关于风险管理，管理层必须回答的十个问题

COSO组织在2017年更新的《企业风险管理框架》中，将风险管理定义为一种文化、能力和实践，并重点强调了企业管理层（此处泛指拥有风险管理顶层设计责任的管理机构和重要人员）对风险管理担负的主要责任，明确指出风险管理工作在企业是自上而下的推动过程，企业管理层的风险管理意识对整个组织风险管理的效果和能力培养至关重要。

我们很多企业虽然建立了风险管理职能，但是风险管理的职责并不是十分清晰，与各业务部门的关系划分也不是足够明确，这既有风险管理作为一种“实践”探索过程中的问题，也有管理层本身对风险管理工作的理解和定位有关。如果企业管理层对风险管理工作应该拥有什么样的职责、权限没有很好的把握的话，这种“自上而下”的工作推动就没有方向。

所以，让企业的领导层对风险管理有清晰的认识，是我们开展企业风险管理工作的前提，这个前提如果不具备，我们风险管理工作者的工作职责不清、工作关系不顺、工作价值也得不到应有的体现。

企业风险管理一直是企业管理层的职责，平衡风险和收益更是企业所有方和关键决策者必须要考虑的内容。

在当下不确定性为主基调的宏观环境下，管理层是否具备风险视角，是否可以以更加开放的态度讨论风险、管理风险，是现代企业管理向前发展的重要组成部分。

为了增强管理层的风险管理意识、强调其风险管理职责，近些年，一些国际组织的相关框架中对此进行了明确要求，如：

今天，我们选取了十个风险管理之问，这是美国德保罗大学（Depaul）战略风险管理实验室的两位资深风险管理教授，经过和众多企业管理者对话和研讨，梳理出的十个企业管理层最应该掌握的与企业风险管理相关的问题，与大家分享。

大家可以了解下，在国际企业的风险管理方面，管理层应该关注的有哪些内容？也可以问问我们的管理层，他们心中是否有答案。

一、本企业面临的会对企业实现战略和经营目标产生显著影响的前几大风险是什么？

管理层或者关键决策者是否清晰了解公司目前面临的重大风险有哪些，这些风险是如何得出的，不仅仅是心里猜测和估计，而是需要通过内外部环境、行业趋势、新技术发展等识别、分析、评估出来的，最关键是需要在一定范围内取得共识，这样才能行动一致。

关键决策者往往有过人的视野和格局，但最受限就是他/她（们）的时间属于稀缺资源，需要有职能支持进一步将其心中最担心的风险，用系统、规范的方式去实时进行信息收集、分析和管理。

这些事现在在企业有人干吗？

越高层的管理者越孤独，我们的“参谋长”们准备好了吗？

二、本企业的风险管理相关的程序/流程有哪些，能力如何？你如何知道它是有效的？

管理者对本企业和风险管理相关的程序/流程是否做到心中有数？

什么是和风险管理有关的程序和流程？

常规的风险控制可以用制度和流程进行固化，各项关键业务的关键控制点是否设置充足。对于各业务例外事项的报告程序是否都存在，例外事项的审批授权是否已经设置并有效运行。

例外事项是控制中最需要关注的，企业应该在各内部控制制度中考虑并设定规则。

对于风险管理和内部控制的专项制度、流程是否健全，建设、运行、评价、监督、考核是否都有规可依。

对危机处理、业务中断、资产保护等是否形成了专门的规则和做法。

企业是否有专门的职能对上述事项进行落实执行。

三、本企业的风险管理工作是如何融入战略制定、经营计划和决策中去的？

企业制定战略时是否考虑了对于其使命、愿景的支撑，是否了解当前战略的风险内涵？

年度的经营计划是否对不同场景进行了模拟，并恰当的进行了风险量化分析，并制定备选方案。

重大决策过程中，风险事项的分析和评估是否作为决策依据？风险的分析不仅仅是按照模板走形式，而是需要真正揭示决策的风险，并清晰了解决策后果处在预期的风险承受度范围内。

四、本企业风险管理工作的总负责人是谁？对他/她的职责、岗位能力要求是否清晰的做出了规定？

一般来说，风险管理工作的最终负责人应该是董事长或CEO，但实际上他会委托授权另一位高管来负责具体管理工作。

虽然二十五年前就有国际性公司设立的首席风险官（Chief Risk Officer，CRO），但是，目前这个岗位并不是企业的常规配置。现在企业设置有众多的CXO，其实，很多以风险为基础逻辑的Chief职能都可以合并为CRO，如风控、内控、法务、合规，如果二、三道防线放在一起监督的企业还可以包括审计。

无论如何，企业的风险管理工作需要有重要管理层人员负责，明确岗位和能力要求。

五、管理层对本企业的风险偏好和风险承受度是否都理解和同意？

企业的风险偏好和风险承受度最初都可以在使命、愿景中找到线索，在战略目标里进一步明确，而且跟着目标进一步分解到绩效和运营目标中去。

偏好和承受度指的是我们需要到什么样的地盘、从事什么的业务、以什么为边界为条件下完成目标。

风险偏好、承受度和目标一样，需要确保管理层理解一致并恪守，这对企业经营不会为了绩效目标突破边界至关重要。

合规要求一般都是在风险承受度的最垫底位置。

六、本企业的风险文化如何，接受程度如何，用什么方式可以进一步强化？

风险文化是企业文化的一部分，除了廉洁、保密、安全等比较具体的文化之外，就是整体人员的风险意识，这对风险管理也是至关重要。

前些年我们提风险无时不在、风险无处不在，其实是从风险文化的角度提出的。

目前我们正在对标世界一流，跨国企业的风险文化可以好好对一下，管理层是否有意识自上而下的推行风险文化的培育，允许公开讨论风险并鼓励不同意见的出现，也是管理风险的重要保障。

就像通用汽车上世纪的伟大CEO斯隆所说的：没有不同意见，就不做决策。

七、本企业如何掌握外部趋势和一些事件，来识别和应对新兴风险？

新兴风险（Emerging Risk）在当下巨变环境带来的非传统可认知风险，但往往会对企业造成毁灭性打击。

今年，特斯拉一举成为了汽车制造业最高市值的公司，横扫拥有百年优势的传统欧美日车企，汽车工业可是工业革命的皇冠，就这么被一个成立十几年的公司摘走了。

再想想几年前诺基亚手机的下场。

新兴风险，是管理层不得不认真面对的战略层面风险，对此，管理层是否有充足的思想准备。

八、本企业的考核与激励能否与企业的风险偏好和风险承受度关联？

要鼓励在符合公司风险偏好、不突破公司风险承受度的范围内实现绩效目标，公司的考核体系应该有所体系，不符合公司风险偏好和突破承受度的冒险业务，就算最后目标达到了也不应该被奖励，甚至应该被惩罚。

九、本企业对于和风险相关的信息沟通是否充分、及时、准确？

风险信息被有效传递既是程序和流程的规定，也属于企业风险文化的一部分。

开放式的风险沟通文化曾帮助摩根、高盛等成功躲过2008年金融危机，管理层应该对风险相关的信息沟通确保充分、及时、准确。

十、本企业和风险相关这些信息是否可以坦然、自信的提供给外部利益相关方？

君子坦荡荡，小人长戚戚，实事求是其实是一个很高的标准，特别是在企业经营不完美的时候，我们习惯隐藏和粉饰数据和信息，这是利用信息不对称进行作弊。就算经营结果不尽如人意，如果企业经营者做的无愧于心，面对利益相关方的质疑也会坦然应对，对待外部的监督也会表里如一。

这是风险管理的另一层要求。

如果拿这十个问题去问我们企业的决策者，他们能回答上来几个？

回答的越少表明我们的管理层在风险管理领域的进步空间越大。

当管理层的风险管理意识和水平都提上来的时候，就是我们企业风险管理人才大展身手的时候。

我相信，快了！