风险管理与领导层的战略角色.pdf

风险管理与领导层的战略角色-聚焦董事会风险管理所需的能力 The Association of Chartered Certified AccountantsFebruary 20181 C YB5S5Z Llt Ll d Y b BtzLlZE H9 5 “ 4 -nGb关于 ACCA ACCA（特许公认会计师公会）是全球广受认可的国际专业会计师组织，为全世界有志投身于财会、金融以及管理领域的专才提供首选的资格认证。ACCA目前在大中华区拥有 25,000名 会员及108,000 名 学员，并在北京、上海、广州、深圳、成都、沈阳、青岛、武汉、长沙、香港和澳门共设有11个 代表处。ACCA为全球179 个 国家的208,000 名 会员及503,000 名 学员提供支持，从雇主的技能需求出发，为会员和学员的事业发展提供完善的专业服务。ACCA透过全球104 个 办事处和中心，以及全球超过7,300 家 认可雇主，为员工的学习与发展提供高标准服务。ACCA致力于维护公共利益，提倡适度的会计监管方式，同时，通过开展国际化研究，不断提升财会行业的声誉与影响力。目前，ACCA的核心ACCA专业资格正在进行重大创新，以确保我们的会员继续成为全球倍受推崇和青睐、与时俱进的专业会计师。自 1904年成立以来，ACCA一直秉承着独特的核心价值，即机遇、多元性、创新、诚信和责任。了解更多信息： accaglobal聚焦董事会多样化1. 内容概要 42. 董事所需的技能与经验 61.1 董事会多样化：风险管理技能、知识、经验、教育和培训（RI-SKeet） 63. 董事会参与风险管理面临的障碍 83.1 认知障碍 103.2 社交障碍 11 4. 实践建议-提供RI-Skeel框架 125. 有待思考的问题 13本文内容节选于风险管理与领导层的战略角色11.报告全文：cn.accaglobal/ueditor/php/upload/file/20180301/121.pi-risk-strategic-leadership1519884890.pdf董事会一直都在参与风险管理。企业不管是为了充分利用所能拥有的战略机遇，还是出于规避不利结果的目的，都必须冒一定风险。 41.内容概要同样，董事会的治理及内部控制角色与风险管理息息相关。有效的风险评估、报告和控制，有助改善董事会的治理与内部控制活动，降低企业偏离既定目标的可能性，从而满足各利益相关方的需求。 在二十一世纪初，复杂且不断变化成为了当今世界的普遍特征。因此，董事会层面有关风险管理的商讨和实践方法将如何演变和发展，也愈发难窥究竟。持续变革的技术如云计算和社交媒体的发展，在创造回报机遇的同时也会带来损失风险；而产生类似影响的还包括一系列重大政治经济变迁，譬如英国脱欧、特朗普当选美国总统，以及2007-08年爆发的全球金融危机。ACCA这项研究项目旨在探究董事会层面有关风险管理的讨论和采取的行动，以及他们在确保此类行动有效性方面遇到的挑战。本项目特别探讨了董事会正如何整合有关战略与风险的讨论，同时发展风险管理技能与经验。此外，本项目还考察了董事会在履行其风险管理职责时面临的诸多挑战，以及执行和非执行董事角色的演变：即使是以英美为代表的单一董事会制度，也可能会出现变化。我们希望展示当前的实践方式并从中获取经验教训，由此在适用之处分享优秀实践。企业及其董事会可以自行决定哪些举措与其相关，进而融入行动当中，确保董事会层面的风险管理对话与实践能够尽可能地满足未来发展需要。本项目基于： 与 30位现任执行董事和非执行董事的访谈，他们所在公司分布于多个行业； 两个由多位风险管理专业人士组成的焦点小组； ACCA全球论坛，在此特别感谢治理、风险与绩效全球论坛。 研究表明，董事会层面的对话和实践各不相同，这种差别并非取决于企业活动的性质、规模或复杂性，而是凸显出，在各类盈利或非盈利部门中，大型和小型企业所共同采用的一系列优秀实践。5主要研究发现包括： 董事会层面有关战略与风险管理的对话和实践活动，会在一定程度以不同方法展开，许多董事会正在趋向某个方面 （虽然一些董事会显示出覆盖两者的特征）。两个方面分别具有以下特征： o 原则性方法：关于风险的讨论更加关注于利用效益与机会，并以一种隐性、非结构化的方式将战略和风险联系起来，但这有可能导致风险管理决策的不一致；o 规则性方法：风险管理活动更为正式化和一致化，但高度重视内部控制可能意味着会错失战略机遇。 对于董事会来说，文化或风险偏好等软性因素仍难以了解和应对。这往往是由于缺乏明确的信息，并且难以将它们与企业绩效挂钩。 监管与合规依然是董事会参与风险管理的关键驱动因素。尽管如此，一些企业正逐渐意识到风险管理帮助其利用机遇、进而超越既定目标的战略价值。 董事会风险管理技能、知识、经验、教育和培训的高度多样化，有助于培养集体意识，使董事会能够识别风险敞口的变化并做出恰当反应。 冗长的风险报告、董事会会议讨论风险管理的时间过短等因素，为董事会层面的风险管理活动带来了诸多重大挑战。 非执行董事处于参与（确保任务得以执行）和监督（进一步保证任务按照确定的要求执行）之间的位置。他们不仅需要了解自己所服务并参与战略决策的企业，还应当摆脱日常工作压力，利用来自其他企业的经验扮演“直言相谏的诤友”，一方面帮助过于自信的执行董事克制冲动，同时鼓励过于谨小慎微的执行董事积极进取。单一董事会制度并不意味着，所有董事会成员都必须观点一致。此外，报告为各类企业、董事会、以及决制者提供了一系列建议，并且特别强调了受访者所关心的问题人们往往以消极态度看待风险和风险管理。风险或许会造成损失，但也有可能带来机遇。今天的董事会可以发挥关键作用，帮助企业识别并利用机遇，实现长期、可持续的最佳绩效，同时密切监督对避免各种威胁的解决之道。 免责声明本研究项目由ACCA出资，并由独立的大学学者负责完成。本项目的调查发现仅代表参与者本人观点，并非一定与ACCA或其员工与会员的意见一致。风险管理与领导层的战略角色 | 内容概要风险或许会造成损失，但也有可能带来机遇。62. 董事会的技能与经验本部分主要探讨董事会进行风险管理战略决策所需的技能与经验。“理解风险管理即风险回报方程，是履行董事职责的根本” （某非执行董事）。2.1董事会多样化：风险管理技能、知识、经验、教育和培训（ RI-SKeet）通过访谈和随后的焦点小组讨论，我们得出结论多样化是董事会风险管理能力的核心。特别在讨论非执行董事构成如何帮助董事会理解“风险回报方程式”时，（广义的）多样化概念显得尤为突出。访谈中，受访者以各种不同方式提到了“多样化”，在此我们将其总结为以下几方面：风险智商、技能、知识、经验、教育和培训（RI-SKeet，参见图2.2）。基于RI-Skeet架构，战略决策能够得到改善和强化，从而确保董事会通过均衡的集体智慧，充分探索风险回报方程式的动态变化。一些受访者还将多样化视为一种董事会“去风险”的方式，可以拓宽意见，积极引入非执行董事在RI-Skeet架构各维度上的能力。此外，该架构也被看作是企业竞争优势的来源之一。“例如，如果某企业的董事会成员由逐级晋升上来的员工组成：他们了解企业文化，知道其运作的核心所在、组织架构和政治体系怎样工作，以及实践中如何沟通交流，再加上来自同行业的非执行董事，那么这样的董事会将非常清楚我所说的内部风险（然而）一旦缺乏真正的执行董事，以及来自企业外部甚至其他行业的非执行董事，那么董事成员就无法提供外部观点，董事会的讨论也将缺失一种视角” （某咨询师）。通过访谈和随后的焦点小组讨论，我们得出结论多样化是董事会风险管理能力的核心。图 2.1: RI-Skeet组成Technical and ethical competencies (TEQ)技能知识教育培训风险智商经验7多样化的RI-Skeet架构可以提高董事会预测风险、识别机遇的能力，从而完善战略决策。对被日常事务缠身的执行董事来说，这些机遇可能不太明显。因此，董事会如能建立良好的RI-Skeet架构并充分发挥作用，同时将风险回报方程视为其战略决策的组成部分，便能发挥加速器和刹车的双重作用。 确保董事会保持风险相关性参与本研究的企业都在通过各类机制，积极设法加强董事会的RI-Skeet架构，由此确保将风险考量纳入战略决策。研究样本中的大部分企业均已利用了董事会技能矩阵和审计，对董事会能力的重叠或不足进行全面评估。一名受访者指出：“我们会不时开展技能审计或技能审阅，以分析我们缺少哪些技能。我们将此作为自身战略的一部分” （某非执行董事）。上文引述中提到的企业是一家从事第三产业的中小型机构。尽管规模相对较小，但其依然认识到了董事会的RI-Skeet架构与企业的使命和商业模式保持一致的重要性。在引入非执行董事的过程中，对董事会 RI-SKeet技能的矩阵分析和后续审计尤为重要，因为可以借此机会确保董事会保持风险相关性，同时适应未来不断变化的商业环境，在其中牢牢占据一席之地。 对董事会的改造举措并非是确保其RI-Skeet架构多样化的唯一手段。许多受访者包括执行董事和非执行董事，都强调了董事会知晓业务、了解企业特征以及理解基础层面企业文化的重要性（参见2.1节）。一些受访者认为，这种走出董事会、深入业务本身进行的过程，能够使董事会切实保持风险相关性，发现风险登记表上往往会遗漏的“定性”因素。“我知道某公司的董事长他们总是和员工一起吃午饭，从来不会去单独的餐厅。他们告诉员工，你们可以过来跟我聊一聊，告诉我你们对他们的看法我觉得很多董事会现在都开始采取此类以往未曾付诸的行动。他们不能躲在象牙塔里，而是需要真正了解业务。如果想治理某件事，就必须对它有一定程度的理解，否则便会无从下手。” （某非执行董事）。案例分析：董事会的 RI-SKeet某投资公司专门为第三产业的中小型企业服务，由于其信用风险评级低于商业贷款机构的标准，作为融资交易条件的组成部分，该公司被要求制定风险登记表和稳健的业务战略。为此，董事会专门拨出一天时间召开了研讨会，确定公司面临的主要风险，并讨论如何将其与公司的战略和使命结合在一起。通过此举，董事会就能利用其RI-Skeet矩阵，确定最恰当的董事来负责风险登记表上的各个项目，从而在董事会内部建立针对所有风险的责任制和有效领导。对业务的定性理解还能够帮助非执行董事确保自己明白在董事会上听到的讨论内容。 “你一定不希望，首席执行官告诉你一切都非常好，但当你实地考察后却发现，所有事情都与他所说的大相径庭” （某非执行董事）。多样化的 RI-Skeet架构可以提高董事会预测风险、识别机遇的能力，从而完善战略决策。8研究不仅发现，董事会的RI-Skeet架构中普遍存在着缺陷，而且特别关注了可能出现风险的新领域。例如，部分受访者认为，并购对董事会风险相关性的影响、以及网络风险的日益普遍，都是与他们密切有关的问题；就后一种情形，某电信公司曾遭遇的大规模黑客攻击事件已广为人知，在访谈中被多次提及。 该事件为董事会展示了险些发生事故的情况，使网络风险变为其讨论的焦点。显然，可能出现的危机（主动出击）和实际损失（被动反应），对于促进董事会从战略视角出发、开诚布公地讨论风险都极为重要。同时这也突显出，此类事件已成为推动风险讨论的重要因素（参见2.2节）。同样很明显的是，董事会正在利用内、外部的风险专家，在他们特别缺乏专门知识的领域提供RI-Skeet支持。目前在预防财务错报风险方面，利用外部审计师（财务错报风险方面的专家）的做法已非常普遍；所以有人建议，其他类型的风险专家（如网络风险或健康与安全专家）在其他领域中也能发挥同样的作用。“财务错报无疑是一种风险，因此（外部）审计（作为规避财务错报风险的一种手段）已广为人知，所有人都认为这理所当然。而我相信，如果健康与安全、抑或信息技术也被视为风险事项的话，那么采取同样的举措也合乎情理” （某非执行董事）。风险专家还能通过举办研讨会，专门针对风险问题进行深入的战略分析，由此促进董事会清楚明白地展开风险讨论，增强其风险相关性。 3.董事会参与风险管理面临的障碍本节分析了董事会进行有效风险管理面临的诸多障碍。研究目的在于，识别影响风险敏感型董事会有效运行的常见障碍。“应对风险的关键在于，如果无法确保其持续发挥作用，它便形同虚设” （某执行董事）。访谈中，许多受访者明确表示，为了能够对风险管理进行战略性思考，董事会需要意识到并理解：风险管理如何在企业中发挥作用。风险管理只有在董事会层面保持生命力并具有可见性，方可进行有意义的讨论。但使董事会更清楚地洞悉风险并非易事，因为这一过程中充斥着诸多阻碍。 访谈表明，大多数障碍可分为以下两大类：一类是“认知障碍”，它们会降低董事会制定风险敏感型战略决策的能力；另一类是“社交障碍”，这种障碍将抑制董事会中的风险相关对话。如图2.3所示，由于这些障碍破坏了董事会看待企业的整体视角，使得他们无法建立清晰认识。同样还必须指出，“社交障碍”的出现可能导致“认知障碍”，反之亦然。风险专家还能通过举办研讨会，专门针对风险问题进行深入的战略分析，由此促进董事会清楚明白地展开风险讨论，增强其风险相关性。 案例分析：利用外部专家强化RI-Skeet架构在接连遭遇两起被公开报道的黑客攻击事件后，一家制造企业终于醒悟，其董事会的RI-Skee架构在网络方面十分薄弱。通过引入外部专家为董事们提供建议，董事会弥补了相关不足；而就在风险管理审计期间，公司竟然又受到了外国某实体的攻击，企图窃取知识产权。董事会认识到，如果不能积极主动地获取此类专门知识，那么该事件就有可能造成产品流入黑市的局面，引发一场重大“灾难”。此外，通过情境练习，帮助董事会理解其成员在风险预防与响应方面的优、缺点，以及围绕RI-SKeet 、风险责任、风险偏好等所需关注事项的压力点，将进一步促进风险管理讨论。 为确保董事会保持风险相关性，考虑到技能矩阵、审计和情境分析结果，受访者认为，开展培训大有裨益特别是对于“致命问题”。尽管如此，并非所有受访者都持这种态度，特别是中小企业部门的受访者，董事会级别的风险培训（不论是内部还是外部）尚未普及。一位执行董事指出，之所以没有建立充足的董事会培训，是因为风险管理通常被认为是任何人都可以做的事情，他们在日常工作中在不知不觉地进行风险管理。 9n 认知滤镜 (3.1)n 社交滤镜 (3.2)时间压力静态风险数据组织复杂性风险安全区企业2131 风险管理委员会2 风险管理专家3 审计委员会董事会风险视角图 3.1: 董事会的企业风险视角为了重新聚焦风险管理，董事会可以借助各种委员会和专家，通过这些视角来密切观察企业。10为了重新聚焦风险管理，董事会可以借助各种委员会和专家，通过这些视角来密切观察企业。但是，受访者指出，这些风险聚焦镜的存在并不能充分弥补上述障碍导致的盲点。因此，受访者认为，减少企业内部障碍，进而提高董事会获取基于知识和认识、全局性把握企业整体情况的能力非常重要。3.1 认知障碍 认知障碍一：静态风险数据无论所处的行业或业务规模，大多数受访者都强调，对运行良好、风险敏感的董事会来说，面临的最大障碍便是无法通过董事会文件充分了解企业运行的健康与否。许多董事会都希望突破面向过去、静态化的风险登记表，转而基于动态视角，评估风险管理对企业活动的实际影响，但真正做到这一点的董事会寥寥无几。风险登记表往往只被当做合规的“检查清单”，而未被视为有关战略决策的诸多信息来源之一，部分受访者对此倍感失望。 为了确保不会只满足于风险登记表上的常规项目，一些研究参与者强调了关注“新兴”和“移动”风险的重要性。这种方法具有以下三大益处。首先，它确保向董事会提供的信息保持相关性和前瞻性。其次，它确保董事会不会过度参与源于风险登记表的运营问题，正如某执行董事所着重指出的： “如果董事会开始讨论登记表上的第99项风险，表明它们过于纠结运营琐事。” 第三，提供有关不断发展变化的风险状况的信息，能够支持风险管理对话，从而有助减轻潜在损失，并充分利用各种战略机遇。企业若能提供自下而上的综合信息，在揭示潜在风险的同时避免董事会接收过多的风险管理信息量，可以改善董事会内部的一般问询和战略决策。认知障碍二：组织复杂性受访者指出，组织复杂性影响了董事会识别风险的能力。这种复杂性令董事会设定决策参数困难重重。此外，具有回顾性的静态风险数据可能与企业目前面临的内外部挑战毫不相关，这进一步加剧了风险。例如某受访者指出：“庞大复杂的企业全面风险管理（ ERM）系统，需要耗费大量的时间来收集有关信息，而这些信息只提供了企业过去的发展情况，而非现状” （某执行董事）。此外，在2.1.2节所指出的两种战略风险决策方法背景下即基于“规则”和基于“原则”的战略风险决策方法，更复杂的“原则型”企业应制定明确的根本性原则，确保不会遗漏关键业务问题，例如风险衡量标准和风险登记表上当前重大风险。受访者指出，组织复杂性影响了董事会识别风险的能力。 案例分析：如果静态数据（不幸）成为现实某公司正考虑在其整个业务运营中进行大规模的信息技术重构项目。在这一过程中，需要将是否推进该项目的关键战略决策提交给董事会审议。考虑到实施该项目的时间较长，等到全面实施端到端系统时，企业或许已调整战略方向，该系统也可能变得不再适用。 随后发现，提交给董事会的报告包含很多技术术语，并详尽阐释了与正在设计中的功能密切相关的各种风险，以及它们与企业经营战略调整的相关性。对延误原因的调查发现，董事会认为由于技术术语过多，报告晦涩难懂。因此，在审议项目的可行性时，董事会无法高效且有效地分析问题。