「审计月刊」问题导向和风险导向的区别与联系？

最近几年，经常在一些政策文件中看到坚持“问题导向”这个词，找出问题、解决问题就是取得进步的过程。

在企业管理领域，近些年我们也听到过很多次“风险导向”的提法：以风险为导向的内部控制体系；以风险为导向的合规管理体系；以风险为导向的监督体系；以风险为导向的质量管理体系；问题导向和风险导向是一回事吗？有什么区别？

你识别出来的真是风险吗？

这涉及到一个由来已久的风险评估问题，很多企业在识别风险，建立风险清单时，如果细究一下，都会遇到一个难题，就是你识别出来这些所谓的“风险”，是对现状的描述，还是对未来预测可能发生的事？

比如我们把风险描述为：

关键领域人才流失，影响战略目标的实现。

请问，关键领域人才流失，是对现状的描述？还是未来可能会出现这样的情况？

根据之前在企业识别风险的经验，如果把这个描述解释成是现状，对于有些风险的责任主体来说，他不接受，他认为这是对他们没有做好当下工作的否定。但如果你解释为，这是未来可能出现一种情况，他们就会比较容易接受。

那你识别出来的这些到底是不是风险呢？

问题与风险的区别

什么是问题？什么是风险？

风险的定义我们讨论过很多次了，按照ISO31000《风险管理 指南》标准中对风险的定义：

风险：不确定性对目标的影响

定义中最核心的一个词：不确定性。这是风险的本质，也是判断一个事件/情景是否构成风险的重要依据。我们经常说：意外和明天不知道哪个先来！

不确定性的产生的最大来源就是时间的推演，或者说，未来的一切都充满了不确定性，这也是我们为什么说风险管理是面向未来的。风险管理要做的是管理未来的不确定性，实现预期目标。而问题是当下的，是确定的，之所以被称为问题，就是因为已经用“既定”标准筛选出来了，这种情况不是一种正常的状态，是存在问题的状态。

相对确定性与相对不确定性

和任何对立统一的两个要素一样，确定性和不确定性并不是可以清晰的一刀切开两个部分，而是在中间区域存在大量的相对确定性和相对不确定性的部分。

根据管理的需要，判断一种情况是不是归为风险来管理要看不确定性部分是不是占主导。同样，如果这种情况是确定性成分主导，就可以归为对现状的描述。

内部控制体系虽然也需要进行风险识别，但内部控制中的风险大多是落在制度/流程中的风险点，这些风险点和风险管理体系中的风险最大的一个区别就是，内部控制中这些风险点的确定性明显要高。这种确定性如果再提高，就不再是风险点，而是问题。

风险需要管理、问题需要解决

对于风险来讲，是未来的不确定性，需要用管理的手段将不确定性管理到可接受的范围；而对于问题，直接解决就可以了。解决到什么程度？也是需要解决到可接受的程度。

如果你识别出来的风险是对现状问题的描述，那就需要管理层如何看待这个问题，想投入多大资源解决这个问题，解决到什么程度，遗留问题能不能接受，如何保证这个问题不会演变成更大的问题。

问题不解决，就会成为风险源

怎么叫把问题解决到可接受的程度？

问题本身就是一个“瑕疵”或“缺陷”，存在问题并不一定会影响最终目标无法实现，而有些目标实现了之后，还是带着一堆问题。我们有句大家可能比较熟悉的话：用发展解决发展过程中的问题。

问题有大小、有轻重缓急，看哪些需要解决，需要怎么解决，问题不解决，并不一定会产生风险。但只要有问题，就为产生风险提供了环境，我们称之为“风险源”（risk source）—可能会导致风险的要素。

总结：

问题导向，侧重对现状问题的描述，做好当下，好处是比较好考核。

风险导向，侧重对预期的管理，把握未来，不太容易在当下考核，但好处是不会偏离目标。

按照这样的思路，大家可以看一下企业的风险清单里，哪些是真正需要管理的风险，哪些是需要当下解决的问题。

转载于大风控，侵删