第六章 风险与风险管理

五、风险管理体系

（一）风险管理策略工具

1.风险承担

风险承担亦称风险保留、风险自留。风险承担是指企业对所面临的风险采取接受的态度，从而承担风险带来的后果。

对未能辨识出的风险，企业只能采用风险承担。

对于辨识出的风险，企业也可能由于以下几种原因采用风险承担：

（1）缺乏能力进行主动管理，对这部分风险只能承担；

（2）没有其他备选方案；

（3）从成本效益考虑，这一方案是最适宜的方案。

对于企业的重大风险，即影响到企业目标实现的风险，企业一般不应采用风险承担。

2.风险规避

风险规避是指企业回避、停止或退出蕴含某一风险的商业活动或商业环境，避免成为风险的所有人。例如：

（1）退出某一市场以避免激烈竞争；

（2）拒绝与信用不好的交易对手进行交易；

（3）外包某项对工人健康安全风险较高的工作；

（4）停止生产可能有潜在客户安全隐患的产品；

（5）禁止各业务单位在金融市场进行投机；

（6）不准员工访问某些网站或下载某些内容。

3.风险转移

风险转移是指企业通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权。转移风险不会降低其可能的严重程度，只是从一方移除后转移到另一方。

非保险型的风险转移：将风险可能导致的财务风险损失负担转移给非保险机构。例如，服务保证书等；

风险证券化。

4.风险转换

风险转换是指企业通过战略调整等手段将企业面临的风险转换成另一个风险。风险转换的手段包括战略调整和衍生产品等。风险转换一般不会直接降低企业总的风险，其简单形式就是在减少某一风险的同时，增加另一风险。例如，通过放松交易客户信用标准，增加了应收账款，但扩大了销售。

5.风险对冲

风险对冲是指采取各种手段，引入多个风险因素或承担多个风险，使得这些风险能够互相对冲，也就是使这些风险的影响互相抵销 。

常见的例子有资产组合使用、多种外币结算的使用和战略上的多种经营等。

在金融资产管理中，对冲也包括使用衍生产品，如利用期货进行套期保值。

在企业的风险中，有些风险具有自然对冲的性质，应当加以利用。例如，不同行业的经济周期风险对冲。

风险对冲必须涉及风险组合，而不是对单一风险；对于单一风险，只能进行风险规避、风险控制。

6.风险补偿

风险补偿是指企业对风险可能造成的损失采取适当的措施进行补偿。风险补偿表现在企业主动承担风险，并采取措施以补偿可能的损失。

风险补偿的形式有财务补偿、人力补偿、物资补偿等。

财务补偿是损失融资，包括企业自身的风险准备金或应急资本等。例如，某公司历史上一直购买灾害保险，但经过数据分析，认为保险公司历年的赔付不足以平衡相应的保险费用支出，而不再续保；同时，为了应付可能发生的灾害性事件，公司与银行签订应急资本协议，规定在灾害发生时，由银行提供资本以保证公司的持续经营。

7.风险控制

风险控制是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的。

通常影响某一风险的因素有很多。风险控制可以通过控制这些因素中的一个或多个来达到目的，但主要的是风险事件发生的概率和发生后的损失。

控制风险事件发生的概率的例子如室内使用不易燃地毯、山上禁止吸烟等，而控制风险事件发生后的损失的例子如修建水坝防洪、设立质量检查防止次品出厂等。

风险控制对象一般是可控风险，包括多数运营风险，如质量、安全和环境风险，以及法律风险中的合规性风险。

一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换和风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲和风险补偿等方法。

【例题1·单选题】企业对所面临的风险采取接受的态度，从而承担风险带来的后果，其原因不包括（　　）。（2014年） A. 企业能够采取措施以补偿风险造成的损失      B. 企业未能辨识出风险 C. 企业缺乏能力进行主动的风险管理            D. 企业没有其他备选方案 【答案】A 【解析】“承担风险带来的后果”，也就是风险承担策略。选项A错误，属于风险补偿策略。对未能辨识出的风险，企业只能采用风险承担，B正确。对于能识别的，采用风险承担的原因：（1）缺乏能力进行主动管理，对这部分风险只能承担（选项C）；（2）没有其他备选方案（选项D）；（3）从成本效益考虑，这一方案是最适宜的方案。

【例题2·多选题】甲公司是一家生产高档不锈钢表壳的企业，产品以出口为主，以美元为结算货币。公司管理层召开会议讨论如何管理汇率风险，与会人员提出不少对策。关于这些对策，以下表述正确的有（　　）。（2013年） A. 部门经理刘某提出“风险规避”策略：从国外进口相关的原材料，这样可以用外币支付采购货款，抵消部分人民币升值带来的影响 B. 业务员李某提出“风险对冲”策略：运用套期保值工具来控制汇率风险 C. 财务部小王提出“风险转移”策略：干脆公司把目标客户群从国外转移到国内，退出国外市场，这样就从根本上消除了汇率风险 D. 负责出口业务的副总张某提出“风险控制“策略：加强对汇率变动趋势的分析和研究，以减少汇率风险带来的损失 【答案】BD 【解析】风险规避：指企业回避、停止或退出。选项A错误，“用外币支付采购货款，抵消部分人民币升值带来的影响，”引入外币，对冲人民币升值的风险，属于“风险对冲”策略； 风险转移：指企业通过合同将风险转移到第三方。例如保险、非保险型的风险转移、风险证券化。选项C错误，“从根本上消除了汇率风险”，属于“风险规避”策略； 风险对冲：引入其他风险因素，使得这些风险因素能够互相对冲。选项B正确，套期保值是常用的风险对冲工具； 风险控制：控制风险发生的动因、环境、条件等，减轻发生的概率。风险控制对象一般是可控风险。选项D正确，“以减少汇率风险带来的损失”，汇率的风险可以通过加强分析和研究来控制。

六、风险度量方法

风险度量方法	说明
（1）最大可能损失	是指风险事件发生后可能造成的最大损失。用最大可能损失来定义风险承受度是最差情形的思考逻辑。企业一般在无法判断发生概率或无须判断概率的时候，使用最大可能损失作为风险的衡量。
（2）概率值	是指风险事件发生的概率或造成损失的概率。在可能的结果只有好坏、对错、是否、输贏、生死等简单情况下，常常使用概率值。
（3）期望值	通常指的是数学期望，即概率加权平均值：所有事件中，每一事件发生的概率乘以该事件的影响的乘积，然后将这些乘积相加得到和。常用的期望值有统计期望值和效用期望值，期望值的办法综合了概率和最大损失两种方法。
（4）在险值	又称VaR，是指在正常的市场条件下，在给定的时间段中，给定的置信区间内，预期可能发生的最大损失。在险值具有通用、直观、灵活的特点。在险值的局限性是适用的风险范围小，对数据要求严格，计算困难，对肥尾效应无能为力。

 

【例题3·多选题】下列风险度量方法中，建立在概率基础上的方法有（　　）（2015年） A.在险值法 B.层次分析法 C.期望值法 D.最大可能损失法 【答案】AC 【解析】期望值即概率加权平均值，是建立在概率基础上的，所以选项C正确。在险值对数据要求非常严格，同样是建立在概率统计基础之上，所以选项A正确。

七、风险管理委员会  

风险管理委员会对董事会负责，主要履行以下职责：

（1）提交全面风险管理年度报告；

（2）审议风险管理策略和重大风险管理解决方案；

（3）审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；

（4）审议内部审计部门提交的风险管理监督评价审计综合报告；

（5）审议风险管理组织机构设置及其职责方案；

（6）办理董事会授权的有关全面风险管理的其他事项

八、审计委员会

（一）审计委员会的履责方式

建议审计委员会每年至少举行三次会议，并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无须管理层出席。

（二）审计委员会与合规

审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保企业履行对外报告的义务。

（三）审计委员会与内部审计

确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。审计委员会应监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性。它应该核查内部审计的有效性，并批准对内部审计主管的任命和解聘，它还应确保内部审计部门能直接与董事会主席接触，并负有向审计委员会说明的责任。审计委员会及内部审计师需要确保内部审计部门正在有效运行。它将在四个主要方面对内部审计进行复核，即组织中的地位、职能范围、技术才能和专业应尽义务。

九、内部控制系统

（一）coso体系三目标与五要素

《内部控制——整合框架》提出了内部控制的三项目标和五大要素。

三大目标：经营的效率和有效性、确保财务报告的可靠性、遵循适用的法律法规。

五大要素：控制环境、风险评估、控制活动（哪些措施）、信息与沟通、内部监督

（二）内部控制的要素

内部控制要素有五个：控制环境、风险评估、控制活动、信息与沟通、监控。

1.控制环境

企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。

企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。

企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检査中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检査中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

2.风险评估

企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。

企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

3.控制活动的要求

控制措施	具体要求
不相容职务分离控制	要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。
授权审批控制	要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。 常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。 企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。
会计系统控制	要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报吿的处理程序，保证会计资料真实完整。 ①企业应当依法设置会计机构，配备会计从业人员。 ②从事会计工作的人员，必须取得会计从业资格证书。 ③会计机构负责人应当具备会计师以上专业技术职务资格。 ④大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。
财产保护控制	要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。
预算控制	要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。
运营分析控制	要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。
绩效考评控制	要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

 

【例题4·单选题】随着全面风险管理意识的加强，甲公司的股东要求管理层建立重大风险预警机制，明确风险预警标准，对可能发生的重大风险条件，制定应急方案，明确相关责任人和处理流程、程序和政策，确保重大风险事件得到及时、稳妥的处理。甲公司股东的要求所针对的内部控制要素是（　　）。（2015年） A.控制活动       B.内部监督        C.信息与沟通        D.风险评估 【答案】A 【解析】企业应当建立重大风险预警机制和突发事件应急处理机制，这属于控制活动的内容。

【例题5·多选题】下列职务中，属于不相容职务的有（ ）（2017年） A.执行与监督检査         B.决策审批与监督检査         C.决策审批与执行         D.可行性研究与决策审批 【答案】ACD 【解析】不相容职务通常包括：可行性研究与决策审批；决策审批与执行；执行与监督检查等。决策审批和监督检查不属于不相容职务。故B选项错误。

4.监控相关要求

内部监控要素的要求	详细要求
制定内部控制监督制度	企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构 （或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。
对发现的缺陷及时整改并报告	企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。 内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。
定期自我评价	企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。
保留内控记录或资料	企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。

【例题6·多选题】下列各项中，属于内部控制要素中的控制活动，在风险管理框架下的公司治理中的体现有（　　）。（2014年） A. 独立董事的独立性 B. 董事长对经理的决策授权与监督 C. 董事、监事、经理的考核激励控制 D. 董事会聘请独立第三方对经理履行职责情况的检查 【答案】BC 【解析】控制活动：不相容职务分离控制、授权审批控制（选项B正确）、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制（选项C正确）；选项A属于控制环境，选项D属于内部控制要素中的监督。

十、风险理财特点

风险理财的手段既不改变风险事件发生的可能性，也不改变风险事件可能引起的直接损失程度。

风险理财需要判断风险的定价，因此量化的标准较高，即不仅需要风险事件的可能性和损失的分布，更需要量化风险本身的价值。

风险理财的应用范围一般不包括声誉等难以衡量其价值的风险，也难以消除战略失误造成的损失。

风险理财手段技术强，许多风险理财工具本身有着比较复杂的风险特性，使用不当容易造成重大损失。