编者按:针对读者提出的涉及管理方面的问题,本刊编辑部邀请专家予以解答。读者也可以在本刊的网站(www.fortunechina.com)上获取本栏目的内容。如有建议或有意参与,请通过 liquanwei@cci.com.hk 与本栏目编辑联系。本期回答问题的专家是德勤北京企业风险管理服务部合伙人薛梓源先生。薛先生主要为能源、金融、电信和制造业的客户的审计及咨询项目提供控制、风险管理和内部控制服务,在业务流程控制咨询方面拥有超过 10 年以上的经验,曾管理过很多内部控制咨询和风险管理咨询项目。
问:我所在的企业正在组建风险管理团队,但目前我发现,每个人对“企业风险管理”都有不同的理解。请问,这个概念是否有标准化的定义?建立了完善的风险管理机制的企业应该具有什么特征?
答:从广泛意义上来说,“企业风险管理”(Enterprise risk management,简称 ERM)的出现已经有十几年的时间了。在一些行业,特别是金融服务业和能源行业,都在使用一些十分精细的模型和复杂的分析工具管理其特定的行业风险。而在另外一些行业的企业,如服务业和接近消费者的下游行业,原本对企业的风险管理可能重视程度不够,但如今对系统地管理企业风险的需求也逐渐浮现出来。
我们认为,现在几乎还没有哪一家企业可以很好地管理企业各个层次的风险。一个完善的风险管理机制,应该能够对企业所有的预期情况进行风险的评估和处理,能够突破模糊企业所面临风险的组织之间的界限,能够对所有潜在的重大风险进行预计并制定出相应的解决方案。一旦一个完善的 ERM 得以完成,企业应该对其进行特殊的指定。因此,我们可以称这种典型的企业为“风险智能企业”。
这种“风险智能企业”都具备以下的共同特征:
● 要形成这样一种风险管理实践:贯穿于整个企业,并在所谓那些大的、成熟的“竖井”(silos)与各种类型的企业之间建立联系。
● 要制定这样一种风险管理策略:涉及企业各个层次的风险,包括行业特有风险、合规性风险、竞争力风险、环境风险、安全性风险、保密风险、持续经营风险、战略风险、报告风险及经营风险。
● 要建立这样一种风险评估过程:力于企业的弱点,并强化一贯强调的风险发生可能性。
● 要树立这样一种风险管理方法:风险管理不是单独地去考虑某一件事情,而应该考虑一系列的事件,以及若干风险之间的相互作用。
● 要形成这样一种风险管理实践:将风险管理融入整个企业文化,这样风险管理策略及决策的制定就可以发展成一个全面控制风险的过程,而不是在事后才考虑风险的因素。
● 要持有这样一种风险管理哲学:不仅要考虑规避风险,而且要将承担风险作为一种促进价值创造的手段。
从长期来看,那些有效管理企业现有资产风险及未来成长风险的公司,必将强于那些未能有效管理风险的企业。这里的“有效”,包括效率和效果两个方面。
问:建立一家风险智能企业,是否有切实可行的步骤?
答:每一个企业都是独一无二的。因此,智能风险管理也必需根据企业的环境和需求量身定做。有些企业可能会发现他们十分符合风险智能企业成熟度模型,而有的企业则仅仅处于起步阶段。
因此,这里所归纳的步骤,有的适用于您的企业,而有的可能早已运用于您的企业实践之中,但无论如何,以下都是建立一个风险智能企业必不可少的步骤:
1. 建立评估及管理风险的全面框架、政策及程序。
您的公司是否已经建立了适用于企业所面临风险的全面风险框架?这一框架是如何评价企业风险的?又是如何管理风险的?您的公司是否制定了风险管理政策?如果您的公司的股票是在纽约证券交易所(NYSE)上市的话,那么要求企业必需有相关的风险管理政策。NYSE 要求:监事会必须就企业所面临的风险及风险管理方法与管理当局进行沟通,企业的风险评估及风险管理程序必须令监事会满意。凡是影响企业交易、经营、行业及财务状况的风险因素,必须进行清楚的表述。
仅仅制定风险管理政策,是不能形成一个风险智能企业的。董事们会要求管理当局披露一个系统、可执行的程序,以识别、评估风险,并对风险进行排序,对风险做出相应的反应,管理并报告风险。总经理应适时向董事会及监事会汇报最新的情况,包括企业的风险管理程序是否按预期执行,证明企业的风险报告值得信赖。
2. 识别关键的风险及企业的弱点,制定应对风险的计划。评估企业价值,并对风险将如何影响企业价值做出判断。
应就以下问题制定特定的计划:未来还会出现哪些情况?什么可能导致失败?什么是会对企业价值及战略目标产生最大负面影响的关键性风险?企业在哪个方面最容易受到攻击?风险的早期预警、征兆是什么,如何识别?有效的智能风险管理的一个特征,就是能够区分有用信息和无用信息。
在这方面需要考虑的一个问题是,多数的风险会交叉在一起,因此要考虑风险之间的交互作用,并且牢记:风险从不会受企业的界限的限制。您如何处理这些风险?您的处理程序是否得以有效执行?
根据德勤的研究成果:全球 1,000 强所发生的损失,大多源自那些发生的可能性不大、可是一旦发生影响却很大的风险。
3. 确定企业的风险偏好(risk appetite)。确定企业现在已经承担的风险,并判断企业可以承担更高的还是更低的风险的程度。
一旦决定去承担一份风险,企业还要考虑:愿意接受多高的风险,企业自身的能力允许其承担多高的风险,企业能够拿出多少资本或现有的资产以承担一次风险,为了实现将来的增长企业愿意承担多大的风险,企业从一次极端的事件中恢复的能力如何。
我们经常忽视的一个关键问题是:我们承担了足够的风险吗?回避一项风险,不去追求风险带来的收益,可能意味失去一个商业机会,降低企业的竞争力,甚至最终丢掉这项生意。要在商场上具有竞争力,就不得不承担一定的风险。