建立风险评估的基础和范围是风险评估中关键的第一步,但我们发现在许多企业的实践中这部分工作往往被忽视了。对于风险的定义,企业中的每个人由于其职责分工、经验与阅历、个人偏好等不同都会造成对同一事件的不同看法,风险亦如此,因此企业需要建立统一的风险管理语言与标准,让大家在同一个平台与框架中各抒己见,并通过后期合理的甄别与筛选,获取有价值的信息。这种统一的语言通常包括:风险的定义规范(即如何表述风险点,包括风险事件、风险发生原因与结果等),风险的分类(根据风险对于公司目标的影响分为战略、财务、市场、运营、法律等,根据风险的来源分为外部与内部,根据风险归属的流程或部门分类等),风险偏好与风险容忍度的概念,风险评价的标准等。
如何理解企业目标的设置与分解呢?对于每个企业来讲,都应该有一个以战略目标为导向的明确的经营目标与计划。如果企业由于某种事件的发生而导致了经营目标无法达成,那么便是风险,因此,只有以企业目标为源头进行的分析,才能保证风险管理工作与企业战略相关联,才能符合COSO——ERM框架中的“战略目标”要素。具体操作上,需要充分解读企业的中长期发展规划或年度经营计划,通过解读公司的战略定位、战略内涵、战略举措,梳理公司层面的战略目标、经营性目标、报告性目标、合规性目标等,再将这些目标进行层层分解,形成若干子目标,包括职能部门层面的子目标、所属二级单位的子目标。
为实现公司层面的目标,需要解析潜在的风险管理需求,可以通过调查问卷、访谈、标杆借鉴等模式评估这些风险的发生概率、影响程度,并对公司层面的风险进行分类。例如,分析各个责任中心为了实现公司的各项子目标,会开展哪些日常经营管理活动,这个分析的过程也就是“事件识别”的过程。通过分析整理,把产生积极影响的事件归类为“机遇”,把产生的潜在不利影响归类为“风险”。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。