风险评估标准,此处是指针对已初步识别的风险,应当如何用一个定性、定量或者两者结合的标准进行打分评价,以确定风险的重要性程度。在《全面风险管理指引》的附录中,提出了以风险发生后对目标的影响程度、风险发生可能性的高低这两个维度为参照的评估标准体系。其中对于风险发生后对目标的影响程度,通常需要考虑财务影响、运营影响、声誉影响、环境影响、安全影响等;对于风险发生可能性的高低,主要根据风险事件分类的不同考虑发生的概率。结合在实际工作中的应用,针对这两个维度,我们给出以下建议,供企业参考:
(1)风险评估标准——风险发生可能性的高低:
(2)风险评估标准——风险发生后对目标的影响程度:
由于篇幅所限,对于“风险发生后对目标的影响程度”这个维度,我们仅列示了高、中、低三个维度,企业可以参照上述维度的描述去完成较高、较低维度的标准。在设计影响程度需要几个方面(如财务、声誉等)进行评价时,要综合考虑企业所处的行业、规模、业务特点等多种因素,从风险一旦发生,最容易对企业哪几个方面造成严重冲击的角度来看,以下罗列出最常用的几个方面供参考:
● 财务(通常为净利润、现金流、收入或成本的影响等);
● 声誉;
● 法律、法规;
● 健康、安全与环境;
● 客户与市场;
● 供应商;
● 员工;
● 股价;
● 其他利益相关者(监管机构、股东/潜在投资者、债权人等)。
而对于“风险发生可能性的高低”的维度,关键要根据不同的风险事件,即是属于突发性的大型灾害事件还是日常运营的事件,来考虑不同的应用。企业也可以根据实际情况简化为三档的维度。
值得特别说明的是,在考虑风险发生可能性的同时,我们不得不顾及另一个要素:风险管控能力与现状。这个要素在《全面风险管理指引》中并未提及,但我们认为对这个要素的考虑相当重要,因为企业的风险管控能力与现状将会对风险发生的可能性造成实质性影响。在实际的评估中,评分者往往会这样想:“这个风险目前我们管理得还是不错的,实施了较为有效的内控,也制定了一系列规章制度,因此我认为风险发生的可能性为较低。”这就要求我们重新审视风险影响程度、风险发生的可能性与企业实际的风险管控能力与现状之间的关系:是否风险管控能力越强、风险发生可能性越低呢?
在通常情况下,风险管控能力越强,企业发生风险的可能性就会越低,如工程建设中的安全风险,由于公司非常重视安全建设,从组织上配备了经验丰富的专职安全经理与团队,从制度上强化安全管理制度各细节的执行与监督,从而使得整体安全风险发生的可能性很低。另一方面,对于某些重大灾害性事件,我们在进行评估时,虽然其可能性很低,但仍然需要关注其风险管控能力(如危机管理能力)。实际上,近年来由于金融风暴、突发性自然灾害、恐怖袭击等事件越来越得到企业的重视,单纯对于风险发生可能性的评估开始逐步难以适应企业的要求,为此,我们在实践中引入下列的“风险管控有效性”的第三个维度,以作为对风险发生可能性的有效补充:
(3)风险评估标准——风险管控有效性:
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
