導讀:想象一下�,你正在玩一場策略游戲�����,目標是建立一座堅不可摧的城堡�����。但在這場游戲中,沒有明確的目標��,你就不知道該如何布置防御����,也不知道哪些威脅最需要關注����。這就是風險評估的前提——沒有目標,風險就無從談起�����。目標不同,風險也隨之變化�����;目標調整�����,風險也跟著“跳舞”��。接下來我們一起探討如何識別、描述和評估這些風險���,看看能不能給大家對如何做風險評估帶來一些啟發�。
風險評估的前提必須要先確定目標,我們說���,風險與目標是從屬關系��。
沒有目標���,就沒有風險�;
目標不同�,則面臨的風險不同;
目標變化�,則相應的風險跟隨變化。
但是���,如果從之前經我改造后的風險一般性定義:
“影響目標實現的不確定性���?���!?/span>
Uncertainly of achieving objectives
這里的目標�����,是一個一般性的表述,不是專指某一個或一類目標��,也不是指的收益或者虧損的目標��。
就企業而言�,按照COSO的定義:
風險是事項發生并影響戰略和商業目標實現的可能性���。
這里的目標�����,就明確為企業的戰略和商業目標�。如果用我們上面的一般性定義�,可以表述為影響企業戰略和商業目標實現的不確定性。
過去這些年,最開始我們在企業中去識別風險的時候�,人們會只關注損失的可能性�����、不確定性,而忽略了與目標的關系,所以導致識別出的風險結構很雜亂����,沒有一個清晰的主體概念����。
在后來的工作中�����,我們風險評估之前首先要做一步就是明確目標�,有的企業目標非常明確���,有的則相對隱晦���,有的是定性的�,有的是定量的。另外,就企業目標而言��,實際是一個目標體系結構�,大目標就又可以分解為二級目標和更低級的小目標���。
而風險�,就是嵌套在這些不同級別的目標之上。
那制定目標的過程有沒有風險���?
當然有,而且這類風險還是對企業影響力最大的風險���,因為涉及到決策和判斷,都是領導層在關注�,可能我們當前履行風險管理職能的人接觸的少�����,但這一部分卻是最應該進行充分的風險評估的環節。
前期在好多企業中,風險管理職能通過工作感覺無力改變一些現狀��,就是因為
在定目標和決策過程中沒有進行充分的風險評估��,埋下的隱患是后面通過再多的努力也彌補不回來的���。
所以這也是我一直強調風險管理必須一把手重視�����,為決策服務的原因。
這是一個看上去十分簡單��,實際卻非常不容易做好的工作��。如果所有人對什么是風險還沒有達成一致的話���,那描述風險就顯得更不容易���。所以,一般企業開展風險管理工作的第一步是統一風險語言�����。
比如明確什么是風險��、如何描述風險����、如何進行風險分類、風險評估標準······��,這還都是技術層面的����,再加上組織層面的工作,其實還是個挺復雜的事��。
前些年描述風險典型的表現方式是:
原因(驅動因素)+結果(影響)的方式�,即......情形發生,導致.......��。
我們舉個例子說明:
在當前的國際背景下�,如果美國和俄羅斯開戰,將導致石油價格的波動���,對某些中國能源企業的收益將會造成影響。
如果我們認為風險是對目標產生不利影響的不確定性�,那我們的風險就可以描述為:
美俄戰爭�����,導致公司收益的下滑;
如果我們將風險定義為影響目標的不確定性����,那風險可以描述為:
美俄戰爭��,導致公司收益的波動。
大家可以體會一下差別����,在金融業,我們習慣用波動的幅度來表示風險大小,就是第二種定義方式的體現��。
2025年正在修訂的ISO31000國際風險管理標準中���,會明確解釋在不同領域通常理解的不確定性�����。
風險評估的基本流程包括:
風險識別�、風險分析����、風險評價,這三項內容一般表述為由前至后的三個步驟����,但這三個步驟順序卻不是一成不變的��,我們可以根據情況需要對這三個步驟進行重新組合。
用ISO31000最新版中的描述�,這是一個相互交織�����、反復迭代的過程。
另外,識別��、分析����、評價,這是一個通用的評估基本流程,是風險管理工作的一部分�?����?梢郧度肴魏我粋€有風險存在或分析問題的管理環境中�。
前期有些專家認為,內部控制體系中也需要進行風險識別���、分析、評價等工作,所以內部控制包含了風險管理�。
這是不對的����,內部控制包含了風險評估的基本流程并不能得出內部控制包含風險管理的結論�,內部控制中的“風險”和風險管理中的“風險”是不同的。
在基本流程里需要重點提示的是,在風險分析中需要有風險相關性的分析�,這部分工作其實是非常復雜的����,因為風險往往不是孤立的,它們之間是相互交錯的。
我們描述風險以原因+結果的方式�����,有可能這里的原因是前面的結果����,這里的結果,又是下一步的原因,這是一個鏈式結構;在仔細分析發現鏈和鏈之間的節點也有關系,又形成了一個網狀結構��;再分析發現��,網和網之間又有節點之間的聯系��,又形成了一個立體空間結構。多年前我曾經為此困擾不已,發現可能只有神經網絡可以描述這樣的交錯情景��。
前一段時間���,有朋友在群里問我關于風險評估前后關系的問題�����,我隨性給他寫了一副對聯:
上聯:因果因果因因果;
下聯:果因果因果果因;
橫批:亦因亦果
我沒有和他開玩笑���,我對此真的是深有體會的。后來���,我自己思考了一下如何處理這種情況:
第一,要盡量保證并列關系的風險進行分類時處于一個層面���;
第二,分解到可管理的程度處終結��。
我們最常用的風險評價的兩個維度是發生可能性和影響程度����。我們通過各種各樣的方式得到兩個維度的評價結果,如資料分析���、調查問卷、訪談�����、專家意見�、研討會、頭腦風暴等�,從最低一級的風險事件建立模型計算出最終對風險的評價結果�。
但是�����,就像我在之前的文章中提到的��,除了金融領域和少量可量化的風險外,在一般企業類型中��,大部分的管理風險的評價結果的目的�����,都是一個相對重要性排序,類似于利用層次分析法(AHP)得出了兩兩相比的相對重要程度的概念���。
因為不管使用何種手段,對于這類風險�,你最后得出35%的概率和40%的概率幾乎都是主觀認定的��,只不過大家一起拍腦袋顯得參與感和儀式感更強而已。所以最后的風險評估結果����,以及在此基礎上得出的重大風險��、重要風險,都是一個相對重要性排序����。
其次�����,根據我們之前的經驗����,對一個風險事件進行可能性和影響程度的評價����,也有諸多有待明確的問題。比如說�����,對概率的判斷到底是對因出現的概率判斷還是由因導致果的概率����,還是導致不同情況下不同果的概率����?
我們前些年在企業交流,我們列出一個事件�,有時會指出一個目前的現狀或情形可能會導致哪些問題出現���,企業有些領導不同意�����,認為我們在講問題,批評他們,所以講所有對現狀的描述前面加一個“如果”�,表明這不是目前的情況���,是未來可能出現的情況���。
很多人說不清楚�����,所以我剛才說大家都是拍腦袋,誰也說不明白就都不深究了。后來思考之后把邏輯理了一下:
風險事件=原因+結果�����,如果對其進行可能性評價時應該是原因發生的可能性P*結果(唯一性)的可能性P�。
如果原因是現狀描述,那可能性P=1�;如果結果的可能性確定����,那結果P=1�����;但兩個不能同時等于1,確定的情形就不是風險了����。
如果結果不是唯一的�����,那就需要按照結果的不同概率導致的不同結果,用一個分布來表示和計算了�����。
我們常用的風險評估顯示方式就是風險圖譜,或者叫風險雷達圖�����、風險熱圖��,這是其中還算比較細致的一個:
我們之前通過了風險本質的大討論��,雖然我們前些年就提出了風險的雙面性影響����,但是過去這些年的所有的實踐����,還是沒有跳出傳統的風險認知范疇�����,談論的風險還是集中在風險的負面影響����。從如上這個圖中�����,所謂的影響程度其實是指造成損失的嚴重程度��,我們是無法在這個圖中區分一個風險的正面影響和負面影響的。
所以���,如果要真正識別那些有正面影響的風險,比如使用如下這樣的圖譜方式才可以讓風險管理從業者真正具備雙面性思維���。
再有,對于風險的評價結果只根據風險的風險水平=可能性*影響程度�����,已經遠遠不能滿足當下對風險的認知判斷了���,比如我們對可能性=1��、影響程度=5�,與可能性=5����、影響程度=1�����,兩個事件�����,雖然風險水平一樣,但是特性完全相反。
第一個屬于黑天鵝風險����,而第二個屬于金絲猴風險��,重要程度要低得多。
另外,還需要根據組織的適應性�、風險影響的速度和持續時間��、組織的恢復能力等綜合衡量。
返回列表
