后清王朝新中国:谈风险管理原则

谈风险管理原则

概述

古人讲：祸兮，福之所倚；福兮，祸之所伏。任何事，都处于“变”与“不变”之间，“变”是绝对的，“不变”是相对的。

“变”是不确定的，风险就是不确定性对目标的影响。由于现代社会活动甚为复杂，在人类活动中，不确定因素如影随形，每个人及各行各业每天都必须面对各种不同的风险。

就企业来讲，所有类型和规模的组织，都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素的影响。如：企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、变更管理、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等，这些活动实施都存在不确定的因素，由此可能出现在特定条件下给定区间内实际结果与期望结果之间可能的负差异。

风险管理就是运用系统的、流程化的框架，通过识别、分析、评价风险以及处理风险，将其风险控制在可承受的范围内。

风险的特性可概括为：

客观性——“失控的变化”；风险是波动的结果（系统波动、环境波动；正常波动；异常波动）；风险发生的根本原因在于“变”；

损益性——可能带来收益或损失，通常具有危害。

偶然性——可能发生，可能不发生；随机发生；

可变性——多种因素作用的结果；因素的时空变化导致风险动态变化；

非结构性——人们对风险根源及其复杂的作用机制认识的有限性；

可控性——通过监测和预防，可以减少或增加发生的可能性，降低或扩大危害。

风险管理就是指导和控制某一组织与风险相关问题的协调活动。风险管理通常包括风险评估、风险处理、风险承受和风险沟通。风险管理目标就是消除和减少不确定性（波动），改进系统以应对变化。

什么是风险管理原则

    ISO31000:2009提供了风险管理的原则和通用性指南，风险管理原则是ISO31000标准的重要内容。风险管理系统像质量管理系统一样，ISO31000建立了一些为使风险管理变得有效而需要满足的原则。

风险管理原则是以管理原理为依据考虑管理者、管理对象、管理环境及管理任务的要求而制定出来的进行管理活动应遵循的准则。

ISO31000标准主要包括6个部分：0前言，1范围，2术语和定义，3原则，4框架，5流程。标准的核心是原则、框架和流程。

标准中规定的风险管理原则11项，包括：

原则一：风险管理创造并保护价值

原则二：风险管理嵌入组织的管理过程

原则三：风险管理支持决策过程

原则四：明确风险管理涉及的不确定性

原则五：风险管理是系统的，有组织的和及时的

原则六：风险管理是基于最可用的信息

原则七：风险管理是定制的

原则八：风险管理考虑人文因素

原则九：风险管理是透明的和包容的

原则十：风险管理是动态的，迭代的和适应环境变迁

原则十一：风险管理有利于组织持续改进

企业实施风险管理的根本目的在于：降低风险，实现企业目标，增进企业价值，实现可持续经营。

风险管理原则作用

ISO31000标准给出的描述风险管理原则、风险管理框架和风险管理流程之间的关系图。简略的可以表达为：

风险管理原则---风险管理框架---风险管理流程

    从关系图中可以看出，风险管理原则是风险管理框架的建立，风险管理过程的运作的总纲和总要求，是为使风险管理变得有效而需要满足的基本原则。

风险管理原则，是对现有风险管理经验的总结，强调了不确定性的正负两方面的作用，突出了创造价值，规避风险、持续改进的作用，强调了风险管理要结合实际、管理不确定性、嵌入组织管理流程等

风险管理的作用，是用来规范、指导实际管理工作的。

风险管理原则内容和含义

原则一：风险管理创造并保护价值

风险管理以控制损失、创造价值为目标，有助于组织实现目标、取得具体可见的成绩和改善各方面的业绩，包括人员健康和安全、合规经营、信用程度、社会认可、环境保护、财务绩效、产品质量、项目管理、运行效率和公司治理等方面

理解：

风险是客观存在的，任何组织都面临风险，组织的所有活动都涉及风险.风险会影响组织目标的实现。

风险管理的根本目的在于：降低风险，实现企业目标，增进企业价值，实现可持续经营。

这项原则的价值在于风险管理的目的就是为了创造并保护价值，控制损失。

风险管理就是通过考虑风险及风险对目标的影响，采取相应的措施，实现组织期望的绩效，这些绩效可以表现在人员健康和安全、合规经营、信用程度、社会认可、环境保护、财务绩效、产品质量、项目管理、运行效率和公司治理等方面

风险管理有助于目标达成和绩效的明显改善

在组织的运营活动中，机遇和威胁并存，风险管理就是要趋利避害，创造价值。在某些特定领域，如金融业、从风险管理的角度出发，币值波动既能造成潜在损失，又是可能盈利的机会。因此风险管理过程越来越多地被认为是既要关注不确定因素带来的消极影响，又要关注这些不确定性因素的积极影响。

案例：许多老板经常说的一句话“战战兢兢，如履薄冰”。能够识别风险，并能规避风险，有助于目标的顺利实现。

原则二：风险管理嵌入组织的管理过程

风险管理不是独立于组织主要活动和各项管理过程的单独的活动，而是组织管理过程不可缺少的重要组织部分，包括战略规划、所有项目、变更管理过程。

理解：

风险管理不是单独的活动，应是组织所有过程中不可分割的组成部分。

贯穿于整个企业。由企业中各个层级的人员实施。

旨在识别将会影响企业的潜在事项，并把风险控制在风险容忍度以内。

组织的管理是一个综合管理，风险管理是组织综合管理的一个组成部分。

风险管理是一个管理学科，风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中，如：企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、变更管理、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等。

案例：无论什么流程，实施过程都存在不确定性，风险是伴随过程的运作发生的，所以风险管理是过程不可分割的一部分，如：采购，不合格的风险、不能按期交付的风险、成本风险等。

原则三：风险管理支持决策过程

组织的所有决策都应考虑风险和风险管理。风险管理旨在将风险控制在组织可接受的范围内，有助于判断风险应当是否充分、有效，有助于决定行动的优先顺序并选择可行的行动方案，从而帮助决策者做出合理的决策

理解：

风险管理过程就是一个决策过程。

风险识别、风险分析和风险评价是为了认识、评价风险管理单位的风险状况，解决风险管理中的各种问题，制定管理风险的决策方案。风险管理目标的确定、风险识别、风险衡量、风险评价和风险控制等，都是为了确定最终的风险管理方案。从这一角度来看，风险管理过程实际上是一个管理决策过程　

案例：风险总是伴随决策，比如投资风险、新产品开发风险。

原则四：明确风险管理涉及的不确定性

风险管理明确的考虑到不确定性及这种不确定性的性质，以及如何加以解决。

理解：

风险是不确定的，否则，就不能称之为风险。

风险的不确定性指：

（1）发生与否不确定；

（2）发生的时间不确定；

（3）发生的状况不确定；

（4）发生的后果严重性程度不确定

风险管理就是要确定这些不确定性，做出对策，降低风险的影响，确保目标的实现

案例：风险是不确定，但应规律。比如：火灾风险，他必须具备燃烧物的数量和点燃条件才可能发生，我们只要控制燃烧其中一个条件不让他达到临界点，那么火灾就不会发生。

同时，我们有时可以控制不好的，推动好的，使发展向我们期望的方向进行。

原则五：风险管理是系统的，有组织和及时的

系统的、结构化的方法有助于风险管理效率的提升，并产生一致、可比、可靠的结果

理解：

风险管理是一个过程，就符合过程管理的原则，组织的风险管理是由许多风险管理过程组成，在风险管理的过程中，要将多个风险管理过程按照一个统一的风险管理系统来管理，这样能够取得最优的效率和结果

组织体系是风险管理的保障

风险管理是及时的，有组织的

案例：风险管理是有策划、有组织、有措施的管理活动，就像我们质量体系的防错措施。

原则六：风险管理是基于最可用的信息

风险管理过程要以有效的信息为基础。这些信息可通过经验、反馈、观察、预测和专家判断等多种渠道获取，但使用时要考虑数据、模型和专家意见的局限性

理解：

风险管理过程是以信息为基础的。风险的各个过程要收集大量的信息，确保风险识别的充分性和风险决策的有效性。

组织应该建立获取风险有效信息的渠道，可以通过各种渠道，包括经验、反馈、观察、预测、专家判断等获取有效、有用的信息，确保风险管理过程的充分性和有效性。

在利用收集到的各种信息时，要考虑各种信息来源的局限性。确保信息对决策的有效支持。

案例：风险管理信息的收集、分析和利用很关键，安全评价工作经常遇到。

原则七：风险管理是定制的

风险管理与组织的内外部环境及风险状况是匹配的

理解：

这项原则的价值在风险管理应该是适宜的。

风险管理与组织的内外部环境有关。风险管理与组织的行业、产品、经营模式、客户、竞争对象风险水平等相适应。

组织的风险管理与组织所承担的风险有关，受组织的文化、地域、历史、信仰、人员等人文因素的影响不同的组织风险偏好不一样，风险标准不一样，风险管理的决策和风险实施就不一样。

案例：风险管理措施是量身定做的，一个企业不同于另外一个企业，主要在于他们的过程、产品和管理习惯不同。遇到的风险也不同。如危险化学品企业、建筑企业、电力企业。

原则八：风险管理考虑到人类和文化因素

风险管理意识是可以促进或阻碍组织目标的实现的内部和外部人的能量、观念和意图

理解：

组织应该在内部营造一种具有风险意识的企业文化，培育风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理机制。

全体员工尤其是各级管理人员和业务操作人员应通过多种形式，努力传播企业风险管理文化，牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险。

案例：《中央企业全面风险管理指引》针对风险管理文化作了很好的阐述。

原则九：风险管理是透明的和包容的

利益相关方、尤其是组织各层面的决策者适当、及时的参与，确保了风险管理保持相关和先进性。参与过程也允许利益相关方适当地发表意见，并将其观点考虑到风险准则的确定中。

理解：

风险的利益相关者包括组织的所有人员。

在组织的风险管理过程中，风险管理的决策者要参与分风险管理过程，要和风险管理过程的人员进行充分的沟通，要在风险管理的各个环节明确要求和准则，及时掌握风险动态，做出准确的决策。

风险管理不是一个人的事情，也不是一个风险管理部门的事情，是全体风险利益者的活动，因此，所有的风险利益者要在各自职责的基础上，广泛参与组织的风险管理活动，表达自己的风险诉求，确保组织的风险管理和风险决策考虑全体员工的利益。

风险管理过程要进行充分的协商和沟通，确保各方的观点能采纳，确保各方的利益能保证。当组织在重大风险事件的风险决策过程中，各方尤其要充分沟通，确保决策的有限性和针对性。

案例：风险管理是整个企业的事情，实施需要全员参与，从外部来讲它涉及利益方，他的决策、措施应该关注大家的关注，措施让大家都明白并实施。如：汽车行业中福特要求将风险管理体现在供应商的体系，风险概念、防错办法等。

原则十：风险管理是动态的，迭代的和适应环境变迁

由于内部和外部事情发生、环境和知识的改变，以及监督检查的执行，有的的风险会发生变化，一些新的风险可能会出现，另一些风险则可能会消失。组织应持续不断地对各种变化保持敏感并做出恰当反应

理解：

风险管理是适应环境变化的动态过程，其各步骤之间形成一个信息反馈的闭环。随着内部和外部事件的发生、组织环境和知识的改变以及监督和检查的执行，有些风险可能会发生变化，一些新的风险可能会出现，另一些风险可能消失。因此，组织应持续不断地对各种变化保持敏感并做出恰当反应。组织通过绩效测量、检查和调整等手段，使风险管理得到持续改进。

案例：清洁生产中的分析和措施，企业绩效提升管理，都关注了环境条件动态，措施的持续迭代。

原则十一：风险管理有利于组织持续改进

组织应制定和实施战略，以改善组织各个方面的风险管理水平。

理解：

风险管理过程是一个持续改进，动态更新的一个过程。

风险管理要能够提高组织的风险管理意识，改进对机会和威胁的识别，有效配置资源，改善运营效果和效率，增强组织的生存和持续发展的能力

第4章的框架为组织风险管理提供了持续改进的框架。

案例：体系框架和流程，描述了他的运作如PDCA过程，风险管理不是一劳永逸的，他随企业经营活动的开展而展开。不断关注新的风险，采取措施。如企业危险源管理和污染源管理。

体会

作为一个多年从事质量管理的工作者和体系认证的从业人员，深感学习风险管理的重要。虽然从事安全评价工作积累些经验，但由于过去接触该标准不多，只能粗显得谈些学习心得。

在认证专业里，OHSAS18000标准包含了风险管理在职业健康安全专业领域的应用，ISO22000标准包含了风险管理在食品安全专业领域的应用。作为通用性标准和管理工具，可将风险管理引入EMS和QMS中。

在认证行业，机构有机构的经营管理风险，审核员有审核风险。近年来行业内追求效益的风气，认证只关注结果，忽视了体系的有效性，造成了认证信誉的下降。

让全体认证、审核从业人员，提高风险认识；让认证机构提升风险管理，必能提升认证的有效性。