【领教陪伴】张志强：构建风险管理体系，在不确定性中活久活好

大部分甚至90%以上的企业倒下都是因为风险管控的缺位。相信在风云突变的当下，企业风险管理对每一家企业而言意义都非同寻常。然而，你是否了解自己企业的风险，一旦危机出现该如何应对，有没有一套逻辑、方法、体系让自己的企业能在激烈的竞争中活好、活久？

▲张志强领教在领教工坊私董会小组做分享

企业风险管理体系的核心逻辑

过去几年，我们看到很多企业倒了，可以说绝大部分甚至是90%以上的企业都是死在缺乏风险管理上。企业的风险管理体系就是确定未来的不确定性，即在不确定性的环境下，尽量把不确定的事情确定下来。

风险管理几乎是所有上市公司和董事会最主要的功能之一，也是法律要求的功能之一。如果企业没有建立一个相对清晰的风险管理体制，董事会是失职的。同时，企业风险管理是一个常态化的工作，每年从董事会到各个部门都一定会做。

我把企业风险的类型基本上归为六大类： 战略、财务、市场、运营、管理、政府和环保。 值得注意的是，这一分类并不是绝对的，每个企业和行业的情况不一样，分类也可以不同， 关键是如何去界定风险，发现风险并建立应对措施。

企业 战略风险 更多的是关于企业的定位，包括行业选择、战略决策等。

比如，服装、手机、白电产品等门槛低的行业，核心竞争点在于价格，在同质竞争的情况下前三名之外的企业基本是没有长期盈利能力的。所以，一旦进入这些行业，就要意识到怎么避开风险问题。你要建立更强的相对竞争力，跻进行业前三。

但是，贸然进入新行业也是有风险的，比如尼桑、本田、丰田等非常优秀的日企在战略选择时都犯了一个错误——选择插电和氢电模式，结果今天全世界车企基本上走的是纯电模式，它们的未来生存竞争就有很大的风险。

可见，行业永远是围城，不在其中是不了解具体的风险点的。当然，行业没有绝对的好坏之分，虽然有些企业在行业细分领域也能长期盈利，但是行业的力量比任何一个企业在其中的力量要大得多。

市场风险就是竞争对手、市场、客户等变化带来的风险，如大客户风险、独家代理风险、竞争对手恶意攻击等。

作为一个企业家，如果你不知道危机突然从哪冒出来，就会出现羊毛出在猪身上的事。今天几乎没有人看报纸，再强，再伟大的报纸基本上也活不下来。诺基亚的塞班系统无法跟iOS系统竞争，结果节节败退，几年之内丢掉了世界第一的位置。应对市场风险需要专门有一部分人，花时间去真正打开思维，尤其是在今天的数字化背景之下，降维打击将会是全方位的，给业务带来的冲击方式更不一样。

运营风险属于生产、供应链等方面的企业内部风险，包括产品出现重大的质量问题，专利、技术、产品设计等保护不好，新产品开发落后市场，IT系统落后、遭遇黑客袭击等。一旦危机出现，你有没有一套成熟的应对机制能马上启动，有没有一系列备案能马上用于解决问题，很快帮助企业化解、应对。

常见的 管理风险 包括公司没有明确的愿景，战略和文化；核心竞争力丧失；人才培养不满足业务发展需求；管理体制不健全；合规及贪腐；关键技术人员离职等。

要注意，风险管控是一定要量化的。比如，如何量化解决“人才不能满足企业发展”的管理风险？假如企业的销售额要在五年内增长三倍，那么与之相匹配的人才需要实现200%的增长。但是人才发展跟不上业务（发展）的步伐，仅打折增长了50%，这时候就需要量化其中150%的差距所带来的风险。如果损失（机会）是1个亿，那么量化评估风险防范需要投入500万。对于企业而言，这500万是一个相对小的，也是可测量、可落地实施的数据。

另外就是 财务风险、ESG相关的风险 。需要注意的是，ESG的风险也越来越重。假如一个企业生产刀具原材料要用钨合金，钨是这个行业最核心的元素之一。但如果政策突然说生产中不许使用钨，怎么办？这就要求企业要有预案——做好换地方或替代材料的备案。

以上是企业的6大类风险，但需要根据企业自身情况来定。

总之，企业风险管理的总体原则是—— 分层负责，层层管理 。首先风险管理是董事会的职责，风险管理执行从公司的管委会开始，到各事业部、业务部门、职能部门，再就是工厂、国家、地区等都要分别管理，分别负责。而且风险管理既需要有年度计划，也要在日常工作中进行实时管理。

风险管控有两套循环（体系）： 风险确认，自下而上，层层叠加；风险管控，自上而下，层层管理 。自下而上是因为，压垮企业的最后一根稻草（风险）往往是小概率事件，但它通常发生在基层，在工厂（现场），不容易被发现，可一旦发生则会造成灾难性后果。自上而下是因为，企业风险管理一定是自上而下的，因为需要集团层面来整体把控（诊断），给予资源，给予KPI来落地执行。

另外， 危机有一个很大的特点，它出现的时并非是1+1=2而是指数级的叠加 ，或被称之为“蝴蝶效应”，即一个微小的变化能带动整个系统产生巨大的连锁反应。很多企业被最后一根稻草压垮，比如巨人、乐视，表面上是一个很小的导火索引发危机，实质上是更多深层次的问题累积叠加，所形成的破坏力。 一旦危机出现共振，企业基本上全盘皆崩。所以在做危机管控时，一定要考量叠加效应带来的影响。

简言之，风险管理要求我们在任何一个重大危机出现之前，都要有预案，要有一套应对风险管理的体系，一旦危机出现，如若应对不及时就会造成重大损失，如果有预案，应对及时就会转危为安。

凡是不能量化的风险，

一定不能实现管理

其实，任何风险都是可以量化的。我们认为凡是不能被量化的风险，就一定不能实现管控。所以，一定要想办法把风险变成可衡量的指标，才有可能产生解决措施，才有可能给予物力、人力等资源支持解决问题。那么，企业如何建立一整套风险管控体系来防范和降低风险？

首先，需要定义企业风险等级。根据风险影响程度，风险等级可划分为灾难性，重大、主要、较小/局部等不同级别。根据发生概率大小，可划分为小概率可能发生（小于10%），可能会发生（20%~50%），可能要发生（50%~70%），大概率会发生（大于80%）等不同情况。

▲某国际企业风险定义（百万欧元）

举一个国际企业的例子，这家企业的资产负债表是比较健康的，固定资产占比大概是40%左右，借贷大概有50%借贷，相对来讲现金流比较健康。在这种情况下，损失7500万，大概是当年净利的25%，若超过25%则会产生灾难性的风险。在1500万到7500万的区间属于重大风险等级。

此外，集团和事业部的业务可能是不一样的，所以在同一个风险等级框架之下，它们可能会负责不同的风险等级事件。

再就是，主要国家地区和中小国家地区是两个不同的风险管理板块，比如美国、中国、欧洲是主要国家地区的大市场，这些凡是有总经理负责的单元，会对所有的风险直接负责。

总之，风险量化一定是底限思维：一旦风险全方位爆发时，最坏的情况，最大的风险损失会是多少钱？各部门、各地区的承受底限是多少？7500万、5000万、2000万到1000万都是不同的等级界限。

▲某国际公司风险地图

在风险等级界定好之后， 要确定每一个风险事件发生的机率和影响 ，然后再将所定义的风险问题放到一个十六宫格里，形成企业年内的一张风险地图。需要指出的是，十六宫格中的风险问题的界定、划分、管控建议等是需要经过头脑风暴，共同讨论决定的。

举个例子，对公司而言，风险事件6即“转移定价的税务风险”到底意味着什么，为什么这一风险发生会造成5000万的损失？因为公司是国际性企业，转移定价风险会导致OECD的惩罚，一旦风险事件6发生公司要承担上亿级罚款的概率在50%~70%之间，因此它是可能要发生的较大风险等级，要用黄颜色来标注。

另外， 每个部门每年关于风险定义的问题建议最多5~8个（10个以内） ，一来被定义的风险问题太多导致无法处理；二来风险管控每年都要做，不用定太多。

面对潜在风险，很多时候会束手无策或不敢做决策，我认为标注红、黄颜色的风险事件需要进行处理，一旦放到这个地方，它就要变成董事会的重点项目，必须定时、定点来解决，不然风险会越拖越大、越拖越长。所以，每年董事会都要有这套风险管理体系。

因为风险管控不是一个人能够解决的，就算是发现风险的人也未必一定能解决风险，他一定要与直线的经理或者该业务直接负责人，来负责解决。

再往下走就是对风险的管控。风险管控是指对每一个风险要有防范措施，比如防火，要有非常具体的描述。假如工厂一旦着火会导致公司损失1000万，应如何防范？

首先要落实的是——建立所有报警系统；进行年度消防演习；确保消防通道畅通。其次，综合评估风险防范需要量化投入10万元；再次是，政策要落实到具体的人，由消防部经理负责在半年内完成。

▲风险管控措施、负责人及所需投资

如何推动风险管理落地？

理论一点来说，风险管理工作和审计、薪酬体系一样是常态化的工作，由董事会负责。董事会要成立风险管理委员会，委托其负责执行所有的风险管理，并向董事会汇报。

风险管理落地的关键行动之一是任命首席风险控制管官。这位首席风险控制官可以不要求全职，但要比较了解公司的结构情况，能够发现风险之间互相的迭代之处。更重要的是，他能够组织不同的地区、部门、国家组织进行研讨、畅所欲言，把公司的风险尽量暴露出来。

另外比较关键的是，他能够和董事会匹配资源，来指导、推进具体的分享管控措施落地。这是第一步。紧接着是要定期进行评估和更新（至少每年一次），并进行一些培训，因为员工需要知道风险管理程序，还有就是审计。

比如A公司的风险管控体系（见下图），为应对战略、财务、市场、运营、管理、ESG等六大企业风险，它具体落实三条防线来管理。

▲A公司风险管控体系

第一防线是事业部管理层，由事业部的老大（负责人）来管。

第二防线是职能部和服务中心，比如财务服务中心、法务服务中心、人事服务的招聘人员，职能部门是宣传部、公关部、技术部门等来具体负责。

第三防线是审计（可以是内外部审计），要不定期、不定时地进行审计。

所有风险管控条线都要向董事会汇报。一般而言，总部负责的是各种各样大的危机（重大事件），比如说突然工厂有人造成商誉损害、疫情、网络安全等由总部直接负责。诸如工厂局部着火了、停电等此类局部的紧急事件的应急预案会在事业部和地区进行。若局部风险升级，则交由总部负责。

风险管控的流程是，一旦风险发生以后第一时间是赶紧启动应急处理预案，启动应急处理，处理好之后还要学习和改进，保持业务正常运营。

不过， 企业风险管控与人相似——有的人胆大，有的人胆小——有的企业偏好高风险、高回报，有的企业偏好低风险、低回报。 如下图蓝线描述的是某一个企业风险偏好——低风险、低回报——取了一个低于风险而达到同样15%的增长的方式。

▲企业风险偏好

黑线企业则不一样，同样是15%的回报率，它必须要很高的风险才能达到，要么是它的增长太快，要么是它的行业风险太高，这都是有取舍在的。

但是，这些决策不是CEO一个人定的，而是企业文化的一部分。你的企业到底是胆大还是胆小，跑快还是跑慢，长期还是短期，风险是偏好会吸引不同的人才以及让你选择进入不同的行业，这都是企业的战略选择。

对领教工坊 “私人董事会” 感兴趣的企业家朋友可通过下方 “阅读原文” 提交申请