儲能設(shè)備設(shè)計公司企業(yè)風險管理手冊

1、泓域/儲能設(shè)備設(shè)計公司企業(yè)風險管理手冊儲能設(shè)備設(shè)計公司企業(yè)風險管理手冊目錄 TOC o 1-3 h z u HYPERLINK l _Toc114630359 一、 公司簡介 PAGEREF _Toc114630359 h 3 HYPERLINK l _Toc114630360 二、 我國企業(yè)風險管理信息系統(tǒng)與技術(shù)體系的現(xiàn)狀 PAGEREF _Toc114630360 h 4 HYPERLINK l _Toc114630361 三、 我國企業(yè)風險管理信息系統(tǒng)的必要性 PAGEREF _Toc114630361 h 6 HYPERLINK l _Toc114630362 四、 風險管理信息系統(tǒng)總

2、體架構(gòu) PAGEREF _Toc114630362 h 8 HYPERLINK l _Toc114630363 五、 風險管理信息系統(tǒng)設(shè)計步驟 PAGEREF _Toc114630363 h 14 HYPERLINK l _Toc114630364 六、 風險管理信息系統(tǒng)概述 PAGEREF _Toc114630364 h 19 HYPERLINK l _Toc114630365 七、 管理信息系統(tǒng)的基本概念 PAGEREF _Toc114630365 h 28 HYPERLINK l _Toc114630366 八、 風險管理組織體系的總體框架 PAGEREF _Toc114630366 h

3、 28 HYPERLINK l _Toc114630367 九、 風險管理及審計部門的組織結(jié)構(gòu)及職責設(shè)計 PAGEREF _Toc114630367 h 34 HYPERLINK l _Toc114630368 十、 風險管理組織體系和企業(yè)目標的關(guān)系 PAGEREF _Toc114630368 h 35 HYPERLINK l _Toc114630369 十一、 風險管理組織體系標準 PAGEREF _Toc114630369 h 36 HYPERLINK l _Toc114630370 十二、 建立信用額度 PAGEREF _Toc114630370 h 36 HYPERLINK l _To

4、c114630371 十三、 建立意外損失基金 PAGEREF _Toc114630371 h 37 HYPERLINK l _Toc114630372 十四、 資產(chǎn)負債管理 PAGEREF _Toc114630372 h 40 HYPERLINK l _Toc114630373 十五、 保險的選擇與購買 PAGEREF _Toc114630373 h 46 HYPERLINK l _Toc114630374 十六、 保險的職能 PAGEREF _Toc114630374 h 53 HYPERLINK l _Toc114630375 十七、 產(chǎn)業(yè)環(huán)境分析 PAGEREF _Toc1146303

5、75 h 56 HYPERLINK l _Toc114630376 十八、 行業(yè)空間：多方驅(qū)動行業(yè)高增，市場發(fā)展空間廣闊 PAGEREF _Toc114630376 h 57 HYPERLINK l _Toc114630377 十九、 必要性分析 PAGEREF _Toc114630377 h 59 HYPERLINK l _Toc114630378 二十、 項目概況 PAGEREF _Toc114630378 h 59 HYPERLINK l _Toc114630379 二十一、 組織機構(gòu)及人力資源配置 PAGEREF _Toc114630379 h 63 HYPERLINK l _Toc1

6、14630380 勞動定員一覽表 PAGEREF _Toc114630380 h 63 HYPERLINK l _Toc114630381 二十二、 發(fā)展規(guī)劃 PAGEREF _Toc114630381 h 65 HYPERLINK l _Toc114630382 二十三、 法人治理結(jié)構(gòu) PAGEREF _Toc114630382 h 69公司簡介（一）公司基本信息1、公司名稱：xxx集團有限公司2、法定代表人：葉xx3、注冊資本：580萬元4、統(tǒng)一社會信用代碼：xxxxxxxxxxxxx5、登記機關(guān)：xxx市場監(jiān)督管理局6、成立日期：2016-3-277、營業(yè)期限：2016-3-27至無固定

7、期限8、注冊地址：xx市xx區(qū)xx（二）公司簡介企業(yè)履行社會責任，既是實現(xiàn)經(jīng)濟、環(huán)境、社會可持續(xù)發(fā)展的必由之路，也是實現(xiàn)企業(yè)自身可持續(xù)發(fā)展的必然選擇；既是順應(yīng)經(jīng)濟社會發(fā)展趨勢的外在要求，也是提升企業(yè)可持續(xù)發(fā)展能力的內(nèi)在需求；既是企業(yè)轉(zhuǎn)變發(fā)展方式、實現(xiàn)科學發(fā)展的重要途徑，也是企業(yè)國際化發(fā)展的戰(zhàn)略需要。遵循“奉獻能源、創(chuàng)造和諧”的企業(yè)宗旨，公司積極履行社會責任，依法經(jīng)營、誠實守信，節(jié)約資源、保護環(huán)境，以人為本、構(gòu)建和諧企業(yè)，回饋社會、實現(xiàn)價值共享，致力于實現(xiàn)經(jīng)濟、環(huán)境和社會三大責任的有機統(tǒng)一。公司把建立健全社會責任管理機制作為社會責任管理推進工作的基礎(chǔ)，從制度建設(shè)、組織架構(gòu)和能力建設(shè)等方面著手，建

8、立了一套較為完善的社會責任管理機制。公司注重發(fā)揮員工民主管理、民主參與、民主監(jiān)督的作用，建立了工會組織，并通過明確職工代表大會各項職權(quán)、組織制度、工作制度，進一步規(guī)范廠務(wù)公開的內(nèi)容、程序、形式，企業(yè)民主管理水平進一步提升。圍繞公司戰(zhàn)略和高質(zhì)量發(fā)展，以提高全員思想政治素質(zhì)、業(yè)務(wù)素質(zhì)和履職能力為核心，堅持戰(zhàn)略導(dǎo)向、問題導(dǎo)向和需求導(dǎo)向，持續(xù)深化教育培訓改革，精準實施培訓，努力實現(xiàn)員工成長與公司發(fā)展的良性互動。我國企業(yè)風險管理信息系統(tǒng)與技術(shù)體系的現(xiàn)狀與國際領(lǐng)先企業(yè)相比，目前我國企業(yè)風險管理普遍比較薄弱，除了我國的金融、保險等高風險行業(yè)非常重視風險管理外，大部分企業(yè)尚處于起步階段，其風險管理大部分僅局限

9、于加強內(nèi)部控制建設(shè)。上市公司作為我國企業(yè)的優(yōu)秀代表，在企業(yè)風險管理尤其是企業(yè)全面風險管理上也與發(fā)達國家有著很大的差距。有鑒于此，企業(yè)風險管理信息系統(tǒng)的建設(shè)只是處于剛剛起步階段，主要呈現(xiàn)出以下幾個特點。（1）企業(yè)專門的風險管理信息系統(tǒng)并沒有建立。目前，就企業(yè)風險管理信息系統(tǒng)的建設(shè)情況來看，只有個別風險，如財務(wù)風險、經(jīng)營風險等比較好量化的風險類別，學者們對其風險測量、預(yù)警等方面作了大量研究，一部分企業(yè)建立了相應(yīng)的風險管理信息系統(tǒng)，以財務(wù)風險為例，一些規(guī)模較大的企業(yè)都建立了財務(wù)風險預(yù)警、管理體系，但并非所有的企業(yè)都是專門為控制財務(wù)風險面建立此類體系；一部分企業(yè)是在財務(wù)信息化過程中，對財務(wù)風險加以管理

10、和控制的。（2）金融、保險等高風險行業(yè)的風險管理信息體系建設(shè)相對比較健全，但也并不完善。在這些高風險行業(yè)，也僅對于其面臨的主要風險（如金融業(yè)的信貸風險）進行主要控制，建立了相應(yīng)的信息系統(tǒng)。并且，隨著近幾年來世界經(jīng)濟一體化、全球化的發(fā)展，我國金融保險業(yè)也逐漸借鑒國際信貸風險管理的經(jīng)驗，并結(jié)合我國國情，進行了系統(tǒng)改進。但對其他風險尤其是定性風險（如安全風險、聲譽風險、破產(chǎn)風險等）還缺乏系統(tǒng)的、全面的管理，更談不上用信息技術(shù)來進行風險管理了。（3）企業(yè)風險管理信息系統(tǒng)建立所需的基礎(chǔ)條件還遠未達到目標。目前，我國的計算機技術(shù)已經(jīng)有了很大發(fā)展，開發(fā)出企業(yè)所需的風險管理系統(tǒng)從技術(shù)上來說并不成問題。關(guān)鍵是風

11、險管理信息系統(tǒng)建立所需的基礎(chǔ)條件還遠未達到目標。目前我國的實際情況是，企業(yè)對自身所面臨的風險認識不足，對風險基于企業(yè)發(fā)展的重要程度了解不深，沒有意識到風險管理是關(guān)系到企業(yè)經(jīng)營成敗和長遠發(fā)展的關(guān)鍵環(huán)節(jié)。因此，在風險管理上并沒有給予足夠的重視。企業(yè)也就不可能有動力和需求去建立相應(yīng)的風險管理信息系統(tǒng)。此外，企業(yè)所表現(xiàn)出來的此種行為，跟我國整體市場環(huán)境也有很大關(guān)聯(lián)。目前，我國還缺乏諸如COSO企業(yè)風險管理一整合框架那樣的權(quán)威框架對企業(yè)風險管理的指導(dǎo)。這在一定程度上也制約了企業(yè)全面風險管理的進行和風險管理信息系統(tǒng)的建立。因此，隨著企業(yè)經(jīng)營環(huán)境的更加復(fù)雜化、多樣化，企業(yè)所面臨的風險種類、風險程度較以前都更

12、加復(fù)雜，僅局限于內(nèi)部控制來進行風險管理已遠遠不能滿足企業(yè)發(fā)展的要求。企業(yè)尤其是管理層、領(lǐng)導(dǎo)層必須充分認識到加強風險管理的重要性，建立起全面的風險管理體系，并運用信息技術(shù)為企業(yè)的全面風險管理提供技術(shù)支撐，提高風險管理的效率。我國企業(yè)風險管理信息系統(tǒng)的必要性隨著人類進入知識經(jīng)濟時代，信息技術(shù)的高度發(fā)達及在管理領(lǐng)域的廣泛和深入應(yīng)用，使得企業(yè)的經(jīng)營環(huán)境和經(jīng)營模式不斷變化。中國企業(yè)因在對外擔保、對外投資、資產(chǎn)重組等經(jīng)營過程中不注重風險的管理和控制，頻頻出現(xiàn)的經(jīng)營危機甚至面臨破產(chǎn)，都說明企業(yè)在加強風險管理方面的重要性和緊迫性。鑒于企業(yè)所面臨的風險日趨多樣化、復(fù)雜化及所涉及的工作量也更大的特點，僅僅依靠傳統(tǒng)

13、的、一般的風險應(yīng)對技術(shù)已不能適應(yīng)企業(yè)和市場發(fā)展的要求。因此，運用信息技術(shù)建立企業(yè)全面風險管理信息系統(tǒng)，從而提高企業(yè)風險管理的水平，進而提高管理效率，是適應(yīng)新形勢發(fā)展的必然要求。（1）企業(yè)風險管理信息系統(tǒng)的建立，將大幅度提高企業(yè)風險管理的技術(shù)水平。企業(yè)風險的復(fù)雜性、多樣性決定了僅靠紙面文件形式進行風險的管理，從風險影響因素的搜集到風險的識別，再到風險的評估及程度計量，直到風險控制方法的決策，這一系列的工作量之大是不可想像的。并且，就風險的評估而言，一般都是由比較復(fù)雜的模型進行測量的，不運用信息技術(shù)，也根本無法完成。因此，企業(yè)風險管理信息系統(tǒng)的建立是降低企業(yè)成本的重要舉措，是增強市場應(yīng)變能力的必要

14、條件，是加強企業(yè)管理、堵塞管理漏洞的有效手段，是企業(yè)風險管理的技術(shù)保障。（2）企業(yè)風險管理信息系統(tǒng)的建立，將復(fù)雜、零散的風險因素納入統(tǒng)一的信息系統(tǒng)中，更加有利于企業(yè)風險的防范。企業(yè)的全面風險管理，是對企業(yè)各個層次的業(yè)務(wù)單位、各種類型的風險的通盤管理，強調(diào)的是全員參與、全程實時管理。與此需求相適應(yīng)所建立的企業(yè)風險管理信息系統(tǒng)，也即是將各種風險及包含這些風險的各種資產(chǎn)與資產(chǎn)組合，將承擔這些風險的各個業(yè)務(wù)單位納入統(tǒng)一的體系中，再對各類風險依據(jù)相應(yīng)的標準進行測量和匯總，并根據(jù)全部業(yè)務(wù)的相關(guān)性對風險進行控制和管理。這樣，相關(guān)部門就能隨時全面地掌握公司面臨的風險的可能性及風險程度，以便更好地進行風險的防范

15、。（3）企業(yè)風險管理信息系統(tǒng)的建立，將提高風險管理的效率，增強企業(yè)風險管理的科學性。企業(yè)面臨的各種風險的管理，都需要經(jīng)過風險因素的搜集、分析、計量等環(huán)節(jié)，其計量的方法也各不相同，有的牽涉多個指標，其中的數(shù)量關(guān)系也比較復(fù)雜，技術(shù)性強，僅靠人力來解決這些復(fù)雜問題，風險管理的效率是很低的，并且很多工作僅靠人工也根本無法開展。另一方面，建立風險管理信息系統(tǒng)，對各種風險，都要經(jīng)過因素分析、風險識別、風險測量，風險控制等環(huán)節(jié)進行統(tǒng)一管理，即使個別無法用量化指標進行測量的風險，也將根據(jù)此類風險的特殊性，設(shè)定一些定性指標，按照嚴格的程序?qū)ζ溥M行科學控制。因此，建立企業(yè)風險管理信息系統(tǒng)，將大大提高風險管理效率，

16、增強其風險管理的科學性。風險管理信息系統(tǒng)總體架構(gòu)一般的管理信息系統(tǒng)包括應(yīng)用結(jié)構(gòu)、數(shù)據(jù)結(jié)構(gòu)和技術(shù)結(jié)構(gòu)3個部分，風險管理信息系統(tǒng)亦如此。（一）風險管理信息系統(tǒng)架構(gòu)風險管理信息系統(tǒng)在架構(gòu)上包括應(yīng)用層、數(shù)據(jù)層與技術(shù)層3個重要部分。（1）應(yīng)用層架構(gòu)提供企業(yè)所需風險管理信息系統(tǒng)相關(guān)的功能。（2）數(shù)據(jù)層架構(gòu)定義應(yīng)用系統(tǒng)所需的資料及存取界面，應(yīng)考慮資料庫建造與資料的完整性。（3）技術(shù)層架構(gòu)定義系統(tǒng)運作之軟硬件環(huán)境，建造時應(yīng)確保系統(tǒng)的安全性。其中技術(shù)結(jié)構(gòu)涉及的主要是技術(shù)環(huán)境所涵蓋硬件平臺和相關(guān)基礎(chǔ)設(shè)施，以實現(xiàn)三層應(yīng)用要求：客戶服務(wù)、業(yè)務(wù)服務(wù)、數(shù)據(jù)服務(wù)。系統(tǒng)通過對綜合業(yè)務(wù)系統(tǒng)的信用風險、市場風險、運營風險、流動性

17、風險等的量化和控制，完成在業(yè)務(wù)系統(tǒng)中的風險衡量和評估、風險的監(jiān)管和匯總，從而為企業(yè)在資產(chǎn)組合管理和全面風險控制的基礎(chǔ)上完成內(nèi)部資金定價、資本、資產(chǎn)分配和企業(yè)業(yè)績評估等提供數(shù)據(jù)支持和決策輔助。（二）風險管理信息系統(tǒng)的功能界定1、風險管理信息系統(tǒng)應(yīng)用層架構(gòu)設(shè)計有關(guān)企業(yè)風險管理信息系統(tǒng)應(yīng)用層架構(gòu)設(shè)計，須考慮企業(yè)各層級目前與未來可能的風險管理功能需求。原則說明如下。（1）應(yīng)用層架構(gòu)的功能應(yīng)包括：市場、經(jīng)營與信用風險等管理，資本配置，資產(chǎn)負債管理，績效評估及相關(guān)管理報表等。（2）使用者應(yīng)參與風險管理信息系統(tǒng)的功能設(shè)計與系統(tǒng)測試，以確保滿足風險管理的需求。（3）除界定功能外，亦需確認構(gòu)建風險管理信息系統(tǒng)所

18、采用解決問題方法之可行性。2、風險管理信息系統(tǒng)的功能分配企業(yè)所使用的風險管理信息系統(tǒng)，需根據(jù)組織內(nèi)的控管層級，明確規(guī)范及分配集中式風險控制處理及個別業(yè)務(wù)單位分散式風險控制處理的形態(tài)與層級。原則說明如下。（1）風險管理信息系統(tǒng)與企業(yè)的風險控制處理組織架構(gòu)及控管方式相搭配。（2）風險管理信息系統(tǒng)應(yīng)采用集中式（中央層級向下分派）信息管理方式，以確保跨部門與跨產(chǎn)品間所采用的計算方法與模型及資料的一致性。（3）企業(yè)若采用分散式的風險管理信息系統(tǒng)架構(gòu)，必須注意不同單位間所使用的分析方法與市場資料是否具有一致性。（4）選擇集中式或分散式風險管理信息系統(tǒng)，取決于企業(yè)對于風險管理信息系統(tǒng)功能的要求，控制程度的要

19、求，以及集中式系統(tǒng)執(zhí)行的可行性。3、信息傳送頻率企業(yè)建立風險管理信息系統(tǒng)框架時，應(yīng)考慮不同風險報告書顯示的頻率，對象與格式。原則說明如下。（1）產(chǎn)生及時的信息是風險管理信息系統(tǒng)的最終目的，但是實際產(chǎn)生的頻率仍應(yīng)參照使用者的需求而定；針對不同的使用者，應(yīng)有不同的信息內(nèi)涵與報告格式。（2）信息呈現(xiàn)方式可以是報表或線上查詢，而線上查詢的格式則可由使用者自己定。（3）風險管理信息系統(tǒng)有必要時，亦可考慮包含以下功能：交易前風險評估流程、交易前情景分析及相關(guān)交易之后的資料及時更新等。（三）數(shù)據(jù)庫的建立與數(shù)據(jù)的完整性1、數(shù)據(jù)庫的建立企業(yè)建造數(shù)據(jù)庫時應(yīng)考慮數(shù)據(jù)結(jié)構(gòu)，數(shù)據(jù)明細與數(shù)據(jù)存放地址。建立數(shù)據(jù)庫的關(guān)鍵要素

20、有：按照企業(yè)的決策目標，選擇需要包含的數(shù)據(jù)類別及每種數(shù)據(jù)類別所應(yīng)搜集的數(shù)量，這些數(shù)據(jù)類別的多少及數(shù)量取決于經(jīng)濟單位認為是否能夠滿足決策；決定數(shù)據(jù)的格式、類型及執(zhí)行RMIS預(yù)期功能所要求的隨機存取，直接調(diào)用能力；修改和定期檢查實際數(shù)據(jù)。原則說明如下。（1）數(shù)據(jù)庫基本框架應(yīng)考慮風險信息傳輸?shù)母袷脚c頻率，也要減少重復(fù)數(shù)據(jù)以提高效率。（2）選擇數(shù)據(jù)應(yīng)考慮數(shù)據(jù)的形態(tài)，數(shù)據(jù)形態(tài)可分為動態(tài)資料與靜態(tài)資料兩類。動態(tài)資料是指與交易相關(guān)及必須定期更新的資料。包括：交易資料一包含詳細的交易信息，如交易對手、產(chǎn)品類型、交易日期、交易金額、現(xiàn)金流量、幣別及匯率等；交易部位及價格等資料。靜態(tài)資料則是指更新頻率不高的相關(guān)資

21、料，如產(chǎn)品類型（代碼）、客戶資料、風險限額與風險模型等資料。（3）建立規(guī)則時還應(yīng)考慮：資料儲存的詳細程度、分析方法的復(fù)雜程度、數(shù)據(jù)庫系統(tǒng)本身的效能。這些因素將影響資料庫的執(zhí)行效率。2、數(shù)據(jù)的完整性與所有權(quán)企業(yè)應(yīng)經(jīng)過驗證與確認的程序，以確保風險信息的完整性與正確性，并規(guī)定相關(guān)資料的所有權(quán)與維護責任。原則說明如下。（1）經(jīng)過使用者端系統(tǒng)與管理中心系統(tǒng)，進行資料完整性確認。使用者端系統(tǒng)：必須確保風險信息來源的正確性與完整性，于信息更新時進行自動檢查。管理中心系統(tǒng)：應(yīng)確認風險信息整合建立在一致性的基礎(chǔ)上，特別是業(yè)務(wù)單位對獲利及損失的信息必須與會計部門的資料一致。（2）為了確認風險管理程序所使用資料正確

22、性，必須指派專職部門負責資料維護與更新工作。（四）技術(shù)架構(gòu)的建造與系統(tǒng)的安全性1、信息技術(shù)搭配企業(yè)建造風險管理信息系統(tǒng)技術(shù)框架時，應(yīng)確認該系統(tǒng)與企業(yè)原有信息平臺的相容性，其框架應(yīng)包含硬件平臺，作業(yè)系統(tǒng)，數(shù)據(jù)庫管理系統(tǒng)與通信基礎(chǔ)架構(gòu)等。原則說明如下。（1）風險管理信息系統(tǒng)技術(shù)框架應(yīng)包括：硬件平臺一須考慮企業(yè)既有平臺，以及跨平臺間的連接效率；作業(yè)系統(tǒng)主要考慮為對開放式環(huán)境的需求，以及設(shè)定多功能以確保最大效率；通信基礎(chǔ)框架必須考慮不同部門間數(shù)據(jù)轉(zhuǎn)移的網(wǎng)絡(luò)連線需要，同時須考慮應(yīng)用程序間數(shù)據(jù)傳輸?shù)闹薪檐浖?；?shù)據(jù)管理系統(tǒng)一應(yīng)依據(jù)企業(yè)技術(shù)程度及資料庫復(fù)雜程度，決定采用數(shù)據(jù)庫類型；風險控制軟件風險控制軟件的開

23、發(fā)或采購應(yīng)配合風險管理的需求；圖形化使用者界面一力求使用界面的人性化。（2）風險管理信息系統(tǒng)技術(shù)框架的設(shè)計，其復(fù)雜程度與本身需求相配合，應(yīng)考慮未來技術(shù)發(fā)展趨緩，外購需要及新產(chǎn)品與新業(yè)務(wù)未來的擴展性。2、系統(tǒng)與模型的安全性企業(yè)建造的風險管理技術(shù)框架必須規(guī)范所需的安全程度，以確保企業(yè)信息，系統(tǒng)與模型的完整性與機密性。完全性相關(guān)領(lǐng)域包括：存取權(quán)限、使用者控管、線路安全性與模型安全性。3、系統(tǒng)備份，恢復(fù)和緊急應(yīng)變措施企業(yè)通信設(shè)備故障時仍能正常運作，事故的處理并應(yīng)制定完整的緊急應(yīng)變措施。主要范圍應(yīng)包括：災(zāi)難恢復(fù)、容錯、備份與應(yīng)對策略。4、風險管理信息專業(yè)人才為使風險管理信息系統(tǒng)正常運作，企業(yè)應(yīng)有專職的信

24、息人員從事風險管理信息系統(tǒng)的開發(fā)與維護工作。5、信息技術(shù)的開發(fā)企業(yè)的風險管理信息系統(tǒng)，不論是自行開發(fā)還是委外購買，皆應(yīng)在可管理的狀況下，注意其功能的實用型、可擴充性與可執(zhí)行性。在選購已編好的RMIS軟件或雇用其他軟件企業(yè)編制或經(jīng)濟單位自己編制RMIS軟件時，風險管理人員需要考慮以下幾方面問題：可靠性、友好的用戶界面、靈活性、綜合性、容錯性、兼容性、分析能力、安全性、系統(tǒng)功能的完整性、開放程度、供應(yīng)商或系統(tǒng)商的專業(yè)能力及支援能力。風險管理信息系統(tǒng)設(shè)計步驟為挖掘風險管理信息系統(tǒng)的潛在效益避免其潛在缺陷，需要對風險管理信息系統(tǒng)進行恰當?shù)脑O(shè)計以滿足企業(yè)的需要。風險管理信息系統(tǒng)的設(shè)計需要經(jīng)歷需求分析、確

25、定信息流、可行性研究、軟硬件購進或租賃4個階段。（一）需求分析需求分析的目的在于識別風險管理信息系統(tǒng)的用戶，了解他們各自的需求，以及組織目前可能滿足這些需求的資源。找出風險管理信息系統(tǒng)的所有可能用戶及他們各自的信息需求和企業(yè)能滿足這些需求的現(xiàn)有資源。在需求分析中需要執(zhí)行4個步驟。1、確定用戶雖然風險管理信息系統(tǒng)的大部分用戶是風險管理部門，但有少部分是其他部門甚至是企業(yè)外的人員。有些是向風險管理部門提供數(shù)據(jù)的，有些是要從風險管理部門獲得信息的。在確定用戶的過程中，一般有以下部門的代表：企業(yè)內(nèi)部有雇員健康安全部、管理信息系統(tǒng)部、風險管理部、法律部、會計部、采購部、高級管理部門領(lǐng)導(dǎo)等。企業(yè)外部有保險

26、經(jīng)紀人，代理人、承保人、風險管理咨詢企業(yè)、律師事務(wù)所、外部索賠管理人員或理算師、行業(yè)協(xié)會、當?shù)卣賳T等。2、采樣調(diào)查進行調(diào)查或訪問時，可以根據(jù)每個被采訪者的情況設(shè)計一張調(diào)查表，目的在于使采訪雙方都能達成對以下問題的一些認識和了解：正在收集的數(shù)據(jù)收集的原因和程序；從現(xiàn)有數(shù)據(jù)中想要得到的一些附加數(shù)據(jù)和信息；難以收集和分析或成本較大的數(shù)據(jù)及從該數(shù)據(jù)中可得到的信息；當前收集、分析數(shù)據(jù)及傳播結(jié)果信息的程序所存在的問題。3、分析訪問結(jié)果分析每個被訪問者的觀點可以得出關(guān)于整個企業(yè)的需求、資源和改善信息流，以及提高風險管理決策能力的觀點。了解當前和將來的信息流對以上分析來說是基礎(chǔ)性的工作。4、準備報告或建議

27、書所有以上這些分析都應(yīng)最終編成一個需求分析的報告書。（二）確定信息流信息流應(yīng)當用一張流程圖和相應(yīng)的文字敘述來描述，流程圖能簡捷地表明信息流是如何從一個部門流向另一個部門的。這些流程圖及敘述?？梢越沂净A(chǔ)數(shù)據(jù)是如何被收集的，如何被處理以產(chǎn)生所需要的信息的。（三）可行性研究一個理想的風險管理信息系統(tǒng)所需的資源可能很多，計算風險管理信息系統(tǒng)的成本時需要管理信息系統(tǒng)和風險管理人員的共同努力，將所有的成本項目找出來，并要預(yù)測系統(tǒng)生命周期前3年的費用，然后在考慮貨幣的時間價值的基礎(chǔ)上將成本加總。效益的預(yù)測和計算也是如此。通過這樣計算出來的成本和效益值才能給高級財務(wù)經(jīng)理和其他經(jīng)理以最確切的信息，并由他們評估

28、這一風險管理信息系統(tǒng)在財務(wù)上是否可行。（四）購買、租賃和建造的決策一旦高級管理人員決定建設(shè)風險管理信息系統(tǒng)和配置相應(yīng)軟硬件及人員，接下來就是如何獲得軟硬件的問題，是購買、租賃還是自己設(shè)計。1、軟件決策最基本的軟件決策是應(yīng)該從銷售商那里直接購買還是自行設(shè)計，在作出該項決策時應(yīng)考慮系統(tǒng)能滿足企業(yè)需求的最終能力大小，除此以外還應(yīng)考慮：預(yù)算限制，使軟件運行需要的時間，與企業(yè)內(nèi)現(xiàn)有軟件的相容性。只有當企業(yè)具有足夠的管理信息系統(tǒng)方面的專業(yè)人員，但企業(yè)現(xiàn)有計算機化的數(shù)據(jù)與市場銷售軟件不相容，一些特殊的風險管理信息系統(tǒng)需要的軟件不能被滿足時，企業(yè)才會考慮自行設(shè)計軟件。否則，不應(yīng)盲目地自行設(shè)計風險管理信息系統(tǒng)的

29、軟件。若一個企業(yè)選擇外購軟件，除了考慮價格因素外，更重要的還應(yīng)考慮；軟件的可靠性，軟件的適應(yīng)性，軟件供應(yīng)商提供輔助、培訓、服務(wù)的能力。2、硬件決策最基本的是租賃與購買決策。在一個沒有管理信息系統(tǒng)的企業(yè)里，作出租賃或購買決策時應(yīng)考慮以下幾個因素：在設(shè)備預(yù)計的生命周期內(nèi)，租賃和購買在現(xiàn)金流量的凈現(xiàn)值上的差異；企業(yè)面臨的各種損失風險（包括物質(zhì)上的損失和技術(shù)上的過失）；當企業(yè)和計算機技術(shù)更新時，購買和租賃在可預(yù)見的將來更新其風險管理信息系統(tǒng)或管理信息系統(tǒng)時的靈活性的大小。租賃可以避免大量資金流出和技術(shù)過時的風險，目前這一做法僅適用于大型主機。3、人員決策在為風險管理信息系統(tǒng)配備人員時，一般考慮以下基本

30、因素：足以能操作風險管理信息系統(tǒng)所需的管理信息技術(shù)；對企業(yè)和風險管理信息系統(tǒng)需求的了解情況；在保守風險管理信息系統(tǒng)的秘密方面的可靠性和誠實性；對一些計劃外的風險管理信息需求的反應(yīng)能力；人事費用。軟件、硬件和人員選擇決策并不是相互孤立的，在很多情況下，它們是緊密聯(lián)系在一起的。風險管理信息系統(tǒng)概述（一）什么是風險管理信息系統(tǒng)管理信息系統(tǒng)的概念與風險管理結(jié)合，便產(chǎn)生了風險管理信息系統(tǒng)。所謂的風險管理活動的最終目的是為了企業(yè)對于任何風險的發(fā)生，均能預(yù)先通過各種方案，以最小的代價來達到管理風險的最大效益，而獲得企業(yè)經(jīng)營的安全。由此可知，風險管理活動與企業(yè)政策有關(guān)，是屬于管理信息系統(tǒng)應(yīng)用觀念中的策略規(guī)劃層

31、次。因此風險管理信息系統(tǒng)可簡單定義為：收集、分析與規(guī)劃組織中有關(guān)風險管理信息的系統(tǒng)。風險管理信息系統(tǒng)是管理信息系統(tǒng)中必不可少的系統(tǒng)，風險管理人員由此認識并處理現(xiàn)實的或者潛在的偶然損失，以抵御偶然損失所產(chǎn)生的不利效應(yīng)，降低風險成本。風險管理信息系統(tǒng)是為整個經(jīng)濟單位及其每個損失暴露單位而設(shè)置的工具，對于風險管理全過程乃至經(jīng)濟單位的全部活動都起著重要的作用。這里需要指出的是，風險管理信息系統(tǒng)可以減少的不是損失的不確定性，而是減少作出的有關(guān)決策的不確定性，這是管理信息系統(tǒng)的最終目的。一個管理信息系統(tǒng)，特別是風險管理信息系統(tǒng)，應(yīng)該使一個管理人員相信在現(xiàn)有的數(shù)據(jù)信息條件下作出的決策是最優(yōu)的。其次，要明確業(yè)

32、務(wù)數(shù)據(jù)和管理信息。數(shù)據(jù)是指一些孤立、分散的事實，它是不便于作出推斷和結(jié)論的；而信息是指有助于決策的、經(jīng)過企業(yè)加工過的數(shù)據(jù)。信息和數(shù)據(jù)之間的這種區(qū)別表明了許多管理信息系統(tǒng)和風險管理信息系統(tǒng)具有潛在的缺陷，即存在很多未提供足夠的管理信息的數(shù)據(jù)。一個設(shè)計得較好的風險管理信息系統(tǒng)應(yīng)能將數(shù)據(jù)有機組合，提供正確的信息，提高風險管理的效率。風險管理信息系統(tǒng)的應(yīng)用范圍可以包括業(yè)務(wù)處理、標準風險管理報告和提供數(shù)據(jù)庫的隨機存取及支持風險管理決策的定量分析。（二）風險管理信息系統(tǒng)發(fā)展階段風險管理信息系統(tǒng)的概念在30年之前就在國外的企業(yè)里出現(xiàn)。自從它出現(xiàn)后，風險管理信息系統(tǒng)概念已經(jīng)從簡單的保險索賠自動化發(fā)展到了復(fù)雜的

33、金融管理與決策支持系統(tǒng)，這些系統(tǒng)提供了數(shù)據(jù)整合、報告、分析與操作的功能，支持企業(yè)的整體風險管理與相關(guān)規(guī)章制度。風險管理信息系統(tǒng)的發(fā)展共經(jīng)歷了5個階段。（1）簡單事務(wù)處理階段。計算機在風險管理中的早期應(yīng)用是保險損失和報廢的計算機管理，時間是20世紀60年代末。該應(yīng)用技術(shù)由少數(shù)承保人開發(fā)，幫助部分被保險人記錄可保損失，并對一些常見的事故的某些原因列出清單以便于風險控制。該階段有兩個明顯缺陷。過分集中于保險業(yè)務(wù)，這些系統(tǒng)沒有充分注意到經(jīng)濟單位整體的風險成本。這樣就難以充分有效地向管理整個企業(yè)的高級管理決策層傳達風險管理的核心內(nèi)容。由于計算機技術(shù)較不發(fā)達，不能及時得到準確的數(shù)據(jù)，而不正確和過時的信息對

34、風險管理決策來說是沒有什么實質(zhì)的決策用處的。（2）標準風險管理報告階段。20世紀60年代末至70年代初，在此期間，風險成本的概念已被廣為接受，風險管理人員開始利用電腦作輔助計算和控制本企業(yè)的整個風險成本。系統(tǒng)對于風險管理者和整個經(jīng)濟單位管理人員之間的交流有非常重要的意義。此階段的應(yīng)用提升到批次處理的層次，各種標準的定期報表（月/季/年）廣泛地被使用，擴大了信息的流通且有助于組織內(nèi)部管理階層的溝通。該階段有兩個明顯缺陷。雖然這一階段的系統(tǒng)可以使風險管理人員更多更快地收集數(shù)據(jù)，但很多基本數(shù)據(jù)仍來自于承保人而不是來自于企業(yè)內(nèi)部，這會造成數(shù)據(jù)的不完整。承保人提供的大量報告有時容易使風險管理部門感覺好像

35、被置于計算機報告的海洋中，數(shù)據(jù)很多但管理信息很少。（3）數(shù)據(jù)直接調(diào)用階段。為了避免陷入許多數(shù)據(jù)中，投保人、經(jīng)紀人組織、保險人開發(fā)出更為靈活的風險管理信息系統(tǒng)，使他們不僅能夠設(shè)計自己特定的報告，而且能任意調(diào)用他們自己的風險管理數(shù)據(jù)，時間是20世紀70年代末。隨機存取數(shù)據(jù)使得風險管理人員能編制自己的報表，并能對高級經(jīng)理和其他管理人員的信息需求作出反應(yīng)。這種根據(jù)需要就能以任何格式提取數(shù)據(jù)的能力對風險管理至少具有以下益處。通過與風險管理數(shù)據(jù)庫的互訪，提高風險管理資料庫與客戶之間的互動性，可以增加對風險管理作用的認識。因為滿足了管理人員的信息需求，從而獲得了他們對風險管理的支持。隨著風險管理人員監(jiān)控風險

36、能力的提高，企業(yè)內(nèi)部關(guān)于風險管理的溝通和通信也得以改善，因此增加了風險管理人員對其他管理人員所提問題的快速反應(yīng)能力。（4）風險管理決策支持階段。交互是風險管理決策支持的核心，使計算機利用已有數(shù)據(jù)庫中的數(shù)據(jù)預(yù)測風險管理人員提出的各種可供選擇方案的可能結(jié)果，并且作出最佳選擇。交互式風險管理決策支持的關(guān)鍵是計算機應(yīng)具有對“whatif”查詢的反應(yīng)能力，通過數(shù)據(jù)庫中的數(shù)據(jù)來預(yù)測風險管理人員建議的各種行動方案的可能結(jié)果，因此要求開發(fā)各種分析模型，用于進行損失預(yù)測、風險成本分配和經(jīng)濟的預(yù)測。風險管理信息系統(tǒng)開始提供分析性的模塊以協(xié)助客戶進行風險成本的分析，包括風險的衡量、風險成本與效益分析、預(yù)測整體風險成

37、本隨風險要素變化的情形、估計年度總損失以及記錄每次非預(yù)期損失幅度與頻率等。一旦證實了這些預(yù)測模型和決策支持能力之間的關(guān)系，風險管理人員便可在大量的風險管理工作中運用它們。其運用范圍包括：預(yù)測一種特定風險管理措施的成本和效益；預(yù)測企業(yè)內(nèi)部風險成本的變化及各組成部分的變化；選擇企業(yè)每年的總的風險自留水平；把實際采取的安全措施與事故發(fā)生頻率和損失程度聯(lián)系起來；測試各種損失準備金充足與否。該階段的系統(tǒng)可以存取更為廣義上的數(shù)據(jù)庫。特別是通過調(diào)制解調(diào)器和電話線把本企業(yè)的內(nèi)部計算機與金融市場、經(jīng)濟動態(tài)及有關(guān)法規(guī)等外部的數(shù)據(jù)源連接起來，可以增強風險管理信息系統(tǒng)作為決策支持的使用價值，這主要是因為作出決策所依據(jù)

38、的數(shù)據(jù)將更為可靠，以及計算機輔助決策的類型將更為多樣化。（5）網(wǎng)際網(wǎng)絡(luò)應(yīng)用階段。20世紀90年代隨著網(wǎng)際網(wǎng)絡(luò)的興起、臺式計算機價格逐漸下降及計算能力的提升，RMIS逐漸向主從式架構(gòu)發(fā)展，并提供通過網(wǎng)絡(luò)讓遠端計算機方便存取數(shù)據(jù)庫的功能，以快速反應(yīng)并處理風險管理的問題。網(wǎng)絡(luò)的發(fā)展也使銀行保險公司與客戶間的互動增加，并朝向全球化的目標發(fā)展。（三）風險管理信息系統(tǒng)的基本組成RMIS主要由以下幾個部分組成：數(shù)據(jù)庫；收集、操作數(shù)據(jù)產(chǎn)生信息的程序軟件；計算機裝備一硬件；運行RMIS的人員。1、數(shù)據(jù)庫它是風險管理信息系統(tǒng)的核心，是貯存基本信息的記憶庫。像所有的管理信息系統(tǒng)的數(shù)據(jù)一樣，計算機化的風險管理信息系統(tǒng)

39、輸出的數(shù)據(jù)應(yīng)該是有序的。而且數(shù)據(jù)必須是完備、正確、一致、相關(guān)和及時的，否則就會出現(xiàn)垃圾數(shù)據(jù)。在風險管理信息系統(tǒng)中，數(shù)據(jù)常被分為：損失數(shù)據(jù)、風險數(shù)據(jù)、法律數(shù)據(jù)、風險籌資數(shù)據(jù)、管理數(shù)據(jù)和風險控制數(shù)據(jù)。（1）損失數(shù)據(jù)。損失數(shù)據(jù)是對一個企業(yè)過去損失的細節(jié)描述，常占風險管理數(shù)據(jù)的大部分，如事故/理賠等清單、理賠準備金、毀損記錄、理賠對象情況記錄、賠付記錄等。風險管理人員、經(jīng)紀人、代理人和承保人能從這些數(shù)據(jù)中得到損失頻率、程度、原因及最后處理的信息，因此能為現(xiàn)在或?qū)砻媾R的損失風險安排一個合理的準備金。大部分風險管理決策需要有適當?shù)念A(yù)測作為基礎(chǔ)，如預(yù)測未來損失金額、預(yù)測各種控制型和財務(wù)型對付風險的方法的效

40、果和成本，建立一個好的風險管理信息系統(tǒng)的損失數(shù)據(jù)庫能為預(yù)測打下良好的基礎(chǔ)。（2）風險數(shù)據(jù)。這種類型的數(shù)據(jù)多種多樣，對風險管理人員來說，風險數(shù)據(jù)一般與一個企業(yè)的總體特征有關(guān)，如企業(yè)財產(chǎn)、其主要供應(yīng)商和客戶的業(yè)務(wù)關(guān)系及人員有關(guān)。就財產(chǎn)而言，數(shù)據(jù)庫應(yīng)能鑒別其類型、所處地點、原始成本和現(xiàn)行價值及所有權(quán)狀況等。財產(chǎn)數(shù)據(jù)也常常包括企業(yè)不動產(chǎn)信息、銷售商信息及對每項財產(chǎn)的最大可能損失的估計。相關(guān)的數(shù)據(jù)類型如凈收入記錄、關(guān)鍵人物、普通員工記錄、生產(chǎn)經(jīng)營記錄等。（3）法律數(shù)據(jù)。數(shù)據(jù)庫中的法律信息應(yīng)包括該企業(yè)的合同義務(wù)方面的詳細數(shù)據(jù)。另外，一旦企業(yè)因違反了法律而可能遭致某種法律索賠時，數(shù)據(jù)庫應(yīng)當為確定和跟蹤這些索

41、賠提供信息。（4）風險籌資數(shù)據(jù)。風險管理信息系統(tǒng)的數(shù)據(jù)庫中的風險籌資數(shù)據(jù)提供了收入、費用、現(xiàn)金流量、債務(wù)、借貸計劃、生產(chǎn)水平、其他資金來源、使用的現(xiàn)行數(shù)據(jù)及預(yù)測數(shù)據(jù)，如資本、費用、債務(wù)、財務(wù)報表等。（5）管理數(shù)據(jù)。如果一個企業(yè)的結(jié)構(gòu)是多變的，這種變化可能涉及多個部門、若干附屬機構(gòu)和分散在不同地區(qū)的成本中心，數(shù)據(jù)庫應(yīng)當能反映這種層次結(jié)構(gòu)，并能將風險管理數(shù)據(jù)分離開來以反映這種多變性。（6）風險控制數(shù)據(jù)。為了補充數(shù)據(jù)庫中其他部分的數(shù)據(jù)，風險控制數(shù)據(jù)應(yīng)當包括有助于評價企業(yè)防損工作質(zhì)量和估計由此帶來效益的信息。對這樣的評估，數(shù)據(jù)庫很可能包括了行業(yè)范圍內(nèi)的各種事故發(fā)生的頻率和嚴重程度的統(tǒng)計信息，以及關(guān)于操

42、作安全、產(chǎn)品安全和環(huán)境保護方面的信息。為了估計風險控制的財務(wù)效益，數(shù)據(jù)庫應(yīng)當包括有關(guān)員工福利計劃、財產(chǎn)成本、汽車維修成本及醫(yī)療保健費用。這些成本費用信息可以用來證明防止事故和索賠所帶來的效益。2、軟件大部分風險管理信息系統(tǒng)的應(yīng)用程序都要求具有以下軟件：數(shù)據(jù)庫管理軟件，用來增加、修改企業(yè)數(shù)據(jù)庫的數(shù)據(jù)；分析軟件，執(zhí)行統(tǒng)計、分析功能；通信軟件，在計算機之間或企業(yè)之間進行信息傳輸。風險管理信息系統(tǒng)所需軟件，部分可以直接購買，大部分的軟件功能還需要自行開發(fā)與集成。3、硬件硬件是指計算機化的風險管理信息系統(tǒng)物理設(shè)備，即計算機本身。硬件的選擇主要取決于用戶的需要，硬件所要求的兩個重要特性是可靠性和可擴展性。

43、一般來說，風險管理信息系統(tǒng)要求的數(shù)據(jù)庫越大，則要求功能越強的計算機。另外，工作站的數(shù)量也是選擇計算機時應(yīng)考慮的，在過去常見的做法是幾個人共享一個計算機終端，但現(xiàn)在傾向于每個用戶一個終端。4、網(wǎng)絡(luò)企業(yè)信息化的運行平臺是局域網(wǎng)，大多采用客戶服務(wù)器結(jié)構(gòu)，隨著技術(shù)發(fā)展，越來越多的企業(yè)開始以Intranet為平臺，采用瀏覽器服務(wù)器結(jié)構(gòu)。5、人事風險管理信息系統(tǒng)中人是最重要的，人提供和解釋數(shù)據(jù)，設(shè)計、組建、安排并維修硬件。由人來操作風險管理信息系統(tǒng)；由人使用風險管理信息系統(tǒng)的信息來支持其決策。人員同時也是風險管理信息系統(tǒng)中成本最高的一部分，其費用由人員工資及一些附加費用組成。操作一個風險管理信息系統(tǒng)所需的

44、人數(shù)取決于系統(tǒng)的大小和需求。有些風險管理信息系統(tǒng)要求有一組專家，包括計算機程序員、分析員、軟硬件專家；而有些系統(tǒng)，特別是使用現(xiàn)成軟件，并且終端很少的系統(tǒng)，也許只需一兩個系統(tǒng)輔助人員。此外，如果用戶懂得一些計算機知識，則對附加人員的需求量將減少。管理信息系統(tǒng)的基本概念簡單地說，管理信息系統(tǒng)就是管理一些信息的一個系統(tǒng)，它可以是一個很大的系統(tǒng)，也可以是一個很簡單的系統(tǒng)。一個企業(yè)制定目標之后，接著就是一連串的決策，而決策來自于管理者，管理者依靠信息的收集來決策。在傳統(tǒng)概念里，管理者收集信息的效率太低，而現(xiàn)在因為電子信息時代的來臨，許許多多重復(fù)性的工作都交給了計算機處理，進而加強了效率。漸漸地，管理信息

45、系統(tǒng)發(fā)展起來，它可以使管理者更有效率地得知一切最新、最正確的信息，以快速作出決策?，F(xiàn)在大多數(shù)企業(yè)都已經(jīng)接受管理信息系統(tǒng)的概念，至于用在什么地方，就需要視企業(yè)的需求和創(chuàng)新情況來定。風險管理組織體系的總體框架1、風險管理的第一道防線：業(yè)務(wù)單位與相關(guān)職能部門業(yè)務(wù)單位與相關(guān)職能部門是企業(yè)中的業(yè)務(wù)經(jīng)營單位，有特定的目標、戰(zhàn)略、市場、客戶和產(chǎn)品。成功的業(yè)務(wù)單位了解自己的競爭對手、客戶及所面臨的機遇和風險。它們管理和監(jiān)督經(jīng)營活動，以創(chuàng)造利潤、服務(wù)客戶、提高產(chǎn)品質(zhì)量、縮短周期和降低成本；按足以能負擔相關(guān)成本和風險的價格，向目標的細分市場提供產(chǎn)品和服務(wù)，同時還要能夠為股東掙得在風險扣除后仍可接受的回報。業(yè)務(wù)單位

46、向總經(jīng)理和企業(yè)執(zhí)行委員會匯報業(yè)務(wù)活動。業(yè)務(wù)單位與相關(guān)職能部門包含了企業(yè)大部分的資產(chǎn)和業(yè)務(wù)，它們在日常工作中直接面對各類風險，風險是他們最先要考慮的。在推出新產(chǎn)品、進入新市場或投資新的研發(fā)項目時，業(yè)務(wù)單位和相關(guān)職能部門經(jīng)常要承受風險。此外，在客戶關(guān)系、供應(yīng)商關(guān)系、雇員關(guān)系及自己所管理的專有資產(chǎn)等方面，業(yè)務(wù)單位與相關(guān)職能部門也面臨許多風險。他們需要了解這些會對其產(chǎn)生影響的風險和不確定因素，并且應(yīng)該有能力對其進行管理。實質(zhì)上，身處第一線的業(yè)務(wù)與相關(guān)職能單位的管理層不僅負責管理所選定的經(jīng)營模式中許多固有風險，也是防范這些風險的第一道防線，是企業(yè)風險管理的最前線。企業(yè)必須把風險管理的手段和內(nèi)控程序融入到

47、業(yè)務(wù)單位的工作與流程中，才能建立好防范風險的第一道防線。企業(yè)建立第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略風險、財務(wù)風險、市場風險、運營風險和法律風險，進行系統(tǒng)化的識別、衡量、評價、管理和監(jiān)控。要建立好第一道防線，企業(yè)的各業(yè)務(wù)單位和相關(guān)職能部門需要進行以下工作。（1）調(diào)整風險排序、風險容忍度和風險戰(zhàn)略，使其符合全企業(yè)的政策和指導(dǎo)方針。（2）按照企業(yè)的整體風險承受能力，調(diào)整經(jīng)營和產(chǎn)品開發(fā)活動的針對性，從而為企業(yè)開辟新的價值來源。（3）識別和度量風險，查明風險的來源。（4）為各項流程確定基準，交流最佳實踐方法，以期持續(xù)地改進各項措施和流程。（5）向主要的經(jīng)理分派風險管理職責和責任。（6）就風險應(yīng)對措施、

48、控制活動以及信息與溝通的整體質(zhì)量進行報告。2、企業(yè)風險管理的第二道防線：風險管理委員會和風險管理職能部門第二道防線是在第一道防線基礎(chǔ)上建立一個更高層次的風險管理功能，它的組成部門可以包括董事會下的風險管理委員會、投資審批委員會、信貸審批委員會等和風險管理職能部門。風險管理職能部門是企業(yè)風險管理解決方案中一個選設(shè)的部門。在企業(yè)經(jīng)營模式中，有些固有的特定風險不由業(yè)務(wù)單位予以管理，或者從企業(yè)的角度來說沒有得到有效的管理，那么，按照風險組合觀，這些特定的風險就由風險管理職能部門負責管理。風險管理職能部門的目標是使同一個或多個風險相關(guān)的管理工作發(fā)展成為企業(yè)的一項核心能力。風險管理職能部門可能負責管理的風

49、險包括：利率風險、貨幣風險、商品價格風險、信用風險、氣候風險及災(zāi)難風險等。它們評估、集中控制、降低、轉(zhuǎn)移和利用自己負責的這些風險。當業(yè)務(wù)單位考慮承擔某些風險，而自己又沒有相關(guān)知識和專門技能予以管理時，風險管理職能部門就和它們合作，給予幫助。對企業(yè)經(jīng)營戰(zhàn)略實施來說，風險管理職能部門常常會起到非常重要的促進作用。風險管理職能部門可以由企業(yè)的某個職能部門或獨立運作的單位組成，責任是領(lǐng)導(dǎo)和協(xié)調(diào)企業(yè)內(nèi)各單位在管理風險方面的工作，它的主要職責包括以下幾點。（1）編制規(guī)章制度。（2）對各業(yè)務(wù)單位的風險進行組合管理。（3）度量風險和評估風險的界限。（4）建立風險信息系統(tǒng)和預(yù)警系統(tǒng)、厘定關(guān)鍵風險指標。（5）負責

50、風險信息披露，溝通、協(xié)調(diào)員工培訓和學習的工作。（6）按風險與回報的分析，為各業(yè)務(wù)單位分配風險管理相關(guān)資源。相對于業(yè)務(wù)部門而言，風險管理部門會克服狹隘的部門利益，能夠從企業(yè)整體利益角度考察企業(yè)所面臨的各類風險。此外，風險管理部門還可以綜合平衡各部門風險。企業(yè)在不同的發(fā)展階段，各部門所面臨的風險往往是不同的。而作為風險管理職能部門，則需要根據(jù)一定的原則，將風險分配于不同部門，對每個部門進行風險上限控制。風險管理總監(jiān)（風險經(jīng)理或首席風險官）對風險管理委員會直接負責，但對總經(jīng)理（執(zhí)行總裁）負有匯報責任。同樣，風險管理職能部門經(jīng)理直接對風險管理總監(jiān)負責，但對策略性業(yè)務(wù)部門負責人負有匯報責任。3、企業(yè)風險

51、管理的第三道防線：審計委員會和內(nèi)部審計部門第三道防線涉及一個獨立于業(yè)務(wù)單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關(guān)心的問題，這就是企業(yè)的內(nèi)部審計部門。美國內(nèi)部審計師協(xié)會對內(nèi)部審計所下的定義是：內(nèi)部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增加企業(yè)的價值和改進經(jīng)營。內(nèi)部審計通過系統(tǒng)的方法，評價和改進企業(yè)的風險管理、控制和治理流程的效益，幫助企業(yè)實現(xiàn)其目標。內(nèi)部審計師應(yīng)就管理層的決策提出勸告和質(zhì)疑或表示支持，而不是對風險管理作出決策。依據(jù)上述觀點，內(nèi)部審計師協(xié)會還確定了在企業(yè)風險管理實施中內(nèi)部審計的核心角色及不應(yīng)承擔的角色。其中核心角色包括以下幾點。（1）為企業(yè)風險管理流程提供保障。（2）確保風險得

52、到正確的評估。（3）評估風險管理流程。（4）評估關(guān)鍵風險的報告工作。（5）檢查對關(guān)鍵風險的管理工作。內(nèi)部審計不應(yīng)承擔以下職責。（1）設(shè)定風險承受能力。（2）批準和命令實施風險管理流程。（3）在就風險及風險管理績效提供保障方面承擔管理角色。（4）決定風險應(yīng)對的決策。（5）代表管理層實施風險應(yīng)對措施。（6）接受對風險管理的責任。另外，內(nèi)部審計師學會特別指出內(nèi)部審計還可以承擔上述兩種極端角色之間的其他一些“合理合法的內(nèi)部審計職責”，但前提是要有適宜的安全保障措施存在。（1）協(xié)助風險的識別和評估。（2）指導(dǎo)管理層對風險作出應(yīng)對。（3）協(xié)調(diào)企業(yè)風險管理活動。（4）綜合對風險的報告。（5）維持和完善企業(yè)風

53、險管理框架。（6）領(lǐng)導(dǎo)建立企業(yè)風險管理。（7）制定風險管理戰(zhàn)略，呈報董事會審批?？傊?，內(nèi)部審計可以通過評估風險識別的充分性，評價已有風險衡量的恰當性，以及評估風險防范措施的有效性等三方面參與企業(yè)風險管理工作，不應(yīng)主導(dǎo)企業(yè)的風險管理工作。企業(yè)的內(nèi)部審計工作是對各業(yè)務(wù)部門和風險管理職能部門的風險管理活動進行再監(jiān)督，而不是親自參與每項風險的評估與控制。內(nèi)部審計總監(jiān)對審計委員會直接負責，但對執(zhí)行總裁負有匯報責任。同樣，內(nèi)部審計員直接對內(nèi)部審計總監(jiān)負責，但對各策略性業(yè)務(wù)部門負責人負有匯報責任。風險管理及審計部門的組織結(jié)構(gòu)及職責設(shè)計風險管理體系中風險管理及審計部門的組織結(jié)構(gòu)各部門的職責如下。1、風險管理委

54、員會（1）由董事會正式授權(quán)監(jiān)管風險活動，并須確保行政總裁的風險責任作適當履行。（2）主要職責包括制定符合企業(yè)風險容忍度的風險管理策略，批準風險管理政策及程序。2、風險管理職能部門（1）風險管理職能部門是風險管理委員會的全職執(zhí)行機構(gòu)，通過對逐單交易及風險組合資料的審查及預(yù)先/事后批準來確保風險管理政策和程序得到遵守。（2）通過風險管理經(jīng)理在營運單位的日常工作及風險管理總監(jiān)等參與行政管理執(zhí)委會并對重大事故向行政總裁作出匯報等渠道建立與管理部門（行政總裁/行政管理執(zhí)委會/營運單位）的匯報機制。3、審計委員會（1）由董事會正式授權(quán)對財務(wù)報告和內(nèi)控框架的效率和成效進行獨立評核。（2）審閱財務(wù)報告/資料以

55、確保法律法規(guī)得到遵守。4、內(nèi)部審計部門（1）內(nèi)部審計部門是審計委員會的全職執(zhí)行機構(gòu)，通過周期/臨時審查業(yè)務(wù)部門和職能單位的具體運作來監(jiān)察它們對營運的政策及程序的遵守情況。（2）通過與市場及信貸風險主管保持緊密聯(lián)系，了解確保風險管理政策及程序得以遵守的具體運作過程和相關(guān)文件，以便設(shè)計適當?shù)膶徲嫴襟E和執(zhí)行方法。（3）與風險管理總監(jiān)、信貸風險主管、市場風險主管及營運風險主管等討論分析不遵守風險政策的事件及其產(chǎn)生的風險影響及必要的糾正措施等。風險管理組織體系和企業(yè)目標的關(guān)系建立完善的風險管理組織體系的目的無疑是要保證企業(yè)風險管理目標的實現(xiàn)，保證企業(yè)在可承受的風險水平下運行，從而保證企業(yè)戰(zhàn)略目標的實現(xiàn)。

56、各個企業(yè)的風險管理目標根據(jù)本企業(yè)的實際情況，如戰(zhàn)略定位和發(fā)展階段，會有所不同。但一般企業(yè)風險管理的主要目標包括生存和使風險管理成本最小化。生存是企業(yè)的基本保障，只有生存下去了才能去實現(xiàn)企業(yè)的其他目標。風險管理就是以最小的代價降低企業(yè)風險，所以，風險管理成本最小化也是風險管理目標的一部分。除了上述兩個主要目標，企業(yè)風險管理一般還包括保證資源在損失后的充足性，滿足法律與合同的義務(wù)，等等。風險管理組織體系就是為了實現(xiàn)企業(yè)的這些風險管理目標所設(shè)計的，企業(yè)風險管理組織體系為企業(yè)完善風險管理提供了基礎(chǔ)。風險管理組織體系標準各個企業(yè)根據(jù)自身的具體情況都有適合自己的風險管理組織體系，風險管理組織體系的設(shè)計更像

57、是一門藝術(shù)而不是一門科學。人們?nèi)匀恍枰m宜的決策機構(gòu)，來破除許多企業(yè)中風險管理責任空缺和重疊的僵局。關(guān)鍵是要在現(xiàn)有的管理結(jié)構(gòu)的基礎(chǔ)上發(fā)展，并把企業(yè)的經(jīng)營模式、目標、文化和風險承受能力等因素納入考慮的范圍。在較小的企業(yè)中，風險管理組織機構(gòu)可以像執(zhí)行委員會那樣簡單，通過行使管理特權(quán)來識別風險、排定風險和輕重緩急順序、任命風險責任人、分析缺陷、批準行動計劃和監(jiān)督執(zhí)行結(jié)果。但是，在規(guī)模較大且復(fù)雜的企業(yè)中，則需要設(shè)立風險管理總監(jiān)和獨立的風險管理委員會。建立信用額度信用額度是指在損失發(fā)生前安排好企業(yè)可以得到貸款的條件。事實上，這是企業(yè)與銀行就一項期權(quán)進行談判，內(nèi)容是在某一約定時期內(nèi)按約定利率融通約定金額的

58、貸款。企業(yè)可以在需要時動用信用額度來支付損失。信用額度只能緩解現(xiàn)金需求的壓力，因為貸款必須如期償還，支付損失的負擔最終還是由企業(yè)股東來承擔。此外，銀行對企業(yè)作出提供資金（尤其是當資金量較大時）的保證，可能會收取一個相對較高的利率。建立意外損失基金意外損失基金又稱自?；鸹驊?yīng)急基金，是企業(yè)基于對所面臨風險的識別和衡量，并根據(jù)其本身的財務(wù)能力，預(yù)先提取，用以補償風險事故所致?lián)p失的一種基金。建立意外損失基金是一種自保行為。通常，這種辦法用于處理那些可能引起較大損失，但這一損失又無法直接攤?cè)虢?jīng)營成本的風險。建立意外損失基金的方法不同于將損失直接攤?cè)虢?jīng)營成本。從風險損失產(chǎn)生的背景來看前者是損失發(fā)生之前所

59、采取的措施，而后者僅指損失發(fā)生時或者發(fā)生以后將損失攤?cè)氤杀?；從采取措施的性質(zhì)來看，前者是對風險損失進行補償?shù)挠媱澊胧笳呤菍p失補償?shù)膶嵤┐胧?。此外，前者往往是在后者無法實施，或者有諸多限制時進行的預(yù)先計劃。所以，一般認為，建立意外損失基金（自保）的做法比將損失攤?cè)虢?jīng)營成本更容易，更能解決問題。建立意外損失基金也不同于保險：保險是集合眾多同質(zhì)風險單位分擔損失的一種風險處理方法，屬于風險聚合與轉(zhuǎn)移技術(shù)，而自保屬企業(yè)本身單獨承擔風險的一種技術(shù)；企業(yè)參加保險，在事故發(fā)生時可隨時獲得補償，但自保在基金積累形成之前發(fā)生事故則無法獲得充分的補償；企業(yè)參加保險，在保險責任終止后其已付保險費不能返還，但自

60、保的剩余財產(chǎn)仍屬企業(yè)自身所有。意外損失補償基金的建立既可以采取一次性轉(zhuǎn)移一筆資金的做法，也可以采取定期繳款長期積累的方式。基金的規(guī)模取決于企業(yè)凈現(xiàn)金流的規(guī)模和分布。建立意外損失基金作為風險自留的一項措施，其優(yōu)點主要包括以下幾點。（1）節(jié)省附加保費。由于保險費中含有保險人的經(jīng)營費用，包括保險人經(jīng)營管理費、經(jīng)紀人和代理人的傭金、保險人的正常利潤、對不確定事件的安全邊際等，各項之和稱為附加費用，約占總保費的30%40%。如果企業(yè)采取自保即自行建立意外損失準備金，就可以節(jié)省投保所需發(fā)生的附加保費。（2）促進企業(yè)經(jīng)營穩(wěn)定。建立意外損失基金可以增強企業(yè)補償風險損失的能力，彌補將損失直接攤?cè)虢?jīng)營成本的不足。