【人人都是"首席风险官"】首席风险官
风险管理曾经是别人的事。这个“别人”往往是企业安全主管,他要操心的事情小到消防演习,大到商业间谍,既要针对不安全的国家发出商务旅行警告,又要核查高管候选人的信用。在许多公司,“风险管理者”其实是指那个替公司买了各种保险,以确保出状况时有人能买单的人。
由于商业环境变得越来越不稳定,越来越复杂,企业的风险也被赋予了更多的内容,尤其是在2008年的经济危机之后——那次危机很大程度上就是由于太少人认真对待超大规模的风险而导致的。风险管理这一学科本身也在进化,同样发生变化的还有担任监督者角色的人选。如今,你跟几乎组织中的所有其他管理者一样都得负责风险管理。
“金融危机让人们懂得必须以更全面的方式进行风险管理,从而检查企业的方方面面,并评估所有领域存在的风险,”保险经纪公司HUB International的副总裁兼高级风险顾问吉·吉奥伊诺(Guy Gioino)说,“这意味着除了危害或严重威胁之外,(管理者)需要关注的内容要广泛得多。”
这个“更广泛的内容”——按照Winning with Risk Management一书的作者罗素·沃克(Russell Walker)的说法——包括一系列新的问题,例如融资或流动性风险、运营风险、监管体制风险、员工行动的风险(例如举报人或知识产权窃贼)以及客户和受害者风险。
财务顾问和精算师马克斯·鲁道夫(Max Rudolph)对过去七年企业最大的风险问题进行了一次调查。2014年年的前三名分别是财务波动、资产价格崩溃和网络安全/数据风险。这类调查结果显示出,企业的风险问题如今已经变得全球化,并往往来自于企业外部。此外,许多重要领域的风险其实已经超出了任何公司能够独自掌控的范畴。鲁道夫说,他个人最迫切的忧虑则是“集中度风险”,指的是企业把所有鸡蛋放在一个篮子里,例如只与一家银行存在业务关系或只有一位重要的供应商。
尽管企业风险管理的外延正在扩大,但最大的变化其实是在观念上:过去职责从不涉及风险的人如今也必须考虑出现意外时的应急预案,在其日常工作中加入情景规划的元素。在重新定义对风险的评估、管理和规避时,不管名片上印什么头衔,所有的员工都被企业当成了“首席风险官”。
让领导者寝食难安的问题
战略决策集团(Strategic Decisions Group)的董事长兼CEO和斯坦福大学的战略决策和风险管理证书课程的导师卡尔·斯佩茨勒(Carl Spetzler)警告说,对风险管理的传统认知已经过时了。“人们误解了一件事——事实上,需要进行管理的大多数风险并不是低概率、高危害的,”他说,“这些风险实际上更像是中等概率的事件。”
斯佩茨勒说,如今公司面临的重大风险中有70%来自核心价值驱动因子。“大多数风险管理者并不担心这类因素,因为这些因素被视为企业的正常组成部分。如果这些关键的驱动因子有几项同时出问题,就有可能摧毁一个企业。对我来说,最大的挑战在于如何将这些核心企业风险与传统的低概率、高危害的事件结合起来。”
鲁道夫举出了另一个风险管理领域发生变化的例子。精明的公司如今通过企业风险管理(ERM)——比传统的风险管理更全面,后者的内涵范围更窄——来进行更广泛的思考。鲁道夫说,目光长远的公司如今使用更复杂的ERM作为工具来进行更理智的战略决策,除了考虑传统的风险危害之外,还会考虑从风险中能够挖掘到的收益。平衡好这两者之间的关系就能进行更理想的战略决策,让企业焕发出更多活力。
普华永道(PricewaterhouseCoopers)华盛顿特区风险鉴证业务的治理、风险与合规领导人布赖恩·施瓦茨(BrianSchwartz)对这种评价表示赞同。“如今,许多组织开始不再只关注‘我们面临的10大或15大风险是什么?让我们每年对那些风险评估一次,并把其内容加以定义并登记造册,’”他说,“他们不再只把企业风险视为评估流程,而是更多地思考他们在意的风险如何与战略挂钩,如何与带动企业发展的具体绩效驱动因子挂钩。他们所做的事情已经远远超出了传统的企业风险评估范畴,这些组织实际上是在以更全面的方式监控和管理企业从输入到输出的全部风险。”
施瓦茨说,这是一种健康的趋势,因为有些风险会给企业的创利及长期健康发展发挥最大作用,公司因此而能对之进行评估和肯定其合理性。“如果这么做既能够防范风险的不利因素,又能在某种程度上提高企业的绩效,那就能一箭双雕,在两方面都收到良好的效果。”
与此同时,西北大学凯洛格商学院副教授沃克提醒说,在2008年的金融危机中还出现了另一个趋势:人人都明白,在面对与风险相关的危机时,高管们不能只用“我们以前不知道。我们过去没预见到。我们没有预料到”的说法来敷衍塞责。经历了那次危机之后,这些老掉牙的借口已经不能当作你的挡箭牌。沃克说,尽管没人能对所有的事都做好万全的准备,但人们对于卓越的风险管理有了新的期待。“那通常意味着从组织内部而不是外部开始着手。”
此外,他还说,企业思考(以及警惕)风险的范围已经超出了传统的风险管理,或者说,其内容不仅包括你公司或行业出于合理的缘故可能实际面临的意外,还包括因日益复杂的全球商业环境而出现的越来越多的风险因素,例如网络攻击。
培养中层监察者
面对越来越多的风险和潜在的严重后果,越来越多的公司意识到并接受了这样一个现实,即有效的风险管理已经不再是由传统的风险管理者或公司最高层监管的某个特别领域。如今,中层行政人员及管理者也需要关注风险问题,尤其是那些负责制造、客服或信息技术等基础流程的人。
曾任CNO Financial首席执行官、如今担任加拿大宏利金融集团(Manulife Financial)董事的吉姆·普里厄(Jim Prieur)解释说,尽管有了这种意识,组织还需要谨慎地制定一个综合性的重点,才能成功地动员这些人参与。“对许多中层管理者——包括那些正在往上爬的——来说,组织的重点一直都是盈利能力,”他说,“大多数中层管理者成长的环境中可能并没有把运营风险或监管风险当作是大问题。尽管他们最接近公司一线,但他们可能从来都没有把运营或名誉风险当作风险问题来考虑。这些管理者过去会把跟风险相关的问题放到一边,因为有其他人负责这些问题,而他们自己只用说:‘我不用担心那个。我的职责就是运营中东的这个分公司。’”
有鉴于此,普里厄说,改变中层领导者的日常思维才是让企业的未来变得更安全的关键。他说:“如今公司里每个人都必须考虑风险的问题。”
吉奥伊诺也同样认为,在如今这个难以预测的世界里,组织中的每个人都有责任在其具体的职能内进行风险管理。他说,人们至今还广泛认为风险管理是“风险管理部门的工作”,或者是最高管理层需要操心的事,这种想法让人们放弃了自己的责任,损害了公司有效控制风险的能力。他还认为,这种想法会妨碍公司基于对运营的认识构筑防范风险的第一道防线。
从风险管理的定义上来说,如果让公司的中层承担起这一工作,就有可能提前发现并解决问题,而不必等到它被呈递给CEO并变成一个重大问题,或者酿成全面爆发的危机。随着人们越来越多地意识到这一点,吉奥伊诺说,更多的公司正将风险管理变为中层管理者甚至是一般员工理应承担的工作。
相应地,更多的公司正在创造风险管理的工具,例如给低层级员工使用的匿名热线,让他们能够向管理层汇报潜在的问题。“这一点很重要,因为有些员工不习惯要求其直属上级关注他们发现的问题,”吉奥伊诺说,“他们更乐意以匿名的方式向管理者提供需要对方响应的信息。”
不过,事实上,太多的公司由于企业文化壁垒森严或者对问责制的观念淡漠,其中层管理者或更低层级的员工经常挂在嘴边说的是:“让我们把问题丢在一边。等到下个季度再来看看情况是否好转吧。”结果,已经发现的问题被忽视,而这些问题可能会因为没能得到公司的及时诊断,而迅速酝酿成严重的问题。
公司是否有可能提前发现问题,关键在于是否建立了重视调查和主动汇报问题的企业文化。“而这一文化是从高层往下灌输的,”沃克说。
斯佩茨勒说,重要的是让最高管理层和董事会意识到,最实际的风险管理需要由日常运营业务单位的中层管理者或掌管具体流程的业务线主管来完成。“风险管理需要在业务线这一层进行处理,因此这一级的管理者负责安装和监管制造或安全性程序,”他说,“风险管理者过去通常不会关注这类事情。”
优化风险管理最有效的方式就是发动中层员工对这一职责给予足够的关注。Fraud Solutions(一家专门从事知识产权盗窃和社交媒体披露的会计事务所)的首席顾问丹尼尔·德拉兹(DanielDraz)说,最理想的做法是由最高管理层和董事会促进负责任文化。“问题在于意识,在于高层是否告知了中层管理者公司面临何种风险以及他们该承担什么责任,”德拉兹说。
施瓦茨说,考虑到中层管理者对风险管理的重要性,更多的公司正将风险管理的职能整合到年度评估和薪酬评估中。“公司现在希望所有的员工都成为优秀的风险管理者,”他说,“所以我们现在可以看到公司在薪酬和奖励方面加大了强调风险管理的力度。”
风险防范是关键
金融危机之后,风险变革的另一个变化是组织更加重视风险防范,而这一风险防范工作取决于公司是否拥有合理的基础架构、已调配的资源和管理体系来承受重大风险的侵袭。
吉奥伊诺说,最重要、最现实的问题是对于风险的承受能力——或者说,公司是否拥有一套防范风险的体系,以承受在现实的前提下所能想到的最严重的灾难。“没有哪家公司能够消除所有风险。不过,你可以针对可能发生的所有风险来合理调配资源。现在每家公司都开始考虑这方面的措施了。”
全球安全咨询公司Kroll Advisory Solutions的高级执行董事艾伦·布里尔(Alan Brill)也认为,对风险的防范是优化风险管理的又一个前沿性话题。他经常与各种公司进行桌面推演以进行与风险相关事件的评估和防范。他们会重点关注被认为是最有可能对特定行业的特定企业构成威胁的一系列潜在情景。“经历过这类桌面推演的管理者在风险真正爆发时的表现要好得多,”他说。“他们还能更有力地减轻风险事件造成的损害。”
凯洛格商学院的沃克给我们介绍了一种看待风险的新角度,他将风险分为两类:一种风险是由于某个流程或输出不确定;另一种风险是由于某个体系过于复杂。有些公司现在不再将后者视为工程设计上的问题,而是将其当作一种风险来看待。“你可以控制后一种风险,”沃克说,“你可以对内部的流程进行控制。”
六西格玛这样的现代化管理体系也有助于消除误解,或解析流程偏差的复杂机制以减少风险的负面后果。“这是非常科学化的做法,”沃克说。
不过,在第类风险(一般是关于流程或输出的不确定性)中,组织仍然在努力地对未来进行预测。“就像是努力预测天气,”沃克说,“也许你很擅长预测天气。但是,你无法确定下个月气温有多低或者湿度是多少。你能做的只是为组织做好防范这些结果的准备。但防范才是你的工具,不过在减少复杂度时,你的工具是调配资源以解析复杂的机制。”
由于这类问题变得越来越复杂,为人们广泛理解的风险管理的定义也发生了变化。“我认为这一概念的定义早已扩大了,”施瓦茨说,“现在你会考虑财务风险、运营风险、战略风险、名誉风险——所有这些都是“风险的容器”。越来越多的公司在看待风险时,会将其与整体绩效挂钩。公司现在会更关心这样的风险,并在监管和应对这类风险上有更多的投入。”
施瓦茨说,在风险管理中有一个新兴起的相关课题,那就是风险之间的相互关联。人们过去曾经将风险视为独立的类别而分开监管,如今企业开始查看风险与风险之间的联系。他说,有些公司如今更倾向于斟酌某种类型的风险是否会引发另一种更严重的风险——如果答案是肯定的,企业又该如何应对以避开这种触发效应以及随之而来的更大风险?而且,由于全球化企业的复杂度不断增加,不同风险之间的这种关联性也变得更加令人担忧。
很明显,确保公司组织架构里的各级高管和管理者(以及一般员工)了解风险管理的新范畴,以及如何顺利应对之并非易事。如果不能让整个公司共同致力于警惕和报告组织内外可识别的风险,那么任何公司几乎都有可能在未来的某一天面临天翻地覆的灾难。