企业如何强化风险管理——澳大利亚专家论建立风险管理框架,本文主要内容关键词为:风险管理论文,澳大利亚论文,框架论文,专家论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
1.引言
自从1955年,美国的施耐德教授第一次提出了“风险管理(Risk Management)”的概念以后,在经过了40年之久,国际上陆续出现了澳大利亚—新西兰、美国和英国的3个风险管理标准。其中,最早的标准是1995年由澳大利亚和新西兰联合制订的AS/NZS 4360,它明确定义了风险管理的标准程序,这就是通常说的澳新风险管理标准。到目前为止,世界上已有30多个国家和地区在企业中有效地开展了风险管理。实践已经、并且将会进一步证明:在监管严格的金融业或涉及人民生命安全与健康的产业,如:制药与医疗行业、在地下施工的煤炭开采和隧道建筑行业、核电行业等领域,推行风险管理的迫切性应当更强烈,这些企业以风险管理主导内部控制,也许能够更方便地实现自己的战略目标。
建筑行业的资产管理通常涉及由于公司业务扩张而导致的新设备增加以及原有设备的维护。在大多数发达国家,与社区、员工安全和环境保护有关的资产管理的运作程序和系统已经非常成熟。同时,大多数组织将继续提高资产管理能力,但投资回报将是有限的。
目前风险管理是被验证了的经营法则,它带来了一些能更好地进行商业分析的工具和技术,能关注顾客、股东、安全、环境、供应可靠性等的竞争性需要。同时,在关于如何最有效地分配资源问题上,风险管理有助于做出更好的战略决策。
尽管AS/NZS4360标准在某些方面得到了很好的实施,但只有少数风险框架实施报告称自己的风险战略已涵盖企业风险管理的全部。最大的难题就是将更客观、更易于量化的风险评估形式引入到风险管理过程中。
伊恩着重阐述根据风险承受度做出有效决策时会碰到的问题,提出了可行的解决方法,并着重说明了所用数据的质量是进行风险分析的基础。
2.界定风险承受度
一般人以为,风险承受度(Risk Appetite)就是准备或愿意承受的风险总量。在整个组织范围内定义风险承受度是非常困难的,因为风险承受度在同一职责领域的不同层面有着不同的含义,更不要说在不同职责领域了。
为了在商业竞争的领域里给它一个更具体的定义,风险承受度意味着在考虑到公司方针、股东利益及法规政策的情况下,为了达成目标所愿意承担的风险的数量。
风险承受度的定义和实际应用应该普及。它应该被设计成在组织的各个级别层次都能够使用。这就意味可以把资产等级、地点和环境等因素结合起来,为整合各个级别层次的运营提供了良机。
只有当风险承受度是科学和可以测量的,它才会变得有意义。而测量的复杂性来自于对风险承受度的认定要么是纯主观的,要么是纯量化的,或者二者兼备。
这也就是说,如果风险承受度运用于企业层面,经营规则就必须落实到任何一个层面的细节。另一方面,如果风险承受度有其他层面的切入点,在与企业层面汇总的时候,它就必须与适当的数量一致或者相关。
3.风险级别:固有风险、残留风险和目标风险
风险管理包括收集和分析数据,数据量由各组织根据各自的需要所决定。整个风险过程历经固有风险、残留风险和目标风险三个阶段。
这三种风险状态的含义分别如下:
固有风险——是指当失去控制时,“破门而入”的风险。
残留风险——残留的风险数量。如果没有按照预期的计划实施控制,例如预防性维护没有完成,残留风险将上升到固有风险的水平。
目标风险——所期望承受的风险水平,最好设置在风险承受度的水平内。
每一种风险状态都可以开发成可以长期跟踪的指标,来帮助组织机构开发出合适的、成熟的模型,为风险管理是否能够帮助组织达到目标而提供指导。固有风险对于建立潜在失效模型很有帮助。
得到的收益在某种程度上与风险内容以及深度分析风险所付出的努力成正比。例如,个人可以决定从残留风险阶段提升到目标风险阶段的努力是否值得。然而,在某些情况下,个人为了尽到责任与义务,必须将残留风险提升到目标风险。另一个例子是关于控制手段的选择,对于有超过一个的控制手段(例如,工作活动或者需花钱购买的资源)供选择,风险承受度将有助于更好地决策。
4.设置风险阈值
从固有风险到残留风险、再到目标风险的过程,为评估和分析带来许多领域的信息。一些领域需要信息输入,而另一些则是从这些输入信息中产生的计算结果。例如,输入的是残留风险可能性和残留风险的后果,而一般出现在风险矩阵上的分数,即残留风险等级,则是这些数据乘积。
分析的要点之一就是对于更高的残留风险的过滤(或者给予优先考虑)。但是,这也许还不够,还需要考虑为什么它得分高。如果是因为残留风险可能性高于期望值,可能必须增加对于预防风险可能性的控制。或者可能是因为残留风险后果太高,那么就要增加相应的纠正(或者减轻)控制。
设置阈值是为了显示可接受范围内(外)分析和评估的数值。阈值因此被用于排列风险的优先次序,否则,过多的信息会让风险管理变得负荷过重。
利益相关方经常辩论,现场工作人员遭受意外死亡是否可以接受。这是一个情感问题,并且当它关乎健康与安全的时候,就会自然采用“零容忍”方式。这沿袭了被广泛认可的风险承受度中“无死亡”的概念,然而对此的争论确实无法最终定论。统计显示,特别是在一个高危工作行业中,死亡事故是无法避免的。
风险管理提供一个确定风险水平的有序过程,并为分析何处是风险承受度的最佳切入口提供基础。在这个工作中,需要建立避免恶性事故的必要控制手段与测量方法。
这为管理者提供了把员工在工作中受伤而导致的风险降到最小的办法。在许多情况下,这些控制手段都已经到位。例如,为取得教育和职业资格而进行的培训等。所有控制手段都是为避免员工在工作中丧生。
此风险管理方法可被更深入地实施,因为它使危机预警系统能够被察觉,提供了在可能遭受同等恶性事故的操作中能够隔离操作区域的机制,并激发了设法避免潜在灾难事故发生的机制。
风险分类也是建立一个适当的风险框架的一部分工作。例如,应该考虑与服务、名誉损毁、财务风险等相关的风险。并且每一种风险都应该设定有特定的风险承受度阈值,继而成为比较风险分析的一种方法。
其复杂性与工作活动中出现的变量数有关,因此必须在适当的情境下设定风险承受度,以保证它被有效地应用。例如,横跨不同地域运营的组织可能面临从低到高的降雨量,或从少到多的风力,或者污染等等,或者以上的综合影响,这些都将影响风险承受度量。
风险分类界定得越确切,风险模型建立得越实用,风险分析和风险承受度的比较结果就越相关。
5.建立风险阈值模型
北美精算学会出版的论文“企业风险管理的重要性和战略”是一份很好的参考资料。该文提出,风险承受度是公司能够承担、并在延续较长的一段时间内成功处理风险的水平。该文倡导的方法是:公司必须确定它的风险承受度的容量。论文提到了弗雷德·泰万的研究,在其文献中介绍了用上、下限来设定风险承受度。要测试风险的可接受程度,需要计算一系列符合既定的业绩目标的未来成果值。
这引出了风险承受度的测量方法。组织需要建立用于测量风险影响的基础,这取决于操作活动的重点以及利益相关方期望的敏感度。利益相关方除了包括公司内部的人员,还包括公司外部的利益相关方——例如政府管理人员。伊恩参与的一个项目中,在个别项目阶段以及资产管理项目层面,风险承受度得以应用。这样做的意图是将风险承受度界定于企业或商业的基础层面,以使得每个人都能明白风险承受度在工作情景中的含义。
如果实际风险水平超越了风险承受度数量,组织将不能接受。但如果实际风险水平低于风险承受度数量,则是组织可以容忍的。需要设定风险阈值,以便比较风险承受度,来查明风险承受度是在不可接受的区域、还是在可以容忍的区域。这样做的意义是:如果风险承受度被设置在公司守则里,员工就有被暗示的责任去承担策划、设计和实施工作,但如果任何风险发生在可接受范围之外,执行管理团队或其他权威人士就要被通知,这样他们就可以采取适当的行动。
阈值设定包括可能性、后果、风险等级和控制效力(见图1)。
图1 设定风险阈值流程图
可能性的测量单位是个百分比,它表示风险发生的概率,从0%到100%。
后果是指风险发生所产生的影响的严重性。后果的测量单位是美元或美元等价物(有形或无形的)。
当应用有形后果时,风险等级测量单位是货币形式的。当无形后果被应用时,风险等级测量单位是主观值。当风险发生时,不论有否控制,风险等级都是风险发生的概率(%)与影响后果的乘积,以美元或美元等价物表示。
主观数值和(或)定量数值会被用到。风险值或其相应的后果影响值应该根据不同的利益相关方需求来建立,以保证每项都是根据利益相关方的权限等级或利益等级为风险排序。由维护程序、检验以及一些相应程序所组成的控制手段要恰当地用于处理各种风险。
当然,每一个组织都要采用一种适合其所在行业特点的风险矩阵,以及相应的可能性及后果值,并且要设定能够提供有意义的分析结果的风险阈值。
图2 风险过程图谱
图3 风险承受度的风险过程图谱
6.风险承受度的组成部分
风险承受度涉及固有风险、残留风险和目标风险。在风险框架中需要考虑这三类风险,以便确保风险承受度的有效应用。它们是彼此互相独立的,当组织认为其有能力且条件成熟时,可将它们引入到风险分析中。
项月资助方使用一种涉及从固有风险到残留风险的风险过程,然后决定了需要处理风险的因素,并实施了相应的风险控制措施。当控制措施完成时,残留风险即被调整。
——固有风险可以预见的最大损失:失去控制时的最大风险影响。
——固有风险的暴露损失:没有或失去控制时,基于事件发生可能性的最大风险暴露。
——残留风险可以预见的最大损失:取决于现有纠正控制的残留风险的影响。
——残留风险的暴露损失:总额取决于现有的预防与纠正控制措施的残留风险的影响。
——目标风险可以预见的最大损失:在纠正控制的改进措施下目标风险的影响。
——目标风险的暴露损失:总额与预防和纠正控制改进措施有关的目标风险的影响。
MFL(Maximum Foreseeable Loss)是指可以预见的最大损失。当进行风险评级时,结合MFL和风险概率,产生风险暴露损失。一件事情产生一定严重后果的风险暴露损失取决于风险发生的可能性以及它可能造成的损害。
风险承受度执行阶段中建立了一个从固有风险到目标风险状态的规范化管理过程。这对于项目资助方的意义在于,直到风险控制措施被切实执行后,利益相关方才能确定残留风险的等级。适当的方法是将未来的风险设置到可接受的目标等级,并根据当前的控制程度报告残留风险。图3是展示了残留风险与目标风险或预测风险之间的区别。当控制改进活动完成时,残留风险将变得与目标风险水平一样。
可根据企业目标设定风险承受度量。该方法使得组织设置偏好的风险承受度数量,并且确保实施有效的控制而达到该数量;或者可以设定控制的有效性,使得目标风险能够被计算到位(只要目标风险低于风险承受度总数量以下)。风险承受度值和目标风险值相等是可能的。
在伊恩参与的项目中,通过使用风险承受度;项目资助方已经根据资产分布、资产等级以及项目设定了风险预测的情境。风险预测中的风险值取决于最差的情况下的风险数量级。最差的情况也许是更换资产或项目失败等。被选择适于每个预测的风险值也要与企业目前使用的风险管理系统计算引擎中的风险后果值相关。这使得项目资助方可以设置从风险预测等级看来很高、但董事会认为并不高的风险值。
一般期望的情况是控制成本的数量低于影响成本,这就是保险为何成为控制的普遍形式的原因,而保险费通常小于索赔要求的金额。
虽然保险与商业风险不相关,但上述原则仍适用于商业风险管理,控制手段同样是用于减少风险及其后果,以便达到预期的目标。下图表(图4)展示了控制的作用。
图4 控制的作用
许多组织倾向于减少成本及控制不必要的成本开销。另外一种控制开支的办法就是有效地分配现有资源,为制定资产管理策略方案提供了工具。
控制管理应成为组织运作中直观部分,这要求建立一种更精确的测量控制成本的方法,并让员工在风险管理中更有自信地对控制成本进行测量。图5描述了一个更科学地测量收益—成本(或者成本—收益)的简单模型。
该风险模型显然需要应用适当的软件支撑系统,这些软件用来处理风险管理过程中风险分析产生的数据。
图5 效益—成本模型
7.总结
风险管理过程中的风险承受度涉及固有风险、残留风险和目标风险等三个方面。
风险过程的范围需要每个组织自己去决定。因为澳大利亚和新西兰联合制定的AS/NZS 4360风险管理标准不能用作风险认证的基础,所以对于组织的挑战就是要制定和实施适合自己情况、并能满足上下层经营目标的风险管理过程。较好的风险框架应该促使企业产生较好的经营绩效,并且被证明能够成功运作。
风险承受度带来了更高的要求,例如新领域的信息搜集和汇总,给AS/NZS 4360标准增加了复杂性。
风险管理人员因而需要更深入地讨论和解决如何在风险过程中引入更加客观的分析。行政管理部门更倾向于对用量化数值表达的风险暴露做出反应,而不太会对主观描述的风险暴露采取措施。而这对数据质量提出更高的要求,因为更复杂的定量分析形式和汇总工作将分解组织的职能结构,从而使组织职能部门将风险管理提升到新的水平。
当风险管理变得更加客观时,就会给决策另辟蹊径。为了适应更好的组织目标,就要制定良好的风险承受度框架,框架包括以下内容:
——风险承受度引导资产管理计划。
——项目有许多风险,确定哪些风险“正侵蚀”允许的可利用资金。
——通过评估选项和选择最优项来实现对控制措施的全面评估。
——风险承受度将使得风险管理变得更易理解,而不仅仅是“你必须做什么”。
——风险承受度将帮助员工从不同的角度思考问题,而不只是对目前发生的风险做出被动的反应。
伊恩认为风险承受度是风险管理蓝图中的一部分,不仅仅通过风险矩阵建立风险阈值水平,而且风险矩阵中的风险分析结果可以进行比较。通过风险评估,进一步了解风险管理对实现企业战略与经营目标的推进作用。