重点关注:
第三节 风险管理程序
风险管理程序可分为四个步骤:第一步是风险识别;第二步是对主要风险进行评估;第三步是确定风险评级和应对计划;第四步是风险监察。
风险管理程序要求识别和了解企业面临的各种风险,以评估风险的成本、影响及发生的可能性,并针对出现的风险制定应对办法,制定文件记录程序以描述发生的情况以及实施的纠正举措。
风险管理程序应覆盖整个企业,包括各级人员和各个部门。大型企业可能会组建一个由风险管理专业人员构成的专门小组,而小型企业亦会安排一些人员负责管理整个企业内部的风险管理程序。无论是设立了正规的风险管理部门或是指定了专门的管理者,企业风险管理均涉及众多人员。上述风险管理程序中的四个步骤应在企业的各层面得以执行,并且不同工种的人员均应参与。无论是设在小地方且各种设施不完善的小型企业还是大型企业,均应制定常见的风险管理方法。这对于当今普遍出现的全球机构来说尤为重要。全球机构可能设立了多个经营单位,开展不同的商业经营活动,并在不同国家建立多种设施。一个单位内的风险可能直接对另一单位的风险产生影响或与之相关,但是对其他风险的考虑却可能实际上是独立的。这些常见风险可能在多种情况下出现,比如财务决策失误、客户口昧的变化以及新的政府监管规定。以下将对风险识别、评级及分析作出详解。
一、风险识别
管理层需要充分了解企业所面临的风险。风险管理中最大的问题是没有认识到潜在的障碍威胁。企业需要知道损失来自何处并能够找出受益于损失控制程序的问题领域。然而,风险管理人员不能对未能识别和计量的风险因素采取行动。作为起点,企业应通过正式的检查程序来全面分析风险和损失。这种风险审查允许企业评估真正的成本驱动因素,以便设计适当的损失控制和预防计划,来减少高风险的活动和高成本的损失事件。
因此,管理层应尽力识别所有可能对企业取得成功产生影响的风险,包括整个业务面临的较大或重大的风险,以及与每个项目或较小的业务单位关联的不太主要的风险。风险识别程序要求采用一种有计划的、经过深思熟虑的方法,来识别业务的每个方面存在的潜在风险,并识别可能在合理的时间段内影响每项业务的较为重大的风险。目的并不只是罗列每个可能的风险,而是识别那些可能对运营产生影响的风险。即在合理的时间段内,发生风险的可能性的大小。如果企业不得不面对某种风险,而又不知道发生风险的可能性或后果,则对风险进行识别可能比较困难。
风险识别程序应在企业内的多个层级得以执行。对每个业务单位或项目有影响的风险,可能不会对整个企业产生同样大甚至更大的影响。因此,对整个经济体产生影响的主要风险会分流到各个企业及其独立的业务单位。某些主要风险发生时会产生很大的影响,但发生的频率不高,所以这种风险较难认定。
风险识别的方法之一是集体讨论可能的风险领域。通过这种方法动员知悉情况的人员迅速给予答复,把他们脑子里第一个想到的事情说出来。指定的主持人向每个小组提出一个与风险有关的问题,然后要求小组成员依次说出他们的想法。之后由风险管理小组对集体讨论后识别的所有风险进行复核,并且认定核心风险。由于风险识别程序一直伴随着讨论和分析活动进行,最后认定的风险与最初识别的一组风险相比,可能会有所改变。企业及具体的经营单位最后认定的组织风险,应提供给负责经营和财务管理的人员,以及参与集体讨论的小组。在开始风险评估前,可恰当地对认定结果进行更改。
之后,为识别风险进行的集体讨论的结果,应提供给未参与讨论的其他单位。应按照来自整个企业的评论和讨论,增加己识别风险。风险识别并非详尽的分析和讨论活动,但是每个人在短时间内产生的想法或评论,会对其他人的想法和评论起到抛砖引玉的作用。
启动风险识别程序的一种不错的方法是,找出列明属于企业层面的重要设施及经营单位的高层级的组织结构图。每个重要的经营单位都可能在全球许多地方建立了设施,也可能开展丁多种不同的业务。每个单独的设施也会有其自己的部门或职能,其中一些部门相互之间是密切关联的,而另外一些部门与企业投资几无差别。应在整个企业范围内实施风险识别程序以识别各独立领域的所有风险。诚然,这很困难,有时甚至是比较复杂的任务。而且,企业内处于不同级别的不同成员将从不同的角度考虑某些相同的风险。更高级的管理层一般会注意与经营相关的一组风险,但这些风险的水平不尽相同。但是,所有这些风险至少应被识别出来,并分别按照每一个经营单位及整个企业层面考虑这些风险。
要使风险识别程序生效,就要求不只是简单地向所有经营单位发出邮件,还应要求列出其单位面对的主要风险。对这种要求的一般反应将是给出的答复不一致且涉及范围广泛,并且没有通用的方法。更好的方式是,弄清楚企业内各级别的人员,要求他们担任风险评估人。对每个重大的经营单位,应识别负责运营、财务、会计、信息技术和单位管理的各类主要人员。这些人员将以识别及帮助评估其所在单位的风险为目标,而这些单位应该是被包括在风险识别模型架构之内的。这样的方式可由企业风险管理小组或类似的部门来牵头,比如内部审计部。
二、对主要风险的评估
风险通常是相互依存的。应依据组织结构考虑和评价风险间的相互依存关系。企业应关注企业内各层级的风险,但实际上各层级可能仅对其范围内的风险实施了控制。每个经营单位负责管理其面临的风险,但是可能受到组织结构中上一级单位或下一单位的风险事件的影响。企业的每个经营单位应认识到,自身遇到的许多风险,均可能对企业内其他单位产生影响。
1 识别出对企业的各个层级有影响的重大风险后,下一步是对风险发生的可能性及相对重大程度进行评估。这对于通过集体讨论快速识别的风险尤为重要。可用于评估风险的方法有很多,包括最佳猜想定性法( best-guess qualitative approach,这种方法相对比较快),以及一些详尽的、非常精确的定量方法。
用以评估风险影响的常见的定性方法是制作风险评估系图。风险评估系图识别某一风险是否会对企业产生重大影响,并将此结论与风险发生的可能性联系起来。这种方法能够为确定业务风险的优先次序提供框架。如图 9 -1所示,与影响较小且发生的可能性较低的风险(在图中的点 2)相比,具有重大影响且发生的可能性较高的风险(在图中的点 1)更加亟待关注。每种风险的重大程度及影响会因企业结构的不同而有所差别。
图9 -1 风险评估系图
此外,还有大量工具可用来确定风险对企业的影响,比如情景设计、敏感性分析、决策树 (decision tree)、计算机模拟、软件包和对现有数据的分析。
(1)情景设计。通常借助企业内部的讨论,形成关于未来情况的各种可能的看法。
(2)敏感性分析。该分析从改变可能影响分析结果的不同因素的数值人手,估计结果对这些变量的变动的敏感程度。
(3)决策树。常用于目标管理中,以证实每个阶段存在的不确定性,根据每种可能的结果出现的可能性及包含的现金流量,评估项目的期望值。
(4)计算机模拟。利用概率分布,并重复运行,为某项目识别许多可能的情景和结果。
(5 )软件包。旨在协助风险识别和分析程序。
(6)对现有数据的分析。对现有数据作出分析能够有效地掌握过去风险的影响。
在评估风险时,应留意的是概率与不确定性。特别是在识别出大量风险后,评估小组应逐个考虑风险、可能性以及发生的情况(以概率表示,范围为 0-1 )。需要强调的是,本质上来说,风险可能不会保持不变,也不是 100%会发生。关于概率的另外一个基本规则是,不得将独立的概率估计相加,得出综合估值。
