近年來主導著全球注意力的新聞，包括恐怖襲擊、公司丑聞、自然災害、金融市場動蕩，引發(fā)了企業(yè)風險管理實踐的重心轉(zhuǎn)移。風險計算歷來在管理決策中占據(jù)著中心地位，但當今的企業(yè)主管們深切意識到：需要主動處理有可能威脅到公司業(yè)務(wù)的種種不確定因素。

    各種風險往往相伴而生。比如，有關(guān)營運風險的消息一旦傳出去，引起股價下跌，那么營運風險就很快演變?yōu)槭袌鲲L險。

    1999年夏，比利時的可口可樂瓶裝廠曝出劣質(zhì)二氧化碳原料新聞，引發(fā)健康恐慌。隨后的產(chǎn)品撤出，以及糟糕的危機管理，使可口可樂的股價在兩個月內(nèi)下降了13%。該公司花了1億多美元召回產(chǎn)品，使該年第二季度的凈收入下降了21%.

    人為錯誤也會產(chǎn)生同樣嚴重的結(jié)果，2001年,一個經(jīng)紀人打錯了一份訂單，把價值４.3億美元的股票當4300萬美元賣了出去，導致FTSE 100指數(shù)下降了2.2%。

    縱觀80和90年代，此等天災人禍和轟動性的公司丑聞接踵而至，比如巴林銀行(Barings Bank)、安然(Enron)以及Worldcom，促使監(jiān)管機構(gòu)采取措施。歐洲監(jiān)管機構(gòu)“巴塞爾銀行監(jiān)管委員會”(The Basel Committee for Banking Supervision)和英國“特恩布爾委員會”(Turnbull Committee)現(xiàn)在都要求企業(yè)和金融機構(gòu)采用更完備的風險管理辦法，即所謂的“企業(yè)風險管理”(Enterprise Risk Management, ERM)。

    企業(yè)風險管理(ERM)是一套系統(tǒng)化的方法，用來理解和管理企業(yè)面臨的各種風險。首先，管理者必須識別公司各個層面面臨的商業(yè)風險，上至董事會，下至部門經(jīng)理。這話說來簡單，其實比較復雜，因為公司內(nèi)部對風險的容忍程度不一樣。此外，ERM框架固然可以超越企業(yè)間的差異，提供一套透明、一致的風險管理語言，但大部分公司還不會說這種語言。麥肯錫公司(McKinsey)2002年5月對企業(yè)主管開展了一項調(diào)查，結(jié)果顯示，36%的企業(yè)主管并不完全了解企業(yè)所面臨的風險。

    管理者在識別風險的時候，應(yīng)考慮三大類別：

    金融風險。金融風險的產(chǎn)生緣由，有可能是市場的變動，也有可能是企業(yè)債權(quán)人地位狀況的變化。例如，1998年，俄羅斯政府停止償付債券，導致盧布貶值，使擁有俄羅斯資產(chǎn)的企業(yè)蒙受經(jīng)濟損失。

    運營風險。比利時的可口可樂事件就是個例子。運營風險的產(chǎn)生，多半是由于程序和制度不完善。這類失誤是有辦法減少的。通用電氣(GE)等制造商開展了諸如“六個西格瑪”(Six Sigma)等項目，以大幅減少特定生產(chǎn)周期內(nèi)的失誤數(shù)量。

    業(yè)務(wù)量風險。如果企業(yè)在產(chǎn)品和服務(wù)需求、供應(yīng)鏈結(jié)構(gòu)或者競爭環(huán)境方面遇到意外變故，那么企業(yè)就面臨業(yè)務(wù)量風險。互聯(lián)網(wǎng)的發(fā)展就產(chǎn)生了許多這樣的風險。例如，網(wǎng)絡(luò)書店亞馬遜(Amazon.com)就沖擊了美國老牌書店Barnes and Noble的商業(yè)模式，打破了圖書市場的平衡。

    企業(yè)風險管理(ERM)的第二步，是對風險進行評估。風險模擬有一些先進的方法，如決策分析(decision analysis)、風險值計算(value-at-risk calculations)和情境規(guī)劃(scenario planning)。這些方法有助于管理者評估特定事件的發(fā)生幾率。例如微軟公司(Microsoft)就運用風險值計算的方法，衡量其市場風險，而皇家荷蘭／殼牌石油(Royal Dutch/Shell)是率先運用“定量情境規(guī)劃”的企業(yè)之一。

    最后一步也最關(guān)鍵：一旦風險已得到識別和評估，就必須對其進行管理。這里通常有兩種方法：一種是運用內(nèi)部資源，比如自我保險。另外一種是將風險轉(zhuǎn)移給第三方，或者與之分擔。

    自我保險就是企業(yè)把投資的資金留出來一部分，一旦出現(xiàn)問題，就用這筆資金來補償損失。這等于是企業(yè)在內(nèi)部設(shè)立了一筆保險金。至于風險分擔，典型做法之一是生產(chǎn)商將部分生產(chǎn)流程外包出去。這并不意味著威脅完全消失，而是接受外包的企業(yè)在生產(chǎn)流程的相關(guān)環(huán)節(jié)有所專長，發(fā)生失誤的幾率大為降低。另外，企業(yè)通過外包，可集中精力處理它能夠?qū)Ω兜膬?nèi)部風險。

    風險分擔也可能涉及資本市場。企業(yè)可決定發(fā)行災難債券，把自己承受的災難風險轉(zhuǎn)移到金融市場。這種債券是如何運作的呢？以發(fā)行地震風險債券的保險公司為例。如果在特定時間、地點范圍內(nèi)，地震真的發(fā)生了，債券投資者就拿不到任何回報，保險公司用這筆錢來承擔損失。如果地震沒有發(fā)生，那么投資者就可拿回投資，還會有紅利。

    與傳統(tǒng)的保險或再保險合約不同，災難債券的發(fā)行額是不受限制的。例如，媒體公司維旺迪(Vivendi)于2003年發(fā)行了一種災難債券，針對公司在加州業(yè)務(wù)面臨的地震風險，債券可覆蓋的損失總額達1.75億美元。

    管理者還可以把不同類型的風險捆綁結(jié)合，與第三方進行交易。例如，1997年，技術(shù)公司霍尼韋爾(Honeywell)購買了一份保單，將財產(chǎn)險和責任險打包，與匯率風險相對。此舉幫助該公司把風險管理成本減低15%以上。

    管理得當?shù)钠髽I(yè)風險管理(ERM)政策，能在董事會成員、管理者、供應(yīng)商、客戶、投資者等群體之間形成一套統(tǒng)一的風險語言。這樣，第一線人員(他們能夠發(fā)現(xiàn)潛在問題的警告信號)就能更快地把情況告知決策者，以采取行動規(guī)避風險。

    ERM并不要求企業(yè)有一個中央化的風險管理決策流程。相反，它從設(shè)計上增加每一個業(yè)務(wù)單位的風險責任。這種“由下而上”的方式鼓勵管理者積極衡量并控制所在部門的風險。

    怎樣才能實施企業(yè)風險管理(ERM)政策呢？首先，如果最高管理層不以高姿態(tài)作出公開承諾，任何風險管理項目都無法啟動。這意味著要定期向員工和外部人士(如投資者或供應(yīng)商)通報各種風險的情況。有些企業(yè)還調(diào)整激勵方案，使管理者不僅從實現(xiàn)盈利得到獎勵，還可從降低風險得到回報。

    第二，風險意識必須是企業(yè)文化的一部分。問題是怎樣做到這一點？答案之一是設(shè)立首席風險官(Chief Risk Officer, CRO)，其主要職能就是把風險管理作為企業(yè)的中心任務(wù)。

    90年代期間，金融服務(wù)、公用事業(yè)、能源行業(yè)等風險密集型行業(yè)都任命了首席風險官。如今，此種趨勢也擴散到其它行業(yè)。最近，咨詢公司“通能太平”(Tillinghast-Towers Perrin)所做的一項調(diào)查顯示，標準普爾500強企業(yè)中有三分之一設(shè)立了首席風險官職位。這些公司包括波音(Boeing)、通用汽車(General Motors)和思科系統(tǒng)(Cisco Systems)。

    企業(yè)風險管理(ERM)往往能讓企業(yè)看到一些不可預知的風險，促使管理者尋求適用于企業(yè)整體的解決方案。如果執(zhí)行良好，ERM就能釋放企業(yè)的資源和資金儲備，使其能投入有助于增進股東價值的活動。把風險管理融入日常運營，而不是讓員工在出現(xiàn)風險時消極應(yīng)對，能夠成為競爭優(yōu)勢的來源。在這個動蕩的時代，ERM為創(chuàng)建更精明、更安全的企業(yè)而扮演的角色，勢必繼續(xù)加強。