理论研究风险管理与任何其他管理工作一样,核心活动都是管理人员进行大大小小的决策,而要进行决策必须有相应的信息来支持,以保证决策的效率和效果。风险信息管理就是通过合理的管理过程来保证风险管理决策所需风险信息的高质量,风险信息越是真实、准确、及时和完整,风险决策越是正确和高效。因此可以说,风险信息的管理是风险管理工作的基础。《指引》中多个章节都花费了较多的笔墨来阐述风险信息管理的相关内容,由此也可以看出风险信息管理的重要程度。
那么企业管理和业务活动涉及的诸多信息中究竟哪些是风险信息呢?我们说贯穿风险管理整个流程的决策活动所需的信息就是风险信息。从《指引》中风险管理流程的相关内容我们不难看出,企业主要的风险管理决策活动包括明确风险管理的目标,确定哪些是影响目标实现的风险、哪些风险需要重点管理、需要将这些风险管理到什么水平、如何分配管理资源、采用什么方案来管理这些风险,以及根据某个时点各类风险的现状来评价已有的管理方案是否有效、决定如何调整管理方案等等,那么与这些决策相关的信息,无论是描述风险本身属性的信息还是风险管理的过程信息,都应归在风险信息的范畴。
《指引》第二章对企业广泛、持续收集风险管理初始信息提出了明确要求,并详细列举了企业管理战略、财务、市场、法律等四类常规风险所需的重要基础信息,例如与战略风险相关的外部宏观环境,企业战略规划、年度经营目标以及编制这些战略、规划、计划、目标的依据,企业执行战略制定、投融资等相关流程的经验教训等等,这些初始信息是风险评估活动的基础,帮助企业分析风险的动因、风险影响目标的路径、风险事件的表现、各类风险之间的相互关系等,判断风险发生概率、影响程度等重要属性,为企业明确风险管理目标、确定风险管理重点等决策行为提供支持。
但是,风险信息应不仅仅包含上述风险管理的初始信息,《指引》后续章节关于风险管理基本流程的阐述中,都隐含了对于各个流程环节决策活动所需的风险信息。首先,前面环节的输出信息都应作为后续环节决策活动的信息输入,包括《指引》在风险管理组织体系部分提到的各种报告。例如风险图谱、重大风险之间的相关性等风险评估报告的内容,是制定风险管理策略阶段的目标分解、确定风险偏好和承受度等活动的输入;重大风险偏好承受度、应对策略、资源分配原则等又是决定采用什么样风险管理解决方案的输入;那风险管理解决方案的执行情况、风险管理体系的运行情况,特别是风险监控预警报告中的风险监控信息和监督审计报告中风险管理体系的评价信息等,又是决定如何调整解决方案、改进体系的输入;而企业的全面风险管理年度报告又为下一年度风险管理决策活动提供参考。其次,风险管理流程每一环节相关的其他管理和业务信息、财务数据、管理人员的经验、行业标杆企业的做法等,也是企业所需的风险信息。例如企业相关业务信息、历史财务数据、未来年度的预算数据、行业标杆企业关于某类风险度量指标的平均值等,是确定企业自身重大风险承受水平的重要依据;企业管理人员对于以往管理控制的经验,将为确定或调整某类风险或风险组合的解决方案提供重要参考。
企业的风险信息种类繁多、数量巨大,必须经过一个合理的管理过程来筛选、提炼、分析,以保障风险信息的高质量,最终为各级决策所用。按照一般的信息管理流程,风险信息的管理可分为收集整理、加工处理、传递和更新等几个阶段。
首先,企业需要从外部的信息渠道、内部管理和业务的工作平台获取所需的原始信息,包括静态的和动态的,并按照风险类别或其他分类方法进行整理;然后用专业的方法和工具对归整后的原始信息进行分析处理,转化为用风险管理专业语言描述的信息,并形成易于决策者参考的各类信息文件或报告;而后将这些文件定期或不定期地按照固定的流程逐级地上报给拥有不同决策权限的各级风险管理决策者,待他们做出决策后反馈给风险管理的执行人员。最后,由于信息具有一定的时效性,随着企业内外部环境的变化,风险的特性也不断变化,企业必须及时更新信息,为下一次决策做准备。
从风险信息管理的一般过程不难看出,风险信息的管理与企业其他管理或业务活动中的信息管理水乳交融,企业应注意区分。从信息的来源来看,风险信息管理与其他活动的信息管理共享相同的原始信息渠道,风险管理所需的原始信息并没有什么特别之处,同样来自于管理和业务活动的运行平台以及外部渠道,只是在原始信息的加工过程中我们使用的是一套风险管理专业的语言和工具。例如,同样是企业财务预算数据,对于一般管理活动而言它是未来年度经营活动的一个目标值或参照值,而对风险管理它意味着某个风险可能的变化趋势。从信息传递来看,风险信息与其他管理或业务信息的传递都遵循一定的管理决策路线和流程,可能存在很多交叉和重复的环节,但相同环节传递的信息内容、传递的频率以及决策的权限可能不同。
总结风险信息的内容以及风险信息管理的过程,我们认为还有几个建议值得企业在实施过程中加以关注:
一是应逐步积累,建设并不断完善风险“信息库”。风险是未来的不确定性,但预测未来比判断现状困难百倍,不论是进行定性判断还是应用数量模型进行定量预测,较为理性和准确的分析依赖于深厚的信息基础,以及在此基础上建立的丰富经验。
二是应明确风险信息管理的职能设置,就像《指引》中对收集初始信息的职责要求一样,企业应将风险信息管理的职责分工落实到各个有关职能部门和业务单元,并对不同层级的岗位设置不同的信息处理和管理决策权限。
三是应分配相当的资源建设和完善风险管理信息系统,统一风险信息管理的平台,达到相关职能机构信息的及时共享,以提高管理效率,减低决策成本,同时注意与现有管理和业务信息系统的衔接,避免冲突和浪费。这一点,《指引》第八章已经做了详细的规定。
风险管理是一个更为专业的新领域,风险管理决策大都基于对未来的判断,更具有挑战性,需要更多、质量更高的信息来支持。因此,目前信息管理水平并不成熟的国有企业,更需要提高重视程度,加大资源投入,尽快统一对风险信息的认识,疏通信息沟通渠道,将风险信息管理这一风险管理的基础工作做扎实。
