您的位置  首页  »  政府会议  »  国际会议 » 正文
风险管理的新策略
[来源:《国企》2012年第9期 | 作者:罗伯特·卡普兰 阿内特·麦克斯 | 日期:2012年10月12日 | 浏览次] 字体:[ ]

关键字:

   当Tony Hayward2007年成为英国石油公司(BP)的CEO时,他发誓要把安全当做自己的头等大事。他出台的新规矩包括:所有员工端着咖啡杯走路时要盖盖子,开车时不能发短信。三年后,就在他眼皮底下,发生了墨西哥湾“深水地平线”钻油平台爆炸事故,成为人类历史上最严重的“人祸”之一。一个美国调查委员会认为,灾难发生是因为管理失误削弱了事故现场员工对所面临风险进行正确识别、评估、交流、处理的能力。

    BP的教训提出了一个具有普遍意义的问题:风险管理经常被当做一个“合规性”问题,以为风险管理所需要的只是制定出很多规则,然后保证让员工服从和遵守。当然,很多规则是明智合理的,确实降低了部分风险带来的损害。但是基于规则的风险管理却永远对“深水地平线”这样的灾难束手无策,正如在2007~2008年它没有能够拯救众多金融机构一样。

    因此,风险管理应当具体问题具体分析,并在管理策略上另辟蹊径。

    风险管理:规则还是对话?

    风险可以分为三类,每一类风险都可能威胁公司的战略甚至生存。

    可预防风险

    组织内部的风险应该是可控的,可以消除或者避免,比如员工擅自、非法、违背道德的行为,以及企业日常经营过程突然当机。

    可预防风险完全能够通过基于规则的风险管理系统来解决,企业只需要监控运营过程,设置规则以规范员工行为。因此,管理可预防风险的第一要务就是制定员工行为规范,阐明企业目标和价值观。

    当然,即使有清晰的使命、价值观和行为规范,也不能保证员工行为一定合规。首先,高层管理者必须以身作则,认真对待行为规范,才能消解官僚组织的惯性。其次,企业必须建立完善的内控体系(如职责分离和举报制度),以预防和减少员工的错误行为。可以设置一个有效、独立的内部审计部门,持续核查员工行为是否符合行为规范,不仅能防止员工违规,而且能在违规发生时及时察知。

    战略风险

    战略风险是一个企业为了获得超额回报、因实施战略而自愿承担的风险。一个预期能够带来高收益的战略总是要求企业承担伴随而来的巨大风险。

    战略风险不能通过基于规则的风险管理模型解决,而是需要一个能够降低风险发生可能性、提高公司风险管理和承受能力的风险管理体系。这样的体系不会让企业停止冒险,相反,它能够让企业比那些风险管理不善的对手承担更多的风险,当然也收获更多的利益。

    外部风险

    一些风险来自企业外部事件,企业无法影响和控制,例如自然灾害、政治动荡、宏观经济变动。外部风险也不适用基于规则的风险管理,因为企业不能预防这样的风险发生。管理此类风险必须集中于事后辨识、降低损害。

    企业应当根据不同的风险种类采取不同的风险管理方式。尽管设置规则、让员工遵守的风险管理在对付可预防风险时有用,但管理战略风险和外部风险,需要建立在开放、坦诚的风险讨论基础上。这是一套完全不同的体系。开放、坦诚的风险讨论说易行难。行为和组织学研究都已经表明,强大的个人和组织认知偏见倾向阻碍人们思考和讨论风险。

    为什么避谈风险?

    减轻风险是痛苦的,不符合人的本性。

    人们总是高估自己影响事态发展的能力,而实际上运气在其中更为重要。我们倾向于对预测和风险评估的准确度过度自信,而且对事件可能后果的范围估计过窄。我们总是将估计系于很容易获得的数据上,尽管我们知道依据最近的历史对变动不居的将来作线性推测是多么危险。我们经常陷入证实偏差,即我们倾向于相信支持自己判断的信息(通常是成功)而不相信否定自己判断的信息(通常是失败)。当事态发展不符合我们的预计时,我们还倾向于承诺升级,不理性地对已经失败的项目追加投资,实际上加大了损失。

    组织中的认知偏差倾向也抑制了对风险和失败的讨论。一个面对不确定风险的团队通常会陷入群体思维:由于从众压力,有反对意见的人倾向于沉默,不管他们的证据多么有力。如果这个团队的领导人比较专横、傲慢或者过于自信,不喜欢冲突、拖拉或者自己的权威被挑战,那么群体思维出现的概率会更大。

    有效的风险管理体系必须能够消除这些认知偏差倾向。

    战略风险管理

    过去十年的研究和实践总结出三种不同的战略风险管理策略,企业可以根据自己的运营环境选择最合适的模型。每一种风险管理策略都都需要不同的风险管理结构和流程,但是三种策略都要求员工对现有假设提出质疑,对风险信息展开讨论。没有通用的风险管理。

    独立专家

    一些组织特别是像美国国家宇航局喷气动力实验室这样致力于科技前沿创新的组织,在进行长期、复杂、昂贵的产品研发项目时面临很大的潜在风险。但是,由于这些风险大多与自然界规律相关,所以这些风险从长期来看变化不大。

    美国国家宇航局喷气动力实验室建立了有独立技术专家组成的风险核查委员会,专门定期对项目工程师们的设计、风险评估和降低风险的决策挑刺。风险核查委员会带来了“智力挑战文化”。在这个过程中,项目工程师学会了不再埋头苦干,而是从其他角度审视自己的工作。不管是建设性的还是批评性的委员会会议,都不是为了阻止项目团队追求更高的目标,而是迫使工程师提前思考如何描述自己的设计、如何防范设计风险、自己是否已经充分考虑了失败的可能性。委员会扮演了“魔鬼代言人”的角色,恰好与工程师的过于自信倾向抵消,帮助避免了承诺升级带来不可承受的风险。

    风险核查委员会不仅促成了激烈的项目风险争论,而且对项目预算拥有决策权。委员会对每一个项目组件都根据其创新性建立了成本和时间紧急准备。当问题不可避免时,项目团队就可以使用紧急准备,而不会危及整个项目的完成。实验室严格执行准备制度,如果项目预算不能满足准备金所需,就坚决延迟甚至砍掉项目。

    协调者

    很多组织,如传统的能源和自来水公共事业公司,其运营的技术和市场环境都比较稳定,顾客需求相对可以预测。在这种情况下,风险往往来自复杂组织内看似无关的企业运营决策,问题缓慢积累,长期隐伏。如果没有任何能够实施跨部门的组织层面风险管理的制度安排,企业可以任命一个小规模的核心风险管理团队,负责从经理层收集信息。这一方面能加强经理层对组织内部风险的了解,另一方面能为决策者提供完整的组织风险图景。

    加拿大电力公司Hydro One每年都举办有公司所有层级和部门员工参加的工作会议,鼓励员工畅谈并评价公司战略目标所面临的各种风险。通过匿名投票,员工们为每一个风险的影响、可能性和可控性打分。最后,通过员工参与的风险讨论,风险团队就能够绘制出一幅风险地图,制定应对计划,并且指定谁该为某一个风险负责。

    同时,Hydro One风险管理团队引进了技术专家对业务经理的投资计划和风险评估挑刺,对资源分配提供独立见解。公司只支持能够显著有效地描述风险的项目,克服了经理隐藏、低估风险的倾向,强化了风险责任。

    植入式专家

    金融服务业由于资产市场的震荡和分散的交易员、投资经理决策,存在巨大风险。一笔交易、一个市场变动,就能让一个投资银行的风险图景发生剧烈变化。对于这样的企业,风险管理需要植入式专家,持续监控企业的风险图景,与经理们携手合作。

    JP Morgan在部门层次设立风险经理,同时对部门管理层和一个独立风险管理小组负责。和部门经理面对面的交流使风险经理对市场情况了如指掌,持续关注投资的风险状况,检查投资组合的风险假设并推动经理们创新更多的投资组合。风险经理评估所有交易在常态下以及在不同资产关联度升级的极端情况下对投资组合整体风险的影响。

    植入式风险经理的主要危险是“入乡随俗”,彻底被部门管理层同化,成为交易主导者而非交易质疑者。防止这种倾向是企业高级风险官员最终是CEO的责任。正是他们决定了整个公司风险文化的基调。

    战略规划风险讨论

    由于组织认知偏差倾向消解了有效风险管理的责任和信息机制,阻碍了关于风险之间互相影响的讨论。有效的风险讨论不仅应该是对抗性的,而且应该是包容性的。即使是一些小事件也能以无法预料的方式互相影响、强化,威胁公司生存。很多企业都有一项包容性很强的流程——战略规划。通过战略规划讨论,管理者就能够进行公司层面的风险管理。

    印度IT服务公司Infosys围绕平衡记分卡战略评估展开风险讨论。通过建设平衡记分卡体系,Infosys确认“培育客户关系”为关键目标,并确认了衡量标准,比如年度订单超过5000万美元的全球客户数量、大客户收益年增长率。当审视这个目标和绩效标准时,管理者意识到他们的战略带来了一个新的风险因素:客户违约。当Infosys的业务建立在众多小客户基础上的时候,个别客户违约并不能威胁到公司战略。但一个5000万美元客户的违约能给公司造成大损失。Infosys开始监控每一个大客户的信用违约掉期合约费率,作为估计客户违约可能性的主要指标。如果客户的费率上涨,Infosys就会加快回笼应收账款,或者要求客户按进度分期付款,以降低客户违约的可能性和损失。

    管理不可控风险

    外部风险基本上是企业不能控制的,企业应该侧重于识别、评估风险,并做出风险应对预案。

    有几种不同的外部风险来源:

    自然灾难和经济危机一旦发生,后果非常严重而且直接。它们通常可以预测,尽管它们的确切发生时间经常不可预测。

    地缘政治和环境变化对公司的影响是长期的,包括政策变动、政变等政治变化,全球变暖等长期环境变化,关键性自然资源(如净水)耗竭。

    竞争性风险对公司的影响是中期的,包括破坏性技术创新(如因特网、智能手机、条形码)和产业领导者的激进战略举措(如亚马逊进入书籍零售市场和苹果进入手机和消费电子产业)。

    企业可以对每一类外部风险采取不同的分析方式。

    尾部风险(指发生概率非常小,但一旦发生将造成极其严重的损失的风险)压力测试,可以帮助企业评估那些发生时间不能确切预测但对企业影响重大且直接的风险。金融服务公司采用压力测试来评估一旦原油价格上涨三倍会对公司的交易仓位和投资有什么影响。压力测试严重依赖于对关键变量变动的假设,而这种假设本身经常是存在偏见的。2007-2008年很多银行的尾部风险压力测试假设的最坏情况是美国房价在一段时间内趋于平稳,很少有企业想到测试一旦房价下跌会发生什么。很多公司以美国最近的房价作为推测基础,而美国房价已经几十年没怎么下跌,结果得出了过于乐观的市场预测。

    情景规划适用于长期分析,特别是5到10年。公司先设想几种未来可能发生的情形,再去想象会有哪些出人意料的事发生。这种分析方法可以开展充分客观的讨论,使得战略更具弹性。规划者审查政治、经济、技术、社会、监管、环境等动力因素并从中挑选一定数量的(通常是四个)对公司影响最大的因素。对每一个挑选出来的动力因素,要估计5到10年内的最大、最小值。

    作战模拟可以评估一个企业在破坏性的技术创新或者竞争对手的战略改变时的承受力。企业设置3到4支任务团队,设想现有或者潜在竞争对手近期的合理战略行动,这个时间范围要比情境规划短。然后,所有团队一起讨论聪明的竞争对手会怎样攻击公司的战略。这个过程帮助克服领导者忽视与自己的信念相反的数据的倾向,并且将竞争对手可能的博弈行为引入公司战略。

    企业可以采取以下行动来防备外部风险。首先,因为在不可预防风险中不存在道德风险,企业可以采用保险和套期保值来降低风险。其次,企业可以进行先期投资以避免风险发生时付出更大的代价。例如,如果在地震多发地区有工厂,企业可以增加建设投资以便在地震发生时保护工厂设备安全。最后,面临不同但类似风险的企业可以携手合作,共同应对风险。例如,北卡罗莱那大学的IT中心易受飓风威胁,而加州圣安地列斯断层上的大学则易发地震,飓风和地震在同一天发生的可能性低到可以忽略不计,因此两地大学可以通过设置互相支援的机制来保证IT数据中心的稳定。

  (中博思达版权所有)
分 享 到: 转播到腾讯微博