关注全面风险管理

时光如箭，转眼跌宕起伏的2016年进入岁末。当我们回顾过去的一年时，不得不说2016年可谓风险年。

从宏观环境而言，英国脱欧及特朗普胜选美国总统都被认为是黑天鹅事件。在中国，10月之前的房地产市场如脱缰野马，国家不得不在十一黄金周启动史无前例的20个城市的调控政策。在企业层面，各类风险也层出不穷。

例如：富国银行通过账户造假，使客户会因账户余额不足缴纳银行管理费以及银行透支费；三星手机的爆炸使其移动部门第三季度利润大跌96%，未来三星手机的销量也将受到长期的负面影响。又例如：中国万科股权被资本大鳄争抢分食，使企业的经营风雨飘摇；贾跃亭的内部反思邮件引爆外界对乐视资金链压力的各种猜想，乐视网股价不到半年就跌去了30%；魏则西事件进一步拉开了百度与腾讯及阿里之间的差距......

因此，在可能会面对更多内外部环境不确定性的将来，我们的企业必须关注风险管理，搭建企业风险管理体系，将尽量多的风险控制在其萌芽之前。笔者认为，所谓风险管理体系，核心应该包括三个方面，分别是：

·  建立风险管理的组织职能体系；

·  系统地识别风险，确定风险的驱动因素，并将风险进行分类；

·  以及进行有效的风险控制。

首先，目前的很多企业将风险管理职责归属于审计部。所以很多企业的审计部又同时称作风险管理部。其工作内容主要是依据公司各项制度或流程的规定，通过审计和穿行测试的方法来发现各部门及各单位的不合规操作。这种审计测试工作往往是定期的，并在公司主管上级或监管部门的要求下实施，结果则是以年度审计与风险报告的形式进行终结。很显然，将风险管理主要依赖于公司的审计部门是远远不够的，这也很容易让企业员工将全面风险管理误解为企业操作规范管理。笔者认为，风险管理应提高到董事会或高管层的高度，进行更全面的管理。在设有董事会的公司里，应在审计委员会内设全面风险管控职责，或者单设风险管理委员会。如果企业只设有一名执行董事，则审计与风险控制部应直接向执行董事负责，从而提升风险管理的战略高度。因为，在技术环境、政策、市场需求、内部发展要素等各方面都瞬息万变的当下，企业所面临的各类风险也变得错综复杂，这就要求公司需要有一个风险指导中枢，在搭建风险管理框架的基础上，进行系统性的风险防范。所以，风险管理委员会或执行董事需要指导审计风控部识别及归类各类风险，并制定相应的防范措施，从而指导各业务部门或下属机构搭建相应风险控制职能。也就是说在公司风险管理体系下，各业务部门或下属单位都需要制定与自身工作相匹配的风险管理方案，测量风险、确认/追溯风险、避免、降低、转移及利用风险，分享最佳实践，从而持续改进风险控制。这样公司就形成了风险管理的三级组织体系。

其次，企业必须对风险进行识别与分类。企业风险所涵盖的各种不确定性林林总总，不一而足。这就需要我们通过风险的识别，确定风险控制的分类，风险关键控制范围、关键控制点，进而才能在资源有限的情况下，排列优先等级，制定相应的控制措施。一般而言，笔者在进行管理咨询的过程中，会将企业经营面临的风险归为战略风险、市场风险、运营风险、财务风险和法律风险等等。而每一维度风险又需要进一步细分为第二维度风险，并进行明确描述。例如，战略风险至少应包括战略选择风险及战略实施风险。因为每一种战略均有其合理性和一定的风险性。战略选择风险主要来自于企业选择了不适应外部环境变化和自身资源能力的战略方向而带来的潜在问题。战略实施风险则包括企业资源投入不足导致战略实施不到位，或战略执行过程中脱离企业实际导致企业过度扩张，或者战略因主观原因变更频繁危及企业存续等。另外，在风险分类的基础上，根据业务复杂程度不同，企业在分析风险范围时有可能会面临若干个关键风险区域。关键区域可能是部门，可能是管理职能，也可能是某个岗位。所以，企业在每一个关键区域中，都应有具体管理的目标，而对实现具体管理目标有重大影响的环节自然就是关键控制点。

再次，在明确企业所面临的风险范围、风险区域及关键控制点之后，企业就必须建立相应的控制措施。关键控制措施包括相应的目标、流程和制度，也包括激励，监督等措施，同时需要有相应的数据/记录或报告。以安全生产风险管理为例，企业首先是制定安全生产管理标准，同时制定相应的目标。之后，落实安全生产所需的人力、物力和资金等资源投入，相应的部门应梳理工作流程和风险环节，设置风险控制点，并在此基础上建立责任制度，实施过程监督检查，以及建立信息共享机制等。需要指出的是，风险控制措施的重点和难点应放在流程与制度的持续优化方面。这种持续的优化主要体现在两个方面，一方面是执行部门在日常经营过程中，善于总结自身情况及借鉴其他企业的经验教训，不断发现新的风险控制区域及关键风险控制点。另一个方面是，审计风控部门不定期的组织资金流、物流、信息流的穿行测试，通过测试发现运行缺陷。这样就形成了一个持续优化的机制，也使得企业的风险管理实施落地。

最后，笔者还需要提醒，企业全面风险管理，应该是企业对内外部风险进行评估、控制、监控和处理的一种生态系统。而风险的控制与防范并不是单纯的追求所有风险的最小化，因为风险和收益是相伴而生的。简单地强调降低和消除所有的风险，企业很可能将裹足不前。但是如果无所控制地去获取经营利益最大化，企业又可能忽略潜在的各类风险，并招致重大的打击。因此，企业的经营准则更应该是在风险可控的前提下，追求收益最大化。

 

诚邀您关注原创内容平台 赵民微分享