编者按:企业可以借助一些工具,例如德勤的“风险智能地图”来推进相关活动的讨论,它将引导你去思考和探讨一些全新的风险议题。还有就是利用风险框架来协助把风险管理的方法标准化。企业还需要建立一个风险目录,将最关键的风险编目。
能成就ERM(企业风险管理)的公司,我们称之为风险智能型企业(Risk Intelligent Enterprises)。这些企业的规模及所属行业各不相同,各个企业依其特有情况与需求来实施风险管理。然而,所有可以被称为风险智能型企业的组织都有一个共同的特征:对现有资产及未来成长两个风险做最有效管理。就长期而言,其表现将较其他普通企业更加杰出。简而言之,企业通过承担风险而获取更多利润,但无法有效地管理风险,就会使获利下降。
要成为一个风险智能型企业,以下九大原则不可不知。
风险管理九原则
第一、建立可以在整个组织内被一致采用且共通的风险定义,以维持及创造企业价值。
对企业而言,推出新产品,开发新市场,并购竞争者,建立伙伴关系,这些行动都充满挑战。若你不能很好地管理与达成这些目标相关的风险,那么就可能无法获取这些目标所产生的潜在收益。但是,当我们站在一个宏观的角度来看风险时,我们就可以同时管理与企业成长相关的风险及潜在收益。
第二、参照适当准则来制定共通的风险管理框架,以管理整个组织内的风险。
企业的风险管理项目应建构在风险管理框架之上。风险管理框架(如COSO ERM和ISO)为企业提供了一个结构,协助他们决定如何适当地追求获利机会及规避风险。
一个好的风险管理框架必须足以支持公司的风险管理目标,必须能够适应公司独特的经营战略、行动计划和组织结构,同时要能适应公司所属的行业特性,符合相关法规要求。
不必过度分析风险管理框架,也不必在框架的选择上过于挑剔,只要保证它适合公司即可。
第三、清楚定义组织内与风险管理有关的角色、职责与授权规定。
好的风险管理一定是协调努力的结果,但是,组织中的某些人可能还没有意识到他们是其中的一员。例如产品开发经理、IT主管或负责并购的副总裁,他们很可能认为风险管理应该是别人的工作。
转变这种心态正是提高企业风险智能的第一步。你必须把风险智能的意义传递给组织内的每个人,使其了解风险智能对组织整体和员工个人及其日常工作的重要性。
这是一种合作,就像交响乐团的一场演出。其中的各个角色如下:董事会定下乐谱,首席执行官挥舞指挥棒,业务部门演奏音乐,部分职能部门(人事、财务、IT、法务和税务部门)负责幕后的支持工作,其他职能部门(内部稽核、风险和合规管理部门)负责监督整场演出。
第四、建立共通的风险管理基础架构,以提供各营运或者功能单位用来执行他们的风险管理职责。
风险管理人员有时需要跨出自己所属的领域,因为风险不会孤立存在,你也不可能孤立地进行管理。
为了高效而有力地管理风险,收获回报,必须在组织各个独立单位之间搭起一座桥梁。即在可行的情况下,所有业务部门尽可能使用相同的支持技术和流程。这包括了三点,一是同步,即跨部门的同步合作;二是协调,确保风险管理人员使用同样的语言,用同样的方式定义风险;三是合理化,即排除重复劳动的可能性。
企业可以借助一些工具,例如德勤的“风险智能地图”(www.deloitte.com/us/rimap)来推进相关活动的讨论,它将引导你去思考和探讨一些全新的风险议题。还有就是利用风险框架来协助把风险管理的方法标准化。企业还需要建立一个风险目录,将最关键的风险编目。
共同的技术、指标、流程和术语将帮助风险管理人员走出孤立的工作状态。
第五、治理组织(例如:董事会、审计委员会等)应充分了解风险管理实务,以履行他们的监督责任。
治理组织成员被赋有确保管理阶层已适当执行风险管理工作的责任,这样的责任无法在信息不透明或不完整的情形下执行。为了满足治理组织成员所被托负的职责及提供企业经营价值,董事会成员应该有下列行动:
.把风险放入议事日程。
.记录并了解当前的风险管理架构。
.定期与管理团队就风险管理话题进行对话,找出会影响组织执行关键战略的风险。
.讨论公司可能面临的风险。
.检视公司对风险的容忍度。
.取得公司管理层的合理保证,问问他们对这儿的风险管理有多大信心。
.请内部稽核人员或外部顾问评估整个风险管理项目的有效性。
第六、管理阶层被赋与设计、导入及维持一个有效风险管理程序的任务。
高管人员本来就扮演着领导及授权的角色,同时还要执行下列工作:引领员工思考,为了丰厚的回报,哪些风险值得一试;在组织的各个层级推动风险管理;设立期望值;确保责任到人;确保董事会的积极参与;推动变革;建立风险智能管理的企业文化。
这项使命很艰巨。如何才能圆满完成任务?你可以这样:组成一个风险智能小组,即高管级别的风险委员会,让你的管理团队对风险有更好的认知,并协助创建风险智能计划。
在某些组织的高管风险委员会,关键成员就是首席风险官(CRO)。他与其他高管合作制定风险管理政策和方法;传达并监控组织的风险偏好;向管理层和董事层级的监督功能部门报告风险信息。CRO的工作风格各不相同,但都需要与组织的风格和风险哲学保持一致。
第七、各营运单位(例如:部门、经销处等)应对他们的营运绩效负责,并且对他们在管理阶层所建立的风险管理架构中所承担的风险部份进行管理。
究竟谁应对风险负主要责任?是业务部门。
谁应该是风险管理的主要管理人?简单来说,如果你是业务部门的负责人,你就有责任去控制风险。
换句话来说,如果你对一个业务部门的业绩负责,就对该部门相关风险的日常管理负有首要责任。当然,这并不意味着部门其他成员就不必履行其风险相关责任。
主要责任又意味着什么?风险责任人有责任识别、衡量、监控、把握风险并将风险上报给管理层;有责任提高全部门的风险意识;有责任根据有效的风险分析,分清各项活动的轻重缓急。
然而,业务部门的经理们也必须在公司既有的风险管理架构下工作。如果他们真能毫无顾忌地去冒险,企业的风险基础框架就大有问题。
第八、某些对营运上有较广泛的影响,并且给各业务单位提供支持的部门(例如:财务、法务以及人事部门等),也应该包含在组织风险管理程序之中。
财务、法务、人事和IT这样的职能部门与业务部门不同,前者不仅对各自部门内的风险管理负有责任,还要协助其他部门进行风险管理。这些部门的职责与下一条原则中描述的“安心”部门以及上一条原则中描述的业务部门完全不同。
跟业务部门一样,这些职能部门对产生于其内部运营中的风险负有主要责任。例如,与技术相关的风险由IT部门挑起大梁,而人才和人力资源的风险人事部门责无旁贷。
同时,他们也肩负着超越部门界限的风险责任。例如,IT普遍深入整个组织,这样就能在帮助其他部门监控和缓解风险方面担起责任。人事部可以利用员工敬业度调查、离职面谈结果和其他信息来发现哪些领域有新的风险需要关注。
这些渗透性的部门负责在全公司范围制定和执行帮助降低风险的政策、程序和控制手段。他们为每个业务部门提供支持,帮助他们了解要获得风险所可能带来的收益需要做哪些工作。他们为管理层收集关键信息,并帮助分析如何降低风险。
第九、由组织内的特定部门(如内部稽核、合规管理和风险管理等)对治理组织及高管层提供风险管理体系运作有效性的客观保证,并监督与报告其有效性。
在风险管理方面,某些单位被授予独特的职责,即内部稽核、合规管理和风险管理部门。我们可以用“安心剂”来描述这些部门的主要责任:提供执行内部控制及风险管理体系运作有效性的验证。因为有了这些人员提供的验证工作,公司高管层及董事会成员晚上才能安心睡觉。
这种角色的设定把他们与组织中的其他单位区别开来。这些部门本质上并不是运营部门,他们的存在是为了监控组织的风险管理活动,提高其有效性。
当然,其具体责任因组织不同而不同。一些部门发挥的作用不限于安心。他们的工作描述可能包括下列角色:
·预言者:不仅评估风险管理的现状,而且帮助管理层预测未来的风险和机遇
·评估者:弄清楚组织承受的风险是否与其风险偏好相符
·整合者:确定组织是否正确地考虑了风险所产生的互相影响和范围
·效率专家:寻找各种方法杜绝风险管理方面的低效
·拥护者:争取相关资源支持组织为回报而冒险(即处理与提高利润率和提高股东价值相关的风险)
·呼吁者:呼吁人们关注管理失当的风险领域,并为这些领域争取资源
·业务智囊:在关键风险领域(如商业欺诈)提供专业指导
·故障排除员:参与控制修复和设计;协助实行风险评估并解释其结果
风险管理的误区
近年来,金融和能源行业一直是复杂的风险管理方面的模范。同时,反面教材也多如牛毛。在此简单总结一下常见错误:
·低估或忽视多个风险之间可能的相互作用。
·过分强调概率论的模型方式(probabilistic modeling);企图走捷径;未充分利用情景规划方式(scenario planning);完全不了解有哪些潜在的问题。
·风险管理人员孤立作业。
·对预警不予理睬,认为发出预警的人是故意唱反调,或以团队合作为理由对其进行批评。
·目光短浅,一心追求季度报表数据好看。
·公司缺乏在整个组织推行风险管理的统一方案,权利和责任未得到有效控制和界定。
·风险管理常常以合规而不是绩效为中心。
这些是在风险管理方面犯下的重大错误,但如果公司一味厌恶冒险,就将面临更大失败。换句话说,是时候转变为风险智能型企业了。