风险管理的目的是创造和保护价值,它帮助企业实现更好的业务目标。风险管理应成为企业日常活动的一部分。当与企业管理业务方式紧密结合时,风险管理可以帮助企业提高效率和效益,做出更好的决策,抓住机会并避免意外发生。
如何在企业管理架构的最高层嵌入风险管理,以引导其在业务运营中的广泛应用,是企业风险管理机制设计的关键。
领导与文化
一般来讲,企业的执行管理团队(CEO以及各功能部门领导)需要依据董事会设定的风险偏好,去了解企业可能面对的风险,并负责企业的风险管理工作。这需要管理团队确保他们能充分、准确理解风险,并掌握最新的风险讯息。
企业组织中的每个人都应该参与风险管理。如果一个组织能够将风险评估和风险应对纳入其管理思维,并以经济高效的方式去处理风险,那么这个企业就最有可能避免风险陷阱,抓住机会以提高企业运营绩效。
能够实现上述目标的一个重要途径是:将风险管理作为企业定期举行的管理会议(班子会、调度会等)的常规讨论议题和内容。
月度监测和审查
风险管理需要嵌入企业每月举行的管理会议。企业的CEO(首席执行官)或者COO(首席运营官)可以主持风险管理会议议程(依据企业管理结构,也可以让其他管理人员负责,例如CFO、CRO等)。
风险管理议题要包括企业当前面对的重大风险状况,企业当前的关键管理措施以及相关的管理活动,以及企业目前非常焦虑关心的“那些晚上睡不着还在想”的事情。
尽管CEO或者COO负责组织会议,但是他们不是风险负责人。负责管理风险的活动应归属于具体工作的负责经理以及管理人员。然而,风险负责人应该监测、监控风险的状态,及时更新风险管理信息,并提交给CEO或者COO等企业高层管理者审查。
风险登记簿
风险管理不是例行公事,企业高层管理者也不会只在月度会议上象征性地讨论风险,他们可能会更频繁地在其他场合上讨论风险及对它们的管理。这就要求企业需要保证能够持续将最新的风险信息和状态提交给相关的人员查看和审查。
企业风险管理中一个重要的基础设施是建立企业级的风险登记簿。风险登记簿(Risk Register)又被称为:风险登记册、风险登记单、风险登记表,它产生自风险识别,贯穿于风险管理全过程,是风险管理工作最重要的一项输出成果。掌握风险登记簿内容及变化过程,对理解风险及其管理非常有帮助,是企业风险管理成果积累的重要组成部分。同时,通过对以往风险登记簿的回顾,将对当前的风险管理提供有益的参考和借鉴。
在管理过程中,企业需要基于风险登记簿统进行风险辨识,记录风险源、风险事件、受影响的活动或业务流程、风险结果,分析风险特征,评估风险严重程度,规划设计风险管理措施,并监督风险管理执行情况。
如果有条件,企业最好建立风险登记簿软件系统。好的风险登记簿软件系统对于保存、维护和支持企业各管理层级的风险讨论非常有帮助,它可以提供更为准确、及时和丰富的重要信息。这里,Excel或Word等办公软件不适合作为企业可行的长期解决方案,关于其缺点我在之前的文章中已做详细分析。
对企业业务运营的好处
从下到上或者由上至下对最重要的风险、控制和任务进行有计划的定期监测和审查有很多好处:
(1)风险、控制和任务可以按“正规途径”在企业高层会议上讨论,不需要需要额外的机会;
(2)企业高层领导能够及时掌握重要风险、控制和任务的最新进展;
(3)企业高层领导的关注和审查会迫使风险、控制和任务负责人专注于他们负责的项目;
(4)企业高层领导对风险和控制的关注能够推动对组织运营层面风险管理的关注;
(5)企业风险登记簿系统能够使得企业具有“持续滚动”推送风险信息的能力,确保企业各层级人员始终掌握相对最新的风险管理状况,避免耗时耗力的“突击式”准备和审查;
(6)正式的风险登记簿管理机制的运行能够保证企业面临的重要风险事项不被漏掉,使得企业风险管理工作更为系统、全面、及时和准确。
|
