什么是风险评价风险评价中容易忽视哪些方面

风险评价是根据在风险识别与分析阶段已经确定的风险的基础上,根据风险评估标准(通常为风险发生的影响和风险发生可能性),对风险的重要性程度进行衡量,并进行风险排序的过程。风险评价的结果对于下一步的风险应对是否开展,开展的优先度与时间表,应对基本策略的选择等,均有着直接的影响,是风险应对的基础。

风险评价按照不同的实施阶段,可以分为事前评价、事中评价与事后评价;根据评价的角度不同,可以分为技术评价、经济评价与社会评价;根据评价的方法,又可分为定性评价、定量评价以及定性与定量相结合评价等。结合我们的风险管理实践,我们提出了风险评价中较容易忽视的几个方面:

(1)风险评价需要考虑风险的相关性。由于重大的风险事件其复杂程度较大,会有多个风险相互交织,共同作用,因此在风险评价中,除需要对这些风险进行逐一的评价之外,还需要综合考虑已识别风险之间的相互作用,是否存在正向或逆向的影响,从而对这一类别的风险事件进行综合评价。

企业在开展风险评价中,需要对某些关键的风险分析关联关系,如可以使用简单的表格加备注来分析,以在风险应对中进行综合考虑。如下表所示,“X”表示风险之间存在相关性,“H”表示风险之间高度相关,需要重视与进一步分析,而空白则表示风险之间相关性不明显。对于每一个高度相关,需要进行备注,说明风险之间是如何影响和相互作用的。

2010年1月召开的达沃斯世界经济论坛,提出了当时的全球风险报告,并通过下图非常直观地展示了全球重大风险之间的相关性与相关程度:

资料来源:2011世界经济论坛《全球风险2011》。

(2)风险评价的定量与定性问题。以往的风险评价,往往基于主观判断而进行定性分析,并得出简单的高中低的分析结论。随着风险管理越来越复杂,很多企业试图更准确地评价风险,因此定量标准、评估模型的应用范围逐步扩大,从最初的金融领域对信用风险、市场风险的评估开始扩大到实业领域的经营风险、财务风险等。然而,在实际工作中,尽管已经有不少可以使用的工具和方法,但似乎很难对所有的风险进行量化。参考国内外风险管理项目的实践,我们建议在风险评价的过程中,首先基于同一套定性与定量相结合(但以定性)为主的标准进行风险评级,然后再对某一类或多类重大风险,结合模型与工具进一步量化风险发生的影响与可能性,以支撑风险的应对措施。也就是说,我们可以将风险评价分为两段来考虑:第一段是风险评级与排序,不需要精准的衡量影响与可能性,而主要依据事实、管理层的经验等因素,第二段才是有重点的进一步评价与精准量化。

(3)固有风险与剩余风险的考虑。在评估一项风险的重要性大小的过程中,固有风险是一个必须考虑的方面。COSO的ERM框架把固有风险定义为“在管理层不采取任何措施来改变其发生可能性或影响的情况下,原本就存在的风险”。在风险评估的情景中,固有风险一般都放在考察某项风险对实现经营目标所产生的影响这个大背景中予以考察,而很少有专门规定的管理流程或内部控制机制。

尽管固有风险这个概念很容易表达出来,但是,在风险评估过程中,要实际运用起来却不容易。对于固有风险的评估需要做一个“情景假设”,即“当公司的风险管理措施没有效果时,该风险的影响有多大?”,很多人觉得如果不考虑已有的流程和控制,就很难考虑有关各种风险的问题,所以在实践中,尽管我们一再强调了固有风险的定义,但总有不少管理层仍然无法理解,而导致评分的失误。

为什么需要了解固有风险呢?风险评估人员认为由于对现有风险管理能力效能的集体感知度等因素,某些关键风险对实现经营目标的潜在影响可能会显得微乎其微,因此,采用剩余风险法就可能会忽视了某些关键风险。如果某些关键风险被忽略了,管理层甚至根本就不会意识到它们的存在,错失交流风险应对措施、控制活动和最佳实践方案的良机。另一个重要原因就是,有时候管理层往往认为管理很有效而实际上并非如此,因此我们需要对其管控效果进行测试与验证。如果风险在初始阶段就没有识别出来,又如何进行后续的工作呢?因此固有风险的识别与评价是认清企业所面临的所有重大风险因素,而不论当前管理是否足够有效。