会计经验：战略风险评估7步走.pdf

战略风险评估7步走

对大多数公司而言，董事会倾注注意力和时间的重心是理解战略及关联风险并提

供指导以及对高管实施战略和风险管理两方面的业绩进行监管。由美国全国公司

董事协会（NACD）出版的《加强美国上市公司监管的关键议定原则》中如是表示。

 如今关于公司治理的领导思想基本上一致认为，董事会的重要职责之一就是理

解公司战略及相关风险，并保证管理层的风险管理措施是适宜的。战略风险评估

是评估公司所面临的重大风险的系统而持续的过程。进行初步评估对于高管和董

事会来说是一项极具价值的活动。

 通常，战略风险评估是由管理层依据董事的投入与验证来执行的。在这个过程

中，将风险评估与公司战略和战略执行程序直接联系起来是非常重要的。评估的

精确形式以及产生的战略风险文件，取决于公司风险管理程序的成熟程度。

 以下战略评估七大步骤，反映了风险的动态性，构成了一个在公司内部持续不

断循环，或者是封闭循环的过程。同时也显示出战略风险评估师一个持续的过程，

而并非一次性事件。在其执行过程中允许加以修改和定制，以适应公司的成熟程

度和能力。

 第一步：深刻理解公司战略

 理解公司战略及其关键构成部分，重点是识别与核心战略相关的具体的风险。

这一步骤所需要的信息大部分可以在公司和业务部门的计划、战略总结以及管理

层和董事会的资料中取得。在步骤的最后，董事会和管理层应该对公司战略的关

键构成元素以及它们与回报驱动战略（RDS）框架的联系有深入清晰的理解。

 例如，公司战略中涉及合作的部分的关键行为需要在评估中考虑并鉴别。这些

合作包括合资企业、离岸外包、业务外包或者其他联盟形式。一家公司可能有多

种合作安排，其中有些相对风险较低，例如经营餐厅，但是其他的，比如信息技

术外包，也许承担着很高的风险。据此，关键的问题在于哪个合作者、采用何种

合作方式对于执行战略来说是最为重要的，这些就是我们要努力去识别的。

 第二步：收集战略风险相关的观点与数据

 这一步骤的目的是从管理层和董事会处，收集与核心商业战略相关的主要战略

风险的观点和数据。做这一步有许多方法，例如行政访谈、调查以及焦点团队反

馈。进行这一步时，公司文化应予以考虑。有的公司对调查能够很好地接受，而

有的则不能。如果管理者分布很广，个人面谈可能难以实施，因而远程会议或者

电话访问就成了不错的选择。包括业务部门领导的管理层的主要成员都应该被要

求参与。获得董事会成员，特别是审计委员会成员和公司的内部及外部审计人员

的想法也是十分有用的。

 在进行以上评估的过程中我们发现，比起简单地问个人什么是战略风险这样的

开放式问题，提供重点框架或者范围会使得访谈更为有效。战略风险管理

（SRM）框架（见上图）在这里非常有用。SRM的组成部分与RDS框架的原理相

对应。讨论与问题将从与步骤一中的战略分类相联系的SRM框架里有风险的部分

中产生。

 参与者也应当被鼓励去识别他们认为会抑制公司完成战略、实现商业目的能力

的外部风险。这些外部风险包括系统风险、新兴风险领域或如管制等其他外部

险。参与者也可对他们所识别出来的风险可能的严重程度或是影响力进行评级。

 第三步：初步制订战略风险概要

 利用前两步中收集到的信息可以准备一份初步的战略风险概要文件，该文件的

格式和复杂程度应该依公司的风险管理成熟度和能力而定。由于这个信息的作用

是激发执行层面和董事层面的讨论与理解，过于细节或大量的数据可能会适得其

反。

 许多公司都发现图形演示十分有助益，比如用色彩来表示不同层次风险的热点

地图。还可以基本清单为起点，随着风险管理程序的逐渐成熟，增加细节并提高

复杂程度。

 就潜在层面的问题或者与某个风险区域或类型相关的影响进行交流也是很有用

的。传统的方法是可能性和影响力分析。然而最近，那些高影响力及低可能性的

风险引起人们很大关注,例如那些因其极低的可能性而经常被轻视的系统性风险。

为了应对这种风险，一些公司正在增添新的维度，例如风险来袭的速度或者公司

对风险的防备。此外，战略风险概要的细节和复杂程度应该反映公司风险管理程

序的成熟程度。

 第四步：验证并最终确定文件

 初步的战略风险文件必须通过主要参与者的验证，确保其反映了他们关于最重

要的战略风险的看法。哪些参与者涉及和验证战略风险文件的确切过程应取决于

企业文化。有的公司公布初步文件以取得反馈，有的进行跟进访谈，还有的采取

小组展示与讨论的方式。这一验证过程可以包括所有利益相关者或者只包括其中

一部分。可能的风险文件报告格式也可以进行公布，从而获取关于不同格式的观

点看法。但是需要记住