十七:企業(yè)風險管理已經存在多久了���?為什么現(xiàn)在要重新關注它�����?
支撐企業(yè)風險管理的各種概念和理論�,即風險組合觀���,已經出現(xiàn)很長一段時間了��,它們最初只在金融機構和世界級企業(yè)的財會部門使用���,因為這些機構采用涉險框架、資本歸因技術和其他估量方法來管理市場風險和信用風險�����。近年來的市場發(fā)展新動態(tài)明確地揭示出,動蕩不穩(wěn)再也不只限于貨幣�、利率和期權股票等金融產品了?���?蛻羝谩⒏偁帉κ值漠a品上市����、勞動力市場和技術等全都在變化,而且變化的節(jié)奏也越來越快�,就像金融市場的變化一樣。甚至組織經營模式的生命周期也在日漸縮短��。變化也不再只是簡單的線性變化�����,而是日趨復雜��。成功的公司必須進行革新���,提供完整的解決方案���,能為客戶和市場創(chuàng)造新的價值來源,否則在迎接行動敏捷��、富有創(chuàng)意的對手的競爭時��,就只能淪為敗將��。不停的創(chuàng)新也會引起新的風險���,對于這些風險應當經常進行評估���。如果采用這種思維方式,經營戰(zhàn)略也就成了一個多變的動態(tài)過程��,而風險管理更進一步加劇了這個過程的多變性�����。變化節(jié)奏日漸加快���,人們對變化是一種積極生存方式的認知日趨深刻����,風險識別、測量����、報告和規(guī)劃的技術也越來越有效,所有的這些因素都促使公司開始更加密切地觀察自己的風險管理狀況�。過去,傳統(tǒng)的風險管理模式與企業(yè)風險管理之間的差距太大��,絕大多數(shù)公司都無力縮短這種差距(如第6個問題所述)�。然而,遵守《薩班斯-奧克斯利法案》為實施原本不具備的企業(yè)風險管理能力奠定了基礎�����。已經采用了改良披露流程和財務報告內部控制機制的公司應該進一步地仔細研究如何才能擴大自己的這些能力��,將其他的關鍵業(yè)務活動也涵蓋進去����,因為隨著《薩班斯-奧克斯利法案》所規(guī)定的合規(guī)努力不斷地持續(xù)下去,差距已經不像原先那么大了���。為了幫助管理層對所需開展的工作進行評估,COSO《企業(yè)風險管理-綜合框架》提供了一套標準�����,并包含了許多公司在評估其財務報告內部控制的有效性時所采納的COSO《內部控制-綜合框架》。
十八:目前擁有企業(yè)風險管理流程或系統(tǒng)的上市公司占多大比例��?
簡單地說�,對于回答這個問題,COSO《框架》只提供了必要的判定依據��。只有當這個《框架》在市場上獲得更大的拉動作用���,公司能參照該《框架》來確定出自己的風險管理基準�����,以評估自己的現(xiàn)狀時���,我們才能知道回答這個問題的完整答案。不過����,我們有一些精辟見解,這些見解可能有助于我們推斷公司的現(xiàn)狀:
1:在2004年�����,普華永道公司發(fā)布了一份《全球首席執(zhí)行官調查報告》,這份《報告》顯示在受訪的1400名首席執(zhí)行官中�,有39%的人極力地贊同企業(yè)風險管理是企業(yè)的一項首要工作。盡管這些首席執(zhí)行官(被普華永道稱作是“具有高度責任感的首席執(zhí)行官”)全都列報了企業(yè)風險管理的各種益處����,但普華永道的調查顯示53%的人表示他們能擁有自己所需要的企業(yè)信息,42%的人將企業(yè)風險管理同戰(zhàn)略規(guī)劃結合起來���,29%的人聲稱盡可能地使用量化手段�����,27%的人聲稱將企業(yè)風險管理應用于所有的職能部門和單位���,而只有20%的人表示每個人都了解自己在風險管理方面的責任。相比之下�����,其余的首席執(zhí)行官(據報告����,他們不太關注企業(yè)風險管理)在回答這些及其他相關問題時,他們答案中所給出的相關比例數(shù)據則明顯低得多。
2:在我們過去10年來的研究中�,我們曾開展了幾次調查(最后一次調查在2005年秋天進行)�����,以期了解高級管理人員對于他們企業(yè)的風險管理的信心水平����。每次調查均顯示,在這些受訪的高級管理人員中����,約有60%的人聲稱,在識別和管理所有潛在重大風險方面���,他們對自己組織的風險管理能力是否行之有效缺乏很高的信心��。我們的經驗告訴我們�����,這種信心不足的根源是企業(yè)沒有一個系統(tǒng)化的流程����,可以讓相應的執(zhí)行人員參與識別整個企業(yè)的風險,確定它們的輕重緩急次序�����。重大風險只有在經過了有效的企業(yè)風險管理流程�����,進入管理層的視野之后�,管理層才能開始決定要采取什么措施和如何采取這些措施。
3:缺乏透明度也一直延伸到董事會���。就在《薩班斯-奧克斯利法案》成為法律之前�����,麥肯錫公司公布了一份調查�����,這項調查采訪了200名董事�,他們分別代表著500多個董事會���。其中��,有36%的董事表示他們的董事會不知道公司的主要風險�����。大約有40%的董事表示他們缺乏如何有效地識別��、防范和規(guī)劃風險的相關知識�����。這項研究還發(fā)現(xiàn)���,董事會把非財務風險只是作為“沒有實據性的軼事”來處理。管理層收到董事們有關公司風險及風險管理的問題越來越多���,也就不足為怪了�。
十九:是否存在企業(yè)風險管理被有效應用的例子�����?
COSO《應用技術》列舉了一些處理風險管理的方法實例���。這些方法都是不同公司各級人員在運用企業(yè)風險管理法則時曾采用過的方法���。熟悉本《框架》的讀者會發(fā)現(xiàn)這些資料非常有用�。
二十:企業(yè)風險管理的實施工作因行業(yè)不同會有哪些不同
在COSO《應用技術》第3頁中��,COSO指出:“無論是第一次應用《框架》的思想和法則�����,還是考慮現(xiàn)有企業(yè)風險管理流程(也許是應時而專門建立的)是否真正有效�,由于備選的方法和選擇事項很多,即使是在相似的企業(yè)中���,實施企業(yè)風險管理的方式也會不一樣���。”COSO特別地指出公司經營所處的行業(yè)也是“影響《框架》的思想和法則如何得以最有效應用”的一個屬性��。行業(yè)的性質將會影響風險的性質�����,也會影響企業(yè)在管理這些風險時所采取的實踐方法��。例如���,銀行會比其他機構更側重于管理市場風險和信用風險�,因為承擔這些風險是其經營模式的本質內容。制藥公司則更側重于管理研發(fā)流程���,因為這是公司日后收益來源的生命線�。而核能發(fā)電廠則會更側重于管理合規(guī)方面的風險����,因為這是關系到其名譽及日后生存能力的關鍵�����。然而�����,無論公司處于何種行業(yè)����,COSO所界定的《框架》各組成部分仍然適用。
二十一:有些組織是否不需要實行企業(yè)風險管理�?
每一個成功的企業(yè)都面臨風險。COSO已經明確指出���,企業(yè)風險管理是一個對風險與機遇做出響應的過程�����。不管在哪個行業(yè)�����,絕大多數(shù)企業(yè)的執(zhí)行管理層都是關注投資和回報����、機遇和利潤、競爭優(yōu)勢和企業(yè)增長���。這正是企業(yè)風險管理對企業(yè)成功至關重要的原因—它幫助經理們樹立信心�,幫助他們充分地了解本企業(yè)所面臨的風險���,幫助他們備妥管理這些風險所需的能力��。
每一個成功的企業(yè)都會冒險����。企業(yè)管理層所做出的每一個行動或不行動的抉擇都影響著這個企業(yè)的風險特征���。鑒于外部環(huán)境中因素錯綜復雜����,如競爭、管制法規(guī)和其他影響因素��,企業(yè)風險管理能幫助管理層培養(yǎng)起選擇最佳賭注的獨特技能����,與其他競爭對手拉開差距。而當選擇最佳賭注能力的提高后����,反過來又會激發(fā)企業(yè)完善其獵尋機遇的行為����。
每一個成功的企業(yè)都要對風險作出應對。企業(yè)管理層必須在不斷變化的市場現(xiàn)實中進行經營����。當他們根據企業(yè)的風險承受能力,把資源投入到最佳機遇中去時��,必須對相應的風險和回報進行仔細地評估����。他們必須滿懷信心地讓投資者和其他利益相關者相信:除了能在國際市場上日漸走向繁榮的同時���,企業(yè)也正在行之有效地管理相伴而來的風險。根據《薩班斯-奧克斯利法案》的規(guī)定�����,上述措施似乎仍嫌不足���,首席執(zhí)行官與首席財務官作為核證官員�,必須支持公開透明的匯報工作����。針對這些風險和經營模式中的內在風險,作出應對����,正是成功企業(yè)應有的作為。企業(yè)風險管理基礎設施將有助于管理層和董事們更好地應對這些挑戰(zhàn)�。這個論斷我們將在第23個問題中予以探討,無論對上市公司�����,還有對私有企業(yè),它都同樣適用��。
二十二:實施企業(yè)風險管理的法律法規(guī)要求有哪些�?
雖然現(xiàn)在還并沒有明確的法律法規(guī)規(guī)定,要求必須使用COSO的《企業(yè)風險管理-綜合框架》����,但是法律法規(guī)的最新發(fā)展動態(tài)已經營造了一個有益的環(huán)境,在這樣的環(huán)境中���,實施企業(yè)風險管理的企業(yè)能獲得益處�。COSO指出法律法規(guī)就像外部環(huán)境的其他決定因素一樣�,也會給企業(yè)的運營帶來不確定性。
《薩班斯-奧克斯利法案》于2002年7月獲得通過成為法律�。自此以后直至本刊物付印之時,它一直是美國報界的新聞熱點����。盡管《法案》的焦點僅限于財務報告的可靠性��,但是如果一個風險管理流程把識別企業(yè)主要風險����,進而做出及時響應和披露作為關注的焦點���,那么,我們堅信實施這樣的流程將會大有裨益���。美國還有一些其他的相關法案��,如《美國愛國者法案》����,規(guī)定要“了解客戶”��,包括了多項反洗錢的條例�。《格雷姆-里奇-比利雷法案》規(guī)定金融機構須保護客戶“非公開”信息的隱私����。根據美國紐約證券交易所的上市規(guī)定,《審計委員會章程》必須要求審計委員會討論有關風險評估和風險管理的各項政策����。此外,美國紐約證券交易所還規(guī)定了一項內部審計職能���,以期向公司管理層和審計委員會持續(xù)地提供有關風險管理流程和內控體系的評估報告��。雖然上述各《法案》沒有規(guī)定必須得進行企業(yè)風險管理����,但企業(yè)風險管理的確有助于企業(yè)去達到上述各項法案的這些規(guī)定,借助某種基礎設施和過程�,促使企業(yè)更加重視保護和增加企業(yè)的價值除了美國以外,在德國��,《公司控制和透明度準則》也要求大型公司要建立風險管理監(jiān)督體系��,并向股東們匯報風險控制的相關信息��。在英國�,凡在倫敦證券交易所上市和在英國注冊成立的公司,也必須按照一套明確指定的公司治理準則(即《綜合守則》�,同時參照《特布爾報告》中的指導方法)向股東們報告上述信息。巴塞爾銀行監(jiān)管委員會頒布的新《巴塞爾資本協(xié)定》同樣地規(guī)定金融機構要匯報運營風險�����。在這些國家�����,企業(yè)風險管理流程同樣地也有助于企業(yè)達到這些要求����。此外,類似于《薩班斯-奧克斯利法案》的法規(guī)條例在其他國家也陸續(xù)地出臺�����。
二十三:私有企業(yè)和上市公司實施企業(yè)風險管理的標準是否不同�?
COSO《框架》適用于所有企業(yè),不管規(guī)模大小如何��,也不管是上市公司還是私有公司��。但在《框架》各部分的實際應用中�,所用的方法可能會有所不同,隨多種因素而變化�����,如企業(yè)的規(guī)模���、運營目標�、公司戰(zhàn)略����、企業(yè)結構���、公司文化、管理風格��、風險特征����、所處行業(yè)、市場競爭環(huán)境以及財務實力等�。
二十四:企業(yè)必須要在所有的風險管理環(huán)節(jié)都采取了先進的控制流程后才能獲得益處嗎?
COSO《框架》沒有規(guī)定風險管理要達到的先進尖端程度。我們也沒有必要對所有的風險都采取最先進高端的控制技術�。幾乎沒有哪家企業(yè)能擁有可以這樣做的資源,而且也沒有令人心服口服的業(yè)務案例�����,表明曾經這樣做過�。風險管理的先進程度取決于兩方面的因素:(a)企業(yè)面臨的風險的性質,也就是說風險的復雜程度����、不穩(wěn)定性、涉及范圍和估測的難易程度�;(b)企業(yè)可能會采用的實際解決方案的準備就緒程度�。在公司某一或某些風險領域中����,當對希望達到的風險管理能力水平進行評估時���,核心問題并不是要采用最先進的流程�����,最精干的人手�,最尖端的技術和知識���,而是要選擇最合適的程序����、人手����、技術和相關專業(yè)知識。這是一項管理決策���,而且這個決策應該在制定戰(zhàn)略的大背景中做出�。
針對每個風險或每組相關的風險,管理層都必須評估本企業(yè)管理這些風險的現(xiàn)行能力���。也就是說�,管理層必須確定要實現(xiàn)企業(yè)的風險管理目標�,還需要增加多大風險管理能力。此外��,管理層還必須得解決提高風險管理能力所引發(fā)的預期成本和利益的問題��。最終目的是查明最急迫的風險因素和不確定因素����,增加改進工作的針對性,讓人力物力集中到風險管理基礎設施的相應部分�����,以便能更有效地管理這些風險因素和不確定因素�。
