企业经营风险的管理

第三节　企业经营风险的管理

在识别经营风险的基础上，应分析评估企业经营风险、衡量与排序企业经营风险、处置企业面临的风险、管理好企业的经营风险、保障经营目标的实现。

一、分析评估企业的经营风险

（一）分析风险的可能性及发生的频率

1．风险可能性

风险的可能性分析一般是通过收集实际情况，利用专业判断取得。科学分析方法是使用数理统计的原理，利用数据为依据，根据先导特征，采用二项分布、柏松分布等数学模型进行科学测算。风险的可能性分析应遵循“大数法则”，即如果有足够的实力可供观察，则这些未知与不测力量将有趋于平衡的自然倾向，那些在个别情况中存在的不确定性风险，将在大数中消失。大数法则告诉我们，在足够多的风险单位中，实际损失结果与预期损失结果的误差将很小。不过，在确定坏账准备金率过程中，要求有足够多的赊款数额，这样才能得出合理的坏账准备金提取率。

风险可能性分析的结果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“几乎是确定的”几种情况。“很少的”意味着在例外情况下可能发生；“不太可能的”意味着在某些时候不大能够发生；“可能的”意味着在某些时候能够发生；“很可能”意味着在多数情况下很可能发生；“几乎是确定的”意味着在多数情况下预期会发生。如表1-7所示。

表1-7　风险可能性的定性测评表

一般的风险测算模型只考虑风险损失与可能性两种风险影响因素，经过对风险管理理论与实务的研究，我们认为风险发生频率也是风险管理应该特别注重的方面，例如在保险业，风险发生的频率影响着风险业务的是否受理与收费多少等重要风险战略决策。

2．风险发生频率

风险发生频率按其发生多少可以分为高、较高、中、较低、低5级。

表1-8反映的是××公司存在大量货款拖欠风险源的原因分析，这些风险都可能在不同程度上存在着，数额影响也不一，其等级根据具体情况确定。发生频率也成为风险管理策略的重要参考内容。

表1-8　××公司客户货款拖欠原因统计表

3．风险性质

风险性质按照影响的结果（一般是量化成数值），一般划分为“不重要的”、“次要的”、“中等的”、“主要的”、“灾难性的”5级。各种含义如表1-9所示。

表1-9　后果或影响的定性分析

（二）评估企业的经营风险

1．明确风险评价的目的

经过风险范围确定、风险识别、风险分析三个阶段的工作，需要对其成果予以鉴别，进行综合评价，为确定风险管理战略、政策与程序提供更为科学的依据；重要的是，对于以前风险战略决策、政策与程序通过与实际业务的结合的评价，可以检查其设计的是否合理、适当，执行是否有效，尤其是要找出需要修正、完善之处；对于实行风险报警机制的企业，经过风险评价，进行适当报警；对于已经变成现实的风险，需要对风险的处理进行评价，以便检查控制执行的差异，找出原因，明确责任。

2．指定风险评价的执行人

从独立、客观性考虑，除风险管理部门自测自评外，执行风险评价最适合的部门是企业内部审计部门。它掌握资料较多，能够做出较客观的结论。

3．遵循风险评价的程序

我们将风险评价程序及内容设计展示出来，见图1-6。

图1-6　风险评价程序及内容

4．确定风险评价的内容

（1）根据风险性质、级别的综合评判，制定科学的风险管理战略。根据风险范围的确定、识别风险、风险分析三个程序的工作，尤其是风险分析的结果，会得到大量特定风险及风险程度的信息，需要对风险性质、风险程度进行界定，为制定科学的风险战略提供可靠依据。一般情况下，风险程度是按照表中所列的各种情况呈现出来的，见表1-10。

（2）对于运行中的风险管理政策与程序的适当性、执行的有效性必须定期进行评价，及时修正和完善风险管理方案。

（3）制定的风险管理政策应该被严格遵循。但随着时间的推移，企业面临的社会经济环境及内部环境都会发生变化，也会产生新的风险因素。如出现了表1-11中的右上部分的灾难性风险现象，就需要业务部门人员、风险管理人员、高管领导，甚至是董事局的密切关注。

表1-10　风险性质、风险程度综合评判表

注：H代表高；M代表中等；L代表低。

表1-11　运营风险综合分析矩阵

注：S代表极高；H代表高；M代表中等；L代表低。

表1-11中，H代表高度风险，需要立即采取行动，董事会/高级管理层应参与；S代表严重风险，需要高级管理层注意；M代表中度风险，通过具体监控或响应程序加以管理；L代表低度风险，通过日常程序加以管理，不太可能需要应用具体资源。

表中的H、S、M、L风险级别的鉴定来自于对运营中风险的分析测定，将风险分析得出的数值与评价标准指标数值比较，根据不同的值域进行风险现状的级别确定。在有风险报警机制的企业，根据风险值域进行报警，优良——“双绿灯”；正常——“绿灯”；低度风险——“黄灯”；中度风险——“橙灯”；高度风险——“红灯”；危机状态——“双红灯”。

二、衡量与排序企业的经营风险

（一）衡量企业经营风险的标准

风险大小一般应通过该项风险发生频率（即可能性）多少和损失的幅度（即严重性）的大小来判断，对风险危害的评估及风险处理方法的效果可分为五类，现以图1-7及表1-12列示如下。

图1-7　风险的五种情况

表1-12　风险发生的可能性、损失影响程度和处理方法效果分类表

（二）确定风险等级

为了加强对风险的管理，首先需要确定风险的等级，其次才能够预测确定该风险属于哪一级。

1．风险分级

通常可分为五级，级别越低风险越小，级别越高风险就越大。

1级风险，有轻微影响可忽略不计，用双绿色反映；2级风险，有较小影响，用绿色反映；3级风险，有一般影响，用黄色反映；4级风险，为较重影响，用红色反映；5级风险，有灾难性影响，用双红色反映。

用不同颜色反映在有关图表上，起到显而易见的作用，从而引起有关方面的重视。至于哪项风险因素应该列入哪一级，应根据该风险因素指标的完成情况来确定。

2．等级确定

如何确定风险因素的风险等级？应根据该项风险因素发生概率（即可能性）的大小，及损失额的多少，经综合平衡后再根据预先确定的等级标准，确定其等级。也可以该风险因素指标的预测值与目标值相比，求出比值，再根据其比值的大小、偏离的多少，及规定的级别差距幅度，确定其等级。现以净利润风险指标为例加以说明。

【例1-2】　斯特公司规定等级是：超过目标值10%以上定为1级（双绿）；完成该指标100%～110%定为2级（绿色）；完成目标值90%～100%（不含）定为3级（黄色）；完成目标值的80%～90%定为4级（红色）；80%以下定为5级（双红）。年度预算确定每季度实现净利润的目标是1000万元。经预测第3季度市场波动性较大，完成1000万元的可能性只有60%；完成1100万元的可能性有10%；完成900万元的可能性有20%；完成800万元的可能性有10%。根据以上预测，测算第3季度风险指标净利润的风险等级及实现期望值。

表1-13　期望值预测表

根据以上预测数据计算第3季度净利润的期望值为970（110+600+180+80）万元，预计完成预算指标的97%（970/1000）。按该企业规定的等级标准属于3级风险，应用黄色表示，说明尚未实现预算的目标，仍存在一定的风险。需要各个部门特别是销售部门的职工大力开拓市场，力争完成预定目标。但是随着时间的推移，市场经济环境及企业内部条件也会发生变化，原预测的风险因素可能减弱或消失，而新的风险因素又可能产生。风险管理者应重视情况的变化，及时地调整应对措施，确保企业目标的实现。

（三）衡量风险及其影响的严重性

1．评估衡量风险

可能性和严重程度是两个重要因素。公司经常遭受小风险事故的打击，很少遭受重大风险的打击。通常的规律是风险事故越严重，发生的可能性越小。两者的关系如图1-8所示。

图1-8　风险严重程度和可能性

（1）一般性事件。有些风险严重程度不大但又经常发生。如停电、安装质量的返工修理，建筑业的小事故更是经常发生。发生小事故虽然不幸，但这些事故不会使工地陷于停工，然而这类事故发生的可能性极大，但影响甚微。如处于图1-8左下角的部分风险事故。因为这类事故很常见，公司应该想办法减少其发生数量，从而减少其损失（损失很小）。

（2）灾难性的事件。如大面积停电，发电设备遭到破坏，发生人员死亡事故。这类事故很少发生。这类可能性非常之小而且带来严重影响的风险，位于图1-8的右上部。既然这类风险发生的可能性很小，在管理上就应另行对待。又如地震、冰雹等重大灾害，发生的可能性极低，故在日常风险管理中做出较大的投入就没有必要。但有些灾难性事件，如火灾会经常发生。一个纺织厂，其火灾的发生既有很大的可能性，又具有灾难性。因此管理层应不遗余力地管理这类风险。因此企业应根据自身生产经营的特点来确定风险管理的重点和资源的配置。

（3）评估风险造成的影响。评估风险造成的影响时，可以把代表可能性的系数与代表严重性的系数相乘，把该风险的重要性加以量化，给予相应水平的保护。如图1-8里飞机撞击厂房的影响就得到4（1×4）的分值，一场大火的风险就是12（3×4）分值。英国政府利用这种风险评估来防止欺诈。它力图确定社会安全欺诈在哪些地方最有可能发生，在哪些地方最严重。

2．绘制公司风险图，明确风险管理重点

公司可画一个与图1-9相近似的风险图，它能帮助公司按轻重缓急次序排列自己的风险管理项目。排列次序是将各种风险从图表的左下方逐级排到右上方（A区）。影响巨大而且又很可能发生的风险应该加以紧急处理。保护公司使其免于遭受重大损失。对位于左下方（D区）的风险事项，没有必要下力气去管，这是些不大可能发生的事件，而且影响也不严重。但是，如果公司有很多这样的风险，也许就是一个严重的问题。例如，在各单个房间发生火灾的风险很小，但在任意一个房间发生火灾的可能性却很大。

【例1-3】　斯特公司风险图及绘制方法如图1-9、图1-10所示。

图1-9　斯特公司风险图

图1-10　斯特公司风险图绘制方法

风险图也为优先考虑关键风险铺设了道路。在这一点上，我们必须考虑是否采用适当有益的技术去检测高频率重点风险的根本原因来自何方，其主要驱动因素又有哪些，并且检测类似因素还存有哪些潜在风险影响。

当一家公司无法承受错误所带来的损失的时候，就必须更加系统地进行风险评估。

风险识别工作主要着眼于什么样的风险事件可能会发生，风险来源分析工作主要着眼于这些风险事件为什么会发生，怎样发生，它会在哪里发生。

产生风险的基本根源有：

（1）一个或多个外部环境因素的变化而引发风险产生；

（2）一个或多个业务活动或系统内的不规范或不完美而引发风险产生；

（3）在经营活动和进程之间的不良管理；

（4）由于疏忽导致的错误以及深思熟虑后仍未能避免的失误；

（5）信息过程中出现错误，导致风险产生；

（6）不起作用的或不适合某特定工作的设施或设备；

（7）企业管理行为不当引发的事件。如不良的沟通、缺少领导、不适当的业绩期待和刺激等等。

通过对风险的识别分析后，应当运用各种度量手段，对风险的严重程度进行评估，从而明确控制重点，配备必要资源防范风险产生。

（四）确定风险承受度

风险承受度也称风险容度或风险容忍度。它是指企业在追求价值的过程中所愿承担的广泛意义上的风险限度，也是企业风险偏好的边界。它反映了企业的风险管理理念，因而也影响了主体的文化和经营风格。

1．确定风险承受度应考虑的因素

根据美国COSO制定发布的《企业风险管理》指出，确定风险容量应考虑的因素有：

（1）什么风险是公司在经营中将要承受的，什么风险是公司不愿承受的，例如，组织准备承受由于偷窃而导致的实物存货的较小损失，但不愿意承受由于损坏、陈旧过时或自然灾害（如水灾、火灾）导致的实物存货的巨大损失吗？

（2）公司对它的每项业务已承受的或将要承受的风险总量感到舒适（comfortable）吗？

（3）为了实现公司总体希望的投入资本15%的收益，公司准备承受何种水平的风险？

（4）主体准备承受比目前所承受风险更多的风险吗？如果是，要求的收益水平是多高？

(5)在给定的特定置信水平下，组织愿意接受什么水平的资本或收益风险，例如，在95%置信度下，管理当局会承受50%的资本损失风险吗？

（6）公司根据对主要风险潜在事项发生的可能性和影响的衡量，可以由资本来抵补“最坏情况下”（worst case）风险的百分比是多少？可以接受一个不可能的事项会威胁到主体的生存能力这一理念吗？

（7）存在组织不准备承受的具体的特定风险吗？例如，能导致不遵守信息法保密规定的风险。

（8）公司对竞争目标愿意承受的风险达到什么程度？如为了更大的市场份额而降低总利润边际的风险。

（9）如何比较组织与同行的风险容量——组织为了在产品创新中从跟随竞争者到成为领导新潮者，准备承受多少风险？

（10）在通过维持现有产品和服务的质量以保持价值，以及通过新产品开发试图创造新价值中，相关风险和相应的舒适度（comfortable level）是什么？

（11）公司在何种程度上准备进入有较低成功可能性但有较大潜在收益的项目？

（12）相对于定量描述来说，组织更满意于定性的描述吗？

2．表述容量方法

有些行业，特别是金融服务、石油和天然气部门，会采用复杂的定量技术方法来表述风险容量。先进的企业可利用市场方法（market measures）或风险资本来表述风险容量。以下列示了用市场方法陈述风险容量。

一个公用事业公司把注意力集中于通过产生稳定的现金流和收益而不断增长的市场价值总额上，并用这些术语来设定风险容量。因此，所有主体层次风险的表述都与对收益和现金流量变动性的影响有关。当变动性的趋势线接近风险容量时，管理当局应在必要时采取措施。

图1-11举例说明了一个公司如何看待风险资本和与风险容量有关的收益。该公司努力使它的组合多样化以在该区域内部获得一个沿目标组合向上而不是向下的收益。

3．确定风险容限

风险容限是相对于目标的实现而言所能接受的偏离程度……在风险容限之内经营，就能够使主体保持在它的风险容量之内，向管理当局提供更大的保证，进而就主体将为实现其目标提供更高程度的舒适度。

图1-11　风险容量、收益和风险资本

【例1-4】　奥家航空公司有关准时服务的风险容限的制定。

目标和风险容限

奥家航空公司决定围绕较高质量的准时服务设定一个目标。管理当局认识到，引起航班延误的因素中有些在其控制之内，而另外一些因素则不在其控制之内，并充分了解了各种因素对监管者有关准时服务的公开报告产生的影响。在考虑风险容限、市场营销、客户服务和经营的过程中，职员确定：

（1）85%的班机准时到达是公司多年来一直保持的目标，它通常已经实现并与其营销计划中的信息一致；

（2）在过去几年相应航线的行业平均准时到达率保持在大约80%；

（3）当准时到达次数暂时降到和行业平均数一样低时，对公司的客户航班订票造成的影响很小；

（4）实现87%以上准时到达的成本是不经济的，而且这个成本不能转嫁到票价上；

（5）公司因为无力降低成本已经遭到了行业分析者的批评。

根据这些信息，管理当局将其平均准时到达率的目标维持在85%，容限为82%～86%。着眼于其他目标的容限，管理当局能更好地分配资源以确保实现贯穿多重目标的结果的合理可能性。

风险容限有时设定在主体层次，并贯穿多个业务单元进行分配。

【例1-5】　奥新公司设定了一个来自于联盟合伙人收益不超过20%的风险容限。它的两个业务单元在制定下一期间的经营和营销计划时，都对联盟合伙人显示出极大的依赖性。并且，如果合计在一起，该计划表明这种来源的收益超过了20%的极限。管理当局决定允许A企业从联盟合伙人那里产生最高40%的收入，而只允许B业务单元产生15%，从而使得公司整体计划保持20%的容限水平。

图1-12部分地列示了一个组织描述其使命、目标、风险容量和风险容限之间的关系所用的方法。

图1-12　使命、目标、风险容量和风险容限间的关系

仍以斯特公司为例，净利润的风险承受度为840万元，最高限定为1200万元。

（五）风险预警

风险管理预先设定了风险评价指标体系，企业风险管理部门就可以将测试值与标准值比较，并对特定风险进行预警。风险预警一般应该经过捕捉风险征兆、计算风险度、风险报警三步。

1．捕捉风险征兆

可使用DOCS法、损益临界点法、SWOT法、KSF法、财务危机的“五率”衡量法等方法，分析各特定风险的风险因素、风险事故的现实特征及程度、捕捉风险征兆。

2．计算风险度

风险度实际上就是预警指数。通常做法是在测试前设定不同级别的风险度水平，然后将特定数值与基准数值进行比较，根据差异度作为判断风险预警的依据。风险因素的预警指数通过下列公式计算：

风险度的计算对风险管理有重要的指导意义：一是可以在众多影响因素中找出重要部分；二是有利于提高风险管理的效果和效率。

风险度的计算有单项指标计算和综合指标计算两种方法。

单项指标计算法，是指单独计算某一项风险因素指标的现状，并与该指标基础数值进行比较，分析差异程度及原因，并分析该差异对整体影响的程度。

综合指标计算法，它是对特定风险按风险因素及判定的影响程度，分若干子系统，并分配给相应的权数、科学地设定风险的综合基准风险级别，将测试数值与基准数值比较，根据差异程度，作为风险预警的依据。

风险度可以用打分的形式来表现，也可用风险程度综合水平指标来直接反映。如采用五级计分法：“1分”表示风险最小，“5分”表示风险最大，风险的重要性界点的风险度标准值可以定为“3分”或“2分”。

风险度的综合计算一般需要将风险因素按对风险总体影响程度不同，分成10%、25%、30%等权数，再根据风险打分结果，综合计算出某种特定风险的风险度。

3．风险报警

根据风险度的计算结果，就可以对特定风险进行预警，在5分制下：

1分，无风险征兆（优良状态），后果无影响，无须采取措施；

2分，低度风险（正常状态），后果可忽略，可不采取控制措施；

3分，中度风险（轻微状态），后果较小，应考虑采取控制措施；

4分，严重风险（严重状态），后果严重，需立即采取措施；

5分，高度风险（危急状态），灾难性后果，要立即采取行动。

【例1-6】　斯特公司采用单项指标计算法评定企业的风险度。风险度按五级制打分法打分，每差3%为1分，经监测第3季度净利润可能完成750万元。原预算额为1000万元，预警标准临界值定为840万元（即该公司净利润风险承受度最低限量）。请计算该风险因素的风险度及其所处风险度等级和如何对待该风险。

依据上述资料，计算结果如下：

风险度=（750-840)/840=0.107，即10.7%。

风险度等级=10.7%/3%=3.57级，接近4级。

净利润预算完成的后果严重，需立即采取措施协助解决，企业高层领导也应加以关注。

（六）风险排序、明确重要风险

企业为了有效地管理自己的风险，合理配置资源，应定期或不定期地将企业面临的风险，根据轻重缓急及风险承受度，对企业的风险进行分类排序，其等级可根据该指标预计偏离目标值程度的多少分为5级，用“A、B、C、D、E”表示。A偏离最多，E偏离最少。也可用“双红、红、黄、绿、双绿”颜色表示，以引起有关领导及责任者重视。并将排序的信息传送给有关部门。“经营风险重要性排序表”见表1-14。

表1-14　经营风险重要性排序表

根据以上排序为企业有关部门及高层领导提供了风险管理面临的状况，从而拟定措施，确保目标实现提供信息。

三、处置企业面临的风险

（一）采取积极态度，正确对待面临的风险

企业在经营过程中面临的不确定性因素是多种多样的，是管理者不可回避的问题。如何对待所面临的风险呢？风险管理专家——托马斯·斯图尔特指出：

如果我们能预先建立应对风险的方法和措施，则风险就成为一个有益的因素。风险管理的主旨不在于消除风险，因为那样只会把获得回报的机会浪费掉。风险管理所要做的应该是对风险进行管理，主动选择那些能够带来收益的风险。

企业如果没有预先建立应对风险的预案及措施（如表1-15所示）就会产生巨大的灾难影响。与此相反，过分谨慎会让公司失去盈利机会。中间路线，加上对风险的正确评估，能最大限度地提高公司的盈利。

表1-15　对风险的态度及其影响

从上表结果可以看出风险管理的目的不是为了防止企业发挥具有的能力，而是确保它受到正确引导。

很多公司把避免风险视为一种危险的策略。如某货运公司经理邓军说：“我们的经营策略是接受更多的风险，即事先已预计并有所防范的风险，以提高企业盈利。我们是通过发展业务组合（这些业务各有不同的风险和回报）和退出任何高风险低回报的业务而实施的。其他的经营，如初级经营，像小煤窑和小纸浆厂，因为没有什么创新，一般看来能维持。但由于生产技术和国家经济发展政策不太适应，其价格波动也影响公司的经营，故应及早放弃不再经营。”

（二）比较风险和回报，确定项目的取舍

在经营决策中，多大的风险水平可以接受呢？这取决于回报率的高低。如图1-13所示。风险越大，必须让回报率也越高，这样才值得去冒风险。

从图1-13中可以看出，最好的商业机会（用两个V表示）是回报率高而风险又小的项目；一种是回报率小而风险低的风险项目（用X表示）应予放弃。还有那些低风险且回报率不大的项目，对企业并没有什么影响，这些也不值得采用。

在实践中预测影响回报率和风险水平失败的实例随处可见。如某省石油公司希望自己在一个不稳定国家勘探石油的投资得到更大的回报，在业务开始之前就要与有关组织协商减税及投资补贴问题。同样道理，一家银行从一次有风险的放贷款中希望得到比从无风险放贷款更多的担保品。关键是要正确地评估风险。贷款给美国安然公司的各银行，没有想到该公司会赔钱倒闭。而贷款给英吉利海底隧道工程的数家银行，也并未预测到这项工程的费用涨得一发而不可收，造成推迟还贷。2008年7月在每桶石油价格为147美元时，谁也没想到11月21日每桶价格竟降到了49美元。

图1-13　确定可接受的风险

（三）管理风险应综合考虑所失与所得

这是一个比较难以确切回答的问题，而又是一个风险策略中不可回避的问题。众所周知，没有风险管理策略的公司，要承担出现风险事故后所有的费用及损失的可能性。比如发生一次污染事故后，要支付清洗费用。发生工伤后，需要支付平息工伤事故的费用，回收劣质产品不仅需要支付回收费用，其产品的价值也要受到损失。所有这些费用及损失用图1-14中的左线（金额）表示。

图1-14　风险预防成本与风险损失动态分析图

当公司意识到管理企业风险的必要性之后，就会在预防措施上投资，如排污处理费用、质量检验费用、安全设施健康保护费用、加强风险管理支出等等。随着预防性支出的增加，风险事故发生的频率也在下降。因此，发生风险事故的费用和损失也随之下降。总体开支也下降，当两项费用处于交点时（如图中a点处）。如果公司继续投资在预防措施上，寻求进一步减少发生风险事故的可能性，但是，如果这样做，预防费用会继续上升。最后，在图的右端，总体费用可能达到了与该公司开始管理自身风险以前的水平。当然，单从经济效益的观点看，企业就没有必要实施风险管理。但是也应看到风险事故的产生，不仅是一个经济问题，它还给企业的商誉造成严重影响，环境污染还会给社会造成影响，这些损失难以用价值衡量。

从企业来讲，风险管理上有一个最优效果的投资水平，即“两线相交处”的总体开支水平。风险预防性投资过多会使公司背上较重的成本费用，势必失去竞争力，而关注不足、投入预防费用较少，可能让公司付出高昂的风险事故损失及费用。中间的某处是最佳的水平。决策者应权衡利弊寻找较优的决策方案。

（四）选择正确的应对风险策略

企业应根据其不同业务特点统一确定风险偏好和风险承受度，并采取相应的风险管理对策。在这个过程中，需要防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。企业可采用的风险管理策略方式总结，如图1-15所示。

图1-15　风险管理策略详细图解

四、企业经营风险的管理措施

主要有以下九项工作：

（一）制定控制风险政策

公司最大的风险是什么？是自己的产品能否在市场中找到客户。

公司必须在活跃的市场中运营，提供适销对路的产品或服务，公司的所有威胁中最基本、最主要的威胁是发现顾客不再需要公司提供的产品和服务。

公司应针对每一领域的风险制定一种政策。绝大部分大公司有环境政策和健康安全政策，而在欺诈和计算机故障问题上，有明确政策的公司却较少一些。

各项政策应该尽可能简短，以便员工阅读并能理解。制定一项方针政策，不只是纸上谈兵，它应该转化为策略陈述，这些策略应在公司最适合的基层业务单元实施，如质量、安全生产等政策，应该在每一个生产环节和岗位执行。

（二）自上而下制定标准

同任何管理问题一样，高层领导必须参与制定风险控制方面的方针政策。他们也一定要遵守该方针政策。有一个大房地产公司的董事长，经常由他的高级经理们簇拥着去工地视察，与工人们亲切交谈。但是他和他的高级经理们却没有一个是戴安全帽的。这就与贴在工地上的安全标语相矛盾了。这就告诉员工们：安全不是大问题，工地可以不戴安全帽；这还暗示员工，可以不按程序办事而走捷径。

（三）落实风险控制责任

必须赋予各经理管理各自职责范围内风险的责任。使员工必须了解本公司有什么风险种类，并知道怎样管理这些风险。生产工人还应知道面临的风险中最大的是什么，哪些风险威胁自己的健康安全。因此在这里必须有持久不断并彻底的沟通。公司应该鼓励自上而下的交流，更应该鼓励自下而上的沟通，确保公司没有被忽视的风险。

管理层必须随时对变化的环境作出快速反应。公司兴盛时期的管理方式，要不同于衰退时期。公司也必须能够规划未来，而不要依靠过去的成功和目前的经营方式。必须与时俱进不断发展，才不会被社会发展所抛弃。

公司的管理梯队应该阵容强大，使每个成员都很优秀，富有经验和创造力。一个财务职能很弱或该职能根本不能发挥作用的公司不大可能存在很久，最后会以垮台告终。例如有个公司没有设财务经理，维持了很多年。该公司意识到自己的缺陷，找了一名经验丰富的会计师，然而却给了这个会计师一个办事员的职位，让他到顾客那里去讨债，而不是分析公司为什么走下坡路。半年多的时间，业绩每况愈下，而后解雇了该会计师，使财务处于无人管的状态。一年后，公司进入了破产清理阶段。

（四）为风险管理分配责任

每一项主要风险必须有专人负责，此责任最终必须落到流水线经理和员工身上。如果员工认为风险是由专家管理的事情，他们就不会以主人翁的态度对待风险。风险管理就不能取得应有的效果。小企业管理层的风险责任简化如图1-15所示。

（五）任命风险经理和风险审计员

越来越多的公司把管理自己的风险的职责交给一个经理负责。这名经理并不为各风险承担职能责任，而是对公司的风险管理制定政策、监督执行。他的任务是：寻找、评估公司的风险；制定规划以减少风险至最低点；教给职工如何管理风险。

如果可能，风险经理应每年逐个访问一次公司所有场所。各个场所应该有自己的风险顾问员，清楚掌握本部门的风险管理。

任命风险审计员负责该流程风险管理。该职责最好让流水线经理和员工担任。这样就能保证他们参与风险管理的过程。对风险审计员要进行培训，使他们知道存在什么风险，怎样测量风险，怎样减少风险。应该让每个参与人把审计的程序看作一次学习的机会。通过讨论分析和研究风险，从而员工就学会了如何管理风险。

（六）培训员工，使员工有风险意识，形成风险文化

各经理一定要接受风险管理培训，但他们还必须对自己的员工进行培训。使每位员工知道与他工作有关的风险有哪些，风险发生前怎样防范，风险发生后如何应对。

重要的是提高职工的风险意识。企业绝大部分事故是由于人的操作失误造成的。尤其是当公司采用新方法，使用新设备时，加强安全生产知识教育尤为重要。

如上海××制药厂，生产完上一批药品后，对使用过的制药工具未清洗干净，就投入另一种药品生产，使后一种药品受到污染，患者使用后受到严重伤害，有的甚至死亡。该厂已被勒令停产整顿。

在风险管理过程中授权至关重要。公司必须允许员工对现有管理状况提出质疑，批评不严格的安全标准和产品质量标准。企业中必须人人都有意愿就各种风险问题进行相互争论。这就能通过全面风险管理建立企业风险文化。

（七）关注流程管理

有些流程比其他流程更具有危险性。公司应该处置掉不能带来高额回报的非核心高风险的产品和业务单元。在剩下的部门和工厂里，应寻求用低风险流程代替高风险流程。用相对安全的化学品取代危险品。

所有主要风险应实施认证管理。一个管理系统应规定公司的所有主要程序，然后确保所有员工都遵守这些程序。ISO9000是一种用来保持产品质量的认证体系；BS7750是用来防止损害环境的；BS7799是信息安全体系标准；OHSMS是职业健康安全管理体系。运用这些标准可以帮助公司避免危机产生。

预先为可能出现的风险作准备。公司应对灾难性的风险做防范准备，制定预案，如防火预案，还应进行紧急状态演习，检查自己的准备工作做得如何。

使用更安全的解决方案。更安全的解决方案包括改善储存设备、放弃有风险的程序、退出一个不稳定的市场、停止一个将要破产代销商的销售赊欠。把一些风险大的有毒物品和危险物品进行隔离。

保护资产。如果风险一旦发生，公司可尽量减少引起的损失。例如灭火器可以防止火情扩大；把商品包装设计成某种样式，若有人做过手脚，一下就看得出来，这样可以保护顾客，扩大产品市场。

【例1-7】　塞尔弗里奇小姐（Miss Selfridge）是怎样管理时装公司风险的呢？

根据麦肯锡（McKinsey）管理顾问公司的说法，一名时装零售商面临着两种主要风险：第一种是存有顾客不愿购买的存货；第二种是顾客确实愿意买的商品种类却断货。这两种风险都很浪费。

塞尔弗里奇小姐处理这个问题的办法是对购买的过程加大控制力度。公司描绘出一个典型顾客的图像，这样，所有的进货者就可知道他们瞄准的是哪一群消费者，这也促使进货者只进在式样和价格上吸引自己顾客的货。然后公司把自己的产品分成四个类别，从普通服装一直到高档服装，公司最后确定下来每一种类别的服装会卖出去多少。这就保证了进货人购买了顾客需要的全部种类的服装。

这种调整意味着进货者购买的不仅仅是他们喜欢的高档服装（因此风险也高），而且还进像牛仔服之类的低风险（因此高利润）的货种。公司也确定了每一件服装卖出前会在服装店里存留多长时间，然后公司集中自己的供应来源。由于执行这个程序，销售额大幅度上升而价格折扣减少到仅仅5%。

（八）监测和审计风险

（1）公司应根据风险图监测自己的风险及变化。通过监测可看到公司的风险发生了哪些变化，哪些地方最具风险，哪些地方已有损失在发生。这也确保了有人采取行动，从而防止和减少风险损失。

（2）建立一个信息系统。高级管理人员必须及时获得数据，能发现诸如债务过多、销售总额下降、成本增加、债务人还款慢等危险信号。在风险管理系统，有一个给公司领导层提供简明快速信息的管理信息系统非常重要。同时也应将风险管理中存在的问题和要求向广大职工通报。提高广大职工的认知度，使其自觉地参与企业的风险管理。

（3）审计风险。审计人员可以审计一个项目，使用一个风险清单和风险图，确保能识别和管理风险。也可以就一个具体的风险问题，如健康和安全问题在整个厂内进行检查。另一种办法也可就某一具体资源，如某个部门或某处建筑物，进行深入的风险审计，风险审计要考察风险的各个方面，从而得出正确结论，促进改善风险管理。

（4）保存记录。各风险经理、风险监管人员和风险审计人员，必须保留一系列的风险记录。如程序手册、风险清单、维修记录、损失记录、具体地点的平面图、地图、照片、流程图、排水系统、危险信号和其他记录等，以备使用。

（5）风险报告。通过监测风险、审计风险，风险管理者应定期或不定期地将发现的风险问题、采取的措施、处理的方法、造成的损失等向有关领导报告。报告应简明扼要，通俗易懂，反映实质问题。

（九）建立风险管理手册

风险管理手册应列明企业各项业务流程及工作岗位中存在哪些风险，风险产生的原因，防范与控制的措施，等等。发给每位职工进行学习应用。