2020年，由于新冠疫情对世界经济环境的冲击，各行各业都面临着与日俱增的市场竞争压力，此时便特别考验企业的风险管控能力。然而，由于以往的不重视，现阶段企业内部在进行风险管控的过程中，普遍存在着对构建全面风险管控体系的重要性认识不足的问题。

了解上市公司合规要求的朋友们都知道，作为上市公司，非常重要的合规条件之一就是企业风险管理体系的建设。非常遗憾的是，大多数人只是把这个方法当作合规的作业，并没有把企业风险管理体系的建设作为企业目标来保驾护航，企业风险管理体系的建设也走入了两个极端。

一类管理层认为风险无法预测，防不胜防，只能见招拆招，所以把上市公司应建设企业风险管理体系的要求当成了作业，书面一套，实践一套，而且很多老板带头无视企业风险管理机制，结果随着公司规模的逐渐扩大，企业步履维艰，直到走向衰退。

另一类管理层则是有着在外企五百强公司工作的管理经验，他们知道流程制度管理办法的好处，于是成了流程控，到了中小型公司之后就会非常不习惯。我曾辅导过的一家企业，在用BSC的思路带领团队梳理内部流程的目标的时候，管理层列出了一个有260多个流程的清单，简直令人震惊。要做完这260多个流程和制度，需要投入相当长的时间和人力。

没有完美的企业，也没有完美的风险管理体系，所以最合适的方法就是“带病修行”，但是一定要避免重大风险的发生，不能事无巨细、齐头并进地往前冲。并不是所有的企业都能像大企业那样有足够的资源，中小企业就更不用说了。所以，我们建议企业的风险管理体系建设需要软着陆，围绕着战略目标来识别关键风险，结合关键风险来制定相应的风险管理政策。

以我曾经服务过的一家企业为例。该企业的收入连续三年没有增长，连续三年目标没有实现，经过同学的推荐，该公司老总联系上了我。我在电话中先给他们布置了任务：回顾连续三年目标没有实现的差异及原因分析，思考未来三年目标实现的关键风险与关键机会。

等我到他们会议室时，五位核心高管已经将大家完成的作业投影在屏幕上。十几页PPT，光差异原因分析就有几十条，大家不可谓不认真，关键风险也列了十多条。

我看过之后说：“不是我们不努力，只怪敌人太狡猾，几十条造成目标差异的原因都是外部的，不可控的。”董事长沉默了许久后，略带尴尬地说道：“我们之前也做过分析，总是感觉无力改变，过去的咱不纠结，请您再帮我们看看目标实现的关键风险。”

我告诉他们：一般情况下，公司实现0到1的成长之后，步入成熟期，企业就需要开始做系统目标管理，包括使命、愿景、价值观的梳理，要做愿景推演、战略规划、战略预算与月度的滚动预测。在战略规划的过程中，我们需要找到关键成功要素，对于一些从一线中成长起来的，常常浸泡在一线的高管来说，他们有非常强的行业洞察力，很多时候能第一时间敏锐地找到关键成功要素。但是普通的管理层却很难那么容易地找到关键成功要素，如此我们希望通过风险管理的步骤和流程帮助大家找到关键成功要素。

通常情况下，给定财务目标，让大家识别风险，大家要么说一些“董事长语言”，诸如说采购的问题、销售的问题、财务的问题等。

在不同的场景里面，风险的概括维度其实是不同的。战略规划的时候讨论战略风险，战略预算的时候讨论战术风险，而M+3预测的时候则是讨论具体的经营风险。风险的概括维度越来越具体，渐进明细，它是一个相互承接的过程。

看战略风险，可以从价值链的维度谈客户类别风险、供应商类别风险、渠道类别风险、区域类别风险，不同类别的产品风险、运营风险，不同类别的关键人才风险，不同渠道的投融资风险等，不同国家类别的战略风险等。

外部的风险角度可以用STEP四个维度来讨论外部的风险。与我们相关的社会类、消费习惯的改变，流行趋势的改变，购物习惯的改变等给我们带来了重大的影响；跟我们相关的技术类，比如某某技术对我们的产品、运营、市场等等带来了哪些重大的影响；依此类推，汇率、通货膨胀、利率、税收政策、会计政策等的重大影响。

战略是要找到实现未来3-5年的目标的路径、方向和定位，所以需要对核心风险做出识别，然后根据识别出的关键风险，排兵布阵，从而管理风险，找到实现目标的相对大概率的实现路径，捍卫目标的实现。(www.daowen.com)

稻盛和夫在其著作《京瓷会计学》里也提出了一一对应原则和双重确认原则，他认为这两大原则是不让人犯罪的管理措施。其中，一一对应原则指的是，在处理账务时，不能笼统地记账，而必须逐一明确，对应处理；双重确认原则指的是，所有的票据处理、进出款项处理都由两个以上的人来做。

毫无疑问，企业风险管理这件事是非常重要的，但是，依然有很多企业不重视企业风险管理。究其原因，至少有以下三点。

第一，管理者过于相信员工

俗话说：用人不疑，疑人不用。很多企业家和管理层都担心背负不信任团队的恶名，不愿意建立风险管控体系，但是人性是有弱点的。

美国人曾经将企业的人分为三类人：“好人”“坏人”和“不好不坏的人”。其中，“好人”指的是那些有着自己的道德准绳，在利益面前，能够抵御诱惑、坚守底线的人；“坏人”是指那些没有机会也要挖空心思创造机会为自己谋福利的人；“不好不坏的人”则是指那些没有机会也就罢了，有了机会就抱着“不要白不要”的心态获取不当利益的人。他们在全球范围内进行了一次调研，调研问卷设计得非常严谨，如果你违反自己的真实感受填写了问卷会被识别出来作为无效答案。

调研结果发现，居然完全符合正态分布的规律。也就是说，在企业里面，有20%的“好人”，60%“不好不坏的人”，20%的“坏人”。企业不可能那么幸运，遇到的都是“好人”；当然，也不可能那么不幸，遇到的全是“坏人”。对于企业中的“坏人”，我们防不胜防，而且不可能有完美的企业风险管理体系，“坏人”始终在寻找系统的漏洞以期为己所用。

所以，企业需要不断优化自己的风险管理体系。正常的企业风险管理体系需要让“不好不坏的人”没有机会变成“坏人”，而且要让他们在风险管理体系的护航下变成“好人”。所以稻盛和夫说，管理的极致，在于让人不忍犯错。其实企业风险管理体系并非不相信员工的体系，而是用来保护员工的。不要因为错误的认知，就使企业错失了建立健康风险管理体系的机会。

第二，认为从没发生过问题

有的管理者说 ：“我们从没发生过问题，所以不需要建立风险管理体系。”但是我们要知道，没发生可能只是你没有发现而已，而且就算过去没有发生，也不代表未来不会发生。随着企业的业务发展和管理环境的动态变化，舞弊事件随时有可能发生。所以很多发生过舞弊的公司的高管都呼吁，在企业内建立一个健全的风险管理体系是非常必要的。

第三，认为有外部审计师在检查财务报表

也有人这样认为：“我们已经有外部审计师在审计我们的财务报表了，不需要再建立风险管理系统，这是劳民伤财，低效耗时。”但是外部审计师的目标是确保财务报表的及时、准确、完整：资产是真实存在的，负债、收入、成本费用等是及时准确完整的。外部审计师根本不关心资金、成本费用等是否符合公司战略目标的需要，所以只有企业内部的风险管理体系才能帮助企业寻找解决方案。因而，外部审计师代替不了企业风险管理体系的建设。

当然，还有很多人说“没时间”或者“有更加重要的事情”等，这些都是在认知上忽视企业风险管理重要性的行为表现。正是因为上述原因，才使得企业内职业舞弊比较严重。

随着竞争日益加剧，企业面临各种不确定的外部因素，经营风险逐渐增加。无论是哪一种问题，企业都要承担法律风险和经营风险。一旦出现问题，就会给企业带来损失。