大型企业普遍已经有了比较完备的风险管理原则,这表明他们需要管理不确定性以实现其战略目标。这一点比过去任何时候都显而易见。
企业风险管理(Enterprise Risk Man¬agement,简称ERM)是管理企业风险的框架,并已经被广泛采用。在近期一次关于能源和资源行业的调查中,82%的受访者表示他们建立了某种形式的企业风险管理系统。然而,尽管企业风险管理系统已经普及和成熟,但是企业仍经常被大量意外事件所困扰,有时甚至是导致伤亡或公司倒闭的灾难性事件。事实上,所谓的“黑天鹅”事件并不像人们感觉上的那么罕见。曾经大众汽车用软件操纵发动机功率来规避尾气排放检测的事情一度闹得沸沸扬扬, 这就是其中的一个例子。为了实现某个目标而使组织冒着风险,这样的策略很常见, 在这种情况下,人们貌似低估了意外事件的重要性和可能性。
随着公司未来会面临的不确定性和复杂性都会持续加深,我们理应怀疑传统企业风险管理的现有方法是否仍能奏效。根据最近与全球许多公司的风险管理的合作经历,我们总结出一些切实可行的方法, 可以借此显著提高企业风险管理方法的效果:我们将这些方法总称为基于价值的风险管理(Value-based Risk Management,简称VBRM)。
传统风险管理方法
传统的风险管理方法可以简单地分为两类: A 类可以称之为“会计师”法,B 类称之为“保证”法。
“会计师”方法往往重视全面和详尽的风险记录和报告,并在筛选、排名和评估方面投入大量精力。其优点是非常全面, 缺点在于决定实际行动时可能不太有效。服务型组织经常使用这种方法。
“保证”法更侧重于已知的主要风险以及如何缓释这些风险。因此,当环境发生变化时,这种方法识别新的跨业务风险往往效率不高。石油、天然气和化学品等高危险行业经常使用这种方法。
这两种方法的流行与许多常见的风险管理挑战相关,例如:
● 对复杂系统的反应差:在复杂系统中, 因果关系是可知的,但需要应用到专业知识。而在具有多种相互作用的复合系统中, 无论可用的专业知识如何,都无法预测具体结果。遵循“保证”原则的安全风险管理倾向于假定系统是复杂而不是复合的, 并且对接受不确定性的兴趣很小。在信誉等非技术性风险的情况下,相关的多方利益相关者系统肯定是复合的而不是复杂的, 公司经常失败是因为他们试图将因果关系过度简化和模型化,而不是应用能够对复杂性进行管理的战略。
● 把记录当成管理: “会计师”原则会让人错误地高估风险管理的有效性。正式的安全风险管理会生成“安全状况报告”, 这是一个结构化的、基于证据的论证,证明系统的安全性在可以接受的水平。此类的输出信息依赖于记录了风险管理活动的书面记录,但记录并不一定能表示风险管理活动的质量。例如,在一次对公用事业运营商的审查中,他们为每个职能的ERM 情况逐一造册,以证明整个企业良好地识别、评估和缓释了风险。然而,各职能部门的交叉检查表明,由于缺乏可用的、胜任的工作人员导致了严重的跨业务风险, 这是由于系统侧重于记录而不是严格审查, 导致没有发现这些风险。
● 过分强调对意外结果的控制:在这两种常规方法中,都倾向于过分强调“计划— 执行—检查—行动”周期的“检查”部分。当达到某些风险阈值时,许多企业风险管理系统要求有具体的控制应对。这样的风险控制对于因果可预测的复杂系统来说可以很好地工作,但对于复合系统,每个原因都可能会产生不可预测的结果。为简单起见,控制往往是结果导向的(即管理“效果”),例如,基于所报告的风险水平而进行的控制或缓释风险所花费的时间。在安全和技术领域,企业在管理所谓的前兆(潜在未来事件的预兆)方面取得了一些进展, 但这仍然是一个有难度的领域。过分强调以结果为导向的风险控制也会削弱部门经理的风险管理的主动性和责任感。
基于价值的风险管理的作用
VBRM 是一种平衡的风险管理方法,在管理这些挑战方面比“会计师”或“保证” 法更有效。VBRM 是完全针对变化做出响应,其风险管理工作动态地集中在为企业提供最大价值的地方。这种方法有四大法则:
1. 保持战略一致:保持风险管理与不断变化的经营战略保持一致。简单地说, 战略就是在不确定性的前提下实现一个或多个目标的高级计划。企业可以迅速地制定和变更战略,但支持战略实施的管理系统和流程具有更大的惯性。当战略与实施战略的管理系统和流程之间脱节时,往往会在此处发现风险管理不善的根源,因为前者发生了变化,但后者没有跟上。这在当今不确定的商业环境中变得越来越重要,因为迅速调整战略的敏捷性和能力是保持领先的关键成功因素。
那么在实践中需要做些什么来使风险管理与变化的战略保持一致呢?首先,保持一致意味着在风险领域之间作出选择, 以避免做出不支持战略的决策,并将这些优先事项明确地传达给业务部门。
其次,保持一致意味着分配明确的风险责任,并确保明确定义责任和适当的授权,以调整系统和流程以应对不断变化的风险状况。一些主要风险领域将自然而然地与业务和职能部门保持一致,并且责任将会很清晰。但是,很多风险是横向的, 在这种情况下,风险责任就需要在企业内进行特别约定。
2. 关注漏洞:使用6C 法来评估工作重点。风险管理人员很少有用于评估所有风险维度漏洞的实用诊断模型。Arthur D. Little 开发了一种用于该流程的方法,即 “6C 模型”。
6C 即规范、合规性、胜任力、复杂性、变化和文化。根据我们的经验,这六个类别就足以支持企业合理地了解漏洞,而无需详细的量化。
为了应用6C,要依次使用每个类别进行评估。评估通常先对规则、标准或惯例(规范)的适用性和完整性进行评估,然后评估其合规程度。这时就已经可以找出漏洞, 在许多其他现有方法中,这已经是最终评估结果了。然而,6C 方法将继续考虑其它两个可能会使风险大大增加的重要因素: 胜任能力(员工具有必要技能和经验的程度)和文化,即文化对风险战略交付的支持性和组织文化的成熟度。这通常可以提供证据,找出新的漏洞,只通过相对静态的“概览”方式查看规则和合规性时是找不出这类新漏洞的。例如,在该承认和报告风险时倾向于沉默的文化(通过观察高级管理层听取风险报告时的举止而“参悟”) 将妨碍组织产生风险意识。有这些文化弱点的组织可能仍然有强大的规则和良好的合规性,但这些组织的风险管理活动很可能是无效的。
最后,6C 方法还会考虑两种与情景相关的因素,这些因素也会显著影响风险排名:变化,即组织快速适应商业环境变化的能力;复杂性,即业务和环境的内在复杂性。在当今不确定的商业环境中,这两个因素越来越重要。
3. 促进决策:自上而下设计风险报告机制以进行快速决策。企业风险管理系统最常见的问题之一是向高层管理人员报告的模式并不适合做出决策。高层最常见的风险概述是可能性与严重程度两个维度构成的半定量矩阵,用于显示排名前10-20 的企业风险。但是这些信息经常只能显示企业半临时性的状态,并最终成为更紧急的高层管理报告信息的“背景”。当情况迅速变化时,这就尤其成问题,如今的情况就是如此。因此,最重要的是报告系统的设计必须能够为快速制定最高管理决策和行动提供更好的指导。总的来说,行动的核心是获得更好的信息来更好地了解风险, 采取正确的直接措施缓解风险,寻找备选方案或提高监测水平。
因此,VBRM 方法的关键特征之一是确保最高管理层拥有正确的风险管理报告系统,以实现快速响应和决策制定,能够触发行动从而在风险突发前有效降低风险。这样,战略执行和风险管控之间的联系依然紧密,意外事件可以保持在最低水平。实际上,这意味着设计的报告工具需要:
● 能提供整个公司从整体到局部的具体风险数据(如重点项目、业务、风险投资等)
● 总结和汇总数据要简明扼要
● 包括行动紧急性排名
4. 建立动态风险文化:培养风险承受能力,以实现应变能力。确保公司的风险管理方法能够很好地应对变化和复杂性的最有效的手段之一是专注于增强能力、文化和意识。这提供了主动识别新风险和即将爆发的风险的手段,并采取正确的行动来快速调整管理系统和流程。在传统的企业风险管理方法中,这方面的文化和能力经常被忽视。
当然,任何组织内的文化变革都很困难,风险管理文化变革也不例外。但是, VBRM 方法包括一系列可能有效的措施, 包括:
● 为实现卓越的风险管理提供一条明确的演进道路: 6C 方法及其支持工具和模板可以为演进过程指明工作重点,最终,这种明确的方向将导致文化变革。
● 让员工参与试点项目:使用具体项目和计划开展试点项目是个好方法,既能展示风险文化变革的影响和有效性,又能让员工参与实际工作。根据我们的经验, 集中关注少数几个领域(例如新风险管理方法的少量试点)是实现有效变革的最佳手段。让许多不同职能部门的工作人员参与试点小组也很重要。
● 确定您的“燃眉之急”:许多已经实施风险管理的公司未能将其势头保持下去。“燃眉之急”这种事件是提高风险意识以及重申实用主义和行动导向的重要性的关键途径。这指的是公司内部发生意外或接近失败的事件、由竞争对手导致的重大损失或商业环境发生重大变化或中断。
VBRM 的基本要素是:
● 在战略实施中建立基于风险的优先事项,分配明确的职责并授权风险负责人根据需要调整管理系统和流程,从而保持风险管理系统和流程与战略变化的一致性。
● 将风险管理工作重点集中在漏洞领域,确保风险排名中不仅考虑合规性,还要考虑胜任能力、文化、复杂性和变化等因素。例如,6C 方法提供了一种切实可行的方法来实现这一点。
● 设计风险管理报告系统,从而帮助最高管理层快速制定决策,这意味着该报告系统应包括关键项目的详细风险数据,提供简明的总结并包括行动紧急性排名。
● 通过积极参与试点项目,建立动态的风险文化,使组织逐步向卓越的风险管理演进,并确定人们理解和相信真正的燃眉之急。
商业世界与许多企业现有风险管理方法最初实施时的环境已经不同了,所以我们认为是时候进行变革了。
原文经许可,摘自Arthur D. Little Prism 2016年第1期的《Embracing complexity with value-based risk management》一文,作者为Kurt Baes、John Barker、David Boulton、Rick Eagar、Willem Romanus、François-Joseph Van Audenhove。Arthur D. Little于2016年登记版权。毕海明译。
本中文版由世界经理人(www.ceconline.com)组织翻译并编辑。