風險由人而生,也必將由人而治。如此,對一名企業的CFO而言,從內部風險控制到企業全面風險管理,各種風險具有的復雜性和不確定性,頗具職業挑戰。
那么,作為中國企業的CFO,最關注什么樣的風險? CFO如何才能掌控影響企業發展的外部和內生的各種風險?
風險與責任
《新理財》:我們雜志曾在去年6月刊中,專門針對內部控制做過一期《內控雙刃劍》的專題報道。有評論稱,風險的對象是人,風險管理的結果也是人,風險產生的環境必然對風險的管理產生影響,對企業風險管理的內部控制職責,意味著更多的職業風險。對此,二位有什么看法?
薛貴:目前在國有企業,以CFO在企業內的職責和職位,很難在整個的風險管理中承擔總責任。風險管理的確應該由董事會決策,由董事長或法定代表人來負總責。
而從戰略風險到市場風險,卻往往和CFO的職責不相匹配。比如戰略風險是董事會戰略決策的一個結果,有些CFO是董事會成員,有的還不是,真正參與決策的力度不夠,很難對戰略風險做出決策。市場風險主要歸主管營銷的人負責,從直接的責任來看,是公司其他主管承擔。但財務要提前介入,并基于日常戰略決策提出意見,對有可能由于戰略風險導致的財務風險進行管理。
王立彥:我舉一個例子,有一個公司,董事長和CEO是同一個人,以前是每個省有一個公司,是總公司和區域公司的樹狀管理模式。從2008年起,企業改成了條狀管理模式,總部設有三個事業部,各自有自己的業務系統直接對應管理各地分公司的業務,三個事業部直接對總經理負責,三個事業部都各有各的CFO。這時,總公司的CFO實際上是國資委任命的干部,什么都管不著。因此,總公司的CFO根本沒有辦法承擔風險責任。所以,這也和公司的管理模式有關系。
《新理財》:我曾問過一位外企的CFO,CFO在企業處于什么樣的職位?對方的回答很肯定,是具有戰略策劃地位的高層管理者。但在國內的大多數企業,CFO真的是具有核心領導地位的高層管理者嗎?
王立彥:按照國外企業的管理模式,CFO是絕對掌控企業的高層管理者,是僅次于企業CEO的第二號人物,甚至于即使CEO換人,CFO也不會輕易更換。目前,國內除個別企業外,大多數企業的CFO還無法進入企業管理層的前五位。也就是說,國內大多數企業的CFO,還不能稱為真正意義上的企業高層。
《新理財》:那么,我想請問薛總,您作為一家國有企業的總會計師,您最關注什么樣的風險?
薛貴:根據國資委的要求,內部控制放在了我們CFO身上,為了使CFO更好地履行職責,大體上關注五種風險。第一要關注財務風險。財務風險里最重要的是資金風險,首先是資金本身的風險,還有是資金鏈是否安全,然后是籌資風險,這在國有企業或民營企業都是一個首要任務。在經濟危機下,重點關注資產負債率;在匯率波動的情況下,關注匯率問題。前段時期國務院還安排調查金融危機下匯率的風險,制定匯率的風險管理措施。在目前的情況下,匯率的波動對進出口企業的影響非常大。還有就是財務風險和利率風險,目前我們國家的利率在下降,利率風險也是企業風險中很重要的一部分。第二個我們最關心的是財務運作體系是否合規、合法,要避免財務發生違法違紀,出現企業決策層簽字漏或缺的情況,必須簽字后才可能調動資金。第三個關注的是財務信息披露的問題。尤其是上市公司和上市公司的母公司,特別關注財務信息披露的問題,一定要合規,不能出現重大問題,上市公司監管的法規一定要完善。在這個問題上CFO起到很重要的作用。第四就是經營風險。經營風險目前也成為CFO關注的職責,包括應收賬款的風險,金融危機造成的風險已經轉移到CFO身上。最后,就是法律風險,經營合同等的協議風險和法律規范性風險,一旦出現問題會對企業造成毀滅性打擊。
《新理財》:有人說,我們現在的企業是個人治理而非公司治理。因此,對于中國企業的CFO而言,管理風險是有責而無職。對此,王教授您是如何看的?
王立彥:其實,CFO有什么風險和CFO應該承擔什么責任是相關聯的。往深處講就是誰對風險負責,這和委托代理有關系。在中國,從根上還是要解決代理的問題。相反,如果強調、放大這種風險責任,對CFO的個人收益體系也要做一些調整。背后還有一些業績考核等問題。的確,現在我國的企業僅僅屬于個人治理,而不是真正的公司治理,這是一個管理機制和體制必須解決的問題。
我個人認為,在現有的機制下不應該過分放大CFO作用。
我們不能把全面風險管理或者風險責任推給CFO,這不是一種方法和制度問題,實際是一個能不能管住事的問題,你管不住購銷行為,管不住簽合同的行為,涉足不到那里,讓你管你都管不了。事做完了,就差CFO簽字了,你簽不簽?但不是你簽了個字就體現你可以控制,實際上不是那么回事。所以,大家實際上只是把全面風險管理當作一種方法論。
量化風險
《新理財》:美國的薩班斯法案是以財務報告為基準的具有法律效力的風險管理制度,但中國出臺的各種風險管理辦法,融合了美國的薩班斯法案,又遠遠超出了以財務報告為基準的職能。是否可以說,從事前到事中到事后,在如此龐大的風險管理體系的建立過程中,精于數據指標分析的CFO自然責無旁貸?
薛貴:對風險的管理我們必須認真對待。為此,我們也在研究影響財務風險和其他風險的因素。從CFO的角度來講主要是為了避免財務風險的發生,或者提前預防風險的發展。有必要更多地關注企業運營環境的風險,以及法律層面的風險,盡可能地抓住法律這只手和企業運營的關鍵環節,以及對業務流程的關注來減少財務風險。比如資金風險、籌資風險。因為管理層會把因市場風險導致的企業利潤的下滑,歸結為CFO的責任。
王立彥:對于上市公司而言,首先要合規。合規的事主要由CFO來負責。一切都是為了合規,是為了審核和評議。我看了2008年的年報,上海現在有300多家公司自愿披露內部財務報告,深圳有180多家。而且,這些企業自愿聘請CPA對它們的內控出一個評價。在這種導向下,讓CFO牽頭做這件事就很自然。
在國有企業,我個人更贊成由企業的法定代表人來背負風險管理的責任。這和中國的體制和文化有很大關系。讓CFO成為戰略策劃者的是企業出資人,因為出資人是最能感受到資金風險的,尤其是一些國有企業。
現在也只有國資委可以做到,可是國資委還是一種機關干部的心態,如果真的以出資人出現,應該很不錯,有些很大的公司,國資委是從人到物什么都管,可證監會管不了。
我認為,風險機制的構建其實就是一種倒逼機制。目前我國的國有企業市場化和國際化程度不夠,本身面臨的市場考驗相對少一些,以前的機制下沒有發現CFO的風險。全面風險控制后發現了CFO的風險,而CFO對整個體系沒有辦法掌握,肯定也沒辦法承擔相應的責任。
《新理財》:從預測風險、發現風險、控制風險到化解風險,按照現有的風險管理模式,是否可以將每一個可能發生的風險,通過各種數學模型進行量化?
王立彥:是否可以通過數學模型對風險進行量化,我不知道。但我有一個想法,CFO和內部控制風險管理可以說是一個大模型,但不是惟一的模式,必須有一個區分。每個內部控制和風險管理的目標是不一樣的,由于CFO在公司里的職能不一樣,或者是職責范圍不一樣,會導致模型也不一樣。尤其是國資委控股的實體企業,它的風險就不僅僅是一個運營過程。
現在國內只有海外公司在這方面做得比較好, 比如中國人壽花了五六百萬美元用了幾年的時間對從流程圖開始,到制度的建立進行了管理和控制。國內公司要很清醒地認識到這種做法的好處,但能不能在國內實施,如何統一認識是關鍵。
《新理財》:謝謝二位總編輯。最后,請二位總編輯對我們此次的話題做一個總結。
薛貴:不同行業、不同發展階段的企業,關注的風險點不一樣,這要求CFO對他所在企業的風險把控點要進行動態的管理。
中國的企業市場化程度不高,很多企業風險的主體責任不清晰,風險管理意識淡薄,背后還是一種制度缺失。在中國要大力提倡風險管理文化,這需要一個歷史過程。CFO不一定對企業管理負總責,但CFO一定是一個風險管理的參與者,主動把風險管理融入到財務管理中,成為“三師”,即財務分析師、經濟分析師、風險管理師。
王立彥:這次談這個話題比兩年前和《新理財》探討的話題要深入得多,今天把這個話題延伸到了風險管理,談內控說內控就是要建立防范風險管理,應該強化風險責任和風險管理。
但是在當前的情況,CFO應該是一個全面風險管理的執行者。讓他作為全面風險管理的責任人,會過多地放大責任。但是,確實CFO是最適合的角色,可在我們當前法人治理機制下,CFO承擔不了那么多的責任。全面風險管理更多管理的是風險源和風險過程。
應該讓更多的企業了解到CFO在公司內對全面風險管理所能起到的作用,全面風險不要把它當作一種方法體系,應該把它當作一個企業制度體系來建立。
