风险管理实践百问2：风险与目标如何挂钩？

在第1问中，我们梳理了目标和风险的基本关系：目标是构成一个风险存在的“三要素”之一，是管理风险的前提。为了突出目标的重要性，我们甚至提出了这样的论断：没有目标，就没有风险。虽然这句话的表述从理论上来说不是很严谨，但是通过这几年深入到金融机构与非金融企业一线的实践与观察，我们得到的深刻体会是：非金融机构的风险管理，之所以普遍面临着“价值焦虑”或“生存焦虑”，其核心原因在于传统的风险管理方法论及实践，始终无法与组织的目标，特别是管理层关注的关键目标，产生直接的联系。因为对公司关键目标的达成没有重要的影响，所以风险管理作为一个独立的职能，对管理层来说，是可有可无的。而原来支撑风险管理的专职化存在的最重要的逻辑——上级/外部的要求，随着国企深化改革、“小总部”模式的流行，在逐步弱化或消失时，风险管理部门或团队将面临两个选择：找到对公司重要目标发挥影响的路径，或者，消失。

我们非常地幸运，遇到了很多企业里面的低调且务实的风控专家。他们给了我们很多启发。以下所思所想，只不过是把众人的智慧进行了“集成”。囿于能力和篇幅限制，我们只能选择几个角度和大家做一些分享。需要特别说明的是，下文对风险管理相关实务的探索，不包括银行等金融机构。关于金融机构风险管理的实务，另找机会再聊。

01

—

第一代风险管理方法论，兴起于2006年《中央企业全面风险管理指引》的发布，成型于2008年各中央企业开始大面积启动全面风险管理体系的建设。主流的专业机构提供的方法论逐步在不同单位趋同，主要包括风险管理组织机构、风险框架和风险数据库、风险评估及重大风险应对，以及把上述过程汇编形成的风险管理手册。少数机构还会涉及到利用指标开展风险监测内容。承载全面风险管理体系建设的“标配”成果就是“一库一册一报告”，即风险库、风险管理手册和全面风险管理报告。

图1 《风险库》

图2 《全面风险管理手册》

图3 《全面风险管理报告》

第二代全面风险管理方法论，缘起于2008年《企业内部控制基本规范》，成型于2012年国资委68号文后各中央企业开始全面启动内部控制体系的建设。主流专业机构提供的方法论出现了两个方向：

方向1是强调全面风险管理与内部控制体系的差异化而独立开展的内部控制体系建设的方法。

方向2则是强调全面风险管理与内部控制体系的一体化而选择整合开展的方法。

其结果是大部分企业务实地选择了低成本的整合实施的方法论。虽然在方法论上有“独立”和“整合”两个方向，但令人遗憾的是结果是一样的：都是在之前的全面风险管理体系建设的成果上，直接增加了流程文档和风险控制矩阵。承载全面风险管理与内部控制体系建设的“标配”成果就是每个流程有“一图一文一表”，即流程图、流程说明文档和风险控制矩阵表（部分单位还会包括不相容职责分离表、授权明细表等）、每个单位有“一库一册两报告”，即风险库、风险管理与内部控制手册、全面风险管理报告和内部控制评价报告。

所谓“整合”，就是把名称及职责“合”在了一起，而并未从框架、数据、机制等层面实现真正的整合。例如，不少单位存在两个“风险库”，一个是基于国资委的指引中的战略、市场、运营、财务和法律等五类风险构建的“风险库”；一个是基于五部委的基本规范中的内部环境、风险评估、控制活动、信息与沟通以及内部监督等五要素构建的，包含在风险控制矩阵中的“风险库”。很多单位还存在着风险应对方案与内部控制流程、风险评估结果与内部控制缺陷认定、风险管理的效果评价与内部控制有效性评价等工作完全割裂的情况。

图4 《流程图》

图5 《流程说明文档》

图6 《风险控制矩阵表》

图7 《全面风险管理与内部控制手册》

图8 《内部控制评价报告》

第一代和第二代方法论最大的变化就是“手册”变得很厚——用某企业风控经理的自嘲来说：“原来好歹还能放到抽屉里，现在是连抽屉都装不下了”。

第三代全面风险管理方法论，肇始于2018年七部委的《企业境外经营合规管理指引》及国资委的《中央企业合规管理指引(试行)》。目前还未形成主流“套路”。从2018年五家中央企业试点开始，越来越多的企业开始推动合规管理体系的建设。观察不同背景的机构所推动的方法论，可谓五花八门。律所系机构推动的是风格明显的法规遵循为主的、独立的合规管理体系建设。而咨询系机构推动是在原有的风险管理与内部控制体系的基础上，继续整合的思路。关于“继续整合”，包括如下做法：直接在内控后加上“合规”两字、编制道德声明文件和/或员工手册，并组织员工签字承诺、在对外合同中增加合规义务声明条款、在手册里面增加制度和/或法规清单、把“控制措施”细化至岗位/个人、把手册按照部门/岗位重新编排、在风控矩阵上增加“风险类型”标签、在风控矩阵上增加“对应制度和/或法规条款”…各种“创新”层出不穷，还没有形成主流的“套路”。

纵览近10年全面风险管理的方法论的迭代更新，虽然包容性越来越强、内涵越来越丰富，但似乎都无意地忘掉了风险管理的“初心”——目标（核心战略目标实现的风险是什么？完成预算目标的风险是什么？投资项目指标达成的风险是什么？…），理所当然地，风险管理的“使命”——绩效（保护价值、创造价值）也主要出现在方案、论文、讲话稿或培训材料中。

目标管理的基本特点和思路

“由远及近”，是指一个组织，需要从愿景、使命、价值观开始，确定其远期定位，形成可量化目标，并通过“五年规划、三年滚动、动态调整、年度落实”的机制，把一个“前瞻而宏大”的构想，转化为“具体而真实”的任务事项和年度目标。通常组织里面战略规划管理部门主司此职。其方法论体系与工具主要来源于外资咨询机构引入的战略规划方法论、平衡计分卡等工具。

“从总到分”是指一个组织，需要把年度总目标，按照板块、行业、机构、条线、产品、区域等不同维度进行细化分解至内部定义的可管理的“最小绩效单元”，并且在目标期末衡量、评价绩效实现的情况。通常组织里面企划或企管部门、人力部门、财务部门会主司此职。其方法论体系与工具来源于外资咨询机构引入的综合绩效管理、全面预算管理等方法论及工具体系。

“自上而下”是指一个组织，在推动任何目标管理过程中，都会结合实际的组织机构和岗位人员设置，采用系统化的方式，把目标分解、落实到每一个“最小责任主体”的过程。自上而下是目标管理必须遵循的一个基本原则，没有统一的方法论指导。

“由始至终”是指一个组织，在推动任何目标管理过程中，都会遵循“PDCA”的原则，建立计划、执行、检查和行动的闭环流程。

除了上述原则外，企业在确定每一个具体目标时，还需遵循的最佳实践原则是由彼得.德鲁克提出的SMART原则，即每一个目标应该是具体的、可衡量的、可实现的、相关性的和有明确期限的。

目标与风险分类框架

图9 《投资风险的分解思路》

目标与风险管理职责

目标与风险识别

在风险管理实务中，部分企业在推动目标-风险关联过程中，碰到了更加具有挑战性的问题：目标之间脱节（战略-年度分解-年度预算-年度绩效考核指标之间脱节）、目标缺乏稳定性（根据领导意志随时调整）、目标缺乏刚性（绩效目标在考核时会根据结果调整）、目标是按需定制（项目目标根据“可行”的结论倒推出来）、目标模糊（多为“进一步提升”、“持续增加”等模糊性表述）或者干脆没有目标。

部分企业要推动“全面风险管理”，需要围绕着企业目前真正在用的每一个目标，识别出影响该目标实现的不确定性事件及其对目标带来的影响。坦白讲，这是一件很难的事情。看到上面这些“更加具有挑战性的”问题，我们就能理解为什么很多主张“全面风险管理”的单位工作很难推下去。非不为也、实不能也。如果目标本身在实践中就只是一个“样子”，你能怎么办？因为要开展“全面风险管理”而对企业的“目标/绩效体系”进行重构吗？所以风险管理为什么强调“一把手”的责任？为什么强调“环境Context”的重要性？

真正解决这一问题的根本就在于通过培训让管理层理解这一基本逻辑，然后在其支持下先解决目标管理的前置性问题，再来讨论风险管理该如何实施。但这只是理论上的设想。实务中，根据我们的观察，企业解决这一问题开辟了另外一条路径。从2016年开始，很多企业开始寻找“专项”风险的机会，其目的就是缩小风险管理的“目标”范围，短期内放弃对“全面”、“系统”性主张，而是务实地聚焦在一到两个具体的目标上。

聚焦在专项风险管理的视野下开展该风险的识别，就是围绕着某一具体的目标，通过历史数据或经验法则，发现、承认并且描述出对具体目标实现可能产生影响的不确定性因素，以及这些影响的具体特征（正面/负面、持续的时间、表现的形态等）。

例如，企业明确了明年安全生产目标是0伤亡。围绕着这一目标，我们可以通过统计内部或外部同行的历史安全生产管理数据、分析出公司历史上的危险源来源、不同来源历史发生伤亡的频次或频率、统计导致不同伤亡事故发生的成因的类型（人机料法环）、历史上不同来源的控制失效的频次或概率等信息，确定明年安全生产风险的具体风险事件、并结合着评估时点的风险应对能力及控制措施的有效性，确定0伤亡目标下的重大或重要风险事件。结合着重大或重要风险的应对策略、方案及各类拟采取的人机料法环等新的控制措施，再评估实现0伤亡目标的剩余风险。安全生产领域，除了伤亡指标，很多企业还会制定违规处罚、媒体声誉等目标。

目标与风险偏好及容忍度

在既往的培训中，大家可能听过一句话：预算是内部控制的“总控制器”这一说法。这句话其实表达的意思就是目标与风险偏好及容忍度之间的关系。我们都知道预算是企业对目标进行系统化、量化管理的工具。预算管理的一个基本理念是“刚性”控制——例如费用预算控制要求“无预算、不支出”、投资预算控制要求“所有投资计划必须纳入预算管理”等。在预算目标中，很多企业会对关键指标设定“考核目标”、“底线目标”、“跳一跳目标”等。给具体目标划定出底限或上限，其实质就是管理层的偏好及容忍度的具体体现。

例如：企业在制定“资产负债率”指标的时候，会设定一个标准值。同时有的企业会考虑下年度投资扩张的策略及其不确定性，会设定一个“上限”——不管如何进行扩张，但不得超过这一上限。部分企业会考虑到面对市场机会的保守倾向以及对资本杠杆的小心谨慎，会设定一个“底限”——不管如何小心，但必须确保负债经营的比例不低于某个值。这种限额方向的选择，以及不同方向限额的容忍度（标准值与限额之间的差额），反映出面对同一个市场环境时，不同企业风险偏好的差异，其背后是管理层或核心领导团队的性格或特质。

这两年，我们接触到部分单位在探索企业风险偏好体系的建立。此项工作的实质就回到了我们在上面提到的“对企业的目标/绩效体系进行重构”，并且确保企业的文化基因中有一条“令行禁止”。金融机构的风险偏好体系能够运行起来的根本原因是目标及偏差是否在容忍度的监测是由监管机构来实施的，并且和处罚及业务准入相关联。而非金融机构缺乏这一法律环境，推动风险偏好体系的建立之路又回到了企业“一把手”的意愿上。

目标与风险准则

写在最后

到这里，我们要为本文画一个句号。我们回顾了近十年非金融企业风险管理主流方法论的更新发展的过程，并且结合现代企业目标管理的特点，探讨了目标与风险分类框架、风险管理职责、风险识别、风险偏好及容忍度、风险准则等工作的关系。这篇文章的初心，是希望给大家提供一个观察了解近两年企业风险管理实务发展的视角，推动风险管理工作方法论的更新迭代，在实践中寻找与企业主要目标关联的路径，提高风险管理专职团队的存在感，实现风险管理的使命——保护价值、创造价值！

目标与风险评估的实施、目标与风险监测指标（KRI）阈值及告警标准的设置、目标与风险管理效果评价等关系也非常密切。而风险管理与目标设定的风险、风险管理结果对目标绩效考核影响（风险加权指标）也是实务中的难点。因为篇幅关系，无法一一在此处展开。文中很多地方也是点到即止，没有更深入地打开。非常期盼诸位通过留言或其他方式，就本文中相关观点或未尽事宜，提出批评指正的意见，或者就您感兴趣的问题展开更深入的讨论碰撞。