风险评估是针对固有风险还是剩余风险？

前一段时间一个留言：

“我们列出一个事件，有时会指出一个目前的现状或情形可能会导致哪些问题出现，企业有些领导不同意，认为我们在讲问题，批评他们，所以将所有对现状的描述前面加一个“如果”，表明这不是目前的情况，是未来可能出现的情况。”

现状依然如此。那是不是要把“原因”情况发生的概率，以及“结果”情况发生的概率分别评估出来？其实还有一个更令人恼火、烦恼的概念即固有风险。固有风险的评估基准时点、基准条件是什么？与我的企业现状是不是相关？在我单位的合规体系建设中，专家机构识别的“固有风险”居然与单位目前面临的风险无关！

—来自金色**图腾

笔者在企业做风险识别工作，经常遇到这个场景，对这位同仁的苦恼也是感同身受。本文便来聊一下这个问题。

做风险评估，除了有历史数据可以准确定量评估的风险，还要一大部分风险是需要通过研讨会、专家意见、头脑风暴（拍脑袋）参杂了大量主观判断的定性评估。

风险评估也好，风险管理也好，不仅仅是一项技术，因为涉及大量人的认知和判断，以及认知和判断的整合及协调工作，超出了技术层面本身的问题，这也是一项艺术！

首先，什么是固有风险（Inherent risk）？什么是剩余风险（Residual risk）？

如果不是专业搞风险管理的，根本不会关心这些名词，反正就是去控制风险，别出事就行。

但是，如果碰到细究的同事和领导，作为从业者的你确实应该理解这些词有时才能过关。

固有风险（Inherent risk）：指在没有采取任何措施来改变风险的可能性或影响的情况下，一个组织所面临的某类风险的风险水平。固有风险的大小取决于组织所在行业特征和经营及资产属性。

剩余风险（Residual risk）：指那些实施了风险应对策略以后仍然存在的未被管理的风险。剩余风险的水平决定着公司最终实际面临风险的水平。

谈风险管理不是要消灭风险，而是要将风险控制在可接受的程度，就是指剩余风险在可以接受的范围。

比如某企业原材料价格波动的风险很大，这是由于外部和宏观以及市场因素导致的，也是原材料采购过程中面临的固有风险。

但一个组织通过建立专业的采购部门，针对大宗采购物资的供应及价格趋势进行研判，及时采取不同的采购策略，甚至购买衍生品来对冲价格波动的风险，将采购成本控制在合理范围，这个时候的剩余风险有可能很低。如果有必要，可以通过管理和市场手段完全锁定采购成本。

管理风险的过程就是针对不确定性的一系列管理和控制活动，从固有风险采取各种应对手段到剩余风险的过程，将不确定性的一部分转化为确定性，那到底将剩余风险要降低到什么程度？

这个每个企业都有不同的选择，核心是每个组织的风险承受度和风险偏好不尽相同，所以对于剩余风险的要求也不相同。

那么做风险识别和评估时大家对风险的第一反应是对固有风险还是剩余风险呢？

笔者的经验是这样的：

对企业和各职能当下正在管理的风险，我们在发表意见时更多强调的是剩余风险，因为大家已经默认了日常管理过程中采取的风险控制措施，对风险的感知就是当下这个风险被管理后的剩余风险。

所以，评估这种风险时对于风险的打分更多是针对剩余风险的。

而对于还没经历的风险或还没提上应对日程的风险，我们更多的是强调固有风险，因为这些管控措施还未实施，我们会更全面、更客观的看这种风险的固有风险高低。

不知道大家能不能理解其中的不同之处。

对于第一种对剩余风险的感知来讲，我们也会强调固有风险的概念，让管理者更好的思考现有应对策略是否还有优化的空间，是否还有更好的策略或策略的组合，风险管控的成本是否可以降低等等。

除了上面谈到的两种风险以外，还有一种风险，是现在已经有了某些迹象，但还够不成威胁，但如果进一步发展这种迹象可能会形成风险而且发生概率可能还比较高。

这时候就会出现一个比较有意思的现象，比如我们说：

关键研发人员短缺，导致某重点研发项目无法正常推进。

提出这样的风险，一般不是空穴来风，可能是有一些重要的研发骨干流失，这个问题才会被提出来。

但你要去和人力资源部以及研发部谈这个风险的时候，出于职能保护和本位主义的考虑，他们可能不同意你的描述。

所以你就得解释，风险是一种不确定性，是可能发生也可能不发生的事，我们这么写不是对事实的认定，不是说你们的工作不到位等等。因为你这么写了，如果研发项目最后失败要追责，此项风险的主责方可能会有麻烦。

最后经过讨论大家同意，可以保留这个风险，但是前面要加上两个字—“如果”，变成：

如果关键研发人员短缺，会导致某重点研发项目无法正常推进。

最后皆大欢喜，各得其所。

但这种写法也导致了“泛风险”的现象，因为可以有无数个“如果”，那就可以有无数个风险，导致“风险虚化”，怎么办？

这种情况至少有两个方面的问题需要注意：

1、对于风险的描述，前面部分的表述是风险源，这种风险源有的就是对现状的表述，这种现状已经不是一种假设，而是一个现实的“问题”，问题不是风险，但是可以是风险源，如果问题出现了还不正视问题的存在，那就是将问题掩盖产生更大风险的开始。

关于问题和风险的区别与联系，可以参考文后之前的一篇“问题导向还是风险导向”的文章。

2、风险的识别需要跟随目标来进行，不是简单的罗列风险清单和表达对现状和问题的不满，变成了“抱怨清单”。目标分解不清晰也会导致泛风险和风险虚化的现象。

所以，清晰的表述风险偏好，设定风险管理目标是风险识别的前提。

就像前面说的，导致重点研发项目无法顺利进行，重点研发项目目标的偏好和容忍度是多少，所谓顺利推进的KPI有哪些？关键研发岗位包括哪些，应该配置多少，胜任力如何考核等等。如果这些都没有设定，那只能说企业需要先完善这方面的基础管理，而风险管理应该是在完善的基础管理之上进行的，要不然这些基础管理的漏洞延伸出的一系列问题都会被认定为风险。

还有一个很重要的内容就是今天企业对风险的认知需要更新，如果还停留在把风险识别和责任追责这个层面已经远远不足够了，我们希望企业可以更好的接受管理风险是创造价值的关键一环，开放包容的交流有关风险的各个议题。

企业应该鼓励和培养这种风险觉醒文化，这也是风险沟通的要求，一味的捂盖子麻烦可能越来越大，让大家开放讨论，说破无毒！




来源：大风控
本文仅作分享，作品版权归原作者及机构所有，如有侵权请联系，我们立即更正/删除