风险管理是对企业所面临的各种风险进行识别、分析、衡量、评价，并适时采取有效的方法进行防范和控制，用经济合理的方法来综合处理风险，以实现最大保障的科学管理方法。

 

企业风险管理策略之一是加强对管理过程的控制，利用程序化和标准化管理过程方法，构建运营结果和绩效的可控性和确定性。这种利用控制机制防御风险的策略，源于安全事故领域的“人造灾难”思想。大型安全事故和灾难，本质上源于有问题的组织行为和管理过程，都可以追溯到管理上和组织上的某些失败。缺乏安全风险意识、松懈的管理习惯和过分追求利润最大化等原因，使得有问题的管理决策和组织行为没有被发现或故意被忽视，导致安全系统脆弱性增加，为事故和灾难的发生创造了先期条件。根据人造灾难思想，大型事故和灾难不是不可控的，通过加强过程控制和问责机制，可以从源头上排除或减少事故风险发生的可能性。

 

防御性过程控制策略在企业风险管理上的应用，体现在内部控制的兴起和发展。内部控制是为了实现经营目标、保护资产的安全完整、保证会计信息资料的正确可靠、确保经营方针的贯彻执行、保证经营活动的经济性、效率性和效果性，而在企业内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施。通过执行内部控制手段和措施，企业可以把“内外部的不确定”转变成“管理系统风险”，通过加强对管理系统的程序化和标准化过程控制，规范管理过程中的组织行为，及时发现和矫正管理过程中的违规行为，在源头上排除企业风险的发生和减少风险发生后带来的不利影响，从而使得企业运营处于一种确定、可控的状态。利用控制机制防御风险的策略目前已经成为一种常见的企业风险管理策略，在世界范围内的企业风险管理实践中得到了广泛的应用。

 

利用控制机制防御风险的策略，强调了组织决策过程的透明化和管理决策结果的问责性，认为只要决策者遵循了正确的决策过程和程序，并做出理性和负责任的决策判断，那么就能够把风险控制在可以忍受的范围内。因为风险被认为本质上是可控的，那么结果超出控制范围的风险就被认为是管理过程中的组织行为或决策出现了问题，因此需要找到违反了制度规定的决策者，对他们的行为决策进行审计和问责。这样，风险管理从使用历史经验和职业判断去分析风险并设计管理措施的技术分析性活动，转变为加强内部控制、审计和问责的管理监督性活动。

 

过于强化控制和问责机制会导致企业风险管理行为出现“扭曲和变形”。假如我们把直接影响企业运营目标实现的风险称作一级风险，把出现风险后管理者需要面对的责备和惩罚称作二级风险，那么控制和问责机制的强化会导致管理者把关注的重心放在二级风险而不是一级风险上。在过于强调控制和问责机制的环境中，企业内部会形成不正常的防御性风险文化。在防御性风险文化下，决策者们更关注自身的决策会不会成为日后被追责的对象，这会导致他们的行为更趋向于保守与合规。决策者们会放弃经过多年训练和实战得来的管理一级风险的职业经验和判断，把精力放在了如何规避决策问责和风险责备的管理性、组织性“踢皮球游戏”上。

 

过多地关注二级风险使得决策者从“风险厌恶”转变为“问责厌恶”。防御性风险控制机制会削弱决策者进行职业判断的积极性。在风险和不确定下做决策不可避免地会有出错的可能性，但是，决策者们会在牺牲一级风险应对错误的代价下避免程序和过程出错的二级风险的发生，不断地关注决策过程的合规性，建立决策的“过程和程序理性”。这会严重制约决策者的创造性和积极性，决策者们在风险面前会表现得畏首畏脚、止步不前，本可以通过创新性的方法积极地应对风险和不确定，但是问责厌恶的风险文化使得他们最后选择了对于企业发展没有价值但是却“合乎规定”的决策。

 

问责厌恶文化导致本来可以由专家判断来解决的风险现在变得无法解决，这对于提高企业运营效率和战略目标的实现是没有帮助的。过于强化利用控制和问责机制管理风险会导致虚假的确定性和过程控制结果，表面上的可控性背后是低下的运行效率以及有利机会的丧失，这本身对企业管理来讲是一个主要风险。