何谓风险,企业风险管理的定义是什么,不同的人有不同的理解。COSO发布企业风险管理整体框架的一个重要目标,就是对风险管理的定义、要素及一些主要的概念进行描述,以使大家的讨论能够建立在一个共同的基础之上,这既有利于研究的不断深化,有利于企业对现有风险管理体系进行评估、改进,也有利于管理者进行相应的风险管理决策。
本文主要探讨企业风险管理定义。为便于理解,我们首先了解一下不确定性与价值、风险与机遇之间的关系。
不确定性与价值 企业风险管理的一个内在假设就是所有的经济组织,不管是盈利组织还是非盈利组织,其存在的目的就是为利益相关者创造价值。即企业的管理者通过各种各样的决策与执行,使企业的资本在运动过程中不断地得到保值或增值。。
企业的经营总是在一定的环境下进行的,环境因素包括技术创新、重组、市场变化、竞争、政府监管与调控等。所谓不确定性就是指影响企业目标实现,源自企业内部或外部的某一事件发生的可能性。
不确定性可能因为企业无法准确地确认事件发生的概率及其相应的后果而产生。比如,中国的3G标准到目前还未最终确定,不少IT企业(如中兴通讯、华为公司等)的经营由此而受到影响。再比如,前些年国家对房地产行业实现的宏观调控措施,也是不少房地产企业未曾预料到的。
不确定性也可能来自于企业的战略选择。比如,企业为满足增长的需要,需要在国外投资办厂或经营,经营所在国的政治环境、资源、市场、渠道、雇员的能力与成本等因素的稳定与否就给企业的经营带来了不确定性。
需要注意的是,不确定性既代表着风险,也代表着机遇;既可能损害企业的价值,也可能增加企业的价值。比如说同样是海外收购,联想集团2005年末收购IBM的PC业务后,经过不到一年的整合,该项业务即扭亏为盈,公司股价也随之上涨近50%;而TCL集团2005年度的巨额亏损,主要原因就是受累于手机巨头阿尔卡特、彩电巨头汤姆逊的合资公司的不良运行(杨小舟. 海外并购:谋定而后动. 新理财. 2006-2. P20)。建立企业风险管理系统就是为了帮助管理者有效地应对不确定性,提高企业管理风险和创造价值的能力。
风险与机遇 如前所述,不确定性不等于风险。不确定性是指某一事件发生的可能性,该事件可能有积极的效应,也可能有消极的效应,也可能两者兼而有之。比如说银行贷款利率的调整,属于源自外部的、企业不可控的事件,对企业经营的影响就存在着不确定性。如果贷款利率向上调整,对企业目标的实现会产生不利影响;如果贷款利率向下调整,则会产生有利影响。再如人民币汇率的变动(目前变动较频繁,幅度也较大),对不同企业有不同的影响。
所谓风险是指对企业目标实现有不利影响的某一事件发生的可能性。因此,不确定性是风险的一个必要条件,但不是充分条件。
具有不利影响事件的发生,将会对企业的价值创造带来损害。比如机器设备的损坏、火灾,以及信用损失。有时表面上看起来有利的环境或条件也可能发生不利的后果。如客户的需求超过了企业的生产能力,说明企业的产品很适销,供不应求;但从另一方面看,由于不能满足客户需求,影响了客户的忠诚度,客户转而向其他供应商采购,从而影响了企业未来的部分订单。
所谓机遇是指对企业目标的实现有积极影响的某一事件发生可能性。机遇有利于企业的价值创造与保持。管理者需要将这种机遇融入企业的战略与目标设定的流程之中,以便采取行动抓住机遇。
对中国企业而言,机遇随时可能发生,但也稍纵即逝。比如2005年5月,中国人民银行发布了《短期融资券管理办法》,不少企业就抓住了这一机遇,大大降低了融资成本。如清华控股有限公司、金融街控股有限公司(000402)都通过发行短期融资券,筹集了将10个亿的资金,资金成本率约为3%左右。而一年期银行贷款的基准利率约为5.5%,仅此一项即可给企业节省利息支出2500万元。
从图1可以看出,企业的价值最终取决于未来现金流量的规模、时间和风险,因此,只有当企业的管理者制定了在增长、盈利与相应的风险之间取得最佳平衡的战略与目标,并能在经营过程中有效果、高效率地运用资源时,企业的价值才能达到最大化。
企业风险管理定义 对于企业风险管理,COSO是这样定义的,即:企业风险管理是一个过程,受企业的董事会、管理层和其他人员的影响,应用于企业的战略制定及各个方面,旨在确定影响企业的潜在重大事件,将企业的风险控制在可接受的程度内,从而为实现企业的目标提供合理保证。
为正确理解这一定义,我们应注意以下几点: 1.企业的风险管理是一个过程。企业风险管理不是静止、一成不变的,而是一个持续改进的过程,它与企业日常的经营活动息息相关。只有当企业的风险管理机制嵌入到企业的基本制度之中,并成为企业经营中一个不可分割的部分时,才有可能发挥出最大效用。比如,国内某IT企业在以往的销售策略中,对分销商和代理商采用现金销售方式,但由于市场环境的变化,公司2004年修订了信用政策,扩大了信用销售。为了控制信用销售的风险,公司加强了对客户信用标准、信用额度及信用期限的分析与审批,但这些分析与审批制度是与公司的销售、发货、收款等内控流程、制度融为一体的。
2.企业风险管理受公司各个层级员工的影响。企业风险管理机制是由公司的董事会、管理层和其他员工建立并执行的。同时,企业的风险管理体系也对公司员工的行为产生相应的影响。
但是在一个企业中,由于不同的员工具有不同的教育背景、经历和技能,也有不同的需求和偏好,对风险的认识、态度和方法也就不一致。比如在确定公司的信用政策时,营销副总根据其掌握的信息与沟通情况,可能会建议对某一特定客户加大信用额度、延长信用期限;而公司CFO则根据对该客户财务报表的分析,考虑到坏账风险、资本成本等因素而建议给予较小的信用额度和较短的信用期限。企业风险管理就是要提供一种机制来帮助员工从公司目标实现这一角度来理解风险,将员工的职责、权限与工作方式与公司目标之间建立一个明确的、紧密的关联。
特别需要指出的是,在一个企业中董事会主要承担监督职责,对公司的战略、重大交易、政策进行方向性的指导与审批,因此,董事会是企业风险管理中一个非常重要的组成部分。
3.企业的风险管理应当运用于战略的制定。每个企业都有自己的使命、远景,以及相应的战略目标。企业需要建立一系列的战略来实现其战略目标。除战略目标外,企业还应有一些相关的、具体的目标,这些目标源自企业的战略,渗透到企业的各个业务单元、分部和流程之中。
企业的风险管理应该运用于战略的制定,而战略制定就是在风险与相关替代策略之间的权衡与选择。比如企业的发展有两种战略:一是收购其他企业扩大市场份额;二是通过成本控制取得更高的毛利率。每一种战略选择都会涉及到相应的风险。收购其他企业,必须开拓新的或不熟悉的市场,竞争对手可能乘虚而入,侵蚀公司现有的市场份额;并且公司也可能缺乏实施这一战略的能力。而采用成本领先策略,则需要采用新技术、寻找新的供应商或形成新的战略联盟。企业的风险管理技术可以帮助企业的管理层评估和选择企业相应的战略与目标。
4.企业风险管理涉及到企业的方方面面。企业的风险管理应该应用于企业的各种活动层面,包括公司层面的战略计划、资源配置;部门层面的市场活动与人力资源管理;流程方面的生产与新客户信用的审视等。企业的风险管理还可应用于一些特定的项目或新的举措。
企业风险管理要求公司采用“组合风险”的观点,这一点应引起国内企业的充分重视。比如公司某一分部的各种风险可能是在该分部的风险偏好之内,但各分部的风险总和可能会超出公司作为一个整体的风险限度。相反,在某一分部看来是不能承受的风险,可能被另一个部门的经营业务所抵消。如我以前任职的一家IT集团公司,有电脑子公司(从事PC、服务器、数码产品等的制造与销售)、外设子公司(打印机、终端等产品的制造与销售)、计算机软件与系统集成子公司,以及网络产品制造与销售子公司。单从网络产品子公司来看,投入大量的研究与开发费用,风险较大,已超出该公司的风险可接受范围;但从整个集团公司来看,由于其他子公司具有较高的获利能力,网络产品公司对研究与开发项目的投入仍在集团公司可接受的风险范围内。
所以我们需要确认关联风险,并采取行动,从而使公司的整体风险与公司的风险偏好相一致。
5.企业风险管理与风险偏好(risk appetite)。所谓风险偏好,广义地讲,就是企业在追求其价值增值过程中所愿意接受的风险数量。它反映了一个企业的风险管理哲学,反过来也会对企业文化与经营风格产生影响。许多企业定性地考虑风险偏好问题,将风险分为高、中、低几个大类;另外一些企业采用定量方法,在增长、收益与风险之间进行平衡。
风险偏好引导企业的资源配置。高风险偏好的企业愿意将企业的大部分资本投入高风险领域,如新兴市场等。相反,低风险偏好的企业可能为了限制资本短期内的巨大损失而仅仅投资于成熟、稳定的市场。
风险偏好与企业的战略直接相关。不同的战略伴随不同的风险,因此,企业风险管理有助于管理层选择一种预期价值创造与公司风险偏好相一致的战略。
企业的风险承受与企业的目标相关,风险承受指偏离某一具体目标的可接受程度。在确定风险承受度时,管理层需要考虑各具体目标的相对重要性,并将风险承受与风险偏好相协调。
6.企业风险管理仅对目标的实现提供合理的保证(reasonable assurance)。设计与运行良好的企业风险管理体系可以给管理层和董事会在企业目标的实现方面提供一个合理的保证。之所以只能提供合理的保证而非绝对的保证是因为不确定性、风险与未来有关,谁也不能够准确地加以估计。
但合理的保证并不暗示着企业风险管理会经常失败。企业风险管理实施中风险反应的累积效应、内部控制制度的加强都会减少企业目标不能实现的风险。并且,企业风险管理不能将各级职能部门每个员工的日常经营与职责都指向企业目标的实现,这无疑会减少内耗,促进企业目标的实现。
7.企业风险管理与目标实现。在企业风险管理框架中,风险管理的目标共分为四类:
战略性目标:涉及高层次的目标,与企业使命相一致并支持企业使命的实现。
运营目标:涉及企业资源使用的效果与效率。
报告目标:涉及企业报告的可靠性。
规范目标:涉及公司对法律法规的遵循。
对目标进行分类有利于企业关注风险管理的不同方面。上述有些目标,如报告的可靠性。法律法规的遵循等是企业可控的,它取决于企业相关的经营活动是否适当。
但企业的战略目标,如获取特定的市场份额,以及一些营运目标,如成功导入一个新的产品生产线,并不总是在企业的可控范围内。对于这些目标,企业风险管理确实有利于管理层进行更好的决策,但并不能避免错误的判断或决策,也不能消除可能会导致企业经营目标不能实现的一些外部因素的发生。
需要特别强调的是,企业风险管理的目标不仅仅是财务报告的可靠和经营的规范,更重要的是企业战略目标的实现,以及资源高效率、有效果地运用。
相关文章
发表评论
