从2006年6月6日国资委《中央企业全面风险管理指引》的颁布开始,到2008年5月22日五部委的《企业内部控制基本规范》、2010年4月26日颁布的《企业内部控制配套指引》,再到国务院国资委《关于2012年中央企业开展全面风险管理工作有关事项的通知 (国资厅发改革 [2011]74号)》 等,都说明中国企业的风险管理工作已经步入实操阶段。在此基础上,很多企业也都纷纷在自己的企业当中开始尝试着实施相关的风险管理工作,然而也有很多企业管理人员在实际操作中对风险管理存在一些普遍认识上的误区,使得风险管理更多的变成一种“概念”,从而没有切实享受到风险管理的益处。
分裂应对
风险应对不应将各种风险视为独立的存在,更为优化的做法是围绕管理目标,对风险进行整体系统的分析并采取应对措施。
我们曾经为一家公司(以下称“A公司”)提供风险管理架构的构建/实施咨询服务,A公司希望根据其经营特点来构建和实施企业风险管理框架,评估、识别和应对公司面临的风险,从而增强公司应对当今动态环境快速变化的能力。
在项目的风险识别阶段,管理层认为“原材料供应”是其面临的重大风险之一。由于日益激烈的行业竞争,管理层发现每年业内协商确定的原材料供应地中出现了竞争对手的身影,重要原材料的供应被竞争对手无序争抢,原材料外流现象严重。这类风险事件被管理层定义为“原材料供应”风险下需要亟待解决的问题。然而,随着进一步分析,我们发现 “原材料外流”固然主要是因为同行公司的激烈竞争、跨界争抢原材料供应地导致的,但从另一方面来看,原材料供应地本应是由当地政府根据相关政策在各个同业企业之间进行过清楚的划分的,但是当部分竞争对手在利益驱动下,争抢原本不属于它的那部分原材料供应地,光靠企业自身的力量难以从根本上解决这个问题,而更需要政府职能部门的介入才可能制止甚至防止这种情况的发生。这里面就牵扯到一个问题,如何协调并通过当地政府解决A公司的“原材料外流”问题?这个时候与政府部门打交道的公共关系部就要派上用场了。
回顾企业之前识别的风险中,“公共关系风险”也是相当重要的一点,然而在初步分析时,两者之间是割裂后分别进行的。单凭“原材料风险”的主管部门——采购部一己之力,“原材料外流”事件根本无法解决。而只有通过与公共关系部甚至企业高管充分沟通,合作协调引入相关政府部门的介入,才可能从根本上解决这个问题。在这里,我们看到“原材料风险”和“公共关系风险”在一定的领域是相关的,必须综合分析。“头痛医头、脚痛医脚”的风险分析方式是不可取的,只有充分考虑各个风险之间存在的联系并进行分析和应对,才是全面风险管理和之前各种风险管理模式的不同之处。
唯业务层面
风险管理不能仅关注业务层面的风险,有效的风险管理可以在战略决策层面发挥积极的作用。
有些企业在开展风险管理工作时,非常关注业务层面的风险,通过组织架构、制度建设等内控提升与完善的手段来实现对风险的应对。这其实有些 “大材小用”,有效的全面风险管理更重要的其实是可以在战略决策层面发挥积极的作用。例如航运行业的业务价格和市场需求的波动非常大。很多航运企业往往注重与加强流程要求,比如要求每天汇报价格,强化报价审批,然而这些举措是不是能够解决价格和需求波动的固有风险呢?也许能够保证他们能够及时获得最及时的相关信息,还能保证企业的报价都经过了有效的审批,但是这些及时的市场信息和有效的价格审批可能都抵挡不了航线布局决策失误带来的后果。只有把风险管理和公司的战略目标结合在一起,自上而下的分解公司层面风险,才能在业务操作层面上对具体的内控需求提出要求。
我们都知道,风险研讨会作为一种风险识别的办法常被使用。我们在为客户提供风险管理咨询服务时也多次使用风险研讨会的形式。举一个风险研讨会的例子。某公司(以下称“B公司”) 为识别风险而举办的一场风险研讨会,所有部门经理级别以上的人员都被要求参加,风险研讨会持续了8个小时仍然滔滔不绝。每个部门根据自己日常工作中遇到的工作难点纷纷提出所谓的“风险”,比如:财务部门强调汇率波动、生产部门强调生产安全和工人操作不当、销售部门强调客户投诉难以应对等等,结果所有的“风险”都被记录下来,一场研讨会下来,共提及了一百多条风险。会后公司高管的进一步讨论中,居然没有一条是他们关注的。
其实如果能够请企业高管根据既定的战略发展目标分析企业的风险,也许能够更有针对性地识别公司面临的“大风险”,而在此基础上引入风险研讨会这个平台,让每个部门的人员可以有机会发表自己的观点,从多个维度对“大风险”进行深入探讨甚至争论,这样不但在一定程度上可以提升公司的风险管理文化意识,更能对“大风险”进行自上而下的细化,形成系统的“小风险”,从而保证之后拟定的风险应对计划既有针对性,也不会偏离企业高管最为关注的重要风险领域。
止于风险管理部门
风险监控不能仅停留在风险管理部门,职能部门也能承担一定的风险管理功能,风险管理部门应将评估分析结果也传达至职责部门以确保风险得到合理应对,。
很多时候我们都会引用“扁鹊三兄弟”的故事来诠释风险管理之于企业管理。魏文王问名医扁鹊说:“你们家兄弟三人,都精于医术,到底哪一位医术最好呢?”扁鹊回答说:“大哥最好,二哥次之,我最差。”文王再问:“那么为什么你最出名呢?”扁鹊答说:“我大哥治病,是治病于病情发作之前。由于一般人不知道他事先能铲除病因,所以他的名气无法传出去,只有我们家里的人才知道。我二哥治病,是治病于病情刚刚发作之时。一般人以为他只能治轻微的小病,所以他只在我们的村子里才小有名气。而我扁鹊治病,是治病于病情严重之时。一般人看见的都是我在经脉上穿针管来放血、在皮肤上敷药等大手术,所以他们以为我的医术最高明,因此名气响遍全国。”这个故事寓意深刻,正所谓事后控制不如事中控制,事中控制不如事前控制。
我们看到不少公司在开展风险管理工作的初期,各职能部门通常把风险管理相关工作跟日常业务工作分离开来,认为风险管理工作就是风险管理部或者项目组的工作,而他们的任务就是完成分配下来的额外工作。很明显,在这种心态下,风险管理工作就是多出来的“行政任务”。这其实是对风险管理工作的最大误解,而带来的就是各级人员对风险管理工作的有意识或无意识的抵 制。其实风险管理绝不是一项额外的工作,风险管理作为企业管理的重要部分,应该是一项长期、系统、并融合在各项企业建设中的有机组成部分。而风险管理部门在全面风险管理过程中更多的工作是协调、监控与汇报。风险评估、分析以至风险的有效应对都需要职能部门的参与,才能使得风险管理工作做到实处。只有创造性的把全面风险管理工作有机的结合在职能部门的日常工作中,才有可能消除各职能部门的抵 制心理,才有可能持续的把全面风险管理推行下去。
静态处理
风险管理并非静态的,风险是随时发生变化的,企业需要时时观察有关变化趋势,及时评估相应风险。
我们常常会碰到客户有这样的要求,“希望在几个月时间内完成风险管理项目,从此提高企业的管理水平、改变企业的管理面貌”,而这几乎是一个不可能完成的任务。
所谓“全面风险管理”,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。风险管理绝不是一蹴而就的,而是一个动态的系统化的工程。任何一家公司都不可能在几个月的时间内彻底完成企业风险管理文化的转变和管理水平的提升,这是一个需要若干年时间完成的“变革”,并且需要经常与时俱进地对风险进行重新的识别与评估。
有一家专为某国内机场提供服务的公司(以下称“C公司”),它的业务规模在两年前发生了很大的变化:由只为原机场提供服务扩展至兼向其他机场提供服务,由于公司业务范围与规模的变化,公司员工规模有了很大的提升,从几十人的团队扩展至上百人。C公司的这一变化使得公司的风险分布从新洗牌,曾经“风险水平”评级为低的竞争对手风险、资金风险、人力资源风险在新的评估中骤升为高风险,而一个新的风险,公司战略风险也被纳入了风险评估考量。如果该公司只是按照以前的风险评估结果实施风险管理工作,很明显,风险应对措施会跟不上企业的发展,甚至会制约企业的扩张。企业就是一个不断成长的有机实体,它所面临的风险不是一成不变的。可以相信,内因和外因的变化都会导致企业风险发生变化。业务规模、业务范围、法律法规、规章制度等的变化都会导致风险类别、风险分布、风险评级发生变化。而相对的,风险识别、风险评估以及有效的风险都会需要进行更新安排。这也是为什么我们看到不少企业会进行年度性地开展风险研讨会、更新风险清单和应对方案等。
上文列举的只是我们在过去的工作中发现的不少企业管理层对风险管理工作理解和操作上的误区。很多时候这些认识上的失误往往导致了风险管理工作难以推进或者效果不佳。