財會知識庫
ERM_用現代方法管理風險
2024-08-12
翻譯轉載自 : Detect and Protect: Implementing Enterprise Risk Management (ERM) | Deloitte US
介紹
當雷達系統於 20 世紀初首次現世時,其主要目的是防止船舶在公海相撞。在接下來的幾十年中不斷發展中,從這個狹窄但重要的管理風險起點開始,新的創新進一步擴大了的使用範圍和精度,透過追蹤更多物件(從飛機到超速車再到大氣現象)來降低風險。
同樣,自 1990 年代末期首次使用「企業風險管理」(ERM) 一詞以來,組織識別和解決風險的方法也變得越來越複雜。雖然 ERM 的一般定義仍然成立(即企業如何識別影響甚大的風險並為其做好準備的策略),但在技術進步、資料擴散和風險治理的支持下,其應用層已遠遠超出了初始範圍。如今,企業風險管理 (ERM) 不僅被廣泛用於發現潛在威脅的策略,當意外情況發生時,也可用於識別新的機會與建立組織彈性。
雖然ERM長期以來一直是許多大型上市公司的主要內容,考慮到其監管義務和股東期望,這些公司採用自上而下的風險管理方法,但根據我們的經驗,許多私人公司和家族企業往往更傾向於採用主觀的、由下而上的方法來管理風險。這種策略可能在發現和解決問題方面效果不錯,但也可能使這些組織處於不斷反應的模式,經常以品牌、聲譽和文化為代價。我們觀察到,許多這類企業仍然在用個別業務單位層面管理風險,缺乏跨企業的整合或領導者有效治理和履行監督責任所需的協調。
由於經營的環境壓力不斷加大,除了對ESG、產業融合和技術顛覆等相關議題的期望不斷提高之外,董事、投資者和策略夥伴對公司對實現風險管理方法現代化的期望也越來越高。這個關於企業風險管理的專門系列旨在幫助私人公司和家族企業的領導者做好準備,幫助他們建立或加強風險管理能力以及資源和基礎設施的支持。
轉變心態
實施有效的ERM需要私人公司和家族企業加強風險的對話,用以幫助他們在考慮潛在風險的情況下做出更明智的策略選擇和決定。對許多組織來說,這可能是一種微妙的轉變,而不是戲劇性的轉變,但透過將風險情報整合到策略制定、商業規劃和績效管理中,可以實現無數的好處。
在我們與客戶廣泛的 ERM 合作中,我們發現了一些經驗教訓,可以幫助為組織的支持並最終成功的 ERM 專案鋪平道路。
1. Call it what it is
從一開始就傳達 ERM 計畫的本質非常重要:努力建構組織的風險智慧。
事實上,無論組織處於風險管理成熟度曲線的哪個位置,通常都可以經由創建能夠激發和促進企業風險對話的結構或流程來提高風險情報程度(成熟度模型)。員工應該能夠理解風險智慧的概念,特別是在風險迅速擴大的營運環境中。它可以讓他們將風險管理視為更流動且靈活的工作。
ERM 成熟度模型 : (價值、成熟度由高至低)
- 下一代風險智能
使用預測分析和數據驅動技術可實現流程自動化、產生洞察力並實現風險情報決策。
- 領先實踐
風險是決策中的一部分。由於具有利用風險的能力,因此有選擇地抓住機會
- 融合
活動在整個企業內一致實施,並在風險類型和業務部門之間相互關聯和匯總,並涵蓋大多數風險類型。
- 定義
大多數業務部門都是獨立運作的。活動要碼沒有在各個業務部門之間一致應用,要碼可能正在開發中但尚未最終確定。
- 發展
活動是無組織的、不協調的、無記錄的,或可能不存在。沒有定義整體理念或目標。
2. 尋找漸進式改進
有些人認為,ERM措施代表著巨大的承諾,往往會擾亂抵制變革的文化。然而,即使風險情報不斷增加,對於幫助實現這些目標也很重要。重要的是要將風險情報視為一個旅程,在這個旅程中,您可以分階段而不是一次性地建立能力。
通常,簡單地獲得風險所有權並創建持續掌握風險承擔的流程就可以推動組織提升成熟度。私人企業和家族企業只需推動風險管理的更多組織和整合就可以獲益匪淺,因為許多企業依靠自下而上的方法來滿足其最緊迫的需求。
你不需要一小群人來實現這一目標——大多數公司都可以從首席風險官或組織中其他人中受益,他們了解ERM 的概念和原則,並與高級領導者有熱情和關係,以幫助傳達訊息。現有的企業領導者也應該看到這一點對他們自己有利——風險管理職責不應該被表述為在他們的工作中添加額外的任務,而應該強調這是他們應該已經在做的事情。
3. 從今天開始
公司每天都在管理風險——挑戰之一是如何在整個企業內整合風險情報,使其與整體策略保持一致並成為文化的一部分。無論您的公司在管理風險方面處於成熟度範圍的哪個階段,實施ERM 計劃的一些基本步驟都可以幫助您在當下變得更具風險智慧,並在您根據不斷變化的內部和外部條件進行調整時繼續保持這種狀態:
- 進行風險盤點
公司應該能夠根據風險的可能性和潛在影響來繪製他們面臨的風險。這是風險評估的重點,它可以識別關鍵風險並為策略規劃和決策奠定基礎。風險評估是針對每家公司量身定制的——根據企業的規模、複雜性和地理範圍進行正確調整。自從您上次執行評估以來可能已經有好幾年了,在這段時間裡情況可能已經改變了。這將是一個及時的快照——重要的是要記住,風險不是靜態的,只要你的策略發生變化、市場條件發生變化或你的風險狀況發生變化,就應該重複這個過程。
- 確定風險優先順序並設定閾值
機會主義和成長型公司應該在企業層面上有一些基本的風險承擔護欄,因為它們可以防止單方面決策使公司面臨風險。如何應用這些門檻取決於公司的文化——有些公司的組織中嵌入了嚴格的限制,而有些公司可能會拒絕嚴格的框架。
- 將風險討論融入您的文化中
風險評估僅捕捉一個時間點,但風險模式不斷變化。由組織高層推動的圍繞風險的定期對話。在組織高層的推動下,圍繞風險的對話應該定期進行。考慮將風險納入定期策略會議中。在整個組織中建立風險負責人,按風險領域帶頭進行這些討論,並討論可能改變組織風險偏好的營運環境或經濟變化。進行涉及危機情境和其他潛在挫折的桌面風險管理演習。此外,也可以考慮成立一個由公司或董事會外部成員組成的諮詢委員會,以聽取具有處理同類風險相關經驗的人士的觀點。這可能有助於避免經常困擾許多公司的常見錯誤:他們盡一切努力來了解風險並建立閾值,但從不回頭調整它們。
- 啟動風險監控計畫
例如 : 人工智慧、數據分析和風險儀表板。領先的公司已經在利用這些工具來提取數據,並讓他們知道何時超出了既定的風險閾值。如果某些活動超出了可接受的風險參數,那麼就會升起一個旗幟,讓領導者有機會討論潛在回報是否值得冒額外的風險。
結論
當您的企業尋求變得更加風險智慧並在發生中斷或面臨的風險變化時建立組織彈性時,它可能需要超出其當前能力的新功能和技能。對人才、技術和其他資源進行正確的投資對於維持持續改善的內部支持至關重要。新的解決方案在還沒有實施、確定是否適合現有的文化就可能很快變成新的問題。
在本系列中,我們將幫助連接需求和答案之間的點,特別關注確定組織能力和其他考慮因素,當您的企業尋求變得更加風險智能時,這些因素需要牢記在心。在下一篇文章中,我們將探討內部控制以及它們應如何在 ERM 計劃中發揮作用。其他部分將深入探討 ERM 對日益增長的網路風險威脅、營運風險來源的影響,以及即使是最有害的風險發生時如何幫助建立組織彈性。
當您的組織開始或在其 ERM 之旅中取得進展時,請考慮您的組織將如何回應有關其風險管理方法和能力的以下問題:
- 我們是否有一個綜合的方法來評估整個企業的風險?
- 我們是否有承擔風險的門檻,這是否在整個組織中得到了明確的定義、理解和接受?
- 作為一個組織,我們試圖透過更了解我們所面臨的風險和機會來解決哪些問題?
- 我們是否擁有內部能力和資源來持續有效地監控我們的最高優先風險?我們正在共同採取哪些措施來提高我們的風險意識?
- 風險管理如何適應整個組織中業務領導者的角色和責任?
- 我們是否有定期更新有關風險的對話的流程?
點閱次數:94
