风险文献中充满了采用风险管理实践将预防风险的承诺。事实上，有些领域的风险具有破坏性，微淘客，几乎没有增值潜力，应当加以避免或尽量减少。在其他领域，即使面对高内在风险，也有必要审慎地承担风险。我们如何区分他们？

有些风险是值得拥有的

如果在预期收益的情况下有意识地承担风险，那么这些风险是值得拥有的。我估计，任何企业从事的活动中，不超过20%（可能要少得多）是为了创造价值。因此，对高风险水平的自愿接受应局限于这些领域。

实体业务活动的平衡可能支持核心增值活动，而不是增加任何价值本身。还有其他活动支持法规遵从性。

下面是一个例子。一家飞机制造商决定在一项新技术上投入巨资，大数据培训，开发一种全新的飞机，一种更轻、更快、更宽敞、更省油的飞机。设计和制造新飞机的业务流程是为了增加经济价值和推动股价上涨。但风险是巨大的。以前从未做过，但好处是巨大的

如果投资回报率（ROI）是有利的，那么在开发和制造新飞机的过程中承担的高风险是值得的

有些风险是不值得的

支持任何业务中的核心增值过程是无数其他必要的，但非增值活动，如采购到付款、建筑管理、IT管理等。

如果其中任何一项活动失败，后果可能是灾难性的。但即使管理得当，它们也不会增加什么价值。风险完全是负面的。没有好处。

管理好这些风险可以使公司归零，但不能超过零。目标是以尽可能低的成本将风险管理到可接受的水平。治理、风险和合规（GRC）如果不从价值所在的地方开始，就不会增加价值。

为什么差异很重要

理解这种差异很重要，因为GRC资源的很大一部分被消耗掉了，用于识别、评估和管理不会增加价值的风险。根据定义，微信返利机器人，非增值活动中存在的风险没有增值潜力。例如，接受非核心活动中的任何重大网络风险都没有好处。维持一个允许重复付款或不可靠的库存系统的应付账款系统是没有好处的。战略损失占市值重大损失的86%。审计人员花6%的时间检查战略风险。

图1

发现值得拥有的风险

下面的图2是过去几年我的博客中出现和解释的图表的变体，返利下载，最近一次出现在去年的"三道防线"博客中。iTunes提供的免费SAP GRC Strategy Selector应用程序对此作了进一步解释。（此应用程序正在更新，仍处于实验状态。它是专门设计来帮助驱动正确的GRC资源到正确的风险。如果您感兴趣，我很乐意亲自进一步解释。）

下面的图表需要评估风险水平和管理层接受风险事件的意愿。值得拥有的风险位于右上象限。

此处红色区域中的风险应具有上行价值，并应使用成熟的风险管理技术和工具进行管理。这个象限中任何没有上行价值的风险都会引发灾难。任何具有上升价值的风险或未能实现该价值的机会都是失去的机会。

图2

邀请

这比我通常在博客中放的内容要重一点。但我们现在确实需要一些输入和验证我们的想法。

让我知道你的想法。更好的是，iot物联网，请注册参加我们3月份的SAP GRC内幕会议，了解有关此方法的所有信息以及它与三道防线的关系。我期待您的反馈