什么是全面风险管理 (ERM)?

企业始终需要应对一系列风险,但许多企业往往在各个部门以随意零散的方式处理。这种非经常性或碎片化的风险管理可能分散企业对核心业务活动的注意力,甚至导致部分风险被完全忽视。

而全面风险管理(ERM)是一种战略性、整体性的方法,能让企业系统地识别、平衡并控制其业务风险。一套实施到位的全面风险管理方案可确保各类风险(战略风险、运营风险、财务风险、合规风险等)都得到持续应对。

 

全面风险管理:定义与内涵

全面风险管理是企业用于管理风险、把握与实现目标相关机遇的流程。它为风险管理提供框架,通常包括:尽可能识别与企业目标相关的特定事件或情况(风险与机遇),从发生可能性和影响程度两方面进行评估,确定应对策略,并监控进展。

近年来,网络攻击的频发以及新冠疫情的影响,凸显了传统碎片化风险评估方法的短板。全面风险管理已成为企业治理的关键环节,是一个需要持续改进、不断适应新风险与新机遇的过程。

 

全面风险管理的步骤与组成要素

全面风险管理不应孤立开展,而应融入企业所有业务活动与决策流程。绝大多数管理体系标准,如 ISO 9001 质量管理体系ISO/IEC 27001 信息安全管理体系ISO 14001 环境管理体系,以及企业用于提升产品、服务质量与声誉、兑现承诺的其他诸多标准)均包含管理相关风险的要求,以及如何通过管理体系实现风险管理的规定。如需更详细的指导,可参考 ISO 31000 风险管理标准。

现代商业环境往往要求企业证明自身符合特定标准,以满足客户及内外部利益相关方的要求。因此,有效管理企业风险并通过第三方认证加以佐证,已成为企业的必备工作。

风险管理流程可分解为以下几个关键步骤:

  • 风险识别:发现并描述可能影响业务的风险,核心是识别可能冲击企业目标的潜在风险。

  • 风险评估:风险识别后,下一步是确定这些风险的发生可能性与影响程度,包括评估每个已识别风险的概率与后果。

  • 风险应对(处理):制定行动方案以把握机遇、降低威胁至关重要,这一步需规划管理或缓解已识别风险的策略。

  • 控制活动:实施机制确保风险应对措施有效执行,包括助力风险应对落地的政策与程序。

  • 信息与沟通:确保相关风险信息被及时识别、捕捉,并在企业内部传递,这一步是做出明智决策的关键。

  • 监控与审查:最后一步是持续监督风险管理流程,确保其有效性,并根据需要进行调整,包括持续审视风险环境及应对策略的效果。

 

全面风险管理工具与解决方案

相关风险因企业的业务活动、所处行业甚至地理位置而异。例如,许多企业共同面临的传统风险包括产品或服务竞争力受损的威胁、无法遵守健康安全法规的风险。大多数企业需管理利益相关方的期望,网络信息安全如今已成为多数企业的威胁,人工智能也以各种形式出现在所有企业的议程中。多元化、公平与包容(DEI)等相对边缘的议题,正逐渐登上更多企业的核心议程。从更宏观的视角看,兑现环境、社会和治理(ESG)承诺并展示相关绩效,已成为投资者及其他利益相关方重点考量的内容。通过实施稳健的全面风险管理策略,企业不仅能保护自身免受潜在威胁,还能为把握新机遇做好准备。

全面风险管理的实践案例包括:科技企业部署先进的网络安全措施以防范数据泄露;食品生产商采取行动,仅使用可持续生产的原材料,并在生产环节及整个供应链中引入强化的食品安全措施,以保障消费者健康。

 

全面风险管理工具与解决方案

有多种工具与解决方案可支持全面风险管理,复杂度各不相同。

符合 ISO 及其他标准制定机构认证标准的管理体系,能提供结构化的风险管理方法。以 ISO 为例,ISO 31000 风险管理标准极具实用价值,其他指南与手册也为企业依照特定行业标准实施全面风险管理提供了思路。

风险影响可通过风险矩阵呈现:矩阵的一个轴代表事件发生的可能性,另一轴代表影响严重程度。通常,风险等级从左下角的 “低” 依次过渡到 “中”“高”,右上角为 “极高”。

鱼骨图(又称石川图)借鉴了质量管理中的问题解决思路,是根本原因分析(RCA)的工具,用于识别问题的潜在根源。该图表形似鱼的骨架:问题位于 “鱼头” 位置,潜在原因作为 “鱼骨” 向左侧延伸,并归为若干主要类别,包括方法、机器、物料、人员、测量及环境。在风险管理中,鱼骨图可帮助识别可能影响项目或业务的风险成因。例如,在管理软件开发项目时,若存在延期风险,可借助鱼骨图找出导致延期的潜在原因。

每个潜在的延期原因可对应一根 “鱼骨”,而每根 “鱼骨” 还可进一步细分出分支。例如,一根鱼骨代表 “人员”,另一根代表 “设备”,第三根代表企业或供应链内部的 “流程”,或许还有一根代表 “合规要求”。“人员” 分支可识别出培训需求、合适候选人短缺等问题;“设备” 分支可能涵盖新技术需求、设备故障等情况;“流程” 分支或许包括手册编制、资金审批、避免影响需优先推进的其他项目等内容;合规相关的延期可能源于影响项目的官方指南尚未发布或正在修订。

另一类工具是全面风险管理软件平台,这类平台提供灵活的建模框架,能够评估多种资产类型,管理企业风险。

通过有效实施全面风险管理,企业不仅能规避潜在威胁,还能抓住出现的新机遇。希望提升专业能力与知识储备的企业,可参与风险管理课程,以便在内部更好地落实全面风险管理的实践与框架。

 

Related articles