悦众思考:你的企业离破产或许只有18个月!
一、什么是风险管理?
风险是指因为不确定性而使企业产生损失的可能性,它包括了风险、危险及危机,其严重程度在不断加大,很多小风险都有可能长成大危机。为了有效地控制不确定性(随时可能的变异),减少或避免损失的产生,我们需要进行风险管理。企业由人组成,会进行经营活动,有活动就可能产生错误(失误)或达不成预期的目标,损失就可能发生,所以我们要制定流程、制度对每一个活动过程进行控制以使预期的目标达成或将损失控制在合理的范围内,这就是我们通常所说的风险管理(或称作内部控制)。
二、不容置疑的风险管理的重要性、必要性
未按期达成企业战略规划目标,原因可能是多方面的,如市场判断的失误、组织变革的失误及人力资源的缺乏等等,但有一点可以肯定:就是产生了损失,这种损失有时很小无关痛痒,有时会很大,尤其是战略方向发生错误,对一个企业来讲就可能是灾难性的,象柯达、摩托罗拉、诺基亚等曾经的行业巨头都是战略决策失误才造成今天的局面,尽管当时它们的战略规划可能做得十分完善,但实实在在的风险已经产生了,而且变成了一场企业危机,当初企业的领导者可能根本没有意识到这些或大或小的风险不经意间就长成了巨大的危机。
柯达是第一个发明胶卷及胶卷照相机的企业,曾经做到相机及胶卷企业领导者。柯达不是不知道电子数码时代的到来,而且在1975年就研发出第一台电子数码相机。但柯达按而不发,因为担心电子数码相机出现会冲击现有的胶卷相机市场,这是明显的战略定位滞后和错误,被SONY和佳能抢到先机,结果是电子数码相机迅速占领市场,柯达在2013年5月申请破产。而曾经风光一时的电子巨头SONY公司则也多次战略方向判断失误,当大家都把目光转移到闪存时,SONY仍在加大背投电视和卡带式、碟片式摄象机的研发和市场投放,加上僵化的终身制和绩效主义,无法做到组织人力资源与战略有效匹配,2015年3月,SONY公司正式向日本政府申请破产。
摩托罗拉早在1990年提出铱星计划,拟在全球发送66颗卫星并配用摩托罗拉铱星手机,在当时摩托罗拉确实拥有全球最先进的通讯技术,而且这个计划得到美国政府资助,并开启个人卫星通信的新时代。但这个计划显然没有进行风险预测,在市场战略和人力资源战略上出现重大失误,两年内也只售出1万多部手机,手机个头笨重、运行不稳,且价格昂贵得被戏称为贵族手机。而芬兰的诺机亚则利用自身先进技术迅速占领市场,连续14年位居全球手机市场份额第一。而诺基亚在市场老大位置上沾沾自喜时,对3G智能手机时代到来却反应迟钝,不仅拒绝使用谷歌安卓系统、固守塞班系统,而且漠视市场消费者需求,设计理念落后,组织僵化,官僚主义盛行,结果在2013年9月诺基亚手机业务以约71.7亿美元价格被微软收购,2016年5月微软又以3.5亿美元将手机业务卖给了富士康企业集团。
风险管理的目的之一就是列出战略目标失误及损失的可能性,并提前预计损失发生的可能性和重大性,以及通过风险计算与评估来决定是否需要进行控制或进行何种程度的控制。它其实是种预防机制,这些在企业病发之前采取的措施,相比于企业发病之后的治疗在当时可能显得无足轻重,相比于企业已危机重重、逼近死亡更是微不足道,但这些预防措施真的可以让一个企业基业长青、青春永驻。这些预防机制可能会针对某些企业亚健康症状做大量的数据分析和评估,对重大的风险症状实施预防措施或制定应急预案,也可能会影响企业决策者或管理者的思维过程,但风险管理本身与做不做决策及如何做决策没有相关性。
三、什么是COSO风险管理体系?
该体系的诞生是因为大量美国上市公司做假帐,内部控制人、职业经理损害股东和股民的利益,但随后风险管理体系覆盖了企业经营的整个层面,包括整个企业(集团)管控。2001年年底,美国安然、世通、施乐、默克制药等一批大公司会计弄虚作假曝光,诚信危机震撼着美国及国际社会,到2002年7月,美国政府不得不颁布《萨班斯—奥克斯利法案》,要求美国上市公司必须建立风险管理体系即内控体系。从COSO风控体系八大从内部环境到监督要素如图1可以看出,内控体系已涉及到经营活动的方方面面,初期的目标制定只与财务风险相关,主要还是控制财务风险目标达成:如资金(包括现金流与收支)管理风险、会计与报告风险、担保风险、税务风险、资本结构风险等
COSO体系发展到今天,它远远不止是控制财务弄虚作假这一个方面,而是控制企业方方面面的活动与风险,如战略风险、市场风险、运营风险、财务风险、合规风险(包括法律风险与监督管理风险)等,以上只是风险分类中的大项即我们给企业定义的一级风险。我们在给企业做风险管理体系咨询项目时首先会在企业所有经营活动中去发现与识别风险事项,从一级风险到二级风险再到三级风险,由大到小再到细,如借款与收款风险就是财务风险(二级)中资金管理风险(一级)中的三级风险,这类第三级风险几乎存在于所有经营细节活动中,所有完不成岗位业绩目标和对战略目标落地造成阻碍、可能造成企业损失的都属于风险。然后我们会建立风险评估矩阵对各类各级风险从重大性和可能性两个维度进行评估,将评估出的重大风险列入重大风险管理清单,建立专项方案措施进行控制,对已可能构成危险和危机的项目建立应急预案进行管理,对一般风险建立各类流程制度进行活动控制和管理,以防止出现重大风险或一般风险长大成重大风险。
如图2,是企业在战略经营活动中对COSO风险管理框架的进一步细化。从图中可以看出,企业在战略形成的初期就引入了风险管理,这是企业战略方向与定位正确的基本保证,战略方向或定位错误是根本性的风险,我称之为战略风险,许多中国的大企业乃至世界500强大企业在历史长河中昙花一现大部分是输在战略定位错误上,还有一部分是因为现金流(资金链)断裂造成,我们归结为财务风险。战略定位正确也不等于战略就可以实现,从战略目标的形成、组织与资源的匹配及战略的执行落地都伴随着风险管理体系的建立和实施,以确保战略及战略目标在各个阶段的落地与实现。
我们在帮助众多企业建立风险管理体系就是基于战略制定与实施过程进行的,具体建立步骤如图3,它是我们在企业建立风险管理体系的基本流程,红色字体部分是我们管理咨询项目中输出的书面(电子)文件成果,包括风险管理手册、各层级各职能部门流程、制度及表格,它应该与企业实际经营活动完全一致,写其所做(标准化),做其所写(贯彻执行),并且以战略目标为主线,以客户等相关方满意为导向。这些书面(电子)文件体系在企业经营活动中会随着外部环境、内部环境变化、战略调整及风险体系改进而不断修订。风险数据库、第三级流程与制度在企业经营过程中基本每个月都在调整与修订,而当内外部环境变化或战略目标变化时,也会重新整个风险管理体系进行风险识别与评估,对重大风险清单、风险地图、第一、二级流程与制度、风险管理手册进行修订,每年相应职能部门(如风险管理部门)会对整个风险管理体系进行审计与测试、对企业风险重新进行识别、评估与修订,统计已发生的风险与评估损失(尤其是战略目标与业绩指标未能达成产生的损失评估分析),记入风险数据库,并作为风险体系评估与调整的依据之一。
四、风险管理为战略的实现提供一种保证机制
风险管理之成本管理,有时开发一套基于风险管理的高级IT信息系统可能成本会很高,如银行信息管理系统成本就很高,中国许多小的地方银行只能采用低版本低级别的信息系统,尽管银行的风险管理体系可能不是基于COSO框架而是依据巴塞尔协议制定,但制定方法与步骤基本相同。每一个企业在引进IT信息系统、建立风险管理体系和进行风险控制时,会衡量可能的损失和控制成本之间的大小与利弊(有时可能很难精确估计风险控制成本与可能损失多少,但准确比较大小是可以实现的),对内选择或简或繁的流程和方法,对外撑控市场的变化,以效率、工作目标达成与已发生价值损失(与价值贡献成反比)的大小作为风险管理绩效衡量指标和我们日常工作业绩指标,以便使风险管理更务实高效,而不是产生类似我国许多上市企业风险管理一套制度另一套做法的流弊,很难让风险管理形成强大的核心竞争力。
美国上市企业之所以强大,一个很重要的原因是有完善的风险管理体系(内控体系),并成为他们核心竞争力的一部分。针对外部环境,它撑控外部产业、国家政策、市场(份额、竞争对手与利益相关者等)、外部资源等情况的瞬息万变,评估可能存在的风险大小、战略失误可能性及损失可能性,及时调整战略目标、业务目标及新产品开发状态;针对内部环境,撑控组织、各类资源及活动可能存在的风险及变化情况,及时做出反应与调整,确保内部业绩指标和分解战略目标的实施与达成,从而保证公司整体战略目标的落地和达成。
读过“华为的冬天”这篇文章后,我们会发现华为总裁在华为发展十分良好的情况下,仍在思考“如果有一天,公司销售额下滑、利润下滑甚至会破产,我们怎么办?”,这种居安思危的思维实在难能可贵,他认为企业太平时间太长和官升得太多都可能是企业的灾难,而且相信这一冬天终会到来,这其实是给华为众多决策和管理者提出了风险警钟。我个人认为华为能成长得如此快速与顺利,与其领导者的危机(风险)意识有较大关系。
比尔盖茨声称:“微软离破产永远只有18个月之遥!”这可不是危言耸听,而是他对于信息革命冲击下的商业竞争本质的深切体会,有了这种意识就会采取行动避免这种危机的发生。
李嘉诚则讲了一个比喻,一个机械手表,只要其中一个齿轮有一点毛病,这个表整体就会停转。一家公司也是如此,一个部门或机构只要有一个弱点,就可能失败。了解细节,经常能在事前防御危机的发生。所以他会不停研究每个项目可能发生坏情况下出现的问题,用90%时间考虑失败,并为可能的失败采取一定措施。
这种例子可能会很多,从中我们可以发现一个共同的特点:现代许多优秀的企业尤其是行业的领导者都非常重视风险管理,并且让危机(风险)思考与管理成为他们日常的工作内容。现在我们再来看开始的观点与提法,风险管理确实会产生成本,但它会针对风险即损失可能性大小采取控制策略与适当措施,绝不会让控制成本超过而是远远低于可能的损失。另外风险管理也不是限制和阻碍战略的制定与战略目标的达成,而是为战略的实现提供一种保证机制,其目的是趋吉避凶,趋利避害,尽可能使企业的战略方向保持正确并且可以顺利实现。