前面三项能力更多关注的是企业是否能够把握并购的机遇,但第四项能力则关注的是企业是否能够有效控制并购的风险。并购的要义在于抓住能够抓住的机会,承受能够承受的风险,从这个意义上讲,风险管理能力至关重要。
站便是风险管理能力。投资有风险,这是每个人都明白的道理,但是投资并购的风险究竟在哪里?如何识别?如何掌握并控制风险?这是评估企业风险管理能力的主要关注点。
风险控制当前已经成为国内企业界关注的热点。2008年,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基础规范》,首先要求上市公司在2009年7月1日前(后推迟到2010年),必须建立企业内部控制体系;对内部控制的要求在国有企业及其其它类型企业中逐步推进。
对此,我对企业家们有一个忠告:企业可以因为财政部等相关部门的要求而去加紧推进内控建设,但是,绝对不要“为建而建”。内控建设中“外因是急”,但是“内因才是本”。对于意图推进企业并购,进行外延式扩张的企业来说,内部风险控制体系的建设是当务之急!
企业推进风险管理能力的建设可以从四个方面进行评估。
第一个方面就是对企业的战略风险管理能力进行评估。当前中国企业大多数都还没有建立起内部控制体系,通过对企业战略的梳理,包括集团管控、业务特点以及业务环境等的识别,可以明确企业战略对内部控制体系建设的要求是什么。根据企业的战略,了解企业内部控制的特点,风险集中体现在哪些区域。然后进行针对性地规划,确定内部控制体系建设的重心。
第二个方面就是在企业战略目标的指导下,围绕内部控制的控制环境建设、风险识别、控制活动、信息与沟通、监督等五个方面的具体要求,评估公司级的内部控制。通过对风险的识别,发现上述几个方面存在的问题,并通过对公司内部控制管理的测试,全面解决这些问题。
第三个方面就是流程级和IT级内部控制体系的建设,这是风险管理和内部控制评估的重点,也是难点。把通过战略梳理确定的关键风险区域归结成流程地图,对现有的流程进行描述,并找到这些流程中的风险点、现有的控制措施以及控制的缺失,从而制定内部控制措施、风险控制目标等。对于IT(信息系统)而言主要关注的是一般性控制缺陷,例如安全性的缺陷、硬件管理的缺陷等。通过流程级和IT级内部控制体系的建设,要形成企业的风险控制矩阵,系统性地发现风险并制订相应的控制措施。
前三个方面主要针对公司内部控制的设计缺陷,比如公司没有战略、或者缺失流程、或者流程不合适存在风险,这就通过上述过程解决。但是我们发现,有很多企业所面临的风险不是由于设计缺陷造成的。它有制度、有流程,只是没有去严格地执行。所以需要进行第四个方面的评估。通过测试发现运行缺陷,并针对内控建设的基本要求提出整改意见。不仅流程要整改,制度要整改,组织、文化也要整改,管理要系统提升。通过一到两次的测试,弥补内控体系运行的缺陷。就可以让企业的内控真正做实。
正略钧策根据企业并购咨询的实际,提出了“CSSI并购风险控制模型”。模型的设计主要是对国际上一些通用工具进行应用组合。具体以现金流指标、资金安全指标、偿债能力和投资预警四个相关的指标体系为基础,建立的CSSI投资预警模型。测试结果能够较为充分地反映企业在某一个时点上现金流是否健康,偿债能力是否充分,现金流是否充裕,对外投资规模是否合理。
四项能力的测试评估,为企业推进并购找到了更为具体可行的抓手,也为企业通过参与并购提升企业竞争力提供了可能。