搜索
平衡风险以提高绩效有关OracleEnterpriseGRC平台如何整合整个企业的风险并建立可改进绩效管理的持久风险管理程序的白皮书2010年2月风险就是事情发生的概率,可能会也可能不会产生不利影响。风险管理是一个流程和程序系统,它使企业能够识别、评估、分析、监控并快速应对风险事件。而且,在某些情况下,此流程可以帮助企业认识到可能由风险带来的潜在机会。没有无风险的回报。企业要敢于承担风险,才能发展并保持竞争力。但是承担风险还需要管理风险。事件发生时,识别风险并知道如何快速应对意味着可以让自己立于不败之地,而不是关门歇业。企业应该主动接受风险,而不是事后把风险当成需要处理的事件。这也是一个可以使风险管理和战略业务规划更加密切地保持一致的机会。第一部分如今风险管理比以往任何时候都重要如今的经济环境动荡不定,不允许有任何闪失。投资者和股东们严谨对待风险管理流程,而且要求提供比以往任何时候都要多的财务信息披露内容。除了这样的透明度,企业还需要能够使投资者的相信—虽然他们无法预见什么时候会发生什么样的事情,但备有正确的计划和流程,可在风险发生时减轻风险。日益加大的全球竞争压力迫使公司进入他们完全不了解的市场或地理区域。为了继续发展或让自己在竞争者中脱颖而出,许多企业都不得不这么做。当他们搬离了舒适区域时,冒险不仅仅是为了发展,而有时候更是为了生存。在那样的环境下更会重视风险管理实践和程序。然而,许多企业仍然将风险管理看成是事后措施。这个重点在于风险规避,而不是不确定性管理和绩效管理。此方法依然是将风险管理数据纳入主要规划流程和日常业务实践的障碍之一。有效风险管理的关键有效的风险管理计划需要一个全面综合的方法。根据CorporateIntegrityLLC(GRC咨询公司)总裁兼风险和合规官MichaelRasmussen的看法,风险管理的要素包括:•全面解决机会、障碍和威胁;•评估威胁的潜在影响;•识别机会以进一步评估;•确保实现智能化风险决策并•实施结构,以使企业在处理障碍和威胁时能够适当地寻求机会。风险管理规划在有着战略性质疑和辩论的环境中才最有效,切勿自满。不要仅把它当成是合规性运用,而要把它作为讨论特定计划的催化剂。公司应该实施允许企业在处理障碍和威胁时寻求机会的结构。这可帮助风险管理和绩效管理保持一致。另一个关键因素是为风险管理功能提供正确的可见度。虽然首席风险官这个职位并不是对每个企业都有意义,但从报告的角度出发,这一职能应该具有一定的地位。处在这一职位的人员必须得到充分授权,以便确定要关注的领域和确保提供风险信息并使这些信息在企业中流动。或许可以给每个领域指定一位风险管理师,这样可以提高公司竞争优势。但如果IT、供应链和财务领域都有了风险管理师,那么这些职能需要连接起来,以防止风险管理系统没有互相联系到一起时常常会出现的分裂现象。在上述状况下,审计委员会可以帮助确保从更高的管理层面上考虑关键环节。打破复杂性风险管理最大的挑战之一来源于这一事实:它往往各自为政,仅仅是理论而已。有必要发展一种风险通用语言或风险分类标准,从而消除分裂现象。建立风险分类标准可以帮助确定可接受的风险阈值。应该描述不同种类的风险,以便涉及到的每个人都能理解,而不仅仅是风险管理师可以理解。例如,IT风险管理师把硬件和软件看作是主要资产和风险的重要属性。而财务风险管理师要确保财务报告和运营资本情况良好。财务经理的主要工作是跟踪和监控帐户。关于风险对自己意味着什么,每个职能人员都有他们自己的描述方式,但如果没有一个通用的风险分类标准,那么对于企业较高层面的人员来说,要清楚地了解每个部门的潜在风险会很困难。此外,企业风险管理策略需要一致的评分,以便具有可比性。许多企业都以错综复杂的沟通误解而告终,因为一个部门可能认为风险高,而另一个部门认为风险低。一个部门的高风险可能是5万美元的损失,而另一个部门的低风险可能是500万美元的损失。重要的是要能够了解各种存在的风险、风险类别的范围以及评价这些风险的通用方式。简化风险管理通用评估流程是简化风险管理的基础。由于主要评估流程所需的格式各种各样(例如,一些是电子表格或Web调查),所以经常会重叠。企业会面临各种类型的评估,比如包括BaselII操作评估、业务连续性评估和Sarbanes-Oxley(SOX)404评估。报告要求中的重叠会造成冗余,因此要求经理回答的每个评估的问题通常很相似。为了消除重叠和复杂性,经理需要一个在企业内部用于衡量和监控风险的通用高效流程。多角度风险分析为了实现潜在风险的明确诊断,您需要能够从所有相关角度观察风险。如果企业只是泛泛看待风险,风险往往不会完全浮现到表面,仅仅着眼于损失的时候,就会出现这种情况。模拟风险并能够以不同的频率衡量和显示风险分布非常重要。有效地管理风险需要收集多角度的风险信息,以加强风险分析。其中包括收集来自外部角度的风险信息,以及监控地理、竞争、经济、法规和法律问题的环境。此外,还要收集内部角度的风险,以评价控制原则、审计、评估、问题、事件、公司绩效和风险指标。创建通用的风险分类标准是公司展开多角度风险分析的一种方法。每个小组或部门应能够用适合自己业务部门的语言来管理风险。国际标准化组织(ISO)给公司提供了指导方针,以帮助制订风险分类标准。这种风险基础结构有助于确保识别风险并持续跟踪风险。第二部分应对共同挑战的建议企业在将风险管理付诸实践时面临的最常见的挑战源自这些系统各自为政以及过于偏理论性。因此,许多企业不敢将风险管理纳入绩效管理流程。但制订风险管理流程承载着减少一些各自为政和典型冗余活动的益处。而更大的益处在于能够识别不同类型的风险之间日益增长的依赖关系。如果没有这样的认识,企业可能走向一条基于错误分析的缓解措施之路。公司不再以孤立或各自为政的方式注意风险后,他们就可以创建一个具有通用要求的流程。然后,根据OracleCorp产品营销高级主管KarendelaTorre的看法,他们可以开始实施这个在一体化的职能和部门中执行的重要环节,即把这些风险转变为通用的控制原则和目标。DelaTorre提醒,没有先整合风险就忙于风险管理的组织即使增加15%或更多的成本也极可能无法提高此类计划的效率。使用单一平台统一单个风险管理计划管理和集成多种类型风险的最佳方式是使用EnterpriseGRC平台。这种类型的平台可支持用于满足每种要求的通用流程和通用组件。但是企业GRC平台并不是一个全能的方法。该平台还必须能够支持针对特定风险的要求。例如,在银行业务情形中,衡量资本充足程度的要求对于BaselII评估意义重大,但不适用于SOX或银行保密法。单独支持每个计划的独特重点、流程和要求的同时,EnterpriseGRCmanager应用程序使公司可以使用共同的基础推进共享实践、重复利用工作成果和信息。Oracle的策略是提供一个允许您在整个企业范围内进行风险监控的共同平台,并且在共同平台上还有专用模块。就哪些是重要组件以及如何确定这些组件之间的关系而言,这是因为不同的风险将会有专门的要求。一个平台可以支持多个模块,这样就解决了各自为政的风险管理流程问题,而无需利用全能解决方案。这消除了一个可能性,即削弱针对个别风险要求提供的专业知识的价值。实时分析功能直接内置在应用程序中,用以观察和跟踪主要风险类别。多数企业都受到了主要风险信息时效性的挑战,因此关键在于应用程序要提供用于风险管理的实时决策信息。OracleEnterpriseGRC是在采用了Oracle融合中间件的核心组件基础上构建的,可以在多种事务处理系统中运行。共同的基础是创建用于处理各种类型风险的专用模块的基本依据。以IT风险管理为例,重要组件就是您管理的资产、该资产的位置、与该资产相关的企业部门以及需要跟踪的安全标准和要求。建立通用、严格的风险管理流程共同平台有助于那些并非是专业风险管理师的人员理解风险管理流程。负责绩效管理的单独业务部门中的管理师可以利用这个通用流程使风险管理与业务目标保持一致。根据澳大利亚/新西兰风险管理流程的模式,要建立用于管理风险事件的共同环境,需要四个关键阶段。即:建立风险环境、识别风险、分析该风险并确定应对措施。第1步—建立风险环境。这第一步定义了基本参数,必须在此参数范围内管理风险。例如,如果您着眼于管理战略风险,那么该环境可能就是要确保公司保持其在创新领域的领先地位。而另一方面,如果您着眼于管理IT风险,那么该环境可能就是要保护对业务运营至关重要的资产和系统。建立风险环境的一部分工作是确定风险标准,应该根据此标准评估风险。关于是否需要处理风险的决策可以基于不同的标准,例如,运营、技术、财务、法律、社会、环境、人道主义或其他标准。此步骤建立了内部和外部环境的一致性,还有助于确定实行风险管理流程的价值。第2步—识别风险。风险识别的目的在于生成一份可能对业务目标有影响的风险和事件根源的完整清单。您可以分别指定风险,或导入预定义风险库,例如,财务合规或与某一类业务或行业相关的风险。该系统还支持调查利益相关方的功能,以构建风险库并通过随时支持利益相关方提出风险建议使风险库保持最新。工作流允许用户通过正确的审核和批准渠道检查建议的风险。它还支持自顶向下和从底至上的风险识别与跟踪的策略。重要的是,您能够识别真正的风险状况,并确保您早早就有人着手缓解风险。识别风险库之后,您就可以确定潜在事件以及与这些风险相关的后果。第3步—分析风险。通过风险分析,您可以评估风险级别,并使用定量和定性分析模型分析影响。在图表中,分析得出了清晰易懂的结果,并显示了风险级别如何随着时间的推移而改变。分析风险之后,您可以评估风险,这涉及到把分析过程阶段期间发现的风险的级别与定义环境时建立的风险标准进行比较。此关键阶段—风险评估—使您可以根据风险分析的结果做出决策。这可以使您看出需要关注的风险,然后建立处理优先级。第4步—确定风险应对措施。识别出重大风险之后,您需要确定处理计划。风险事件发生时,您本质上对如何采取行动会很积极。处理计划列出了管理风险需要的任务或步骤、每个任务的预期影响以及将要执行该任务的人员、团队或自动化控制。单个处理计划可以完成几个潜在的应对措施,而图形可视化工具可帮助确定最有效的应对措施。然后,当风险事件真的发生时,您可以记录事件、将该事件和风险联系起来、并利用为应对该事件而建立的预定处理计划。该步骤也可让您制定事件和丢失历史记录。这一点很关键,因为运营风险历史数据的普遍缺乏尤其限制了更多数据驱动风险诊断工具(例如,联合分析或MonteCarlo模拟)的适用性。注重高风险领域和监控主要风险的控制指标数据驱动分析可随时帮助管理师更加准确地估计损失的频率和潜在严重性。持续的审核和评估对于确保处理计划的贴切性是必不可少的。今天有用的东西可能明天就没用了,因此重要的是不要在风险管理设计中自满。通过审核事件、处理计划及其结果,监控和常规审核可以揭露出风险管理流程的严重教训。这应该被纳入到企业绩效管理衡量和报告系统。风险管理趋向于事后提供信息。目标是及早注意风险,以便有机会主动应对。风险管理流程绘制了一张“热度图”,它显示了要注意的高风险领域以及如何制订用于快速应对的处理计划。控制指标显示主要风险。在您监控主要风险的控制指标时,就会知晓风险级别不断增加或上升的早期警告信号。管理风险的优点传统上,风险管理被看作是保护资产和规避风险的一种方式。因此,如果您以一种宽广的视角来看待何谓风险这个问题,那就是,它基本上不确定、易改变而且总是出人意料。即使有人倾向于关注消极面—不确定性的消极面—但也可能会发生有利于您的情况。当您能够很好地管理风险时,它可以开创新的增长机会和潜在成本节约。例如,如果您是消费类产品公司,您有办法在新兴地区发展供应商,那么您就可以利用该风险获得竞争优势。如果您比您的竞争对手更有能力管理供应商风险,那么您很可能赢得一个竞争对手不得不苦苦追赶的长期的成本优势。比竞争对手能够更好地管理某一类风险也可以是关键的进攻策略。除了可避免损失之外,管理风险的优点与绩效密不可分。企业一直在承担风险以改进其业务。