诸如新冠疫情之类的风险防范不利,可能会给组织发展造成巨大冲击,但风险与机遇是硬币的两面,组织可以被动防御风险,更可以主动出击,抓住风险中的机遇,创造新的价值。美国反虚假财务报告委员会下属的发起人委员会COSO的企业风险管理框架(《企业风险管理》2017年版),可以帮助组织达成使命、实现战略目标并服务于社会。
  

CMA

企业风险管理现状


      总体来看,企业风险管理(ERM)作为一门学科、一项业务流程是在不断改进的,但在战略应用中还不成熟。


      ERM实际上更多地是指企业声誉管理。因为不可预见的风险一旦发生,就会扰乱或者甚至可能摧毁企业业务,企业声誉和品牌将遭受重大打击。因此,积极、主动、有规律地管理风险,并将其与企业战略融合,不仅有助于预防不良事件的发生,还有助于减轻风险发生所造成的影响。


      ERM的价值主张是在发展与变化的。传统意义上的风险观更强调防御,即缓释风险、将风险管理到可接受的程度、消除风险、保护资产、保存价值,同时风险管理也可以 “主动进攻” ,借此创造新的价值和优化价值。


      近年来,由于内部控制和风险管理中存在的缺陷导致的某些重大事件,如大众汽车、富国银行等案例,颇受关注。今年3月份,万豪国际集团再度陷入数据泄露风波,声称其520万名客人的资料可能被泄露。这既是重大风险,也是重大违规,严重影响了万豪的声誉。


      良好的ERM实践不仅有助于预测和缓释风险,还有助于抓住机遇。道富环球投资管理公司认为,在公司领导层促进性别多样化,可以切实帮助他们降低投资组合的风险。因此,他们从优化投资组合角度来建立自己的竞争优势,而这也能引发客户对多样化和包容性的重视,尤其是对性别领域。由此可见,真正的机会不只是在被动防范中,还在于能够抓住机会并先发制人。
 

ERM与战略制定整合


      ERM框架并非孤立存在的,其与战略制定及执行不可分割。当ERM与战略制定整合在一起,组织就能更好地理解以下内容:
 

  • 在制定战略时,使命、愿景与核心价值是如何初步描绘出企业能承受的风险程度;
     

  • 企业战略和业务目标与其使命、愿景、核心价值不一致的可能性;
     

  • 组织在所选战略执行中可能暴露的风险类型与数量;
     

  • 执行战略和达成业务目标中需应对的风险类型与数量。

  •  

重点要看使命、愿景与核心价值这条金线。如何将其与风险、控制和战略联系起来?它们如何协同发挥作用?如何达成一致?如何以连贯的讲故事的方式,向客户全面传达企业使命、愿景、核心价值、战略及风险?如何与众多利益相关者包括股东、投资人、政府机构进行沟通?ERM可以解决这些问题,虽然其在风险识别、风险管理、风险总结方面具有技术优势,但同时ERM还有讲故事的元素,可以告诉我们风险如何与战略相结合,组织如何管理风险、把握机会,从而改进自身。

 

COSO-ERM框架或企业声誉管理框架 

 

COSO企业风险管理框架包括五大组成部分20项关键原则(如图1),各自发挥着举足轻重的作用,但又相互融合、彼此依存。

 

图1:ERM框架及原则 


 

“治理与文化”是COSO-ERM框架的出发点,也是“高层基调”,包括5项指导原则。在讨论良好的内部控制或优秀的企业风险管理之前,先要建立运营构架。董事会、运营构架、政策、计划、实践、文化和能力,都是组织的治理要素,也是对能力、对在内部控制和风险管理方面进行培训和学习的保证。从董事会和CEO层级所发出的有关风险和控制的内容,不只是针对财务和会计团队,也针对整个业务团队。董事会的独立性对于有效实施ERM是至关重要的,在某种程度上,这是一种职责分离或职能分工,即董事会以独立、结构化和系统化的方式监督CEO和管理团队。
   
      “战略与目标设定”要求将风险和风险管理置于更为广泛的战略背景下进行考量,其包含的4项指导原则同样是基于业务环境的。


      这其中,明确企业战略极为重要。战略越清晰,员工就会越团结、越有动力,董事会也就越清楚企业战略以及战略背后的原由。并且,这么做也有利于进行更好的沟通。


      此外,环境扫描也很关键(见图2),可使用PESTEL分析模型,对政治、经济、社会、技术、法律和环境方面的外部风险因素进行分析。同时,也需要对内部环境因素如进行资本、人力、流程和技术等进行分析。环境扫描之后再建立全面战略,再之后才是具体的风险、风险影响、风险概率、热点图之类的分析。环境扫描还有助于组织与外界进行更为广泛而全面的沟通。


      图2:环境扫描


 

“绩效”是风险管理的核心内容,是应用多方面技术来识别、评估、应对风险,建立投资风险组合观,也是传统风险管理发挥作用的地方。其5项指导原则分别用于识别风险、进行沟通(不仅是财务和会计方面的沟通,还是与董事会及在管理团队内部进行更为广泛的沟通)、评估风险的严重性、发生概率、选择风险应对措施等。


      其中关键要点是建立风险组合观(见图3),这不仅要有独立业务或部门的风险观,也有整合的、显示风险相互作用的风险观。


      需注意的是,在建立风险组合观的同时,还需要在更详细的层面考虑风险,比如资金缺口风险、违规风险、产品风险等,并最终形成整体的战略观。例如销售团队所做的决策或选择,就客户层面而言,可能会对风险组合产生巨大的影响。


      图3:建立风险组合观


 

“审查与修订”要求将业务绩效评估和风险审查落实到企业的日常运营中。数字化、区块链、机器人流程自动化等技术的快速发展,导致业务环境迅速变化,风险和控制也随之发生变化,因此,我们必须持续监控环境,及时更新战略、目标、风险和控制。同时,企业需要持续改进风险管理水平,要通过不断学习、不断回顾流程,确保我们对风险和控制有最新的认知。


      因此,业务绩效评估和风险审查需要成为企业日常运营的一部分,而不只限于财务和会计领域。需要注意的是,财务和会计人士习惯于从合规角度来看风险和控制,这对维护组织声誉是非常重要的,但这里所说的不只是合规和保值,而是价值创造,是风险审查与业务实践的结合。


     “信息、沟通与报告”则是通过信息披露来与各利益相关者有效沟通,积极维护并提升组织声誉。组织借助信息和技术,与多方利益相关者进行沟通,表明其正积极地了解业务环境,并财务措施保护、维护及提升自己的声誉。


      有很多数据源(包括结构化和非结构化数据)可以用于沟通、做出最佳决策,这就是数据分析发挥作用、走向前台的地方。从图4可以看到,既有结构化数据源用于沟通和外延展开的例子,也包括元数据、社交媒体和博客在内的非结构化行为类型数据。


      图4:查找和利用所有可用数据源做出最佳决策


 

从消费者、客户和合作伙伴对企业产品与服务评价的角度来看,反馈很可能会演变成一项风险。你可能认为自己已在非常积极地应对新冠疫情,但那些你认为能够很好地体现企业社会责任感的举措,有可能被一篇博客、一篇社交媒体帖子贬低甚至破坏。因此,需要积极管理结构化和非结构化数据,将其纳入ERM框架。
 

总结
 

COSO-ERM框架的五个组成部分及其对应的20项指导原则,可以帮助我们更好地预测(非完全预测)和管理自然灾害或突发性灾难事件:


      治理与文化:管理自然灾害或其他破坏性事件时,你是否已有成文的计划,包括危机管理计划、业务连续性计划等?是否会定期更新这些计划和政策?


      战略与目标设定:在战略制定过程中,你是否进行了全面的“环境扫描”,包括可能发生的自然灾害?


      绩效:如果发生灾难性事件,你的风险矩阵是否能确定相应风险的等级并采取必要处理措施,最大程度地降低对投资组合(如危机管理计划和业务连续性计划)的影响?


      审查与修订:你是否定期评估内外部环境变化及其对风险管理、内部控制和业务流程的影响?


      信息、沟通与报告:你是否有将风险情况定期传递给多方利益相关者的流程,特别是那些对实现战略目标而言是重大甚至灾难性的风险?


      最后,为保护和提升公司的声誉与品牌,你是否以灵活、适应性强、可预期的方式,定期、全面和主动地讨论风险组合?


      COSO-ERM框架可以让组织在管理破坏性事件或突发事件时,更具预测性、灵活性和适应性,从而协助组织实现其战略目标,充满信心地发展(控制下的可持续发展).