2020年春的一场突如其来的疫情，几乎让所有企业都陷入了困境。

这只黑天鹅所带来的是系统风险，我们除了定期进行一些压力测试以外没有更好的办法应对黑天鹅。某家500强企业应对这种系统风险，有个BCP（业务连续性计划business continuity plan）的工具，公司的风险委员会会授权财务部进行每年一次测试，并形成固定的体检报告。体检步骤通常包括：

1. 业务分析 – 了解业务流程，资产状况，人员需求及分布，确定关键的使命和业务功能。
2. 风险评估 -- 认识并分析各种潜在风险，包括风险可能发生的频率以及严重程度
3. 影响分析 – 分析风险可能对关键性的企业功能、以及当这些功能一旦失去作用时可能造成的损失和影响的分析
4. 策略制定 – 综合考虑时间及成本考量，制定有关如何恢复关键资源和评估应急方案
5. 制定计划 – 根据策略确定应急工作流程，建立团队沟通计划，落实责任，实施培训
6. 测试维护 -- 进行演习及有规律的测试，增强信心及效率，确保其相关的文档时常更新

除了利用BCP流程定期进行系统性风险管理之外，财务部还需要常规的风险管理工作以应对非系统性风险。例如，今年出现的京东商城被薅羊毛、微盟用户数据丢失、中兴通讯被制裁、酒鬼酒银行存款丢失等，这些损失的出现与公司内部相关业务风险没有进行合理关注存在密切联系。如果财务人员说这些基本都是业务风险，和财务管理有什么关系呢？那你就错了，因为任何业务的风险都有可能转变为财务上的损失。

无论是股东亦或是公司，对风险会问四个问题：

1. 企业知道它所面对的主要风险吗？

• 理想的答案：企业能开发一套标准的、共通的风险语言，从而识别企业所面对的风险，并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通

1. 企业是否已对这些风险设置内部控制？

• 企业就其所面对的风险和采取的内控，编制一套完整的文档，并借鉴国际最佳的实务不断进行检讨

1. 企业的内部控制有效吗？

• 企业把各类风险控制在可接受的水平，并在这基准上赚取合理的回报

1. 哪一些内部控制必须改进？

• 企业能建立一套具前瞻性的信息管理系统和预警系统，使企业能及时识别新生的风险，并对相关的业务计划、政策和程序进行修正

说道进行风险管理，必须要提及COSO发布的《全面风险管理框架》：

企业在运营过程中，总存在不同的风险，经营当中的业务风险可分为不可控制风险和可控制风险，除了财务风险之外，把市场/信贷/资金管理/流动性等风险在广义上看作是运营风险；职员/业务流程/系统等原因引起的风险在狭义上也可当作运营风险。：

那么是否所有的风险都应该规避呢？当然不是，中国老话说水至清则无鱼，一个好的风险管理是基于动态评估的，不然企业如何快速发展业务呢。因此首先引入动态的风险评估：

根据风险评估的结果，建立个别风险应对方案。企业可以根据自身特点进行选择。 选择标准的主要要素是成本效益分析。

最后，照例送上福利——风险管理的主要原则：

（项目与培训合作，请联系：yu.guo@139.com）