全面风险管理的真正落脚点是“全民”风险管理,最为重要的是调整企业的薪酬激励机制,确保风险和收益的对称设计和动态平衡,即应充分平衡关键效绩指标(KPI)、价值驱动因素(value driver)和风险三者之间的关系,同时构建正面的风险管理文化。
2008年6月28日,由财政部、证监会、审计署、银监会、保监会等五部委联合发布的《关于印发<企业内部控制基本规范>的通知》、《企业内部控制基本规范》,拉开了推动和规范中国企业内部控制的序幕。但是,对企业而言,这部“千呼万唤始出来”的规范无疑为企业彻底厘清自身风险带来了契机和福音,也更为中国企业走出去参与全球竞争奠定了管理基础。
德勤刚刚出炉的《2008年度内部控制调查报告》显示,中国上市公司对内部控制监管要求的意识和了解程度有所增强。其中44%的受访公司已经建立起了良好的内部控制机制,但仍有56%的公司尚未建立内部控制体系。尽管上市公司已经明显重视了内部风险控制,但是仍然存在对全面风险框架的了解以及与考核有关的关联问题。作为企业的CFO,面对全面风险控制规范的落实的艰巨任务,需要以专业的知识和全局的视角担当重任。
“评价什么,就得到什么,”这是当今全球著名管理学泰斗德鲁克(Peter.F.Drucker)的名言,并且被奉为管理学界的圭臬。根据这一逻辑,如果风险控制无法与考核相联系的话,企业也很难将内控理论框架转化为具有实际意义的具体指导。
“对称”风险与收益
2006年笔者曾经认真梳理过中航油巨亏的案例,不可否认,中航油能够走上巅峰的功劳大多可以归功于陈久霖的眼光和魄力。但是,中航油的巨亏同样也是由陈久霖豪赌而一手造成的。“成也萧何,败也萧何。”曾经听一位熟悉他的老领导说过,陈久霖的办公室里悬挂着与各位高级领导合影的照片,可见其想赌赢的动机仍是物质或者精神上的过度追求,以至于最后越过“雷池”千里,并铤而走险。如果我们再进一步深究,还是其上级的激励机制导向存在一些问题,在其设计的考核指标中考虑的主要是收益因素,而对收益中隐藏的风险因素却置若罔闻。
最近,造成法兴银行重蹈巴林银行覆辙的“魔鬼交易员”科维尔最终向法庭承认他的作案动机是希望2007年能够拿到60万欧元或者90万欧元的年终分红。天下熙熙,皆为利来;天下攘攘,皆为利往。马克思曾非常精辟地说过,当资本家有了100%的利润,就敢践踏任何法律;当有了200%的利润时,就敢犯任何罪;当有了300%的利润时,甚至敢冒死刑绞刑的风险。科维尔的逐利动机并不稀奇,并且从人性的角度考虑,我们也无庸置喙。但是对法兴银行而言,作为一家百年老店,风险控制如此不堪一击的确堪奇。 7月4日,作为法国银行监管机构的法国银行委员会认定,在交易员欺诈一案中,法兴在内部控制方面具有“严重缺陷”,造成大规模的欺诈丑闻发生,并且开出了创造记录的400万欧元的罚单。在市场经济社会里,具备良好的风险控制是基业长青的必要前提。如同我们的汽车设计,刹车系统性能良好是汽车的必要环节。否则,犹如平原放马,易放难收,终会酿成大祸。
从另外一个角度看,引发目前次贷危机的主要原因可以归咎于华尔街特有的薪酬体制。高得离谱的薪酬和奖金诱惑了投行员工的非理性和过度投机。有时候甚至是同室操戈,互相厮杀。本来兄弟阋于墙,外御其侮,但是最近媒体报料贝尔斯登的CEO曾电话质询高盛的CEO,指责高盛落井下石,背后故意做空贝尔斯登的股票,以至致其溺水身亡。实际上,对华尔街从事衍生产品的交易员而言,薪酬构成则为基本工资加交易盈利,而交易盈利却占交易员薪酬的大部分比例。次贷危机折磨致死的贝尔斯登以及奄奄一息的美林银行,他们的员工薪资结构同样也是包括基本工资、分红、股票奖励、期权以及其他补助,工资仅仅占薪酬很小的比例,尤其是主宰公司发展的高管人员,而股票奖励与期权价值则往往取决于公司的股价表现,业绩是股价表象的主要因素。
实际上,投资者也并不喜欢经营风格保守的公司,同样也在激进经营策略上煽风点火,推波助澜。著名投行摩根士丹利CEO裴熙亮由于采取了保守的经营理念,所以公司股价持续低迷,并落后于竞争对手高盛的股价,最后因此挂冠辞职;那么,继任者为了汲取前车之鉴,及时将摩根士丹利经营的“风险系数”提高到2003年的1.61倍,风险翻倍增长。通常赢者通吃,为此公司高管可能走火入魔,孤注一掷,为迎合投资者的偏好,投资高风险产品,但是市场稍有风吹草动,就可能马失前蹄。
基于上述的逻辑判断,企业无法改变投资者的风险偏好,但是至少应该反思企业的经营理念。如果想要基业长青,至少需要建立起风险与价值增长的平衡理念,在确保风险可以容忍的前提下,提升企业的价值增长速度。说得实际一点,那就是要从企业内部建立起合理的奖惩激励机制。如果任由“赚了属于自己,亏损属于公司”现象滋生,那么,对风险承担能力有限的员工而言,铤而走险是实现自身收益最大化的最优方案。这也就是经济学教科书中常常提到的“逆道德选择”风险。
约翰。堂恩有云:“谁都不是一座岛屿,自成一体;每个人都是那广袤大陆的一部分。如果海浪冲刷掉一个土块,欧洲就少了一点;如果一个海角,如果你朋友或你自己的庄园被冲掉,也是如此。任何人的死亡都使我受到损失,因为我包孕在人类之中。所以别去打听丧钟为谁而鸣,它为你敲响。”实际上,企业内部的任何一个环节出现灭顶之灾都会快速辐射或者蔓延到其他环节,终将导致整体的瘫痪或者破产。因此,全面风险管理的真正落脚点是“全民”风险管理,最为重要的是调整企业的薪酬激励机制,因人而宜,确保风险和收益的对称设计与动态平衡,即应充分平衡关键效绩指标(KPI)、价值驱动因素(value driver)和风险三者之间的关系。
深植风险管理文化
此外,构建正面的风险管理文化也是维持风险与收益平衡的重要因素。谈到风险管理文化,笔者一次在澳洲的亲身体验令我思考良多。本人今年3月23日过澳洲海关,以为这里同样也是例行公事,出关时,需要通过一个 “NO FOOD”的旅客进入绿色通道。我不确信是否将随身携带的六个苹果归为食品一类,简便起事,直奔绿色通道。最终因为“瞒报”受到严重警告,并收到一纸“WANRNING NOTICE”,警告声明如若再犯,则面临高达6600澳币的罚款,或者10年的刑事起诉。这个严厉的处罚结果,让我以后无论如何都不会再敢“瞒报”。正是靠着这个严厉的负面惩罚制度设计,澳大利亚脆弱的生态系统才没有出现外来物种入侵,生态仍然保持良性和平衡。
同样,澳洲的交通秩序井然,更是源于严格的交通管制和严厉的惩罚措施。驾车载我澳洲行的老者是澳大利亚科学院(CSIRO)的科学家布瑞先生,他向笔者解释,如果违规则被罚款和扣分,并且非常严格。久而久之,严格的惩罚制度养成了司机的习惯,再久而久之,习惯逐渐演化成了一种文化。
同理,如果内控规范要严格执行和推行,也更应该成为一种企业文化。刚开始的时候,需要给予严厉的惩罚,杜绝任何内部的违规现象。如果有法不依,则无论如何完美的制度和规范,都会无济于事。我们知道,安永为中航油设计的风险管理手册中明确规定:损失20万美元以上的交易要提交风险管理委员会评估;累计损失超过35万美元必须经过总裁同意才能继续;任何将导致50万美元以上损失的交易将自动平仓。中航油共有10位交易员,也就是说,损失的最大上限是500万美元,同时应该按照从交易员到风险管理委员会再到内审交叉检查最后到CEO和董事会的路径层层上报。但事实是,没有按照规则行事的中航油最终共损失了5.5亿美元,远远超出500万美元的上限。事后的调查也证明这些完美的制度的确被束之高阁,并没有落到实处。实际上,中航油的文化中带有强烈的“官本位”观念,甚至强调权威至上,员工忠于CEO而非制度,缺乏正直和诚实的氛围,那么在这种文化的熏陶下,违规惩罚仍然遵循封建制度下“刑上不大夫”的做法。如果内部形成了完全服从的氛围,甚至包庇高管或者个别员工的错误行为或决定,终究会上行下效,上梁不正下梁歪,内部控制体系最终将会土崩瓦解,沦为故纸堆里的一员。
企业典范,如3M,波音、通用电气等的核心文化都含有绝对正直与合乎伦理的核心理念。企业中神圣不可侵犯的应该是企业的文化理念而不是某个“领导”。无论如何,作为公司整体而言,绝然不能任由任何人员绕过内控制度。
很多人往往将风险视为“洪水猛兽”,但实际上,风险是收益的伴生物,如影随形。规避风险需要标本兼治。从根本的角度看,需要公司在效绩评价中更多体现风险因素的非财务指标。上面提到,全面风险管理的本质就是“全民”风险管理,人人有责和有压力。有必要将内部风险量化明确到公司董事会的成员和全体员工的身上,根据公司对全体员工的风险容忍度上限分配相应的风险管理指标;而从另外的角度看,为有效规避风险,公司需要建立有法必依的执行文化,任何人都不能以任何理由和借口越雷池一步。
为此,企业内部必须深植正直的企业文化理念。如果要保持员工对制度和企业文化理念的温情与敬意,其基本的前提需要企业树立员工和管理层在风险管理上人人平等的理念,否则要想在“为权力是从”弥漫的企业氛围内培养出认真执行制度的员工是非常难的。
在内控体系建设中,CFO的职责是建立起风险报警和管理防范体系,进一步梳理和明确内部各作业环节的职责和风险最大承受度,因为这些体系主要是基于财务数据。在此基础上,建立和健全严格的内部管理流程;及时借鉴国外成功的管理模式和经验,引进VAR管理技术,对每个风险点进行量化管理,尤其需要在管理体系上实行金字塔型式的“竖线管理体系”,自上而下,对风险点层层分解,最后再量化到各个作业环节上。通过部门职能划分、岗位设置、职责分工等与内部控制相关联的一系列办法来帮助解决这些障碍。
前面提到的德勤的调查结果反馈显示,因管理层的意识不到位是内部控制进程缓慢的重要原因之一,我想《规范》的出台是一个重大的契机,CFO可以借此平台及时推广“全民”风险管理。
需要重视的是,因为风险点的出现总是动态的,因此CFO需要对内控工作保持敬畏的心态,及时总结、发现并解决问题。此外,“不战而屈人之兵仍是克敌制胜的上策,”企业只有建立起强大而正面的企业文化,内部控制制度才有可能有效,风险防范才不会是停留在制度层面上的一句解决之道。
