麦肯锡风险工作论文，第42期基于风险的资源分配将监管和执法工作集中在最需要的地方戴安娜·法瑞尔（Diana Farrell）Biniam Gebre克劳迪娅（Claudia Hudspeth）安德鲁（Andrew Sellgren）2013年2月©版权所有2013麦肯锡公司 内容基于风险的资源分配：将监管和执法工作集中在最需要的地方面临基于风险的资源分配决策的政府机构的示例1麦肯锡关于风险的工作文件介绍了麦肯锡目前在风险和风险管理方面的最佳思路。这些论文代表了广泛的观点，包括针对特定部门和跨领域的观点，旨在鼓励内部和外部的讨论。可以通过其他内部或外部渠道重新发布工作文件。请致函常务编辑罗伯·麦克尼什（Rob McNish）（rob_mcnish@mckinsey.com）。 面临基于风险的资源分配决策的政府机构的示例美国食品和药物管理局：确保药物研究人员正确进行数千项临床试验，从而影响数十万名受试者美国住房和城市发展部：确保5,000名财产所有者以及公共和多户住房的经营者以安全且对财务负责的方式管理住房美国内政部：确保石油和天然气生产商以安全和对环境负责的方式进行2,200项海上作业，并防止诸如Deepwater Horizon等灾难，该灾难造成11条生命丧生，释放了490万桶石油美国国税局：组织100,000名员工，以确保1.36亿个人和公司缴纳所欠税款，并弥补每年3850亿美元的未收税款缺口美国财政部：确保银行为房主提供适当的机会来修改其抵押贷款，然后再继续每年进行多达四百万次抵押赎回权赎回1基于风险的资源分配：将监管和执法工作集中在最需要的地方介绍许多政府机构负责监督和监视个人或公司，以确保它们遵守政府的规则，法规和法律。这些代理机构的资源有限，因此无法始终监控所有事情：他们必须决定如何最佳地将稀缺资源分配给广泛的风险敞口。这称为“基于风险的资源分配”。许多不同类型的政府机构都面临基于风险的资源分配决策。金融监管机构，例如美联储和消费者金融保护局，监督着数千家金融机构，以确保它们安全，稳健，公平地运作。健康和安全监管机构，例如美国联邦航空局，负责监督商业活动，以确保个人不会受到不必要的风险。执法机构（例如地方警察局）监视广泛的地理区域和众多活动，以确保个人和公司遵守法律。尽管这些机构的任务和运作之间存在显着差异，但它们具有一些共同特征：它们都试图保护公众免受伤害；他们都面临着几乎无限的潜在“目标”或风险来源。他们都有有限的资源来监视和监督这些不同的目标。由于多种原因，基于风险的资源分配现在比以往任何时候都更加重要。首先，随着社会的成熟，公民变得越来越坚持在安全和可预测的条件下生活。因此，法律法规的数量增加了，扩大了必要的执行范围。其次，公民要求政府提供更高的效率，因此监管机构和执法机构面临着越来越严格的预算来履行其使命的压力。 2定义测量执行和学习制定策略基于风险的资源分配过程基于风险的资源分配过程包含四个步骤：1.定义风险：对政府机构负责解决的风险敞口有深入，清晰和普遍的了解2.测量曝光：分析数据以估算每个目标所代表的风险3.制定策略：确定如何将资源分配给每个目标，例如，通过设置检查的频率和深度4.执行和学习：进行风险管理活动，例如检查，获取有关有效方法和无效方法的反馈，并从该反馈中学习如表1所示，监管机构和执法机构反复执行这些步骤，并随着时间的推移完善其方法。本文的其余部分说明了这四个领域中基于风险的资源分配的各种决策和良好实践。定义风险基于风险的资源分配过程从定义政府机构关心的风险开始。通常，这直接来自组织的使命，但是有时很难枚举所有风险种类，并且通常对如何确定风险的优先顺序含糊不清。在这些主题上取得清晰和一致的最佳方法之一是通过政府机构领导人之间的对话。展览1基于风险的资源分配需要四个步骤。 3基于风险的资源分配：将监管和执法工作集中在最需要的地方对考古遗址的破坏破坏海底生态系统环境风险排气其他产品油溢出成功秘诀创建风险分类。风险分类法是一种结构化的列表，提供了嵌套的详细程度；请参见图2。准备这样的分类法可以帮助政府机构针对常见的词汇调整风险，识别以前可能没有发生过的风险类型，并对各种类型的风险进行优先级排序。避免过分关注历史风险。当不良事件发生时，通常会导致严格的审查，并驱使政府机构对该事件进行监督，以花费大量资源来确定事件的驱动因素，记录缺陷并制定流程以防止类似事件的再次发生。虽然防止不良事件再次发生很重要，但也不要忽视未来失败可能会有所不同这一事实，这一点也很重要。政府机构领导通常需要做出协调一致的努力，以避免整个组织集中精力应对“最后一场战争”。在2003年联合国总部炸毁伊拉克之后，世界各地的联合国建筑物系统地加强了安全规定，以阻止潜在的炸弹袭击并减轻其影响。但是，近年来，对联合国办事处的袭击1 和住所2 自杀式炸弹袭击和武装战斗人员的直接袭击已经超过了许多现有的安全规定。在假阳性和假阴性之间的相对容忍度上正式达成一致。当机构对个人或组织进行额外的审查时，通常会对这些个人或组织产生负面影响。例如，当安全监管者对企业进行检查时，该检查通常会中断企业的运营。当业务证明没有做错任何事情时，这种中断的可感知成本会更高。在这种情况下，将业务定位为“误报”。另一方面，政府机构非常关注识别和预防所有可能的不良事件。不以业务为目标并允许发生不良事件是“假阴性”结果，可能导致人员伤亡或其他灾难。必须在政府机构的领导层中明确表示该机构可以容忍假阴性和假阳性的程度，以便资源分配方法可以适当地平衡风险。图2海上石油钻探的监管机构创建了风险分类法。1 世界粮食计划署，“关于粮食计划署在巴基斯坦伊斯兰堡办事处发生爆炸的声明”，2009年10月5日。2 艾伦·伍兹（Allan Woods），“塔利班袭击喀布尔的联合国宾馆”，多伦多之星，2009年10月28日。由于暴露于化学物质由于与设备的相互作用钻机和平台上工人的安全风险由于火灾或爆炸 4测量曝光估算特定目标所带来的风险级别是确定优先部署受限资源的关键输入。衡量风险的第一步是确定一组可能的风险驱动因素。例如，一家银行监管机构可能确定，如果一家银行在任何一个行业中资产集中度过高，它倒闭的可能性就更大。根据我们的经验，生成展开式广告的最佳方法之一一组可能的驱动因素是与主题专家召集一个研讨会，他们通过多年的经验积累了对风险驱动因素的直觉。衡量风险的第二步是获取有关这些驱动因素的历史数据，并了解实际上已实现的风险。例如，银行监管机构将获得所有银行多年的历史数据，查看其持有的资产并确定每个银行为何倒闭。第三步是进行统计分析，以确定哪些可能的驾驶员实际预测了不良事件，从而确定风险对那些驾驶员的敏感性。因此，此分析的输出通常是一种记分卡，其中列出了5至15个风险动因，并带有权重或用于将各种动因组合为总体风险分数的公式。有时无法获得有关驱动因素和结果的历史数据，因此无法进行统计分析。在这些情况下，通常会召集一组有关风险的专家，以根据多年的经验来正式确定其直观判断，即有关哪些风险很重要以及如何对其进行加权。成功秘诀 测量不良事件的可能性和严重性。如果极有可能发生不良事件，但造成的损害很小，那么该事件就不是主要问题。同样，如果在逻辑上不可能发生会引起严重灾难的事件，也不会引起太多关注。在我们的根据经验，优良作法是根据不良事件的“预期损失”进行计算和管理，不良事件定义为可能性和严重性的乘积（图表3）。值得注意的是，不良事件的严重性通常与组织或运营的规模成正比。例如，对于食品安全管理人员而言，特定食品或饮料产品的风险通常与食用该产品的人数成正比。展览3预期损失是事件的可能性和严重性的乘积。高不良事件的严重程度低低不良事件的可能性高高风险中等风险低风险 5基于风险的资源分配：将监管和执法工作集中在最需要的地方尽可能减少不良事件的发生。过去的失败通常是关于不良事件如何发生的丰富思想来源。在存在许多经常发生的较小的不良事件，而不是很少发生的一些较大的不良事件的情况下，尤其如此。例如，在医疗保健领域，退伍军人事务部国家患者安全中心开发了一些工具，用于对所有患者安全问题进行根本原因分析调查，包括用药错误，患者流失和其他不良后果。3 多学科的根本原因分析小组会调查实际的不良事件和发生过程错误的情况，即使对患者没有负面影响也是如此。从发生但未发现的不良事件中学习。银行倒闭和恐怖袭击是几乎在所有时间都可以发现的不良事件，但是许多不良事件却未被发现。例如，许多人欺骗自己的税收却没有被抓住。仅探索发现的不良事件的驱动程序会错误地将注意力集中在真实风险的一部分上。克服这一挑战的有效方法是创建目标样本，非常严格地检查每个样本目标，然后使用该样本来识别风险驱动因素。例如，假设税务机关的正常流程检测到了2％的纳税申报单中的错误。其他98％的回报也可能包含错误。税务机关可能会一次性完成对1,000个案例的非常详细的审计，并发现30个有错误的纳税申报单。正常流程将识别出其中的20个错误，但是更深入的审核发现了10个其他错误。然后，税务机关将使用这30个申报表来识别风险驱动因素。注意识别尚未发生的风险的驱动因素。数据驱动的方法本质上是向后看的，并且无法预测从未发生的事件。例如，在2001年9月11日之前，全世界从未有过劫机者使用飞机摧毁建筑物的情况，因此，对购买单程机票的人所构成的风险进行的统计分析不会发现这种风险。在这种情况下，必须对从未发生过的风险进行创造性的判断，以增强数据驱动的方法。这可以通过与经验丰富的专家召集研讨会并使用各种头脑风暴方法（例如问题树）和校准方法（例如Delphi方法）来有效地完成。尝试抵消认知偏见。对人类心理学和行为经济学的研究表明，人类有偏见，导致他们低估了特定类型的风险。这些偏见包括：—后见之明。人们将概率分配给之前发生的事件，而概率分配给从未发生的事件。—乐观偏见。人们倾向于低估坏事降临到他们身上的可能性，认为这样的坏事更有可能发生在其他人身上。4—可用性启发式。人们倾向于低估今天不再可见的事物的发生率，例如已经清理过的漏油，因此他们倾向于低估从长期来看不会留下明显伤痕的不良事件的可能性。3J. Bagian等人，“退伍军人事务的根本原因分析系统正在运行”，质量和患者安全联合委员会杂志，2002年，第28卷，第10期，第531–45页。4 参见N. D. Weinstein，“对健康问题易感性的不现实乐观：社区样本的结论”，《行为医学杂志》，1987年，第10卷，第5期，第481–500页。研究表明，例如，哮喘的低于平均水平与高于平均水平的风险比例是9：1，药物成瘾是8：1，食物中毒是7：1。另请参见H. Pentecost，P。Price和R. Voth，“事件的感知频率和乐观度偏见：个人风险判断的两过程模型的证据”，《实验社会心理学杂志》，2002年，第38卷，第3期，第242–52页。 6—代表性启发式。人们倾向于对典型或平均结果的考虑要多于异常结果或离群值，因此他们通常会低估异常或极端事件的风险。—控制的幻觉。人们往往高估了他们控制事件的能力，因此低估了他们可以控制某些负面事件的可能性。几种做法有助于抵消这些偏见：—教育进行风险评估的人员，使他们意识到这些偏见—让更多的人参与风险评估，以创造一个环境，使个人可以挑战彼此的偏见—向风险评估中注入尽可能多的客观数据，以使偏见更加透明从各种来源获取数据和输入。监管机构和执法机构在信息不完善的世界中运作：他们无法一直监视每个目标。因此，这些代理机构必须利用免费提供的信息，实施流程以快速，轻松地收集有用的信息，并在内部进行自我组织，以确保信息在代理机构内无缝地流向那些将其用于制造资源的人。分配决定。例如，就Bernard L. Madoff投资基金传播的庞氏骗局而言，美国证券交易委员会（SEC）收到了六起有关于1992年6月至2008年12月间获取有关该基金收益和运作可行性的资料。此外，2001年发表的两篇文章对“ Madoff的收益异常一致”提出了警告。5 根据收到的一系列投诉，美国证券交易委员会对麦道夫的基金进行了几项