什么是风险管理？（三）

十六：经营成功的公司是不是早已实施了企业风险管理？

我们可以料定：经营良好的公司都正在运用企业风险管理基础设施的许多要素。因为如果对风险不进行识别、正式评估、做出回应、控制和监控，公司很难获得成功。但是，我们的意思是说，世界上几乎没有哪家公司可以断言自己的风险管理实践不需要再进一步改善了。事情的实质不是公司当前正在做什么，而是在经营环境不断变化的情况下，公司应该采取哪些行动，提升或者改进自己的风险管理能力。COSO《框架》给出了公司可赖以评估自己风险管理实践的标准。企业始终都面临着各种各样的风险，但是，当今时代，变化速度及其对企业所产生的后果似乎前所未见。下面举一些这方面的实例：

1：全球化增加了企业受国际事件影响的风险。国界已经很少能继续保护企业免受此类事件的影响。能源价格正是这方面的一个明证；

2：随着公司不断地寻求各种新途径，力求与众不同，别具一格，因此，尽管提高效率、开展创新和实现差异化一向都是需要考虑的问题，但现在更加必要，也更加重要了；

3：尽管竞争风险依然是个首要问题，但在全球市场上，战略失误的代价也在不断地加大。金融市场也更不稳定。陈旧粗陋的经营模式会在竞争中带来失利。而且，即使经营模式合适，能够形成可持续的竞争优势，但也只有得到有效地采用时，它才可以使企业在竞争中获胜；

4：当今市场细分的针对性逐渐加强，客户的口味越来越挑剔，因此，了解消费者的需求并做出及时的反应依旧是关键。如果不能跟上客户需求变化的脚步，可能会迅速失去市场份额； 

5：随着外包模式不断地普及，出现了风险的保留和转移问题；

6：不幸的是，曾经无法想象的事情现在也可能会发生。2001年发生的“9.11事件”已经改变了我们对业务中断风险的看法；

7：由于对多起公开报告丑闻的大肆渲染和核证官员的苛严要求，公司开始重视自己的信息披露程序和内部控制结构，更重视它们是否具有可持续性，因此财务报告现在也已经成为一个重大的风险领域。

如今，上述因素及其他一些风险都在促使风险特征不断发生变化，不仅对财务产生影响，而且对战略和经营活动也产生影响。在审视公司今天所面临的风险时，执行人员会发现风险特征已经与几年以前的情况完全不同了。更重要的是，他们甚至可以预期几年过后，将来的风险与现在的风险又会不同。这正是企业风险评估之所以如此重要的原因。归结而言：在全球经济中，能繁荣昌盛的企业，并不是最强大或最精明的企业，而是最能适应变化的企业。随着市场和客户的变化，经营模式也应跟着发生变化。随着竞争环境的变化，经营战略也应跟着发生变化。此外，除非企业风险管理的实施工作与经营战略的评估及制定工作紧密地结合，否则企业风险管理的潜力就不能得到全面的发挥。已在风险管理领域取得骄人成绩的公司仍应该定期评估其风险管理能力，其中的原因正是如此。

十七：企业风险管理已经存在多久了？为什么现在要重新关注它？

支撑企业风险管理的各种概念和理论，即风险组合观，已经出现很长一段时间了，它们最初只在金融机构和世界级企业的财会部门使用，因为这些机构采用涉险框架、资本归因技术和其他估量方法来管理市场风险和信用风险。近年来的市场发展新动态明确地揭示出，动荡不稳再也不只限于货币、利率和期权股票等金融产品了。客户偏好、竞争对手的产品上市、劳动力市场和技术等全都在变化，而且变化的节奏也越来越快，就像金融市场的变化一样。甚至组织经营模式的生命周期也在日渐缩短。变化也不再只是简单的线性变化，而是日趋复杂。成功的公司必须进行革新，提供完整的解决方案，能为客户和市场创造新的价值来源，否则在迎接行动敏捷、富有创意的对手的竞争时，就只能沦为败将。不停的创新也会引起新的风险，对于这些风险应当经常进行评估。如果采用这种思维方式，经营战略也就成了一个多变的动态过程，而风险管理更进一步加剧了这个过程的多变性。变化节奏日渐加快，人们对变化是一种积极生存方式的认知日趋深刻，风险识别、测量、报告和规划的技术也越来越有效，所有的这些因素都促使公司开始更加密切地观察自己的风险管理状况。过去，传统的风险管理模式与企业风险管理之间的差距太大，绝大多数公司都无力缩短这种差距（如第6个问题所述）。然而，遵守《萨班斯-奥克斯利法案》为实施原本不具备的企业风险管理能力奠定了基础。已经采用了改良披露流程和财务报告内部控制机制的公司应该进一步地仔细研究如何才能扩大自己的这些能力，将其他的关键业务活动也涵盖进去，因为随着《萨班斯-奥克斯利法案》所规定的合规努力不断地持续下去，差距已经不像原先那么大了。为了帮助管理层对所需开展的工作进行评估，COSO《企业风险管理-综合框架》提供了一套标准，并包含了许多公司在评估其财务报告内部控制的有效性时所采纳的COSO《内部控制-综合框架》。

十八：目前拥有企业风险管理流程或系统的上市公司占多大比例？

简单地说，对于回答这个问题，COSO《框架》只提供了必要的判定依据。只有当这个《框架》在市场上获得更大的拉动作用，公司能参照该《框架》来确定出自己的风险管理基准，以评估自己的现状时，我们才能知道回答这个问题的完整答案。不过，我们有一些精辟见解，这些见解可能有助于我们推断公司的现状：

1：在2004年，普华永道公司发布了一份《全球首席执行官调查报告》，这份《报告》显示在受访的1400名首席执行官中，有39%的人极力地赞同企业风险管理是企业的一项首要工作。尽管这些首席执行官（被普华永道称作是“具有高度责任感的首席执行官”）全都列报了企业风险管理的各种益处，但普华永道的调查显示53%的人表示他们能拥有自己所需要的企业信息，42%的人将企业风险管理同战略规划结合起来，29%的人声称尽可能地使用量化手段，27%的人声称将企业风险管理应用于所有的职能部门和单位，而只有20%的人表示每个人都了解自己在风险管理方面的责任。相比之下，其余的首席执行官（据报告，他们不太关注企业风险管理）在回答这些及其他相关问题时，他们答案中所给出的相关比例数据则明显低得多。

2：在我们过去10年来的研究中，我们曾开展了几次调查（最后一次调查在2005年秋天进行），以期了解高级管理人员对于他们企业的风险管理的信心水平。每次调查均显示，在这些受访的高级管理人员中，约有60%的人声称，在识别和管理所有潜在重大风险方面，他们对自己组织的风险管理能力是否行之有效缺乏很高的信心。我们的经验告诉我们，这种信心不足的根源是企业没有一个系统化的流程，可以让相应的执行人员参与识别整个企业的风险，确定它们的轻重缓急次序。重大风险只有在经过了有效的企业风险管理流程，进入管理层的视野之后，管理层才能开始决定要采取什么措施和如何采取这些措施。

3：缺乏透明度也一直延伸到董事会。就在《萨班斯-奥克斯利法案》成为法律之前，麦肯锡公司公布了一份调查，这项调查采访了200名董事，他们分别代表着500多个董事会。其中，有36%的董事表示他们的董事会不知道公司的主要风险。大约有40%的董事表示他们缺乏如何有效地识别、防范和规划风险的相关知识。这项研究还发现，董事会把非财务风险只是作为“没有实据性的轶事”来处理。管理层收到董事们有关公司风险及风险管理的问题越来越多，也就不足为怪了。

十九：是否存在企业风险管理被有效应用的例子？

COSO《应用技术》列举了一些处理风险管理的方法实例。这些方法都是不同公司各级人员在运用企业风险管理法则时曾采用过的方法。熟悉本《框架》的读者会发现这些资料非常有用。

二十：企业风险管理的实施工作因行业不同会有哪些不同

在COSO《应用技术》第3页中，COSO指出:“无论是第一次应用《框架》的思想和法则，还是考虑现有企业风险管理流程（也许是应时而专门建立的）是否真正有效，由于备选的方法和选择事项很多，即使是在相似的企业中，实施企业风险管理的方式也会不一样。”COSO特别地指出公司经营所处的行业也是“影响《框架》的思想和法则如何得以最有效应用”的一个属性。行业的性质将会影响风险的性质，也会影响企业在管理这些风险时所采取的实践方法。例如，银行会比其他机构更侧重于管理市场风险和信用风险，因为承担这些风险是其经营模式的本质内容。制药公司则更侧重于管理研发流程，因为这是公司日后收益来源的生命线。而核能发电厂则会更侧重于管理合规方面的风险，因为这是关系到其名誉及日后生存能力的关键。然而，无论公司处于何种行业，COSO所界定的《框架》各组成部分仍然适用。

二十一：有些组织是否不需要实行企业风险管理？

每一个成功的企业都面临风险。COSO已经明确指出，企业风险管理是一个对风险与机遇做出响应的过程。不管在哪个行业，绝大多数企业的执行管理层都是关注投资和回报、机遇和利润、竞争优势和企业增长。这正是企业风险管理对企业成功至关重要的原因—它帮助经理们树立信心，帮助他们充分地了解本企业所面临的风险，帮助他们备妥管理这些风险所需的能力。

每一个成功的企业都会冒险。企业管理层所做出的每一个行动或不行动的抉择都影响着这个企业的风险特征。鉴于外部环境中因素错综复杂，如竞争、管制法规和其他影响因素，企业风险管理能帮助管理层培养起选择最佳赌注的独特技能，与其他竞争对手拉开差距。而当选择最佳赌注能力的提高后，反过来又会激发企业完善其猎寻机遇的行为。

每一个成功的企业都要对风险作出应对。企业管理层必须在不断变化的市场现实中进行经营。当他们根据企业的风险承受能力，把资源投入到最佳机遇中去时，必须对相应的风险和回报进行仔细地评估。他们必须满怀信心地让投资者和其他利益相关者相信：除了能在国际市场上日渐走向繁荣的同时，企业也正在行之有效地管理相伴而来的风险。根据《萨班斯－奥克斯利法案》的规定，上述措施似乎仍嫌不足，首席执行官与首席财务官作为核证官员，必须支持公开透明的汇报工作。针对这些风险和经营模式中的内在风险，作出应对，正是成功企业应有的作为。企业风险管理基础设施将有助于管理层和董事们更好地应对这些挑战。这个论断我们将在第23个问题中予以探讨，无论对上市公司，还有对私有企业，它都同样适用。

二十二：实施企业风险管理的法律法规要求有哪些？

虽然现在还并没有明确的法律法规规定，要求必须使用COSO的《企业风险管理-综合框架》，但是法律法规的最新发展动态已经营造了一个有益的环境，在这样的环境中，实施企业风险管理的企业能获得益处。COSO指出法律法规就像外部环境的其他决定因素一样，也会给企业的运营带来不确定性。

《萨班斯－奥克斯利法案》于2002年7月获得通过成为法律。自此以后直至本刊物付印之时，它一直是美国报界的新闻热点。尽管《法案》的焦点仅限于财务报告的可靠性，但是如果一个风险管理流程把识别企业主要风险，进而做出及时响应和披露作为关注的焦点，那么，我们坚信实施这样的流程将会大有裨益。美国还有一些其他的相关法案，如《美国爱国者法案》，规定要“了解客户”，包括了多项反洗钱的条例。《格雷姆-里奇-比利雷法案》规定金融机构须保护客户“非公开”信息的隐私。根据美国纽约证券交易所的上市规定，《审计委员会章程》必须要求审计委员会讨论有关风险评估和风险管理的各项政策。此外，美国纽约证券交易所还规定了一项内部审计职能，以期向公司管理层和审计委员会持续地提供有关风险管理流程和内控体系的评估报告。虽然上述各《法案》没有规定必须得进行企业风险管理，但企业风险管理的确有助于企业去达到上述各项法案的这些规定，借助某种基础设施和过程，促使企业更加重视保护和增加企业的价值除了美国以外，在德国，《公司控制和透明度准则》也要求大型公司要建立风险管理监督体系，并向股东们汇报风险控制的相关信息。在英国，凡在伦敦证券交易所上市和在英国注册成立的公司，也必须按照一套明确指定的公司治理准则（即《综合守则》，同时参照《特布尔报告》中的指导方法）向股东们报告上述信息。巴塞尔银行监管委员会颁布的新《巴塞尔资本协定》同样地规定金融机构要汇报运营风险。在这些国家，企业风险管理流程同样地也有助于企业达到这些要求。此外，类似于《萨班斯-奥克斯利法案》的法规条例在其他国家也陆续地出台。

二十三：私有企业和上市公司实施企业风险管理的标准是否不同？

COSO《框架》适用于所有企业，不管规模大小如何，也不管是上市公司还是私有公司。但在《框架》各部分的实际应用中，所用的方法可能会有所不同，随多种因素而变化，如企业的规模、运营目标、公司战略、企业结构、公司文化、管理风格、风险特征、所处行业、市场竞争环境以及财务实力等。

二十四：企业必须要在所有的风险管理环节都采取了先进的控制流程后才能获得益处吗?

COSO《框架》没有规定风险管理要达到的先进尖端程度。我们也没有必要对所有的风险都采取最先进高端的控制技术。几乎没有哪家企业能拥有可以这样做的资源，而且也没有令人心服口服的业务案例，表明曾经这样做过。风险管理的先进程度取决于两方面的因素：(a)企业面临的风险的性质，也就是说风险的复杂程度、不稳定性、涉及范围和估测的难易程度；(b)企业可能会采用的实际解决方案的准备就绪程度。在公司某一或某些风险领域中，当对希望达到的风险管理能力水平进行评估时，核心问题并不是要采用最先进的流程，最精干的人手，最尖端的技术和知识，而是要选择最合适的程序、人手、技术和相关专业知识。这是一项管理决策，而且这个决策应该在制定战略的大背景中做出。

针对每个风险或每组相关的风险，管理层都必须评估本企业管理这些风险的现行能力。也就是说，管理层必须确定要实现企业的风险管理目标，还需要增加多大风险管理能力。此外，管理层还必须得解决提高风险管理能力所引发的预期成本和利益的问题。最终目的是查明最急迫的风险因素和不确定因素，增加改进工作的针对性，让人力物力集中到风险管理基础设施的相应部分，以便能更有效地管理这些风险因素和不确定因素。