风险管理框架应用例子

第三节　风险管理的概念、作用及注意事项

一、什么是风险管理?其实质是什么

ISO《标准》将风险管理定义为，“在风险方面，指挥和管理组织的协调活动”。

风险管理是指一个组织针对风险所采取的指挥、控制的协调活动。国际标准化组织(ISO)对“管理”一直认为是“指挥和控制组织的协调的活动”。其实质是运用管理手段，识别或改变(R、C、P)之间的关系，使“R”向有利于目标实现的方面转化。

可见“风险管理”是企业针对“不确定性对目标的影响”所实施的计划、组织、领导和控制的一系列协调活动。这一活动贯穿于实现目标过程的始终。其目的是抓住机遇、规避威胁，改变不确定性影响目标的关系，较好地实现目标。

二、风险管理框架

风险管理框架是组织内为设计、实施、监测、评审和持续改进风险管理所提供的基础和安排的构成。其中，基础包括方针、目标、对管理风险的授权与承诺;组织安排包括计划、相互关系、责任、资源、过程和活动。ISO《标准》确定的风险管理框架简示如图1-5。

图1-5　风险管理框架

1.授权与承诺

“授权与承诺”是风险管理框架中的第一部分，是整个框架的统领。从图1-5中可以看到，风险管理框架中其他四部分组成了一个过程循环，而“授权与承诺”在循环之上，对整个循环过程具有统领作用。

组织的管理者在“授权与承诺”方面至少应落实以下九个方面的内容:

(1)阐明并签署风险管理方针;

(2)确保组织的文化与风险管理方针相一致;

(3)决定风险管理的绩效指标，该指标应与组织的绩效指标相一致;

(4)风险管理目标与组织的目标和战略相一致;

(5)确保法律法规的符合性;

(6)在组织内的适当层次分配管理责任和职责;

(7)确保风险管理中必要的资源配置;

(8)与所有利益相关方沟通风险管理的益处;

(9)确保管理风险框架持续适宜。

2.风险管理框架的设计

如图1-5所示，在“授权与承诺”的统领之下，组织需要对风险管理框架进行设计。组织在设计自身的风险管理框架时可从以下七个方面入手。

(1)了解组织及其环境。组织在制定风险管理方针而确定范围和风险准则时，必须明确外部环境、内部条件、风险管理过程环境，再制定出切实可行的框架。

(2)建立风险管理方针。包括组织风险管理依据;企业目标方针与风险管理方针联系;管理风险的职责和责任;处理利益冲突方式承诺向有关风险管理提供必要资源;测量和报告风险管理绩效的方式;承诺定期评审和改进管理方针和框架，以及对事件或情况变化的响应。

(3)责任。对风险管理责任。包括识别负有风险管理责任与权利人;对开发、实施、保持管理风险框架负有责任人;风险管理过程中其他职责的人;建立绩效测量外部或内部报告以及升级过程;确保适当程度的承认。

(4)嵌入组织的过程。风险管理应以关联的、有效的和高效率的方式嵌入组织的所有实践和过程。如方针的制定、业务与战略的策划及评审以及变更管理过程。

(5)资源。实施风险管理资源。包括人员、技能、经验和能力;风险管理过程每步需要资源;用于管理风险的过程、方法和工具;已记载的过程和程序;信息和知识的管理系统;培训计划。

(6)建立内部沟通和报告机制。包括适当的风险管理框架关系构成及后续修改;管理框架有效性及结果的内部报告;在适当层次和时间，可以获取相关信息;向内部利益相关方咨询过程。

(7)建立外部沟通和报告机制。包括明确利益相关方;报告要符合法律、监管和治理要求;就沟通和咨询提供反馈和报告;通过沟通建立信任;就危机或突发事件与外部利益相关方沟通。

3.实施风险管理

组织实施风险管理框架，包括:

(1)为实施此框架，确定适当的时间安排和战略;

(2)将风险管理方针和过程应用到组织的过程中;

(3)符合法律和监管的要求;

(4)确保开发和制定目标决策，与风险管理过程的结果相一致;

(5)掌握信息和培训过程;

(6)与利益相关方沟通与咨询，以确保风险管理框架保持适宜。

4.框架的监测与评审

对组织的风险管理框架监测与评审，包括:

(1)按所确定的指标测量风险管理绩效，并定期评审其适宜性;

(2)定期测量风险管理计划的进展，以及进展与计划的偏离;

(3)在组织所处的外部、内部环境下，定期评审风险管理框架、方针、计划是否适宜;

(4)报告风险、风险管理计划的进展，以及组织的风险管理方针遵循情况;

(5)评审风险管理框架的有效性。

5.框架的持续改进

对组织风险管理框架的持续改进提出要求:“以监测和评审的结果为基础，决定风险管理框架、方针、计划如何改进，这些决定应导致组织的风险管理和风险管理文化的改进。”

三、企业实施风险管理有利于企业生存与发展

ISO《标准》中提出了实施风险管理对企业有17项帮助，具体内容如下:

(1)提高组织实现其目标的可能性;

(2)鼓励主动管理;

(3)提高组织内识别、应对风险的意识;

(4)改进对机会和威胁的识别;

(5)符合相关的法律、法规和国际规范;

(6)改进强制性和自愿性报告;

(7)改进治理;

(8)改进利益相关方的信心和信任;

(9)为决策和策划建立可靠的基础;

(10)改进控制;

(11)为风险应对有效的配置和使用资源;

(12)改进运营的有效性和效率;

(13)增强健康与安全行为，以及环境保护;

(14)改进损失预防和对不良事件管理;

(15)使损失最小化;

(16)改进组织的学习;

(17)改进组织的恢复力。

四、企业实施风险管理应遵循11条原则

ISO《标准》第3条指出，组织实施风险管理应遵循以下11条原则:

(1)创造价值;

(2)组织过程整体的一部分;

(3)决策的一部分;

(4)清晰地阐明不确定性;

(5)系统、结构化与适时;

(6)以最可利用的信息为基础;

(7)适应性;

(8)考虑人类与环境因素;

(9)透明、包容;

(10)动态、往复且响应变化;

(11)有助于组织的改进与提升。

五、企业实施风险管理应关注的事项

(一)应关注风险的嵌入性

根据风险普遍性及嵌入性特征，风险是无事不有、无处不在、无时不在，而且风险嵌入各项业务活动之中，包括决策、管理与操作，没有不存在风险的业务。

(二)应关注风险的前瞻性

风险是未发生的潜在风险因素，是影响未来目标的不确定性因素，风险管理是面向未来，管理未来可能发生的风险，而不是已发生的风险，为此，风险管理者必须树立前瞻性的观念，一定要明白把握风险管理就是管理未来!

(三)应关注人的主观能动性

风险是客观存在的，但对风险的认识却是主观的，人对风险的认知越深入越透彻，越能充分改变与运用风险的有利因素，防止不利因素。因此风险管理者必须开动脑筋，充分发挥人的主观能动性，才能实现管理风险的目的。诸葛亮的风险评估及应对，不仅利用大雾机会实施草船借箭，还逃脱了被杀的风险。汶川大地震中安县桑枣中学因牢固树立风险意识，长期持续地开展防灾逃生应急练习，2200多名师生在1分36秒内安全转移，创造了大地震中“零伤亡”的奇迹。这充分说明，人的能动性在防范风险威胁中具有重要作用。

(四)应关注学习性

事物在发展，社会在进步，世上除了“变”是不变因素之外，其他任何事物都在不断地发展与变化。特别是进入信息化社会以来，发展速度更是前所未有。如果不加强学习，不接受新事物，不更新思维方式，就难以认知及应对面临的风险，不仅事业难以成功，身心健康也难以维持。

(五)应关注风险管理的信息性

信息可能涉及风险的存在、风险性质、表现形式、发生的可能性、影响后果的重要性、对风险的评价以及风险接受性和风险管理的应对策略、资源配置与方法选择等，这都与信息密切相关。如果信息不通或有误，就不可能对风险评估做出正确的结论，也就难以采取及时有效的应对措施，机遇难以发现，危险也就难以规避，风险的管理更是无从谈起。