一、背景

澳大利亚/新西兰风险管理标准AS/NZS 4360是澳大利亚和新西兰的联合标准。它是于1995年首次发布的。当时此标准的目的是制定一个统一的标准，以期对若干澳大利亚和新西兰上市或私有企业在风险管理应用问题上有所帮助。这部标准的来源之一是在1993年发布的澳洲新南威尔士州的风险管理指南。当时新南威尔士州指南中就对五百万美元以上的公费支出作出了风险管理的规定。制定新南威尔士州的风险管理指南的主要负责人后来主持了AS/NZS4360的制定。因此，毫不奇怪，AS/NZS 4360的结构与新南威尔士州的风险管理指南是相似的。

      AS/NZS 4360是世界上第一个国家风险管理标准。它在1999年经过修订补充重新发布。到目前，AS/NZS 4360已经成为世界上最著名的风险管理标准之一。关于AS/NZS 4360的应用，市面上已有多部书籍、手册、甚至有应用软件。AS/NZS 4360标准已经被澳大利亚政府和许多国内外的上市公司所采用。UK National Health Service 就是其中之一。许多澳大利亚和新西兰的行业协会根据AS/NZS 4360和自己的行业特性编制了供本行业使用的风险管理标准。

二、风险管理的标准过程

      AS/NZS 4360的主要内容是它给出了一套风险管理的标准的语言定义和风险管理的标准过程定义。   在其语言定义中，值得注意的是AS/NZS 4360明确指出风险是对目标而言的不确定性，其结果“可以是损失、伤害、失利或者获利”。而“风险管理既是为了发现机会，也同样地是为了避免或减轻损失”。由于企业的目标不仅是为了避免损失，更是为了盈利。这样AS/NZS 4360的定义就把风险和企业的目标紧密结合起来了。

      在AS/NZS 4360中，另一个值得注意的地方是AS/NZS 4360把风险管理看作一个过程；进一步地，AS/NZS 4360给出了这个过程一般定义。AS/NZS 4360还指出，这个风险管理的一般过程不仅适用于企业，而且还可应用于“一个活动、功能、项目、产品或资产的整个寿命期的各阶段”。这样不仅风险管理有了严格的定义，而且其应用范围也变得十分广阔了。

     AS/NZS 4360定义的风险管理的标准过程如下图所示：

      上图中，风险评估包括风险识别、风险分析和风险评价是整个风险管理过程的核心。但是，它并不是风险管理的第一步。第一步是建立信息框架。亦即要想识别风险和分析风险，我们首先应认清风险的主题是什么，或者说明确什么存在风险。因为风险是针对目标而言的，我们首先就要搞清风险管理的目标。

      明确风险管理的目标是风险管理内容分析的重要组成部分。为此，确定在企业各个管理层都没有重要前提或未说明的目标被忽略是一件关键的工作。另外，应当在利益相关者的目标之间取得平衡，以使企业的目标与其利益相关者的目标达成协调。因为，企业的利益相关者对企业的正常运行有一定的影响力，如不能把他们的目标考虑到，之后一定会为以后的风险管理工作带来干扰。应该说，对利益相关人的目标的考虑是应用本标准的关键之一。在AS/NZS 4360中就指出，在建立信息框架时，要注意“鉴定内部和外部的风险承担者，考虑他们的目标、注意到他们的感觉、并建立与这些相关方进行信息交流的方针”。

      风险管理目标的指定是衡量成功与否的尺度。这些就是通常我们所说的KPI (Key Performance Indicators )。这些衡量成功的标准必须：

·简明扼要， 并且利用最少数量的衡量标准去评估所有重要影响。

·全面覆盖成功的每个方面，使所有重要影响都被衡量到。

·不管在数量还是在质量上，都对衡量方式进行定义。

·把风险发生可能性与风险造成的影响分开看。      

      内容分析的第二部分是把企业分解为一个个的组成部分。在标准中这些组成部分叫做重要元素。通常的做法是企业的活动分解为若干个业务流程。也有把企业按照业务部门分解的。

      由于单独考虑这些重要元素比考虑整个企业要容易。所以，识别风险的工作人员就可以更集中更深入地思考问题。这样一系列设计得很好的重要元素会刺激有创造性的想法。

      然而，这些一系列重要元素的组建是一件繁琐的工作。这些重要元素必须完整，并且覆盖所有关键问题，但是要保持在一定的范围。

      通常风险识别的过程有两个部分：一个是简单机械的，另一个则需要创造性的思维。在实际的应用中，应该保持这两个部分的平衡。

      核对清单的使用可能使风险识别的过程简化。他的优点是简单，不需要许多分析。例如保险代理人经常使用的方法。但是，清单也可能使人们遗漏超出期望的风险发生的可能性。一个风险的清单，特别是来自同行业的清单，可能帮助识别绝大多数的风险。但是，每一个企业、每一项活动都是唯一的。因此，决不能单纯依赖风险清单来识别风险。清单的使用只能是第一步。

      所以，应该利用核对清单检查识别过程，但尽量不要忽略任何问题。在使用核对清单以后，比较受欢迎的风险识别方法是通过小组讨论会头脑风暴的方法征集意见和想法。这虽然比使用核对清单麻烦，却很有效。而且，这个过程允许人们利用创造性，以避免对新生问题的忽略。一个组织好的讨论会是最有效的意见征集过程。另外，顾问采访与调查问卷虽然不能达到一样经济实惠的效应，但也可作为比较实际的方法。在征集资料之前，任何核对清单或以其它形式出现的对风险的预料都该被排除。而经验和知识才应是风险识别过程最可靠的依据。过去的信息不应该阻碍对未来有创造性的预测。   

      在分析这一阶段，考虑所有可以影响风险的已有因素，并且给每一个风险的重要性划分级别。应当尽量地采用定量的方法。对于像未来不可预料事件这样的简单风险来说，可以用影响的严重程度、发生可能性，和这两者的各种组合来完成分析。对于涉及几个关联事件和影响的复杂风险来说，模型的应用是有必要的。

      风险分析过程是对已识别风险重要性的最初认识。我们应充分认识到在这一阶段，风险重要性很有可能被我们这样的记分设计分配了过高或过低的分数。下一个阶段就是对这种分配的检查和调整。 

      在只有几种风险的情况下，评价这一阶段应不是很难的工作。但是，在多个风险的复杂情况下，通过比较和复合得到对已经识别过的风险重要性的总体看法是很关键的。同样，这里模型的应用是很有帮助的。

      在建立信息框架的时候，应该已经得到了企业的目标对风险的优先次序。参照这些企业的优先次序，我们应对初步分析进行检查。通过历史的数据记录或直观的判断，重要性分配过高或过低的风险应被矫正。通过仔细考虑，很多不很重要的风险都可从清单上除名，从而减轻了繁多信息造成的负担。而有些看上去不重要的风险可能会被认为是重要的，而提交给管理层。

      风险处理是对已识别出的重要风险做出的反映。在风险管理步骤开始前已就位的风险处理计划将适当扩大，而且在风险发生后需要的修复计划也将就位。除了这些添加的计划外，风险处理也许还包括了对企业根本计划的修改。有时候，避免某个风险或减少其后果对企业的影响的最好战略是采用完全不同的备用计划。

      对风险管理全过程的监督与检查分为两个层次。对前五个步骤结果的检查应在它们进行时就实施。当重大事件发生时，我们应适时调整对风险的评估，包括整个风险识别、风险分析和评价过程。第二个层次是对前五个步骤的监督。执 该内容可能有会员内容，需要登录查看全文，点击这里在顶部登录