前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业全面风险管理主题范文,仅供参考,欢迎阅读并收藏。
关键词:企业管理;风险管理
全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。同时,全面风险管理也是一种企业日常管理行为,主要通过设定企业战略发展经营目标,在日常生产经营中,实现全面覆盖企业风险、全员参与风险控制,在企业风险偏好范围内有效管理企业各环节风险的持续过程。
二、建立全面风险管理的组织体系
推行全面风险管理,首先要在企业内部建立不同层级的风险管理组织机构,企业可设立专职的全面风险管理工作小组,负责推进工作。一般情况下,成熟的企业全面风险管理组织体系包括四个层次,
根据风险管理组织机构应履行的风险管理责任,应当明确各层级机构的基本职责,如:董事会需要负责审议并确定本企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案;了解和掌握本企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策等。
而作为全面风险管理实施的关键部门——风险管理专责部门,一般由企业的综合管理部门,如:企管部、办公室或监察部门担任,对董事会负责,主要的职责包括审议风险管理策略和重大风险管理解决方案,审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;定期组织企业全面风险管理工作的评估等。
作为日常具体业务流程的运作部门,是企业全面风险管理的具体执行部门。在全面风险管理工作中,应接受风险管理职能部门的组织、协调、指导和监督;执行风险管理基本流程;提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制等。
三、收集企业风险管理初始信息
收集企业全面风险管理初始信息是实施全面风险管理的第一项工作。企业在收集初始信息时,按照一般企业推行风险管理的范围,主要从以下五方面来收集信息:
1.战略风险方面的信息。主要有涉及本行业的国内外宏观经济政策以及经济运行情况,国家的产业政策,行业科技进步、技术创新的有关内容;企业的主要客户、供应商及竞争对手的有关情况;主要竞争对手、标杆企业信息等。
2.财务风险方面的信息。主要财务风险信息有:企业的财务状况,成本费用情况;财务业务中曾发生或易发生错误的业务流程或环节等。
3.市场风险方面的信息。主要有:产品或服务的价格及供需变化,主要客户、主要供应商的信用情况,潜在竞争者、竞争者及其主要产品、替代品情况等。
4.运管风险方面的信息。主要有:人力资源情况,市场营销情况、生产制造情况、流程管控情况、质量管理情况等。
5.法律风险方面的信息。主要有:与企业相关的政治、法律环境;与企业签订的重大协议和有关贸易合同;影响企业的新法律法规和政策,以及本企业发生重大法律纠纷案件的情况等。
企业收集的各类风险管理初始信息,经过筛选、提炼、对比、分类等程序后,如来源可靠、条理清晰、分类恰当、依据充分,可以按照一定的要求进行确定,定义为企业全面风险管理的初始信息。
四、进行风险辨识,编制企业风险清单
企业风险辨识前,要进行充足的准备,事先应清晰了解企业设定的战略目标和经营目标,以明确风险辨识的具体方向,要了解设定目标,确定风险辩识方法,设计风险辩识方法框架,风险辩识技术培训,基础资料收集,同时要注重内部的协调沟通。
风险辨识的具体范围一般应包括外部风险辩识和内部风险辩识。在风险辩识范围内,通过一定风险辩识方法,识别出影响企业实现目标的风险事项(包括外部和内部),及风险事项的诱发因素(包括外部的经济、自然环境、政治、社会与技术因素;内部的机构、人员、流程与技术因素)。最后,风险辨识应考虑正常、异常和紧急三种状态;过去、现在和将来三种时态。
风险辩识有一些常用的基本方法,如:经营目标识别法,操作运营研究法,流程图分析法,行业标准对照法,调查问卷法,座谈交流法,风险清单识别法,财务报表分析识别法,个别访谈法,风险评估研讨会。每一类型的风险辨识应选用哪些方法,应根据具体情况而定。风险辨识后,会形成企业的《风险辨识清单》。
五、风险评估管理
企业风险管理信息经辨识后,要进行评估管理,评估风险发生的可能性,可通过风险发生的可能性评估标准和可能性判断标准的矩阵来进行评估。
可能性评估的选用标准,指针对各类风险特征,制定可供选择的评价具体风险事件发生可能性的标准,一般按照发生的频率、发生的概率和现状持续时间进行可能性评估,可依据各项风险事件选择适合的标准,但每项风险只能选择一项标准。可能性判断标准,指为每一种可供选用的评估标准设定一定的判断区间,每一区间对应一种可能性。一般设定五个判断区间,即五种可能性:罕见(非常低)、不太可能(低)、有一定可能(中等)、很可能(高)、肯定发生(非常高);对应可能性的分值,为每一种可能性设定一个分值,如对五种可能性设定1-5分五个分值。
根据风险分析结果已形成的风险事件清单,对照“风险事件发生可能性评估标准模型”,为风险清单的每一项具体风险事件选定其中一项可能性发生标准。在对企业现状及过去历史情况基础上,根据辩识过程了解到的风险事件的原因及其他情况,确定其所在的某一区间,得出每一个风险的综合评估结果。
六、风险管理策略
风险管理策略,是指企业根据自身经营特点,固有经营条件,所处行业环境,围绕企业发展战略,以企业的风险偏好、风险承受度、风险管理有效性标准为前提,选择适合的风险管理工具,同时确定实施风险管理所需人力和财力资源的配置原则。
一般的风险管理工具有:风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制。风险管理的工具选择,应该以各项风险管理工具的适用范围为依据,结合风险发生的可能性及风险发生的影响程度而确定;要针对某项风险事件选择一项或几项合适的风险管理工具应对后,能使该风险事项的剩余风险降至企业的风险容量之内。应当注意的是,当选择了风险承担,则不再选择其他风险管理工具;当选择了风险规避,则不再选择风险稀释—对冲工具。
七、制定风险解决方案
制定风险解决方案,应考虑的事项主要包括四项:
1.风险管理的优先次序,可结合企业自身风险管理能力,风险的可管理性,风险程度,成本效益性四项因素综合确定;
2.风险容忍和偏好,应结合本企业经验教训,历史事件,历史事件发生时所体现的应对能力,对董事会、总经理及其他高级管理人员、关键岗位员工的风险偏好,及本企业的风险容忍水平进行合理分析和客观评估;
3.纳入重大风险、重大事件、重要决策、重要流程的事项,在风险管理的排序中应作为优先项目考虑;
4.关键风险要素的存在,关键风险要素包括风险事件、风险原因、损失,企业应针对风险清单中的风险事件所描述的特定事项,其产生的直接原因,及所承受的后果,制定风险管理具体措施。
风险解决方案的有效实施,需要一定的配套手段,以便减少随意性和对个人的依赖。在人力方面,企业高层要高度重视,选择及培训适合的风险管理人才;在制度方面,要建立和严格执行既定的工作流程和规范,将风险管理措施融入业务流程中;在机制方面,要建立权责分配机制和双赢激励机制。
八、风险管理的监督与改进
风险管理的监督方式,可采用持续监控和专门评价两种方式,结合风险管理的具体情况也可以两者结合。持续监控是指对风险管理体系的建立与实施的情况进行常规、不间断的监督和检查;而专门评价是在企业战略目标、组织结构、主要经营活动、关键业务流程等发生较大调整或变化情况下,针对风险管理的某一或某些领域进行的监督检查。
关键词:建筑装饰;全面风险;管理
中图分类号:C29 文献标识码:A
前言
在我国众多的风险管理研究中还未有一个完整的对建筑装饰企业进行的全面风险管理研究,在面临更加复杂的国内外环境时不能有效规避风险,造成巨额亏损和声誉损失,所以学习和研究风险管理对于建筑企业来说更加的必须和急迫,风险管理的研究对于提升整体建筑行业管理水平具有深远的意义。
国内建筑装饰企业全面风险管理现状
目前,我国建筑行业的全面风险研究很不完善,大多集中在独立项目或独立的一项任务上,在这些方面的研究大多理论性不强,研究不全面,不能有效指导建筑企业构建全面风险管理体系,不能使建筑企业摆脱目前所面临的困境和发展迷局。在实践运用上,我国大部分央企和上市企业在很大层面是应付国资委和证监会的审查而被迫设立风险管理部,是一种被动行为,没有能从根本上意识到风险对我国企业的深刻影响,我国大多国企有国家资本作保证,管理人员懈怠,风险意识淡薄,相反民企在这方面做得更加到位和认真。随着近几年我国很多大企业的巨额亏损,以及众多上市公司的停牌,也敲响了风险的警钟,很多国家企业也开始注意风险管理的研究,并采取一些积极手段和措施进行风险管理。如何更好的从理论角度对全面风险管理进行识别、分析和应对,对于我国企业是迫在眉睫的事情、尤其是目前建筑行处发展到如此的集成化和规模化,更需要有完善、系统的风险理论做支持,为企业全球化竞争保驾护航。
全面风险管理的定义
全面风险管理是指企业在战略目标的指引下、在企业管理的每个环节中都严格执行风险管理的基本流程、注重培育良好的风险管理文化,建立健全全面风险管理体系,以实现企业战略目标制定企业风险管理目标,并合理保证该目标实现的过程和方法。简言之,即企业在实现未来战略目标的过程中,试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程,以保障和促进组织的整体利益实现。
全面风险管理特征
全面风险管理的特征是,(1)战略性:以企业战略目的为目标设定全面风险管理标注重全局性;(2)统一性:风险管理目标是维护实现企业战略目标为目标,同时保证和发展策略相一致,具有高度统一性;(3)全员性:建立风险管理文化,形成各层次和全员参与的氛围;(4)双面性:全面风险管理注重风险的同损失和机会;(5)系统性:全面风险管理使各风险有机进行组合,充分考虑了风险的系统性与相关性,摒弃风险的简单相加;(6)广泛性:涉及企业所面临的投机风险和纯风险;(7)专业性:推进风险管理职能部门的设立,实施更加专业化的管理;(8)灵活性:管理风险的措施应随风险的变化而相应变化,是个动态过程;(9)专属性:企业风险管理的策略根据企业的不同而不同,必须做到量体裁衣,不同于企业策略;(10)便捷性:企业风险管理的信息综合管理可以方便及时同决策者及利益相关者沟通。
我国建筑装饰企业全面风险管理的必然性
我国建筑装饰企业执行全面风险管理是企业为应对市场环境变化而做出的必要反应。作为建筑行业中的装修板块来说有其独特性,总体来说,动因有以下四类。
4.1、微利时代的需要
装饰行业一直是国人眼中的暴利行业,但随着市场的发展和行业的进步,市场透明化已经让装饰行业摆脱了暴利的美梦,目前市场竞争加剧,甚至是恶性竞争,导致大量工程采取低价中标方式进行招标,从而导致装饰企业以亏损状态进行施工,企业风险不断扩大,所以微利时代的来临倒逼企业必须提高整体应对风险能力,加强全面风险管理,而不是仅仅局限于单一项目的风险管理上。
4.2、企业规模不断扩大的需要
自2010年后,建筑装饰企业产生了快速两级分化现象,大企业规模不断扩大,而小企业基本被排除在重大项目之外,不是倒闭就是市场严重萎缩。随着大型装饰企业的涌现,企业的规模经济逐步显现,规模经济优势也得以发挥,但规模越大企业整体风险越高,从而对风险管理的要求就更高。
4.3、拓展国际市场的需要
中国建筑市场虽然容量很大,但中国是大型建筑公司最多的国家,为了企业发展提高企业管理水平和扩大市场占有率,必须走出去,但是国际建筑市场质量标准要求很高,同时加上政治风险、文化风险等一系列国别风险,企业必须提高风险管理水平,以应对国际市场的考验,避免其他土建类建筑企业曾经面临的风险,以及造成的重大损失。
4.4、多元化发展的需要
通过上下游的整合,大型建筑装饰企业可以进一步拓展自身业务,降低企业经营成本,通过纵向、横向、混合三种一体化方式,可以减少上下游之间的交易环节,降低交易成本,减少内耗,实现企业整体利益最大化,提闻风险应对能力。
5、我国建筑装饰企业中的全面风险管理控制
5.1、宏观因素风险防范
宏观因素对于企业有着重大影响,其中市场风险、法律风险、政治和政策风险为主要风险。市场风险主要是利率风险和汇率风险,其可以通过风险分散技术和风险转移技术进行规避,例如企业可以通过融资工具将面临的风险进行分解,从而自己保留一部分风险,将其他风险通过衍生产品工具传递给他人或者采用“操作对冲”的形式将风险暴露降低到可以承受的水平之下。利率风险可以采用利率互换、利率期货、远期利率协议等进行规避。汇率风险可以通过远期外汇交易、掉期外汇交易进去规避。政治和政策风险是不可回避的,影响较大的风险,尤其在接受国外项目时政治风险尤为突出,主要政治风险规避通过法律、母国庇护等进行规避,政策包括税收政策、工程安全规定等对企业直接影响的一些政策的制定,这些政策整体上加重企业负担,吞噬企业利润,企业可以通过利用政策直接的不完善进行规避,比如税收筹划等。
5.2、财务风险防范
财务风险主要指装饰企业因未来财务状况不确定而产生的实际财务结果与预期财务结果发生偏离,从而蒙受损失的可能性。财务风险和企业其他相关部门紧密相连,例如对项目管理水平的提高,质量的提升可以提高业主对企业的信任度,增加回款效率,实现预期收益,从而避免企业现金流量短缺的风险,又如建立风险控制系统,设立风险基金,以及采取联合经营、多元化经营和改变金融工具组合等方式进行风险分担。逐步建立企业风险预警系统,利用信息化及时有效的提示财务存在风险,并针对性进行解决。
5.3、人力资源风险防范
人力资源风险主要体现在人力资源管理制度风险、招聘风险、员工流失风险、道德风险、渎职风险、专业胜任能力风险、团队合作风险、人力外包风险,这些风险在目前人口红利已经逐渐消失的中国尤为突出,建筑装饰企业作为一个劳动密集型企业,人的匮乏不仅体现在管理人员身上,更体现在劳动力匮乏上,虽然装饰企业劳务都是外包,但理论上讲都是企业员工,这个员工问题是困扰装饰企业的一大难题,整体来说需要通过以下几点防范这些风险,进行文化宣导,培养企业凝聚力,对员工进行培训,提高专业胜任能力、建立绩效考核制度,加强人才储备,同时也应该提高外包劳务人员工资和尊重度,让他们对企业产生一种感情从而规避企业人力资源风险。
6、结束语
实施全面风险管理,除了建立具体的风险管理制度外,还需要将风险意识和理念融入到企业文化之中,从而形成由内而外的强大支撑力,在整个组织中贯彻风险管理精神。风险管理要不断完善与提高,保持与时俱进,风险管理要随着外部环境、内部条件变化、科技发展水平、风险管理理论、技术与方法等方面的改进而不断变革,所以必须时刻保持与时俱进才能不断完善与提高全面风险管理水平。
参考文献:
[1]北京港源建筑装饰工程有限公司编制.港源公司画册.2012.
关键词:ERM 企业价值 信息不对称
一、ERM概述
关于ERM的本质含义,2004年COSO的《企业风险管理――整合框架》指出:企业全面风险管理(Enterprise Risk Management)是一个由企业的董事会、管理者和其他人员实施,应用于企业战略制定并贯穿于企业各种经营活动中,旨在识别潜在影响企业价值的事件并使风险保持在偏好范围内的,为企业目标的完成提供合理保证的活动。总体而言,可以概括为:全球的风险管理体系、全面的风险管理范围、全新的风险管理方法、全程的风险管理过程、全员的风险管理文化。ERM应当贯穿于企业各个层次和部门, 需要严谨考虑组织内所有层面的活动, 无论是企业总体的活动(如战略计划和资源分配),还是业务部门的活动(如财务部、广告部),或者是业务流程(如生产过程),因此ERM是当今企业为完善风险管理而提出的一种要求。
二、ERM与企业价值的关系
企业实施ERM有多方面原因:规范企业内部控制、实施企业社会责任、树立企业社会形象等,但最根本的,企业实施ERM是为了增加企业价值,实现企业价值最大化。
关于ERM与企业价值的关系,Modigliani和Miller(1958)曾提出著名的MM定理,即在完美市场的假设下,企业资本结构不会影响企业价值,以此得出推论:在完美市场假设下,企业风险管理活动同样不会增加企业价值,即风险管理无关论,无论企业采取什么样的对冲策略,投资者都可以通过改变其风险资产配置状况来复制企业的这种策略,从而使企业层面的风险管理与企业价值无关。其中,所谓完美市场是指没有税收、没有缔约成本、不存在信息不对称等利益冲突的市场。据此,Smith 和Stulz(1985)通过研究企业的对冲行为,得出了一个推论:对冲不会为企业创造价值。他们认为:在完美市场假设及给定投资决策的情况下,投资者同样可以通过改变其所持有的风险资产,“复制”与企业相同的策略,从而采取与企业对冲行为后一致的投资组合,或者说投资者本身能够选择与自身风险厌恶程度相匹配的风险组合。
但现实资本市场的各种不完美、充满摩擦与信息不对称、以及大量衍生产品交易和风险对冲行为的存在则对MM定理进行了强力的否定,风险管理活动可以改变企业价值,即风险管理与企业价值是有关的。Lisa K. Meulbroek(2002)曾指出进行风险管理的直接花费和间接带来的管理者注意力分散会导致企业成本增加,从而减少企业价值,但是它更可以从减少财务困境成本、减少税收等多方面增加企业价值,从而抵消该价值减少,最终带来企业价值增加。Froot(1993)利用外部融资成本增加说, 证明企业层面的风险对冲、风险控制活动会给企业带来价值。Ross(1996) , Leland(1998)和Stulz(1996)则从改变公司资本结构、增加公司财务杠杆比率方面,阐述了对冲为公司创造价值的作用。可见,ERM与企业价值是紧密相关的,下面将从三方面分析ERM与企业价值的关系,从而阐明ERM创造价值的途径。
(一)ERM通过减少财务困境成本增加企业价值
由于财务困境出现是会引发大量成本的,从而影响到企业价值,所以企业应通过风险管理对其财务困境成本进行风险控制。除了与清偿和重组相关的法律、会计费用等直接财务困境成本外,财务困境成本还包含了大量间接成本。它是指财务困境对企业经营能力的伤害,比如消费者对产品需求减少、供应商加强信用管理从严赊销、员工另谋工作等。
一方面,当企业陷入财务困境,其带来的现金短缺可能会降低消费者对企业未来现金流和增长率的预期,致使企业在一定情况下拒绝NPV值为正的项目,导致投资不足,从而减少企业价值。Alexander A.Robichek和Stewart Myers曾指出企业财务困境所导致的企业投资机会的损失相当可观。Myers(1977)的分析表明,当投资收益只能或者绝大多数归属于债权人时,企业股东出于自身利益保护,很可能放弃这种盈利性项目,从而导致投资不足。
另一方面,根据财务学的利益相关者理论,企业与供应商、客户、员工和债权人等存在财务利益关系。当企业陷入财务困境时,这些维系企业生存的财务利益关系体系无疑会受到损害,从而产生大量间接财务困境成本。这一切都会增加企业的财务困境成本,削弱企业与其他稳定企业相竞争的能力,逐渐削减企业价值乃至破产。而ERM可以通过整合框架,从全局的角度对这些风险进行一定程度上的控制和管理,从而减少企业困境成本,增加企业价值。
(二)ERM通过减少税收成本增加企业价值
税收成本作为企业经营的耗费支出,也会影响企业价值,主要是通过两方面进行影响:第一,由于累进税率的存在,通过ERM平滑收益的波动性,可以减少税收,从而增加企业价值;第二,由于负债利息的税盾效应,通过ERM举债,优化资本结构,增加企业价值。
对于第一种情况,Main(1983),Smith 和Stulz(1985)曾指出由于企业税负函数的凸性,对冲可以通过降低企业税前价值的波动性,从而有效减少公司的预期税负。在实际中,企业因为累进税制、课税扣除以及亏损结转的存在,其税收函数往往都存在凸性。此时,由于税收总是按照当年收入的税率征收,所以应税收入的上升所带来的税务损失会大于下降带来的税收结余。比如,假定当企业收入为1000万时,税率为20%,当收入超过1000万时,边际税率为30%。那么当一个企业连续两年的收入为1000万时,两年共需缴税400万;但是若第一年盈利为0,第二年收入2000万,那么公司两年共需缴税则为500万,比前一种情况多缴100万税。可见,收入的波动性将会导致税收的增加,所以要通过ERM降低收益的波动性,将其平滑,减少税收,从而增加企业价值。
对于第二种情况,Ross(1996),Leland (1998),Stulz(1996)和Lisa K. Meulbroek(2002)曾指出对冲可以增加公司的举债能力, 改变公司资本结构, 债务融资的税盾效应可以增加公司的价值。从理论上讲,由于企业所得税的存在,且借款费用属于税前抵扣项目,因而在其他条件不变的情况下,借款费用可减少纳税费用,使企业享受到税收上的好处,从而可间接改善企业的现金流状况,增加企业的价值。企业通过ERM可以增强举债能力,优化资本结构,享受税盾效应,增加企业价值。
(三)ERM通过规模效应增加企业价值
完美市场提出了“信息完全”的假设,但现实中的资本市场并不是完美的,它具有信息不对称的特点,诸如股东和管理者的信息不对称、股东和债权人的信息不对称等方面,这里将着重阐述股东与管理者信息不对称所给企业带来的价值增量。Smith and Stulz(1985)认为,由于股东所雇佣的管理者在企业决策中起着非常重要的作用,股东和管理者之间也存在委托的信息不对称和利益冲突,管理者出于对自己利益的考虑可能会做出不利于股东的决策,比如过度追逐风险,这样就有可能造成效率损失,影响企业价值。关于风险管理效果的研究表明, 风险管理有利于改善股东与管理者之间信息不对称状况, 从而提高企业价值。
根据现资组合理论,风险分为系统风险和非系统风险,管理者和股东都可以通过投资组合多样化手段分散非系统风险,从而只剩下系统风险。股东还可以进一步地通过调整资产结构和购买远期、期货等衍生金融工具来控制其系统风险敞口,实现非系统风险和系统风险均由自己控制、管理。这似乎使得ERM归于无效了,但事实上,投资者大多只能利用权益收益的波动来评估企业的系统风险,而历史数据的不可复制性以及像汇率、利率等宏观经济因素“噪音”的存在也许会导致股东风险管理的失败。由于信息不对称,管理者掌握了企业现在已有或者将来会发生的活动信息,他们可以选择通过对冲掉与宏观经济相关的风险,降低“噪音”,提高它们作为管理层质量信号的有效性。Lisa K. Meulbroek(2002)认为,管理者基于信息优势和消除“噪音”的能力进行更有效的风险管理,会使ERM确定性更高,股东便乐意多支付一些风险溢价来获得这种风险管理的有效性和确定性,这样股东与管理者的利益趋于一致,带来风险管理的规模效应,成本减少,从而增加了企业价值。
三、结束语
ERM的实施是21世纪企业管理的重要内容,也是促进企业长久发展的重要保证。通过研究发现ERM的实施可以从减少财务困境成本、减少税收成本和规模效应等方面增加企业价值,促进企业发展,但是它的实施过程仍然面临诸多挑战,ERM实施的完善之路任重道远。
参考文献:
[1]Lisa K. Meulbroek. A Senior Manager’s Guide to Integrated Risk Management, Journal of Applied Corporate Finance, 2002, vol.14.4.
[2]Modigliani, F. and M.H. Miller.. The Cost of Capital, Corporation Finance and the Theory of Investment [J]. American Economic Review, 1958,48 (3): 261-297.
[3]Smith, Clifford W. and Rene M. Stulz, 1985, “The Determinants of Firms' Hedging Policies”, Journal of Financial and Quantitative Analysis, 20(4), 391-405.
[4]Stulz, Rene M., 1996, “Rethinking Risk Management”, Journal of Applied Corporate Finance, 9(3) , pp.8-24.
[5]阳, 赵阳. 衍生产品、风险对冲与公司价值――一个理论综述[J].管理世界, 2007.11
关键词:风险;风险管理;非金融企业;全面风险管理
风险是在一定环境和期限内客观存在的,是损失发生的不确定性。总体而言,非金融企业主要面临的风险可以分为六类:一是环境风险,主要是指企业所在的整体经济运行环境的系统性风险,如国家法律及经济政策风险、社会整体信用风险等;二是战略风险,指对企业战略的分析与制订、评价与选择、实施与控制,以期为企业发展获取最大安全保障的动态管理过程,如企业经营定位、对外并购投资、产品研发等;三是财务风险,主要指公司财务的安全性和流动性的维护,主要是对于以现金流为核心的流动资产的管理风险,以及外部利率风险、汇率风险等经济变量的影响;四是运营风险,指企业在经营过程中对外和对内的管理风险,如内部的安全生产、人力资源、网络安全等,以及对外的合同和供应链风险等;五是市场风险,指市场供给和需求的变化给非金融企业带来的现金流和利润的不确定性;六是危害性风险,主要是指由于意外事故所引发的企业经营风险,如火灾、交通事故以及偷盗等导致企业不能正常运转。现代企业所处环境日新月异,承受不了风险可能带来巨大损失,因此,企业建立全面风险管理体系迫在眉睫。
一、全面风险管理理论
1.风险管理的目标
总体目标就是使用合法合理的手段,通过风险识别、计量和控制,以最小的成本获得最大的安全保障,实现经济单位价值最大化。
2.风险管理一般模型
风险管理的一般模型为风险的识别、风险的衡量、风险的处理以及风险处理效果的检查与评价。
(1)风险的识别与衡量
实行全面风险管理,要求企业广泛、持续地收集与本企业风险和风险管理相关的内外部信息,通过筛选、提炼、对比、分类、组合,形成优势信息。再将这些精炼的信息用于进行风险识别。
风险识别是查找企业各业务单元、各项重要经营活动和业务流程中有无风险,有哪些风险。风险衡量就是对识别出的风险进行定性和定量分析,衡量风险发生的条件、可能性和发生后的影响。
常用的定性方法有问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、工作访谈和调研等。定量分析常使用统计推论法(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。定性分析和定量分析结合的基础上可以形成风险度量模型,便于企业今后识别与衡量风险。但是应该根据环境的变化,对模型的假设前提、参数等进行适当的调整,保证模型的合理性和准确性。
在全面风险管理中,使用最为广泛的风险确认和排序工具是风险图(风险坐标图),即把风险发生的可能性、发生后的影响程度,作为两个维度绘制在直角坐标系上。绘制风险坐标图的目的在于对多项风险进行直观的比较,从而确定各风险管理的优先顺序和策略。
(2)风险的处理
在对风险进行识别和衡量之后,对于不同的风险就可以采用不同的方法。风险管理策略可以分为控制型风险管理技术和财务型风险管理技术,前者主要包括避免、预防与抑制、分散等,后者常见的有自留、转移、对冲。
当风险发生频率较高,风险严重程度较大时(如图1中的C区域),一般采用避免策略。企业可以根据具体情况,选择具体方法:剥离,退出一个市场或剥离一个产品、业务;禁止,不从事高风险经营活动和交易;停止,重设目标、集中策略、重新调动资源,停止特定活动;瞄准,对准商业发展和市场扩展的机会;筛选,避免低回报项目;根除,在风险发生的源头上设计并实施内部控制流程,这是全面风险管理的精髓,也是风险管理的核心。
对于严重程度较低的风险,当发生频率较高时(如图1中的B1区域)要通过设计内部控制流程进行预防和抑制;当发生频率较低时(如图1中的A区域)企业可以采取自留的策略,自行承担。风险自留策略不完全是被动地承认风险,也可以通过对产品、服务的重新定价,自我保险和应急计划来进行主动的风险自留。
对于发生频率不高但风险影响程度大的风险(如图1中的B2区域),企业一般可以采取保险的方式来进行风险管理。但是并非所有的这类风险都可以通过保险公司得到保险,对于剩余的这类风险,企业可以采取一些财务型的风险管理技术,如转移和对冲,甚至对其中的机会型风险(可能带来赢利的风险)可以采取利用的策略。
(3)风险处理效果的检查与评价
风险是动态的,所以应继续跟进管理后的发展态势,根据具体情况采取措施,使风险得到控制。同时还要对风险管理进行效果评价,即成本―收益分析。企业应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断完善。
二、风险管理实证分析――以P公司为例
P公司是无锡市一家外贸工厂,年出口额数千万美元。公司业务流程大致如下图:
首先,外贸业务员与客户联系,确认交易并签电子合同;然后外贸业务员向工厂下单;工厂完工后,货物连同单证员制作的单据一并交给货代,货代在指定时间内把货物运到指定港口;外贸业务员在货货之后通知客户,客户按指定方式和金额付款,外贸业务员在确认收到款后将提单等单据寄给客户,客户凭单据取货。这是一套简易的外贸业务流程。在现实中,P公司和客户并不常用信用证方式,一般用TT方式。
根据全面风险管理理论和美国COSO委员会的企业全面风险管理框架,针对P公司来设计一套全面风险管理体系。
1.目标设定
建立全面风险管理体系时,目标是非常重要的,即“要用正确的方法做正确的事”中的正确的事。企业应该先设立一个大目标,然后将目标细分到各个职能部门,如财务部门,生产部门等。在设立总体目标时,最容易出现的误区就是把企业中面临的某一个问题突出并扩大化,如外贸企业将外汇风险视为最主要风险并只对其进行“全面风险管理”。若外汇风险是企业最大风险,那么在设置全面风险管理时,总体目标就应该是围绕外汇风险进行全面风险管理,细分目标时则把与外汇风险管理相关的其他风险的管理和风险源的控制一一设定目标。
2.内部环境
风险“牵一发动全身”,风险管理就需要全员参与,是为全面风险管理要素之一也。企业的内部环境包括风险管理哲学、风险文化、董事会操守和价值观、能力、管理哲学和经营风格、风险偏好、授权和责任、人力资源政策。内部环境是全面风险管理的基础,受企业目标影响又反过来影响企业目标。
对于P公司来说,企业高层首先要有良好的操守和正确的价值观,拥有先进的管理哲学、立体且独到的经营风格。公司员工应该明确企业的目标,在高层和中层管理者的带领下,在公司里建立风险文化。风险文化的建立需要P公司高层的支持,中层管理者的坚决和员工的贯彻,需要各部门在水平沟通和垂直沟通上下功夫,需要考虑了风险的员工权责和薪金的一系列人力资源政策,需要具备专业知识和技能的风险管理人才,这样,P公司就形成了一个适合自身的全面风险管理组织构架。
风险管理实践中在构建内部风险管理环境时最大的困难是执行力问题和水平沟通问题。当战略明确后,如何布置合理的战术,如何贯彻执行,这就是最大的问题之一。执行力是企业“核心战术”与企业“战略性能力”的外化,它是企业“目标系统、动力系统、信息系统、结构系统、路径”的合力。执行力不是一两个部门或几个中高层能够做好的,而应该建立全面风险管理文化,制定合理的良好的制度,坚持贯彻执行,并进行严格的监督、控制及反馈和修正等。
3.风险识别、评估和处理对策
P公司应该收集国内外宏观经济政策、本行业状况、国家产业政策,主要竞争对手相关资料,市场供求信息,客户信用情况,相关法律法规等大量信息,然后进行处理,确认公司面临的战略、财务、市场、运营、法律等风险,再利用风险坐标图进行风险评估,然后根据理论进行对策处理。
例如,P公司面临着客户信用风险和外汇风险。对于信用风险,可以要求客户预付30%-40%的订金,因为P公司生产成本基本在合同金额的30%左右。而对于外汇风险(主要是外币应收款项),可以采取远期外汇交易、金融衍生品等进行风险管理。
这个环节对企业提出了较高的要求,但并非不可做到。企业最常犯的毛病就是在评估和处理风险时,放大或缩小风险的影响,出现过于偏重某一风险或不重视另一种风险。企业应该平静地对待各种风险,同时要一视同仁,对于每一种风险都要准备几种处理对策,在风险事件发生后如何将损失降到最低也应有几套方案。企业应该深挖各种风险管理工具,如外汇风险可以使用计价货币法、提前或推迟结算法、远期交易法、期货法、期权法等,尤其以各种方法的组合策略更有挖掘潜力。
4.风险处理效果评估
在对各种风险采取各种措施之后,应该及时总结和评估效果,不断修订和完善P公司全面风险管理体系。例如对于外汇风险,P公司应该对头寸下的收入情况和采取保值措施之后的收入情况进行对比,然后再和可以采取的方式下的理论收入进行对比,便于今后面对类似情况选择更为合理的工具。
企业往往会忽视这一过程,但是,在控制住一个风险的同时,往往会产生另一新的风险;风险管理的技术再好总会有局限性。所以,对风险管理进行跟进和效果评估对于企业微调风险管理十分重要。这一改进过程也体现了企业对于风险管理的认识程度和执行能力。
5.监控
P公司高层应对主要风险的监控保持独立性和连续性。有条件时应建立专门的风险管理部门,设立首席风险官(CRO),并保持其权责的独立与透明。
有条件的企业可以设立独立的监控部门甚至是监控委员会。
三.结论与建议
1.全面风险管理体系是一个策略流程,代表企业态度和行为以及水平的分水岭。在建立全面风险管理体系时,首先建立风险管理文化,让整个企业参与到风险管理中来,提高员工风险意识和专业素养十分重要。
2.由于建立全面风险管理体系对企业的要求较高,但是其重要性又不言而喻,所以即使企业不完全具备一步到位的条件也应分步实施。先管理突出的重要风险,再由点及线管理一个到多个业务流程的风险,最后由线到面,将所有业务流程含概进来,建立全面风险管理体系。这个体系可以建立三道防线:各有关职能部门和业务单位为第一道防线;风险管理职能部门(有条件时应专设)和董事会下设的风险管理委员会(或者是公司高层)为第二道防线;内部审计部门和董事会下设的审计委员会(或者是专业审计公司)为第三道防线。但是,风险管理的核心要求最好将风险控制在第一道防线上。
3.企业在进行风险管理时,一定要遵守相关的法律法规。公司内部也要建立起规章制度,防止道德风险因素带来的风险。
4.企业在制定风险管理的目标时,除了总目标和损前目标外,一定要有相应的损后目标和应急措施。当面临突发危机和风险造成损失后进行挽救,使风险造成的损害尽可能小。
5.监督与改进工作至关重要,企业除了自己进行外,还应该请外部专业机构进行,提高风险管理的能力,增强企业竞争力。
作者单位:江南大学商学院国际经济与贸易系副主任,硕士生导师;
江南大学商学院国际经济与贸易系硕士研究生
江苏省无锡市江南大学蠡湖校区
参考文献:
[关键词]煤炭企业;风险管理体系;设计
doi:10.3969/j.issn.1673 - 0194.2016.20.062
[中图分类号]F426.1 [文献标识码]A [文章编号]1673-0194(2016)20-00-02
1 绪 论
1.1 研究背景
神华集团为防范和化解经济安全风险,推进形成“大安全”格局,落实“五型企业”建设要求,保障“科学发展、再造神华,五年实现经济总量再翻番,创建具有国际竞争力的世界一流煤炭综合能源企业”发展战略,要求各子分公司建立全面风险管理体系。神华宁夏煤业集团有限责任公司(以下简称“神宁集团”) 作为神华集团控股子公司,于2011年3月至2013年4月,以《风险管理――原则与指南》为理论基础,构建了具有神宁集团特色煤炭企业全面风险管理体系。
1.2 研究意义
理论意义表现为:虽然理论界在全面风险管理理论研究领域均取得了不少成果,而对于非上市公司的重资产的能源企业全面风险管理指导性理论却很少,本文运用《风险管理――原则与指南》的理论,为煤炭企业构建全面风险管理体系提供了理论支撑。
现实意义表现为:本文以目标为导向,组织风险评估与管理优化;初步建立了“六个统一”的经济本安管理文化,形成了较为完善的体系文件,建立了具有神宁集团特色的全面风险管理体系。为其他煤炭企业和能源企业如何做好风险体系构建提供了参考借鉴。
2 风险管理理论概述
2.1 全面风险管理的演进
20世纪30年代的世界经济危机给发达经济体带来了灾难性的破坏,使人们认识到了风险管理的重要性。保险部门作为一个独立的机构出现在历史舞台,这一时期的风险管理主要是关注纯粹的风险,即可保的风险。20世纪90年生的众多公司的财务舞弊等金融风险事件,使管理者认识到风险管理不能只关注纯粹风险,而是需要提升到企业合规经营、健康发展的战略高度。
1992年美国反对虚假财务报告委员会(Treadway委员会)下属的COSO(The Committee of Sponsoring Organizations)委员会,了《内部控制――整合框架》。2002年7月,美国为了提高民众对政府经济监管的信任和金融市场的信心,国会通过了《萨班斯―奥克斯利法案》(SOX法案),该法案第404条款明确表示COSO《内部控制――整合框架》可以作为评估企业内部控制的标准。正是由于SOX法案对内部控制的影响,使《内部控制――整合框架》在全世界得到了快速而广泛的推进。2004年9月COSO正式了《企业风险管理――整合框架》(COSO-ERM),企业风险管理整合框架在内控框架上引入了风险组合观念,增设了风险偏好和风险可接受程度的两个概念和目标设定、事项识别、风险应对3个要素。
2.2 全面风险管理框架
根据国际标准化组织的《风险管理―原则与指南》,风险管理框架由五部分组成,第一部分任务与承诺是整个框架的统领,框架中的其他四个构成部门组成了一个PDCA循环。通过风险框架而将风险管理嵌入到组织的所有层次,同时风险管理框架确保从风险管理过程中所获得的风险信息被充分的报告,为管理者进行决策提供依据。
2.2.1 任务与承诺是在创造并保护价值
在促进组织持续改进的11项原则的理论支撑下,阐明风险管理方针、决定风险管理绩效指标、分配风险管理职责、保证必要的资源配置等方面的内容。
2.2.2 监测与评审
就是按确定的指标测量风险管理绩效,定期监测风险管理计划的进展与偏离程度,评审框架、方针和计划是否适宜,对报告风险、风险管理计划的进展以及方针的遵循性等进行监测和评审。
2.2.3 持续改进
以监测和评审的结果为基础,决定风险管理框架、方针、计划如何改进,这些决定应导致组织的风险管理和文化的改进。
3 神宁集团风险管理体系建设
神宁集团是神华集团的控股子公司,也是宁夏回族自治区优势骨干企业。2002年12月,宁夏回族自治区党委、政府将亘元、太西、灵州三大煤业集团和原宁煤集团公司深度重组成立了宁夏煤业集团有限责任公司。2006年1月,自治区政府又与神华集团合资合作,通过增资扩股方式组建了神华宁夏煤业集团有限责任公司。注册资本101亿元人民币,其中神华集团占51%,宁夏政府占49%。经营范围涉及煤炭开采及洗选、煤炭深加工、煤化工、煤制油与房地产开发等。目前煤炭生产能力达到8 000万吨/年,生产在建规模超过了1亿吨。50万吨/年煤基烯烃、60万吨/年煤基甲醇、6万吨/年聚甲醛等5个大型煤化工项目全部建成,400万吨/年煤炭间接液化项目正在建设中。
3.1 体系建设的过程是学习、实践、再学习的过程
3.1.1 学习:经济本安体系建设调研
2011年上半年,先后调研了中石油总部及大庆油田公司、上海浦东发展集团、神华集团总部、国华电力公司、神东煤炭集团,学习交流其内控和风险管理情况;访问学习了神华集团各试点单位的经济本安体系建设的具体要求和做法。调研形成共识,由咨询公司独立为公司逐级建立体系的模式不适合神宁,决定采用聘请咨询公司专家与公司内部管理人员组成项目团队的方式建设经济本安管理体系。
3.1.2 实践:梳理优化了试点业务领域的两项重要业务流程
针对运销领域风险评估阶段确定的外购煤和价格管理两项重大风险,梳理优化了11项一级流程和11项二级流程,查找出35个风险点,设定了64个控制点及控制措施,编制形成《外购煤管理和价格管理风险控制文档》,使风险管理融入到经营管理业务之中。
3.1.3 再学习:举办了两期“公司风险评估专业技术人员培训班”
由审计部组织,教育培训中心具体实施,分别于2012年3月、9月聘请了风险评估专家分两期对机关17个部门、基层44家单位,共144人进行了风险体系框架、风险评估技术和流程梳理的专业培训。60人取得人力资源与社会保障部《风险评估专业人员(中级)职业培训证书》;84人参加自主命题考试,取得培训合格证,为建设经济本安管理体系和全面风险评估奠定了基础。
3.2 体系建设过程是实现统一风险语言
统一评估方法、统一体系框架、统一管理过程、统一操作流程和统一考评标准的过程,培育风险管理文化。
3.2.1 统一评估方法
2009年12月1日,ISO/IEC了ISO/IEC 31010:2009《风险管理――风险评估技术》标准,标准推荐了31种可用于风险评估的技术方法,通过分析比对,结合神宁集团实际确定了两种常用的方法。德尔菲法用于风险识别,风险矩阵用于风险评估全过程。对统一公司的风险评估起到了积极作用。两种方法编入了《经济本质安全管理手册》,譬如公司规定用定量分析矩阵,从风险发生的可能性及影响两个维度,把风险划分为重大风险、重要风险、一般风险。对重大风险必须进行优先应对和管控。
3.2.2 统一体系框架
体系建设中构建了经济本安管理的一个框架体系,明确了目标、原则,规范组织架构和职责分工。经济本安管理体系以规范经济活动,杜绝重大经济案件,提高管理效率与效果,以保障经营、战略目标的实现为目标,将战略导向、重要性、适用性、全员参与、融入过程、制衡性、成本效益与持续改进“八项原则”融入到由组织责任、风险管理过程、绩效考核、持续改进组成的PDCA闭环管理框架中。
3.2.3 统一风险管理过程
在ISO 31000标准中,“风险管理过程”是标准中“风险管理框架”组成部分,由“沟通与咨询”“建立环境”“风险评估”“风险应对”与“监测与评审”5个子过程构成。在风险管理过程的学习与探索中,为促进经济本质安全管理框架中的风险管理过程在公司内部有效运转,明确实施风险管理的理论架构,统一风险管理行为,策划了符合神宁集团实际的五个过程:“建立环境”“风险评估”“风险应对”“沟通与报告”及“评价与改进”,实现了ISO 31000风险管理过程。
3.2.4 统一操作流程
关键词:财务会计;全面风险管理;作用;
中图分类号:F234文献标识码: A
随着社会经济活动不断革新,生产力不断提高,财务会计的管理手段也有了较大的发展,不但综合反映和监督经济活动,而且在参与企业经营管理决策、提高资源配置效率等方面也发挥积极作用。财务会计为企业决策提供有用信息,并积极参与经营管理决策,提高企业经济效益,服务于市场经济的健康有序发展。财务会计部门应制定周全的财务政策以及详尽的财务程序。财务政策帮助管理人员建立指导方向,确定并控制参数,为决策者提供一个明确的框架和指导方针。财务程序为财务人员及相关业务、职能部门提供具体、标准的工作流程,为顺利实现经营目标提供有力保障,让财务工作有章可循。近几年来,国内外金融风险事件不断显现和发生,如何充分发挥财务监督作用,避免和消除可能的风险,已成为现代企业财务会计工作的新命题。
一、我国企业全面风险管理现状
1、风险的意识淡薄
目前,我国有相当多的企业缺乏风险意识,没有从战略高度认识风险管理的重要性,风险管理工作被动。企业的风险管理存在片面性、暂时性、间断性,往往是企业出现了风险才意识到风险管理的重要性,才进行风险应对。此外,企业缺乏对风险进行定期分析和评估,降低了企业适应环境变化、管理和规避风险的能力。而企业在短期经济利益驱动下,忽视某些行为决策对企业未来发展产生的潜在风险,对企业面临的风险不能进行全面系统的分析,从而导致企业蒙受巨大损失。
2、全面风险管理组织职能体系不够完善
从我国企业对全面风险管理方面的现状来看,组织职能体系不够完善也是主要问题之一,在管理过程中,职能往往只存在一定的层面的上,即便是有相关的管理部门,其承担风险的主体也不够明确,在风险发生的时候,各个部门之间经常会出现推诿的情况,而不能够对风险发生进行积极的应对工作。
3、全面风险管理制度和流程不健全
虽然经过近几年企业对全面风险管理的逐步完善,企业的风险管理已经形成了相对完整的框架和制度,但是对于大多数的企业来说,还存在着全面风险管理制度和流程不健全的情况,没有结合企业的自身特点制定具有针对性的制度和流程,使企业的全面管理制度不存在具体的操作性。
4、全面风险管理手段单一落后
在我国,大多数企业在全面风险管理工作方面,更多地是处于导入阶段,而同时,也存在着一部分企业管理人员对企业全面风险管理的框架和概念还不够熟悉,从而导致了无论风险辨识、风险评估,还是风险应对手段,都出现了相对单一的情况,局限于定性化,随意性较强,缺乏科学有效的定量化工作。
二、财务会计在全面风险管理中的作用
1、提高财会人员的风险意识,树立现代风险管理理念
风险意识是风险管理必不可少的一项工作,对风险的正确认识可以帮助企业得到良好的发展。因此,企业应该提高财会人员的风险意识,树立现代的风险管理理念,把企业所而临的风险和其所存在的机遇进行全而的考虑,通过对风险的充分认识,达到对风险的防范和化解,并且在此过程为企业的发展创造价值和利润,树立正确的风险管理理念主要是让企业的全体财会人员都能参与到风险的管理来,将风险的管理贯穿到生产经营的各个环节,使每个层次的管理者和工作人员都能充分认识到自身工作与风险管理之间存在的必然联系,从而更好对风险进行管理。
2、完善风险考核评价机制
企业全面风险管理必须建立风险管理体系,健全全面风险管理政策,明确企业的风险偏好、风险管理策略、方法以及企业内部各个不同层级的风险管理职责和构架。财务会计部门作为多数企业的风险管理操控部门,必须随之完善风险考核评价机制,风险考核评价机制是风险管理体系正常运行,风险管理政策深入落实到位的有力保障。风险考核评价机制依托于企业绩效考核体系,将风险管理执行的情况及最终结果纳入各级管理人员的考核中,将有利于增强管理人员风险意识和责任感。对风险考核的评价机制溶入职员的风险宣导工作中,完善职员岗前、岗中风险管理制度的培训教育体系,对推动企业风险管理文化的建设,组织落实全面风险管理的决策,推动风险管理政策的执行,提高企业风险管理水平,促使企业风险管理工作由“管理型”向“价值型”的转变具有积极的意义。
3、做好系统识别、评估风险
风险识别是指对尚未发生的、潜在的风险进行全面的、系统的、连续的识别和推断,分析查找引起风险的原因,预测风险可能引起的后果。风险识别是全面风险管理的第一步,如何正确识别企业经营面临的风险,是全面风险管理的基础环节,同时也是最重要的环节。财务会计作为企业各种经营活动的归集者,对风险的识别具有不可小觑的作用。不同的个体对风险识别的能力、效率都有差异,最终导致风险管理的效果也有所不同,如不能有效的识别潜在的风险,企业也将面临遭受损失的可能。因此,财务会计部门应运用系统的风险识别方法对企业经营过程中各环节可能面临的风险进行定量识别,避免风险识别过程中采用单一定性的方法,过多受到人为知识、技能、经验等主观因素的干扰。风险评估是指,在风险评估的基础上,对风险进行量化、分析、判断的过程,估计和衡量风险发生的可能性和损失的严重程度,是风险应对的依据。风险评估是全面风险管理的一个重要步骤,正确评估和衡量风险,对减少风险发生的不确定性以及减少风险损失具有重要的意义。财务会计部门应从可能性和影响程度两个维度对风险进行充分、准确的评估,确定相应的风险等级。可能性是指风险在指定时间内发生的概率,影响程度是指当风险发生后,对企业财务、声誉、监管和运营等造成的影响程度。在考虑风险损失的同时也应关注风险带来的机会效益,在评估风险发生的可能和影响时,也要评估失去机会的可能性和影响。对风险进行全面的评估和评价,以便决定是否保留风险,或者利用技术来减轻或转移风险。
4、提出风险应对策略
在识别、评估风险后,管理当局要确定如何应对风险,财务会计部门应对风险的可能性和后果进行评估,对可能存在的机会成本进行估算,从组合角度确定总体剩余风险是否在风险容忍度之内,提出多项风险应对策略供管理当局选择。
根据风险与收益的平衡,针对不同类型的风险,可以选择风险自留、规避、降低、转移等风险应对工具。风险自留,又称接受风险,是指对风险进行评估后,确定风险在企业风险偏好之内时,不对风险发生的可能性及影响程度采取任何措施,而自我承担风险,同时根据市场因素,对产品或服务进行重新定价。风险规避是指当评估风险超出企业风险偏好时,企业为消除风险影响而采取的行动。例如缩
小项目工作范围以避免某些高风险的任务活动;通过调整经营战略停止某些经营活动,出售、清算某些业务范围。风险降低是利用风险组合或其他措施防范风险,使风险降至可接受的水平。例如建立风险预警、对实物资产分散放置,减轻毁损风险、进行系统化测试、选择更可靠的供应商等。风险转移是利用技术和经济手段将风险的全部或部分影响和责任转移给第三方独立机构,以防止遭受灾难性损失的风险。风险转移通常需要采用合同形式,并为第三方支付费用作为承担风险的报酬,例如保险、再保险、投资于新市场或新产品、业绩奖罚条款、维护保修承诺等。
参考文献:
[1]李胡勇.郭建勇.基于内部控制的企业全面风险管理方法分析[J].城市建设理论研究.2013,(02):15―16.
论文关键词:风险,全面风险管理,风险管理框架
一、引言
中国自2001年加入WTO以来,中国对外开放不断深入,从十六大召开后,中国企业进入了对外开放新阶段,纷纷加大了“走出去”的战略步伐。随着企业跨国经营和全球化进程的加快,企业面临的不确定因素加大,如一度被视为明星企业的中航油,2004年折戟狮城,损失5.5亿美元,折射出企业风险控制能力的薄弱,在企业界引起极大的震动。面对惨重的教训,企业的经营理念也悄然发生了转变,避免灭顶风险比获取超常收益更重要,这是企业界的共识。尤其在经历了2007年以来的史无前例的经济危机后现代企业管理论文,风险管理被受到前所未有的重视,然而企业在开展风险管理的过程中,发现不同版本的风险管理框架差异较大,如何选择适合企业自身的风险管理框架是摆在企业面前的实际问题,本文拟对目前国内外比较具有影响力的风险管理框架进行分析和比较,以期为企业实施全面风险管理提供帮助。
二、全面风险管理框架比较
目前国内外具有影响力的风险管理框架有美国COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月的《企业风险管理—整合框架》(以下简称COSO风险管理框架)。国际标准委员会于2009年颁布的《ISO/FDIS31000风险管理—原则和指引》(以下简称ISO31000),该风险管理标准是在2004年修订的澳大利亚/新西兰风险管理标准(AS/ NZS 4360)的基础上制定的。中国有国资委于2006年6月颁布了《中央企业全面风险管理指引》(国资发改革[2006]108号)(以下简称《指引》)。本文拟从风险和风险管理概念、风险管理流程、风险管理架构等内容对三个框架进行比较分析。
1.风险概念比较分析
COSO风险框架将风险定义为“风险是指一个事项将会发生并给目标实现带来负面影响的可能性”,而事项是源于内部或外部的影响目标实现的事故或事件,事项可能有正面或负面的影响,或两者兼而有之。从COSO对风险的定义可以看出,负面影响的事件为风险,正面的影响的事件为机会,强调风险的负面作用,并将目标明确分为战略目标、经营目标、报告目标和合规目标。这种分类方法有助于企业关注风险管理的不同侧面,满足企业增长和报酬以及监管者的要求。
《指引》认为企业风险是“指未来的不确定性对企业实现其经营目标的影响”,这里的影响包括正面的和负面的或者是两者兼有论文下载。并将风险明确指出对经营目标的影响。因此从风险的定义上可以看出,《指引》对企业风险的定义明确指出对经营目标的影响,经营目标是与经营战略相对应的目标,这可从《指引》后面提到的风险管理策略的制定要和经营战略相适应,经营战略是属于业务层面的战略,可以看出《指引》中企业风险更多指业务层面的风险而言的。
ISO31000将风险定义为“不确定性对目标的影响”。并指出影响是指实际与预期的偏差,可是正面的或负面的或两者兼有。并表明目标可以有不同方面,如财务、健康和安全以及环境目标,可以体现在不同的层次,如战略、运营、项目、产品和流程层面。从ISO31000对风险的定义描述可以看出ISO31000对风险的定义更加全面,兼顾了传统的财务、健康、安全以及环境风险,表明了风险的两面性,即正的作用和负的作用。
从以上比较来看,各风险管理框架对风险的定义基本上达成共识现代企业管理论文,即风险是不确定性对目标的影响,区别是目标的范围不一样和风险的两面性上。《指引》特指经营目标,COSO将目标分为战略目标、经营目标、报告目标和合规目标,ISO31000目标范围更加广范,可以指不同方面,也可以指不同层面。
2.风险管理概念比较分析
COSO 认为“企业风险管理是一个过程,它由一个企业的董事会、管理层和其他人员实施,应用于企业战略制定并一直贯穿到企业的各项活动中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证”。根据企业风险管理的定义可以发现COSO所指的企业风险管理覆盖的企业活动的范围包括战略制定活动。
《指引》认为全面风险管理,“指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。《指引》中的风险管理的总体目标,包括战略目标、经营目标、报告目标、合规目标和危机管理目标。与企业风险的定义相适应,风险管理的定义也是围绕经营目标的实现,而展开了一系列活动。
ISO31000认为风险管理指“对指导和控制组织有关风险的活动进行协调”,即所有跟风险有关的指导和控制活动都称为风险管理,涉及不同层面不同范围。
从以上比较分析可以看出,《指引》的风险管理覆盖的范围相对较窄,而COSO,强调风险管理不仅包括经营层面的活动而且包括战略制定活动。ISO31000的风险管理涉及任何与风险有关的指导和控制活动,涉及的程度和范围更加广范。
3.风险管理流程比较分析
COSO风险管理流程包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。COSO框架的风险管理流程始企业内部环境,并认为内部环境影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础。COSO将目标设定作为风险管理流程的一个关键要素,并明确指出目标设定是事项识别、风险评估和风险应对的前提条件。在识别和评估影响业绩的风险必要的措施来管理风险之前首先要设定目标。COSO区分四种类型的目标:战略目标、经营目标、报告目标和合规目标。
《指引》风险管理基本流程包括现代企业管理论文,收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。信息与沟通贯穿于整个流程中。《指引》并未在风险管理流程中提到目标的设定,但是从风险的定义、风险评估可看出其中暗含着目标设定的内容。
ISO31000风险管理基本流程包括沟通与协商、建立环境、风险评估、风险处理、监控与回顾,如图1所示论文下载。ISO31000将沟通与协商是整个风险管理流程的首要因素,旨在采用一种工作团队的工作方法,为风险管理建立一个适合的环境。通过与内外部利益相关者进行充分的沟通与协商有助于有效识别风险、不同领域的专业知识被用于风险分析、风险评估标准的建立、风险管理计划的执行和风险管理流程的变更等,确保整个风险管理过程中能充分理解和考虑利益相关者的利益。另外,ISO31000将环境建立作为风险管理流程的一个重要步骤,环境建立包括内外部环境的建立、风险管理流程环境的建立以及风险评估标准的建立。该步骤使风险管理活动与内外部环境相匹配,并在组织内建立了风险管理的组织基础和范围,如界定风险管理活动的目标和风险管理流程的责任、风险管理的范围、广度和深度以及风险评估的有效性和风险评估的标准等。
图1. ISO31000风险管理流程
从以上对各标准的风险管理流程来看,内容上基本相同,区别之处所反映的理念存在差异,COSO强调内部环境和目标设定,ISO31000强调沟通和协商以及环境的建立,《指引》强调信息收集,在整个风险管理流程中贯穿信息与沟通的内容。
4.风险管理架构比较分析
COSO风险管理架构保留了其内部控制框架的三个维度结构,即目标维、风险管理要素维和管理层级维,并在此基础上进行了拓展,目标由内部控制框架的3类扩展为4类,即除了经营目标、报告目标和合规目标外,增加了战略目标。风险管理要素由内部控制框架的5个扩展为8个,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。管理层级包括整个企业、职能部门、业务单位和分支机构4层。目标、要素和管理层级之间的关系为:各管理层级是风险管理主体,目标是企业努力实现的对象,风险管理要素是目标实现的步骤,企业的各个管理层级都要按照风险管理的8个要素为4个目标服务。
《指引》的全面风险管理框架包括总体目标、风险管理文化、风险管理流程和全面风险管理体系四个组成部分,其中风险管理体系由风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统构成。风险管理总体目标除包括COSO的四大目标外,还增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失”的应急管理目标。《指引》清晰提出风险管理的三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。但《指引》四个部分内在的逻辑关系表述的不是十分清晰。比如:建立全面风险管理体系是先建基本流程还是先建立体系没有界定清楚。风险管理基本流程中和风险管理体系中都有风险管理策略的内容现代企业管理论文,二者的内涵是否一致,并没有阐述清楚,风险理财措施属于风险管理工具或方法之一,它与组织职能体系、内部控制系统的内容不在一个管理层面上。对于全面风险管理体系中最重要的目标政策体系的没有突出。风险管理的目标政策对风险管理基本流程、风险管理体系和风险管理文化三个部分具有指导和引领的作用,但是在指引中没有独立章节表述,相关内容也不够详尽。
ISO31000风险管理架构定义为“为整个组织设计、实施、监控和检查与持续改进风险管理提供基础和组织安排的系列要素”。其中基础要素包括“管理风险的政策、目标、授权和承诺”。组织安排包括“计划、领导、职责、资源、流程和活动”。风险管理框架被植入到组织的整个战略和运营政策的制定和实践活动中。ISO31000风险管理框架如图2所示。
图2. ISO31000风险管理架构
ISO31000风险管理框架建立了风险管理原则、风险管理架构和风险管理流程之间的关系。如图3所示。风险管理原则为建立风险管理架构提供指导方针论文下载。风险管理架构中的管理政策,程序和活动,系统地应用到风险管理流程中,同时风险管理流程应在风险管理架构中通过风险管理计划,成为组织各个层面和活动的组成部分,并得到实施。从风险管理原则可以看出,ISO31000风险原则除了包括COSO和《指引》的风险管理理念外,还提出风险管理成为决策的组成部分,充分体现风险管理的重要性。价值的充分体现。
图3. 风险管理原则、风险管理架构和风险管理流程之间的关系图
三、比较分析结论与实施建议
根据全面风险管理的目标和覆盖范围,全面风险管理可以划分三个阶段,初级阶段、中级阶段和高级阶段。初级阶段主要关注经营目标,在企业内开始导入全面风险管理,风险管理的理念、方法和工具处于试用阶段,企业内部需要逐步形成统一的风险语言和广为接受的风险管理方法、措施、政策、职责分配以及风险管理流程和关键经营活动融合的过程,风险管理处于探索和价值逐步接受过程。风险管理中级阶段,风险管理逐步被接受,且提出了更高的要求,将风险管理提升到战略层面,和战略进行整合,保障战略目标的实现,发挥风险管理的价值创造和价值保持作用。风险管理高级阶段,风险管理应用于决策过程,为决策提供信息基础,并有机的与企业的内外环境、组织、文化和战略相融合现代企业管理论文,并随着内外部环境的变化而变更,成为企业的竞争力的重要来源。
从以上对各全面风险管理框架的概念、流程和架构的比较分析可以看出, ISO31000风险管理标准风险管理的范围和理念以及整个框架相对比较完善,适用于风险管理高级阶段。COSO风险框架将风险管理提升到战略层面,适用于风险管理中级阶段,但COSO风险框架仅提出了风险管理的要素和风险管理的目标,并未提出风险管理体系。《指引》适用于风险管理初级阶段。ISO31000风险管理标准解决了以上所有的问题,阐述清了风险管理原则、风险管理构架和风险管理流程之间的关系,为全面风险管理的实施扫清的障碍。
因此,中国中央企业在全面建设风险管理框架时,以《指引》为基础,充分参考与借鉴COSO的目标设定内容以及ISO31000的风险管理标准的内容,使风险管理流程和风险管理体系有机融为一体。同时应该指出《指引》的内容是适应中国企业风险管理实践而制定的风险管理框架,随着风险管理实践的开展,企业应提升风险管理的范围,即将战略制定活动和保障战略目标的实现纳入全面风险管理的范围。最后,在实践中充分贯彻ISO31000风险管理的思想和内容,使风险管理向更高的阶段迈进,从而不断提高企业自身的风险管理能力和增强企业的核心竞争力。
参考文献:
[1](美)COSO,方红星,王宏译.企业风险管理—整合框架[M] ,大连:东北财经大学出版社,2007.
[2]国有资产管理委员会.中央企业全面风险管理指引(国资发改革[2006]108号)
【关键词】 内部审计;企业风险管理(ERM);保证;咨询
自美国 COSO 委员会于2004 年4月颁布《企业风险管理框架》(Enterprise Risk Management Framework,以下简称ERM框架)后,理论界对ERM的研究风起云涌,监管机构对于ERM的规范不断推出,实务界对ERM的尝试不断增多,如北美、欧洲有11%的组织拥有了完全实施的ERM,90%的组织正在建立或者想建立ERM (James Roth,2006);《财富》世界500强企业截至2004年底有近40%实施了ERM,30%部分实施了ERM;我国2006年针对部分先进企业和ERM探索者的一项调查显示,7.89%的企业建立并实施了ERM,15.79%的企业已经建立但是尚未运作,71%的企业在一定程度上建立但流程缺乏相互约束,5.26%的企业没有建立(王雅婷,2008)。可见,ERM受到了越来越多的重视,如何促使企业尽快建立ERM,保证企业顺利实施和完善已经建立的ERM,成为当务之急。
ERM的精髓之一在于全员参与,如何清晰地界定各参与方的职责决定着ERM的实施成效。内部审计作为组织治理结构四大支柱之一,在ERM建立和实施中发挥着重要作用。IIA(国际内部审计师协会)在《内部审计在企业全面风险管理中的作用》意见书中将内部审计在ERM中能够开展的活动划分为三类,第一类是核心性保证活动,包括:就风险管理过程提供保证;就风险被准确评估提供保证;评价风险管理过程;评价关键风险的报告;审阅关键风险的管理。第二类是合理性咨询活动,包括:促进风险识别与评价;指导管理层作出风险反应;协调风险管理相关活动;加强风险报告;保持和开发ERM框架;促进ERM的建立;经董事会批准制定ERM战略。第三类是不适当的活动,包括:设立风险偏好;对风险管理过程施加影响;提供管理层风险保证;对风险反应作出决策;以管理层立场做出风险反应;对风险管理承担责任(Russell A.Jackson,2005)。
上述分类对于指导内部审计合理定位、提供适当形式的服务、保持独立性具有一定的意义,却无助于指导内部审计实现与风险管理过程的有机结合,容易导致内部审计与ERM脱节,或者重视ERM单一环节而忽视整体。为此,应设计一种能够将内部审计与ERM实现对接的方式,使内部审计能够在ERM循环中实现跟踪式全程审计,实现内部审计对于ERM的全程监督,为持续审计奠定基础,该种模式称为“ERM基础审计”。
ERM基础审计模式以COSO委员会在企业风险管理框架中设计的内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通以及监控八要素为基础,考虑内部审计在ERM中能够开展的活动,将两者进行有机结合,形成了如图1所示的ERM基础审计模式(George Matyjewicz等,2004)。
图示各项要素中,以建立和沟通组织目标为起点,依次经历决定组织的风险偏好、建立适当的风险管理框架、识别阻碍目标实现的风险或事件、评价风险发生的影响和可能性、选择和实施适当的风险反应、实施控制和其他反应活动、进行风险信息一致性沟通、监督和调险管理过程和结果八个环节,形成了ERM的一个运行系统。在此基础上,由管理层提供对ERM过程的首要保证,进而由内部审计实施对ERM的独立客观保证和咨询,最终各方履行对董事会服务的职责,董事会对ERM承担最终责任,形成了ERM的一个保障系统。该模式将ERM与内部审计融合在一个完整的循环中,两者实现了无缝对接;明确了内部审计和管理层在ERM中的职责地位;同时,也便于内部审计通过深入各个业务环节开展对ERM的全程审计。
1.建立和沟通目标。CEO负责制订组织的整体战略目标,处于不同管理层次、不同地域分布中的各业务单位、分部和子公司管理层负责制订各自的子目标,子目标必须与组织整体目标保持一致,并与组织文化、价值观、使命和愿景相协调,在整个组织员工中得到全面的沟通、清晰的解释和正确的理解。内部审计应为下列各个方面提供保证:审查组织目标得到有效建立(如检查目标建立依赖的信息、采用的程序、参与者的素质等);审查子目标与组织整体目标协调一致;审查目标在组织员工中得到全面的沟通和一致的理解。审计人员可以采用访谈关键人员、获取和审阅相关资料、向不同层次人员发放调查问卷、实施控制自我评估等方法来开展审计工作,其中问卷设计应该提供可以由回答者进行评论的空间,以便于收集员工对目标理解情况的软性信息。
2.确定风险偏好。组织的风险偏好决定了组织能够承受的风险水平。风险偏好与目标设定有着直接的关系,体现在组织交易形式审批、资本预算限制、职责权限划分、购买事项确定等各项活动中。确定风险偏好是董事会和管理层的责任,内部审计不能设定组织风险偏好或容忍度,但可以就风险偏好和容忍度水平的确定、量化、沟通,在政策、程序和实务中的有效实施情况提供保证。
3.建立风险管理框架。在不同组织之间甚至在同一个组织不同部门之间,由于文化氛围、管理理念、工作目标、组织规模、业务复杂性以及与业务目标和风险容忍度相关的固有风险水平不同,ERM框架可能会存在很大差别。例如,信息技术部门因为其工作的性质需要有完整的风险识别、评价框架,而人力资源部门可能仅需要一个明确的政策和程序性审阅。从事常规交易的部门一般具有相对成熟的ERM框架,该框架中有明确界定的风险指示,与日常的业务运行过程相结合;而战略管理部门却不具有这样正式的框架,需要进一步加以开发。某些组织拥有了较成熟的ERM框架,而其他一些组织却仅处于ERM的计划阶段、萌芽阶段甚至无知阶段。
董事会和高级管理层负责建立和管理ERM框架。审计人员不能参与设计ERM框架,但是需要依赖他们的判断,结合组织的实际对ERM框架的适当性做出结论,发现框架结构和功能中的缺陷。具体的审查内容包括:审查ERM框架的组成要素;审查在组织政策、治理框架、实务操作中所体现出来的风险观点和价值;审查风险管理政策和指南的实用性、灵活性和自我引导性;审查员工对风险管理含义的理解和对风险管理技术的掌握情况;审查管理层对风险管理的支持、对公司文化的培育情况;审查风险管理实务按框架期望持续运行情况;审查框架动态调整、监督和自我评价管理情况。
4.识别风险。识别风险是对组织正在和将要面临的风险加以判断、归类和鉴定风险性质的过程,换言之,即确定组织正在或将要面临哪些影响组织目标实现的风险。风险识别是管理层的职责。内部审计在风险识别中的主要工作包括:审查风险识别的充分性,即与组织整体目标和战略相关的、涉及组织整体和分部层次的主要风险是否均已被识别出来,是否存在未被识别的风险,并提醒管理层注意;审查风险识别的一致性,风险定义、分类是否在组织中得到统一的运用。对于发现的风险识别不完全、不一致、忽视风险等情况,内部审计应采用特殊审计程序并加以报告。
5.评估风险。评估风险是指采用定性与定量相结合的方式,估计风险影响的大小和发生的可能性,在二者结合的基础上,对风险进行排队,进而实施不同关注。实施风险评估是管理层的责任。内部审计应就风险是否被准确评估提供保证。具体可以采取两种方式:(1)对管理层的风险评估结果进行再检验,即掌握风险评价的系统方法,对风险成因、影响后果、发生频率等作出综合分析,根据“风险值=风险概率×风险影响”的计算结果,对风险级次进行排序,对不恰当的风险评估予以更正;(2)对管理层的风险评估能力进行审查,如审查管理层的风格(激进与稳健的管理者对于相同风险的赋值往往存在较大差别)、采用的风险评估方法、对相关信息的掌握程度、对成本效益的考量、对相关部门或人员意见考虑的幅度,等等。
6.选择实施风险反应。选择实施风险反应即在风险评估优先级排序的基础上,根据风险性质和风险偏好制定相应的防范措施,可采取的措施一般包括回避、接受、降低和分担。内部审计应该对风险应对措施的选择和执行提供保证,包括:审查采取的风险应对措施是否适合本组织的经营、管理特点;审查采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;审查风险应对措施的成本效益衡量是否合理。对于风险缺乏充分控制措施的情况,内部审计应提出改进措施和建议,协助完善风险反应方案。
7.建立控制。控制活动是使所选择的风险反应活动得到适当决定和实施的政策、程序、过程和监督机制等系列活动的总称。一旦选择了特定的风险反应方案,管理层需要据以实施相应的控制和其他风险反应活动,包括批准、授权、资产安全、职务分离、调整等。审计人员应获取对控制设计的全面理解(包括理解目标、潜在风险和控制活动之间的关系),审查其与组织风险政策的一致性;审查其对组织战略、经营、报告和遵循性目标的支持程度;审查其化解风险的有效性;审查其按设计功能运行的持续性。
8.风险信息沟通。风险信息沟通是指以一致的方式在整个组织中所有层次之间对风险信息进行可靠、及时、完整的传递和反馈,以实现对风险的识别、分析和反应。并非所有的风险都能够被避免,但早期的披露能够为采取适当的行动提供时间。内部审计的核心职能是向董事会、管理层、股东提供风险得到及时削减的保证。为此,内部审计需要审查风险信息的准确性;审查关键风险报告的及时性、相关性和完整性;审查风险信息在整个组织不同层次中传递的有效性;审查风险信息支持系统的安全性等。
9.监督和调整。组织需要对风险管理进行持续监控和不断调整,以保证风险管理过程的持续有效性。可以采用的监控和调整方式包括控制自我评估、定期检查和数据分析,各种方式或者融合在持续的管理活动中,或者采取个别评价的方式,或者通过两者的结合来完成。管理层执行对风险管理过程的监督和调整。内部审计通过调查问卷、控制自我评估、行动跟踪等方式,获取管理层实施监督的相关证明,审查管理层监督执行的一致性、持续性和有效性以及实施调整的适时性和必要性。
10.管理层保证。根据组织结构形式、资源保障程度、政府监管要求和风险管理的特点,风险管理的保证可以来自于不同方面,包括董事会、管理层、操作人员、内部审计、外部审计和独立专家等。其中,董事会对保证风险管理承担全部责任,但董事会往往将风险管理的责任委托给管理层,该种委托关系决定了管理层对风险管理承担直接、首要的责任,他们向董事会提供的风险保证居于首位。管理层必须向董事会保证,他们对于存在的风险和运行的控制实施了检查,所采取的措施能够足以降低那些阻碍公司目标实现的风险,其风险管理过程的运行是有效的。内部审计针对上述各个业务环节的审查结果可以对管理层保证情况做出基本判断,同时,还可以根据对管理层诚实性、业绩、胜任能力、素质和文化等方面的综合评价来制定相应的审计战略,对管理层的风险保证活动提供再保证。
11.内部审计保证和咨询。内部审计的保证和咨询具体体现在ERM各个运行程序中,如上所述。其中,内部审计在ERM中的核心作用是向董事会提供客观保证:保证风险管理过程和内部控制框架的设计和运行有效,保证关键风险的管理(包括控制和其他风险反应)有效,保证风险信息的分类和报告可靠、适当。
内部审计就ERM提供咨询的程度依赖于组织风险管理的成熟度。在组织尚未建立风险管理体系的情况下,内部审计就执行审计项目时发现的风险问题提请管理层和董事会注意,提出建立风险管理过程的相关建议;如果董事会提出要求,内部审计人员可以协助管理层完成组织风险管理的初步建立工作,甚至可以在董事会允许的情况下制定风险管理战略,指导风险识别和评估,协调实施风险管理措施,此时,内部审计直接参与了风险管理过程;在组织风险管理体系建立后,内部审计可以就管理层的风险决策提供建议、质疑或支持;随着组织风险管理体系的逐步成熟,内部审计可以接受委托提供专项的风险管理咨询服务,或者在提供保证服务的同时提供风险管理建议书,此时,内部审计咨询作用将逐步降低,更多地集中于其保证作用。
总之,内部审计在ERM中的功能不是独立运行、单独设置的,它融合在ERM过程中,与ERM的各个业务环节紧密结合,成为一个完整的统一体。如此,事前防范、事中监控性跟踪式内部审计的功效才能够得到充分发挥,内部审计价值增值的目标才能够得到切实体现。
【参考文献】
[1] James Roth. An Enterprise Risk Catalyst.Internal Auditor, Feb.2006,81-84.
[2] Russell A.Jackson.Role Play.Internal Auditor, April 2005,44-50.
[3] George Matyjewicz, James R D'Arcangelo. ERM-Based Auditing. Internal Auditing. Boston: Nov/Dec 2004.Vol.19, Iss. 6;4-13.
[4] Sean De Larosa. DCOM, CIA, CISA, CCSA. Moving Forword with ERM. Internal Auditor, June 2007, 50-54.
关键词:风险;风险管理;非金融企业;全面风险管理
风险是在一定环境和期限内客观存在的,是损失发生的不确定性。总体而言,非金融企业主要面临的风险可以分为六类:一是环境风险,主要是指企业所在的整体经济运行环境的系统性风险,如国家法律及经济政策风险、社会整体信用风险等;二是战略风险,指对企业战略的分析与制订、评价与选择、实施与控制,以期为企业发展获取最大安全保障的动态管理过程,如企业经营定位、对外并购投资、产品研发等;三是财务风险,主要指公司财务的安全性和流动性的维护,主要是对于以现金流为核心的流动资产的管理风险,以及外部利率风险、汇率风险等经济变量的影响;四是运营风险,指企业在经营过程中对外和对内的管理风险,如内部的安全生产、人力资源、网络安全等,以及对外的合同和供应链风险等;五是市场风险,指市场供给和需求的变化给非金融企业带来的现金流和利润的不确定性;六是危害性风险,主要是指由于意外事故所引发的企业经营风险,如火灾、交通事故以及偷盗等导致企业不能正常运转。现代企业所处环境日新月异,承受不了风险可能带来巨大损失,因此,企业建立全面风险管理体系迫在眉睫。
一、全面风险管理理论
1.风险管理的目标
总体目标就是使用合法合理的手段,通过风险识别、计量和控制,以最小的成本获得最大的安全保障,实现经济单位价值最大化。
2.风险管理一般模型
风险管理的一般模型为风险的识别、风险的衡量、风险的处理以及风险处理效果的检查与评价。
(1)风险的识别与衡量
实行全面风险管理,要求企业广泛、持续地收集与本企业风险和风险管理相关的内外部信息,通过筛选、提炼、对比、分类、组合,形成优势信息。再将这些精炼的信息用于进行风险识别。
风险识别是查找企业各业务单元、各项重要经营活动和业务流程中有无风险,有哪些风险。风险衡量就是对识别出的风险进行定性和定量分析,衡量风险发生的条件、可能性和发生后的影响。
常用的定性方法有问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、工作访谈和调研等。定量分析常使用统计推论法(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。定性分析和定量分析结合的基础上可以形成风险度量模型,便于企业今后识别与衡量风险。但是应该根据环境的变化,对模型的假设前提、参数等进行适当的调整,保证模型的合理性和准确性。
在全面风险管理中,使用最为广泛的风险确认和排序工具是风险图(风险坐标图),即把风险发生的可能性、发生后的影响程度,作为两个维度绘制在直角坐标系上。绘制风险坐标图的目的在于对多项风险进行直观的比较,从而确定各风险管理的优先顺序和策略。
(2)风险的处理
在对风险进行识别和衡量之后,对于不同的风险就可以采用不同的方法。风险管理策略可以分为控制型风险管理技术和财务型风险管理技术,前者主要包括避免、预防与抑制、分散等,后者常见的有自留、转移、对冲。
当风险发生频率较高,风险严重程度较大时,一般采用避免策略。企业可以根据具体情况,选择具体方法:剥离,退出一个市场或剥离一个产品、业务;禁止,不从事高风险经营活动和交易;停止,重设目标、集中策略、重新调动资源,停止特定活动;瞄准,对准商业发展和市场扩展的机会;筛选,避免低回报项目;根除,在风险发生的源头上设计并实施内部控制流程,这是全面风险管理的精髓,也是风险管理的核心。
对于严重程度较低的风险,当发生频率较高时,要通过设计内部控制流程进行预防和抑制;当发生频率较低时,企业可以采取自留的策略,自行承担。风险自留策略不完全是被动地承认风险,也可以通过对产品、服务的重新定价,自我保险和应急计划来进行主动的风险自留。
对于发生频率不高但风险影响程度大的风险,企业一般可以采取保险的方式来进行风险管理。但是并非所有的这类风险都可以通过保险公司得到保险,对于剩余的这类风险,企业可以采取一些财务型的风险管理技术,如转移和对冲,甚至对其中的机会型风险(可能带来赢利的风险)可以采取利用的策略。
(3)风险处理效果的检查与评价
风险是动态的,所以应继续跟进管理后的发展态势,根据具体情况采取措施,使风险得到控制。同时还要对风险管理进行效果评价,即成本—收益分析。企业应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断完善。
二、风险管理实证分析——以P公司为例
P公司是无锡市一家外贸工厂,年出口额数千万美元。
首先,外贸业务员与客户联系,确认交易并签电子合同;然后外贸业务员向工厂下单;工厂完工后,货物连同单证员制作的单据一并交给货代,货代在指定时间内把货物运到指定港口;外贸业务员在货货之后通知客户,客户按指定方式和金额付款,外贸业务员在确认收到款后将提单等单据寄给客户,客户凭单据取货。这是一套简易的外贸业务流程。在现实中,P公司和客户并不常用信用证方式,一般用TT方式。
根据全面风险管理理论和美国COSO委员会的企业全面风险管理框架,针对P公司来设计一套全面风险管理体系。
1.目标设定
建立全面风险管理体系时,目标是非常重要的,即“要用正确的方法做正确的事”中的正确的事。企业应该先设立一个大目标,然后将目标细分到各个职能部门,如财务部门,生产部门等。在设立总体目标时,最容易出现的误区就是把企业中面临的某一个问题突出并扩大化,如外贸企业将外汇风险视为最主要风险并只对其进行“全面风险管理”。若外汇风险是企业最大风险,那么在设置全面风险管理时,总体目标就应该是围绕外汇风险进行全面风险管理,细分目标时则把与外汇风险管理相关的其他风险的管理和风险源的控制一一设定目标。
2.内部环境
风险“牵一发动全身”,风险管理就需要全员参与,是为全面风险管理要素之一也。企业的内部环境包括风险管理哲学、风险文化、董事会操守和价值观、能力、管理哲学和经营风格、风险偏好、授权和责任、人力资源政策。内部环境是全面风险管理的基础,受企业目标影响又反过来影响企业目标。
对于P公司来说,企业高层首先要有良好的操守和正确的价值观,拥有先进的管理哲学、立体且独到的经营风格。公司员工应该明确企业的目标,在高层和中层管理者的带领下,在公司里建立风险文化。风险文化的建立需要P公司高层的支持,中层管理者的坚决和员工的贯彻,需要各部门在水平沟通和垂直沟通上下功夫,需要考虑了风险的员工权责和薪金的一系列人力资源政策,需要具备专业知识和技能的风险管理人才,这样,P公司就形成了一个适合自身的全面风险管理组织构架。
风险管理实践中在构建内部风险管理环境时最大的困难是执行力问题和水平沟通问题。当战略明确后,如何布置合理的战术,如何贯彻执行,这就是最大的问题之一。执行力是企业“核心战术”与企业“战略性能力”的外化,它是企业“目标系统、动力系统、信息系统、结构系统、路径”的合力。执行力不是一两个部门或几个中高层能够做好的,而应该建立全面风险管理文化,制定合理的良好的制度,坚持贯彻执行,并进行严格的监督、控制及反馈和修正等。
3.风险识别、评估和处理对策
P公司应该收集国内外宏观经济政策、本行业状况、国家产业政策,主要竞争对手相关资料,市场供求信息,客户信用情况,相关法律法规等大量信息,然后进行处理,确认公司面临的战略、财务、市场、运营、法律等风险,再利用风险坐标图进行风险评估,然后根据理论进行对策处理。
例如,P公司面临着客户信用风险和外汇风险。对于信用风险,可以要求客户预付30%-40%的订金,因为P公司生产成本基本在合同金额的30%左右。而对于外汇风险(主要是外币应收款项),可以采取远期外汇交易、金融衍生品等进行风险管理。
这个环节对企业提出了较高的要求,但并非不可做到。企业最常犯的毛病就是在评估和处理风险时,放大或缩小风险的影响,出现过于偏重某一风险或不重视另一种风险。企业应该平静地对待各种风险,同时要一视同仁,对于每一种风险都要准备几种处理对策,在风险事件发生后如何将损失降到最低也应有几套方案。企业应该深挖各种风险管理工具,如外汇风险可以使用计价货币法、提前或推迟结算法、远期交易法、期货法、期权法等,尤其以各种方法的组合策略更有挖掘潜力。
4.风险处理效果评估
在对各种风险采取各种措施之后,应该及时总结和评估效果,不断修订和完善P公司全面风险管理体系。例如对于外汇风险,P公司应该对头寸下的收入情况和采取保值措施之后的收入情况进行对比,然后再和可以采取的方式下的理论收入进行对比,便于今后面对类似情况选择更为合理的工具。
企业往往会忽视这一过程,但是,在控制住一个风险的同时,往往会产生另一新的风险;风险管理的技术再好总会有局限性。所以,对风险管理进行跟进和效果评估对于企业微调风险管理十分重要。这一改进过程也体现了企业对于风险管理的认识程度和执行能力。
5.监控
P公司高层应对主要风险的监控保持独立性和连续性。有条件时应建立专门的风险管理部门,设立首席风险官(CRO),并保持其权责的独立与透明。
有条件的企业可以设立独立的监控部门甚至是监控委员会。
三.结论与建议
1.全面风险管理体系是一个策略流程,代表企业态度和行为以及水平的分水岭。在建立全面风险管理体系时,首先建立风险管理文化,让整个企业参与到风险管理中来,提高员工风险意识和专业素养十分重要。
2.由于建立全面风险管理体系对企业的要求较高,但是其重要性又不言而喻,所以即使企业不完全具备一步到位的条件也应分步实施。先管理突出的重要风险,再由点及线管理一个到多个业务流程的风险,最后由线到面,将所有业务流程含概进来,建立全面风险管理体系。这个体系可以建立三道防线:各有关职能部门和业务单位为第一道防线;风险管理职能部门(有条件时应专设)和董事会下设的风险管理委员会(或者是公司高层)为第二道防线;内部审计部门和董事会下设的审计委员会(或者是专业审计公司)为第三道防线。但是,风险管理的核心要求最好将风险控制在第一道防线上。
3.企业在进行风险管理时,一定要遵守相关的法律法规。公司内部也要建立起规章制度,防止道德风险因素带来的风险。
4.企业在制定风险管理的目标时,除了总目标和损前目标外,一定要有相应的损后目标和应急措施。当面临突发危机和风险造成损失后进行挽救,使风险造成的损害尽可能小。
5.监督与改进工作至关重要,企业除了自己进行外,还应该请外部专业机构进行,提高风险管理的能力,增强企业竞争力。
参考文献: