什么是企业风险管理？（二）

六：公司如果没有进行企业风险管理，那么它们是如何管理风险的？

大多数公司都采用传统的风险管理模式，因此，在这些公司中，企业风险管理只是一个“未来的目标状态”，如下图所示：

从传统风险管理模式过渡到上述的企业风险管理模式不是轻而易举的事情。在传统的风险管理方法中，过程是断续的，缺乏完整性，风险也被看成是（力求避免的）消极不利的因素，临时的被动行为被普遍地认同，而且风险管理活动也以交易为导向（或以成本为基础），关注范围狭隘，依靠职能拉动。但是，在（COSO所定义的）企业风险管理中，整个流程是完整一体化的，是连续不断的。风险也被看成是积极有利的因素（因认识到成功的公司要抓住机会就必须得冒险），因此，采取主动积极的行为也在人们的预料之中，而风险管理活动也是富有战略目标（或增值）的活动，关注的范围较宽广，依靠流程拉动。传统风险管理模式侧重于管理与实物资产和财务资产相关的不确定因素。企业风险管理则侧重于管理企业的整个资产组合，包括无形资产（如客户资产、雇员和供应商资产）和组织资产（如差别化战略、独特品牌、创新性流程和专用系统等）。在业务活动的所有方面都已经采用了真正全企业思想的公司寥寥无几。在建设企业风险管理基础设施的初期阶段，公司一般都只是奠定了基础，包括确立共同的风险语言、建立风险管理监督结构和采用适用于整个企业的风险评估流程。少数公司已经逐步地迈向较成熟的阶段，如在管理市场和信用风险方面拥有丰富经验的金融服务业机构。有些公司只在特定的业务单位中实行企业风险管理，如在贸易部门中，对全公司的商品价格风险进行管理。

七：谁负责企业风险管理工作？

因为企业风险管理的重点工作是制定战略，因此，主体责任应当从企业的最高层开始，自执行管理层逐级地向下延伸，直到各业务单位和职能经理（执行管理层的职责将在第39-45个问题中予以讨论）。董事会负责进行监督（董事的职责将在第46-49个问题中予以讨论）。此外，首席风险官（或类似职权的高管人员）也将参与这项工作（其职责将在第50-52个问题中予以讨论）。视风险的性质及其复杂程度，以及有无跨职能、跨部门协调的必要性，相应地也可能还要设立一个或多个风险管理委员会。第53-57个问题依据风险管理监督结构分别对这些执行人员的职责做了解释说明。

八：公司可立即采取哪些措施来进行企业风险管理？

有些步骤，任何企业都可以立即开始采用。对于这些措施，我们将在本书中予以阐述。例如，企业可以：

1：采用某种共同的风险语言

2：进行企业风险评估，辩明企业的主要风险，确定其轻重缓急的次序

3：针对重大风险管理能力这个问题，对公司现行状况及希望达到的水平进行差距分析

4：清楚地表达风险管理的愿景、目的、目标和鲜明的价值主张，为进一步行动提供经济学上的理据

5：提升企业在1、2项重大风险中的风险管理能力，即先从高级管理层认为为成功实施经营战略有必要予以改进的某个风险领域开始

尽管可能还有其他的一些措施，但上述这些措施不失为一个良好的开端，能简化企业风险管理实施工作的环境。此外，梳理清点已完成的工作，及早地取得一些直观可见的成果，也很重要。关键是要把企业风险管理的相关活动同经营战略及计划相结合，简化工作，提高其针对性。

九：企业风险管理对规模较小、复杂性较低的企业是否也适用？

无论规模大小如何，所有企业都面临着经营风险。企业如果无视这些风险，就有可能会陷于险境。任何一个企业都不能满足于现有的风险管理能力而停滞不前，因此，每个企业都应该评估如何才能改善自己的风险管理。就这方面来说，COSO的《框架》为各企业提供了一个赖以比较其现有风险管理能力的标准，因此该《框架》对企业大有裨益。COSO在其颁布的《框架》中第13页上指出：

在实施[企业风险管理]某些内容的过程中，尽管一些中小企业所采用的方式可能与大型公司的有所不同，但它们的风险管理工作可能仍然行之有效。小公司的风险管理方法可能不像大公司的那样正规，组织体系设计也不像大公司的那样严密，但在每个企业中，基本的思想都应当存在。

十：为什么有些公司虽试行了企业风险管理却没有成功？

已经按COSO定义来进行企业风险管理的公司为数不多。例如，COSO的定义明确地指出：企业风险管理必须“在整个企业中实行、在每个层面和每个单元都要实行，包括从企业全局层面的综合角度来审视各种风险 。”除非在整个公司上下统一地实行企业风险管理，全面综合地关注所有的主要业务风险，否则就算不上是真正意义上的企业风险管理。此外，除非把企业风险管理的实施工作同企业经营战略的评估和制定工作紧密地结合起来，否则就也未达到COSO规定的要求。尽管有些公司已经开始走上了实施企业风险管理的道路，但已经走完整段路程的公司却几乎没有几家。

十一：实施企业风险管理就能确保企业会取得成功吗？

企业风险管理并不能保证企业就一定能取得成功。企业风险管理可以为管理人员提供更好的信息，更强大高效的流程，但是，它却并不能把一名拙劣的经理转变成一名优秀的经理。COSO指出，“由于各种现实情况不同，企业风险管理也会存在一些局限。例如，在进行决策时，人们的判断可能会有缺陷；在提出响应和控制风险的相关决策时，需要兼顾到相关的成本和利益；由于人为事故（如简单失误或过错等），中途可能会出现阻塞和故障；控制也可能会由于诸如简单失误或过错之类的人为事故，或者多人故意串通舞弊行为，而遭到规避，失去效力；此外，管理层是否能不受企业风险管理决策的约束，是否具有酌情自决的能力。”COSO的定义也提到了“合理保证。”据COSO所述，“合理保证”体现了“不确定性和风险同未来相关”的思想，对于未来，任何人都不可能做出准确无误的预测。”COSO在其《框架》第8页中还写道：“合理保证并不意味着企业风险管理经常会失败…。由于风险应对能满足多重目标，会形成一些累积效果，再加上内部控制也具有多功能的属性，因此，企业目标可能难以实现的可能性会得以降低……但是，一些无法控制的事件、人为过错或者报告偏差事故依然可能会出现。换句话说，即使是最有效的企业风险管理也可能会失败。合理保证并不是绝对的保证。”

十二：企业风险管理与一般管理有什么区别？

企业风险管理虽然是企业管理的一个组成部分，但是它并不能推动管理层的每项工作。COSO指出“在进行决策和采取相关管理行动的过程中，管理层要做出许多判断，这些判断虽然是管理过程的组成部分，但却并不是企业风险管理的组成部分。”COSO在《框架》第14页中举出了几个例子。例如，就有关的经营目标、具体的风险应对措施和企业资源的分配划拨等问题而言，管理层所做出的权衡选择是管理决定，而不是企业风险管理的一部分。也就是说，风险管理既不是对现行核心业务管理活动的总结反思，也不是对这些管理活动的充实补足。在企业风险管理的环境下，风险管理是与战略制定、业务规划、绩效测评以及其他业务内容的有效融合。

十三：“实施企业风险管理”是什么意思？

我们认为企业风险管理的实施应该着重于制定战略。正如我们在解答第85个问题时所述的那样，由于各企业的主要风险（根据企业经营战略情境而确定出来的）不同，同管理这些风险相关的各方面差距也不同，相应地，企业风险管理的实施工作也会有所不同。企业风险管理不是现成的、“包治百病”的灵丹妙药。管理层必须根据企业的规模、目标、结构、文化、管理风格、风险特性、所在行业、竞争环境和企业财力等因素来确定企业风险管理解决方案的性质。据COSO看来，上述因素和其他一些因素都会影响企业风险管理框架的应用方式。实施企业风险管理需要管理层采取以下步骤：

(a) 查明和了解企业面临的主要风险，进而确定赖以实施风险管理的广阔情境；

(b) 按照COSO《框架》，确定本企业的风险管理能力现状； 

(c) 按照COSO《框架》，确定本企业在风险管理能力方面希望达到的水平； 

(d) 分析并明确地表达出(b)和(c)之间的差距，以及消除差距需采取的改进措施。改进措施的性质随(i)企业的现有能力及经验和(ii)管理层致力于改进和超凡出色的意愿高低而定；

(e) 根据(d)中的分析，提出解决这个差距的经营模式，为全面的企业风险管理基础设施改进工作提供经济依据； 

(f) 制定相应的计划，以促进实现预期的企业风险管理基础设施能力，并处理同执行计划相关联的变革问题； 

(g) 进行必要的监督，给予必要的援助，确保整个工作得到有效地综合和协调；

有关启动企业风险管理工作的进一步建议，参见第85个问题中的解答。COSO指出企业风险管理只是“实现目标的一种手段，其本身并不是目标。”企业风险管理日益盛行的趋势表明：风险越来越错综复杂，相互关联，企业的经营环境丝毫没有变得更简单宽松。因此，在整个企业的基础上，对风险进行全面综合的评估和管理具有很大的裨益。进行企业风险管理的过程实质上就是一个施行教育、建立意识、强化认同、最终划分问责范围和形成主体责任感的过程。由于全球市场不断地变化和演变，风险也会随之不断地发生变化，所以，我们应该把实施企业风险管理工作看成是对持续改进活动而不是对单一事件的承诺。

十四：实施企业风险管理一般需要多长时间？

目前盛行将企业经营的各项计划行动看成是松散分立的活动，都有着明确规划的奋斗目标和严格界定的时间安排。尽管从项目管理学科的角度来看，企业风险管理当然也不例外，但企业风险管理却远不仅仅只是一个项目，而是一段旅程，也就是说它是一个发展的过程。在这个过程中，企业将风险管理同制定战略相结合，进而逐步地提升其风险管理能力的效果。实施企业风险管理所需的时间各不相同，随各公司风险管理能力现状、希望达到的水平和愿意投入的资源量而定。此外，企业风险管理需要有一个开放的环境，以便于风险及风险管理的相关信息能在企业内实现全方位的有效沟通，因此在许多组织中，可能会存在一些文化方面的障碍需要克服。例如，除了财务方面的障碍之外，企业风险管理还需要消除一系列职能或部门方面的障碍，以便于采取综合全面的、主动超前的和以流程为导向的方法来管理关键的业务风险和机遇。如果还有变革管理方面的重大问题需要解决，实施企业风险管理的时间将会延长。虽然某些具体措施，任何公司都可以采用，而且在12个月之内就有可能初见成效，但我们预计在全面地实行企业风险管理解决方案上，绝大多数公司都需要花上3-5年时间，才能最终实现它们的目标。

十五：是否有某种方法可以作为基准，确定出实施企业风险管理所需的投资水平？

正如第13个和第14个问题的回答中所述，就所需的投资水平很难做出一概而论。其中一个原因是，各公司的风险管理现状和希望达到的水平各不相同。另外，企业风险管理也是公司内每个主要人员的责任。COSO指出“企业风险管理受董事会、管理层和其他人员的影响”。企业风险管理构成了这些人员活动的一个部分。管理企业和管理风险必然会纠缠在一起，不可分离。因此，管理层必须根据企业的实际情况和环境条件来确定企业风险管理解决方案的性质。由于各公司的起点和终点都不一样，所以各企业的途径也都有各自的特点。对于确定实施企业风险管理所需的投资水平而言，一种有效的方法是，将企业的现行风险管理活动同某个框架（如COSO的《框架》）进行对比。然后把比较的结果作为可资参考的依据，授权高级管理人员小组界定风险管理在企业内的角色。在此评估的基础上，按实施预期的企业风险管理基础设施所需的人力、工具及其他资源，便可以确定出投资水平。在回答第85个问题中，我们提到企业有必要率先进行企业风险评估和就主要风险的管理进行差距分析，这也为估测投资水平提供了可资参考的情境。