许多大型企业在每年的四季度要进行未来年度的年度风险评估。
年度风险评估对于企业具有非常重要的意义。对于组织这次风险评估的部门来说,这也许是这一年当中最为重要的时段。年度风险评估结果将向企业展示未来年度将会遭遇到的重要风险。风险的发生将会给企业带来严重损失,那么在风险发生前让企业管理人员了解和认识风险就显得尤为重要。
大部分企业目前年度风险评估的做法很简单,一般是准备一份Excel表格,表格内容很长,列举了很多种类的风险,然后分发给各部门,各部门派人填表、评分,收集、汇总表格,统计数据形成风险的评估分数,从而计算形成“十大风险”等重要风险。然后呢,……
上述这种“循规蹈矩”的做法错误的,这种形式的年度风险评估是不会产生特别有意义的结果,它们只是走个“过场”,从形式上看进行了风险评估,而实际上对于风险评估内容和风险评估结果没有给予充分的关注,从质量上无法得到保证,风险评估结果对于后期的风险管理也起不到帮助。最终,只是进行了表面意义上的风险评估,后期的风险管理也就不了了之了。
简单意义上的年度风险评估应该被摒弃,不会产生价值,也不会对真正地去管理风险提供帮助。实际上,企业如果没有能力进行全面、深入意义上的年度风险评估,那么不建议进行。
我认为,年度风险评估结果应该不局限于一份报告、一个列表,要类似于企业或组织每年都要进行的战略研讨会一样,年度风险评估也要以战略研讨会的形式进行,它不仅要对年度风险评估结果中的重要风险内容进行评估,还要针对风险提出的管理策略和措施进行研讨。
年度风险评估要得到战略上的重视,不应该被当作是一件简单的任务随意完成。
- 从过程上,它应该涵盖了风险管理的全过程,包括风险识别、风险分析、风险评价、风险管理、交流咨询、监督审查以及记录汇报。
- 从数据上,它应该总结统计了过去一年甚至几年的相关业务和风险数据,去识别和描述风险。
- 从方法上,它应该突破传统的概率和影响双维度分析评价,引入更多利于管理风险的分析维度。我已经看到国外有些企业开始使用风险量化分析方法(QRA)去进行年度风险评估。
既然年度风险评估是企业每年都需要做的工作,那么企业应该制定相应的风险评估标准指南、管理流程、方法技术,还应该引进或开发相应的风险评估和管理系统,提高评估效率,这样才能更好地完成这项工作。更重要的是,影响企业的风险能够真正被识别、评估,并得到企业高层的认识和重视,制定切实可行的风险管理策略和措施,并在未来一年的企业经营管理过程中持续监控和预警。 |
