推行全面风险管理是提高风险管理水平的必由之路,目前国内企业还处于事件风险管理控制阶段,离真正的全面风险管理还有很大差距。
全面风险管理是基于数理统计的系统工程,其作用在于为决策者决策提供有效的数据支撑,有效规避和防范风险。目前国内全面风险管理水平与世界先进国家相比,无论理论还是实践,都相对落后,没有给决策提供具体可靠的依据。有些风险管理,既无法事先评估,也缺乏事后的检验。如大型化工和炼油企业对环境影响的因素很多,从大气污染到地下水污染,从劳动职业保护到物料泄漏的风险,仅从对物料泄漏的风险防范就能看出,目前的防范措施仅要求在管理上加强或增加投资,无法提出具体应该投资的款项,以及不同的投资会分别将泄漏风险降低至多少,由此产生的收益有多少,从而导致最终在成本的衡量和风险防范的效果之间,缺乏直观和具有说服力的数据支撑。因此,推进全面风险管理意义重大。
开展全面风险管理工作是一个长期而复杂的过程,特别是大公司业务类型多、管理体量大,应有重点有步骤地推进全面风险管理工作。某些局部可以保持现状,用事件管理慢慢把风险管理的理念推行下去;某些局部可以前进一步,构建风险模型,在实际工作中逐步检验效果并与评估的效果相对照,找到企业管理的最优解。
国内企业风险管理还处在事件管理控制阶段
当前国内企业风险管理的总体状况仍然处于事件风险管理阶段,多事件管理,多防止人为舞弊,多定性管理,多重复管理,距离真正的全面风险管理还有很大的差距。
内部控制管理。目前的内部控制管理体系已经将传统意义上的风险控制做到了极致。在中国石化内部控制手册中,就包含了五大类风险清单,即战略风险、财务风险、市场风险、运营风险、合规风险;在五大类之下又将风险细化为二级、三级风险,例如在合规风险之下就又分为经营合规风险、侵权风险、涉税风险、不正当竞争风险等;在经营合规风险下,再细分为并购/股权交易违规、并购税务违规、财务日常核算/档案保管违规、担保业务违规、关联交易价格违规、人力资源管理违规、招标违规等风险。中国石化内部控制手册将五大类风险最后细化成453个三级风险,并在公司层面控制与业务层面控制中加以控制。内控体系对于传统意义上的风险管理,几乎穷尽了所有可能,并定出详细解决方案。
企业法律风险管理。国家质量监督检验检疫总局、国家标准化管理委员会发布了企业法律风险管理指南。法律风险管理指南在分析方法上没有超出内部控制体系的范畴。法律风险所采用的方法,也就是内部控制体系中风险分级的风险坐标图法,事实上比内部控制中的风险评级方法还要粗一些。
目前国内企业的风险管理和控制措施集中在事件控制,防止人为舞弊或工作失误上。许多标准无法准确量化,比如如何界定较大损失和一般损失,多大的资金算大额资金等,都没有明确的标准。更重要的是,企业的目标是由多个目标分解而成,以招标工作为例,项目建设的产出率、使用年限和项目投资额度都是企业目标,但多个目标之间互相牵制甚至互相矛盾,如何在其中找到最佳平衡点,这就是全面风险管理要解决的问题。
当下应采取的策略
目前很有必要理清风险管理的职责、方法,归纳整理各种可能性事件,以便为将来建立可靠模型推行全面风险管理奠定基础。
实施风险梳理和分析。仔细对照企业各种口径的风险分析结果,就会发现,大同小异。比如在内部控制系统的风险清单里,有一大类就是合规风险,与法律风险对比,重合度很高。因此,应该在统一标准下实施风险梳理,避免每个部门搞一套。
建立风险管理收益评估机制。风险管理的核心就在于如何在企业内部分配资源,因此建立收益评估机制非常重要。通过回顾过去的重大决策对现在的影响,从中找到风险管理的缺陷和漏洞,特别要尽快建立当下决策影响未来的评估机制。
全方位贯彻全面风险管理的理念和管理方法。日本质量管理大师今井正明认为,全面风险管理需要考虑四个故障来源:硬件故障、软件故障、人为故意故障和组织故障。我们观察到这四种故障来源的重要性有两个方面:很全面,包括企业生命周期内的所有方面(计划、设计、制造、运营、管理);要求每个人,从董事会到经理层、到所有普通员工都关注风险评估和风险管理。财政部等五部委发布的《内部控制基本规范》和国家标准化管理委员会出台的《企业法律风险管理指南》中,都强调内控管理和风险管理要围绕企业目标开展全员全过程的管理,其宗旨就在于要贯彻全面风险管理的理念和方法。
一个好的风险管理必须在一个整体的包括一切的框架里,能够组织和协调整个公司的资源,能够自上而下地动员所有人参与全面风险管理。在梳理风险发生源的过程中,既要全部覆盖,又要充分衡量成本和收益,并且对未来作出评估。
未来发展的方向
西方管理学界有一句谚语:想管理风险,首先要测量它。我们在理解全面风险管理的时候,要意识到风险管理的核心问题,就是组织资源在不同层级不同事件中的“最优”分配。帕累托最优是资源分配的一种理想状态,即假定固有的一群人和可分配的资源,从一种分配状态到另一种状态的变化中,在没有使任何人境况变坏的前提下,也不可能再使某些人的处境变好。要实现这样的目标,不同的事件需要采取不同的解决方式,有多种解决问题的模型。
多目标最优化选择。在多目标框架下,最优选择是一方如果提高自己的份额,则另外一方会受损。比如招标就是典型的多目标管理。如果把所有目标限制为两个目标:产出最多和使用年限最长。假设一个投资项目投资60万元,如果投资时偏重产能的扩大,则投资在确保使用年限上的资金就会缩小,反之亦然。我们用图1说明投资额度和产出之间的关系,用图2来说明投资额度和使用年限的关系,最终我们会确定一个投资偏向性(见图1、2)。
两相重叠,我们会看到当投资偏向分别投入30万元时,使用年限会达到3年而单位产量300吨,总产量会达到900吨,无论向哪方倾斜投资,都不会取得更大的效果,这就是帕累托最优解。当然在实际工作中,还有许多影响因素,这里只是提供一个最简单的模型。
产品选择最优化的问题。在企业里经常出现不同产品生产选择的问题,如何配比不同产品之间的产能以达到最优化,也有相应的分析方法和模型。
决策矩阵。并非所有多目标都可以明确量化,比如公司选择饭店包伙,要考虑的因素就包括:口味、价格、环境、便利度等。决策矩阵就是能够解决这类问题的一种决策工具。
除了以上方法,全面风险管理还提供了许多分析测算方法,比如分位数方法,国务院国资委推荐的蒙特卡洛分析方法、完全分类法、分割多目标风险方法等。这些方法应根据不同的应用范围灵活运用,以实现决策最优的目标。