2001年美国安然破产事件仍让人记忆犹新,其直接影响到美国证监会为此专门出台了著名的《萨班斯法案》。
就企业风险管理,我们再来看几个案例。
案例一:摩托罗拉
早些年,摩托罗拉还一直是引领尖端技术和卓越典范的代表,享有着全球最受尊敬公司之一的尊崇地位。它一度前无古人地每隔10年便开创一个工业领域,其发明过车载收音机、彩电显像管、全晶体管彩色电视机、半导体微处理器、对讲机、寻呼机、大哥大(蜂窝电话)以及“六西格玛”质量管理体系认证,它先后开创了汽车电子、晶体管彩电、集群通信、半导体、移动通信、手机等多个产业,并长时间在各个领域中找不到对手。
但它唯“技术论”,最终败于铱星计划和手机营销战略失误。
案例二:三鹿集团
2008年发生的三聚氰胺毒奶粉事件,直接导致三鹿破门,价值高达149.07亿元的三鹿品牌资产灰飞烟灭。
其错在:一是为了追求规模故意接受质量低下的原奶;二是危机处理不当,对问题奶想通过掉包的方式糊弄消费者。
案例三:中信泰富
2008年10月,中信泰富发出盈利预警,称公司为减低西澳洲铁矿项目面对的货币风险,签订若干杠杆式外汇买卖合约而引致亏损,数额高达147亿港元。
其错在:杠杆合约的操作者违反公司的对冲保值规定;且未得到授权导致审批控制失效。
在目前经济形势不确定性逐步增加的情况下,企业的风险管理应该得到极大程度的重视。华为在这方面是如何定义和操作的呢?
一、风险管理基本原则
1、风险管理是业务部门的固有职责,业务部门在获得收益的同时,需承担风险;
2、风险管理要与业务管理相结合,特别是在计划和决策过程中;
3、风险管理应当从企业整体利益出发,进行跨部门协同管理;
4、积极应对风险可能意味着机会,消极应对风险则可能带来损失;
5、风险管控的目标并不是一味地将风险降至零,而是根据风险偏好将风险控制在企业可接受范围内。
二、风险定义、分类及分级
1、风险定义
风险:是指未来的不确定性对公司实现其经营目标的影响,是企业运营中客观存在的,是在华为的战略规划、外部环境、运营模式及财务系统中识别出来的。
重大风险:是未来可能对竞争格局、声誉、财务状况和经营成果、长远利益产生重大影响的事件。
2、风险分类
战略风险:指市场、产品和投资规划或决策等能力有限而影响整个企业中长期生存能力、竞争力、发展方向、战略目标、效益的重要风险,如竞争格局风险等。
外部风险:指外部环境风险及法律法规遵从风险,如政治和政策风险、法律和法规遵从、自然灾害等。
运营风险:指企业在运营过程中由于内部运作、人力和技术能力的有限性导致运营失败、达不到预期运营目标、造成损失的风险,如业务连续性风险等。
财务风险:是指由于多种因素的影响,导致公司资金资产损失、财务结构失衡等对公司当期或长期经营结果和声誉产生影响的风险。如客户信用风险、资本架构风险等。
3、风险分级
企业级风险:未来可能对整个企业集团的竞争格局、声誉、财务状况和经营成果、或长远利益产生重大影响的事件,企业级风险往往跨领域(BG/SBG/区域/各责任中心)。
领域级风险:未来可能对某特定领域(BG/SBG/区域/各责任中心)的竞争格局、声誉、财务状况和经营成果、长远利益产生重大影响的事件。
三、风险应对的主要措施
风险规避: 指考虑到影响预定目标达成的诸多风险因素,结合决策者自身的风险偏好和风险承受能力,做出中止、放弃某种决策方案或调整、改变某种决策方案的风险处理方式。
风险降低:指采取措施降低风险发生的可能性或影响度,或同时降低两者。
风险转移:指将风险及其可能造成的损失全部或部分转移给他人。常见的方法包括购买保险产品、从事避险交易或外包某项业务。
风险接受:承担风险,不采取措施去干预风险发生的可能性和影响度。
四、风险管理角色
董事会、财经委员会、RiskLeader、RiskOwner、企业风险管理部、各业务单元CFO是风险管理的关键角色。
(职责略)
五、运作机制
- 企业级风险管控
1、每年度对重大风险进行包括优先级排序在内的综合评估,经财委会批准形成风险地图;
2、财委会确定企业级风险应对策略,并提名RiskLeader;
3、Risk Leader组建跨部门企业级风险管控工作组, 按风险管理流程进行风险识别、综合评估和根因分析,制定应对计划并实施,持续监控并形成报告;
4、Risk Leader例行就风险管控状况向财委会报告。
- 风险管理嵌入SP/BP流程
在战略规划和业务规划中识别、评估、应对、监控和报告风险,在做决策时充分考虑风险因素,在执行过程中包含风险应对措施。
1、在战略规划中进行风险识别、评估并排序,定义总体管控目标和应对策略;
2、在业务规划中进行根因分析、制定风险应对措施、指定风险责任人及制定预算;
3、在规划执行和日常运营中实施风险应对措施,监控风险控制状况,定期向Risk Owner报告。
- 深度风险分析(DeepDive)
深度风险分析项目适用于跨业务领域、根因复杂的企业级风险,由财委会批准立项,来源于Risk Leader申请或财委会直接指定。
1、企业风险管理部协助Risk Leader,组织相关业务部门成立深度风险分析项目组,分析风险根因,形成应对方案;
2、风险应对方案经财委会批准后,Deep Dive关闭,转正常风险管控,由RiskLeader与业务部门实施并向财委会报告。
六、风险测评
按照风险暴露、风险管控的结果衡量各相关部门风险管理的绩效,测评指标包括但不限于风险敞口、KRI、计分卡、风险管理成熟度等等,对于直接影响财务结果的风险通常使用风险敞口来测评,对不直接影响财务结果的风险通常采用评估应对计划进展的方式测评。
- 风险敞口(RiskExposure)
是指未加保护的风险,即因债务人违约行为、内部管理不善、外部遵从等导致的可能承受风险的总量。如:应收账款指当期各账期(包括未到期部分)应收账款余额总和,含本金以及在此基础上产生的利息,罚金等其他费用。
- KRI(Key Risk Indicator,关键风险指标)
通过定性和定量的指标来测评风险暴露和风险应对策略的有效性。KRI由Risk Owner制定、维护和监控,且必须得到Risk Leader和财委会的认可,应尽量利用已有指标嵌入现有的管理体系中。
- 风险管理计分卡
用于衡量业务部门风险管理的有效性,由企业风险管理部从以下几个方面对业务部门进行评估:1) 组织结构和职责;2)在企业级风险管理中的业务参与程度;3)战略规划中的风险识别;4)业务计划中的风险规划;5)监控和问责。
- 风险管理成熟度
用于衡量企业整体风险管理的能力,由企业风险管理部和各业务部门从政策、流程、组织、绩效、IT工具和决策等多纬度进行年度自评。财委会对自评综合结果进行评审,提出改进建议及进行绩效评估。