(文:北京夷安君泰管理咨询有限公司董事长 张宏亮博士)
2026年上半年,风险管理领域迎来两项具有风向标意义的重大进展。
2月23日,COSO(美国反虚假财务报告委员会发起组织委员会)正式发布首份生成式AI内部控制指引。这份文件的重要价值在于:它将全球应用最为广泛的COSO内部控制框架,首次系统性延伸至人工智能治理领域。
几乎在同一时期,ISO 31000:2018风险管理标准启动修订程序。据披露,此次修订的核心诉求之一,正是"增加风险量化的具体指引"。
两大国际权威框架不约而同地将焦点对准"风险量化",这并非偶然,而是行业发展阶段的必然反映。
一、为什么是"现在"?
生成式AI正以空前速度渗透企业运营的各个层面——从财务对账到合规审查,从运营分析到战略决策,AI的应用边界持续扩展。
然而,AI输出的本质是概率性的,而非确定性的。在传统的风险管理语境中,"存在一定风险"、"可能产生偏差"这类模糊表述,在AI时代已难以满足管理需求。
组织需要回答的是:该AI生成结论的置信度是多少?潜在风险敞口有多大?偏差处于何种区间范围内方可接受?
这些问题的求解,均指向同一项核心能力:风险量化。
二、从"专家技能"到"基础能力"的范式转移
传统认知中,风险量化是精算师、风控专家的专业领域,普通从业者只需具备基本的风险意识即可。
但COSO新指引明确要求组织定期开展"What if……"情景分析,并将分析过程系统化、文档化。这意味着,风险识别与量化思维不再局限于特定岗位,而是延伸至从前线业务人员到后台支持岗位的全体从业者。
ISO 31000的修订方向进一步明确:风险管理不仅要"识别",更要"量化"。COSO同期发布的ERM新指引同样强调,需将"风险思维嵌入日常决策流程"。
当风险思维成为日常工作的有机组成部分,风险量化便不再是少数人的专业技能,而是演变为从业者的基础能力要求。
三、对从业者的三项具体建议
若你从事财务、运营、合规、审计或任何与决策相关的工作,建议从以下三个维度主动适应这一转变:
第一,建立数据驱动的风险表达习惯。 将"我感觉存在风险"的定性表述,转化为"根据测算,该风险发生概率为X%,潜在影响为Y元"的定量表达。
第二,掌握基础量化工具与方法。无需达到统计专家的专业深度,但应理解概率分析、情景模拟、敏感性分析和压力测试等基础方法的应用场景与操作逻辑,并掌握主流风险量化分析软件的用法,例如Drisk、@Risk等基于Excel的插件软件。
第三,将风险量化融入日常工作流。编制预算时纳入风险调整因素,制定方案时评估风险收益比,撰写报告时附注风险置信区间。
结语
行业风向已然转变。两大国际框架的同步动作,标志着风险管理正进入一个新的发展阶段——在这一阶段,风险量化能力与Excel操作能力一样,将成为职业发展的基础性要求。
这一转变不会一蹴而就,但趋势已不可逆转。主动拥抱变化、系统构建能力,方能在新的职业环境中保持竞争力。
|