国际企业风险管理考验
来源:用户上传
作者: 艺阳
金融危机暴露了很多企业信息技术基础设施对财务风险管理的支持不足的弱点。构建更加有效的信息系统需要在财力和人力资源上的巨大投入,这对企业风险管理水平的持续提升将起到重要的支持作用。
企业从诞生的那一刻开始,向前发展的每一步都伴随着风险。有些幸运的企业在与风险博弈的过程中成长起来,学会了管理风险;而另一些不幸的企业由于对所面临或可能面临的风险缺乏足够的重视,或没有足够的风险应对能力,在风险发生作用的时候被彻底摧毁。
危机的检验
经历了全球金融危机的企业无不对风险管理越来越重视。很多企业力图寻找风险管理中的标杆作法,包括目标、职责、组织结构和实施工具。
德勤2008年发布的风险管理调查报告显示,来自北美、南美和欧洲的各行业共151家企业对风险管理的关注度较之前年度明显增加。超过一半的企业都已经在两年前制定了风险管理程序,但多数风险管理程序还处于发展的初级阶段;法规和监管机构的要求是风险管理工作的最关键推手。这个特点在风险管理刚起步还没有充分认识风险管理对价值创造作用的企业中,表现得非常明显。在这些企业里,最积极推进风险管理工作的是董事会和审计委员会,其次是内审部门,再次是高管。由于价值创造与高管们的薪酬更相关,他们对价值创造的兴趣大于对现有资产保护。那些声称本企业风险管理工作做得好的企业集中在行业监管比较严格的电信业和制药业;不少企业不理解风险管理的概念,纠结于如何定义风险术语、设定风险管理程序,如何启动相关工作,以及如何证明风险管理的价值。高管们很想看到风险管理的价值所在,但问题是,通常只有在遇到大灾大难时,风险管理的价值才会显现。
识别和报告风险并建立一套风险治理架构似乎是企业风险管理的主要目标,降低风险、保护股东价值,降低灾难发生的概率等反而排名靠后。对于将风险管理措施整合进核心运营流程、风险的互相作用及机会方面的措施,企业很少关注到;在一些与未来企业发展相关的重大决策中,诸如项目管理授权、战略计划制订、收购和兼并、资源配置及绩效管理等核心业务流程中,并未充分考虑风险。
风险管理最大的挑战是人们不理解风险管理的益处,很多企业实施风险管理项目是为了满足监管的要求,而不是真正认识到风险管理的好处而自发地进行。也很难找到真实案例来参考。多数参与调查者不认为本企业已经准备好,可以从容应对灾难性风险。
目前典型的风险管理程序都聚焦在威胁现有资产的风险上,忽视了与未来发展相关的风险。这些风险管理措施集中在处理财务报告风险,合规风险及运营风险上,如业务持续、日常经营、存货、资金、保险等。这些是风险管理的传统维度当然很重要,然而,仅仅关注这些风险是不够的,企业还应更关注那些能够有助于未来发展的有回报的风险(或称为机会),如开发新产品、进入新市场、企业合并等。
欧美企业现状
欧洲企业在风险管理方面领先于美国企业,欧洲的治理规则已经建立十几年了,这些规则对于风险管理范围有个广泛的定义:风险管理包括战略、运营、财务及合规等目标。那些声称自己能够较好管理风险的欧洲企业至少在两年前就已经形成了一套成熟的方法,包括任命某一高管承担风险管理职责,将风险管理设置为一项独立的职能,保障风险管理流程正常运转等。这样的差距与监管要求有直接关系,在欧洲强势的监管机构早就接受了风险管理的观念,风险管理监管标准的影响非常深远,加速了企业实施风险管理进度,甚至一些私人企业、非盈利性组织也积极开展风险管理工作。一旦他们遵循了监管法规,就成为欧洲企业将风险管理发展为价值创造的驱动力。这是风险管理成熟的标志之一。
在美国,企业实施风险管理的最主要动力是找到一个逻辑性、全面及有效的方法来应对日益高涨的成本、复杂的多重监管等情况。要达到将风险管理框架中的信息用于战略决策,美国企业还需要时间。多数风险管理不成熟的企业把注意力集中在控制风险来保护现有资产,而非管理风险帮助企业创造价值。
优秀企业越来越重视风险管理,越来越多的企业设置首席风险官(CRO)职位,该职位直接向董事会负责。与此同时,外部利益相关者对于企业风险管理的水平也越来越关注。评级机构会将风险管理能力和水平作为评级的重要参考依据;资本市场监管规则要求上市公司披露风险管理相关信息,这些信息可能包括在险价值、压力测试、敏感性测试和反馈测试等各种尽量量化的风险信息;全球范围内主流经济体的大学里也已经设定了专门的风险管理课程;对风险管理技能的培训也日渐普及。
金融企业实务
SSG(Senior Supervisors Group)曾提出,风险管理和内部控制的不足导致一些金融行业的企业在金融危机中遭遇困境,并于2008年3月发布报告提出了加强风险管理的建议,包括:有效的贯穿整个公司的风险识别和分析工作;持续进行独立、严格的评估工作;有效管理债券流动性、资金及资产负债表项目;及时有效地编制风险管理报告。在结构复杂的大型企业中做这些工作需要相当大的投入,显然这些企业投入不足。
如今,两年多的时间过去了’SSG发现很多企业并未从根本上解决问题。原因可部分归结于投入(包括财务和技术的)不足和企业结构的复杂性。
监管机构认为,大量的关于治理、激励、内部控制及机构调整的工作尚待开展。尤其是那些与机构调整相关的工作,更加耗时费力。调整工作若想成功进行,企业自始至终的努力实践和监管机构的持续监管二者缺一不可。
金融行业的很多企业在激励和控制上的措施是失败的,主要表现在治理上,如:董事会和高管没有意愿也没有能力评价和管理风险,将其控制在企业可以接受的水平;工作安排不考虑风险管理和控制人员的独立性,而有利于风险接受者;薪酬计划与企业的控制目标冲突;不完整的风险管理组织结构阻碍风险识别和计量的有效进行。
一些企业的高管认为治理方面关键的缺陷是企业承担的风险和董事会认为的企业将承担的风险不一致。监管机构认为,董事会没有积极参与企业风险偏好的设定工作,而董事会积极参与企业风险容忍度的确定是很关键的,因为这能够确保企业因承担了额外的风险而面对未来市场压力时,与可能遭遇的后果是一致的。
在企业里,收入创造者的地位和影响明显高于风险管理和控制职能。为了强化风险管理,所有接受访谈的企业都加强了风险管理职能的权威性并增投了资源。不过,企业在设立必要的风险管理组织结构和实施管理信息系统(MIS)上面临巨大的挑战。
此外,风险和回报间的失衡还表现在实现报酬的方式上。各企业的董事会公认,行业报酬实现是出于吸引和保留人才考虑,并未与企业的控制环境整合在一起,如实施的薪酬方案偏向于收入最大化,而对风险不够敏感。一些企业在考虑改革它们的薪酬体制,包括奖金在不同业务单元和个人间的分配方案及薪酬支付方式,以使得薪酬政策更加贴合企业的控制目标。
尽管企业声称它们加强了压力测试,将风险传达到高管和董事会。管理层非常支持加强压力测试工作。但监管机构注意到,虽然已经努力,但大多数企业仍然没有能力做到很容易地实施常规的全面的贯穿企业的压力测试,其能力仍然有待提高。
总的说来,金融危机暴露了很多企业信息技术基础设施对财务风险管理的支持不足的弱点。比如由于企业的兼并、收购导致的数据整合不够,成为提升风险管理工作的障碍构建更加有效的信息系统需要在财力和人力资源上的巨大投入,长期来看,这对企业风险管理水平的持续提升将起到重要的支持作用。
转载注明来源:https://www.xzbu.com/3/view-760191.htm