(1)董事會在管理風險上的角色
在參訪公司時,會碰到受訪董事可以談產業經營風險、財務匯兌風險等,但未必能詳述企業整體風險及其架構。這一篇2023年2月15日ICAEW的"The role of boards in managing risk",在董事會思考及設計風險管理制度、實務作法上,就有其參考性。以下分享一些要點。
ICAEW的公司治理與盡職治理總監Peter van Veen相信,傳統的風險管理方法,雖可用來控制已知風險,但在協助組織準備位置風險上就不夠了。他說,「傳統的風險管理方法常關注的是風險控制事宜,以及如何補救。」
「比如,報告給審計與風險委員會的典型風險,可能會將內部舞弊列為重大風險,並詳述如何透過政策及控制予以管理。但其實董事會每年討論一次,確認所有企業流程健全即可。更重要的是:董事會如何辨識與管理企業控制以外的風險。」
風險部門的角色
成功的風險管理不是團隊大、有很多資源就好,而是確保能找到正確的風險並有效管理。
Caroline Wehrle是一間FTSE 100公司的前全球風險與遵循主管,同時也是多個董事會的非執行董事。她說:「好的風險管理要結合好奇心與知知識,真正思考世界上發生什麼事,以及如何影響到公司。你也需要溝通技巧,以便與各部門經理人建立伙伴關係,來瞭解整個公司發生了什麼事。...風險管理不是只限於風險管理部門,而是要確保企業各部門都有適當地負起責任。」
Burberry的風險總監Stefan Gershater警告「別搞一長串風險清單」。他認為風險部門的目標是協助創造及保護價值,尤其:風險部門在面對組織其他部門時,不要以「風險的語言」講話,而是要講「企業的語言」。
「我的風險團隊所面對到的挑戰是:如何增加價值?我們瞭解企業在做什麼嗎?如何激勵他們?當我們從風險角度看時,重要的是識別出當前我們需要解決的風險,以便產生價值。」
在董事會層級組織風險
風險管理的責任最終是落在董事會。不過各董事會所採用的風險管理方法,依各組織而異。美國投資銀行前歐洲財務長、也是多個董事會非執行董事的David Buckley說,「這沒有一體適用的方法。你必須找到適合組織的方法、並予以結構化,這樣才能讓相關委員會具備所需的技能,以管理這些風險。」
最常見的方法之一,就是透過審計與風險委員會來管理風險,但是各產業不一。以金融服務業為例,標準的實務是設一個專門的風險委員會,獨立於審計委員會之外,以關注金融機構所面對到的特定風險。Buckley補充說:「對大型金融機構而言重要的是,要將風險委員會、審計委員會分開。其他組織還可以把兩者合併,因為不會面對到這麼大的市場風險或信用風險。」
然而,給予風險適當的重視,對某些審計與風險委員會是一項挑戰。Van Veen解釋說,審計與風險委員會常在意的是審計、財務與內部控制、預防舞弊等。如此,風險就很難被顧及。因此,當會議上討論新興風險時,審計與風險委員會真正會花多少時間來思考這些事呢?
為克服這個問題,組織應該至少要考慮把風險管理分離出去,以確保有充分的重視。Wehrle分享了她董事會採取的方法:「董事會把審計從風險分離出去,並成立風險與遵循委員會,這樣可以花更多時間在風險主題,因為當我們討論完審計與控制的主題後,留給風險的時間所剩不多。」
另外一個方法,就是在標準季度會議外再召開額外的會議,以深入討論。「當然,現在在金融業,不時召開臨時會很普遍。有時候這是因為我們需要提出大量的回應監理意見,或是因為委員會需要深入探討定議題。」Buckley說。召開這種臨時會,也有助於當特殊問題發生時推動更敏捷、回應性更高的方法,而不限於要到年度既定會議時才討論。
撒出大網
除時間以外,另一個董事會面對到的關鍵挑戰就是發展知識與專長,以跟上今日組織面對到持續擴大、多樣化的風險。董事會越來越採取更正式的方法作「前瞻性掃描」(horizon scanning),確保找出組織的潛在風險。
在此狀況下,值得一提的是最成功的董事會,會要有一個強大、多元的董事會組成,包含了各式各樣的經驗。Buckley說,「董事會組成是關鍵。董事會上必須要有正確的技能,瞭解什麼是重要的事。」
有時候,請外部專家來提供額外協助,也是有幫助的。 Van Veen說,「找外部專家來很好,因為這代表你對這個主題有深入的討論。」
提對的問題
董事會不是要無所不知,而是要確保能問出對的問題,瞭解所面對到的風險,以便適當地管理。為協助做到這一點,重要的是風險管理團隊支持企業關鍵人士,以便向董事會報告他們如何看待關鍵風險。Wehrle說:「我想聽的不是風險部門向董事會報告,而是真正負責管理此風險的人報告。若潛在風險是在供應鏈或物流,那就要聽採購主管、或供應鏈主管報告。」
此外,董事會需要確保能找出出企業領導人真正關心的事宜。數個審計與風險管理委員會召集人Marta Phillips談她如何做到這一點:「我會邀請高階領導人來談談這方面的風險是如何管理的。我會問:『你最擔心的是什麼?』我不要看書面資料,而是要面對面討論他們如何管理風險、如何知道員工達成對被期待事宜,以及如何找出新風險。這些討論真的能讓董事會、審計委員會不只瞭解企業,也依此資訊與集體經驗來思考:『這些風險會如何影響組織,以及我們需要如何定位自己,最終不至於出差錯?』」
Phillips最後總結:「風險管理是整個組織的集體責任,但董事會很清楚地一定要領頭。」
(2)為何每個董事都是風險委員會的成員
這篇是由Erin Essenmacher所寫、2024年9月12日於Directors & Boards網站刊出的"Why Every Director Is a Member of the Risk Committee"。是一個專門探討風險的文章。以下分享一些內容。
董事會負責的任何事可歸結於兩個關鍵基本:策略監督與風險監督,有時候兩者是互相影響的。在過去十年間,董事會更偏向於前者,代表策略的重要性在成長。儘管如此,監督仍是董事會基本的受託責任核心。
定義風險是關鍵
監控風險的起點是—瞭解和辨識對企業而言重大的風險事宜。對董事會而言,深入瞭解對企業而言重要及獨特的風險,並據此監控,是十分重要的。
Docusign Inc.董事長,且服務Costco Wholesale Corporation、Lyft Inc.、Tanium Inc.、Sonoma Biotherapeutics、Legends與Sana Biotechnology這些董事會的Maggie Wilderotter說,「董事會主要工作之一就是瞭解風險。一旦你瞭解這些風險,公司就可以有對應管理與減緩的方法。」
財務、網路、人才或供應鏈這些風險雖然很常見,但其影響還是要看公司的產業、規模、營運複雜性與其他關鍵考量,而有所不同。
Wilderotter說,「董事會需要知道,基於產業、公司和管理團隊類型,風險的種類各有不同。比如,當你在非常競爭的環境裡,若你沒有快速因應正在發生的事情,風險就會更高。這要靠董事會瞭解最重要的風險為何,以及如何減緩。他們也應該監控公司平常是如何管理的。」
Fluence董事長、也在USAA、Comfort Systems USA、Host Hotels & Resorts LP與Collegis Education這些公司當董事的Herman Bulls說,「首先就是要評估。比如,當你要做財務投資時,你應該列出全面的內外部因素(從策略到供應鏈),並搞懂它們。」
除了董事會成員可帶來的個別經驗以外,辨識出企業的所有潛在風險,需要兩件事:持續教育與瞭解業務,以便作為管理團隊的顧問。
前華爾街分析師、現在是Alpha Metallurgical Resources與Craft 1861/Nano Cures的審計委員會召集人Shelly Lombard說,「作為一位董事,我需要瞭解風險在哪。公司內應該要有人想過所有情境類型,以及公司如何因應這些情境。」
她也建議要納入外部專家,協助強化或縮短董事會與管理階層專業間的落差。
「獲得相關觀點很重要,特別是因為各產業之間的風險類型差異很大。」
為了監控風險,董事會也必須明確定義風險胃納—即瞭解並與管理階層就公司在成長策略裡願意承受的風險有多少一事,達成共識。
Cognition Therapeutics、Superior Industries Inc.與Orion Energy Systems Inc.的審計委員會召集人Ellen Richstone說,「風險概況和風險胃納,是管理階層與董事會討論時需要予以評估的兩個核心項目。你的公司或許風險概況低,因此願意承受更高的風險胃納,或者你許會因為思考創新、或願意承受關鍵併購交易風險、或投資新技術而使的風險胃納提高。公司在關心當下問題、思考未來策略時,需要完全意識到其當前的風險概況及風險胃納。」
關鍵工具與流程
一旦辨識關鍵風險並平衡策略與風險胃納,對董事會而言,重要的就是與管理階層合作實行正確工具與流程,以監控這些風險。
Bulls說,「風險架構很重要。這包括了關注已整合到組織日常活動內的政策、流程與實務作法,以辨識、衡量與回應風險。」
Richstone說,一旦架構到位了,瞭解誰「負責」風險也很重要。「無論業務問題為何,企業主真的會從最高層開始看,並且有一個整合性的風險評估及風險減緩嗎?如果沒有,那就是會出問題的地方。」
Richstone倡議,在整個董事會上整合風險討論,而非將之限縮於議程上的某一個要點而已。最終,我們或許會審視我們的風險儀表板,但問題的真相是,90%的議程其實早就討論過,只是需要與其所屬的經營主題整合。
技術與趨勢快速轉變,但是或許董事會的最佳工具是時間早就證明的:問好的問題,壓力測試經營團隊是否瞭解與評估風險。
Wilderotter說,「對董事會成員重要的是,信任並驗證。」她建議,董事要問—用什麼資料評估決策。「資料是只有內部的,還是也有用外部資料以確保幾正確方式做出正確決定?」
Bulls說,「你必須注意組織文化。對風險有透明的溝通很重要,因為此涉及及早偵測到與獲得通知的方式。另外執行長、董事會和高階經理人也要以身作則,貫徹到整個組織。」
別忽視董事會組成之重要性
當董事會缺乏多元性,就會造成團思現象和盲點,繼而提高風險。多元觀點與專長,會增加正確提問的機會。董事會成員若具備人才方面背景,可以問出關鍵問題,有助於在高度競爭環境裡吸引或留住正確人才並辨識出文化風險。董事會成員有科技專業,就可提問關於啟動策略系統與能力的關鍵問題。
董事會文化對於有效減緩風險而言,也是關鍵要素(而且常被忽略)。正確組合要奏效,唯有當參與會議的人都能表達出他們的想法、甚至是艱困的問題。
「最重要的是:在面對風險時鼓勵人們表達出來,不要害怕。所有人的意見不是都一樣,但需要把事實、想法提出來。我們可將之分類並提出正確的決定。我認為,當人們在會議上感到安心時,才會真正表達其意見。」
董事會對風險對話的參與很重要,是因為每個董事的意見對有效監督很重要。雖然深思熟慮的委員會結構可協助劃分工作、關注關鍵領域的風險監控,但風險監督基本上還是整個董事會的責任。
「思考風險、提供特殊觀點,是每個董事會成員的責任。最終,每個董事其實都在風險委員會上。」
沒有留言:
張貼留言