政府机构风险管理研究
[摘 要] 政府机构面临的风险寓于政府机构各项工作之中,风险管理对于政府机构提供符合要求的行政管理和公共服务具有重要意义。
政府机构应在风险管理方针和目标的框架下对风险进行识别、分析、评价和控制,将风险管理纳入各项工作,以实现减少损失、创造价值的目标。
下载论文网 [关键词] 政府机构;风险;管理 doi : 10 . 3969 / j . issn . 1673 — 0194 . 2014 . 09. 045 [中图分类号] D523 [文献标识码] A [文章编号] 1673 — 0194(2014)09— 0078— 05 0 引 言 任何规模和类型的组织都面临风险,政府机构也不例外。
一旦风险发生,政府机构实施行政管理或提供公共服务的能力会受到影响,造成公众对政府机构的满意度降低,对政府形象造成负面影响。
西方发达国家政府机构风险管理发展迅速,从20世纪80年代末开始,澳大利亚、英国、加拿大、荷兰、美国、德国、日本等国家相继开展政府风险管理工作。
到目前,上述国家已基本构建了规范、严密、系统的政府风险管理制度,政府风险管理逐步演化为政府施政的基本战略,并且,英国、加拿大、法国、美国等一些国家已开始实施战略风险管理[1]。
石亚军教授认为构建和谐社会与政府风险管理的能力密切相关[2],谢有长、宁陶等人指出:“政府应当把风险管理作为自己的一项重要职责,尽可能地控制各种风险和损失,保护风险社会中每一个成员的利益。
”[3]我国许多政府机构,如出入境检验检疫、海关系统所属的各级单位已建立了较为严密的风险管理体制。
政府机构所面临的风险存在于政府机构内部所有活动之中,同时还存在来自外部的风险,风险的影响是全方位的,包含在各项具体工作之中。
为防止或减少风险的影响,政府机构应通过考虑风险的不确定性及其对目标的影响,采取相应的措施,为日常工作、决策以及有效应对各类不期望事件的发生提供支持。
一个政府机构的风险管理活动应适用该机构的所有工作领域和层次,并覆盖其所有部门和活动。
1 风险及其管理准则和管理目标 1.1 风险的概念 目前,风险管理研究的学派很多,研究的领域不同,侧重点也不同。
不同领域关于风险管理的标准也不同,不同学派不同标准对风险的定义也不尽相同。
例如:英国风险管理专家保罗?霍普金认为“将风险定义为事件是最为恰当的”[4];清华大学周玲和马奔研究员认为“风险的基本定义是带来损失的不确定性”[5];ISO 31000:2009《风险管理――原则和指导方针》给出的定义是:不确定性对目标的影响(effect of uncertainty on objectives);GB/T 23694—2009《风险管理 术语》的定义是:某一事件发生的概率和其后果的组合;GB/T 20000.4—2003《标准化工作指南 第4部分:标准中涉及安全的内容》对风险的定义是:对伤害的一种综合衡量,包括伤害发生的概率和伤害的严重程度;GB/T28001:2001 《职业健康安全管理体系 规范》的定义为:某一特定危险情况发生的可能性和后果的组合;GB/T20032:2005《项目风险管理应用指南》没有单独给出风险的定义,而是对项目风险进行了定义,即:事件发生的可能性及其对项目目标影响的组合。
虽然不同标准对风险给出的定义不同,但对风险的关注点是相同的,即:事件发生的可能性和影响。
从风险管理的角度看,这里的事件是寓于正常工作之中而又在意料之外的可能发生的情况,其影响可能是正面的,也可能是负面的。
本文从风险防控的角度,主要研究对于可能产生负面影响的风险应如何控制管理。
1.2 风险管理原则 风险管理的总体原则应以控制损失、创造价值为目标,采取措施,降低风险发生的可能性,积极应对,减少一旦发生造成的损失。
风险管理应采取嵌入式的管理方式,将风险管理融入决策、管理、执行、检查等各项管理过程和活动,使风险管理成为各过程不可缺少的重要组成部分。
应采用系统的、结构化的方法以提高风险管理效率,确保风险管理的效果。
风险分析应以事实信息为基础,通过经验总结、现状观察、对未来的预测,并充分考虑政府机构所处的内部和外部环境、资源配置、操作方式、技术水平等因素,确定风险发生的可能性和后果。
应对风险分析的结果、风险管理方案以及风险管理的效果在政府机构内部以及外部相关方之间进行广泛、充分的沟通,及时调整风险管理的针对性以确保其有效性。
风险管理是适应环境变化的动态过程,随着内部和外部事件的发生、组织环境和知识的改变以及监督和检查的执行,风险结构会发生变化,应持续不断地对各种变化保持敏感并作出恰当反应。
通过风险绩效测量、检查和调整等手段,使风险管理得到持续改进。
1.3 政府机构风险管理方针和目标 政府机构应制定风险管理方针和风险管理目标,确定风险管理的理念、战略、策略和总体要求。
中国银行前副行长张燕玲曾指出:“统一的风险管理理念、战略、策略是各项具体风险管理活动的指南。
”[6]风险管理目标应与总体管理目标相适应,通过控制风险的发生概率和降低风险的影响,确保所提供的行政管理和公共服务的质量不受影响,或风险的影响不至于降低公众对政府的满意度。
制定风险管理目标应考虑公众和其他相关方的要求和诉求、政府机构自身的风险承受度、价值观、资源状况、运作方式、内外部环境的状况,应确保目标的适宜性。
风险管理目标可以分层次制定,即在政府机构的各职能和层次上分别制定风险管理目标。
例如,美国军方在采购过程中确定风险基线,采购实施前根据采购项目对风险基线的符合程度批准是否实施采购,采购完成后评价采购过程对风险基准线的符合程度确定是否放行[7]。
应避免两种极端的情况:一是风险失控,即不制定风险管理目标,对风险听之任之,等发生问题后再处理。
这种做法的后果是使风险管理体系失去方向,风险管理也失去意义。
二是制定零风险管理目标,即要求一切识别出的风险不能发生,绝对不许出现问题。
这种要求表面上看似非常严格,实际上任何控制措施都只能降低风险发生的概率,但不可能使其为零,也就是说零风险的要求实际上无法实现。
制定了一个不可能实现的目标,不仅无法达到,还会造成大量的资源投入,影响其他目标的实现。
这两种情况都存在唐钧教授所指出的“政府机关风险管理本身的风险”[8]。
2 政府机构风险因素识别 由于风险存在于政府行政管理和提供公共服务过程的各个方面,可以说任何工作都是风险源,风险识别要全面彻底,要考虑所有的工作过程。
风险管理是嵌入式管理,风险管理体系不能作为一个组织独立的管理体系,必须依附于现有的工作或其他管理体系运作。
过程是由活动构成,一个过程中的各个活动都存在风险,即: R∈P, 其中P={a1,a2,…,an} 其中,R:风险;P:过程;a:过程中的活动。
针对特定过程,风险识别应充分考虑与风险有关的所有因素,针对具体过程的特点、关键活动的特性等具体分析。
过程运作所使用的设备、设施、技术状况,工作人员的教育、培训和意识状态等因素都与风险发生的可能性密切相关。
可以通过过程运行的记录、过程结果的反馈、过程所有者对过程的观察与评价、根据现有过程特性对过程走向的预测等识别风险。
环境因素对风险的影响是巨大的。
环境因素包括内部环境因素和外部环境因素。
外部环境信息以政府机关所处的整体环境为基础,包括国际、国内、地区及当地的政治、经济、文化、法律、法规、技术、金融以及自然环境;影响目标实现的外部因素及其历史和变化趋势;外部利益相关者及其诉求、价值观、风险承受度;外部利益相关者与政府机构的关系等。
内部环境信息是政府机构在实现目标过程中所面临的内在环境的历史、现实和未来的各种相关信息,包括影响风险管理的任何事物,例如管理方针、目标以及策略;资源和知识方面的能力(如资金、时间、人力、过程、系统和技术);信息系统、信息流和决策过程;内部利益相关者及其诉求、价值观、风险承受度;采用的标准或模型;组织结构、管理过程和措施;与风险管理实施过程有关的环境信息等。
例如,某政府机构法制部门的工作包括:行政许可、行政违法案件调查处理、行政复议等。
3 政府机构风险分析和评估 对于已经识别的风险,应针对每个风险分别评价其发生的可能性和潜在危害,确定风险的严重程度,为风险控制提供依据。
构成风险的因素有两方面:风险发生的可能性(PR)和后果(C)。
风险评估就是针对具体风险分析发生的可能性和一旦发生所造成的后果,根据分析结果确定风险的危害程度,对风险进行分级。
3.1 可能性分析 可能性受客观条件制约,与资源和环境条件密切相关。
例如,对于表1中所识别的风险“行政许可申请材料不符合要求而受理了行政许可”,如果是一位缺乏经验的新职工从事行政许可受理工作,发生这种风险的可能性就大,如果是一位从事该项工作多年且很少出错的职工从事该项工作,风险发生的概率就小得多。
再如:对于“行政违法案件调查处理人员受到人身攻击”这一风险,发生的概率与被调查人员的素质、教育程度、对待政府的态度等因素有密切关系,与调查处理人员的工作方式、工作态度也有关系。
由于在分析风险发生的可能性时,风险并没有真正发生,所以,所分析的可能性是一个估计的值,这个值是一个取值区间,不是一个确定值,而是一个估计的值域。
例如“行政许可项目现场审核不符合规定要求,致使行政许可结果偏离规定的准则”与“未在规定期限内作出是否许可的结论”危害程度不一样。
风险的不利结果在不同的组织所产生的影响是不同的,即使相同的事件,不同的组织承受能力也可能不同。
例如,“行政处罚案卷在规定的保存期内丢失”这一风险对于一个有电子备份的政府机构和对于一个没有电子备份的政府机构影响不同。
风险的不利后果也是估计的结果,如果用数值表示,也是一个值域,而不是一个固定值。
3.3 风险严重程度分析 风险严重程度(RD)是风险可能性(PR)与风险后果(C)的函数,即:RD=f(PR,C) 建立一个由可能性(PR)与风险严重程度(C)构成的坐标系,如图1所示,横轴代表PR,纵轴代表C。
对于所识别每一个风险,根据其可能性与后果,可以在坐标系中找出代表其严重程度的矩形区域(因为可能性与后果都是值域而不是值,所以风险严重程度是矩形而不是点)对所识别的所有风险在坐标系中标出风险严重程度,就形成风险分析图,如图1所示。
3.4 风险等级的确定 为对风险实施管理,应为所识别的风险确定等级。
风险等级有许多表述方式,如唐钧教授建议将风险程度从高到低分为3个等级,分别为“不能容忍”“可容忍、需重视”“可忽略、需了解”[9]。
依据政府机构的特点和实际管理情况,本文将风险分为4个等级:低度风险、中度风险、高度风险和重大风险。
根据风险管理目标确定的风险管理要求,在风险分析图中画出3条曲线,将风险分析图中的坐标系分成4个区域,依次为低度风险区域、中度风险区域、高度风险区域和重大风险区域。
所识别的风险在坐标系中的区域位置代表了其风险等级(如图2所示)。
4 政府机构风险控制 风险控制的总体要求是使风险管理的目标得到实现。
风险控制应从两个方面考虑:降低风险发生的概率和减少风险一旦发生造成的危害。
4.1 降低风险发生概率 由于风险管理是嵌入式管理,降低风险发生概率的措施应从加强包含风险的工作过程管理入手。
根据风险分析的结果,在风险来源的工作过程中增加降低风险发生概率的管理措施,以控制风险的发生,实现“风险管理关口前移”[10]。
过程控制是降低风险发生概率的基本做法,正像王洋教授所指出的,风险管理的框架应建立在内部控制的基础上[11]。
对于低度和中度风险,应根据所分析的风险的性质,在已有的过程控制要求中加入风险控制要求。
赵国、黄溶冰认为“内部控制是全面风险管理的必要环节,内部控制的动力来自组织对风险的认识和管理。
”[12]在风险控制的基础上,还应在工作进展的适宜阶段进行风险检查,防止风险发生。
例如:为防止“行政违法案件调查处理程序不符合法定要求”这一风险的发生,可在行政违法案件调查处理的适当阶段由独立于调查处理之外的人员对调查处理过程进行审核,以确定案件调查处理是否符合法定要求。
对于高度风险和重大风险,除采取中低度风险的控制措施外,如果适宜,应对与风险有关的过程参数进行监控,密切关注风险状况,根据监控结果采取适宜的控制措施。
4.2 减少风险造成的危害 “人们只能把风险缩减到最小的程度,而不可能将其完全消除。
”[13]由于风险发生的概率不可能降低为零,所以,应采取适当的措施,降低一旦风险发生所造成的危害。
对于由外部环境因素造成的风险,由于外部环境因素的不可控性,降低风险发生的概率非常困难,减少风险危害显得尤为重要。
例如:对于“行政违法案件调查处理期间受到来自外部的影响公正处理的压力”这一风险,政府机构应加强办案人员的思想意识教育,培养廉洁公正的职业道德素养,增强抵御不正之风的能力。
减少风险危害应从实际出发,在资源允许的情况下,针对风险危害设定应对措施,加强抗击风险的能力。
例如,事先对行政处罚案件的卷宗进行电子备份,可以有效减轻“行政处罚案卷在规定的保存期内丢失”这一风险发生后造成的损失。
5 政府机构风险救济 风险自身的性质决定了任何风险都存在发生的可能性。
政府机构应采取有针对性的预备措施,对风险发生后造成的危害进行补救,这种补救就是风险救济。
由于风险补救措施需占用一定的资源,通常,风险救济应针对所识别的风险中一旦发生后果特别严重的风险开展。
哪些风险属于后果特别严重风险由政府机构的风险管理目标、风险对该机构的影响程度、该机构对风险的应对能力等因素决定,不同机构可能不同。
在风险等级图中画一条平行于PR轴的直线,直线上方区域的风险为后果特别严重风险(见图3),应为其预备风险补救措施。
应当注意,风险救济所对应的风险与风险等级无关,即:高度风险不一定需要制定救济措施,而低度风险不一定不需要救济措施。
风险救济措施典型的做法就是制定风险应对预案,一旦风险发生,应当立即启动预案,以达到预防或降低损失的目的。
风险应对预案应包括组织指挥体系及职能,明确应对风险的人员或部门的职责、权利和义务,以风险应对为主线,明确事件识别、响应、结束、善后处理处置等环节的工作要求,努力使风险的危害降到最低限度。
6 政府机构风险管理评审和改进 风险评审是风险管理的重要内容。
德国建立了有关风险审计的法律,将风险评审从法律层面作出规定[14]。
为确保风险防控的有效性,风险控制措施及其效果必须进行评审,以确定风险防控状况,发现问题及时改进。
同时,政府机构风险状况处于不断的变化过程中,内外部环境的变化、风险控制措施的实施等因素都会使原有的风险分布、结构、程度发生变化。
石玉双和傅建设指出:“内部控制和风险管理不仅仅是一种规章制度,更不是静态的,一成不变的,而是一种管理过程,是一个持续的、不断修正的过程。
”[15] 政府机构应定期评审风险状况,评审包括对已识别风险的控制情况、取得的成就、失败的教训等内容,评审应关注风险因素的发展和变化。
评审的结果应运用于政府机构的决策和风险控制的调整等方面,实现风险管理的持续改进。
主要参考文献 [1]游志斌,杨永斌.国外政府风险管理制度的顶层设计与启示[J].行政管理改革,2012(5):76—79. [2]石亚军.构建和谐社会中政府风险管理的公权角色[J].中国行政管理,2005(9):17—20. [3]谢有长,宁陶.论风险社会中政府风险管理[J]. 经济与社会发展2011,9(4):50—52. [4][英]保罗?霍普金.风险管理 [M]. 蔡荣右,译.北京: 中国铁道出版社, 2013. [5]周玲,马奔.政府公共事务风险管理国际经验对中国的借鉴[J]. 山东社会科学,2009(2):137—142. [6]张燕玲. 风险管理的原则和体系[J]. 银行家,2004(2):27. [7]张庆海.美方采购风险管理经验之借鉴[J]. 商品与质量,2010(3):7. [8]唐钧.政府风险管理的实践与评述[J].中国行政管理,2009(4):28—32. [9]唐钧.政府风险管理:改革的规律与创新的趋势[J]. 新视野,2008(5):56—58. [10]刘恒.应急管理关口前移――提高政府风险管理能力[J]. 西藏发展论坛,2012(5):44—46. [11]王洋. 论我国企业风险管理框架的构建[J].长春大学学报,2008,18(6):26—28. [12]赵国,黄溶冰.内部控制与风险管理关系辨析[J].哈尔滨工业大学学报:社会科学版,2007,9(5):129—132. [13]窦学琴.浅谈现代企业的风险管理[J].经济研究导刊,2012(10):38—39. [14]顾敏,张瑜. 德国公司风险管理审计对我国的启示[J]. 科学与管理,2007(2):29—31. [15]石玉双,傅建设. 风险管理应用研究[J]. 中国证券期货,2012(6):63—64.