风险是无处不在的,任何一个公司的任何一个动作,都存在不确定性,也就是都存在风险。有风险,就必须进行管理,那如何进行风险管理呢?
第一步:必须进行风险识别。风险识别的目的,就是要识别出哪里有风险,因为我们只有知道了哪里有风险,有什么样的风险,才能进行管理,这也叫未雨绸缪。那风险识别应该如何进行呢?
首先,要进行法律法规的识别。大型集团公司都会有相应的部门对国家(国际)已有和即将实施的法律法规进行识别,并建立相应的“数据库”。中小型公司没有必要建立这样的“数据库”,但公司的经营范围、日常业务等会涉及到法律一定要梳理出来。识别出相应的法律法规后,就要和自己现有的实际执行进行比对,看看有无遗漏或存在风险的地方。
其次,要对公司经营过程中,出现过的问题进行识别。这些问题是如何发生的?在风险识别时,也要识别出来。已有的历史经验教训决不能再犯第二次。
第三,是要识别行业内或其他公司出现的问题。重点考虑这些问题会不会在自己的公司发生?
第四,通过业务流程的梳理,采用头脑风暴的方法,看看还会有哪些风险的存在,重点考虑安全风险、质量风险与舞弊风险等。
第二步:是对识别出来的风险,进行有效管理。原则上,所有识别出来的风险都要进行管理,但不能识别一个风险就去制定一个文件制度,而是要做系统性的规划,形成体系。
首先,要对风险进行分类。至少要分成三类:严重风险、经常发生的一般性风险及偶尔发生的一般风险。
针对第一类风险(严重的风险),必须严格进行管控。因为这类风险一旦发生,公司无法承受或付出的成本太大,所以无论它发生的几率有多大,都要进行管控。根据风险识别的结果,对那些可能引发严重风险的环节和业务进行管控。如果是整个供应链上的,那就要公司做系统的规划。
第二类风险(经常发生的一般风险),单次发生对公司的影响不大,甚至可以忽略,但这些风险不是单次发生,而是经常发生的、频繁发生的。这些风险也要重点管控的。
第三类风险(偶尔发生的一般风险),从公司成本管理角度考虑,这些风险可以选择性控制,甚至不用控制。