无知是最大的风险。作者:马富强电邮:ringo.ma@china.com1风险管理简易手册前言今天,风险管理在全球范围内已经成为企业战略管理的核心内容。一位我尊敬的前辈在今年早些时候告诉我,“所有的管理都是风险管理”,让我对自己热爱的事业重新有了认识。我一直自诩为“风险管理和足球运动比较学说”的创始人,喜欢把风险管理之于一个组织类比成中场队员之于一支足球队,是进可攻、退可守的关键位置,最容易被人景仰–如果你足够优秀,也最容易遭人唾骂–如果你不够出色。三年前我在青岛的一个研讨会上打了这个比方,并断言:中国企业风险管理的意识、能力和水平与世界顶级企业相比的差距就象我们的足球和世界先进水平的差距一样大,如果不是更大的话。我很希望事实证明我错了。现在,我很清醒地知道:我是正确的,而且可能将在未来很长一段时间内继续正确下去。我一点也不自豪。我极少把工作上的事儿拿回家,但某一天忍不住向妻子抱怨,国内公司的风险管理实在太落后了,我的耐心已经用光了,我对我事业的前景感到灰心。她象哲学大师一样说了一句话:“这些不足其实都是你的机会”,我因此豁然开朗。在妻子的鼓励下,我决定动笔写这个小册子,献给那些对风险管理有兴趣的人。我对自己能够提供一些有限的帮助感到由衷的高兴。任何读者如果觉得这本小册子对您的工作有小小的启发,请记住一句衷告:扼住风险的喉咙,你就是主宰。我要衷心地感谢GeorgeLazovsky先生,是他带我走进风险管理的殿堂,并让我从中获得了无穷的快乐。祝大家平安健康!马富强2003年5月28日无知是最大的风险。作者:马富强电邮:ringo.ma@china.com21.风险的定义传统定义:风险是损失的不确定性(Riskistheuncertaintyofloss)。当代定义:风险是预期与实际结果的差异(Riskisthevariationbetweenexpectationandpracticalreality)。国际标准组织的定义:风险是事件发生的可能性及其后果的综合(Riskisthecombinationoftheprobabilityofaneventanditsconsequences)。可以轻易看出,人们对风险的认识在进步。当代的风险管理不仅仅研究只可能造成经济损失的风险,也开始研究可以带来收益的风险。对于企业的经营者来说,前者是负面风险,后者是正面风险。在有些时候,同一风险既可能带来损失,也可能带来收益。作为风险管理的一个重要分支,安全管理或风险工程学(RiskEngineering)仅研究负面风险,其目标是如何预防并减少损失,更侧重于防灾防损工程技术方面的研究。本手册探讨的是最新意义上的风险。2.风险管理定义:风险管理就是组织对面临的各种风险进行识别、评估,确定恰当的处理方法并予以实施,以可确定的管理成本替代不确定的风险成本,并以最小经济代价获得最大现实保障的活动。风险管理的核心是对风险进行识别和处理,其根本目标是确保组织经营的稳定、持续和发展。可以说,好的风险管理机制能够增加企业成功的概率,降低失败的可能。风险管理是动态的,始终贯穿于组织战略的制订和执行。风险管理为组织的经营者提供可靠的方法来对付组织面临的各种风险,包括过去、现在和将来的风险,尤其是为决策者提供作为或不作为的依据。风险管理必须同组织的经营文化密切结合,并需要最高管理层的全力支持。风险管理的受托人是风险管理经理(RiskManager),而随着组织决策人对风险管理的日益重视,在风险管理最发达的北美,一些组织中无知是最大的风险。作者:马富强电邮:ringo.ma@china.com3已经出现了首席风险官(ChiefRisksOfficer),负责把组织的战略转化成可操作的各种计划和流程,督促组织各级成员进行实施,并设立严谨的考核体系,以确保组织的运营水平不断提高。风险管理的功能:给组织未来的经营活动提供框架性指导;促进组织决策、规划的科学性;提高组织的经营免疫力;促进组织资源的最优配置;保护组织的资产和形象;提高组织的运营效率;实现组织社会责任目标。风险管理的目标:最低目标:确保组织的生存;中间目标:促进组织的发展;最高目标:实现组织的社会责任。无知是最大的风险。作者:马富强电邮:ringo.ma@china.com43.风险管理流程概述组织面临的各种风险可简单划分成内部风险和外部风险,并可进一步划分为战略风险、财务风险、运营风险和灾害类风险。下面是个简单的示意图(RiskMapping)。财务风险利率外汇信用合同自然灾害供应商环境灾害风险法规组织文化管理人员运营风险战略风险竞争客户变更行业变更市场需求合并、收购现金流研究与发展知识产权会计资产信息系统员工供应链产品与服务市场销售内部因素外部因素外部因素无知是最大的风险。作者:马富强电邮:ringo.ma@china.com5分析组织的经营流程与契约结构也是识别风险的重要方法。无论用那种方法,风险管理都既是一个整体过程,也是一个个决策过程的综合。其步骤大致如下:3.风险的分析与评估4.1风险的识别风险识别是将组织面临的各种不确定因素一一鉴别出来。这需要对组织自身的经营状况、其所在市场的情况,其所处法律、社会、政治和文化环境有深入的认识和了解,同时要求该组织要有明确的经营战略,由此方可识别促使组织成功的因素,以及那些威胁到组织赢取其战略目标的因素。风险的识别是一个动态的过程,随组织和其所在环境的发展变化而发展、变化。风险的识别应当一种系统方法来进行,以确保组织的所有主要活动及其风险都被囊括进来,并进行有效的分类。组织的行为、活动、决策等可用很多方法加以分类,以下是个常见的分类:-与策略有关的风险:关系到组织长远战略目标的风险,例如资本的可获得性、政治风险、法律和政策变更、声誉、竞争态势等等;组织的战略目标风险识别风险描述风险的量化监控与改进深入分析威胁与机会管理报告风险的处理决策审计无知是最大的风险。作者:马富强电邮:ringo.ma@china.com6-与运营有关的风险:关系到组织日常经营的风险;-与财务有关的风险:关系到组织财务状况的风险,例如应收帐款、银行贷款、外汇汇率、利率变动和其他市场风险等;-与知识管理有关的风险:这关系到组织对知识资源的控制与管理,例如知识产权的侵权或被侵权,竞争技术的出现,信息系统的功能错乱,关键技术人员的流失等等;-与合法(合规)经营有关的风险:包括员工的安全与健康、环境污染、消费者权益保护等等;-灾害类风险:主要是指自然灾害或意外事故给组织带来的各种经济损失。有效的风险识别应当形成一个风险清单(RiskManifest),列明组织面临的各种主要风险。4.2风险的描述将风险识别出来以后,通常需要使用一些表格的形式对风险的特征进行精确的描述。无论是对组织的日常经营,还是针对某个特定的项目,都可以采用这种做法。其适用性非常广泛。见下表。条目描述1风险的名称2风险的波及范围风险本身、其类型、大小、数量的定性描述3风险的分类策略类、运营类、财务类、知识管理类、合法经营类、灾害类等等4风险的参与者谁分担这些风险?各自期望如何?5风险的量化频率与烈度6对风险的期望暴露于风险之下的总价值;潜在损失或收益的规模与概率;风险控制的目标以及预期。7风险的处理和控制对风险进行处理的现行方法;信心指数;审核与监控的方法。8潜在的改进措施进一步减少风险的方法与措施9策略的制订确定风险管理策略,并责成职能部门负责日常监管。无知是最大的风险。作者:马富强电邮:ringo.ma@china.com74.3风险的量化任何风险最后都需要用数字或精确的文字描述来表述,否则是无法被大多数人正确认识的。对于风险的量化,一般是通过分析两个维度,即发生的频率(Frequency)与一旦发生所造成后果的严重程度(Severity),来进行的。这种方法既适用于“负面风险”-即只有可能造成损失的风险,也适用于“正面风险”-即有可能造成收益的风险。风险量化通常可以通过距阵分析发来进行,距阵数列越多,量化得越精密。一般说来,风险管理专家通常使用3x3或5x5距阵。读者可以根据自己组织的具体情况进行选择。下面是一些简单的例子。关于发生频率的分析–损失量化估计描述重要迹象高很可能发生每年都可能发生,或者发生概率高于0.25十年内已多次发生;最近三年内发生过。中有可能发生每十年发生一次,或发生概率小于0.25十年内发生过超过一次;历史上曾经发生过。低不太可能发生十年内不太可能发生,或发生概率小于0.02从来没有发生过;根据合理掌握的知识认为不太可能发生。读者们不妨根据上表分析一下“非典型性肺炎”这种风险再次爆发的可能性。关于发生频率的分析–收益量化估计描述重要迹象高很可能发生一年内可取得最好的预期成果,或成功概率大于0.75短期内依靠现有体制并有明确机会取得确定性成果。中有可能发生一年内可取得合理的预期成果,或成功概率在0.25到0.75之间短期内按照预定计划并在现有体制内无法取得成果,但采取恰当措施则有可能。低不太可能发生一年内不太可能获得预期成果,或成功概率小于0.25短期内按照预定计划并在现有体制内无法取得成果,管理层暂时也没有恰当的办法。无知是最大的风险。作者:马富强电邮:ringo.ma@china.com8关于后果严重程度的分析–损失与收益高-对组织财务状况的冲击巨大;-对组织战略和经营活动造成重大影响;-引起各关系方的高度关注。中-对组织财务状况的冲击较大;-对组织战略和经营活动造成较大影响;-引起各关系方的较多关注。低-对组织财务状况的冲击较小(在心理承受线以下);-对组织战略和经营活动没什么影响;-各关系方不会有很多关注。5x5距阵是在“低”与“中”之间加一个“一般”,在“中”与“高”之间加一个“较高”,这样将形成五个等级。至此,读者可以综合考虑一下,对一个出口型企业来说,应当如何评估其产品在海外市场遭到反倾销投诉的风险。下图是个简单的3x3距阵。4.4风险识别与分析的方法和技巧风险的识别与分析有很多方法、技巧,一般说来,以下这些是最常用的:风险识别-头脑风暴(集思广益);-合同结构分析;-问卷调查;-行业参照;-业务流程分析;-情境分析(最好和最差情境);-事件分析;-研讨会;-调查与审计。无知是最大的风险。作者:马富强电邮:ringo.ma@china.com9风险分析对于“正面风险”:-市场调研;-前景预测;-研究与发展;-实验性营销;-冲击力分析。对于“正面风险”和“负面风险”-组织依存模型分析(泛契约关系模型分析);-SWOT分析;-事件树分析法;-持续经营计划(BCP);-BPEST分析(商业、政治、经济、社会、技术分析)-统计分析与推论;-PESTLE分析(政治、经济、社会、技术、法律、环境分析);-散布与倾向分析。对于“负面风险”-威胁分析;-失误树分析;-FMEA分析(失败模式与效果分析)。4.5风险剖面图上述风险分析完毕后,就可以画出任意风险的剖面图,并开始探求对任意风险的处理方法。风险剖面图需要列明风险的种类,性质,分析(频率与后果),参与方/关系方,并提议处理方法。由于经常为一些项目提供风险管理咨询,我本人非常习惯使用特定格式来画风险剖面图。附件一是个简单的例子。风险的分析与评估需要达到这样一个效果,即任意风险都要有明确的归属。风险的承担者可以是组织本身及内部的各个构成,也可以是与组织有契约关系的其他组织。无知是最大的风险。作者:马富强电邮:ringo.ma@china.com105.风险的处理通过对风险进行分析和评估,组织的管理层应当已经识别出了影响组织战略目标的风险以及其归属,需要考虑采取那些手段对风险进行处理。主要手段包括:1.避免(不去做某事以不承担任何风险);2.自留(由组织自身承担);3.控制与弱化(安全管理,降低风险的频率和烈度);4.转移(在契约关系方之间进行);5.财务处理(保险与其他方式)。成熟的组织应当首先考虑前端处理方法,然后按顺序考虑中、后端处理方法。这是因为对风险的处理越靠近前端,组织就越主动,处理成本就越好控制。任何风险处理系统