无论是政府部门、监管机构再到公司董事会,每个人都在强调更好、更有效的风险管理的必要性。然而,尽管ISO31000:2018等国际风险管理标准在这方面提供了一些指导,但如何具体判断风险管理有效性仍然模糊不清。
基于国内外的风险管理研究与实践,我认为如果能满足以下四个标准,那么企业的风险管理才能称得上是有效的:(1)风险管理纳入决策制定过程;(2)强大的风险管理文化;(3)敢于披露风险信息;(4)不断持续改进风险管理。
判断风险管理有效性标准之四:持续改进风险管理
有效风险管理的最后一个标准与风险管理框架和风险团队本身的持续改进有关。
企业要定期评估其风险分析的质量和及时性、年度风险管理、风险文化评估以及定期审查风险管理团队能力。
需要不断改进风险管理的原因之一是风险管理学科的快速发展,风险管理的方法、技术和工具在快速更新。风险管理相关的软件系统不断涌现,大数据挖掘和人工智能等新科技正在对企业风险管理产生重大影响。这些都需要企业不断质疑自身风险管理的有效性。
风险管理,就像公司治理的任何其他要素一样,必须融入组织的整体管理体系。ISO 31000:2018等国际标准明确指出,风险管理需要具有适应性、动态性、迭代性,并能够对变化做出反应。
随着组织风险成熟度的提高,组织在决策中管理风险的工具也会提高。专业风险管理人员不仅应为组织制定风险管理流程,还应提高自身的风险管理能力。其中,参加国际会议、培训课程、认证计划以及掌握最新的风险管理方法技术是风险管理人员保持最佳职业状态的有效办法。
我建议企业高管和风险经理应该不断持续评估所在企业当前的风险管理成熟度水平。如果本系列文章提到的标准中至少有一个缺失,那么谈论该企业风险管理是有效的可能还为时过早。 |
