吉宁博士观点
何谓风险,企业风险管理的定义是什么,不同的人有不同的理解。COSO发布企业风险管理整体框架的一个重要目标,就是对风险管理的定义、要素及一些主要的概念进行描述,以使大家的讨论能够建立在一个共同的基础之上,这既有利于研究的不断深化,有利于企业对现有风险管理体系进行评估、改进,也有利于经理人进行相应的风险管理决策。
本文主要探讨企业风险管理定义。为便于理解,我们首先了解一下不确定性与价值、风险与机遇之间的关系。
不确定性与价值
企业风险管理的一个内在假设就是所有的经济组织,不管是盈利组织还是非盈利组织,其存在的目的就是为利益相关者创造价值。即企业的经理人通过各种各样的决策与执行,使企业的资本在运动过程中不断地得到保值或增值。。
企业的经营总是在一定的环境下进行的,环境因素包括技术创新、重组、市场变化、竞争、企业监管与调控等。所谓不确定性就是指影响企业目标实现,源自企业内部或外部的某一事件发生的可能性。
不确定性可能因为企业无法准确地确认事件发生的概率及其相应的后果而产生。比如,中国的3G标准到目前还未最终确定,不少IT企业(如中兴通讯、华为公司等)的经营由此而受到影响。再比如,前些年国家对房地产行业实现的宏观调控措施,也是不少房地产企业未曾预料到的。
不确定性也可能来自于企业的战略选择。比如,企业为满足增长的需要,需要在国外投资办厂或经营,经营所在国的政治环境、资源、市场、渠道、雇员的能力与成本等因素的稳定与否就给企业的经营带来了不确定性。
需要注意的是,不确定性既代表着风险,也代表着机遇;既可能损害企业的价值,也可能增加企业的价值。比如说同样是海外收购,联想集团2005年末收购IBM的PC业务后,经过不到一年的整合,该项业务即扭亏为盈,公司股价也随之上涨近50%;而TCL集团2005年度的巨额亏损,主要原因就是受累于手机巨头阿尔卡特、彩电巨头汤姆逊的合资公司的不良运行(杨小舟.海外并购:谋定而后动.新理财.2006-2.P20)。建立企业风险管理系统就是为了帮助经理人有效地应对不确定性,提升企业管理风险和创造价值的能力。
风险与机遇
如前所述,不确定性不等于风险。不确定性是指某一事件发生的可能性,该事件可能有积极的效应,也可能有消极的效应,也可能两者兼而有之。比如说银行贷款利率的调整,属于源自外部的、企业不可控的事件,对企业经营的影响就存在着不确定性。如果贷款利率向上调整,对企业目标的实现会产生不利影响;如果贷款利率向下调整,则会产生有利影响。再如人民币汇率的变动(目前变动较频繁,幅度也较大),对不同企业有不同的影响。
所谓风险是指对企业目标实现有不利影响的某一事件发生的可能性。因此,不确定性是风险的一个必要条件,但不是充分条件。
具有不利影响事件的发生,将会对企业的价值创造带来损害。比如机器设备的损坏、火灾,以及信用损失。有时表面上看起来有利的环境或条件也可能发生不利的后果。如客户的需求超过了企业的生产能力,说明企业的产品很适销,供不应求;但从另一方面看,由于不能满足客户需求,影响了客户的忠诚度,客户转而向其他供应商采购,从而影响了企业未来的部分订单。
所谓机遇是指对企业目标的实现有积极影响的某一事件发生可能性。机遇有利于企业的价值创造与保持。经理人需要将这种机遇融入企业的战略与目标设定的流程之中,以便采取行动抓住机遇。
对中国企业而言,机遇随时可能发生,但也稍纵即逝。比如2005年5月,中国人民银行发布了《短期融资券管理办法》,不少企业就抓住了这一机遇,大大降低了融资成本。如清华控股有限公司、金融街控股有限公司(000402)都通过发行短期融资券,筹集了将10个亿的资金,资金成本率约为3%左右。而一年期银行贷款的基准利率约为5.5%,仅此一项即可给企业节省利息支出2500万元。
从图1可以看出,企业的价值最终取决于未来现金流量的规模、时间和风险,因此,只有当企业的经理人制定了在增长、盈利与相应的风险之间取得最佳平衡的战略与目标,并能在经营过程中有效果、高效率地运用资源时,企业的价值才能达到最大化。
企业风险管理定义
对于企业风险管理,COSO是这样定义的,即:企业风险管理是一个过程,受企业的董事会、管理层和其他人员的影响,应用于企业的战略制定及各个方面,旨在确定影响企业的潜在重大事件,将企业的风险控制在可接受的程度内,从而为实现企业的目标提供合理保证。
为正确理解这一定义,我们应注意以下几点:
1.企业的风险管理是一个过程。企业风险管理不是静止、一成不变的,而是一个持续改进的过程,它与企业日常的经营活动息息相关。只有当企业的风险管理机制嵌入到企业的基本制度之中,并成为企业经营中一个不可分割的部分时,才有可能发挥出最大效用。比如,国内某IT企业在以往的销售策略中,对分销商和代理商采用现金销售方式,但由于市场环境的变化,公司2004年修订了信用政策,扩大了信用销售。为了控制信用销售的风险,公司加强了对客户信用标准、信用额度及信用期限的分析与审批,但这些分析与审批制度是与公司的销售、发货、收款等内控流程、制度融为一体的。
2.企业风险管理受公司各个层级员工的影响。企业风险管理机制是由公司的董事会、管理层和其他员工建立并执行的。同时,企业的风险管理体系也对公司员工的行为产生相应的影响。
但是在一个企业中,由于不同的员工具有不同的教育背景、经历和技能,也有不同的需求和偏好,对风险的认识、态度和方法也就不一致。比如在确定公司的信用政策时,营销副总根据其掌握的信息与沟通情况,可能会建议对某一特定客户加大信用额度、延长信用期限;而公司CFO则根据对该客户财务报表的分析,考虑到坏账风险、资本成本等因素而建议给予较小的信用额度和较短的信用期限。企业风险管理就是要提供一种机制来帮助员工从公司目标实现这一角度来理解风险,将员工的职责、权限与工作方式与公司目标之间建立一个明确的、紧密的关联。
特别需要指出的是,在一个企业中董事会主要承担监督职责,对公司的战略、重大交易、政策进行方向性的指导与审批,因此,董事会是企业风险管理中一个非常重要的组成部分。
3.企业的风险管理应当运用于战略的制定。每个企业都有自己的使命、远景,以及相应的战略目标。企业需要建立一系列的战略来实现其战略目标。除战略目标外,企业还应有一些相关的、具体的目标,这些目标源自企业的战略,渗透到企业的各个业务单元、分部和流程之中。
企业的风险管理应该运用于战略的制定,而战略制定就是在风险与相关替代策略之间的权衡与选择。比如企业的发展有两种战略:一是收购其他企业扩大市场份额;二是通过成本控制取得更高的毛利率。每一种战略选择都会涉及到相应的风险。收购其他企业,必须开拓新的或不熟悉的市场,竞争对手可能乘虚而入,侵蚀公司现有的市场份额;并且公司也可能缺乏实施这一战略的能力。而采用成本领先策略,则需要采用新技术、寻找新的供应商或形成新的战略联盟。企业的风险管理技术可以帮助企业的管理层评估和选择企业相应的战略与目标。
4.企业风险管理涉及到企业的方方面面。企业的风险管理应该应用于企业的各种活动层面,包括公司层面的战略计划、资源配置;部门层面的市场活动与人力资源管理;流程方面的生产与新客户信用的审视等。企业的风险管理还可应用于一些特定的项目或新的举措。
企业风险管理要求公司采用“组合风险”的观点,这一点应引起国内企业的充分重视。比如公司某一分部的各种风险可能是在该分部的风险偏好之内,但各分部的风险总和可能会超出公司作为一个整体的风险限度。相反,在某一分部看来是不能承受的风险,可能被另一个部门的经营业务所抵消。如我以前任职的一家IT集团公司,有电脑子公司(从事PC、服务器、数码产品等的制造与销售)、外设子公司(打印机、终端等产品的制造与销售)、计算机软件与系统集成子公司,以及网络产品制造与销售子公司。单从网络产品子公司来看,投入大量的研究与开发费用,风险较大,已超出该公司的风险可接受范围;但从整个集团公司来看,由于其他子公司具有较高的获利能力,网络产品公司对研究与开发项目的投入仍在集团公司可接受的风险范围内。
所以我们需要确认关联风险,并采取行动,从而使公司的整体风险与公司的风险偏好相一致。
5.企业风险管理与风险偏好(riskappetite)。所谓风险偏好,广义地讲,就是企业在追求其价值增值过程中所愿意接受的风险数量。它反映了一个企业的风险管理哲学,反过来也会对企业文化与经营风格产生影响。许多企业定性地考虑风险偏好问题,将风险分为高、中、低几个大类;另外一些企业采用定量方法,在增长、收益与风险之间进行平衡。
风险偏好引导企业的资源配置。高风险偏好的企业愿意将企业的大部分资本投入高风险领域,如新兴市场等。相反,低风险偏好的企业可能为了限制资本短期内的巨大损失而仅仅投资于成熟、稳定的市场。
风险偏好与企业的战略直接相关。不同的战略伴随不同的风险,因此,企业风险管理有助于管理层选择一种预期价值创造与公司风险偏好相一致的战略。
企业的风险承受与企业的目标相关,风险承受指偏离某一具体目标的可接受程度。在确定风险承受度时,管理层需要考虑各具体目标的相对重要性,并将风险承受与风险偏好相协调。
6.企业风险管理仅对目标的实现提供合理的保证(reasonableassurance)。设计与运行良好的企业风险管理体系可以给管理层和董事会在企业目标的实现方面提供一个合理的保证。之所以只能提供合理的保证而非绝对的保证是因为不确定性、风险与未来有关,谁也不能够准确地加以估计。
但合理的保证并不暗示着企业风险管理会经常失败。企业风险管理实施中风险反应的累积效应、内部控制制度的加强都会减少企业目标不能实现的风险。并且,企业风险管理不能将各级职能部门每个员工的日常经营与职责都指向企业目标的实现,这无疑会减少内耗,促进企业目标的实现。
7.企业风险管理与目标实现。在企业风险管理框架中,风险管理的目标共分为四类:
战略性目标:涉及高层次的目标,与企业使命相一致并支持企业使命的实现。
运营目标:涉及企业资源使用的效果与效率。
报告目标:涉及企业报告的可靠性。
规范目标:涉及公司对法律法规的遵循。
对目标进行分类有利于企业关注风险管理的不同方面。上述有些目标,如报告的可靠性。法律法规的遵循等是企业可控的,它取决于企业相关的经营活动是否适当。
但企业的战略目标,如获取特定的市场份额,以及一些营运目标,如成功导入一个新的产品生产线,并不总是在企业的可控范围内。对于这些目标,企业风险管理确实有利于管理层进行更好的决策,但并不能避免错误的判断或决策,也不能消除可能会导致企业经营目标不能实现的一些外部因素的发生。
需要特别强调的是,企业风险管理的目标不仅仅是财务报告的可靠和经营的规范,更重要的是企业战略目标的实现,以及资源高效率、有效果地运用。
企业风险管理的要素
企业风险管理系统是由一系列要素构成的。COSO框架中提出了八个相互关联的要素,这些要素来自于企业管理层运营企业的方式,并且与管理流程相互融合。
内控环境管理层决定了企业对待风险的态度与风险偏好。内控环境包括正直与道德观、胜任能力、董事会与审计委员会、管理哲学与经营风险、组织结构、权责划分方式、人力资源政策等,为员工如何看待或处理风险与内部控制问题提供了基础。
目标设定在管理层能够确认影响其目标实现的潜在事件之前,目标必须已经存在。企业风险管理确保管理层已经建立目标设定的程序,确保选择的目标与企业的使命相统一,与风险偏好相一致。
事件确认对企业经营有重大影响的潜在事件必须得以确认。事件确认涉及确认影响企业目标实现的外部或内部事件。需要区分代表风险的事件,代表机遇的事件,或两者兼而有之的事件。需要注意的是,机遇将在制定企业战略或目标设定过程中加以考虑。
风险评估对已确认的风险需要加以分析,为如何管理这些风险提供基础。风险是与受其影响的目标相伴随的。只有对风险发生的概率和后果进行恰当评估后,才能确定相应的风险管理的方式。
风险反应人们确认并评估对风险的反应,包括风险回避、接受、减少和分散风险。管理层采取一系列的行动使经营风险与企业的风险偏好相一致。
控制活动政策与程序的建立与实施,以确保管理层选择的风险管理方式能够得到有效的执行,包括控制系统的审阅、实物控制、职责划分,以及信息系统控制等。
信息与沟通通过及时确认、获取相关的信息以及沟通使员工能够履行其职责。公司各阶层都需要相关的信息评估风险并做出适当的风险反应。人们也需要在其角色、职责方面进行有效的沟通
监督企业风险管理体系的整体运行需要监控,必要时需要进行修正。监督活动由持续监督(如管理层对客户投诉处理的及时监督、财务报告合理性的日常审阅等)和单独评估(如内部审计师的定期审计)组成,以确保企业内部控制系统能持续有效地运行。
总之,企业风险管理是一个动态的流程,如风险的评估促使风险反应,进而影响到控制活动,有可能需要重新考虑信息与沟通,或者是企业的整个监督活动。因此,企业风险管理并不是一个严格的顺序性流程,即一个要素仅影响下一个要素。它是一个多方向的、互动的流程,任何一个要素都可能够并会对其他要素产生影响。
目标与要素之间的关系
企业风险管理的目标与要素之间存在着直接的关系。
风险管理的每一个要素都与目标有关。如来源于外部或内部的财务和非财务数据,属于信息与沟通要素的一个组成部分,在企业制定战略、有效地管理公司运营,以及编制报告时都需要运用。它也能反映公司是否遵循了相关的法律法规,如企业在对外披露的财务报告中是否存在虚假的陈述和不实的数据等。
同样,从目标类别角度看,每类目标也都与要素相关。例如企业运营的效率与效果这一目标,企业任何一个要素的应用状况,都会影响到这一目标的实现程度。
企业的风险管理框架与整个企业或者企业的每一个单独的部分(如子公司、分支机构或业务单元)相关。但是,我们必须认识到,风险管理的四大类目标指的是公司目标,而非分部或业务单元目标。我们在考虑与报告相关的目标时,就需要关于整个公司运营方面的一系列信息,而不是某一分部或业务单元的信息。
有效性
认识企业风险管理定义是一个过程,企业风险管理的有效性表现为某一时点的一种状态或条件。那么我们如何判断一个企业的风险管理系统是否有效呢?这就需要看企业的风险管理要素是否存在?是否有效地发挥其功能?如果各要素存在且恰当地发挥着作用,则说明企业存在有效的风险管理机制,企业能够消除重大缺陷,使风险控制在企业的风险偏好范围之内。
从目标角度看,如果企业风险管理被确认为是有效的,则企业的董事会和管理层就可以在以下方面得到合理的保证:
他们理解公司战略目标实现的程度。
他们理解公司运营目标实现的程度。
公司的财务报告是可靠的。
相关的法律法规得到遵循。
结束语
在市场经济条件下,企业的经营存在着各种各样的不确定性。不确定性既表示风险,也预示着机遇。企业风险管理就是通过各要素有效地发挥其功能,帮助企业抓住机遇,将风险控制在可接受的范围内,促进企业各类目标的实现。
正确地理解企业风险管理定义,是建立有效的风险管理机制的前提。需要特别强调的是,COSO企业风险管理整体框架中提出的目标与要素,与以前的内控框架相比,有了很大的扩展,与我国企业有关部门颁布的各种内部控制指引、指导意见更是有相当大的差异,理解并研究这种差异,对中国企业建立有效的风险管理机制是非常重要的。
不同的企业不可能采取完全相同的风险管理机制。中小企业在内控要素的实施上可能与大企业不同,但仍然根据企业风险管理定义可以建立有效的企业风险管理机制。在小型企业中,每一个要素可能不像大企业那样正规或结构严密,但其基本原理是一样的。
