何謂“風險管理”？

大眾媒體上經(jīng)?？吹竭@樣一種說法，即公眾對于政府和社會應該全面保障他們生活的安全的期望是不切實際的。這雖然是對的，但同時也要看到，公眾之所以會產(chǎn)生這種期望，很大程度上是因為媒體自身制造的許多“恐怖故事”，比如種種有關醫(yī)療衛(wèi)生條件、暴力事件、恐怖主義及缺乏職業(yè)道德的銀行的報道。

一些人是真的喜歡冒險，例如那些拿自己的錢去冒險的企業(yè)家，或拿自己的命去冒險的極限運動愛好者。另一些人則極端地厭惡冒險，他們此生不求大富大貴，只求能平平安安，即便每天“重復昨天的日子”，也不會去冒險尋求刺激。人類對于風險的態(tài)度，就如多數(shù)人性因素一樣，也呈正態(tài)分布，即大部分人愿意承擔一定的風險（例如跳槽、分手、買房、動手術、移民），如果他們認為這樣做所帶來的長遠好處要大于短期內(nèi)所必須承受的壓力和痛苦。

看來，因為受這個被社會媒體和24小時新聞所統(tǒng)治的時代的影響，人們現(xiàn)在越來越分不清什么是威脅，什么是風險了。威脅是一種可能發(fā)生在你身上的壞事，比如患了不治之癥，或者死于飛機失事。與威脅最相近的是危險，即你在人生奮斗的過程中可能遭遇而必須克服的一些意外，比如油荒、經(jīng)濟衰退、自然災害等。其實，許多我們所必須面對的威脅或危險多年來并沒有太大的改變，只是我們今天聽到的傳聞比以前多了很多而已。事實上，作為一個社會，隨著人類的技能和技術的提高，我們已經(jīng)從總體上提升了處理這類事件所造成的后果的能力。換言之，由于我們所采取的許多措施，我們已經(jīng)不像過去那么不堪一擊了。拿疾病來說，我們事實上已經(jīng)消滅了許多致死的疾病，也降低了感染其他疾病的風險，而且即便我們患了病，醫(yī)療手段也好得多，成活率也高得多。

所以客觀上，對于那些居住在發(fā)達國家的個人來說，今天生活中的風險與過去相比顯然是降低了。光看今天我們這一代人比我們的前輩長壽得多這個事實，就很能說明問題了。對于今天大多數(shù)出生在1945年以后的人來說，戰(zhàn)爭、饑荒、嬰兒的低成活率基本上都已成為過去。所以我們是不是把一些近年來才意識到的、很大程度上屬于理論層面的恐懼，當成了真正令人恐懼的真實問題？是不是因為我們有一種“杞人憂天”的內(nèi)在需要，因而實際上是在“尋找”一些潛在的未來問題，例如氣候變化、流行病殺手、地球毀滅等等？

有趣的是，這種常常不合邏輯的風險意識的變化也反映到了商業(yè)及社會領域里：沒有一件事不需要經(jīng)過風險評估，沒有一個決策不需要嚴格的風險模型技術把關。我們無時不在談論所謂“敲響了警鐘”或者“汲取教訓”，但災難、事故、錯誤、危機卻似乎一直不斷地發(fā)生在社會生活的各個領域。

風險的定義

很明顯，要使風險管理真正能有助于企業(yè)的經(jīng)營，我們需要一個更好的方法，而不是不計一切代價地避免失誤。作為一個概念，風險管理可以定義為：對威脅進行甄別、評估和排序，拿出必要的資源盡可能降低威脅的危害性，或對其進行監(jiān)測和控制?！翱刂啤卑ń档拓撁媸录l(fā)生的幾率，以及降低災難（如果一定要發(fā)生）所帶來的負面影響。這里絲毫不存在這樣一個意思，即風險都是可以消除的，災難都是可以避免的，或者錯誤是不會發(fā)生的。事實上，如果那是可能的，就不會有風險管理了。風險管理之所以存在，就是因為我們有必要對風險的性質有更多的了解，并進而對癥下藥，將損失降至最低。

風險管理的一個問題是，為了消除某項風險而引進的措施可能會引發(fā)另外一些風險，例如出于安全的考慮關閉了大樓的一個出口，但卻出現(xiàn)了另一個安全隱患，即少了一個出口會減緩人群疏散的速度。另一個問題是風險的表現(xiàn)形式各不相同，相互之間很難比較。一個組織可能會認為某個決策即便出錯也不會引發(fā)大的財務風險，但卻忽略了這樣一個可能，即如果那個錯誤的決策被某個不友好的媒體知道了，可能會給組織的聲譽帶來嚴重的損失。

為了讓風險管理能夠保持一致，人們開發(fā)了許多技術。企業(yè)風險管理模式（ERM）就是一種嘗試綜合管理整個企業(yè)的風險組合的方法，其中包括了內(nèi)部控制概念，如薩班斯—奧克斯利法案，及戰(zhàn)略策劃過程，以幫助甄別、規(guī)避風險。

ERM自稱能夠解決各類利益相關方的需求問題，即復雜型企業(yè)中一大批面臨風險的部門和個人的需求。ERM試圖通過平衡計分卡類的工具，對不同的風險做適當、均衡的處理。自從信貸危機爆發(fā)以來，政府監(jiān)管部門和債務評級機構已經(jīng)加強了對這類技術的審視，因為大家普遍認為這些技術并沒有為決策者提供良好的指導作用。許多風險專家期待ISO 31000（風險管理標準）能為綜合處理風險帶來某種突破。

風險管理也規(guī)定了處理各種不同類型的風險的方法和過程。它提供了一個框架，的確有助于組織甄別特定事件和環(huán)境對其目標的影響（風險和機會），對事件發(fā)生的可能性和影響的大小進行評估，由此制定一個應對策略，并監(jiān)測其變化?？梢钥吹剑ㄟ^對風險和機會的甄別及前瞻性的管理，企業(yè)為自己的利益相關方——股東、員工、顧客、政府監(jiān)管部門以及整個社會——提供了保護并創(chuàng)造了價值。這種管理方法比較適用于下列幾種情況：一是正常運作狀態(tài)下；二是需要在兩個合理的決策之間做選擇；三是生產(chǎn)過程有中斷的可能或其他可預見的問題。

它的局限性在于發(fā)生極端事件的時候——沒有人曾對一場全球金融危機可能產(chǎn)生的影響做過評估，因為沒有人（尤其是金融界）想得到會發(fā)生這樣的事。日本盡可以針對臺風、海嘯和核泄露事件分別做出預案，但沒有一個人考慮過如果這些災難一個接一個同時發(fā)生時該怎么辦。也沒有人想過歐洲機場關閉一個星期會帶來什么后果（至少在現(xiàn)在這種和平時期），因為沒有人想得到有發(fā)生這種事的理由。所以為什么專家們和分析家們經(jīng)常不能預見這些極端事件的發(fā)生？這個問題看來值得我們關注。如果風險只是被視為如何精確地計算災難發(fā)生的可能性以及發(fā)生之后所造成的損失，那么人們就有可能只考慮可預見的事件，而將不可預見的事件視作不可能。如果“911事件”發(fā)生前的一個星期有人在講課時把事件發(fā)生時的實際情景作為一個業(yè)務持續(xù)之道的練習內(nèi)容，他很可能會被叫停，理由是他太脫離實際，應該把注意力放在一些更“靠譜”的，例如建筑物失火、地區(qū)性洪水或互聯(lián)網(wǎng)中斷之類的事件上。

然而，所有的組織都面臨著一些完全不受他們控制的威脅與災害。對于火災這類可預見的災害，可以從減少風險（改革建筑物的設計）和降低危害（警告和滅火）兩個方面進行有效的干預。對于大的災難（如自然災害），可以由政府出資（因為成本很高）建造一些實質性的預防機制，例如修筑防洪堤等。但對于每個企業(yè)來說，應對風險的主要辦法就是預先對災難可能帶來的后果做出挽救計劃。

應對大型災害有一個傳統(tǒng)手段，就是保險。但是要起作用，光是保險還不夠，還需要其他手段的加盟。保險公司期望你能針對所有已知的威脅采取所有合理的預防手段，將災害所導致的損失降至最低。有一種管理程序能有效地滿足企業(yè)的這兩項要求，叫做業(yè)務持續(xù)性管理（BCM），是通過努力經(jīng)營好企業(yè)最關鍵的業(yè)務來減少災難性事件所造成的傷害。BCM程序通常用于運作層面，因為主要是針對業(yè)務活動的中斷而設計的，也可以作為企業(yè)整體風險管理項目中戰(zhàn)略性風險評估部分的補充。BCM和風險管理之間的部分重疊給了組織一個雙重保險，有助于提高其抗風險能力。但是否能實現(xiàn)這一點，取決于這兩個領域的管理是否能很好地整合在一起。

“未知的黑天鵝”

近期公布的ISO新標準ISO 22301將BCM提升到了公司高管的日程上——盡管許多中級主管們?nèi)匀粚⑵淇醋鍪且环N技術性的風險降低手段。但后者的這種看法遭到了其他一些人的挑戰(zhàn)，這些人認為對付不可預知的情況，BCM經(jīng)常比傳統(tǒng)的、以概率為導向的風險管理技術表現(xiàn)得更合邏輯。

首先，我們知道每個組織都有其所追求的基本價值，與這些基本價值相關的環(huán)節(jié)就是組織最脆弱的神經(jīng)所在，BCM所關注的重點就是組織內(nèi)部這些最脆弱的環(huán)節(jié)。BCM假設這些環(huán)節(jié)會隨著時間的推移而逐步消失，希望知道組織在那種情況下大體上會受到哪些影響。BCM的任務首先不是對所有可能發(fā)生的威脅或災害進行甄別、評估或報告，當然也不是將所有事件發(fā)生的幾率按照可能性進行分配。對于防范大的災難，BCM經(jīng)常是一門很有用的技術——畢竟，你不用明白火山噴發(fā)是怎么回事，也知道如果你的員工一個星期沒有飛機可坐，你的業(yè)務就會陷入窘境。

許多人已經(jīng)在使用“黑天鵝”或“未知的未知”之類的語匯來嘗試解釋一些無法解釋的東西?！昂谔禊Z”這個詞變成商業(yè)術語，是2004年納西姆?尼古拉斯?塔勒布教授在描述一些看起來盡管不可預知但并非不能用一些“后見之明”來解釋的事件時引進的。納西姆?尼古拉斯?塔勒布（Nassim Nicholas Taleb）是阿姆斯特馬薩諸塞大學隨機科學系教授，同時還是紐約大學柯朗研究所兼職教授、沃頓商學院金融研究中心成員，他一直專注于研究不可知的未來。塔勒布教授最初是在描述金融市場的運作規(guī)律時提出了這個理論。許多人認為2008年的金融風暴事件毫無懸念地證明了該理論的正確性。但在塔勒布教授看來，這個理論可以用來解釋影響人們思想或行為的一切重大改變，包括技術、文化以及政治領域的劇變。

“未知的未知”是美國前國防部長拉姆斯菲爾德在一次談到恐怖主義的時候“發(fā)明”的。當時他的這句笨拙的“同義重復”遭到了很多人的嘲諷。然而這句話卻開始流行，因為人們越來越發(fā)現(xiàn)自己無法預知一切并給出一個確定的應對方案。很多可能發(fā)生的事件都是無法預知的，需要靈活應變的能力。就如已離世的約翰?列儂曾說過的，“生活就是你在計劃其他事情的時候發(fā)生的事情?！?/p>

“黑天鵝”和“未知的未知”這兩種觀念似乎都支持BCM的這種持續(xù)經(jīng)營之道，即關注關鍵業(yè)務以及設法保護這些業(yè)務，而不是去甄別所有可能存在的風險并給它們排隊。將注意力放在實際的威脅上，會讓我們忽略那些雖然發(fā)生的幾率極小，但一旦發(fā)生就會帶來重大損失的事件。這是一種錯誤的做法。我們只要稍微想一下，就會發(fā)現(xiàn)可能性只有百萬分之一的事件每天都在發(fā)生。如果不是這樣，世界上就根本不會有人中彩，也根本不會有人死于偶發(fā)的事故?；氐交鹕絿姲l(fā)事件，人們將其稱為“黑天鵝事件”，看來名副其實，因為這件事不在任何人的風險登記冊上。但正常的空中客運服務對你的業(yè)務很重要，這你并非不知道。所以你應該考慮一下如果這項服務突然中斷了你該怎么辦。

至于中斷的原因是什么，這一點并不重要——你只要承認你有一個潛在的薄弱環(huán)節(jié)，針對這個薄弱環(huán)節(jié)做一些準備就可以了。

這么說，風險是否算得上是一個質量問題呢？如果是，質量管理人員能夠做些什么呢？CQI理論說得很明白：“質量管理是針對整個組織的一種管理方法，要求能夠準確地把握顧客的需求，并將這種理解轉變成正確的解決辦法，在預算范圍之內(nèi)、準時地、以對社會最低的代價，以始終如一的品質保證交付給顧客。”

不難看出，要想達到這個目標，組織不僅需要能夠應對大多數(shù)可預知的威脅，還需要對正常工作條件下的業(yè)務需求做出迅速反應。因此，質量管理的一個關鍵方面還在于組織用于例外情況（災難、計劃外的失誤、重大干擾事件）的方針、目標、方法和能力也能為實現(xiàn)顧客滿意的最終目標而服務。

生存

質量管理在過去長達四分之一個世紀的時間里一直在推動質量管理體系的標準化。但是最近以來，隨著許多企業(yè)的注意力從快速成長轉向基本生存，質量管理也開始強調(diào)可持續(xù)性和靈活性。在這個背景下，風險管理和業(yè)務持續(xù)性管理開始成為熱門。在ISO這個體系內(nèi)，這方面的新標準也變得炙手可熱。但從根本上說，ISO 9000的基本原則已經(jīng)植入所有的管理體系標準，基本的質量管理理念已經(jīng)與所有的標準融為一體。所以應該原諒質量管理體系的“行家們”在看到這些新標準時的反應——“新在哪里嘛？”應該說他們這種反應是有道理的。但是，另一種常見的說法，即“質量管理也可以被說成是整合了的業(yè)務管理”，也未必成立，除非能夠證明質量管理不但能夠用于“好年景”下的業(yè)務管理，也能用于“壞年景”下的業(yè)務管理。

日本質量界最早提出的所謂“嚴格實施的、始終如一的好作法會帶來持續(xù)的改進成果”的假定，讓他們企業(yè)界的領導人忽略了極端事件會對業(yè)務帶來的負面影響。所以不奇怪他們現(xiàn)在已經(jīng)改變了這種觀念。今天，世界上沒有誰能比日本的企業(yè)界更熱衷于風險管理。這樣一種發(fā)展勢頭可以看做是質量管理專業(yè)人員的一個大好機會——在所有的企業(yè)都期望將ISO 22301以及未來相關的新標準納入組織的現(xiàn)行管理體系的新形勢下，他們要做的，是將實施全面質量管理的專業(yè)水準和技能，按照新的市場需求，進行適時地轉變。