风险管理实践百问第1问：什么是风险？

国信求实管理咨询 国信求实管理咨询

微信号

功能介绍专注于公司治理、风险及控制相关的前沿理论研究、原创思想理念和先进实践经验。

7月31日

对风险的理解，是打开风险管理大门的一把关键钥匙。

——丰言风语

很抱歉，诸位亲爱的读者，我把这个“无聊”的问题放在了第一问。

我来和大家解释一下原因。和各行各业的风险管理实践专家交流学习了这么多年，我深刻地感觉到当下企业风险管理实务人员最大的困惑就是这个工作太虚，作为无所不包的框架，在“体系建设”完成后，却找不到好的发力点。作为专门的风险管理部门，从哪下手，才能在日常工作中发挥出风险管理的实现价值、创造价值和保护价值的功能？

为了探求这一问题的答案，我做出了改变自己的职业发展路线的决定，让自己到企业风险管理实践的一线去。通过这三年和多位企业的先进一起探索和思考，我认为要回答上述困惑，首先需要回到本专业的最基本的问题——什么是风险？

很多人尝试对风险给出一个“终极”定义——能够适用于所有行业及应用场景的普适性定义。但很遗憾，目前这一努力仍未竟成功。常见的风险定义包括：损失的可能性、事件发生并影响目标实现的可能性、损益的偏差或波动、可能发生的损失、损失的可能性和后果的组合、主观概率的不确定性、影响的不确定性、不确定性对目标的影响等。

对风险的不同认知，也造就了不一样的风险管理实践。纵观不同行业和领域的风险管理实践，可以发现其方法论及技术的差异根源于对风险的认知不同。保险、流行病学和安全工程形成的风险管理实践是基于风险是损失可能性（损失概率的分布或变异）的认知；经济与金融领域的风险管理实践则是基于风险是损益的偏差或波动的认知；而组织行政管理与决策领域的风险管理实践则是基于风险是主观概率规范与程度的不确定性的认知。

现代企业风险管理实践的“无力感”恰恰来源于以上三种典型的风险认知会同时出现在企业经营管理过程中，以至于我们无法找到统一的、具备普适性的方法论来指导企业的全面风险管理活动。这也从客观上迫使我们需要找到一个更加具备普适性的、跨领域的风险定义，来构建企业风险管理的方法论。

我个人比较推荐的通用风险定义是由国际标准化组织（ISO）提供的“effect of uncertainty on objectives”。翻译成中文，就是“不确定性对目标的影响”。这个定义，用非常精炼的语言表达了风险的三个核心要素及其之间的关系。通过准确把握风险三要素及其关系，可以帮助我们逐步构建并发展起一套指导企业风险管理实务的方法论。

1、风险三要素之“影响”

影响，是指结果与目标的偏离。如果是正面的偏离，我们把它叫做“机会”；而负面的偏离则被称为“威胁”。此时，风险不再只是“不好的结果”，而是变成了一个“中性词”。她无关乎“好”或者“坏”，而只关注结果（绩效）和预期（目标）之间可能的偏差。由此逻辑推导，风险管理就是管理绩效和目标之间的偏差的过程。或者说，风险管理就是根据企业的偏好，利用一整套文化、能力和实践的组合，来实现放大正面影响（追逐机会）、降低负面影响（避免威胁）的过程。其终极期望就是“趋吉避凶”。

640

图1 风险-绩效曲线

影响要素的引入，让风险成为了链接战略（目标）和绩效（结果）之间的工具。从这个角度，我们也更容易理解COSO的企业风险管理（ERM）框架升级的背后驱动。

641

图2 COSO企业风险管理框架的升级

2、风险三要素之“目标”

目标，是指预期实现的结果。

目标可以是不同主体的，如个人、家庭、公司、集团、政府等；目标也可以是不同领域的，如财务、投资、研发、销售、QHSE、廉洁、合规等；目标还可以是不同层次的，如战略目标、年度目标、部门/项目/产品/渠道/客户/供应商等目标、流程目标、岗位目标等。

目标是否存在，或者目标是否清晰是认识风险的前提。可以这样说：没有目标，就没有风险！很多企业都引进了众多目标管理的工具，如战略与规划体系、BSC平衡计分卡、全面预算管理、综合绩效管理等。但因为各种原因，这些目标管理活动或流于形式、或互相之间无法衔接。由此，大家应该能够理解为什么很多企业会觉得风险管理工作无法落地、没有价值、“两张皮”——没有清晰的目标设定和科学的目标分解，风险管理实践必然就成了“无根之木”、“无源之水”。

642

图3 企业常见目标管理工具

在企业组织里面，谁需要管理风险？——任何承担组织目标的机构或个人。

目标要素的引入，并且将目标与风险之间进行强关联，决定了风险管理不应该是务虚的活动，而是服务于每一个业务目标的实现过程，是每一个组织及组织内部承担目标的机构或个人，围绕着如何更好地实现各自承担的目标的过程。

从场景或业务角度出发，项目风险就是围绕着项目（研发、并购、工程等）目标进行风险识别和评估，并且在项目管理过程中进行风险应对的过程。质量风险就是围绕着质量目标（6σ、0缺陷等）进行风险识别和评估，并且在产品/服务交付全过程进行质量控制的构成。

从机构或个人角度出发，营销部门围绕着如何实现销售及回款目标而对客户信用、销售竞争、价格波动、应收账款等风险进行管理。采购部门围绕着如何实现稳定优质供应和降成本的目标而对供应商信用、比选及招投标、物流等风险进行管理。安环部门则围绕着如何减少安全事故、避免环境污染的目标而对安全生产、环境保护等风险进行管理。

职责清晰、目标明确，则风险管理各得其所。

3、风险三要素之“不确定性”

不确定性，是广泛应用于哲学、统计学、经济学、金融、保险、心理学、社会学及信息工程的概念。历史上不同风险学说的核心分野之一就在于对风险最本质的要素——不确定性的认知差异。客观实体派的风险学说建立在客观不确定性基础上，而主观建构派的风险学说则建立在主观不确定性基础上。最近十几年发展起来的整合派的风险学说则似乎把这两者进行统一。

所谓客观不确定性，就是认为世易时移、万物消长，不以人的意志为转移。现代保险学的基础——“大数法则”，即随机状态下个体的偶然性背后是群体的必然性——就是建构在客观不确定性基础上。现代风险管理实践中形成的很多风险测度（评估）技术也是基于对客观不确定性（概率）的测量。

所谓主观不确定性，就是缺乏或部分缺乏对一个事件、后果或发生可能性的相关信息、了解或认识的状态。这种不确定性，更多是从认知主体的“意志”或“能力”出发，因为不知道、不了解、不认识，所以才会对未来产生“无法确定”的迷茫。在充分竞争的市场领域，不同的企业共享同一客观环境，但企业间的经营结果相差甚远，其根源就在于不同企业的“主观不确定性”的差异。成功者能够洞察客户需求变化、深刻理解行业演变方向、充分掌握竞争对手的态势；而失败者则抱守残缺、无视变化、或过分自信、沉迷于以往成功的法则而无法自拔，对未来变化茫然无知。企业风险管理实践领域，用以有效测度主观不确定性的技术还不是特别成熟。

643