第十四章风险控制与危机管理导语由于内外环境的变化,组织在运营过程中会面临各种风险,如果处理不当,就可能使组织陷入困境,甚至会引发重大突发事件,导致危机的发生。因此,树立风险意识,完善风险管理和危机管理机制,有效地应对各种风险和突发的危机事件,以确保组织目标的实现,就成为组织管理工作的一项重要内容。第一节风险识别与分析对于什么是风险,学术界的观点并不一致,目前并没有一个公认的定义。目前,尽管界定的视角不同,但大部分学者都将风险限定在给组织带来损失的不确定性方面。一、风险及其分类二、风险管理的目标三、风险识别的过程四、风险识别的方法一、风险及其分类第一节风险识别与分析总体而言,主要有两类观点:风险客观说:风险是客观存在的损失的不确定性,是可以预测的。在对风险事故进行观察统计的基础上,可以利用统计学等工具对风险的不确定性进行描述和度量。风险主观说:承认风险是损失的不确定性的同时,认为这种不确定性是个人对客观风险的评估,它同个人的知识、经验、精神和心理状态等因素有关,不同的人面对相同的风险会做出不同的判断。第一节风险识别与分析一、风险及其分类我们借鉴大多数风险管理研究的观点来界定风险:风险是指发生对组织不利事件的不确定性,包括事件发生的可能性及后果的大小。我们可以从不同的视角对风险进行区分和研究。第一节风险识别与分析在经济环境没有变化时发生损失的可能性,通常是由自然客观因素或者人们的错误或失当行为造成的。静态风险指那些只有损失可能而无获利机会的风险。纯粹风险事故发生后,对特定组织或个人一定会造成损失。纯粹风险指那些既有损失可能也有获利机会的风险。投机风险由组织外部环境变化而带来的损失可能性,通常由宏观经济、产业组织、生产方式、生产技术以及消费者等因素的变化所引起。动态风险指与特定的社会个体有因果关系的风险。特定风险经济环境获利机会风险范围也称为重大风险,是指特定的社会个体所不能预防或控制的风险。基本风险当然,还可以按照其他一些标准对风险进行分类:风险分类是否会带来经济损失风险是否可以分散潜在的损失形态经济风险和非经济风险可分散风险和不可分散风险财产风险、人身风险、责任风险和信用风险损失形成的原因自然风险、社会风险、经济风险和政治风险第一节风险识别与分析二、风险管理的目标风险管理:是指组织通过对风险的识别、衡量和处理,力求以最小的经济代价为组织目标的实现提供安全保障的管理活动。风险管理是一项目标导向性的组织工作。其根本目标就是力求以最小的成本支出来保障组织目标的实现。第一节风险识别与分析具体而言,风险管理目标可以区分为两个方面:1)在风险事故尚未发生时,风险管理的目的是尽可能地消除、降低或转移风险事故的发生,确保组织的正常运营。经济目标:以经济合理的方式预防潜在的损失。合法性目标:组织的运营与发展合乎法律规范。社会责任目标:组织还必须关注利益相关者的利益,认真履行相应的社会责任。第一节风险识别与分析具体而言,风险管理目标可以区分为两个方面:2)风险事故一旦发生,组织就应努力降低风险事故的影响,采取必要措施,尽快恢复到正常运营状态。生存目标:组织应确保在合理的时间内能够部分或全部恢复组织的经营运作。持续经营目标:不能因为损失事件的发生而使经营运作活动中断,以免丧失原有的市场份额。收益稳定目标:组织应尽量稳定运营,消除风险事故的不利影响。社会责任目标:组织应尽量减轻损失事件对利益相关者的不利影响,承担相应的社会责任。第一节风险识别与分析三、风险识别的过程风险识别是指管理者运用相关的知识和方法,全面、系统和连续地发现和描述组织所面临的各种风险、风险原因以及潜在的后果。第一节风险识别与分析1.风险因素风险因素(hazard)一般有:物质风险因素、道德风险因素、心理风险因素和法律风险因素。按照风险事故发生后果的严重程度,可以划分为四类:事故后果可以忽略事故后果比较轻,暂时还不能造成人员伤害和财产损失事故后果严重,会造成人员伤亡和系统损坏可以造成灾难性后果的风险事故三、风险识别的过程开展风险识别工作,就是识别出可能影响组织目标实现的内外部风险因素及其驱动因素,要重点关注如下几个方面:第一节风险识别与分析2.风险事故风险事故(peril)是造成损失的原因,如火灾或盗窃会造成财产损失。因此,风险识别的重要步骤是能够预见到风险事故,将可能产生事故的风险因素消灭在萌芽状态。三、风险识别的过程开展风险识别工作,就是识别出可能影响组织目标实现的内外部风险因素及其驱动因素,要重点关注如下几个方面:第一节风险识别与分析四、风险识别的方法1、现场调查法:一般由风险经理到现场实际观察各部门的运作,检查组织的各种设施及进行的各项操作,需要注意以下事项:第一节风险识别与分析四、风险识别的方法2、审核表调查法:由相关责任人或风险经理填写一种事先设计好的调查表,进而根据表格内容来识别分析。这些调查表通常会系统地列出一个组织可能面临的风险,使用者对照调查表中的问题逐一回答,就可以构建出组织的风险框架。第一节风险识别与分析四、风险识别的方法3、组织结构图示法:通过绘制并分析组织结构图,来识别风险可能发生的领域与范围。通过该方法,可对如下方面的内容有更深入的了解:第一节风险识别与分析四、风险识别的方法4、流程图法:将组织活动按照内在的逻辑联系绘成流程图,针对流程中的各个环节,特别是关键环节和薄弱环节,进行风险因素、风险事故及可能的损失后果等方面的识别和分析。利用流程图识别风险:第一节风险识别与分析四、风险识别的方法5、财务报表分析法:运用财务报表数据对组织的财务状况和经营成果及未来前景进行评价,从而分析和识别组织所面临的潜在风险的方法。财务报表分析通常用到的报表是资产负债表、损益表和现金流量表,对应三种识别风险的方法:第一节风险识别与分析四、风险识别的方法当然,风险识别的方法还有很多,如事故树分析法、情景分析法、危险与可操作性研究等,但每一种方法都有其适用性和优缺点。风险管理人员在选择使用这些工具时,应该有清醒的认识:第一节风险识别与分析第二节风险评估与控制一、风险评估的标准风险评估是指组织在对既有风险损失资料分析的基础上,运用概率论和数理统计等方法对特定风险事故发生的损失概率和损失程度做出评价,以为风险管理决策提供依据。风险评估原则包括:二、风险评估的方法风险评估的方法很多,应用的情境和条件要求各不相同,主要分为定性分析技术、定量分析技术及其结合。一般而言:定量分析的结果精准度高,易于理解和判断,更利于决策使用;但在不要求量化分析,或者量化评估所需要的数据资料无法获取或获取的成本不具经济性时,就应采用定性分析技术。第二节风险评估与控制1、损失概率和损失程度的估测:风险的衡量和评价主要从两个方面进行:一是风险发生的可能性,即损失概率;二是风险发生后,风险事故可能造成的损失有多大,即损失程度。第二节风险评估与控制(1)损失概率的估测(2)损失程度的估测2、情境分析:情景分析(scenario)是指通过假设、预测、模拟等手段生成可能发生的未来情景,并分析各种情景下可能对组织目标实现产生影响情况的一种分析方法。可以采用正式或非正式的、定性或定量的手段进行,主要适用于可变因素较多的项目的风险分析。资料来源:COSO制定发布:《企业风险管理:应用技术》,张宜霞译,东北财经大学出版社2006年版,第58页。业务单元主要潜在业务情景对股东价值增加值的影响(百万美元)单元潜在的业务情景SVA的增加(减少)1风险评级降低20%消费者贷款减少10%竞争增加——一个新的市场进入者银团中的收入减少15%失去一个高层客户……(150)(120)(100)(80)(50)……2增加的竞争——一个新的市场进入者因为客户服务,收入减少10%失去一个高层客户不成功的新产品推出一个新的未决的大诉讼(但不是非常大的)……(50)(30)(20)(20)(20)……3竞争增加——一个新的市场进入者失去高层客户资产基数减少10%……(40)(30)(20)……第二节风险评估与控制3、敏感性分析:敏感性分析(sensitivityanalysis)是指通过通过分析和测算系统的主要因素发生变化时引起系统评价指标变化的幅度,以及各种因素变化对实现预期目标的影响程度,从而确认系统对各种风险的承受能力的一种方法。第二节风险评估与控制4、风险地图:风险地图(riskmaps)是指将一个或多个风险的可能性及影响用图形来表示,从而为风险管理决策提供参考的一种方法。风险地图可以采用热图或流程图等形式定量或定性估计风险的可能性及影响。在风险描述时,要突出哪些风险是更重要的,哪些风险是不重要的,从而使图示形象直观,便于使用。主题风险描述可能性影响A报酬员工对报酬不满意导致更高的离职率可能的中B认可员工感觉不被认可,导致对工作的关注度降低以及更高的错误率不太可能的较小C裁员员工被过度使用以及工作严重超时,职员离开以寻求在提供更好工作和生活平衡的其他公司工作很可能的中D人口统计状况员工人口组成的变化导致职员离职率提高几乎确定的中E就业市场招聘公司增加了对公司员工的需求量不太可能的中F绩效评价员工不满意绩效评价的方法和程序,导致士气低落、员工关注非重要目标、员工流失可能的中G沟通员工和管理层之间沟通的低效率导致听到的是混合信息以及追求可替代的工作可能的中H工作场所安全性不安全的工作场所导致员工受伤以及受伤员工和其他担心安全问题的人辞职不太可能的重大I职业发展员工感觉他们的职业发展受到限制,导致更高的离职率可能的中J工作多样性员工不满意工作变化,导致机械执行、更高的错误率以及追求公司外更有趣的工作机会可能的中注:表中显示了一个公司评估维持高质量的劳动力目标所面临的风险。可能性用给定期间的离职百分比来评价,影响用运行低效率的成本和替换、重新培训以及开发雇员的成本来评价。用颜色代表风险水平,黑色表示高风险,白色表示中等风险,灰色表示低风险。第二节风险评估与控制4、风险地图:上表的风险也可以用一个矩阵风险地图来表示图14-1可能性和影响平均值的风险地图资料来源:COSO制定发布:《企业风险管理:应用技术》,张宜霞译,东北财经大学出版社2006年版,第63-64页。第二节风险评估与控制三、控制风险的策略组织控制风险的方法可以分为如下几种:风险避免、风险分担、损失减低管理和风险保留。第二节风险评估与控制1、风险避免:风险避免,也称风险规避,是指在风险发生的可能性较大且影响程度较高的情况下,组织采取的中止、放弃或调整等风险处理方式以避免风险损失的一种方法。第二节风险评估与控制2、风险分担:组织将自身可能遭受的风险或损失,有意识地通过正当、合法的手段,部分或全部转移给其他经济单位的风险处理方式。(1)财务型风险分担保险是最常用的一种风险分担方式。利用保险进行风险分担就是通过保险合约,以投保的方式将组织面临的潜在风险转移给保险公司。第二节风险评估与控制(2)非财务型风险分担非财务型风险分担是指企业将可能引起损失的风险通过一系列的合约转移给非保险业的经济单位的方式。非财务型风险分担方式是对财务型风险分担方式的重要补充。第二节风险评估与控制3、损失减低管理:损失减低管理(lossreduction)是指组织有意识地接受经营管理中存在的风险,并以谨慎的态度,通过对风险的分散以及风险损失的控制,从而化大风险为小风险,变大损失为小损失的风险处理方式。不要把鸡蛋放在同一个篮子里第二节风险评估与控制将面临的风险单位进行分割,划分为若干个较小而价值低的独立单位,并分散于不同的空间,以降低组织可能遭受的风险损失程度。(1)风险分散3、损失减低管理:例如,备份计算机文件并将备份文件隔离存放,有助于起到减少损失的作用。备份机器设备或者零部件,可以在机器设备出现故障时迅速启用备份机器或更换损坏的零部件,从而保障生产的正常运作。第二节风险评估与控制组织备份一份维持正常的经营活动所需的资源,在原有资源因各种原因不能正常使用时,备份风险单位可以代替原有资产发挥作用。(2)复制风险单位4、风险保留:风险保留(riskretention)是指面临风险的组织自己承担风险事故造成