作者:李素鹏著
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
风险矩阵在企业风险管理中的应用——详解风险矩阵评估方法试读:
前言
各种类型及规模的组织在生存和发展的过程中都会面临各种各样的风险,这些风险有可能影响到其目标的实现。组织的目标可能涉及各类活动,包括战略规划、运行过程及项目等,也可能体现在社会、技术、环境和安全结果以及商业、财务和经济措施方面。
企业风险管理有两个基本前提,一是为利益相关方带来价值,二是正确面对不确定性。对企业管理者而言,其面临的挑战就是在帮助利益相关方实现增值的同时,还要应对各种不确定性。不确定性来源于无法明确的潜在事件,这些事件发生的可能性不确定,结果也不确定。企业经营过程中的许多因素都会给企业带来不确定性,如全球化进程加快、技术革新、企业重组、市场变化以及竞争加剧等。
作为CEO (总经理) ,你肯定想知道自己的企业当前或未来某个时间将面临什么风险,这些风险有多大,其分布又是什么样的以及应该怎样应对它们。
作为PM (项目经理) ,你也肯定想知道自己负责的项目在当前或未来某个时间将会面临哪些风险,这些风险有多大,它们是怎么分布的以及有哪些应对策略和方法?
企业可以通过评估不确定性和未来事项或环境变化的可能性及其对约定目标的影响,对各项活动中存在的风险进行有效管理。
风险评估为企业决策提供重要的参考依据。企业要不要跟踪某个“机会”,要不要针对某个“威胁”制定风险预案或风险控制措施,很大程度上取决于该“机会”是否符合企业的发展目标,该“威胁”是否超过了企业的风险容忍范围。企业只有关注风险、准确评估风险,才能在应对风险时处于最佳状态。
风险评估的方法和技术很多,风险矩阵方法以其简洁、直观等优点被广泛应用。中国国务院国资委2006年在《中央企业全面风险管理指引》的附录中也特别推荐了该方法,并要求各中央企业在之后每年的风险管理报告中应用这种方法绘制企业重大风险的风险矩阵图。
在lSO/lEC 31010:2009《风险管理——风险评估技术》标准里, lSO和lEC一共推荐了31种方法,本书着重讲述了第29种方法“Consequence / probability matrix”(后果/可能性矩阵)。
本书主要解决以下五个核心问题。
1.揭示风险准则与风险矩阵的关系。
2.用风险矩阵图揭示企业的风险分布以及各风险的风险等级。
3.利用Borda方法打开定性和半定量风险矩阵图所产生的风险结。
4.基于定量风险评估,用权值法估算组织(企业整体或某业务)的总风险值。
5.用风险矩阵图监测与评审企业风险管理的状况和绩效。
为了方便读者理解和应用,本书提供了丰富的案例,并以大量的图表对风险矩阵法的各个细节进行了分解说明。本书介绍的各种方法和图表均适用于企业的风险管理实务。
本书在编写过程中得到了国务院国资委研究中心、中国风险管理与内部控制研究中心相关专家的支持和帮助,在此表示感谢!李素鹏2013年1月于北京 第1章风险矩阵概述
风险是指不确定性对目标的影响;风险管理是指针对风险所采取的协调活动。风险矩阵是从风险后果及其发生的可能性两个维度来分析风险的等级,并揭示风险的重要性。
定性分析关注事物的“质”,用语言文字表示其过程和结果;定量分析关注事物的“量”,用数据表示其结果。定性分析和定量分析相辅相成。风险矩阵适合定性分析和半定量分析,由风险矩阵演变而来的“风险坐标图”则适合定量分析。1.1 风险1.1.1 风险的由来
在我国,对于“风险”一词的由来,较为普遍的一种说法是:渔民们每次出海前都要祈祷,祈求神灵保佑自己能够满载而归。他们在长期的生活实践中,深深地体会到“风”会带给他们无法预测的危险,认为“风”即意味着“险”,于是就产生了“风险”一词。
还有一些人认为“风险(Risk)”一词是舶来品,他们中有人认为“风险”来自阿拉伯语,也有人认为这个词来源于西班牙语或拉丁语,但比较权威的说法是来源于意大利语的“Risque”一词。在早期的运用中,该词被理解为客观的危险,体现为自然现象或者航海遇到礁石、风暴等事件。还有人认为“Risk”一词来自古希腊单词“Rhiza”,该词表示靠近峭壁航行危险,有可能撞上礁石,有可能碰上暗流,还有可能遇上从崖上掉下来的石头。
17世纪中叶,欧洲科学家帕斯科首先用“概率”理论说明了风险的内涵,并给予了科学的解释。保险公司开展人寿保险业务时,要用概率论算出人们的预期寿命,以决定是否接受投保,防止赔钱。大约到了19 世纪,“风险”一词常常用法文拼写,主要用于与保险有关的事情。
现在,英语词典对Risk的解释为:
1.a source of danger;a possibility of incurring loss or misfortune.
一个危险源,一种招致损失和灾难的可能性。
2.a venture undertaken without regard to possible loss or injury.
一种不注意损失和伤害的冒险。
现代意义上的“风险”,已经大大超越了“遇到危险”的狭义含义,可以扩展为“遇到破坏或损失的机会”。这里的“机会”是指可能性,而不是指“机遇”。可以说,经过几百年的演绎,随着人类活动复杂性的加剧,风险一词也越来越被概念化,并被赋予了更广泛、更深层次的含义。“风险”与人们的决策和行为后果之间的联系越来越紧密,并逐步成为人们生活中出现频率很高的词汇。
在2009年11月国际标准化组织(lSO)发布《lSO Guide 73:2009 风险管理——术语》之前,各种组织、各个行业对“风险”一词有着各种各样的定义和描述。但它们往往强调风险的危害性和损失,很少兼顾风险的机遇性和收益。所以,在日常生活中,风险常常指发生不幸事件的概率。换句话说,风险就是一个事件产生的人们不希望的后果的可能性。
企业在实现其经营目标的过程中,会遇到各种不确定性事件,这些事件发生的概率及其影响程度往往是事先无法预知的。这些不确定的事件将对企业的经营活动产生影响,从而影响企业目标的实现。这种在一定环境下和一定限期内客观存在的、影响企业目标实现的不确定性就是“风险”。
造成“风险”定义各不相同的主要根源是由于人们对风险的理解和认识程度不同,或对风险的研究角度不同。下面列举几种有代表性的观点。
第一种观点:风险是损失发生的不确定性。
这种观点又分为主观学说和客观学说两类。主观学说认为不确定性是主观的,是个人对客观事物的主观估计,是个人心理上的一种感觉,不能以客观的尺度来衡量。主观学说认为不确定性的范围包括发生与否的不确定性、发生时间的不确定性、发生状况的不确定性以及发生结果严重程度的不确定性。客观学说以风险客观存在为前提,以风险事故表现为基础,通过数学和统计学观点加以定义,认为风险可用客观的尺度来度量。
第二种观点:风险是指可能发生损失的程度的大小。
这种定义流行于保险行业,他们认为风险可以引申定义为“预期损失的不利偏差”,其不利是针对保险公司或被保险企业而言的。
第三种观点:风险是事件未来可能发生的不确定性。
该不确定性可通过收益分布的方差测度。由于方差计算的便捷性,风险的这种定义在实践中得到了广泛的应用。
第四种观点:风险是指损失的大小和发生的可能性。
风险是指在一定条件下和一定时期内,由于各种结果发生的不确定性,导致行为主体遭受损失的大小以及这种损失发生可能性的大小。风险是一个二维概念,通过损失发生的大小与损失发生的概率两个指标进行衡量。
第五种观点:风险是风险构成要素相互作用的结果。
风险因素、风险事件和风险结果是风险的基本构成要素。风险因素是风险形成的必要条件,是风险产生和存在的前提。风险事件是外界环境变量发生始料未及的变动从而导致风险结果的事件,它是风险存在的充分条件,在整个风险中占据核心地位。风险事件是连接风险因素与风险结果的桥梁,是风险由可能性转化为现实性的媒介。1.1.2 保险行业对风险的定义
保险行业将风险定义为“一种客观存在的损失的发生具有不确定性的状态”。该定义认为:风险是一种客观存在的状态,是一种与损失相关的状态。
在保险行业,风险的组成要素包括风险因素、风险事故和损失。
风险因素是指增加损失发生的频率或严重程度的因素,包括有形(物质形态)的风险因素和无形(非物质形态)的风险因素,如道德风险因素等;风险事故是指发生损失的直接原因;损失是指价值的消灭或减少。
保险行业把风险分为可保风险和不可保风险。可保风险是保险人愿意承保并能够承保的风险。判定可保风险的条件如下。
1.风险确实存在,并且有发生重大损失的可能。如果不存在风险就不需要保险,或者如果风险发生后导致的损失小,当事人自己就可以承担,也就没有必要寻求保险保障。
2.风险必须是意外的。针对某个单独保险标的而言,风险的发生是偶然的,并且不是故意行为导致的。风险必须是大量标的均有损失的可能,但是大量标的没有同时损失的可能。否则,保险人的生存就成了问题。只有发生大量可能遭受同样风险的事件,保险人才能估算其损失。
3.风险必须是非投机性的。如果保险人承保投机风险,则被保险人可能因发生风险而获得保险赔款等利益。
4.风险具有现实可测性。被保风险有可测性,保险人才可能通过测度厘定费率。
5.保险成本必须具有经济性。如果为了避免此项危险,其所需保险费用过高,则会造成被保险人的沉重经济负担,这并非保险的本意。保险在于提供保障,而非影响生产,更不可能创造收益。
6.合法性。保险所承保的标的必须合法,否则均不可保。1.1.3 COSO 对风险的定义
COSO在《COSO ERM——lntegrated Framework》中这样定义“风险”:风险是一个事件将会发生并给目标实现带来负面影响的可能性。
COSO认为事件对目标的影响可能是正面的,也可能是负面的,其中负面的代表风险,正面的被称为机会。为此, COSO也给“机会”下了定义:机会是一个事件将会发生并给目标实现带来正面影响的可能性。
在COSO ERM整合框架中, ERM是指“企业风险管理”。为了准确描述该整合框架, COSO在给“风险”下定义之后,也给“企业风险管理”明确了定义。COSO认为“企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的各个部门和各项经营活动,用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险,对企业目标的实现提供合理的保证”。
要想“确认可能影响企业的潜在事项并在其风险偏好范围内管理风险”,就需要企业对风险进行科学、准确的评估。要想具备这种评估能力,企业需要不断努力,除建立必要的评估模型外,还要进行充分的信息采集和必要的分析计算。
COSO把企业风险管理的目标定义为以下四个方面。
· 战略目标
· 经营目标
· 报告目标
· 合规目标
其中,战略目标和经营目标的实现并不总在企业的控制范围之内;报告的可靠性、合法合规性这两类目标的实现都在企业的控制范围内,其实现取决于企业内部相关活动执行得好与坏。1.1.4 国际标准化组织(ISO)对风险的定义
lSO对“风险(Risk)”的认识也是逐步完善的,这通过lSO Guide 73“风险管理术语”标准在2002年和2009年的两个不同版本即可看出。
1.ISO Guide 73:2002对风险的定义
Risk:Combination of the probability of an event and its consequence.
NOTE 1.The term“risk”is generally used only when there is at least the possibility of negative consequences.
NOTE 2.In some situations, risk arises from the possibility of deviation from the expected outcome or event.
NOTE 3.See ISO/IEC Guide 51 for issues related to safety.
该定义认为:风险是某一事件发生的可能性(或概率)与其后果的组合。
注1,术语“风险”通常仅应用于至少有可能会产生负面后果的情况。
注2,在某些情况下,风险起因于与预期的后果或事件偏离的可能性。
注3 ,与安全有关的概念,参见lSO/lEC Guide 51。
2.ISO Guide 73:2009对风险的定义
Risk:Effect of uncertainty on objectives.
NOTE 1.An effect is a deviation from the expected —positive and/or nega-tive.
NOTE 2.Objectives can have different aspects (such as financial, health and safety, and environmental goals) and can apply at different levels (such as strategic, organization-wide, project, product and process) .
NOTE 3.Risk is often characterized by reference to potential events and con-sequences, or a combination of these.
NOTE 4.Risk is often expressed in terms of a combination of the consequences of an event (including changes in circumstances) and the associated likelihood of occurrence.
NOTE 5.Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an event, its consequence, or likeli-hood.
lSO对风险的新定义是:风险是不确定性对目标的影响。
注1,影响可能偏离预期——正面的和/或负面的。
注2,目标可以有不同的方面(如财务、健康安全以及环境目标),并应用于不同的层次(如战略、组织整体、项目、产品和过程)。
注3,风险常具有潜在事件和后果,或二者结合的特征。
注4,风险经常用一个事件的后果(包括情况变化)和对应的发生可能性这二者的结合来表示。
注5,不确定性是缺乏或者部分缺乏对一个事件及后果或发生可能性的相关信息,了解或认识的状态。
该新定义强调了以下三点。
·风险是一种影响,该影响可能是正面的,也可能是负面的。也就是说,风险可能是机会,产生收益;也可能是威胁,导致损失。
· 风险的基本属性是不确定性。
· 风险是对特定目标而言的。在风险管理中,没有目标,就不存在风险。
在lSO 31000:2009标准中,也出现了“风险”术语的定义,该定义完全引用了lSO Guide 73:2009对“风险”的描述。
本书对“风险”概念的约定:完全等同采用lSO Guide 73:2009对“风险”的定义。承认风险影响的二重性,即正面的和负面的;承认风险的目标性、时间性,以及不确定性;承认风险的客观性和可管理性。1.1.5 风险的特性
风险有很多特性,下面列举一些供读者参考。
第一,风险具有客观性和普遍性。风险是客观存在的,无论是作为损失发生的不确定性,还是机会发生的可能性,风险都是不以人的意志为转移的,并超越人们的主观意识而客观存在。在组织的全生命周期内,在项目的全生命周期内,风险是无处不在、无时不有的。虽然人类一直希望认识和控制风险,但直到现在也只能在有限的空间和时间内改变风险存在及发生的条件,降低其发生的可能性,或减少其损失程度,而不能也不可能完全消除风险。
第二,风险的不确定性。风险何时发生,何地发生,如何发生,发生后带来多大损失或收益,等等,都有很大的偶然性,对于独立的个体来说,事先难以确定。任何一种具体风险的发生都是诸多风险因素和其他因素共同作用的结果,是一种随机现象。但从总体上看,有些风险是必然要发生的。例如,在生命风险中,死亡是必然发生的,这是人生的规律,是一种必然现象,但是具体到某一个人何时死亡,在其健康时却是不可能确定的。风险具有偶然性和必然性,随着人类的进步,人们越来越多地使用概率统计方法及其他现代风险分析方法计算风险发生的概率和损失程度,这在一定程度上推动了风险管理学科的发展。
第三,风险具有可变性。组织面临的各种风险在质和量上是可以变化的。随着时间的推移,组织内外部环境都会发生变化,有些风险会“自动”消失,有些风险则可能与日俱增;有些风险在潜在状态下会得到控制并消除,有些风险则会发生,然后得到处理。值得注意的是:在组织前进的每一阶段都可能产生新的风险。
第四,风险具有多样性和多层次性。不同的组织面临的风险不尽相同,同一个组织在发展的不同时期所面临的风险也不尽相同。即便是同一组织内部的不同层级或同一层级的不同部门,它们面对的风险也不尽相同。对大型项目而言,其周期长、规模大、涉及面广,它所涉及的风险与小项目相比,不仅数量多,而且种类繁杂。
第五,机会风险和收益具有相互转化性。机会风险和收益是一对孪生姐妹,人们常说的“高风险,高回报”或“高收益一定伴随着高风险”中的风险就是指“机会风险”。天上不会掉馅饼,世上也没有免费的午餐。只有在特定条件下,机会风险才会转化为收益。
第六,风险具有可管理性。虽然风险具有不确定性和可变性,但是,随着人们对“风险”和“不确定性”的认识逐步深入,风险的可管理性也将日益突出。
在上述这些特性中,第一点和第二点是风险的基础特性,它们揭示了风险的客观性、普遍性和不确定性;之后的几个特性多是由风险的不确定性演变而来,如可变性、多样性、可管理性等。在研究和管理风险时,对“不确定性”的把握是关键。1.1.6 风险分类与风险目录
关于风险的种类,其划分方式多种多样。前面讲到,不同行业对风险有不同的理解和定义,这直接影响到他们对风险的划分。
对于一个组织而言,可以把风险分为内部风险和外部风险,也可以按照风险后果的性质把风险分为威胁风险(纯粹风险)和机会风险。
1.Basel委员会对风险的划分
在旧Basel协议中, Basel 认为银行的风险主要是信用风险和市场风险;在新Basel协议(Basel ll)中,除了这两种风险外,又增添了“操作风险(operation risk)”;在Basel lll中,又新添了“流动性风险”和“系统性风险”。于是,全球银行业现在统一把银行风险划分为以下几项。
· 信用风险
· 市场风险
· 操作风险
· 流动性风险
· 系统性风险
我国银监会还特别追加了“信息科技风险”和“声誉风险”这两种风险,并发布了相应的指引。
2.美国COSO对风险的划分
COSO委员会并没有对企业的风险进行分类,但在其COSO ERM整合框架中,指出了四个目标:战略目标、运营目标、报告目标、合规目标。所以业界一般认为, COSO对企业风险的一级分类如下。
· 战略风险
· 运营风险
· 报告风险
· 合规风险
3.中国国务院国资委对风险的划分
在2006年6月国资委发布的《中央企业全面风险管理指引》中,其“第三条”明确指出:本指引所称企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。
国资委每年在考核各直属企业的风险管理工作时,也要求他们参照以下五类风险进行评估。
· 战略风险
· 财务风险
· 运营风险
· 市场风险
· 法律风险
详细信息请参考本书的附录B。
4.风险目录
任何一个组织(企业或NPO)都会面临各种各样的风险,为了管理风险、稳健发展,必须对风险进行分类,并建立相应的风险目录(risk catalog)。在lSO Guide 73:2009标准里,与“风险目录(risk catalog)”相关的术语有“风险登记(risk register)”、“风险描述(risk description)”,以及“风险状况(risk profile)”。
企业可根据不同机构进行风险分类,如银行可把自己的风险分为信用风险、市场风险、操作风险、流动性风险等,国务院国资委直属中央企业可把自己的风险分为战略风险、运营风险、财务风险、市场风险、法律风险等;企业也可依据组织的实际情况进行个性化划分,如项目风险、政治风险、型号风险、声誉风险等。
风险目录是风险分类的一种表现,一般采用分级描述。在风险管理实务中,一般采用集中分布式管理。所谓分级描述,就是把组织的风险分为两级、三级或四级进行描述,其中,上一级是下一级的汇总,下一级是对上一级的分解描述;同级风险之间具有互斥性,即相互独立。所谓集中分布式管理,是指不同的级别由不同的风险责任人负责,但作为整体,组织应该对自身的所有风险有一个集中管理,这种集中管理一般由董事长或总经理(CEO)负责,或者由其授权的首席风险官(CRO)负责。
风险目录没有固定的格式,一般可表现为如表1-1所示的形式。表1-1 风险目录举例
风险目录源于风险评估结果,用于风险监测与评审,是组织全面系统地掌握自身风险的有效工具。有时,风险目录也用于风险识别,但值得注意的是,绝不能仅仅依靠风险目录进行风险识别,否则将有重要的风险被忽略。
风险目录的完善是一个与时俱进的过程,企业每次在风险评估结束后,应对风险目录进行及时更新,否则风险目录就会失真,从而影响组织对风险的及时把握和有效管理。
另外,风险目录的层级应与企业的组织结构相匹配,否则在常态化的维护中就会遇到授权或人力不足等困难。1.2 风险评估
COSO、BSl、AS/NZA等组织之前都对风险评估做过定义,并确定了一些风险评估流程。lSO31000:2009《风险管理——原则与指南》标准把“风险管理”定义为“针对风险所采取的指挥和控制组织的协调活动”,认为“风险管理过程”是将管理方针、程序和操作方法系统地应用到沟通与咨询、建立环境,以及识别、分析、评价、应对、监测与评审风险的活动中的过程。lSO31000:2009用图1-1直观地描述了风险管理过程。图1-1 ISO31000: 2009 推荐的风险管理过程
风险管理的主过程分为以下四个步骤:
第一步是“建立环境”;
第二步是“风险评估”;
第三步是“风险应对”;
第四步是“监测与评审”。
其中第二步“风险评估”是风险管理过程的核心。组织如果不能识别风险,不能分析和评价风险的大小或严重性,就无法有的放矢地应对风险和管理风险。
lSO31000:2009将“风险评估”定义为:风险识别、风险分析和风险评价的全过程。
该定义说明风险评估包括风险识别、风险分析、风险评价三个子过程,它们缺一不可。
风险评估不仅是风险识别、风险分析和风险评价三个子过程的的全过程,而且也指明这三个子过程是按顺序执行的,如图1-1中的阴影部分所示。其中,
1.“风险识别”(risk identification)是发现、承认和描述风险的过程。风险识别包括对风险源、风险事件、风险原因及其潜在后果的识别。风险识别包括历史数据、理论分析、有见识的意见、专家的意见,以及利益相关方的需求。
2.“风险分析”(risk analysis)是理解风险性质和确定风险等级的过程。风险分析为风险评价和风险应对决策提供基础;风险分析包括对风险的估计,如对后果大小的估计和可能性大小的估计。
3.“风险评价”(risk evaluation)是把风险分析的结果与风险准则相比较,以决定风险和/或其大小是否可接受或可容忍的过程。正确的风险评价有助于组织对风险应对的决策。
在风险管理实务中,在风险评估的不同阶段都有不少合适的方法与技术可被采用,如表1-2 所示。为了方便使用 lSO31000:2009 标准, lSO 委托 lEC 开发了lSO31010:2009《风险管理——风险评估技术》标准,并在其附录B 中推荐了31种常用的风险评估方法与技术,风险矩阵法也在其中。表1-2 风险评估方法在风险评估各子过程的适用性
注:表中SA表示非常适合, A表示适合, NA表示不适合。
在lSO31010:2009 中,风险矩阵法被称为“Consequence/probability matrix”(后果/可能性矩阵)。lSO31010:2009 认为:风险矩阵法非常适用于风险识别和风险分析,比较适用于风险评价。关于风险评估过程和风险评估方法的详细介绍,可参考《lSO风险管理标准全解》一书。
国务院国资委在2006年6月发布的《中央企业全面风险管理指引》的第三章也对“风险评估”做了详细描述,原文如下。
第三章 风险评估
第十八条 企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个步骤。
第十九条 风险评估应由企业组织有关职能部门和业务单位实施, 也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。
第二十条 风险辨识是指查找企业各业务单元、 各项重要经营活动及其重要业务流程中有无风险,有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
第二十一条 进行风险辨识、 分析、 评价, 应将定性与定量方法相结合。 定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡洛分析法)、失效模式与影响分析、事件树分析等。
第二十二条 进行风险定量评估时, 应统一制定各风险的度量单位和风险度量模型,并通过测试等方法,确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化,定期对假设前提和参数进行复核和修改,并将定量评估系统的估算结果与实际效果对比,据此对有关参数进行调整和改进。
第二十三条 风险分析应包括风险之间的关系分析, 以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,从风险策略上对风险进行统一集中管理。
第二十四条 企业在评估多项风险时, 应根据对风险发生可能性的高低和对目标的影响程度的评估,绘制风险坐标图,对各项风险进行比较,初步确定对各项风险的管理优先顺序和策略。
第二十五条 企业应对风险管理信息实行动态管理, 定期或不定期实施风险辨识、分析、评价,以便对新的风险和原有风险的变化重新评估。
注:该《指引》中的“风险辨识”对应 lSO31000:2009 标准中的“风险识别”。
风险评估不仅用于企业对新风险的识别和评价,对企业内部控制系统的有效性评价,也需要实施风险评估。1.3 矩阵图1.3.1 矩阵图的形式
从结构上划分,矩阵图可分为m×n矩阵和n阶方阵。n阶方阵是指行数和列数数量相同的矩阵,如3×3矩阵、4×4矩阵、5×5矩阵等;m×n矩阵(m≠n)是指行数和列数不相等的矩阵,如3 ×4矩阵、4 ×5矩阵、6 ×5矩阵等。为形象起见,下面以图示说明方阵和m×n矩阵的异同。图1-2为5×5方阵,图1-3为5×6矩阵。图1-2 5×5 方阵示意图图1-3 5×6 矩阵示意图
从图1-2 和图1-3 可见,矩阵图由行和列构成,图中的空白区域就是矩阵(Matrix);其中行和列交叉的部分称为单元格(Cell) ,如图1-3中的单元格C就是行B-3与列A-2的交叉部分,单元格D就是行B-2与列A-5的交叉部分。1.3.2 构建和制作矩阵图的步骤
矩阵图不是随性而定的。制作矩阵图一般要遵循以下几个步骤。
1.确定该矩阵图将用来揭示什么现象,解决什么问题,如质量问题、效益问题、风险问题等。
2.找出问题的关键因素,并确定其中的两个因素作为矩阵图的两个变量。由于矩阵图是二维平面的,所以它只能研究两个参数或变量。
3.确定两个参数的变化规则,并给出各种状态的说明。
4.根据决策需要或各参数对应的数据的可得性,确定矩阵的阶数,即行数和列数。
5.把确定的两个参数排列成行和列(即横轴和纵轴) ,绘制矩阵图,并把两个参数的变化规则标示在对应的行和列上。
6.根据已知的两个参数的数据,在成对的参数交叉处做出标记。
7.重复步骤6 ,直到所有的数据都被标记在矩阵图中。
在上述步骤中,前四步最为重要!步骤1至3看似与矩阵图关系不大,其实它们回答了下面三个关键问题:
· 研究对象和研究目标与研究方法的匹配性;
· 构成研究对象的两个关键因素;
· 矩阵的行数和列数,以及矩阵中各单元格的含义。
由此可见,如果没有前三步,矩阵图只是形式,并没有真正含义。1.3.3 矩阵图的应用场合
矩阵图的应用比较广泛,如竞争对手分析,新产品策划,探索新的课题,应对措施(如纠正措施、控制措施等)排序。
另外,在明确事件关系或展开组织的方针目标时也都可以应用矩阵图。下面针对两种应用情况进行举例说明。
例1:竞争对手分析
表1-3和图1-4用于分析说明某公司竞争对手在产品技术先进性及市场占有率方面的情况。表1-3 某公司竞争对手的技术先进性和市场占有率情况
将表1-3中的信息用矩阵图来表示,可得图1-4。图1-4 某公司竞争对手的技术先进性和市场占有率情况分布
通过图1-4可知:竞争对手C和E值得关注。其中,竞争对手C的技术先进性与竞争对手B一样,但其市场占有率很高,说明其市场营销工作做得不错。竞争对手E的技术先进性很高,但目前的市场占有率不是很高,如果认可技术的先进性与市场占有率相关,那么E将是一个很有竞争力的对手,值得重视。
例2:新产品策划
表1-4和图1-5用于说明某公司在新产品策划时对新产品研发耗时耗资方面的情况。表1-4 某公司研发新产品在时间和资金方面的评估分析
将表1-4中的信息用矩阵图来表示,可得图1-5。图1-5 某公司研发新产品在时间和资金方面的评估结果展示
由图1-5可见:如果只考虑时间和资金两个因素,新产品A和B的表现为佳,它们耗时较短,耗费资金也不是很高,处于新产品开发的较高优先级;C次之, D和E更次之。当然,在企业的实际经营过程中,还要考虑相关产品的战略意义和技术难度等因素。
通过上面的两个例子可以看出:矩阵图在研究成对因素的问题方面有优势,其直观的表现形式,不仅便于分析人员使用,而且便于决策者参考。1.4 风险矩阵1.4.1 风险矩阵的定义
风险矩阵方法由美国空军电子系统中心(Electronic Systems Center, ESC)的采办工程小组于1995年4月提出。在项目管理过程中,风险矩阵是识别项目风险重要性的一种结构性方法,它能够对项目风险的潜在影响进行评估,是一种操作简便,且把定性分析与定量分析相结合的方法。自1996年以来, ESC的很多项目都采用风险矩阵方法进行风险评估。为了改进风险矩阵方法的应用,美国的MlTRE 公司还开发了一套风险矩阵应用软件。
其实,从1969年起,美国就开始在国防高技术采办中实施系统的风险研究。他们积极探索风险管理技术,制定详尽的风险管理指南,成立专门的风险管理组织,开展富有成效的风险管理工作。现在,风险管理在美国国防采办中已经成为一项“法定性”的工作。“风险矩阵”译自Risk Matrix,与其说它是一种常用的风险评估方法,不如说它是一种有效的风险管理工具。在本书第10 章,我们将介绍风险矩阵在风险管理“监测与评审”中的应用情况。
在lSO Guide 73:2009《风险管理——术语》标准中,国际标准化组织(lSO)把Risk Matrix (风险矩阵)作为术语来对待,对其定义如下。
Risk matrix:tool for ranking and displaying risks by defining ranges for conse-quence and likelihood.
即:
风险矩阵:一种通过定义后果和可能性的范围,对风险进行展示和排序的工具。
该定义看似简单,却给出了如下约定。
· 首先,风险矩阵是一种工具。该工具用于展示风险,并对风险进行排序。
· 其次,风险矩阵关乎两个要素:风险发生的后果及其可能性。
·最后,使用这种工具时,需要定义后果和可能性的范围。该范围可以是定性的,也可以是定量的。
风险矩阵可以用列表的形式,也可以用图谱的形式。在风险管理实务中,在风险识别阶段一般用列表展示,便于穷举,如表1-5所示;在风险分析和评价阶段一般用图谱方式,以展示各风险的分布状况,如图1-6所示。表1-5 列表式风险矩阵
注:表中阴影部分(后果大小、可能性、风险等级)在风险分析后才能填写。
在lSO/lEC 31010:2009《风险管理——风险评估技术》标准中, lSO/lEC称风险矩阵为“Consequence/probability matrix”(后果/可能性矩阵) ,见 lSO31010:2009 B.29 (即附录B的第29种方法)。风险矩阵如图1-6所示。图1-6 ISO/IEC 推荐的风险矩阵图谱
在图1-6中:
区域l为红色区域,位于矩阵图的右上角;
区域V为灰色区域,位于矩阵图的左下角;
在灰色区域与红色区域之间,从左下到右上,又被分为绿色区域(区域lV)、蓝色区域(区域lll)和黄色区域(区域ll)。
这种图很直观,从左下角到右上角,越接近右上角的区域,其风险越大,组织的决策者越应该重点关注。反之,越接近右下角的区域,企业的高管层越不必去关注。
在风险管理的初级阶段,一般只对风险矩阵做“红、黄、绿”三级区分,如图1-7所示。这样,管理者很快就能识别出哪些风险在需要高度关注和频繁关注的红色区域,以及哪些风险在可以不用太投入精力和资源的绿色区域。图1-7 风险管理初级阶段常用的风险矩阵图
值得注意的是:当利用风险矩阵做定量风险分析时,我们称之为“风险坐标图”。详见本书第7章的内容。1.4.2 风险矩阵的输入
从1.4.1节的介绍可知,要使用风险矩阵法,就需要构建风险矩阵;要构建风险矩阵,就必须事先确定“后果准则”和“可能性准则”,然后画出二维矩阵单元图。通过风险分析,获得特定风险的后果C值及其发生可能性L值。有了这些输入条件和“数据”(含定性的文字说明),就可以在风险矩阵图上进行处理。如果想要明确风险的重要性,就还要确定“风险重要性准则”。所以,风险矩阵法的输入一般包括以下六个方面。
· 后果准则(亦称C准则)
· 可能性准则(亦称L准则)
· 风险重要性准则(亦称S准则)
· 关于后果和可能性的二维矩阵单元图
· 特定风险的后果C值
· 该后果发生的可能性L值
除上述六个方面外,还有一个非显性输入,即“控制准则”,用于评价组织现有的控制水平,与风险大小或风险等级相关。1.4.3 风险矩阵的输出
风险矩阵法的输出很简单,也很直观。有了上述的输入条件和“数据”(含定性的文字说明)后,便可在风险矩阵图上按照横轴和纵轴的标示“刻度”(或“量级”)描绘该风险的风险等级,再对照风险重要性准则,便可知道该风险的重要性级别。所以,风险矩阵法的输出主要有两个,分别是特定风险的风险等级和特定风险的重要性级别。1.4.4 风险矩阵法的优点和局限
风险矩阵法的优点包括以下几项。
· 便于使用。
· 可以有多种变形应用,如定性的、半定量的、定量的应用。
· 可以获得组织、项目或系统的整体风险分布状况。
· 快速判断风险的重要性水平。
风险矩阵法的局限包括以下几个。
·风险矩阵需要设计出一个适合具体情况的矩阵,但事实上很难有一个适用于组织各种相关环境的通用指标体系(如同时满足企业的战略风险、财务风险和声誉风险的指标体系)。
· 很难清晰地界定等级,尤其在定性描述中。
· 具有很强的主观色彩,不同的分级者或评估者之间会有明显的差别。
·无法对风险进行总计(例如,人们无法对不同的定性或半定量的风险等级进行数学运算或逻辑运算,从而获得不同风险等级的总风险;也无法确定多少个“低风险”相当于一个“中等风险”)。1.5 定性分析与定量分析
定性分析与定量分析是人们认识事物时经常用到的两种分析方式。本节主要介绍什么是定性分析、什么是定量分析,以及二者之间的关系。这些内容将为后续章节“风险矩阵的定性应用”、“风险矩阵的半定量应用”和“风险矩阵的定量应用”奠定基础。1.5.1 定性分析
定性分析就是对事物性质(“质”)方面的分析与研究。事物的“质”是它区别于其他事物所固有的规定性。定性分析需要专家和有经验的人依靠他们的知识、技术、经验、观察分析能力和判断力做出分析;定性分析常用“归纳、演绎、分析、综合以及抽象与概括”等方法来分析事物的特征、发展规律,以及与其他事物的联系;定性分析的过程与结论常用文字来表达,如“好、很好、差、一般”,“轻微、严重、灾难”,“不可能、可能、很可能”等。
定性研究对数学知识要求比较低,适合一般投资者和经济工作者。
定性分析的局限性如下:
1.定性分析缺乏定量化的严格的观察、测量、统计、计算和表述;
2.定性分析不具有严格的操作规则或实践规则;
3.定性分析以经验描述为基础、以逻辑归纳为核心,其推理缺乏严格的公理化系统的逻辑约束。1.5.2 半定量分析
半定量分析(semi-quantitative analysis)是把定性分析数据化,使数学运算成为可能的一种分析方法。半定量分析用数据来表示(如1、2、3、4、5、6等),但没有准确的数值(如3.9、8.32等) ,所以,它不能像定量分析那样精确。
半定量分析的特点是简单、迅速,使用成本低。
半定量分析常用于以下两种情况:
1.只希望快速获得大致的结果,以便进一步选择合适的、精确的定量分析方法;
2.数据量少,或者没有理想的定量方法可用。
在风险管理实务中,典型的半定量风险矩阵如图1-8所示。图1-8 半定量风险矩阵图1.5.3 定量分析
定量分析是对事物“量”的方面进行分析与研究的一种方法。事物的“量”是指事物存在和发展的规模、速度、程度,以及构成事物的共同成分在空间上的排列等可以用数量表示的规定性。
人们通过可以量化的标准去测量事物,对研究对象的认识更为精确,由此,可以更加科学地解释规律、把握本质、预测事物的发展趋势。对风险的分析正基于此。在精确的风险评估中,常用定量分析法。
在企业管理领域,定量分析常借助经济学、数学、计算机科学、统计学、概率论、决策理论等学科知识进行逻辑分析和推论,然后运用数学模型,对管理对象进行预测和决策。定量分析有四个基本要素,它们分别是变量、假设、模型、数据。
在企业管理实务中,定量分析主要有预测、选择、优化、仿真四个目的。
1.预测
预测是运用现有的数据资料和已经掌握的规律对未来进行估计的过程,是决策的依据。
决策过程中方案的设计与选择包含了对未来的预测。风险是不确定性对组织未来目标的影响,也需要分析和预测。
2.选择
决策过程中要选择方案。决策论是运筹学的一个分支,它是关于如何根据系统的信息和评价准则来选取最优策略的数学理论,是决策分析的理论基础。在风险管理中,常用于“风险应对”环节。
3.优化
定量方法中有一类是对决策进行优化,这类方法一般用于确定性情况下的决策,如线性规划、动态规划等。
4.仿真
所谓仿真,就是用一个系统来模仿另一个系统。由于定量分析中要建立数学模型进行分析,但是模型本身与现实之间存在偏差,所以需要对模型进行检验。
由于使用的数据是过去的,有时甚至无法得到数据,所以可以使用仿真对模型的精度及可靠性进行评价。仿真有时也是求解模型的重要手段。
为了更多地了解“定量分析”,下面简单介绍一下定量分析的一般过程:选定指标、收集数据、建立模型、求解仿真、结果解释,如图1-9所示。图1-9 定量分析的基本流程图
与定性分析方法相比,定量分析方法具有如下三个基本特征。
·实证性。定量分析的过程和结果是可以检验的,其实证性是定量分析区别于定性分析的最本质特征。
·明确性。定量分析采用的概念一般都具有明确定义,可以量化,一般不使用模棱两可的语言来表达。
·客观性。定量分析的结果独立于分析人员,不论是什么人,只要对相同的数据采用相同的方法,都会得出相同的结果。
在定量分析中,出于不同的研究目的,对于相同的数据,分析人员可以采用不同的方法去处理,从而得出相同或不同的结果。如果分析人员对同样的数据采用不同的分析方法,得出相同或相近的结果,就可以说明分析结果有效。这就是研究中常用的“三解定位”验证法。
定量分析虽然可以给出较精确的结果,但由于它容易把复杂问题简单化、数值化,加之量化的过程中难免有误,所以并不能说定量分析就一定优于定性分析。
在风险管理实务中,典型的定量风险矩阵如图1-10所示。图1-10 定量风险矩阵样图1.5.4 定量分析与定性分析的区别和联系
在研究定量分析与定性分析的联系之前,先通过表1-6对定性分析、半定量分析、定量分析三者做个比较。表1-6 定性分析、 半定量分析与定量分析三者的比较
定性研究与定量研究在研究方法和手段上均有所不同,表1-6展示了定性分析和定量分析的特点与区别,但这并不是说“定量分析”与“定性分析”之间有不可逾越的鸿沟。两者各有长处、相互补充,两者之间是统一的,不可分割。
首先,定性研究和定量研究都属于社会学方法。定性研究主要由熟悉业务的专家根据个人的直觉、经验,凭借研究对象过去和现在的延续状况及最新的信息资料,对研究对象的性质、特点、发展变化规律做出判断,提出初步意见,汇总之后,做出预测未来状况和发展趋势的判断依据。定量研究运用现代数学方法对有关数据资料进行加工处理,统计数据;然后,建立反映有关变量之间规律性联系的各类预测模型,并用数学模型计算出研究对象的各项指标及其数值。
其次,定性研究是定量研究的基本前提,定量研究是定性研究的进一步深化。如果没有定性研究作为基础,就采用定量研究,可能很难找到研究的重点。定性研究可以避免繁琐的计算,省时快捷,同时具有严密的逻辑性,能够深入到本质。
下面举一个简单的例子来说明定量分析与定性分析的关系。
1.北京市交通局新闻发言人说:“2011年北京的交通事故明显比2010年少。”
2.北京市交通局新闻发言人说:“2011年北京的交通事故发生率比2010年下降了15%。”
第1句话只能说明“2011年的交通事故比2010年少”,至于少多少,不知道。
第2句话不仅能够说明“2011年的交通事故比2010年少”,而且能够让大家准确地知道,是少了15%,而不是6%或者25%。这里的15%不是任意的猜测,而是对2010年和2011年北京的交通事故做完统计分析和比较之后得到的定量结果。
可见,定量说明比定性说明更具说服力。
不管怎样,上述两种说法都表明“2011年北京的交通事故情况要好于2010年的情况”。这说明定性分析与定量分析是相关的,可以结合起来。有时需要在定性分析的基础上进行定量分析,有时则需要在定量研究的结果的基础上进行定性分析。1.5.5 定量分析实际应用举例
2008年北京奥运会有大批正式的和非正式的志愿者,组委会是如何选拔奥运志愿者的呢?下面举例说明。
案例背景:
根据北京奥组委志愿者部统一要求,北京某区拟选拔5 名志愿者承担T1 人群(国际奥委会主席、委员及其客人,国际体育单项组织主席、秘书长,国家及地区奥委会主席和秘书长,国际贵宾,赞助商贵宾,各国体育部长)的陪同任务。
根据组委会的报名要求,共有82名志愿者申请人报名参与此项任务。
问题:如何根据这82名申请人的申请材料筛选出最优秀的5名志愿者?
解答。
第一步,选拔小组根据项目需要,确定了五个关键指标,并对这五个指标进行量化赋值,如下表所示。
第二步,根据这五个指标,逐一对82 名申请人进行打分,统计后,取总分前10名进入面试。
第三步,经过面试、培训、考核和公益实践后,根据评价规则,最后录取的是面试得分的前四名和第八名,即进入面试的第1、2、3、4、8名入选。
点评:
定量分析并不只是设参数、设分数这么简单。看看上面的例子就会发现其中的难点还是不少的。
1.选哪些参数?哪些参数能够用来衡量候选人,并起到有效的筛选作用?
2.参数之间是什么关系?不同参数之间的分值该如何设定?即参数权重问题。
3.如何从得分领先的人群中选出最适合的人员?
从设定的指标和分值来看,组委会希望寻找:文史类专业背景的、有贵宾陪同经历的、高学历、精通英语的、年龄在21~30岁之间的年轻人。
在五个参数中,“年龄、学历、专业背景”三个指标是“硬指标”,即客观指标;“是否有陪同贵宾的经历”属于“软指标”,因为这涉及对“贵宾”的定义,哪些人才算是贵宾?“英语口语水平”是这五个指标中最具主观色彩的指标,该指标需要一套评估标准和评判方法,即什么样的口语水平算是良好,什么样的算是熟练或精通,否则,无法实施打分。
如果候选人完全符合这些条件,那他(她)将获得满分120分。 第2章风险矩阵法的基本要素
本章主要介绍风险矩阵法的两个基本要素:风险准则和风险矩阵图。这两个基本要素是使用风险矩阵法时必不可少的元素,需要在风险评估之前明确。在风险准则部分,将介绍风险准则的意义、风险准则的种类,以及如何制定风险准则。2.1 风险准则2.1.1 风险准则的意义
组织在实施风险评估时,不管采用哪种风险评估方法,评估人员都必须有一套评估标准,这套标准像“度量尺”一样,能够判断或估计相关风险的重要性和大小,这种用于风险评估的“度量尺”,就是风险准则。
在lSO Guide 73:2009《风险管理——术语》标准中,定义“风险准则”(risk criteria)为:
Terms of reference against which the significance of a risk is evaluated.
NOTE 1.Risk criteria are based on organizational objectives, and external and internal context.
NOTE 2.Risk criteria can be derived from standards, laws, policies and other requirements.
即:
评价风险重要性的参照依据。
注1,风险准则基于组织的目标、外部和内部环境。
注2,风险准则可以来自于标准、法律、政策和其他要求。“风险准则”是lSO风险管理标准族中极为重要的概念之一,也是组织在实施风险评估前必须建立的。由于组织面临的风险多种多样,其重要性也各不相同,所以组织在风险管理中,必须要对已识别出的风险进行原因分析、大小估计和重要性评价。要想分析风险的大小和评价风险的重要性,就必须建立分析和评价的“尺度”,然后按照这些“尺度”对各个风险进行分析和评价。
注1明确了组织建立风险准则的基础。组织在建立风险准则之前,应充分考虑其所制定的目标,以及组织所处的内部、外部环境。组织的各种目标可以是有形的(如生命或资产等),也可以是无形的(如声誉、品牌等)。
注2给出了风险准则的部分来源。风险准则不能只关注组织内部的需要,还要考虑外部的标准、法律、政策和其他要求(如外部利益相关方的要求)。对某些风险的重要性评价可能应该更加关注外部法律法规的要求。
知道了“风险准则”是评价风险重要性的参照依据后,难免会问:什么是风险“重要性”?它与什么相关?风险的重要性一般与风险等级相关,也就是说,与风险的后果程度及其发生的可能性等级相关;也与组织的风险偏好及风险容忍度相关。风险重要性等级与控制等级无关,控制等级与风险等级(风险的大小)相关。下面给出lSO对相关术语的解释。
在ISO Guide 73:2009《风险管理——术语》标准中, 定义“风险等级”(level of risk)为:
Magnitude of a risk or combination of risks, expressed in terms of the combination of consequences and their likelihood.
以后果及其可能性的结合来表示的一个风险或组合风险的大小或量级。
由定义可知,风险等级是表示风险大小或量级的,与后果和可能性两个因素相关。需要注意定义中的“结合”和“组合风险”两个词语。“结合”是指风险“后果及其可能性”的结合,需要回答的是:用什么方式结合?在风险管理实务中,当风险的后果程度和发生的可能性等级确定后,有的把二者的等级相加,有的把二者的等级相乘,现在最常用的是把二者的等级相乘,即用“乘”来表示后果及其可能性的结合。
关于“组合风险”,它是由多个单一风险合成的风险,这些单一风险有一定的相关性,组织可以为分析的需要或管理的需要把它们组合起来,这样,这个合成的风险就被视为一个“新”风险。
例如,在风险管理实务中,可以把“招聘风险”、“薪酬风险”和“离职风险”组合为“人力资源风险”。
组合风险被视为一个风险,所以在估算其风险等级时,不能直接把合成它的各子风险的风险等级相加,而是应该先求出该组合风险的后果程度和可能性等级,然后使二者结合,以获得该组合风险的风险等级。
例如,把“招聘风险”、“薪酬风险”和“离职风险”组合为“人力资源风险”后,其风险等级的估算。
假如已知:招聘风险 R1= c1 × p1;薪酬风险 R2= c2 × p2;离职风险R3= c3 × p3
那么,不能用R1、R2、R3三者相加来得到人力资源风险,即 R≠ R1+R2+R3
而应该是:R= Cn × Pn
其中Cn代表“人力资源风险”的后果, Pn代表“人力资源风险”发生的可能性。
注意:一般不能把c1、c2、c3直接相加来获得Cn,即Cn≠ c1+c2+c3;也不能简单地把p1、p2、p3相加来获得Pn,即Pn≠ p1+p2+p3。
在ISO Guide 73:2009《风险管理——术语》标准中, “风险偏好” (risk appetite)被定义为:
Amount and type of risk that an organization is willing to pursue or retain.
组织愿意追求或保留的风险的数量和种类。
该定义说明:风险偏好是组织愿意追求或保留的风险的数量和种类,是可计量的。一定程度上来讲,风险偏好是“风险态度”的量化表示。
国务院国资委在《中央企业全面风险管理指引》2006 中也对风险偏好做了定义,认为风险偏好是为了实现目标,企业在承担风险的种类、大小等方面的基本态度。
ISO Guide 73:2009对“风险态度”(risk attitude)的定义是:
Organization's approach to assess and eventually pursue, retain, take or turn away from risk.
组织在评估,以及追求、保留、承担或规避风险方面的方式和态
试读结束[说明:试读内容隐藏了图片]