企业风险管理的一揽子方案
风险管理措施不力会让企业付出惨重的代价,这样的例子我们见得不少:欺诈交易导致巴林银行(Barings Bank)分崩离析,财务欺诈最终让安然(Enron)轰然倒闭,壳牌公司(Shell)在虚报石油储备丑闻曝光后不得不重编财务报表,在发展中国家的不当经营让耐克(Nike)和雀巢(Nestle)的品牌形象受损,而麦当劳(McDonalds)也遭到过危害公众健康的指责。当然,企业风险绝不仅指财务风险,也不局限于会计数据。企业需要考虑整个组织各个方面的风险,且必须制定出评估和管理风险的方法。风险本身并不一定是坏事,毕竟“不入虎穴,焉得虎子”,不冒风险,何来收益。但是关键在于,我们应该了解自己所选择的风险,不做无谓的冒险。
近期出台的一系列备受瞩目的法规和报告,推动了当前的风险管理的发展。这些法规报告包括旨在遏制财务报表欺诈问题的《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act)、防范金融服务业财务和经营风险的《新巴赛尔协议》(Basel II Accord)、信息系统审计和控制协会(Information Systems Audit and Control Association)制定的信息技术风险框架Cobit(信息和相关技术的控制目标)以及联合法案(Combined Code),后者统合了该组织三个委员会——凯德伯里(Cadbury)、格林伯瑞(Greenbury)和哈姆派尔(Hampel)先前发布的公司治理报告。
这些规则和建议敦促企业在一贯实行的财务控制基础上进一步加强风险管理措施。但是,人们往往狭隘地将重点放在围绕现有财务风险报告体系改进财务报告和公司治理上,而并没有树立一个更具全局眼光的风险观,从而平衡风险与机遇、财务和非财务要素。因此,制定这些监管规则往往被视为成本高昂而利益不明的举措。
企业全面风险管理(Enterprise Risk management ,简称ERM)是指在宏观层面上管理财务和非财务风险。“反对虚假财务报告委员会”(Committee of Sponsoring Organizations of the Treadway Commission,简称Coso)是企业风险管理方面的一个思想领袖,它将ERM界定为应用于企业各层面的管理工具,其功能在于确认可能影响组织发展的潜在事件、将风险控制在可承受的范围内、并为公司实现目标提供合理保障。从本质上说,ERM体现了对风险的一种全局观念,考虑的是风险对整个企业、而非局部的潜在冲击。另外,从这个广义的角度来看,管理层就应该对组织准备承受的风险——即风险偏好了然于胸。
ERM理念为风险管理人员指明了方向,但是,要实际整合并量化公司所面对的整个风险组合仍是一项艰巨的挑战。实际上,风险管理的应用往往还仅局限于具体的技术领域,如财务风险、法律风险或客户流失风险等。因此,企业应当如何针对各层面的风险开发出一套评估、定位及管理的理论框架,从而把握ERM的真谛呢?
[b] 有效的ERM难觅踪影[/b]
虽然目前风险管理备受关注,但是高质量的ERM仍然难觅踪影。麻省理工学院的研究科学家乔治·维斯特曼(George Westerman)认为,ERM让他联想起上世纪90年代的电子商务:“每个人都希望涉足其中,每个人都以为别人也在为之乐此不疲。然而,真正掌握要领的却为数不多,而做得出色的更是凤毛麟角。”那么,原因何在呢?我们认为,主要源于两个方面。
[b] 中层管理的脱节
[/b]
首先是缺乏整合。比如,人力资源专员仅负责评估人员管理风险——如技能的缺乏或者继任计划;信息技术专员则关注数据的整合;而财会人员则致力于改进发票审核程序。但是,我们却缺乏一种标准的风险标尺去衡量哪个领域的风险更大或管理得更好,或者各领域的风险管理能否结合起来。
在研究ERM的过程中,我们发现风险管理在中层环节上存在相当大的脱节。如果针对不同类别的风险设定统一的标准度量,那么各种微观层面的风险评估就能够整合为一体,填补这中间环节的缺口。虽然在抽象的理论层面上我们已经建立了一些ERM框架,但是它们对企业该如何开发统一的风险度量和报告体系却无甚帮助。在微观层面上,不同的行业和职能部门确实也开发了许多具体的风险度量工具,但是,它们不能帮助行业或部门间相互交流风险影响,也不能与其它微观层面的风险评估相整合。市场调研公司顾能公司(Gartner Group)曾公布了它对美国各家银行的调查,有半数的银行将缺乏有效的风险标尺视为管理经营风险的最大隐患。
好事达人寿保险公司(Allstate Life)的企业风险管理部负责人维纳雅·莎玛(Vinaya Sharma)在分析了保险行业当前的风险管理实践后认为,问题的症结在于风险被割裂开来看待了:每个产品都被单独进行分析,很少有对风险的全面评估;即使有,也仅仅限于微观层面。
页:
[1]