2017年9月6日,美国反虚假财务报告委员会发起委员会在全球管理领域,特别是风险控制领域,正式发布了期待已久的更新框架文件《企业风险管理——与战略和业绩相融合》。风险管理框架的这一更新版本于2016年9月发布,并向全世界开放征求意见。原计划2017年第一季度发布,后推迟到第二季度,再次推迟到第三季度。经过近一年的讨论和反复修改,上千条反馈和几十场研讨会,在外部审计和内部控制之间打了一场游戏,在战略和风险、业绩和控制之间反复权衡和权衡。可以预见,它将对现代企业发展和风险管理产生深远的影响。
新版风险管理框架从全球征求意见稿到正式发布的第一个变化是将标题从企业风险管理框架-与战略和绩效协同修改为企业风险管理框架-与战略和绩效融合。虽然只有一字之差,但却是点睛之笔,准确表达了更新版的一个核心意图——架起风险管理和内部控制的桥梁,明确企业风险管理离不开企业战略和绩效的整体理念。这一理念已全面渗透到全新版本的全面风险管理框架中。
相比其前身,2004年发布的对全球影响深远的原《企业风险管理-集成框架》,更新后的框架不仅在内容上做了许多新的调整,而且字里行间还隐藏着对企业核心价值、文化等重要背景的概念性再认识。
以下关键修订不仅在概念上警示我们,一个组织在面对市场和技术的诱惑时,仍应坚守使命,回归初衷和出发点;此外,在实践中,将敦促该机构重新思考和定位其战略设置和风险管理模式。同时,在未来相当长的一段时间内,传统审计和内部控制将逐渐呈现出新的挑战和扩大职责的具体需求。
可以通过加强内部控制和审计来“管理”风险吗?
建立和实施严格的内部控制机制能留住风险吗?答案是否定的,根据更新后的框架,内部控制只关注主要操作是否符合相关法律法规。可见,它只是在董事会、监事会、高级管理层的公司治理结构建立后,为保证经营管理合法合规履行职责而建立的一种控制机制。"企业风险管理的相关概念不包含在内部控制中."换句话说,内部控制不能指望有效约束董事会高级管理层。另一方面,由于管理层本身作为代理人,可能存在内部控制从外部掩盖内部信息的弊端,也可能给客户带来新的风险。
更新后的风险管理框架清晰,董负责风险监管。其中,风险被定义为某一事件发生并影响战略和商业目标实现的可能性。相应地,企业风险管理是指“一个组织在创造、维持和实现价值的过程中,结合战略的制定和实施,所依赖的管理风险的文化、能力和实践”。由此可见,企业风险始于董对企业战略、风险偏好、企业文化和企业资本资源的初步假设。简而言之,风险管理的起点需要提升到制定战略和目标的董事高级管理层的水平。为有效防范风险,更新后的框架强调企业要明确战略风险。一是董事会承担主体风险监管的首要责任,确认董事会和管理层对于风险管理的责任分配。
通过严格的内外部审计,能否规避企业风险?答案也是否定的,到目前为止,审计只是一个收集和评估证据,并将结果传递给相关方使用,以找出相关经济活动和经济现象与既定标准之间一致性的过程。因此,无论是内部审计还是社会中介第三方审计,都只能被动地给出现状与标准之间的差距,而不能以企业风险管理为目的,为标准的设定和策略的制定提出战略调整要求或标准修订意见。与内部控制相比,审计只是对实施过程和结果的评价。而且,内部人控制的问题依然存在,甚至比内部控制还要糟糕。
在更新的风险管理框架下,风险管理被提升到战略层面,包括战略和业务目标与企业使命、愿景和价值观不匹配的可能性;所选战略制定过程中隐含的风险以及实施过程中出现的风险。这是内部控制和审计目前做不到的地方,也可能是未来风险防范中需要特别关注的风险导向审计的拓展方向。
在美国次贷危机中,雷曼兄弟的倒闭是经常被引用的经典案例。这家拥有158年历史的老店,内部控制机制成熟,全球四大会计师事务所之一的安永未能有效防控企业风险,就是最好的说明。
企业管理的目标是“利润最大化”还是“价值最大化”?
企业管理就是创造尽可能多的利润?企业风险管理框架更新版以图解甚至量化的方式否定了企业无限追求利润最大化的风险约束条件。
企业的绩效往往与风险正相关,风险随着绩效的增长而加速。然而,企业的可用资源数量决定了其抵御风险的能力。一旦设定了最大抗风险能力极限、企业管理策略和风险偏好,企业的绩效目标就基本确定了。市场波动导致的业绩波动导致的最大风险点A必须控制在市场风险形态和抗风险能力的边界内。
显然,企业经营的战略设置决定了绩效目标和可接受的浮动范围。但在实践中,企业绩效考核往往与利润或企业价值直接或间接挂钩,变相鼓励追求利润最大化,忽视了资源约束和风险的急剧增加。回到前面提到的雷曼兄弟破产案,自身资产对风险的比率较低,而公司高层却对其明星交易员的债券衍生品的高收益、高风险交易视而不见,单方面追求利润和业绩,在市场波动时超越其抗风险边界,这是最终未能抵御企业破产风险的直接原因。追求企业价值最大化有什么错?长期以来,许多企业,尤其是上市公司,都声称企业经营的目标是为股东创造最大的企业价值。这个口号听起来似是而非,但难免让人觉得过于粗放,缺乏人文精神,至少没有风险意识。
从上图来看,在更新后的风险管理框架中,在给定的企业资源和设定的战略目标下,一旦管理层确定了风险偏好,市场波动幅度基本限制了业绩目标水平和业绩可能的波动幅度。换句话说,确定的业绩目标实现与否是根本,而最大化业绩的空只是一个非常有限的市场波动范围。企业价值增值主要来自创造的业绩。
显然,在风险与战略和绩效相结合的情况下,不考虑资源、战略和风险偏好的约束,谈论企业价值最大化几乎没有实际意义。企业片面追求价值最大化的不良诱因之一,是企业过于注重扩大资产负债规模,而没有考虑经营效率和资源利用效率。在会计和资产负债表意义上,企业规模持续扩大,利润总额持续增长。然而,在经济学意义上,机会成本在增加,而资源利用的边际效益在减少。正如英国经济学家舒马赫在《小即是美》一书中所说,那些依然执着于追求“大”的企业,往往是以大量消耗资源、浪费资源、破坏环境为代价的。就像在宏观层面单方面求GDP一样。从新版风险管理框架来看,既不是“大就是好”,也不是“小就是好”,但适合就是最好的。什么是合适的?这需要回归企业或机构的使命、愿景和价值。
企业文化和核心价值观真的一无是处吗?
“完全风险控制和完全风险控制”。风险控制,那是风险控制部门的事,对吧?这对现代企业来说不再是问题。然而,在实践中,“业务开发和营销部门的职责是努力开发产品和市场。至于风险,会有一个专门负责风险管理的风险控制部门来检查、平衡和控制。”——这是市场竞争加剧下,众多竞争中企业风险管理文化氛围的典型写照。新版风险管理框架要求,无论是谁生活在不同的业务部门,从董事会到普通员工,都必须通过定期检查,从上到下全面落实企业风险文化的一致性。
新框架主张将风险管理框架提前设定到战略目标设定和文化建设的起点,认为企业通过建立全员一致的企业文化,抓住绩效机会,规避风险非常重要。因此,从企业成立的源头出发,从企业的使命、愿景和核心价值观出发,将风险管理从董事会定位到每一个基层员工,并将其视为绩效管理不可分割的一部分,而不仅仅是风险控制部门业务管理的一个操作流程。这是企业风险管理的观念转变,要求全体员工增强主人翁意识和冒险精神。有了这个责任,企业风险控制、内部控制、内部审计和外部审计的压力将大大缓解,内部控制和审计将转向风险导向审计工作、战略决策和管理咨询业务。
"不要忘记你的主动心态,这样才能达到你的最终目标."企业要想在激烈的市场竞争中生存,就必须不惜一切代价来壮大自己,遵守弱肉强食的法则,对吗?如果你看不到它,大海会把沙子冲走。“卑鄙是卑鄙者的通行证,高尚是高尚者的墓志铭”;有多少企业“英雄”不求出路,而活在当下不择手段,不管什么样的产品和商家都有钱赚。但更新后的风险管理框架站在人文关怀的角度,主张企业发展和风险管理不应动心,坚持企业创造的原始使命、愿景和核心价值,将风险管理从传统的“管理过程或程序”提升为“一种难以理解的文化、能力和实践”。乍一看,这种高水平是难以想象的。
如果我们看历史的长河,看企业生存发展的生命曲线,有多少让人尊敬和敬佩的企业倒下了,又有多少企业依然辉煌?据说兰德公司跟踪研究了世界上很多百年老店,得出了长寿企业都遵循人的价值高于物质价值、共同价值高于个人价值、社会价值高于利润价值、用户价值高于生产价值的原则的重要结论。苹果的史蒂夫·乔布斯认为,苹果的驱动力“来自产品,而非利润”;杜邦的核心价值是“责任与关怀”;谷歌著名的核心价值观之一是“不作恶”。
在重大风险选择面前,起决定性作用的往往是企业的使命、愿景和核心价值观,以及面对诱惑或威胁时是否仍坚守原有立场。因此,新版风险管理框架也提出,全面风险管理要吸引、发展和留住优秀的个人,致力于根据战略和业务目标建设人力资本,通过建立不同层次的人力资源管理体系吸引、培养和引导人才,评价和留住人才,通过人文关怀落实企业文化和愿景的初衷。
免责声明:除已发表的文章无法追溯作者且获得授权外,我们将注明作者和文章来源。我们注重分享,尊重原创。如果作者看到,请及时联系我们,我们会在得到您的授权后尽快补发或删除。谢谢大家!来源|《审计观察》,2017观察第四期,作者为上海国家会计学院倪建明
