关于风险,一种常见的定义是,风险是预期损失的不确定性或可能性。这种说法,给了我们三个重要信息:一是风险是当下对未来的预计,因而关联现在与未来的时间间隔——通常是间隔越大,不确定性的“风险”就越大;二是风险是与“损失”一类负面的东西相关联的,一个“险”字就已经说明了问题;三是风险是看不见、摸不着的,仅只是一种“可能性”,一旦时间间隔消失,风险就会转化成可见的“损失”或“没有损失(收益)”。
定义来自对实践的总结,又反过来服务于实践。当我们说“这个有风险”时,说明我们没有足够的把握,在确定的时间里,获得期望的正面结果。应当说,这里对“风险”的理解,并不完整。这是因为,未来的“不确定性”是绝对的,但最终结果,不会只有“损失”一个选项,还有“收益”,或是“损益持平”的结果,为什么只从“损失”一类负面的结果来看待“风险”呢?“预期收益”又算什么?正因为理解上的多元,在实践中,几乎所有的公司都将风险问题放在重要位置,但管控的组织和制度安排却大不相同。
第一种安排:设立或指定单一专门的管理机构来负责管控。鉴于风险是以“损失”的不确定性为核心内容的,而公司最终可见的“损失”都会在财务指标上反映出来,因此,风险管控的职责,不是设置独立的风险管理部门来承担,就是指定财务部门来承担。这种安排的基本出发点,是将风险管控视同为一种关联财务结果的专业性管理,即使有独立的专门风险管理机构,其职责实质上也只是管控“财务风险”而已。这种组织和制度安排,在公司治理的实践中,占有一定的比重。
第二种安排:将风险进行分类,设立或指定多个不同的管理机构来负责管控不同类别的风险。既然风险是关于未来“损失”的不确定性或可能性,那么,所有带来这些不确定性的要素,都应当纳入到风险管控的范围。这就将管控的视野,从财务性的结果转向了生成这种结果的种种可能因素上。由此,风险就不只是“财务类”一种,而是有了许多种,或是说一个“族群”。如银行类公司,至少就有信用风险、市场风险和操作风险三大类,分别意味着风险产生于信贷业务、市场交易或工作流程之中。如此一来,风险管控就必须由多个不同的机构负责。这也就是现实治理中,许多公司按风险类别设立或指定多个机构来承担管控的原由。
在这里,自然地会引申出一个推论来:任何带来风险的因素,都将导致风险管控机构的增加。例如政策变化、法律纠纷、声誉受损等,都会带出未来“损失”的可能,也都需要相应的组织和制度安排。风险管控在此成了风险因素变化的“函数”,风险管控的外延迅速地扩张开来。这时,风险管控就不再是一种特殊机构的“专业工作”,而是成了任何牵涉风险机构的“常态工作”,“风险管控”的组织框架大为丰富起来。
第三种安排:设立风险管控的综合性机构,同时将风险管控的职责分布到决策、管理和执行的所有的环节,形成全员性的风险管控体系。这是对“风险”最大口径认知下的组织和制度安排,其基本思路是,公司从决策到执行的所有环节、所有流程和所有成员,均有可能成为导引出“不确定性”结果的风险因素;因此,公司决策、管理和执行的所有事项,不应只是围绕创造效益来推进,还应当围绕降低风险来操办——后者与前者都是公司层面的战略问题,直接关联未来或正或负的结果。相应地,组织和制度安排,就必须从战略高度,设立最高层级的综合风险管控机构,再通过公司的运行体系,将风险管控的战略理念到具体预案,传递并安排到每个层级、部门、单元和员工,在决策、管理和执行的全流程中得以落实。
例如,现代完备的公司治理结构,董事会里设立有风险管理委员会,管理层有首席风险官和风险管理部门,执行层则将风险管控要求完全地融合到日常操作事项里。在这样的组织和制度安排下,风险问题就全系统化和全员化了。不论是身居决策“庙堂”的高管,还是处于执行之位的“工匠”,在他们的专业性工作里,已经内含了风险管控的元素。虽然说,未来的不确定性并不因为管控的全面化而消失,但如此的组织和制度安排,最大限度地弱化了不确定性。
从上面三种情形来看,第一种可称之为“基于结果的风险管控”,第二种可称之为“基于原因的风险管控”,第三种则是“综合原因和结果的全面风险管控”。显而易见,从风险的视角来看,第二种好于第一种,第三种安排最佳。当然,第一种安排也有其价值,因为它一定强于绝对没风险管控组织和制度安排的公司。令人遗憾的是,观察表明,第三种最为完备的风险管控体系,在现实经济生活中仅仅是凤毛麟角。为什么大量的公司不采取“最佳的”风险管控安排呢?
事情的关键还是对“风险问题”的理解有偏差。一方面,不少人认为,“风险管控”只是一种专业性的管理和操作活动,如同市场营销、财务管理、技术上的支持等专业活动一样,设立或指定相应的专门机构负责即是,它并不是特别需要嵌入到公司运行的全过程中;另一方面,不少人将“风险管控”与效益创造对立起来,认为任何“风险管控”的活动都是对生产、销售等经营活动的限定,过度“管控”会增加成本并损害利润,更何况“风险管控”自身还要消耗相应的人、财、物等成本,因而其组织和制度安排必须是严格限制的。
理解的偏差无疑将引致出行动的偏离。可见,第三种组织和制度安排的稀少,其实早就预埋在对“风险”认知的欠缺里。如果说,我们将“风险”理解为“未来预期的不确定性或可能性”,它包括的不仅是负面“损失”还有正面“收益”的预期,那么,“风险管控”就不只会尽量地去消除“损失”的不确定性,还会尽量地去将“收益”的可能性转化为现实——“风险管控”在这里,就成了创造利润的另外一种途径,与那直接形成利润的生产和销售活动并无不同。这样一来,“风险管控”就是整个公司的战略问题,而不只是战略之下的一个管理或操作问题。与此同时,组织和制度的安排,就必须从公司的战略高度来做全面的设计和落实。
容易看出,第三种安排在本质上,就是全面风险管控和生产经营体系的融合建造——既有完备的风险战略决策、风险管理工具制造和风险配置落实的组织构架,又是将风险管控嵌入到日常生产、销售等经营管理流程之中。公司的每一位员工,既是生产者、经营者或管理者,也是自然而然的风险管控者,生产和销售活动同时也是“风险管控”活动。甚至可以说,在这样的体系下,不存在生产和销售之外的“风险管控”,也不存在“风险管控”之外的生产和销售,两种不同的职责在此不再分离,减少不确定性和创造效益是同一个目标。
显然,当“风险管控”成为了公司的战略时,直接相关的管控组织(如董事会的风险管理委员会、管理层的风险管理团队等)就必须重新界定职责,即从时下较为混沌的宏观微观一把抓的“风险管控”,转化为相对单纯的宏观层面的战略掌舵,只是负责风险偏好战略的制定、风险政策和策略的研究、制定、实施和调适,以及风险管控方法和工具的开发,风险计量模型的设计、评估,再加上风险管控的考核等。日常的微观性管控工作,则和生产、销售任务一样,配置到公司的各个层次、单元和个人。在这个意义上讲,公司的每一个员工,人人都是负责风险管控的“风险总监”或“风险官”。