2007年11月03日 来源:解放日报 作者:唐蓓茗
都说风险无处不在,但是, 普华永道合伙人、COSO企业风险管理整体框架研究项目负责人Miles Everson先生却告诉我们:只有不到三分之一的CFO(财务总监)相信他们的公司全面实施了企业风险管理并达到既定效果。
Miles 是在上海国家会计学院2007年度CFO论坛上说这番话的。这个由上海国家会计学院和CIMA皇家特许管理会计师公会联合主办的论坛,就如何通过加强风险管理来创造公司价值展开研讨,从专家们的口中吐出的,是“流程”、“价值观”、“风险情景规划”等词语。
六成企业遭遇过重大风险
有一份和Miles 说法很相似的报告刚刚在10月31日公布。这是IBM公司对全球79个国家和地区的1200多位首席财务官和资深财务负责人进行的调查。结果发现:在过去的三年时间中,收入超过50亿美元的大型企业有62%的企业曾经遭遇过重大风险事件。然而,当真正发生重大风险事件时,全球42%的CFO和其他资深财务负责人都没有准备好,不知如何应对和处理重大风险事件。而中国企业几乎100%的首席财务官和其他高级财务经理都没有为此做好准备。
该项研究结果证明:在过去的三年时间中,企业遭遇了一系列风险,其中包括战略(32%)、地缘政治(17%)、环境/健康(17%)、财务(13%)、运营(13%)以及法律遵守(8%)等方面的风险。
“我们经常听到风险是如何摧毁一家公司的故事。如果你不能很好地管理风险,那么公司一夜之间就完蛋了。这也就告诉我们,企业必须能经受三重挑战:绩效、规范、责任,要同时达到这三方面的要求。如果我们晚上要睡得安稳,就必须对公司有更好的治理。”CIMA皇家特许管理会计师公会亚太区发展总监Martin Fahy说。
将风险管理系统化
Miles 认为:很多公司以为风险管理是一个全新的东西,之前都没有做过。但是实际上很多企业都不自觉地在进行这方面的管理。因为作为一个企业而言,每天都面临风险,实际上每天都在进行风险管理。而要实现风险管理的有效性,关键是你要树立一个企业层面的、全面的风险观,“COSO 企业风险管理框架”正是这样的一种风险管理指南。
据Miles介绍,“COSO 企业风险管理框架”是由COSO(Committee of Sponsoring Organization,COSO)委员会于1992年发布,并于2004年得到进一步修订完善的。作为现代企业内部控制具有权威性的框架,“COSO 企业风险管理框架”在美国及全球得到广泛推广和应用。
“COSO 企业风险管理框架” 是一个原则性的、基础的框架。不管你是哪种公司,不管你在管理哪种风险,也不管你的目标是什么,这些原则都是通用的。除了原则之外还有一些导则指南,可以帮助公司来实施这些原则。
在这些原则中,Miles特别强调的是两点:对企业有潜在影响的事项进行识别,并且根据风险偏好进行风险管理,这是两个非常根本的原则。他指出,事项是指一种意外或者突发的事件,它将会影响战略的实施和目标的达成。风险是事项将会发生而且会给目标的达成带来不利影响的概率,而事项也可能会有正面的影响,它可能代表一种机遇。所以我们要注意区分风险和机遇。
风险识别是风险管理中的重要步骤之一。“COSO 企业风险管理框架” 告诉我们,实施风险管理有五个关键环节:第一个阶段是文化和治理阶段,即要统一认识,让企业上下都了解风险管理的重要性。
第二个阶段就是风险的识别。其一是你必须要知道风险在哪里,并要探索风险会怎样发展;其二是要确定风险组织,并开始设计制定一些对策,确定谁对哪一种风险负责。这一点以前是大多数企业最容易疏忽的,很多员工并不知道他们的职责所在。而如果在更早的阶段让他们了解自己的职责,那么对整个系统的顺利实施是有帮助的。
第三个是定性管理阶段,你可以对风险进行一些自测,建立一些关键的风险指标,这里采用的一些衡量措施都是定性的分析。
第四个阶段是定量管理,要更精确地对风险进行计量分析,掌握数据,建立模型,从资本的角度、价值的角度来看看风险给我们带来什么样的影响。
第五是整合管理阶段,即要将风险管理与现有的公司系统整合在一起,要对风险和回报进行测定,要有管理控制和纠错措施,对管理层和股东还要进行报告。
“千万别越过第四阶段,直接进入第五阶段。”Miles提醒说,风险的定量分析不可或缺。
Miles讲流程, Martin Fahy谈起风险管理则更强调价值体系。
为什么许多公司的风险管理没有效果呢? Martin 认为是因为没有把风险管理嵌入到决策的核心环节之中。风险管理本身并不是一个目的,管理最终是为了让我们做出更好的决策,只有能够做出正确的决策才能够确保公司获得成功。“但是许多企业管理风险的流程和企业的现实是脱节的。他们自以为在进行风险管理,但是实际上并没有正视现实,他们对企业所处的真实环境缺乏清醒的认识,他们和业务是脱节的,他们分析风险、计算风险,但是他们从不冒风险。” Martin说。
“对某些风险,我们应该去识别、衡量、通过一些流程来计算,但是大多数时候,我们的成功需要看是否有能力拥抱风险,并且从风险中赚钱、获益。”Martin认为,把所有的流程标准化、组织运营的方式标准化固然理想,但是世界是杂乱无章的、缺少逻辑的,企业要做的是快速反应,去面对挑战。“如果人类要前进的话,就必须要承担风险。从历史上看,每次突破都是因为人们愿意冒风险打破陈规。如果我们什么事情都不想冒险,那么生活肯定是非常的平淡无奇。真正要作杰出贡献的话肯定要冒风险。”
从农夫和火鸡的故事,可以看到Martin Fahy对风险的态度。他说,火鸡是圣诞的一道大餐,在过去20周的时间里面,农夫每天都会喂食火鸡。在这20周里,农夫是火鸡最好的朋友,但是在20周以后农夫就要掐断火鸡的脖子,将它烹成大餐了。市场也一样,一个产品在20周的时间里可能销售情况不错,但是20周后可能就有灭顶之灾,漂亮的数据后面往往是残酷,市场上那股使你成功的力量有可能最终使你失败,在这个世界不断会有创新颠覆性的产品或者事件出现,对于企业而言,要获得成功,前提有可能就是失败、挫折。而正因为成功和失败,才说明这个市场是有效的,那些资本被最有效地配置到有价值的企业当中去了。
“过去对于风险,人们更加倾向于规避。但实际上要为股东创造更大的价值,我们只有勇于承担风险。” Martin 说,他强调:公司的财务总监应该更加深入地参与到业务当中去,应该像越野赛车上的领航员一样坐在司机的边上,指导企业承担风险、拥抱风险。“我相信不是工作越辛苦越好,也不是有更多的流程就越好。归根到底我们要看的是:什么才能有效地影响人们的行为。这就是说,我们要思考的是价值观、信念以及激励措施。” Martin 说。如果人们受到鼓励,就会勇于去承担更大的风险,所以风险管理最重要的是信念、激励和价值观。
“确实我们对风险要有一个理性的认识,但是最终我们要的是为股东创造价值,只有建立起理想的价值体系,鼓励人们采取合适的行动,才能帮助企业为股东创造价值。” Martin 总结道。
隔夜送达不惧天
在谈到如何把风险管理融入到规划、预算、报告和预测的流程之中时,IBM公司的高级管理顾问Terrence Hobdy为我们提供了一些工具和手段,如“战略地图”、“平衡计分卡”等等。IBM推行的“风险情景规划”也十分有效。
所谓“风险情景规划”就是通过可能发生的情景分析来进行风险控制,根据可能出现的情景制定一些应对措施。
FedEx就做过这样的“风险情景规划”:如果天气情况恶劣,为实现隔夜送达, FedEx准备了许多修正性的方案,比如派卡车拉包裹去另一个机场;每晚有两架飞机可以紧急调用;公司的飞机中有一架总是半空的,可以转移到其他机场装东西;在紧急情况下,可以调用已经退役的14架飞机中的一架来完成任务,FedEx会利用一些管理工具在风险事项和备选行动中进行成本效益分析,最终作出正确决策。
Terrence Hobdy还为我们提供了这样一个自上而下的风险管理步骤:明确公司的战略和关键目标—识别风险的特性—绘制风险经过价值动因到组织目标的地图—在风险战略上达成一致—编制每一风险的概要—确定对每一风险采取的行为—开始更新规划、预算和预测—继续监控所有的风险要素,然后开始又一个循环。