当前位置：中博教育 > CMA > 公告政策 > CMA研究：CFO与战略风险管理

CMA研究：CFO与战略风险管理

文章来源：CMA官方服务号

发布时间：2021-10-21 13:37

阅读：863次

战略管理的终极目的是让企业创造长期可持续价值，这就需要有效的风险管理。在过去20年里，企业风险管理（ERM）日益受到董事会和高管的重视。与此同时，ERM的发展和应用也经历了重大变化。在ERM的益处、目标及其在组织中的作用方面，我们已经吸取了许多宝贵的经验。

2017年，美国反虚假财务报告委员会下属发起人委员会（COSO）发布ERM框架《企业风险管理——与战略和绩效整合》，强调了将风险管理纳入战略制定及绩效提升方面的重要性。最近，我们以COSO的ERM框架为基础，联合为COSO撰写了一篇题为“Creating and Protecting Value:Understanding and Implementing Enterprise Risk Management”的论文（bit.ly/36UTPWo），帮助董事会和高管团队了解ERM在组织中的作用。该论文体现了我们在德保罗大学战略风险管理实验室的持续工作成果，以及我们与众多董事会和高管团队的合作，包括总体指引和一系列切实可行的步骤，可帮助CFO制定有效的ERM计划以及供董事会参阅的ERM计划简报。

SF：这篇论文展示了战略风险评估流程。CFO、董事会和高管团队使用这一流程时，可以为公司带来哪些主要益处？

Mark L.Frigo/Richard J.Anderson（以下简称“MLF/RJA”）：战略风险评估流程将风险评估直接与公司的关键战略联系起来（见图1）。该流程运用步骤一中的“回报驱动战略”框架来了解组织战略，步骤二中的“战略风险管理”框架来收集与战略风险相关的数据和观点，步骤六的战略地图来传达战略风险状况与行动计划。这会给高管和董事会成员带来很大好处。

首先，其清晰展现了风险评估与公司关键战略之间的关系，可让高管和董事会非常透彻地了解风险评估流程。因此，风险评估就有了价值与实际意义，而非理论或概念。【点击免费下载>>>更多CMA学习相关资料】

微信图片_20211021133555.png

其次，该流程识别出企业可管理的一些关键风险，而不仅仅是企业面临的所有潜在风险。在工作中，我们经常发现ERM部门编制了长长的风险清单，但高管们难以区分这些风险的优先级并应对。战略风险评估流程则不仅可识别一些可管理的风险，还有助于对风险进行优先级排序，因为风险可直接与企业的关键战略挂钩。我们还发现，该流程确定的战略风险类型值得董事会和高管们关注。

此外，战略风险评估流程与2017年COSO发布的ERM框架完全一致，这一方面提升了该流程的可靠性，另一方面为企业实施与适应2017年COSO ERM指南提供了切实可行的方法。

SF：您认为哪些公司有效运用ERM的案例与当下动荡的环境最切合？

MLF/RJA：对当下环境而言，一个最好的例子是我们所说的“思考难以想象之事”。如果说过去10年里我们学到了什么，那就是极端风险事件发生的频率远远超过任何模型的预测。有鉴于此，董事会和高管需要花时间思考极端风险事件（如新冠疫情期间经历的事件）对公司的潜在影响。

我们为COSO撰写的论文回顾了一个审计委员会如何应对未来低频率/严重性程度高的风险。委员会成员增加了四场聚焦于风险和ERM的年度会议：其中一场关注网络安全，两场根据具体情况确定的风险主题，第四场则专门讨论“难以想象的风险”。

另一个例子是名为“负责‘黑天鹅’风险的战略规划小组”，其负责识别黑天鹅风险的正式流程。这一流程包括两个关键方面：其一，评估和识别这些风险有正式的流程，而不仅仅是定期推测；其二，这一风险识别流程直接与战略规划流程相联系。

我们的论文探讨了一家大型制造企业的战略规划小组有关黑天鹅风险管理的流程：“该小组识别和评估‘不可能’的风险事件，识别风险后与内部风险委员会进行沟通和讨论。战略规划小组还要考虑这些风险事件对组织长期战略规划的潜在影响。最后，这些风险、风险对组织战略和业务活动的潜在影响以及相关的风险管理措施都会向董事会报告并与之讨论。”

论文中列举的第三个案例名为“战略规划与ERM的整合”。现在许多企业正在重新思考其战略，以应对新冠疫情。这将不可避免地给企业带来新的风险和机遇。因此，对企业言，将ERM流程与战略规划整合在一起，识别、评估和管理新战略所带来的新风险，具有更为重要的意义。我们的论文探讨了其中一种整合方式：“每一位风险执行负责人针对所负责的风险准备一份风险地图。之后，战略规划小组审查风险地图，并考虑与组织战略规划相关的风险。在更新组织战略规划之前，先要对风险地图进行更新，以便管理层和战略规划小组在更新战略规划时能够考虑到这些风险。”

SF：董事会和高管团队在实施2017版COSO ERM框架时会遇到哪些障碍，如何克服这些障碍？

MLF/RJA：我们在为客户提供咨询服务时遇到的最大障碍，是他们对ERM的真正价值和益处缺乏了解。或者正如高管们问的那样，“投资ERM会给我们带来什么切实的好处？”这一问题的背后往往是这样一种观点：ERM是一个单独的职能部门，并不真正涉及公司业务。这些观点可能会对成功实施ERM形成重大障碍。

2017版COSO ERM框架直接回应了这些问题，并可让高管们和董事们更好地了解ERM及其相关的益处。在我们的论文中，有一个章节名为“成功的关键”，详细介绍了七个主题，高管和董事会可用于制定成功的ERM计划。

ERM计划的真正价值在于通过协助管理层和董事会就战略及企业所面临的相关风险作出更好的决策，从而为组织创造更多价值。ERM流程可提供有关战略及相关风险的宝贵信息，进而协助高管们作出更好的决策，获得更多的积极结果并减少负面意外情况。

ERM并非一个独立的职能部门，而是一个要与企业现有的预算编制、规划和绩效评价流程充分整合的流程。正如我们论文所指出的，ERM可以由现有工作人员牵头，不需要成立一个单独的部门。

SF：高管团队和董事会在了解和实施ERM时常犯的错误有哪些，怎样才能帮助他们避免这些错误？

MLF/RJA：一个常见的错误就是，管理层设立了一个独立的ERM部门，但并没有将其真正整合进企业。在某些情况下，管理层或董事会可能会觉得他们需要一个ERM责任人或ERM部门来显示自己对风险管理的谨慎态度，但ERM部门却成了一个单独的职能部门。在这种情况下，管理层通常安排一个级别较低的人来领导ERM部门。ERM负责人级别不高，更会让人认为ERM不过是个职能部门，与企业的实际经营无关。

另一个常见错误，是过于关注ERM职能的技术层面（如建模），而忽视了实际产出结果的价值。一些人将ERM视为风险管理活动的检查清单或者一个简单的风险识别流程，而非企业的核心流程。最后一个错误，是简单照搬现成的ERM流程或ERM模型（如国际标准化组织或COSO公布的框架），而没有根据企业具体情况做任何调整或修改（见“Risk Management Frameworks:Adapt,Don’t Adopt”一文，《战略财务》2014年1月刊，bit.ly/3923Pjc）。

优秀的ERM负责人是必不可少的——其不仅在企业内部广受尊重、对业务及其战略非常解，而且拥有管理层与董事会提供的资源和支持来落实ERM工作。此外，我们注意到，虽然ERM相关技术流程和建模可能适用于某些风险或规模较大的企业，但启动ERM计划时，技术或量化模型并不是必要的。

ERM的有效实施需要一个迭代的、循序渐进的过程，这要精心规划且使之与企业文化相适应。我们总结的经验是采取探索式的、循序渐进的做法，让企业了解每个步骤中哪些是有效的、哪些是无效的，进而作出相应调整，确保成功实施。

SF：在新冠疫情及居家办公的大趋势下，企业网络安全风险广受关注。这方面，您对董事会和高管团队有什么建议？

MLF/RJA：网络安全风险是董事会层面需要关注的一个重要问题，特别是新冠疫情期间全球网络安全事件愈演愈烈之际。虽然这些风险已经引起了关注，但很多公司仍将其视为单纯的IT问题。我们认为，作为企业战略管理的一部分，评估与管理网络安全风险流程是必要的。信息技术的变革和企业面临的不断增加的网络安全威胁，为企业了解如何识别、评估和管理这些风险（作为企业战略管理流程的一部分）带来了重大挑战。为此，我们建议采用论文中所述的七步战略风险评估程序和相关框架，来了解网络安全风险情况并制定网络安全风险行动计划。

CFO的作用

CFO和财务部门拥有很好的机会来牵头实施ERM计划并取得成功，切实帮助企业创造长期可持续价值。在运用战略风险评估流程时，其可采取必要步骤整合ERM与战略和绩效，从而提高企业韧性。

本文为2018年10月推出的“创造长期可持续价值”系列文章中的一篇（首篇为Mark L.Frigo和Dominic Barton所写的《创造更大的长期可持续价值》一文，bit.ly/2RfcMwm）。

Mark L.Frigo，博士、CMA、CPA，德保罗大学凯尔斯塔特商学院战略风险管理实验室联合创始人、德里豪斯商学院战略与领导力中心荣誉主席，为诸多高管团队和董事会提供战略与战略风险管理咨询服务。

Richard J.Anderson，CPA，德保罗大学风险管理实践教授，普华永道会计师事务所前管理合伙人（已退休），德保罗大学战略风险管理实验室联合创始人。

相关阅读：【CMA案例：山姆会员店的经营法则】

2022年CMA最新资料包领取

请大家认真填写以下信息，获取2025年CMA学习资料包，会以网盘链接的形式给到大家，点击免费领取后请尽快保存。