在很多年前，我剛剛接觸風險管理這個體系時，對風險偏好（Risk Appetite）這個詞的理解并沒有那么深，記憶中那個時候“偏好”這個中文詞的應用并不是很普遍，所以我一度以為這個詞是從西方詞匯中引進過來的，并不是我們中文語境中自然發展出來的。

比如說現在的中國臺灣地區還是稱為風險胃納，也從另外一個角度證明了這是一個引進詞匯。

到底什么叫風險偏好？當時沒有人能說得明白，可能現在還是有很多人說不清楚。

我記得當時在學校去吃飯的路上，還在考慮這個risk appetite如何理解，為什么吃飯的時候會想起它，是因為Appetite這個詞的原意就是指“胃口”，直接理解risk appetite就是指“風險胃口”。

你好吃哪口風險，就是對風險偏好的原始理解！

我們看一下不同的文件對風險偏好的定義：

Risk Appetite

Amount and type of risk that an organization is willing to pursue or retain.

ISO GUIDE 73 Risk management — Vocabulary 2009

風險偏好

組織尋求并保留風險的意愿。

GB/T 23694：2013 風險管理術語

ISO在2022年更新了術語這個標準，雖然在征求意見稿里對這個定義做了修改建議：

Risk Appetite

Amount and type of risk that an organization is willing to avoid, pursue, mitigate, retain, and/or transfer.

ISO 31073 過程稿

但最后定稿的一刻還是沿用了之前的定義，更名為ISO 31073: 2022 Risk Management - Vocabulary。

之前的國標翻譯的表述有點問題，建議更新版表述為：

組織愿意尋求和保留風險的數量和類型。

COSO在2017年發布的《企業風險管理 整合框架》中，也對風險偏好進行了表述：

風險偏好

組織在廣泛的層面上為了追求價值愿意接受的風險類型和數量 。

COSO ERM Framework: 2017

兩個組織在對風險偏好的定義比較接近，相信COSO也是借鑒了ISO的標準。

只不過ISO的標準中Pursue（追求）一詞側面體現了風險的積極作用（positive effect），和風險的中性定義更為契合。

所以，風險偏好包含了對風險的兩層意思：

1、愿意承擔什么風險？

2、愿意承擔多少風險？

與風險偏好經常一同出現的，還有另外一個詞匯，叫風險承受度（risk tolerance）也稱為風險容忍度，一般用以形容承擔多少風險的邊界。

在2017年COSO發布的新版企業風險管理框架中，COSO用“可接受的業績波動區間”代替了承受度的概念，需要的可以參考之前COSO解讀的系列文章。

風險偏好到底如何設定？

經常被從業者問起，我們單位的風險偏好應該怎么設定呢？

首先，風險管理是自上而下的，風險管理工作的推行需要設定頂層設計，這是至關重要的，沒有頂層設計的風險管理是無法承擔重任的。

頂層設計內容之一就是風險偏好的設定，風險偏好是風險評估的前提，沒有風險偏好，就沒法設定風險評估中所謂的高、中、低，風險發生概率和影響雖然有一定的客觀性，但歸根結底還是踐行了組織的主觀意志，而風險偏好正是其主觀意識的載體。

在COSO的企業風險管理框架中，至少有兩級風險偏好需要企業決策機構和管理層明確。

第一級是組織使命、愿景及核心價值觀傳遞出來的風險偏好信息需要作為企業定制戰略的輸入信息。

如果企業的戰略沒有支撐使命和愿景，或者違背了其核心價值觀，那么這就是組織最大的風險！

第二級是組織戰略制定完畢執行戰略過程中，選擇的實施路徑或子戰略違背了組織戰略的風險偏好，這也是致命的風險。

所以，如果你問我你們企業的風險偏好如何表達？

你們企業的使命、愿景和核心價值觀中表達的是最高級的風險偏好；

你們企業的發展戰略中表達的是第二級的風險偏好；

依次向下繼續分解。

所以，風險管理工作的第一步需要做的是進行組織的：

風險偏好解碼

這才能保證風險管理工作有的放矢，不偏離主航道。

你決定想去哪里、成為一個什么人的時候，就決定了你不去哪里、你不想成為什么人！

這就是你的風險偏好。

在COSO2017年發布了新版企業風險管理框架后，專門起草過一個文件，討論如何應用風險偏好實現組織目標。

其中有一個圖給大家參考，一個組織如何想設定風險偏好、應該風險偏好，可以參考3個輸入，6個輸出。

風險偏好設定有3個輸入：

1、組織使命、愿景；

2、考慮董事會和管理層的風險偏好；

3、公司戰略性的方向、風險的概況和組織文化。

風險偏好的輸出包括：

1、識別和評估公司發展的替代戰略；

2、選擇適合的執行策略來增強組織價值；

3、建立經營目標；

4、設立容忍度、度量和觸發指標；

5、推動業務和文化的變革；

6、監控績效，適時修訂偏好和策略。

風險偏好內容也是區分風險管理和內部控制工作的重要內容，因為風險偏好是在風險管理工作范疇而非內部控制工作范疇。

如果我們的風險管理工作落入到了日常操作層面，那我們就脫離了風險管理的重要價值區域，落入了運營風險區，這部分工作和頂層的風險偏好不能很好的銜接。

希望風險管理工作者都可以從公司的頂層風險解碼開始，這樣才能不偏離公司價值創造的主航道，做我們工作價值最大化的事，這才是風險管理工作的精髓。

返回列表