到了每一年的年末,许多企业会开展下一年企业年度风险评估。评估的形式基本上是这样的:负责风险管理的部门给出一份风险清单,并给出风险评分量表,邀请企业各部门派代表参加评分,通常是发放Excel表格,各部门代表在Excel上输入评分,最后负责风险管理的部门收集和汇总Excel表格,形成这家企业下一年企业年度风险评估结果,制作风险评估矩阵(即风险热图)并撰写年度风险评估报告。通过开展年度风险评估,企业可以了解企业将会遭遇到的风险的特征,提前制定风险管理策略和管控措施。
下边这两张图是一家企业使用我们开发的风险登记簿系统(RiskRegister)制作的风险热图,一张图是2021年企业年度风险评估,另一张图是2020年企业年度风险评估。从两张图看到,两年的风险评估结果差别不是很大。
企业在开展年度风险评估的时候,需要对一些事项加以注意,否则风险评估的质量将会受到影响。
第一,风险清单中关于风险的描述要具体,最好不要用综合评述性的语言描述风险。参加风险评分的各部门人员不见得很了解风险的描述规则,当他们看到很“平淡的”综合性风险描述时,往往不会产生深入的思考,而是凭借自己“最直接的方式”去理解、去评分,这样得出的分数不见得真实反映了风险的真实状况。
第二,分析风险使用的顺序量表(例如概率和影响)的界定要清楚,并且最好有量化的标准。基于概率影响矩阵的风险评估方法是定性的风险评估方法,这种方法本身存在较大的判断主观性和任意性问题,例如对于“一般”和“高”这些等级,不同的人有不同的判断标准。如果没有清晰的顺序量表界定,那么评分人员不可能给出清晰可靠的评分结果。
第三,对于某些专业风险的评估,最好找比较熟悉这些专业的相关部门人员打分。对于不熟悉这些特殊领域的部门人员,他们不了解风险发生的背景和历史原因,这样是不可能给出真实可靠的评分的。但是,他们的评分将会被汇总到该风险的总评分中,会产生很多没有用的“噪音”信息,干扰评估结果。
第四,最好放弃使用Excel和Word作为风险评估工具。Excel和Word作为“古老”的风险管理工具产生于上个世纪九十年代,当时的计算机、软件以及网络条件使得Excel和Word成为风险管理评估主要工具。但是随着计算机软硬件和互联网技术的发展,Excel和Word已经不再适合用来评估风险了,使用它们产生的负作用越来越明显,甚至它们的使用已经影响到风险管理的效率和质量。 |