遠光軟件（來源：中金在線　作者：羅伯特?卡普蘭、阿內特?麥克斯）

　　當Tony Hayward2007年成為英國石油公司的CEO時，他發誓要把安全當做自己的頭等大事。他出臺的新規矩包括：所有員工端著咖啡杯走路時要蓋蓋子，開車時不能發短信。三年后，就在他眼皮底下，發生了墨西哥灣“深水地平線”鉆油平臺爆炸事故，成為人類歷史上最嚴重的“人禍”之一。一個美國調查委員會認為，災難發生是因為管理失誤削弱了事故現場員工對所面臨風險進行正確識別、評估、交流、處理的能力。

　　BP 的教訓提出了一個具有普遍意義的問題：風險管理經常被當做一個“合規性”問題，以為風險管理所需要的只是制定出很多規則，然后保證讓員工服從和遵守。當然，很多規則是明智合理的，確實降低了部分風險帶來的損害。但是基于規則的風險管理卻永遠對“深水地平線”這樣的災難束手無策，正如在2007－2008年它沒有能夠拯救眾多金融機構一樣。

　　因此，風險管理應當具體問題具體分析，并在管理策略上另辟蹊徑。

　　風險管理：規則還是對話？

　　風險可以分為三類，每一類風險都可能威脅公司的戰略甚至生存。

　　可預防風險

　　組織內部的風險應該是可控的，可以消除或者避免，比如員工擅自、非法、違背道德的行為，以及企業日常經營過程突然當機。

　　可預防風險完全能夠通過基于規則的風險管理系統來解決，企業只需要監控運營過程，設置規則以規范員工行為。因此，管理可預防風險的第一要務就是制定員工行為規范，闡明企業目標和價值觀。

　　當然，即使有清晰的使命、價值觀和行為規范，也不能保證員工行為一定合規。首先，高層管理者必須以身作則，認真對待行為規范，才能消解官僚組織的慣性。其次，企業必須建立完善的內控體系，以預防和減少員工的錯誤行為。可以設置一個有效、獨立的內部審計部門，持續核查員工行為是否符合行為規范，不僅能防止員工違規，而且能在違規發生時及時察知。

　　戰略風險

　　戰略風險是一個企業為了獲得超額回報、因實施戰略而自愿承擔的風險。一個預期能夠帶來高收益的戰略總是要求企業承擔伴隨而來的巨大風險。

　　戰略風險不能通過基于規則的風險管理模型解決，而是需要一個能夠降低風險發生可能性、提高公司風險管理和承受能力的風險管理體系。這樣的體系不會讓企業停止冒險，相反，它能夠讓企業比那些風險管理不善的對手承擔更多的風險，當然也收獲更多的利益。

　　外部風險

　　一些風險來自企業外部事件，企業無法影響和控制，例如自然災害、政治動蕩、宏觀經濟變動。外部風險也不適用基于規則的風險管理，因為企業不能預防這樣的風險發生。管理此類風險必須集中于事后辨識、降低損害。

　　企業應當根據不同的風險種類采取不同的風險管理方式。盡管設置規則、讓員工遵守的風險管理在對付可預防風險時有用，但管理戰略風險和外部風險，需要建立在開放、坦誠的風險討論基礎上。這是一套完全不同的體系。開放、坦誠的風險討論說易行難。行為和組織學研究都已經表明，強大的個人和組織認知偏見傾向阻礙人們思考和討論風險。

　　為什么避談風險？

　　減輕風險是痛苦的，不符合人的本性。

　　人們總是高估自己影響事態發展的能力，而實際上運氣在其中更為重要。我們傾向于對預測和風險評估的準確度過度自信，而且對事件可能后果的范圍估計過窄。我們總是將估計系于很容易獲得的數據上，盡管我們知道依據最近的歷史對變動不居的將來作線性推測是多么危險。我們經常陷入證實偏差，即我們傾向于相信支持自己判斷的信息而不相信否定自己判斷的信息。當事態發展不符合我們的預計時，我們還傾向于承諾升級，不理性地對已經失敗的項目追加投資，實際上加大了損失。

　　組織中的認知偏差傾向也抑制了對風險和失敗的討論。一個面對不確定風險的團隊通常會陷入群體思維：由于從眾壓力，有反對意見的人傾向于沉默，不管他們的證據多么有力。如果這個團隊的領導人比較專橫、傲慢或者過于自信，不喜歡沖突、拖拉或者自己的權威被挑戰，那么群體思維出現的概率會更大。

　　有效的風險管理體系必須能夠消除這些認知偏差傾向。

　　戰略風險管理

　　過去十年的研究和實踐總結出三種不同的戰略風險管理策略，企業可以根據自己的運營環境選擇最合適的模型。每一種風險管理策略都都需要不同的風險管理結構和流程，但是三種策略都要求員工對現有假設提出質疑，對風險信息展開討論。沒有通用的風險管理。

　　獨立專家

　　一些組織特別是像美國國家宇航局噴氣動力實驗室這樣致力于科技前沿創新的組織，在進行長期、復雜、昂貴的產品研發項目時面臨很大的潛在風險。但是，由于這些風險大多與自然界規律相關，所以這些風險從長期來看變化不大。

　　美國國家宇航局噴氣動力實驗室建立了有獨立技術專家組成的風險核查委員會，專門定期對項目工程師們的設計、風險評估和降低風險的決策挑刺。風險核查委員會帶來了“智力挑戰文化”。在這個過程中，項目工程師學會了不再埋頭苦干，而是從其他角度審視自己的工作。不管是建設性的還是批評性的委員會會議，都不是為了阻止項目團隊追求更高的目標，而是迫使工程師提前思考如何描述自己的設計、如何防范設計風險、自己是否已經充分考慮了失敗的可能性。委員會扮演了“魔鬼代言人”的角色，敲與工程師的過于自信傾向抵消，幫助避免了承諾升級帶來不可承受的風險。

　　風險核查委員會不僅促成了激烈的項目風險爭論，而且對項目預算擁有決策權。委員會對每一個項目組件都根據其創新性建立了成本和時間緊急準備。當問題不可避免時，項目團隊就可以使用緊急準備，而不會危及整個項目的完成。實驗室嚴格執行準備制度，如果項目預算不能滿足準備金所需，就堅決延遲甚至砍掉項目。

　　協調者

　　很多組織，如傳統的能源和自來水公共事業公司，其運營的技術和市撤境都比較穩定，顧客需求相對可以預測。在這種情況下，風險往往來自復雜組織內看似無關的企業運營決策，問題緩慢積累，長期隱伏。如果沒有任何能夠實施跨部門的組織層面風險管理的制度安排，企業可以任命一個小規模的核心風險管理團隊，負責從經理層收集信息。這一方面能加強經理層對組織內部風險的了解，另一方面能為決策者提供完整的組織風險圖景。

　　加拿大電力公司Hydro One每年都舉辦有公司所有層級和部門員工參加的工作會議，鼓勵員工暢談并評價公司戰略目標所面臨的各種風險。通過匿名投票，員工們為每一個風險的影響、可能性和可控性打分。最后，通過員工參與的風險討論，風險團隊就能夠繪制出一幅風險地圖，制定應對計劃，并且指定誰該為某一個風險負責。

　　同時，Hydro One風險管理團隊引進了技術專家對業務經理的投資計劃和風險評估挑刺，對資源分配提供獨立見解。公司只支持能夠顯著有效地描述風險的項目，克服了經理隱藏、低估風險的傾向，強化了風險責任。

　　植入式專家

　　金融服務業由于資產市場的震蕩和分散的交易員、投資經理決策，存在巨大風險。一筆交易、一個市場變動，就能讓一個投資銀行的風險圖景發生劇烈變化。對于這樣的企業，風險管理需要植入式專家，持續監控企業的風險圖景，與經理們攜手合作。

　　JP Morgan在部門層次設立風險經理，同時對部門管理層和一個獨立風險管理小組負責。和部門經理面對面的交流使風險經理對市場情況了如指掌，持續關注投資的風險狀況，檢查投資組合的風險假設并推動經理們創新更多的投資組合。風險經理評估所有交易在常態下以及在不同資產關聯度升級的極端情況下對投資組合整體風險的影響。

　　植入式風險經理的主要危險是“入鄉隨俗”，徹底被部門管理層同化，成為交易主導者而非交易質疑者。防止這種傾向是企業高級風險官員最終是CEO的責任。正是他們決定了整個公司風險文化的基調。

　　戰略規劃風險討論

　　由于組織認知偏差傾向消解了有效風險管理的責任和信息機制，阻礙了關于風險之間互相影響的討論。有效的風險討論不僅應該是對抗性的，而且應該是包容性的。即使是一些小事件也能以無法預料的方式互相影響、強化，威脅公司生存。很多企業都有一項包容性很強的流程——戰略規劃。通過戰略規劃討論，管理者就能夠進行公司層面的風險管理。

　　印度IT服務公司Infosys圍繞平衡記分卡戰略評估展開風險討論。通過建設平衡記分卡體系，Infosys確認“培育客戶關系”為關鍵目標，并確認了衡量標準，比如年度訂單超過5000萬美元的全球客戶數量、大客戶收益年增長率。當審視這個目標和績效標準時，管理者意識到他們的戰略帶來了一個新的風險因素：客戶違約。當Infosys的業務建立在眾多小客戶基礎上的時候，個別客戶違約并不能威脅到公司戰略。但一個5000萬美元客戶的違約能給公司造成大損失。Infosys開始監控每一個大客戶的信用違約掉期合約費率，作為估計客戶違約可能性的主要指標。如果客戶的費率上漲，Infosys就會加快回籠應收賬款，或者要求客戶按進度分期付款，以降低客戶違約的可能性和損失。

　　管理不可控風險

　　外部風險基本上是企業不能控制的，企業應該側重于識別、評估風險，并做出風險應對預案。

　　有幾種不同的外部風險來源：

　　自然災難和經濟危機一旦發生，后果非常嚴重而且直接。它們通常可以預測，盡管它們的確切發生時間經常不可預測。

　　地緣政治和環境變化對公司的影響是長期的，包括政策變動、政變等政治變化，全球變暖等長期環境變化，關鍵性自然資源耗竭。

　　競爭性風險對公司的影響是中期的，包括破壞性技術創新和產業領導者的激進戰略舉措。

　　企業可以對每一類外部風險采取不同的分析方式。

　　尾部風險壓力測試，可以幫助企業評估那些發生時間不能確切預測但對企業影響重大且直接的風險。金融服務公司采用壓力測試來評估一旦原油價格上漲三倍會對公司的交易倉位和投資有什么影響。壓力測試嚴重依賴于對關鍵變量變動的假設，而這種假設本身經常是存在偏見的。2007－2008年很多銀行的尾部風險壓力測試假設的最壞情況是美國房價在一段時間內趨于平穩，很少有企業想到測試一旦房價下跌會發生什么。很多公司以美國最近的房價作為推測基礎，而美國房價已經幾十年沒怎么下跌，結果得出了過于樂觀的市場預測。

　　情景規劃適用于長期分析，特別是5到10年。公司先設想幾種未來可能發生的情形，再去想象會有哪些出人意料的事發生。這種分析方法可以開展充分客觀的討論，使得戰略更具彈性。規劃者審查政治、經濟、技術、社會、監管、環境等動力因素并從中挑選一定數量的對公司影響最大的因素。對每一個挑選出來的動力因素，要估計5到10年內的最大、最小值。

　　作戰模擬可以評估一個企業在破壞性的技術創新或者競爭對手的戰略改變時的承受力。企業設置3到4支任務團隊，設想現有或者潛在競爭對手近期的合理戰略行動，這個時間范圍要比情境規劃短。然后，所有團隊一起討論聰明的競爭對手會怎樣攻擊公司的戰略。這個過程幫助克服領導者忽視與自己的信念相反的數據的傾向，并且將競爭對手可能的博弈行為引入公司戰略。

　　企業可以采取以下行動來防備外部風險。首先，因為在不可預防風險中不存在道德風險，企業可以采用保險和套期保值來降低風險。其次，企業可以進行先期投資以避免風險發生時付出更大的代價。例如，如果在地震多發地區有工廠，企業可以增加建設投資以便在地震發生時保護工廠設備安全。最后，面臨不同但類似風險的企業可以攜手合作，共同應對風險。例如，北卡羅萊那大學的IT中心易受颶風威脅，而加州圣安地列斯斷層上的大學則易發地震，颶風和地震在同一天發生的可能性低到可以忽略不計，因此兩地大學可以通過設置互相支援的機制來保證IT數據中心的穩定。