对于风险管理从业人士来说，常常面临着两难的困境：要么是董事会及总经理认为业务没有风险，风险管理无足轻重;要么是董事会高度重视，但认为风险管理只是相关风险管理专业部门的事情，如出现风险损失事件，即认为是该部门风险管理不到位。那么，风险损失事件的发生是否意味着风险管理的失败?如何来对风险管理框架进行有效的评估?本文将集中回答这几个问题。

巨额损失不一定意味着风险管理失效

首先，我们必须认识到的是，一些巨额损失的出现并不一定意味着风险管理本身失效。有时，会有风险管理人员无法估测或管理的因素存在，对此，可以将之简单地归因于运气不佳。假设某支基金收益率为-11%，损失数额要以数亿乃至数十亿美元级来计算，仅看这些数据，可能有些高层管理者会十分生气，但是，我们并不能武断地认为这说明了风险管理的失效。假如，此时市场上平均收益率为-13%，则能证明风险管理者已经尽其所能地完成了工作。在经过相关人员仔细勘查后发现，风险管理者确实已经尽可能地控制了风险，那么，便可将与市场平均收益率的2%差额视作风险管理带来的收益。在这种情况下，不但不应惩戒风险管理者，反而应对其进行褒奖。

当今管理界公认的风险分为三类

无法计量的风险也便没有办法真正地进行管理，而无法认知的事情更是无法进行管理。因为人对周遭世界的认知存在着局限性，这就会对风险管理目标产生负面影响。总体而言，当今风险管理者公认的风险包含三类(1)已知-已知(known-known);(2)已知-未知( known-unknown);(3)未知-未知(unknown-unknown)。

第一类表示风险已知，且预防措施也已知。这类风险主要包含了那些我们已经能够辨识并且评估、计量的风险，但是即便风险管理者已经对其进行了尽可能多的风险辨识、评估出了重大风险，并对其中的重大风险进行了计量、风险预警等工作，它们仍可能因为决策失误及不够幸运而造成损失。然而，这样的风险损失事件，发生概率会相对较低。在科学的风险管理框架中，风险管理者也会在风险承受度之内，对此类风险发生的频率及可接受的损失金额进行限制，而非严格意义上不准许发生，因为接受这一类风险的部分存在是业务持续发展的客观要求。

第二类表示风险已知，但预防措施未知。这类风险主要包含了那些我们应该或已经意识到风险建模的缺陷或不足，但风险管理者却对于如何评估及计量这种缺陷或不足尚无良策。举例来说，风险管理者可能在风险建模中遗漏了某项非常重要的风险因子，或是对风险因子的分布计量错误，没有选取足够反映经济周期状况的历史区间的数据，抑或是映射过程不准确，或是风险管理者选择了前提假设要求非常严格且对结果产生重大影响、但实际情况与该假设差距较大的风险模型，以上因素都可能导致这样的问题。风险管理者因为其自身专业、背景、经验等差异，可能导致第二类风险的发生。而这一类风险的发生，确实应归因于风险管理者，而非简单归结为运气不佳。

第三类表示风险未知，预防措施也未知。这类风险的应对是最为困难的，因为这种风险在很多情况下都是来自于外部事件或监管的变化，譬如监管机构突然取消了某一种风险对冲的手段，造成原有的风险应对失效。另外，我们永远无法对交易对手的信用风险进行彻底全面了解，了解你的直接交易对手固然是最为重要的，但是它的其他交易对手的信用状况仍然会间接对你产生影响。

并非所有的风险都能够进行有效的管理

如果是第二类风险造成的损失，我们可以直接论断为风险管理的失效，并对风险管理者的相关工作进行检讨，加强对其培训等工作来提高风险管理的有效性。但是，第一类风险及第三类风险所造成的风险损失事件，却并不是完备的风险管理工作所能够完全避免的。面临这样的风险时，并不能仅仅从风险的发生与否来判断风险管理框架是否有效。换言之，风险管理框架的设计及执行的有效性并不能由第一类风险或第三类风险的发生与否来判断。然而，对于这两类风险之后的处理仍能分辨出风险管理框架的完备性，例如：新的风险损失事件是否在最短的时间内触发风险应急流程及报告流程，向相应层次的风险管理人员及相应的职能部门乃至管理层进行及时汇报;新的风险损失事件是否在处理结束后，提炼成新的风险事件进入相应层级的风险库，或是与已有风险事件进行了映射，并将应对方案提炼后进入应急预案;对爆发的风险事件是否进行了评估，若确定为重大风险，则应为之建立应对机制;整体的风险管理信息是否在各个层级之间做到了顺畅沟通及不断改进;风险损失事件库的数据是否在风险真实发生后及时进行了更新?如果这些都能有条不紊地通过机体的正常运转来实现的话，则可视为该风险管理框架的完备及有效。