如何做好企业里的风险识别工作
发表时间:2018-07-31
对于企业来说,如果不能识别风险,就不能控制风险。如果风险不受控,那么事故的发生就会表现出非常强的随机性和必然性,而不是带有偶然性。风险管理是安全管理的基础工作,如果我们在这一方面存在欠缺的话,就不可能系统的分析出企业到底存在哪些风险。有做过Hazop项目的人应当很清楚,如果我们没有运用Hazop分析工具,凭借隐患排查是很难排查出工艺、系统中的缺陷的,如果我们不清楚系统的缺陷,不能采取有效的控制措施的话,是难以预防工艺安全事故的。此外,我们还知道工作安全分析方法(JHA)能够分析出作业活动中存在的风险。通过对作业活动的合理拆分,找出作业过程中可能出现的伤害,进而采取措施来控制伤害事故的发生。但是,有多少人参与了Hazop分析项目,Hazop主席是否能够引领分析团队找出系统中的问题。我们在做JHA分析,是否识别出了企业现实、可能涉及到的各种作业活动,作业步骤。如果回答是否定的或者不确定的话,那么,至少我们在风险识别、分析上还是存在差距或者可改善空间的。
风险识别是指依据公司目标,搜集公司内、外部导致风险产生的原因,明确风险类别、涉及的归属部门,将风险进行描述,并预评估。风险识别是企业内部控制的延伸,它既是风险管理过程的起点,同时又为评估风险发生后可能造成的影响、制定应对措施等提供必要的指导。
二、风险分类
风险分类是识别风险的依据,也是明确风险归属、评价风险的基础。企业的日常业务种类繁多,与此相关的风险因素也难以全面界定与识别,但不同种类的业务,其风险产生的原因是相似的,可以将其归类。企业在进行风险分类时,应结合内、外部信息,从两个角度结合进行:(1)经营活动的重要性(2)风险自身的性质。
根据经营活动的重要性,国内主要采用国资委的分类方法,即将风险分为:运营风险、法律风险、财务风险、市场风险、战略风险五类。
根据风险自身的性质,可以将其分为固有风险、剩余风险和识别风险三类。固有风险是假设企业未进行管控情况下的风险,它体现了风险的重要性;剩余风险是结合目前的管控措施之后,企业剩余的风险,它体现了企业目前的管理现状以及需要后续强化的环节;识别风险是指在风险识别过程中采取了有效的识别工具,但仍识别不出而造成的风险。
由标准(1)得到的分类结果虽然有助于完善风险识别过程,但它实际上体现了目前或未来企业某项风险管理工作的朝向,并引导企业内部资源在各部门的配置;标准(2)则明确了企业风险识别的重点。其中“识别风险”虽然本身并不属于企业,但它从侧面体现了内部控制环节的优劣与“剩余风险”的大小。因为如果某项重大风险已经存在却不能识别,则说明企业的内部控制存在较大缺陷,从而剩余风险较高。当然,对于已经识别出的风险,只需关注“固有风险”与“剩余风险”即可。
在风险识别中,企业应重点关注剩余风险较高的风险。这是因为:一方面,剩余风险较高说明管控措施需进一步强化,体现了内部控制环节的薄弱。另一方面,剩余风险较大时,可能企业的管控比较有效,但是风险的累积效应较大,如果不进一步加强内部控制,未来风险发生时会带来严重的后果。总之,内部控制措施的健全与否决定了剩余风险的大小,剩余风险高则体现了内部控制措施的次优化。
三、风险识别的方法
风险识别过程实际是降低“识别风险”的过程,但由于风险的多样性,企业不能穷尽所有风险,而且风险识别在很大程度上是一种主观判断,所以,为使重要的风险不被遗漏,并将“识别风险”将至最低,需要采用适当的方法,在充分梳理企业重要风险的同时,尽可能多地挖掘潜在风险。由于企业的员工对企业的运营等情况最为熟悉,所以让他们作为主要的风险识别人员参与到风险识别的工作中。在识别风险时,主要运用以下几种实际工作中常用的方法:
1、问询法
主要包括调查问卷法、专家访谈法等。前者主要取决于被询问者的知识水平、接受能力以及对该项工作的态度,因为这会直接影响问卷填写的效果与有效问卷的数量。后者则主要取决于咨询专家对内控的了解以及与被访谈人员的互动。
2、实地考察法
该方法是指通过对厂房等实物资产的实地观察,根据资产的表面现象、运行等情况发现存在问题的环节。通过该方法了解的企业信息比较直观,但不深入,难以有效的挖掘风险。
3、数据/经验分析法
是指通过企业累积的经营活动的相关经验、对企业财务报表、档案、文书等书面材料以相关数据的分析,来发现企业目前存在的问题,将其列示为风险。该方法可以保证风险识别工作结果的客观性,但由于主要是利用历史的数据进行分析,而企业面临的经营环境是不断变化的,风险产生的条件也会与以往有较大差别,所以用该方法得出的结论难以保证较高的时效性。
4、流程分析法(DMAIC)
该方法是指在与企业充分沟通的基础上,充分了解企业的业务流程,并将流程逐层分解为若干环节,发现存在不足的环节以及造成不足的因素,将该因素作为风险。
作为流程分析法的一种,DMAIC 分为Define(界定)、Measure(量测)、Analyze(分析)、Improve(改进)、Control(控制)五个步骤,它是以6σ为标准,用闭循环的形式对已有流程进行质量改善。通过对目标及影响目标因素的界定、量测现有内控措施的完备性、分析影响问题的负面因素、分析问题与影响因素的关系、确定改进的出发点,企业便可以明确目前管理措施与6σ标准之间的差距,确定风险的性质及其存在的源头,识别出有效的风险点。
四、结论
内部控制与风险管理有着密切的关系,控制是管理的环节之一,风险管理也应建立在企业内部控制的基础上。风险管理的本质是规避风险或者将企业潜在的价值损失转化为现实的价值增值,企业为了实现这一过程,首先应识别出导致价值减损的潜在风险点。而只有在理解对风险分类的基础上,结合管理现状发现内部控制的盲点判断剩余风险的程度,才会在识别的过程中不致于遗漏重要的风险,所以,风险的识别过程也就是将“识别风险”降低至最低的过程。