重振企业风险管理

VIEWPOINT 2023 REINVIGORATINGENTERPRISERISKMA 名称 如何加强组织弹性和避免陷阱 三十年来，企业风险管理（ERM）一直被视为应对所面临的广泛风险的重要实践 byanorganizationandensuringtherightbalanceisachievedbetweenriskmitigation,transfer,andretention.Mosttransportandmobilitycompanieshavecapturedaregisterofentermrisks,butfew 成功地将ERM嵌入并整合到他们的工作方式中，以提供真正和持续的 价值。在这个观点中，我们探讨了传统的ERM方法是否仍然足以支持有效的战略决策，并分享一种更具风险智能，前瞻性和成熟度驱动的方法，可以增加价值。 AUTHORS MarcusBeardTomTeixeiraBenHansenKerriMcGowan 我们知道的ERM 企业风险管理是一项战略性业务纪律。它解决了组织的全部风险 ，并通过企业级风险状况管理其综合影响，从而支持组织 Itworkstoachieveitsobjectives.Theterm“enterm-level”typicallyreferstothecorporatetier,whererisksaremanagedandexpressedthroughthelensofacorporateriskpavor;theserisksarenotcompartitionalizednorconsoliledonaprovisionlevel.达不到战略目标的潜在风险，在快速变化的商业环境中获取竞争优势。 自1990年代初以来，ERM一直是一个概念和学科；因此 ，许多组织都有一个相当成熟的ERM系统，通常包括： -全面风险管理政策 -支持自顶向下的整体框架/ 自下而上的风险管理流程 -中央企业风险登记簿和指定的风险代表 -负责风险报告和更新风险登记册的经理 MAnYORGANIZATIONSHAVEAREASONABLYMATUREERMSYSTEMINPLACE 固有的挑战 成熟的ERM系统需要适应大型、多样化和复杂组织通常面临的不同类型的风险。根据我们的经验，典型的企业风险状况包括五大类风险（见图1）。 实际上，图1中所示的不同类型的风险的管理和控制非常不同。在几种情况下，存在完全无法控制的外部风险，并且许多风险在不同的层次上以不同的方式相互关联和关联。例如，它是 设计一个既能应对广泛的战略风险（例如在新的地理区域开始运营）又能应对孤立的运营风险（例如技术资产退化）的机构风险管理系统具有内在的挑战性。这些风险的特征及其控制是完全不同的，但两者都在企业层面引起了人们的兴趣 ，因为它们可以对公司产生重大影响。 企业风险-可能对战略目标的实现产生重大影响的风险： 1 2 企业外部风险-与更广泛的地区和全球环境相关，该组织将很少或无法控制CAL,战略性企业风险-从董事会，高管和高级管理层的战略决策中脱颖而出（例如 （例如，通货膨胀率不断上升），在新国家开展业务的决定） 3 骨料 普遍存在的企业风险-“一切照旧”的风险削减 跨组织&通常是不可避免的(例如，员工的能力) 运营或项目风险-与特定项目，计划，业务单元或功能相关，产生于业务流程 ，系统，人员的设计，管理或性能， 或外部事件 骨料 本地化企业风险-从特定的project,4 项目、业务单位、部门或职能&通常是多个单个项目或运营风险的集合(例如，重大列车事故) 5 运营/项目企业风险-具有足够高的潜在影响的风险，对整个组织产生重大影响 升级(例如，特定建筑工地的地面生活) 图1.企业风险的五类 运营和项目风险 来源：ArthurD.Little 因此，设计和实施有效的机构风险管理方法会带来根本性的挑战，包括： -考虑复杂性和多样性 -推动有用的管理参与和行动 -跟上变化的步伐 -在建设中提供信心总体战略 我们今天在哪里? 我们在运输和出行公司的经验表明，高管们普遍欣赏和理解ERM的基础知识及其可以增加的价值。然而，通常情况是，通常保存在企业风险登记册中的公司风险观既不能很好地与实际风险保持一致，也不能跟上这些风险变化的步伐。事实上，企业对风险的看法往往滞后于现实，随着时间的推移，整个系统的价值降低到一个关于众所周知的风险的静态和向后看的信息库。这种过时的资源无法推动管理行动。在机构风险管理的早期，建立登记册是必不可少的，并认为它提供了附加值。一个以前不可用的风险的快照视图。但是，随着时间的推移 ，对这些寄存器的增量更新的价值在下降，事情停滞不前是很常见的。 许多组织，尽管有完善的ERM系统，发现他们可能会被意外的损失事件毫无准备。 该系统根本无法跟上以高速或不可预测原因出现的突然出现的风险。确实， Weoftenobserveexecutive-levelclientsdiscussingissuesofconcernedthatmaynotbecapturedproperlyoratallintheERMsystem,despiteexpendingextensiveeffortsandresourcestomanagethatsystem.Itiseasierforthemtodiscussofconcerning“issu 将这些添加到已经变得越来越复杂和停滞的寄存器中。 对最近重大铁路事故的根本原因的分析有效地强调了这一问题。过去10年铁路事故的最常见原因与人为错误和 机械故障。大多数运输组织都认为安全关键资产管理和安全关键员工的能力是企业的关键风险，但是仅仅在ERM系统中记录这些风险并不能提醒高级管理层注意可能导致重大事故的潜在问题。 总之，当前的方法通常在三个关键方面不足： 1.大型组织对风险的看法往往已经过时： -过时和静态寄存器。企业 风险登记册经常停滞不前，因为对组织来说是重大的风险 donotchangesignificantlyandrapidly.Assuch,theregisterisonlyreviewedperiodically(sometimesannual)withalighttouch.Whileaspectsofcertainbusiness-usual(BAU)risksmaybe 相对静态，风险事件的原因和关键控制的有效性可以随着背景的变化而迅速变化。 -参与不良。ERM通常被认为 作为风险负责人或风险经理的一项单独活动，任务是在执行或董事会级别报告风险，而不是个人的日常行为。确实，一些组织不再使用“企业风险管理”一词，而是更倾向于只关注“风险管理”，这更好地涵盖了从运营层面到董事会的风险管理需求。在 在这种结构中，“企业风险”只是那些有可能造成整个企业损害的风险。 2.大型组织对风险的看法通常与业务及其运营方式脱节 ： -错误的风险。最高风险通常是 根据判断或历史上发生的事情进行分配，无论是在组织中还是在其他地方。这可能无法反映最新的内部或外部环境。 -整合和对齐不良。 组织可能会努力使其ERM方法与更多的“工作级别”自下而上的风险管理保持一致；这些可能会与风险上升不良脱节。 -未能与新出现的风险联系起来。 组织发现很难识别新出现的风险，更重要的是 ，如何实际上将这些风险与ERM框架联系起来 ，以推动有用的见解和管理响应。这意味着可能在遥远的地平线上的风险通常在通过风险缓解策略正确捕获之前就会出现。 -总风险暴露的聚集性差。它 通常不清楚大型组织所面临的底层运营和项目风险的复杂网络是如何相互作用的。在许多情况下，它们对整个企业的总体影响无法确定。 3.风险管理工作不注重关键控制的有效性： -关键控制。很少清楚哪一个 ofthemanycontrolsforthetoprisksareactuallycritical(i.e.,thosewhosefailurewouldlikelyresultinsignificantcorporatedamage).Itisthereforeimpossibletoassurewell-controlledrisk. -不一致的保证和风险。基于风险的 保证涉及将保证活动集中在组织面临的最高固有风险上，因此可以根据 通常，组织没有基于风险的保证方法，这意味着大量的精力和资源被花费在提供相对较小价值的保证活动上。 -缺乏适当的数据或指标。 组织可能难以构建基于证据的方法，该方法提供风险滞后和领先指标的正确组合，同样重要的是 -衡量这些风险的控制措施的有效性。 挑战 当前方法 我们建议高管们问自己以下问题，以帮助他们开始让ERM 重回正轨： 1.我们有信心我们的关键控制实际上是有效的吗？ 2.我们是否有信心在组织的各个层面都有知名度？ 3.我们的组织文化和能力是否确保在为时已晚之前报告问题/ 潜在问题，我们总是诚实地对待我们的风险？ 4.我们是否了解环境变化如何影响我们的风险敞口？ 我们有信心我们的关键控制实际上是有效的吗？ 确定控制的有效性可能很困难，需要仔细判断风险和收益之间的平衡(见图 2）。控制的整体有效性是其设计和其implementation,whichinpracticearedifficulttomeasureandquantine.Aviewofcontroleffectivitycanbeformedfromvariousmethodsofassurance (e.e.,audits,monitoring,reviews,anddeepdivesacrossthe三道防线[请参阅下一页的侧边栏])。 三道防线 三道防线是组织通常用于识别、评估和管理风险的风险管理框架： 1.第一道防线-直接负责组织内活动、过程和控制的个人对风险的日常管理。 2.第二道防线-包括确保政策，程序和控制措施到位并有效管理风险的监督功能。第二行还监控第一行并提供指导。 3.第三道防线-通过评估有效性为董事会提供保证的独立职能 并根据需要提出建议。 但是，很难确定是否首先选择了正确的控件，因为这样的决定通常是在 控制选择和策略的有效性导致了围绕风险接受原则、组织风险偏好、所需的安全完整性水平和风险管理目的的多个存在的问题。 图2.控制有效性方程 我们最近在铁路行业的工作表明，对风险控制的有效性做出假设是常见的，特别是那些已经存在一段时间的风险控制，风险管理的重点是记录和报告事件。这也许是不可避免的，因为判断风险控制的有效性可能是耗时、主观和困难的。 然而，对关键风险控制的有效性充满信心对于预防 损失，确保合规性，确保利益相关者信任，保护声誉 ，保持业务连续性，并做出正确的决策 对业务的关注。对控制有效性的关注可以保证您的组织实际上将风险控制在偏好范围内。 这不是一次性任务;当组织采取以下行动时,关键控制是有效的: 1.确保所有生产线都基于风险并运行良好，关键控制是已知的 2.定义控件在定义的性能标准下有效的含义 3.建立一套全面的指标，揭示控制缺陷 4.在风险管理的各个方面实现高水平的能力 5.确认升级流程运行良好 Control 战略(选择 , 降低风险 目的和覆盖范 围) 与企业风险偏好保持 一致 什么是ARea声级 控制有效的证据( 或保证)？ 总体有效性 实施有效性 设计有效性 控制有效性 来源：ArthurD.Little 6.采取行动应对弱点运作良好 7.了解风险偏好，判断控制效果 我们是否有信心在各个层面都有知名度？ 大公司的高管面临微妙的平衡行为。一方面，它们需要一个涵盖整个组织的简化、统一的风险视图。这种高层次的观点对于制定战略决策和保持对整体曝光的清晰理解至关重要。另一方面，高管们需要足够细粒度的细节，以灌输对风险在运营层面得到适当管理的信心。达到这种平衡并不容易，但要确保高管能够指导组织。 有效地不会被