马爷
新手上路
 
加入时间: 2006/08/05
帖子总数: 2
个人积分: 0 |
| 风险管理 |
楼主  |
|
设计系列组合措施,把企业风险总损失降低到最低程度。
1. 回避风险
对一些风险过大的方案应加以回避。如:
——拒绝与不守信用的厂商业务往来。
——新产品在试制阶段发现诸多问题而果断停止试制。
2. 减少风险
对风险无法回避的,可以设法减少风险。如:
——决策多方案优选和相机替代。
——及时与政府部门沟通获取政策信息。
——在发展新产品前,充分进行市场调研。
——实行设备预防检修制度以减少设备事故。
——在金融,证券投资上进行品种,期限,币种多元化组合。
3. 接受风险
——量力而行,企业在力所能及的范围内承担风险。
——企业用自我保险把风险接受下来,如每月积存一笔基金用于发生事故时抵偿损失。
4. 转移风险
主要措施有:
方案1: 套期保值交易
通过在期货市场在套头买卖交易,规避企业重要原材料,外汇价格波动带来的损失。
方案2: 转包
企业把工程和产品零部件的生产制造转包给其他企业,把部分风险分散出去。
方案3: 向保险公司投保
四, 企业保险
1. 保险种类
(1) 财产和责任保险
——企业财产险。
——汽车保险:
● 责任保险 ● 撞车保险
——火灾保险。
——运输保险:
● 海上运输保险 ● 内地运输保险(铁路,公路,航空,内河)
——工人意外伤害保险。
——第三者(公共)责任保险。
(2) 健康保险:
——大病统筹。
——医疗保险。
——妇女生育保险。
——职业病健康保险。
(3) 职工失业保险。
(4) 人寿保险:
——职工基本养老保险。
——补充性养老保险。
(5) 特殊保险:
——财产征用险。
2. 保险策略
(1) 企业应当根据自身财力,权衡应投保的险种和缴纳的保费,测重总体保费支出和受益金额。
(2) 充分了解各个险种情况并精心选择。由于投保主体可能不同,大多数由企业投保,有的需企业,职工共同缴付。
(3) 当企业效益较好时,可在财税政策允许范围内,为职工投家庭财产保险和补充性养老保险。
(4) 有条件的企业可运用一些定量化的风险决策分析方法和工具,来精算优化保险方案
问题诸多 企业风险管理必须采取协作战略 (1)
作者:Howard A. Schmidt 来源:信息周刊 字体[放大、标准、缩小]
目前,企业对风险管理的理解和管理方式上还存在很多问题,他们必须采取协作战略来管理风险。
在许多组织中,对风险管理进行界定就好像是在做一次罗夏墨迹测验(编者按:Rorschach Test,这是一种古老的心理测验方法,根据被测试者对10幅墨迹图的描述来判断其性格的心理测试)。在定义和描述这一概念时,经理人往往对他们所关注的问题更为敏感,而他们就此问题所阐述的观点也充分反应出他们各自的专业特征、经历和关注焦点。
比如,财务人员关注的往往是资产负债表,业务经理更关心运营和工作流程的情况,律师们则将目光锁定在可能引发风险的合约和执行情况上,而留给首席信息官(CIO)们的职责就是:实时了解和把握对企业运营来说至关重要的信息资产,并找出其中是否存在致命的缺陷和不足。
简而言之,无论是在公共还是私营领域,许多主要企业内部都普遍存在这么一个问题:各部门在对风险的理解和管理方式上还存在很多漏洞,而且对风险的理解也过于狭隘。我相信,这种弊端迟早将招致重大风险。这一现象背后的原因很多,其中最重要的一个原因是:威胁企业利益的风险从本质上说跨越了多个业务部门和支持性部门。
比如,过去企业通常的做法是,CIO与安全经理一起,共同制订安全措施来缓和电脑病毒的侵害,并分头处理内部系统的权限控制和外部黑客的入侵。而现在,企业所面临的则是综合性的攻击方式——起先它只是以病毒的形式呈现,随后便利用网络社会工程技术策略,通过网络钓鱼的伎俩蒙蔽相关人员,从而盗取企业的关键资产。
这种新的风险所带来的后果也是多方面的。其中一个结果就是:由于价值链上各环节相互合作的趋势日益增强,因而,那些以往只能破坏一家企业的攻击行为,现在却可能激发连带效应,不但导致业务运作的中断,而且还会使受攻击的企业连同其在供应链上的关键合作伙伴一起,都遭受灾难性的经济损失。对于此类威胁,我们无法用纯粹的技术方案来解决。人们必须训练出高度的警惕性,拒绝向任何的未授权方提供敏感信息。在业务流程的发展过程中,企业必须尽可能提高对各种技术和社会学入侵手段的防范能力。由此可见,业务经理的参与对风险管理来说也是至关重要的。
另外要注意的是,在签订业务合同时,企业应该让重要的交易伙伴明确,他们不应该从事那些可能导致整个业务网络暴露于不必要的风险之下的活动。这就要求公司法律人员及时提供重要的信息。同时,在实施所有这些措施时,又一定要避免给企业实现关键目标的进程设立障碍。换句话说,有战略眼光的高层主管在给风险管理开“药方”时,不能使“药方”本身的危害比他们所防范的风险还要大。
协同作战
无论在公共还是私营领域,为了同步、协调和整合整个公司范围内的风险管理战略,越来越多具有先见之明的企业建立了跨部门的风险管理委员会。这些委员会从不同角度出发,建立起包括日常监管、运营规划和危机管理在内的风险管理支持架构。除了负责从技术、运营和法律方面确认企业现有及潜在的威胁之外,这些委员会还必须针对这些威胁制订出合理的战略来。
其实,像风险管理委员会这样的组织不乏先例。我也曾在不同的公司中担任过信息安全负责人——先是在微软公司(Microsoft)担任首席安全官(CSO),后来又在电子港湾公司(eBay)担任首席信息安全官(CISO)。我在这两家公司中都曾建立过类似的组织结构。他们的职责是处理非常规的信息安全事务,这些事务对于企业实现运营目标来说格外重要;同时,在大型企业内部统一核心部门的步调方面,他们也发挥了举足轻重的作用。这些委员会不仅有助于企业减少风险,而且,在帮助公众和私营企业提升自身竞争力方面,设立这一架构也被证明是达到目标的最佳之选。
的确,风险和安全问题都受到突发事件和瞬息万变的局势影响,因此往往很难界定。在如今的数字经济环境中,新的问题层出不穷,比如病毒和蠕虫攻击、电脑欺诈、黑客入侵等。这些问题无不威胁着企业的安全生存状态。同样,在新的竞争压力或者新的监管规则下,企业的核心业务战略也不得不随之改变,并明显地影响到企业的现状和考虑问题的重点。
面对不断发展的外界环境,风险管理委员会首先应该承担的最为重要的职责之一,就是记录并监管组织所面临的风险、威胁和弱点,分析组成这些问题的关键要素。而且,如果想要让这一委员会发挥出应有的作用的话,就不能将这种评估和总结仅仅简化为罗列了各种技术威胁的清单了事。事实上,在这个评估过程中,应该让所有对实现目标起到重要作用的部门参与进来,听听他们对风险管理深思熟虑后的看法。
每个组织都不尽相同,所以关于企业如何组建风险管理委员会,也没有一个四海通用的秘方。每个垂直行业都有自己的安全防范和风险管理的侧重点,就是在同一个行业内部,由于公司或政府机构进入市场的具体战略不同,风险管理委员会运作的环境也是千差万别的,其成员组成自然也应该有所不同。
不过,通常说来,CIO和CISO/CSO应该是其中的重要角色。
企业业务网络已经成为大部分组织的中枢神经系统,而CIO也随之成为公司经理人中最常与风险打交道的人。所以,在CIO日益扩大的职责范围之中,我们有理由把风险管理也归并进去。至于这么做是好是坏,就是仁者见仁了。在一个大型组织内部,跨各个层面进行全面的风险管理是不太可能的,因此对于接管这一新职责的CIO来说,与其采取直接管理的方式,倒不如依赖于矩阵式管理法(Matrix-management)更好一点。他们可以创建一个必要的合作框架,以便让组织内部所有关键部门都能共同制订、实施与时俱进的风险管理战略。同时,CISO和CIO还应该承担这么一个重要责任,那就是把安全和风险防范措施放到组织其余成员都能够理解和认可的业务环境中,并在这样的环境中进行宣传和实施。
换句话说,信息和安全管理人员必须与组织内部所有的关键决策者合作,共同强化与普及风险防范意识。不过,如果这方面的讨论技术性过强、过于抽象化或理论化,那么就很难达到目的。要让风险防范成为大家共同的责任,就必须在风险管理委员会的决策指导下采取联合行动。毕竟,风险管理委员会与监管公司治理的蓝带委员会(Blue-ribbon Commission)不同。如果委员会真的希望其推行的计划能够切实降低或者缓和风险的话,那么在计划推行的每个阶段都需要保证所有人的共同参与。
举个实例来说,如果企业决定在下一季度里集中力量实施新的客户关系管理(CRM)项目,从而对工作流程进行重组,那么委员会就应该承担起为各部门提供政策指导的责任,具体则表现为:
● 确认技术上的弱势(由CIO或CISO/CSO负责)。
● 记录新的操作程序中可能存在的安全漏洞(主要由CISO/CSO协同业务经理来共同负责)。
● 起草新的人员培训文件(由人力资源经理和业务经理共同负责)。
● 为内部和外部参与者制订新的法律合同[由法律顾问和首席运营官(COO)负责]。
● 评估政策变化后的安全和风险管理成本。[由首席财务官(CFO)、CIO和CSO共同来负责]。
● 建立有关风险和安全管理的公司政策(由人力资源经理和法律顾问负责)。
● 执行风险管理委员会中来自各部门的成员认为有必要采取的其他措施。
重要的是,风险管理委员会不应该仅仅满足于定期聚会和纸上谈兵,它应该是一个务实的组织,无论是在改进现行运营的过程中,还是在控制业务发展所带来的风险上,都必须积极而有效地做出贡献。
要使风险管委会发挥如上作用,就要充分意识到联合行动的重要性。显而易见,风险管理委员会不可能面面俱到,也不可能时时刻刻都能处理所有的流程、威胁或新的发展带来的问题。但是,一旦它经过企业内部讨论,确认了对企业有广泛而深远影响的问题,那么就有可能发挥重要作用,并使企业在安全防范方面取得显著的进步。CIO的一个重要职责,就是创建一个合作的框架,从而跟踪委员会每个行动方案的进展,并将这些行动融入到“走向市场”(Go to Market)的核心进程中去 |
|
