[写给CFO的信]IMA总裁兼首席执行官Jeff Thomson:拥抱风险管理

2015年01月28日

尊敬的中国CFO们:

首先祝大家新年快乐!

目前,中国已经充分认识到管理会计的重要性,其范畴不仅包括财务会计,同时还包括公司财务管理、运营、技术、战略和领导力。它能使企业成为整合、竞争和商品化浪潮中的常青树,实现可持续价值创造和企业发展。

当今世界经济快速变化,CFO们需要在战略和可持续发展领域发挥更多的作用。过去我们只是懂得精打细算的“数豆者”,如今我们摇身一变成为助企业增值提效的“豆芽生长机”。未来的CFO们需要不断进行“视野检查”,从后见之明、监管、洞察力和预见性四个纬度提升视线。理解这些概念是一项挑战,但这也是助力企业保持和提升价值的机会。

展望2015年,我建议您关注以下两个方面:

培养成功所需能力

全球的CFO们都面临同样的难题,即如何少花钱多办事:投入较低的成本,追求更高的效率,发起更注重实质的活动来对企业的价值链产生影响。作为全球CFO群体的一员,我们该如何持续提高标准,协助识别、培养和发展未来的财务领导者呢?

首先,CFO们要识别企业所需要的能力和会计人员实际具备的能力之间的巨大差距,并着手应对。解决这一问题的关键在于前瞻思维,要预见到实现未来成功所需的能力。现在的会计课程通常过于偏重审计、税务和合规,我们需要一套更加平衡和综合的课程体系,以满足CFO和公司的影响者不断发展演变的需求。

IMA联合美国会计学会开发了一套健全的、综合的管理会计能力素质框架(图1):

其中,基本能力适用于任何商业学科,是CFO履行价值管家(数豆者)和价值创造者(豆芽生长机)双重职责的基石。全面的管理能力是指在组织内部跨职能使用的能力。例如,“流程管理和提升”反映了CFO在运营和经营效率、效果,以及使用精益管理、六西格玛和流程质量改进等技术中的作用不断增强。“治理、风险和合规”是另一项能够产生跨职能影响的能力,因为组织实施风险管理不仅仅是出于防范合规风险的目的,也可用于进攻性战略(这点在下文中将有详细论述)。

最后,会计能力是专业能力,但远超出外部报告的范畴,涵盖“规划、分析和控制”等能力,仅这一个分类就包括预算、预测、情景分析、并购活动、决策支持、公司风险管理等,这些有助于探寻如何创造可持续价值增长和助力企业发展。

建立雷达:具备适应、复原能力

2015年,我为中国的CFO们提供的另一个建议是要主动拥抱风险管理,不要再把风险管理当作防御机制,只是在“坏事情”发生时才采用。风险管理应该作为公司战略中主动出击的一部分,遭遇破坏能具备复原能力,同时能够应对变化,抓住意料之外的机遇。

IMA是企业风险管理和内部控制领域的主要领导者,目前在中国设有分支机构的国际会计师组织中,只有IMA是COSO(美国反虚假财务报告委员会下属的发起组织委员会)的发起机构。COSO于1992年发布《内部控制整合框架》,并在2013年进行更新,该框架是中国财政部颁布的《企业内部控制基本规范》的基础。

在我和甫瀚咨询一起撰写的一篇题为《提升组织绩效与治理:COSO框架有何帮助》的思想领导力论文中,关于企业风险管理,我表达的以下几个主要观点可供中国的CFO们参考:

1.风险管理和内部控制是密不可分的整体,二者相互依存,和企业的成功密切相关。内部控制是风险管理的一部分,可以降低企业风险,将其控制在可接受水平。

2.风险管理和内部控制不仅仅是出于合规和监管的目的,如果应用适当,可以促进企业发展。

3.全球的企业,不论规模和性质,如果正确使用COSO框架,可以同时满足合规和战略双重目的。

为了描述企业如何利用六大模块创造价值,我们确定了一套标准的“情景商业模型”(图2)。这六大模块包括:治理、战略制定、质量管理权威戴明提出的“计划-执行-检查-处理”循环中的商业规划(如更多运营规划和战术规划,而不仅仅是战略规划)、业务执行、绩效监控、战略调整(针对内部和外部环境的变化做出调整)。通过把每个模块和COSO企业风险管理“魔方”中的要素进行匹配,揭示框架如何支持战略实施以及更佳治理。COSO企业风险管理“魔方”有三个维度:(1)商业层级:企业层面、部门、业务单位、职能等;(2)商业目标:战略、运营、报告和合规;(3)活动:内部环境、目标设定、事件识别、风险评估、风险响应、控制活动、信息和沟通、监控活动。

在主动将风险管理整合到战略制定和商业规划中去的过程中,环境扫描包括“墙”内外的扫描,识别市场环境、新的威胁和机会、技术趋势、竞争分析等。企业需要寻求第三方独立资源的帮助来对内部分析作出补充,必须承认内部领导团队更注重日常商业活动,无法兼顾大环境的审视。

风险评估包括识别那些会妨碍战略目标或商业规划目标实现的企业风险。第一步要进行“风险登记”,记录组织面临的所有风险,包括名誉、品牌、竞争力、技术、运营和财务风险。按照影响和发生的可能性对这些风险进行评级。风险等级和风险评级并不是战略制定过程中一劳永逸的任务,需要依据变化持续监控和调整。同时,要在组织内建立风险挑战文化,针对不同级别的风险以及各级别风险之间如何互相影响展开对话讨论,企业内所有层级都需要认识到:主动讨论风险不只是预防负面结果的发生,同时也能够帮助企业抓住机会。

风险响应是对已识别风险的具体响应措施,包括风险外包、采取行动应对风险或者通过内部控制将风险降至可接受水平。

总而言之,中国CFO在2015年有各种各样的机会提升自己和下属的职业发展,改善组织运营,为社会发展做出贡献。当然,您必须要在企业内开展能力建设,并建立雷达系统预测和管理变化。

再次祝大家新年快乐!

Jeff Thomson,CMA,CAE

美国管理会计师协会总裁兼首席执行官

(原文刊载于《新理财》杂志2015年1月刊)