从新冠疫情看企业风险管理的重要性
2021-04-28马成龙
马成龙
2020年突如其来的新冠肺炎疫情全球肆虐,这场疫情几乎是1929年大萧条以来全球面对的最大 “黑天鹅”事件,它正在深度改变全球政治与经济秩序,尤其对全球各国企业冲击极为严重。面对新冠疫情冲击,部分企业显得束手无策,带给企业生产经营管理难以挽救的致命打击。在全球经济一体化深入发展的今天,随着国际化发展步伐的加速,企业面临的营商环境越发复杂,风险越来越多,企业若想保持竞争的主动地位,科学化的企业管理必不可少,全面化、体系化的风险管理已经成为企业生存与发展的必然要求。
一、如何理解企业风险管理
风险,是指未来的不确定性对组织目标的影响,当然,影响可能是负面的,也可能是正面的。企业风险管理,是指在企业实施一套完整的全面风险管理框架,建立和完善企业风险管理运行机制,实施一整套风险管理过程,科学地、系统地、全面地管理企业经营管理中的各种风险,规避或降低风险对企业经营目标的负面影响。
企业经营管理中面临的风险可以分为五大类,分别是战略风险、市场风险、运营风险、财务风险、法律风险。因每种风险都有其不同的成因,不同的表现形式,只有抓住每种风险的特点,系统地剖析风险源与风险原因,有针对性地采取相应管控措施,才能有效开展风险应对。
二、如何有效实施企业全面风险管理
新冠疫情引发的全球经济危机是黑天鹅级别的,虽然任何常规的压力测试都无法预见会出现如此供给侧、需求侧和信心侧急性休克的情形,但对企业来说,我们需要建立一套以企业价值观为指引的企业治理架构和全面风险管理框架,努力提高企业核心竞争力,当疫情“黑天鹅”来临时,这套风险管理运行机制能保证企业的生命力。在全面风险管理的框架下,企业需要专注于对未来的各种可能性做出情景分析,对不同可能性带来的后果做出多维度的风险评估,制定各种应对的预案,这样才能更加主动地应对“黑天鹅”的突然打击。
1.企业全面风险管理组织保障。企业全面风险管理组织架构的设计没有固定模式,企业应综合分析其所处的经济形势、市场状态、行业特点等外部环境,结合企业自身发展情况,构建企业风险管理组织架构,并依据外部环境的变化和企业发展变化,适时调整优化企业风险管理组织框架。风险管理组织架构设计然虽没有固定模式,但组织架构设计与变革的基本理论是可以借鉴的。组织架构设计与变革应该解决好四个结构,分别是职能结构、层次结构、部门结构、职权结构。企业风险管理的运行需要多项职能共同发挥作用,在风险管理组织架构设计时应确定需要哪些职能,确定各职能间的比例与相互之间的关系,这是职能结构。风险管理组织架构在纵向上需要设置几个管理层级,各管理层级的构成是层级结构。风险管理组织架构在横向上要包含哪些部门,管理部门的构成是部门结构。风险管理组织架构在各层级、各部门之间权力和责任的划分、以及各层级、各部门之间的相互关系,这是职权结构。不论企业如何设计风险管理组织架构,企业风险管理有序、高效地运行,能够助力企业的快速发展,便是最佳管理模式。
2.企业全面风险管理体系保障。成功企业的管理离不开制度保障,风险管理也不例外。风险管理能有序、高效地运行,企业必须有一套健全的、以风险管理为引领的内部控制体系,并能被规范地执行。以风险管理为引领的内部控制体系是企业风险管理工作的基础,它是企业各项业务运转和风险控制的标准和规范。企业在生产经营管理中,能否科学地、全面地管理风险,能否调动职工的积极性和创造性,提高企业的经济效益,内部控制体系是关键。企业内部控制体系是企业内部规范性文件,具有规范性、严肃性、权威性、强制性的特点,是企业所有员工必须遵守的行为准则,是企业的“法律”。以风险为引领的内部控制体系在编制时,应充分考虑企业经营管理、生产科研、销售服务等各项活动的特点,按照企业经营管理的需求程度和管理条件等实际情况,分轻重缓急,逐步健全和完善。企业内部控制体系应包括基本规章制度、业务准则规定、技术规范操作细则等基础性内容。企业内部控制体系可以分为制度、规定、操作细则三个层次,统一构成以风险为引领的内部控制体系。企业内部控制体系就像一棵大树,有根、有干、有枝,层次分明,脉络清晰。然而,设计得再完美的内部控制体系,如果不能执行也是一纸空文,企业制度贵在执行。
3.企业全面风险管理实施程序。在企业实施一整套风险管理过程,实施包括风险识别、风险分析、风险评估、风险应对、监督与评价五大方面一整套风险管理环节与程序,企业只有真正落实全面风险管理,才能有效提升应对“黑天鹅”事件的能力。企业在开展风险管理的过程中,应遵守风险管理框架及内部控制体系的要求,明确各部门的职责分工,统一风险管理语言和标准,确定风险定义、风险评估标准、风险应对原则及策略、风险汇报路径等内容。企业通过实施风险管理过程,来保证风险管理能够嵌入到企业的各层级、各管理环节、业务过程和决策中,持续跟踪风险变化,通过内部控制检查评价以及绩效考核等监督手段,提升风险管理实效,对企业面临的各类风险进行有效管控。
风险识别是风险评估的起点,纵观风险管理过程,风险识别是关键。企业不能识别风险就是企业最大的风险,不无道理。风险识别的方法很多,比如风险调查举例、分解分析法、事件树分析法、生产流程分析法、头脑风暴法等等。近年来,借助科技手段的风险识别与分析被越来越多的大型企业所采用。
科技赋予企业管理的提升,具备条件的大型高科技企业或金融企业可以借助科技力量进行风险识别,如云计算、大数据、人工智能、区块链和API等前沿领域。借助科技识别与传统人工相比带来新特征:一是更加敏捷化,能够充分利用云计算技术,实现数以万计的风险点快速查找、筛查与甄别。二是更加实时化,能够实时监控各种指标数据,及时生成报告和解决方案;提高风险识别和处置能力,及时处理风险事件,提高事中监管的效率。三是更加智能化,高效快速地识别风险,比对政府及行业监管要求,智能掌握监管尺度,制定合规要求。四是更加数字化,新技术的應用实现了报告数字化和合规流程自动化,能够快速收集和分析处理复杂的数据。
风险识别与风险分析后,就需要对识别出的风险进行有效管理和应对。企业风险评估不是目的,风险应对才是重中之重。在风险应对阶段,企业应根据风险管理策略,针对每一项重大风险制定风险管理应对方案。方案一般应包括风险应对的具体目标,所需的组织领导,所涉及的管理及业务流程,风险事件发生前、中、后所采取的具体应对措施。企业制定风险管理应对方案,坚持风险管理策略与企业战略目标相一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,把关键环节作为控制点,采取相应的控制措施,全面系统地管理风险。
企业在实施全面风险管理的过程中,还应建立重大风险预警制度。对重大风险进行持续不断地监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施。在新冠疫情影响下,企业应及时对未来的各种可能性做出情景分析,然后对不同可能性带来的后果做出仔细、详尽、多维度地评估,准备好各种应对的预案,有序应对“黑天鹅”事件。
三、企业全面风险管理持续改进与优化
随着企业所处政治、经济、市场等外部环境的变化,以及企业自身所处不同的发展时期,企业风险管理需要不断持续改进与优化。企业风险管理同样适用PDCA循环管理模型,即从风险管理框架设计、实施风险管理、风险管理框架的监测与评审、到风险管理框架的持续改进的整套运行与优化过程。
风险管理框架优化基于公司治理结构。公司治理体系是企业全面风险管理的基础,企业风险管理战略应与企业发展战略相一致。企业发展战略由公司董事会决定,董事会又是企业风险管理第一责任人,因此,企业可以建立相互独立的、垂直管理的风险管理组织架构,便于企业风险管理策略纵向上能自上而下地、一贯地被执行,保证风险管理的独立性与权威性。风险管理横向上全面嵌入业务流程,保证业务部门能及时识别风险、管理风险。企业不断优化与实施“横向到边、纵向到底”的全面风险管理框架,防范和化解企业经营管理中发生的各种风险,保障企业快速、健康、可持续发展。
四、企业全面风险管理展望
近年来,基于风险视角的现代企业管理理念如火如荼。2017年美国COSO委员会颁布的新版《企业风险管理框架》(COSO-ERM)更是提出了新的管理思路,较旧版风险管理框架有了颠覆性的变化,新的COSO框架强调:“组织在创造、保持和实现价值的过程中,结合战略制定和执行,来进行管理风险的能力和实践”,并声称框架不仅适用于企业,而且适用于政府及非盈利机构。
现代企业风险管理不再是侧重防止对企业价值的侵蚀和降低负面风险,而是应被视为企业的战略设定,要求企业抓住机遇、创造和保持组织价值。现代企业風险管理是企业动态管理组织整个价值链的一环,企业管理要与时俱进,以一种全新的现代企业管理视角来面对企业全面风险管理。
新的风险管理理念要求企业风险管理应从企业的使命和核心价值出发,将风险管理定位为提升企业的价值和绩效的手段,强调风险管理嵌入企业核心价值链,将风险管理工作从“一个流程或程序”提升到了“一种能力和实践、一种企业管理文化”,满足企业更高层次的需求,逐渐形成以风险管理为引领的、创新的、开拓进取的现代企业文化。
(作者单位:中海石油(中国)有限公司天津分公司)