2020年明确指出,我们需要企业风险管理(ERM)
所有行业都具有不可预测性。新冠疫情及其所实施的限制措施就是一个很好的例子,表明不可预见的危险、危害和发展如何影响企业并中断其正常运营。企业风险管理是一种业务战略,组织可以制定计划来识别、评估和应对此类意外发展。
2020 年已经明确表明,组织必须制定强大的 ERM 策略,以便能够快速适应意外变化并继续朝着业务目标迈进。在本文中,我们将更深入地研究:
- 企业风险管理
- ERM 框架方法
- ERM 的优势
深入了解企业风险管理
ERM 要求组织确定其运营面临的风险,并制定战略计划,确定这些风险的严重程度以及需要积极管理哪些风险。然后必须将该战略传达给所有相关利益相关者、股东和投资者。通常,该战略作为年度报告的一部分进行传达。ERM 适用于金融、公共卫生、航空等各种行业。
风险管理的概念并不新鲜。几十年来,组织一直在降低风险。解决风险因素的最常用方法是购买保险。财产保险用于解决因火灾、盗窃、地震等原因对公司财产造成的物理损坏而造成的任何损失。医疗事故保险可防止诉讼或损害索赔。而责任保险则用于防止因伤害或损害而提出的索赔。这些并不是唯一可能使企业正常运营面临风险的因素。特定技术或机器的故障、原材料供应链的中断、法规或合规要求的变化也是造成风险的因素。
企业风险管理框架的方法
组织可以使用多种不同的方法来构建其 ERM 框架。其中一些方法的定义如下:
1.避免:
在这种方法中,组织将选择停止或退出导致业务运营的活动。例如,由于该地区政治不稳定的风险,企业可能选择不向新国家扩张。
2. 减少:
采用这种方法的组织将采取措施降低风险发生的可能性。例如,如果组织的数据存在被泄露的风险,企业可以通过减少可以访问该数据的人数来降低该风险。
3. 替代措施:
企业可以选择采用其他途径来实现其目标,并尽量减少或规避潜在风险。例如,如果使用特定软件存在风险,企业可能会选择完全使用另一个系统。
4. 投保:
如上所述,保险可用于保护企业免受风险造成的部分损害。
5.接受:
如果成本效益分析表明承担风险符合企业的最佳利益,企业可能会选择这样做。例如,某个地区的政治稳定存在风险,但同一地区的组织所需的某种基本原材料供应充足。在这种情况下,企业可能会选择接受风险并继续运营。
已知的 ERM 框架有三种类型:
- 意外险精算师协会框架
- COSO ERM 框架
- RIMS 风险成熟度模型
根据组织希望其 ERM 战略实现的目标,可以选择合适的框架。
另请参阅:建立远程全球团队的指南
ERM 的优势
重要的是要明白,风险管理不仅仅是为了降低风险,也是为了抓住机遇。在制定企业风险管理计划时,公司不仅应该关注风险的负面影响,还应该关注潜在的好处。
传统的风险管理方法使公司关注负面因素,例如,他们会评估并确定货币波动或利率变化带来的潜在损失。他们会检查数据泄露或网络攻击可能造成的破坏。在谈到抓住机遇时,公司还应该考虑有效管理风险的潜在好处。例如,认识到一个国家的政治代表对企业的行业友好并选择向该地区扩张。
机会也可能来自于公司决定搬迁、翻新或维护其实物资产,以防止后续发生故障或生产力损失。ERM 可以帮助组织通过有效的规划预防灾难并最大限度地减少影响。
公司还必须认识到,他们的公众形象是一项非常宝贵的资产。通过适当的风险评估和管理,组织可以确保在发生自然灾害或大规模设备故障等意外事件时仍能保持积极的公众形象。
企业风险管理的三个基本步骤
风险管理可以分为三个简单的步骤。无论属于哪个行业,所有组织都需要遵循以下三个步骤来制定有效的 ERM 策略:
1. 风险识别
制定 ERM 策略的第一步是确定组织面临的内部和外部风险。组织应将风险分为两个部分:触发因素和影响因素。触发因素是事件或发生,而影响因素是事件导致的后果。例如,煤气罐爆炸是触发因素。由此引发的火灾造成的损害是影响因素。
组织识别内部风险的最佳方式是依靠其团队的专业知识。没有人比为组织工作的人更了解组织。企业应利用对业务运营有深入了解的高级成员来识别漏洞和潜在问题。历史是一位很好的老师,查看企业完成的类似项目和过去的不良事件也是识别风险的好方法。公司应聘请合格且经验丰富的风险经理来了解其业务运营面临的外部风险。
2. 风险评估
并非所有风险都相同。风险并非保证。触发事件发生的概率以及可能产生的影响是存在的。组织应评估其面临的最大风险是什么、触发事件发生的概率是多少以及此类事件的影响是什么。应使用这些信息根据哪些事件最有可能发生以及哪些事件会产生最具破坏性的影响来确定风险的优先级。然后,企业应规划和分配资源以减轻这些风险。
3.风险管理
一旦组织确定了最有可能和影响最大的风险,就必须对其进行管理。风险管理可以采取安全政策、设备投资、流程变更等形式。例如,如果确定的风险之一是生产设施发生火灾,那么管理该风险的最佳方法可能是投资消防设备。