企业风险管理根本法则

书籍 企业风险管理根本法则

AMACOM,
其他语言版本: 英语

导读荐语

综合管理企业风险,并不意味着只是在火灾、水灾和其他灾害方面为企业投保。企业通常会遇到一些不确定因素造成损失的可能,这些因素包括竞争局势的加剧、科学技术的日新月异、金融财务状况的不稳定以及政府监管的处罚,等等。正因为如此,越来越多的企业领导人已逐步接受企业开展风险管理的理念,通过选择这个灵活的方法,来确认和应对企业的所有风险。不过,并不是所有的风险都具有危害性,有些风险还是值得尝试的。实施风险管理的企业不仅能够将潜在的危险降至最低,同时还可以鉴别风险性质,从而尝试那些最有可能增加销售和利润机会的风险。开展企业风险管理并不能完全消除风险的发生,风险管理也没能防止一些重要的金融机构在2008年金融危机中遭遇破产。尽管如此,本书作者约翰·汉普顿仍然态度中肯地推崇企业实施风险管理措施,并提示,开展有效的企业风险管理的关键是要采取仔细认真的专业操作方法。他推荐企业采取符合自身特点的风险管理模式——不论企业采取何种风险管理模式,都需要设立一个监管中心机构。在此,面向需要能够寻找更可靠的方法来规避主要风险、区分机遇性风险和破坏性风险,以及尽最大可能挽救企业于颓势的企业领导人,BooksInShort特推荐此书。

要点速记

  • 企业风险管理是应对一切商业不确定性的万全良策。
  • 正确实施风险管理的企业,能将良性风险与恶性风险区分开来。
  • 企业必须采用符合自身特点的风险管理体系,没有一套风险管理的方法可以适用于所有企业。
  • 一个高效的风险管理体系会指定专门负责人或负责小组集中监测风险,并指定具体人员来处理具体风险。
  • 企业应该定期排查,以铲除任何滋生风险的可能性。
  • 企业风险管理的软件工具如果运用得当,就可以更加容易地评估相关风险。
  • 设计企业风险管理体系应该参照企业的经营模式,并应与企业整体文化及部门文化相符。
  • 高量化的企业,其风险管理体系对某些有可能发生的事件过于关注。
  • 但如果发生几率极小的事件有可能引发严重的结果,就应该得到特别的关注。
  • 某些企业风险需要某种共同合作,才能进行风险管理。
 

浓缩书

超越商业保险的风险管理

自上世纪70年代起,企业开始扩大风险管理的保护范畴,以能够从外部投保防灾发展到从内部实施措施,控制损失的发生,例如工厂里改善安全设施以减少事故的发生。一些企业开始废除“保险经理”这个职务,而是启用意义更为广泛的“风险经理”的职称。再后来的几年发展中,企业负责人已经逐渐地加强对企业风险的关注——不仅关注孤立的个别风险,而是企业的整体风险,让不确定因素尽早暴露出来。到90年代后期,一些大企业已经开始实施企业风险管理,定期对暴露的风险进行二次评估,并定期排查潜在威胁,长期坚持分析哪些风险蕴含的商业机会利大于弊。

现代风险管理包括为企业减少财物损失、敦促企业遵守政府条例法规,以及维护有效的内部控制和审计制度。甚至除了以上常规内容之外,有效的企业风险管理体系还以其他各种各样的形式存在,因此,在不同的企业,管理企业风险的最佳方法和途径都各不相同。企业风险管理所面临的最大挑战之一在于处理层出不穷的各种风险。即便是身处同一行业的企业,也没有找到适用于所有企业的同一种风险控制模式可以借鉴。捷蓝航空企业(airline JetBlue)的客运风险处理方式,就值得探讨。该企业的总部位于纽约,因此它所面临的与气候相关的风险,与其他总部设在美国南部的航空企业,或者与设在其他气候条件地区的航空企业所面临的风险就截然不同。2007年,由于对严重的冬季暴风雪缺乏准备,捷蓝航空企业被打得措手不及,所有航班在其主要的航空枢纽肯尼迪国际机场都遭遇麻烦,好几次已经让旅客登机,但是却又不能起飞。由于没有对变幻无常的冬季气候做好恰当的应对计划,旅客们被困在地面上长达数小时之久。

如何进行企业风险管理

企业必须指定一个部门或专人,成立内部监测部门来执行“集中监测风险的职能”,这个部门的工作包括确定并评估企业所面对的全部风险。风险监测部门应将其具体的发现与企业经理和负责处理各专业领域具体风险的部门领导及时沟通。企业内部要通力合作,在设计和建立企业风险管理体系时,应当与企业的现存管理体系相一致,这才能将风险管理和企业业务融合在一起,而不会给管理者增加具体的新要求。例如一个制造商,他会对生产、市场、财务、科技、管理和商业运作以及关键项目等领域的风险很有警惕性,而在这样的企业里,一个生产主管可能同时就能负责管理和防范由生产设计、产品供货、流程效率等领域引发的风险。

“企业的风险因所在行业、实体性质、政经问题和其他因素的不同而有所不同。”

有效的企业风险管理也必须运用信息技术,以借助计算机的处理能力来提高风险分析。将你的企业风险管理体系设计成具有同步分析和评估所有风险的功能,并确保所委派的风险经理能在处理具体风险时具有相应的权限。为保证企业风险管理的行之有效,董事会成员必须在风险认知和管理上采取积极主动的管理理念。

未知风险和致命的乐观主义

一些风险是可以预期的,一些风险直到发生时才被人类发现。纳西姆·尼古拉斯·塔勒布(Nassim Nicholas Taleb)在2007年出版了极具影响力的《黑天鹅》(The Black Swan)一书,就讲述了某些事件发生得不可预期。塔勒布写道:“一些事件的发生因为如此令人震惊、悍然听闻,显然它们从一开始就是不可预测的。”2001年的“9·11”恐怖袭击事件就是一起“黑天鹅”事件,它超出了人类正常的预知范畴。(欧洲人曾一度认为所有的天鹅都是白色的,此书由此得名。)

“组织机构必须实施企业风险管理来提高自己的价值,但是管理者经常妄想在风险管理实施之前,企业的价值就有所提高。”

塔勒布认为,企业风险管理与其说是科学,不如说是艺术。他曾经一针见血地批判那些过度量化的风险管理体系,认为相当多的企业风险管理体系对发生率为95%的常见风险过度重视,但对发生率为5%,却可能引发重大损失的事件重视不足。塔勒布为企业风险管理理论做出了重要贡献,因为他曾经质疑过度依赖分析风险发生的事实数据,尤其是历史数据的错误做法,这会让企业的领导者和管理者产生一个错误观念,即认为大多偶然发生的、爆炸性的事件是违背常理的,是不易被预测的。有一个未经考证的理论是,在面对不确定性时,人类总是倾向于持乐观态度,而这会将个人、组织和整个社会置于巨大的风险之中。

曾经有预言家预测出了导致2008年全球经济危机的美国抵押信贷市场的崩溃,但是,几乎没有人能正确预见到危机的深度以及由此造成的信誉缺失的广度。这一事实证明,从远处看到的黑天鹅,当它变得越来越近时,会出人意料地变得庞大。当然,明智的风险管理者不仅能考虑到可能发生的事件所带来的影响,还能将不太可能发生、但却会造成重大后果的事件也纳入考虑范围之内。

企业风险管理应用软件

大型企业在落实企业风险管理之前,通常都使用信息技术来进行分析。一些风险管理的软件工具能将风险形象化,并在计算机上模拟出来,以帮助管理者对其实施监控和做出优先处理决定。运用这些软件,管理者就可以确定企业的各种风险是否存在相互影响的可能,委派的风险经理是否能降低具体的风险损失,并将风险应对过程进行文字记录,用以学习总结。

“外部风险大多不能控制,因为它们大多是由竞争环境、经济因素、监察机构的行为以及其他外在因素所造成的。”

风险管理的操作软件能将风险进行分类,从主要类别到子类别,从而令使用者一目了然,这就可以帮助人们理解不同风险之间的相互关系。例如,一个企业认为经济不稳定是主要的风险之一,软件就会显示出此类经济不稳定所引发的各种次要风险种类,包括如营业收入、信用额度、法律诉讼以及运营违规等因素给企业带来的潜在风险。面临众多风险的企业,还可以采用企业风险管理软件的“标签”功能来进行复杂的风险分析,标签功能能够帮助使用者进一步确认相关风险,并对这些风险进行单独分析。这一功能甚至可以帮助使用者监控超出企业控制范围的外在风险,并评估它们内在的潜在影响。

需要团队合作而应对的五类风险

即使企业没有在控制风险上投以重大的技术投资,企业无论大小都能够从人们对某些风险的基本认识中获取经验和教训。企业中存在的风险种类有很多,最普遍的风险与企业战略、领导力水平、企业内部文化、企业所处的发展周期以及对风险的认识角度等有关。这些风险不同于其他风险,需要团队进行合作来共同应对。没有哪个个人可以成功地处理以下五类风险:

  1. “企业战略风险”——一些具有明确目标和实施计划的企业战略,虽具有一定风险,但应对得当,是能够给企业带来盈利的。潜在风险对一个企业而言是致命的,这就是为什么设计良好的企业风险管理体系能够在规划和制定企业战略的过程中发挥作用。企业风险管理的重点就是不断发现问题,无论问题如何藏身。例如,美国制造业者应该能够发现来自中国、印度和其他新兴国家的战略威胁,这些国家的企业可以以较低的成本生产出具有竞争力的产品。
  2. “领导力风险”——开展风险管理的企业需要在执行层面上评估领导力风险。企业管理者采取决定时,大都基于各种设想、观点和个人情感,加上以往的经验,甚至仅仅是根据个人信念。各部门经理虽各司其职,但都需要执行企业领导层的决定,因此企业需要强有力的领导,以及可靠的管理者,随时发现并消除由领导力不足可能带来巨大损失的商业风险,即便这些风险还很遥远。
  3. “企业内部文化圈风险”——一些企业内部的文化圈具有一定的破坏力,它成为企业的负担。某些部门的员工之间存在分歧,会阻碍整个企业的发展,这时就会出现这种风险。尤其是一些大企业里的官僚部门,它们甚至有能力推翻管理层。任何组织都要努力使企业风险管理符合企业的具体特色。
  4. “企业周期的风险”——大多数企业从创业到倒闭,都经历了由一系列阶段组成的生命周期,包括企业的建立、发展、成熟和衰落。如果领导者不能在企业的不同阶段采取正确的政策,就会发生问题。例如,他们在企业的稳定发展阶段却采用了与之不符的扩张战略。
  5. “缺乏认识的风险”——一些企业只注意眼前的风险,却没有注意视野尽头的风险。降低这种风险,就要规避以下这三种原因引发的风险:不完善的商业模式造成企业的短板、重要资源供应不足,以及客户或者竞争对手的不良行为。

风险的变幻莫测

风险的大小和形式总是在不断变化的。当新的风险出现时,另一些风险的重要性就会降低。网络的出现更是滋生了新的违法行为,将企业置于危险之中,例如非法进入企业电脑系统和传播病毒等。“9·11”袭击事件的发生无疑令政府和企业将降低危害安全的风险系数确定为首要任务。

“企业一个丢失的盈利机会往往不仅是业务损失,更是一种风险。”

法规的变化也使风险的发生变幻莫测。例如,2002年生效的《萨班斯—奥克斯利法案》,要求很多上市企业的首席执行官签署协议,以保证企业切实地实施内部控制,并按季度将报告提交给美国证监会。现在,任何一位不能建立和保持一套完整的与财务报告相关的内部控制系统和程序的首席执行官,都会面临遭到停职和起诉的风险。

2008年的全球经济危机让很多企业感到了不安,迫使它们加倍防范信誉缺失和财政破产。除美国与其他国家之间爆发核武器战争的几率出现了明显下降外,全世界所面临的威胁是商业利益的风险正日益提高,而非下降。

先行者多于跟随者?

率先开展风险管理的企业已做出榜样,正在体现这一管理对于企业整体运营的促进作用。保罗·巴克利(Paul Buckley)就是其中的一个成功案例,他从事电信行业29年,发明了一套特殊的风险控制体系。他从电信业跳槽到产业巨头泰科国际有限公司(Tyco International),该企业聘用他为负责风险管理业务的副总裁。他拓宽了泰科的风险控制系统,并将为企业提供风险管理的咨询顾问聘为企业风险管理经理,令其负责企业风险管理项目的具体实施。

“开展企业风险管理能够敦促管理者遵守法规,而遵纪守法的企业从不需推动风险管理的实施。”

兰斯·尤因(Lance Ewing)的职业生涯开始于保险业,他的工作就是为锯木厂和货运公司以及其他危险行业预估事故风险,他的工作重点后来转到控制和预防财产损失方面。在保险业工作五年后,尤因接管了宾夕法尼亚州费城公立学校的风险管理工作。由于他成功地控制了损失的发生,令该学校所交付的保险费额得以大幅降低。随后,他晋升为博彩行业的最大企业哈拉斯娱乐企业(Harrah’s Entertainment)负责风险管理业务的副总裁。

但是,这些在企业风险管理领域里的先行者的数量仍领先于追随者的人数。据2008年一项关于美国企业风险管理的调查显示,只有7%的企业彻底实施了风险管理系统,33%的企业还没有计划实施企业风险管理。目前,越来越多的企业已经承诺实施风险管理,在《萨班斯—奥克斯利法案》颁布后,美国企业更加关注企业的经营是否符合法规。但是,遵守法规并不能代替企业规避风险,并对其当前所面临的所有主要风险妥善管理。

关于作者

约翰·汉普顿(John J·Hampton)是圣彼得学院(St. Peter’s College)的经济管理教授,同时还是该校研究生商学课程项目的主任。他是风险与保险管理协会的前任执行主任。