治理。
共同价值观。通过分析各种不同的价值观,找出文化差异,是一个非常
重要的目标。企业要充分运用这些差异的优势,避免这些差异带来的风险,提高员工的效率。
人性化治理,就是在治理的全过程中突出人的地位和作用,把人的因
素提升到主动性的位置,高度地发挥人的因素的决定性作用。人性化治理是公司治理与伦理学的融合是将“利用人”的工具理性与“为了人”的价值理性相结合,把人作为治理活动的核心,尊重人的本性,满足人的合理需求,激发人的热情,调动人的积极性,发挥人的创造性。
? 5.3 人人都是风险管理者。
企业的风险与企业的每一名员工都息息相关,要做好全面风险管理,企
业的人员从高层到中层到基层,人人都要参与,形成一个紧密合作的风
险管理团队。
未来社会充满了不确定性,而随着风险社会的到来,不安全正成为新的冲突因素,工业社会追求个人权利,风险社会则追求规避风险。正因为如此,让人人承担风险让人人从风险中受益。 三、完善公司治理结构是企业顺利推进全面风险管理的基础
目前,我国许多国有企业经营效益较低,经营管理体系有待提升、财务报告失真甚至弄虚作假,违规操作等现象并不罕见,从COSO的全面风险管理框架,以及国资委的《指引》中我们可以看到,这些问题可以归结为企业全面风险管理迄待解决的问题,它们主要表现在:
? (一),企业对风险管理认识不全面,风险管理观念淡薄,表现为重经营
轻管理,导致企业风险管理基础工作薄弱。
? (二),企业风险管理程序不科学,风险责任不明确,公司权力机构之间
缺乏有效制衡,风险管理制度缺乏系统化、科学化,风险管理手段简单,制度没有真正或有效执行。
? (三),企业风险管理缺乏统一控制标准,缺乏资源调剂和资本核算机制,
导致风险信息不能有效利用。
? (四),企业缺少健全的风险管理组织机构,管理过程缺少监管,企业风
险管理缺乏有效的激励或严格的惩罚。
? (五),风险管理缺乏专业人才,风险管理职能不能有效发挥,导致企业
经济损失或风险成本增加。 博睿世纪认为,造成上述状况的成因是多方面的,比如说企业内部管理和风险控制缺失。但上述问题的产生,有很多是根植与公司治理结构的不尽完善。或者可以说,公司治理结构的完善是企业进行全面风险管理的基础。在完善的公司治理结构中,公司决策层应当既要敢于拒绝控股股东的不当干预,又要维护大多数股东、投资人的利益;既要保证公司经营效率,又要制约经理人员滥用职权,避免和防止“内部人控制”、大股东损害小股东利益。
完善公司治理结构,董事会制度至关重要,应优化董事会的构成,正确发挥董事会的战略经营决策的作用。董事会应当就全面风险管理工作的有效性对全体股东负责。董事会在全面风险管理方面主要履行的职责包括:
? (一)审议并向股东(大)会提交企业全面风险管理年度工作报告; ? (二)确定企业风险管理总体目标、风险偏好、风险承受度,批准风险管
理策略和重大风险管理解决方案;
? (三)了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效
控制风险的决策;
? (四)批准重大决策、重大风险、重大事件和重要业务流程的判断标准或
判断机制;
? (五)批准重大决策的风险评估报告;
? (六)批准内部审计部门提交的风险管理监督评价审计报告;
? (七)批准风险管理组织机构设置及其职责方案;
? (八)批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度
做出的风险性决定的行为;
? (九)督导企业风险管理文化的培育;
? (十)全面风险管理其他重大事项。
可见一个完善的董事会制度对于企业全面风险管理建设起到的是领导、督促、监控等非常重要的作用。
另外,优化企业的股权结构可以促进公司治理结构的良险循环。引人战略或机构投资者,促进股权主体多元化,并发挥他们在公司治理中的积极作用。有研究表明,公司法人持股比例上升不仅会直接对公司价值产生积极作用,同时还会促进公司治理状况的改进,降低代理成本。完善公司治理结构,是降低企业“内部风险”的根本,也是在公司面临外部风险时正确决策的基础。
还有,营造良好的内部环境,建立有效的监管制度,对进一步完善公司治理、促进企业健康发展十分必要,也会非常有利于公司的全面风险管理。良好的内部环境应包括公司权力机构的权利有效制衡,企业的资源合理利用,风险管理科学,内部控制有效,生产经营效率高以及适合企业发展的企业文化等。良好的内部环境有利于公司治理效率的提高,治理机制趋向合理,治理结构科学化。完善公司治理结构、营造良好的内部环境,必须优化监管环境,建立有效的监管制度。建立以独立董事、监事会、审计等多元化监管体系是保证企业有效运转的重要措施,要增强监管受托责任,实施多样化的监管手段,还应充分发挥国家审计和社会中介机构的监督。
西方某些大型企业的经营、投资失败甚至倒闭,以及近期美国的次贷危机表明,即使是在西方发达国家的商业环境下,在企业全面风险管理方面也存在许多不足。目前,我国大多数企业的风险管理体系尚处在起步阶段,值得欣慰的是,国内的一些大公司已开始按照国际风险管理的思路来设计适合自己企业的风险管理体系。
对于中国的企业来讲,在我们逐步推进和完善全面风险管理建设的过程中,必须首先要解决好公司治理结构中的一些问题:
? (一)是发挥好董事会在全面风险管理实践和体系建设中的作用。董事会
必须作好企业全面风险管理体系建设的领导作用。
? (二)是完善风险管理组织架构。风险管理委员会,风险管理官,以及各
子、分公司的风险负责人等机构和职位要根据企业自身情况进行设置,
业务运营线、风险管理线和内部审计线这三条主线要相互独立,相互监督制衡。
? (三)是要关注“全面”的概念,全面风险管理,就是不能只拘泥于单一的,或是可以看到的风险,并且要在风险文化的建设中纠正“风险管理只是风险管理部门的责任”的错误观念和做法,公司决策层要积极投入进来,使公司的各个层面都能树立起风险管理意识。
? (四)是要建立完善的风险管理决策机制,使企业对于风险的发生有所准备,并能够积极做出回应。 上述问题的解决,是一个企业全面风险管理体系能否成功的建立起来,并且良性的运作起来的前提工作。博睿世纪认为,管理其实完全是相通的,企业的风险管理,是一个企业从自身成立之初,就以这样或者那样的方式在关注着的重要问题。近几年国资委根据中央企业的发展现状,以及国内外商业环境的变化情况,适时的提出全面风险管理的议题,完全是将风险管理这一理念系统化并提高到一个全新的高度,毕竟当今企业的发展,无论从自身发展还是从外在环境来说,时时刻刻可能都会面临着性命攸关的抉择。博睿世纪认为中国的企业应本着从实际出发、务求实效的原则,根据自身的发展状况以及实际条件,尽快行动起来,从完善公司治理结构入手,选择单项或者的多项的内部控制系统,逐步的建立符合自身发展的、健全的全面风险管理体系。
转载请注明出处范文大全网 » 企业全面风险管理的流程及措施