一、内容概要

4、原则

风险管理的目的是创造和保护价值。它提升了绩效，鼓励创新并支持目标实现。 图2中描述的原则展示了风险管理工作的价值和宗旨，指出了有效和高效的风险管理工作的特点。这些原则是管理风险的基础，组织应在建立风险管理框架和流程时予以考虑。组织可以使用这些原则来管理不确定性对其目标的影响。

  图2 - 原则

有效的风险管理包含了图2中的要素，可以进一步解释如下。

a）整合的 风险管理是组织所有活动的组成部分。

b）结构化和全面性 风险管理的结构化和全面性有助于获得一致的和可比较的结果。

c）定制化 风险管理框架和流程是根据组织与其目标的外部和内部背景来制定的，并与其密切相关。

d）包容的 需要考虑利益相关方的适当和及时参与，融入他们的知识、观点和看法。这可以使相关方提高对风险管理的认识和了解其动态。

e）动态的 随着组织内部和外部环境的变化，风险可能会出现、变化或消失。风险管理会以适当和及时的方式预测、监控、掌握和响应这些变化和事件。

f）最佳可用信息 风险管理的输入是基于历史和当前的信息以及未来预期。风险管理应明确考虑到与这些信息和期望相关的任何限制和不确定性。信息应及时、清晰地提供给相关的利益相关方。

g）人员及文化因素 人员行为和文化明显影响着风险管理在不同层面和阶段的各个方面。

h）持续改进 通过学习和经验积累，不断提高风险管理水平。

二、重点拾遗

1、整合与“两张皮” 原则开篇就点出了风险管理工作的第一原则：与组织所有活动的整合。我在去年COSO新版框架出台后，针对COSO将其征求意见稿的“协调一致”改为“整合”，曾解读过关于“整合”的具体意义。从下图的比较，我们可以大体理解下所谓整合的意义。 说到“整合”的定位，我感觉虽然有进步，但是还不算是最佳状态。 中国企业前些年进行风险管理体系的建设，碰上的最大的问题就是关于"风险管理体系"和“企业管理体系”的相互融合的问题，有不少企业出现“两张皮”，风险管理体系与原体系没有实现实质性的互动，导致将风险管理体系建设搞成了“一次运动”，运动完了就束之高阁。 我们能怪企业不重视吗？企业开始很重视，劲头也很足，但前些年在这项工作摸索的初期，对其定位和工作方式还没有形成最佳实践。容易搞成“形式主义”，为了内容搞出了形式，但是形式不恰当反而丢失了内容，有点舍本求末。 所以ISO31000的原则，一上来就谈整合，表明风险管理不是一项独立与其他管理和业务活动的工作，而是组织所有活动的组成部分。这和COSO定义的一种“文化、能力和实践”有点类似，因为文化、能力和实践也是内嵌于组织所有活动的。面对过去的这些经验，今天，很多企业在反思，特别是前些年进行过全面风险管理体系建设的那些单位，也在摸索前行。也有不少企业在探索中产生了风险管理和企业管理良性互动的实践和经验。ISO和COSO这次文件的更新，必将带给中国企业新的思考，如何更好的实现整合风险管理。近期也有很多企业在询问，我们后面会专门推出一篇深度文章，如何更好的定位和发挥企业风险管理职能，敬请关注。

2、打造独具特色的风险管理体系 从最开始起草ISO31000的时候，委员会主席凯文先生就一直强调，每个企业的风险管理都有其独特性，无法统一进行要求和形成最佳标准，这也是什么ISO31000的标准是一个指南级，而不是像ISO9000那样是要求级别。 尽管风险管理工作可以形成原则、方针、政策和一些通用的要素，但每个企业的情况不同，管理风险的方式也会各不一样，不能简单的和模式化的来评价一个企业风险管理能力好或不好。企业要按照风险管理的一般原则打造和形成自己独具特色的风险管理体系来管理组织风险。

3、重视人文因素的影响 企业的管理体系包括风险管理体系能否起作用，一方面要强调体系自身的建设是否完备和实用，运行效果是否良好。但是，由于制度体系中有很多时候涉及风险、效率、成本、收益之间的平衡，只能选择一个符合各利益相关方风险偏好和风险承受度的恰当方式体现。我们业内的人可能知道一个“零风险谬误”的说法，就是风险降低到一定程度，再降低风险的边际效应会递减，我们不能一味的追求零风险，而忽视风险和收益的平衡。 这就决定了管理体系只能够尽可能完善，但不可能十全十美、万无一失。企业想要提高对风险的管理能力，必须软硬两手抓，两手都要硬。硬的是企业制度流程，软的是企业文化、人员的道德价值观等要素，才能形成一个企业各方不能犯错、不会发错也不想犯错的整体氛围。其中不想犯错是发挥了各方的主观能动性，是更高级别的风险防范方式，也是管理灰色地带的有效手段。因为制度流程建立的再完善，也不可能一点漏洞没有，这个时候正是“软性”手段发挥效果的时候。只有最高管理层带头和宣导形成积极的企业风险文化、提升全员的风险意识、综合能力、素质素养，才能和制度流程的遵循相得益彰、互为表里，让企业的风险防线变得有灵有体，有骨有肉！

【本文来源： 风险管理世界】