时间飞逝，转眼又到企业开展2025年度风险预测与评估的时点。

企业年度风险评估，不同于内部控制与合规管理，属于企业风险管理中风险管控工作的一项定期活动，是做好年度风险规划的手段。

如何看待年度风险评估？很多企业建立在笼统认识基础上开展工作，但实质包括两层含义：一是风险评估，二是风险规划。放在企业层，更合适的说法不应该是年度风险评估，而应该是2025年度经营风险规划。

年度风险评估到什么程度？并不好界定，但基本思维应与战略分解为年度经营计划一致，放在一个企业，应该到事业单位层，即通常讲的BU。

01.常讲的年度风险评估是在做什么？

似乎又出了一个新词 —— 风险规划。没错，风险管理属于一项管理职能，也需要进行年度规划，其中渗透着年度计划事项确立、预测、评估思维。

对很多企业来讲，规划这个词并不陌生，常常表现为对下一年度的业务策划。风险管理作为主管部门的一项归口职能，当然需要进行风险规划。但我所讲的风险规划，不同于年度风险管理工作安排。

风险管理工作安排，是纵向的职能纵向条线化工作策划；风险规划，是横、纵结合的企业运营层风险结构化的“管控”责任布局。年度风险规划的对象是“经营风险”。

经营，可以简单理解为将计划目标转变为结果的过程。计划目标来源于对本年度经营差距的改善、与竞争对手或行业对标、下年度工作确定、预测与风险评估，以及中期规划目标分解、高级领导者基于外部环境判断的期望。有一个自上而下指导、自下而上会聚的反复确认过程。从组织角度，年度计划落实到哪层，风险评估就应该伴随到哪层。

下年度经营风险，指的是伴随计划目标规划过程评估出来的风险事项，与业务规划相伴相生，经风险管理主管部门综合、分析评价，归纳、确认的企业级年度经营风险重点，是指导企业下属各组织开展风险管控的风险规划。

风险评估由具体承担绩效计划目标责任的功能组织实施，而不是企业。

通常所讲的企业级风险评估，本质不是评估，而是风险方向判断、风险评估信息综合、归纳、分析评价并做出选择的风险规划，建立在自下而上风险信息成立的假设基础上。

事实上，企业风险管理主管部门承担不了风险评估工作，能做的是基于收集风险评估信息的分析与评价，只不过大多企业混淆了二者的关系与概念，评估与评价、规划并不一样。

风险评估基于支撑绩效计划目标的事项，风险规划基于企业期望目标、风险方向与关键风险信息间的平衡。决定企业风险管控能否有效的关键就在于此，是风险管控的发起端，再分解落实于经营过程中的关联环节。

现实中，经常有企业功能组织认为不存在年度风险，实质是因压低目标追求的消极表现。衡量计划有效性的指标，应该存在不少于40%功能组织的绩效结果呈现收敛状态，而不是全部呈现为前后平行的管状，是有效绩效管理成立的假设条件。否则，绩效评价、绩效激励、末位淘汰、能上能下等，都是浮于表面、实质是主观认识的口号或空谈。

至于动态风险管控，以及与企业经营质量紧密相关的常态风险监视，是企业风控的另一层次课题，也属于风险管理主管部门沟通、推进的工作事项。动态风险管控基于管理，评估聚焦于确定的风险指标结构，不同于年度风险规划与评估，我们不做阐述。

企业规划的重点风险，会与相关功能组织的风险事项形成一对多的关联关系，构成了落实年度风险管控责任、实施风险管理绩效评价的依据，表现为下年度风险管控计划。

不与下年度计划事项结合的风险评估，本质是一种判断型描述，判断较预测更不靠谱，很难谈得上落地。没有建立在风险信息评价基础上的风险规划，本质是主管部门基于主观认识或判断信息写出的一份资料报告。

风险管控对应的是事项，风险监视指的是对特定事项风险指标趋势的预测，很多场景离不开发生的现实数据、纵向数据以及行业平均数据，包括时间、数量、数字等，风险指标往往选择看似无关的先验性指标，反映的是因，大多不是最直观的结果指标，那是表象。

02.有效的风控基于澄清后的实践转化

很多人谈风险管理，经常处于一种“混沌”状态，原因是风险管理是一般概念。

企业不能依靠一般概念，处理千差万别的风险问题。不同属性的风险，需要结合实践寻求不同的方法，即内部控制、合规管理、风险管控。

即使如此，我们只能说内控、合规、风控，构成了风险管理中对事、对人、对预测的一级结构形态，要让每个结构发挥功能，还需要进一步澄清三者的关系，以及每一个结构的构成形态，而不是依靠直观认识而匆忙开展工作。

缺少这个过程，企业的风险管理只会处于用概念指导工作的状态，从而失去应该发挥的功能，在企业中表现为“不能落地”，或一事一布置。即便企业保持十几年的磨合、改善、纠正，也难以改变，因为顶层没有做稳定性规划，必然遭受后端的加倍反噬，这就是管理中常讲的“混沌”。

就好比合规风险一样，人们总喜欢纠结于合规风险究竟来源于规则、还是来源于企业运营风险讨论来、讨论去，却忘记了澄清：两种说法都有道理，前者来源于规则中的合规要求，应强化合规；后者来源于运营现实，应强化以合规为导向的风控。做到认识、管理一致，不就解决了困惑？这就是让模糊变清晰的方法，需要通过内部“自主定义”澄清。

当一套单维的制度被企业应用的时候，并不是制度怎么讲就应该怎么做，而是向原生态的回归与还原。回归与还原的前提，必然离不开标准定义，即企业的“自主性”。通俗点说，自己的想法与方法假设，必须让所有人理解、归一，化解后期“认识失控”风险。

就好比风险管控一样，作为风险管理的一级结构之一，如果不加以进一步澄清，仍会出现“管理混沌”，所以，很多企业至今仍在纠结、困惑中完成任务，完成任务与系统地有条理工作不是一回事儿。

风险管控，是风险管理的一个结构，也是分层级的。我讲的层级，不是为了管理有序而梳理出一套风险类别、层级嵌套关系，而是决策层风险选择级、企业层年度规划风险的管控级，以及运营层为达成绩效而开展的动态风控级、与企业经营质量相关的常态经营风险监视级。

四者以不一样的形式、方法存在。如果企业混合在一起谈风险管控，就只能停留在理念层，绝无可能找到可持续的落地方法，更别说把内控、合规、风险管理协同的观点，事实上，他们也不是协同关系，而是按需灵活应用的关系。

仔细思考，是不是在可理解的基础上，通过分类、分层的方式，正在向“行动、责任”一点点靠近？这才是将风控转化为实践前应该做的准备工作，当然是风险管理主管部门的责任。这种推动企业风险管理的思维，实质是规划、管理思维，而不是监督、风险思维。

任何通用概念，在不同的站位，会有不同的结论或看法。企业是一个结构化、层级化组织，站位呈现多样性，没有澄清，就会出现“各抒己见”的问题，这就是管理不稳定的原因。

事实上，人们更愿意写出一套内控手册、合规管理手册，因为他们更接近现实中的管理，只要拥有多方面的管理知识与经验，写出一份手册本身不是什么难事儿，难的是可借鉴与可执行性。风险管控更侧重于实践行动，能够形成用于指导实践行动的风险管控手册，那才是真正的实力。

回归到一个企业，如果真正追求落地、追求实效，假如没有对内控、合规、风控的系统策划和内部自主化澄清，三份界定清晰、互不交叉的“实效化”手册同时存在，能做出来的人不多。至于不加界定混为一谈的做法，那只是混沌认识下的观点，看都不值得看。

我讲的是能够被别人用的实效化手册，而不是没人用、只能证实“我做了”的资料化形式。对大多人来讲，处理好理论与实践相结合的整体、系统、面、线、点的关系，并非那么容易。

风险规划是横向的企业运营层风险结构化管控责任布局，其中的责任，包括风险解决方案转化为年度工作计划责任，也包括风险管控所需资源的申请权、使用权，当然，也包括对年度风险趋势变化的跟踪、分析与及时反馈责任，以及为达成绩效自行组织开展的动态风险管控活动，实现“责、权”对等，这些工作基于风险管理的“管理”。

风险规划与风险管控责任，是第二道防线、第一道防线功能协同发挥的最直接反映，协同体现为前后关系的并行化。因为，风险规划是企业实现年度经营目标需要有关部门重点管控的风险所在，是达成企业绩效的“一体两面”。风险管控的结果并非绝对不发生风险，而是态度与责任的体现。

业务即风险，风险即业务。脱离业务经营泛泛而谈的风险，是臆测的、不可管控的表现；缺少不确定、风险分布的预测、策划，好听点说叫偏于保守，刺激点说是管理一头雾水。

没有风险规划的第二道防线，必浮于工作职责的表面；没有落实到风险管控责任的第一道防线，要么挑战风险的魄力不足，要么没有追求绩效贡献。对企业来讲，也映衬出采用的是保守、消极的发展战略。

很多时候，人们把风险管理着眼于最直观的“防控风险”，却疏忽了能力的构建。风险管理最大的意义是“鼓励挑战风险”，同时做好“风险防控”，没有基于追求的风险挑战，哪来的发展驱动力；没有对风险的防控，又哪来的高质量？

03.年度风险评估与风险规划怎么做？

风险规划是指导年度风险管控行动、责任的输入端，风险管理主管部门组织开展的年度风险评估，是支撑企业风险规划的手段。没有年度风险规划，企业就缺少了年度风险管控的行动方向。

对中央企业来讲，组织架构、业态分布并不一样，决定了风险管理的内在模式、方法分布的不同。但不管什么类型的央企集团、运营管理型单位、事业运营单位，只要建立了周全的规划思维，都可以用总部、战略管理单位、战略实施单位、事业单位、业务单元的五层结构思维进行破解。

风险评估适用的是战略实施单位、事业单位、事业单元，为避免工作复杂化，一般只需要落实到事业单位即可，构成与年度计划的匹配。需要说明的是，这里沿用的单位，因企而异，不一定是法人单位，而是战略管理的一种“抽象”表达，也是进行战略分析的落脚点。

风险规划适用于总部、每个层级的战略单位，规划结果需要与风险评估的风险事项关联，由此构成风险重点、风险事项的结合。否则，就落实不了责任，也难以构成风险趋势监视。

理顺了工作逻辑，我们回归到常态的年度风险评估。既然最终结果的目的是风险规划，当然需要遵从“规划程序”进行工作部署。

规划程序是什么？是自上而下、自下而上的合并运用。首先需要从企业整体角度，向下分散化传达公司关注的重点风险方向、目的、原则及工作要求，然后由企业事业单位实施风险评估，风险信息逐层向战略实施单位、战略管理单位、总部收敛，逐层完成风险规划。

这样做的好处是，不同层级组织都可以构成风险规划与事项的关联，都可以根据事后接到的年度风控计划，以“绩效、贡献”为导向进行风险组合与优化，都可以让管理者知道下年度与绩效关联的风险重点，从而实现风险管控基于绩效追求的目的。

风险评估怎么做？年度风险评估不同于基于具体业务的“长效风控机制”，体现的是一种预测下的度量，是对预测事项的不确定性评估，可以通过表单解决，化解基层、一线员工陷入“写报告”的窘境，把风险评估导向下年度的计划事项。

至于风险规划中的相关上年度总结、本年度环境与工作设想等内容，由战略管理单位的管理层解决。那么单位职能管理部门怎么实施风险评估呢？只评估部门直接承担的下年度计划事项、职责范围内关注的风险重点。

单位层风险规划怎么做？基于收集风险信息的归类、分析与评价，体现为风险应用目的的“选择”。选择，要预留再评价空间，再评价的主体包括企业级领导、各部门管理者、专家，其中也有一套“降低局部认知局限性”的评价方法，旨在化解部门立场局限造成的不平衡问题。

04.结语：风险规划怎么用？

年度风险规划与评估具有涉及范围大、动用资源多的特点。做好了，既可以帮助企业做好下年度的工作策划，又可以找到下年度的不确定环节所在，还可以引导企业领导层、管理层合理确定重点关注事项；做不好，就是浪费资源、时间的毫无意义的撰写报告。

年度风险评估不是没有意义，没有意义的是“与年度规划脱节的形式化风险评估”。事实上，风险管理无需喊什么“与业务融合”的口号，本身就是规划预测、业务策划、评估、评价与选择等不可缺失的构成部分。

当然，需要界定好已有管理与风险管理的关系，界定好业务工作中与已有可靠性控制、质量控制、计划控制、保密控制等措施的关系。风险管控只能成为发挥补充、保证作用的手段，不能变成什么都可替代的泛泛说辞。

对每个企业来讲，年度风险规划的用途有两个：一是对外、二是对内，二者内容并不完全一样。

对外由央企、地方国企集团完成，根据国资委年度具体要求，在年度风险规划的基础上，突出方向及集团重要风险事项形成报告即可，满足国资委综合分析、评价，用以指导各央企下年度共同风险方向、行业领域重点风险、单体集团风险重点的需求即可。

任何企业的风险评估应该把持好定位，不应变成为了完成上级要求而不得不完成的任务，而应视为企业追求高质量发展的需要，是企业应坚持的理念。

正确的理念不等于现实的实践，需要通过必要的管理机制保障实现，保障来源于风险规划即年度风险管控计划的应用。企业中，有部署必有反馈，是管理中的一条铁律，而不是部署时雷声隆隆，结果反馈时变成了缩头收尾。

年度管控计划是方向与事项结合的、可检查、可评价的结果输出，是企业对下属企业实施风险管理绩效评价的“正式”依据，而不能偷梁换柱变成给下属单位看的“非正式资料”，实质是风险管理主管部门“缺乏自信心”的反映。

风险管理绩效评价，构成了年度风控工作的收尾端，不一定以结果论，重在风险管控的态度、过程行动的度量，但结果一定影响评价，从而构成风险管控的闭环。