短信预约提醒成功
第三节 风险管理程序
风险管理程序可分为四步骤:第一步是风险识别;第二步是对主要风险进行评估;第三步是确定风险评级和应对计划;第四步是风险监察。
风险管理程序要求识别和了解企业面临的各种风险,以评估风险的成本、影响及发生的可能性,并针对出现的风险制定应对办法,并制定文件记录程序以描述发生的情况以及实施的纠正举措。
风险管理程序应覆盖整个企业,包括各级人员和各部门。大型企业可能会组建一个由风险管理专业人员构成的专门小组,而小型企业亦会安排一些人员负责管理整个企业内部的风险管理程序。无论是设立了正规的风险管理部门或是指定了专门的管理者,企业风险管理均涉及众多人员。上述风险管理程序中的四个步骤应在企业的各层面得以执行,并且不同工种的人员均应参与。无论是设在小地方且各种设施不完善的小型企业还是大型企业,均应制定常见的风险管理方法。这对于当今普遍出现的全球机构来说尤为重要。全球机构可能设立了多个经营单位,开展不同的商业经营活动,并在不同国家建立了多种设施。一个单位内的风险可能直接对另一个单位的风险产生影响或与之相关。
一、风险识别【掌握】
管理层需要充分了解企业所面临的风险。风险管理中最大的问题是没有认识到潜在的障碍威胁。企业需要知道损失来自何处并能够找出受益于损失控制程序的问题领域。然而,风险管理人员不能对未能识别和计量的风险因素采取行动。
因此,管理层应尽力识别所有可能对企业取得成功产生影响的风险,包括整个业务面临的较大或重大的风险,以及与每个项目或较小的业务单位关联的不太主要的风险。风险识别程序要求采用一种有计划的、经过深思熟虑的方法,来识别业务的每个方面存在的潜在风险,并识别可能在合理的时间段内影响每项业务的较为重大的风险。目的并不只是罗列每个可能的风险,而是识别那些可能对运营产生影响的风险,即在合理的时间段内,发生风险的可能性的大小。如果企业不得不面对风险,而又不知道发生风险的可能性或后果,则对风险进行识别可能比较困难。
风险识别程序应在企业内的多个层级得以执行。对每个业务单位或项目有影响的风险,可能不会对整个企业产生同样大甚至更大的影响。因此,对整个经济体产生影响的主要风险会分流到各个企业及其独立的业务单位。某些主要风险发生时会产生很大的影响,但发生的频率不高,所以这种风险较难认定。
风险识别方法之一是集体讨论可能的风险领域。通过这种方法动员知悉情况的人员迅速给予答复,把他们脑子里第一个想到的事情说出来。指定的主持人向每个小组提出一个与风险有关的问题,然后要求小组成员依次说出他们的想法。之后由风险管理小组对集体讨论后识别的所有风险进行复核,并且认定核心风险。由于风险识别程序一直伴随着讨论和分析活动进行,最后认定的风险与最初识别的一组风险相比,可能会有所改变。企业及具体的经营单位最后认定的组织风险,应提供给负责经营和财务管理的人员,以及参与集体讨论的小组。在开始风险评估前,可恰当地对认定结果进行更改。
之后,为识别风险进行的集体讨论的结果,应提供给未参与讨论的其它单位。应按照来自整个企业的评论和讨论,增加已识别风险。风险识别并非详尽的分析和讨论活动,但是每个人在短时间内产生的想法或评论,会对其它人的想法和评论起到抛砖引玉的作用。
启动风险识别程序的一种不错的方法是,找出列明属于企业层面的重要设施及经营单位的高层级的组织结构图。对于跨国企业,每个重要的经营单位都可能在全球许多地方建立了设施,也可能开展了多种不同的业务。每个单独的设施也会有其自己的部门或职能,其中一些部门相互之间是密切关联的,而另外一些部门与企业投资几无差别。应在整个企业范围内实施风险识别程序以识别各独立领域的所有风险。诚然,这很困难,有时甚至是比较复杂的任务。而且,企业内处于不同级别的不同成员将从不同的角度考虑某些相同的风险。更高级的管理层一般会注意与经营相关的一组风险,但是这些风险的水平不尽相同。但是,所有这些风险至少应被识别出来,并分别按照每一个经营单位及在整个企业层面上考虑这些风险。
要使风险识别程序生效,就要求不只是简单地向所有经营单位发出邮件,要求列出其单位面对的主要风险。对这种要求的一般反应将是给出的答案不一致且涉及范围广泛,并且没有通用方法。更好的方式是,弄清楚企业内各级别的人员,要求他们担任风险评估人。对每个重大的经营单位,应识别负责运营、财务、会计、信息技术和单位管理的各类主要人员。这些人员将以识别及帮助评估其所在单位的风险为目标,而这些单位应该是被包括在风险识别模型架构之内的。这样的方式可由企业风险管理小组或类似的部门来牵头,比如内部审计部。
典型例题:
1、[单选题]将复杂的因素分解成多个相对简单的风险因素,从中识别可能造成严重损失的因素,这样的风险识别方法是( )。
A情景分析方法
B失误树分析方法
C分解分析方法
D情景分析法
【答案】C
【解析】将复杂的因素分解成多个相对简单的风险因素,从中识别可能造成严重损失的因素,这样的风险识别方法是分解分析方法。
2、[单选题]在管理风险时,最有效的做法是( )。(2009年样题)
A把所有已识别的风险进行应对
B把所有经营的主要风险,即发生可能性较高的风险进行应对
C把所有已识别发生可能性较高及对企业财务有较大影响的风险进行应对
D把所有已识别发生可能性较大及其对企业影响较重大的主要风险进行应对
【答案】D
【解析】在管理风险时,企业首先要识别所有可能发生的风险,并评估各种风险发生的可能性,然后企业只需对发生可能性较大并且对企业影响较重大的主要风险进行应对,而无须应对所有风险。
2012年注册会计师考试招生简章 2011年注册会计师考后交流及真题分享
二、对主要风险的评估【掌握】
风险通常是相互依存的。应依据组织结构考虑和评价风险间的相互依存关系。企业应关注企业内各层的风险,但实际上各级层可能仅对其范围内的风险实施了控制。每个经营单位负责管理其面临的风险,但是可能受到组织结构中上一级单位或下一单位的风险事件的影响。企业的每个经营单位应认识到,自身遇到的许多风险,均可能对企业内其它单位产生影响。
识别出对企业的各个层级有影响的重大风险后,下一步是对风险发生的可能性及相对重大程度进行评估。这对于通过集体讨论快速识别的风险尤为重要。可用于评估风险的方法有很多,包括最佳猜想定性法(best-guess qualitative approach,这种方法相对比较快),以及一些详尽的、非常精确的定量方法。
用以评估风险影响的常见的定性方法是制作风险评估系图。风险评估系图能识别某一风险是否会对企业产生重大的影响,并将此结论与风险发生的可能性联系起来。这种方法能够为确定业务风险的优先次序提供框架。如图9-1所示,与影响较小且发生的可能性较低的风险(在图中的点2)相比,具有重大的影响且发生的可能性较高的风险(在图中的点1)更加亟待关注。每种风险的重大影响程度及影响会因企业结构的不同而有所差别。
此外,还有大量工具可以用来确定风险对企业的影响,比如情景设计、敏感性分析、决策树(decision tree)、计算机模拟,软件包和对现有数据的分析。
(1)情景设计。通常借助企业内部的讨论,形成关于未来情况的各种可能的看法。
(2)敏感性分析。该分析从改变可能影响分析结果的不同因素的数值入手,估计结果对这些变量变动的敏感程度。
(3)决策树。(第四章战略选择第四节)常用于目标管理中,以证实每个阶段存在的不确定性,根据每种可能的结果出现的可能性及包含的现金流量,评估项目的期望值。
(4)计算机模拟。利用概率分布,并重复运行,为某项目识别许多可能的情景和结果。
(5)软件包。旨在协助风险识别和分析程序。
(6)对现有数据的分析。对现有数据作出分析能够有效地掌握过去风险的影响。
在评估风险时,应留意的是概率与不确定性。特别是识别出大量的风险后,评估小组应逐个考虑风险,可能性以及发生的情况(以概率表示,范围在0~1内)。需要强调的是,本质上来说,风险可能不会保持不变,也不是100%会发生。关于概率的另外一个基本规则是,不得将独立的概率估计相加,得出综合估值。
典型例题:
1、[单选题]下列属于用以评估风险影响的常见的定性方法的是( )。
A决策树
B制作风险评估系图
C计算机模拟
D敏感性分析
【答案】B
【解析】ACD属于定量决策方法,只有B是定性决策方法,且较为常用。所以B正确。
2、[单选题]在风险评估系图中,风险对企业所产生的影响是影响风险评级的重要参数,另一个影响风险评级的重要参数是( )。(2009年真题)
A应对风险措施的成本
B风险发生的可能性
C企业对风险的偏好
D企业对风险的承受能力
【答案】B
【解析】在风险评估系图中,影响风险评级的重要参数是:风险对企业所产生的影响和风险发生的可能性。
3、[多选题]甲公司为澳大利亚的一家电子公司,正在考虑应否把生产总部迁往我国的大连市,然后上市筹资。甲公司管理层希望在投资前了解此项计划获得我国政府批准的可能性及其对公司未来现金流量的影响。甲公司管理层同时也考虑了将生产总部迁往其他国家如韩国的可能性,以及与大连方案相比的风险和回报。在整个分析中,甲公司管理层可用的分析工具有( )。(2009年真题)
A波士顿矩阵
B决策树
C情景设计
D平衡计分卡
【答案】BC
【解析】情景设计:通常借助企业内部探讨,形成关于未来情况的各种看法。决策树:常用于目标管理中,以证实每个阶段存在的不确定性,根据每种可能的结果出现的可能性及包括的现金流量,评估项目的期望值。而波士顿矩阵和平衡计分卡是用于战略分析和战略控制的工具。
2012年注册会计师考试招生简章 2011年注册会计师考后交流及真题分享
三、确定风险评级和应对策略【掌握】
1、确定风险评级
风险一般分为财务和运营风险两大类别。风险类型包括市场价格波动的敞口、对手信贷违约和法律责任等。在采取风险管理行动之前,识别风险是至关重要的。
接下来,企业的典型做法是检查风险评级,并得出一份列明潜在风险的清单。系统化的程序有助于识别风险以及按照数量对风险评级,这可以作为关键的第一步,但是有效的风险管理策略一般取决于量化的风险,而这常常通过概率模型技术得到。风险的计量和估值是风险管理中最有难度的工作,但是这对于具成本效益的风险管理及精明的决策是至关重要的。花费一定的时间和资源,利用工具和专门技术,正确地量化公司的主要风险,对于后期的风险管理程序是有帮助的。此外,在识别、量化和缓解风险时,需要注意的一个关键要素是风险之间的相互影响和相互关系。例如,信贷风险的敞口还可能影响市场价格风险;而运营风险,比如舞弊,可能造成法律及名誉风险。应认识到不同公司活动的风险的相互影响,这是现在大企业广泛采用的适合企业范围的风险管理方法的一个基础。
下一步是按照已确定的重大程度和可能性估值,计算风险评分,并识别最为重大的风险。依据影响及可能性,对风险进行优先次序的排列。评分较高的风险,如图9-1所示,将被记入右上角的象限中,这被称作风险推动因素或主要风险。然后,企业应将注意力继续放在这些主要风险上。
进行优先次序排列时,不应仅考虑财务方面的影响,更重要的是考虑对实现企业目标的潜在影响。并非所有的风险经过识别后都是重大风险。非重大的风险应定期复核,特别是在外部事项发生变化时,应检查这些风险是否仍为非重大风险。
企业风险评估小组应逐个识别各个单位,以确定各层级风险已评估完毕,而且从整个企业来说,风险的可能性和重要估值是适当的。值得留意的是,远离企业总部、在偏远的地方发生的风险事件可能常常给整个企业带来重大问题。
然后,风险评估小组要监察每一被识别的风险,估计承担风险的成本。然后用成本乘以风险因素概率,得出风险的期望值。风险评估小组应与企业内的其它专业人员合作计算风险估值。计算期望值时,无需对成本进行详细的研究,也不需要使用大量的历史趋势和估计作为支持。已识别风险的估值可作为持续的风险矫正决策的基础。
由于市场条件和波动性水平会改变,竞争对手的财力会变化,物理环境会变化,地缘政治形势也会变化。企业活动产生的风险敞口也可能发生改变。有效的风险管理要求企业持续对风险进行重新评估,并且在企业风险管理架构中加入程序,以评估当前存在的及预期的风险敞口。
2、应对策略
管理层可针对已评估的关键性风险做出回应。可选的应对风险策略有风险规避、风险降低、风险转移和风险保留。管理层可以选择一个或多个策略结合使用。
(1)风险规避
风险规避就是避险,是指为了免除风险的威胁,采取试图使损失发生概率等于零的风险应对策略,也就是放弃或者停止与该风险相关的业务活动以减轻损失。
(2)风险降低(亦称作风险缓解)
风险降低是企业在权衡成本效益之后,准备采取适当的控制措施改变不利后果发生的概率,从而减低风险或减轻损失,将风险控制在风险承受度之内的策略。不同的实际情况适用不同的风险降低方法。常用的一种形式是风险分散,即通过分散的形式来降低风险,比如在多种股票而非单一股票上投资。不愿“将所有鸡蛋放在一个篮子”里的企业会采用风险分散的策略。
降低风险还可以采取多种形式,包括采用套期。套期是交易商建立证券、商品或货币对冲持仓,从而抵消所面临的风险。企业还可以采用其它许多方法降低风险敞口,包括市场研究、地区及产品线的多样化、筛选和监控客户、外包、给产品定价时分配风险酬金、存货或股权计入生产量中,以及推行已制定的程序,以将经营风险降至最低。但这种策略在很大程度上取决于套期成本、企业承受风险及潜在损失的能力。为进行套期开展的交易活动,不应出于交易可能被误解为投机行为的担忧而放弃。但是,不同的套期工具对于各个公司及环境来说,成本效益可能不同,是否合适也另当别论。
(3)风险转移
采用风险转移的目的是,将风险转移给另一家企业、公司或机构。合同及财务协议是转移风险的主要方式。转移风险并不会降低其可能的严重程度,只是从一方移除后转移给另一方。
转移风险时,管理层应考虑各方的目标、转移的能力、存在风险的情景以及成本效益。其中一种转移风险是购买保险。购买保险具体来说就是企业通过向非关联的第三方付款,让其代为承担风险。接受被转移风险的一方,通常要收取保费。问题是,所支付的保费是否低于风险发生时吸收风险的财务影响的可能成本。即使企业相信其转移了风险,但通常它并不能完全不受影响。比方说,如果将某一工程项目的风险转移给承包人,而承包人未能管理风险,导致项目推迟交付。即使承包人可能因推迟交付而面临处罚,但是项目推迟已是在所难免。
(4)风险保留
风险保留包括风险接受、风险吸收和风险容忍。采取风险保留策略,或者是因为这是比较经济的策略,或者是因为没有其它备选方法(比如降低、消除或转移)。采用风险保留时管理层需考虑所有的方案,即如果没有其它备选方案,是否已决定保留风险,管理层需确定已对所有可能的消除、降低或转移方法进行分析。此外商业环境从来不是一成不变的,因此,企业在短期内可能出现新的备选方法,比如保险合同、外包或开发其它市场。通过定期风险复核,控制风险情景并清楚何时应做出决策,这是非常重要的。要确保不会与备选措施失之交臂,需进行积极的风险管理。而且,如果已经特意做出了保留风险的决策,那么管理层应对付诸实施的影响及风险发生的可能性十分清楚。
总之,风险策略是风险管理总体程序至关重要的一部分。应参照以前的活动制定风险对策。由于情况是不断改变的,必须紧跟风险识别和评估,立即实施应对策略。应分析四种风险应对策略,即风险降低、风险消除、风险转移和风险保留。一旦为一种特殊风险确定了风险应对类型,则必须制定具体措施,以落实这一应对策略。一般来说不可能完全消除风险。因此,如果能将风险降低至可接受的范围,且风险应对措施的成本未超过收益,那么,可在保留风险的同时,执行风险降低策略。
典型例题:
1、[单选题]某商业银行在发放贷款时,要求借款人以第三方作为还款保证。若借款人在贷款到期时不能偿还贷款本息,则保证人必须代为清偿。这是风险管理技术和措施的( )方法。
A风险对冲
B风险分散
C风险转移
D风险规避
【答案】C
【解析】风险转移是指将风险及其可能造成的损失全部或部分转移给他人。通过转移风险而得到保障,是应用范围最广、最有效的风险管理手段。
2、[多选题]属于事前风险控制手段的是( )。
A风险转移
B风险规避
C风险补偿
D风险分散
【答案】ABD
【解析】风险补偿属于事后的风险控制手段。
3、[单选题]甲公司董事会对待风险的态度属于风险厌恶。为有效管理公司的信用风险,甲公司管理层决定将其全部的应收款项以应收总金额的80%出售给乙公司,由乙公司向有关债务人收取款项,甲公司不再承担有关债务人未能如期付款的风险。甲公司应对此项信用风险的策略属于( )。(2009年真题)
A风险降低
B风险转移
C风险保留
D风险消除
【答案】B
【解析】风险转移是将风险转移给另一家企业、公司或机构。甲公司将应收款项出售给乙公司,实现了风险转移。
4、[单选题] 某集团下列四项等额的投资或支出中,如果各项目在预计盈亏区间内发生的概率为均衡分布,那么在进行风险应对时应该采取风险降低策略的是( )。(2010年真题)
A甲项目,建设办公用房,预计的损益为0
B乙项目,增加产品生产线,预计的损益区间0至+600万元
C丙项目,短期股票投资,预计的损益区间-1600万元至+1400万元
D丁项目,作为战略投资者取得某公司股权,预计的损益区间-500万元至+600万元
【答案】C
【解析】风险降低的概念是基于企业不愿意被动接受特定的后果分布状态,而通过自身努力改变不利后果的概率。
2012年注册会计师考试招生简章 2011年注册会计师考后交流及真题分享
四、风险监察【掌握】
对主要风险的识别,绝不是一个单一的、一次性的过程。经正规的集体讨论或其它程序识别的一系列风险所在的环境,将随着这些已识别风险性质的改变而迅速出现变化。某些环境条件改变后,可能使风险变成更严重的威胁。例如,参与集体讨论的小组可能对某个欠发达国家识别出一些潜在的政治风险。但是,事情常常在短时间内发生,这个国家内发生的政治变革可能使得这样的担忧变得更具危险性。企业则需要设立一项机制,对已识别的风险进行监察。监测内容包括目标的实现过程,并关注新的风险和相关损失。
一旦风险被识别,企业必须对风险进行监察,并在需要时不断做出调整。风险监察者定期检查正在发生的损失,以了解他们的控制建议得以实施,并设计过程来改善风险管理的过程,制定一项战略来应对出现的新风险。
风险监察可由程序的所有者或独立审查人员执行,如企业风险管理部门或内部审计师。
程序的所有者或负责风险领域的企业风险管理小组的成员能不断提供最佳的风险状况信息。企业根据正确的信息,进行分析和预测,并持续对这些风险进行调研,提供对已识别风险的可能性的最新评估。企业应利用信息,加强跟踪反馈,以便进行风险管理,精确调整损失控制程序,并采取新的行动进一步减少损失。如果企业能够识别可能导致重大损失、名誉损害或经营中断的主要缺陷,并且可以有效减轻这些风险,避免产生重大影响,他们将实现风险评估和改进流程的最终目标。
程序的所有者常常能提供某一时点对风险性质的最公正的评估,只有特定几类风险,其风险识别程序的所有者可能无法提供完全公正的信息。例如,除非推出新产品,否则存在丧失市场份额的风险,则程序的所有者可能由于风险解决方案太过明显,反而无法给出完全公正的跟进评估。
内部审计师也常常能提供非常可靠且完善的信息,来监察已识别风险的当前状态。内部审计师可通过调查或面对面的会谈来收集此类信息。内部审计师常常特别值得信赖且非常权威,因此,当他们提出有关某些已识别风险领域的状况时,负责相关领域的人员很可能会尽量提供准确的信息。如果内部审计师无法取得关于某些已识别风险的状况的信息,他们还能安排实地勘察,以更好地了解风险领域的性质。
准确的监察程序是风险管理中至关重要的一部分。企业可能已执行了为识别较重大风险而精心设立的程序,但是仍然必须定期对风险的当前状况进行监察,必要时对已识别的风险作出变更。
典型例题:
[多选题]风险管理流程包括( )。
A风险识别
B对主要风险进行评估
C确定风险评级和应对计划、风险监察
D风险对冲
【答案】ABC
【解析】风险管理流程包括风险识别、对主要风险进行评估、确定风险评级和应对计划和风险监察。风险对冲属于风险控制的一种。
2012年注册会计师考试招生简章 2011年注册会计师考后交流及真题分享
