亚洲商业地产李彬晖的BLOG

1   风险(Risk)

 

风险的定义主要有三种：风险是对所期望的结果的可能的偏离；风险是损失的可能性；风险是有目标指向的系统（goal-oriented system）的正面期望不能实现的可能性。

 

根据是否存在获利的可能性，风险可以分为纯风险（pure risk）和投机风险(speculative risk)。纯风险是指只存在损失可能性的风险。投机风险可能获利也可能损失。大多数的商业风险是投机风险。

 

风险可以分为静态风险（static risk）和动态风险(dynamic risk)。火灾和其他自然灾害的风险在任何时候都存在，属于静态风险。静态风险一般是纯风险。经济、政治、法律、技术和环境的变化会产生新的风险或者改变原有的风险，这些风险属于动态风险。

 

风险还可以分为基本风险（fundamental risk）和特定风险（particular risk）。重大的自然灾害、战争和经济衰退属于基本风险。单个企业无法控制这些风险，只能减少其对企业的不利影响。特殊风险主要对某个企业产生影响，企业有能力将这些风险控制在一定的程度。

 

2   战略风险与压力(Strategic Risk and Pressure)

 

那些显著地损害管理者实现既定企业战略的能力的非预期事件或者非预期状态被称为战略风险（strategic risk）。

 

战略风险有3个基本来源：营运风险（operation risk）、资产贬损风险（asset impairment risk）和竞争风险（competitive risk）。当企业的核心营运、生产或者加工能力受到损害时，营运风险就产生了。例如电厂发电机组的技术故障导致机组停止运行。某项资产（包括无形资产）提供未来现金流的能力的降低并导致资产的现值的大幅度减少，资产贬损风险就出现了。生产设备的磨损、专利技术的过期和债务人的破产都会导致企业的资产贬损风险。资产贬损风险包括财务贬损风险、知识产权的贬值和实物资产的贬损。财务贬损（financial impairment）是指资产负债表上资产的市场价值的减少，如应收账款不能全部收回，外币和长期债券组合的贬值。

 

由于竞争环境的变化，企业创造价值的能力受到损害，企业不能差异化其提供的产品和服务,则企业面临着竞争风险。可以应用哈佛商学院教授Michael Porter提出的5种力量（five forces）理论分析竞争风险的来源。Porter的5种力量是：①新进入者的威胁；②顾客的议价能力；③供应商的议价能力；④替代产品或者替代服务的威胁；⑤当前的竞争者的角逐。

 

当上述来源的风险足以威胁企业的存续时，企业将面临着声誉风险（franchise risk）。声誉风险本身不是风险的来源，它是任一上述风险超出一定的程度而引发的后果。对于一个处于竞争市场的企业，声誉对其创造价值的持续能力而言是关键的。当顾客、供应商、雇员、商业伙伴和监管者等对一个企业失去信心的时候，整个企业的价值就贬损了，企业的声誉风险就出现了。

 

企业员工承受着各种压力，包括企业成长的压力、管理文化的压力和信息管理的压力。如果这些压力超出一定的限度，他们就可能犯无意的和故意的错误，给企业带来资产损失的风险，甚至因为引发顾客的信任危机而导致声誉风险。

 

企业员工有机会犯造假和欺诈（misrepresentation and fraud）等错误需要同时具备下面3个条件：①压力（pressure）,可能成为员工错误行为的动机；②机会(opportunity)，员工有接触资产将其用于个人目的或者接触会计和信息系统将其窜改的机会；③合理化(rationalization)，员工对其错误行为做出合乎情理的解释以减少或消除负罪感。因而，要控制员工从事有意识的造假和欺诈引发的风险，必须消除上述3个条件中的一个。

 

3   战略风险的管理(Management of Strategic Risks)

 

战略风险的管理主要是通过建立有效的信念系统（belief systems）与边界系统（boundary systems）——包括商业行为边界（business conduct boundaries）和战略边界（strategic boundaries）及实施完善的内部控制系统（internal control systems）来实现。这两个系统提供了确保无意的和有意的错误都不至于损害企业为顾客、股东和雇员创造价值的能力所必需的控制。

 

3.1         信念系统与边界系统(Belief Systems and Boundary Systems)

 

管理层通过正式的信念系统和边界系统去鼓励和指导员工积极开发新的市场机会并主动回避那些与企业既定战略不相符合的市场机会。信念系统指明了企业的目的，并引导和激发员工在竞争市场中寻找机会；边界系统在广阔的市场机会空间中划出了一个更小的机会空间作为重点的领域让员工去施展他们的才能。

 

3.1.1    信念系统(Belief Systems)

 

员工可能追求那些不符合企业既定战略的、甚至是损害企业战略发展的商业机会。为了确保员工从事正确的活动，管理层必须对企业的核心价值（core values）做出清晰的承诺。核心价值是定义企业的基本原则、目标和方向的一组信条。

 

当企业规模变大的时候，管理层就需要在核心价值的基础上建立正式的信念系统。信念系统就是由最高管理层正式发布的、一整套经过明确定义和系统强化的、关于企业的基本价值观、目标和纲领的书面文件。信念系统是通过宗旨、使命和目标来建立和传达的。企业在快速扩张有很多市场机会的时候，信念系统为企业管理者和员工在剧烈变化的竞争环境中抓取那些与企业战略目标相契合的机遇提供了动力和指南。在战略实施的过程中出现问题时，信念系统能帮助管理层找出所要解决的问题和所要寻找的解决方案；在没有问题出现时，信念系统能激励员工寻找创造价值的新途径。

 

3.1.2    边界系统(Boundary Systems)

 

仅利用信念系统去鼓励和指导员工探寻新的机会是不够的，员工仍然可能浪费有限的企业资源去攫取那些不符合企业战略并给企业带来危险的机会，边界系统就为员工探寻潜在的市场机会的行为划定了界限。最高管理层必须明确告知下属什么事情是不能做的，并激励他们在清晰定义的边界内进行创新和争取所有可能的市场机遇。

 

基于特定的企业战略，管理层必须将应避免的风险传达给员工。边界系统的设定就是为了明确传达给员工哪些风险是企业需要回避的。边界系统包括商业行为边界和战略边界。

 

3.1.2.1.          商业行为边界(Business Conduct Boundaries)

 

最基本的边界系统是规定了商业行为准则（codes of business conduct）的边界系统。商业行为准则以禁止性的词语详细列出企业所禁止的行为。被禁止的行为一般包括：利益的冲突——员工禁止在本企业的供应商那里拥有个人的利益；商业秘密的泄漏——员工禁止向任何无权知道的人士透露企业的秘密信息；员工利用内部信息进行股票交易以及向政府官员提供某种形式的非正当的报酬。这些行为均可能引起导致企业损失财产、失去信誉或承担法律责任的风险。

 

商业行为准则对于那些将战略建筑在质量和诚信的信誉基础上的企业更是至关重要的。这类企业的管理者必须建立商业行为的边界以保护企业的商誉。这类企业包括食品、制药、汽车等制造业和注册会计师事务所等服务类企业。这些企业任一员工的行为都可能摧毁企业在市场上的诚实的信誉，给企业带来声誉风险甚至彻底摧毁整个企业。采购和质检人员的不当行为葬送了“齐二药”公司。在“安然事件”中职业操守受到质疑的安达信会计师事务所结束了其89年的历史。商业行为边界为管理层强调诚信提供了有力的方式。为了完成绩效考核任务，上级可能要求会计将当年度的费用成本记入下一财务年度，商业行为边界就为员工对上级不合理的命令提供了拒绝的依据。商业行为边界也减少了员工对其可能做出的给企业带来风险的错误行为进行合理化的可能。

 

3.1.2.2.          战略边界(Strategic Boundaries)

 

信念系统、商业行为边界和内部控制主要用于防范员工在平衡利润、增长与控制的时候犯错误或者做出错误的选择。然而，还一种风险严重威胁着企业的长期盈利能力和增长，这种风险就是将企业稀有的资源浪费在并不支持企业战略的行动。为确保员工从事支持企业战略的活动，企业应该在战略规划中明确规定哪些寻找市场机会的行为是不可以被接受的、不应进行的。管理层可以利用战略规划和战略对照表等方式来划定范围。

 

通用电气的前任CEO杰克"韦尔奇向全体雇员清晰地表明他不支持对任何不能在市场竞争中取得第一或第二位置的商业活动进行投资。比尔"盖兹也明确表达了微软禁止进入的商业领域，微软不准备拥有任何电信网络公司和建立生产电脑及其硬件设备的制造企业。管理层必须确保企业员工的全部注意力致力于实施既定的企业战略，他们必须明确规定哪些商业机遇是不符合企业战略并禁止进入的。

 

企业正式发布的战略边界一般包括：

 

①最低水准的财务表现  对一个商业项目继续投资的先决条件是其能达到预定的最低财务要求。关键的财务指标包括：预计的收入、利润和利润率、投资回报率、现金流和回收期等。

 

②最低的可持续竞争定位  高层管理者应事先明确不支持哪些类型的市场定位。管理层应拒绝对那些不能维持最低的增长率的商业机会提供资金。

 

③与核心竞争力无关的产品和服务 管理层应了解企业的核心竞争力并追求那些能充分利用这些企业核心能力的商业机会。战略边界要列举那些不能利用核心竞争力的产品和服务的种类，使员工回避那些与企业核心竞争力无关并偏离企业战略的机会。

 

④需要回避的竞争者 在许多行业，一些拥有强大资源和雄厚财力的竞争者在市场中居支配地位。管理层有必要划定战略边界，避免与那些竞争对手进行正面的交锋。

 

高层管理者不能将战略边界看作静止的，应及时根据变化了的情况重新确定战略边界，以防止过时的战略边界给企业带来的风险。

 

3.2       内部控制(Internal Controls)

 

信念系统和边界系统定义了核心价值和禁止的行为，它们对管理风险是必需的但不是充分的，管理层必须防范企业运作中的错误与舞弊——不熟练的员工错误地处理交易，无经验的雇员在忙碌的日常工作中犯下疏忽的过错，甚至员工侵占企业的资产并篡改会计记录以逃避察觉。内部控制就是管理层为了确保以有序的和有效的方式实现企业战略和管理目标，包括遵循管理制度、保护资产的安全、防范和发现错误与舞弊、确保会计记录的准确与完整、及时编制可信的财务信息而制定的管理政策和控制程序。

 

内部控制可以分为3个方面的防范措施：①结构防范(structural safeguards）；②系统防护(system safeguards）；③人员保证(staff safeguards）。

 

3.2.1    结构防范(Structural Safeguards）

 

结构防范用于确保资产处理和会计记录的人员有清晰定义的职权。结构防范包括：

 

①职责分离

应当对涉及资产交易的各项职责进行合理的分离，避免任何个人担任不相容的职务，来预防和及时发现交易中产生的错误和舞弊行为。例如，经管现金和银行存款的出纳与负责总账登记的会计，就属于不相容的职务。职责分离要保证经营责任与会计责任相分离、资产保管与会计相分离；授权与执行、保管、审查和记录相分离。

 

②授权的层级

必须确保有权处置一定金额的资产和交易的人员有其相应层级的职责或者上级的授权。

 

③资产的实物安全

有权接触贵重资产的人员必须限定是那些能够对任何损失承担责任的员工。资产的安全还包括实物保卫措施，例如，将存货存入仓库以防偷盗，把货币、证券和票据存入保险箱。

 

④独立的审计

企业应利用外部审计师——注册会计师对内部控制的完整性进行检查。作为检查评估的一部分，审计师应检查资产的安全性和会计信息的完整性。他们的发现应及时报告给高层管理者和董事会。

 

3.2.2    系统防护(System Safeguards）

 

系统防护用于保证按照充分的流程去实施交易过程与及时的管理报告。系统防护包括：

 

①完整和准确的记录保存

交易流程必须确保所有的交易准确及时地载入会计记录中。为了核实和对账，会计系统应为每笔交易提供完整的交易轨迹。交易轨迹是指通过编码、交叉索引和连接账户余额与原始交易数据的书面资料所提供的一连串可追溯的迹象。例如，顾客的付款应能通过交易轨迹追溯至应付账款，再以此追溯到销售发票和运货单。

 

②限定使用的信息系统和数据库

信息系统必须限定给那些有合法权力改变和查阅会计交易记录的人使用，只有这样才能保证会计数据的完整性。在电子时代，必须阻止未经授权的对数据库的访问与修改。密码、数据密匙和内部确认例程（internal verification routines）等措施对确保信息系统的完整性是必要的。

 

③及时的管理报告

管理层应及时获得经数据处理的会计和控制报告。如果管理报告不及时，就可能因反馈不及时而使企业遭受损失。管理者基于不完善的管理信息也容易做出错误的决定。

 

3.2.3    人员保证(Staff Safeguards）

 

人员保证用于确保进行会计和交易处理的员工有相应水平的专业知识并受到专门的训练；人员保证还意味着企业有充足的资源去保证内部控制系统的有效运行。人员保证包括：

 

①会计和内控员工的技能

良好的内部控制的设计和运行依赖于重要的专业技能。这些专业技能由受过有效的内部控制系统设计方面培训的注册会计师等专业人士提供。

 

②关键岗位的轮换

如果员工隐瞒不正常的会计信息，另一在一定时期内接手其工作的人往往能发现其中的矛盾之处。因此，要对那些从事关键性的会计记录的员工进行定期的强制休假，并安排其他员工承担他们的职责。

 

③充足的资源

内部控制需要花费金钱；雇用专业的注册会计师，安装信息系统，对员工进行相应的培训，都意味着耗费资源。职责分离需要两个人去完成一个人可以完成的工作。额外的对账和核对不会提高企业的产出效率，仅是保证资产更加安全及信息更加准确。企业要有充足的资源去建立与维持有效的内部控制系统。

 

4   结语(Conclusion)

 

企业的战略风险来源于营运风险、资产贬损风险和竞争风险。当上述任一风险足以威胁企业的存续时，企业就面临着声誉风险。

 

企业战略风险的管理是通过建立有效的信念与边界等管理控制系统及实施完善的内部控制来实现的。管理层通过正式的信念系统和边界系统排除那些与企业战略不相符合并可能带来风险的机遇。内部控制则提供了保护资产的安全以及防范和发现错误与舞弊的制衡机制。有效的风险管理能释放企业的资源和资金储备，并将稀缺的资源投入与战略相一致并增进企业价值的活动中。

---

参考文献 (Bibliography)：

[1] Crockford, N., Risk Management［M］. Witherby and Co Ltd. 1991. 1-11.

[2] Simons, R., Measurement & Control Systems for Implementing Strategy［M］.  Prentice Hall, 2000. 255-300.

[3] 王道文，战略管理［M］. 科学出版社 2004. 538-543.

摘  要：

本文介绍了风险的概念，并阐明企业的战略风险来源于营运风险（operation risk）,资产贬损风险（asset impairment risk）和竞争风险（competitive risk）。当上述任一风险变得非常严重时，整个企业的声誉就处在危险中。

 

企业战略风险的管理是通过建立有效的信念与边界等管理控制系统及实施完善的内部控制来实现的。管理层通过正式的信念系统和边界系统排除那些带来不必要的风险的机遇。商业行为边界通过规范员工的商业行为标准以减少员工做出有损企业的声誉的错误行为，并减少员工对其可能做出的给企业带来不可接受水平的风险的错误行为进行合理化的可能。战略边界限定了商业机会的领域以避免员工将稀缺的资源浪费在不支持企业战略的活动上。内部控制提供了确保无意的与故意的错误能被发现而不能进入交易处理流程的制衡机制。有效的结构防范、系统防护和人员保证减少了员工犯无意的或者有意的将企业暴露在风险中的错误的可能。