重點關注:
第三節 風險管理程序
風險管理程序可分為四個步驟:第一步是風險識別;第二步是對主要風險進行評估;第三步是確定風險評級和應對計劃;第四步是風險監察。
風險管理程序要求識別和了解企業面臨的各種風險,以評估風險的成本、影響及發生的可能性,并針對出現的風險制定應對辦法,制定文件記錄程序以描述發生的情況以及實施的糾正舉措。
風險管理程序應覆蓋整個企業,包括各級人員和各個部門。大型企業可能會組建一個由風險管理專業人員構成的專門小組,而小型企業亦會安排一些人員負責管理整個企業內部的風險管理程序。無論是設立了正規的風險管理部門或是指定了專門的管理者,企業風險管理均涉及眾多人員。上述風險管理程序中的四個步驟應在企業的各層面得以執行,并且不同工種的人員均應參與。無論是設在小地方且各種設施不完善的小型企業還是大型企業,均應制定常見的風險管理方法。這對于當今普遍出現的全球機構來說尤為重要。全球機構可能設立了多個經營單位,開展不同的商業經營活動,并在不同國家建立多種設施。一個單位內的風險可能直接對另一單位的風險產生影響或與之相關,但是對其他風險的考慮卻可能實際上是獨立的。這些常見風險可能在多種情況下出現,比如財務決策失誤、客戶口昧的變化以及新的政府監管規定。以下將對風險識別、評級及分析作出詳解。
一、風險識別
管理層需要充分了解企業所面臨的風險。風險管理中最大的問題是沒有認識到潛在的障礙威脅。企業需要知道損失來自何處并能夠找出受益于損失控制程序的問題領域。然而,風險管理人員不能對未能識別和計量的風險因素采取行動。作為起點,企業應通過正式的檢查程序來全面分析風險和損失。這種風險審查允許企業評估真正的成本驅動因素,以便設計適當的損失控制和預防計劃,來減少高風險的活動和高成本的損失事件。
因此,管理層應盡力識別所有可能對企業取得成功產生影響的風險,包括整個業務面臨的較大或重大的風險,以及與每個項目或較小的業務單位關聯的不太主要的風險。風險識別程序要求采用一種有計劃的、經過深思熟慮的方法,來識別業務的每個方面存在的潛在風險,并識別可能在合理的時間段內影響每項業務的較為重大的風險。目的并不只是羅列每個可能的風險,而是識別那些可能對運營產生影響的風險。即在合理的時間段內,發生風險的可能性的大小。如果企業不得不面對某種風險,而又不知道發生風險的可能性或后果,則對風險進行識別可能比較困難。
風險識別程序應在企業內的多個層級得以執行。對每個業務單位或項目有影響的風險,可能不會對整個企業產生同樣大甚至更大的影響。因此,對整個經濟體產生影響的主要風險會分流到各個企業及其獨立的業務單位。某些主要風險發生時會產生很大的影響,但發生的頻率不高,所以這種風險較難認定。
風險識別的方法之一是集體討論可能的風險領域。通過這種方法動員知悉情況的人員迅速給予答復,把他們腦子里第一個想到的事情說出來。指定的主持人向每個小組提出一個與風險有關的問題,然后要求小組成員依次說出他們的想法。之后由風險管理小組對集體討論后識別的所有風險進行復核,并且認定核心風險。由于風險識別程序一直伴隨著討論和分析活動進行,最后認定的風險與最初識別的一組風險相比,可能會有所改變。企業及具體的經營單位最后認定的組織風險,應提供給負責經營和財務管理的人員,以及參與集體討論的小組。在開始風險評估前,可恰當地對認定結果進行更改。
之后,為識別風險進行的集體討論的結果,應提供給未參與討論的其他單位。應按照來自整個企業的評論和討論,增加己識別風險。風險識別并非詳盡的分析和討論活動,但是每個人在短時間內產生的想法或評論,會對其他人的想法和評論起到拋磚引玉的作用。
啟動風險識別程序的一種不錯的方法是,找出列明屬于企業層面的重要設施及經營單位的高層級的組織結構圖。每個重要的經營單位都可能在全球許多地方建立了設施,也可能開展丁多種不同的業務。每個單獨的設施也會有其自己的部門或職能,其中一些部門相互之間是密切關聯的,而另外一些部門與企業投資幾無差別。應在整個企業范圍內實施風險識別程序以識別各獨立領域的所有風險。誠然,這很困難,有時甚至是比較復雜的任務。而且,企業內處于不同級別的不同成員將從不同的角度考慮某些相同的風險。更高級的管理層一般會注意與經營相關的一組風險,但這些風險的水平不盡相同。但是,所有這些風險至少應被識別出來,并分別按照每一個經營單位及整個企業層面考慮這些風險。
要使風險識別程序生效,就要求不只是簡單地向所有經營單位發出郵件,還應要求列出其單位面對的主要風險。對這種要求的一般反應將是給出的答復不一致且涉及范圍廣泛,并且沒有通用的方法。更好的方式是,弄清楚企業內各級別的人員,要求他們擔任風險評估人。對每個重大的經營單位,應識別負責運營、財務、會計、信息技術和單位管理的各類主要人員。這些人員將以識別及幫助評估其所在單位的風險為目標,而這些單位應該是被包括在風險識別模型架構之內的。這樣的方式可由企業風險管理小組或類似的部門來牽頭,比如內部審計部。
二、對主要風險的評估
風險通常是相互依存的。應依據組織結構考慮和評價風險間的相互依存關系。企業應關注企業內各層級的風險,但實際上各層級可能僅對其范圍內的風險實施了控制。每個經營單位負責管理其面臨的風險,但是可能受到組織結構中上一級單位或下一單位的風險事件的影響。企業的每個經營單位應認識到,自身遇到的許多風險,均可能對企業內其他單位產生影響。
1 識別出對企業的各個層級有影響的重大風險后,下一步是對風險發生的可能性及相對重大程度進行評估。這對于通過集體討論快速識別的風險尤為重要。可用于評估風險的方法有很多,包括最佳猜想定性法( best-guess qualitative approach,這種方法相對比較快),以及一些詳盡的、非常精確的定量方法。
用以評估風險影響的常見的定性方法是制作風險評估系圖。風險評估系圖識別某一風險是否會對企業產生重大影響,并將此結論與風險發生的可能性聯系起來。這種方法能夠為確定業務風險的優先次序提供框架。如圖 9 -1所示,與影響較小且發生的可能性較低的風險(在圖中的點 2)相比,具有重大影響且發生的可能性較高的風險(在圖中的點 1)更加亟待關注。每種風險的重大程度及影響會因企業結構的不同而有所差別。
圖9 -1 風險評估系圖
此外,還有大量工具可用來確定風險對企業的影響,比如情景設計、敏感性分析、決策樹 (decision tree)、計算機模擬、軟件包和對現有數據的分析。
(1)情景設計。通常借助企業內部的討論,形成關于未來情況的各種可能的看法。
(2)敏感性分析。該分析從改變可能影響分析結果的不同因素的數值人手,估計結果對這些變量的變動的敏感程度。
(3)決策樹。常用于目標管理中,以證實每個階段存在的不確定性,根據每種可能的結果出現的可能性及包含的現金流量,評估項目的期望值。
(4)計算機模擬。利用概率分布,并重復運行,為某項目識別許多可能的情景和結果。
(5 )軟件包。旨在協助風險識別和分析程序。
(6)對現有數據的分析。對現有數據作出分析能夠有效地掌握過去風險的影響。
在評估風險時,應留意的是概率與不確定性。特別是在識別出大量風險后,評估小組應逐個考慮風險、可能性以及發生的情況(以概率表示,范圍為 0-1 )。需要強調的是,本質上來說,風險可能不會保持不變,也不是 100%會發生。關于概率的另外一個基本規則是,不得將獨立的概率估計相加,得出綜合估值。
