企业的风险蕴含在运营的每一个环节，是企业管理的体系性问题。从整体来看，建立一套全面的风险管理制度，是应对在企业和项目管理过程中可能遇到的各类管理问题的关键。

COSO的风险管理体系框架经历了三次迭代：2004年时有五个要素，包括内部环境、风险评估、控制活动、信息与沟通和监督；后来延展到八大要素，包括内部环境、目标确认、风险识别、风险评估、风险应对、控制活动、信息与沟通和监督；2013年时，优化成八大要素加原则的模式，即八要素加上十七大原则；2017年，重新整理成了五大要素，二十大原则，这个框架变得更加系统更加完善。由此可见，方法论需要经过无数先哲们不断地践行、总结、提炼才可以上升到理论层面。

COSO风险管理体系的五大要素如下：

第一，治理和文化

涉及五大原则：一是实现董事会对风险的监督；二是建立运作模式；三是定义期望的组织文化；四是展现对核心价值的承诺；五是吸引、发展并留住优秀人才。

第二，战略和目标设定

涉及四大原则：一是考虑业务环境；二是定义风险偏好；三是评估替代战略；四是建立业务目标。

第三，绩效

涉及五大原则：一是识别风险；二是评估风险的严重程度；三是风险排序；四是执行风险应对；五是建立风险的组合观。

第四，审阅与修订

涉及三大原则：一是评估重大变化；二是审阅风险与绩效；三是企业风险管理改进。

第五，信息、沟通与报告

涉及三大原则：一是利用信息技术；二是沟通风险信息；三是对风险、文化和绩效进行报告。

在本书中，我与大家分享与目标管理体系相关的两大要素：战略和目标设定，绩效。

公司的设立需要有使命、愿景和价值观。有些公司在创立的时候没有这些，但是当企业慢慢地做到一定规模之后，就开始了寻根之旅。公司的使命、愿景和价值观是企业存在的意义。

在第三章中，我们提到企业的终极目标是实现企业的使命、愿景、核心价值观。这些是企业的底层文化逻辑，然而很多公司并不明白，导致经营地基发生崩溃。

在核心价值观的护佑下，战略是需要承接愿景的，一般会考虑三年的规划。战略目标如何制定呢？需要坚持四大原则。

原则一：考虑业务环境

战略制定和目标设定的步骤需要先进行现状分析，现状分析需要从内部和外部两个方面来评估。

对于外部的环境，可用PESTEL模型进行分析。

PESTEL分析模型又称大环境分析，是分析宏观环境的有效工具，不仅能够分析外部环境，而且能够识别一切对组织有冲击作用的力量。它是调查组织外部影响因素的方法，其每一个字母代表一个因素，可以分为六大因素。

其中，P为Political，代表政治因素，是指各种政策、法规、国内外的政治稳定性因素对公司的影响。有些国家有进出口的业务，涉及伊朗、埃塞俄比亚、巴西等政治不稳定或者经济不稳定的国家，就需要设定合适的风险系数。由于这些国家的业务的不确定性增加，所以在目标设定的信心指数和考核方法上都需要进行差异化管理。

E为Economic，代表经济因素，是指组织外部的经济结构、产业布局、资源状况、经济发展水平以及未来的经济走势等。

S为Social，代表社会因素，是指与自己所在的细分行业相关的消费者需求、人口等因素对公司的影响。比如，新冠疫情之后的1~2年里可能会存在短期的消费降级情况。这些对于很多公司应该都会有很大的影响，因此目标的设定要更加稳健。

T为Technological，代表技术因素，该因素与研发相关，比如4G、5G的影响，线上经济对线下经济的影响等。技术因素会影响社会需求的变化和经济的变化，所以商业模式的设计需要结合市场环境的大势。

E为Environmental，代表环境因素，是指自然或人为造成的灾害，包括持续的气候变化、能源消耗法规的变化，这些都会对企业带来影响。

L为Legal，代表法律因素，是指人力、消费者、健康和安全等方面的法律、监管和行业标准对企业带来的影响。

内部环境的因素包括资本、流程、人员、技术等方面，或者说内部的价值链，包括营销、研发、运营、供应链、HR、IT、财务等方面的能力现状。

不管是外部环境还是内部环境，在战略制定的过程中，大家需要评估的不只是风险，也可以识别这些因素的机会，当然机会背后的风险也需要考虑透彻。此外，还可以通过风险分析识别出机会。

原则二：定义风险偏好

COSO建议企业在创造、维持和实现价值的背景下定义风险偏好。在获取价值的过程中，企业对愿意接受的风险类型和重要性水平会设置不同的层级。企业在战略层面、财务层面、经营层面的风险偏好不同，不同的部门可接受的风险类型和重要性水平不同，不同岗位可接受的风险类型和重要性水平不同，企业发展的不同阶段可接受的风险类型和重要性水平也会不同。

原则三：评估替代战略

战略是实现愿景的路径、方向、定位和选择。在制定战略的过程中，做什么很重要，不做什么也很重要。企业需要提出不同的替代战略，对所有的替代战略都进行严谨的风险评估，最终选择管理层认同的最安全的战略。

原则四：建立业务目标

制定战略的输出成果之一是业务目标。我们把战略的制定分为两个部分：一是公司战略；二是业务战略。业务战略是现在很流行的战略解码，需要承接公司战略，最终要落实到各个业务板块的目标上。目标是有不同层级的，有战略层面的目标，也有业务层面的目标。比如产品战略目标、市场战略目标、关键人才目标、关键资源目标。我曾辅导过的上海的一家企业，当年在武夷山战略规划结束之后，确定未来需要筹集5亿元资金，70个关键人才，同时确定了他们的市场战略和产品战略。

目标的质量标准可用SMART和BSC来衡量。SMART是指目标要尽可能明确、具体、可衡量、可实现，与企业使命、愿景、价值观相关，有时间限制，这样的目标才是有质量的目标。BSC在第二章中我们已经提到，是平衡计分卡的意思，可从思维制定目标，分别是财务目标、业务目标、内部流程目标和学习与成长目标，同时满足这四个维度的目标才能促进企业的健康可持续发展。

关于如何设定目标，有的老板经过多年目标仍然无法实现之后，开始失去信心，觉得这世界变化太快，定目标不靠谱，所以不愿意制定目标。其实商场如战场，在战场上，元帅大喊“往前冲”，但是士兵并不知道“前”具体是指哪个方向，那么这场战斗的结果不言而喻。现实生活中，存在很多这样的现象。制定目标很难，但是再难也必须面对，设定好一个有逻辑、有共识的目标。战略目标比经营目标更加重要，正如小米创始人雷军所说：“不要用战术上的勤奋替代战略上的懒惰。”

在绩效设计时，需要坚持五大原则。(www.daowen.com)

原则一：识别风险

企业需要识别的风险包括两个步骤和一个方法。

（1）识别新的风险、正在出现的风险和变异的风险，具体包括以下五种。

①由业务目标变化所产生的风险；

②由商业环境变化所产生的风险；

③与商业环境变化相关的风险；

④之前未知的风险。佛家有句话说，我们认识的世界从未离开过我们的认识，这是最难识别的风险，我们可以邀请一些行业专家和专业的专家参与；

⑤之前已经识别的风险。

（2）风险清单分析分类。

识别后的所有风险清单，需要进行分析、分类，为不同类别的风险确定标准的定义。

（3）风险识别的方法。

风险识别的方法包括数据分析、数据追踪建模、面谈、关键指标分析、流程分析和专题会等。由于不同的部门、不同立场的人员看到的风险不同，所以我们也常常用德尔菲法来识别风险，评估风险。

德尔菲法，也称专家调查法，是1946年由美国兰德公司创始实行。德尔菲法在本质上是一种反馈匿名函询法，其大致流程为：首先，对所要预测的问题征得专家的意见；其次，对专家的意见进行整理、归纳、统计；再次，再匿名反馈给各专家，再次征求意见，再集中，再反馈，直至得到一致的意见。

原则二：评估风险的严重程度

在进行风险评估时，我们需要考虑风险的发生概率和影响程度。可以选择定性的分析，也可以选择定量的分析。我们可以把上面识别出来的风险事件清单放入风险地图，如图5-10所示是一张在战略制定的过程中我们常用的一个风险地图。

图5-10　风险地图

在风险评估中，管理层需要考虑固有风险、目标剩余风险和实际剩余风险。这是风险评估中不容忽视的一个重要部分。

其中，固有风险是指在管理层没有采取任何风险应对措施来改变风险严重程度的时候，企业固有的风险；目标剩余风险是指在了解管理层将要或已经采取风险应对措施来改变风险的严重程度之后，企业在实施战略和业务目标时，所愿意承担的风险；实际剩余风险是指在管理层已经采取了调整风险严重程度的措施之后，依然剩下的风险。

当实际剩余风险大于目标剩余风险时，需要采取额外的行动让管理层进一步管理风险。

原则三：风险排序

对那些超过风险偏好程度的风险，需要进行风险排序，作为风险应对的依据。资源配置也会因风险排序进行优化。最直接的方法就是在风险评估的时候采用评分法，比如说发生频率用1-5分来打分，影响程度用1-5分来打分，最后得分用发生频率得分乘以影响程度得分，分数评出之后，就比较方便排序了。

原则四：执行风险应对

应对风险时，我们常见的做法有接受风险、避免风险、降低风险和分散风险四种类型。

其中，接受风险是指风险严重程度在风险偏好程度以下的风险，我们可以接受，高出风险偏好程度的风险需要有风险应对措施。如果在实施应对措施之后，还是无法接受目标剩余风险，那么就需要考虑避免风险的举措了。

避免风险是什么意思呢？比如说赊销会带来坏账风险，避免风险的意思就是不做赊销，不做赊销就不会有坏账风险，然而，虽然收款风险没有了，但是销售风险增加了。由此，市场占有率下降所带来的风险如果是企业不能承受之重的话，可能就只能考虑降低风险的方法。赊销风险的降低方法其实是把客户分层，特别高风险的客户不合作，拒绝这些高风险客户也是避免风险的思路。同时，风险会发生转化，巴西的蝴蝶扇扇翅膀，美国会发生风暴，企业经营是一个复杂的系统，风险也会出现按下葫芦浮起瓢的现象。所以要从公司全局的角度来做风险管理。

降低风险是指应对措施实施后可以降低风险的影响程度，或者降低风险的发生频率，来降低风险的严重程度的应对方案。比如，很多公司为了降低赊销带来的坏账风险，会设计严谨的客户信用管理机制。在事前、事中和事后进行系统的管控，从而保障坏账带来的损失降低到可以接受的范围之内。

分散风险是指找到另一个主体来分担风险的应对措施，比如赊销风险，通过购买信用保险或者银行的保理业务都可以在一定程度上分散风险。比如供应商的选择，如果只有一个供应商的话，万一供应商出了问题，企业的经营就会受到影响。客户和团队也是这样，培养人才梯队也是分散风险的一种举措。

在实际经营过程中，常常会同时做几种应对方案。以赊销为例，不只要建立信用管理机制，还要购买信用保险和信用保理。在经过多种应对措施集中管理之后，剩余风险如果是达到了风险偏好的程度以下，则应对措施有效。如果发现还在风险偏好的程度以上，就需要进一步优化信用管理机制，进一步降低风险。比如，对坏账进行风险管理，需要提炼存在坏账客户的特征，然后优化信用管理机制，对于有坏账特征的客户要降低信用额度，缩短账期，如果不能接受，宁愿不与之合作也不能妥协。当然在实际经营的过程中，可能不会如此僵化，需要一定的管理艺术。总而言之，最关键的评估要素是实际剩余风险是否可接受。

原则五：建立风险的组合观

一只南美洲亚马孙河流域热带雨林中的蝴蝶，偶尔扇动了几下翅膀，就可以在两周以后让美国得克萨斯州刮起一场龙卷风。这就是“蝴蝶效应”。不同主体之间的风险是会转换的，比如销售风险的降低可能带来财务风险的增加，研发风险的降低可能带来人力资源风险的增加。经营需要有全局思维，用组合的视角来评估风险。建立风险的组合观，董事会和管理层会更加清晰地理解风险类别、损失程度和风险之间的关联性。

用生活中的一个小故事来模拟风险管理这九个关键原则。我们每个人都希望自己拥有健康的人生。有人说要长命百岁，这就是他的战略目标。这个战略目标要结合内部和外部环境。

第一，外部环境会影响我们的战略目标。在古代，平均寿命大概只有50岁，提出长命百岁的目标，挑战性非常大，因为寿命与我医疗环境和周围的医疗资源密切相关。有兴趣的朋友可以用PESTEL模式分析，你会发现每个模块都会有直接影响我们寿命的因素。

第二，内部环境也会影响我们的战略目标。比如我们的体质，是不是经常生病，或者过去是否生过大病等因素，都会影响我们长寿目标的设定。一旦确定了目标，接下来我们需要定义我们的风险偏好，是风险激进型、保守型，还是适中型。替代战略好比说，如果生命只剩下最后三天，我们需要怎样精彩地活着。当我们追求不了生命的长度，要如何追求生命的质量，让灵魂更加纯粹一点。

第三，当评估完内部和外部风险之后，接下来我们需要识别哪些风险阻碍我们实现这一目标。我们可以从饮食习惯、睡眠习惯、运动习惯、工作习惯、交友习惯等方面综合识别风险。

第四，评估风险的严重程度，我们可以用风险地图来评估风险，分别从发生的概率和影响程度两个维度来评估。以喝酒为例，喝酒有害身体健康，如果你不喝酒，那么这个风险发生的概率是零；偶尔喝酒的人，那么风险发生频率比较低；如果你有高血压，那么这个影响程度就会变很高。当然这个评估方法也可以用定量的方法来做，如果无法量化，可以用打分的方式，关键是看不同风险之间的相对趋势，根据经验值来评分。

第五，评估风险的严重程度之后，可以对这些风险进行排序。比如长期喝酒不利于身体健康，那么就需要制定严格的管理办法进行，可采用事前预防、事中控制、事后运动等多种配套方法来达到长命百岁的目标。