在企業管理中，風險管理往往呈現為一個獨立的職能系統，在有利于提高風險管理規劃系統性的同時，也容易導致風險管理與具體應用體的脫節。

其次，風險管理是一個概念，再加上主管部門相繼推動“風險管理、內部控制、合規管理”工作，導致不少企業混淆了三者之間的界面關系，要么孤立認識、要么混淆為一體，造成風險管理的系統化運作出現混亂。

再次，在企業的經營、管理過程中，可以說風險無處不在，導致企業“風險用語”泛濫，而風險表達本身的模糊性，反而降低了對象的可管理、可操作、可評價性。

另外，企業為了提高對風險管理工作的指導性，往往會借鑒風險管理方法論中的描述，事先對風險進行分類、分級，形成一個多層級的風險框架。但在實際應用中，事務、風險、基礎管理之間的關聯性錯綜復雜，一廂情愿的風險框架，反而形成了對風險實施管理的障礙。

最后，在與企業就風險管理的實際溝通中，能夠感受到主管人員對風險的認識是跳躍的，體現在一會兒假設、一會兒事項、一會兒環境，或者把正常的事務用風險的語言表達，反映出企業風險管理在整體規劃、運作管理方面存在缺陷。

本文采用系統化思維，就以上問題提出解決方案。

01.把風險管理規劃在目的邊際基礎上

風險管理是一套理論嗎？在我看來，更像一項應用實踐學，與之對應的更接近方法論。無論是COSO框架、風險管理指引、內部控制規范與指引、合規管理指引或辦法，都是為企業開展工作提供支持，適用于各種企業的“指導性”規范。

其實，即便沒有內部控制、合規管理的指引或要求，從風險管理整體規劃的角度，也可以演化出內部控制、合規管理工作。因為，他們都是以管理風險為導向的“衍生物”。

這一共同特性，決定了企業對風險管理的整體規劃，需要對以管理風險為導向的各項工作，做出合理界定與系統化的妥善安排。

從管理的角度，任何管理最終都會轉化為行動表現出來，否則管理無效。

如果從風險管理實踐的維度理解，風險管理泛指以化解、預防與降低風險為導向所開展的各種活動。對風險管理的整體規劃，不是基于風險管理本身，而是從“應用角度”進行的設計。

只有從應用角度進行設計的風險管理，風險管理活動才具備可管理、可操作、可應用、可評價的功能及特性。所以，風險管理的系統構架不是基于風險的劃分，而是從企業管理風險需求所帶來的目的、功能、特性角度，對風險管理工作進行的“界定”。

很多企業在這方面都存在設計不足問題，所以，十幾年過去了，風險管理真正的效能與持續性，究竟發揮了多少呢？前端規劃失誤，后端加倍反噬，是管理中的“長鞭效應”。

在企業中，我們常見風險框架、風險樹的做法，甚至搞出來一套包囊各種風險描述的千頁手冊。風險管理不能這樣做，可以直接說，看似頗豐的產出，毫無效能可言。

因為，從風險的維度，理不完、理不清，何況，管理導向不是風險，而是目標，風險管理只是保證手段。

如果從風險的維度劃分，按屬性劃分為假設風險、條件風險；按來源又可劃分為外部風險、內部風險；按方法論劃分，又可劃分為戰略、市場、運營、財務、法律風險。

可以明確地說，上述的劃分方式，無論企業怎么拆解、定義，都無法做到界面清晰、相對獨立、可管理、可操作、可評價。那又何談風險管理的有效性呢？

從目的、功能、特性角度如何界定呢？企業的風險管理可以劃分為4類：面向戰略規劃的風險管理、面向績效的經營風險管理、面向能力支持的風險管理、面向管理的風險管理。

面向的對象，即風險管理支持、服務的目標。凡通過風險管理識別的重要風險，必須有風險影響措施，即行動方案，落實的過程即開展的“工作”，還需要在風險管理終結之時，做出“關閉、繼續保留、發生”的結果處置意見。

風險管理之所以構成“管理”，不是為了識別、表達出風險給大家看，而是“面對風險應該怎么辦、結果如何”。

當然，作為風險管理，規劃并非如此簡單。比如，面向戰略規劃識別出來的風險，除構成工作的風險影響措施之外，還需要對“重大風險”提出應對措施，即風險發生后的應對預案。

比如，風險管理中包括風險評估，是誰都明白的邏輯構成，核心不是告訴員工要進行風險評估，而是告訴他們“評估的對象是什么，評估哪些要素，評估的結果怎么用”。

02.面向戰略規劃的風險管理

那什么是戰略風險呢？凡是影響企業目標、資源、競爭力、效益的風險事項，都稱為戰略風險。其價值意義體現在哪呢？戰略規劃即戰略制定的過程，該部分的風險管理，是戰略分析的內容，通過機制建設，形成例行工作。

所謂風險管理與業務的融合，不是要講這個道理，而是要“如何成為一體”。構成的一體，一定不是風險管理本身，而是基于目標需要開展的工作，風險管理是構成工作的手段，運用手段的產出，即風險識別、評估、解決方案、應對措施。

任何企業的戰略制定都會做戰略分析，至于分析到什么程度，每個企業并不一樣。需要承認一點：單純依靠戰略管理部門，難以完成戰略分析，即使做了所謂的戰略分析，也做不到具有實質意義。

因為，戰略風險大部分來自于外部對業務的影響，包括政策環境、行業市場環境、客戶變化、競爭對手，以及因選擇而帶來的面向外部的經營風險。要完成類似風險評估，依賴于市場、銷售、研發、采購部門。

正是大部分風險來自于外部，企業不是為了防控也不是單純為了規避，而是與內部能力、期望匹配下做出選擇，才能與企業中期戰略、領導期望結合，規劃出近期的年度經營目標、面向中期的戰略投資取向，構建或發展企業的核心競爭力。

在戰略分析與風險評估中，業務部門才能基本具備確立下年度初步績效目標、準備承擔并挑戰的風險事項的條件，具備通過年度行動計劃，與企業經營計劃縱向對齊、橫向與其他部門工作拉通、與企業主管領導進行績效溝通的基礎。

沒有這個分析過程，各業務部門的下年度工作，非常可能停留在被動狀態下的“消極計劃”基礎上，也不會產生有區別、有排序的年度工作重點，談不上真正有意義的績效追求。所謂收益與風險成正比，就是這個道理，目標的高低，意味著風險程度的不同。

比如，企業下年度準備開發一個新的國家市場，就需要收集目標國家的稅收、海關、質量環保安全等政策，掌握安全環境、本幣匯率、當地人工費用、生產資料當地價格與物流能力等信息，才能提出策略，否則連成行的可能性都不存在。策略或具體行動，需要落實在企業內部，即風險解決方案。

當風險管理真正被轉化為實踐的時候，風險語言的表達程度并不太高。我們總講風險具有客觀性，只要明確了需要收集的風險因素、明確了產出規范，就轉化成了“確定性工作”，工作的開展過程，構成了風險管理的過程。

同樣，對市場環境的分析，關注的是新技術、新產品、構成新商業模式的潛在對手等信息，也包括自身市占率、盈利能力與行業平均值對標的分析。

沒有類似的評估，就難以通過選擇形成產品排序，就難以形成針對性的產品組合，進而影響針對性的預算投入，即內部投資，企業的綜合盈利能力也會受到影響。

當然，即使不開展這些工作，也并不意味著企業不能經營，只不過會因管理粗放犧牲些效率與效果罷了。比如，企業并不少見的不具回報性或回報很低的銷售合同等。

既然戰略分析、風險評估支持企業的戰略規劃，那么戰略規劃的目的是什么呢？包括4點：一是獲取近期的經濟收益而不是財務收益；二是通過戰略投資，不斷提升企業的核心競爭力；三是通過投資提升企業內部運營效能；四是提升與企業業務發展相匹配的管理保障，即管理提升。

為什么一些大型企業講不出自身的核心競爭力是什么呢？一是沒有有意識地構建，發展處于一種自然狀態，當環境惡化時，企業很快會陷于被動；二是因為確立競爭力所在，企業每年進行的內部投資就失去了方向，只是根據中期、短期需要進行的自發行為。

風險管理在做什么呢？不要把風險管理完全視為假設基礎上的主觀猜測，沒有人能夠準確地預測未來。風險管理存在于企業的運營框架中，因目的需要而開展，除內控針對的“不確定性假設風險”之外，都是基于客觀認識、分析下的判斷，通過行動化解或降低風險影響。

03.面向績效的經營風險管理

面向績效的經營風險管理指的是什么？該類風險管理談不上防范風險，而是建立在“承擔、挑戰風險”基礎上。

績效來自于哪？來自于行動。行動來自于哪？來自于“機會與風險平衡選擇”的行動方案，包括行動計劃、某專項的專題方案計劃等等。在大多企業中，有行動計劃必有檢查、考核。

既然要行動，每個員工承擔的工作是多樣的，復雜度、挑戰性也存在區別。如果從風險管理的視角，構成了確定性的、風險性的、不確定性的工作事項。所以，體現在年度經營計劃的目標，經濟目標往往是一個包括上、下限范圍的目標集合，任務目標是一種定性的結果表達，防火墻指標是需嚴加控制的負向指標。

每個企業的年度經營目標雖然大致類同，但在結構上并不完全一樣。戰略管理規范的大型企業，會通過KPI、戰略澄清、戰略地圖的方式，與各部門行動計劃形成“對接”關系。規模較小的企業，會呈現為直接的結構。其中，支持目標實現的工作事項計劃，是有排序的。

沒有排序，就無以管理，就無以區分責任、挑戰性的大小，就談不上領導者、管理者的關注重點，更談不上客觀的績效評價。不加區分、責任不清的規劃，結果的不確定程度自然偏高。

什么是經營呢？從企業整體看，把行動方案變成結果的過程，即經營。所以，面向績效的經營風險管理，隨著構建行動方案而完成，構成了“企業運營過程中”承擔、挑戰風險的工作指引。

這個過程，也構成與企業年度風險評估的同步，完全可以評價出企業的年度重點風險。問題是重點風險如何脫穎而出呢？

企業級的年度風險評估是一個“組織開展工作”的行為，對行動方案進行分析、預測，并識別出重點風險事項的過程稱為評估，而確定企業級年度重點風險的過程，不是評估出來的，而是分析、評價出來的。

分析，離不開匯總、綜合、分類、篩選的過程。評價離不開判斷基準。在不少企業中，往往非常直觀地根據風險損失程度、可能性建立評價標準，是一種直觀理解的產物。

評價基準是根據“評價執行的過程方法、結果狀態”進行的設計，是把評價結果與基準直接匹對，形成“強制性”風險排序結果的依據。所以，評價基準是根據風險程度、可能性“組合”進行的人為“定量分布”的預先設定。

企業級的年度重點風險評價，關鍵不在于“評價基準”，而在于基于風險事項進行評價的“量度標準”。

在具體實踐中，很多企業往往通過選擇不同層級人員進行直接判斷的方式，對風險事項打分完成。雖然都叫判斷，但判斷的方式、方法不一樣。

根據風險管理部門提供的判斷打分標準，直接對風險事項的程度、可能性進行打分的方式，也叫判斷。受評價人的立場、對風險事項的熟悉程度、自我主觀認識影響，無法形成相對客觀的判斷結果。

執行風險評價量度標準，不是“一次直接打分”完成，而是拆解成“每個評價人”都可形成“基本認識”的分類量度，而且無需評價人做出結果匯總的定量方法。無需評價人針對風險進行評價，而是從評價能認識的確定性角度進行的評價。

由于風險事項來自于行動方案，對企業重點風險可以形成風險清單。企業中所有的風險清單是用來用的，而不是推送給別人。企業風險管理主管部門可以據此進行跟蹤、監視、審查等等，才能夠評價風險管理效果。當然，清單是可以分級的，管理機制也需要明確。

其次，與企業經營有關的“常態關注的風險”，比如，應收款、發電量、收入確認、存貨等，需要設定“先導指標”，對企業關心的影響高質量發展的風險指標數據進行動態監視，需要與企業日常經營分析機制結合起來。

企業中常見的因“問題苗頭”而形成的風險管理機制，遵從風險管理邏輯，但屬于風險信息管理與處理范疇，納入日常的責任管理體系中。

04.面向能力支持的風險管理

什么是能力呢？包括組織、人才結構、技術、產品、財務、供應鏈、安全、保密等等，都是支持企業經營的能力反映。

能力有兩類：一是支持企業短期經營的能力投資；二是支持企業長遠發展的戰略能力投資。所以，面向能力支持的風險管理，構成了企業全面預算的“內部投資指引”。

支持短期經營的能力投資無需進行風險管理，會放大管理成本，依托日常管理即可完成。風險管理重點應用于戰略能力投資，而戰略能力投資往往呈現為“專項”，是企業構建和提升核心競爭力的行動表現。

所以，企業必須理清戰略能力投資的構成。比如，反映為組織能力的組織變革、人才結構建設規劃；反映為提升競爭力的并購重組專項；反映為企業打造市場競爭優勢的綜合成本控制、關鍵技術開發、新產品功能、性能與品質、重要的固定資產能力保障投資建設等等。

企業任何戰略能力投資，都屬于較大的投資行為而富有風險性，風險管理的出發點是“防范投資損失風險進一步擴大”，所以，是風險評估、戰略階段決策控制的結合。

既然是戰略能力投資行為，必然伴隨著階段的評審、決策。評審、決策依據，來源于確定性進展與數據、風險評估、評審控制，這里的內控，就是企業最高階的、領導人參加的、專家集體評審的戰略控制點。

比如，筆者以往在集團與二級單位主管共同推動的型號專題風險評估，是在滿足預設基準條件下，產品出場前必須進行的專項風險管理。要成功，就不能存在質量隱患，要評估，就要找到評估要素，從人、機、料、法、環、新工藝、新技術、新問題的變化角度進行評估。其中，預設的基準，也是基于“風險”判斷而進行的設定。

要素的變化程度，在設定基線范圍內且沒有出現質量問題的，無風險；出現質量問題的，需說明歸零情況，與過往同類產品的數據進行對比，得出風險評估結論。變化程度超出基線且沒有出現質量問題的，需與過往同類產品質量數據對比，得出風險評估結論；出現新問題的，必須在形成確定性歸零及結論的前提下，在做出風險評估結論的基礎上重點審查，任務責任單位需做出明確的結論。

這樣的風險評估，實現了與企業價值鏈運作追求目標的歸一，提高了評審的“可評性、有效性”，同時，兼顧了管理成本，只有超出設定基準的項目，才開展專項風險管理，減輕了一線人員的負擔，能夠被各單位主動接受，所以，形成了長效機制而得到持續。

任何的風險評估，都需要建立在“確定性”基礎上。即使從“風險管理系統”的維度，也離不開“面向管理的風險管理產出”這一確定性基礎，即內部控制、合規管理。相對戰略、績效、能力的風險管理而言，內控、合規系統的建立，就是“建立管理確定性”的過程。

風險管理是一個范圍很大的概念，為了避免前3項風險管理與面向管理的風險管理之間產生混淆，我們把前三項風險管理，統稱為“風控”，取代風險管理這一概念，使風險管理成為反映“能力”的概念表達。

企業中的內控、合規管理、風控、風險報告與處理，共同構成了企業的風險管理能力。

05.面向管理的風險管理

何謂面向管理的風險管理呢？首先，必須理解，內控僅僅是一個外來“詞匯”而已，轉化到企業的實踐，呈現出來的就是“控制”。

其次，應該理解到企業內控所指的“控制”，是管理的一項職能。通過線下的標準控制、線上的過程控制與決策控制活動、線下的監管與監督控制活動構成。

企業的合規管理，本質上與內控管理趨于一致。合規管理辦法中所指的“合規監管”，即線下的監管與監督，是一類“控制活動”。

類似法務或合同管理人員、首席合規官進行的合規審查、其它部門進行的管理符合性審查等，是線上的“過程控制”，是內控的建設重點，但不是唯一。

違規舉報，是監管與監督采用的“控制方法”，只不過從合規管理角度，反映出來的是一種及時發現違規線索的功能，目的一致。

企業的合規管理與內部控制基本是“統一”的，但也存在兩點不同：一是合規管理面向“行為違規風險”，需要構建違規程度認定標準、違規追責執行標準；二是用內控替代外控的風險評估過程，既然評估出了合規風險，需要通過風險清單這一載體，提高“化解合規風險”的責任落實度，是“風控”的表現，必有行動方案對應。

這里我用了“內控替代外控”的用語，其產出物或制度、或流程、或標準、或規范，但企業在管理中不能出現“內控制度”、“內控流程”的泛化說法。

因為，從企業內部看，控制會體現為標準、審核、審查、決策、監管、監督等活動形式，遵從的邏輯是：由于設立制度、流程，需要對執行過程中的“不確定性假設風險”實施影響，實現產出穩定，影響措施即“控制”。

其中，決策活動因公司治理、分權與授權，通過制度、流程等確定性規則明確，是流程中必不可少的活動，不屬于內控建設范疇。

由企業內控建設引發的梳理流程，是因為企業不存在顯性的“流程”而不得不為之，要提高流程品質，需要嵌入“控制”，所以，內控建設的產出，通過“制度、流程、標準、控制活動”的形式反映出來，但不能“逆邏輯表達”，會造成員工認識混亂。

由于內控管理、合規管理需要而建立的管理制度，就同質量管理、安全管理、財務管理建立的制度一樣，是什么制度就是什么制度。管理追求的是清晰化、條理化，企業不能隨意“導入新詞匯”，打破員工已經形成的并非不良的習慣認識。

因為，制度、流程的本質，本身就是要培養一種“習慣”，使制度、流程，從形式遵從轉變成事實制度、事實流程。

至于合規行為準則，也是企業內控環境中的一個構成反映。如果沒有就加以補充，如果已經建立，對比辦法、目的、管理需要審視一下，可以加以完善，僅此而已。

結合本文的論述，從風險管理整體看，內控、合規、風控，哪怕再把法務、監管、監督考慮在內，他們都不是“一體化建設”的表達，而是基于不同功能結構相互作用、集成的系統化運作構架。

那么，如何控制企業中的風險語言呢？企業風險管理的風險表達，建立在企業“已有管理、技術的極限”之處。凡已經處于管理、技術影響范圍內的事項，不得再使用風險語言表達，是風險管理系統運作的“執行標準”。

正是設置了風險管理執行標準，超出現有管理、技術范圍的風險表達，說明現有管理、技術，已經出現了“不能支持正常運營的問題”，需要提出“對應的工作計劃”，即持續完善。

結合“面向管理的風險管理”內涵，通過導入內部控制、合規管理形成的管理體系、監管體系，在未發現明顯的管理問題時，不再用風險語言描述，而是做什么說什么。

比如，法務人員或合同管理人員對合同的日常審核，不能再用“風險語言”陳述審查重點，因為，控制、合規等已經建立了“確定性的審查”活動，該怎么審查就怎么審查，該審查什么就審查什么。

比如，企業內控建設中最難實現“規范、標準化設計”的法務審核，指的是法務人員運用“法律知識”，從預防法律風險的維度進行的控制，是“技術”層面的技能發揮，不需要再用“風險”語言陳述，管理不會涉及到“技術”層面，是一個發揮技能的靈活空間。只需要明確一條：經法務人員審核的事項，因出現法律責任問題造成損失的，法務人員需要承擔部分法律控制責任。

那么，在管理中什么時候使用風險語言呢？除非發現了“新的不足、新的變化”，才輪回到“風控”，必然涉及風險語言表達。由此而識別的風險，預防或發現風險的措施，即對應“流程與控制”的增減、優化或完善。否則，企業的風險管理不僅不會產生價值意義，還會造成管理混亂、低效。

比如，在國資委《合規管理辦法》中提出，企業需要結合經營情況進行合規風險評估，在實踐中轉變成了面向合規風險的“風控”。為什么出現這種情況呢？是由于風險管理系統化規劃，把交叉、疊加部分進行了切割而形成的結果。

系統化管理的最大優勢，在于通過劃分，提升了相對獨立性而又不失各部分的關系，構建了運作秩序，進而提高了可管理、可操作、可評價性。由于化解了交叉、重復甚至矛盾的客觀存在，提升了整體效率與效能，降低了綜合管理成本。

企業的內部控制管理、合規管理，即面向管理的風險管理，產出體現在流程、制度、標準、監管、違規處理等確定性內容的持續完善、遵從與執行。

唯有此，才能讓企業重新回歸日常經營、管理常態，才能讓風控成為支持、服務企業戰略制定、戰略實施、績效管理、經營復盤的整個過程，為企業高質量發展提供了有價值的保證，且可持續。

返回列表