企业为什么要做风险管理？

什么是企业风险管理（ERM）？

企业一般以营利为目的，从事相关的商业经营行为或运营管理行为。这种主动地商业经营行为或运营管理行为，既是对未知领域的开拓过程，也是对各类风险的应对过程。通常来说，风险的数量和影响程度与企业的绩效（performance）总是呈正相关。但是，有许多业务表现及前景相当优秀的公司，其管理层并未对风险的增加有直接的感受，因此向其讲解企业风险管理总有隔靴搔痒之感。这是由风险本身的概念及性质决定的。

1. 什么是风险？

风险的定义有一个从狭义向广义发展的历程。美国反欺诈财务报告委员会中的发起组织委员会COSO（Committee of Sponsoring Organizations）在2017年发布的《企业风险管理框架》中给风险的定义为：事项发生并影响战略和商业目标实现的可能性。

风险是中性的，造成的影响包括正面的和负面的。但以往管理层更看重风险的负面影响，认为风险是对企业经营或战略目标的损害。但其实风险也会产生正面影响——机会，近年来诸多成功的危机公关案例就是化风险为机遇的典型。因此，企业应当以更加全面的视角看待风险。

2. 企业风险管理的定义

早在COSO 2004年版《企业风险管理——整体框架》中，企业风险管理（Enterprise Risk Management，ERM）的定义为：企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在主体的风险容量之内，并为主体目标的实现提供合理保证。

而其在2017年版《企业风险管理框架》中的定义为：组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的文化、能力和实践。

可见，企业风险管理的定义是和企业对风险的认知同步提升的。若仅认为企业风险管理只是企业管理层在运营过程中加强内部管控，形成对经营或战略目标最终实现的“合理保证”，那么企业风险管理则只能囿于对法律、法规及规章等标准的遵守，对经营管理流程的构建，以及财务信息的可靠流通等方面，将企业风险管理与内部控制或合规之间的界限混淆，使其只能停留在管理者考量范围的次要梯队。但是，若站在企业文化建设、优化管理模式以及获取更多商业机会的角度，则可将企业风险管理视为企业治理文化、战略目标设定、绩效优化、信息沟通以及控制监控企业运行的根本方法之一。

3. 企业风险管理的内容

企业风险管理内容的表述在不同情境下总是不同的。例如在COSO 2004年版《企业风险管理——整体框架》中表述为：

四个目标：战略、经营、报告、合规；

八个要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

在ISO31000系列标准《风险管理——原则与方针》中的表述则是：七个构成要素：了解组织及组织环境、建立风险管理政策、确立风险管理职责、融入组织流程、调配资源、建立内部沟通渠道、建立外部沟通渠道。而在COSO 2017年版《企业风险管理框架》中，将其归纳为：五大要素：治理与文化、战略和目标设定、绩效（征求意见稿中表述为“执行中的风险”）、审阅与修订、信息沟通和报告。

综合上述三种表述可见，企业风险管理内容虽然表述方法不一致，但基本都涵盖了几个关键的内容：环境，目标，风险的识别、评估和处理，信息沟通等。而这些内容又体现了企业风险管理的逻辑框架，即通过加强自我认知和定位，技术性的展开风险管理活动，最终达到将风险管理融入企业管理，提升企业价值创造水平的局面。

早在2004年，COSO组织就发布了《企业风险管理整合框架》（ERM框架），希望从更高的层面建立一个体系来指导企业如何更好地防范风险、创造价值、实现目标。由于COSO组织在内部控制领域的至高声誉，ERM框架很快就在全球范围内引起了骚动，对企业风险管理理念的广泛传播起到了非常积极的推动作用。其实，在COSO组织发布其ERM框架之前，全球范围内就已经出现了泛风险管理、企业层面风险管理的概念，只是没有被全面普及和推广而已。中国企业风险管理的全面实践是以2006年国务院国资委发布的《中央企业全面风险管理指引》为标志，由此大家开始渐渐有了风险管理的理念。

在讨论为什么要做风险管理之前，我们想先阐述一下风险及风险管理的概念。所谓风险，即是不确定性对目标的影响。换言之，在谈论风险之前总是先要搞清楚目标是什么，如果没有明确的目标，那么风险也就无从谈起。在明确了目标以后，企业通常会实施一系列程序去识别风险、分析风险、控制风险，这一系列程序就叫做风险管理，它是一个持续的过程，并且渗透于企业的方方面面。

我们认为风险管理的意义，可以从宏观和微观两个维度去理解。

从宏观上看，企业风险与企业战略高度相关，企业风险就是影响企业战略目标实现的各种不确定因素，企业的战略目标不同，面临的风险也就不同。从这个维度理解，企业风险管理是企业战略管理的一个侧面，其应当在企业战略的制定过程中被应用。另一方面，风险和收益是并存的，一味地回避风险也就意味着回避了收益，所以我们必须想办法管理风险而不是逃避风险。当风险预示着机会时，风险管理能够帮助我们化风险为机遇，进而为企业创造价值。

从微观上看，风险管理是内部控制的前道程序，也有的理论认为，风险管理是广义的内部控制，但不管是哪种理论，都表明了两者的关系十分密切。我们的理解是，风险管理囊括企业内外部、多层次的各种风险，其中有一种企业内部的操作风险，即流程风险，是可以通过内部控制的手段加以管控的。从这个维度理解，风险管理不仅可以为企业的流程优化提供建议，同时也能够帮助企业完善内部控制体系，降低内部控制成本。

我们可以从以上两个维度的理解中得出结论，风险管理是一套管理方法，一种管理思路，它不仅仅是企业管理层或风险管理部门的职责，同时也是企业各个层级、几乎所有员工应当共同参与实施的一项能够为企业创造价值的重要活动。