企业如何强化风险管理

——澳大利亚专家论建立风险管理框架

作 者:

作者简介:

原文出处:
上海质量

内容提要:

澳大利亚Corprofit系统公司常务董事、澳大利亚风险管理协会常务理事伊恩·亚伯拉罕斯在他的论文《强化风险管理》中,对于企业如何实施“风险管理”进行了论述。伊恩认为,要成功地进行风险管理,按照AS/NZS 4360风险管理标准的要求,应该在企业管理中“植入”(embedding)风险管理。文章的主要内容介绍了建立动态风险管理框架,企业应该首先建立一份项目的风险清单和分清这些风险的等级,然后根据企业的战略与目标进行分析。要使风险管理真正“植入”,就要将风险管理分解为日常工作任务,并且与公司的目标和战略相一致。伊恩阐述了只有来一个飞跃或者说突破,才能从“危机暴露瞬间的快照式”风险记录,进步到建立有助于管理部门更有效决策的风险管理动态框架。文章对风险承受度提出了具体的定义,那就是为了达到企业的战略与经营目标所能够承受的风险数量,由此使准备实施风险管理的组织和个人更易于理解如何预防风险和如何对风险实施关键控制。文章将风险分为固定风险、残留风险和目标风险三个部分,提出了设置风险阈值、建立各类风险模型和开发阈值模型、分析和检查目标风险值是否能够小于或等于风险承受度值;风险管理是一个动态的过程,要通过评估选项和优化选择来实现对控制措施的全面评估;还要进行成本—效益分析,在诸多风险中有哪些风险正在“合法地侵蚀着”允许的可以利用的资金,通过评估,看企业能否因为开展风险管理而实现预期的战略和经营目标。


期刊代号:F31
分类名称:企业管理研究
复印期号:2009 年 12 期

关 键 词:

字号:

      1.引言

      自从1955年,美国的施耐德教授第一次提出了“风险管理(Risk Management)”的概念以后,在经过了40年之久,国际上陆续出现了澳大利亚—新西兰、美国和英国的3个风险管理标准。其中,最早的标准是1995年由澳大利亚和新西兰联合制订的AS/NZS 4360,它明确定义了风险管理的标准程序,这就是通常说的澳新风险管理标准。到目前为止,世界上已有30多个国家和地区在企业中有效地开展了风险管理。实践已经、并且将会进一步证明:在监管严格的金融业或涉及人民生命安全与健康的产业,如:制药与医疗行业、在地下施工的煤炭开采和隧道建筑行业、核电行业等领域,推行风险管理的迫切性应当更强烈,这些企业以风险管理主导内部控制,也许能够更方便地实现自己的战略目标。

      建筑行业的资产管理通常涉及由于公司业务扩张而导致的新设备增加以及原有设备的维护。在大多数发达国家,与社区、员工安全和环境保护有关的资产管理的运作程序和系统已经非常成熟。同时,大多数组织将继续提高资产管理能力,但投资回报将是有限的。

      目前风险管理是被验证了的经营法则,它带来了一些能更好地进行商业分析的工具和技术,能关注顾客、股东、安全、环境、供应可靠性等的竞争性需要。同时,在关于如何最有效地分配资源问题上,风险管理有助于做出更好的战略决策。

      尽管AS/NZS4360标准在某些方面得到了很好的实施,但只有少数风险框架实施报告称自己的风险战略已涵盖企业风险管理的全部。最大的难题就是将更客观、更易于量化的风险评估形式引入到风险管理过程中。

      伊恩着重阐述根据风险承受度做出有效决策时会碰到的问题,提出了可行的解决方法,并着重说明了所用数据的质量是进行风险分析的基础。

      2.界定风险承受度

      一般人以为,风险承受度(Risk Appetite)就是准备或愿意承受的风险总量。在整个组织范围内定义风险承受度是非常困难的,因为风险承受度在同一职责领域的不同层面有着不同的含义,更不要说在不同职责领域了。

      为了在商业竞争的领域里给它一个更具体的定义,风险承受度意味着在考虑到公司方针、股东利益及法规政策的情况下,为了达成目标所愿意承担的风险的数量。

      风险承受度的定义和实际应用应该普及。它应该被设计成在组织的各个级别层次都能够使用。这就意味可以把资产等级、地点和环境等因素结合起来,为整合各个级别层次的运营提供了良机。

      只有当风险承受度是科学和可以测量的,它才会变得有意义。而测量的复杂性来自于对风险承受度的认定要么是纯主观的,要么是纯量化的,或者二者兼备。

      这也就是说,如果风险承受度运用于企业层面,经营规则就必须落实到任何一个层面的细节。另一方面,如果风险承受度有其他层面的切入点,在与企业层面汇总的时候,它就必须与适当的数量一致或者相关。

      3.风险级别:固有风险、残留风险和目标风险

      风险管理包括收集和分析数据,数据量由各组织根据各自的需要所决定。整个风险过程历经固有风险、残留风险和目标风险三个阶段。

      这三种风险状态的含义分别如下:

      固有风险——是指当失去控制时,“破门而入”的风险。

      残留风险——残留的风险数量。如果没有按照预期的计划实施控制,例如预防性维护没有完成,残留风险将上升到固有风险的水平。

      目标风险——所期望承受的风险水平,最好设置在风险承受度的水平内。

      每一种风险状态都可以开发成可以长期跟踪的指标,来帮助组织机构开发出合适的、成熟的模型,为风险管理是否能够帮助组织达到目标而提供指导。固有风险对于建立潜在失效模型很有帮助。

      得到的收益在某种程度上与风险内容以及深度分析风险所付出的努力成正比。例如,个人可以决定从残留风险阶段提升到目标风险阶段的努力是否值得。然而,在某些情况下,个人为了尽到责任与义务,必须将残留风险提升到目标风险。另一个例子是关于控制手段的选择,对于有超过一个的控制手段(例如,工作活动或者需花钱购买的资源)供选择,风险承受度将有助于更好地决策。

      4.设置风险阈值

      从固有风险到残留风险、再到目标风险的过程,为评估和分析带来许多领域的信息。一些领域需要信息输入,而另一些则是从这些输入信息中产生的计算结果。例如,输入的是残留风险可能性和残留风险的后果,而一般出现在风险矩阵上的分数,即残留风险等级,则是这些数据乘积。

      分析的要点之一就是对于更高的残留风险的过滤(或者给予优先考虑)。但是,这也许还不够,还需要考虑为什么它得分高。如果是因为残留风险可能性高于期望值,可能必须增加对于预防风险可能性的控制。或者可能是因为残留风险后果太高,那么就要增加相应的纠正(或者减轻)控制。

      设置阈值是为了显示可接受范围内(外)分析和评估的数值。阈值因此被用于排列风险的优先次序,否则,过多的信息会让风险管理变得负荷过重。

      利益相关方经常辩论,现场工作人员遭受意外死亡是否可以接受。这是一个情感问题,并且当它关乎健康与安全的时候,就会自然采用“零容忍”方式。这沿袭了被广泛认可的风险承受度中“无死亡”的概念,然而对此的争论确实无法最终定论。统计显示,特别是在一个高危工作行业中,死亡事故是无法避免的。

相关文章: