什么是风险偏好？如何设定和使用？

在很多年前，我刚刚接触风险管理这个体系时，对风险偏好（Risk Appetite）这个词的理解并没有那么深，记忆中那个时候“偏好”这个中文词的应用并不是很普遍，所以我一度以为这个词是从西方词汇中引进过来的，并不是我们中文语境中自然发展出来的。

比如说现在的中国台湾地区还是称为风险胃纳，也从另外一个角度证明了这是一个引进词汇。

到底什么叫风险偏好？当时没有人能说得明白，可能现在还是有很多人说不清楚。

我记得当时在学校去吃饭的路上，还在考虑这个risk appetite如何理解，为什么吃饭的时候会想起它，是因为Appetite这个词的原意就是指“胃口”，直接理解risk appetite就是指“风险胃口”。

你好吃哪口风险，就是对风险偏好的原始理解！

我们看一下不同的文件对风险偏好的定义：

Risk Appetite

Amount and type of risk that an organization is willing to pursue or retain.

ISO GUIDE 73 Risk management — Vocabulary 2009

风险偏好

组织寻求并保留风险的意愿。

GB/T 23694：2013 风险管理术语

ISO在2022年更新了术语这个标准，虽然在征求意见稿里对这个定义做了修改建议：

Risk Appetite

Amount and type of risk that an organization is willing to avoid, pursue, mitigate, retain, and/or transfer.

ISO 31073 过程稿

但最后定稿的一刻还是沿用了之前的定义，更名为ISO 31073: 2022 Risk Management - Vocabulary。

之前的国标翻译的表述有点问题，建议更新版表述为：

组织愿意寻求和保留风险的数量和类型。

COSO在2017年发布的《企业风险管理 整合框架》中，也对风险偏好进行了表述：

风险偏好

组织在广泛的层面上为了追求价值愿意接受的风险类型和数量 。

COSO ERM Framework: 2017

两个组织在对风险偏好的定义比较接近，相信COSO也是借鉴了ISO的标准。

只不过ISO的标准中Pursue（追求）一词侧面体现了风险的积极作用（positive effect），和风险的中性定义更为契合。

所以，风险偏好包含了对风险的两层意思：

1、愿意承担什么风险？

2、愿意承担多少风险？

与风险偏好经常一同出现的，还有另外一个词汇，叫风险承受度（risk tolerance）也称为风险容忍度，一般用以形容承担多少风险的边界。

在2017年COSO发布的新版企业风险管理框架中，COSO用“可接受的业绩波动区间”代替了承受度的概念，需要的可以参考之前COSO解读的系列文章。

风险偏好到底如何设定？

经常被从业者问起，我们单位的风险偏好应该怎么设定呢？

首先，风险管理是自上而下的，风险管理工作的推行需要设定顶层设计，这是至关重要的，没有顶层设计的风险管理是无法承担重任的。

顶层设计内容之一就是风险偏好的设定，风险偏好是风险评估的前提，没有风险偏好，就没法设定风险评估中所谓的高、中、低，风险发生概率和影响虽然有一定的客观性，但归根结底还是践行了组织的主观意志，而风险偏好正是其主观意识的载体。

在COSO的企业风险管理框架中，至少有两级风险偏好需要企业决策机构和管理层明确。

第一级是组织使命、愿景及核心价值观传递出来的风险偏好信息需要作为企业定制战略的输入信息。

如果企业的战略没有支撑使命和愿景，或者违背了其核心价值观，那么这就是组织最大的风险！

第二级是组织战略制定完毕执行战略过程中，选择的实施路径或子战略违背了组织战略的风险偏好，这也是致命的风险。

所以，如果你问我你们企业的风险偏好如何表达？

你们企业的使命、愿景和核心价值观中表达的是最高级的风险偏好；

你们企业的发展战略中表达的是第二级的风险偏好；

依次向下继续分解。

所以，风险管理工作的第一步需要做的是进行组织的：

风险偏好解码

这才能保证风险管理工作有的放矢，不偏离主航道。

你决定想去哪里、成为一个什么人的时候，就决定了你不去哪里、你不想成为什么人！

这就是你的风险偏好。

在COSO2017年发布了新版企业风险管理框架后，专门起草过一个文件，讨论如何应用风险偏好实现组织目标。

其中有一个图给大家参考，一个组织如何想设定风险偏好、应该风险偏好，可以参考3个输入，6个输出。

风险偏好设定有3个输入：

1、组织使命、愿景；

2、考虑董事会和管理层的风险偏好；

3、公司战略性的方向、风险的概况和组织文化。

风险偏好的输出包括：

1、识别和评估公司发展的替代战略；

2、选择适合的执行策略来增强组织价值；

3、建立经营目标；

4、设立容忍度、度量和触发指标；

5、推动业务和文化的变革；

6、监控绩效，适时修订偏好和策略。

风险偏好内容也是区分风险管理和内部控制工作的重要内容，因为风险偏好是在风险管理工作范畴而非内部控制工作范畴。

如果我们的风险管理工作落入到了日常操作层面，那我们就脱离了风险管理的重要价值区域，落入了运营风险区，这部分工作和顶层的风险偏好不能很好的衔接。

希望风险管理工作者都可以从公司的顶层风险解码开始，这样才能不偏离公司价值创造的主航道，做我们工作价值最大化的事，这才是风险管理工作的精髓。

返回列表