各種風險往往相伴而生。比如,有關營運風險的消息一旦傳出去,引起股價下跌,那么營運風險就很快演變為市場風險。
1999年夏,比利時的可口可樂瓶裝廠曝出劣質二氧化碳原料新聞,引發健康恐慌。隨后的產品撤出,以及糟糕的危機管理,使可口可樂的股價在兩個月內下降了13%.該公司花了1億多美元召回產品,使該年第二季度的凈收入下降了21%.
人為錯誤也會產生同樣嚴重的結果,2001年,一個經紀人打錯了一份訂單,把價值4.3億美元的股票當4300萬美元賣了出去,導致FTSE 100指數下降了2.2%.
縱觀80和90年代,此等天災人禍和轟動性的公司丑聞接踵而至,比如巴林銀行(Barings Bank)、安然(Enron)以及Worldcom,促使監管機構采取措施。歐洲監管機構"巴塞爾銀行監管委員會"(The Basel Committee for Banking Supervision)和英國"特恩布爾委員會"(Turnbull Committee)現在都要求企業和金融機構采用更完備的風險管理辦法,即所謂的"企業風險管理"(Enterprise Risk Management, ERM)。
企業風險管理(ERM)是一套系統化的方法,用來理解和管理企業面臨的各種風險。首先,管理者必須識別公司各個層面面臨的商業風險,上至董事會,下至部門經理。這話說來簡單,其實比較復雜,因為公司內部對風險的容忍程度不一樣。此外,ERM框架固然可以超越企業間的差異,提供一套透明、一致的風險管理語言,但大部分公司還不會說這種語言。麥肯錫公司(McKinsey)2002年5月對企業主管開展了一項調查,結果顯示,36%的企業主管并不完全了解企業所面臨的風險。
管理者在識別風險的時候,應考慮三大類別:
金融風險。金融風險的產生緣由,有可能是市場的變動,也有可能是企業債權人地位狀況的變化。例如,1998年,俄羅斯政府停止償付債券,導致盧布貶值,使擁有俄羅斯資產的企業蒙受經濟損失。
運營風險。比利時的可口可樂事件就是個例子。運營風險的產生,多半是由于程序和制度不完善。這類失誤是有辦法減少的。通用電氣(GE)等制造商開展了諸如"六個西格瑪"(Six Sigma)等項目,以大幅減少特定生產周期內的失誤數量。
業務量風險。如果企業在產品和服務需求、供應鏈結構或者競爭環境方面遇到意外變故,那么企業就面臨業務量風險。互聯網的發展就產生了許多這樣的風險。例如,網絡書店亞馬遜(Amazon.com)就沖擊了美國老牌書店Barnes and Noble的商業模式,打破了圖書市場的平衡。
企業風險管理(ERM)的第二步,是對風險進行評估。風險模擬有一些先進的方法,如決策分析(decision analysis)、風險值計算(value-at-risk calculations)和情境規劃(scenario planning)。這些方法有助于管理者評估特定事件的發生幾率。例如微軟公司(Microsoft)就運用風險值計算的方法,衡量其市場風險,而皇家荷蘭/殼牌石油(Royal Dutch/Shell)是率先運用"定量情境規劃"的企業之一。
最后一步也最關鍵:一旦風險已得到識別和評估,就必須對其進行管理。這里通常有兩種方法:一種是運用內部資源,比如自我保險。另外一種是將風險轉移給第三方,或者與之分擔。
自我保險就是企業把投資的資金留出來一部分,一旦出現問題,就用這筆資金來補償損失。這等于是企業在內部設立了一筆保險金。至于風險分擔,典型做法之一是生產商將部分生產流程外包出去。這并不意味著威脅完全消失,而是接受外包的企業在生產流程的相關環節有所專長,發生失誤的幾率大為降低。另外,企業通過外包,可集中精力處理它能夠對付的內部風險。
風險分擔也可能涉及資本市場。企業可決定發行災難債券,把自己承受的災難風險轉移到金融市場。這種債券是如何運作的呢?以發行地震風險債券的保險公司為例。如果在特定時間、地點范圍內,地震真的發生了,債券投資者就拿不到任何回報,保險公司用這筆錢來承擔損失。如果地震沒有發生,那么投資者就可拿回投資,還會有紅利。
與傳統的保險或再保險合約不同,災難債券的發行額是不受限制的。例如,媒體公司維旺迪(Vivendi)于2003年發行了一種災難債券,針對公司在加州業務面臨的地震風險,債券可覆蓋的損失總額達1.75億美元。
管理者還可以把不同類型的風險捆綁結合,與第三方進行交易。例如,1997年,技術公司霍尼韋爾(Honeywell)購買了一份保單,將財產險和責任險打包,與匯率風險相對。此舉幫助該公司把風險管理成本減低15%以上。
管理得當的企業風險管理(ERM)政策,能在董事會成員、管理者、供應商、客戶、投資者等群體之間形成一套統一的風險語言。這樣,第一線人員(他們能夠發現潛在問題的警告信號)就能更快地把情況告知決策者,以采取行動規避風險。
ERM并不要求企業有一個中央化的風險管理決策流程。相反,它從設計上增加每一個業務單位的風險責任。這種"由下而上"的方式鼓勵管理者積極衡量并控制所在部門的風險。
怎樣才能實施企業風險管理(ERM)政策呢?首先,如果最高管理層不以高姿態作出公開承諾,任何風險管理項目都無法啟動。這意味著要定期向員工和外部人士(如投資者或供應商)通報各種風險的情況。有些企業還調整激勵方案,使管理者不僅從實現盈利得到獎勵,還可從降低風險得到回報。
第二,風險意識必須是企業文化的一部分。問題是怎樣做到這一點?答案之一是設立首席風險官(Chief Risk Officer, CRO),其主要職能就是把風險管理作為企業的中心任務。
90年代期間,金融服務、公用事業、能源行業等風險密集型行業都任命了首席風險官。如今,此種趨勢也擴散到其它行業。最近,咨詢公司"通能太平"(Tillinghast-Towers Perrin)所做的一項調查顯示,標準普爾500強企業中有三分之一設立了首席風險官職位。這些公司包括波音(Boeing)、通用汽車(General Motors)和思科系統(Cisco Systems)。
企業風險管理(ERM)往往能讓企業看到一些不可預知的風險,促使管理者尋求適用于企業整體的解決方案。如果執行良好,ERM就能釋放企業的資源和資金儲備,使其能投入有助于增進股東價值的活動。把風險管理融入日常運營,而不是讓員工在出現風險時消極應對,能夠成為競爭優勢的來源。在這個動蕩的時代,ERM為創建更精明、更安全的企業而扮演的角色,勢必繼續加強。
