ERM中常见的十个挑战

　　编者按：近年来，多变的经济环境为企业风险管理（ERM）带来了创新性的增长。其结果是ERM在越来越多的企业中实施。当企业将其作为一项标准化的经营实务充分发挥作用时需要小心防范其中的陷阱。

　　很少有企业觉得实施企业风险管理（ERM）是轻而易举的事—它需要将组织协调、强力的执行管理和对各项计划的敏感性分析罕见地结合在一起。虽然这是实际需要，但ERM本身也值得你这样做，因为它迫使企业停下脚步审视它们的风险，而这是保护资本和提升股东价值的基本步骤之一。

　　然而当董事会和执行管理层评价ERM时，他们得出的往往更多是问题而非答案。虽然每个企业都面临着一些特定的问题，但ERM所带来的挑战更多地是各个企业共同面对的，基本上与行业、地域、监管或竞争环境无关。通过考察这些常见的ERM挑战，以及其他企业已经运用的创造性解决方案，管理层将能更好地开发和更新他们自己的企业风险管理计划。

　　1、评估ERM的价值

　　问题：在一个由投资正回报驱动的经济中，企业常常要努力展示出ERM足够的价值才能使它的实施成本合理化。由于传统的投资决策评价使用普通的风险和回报指标，诸如净资产收益（ROE）、总资产收益（ROA）、以及风险调整后资本收益（RAROC）等，ERM的价值驱动因素较少涉及。尽管相关指引在增多，但ERM大体上还是自愿行为，这就在规范语言和法规鼓励两方面导致了价值主张的缺失。

　　潜在解决方案：许多企业用一个传统的业务模式来建立ERM价值、风险和成本。这种典型的业务模式从四个方面看待ERM价值。

　　第一方面是股东价值增长，包括由正面公众形象导致的股权溢价，信用评级或风险评分的改善，以及风险结果与经营的一体化。第二方面是避免风险，比如通过套期保值或保险产品减小波动，以及通过加强控制以降低风险。再一方面是真金白银的节省，包括风险机构和流程的合并、保险成本的下降以及法定资本金要求的降低。最后一方面是其他定性化的益处，包括风险透明度和风险意识的提高，风险管理协作和责任度的提高，风险和财务衡量指标的改善，以及相互隔绝式风险管理行为的消除。

　　在评估了一个计划的潜在价值之后，许多企业开始考察ERM的成本和风险。虽然大多数企业把管理风险作为标准化经营实务的一项内容，但ERM计划通常包含强化的风险评估流程、风险和业务整合、以及公司治理问题。这些行为可能会需要新的资源、技术、政策和流程改进，所有这些都需要不同程度的资本支出。

　　作为对这种业务模式的一个替代，管理层可以实施试验性的ERM或者是ERM的简化计划。这一计划通常涉及一个明显具有较大财务风险的业务单位以及一个具有较高的非财务风险暴露（比如战略的、声誉的或者运营的风险）的业务单位。

　　2、保密

　　问题：一个ERM计划让管理层能够量化企业的风险。由于风险信息日益由事件驱动并以金钱衡量，公司律师们可能提出有关风险向外部监管者、审计师以及公众揭示的问题。企业必须要在风险可见性与法定披露之间取得平衡。

　　潜在解决方案：既要明察风险又要保护敏感信息，最简单的方法就是根据较宽泛的分类来收集和报告风险数据，不要提供有关合同、法律案例、项目、事件、交易对手以及产品方面细节。作为一种选择，风险信息（比如严重性）可以用定性的方式表述，不要提及具体的金额或金额范围。虽然企业都在更多地使用这种比较保留的方式，但整个行业却显得风险透明度越来越高。

　　采用更加保守方式的公司通常使用一些技巧管理数据敏感性问题。比如，企业的全部风险评估都可以在法律监管下进行，但其结果要高度保密。

　　当高度保密不可行或者企业不想引起争议，可选的ERM风险评估方法包括制作多个风险报告按照业务需要发放（比如向董事会和高层管理团队提供详细版本而对较大的范围提供一个宽泛的报告），依靠“保密”和“仅限内部使用”的标记进行保护。

　　3、定义风险

　　问题：最大的挑战之一是建立一个统一的、广泛应用的风险定义系统。对风险定义或方法论的任何分歧都有可能威胁到计划的成功。

　　潜在解决方案：要建立一个正式的风险管理框架和共同的风险定义系统，可以由一个工作小组来完成，这个小组由每一个重要的业务单位和共享的服务部门派出至少一名代表组成。小组最重要的目标就是建立风险本身的定义。虽然每一个风险类别可能是不同的，但风险的定义必须一致，并且有清晰的指引进行支持。这个小组还必须制作一个风险清单并且支持风险分类，以进一步定义和分级企业面对的全部风险。

　　4、风险评估方法

　　问题：企业风险评估采用多种方法和工具，包括调查、访谈和历史分析。每一种方法都有其价值和缺点，必须对它们进行仔细考察以确定其对企业的适用性。

　　潜在解决方案：采用哪种风险评估方法主要是依据调查对象的数量、公司文化以及企业整体上对于风险评估的认识。面对面评估法的好处是有助于风险管理教育和指导，鼓励讨论和方便数据收集。相反地，自动化工具适用于那些已经广泛具有风险管理知识的企业，或者本身性质就适合技术型工具的企业。

　　另外，风险评估方法通常是根据对象而定的。例如，许多企业采用集体约谈会进行行政风险评估，而对管理或技术人员则采用单人方式。

　　5、定性与定量

　　问题：对许多企业来说，使用定性指标还是定量指标进行风险评估是一个关键性决定。这个决定大体上取决于企业所处行业、它对于ERM的信任度、它对保密和总体成本的看法。

　　定性的方法为管理者提供整体指标而非具体的风险分值。定性分析的结果一般用红灯、黄灯、绿灯或者高、中、低风险来表示。定性评估可以进一步解读，可以用描述性符号来表示（比如在风险暴露达到灾难性的地方用红灯或高风险标记），也可以用一个较宽的金额范围来设定区间（比如，绿灯表示风险暴露在1000万美元以下）。

　　定性风险评估更受青睐，因为它们较少用到复杂的风险加总方法，需要较少的数学支持和使用者培训，这意味着更低的实施成本。反过来，定性评估的结果也因为与财务报告和预算指标脱节而为人诟病。另外，一些批评者认为定性评估的结果一般更难阐释，这就使管理层难以厘清职责与防范问题。

　　潜在解决方案：虽然企业一边倒地使用定性风险评估方法，但整个行业似乎正逐步转向定量化风险衡量。转向定量方法的企业通常采用一个过渡性的方法，将风险区间收窄，于是风险严重性的级数就从三级（比如高、中、低）增加到了五级或更多（比如很高、高、适当、低、很低），也相应地调整描述范围或金额范围。他们还经常会对于财务风险和非财务风险（诸如战略性或声誉方面的风险暴露）使用不同风险严重性级数。

　　6、时间界限

　　问题：ERM风险评估的时间界限主要取决于企业使用ERM风险结果的目的以及它愿意在风险管理上花多少钱。

　　许多企业把ERM的结果用于季度或年度计划，然而更精明一些的企业把ERM结果融入年度预算编制和长期战略计划制定中。

　　较短期的时间界限（少于12个月）通常受到偏爱，因为它要求的培训更少，风险评估的精确性更高，并且总体上比长期的时间界限更省钱。如果管理层看重超越年度财务报告周期的风险可见性并需要更长的时间去化解问题，就会使用较长期的方案。不管用何种方法，风险评估的时间界限必须与ERM计划的预定目标相一致。

　　潜在解决方案：尽管短期风险评估更容易做，我们见到企业还是在转向长期或者混合方案。另外，各个企业越来越多地使用滚动时间界限（比如12-18个月）以缓解年度评估的局限—即进入下一年度后风险可见性降低，缓冲时间减少（例如，第四季度风险评估只覆盖三个月的剩余风险）。

　　7、多重可能情景

　　问题：想象一下这种情景：ERM团队要求一名访谈对象评估在本财务年度中交易对手违约的可能性及其造成的损失冲击。这名访谈对象确定在给定的时间界限内有百分百的可能发生至少一次低财务冲击的对手违约（高概率低冲击事件）。还有百分之五的可能性发生至少一次高财务冲击的对手违约（低概率高冲击事件）以及数次不同预估损失的违约（中等概率中等冲击）。

　　这一情景突出了与基本风险评估方法相关的一个问题—大多数风险具有多重的发生概率和风险损失。

　　潜在解决方案：对于这个问题有两个常用的办法。在最基本的方法之下，访谈对象根据他们最乐观的估计给出一个损失程度。例如，这家企业每年四次确认一项重大投资损失。那么这名访谈对象考虑了全部四次潜在的导致损失事件，投资组合规模、历史损失记录和公司的投资压力测试结果后给出其预计的损失程度。如果这名访谈对象预计的损失程度为100,000美元，则大约等于每次损失25,000美元。

　　更进一步的方法要求访谈对象为所有的潜在事件分别给出损失程度并进行算术平均。为使计算量最小，企业常常限制概率场景和潜在结果（比如不可能、有点可能、可能、很可能、非常可能）的个数。

　　采用基本方法还是较复杂的方法，主要取决于一个企业对概率和损失概念的熟悉程度，和它所使用的风险评估方法（比如，是人际的还是基于技术的）以及其成熟程度所支撑的风险承受力。

　　8、ERM所有权

　　问题：关于谁应当“拥有”ERM的问题常常模糊不清，并且在董事会、审计委员会和管理层争论不休。

　　潜在解决方案：在大多数项目中，风险主要由一线管理部门拥有，同时受到独立的风险、合规和管理监督部门的监督。更宽泛的有关ERM项目所有权问题并不十分确定，主要取决于董事会和审计委员会的职责、既有的风险管理功能和架构以及公司的风险观念。

　　至于组织结构，虽然并没有一个单一的行业准则，但总体上ERM管理应当归属于风险管理部门，接下来是内部审计、财务、法律和各个支持部门（例如合规、战略规划）。

　　9、风险报告

　　问题：企业常常纠结于两个风险报告方面的问题：（1）哪些信息应当与各类内部与外部的人员共享，以及（2）怎样传达风险。

　　潜在解决方案：大部分企业具有多个风险拥有者，他们有不同的责任和需要。这种情况下，领先的企业会建立与受众的职责和具体授权相对应的风险包。普通的风险包提供给董事会/审计委员会、管理风险监督委员会、业务单位领导和一线管理部门。风险报告一般从一个普通风险数据库产生，其中的信息根据受众的职责、风险类型和对企业的冲击进行了不同分类。

　　比如，给董事会的报告所呈现的风险通常是超过某个预定的临界值的，或具有较高的战略价值，或是新出现的并且未量化的风险暴露，还要排除多余的信息。另一方面，给业务单位和一线部门的报告，可以显示中等程度的风险暴露，策略风险，以及交易合规性数据。

　　对外的报告常常不那么棘手。公众公司通常必须通过财务报告、年会、季报、公开披露和各类监管回复共享某些风险信息。虽然对于外部报告已有十分详细的要求，但企业还是试图用ERM的结果去阐述或支持其风险判断。

　　除了外部报告的规定要求，内部风险报告的格式企业间也各不相同。就一个使用基于金额的评估结果的企业来说，管理层一般从一至三个格式中选择：确切地说就是预期损失、损失程度以及两者的结合。使用损失程度的一般是那些希望了解未经概率调整的最大潜在损失的企业。反对者认为损失程度格式夸大了所需的风险防范行动和相关的资本。作为一个折中，许多企业采用混合方法报告风险，同时指定一个主要指标进行资本配置（通常是预期损失）。

　　10、模拟和压力测试

　　问题：压力测试让管理层能够评估企业运营可能受到特定事件负面影响的程度并测定企业的反应能力。虽然这一概念很直观，但企业还是难以平衡有意义的模拟和压力测试和近乎无限多的可能情景。相似地，企业经常艰难地去辨识和预测未知的或不可能的风险。

　　潜在解决方案：对于模拟操作的次数和类型虽然业内并没有一致意见，但是银行监管指引要求金融机构在“最坏情况”和其他宏观经济情境下测试对“基本状况”的预测。虽然最坏情况并没有确切定义，但是有案例要求压力测试反映“极端”情景而非灾难性事件。事实上，大多数银行在计算风险值和经济资本门槛时使用两个标准差（95%的置信度）或三个标准差（99%的置信度）进行测试而非世界末日的情景。

　　企业总是通过定期的且指向性很高的头脑风暴会议来应对黑天鹅事件，在这里，这些事件被分类讨论以确定需要采取什么管理行动。这种头脑风暴会议通常被限定在管理高层范围并在外出静思会期间或者按计划举行的领导力/风险监督委员会会议期间进行。

　　英文原文由Risk Management登记版权，许建树 译。

　　作者Jim Negus是毕马威会计师事务所的风险与合规服务部的一名负责人，以及公司西部地区的ERM负责人。