所在位置:首页 > 活动 > 线上活动
【课程回顾】企业战略风险评估实操及案例分享
2023年01月05日

       年末将至,各企业单位均需制定企业发展战略,反舞弊师也需制定审计、监察、风控等职能部门工作计划,针对反舞弊师是否应该参与企业战略风险制定、战略风险该如何制定与实施、战略风险评估的具体步骤与方法等问题。小编特邀请上海某大型集团审计监察总监、国际注册反舞弊师CAP导师刘晓芳对此问题进行分析。

【前言】反舞弊师一定要成为复合型人才,具备多种学科的知识体系。本节课程涉及到的知识体系比较宽,涵盖了经济学、管理学、企业战略管理、市场营销、运营管理、风险管理、公司治理等多学科的知识体系,对我们的知识体系全面性要求较高。如今关于公司治理,要求董事会的重要职责之一就是理解公司战略及相关风险,并保证管理层的风险管理措施是适宜的。战略风险评估是评估公司所面临的重大风险的系统而持续的过程。将风险评估与公司战略和战略执行程序直接联系起来进行初步评估对于高管和董事会来说是一项极具价值的活动。

一、导入案例了解企业战略的重要性

【案例导入】阿尔希波夫,一个决定拯救了全世界

       1962年10月27日,苏联B—59号核潜艇正在古巴海域潜航。海面上的美国「比勒」号驱逐舰向潜艇投下了一连串的深水炸弹。美国人的意图很明显:潜艇要么浮出水面,要么葬身海底。

       根据当时的授权,发射核鱼雷需要经艇上三名军官的同意。而当时的情形是,其中两人已经同意,只有一个人没有同意,并说服了其他两名军官阻止了这场核武器战争,这个人就是阿尔希波夫。阿尔希波夫后来升任潜艇艇长和编队指挥官,1981年晋升为海军中将。

       通过案例了解到企业战略的重要性。企业的发展是围绕组织战略目标进行运行,公司将总战略分解到各职能部门,比如研发部门、采购部门、人力资源部门、财务部门、销售部门、法务部门、投资部门等等。

 

01 什么是战略?  

       必须拥有战略才能践行梦想 -- 普莱姆斯

       战略就是决策

       *请问你会做决策么?--请问你能做出决策还是能够作出对的决策?你做决策是果断的还是武断的?

       果断--在做决定做取舍的时候,能够在互相矛盾的信息中发现真相从而干脆、迅速、坚定的做出正确的决定或者判断。

       武断--只接受自己想要的信息,主观地判断事物,不去客观地了解和分析情况,匆忙作决定。

       了解和关注竞争对手,分析竞争对手,在共同进步的基础上优先于竞争对手,领先于市场。

02  战略的概念?

       战略=目标+路径=你要去什么地方+你要怎么去

       不管哪一种概念,均强调了先要制定战略,然后再去实施。

       战略是一个长期的事情,可以调整、微调、修正。但是全盘推翻、重新来过对企业来讲不到万不得已不要轻易去做。 

 

03  什么样的战略才是个好的战略?

       一个好的战略并不是为了获取暂时的成功和短期的利润,而是为了能够获取长期支持公司增长并确保公司未来的持续成功。

       从战略的概念看战略的目的-- 如何吸引和取悦客户 / 如何抗衡竞争对手 / 如何定位公司的市场地位 / 如何更好的回应变化中的经济和市场环境 / 如何抓住有吸引力的机遇来拓展业务 / 如何实现公司的业绩目标

04  战略需要满足三个关键测试?

(1)匹配性测试

       定义:战略是否很好的契合了公司的情景。

       a. 拥有很好的外部适应性并且与变化的市场同步

       b. 必须根据公司的资源和竞争能力量身定制,并且被公司其他职能活动支持

(2)竞争优势测试

       定义:战略能否帮助公司获取可持续的竞争优势。

(3)业绩测试

       定义:一个战略能否为公司带来良好的业绩。

       两种业绩指标最有效说明公司的战略作用:战略业绩指标、财务业绩指标。

 

05 企业战略管理流程(闭环管理过程)

       *如何了解自己:进行内部环境分析和外部环境分析

       *内部环境分析是对自己的剖析,客观的反映自己的现实情况。

       *外部环境分析是对外部各种因素分析,看一看自己有没有机会和威胁。

       对企业来讲,制定正确的战略固然重要,但是更重要的是战略的执行。能否将既定战略执行到位是企业成败的关键。——联想集团CEO 杨元庆        

战略实施必须重点解决的三个问题:

(1)Who:由谁来实施战略规划--全体员工来实施

(2)What:必做之事是什么

       公司层战略:决定企业的方向

       竞争战略:决定如何于竞争对手竟争

       职能部门战略:每一个支持部门如何有效支持我们的竞争

(3)How:战略实施人员如何做应该做的事情

       把战略分解到各职能部门及职能部门岗位和人员。

       能力:司各特说:多数人的失败,都始于怀疑他们自己在想做的事情上的能力。

 

二、企业战略实施路径

       企业能力分析

       企业能力是指企业所拥有的利用和整合企业资源实现企业经营目的所需的各种知识、方法、技巧、经验等。

企业的核心能力分析

       核心能力的概念:一系列关键和可持续的资源和能力优势。

       核心能力的辨别:a.持续竞争优势的四个具体标准。b.价值链分析。

       核心能力的评价方法:企业的自我评价、产业内部比较、基准分析、成本驱动力分析、作业成本法以及收集竞争对手的信息。

       企业核心能力与关键成功因素:关键成功因素是产业和市场层次的特征,而不是个别公司的特征。

       可持续竞争优势的四个标准:

战略分析

       战略分析是整个战略管理流程的起点。

       1.战略分析:外部环境分析+内部资源分析所采纳的观点是,必须要在环境和竞争资源的背景下制定目标。例如,汽车制造商在确定目标之前,需要考虑市场的需求以及包括企业技术能力在内的资源问题, 才能制定出一个具体且合乎现实的目标

       2.分析工具:SWOT分析

战略管理

       战略管理是一个循环往复的过程

       战略分析:识别外部环境的机会与威胁,认清自身的优势与劣势。

       战略选择:选择能够帮助企业实现目标的战略。

       战略实施:将战略转化为行动。

       这三个层次战略的地位和内容各不相同,它们之间的关系是:总体战略分解为业务单元战略,业务单元分解为职能战略;总体战略统帅业务单元战略,业务单元战略统帅职能战略。

 

战略选择

(1)制订战略选择方案

       根据不同层次管理人员介入战略分析和战略选择工作的程度分为三种,三种方法的主要区别在于战略制定中对集权与分权程度的把握。

       A.自上而下的方法 -- 集中

       B.自下而上的方法 -- 民主

       C.上下结合的方法 -- 集中+民主

(2)评估战略备选方案。

       评估备选方案通常使用三个标准:适宜性标准、可接受性标准、可行性标准。

战略制定

       在公司和业务层面上有各种不同的战略,如下图所示:

 

战略实施

       战略风险是指因公司内、外部环境的不确定性而导致战略的选择和实施的实际结果与战略预期目标存在偏差的现象。企业战略风险管理就是根据战略的分析与制定、评价与选择以及实施与控制,通过对风险的识别、分析、评价、监控来妥善预防和处理风险所导致的损失及其后果,并尽量降低经营成本,以获得最大安全保障的动态管理过程。

 

三、战略风险评估方法及控制措施

       通常,战略风险评估是由管理层依据董事的投入与验证来执行的。在这个过程中,将风险评估与公司战略和战略执行程序直接联系起来是非常重要的。评估的精确形式以及产生的战略风险文件,取决于公司风险管理程序的成熟程度。

       以下战略风险评估七大步骤,反映了风险的动态性,构成了一个在公司内部持续不断循环,或者是封闭循环的过程。同时也显示出战略风险评估师一个持续的过程,而并非一次性事件。在其执行过程中允许加以修改和定制,以适应公司的成熟程度和能力。

第一步:理解公司战略

       理解公司战略及其关键构成部分,重点是识别与核心战略相关的具体的风险。这一步骤所需要的信息大部分可以在公司和业务部门的计划、战略总结以及管理层和董事会的资料中取得。

       在步骤的最后,董事会和管理层应该对公司战略的关键构成元素以及它们与回报驱动战略(RDS)框架的联系有深入清晰的理解。

       例如,公司战略中涉及合作的部分的关键行为需要在评估中考虑并鉴别。比如信息技术外包,也许承担着很高的风险。据此,关键的问题在于哪个合作者、采用何种合作方式对于执行战略来说是最为重要的,这些就是我们要努力去识别的。

第二步:收集战略风险相关的观点与数据

       这一步骤的目的是从管理层和董事会处,收集与核心商业战略相关的主要战略风险的观点和数据。做这一步有许多方法,例如行政访谈、调查以及焦点团队反馈。进行这一步时,公司文化应予以考虑。有的公司对调查能够很好地接受,而有的则不能。如果管理者分布很广,个人面谈可能难以实施,因而远程会议或者电话访问就成了不错的选择。包括业务部门领导的管理层的主要成员都应该被要求参与。获得董事会成员,特别是审计委员会成员和公司的内部及外部审计人员的想法也是十分有用的。

第三步:初步制订战略风险文件

       利用前两步中收集到的信息可以准备一份初步的战略风险概要文件,该文件的格式和复杂程度应该依公司的风险管理成熟度和能力而定。由于这个信息的作用是激发执行层面和董事层面的讨论与理解,过于细节或大量的数据可能会适得其反。

       一些公司正在增添新的维度,例如风险来袭的速度或者公司对风险的防备。此外,战略风险概要的细节和复杂程度应该反映公司风险管理程序的成熟程度。

第四步:验证并最终确定文件

       初步的战略风险文件必须通过主要参与者的验证,确保其反映了他们关于最重要的战略风险的看法。哪些参与者涉及和验证战略风险文件的确切过程应取决于企业文化。有的公司公布初步文件以取得反馈,有的进行跟进访谈,还有的采取小组展示与讨论的方式。这一验证过程可以包括所有利益相关者或者只包括其中一部分。可能的风险文件报告格式也可以进行公布,从而获取关于不同格式的观点看法。但是需要记住的是,让足够的参与者来验证这份文件以及突出风险,对于整个评估过程来说是极为重要的。

第五步:制定战略风险管理行动计划

       战略风险一经识别,高层管理者和董事就会很快询问关于减轻和监控风险的计划,因此我们建议公司将建立并实施初步行动计划,当作评估的核心部分,而不是作为一个次要的独立的行为。此外,将要采取的具体行动取决于公司风险管理实践的成熟程度。

第六步:沟通战略风险概况和战略风险管理行动计划

       在评估的阶段,公司应该有确定的战略风险概况和初步行动来应对已识别的战略风险。沟通并建立关于风险的共通认识,是战略管理中被普遍认可的主要做法。事实上,“信息与沟通”是企业风险管理八大核心构成之一。

       这一步骤要求管理层实现与全公司的深入交流,来表达公司关于其战略风险的看法以及执行相关行动计划的重要性。沟通必须上及董事,因为这是一个需要他们注意与互动的主题。

第七步:实施战略风险管理行动计划

       战略风险评估程序的真正价值在于公司最后采取的行动。这些行动的目的是建立公司持续性战略风险管理程序并“画完这个圆”。如上所述,风险的动态性要求持续的过程来监控和管理。行动计划应该能够让这种过程得以实施和加强。 

       公司应当考虑如何报告和更新行动状态,包括向董事会报告。当其战略风险管理程序持续不断成熟,公司就应当考虑下一阶段需增加的步骤,以提升其整个风险管理程序。

       具体原则需要注意以下几点:

       企业需在分析各方面条件的基础上,确定其对战略风险的偏好和风险承受度,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应采取的对策。

       企业需根据风险与收益相平衡的原则以及风险评价的结果,确定风险管理的优选顺序,明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等。

       企业需定期总结和分析已制定的战略风险管理策略的有效性和合理性,结合实际不断修订和完善。应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。

 

       战略风险管理策略——管理政策与制度

       战略风险管理政策与制度则包括:

       (1)理顺公司法人治理结构,建立规范的战略决策程序,形成规范、良好的治理环境。

       (2)在企业内部建立起专门的风险管理机构,提供战略风险管理的组织保证。

       (3)完善企业战略风险管理体系,形成战略风险管理目标、职能部门风险管理目标和员工风险管理目标的三级目标管理体系。

       (4)建立合理的战略决策流程和内控制度,明确信息沟通途径,保证信息的准确性、及时性、有效性及保密性。

       (5)设计合理的组织架构,使管理层能随时监控战略管理实况,将战略风险管理和监控落实到各职能部门和每个员工,实行全员的风险管理。

       (6)建立有效的内部控制管理体系。确定内审的重要地位,明确内审组织架构和管理体制,完善内审流程。

       (7)增强企业战略管理风险意识,.加强自身信用管理,建立企业风险管理文化。

       (8)企业应密切关注国家宏观政策导向。

 

       战略风险解决方案一般包括:

       1、风险解决的具体目标

       2、所需的组织领导

       3、所涉及的管理及业务流程

       4、所需的条件、手段等资源

       5、风险事件发生前、中、后所  

       6、采取的具体应对措施

       7、风险管理工具

       8、其他

       企业应根据其战略风险管理策略,针对不同的战略风险,制定与其相适应的战略风险解决方案。

       战略风险监控

       战略风险的监控实际上是通过我们对战略风险管理流程中出现的一系列命题的回答来进行的,“是”还是“否”。

       战略风险监控——风险预警系统

       战略风险的监控体系不仅应具备对企业战略管理活动的监测、诊断、控制、矫正等一系列功能,更重要的功能是在战略风险发生以前采取措施予以控制,尽可能地避免给企业带来更为严重的损失。这就需要我们事先建立战略风险管理的预警系统。采用恰当的预警分析方法,制定可行的预控对策,实现战略风险的事先控制。

       战略风险监控——风险响应系统

       企业可通过内部报告体系,借助先进的信息系统,建立动态战略风险响应机制,实现对战略风险的快速反应和控制。

 

四、内审应该参加企业战略制定吗?

  • 内部审计很有必要参与企业战略制定

       内部审计是企业管理中不可缺少的环节,内部审计工作的好坏,将直接影响企业的未来发展,但是目前有很企业对内部审计不够重视,使得企业在发展的过程中承受了很多不必要的损失。企业管理人员应该对内部审计有正确的认识,让审计工作发挥应有的作用,促进企业稳定持续的发展。二十大精神有一条就是希望企业能稳中求进地发展。

  • 内部审计在企业管理中的重要作用

       a. 提高财务信息的准确性

       b. 加强内部控制

       c. 完善企业管理机制

  • 内审在参与战略制定中需要坚持的原则

       a. 保持独立性原则,参与但不决策

       b. 全方位提供在审计过程中发现的有价值的意见和建议,提供给决策层参考,防微杜渐

       c. 到位不越位

       d. 想好了再说,拿不准的绝对不说

  • 内部审计存在不足

       a. 企业对内审的重视度不足

       b. 审计人员专业素养有限

       c. 内部审计定位模糊

  • 企业管理中的内部审计策略

       a. 加强管理人员对内部审计的认识

       b. 培养内部审计人才

       c. 明确内部审计地位

       d. 内审人员有为才有位

       e. 做好业审融合

【总结提示】

        企业所面临的战略风险是无法完全避免的,但它是一定能被控制在合理范围内的,关键在于我们做了什么。战略风险的控制是企业全体员工的共同责任,而并非管理层单方面的责任。正如战略规划是今天我们对未来作出的决策一样,战略风险的管理也必然是我们今天就必须面对的现实。

分享到 :
63.2K