誰來負責公司的風險管控？

關於風險，一種常見的定義是，風險是預期損失的不確定性或可能性。這種說法，給了我們三個重要信息：一是風險是當下對未來的預計，因而關聯現在與未來的時間間隔——通常是間隔越大，不確定性的“風險”就越大﹔二是風險是與“損失”一類負面的東西相關聯的，一個“險”字就已經說明了問題﹔三是風險是看不見、摸不著的，僅僅只是一種“可能性”，一旦時間間隔消失，風險就會轉化成可見的“損失”或“沒有損失（收益）”。

定義來自對實踐的總結，又反過來服務於實踐。當我們說“這個有風險”時，意味著我們沒有足夠的把握，在確定的時間裡，獲得期望的正面結果。應當說，這裡對“風險”的理解，並不完整。這是因為，未來的“不確定性”是絕對的，但最終結果，不會隻有“損失”一個選項，還有“收益”，或是“損益持平”的結果，為什麼隻從“損失”一類負面的結果來看待“風險”呢？“預期收益”又算什麼？正因為理解上的多元，在實踐中，幾乎所有的公司都將風險問題放在重要位置，但管控的組織和制度安排卻大不相同。

第一種安排：設立或指定單一專門的管理機構來負責管控。鑒於風險是以“損失”的不確定性為核心內容的，而公司最終可見的“損失”都會在財務指標上反映出來，因此，風險管控的職責，不是設置獨立的風險管理部門來承擔，就是指定財務部門來承擔。這種安排的基本出發點，是將風險管控視同為一種關聯財務結果的專業性管理，即使有獨立的專門風險管理機構，其職責實質上也只是管控“財務風險”而已。這種組織和制度安排，在公司治理的實踐中，佔有一定的比重。

第二種安排：將風險進行分類，設立或指定多個不同的管理機構來負責管控不同類別的風險。既然風險是關於未來“損失”的不確定性或可能性，那麼，所有帶來這些不確定性的要素，都應當納入到風險管控的范圍。這就將管控的視野，從財務性的結果轉向了生成這種結果的種種可能因素上。由此，風險就不只是“財務類”一種，而是有了許多種，或者說是一個“族群”。如銀行類公司，至少就有信用風險、市場風險和操作風險三大類，分別意味著風險產生於信貸業務、市場交易或工作流程之中。如此一來，風險管控就必須由多個不同的機構負責。這也就是現實治理中，許多公司按風險類別設立或指定多個機構來承擔管控的原由。

在這裡，自然地會引申出一個推論來：任何帶來風險的因素，都將導致風險管控機構的增加。例如政策變化、法律糾紛、聲譽受損等，都會帶出未來“損失”的可能，也都需要相應的組織和制度安排。風險管控在此成了風險因素變化的“函數”，風險管控的外延迅速地擴張開來。這時，風險管控就不再是一種特殊機構的“專業工作”，而是成了任何牽涉風險機構的“常態工作”，“風險管控”的組織框架大為豐富起來。

第三種安排：設立風險管控的綜合性機構，同時將風險管控的職責分布到決策、管理和執行的各個環節，形成全員性的風險管控體系。這是對“風險”最大口徑認知下的組織和制度安排，其基本思路是，公司從決策到執行的所有環節、所有流程和所有成員，均有可能成為導引出“不確定性”結果的風險因素﹔因此，公司決策、管理和執行的所有事項，不應只是圍繞創造效益來推進，還應當圍繞降低風險來操辦——后者與前者都是公司層面的戰略問題，直接關聯未來或正或負的結果。相應地，組織和制度安排，就必須從戰略高度，設立最高層級的綜合風險管控機構，再通過公司的運行體系，將風險管控的戰略理念到具體預案，傳遞並安排到每個層級、部門、單元和員工，在決策、管理和執行的全流程中得以落實。

例如，現代完備的公司治理結構，董事會裡設立有風險管理委員會，管理層有首席風險官和風險管理部門，執行層則將風險管控要求完全地融合到日常操作事項裡。在這樣的組織和制度安排下，風險問題就全系統化和全員化了。不論是身居決策“廟堂”的高管，還是處於執行之位的“工匠”，在他們的專業性工作裡，已經內含了風險管控的元素。雖然說，未來的不確定性並不因為管控的全面化而消失，但如此的組織和制度安排，最大限度地弱化了不確定性。

從上面三種情形來看，第一種可稱之為“基於結果的風險管控”，第二種可稱之為“基於原因的風險管控”，第三種則是“綜合原因和結果的全面風險管控”。顯而易見，從風險的視角來看，第二種好於第一種，第三種安排最佳。當然，第一種安排也有其價值，因為它一定強於完全沒有風險管控組織和制度安排的公司。令人遺憾的是，觀察表明，第三種最為完備的風險管控體系，在現實經濟生活中僅僅是鳳毛麟角。為什麼大量的公司不採取“最佳的”風險管控安排呢？

事情的關鍵還是對“風險問題”的理解有偏差。一方面，不少人認為，“風險管控”只是一種專業性的管理和操作活動，如同市場營銷、財務管理、技術支持等專業活動一樣，設立或指定相應的專門機構負責即是，它並不需要嵌入到公司運行的全過程中﹔另一方面，不少人將“風險管控”與效益創造對立起來，認為任何“風險管控”的活動都是對生產、銷售等經營活動的限定，過度“管控”會增加成本並損害利潤，更何況“風險管控”自身還要消耗相應的人、財、物等成本，因而其組織和制度安排必須是嚴格限制的。

理解的偏差無疑將引致出行動的偏離。可見，第三種組織和制度安排的稀少，其實早就預埋在對“風險”認知的欠缺裡。如果說，我們將“風險”理解為“未來預期的不確定性或可能性”，它包括的不僅是負面“損失”還有正面“收益”的預期，那麼，“風險管控”就不隻會盡量地去消除“損失”的不確定性，還會盡量地去將“收益”的可能性轉化為現實——“風險管控”在這裡，就成了創造利潤的另外一種途徑，與那直接形成利潤的生產和銷售活動並無不同。這樣一來，“風險管控”就是整個公司的戰略問題，而不只是戰略之下的一個管理或操作問題。與此同時，組織和制度的安排，就必須從公司的戰略高度來進行全面的設計和落實。

容易看出，第三種安排在本質上，就是全面風險管控和生產經營體系的融合建造——既有完備的風險戰略決策、風險管理工具制造和風險配置落實的組織構架，又是將風險管控嵌入到日常生產、銷售等經營管理流程之中。公司的每一位員工，既是生產者、經營者或管理者，也是自然而然的風險管控者，生產和銷售活動同時也是“風險管控”活動。甚至可以說，在這樣的體系下，不存在生產和銷售之外的“風險管控”，也不存在“風險管控”之外的生產和銷售，兩種不同的職責在此不再分離，減少不確定性和創造效益是同一個目標。

顯然，當“風險管控”成為了公司的戰略時，直接相關的管控組織（如董事會的風險管理委員會、管理層的風險管理團隊等）就必須重新界定職責，即從時下較為混沌的宏觀微觀一把抓的“風險管控”，轉化為相對單純的宏觀層面的戰略掌舵，只是負責風險偏好戰略的制定、風險政策和策略的研究、制定、實施和調適，以及風險管控方法和工具的開發，風險計量模型的設計、評估，再加上風險管控的考核等。日常的微觀性管控工作，則和生產、銷售任務一樣，配置到公司的各個層次、單元和個人。在這個意義上講，公司的每一個員工，人人都是負責風險管控的“風險總監”或“風險官”。