没有以不变应万变的风险管理体系，但是存在标准化的风险管理基本过程，例如，ISO31000:2018给出的风险管理基本过程是任何风险管理的核心基础。从古代风险管理的起源（例如Asipu牧师）到现代ISO31000，这个过程的基本框架一直保持没有变化。

 

相对于风险管理体系，风险管理更应该关注过程。做好风险管理，首先要保证做好风险管理过程规定的每个步骤以及步骤中规定的内容。建立风险管理体系的目的也是为了更好地服务于风险管理过程的有效执行。

 

完全成熟、完备的风险管理体系几乎是不存在的，同时对于具有不同的地域、文化、结构和历史的企业或组织，其风险管理体系必然存在很大的不同，过于纠结于风险管理体系建设、试图建立完备的体系不见得有利于企业开展风险管理，甚至会导致本末倒置，将大部分精力放在了如何建立体系，而不是去有效地管理风险。

 

甚至有些组织和机构，为了自身利益，会人为设计复杂、难以实施的各种风险管理体系，在本来简单、直接的风险管理过程上加入大而复杂的体系包装，这会使得风险管理变得十分臃肿、难以实施，但是却会为这些组织和机构带来丰厚的收入和利润。

 

当企业问我如何开展风险管理时，我的建议是首先在企业范围内建立标准化的风险管理过程，同时为了提高效率和保证质量，需要首先建立能够有效执行风险管理过程的风险管理系统。这一点很重要，否则就是在空谈、泛谈，以目前的企业的风险管理人员配置根本支撑不起来在企业范围内执行风险管理过程。

 

例如，我会建议在企业部署风险登记簿系统（Register），为各个部门、项目、流程建立风险评估标准，建立统一的风险分类库和风险事件库，建立风险管理组织机构，建立风险评估和管理的基本流程，建立风险管理的监控机构以及建立风险管理的汇报机制。所有这些标准、分类、机构、流程、机制都内嵌到风险登记簿系统中，这样就可以在企业范围内迅速建立起风险管理过程框架，便于企业有效开展执行风险管理过程，在短期内有效提高企业风险管理能力。同时，为长期风险管理体系建设打好基础。

 

风险管理过程的有效执行是风险管理体系建设的基础。风险管理体系固然重要，但是企业开展风险管理更应该首先关注过程、打好基础。看到许多企业建立了所谓的“高大上”的风险管理体系，但是却没有看到企业内部完整的风险管理过程被有效执行。那么，风险管理的意义是什么呢？建立风险管理体系是为了什么呢？是为了有效管理企业自身的风险，还是做个华丽的包装给外部监管机构或上级单位检查和欣赏呢？