下载掌阅APP,畅读海量书库
立即打开
风险管理是研究风险发生规律和风险控制技术的新兴管理科学,是一个组织或个人用以降低风险负面影响的决策过程。根据维基百科的定义,风险管理(Risk Management)是一个管理过程,是在降低风险的收益与成本之间进行权衡并决定采取何种措施(包括对风险的定义、测量、评估和应对风险)的策略。ISO 31000中对风险管理的定义是“一个组织对风险指挥和控制的一系列协调活动”。风险管理的对象是风险;风险管理的主体可以是组织或者个人,包括个人、家庭、企业、国家等;风险管理的基本目标是以最小的成本收获最大的安全保障。
风险管理作为一种安全管理实践,起源于20世纪50年代的美国,启蒙于企业的安全管理。美国US钢铁公司因安全生产事故频发致使企业濒临破产,公司董事长B·H·凯里首先提出“安全第一”的思想,其思想在实践过程中取得巨大的成功。管理学先驱、管理过程之父亨利·法约尔在《工业管理与一般管理》一书中提出“用企业的六种职能控制企业及其活动所遭遇的风险,维护财产和人身安全”。在此背景下,逐渐形成风险管理思想的雏形。20世纪50年代,以美国为主的欧美国家开始对风险管理理论进行系统的研究,风险管理逐步成为一门独立的学科和理论体系。美国学者格拉尔在其调查报告《费用控制的新时期——风险管理》中首次使用“风险管理”一词,他认为组织内的任何人对该组织的风险都负有不可推卸的责任,至此风险管理的概念开始被人广为传播。
20世纪70年代以前,风险管理主要研究工矿企业的生产安全、投资风险、保险风险,以及地震、海啸、暴风雨、洪水、火灾等自然风险,并涉及核电站设计安全、飞机设计安全等重大工程项目的可靠性和相关风险问题。自20世纪70年代开始,由于技术进步和技术应用的不确定性,环境、公共安全和健康问题引起了社会的广泛关注,学术界开始从环境和社会结构的角度来研究技术风险、健康风险等,并逐步扩大到社会风险等其他领域。伴随着各种风险不断发生,1970年以后逐渐掀起了全球性的风险管理运动。1983年,美国科学院公布了风险评价的四段法:危险识别、暴露评估、剂量—反应评估、风险描述。同年,在美国召开的风险和保险管理协会年会上,世界各国专家学者云集纽约,共同讨论并通过了“101条风险管理准则”。该准则作为各国风险管理的一般原则,成为风险管理科学化、规范化的标志,它标志着风险管理的发展已进入了一个新的发展阶段。
1986年,由欧洲11个国家共同成立的“欧洲风险研究会”将风险研究扩大到国际交流范围。1986年10月,风险管理国际学术讨论会在新加坡召开,风险管理由环大西洋地区向亚洲太平洋地区发展。同时,在美国大学的商学院里首先出现了一门涉及如何对企业的人员、财产、责任、财务资源等进行保护的新型管理学科,这就是风险管理。
20世纪90年代以来,风险管理迈向“现代风险管理”这一新的里程碑。人们发现零散的风险管理与对一个组织可能面临的所有风险进行连贯统一的风险管理相比缺乏效率和效能。整体的风险管理包括所有可能存在的结果,既有损失机会,又有获利可能。
20世纪末,受到“安然事件”“世通事件”等事件的影响,全面风险管理(Enterprise Risk Management,ERM)的概念得到了全球的广泛认同。所谓全面风险管理,是指从整体上考虑各种存在的风险,通过在管理的各个环节中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理的保证。
2001年后,风险管理进入了一个新的阶段。风险管理开始得到各国政府全方位的普遍重视,各国纷纷投入大量的人力、物力和财力,强调政、研、企多方合作,开展风险管理的理论研究和实际运作,各种国家层面的综合风险管理机构及跨国、国际性综合风险管理机构纷纷成立。
在我国,1985年前,风险管理的相关研究工作以翻译国外研究成果为主,直到1987年清华大学郭仲伟教授的《风险分析与决策》的出版,标志着我国风险管理研究的开始。2006年6月6日,国务院国有资产监督管理委员会发布了《中央企业全面风险管理指引》,是我国第一个全面风险管理指导性文件,标志着我国的风险管理工作开启了新篇章。随后,财政部、工商联、证监会等部门相继出台了行业领域的风险管理规范或者指引性文件。
目前,风险管理已经发展成管理学科中一个具有相对独立职能的分项学科,在社会管理、企业管理、危机应急处置等领域具有十分重要的意义。风险管理是以管理为核心,做好计划、组织、领导和控制,合理使用人力、财务、技术和信息等各项资源,实现将成本和损失最小化的目的。理想中的风险管理是在事前就已经排定好优先次序,对引发最大损失,以及发生概率最高的事件优先处理,然后再对风险相对较低的事件进行处理。在实际情况中,由于风险与发生概率往往不一致,很难对处理顺序进行事先排序,因此需要衡量两者的比重,做出最合适的判断。
当前,我们可以找到多种成熟的、国际通行的管理标准及框架。澳大利亚和新西兰共同制定的风险管理标准AS/NZS 4360:2004《风险管理》(简称AS/NZS 4360:2004)一度是被业界认可的标准,但是在2009年被ISO 31000:2009取代;COSO内部控制框架的企业管理版本为众多企业所采用;2009年,中国也发布了国家风险管理标准,即GB/T 24353《风险管理 原则与实施指南》。所有这些标准的总体指导思想和概要框架过程是类似的。我们在这里采用GB/T 24353标准的基本框架,将风险管理过程划分为明确环境信息、风险评估、风险应对、监督和检查四个部分,如图1-1所示。其中风险评估包括风险识别、风险分析和风险评价等三个步骤。
图1-1 风险管理过程
(1)明确环境信息:通过明确环境信息,组织可明确其风险能力的目标,确定与组织相关的内部和外部参数,并设定风险管理的范围和有关风险准则。
(2)风险评估:包括风险识别、风险分析和风险评价。风险识别是通过识别风险源、影响范围、事件及其原因、潜在的后果等,生成一个全面的风险列表。风险分析是根据风险类型、获得的信息和风险评估结果的使用目的,对识别出的风险进行定性和定量的分析,为风险评价和风险应对提供支持。风险评价是将风险分析的结果与组织的风险准则比较,或者在各种风险的分析结果之间进行比较,确定风险等级,以便做出风险应对的决策。
(3)风险应对:是选择并执行一种或多种改变风险的措施,包括改变风险事件发生的可能性或后果所采取的措施。
(4)监督和检查:是为了风险管理持续有效,引导组织风险管理和风险管理文化的改进。包括常规检查、监督已知的风险、定期或不定期检查都应被列入风险应对计划。
在上述过程的基础上,风险管理过程还应包括沟通和记录过程。沟通旨在促进内部和外部利益相关者对风险的认识,保证实施风险管理的责任人和利益相关者能够理解组织风险管理决策的依据,以及需要采取某些行动的原因。在整个风险管理的实施和改进过程中要做好记录。
ISO 31000:2018的风险管理过程分别是:范围环境准则、风险评估、风险处置、沟通与咨询、监视与评审、记录和报告,具体内容详见本书2.2.2.4节风险管理的过程。