德勤的研究成果表明：在过去的10年中，超过半数的公司曾经经历过股价的大跌，超过80%的损失是由那些跨分部的风险交互作用而导致的。 

本期文章是德勤公司的一项新研究：超越风险管理，构建风险智能型企业。“风险智能”强调建立一种完善的风险管理实践、策略、评估等，更重要的是，要持有这样一种风险管理哲学：不仅要考虑规避风险，而且要将承担风险作为一种增加价值创造的手段。在本期文章中，德勤还提供了一个具体的行动策略：打造风险智能企业的五步骤。 

对于历史并不悠久的中国企业而言，这份报告有助于他们解决一个现实难题：如何才能走上风险管理的正确之路？ 

本文由德勤公司授权刊登，文章有删节 

中国企业风险管理的最大敌人是“人治” 

文 ｜ 本刊记者 侯燕俐 

“90％时间先想失败”。华人首富李嘉诚的这句名言曾被不少中国CEO推崇。但是，虽然中国CEO拥有较强的风险意识，却不善于风险管理。事实上，企业自初创之时就在与风险博弈，而随着商业环境的日益复杂和公司结构的不断壮大，企业的风险管理亟需战略制导、智能升级，从而化被动为主动。德勤会计师事务所企业风险管理服务华北区主管合伙人赵善强和北京合伙人薛梓源对“风险智能型企业”话题进行了解读，他们也提醒，“有的中国企业照搬西方管理的细节，却无法消化本质”。 

《中国企业家》：与传统的风险管理相比，风险智能有何不同？ 

赵善强：传统的风险管理是自下而上的风险管理，仅仅关注影响企业运营、财务报告及合法合规三方面的风险，主要集中在维护现有企业价值。而风险智能管理则是自上而下的，提倡有回报的冒险，尝试新产品、新市场、新商业模式、新联盟及并购。这就如同人的器官感受到环境变化之后，传导到大脑，大脑作出反应，采取行动。所谓智能，就是不仅拥有数据、信息，还要进行消化、思考，从而采取行动，然后成为一种智慧。 

《中国企业家》：与西方相比，中国企业在风险管理上有哪些具有“中国特色”的弱点？ 

赵善强：其实风险管理说到底还是一种企业管理。从2000年到2005年，企业界流行谈绩效考核。其背景是网络股泡沫、非典之后，业绩普遍不好。近几年，谈的比较多的是风险管理，业绩上去了，就要讨论如何避免“掉下来”。其实，绩效和风险是一个问题的两面。 

中国企业的风险管理特色与西方不同，很大程度上也与其管理特色相关联。西方是注重流程、系统，看其规章制度、风险管理是否系统化。而中国式的风险管理还是“人治”，精细化不够。出了问题，不问流程只问人。 

有的中国企业照搬西方管理的细节，却无法消化本质，没有“大图景”（big picture），其愿景、战略无法真正落地。在风险管理上，也是做了很多东西却没有思考。要知道，比数据关键的是背后的意义和思考。如果数据无法转化成思考、判断和行动，企业无法拥有真正的管理智慧。如何将自己的愿景和战略更加细化，落实到日常运营中以及如何将战略与流程、内控相结合，同时还要保证领先竞争对手一步，这都是中国企业在风险管理上需要思考的问题。  

《中国企业家》：作为专业人士，您对中国CEO在风险管理方面最大的提醒是什么？ 

薛梓源：首先，中国企业与国际日益接轨，海外以萨班斯法案为标志的监管力度加大，企业需要进一步内控风险。其次，企业自身要加强公司治理，公司内部的董事会、中层管理、各个部门的职责划分要具体到位。同时企业要根据自身发展要求，进一步优化管理制度。再次，员工的培训很重要，培养其发现风险和应对风险的主观能动性。 

总之，企业智能风险管理要考虑四个维度：一是自上而下，依据企业发展战略，针对性地寻找风险；二是自下而上，于日常操作中发现风险控制点；三是从左到右，从历史中总结经验；四是从右到左，由未来预测风险。 

应对企业 

“价值杀手”的新思维 

企业“价值杀手”频繁来袭。 

各种力量的综合作用使得管理层和董事会开始关注风险管理。其中最突出的原因可能就是最近铺天盖地的公司丑闻。同时，公司高管“跑路”的消息开始充斥着报纸和电视荧屏；没有任何CEO会愿意面对接踵而来的疯狂的媒体。 

从长期来看，那些有效管理企业现有资产风险以及未来成长风险的公司必将强于那些未能有效管理风险的企业。 

面对风险，如何才能走上一条企业风险管理的正确之路？ 

新思维：风险智能型企业 

我们随机地请某一企业的领导对“企业风险管理”（Enterprise risk management，以下简称ERM）进行定义，每个人都会对此有着不同的理解。这是因为，虽然每本商业词典里都有“ERM”这个词语，然而，对它却始终没有一个标准化的定义。随着人们越来越重视对企业风险的有效管理，企业的ERM实践范围正逐步扩大到更多的领域。 

一个完善的风险管理机制应该能够对企业所有的预期情况进行风险的评估和处理，能够突破模糊企业所面临风险的组织之间的界限，能够对所有潜在的重大风险进行预计并制定出相应的解决方案（参见图1）。 

正是由于几乎没有什么企业可以制定一个完善的风险管理机制，一旦一个完善的ERM得以完成，企业应该对其进行特殊的指定。因此，我们可以称这种典型的企业为“风险智能企业”。 

当然，实现这种高级的目标是一项长期而艰巨的任务。每一家企业都面临着独特的挑战，他们的竞争力及其所拥有的能力也各不相同，因此，他们会发现他们在完成这个任务的道路上所处的位置各不相同。然而，那些“风险智能企业”都有着共同的特征，如下所示： 

● 要形成这样一种风险管理实践：贯穿于整个企业，并在企业内部所谓的那些大的、成熟的“竖井silos”之间建立联系。 

● 要制定这样一种风险管理策略：涉及企业各个层次的风险，包括行业特有风险、合规性风险、竞争力风险、环境风险、安全性风险、保密风险、持续经营风险、战略风险、报告风险以及经营风险。 

● 要建立这样一种风险评估过程：着力于企业的弱点，并强化一贯强调的风险发生可能性。 

● 要树立这样一种风险管理方法：风险管理不是单独地去考虑某一件事情，而应该考虑一系列的事件，以及若干风险之间的相互作用。 

● 要形成这样一种风险管理实践：将风险管理融入整个企业文化，这样风险管理策略以及决策的制定就可以发展成为一个全面控制风险的过程，而不是在事后才考虑风险的因素。 

● 要持有这样一种风险管理哲学：不仅要考虑规避风险，而且要将承担风险作为一种增加价值创造的手段。 

上面列出的这些条件您可能并不熟悉，但是我们坚信：这些都是一个风险智能企业所必备的条件，我们将在后面对这些条件逐一进行详细的讨论。 

对风险的重新定义 

在发展智能风险管理之前，我们首先要了解“风险”本身。对风险的定义已经有很多了，我们分析并消化吸收了许多，并结合我们自己的看法，提炼出如下观点：风险就是遭受损失的潜在可能。这种可能性是由严重影响企业目标实现的事件或一系列事件引起的。 

请注意，这一定义不仅注重对企业现有资产的保护，而且也关注了企业未来发展的目标。也就是说，智能风险管理不仅涉及避免某些消极事项的发生的需求（如：阻止电脑黑客偷走你的客户信息数据库），还涉及获取某些积极信息的需求（如：成功地实现对被并购公司的整合）。风险智能企业将风险不仅看作是向下的一种弱点，也把它看作是向上的一种准备。 

这种区别非常关键：风险智能企业认为，预见并对一个市场机会作出反应与对一个潜在的破坏性的商业事件做好准备是同样重要的。 

风险智能企业的另一个重要的特征是，它们可以将风险的危害性和风险的交互作用与概率结合起来。在传统的风险管理模型中，概率是十分重要的，而且被很好地应用于模型中。事实上，许多风险的发生是有规律的，因此可以使用统计技术有效地加以模型化。然而，概率对于那些非常规发生的风险则显得无能为力。如：某些事件极少发生或根本没有前车之鉴，某些规则是未知的或变更得十分频繁，某些风险由外部原因导致而不受任何个人或企业的控制。 

以卡特里娜（Katrina）飓风为例：概率模型清楚地显示，新奥尔良每百年至少要经历三次大飓风的侵袭。但是这些模型并不能确定地反映出飓风到底将在哪一年登陆，也不能很好地预测各种风险混在一起的情况。在这种情况下，风险的危害性和风险的交互作用应当在风险评估及管理模型中被评价为重要的水平。 

“我们暴露的弱点有多大？” 

一种可以评估高影响力/低可能性的事件的方法是运用系统性规划，它可以强化统计模型的作用，并帮助企业对特殊事件的发生做好准备。系统性规划可以让经理们回答这样一个问题：“什么可以打乱我们的计划？面对它，我们暴露的弱点有多大？” 

企业长期以来一直在做预测和预算，尽管是以一种固定的模式来做的，仅仅考虑小范围的结果，仅仅关注直接的、底线的影响。不幸地，这种局限的观点会使得企业在面对那些未预期的重大情况发生时——无论是好的还是坏的——手足无措。 

风险智能企业认为，例如，名誉的损失或顾客群的损失或面对需求的增长而产生的生产力的损失，都会导致间接的、长期的影响。类似的，这些企业会在更广的范围内考虑风险的诱因和影响，而不是仅仅从财务上的影响来考虑。一旦潜在的一系列风险被发现，也就意味着出现了一连串的“扳机”（例如货币量降到了某一界限之下，竞争企业获得了某一部 该内容可能有会员内容，需要登录查看全文，点击这里在顶部登录