企业复原力:网络经济时代的风险管理
两个公司,相同的危机,
不同的回应和结果
一个北欧的电信公司和其主要竞争对手—另一个欧洲电信生产商,都依靠荷兰电子巨人菲利浦公司在新墨西哥的半导体工厂为手机供应芯片。但是2000年3月工厂的一场大火烧断了这条供应链。
其实在这个工厂出事之前,这家北欧公司的高层就已经意识到这个问题了。公司的首席供应链专家马上召集30个供应链专家奔赴欧洲、亚洲和美国平息这场意外带来的麻烦。他们重新设计了芯片,专门立项,加快生产进度,利用公司的关系网从其他的供应商手上采购到更多的芯片。而另外一个公司的供应链网络上设置的自动防故障装置和故障处理系统很少,结果主要新产品需要的芯片短缺了数百万。
《华尔街时报》公布了最后的结果:北欧公司的市场份额提高了3%,而其竞争对手则下降了相同的份额。不久以后,竞争对手退出了手机市场。
这个讲述得与失的故事强调了现在的公司随处要面对新的运作现实。赢利的驱动力、风险的定义、潜在的风险依赖、以及管理前三者的方式都已经发生了变化。公司通常都把风险看作是对财务资产构成的威胁,并集中精力进行风险管理以预防财务上的损失。但是北欧的公司挺过了供应链断裂带来的劫难,并最终获得了竞争优势。它的成功表明,在日益复杂的全球经济环境下,公司可以通过扩大对风险管理的理解,并采纳更全面的风险管理流程来实现赢利。这样做的结果是获得了更强大的企业复原力(ER)。
在这篇文章里,我们详细讲述了传统的企业风险管理和企业复原力之间的区别,并解释了为什么深入了解它们的含义在现在显得尤为重要。当每个企业的外延扩大时,企业的对外依赖性增加的同时竞争优势也得到了增强。我们还讲述高级管理者如何评估企业的复原力和风险管理方法。我们解释了公司经理如何把风险缓解战略和最重大的投资风险结合在一起,消除公司复原力存在的危险差距。
适应力的必要性
企业的复原力是经受系统断裂和适应新风险环境的能力。复原力强的企业能够有效地把战略、运作、管理体系、管理构造、决策支持能力整合在一起,从而发掘持续变化的风险并适应它,忍受赢利驱动力的断裂,并在适应力不强的企业之上创造新的竞争优势。
复原力强的企业能够使企业保持高度的透明度,CEO和董事会应对风险保持高度的灵活性。它能够经受员工的不当或欺诈行为,IT基础设施的失败、相互依赖的供应链或客户渠道的断裂、知识产权被盗、不景气的经济环境,以及其他种种不同的打击。
现在的经济时代和安全环境为管理层和董事会提出了新的挑战,所以建立更强大的复原力显得尤为必要。外延型的企业具有的开放性和复杂性增加了企业对全球金融、运作和贸易结构的依赖。尽管这样提供了更高的效益和有效性,但它也使大多数企业必须面对国内市场时期和垂直整合企业时代从未出现过的新风险,增大了传统商业风险的复杂性。
而且,自2001年9·11事件之后,法制环境也发生了巨大的变化。恐怖袭击、美国财政和政府丑闻,股东对管理者、董事会、董事会审计委员会保证企业安全和连续性的要求提高。2002年7月,美国的国家安全战略部建议:负责关键基础设施保护的工业部门和相应的政府办部门发展国家设施保障计划为国家和私营企业搭建桥梁。2002年颁布的Sarbanes-Oxley 法案加强了董事会审计委员会的职责,强化信息披露、监管责任、内部控制和外部审计,将CEO、CFO的“诚信签字”以法律的形式固定下来。
在这些和其他要求的指引下,风险的承担者,如保险、资产和债务市场需要更清楚地分辨哪些企业具有复原力,哪些企业不具有复原力。为了持续赢利并使股东保值增值,首席执行官和董事会成员需要具备有效识别和应对日益复杂风险、传统方式无法化解的风险的能力。
互相依赖的风险
企业的命运取决于是否具备创造利润增长的可靠模式的能力。那些减少利润挥发性和降低巨大损失可能性的公司往往获得这样的回报:更廉价的金融市场和更容易的融资方式。市场也把“连贯性”作为公司股票评价的首要因素。
能够使公司获得竞争优势并持续增长的商业活动在不同的行业和公司呈现不同的姿态。对有些企业来说,生产能力代表了核心赢利驱动力,而对其他企业来说,IT网络、客户支持操作、供应链、知识产权或前几者的综合才是核心的竞争力。传统上,核心赢利的驱动力是不存在风险的,而在更广泛的领域里,风险管理总是各自为政的。财务风险变成了CFO的事情,运营风险变成COO的事情,网络安全则是CIO的任务。他们及其连续性或安全性计划很少会联系在一起支持共同的战略目标。
高级管理者又重新把注意力放在传统风险缓解计划上。Booz Allen Hamilton在2001年的调查结果显示:《财富》杂志评选1000强企业的CEO中的75%都表现出对日常事物如:邮件处理、出差、员工保护和基础设施保护日益增加的担心和不安。但是如果只是把风险和安全狭隘地界定为员工、计划、数据和财务状况的保护,那么CEO和董事会就会忽略全球网络经济时代更加普遍存在的危险。
网络是工业企业的伟大进步之一。在过去的半个世纪,垂直整合的公司都在为网络公司让路,后者的显著特征就是具有更大的灵活性和适应力。当下成功的公司都必须以前所未有的速度和盘根错节的信息流、原材料、分析数据、客户交流和服务、网络基础设施打交道,同时和第三方组织如:供应商、技术承包商和政府官员保持数不清的安全关系。“行业和经济中的网络多样性简直令人难以置信,”物理学家兼《网络的新科学》作者艾伯特指出。“有政策网络、所有权网络、协作网络、组织网络和营销网络。”
在网络的组织和经济效应人所共知的同时,它们的大部分缺陷还没有在商业中暴露出来。对开放边界、跨国联盟和全球资金、商品和服务市场的依赖性创造了“即时”经济,这种经济模式虽然大大节约了成本,但也使公司的运营、声誉、客户习惯、法律地位、法规遵守、赢利业绩以及股东价值很容易遭遇断裂。我们把这些新的缺陷统称为互相依赖的风险,它是超越个体企业经营模式的外延型企业无法预见的风险。互相依赖的风险包括供应链断裂、政府干预和公共设施的损毁。
局部出现的问题不仅会在外延型企业掀起涟漪,还会波及行业,甚至是本国经济和跨国经济。经受这种断裂的能力是公司系统复原力具有的功能——不仅明白风险之间的相互关系,还能在风险发生之前预见风险和制订应对方法。
相互依赖的关系不仅在企业中发展。政府和行业之间的依赖性也以一种无形的复杂形式日益增强。美国国家安全战略部提倡在14个“关键的基础设施部门”(比如能源、电信、银行和金融)发展保护计划,尽管这些部门主要由私有企业所有和运作,但是政府和商业部门协作发展和实施保障计划还是相当必要的。现在国家与私人合作的模式是国家安全电信顾问委员会(NSTAC)在国家安全和突发事件上给予私营企业支持。这种协作关系建立起来的支持是相当强大的。
相互依赖的风险——不管是在私营企业内部还是跨越国家和私营企业——都成为导致很多公司运作损失的主要原因。还记得2002年9月发生在美国西海岸港口的停工事件吗?如果关键供应链的功能失常,生产和产品供给将受到严重的影响,美国的公司将每天损失10亿美元。这个事件也暴露出运输公司、供应链集中的行业、物流行业和政府部门之间的相互依赖。
企业复原力和企业风险管理
最近对《财富》1000强企业的CFO、财务主管和风险经理进行的一项调查显示:2/3的被调查者同意他们主要赢利驱动力的断裂将导致公司赢利能力的持续损害或威胁商业的连贯性。少于1/3的被调查者说他们可以充分预见未来可能发生的巨大损失。
传统的企业风险管理计划当然能够帮助管理者和董事们预见系统存在的缺陷,并且提供局部的框架帮助公司避免利润低下的灾难性风险。但是传统的风险管理不能帮助公司充分应对可能导致赢利驱动力损毁的系统断裂。传统的风险管理不能解释公司垂直和水平方向的相互依赖关系,所以往往低估公司所面临风险的规模和严重程度。这样的网络断裂会以指数形式递增,发展失控后最终导致史无前例的损失。
和传统的风险管理恰恰相反,企业复原力计划通过制订一个攻守兼具的战略,抵御不可预见的风险,从而提升公司的速度和灵活性。企业复原力来自于对各种断裂——物流、库存控制、分销渠道与政府部门、客户、和供应商关系的一系列防护和只在战术层面上关注公司主要风险,如何相互作用的企业风险管理计划不同,企业复原力计划更好地把风险管理活动和公司战略和业绩的最基础元素——公司成长和利润驱动力、持续赢利能力和股东价值结合在一起。有复原力的企业是敏感的、灵活的、网络四通八达的、有备而战的。他们总是提前发觉最危险的风险,并训练自己。
诊断你的企业复原力:
8个基础的问题
1.外延型企业的复杂性和主要的赢利驱动力是否透明?
2.是否明白相互依赖的关系,是否识别相互依赖的风险?
3.什么计划最能够保证赢利驱动力的发展?
4.这些计划是否完全和公司战略及目标相结合,我们是否明白这些计划的平衡关系?
5.我们是否知道为了保持企业的复原力付出了什么?
6.我们对自身的处境有多了解,我们是否有足够的商业智慧?
7.我们是否能够正确提炼这种智慧?
8.谁负责复原力的建立,我们如何做决策和衡量进步?
要做出准确的企业复原力计划,首先要识别企业里存在的最大风险,包括相互依赖的风险。然后为了缓解这些风险,制订有的放矢的计划,并和公司的整体战略相结合。企业复原力是以战略优先顺序和商业运作速度为基础,创造新风险和新环境适应力的持续过程。它能够使管理者和经理在制订风险缓解战略的时候能够做出有根据的决定,平衡成本和收益之间的关系,以满足所有风险管理的目标和提高持续的赢利能力。
下面介绍的3个核心步骤将帮助你建立一个有复原力的企业:
诊断企业存在的相互依赖的风险。公司必须首先界定外延型企业的概念和确定赢利驱动力。一旦完成了这个步骤,就能在外延型企业里发展一个透明和统一的风险概念,有助于管理者明白公司网络的相互依赖性。
适应公司战略和运营模式。企业应该使用成本-收益分析把功能交叉的风险缓解计划和公司战略联系在一起。同等重要的是,CEO和董事会必须采用风险管理,了解公司的风险,在追逐战略目标的同时实施风险缓解战略。
承受增加的风险和复杂性。这个步骤包括发展一个把商业智慧和风险进行监督和整合的组织结构。发展分析技能和支持能力,提高决策和应对风险的能力。能够监督企业的复原力,实施最佳的风险缓解方案。有复原力的企业能够通过日益增强的感知能力整合商业智慧。
企业复原力审查
作为建立企业复原力的第一步,公司要使用一个全面的、由3个步骤组成的企业复原力审查程序来帮助高层管理者团队,以公司的实际需求为基础,发展完整的风险缓解计划和建立企业真正的赢利驱动力。
步骤一 :进行企业布局研究和赢利驱动力分类。在诊断的第一个阶段,公司应该识别自己的关键赢利驱动力和相应的风险。你需要描绘出外延型企业如何组织系统、流程和内外关系来创造收益和利润。公司必须对赢利驱动力、商业流程、能力、技术和缺点进行细分。为了准确做到上述的步骤,需要和公司决策者和所有职能部门的关键经理人进行面谈。需要挖掘客户、合作者和供应商之间的关系。
步骤二 :审查和测量复原力。划分完赢利驱动力后,公司应该使用建模工具和企业设计中的最佳实践经验来为公司的各个方面——财务、运营、技术、人事和安全的复原力进行审查和测量。然后把现有的复原力和最佳的复原力进行比较。
在这个阶段应该对公司现有的风险缓解计划、程序和成本,包括商业连续性和安全计划进行检查。目标是把现有的计划及技术支出与第一阶段识别出来的赢利驱动力进行整合。应该对有形和无形的风险缓解支出规定一条底线。这样的支出包括与安全、商业连续性、灾难复原计划相关的有形成本,也包括与安全、连续性和复原相关的无形成本。
这个阶段的核心部分就是通过描绘出“相互倚赖的组织架购”来识别外延型企业里存在的对赢利驱动力构成威胁的相互依赖的风险——不可意料的立法行为、供应商关系的变化、客户的变故。这样的练习也可以帮助公司清楚看见市场趋向和公司战略如何影响未来的赢利驱动。比如,一个消费品生产商发现负责公司旗舰产品A在工厂和零售商之间流动的商业部门不知道监督产品B的团队发展了一条新的分销链。这些多余的分销渠道使生产商变得软弱无力,因为如果供应链网络遭遇断裂,那么这两种关键产品的配送就会同时中断。
这样的描绘能够帮助公司识别现有的风险缓解计划和可确认的需求之间存在的差异,允许管理者能够一眼看出公司现有风险和复原力状况存在的弱点和优势。这样的分析也可以识别投资赢利和投资蚀本的领域。
相反,最大的广告公司即使一天或更长时间没有计算机也不会遭受重创。但是广告公司必须保护关键人员的安全,因为人力资源是它最重要的赢利驱动力。所以,在诊断分析阶段,零售商的未来复原力状态确定基础技术设施的保护才是投资的至高目标,而人事安全是较低的投资目标。而广告公司的复原力则恰恰相反。这样的等级划分并不意味着对零售商而言人事安全就不重要。它意味着零售商的投资应该集中在基础技术设施上,因为基础设施是其主要的赢利驱动力之一。
步骤三 :复原力战略。公司复原力审查的最后一个阶段目标是以公司的赢利能力分析和相关的风险缓解需求为基础发展新的复原力计划。
成本评价从三个方面——人、运营(过程和技术)和相互依赖来检查商业复原力。比如,一家颇具规模的肉类制品厂了解到自己防护得当的供应和分销网络以及稳健踏实的运营是归功于成熟的危机和灾难管理计划,但是人事安全上的薄弱是因为全球下属机构的招聘和管理程序是不完善的。于是公司决定减少对灾难管理的资源投入,把这部分资源用于提高招聘、培训和质量监督环节。否则,后果不堪设想:薄弱的质量监督环节将会让腐败的肉食产品流到客户手中,导致生病等严重后果。
风险存在是事实
我们相信公司需要采用一套更加完整的风险管理方法——把商业战略和企业复原力、商业持续计划相结合。在诊断工具和决策支持的辅助下,公司能够建立一个更有效、更连续、更统一的方法体系来抵御来自内部和外部的风险。
企业复原力的建立应该不仅是日常负责风险管理和安全的人员如CFO、CIO和首席安全官的职责,也应该是CEO、商业部门总经理、董事会和董事会审计委员会的职责。在上述岗位的协作下,一个新型的风险管理方法能够建立起来,为企业高级决策层提供稳定的信息流,及时发现赢利驱动力存在的缺陷。从长远看,企业复原力将提高公司的管理和决策能力。
商业总是要面对风险的,最近的事件也提供了这样一个结论:在今日经济时代,风险的存在是一个事实。不是所有的风险都被预见,但是高级管理者、董事会和股东所共建的有复原力的企业能够对其进行管理。股东的期望越来越高,有复原力的企业将获得越来越多的回报——客户增加、合作者忠诚到持续赢利的实现。
原载:《财致商学院》2004年第3期总裁版