基于脆弱性的企業風險管理框架研究

趙建玲 王昊宇

（1.北京城市副中心投資建設集團有限公司，北京 101101；2.北京首都開發股份有限公司首開志信分公司，北京 100031）

黨的十九屆五中全會強調，要切實增強國企競爭力、創新力、控制力、影響力和抗風險能力，為構建新發展格局提供有力支撐。其中，抗風險能力是企業面臨危機時應對能力的集中體現。隨著內外部環境的變化，企業風險管理的內涵和外延有了很大程度的擴展，建設符合現代企業制度特征的內部控制體系和風險管控體系迫在眉睫。針對這一課題，李翕然提出了基于內部控制的全面風險管理體系[1]。成小平等認為在準確計量、適用性和科學性方面還需要深入研究[2]。從既有成果來看，企業風險管控多以企業面對的外部風險為基礎，以防范風險惡化、降低損失為主線的“守底線”風險管控。本文在對既有企業風險管理理念和面臨挑戰分析的基礎上，引入脆弱性概念，嘗試構建基于脆弱性的企業風險管理框架。

一、企業風險管理的內涵與挑戰

1.企業風險及其特征

國內外學術界給出多種“風險”定義，其中Lawrence W W教授首次采用具體數學公式對風險進行了表達，他認為風險（R）是危險的概率（P）與損失的嚴重程度（C）的乘積，即：

從上式可知，風險是指風險承載體在應對外部擾動時，產生收益的不確定性或者損失。因此，風險研究勢必要分析外部擾動、風險承載體以及由此擾動產生的損失。

企業風險是企業運營中未來的不確定性對企業實現其經營目標的影響，包括外部風險和內部風險。外部風險主要包括政治、經濟、法律風險等；內部風險主要包括戰略、財務、經營、廉政風險等。其中，外部風險具有難以識別、不可預期的特點，風險之間具有一定的相關性。例如，一個國家政治動蕩，往往伴隨著法律和經濟秩序的混亂。

2.企業風險管理的發展與挑戰

風險管理是企業管理中不可或缺的組成部分。企業風險管理大致經歷過兩個發展階段：第一階段是傳統型管理，主要是通過企業內部各司其職，對不同類型的風險分別加以管理；另一階段是整合型管理，強調的是風險和收益的協調，目標是在承受一定風險情況下實現收益的最大化[3]。從企業實踐來看，后者應用較為廣泛，如COSO基于此理念于2017年發布了“企業風險管理——整合框架”。

雖然企業風險管理理念和框架日趨完善，但依然面臨不少挑戰。在管控效果方面，雖然多數企業均使用風險管理，但其管控效果還有待提升。在風險應對方面，現行的風險管理體系多以既有數據為基礎，預測未來風險發展趨勢及損失，難以應對新興的、非連續性風險。

二、脆弱性的內涵及對企業風險管理的啟示

1.脆弱性的概念

脆弱性概念最初提出于自然科學領域，經過多年的發展其內涵已從單純針對自然系統的固有脆弱性逐漸演化為更為廣泛的綜合概念，逐漸呈現出多學科交融的趨勢。雖然針對不同研究領域和對象脆弱性的定義尚不完全統一，但不同定義有個共同點，即認為脆弱性是指被研究系統因暴露在外部擾動下而可能發生損失的一種屬性。因此，可以將脆弱性概念理解為是風險承載體系統應對外界擾動的一項綜合指標，是反映該系統抵抗外界擾動的一種特定能力屬性，包含了承載體系統對外界風險因素的暴露程度、敏感程度、適應能力和恢復能力等多方面的特性。

2.脆弱性對企業風險管理的啟示

有關學者已嘗試將脆弱性概念引入企業管理領域，如卜華白認為企業脆弱性是企業成長中的“隱形殺手”，提出企業應開展脆弱性管理研究[4]。企業作為一種社會組織，是由內部不同職能機構按照一定的約束條件組成的有機系統，從事某一經濟活動為社會提供服務或產品。企業的運營過程實際上是其作為一個有機系統通過與外界之間的能量交換來實現盈利的過程。這一過程受政治經濟秩序、市場資源配置等外部條件的制約，而這些外部風險因素是客觀存在的，企業只有通過加強自身建設來抵抗風險因素帶來的損失，這種應對風險的能力是企業作為一個有機系統的固有屬性，可以用前述的脆弱性來衡量，應對風險能力強的企業脆弱性就低，反之則脆弱性就高。因此，通過研究企業自身的脆弱性特征并對其進行定量評價，針對脆弱性指數高的環節加以改進，在守住安全發展底線的同時，還可以通過研究外界風險因素增強自身建設，進而從中獲得新的利益，達到“守底線”的同時“拓空間”的綜合管理目標。

3.基于脆弱性的企業風險管理框架

脆弱性是系統內在特性，不因外部干擾因素的存在而改變，而外部干擾可以利用系統的脆弱性，可能引發事故、造成損失。系統的脆弱性評價是風險評價的一個重要環節，二者是辯證統一、密切相關的。因此，如果將企業作為一個有機系統，則該系統的脆弱性可定義為：企業受到內、外隨機因素擾動（如政治經濟秩序波動）影響后，使具有表征企業內部結構、行為或狀態的某一性能發生一定程度的變化但又沒有達到閾值，企業還能夠保證正常運營的一種能力。

由上述定義可知：企業受到風險因素擾動是脆弱性被激發的必要條件，而非充分條件。風險因素給企業帶來的變化是負面的，會造成企業運營性能下降。企業能否維持正常運營，取決于該企業的關鍵性能特征（如企業的財務指標）的改變是否達到影響系統正常運行的閾值，但不是要求企業運行的所有特征均達到其對應的閾值。

4.脆弱性特征要素分析

針對脆弱性特征要素的研究成果較多，主要包括單因素、雙因素和三因素理論。本文認為對于一個系統脆弱性的評價，不僅要考慮該系統暴露于風險擾動下的可能性大小，還要考慮系統對該擾動的敏感程度和該系統適應擾動的能力。本文采用三因素理論。

暴露度是指企業對風險因素的暴露程度，主要反映企業受到擾動、威脅的可能性大小。暴露度越高說明該企業可能受到擾動影響的概率就越高，受損失的可能性就越大。敏感度是指企業遭受到擾動作用后，發生損傷的難易程度。例如，同一次經濟危機中，有的企業一夜間倒閉，而有的則受損甚微，這就體現了不同企業對經濟危機這個擾動的敏感度不同。適應度則是指系統遭受擾動作用后，進行自身調整與恢復、甚至于改變自身運行狀態的一種能力。適應度的缺失，外在表現是敏感度屬性呈現后，在很短的時間內系統就失效。企業遭受的風險損失是通過這三個特征的遞次演化來完成的，即首先呈現的是暴露度，其次是敏感度，最后是適應度，如圖1所示。

圖1 三要素遞次演化示意圖

5.基于脆弱性的企業風險管控框架

Lui H P認為風險是由擾動發生可能性、后果及系統脆弱性的交集決定[5]，即風險由擾動發生的概率（P）及其嚴重性（C）與承載體系統的脆弱性（V）的乘積決定。沿著此思路，我們認為企業風險可以用公式（2）進行表達。

與公式（1）的風險定義相比，本公式考慮了企業系統自身特性對風險的影響，研究的重點更加聚焦企業自身系統的特性和能力，亦即將風險管理研究的重點從不可控的“外界環境”轉變為企業自身可控的“脆弱性”。威脅發生的概率和危害性與傳統風險管理體系類似，故本文重點分析脆弱性作用過程和機理，如圖2所示。

當企業作為一個有機系統受到風險因素擾動后（圖中A處），系統脆弱性被激發，暴露度首先呈現，敏感度和適應度遞次呈現，若不采取管控措施，當系統屬性指標（如企業現金流）達到閾值后，即在C處系統宣布破壞（如現金流斷裂），圖中三角形ABC的面積可以理解為脆弱性在企業抵抗風險因素過程中所吸收的能量。當然，企業實際運營過程中遇到風險擾動不會坐以待斃，一般會采取一定的管控措施（圖中td時刻），以降低或者消除風險損失，使得系統恢復運營。另外，假如在應對風險擾動的過程中，管理者通過系統優化，調整了企業屬性，使得系統屬性指標由調整為，則對應的脆弱性發展終止點從延長至，即有效延長了企業的正常運營狀態，系統在抵抗風險因素過程中的耗能能力也從三角形ABC面積增加至三角形AB’C’的面積。

從圖2中可得出兩點結論，首先，通過對企業的脆弱性分析，可以有效掌握在擾動作用下企業風險損失發生的原因和產生過程，同時可以根據脆弱性特征值的具體指標來有針對性地進行系統優化。其次，通過系統優化可以有效延長企業在擾動作用下的正常運營時長，增強抵抗風險的能力，從而達到通過風險管理為企業“強身”的目標。

圖2 脆弱性作用機理示意圖

需要說明的是，系統屬性指標在實際中可以是關乎企業正常運營的某一指標或某一指標體系，如財務指標、物質資產指標等，這些指標或指標體系是系統本身的固有屬性，在一定時期內是固定不變的。同時，這些指標又具有一定的動態屬性，即企業作為一個有機系統，隨著企業資產、機構設施、管理體制等的調整而呈動態變化。另外，系統屬性的閾值為企業要保持正常運營的最低能力，可以理解為傳統風險管理的“守底線”指標。通過脆弱性分析和評價，針對脆弱性水平較高的環節進行改進，系統屬性的閾值優化為，優化后的系統可以承受范圍更廣、強度更大、周期更長的外部擾動，意味著企業可以承受原來不可承擔的風險，可以實現更廣的戰略目標，即通過脆弱性風險管理在實現“守底線”的同時，可以兼顧“拓空間”的功能，這個過程可以用圖3表示。圖3中實線流程主要實現“守底線”的風險管理目標，虛線流程主要實現“強身”和“拓空間”的增值管理目標。

圖3 基于脆弱性的風險管理流程圖

三、研究結論

本文在分析企業風險管理研究成果的基礎上，引入脆弱性概念，主要得出如下研究結論：

（1）界定了企業應對風險的系統脆弱性概念。具體是指企業受到外界風險因素擾動后，使具有表征企業某一性能的指標發生變化但又未達到閾值，企業還能夠保證正常運營的一種能力。

（2）明確了企業應對風險擾動的脆弱性特征三要素。暴露度是企業暴露在擾動中的可能性，敏感度是指企業遭受到擾動后發生損傷的難易程度，適應度是指企業在遭遇風險擾動后進行自身調整與恢復的能力。

（3）提出了基于脆弱性的企業風險管理框架。企業風險由擾動發生的概率及其嚴重性與企業的脆弱性三者的交集決定，通過脆弱性分析和評價，針對脆弱性指數高的環節可定量改進，使其可承受范圍更廣、強度更大的風險擾動，可實現更廣的戰略目標，即通過脆弱性風險管理在實現“守底線”的同時，可兼顧“拓空間”的目標。

當然，本文僅從概念層面提出了基于脆弱性的企業風險管理框架，對具體指標的選取、體系的構建、評價方法等還須進一步深入研究。