风险评估⼯作的现状、问题和思考
概率是⼈类⽆知程度的度量!
—庞加莱法国数学家
前⼀段时间,我们⽤了⼗篇⽂章的篇幅与国内外权威专家讨论了风险的本质,为什么我们愿意花这么长时间和精⼒来讨论⼀个词?因为“风险”是风险管理这个领域最基本最重要的⼀个基础,如果在最最基础上层⾯的认知没有共识,那么在实践应⽤上将出现千奇百怪的问题,当然有⼈也称之为百花齐放,这就是仁者见仁、智者见智了。⽽这样的讨论,其实在线下⼀直还在持续。
就在昨天,在国家会计学院,我与包括ISO风险定义提出者在内的⼏个专家还在激烈的讨论对定义中的每⼀个词的解释,从中午⼀直激辩到夜⾥11点半,还没尽兴,回到家已经半夜了。
今天,不谈枯燥的风险定义,我们想回顾⼀下过去这些年在风险评估⼯作中经历的⼀些疑问和思考,看看能不能给⼤家⼀些启发。
⼀、风险评估的前提
风险评估的前提必须要先确定⽬标,我们说,风险与⽬标是从属关系。没有⽬标,就没有风险;⽬标不
同,则⾯临的风险不同;⽬标变化,则相应的风险跟随变化。但是,如果从风险的⼀般性定义“影响⽬标实现的不确定性”来看,这⾥的⽬标,是⼀个⼀般性的表述,不是专指某⼀个或⼀类⽬标。
就企业⽽⾔,按照COSO的定义,风险是事项发⽣并影响战略和商业⽬标实现的可能性。这⾥的⽬标,就明确为企业的战略和商业⽬标。如果⽤我们上⾯的⼀般性定义,可以表述为影响企业战略和商业⽬标实现的不确定性。
过去这些年,最开始我们到企业中去识别风险的时候,⼈们会只关注损失和不确定性,⽽忽略了与⽬标的关系,所以导致识别出的风险结构很杂乱,没有⼀个清晰的依附主体(不明⽩为什么ISO9000将风险定义中的⽬标去掉)。在后来的⼯作中,我们风险评估之前⾸先要做⼀步就是明确⽬标,有的企业⽬标⾮常明确,有的则相对隐晦,有的是定性的,有的是定量的。另外,就企业⽬标⽽⾔,实际是⼀个⽬标体系结构,⼤⽬标就⼜可以分解为⼆级⽬标和更低级的⼩⽬标。⽽风险,就是嵌套在这些不同级别的⽬标之上。
那制定⽬标的过程有没有风险?当然有,⽽且这类风险还是对企业影响⼒最⼤的风险,因为涉及到决策和判断,都是领导层在关注,可能我们当前履⾏风险管理职能的⼈接触的少,但这⼀部分却是最应该进⾏充分的风险评估的环节。前期在好多企业中,风险管理职能通过⼯作感觉⽆⼒改变⼀些现状,就是因为在定⽬标和决策过程中没有进⾏充分的风险评估,埋下的隐患是后⾯通过再多的努⼒也弥补不回来的。所以这也是我⼀直强调风险管理必须⼀把⼿重视,为决策服务的原因。
⼆、如何描述风险
这是⼀个看上去⼗分简单,实际却⾮常不容易做好的⼯作。如果所有⼈对什么是风险还没有达成⼀致的话,那描述风险就显得更不容易。所以,⼀般企业开展风险管理⼯作的第⼀步是统⼀风险语⾔。⽐如明确什么是风险、如何描述风险、如何进⾏风险分类、风险评估标准······,这还都是技术层⾯的,再加上组织层⾯的⼯作,其实还是个挺复杂的事。
前些年描述风险典型的表现⽅式是:原因(驱动因素)+结果(影响)的⽅式,即......情形发⽣,导致.......。
前期我们花了那多时间讨论定义,有⼈可能觉得有点太学术了,但对风险定义的⽅式不同,对风险的描述差别是⾮常⼤的。
我们举个例⼦说明:
在当前的国际背景下,如果美国和伊朗开战,将导致⽯油价格的波动,对某些中国能源企业的收益将会造成影响。
如果我们认为风险是对⽬标不利影响的不确定性,那我们的风险就可以描述为:美伊战争,导致公司收益的下滑;如果我们将风险定义为影响⽬标的不确定性,那风险可以描述为:美伊战争,导致公司
收益的波动。
⼤家可以体会⼀下差别。
三、风险评估的基本流程
风险评估的基本流程包括:风险识别、风险分析、风险评价,这三项内容⼀般表述为由前⾄后的三个步骤,但这三个步骤顺序却不是⼀成不变的,我们可以根据情况需要对这三个步骤进⾏重新组合。⽤ISO31000最新版中的描述,这是⼀个相互交织、反复迭代的过程。
另外,识别、分析、评价,这是⼀个通⽤的评估基本流程,是风险管理⼯作的⼀部分。可以嵌⼊任何⼀个有风险存在或分析问题的管理环境中。
前期有些专家认为,内部控制体系中也需要进⾏风险识别、分析、评价等⼯作,所以内部控制包含了风险管理。这是不对的,内部控制包含了风险评估的基本流程并不能得出内部控制包含风险管理的结论。
在基本流程⾥需要重点提⽰的是,在风险分析中需要有风险相关性的分析,这部分⼯作其实是⾮常复杂的,因为风险往往不是孤⽴的,它们之间是相互交错的。我们描述风险以原因+结果的⽅式,有可能这⾥的原因是前⾯的结果,这⾥的结果,⼜是下⼀步的原因,这是⼀个链式结构;在仔细分析发现链
和链之间的节点也有关系,⼜形成了⼀个⽹状结构;再分析发现,⽹和⽹之间⼜有节点之间的联系,⼜形成了⼀个⽴体空间结构。多年前我曾经为此困扰不已,发现可能只有神经⽹络可以描述这样的交错情景。
前⼀段时间,有朋友在⾥问我关于风险评估前后关系的问题,我随性给他写了⼀副对联:
上联:因果因果因因果;
下联:果因果因果果因;
横批:亦因亦果
我没有和他开玩笑,我对此真的是深有体会的。后来,我⾃⼰思考了⼀下如何处理这种情况:第⼀,要尽量保证并列关系的风险进⾏分类时处于⼀个层⾯;第⼆,分解到可管理的程度处终结。
四、风险评价维度
我们最常⽤的风险评价的两个维度是发⽣可能性和影响程度。我们通过各种各样的⽅式得到两个维度的评价结果,如资料分析、调查问卷、访谈、专家意见、研讨会、头脑风暴等,从最低⼀级的风险事件建⽴模型计算出最终对风险的评价结果。但是,就像我在之前的⽂章中提到的,除了⾦融领域和少
量可量化的风险外,在⼀般企业类型中,⼤部分的管理风险的评价结果的⽬的,都是⼀个相对重要性排序,类似于利⽤层次分析法(AHP)得出了两两相⽐的相对重要程度的概念。
因为不管使⽤何种⼿段,对于这类风险,你最后得出35%的概率和40%的概率⼏乎都是主观认定的,只不过⼤家⼀起拍脑袋显得参与感和仪式感更强⽽已。所以最后的风险评估结果,以及在此基础上得出的重⼤风险、重要风险,都是⼀个相对重要性排序。
其次,根据我们之前的经验,对⼀个风险事件进⾏可能性和影响程度的评价,也有诸多有待明确的问题。⽐如说,对概率的判断到底是对因出现的概率判断还是由因导致果的概率,还是导致不同情况下不同果的概率?
我们前些年在企业交流,我们列出⼀个事件,有时会指出⼀个⽬前的现状或情形可能会导致哪些问题出现,企业有些领导不同意,认为我们在讲问题,批评他们,所以讲所有对现状的描述前⾯加⼀个“如果”,表明这不是⽬前的情况,是未来可能出现的情况。
很多⼈说不清楚,所以我刚才说⼤家都是拍脑袋,谁也说不明⽩就都不深究了。后来思考之后把逻辑理了⼀下:
风险事件=原因+结果,如果对其进⾏可能性评价时应该是原因发⽣的可能性P*结果(唯⼀性)的可能
性P。如果原因是现状描述,那可能性P=1;如果结果的可能性确定,那结果P=1;但两个不能同时等于1,确定的情形⽽不是风险了。美伊战争
如果结果不是唯⼀的,那就需要按照结果的不同概率导致的不同结果,⽤⼀个分布来表⽰和计算了。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论