11条风险评估改善经验,为后疫情时代的企业发展保驾护航

全文共4392字  阅读时长约8分钟

与我们通常所理解的风险是造成不好结果的事件不同,企业风险是业务活动的自然结果,既可以带来负面也可以带来正面的影响,表现为一种不确定性。

风险管理是企业实现战略目标的推动力,因为如果企业能够降低风险所带来的负面影响的可能性,或提高正面影响的可能性,则企业可以承受更大的风险。

企业正是基于这种价值理念而实施风险管理,而风险评估是企业对风险信息展开收集、理解、评估和使用的过程。

中大咨询:11条风险评估改善经验,为后疫情时代的企业发展保驾护航

风险评估是风险管理的基本工具,是了解企业内、外部不确定性潜在后果的重要方法。

然而,很多企业在开展风险评估时往往存在不正式、评估程序不完整、工作层次不够高(不能得到管理层的理解和支持)的问题,从而无法识别影响企业战略和业务目标的风险因素。

而在实践中,很多企业把风险管理工作狭窄地限定在开展年度风险评估上,每年通过风险问卷调查,排出前十大风险,向管理层报告风险列表和风险分布图(热力图),并将风险分配给风险责任人进行管理,风险管理工作就结束了,一直到下一年再次开展风险评估。

这种风险评估实践往往不能够满足风险管理的预期,因而在很多企业沦为了风险管理部门的“作业”。归纳起来,个中的原因主要有:

  风险评估与企业战略和业务活动缺乏一致性

  风险评估计划与各级管理者沟通不足

  风险管理语言不统一,企业管理者难于理解

  过于关注当前或过去的风险,忽略了未来的风险

  风险评估采用的是通用的数据库

  风险排序标准或方法过于简单粗暴

  风险评估所得十大风险得不到管理层的认可

  风险评估报告框架和内容缺少必要的设计

  关键风险应对计划不完整

  收集的风险信息未应用于业务决策过程

  风险评估时间跨度太长,导致风险信息失效

那么,风险评估应当如何开展方能满足企业对风险管理的期望呢?

尤其是在全球新冠疫情肆虐、国内疫情可能反复的巨大不确定性宏观背景下,企业风险评估应当如何操作呢?

通常企业开展风险评估期望达成的目标包括:定义风险术语和评估方法,识别和确定主要风险的优先级别,分配风险管理责任人(风险所有者),对主要风险进行有针对性的分析,制定风险应对计划,并将风险信息整合到业务流程与决策中,帮助企业解决业务问题、实现战略和业务目标。

多年来,我们遵循上述期望为企业开展了众多的风险管理咨询服务。总结近年的咨询案例,我们提炼了11条可以有效改善企业风险评估效果的工作经验。

中大咨询:11条风险评估改善经验,为后疫情时代的企业发展保驾护航


01、充分的风险评估计划与沟通

充分的风险评估计划和及时有效的沟通是风险评估成功的关键。

风险评估计划与沟通应贯穿整个风险评估过程,这个环节应当和风险优先级排序、风险汇报工作花费一样多的时间和精力。

沟通的主要内容有三个层面:

 一是为企业和主要利益相关者定义总体风险管理计划,制定风险评估目标,明确为什么要进行风险评估,设定恰当的风险评估期望,并且让风险评估参与者了解他们在评估过程中的作用;

 二是向风险评估参与者或利益相关者表达风险评估过程中的收益;

 三是应及时向风险评估参与者及管理层传达风险评估结果。


02、定制反映企业特性的风险库

很多企业在开展风险评估时风险库多年不变,这样的风险库往往会遗漏重要的风险类别与风险,而且无法反映企业当前面临的、或潜在的业务趋势、挑战和策略。

正确的做法应当是基于评估时点所收集的风险信息,使用与企业内部文化、风险评估参与者相一致的且易于理解的术语,围绕企业的业务和战略目标来构建风险库。


03、要考虑企业战略的相关性

风险最常见的定义是不确定性对组织目标的影响,而目标是多维度和多层次的。

从对象维度来看,至少包括战略目标、业务目标、流程目标。

因此在风险评估的整个流程中(风险清单拟定、风险优先级排序、风险分析、风险应对计划制定等)考虑与企业战略整合非常重要。


04、匹配风险复杂度的风险分类框架

企业经常会混淆风险类别与风险,例如把财务风险视为风险,而实际上这是一个风险类别,包含资金预算管理风险、资金管理风险、票据管理风险等细分风险。

不同类别的风险有其不同的复杂性,风险描述各不相同,风险责任人不一,风险应对方式也差别很大。

风险的复杂特性要求企业建立与之相匹配的风险分类框架,以便于详细地对风险进行描述,同时有助于确定风险责任人和制定风险应对计划。


05、综合考量的风险优先级标准和评估方法

在一般的风险评估实践中,通常会综合考虑定性和定量的组合评估标准,涵盖财务、运营、品牌、声誉和其他对企业及其行业具有潜在影响的因素,任何只考虑其中一方面的影响因素都会使得风险优先级排序变得不易理解。

而在评估方法方面,各因素的取值范围设置需要一个恰当的范围,取值范围太小往往会导致管理层在填写风险调查问卷时把分数评在取值范围的中间,这会让风险数据汇总处理变得比较麻烦,因为汇总后发现各风险的数值非常接近,排序得到的前十(或N)大风险可能不能反映企业实际情况。


06、优先级排序时考虑企业的风险管理能力

大部分企业一旦得到风险严重性和可能性的大小之后,便会按照风险的相对大小(即风险数值=严重性×可能性)确定风险的优先级。

这种方法针对于某些过往的重要/重大风险或识别的关键风险有一定的合理性,因为人们倾向于把过去发生的事件当作预判未来的因素。

但风险排序除考虑风险的相对大小之外,还应当充分结合企业当前的管理能力,即企业当前的管理措施是否有助于风险控制,以及各项风险的管理能力之间存在什么样的“差距”,考虑管理能力的风险排序将帮助企业更有效、客观地进行资源分配,也使得企业能够对创新、合理的冒险提供一定的支持。


07、设计好风险评估报告的框架和内容

风险评估报告的信息应完整,易于理解并能够突出需要采取应对措施的风险。

从报告的使用者出发(董事会、高级管理层、风险所有者等),风险评估报告至少应当回答以下三个问题:“企业最大的风险是什么”、“谁负责”和“正在做什么”。

一般通过风险优先级排序和风险分布图可以很好的向报告使用者传达风险的大小与分布,但报告的关键还在于提供对风险的洞察力,即深刻理解所识别的关键风险、当前正在采取的措施以及接下来将要处理风险的有关细节。


08、具有深度的风险分析

对于与企业关键战略举措相关的风险,仅仅分析其潜在的风险影响和可能性可能是不够的。

企业还应当通过原因与后果分析、依赖性分析、管理能力分析、情境分析等方法,深入分析风险的复杂性、对整个组织的影响以及战略的相关性,并基于这种分析,给出应对的计划和方案。


09、给出实质的风险应对计划

制定全面、具体而有效的风险应对计划是风险评估的关键组成部分。

很多企业在开展风险评估工作时,会在确定风险优先级并分配了风险责任人之后,将风险应对计划交给风险责任人来制定,并且宣布风险评估程序告一段落。

而此时风险应对计划并未正式确定,风险责任人负责制定风险应对计划只不过是“风险应对计划的计划”,是一份承诺而非计划,与有效管理、监管和报告风险的实质性应对计划不能混为一谈。


10、风险信息的综合应用

风险评估过程会收集到很多的风险信息,但几乎很少看到企业将这些信息应用于风险评估过程之外的用途,例如对信息进行结构化,传达到管理层以辅助企业的商业决策等。

其实风险信息可以整合到众多的业务流程中,包括战略规划、业务计划、资本投资运营、兼并与收购、人员招聘、安全生产、灾备恢复、应急与危机管理等等,管理层对这些收集的信息不应当视而不见,而应充分发挥它们在管理中的作用。


11、注意风险评估的时效性

风险评估是基于风险的视角对企业在某个时间点所“拍下”的管理快照。

如果企业管理层不能在一个相对确定而且较短的时间段内完成风险识别、风险分析、风险排序、风险应对等内容,那么前期收集的风险信息可能很快就会失效,变得不准确乃至不可用。

【案例分析】

广东省某大型公用事业集团成立于2001年,年营收超过100亿,主要业务集中于公用事业、现代服务业、新能源产业三大业务板块,下属各级企业合计80余家。

为推动集团战略规划目标达成,保障企业合法合规经营,该集团风控审计部近年来每年会组织开展风险评估工作,但风险评估结果总是不能得到很好的应用,管理层似乎很少会把风险评估结果视作管理工具或手段,在收到风险评估报告后很快就会遗忘报告的存在。

经过中大咨询的调研分析,我们认为风控审计部与管理层的沟通不足、管理层参与度不深以及管理层对于风险的理解不一致是导致风险评估结果不能真正发挥其作用的根本原因。

中大咨询:11条风险评估改善经验,为后疫情时代的企业发展保驾护航

风控审计部几乎包办了风险评估的大部分工作

风险评估过程涉及风险信息收集、风险识别、风险评估、风险分析与应对等环节。

在开展风险评估工作时,风控审计部的工作计划往往只在分管领导的范围内进行了讨论,并未与其他管理层、部门之间进行深入的沟通,他们更多的是被动接受“工作安排”。

待正式开展风险评估工作时,大部分工作均由风控审计部来完成,管理层往往只参与风险评估问卷的调查。

以上现象在企业相当常见,直接导致了管理层认为风险评估甚至风险管理都是风险管理部门的工作,其他部门、管理层只是参与其中而已,因此对风险评估的结果自然就不会纳入自己的管理日程而被束之高阁。

管理层和其他部门在实际工作中极少应用风险管理的语言,他们对风险管理的本质也缺乏理解的一致性。

我们在调研时,部分管理层、部门负责人会反馈诸如“我们部门基本上不存在什么风险”、“这项风险如果采取了某某措施,实际上就消除了”这样的信息,从这些语境里可以看到管理层对风险的认识是存在偏差的,这也就不难理解管理层很多时候会对风险评估的结果提出质疑,而期望他们将评估结果应用于管理实践就更加困难了。

针对以上分析中大咨询对该企业的风险管理提出了几点举措:

中大咨询:11条风险评估改善经验,为后疫情时代的企业发展保驾护航

● 一是通过多种形式开展风险管理理论与实践方面的培训,让各级管理者了解风险管理及风险评估,统一大家对企业风险管理的认识;

● 二是对风险管理及风险评估工作的开展计划进行充分的沟通,如风险管理年度工作计划、风险评估工作方案等与各级管理层进行深入地交流,并将他们的风险管理期望融入到工作计划、方案中,同时强调风险管理的工作是一个全员参与的过程;

● 三是风险评估的过程要求各方深度参与进来,风险管理部门更多地是以组织者的身份推动风险评估工作开展,不可再一手包办;

● 四是针对风险评估结果中的重大风险、关键风险建立指标预警体系,管理层基于风险的指标预警实现对风险的跟踪管理和应对


12、结束语

风险管理思想引入我国已有十多年的时间了,但纵观国内企业的风险管理实践,理论与实践的融合还有很长的路要走,本文所提风险评估的11条工作经验或是企业风险管理可遵循的改进机会。

任何管理的实践都不是一蹴而就能够达到很高的水平,风险评估也一样,企业需要通过持续的风险评估,逐步去发现问题、改进问题,进而系统优化风险管理体系,实现风险管理对完善企业业务决策过程、支持企业战略目标达成的作用。