從傳統(tǒng)風險管理模式過渡到上述的企業(yè)風險管理模式不是輕而易舉的事情。在傳統(tǒng)的風險管理方法中���,過程是斷續(xù)的��,缺乏完整性�,風險也被看成是(力求避免的)消極不利的因素,臨時的被動行為被普遍地認同�,而且風險管理活動也以交易為導向(或以成本為基礎(chǔ))�,關(guān)注范圍狹隘,依靠職能拉動����。但是,在(COSO所定義的)企業(yè)風險管理中����,整個流程是完整一體化的,是連續(xù)不斷的����。風險也被看成是積極有利的因素(因認識到成功的公司要抓住機會就必須得冒險),因此�,采取主動積極的行為也在人們的預料之中,而風險管理活動也是富有戰(zhàn)略目標(或增值)的活動�,關(guān)注的范圍較寬廣,依靠流程拉動�。傳統(tǒng)風險管理模式側(cè)重于管理與實物資產(chǎn)和財務(wù)資產(chǎn)相關(guān)的不確定因素。企業(yè)風險管理則側(cè)重于管理企業(yè)的整個資產(chǎn)組合����,包括無形資產(chǎn)(如客戶資產(chǎn)��、雇員和供應(yīng)商資產(chǎn))和組織資產(chǎn)(如差別化戰(zhàn)略�����、獨特品牌�、創(chuàng)新性流程和專用系統(tǒng)等)�����。在業(yè)務(wù)活動的所有方面都已經(jīng)采用了真正全企業(yè)思想的公司寥寥無幾�����。在建設(shè)企業(yè)風險管理基礎(chǔ)設(shè)施的初期階段���,公司一般都只是奠定了基礎(chǔ)����,包括確立共同的風險語言����、建立風險管理監(jiān)督結(jié)構(gòu)和采用適用于整個企業(yè)的風險評估流程����。少數(shù)公司已經(jīng)逐步地邁向較成熟的階段��,如在管理市場和信用風險方面擁有豐富經(jīng)驗的金融服務(wù)業(yè)機構(gòu)�����。有些公司只在特定的業(yè)務(wù)單位中實行企業(yè)風險管理�,如在貿(mào)易部門中��,對全公司的商品價格風險進行管理�����。
七:誰負責企業(yè)風險管理工作��?
因為企業(yè)風險管理的重點工作是制定戰(zhàn)略�����,因此�,主體責任應(yīng)當從企業(yè)的最高層開始,自執(zhí)行管理層逐級地向下延伸����,直到各業(yè)務(wù)單位和職能經(jīng)理(執(zhí)行管理層的職責將在第39-45個問題中予以討論)��。董事會負責進行監(jiān)督(董事的職責將在第46-49個問題中予以討論)�����。此外�����,首席風險官(或類似職權(quán)的高管人員)也將參與這項工作(其職責將在第50-52個問題中予以討論)���。視風險的性質(zhì)及其復雜程度,以及有無跨職能���、跨部門協(xié)調(diào)的必要性����,相應(yīng)地也可能還要設(shè)立一個或多個風險管理委員會�����。第53-57個問題依據(jù)風險管理監(jiān)督結(jié)構(gòu)分別對這些執(zhí)行人員的職責做了解釋說明���。
八:公司可立即采取哪些措施來進行企業(yè)風險管理����?
有些步驟,任何企業(yè)都可以立即開始采用�。對于這些措施,我們將在本書中予以闡述���。例如���,企業(yè)可以:
1:采用某種共同的風險語言
2:進行企業(yè)風險評估,辯明企業(yè)的主要風險�����,確定其輕重緩急的次序
3:針對重大風險管理能力這個問題�,對公司現(xiàn)行狀況及希望達到的水平進行差距分析
4:清楚地表達風險管理的愿景����、目的、目標和鮮明的價值主張��,為進一步行動提供經(jīng)濟學上的理據(jù)
5:提升企業(yè)在1���、2項重大風險中的風險管理能力���,即先從高級管理層認為為成功實施經(jīng)營戰(zhàn)略有必要予以改進的某個風險領(lǐng)域開始
盡管可能還有其他的一些措施���,但上述這些措施不失為一個良好的開端,能簡化企業(yè)風險管理實施工作的環(huán)境����。此外,梳理清點已完成的工作��,及早地取得一些直觀可見的成果��,也很重要���。關(guān)鍵是要把企業(yè)風險管理的相關(guān)活動同經(jīng)營戰(zhàn)略及計劃相結(jié)合��,簡化工作��,提高其針對性���。
九:企業(yè)風險管理對規(guī)模較小、復雜性較低的企業(yè)是否也適用�?
無論規(guī)模大小如何��,所有企業(yè)都面臨著經(jīng)營風險�����。企業(yè)如果無視這些風險�,就有可能會陷于險境���。任何一個企業(yè)都不能滿足于現(xiàn)有的風險管理能力而停滯不前�����,因此�,每個企業(yè)都應(yīng)該評估如何才能改善自己的風險管理����。就這方面來說�����,COSO的《框架》為各企業(yè)提供了一個賴以比較其現(xiàn)有風險管理能力的標準�����,因此該《框架》對企業(yè)大有裨益。COSO在其頒布的《框架》中第13頁上指出:
在實施[企業(yè)風險管理]某些內(nèi)容的過程中�����,盡管一些中小企業(yè)所采用的方式可能與大型公司的有所不同��,但它們的風險管理工作可能仍然行之有效���。小公司的風險管理方法可能不像大公司的那樣正規(guī)����,組織體系設(shè)計也不像大公司的那樣嚴密�����,但在每個企業(yè)中��,基本的思想都應(yīng)當存在�����。
十:為什么有些公司雖試行了企業(yè)風險管理卻沒有成功���?
已經(jīng)按COSO定義來進行企業(yè)風險管理的公司為數(shù)不多����。例如,COSO的定義明確地指出:企業(yè)風險管理必須“在整個企業(yè)中實行��、在每個層面和每個單元都要實行���,包括從企業(yè)全局層面的綜合角度來審視各種風險 �?��!背窃谡麄€公司上下統(tǒng)一地實行企業(yè)風險管理�,全面綜合地關(guān)注所有的主要業(yè)務(wù)風險����,否則就算不上是真正意義上的企業(yè)風險管理。此外��,除非把企業(yè)風險管理的實施工作同企業(yè)經(jīng)營戰(zhàn)略的評估和制定工作緊密地結(jié)合起來����,否則就也未達到COSO規(guī)定的要求��。盡管有些公司已經(jīng)開始走上了實施企業(yè)風險管理的道路��,但已經(jīng)走完整段路程的公司卻幾乎沒有幾家。
十一:實施企業(yè)風險管理就能確保企業(yè)會取得成功嗎�����?
企業(yè)風險管理并不能保證企業(yè)就一定能取得成功�。企業(yè)風險管理可以為管理人員提供更好的信息,更強大高效的流程���,但是����,它卻并不能把一名拙劣的經(jīng)理轉(zhuǎn)變成一名優(yōu)秀的經(jīng)理��。COSO指出����,“由于各種現(xiàn)實情況不同,企業(yè)風險管理也會存在一些局限����。例如,在進行決策時�,人們的判斷可能會有缺陷;在提出響應(yīng)和控制風險的相關(guān)決策時,需要兼顧到相關(guān)的成本和利益�;由于人為事故(如簡單失誤或過錯等),中途可能會出現(xiàn)阻塞和故障��;控制也可能會由于諸如簡單失誤或過錯之類的人為事故�,或者多人故意串通舞弊行為,而遭到規(guī)避����,失去效力;此外��,管理層是否能不受企業(yè)風險管理決策的約束�����,是否具有酌情自決的能力�����?���!盋OSO的定義也提到了“合理保證?���!睋?jù)COSO所述,“合理保證”體現(xiàn)了“不確定性和風險同未來相關(guān)”的思想����,對于未來,任何人都不可能做出準確無誤的預測��?!盋OSO在其《框架》第8頁中還寫道:“合理保證并不意味著企業(yè)風險管理經(jīng)常會失敗…。由于風險應(yīng)對能滿足多重目標����,會形成一些累積效果,再加上內(nèi)部控制也具有多功能的屬性����,因此,企業(yè)目標可能難以實現(xiàn)的可能性會得以降低……但是���,一些無法控制的事件��、人為過錯或者報告偏差事故依然可能會出現(xiàn)�����。換句話說��,即使是最有效的企業(yè)風險管理也可能會失敗�����。合理保證并不是絕對的保證�����?!?/p>
十二:企業(yè)風險管理與一般管理有什么區(qū)別?
企業(yè)風險管理雖然是企業(yè)管理的一個組成部分�����,但是它并不能推動管理層的每項工作�����。COSO指出“在進行決策和采取相關(guān)管理行動的過程中���,管理層要做出許多判斷���,這些判斷雖然是管理過程的組成部分���,但卻并不是企業(yè)風險管理的組成部分?!盋OSO在《框架》第14頁中舉出了幾個例子。例如���,就有關(guān)的經(jīng)營目標、具體的風險應(yīng)對措施和企業(yè)資源的分配劃撥等問題而言�����,管理層所做出的權(quán)衡選擇是管理決定����,而不是企業(yè)風險管理的一部分。也就是說���,風險管理既不是對現(xiàn)行核心業(yè)務(wù)管理活動的總結(jié)反思����,也不是對這些管理活動的充實補足���。在企業(yè)風險管理的環(huán)境下��,風險管理是與戰(zhàn)略制定�����、業(yè)務(wù)規(guī)劃�����、績效測評以及其他業(yè)務(wù)內(nèi)容的有效融合�。
十三:“實施企業(yè)風險管理”是什么意思?
我們認為企業(yè)風險管理的實施應(yīng)該著重于制定戰(zhàn)略�。正如我們在解答第85個問題時所述的那樣,由于各企業(yè)的主要風險(根據(jù)企業(yè)經(jīng)營戰(zhàn)略情境而確定出來的)不同����,同管理這些風險相關(guān)的各方面差距也不同,相應(yīng)地����,企業(yè)風險管理的實施工作也會有所不同。企業(yè)風險管理不是現(xiàn)成的�、“包治百病”的靈丹妙藥。管理層必須根據(jù)企業(yè)的規(guī)模�����、目標、結(jié)構(gòu)�、文化、管理風格�、風險特性、所在行業(yè)���、競爭環(huán)境和企業(yè)財力等因素來確定企業(yè)風險管理解決方案的性質(zhì)�。據(jù)COSO看來����,上述因素和其他一些因素都會影響企業(yè)風險管理框架的應(yīng)用方式���。實施企業(yè)風險管理需要管理層采取以下步驟:
(a) 查明和了解企業(yè)面臨的主要風險��,進而確定賴以實施風險管理的廣闊情境��;
(b) 按照COSO《框架》��,確定本企業(yè)的風險管理能力現(xiàn)狀����;
(c) 按照COSO《框架》����,確定本企業(yè)在風險管理能力方面希望達到的水平�����;
(d) 分析并明確地表達出(b)和(c)之間的差距���,以及消除差距需采取的改進措施。改進措施的性質(zhì)隨(i)企業(yè)的現(xiàn)有能力及經(jīng)驗和(ii)管理層致力于改進和超凡出色的意愿高低而定���;
(e) 根據(jù)(d)中的分析���,提出解決這個差距的經(jīng)營模式,為全面的企業(yè)風險管理基礎(chǔ)設(shè)施改進工作提供經(jīng)濟依據(jù)�;
(f) 制定相應(yīng)的計劃,以促進實現(xiàn)預期的企業(yè)風險管理基礎(chǔ)設(shè)施能力����,并處理同執(zhí)行計劃相關(guān)聯(lián)的變革問題;
(g) 進行必要的監(jiān)督�����,給予必要的援助,確保整個工作得到有效地綜合和協(xié)調(diào)���;
有關(guān)啟動企業(yè)風險管理工作的進一步建議�����,參見第85個問題中的解答���。COSO指出企業(yè)風險管理只是“實現(xiàn)目標的一種手段,其本身并不是目標�。”企業(yè)風險管理日益盛行的趨勢表明:風險越來越錯綜復雜���,相互關(guān)聯(lián),企業(yè)的經(jīng)營環(huán)境絲毫沒有變得更簡單寬松����。因此,在整個企業(yè)的基礎(chǔ)上���,對風險進行全面綜合的評估和管理具有很大的裨益���。進行企業(yè)風險管理的過程實質(zhì)上就是一個施行教育、建立意識、強化認同�����、最終劃分問責范圍和形成主體責任感的過程�。由于全球市場不斷地變化和演變,風險也會隨之不斷地發(fā)生變化�,所以,我們應(yīng)該把實施企業(yè)風險管理工作看成是對持續(xù)改進活動而不是對單一事件的承諾��。
十四:實施企業(yè)風險管理一般需要多長時間��?
目前盛行將企業(yè)經(jīng)營的各項計劃行動看成是松散分立的活動��,都有著明確規(guī)劃的奮斗目標和嚴格界定的時間安排��。盡管從項目管理學科的角度來看��,企業(yè)風險管理當然也不例外��,但企業(yè)風險管理卻遠不僅僅只是一個項目���,而是一段旅程�����,也就是說它是一個發(fā)展的過程��。在這個過程中���,企業(yè)將風險管理同制定戰(zhàn)略相結(jié)合�����,進而逐步地提升其風險管理能力的效果�。實施企業(yè)風險管理所需的時間各不相同��,隨各公司風險管理能力現(xiàn)狀����、希望達到的水平和愿意投入的資源量而定。此外���,企業(yè)風險管理需要有一個開放的環(huán)境,以便于風險及風險管理的相關(guān)信息能在企業(yè)內(nèi)實現(xiàn)全方位的有效溝通��,因此在許多組織中�����,可能會存在一些文化方面的障礙需要克服。例如�����,除了財務(wù)方面的障礙之外�����,企業(yè)風險管理還需要消除一系列職能或部門方面的障礙���,以便于采取綜合全面的�、主動超前的和以流程為導向的方法來管理關(guān)鍵的業(yè)務(wù)風險和機遇�。如果還有變革管理方面的重大問題需要解決,實施企業(yè)風險管理的時間將會延長���。雖然某些具體措施����,任何公司都可以采用�����,而且在12個月之內(nèi)就有可能初見成效����,但我們預計在全面地實行企業(yè)風險管理解決方案上�����,絕大多數(shù)公司都需要花上3-5年時間��,才能最終實現(xiàn)它們的目標�。
十五:是否有某種方法可以作為基準���,確定出實施企業(yè)風險管理所需的投資水平�?
正如第13個和第14個問題的回答中所述��,就所需的投資水平很難做出一概而論�����。其中一個原因是��,各公司的風險管理現(xiàn)狀和希望達到的水平各不相同���。另外,企業(yè)風險管理也是公司內(nèi)每個主要人員的責任���。COSO指出“企業(yè)風險管理受董事會��、管理層和其他人員的影響”����。企業(yè)風險管理構(gòu)成了這些人員活動的一個部分。管理企業(yè)和管理風險必然會糾纏在一起�,不可分離。因此�����,管理層必須根據(jù)企業(yè)的實際情況和環(huán)境條件來確定企業(yè)風險管理解決方案的性質(zhì)�。由于各公司的起點和終點都不一樣,所以各企業(yè)的途徑也都有各自的特點��。對于確定實施企業(yè)風險管理所需的投資水平而言����,一種有效的方法是,將企業(yè)的現(xiàn)行風險管理活動同某個框架(如COSO的《框架》)進行對比��。然后把比較的結(jié)果作為可資參考的依據(jù)���,授權(quán)高級管理人員小組界定風險管理在企業(yè)內(nèi)的角色�。在此評估的基礎(chǔ)上,按實施預期的企業(yè)風險管理基礎(chǔ)設(shè)施所需的人力��、工具及其他資源��,便可以確定出投資水平�。在回答第85個問題中,我們提到企業(yè)有必要率先進行企業(yè)風險評估和就主要風險的管理進行差距分析�,這也為估測投資水平提供了可資參考的情境。
