全面风险管理,英文的叫法是Enterprise Risk Management。伴随着国资委《中央企业全面风险管理指引》(简称“指引”)的颁布,该理论已经从理论高台走向很多企业的实践应用。全面风险管理体系,按照COSO企业风险管理框架,有4个目标、8个要素,其中目标设定、风险识别和风险应对是基于COSO内控框架的增项。国资委《指引》则分成5个方面。面对这些不同标准,作为企业又如何选择?“一个中心、两个基本面”就是答案。
“一个中心”与三步走
一个中心,是指风险管理工作的对象,即风险和风险数据库,包括所有的风险事件,以及风险事件的相关信息(如评估阶段的PI打分、定期的调整、发生情况统计、应对计划、执行情况以及对应的指标等),它是一个鲜活的数据库。鲜活意味着库里面的风险是实时的,是动态的,是某个时点截面企业所面临风险的集合。如何构建这个中心,需要考虑三步走。
1、构建RBS(Risk Breakdown Structure,风险分解结构)
RBS引用的是WBS的概念,其核心就是风险的树状分解结构。对一个风险信息中心而言,这个结构锁定了风险分类的层次,只要明确这个结构,每一个具体风险就能够轻而易举地展现在我们面前。通过对某一类风险的分析,可以采取一致的方法来应对相关风险,从而提高风险应对的效率,改善风险应对的效果。
2、引入风险评估,充实RBS
风险评估工作是对RBS结构的填充,一般由辨识——评估——分析3个方面构成。
辨识是根据经验找到风险事件的过程(包括已经发生的和可能发生的)。评估是根据评估标准确定重大风险的过程,通常是应用可能性-影响程度矩阵(P-I Matrix)进行打分和排序,从而确定重大风险。分析是将重大风险建立映射关系的过程,把某一具体风险与业务和管理衔接,从而建立每一个风险与流程,岗位/角色与指标的一一对应关系。
分析是完成“一个中心”不可或缺的环节,很多风险评估工作只出了两维(重要性与影响程度)图谱,标出了重大风险,缺少分析环节,相对风险而言只能算是“只闻其声,未见其人”了。
3、完善“一个中心”多维数据库
风险辨识评估工作不是一年一次的“运动”,而是根据不同风险的特点,在不同的时间周期内进行的。分析工作完成后,需要使用多维(4维以上)数据库来建立一个“鲜活”中心。通过多维结构有效地把每一个风险事件的对应关系固化在系统中。当然,一开始使用数据库来管理风险事件并不是必需的,比如项目风险,可研阶段的风险评估与项目实施阶段的定期评估完全不同。但从汇总集中的角度,项目管理部的风险很难集中到整个公司的风险库中,这可能会导致风险集中分析职能在面对零散的风险数据时不能有效分析风险集合。
建立“一个中心”是风险管理工作的起点,“三步走”体现了风险管理工作需要信息系统来支持运转的理念。对风险管理而言,应用Excel的时代很快就要过去了,“一个中心”从建立伊始就应该考虑建立在信息平台之上。
“两个基本面”——风险策略面
风险策略是对整个风险敞口的一种应对策略,这是整个风险管理体系建设过程中的难点,主要原因还是对风险承受度的理解和应用难度高造成的。在考虑风险策略的设计时,首先要清楚风险策略的内容到底包括什么。当下的解释,风险策略包括三个内容:偏好、承受度和风险管理政策。其中政策是对如何管理某一风险的总体思路和举措。偏好和承受度,在实施过程中很难分开,工作重点应该侧重在以下几个层面:
1、要明确是谁的偏好
对一个企业而言,有太多的利益相关人,所以谈偏好的时候,不能把管理团队的偏好当做公司的风险偏好,董事会、股东、银行的偏好可能有很大的差别。需要做的工作,是一个统一偏好的问题。在具体工作中,应该从重大风险与利益相关人的相关性来考虑,找出关键的利益相关人,这样才会进入到确定偏好的问题上。
2、衔接偏好与承受度
如果只是设计一个问卷,让利益相关人回答偏好哪类风险和厌恶哪类风险,结果没有太大意义。风险的定义是“不确定性对目标的影响”,这个目标就是偏好和承受度的桥梁。要让参与者把所“担心”的风险对主要目标影响的可承受度写出来,这样偏好和承受度就基本确立了。至于目标选择,假设主要利益相关人只有董事会,那么董事会审批的年度工作目标是短期的,公司战略里明确的目标是中长期的,只要把这些目标列出来,管理者或董事们都可以确定他们的风险承受度。承受度不一定一致,比如有一类相对保守,他们定的目标肯定是置信区间(我们可以称之为目标完成率)比较高的,如80%;有一类比较激进,他们定的目标完成率可能只有50%。在这种情况下,就需要补充分析历年目标的完成情况,并根据分析结果制定出重大风险的偏好和承受度指标。
3、承受度与风险定量分析
承受度计算是对统计学的应用,需要有一定的数据基础,比如市场价格就非常典型,能够比较直接地判断出市场价格变化对某一目标的影响。但还有一些风险影响比较间接,需要借鉴专家意见来协助完善,比如通常使用三点分布法来测算某类风险的影响大小。
有了衡量偏好和承受度的方法,落实某风险的总体思路和具体举措就变得可度量了。比如市场风险,对计划期市场风险应使用什么策略,策略中的每一步举措实施可能产生什么影响都可以通过风险管理的基本流程来展示,这正是风险管理的魅力所在。
“两个基本面”——机制面
机制主要是指能够自我循环的闭环。假如拿洗衣机来比喻风险管理体系,要洗的衣服是风险,设定的洗衣程序是风险策略,机械装置就是风险管理机制。不用管放到里面的是什么“衣服”,它都会正常运转。机制的构成包括3个方面:职责、流程、报告。
1、组织和职责的落实
我们在很多项目的实践过程中,总结出分层管理(不同管理层级)、分类 管理(不同业务内容)和集中管理(风险的集中和报告)三原则,这是风险管理组织职责方案设计的基本方针。设计难点在于如何掌握一个灵活度,在前中后台的职能配置上,不同风险可能需要不同对待,这也是建设全面风险管理体系过程中最具挑战性的。对企业而言,组织变革要比改变制度流程难得多,风险管理是一场管理变革,很难照搬,所以在组织职责设计过程中亦步亦趋、边走边改是上策。
2、风险管理流程与内控的差别
流程相对比较好理解,就是如何运转风险评估——风险策略——风险应对——风险监控,实施过程中的难点是落实,也就是明确谁做、怎么做的制度要求和操作手册。目前有一个混淆的概念,认为把内控(关键业务流程)的控制点明确了,就是把风险管理的流程完成了。其实这完全是两个概念,一个标准化程度很高的内控手册可以降低操作风险,但市场价格的变化并不受我们是否完美执行了这个手册而变得可控。相反,跟踪反映风险变化、制定和执行应对措施、监控执行结果才是风险管理流程的应用。
3、风险管理报告
风险管理报告,需要融入日常的经营管理报告,比较常见的是使用红黄绿灯的形式。报告内容上,要结合KPI指标分析。一般经营管理报告中,对KPI的分析是和预算对比,和对标值对比,这些对比本身就涵盖了部分风险揭示的作用。需要尝试增加的,是对未来预期变化方向的判断,这就需要把风险影响的内容叠加到现有指标上,或者设计更适合的KPI指标来替代,承受度应用则通过红黄绿灯反映出来。
风险管理体系建设是一个长期过程,我近10年的工作经历,见证了风险管理从金融行业到非金融行业,从上级要求到企业自发应用的转变过程。我深信,在未来的3-5年内,风险管理应用将得到快速发展,这种发展将与金融衍生产品市场的进一步开放、与中国企业走出去战略紧密结合,为企业的健康、持续、稳定发展保驾护航。
“一个中心”与三步走
一个中心,是指风险管理工作的对象,即风险和风险数据库,包括所有的风险事件,以及风险事件的相关信息(如评估阶段的PI打分、定期的调整、发生情况统计、应对计划、执行情况以及对应的指标等),它是一个鲜活的数据库。鲜活意味着库里面的风险是实时的,是动态的,是某个时点截面企业所面临风险的集合。如何构建这个中心,需要考虑三步走。
1、构建RBS(Risk Breakdown Structure,风险分解结构)
RBS引用的是WBS的概念,其核心就是风险的树状分解结构。对一个风险信息中心而言,这个结构锁定了风险分类的层次,只要明确这个结构,每一个具体风险就能够轻而易举地展现在我们面前。通过对某一类风险的分析,可以采取一致的方法来应对相关风险,从而提高风险应对的效率,改善风险应对的效果。
2、引入风险评估,充实RBS
风险评估工作是对RBS结构的填充,一般由辨识——评估——分析3个方面构成。
辨识是根据经验找到风险事件的过程(包括已经发生的和可能发生的)。评估是根据评估标准确定重大风险的过程,通常是应用可能性-影响程度矩阵(P-I Matrix)进行打分和排序,从而确定重大风险。分析是将重大风险建立映射关系的过程,把某一具体风险与业务和管理衔接,从而建立每一个风险与流程,岗位/角色与指标的一一对应关系。
分析是完成“一个中心”不可或缺的环节,很多风险评估工作只出了两维(重要性与影响程度)图谱,标出了重大风险,缺少分析环节,相对风险而言只能算是“只闻其声,未见其人”了。
3、完善“一个中心”多维数据库
风险辨识评估工作不是一年一次的“运动”,而是根据不同风险的特点,在不同的时间周期内进行的。分析工作完成后,需要使用多维(4维以上)数据库来建立一个“鲜活”中心。通过多维结构有效地把每一个风险事件的对应关系固化在系统中。当然,一开始使用数据库来管理风险事件并不是必需的,比如项目风险,可研阶段的风险评估与项目实施阶段的定期评估完全不同。但从汇总集中的角度,项目管理部的风险很难集中到整个公司的风险库中,这可能会导致风险集中分析职能在面对零散的风险数据时不能有效分析风险集合。
建立“一个中心”是风险管理工作的起点,“三步走”体现了风险管理工作需要信息系统来支持运转的理念。对风险管理而言,应用Excel的时代很快就要过去了,“一个中心”从建立伊始就应该考虑建立在信息平台之上。
“两个基本面”——风险策略面
风险策略是对整个风险敞口的一种应对策略,这是整个风险管理体系建设过程中的难点,主要原因还是对风险承受度的理解和应用难度高造成的。在考虑风险策略的设计时,首先要清楚风险策略的内容到底包括什么。当下的解释,风险策略包括三个内容:偏好、承受度和风险管理政策。其中政策是对如何管理某一风险的总体思路和举措。偏好和承受度,在实施过程中很难分开,工作重点应该侧重在以下几个层面:
1、要明确是谁的偏好
对一个企业而言,有太多的利益相关人,所以谈偏好的时候,不能把管理团队的偏好当做公司的风险偏好,董事会、股东、银行的偏好可能有很大的差别。需要做的工作,是一个统一偏好的问题。在具体工作中,应该从重大风险与利益相关人的相关性来考虑,找出关键的利益相关人,这样才会进入到确定偏好的问题上。
2、衔接偏好与承受度
如果只是设计一个问卷,让利益相关人回答偏好哪类风险和厌恶哪类风险,结果没有太大意义。风险的定义是“不确定性对目标的影响”,这个目标就是偏好和承受度的桥梁。要让参与者把所“担心”的风险对主要目标影响的可承受度写出来,这样偏好和承受度就基本确立了。至于目标选择,假设主要利益相关人只有董事会,那么董事会审批的年度工作目标是短期的,公司战略里明确的目标是中长期的,只要把这些目标列出来,管理者或董事们都可以确定他们的风险承受度。承受度不一定一致,比如有一类相对保守,他们定的目标肯定是置信区间(我们可以称之为目标完成率)比较高的,如80%;有一类比较激进,他们定的目标完成率可能只有50%。在这种情况下,就需要补充分析历年目标的完成情况,并根据分析结果制定出重大风险的偏好和承受度指标。
3、承受度与风险定量分析
承受度计算是对统计学的应用,需要有一定的数据基础,比如市场价格就非常典型,能够比较直接地判断出市场价格变化对某一目标的影响。但还有一些风险影响比较间接,需要借鉴专家意见来协助完善,比如通常使用三点分布法来测算某类风险的影响大小。
有了衡量偏好和承受度的方法,落实某风险的总体思路和具体举措就变得可度量了。比如市场风险,对计划期市场风险应使用什么策略,策略中的每一步举措实施可能产生什么影响都可以通过风险管理的基本流程来展示,这正是风险管理的魅力所在。
“两个基本面”——机制面机制主要是指能够自我循环的闭环。假如拿洗衣机来比喻风险管理体系,要洗的衣服是风险,设定的洗衣程序是风险策略,机械装置就是风险管理机制。不用管放到里面的是什么“衣服”,它都会正常运转。机制的构成包括3个方面:职责、流程、报告。
1、组织和职责的落实
我们在很多项目的实践过程中,总结出分层管理(不同管理层级)、分类 管理(不同业务内容)和集中管理(风险的集中和报告)三原则,这是风险管理组织职责方案设计的基本方针。设计难点在于如何掌握一个灵活度,在前中后台的职能配置上,不同风险可能需要不同对待,这也是建设全面风险管理体系过程中最具挑战性的。对企业而言,组织变革要比改变制度流程难得多,风险管理是一场管理变革,很难照搬,所以在组织职责设计过程中亦步亦趋、边走边改是上策。
2、风险管理流程与内控的差别
流程相对比较好理解,就是如何运转风险评估——风险策略——风险应对——风险监控,实施过程中的难点是落实,也就是明确谁做、怎么做的制度要求和操作手册。目前有一个混淆的概念,认为把内控(关键业务流程)的控制点明确了,就是把风险管理的流程完成了。其实这完全是两个概念,一个标准化程度很高的内控手册可以降低操作风险,但市场价格的变化并不受我们是否完美执行了这个手册而变得可控。相反,跟踪反映风险变化、制定和执行应对措施、监控执行结果才是风险管理流程的应用。
3、风险管理报告
风险管理报告,需要融入日常的经营管理报告,比较常见的是使用红黄绿灯的形式。报告内容上,要结合KPI指标分析。一般经营管理报告中,对KPI的分析是和预算对比,和对标值对比,这些对比本身就涵盖了部分风险揭示的作用。需要尝试增加的,是对未来预期变化方向的判断,这就需要把风险影响的内容叠加到现有指标上,或者设计更适合的KPI指标来替代,承受度应用则通过红黄绿灯反映出来。
风险管理体系建设是一个长期过程,我近10年的工作经历,见证了风险管理从金融行业到非金融行业,从上级要求到企业自发应用的转变过程。我深信,在未来的3-5年内,风险管理应用将得到快速发展,这种发展将与金融衍生产品市场的进一步开放、与中国企业走出去战略紧密结合,为企业的健康、持续、稳定发展保驾护航。
|