再议风险文化

 一、风险文化定义
风险文化是公司整体文化和个性的一部分。公司文化被定义为由公司全体员工共同分享和实践的价值观、哲学和传统。
麦肯锡对风险文化的定义是组织内部团体和个人的行为规范，决定了对组织现存和未来的风险进行识别、理解、公开讨论和采取行动的集体能力。这一定义强调了与公司风险有关的行为规范和交流互动。
普华永道将风险文化看成是“一个组织在形成风险决策的整个过程中所体现出来的一系列价值观和行为方式，风险文化影响管理部门和员工的决定，即使他们不会刻意地权衡风险和收益。”这个定义强调了风险文化中行为方面的内容，人们应对风险的行为并不是他们有意识思维的一部分。普华永道进一步指出，每个人都应该把自己看成是风险管理经理，并对组织的风险偏好拥有共同的理解。
从事保险和风险咨询业务的沃特森塔公司认为，风险文化是一个组织中文化的组成部分，它嵌入了组织内部价值和规范行为相互影响的体系中。这一概念再一次聚焦到了价值观和行为方式上。
标准普尔指出：风险文化开始于鼓励员工公开对话，组织中的每一个员工都不同程度地拥有本组织风险，他们愿意思考内部决策的广泛影响，会因为识别出过量风险，并向更高级别的管理者报告而受到奖励。在这种文化下，例行的战略决策就不再是简单的投资回报分析，而是分析相关风险和回顾可选择战略。可以看出，标准普尔的观点包括交流、授权和专业技能。
国际金融组织IIF将风险文化表述为组织中个人和团体行为的标准和传统，它决定了组织对所面临、所承受的风险进行识别、理解、讨论和行动的方式。国际金融组织进一步提出：所有员工都要清楚他们正在承受什么风险，应做出正确的决策，在必要时投反对票。这一定义聚焦在行为规范以及这些行为规范与风险管理流程中的各个不同阶段如何相互影响方面。
欧洲银行业监管委员会将风险文化定义为一种状态，“组织中的每一个员工，一定始终清楚地了解自己与风险识别和报告相关的责任，了解组织内部的其他角色以及这些角色的联合责任。”这个定义主要集中在关于风险的个人责任和授权上。
企业风险管理委员会，它将风险文化看成是“一系列共享的价值和信仰，它们将统辖风险承担、风险应对和诚实正直的态度，这决定了风险损失报告和讨论的公开程度。”牛津风险研究会提出了一个风险文化的简洁定义：个人冒险决策中社会和组织的决定因素。
显然，所有这些定义都是有效且有洞察力的，所有定义都指向相同的因素或主题——风险管理中行为的作用。我们认为，风险文化是反映在组织所有员工的日常思想和行动中的内在感情，它反映了对于风险的深刻理解和尊重。透过定义我们强调在应对风险事项时的洞察力和自觉性，可以认为几乎是潜意识地嵌入日常的思想和行动中。要强调的是，不管其是否专门致力于风险承受、风险管理或者其他形式的控制,组织的所有员工都要具有风险洞察力，它们帮助在组织内部形成警惕性。这就是说，在一个理想的世界里，组织中的每一个员工首先都应该成为风险管理经理。当一个公司的员工用这样的态度对待风险，我们就能相应地确信风险文化的理念已经被很好地理解、接受和实践了。

二、风险文化的一般特性
现在继续考虑风险文化定义，探讨风险文化相关联的一般特性。
风险文化可以说是一个模糊的概念，这种文化观念很难被计量和评价，是主观的，因人而异。应对这一挑战的诀窍是要尽可能让这些模糊的东西变得有形、可触摸。如果风险文化的习惯只是保留在概念和理论领域，那么，人们不会也不应该那么重视它。风险文化要想获得成功，必须要落地，这也就意味着，那些被用于强化风险意识的行为和结构的改善，必须能带来切实的行动和决策。
风险文化是定性的而不是定量的。风险管理其他核心的方面能够被计量，并且能被井然有序地追踪，风险文化却不能走那样的流程。风险文化最主要的核心就是行为，行为很难、有时也不可能被量化，那么，任何与风险文化绩效相关的计量和判断风险文化是否成功，都要依赖于被定性而不是被定量、主观而不是客观。
风险文化是可变的和进化的。既然对风险文化的许多描述是自然发生的行为，并且这些行为受到了人、环境和条件的直接或间接影响，风险文化理所当然是可塑的。风险文化也是一个进化的概念：如果适度培育，风险文化会随着时间的推移自我成长。所以，在最初实施风险文化的日子里，风险文化的观念和实践可能看起来有点陌生，甚至有点强迫性，随着多年的努力，它将逐步融入一些相当自然的事情中。
接受和实施风险文化将会因公司而变化。一些公司将风险文化的概念看的非常重要，并认为花时间树立正确的风险文化观是值得的。但另外一些公司不会积极主动去建设风险文化，除非被监管机构、评级机构、股东和其他利益相关者强迫去做，而且这种强迫的力量是有限的。另外,接受或实施风险文化应该是变化的，对一些公司来说实施起来很容易，而在另外一些实施起来则不容易。
接受风险文化的深度和速度将会是许多实践的影响变量。如果执行经理和董事会成员重视培育和实施成功的风险管理文化，并将它定为公司的首要任务，设立正确的基调，或许组织的领导者就是最重要的单一主导因素。但如果来自高层的基调不被理解，要构建风险文化的任务就需要许多领导者或赞助者。也就是说，有更多的人推动风险文化，它就会传播的更加广泛。如果领导不能找人逐级去推动风险文化流程，那风险文化的传播依然难以推进。
风险文化是一个没有终点的旅程。由于个人、组织、环境的动态性，风险文化是一个渐进的过程，没有终点。当然，在推进风险文化的过程中会取得确定的标志或者里程碑，它们将提供进步、成功或缺憾的感觉。但是，并不会存在某一天公司或其领导人向利益相关者报告实施风险文化的任务已完成这样一个终点。
风险文化将决定商业战略与风险战略能否成功保持一致。风险管理流程成功的关键因素是使商业战略与风险战略同步。虽然这种同步关系可以通过每季度或每年的预算流程来强迫实现，但这样很可能被看成是受到人工干涉的，并且这种关系最终会消失。但是，如果风险文化得以很好地嵌入，那么商业战略与风险战略每天将会主动变化而相互适应。
风险文化绝不是一个“在方框里打钩”的活动。实施风险文化，是一个有机的、需要长期跟进的流程，依赖于领导和员工的行为方式。当然，领导一定会要求其员工依据固定的模式，坚定地朝着实施风险文化的目标前进。但是，如果没有人信任这些行为的作用，或者这个行为被当成另外的必做工作清单中的一部分，那风险文化建设的结果将会是人为编造的，也是无效的。
风险文化应该是根据组织的需要而形成的，并非来自利益相关者的需求。由于领导人员和员工有自身的特殊个性，每个组织都有与众不同的特征。相应地，组织的风险文化也将各不相同。实施和强化风险文化最有效的方法，就是确保每个组织能做符合自身实际的正确合适的事情。若利益相关者希望组织发展他们的风险文化，他们影响文化建设流程的程度是有限制的，个体利益方不能强迫组织采用特殊的办法，否则会形成被迫的或人为的文化，这样的文化将会是无效的。
风险文化必须考虑国家文化。只要基本的风险管理流程框架保持合理一致，跨国公司内个性化、系统化的风险文化将为风险事项的处理提供不同的思考方式和行动方法。随着跨文化间整合的灵活性和一体化，当地经营者越发觉得他们是合作伙伴而不仅仅是海外分支机构，进而更加致力于建设和实践这一非常重要的风险文化概念。
风险文化依赖良好的公司治理，但绝不仅仅来自于好的公司治理。风险管理是一项复杂的工作，依赖合理的结构和规则来实现，合适的公司治理能形成公司的风险文化。通过有效交流、合理轮换、正确决策、流程升级等途径搭建起合理的治理和组织结构，将有助于文化的建立和后续的培育。尽管这将被看成是发展风险文化的一个因素，但不是唯一的或者主要的驱动力量。按照我们先前的观点，如果在行为方面不能有力表现出来，即便有最好的治理和组织基础，这对风险文化的提升作用也很有限。

如果风险文化被看成是一系列结构化的机制和行为，目的是在组织的各个层面培养风险意识，那么探索风险文化在成功的组织里有何特征是很有意义的。也就是说，评估一个拥有强大风险文化的公司，探究那些对公司有实效的风险文化特征，有助于我们思考那些弱势风险文化的组织所存在的缺陷和不足。
1. 尊重风险，保持风险匹配和平衡
对于一个承担风险的公司，无论其采用什么形式管理风险，都必须尊重风险给公司带来的正反两方面影响。当风险文化被适当地嵌入流程中，所有层面上的专家（董事会、执行层、经理）对于风险如何让公司的经营模式受益、如何损害公司运营这两方面都将会有深刻的理解。领导和经理能保证对所有风险进行适当的控制，协调风险性经营活动与风险容忍度相适应，并在风险和回报间建立强有力的联系。那些忽略风险威力的公司会将自己置于危险境地。
2. 以身作则
嵌入良好风险文化的公司，将在董事会、执行层和其他领导者的带领下，实践他们所宣传的内容，并给希望他人跟随的东西定下调子。他们对于风险属性、风险文化有着全面的理解，并能以身作则。公司中的雇员能够轻而易举地看到他们的表率作用，这将指导他们上行下效。
3. 对风险事项保持灵活和积极反应
一个拥有强大风险文化的公司在风险事项发生时能够灵活、快速地做出响应。当环境变化导致风险状况发生变化时，需要重新调整风险应对策略，而这些都要在较短的时间内完成。当风险文化强大时，明晰主要风险的动因是一种习性，负责人要对变化的情况负责，即他们应掌握足够的信息和工具来正确处置这些状况。一个公司如果缺乏这种意识，将不会积极回应，结果也可能遭受损失。
4. 使风险意识可操作
对一个有风险意识的公司而言，其风险意识应该深深地根植于风险承担者、风险经理和领导的内心深处，但是还不能仅仅停留在这个层面上。一个真正强大的风险文化能够确保将意识直接转化成行动。所有拥有风险意识的员工会运用他们的知识去采取行动来合理管理风险，并确保有一个安全可盈利的环境。这将帮助把概念化、理论化的风险管理应用到实践领域，带来真正的决策和正面影响公司运营的结果。这些行动的每一步都反映了风险意识指导下的可操作性。
5. 行动时，作为伙伴，而不是绊脚石
考虑独立性、监督和控制等重要因素，在一个运行良好的公司里，风险管理职能与经营与盈余管理是分开的，也是有区别的。这些关系很重要，公司运营过程中赞成或反对的“对立化”程度，将有助于判断公司管理风险是否成功。在一个职能运行良好的公司里，风险管理职能被看成是一个受尊敬的合作者。当考虑是否接受一个风险交易发生的可能性时，要咨询风险管理者的意见，这样风险管理流程才能更强大、更有效率。风险管理团队是业务团队的全天候合作伙伴，他们共同推动合理的风险性交易。
6. 别指望从守门员手底下漏过一球
业务人员往往会做出一个激进的预算，来满足他们企图扩大经营的需求，而不顾行动所带来的风险复杂性。极端情形下，他们只是简单地对着球门不停地射门，寄希望于能踢进一些球，他们放弃了作为第一道防线的天然职责。而在一个强大的风险文化环境下，负责损益的人员通常会先进行分析和评估，拒绝那些不合理的交易，并且知会他们的风险相关者。
7. 提升信息的自由流动
自由而顺畅的交流是强大风险文化的核心。这种经营者和风险管理者分享关于机会、关注、风险、市场环境以及其他关键信息的双向交流，有助于丰富认知，促进决策的科学。当这种交流被视为理所当然，专业人员将采取全面掌握信息的行动，使利益相关者受益。当信息自由流动受到阻碍，根据不完整的事实，决策必然会出现错误。
8. 展示强大的专业知识
成功的风险文化包含深度共享的专业知识。当然，从事经营业务并创造收入的人和管理结果风险的人都拥有他们各自的专业知识，这些知识是从多年的经验和实践中得来的。那些开明的组织，一般都有丰富的跨职能的知识：经营专家了解风险问题，风险专家通晓经营活动、组织和市场。共享专业知识能使这两个在其他时候分开的团队在一个语境中展开对话。正如前面谈到的那样，鼓励信息的自由流动。共享专业知识也让每一方对于另一方的问题更加敏感，促进更加理性的决策。
9. 强化授权与责任
要做出影响其所在单位、部门和智能的命运的决策，专家需要得到授权。同样的，对于收入创造者和风险经理而言，他们也需要被赋予责任来开展行动。当然，那些被赋予某种权威的专家们必须承担责任：当事情顺利时，他们应该接受表扬，而当事情出错时，应该承担责任。当损失发生时，往往会存在企图推脱责任的情况。一方面，只是简单责备风险经理，责备他们没有识别、控制甚至是制止风险和随之而来的损失；另一方面，风险经理责备从事经营的同事，认为他们只是提出了经营建议，而没有审查风险。其实，以上任何一种方法都是不合理的。最好的解决方案是，所有当事各方承担责任，并且努力及时地解决问题，而不相互指责。

10. 不能原谅把一些员工当二等公民对待
公司以同等的方式对待它的员工是一种明智的行为，这种开明反映了正面的风险文化。历史上，许多公司将雇员分为两类：那些带来业务和收入的人和那些不能带来业务和收入的人。这种划分可能建立小圈子，因为不管其职能如何重要，那些不产生收入的人不可避免地会有低人一等的感觉。同时，对交流、尊重和合作伙伴关系有潜在的破坏影响，这些关系对于风险文化的建立都是十分关键。那些将所有职能平等看待的公司，将有助于在两种雇员划分间搭建桥梁，创造一种环境：风险管理受到尊重，并被看作与业务一样重要。
11. 什么时候说“不行”真的意味着“停止”
某些时候，公司与其客户可能根本没有业务往来。这种情况有时是由一线业务专家决定的，他们在评估了潜在的产品、交易或建议之后，认为它对于任何部门都没好处；有时也则可能是风险管理团队拒绝了那些不值得去做的尝试。不过，许多公司都没有一些可以“申诉”的流程和跨部门沟通机制给业务专家一个倾听的机会，这对于那些感到自己的项目是独特的、不应拒绝的或者值得再次审视的人员而言极为重要，因此互相尊重深入交流对于最终决定非常重要。
12. 洞察所有风险
如果风险文化的关键要素是风险意识，那么，毫无疑问，一个有强大风险文化的组织，将会全面、彻底地检查、讨论和管理其风险。而一个风险文化较弱的公司，将不能或者不愿意透过其业务形态审视它的风险。从风险理念来看：有强大风险文化的公司，对于它选择承担的风险将会看得清澈透明，并会坚持其立场。相反，如果一个公司缺乏纪律文化，他们将不会在承担风险的做法上保持一致，这将给风险的优先级和重要紧急程度带来混乱。
13. 鼓励挑战
一个有强大风险文化的公司，应该赋予风险管理层一种权力，即建设性地公开挑战经营模式、特殊的业务交易，不惧怕被报复。这种态度和方法将会带给业务领导对自身战略的自信，让他们对于风险的透明度感到舒服；同时也反映出风险管理受到了执行层和董事会的高度重视。然而，如果这种力量缺乏或者以某种方式被削弱了，将标志着自主、治理和透明出现了更大的问题。以金融管理部门为例，他们的责任是为建设工程提供信贷资金支持，显然这种业务存在信用风险，需要对交易进行分析、仔细地设计交易结构，确保至少有两个还款来源。
14. 强化反馈机制
犯错总是难免，无关勤奋和动机，尤其在风险领域，应对风险业务不可能永远正确。也就是说，有良好风险文化的公司将会有强大的反馈循环机制，允许公司从错误中汲取教训，保证公司不会重复地犯同样的错误，大幅度地减少错误再次发生的可能性。这种反馈机制是一个交流的过程，但又不仅仅是交流。这种反馈需要带来组织风险偏好、战略和政策的调整。只有这样，才能将历史的反面教训，恰当地根植于公司的文化中。
15. 行必循德
大多数公司都有一些行为准则、诚实宪章和行为原则，用来指导员工的行为，主要目的是规范员工行为，尊重客户和其他利益相关者。遵守道德的态度，对于浓郁的公司文化是必要的，对于强大的风险文化也是必须的。然而，只有当这些规则都是基于善意的，并被真正相信时，才能够实现初衷。相信行为准则是有效的，而不被看成是一种政治上正确的形式主义。这种道德行为必须要一致、稳定和身体力行，否则，当它面临问题和困难时就会倒塌。
16. 采取理性激励
拥有强大风险文化的公司建立了理性的激励和补偿机制，避免任何扭曲的行为。没有合理计划的激励实际上鼓励了不良行为。如以净收入或者净现值，直接奖励业务专家而超出了风险承受能力。明智公司的收入管理通常经过了多年的风险调整，以此来校正激励。
17. 保持稳定的应对手段
当市场环境变好时，一些公司会产生一种不遵守纪律或者草率行动的倾向。市场环境下行时所采用的谨慎立场被遗忘了。而那些有强大风险文化的公司，依然保持他们稳健的态度和行为，这已经成为组织记忆的一种形式，用以保护企业应对变化的周期。稳定的应对手段是谨慎和适当风险管理行为的重要因素。虽然这种方法意味着公司可能会失去一些额外盈利的贸易机会，但可确保负面的意外降到了最低，减少收益和收入的波动。稳定的应对手段也是公司成熟和有经验的标志。