风险蕴含着盈利的机会，也包括失败的可能。企业要想取得预期的回报，就必须很好地管理风险

当沃伦·巴菲特（WarrenBuffett）在寻找某天可接替他的投资经理时，他将标准设得很高。2007年3月初这位伯克希尔·哈撒韦公司董事局主席，在每年一封写给股东的信中表示，理想的人选将是“从遗传基因上就已经注定可识别和规避大风险的人，包括那些以前从未遭遇风险的人”。

其他的要求还有：“独立思维能力、情绪稳定以及对人和机构的行为有敏锐的洞察力”。这种评论对所有投资者包括那些从未管理过大笔资金的投资者来说，都是需要非常重视的。任何一位共有基金所有人都可拿自己与巴菲特的标准进行对照。无论有多节俭，每个人或者每个家庭都需要制定“资产建设”计划，应对已知和未知的风险。如果你能预测、保持冷静和增加市场的感知力，那就更好。

也许是巧合，巴菲特的言论来得正是时候。就在2007年2月28日，信公布的两天前，美国股市遭遇了4年来最惨的一次损失，道琼斯工业平均指数下跌了416点，跌幅达到3.3%。巴菲特的言论很清晰，只是还不够。要真正解决问题，投资者还需要向前看，去预测。这并不是说一定要在事情发生前预测到未来，这是不可能完成的任务。预测要求的是，在灾难找到你之前采取正确的保护措施。
本文发表于博锐|boraid|
近年来，出现了将风险分割成小份、然后通过复杂的金融工具出售给多个投资者的趋势。

美国次级抵押贷款——发放给信用记录不佳的借款人的贷款，情况就是这样，它们被重新打包成证券进行出售，从而将相关的风险分散到整个金融系统。这让准确捕捉次贷损失的发生律变得极其困难。

由于这场危机，人们已开始呼吁，在创造复杂金融工具转移被分割的风险时，要提高这些工具的透明度。

这场危机在全球造成的影响，也凸现出全球扩张如何能导致风险的扩散，有时候甚至会扩散到人们意想不到的角落。

不过，美国次贷市场的动荡以及随后的信贷市场危机，或许也能带来风险管理方面的其它启示。预计遭受损失的那些组织将会重新评估自己的风险管理体系。



强化企业内控

1998年，亚洲金融危机爆发，当时正处于计划经济向市场经济转型的中化公司，受危机冲击陷入发展困境，几乎濒临破产。

2008年9月，美国爆发金融海啸，并迅速蔓延至全球经济，席卷大宗商品市场。中化公司在“上下游客户出现经营困难、甚至濒临破产”、“主要商品价格暴跌、拦腰斩”的情况下，财务状况良好，公司业绩稳定增长，总体风险可控。

两次危机，结果迥异，这缘于中化公司10年来苦练内功，形成了自己特色的管理体系。

1998年出现巨大经营危机后，中化公司通过内部讨论，并邀请麦肯锡对公司进行诊断，认识到：产生危机的真正根源是管理不善、内控薄弱，外部环境只是导火索和助燃剂。

——组织功能软弱、无序，操作与监控重叠，岗位职责不对等，造成控制失效。

——缺乏严谨规范的交易流程和有效的风险监控系统。

——缺乏客户资信风险管理。
——对资金配置及使用监控不力。

——审计组织机构缺乏应有的独立性。

痛定思痛，中化公司在渡过支付危机后，通过10年的持续努力，以信用风险为切入点，逐步将市场风险、操作风险、物流风险、期货风险等纳入管理。

2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》（以下简称基本规范）。基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。

而在此前，国务院国资委印发了《关于编报<2008年中央企业全面风险管理报告>的通知》。按照通知要求，自2008年开始，国资委将选择部分中央企业开展编报《2008年中央企业全面风险管理报告》（以下简称“企业风险报告”）工作。企业风险报告就像一份人的体检报告，从风险的角度对企业当前已经存在的风险、正在运作的各项业务中存在的风险、未来可能存在的风险、将来可能发生的机会风险等一一做出描述、分析，并提出风险的管理策略和具体的应对措施。这就是企业体检。

根据资料记载，健康体检的雏形起源于20世纪40年代的美国，美国医药协会在1947年提出了最早的“健康体检”的概念，并向公众建议：每个35岁以上的健康人应每年拜访一次医生，做一次从头到脚的全面体检，并和医生有一种良好的沟通。1948年，世界卫生组织进一步提出：“健康是人在生理、心理和社会适应性上的完好状态，而不仅仅是没有疾病或不虚弱”。健康体检发展到今天，已经成为对人体全面生理、心理和社会适应的状态的“监察”和“审计”。

健康体检是医学界医疗模式的一次质的飞跃。健康体检改变了千百年来人们对于健康、对于疾病的态度和做法。现在，无论是单位组织还是个人行为，健康体检已经成为人们日常生活的一个重要组成部分。单位、个人之所以如此重视体检，因为体检可以对人体的各项生理指标进行全面检查，达到早发现、早诊断、早治疗人体潜在的各种疾病的目的。



提防供应链上的风险

一家了解自身的弱点及整体风险架构的公司在遇到灾难时会怎么做呢？下面的例子让你深思：

2000年3月，飞利浦公司位于新墨西哥州阿尔伯克基的工厂突然着火；该工厂原本为诺基亚和爱立信两大手机巨头提供无线射频芯片。两家公司的应对方式已经成为突发事件应急管理的教材，告诫人们只要采取正确的方法，灾难也能变成竞争优势。

工厂被大火吞噬后，两家公司立即丧失了供应链中的一个关键环节。《商业周刊》报道说：“诺基亚的反应有两方面。首先公司立即创建了一个由经理领导的‘突击小组’，向飞利浦施压，要求该公司把其他工厂的生产能力全部投入生产其需要的无线射频芯片。同时诺基亚的工程师迅速对无线射频芯片进行重新设计，使公司在日本和美国的供应商也能生产这种芯片。”该计划十分见效：由于行动迅速，诺基亚得以实现其生产目标，甚至将市场份额从27％提高到30％，是其最大的竞争对手的2倍多。

“爱立信的反应就慢多了。该公司在几周后才意识到供应上的问题，但那时它满足顾客需求的能力已经大打折扣。而且由于阿尔伯克基的工厂是爱立信唯一的无线射频芯片供应商，爱立信与诺基亚不同，发现自己根本无从获得这些关键的元件……公司当年的损失高达17亿美元，并最终将其手机制造业务外包给另一家公司。”

普华永道(PwC)合伙人兼保险精算团队负责人布赖恩·约瑟夫(Bryan Joseph)指出：“要了解你的合作伙伴，这一步不可替代。”

不过，还有其它一些跟外包和离岸业务相关的危险。某些职能转移地点可能会遭遇自然灾害。还有些地方可能政局不稳，或是可能遭受恐怖袭击。

德勤(Deloitte)负责非寿险精算业务的执行合伙人利斯·吉布森(LisGibson)表示，延长供应链还有一些更微妙的风险，比如对从遥远的地方运输商品造成的环境影响的担心。她指出：“你可能已经决定把制造业务外包到遥远的地方，因为那里的成本基数更低。但现在出现了一个没有预见到的经济风险，客户和股东也许会在道义上反对更多地使用运输手段。”

如果供应链的联系出了问题，比如说是由于出现了全球性的流行病或在重要地区出现了自然灾害，那么延长供应链也可能让公司业务受到明显影响。

商业和工业财产保险公司FM Global最近进行的一项研究发现，北美洲和欧洲的财务高管把供应链中断视为自身业务面临的第二大威胁。公司可以通过制定有效的连续性计划来化解这种风险，保证公司各方面的业务在出岔子的时候还能继续运行。

不过，咨询机构Oliver Wyman的公司风险咨询实务主管汉斯·克里斯蒂安·布林(Hans-Kristian Bryn)认为，在做重要决策的时刻，就应当把业务连续性的问题纳入考虑之中。



管理风险而不是惧怕风险

英国巴林银行成立于1763年，在1995年破产之前经营稳定，业绩良好。然而，就是这样一个世界上最老牌的银行却由于一个新加坡小小的交易员——里森，利用银行内部控制制度的漏洞不断地掩盖其交易失误，制造假帐，最终给银行带来了不可挽回的损失。

巴林银行的倒闭主要是由于其风险管理系统的残缺，内部控制薄弱，相互牵制岗位之间没有分离（里森一人身兼清算部和交易部两职），严重违背了内部控制的基本原则，而且在事中总部也发现资产负债表中的数字有问题，并派人调查，但是这些调查也是流于形式被里森轻易地蒙骗过去。另外管理层监管不严也是一个不可忽视的因素，巴林银行在出事之前市场人员及内部审检小组对管理层发出过警告，但管理层不但没有引起注意，相反的，还将大笔的资金调至新加坡，以至最后导致整个巴林集团的覆没。

对于很多企业来说，风险管理还等同于“危机管理”。管理者们每日如“救火队员”般忙于处理紧急的“危机”，不但耗时、费力，而且代价高昂。因为管理者们本应集中精力于重要的事情，而不是紧急的事情。而全面地建立风险管理系统（Enterprise Risk Management，下简称为ERM），把风险管理变成日常管理的一部分，不但能够把忙碌却低效的管理者们解放出来，让他们集中精力去处理重要的事情，还能够减少企业危机事件。

危机管理像是看病求医，而风险管理更像是身体保健。风险管理是对企业健康状况进行实时的、动态的、积极的追踪，这样就降低了公司患大病动手术的风险，也让企业的整体运营更加健康高效，反映在企业的财务报表上就是收益率的上升。

单纯地降低风险或者避免风险，并不是风险管理的目的。因为风险管理的核心目标是，“确保适当的风险分布在人们愿意接受的范围内”。因此，区分知之（known）的风险、未知（unknown）的风险和未可知（unknowable）的风险之间的差别，对于成功地将风险控制在一个可接受的范围内，非常关键。

对于风险来说，“知之”就意味着，人们能够察觉到这些风险，虽然无法确定它们何时发生，但可以确定它们发生的概率范围。这里，博彩业就是一个很典型的例子，因为赌场是风险管理的最佳范例。当你走进一家赌场，即使你不知道会输多少，但你知道输赢的比率，所以知之的风险就是你所下的赌注。

“未知”的风险是指那些既无法知道它的风险类型，也很难确定它的发生概率的风险，它们很难衡量，但人们至少可以进行适当的推测。

而“不可知”的风险，是那些超越了人们的思考和感知能力的风险，在它没有发生之前，没人会意识到存在这样的风险。对于美国的政策制定者来说，“9·11”这类的恐怖主义活动和卡特里娜飓风一般的自然灾害，就是不可知的风险。

企业在进行风险管理时，一个重要的目标就是把“未知的风险”变成“知之的风险”，通过数据分析、风险建模等一系列工具，让这些风险显身，成为“看得见”的风险，让企业能够判断风险发生的几率。

而另一个重要的目标就是把“未可知的风险”变成“未知的风险”，这项工作很艰难，因而需要集思广益。某个风险尽管在现阶段是“未可知的风险”，是企业的高层们在战略思考时无法企及的，但是在公司里开展头脑风暴，全体动员来讨论，它就可能成为公司里“未知的风险”。

战略风险，既可能是看得见的风险，比如说，公司很清楚现有的竞争对手；或者某项技术出现了新的代替品，这时候公司可以相应地采取一些行动。战略风险也可能是看不见的风险，它们不会立刻就出现在决策者的脑海里，让他们有所察觉，在常规的企业经营中是无法发现它们的。但是，风险管理的流程可以让它们显现，让它们成为看得见的风险，从而可以更好地管理它们。

对于一个企业来说，最大的风险就是什么风险也不承担。企业进行风险管理，并不是一味地去降低风险，而是应该主动去承担能够带来一些回报的风险。不过，在承担风险的同时，要对其发生的概率有明确的认识。机会和风险宛如一个硬币的两面，机会中一定蕴含着风险，而风险里也包含着机会。如何变劣势为优势，需要企业领导者们从行动上有根本的转变。