陈松威 王雅君

摘要：文章梳理了现代服务型企业面临的特殊风险、来源及其识别，进而提出一个有效的风险管理体系——包括“顶层设计”的组织架构、完善的风险控制流程、健全的基础设施及“客户至上”的风险管理文化，最后给出建议。

关键词：现代服务型企业；风险管理；流程；基础设施

十八届三中全会以来，政府陆续出台多项措施推动国内服务业的转型，从《服务业发展“十二五”规划》（2012）到《关于加快发展生产性服务业促进产业结构调整升级的指导意见》（2014），均为我国服务型企业的快速发展提供了充足动力。现代服务型企业主要指我国经济转轨进程中出现、发展起来的金融证券、会计、财富管理、律师服务、教育乃至电子商务等相关机构，其内在的知识密集型、精细化特征决定了面临的进入威胁、替代威胁、产业内竞争程度要小于传统服务型企业，但其风险也更加内在化、复杂化。对这些企业而言，如何在快速发展的同时管理好潜在风险？

一、 现代服务型企业的风险、来源及识别

现代服务型企业的特征决定其内在风险的多样性、复杂化，本文无意于全面梳理这些风险，而是重点突出该行业的一些特殊风险，例如声誉风险、法律风险、操作风险等。

1. 声誉（品牌）风险。声誉风险，也称品牌风险，指由企业经营、其他行为或外部事项引致的利益相关方对企业负面评价的风险。声誉风险的独特之处在于其产生渠道的广泛性，任何政策调整、意外事件和操作失误都可能对企业声誉造成冲击，其他风险也可能影响或转化为声誉风险。整体看，其产生来源包括两个方面：一是利益相关方的负面评价；二是其他风险的转嫁。

利益相关方的负面评价是服务型企业声誉风险最主要、最直接的来源。一般来说，客户信任是现代服务型企业存在的前提和基础，良好的品牌效应也是其发展的必备要素，这也决定了企业与客户、服务人员与客户之间的密切关系，但在现实中，客户与企业往往存在一定程度的利益冲突，能否妥善处理客户利益与自身利益成为服务型企业面临的重要挑战。声誉风险本质上为一种衍生风险，还可能来自其他风险的转嫁，尽管企业经营过程中的信用风险、市场风险、法律风险等不会直接给企业带来损失，但却会冲击企业声誉，影响利益相关方的信心和信任。

鉴于声誉风险产生机制的复杂性，企业通常可通过三条途径予以识别。其一建立一个大信息量、动态的声誉风险管理系统，针对潜在风险事件及时预警；其二建立公开、诚恳的交流机制，了解利益相关方的不同诉求，并及时监测和了解客户投诉的起因、相关性等特征，有效处理客户投诉；其三借助各种媒体平台，收集、梳理和评估影响声誉的潜在风险事件，并宣传企业价值理念，建立积极、良好的声誉。同时，企业可以通过信用评级、客户忠诚度、风险事件数量等指标评估声誉风险。在风险识别和评估的基础上，风险管理人员通过有效的报告和反应体系，及时将利益相关方对企业的评价或行动、所有沟通记录和结果、应当采取的应对措施等，报告给董事会和高级管理层，并由其确定最终的声誉风险控制方案。

2. 法律风险。法律风险是指由于无法满足或违反法律要求，致使企业不能履行合同发生诉讼、争议或其他法律纠纷，而可能给企业带来经济损失的风险。现代服务型企业的法律风险有三个来源：一是外部法律、监管制度等因素；二是企业行为的合规性；三是经营过程中的违约行为。

现代服务型企业受一系列外部法律、法规或指引的约束，当这些监管制度不完善、过于严格或发生变更时，企业的正常运营便可能受到冲击。具体来说，如果监管制度落后于行业创新，则企业参与创新活动的合法性难以保证；如果监管制度过于严格，则企业容易遭受监管者的直接干预；如果监管制度缺乏稳定性，则容易引致法律法规之间的不协调乃至冲突，使企业无所适从。违约风险是指因企业或客户违反合同条款而导致合同不能履行、产生法律纠纷，可能给企业带来经济损失的风险。例如，企业未履行向客户充分提示风险的义务、未遵守合同保密条款而泄露客户资料、以及客户故意隐瞒个人信息、资金来源等重要信息等。

企业可以通过历史经验分析法、流程分析法、情景分析法等识别法律风险。历史经验分析法侧重分析已经发生的法律风险事件，例如客户纠纷、索赔、诉讼、监管处罚等，通过剖析历史风险事件的成因、传导、风险点等，企业能够及时发现潜在风险；流程分析法以服务条线为主导，通过对照分析各条线的现行规章制度，找出潜在风险因素，但服务通常“按需定制”，并不一定有固定的业务流程，因此，企业可以比较关键风险控制点；情景分析法则通过模拟法律法规、监管制度变化对企业的影响来识别潜在风险。企业应当对法律风险发生的可能性和风险损失程度进行度量，评估方法之一为定量方法，常用方法有两种：一是估计企业在法律风险事件中的最大可能损失额，包括最大实际损失额和最大潜在损失额；二是估计一年内由单一风险事件造成的损失额。企业可以根据可能性和影响程度采用“关键”、“重要”、“可能”等词描述法律风险，也可采用排序法对法律风险事件进行排序，以引起董事会或高级管理层不同程度的关注。由于量化工具较少，定性分析成为最主要的法律风险评估方法。

3. 操作风险。操作风险是指由于人为失误、技术缺陷或不利的外部事件而造成经济损失的风险，来源包括员工、系统、流程和外部事件，并分为内部欺诈、外部欺诈等七种表现形式，本节着重分析服务适当性评估和员工欺诈风险。

适当性评估是指企业在提供服务时，必须对客户的实际情况予以评估，进而提供相匹配的产品和服务。但在实际操作中，客户通常与企业存在一定程度的利益冲突，并因此遭受一些因服务、需求不匹配引致的纠纷，致使企业面临法律风险和声誉风险。欺诈风险包括内部欺诈、外部欺诈，前者与企业员工素质、业务监督机制息息相关，后者则反映了企业服务流程缺失、设计不完善或未被严格执行。经验表明，企业单独依靠内控制度和职能分离并不能有效识别、防范欺诈风险。

尽管效果有限，但流程分析法仍不失为识别操作风险的重要手段。结合企业内部控制流程，风险管理人员可以审查职员在关键控制点是否严格按照流程操作并留存相应材料，对于不符之处进一步了解其产生原因、影响，并判断是否构成操作风险事件。风险管理人员也可以通过搜集企业过去的操作风险信息，包括风险形式、形成原因、损失程度、应急措施等，建立庞大的风险数据库，并通过采用智能化手段，提高操作风险识别能力。同时，风险管理人员还可以建立不同实体的行为档案，包括职员、客户、系统、流程等，描述不同实体在一定时段内的交易特征（如交易金额等），并通过计算当前和历史交易特征的偏差，来判断该交易是否发生操作风险。操作风险通常具有较强的内生性，一般难以实现计量和预测。

二、 构建适当的风险管理体系

对于现代服务型企业而言，一个行之有效的风险管理框架应包含四个方面--企业的组织架构、风险控制流程、基础设施及风险管理文化。在经营过程中，服务型企业可以通过优化企业架构、完善风险管理技术、健全风险管理基础设施、提高员工素质等方式，来平衡降低业务风险、提高盈利能力的双重目标。

1. “顶层设计”的组织架构。企业的组织框架规定了风险管理的岗位设置、岗位职责及报告路线等，根据业务规模、性质和复杂程度不同，组织架构有所差别，但通常会包括董事会、高级管理层、风险管理人员等。

董事会在风险管理方面居于主导地位，负责制定风险管理程序及政策，监督高级管理层制定、实施风险管理体系，并确定企业的风险文化及愿意承受关键风险的范畴。此外，董事会还需要定期检查、调整风险管理战略、政策和程序、限制等，以充分反映企业的风险特征、风险偏好、资本状况及市场和宏观经济形势的变化情况。

高级管理层主要负责落实董事会确定的风险政策和程序、风险偏好及风险文化，并在此基础上，制定具体的、完善的、可操作的风险管理细则，以识别、度量、评估、监控、报告、控制风险。同时，高级管理层还需向董事会提供企业所有潜在风险的相关信息，包括风险特征、资本和流动性等，信息务必要全面、精确、完整和及时。高级管理层还应定期检查政策和程序、风险管理流程的适当性，并可以将部分风险管理职能委托给其他委员会或员工，但其责任并不能委托，管理层应继续监管以确保委托职能被有效履行。

企业董事会可以设置并授权风险管理委员会，直接向董事会汇报风险状况，也可协助高级管理层了解各类风险及其内在关联，并在其支持下建设、管理风险管理系统，还有权参与关键决策的制定过程。法律合规部门和审计部门也在一定程度上承担着风险管理职能，在推出新的服务/业务条线之前，法律合规部门通常要对相关信息进行审核，确保其清晰、适当，不存在误导性，并负责落实监管部门的合规要求。企业也可以设置专门的风险管理岗，负责识别、分析、管理整个企业的业务风险，对创新产品开发和后续风险进行必要的评估，并就防范风险的业务流程和规章制度，提出改进措施，风险管理岗与其他部门的职责相互分离，具备较高的独立性。

2. 风险控制的“三个阶段”。一个完整的风险控制流程涵盖了从风险识别、度量、监控、报告到风险控制和防范、再到执行和反馈的整个过程，应当包含三个阶段。

（1）识别、评估、监控和报告。识别风险是风险管理流程的出发点，需要详细梳理各项服务或部门的风险状况，并通过一系列量化指标度量风险程度、发生的概率等。针对关键控制点，风险管理团队需要实施持续监控，并随时向董事会或高级管理层报告。通常情况下，风险识别结果会采用图表形式呈现出来，风险程度以风险发生的频率和强度来表示，风险概率则需结合数据库资料和风险管理团队的经验进行推算。在归集风险相关信息之后，风险管理团队需要在此基础上进行评估，详细说明风险的特征，并判断该风险是否在企业的偏好范围内，进而采取适当的应对措施。

（2）控制和防范。针对不同类型的风险，风险管理团队需要提出相应的最优控制方案，之后，还需要评估这些控制措施是否与已经存在的政策措施相冲突、是否与企业发展目标相冲突等。对于企业承受范围内的风险，风险管理团队需要持续监控，防范风险进一步累积。

（3）执行和反馈。在制定风险控制和防范措施之后，风险管理团队还需要推动相关措施的具体落实，坚决杜绝“有章不循”现象，同时进行持续的跟踪监测，以判断控制和方法措施的有效性。最后，风险管理团队还需完成风险管理政策实施报告，提交董事会或高级管理层审阅。此外，所有业务部门还需要就风险控制方案进行反馈，以便于风险管理团队及时修正和更新。

3. 制度、人力、薪酬、管理信息系统。基础设施是风险管理活动赖以开展的基础，为企业风险管理提供了硬件、软件支持，包括管理制度、人力资源、资金和管理信息系统等，也可称为风险管理环境。

（1）政策、程序与流程。董事会或高级管理层应当制定一些必要政策，明确规定风险管理岗位及其职责，这些制度一般与服务活动的性质、复杂程度及重要性相一致。董事会或高级管理层还应制定适当的程序和流程执行相关政策，并应定期审查这些政策、程序和流程，以确保其能反映当前的业务情况。企业也有必要设立适当的监控机制，监督业务活动是否与现有政策、程序和流程保持一致，一旦出现偏离，风险管理人员便可独立地调查、报告，并由相关部门及时解决。

（2）人力资源。在风险管理体系下，人力资源不仅包含风险管理团队成员，还包括与客户沟通的客服人员，以及研究部门、人力资源部等后台支持部门的员工，任何一个条线的员工出现纰漏，都有可能引致风险事项。企业风险管理的关键之一便在于人力资源的素质，相应地，企业在员工招聘、培训、绩效评估等过程中均要充分考虑到风险管理的重要性和特殊性，常用的应对措施包括制定“行为准则”、岗位分离、严格授权、员工培训和持续教育等。

（3）薪酬或激励机制。企业必须确保在风险管理部门与业务、后台、操作管理等部门之间合理分配资源，以保障企业安全有效运行。例如，企业应设置合理的、有竞争力的薪酬或激励机制，其一，该薪酬能够吸引并留住富有竞争力和经验的员工；其二，避免对不适当的业务活动（如高风险行为）提供激励；其三，风险管理、控制和评估职能的薪酬政策应区别于业务部门；其四，该薪酬的确定需结合“行为准则”、内部指引、管理要求等，并充分考虑到了员工的长期表现。

（4）管理信息系统。对于企业来说，一个精确、信息量大、及时的管理信息系统至关重要，表现之一企业可以有效管理并控制业务操作过程中的方方面面；之二系统能够及时、精确地将企业的风险特征、盈利状况、损失状况及其变化汇报给董事会、高级管理层、风险管理人员等；之三风险管理团队可以构建风险模型、历史数据库等，更精确地对风险发生的概率、预期风险损失等做出判断。故而，企业需要投入必要资源（如拥有丰富知识和经验的操作员工）来开发和维持管理信息系统。

4. “客户至上”的风险管理文化。风险管理文化主要体现为员工在日常活动中针对业务风险的态度、价值观、目标和行为，其本质在于加强员工的精神凝聚力，塑造共同的风险价值观。风险管理文化的确立通常由董事会或高层管理层主导，原因之一是他们的行为对员工有重要的影响力，之二是董事会或高层管理层决定着资源的分配，能够提供足够的人力、物力支持。

风险管理文化发挥效力的关键还在于企业员工的专业技能和素质，及其对各自岗位的风险责任、对企业发展重要性的了解程度。现代服务型企业一般都会制定“行为准则”，对员工素质进行全面规定。但在这些硬性规定之外，企业还应具备一些“软规定”，例如服务型企业员工作为“手艺人”、“朋友”的角色。

“手艺人”，指具备一技之长的人，对于现代服务型企业而言，“手艺人”角色要求员工具备丰富的从业经验、高超的行业技能，在为客户提供服务的同时，能够有效规避和防范风险；风险管理人员则能充分利用各种风险管理技术，有效识别、度量、控制和防范风险。员工定位之“朋友”，实质在于对待客户的忠诚、诚实、守信，真正做到“客户至上”。经验表明，国内服务型企业操作风险频发的一个重要原因便是员工过分追逐自身利益，而忽视了这些待客理念。故而企业应当“从上至下”传递这种风险管理文化，并秉着对客户负责、对企业负责的态度，严格要求从业人员的职业操守，确立正确的风险理念。

三、 总结及启示

近年来，随着融入全球市场程度不断加深，国内现代服务型企业面临的竞争程度逐渐加剧，与国外同行相比，国内服务型企业的风险政策、程序和流程不健全，风险管理技术单一且层次较低，风险管理相关基础设施也不完善，从业人员的风险意识更有待提高。国外经验显示，风险管理主要依赖流程控制，我国服务型企业也可沿着这条路径发展，但需做好两方面准备，其一提高员工的职业道德和业务技能，前者很大程度上依赖高层管理者的示范效应，后者则离不开完善的风险培训机制，同时，企业还应优化原有薪酬制度和激励机制，将风险控制状况纳入员工考核指标；其二重视外部沟通，包括客户、媒体和监管部门等，企业应建立适当的客户投诉处理机制，妥善处理、应对客户质询，并将处理结果及时向客户、媒体反馈，以规避其中隐藏的声誉风险；其三加强客户信息管理，一方面企业应当展开尽职调查，确保客户资料、资金来源的合规性，另一方面应强化客户信息安全，防止相关信息泄露。

参考文献：

[1] 李天庚.企业风险管理及控制模型研究[J].郑州大学学报（哲学社会科学版），2004，（1）.

[2] 罗时龙.现代服务型企业人才战略研究[J].南京社会科学，2008，（11）.

[3] 王稳，王东.企业风险管理理论的演进与展望[J].审计研究，2010，（4）.

[4] 薛瑞锋，殷剑峰.私人银行——机构、产品与监管[M]. 北京：社科文献出版社，2015.

作者简介：陈松威（1987-），男，汉族，河南省周口市人，中国社会科学院研究生院金融系博士生，研究方向为宏观金融与政策；王雅君（1987-），女，汉族，山东省日照市人，中国社科院研究生院世界经济与政治系博士生，研究方向为世界经济。

收稿日期：2015-07-11。