集團企業(yè)風險評估方法探討

摘? 要：企業(yè)風險評估是對企業(yè)內外部風險進行分析確認與衡量的過程，對于集團企業(yè)而言，其風險評估過程與單一企業(yè)的過程存在一定差異性，本文基于集團企業(yè)風險評估特殊性，在實踐中引入“管理層聲音”，以期對集團風險評估的應用提供一些啟示。

關鍵詞：集團企業(yè);風險評估

一、引言

企業(yè)風險評估（Risk Assessment）即是對企業(yè)內外部風險進行分析確認與衡量的過程，以測評某一事件或事物帶來的影響或損失的可能程度。集團企業(yè)風險評估著重于合理評估各子企業(yè)或職能部門風險事項對整個集團企業(yè)目標的影響。相對于單一企業(yè)而言，集團企業(yè)包含多個相對獨立的子企業(yè)，由于子企業(yè)業(yè)務類型、業(yè)務規(guī)模不盡相同，在實踐中，如何合理處理此類差異，以有效評估集團企業(yè)風險，具有一定的操作難度。本文，我們根據企業(yè)實際，對集團企業(yè)風險評估方法進行了初步探討。

二、集團企業(yè)風險評估特殊性分析

“作為風險管理的組成部分，風險評估提供了一種結構化的過程以識別目標如何受各類不確定性因素的影響，并從后果和可能性兩個方面來進行風險分析，然而確定是否需要進一步應對”。風險評估一般包含風險識別、風險分析及風險評價三個方面。風險識別為發(fā)現、列舉與描述風險要素的過程，目的是確定可能影響系統(tǒng)或組織目標得以實現的事件或情況。風險分析為風險評價、風險應對策略與方法提供信息支持。為確定風險等級，風險分析通常包括對風險的潛在影響和發(fā)生可能性的估計。風險評價包括將風險分析的結果與預先設定的風險準則相比較，或者在各種風險的分析結果之間進行比較，以確定風險的等級。

（1）在風險識別過程中，子企業(yè)與集團企業(yè)思考的視角是不同的

對于集團企業(yè)而言，因集團企業(yè)由多個不同性質與規(guī)模的子企業(yè)組成，存在子企業(yè)間管理協調、管理平衡、權責分配及業(yè)務策劃等，在進行風險識別時，集團企業(yè)與子企業(yè)思考視角將面臨較大的差異。比如資金集中管理，在實際風險識別中，子企業(yè)就可能忽略此類風險，但對于整個集團企業(yè)，此類風險的影響也許是不可忽視的。

（2）在風險分析時，子企業(yè)與集團企業(yè)所關注的目標存在差異

風險分析就是對識別出的風險，結合企業(yè)現有控制措施與手段，考慮各風險間組合影響，以合適的技術，分析風險發(fā)生的可能性及其對目標影響的量值。風險發(fā)生的可能性是針對風險本身而言的，但風險影響是相對于目標而言的，由于子企業(yè)業(yè)務類型一般較為單一，而集團企業(yè)業(yè)務類型較為復雜，從而可能導致集團企業(yè)與子企業(yè)主要管理目標出現差異（如集團企業(yè)的生產成本可能為其重要管理目標，但對于貿易型子企業(yè)而言，可能更關注收入與利潤目標）。

（3）在風險評價時，集團企業(yè)風險評價不能直接通過子企業(yè)評價結果而獲得

在集團企業(yè)風險評價過程中，對于各子企業(yè)風險評價，可從底層開始，按一定的方法合理的評價所有風險的綜合影響，最終得到子企業(yè)的風險排序。這類方法，相關研究提供了較多的借鑒，如張利等利用層次分析法對信息安全風險評估因素進行層次分解;敖世友引入管理熵理論作為研究企業(yè)風險評估系統(tǒng)評價的理論基礎;張偉、張慶普利用模糊德爾菲法建立了風險評價模型，將風險分為目標層、準則層及指標層三級，各級指標按權重計算指標影響等。對于集團企業(yè)而言，其風險是由子企業(yè)風險構成的，但各子企業(yè)風險對集團企業(yè)的影響是不同的，因此不能直接利用子企業(yè)的評價結果而獲得集團企業(yè)的風險評價。

三、集團企業(yè)風險評估方法探討

集團企業(yè)風險評估的目的，是準確的識別與衡量對集團企業(yè)管控目標產生影響的相關風險，為風險應對與控制提供管理依據。考慮集團企業(yè)風險評估的特殊性，在風險評估過程中，我們按如下方法進行集團企業(yè)風險評估過程相關事項處理：

（1）風險識別：子企業(yè)、集團企業(yè)職能部門應基于各自管控視角進行風險識別。考慮到企業(yè)風險的重復性，為高效全面的識別出各類風險，可建立企業(yè)風險數據庫。由于風險數據庫是統(tǒng)一的、完整的、及時更新的，因此，各子公司及職能部門在進行風險識別時，不容易出現大的風險遺漏，同時也保證了風險識別的規(guī)范性。風險數據庫建立過程一般應經歷“風險識別”“風險分類與整合”“數據庫維護”等過程。風險的分類與整合過程，實質上就是風險的聚焦或組合過程，風險可以按風險的內容與來源歸類為戰(zhàn)略、財務、市場、運營與法律風險，也可以按風險來源及范圍歸類為內部與外部風險等，風險如何歸類取決于企業(yè)管理的考量，最終目的是便于后續(xù)風險評價與應對管理。

（2）風險分析：風險分析，應將風險后果與最初目標聯系起來。因此，在風險分析時，子企業(yè)與職能部門首先應基于風險對各自的目標影響進行分析，但職能部門應基于風險對集團目標（而非職能目標）的影響進行分析。在此基礎上，通過適合的方法將子企業(yè)與職能部門風險分析結果合理轉化為集團企業(yè)風險。在轉化時，對于子企業(yè)與職能部門識別的風險差異應采用不同的方法處理，如根據風險類型設置不同的權重等。

（3）風險評價：風險評價的主要目的是利用風險分析過程中所獲得的對風險的認識，確定最終風險的等級，即風險的排序，以對未來的行動進行決策指導。對于子企業(yè)，可用層次分析、風險矩陣等合適方法得到上層風險的大小。對于集團企業(yè)而言，可基于轉化的集團企業(yè)底層風險分析結果，再按層次分析、風險矩陣等方法得到上層風險的大小。由于在風險轉化時，會存在模型風險，即將不同子企業(yè)或層級的風險轉化為集團風險時，可能因權重選擇不當導致風險判斷偏離實際。為減少此類風險，我們引入“管理層聲音”，即基于集團風險評價，采用結構化或半結構半訪談、德爾菲法等，獲取管理層對風險的判斷，最終綜合得到符合企業(yè)實際的風險分級。集團企業(yè)風險評估完整的流程為：

在上圖1中，子企業(yè)進行風險分析的分析結果，一方面用于子企業(yè)風險評價，得出子企業(yè)風險分級;另一方面則將分析結果與職能部門分析結果合理轉化為集團企業(yè)風險分析結果。集團企業(yè)的風險評價是結合風險分析結果與管理層聲音確定的。這樣，子企業(yè)得到符合子企業(yè)實際的關鍵風險，而集團企業(yè)得到符合集團企業(yè)實際、并綜合子企業(yè)與職能管控目的的集團企業(yè)風險排序。

四、結語

風險評估的目的主要是“識別”與“衡量”，即盡可能完整的識別影響企業(yè)目標的所有風險，并通過衡量風險度，找出關鍵風險以進行有效應對。整個風險評估過程需“放”與“收”，其“放”的過程即全面識別風險的過程，“收”的過程即合理得到最終的關鍵風險的過程。對于集團企業(yè)風險評估而言，“放”與“收”的過程控制主要措施有：

第一，建設可動態(tài)維護的集團企業(yè)的風險數據庫，不斷補充更新風險信息，提高風險識別的完整性與規(guī)范性;

第二，子企業(yè)與職能部門基于各自控制目標進行風險分析，職能部門應以集團管控視角進行風險分析與評價;

第三，考慮各子企業(yè)及職能部門對集團目標的影響性，合理進行風險轉化，得到集團企業(yè)的風險分析與評價結果;

第四，獲取“管理層聲音”;

第五，結合“管理層聲音”與集團企業(yè)風險評價結果，以合適的方法得到集團企業(yè)最終的風險排序。

由于企業(yè)風險多數是難以通過指量化標進行衡量的，且指標權重的設定也存在較大的主觀性，導致以統(tǒng)計方法得到的評價結果難以有效的對企業(yè)風險進行分級，因此，本文基于企業(yè)實踐，在評價過程中引入了“管理層聲音”，發(fā)揮“全員參與”的精神，以期合理的評估集團企業(yè)的風險。

參考文獻

[1]中國國家標準化管理委員會.風險管理—風險評估技術（GBT 27921-2011）

[2]張利等.基于決策樹的智能信息安全風險評估方法[J].清華大學學報（自然科學版），2011（10）：1236-1239

[3]敖世友.基于管理熵的企業(yè)風險評價模型研究[J].求索，2011（02）：24-25

[4]張偉，張慶普.基于模糊德爾菲法的企業(yè)知識管理創(chuàng)新風險評價研究[J].科學技術進步與對策，2012（12）：112-116

作者簡介：王英華（1972年9月—），女，民族：漢，籍貫：湖南衡陽，單位：廣西鳳糖生化股份有限公司。