企業做風險管控，就是努力降低風險發生的機率和風險產生的危害

1979年3月美國三里島核電站的爆炸事故，1984年12月3日美國聯合碳化物公司在印度的一家農藥廠發生了毒氣洩漏事故，1986前蘇聯烏克蘭切爾諾貝利核電站發生的核事故等一系列事件，大大推動了風險管理在世界範圍內的發展，同時，在美國的商學院裡首先出現了一門涉及如何對企業的人員、財產、責任、財務資源等進行保護的新型管理學科，這就是風險管理。

隨著經濟、社會和技術的迅速發展，人類開始面臨越來越多、越來越嚴重的風險。科學技術的進步在給人類帶來巨大利益的同時，也給社會帶來前所未有的風險。目前，風險管理已經發展成企業管理中一個具有相對獨立職能的管理領域，在圍繞企業的經營和發展目標方面，風險管理和企業的經營管理、戰略管理一樣具有十分重要的意義風險管理當中包括了對風險的量度、評估和應變策略。理想的風險管理，是一連串排好優先次序的過程，使當中的可以引致最大損失及最可能發生的事情優先處理、而相對風險較低的事情則押後處理。

企業風險管理是企業在實現未來戰略目標的過程中，試圖將各類不確定因素產生的結果控制在預期可接受範圍內的方法和過程，以確保和促進組織的整體利益實現。企業風險管理（ERM）框架是由Treadway委員會所屬的美國虛假財務報告全國委員會的發起組織委員會（COSO）在內部控制框架的基礎上，於2004年9月提出的企業風險管理的整合概念。ERM是一個由企業的董事會、管理層和其他員工共同參與的，應用於企業戰略制定，用於識別可能對企業造成潛在影響的事項並在其風險偏好範圍內管理風險，為企業目標的實現提供合理保證的過程。

定義

企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用於戰略制訂並貫穿於企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，併為主體目標的實現提供合理保證。確定減少的成本收益權衡方案和決定採取的行動計劃(包括決定不採取任何行動)的過程成為風險管理。

1

識別風險

風險識別是確定何種風險可能會對企業產生影響，最重要的是量化不確定性的程度和每個風險可能造成損失的程度。

2

控制風險

公司通常採用積極的措施來控制風險。透過降低其損失發生的機率，縮小其損失程度來達到控制目的。彭傑老師認為控制風險的最有效方法就是制定切實可行的應急方案，編制多個備選的方案，最大限度地對企業所面臨的風險做好充分的準備。當風險發生後，按照預先的方案實施，可將損失控制在最低限度。

3

規避風險

在既定目標不變的情況下，改變方案的實施路徑，從根本上消除特定的風險因素。例如設立現代激勵機制、培訓方案、做好人才備份工作等等，可以降低知識員工流失的風險。

要想規避風險必須學會怎樣預測風險。風險預測實際上就是估算、衡量風險，由風險管理人運用科學的方法，對其掌握的統計資料、風險資訊及風險的性質進行系統分析和研究，進而確定各項風險的頻度和強度，為選擇適當的風險處理方法提供依據。風險的預測一般包括以下兩個方面：

機率

透過資料積累和觀察，發現造成損失的規 律性。一個簡單的例子：一個時期一萬棟房屋中有十棟發生火災，則風險發生的機率1/1000。由此對機率高的風險進行重點防範。

強度

假設風險發生，導致企業的直接損失和間接損失。對

於容易造成直接損失並且損失規模和程度大的風險應重點防範。

常見的風險處理辦法

1--避免風險

比如避免火災可將房屋出售，避免航空事故可改用陸路運輸等。因為存在以下問題，所以一般不採用。可能會帶來另外的風險。比如航空運輸改用陸路運輸，雖然避免了航空事故，但是卻面臨著陸路運輸工具事故的風險。會影響企業經營目標的實現。比如為避免生產事故而停止生產，則企業的收益目標無法實現。

2--預防風險

採取措施消除或者減少風險發生的因素。例如為了防止水災導致倉庫進水，採取增加防洪門、加高防洪堤等，可大大減少因水災導致的損失。

3--轉移風險

在危險發生前，透過採取出售、轉讓、保險等方法，將風險轉移出去。

4--接受風險

小額損失納入生產經營成本，損失發生時用企業的收益補償。針對發生的頻率和強度都大的風險建立意外損失基金，損失發生時用它補償。帶來的問題是擠佔了企業的資金，降低了資金使用的效率。對於較大的企業，建立專業的自保公司。

常見風險如下：

機會風險：創業者選擇創業也就放棄了原先從事的職業，一個人只能做一件事，選擇創業就沒有其他的選擇，這就是所謂的機會成本風險；

技術風險：指在企業產品創新的過程中，因技術軒素導致創新失敗的可能性；

市場風險：指市場主體從事經濟洗活動所面臨的盈利或虧損的可能性和不確定性；

資金風險：指因資金不能適時供應而導致創業失敗的可能性；

管理風險：由管理者的素質，決策風險，組織風險所決定；

環境風險：指一項高技術產品創新活動由於所處的社會環境，政策，法律環境變化或由於意外災害發生而造成創新失敗的可能性。

內部控制與風險管理密不可分。風險管理是內部控制的核心，也是內部控制的目標，內部控制是管理風險的一種手段。因此在理解內部控制之前，首先要弄清楚企業有哪些風險，哪些是可以透過內部控制防範的，哪些是透過其他手段防範的。

首先，企業風險分類。

風險分類的方式有很多，跟內部控制聯絡在一起，可以把風險分為兩大類：可控風險與不可控風險。不可控風險主要包括政策變更、自然災害、宏觀經濟變化等。可控風險主要包括企業運營層面的風險。

內部控制一般來講控制的是可控的風險，即運營層面的風險。

從這裡也可以看到，企業全面風險管理講的是針對所有風險的管理，而內部控制講的是針對可控風險的管理，這是內部控制與風險管理的區別和聯絡。

其次，內部控制的目標。

廣義的風險是中性的概念，它既有可能給企業帶來損失，也有可能給企業帶來收益。因此，企業採取內部控制措施的時候，還需要把可控風險再進一步分類。

有的風險發生後，只能帶來損失，因此這類風險就稱之為“危害性風險”，比如煤礦坍塌、化工廠爆炸等。對於這類風險，內部控制的目標就是“盡最大努力杜絕風險”，徹底消除這類風險。因此這類內部控制的方案、手段比較複雜，成本很高。

有時候，企業在做內部控制方案的時候，會考慮成本與收益的問題。比如某類風險發生後帶來的損失很少，但是採取控制措施的成本很高，可能企業覺得不划算，乾脆就任由風險發生。

我的觀點是，千里之堤毀於蟻穴，企業的風險都不是孤立的，儘管某個風險表面上帶來的損失很小，但是這個風險很有可能關聯到其他方面，這種潛在的影響有時候是無法估量的，或者說在當時是無法預料的。因此，既然已經看到了風險，就必須想辦法控制，不留任何隱患。

繼續。

還有的風險既有可能帶來收益，也有可能帶來損失，比如企業研發某項技術，研發成功就能帶來巨大收益，研發失敗就會導致前期投入打水漂。再比如企業營銷廣告，打廣告有可能帶來業績增長，也有可能沒有效果。這類風險就是“不確定性的風險”。

還有一類風險，叫做“投機性風險”，它的特點就是企業主動去承受一定風險，獲取一定的收益，比如企業做一些投資專案。這也屬於不確定性的風險，不過它對企業來說更有誘惑，被高收益所誘惑。

風險與收益是戀生兄弟，高風險高收益。對於不確定性的風險，內部控制的目標就是“積極管理”，使之往好的方向發展。

最後，內部控制如何去做？

明白了內部控制與風險的關係及內部控制的目標，就要採取一些措施去實現目標。說到內部控制的實施，書上講了“五要素”，特別經典的說法。這裡無可厚非，五要素已經非常全面的把內部控制的流程概括好了（我一般是對管理學教材的觀點進行批判的，但是這裡沒得黑，五要素確實是全面）。

其實，按照五要素的要求，中規中矩的做風險管理，沒錯。在面對風險的時候，保持一顆敬畏的心，還是非常有必要的。根據我的理解，簡單介紹一下五要素如何去實施。

第一，內部環境。

不管做什麼事，一個有利的環境是必須的。內控的核心是制衡，就叫做令行禁止吧。古代行軍打仗之前，都會頒佈幾項紀律。我們有三大紀律八項注意。這就是塑造一種氛圍，讓大家聽話，這樣以後再下達什麼命令就容易執行了。如果一開始就一盤散沙，後面就控制不了局面了。

內部環境就是要塑造一種紀律性的氛圍。各個管理機構、部門都要明確自己的職責，權力恰當分配，一切行動聽指揮。

第二，風險評估。

包括識別風險、評估風險的影響、採用哪種應對方案。同時企業應該針對某項風險設定一個可承受度。為什麼呢，因為上面提到過，風險與收益平衡，一點都不想承擔風險，那麼收益就沒有了。

第三、控制活動。

就是一些具體的做法了。書上講的很詳細，此處不再贅述，可以看看書。這裡要考慮上面提到過的一個原則：衡量控制措施的成本與防範風險帶來的收益。控制措施可能有多種，當然是選擇成本最小的那種，但是不能因為收益太小而不去控制。

第四、資訊與溝通。

我覺得這一條用處最大的就是反舞弊。有些舞弊行為，有可能是幾個人串通，做出一套完整的流程，外部的人根本發現不了。因此設立舉報或投訴的機制，把這些隱蔽的舞弊行為挖掘出來。其實很多大案要案，不是外部檢查出來的，而是內部舉報的。

第五、監督。

就是看看內部控制措施有沒有執行，執行的如何等等。監督，貴在獨立和長效。獨立不多說了。長效的意思是，建立長效機制，就是說這種監督不是一時的，而是持續的，不搞定期檢查。

做企業風險有以下幾種：

第二：金融風險，08年次貸危機發生的金融危機，影響甚遠；

第三：稅務風險，指因為企業某些行為觸發稅法，或者偷稅漏稅。

因此，企業要生存，畢業做強做大。