作者：朱伟东

　　收放之间看风险——一套简洁的风险控制责任机制

　　对于高速发展的中小企业而言，企业已有的制度流程往往严重滞后于对风险控制的需求，企业管理者陷于处理大量的突发问题中，已经成为普遍的现状。究其原因，领导者往往

有自身的苦衷：控制是一项不直接增值的活动，而控制本身需要占有管理资源，在企业迅速发展的时候，资源当然是优先向前线倾斜，所以往往是明知道控制不足也要向前冲，而忽视控制的后果又导致风险爆发使经营利润丧失。

　　因此，在风险和控制之间取得平衡是企业发展过程中在管理理念上的一个瓶颈。大量的企业实践表明，盲目照搬大企业繁杂的制度流程并不可取，而如何建立一套简洁合理的机制，以最小的控制成本获得最佳的风险防范效果，把管理者从疲于奔命的“救火”中解脱出来，是企业发展中的重要问题。

　　笔者的观点是，在企业内部建立基于“目标-风险-控制-责任人”的内部机制责任机制，有助于将重大风险控制在源头，并保持灵活、高效、易行的特点，是一项很值得中小企业投入的选择。建立这种机制的步骤是：

　　一、以企业的目标为出发点，识别影响企业目标达成的重大风险。目前有很多成熟的风险评估工具可供选用，如风险评估矩阵、SWOT分析等。对中小企业而言，一个实效的做法是，在头脑风暴的基础上得出内外部风险的清单，然后由各方面人员组成评审组，按照影响目标达成的可能性和风险一旦发生的影响程度大小，采取强制排序的方法选出重大风险。

　　需要说明的是，很多企业的目标仅仅限于经济效益方面，没有全面的体现内部控制的“经营的效率效果、信息真实和守法”的目标，不完整的目标体系将可能导致不完整的风险识别。

　　二、对上述重大风险选择适当的风险管理目标和管理策略。在考察风险的源头和形成机理的基础上，根据企业能够承担的控制成本，可以采取“接受、回避、转移、控制、拒绝、共享”等多种策略，来达到不同的控制目标。以惠普公司为例，把公司定义的12种重大风险分成运作风险、商业风险、环境风险三类，对运作风险要求100%的防范，商业风险要求“主动预警、自我评估、战略调整”，而对环境风险的要求是“学习、调整、适应”。这里特别要注意的是，不要让控制成本超出了风险成本。

　　三、对于决策要管理的重大风险，要明确一个风险的牵头人(owner)，并落实到各级管理者的绩效考核中，实现风险控制的责任分解。也就是说，各级管理者不但承担着完成企业分解下来的经营目标的责任，而且有要把企业风险控制在可以接受的水平上的职责。

　　四、在风险管理的责任落实之后，公司级的管理者要对重大风险建立起过程监控和结果核实机制。例如，通过建立KPI指标和定期的经营分析，可以对风险进行预警；通过对各级管理者的业绩评估，可以评价风险控制的效果并落实奖惩机制。一些大公司(例如IBM,联想)的思路值得借鉴：通过制定企业级的内部控制标准,把一个组织内部的内部控制水平量化成不同档次，进而制定各部门年度的控制水平达标目标，从而有力地推动了各个部门控制水平的提升。

　　以上四个步骤并不复杂，然而如果真正得以实施的话，将可以在企业的内部管理中建立一堵坚实的防火墙，不但解决了重大风险的预警和防范问题，而且培养了一个具有风险意识的团队，真正把风险控制融入到企业文化中去。这一点，对于中小企业的长远发展尤为重要。