风险管理简易手册
前言
今天，风险管理在全球范围内已经成为企业战略管理的核心内容。一位我尊敬的前辈在今年早些时候告诉我，“所有的管理都是风险管理”，让我对自己热爱的事业重新有了认识。
我一直自诩为“风险管理和足球运动比较学说”的创始人，喜欢把风险管理之于一个组织类比成中场队员之于一支足球队，是进可攻、退可守的关键位置，最容易被人景仰 – 如果你足够优秀，也最容易遭人唾骂 – 如果你不够出色。
三年前我在青岛的一个研讨会上打了这个比方，并断言：中国企业风险管理的意识、能力和水平与世界顶级企业相比的差距就象我们的足球和世界先进水平的差距一样大，如果不是更大的话。我很希望事实证明我错了。
现在，我很清醒地知道：我是正确的，而且可能将在未来很长一段时间内继续正确下去。我一点也不自豪。
我极少把工作上的事儿拿回家，但某一天忍不住向妻子抱怨，国内公司的风险管理实在太落后了，我的耐心已经用光了，我对我事业的前景感到灰心。她象哲学大师一样说了一句话：“这些不足其实都是你的机会”，我因此豁然开朗。
在妻子的鼓励下，我决定动笔写这个小册子，献给那些对风险管理有兴趣的人。我对自己能够提供一些有限的帮助感到由衷的高兴。
任何读者如果觉得这本小册子对您的工作有小小的启发，请记住一句衷告：扼住风险的喉咙，你就是主宰。
我要衷心地感谢George Lazovsky先生，是他带我走进风险管理的殿堂，并让我从中获得了无穷的快乐。
祝大家平安健康！
马富强
2003年5月28日
风险的定义
传统定义：风险是损失的不确定性（Risk is the uncertainty of loss）。
当代定义：风险是预期与实际结果的差异（Risk is the variation between expectation and practical reality）。
国际标准组织的定义：风险是事件发生的可能性及其后果的综合（Risk is the combination of the probability of an event and its consequences）。
可以轻易看出，人们对风险的认识在进步。当代的风险管理不仅仅研究只可能造成经济损失的风险，也开始研究可以带来收益的风险。对于企业的经营者来说，前者是负面风险，后者是正面风险。
在有些时候，同一风险既可能带来损失，也可能带来收益。作为风险管理的一个重要分支，安全管理或风险工程学（Risk Engineering）仅研究负面风险，其目标是如何预防并减少损失，更侧重于防灾防损工程技术方面的研究。
本手册探讨的是最新意义上的风险。
风险管理
定义：风险管理就是组织对面临的各种风险进行识别、评估，确定恰当的处理方法并予以实施，以可确定的管理成本替代不确定的风险成本，并以最小经济代价获得最大现实保障的活动。
风险管理的核心是对风险进行识别和处理，其根本目标是确保组织经营的稳定、持续和发展。可以说，好的风险管理机制能够增加企业成功的概率，降低失败的可能。
风险管理是动态的，始终贯穿于组织战略的制订和执行。风险管理为组织的经营者提供可靠的方法来对付组织面临的各种风险，包括过去、现在和将来的风险，尤其是为决策者提供作为或不作为的依据。
风险管理必须同组织的经营文化密切结合，并需要最高管理层的全力支持。
风险管理的受托人是风险管理经理（Risk Manager），而随着组织决策人对风险管理的日益重视，在风险管理最发达的北美，一些组织中已经出现了首席风险官（Chief Risks Officer），负责把组织的战略转化成可操作的各种计划和流程，督促组织各级成员进行实施，并设立严谨的考核体系，以确保组织的运营水平不断提高。
风险管理的功能：
给组织未来的经营活动提供框架性指导；
促进组织决策、规划的科学性；
提高组织的经营免疫力；	促进组织资源的最优配置；
保护组织的资产和形象；
提高组织的运营效率；
实现组织社会责任目标。		
风险管理的目标：
最低目标：确保组织的生存；
中间目标：促进组织的发展；
最高目标：实现组织的社会责任。
3．风险管理流程概述
组织面临的各种风险可简单划分成内部风险和外部风险，并可进一步划分为战略风险、财务风险、运营风险和灾害类风险。下面是个简单的示意图（Risk Mapping）。
分析组织的经营流程与契约结构也是识别风险的重要方法。无论用那种方法，风险管理都既是一个整体过程，也是一个个决策过程的综合。
其步骤大致如下：
风险的分析与评估
4．1 风险的识别
风险识别是将组织面临的各种不确定因素一一鉴别出来。这需要对组织自身的经营状况、其所在市场的情况，其所处法律、社会、政治和文化环境有深入的认识和了解，同时要求该组织要有明确的经营战略，由此方可识别促使组织成功的因素，以及那些威胁到组织赢取其战略目标的因素。
风险的识别是一个动态的过程，随组织和其所在环境的发展变化而发展、变化。
风险的识别应当一种系统方法来进行，以确保组织的所有主要活动及其风险都被囊括进来，并进行有效的分类。
组织的行为、活动、决策等可用很多方法加以分类，以下是个常见的分类：
与策略有关的风险：关系到组织长远战略目标的风险，例如资本的可获得性、政治风险、法律和政策变更、声誉、竞争态势等等；
与运营有关的风险：关系到组织日常经营的风险；
与财务有关的风险：关系到组织财务状况的风险，例如应收帐款、银行贷款、外汇汇率、利率变动和其他市场风险等；
与知识管理有关的风险：这关系到组织对知识资源的控制与管理，例如知识产权的侵权或被侵权，竞争技术的出现，信息系统的功能错乱，关键技术人员的流失等等；
与合法（合规）经营有关的风险：包括员工的安全与健康、环境污染、消费者权益保护等等；
灾害类风险：主要是指自然灾害或意外事故给组织带来的各种经济损失。
有效的风险识别应当形成一个风险清单（Risk Manifest），列明组织面临的各种主要风险。
风险的描述
将风险识别出来以后，通常需要使用一些表格的形式对风险的特征进行精确的描述。无论是对组织的日常经营，还是针对某个特定的项目，都可以采用这种做法。其适用性非常广泛。见下表。
	条目	描述		1	风险的名称			2	风险的波及范围	风险本身、其类型、大小、数量的定性描述		3	风险的分类	策略类、运营类、财务类、知识管理类、合法经营类、灾害类等等		4	风险的参与者	谁分担这些风险？各自期望如何？		5	风险的量化	频率与烈度		6	对风险的期望	暴露于风险之下的总价值；
潜在损失或收益的规模与概率；
风险控制的目标以及预期。		7	风险的处理和控制	对风险进行处理的现行方法；
信心指数；
审核与监控的方法。		8	潜在的改进措施	进一步减少风险的方法与措施		9	策略的制订	确定风险管理策略，并责成职能部门负责日常监管。		
风险的量化
任何风险最后都需要用

风险管理简易手册.doc