编者按:本文为张子昉先生12月7日在“预见2024暨攀成德第七届建筑业年度论坛”上演讲的速记稿,文字略有删节,经其本人确认。
预见论坛的演讲都是命题作文,当我拿到这个主题的时候充满疑惑,为什么让我来讲风险防控?有人说,如果你想投资股票,最不应该问的人是基金经理,因为运气好的话,他赚你佣金;运气不好的话,把你当韭菜。同样,如果企业想知道什么事情有风险,最不应该问的就是咨询顾问,大多数情况下咨询顾问会对风险夸大其词,只有让你觉得“病”得够重,才会签下更大的合同。但今天,我不会站在咨询顾问的视角告诉大家什么事情有风险,也不会贩卖焦虑,而是和大家一起探讨,究竟需要建立一套怎样的机制才能做好风险管理这件事情。
先说结论——无论我们怎么努力,都不可能完全杜绝风险。
因为“风险”本身不是一个纯粹的外部概念,它具有内生性。建筑行业本身有两件事会持续不断地带来风险:第一,建筑行业的规模不经济。建筑业和制造业不太一样,制造业如果扩大规模,可以按照同样的标准复制增加一条流水线;而对于建筑企业而言,一个产品做大规模后就不得不开辟第二产品,开辟完第二产品后还不得不开辟新的区域,规模越大,项目部越多,生产资源越分散,组织也越碎片化。这个过程中,风险必然不断涌现、持续增大。第二,建筑行业的“被动”属性。建筑行业不可能自己创造市场,因此终究是受制于人,只要受制于人,就存在不确定性。正是由于这两个特点始终存在,不论对于施工企业还是设计企业,建筑行业的风险永远是行业内生出来的,不可能完全杜绝。
下面从两个角度来探讨怎么把风险管理得更好:一是风险究竟来自于什么?二是风险管控到底管什么?哪些事情背后的风险是可控的?
▌1. 什么是风险?
我们先来看两组从同一角度出发的事件:
第一组:企业资金紧张,资金回收存在困难,利润不及预期……
第二组:资金链断了,客户破产了,经理跑路了……
相比而言,第一组描述的是做某件事情存在一定困难和阻碍,第二组事件看起来风险意味更浓一些,这两者的核心区别在于“确定”与“不确定”。第一组给出的是现实的描述,可以预知或者可以确定的事情很难变成实际风险;而大多数情况下,风险是由不确定性所导致的结果和预期存在出入。所以从这个角度来看,第二组事件更加符合风险的概念。
基于风险的描述,我们做个“事后诸葛亮”。每年达沃斯论坛(世界经济论坛)会发布《全球风险评估报告》,我建议大家看看这份报告,里面用各种极尽详实的数据、旁征博引的现象、科学理性的模型对全球范围内的风险事件进行了系统评估,得出一套符合绝大多数人认知的风险事项清单,这些风险对于当年经济与个人生活都会产生重大影响或造成巨大伤害。
如图1,我摘录了2022年达沃斯论坛列出来的头部风险事项。
图1 全球风险后果
让我们回顾一下,2022年给我们造成实质影响最大的风险事件是什么?是俄乌战争,是局部地区爆发的各种战争。而这个事件在风险预测中只占据了很小的一部分——地缘政治导致的资源争夺和地缘经济对抗。这说明一个问题,风险对我们产生影响的强弱取决于它的破坏力,而具备破坏力的风险往往是未知的。
再举个更简单的例子,比如我知道某个项目的钱回不来了,这笔钱会成为坏账,那从接到这个项目的第一天起,我就会考虑去把它卖给保理公司,或者尽可能多地贴息,或者做成三角债……会尝试无数手段将这笔坏账带来的最终损害降到最低。因此,从我知道这笔钱会成为坏账的第一天起它就不再是风险了。
基于这几个案例,我们能够得到一个结论:风险的真正来源其实是“不确定性”。一件事情哪怕面临很坏的结果,只要这个结果是确定的,就有无数种方法避免损失产生;相反,一件事情的不确定性越强,可能造成的损害就越大。
▌2. 风险的四个层级
一般而言,风险会根据不确定性程度划分为4个层级:
第一层级是“明确的”。只要企业意识到风险的存在,且没有放任不管,风险就不会产生危害。第二层级是“可控的”。这是绝大多数流程管控体系、风险管控体系要去做的事,控制可控的风险,并且尽可能减小带来的危害。第三层级是“模糊的”。企业所面对的问题可能引发的结果无法用连续时间点来表示,是随机发生的。第四层级是“未知的”。这类问题总体上是模糊不清,结果的分布也未知。
绝大多数情况下,企业进行风险管控是控制可控、预测模糊的事情;但真正不可知的威胁,我们没有太多可以实施的手段,这里只提供一个理念——风险共担。
▌3. 常见的风控措施——流程体系
对于可控风险,处理方式有很多,大多数是基于流程体系的构建。任意一本流程再造或者流程优化的书里面都会提供几十种工具及方法,而且我可以很负责任地告诉大家,书里绝大多数方法都有用。顺着流程优化体系把企业所有管理流程都梳理一遍,把所涉及的风险事项列成清单,基本能防范住90%以上的已知或可控风险。
但在这个过程中,什么是不可控的、真正意义上对我们产生威胁的风险呢?是未知风险。未知风险是即便我们进行了系统梳理,并且把对应流程中的各个环节都做到极其标准化的程度,企业或者项目依然存在的风险,这是我们需要核心关注的。
▌4. 常见的风控体系——三道防线
常见的风控体系,一般分三层。我建议大家去了解一下欧洲一家化工企业——巴斯夫(BASF)。化工界遭受的质疑和否定层出不穷,从人道主义关怀到环保主义,从动物保护主义到营养学……外界对化工行业的质疑绝对超过建筑行业,但是巴斯夫很少陷入舆论旋涡,靠的是什么?就是风险的三道防线(如图3),他的经验绝大多数企业可以借鉴。
第一道防线由业务部门构成,进行资产的识别、组合与再分类;在此基础上,通过集团职能部门建立各项制度流程,形成第二道防线;第三道防线是审计,如果是国企央企还有纪检巡察,通过事后追责体系的建立形成最后一道防线。
图3 巴斯夫三道防线
绝大多数企业的风控体系由这三道防线组成,而且一般来说也是有效的。唯一需要注意的是,第二道防线中制度流程体系的建设一定要和实际业务开展相匹配。
▌5. 源头防控能否抵抗风险?
回到今天的题目,风险防控究竟是源头防控还是过程防控?
先和大家探讨下,什么是“源头防控”?尽可能在业务开始的时候就把各种风险屏蔽掉。在实际操作过程中,一般会通过业务组合的方式去减少或者防范风险,应对策略一般分低风险、中风险、高风险三种类型。
(1)传统的中风险策略——业务组合
举个例子,你承接了一个房建项目,合作的地产公司因为日子不好过,没有办法给你付款,所以抵给你几套房子。现在需要把这几套房子变现,你该怎么做?
低风险和高风险策略很好识别,低风险的策略是拿到抵账房后立刻完成销售,哪怕打折或者让利,也要快速实现资金的落袋为安;而高风险策略则是“囤积居奇”,等到市场形势好转之后,再把抵账房卖掉,把原本两个点的利润一举提升到十个点。
中风险策略一般会怎么做呢?会留一部分卖一部分,跟随着市场形势,动态控制销售价格和销售比例。乍一听感觉中风险策略是最为合理的,在风险可控的同时收益也最高。但如果是在2018年抵给你几套海南的房子,2019年整个海南岛开始实行商品房限购政策,手上的商品房一套都卖不出去了,反而低风险和高风险策略还有获利的一线生机。
从这个案例可以看出,以业务组合这种中风险策略去防范风险是有假设前提的,即未来是可预知的或能够按照预测的情况发展下去,未来房子永远可以售卖,市场需求一定存在,只是会发生变化,但实际情况却是市场销售空间突然被政策打掉了。这在未来三年里是有可能发生的,因为未来几年整个行业乃至整个国民经济的驱动方式都在发生转变。
过去30年,中国国民经济都是靠基建投资、土地财政进行兜底甚至驱动,但是土地财政的大背景已经结束,基建投资也快成为国民经济的累赘和负担,下一步驱动经济的方式会转变为消费、科技或者高端制造业,驱动方式的转变意味着整个经济运行的逻辑会发生变化。以前修马路都是越宽越好,但当需要促进消费的时候,马路越宽城市消费活力就越差。
最典型的就是杭州,之所以会成为美食荒漠,就是因为杭州只有商场内有饭店,而每一个商场都在双向八车道的大宽马路上,缺乏烟火气,也就缺乏消费活力。反而上海很多路是两车道,周围小店林立,这种城市更有消费活力。所以当驱动经济的方式发生改变后,基础假设就会变化,未来不再需要大宽马路和超高层CBD建筑,需要的是整片区域的规划能力与碎片化管理能力,需要打造一个更具消费活力的城市。
(2)中风险策略失效的原因
在很多假设前提会变的情况下,原本的中等风险策略或者业务组合策略并不能实现抗风险的目的,主要有三方面原因:
第一,中等风险本身存在测量误差。低风险/零风险跟高风险之间的界限是非常明确的,但是中等风险却具有巨大迷惑性,中间存在海量的测量误差。所以说,中等风险这个组合策略本身就未必准确。
第二,假设前提会发生变化。中等风险都隐含了“当前环境不会发生变化或者与预测保持一致”这个假设前提,而在国民经济驱动方式转变的背景下,城市的功能定位发生了转变。再比如现在的超级工厂,过去建筑都是空间概念,但随着技术和社会的实际需要发生根本转变,建筑由空间产品转变成为了生产产品中的一环,每一个设计本身都融入到生产流水线中,默认的假设前提不能延续,原来的中等风险策略就未必还是中等风险。
第三,收益增加不代表风险削弱。通常说“高风险、高回报”、“高风险、高收益”,很多人感觉风险和收益是挂钩的,但实际上两者是完全独立的计算体系。不管给一个风险行为增加多少收益,风险本身都是不变的,风险是风险,收益是收益。业务组合的策略是增加过程中每一个行为、每一个环节可能的回报,这样会给人一种风险降低了的错觉。但实际不然,不论增加多少有利因素或获利手段,都不会改变事件本身的风险评估值,就像0乘以任何数最终结果都是0一样。所以在业务组合的过程中,增加收益行为无法削弱风险。因此,从源头上控制风险的行为,并不是真正意义上的控制风险,只是在扩大收益而已。
(3)真正的中风险策略——杠铃策略
既然风险没有办法从源头上进行控制的,我们只能尽可能减少风险带来的影响,这里引入一个策略——杠铃策略。
杠铃策略本身是一个投资理论,但也能有效借鉴在业务组合中。这个策略告诉我们,真正意义上的中等风险=极端风险厌恶+极端风险偏好。用比较形象和直观方法展现,也就是将业务布局成杠铃的样子(如图4),一边大比重的能够获得稳定回报的、风险极低的业务;另外一边小比重的有可能产生高回报但高风险的资产;而在中间所谓的中等风险业务上不做任何布局。只有按照这样的模式进行配置,才有可能实现真正意义上的抗风险。这个理论也可以应用于个人投资,少买基金,多买理财,少量投资股票或者贵金属。
为什么会有这个策略?我们来看两个统计学的概念。
一个叫平均斯坦。姚明和100个平均身高为175cm的人站在一起,这101个人平均身高还是175cm,这意味着当一个事项以低风险为主的时候,即便偶有爆发性的高风险出现,也不会对最终结果产生大的影响。当处于这个平均域中,不管风险怎么波动,最终的收益都是有保障的。这是按照杠铃左边进行布局的最大原因。
另一个叫极端斯坦。马云和100个平均资产100万的组合在一起,这101人的平均资产就破亿了,这就是高风险高回报的业务给我们带来的价值,不需要投资太多,只要赌赢一把,就有可能成为成功者。这是要在杠铃右边同时进行布局的原因。
用杠铃策略最成功的人是谁?《三体》的作家刘慈欣。他白天从事电工的工作,晚上写科幻小说,最后既没像别的作家一样食不果腹难以维持生计,也写出了特别成功的科幻小说。
所以说,一套从源头上抗风险的策略是杠铃策略——大量的时间与资本放在低风险、高保值的领域,少量的放在高风险、高回报的领域。
既然从源头上并不能远离风险,那么真正能够把风险侵害降到最低的是过程防控。下面通过几个通俗易懂的例子,让大家能够直观地理解过程防控这件事。
▌1. 正确认知风险
正确的风险——非口头威胁。风险每天都可能发生,我们需要区分哪些是真正的威胁和风险。简单总结起来就是“非口头威胁才是风险”,一个风险行为能实施落地并造成真正意义上的危害,需要付出相应的成本。所以,无法实施落地的行为,或者实质发生的可能性极低的行为,可以直接从风险中剔除掉。当然还存在一种比较特殊的情况,对方能够零成本地对你产生威胁、创造风险,而你没有办法避免和反抗,这就意味着你从事的是一个极端高风险的行为。
正确的信息——第一手信息源。站在不同的视角,对于风险信息必然会有不同的反馈。比如当年蒙古西征的时候,每一个西欧国家的历史中,对于蒙古人的描述都是无限残暴,但和真实的历史,尤其是和我国的历史相比存在很大出入,为什么会产生比较大的出入?因为西欧国家只有把敌人描述得足够恐怖,让大家足够害怕,他们的投降才显得不那么可耻。同样的,如果你问项目经理或者其他员工,某个业务的开展有没有风险,他一定会告诉你这件事情太可怕了,存在无限大的风险,这个行业没有人成功过……责任人一定会尽可能地夸大风险来降低自己的责任,他需要给自己留一条后路。
所以,当你作为决策者去判断风险的时候,需要具备多条信息来源途径,通过比对来自不同途径的信息,才能够准确地识别哪些信息是合理有效的,哪些信息是被夸大的。
正确的计量——贝叶斯公式。如果一个事件的样本量足够大,统计得到的结果与真相无异;如果样本量不够大,统计出来的信息就会偏差。因此,在进行风险损失的计算时,一定要充分考虑计量的样本到底是行业普遍行为还是极端个例,不要因为某个或者极个别企业因一件事破产,就把这件事定义为重大风险,这是不科学的。
总的来说,要对风险有大致正确的判断,需要做到这三件事:第一,判断这个风险有没有实际执行的可能;第二,要有多条信息源,最好是第一手信息源;第三,要进行广泛正确的计量,充分相信贝叶斯公式背后的真理。
▌2. 风险共担
(1)风险的发生与演变
以恒大事件为例,我们来看看风险是怎么一步步发生与演变的。
首先,多少人预测到了恒大的危机?其实我认为,绝大多数已经中招的企业在2018年都已经预感到恒大是存在风险的,哪怕自身没有判断能力,通过评级机构给出的评级也能初见端倪,穆迪作为全世界最权威的评级机构,2018年给恒大的评级已经从“AA”降到了“B-”,一次爆降了6个级别,这种情况下认为这个企业没有问题是不可能的。
既然绝大多数企业的领导者、管理者们看到了恒大存在风险,为什么最终还是有这么多企业选择飞蛾扑火呢?很简单,因为恒大给得太多了。正常一个房建项目,管理水平很高的企业才能做到两个点左右的利润,但如果是恒大的项目却能达到最低14个点的利润水平——只要你肯用恒大的商票,恒大会给12个点的贴息。即便企业的高层领导明确了恒大的项目不能接,却拦不住基层管理者去承接恒大项目,因为你们之间的利益方向是不一致的,企业所有者以最后的结算情况来计算是否获利;但对项目经理和子分公司经理来说,他们产生利益的时间节点与企业所有者是不一致的,没有一个项目经理能挡住2000万兑现的诱惑,所以还是会止不住地飞蛾扑火。这就是在预感到危机之后,危机还会发生的真正原因。
我们顺着恒大事件继续往下看,恒大爆雷后,为什么有的企业没有遭受太大影响,比如没有一家银行因为恒大而破产,但有的建筑企业和建材供应商却成为最大的受害者?我们称之为“长期主义者的胜利”。建筑企业和地产商的合作关系是临时的,恒大放弃1家建筑企业,还会有10家乃至更多的建筑企业给他干项目;而恒大和银行的关系更为稳固,如果恒大放弃1家银行,他就再也不可能东山再起。这个过程中,企业会判断谁是对自己最有利、最有价值的合作方,谁能和自己一起创造长期价值。
再往下看,到目前为止,恒大实际上已经支付了一部分企业的款项,但还有一部分企业并没有拿到,这两类企业最核心的区别,就在于能不能做到“以牙还牙,以眼还眼”。第一批控告恒大的企业基本上拿到了一部分回报,剩下的选择默默忍受或者还想和恒大维护关系的企业,最终都是血本无归。所以唯一制止恒大风险的行为只有一种,不付款就停工、不付款就不发货,其他任何行为都不能阻止风险持续加害。
(2)过程风险防控的核心——风险共担
通过恒大事件,我们来看过程风险管理究竟管什么,核心就是一件事——风险共担。
如果你的项目经理和你承担同等风险,或者是相同的利润兑现期,那他绝对会和你采用相同的方式去思考风险防范;如果你的甲方和你是唯一合作关系,或者说你是他真正意义上长期利益的创造者,那在风险事件中他一定会想尽办法先保住你;如果你和你的供应商利益对等,一个事情的失败需要双方承担共同的责任,那他一定会协力避免风险对于你的持续加害……因此,过程风险管理的基本原则实际上就是一件事——让风险尽可能多地共担到所有利益相关者身上,促使大家都做出正确的决定。
我们可以回顾一下为什么最终会形成这样逻辑。上文通过达沃斯论坛的风险报告以及几个小故事告诉大家,很多风险行为是不可预测的、是未知的,而这些未知最终变成风险并产生危害的原因,是因为做出了错误的决定。所以过程风险管控只有一个核心目的,就是让大家做出正确的决策(对我有利的决策)。只有所有涉及的合作方、所有被管理人员都能合理进行风险共担、利益共享,只有“做出决定”和“承担后果”之间相互平衡,才能让大家做出正确的决策。
我们来看具体怎么做才能实现对称性的风险分担:
第一,同期获利。我一开始就提到,如果想从事投资,最不该问的人是基金经理,因为基金经理和你的获利周期不一样。当你买入一支基金的时候,他立刻赚取了佣金,不论基金后续是否亏损,只要有人持续买入,他就能一直获利。但是作为投资者,你的获利期是把它出售的那一刻,获利期的不一致会导致风险无法共担,这是企业在设置激励方案时经常存在的问题。尤其在充满不确定性的今天,我建议凡是考虑做超利分成的企业,应当尽可能地把超利分成转变成股权、期权等激励手段,从防范风险的有效性上,这些手段更能帮助你抵抗风险,把企业团结在一起。
第二,责任到人。精准地找到风险人,并且分清风险时段的界限。因为风险行为多数情况下都有“长尾效应”,而最难以承受的往往都是尾部风险。可以试想一下,如果我是企业的融资经理,每年可以基于工作业绩拿到奖金兑现,并且我的任期只有10年,那我怎么做收益最大?很简单,我只借12年的长期贷款,只发12年以上的债券,让风险滞后发生。也就是说,如果激励机制或者任期和风险时段不一致,就无法控制风险带来的长尾效应。当然,不排除有很多高尚的人,但风险管理的假设一定是按照性恶论来的,按照下限来做风险管理。同时,在追责的时候也要明晰一个道理,如果某个条线的人刚上任就出问题了,一定不是他的责任,是他前任的责任。所以要责任到人,并且对责任人和风险时段有一个明确的认知。
第三,远离爆仓风险。要对顶级风险有清晰的认知,如果一项业务或者一个行为直接给企业带来爆仓或者破产乃至消亡的风险,就不能靠风险防控来管理了,风险防控是在自己能够承受的范围内,减小伤害或者避免发生,因为一场会失败的游戏不论有多大的收益都没有意义。
▌3. 内外合作关系管理
在过程管控中还有两个关键点,一是合作网络,二是分权,分别代表外部合作关系与内部关系管理,我们依次来看:
首先来说合作网络。如果通过一次合作暴露出“一次性”的倾向,那么交易双方势必都会隐藏关键信息,或者转嫁长尾风险。所以,最牢固的风险防控体系,不是由会计事务所、咨询公司或者风控部门建立的,而是一条稳固的供应链,一群忠实的客户群体,或者一个开放且闭环的产业生态。
如果你的客户足够忠诚,不管行业发生什么情况,客户都会优先选择你,不管你出了多大问题,可能还会继续支持你;你的供应链足够稳固,不管材料价格怎么涨价,你都可以通过集采拿到合适的价格……这都是真正意义上帮你抵抗风险的措施。
因此,合作关系构建比内生风险体系构建的价值要大得多,因为内生风险防控只能在已有的基础上做文章,最多产生一定的促进作用;而真正解决风险、降低风险发生频率,靠的还是稳固的合作关系(尤其是外部的)。所以要强化客户管理能力,强化供应链建设,这才是真正意义上的风险防控,其他风险防控体系都是锦上添花。
其次,一定要分权。在绝大多数企业管理者认知中,减少授权能减小风险,授权越多,风险可能就越大,但实际上不是。最可怕的是做决策的人不用承担责任。如果企业不授权任何一件事情,员工做错了事后能有一句万金油的开脱理由:这是领导的意思。所以,在集权情况下,不仅仅把权力集中了,同时也把责任集中了,权力和责任是对等的。在下发权利的时候,考虑给予对等的责任,但同时也不要忘记,集中权利的同时也意味着包揽了这份责任。因此,一定要在内部进行分权,责任人既拥有权利,也承担责任。
▌4. 强化企业韧性
无论风控体系建设得再完备,企业还是会遇到风险,怎么让自己能够承受住更多的风险?如何提升企业的抗击打能力?
第一,建设组织能力。这是最关键的,企业的能力不能集中在个人层面上,个人层面的能力是最脆弱的,项目经理再优秀,如果没有相关的知识留存体系和管理体系,其他家30万工资就可以把他挖走,就能合理合法地把企业的核心能力及抗风险能力瓦解掉。所以,一定要建设组织能力,用组织能力替代个人能力,企业才真正意义上具备抗风险能力。当然还可以通过标准化体系建设等手段来建设组织能力,这里就不一一展开了。
第二,强化现金流。企业一定要重视现金流,不做没有利润的营收,不要没有现金流的利润,甚至有的时候有现金流没利润也可以做,企业只要有现金流就不会死。最典型的例子就是物业公司,绝大多数物业公司都是亏损的,但却还能活几十年,因为他们的现金流是稳定的,短时间内不会死,只会亏损而已,而没有资金或者没有现金流的企业是必然消亡的。
第三,“反脆弱”。“韧性企业”和“脆弱企业”之间,存在一个中间地带叫做“不脆弱的企业”,绝大多数中小型企业只要不脆弱就行了,不要盲目照搬大企业的发展模式,而要向灵活有机的方式去发展。只需要适合你的模式且足够灵活就可以了,没有必要非得要套用大企业的发展模式。
做到以上三点,大多数企业基本上能够承受住常见的风险,但结构性、系统性、行业性的风险可能很多企业都没办法扛过去。
今天,我们一起讨论了这么多风险管理的内容,最终要接受一个结论:风险避无可避,风险无法消亡,我们只能尽可能多地去影响它;也不要妄图逃避风险,要选择一个更积极、更正确的态度去接受它、承担它。
最后,送给大家几句话:不要运用没有信任的关系,不要采纳不承担责任的建议,不要使用没有逻辑的统计,不要相信没有能力实施的承诺,不要没有现金流的利润……总之,没有“共担”,不入“风险”。
我今天的分享就到此,谢谢!
本文作者张子昉,来自上海攀成德企业管理顾问有限公司。文章所列内容仅代表作者观点,不代表攀成德立场。
本文首发于建筑前沿,未经授权不得转载,如需转载请在文章下方留言。
您还想看什么类型的文章,欢迎在文章下方留言,或者私信我们!
