专栏名称: 锐思商学院

风控在线官方订阅号。风控在线是内控与内审人员的专业化平台，旨在为内控与内审人员传递权威的内控内审知识和经验。

【经验分享】如何通过韧性加强风险管理来降低风险

锐思商学院 · 公众号 · · 2022-03-29 22:50

正文

各种研究表明，全面看待风险管理需要考虑问题中的所有不确定性。这项研究考察了新的风险管理将如何基于传统风险管理和韧性管理的两个部分。

第一部分用历史数据和经验判断来检验不确定性。

在第二部分中，由于系统状态存在模糊性。为了降低风险，利用风险影响和可能性，开发了一种新的风险协同测量方法——模糊DEMATEL方法。风险关系图采用模糊DEMATEL方法计算协同测度。

接下来，在基于恢复的韧性和基于重新配置的韧性两个视角，使用可信度度量的概念来计算组织的韧性。然后说明如何使用不同的风险降低应急计划来管理不同预算中的风险。为了评估所提出方法的适用性，将其应用于实际案例研究中，并对应急计划的优先级进行了审查。最后提出了一些管理建议。

0 1

引言

不确定性、模糊和意外事件降低了实现业务目标的可预测性，提高了对内部和外部不良事件具有高度抵抗力的可靠组织的重要性。风险和韧性的概念在不同的学科中被定义，包括生态学、心理学、社会学、经济学、金融学和组织学等。本文考虑的是组织学中的风险管理。根据Hudson 的说法：一个可靠的组织必须同时管理风险和韧性。韧性概念的发展是为了降低风险，并在尽可能短的时间内将组织业务恢复到危机前的状况。

近年来，随着风险和韧性概念研究的发展，提出了各种假设：第一种观点认为，韧性是风险管理的补充。由于传统的风险管理系统缺乏灵活的应对措施，韧性被认为是危机管理的一种新方式。第二种观点认为，韧性和风险是两个完全独立的、互不关联的概念。该观点认为，组织会根据业务的性质作出转向风险管理或增强韧性的改变。最后，第三种观点认为，两者是相统一的概念。Aven最近的研究综合了三种观点，考察了风险和韧性的不同方面，相互补充了彼此的弱点。Aven认为，风险中有一个潜在的方面无法在韧性中考虑，传统风险也不足以作为决策和选择应急计划的指导。因此，风险和韧性的内涵有所不同，但两者的共同目的是：在降低组织暴露于风险的概率和缩短恢复时间的情况下，增加组织资源充分可用的持续时间。

风险管理是基于不确定性的，这意味着有能力用概率分布来描述灾害的频率大小关系。只有当我们有足够的历史数据时，才可能实现，假设未来会像过去一样运行。然而，主要问题是灾难后系统状态是不确定的。Aven认为，一个企业面临着各种不确定性，风险评估和韧性之间的区别在于不确定性的来源。Walker将韧性描述为“应对任何可能发生的事情的能力”，这证实了韧性更多与模糊性有关。

风险管理流程包括三个阶段:风险识别、风险评估和应用风险降低计划。在传统的风险管理中提出了几项措施，包括减少风险和重新设计流程以适当控制风险。

本文的第二个概念：韧性。组织韧性是指在尽可能短的时间内减少冲击的影响并继续主要业务的能力。Bhamra等人认为，提高组织的韧性将减少灾难后的恢复时间，并在灾难后将组织功能的总体水平保持在适当的水平。

Aven 提出了以下公式，强调同时关注风险和韧性，并认为全面风险管理包括传统的风险和韧性概念。

Total risk=(A,C,U)=(A,U) + (C,U|A)（1）

任何风险都有两个关键因素:风险的影响或后果(C)和风险不确定性(U)。A是引发风险的关键事件。值得注意的是，在(1)式中，“+”表示结合两个概念。(1)式的第一部分只考虑事件发生的不确定性，在传统的风险过程中应加以强调。同时，后者涉及系统在发生灾难A时保持运行或更快恢复的能力，这关系到系统的韧性。Aven认为，应该把更多的精力用于提高韧性。他提出的函数理解为：第一部分是关于灾难和它的不确定性；第二部分是关于事件的后果和后果的不确定性。

第一部分为传统风险管理，第二部分为韧性，每一部分都有其不确定性，并以降低风险的方式发挥作用(见图1)。许多研究者认为，如果事件是已知的，历史信息通常在第一部分就可以获得，但由于事件的普遍性和灾难后系统经验的缺乏，关于系统性能有很多不明确的地方。为了澄清这个问题，考虑两个合适的风险管理方法的系统，它们可以识别、评估并做出反应来避免风险。如果检测到这些事件或任何其他意外事件发生，则应评估遭损坏后的系统性能。基本上，灾难事件后系统故障的原因是正常运行所需资源的遭到损失。为灾后最大限度地获取资源提供必要条件的组织将具有更高的恢复能力。

图1 评估总风险的风险管理结构

具有韧性的组织必须具备以下几个方面:

首先，它能够在冲击后的第一时间内将系统的损害程度降到最低(即系统能力减少的程度最低)；

第二，能够尽快回到危机前的情况；

第三，能够重新配置资源，以便能够尽快达到更高水平的系统能力。

根据Bruneau等人的研究，“韧性”的概念四个内涵：

①快速性:系统在受到冲击后恢复的速度；

②稳健性:系统在应对冲击时的稳定程度，不会出现故障或失去重要功能；

③汲取能力:管理危机对系统资源的影响和在冲击后恢复失去的资源的能力；

④冗余性:允许为恢复受损系统制定替代计划。

首先，应该检查系统承受不同冲击的能力。韧性概念的这一部分可以用危机的影响来表达。显然，一个稳健的系统受到冲击后系统的波动较小，即与设定的目标值偏差最小。快速性表明系统如何恢复到冲击前的状态，代表了危机后的恢复时间。汲取能力指如何恢复资源以获得回报。资源重新配置算法将导致组织被重新配置。冗余性指不同的恢复模式。通过同时考虑恢复时间和重新配置的概念，可以实现更高水平的韧性。本文将对此问题进行讨论。

在本文中，我们涵盖了在风险管理阶段缺乏检查风险之间关系的现有弱点。此外，我们用可能性理论和可信度度量的概念分析了韧性管理阶段损害后果的模糊性。最后，将结果进行整合，创建全面风险管理。

鉴于全面风险管理的结构要求同时关注风险和韧性，并且在这方面没有基于等式(1)的量化方法，我们运用风险协同和基于重新配置的韧性等概念，检查问题中的不确定性，并提供一个较为全面的方法。

0 2

文献回顾

许多研究人员都对风险管理过程感兴趣，尽管这一领域的研究得到了广泛拓展，但所提出的方法的成果低于企业管理者的预期。因此，一些研究聚焦于确定新的因素，以改进风险评估过程。这些因素主要提到:FMEA (故障模式和影响分析)技术、FTA (故障树分析法)、ECFA2、HAZOP (危险和可操作性研究)、风险优先数(RPN)、发生概率、风险可逆性和风险范围、风险网络、风险暴露和风险矩阵等。事实上，所有新引入的因素都可以根据影响和发生的可能性进行分类。新的研究表明，一种风险的发生会增加其他风险的可能性，并对系统产生协同效应。Aven的论文中也强调了这个问题，这是相关方法存在缺陷的最重要原因之一。但是，本节中考虑的计划旨在降低发生的可能性并消除风险。

韧性被认为是维持一个系统，包括防止系统性能下降和加速恢复到危机前的状态所具备的能力。 目前对韧性的研究主要集中在恢复率和绩效降低率这两个概念上。Sahebjamnia 等将一个组织的韧性与其可用资源联系起来，并使用资源控制程序来提高韧性，制定业务连续性计划，通过在灾难面前将关键活动保持在可接受的水平，并尽快恢复正常状态，来提高组织的韧性。Park等人以定性的方法考虑了恢复时间和恢复点，并开发了一种考虑韧性的方法。这些案例中已开发的方法主要基于危机后阶段，旨在改善危机后的情况。这些研究的主要局限性是没有考虑危机后局势的模糊性，并针对已识别的风险制定了促进韧性的计划。此外，所有的研究都讨论了恢复时间和恢复力绩效降低的两个方面，而在经济学和社会科学等其他科学中表达韧性的一个基本方面是重新配置。重新配置强调系统如何在灾难后恢复到以前的状态。请注意，问题是如何，而不是多久。

因此，通过研究风险和韧性研究，可以得出以下结论：

(1) 风险和韧性在文献中经常同时使用，在某种程度上，很难区分它们。此外，风险和韧性概念背后不确定性的内涵是有区别的。

(2)风险和韧性的目标是降低风险和增加组织在危急情况下的资源可用性;

(3)在传统风险管理中，目标是在危机发生前减少已识别风险的可能性或影响；

(4)从韧性的意义上说，文献中强调了组织绩效和恢复正常状态的恢复时间。同时关注这两个概念，并在灾后重新配置系统，可以通过全面减少风险来提高韧性和加强组织风险管理。

(5) 在计算风险值和韧性方面存在挑战。它们应该是定量的、准确的，并描述现状。

为了填补研究空白，我们首先仔细检查了问题的不确定性。接下来，我们将开发一种计算风险协同措施的方法。所开发的度量方法应考虑当前风险与风险可能性和风险影响之间的关系。通过这种方式，我们将风险定义为“节点”，它们之间的关系为“弧”，并使用DEMATEL方法给出了风险评估过程的图形表示，该方法是由Trivedi和Xu等人开发。此外，利用可能性理论和模糊可信度测度，考虑了灾害发生后系统状况的模糊性。使用Zobel的方法，开发了一个计算基于恢复的韧性的函数。接下来，考虑到如何回到危机前的水平，提出了一个公式，从重新配置的角度计算韧性，并通过制定韧性促进计划，计算每种情况下的韧性值。最后，根据组织的风险管理预算制定了一套风险应对措施。

本文最重要的贡献如下：

（1）利用韧性和传统风险管理，制定减少组织风险的量化方法；

（2）区分风险和韧性概念中的不确定性;

（3）分析风险之间的关系，准确地发现风险的影响，并建立一种研究协同风险效应的精确方法;

（4）从恢复时间和重新配置两个方面考虑韧性;

（5）调查各种风险降低应急计划(RRCP)的风险响应和韧性计划，以加强组织的全面风险管理;

（6）检查不同计划的收益和成本，并根据风险管理预算确定它们的偏好。

在下一节中，我们将介绍我们提出的方法。然后将所提出的方法应用于实际案例研究，以评估其适用性。第五部分对所提出方法的有效性进行了评价，并对结果进行了讨论。第六节提出研究的结论，并提出管理方面的启示。

0 3

研究方法

3.1风险管理

在风险管理的第一步，组织的威胁风险及其相关的可能性和影响必须通过检查表和历史信息来识别。本节中的不确定性是基于对已经发生的事件及其影响的现有知识。在此，我们提出了一种通过提高风险评估准确性来衡量协同风险效应的方法。虽然一些论文提到了协同的概念，但对这些关系的分析并没有精确的方法。为了计算风险的协同作用，使用DEMATEL技术，创建了风险之间关系的精确网络。该技术利用专家的三种观点，将风险定义为节点，将风险之间的关系定义为弧线，创建了一个直接关系和间接关系的网络。对于方法的输入，由于缺乏可用的信息，采用了专家的判断。在本研究中，首先，通过使用专家的观点，定性地确定风险之间的关系。接下来，在乐观、现实和悲观三种状态下，将获得的定性值替换为等价的三角模糊数(见表A-1)，并根据专家的权重(见表A-2)，计算每个风险的最终得分。

应用模糊DEMATEL方法的步骤为:

（1）开发风险相互影响的矩阵（Aijk）；

（2）结合不同专家的观点确定均值矩阵；

（3）计算直接关系的正规矩阵（D）；

（4）计算总关系矩阵(T)，显示风险对彼此的直接或间接影响；

（5）建立识别关系的阈值，并描绘关系图，如果关联度大于阈值，则两个影响因素之间存在关系(以弧形表示);

（6）确定风险的影响率。在步骤6中，考虑从上一步骤获得的结果，可以描绘风险之间的关系网络。然后，我们需要确定网络中每个节点的影响程度和关系程度。

实际上，这里将计算每一种风险对其他风险的影响率，在这一步中计算的整体效果将构成我们愿意获得的每一种风险的协同因子。

Fontela和Gabus分别将矩阵T的第i行或第j列元素之和作为因子i (r)的影响率和因子i (c)的依赖率。他们证明了每个因素的r + c表示该因素的关联度，r-c表示该因素在模型中的严重程度。在这里，我们基于r-c和r + c确定协同度量。值得注意的是，协同程度不同于专家对r高于c的风险(具有更显著的影响力)和c较高的风险(具有更大的印象性)的偏好。因此，我们开发了一个函数，包括r-c(严重程度)和r + c(关系程度)，并对它们进行归一化以计算一个适用的度量。此外，为了同时考虑严重性和关联度，我们定义一个偏好系数(γ)参数。本研究得出的协同效应如公式(2)所示：

需要注意的是，在这个公式中，我们根据Chen提出的方法计算协同的模糊绝对值。为了导入一个由可能性、影响和协同(ILS)值引起的风险值，我们使用公式(3)，它受到RPN公式的启发。

其中，IRik和LRik是风险I的影响和可能性，SRi分别是风险I协同作用的模糊值，n是已识别风险的数量，第i个风险总价值VRi ILS应该用于风险的优先排序。

3.2. 韧性计算

如第1节和第2节所强调的，在Aven 建议的总风险公式中；第二部分考虑韧性。它强调了其后果和不确定性，并评估了恢复时间和重新配置模式。为了对此进行调查，需要对后果进行更多的分析。Aven对于不同状态的存在条件考虑了(Q，K)对于后果的说明，Q是后果的形式，K是现有的知识。如前一节所述， 组织中发生灾难后的风险后果会损害组织的可用资源。这些资源主要是:劳动力和知识、 原材料、机器和软件，以及可用的设备。基于两个标准，可将获得资源的可能性和必要性(基于个人判断)视为衡量获得每种资源的可信度。采用可信度测度的优点是既考虑了可能性又考虑了必要性、现实性、确定性条件的接近性、极大性，以及自身的二重性。

以这种方式，首先有必要在灾难(预期或意外)后估计组织的资源情况。可用资源总数是不同资源的最小值。风险发生后的恢复时间与组织资源减少有关。为了计算组织内的可用资源，提出了以下四个步骤:

（1）确定每种资源的可能性和必要性分布(资源1-劳动力、资源2 -机器、资源3 -材料和资源4-设施)；

（2）确定每一种可用资源的可信度，即该资源的可能性和必要性的平均值;

（3）利用式(4)计算总资源可信度;

（4）用式(5)计算基于可信度测度的期望值。

其中r是宇宙集中的任意实数，ξ在可能空间上是一个模糊数，E[ξ]是模糊数ξ的期望值。

在为灾难恢复计划开发的方法中，有一种决策方法来选择不同的方案，每个方案在不同的时间提供和检索主要资源。事实上，我们必须根据预算进行选择。该预算通过在一天内提供更多的紧急资源和更多的工作时间来减少初始恢复时间。无论预算减少多少，恢复时间都会增加。图3总结了考虑恢复时间概念的组织绩效状态。

图3 灾难后组织的表现

值得注意的是，在计算恢复时间时，必须根据风险的影响来确定受损资源的数量。接下来，确定每个资源的准备时间长度。然后，总恢复时间是不同资源重新准备时间的最大值。最后，利用因灾难影响而损失的产出总量及其相关的恢复时间，将计算出公司对每种风险的抵御能力。总之，基于恢复力的韧性计算步骤如下:

（1）步骤1：评估灾后可用资源的水平;

（2）步骤2：确定每种资源(劳动力、设备、设施和原材料)的恢复时间;

① 确定灾后需要多长时间填补失去的劳动力;

② 确定灾后修复每台丢失设备所需的时间;

③ 确定灾后准备设施所需的时间;

④ 确定准备新原材料所需的时间;

（3）步骤3：计算所有资源的总恢复时间，即为每个资源的最大恢复时间;

（4）通过估算图3中的表面积计算恢复力相对于损失的功能总量的百分比。等式(6)显示了基于恢复时间计算的韧性值。

式中RT为各韧性提升计划的恢复时间，tCEVCr为基于可信度测度的灾后能力期望值达到的时间，trecovery为恢复完成的时间。

值得注意的是，为了比较恢复力的数量，最好使用韧性促进项目之间的差异百分比。为了计算这个百分比，将图表下方的区域(即等式(6)的分数)划分为最差的恢复状态(图3中的浅蓝色区域)就足够了。最糟糕的恢复情况是不同韧性提升计划之间的恢复时间最长，并且系统性能值在整个危机期间等于零。如果我们将系统的初始容量视为100 %，则丢失容量的总面积将等于100 % *恢复时间。 该等式表明，组织的恢复时间越长或受损程度越高，恢复能力越低。

这种计算韧性的方法，已经在Zobe和Bruneau等人的研究中提到过，对恢复有整体的看法。然而，在文献中已经观察到，韧性不应该仅仅从恢复的角度来看，而且应该同时从重新配置的角度考虑。下面的例子显示了这两个观点之间的差异。

两家公司A和B，在灾难后都失去了100%的产能，并试图恢复正常。A在第一天弥补了20%的损失，第二天弥补了60%，第三天弥补了20%。B在第一天补偿50 %的容量损失，并在第二天和第三天每天增加25 %的容量，直到恢复正常状态。利用公式(6)，两家公司的韧性是相同的，但很明显，B有一个更快的恢复计划，并且有必要检查系统如何进行重新配置。为此，研究了在完全恢复正常之前，每天的系统变化率，并在灾难发生初期增加了权重。以这种方式，公式(7)被开发来检验韧性的重新配置方面。根据公式，每天检查系统状态的变化量，每天的权重随着时间的推移而减小。使用恢复和重新配置可以提供更准确的系统状态视图。

其中，wi为灾难发生后第i天的权重，Ci为灾难发生后第i天的容量，RT为恢复时间。如上所述，为了等式(7)在从重新配置的观点表达韧性中的适当功能，有必要在灾难后的最初几天分配更多的权重。为此，以式(8)的形式给出了每天的权重。

韧性的最终值将是基于恢复的韧性和基于重新配置的韧性的加权平均值，如等式（9）所示，其中ρ是基于恢复的韧性的指定偏好系数。

3.3. 加强风险管理

在本节中，提出了一套风险降低应急计划（RRCP），以促进韧性和同时应对风险。首先必须确定提高资源可用性的韧性计划。然后在风险应对中消除已识别风险的后果。此类风险降低应急计划的实施取决于组织的预算金额。不同的预算金额可以为组织创建不同级别的风险管理计划，如以下三个步骤所示:

（1）步骤1：检查风险响应记录，并根据使用等式(3)计算的风险值制定应对高风险的措施；

（2）步骤2：制定计划，通过减少灾后最初几天的恢复时间和增加重新配置来提高危机后的韧性；

（3）步骤3：评估实施风险应对和韧性促进计划所需的预算，并分析计划的优势。

在下一节中，为了表明所提出的方法的效率，通过一个真实的案例研究来证明。

0 4

案例研究

在这一部分中，我们使用 Lahijan Steering和悬架零件制造公司(LSSP)的数据，在一个实际案例研究中检验我们的方法。LSSP制造汽车工业零部件，拥有50000平方米的无障碍空间、8个生产大厅、250台活动设备和162名员工，年生产能力为250万件。前面的章节所提出的方法包括风险管理和韧性计算已经在该公司实施。为了识别风险、可能性和识别风险的影响，使用了公司的历史数据。然而，对于协同指标，专家们已经被用来建立关系矩阵。在计算获得每一种危机后资源的可能性和必要性时，也使用了专家的意见。

4.1.风险管理

通过调查LSSP公司的历史文件及其在近几年威胁公司的各种风险中的经验，表2 确定了20种风险及其相关的可能性和影响。

为了确定“风险的协同效应”，从LSSP中选择了四名专家，包括两名高级专家和两名中级专家。专家们被要求解释他们对风险相互关系的看法。通过获取专家意见，应用模糊DEMATEL方法，从矩阵(T)中计算出各风险的影响率(r)、依赖率(c)、严重程度(r-c)、关联度(r + c)以及最终的协同效应。表2的第5列表示每种风险的协同效应。最后，根据各风险的可能性、影响和协同率，根据式(3)计算各风险的最终值。结果显示在表2的第6和7栏中。为了对列6中的模糊数进行排序，使用Hipern方法对模糊数进行排序。根据该方法，计算该模糊数的期望值。对于三角模糊数，如(a,b,c)，其期望值为(a+2b + c)/4。

表2 LSSP风险ILS运算结果

风险之间的关系如图4所示。根据直接和间接关系之和的矩阵以及根据DEMATEL方法的步骤4与阈值的比较来绘制该图。这样，如果风险超过阈值(这里0.25是影响的平均值)，它们之间的关系就很重要。初始矩阵主直径的单元为零，则通过考虑间接关系，可以改变矩阵主直径的元素。因此，计算间接效应使得有可能创建循环，例如图4中R7节点的循环。这种效应表明一个因素可以影响自身。在这项研究中，地震的风险也发生了这种情况，即地震危机会导致未来的重大危机。

图4 风险关系图和等效影响度

4.2 韧性计算

在本节中，将采用3.2节中介绍的步骤。首先，确定了各资源可用性的可能性和必要性，然后计算可信度测度。结果已在附录A中给出(图A-1、图A-2、图A-3)。根据式(4)，计算总资源的可信度，即为不同资源的最小值。最终结果如图5所示。根据式(5)，计算基于可信度测度的灾后能力期望值。

图5 灾后总可利用资源的可信度分布

基于获得劳动力、原材料、设备和设施的可信度的期望值分别等于0.308、0.258、0.364和0.331，CEVCr的数量约等于0.261。为了计算韧性，应该考虑灾难后的恢复计划。根据LSSP的分析，灾难发生后有正常的恢复计划。这个计划需要最低水平的预算。考虑到危机后的产能，计划是现有劳动力的过剩(如果他们存在的话)将为损失的设备和设施做好准备，以在一天结束时增加产能。第二天，随着可用资源的增加，剩余劳动力(如果存在)开始重新准备剩余的丢失设备和设施。这个过程一直持续到完全恢复。灾难后如何恢复资源的详细信息如下:

a. 灾后立即至灾后两天更换劳动力所需时间为每5个劳动力1个工作日，灾后第三天起为每20个劳动力1个工作日;

b. 维修丢失的机器需要0.5个工作日，需要1人;

c. 每200平方米为每一名员工准备设备大约需要一个工作日;

d. 每丢失5吨原料需要一个工作日的时间来准备。

e. 由于灾难后的可用资源和重新配置模式，将计算恢复时间和韧性值。最终结果如表3所示。

利用每个工作日剩余劳动力的资源分配和均衡算法，根据应用的重新配置模式计算恢复时间，在一天结束时计算每个可用资源的价值。结果如表A-3所示。

【经验分享】如何通过韧性加强风险管理来降低风险

正文

请到「今天看啥」查看全文