企業(yè)風險管理對投資回報的貢獻

2013-11-11 09:55:18 TechTarget中國　　點擊量：評論 (0)

企業(yè)和IT管理者拋棄狹隘的，分散的（‘豎井’式）方法進行風險評估和管理總體風險框架，這有利于引導(dǎo)整個企業(yè)并確保各級工作人員清楚地理解他們自己與風險有關(guān)的責任。Gartner公司在其報告為企業(yè)和IT風

企業(yè)和IT管理者拋棄“狹隘的，分散的（‘豎井’式）方法進行風險評估和管理總體風險框架，這有利于引導(dǎo)整個企業(yè)并確保各級工作人員清楚地理解他們自己與風險有關(guān)的責任。

Gartner公司在其報告“為企業(yè)和IT風險管理者設(shè)計的風險體系”中，建議企業(yè)和IT管理者拋棄“狹隘的，分散的（‘豎井’式）方法進行風險評估和管理總體風險框架，這有利于引導(dǎo)整個企業(yè)并確保各級工作人員清楚地理解他們自己與風險有關(guān)的責任。

當然，說起來容易做起來難。

正如SearchCompliance.com公司在“堅持遵從風險管理使警鐘敲響”中論述的，許多企業(yè)的業(yè)務(wù)領(lǐng)導(dǎo)人和IT領(lǐng)導(dǎo)人現(xiàn)在意識到了必須采取一種整體性的，自上而下的風險管理方法。然而，大部分ERM（Enterprise risk management，企業(yè)風險管理）部署仍處于空談或者紙面階段，沒有實際行動。在本文中，我們將會從實際出發(fā)深入研究ERM的本質(zhì)，討論面臨的挑戰(zhàn)和潛在的回報率，提供有實際作用的一些最佳實踐。

Southernco公司是一個很好的例子，我們可以從它談起。該公司實行企業(yè)風險管理已有大約五年時間了。作為一家大型的,由投資者控股的電力公司，“維護低風險預(yù)測與該公司整體策略是密不可分的”，這既為客戶服務(wù)，又使監(jiān)管機構(gòu)和投資者滿意。這是Todd Perkins說的。他是該公司的企業(yè)風險管理總裁。

Southernco公司在四個國家的經(jīng)營區(qū)經(jīng)常受到像卡特里娜這樣的嚴重颶風襲擊，這一點使他們需要付出更多。“我們的風暴恢復(fù)流程已經(jīng)實施了幾十年，這方面非常先進”，Perkins表示，“我們的企業(yè)風險管理程序確實是由于把這一風險管理的制度帶到公司其他地區(qū)帶來的成果。”

在被要求描述什么樣的“風暴復(fù)原”方法被應(yīng)用到了Southernco公司企業(yè)風險管理策略時，Perkins回答道：“主要是關(guān)于在正確的位置實施正確的結(jié)構(gòu)，確保責任明確節(jié)點，每一個人都知道誰擁有風險。”

盡管Perkins不能提供投資回報率的準確數(shù)字，但他證實在風險變得嚴重之前，提前準確識別和定位運營風險在企業(yè)風險管理中起著非常重要的作用。例如：在颶風卡特里娜肆虐期間，Southernco公司能有效地減輕系統(tǒng)被破壞的影響，是因為他們“對哪些系統(tǒng)需要先還原，和我們的商業(yè)優(yōu)先級是什么樣的都非常清楚”，他解釋到。

此外，Perkins還表示，“經(jīng)歷了企業(yè)風險管理過程，使我們明確了高級管理層應(yīng)該關(guān)注的更廣泛的戰(zhàn)略問題和財務(wù)問題”。

實際上，Southernco公司還把它們的企業(yè)風險管理策略用作市場工具，他們把他們的風險管理策略展示給投資者，監(jiān)管方和大客戶，以此來證明“我們是非常安全可靠的，我們有一個非常低的風險評估預(yù)測”，他說。

整個一年中，Southernco公司子公司和職能部門的所有管理者們都明確了他們領(lǐng)域中的風險，并且對能做量化的高級別風險做了量化分析。然后該信息被反饋到了企業(yè)風險管理組，該企業(yè)風險管理組包括來自IT部門，財務(wù)部門和各業(yè)務(wù)單元的高級管理層。Perkins說，該風險管理組“從根源上”對數(shù)據(jù)進行了分析并按優(yōu)先級排序，最終得出了“一整套公司風險預(yù)測”，該風險預(yù)測結(jié)果被商業(yè)領(lǐng)導(dǎo)者，董事會用來作為監(jiān)督和治理的依據(jù)。

Michael Keating是Navigant咨詢公司業(yè)務(wù)連續(xù)性管理的一位總裁，按照他的說法，跨不同集團的關(guān)聯(lián)性對于企業(yè)風險管理策略的成功至關(guān)重要。例如：在評估某一特定系統(tǒng)宕機造成的影響時，財務(wù)管理者會關(guān)注于損失掉的利潤；審計人員關(guān)注于公開暴露的信息；業(yè)務(wù)管理者關(guān)注于損失的生產(chǎn)力。每一個風險級別各自分別被評估為中等，但是“把這些風險放到一起來，風險級別就更高了”，Keating指出。

企業(yè)風險管理措施條款

在制定企業(yè)風險管理策略時，業(yè)務(wù)領(lǐng)導(dǎo)者和IT領(lǐng)導(dǎo)者必須拿出一個三到五年的計劃，計劃中要列出“你想達成什么目標，在達成目標的過程中會遇到什么樣的阻礙”，Keating說。接下來，你應(yīng)該對那些“阻礙點”按照它們是否是技術(shù)風險，市場相關(guān)風險和財務(wù)風險進行分組。“在很多情況下，把這些項作為一組放到一類里面，你可以獲得附帶的好處”——節(jié)省資金，他補充到。

只確定問責制是不夠的：你必須把它落實。“我有個客戶，他規(guī)定了數(shù)據(jù)保留和業(yè)務(wù)連續(xù)性的制度，但人們都不理會這些制度”，