基于脆弱性的企业风险管理框架研究

赵建玲 王昊宇

（1.北京城市副中心投资建设集团有限公司，北京 101101；2.北京首都开发股份有限公司首开志信分公司，北京 100031）

党的十九届五中全会强调，要切实增强国企竞争力、创新力、控制力、影响力和抗风险能力，为构建新发展格局提供有力支撑。其中，抗风险能力是企业面临危机时应对能力的集中体现。随着内外部环境的变化，企业风险管理的内涵和外延有了很大程度的扩展，建设符合现代企业制度特征的内部控制体系和风险管控体系迫在眉睫。针对这一课题，李翕然提出了基于内部控制的全面风险管理体系[1]。成小平等认为在准确计量、适用性和科学性方面还需要深入研究[2]。从既有成果来看，企业风险管控多以企业面对的外部风险为基础，以防范风险恶化、降低损失为主线的“守底线”风险管控。本文在对既有企业风险管理理念和面临挑战分析的基础上，引入脆弱性概念，尝试构建基于脆弱性的企业风险管理框架。

一、企业风险管理的内涵与挑战

1.企业风险及其特征

国内外学术界给出多种“风险”定义，其中Lawrence W W教授首次采用具体数学公式对风险进行了表达，他认为风险（R）是危险的概率（P）与损失的严重程度（C）的乘积，即：

从上式可知，风险是指风险承载体在应对外部扰动时，产生收益的不确定性或者损失。因此，风险研究势必要分析外部扰动、风险承载体以及由此扰动产生的损失。

企业风险是企业运营中未来的不确定性对企业实现其经营目标的影响，包括外部风险和内部风险。外部风险主要包括政治、经济、法律风险等；内部风险主要包括战略、财务、经营、廉政风险等。其中，外部风险具有难以识别、不可预期的特点，风险之间具有一定的相关性。例如，一个国家政治动荡，往往伴随着法律和经济秩序的混乱。

2.企业风险管理的发展与挑战

风险管理是企业管理中不可或缺的组成部分。企业风险管理大致经历过两个发展阶段：第一阶段是传统型管理，主要是通过企业内部各司其职，对不同类型的风险分别加以管理；另一阶段是整合型管理，强调的是风险和收益的协调，目标是在承受一定风险情况下实现收益的最大化[3]。从企业实践来看，后者应用较为广泛，如COSO基于此理念于2017年发布了“企业风险管理——整合框架”。

虽然企业风险管理理念和框架日趋完善，但依然面临不少挑战。在管控效果方面，虽然多数企业均使用风险管理，但其管控效果还有待提升。在风险应对方面，现行的风险管理体系多以既有数据为基础，预测未来风险发展趋势及损失，难以应对新兴的、非连续性风险。

二、脆弱性的内涵及对企业风险管理的启示

1.脆弱性的概念

脆弱性概念最初提出于自然科学领域，经过多年的发展其内涵已从单纯针对自然系统的固有脆弱性逐渐演化为更为广泛的综合概念，逐渐呈现出多学科交融的趋势。虽然针对不同研究领域和对象脆弱性的定义尚不完全统一，但不同定义有个共同点，即认为脆弱性是指被研究系统因暴露在外部扰动下而可能发生损失的一种属性。因此，可以将脆弱性概念理解为是风险承载体系统应对外界扰动的一项综合指标，是反映该系统抵抗外界扰动的一种特定能力属性，包含了承载体系统对外界风险因素的暴露程度、敏感程度、适应能力和恢复能力等多方面的特性。

2.脆弱性对企业风险管理的启示

有关学者已尝试将脆弱性概念引入企业管理领域，如卜华白认为企业脆弱性是企业成长中的“隐形杀手”，提出企业应开展脆弱性管理研究[4]。企业作为一种社会组织，是由内部不同职能机构按照一定的约束条件组成的有机系统，从事某一经济活动为社会提供服务或产品。企业的运营过程实际上是其作为一个有机系统通过与外界之间的能量交换来实现盈利的过程。这一过程受政治经济秩序、市场资源配置等外部条件的制约，而这些外部风险因素是客观存在的，企业只有通过加强自身建设来抵抗风险因素带来的损失，这种应对风险的能力是企业作为一个有机系统的固有属性，可以用前述的脆弱性来衡量，应对风险能力强的企业脆弱性就低，反之则脆弱性就高。因此，通过研究企业自身的脆弱性特征并对其进行定量评价，针对脆弱性指数高的环节加以改进，在守住安全发展底线的同时，还可以通过研究外界风险因素增强自身建设，进而从中获得新的利益，达到“守底线”的同时“拓空间”的综合管理目标。

3.基于脆弱性的企业风险管理框架

脆弱性是系统内在特性，不因外部干扰因素的存在而改变，而外部干扰可以利用系统的脆弱性，可能引发事故、造成损失。系统的脆弱性评价是风险评价的一个重要环节，二者是辩证统一、密切相关的。因此，如果将企业作为一个有机系统，则该系统的脆弱性可定义为：企业受到内、外随机因素扰动（如政治经济秩序波动）影响后，使具有表征企业内部结构、行为或状态的某一性能发生一定程度的变化但又没有达到阈值，企业还能够保证正常运营的一种能力。

由上述定义可知：企业受到风险因素扰动是脆弱性被激发的必要条件，而非充分条件。风险因素给企业带来的变化是负面的，会造成企业运营性能下降。企业能否维持正常运营，取决于该企业的关键性能特征（如企业的财务指标）的改变是否达到影响系统正常运行的阈值，但不是要求企业运行的所有特征均达到其对应的阈值。

4.脆弱性特征要素分析

针对脆弱性特征要素的研究成果较多，主要包括单因素、双因素和三因素理论。本文认为对于一个系统脆弱性的评价，不仅要考虑该系统暴露于风险扰动下的可能性大小，还要考虑系统对该扰动的敏感程度和该系统适应扰动的能力。本文采用三因素理论。

暴露度是指企业对风险因素的暴露程度，主要反映企业受到扰动、威胁的可能性大小。暴露度越高说明该企业可能受到扰动影响的概率就越高，受损失的可能性就越大。敏感度是指企业遭受到扰动作用后，发生损伤的难易程度。例如，同一次经济危机中，有的企业一夜间倒闭，而有的则受损甚微，这就体现了不同企业对经济危机这个扰动的敏感度不同。适应度则是指系统遭受扰动作用后，进行自身调整与恢复、甚至于改变自身运行状态的一种能力。适应度的缺失，外在表现是敏感度属性呈现后，在很短的时间内系统就失效。企业遭受的风险损失是通过这三个特征的递次演化来完成的，即首先呈现的是暴露度，其次是敏感度，最后是适应度，如图1所示。

图1 三要素递次演化示意图

5.基于脆弱性的企业风险管控框架

Lui H P认为风险是由扰动发生可能性、后果及系统脆弱性的交集决定[5]，即风险由扰动发生的概率（P）及其严重性（C）与承载体系统的脆弱性（V）的乘积决定。沿着此思路，我们认为企业风险可以用公式（2）进行表达。

与公式（1）的风险定义相比，本公式考虑了企业系统自身特性对风险的影响，研究的重点更加聚焦企业自身系统的特性和能力，亦即将风险管理研究的重点从不可控的“外界环境”转变为企业自身可控的“脆弱性”。威胁发生的概率和危害性与传统风险管理体系类似，故本文重点分析脆弱性作用过程和机理，如图2所示。

当企业作为一个有机系统受到风险因素扰动后（图中A处），系统脆弱性被激发，暴露度首先呈现，敏感度和适应度递次呈现，若不采取管控措施，当系统属性指标（如企业现金流）达到阈值后，即在C处系统宣布破坏（如现金流断裂），图中三角形ABC的面积可以理解为脆弱性在企业抵抗风险因素过程中所吸收的能量。当然，企业实际运营过程中遇到风险扰动不会坐以待毙，一般会采取一定的管控措施（图中td时刻），以降低或者消除风险损失，使得系统恢复运营。另外，假如在应对风险扰动的过程中，管理者通过系统优化，调整了企业属性，使得系统属性指标由调整为，则对应的脆弱性发展终止点从延长至，即有效延长了企业的正常运营状态，系统在抵抗风险因素过程中的耗能能力也从三角形ABC面积增加至三角形AB’C’的面积。

从图2中可得出两点结论，首先，通过对企业的脆弱性分析，可以有效掌握在扰动作用下企业风险损失发生的原因和产生过程，同时可以根据脆弱性特征值的具体指标来有针对性地进行系统优化。其次，通过系统优化可以有效延长企业在扰动作用下的正常运营时长，增强抵抗风险的能力，从而达到通过风险管理为企业“强身”的目标。

图2 脆弱性作用机理示意图

需要说明的是，系统属性指标在实际中可以是关乎企业正常运营的某一指标或某一指标体系，如财务指标、物质资产指标等，这些指标或指标体系是系统本身的固有属性，在一定时期内是固定不变的。同时，这些指标又具有一定的动态属性，即企业作为一个有机系统，随着企业资产、机构设施、管理体制等的调整而呈动态变化。另外，系统属性的阈值为企业要保持正常运营的最低能力，可以理解为传统风险管理的“守底线”指标。通过脆弱性分析和评价，针对脆弱性水平较高的环节进行改进，系统属性的阈值优化为，优化后的系统可以承受范围更广、强度更大、周期更长的外部扰动，意味着企业可以承受原来不可承担的风险，可以实现更广的战略目标，即通过脆弱性风险管理在实现“守底线”的同时，可以兼顾“拓空间”的功能，这个过程可以用图3表示。图3中实线流程主要实现“守底线”的风险管理目标，虚线流程主要实现“强身”和“拓空间”的增值管理目标。

图3 基于脆弱性的风险管理流程图

三、研究结论

本文在分析企业风险管理研究成果的基础上，引入脆弱性概念，主要得出如下研究结论：

（1）界定了企业应对风险的系统脆弱性概念。具体是指企业受到外界风险因素扰动后，使具有表征企业某一性能的指标发生变化但又未达到阈值，企业还能够保证正常运营的一种能力。

（2）明确了企业应对风险扰动的脆弱性特征三要素。暴露度是企业暴露在扰动中的可能性，敏感度是指企业遭受到扰动后发生损伤的难易程度，适应度是指企业在遭遇风险扰动后进行自身调整与恢复的能力。

（3）提出了基于脆弱性的企业风险管理框架。企业风险由扰动发生的概率及其严重性与企业的脆弱性三者的交集决定，通过脆弱性分析和评价，针对脆弱性指数高的环节可定量改进，使其可承受范围更广、强度更大的风险扰动，可实现更广的战略目标，即通过脆弱性风险管理在实现“守底线”的同时，可兼顾“拓空间”的目标。

当然，本文仅从概念层面提出了基于脆弱性的企业风险管理框架，对具体指标的选取、体系的构建、评价方法等还须进一步深入研究。