为什么风险管理的实施和作用常常不能达到预期的目的?什么原因使高级管理层认为对建立风险管理系统的投入总不能得到预期的回报?源自组织及风险管理系统不同方面的许多潜在因素都可能是其中的原因，但最常见的原因归根结底还是系统的功能障碍。

特别是那些跨行业、跨区域以及经营规模较大或较小的组织中，有10种经常被忽视的情况。如果能够很好地对这些方面加以关注，就会有助于加强组织对未来不确定性的应对能力，改进决策和增强组织的期间预测可靠性。因此，以下方法和措施将会有助于增强组织的“预测力”，并进一步增强主要利益相关者的信心。了解到这些隐患和不足，并且为其提供建议方案以解决这些缺陷，从而使内部审计师在一个稳固的基础上帮助组织改善风险管理。

一、询问关键的问题

观察：典型的风险管理讨论常常不会讨论这样的问题，“我们怎么才能更好地管理利益相关者的期望?”事实上，外部顾客的观点或看法往往是不完整的，即使这些顾客是一些主要的利益相关者，并且也希望组织能够为他们创造价值和保护价值，但也不会提出这样的问题，如“顾客在多大程度上会从我们的控制措施中获益?”

建议：尽管这个世界不可预知，但仍要保留“控制”的相对概念。因为世界上没有无风险的组织，也没有零差错的管理人员。公司战略和计划一旦形成，高级管理层就应该认识到，未来本身所具有的不可确定性以及存在的无尽可能性，对于每个人而言都太复杂，以至于无法准确预测。与其抱有能够全面了解或控制未来的幻想，还不如在近期预测结果的基础上调整主要利益相关者的期望。高级管理层应该表现出足够的勇气和正直。

二、建立健康的企业文化

观察：组织由一个没有兴趣、缺少宽容或观点偏执的具有统治权的个人所主宰，一旦负面事项发生，领导人的主要反应就是查找过失，而不是试着在错误中汲取教训。结果，管理人员和员工更愿意尽可能保持长时间的沉默，于是就形成了一种疏于学习、自我保护成为一种流行的行为模式的文化氛围。因此，董事会也不能清晰地将其可接受风险程度的期望在组织中进行交流。

建议：管理人员和员工明确表达其期望将有益于创建良好的企业文化。对于组织中什么行为可以接受和什么行为不可以接受以及在目标实现过程中可接受的偏离度，如风险容忍度等，都要进行清晰的交流和沟通。董事会应发起对有关主要利益相关者期望的内部控制要求进行公开讨论，高级管理层应该鼓励不断汲取公司经营管理中存在的错误教训，而不仅仅是简单地拆分责任。然而，最重要的还是高级管理层和董事会应该做出表率，这是有效进行风险管理的先决条件。

三、明确的责任和规章制度

观察：高级管理层没有清晰地描绘出实现企业目标的责任，其中包括遵守合规性要求的责任。由于负责建立组织政策和流程的人员责任存在不确定性，高级管理层就会更多地依赖详细的政策和流程，而不是那些经验丰富的人员的正确判断，基层管理人员如同身处大量相关部门制定的指南和条款的“控制中”。然而，这些程序并不能形成所期望的结果。此外，管理人员也仅仅是在一定程度上对完成的工作成果负有责任，而他们的上级管理人员却很少问这样一个简单并且核心的问题：“如何确定你将能实现既定目标?未来是否会出现意外情况?”

建议：用结构化的方法，管理企业的规章、规程、操作指南以及其他主要政策和流程，使组织从中受益。管理人员首先应该避免有太多单独的、能够独立发布“公司内部规则”的制定者和专门部门，由此而制定的规则在很大程度上缺乏一定的协调性和一致性。其次，还应该明确什么事项应由公司层面决定(如集中采购)以及什么事项要由属地管理层进行决定。然而，在设计和执行新的组织规则时，高级管理层应该安排业务管理人员进行“现状核查”，从而防止制度在不断制定的过程中形成“制度膨胀”。有效的政策管理可以消除制度之间存在的差异、重叠，并作为业务控制框架为组织提供有效的服务。同时，也是内部审计人员在审计工作中的很好参考。

来源：《中国内部审计》