何谓“风险管理”？

大众媒体上经常看到这样一种说法，即公众对于政府和社会应该全面保障他们生活的安全的期望是不切实际的。这虽然是对的，但同时也要看到，公众之所以会产生这种期望，很大程度上是因为媒体自身制造的许多“恐怖故事”，比如种种有关医疗卫生条件、暴力事件、恐怖主义及缺乏职业道德的银行的报道。

一些人是真的喜欢冒险，例如那些拿自己的钱去冒险的企业家，或拿自己的命去冒险的极限运动爱好者。另一些人则极端地厌恶冒险，他们此生不求大富大贵，只求能平平安安，即便每天“重复昨天的日子”，也不会去冒险寻求刺激。人类对于风险的态度，就如多数人性因素一样，也呈正态分布，即大部分人愿意承担一定的风险（例如跳槽、分手、买房、动手术、移民），如果他们认为这样做所带来的长远好处要大于短期内所必须承受的压力和痛苦。

看来，因为受这个被社会媒体和24小时新闻所统治的时代的影响，人们现在越来越分不清什么是威胁，什么是风险了。威胁是一种可能发生在你身上的坏事，比如患了不治之症，或者死于飞机失事。与威胁最相近的是危险，即你在人生奋斗的过程中可能遭遇而必须克服的一些意外，比如油荒、经济衰退、自然灾害等。其实，许多我们所必须面对的威胁或危险多年来并没有太大的改变，只是我们今天听到的传闻比以前多了很多而已。事实上，作为一个社会，随着人类的技能和技术的提高，我们已经从总体上提升了处理这类事件所造成的后果的能力。换言之，由于我们所采取的许多措施，我们已经不像过去那么不堪一击了。拿疾病来说，我们事实上已经消灭了许多致死的疾病，也降低了感染其他疾病的风险，而且即便我们患了病，医疗手段也好得多，成活率也高得多。

所以客观上，对于那些居住在发达国家的个人来说，今天生活中的风险与过去相比显然是降低了。光看今天我们这一代人比我们的前辈长寿得多这个事实，就很能说明问题了。对于今天大多数出生在1945年以后的人来说，战争、饥荒、婴儿的低成活率基本上都已成为过去。所以我们是不是把一些近年来才意识到的、很大程度上属于理论层面的恐惧，当成了真正令人恐惧的真实问题？是不是因为我们有一种“杞人忧天”的内在需要，因而实际上是在“寻找”一些潜在的未来问题，例如气候变化、流行病杀手、地球毁灭等等？

有趣的是，这种常常不合逻辑的风险意识的变化也反映到了商业及社会领域里：没有一件事不需要经过风险评估，没有一个决策不需要严格的风险模型技术把关。我们无时不在谈论所谓“敲响了警钟”或者“汲取教训”，但灾难、事故、错误、危机却似乎一直不断地发生在社会生活的各个领域。

风险的定义

很明显，要使风险管理真正能有助于企业的经营，我们需要一个更好的方法，而不是不计一切代价地避免失误。作为一个概念，风险管理可以定义为：对威胁进行甄别、评估和排序，拿出必要的资源尽可能降低威胁的危害性，或对其进行监测和控制。“控制”包括降低负面事件发生的几率，以及降低灾难（如果一定要发生）所带来的负面影响。这里丝毫不存在这样一个意思，即风险都是可以消除的，灾难都是可以避免的，或者错误是不会发生的。事实上，如果那是可能的，就不会有风险管理了。风险管理之所以存在，就是因为我们有必要对风险的性质有更多的了解，并进而对症下药，将损失降至最低。

风险管理的一个问题是，为了消除某项风险而引进的措施可能会引发另外一些风险，例如出于安全的考虑关闭了大楼的一个出口，但却出现了另一个安全隐患，即少了一个出口会减缓人群疏散的速度。另一个问题是风险的表现形式各不相同，相互之间很难比较。一个组织可能会认为某个决策即便出错也不会引发大的财务风险，但却忽略了这样一个可能，即如果那个错误的决策被某个不友好的媒体知道了，可能会给组织的声誉带来严重的损失。

为了让风险管理能够保持一致，人们开发了许多技术。企业风险管理模式（ERM）就是一种尝试综合管理整个企业的风险组合的方法，其中包括了内部控制概念，如萨班斯—奥克斯利法案，及战略策划过程，以帮助甄别、规避风险。

ERM自称能够解决各类利益相关方的需求问题，即复杂型企业中一大批面临风险的部门和个人的需求。ERM试图通过平衡计分卡类的工具，对不同的风险做适当、均衡的处理。自从信贷危机爆发以来，政府监管部门和债务评级机构已经加强了对这类技术的审视，因为大家普遍认为这些技术并没有为决策者提供良好的指导作用。许多风险专家期待ISO 31000（风险管理标准）能为综合处理风险带来某种突破。

风险管理也规定了处理各种不同类型的风险的方法和过程。它提供了一个框架，的确有助于组织甄别特定事件和环境对其目标的影响（风险和机会），对事件发生的可能性和影响的大小进行评估，由此制定一个应对策略，并监测其变化。可以看到，通过对风险和机会的甄别及前瞻性的管理，企业为自己的利益相关方——股东、员工、顾客、政府监管部门以及整个社会——提供了保护并创造了价值。这种管理方法比较适用于下列几种情况：一是正常运作状态下；二是需要在两个合理的决策之间做选择；三是生产过程有中断的可能或其他可预见的问题。

它的局限性在于发生极端事件的时候——没有人曾对一场全球金融危机可能产生的影响做过评估，因为没有人（尤其是金融界）想得到会发生这样的事。日本尽可以针对台风、海啸和核泄露事件分别做出预案，但没有一个人考虑过如果这些灾难一个接一个同时发生时该怎么办。也没有人想过欧洲机场关闭一个星期会带来什么后果（至少在现在这种和平时期），因为没有人想得到有发生这种事的理由。所以为什么专家们和分析家们经常不能预见这些极端事件的发生？这个问题看来值得我们关注。如果风险只是被视为如何精确地计算灾难发生的可能性以及发生之后所造成的损失，那么人们就有可能只考虑可预见的事件，而将不可预见的事件视作不可能。如果“911事件”发生前的一个星期有人在讲课时把事件发生时的实际情景作为一个业务持续之道的练习内容，他很可能会被叫停，理由是他太脱离实际，应该把注意力放在一些更“靠谱”的，例如建筑物失火、地区性洪水或互联网中断之类的事件上。

然而，所有的组织都面临着一些完全不受他们控制的威胁与灾害。对于火灾这类可预见的灾害，可以从减少风险（改革建筑物的设计）和降低危害（警告和灭火）两个方面进行有效的干预。对于大的灾难（如自然灾害），可以由政府出资（因为成本很高）建造一些实质性的预防机制，例如修筑防洪堤等。但对于每个企业来说，应对风险的主要办法就是预先对灾难可能带来的后果做出挽救计划。

应对大型灾害有一个传统手段，就是保险。但是要起作用，光是保险还不够，还需要其他手段的加盟。保险公司期望你能针对所有已知的威胁采取所有合理的预防手段，将灾害所导致的损失降至最低。有一种管理程序能有效地满足企业的这两项要求，叫做业务持续性管理（BCM），是通过努力经营好企业最关键的业务来减少灾难性事件所造成的伤害。BCM程序通常用于运作层面，因为主要是针对业务活动的中断而设计的，也可以作为企业整体风险管理项目中战略性风险评估部分的补充。BCM和风险管理之间的部分重叠给了组织一个双重保险，有助于提高其抗风险能力。但是否能实现这一点，取决于这两个领域的管理是否能很好地整合在一起。

“未知的黑天鹅”

近期公布的ISO新标准ISO 22301将BCM提升到了公司高管的日程上——尽管许多中级主管们仍然将其看做是一种技术性的风险降低手段。但后者的这种看法遭到了其他一些人的挑战，这些人认为对付不可预知的情况，BCM经常比传统的、以概率为导向的风险管理技术表现得更合逻辑。

首先，我们知道每个组织都有其所追求的基本价值，与这些基本价值相关的环节就是组织最脆弱的神经所在，BCM所关注的重点就是组织内部这些最脆弱的环节。BCM假设这些环节会随着时间的推移而逐步消失，希望知道组织在那种情况下大体上会受到哪些影响。BCM的任务首先不是对所有可能发生的威胁或灾害进行甄别、评估或报告，当然也不是将所有事件发生的几率按照可能性进行分配。对于防范大的灾难，BCM经常是一门很有用的技术——毕竟，你不用明白火山喷发是怎么回事，也知道如果你的员工一个星期没有飞机可坐，你的业务就会陷入窘境。

许多人已经在使用“黑天鹅”或“未知的未知”之类的语汇来尝试解释一些无法解释的东西。“黑天鹅”这个词变成商业术语，是2004年纳西姆•尼古拉斯•塔勒布教授在描述一些看起来尽管不可预知但并非不能用一些“后见之明”来解释的事件时引进的。纳西姆•尼古拉斯•塔勒布（Nassim Nicholas Taleb）是阿姆斯特马萨诸塞大学随机科学系教授，同时还是纽约大学柯朗研究所兼职教授、沃顿商学院金融研究中心成员，他一直专注于研究不可知的未来。塔勒布教授最初是在描述金融市场的运作规律时提出了这个理论。许多人认为2008年的金融风暴事件毫无悬念地证明了该理论的正确性。但在塔勒布教授看来，这个理论可以用来解释影响人们思想或行为的一切重大改变，包括技术、文化以及政治领域的剧变。

“未知的未知”是美国前国防部长拉姆斯菲尔德在一次谈到恐怖主义的时候“发明”的。当时他的这句笨拙的“同义重复”遭到了很多人的嘲讽。然而这句话却开始流行，因为人们越来越发现自己无法预知一切并给出一个确定的应对方案。很多可能发生的事件都是无法预知的，需要灵活应变的能力。就如已离世的约翰•列侬曾说过的，“生活就是你在计划其他事情的时候发生的事情。”

“黑天鹅”和“未知的未知”这两种观念似乎都支持BCM的这种持续经营之道，即关注关键业务以及设法保护这些业务，而不是去甄别所有可能存在的风险并给它们排队。将注意力放在实际的威胁上，会让我们忽略那些虽然发生的几率极小，但一旦发生就会带来重大损失的事件。这是一种错误的做法。我们只要稍微想一下，就会发现可能性只有百万分之一的事件每天都在发生。如果不是这样，世界上就根本不会有人中彩，也根本不会有人死于偶发的事故。回到火山喷发事件，人们将其称为“黑天鹅事件”，看来名副其实，因为这件事不在任何人的风险登记册上。但正常的空中客运服务对你的业务很重要，这你并非不知道。所以你应该考虑一下如果这项服务突然中断了你该怎么办。

至于中断的原因是什么，这一点并不重要——你只要承认你有一个潜在的薄弱环节，针对这个薄弱环节做一些准备就可以了。

这么说，风险是否算得上是一个质量问题呢？如果是，质量管理人员能够做些什么呢？CQI理论说得很明白：“质量管理是针对整个组织的一种管理方法，要求能够准确地把握顾客的需求，并将这种理解转变成正确的解决办法，在预算范围之内、准时地、以对社会最低的代价，以始终如一的品质保证交付给顾客。”

不难看出，要想达到这个目标，组织不仅需要能够应对大多数可预知的威胁，还需要对正常工作条件下的业务需求做出迅速反应。因此，质量管理的一个关键方面还在于组织用于例外情况（灾难、计划外的失误、重大干扰事件）的方针、目标、方法和能力也能为实现顾客满意的最终目标而服务。

生存

质量管理在过去长达四分之一个世纪的时间里一直在推动质量管理体系的标准化。但是最近以来，随着许多企业的注意力从快速成长转向基本生存，质量管理也开始强调可持续性和灵活性。在这个背景下，风险管理和业务持续性管理开始成为热门。在ISO这个体系内，这方面的新标准也变得炙手可热。但从根本上说，ISO 9000的基本原则已经植入所有的管理体系标准，基本的质量管理理念已经与所有的标准融为一体。所以应该原谅质量管理体系的“行家们”在看到这些新标准时的反应——“新在哪里嘛？”应该说他们这种反应是有道理的。但是，另一种常见的说法，即“质量管理也可以被说成是整合了的业务管理”，也未必成立，除非能够证明质量管理不但能够用于“好年景”下的业务管理，也能用于“坏年景”下的业务管理。

日本质量界最早提出的所谓“严格实施的、始终如一的好作法会带来持续的改进成果”的假定，让他们企业界的领导人忽略了极端事件会对业务带来的负面影响。所以不奇怪他们现在已经改变了这种观念。今天，世界上没有谁能比日本的企业界更热衷于风险管理。这样一种发展势头可以看做是质量管理专业人员的一个大好机会——在所有的企业都期望将ISO 22301以及未来相关的新标准纳入组织的现行管理体系的新形势下，他们要做的，是将实施全面质量管理的专业水准和技能，按照新的市场需求，进行适时地转变。