该帖子同步发自：(华彩咨询的博客  访问该博客)

作者：华彩咨询集团总裁——白万纲

                                                  联系作者：mars.bay@china-co.com

13818181068

    那么在设计全面风险管理的时候，我们利用这么一个十步法，第一步是现状调研和总体评估，就不多讲了，一句话诊断二字就可以了。第二步，风险管理体系的一个框架的设计。首先风险管理体系与集团战略管控之间的关系，集团战略决定集团管控，风险管理体系是集团管控的其中一个分支，这是我们大家要整明白的，它们三者之间的关系是什么。你们看这里就知道，控制这个里面，集团战略控制，制度输出与平台共享控制，内控控制，风险控制，所以风险管理在整个集团管控里面，是一个组成部分，那么集团管控，是战略的一个组成部门，所以他们二者之间的关系，你们就很好摆了，就是这么一个母子孙的关系。其次是风险管理建设的基本框架，就是一个文化，一个信息系统，所以风险管理的环境，尤其是风险文化的建设，风险信息系统的建设。风险信息系统不仅在ERP里有所表现，而且各种子公司的风险管理部，给母公司风险管理中心上哪些报告，母公司的风险管理中心给风险管理委员会上哪些报告，风险管理部门如何参与到各级会议里去，如何协助决策，都是这里面的一个组成部分。最后风险管理组织怎么设，风险管理组织怎么运作，作为一个组织和流程。这些设计完了以后，整个风险管理体系的基本框架就完成了，和你写的部分如果有出入的话，调整一下，调整不及再说了。

    那么集团风险管理体系基于集团管控，刚才我们讲了，它是一个母与子的关系。风险管理文化，就是文化当中，对于风险的这个部分，风险文化是企业文化其中的一个层面，专门就是风险方面的一些认识、理念，一些行为等等。那么这是风险管理当中，各级组织，母公司下面有风险管理委员会，另外有风险管理部门，公司层面上有风险控制的部门，在子公司里有风险控制的部门，就是子公司风险管理部或专员，在信息系统里面有风险管理的派驻机构，这样的话，风险管理部门才是完全的。另外呢，外部还有中介机构，外审等等。

    风险信息系统的建设，首先是风险基础信息收集，整个所有其他公司发生过的风险，历史以来的风险的法律法规，风险管理方面的各种文件，做法全部收集在这里，另外整个公司的风险地图，就是公司面临哪些风险，所有罗列的风险全部画出来，另外风险数据库，把各种风险初始信息全部收集上来，甚至按照风险感觉宇宙，分门别类，你看成根目录就好了，一个目录，然后就不断地在这上面填空，发动各级员工，公司外部内部的，全部去收集，然后风险识别。

    风险的识别和评估，首先风险评估，内部识别，外部识别，然后对风险进行评估，具体识别手法可以有这么一些，不用理解得这么深刻，因为你们能把我们产品推介出去就好，但是一定要知道来龙去脉是怎么回事，大脑里面有一些意识，讲的时候你就知道，底子在哪里。我们讲出1%的话，基本上就是小专家了，10%的话就可以挣钱了，就可以开课了，这是老实话。首先可以用这些手法风险识别，比如头脑风暴，一些人坐在这里，我们法律上有哪些风险，大家一说，一个人记录，差不多就下来了，不是说这些记录下来就可以了，记录下来的都是原始记录，可能有些逻辑表述不清，还有些包容关系，母与子的关系，还有一些不搭介的等等，还要再识别。

    那么风险识别出来以后，对风险进行分析，这个风险它的成因是什么，类别是什么，这个风险可能发生的可能性高低，破坏性高低，对风险进行分析。再进一步，把所有的风险根据它的影响度和可能性进行进一步的分析，最后对风险进行评价，这是刚才的风险分析。风险分析出来以后，比如说所有落在蓝的里面的都是重大风险，但是即使是重大风险，我们仍然要进一步打分，不能说重大风险都是等量齐观的，还有风险一，风险二，给权重评分，把重大风险找出来了，再制定风险策略。风险管理策略就是整个公司面对风险的基本的态度，为什么要制定最基本的态度呢，因为如果太害怕风险，对公司不敢向前，也有问题，太不害怕风险，傻大胆，基本上它的成功就是概率事件，我们认为首先要建立一个风险管理策略。

    风险管理策略的标准三个，第一，风险偏好，风险偏好在这里特指公司风险偏好，而不是个人风险偏好。有些大胆的领导，被分配到一个胆子很小的公司里去，行业很谨慎，千万不能出错。你比如说一个粗心的人去做内科手术，尤其心脏手术，那就基本上死定了，你们看过《白色巨塔》的话就发现，那个医生每次做手术前还要演练一遍，把所有可能的动作全部想到，才能把这个手术做好。也因此有些行业本身是低风险偏好的，不能冒险，有些行业是高风险偏好的，必须冒险，所以在这样一个情况下，我们很遗憾的是，我们发现领导未必刚好适合该公司的风险管理偏好，所以凡是出事，我们经常会发现，有些过于谨慎的人放到IT行业里，比如说杨元庆根本不适合领导联想，杨元庆我已经批评了6年了还是7年了，他失败其实用不着问资本市场，问我就可以，一个问题都讲不清楚的人怎么能领导IT行业呢，IT行业本来是一个高风险的，而且仰赖与领导人员清晰思路的，传达高效一致的这么一个组织，所以风险偏好问题。另外风险承受度，不同的公司风险承受度不同。食品行业几乎承受不了风险，有人在你的牛奶里打一点毒就死定了，像以前王均瑶在温州惹了人，有一个人在他的牛奶里施了毒，毒死人了，从此王均瑶就吓得不敢好好搞食品了，他最后得癌症死掉，也和这个事有绝对的关系，心情压抑，领导人每天如履薄冰，太可怕了，他被抓起来关过20多天，等等等等。不同的行业有不同的风险承受度，有些行业根本承受不了风险，风险太敏感了，放大杠杆倍数非常高，一下子就把你推垮了，而有些行业完全不所谓，有很强的风险抗击能力，比如说那种两元店，哪怕世界毁灭，两元店都干不掉，我在两元店里可以买到很多东西，甚至一元店里面可以买到非常好的指甲刀，像那种指甲刀，正常买的话要7、8块钱，甚至十几块钱，777牌的，我就可以在那里一元钱买到，而且一看，一剪就知道是正规牌子，它通过供应链，它的处理，总之把价格降到这么低了，有绝对的风险承受度。医院几乎没有风险承受度，失败一个就是失败一个，皮肤病还有老军医永远没有风险，大不了打一枪换一个地方，谁看见老军医被抓住的，这都属于行业本身有它的风险承受度。

    另外风险管理的有效性标准，一句话，你要把风险管理到什么程度，有些有效性标准过高，所谓精神洁癖，是风险都要把它管住，而有些企业，神经比较大条，有些风险对我无所谓，我能够承受住，这三点是企业的最基本最基本的出发点，这三点和企业所在的行业、战略、领导人、管理风格、文化，甚至宏观环境有绝对的关系。有了这三个以后，才谈得上企业的风险策略，风险策略就这几个东西，第一，承担，不设防或有计划地风险承担，无所谓，这个事终究要来的，天要下雨，娘要嫁人，算了，不管它了。或者有计划地承担，这个我做这个事，但是我承担相应的后果，大不了我稍微铺垫一下，所以一个骗人在离开之前，总会反复强调自己无奈等等，把一些事情做一些交代，这都属于有计划的风险承担。另外规避，规避有两种，一种是无为，干脆老子不做这个事了，第二是少冒险或低风险，一点点险，比如说我游泳不好，但我总可以洗个脚或洗个澡吧，不能因为我不会游泳就澡都不敢洗，那这个态度就太消极了，但深水池我就不去游了，这都属于规避的概念，用保险或投资结构转移风险，本来是一个投资风险，比如说现在很多工厂，用劳动派遣，就是转移风险，把我的风险转移到派遣单位那里去了，这都属于转移风险。还有很多人，一个女朋友甩不脱，就把她介绍给自己的好朋友，就属于转移风险，开玩笑的，手法不太好。另外对冲，我们发现如果同时承担多个风险的话，风险与风险之间可能本身会互相抵销，一句话，我们进行风险组合，比如说资产组合，高风险、低风险的资产组合，举一个最基本的例子，比如说摩根史丹利从华容手上买了30亿元的资产包，它就是典型的一个对冲，因为有些资产肯定是死资产，盘不活，但是毕竟会有些资产盘活，一旦盘活，那我就赚了。像我们买那种死人衣服，很多年前外国死人、穷人，衣服扒下来，运到中国来，去估这一包多少钱，毕竟有些衣服根本洗不出来，脏死了，但是还有些衣服洗完以后可以当高档衣服卖，所以有一段时间，像杭州特别流行穿死人衣服，后来国家出于自尊心，太没面子了，所以禁止了。我有个同学，就穿这衣服，特别好看的大衣，上面有两个日本字，一看是定制的，这个日本人的名字印在这里，太难看了，但他无所谓，很少有人像我这样打开这里看，到那时候承认也不迟。所以这都属于风险组合的概念，包括你看我们去买翡翠的话，翡翠上面一般会开一个所谓的水口，你根据这个判断，叫做赌石，买好了暴赚，买不好了，可能有些翡翠上面就这一个口子，这个眼下面这一点是绿的，剩下的全部是石头，身家全败了，所以真正会赌的人绝不赌一块，赌一堆，这一堆两亿美元，肯定可以赚到，但赌一块你就死定了，太玄妙了，这都属于对冲的手法。包括在接受一堆资产的时候，有条件地接受一堆资产等等，都属于对冲。各种外币组合结算，战略上的分散经营，套期保值，都属于风险对冲，正所谓东方不亮西方亮，总有一款适合你。所以你看很多人同时和好几个人恋爱，这就是对冲，总有一款适合人，像金城武在著名的《重庆森林》当中，他女朋友跟他分了，他就不停打电话，找了好多女孩子，邀约人家出来，有些人好多年没见面了，由此可见他有很长的一个后备链条，从而使得风险对冲，这都属于一种积极的风险管理手法。

    然后风险补偿，就是用风险补偿机制进行创新，所以风险补偿讲得很简单，如果要让承受高风险，必须高回报，如果让我低回报，必须低风险，如果有人让你只能享受较低的回报的话，首先你要求最起码固定，国债这么固定的利息，为什么这么多人抢着买，因为低风险，甚至无风险，国家信用担保。反过来说，国家要宣布，派你到加拿大去刺杀赖昌星，如果你出事以后，你不承认是国家派你去的，出事你就自己担着，判刑你就自己蹲监狱，国家不会帮助你，现在你要多少钱，你唯一的办法是狮子大开口，要个几十亿美金再说，因为风险太高了，只好进行补偿。所以一般如果要求我们高风险，我必须要求高回报，反过来，如果是我要求低风险的话，对方肯定，你就是固定回报，干不干。这就是风险补偿，使得你的风险和收益之间，呈现一种对冲关系，很多企业就是这样在进行创新，在利用资金方面，在各方面，比如说比尔·盖茨给员工期权，这个是典型的一种风险补偿，如果公司发展得不好，大家拿不到钱，如果公司发展得好，我也不会给你钱，由资本市场给你钱，我上市以后，等于你的薪酬是资本市场在帮我发，总之我比尔·盖茨不掏钱，这个感觉很好，风险补偿。

    最后风险控制，控制风险因素或发生的频度和程度。因为风险控制不住，所以我们只好控制风险因素，就风险的造成因素，我总可以控制吧，我不能控制我得癌症，但是我可以控制我不抽烟吧，我不可以控制我不抽烟，但至少我可以控制自己不买烟吧，偷别人的也财务成功，烟实在不能控制，我只抽贵烟，昂贵的，至少烟就抽得少了，对风险的因素的控制，或者风险发生的频度，常在水边走，怎能不湿鞋，所以我偶尔在水边走一走，几十年做一次案，所以有些惯犯最终是管不住自己，最终一次作案的时候被抓住了，他如果坚持以后不作案的话，终身就不会被抓住，他如果能控制频度，所以这是很重要的因素。另外是程度，天亮就分手就很好，别搞得缠绵起来，就手湿了沾不脱了，就是对程度的控制。

    所以这几大类，具体就风险策略来讲的话，我们只能说这几大类是最具代表性的，不是说整个风险就这六大策略，这是我们通常很反对的说法，把事件六大因素化，这六大因素只能代表整个风险上最常用的六种手段，这常用的六种手段什么概念呢？第一，比如说相邻的两个部门，其中一个部门风险标准很高，看人都是风险。另外一个部门风险很低，马大哈，就最终导致马大哈部门会把风险放进来，所以这个部门洁身自好，高风险标准也没有用，所以企业里面要对同一类事物，要建立统一的风险标准，所以风险策略的重要性就在于，由风险部门把所有的风险分析完以后，告诉大家，对哪一类风险进行一级防备，对哪一类风险二级、三级防备，如何防，所以它建立了统一的风险策略以后，比之于以前传统的风险管理，各个部门的风险管理的阶段，整个风险管理的境界整整高了一个层面，有效性也高了，传统上各个部门的风险管理，事实上是分散进行的，水准不一的。

    那么我们还要检讨传统的风险管理策略，第六步来设计风险控制计划体系，简言之，就是整个公司所有的风险全部找出来以后，辩证性地分析，固定的风险我们就把它内控化了，就不管了，哪些风险设置到哪些部门，财务部、人力资源部，各自涉及到哪些风险，所涉及到的风险，从部门层面编制控制计划，当然这里的部门，偶尔也是指子公司，它的风险，只不过子公司的风险，我们单独再做一套，就可以多收钱了，不要从总公司层面做，单独给子公司做一套风险管理，又可以多收一次钱，那多好，子公司越多，钱越多。部门层面设计风险控制计划，最后汇合成为公司风险控制计划，这很简单，当然不是简单加总，沿用我们刚开始讲的思路，总体层面，总部层面还有一些风险控制，各个部门层面有些风险控制，一定记住。最后我们执行这个风险控制计划就好了。

    具体的风险控制计划，所有的风险控制计划，请大家一定要记住，由两个部门构成，一个是内控方案，这里的内控，内部执行方案就好了，否则会引起歧义，先内部执行，因为有些是可以内控化，有些没法内控化，只能说内部执行，还有些风险要外包掉，风险的检查、管理，甚至解决，都把它外表掉。比如说公关丑闻，就由公关公司去搞定，还有请个杀手，这都属于外包方案。所以你看，杨受成一般香港人威胁不了他，就是他的外包方案非常强大，他也是一个强大的黑白道通吃，这都属于他的外包方案的概念。

    那么我们发现，根据海恩法则，不仅要设置风险管理计划，而且要建立预警，把那种苗头，轻微事故、未遂因素也建立在我们的管理范畴里面，但是那样成本太高，最后我们简化一下，建立一个预警体系，预警体系在执行过程当中，最简单的预警就是，根据财务报表，根据数据，连续两三个月没达成目标，偏离目标的，我们就进行行动，但是广泛地来说，预警一直可以预警到先兆、因素，就是还恩最底层的都可以被我们预警，这都属于可以考虑的。80年代初，尼克松写了一本著名的《1999不战而胜》，中国GCD在1989年六次动荡事件以后，有人捡出这本书，发现尼克松在70年代末、80年代初，早就完整地预言了整个ZG下一步怎么走，他的核心语言就是第五代不战而胜，简言之，把共产主义扭曲地传递给我们的孩子，孩子慢慢地，随着他和社会接触越来越多，因为共产主义偏离人性比较远，因此第五代会不战而胜，尼克松一推演，差不多第五代，到99年成长起来了，差不多社会主义制度会崩溃，所以当时为幸亏加强了思想教育，把刘晓波、方力士全部赶出去了，因为正因为这些资产阶级自由化思想的教授们存在，我们的第五代就受污染，中国会崩溃，这属于一个有效的预警管理，这样才获得了成功。

    第七步，导入全面风险管理体系，到此刻为止，前六步才设计完，那么设计完了以后，就是借来的猫不抓老鼠，你写好一本本子，并不意味着企业按这个操作了，其实企业里面导入一个体系是非常麻烦的，到制度，切换进去，各种工作和岗位挂起钩来，原先的考核流程发生改变，动员等等，因为企业里面没有人愿意再多做一点事情，总会发生加班，或者多做工作，大家就很恼火，所以这里有大量的所谓的变革管理，简单地讲，变革管理就是打碎企业所有人原有的工作均衡状态，使得他做这么多工作，简单地讲就是把这个项目纳入到计划里去，以及融合到现有管理体系里去。

    导入进去以后，整个企业就建立了三道防线，第一道防线就是日常，由风险管理部门、内审部门和业务部门共同完成的，事前、事中的风险管理。第二道防线就是风险发生了以后，风险管理部门报告给风险管理委员会，这个事已经提到议事日程上，最后一道防线就是审计委员会和审计。现在有一种做法非常错误，就是把风险部门和审计合并到一起，好就好在很直接，坏就坏在，如果这两个部门合并到一起，等于是一次性地通过两个人，相当于后卫当守门员，如果绕过后卫，基本上这个球就必进了，理论上这个防火墙应该单独设一下，但是有一个成本问题，中国很多东西，其实你们也知道，讲管理的话，毕竟会带来一个成本的浮夸和虚增问题，所以有很多情况下，管理上原理上正确，但实施过程当中企业会省略，就是这样的。

    另外各种风险处置方案的实施，这个就很简单了，刚才我们讲了，企业里面一般会把前20大，或者前30大风险，每一个建立一个预案，这个风险用哪些数据来衡量，一旦出现了以后怎么管理，或者事前、事中怎么管理，领导人是谁，每一个领导人认养两三个风险，管理两三个风险，等于风险有分管领导。那么制定好了以后，除了前30大风险会分别建立风险管理手册以外，后面的大类风险，用类来管理，这一类的怎么管理，而不会说具体的后面的31到50，51到80，那基本上就垮掉了，完全管不过来。每季度，至少每半年重新对风险排个队，罗列一下，排一下权重，看谁高写低，一般是这么一个概念。

    至于风险管理处置方案的实施，就看实施得是不是到位，是不是有效，在实施过程里面再检讨，PDCA就好。

    最后执行体系保障进行监测与评估，执行体系的有效性如何，整个风险体系不是导入了，但是执行体系的有效性如何，对它的有效性进行持续的监测与评估，提高执行的有效性就好了。

    最后我们监督和改进，你看关注目标，执行自我检测和自我评估，风险管理实施的有效性，发现并传递重大风险管理缺陷，根据变化加以改进，持续提升风险管理水平，一句话，它是个长期工作，不是一下两下可以干完了，要求所有人管理素质相当高，基本上不是基础性管理可以想象的，要求素质也相当高，要监督，要动态修正，风险事项和业务流程。

    最后优化风险管理体系，进行风险管理体系，特别是风险管理能力的提升，因为我们特别强调，风险它是有主观性，风险在企业面前并不平等，什么意思呢？不同的企业，面对风险会给它打上不同的分数，如果你是个太子党的话，你觉得得罪市长小意思，你根本不把他放在眼里，而且要把他叫过来K一顿，如果你是个乡镇企业的话，不要说得罪市长，得罪村长恐怕就是个致命的风险，要被抓起来，甚至要被殴打等等，所以风险本身并不具备绝对性，任何风险都不具备绝对性。但是我们没法改变风险，我们可以改变风险管理能力，分析能力，识别能力，处理能力，控制能力，我们没法控制风险，我们可以控制风险管理能力的提升，所以一个企业，最终风险管理系统的建设的成功标志，就是风险管理能力的高低，越高，我对风险越有办法，持续优化，这就可以了。

后面的我们就不应该讲了，具体实施过程当中的一些模块的分析，在战略当中，在治理当中具体的风险，这个除非操作人员，你们只要知道整个风险就这样管理下来的。所以从根本上来说，我们今天讲风险强调两点，第一它是个管理哲学，第二，它是个很高的境界。所以简单地讲风险管理的话，就是对风险的管理，我们广义地讲它的意义，你们以后能够把握住，风险管理它是个内控的升级版本，它是个战略管理的升级版本。另外它追求的是一种混合式的经营，将固化的风险内控化，将动态的风险进行动态的风险经营，就是有些可以处理的就处理，有些可以利用的就利用，这么一种态度。最后我们认为一个企业最终是通过风险能力的提升，风险管理体系的完善来管控风险，而不是对风险怎么样简单地去加以管理和控制。最后我们强调风险管理和内控也得有一个境界，企业建立风险管理的过程，也是由低到高，爬坡的一个过程。我们今天就讲这么多。

作者简介：

　　华彩咨询集团董事，曾历任国际咨询公司与多家集团型企业高层，有十余年的咨询经验。目前担任清华、北大、复旦、上交大、浙大等学府总裁班客座教授，多个省市国资委、经贸委的管控顾问，同时他还是多家超大型企业集团的独立董事。华彩咨询已成功举办首届中国母子公司管控高峰论坛，2007年将分别在北京、上海召开第二届、第三届论坛，并发表中国母子公司管控百强排行榜。他带领华彩研究院，集中于母子公司管控体系研究，跨越集成和调和，范式创造式地全新创始了“母子公司管理”、“国家管控”、“四层级战略”、“组织智商”、“管理型企业文化”等管理体系。

　　他带领的咨询团队已为近400家集团型企业提供母子公司管控咨询服务，包括中石油集团、中粮集团、中船舶集团、东方汽车集团、宝钢集团、中集集团、沙钢集团、华立集团、广厦控股、紫江集团等。

　　个人专著：

　　《咨询的力量》、《总裁制造》、《组织智商》、《母子公司管控109问》、《国家管控》。系列管理音像教材：《母子公司管控系统篇》《母子公司管控职能篇》、《总裁修炼》、《组织智商》、《国家管控》等。

　　——上海华彩管理咨询有限公司执行董事、总裁 白万纲

　　中国首席母子公司管控专家。

　　兼任中石油集团、中粮集团、中移动集团、中集集团、华润集团、沙钢集团、华立集团广厦控股、紫江集团的战略顾问。

　　以及清华大学、北京大学、复旦大学、上海交通大学、浙江大学、中欧商学院总裁班客座教授。

　　1996年起，白万纲老师开始致力于管理咨询事业，他带领团队先后研发出了“母子公司管理”“四层级战略”“组织智商”“成长管理”等管理方案。