1 風險(Risk)

風險的定義主要有三種：風險是對所期望的結果的可能的偏離；風險是損失的可能性；風險是有目標指向的系統(tǒng)（goal-oriented system）的正面期望不能實現(xiàn)的可能性。

根據(jù)是否存在獲利的可能性，風險可以分為純風險（pure risk）和投機風險(speculative risk)。純風險是指只存在損失可能性的風險。投機風險可能獲利也可能損失。大多數(shù)的商業(yè)風險是投機風險。

風險可以分為靜態(tài)風險（static risk）和動態(tài)風險(dynamic risk)?；馂暮推渌匀粸暮Φ娘L險在任何時候都存在，屬于靜態(tài)風險。靜態(tài)風險一般是純風險。經(jīng)濟、政治、法律、技術和環(huán)境的變化會產(chǎn)生新的風險或者改變原有的風險，這些風險屬于動態(tài)風險。

風險還可以分為基本風險（fundamental risk）和特定風險（particular risk）。重大的自然災害、戰(zhàn)爭和經(jīng)濟衰退屬于基本風險。單個企業(yè)無法控制這些風險，只能減少其對企業(yè)的不利影響。特殊風險主要對某個企業(yè)產(chǎn)生影響，企業(yè)有能力將這些風險控制在一定的程度。

圖片來源于網(wǎng)絡，侵權必刪

2 戰(zhàn)略風險與壓力(Strategic Risk and Pressure)

那些顯著地損害管理者實現(xiàn)既定企業(yè)戰(zhàn)略的能力的非預期事件或者非預期狀態(tài)被稱為戰(zhàn)略風險（strategic risk）。

戰(zhàn)略風險有3個基本來源：營運風險（operation risk）、資產(chǎn)貶損風險（asset impairment risk）和競爭風險（competitive risk）。當企業(yè)的核心營運、生產(chǎn)或者加工能力受到損害時，營運風險就產(chǎn)生了。例如電廠發(fā)電機組的技術故障導致機組停止運行。某項資產(chǎn)（包括無形資產(chǎn)）提供未來現(xiàn)金流的能力的降低并導致資產(chǎn)的現(xiàn)值的大幅度減少，資產(chǎn)貶損風險就出現(xiàn)了。生產(chǎn)設備的磨損、專利技術的過期和債務人的破產(chǎn)都會導致企業(yè)的資產(chǎn)貶損風險。資產(chǎn)貶損風險包括財務貶損風險、知識產(chǎn)權的貶值和實物資產(chǎn)的貶損。財務貶損（financial impairment）是指資產(chǎn)負債表上資產(chǎn)的市場價值的減少，如應收賬款不能全部收回，外幣和長期債券組合的貶值。

由于競爭環(huán)境的變化，企業(yè)創(chuàng)造價值的能力受到損害，企業(yè)不能差異化其提供的產(chǎn)品和服務,則企業(yè)面臨著競爭風險?？梢詰霉鹕虒W院教授Michael Porter提出的5種力量（five forces）理論分析競爭風險的來源。Porter的5種力量是：①新進入者的威脅；②顧客的議價能力；③供應商的議價能力；④替代產(chǎn)品或者替代服務的威脅；⑤當前的競爭者的角逐。

當上述來源的風險足以威脅企業(yè)的存續(xù)時，企業(yè)將面臨著聲譽風險（franchise risk）。聲譽風險本身不是風險的來源，它是任一上述風險超出一定的程度而引發(fā)的后果。對于一個處于競爭市場的企業(yè)，聲譽對其創(chuàng)造價值的持續(xù)能力而言是關鍵的。當顧客、供應商、雇員、商業(yè)伙伴和監(jiān)管者等對一個企業(yè)失去信心的時候，整個企業(yè)的價值就貶損了，企業(yè)的聲譽風險就出現(xiàn)了。

企業(yè)員工承受著各種壓力，包括企業(yè)成長的壓力、管理文化的壓力和信息管理的壓力。如果這些壓力超出一定的限度，他們就可能犯無意的和故意的錯誤，給企業(yè)帶來資產(chǎn)損失的風險，甚至因為引發(fā)顧客的信任危機而導致聲譽風險。

企業(yè)員工有機會犯造假和欺詐（misrepresentation and fraud）等錯誤需要同時具備下面3個條件：

①壓力（pressure）,可能成為員工錯誤行為的動機；

②機會(opportunity)，員工有接觸資產(chǎn)將其用于個人目的或者接觸會計和信息系統(tǒng)將其竄改的機會；

③合理化(rationalization)，員工對其錯誤行為做出合乎情理的解釋以減少或消除負罪感。

因而，要控制員工從事有意識地造假和欺詐引發(fā)的風險，必須消除上述3個條件中的一個。

3 戰(zhàn)略風險的管理（Management of Strategic Risks）

戰(zhàn)略風險的管理主要是通過建立有效的信念系統(tǒng)（belief systems）與邊界系統(tǒng)（boundary systems）——包括商業(yè)行為邊界（business conduct boundaries）和戰(zhàn)略邊界（strategic boundaries）及實施完善的內(nèi)部控制系統(tǒng)（internal control systems）來實現(xiàn)。這兩個系統(tǒng)提供了確保無意的和有意的錯誤都不至于損害企業(yè)為顧客、股東和雇員創(chuàng)造價值的能力所必需的控制。

3.1 信念系統(tǒng)與邊界系統(tǒng)(Belief Systems and Boundary Systems)

管理層通過正式的信念系統(tǒng)和邊界系統(tǒng)去鼓勵和指導員工積極開發(fā)新的市場機會并主動回避那些與企業(yè)既定戰(zhàn)略不相符合的市場機會。信念系統(tǒng)指明了企業(yè)的目的，并引導和激發(fā)員工在競爭市場中尋找機會；邊界系統(tǒng)在廣闊的市場機會空間中劃出了一個更小的機會空間作為重點的領域讓員工去施展他們的才能。

3.1.1 信念系統(tǒng)(Belief Systems)

員工可能追求那些不符合企業(yè)既定戰(zhàn)略的、甚至是損害企業(yè)戰(zhàn)略發(fā)展的商業(yè)機會。為了確保員工從事正確的活動，管理層必須對企業(yè)的核心價值（core values）做出清晰的承諾。核心價值是定義企業(yè)的基本原則、目標和方向的一組信條。

當企業(yè)規(guī)模變大的時候，管理層就需要在核心價值的基礎上建立正式的信念系統(tǒng)。信念系統(tǒng)就是由最高管理層正式發(fā)布的、一整套經(jīng)過明確定義和系統(tǒng)強化的、關于企業(yè)的基本價值觀、目標和綱領的書面文件。信念系統(tǒng)是通過宗旨、使命和目標來建立和傳達的。企業(yè)在快速擴張有很多市場機會的時候，信念系統(tǒng)為企業(yè)管理者和員工在劇烈變化的競爭環(huán)境中抓取那些與企業(yè)戰(zhàn)略目標相契合的機遇提供了動力和指南。在戰(zhàn)略實施的過程中出現(xiàn)問題時，信念系統(tǒng)能幫助管理層找出所要解決的問題和所要尋找的解決方案；在沒有問題出現(xiàn)時，信念系統(tǒng)能激勵員工尋找創(chuàng)造價值的新途徑。

3.1.2 邊界系統(tǒng)(Boundary Systems)

僅利用信念系統(tǒng)去鼓勵和指導員工探尋新的機會是不夠的，員工仍然可能浪費有限的企業(yè)資源去攫取那些不符合企業(yè)戰(zhàn)略并給企業(yè)帶來危險的機會，邊界系統(tǒng)就為員工探尋潛在的市場機會的行為劃定了界限。最高管理層必須明確告知下屬什么事情是不能做的，并激勵他們在清晰定義的邊界內(nèi)進行創(chuàng)新和爭取所有可能的市場機遇。

基于特定的企業(yè)戰(zhàn)略，管理層必須將應避免的風險傳達給員工。邊界系統(tǒng)的設定就是為了明確傳達給員工哪些風險是企業(yè)需要回避的。邊界系統(tǒng)包括商業(yè)行為邊界和戰(zhàn)略邊界。

3.1.2.1 商業(yè)行為邊界(Business Conduct Boundaries)

最基本的邊界系統(tǒng)是規(guī)定了商業(yè)行為準則（codes of business conduct）的邊界系統(tǒng)。商業(yè)行為準則以禁止性的詞語詳細列出企業(yè)所禁止的行為。被禁止的行為一般包括：利益的沖突——員工禁止在本企業(yè)的供應商那里擁有個人的利益；商業(yè)秘密的泄漏——員工禁止向任何無權知道的人士透露企業(yè)的秘密信息；員工利用內(nèi)部信息進行股票交易以及向政府官員提供某種形式的非正當?shù)膱蟪?。這些行為均可能引起導致企業(yè)損失財產(chǎn)、失去信譽或承擔法律責任的風險。

商業(yè)行為準則對于那些將戰(zhàn)略建筑在質(zhì)量和誠信的信譽基礎上的企業(yè)更是至關重要的。這類企業(yè)的管理者必須建立商業(yè)行為的邊界以保護企業(yè)的商譽。這類企業(yè)包括食品、制藥、汽車等制造業(yè)和注冊會計師事務所等服務類企業(yè)。這些企業(yè)任一員工的行為都可能摧毀企業(yè)在市場上的誠實的信譽，給企業(yè)帶來聲譽風險甚至徹底摧毀整個企業(yè)。在“安然事件”中職業(yè)操守受到質(zhì)疑的安達信會計師事務所結束了其89年的歷史。

商業(yè)行為邊界為管理層強調(diào)誠信提供了有力的方式。為了完成績效考核任務，上級可能要求會計將當年度的費用成本記入下一財務年度，商業(yè)行為邊界就為員工對上級不合理的命令提供了拒絕的依據(jù)。商業(yè)行為邊界也減少了員工對其可能做出的給企業(yè)帶來風險的錯誤行為進行合理化的可能。

3.1.2.2 戰(zhàn)略邊界(Strategic Boundaries)

信念系統(tǒng)、商業(yè)行為邊界和內(nèi)部控制主要用于防范員工在平衡利潤、增長與控制的時候犯錯誤或者做出錯誤的選擇。然而，還一種風險嚴重威脅著企業(yè)的長期盈利能力和增長，這種風險就是將企業(yè)稀有的資源浪費在并不支持企業(yè)戰(zhàn)略的行動。

為確保員工從事支持企業(yè)戰(zhàn)略的活動，企業(yè)應該在戰(zhàn)略規(guī)劃中明確規(guī)定哪些尋找市場機會的行為是不可以被接受的、不應進行的。管理層可以利用戰(zhàn)略規(guī)劃和戰(zhàn)略對照表等方式來劃定范圍。

通用電氣的前任CEO杰克"韋爾奇向全體雇員清晰地表明他不支持對任何不能在市場競爭中取得第一或第二位置的商業(yè)活動進行投資。比爾.蓋茲也曾明確表達了微軟禁止進入的商業(yè)領域，微軟不準備擁有任何電信網(wǎng)絡公司和建立生產(chǎn)電腦及其硬件設備的制造企業(yè)。

管理層必須確保企業(yè)員工的全部注意力致力于實施既定的企業(yè)戰(zhàn)略，他們必須明確規(guī)定哪些商業(yè)機遇是不符合企業(yè)戰(zhàn)略并禁止進入的。

企業(yè)正式發(fā)布的戰(zhàn)略邊界一般包括：

①最低水準的財務表現(xiàn) 對一個商業(yè)項目繼續(xù)投資的先決條件是其能達到預定的最低財務要求。關鍵的財務指標包括：預計的收入、利潤和利潤率、投資回報率、現(xiàn)金流和回收期等。

②最低的可持續(xù)競爭定位 高層管理者應事先明確不支持哪些類型的市場定位。管理層應拒絕對那些不能維持最低的增長率的商業(yè)機會提供資金。

③與核心競爭力無關的產(chǎn)品和服務 管理層應了解企業(yè)的核心競爭力并追求那些能充分利用這些企業(yè)核心能力的商業(yè)機會。戰(zhàn)略邊界要列舉那些不能利用核心競爭力的產(chǎn)品和服務的種類，使員工回避那些與企業(yè)核心競爭力無關并偏離企業(yè)戰(zhàn)略的機會。

④需要回避的競爭者 在許多行業(yè)，一些擁有強大資源和雄厚財力的競爭者在市場中居支配地位。管理層有必要劃定戰(zhàn)略邊界，避免與那些競爭對手進行正面的交鋒。

高層管理者不能將戰(zhàn)略邊界看作靜止的，應及時根據(jù)變化了的情況重新確定戰(zhàn)略邊界，以防止過時的戰(zhàn)略邊界給企業(yè)帶來的風險。

3.2 內(nèi)部控制（Internal Controls）

信念系統(tǒng)和邊界系統(tǒng)定義了核心價值和禁止的行為，它們對管理風險是必要的但不是充分的，管理層必須防范企業(yè)運作中的錯誤與舞弊——不熟練的員工錯誤地處理交易，無經(jīng)驗的雇員在忙碌的日常工作中犯下疏忽的過錯，甚至員工侵占企業(yè)的資產(chǎn)并篡改會計記錄以逃避察覺。

內(nèi)部控制就是管理層為了確保以有序的和有效的方式實現(xiàn)企業(yè)戰(zhàn)略和管理目標，包括遵循管理制度、保護資產(chǎn)的安全、防范和發(fā)現(xiàn)錯誤與舞弊、確保會計記錄的準確與完整、及時編制可信的財務信息而制定的管理政策和控制程序。

內(nèi)部控制可以分為3個方面的防范措施：

①結構防范（structural safeguards）；

②系統(tǒng)防護（system safeguards）；

③人員保證（staff safeguards）。

3.2.1 結構防范（Structural Safeguards）

結構防范用于確保資產(chǎn)處理和會計記錄的人員有清晰定義的職權。結構防范包括：

①職責分離

應當對涉及資產(chǎn)交易的各項職責進行合理的分離，避免任何個人擔任不相容的職務，來預防和及時發(fā)現(xiàn)交易中產(chǎn)生的錯誤和舞弊行為。例如，經(jīng)管現(xiàn)金和銀行存款的出納與負責總賬登記的會計，就屬于不相容的職務。職責分離要保證經(jīng)營責任與會計責任相分離、資產(chǎn)保管與會計相分離；授權與執(zhí)行、保管、審查和記錄相分離。

②授權的層級

必須確保有權處置一定金額的資產(chǎn)和交易的人員有其相應層級的職責或者上級的授權。

③資產(chǎn)的實物安全

有權接觸貴重資產(chǎn)的人員必須限定是那些能夠?qū)θ魏螕p失承擔責任的員工。資產(chǎn)的安全還包括實物保衛(wèi)措施。例如，將存貨存入倉庫以防偷盜，把貨幣、證券和票據(jù)存入保險箱。

④獨立的審計

企業(yè)應利用外部審計師——注冊會計師對內(nèi)部控制的完整性進行檢查。作為檢查評估的一部分，審計師應檢查資產(chǎn)的安全性和會計信息的完整性。他們的發(fā)現(xiàn)應及時報告給高層管理者和董事會。

3.2.2 系統(tǒng)防護（System Safeguards）

系統(tǒng)防護用于保證按照充分的流程去實施交易過程與及時的管理報告。系統(tǒng)防護包括：

①完整和準確的記錄保存

交易流程必須確保所有的交易準確及時地載入會計記錄中。為了核實和對賬，會計系統(tǒng)應為每筆交易提供完整的交易軌跡。交易軌跡是指通過編碼、交叉索引和連接賬戶余額與原始交易數(shù)據(jù)的書面資料所提供的一連串可追溯的跡象。例如，顧客的付款應能通過交易軌跡追溯至應付賬款，再以此追溯到銷售發(fā)票和運貨單。

②限定使用的信息系統(tǒng)和數(shù)據(jù)庫

信息系統(tǒng)必須限定給那些有合法權力改變和查閱會計交易記錄的人使用，只有這樣才能保證會計數(shù)據(jù)的完整性。在信息時代，必須阻止未經(jīng)授權的對數(shù)據(jù)庫的訪問與修改。密碼、數(shù)據(jù)密匙和內(nèi)部確認例程（internal verification routines）等措施對確保信息系統(tǒng)的完整性是必要的。

③及時的管理報告

管理層應及時獲得經(jīng)數(shù)據(jù)處理的會計和控制報告。如果管理報告不及時，就可能因反饋不及時而使企業(yè)遭受損失。管理者基于不完善的管理信息也容易做出錯誤的決定。

3.2.3 人員保證（Staff Safeguards）

人員保證用于確保進行會計和交易處理的員工有相應水平的專業(yè)知識并受到專門的訓練；人員保證還意味著企業(yè)有充足的資源去保證內(nèi)部控制系統(tǒng)的有效運行。

人員保證包括：

①會計和內(nèi)控員工的技能

良好的內(nèi)部控制的設計和運行依賴于重要的專業(yè)技能。這些專業(yè)技能由受過有效的內(nèi)部控制系統(tǒng)設計方面培訓的注冊會計師等專業(yè)人士提供。

②關鍵崗位的輪換

如果員工隱瞞不正常的會計信息，另一在一定時期內(nèi)接手其工作的人往往能發(fā)現(xiàn)其中的矛盾之處。因此，要對那些從事關鍵性的會計記錄的員工進行定期的強制休假，并安排其他員工承擔他們的職責。

③充足的資源

內(nèi)部控制需要花費金錢；雇用專業(yè)的注冊會計師，安裝信息管理系統(tǒng)，對員工進行相應的培訓，都意味著耗費資源。職責分離需要兩個人去完成一個人可以完成的工作。額外的對賬和核對不會提高企業(yè)的產(chǎn)出效率，僅是保證資產(chǎn)更加安全及信息更加準確。企業(yè)要有充足的資源去建立與維持有效的內(nèi)部控制系統(tǒng)。

4 結語（Conclusion）

企業(yè)的戰(zhàn)略風險來源于營運風險、資產(chǎn)貶損風險和競爭風險。當上述任一風險足以威脅企業(yè)的存續(xù)時，企業(yè)就面臨著聲譽風險。

企業(yè)戰(zhàn)略風險的管理是通過建立有效的信念與邊界等管理控制系統(tǒng)及實施完善的內(nèi)部控制來實現(xiàn)的。管理層通過正式的信念系統(tǒng)和邊界系統(tǒng)排除那些與企業(yè)戰(zhàn)略不相符合并可能帶來風險的機遇。內(nèi)部控制則提供了保護資產(chǎn)的安全以及防范和發(fā)現(xiàn)錯誤與舞弊的制衡機制。有效的風險管理能釋放企業(yè)的資源和資金儲備，并將稀缺的資源投入與戰(zhàn)略相一致并增進企業(yè)價值的活動中。