香港上市规则要求董事会对发行人的风险管理和内部控制系统进行持续的监控，确保定期审核系统的有效性，至少每年一次，并出具相关报告。

如何知道系统是否有效运行？

跟踪变化

作为ISO¹ 31000 风险管理的配套标准，IEC² 提出，风险的程度取决于对相关管控的现状和有效性的假设。因此，风险水平随控制的有效性而变化，跟踪风险水平的变化可以告诉我们管控的有效性，据此可以推断出系统管理的有效性。

专业风险管理人用固有风险（或总风险）的概念描述在相关控制缺失或无法运作的环境中的风险水平，用剩余风险（或净风险）描述在相关控制运行一如预期的环境中的风险水平。这两个指标在正常情况下应出现于风险登记册中，否则意味着机构的风险管理系统存在严重缺失。

固有风险和剩余风险两个指标，在识别和初步评估某一特定风险时，就该风险的重要性提供有用的信息。它们帮助风险管理者了解该风险可能带来的最坏和最好的情况。现实上，一个机构的风险状况并非在最坏和最好的两端，而是处于中间的某个位置。

因此，我们在风险管控工具中设计了一个新的指标。这个指标用以显示针对某一风险的管控有效性和目前风险水平做出的明智判断，同时说明相对于在最好和最坏的情况下，该机构目前面临的风险状况。这种信息所起的作用，如同在迂回道路上前进的车辆的车速表给予驾驶员的信息。

目前的风险水平

企业风险管理流程，对在情境不断变化而荆棘满途中寻求生存和发展的机构来说，至关重要。风险管理人不能仅仅将某风险识别和记录在风险登记册上使其得以缓解。而且，需要机构中了解该风险的人设计和执行适当的措施，并需要有人监督执行情况，对进展做出慎重的判断。目前风险这个指标可以反映出该等判断，告诉风险管理人和董事会，企业在充满不确定因素的环境中发展，是否处于有效管控之下。

有人会关注如何准确判断控制的有效性和风险水平，我们认为这种担忧是不必要的。风险管理中大多数的情况，真正值得关注的，是如何意识到风险的存在并迅速行动以缓减威胁和抓住机会。皮球迎面扑来，要躲开就快躲开，你会盘算如何准确计算它的速度吗？

因此，没必要设计复杂的数学模型来计算目前的风险水平。只要能够充分认识风险，及时地作出适当的回应，一个简单的模型就可以了。以下列出我们所用的数学模型。

简单而有效的模型

一个风险事件通常由两个维度衡量：“可能性”和“影响”。一个风险事件的固有风险的值等于，围绕两个维度假设什么都不做，或没法采取有效措施，表示为：

固有风险 = 固有可能性 x 固有影响

若固有风险超过该机构愿意承担的风险，风险管理者须启动应对措施和控制，以减小事件发生的可能性，或减小其对机构的影响。剩余风险的值等于，假设应对措施和控制可以按计划有效实施，表示为：

剩余风险 = 剩余可能性 x 剩余影响

剩余可能性：措施有效实施后风险事件出现的机率

剩余影响：措施有效实施后风险事件出现的影响

当应对措施不能实施或不起作用时，目前风险的值与固有风险的值相同。相反，应对措施按计划充分实施时，目前风险的值与剩余风险的值相同。换言之，在此情况下应对措施在实施过程中必然已经得到充分良好的管理和控制，或从数学上讲，对执行应对措施的控制100%有效。

如上所述，衡量控制有效性通常无需复杂的计算，一个合理的判断足矣。一个机构只需要有人对相关风险和应对措施有足够的了解，便能对所采取行动的效果作出经过思考的明智判断。例如，审核者或监督人经考虑后断定所采取行动将风险出现的可能性降低了X%，影响降低了Y%，目前可能性、目前影响和目前风险的值便可以用简单的公式估算如下：

目前可能性 = （剩余可能性-固有可能性） x 有效降低风险事件出现可能性的比率 + 固有可能性

目前影响 = （剩余影响-固有影响） x 有效降低风险事件出现影响的比率 + 固有影响

目前风险 = 目前可能性 x 目前影响

某一风险事件的发生对机构为达成某一目标所付出努力的结果可能产生影响，以上的运算是用来衡量该事件的目前风险值。运算须要调整或扩展，以反映多重风险或针对单一风险事件的多重应对措施的状况。

取得效果

我们经常看到风险管理人在实务中利用电子表格登记识别出的风险，列示固有风险和剩余风险。我们认为，这种没有充分利用数字化程序的方法，不太可能有效率地实现有效的风险管理，也难以清晰地展示机构的当前风险状况，也就不能促使机构采取果断的行动，以躲避风险并抓住机会。

_________________________________________________________________________________________________

¹ 国际标准化组织
² 国际电工技术委员会