新常态下的战略风险管理
Harshini Siriwardane, PH.D., CMA; Ella Mae Matsumura, PH.D.; and Sridhar Ramamoorti,PH.D., CPA, CIA, CFE, CGFM
李开明 译,郭强 校
新冠肺炎疫情全方位考验了企业的敏捷性与韧性(包括战略),现在到了评估企业战略风险管理工具与流程的最佳时间。未能定期审查和修订战略对企业来说意味着重大风险,历史上不少优秀甚至伟大的公司因未能快速应对全球商业风险环境的变化,走向了消亡或衰落。美国在线、百视达、黑莓、博德斯集团、剑桥分析、凯马特、柯达和雅虎等公司的经历,都展示了其战略上的失败或制定了适得其反的战略。
造成战略失败的原因很多,忽视战略制定与执行相关风险尤为突出。利益相关者们希望看到明晰、可驱动长期价值创造的战略规划,长期价值创造通常使用股价和利润的增长来衡量,因为这种可量化衡量的信息很容易获得,但这两个指标具有滞后性,并不一定能保证价值创造的可持续性,因此,利益相关者要求有相关证据,证明企业在评价与战略制定和执行相关的风险,并恰当地响应了战略更新的需要。
根据风险类型、行业和企业类型的不同,管理和评价风险的方法有很多,也各有其优势与局限性。但如果没有一个完整全面的战略风险管理办法,公司将面临诸多战略风险管理问题,这些问题最终将导致经营失败。
为此,我们在本文中提出一个战略风险管理方法,该方法整合了SO企业风险管理(ERM)框架的原则及组成部分和控制杠杆(Levers of ntrol,LoC)框架。前者由SO(美国反虚假财务报告委员会下属发起人委员会)在其2017年发布的《企业风险管理——与战略和绩效的整合》中提出,后者则是罗伯特·西蒙斯基于大量企业研究提出的、意在对战略进行控制的实践导向框架(可参阅“Leversof ntrol”一书了解更多内容,该书于1995年由哈佛商学院出版社出版)。
传统风险管理框架的目标是管理或降低风险,我们提出的整合框架则是要充分利用战略风险——一些风险必须规避,一些风险必须管理和降低,还有一些风险必须加以利用。不能这样做的企业将难以保持韧性和创造持续价值,也难以在行业颠覆的环境下生存下来。我们相信将LoC框架整合进SO ERM框架,将为企业管理与战略制定和执行相关的风险提供一个全面、稳健的框架。
三类战略风险
IMA管理会计公告《企业风险管理:框架、要素与整合》将企业所有的风险划分为灾害性风险、金融风险、运营风险和战略风险(bit.ly/3EzZhNQ)。对企业存续造成威胁的风险通常称为战略风险。战略分为两个阶段:制定(亦称战略设定、战略选择或战略规划)和执行(亦称战略实施)。我们将战略风险划分为三类,涵盖战略制定和执行这两个阶段(见图1)。
1.战略自有的风险:在战略制定阶段,管理层应该评价各类战略,考虑每个战略固有的风险是否与企业风险偏好相匹配。与董事会及其他利益相关者磋商后,管理层必须评价所选战略对企业风险状况的影响,做不到这一点会放大战略自有的风险。例如,采取外包战略的企业面临过(或正在面临)新冠肺炎疫情导致的供应链中断风险。
2.战略带来的风险:在战略制定与执行过程中,管理层应该评价所选战略是否与企业的愿景、使命及核心价值观相符合。不相符的战略会威胁企业的生存,影响企业的品牌与声誉。例如,富国银行基于交叉销售的增长战略不仅适得其反,还导致出现商业欺诈行为。
3.影响战略实施的风险:在战略执行过程中,企业内外部因素会影响当前某项战略的相关性与可靠性。例如,新冠肺炎疫情暴发就是典型的影响战略实施的风险。
因此,有效的战略风险管理方式应该能够全面应对上述三类风险,确保不出现任何问题。
战略风险与ERM
自21世纪初以来,大多数上市公司都采用了ERM,其以整合全面的方法识别、评价和降低企业面临的风险,从而更好地支持企业从整体层面进行风险评估与管理。
然而,近期一项关于ERM的调查研究显示,大多数公司还未能成熟运用这一框架。例如,国际信息系统审计协会(ISACA)、能力成熟度模型集成(CMMI)研究院和国际信息安全与咨询机构Infosecurity集团发布的“State of Enterprise Risk Management 2020”报告显示,只有7%的受访者表示其企业优化了风险管理流程(bit.ly/2XxWG74)。北卡罗来纳州大学企业风险管理倡议委员会和甫瀚咨询公司在“Executive Perspectives on Risks 2020”报告中指出,受访者尤其关注运营风险(可能影响战略执行中关键运营环节的风险),列举的十大风险中有六项与运营相关(bit.ly/2ZcyqrK)。怡安集团发布的“Global Risk Management Survey2019”报告指出,企业愿景与ERM仍未能得到真正整合(aon.io/2IFWTK9)。上述这些报告提出了一个问题:ERM是否全面识别并充分降低了战略风险?
SO ERM框架基于五大环环相扣的部分,这五大部分又包括20项更细的原则。五大部分分别为治理与文化、战略与目标设定、绩效、审查与修订以及信息、沟通与报告。为评价SO ERM框架是否从整个企业层面为与战略相关的风险管理提供了充分指引,我们将三类战略风险与SOERM框架相关原则及五大部分进行了匹配。如图2所示,SO ERM框架下的原则涉及全部三类战略风险。在如今这个乌卡(VUCA)时代,企业战略风险管理面临着重大挑战,SO ERM框架的使用者必须了解其中存在的任何问题。为此,我们将仔细审视该框架是否存在未能完全应对的战略风险。
SO ERM框架存在的问题
第一个问题和战略与目标设定要素相关。如图2所示,SO ERM框架原则着重于应对影响战略实施的风险,似乎对战略自有的风险和战略带来的风险没有给予同等强度的关注。
影响战略实施的风险通常采用以风险为中心的非正式ERM框架应对,这些框架甚至在2004年SO首次发布ERM框架之前就存在了。由于战略带来的风险和战略自有的风险都与战略制定(决定企业采取哪种发展路线)相关,优先处理这两类风险是非常重要的。一般来说,种瓜得瓜,种豆得豆,战略制定过程中的缺陷都会在执行过程中暴露出来。
第二个问题与SO ERM框架的第四个部分即审查与修订有关。SO ERM框架对这一部分的描述是:通过审查企业风险管理能力与实践、企业实现其目标方面的绩效,企业可以仔细考虑随着时间的推移,风险管理能力和实践在多大程度上创造了价值,以及在未来发生重大变化后能否继续创造价值。在当前多变的商业环境下,企业必须审查并修订其识别、评估及评价战略风险的方法,降低战略风险的控制措施,以及战略本身。在一个不断变化的环境中,任何战略都有可能被颠覆,因此,环境扫描的质量和对新出现风险的预测速度极其重要。
在2020—2021年新冠肺炎疫情期间,全球企业的经历清楚地表明了采取全面的方法审查和修订风险管理的重要性。同时,也突出了反馈环的重要性,敏捷更是受到了前所未有的重视。在战略这一背景下,敏捷指企业改变战略以适应变化的环境的速度。世界经济论坛发布的《2020年全球风险报告》预测发生传染病风险(分类为社会风险)的可能性低于3(最高为5),传染病的影响略高于3.5,几乎所有的风险调查都指出经济增速放缓、网络安全和监管变化是2020年的主要风险,但新冠肺炎疫情出乎所有人的意料,迫使公司进入未知领域。一些公司完全放弃了其战略,另一些公司为了生存,不得不在几天内对其战略进行突然但彻底的改造,其中一些改造在通常情况下需要数年才能完成。
SO ERM框架的审查与修订部分包括三项原则,旨在发生重大变化时为企业风险管理提供指导。这三项原则分别是评估重大变化、审查风险与绩效和追求企业风险管理的改进。变化的商业环境给一些公司带来了风险,但对另一些公司来说可能是机遇。让我们仔细看看这些与SO ERM框架相关的风险和机遇。
管理变化带来的风险
SO ERM框架认为企业的战略、业务目标、风险管理实践和能力会随着商业环境的变化而变化。“评估重大变化原则”指的是可能显著影响战略和业务目标的内外环境变化。我们希望SO ERM框架在战略因环境已经变化或正在变化而失去相关性或偏离正轨时(影响战略实现的风险升级),为企业提供指导。
“审查风险与绩效原则”着重评估企业的绩效是否符合预期并完成目标,以及企业风险水平是否适当。这要求企业重新审视那些可能影响绩效和目标实现的风险。接着,SO ERM框架提出了这样一个论述:“如果绩效偏差超出可接受的范围,或导致风险状况超出预期,企业就可能需要审查业务目标、战略和文化等了”。
如果企业绩效符合预期且实现了目标(滞后指标),但外部环境显示出可能使目标失去相关性的重大变化迹象,要怎么办?当今的商业环境多变,充满了干扰因素,无论是因为技术进步、监管变化、自然灾害还是传染病,几乎所有目标都不是固定的。企业因颠覆性变化而失败的例子比比皆是,如柯达因未能理解并应对数码摄影而失败,百视达因未能理解并应对流媒体而失败,博德斯集团因未能理解并应对电子书而失败。
因此,有效的ERM框架必须强调要根据已识别的风险重新评价和修改战略。这一框架应该包括一个交互的、前瞻性的控制系统——不是只基于滞后指标的控制系统,而是由先行指标提供信息的控制系统。
如果构思和实施得当,交互式控制系统——其基于战略不确定性提供反馈,因此可推动战略更新——将遵从“今天的控制必须为明天的战略铺道”这一逻辑。毕竟,企业不一定要追求当前最佳实践,而应该追求“下一个实践”——就如传奇曲棍球运动员Wayne Gretzky的建议:“滑向冰球要去的位置,而不是它现在的位置。”总之,SO ERM框架虽然讨论了因环境变化而对企业稳定性、韧性及敏捷的要求,但并没有提出交互式控制和战略修改或应急战略的概念。
利用改变带来的机遇
那些在新机遇出现时就成功抓住的企业会成为著名的行业颠覆者,因此,在当前环境下,风险管理框架必须要能够充分利用风险,而不只是降低风险。充分利用风险需要平衡下行风险(威胁)和上行风险(机遇)。
SO ERM框架承认利用机会的重要性:“营利性企业通过成功实施平衡市场机遇和追求这些机遇的风险的战略来创造价值。”该框架区分了积极的结果和机遇,即绩效超过初始目标时,就会产生积极的结果;当一项行动改变了创造、保持和实现价值的目标与方法时,机遇就会出现。该框架也强调了抓住机遇的重要性,但在指导使用者如何抓住机遇方面存在不足。
具体来说,SO ERM框架本可以为使用者带来更多价值,如在如何识别可成为机遇的风险(不只是在战略设定过程中,而是在一个持续的基础上)和如何修改战略上提供更多指导(通过其原则)。因此,我们认为没有在利用机会和修改战略方面提供指导是SO ERM框架的一大缺憾。
用控制杠杆补充SO ERM框架
如前所述,LoC是一个旨在战略制定和执行过程中对战略进行控制的框架。该框架包含对战略进行控制的动态视角,抓住了战略与风险之间的双向关系,并讨论了抓住这种互惠关系的控制措施,其关键方面可用于弥补SO ERM框架方面的不足。
LoC框架确定了管理人员成功制定和执行战略必须要分析与理解的四个架构——核心价值观、需要规避的风险、关键绩效变量和战略不确定性,然后提出了一个控制(或称杠杆)系统,其中每个杠杆意在对上述单个架构进行控制。要想取得成功的企业需要平衡以下四类杠杆:边界控制杠杆、诊断控制杠杆、信念控制杠杆和交互控制杠杆。图3是四个构架与杠杆的概述。
信念控制杠杆和交互控制杠杆是积极和激励性的,而边界控制杠杆和诊断控制杠杆是约束性的,与合规相关。因此,边界控制杠杆和诊断控制杠杆以风险为中心(与战略执行有关),信念控制杠杆和交互控制杠杆以目标为中心(与战略制定和修改有关)。
信念控制杠杆是一系列针对企业相关内容的明确定义,高层管理人员通过正式沟通和系统性强化,为企业规定核心价值观、宗旨与方向。从广义上来说,信念控制杠杆定义并遵守企业文化。信念控制杠杆的内容包括:制定企业使命、愿景和核心价值观,并使企业目标和战略与使命、愿景及核心价值观保持一致。
交互控制杠杆关注战略不确定性和更新战略(意在验证战略),战略不确定性可能威胁企业当前的战略或使之无效。此杠杆可以帮助管理人员在不断变化的商业环境中寻找对企业进行战略定位的新方法,其重点是识别“风险与机遇”和制定与预定战略相反的应急战略。
在一些情况下,战略不确定性会带来新机遇。要抓住新机遇,管理人员仅仅问“企业为了实现预定战略必须做好哪些关键事项”是不够的,必须同时考虑“哪些假设或外部因素会阻碍我们实现未来愿景?我们需要做什么才能在新情况下获得最大收益?”
交互控制杠杆要求管理人员收集与战略不确定性相关的信息,尤其是挖掘低层级员工掌握的信息。低层级员工处于业务前线,可能对形势有更好的了解,对于如何抓住意想不到的机遇和解决问题可提供很有用的见解。随着时间的推移,企业将会调整其战略来充分利用信息,特别是来自低层级员工的信息(紧急的、自下而上的战略设定流程)。
边界控制杠杆在战略层面(如应避免或寻求什么样的商业机会)、业务层面(如确定合格供应商时应遵守的规定)和个人层面(如禁止的行为)定义了可接受的行为范畴,既可以排除不良行为,也可以明确规定期望行为(行为准则)。
诊断控制杠杆主要适用于运营层面,应激励员工履行其分配的职责,使个人目标与企业目标保持一致。绩效指标通常属于诊断控制杠杆范畴。
如你所见,LoC是宽泛的概念性框架。相比之下,SO ERM为五个部分具体列出了3~5条原则,更为细化。因此,为使LoC框架细化一些并提高其作为框架的实用性,我们将每个控制杠杆扩展为一系列行为项目(见表1)。为与SO ERM框架保持一致并便于比较,我们将行为项目统称为原则。(注:LoC扩展的相关内容首次发表于“Finding mmon Ground: SO’s ntrolFrameworks and the Levers of ntrol”一文,作者为Ramji Balakrishnan、Ella Mae Matsumura和SridharRamamoorti,此文刊发于Journal o f ManagementAounting Research 期刊,2019年春季刊,bit.ly/3B2NMMs。我们对此扩展进行了修改,以更好地适应战略风险管理)
充分利用战略风险的整合框架
SO ERM框架和LoC框架各有长短,但都不足以处理乌卡时代战略风险的所有问题。因此,我们将SO ERM框架的原则与细化的LoC框架相结合,构建可充分利用战略风险的整合框架(见表2)。
哈佛商学院高级研究员Bill Gee认为要恰当应对易变、不确定、复杂、模糊的商业环境,领导者应具备相应的远见(vision)、理解力(understanding)、勇气(urage)与适应能力(adaptability)(VUCA2.0)。还有一些人强调了应对这种商业环境时的敏捷和韧性。正如新冠肺炎疫情所显示的,一些风险是不可预测的,即使这些风险本身可以预见,其发生的概率与影响也可能是无法估量的。
战略风险可能出现在战略制定阶段和执行阶段,可以表现为战略自有的风险、战略带来的风险和影响战略实施的风险。我们相信文中提出的整合战略风险管理框架,可为业界人士提供一个更全面和稳健的方法,帮助其在战略制定和执行过程中管理风险。
Harshini Siriwardane,博士、CMA,迈阿密大学客座助理教授,IMA成员。联系方式:siriwahp@。
Ella Mae Matsumura,博士,威斯康星大学麦迪逊分校会计学荣誉教授,IMA麦迪逊分会成员。联系方式:ellamae.matsumura@。
Sridhar Ramamoorti,博士、CPA、CIA、CFE、CGFM,代顿大学会计学副教授,IMA代顿分会成员。联系方式:sramamoorti1@。
