吉宁博士观点
风险评估是企业整体风险管理框架为基础的内部控制体系的主要内容。风险评估过程必须判明企业完成既定目标存在的外部风险,分析各种风险的类型和程度,为风险管理提供依据。COSO报告中所提到的风险评估是指企业为达到目标而对相关的风险进行确认和分析,以构成风险管理基础。COSO报告把风险评估作为内部控制的要素之一加以归类,但本人以为,在理解风险评估要素时应认识到风险评估与内部控制存在互动的关系。即风险评估既是内部控制的要素之一,为整个内部控制服务,同时也应看到企业设置内部控制的目标和价值之一也是为了降低整个组织的风险,看到企业战略风险评估既是内部控制要素之一,也是风险管理的重要内容。内部控制与风险管理有很多的重叠与共通之处,内部控制系统就是直接针对企业各种风险的,内部控制的目标和风险管理也是相通的,因为风险管理的目标也是“为了帮助组织提升经营的效率与效果”。典型的风险管理比较关注特定业务的战略评审,旨在通过比较不同公司业务领域内的风险与战略目标的相关程度进行不同级别的分类定义和管理。
一、企业风险的识别与分析
1、识别思路
风险识别也称作风险辨识,即准确地辨别出可能会影响企业战略目标的实现和战略绩效达到的风险事件以及风险事件产生不利结果的条件、情况、原因和环境,并对风险事件发生的可能性概率、影响程度以及损失进行分析和估量。但是任何风险都不是直观显露、显而易见的,多数情况下,风险隐蔽在战略管理的各项活动、各个环节和各个方面以及各个时期,很难被发现,甚至风险可能存在于种种假象之后,具有极大的迷惑性;同时风险的基本理论告诉我们风险具有多发性的特征,通过研究各种风险发生的概率和频率。我们可以探索企业战略风险事件的某些规律,从而可以辨识其存在,衡量其大小,为企业战略风险的预警和控制提供依据。可见,识别和衡量企业战略风险在战略管理中极为重要。
识别企业战略风险是一项复杂而细致的工作,要按特定的程序、步骤,采用适当的方法逐层次地分析各种现象,并实事求是地做出评估。
现代企业战略风险管理决策
2、识别步骤
辨识企业战略风险的过程包括对所有可能的风险事件来源和结果进行实事求是调查、访问和对案例进行研究,识别企业战略风险必须系统、持续、严格分类并恰如其分地评价其严重程度。战略层面风险及对策分析程序。风险管理部门COSO内部控制框架和ERM框架的要求,参照SOX法案实施细则,制定本公司的工作流程,组织公司层面风险数据库的编制与确认,主要程序如下:
1)确立公司总体目标。
公司内控部根据公司制定的战略目标、与战略目标相关的中长期发展规划确立公司总体目标。
2)收集公司及同行业其他公司在资本市场披露的公司风险情况。
公司风险管理部门和相关部门将公司及同行业的其他公司最近年度在资本市场(美国20—F表)上披露的相关风险进行收集、整理、归纳和分析,找出公司与同行业其他公司披露的风险的共同点和差异点,作为识别公司层面风险的参考资料。
3)识别确认风险。
公司风险管理部门和相关部门管理人员参考公司和同行业其他公司披露的风险,采取分组讨论、对部门负责人进行访谈等方式,逐项识别公司内、外部影响公司战略目标实现、影响公司整体发展和公司声誉等方面的负面因素,完成公司战略层面风险的识别和确认。
4)风险分析。
公司风险管理部门组织具有经验的风险管理人员和相关管理人员,结合国内、外政治因素的变化情况、市场价格变化趋势、技术发展趋势、自然灾害发生规律、竞争环境变化情况、信息系统运转现状等实际情况,分析确定相关风险发生的可能性、影响程度、重要性水平、相关财务报表认定、相关的重要的会计科目和披露事项。
5)确定风险反应,描述相关对策。
6)记录公司层面风险,形成“公司层面风险及对策指引表”,报送相关部门审核并确认后,送交风险管理部门审议通过后发布实施。
二、企业战略风险的衡量方法
企业战略风险衡量一直是战略风险管理研究中的重点。使用最早的是CAPM方法,试图通过测度股票收益(EPS)的变化来衡量企业战略风险。后来人们采取了变化的方法,利用特定变量的方差或标准差来估计企业整体的风险大小。RidA.Bettis和VijayMahajin提出对收益的历史数据进行多维度分析来确定风险水平。
企业全面、客观衡量企业战略风险,需要建立一个多维、面向战略实施行动管理的战略风险衡量机制。平衡记分卡(TheBalancedScorecard)自90年代初由卡普兰(RobertKaplan)和诺顿教授(DavidNorton)提出,经过十年多理论研究和实践应用至今已得到了很大发展。建立平衡记分卡可以将企业战略转化为一组指标与目标体系,并试图在各组成要素间达成平衡:(1)短期目标与长期目标之间;(2)外部指标与内部指标之间;(3)期望产出与产出的绩效动因之间。凭借平衡记分卡,经理人可以全面测评企业绩效[34]。
首先,组织基于平衡计分卡把描述性的使命和战略转化为一套具体、完整、可以测评的目标和指标集,帮助经理人澄清战略内涵,并在企业内部达成共识。其次,经理人运用平衡计分卡开展沟通和协调工作,将组织整体战略目标分解到部门、团队和个人,确保组织各层次目标都能与战略保持一致。第三,组织通过平衡计分卡开展业务计划。经理人把能否对平衡计分卡上目标实现作出贡献当作组织内确定工作优先顺序、分配资源、建立预算的依据。最后,组织通过平衡记分卡开展战略反馈与学习。基于平衡计分卡上财务、顾客、内部运作和学习与成长维度指标绩效反馈,组织开展数据分析和团队会议讨论,可以检验既定战略的实施进度与问题,据此做出快速、有针对性的调整。围绕平衡计分卡将上述四个管理流程整合贯穿起来,战略的制定和实施就成为一个连续的过程。
基于BSC的企业整合型战略风险管理系统包括的战略风险衡量、战略风险控制等活动相互联系、循环进行,为企业战略分析、计划、实施仍至整个战略管理提供了全过程的信息与工具支持,为企业控制战略风险,成功实施战略提供强有力支持。
在全面、准确衡量企业战略风险的基础上,企业需要积极采取措施,消除风险因素或者减少风险因素的破坏性,从而驱动战略实施,提升预定战略的成功率。基于BSC的企业整合型战略风险管理系统在COSO企业风险管理的内控框架下,要结合到企业中长期规划和年度预算的流程,领导层要学会在企业资源的综合规划时结合BSC的体系设计思想,业务层面的活动要保持企业各项目标的综合平衡,而不能仅仅局限于COSO目的:财务报告的可靠性上。
作为企业的管理核心之一,战略发展总监担负着企业战略研究、规划、制定的重任,要善于在大环境下找出适合企业发展的战略方向。清华大学企业战略发展总监领导力再造高级研修班旨在培养学员容世容人容事的襟怀,高瞻远瞩的视野,深刻的洞察分析力,正确的判断力,以及持续创新的创业家精神,通过企业发展战略、资本运作、管理心理学与经营创新、传统文化等专题课程的学习,打造谙伦理、有气度、有远见的新一代企业领导人。
