趙建玲 王昊宇

（1.北京城市副中心投資建設集團有限公司，北京 101101；2.北京首都開發(fā)股份有限公司首開志信分公司，北京 100031）

黨的十九屆五中全會強調(diào)，要切實增強國企競爭力、創(chuàng)新力、控制力、影響力和抗風險能力，為構(gòu)建新發(fā)展格局提供有力支撐。其中，抗風險能力是企業(yè)面臨危機時應對能力的集中體現(xiàn)。隨著內(nèi)外部環(huán)境的變化，企業(yè)風險管理的內(nèi)涵和外延有了很大程度的擴展，建設符合現(xiàn)代企業(yè)制度特征的內(nèi)部控制體系和風險管控體系迫在眉睫。針對這一課題，李翕然提出了基于內(nèi)部控制的全面風險管理體系[1]。成小平等認為在準確計量、適用性和科學性方面還需要深入研究[2]。從既有成果來看，企業(yè)風險管控多以企業(yè)面對的外部風險為基礎，以防范風險惡化、降低損失為主線的“守底線”風險管控。本文在對既有企業(yè)風險管理理念和面臨挑戰(zhàn)分析的基礎上，引入脆弱性概念，嘗試構(gòu)建基于脆弱性的企業(yè)風險管理框架。

一、企業(yè)風險管理的內(nèi)涵與挑戰(zhàn)

1.企業(yè)風險及其特征

國內(nèi)外學術(shù)界給出多種“風險”定義，其中Lawrence W W教授首次采用具體數(shù)學公式對風險進行了表達，他認為風險（R）是危險的概率（P）與損失的嚴重程度（C）的乘積，即：

從上式可知，風險是指風險承載體在應對外部擾動時，產(chǎn)生收益的不確定性或者損失。因此，風險研究勢必要分析外部擾動、風險承載體以及由此擾動產(chǎn)生的損失。

企業(yè)風險是企業(yè)運營中未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響，包括外部風險和內(nèi)部風險。外部風險主要包括政治、經(jīng)濟、法律風險等；內(nèi)部風險主要包括戰(zhàn)略、財務、經(jīng)營、廉政風險等。其中，外部風險具有難以識別、不可預期的特點，風險之間具有一定的相關(guān)性。例如，一個國家政治動蕩，往往伴隨著法律和經(jīng)濟秩序的混亂。

2.企業(yè)風險管理的發(fā)展與挑戰(zhàn)

風險管理是企業(yè)管理中不可或缺的組成部分。企業(yè)風險管理大致經(jīng)歷過兩個發(fā)展階段：第一階段是傳統(tǒng)型管理，主要是通過企業(yè)內(nèi)部各司其職，對不同類型的風險分別加以管理；另一階段是整合型管理，強調(diào)的是風險和收益的協(xié)調(diào)，目標是在承受一定風險情況下實現(xiàn)收益的最大化[3]。從企業(yè)實踐來看，后者應用較為廣泛，如COSO基于此理念于2017年發(fā)布了“企業(yè)風險管理——整合框架”。

雖然企業(yè)風險管理理念和框架日趨完善，但依然面臨不少挑戰(zhàn)。在管控效果方面，雖然多數(shù)企業(yè)均使用風險管理，但其管控效果還有待提升。在風險應對方面，現(xiàn)行的風險管理體系多以既有數(shù)據(jù)為基礎，預測未來風險發(fā)展趨勢及損失，難以應對新興的、非連續(xù)性風險。

二、脆弱性的內(nèi)涵及對企業(yè)風險管理的啟示

1.脆弱性的概念

脆弱性概念最初提出于自然科學領(lǐng)域，經(jīng)過多年的發(fā)展其內(nèi)涵已從單純針對自然系統(tǒng)的固有脆弱性逐漸演化為更為廣泛的綜合概念，逐漸呈現(xiàn)出多學科交融的趨勢。雖然針對不同研究領(lǐng)域和對象脆弱性的定義尚不完全統(tǒng)一，但不同定義有個共同點，即認為脆弱性是指被研究系統(tǒng)因暴露在外部擾動下而可能發(fā)生損失的一種屬性。因此，可以將脆弱性概念理解為是風險承載體系統(tǒng)應對外界擾動的一項綜合指標，是反映該系統(tǒng)抵抗外界擾動的一種特定能力屬性，包含了承載體系統(tǒng)對外界風險因素的暴露程度、敏感程度、適應能力和恢復能力等多方面的特性。

2.脆弱性對企業(yè)風險管理的啟示

有關(guān)學者已嘗試將脆弱性概念引入企業(yè)管理領(lǐng)域，如卜華白認為企業(yè)脆弱性是企業(yè)成長中的“隱形殺手”，提出企業(yè)應開展脆弱性管理研究[4]。企業(yè)作為一種社會組織，是由內(nèi)部不同職能機構(gòu)按照一定的約束條件組成的有機系統(tǒng)，從事某一經(jīng)濟活動為社會提供服務或產(chǎn)品。企業(yè)的運營過程實際上是其作為一個有機系統(tǒng)通過與外界之間的能量交換來實現(xiàn)盈利的過程。這一過程受政治經(jīng)濟秩序、市場資源配置等外部條件的制約，而這些外部風險因素是客觀存在的，企業(yè)只有通過加強自身建設來抵抗風險因素帶來的損失，這種應對風險的能力是企業(yè)作為一個有機系統(tǒng)的固有屬性，可以用前述的脆弱性來衡量，應對風險能力強的企業(yè)脆弱性就低，反之則脆弱性就高。因此，通過研究企業(yè)自身的脆弱性特征并對其進行定量評價，針對脆弱性指數(shù)高的環(huán)節(jié)加以改進，在守住安全發(fā)展底線的同時，還可以通過研究外界風險因素增強自身建設，進而從中獲得新的利益，達到“守底線”的同時“拓空間”的綜合管理目標。

3.基于脆弱性的企業(yè)風險管理框架

脆弱性是系統(tǒng)內(nèi)在特性，不因外部干擾因素的存在而改變，而外部干擾可以利用系統(tǒng)的脆弱性，可能引發(fā)事故、造成損失。系統(tǒng)的脆弱性評價是風險評價的一個重要環(huán)節(jié)，二者是辯證統(tǒng)一、密切相關(guān)的。因此，如果將企業(yè)作為一個有機系統(tǒng)，則該系統(tǒng)的脆弱性可定義為：企業(yè)受到內(nèi)、外隨機因素擾動（如政治經(jīng)濟秩序波動）影響后，使具有表征企業(yè)內(nèi)部結(jié)構(gòu)、行為或狀態(tài)的某一性能發(fā)生一定程度的變化但又沒有達到閾值，企業(yè)還能夠保證正常運營的一種能力。

由上述定義可知：企業(yè)受到風險因素擾動是脆弱性被激發(fā)的必要條件，而非充分條件。風險因素給企業(yè)帶來的變化是負面的，會造成企業(yè)運營性能下降。企業(yè)能否維持正常運營，取決于該企業(yè)的關(guān)鍵性能特征（如企業(yè)的財務指標）的改變是否達到影響系統(tǒng)正常運行的閾值，但不是要求企業(yè)運行的所有特征均達到其對應的閾值。

4.脆弱性特征要素分析

針對脆弱性特征要素的研究成果較多，主要包括單因素、雙因素和三因素理論。本文認為對于一個系統(tǒng)脆弱性的評價，不僅要考慮該系統(tǒng)暴露于風險擾動下的可能性大小，還要考慮系統(tǒng)對該擾動的敏感程度和該系統(tǒng)適應擾動的能力。本文采用三因素理論。

暴露度是指企業(yè)對風險因素的暴露程度，主要反映企業(yè)受到擾動、威脅的可能性大小。暴露度越高說明該企業(yè)可能受到擾動影響的概率就越高，受損失的可能性就越大。敏感度是指企業(yè)遭受到擾動作用后，發(fā)生損傷的難易程度。例如，同一次經(jīng)濟危機中，有的企業(yè)一夜間倒閉，而有的則受損甚微，這就體現(xiàn)了不同企業(yè)對經(jīng)濟危機這個擾動的敏感度不同。適應度則是指系統(tǒng)遭受擾動作用后，進行自身調(diào)整與恢復、甚至于改變自身運行狀態(tài)的一種能力。適應度的缺失，外在表現(xiàn)是敏感度屬性呈現(xiàn)后，在很短的時間內(nèi)系統(tǒng)就失效。企業(yè)遭受的風險損失是通過這三個特征的遞次演化來完成的，即首先呈現(xiàn)的是暴露度，其次是敏感度，最后是適應度，如圖1所示。

圖1 三要素遞次演化示意圖

5.基于脆弱性的企業(yè)風險管控框架

Lui H P認為風險是由擾動發(fā)生可能性、后果及系統(tǒng)脆弱性的交集決定[5]，即風險由擾動發(fā)生的概率（P）及其嚴重性（C）與承載體系統(tǒng)的脆弱性（V）的乘積決定。沿著此思路，我們認為企業(yè)風險可以用公式（2）進行表達。

與公式（1）的風險定義相比，本公式考慮了企業(yè)系統(tǒng)自身特性對風險的影響，研究的重點更加聚焦企業(yè)自身系統(tǒng)的特性和能力，亦即將風險管理研究的重點從不可控的“外界環(huán)境”轉(zhuǎn)變?yōu)槠髽I(yè)自身可控的“脆弱性”。威脅發(fā)生的概率和危害性與傳統(tǒng)風險管理體系類似，故本文重點分析脆弱性作用過程和機理，如圖2所示。

當企業(yè)作為一個有機系統(tǒng)受到風險因素擾動后（圖中A處），系統(tǒng)脆弱性被激發(fā)，暴露度首先呈現(xiàn)，敏感度和適應度遞次呈現(xiàn)，若不采取管控措施，當系統(tǒng)屬性指標（如企業(yè)現(xiàn)金流）達到閾值后，即在C處系統(tǒng)宣布破壞（如現(xiàn)金流斷裂），圖中三角形ABC的面積可以理解為脆弱性在企業(yè)抵抗風險因素過程中所吸收的能量。當然，企業(yè)實際運營過程中遇到風險擾動不會坐以待斃，一般會采取一定的管控措施（圖中td時刻），以降低或者消除風險損失，使得系統(tǒng)恢復運營。另外，假如在應對風險擾動的過程中，管理者通過系統(tǒng)優(yōu)化，調(diào)整了企業(yè)屬性，使得系統(tǒng)屬性指標由調(diào)整為，則對應的脆弱性發(fā)展終止點從延長至，即有效延長了企業(yè)的正常運營狀態(tài)，系統(tǒng)在抵抗風險因素過程中的耗能能力也從三角形ABC面積增加至三角形AB’C’的面積。

從圖2中可得出兩點結(jié)論，首先，通過對企業(yè)的脆弱性分析，可以有效掌握在擾動作用下企業(yè)風險損失發(fā)生的原因和產(chǎn)生過程，同時可以根據(jù)脆弱性特征值的具體指標來有針對性地進行系統(tǒng)優(yōu)化。其次，通過系統(tǒng)優(yōu)化可以有效延長企業(yè)在擾動作用下的正常運營時長，增強抵抗風險的能力，從而達到通過風險管理為企業(yè)“強身”的目標。

圖2 脆弱性作用機理示意圖

需要說明的是，系統(tǒng)屬性指標在實際中可以是關(guān)乎企業(yè)正常運營的某一指標或某一指標體系，如財務指標、物質(zhì)資產(chǎn)指標等，這些指標或指標體系是系統(tǒng)本身的固有屬性，在一定時期內(nèi)是固定不變的。同時，這些指標又具有一定的動態(tài)屬性，即企業(yè)作為一個有機系統(tǒng)，隨著企業(yè)資產(chǎn)、機構(gòu)設施、管理體制等的調(diào)整而呈動態(tài)變化。另外，系統(tǒng)屬性的閾值為企業(yè)要保持正常運營的最低能力，可以理解為傳統(tǒng)風險管理的“守底線”指標。通過脆弱性分析和評價，針對脆弱性水平較高的環(huán)節(jié)進行改進，系統(tǒng)屬性的閾值優(yōu)化為，優(yōu)化后的系統(tǒng)可以承受范圍更廣、強度更大、周期更長的外部擾動，意味著企業(yè)可以承受原來不可承擔的風險，可以實現(xiàn)更廣的戰(zhàn)略目標，即通過脆弱性風險管理在實現(xiàn)“守底線”的同時，可以兼顧“拓空間”的功能，這個過程可以用圖3表示。圖3中實線流程主要實現(xiàn)“守底線”的風險管理目標，虛線流程主要實現(xiàn)“強身”和“拓空間”的增值管理目標。

圖3 基于脆弱性的風險管理流程圖

三、研究結(jié)論

本文在分析企業(yè)風險管理研究成果的基礎上，引入脆弱性概念，主要得出如下研究結(jié)論：

（1）界定了企業(yè)應對風險的系統(tǒng)脆弱性概念。具體是指企業(yè)受到外界風險因素擾動后，使具有表征企業(yè)某一性能的指標發(fā)生變化但又未達到閾值，企業(yè)還能夠保證正常運營的一種能力。

（2）明確了企業(yè)應對風險擾動的脆弱性特征三要素。暴露度是企業(yè)暴露在擾動中的可能性，敏感度是指企業(yè)遭受到擾動后發(fā)生損傷的難易程度，適應度是指企業(yè)在遭遇風險擾動后進行自身調(diào)整與恢復的能力。

（3）提出了基于脆弱性的企業(yè)風險管理框架。企業(yè)風險由擾動發(fā)生的概率及其嚴重性與企業(yè)的脆弱性三者的交集決定，通過脆弱性分析和評價，針對脆弱性指數(shù)高的環(huán)節(jié)可定量改進，使其可承受范圍更廣、強度更大的風險擾動，可實現(xiàn)更廣的戰(zhàn)略目標，即通過脆弱性風險管理在實現(xiàn)“守底線”的同時，可兼顧“拓空間”的目標。

當然，本文僅從概念層面提出了基于脆弱性的企業(yè)風險管理框架，對具體指標的選取、體系的構(gòu)建、評價方法等還須進一步深入研究。