卡普兰和加里克(1981,p. 12)为风险提供了一个简单的等式,即“风险=不确定性+损害”。他们认为,风险存在于什么环境中是无关紧要的,同样的公式总是可以用来识别和管理风险。然而,风险仍然可以根据它所影响的组织的哪个方面进行不同的分类。
在决定风险管理策略之前,必须首先确定风险事件。在决定使用最佳的风险管理策略之前,组织应该进行三个步骤。由于风险管理需要使用大量的资源,因此在进行风险管理之前,需要确定澄清和方向。这三个因素是;
- 风险识别:组织应首先审查所有可能的风险源。此外,他们可以使用风险评估工具来识别可能发生的风险事件。
- 可能发生的风险事件的评估:一旦组织确定了风险,他们就必须评估风险可能造成的潜在损害。如前所述,风险的严重性是组织考虑的一个极其重要的因素,因为它将有助于形成和设计任何相关的风险管理策略。
- 对风险事件做出明智的反应:在成功地识别和评估风险之后,组织可以开始决定可能需要哪些资源来限制或完全消除潜在的风险事件。
一旦组织确定了任何可能发生的意外风险事件,他们必须集中所有资源来决定应该首先处理哪个风险事件。大多数组织将拥有有限的资源,并且一次只能处理两个风险事件中的一个。如果可能发生过多的风险事件,这意味着优先考虑要将哪些风险事件最小化。这意味着公司必须评估风险事件可能产生的影响一个组织的财务和市场表现,并集中所有资源首先消除最危险的风险。
风险管理是必要的,执行不成功会对组织产生严重影响。不管理风险的后果程度将取决于风险事件,但可能会产生如下影响;财务损失、员工受伤、业务中断、声誉受损或未能实现公司目标。如果不管理风险,会有大量其他潜在的后果,这些后果都是特定风险事件所特有的,但没有一个会产生任何积极的影响业务性能.这凸显了一个组织成功进行风险管理的重要性。
有一些不同的框架和想法可以帮助组织优先考虑哪些风险事件应该集中精力最小化。对风险进行优先排序的最全面的框架之一是概率和影响框架.该框架描述了独立的、可变性的和模糊性的风险,并度量了这些风险事件可能发生的概率,以及如果它们发生的话,它们对组织可能产生的严重程度。这些发现可以总结为概率影响矩阵,其中每个风险的概率和影响根据定义的尺度进行评估,并绘制在二维网格上。
此外,还有一些其他方法可以确定要处理的风险事件的优先级。风险事件也可以使用多属性技术进行排名。对于希望采用适应性更强的风险优先技术的公司,多属性方法将是首选。这是因为兴趣属性可以根据组织的兴趣和优先级来选择利益相关方.这与概率影响矩阵有许多相似之处,但提供了一种更有创造性和自由的方式来定义变量,用于确定风险的优先级。该技术有多种变体,包括泡沫图、风险优先级图、不确定性重要性矩阵和高水平风险模型。
我们将讨论的最后一个确定风险优先级的技术是定量模型和技术的使用。这些方法不像以前的方法那么严格,但是它们仍然为公司提供了一些好处。公司使用定量风险优先方法的主要原因是,这是一种非常便宜的方法,几乎不需要准备和计划。这意味着,对于那些希望以低成本、尽可能少的资源高效地对风险进行优先级排序的公司来说,定量的风险优先级方法将是首选。
一旦成功地确定了风险的优先级,还必须彻底评估风险。风险评估有几种不同的方法,其中两种主要的风险评估方法是定量风险评估和比较风险评估。定量风险评估涉及一种活动或物质,并试图量化由于接触而产生不良影响的可能性。相比之下,比较风险评估是一种程序,用于根据风险问题的严重程度对其进行排序,以确定优先级并证明资源分配的合理性。
此外,比较风险评估正在成为世界各地许多公司风险评估的首选方法。这是因为比较风险评估被认为是更彻底和严格的,并准确地指出了风险事件的细节和严重程度。此外,比较风险评估的目的是在着手处理任何其他风险事件之前确定更严重的风险事件。
还有一种评估风险事件的方法。这是通过使用综合外包风险评估(CORE)系统来实现的。这是一个由微软和Arthur Anderson开发的工具,用于帮助公司识别、评估和预防任何风险事件。该工具共确定了19个风险因素,并将它们分为四个不同的子类别;基础设施、业务控制、业务价值和关系。这给了组织很大的自由,因为每个公司都可以决定每个因素的重要性,这取决于它对组织日常运营活动的重要性。此外,通过使用CORE成功地评估了风险后,通过组织财务数据主观上通过衡量公司内部的关系和整合。
很明显,大多数风险评估方法和技术都有一个共同的主题,主要是衡量可能发生并影响组织日常运营的潜在风险事件的概率和影响。这突出了风险评估的重要性,以及为什么它是一个风险经理应该熟练使用的必要技能。
在决定风险管理策略时,还有一个因素需要考虑,那就是经理的性格和个性。某些经理会遵循传统方法,不听取别人的建议,这也意味着他们不愿意适应他们不知道的风险管理策略,即使这种策略被证明更成功。
当一个公司成功地完成上述三个步骤,即识别、评估和制定应对措施后,他们将能够继续进行第四步。最后一个阶段是决定和实施首选的风险策略,通过上述三个步骤来决定,以最好地限制或消除潜在的风险事件。
风险管理策略的重点是识别和评估风险的概率和后果,并选择适当的风险策略来降低不良事件发生的概率或与之相关的损失。风险缓解的重点是减少不良事件发生后的后果。尽管存在过多的风险管理策略,其中一些更有利的取决于情况,三个关键的风险管理策略是。
- 回避策略:回避策略主要有两种类型。第一种类型是组织试图将风险事件发生的概率降低到零,或尽可能接近于零。此外,第二种类型的规避策略是组织试图预测风险事件。这将使他们能够制定任何应急计划,试图将影响限制为零或尽可能接近于零。这两种策略都有相当多的不确定性,因为组织很难预测风险事件的细节,或者风险事件可能对公司产生的影响。
- 安全策略:风险管理安全策略旨在将任何事件发生的风险降至最低。这与规避策略非常相似,但是它承认风险事件将会发生的事实,并且仅仅试图尽可能多地保护组织不受风险事件可能造成的任何影响。实施安全战略可以通过多种方式实现,包括与任何地方政府密切合作,积极遵守法规或确保组织及其资源的内部安全。
- 控制/分享/转移:这种战略可以采取垂直整合的形式。这进一步提高了组织内管理者控制更多流程、系统方法和决策的能力。对公司的日常运营有更大的控制可以帮助最大限度地降低风险的可能性和影响。这是因为它可以帮助将风险分散到许多操作中,从而降低风险事件的严重程度。然而,对更大控制的需求也可能导致对更大的侧集成的需求,这对公司来说是很难实现的。
如果风险事件将对组织造成重大问题,并且被认为是“高风险”,那么公司应该致力于利用规避策略。这将是最好的,因为它将最大限度地减少或完全消除风险事件发生的可能性。然而,这可能会给组织带来巨大的开销,并消耗大量的资源。另一方面,如果风险事件对公司业绩的影响有限,并且被认为是“低风险”事件,那么安全策略可能更合适,因为它将保护公司的运营和资源不受风险事件的影响。
决定使用最优的风险管理策略对任何经理来说都是一项极其困难的工作。如果管理者选择了错误的风险管理策略,那么风险事件可能会对组织的财务和市场表现造成重大问题。影响决定采用哪种风险策略的最重要因素之一是风险的严重程度。
总之,为了成功实施风险管理策略,风险经理应该经历各种各样的步骤。这个过程中最重要的一个阶段是花足够的时间来识别和评估风险,这样就可以决定一个清晰而简洁的策略。如果风险经理在不知情的情况下行事,那么他们可能会实施错误的风险管理策略,从而浪费资源,并仍然允许风险事件发生。
此外,在大多数情况下,风险经理应该尝试利用规避策略,通过预测任何可能发生的风险事件,并制定任何相关的应急计划来处理这些事件。然而,由于包括有限资源在内的许多因素,公司并不总是能够做到这一点,在这种情况下,他们应该专注于风险管理策略,限制风险事件的影响,而不是完全避免它。通过仔细的计划和分析,大多数风险事件都可以被发现,并且可以采取某种行动来至少限制将要发生的风险事件的影响。