概率是人类无知程度的度量!
—庞加莱 法国数学家
我们之前用了多篇文章与国内外权威专家讨论了风险的本质,为什么我们愿意花这么长时间和精力来讨论一个词?因为“风险”是风险管理这个领域最基本最重要的一个基础,如果在最最基础上层面的认知没有共识,那么在实践应用上将出现千奇百怪的问题,当然有人也称之为百花齐放,这就是仁者见仁、智者见智了。
而这样对风险本质的讨论,也许还会一直持续下去。
今天,不谈定义,我们来回顾一下过去这些年在风险评估工作中经历的一些疑问和思考,看看能不能给大家对如何做风险评估带来一些启发。
一、风险评估的前提
风险评估的前提必须要先确定目标,我们说,风险与目标是从属关系。
没有目标,就没有风险;
目标不同,则面临的风险不同;
目标变化,则相应的风险跟随变化。
但是,如果从风险的一般性定义“影响目标实现的不确定性”来看,这里的目标,是一个一般性的表述,不是专指某一个或一类目标。
就企业而言,按照COSO的定义,风险是事项发生并影响战略和商业目标实现的可能性。这里的目标,就明确为企业的战略和商业目标。如果用我们上面的一般性定义,可以表述为影响企业战略和商业目标实现的不确定性。
过去这些年,最开始我们在企业中去识别风险的时候,人们会只关注损失的可能性、不确定性,而忽略了与目标的关系,所以导致识别出的风险结构很杂乱,没有一个清晰的主体概念。
在后来的工作中,我们风险评估之前首先要做一步就是明确目标,有的企业目标非常明确,有的则相对隐晦,有的是定性的,有的是定量的。另外,就企业目标而言,实际是一个目标体系结构,大目标就又可以分解为二级目标和更低级的小目标。
而风险,就是嵌套在这些不同级别的目标之上。
那制定目标的过程有没有风险?
当然有,而且这类风险还是对企业影响力最大的风险,因为涉及到决策和判断,都是领导层在关注,可能我们当前履行风险管理职能的人接触的少,但这一部分却是最应该进行充分的风险评估的环节。
前期在好多企业中,风险管理职能通过工作感觉无力改变一些现状,就是因为在定目标和决策过程中没有进行充分的风险评估,埋下的隐患是后面通过再多的努力也弥补不回来的。所以这也是我一直强调风险管理必须一把手重视,为决策服务的原因。
二、如何描述风险
这是一个看上去十分简单,实际却非常不容易做好的工作。如果所有人对什么是风险还没有达成一致的话,那描述风险就显得更不容易。所以,一般企业开展风险管理工作的第一步是统一风险语言。
比如明确什么是风险、如何描述风险、如何进行风险分类、风险评估标准······,这还都是技术层面的,再加上组织层面的工作,其实还是个挺复杂的事。
前些年描述风险典型的表现方式是:
原因(驱动因素)+结果(影响)的方式,即......情形发生,导致.......。
我们举个例子说明:
在当前的国际背景下,如果美国和俄罗斯开战,将导致石油价格的波动,对某些中国能源企业的收益将会造成影响。
如果我们认为风险是对目标产生不利影响的不确定性,那我们的风险就可以描述为:
美俄战争,导致公司收益的下滑;
如果我们将风险定义为影响目标的不确定性,那风险可以描述为:
美俄战争,导致公司收益的波动。
大家可以体会一下差别。
三、风险评估的基本流程
风险评估的基本流程包括:
风险识别、风险分析、风险评价,这三项内容一般表述为由前至后的三个步骤,但这三个步骤顺序却不是一成不变的,我们可以根据情况需要对这三个步骤进行重新组合。
用ISO31000最新版中的描述,这是一个相互交织、反复迭代的过程。
另外,识别、分析、评价,这是一个通用的评估基本流程,是风险管理工作的一部分。可以嵌入任何一个有风险存在或分析问题的管理环境中。
前期有些专家认为,内部控制体系中也需要进行风险识别、分析、评价等工作,所以内部控制包含了风险管理。
这是不对的,内部控制包含了风险评估的基本流程并不能得出内部控制包含风险管理的结论,内部控制中的“风险”和风险管理中的“风险”是不同的,我们之前专题讨论过。
在基本流程里需要重点提示的是,在风险分析中需要有风险相关性的分析,这部分工作其实是非常复杂的,因为风险往往不是孤立的,它们之间是相互交错的。
我们描述风险以原因+结果的方式,有可能这里的原因是前面的结果,这里的结果,又是下一步的原因,这是一个链式结构;在仔细分析发现链和链之间的节点也有关系,又形成了一个网状结构;再分析发现,网和网之间又有节点之间的联系,又形成了一个立体空间结构。多年前我曾经为此困扰不已,发现可能只有神经网络可以描述这样的交错情景。
前一段时间,有朋友在群里问我关于风险评估前后关系的问题,我随性给他写了一副对联:
上联:因果因果因因果;
下联:果因果因果果因;
横批:亦因亦果
我没有和他开玩笑,我对此真的是深有体会的。后来,我自己思考了一下如何处理这种情况:
第一,要尽量保证并列关系的风险进行分类时处于一个层面;
第二,分解到可管理的程度处终结。
四、风险评价维度
我们最常用的风险评价的两个维度是发生可能性和影响程度。我们通过各种各样的方式得到两个维度的评价结果,如资料分析、调查问卷、访谈、专家意见、研讨会、头脑风暴等,从最低一级的风险事件建立模型计算出最终对风险的评价结果。
但是,就像我在之前的文章中提到的,除了金融领域和少量可量化的风险外,在一般企业类型中,大部分的管理风险的评价结果的目的,都是一个相对重要性排序,类似于利用层次分析法(AHP)得出了两两相比的相对重要程度的概念。
因为不管使用何种手段,对于这类风险,你最后得出35%的概率和40%的概率几乎都是主观认定的,只不过大家一起拍脑袋显得参与感和仪式感更强而已。所以最后的风险评估结果,以及在此基础上得出的重大风险、重要风险,都是一个相对重要性排序。
其次,根据我们之前的经验,对一个风险事件进行可能性和影响程度的评价,也有诸多有待明确的问题。比如说,对概率的判断到底是对因出现的概率判断还是由因导致果的概率,还是导致不同情况下不同果的概率?
我们前些年在企业交流,我们列出一个事件,有时会指出一个目前的现状或情形可能会导致哪些问题出现,企业有些领导不同意,认为我们在讲问题,批评他们,所以讲所有对现状的描述前面加一个“如果”,表明这不是目前的情况,是未来可能出现的情况。
很多人说不清楚,所以我刚才说大家都是拍脑袋,谁也说不明白就都不深究了。后来思考之后把逻辑理了一下:
风险事件=原因+结果,如果对其进行可能性评价时应该是原因发生的可能性P*结果(唯一性)的可能性P。
如果原因是现状描述,那可能性P=1;如果结果的可能性确定,那结果P=1;但两个不能同时等于1,确定的情形就不是风险了。
如果结果不是唯一的,那就需要按照结果的不同概率导致的不同结果,用一个分布来表示和计算了。
五、风险图谱(雷达图、热图)
我们前期常用的风险评估显示方式就是风险图谱,或者叫风险雷达图、风险热图,这是其中还算比较细致的一个:
我们之前通过了风险本质的大讨论,虽然我们前些年就提出了风险的双面性影响,但是过去这些年的所有的实践,还是没有跳出传统的风险认知范畴,谈论的风险还是集中在风险的负面影响。从如上这个图中,所谓的影响程度其实是指造成损失的严重程度,我们是无法在这个图中区分一个风险的正面影响和负面影响的。
所以,如果要真正识别那些有正面影响的风险,比如使用如下这样的图谱方式才可以让风险管理从业者真正具备双面性思维。这也是第十篇论战文章中我为什么把机会纳入到风险管理范畴中的原因:
再有,对于风险的评价结果只根据风险的风险水平=可能性*影响程度,已经远远不能满足当下对风险的认知判断了,比如我们对可能性=1、影响程度=5,与可能性=5、影响程度=1,两个事件,虽然风险水平一样,但是特性完全相反。
另外,还需要根据组织的适应性、风险影响的速度和持续时间、组织的恢复能力等综合衡量。
最后,送给大家一幅风险评估的示意图: