风险管理是一个需要普遍关注的问题。推进创新创业尤其应关注风险问题。新创企业能否存活和成功，已运行的企业能否持续发展，总是充满着挑战和不确定性。而风险的本质正是指事物演变发展的不确定性，反映的是结果偏离预期所生成的效果，可能是正面的也可能是负面的，甚或两者都有，进而形成或产生机遇和挑战。机遇的存在是一些主体愿意承担风险的动因所在。这里的主体可以是个人、企业和机构等，我们把其统称为组织。设想看护马匹的事情，虽然已经付出了很大努力，但很多因素仍然会导致马匹丢失的结果，这当然不是当事人愿意看到的。尽管如此，断言是福是祸却却不是个简单问题，诚所谓“塞翁失马焉知祸福？”不难理解，大千世界存在着各种类型、各种层面的风险，为了应对风险并实现降低风险和控制风险的目标，需要对风险概念及风险管理有深刻的认识。2018年即将再版出炉的ISO国际标准《风险管理指南》（Risk Management - Guidelines，ISO/FDIS31000：2017（E））为风险管理的利益相关者，包括个人、企业、机构等各类组织和平台奉献了宝贵的标准资料。其中的利益相关者是指这样的主体，他们能够影响决策的制定和行动的开展，或者受到决策及行动的影响，甚或感觉到会被决策和行动所影响。

理解和认识风险，当然是最重要的一步。针对这个问题，《风险管理指南》明确提出了必须全面关注相关联的四个要点：风险源是什么，潜在事件是什么，这些事件的后果怎样，其发生的可能性如何？

其中，风险源是具有导致潜在风险的单个要素或若干要素的组合；事件由一系列特殊活动的出现或发生的变化所导致，可以有多种原因和多种结果，既可以产生预期到了而没有发生也可能是实际发生了却没有预料到的后果。特别地，事件本身也可能是风险源；后果是事件影响目标的效果，可以是通过层叠和累积过程形成的，或直接或间接地影响到目标，可以定量表达也可以定性刻画；可能性意指后果发生的几率，可以通过主观或客观的方式定义、测量或确定。

在对风险有所认识后，下一个重要内容当然是理解和认识风险管理的问题。风险管理最关键的内容是指导和控制组织应对和处置风险的协调活动。涉及到的风险控制手段包括有保持和改变风险水平的各种措施，如流程、政策、设备、演练或其他能够改变风险状态的条件或行动。需要意识到的是，控制手段并不总能发挥出预想的效果。努力了，可能并不成功，但不努力，就没有任何希望。

风险管理的根本目的是创造价值、保护和保持价值，而且要助于改进性能、鼓励创新和支撑预期目标的实现。创新创业当然是一种对价值的追求，为实现目标取得成功，风险意识和风险管理的意识是不可缺少的。风险管理具有非常强的综合性特征，需要明确原则，建立框架，执行流程。可以说，风险管理原则、风险管理框架和风险管理流程，少了哪一个都不行。

风险管理原则

风险管理当然是有成本的，需要投入。对于风险管理的不同主体，其面对的风险不同，预期要达到的目标也不同。但目的是一样的，都要创造价值和保护价值。开展风险管理的结果必须要有效果有效率，必须有助于阐明组织和机构的意图和目的。在一些原则问题上需要取得共识，至少如下的八个要点是需要坚持的。

整体性原则：风险管理应是组织活动不可分割的一个部分，应整合到组织活动的各个方面；

结构化与全面性原则：结构化和全面性的方法能导致前后可比较的一致性结果；

可定制化原则：风险管理的框架和流程应是可以定制的，要与组织所处的外部和内部环境以及相关的目标相适应；

包容性原则：利益相关者恰当和及时的参与，使得来自多方面的知识、观点及看法得到考虑，有助于提高对风险管理的认识，实现明智的风险管理；

动态化原则：事物不是一成不变的，随着组织外部和内部環境因素的变化，风险的状态也可能变化。风险管理应以适当和及时的方式预见到、察觉到、意识到这些变化并作出应对；

最好信息可用化原则：风险管理的输入应建立在历史和当前信息以及对未来预见的基础之上，所以必须考虑相伴于这些信息和预见能力的局限性和不确定性。对于利益相关者，信息需要及时、清晰和可获得；

人文因素优先原则：人的行为和文化因素会显著地在各个阶段、各个层面影响到风险管理的效果，这一点必须给予高度重视；

持续改进原则：风险管理需要通过学习和经验积累持续加以改进。

坚持上述原则对进行风险管理具有指导意义，也为设计风险管理框架和建立风险管理流程奠定了基础。而上述原则的缺失和不完全，必然会影响到组织的风险管理成效。

风险管理框架

风险管理从内容结构上看，必须建立关联性很强的板块框架，其目的是帮助把风险管理融入组织的所有行动和功能中。风险管理的效果将依赖风险管理框架与组织的包括决策在内的治理及所有相关活动相融合的程度，这又需要得到来自利益相关者，尤其是高层管理者的支持。

风险管理框架的建立应包括整合、设计、实施、评价及改进跨越整个组织的风险管理工作。组织应评价其现有的风险管理实践和流程，评价存在的漏洞并在将要建立的框架内解决这些漏洞问题。框架的构成内容以及这些内容打磨成一体而形成的工作方式应根据组织的需要进行定制。显然，领导的作用和来自组织高层的承诺是有效的风险管理框架得以建立的重要保障。

风险管理流程

风险管理流程涉及到政策，规程和惯例的系统性应用。同样也应成为管理和决策过程中不可分割的一个部分，应融合入组织的结构、运营和活动进程中，可以用于战略、运营、规划或项目的层面。虽然风险管理流程常常描述成具有一定顺序的步骤，但在实践上它需要反复执行。

从大的步骤上看，主要有三步，既一，确定和阐明范围、环境及设定风险准则；二，风险评估和三，风险处置。范围不适当，环境不清楚，标准不明确，就不可能把风险管理做到位，就不可能取得好的效果。endprint

风险评估可以进一步细分成风险识别、风险分析和风险评价。

风险识别的目的是寻找，确认，描述可能有助于或妨碍组织取得其目标的风险。风险分析的目的是理解风险特性和特征，有时还要包含风险的水平。要详细考虑不确定性，风险源，后果，可能性，事件，情景，控制及其效果。风险分析的细致及形式化程度可以不同，要由分析的目的，信息的可用性和可靠性及资源的配置情况来决定。分析技术可以是定性的，半定量的，定量的或其组合，依赖于所处条件和预期用途。

进行风险评估旨在实施风险处置，其目的是选择和实施解决风险问题的方案。风险处置方案可以很多，粗线条地说可以包括去除风险源、改变可能性、改变后果、分散风险（例如，通过合同或购买保险）等，它们不一定是互相排斥的，也不一定在所有情形都是适用的。风险处置还可能引入新的需要应对的风险，这一点也必须得到足够重视。

一个好的风险管理流程必须把沟通和协商贯穿其中。沟通旨在加强对风险的意识和理解，而协商涉及到获取反馈信息以支撑决策。在风险管理流程的所有环节里，都可能需要与适当的外部和内部的利益相关者进行沟通和协商。

一个好的风险管理流程还依赖把监督和审查做到位。监督和审查应出现在风险管理流程的所有步骤中。监督和审查包括计划，收集和分析信息，记录结果并作出反馈。监督和审查的结果应整合到组织的性能管理，评测及活动报告中。

执行风险管理流程的另一个不可或缺的内容是对风险管理流程及其结果建立文檔并通过适当的机制提交报告。记录和报告能增强与利益相关者的对话质量，支持高层管理和监督机构履行他们的职责。

创办企业，当然希望成功，希望能长期茁壮成长，希望能成为百年老店。在技术发展如此快速的情况下，要实现这些目标必须面对各式各样的不确定性。大数据、虚拟现实、人工智能、无人汽车、物联网、互联网金融、3D打印等，太多令人向往、让人冲动、给人激情的概念和技术轮番登场，的确蕴含着机遇，但同时也充满着挑战。以创办企业和发展企业的方式拥抱这些概念，一定不要忘记非技术的因素。技术和社会需要相互适应，也必然会相互改造和相互促进。以无人汽车为例，技术的飞速进步是毋庸置疑的，但也仍有提升和完善的空间。非技术的因素，比如法规环境的配套建设，或许是应跟进的重要工程。正因为如此，社会更应向已经为发展无人汽车技术和市场作出巨大投入的企业表达敬意。

企业在发展过程中作出重大决策时，如果没有充分加入风险管理的要素，必然是有缺陷的。我们考察过一个企业集团，5年的发展使其总资产达到1000亿，而已经安排下去的未来5年内的发展投资额超过了3000亿。我们相信这个企业的实力和其计划安排的合理性，这种进取性强的发展安排预期会对社会的发展做出更大的贡献。但对于创新创业这盘全社会参与和关注的大棋来说，增强风险意识，注重风险管理也是需要得到尊重的态度。

强调风险意识不是保守，加强风险管理释放出的是正能量，它将从一开始就注入稳健的基因，有助于各类参与主体获益止损，更加健康地发展。

2018年，风险管理的理念和做法随着ISO标准《风险管理指南》的发布必将更加深入人心！endprint