下载掌阅APP,畅读海量书库
立即打开
企业在发展的过程中总会产生投资者的投资价值和预期产生偏差的可能性,这种偏差可能是与预期相比投资价值过低,比如:电脑行业的显示屏技术集中在几家大的供应商手中,由于供应商的供货紧张,下游的电脑厂商可能会面临生产短缺,造成销售无法达成预期的目标;偏差也可能是与预期相比投资价值过高,比如:上市公司的计量货币为美元,当人民币对美元的汇率上涨时,经营业绩会由于汇率波动而出现超出预期的情况,但这种利好不可持续,如果不加以管理会给今后的管理造成压力。无论是过低还是过高都可能对预期计划产生影响,带来损失。为了避免这种风险,财务人员需要采用一些管理手段来降低相关风险,尽可能达到投资预期。本节我们重点学习一下风险管理的概念、分类和应对的基本方法。
风险可用以下公式来表示:
风险=概率×影响
式中,概率是指发生风险的可能性;影响是指事件会带来的财务收益或损失。
与不确定性相比,风险可以通过数据来反映和计算,因此可以采取一系列手段去控制和降低风险出现的可能性,把影响降至最低。
风险管理就是在企业或者项目有风险的情况下把可能造成的不良影响降至最低。通过风险识别、风险估测、风险评价,并在此基础上选择与优化各种风险管理技术,对风险实施有效控制和妥善处理风险所致损失,从而以最低的成本获得最大的安全保障。风险管理的具体内容包括:
(1)风险管理的对象是风险;
(2)风险管理的主体可以是任何组织(包括营利性组织和非营利组织)和个人;
(3)风险管理的过程包括风险识别、风险估测、风险评价、选择风险管理技术和评估风险管理效果等;
(4)风险管理的基本目标是以最低的成本获得最大的安全保障;
(5)风险管理成为一个独立的管理系统,并成为一门新兴学科。
市场开放、法规解禁、产品创新使不确定性增加,同时也会增加企业经营的风险。良好的风险管理有助于降低决策错误的概率、避免损失,从而提高企业的附加值。
我们在第1章中讲过,管理会计就是要从战略、管理和运营三个级别保证公司利益的最大化,风险管理就显得非常重要。如果企业在扩张的时候收购了财务造假的标的,如果企业在资产出售的时候被骗,如果企业经营过程的某些环节出现漏洞,再加上没有严密的方法、手段、专业的人员加以控制和管理,企业可能会遭受很大的损失,因此风险管理是为了:
(1)保证企业做出正确的决策;
(2)保障企业资产的安全和完整;
(3)实现企业的经营活动目标。
除了传统意义上的企业风险控制外,随着社会的不断发展,商业风险的关注点有所增加(包括新的风险和新的应对手段):
(1)依赖于信息技术。财务电算化和各种信息技术使工作实现流程化、标准化,从而实现自动化,但是由于人们过度依赖机器的计算和流程的管控,忽视了系统的更新、权限的配置等带来的风险。
(2)跨国运营。在公司战略中需要研究外部环境和内部环境,当企业扩张成跨国企业时就会面临政治、文化、政策等的不确定性,母国战略是否能在新的国家落地,是否能够沿用原来的战略和财务模型就变得异常复杂。
(3)精密复杂的产品技术。随着精密产品技术的不断发展和迭代,对精细化零部件供应、质量、齐套的管理和控制越来越复杂,任何一个环节的更新和变化都有可能使产品发生巨大的变化,从而影响企业经营。
(4)精密复杂的金融资产。金融市场的逐渐放开和互联网经济的蓬勃发展,使得企业可以利用更多的金融手段来解决资金的流动性问题,但在复杂的金融产品背后是复杂的金融运营和监管体系,过度使用金融杠杆会使经营风险成倍增长。
(5)品牌和企业声誉等无形资产的重要性不断提高。很多中国企业具有很好的品牌价值和声誉,这在公司兼并重组中有所体现,正是因为资本市场很活跃,测量无形资产、商誉的价值是否在合理范围内就非常重要。
(1)产品缺陷。鉴于资本市场的推动或自身发展的需要,很多企业开始采用快速上市、不断迭代的方法,但在快速上市的同时,产品的缺陷隐患增加了公司的经营风险。
(2)员工损害赔偿诉讼。法律的健全和企业员工保障机制的完善,给员工提供更多的保护。企业要遵守法律,保证员工的利益和权利,这对企业的经营管理提出更严格的要求。
(3)诽谤诉讼。现代商业社会中营销手段层出不穷,随着互联网、新媒体的蓬勃发展,大众传播迅速、影响力巨大,不真实、不确定的诽谤可能给企业造成很大的影响。如何管理舆情,如何在舆论发酵后妥善处理,成为新的挑战。
(4)窃取知识产权诉讼。知识产权越来越重要是因为它能带来越来越多的经济效益,因此如何保护自己的知识产权不被侵犯,或者不侵犯他人的知识产权都变得尤为重要。
(1)糟糕的战略。社会发展迅速,并购成为企业扩张的必要战略手段,但在这个过程中如何选择合适的标的,如何用合理的价格进行交割,都有可能影响公司整体战略是否能持续。
(2)管理不善的项目。和糟糕的战略类似,如果战略正确而执行出了问题,没能达成既定战略的要求,那么持续经营就存在风险。
(3)腐败的财务管理人员和管理高层。美国安然事件已经给大家敲响了警钟。腐败的财务管理和审计人员,为了追求账面数字而不择手段的管理层都会给公司带来不可估量的损失。
(1)金融资产市场。金融资产市场为企业提供多种多样的方法降低经营风险,比如提高现金回流的速度、降低坏账率等。
(2)保险。保险的发展为企业提供了多元的保障机制,可以购买不同的保险产品来规避公司在某些方面管理不足的风险。
上一部分我们讲述了风险管理的定义和重要性,以及现代商业新的风险管理关注点,现在我们就风险的种类和级别进行归纳和分类。由于风险的来源、性质、标的不同,会有不同的分类方法,我们先从战略会计的角度进行如下分类:自然灾害风险、战略风险、运营风险和财务风险。
自然灾害风险通常来自自然灾害和不可抗力,比如地震、台风等。这类风险的产生不但会给企业本身带来损失,也有可能对上游或者下游相关企业和个人产生一些影响。
举个例子:某IT企业的生产基地在深圳,深圳台风造成厂房坍塌,生产线浸泡受损,根据订单生产完还未发货的产品因浸泡无法按计划交货,这时财务要从几个方面来盘点损失:(1)厂房和生产线的直接损失;(2)库房中原材料和产成品的损失;(3)订单违约的损失。与此同时要寻找弥补损失的方法:(1)查看相关的保险条款,是否有对厂房、设备、原材料、产成品的赔偿条款;(2)寻找其他工厂和公司提供订单产品的机会;(3)协调相关部门对订单进行调整。总之就是尽一切可能降低公司的损失,保证利益最大化。
根据波特五力模型,战略风险通常来自潜在替代品的竞争、上下游环境的变化、行业内或者潜在竞争者的出现、资本和社会政策的变化。面对这样的风险,需要财务人员有对产业的理解和洞察,有对业务产品和竞争对手的了解,有对政策和资本的敏感,通过不断观察、学习和积累帮助企业降低战略风险。
运营风险会因企业的商业模式、战略规划的不同而不同,但基本是在企业运营的价值链环节产生的,比如客户满意度、诚信、声誉等,财务人员需要了解运营的价值链环节,知晓价值链中的关键控制点,并对这些控制点进行周期性的监控,从而将运营风险降到最低。
财务风险和传统的财务职责更相关,主要来源于定价风险、资产风险、货币风险、流动性风险,这些风险的管理在传统的财务管理中已经有详尽的讲解,不再赘述。
企业风险管理是一种风险管理框架,涉及辨别与组织目标有关的事件或情况(风险与机会),评估其可能性和影响程度,确定应对战略,并监督进展状况。
提到企业风险管理就不得不提美国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission,COSO)。1985年,美国注册会计师协会、美国会计师协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会。两年后,该委员会的赞助机构成立COSO,专门研究内部控制问题。COSO报告提出内部控制的目的是提高效率,减少资产损失风险,保证财务报告的可靠性和对法律法规的遵从。
由于COSO的推动,企业中的内部控制部门应运而生,这个部门通常设立在财务部,区别于外部审计和内部审计。它要求企业里的每个人都使用正确的方法,做该做的事情,而不是不择手段实现企业价值的最大化。
COSO企业风险管理框架如图2-5所示。
图2-5 COSO企业风险管理框架
(1)控制环境(control environment):它包括组织人员的诚实程度、价值观和能力;管理层哲学和经营模式;管理层分配权限和责任、组织和发展员工的方式;董事会提供的关注点和方向。控制环境影响员工的管理意识,是其他部分的基础。
(2)目标设定(target setting):主要是针对不同的执行层次和部门设定不同的管控目标。
(3)事件识别(business case identification):根据不同的管控目标对可能产生的风险进行识别和确认的过程。
(4)风险评估(risk assessment):确认和分析实现目标过程中的相关风险,是管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。
(5)风险反应(risk response):根据风险发生的可能性和影响的重要性所制定的四种应对策略,包括降低、避免、接受和转移。
(6)控制活动(control activities):帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能,包括各种活动,如批准、授权、证实、调整、绩效评价、资产保护和职责分离等。
(7)信息与沟通(information and communication):信息系统产生各种报告,包括经营、财务、合规等方面,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况和外部报告。所有人员都要了解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。
(8)监控(monitoring):监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和监控程序的有效性。内部控制的缺陷要及时向上级报告,严重的问题要报告给管理高层和董事会。
实施企业的风险管理除了依靠完善的内控体系、专业的内控人员、配合的企业员工外,还需要采用信息化的手段来进行培训与监控。
第一,要根据公司的流程划分管理和控制的职责,根据公司的战略和目标设置控制的原则和规定;
第二,根据公司的行业和特点识别公司的风险偏好;
第三,对这些风险偏好进行定期评估和分析;
第四,针对评估中出现重大风险的事件进行预警;
第五,对预警的项目制定有效的行动计划。
此外,内控部门还要针对出现的问题进行总结与报告,在下一次的规划中进行修正,如图2-6所示。
图2-6 企业风险管理流程
商业模式描述的是一个企业创造价值、传递价值及获得价值的基本原理或逻辑过程。
企业的商业模式画布包括客户细分、价值主张、渠道通路、客户关系、收入来源、核心资源、关键业务、重要伙伴、成本结构9大模块。
不同的商业模式会使企业进行不同的经营分析,经营分析的结果为企业提供反馈,帮助企业改善商业模式。
风险分为自然灾害风险、战略风险、运营风险、财务风险。
风险管理的要素包括控制环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控。