管理经营风险第1章.doc

第一章：现实呼唤系统整合的方法“在全球的变化速度不断加快的条件下，只有那些不仅能意识到变化而且能根据变化采取行动的竞争者才能赢得竞争优势”克里斯托夫 梅耶战略联盟集团创始人在全球商业竞争中，总裁们和他们的管理团队每天都在与商业，政治，组织和技术上的急剧变化斗争。这些变化对企业每天面对的风险的类型和复杂性有一种深远的影响。变化的速度减少了企业反应的时间，增加了经营风险。这就使得几乎在全球都产生了对经营风险评估与控制的新模式的迫切需要。就组织每天必须处理的风险的数量来说，要求高层管理人员发展一套系统整合的办法，用来进行经营风险评估，同时设计有效的流程将风险降低至一个可接受的水平。企业经常要面对一些显而易见的风险，如因金融衍生工具的使用而带来的固有风险，或者对迷惑不解的法规的误解以至触犯法规，有时导致与环境法律与法规的冲突。一些著名公司如宝洁公司和Exxon（艾克森）的经验充分说明了评估风险，保证实施适当的经营控制的重要性。桔子郡的故事也告诉我们公共部门也不能避免这种需要。但是，经营风险并不是总是如此明显，每天，甚至最成功的公司也同样面对收入和市场份额下降的风险，因为总有似乎是凭空而现的新的竞争对手进入市场，并“偷走”最忠实的用户。没有任何一家公司幸免于快速变化的冲击。今天还处于领先地位的产品或战略下一年可能就成为过时和被抛弃的对象。全球竞争意味着，尽管一个供应商确信它有一个感到很满意的顾客，总有竞争者准备去满足顾客任何尚未获取或虽获取但不太满意的需求。技术进步正在使产品报废速度加快。外汇汇率、利率以及商品市场都比过去多变，但用来管理那些风险，比过去更高级、复杂的工具或手段的可获得性远不能令人满意。加上政治、社会、环境和其他因素，我们会发现全球经济是一个风险相当大的商业舞台。于是，问题提出来了，在企业每天要面对所有这些风险条件下，企业抓住机会使资本价值最大化，同时控制风险，使它的危害最小化的最佳战略是什么？我们的报告列举了一些世界上管理最优秀的公司在这方面的实践和战略，它们都意识到在今天的商业氛围中固有的高风险，同时为监控和管理风险开发了新的和更有效的工具。这些公司都意识到必须不断地重新评估和改进它们关于经营风险评估和经营风险控制的流程，以保证风险已经被减少到可接受的水平。我们以定义经营风险开始我们的报告。接下来，我们将指出管理经营风险的至关重要性，特别在今天组织结构，技术和市场快速变化的环境中。本章将简单考察正在逐渐形成的经营风险评估和控制模型的不可或缺的基本要素。什么是经营风险？经营风险：对组织实现其经营目标和成功实施既定战略的能力产生负面影响的事件或行动所导致的威胁。风险因人而异。一些人将风险管理于可投保的风险联系在一起，另一些人则将它与金融衍生物风险和其它国债风险联系在一起。尽管任何风险都不可避免地导致一定财务上的结果，但“财务风险”这个词对于本报告来说太局限。“经营风险”一词的包容性较强，全面道出了报告的意图，因为它包含了威胁一个组织的成功的所有因素。没有企业能对风险免疫。而且每个组织的风险总在变化。尽管对风险做出反应是必要的，但将侦察风险然后做出反应作为关系管理方式是不够的。每个组织必须学会在整个公司执行有效的流程或程序来预测风险和阻止风险发生，使自己能够积极识别，衡量和控制经营风险。有效的经营风险管理开始于评估。管理部门必须持续检查导致灾难性经济损失，经营中断和商誉损失的风险。经营风险不仅在威胁来临之际发生，而且在情况良好时亦可能出现。高层管理部门必须做比仅仅避免灾难多得多的工作；它不但必须关注企业成长和保护市场份额，还必须积极关心保持顾客的能力，员工和知识资本等问题。每个公司都有独特的一系列不断变化的风险。某些风险是外在于公司的，很难或根本不可能控制，如竞争者、金融市场、政策法规或其它风险。另一些则存在公司内部，是由自己的组织、流程、产品、合同义务或与顾客、供应商和员工的关系引起的，这样的风险包括技术（我们用的技术是不是最先进或最理想的？），信息（我们用于决策的信息是不是与决策相关，是否准确，及时？），或者员工满意度风险（我们的员工是不是有效率，他们在与顾客接触时，是不是很好地代表了公司？）。一旦一家公司识别出风险并衡量了风险的影响，它必须采取步骤去避免，转移，或者至少将风险降低至可接受的水平。如果能做到这些，一个公司就能使自己与众不同，脱颖而出，使市场和投资团体看好企业的前途，有投资信心，因为它已经减少了经营的不确定性。投资者的信心反过来构建信任、形象和商誉，而这些又提供了建立顾客忠诚度，为加速未来成长，方便地从资本市场融资，留住最优秀的员工的基础，所有这些都是建立一个成功企业必要的条件。对经营风险的不正确的管理造成的负面影响可能会，也可能不会立即明显地显露。例如，战略错误造成的潜在的灾难性后果或许在几个月内，甚至几年内都不会显露出来。但是到管理层意识到一个战略过时的时侯，可能已经不可挽回和弥补了。象IBM和通用汽车公司最近几年都发现，激烈的竞争大大地缩短了为满足顾客变化了的需要和竞争者的行动做出反应的时间。一旦面临这些风险，包括产品研发，技术，顾客满意度和经营周期（cycle-time）风险，公司的市场地位就处于危险境地。在许多市场上，公司的成功经常取决于它预测或创造顾客需要，并在一个短的时间间隔内不断推出新产品满足顾客需要的能力。有些经营风险的负面影响是立即可见的，如利用金融衍生物投机的结果。所以即使它们的影响并不重大时，往往也极大地分散了管理部门（或者股东的）的注意力，影响了他们对企业的关键的、根本性问题的关注。风险和收入有效的经营风险评估和控制对股票价值有着直接影响。不利事件发生的可能性愈大（经济损失的可能性愈大），风险愈大。任何对未来现金流量有潜在影响的的风险使公司股票价值减少。从财务上讲，不确定性愈大，公司的值就愈高，现金流的贴现率也就愈高，而现值则愈低。公司的风险调整后价值 第一年 第二年 第三年 现值公司A $1,000,000 1,000,000 1,000,000 贴现率：5% 952,381 + 907,029 + 863,837 = $2,723,247 公司B 500,000 1,250,000 1,250,000 贴现率：6% 471,698 + 1,112,496 + 1,049,524 = $2,633,718公司C 1,500,000 0 1,500,000 贴现率：7% 1,401,869 + 0 + 1,224,447 = $2,626,316 收入的标准差愈大，贴现率愈高，现值愈低。为什么要持续改善经营风险管理？一个公司必须以明天的标准持续改善经营风险控制。竞争优势已经变得稍纵即失。全球市场和激烈的竞争大大缩短了公司对竞争者的行动和顾客变化了的需求做出反应的时间。在快速变化的环境中，如果信息仍沿着公司官僚机构的命令链一级一级传递，因延误决策造成的影响可能是致命的。权力与决策权现在必须向下一级分散，必须赋予员工和一线管理人员必要的权力。经营风险的后果：一个基本清单不同的风险有着不同的潜在负面影响。主要有：信息缺乏足够的信息进行经营、财务和战略决策；对投资者、债权人、员工来说有误导作用的信息。资产不可接受的金融资产损失；发生未经授权使用固定资产事件或固定资产发生不可接受的损失；不可接受的信息资产的损失；“知识”资产的不可接受的损失或腐蚀。顾客满意度/质量在产品或服务提供上遭遇全面失败失去重要顾客失去市场或错失市场机会其它员工士气低落经营中断商誉损失经营失败不可避免，快速变化和分权会增加额外的风险。管理人员不得不在分权和维持控制之间寻求平衡。要找一件最近发生的关于这方面的故事不是太难：诸如未经授权挪用公众和公司基金，环境污染灾难，糟糕的地产交易，高的令人难以置信的诉讼成本，金融衍生物投机的巨额损失以及无时无刻不在的商业诈骗引发的事故。但最重要的是公司的努力确保它们避免最普遍的“巨大灾难（mega-disasters）”或“演讲被打断”的努力。不可辨认或不可控制的风险可能导致有害的事件，这些事件的后果用文学语言来说，会导致“演出终止”。这些事件将对企业经营产生重大破坏，分散高层管理人员在重大经营问题上的注意力，造成不可接受的固定资产和金融资产损失，使企业背负巨额债务，破坏公司商誉，当然，还可能使一个公司置于“商业游戏”之外。这样的案例很多，包括任何一次高度波及公众的金融衍生物危机和Exxon Valdez 事件。我们认为，跨国公司需要一个新的经营风险管理模型。但是，我们的研究表明，创造一个新模型是一个挑战，特别从下面的发展趋势看来更是如此：（1） 组织正在变得扁平化/分权化。全球的高级管理人员都削减了管理层次，以提高响应能力和效率。21世纪的组织结构将更为扁平化。一些最近的例子包括：通用电气公司将总裁与一线员工之间的管理层次从9层减少到4层，管理幅度则从6人增加到14人。在英国，英国电信在减少组织层次的努力中，将组织层次从16层减少到6层，而国防合同商Barr&Stroud将它的9个管理层削减了5层。虽然大多数削减发生在中层管理部门，但也有高级管理人员被辞退。对于高层管理，一些公司现在使用团队的办法。例如在通用电气公司的一个事业部，由9个人组成高级管理团队管理、控制100个流程和世界范围内的项目。（2）而且减小规模许多公司认为，在一个竞争激烈的环境中求生存，减小规模和裁员也很重要。但是，中层管理部门的减少可能削弱了中层控制，这在一些基本的流程没有得到改进和有效控制时有可能导致不可接受的风险。（3）新技术正被快速地加以应用公司正逐渐使用信息技术（例如EDI电子商务，客户服务器，群件，终端计算机end user computing和分布式流程）重组他们的核心流程。而且，他们希望建立一种持续的竞争优势。伴随这些新技术要求减少控制的需求，新型的，不为人熟悉的和破坏性的风险也随之而至。这些风险包括：未经授权的资料接触和丧失资料完整性和可获得性。它们起源于多种因素，如少数人的集中控制，对交易伙伙伴过度的依赖以及第三方的服务商没有采取足够的控制措施，以及复杂的领先技术内在的固有风险，贫乏的安全控制，防御措施不够以及没有后备程序。（4）道德因素没有组织和机构能幸免于欺诈或其它不道德的行为。我们不断看到、听到负责办理国防合同的负责人，银行、储蓄机构和贷款负责人的不道德的行为，更不用说政府官员了。在一些异乎寻常的欺诈的事例中，股东的财产损失多达几百万美元，几千名员工失业，许多企业被迫倒闭。欺诈与腐败在每一个国家都威胁着组织的生存。根据FBI（美国联邦调查局）的统计和其它联邦机构估计，美国每年因欺诈造成的总损失在6002000亿美元之间。欺诈行为向投资者、顾客、供应商、员工、政府的宏观调控部门和其他股东传达了这样的信息：企业经营行为的正直性已经扭曲。对企业名誉的损害经常是不可修复的。管理经营风险企业领导人和政府官员必须问自己，在他们任职期内是否有不可思议的事发生？高级管理人员必须主动改善公司的经营风险的管理流程。我们的研究表明，在一个新的组织结构里试图套用旧的、内部的控制模型经常导致困惑和不必要的紧张。每个组织都是独一无二的，有着不同的经营战略，结构，文化，共同的价值观和必要的资金。对于经营风险评估与控制来说，没有适用于所有组织的通用的方法。每个组织都需要主动发展自己的风险评估与控制模型。虽然，一个天才人物确实能决定一个企业的兴衰，但单个人要想了解有关经营风险的每一件事实际上是不可能的。因此，一个有效的、起辅助作用的流程是必要的，以保证组织中的每个人都能把注意力集中在关键风险的评估与控制上。一个预防型的管理经营风险的方法包括下面几个步骤和程序：（1）清楚地识别风险公司必须全面检查它的外部环境和内部流程，确保它已经识别出所有潜在的主要经营风险。这些风险必须在组织的各个层次被评估，而且每个风险的相对大小必须被确定。（2）确定风险的“根源”一旦公司认定一个风险是实现企业目标的威胁，管理部门就必须指出风险的各种根源。例如，如果交货期（完成一个程序或向市场推出一种产品所要求的时间）被认定为一个致命风险，那么公司就需要更彻底地理解产品或服务的产出流程。特别地，它需要找出不必要的行为或那些很明显不能为流程增加价值的职能部门。（3）清晰地评估和监控风险一旦经营风险被认定，也知道了根源，就必须对它进行评估。公司必须寻找一种跟踪监控风险的方法。而且，公司还必须对监控风险做适当的机制和时间安排，并为响应活动提供“催化剂”。（4）对公司的风险控制流程的绩效持续进行评估或许最重要的是，公司必须不断检查它用以控制重大风险，并将风险降至可接受水平的流程，在必要的时候予以更新和修改。管理与技术相关的风险新的信息技术带来了新的经营风险。迈克尔班尼特（Michael Bennett），亚瑟安达信的计算机风险管理部经理，强调说事实的确如此，“那些新的东西使管理部门在将风险降低至一个可接受的水平时面临的挑战十分复杂和巨大。”这不简单因为技术本身正变得越来越复杂，而是，正如班尼特先生所说，“信息技术逐渐与企业融合在一起，成为企业不可或缺的一部分，从而使因技术问题出现的风险不仅仅是技术风险，而成为需要更完整的经营解决方案才能处理的经营问题，于是，挑战便出现了。”为了管理信息技术的风险，管理部门必须首先比以往更多地在细节上理解所经营的企业。对企业理解的程度对真正理解信息技术对主要业务流程的重要性十分关键。班尼特先生强调指出，“企业在急剧竞争和以快速变化为特征的环境中运营，社会和经济结构，市场，顾客期望和用以维持竞争优势的技术等无一不处于快速变化之中。必须加以管理的风险也在不断变化。”管理部门有评估与管理技术风险的基础条件。“我们用以控制财务流程、运营效果与效率，保证遵守法律法规和承担义务的控制结构同样适用于管理信息技术风险。”班尼特先生说。“这个系统整合的框架由一个强有力的控制环境，持续的风险评估，适宜的控制活动，信息和沟通，绩效考核与监控。管理部门的任务是保证这个框架象被应用到其它经营风险上那样，被应用到信息技术风险上，得到同样全面和广泛的指导。”因此，这个挑战在于，在一个信息技术无处不在的环境应用这个模型，因为今天的企业正是在这样的环境中运营。这就要求创造性地应用风险评估与控制的方法，以及一些新的、对技术敏感的业绩考核和监控程序。归因于勤奋管理部门的掌舵作用在于，当组织发生变化时，提出下列经营风险评估与控制问题：当我们再造和改进企业的业务流程时，我们是否考虑了所有相关的经营风险？当我们运用新的技术时，我们怎样评估和控制随之产生的新的风险？当我们进入一个更复杂的经营领域或进行更复杂的业务交易时，我们怎样评估与控制新的经营风险（例如，全球市场和竞争的影响，金融衍生物的使用，环境保护责任，诉讼风险，员工违犯法规的行为等。）？当我们试图减小规模时，我们怎样确保已经和应该存在的控制不被扭曲或削弱？本章提要在这个动荡的时代，运用一个零碎的、抓不住要点的方法管理风险是不够的。变化的力量不断变化的顾客需求和期望，不断升级的竞争，新技术，复杂的法律条文和法规，一个最初能让人信任的员工的个人境况发生变化以及市场的易变性（挥发性）所有这些都要求在经营风险决策时有一套系统整合的方法。缺乏一个系统整合的架构意味着组织有可能不能全部识别出所有重大风险。如果没有一个系统整合的框架，将极有可能导