全面风险管理基本流程和方法

全面风险管理基本流程和方法

(1)内部环境

管理当局确立关于风险的理念，并确定风险容量。所有企业的核心都是人(他们的个人品性，包括诚信、道德价值观和胜任能力)以及经营所处的环境,内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。

(2)目标设定

必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标，并保证选定的目标支持主体的使命并与其相衔接，以及与它的风险容量相适应。

(3)事项识别

必须识别可能对主体产生影响的潜在事项，包括表示风险的事项和表示机会的事项，以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程。

(4)风险评估

要对识别的风险进行分析，以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。

(5)风险应对

员工识别和评价可能的风险应对措施，包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应。

(6)控制活动

制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。

(7)信息与沟通

主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动。

(8)监控

整个企业风险管理处于监控之下,必要时还会进行修正。这种方式能够动态地反应风险管理状况，并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。

第三个维度（侧面维度）是主体单元，包括集团、部门、业务单元、分支机构四个层面。

在中国银行业从业人员资格认证的相关书籍中，将全面风险管理要素表述为

1、内部环境和目标设定

2、事件识别和风险评估

3、风险反映和控制活动

全面风险管理流程由以上五个基本步骤组成，是一个不断循环的过程。

收集风险管理初始信息

在实施全面风险管理时，企业应当广泛地、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。为了及时获取资料，并保证资料的真实可靠，企业应当把收集初始信息的职责分工落实到各有关职能部门和业务单位。

企业对收集的与风险和风险管理相关的初始信息进行必要的筛选、提炼、对比、分类、组合，目的是为风险评估和风险管理提供依据。

风险评估

对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估，包括风险辨识、风险分析、风险评价三个步骤。

辨识、分析、评价影响企业经营目标的风险，目的是掌握风险的分布情况和影响程度，确认企业重大风险。

企业应当对风险管理信息实行动态管理，并定期或不定期实施风险辨识、风险分析、风险评价，以便对新出现的风险和原有风险的变化重新做出评估。

制定风险管理策略

风险战略是指企业进行风险管理的总体策略，企业根据自身条件和外部环境，围绕企业发展战略，确定企业的风险偏好或风险承受度，以及风险管理有效性的标准，然后选择风险承担、风险规避、风险转移、风险转换、风险分散、风险补偿、风险控制等适合的风险管理工具，并确定风险管理所需人力和财力资源配置的原则。

企业应当定期总结和分析已制定的风险管理策略的有效性和合理性，并结合实际不断修订和完善。其中，应重点检查依据风险偏好或风险承受度所确定的风险控制预警线的实施结果是否有效，并提出定性的或定量的有效性标准。

实施风险管理方案

企业应当根据风险管理策略，把风险按优先程度排序处理，针对每一类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需组织领导的支持，所涉及的管理流程，所需的条件、手段等资源，风险事件发生前、中、后所需采取的具体应对措施等。

企业应当按照各有关部门和业务单位的职责分工，认真组织实施风险管理解决方案，确保各项措施落实到位。

监控改进

企业应当以重大风险、重大事件和重大决策、重要业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试、亏损事件管理及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化的情况和存在的缺陷及时对全面风险管理的工作进行持续的改进。

企业内部审计部门应当每年至少一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，并提出改进建议。

全面风险管理系统运行的注意事项

企业在全面风险管理体系的基础上，运行风险管理的基本流程，需要注意必须根据企业的实际情况出发，本着务求实效的原则，来积极开展全面风险管理工作。

按照基本流程，企业首先要对本企业面临的风险进行整体初步评估，清楚本企业面临的所有重大风险。然后针对存在的风险，不同条件的企业可以采取不同的风险战略：具备完善的法人治理结构和内控体系等条件的企业可以全面推进风险管理工作，争取早日建立全面风险管理体系；其他企业应当制定开展全面风险管理的总体规划，分步实施，可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作，建立单项或多项内部控制子系统，不断积累经验，培养人才，进而建立健全全面风险管理体系。

具体来讲，企业在运行全面风险管理系统的时候，应该注意以下几个方面的问题：

第一，开展全面风险管理工作应当以对重大风险、重大事件(指重大风险事件物化后的事实)的管理和重要流程的内部控制

为重点。

第二，企业开展全面风险管理工作应与企业其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。风险管理体系不是凌驾于现有管理体系之上的，而是对现有管理体系的提炼总结和提高。企业要注意根据自身的发展历史，来确定风险管理的建设内容。

第三，企业应注重建立具有风险意识的企业文化，促进企业风险管理水平的提高，员工风险管理素质的提升，以及保障企业风险管理目标的实现。

第四，全面风险管理体系建设的成败很大程度上取决于企业员工参与的程度。因为全面风险管理体系涉及日常管理的细节，乃至每个员工的工作职责，是对管理运营中沟通交流线路、工作方式方法等的提升和整理。同时，全面风险管理体系建设过程中，领导层要做出表率，这样可以推动员工参于风险建设的积极性，也可以为企业实行全面风险管理给予充分的指导和支持。