简述战略风险评估的方法

您好，战略风险评估是由管理层依据董事的投入与验证来执行的。在这个过程中，将风险评估与公司战略和战略执行程序直接联系起来是非常重要的。评估的精确形式以及产生的战略风险文件，取决于公司风险管理程序的成熟程度。
以下战略风险评估七大步骤，反映了风险的动态性，构成了一个在公司内部持续不断循环，或者是封闭循环的过程。同时也显示出战略风险评估师一个持续的过程，而并非一次性事件。在其执行过程中允许加以修改和定制，以适应公司的成熟程度和能力。


第一步：理解公司战略


       理解公司战略及其关键构成部分，重点是识别与核心战略相关的具体的风险。这一步骤所需要的信息大部分可以在公司和业务部门的计划、战略总结以及管理层和董事会的资料中取得。


       在步骤的最后，董事会和管理层应该对公司战略的关键构成元素以及它们与回报驱动战略(RDS)框架的联系有深入清晰的理解。


       例如，公司战略中涉及合作的部分的关键行为需要在评估中考虑并鉴别。比如信息技术外包，也许承担着很高的风险。据此，关键的问题在于哪个合作者、采用何种合作方式对于执行战略来说是最为重要的，这些就是我们要努力去识别的。


第二步：收集战略风险相关的观点与数据


       这一步骤的目的是从管理层和董事会处，收集与核心商业战略相关的主要战略风险的观点和数据。做这一步有许多方法，例如行政访谈、调查以及焦点团队反馈。进行这一步时，公司文化应予以考虑。有的公司对调查能够很好地接受，而有的则不能。如果管理者分布很广，个人面谈可能难以实施，因而远程会议或者电话访问就成了不错的选择。包括业务部门领导的管理层的主要成员都应该被要求参与。获得董事会成员，特别是审计委员会成员和公司的内部及外部审计人员的想法也是十分有用的。


第三步：初步制订战略风险文件


       利用前两步中收集到的信息可以准备一份初步的战略风险概要文件，该文件的格式和复杂程度应该依公司的风险管理成熟度和能力而定。由于这个信息的作用是激发执行层面和董事层面的讨论与理解，过于细节或大量的数据可能会适得其反。


       一些公司正在增添新的维度，例如风险来袭的速度或者公司对风险的防备。此外，战略风险概要的细节和复杂程度应该反映公司风险管理程序的成熟程度。


第四步：验证并最终确定文件


       初步的战略风险文件必须通过主要参与者的验证，确保其反映了他们关于最重要的战略风险的看法。哪些参与者涉及和验证战略风险文件的确切过程应取决于企业文化。有的公司公布初步文件以取得反馈，有的进行跟进访谈，还有的采取小组展示与讨论的方式。这一验证过程可以包括所有利益相关者或者只包括其中一部分。可能的风险文件报告格式也可以进行公布，从而获取关于不同格式的观点看法。但是需要记住的是，让足够的参与者来验证这份文件以及突出风险，对于整个评估过程来说是极为重要的。


第五步：制定战略风险管理行动计划


       战略风险一经识别，高层管理者和董事就会很快询问关于减轻和监控风险的计划，因此我们建议公司将建立并实施初步行动计划，当作评估的核心部分，而不是作为一个次要的独立的行为。此外，将要采取的具体行动取决于公司风险管理实践的成熟程度。


第六步：沟通战略风险概况和战略风险管理行动计划


       在评估的阶段，公司应该有确定的战略风险概况和初步行动来应对已识别的战略风险。沟通并建立关于风险的共通认识，是战略管理中被普遍认可的主要做法。事实上，“信息与沟通”是企业风险管理八大核心构成之一。


       这一步骤要求管理层实现与全公司的深入交流，来表达公司关于其战略风险的看法以及执行相关行动计划的重要性。沟通必须上及董事，因为这是一个需要他们注意与互动的主题。


第七步：实施战略风险管理行动计划


       战略风险评估程序的真正价值在于公司最后采取的行动。这些行动的目的是建立公司持续性战略风险管理程序并“画完这个圆”。如上所述，风险的动态性要求持续的过程来监控和管理。行动计划应该能够让这种过程得以实施和加强。 


       公司应当考虑如何报告和更新行动状态，包括向董事会报告。当其战略风险管理程序持续不断成熟，公司就应当考虑下一阶段需增加的步骤，以提升其整个风险管理程序。