企业风险管理讲的是价值创造和企业发展。我们前期简讯讨论的企业风险管理方针告诉我们如何有条不紊地取得这一目标。方法用起来可能不容易掌握，但更好的培训和工具会帮助我们让操作趋于完美。

风险管理和内控体系

接续讨论风险管理，我们便进入风险管理和内控体系的话题。若想保证内控得到实施，风险得到管理，风险管理和内控体系是一个企业最根本的体系。

风险管理目的为处理出乎意料的不确定因素（可以是积极的也可以是负面的），内控则为确保该做的恰当地做了。风险管理和内控是一个硬币的二面。因此，企业可以将二者结合在一起，组成一个整合的风险管理和内控体系，从而将企业引向设定的目标。

有效地运作风险管理和内控体系需要设置二个登记册：第一，内控登记册，记录为确保企业内部政策和程序的遵循而设计的内控措施，第二，风险登记册，记录经识别的风险和监督应对措施的执行。

设置恰当的内控登记册的前提是具备良好的内控政策和程序文档。内审可以针对登记设定的控制点做合规测试，评估在实际操作中是否真正遵守了政策和程序。如果业务体系已经发展成熟，企业的政策和程序一般来说无需经常更新，因此内控登记册的内容应该是相对静态的。

另一方面，设置恰当的风险登记册需要将风险管理原则和实践广泛地整合进企业的架构和程序中——包括管治、管理和运营。这种广泛的整合能够将风险管理众包给企业不同级别的不同功能部门的各层次成员。这样，风险登记册就能够有效地记录企业在各方面面临的风险，及时地发现、评估和应对风险。风险登记册反映了企业持续变化的环境、作业范围和背景情况，因此它的内容应该是相对动态的。

给予体系充分的配备

一个良好的业务体系或操作，它的效率和效果应该达到充分合适的水平。基本上，它应该足以应对该体系特定作业情况下的复杂问题。否则，它只是给人一种虚假的安全感。著名的1912年泰坦尼克号沉船事件之所以令人震惊，就是因为它出人意料。据报道，泰坦尼克号没有配备足够的救生设备，但船上的乘客感觉安全，相信他们登上的是当时最先进的客轮。

企业风险管理中，一个常见的做法是通过问卷调查或面谈，主要向高层人员搜集其对企业所面临风险的看法。从业人员需要注意，这种做法有自我解说的倾向，只是为符合某些合规要求而证明已经完成的工作。真正的风险管理是关注和应对可能会毁坏或创造价值的潜在情况。

另一个例子是购买现成的“风险总集”，这可能是个弄巧成拙的做法。风险总集是经过全面调查得出的企业可能会面临的风险清单，或可从可靠的来源获得某业务功能或某行业特定的风险总集。这样的风险总集有实用的教材和案例，可以是不错的参考工具。但是，企业必须注意自己所处的独特环境背景下可能出现的情况。泰坦尼克号的主管人员当然认识海面浮冰对航行中轮船的威胁，但这个已知的威胁最终还是酿成毁灭性的悲剧。认识风险是不够的，实际执行风险管理行动才能阻止真正危险的发生。

 

风险管理的艺术

风险管理不仅仅是一种态度；它是一整套行动，由了解自己所作所为的也知道什么会妨碍自己实现目标的人，有系统地实施。可以把他们称之为风险拥有者。这些行动是什么，风险拥有者怎样高效率地，有效地实施？

右图将这些行动分为四个类别。

开始是定义企业的环境：第一，识别风险管理系统覆盖的运营范围。第二，背景——定义企业架构和组成部分。最后，标准，即确定对企业有重要意义的事项的定义。

下个类别是风险评估的核心行动：识别和定位风险，就识别出的风险分析其影响和可能性，以裁定其重要性和资源分配优次的选择。

第三个类别是应对风险，即，对不适宜任由企业按惯常程序解决的，或不可忽视的风险，设计特定措施去应对。在这个节点上，需由多层级领导做出决断，调动人员和资源，采取恰当的行动，缓解风险或避免风险。

最后，是对所有经识别风险的记录、计量、分类等作出的决策出具报告。这个阶段所关注的是决定是否得到有效的执行。需要牢记的是，对董事会和企业管治团队来说，报告的关键点是风险管理体系的有效性。

我们将在未来的简讯里讨论风险所有者如何践行风险管理。