企业中，风险管理是一项应用实践型工作，虽然不追求过度的严密、精准，但却追求结果效能。毕竟，没有哪个企业愿意为无效工作而付出成本。当然，特殊的为应对上级要求为目的的，例外。

每次与企业沟通，看到风控主管人员递来的来源于第三方完成的各种“风险清单”、“企业风险管理报告”、“内控手册”，都有种莫名的惆怅。

风险清单没有考虑企业预防风险所建立的管理基础，是一套用风险语言转化出的功能反映；风险管理报告中的风险，很多也并不具有客观性、可落实性，而是系统、原理型长期存在的风险描述。譬如，并购风险，但事实是，只要并购就有并购风险┄┈

很多时候，人们研究风控，过度地从理论维度进行“理想型设想”，却疏忽于理论是实践的先导。落实于实践，需要结合实际进行转化。风控解决的是“应该、需要解决的课题”，而不是“想解决的理想课题”。

正如战略风险、市场风险、运营风险、财务风险、法律风险分类的体现一样，企业如果不对每个类别风险进行定义，或者进行与企业耦合的转化，只是作为一级风险进行分解，无论怎么拆分，都有重叠、抵触，甚至交叉、矛盾的感觉。因为，它是基于理论基础上对所有企业风险的系统、原理型划分，而风险具有客观、层次、多源、传递性。

其实，这个问题也一直困扰着笔者，并不是每个人都对风险管理有周全认识，来自于权威机构的面向所有企业的指引型文件，更坚定了不少“管理者”继承这一划分的意志——可以消除任何异议、质疑。于是，千变万化的企业，形成了万般一致的风险类型划分。

笔者曾有在集团企业从事风控工作达10年的经历。期间，曾努力地改变这一状况，将风险管理落实于实际运营中的“不确定事项”，改变一成不变、周而复始地论述“本质风险”的突出问题，以真实发挥风险管理的保证价值，但困难重重，只能在工作中采取迂回策略推进，好累！

所谓本质风险，就是企业处于哪个行业，就会面对无以回避的行业风险。譬如，驾驶车辆就会存在违反交规风险；从事商品交易，就会存在市场环境变化的盈亏风险；从事航天行业，就会存在成败风险；从事高危环境作业，就会存在安全风险一样。保持长年风险不变，似乎也没什么说不通的，但如果追求风险管理效能，不能这样！没有任何意义。

现实是，本质风险是企业所处行业、环境决定的，企业能够做的就是预防。预防风险，通常用流程、制度来实现，而不是风险管理。风险管理解决的是规则作用之外的“剩余风险”。遗憾的是，很多人枉顾“条件和基础”，把风控变成了“讲故事”、“做任务”。

任何一个企业，无论是管理与作业，还是规则的制定，都不能缺失风险思维，但并非所有的管理与作业，都是依靠风险管理来保证。所以，对于一个规则健全的企业，风险管理必然对应于流程执行中的延伸事项或环境变化。缺失这一条件的企业，风险管理的效能，值得质疑。

需要说明的是，这里谈的风险管理，指的是除内部控制、合规管理可以干预、控制之外的风险。因为，我们可以通过对三者的自定义，避免三者功能交叉。否则，任何观点都是浑水摸鱼、盲人摸象。

01.用2X原则，划分企业风险层级

企业对风险类型的划分，并没有完全统一的标准，但肯定的是，风险类型是由企业根据自身追求、面对的外部环境、内部运营环境进行的设定。类型的划分，应建立在“同一参照标准原则”下，形成的无重叠、无交叉的划分结果（如果存在，可以通过设定排除，以统一认识）。

企业面对的风险包括两种：一种是客观存在，但无法影响的风险；另一种是通过采取措施，可以施加影响的风险。只有第二种，“将风险控制在可承受范围内”的说法，才能成立。

企业是市场经营主体，总是处在无法影响和可以施加影响的风险环境中。风险识别的任务是：把无法施加影响的风险，视为风险因子，转化为可以施加影响的风险，反映了企业外部链接与内部整合的关系。

我的划分原则是，基于回归企业本质的“追求合法合规基础上的利润”，同时具备“将风险细化为不确定状态的事项”条件。由此，可以肯定的是：合规风险是所有企业的一级风险类型。

战略、市场、运营、财务风险，很难清晰、准确地划分边界。譬如，立足扩张为目的的收购、并购，立足市场需求的重大投资，重大投资决策下的大额债务性筹款、企业运营条件下的债务偿还等，都可以构成“战略风险”。同时，这些活动还兼具“市场风险、运营风险、财务风险”的特点，所以，很难进一步细分。

这些特点，都有一个共同点，重大活动的“决策”，所以，“决策风险”是所有企业的一级风险类型。

企业通过有秩序的运作，实现收益及增长，所以，“运营风险”是所有企业的一级风险类型，但不能这么表达，需要进行细分。

企业的运营，与所处行业、产品特点、生产方式、创新能力、营销模式、管理模式、流程、员工、基础设施等紧密相关，由此构成了不同企业“一级风险类型”划分的差异点，考验的是企业风险管理者的管理能力、水平与智慧。

企业中，组织是分层级的、管理是分层级的、风险也是分层级的。企业级风险类型的划分，并不是“风险表达的通式”，而是为了更好地进行企业级风险分析。所以，企业级的风险层级，最好控制为2层。这是本文提到的“2X”的含义之一。

企业由组织构成、组织因事而存在。有目标追求就会做事儿，做事儿的结果，通过“绩效”来衡量，从而证实组织目标追求的实现程度。

做事儿，自然会存在“风险”；不作为，风险自然很小，除非企业管理规范、合理、透明。所以，企业的风控，是以绩效为导向的。

每个组织，都有“不放心、担心出现的问题”，把这些问题总结、归纳、概括出来，就是每个组织的“风险清单”。这样的风险清单，必然考虑到“规则预防风险的条件能力”，所以，是客观的、可落实的，其结果，必然有别于“理论化风险清单”，简单而有效。

把组织的风险清单与企业级风险框架关联起来，都会找到出处，构成了企业级、组织级的“两级多层”风险框架。区别是企业级风险在“企业层评估”、组织级风险在“组织层评估”，从而构成了“风险信息传递通道”。这是本文提到的“2X”的含义之二。

02.如何将风险具体化为“事项”，以反映客观、可影响

在企业中，风险是可延伸的，但不可无尽延伸，否则会一团乱麻。所以，风险评估的分析层级是关键。

风险评估的原则是“两级多维”，两级包括“风险因子+结果状态”，但前提是基于“事项”。两级是“2”，多维是“X”。譬如：企业对营运资金风险的分析，目标的确立，不单单是孤立的“安全”，还有“流动性”、“资金成本”，由此分析、评价风险的影响程度、可能性趋势。这是本文提到的“2X”的含义之三。

那么，如何将比较宏观的风险现象转变为“风险事项”呢？321原则，就是转变的诀窍。

321中的“3”，相对应的是“本质风险”。譬如企业中经常见到的产品风险、安全风险、质量风险、供应链风险等等，都是“高级管理者”的担心所在，反映的是“领导重视”下的不确定性，并不一定意味着风险必然存在，但一定很重要。

风险的识别要向下再挖“2层”，其中体现的是“经验、参照、感知、定性”。比如：产品风险是由于新技术应用、或工艺缺陷，可能带来的产品性能不稳定风险，这是深挖的第一层；再挖一层基本就可以“具体化”，形成“XXX新技术应用，可能带来的产品性能不稳定风险”的结果，从而落实到“不确定事项”。

321中的“2”，相对应的是“有苗头或曾经发生过问题，但尚无外在表现的风险”，是基于过程感知的识别结果，这种风险具有一定程度的可能性。比如：外协产品质量不稳定，导致企业计划风险。风险的识别要向下再挖“1层”，基本就可以“具体化”，形成“XXX产品质量不稳定”的描述结果。

321中的“1”，相对应的是“已经存在外在表现的风险”，即风险苗头。这种风险是具体的，是需要立即采取控制措施的风险，无需再挖掘，直接表达即可。所以，这类风险需要“简单、直接化处置”，一般通过“风险评估表单”反映。

03.如何进行风险报告及处置

原理上，风险是相对目标而言的，目标可以从企业一直分解到个人，不同层级风险，可以视管控效果的难度、风险程度、可能性等，逐级上报，以寻求更多资源，但这仅仅是原理，现实中不可能这样做。否则，企业秩序就会被打破。

在正常情况下，风险的传递，也需要坚持2X原则，根据风险处置情况与效果，实施最大化的“两级”报送制。当然，特殊情况，可以直接采取处置措施，总不能看到“可能造成重大危害的起火特殊情况”，还要呈报批准后再处置吧。所以，企业管理的严密性、合理性，非常重要。

为什么实施两级报送制？很简单，超出两级，意味着“管理上”出现了问题。如果两级仍然不能“解决风险问题”怎么办？直接升级到企业级的“主管部门”，抄报风险管理部门，实施企业级的“管理干预”、“风险变化趋势监视与预警”。这是本文提到的“2X”的含义之四。