无论是政府部门、监管机构再到公司董事会,每个人都在强调更好、更有效的风险管理的必要性。然而,尽管ISO31000:2018等国际风险管理标准在这方面提供了一些指导,但如何具体判断风险管理有效性仍然模糊不清。
基于国内外的风险管理研究与实践,我认为如果能满足以下四个标准,那么企业的风险管理才能称得上是有效的:(1)风险管理纳入决策制定过程;(2)强大的风险管理文化;(3)敢于披露风险信息;(4)不断持续改进风险管理。
判断风险管理有效性标准之三:敢于披露风险信息
风险管理是否有效的另一个标准是组织在内部和外部记录和披露风险相关信息的意愿和能力。
向内披露
一方面,风险管理成熟的企业在内部决策过程中记录并披露风险分析的结果。这里的风险分析要具有客观性和独立性,要向企业内部高层管理以及各相关部门披露有关风险及其管控措施信息。
要做到这一点不容易,大部分企业实际上做不到及时、客观地披露风险信息,即使是面向企业内部各相关部门。从意愿上看,他们可能不想向其他部门透露更多的风险信息;同时,他们可能也没有充分的能力去客观地、全面地评估风险。
企业每年进行的“年度风险评估”就是一个很好的企业内部风险披露机会。但是,真正认真、客观地评估年度风险的企业少之又少。有些企业根本就不做,有些企业做了也是敷衍了事。究其原因还是在于意愿和能力两方面的不足。
向外披露
另一方面,在适当的情况下,在外部报告中向相关利益相关者披露有关风险信息。当然这里面要注意,由于实际的风险信息可能是商业敏感的,因此披露的重点不应该是风险本身,而应该是风险管理框架、管理风险的执行承诺和组织文化。
风险管理成熟的上市公司会把风险报告作为其年度报告的一个重要部分,描述其行业内典型风险,而且总结反映其过去一段时间内关键风险管理变化和成就。对每种风险的描述包括为管理风险而采取的管控措施、有效性以及公司未来打算采取的预期措施等等。
真正有效的风险披露实质上不会对公司造成不利影响,反过来更能够得到公司股东以及利益相关者的信任,有效降低企业各种经营成本。 |
