风险管理措施不力会让企业付出惨重的代价,这样的例子我们见得不少:欺诈交易导致巴林银行(BaringsBank)分崩离析,财务欺诈最终让安然(Enron)轰然倒闭,壳牌公司(Shell)在虚报石油储备丑闻曝光后不得不重编财务报表,在发展中国家的不当经营让耐克(Nike)和雀巢(Nestle)的品牌形象受损,而麦当劳(McDonalds)也遭到过危害公众健康的指责。
当然,企业风险绝不仅指财务风险,也不局限于会计数据。企业需要考虑整个组织各个方面的风险,且必须制定出评估和管理风险的方法。风险本身并不一定是坏事,毕竟“不入虎穴,焉得虎子”,不冒风险,何来收益。但是关键在于,我们应该了解自己所选择的风险,不做无谓的冒险。
近期出台的一系列备受瞩目的法规和报告,推动了当前的风险管理的发展。这些法规报告包括旨在遏制财务报表欺诈问题的《萨班斯-奥克斯利法案》(Sarbanes-OxleyAct)、防范金融服务业财务和经营风险的《新巴赛尔协议》(BaselIIAccord)、信息系统审计和控制协会(Information SystemsAudit and ControlAssociation)制定的信息技术风险框架Cobit(信息和相关技术的控制目标)以及联合法案(Combined Code),后者统合了该组织三个委员会??凯德伯里(Cadbury)、格林伯瑞(Greenbury)和哈姆派尔(Hampel)先前发布的公司治理报告。
这些规则和建议敦促企业在一贯实行的财务控制基础上进一步加强风险管理措施。但是,人们往往狭隘地将重点放在围绕现有财务风险报告体系改进财务报告和公司治理上,而并没有树立一个更具全局眼光的风险观,从而平衡风险与机遇、财务和非财务要素。因此,制定这些监管规则往往被视为成本高昂而利益不明的举措。
企业全面风险管理(Enterprise Risk management,简称ERM)是指在宏观层面上管理财务和非财务风险。“反对虚假财务报告委员会”(Committee of Sponsoring Organizationsof the Treadway Commission,简称Coso)是企业风险管理方面的一个思想领袖,它将ERM界定为应用于企业各层面的管理工具,其功能在于确认可能影响组织发展的潜在事件、将风险控制在可承受的范围内、并为公司实现目标提供合理保障。从本质上说,ERM体现了对风险的一种全局观念,考虑的是风险对整个企业、而非局部的潜在冲击。另外,从这个广义的角度来看,管理层就应该对组织准备承受的风险??即风险偏好了然于胸。
ERM理念为风险管理人员指明了方向,但是,要实际整合并量化公司所面对的整个风险组合仍是一项艰巨的挑战。实际上,风险管理的应用往往还仅局限于具体的技术领域,如财务风险、法律风险或客户流失风险等。因此,企业应当如何针对各层面的风险开发出一套评估、定位及管理的理论框架,从而把握ERM的真谛呢?
有效的ERM难觅踪影
虽然目前风险管理备受关注,但是高质量的ERM仍然难觅踪影。麻省理工学院的研究科学家乔治?维斯特曼(George Westerman)认为,ERM让他联想起上世纪90年代的电子商务:“每个人都希望涉足其中,每个人都以为别人也在为之乐此不疲。然而,真正掌握要领的却为数不多,而做得出色的更是凤毛麟角。”那么,原因何在呢?我们认为,主要源于两个方面。
中层管理的脱节
首先是缺乏整合。比如,人力资源专员仅负责评估人员管理风险??如技能的缺乏或者继任计划;信息技术专员则关注数据的整合;而财会人员则致力于改进发票审核程序。但是,我们却缺乏一种标准的风险标尺去衡量哪个领域的风险更大或管理得更好,或者各领域的风险管理能否结合起来。
在研究ERM的过程中,我们发现风险管理在中层环节上存在相当大的脱节。如果针对不同类别的风险设定统一的标准度量,那么各种微观层面的风险评估就能够整合为一体,填补这中间环节的缺口。虽然在抽象的理论层面上我们已经建立了一些ERM框架,但是它们对企业该如何开发统一的风险度量和报告体系却无甚帮助。在微观层面上,不同的行业和职能部门确实也开发了许多具体的风险度量工具,但是,它们不能帮助行业或部门间相互交流风险影响,也不能与其它微观层面的风险评估相整合。市场调研公司顾能公司(Gartner Group)曾公布了它对美国各家银行的调查,有半数的银行将缺乏有效的风险标尺视为管理经营风险的最大隐患。
好事达人寿保险公司(Allstate Life)的企业风险管理部负责人维纳雅?莎玛(VinayaSharma)在分析了保险行业当前的风险管理实践后认为,问题的症结在于风险被割裂开来看待了:每个产品都被单独进行分析,很少有对风险的全面评估;即使有,也仅仅限于微观层面。
风险和战略之间的联系薄弱
其二,风险评估常常与战略脱节。Coso委员会发现,很多企业首先强调的是安全性,这意味着它们关注的是如何降低而不是管理风险,因此,即使某些冒险举措对于企业的成长和成功来说十分必要,它们也敬而远之。此类强调安全性的思维,将风险管理视为开展业务的间接成本,而非平衡机遇和风险的工具。换句话说,虽然适当承担风险对企业成长来说大有裨益,但它们却在风险面前裹足不前。
公司需要甄别两大风险。一种是战略风险,也就是公司为了追寻战略目标而承担的风险,比如进入新市场的风险。战略风险既有负面影响,又有正面影响,通常都是由外部因素(如市场、客户、供应商及监管机构等)引起的。企业需要仔细评估这些风险,使之符合自身的战略和风险偏好。
第二种风险被称为无意识风险,比如欺诈或产品滞销的风险。此类风险只有负面影响,通常是由内部因素导致的,如财务欺诈风险或者由于人力资源部、运营部、信息技术部或战略部门的问题。无意识风险构成企业经营的间接成本。
那么,公司如何才能整合风险的度量和管理呢?首先,它们应该从利益相关者的角度来看待风险偏好,也就是说站在股东、管理层、客户、监管人员和其它重要参与方的立场上进行分析。
其次,要确保风险偏好对行动的指导作用,就需要以统一的标尺来对风险组合进行评估。一个成功的战略依赖于企业职能的发挥和运营的成功,比如顺利实施营销和生产流程。而生产又进一步依赖于技术知识和技术人员,因此,战略成功往往要依靠呈树状分布的各种流程的支持,我们可以通过构建一个“风险树”来进行说明。
绘制风险树
风险树可以帮助利益相关人评估每种风险对战略成败可能造成的影响,因此所有风险都可以用统一的标尺进行衡量。另外,风险树考虑到了对成功有利或不利的所有事件,因而可以帮助重建风险和机遇之间的平衡,有助于全面的风险管理。
绘制风险树可以为企业制定风险策略提供一个参考依据。美国的健康医疗机构联合健康集团(United Health Group)就很好地把握了战略风险偏好和风险整合的基本原则。公司业务风险服务副总裁兼审计总监比尔?波延(Bill Bojan)指出:“企业风险管理……必须是我们联合健康集团的企业文化、决策过程和治理过程中不可或缺的一部分。”
联合健康集团意识到,战略风险提供了创造价值的最好机遇,故而应该以最多的资源配置作为保障。通过整合各类风险,公司懂得了精简的价值所在:它建立了一个涵盖所有基本业务风险的标准数据库,将原先考虑的100多类风险整合成40类。业务风险管理部的高级主管帕特里克斯琼(PatrickStroh)强调,风险管理提高了企业对收益风险和损失风险的敏感度,同时改进了运营部门的质量、成本和生产力。
在瞬息万变的世界中,ERM是企业发展的必要工具。虽然实施ERM需要耗费成本,但是,只要我们超越狭隘的方式,不仅仅满足于遵从规则、降低风险,ERM就一定能帮助企业在战略风险和机遇之间找到更好的平衡点,实施更有效的控制。