专家预测也可能不准确,从对许多自然灾害的统计评估中可略见一斑。这种不准确可能来自于不完整或不准确的历史信息,或由因缺少有关的专业知识而使预测模式不完整引起。我们需慎重对待专家对某个事件发生率的评估,宁可信其有,不可信其无。
管理者可以通过审查以下几点,提高风险预测的可信性。
①风险情况能够运用统计方法进行频率或概率评估。
②所有的部门、项目、案例或事故都已考虑在内。
③使用者意识到任何概率估值只有在使用大量样本数据的基础上才能保证高准确度。
在获得所有风险原项之后,并不能对其做相同的处理,因为它们发生的概率及重要性是不一样的。因此需要决定哪些项应先于其他项得到处理。可以根据各项发生概率的大小和影响程度对其给予权值。对风险利益攸关者的调查而获得的意见能引出有用的权值。
3)风险沟通与方法
除非把风险预测结果及时传递给处理导致风险的体制或过程的人,以及面临风险的人,否则任何风险管理方法都没有价值。风险的有效沟通既容易获得而又难以做到。显而易见,用简单的语言告诉人们存在什么样的固有风险是很容易做到的。其困难在于如何把抽象的参照术语(频率、概率和技术术语)转换成易于理解的参照构架。例如,只有在作出“较之我们1992年遇到的更大的水灾”之类更简单更明确的解释后,“百年一遇”的水灾才有实际意义。这种简化风险预测的方法存有一个问题,即其适用环境有限,以致有时会导致过度的自信。
风险沟通的方法主要分为两种——内部的(组织内)和外部的(对组织外的人)。
(1)内部沟通
内部信息需要真实,要明确表明如何避免或缓解风险,阐明如果情况变糟应做什么,并且在员工看来,这种信息受到所有高级和中级管理层的坚决支持。新成员和内部提升人员应接受所涉及的风险及如何管理这些风险的培训。组织的措施需要反映风险评价和评估以及员工的风险培训及风险管理不断向前发展的趋势。
(2)外部沟通
传统上,组织对外界只作最低限度的不充分的风险沟通。然而,正确的和连续的风险沟通会减少组织相关单位对于其所涉及的风险的性质和可能性的恐惧。组织的管理者和负责人可采取以下步骤来对外界进行有效的风险沟通。
①确定风险利益攸关者及其对风险的看法。
如果漫无目标地进行交流,这种交流是不会成功的。通过确定谁是风险利益攸关者(面对潜在风险的人,包括组织内的人员),风险交流就会以满足他们的需要,选择符合他们对风险及风险含义的理解能力的方式进行。
②双向公开的交流。
首先查明什么是被风险利益攸关者看作是可能涉及的风险,然后倾听这些人的谈话。在交流理性事实和数字前,先处理他们的感性反应。
③坦率和诚实地向公众提供相关信息。
风险交流依靠来源的可信度。如果人们怀疑组织的可信性,那么它的所行所言就会被认为是一种愚弄和欺骗。因此要确保所提供的事实是坦诚的和可自由获得的。
④使用简单清晰的方式。
确保所使用的科学和专业建议要用简单的形式表现。可能的话,此类信息中需要避免出现任何行内的、专业的或技术的缩写词和术语。解释所使用的术语,以便于目标听众能够理解。
⑤让公众参与风险管理。
在已听取了各种各样的风险利益攸关者的意见,提出了组织所面临风险的评估后,最重要的一步,是让风险利益攸关者参与到风险管理过程。让风险利益攸关者与组织管理者一起评估评价所涉及的风险,如何阻止风险发展成为危机以及如果风险成为危机应该如何应对等。
⑥获得反馈。
查明信息及人们对该信息的理解是否在传递。在第①—⑤步的每一步中,都要收集使用反馈,以确定组织所采取的行动是否取得了预期的效果,并且对于未达到预期的方面采取进一步措施。
4)风险应对方法
风险应对是指针对不同类型、不同规模、不同概率的风险采取相应的对策、措施或方法,目的是使风险损失对于组织及其活动的影响降到最小。风险处理过程包括确认可供选择的控制与管理措施,对其进行评价并选出最合适的措施,最后为所选择的控制或管理手段作计划并执行。
风险应对的具体方法包括:风险承受、风险预防、风险规避、风险分散、风险转嫁、风险抑制、风险消除和风险补偿等。
风险预防指对风险设置各层预防线的办法。其最主要的方式是分析找出可能引发风险的方面与因素,确定其引发点,以便在此之前将问题解决。
风险规避指对风险明显的活动采取避重就轻的处理方式,或是开发可以避开风险的方法,减少或取消产生风险的活动等。
风险分散指将具有不同风险的业务或活动进行组合,使风险不至于集中在某项活动、某个领域或某一部门,以减小风险出现时的影响和压力程度。
风险转嫁指通过合法的方式和手段将风险责任转移到其他人或领域。如将一些涉及风险的业务外包,或者参加各种保险等。
风险抑制指加强内部控制,加强对于风险的监督,发现问题及时处理,争取在损失发生之前阻止情况恶化,或是提前采取措施减少风险造成的损失。
风险控制指采用各种有效手段使风险不再继续恶化,或者使风险的发展速度放缓,使风险的影响面在组织期望的范围内。
风险化解包括排除从体制和运作中的缺陷到工作环境中的危险等为消除风险而进行的任何行为,如采用退出计划。
风险补偿指用资金补偿在某种风险上遭受的损失。
组织风险应对的一个重要方面是组织风险内部控制制度。
内部控制制度包括了政策、流程、任务、行为以及组织采取的其他方面的措施,它具有重要的意义,主要表现在以下几方面:
①使组织能够对阻碍组织实现其目标的重大的商业风险、经营风险、财务风险、合规性风险以及其他风险作出反应,同时还要防止公司资产被人滥用、丢失、欺诈,并且要保证组织负债的确认和管理。
②保持准确的记录和流程有助于保证组织内部和外部报告的质量,这些记录和流程可以从内部和外部资源中获得及时相关、可靠的信息。
③有助于保证组织的活动不与现行法律法规相抵触,并且与其内部政策也保持完全一致。
一个健全的内部控制制度应当体现以下特征:
①这项制度应当融入到组织的经营活动中去,成为现有组织文化的一部分。
②这项制度应当能对组织内外可能发生的变化的风险迅速作出反应。
③这项制度还应当包括这样的程序,即向管理层报告控制过程中已经确认的重大失误,或控制制度存在的明显缺陷以及将要采取的补救措施。
虽然一套健全的内部控制制度能减轻风险对组织的不良影响,但它并不能消除风险,如决策中拙劣的判断、人为的过失、被故意忽视的内部控制或者不可预知的环境变化等。任何内部控制制度都不能为公司的实质性过失、亏损、欺诈、违规等提供绝对的保护。
对于风险的处理在很大程度上就是为减少组织出现的危机所需做的一切。其能力取决于组织可得到的资源,这种资源常常是有限的。限制会是多种多样的,包括预算、人员和反应能力等。
一旦一个组织处理已确认风险的能力有限,或者风险来源数量很多以至于组织穷于同时应付,那么管理者就需要建立一个优先序列。
风险的来源常常不能得以充分确认,是因为许多管理者只倾向于密切注意出现在组织内部、组织结构或所处场地的一系列显而易见的风险。