中国教育在线
2017年8月27日,由CMA培训专家-优财与美国管理会计师协会(IMA)共同主办的《2017年中国管理会计案例研讨会》在北京国际艺苑皇冠假日酒店召开。
IMA总裁兼首席执行官Jeffrey Thomson先生受邀出席此次活动,并在会议现场做了主题为《管理会计实践之风险管理》的观点分享。
以下为Jeffrey Thomson先生分享内容
大家上午好,今天非常荣幸能够来到我们《中国管理会计案例研讨会》。首先我今天想给大家讲的内容,先从两个事实开始,会基于战略风险管理对于风险回报特点的优化谈起,这是我们管理会计的一个报告。
第一个事实是报告所指出来的,现在企业当中如果进行战略的规划,或者进行战略变更,其中70%新的战略规划和战略变更都是以失败告终的。我们平时要想一想,如果我们想创造一个新的公司战略的话,其实很容易的,但是困难的是如何将这个公司战略执行下去。为什么创造容易?执行却很难呢?
首先企业的运营,现在环境越来越复杂,竞争非常非常激烈,压力非常大,现在数字化的冲击非常严重。此外在企业处在行业的价值链当中,这个价值链的数字化对于人工智能包括其他一些数字化,对于我们整个价值链的影响也是越来越大。就是说我们各个行业现在变化速度和频率越来越快。
此外消费者,或者他们对于服务的要求越来越高,对于成本的要求越来越低,对于各方面指标要求越来越高,所有这些因素加在一起使得我们商业企业的经营环境压力大风险高。因此各个企业在进行战略规划制订和战略执行当中需要找到他们能够利用的各种各样的优势,才能够保证成功。因此在这里我们需要仔细思考企业风险管理,就是ERM所能起到的作用。
我今天给大家讲的不仅仅是纯理论方面的思考,更多是来自一些实践的经验和实践的思考,因为我曾经担任市值800多亿电信企业的CFO,我们公司也曾经面临各种各样新技术、无线等颠覆性的技术所带来的冲击。
刚才我用了10分钟的时间做了开场白,希望大家在我开场白当中能够记住刚才讲的关键词,70%战略变更的失败率,风险、战略,各种竞争压力等等,希望大家在一会儿能够关注我开场白所强调的这些内容。
大家看这个名字《企业风险管理》,企业的风险与战略和绩效协调一致,我们选择这个题目是有目的的,因为这里的风险不仅仅是企业的合规风险、审计风险,更多是面向企业未来战略的发展、战略的制订。
如果说今天上午我们这个演讲,和风险这个词相比,其实我更多的想用的一个词就是信誉,信誉这个词是我更加感兴趣,也希望大家记住这个词。对于每个个人,对于像IMA,像任何处理税务等等方方面面的内容相比,信誉是最重要的,远比现金流这些东西重要,信誉是我们花很多力气争取来的,信誉是非常宝贵的,信誉是我们一旦失去之后很难再找回来的东西。当我们讲企业风险管理的时候我们可以用防守的方法,也可以从进攻的思路考虑,但是不管怎么样都是培育、维护、增强一个企业信誉的过程。
比如说,如果我们采取防守、防御的方法进行企业的风险管理的话,我们就能够防止,或者尽量减少一个灾难对企业所造成的影响。如何对一个企业的信誉进行保护和维护。如果我们通过进攻或者通过主动的方式进行企业风险管理,它能够增加企业的信誉,从企业管理角度来说,能够使企业具有更高的竞争能力。
像JIM刚才讲的,IMA之所以取得一定意义上的成功,就是我们积极致力于通过主动的方式增加企业的风险管理,因为信誉对于各位所在的公司的品牌和对于IMA的品牌来说都是非常重要。
刚才讲的一共想引用两个,第二个就在我们管理会计发出的报告当中,这个报告大家都可以在网站上免费下载。
第二个是一些上市公司股票市值的增加和减少,在调查中我们发现,一家上市企业风险60%是来自于战略性的,30%来自运营的,只有10%来自于财务的。那么我在讲企业风险管理这个词的时候,我以前很少讲企业,现在我想讲一下,因为这个风险管理不仅仅是短期的,像企业一些风险的对冲,不是短期的,企业是不是能够维护他在行业当中的信誉,以及企业有没有能力实现企业整体所设定的战略目标。
为什么我要说企业风险管理呢?是因为企业的风险管理是以企业这个大的背景作为我们所认知的目标,而不仅仅是财务。企业风险包括哪些?比如说我们企业的传承有序的风险,比如说企业后备人才培养和梯队建设的风险,比如说企业面对一些颠覆性技术、颠覆性商业模式的能力。未来比如说像人工智能,像机器人等等,包括认知计算等等这些新的技术是不是对企业未来可持续发展带来风险。
我想给大家举一个例子,关于我们企业风险管理的例子。
首先它的难点在于战略的建设、建立和战略的执行。
第二就是对于企业影响最大的风险,大部分都是非财务性的风险。大家谁对于COSO这个词知道或者熟悉?如果大家是CMA的学员或者CMA会员,大家应该知道COSO这个词,因为每次考试都会考。
COSO是由五家非常著名的会计师组织合作成立的,包括AICPA,美国会计师协会、FEI、IMA和The Instiute Of internal Auditors共同成立。在1985年的时候成立的COSO,COSO是五家初始的成员单位之一。当时我们成立COSO主要的目的是解决在企业财务当中所面临的一些像银行的丑闻,内部控制,还有欺诈、风险以及公司治理等相关的问题。
我们看到这上面有中英文对照的COSO的使命和原则。大家可以看到良好的风险管理和风险控制对企业组织的长期成功是非常重要的,大家看到长期的成功,就不只是致力于合规方面,还包括企业长期的业务,包括未来战略发展,企业如何转型升级等等都是包括在内的。所以大家可以看到COSO它的任务和宗旨已经超越了财务和会计这个简单的范畴,它通过财务和会计方面的努力,能够使企业获得更好的企业运营效果和企业的实践。
大家对于COSO和COSO的企业风险管理都是很熟悉的。大家是不是记得,第一个COSO ERM的框架是在2004年研究制定的。在过去的两年当中,包括在中国财政部的建议和指导之下,我们COSO ERM的框架有了非常明显的一些改变和一些修改,更好地能够体现出企业的战略等等这些宏观的内容。
2017年版本的COSO企业风险管理的框架将在2017年9月6号的时候正式发布。所以说大家是全世界第一批首先能够了解一下我们2017新COSO ERM框架的人,向大家表示祝贺。
我先介绍一下企业风险管理ERM究竟有哪些价值,以及COSO ERM这个框架如何实现ERM所想要为大家和企业带来的价值。
刚才我们讲到企业风险管理ERM有两个思路的:一个是防御性的,一个是进攻性的。左边那个完全是防御性的,被动的,所以大家可以看它的关键词:降低风险、消除风险、保存企业的价值。那么右边这个通过主动性、积极性的思路所能体现的价值。就是通过ERM为企业创造价值,通过ERM使企业价值最大化,通过ERM将企业的风险转化成企业在竞争环境下的差异化的竞争力。
比如说举一个例子,数据安全。数据安全这个问题不管在中国还是美国都是非常重要的大问题。大家想象一下如果数据出现了问题,数据出现泄露,对企业的信誉和声誉会造成什么样的影响。比如说数据安全这个问题,如果ERM从左边防御性的思路来考虑,如果出现可能的数据安全问题怎么解决,如果防御思路就是上保险,出了风险,出了问题,客户关键信息被暴露之后,我们就通过保险进行自我赔偿,就是说将风险分散出去。
我们对于风险的反应,刚才讲到被动式,这个没有问题。那么我们考虑一下,如果从主动性、进攻性的思路来考虑,怎么体现我们的战略和价值呢?如果从进攻的思路来进行ERM的思考,我们会问这样的问题,们有没有一个非常安全的协议?有没有非常完备的密码体系对我们关键的数据进行保护?我们有没有一个有详细文件记录的数据安全的政策?如果我们出现问题,我们有没有文件记录企业可持续性的紧急的应对计划呢?如果我们出现了关键信息泄露的事件,我们有没有一个完整、完备的市场应对计划,尽量减少它对我们生意所带来的风险?所以说,大家看到是两种不同的思路,一个是如何进行风险的分担,关于数据安全。一个是如何更好进行风险的保护,夹带这两个结合在一起共同组成一个一揽子的计划,一个企业风险管理的计划,不断增加企业的声誉和价值。
我想讲一下内部控制和企业风险管理的关系。左边就是我们企业内控的立方体,企业内控是风险管理的一个基本思路,它的主要设计思路就是设定一个目标,然后用内控的措施来防范这些风险。就是说内控更多是基础性的,如何来进行风险的最小化。内控一共五个模块,控制环境、风险评估、布置活动、信息沟通以及监控活动,大家学习考试一定非常熟悉这五个模块。在风险评估这个模块拿出来之后分成三个部分:事件识别、风险评估和风险响应,风险评估和风险响应拿出来就变成我们风险管理的一个大的内容。将这个展开就是从2004年版本的ERM的框架。2004年,包括2017年ERM的框架,基本上它整个的组成思路都是一样的,首先设定一个目标、识别风险,对风险进行响应,然后通过内控的措施来达到我们所设定的目标。ERM就是纳入我们刚才所讲的风险控制,然后把它通过内控措施上升到整个企业的战略和企业声誉的角度。
现在我想给大家简单总结一下。
现在全球企业风险,ERM企业风险管理的一些实践。现在全球ERM的工作确实比以前要更好了,但是如果从战略应用的角度来说,它还不是太成功。我们一般都假设美国,发达国家它的很多做法,包括一些公司的财务行为都是非常成熟,但是实际上KPMG做了一个调查,很多企业CEO都认为他们对于一些颠覆性的事件,包括一些创新性的事件没有一个统一的战略性思考。我们这个调查中还发现有75%的企业CEO都讲到他们每五年都要对整个企业所能带来的价值,就是企业的价值定位进行重新的更新,目的就是能够跟上现在全世界的发展态势。
如果大家都觉得,其实公司没有问题,就算里面出现一些欺诈等内部的丑闻仅仅只是因为内控的问题,监管的问题的话,那么我给大家举几个例子。大家想想这些企业,由于企业风险管理包括内控出现的问题所造成的声誉上的损失,以及恢复这些声誉上的损失所付出的巨大努力。
大家想想三星所用的一些品牌,想想那些事件出现之后对企业领导的影响。是不是一个ERM就能够完全解决这些问题不会出现这些所有的风险呢?肯定不会。但是一个非常好的风险管理的制度能够在某种程度上保证我们的企业战略能够在尽量少的风险干扰下进行执行。
就像内控一样,企业风险管理不是100%,但是能够很大程度上保证这些企业以一个正常的态势运营。那么我们内控、企业风险管理有很长的路要走,正是因为有很多问题需要解决,所以对我们这些CMA来说就是机会。这只是给大家看几个这样的案例,一些内控包括风险管理出现问题给一些知名的公司带来的巨大影响,声誉上的影响。也许你的产品和你的服务都是非常伟大的,都是非常好的,但是如果你失去你的消费者的信任的话,任何伟大的产品和服务都没有意义了。
大家可以读这个乐视生态和乐视电视详细的内容。大家知道,其实我是非常喜欢这些具有企业家精神,具有创新精神的企业的。但是,这些初创型的或者这些具有创新精神的企业,在发展的时候,未来发展潜力越来越大,这些投资的人越来越多,因此可以烧的钱越来越多,这个过程中有的创始人就忘记企业本身,当时创立企业的初衷,把企业当做价值创造,一个企业最根本的商业法则。
同样一种情况,就是两个人,他的目标或者两个人的想法不一样了,他的观点就不一样了。我们将内控和企业风险管理比喻为一个,类似于一辆车的刹车或者一个刹车板一样。有的企业家只讲刹车板完全是防御性的,就是踩一下就不至于车毁人亡,不至于出现灾难性的事故。也许另外一个企业家不将刹车作为停下来,让你减速,别出事故的纯防御性的工具,而是作为一个保险,能够保证让你更快、更安心的发展下去。
我们对于风险本质的理解,就是说决策的艺术和科学在现代经济市场中居于核心的地位。就是我们做每项决策的时候,实际上所有的决策都是和相关的风险结合在一起的,每个决策对于一些颠覆性技术的反应,是反应还是不反应,都是一个带有风险的决策,做出决策都是有风险的。对于决策带来的风险都应该进行公开的评估、审核和思考,其实这就是ERM的根本。
那些使用ERM对于公司所有不确定因素进行评估的企业,不仅仅能够基本的生存下去,而且基本上都能够在未来发展的非常好。我用一点时间简单介绍一下马上要发布2017版本的COSO ERM框架当中的一些内容。
大家会看到在我们新的版本当中,与战略相关这个关键词会反复出现,肯定会出现在9月6号发布的新的2017COSO ERM框架当中。这个就是我们的框架,一共110页。刚才我讲的,在新的框架当中花了很大的篇幅讲了企业整合一体,就是说一个企业总体的运营,以及ERM企业风险管理如何能够为企业创造价值,如何能够为企业的绩效提高起到关键的作用。它不是财务的那些模型,是一个非常简单的商业模式的模型。从最左边开始,一个企业的使命是什么?愿景是什么?核心价值是什么?然后通过企业愿景和核心价值推导到中间,形成企业的战略和商业目标,在这里企业的战略和商业目标企业风险管理将起到非常重要的作用,最后企业风险管理的目标就是到右边,到第三步为企业的绩效提高做出贡献。
那么基于公司愿景、使命和核心价值所定立的企业战略和商业目标一共有三个企业风险管理会总体嵌入到战略和商业目标当中。
第一个就是企业的战略没有能够形成一致性的可能性。这是企业的一个风险,因为我们的战略是建立在企业的使命、愿景和核心价值观基础上的,但是也有可能我们基于使命、愿景、核心价值观创造的战略,和使命、愿景和核心价值观没有形成一致,这样的战略可能是没有办法持续下去的。
另外一个就是战略选择所带来的影响比如说你根据战略所产生的竞争提供的服务、产品、创新等等,它们有什么样的风险。
比如说刚才在Jim发言的时候他讲到咱们IMA要扩张到世界其他的地方,这样的战略选择也会带来相应的风险。比如说去其他国家,数据安全的风险,IMA作为一个NGO(非政府组织),其他国家对于NGO相关法律的风险,以及其他地方的消费者能不能接受,还有法律法规的风险,这些风险我们都需要公开的讨论和公开的评估,并纳入到这些所有的讨论和评估内容当中。当你读110页新的框架的内容和其他一些治理公司的流程结合在一起,这才是企业风险管理最核心的内容。
我们知道文化是不一样的,特别是每个不同国家的人,人一般做事的行为、方法,包括风险的特点。因此我们需要这些文化的因素也考虑进去,更加多的文化因素参与,而不希望像有的文化将预测风险和期待风险作为一个,不是很吉利或者不好的事情来做。
再用一点时间讲一下最新COSO的框架内容。和2004年相比,大家知道2004年版本有一个立方体的魔方式的东西,2017版的就没有魔方了。我们新一个版本企业风险管理不是那种立方体,魔方式的,而是有这样一个非常漂亮的类似于彩带式的,当然它是和企业总体的运营相关的,企业不是线性的,只是这样表述,从使命、愿景、核心价值观,到战略开发,企业的目标制定,绩效,最后是提升企业的价值。
下面五个块就是新的COSO一些风险框架的组成部分,一会儿我要详细的每个再讲一下。一共分五大类20个原则。这五大类包括治理和文化;战略目标制定;绩效;审查和纠正;信息交流和报告五个部分。任何一个孤立的企业风险管理是不可能成功的。
如果想将这110多页新版的框架用一张幻灯片做一个提纲挈领的总结,我想就用这张幻灯片可以达到这样的目的。大家看这张幻灯片,五个组成部分:治理和文化、战略和目标制定,绩效和审查和纠正、信息交流和报告当中一共有20个细分原则。再讲一下20条关键的原则,这20个关键原则是我们的一个判断,是我们对于能够帮助企业进行风险战略运营所体现的一个一致性的原则。COSO最初的宗旨就是我们要有一个非常好企业风险管理的体系,要体现出我们刚才所讲的20个原则,这些原则需要体现在ERM里面的,这些原则需要整合在公司整体的流程当中。
这20个原则,我只选择几个来谈一下我的思考。这些所有新的框架、新的原则,相关的案例,在9月6号前后大家就可以拿到了。
比如说我们在风险管理框架当中第一个内容治理和文化当中的第一条原则,董事会进行风险监管。比如说你有没有相关的规定,公司的流程规定,你的董事会和高管有没有定期密切的交流。
给大家举一个例子,几年前全世界CMA认证的管理会计师90%都是美国人,就是美国国内的,10%是国外的,现在80%都是国外的。这样一种变化其实表明了IMA这个组织国际化的战略走向。那么这个战略走向我们董事会是不是清楚,或者我们董事会是不是决定了这么一个战略走向,只有我知道。我知道所以我告诉大家,我们董事会是知道的,我们董事会是知道国际化战略走向,也知道我们这个战略走向可能会给我们IMA这个企业带来什么风险,而且我们也讨论过,我们是否能够接受这样的风险。
接下来我们看第三个,定义理想的文化。详细讲一下什么意思呢?比如说一个企业,企业可能出现什么风险、会遇到什么样的麻烦,这个事情我们是不是应该公开讨论。或者我们对于高管,对于老板只是凭着一个报喜不报忧的状态,大家都是这么干的,这么一个公司文化。比如说如果一个教育员在进行教育的时候出现了担忧,比如说像白总,管理某一个地区的负责人,他有风险,公司都不鼓励他将这个风险汇报出去,这样可能给企业带来巨大的风险,给声誉带来巨大的灾难。因此我们要建立什么文化呢?风险大家愿意公开讨论,公开思考的这样一个文化氛围。
在战略和目标制定这个内容下,我们简单讲一下第7点,定义风险偏好。定义风险偏好是什么呢?就是我们的董事会包括高管大家协商之后一致决定,哪一类或者哪一级别的风险是公司愿意承担的,或者公司的一个风险底线。一个企业,即使不是明确写下来,就是我们的董事会,我们的高管层,包括企业、分公司有没有公开讨论过。就是我们的风险偏好是什么,我们愿意保守这家公司,还是愿意公开的承担风险,公开的讨论。风险偏好不仅仅是一个节省成本,增加收入性成本的问题。
在绩效这个组成部分当中我们看一下第14条原则,综合看待风险的原则。比如说我们IMA这个组织吧,比如说白总发现中国有一个风险,不管是监管风险还是服务的风险,他需要将这个风险和所有的各种各样其他风险进行综合的考量。对于一个企业的风险来说,只是孤立的看待某一个风险,而不是把风险整合起来看这是没有任何好处的,只有将所有风险整合起来思考才有利于一个企业的可持续发展。
审查和纠正,保证你的ERM是能够和你现在商业环境相关的。第15条原则,评估重大的变化。我们这个世界是在很快速不断变化当中,你的目标、风险和内控,如果不能够随着我们变化,甚至这些周边环境相应进行变化是不行的,我们必须对现在出现的重大变化,以及可能对ERM产生的影响进行充分的讨论。我们只有有效对于我们可能带来的一些冲击,或者重要变化进行应对,才能够在这个基础上制定一个有效的ERM。
最后我们再看一下信息交流和报告这个组成部分。利用信息和技术,比如说利用最先进的信息和技术对于公司的战略、公司的风险进行交流。比如说利用打分卡一些新的技术对公司的战略进行评定。
最后总结一下,CMA,管理会计师,我们有这个能力、有这个机会、有非常好的方法为公司的战略发展做出我们的贡献。企业未来的生存环境会越来越严苛,取得成功也越来越难,对于我们这些管理会计师来说,我们作为一个企业的合作伙伴,想作为一个被信任的合作伙伴也会越来越难。只要我们能够持续学习,只要我们能够使用管理会计的知识,我们就能够有机会为我们自己的事业生涯,为我们所服务的企业做出重大的贡献。非常感谢大家!
相关名词:
ERM(Enterprise Risk Management,企业风险管理)是对企业内可能产生的各种风险进行识别、衡量、分析、评价,并适时采取及时有效的方法进行防范和控制,用最经济合理的方法来综合处理风险,以实现最大安全保障的一种科学管理方法。
COSO是美国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission)的英文缩写。
本文为IMA美国管理会计师协会总裁 Jeffrey C. Thomson 先生在优财CMA-中国管理会计案例研讨会演讲内容,转载请注明来源。
