新冠疫情把世界经济拖入了一个高度不确定的时代，连万科这样的优秀企业也喊出了“活下去”的励志口号，企业生存的压力之大可想而知。在这样的环境下，判断风险、管控风险的能力往往决定了一家公司的存续。

管控风险的前提是知道风险的存在或可能，因此预警风险成为了风控的一项重要任务。但是，预警不当却有可能造成不必要的恐慌。

上世纪60年代，英国药物安全委员会发出警告：第三代口服避孕药会使服药女性罹患血栓的风险增加一倍，即100%。服药群体从媒体获知这一耸人听闻的消息时，惊恐不已，纷纷停服避孕药，导致意外怀孕和堕胎率骤升。没有人会对100%的增长掉以轻心，但如果你知道所谓100%的增长是从1/7000的患病率提高到2/7000，你还会如此紧张吗?(《风险与好的决策》，格尔德·吉仁泽，2015)

相对风险增加了100%，而绝对风险其实只增加了1/7000。这一表述上的不严密导致本已持续下降的堕胎率转而上升，极大地伤害了英国女性的健康，并重创了国民医疗保健体系，还使医药类企业的股价大幅下挫，教训不可谓不深刻。

事实上，带来危害的经常不是风险本身，而是对风险的恐惧。空难发生后，一段时间内坐飞机的人会显著减少，其实自己开车的风险比坐飞机大多了。数据证明，开车约20公里的风险与坐一次飞机的风险大致相当。也就是说，把车开到机场，一次旅行的风险大部分就已经过去了。

对概率的误读有可能带来致命的后果。概率高并不等于确定。艾滋病检测呈阳性并不是百分之百得病的证据，假阳性的可能性在4%左右，所以标准检测流程要求做两次ELISA(酶联免疫吸附剂测定)加一次免疫测试。艾滋病检测刚问世时，美国佛罗里达有22位献血者被告知检测结果呈阳性，其中的7人在不知道结果是否属实的情况下选择了自杀!

认知和管控风险是不确定环境下经营企业必不可少的一项修炼。

大部分风险可以用概率来计算和表达，如自然灾害、交通事故、质量偏差等。有些风险则很难事先用概率表达，如911恐怖袭击和新冠疫情。

防而不灾和灾而不防都会带来损失，但两者具有完全不一样的后果。防而不灾的成本是可以预知、可以控制的;灾而不防却有可能将多年的努力毁于一旦。因此，宁可防而不灾，决不能灾而不防。

2012年7月21日，北京下了一场大暴雨，结果极为惨烈：79条生命陨灭，数百万市民的正常生活被打乱，经济损失高达上千亿元，灾后重建延续了数月甚至数年。

其实，暴雨前几天气象局就预报该周末将有一场暴雨。北京的各级政府部门也提前做了周全的准备：房山区的干部按要求完成了通知到户的工作;对全市河道和排水管的巡查作出了安排，泥石流区域也作了重点布控。从程序上看，一切毫无瑕疵。然而，大多数北京市民和相关部门并没有把警告当一回事，毕竟，这种警告每年都有好几次。一场并不能算突袭的暴雨带来了灾难性的后果，这是必然还是偶然?如果暴雨再来一次，能避免灾难吗?

我认为，如果同样的暴雨再来一次，积水或难以避免，因为基础设施的缺陷短期内无法彻底改造，但死亡事故是可以避免的。毕竟，人命关天，生命的代价无可弥补。事实上，类似程度的暴雨后来在北京和其他大城市都发生过。如此惨烈的伤亡却再也没有出现。这说明了什么?说明制度设计的缺陷在相当程度上可以通过执行层面的努力得到弥补，而基础条件的不足也会因为执行的错误被急剧放大。

风险控制执行层面的工作通常由风控和内审部门的人员来承担，他们在企业的作用类似安全阀：防止灾难而不是直接创造价值。他们对价值创造的贡献是间接的，因而是容易被低估、被忽视的。

想象一下，他们的工作做到完美、极致，企业一定是风平浪静，安然无事。如果真是这样，很多人或许会质疑：我们这么好的企业，本来就不会出事，要他们何用?没有人可以证明是因为这些人持续不懈的努力企业才没有出事，还是企业本来就不会出事。

显然，对风控和内审部门要有足够的理解和宽容。他们的工作性质需要他们在风平浪静时找出问题和隐患，在别人洋洋得意时发现漏洞，得罪人是必然的。

风控和内审的工作准则很简单：相对独立、合理怀疑。所谓相对独立就是要独立于任何业务部门如财务、法务、总办等。他们直接对董事会、总经理和分管的副总经理负责。所谓合理怀疑，就是要始终以审慎的质疑眼光分析经营行为。

然而，风控和内审不能做成内部警察，不能与经营相对立。对他们工作的评价标准不是查出了多少问题，而是帮助业务部门解决了多少隐秘问题，提高了多少经营效率。

风控和内审的基础建设是设计、建立完整规范的内部控制制度，并确保能按设计要求有效执行。内控有效性必须有三道防线来保障：运营及管理、内部监控与监督，以及内部审计。内控有效的前提是对企业可能面临的风险有足够的认识，即风险识别。只有识别出风险才有可能对风险采取有效的控制措施。按监管要求，风险识别要做到量化分析，从发生概率和可能后果两方面来量化定义每一项风险并归类成不同的风险等级。

什么是好的内控制度?我们可以参考监管部门对IPO企业的要求：发行人的