前两期我们介绍了企业在内控体系建设中如何进行风险识别(见《在内控体系建设中如何开展风险识别工作》)和风险评估(见《在内控体系建设中如何开展风险评估工作》),风险识别的目标是发现所有可能影响企业经营的潜在风险,然后通过风险评估量化风险发生的可能性和影响。针对风险评估的结果,下一步就是选择相应的风险管理策略来应对风险。
所谓的风险管理策略是企业为了应对潜在风险而制定的总体行动计划,旨在通过系统化的方法实现风险与收益的平衡。三者从流程上来看,风险识别是流程的起点,风险评估依赖于风险识别的结果,风险管理策略依赖于风险评估的结果,策略执行后需要持续监控风险状态,若新风险出现或原有风险变化,则要重新进行风险识别和评估,动态调整风险策略。
根据国际权威框架(如COSO ERM、ISO 31000:2018),风险管理策略通常分为四类,即风险规避(Risk Avoidance)、风险降低(Risk Mitigation)、风险转移(Risk Transfer)和风险接受(Risk Acceptance)。每种策略对应着不同的风险应对逻辑和适用场景。以下是具体分类分析:
风险与内控体系建设整体框架
一、风险规避(Avoidance)
1.定义
风险规避是风险管理策略中最具主动性的一种应对方式,核心目标是通过改变计划、流程或业务模式,完全消除或彻底远离潜在风险源,从而避免风险发生的可能性及由此带来的负面影响。底层逻辑在于“主动放弃”而非“被动防御”,这种策略的关键是对风险的预判能力,需要在风险发生前识别其不可接受性,并果断采取行动。
2.适用场景
风险规避策略通常适用于那些发生概率高、潜在损失大,且其他应对方式成本过高或效果有限的风险场景。通常包括以下四类:
(1)高风险且收益不明确:当潜在风险的发生概率高,且失败后的损失远超可能的收益时,规避成为理性选择。比如企业评估出某项投资项目的违约概率超过50%,且无对冲手段,这种情形下可能直接拒绝投资。
(2)存在法律或合规风险:某些业务可能违反法律法规或行业政策而面临巨额罚款甚至刑事责任,企业会选择规避。比如某药企发现药物存在未被充分验证的副作用,可能暂停临床试验以避免法律纠纷。
(3)技术或资源不可行:当某项技术尚未成熟,或企业缺乏必要资源时,强行推进可能导致失败,此时规避风险更为明智。比如某初创公司计划开发科技产品,但供应链受限且成本过高,可能放弃该产品。
(4)替代方案更优:当存在风险更低且收益相近的替代方案时,企业会优先选择更安全的路径。比如物流公司若发现某条运输路线事故率极高,即使成本更低,也会选择更换更安全的路线。
3.风险规避的实施步骤与方法
实施风险规避策略要遵循系统性流程,以确保决策的科学性:
(1)风险识别与评估:明确风险的性质、发生概率及潜在影响,确定风险的优先级。
(2)替代方案分析:评估是否存在低风险或无风险的替代方案。
(3)决策权衡:比较风险规避的成本与潜在损失。若规避成本低于风险发生后的预期损失,则选择规避。
(4)执行与沟通:明确终止高风险活动,并向利益相关方说明决策依据。
4.风险规避的优缺点分析
风险规避的优点是可以彻底消除不确定性,通过完全放弃风险活动,避免后续可能存在的连锁反应。可以避免在高风险领域投入时间、资金和管理精力,转而聚焦于可控业务。可以维护企业声誉,在公众对安全敏感的行业中,规避高风险行为有助于保持企业公信力。
风险规避的局限性在于机会成本过高,规避风险可能意味着放弃潜在收益。该策略适用范围有限,并非所有风险均可规避。同时规避可能引发新的风险,催生其他问题。
5.总结
风险规避并非消极退缩,而是风险管理中“理性止损”的体现。其成功关键在于精准的风险识别与评估能力,以及对“何时规避、何时进取”的动态权衡。企业要避免两种极端情况,一是过度规避导致错失发展机会,二是盲目冒险忽视潜在危机。在实践中,风险规避常与风险减轻、转移等策略组合使用,形成多层次防御体系。这种动态平衡,才是风险管理的核心价值所在。
二、风险降低(Risk Mitigation)
1.定义
风险降低是风险管理策略中通过主动干预降低风险发生概率或减轻其潜在影响的系统性方法。风险降低的核心在于“主动控制”,与风险规避不同,它并不完全排斥风险,而是通过优化流程、增强控制或准备应急方案等方式,将风险的危害控制在可接受范围内。核心逻辑是“降低风险暴露”,而非彻底消除风险源,强调在风险与收益之间寻求动态平衡。这种策略的关键在于对风险的可控性评估,需要权衡缓解措施的成本与潜在收益。
2.适用场景
风险降低策略尤其适用于那些无法完全规避、但可通过资源投入和技术手段有效管控的风险场景,主要有以下四类:
(1)高概率但影响可控的风险:当风险发生可能性较高,但后果可通过干预减轻时,优先采用降低策略。比如制造业中设备故障率较高,但通过定期维护和安装监测系统,可以显著降低风险。
(2)保留风险以获取收益的场景:若风险与核心业务目标紧密相关,完全规避可能丧失发展机会,此时降低是更优选择。例如药企研发新药时,存在临床试验失败风险,但通过分阶段试验和数据监控,可以降低不确定性。
(3)系统性风险的局部管控:对于无法完全规避的宏观风险(如政策变化),企业通过多元化投资、供应链分散化等方式减轻冲击。
(4)法律法规要求的强制措施:某些行业需要遵循强制性的风险控制标准。例如,金融行业需要满足巴塞尔协议对资本充足率的要求,以减轻潜在的流动性风险。
3.风险降低的实施步骤与方法
风险降低的实施要遵循“识别→分析→干预→监控”的闭环流程,确保措施的有效性与动态适应性:
(1)风险识别与优先级排序:明确需减轻的风险类型及其优先级。
(2)风险成因分析与方案设计:针对风险发生的原因采取干预措施。通过冗余设计或应急资源储备削弱风险后果。
(3)成本效益分析与方案选择:评估缓解措施的成本与预期收益,选择最优方案。
(4)执行与持续监控:落地措施执行,完善制度流程,定期评估缓解措施的有效性。
4.风险降低的优缺点分析
风险降低策略的优势是可以平衡风险与收益,既非完全放弃机会,也非被动承受后果,而是通过适度投入实现风险可控。通过冗余设计和应急准备提升企业的抗风险能力,增强企业韧性。
风险降低策略的局限性在于缓解措施可能涉及高额投入,存在资源消耗。同时降低的效果可能存在不确定性,部分措施可能因为执行偏差或外部环境变化而失效,缓解措施本身可能引发次生风险。
5.总结
风险降低的“中间路线”特性使其成为最常用的风险管理策略,用最小的成本实现最大的安全边际,但其成功依赖于精准的风险分析能力和资源的合理配置。风险降低策略并非万能钥匙,在实践中,它常与风险规避、转移等策略结合使用。
三、风险转移(Risk Transfer)
1.定义
风险转移是风险管理策略中通过合同、保险或其他机制将风险的财务后果或法律责任转移给第三方的系统性方法。与风险规避或风险降低策略不同,风险转移并不减少风险本身的发生概率或潜在危害,而是通过风险再分配实现风险成本的优化。这种策略的关键在于风险转移的“双向选择性”,转移方筛选出愿意且有能力承接风险的第三方,而承接方则通过定价机制覆盖潜在成本。
2.适用场景
风险转移策略适用于发生概率低但单次损失巨大,企业自身难以承担或专业能力不足的风险场景,主要有以下四类:
(1)偶发高损失风险:风险发生概率低但单次损失可能摧毁企业财务稳定性的场景。例如,企业购买财产险以转移火灾、洪水等导致的厂房损毁风险。
(2)专业领域风险:风险涉及特定行业的技术或法规要求,外包给专业机构转移管理责任。例如,化工企业委托第三方机构处理危险废物,转移环境污染风险。
(3)金融价格波动风险:通过期货、期权等金融衍生品工具,将汇率、利率或大宗商品价格波动风险转移给金融市场参与者。例如,出口企业购买外汇远期合约锁定汇率,避免汇率暴跌导致的利润缩水。
(4)供应链中断风险:通过合同条款将供应商延迟交付的赔偿责任转移给上游企业。例如,电子产品制造商在采购协议中约定供应商需按日赔偿延迟交货损失。
3.风险转移的实施步骤与方法
风险转移遵循“风险识别→转移方案设计→合同谈判→执行监控”的全流程管理,以确保转移的有效性与合法性:
(1)风险识别与量化:通过历史数据分析或建模工具评估风险的经济影响。
(2)转移方式选择:根据风险类型选择匹配的转移工具,如保险转移、合同转移、证券化转移等。
(3)转移成本核算与谈判:评估转移成本与潜在收益的平衡。比如某物流公司为转移货物损坏风险购买保险,要比较保费支出与预期理赔金额。若保费成本低于自留风险导致的利润波动,则选择投保;反之则可能自留风险。
(4)合同条款设计与执行监控:在合同中清晰界定风险转移的范围与条件,明确责任边界。实行动态监控机制,定期审查第三方承接方的风险管控能力。
4.风险转移的优缺点分析
风险转移策略的优势是可以隔离财务风险,通过保险或衍生品将巨额损失分散到整个风险池或金融市场,避免企业因单次事件破产。可以通过专业化分工增效,将非核心风险转移给专业机构,降低自身管理成本。可以通过合同条款规避连带责任,防范合规风险。
风险转移的局限性在于大部分转移成本高昂,且存在第三方依赖风险,若承接方破产或履约能力不足,风险转移可能失效。
5.总结
风险转移的“风险再分配”特性使其成为企业风险组合管理的关键工具,但其成功依赖于精准的风险定价能力和可靠的第三方。风险转移并非万能解决方案,其有效性取决于风险的可转移性、转移成本的合理性以及是否有执行保障。风险转移常与风险降低、规避等策略组合使用,这种组合策略体现了风险管理中的“风险分层应对”,将不可控的风险转移出去,将可控的风险主动管理。
四、风险接受(Risk Acceptance)
1.定义
风险接受是指在系统评估风险后,有意识地选择不采取主动干预措施,而是自行承担风险发生的潜在后果。当风险应对措施的成本超过风险本身可能造成的损失或风险的影响在可承受范围内时,接受风险成为理性选择。风险接受的底层逻辑在于“有限资源的最优配置”,企业的资源有限,若将资源过度投入低优先级风险管控中,可能挤占核心业务的发展机会。但风险接受并非消极放任,而是基于数据分析和战略考量的主动决策,强调对风险的动态监控与预案准备,以确保企业在风险实际发生时具备足够的韧性,是风险管理中不可或缺的“兜底”机制。
2.适用场景
风险接受主要有以下适用场景:
(1)低优先级运营风险:在风险评估中发生概率低或发生后损失影响小的低优先级风险。
(2)战略性新兴领域风险:企业进入未知市场时,接受初期客户获取成本高的风险以换取长期增长。
(3)保险免赔额内的风险:企业购买保险时约定小额损失自行承担,以降低保费支出。
(4)自然灾害的次生风险:比如地震频发区的企业在加固建筑后,接受余震导致的轻微损失风险。
3.风险接受的决策流程与方法
风险接受并非“一刀切”的放任,而是要通过系统化的流程确保决策的科学性:
(1)风险识别与量化:通过历史数据、模拟模型或专家判断,明确风险的性质与影响范围。
(2)成本效益分析:比较风险应对措施的成本与预期损失,包括直接成本和间接成本。
(3)风险阈值设定:明确企业可承受的风险上限,通常以财务指标(如年度最大损失限额)或非财务指标(如声誉损害程度)衡量。若超过阈值则触发主动防御措施。
(4)预案准备与监控:即使接受风险,仍需制定应急计划并持续监测风险状态。
4.风险接受的优缺点分析
风险接受的优势是可以避免在低价值风险上浪费资源,可以为高风险高回报决策提供空间。同时保持企业运营的灵活性。
策略的局限性在于潜在损失可能失控,若风险实际发生且影响超预期,可能导致危机。长期接受同类风险容易掩盖系统性风险,积累隐性危机。
5.总结
风险接受是风险管理成熟度的体现,标志着从被动防御转向主动权衡。它并非对风险的妥协,而是通过理性选择将资源聚焦于高价值领域。在实践中,风险接受常与风险减轻结合使用,形成“核心控制+弹性接受”的混合策略,既控制了重大风险,又避免了过度投入。这种组合策略体现了风险管理的在不确定中寻找确定性,在风险与收益间绘制最优路径。
五、风险管理策略选择原则
为了方便理解,我们对四种风险管理策略进行一下对比总结,具体如下:
各企业在选择风险策略时要充分考虑自身的风险可接受性、现有资源匹配度以及与企业的战略协同性。通过科学选择风险策略,才能在不确定性中最大化机会,最小化损失。
我们依据过往项目经验,在策略选择上提供三项原则供参考:
(1)风险等级匹配原则:根据风险概率和影响程度,匹配对应风险策略。
(2)成本效益分析原则
依据公式 (风险应对价值 = 潜在损失减少 - 应对成本)判断应对策略的经济合理性,若风险应对价值> 0则策略具有经济价值,值得实施;若风险应对价值≤ 0,则策略可能不划算,需要调整或放弃。
(3)企业风险偏好原则
依据自身企业的风险偏好选择风险策略。保守型企业倾向风险规避或风险降低;激进型企业可与选择接受高风险以追求高增长;平衡型企业的核心业务选择风险降低,新兴业务可以适度冒险。
