IBM企业风险管理ppt课件.ppt

拨云见日照亮成功的企业风险管理 2012年6月 2 ERM是一种可预防或控制灾难事件带来的大规模损害的做法 实施ERM计划时 经常会被误解 这些计划或者被搁置 或者未被充分投资 或者给企业内员工造成困惑 尽管这样 ERM仍然是可以预防灾难性事件带来的大规模损害的有效做法 我们认为 ERM的范围更广 更系统化和结构化 误解ERM的定义的对企业是一种挑战 3 风险存在于每个业务生态系统中 当前全球商业环境中的运营挑战更是无处不在 最近的研究指出 很少有公司能够全面了解或者充分准备好应对所遇到的各种风险 要想制订有力的ERM计划 必须要在在企业内创造 团队精神 这是因为 仅有不到20 的企业风险属于财务 法律或合规范畴 因此 企业出现风险事件 并不仅仅是首席财务官的问题 剩下80 的企业风险源自于企业的日常运营和活动 所有的风险最终都会直接或间接的对财务产生潜在影响 近年来 我们已经看到重大的风险事件严重影响了多个行业中的许多公司 5 导致这些失败的共同点是什么 据IBM和APQC在2010年共同进行的一项调查指出 在近300名受访者中 超过三分之二的受访者在过去一年中曾经遇到过至少一次重大的风险事件 仅20 的企业预测或者合理估计到了这个事件的影响 IBM早些时候对高级财务主管的调查也发现 绝大多数的重大风险事件根源都在于非财务事件 3 ImprovingEnterpriseRiskManagementOutcomes JointERMStudy IBMandAPQC 6 企业执行委员会在1998 2009年评估了 财富 1000强前20 的企业市值下跌的根本原因 企业执行委员会调查发现 战略风险导致68 的严重市值下跌 并且对公司的威胁要比合规和财务风险严重得多 7 许多企业的ERM失误仅仅是因为他们不知道该做什么 企业不知道应该做什么 企业在未认清阻碍因素时实施ERM计划 企业不了解风险管理的真正范围 也忽略了很多重要的方面 未做好风险应对成本的准备 从而导致了最坏情况的发生 无法看到和 或评估企业面临的风险 无法执行 吹散乌云 的关键举措 阻碍因素制约ERM的成功 8 企业不知道该做什么 风险事件可能等级较高 并且是由外部因素引起的 比如不可预测的自然灾害或者对企业产品破坏性的恶意评价 在业务运作的每时每刻 风险管理都对各项业务职能的核心产生直接的影响和渗透 而企业却不知如何面对这种现状 有相当多的公司在自己或者其竞争者亲身经历特别的灾难之前 几乎很少考虑过公司将可能遇到的风险 当公司的运营比较顺利时 很少考虑到风险事件将会引起的损害 当企业应该为预防和控制风险的发生做计划 预测和准备时 他们却对可能发生的灾难毫无察觉 不采取任何行动 企业不了解风险管理的真正范围 也不知道怎样去了解 风险事件可能是由企业内部因素引起的 比如由于错误 信息误传 不佳的设计 缺乏技能或者故意的行为不当等内部因素引起的风险 了解ERM的范围是制定风险预防和控制计划的第一步 10 企业不知道应该做什么 阻碍因素制约ERM的成功 企业在未认清阻碍因素时实施ERM计划业在未认清阻碍因素时实施ERM计划 企业不了解风险管理的真正范围 也忽略了很多重要的方面 未做好风险应对成本的准备 从而导致了最坏情况的发生 无法执行 吹散乌云 的关键举措 另一个导致ERM错误的原因是阻碍因素制约了ERM的成功 无法看到和 或评估企业面临的风险 11 五个阻碍因素会制约ERM的成功 将风险事件和不当决策的特征刻画出来是ERM的重要步骤之一 关于风险事件的演变过程 我们了解的越多 我们的预防和控制措施就会做的越充分 五个阻碍因素非常典型的制约了我们对风险的探测 控制和管理 12 一个企业的文化 激励机制和绩效评估流程可能会降低企业对风险的探测 控制和反应能力 可能造成ERM阻碍因素的企业文化对错误的跟踪和对过去决策的衡量被认为是浪费时间 领导者不愿意花费时间去审视过去的失误 也不想持续的暴露这些失误 领导者认为对风险的规划是属于假想或理论范畴的 领导者不喜欢消极的感觉 或者不喜欢关注失误 而是持盲目乐观态度 很容易依赖乐观态度或基于统计数据而得出诸如 这种事之前没发生过 将来也不会发生在我们身上 的结论 企业文化 激励机制 绩效评估和激励机制大多数管理人员或高管会利用一段时期的业绩估算未来的进步或奖励 这种绩效评估流程会形成趋向于寻求超级奖励的文化环境 比如 在最近的次贷危机中 一位银行家提到 可能发生的最坏情况是什么 我们赚了2亿美元后被解雇 股东如果只关注短期目标 就会促使管理人员或高管通过美化工作成果 或者用过低的价格赢得客户的做法来满足当前目标 这样的代价就会增加企业的风险 13 成功探测风险通常有赖于探测的量化与主观性 以及风险事件发生的频率或常规性 量化与主观性 有些风险 尤其是频发风险 是可以用硬性数字衡量的 例如每周 每季度 而且可以为其制订正式的风险管理计划 在经常会发生风险事件的行业或领域 风险计划成为常规的业务职能 而且不被认为是ERM 以一家大型夜间货运公司处理其机队例行故障风险为例 公司已经依据确切的统计数字了解到每晚都会有飞机发生故障 但是 由于决策人员不知道哪架飞机或者哪个位置需要部署紧急替换的飞机 他们无法根据位置做计划 而保留替换飞机或者将货运业务外包给其它承运商的代价过于高昂 为了应对这一风险的挑战 公司在夜间准备了两架空驶飞机 当所有的飞机都开始执行任务时在其航运中心待命 以便随时部署到任何位置 以确保当地应急措施在数小时即可提供 14 许多对风险影响的分析方法仅仅计算风险事件的成本 即预计造成的损失和影响 并乘以事件发生的几率 例如 如果估计一个风险事件会造成10 000 000美元 但发生的可能性仅1 许多风险分析人员会记录预计损失100 000美元 这一数字可能无需进一步的行动即可管理和接受 但在现实中 风险事件的影响可能是0美元 也可能是10 000 000美元 因此 企业必须决定10 000 000美元的损失能否接受 这与评估仅100 000美元的预计损失是截然不同的两个问题 许多最高等级的风险事件被描述为 黑天鹅 事件或不可预测事件 超出我们的控制或预测能力而突然 随机发生的未知灾难 例子包括重大天气和自然事件 比如 卡特里娜 飓风或2004年发生的海啸 黑天鹅 事件都非常重大 企业可能无法管理 但是 通过事先对此类危机的预防 我们可以降低此类事件将会造成的损害 不可预测 15 许多灾难性风险事件发生在企业内部 是由业务决策人员的失误造成的 错误链 通常是一连串人们可能错过 忽略或者任其发生的小错误 最终导致了灾难性的风险事件 重新回想近些年发生的诸如福特斑马汽车油箱爆炸 三里岛核泄漏 以及汽车粘刹车等事故时 会发现这些企业在认识到如此大的战略性危机并采取行动之前 已经犯了一连串的小错误 错误链发生的原因有许多 缺乏对流程内不同的相关利益人或角色的监督或协调 虽然有良好的流程可防犯错误 可出于某种原因 这些错误会被放过或忽视 企业文化可能阻碍对权威的疑问或者对流程的批评 16 时间 尤其是长时间 可能是风险管理最复杂且最难掌握的维度 长时间 企业一般能够更好地管理最近或频繁发生的风险 在长时间内发生的风险事件 例如五年 十年或二十年 可能在发生后很快被遗忘 需要几十年时间才能证明的问题同样难以检测和管理 以长期资源或基础设施的采购为例 在评估一个场地的适合性时 评估人员一般仅考虑此地点的短期可能性 他们可能会考虑当前的就业率 地点是否安全或者地产的价格等 但是 现实情况是 在制定决策时 往往只是以上次被疏漏或者未加衡量的决策为教训 而没有去全面分析这个决策可能会引起的长期变化 比如 城市环境是否会恶化 人口组合是否会变化等 过去的决策中很少衡量这种长期的风险 也没有建立衡量未来决策的流程 17 一个囊括了潜在的内部或外部风险因素的整体框架对驱散乌云 照亮成功的ERM是至关重要的 18 企业不知道应该做什么 阻碍因素制约ERM的成功 企业在未认清阻碍因素时实施ERM计划 企业不了解风险管理的真正范围 也忽略了很多重要的方面 未做好风险应对成本的准备 从而导致了最坏情况的发生 无法看到和 或评估企业面临的风险 无法执行 吹散乌云 的关键举措 最后一个导致ERM错误的原因是 一个企业可能知道要做什么 并且也尝试着去了解风险 但是还没有采取正确的步骤去预防风险事件 19 照亮成功的ERM 那些采取了特别的措施来建立和改善其ERM计划的企业可以更好的应对和管理风险事件 甚至还可能通过风险事件推进公司的业务发展 因此 一定要给予ERM足够的支持与投入 并且将其作为企业非常清晰的职责之一 ERM对企业的影响将是非常广泛的 它甚至在企业制定每一个决策时都可以发挥出作用 ERM必须包含风险发生时对风险事件的管理 没有任何一家企业可以做到完美 在市场上创新和竞争必定会产生风险 由于风险事件必然会发生 ERM计划不能仅仅为了避免风险 而且要准备好在风险发生时管理这些事件 即使你已经能够驱散乌云 也仍然要学会在遭受重创时照亮成功 20 排除阻碍因素的对策 澄清ERM的推动因素 如果这些ERM的阻碍因素阻碍了一个组织的应对风险的能力 那么采用灵活的 主动的策略去排除这些干扰就可以控制这些阻碍因素的造成消极影响 ERM的阻碍因素 21 全面分析作为ERM的一部分 可以帮助我们认识到那些风险可能会发生 全面分析可以让我们清楚的看到该怎样避免和预防风险事件 以及如果风险事件发生将会引起的财务和其它后果 全面分析的流程首先从 识别 开始 即列出并分类可能会在合理情况下发生的风险 全面地考虑不同的风险非常重要 必须超越过去和正在发生的事件 而将可能发生的事件包含在内 应当忽略权威意见和感性批评 应该采取书面分析或者报告的形式 风险可以通过其发生的几率 影响 相关成本 及 或对MRE 管理风险事件 的投入等来进行评估 所有风险应该有限按照三个重要的维度来进行衡量 发生几率 事件发生后的影响 包括应对和恢复措施 做准备 预防的成本 风险计分卡包含了基本风险信息 预计风险 不同的控制方法 潜在影响 减轻风险的机会 成本和恢复要求等信息 这一分析的输出结果是一个风险 战术集 用于指导如何灵活的制定决策以应对和控制危机造成的影响 全面分析 22 2008年 油价飞涨导致一家大型航空公司通过以固定价格采购大量油料而对冲了2009年采购量的很大一部分 在2009年第一个季度 随着石油和燃料价格下降 在采购时被媒体称赞的这种对冲做法变成了一场灾难 需要几百万美元才能冲销 尽管这一决策有严重的负面影响 但在这个例子中 MRE 对冲计划 是为已知 可管理的财务状况而计划的 从某种角度讲 这种方法并没有给公司带来计划外的损失 如果发生相反的情况 公司没有对冲 而且油价持续2008年的趋势 其损失会对业务产生未知 未计划 而且可能是灾难性的后果 一般来说 企业把大量精力放在风险预防活动上 而对管理风险事件 制定灵活 快速的反馈机制的关注度却不够 大多数风险管理只关注风险的预防和控制 由于风险事件即使尽最大努力预防也会发生 因此 MRE有必要应对 恢复这些事件 并从中吸取经验 为未来做好准备 未实际采用的MRE流程和行动所花的代价是已知的 可衡量的和可规划的 管理风险事件 MRE 和方案计划 23 ERM的组合框架需要包含的不仅仅是对风险的识别 也应该包含对风险事件的管理计划 管理风险事件 MRE 和方案计划 24 风险监控计划应该被列为MER的重要组成部分 它通常采用一套综合的关键绩效指标 KPI 或关键风险指标 KRI 来衡量风险事件及任何相关的减轻举措的影响 关键绩效指标 KPI 或关键风险指标 KRI 一般被组合起来衡量风险事件的影响以及组合的控制措施的影响 这两个指标可以帮助企业的管理层和员工了解风险事件 在管理 高枕无忧 的企业时 即非危机时期 监控 报告和审查的步骤应评估错误链是否发生 和 或者风险事件的几率是否发生变化 打破错误链的积极做法应当是永久和持续性的 例如谨慎地分析可能影响未来风险事件的原因 在危机的确发生时 MRE 功能 应该像素有准备的应急单位那样立即采取应对 管理这些风险 使业务重回正轨并且从事件中恢复是最优先的任务 关键的是 随后要使用该事件作为未来规划的学习点 决策控制 25 一些针对长期缓慢变化趋势的决策必须包含在风险分析中 当环境在慢慢发生变化时 决策者不能只像谚语里所说的慢慢沸腾的温水里的青蛙一样毫无作为而导致危机 他们必须仔细观察长期的业务发展趋势 比如客户的喜好的变化 竞争者的状况 发展的技术 新的产品 销售渠道的变化等 这些趋势必须与其它潜在的风险事件同等对待 趋势评估 26 在考察历史事件时 采用的假设是否有效比决策本身更加重要 如果基本的假设或事实不正确 即使以最谨慎的态度做出的决策也可能是错误的 实现这一点可能要采用不同的方法 而不是仅依赖记忆和个人经验 制度记忆必须以正式的方式编纂到系统中 并辅之以自有的格式 程序 更新流程和使用激励措施 制度记忆也必须优先于偏见 奉承和修正主义历史 已发生的坏事 尽管很难查出并记住 确是极为宝贵的 在处理风险事件之后 无论是否成功 风险管理人员必须能够在这个过程中回顾 识别 阶段 以了解他们是否准确地发现并规划这一特定事件 风险事件知识必须存储在制度记忆库的正式记录中 并且作为审查和修改其它相关风险分析 战术集和部署计划的参考资料 管理人员应反复制订业务发展的长期视图 使风险管理的范围不仅局限于不远的将来 在完全未预测到的风险事件发生时 企业应评估为何未意识到事件的到来 并且扩大了解风险的视野 在预测到的风险事件发生时 问题分为两个方面 第一 企业是否以合理的准确度预测到了事件 第二 是否合理地估计到其事件的影响 如果有一个问题的答案是否定的 企业就需要将事件视为未预测到的事件 制度记忆库 27 随着企业的文化逐步适应风