风险分类越简单、越贴近企业管理越好

2006年国务院国资委发布《中央企业全面风险管理指引》文件，其中将风险的种类做了如下描述：

第三条　本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。

从此，这五类风险的分类方式就成了企业中最常用的风险分类，特别是国有企业。

在之前企业进行风险评估过程中，经常会碰到一些问题，比如风险的描述到底是描述原因还是影响？如果某一种风险情形涉及到五种分类中的二种或二种以上风险，比如既涉及到财务风险、又涉及到法律问题，那应该将此风险归入哪一类？

不同的部门有时分类相同的风险，风险内涵却大不相同，而分类不同的风险，认真讨论后反而说的是一回事。

这些问题在风险评估中是最基本的一些问题，如果没有达成共识，在后面的风险分析和风险评价中也会导致一定的混乱。

不管是刚刚入行的同仁，还是从业多年的朋友，真的能把风险分类做好？

可能并不多。

一个好的风险分类，可以让风险分析的更有逻辑，条理更清晰，也便于管理和落实责任。

同时，风险分类也是构建企业风险语言的一部分，只有构建了有共识的风险语言，才能更有效的推动风险管理工作。

今天就和大家讲一讲风险分类的话题。

一、目前比较常见的风险分类

1、按风险源来分：

• 内部风险

风险产生的原因是由企业内部产生的，如战略选择、文化培育、管理架构设置、业绩考核等等，这些都是企业内部制定的管理方式，如果是由于这些方面出了问题而导致的风险，我们将其称为内部风险。

• 外部风险

风险产生的原因来自企业外部，如政策变化、经济周期、客户偏好、市场调整、汇利率波动等等，这些因素企业通常无法通过自身力量对其施加影响，只能被动接受，但这些因素的的确确会对企业产生影响进而产生风险，这些因素导致的风险，称为外部风险。

2、按是否施加控制来分：

• 固有风险

固有风险指组织不施加任何风险管理应对措施时承担的风险。

• 剩余风险

剩余风险指组织施加了风险管理应对措施之后仍要承担的风险。

3、按照风险性质来分：

• 纯粹风险

结果只可能导致损失的风险称为纯粹风险。

• 投机风险

结果有可能出现损失，也可能出现收益的风险称为投机风险（speculative risk）。有时也被称为机会风险。

4、按照是否可控来分：

• 可控风险

通过采取一定的管理和控制手段，风险是可被降低到可以接受的水平。

• 不可控风险

通过管理和控制手段无法降低的风险。

5、按照风险损失的对象分：

• 人身风险

个人因为疾病、意外伤害导致的风险；

• 财产风险

财产遭损毁、灭失或减值造成的风险。

此风险分类保险业使用居多，所以保险公司又为承保两类风险分别成立了人寿保险公司和财产保险公司。

6、按照企业面临的一般风险来分：

• 战略风险

影响战略目标实现的不确定性。

• 市场风险

影响市场目标实现的不确定性。

• 运营风险

影响运营目标实现的不确定性。

• 财务风险

影响财务目标实现的不确定性。

• 法律风险

影响法律目标实现的不确定性。

另外，我们之前还给大家介绍了风险家族的四种风险代表类型——黑天鹅、灰犀牛、金丝猴、大白兔。

风险分类不是唯一的，根据管理的需要，我们还可以创造出很多不同的风险分类，一个风险也可以被归入上述不同的风险类别。

关键，还是看风险管理如何能更好的服务于企业整体目标。

二、风险分类的原则

首先，我们需要明确，风险分类没有最好的标准，只有最适合的标准。

很多从业者之前希望找到一套企业最佳实践来进行本企业的风险分类，但是，好的风险分类是最适合自己的分类。这个方面还是需要一企一策，量体裁衣才是最好的。

但可以有几个参考原则：

1、与本企业的既有管理模式/文化/习惯相匹配，以便于理解、更好的管理和落实责任；

2、能在一定时期内满足企业内外部的管理要求，以便于管理的前后一致性和连续性；

3、尽量减少交叉、重复，无重要疏漏，以便于增强风险管理的逻辑性，提升风险管理效率，节约企业管理资源。

三、风险分类的考量因素

虽然我们强调风险分类的一致性，是从总体设计上来讲，要考虑全面，但风险分类不是一成不变的，需要根据情况的变化进行适时适应性调整的：

1、行业的风险特征

风险分类是具有行业特征的，如果能够清晰的把握行业风险，那对于企业风险基本可以把握到一半左右，特别是对于一些共性特征比较明显的行业，如金融、制药、房地产等行业，风险分类中行业共性的风险占比会比较大。

比如药物不良反应的风险就是制药业特有的风险类型。

比如金融业的风险分类大致可分为信用风险、市场风险、流动性风险、操作风险、利率风险、声誉风险...等等，行业特征也较为明显。

2、企业的风险特征

虽然同在同一个行业，但企业自身的独特性也不容忽视。

为什么同在一个行业的企业发展有快有慢、有好有坏，其实是有很多因素导致了这样的结果。

风险的分类要结合企业自身的特征划分，才更有针对性，即便是行业共同面对的一个风险，不同的企业也有不同的理解和应对。

风险的分类应该要体现这些针对性特征。

3、企业的阶段风险特征

同一家企业，不同阶段，也面临不同的风险偏好，会影响企业的风险分类，一个处在初创期、发展期、成熟期不同阶段的企业，其风险分类也是不一样的。

有的风险在初创期根本不需要考虑，但在成熟期有可能会成为一个重大风险。

风险分类无定式，或者说定式的风险分类一定不是最理想的。

特别是在强调动态风险管理的今天，不要把追求一成不变的风险当做目标。

四、风险分类的问题与一些建议

如果对风险分类有一定思考的从业者，在深入梳理企业风险分类时，特别是在处理到企业的二、三级风险分类时，会觉得这些风险分类之间怎么是互相交叉的啊？

比如资金管理风险，如果按照前述的五大类风险分类，肯定属于财务风险。

但有时发现里面的风险既可能有关系到资金流是否安全的战略层面风险，又有库存现金盘点错误这类操作类风险，但它总体被划入了财务风险。

到底归到哪一类？

前一段时间有朋友问，为什么在国际知名的这些风险管理成果中，没怎么看到市场风险分类这一说？

在非金融类的企业中，市场风险其实包含的内容并不多，它本来就是企业经营过程中风险体现的一部分。

我们其实是把经营风险给拆解了。

所以，今天我们给大家提一个风险分类的建议。

前些年，我们给风险起了这么多名字，是为了风险而风险，最后导致风险之间的关联性分析上有很多的重复和交叉。

怎么办呢？

希望从以前的风险为导向，转向以企业目标为导向，让风险分类更贴近企业管理活动，让风险管理回归本源。

风险说复杂也确实复杂，但也可以用简单的方式应对复杂，以不变应万变。

说白了，从企业管理的角度，企业面临的风险无非是几个层面：

1、战略层面的风险——战略风险；

2、经营层面的风险——经营风险；

3、运营层面的风险——运营风险。

如果我们的一级风险分类按此来分，各类风险根据其影响到的层面归类到以上三类中的一类。

这样在二三级风险层面重新归类：

影响战略目标的风险归战略风险；

影响经营目标的风险归经营风险，一般指影响年度绩效目标的风险；

影响运营目标的风险归运营风险，包括生产、安全、质量、合规等目标。

有些风险如果既对经营目标有影响，又对战略目标有影响，那就可以把这个事件同时归入战略风险和经营风险中，这样在分析时就会非常明确的知道这个风险在此分类中，就是指它对这一类具体目标的影响。

这样岂不又简单、又方便？

而且，这样分完之后，管理起来也比较方面，战略风险归决策层、经营风险归管理层、运营风险归运营层。

之前可能要去运营层对一个战略风险进行管理和应对，就是因为这个风险中也有对运营目标影响的风险因素，导致运营层感觉力不从心。

这样的分类不用掰扯之前对于一个风险，不同层面都有参与管理的混乱，多清晰！

风险分类是风险管理工作的载体，如果想让风险管理工作更好的回归企业价值创造活动，风险分类也必须要和企业管理活动紧密结合。

感兴趣的企业可以试一下，效果应该不错。