在我国,企业风险管理从概念普及到相关的管理体系建立,再到借助企业、行业案例总结出具有中国特点的风险管理制度和方法,已有不短的时间。尽管如此,近年来,中资企业海外投资连遭陷阱、国际金融危机带来金融和实体经济多个行业突出风险等情况,表明中国企业风险管理仍处于普遍的较低水平。这正是财政部等部委先后在2008年5月和2010年4月发布企业内控规范指引文件的原因。另一方面,国内一些高校、商学院开设了风险管理课程,加强对企业内部控制等重大问题的理论研究与制度经验的探索,但距离以美国为代表的欧美日国家学界的研究水平仍有差距。
简言之,无论从国企主管部门强化国企监管、运营风险控制的角度,还是为了增强本土民企应对风险的整体能力,引进相关的风险管理理论研究、制度经验成果十分必要。特别是企业对战略风险与经营风险的量化、风险偏好的界定与量化以及如何将企业风险管理信息纳入决策制定过程等方面的研究和经验成果,一旦引进将大大减少本土企业和学界探索的时间。
西姆·西格尔是在美国享有盛誉的风险管理专家,长期从事风险管理咨询服务,曾为北美精算师协会(SOA,全球最大的精算师协会)风险委员会的第一任主席,也是哥伦比亚商学院的兼职教授,讲授关于企业风险管理的MBA/EMBA课程。西姆·西格尔所著的《基于价值的企业风险管理:企业管理的下一步》一书近日由东北财经大学出版社引进出版。
《基于价值的企业风险管理:企业管理的下一步》这本书给人留下的第一印象,是务实,而这也是西姆·西格尔多部风险管理专著及课程讲授的一大特点。何谓“务实”?市面上可见的风险管理图书,通常分为两类,其一为教材,面面俱到,却在任一方面很难深入;其二为“理念”普及读物,一般都提出一个或几个风险管理方面的新颖观点,由此进行浅层次阐发,再引述多个案例,“攒”成一本书。《基于价值的企业风险管理:企业管理的下一步》不一样的地方就在于既注重可读性,做到了叙述生动、阐释简洁,也注重实操性,提出了能够直接用于企业风险管理实践特别是制度改革、战略调整、实务校验的框架方案。
企业风险管理常常被理解为对风险的捕捉及补救。这样的理解方式,意味着成本和代价,或者说影响企业实现更多利润等财务目标的管控措施,自然会带来内外阻力。而在西姆·西格尔认为,企业风险管理应当定义为“企业识别、测量、管理和披露所有关键风险以增加利益相关者价值的过程”。也就是说,风险可测量、可管理,而且还将增加财务目标等价值。
西姆·西格尔指出,基于价值的企业风险管理需要始终关注10个准则:准则一,“整个企业范围”,特别要关注那种可以为企业带来大量业务收入或利润(而使其不规范做法不断被谅解)的“金童”部门、业务量足够小以至于其风险很容易被管理者忽略的部门;准则二,“包括所有的风险类别”,也就是要将企业财务风险、战略风险、经营风险纳入测量范畴;准则三,“关注关键风险”;准则四,“跨风险类型进行整合”,也就是要突破现有常见的、流行的孤立应对某一种特定类型风险的管理方式,从真实世界、商业环境的复杂性出发,搭建复合型的风险管理体系;准则五,对风险管理体系进行细化分解后,再“汇总指标”,;准则六,“包括决策制定”,决策者要直接过问和介入风险评估及处置;准则七,“平衡风险和回报管理”;准则八,“恰当的风险披露”;准则九,“衡量价值影响”,这主要是对于企业的利益相关者而言的;准则十,“关注主要利益相关者”。
基于价值的企业风险管理的框架内容,包括四大步骤:风险识别、风险量化、风险决策制定和风险沟通。成功风险识别的五个关键点在于,通过风险来源定义风险,均衡地分类风险,清晰地定义指标,恰当地收集数据,前瞻性地识别风险。第一,通过风险来源定义风险,就是从表象、直观的风险找到导致这种风险出现的深层次风险或问题。比如企业声誉风险,往往出自低劣的产品风险、糟糕的客户服务或外部关系等其他风险,如果仅仅“就事论事”(对应声誉风险开展公共关系资源投放),就不是有效的风险识别。第二,均衡地定义风险,一般要通过企业内部会议讨论的方式,明晰风险涉及的业务环节,为后续的风险量化打好基础。第三,清晰地定义指标,要考虑潜在风险的可能性和严重程度,为之确立分值,并反复校验;第四,恰当地收集数据,特别要做好各类数据的更新;第五,前瞻地识别风险,要尽可能采纳各种可行的技术方法,进行风险捕捉和判断。
风险量化是整个风险管理体系的基石,也是决定企业风险管理流于形式、空谈或发挥实效的关键。《基于价值的企业风险管理:企业管理的下一步》就此提出了一套实用性较强的风险管理模型,并就数据输入、计算和输出等具体操作进行了讲解。风险量化过程包括计算基线公司价值、量化个别风险敞口、量化企业风险敞口三部分,书中分别结合不同类型企业、不同类别企业业务予以了说明。
确定风险偏好和风险限额,然后将企业风险管理纳入决策制定,这就是风险决策。确定风险偏好即是将企业风险敞口控制在企业的风险偏好范围内,包括硬上限(最大上限)和软上限(警示器);确定风险限额,类似于分配预算。在此基础上,企业决策者重新计算风险和收益指标并作出权衡。
分别面向企业内部和外部的风险沟通,都是非常重要的,也是一般的风险管理理论和制度实践常常忽略的问题。在缜密、公正的风险识别、量化、决策等前三个步骤基础上,风险沟通的目的不仅仅在于赢取企业内部和外部(股民、战略投资者、监管部门等)的认同,并且还将借此将风险管理纳入激励报酬,改进企业依循的风险披露传统,建立更好的企业形象。