误决策(如以过低的价格出售产品、没有留住企业的关键员工、没有阻止对本企业专利权的侵害行为,或者是出现未
预期的负债等等)所引起的流失。对某种报告目的而言,这种广义的资产安全类目标可能是一个狭义的定义,此时的
资产安全概念可以仅仅指预防或及时发现对企业资产的未经授权的购买、使用或处置。
3.事项识别
管理者意识到了不确定性的存在,即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果
如何。作为事项识别的一部分,管理者应考虑会影响事项发生的各种企业内外部的因素。外部因素包括经济、商业、
自然环境、政治、社会和技术因素等,内部因素反映出管理者所做的选择,包括企业的基础设施、人员、生产过程和
技术等事项。一个企业事项识别的方法可以包含不同的技术及其与相应的工具的组合。事项识别技术既针对过去,又
针对未来。针对过去的事项和趋势的识别技术主要要考虑类似支付错误的历史、商品价格的变化和浪费时间的突发事
件(Lost-me accidents)等事项,而针对未来风险的技术则主要考虑不断变化的人口统计资料、新市场和竞争者的行
为等事项。将潜在的事项进行分类对管理者而言是非常有用的。通过在企业内各水平层面上对事项进行汇总、在营运
部门内部对事项进行垂直地汇总,管理者能够对事项之间的相互关系有一个了解,这些信息也可以作为风险评估的基
础。潜在的事项可能对企业有正面的影响、也可能有负面的影响或者两种影响同时存在。对企业有潜在负面影响的事
项是企业的风险,要求企业的管理者对其进行评估和建立反应方案。因此,风险的定义就是,某一事项将要发生的可
能性及其对企业目标的实现造成负面影响的可能性。对企业有潜在正面影响的事项则是企业的机遇或者可以弥补风险
对企业的负面影响。机遇可以在企业战略或目标制定的过程中加以考虑,以制定有关行动抓住机遇。可能弥补风险对
企业负面影响的事项则应在管理者对风险进行评估和反应的阶段予以考虑。
4.风险评估
风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估――风险发生
的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对风
险发生的可能性和影响的估计经常需要使用从过去的可观察事项得到的数据,这比没有任何数据的、完全的主观估计
要客观得多。根据企业自己的经验在企业内部产生的数据带有较少的人的主观偏见,能够得到比外部数据更好的结果。
但是,即使是以内部数据作为主要的资料来源,外部数据仍能用作一个检查标准或者改进分析。当使用过去数据对未
来进行预测时使用者必须小心,因为影响过去事项的有关因素可能会随着时间的推移而改变。一个企业风险评估的方
法通常是定量方法和定性分析技术的组合。当风险本身无法量化时,或者量化评估所要求充足的可靠的数据实际不可
获得或者数据获得或分析不符合成本效益原则时,管理者通常会采用定性的分析技术。定量的分析技术通常更加精确,
一般用于更为复杂多变的活动,作为定性分析的补充。一个企业不需要在每个业务部门都使用同样的评估技术。相反,
对评估技术的选择应反映出对精确性的需要和该业务部门的文化。在任何情况下,各业务部门所使用的评估技术应有
利于企业在整个企业的范围内对风险的评估。在衡量目标的实现程度时,管理者经常使用业绩计量指标。当考虑某一
风险对实现某一特定目标的潜在影响时,使用这些计量指标同样有效。管理者可以评估各事项之间的关系,因为一系
列相互关联的事项结合起来会使得事项的发生概率或事项的影响发生重大变化。虽然一个单一事项的影响可能很小,
但是这样一系列事项则可能对企业造成重大影响。各潜在事项之间可能并不直接相关,这时管理者可以分别对其进行
评估,但是某些风险可能在企业的多个业务部门出现时,管理者可以将所确认的风险归为一类进行评估。通常一个潜
在事项结果是一个可能的范围值,管理者应将其作为制定风险反应方案的基础。通过风险评估,管理者可以了解潜在
事项在整个企业内对企业的正面和负面的影响,单个事项或某类事项对企业的影响。管理者通常只趋于关注中短期的
风险,但风险应在企业战略和目标的前提下进行评估。由于战略方向和目标的某些要素涉及较长时期,管理者因而应
从长期的角度认识风险,而不能忽视远期会影响企业的风险。首先,应对企业的固有风险进行评估。固有风险是指管
理者在没有采取任何会改变风险发生的可能性或影响的管理措施的情况下企业所面临的风险。一旦确定了对固有风险
的风险反应方案,管理者就可以使用风险评估技术确定企业的残留风险。残留风险是指管理者采取了有关风险管理措
施后应存在的风险。
5.风险反应
管理者可以制定不同风险反应方案,并在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事项发生
的可能性和事项对企业的影响,并设计和执行风险反应方案。考虑各风险反应方案并选择和执行一个风险反应方案是
企业风险管理不可分割的一部分。有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风
险容忍度范围之内的风险反应方案。风险反应可分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指
5 / 35
评论0
最新资源