风险图谱的确定方法
风险图谱的确定方法论
作者:关晶奇 郭佳 梁薇
1背景介绍:
根据已有风险事件库,将风险事件的影响程度和发生的可能性分为五个等级,根据多指标综合评价法,选定若干个风险评价维度,下发风险问卷,让员工对每一个风险事件的影响程度和发生可能性进行打分。回收问卷后,经过分析、统计加权后确定风险图谱,对于影响程度和发生可能性均很高的风险事件则作为重大风险事件来对待,对之后的风险改进和提出重大风险预警指标具有至关重要的意义。
2方法介绍:
根据所有回收的问卷,首先需要刨除异常值,如某项风险事件的加权均值若为3.5,但却有打分为1的问卷,则视为异常值,从样本中去除并重新计算;其次,通过计算,可得出每一个风险事件的可能性和影响程度;最后,根据风险事件的可能性和影响程度,确定风险图谱。
2.1 现有数据分析
在进行数据分析前,我们将风险事件的影响程度和发生可能性这两个维度视为对风险事件重要性程度的描述维度,统一对其进行分析。
首先,考虑风险事件重要性程度的估计。假设将风险问卷下发给公司内n 个员工,每个员工根据自己对某个风险事件A 的认识来打分,得到n 个对A 打分的数据,记为 X 1, … , X n 。接下来,需要解决的问题是如何根据这些原始数据 X 1, … , X n 运用合适的推导方法得到风险事件A 的重要性等级。
对于这些原始数据X 1, … , X n ,使用样本的平均值是一种非常简便且通用的方法,因为从统计学角度来说,根据大数定律,样本均值将收敛到风险事件重要性程度的真实值上。但是,大数定律的成立必须有前提条件,即要求每一个样本 X i ,也就是公司内每一位员工对风险事件的打分属于是独立同分布。换句话说,每一位员工对于风险事件A 的认识不应该存在一致偏高或者一致偏低的情况,即对风险事件A 的认识应有高有低。
但是,在实际工作中,在公司内部的每一位员工,因为级别、岗位、职责的不同,能观察到并且熟悉的仅仅是自己每天所面对的业务、流程,从这个意义上来说,不同员工对于同一风险事件的认识都是不全面的,是有偏差的。但是对于全面风险管理(ERM)来说,更需要
从整个企业、集团的高度来看待风险,而非着眼于具体某项业务中存在的具体风险,故基于此,高层决策领导、中层领导对同一风险的认识必然不属于同一分布,难以满足大数定理最重要的前提假设:所有样本属于独立同分布。故而,风险的重要性程度就难以直接用样本均值来估计。换言之,若以样本均值来做估计,得出的结果必然失去意义。
显然,根据上述分析我们知道,因为假设条件的难以成立,所以仅仅简单地计算均值并不能很好地得到对风险事件重要性程度的估计。既然我们已知不能从单纯统计、模型的角度得到正确的估计,就必须借鉴实际工作经验以及具体公司的管理、经营和市场情况。另一方面,我们要高度重视获取的不同员工对风险事件的打分情况的原始数据,充分挖掘这批数据中的信息,以得到合理的、接近真实情况的结论,而在这个过程中,来自专家团队的经验积累和知识储备是必不可少的。
这样,我们在对每一个风险事件得到相对准确的风险重要性和发生可能性的基础上,进一步画出能较为准确反映企业风险状况的风险图谱。
2.2 具体操作方法
基于上一节对数据的分析,我们了解到,在估计一个风险事件的重要性水平时,要充分利用数据信息,应当基于收集风险问卷之后所得到的样本均值做调整估计。
主要的调整估计的思路有两个关键步骤:首先是对不同岗位、部门、级别赋予不同权重;其次根据初步的风险图谱结合公司具体情况,对风险事件的重要性进行调整。下面为具体操作方法:
(一)对不同岗位、部门、级别的员工赋予不同的权重。
所谓“站得高,看得远”,对同一个风险事件,高级管理人员站在公司整体发展或长远规划的立场上,可能认识的更加透彻;而具体执行操作的普通业务人员只能比较局限性的发表自己对风险事件的看法。再者说,公司风险管理部、企管部、审计部对公司内部运营了解更为清晰,而某些具体业务部门则对部门内涉及到的风险更为了解,故而应对不同岗位、部门、级别的员工赋予不同的权重。
所以,在用样本值评估风险事件重要性程度时,不宜简单使用(权重视为全部相等)
111X n = X 1+ X2+⋯+ Xn 来估计重要性程度,而采用
ω1 X1+ω2 X2+⋯+ωn Xn
来估计,其中 ωi 为每位成员的权重大小,必须满足
ω1 +ω2 +⋯+ωn =1。
这样的估计可以从一定程度上纠正对风险事件重要性程度估计的偏差。
在实际操作中,可以借鉴“池”(pool )的概念,从大类上将公司内部职工划分为几个人员池,比如划分为高级管理人员、中层管理人员以及一般职员:
假设对于风险事件A ,
高级管理人员权重为ωi ,人数为N ,具体打分情况为 α1,α2,⋯,αN ,其和记为 α; 中层管理人员权重为ωj ,人数为M ,具体打分情况为 β1,β2,⋯,βM ,其和记为 β; 一般员工权重为 ωk ,人数为L ,具体打分情况为 γ1,γ2,⋯,γL ,其和记为 γ。
ωi +ωj +ωk =1。
那么,风险事件A 的重要性估计为:
S A =
对这三类成员确定不同的权重大小进行估计计算。由此结果,可以得到风险事件的重要性程度,从而形成一个初步的风险图谱。
(二)结合公司治理、企业战略,综合运用公司管控、财务、金融等相关专业知识,对风险图谱所包含的重大风险进行分析、调整。
这样做的原因:在问卷填写过程中的,人为的操作疏忽、填写错误总是存在的;另外,在数据的整理收集过程中也很难保证不出现任何疏忽。这是因为风险问卷一般发放在公司内部,其成员人数一般不会很多,而在统计学中,样本量较小时,数据的错误值有时会严重影响统计推断的结果。
所以,在通过统计手段得到初步的风险图谱之后,并不能直接运用,必须对风险事件从发生可能性和影响程度两个维度进行调整和修改。在这个过程中,标的公司的高层领导和具有相关知识和经验的专家组应该协同努力,发掘出公司真正的重大风险,以便未来的改进和提出重大风险预警指标。
ωi α+ωj β+ωk γi j k