张志强:构建风险管理体系,在不确定性中活久活好

时间:2022-09-26 发布:领教工坊 浏览:789次


关于企业风险管理,我争取把三个相关问题做一些结构性的介绍:


1. 企业风险管理的作用以及核心逻辑是什么?

2. 企业风险管理由谁负责,是一把手、团队还是其他人?

3. 企业风险管理如何落地?


其实,人患病就是一种潜在的生命风险。我们做年度体检、吃药、锻炼身体就是为了减少死亡风险。企业也一样,风险管理的首要步骤就是“体检”以了解企业的体质状况,减少企业风险发生的概率,将风险发生时的损失降下来。当然,做企业就一定会有风险,这并不意味着冒险的决策就不能做了。


企业风险管理的作用在于如何防范,通过建立一套风险管控体制,明确企业的强项、弱项,实施有效的管理,这在不确定风险极大的当下,尤其重要。“人无我有”,你的竞争对手因风险管控不到位而倒下,你就自动变得更强大;“人有我优”,有的放矢,强化锻炼,你在竞争中就能走得更健康、更好、更远。


所以,我这里介绍的更多是一套企业风险管控的方式、方法——“体检”“诊断”“开方”“防病、治病”——避免弱项,尽量减少企业潜在风险;增强体质,提高企业免疫力;量化措施,防患于未然。



▲张志强领教在领教工坊私董会小组做分享



INSPIRE 

THE BEST

01

企业风险管理体系的核心逻辑



过去几年,我们看到很多企业倒了,可以说绝大部分甚至是90%以上的企业都是死在缺乏风险管理上。企业的风险管理体系就是确定未来的不确定性,即在不确定性的环境下,尽量把不确定的事情确定下来。


风险管理几乎是所有上市公司和董事会最主要的功能之一,也是法律要求的功能之一。如果企业没有建立一个相对清晰的风险管理体制,董事会是失职的。同时,企业风险管理是一个常态化的工作,每年从董事会到各个部门都一定会做。


我把企业风险的类型基本上归为六大类:战略、财务、市场、运营、管理、政府和环保。值得注意的是,这一分类并不是绝对的,每个企业和行业的情况不一样,分类也可以不同,关键是如何去界定风险,发现风险并建立应对措施。


企业战略风险更多的是关于企业的定位,包括行业选择、战略决策等。


比如,服装、手机、白电产品等门槛低的行业,核心竞争点在于价格,在同质竞争的情况下前三名之外的企业基本是没有长期盈利能力的。所以,一旦进入这些行业,就要意识到怎么避开风险问题。你要建立更强的相对竞争力,跻进行业前三。


但是,贸然进入新行业也是有风险的,比如尼桑、本田、丰田等非常优秀的日企在战略选择时都犯了一个错误——选择插电和氢电模式,结果今天全世界车企基本上走的是纯电模式,它们的未来生存竞争就有很大的风险。


可见,行业永远是围城,不在其中是不了解具体的风险点的。当然,行业没有绝对的好坏之分,虽然有些企业在行业细分领域也能长期盈利,但是行业的力量比任何一个企业在其中的力量要大得多。


市场风险就是竞争对手、市场、客户等变化带来的风险,如大客户风险、独家代理风险、竞争对手恶意攻击等。


作为一个企业家,如果你不知道危机突然从哪冒出来,就会出现羊毛出在猪身上的事。今天几乎没有人看报纸,再强,再伟大的报纸基本上也活不下来。诺基亚的塞班系统无法跟iOS系统竞争,结果节节败退,几年之内丢掉了世界第一的位置。应对市场风险需要专门有一部分人,花时间去真正打开思维,尤其是在今天的数字化背景之下,降维打击将会是全方位的,给业务带来的冲击方式更不一样。


运营风险属于生产、供应链等方面的企业内部风险,包括产品出现重大的质量问题,专利、技术、产品设计等保护不好,新产品开发落后市场,IT系统落后、遭遇黑客袭击等。一旦危机出现,你有没有一套成熟的应对机制能马上启动,有没有一系列备案能马上用于解决问题,很快帮助企业化解、应对。


常见的管理风险包括公司没有明确的愿景,战略和文化;核心竞争力丧失;人才培养不满足业务发展需求;管理体制不健全;合规及贪腐;关键技术人员离职等。


要注意,风险管控是一定要量化的。比如,如何量化解决“人才不能满足企业发展”的管理风险?假如企业的销售额要在五年内增长三倍,那么与之相匹配的人才需要实现200%的增长。但是人才发展跟不上业务(发展)的步伐,仅打折增长了50%,这时候就需要量化其中150%的差距所带来的风险。如果损失(机会)是1个亿,那么量化评估风险防范需要投入500万。对于企业而言,这500万是一个相对小的,也是可测量、可落地实施的数据。


另外就是财务风险、ESG相关的风险。需要注意的是,ESG的风险也越来越重。假如一个企业生产刀具原材料要用钨合金,钨是这个行业最核心的元素之一。但如果政策突然说生产中不许使用钨,怎么办?这就要求企业要有预案——做好换地方或替代材料的备案。


以上是企业的6大类风险,但需要根据企业自身情况来定。


总之,企业风险管理的总体原则是——分层负责,层层管理。首先风险管理是董事会的职责,风险管理执行从公司的管委会开始,到各事业部、业务部门、职能部门,再就是工厂、国家、地区等都要分别管理,分别负责。而且风险管理既需要有年度计划,也要在日常工作中进行实时管理。


风险管控有两套循环(体系):风险确认,自下而上,层层叠加;风险管控,自上而下,层层管理。自下而上是因为,压垮企业的最后一根稻草(风险)往往是小概率事件,但它通常发生在基层,在工厂(现场),不容易被发现,可一旦发生则会造成灾难性后果。自上而下是因为,企业风险管理一定是自上而下的,因为需要集团层面来整体把控(诊断),给予资源,给予KPI来落地执行。


另外,危机有一个很大的特点,它出现的时并非是1+1=2而是指数级的叠加,或被称之为“蝴蝶效应”,即一个微小的变化能带动整个系统产生巨大的连锁反应。很多企业被最后一根稻草压垮,比如巨人、乐视,表面上是一个很小的导火索引发危机,实质上是更多深层次的问题累积叠加,所形成的破坏力。一旦危机出现共振,企业基本上全盘皆崩。所以在做危机管控时,一定要考量叠加效应带来的影响。


简言之,风险管理要求我们在任何一个重大危机出现之前,都要有预案,要有一套应对风险管理的体系,一旦危机出现,如若应对不及时就会造成重大损失,如果有预案,应对及时就会转危为安。



INSPIRE 

THE BEST

02

凡是不能量化的风险,

一定不能实现管理



其实,任何风险都是可以量化的。我们认为凡是不能被量化的风险,就一定不能实现管控。所以,一定要想办法把风险变成可衡量的指标,才有可能产生解决措施,才有可能给予物力、人力等资源支持解决问题。那么,企业如何建立一整套风险管控体系来防范和降低风险?


首先,需要定义企业风险等级。根据风险影响程度,风险等级可划分为灾难性,重大、主要、较小/局部等不同级别。根据发生概率大小,可划分为小概率可能发生(小于10%),可能会发生(20%~50%),可能要发生(50%~70%),大概率会发生(大于80%)等不同情况。



▲某国际企业风险定义(百万欧元)


举一个国际企业的例子,这家企业的资产负债表是比较健康的,固定资产占比大概是40%左右,借贷大概有50%借贷,相对来讲现金流比较健康。在这种情况下,损失7500万,大概是当年净利的25%,若超过25%则会产生灾难性的风险。在1500万到7500万的区间属于重大风险等级。


此外,集团和事业部的业务可能是不一样的,所以在同一个风险等级框架之下,它们可能会负责不同的风险等级事件。


再就是,主要国家地区和中小国家地区是两个不同的风险管理板块,比如美国、中国、欧洲是主要国家地区的大市场,这些凡是有总经理负责的单元,会对所有的风险直接负责。


总之,风险量化一定是底限思维:一旦风险全方位爆发时,最坏的情况,最大的风险损失会是多少钱?各部门、各地区的承受底限是多少?7500万、5000万、2000万到1000万都是不同的等级界限。



▲某国际公司风险地图


 在风险等级界定好之后,要确定每一个风险事件发生的机率和影响,然后再将所定义的风险问题放到一个十六宫格里,形成企业年内的一张风险地图。需要指出的是,十六宫格中的风险问题的界定、划分、管控建议等是需要经过头脑风暴,共同讨论决定的。


举个例子,对公司而言,风险事件6即“转移定价的税务风险”到底意味着什么,为什么这一风险发生会造成5000万的损失?因为公司是国际性企业,转移定价风险会导致OECD的惩罚,一旦风险事件6发生公司要承担上亿级罚款的概率在50%~70%之间,因此它是可能要发生的较大风险等级,要用黄颜色来标注。


另外,每个部门每年关于风险定义的问题建议最多5~8个(10个以内),一来被定义的风险问题太多导致无法处理;二来风险管控每年都要做,不用定太多。


面对潜在风险,很多时候会束手无策或不敢做决策,我认为标注红、黄颜色的风险事件需要进行处理,一旦放到这个地方,它就要变成董事会的重点项目,必须定时、定点来解决,不然风险会越拖越大、越拖越长。所以,每年董事会都要有这套风险管理体系。


因为风险管控不是一个人能够解决的,就算是发现风险的人也未必一定能解决风险,他一定要与直线的经理或者该业务直接负责人,来负责解决。


再往下走就是对风险的管控。风险管控是指对每一个风险要有防范措施,比如防火,要有非常具体的描述。假如工厂一旦着火会导致公司损失1000万,应如何防范?


首先要落实的是——建立所有报警系统;进行年度消防演习;确保消防通道畅通。其次,综合评估风险防范需要量化投入10万元;再次是,政策要落实到具体的人,由消防部经理负责在半年内完成。



▲风险管控措施、负责人及所需投资


一定要记住,所有凡是不能量化的风险都是不可控的风险,因此要先确定并优先解决可以量化的风险。


同时,企业的免疫力是一个慢慢的增强的过程,因此风险管控一定是从高到低——从最高的风险到最低的风险;从易到难——先处理简单的风险。再就是,风险防范一定要具体到人员——产品找技术经理,市场找市场经理,法务找法务经理,其他人是协助关系,因为解决一个问题需要取得全公司的部门协调。



INSPIRE 

THE BEST

03

如何推动风险管理落地?



理论一点来说,风险管理工作和审计、薪酬体系一样是常态化的工作,由董事会负责。董事会要成立风险管理委员会,委托其负责执行所有的风险管理,并向董事会汇报。


风险管理落地的关键行动之一是任命首席风险控制管官。这位首席风险控制官可以不要求全职,但要比较了解公司的结构情况,能够发现风险之间互相的迭代之处。更重要的是,他能够组织不同的地区、部门、国家组织进行研讨、畅所欲言,把公司的风险尽量暴露出来。


另外比较关键的是,他能够和董事会匹配资源,来指导、推进具体的分享管控措施落地。这是第一步。紧接着是要定期进行评估和更新(至少每年一次),并进行一些培训,因为员工需要知道风险管理程序,还有就是审计。


比如A公司的风险管控体系(见下图),为应对战略、财务、市场、运营、管理、ESG等六大企业风险,它具体落实三条防线来管理。



▲A公司风险管控体系


第一防线是事业部管理层,由事业部的老大(负责人)来管。


第二防线是职能部和服务中心,比如财务服务中心、法务服务中心、人事服务的招聘人员,职能部门是宣传部、公关部、技术部门等来具体负责。


第三防线是审计(可以是内外部审计),要不定期、不定时地进行审计。


所有风险管控条线都要向董事会汇报。一般而言,总部负责的是各种各样大的危机(重大事件),比如说突然工厂有人造成商誉损害、疫情、网络安全等由总部直接负责。诸如工厂局部着火了、停电等此类局部的紧急事件的应急预案会在事业部和地区进行。若局部风险升级,则交由总部负责。


风险管控的流程是,一旦风险发生以后第一时间是赶紧启动应急处理预案,启动应急处理,处理好之后还要学习和改进,保持业务正常运营。


不过,企业风险管控与人相似——有的人胆大,有的人胆小——有的企业偏好高风险、高回报,有的企业偏好低风险、低回报。如下图蓝线描述的是某一个企业风险偏好——低风险、低回报——取了一个低于风险而达到同样15%的增长的方式。



▲企业风险偏好


黑线企业则不一样,同样是15%的回报率,它必须要很高的风险才能达到,要么是它的增长太快,要么是它的行业风险太高,这都是有取舍在的。


但是,这些决策不是CEO一个人定的,而是企业文化的一部分。你的企业到底是胆大还是胆小,跑快还是跑慢,长期还是短期,风险是偏好会吸引不同的人才以及让你选择进入不同的行业,这都是企业的战略选择。


相关内容

微信公众号

视频号

微博

企业微信

联系我们

电话:021-55097968

邮编:200433

邮箱:clec@clec.com.cn

地址:上海市长宁区虹桥路2419号龙柏饭店附3楼

©2011-2015领教工坊版权所有 沪ICP备11029843号-1