董事必问（一）： 风险管理知多少？

前言

 

加拿大特许会计师协会（CICA）的风险管理和监控委员会编写了这本小册子来帮助董事会履行它们在风险监管方面的职责。它的主要目的是指导董事的工作，董事会也可能想以它作为定位契入讨论。

 

董事的监管角色包括质询管理层以确保在战略和商业计划过程中已充分考虑了风险因素。这本小册子为董事会提供有关如何建议质询的问题，去询问CEO、高级管理层、专业咨询人员以及董事会自身。对每个问题有简短的背景说明和一些推荐操作方案。我们希望董事和CEO们发现它对于评估他们当前的风险监控方法并做出适当的改进有所帮助。

 

世上不存在适用于每个董事会和每个公司的单一机制。我们认为，寻找方法使董事会参与到持续的战略计划和风险的过程（这种过程应有建设性意义并适用于公司当前所处的环境）中来是“独立的董事会领导”和CEO的共同职责。

 

风险管理理论和实践近年来得到了相当的发展且还会继续保持这种发展势头。最大的变化之一是由较大型的组织发展起来的一种应用于风险管理的协调和整合的方法，通常称为“公司风险管理”（ERM）。ERM的基础是，组织的每一个部分通过采用由一个集中的风险管理协调人提供的机制和指导，在它自己的商业活动领域对管理风险负责。一些大型组织委派首席风险官或其他高级行政人员。另一些则有风险管理委员会或其他协调机制。CICA的《新经济中的风险管理》提供了ERM过程的详细描述。

 

董事与风险

 

相对于其他职责，如今人们对董事会和董事在以下方面的责任要求越来越高：参与制定并批准组织的战略方向，并且确认有适当到位的控制机制，以识别、管理和监测那些从其组织的商业战略衍生出来的商业风险。公司治理联合委员会在他们的正式报告《不仅仅为了遵守法规：构建管理文化》中描述了董事会的角色。

 

董事会在参与战略计划和监测风险时必须明了董事并非在那儿管理企业经营，而是负责监督管理本身，并且要维持其可信度。当职责明晰、角色受到尊重、有效率的董事会将为制定战略方向和批准战略计划做出贡献。他们将监督管理层现有用以识别商业机会和商业风险的机制。他们将权衡公司可接纳和承受的风险程度及类型。

 

他们将监测管理层用以控制大范围商业风险的系统和机制。最重要的是，他们将在持续发展的基础上与管理层一起审核战略环境的变化、正在出现的关键性商业风险和机遇、管理风险和机遇的方式以及在必要时应对战略方向做出的可能调整。

 

这部分包含了20个问题，董事会可以用来提问以评估其在完成战略计划和风险的监督职责方面的有效程度。

 

这些问题可以分为四组。前三组针对组织整体，董事可以在与CEO及其他高级管理团队成员的讨论中选择运用它们。除此之外，这些问题可以作为董事会上会议演示的基础。这些分组大体上与整合的风险管理过程各要素一致：

 

•战略计划和风险：识别、分析和评价商业风险和机遇

•风险管理程序：设计和实施管理商业风险的策略

• 风险监测和报告：实施监测和报告商业风险的程序

 

第四组中的问题- 董事会有效性-主要是针对董事会自身的，可能更适用于董事之间的讨论。

 

提问只是第一步。董事们必须要求有适当的答案并且风险得以正确地识别和管理。他们密切关注来自管理层的简报和信息，然后以他们自己的个人观察、经验、常识和良好的直觉来检验他们所了解到的东西。

 

他们也尊重他们的“内在感受”- 他们的基于经验的直觉会提醒他们某些事情不对劲。直觉本身并不足以质疑答案，但如果它引起人们的注意并敦促他们提出更多的探索性的问题，即是有价值的。

 

风险管理是一个复杂的过程，但基础的概念非常简单。实际上只有四种可选的风险管理策略：

 

•为了规避风险而选择放弃特定类型的活动

• 通过保险、套期保值、外包等将风险转移给第三方

•运用预防和探查的控制方法来降低风险

• 接受风险，当确认这样做的收益大于转移和降低风险的成本

 

董事应就风险提出的问题：

 

在提出问题和评价答案时董事会成员应牢记以下的建议：

 

这本小册子里的20个问题旨在于帮助董事会和高级管理层一起合作，以寻找可行的方法来监测和评估企业识别和管理商业风险的过程。对每个问题有一个简短的讨论，提供关于提问的原因和相应风险管理目标。紧接在讨论之后的，是一些建立在当前一些顶级公司内应用的公司风险管理实务基础上的“推荐方案”。当然这些方案并非放之四海皆准的实务操作或正确答案。实际上，它们好比是指示棒，帮助董事会主导并致力于与CEO及管理层的讨论。考虑的重点不在于“我们是否按这些方案做了？”而是“我们的操作方法是否达到了同样的风险管理目标？”

 

战略计划与风险

 

董事会的职责是批准公司总体的战略方针。作为计划过程的一部分，董事会必须清楚地理解公司目前的商业战略、成功的关键因素及相关的商业风险。

 

有效的董事会与CEO及高级管理层一起积极参与设定公司的总体战略方针，批准战略计划。他们监督此过程以及管理层现有识别和管理商业风险的控制机制。他们积极复核这些商业风险对实现公司的战略目标的潜在影响。

 

而且，经过对机遇和风险的深思熟虑，董事会决定公司所能接受并承担的商业风险的性质和程度。

 

    “只要愿意，永远不会晚。”-乔治.艾略特

 

 

1、我们如何将风险管理和公司的战略方针及计划相结合？

 

一个组织的战略方针关系到它如何利用自身资源如实物、资金、智力及技术以获取并维持市场竞争优势。战略的实施往往包括接触并把握利润丰厚的新商机，终止非赢利的项目以及巩固其他业务经营。相应的风险管理则牵涉到分析创业和新投资的财务可行性，以及评估这个组织作为一个整体，所面临的内外部的机遇及危险对它的影响。

 

推荐方案：

 

董事会致力于制定战略方针、审批战略计划时，应对可能影响战略目标实现的商业风险有透彻的了解。

 

在制定战略计划的过程中，应考虑到组织的核心竞争力、宗旨、目标及其优势和弱点，组织所面临的机遇和危险。战略计划的制定过程还应考虑管理层所作的预测和假设。

 

风险管理活动应整合在组织的战略计划的制定和实施过程中。

 

执行绩效关键目标应建立在积极评价并权衡风险和回报的基础上。战略及经营计划不应单单考虑最有利的情况，还应积极考虑包括最坏情形在内的一系列可能出现情况。

 

2、我们主要的商业风险是什么？

 

在多数组织面临一些首要风险，这些风险对它们的成功、生存和战略而言举足轻重。对董事来说有两点很重要：一是知晓并理解这些风险，二是管理层定期向董事会简要汇报这些风险。例如：全球黄金、石油或其它商品的价格波动，消费类产品的安全性能，堤坝、核电站以及其它大型建筑的完整情况。

 

一个组织成功的主要推动因素和潜在的风险是为它工作的人的才能品格。好的人员加上合适的资源比一个能力和方法都有限的团队更可能取得成果。

 

推荐方案

 

董事会应确保管理层有一套结构化的程序来识别、监测和管理组织的商业风险，并定期向董事会提供简要情况汇报。战略计划则应包括对价格变动、自然灾害事件和其它主要商业风险涉及的一系列可能性的考查（包括最坏的打算）。

 

3.我们承担的风险适量吗？

 

风险承担与一个组织的价值观以及它的所有者或核心股东的期望值密切相关。重要的是董事会和管理层对组织的偏好和风险承受能力以及基于此的风险容忍度达成共识。当就组织的总体风险容忍度形成一致意见时，董事会和管理层应该适当平衡“价值创造”和“价值保护”。

 

风险来自于企业经营的方方面面，可以是日常风险如提供信用、对合同投标、对某项投资作决定，也可以是那些较大的、改变组织战略方向的新投资和措施。董事会应要求组织具有这样的机制，以确保能适当决策所有与风险相关的事宜。但董事会必须直接参与主要决策，并要保证综合风险与他们所能接受的程度相当。

 

那些有较大风险偏好的组织所追逐的机会要么回报丰厚，要么就无法收回投资。比如从事矿物勘探的Biotech公司以及其他要求无回报保证所投资的产业是合理的高风险投机。另一些组织则偏好较低的风险，更注重资产保全和稳步成长。

 

风险承受能力还和组织的财务状况以及投资项目规模有关。一个公司债务成本较高而营运资本有限，如果过度追求成长性策略，则很有可能超越它承担风险的能力。在这种情况下，考虑调整公司的战略方针，使其至少在短期内更务实，应该是更为恰当的。相反，如果一个公司主要靠经营活动取得的现金支持其发展的话，它可能有更强的能力承担它的发展战略带来的风险。成功的组织懂得风险的可容忍度，并能有选择地承担风险。

 

推荐方案：

 

战略计划程序要顾及组织的风险偏好和承受能力，并运用分析技术（如风险敏感性分析）的去确定风险的承受量。通过特定的风险控制技术，如保险、套期保值，对时间选择和杠杆因素的调节，使个别风险的影响最小化，实现成本效益。

 

定义清楚的程序以适当地设置、审核、监测和报告所有主要类型的风险的容忍程度，并确保商业策略与这些风险容忍度保持一致。

 

董事会在知晓细节的情况下审批组织的总体风险容忍限度，并核定能承担和不能承担的风险类型。

 

应定期复核风险容忍度并根据现有的外部情况、融资能力和组织当前的目标进行调整。

 

建立机制确保组织内人员的活动在经董事会审批的风险容忍度范围内进行。

 

4. 我们识别、评估以及管理商业风险的机制有效么？

 

董事会不需要熟悉他们的组织所面临的所有风险，但他们应要求组织具有综合且有效的风险管理机制。识别、评估以及管理组织面临的风险是一项复杂而具挑战性的工作。不过，可以借助一些技术和操作指南节约时间，帮助识别、评估和管理商业风险。

 

对每个组织而言，识别、评估和管理风险都是合理的目标。它们采用何种程序、实际如何操作则取决于组织的规模、性质和复杂性。以下供借鉴的方案反映了那些顶级公司，尤其是金融机构和公共事业型组织的极具创意的实践。其他组织可以根据它们的特殊情况加以修改借用。

 

推荐方案：

 

董事会确保组织具有：

 

完善定义的机制，能将涉及战略、经营和公司报告的风险加以分类，无论这些风险是财务的还是非财务的。分类框架制定得足够详细，使管理层能以它为基础建立和维护风险管理的政策和操作程序。 完善定义的风险管理框架，能清楚地识别对该组织特有业务、目标、方法和活动而言的主要风险因素。

 

5. 组织中的人员对“风险” 的理解是否一致？

 

若不加以明确定义，“风险”对不同的人有着不同的含义。例如，传统意义上“风险”是特定的危险或威胁，而“风险管理”的意思是通过购买保险以及采取其他的步骤去防止财务上的损失。今天，“风险”和“风险管理”这两个术语已经涵盖了商业中的所有方面，并且包括机遇和危险两个方面。

 

那些应该归属于风险领域？ 举例如下：

 

市场状况：新的竞争者、政治和监管环境 商业程序：技术、人力资源、商业中止、环境问题、危机 产品和服务质量：违法或不道德的行为 品牌形象 季度和年度财务报告的真实性，包括管理层讨论和分析 资产负债表外项目、担保、衍生物  

一个组织如何定义风险严格讲无关紧要，但至关重要的是董事会、高级管理层和公司的雇员都对“风险”这个词在他们各自的职责范围内的含义有共同的认识。

 

推荐方案：

 

组织针对战略计划和风险管理的政策和执行程序包括对风险的定义和归类。这种风险定义和归类要以适当的详细程度传达到组织中的每一个人。

 

风险管理过程

 

要成功地贯彻公司的战略计划，就需要有方法和流程指导经理人进行商业计划，规范每个雇员的行为。这需要督导、协调和沟通。

 

6. 我们如何确保风险管理成为各商业分部的计划及日常运作中不可或缺的一个部分？

 

组织应对风险管理提供清晰的指导以保证风险管理的持续进行。考虑商业风险应该成为日常运作的常规部分，而不是什么雇员需额外注意的东西。

 

推荐方案：

 

一套全面的，表述清晰的风险管理政策（包括可接受的风险低线）和规划必不可少，而且要有适当的审批、定期复核以保证与时俱进。

 

企业经营部门的经理们要将风险管理活动与商业策略和经营部门/职能的计划程序（这些计划程序包括形成预算及业绩目标）整合起来。

 

组织所有层面上的商业计划都包含对商业风险和机遇的识别，以及对风险管理所需相应资源的调配。

 

7. 我们如何确保董事会对风险管理的期望能传达给公司的雇员并经由他们得以贯彻？

 

如果组织中的每个成员都知道组织的战略是什么，也知道如何为实现它作贡献，那么这些战略就更可能成功。董事会应确保有这样的机制去传达始终如一的信息。

 

推荐方案：

 

组织具有关于风险的传达和培训课程，包括培养风险意识、倡导一个有风险意识的文化、以及对单个雇员提供政策和流程上的指导。

 

可以借助于一些技术定期监测经营部门和职能分部内的风险意识和文化，例如内部审计复核、风险和控制的自我评估会议和员工调查。

 

8. 我们如何确保执行官和雇员们的行为能够实现组织的最大利益？

 

CEO有责任保证高级执行官和其他雇员的行为恰当，在公众的审查之下能站得住脚。对于雇员而言，真正的挑战在于要在达到价值最大化目的和实现目标业绩的同时遵守行为道德规范。

 

这就需要相关人员对什么是符合组织的最佳利益的行为有统一的认识。这也意味着雇员会因为按组织和股东的利益行事而得到回报和嘉奖。

 

推荐方案：

 

组织应制定书面的行为指南，该指南每年审核一次，并要求重要雇员提供有签名的年度遵守声明。CEO监督高级执行官的行为，并针对违规行为采取行动。

 

企业的回报和奖励系统能清晰地界定高级执行官在管理主要商业风险、实现目标的过程中的积极行为和成就。该系统也能识别并应对有效风险管理中的失败。公司执行官应以一种高屋建瓴的姿态实施风险管理，并从自身做起，为员工树立榜样以进一步加强领导力。

 

9. 如何在组织内部协调风险管理？

 

组织中的每个经营部门都在风险管理中扮演一定的角色。大多数情况下，经理和员工负责那些与他们日常工作直接相关的风险。同样也会有专家负责处理一些特殊风险，如保险、信用和环境。CEO必须确保所有的风险管理活动协调开展，而且主要风险没有被遗漏。

 

推荐方案：

 

组织的战略经营计划过程应协调各事业部和面临特殊风险的部门的风险管理过程。大的组织可能有专门指派的首席风险官或者其他高级执行官，他们负责协调组织整体的风险管理，通过CEO向董事会汇报工作。

 

风险监测和报告：

 

董事会的监督任务包括定期及时复核有关信息，这些信息与组织的业绩和影响它实现战略和商业目标的风险相关。

 

10.我们如何确保组织的行为符合经营计划并在适当的风险容忍限度内？

 

依据关键目标监测履行情况是的一项重要的经营实务。董事会必须确保每一层次的管理团队做到这一点，并且对发挥作用的程序有总体了解。这意味着组织具有适当的机制去保证在实现商业目标和相关目的的同时不会冒不适当的风险。

 

推荐方案：

 

公司信息系统应能报告键执行目标和相关风险因素。组织内的管理者们会定期收到执行情况的报告，并且要对执行的偏差提供解释和纠正行动计划。

 

11. 我们如何监测和评价外部环境的变化及它们对组织的战略和风险管理实务的影响？

 

战略计划包括了对外部世界的各种因素的假设，这些因素随时都可能发生变化并对商业计划产生重大影响。一些因素相对而言比较容易监测，比如汇率、商品价格、利率等。其他一些因素如政治的、法令的和社会趋势就较难加以量化评估。

 

推荐方案：

 

具备识别和监测外部环境变化的机制，并能对变化做出适当应对。在收集和共享外部环境信息方面有清楚的责任划分。

 

董事会应会同管理层审核：战略环境如何变化；出现了哪些关键商业风险和机遇；如何应对这些风险和机遇；如果需要，应对战略方针应如何修订调整。

 

12. 对于组织面临的风险，董事会需要获得什么样的信息以帮助履行它的管理和治理职责？

 

董事会的时间有限，议程一般排得满满的。因此，风险报告应重点突出并合理安排。由于战略和风险往往紧密相关，董事会应分配足够的时间来审核讨论所有与风险相关的问题。

 

推荐方案：

 

 董事会的议程计划包括定期安排向董事会汇报简要情况，或者指定委员会负责：

影响战略计划、主要商业风险或根本假设的持续有效性的事件和趋势。简报材料应包括敏感性分析的结果，说明可能的财务及其他方面后果的范围。然后，董事会可以对计划调整进行审察，以便能利用新的或改变后的机遇和风险。 特定的经营风险，由负责关键职能部门的经理来提交。这些职能分部包括财务、内部审计、人力资源、健康和安全、信用、法律、生产、研发、以及环境保护。 对可预知的紧急情况所作的准备，如CEO的突然死亡或无法处理事务、大火、大范围的产品回收、设备失效、自然灾害以及恐怖袭击。

 

管理层就以下事项向董事会提供及时的简报：

 

那些引发重大财务后果或者对组织的声誉有潜在破坏力的事件，例如引起伤害或死亡。这样的事件可以及时采取电话会议通知，并在下一次的董事例会上进一步跟进采取的行动、吸取到的教训 以及对损失的预计。 严重违反行为准则的事件。当招集董事会批准一项特定的提议或行动时，董事会获得以下的信息以便看到平衡的全貌 潜在的风险以及潜在的机遇 被否决的备用方案以及被推崇的提议 最坏的情况 管理层的忧虑和不确定以及他们的乐观预期

 

13. 我们如何得知董事会了解到关于风险管理的信息是正确和可靠的？

 

董事会依赖管理层获取大量的关于风险的信息，需要确认这些信息是完整和正确的。涉及的典型情况包括对正式报告的整合和接触与倾听CEO以外的一些信息渠道的机会。无论渠道如何，董事会成员都应保持合理的怀疑态度，问问自己所获取的信息是否前后一致是否真实。

 

推荐方案：

 

董事会通过多元化跨部门的内容丰富可靠的渠道获取信息，作为CEO以外的补充。例如行政和财务管理层、内部及外部审计师和外部咨询人员。董事会定期要求高级管理层以外的客观独立的渠道（如内部审计、外部审计师、咨询人员等）就风险管理过程的有效性提供正式审核报告。

 

14. 我们如何决定应该发布哪些风险信息？

 

董事会负责监督组织对外的报告，应该知晓任何适用于年度和其他报告的内容和审批的法律要求。在年度报告和其他对外沟通中包括风险和控制方面的信息的要求取决于不断发展变化的法规。

 

推荐方案：

 

除了管理层讨论和分析中关于主要商业风险的报告外，年度报告包括一份公司管理实务的说明，描述董事会在战略和风险方面的管理职责。

 

董事会定期获取简报以确认对公众所作的披露符合当前的报告要求。

 

15. 我们如何从组织对风险管理程序和活动的结果的学习中获益？

 

那些分析他们如何应对危机、问题和成功的组织，如果能利用他们所发现的机遇，就能从他们的经验中得益。

 

推荐方案：

 

董事会应确认：

 

管理层能迅速从每个重大的商业事件、意外和灾难以及他们是如何应对这些发现中吸取最有意义的经验教训。 管理层有机制去回顾组织对危机的响应并采取行动改善将来对类似事件的对策。 管理层建立起有效的信息传递机制，使那些意义重大的发现和吸取的经验教训（无论正面的还是反面的）能在组织内迅速有效地传递。

 

董事会的有效性

 

董事会应花时间定义自己在风险管理中的角色。董事会应确保自己组织有序以完成职责，即保证公司的风险管理政策和程序有助于持续地为所有者和其他股东创造价值。

 

16. 在对风险管理的监督中，作为董事会，什么是我们的重点？

 

董事会必须决定如何才能最有效地利用有限的时间监管风险。

 

推荐方案：

 

董事会应建立自己的优先次序，并决定自己参与风险管理的范围、程度和时间。这可能涉及到：

 

组织的性质和状态，它所在的行业，企业的历史等等 董事会对CEO的信任程度和信心 行业和其他外部世界因素变化的频率和程度 预计和应对外部的机遇和危险时，组织需要在多大范围内改变战略 董事会所建立的用于履行其监管机遇和风险的职责的架构和机制的有效性

 

17. 董事会如何履行监管机遇和风险的职责？

 

只要有可能，整个董事会应参与监管风险。因为风险管理的一些领域涉及技术因素，使审核过程复杂且耗时，董事会应将监管特定方面的风险的具体工作委托给一个或多个委员会，如审计委员会。在这种情况下，董事会必须确保它能完全知悉委员会的各种发现，并且没有漏过任何重大风险。

 

推荐方案：

 

董事会和它的委员会在管理风险相关事宜方面有书面的政策和流程。

当董事会选择将特定的风险相关责任委派给董事会的委员会时，应要求该委员会向董事会全体汇报他们的活动，每年至少一次。

 

18. 董事会如何确保至少他的部分成员有风险方面所需的知识和经验？

 

股票交易所、机构投资者和其他法定监管理机构要求董事会包括董事对组织的行业和其固有风险了解的程度越来越高。

 

推荐方案：

 

董事会在进行提名任命时应判断是否需要吸纳那些熟悉各种风险的董事，这些风险包括组织所在行业的特定风险。

 

董事会采取步骤让董事们认识并了解风险：

 

安排关于风险问题和机制的教育课程 请内部及外部的专家为董事会及其委员会就特定的风险问题提供建议

 

19. 作为董事会，我们如何帮助建立“来自高层的声音”，来巩固组织的价值并促进一种“风险意识文化”。

 

有效率的董事会在加强组织承提风险和管理风险的方法上扮演着积极的角色。他们以身做则、积极参与以达到目的。在制定战略和识别风险时，最大的挑战是拒绝和不愿意去考虑不可想象的情况。绝大多数人不愿考虑诸如主要证券市场崩溃、高层管理人员欺诈、战争或恐怖行动的可能性。CEO们往往是乐观主义者，可能忽视失败和亏损的风险。董事们可以通过提供一个强硬的“现实性核查”来促成对战略和风险的讨论。

 

推荐方案：

 

董事会应在战略和风险的讨论中扮演积极的角色，提出尖锐的问题，挑战假设并集中关注所有者及其他关键股东的利益。

 

董事会的行为要与组织的既定目标、价值观和风险容忍度一致，并在以下的方面强化它们：

 

对CEO的选择 对董事的挑选 战略计划 行为指南 高级管理人员报酬 将风险管理作为定期规划纳入董事会议程项目 董事会审核并批准对CEO和高级行政人员的薪酬计划

 

20. 我们对董事会在风险监管方面所尽到的应尽职责有多满意？

 

有效的风险管理需要整合和协调组织内人员的活动，包括战略计划、组织文化、政策和流程。董事会所涉及的有代表性的是委员会、报告、介绍和讨论，当中每一个都是对风险监管机制整体的完善。董事会需要花时间确认每个环节协调动作，并从整体上支持这样一个结论：风险受到适当的管理，董事会已经履行了它作为财产管理人的职责。

 

推荐方案：

 

董事会定期安排时间评估它在履行风险监管职责时的效率，以及需要采取什么纠正措施。