公司风险管理的价值

本文来自公众号：内审之友，作者：Cindy Wang。

近十年来，中国企业的快速发展有目共睹。如果说80年代是欧美公司大航海的时代，那么这几年便是中国民营企业的大航海时代。在扩张市场的同时，扩张中的风险管理对于企业来说也越来越重要。所以本文我想通过多年外资公司全球内审经历，对成熟跨国公司中风险管理的价值进行些总结和思考，为中国的成长型企业和跨国企业提供些参考。

全球化的需要

善于辩证法的中国人都认为，机会与风险并存。过去二十多年的历史也告诉我们，很多企业成功都是因为险中求胜，抓住了机会。所以说到风险，很多人都是抱着走一步看一步的心态。这都是没有错的。但随着经济的全球化，对于已经跨过生存阶段，力求吸引到全球人才和资本的中国跨国公司，当在家门外进行博弈的时候，只摸着石头过河是不够的。

海外市场对于公司的风险管理有了更高的要求，尤其是管理层更要具有这样的风险意识。否则小则罚款，大则引起公司持续经营的困难。比如说最近瑞星咖啡财务造假案例，直接导致在美国下市失去融资渠道，而公司的运营也会因为股东的诉讼而直接面临破产。而其导火索之一是由于美国专业的做空公司的存在（而在中国上市的公司，既不允许被做空，对于造假惩罚也相对较松，导致有可乘之机）。另外2018年开始的孟晚舟事件，虽然是美国单方面指控，但美国诉讼开始依据的制裁伊朗法案，也适用于很多有海外业务的公司。类似的事件一旦发生，就会引起公司持续经营的困难。但如果具有良好的风险管理的意识，就会根据可能的风险高低调整自己的运营和战略，尽量事先内部发现并且规避类似的风险。

国内国外对于监管要求的严格化和违规成本的增加

随着瑞幸公司事件的发酵，美国上市的中概股面临更加严格的监管。5月21日，美国参议院刚刚通过的HFCAC法案，要求中概股遵守美国法规及审计标准和信息共享，否则将面临退市。一旦法案变成法律，除非退市，中概股所受到的监管要求将被提高。不仅对于海外，对于国内上市的企业，新修订的证券法也增加了对于企业监管的要求和惩罚。比如说，针对于业绩造假的处罚标准提高到1000万（原来只有60万）。同时根据上市公司退市实施办法，在申请或者披露的信息存在虚假记载，误导陈述，或者重大遗漏，一旦被法院依据《刑法》做出有罪生效裁判，股票就会终止上市，相关负责人也会收到刑事的处罚。

增加股东对管理人的信心

对于中型和大型的企业，外部股东（包括海外的股东）看到的都是管理层所披露的信息，又怎么知道这些信息是否真实有效，公司有没有重大风险呢？对于上市公司来说，首先各国都有对于上市公司关于内部控制的规定（比如说美国的COSO）。中国证券市场（包括科创板）也有相应的要求，指定专门职能部门负责内部检查监督，披露年度内部控制自我评估报告和会计事务所对于内部控制报告的意见。这些披露就是给股东提供额外的信心。对于董事会成员，除了听取CEO的经营汇报，内审委员会的定期报告通常也可以作为一个很好的平台，提供客观的信息和确定性。因为公司内审部门通常由董事会决定任免，这样就给内审部门赋予了一定的独立性。

要想真正发挥内部风险管理的价值，提升股东的信心，我认为要注意以下四点：

1. 董事会和审计委员会需要有足够的风险管理经验。

比如说回到孟晚舟事件，在知道这个消息的同时，一个有风险敏感度的股东或者董事第一时间可以要求自身的内部控制体系来自我排查是否有类似的风险。如果没有这类体系，也可以根据风险大小决定是否增加内部控制避免类似风险的发生。

2. 要使得风险管理与企业战略一致。

我目前所在的欧洲公司风险管理部门会根据当年制定的战略重点，引导管理层提前思考可能对应的风险和规避的方案，制定可以量化的规避标准， 定期自我评估。另外，风险管理部门也会根据独立的分析和评估，根据战略制定审计的计 划，监督与战略重点相关的风险规避情况。这样就把风险管理和战略有效的结合到一起。

3. 要培养管理层和各个部门对于风险和风险偏好的统一认识和标准。

很多人认为公司的风险管理仅限于财务风险。其实风险管理的范围包含到企业运行的各个方面。一般主要划分为财务风险，运营风险，战略风险和法律风险。通常情况下这些风险是由各个部门自我管理，但一方面管理的有效性缺乏透明客观的评估，另外各个部门对于风险的认识和重要性无法统一，造成无法合力有效管理风险。对于公司的业务部门来说，往往有着更大的风险偏好，打擦边球。这时，培养对于风险和风险偏好的共识，建立起风险管理的标准，可以帮助各个职能部门分清主次，有劲一块使，也可以帮助业务部门更清楚，更有效率的开展工作。比如对于物流部门，往往为了能够降低存货，不希望过早下订单，希望在收到客户订单后才向厂家订货，导致厂家在短时间无法有效调配资源，生产成本提高。所以好的风险管理应该从公司的整体利益角度出发，要求各个部门提高销售预测的准确度，减少生产成本同时，也能维持存货的低水位。

4.风险管理部门负责人既要有丰富的专业经验，又对于公司内部业务非常熟悉，可以独当一面。

比如在我曾经供职的可口可乐公司，公司内审部门被称为CFO的摇篮。内审的老板是在可乐系统内做过主要业务部门CFO，10年以上的老可乐人。5年任期满后，又跳回系统内部任业务的CFO了。而风险管理作为审计的核心，也是对CFO履历中非常重要的一环。具有这样的风险管理能力和建立风险管理意识同样重要，这些都是带给股东信心很重要的基础。

好的风险管理体系体现出一个公司的底线和文化

运营一个公司如同做人，有一个共同的核心价值观非常重要。如果没有共同的核心价值观，一般很难达成对于风险的共识。因为你所接受的底线在别人那里并不是底线，你眼里的风险在别人看起来并不是风险。要想让公司的价值观深入人心，我认为有以下几个重点：

1. 确定一个基本的标准，进行有效的培训。

比如说在我任职的欧洲上市公司就有这样一个底线，叫做商业道德守则，里面包含了所有公司认为员工应该具备的核心价值观和应当遵守的法律守则，每年全公司从上到下都会参加培训。刚加入的时候我以为也就是个口号，但这个培训不仅要求参与率100%，而且被法律部门做的有声有色，和业务紧密结合，大家都非常积极参与讨论工作中遇到的相关灰色地带，为日后的工作确定指引。

2. 公司管理层自上而下以身作则。

比如说我们公司CEO多次在培训的分享中说，你不一定要有充分的证据证明这件事是错的才不能做，如果你对于一件事情有疑问，那就够了。先不要继续做下去，把你的怀疑说出来。同时他也举了一个三千多万美金合同的例子，因为对于客户的背景调查一直有所疑问，他最后决定放弃签这个合同。道德是一种无形存在的东西，很多时候无法衡量，但是这样的例子不断从管理层的日常中体现出来，的确让我感到了它真实的存在，也让我为能够在这样一个好的企业里任职而自豪。

3. 提供内部举报违背基本标准的渠道，使得违规事件透明化，得到及时处理。

比如说2018-2019年间，互联网巨头企业在经历了高速的扩张期后频频爆出从上至下的内部腐败的案例。从阿里大文娱副总裁刘春宁被警方立案调查，到大疆自曝由于腐败损失超过10亿。事发之后，各个互联网巨头认识到控制腐败的重要性，不仅对腐败零容忍，同时开出百万奖励，通过各种手段加强了监督，管理和信息共享。这在一定程度上有效控制了腐败的风气，也让广大员工可以安心工作。

总之，一个公司的风险管理是要建在主要部门牵头和管理层认可的基础上，各个职能部门和风险管理部门合力打组合拳，才能制造一个透明，公平，有商业道德的公司文化。