风险管理体系构建十步法

 在设计全面风险管理体系时，我们利用十步法。

第一步是现状调研和总体评估。这里就不多说了，诊断二字就可以了。

第二步，风险管理体系框架设计。首先风险管理体系与集团战略、集团管控之间的关系，集团战略决定集团管控，风险管理体系是集团管控的其中一个分支，这是我们大家要明白的，它们三者之间的关系是什么。风险管理在整个集团管控里面，是一个组成部分，那么集团管控，是战略的一个组成部门，所以他们二者之间的关系，就是这么一个母子孙的关系。

其次是风险管理建设的基本框架，就是一个文化，一个信息系统，所以风险管理的环境，尤其是风险文化的建设，风险信息系统的建设。风险信息系统不仅在ERP里有所表现，而且各种子公司的风险管理部，给母公司风险管理中心上哪些报告，母公司的风险管理中心给风险管理委员会上哪些报告，风险管理部门如何参与到各级会议里去，如何协助决策，都是这里面的一个组成部分。

最后，风险管理组织怎么设，风险管理组织怎么运作，作为一个组织和流程。这些设计完了以后，整个风险管理体系的基本框架就完成了。专门就是风险方面的一些认识、理念，一些行为等等。那么这是风险管理当中，各级组织，母公司下面有风险管理委员会，另外有风险管理部门，公司层面上有风险控制的部门，

在子公司里有风险控制的部门，就是子公司风险管理部或专员，在信息系统里面有风险管理的派驻机构，这样的话，风险管理部门才是完全的。另外呢，外部还有中介机构，外审等等。

第三步，风险信息系统的建设。首先是风险基础信息收集，整个所有其他公司发生过的风险，历史以来的风险的法律法规，风险管理方面的各种文件，做法全部收集在这里，另外整个公司的风险地图，就是公司面临哪些风险，所有罗列的风险全部画出来，另外风险数据库，把各种风险初始信息全部收集上来，甚至按照风险感觉宇宙，分门别类，你看成根目录就好了，一个目录，然后就不断地在这上面填空，发动各级员工，公司外部内部的，全部去收集，然后风险识别。

第四步，风险的识别和评估。首先是对内部风险、外部风险进行识别，具体识别手法可以有这么一些，比如头脑风暴，一些人坐在这里，我们法律上有哪些风险，大家一说，一个人记录，差不多就下来了，不是说这些记录下来就可以了，记录下来的都是原始记录，可能有些逻辑表述不清，还有些包容关系，母与子的关系，还有一些不搭介的等等，还要再识别。

其次是对风险进行评估，那么风险识别出来以后，对风险进行分析，这个风险它的成因是什么，类别是什么，这个风险可能发生的可能性高低，破坏性高低，对风险进行分析。

最后，把所有的风险根据它的影响度和可能性进行进一步的分析，最后对风险进行评价，这是刚才的风险分析。风险分析出来以后，比如说所有落在蓝的里面的都是重大风险，但是即使是重大风险，我们仍然要进一步打分，不能说重大风险都是等量齐观的，还有风险一，风险二，给权重评分，把重大风险找出来了。

第五步，风险管理策略。风险管理策略就是整个公司面对风险的基本的态度，为什么要制定最基本的态度呢，因为如果太害怕风险，对公司不敢向前，也有问题，太不害怕风险，傻大胆，基本上它的成功就是概率事件，我们认为首先要建立一个风险管理策略。

风险管理策略标准有三个，一是风险偏好，风险偏好在这里特指公司风险偏好，而不是个人风险偏好。有些大胆的领导，被分配到一个胆子很小的公司里去，行业很谨慎，千万不能出错。因此有些行业本身是低风险偏好的，不能冒险，有些行业是高风险偏好的，必须冒险。二是风险承受度，不同的公司风险承受度不同，不同的行业有不同的风险承受度，有些行业根本承受不了风险，风险太敏感了，放大杠杆倍数非常高，一下子就把你推垮了，而有些行业完全不所谓，有很强的风险抗击能力，比如说那种两元店，哪怕世界毁灭，两元店都干不掉，我在两元店里可以买到很多东西，甚至一元店里面可以买到非常好的指甲刀，像那种指甲刀，正常买的话要7、8块钱，甚至十几块钱，777牌的，我就可以在那里一元钱买到，而且一看，一剪就知道是正规牌子，它通过供应链，它的处理，总之把价格降到这么低了，有绝对的风险承受度。三是风险管理的有效性标准。要把风险管理到什么程度，有些有效性标准过高。

以上这三点是企业的最基本的出发点，这三点和企业所在的行业、战略、领导人、管理风格、文化，甚至宏观环境有绝对的关系。有了这三个以后，才谈得上企业的风险策略，风险策略就这几个东西，一是不设防或有计划地风险承担或者有计划地承担。二是少冒险或低风险。三是对冲。如果同时承担多个风险的话，风险与风险之间可能本身会互相抵消，我们进行风险组合，举一个最基本的例子，比如说摩根史丹利从华容手上买了30亿元的资产包，它就是典型的一个对冲，因为有些资产肯定是死资产，盘不活，但是毕竟会有些资产盘活，一旦盘活，那我就赚了。四是风险补偿，就是用风险补偿机制进行创新，风险补偿讲得很简单，如果要让承受高风险，必须高回报，如果让我低回报，必须低风险。最后风险控制，控制风险因素或发生的频度和程度。因为风险控制不住，所以只好控制风险因素，就风险的造成因素进行控制。具体就风险策略来讲的话，只能说这几大类是最具代表性的，不是说整个风险就这六大策略。

第六步，设计风险控制计划体系。简言之，就是整个公司所有的风险全部找出来以后，辩证性地分析，固定的风险我们就把它内控化了，就不管了，哪些风险设置到哪些部门，财务部、人力资源部，各自涉及到哪些风险，所涉及到的风险，从部门层面编制控制计划，当然这里的部门，也是指子公司，它的风险，只不过子公司的风险，需要单独再做一套。
部门层面设计风险控制计划，最后汇合成为公司风险控制计划，这很简单，当然不是简单加总，沿用我们刚开始讲的思路，总体层面，总部层面还有一些风险控制，各个部门层面有些风险控制。具体的风险控制计划，所有的风险控制计划，由两个部分构成，一个是内控方案。这里只需内部执行方案就好了，否则会引起歧义，先内部执行，因为有些是可以内控化，有些没法内控化，只能说内部执行，还有些风险要外包掉，风险的检查、管理。另一个是建立一个预警体系，预警体系在执行过程当中，最简单的预警就是，根据财务报表，根据数据，连续两三个月没达成目标，偏离目标的，我们就进行行动，但是广泛地来说，预警一直可以预警到先兆、因素。

第七步，导入全面风险管理体系。体系设计完后、方案写好后，并不意味着企业按这个操作了，其实企业里面导入一个体系是非常麻烦的，要把体系切换进制度，各种工作和岗位挂起钩来，原先的考核流程发生改变，动员等等。

体系导入以后，整个企业就建立了三道防线，第一道防线就是日常，由风险管理部门、内审部门和业务部门共同完成的，事前、事中的风险管理。第二道防线就是风险发生了以后，风险管理部门报告给风险管理委员会，这个事已经提到议事日程上，最后一道防线就是审计委员会和审计。

现在有一种做法是错误的，就是把风险部门和审计合并到一起，好就好在很直接，坏就坏在，如果这两个部门合并到一起，等于是一次性地通过两个人，相当于后卫当守门员，如果绕过后卫，基本上这个球就必进了，理论上这个防火墙应单独设。

第八步，各种风险处置方案的实施。企业里面一般会把前20大，或者前30大风险，每一个建立一个预案，这个风险用哪些数据来衡量，一旦出现了以后怎么管理，或者事前、事中怎么管理，领导人是谁，每一个领导人管理两三个风险，等于风险有分管领导。除了前30大风险会分别建立风险管理手册以外，后面的大类风险，用类来管理，这一类的怎么管理，而不会说具体的后面的31到50，51到80，那基本上就垮掉了，完全管不过来。每季度，至少每半年重新对风险排个队，罗列一下，排一下权重，看风险的高低。风险管理处置方案的实施，就看实施得是不是到位，是不是有效，在实施过程里面再检讨，主要就是PDCA。

第九步，持续进行监测与评估。整个风险体系导入了，但是执行体系的有效性如何，对它的有效性进行持续的监测与评估，提高执行的有效性。

监督和改进就是执行自我检测和自我评估，风险管理实施的有效性，发现并传递重大风险管理缺陷，根据变化加以改进，持续提升风险管理水平。我们要注意的是，它是个长期工作，不是短期内能完成的，它要求所有人管理素质相当高，基本上不是基础性管理可以想象的，要求素质也相当高，要监督，要动态修正，风险事项和业务流程。

第十步，优化风险管理体系。进行风险管理体系特别是风险管理能力的提升，因为我们特别强调，风险它是有主观性，风险在企业面前并不平等，什么意思呢？风险本身并不具备绝对性，不同的企业，面对风险会给它打上不同的分数。

尽管我们没法改变风险，但我们可以改变风险管理能力、分析能力、识别能力、处理能力、控制能力，我们没法控制风险，提升风险管理能力。其实一个企业风险管理系统的建设的成功标志，就是风险管理能力的高低，越高，我对风险越有办法，持续优化。

从根本上来说，风险管理是个内控的升级版本，它是个战略管理的升级版本。另外它追求的是一种混合式的经营，将固化的风险内控化，将动态的风险进行动态的风险经营，就是有些可以处理的就处理，有些可以利用的就利用，这是总体思维。一个企业建立风险管理体系的过程，是由低到高，爬坡的一个过程，在这个过程中企业通过风险管理体系的完善、风险管理能力的提升，来提高管控风险的水平，而不是对风险怎么样简单地去加以管理和控制。