【領教陪伴】張志強:構建風險管理體系,在不確定性中活久活好

語言: CN / TW / HK
時間 2022-09-26 12:03:59

大部分甚至90%以上的企業倒下都是因為風險管控的缺位。相信在風雲突變的當下,企業風險管理對每一家企業而言意義都非同尋常。然而,你是否瞭解自己企業的風險,一旦危機出現該如何應對,有沒有一套邏輯、方法、體系讓自己的企業能在激烈的競爭中活好、活久?

正文字數丨 4504

預計閲讀丨  7 分鐘

關於企業風險管理,我爭取把三個相關問題做一些結構性的介紹:

1. 企業風險管理的作用以及核心邏輯是什麼?

2. 企業風險管理由誰負責,是一把手、團隊還是其他人?

3. 企業風險管理如何落地?

其實,人患病就是一種潛在的生命風險。我們做年度體檢、吃藥、鍛鍊身體就是為了減少死亡風險。企業也一樣,風險管理的首要步驟就是“體檢”以瞭解企業的體質狀況,減少企業風險發生的概率,將風險發生時的損失降下來。當然,做企業就一定會有風險,這並不意味着冒險的決策就不能做了。

企業風險管理的作用在於如何防範,通過建立一套風險管控體制,明確企業的強項、弱項,實施有效的管理,這在不確定風險極大的當下,尤其重要。“人無我有”,你的競爭對手因風險管控不到位而倒下,你就自動變得更強大;“人有我優”,有的放矢,強化鍛鍊,你在競爭中就能走得更健康、更好、更遠。

所以,我這裏介紹的更多是一套企業風險管控的方式、方法——“體檢”“診斷”“開方”“防病、治病”——避免弱項,儘量減少企業潛在風險;增強體質,提高企業免疫力;量化措施,防患於未然。

▲張志強領教在領教工坊私董會小組做分享

INSPIRE 

THE BEST

01

企業風險管理體系的核心邏輯

過去幾年,我們看到很多企業倒了,可以説絕大部分甚至是90%以上的企業都是死在缺乏風險管理上。企業的風險管理體系就是確定未來的不確定性,即在不確定性的環境下,儘量把不確定的事情確定下來。

風險管理幾乎是所有上市公司和董事會最主要的功能之一,也是法律要求的功能之一。如果企業沒有建立一個相對清晰的風險管理體制,董事會是失職的。同時,企業風險管理是一個常態化的工作,每年從董事會到各個部門都一定會做。

我把企業風險的類型基本上歸為六大類: 戰略、財務、市場、運營、管理、政府和環保。 值得注意的是,這一分類並不是絕對的,每個企業和行業的情況不一樣,分類也可以不同, 關鍵是如何去界定風險,發現風險並建立應對措施。

企業 戰略風險 更多的是關於企業的定位,包括行業選擇、戰略決策等。

比如,服裝、手機、白電產品等門檻低的行業,核心競爭點在於價格,在同質競爭的情況下前三名之外的企業基本是沒有長期盈利能力的。所以,一旦進入這些行業,就要意識到怎麼避開風險問題。你要建立更強的相對競爭力,躋進行業前三。

但是,貿然進入新行業也是有風險的,比如尼桑、本田、豐田等非常優秀的日企在戰略選擇時都犯了一個錯誤——選擇插電和氫電模式,結果今天全世界車企基本上走的是純電模式,它們的未來生存競爭就有很大的風險。

可見,行業永遠是圍城,不在其中是不瞭解具體的風險點的。當然,行業沒有絕對的好壞之分,雖然有些企業在行業細分領域也能長期盈利,但是行業的力量比任何一個企業在其中的力量要大得多。

市場風險就是競爭對手、市場、客户等變化帶來的風險,如大客户風險、獨家代理風險、競爭對手惡意攻擊等。

作為一個企業家,如果你不知道危機突然從哪冒出來,就會出現羊毛出在豬身上的事。今天幾乎沒有人看報紙,再強,再偉大的報紙基本上也活不下來。諾基亞的塞班系統無法跟iOS系統競爭,結果節節敗退,幾年之內丟掉了世界第一的位置。應對市場風險需要專門有一部分人,花時間去真正打開思維,尤其是在今天的數字化背景之下,降維打擊將會是全方位的,給業務帶來的衝擊方式更不一樣。

運營風險屬於生產、供應鏈等方面的企業內部風險,包括產品出現重大的質量問題,專利、技術、產品設計等保護不好,新產品開發落後市場,IT系統落後、遭遇黑客襲擊等。一旦危機出現,你有沒有一套成熟的應對機制能馬上啟動,有沒有一系列備案能馬上用於解決問題,很快幫助企業化解、應對。

常見的 管理風險 包括公司沒有明確的願景,戰略和文化;核心競爭力喪失;人才培養不滿足業務發展需求;管理體制不健全;合規及貪腐;關鍵技術人員離職等。

要注意,風險管控是一定要量化的。比如,如何量化解決“人才不能滿足企業發展”的管理風險?假如企業的銷售額要在五年內增長三倍,那麼與之相匹配的人才需要實現200%的增長。但是人才發展跟不上業務(發展)的步伐,僅打折增長了50%,這時候就需要量化其中150%的差距所帶來的風險。如果損失(機會)是1個億,那麼量化評估風險防範需要投入500萬。對於企業而言,這500萬是一個相對小的,也是可測量、可落地實施的數據。

另外就是 財務風險、ESG相關的風險 。需要注意的是,ESG的風險也越來越重。假如一個企業生產刀具原材料要用鎢合金,鎢是這個行業最核心的元素之一。但如果政策突然説生產中不許使用鎢,怎麼辦?這就要求企業要有預案——做好換地方或替代材料的備案。

以上是企業的6大類風險,但需要根據企業自身情況來定。

總之,企業風險管理的總體原則是—— 分層負責,層層管理 。首先風險管理是董事會的職責,風險管理執行從公司的管委會開始,到各事業部、業務部門、職能部門,再就是工廠、國家、地區等都要分別管理,分別負責。而且風險管理既需要有年度計劃,也要在日常工作中進行實時管理。

風險管控有兩套循環(體系): 風險確認,自下而上,層層疊加;風險管控,自上而下,層層管理 。自下而上是因為,壓垮企業的最後一根稻草(風險)往往是小概率事件,但它通常發生在基層,在工廠(現場),不容易被發現,可一旦發生則會造成災難性後果。自上而下是因為,企業風險管理一定是自上而下的,因為需要集團層面來整體把控(診斷),給予資源,給予KPI來落地執行。

另外, 危機有一個很大的特點,它出現的時並非是1+1=2而是指數級的疊加 ,或被稱之為“蝴蝶效應”,即一個微小的變化能帶動整個系統產生巨大的連鎖反應。很多企業被最後一根稻草壓垮,比如巨人、樂視,表面上是一個很小的導火索引發危機,實質上是更多深層次的問題累積疊加,所形成的破壞力。 一旦危機出現共振,企業基本上全盤皆崩。所以在做危機管控時,一定要考量疊加效應帶來的影響。

簡言之,風險管理要求我們在任何一個重大危機出現之前,都要有預案,要有一套應對風險管理的體系,一旦危機出現,如若應對不及時就會造成重大損失,如果有預案,應對及時就會轉危為安。

INSPIRE 

THE BEST

02

凡是不能量化的風險,

一定不能實現管理

其實,任何風險都是可以量化的。我們認為凡是不能被量化的風險,就一定不能實現管控。所以,一定要想辦法把風險變成可衡量的指標,才有可能產生解決措施,才有可能給予物力、人力等資源支持解決問題。那麼,企業如何建立一整套風險管控體系來防範和降低風險?

首先,需要定義企業風險等級。根據風險影響程度,風險等級可劃分為災難性,重大、主要、較小/局部等不同級別。根據發生概率大小,可劃分為小概率可能發生(小於10%),可能會發生(20%~50%),可能要發生(50%~70%),大概率會發生(大於80%)等不同情況。

▲某國際企業風險定義(百萬歐元)

舉一個國際企業的例子,這家企業的資產負債表是比較健康的,固定資產佔比大概是40%左右,借貸大概有50%借貸,相對來講現金流比較健康。在這種情況下,損失7500萬,大概是當年淨利的25%,若超過25%則會產生災難性的風險。在1500萬到7500萬的區間屬於重大風險等級。

此外,集團和事業部的業務可能是不一樣的,所以在同一個風險等級框架之下,它們可能會負責不同的風險等級事件。

再就是,主要國家地區和中小國家地區是兩個不同的風險管理板塊,比如美國、中國、歐洲是主要國家地區的大市場,這些凡是有總經理負責的單元,會對所有的風險直接負責。

總之,風險量化一定是底限思維:一旦風險全方位爆發時,最壞的情況,最大的風險損失會是多少錢?各部門、各地區的承受底限是多少?7500萬、5000萬、2000萬到1000萬都是不同的等級界限。

▲某國際公司風險地圖

在風險等級界定好之後, 要確定每一個風險事件發生的機率和影響 ,然後再將所定義的風險問題放到一個十六宮格里,形成企業年內的一張風險地圖。需要指出的是,十六宮格中的風險問題的界定、劃分、管控建議等是需要經過頭腦風暴,共同討論決定的。

舉個例子,對公司而言,風險事件6即“轉移定價的税務風險”到底意味着什麼,為什麼這一風險發生會造成5000萬的損失?因為公司是國際性企業,轉移定價風險會導致OECD的懲罰,一旦風險事件6發生公司要承擔上億級罰款的概率在50%~70%之間,因此它是可能要發生的較大風險等級,要用黃顏色來標註。

另外, 每個部門每年關於風險定義的問題建議最多5~8個(10個以內) ,一來被定義的風險問題太多導致無法處理;二來風險管控每年都要做,不用定太多。

面對潛在風險,很多時候會束手無策或不敢做決策,我認為標註紅、黃顏色的風險事件需要進行處理,一旦放到這個地方,它就要變成董事會的重點項目,必須定時、定點來解決,不然風險會越拖越大、越拖越長。所以,每年董事會都要有這套風險管理體系。

因為風險管控不是一個人能夠解決的,就算是發現風險的人也未必一定能解決風險,他一定要與直線的經理或者該業務直接負責人,來負責解決。

再往下走就是對風險的管控。風險管控是指對每一個風險要有防範措施,比如防火,要有非常具體的描述。假如工廠一旦着火會導致公司損失1000萬,應如何防範?

首先要落實的是——建立所有報警系統;進行年度消防演習;確保消防通道暢通。其次,綜合評估風險防範需要量化投入10萬元;再次是,政策要落實到具體的人,由消防部經理負責在半年內完成。

▲風險管控措施、負責人及所需投資

一定要記住,所有凡是不能量化的風險都是不可控的風險,因此要先確定並優先解決可以量化的風險。

同時,企業的免疫力是一個慢慢的增強的過程,因此風險管控一定是 從高到低 ——從最高的風險到最低的風險; 從易到難 ——先處理簡單的風險。再就是, 風險防範一定要具體到人員 ——產品找技術經理,市場找市場經理,法務找法務經理,其他人是協助關係,因為解決一個問題需要取得全公司的部門協調。

INSPIRE 

THE BEST

03

如何推動風險管理落地?

理論一點來説,風險管理工作和審計、薪酬體系一樣是常態化的工作,由董事會負責。董事會要成立風險管理委員會,委託其負責執行所有的風險管理,並向董事會彙報。

風險管理落地的關鍵行動之一是任命首席風險控制管官。這位首席風險控制官可以不要求全職,但要比較瞭解公司的結構情況,能夠發現風險之間互相的迭代之處。更重要的是,他能夠組織不同的地區、部門、國家組織進行研討、暢所欲言,把公司的風險儘量暴露出來。

另外比較關鍵的是,他能夠和董事會匹配資源,來指導、推進具體的分享管控措施落地。這是第一步。緊接着是要定期進行評估和更新(至少每年一次),並進行一些培訓,因為員工需要知道風險管理程序,還有就是審計。

比如A公司的風險管控體系(見下圖),為應對戰略、財務、市場、運營、管理、ESG等六大企業風險,它具體落實三條防線來管理。

▲A公司風險管控體系

第一防線是事業部管理層,由事業部的老大(負責人)來管。

第二防線是職能部和服務中心,比如財務服務中心、法務服務中心、人事服務的招聘人員,職能部門是宣傳部、公關部、技術部門等來具體負責。

第三防線是審計(可以是內外部審計),要不定期、不定時地進行審計。

所有風險管控條線都要向董事會彙報。一般而言,總部負責的是各種各樣大的危機(重大事件),比如説突然工廠有人造成商譽損害、疫情、網絡安全等由總部直接負責。諸如工廠局部着火了、停電等此類局部的緊急事件的應急預案會在事業部和地區進行。若局部風險升級,則交由總部負責。

風險管控的流程是,一旦風險發生以後第一時間是趕緊啟動應急處理預案,啟動應急處理,處理好之後還要學習和改進,保持業務正常運營。

不過, 企業風險管控與人相似——有的人膽大,有的人膽小——有的企業偏好高風險、高回報,有的企業偏好低風險、低迴報。 如下圖藍線描述的是某一個企業風險偏好——低風險、低迴報——取了一個低於風險而達到同樣15%的增長的方式。

▲企業風險偏好

黑線企業則不一樣,同樣是15%的回報率,它必須要很高的風險才能達到,要麼是它的增長太快,要麼是它的行業風險太高,這都是有取捨在的。

但是,這些決策不是CEO一個人定的,而是企業文化的一部分。你的企業到底是膽大還是膽小,跑快還是跑慢,長期還是短期,風險是偏好會吸引不同的人才以及讓你選擇進入不同的行業,這都是企業的戰略選擇。

作者: 張志強,領教工坊領教,原ABB中國區總裁,諾基亞西門子中國總裁,山特維克全球執委,瑞士上市公司全球獨董

來源:

排編:夏鼎瑩

責編: 陸遠

對領教工坊 “私人董事會” 感興趣的企業家朋友可通過下方 “閲讀原文” 提交申請