在风险评估完成后,我们已经量化风险,并且将其确定。接下来的工作,就是对风险进行管理。在风险管理中,我们会遇到大量的不可思议的难题,下面就让我们来看看,究竟怎样实施危机风险管理。
(第一节)积极管理风险
从本质上来讲,风险管理是一种事前管理,这就决定了它也是一种积极管理,表现为认真分析风险、有意识地承担风险、科学地管理风险、稳妥地获取风险收益。它通过对事物全方位、深层次的分析,为正确决策提供依据,为持续发展提供基础。
现代风险管理的普遍原则是:不消极回避风险,而是积极地度量风险、管理风险,并通过合理地承受风险来获取与风险相匹配的风险回报。
之所以要积极管理风险,是因为危险事故造成的损失正在迅速上升。比如1995年,全世界共发生了600多起自然灾害,造成了1800亿美元的损失,并警示世人有18000人因此而死亡。因此,我们要致力于管理风险,并且是在风险出现之前。
对商业和社会组织来说,保险公司、外界审计人员和利益攸关者对抵制风险事故的影响和改善防备能力的要求日益增长,也强化了进行积极风险管理的需求。
对于因组织的疏忽或者所犯错误而造成的破坏,个人和集体正随时准备为之提出诉讼,这正是努力进行积极风险管理的深层次原因。如果组织确立的防患能力、计划水平及风险缩减能力是可接受的,那么,它就不大可能被判支付惩罚补偿费。
组织有时可从风险评估中获得额外的利益,尤其在接受组织外的专家进行评估时。组织外的专家会比组织内部人员有着更加清醒的认识,因为组织内部人员已对其组织特定的日常活动先入为主。例如,英国有一家银行,要求专家对其伦敦总部进行风险评估时,其主要动机因素是恐怖分子的炸弹恐怖活动。然后,专家组在进入总部,对其实际调研评估后,得出的结论是:发现了更大的危机来自于其地下的存储资源和计算机操作会受到灌水的影响。
(第二节)风险管理
作为系统性的科学,风险管理则产生于20世纪初的西方工业化国家。风险管理之所以能够发展成为一门独立的学科,是与企业面临的风险在逐渐增加分不开的。现代企业面临一系列风险,从企业的内部管理来看,存在的风险包括生产风险、环境风险、技术风险、人员风险、财务风险、经营风险、信用风险、销售风险、品牌风险等等。从企业所处的外部环境来看,存在的风险有:民族矛盾、局部战争、政治对抗、民族争端、行业不正当竞争、行业相关的法律法规不健全等。任何项目的重要风险处理失当都可能导致企业经营的失败,造成巨大的经济损失。
1.风险的概念
对风险进行开拓性研究的是美国经济学家弗兰克·奈特,他在1921年出版的《风险,不确定性和利润》中对风险作了经典的定义。奈特认为,风险是“可测定的不确定性”,是指经济主体的信息虽然不充分,但却难以对未来可能出现的各种情况给定一个概率值。与风险相对应,奈特把“不可测定的不确定性”定义为不确定性。
美国的阿瑟·威廉姆斯等在《风险管理与保险》一书中,把风险定义为,“在给定的情况下和特定的时间内,那些可能发生的结果间的差异。如果肯定只有一个结果发生,则差异为零,风险为零;如果有多种可能结果,则有风险,且差异越大,风险越大。”从事物的不确定性出发,事物的结果可能是坏的,也有可能是好的,风险与机会并存。其实,风险简单而明确,其要素为不确定性和损失这两个概念,排除了损失不可能存在和损失必然发生的情况。也就是说,如果损失的概率是0或1,就不存在不确定性,也就没有风险。
2.风险的分类
为了有效地进行风险管理,对各种风险进行分类是必要的,只有这样才能对不同的风险采取不同的处置措施,实现风险管理目标的要求。按照不同的分类基础,风险有以下几种划分方法:
按风险的对象划分,可分为财产风险、人身风险、责任风险和信用风险
按风险产生的原因划分,可分为自然风险、社会风险、经济风险和技术风险
按对风险的承受能力划分,可分为可接受的风险和不可接受的风险
按对风险信息量的了解程度划分,可分为可视风险和真正风险
按风险的性质划分,风险也可以分为静态风险与动态风险。静态风险是指由于自然力量的非常变动或人类行为的错误导致损失发生的风险。例如水灾、旱灾、地震、瘟疫、雷电等自然原因发生的风险;火灾、爆炸、员工伤害、破产等由于某些人疏忽大意或故意行为而发生的风险;放火、破坏、欺诈等由于某些人不道德、违法违纪行为造成的风险。静态风险是导致企业成败安危的主要风险,风险管理的重心应是对静态风险的管理。动态风险是指以社会经济结构变动为直接原因的风险,如由于人类需要的改变,机器或制度的改造等。动态风险大致分为管理上的风险、政治上的风险、创新的风险三类。
另外,也有人将风险可以分为纯粹风险和投机风险两类。纯粹风险是指有可能带来损失的风险,如各种形式的天灾人祸。投机风险是指既有可能带来损失,又有可能带来机会的风险。如股票投资,既可以为投资者带来丰厚的利润,也可能使投资者遭受重大的损失。
3.风险管理的界定
风险管理作为一门新兴的学科,主要研究如何对企业的人员、财产和自然、财务资源进行适当的保护。人们在一切社会经济活动中,面临着种种风险。从总体上看,风险是一种客观存在,是不可避免的。而且,在一定的条件下还有某些规律性。因此,人们只能把风险缩减到最小的程度,而不可能将其完全消除。这就要求社会经济各部门、各行业主动地认识风险,积极管理风险,有效地控制风险,把风险减至最小的程度,以保证社会生产和人民生活的正常运行。所谓风险管理,是指经济单位对风险进行识别、衡量、分析,并在此基础上有效地处置风险,以最低成本实现最大安全保障的科学管理方法。
4.风险管理的内涵
风险管理的主体是经济单位,即个人、家庭、企业或政府单位。因此,风险管理不是专指企业风险管理,也可能是项目风险管理、个人风险管理等。
风险管理是由风险的识别、衡量、分析等环节所组成的,是通过计划、组织、指导、管制等过程,通过各种科学方法综合、合理地运用来实现风险管理的目标。
风险管理以选择最佳的风险管理技术为中心,要体现成本效益的关系。
风险管理的目标是实现最大的安全保障。通过探求风险发生、变化的规律,认识、估计和分析风险对经济生活所造成的危害,选择适当方法处置风险,尽量避免或减少损失,以保障经济发展的稳定性、连续性。
5.风险管理的作用
风险管理的作用通常体现在两个方面,一方面作用发挥在损失前,另一方面则是损失后。损失前的管理作用是避免或减少损失的发生,其管理的目标主要是节约成本、履行相关义务等;损失后的管理作用是尽快恢复到损失前的状态,其管理目标是维持经济实体的生存与发展、确保持续性的生产与服务的发展等。
也就是说,风险管理通过分类控制法和财务法,利用风险的避免和排除以及风险的自留和转移等方式,在风险的处置上具有科学性和综合性。风险管理既注重防止风险的发生,使风险发生所带来的损害最小;又注重在风险发生造成损害时,有预先筹措的资金作为后备,给予财务补偿。
6.风险管理的过程
一般情况下,风险管理过程包括四个阶段:风险处理计划、处理组织的确定、处理的指导和处理的管制。风险处理的计划即通过对各种风险的科学考察,判断风险的性质和后果,制定并选择风险处理方案,编制风险处理的实施计划。风险处理的组织即根据风险处理计划,组织处理手段,包括业务分工,权力和组织上的调整等,即合理安排人力、物力以为达到经营管理的目的和实现管理计划创造合适的条件。风险处理的指导则采用信息交流的方式,组织管理计划的实施过程。风险处理的管制,即按照规定进行业务成绩记录、评价和分析,形成制度化管理方式。
7.企业风险管理
公司的重大风险一般包括决策风险、财务风险和与运营风险。在风险管理方面,公司存在一些典型的问题。
缺乏风险意识,没有积极、主动、系统地进行风险管理工作。
缺乏正确的业务流程的指导和风险管理体系的保障,影响管理层对于风险的识别。
对公司的主要业务缺乏风险识别、评估、管理和监控;内部审计工作限于财务报表审计和经济责任审计,缺乏对公司内控程序执行情况的检查和监督。
缺乏业务操作手册,导致各部门和岗位的人员对其工作职责和操作程序不清晰,造成部门和岗位间互相推诿或业务上的疏漏,从而使公司较难控制业务。
缺乏对风险进行定期的复核和再评估,降低了企业适应环境变化、管理和规避风险的能力。
缺乏规范、科学、合理的法人治理结构设置,使企业目标发生偏移。
在迅速扩张的过程中,造成财务与业务失控,无法进行财务风险预警、防范。
一家企业的风险管理,不外乎包括以下几个问题:面临什么风险、在所有面临风险中哪些是致命的和重大的、谁在监督控制风险、为什么要监控风险以及何时控制、如何控制。这样自然而然地导出风险管理的四大要素,即风险鉴别、风险测量、风险控制、风险监督。
建立现代的风险管理机制应从加强内部控制做起。内部控制包括控制环境、风险评价、控制活动、信息与沟通以及监督。控制环境是基础,它影响着组织的核心因素,即人员。信息与沟通是指相关的信息必须以某种形式在有效时间内被发掘、获取和沟通,以使人们履行自己的职责,信息的沟通是全方位的,贯通于上下、左右、内外。监督是内控系统运作及效果的全程监督和评价,包括管理层例行的监督和专业监督评价,是通过不断地发现问题以及及时报告最高管理层及董事会,以期不断改善、提高内部控制。
8.企业风险管理过程
(1)制定企业风险管理计划。企业风险管理计划应包括如下一些内容:
管理方法——对可能用于风险管理的方法工具和信息来源进行明确的定义;
岗位和职责——对涉及风险管理的岗位和职责进行定义;
预算——建立风险管理的预算;
时间——实施风险管理有关活动的频率及确切时间定义:
评定和解释——对风险管理中的各种情况进行定性定量分析,并对说明方法进行定义;
承受度——对企业对风险承受的能力进行定义;
文档格式——对风险管理过程中形成的各种文档格式及信息沟通的方式进行定义;
反馈——对建立文档资料、便于以后对风险管理的审计和回顾的方式进行定义。
(2)企业风险因素识别。风险识别主要包括感知风险和分析风险两方面的内容。感知风险,即了解企业客观存在的各种风险;分析风险,即分析引起风险事故的各种因素。感知风险是风险识别的基础,分析风险是风险识别的关键,只有通过感知风险,才能进一步在此基础之上进行分析。企业面临的风险不仅存在于企业之中,也存在于企业之外的环境中,对于风险的防范、识别、分析控制等风险管理工作,不能只依靠风险管理人员单独完成,而是由风险管理人员和生产、销售、会计、人事、法律、数据处理等部门合作来共同完成对风险的识别分析工作,目前使用广泛的识别和分析损失风险的方法有五种:(1)标准调查表或问卷调查表法。(2)企业的财务表。(3)其它的企业记录。(4)流程图分析法。(5)现场调查法。
(3)衡量和选择对付风险的方法。风险识别之后,必须衡量潜在损失的频率和损失程度,即损失在一定时期内可能发生的次数和每次损失发生的金额大小。一般对于损失频率可以用“几乎不可能发生”、“不大可能发生”、“频率适中”、“肯定发生”等术语描述;对损失程度则用最不利的情况下可能遭受的“最大可能损失”,和通常情况下可能遭受的“最大可信损失”来描述。对损失程度的描述是衡量损失风险中最重要的,对损失风险进行描述并按重要性分类排队后,就可以选择对付风险的方法。对付风险的方法有两类,一类为风险控制措施,如避免风险、损失管理和转移风险;另一类为风险补偿的筹资措施,如保险和自担风险。在第一类中,常用的是损失管理和转移风险;在另一类中,保险和自担风险是企业管理人员进行决策时经常要进行的选择。
(4)贯彻和执行风险管理的决策。对付损失风险的方法一经选用后,其直线职权管理者是风险管理部门,但风险管理部门应向其它部门的经理说明其制订的决策措施,以便取得他们的合作。如选择对设备定期维护保养检修这项减损计划及其贯彻执行,是风险管理部门的直线职权,但具体如何检修和何时检修则是其它管理部门的直线职权,只有风险管理部门与其它部门的合作才能完成这项减损计划。
(5)风险管理的检查和评价。对风险管理的业绩的检查和评价有两个标准——效果标准和作业标准,一般都把这两个标准集合起来衡量风险管理工作的业绩。效果标准是质量标准,如意外事故损失的频率和程度下降,责任事故损失降低,风险管理部门费用减少,责任保险费率低,因企业自担风险水平提高而减少财产保险费用等。作业标准是数量标准,如规定设备保养人员每年检修的次数和维修台数等。
9.风险管理的控制过程
风险控制是风险管理过程中的最后一个步骤,也是整个风险管理成败的关键所在。风险控制的目的在于改变公司所承受的风险程度,而风险管理的主要功能是帮助公司怎样避免风险,避免损失,减低损失的程度。当损失是无可避免的时候,务求尽量减低风险对公司所带来的不良影响。风险控制工具可分为:风险回避、避免损失、减低损失程度、风险转移以及风险保留等。
