爱华网全面风险管理,是使企业在实现其未来战略目标的过程中,将企业面临的不确定性和变化所产生的影响控制在可接受范围内的过程和系统方法,构建全面风险管理体系需要将风险管理纳入企业战略框架之下,实现战略、风险、控制措施的统一,也是融于流程的,持续贯穿于日常经营管理活动的管理体系。全面风险管理不但涉及流程控制,而且包括风险战略、公司法人治理结构、组织保障体系、风险理财等。
一、全面风险管理背景
1、COSO风险管理整合框架
美国COSO(发起人组织委员会)是国际公认的制定内部控制标准的权威机构,其1992年制定的《内部控制——整合框架》已成为业界普遍认可的标准。随着全面风险管理认识地不断深化,风险管理体系的内涵和外延得到了不断地丰富和完善。2004年9月,COSO委员会颁布了新的《COSO企业全面风险管理整合框架》,框架包括八个要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。由于新的框架对每一要素的定义、范围、主要内容、方法论、使用工具等进行了清晰地描述和讲解,使得风险管理体系的要素之间的关联性、逻辑性、系统化显著加强。前后两次框架内容的对比,新的框架内容有以下三点突破:
(1)强调全面风险管理体系必须与战略形成有效衔接,要求企业基于战略高度去认识风险。
(2)重视“经营的效率与效果”这一风险管理目标。过去构建全面风险管理体系更多基于保证财务会计报告的可信度去考虑,在流程梳理环节更多的对财务相关的控制流程,现在触角更多地向非财务环节进行延伸,体现全员、全过程、全方位的管理思想,现在有些企业已经认识到,通过流程优化去提升企业经营的效率与效果,并防范风险。
(3)风险识别、风险评估、风险反应的方法论日益成熟。
2、央企全面风险管理
2006年6月国资委颁布了《中央企业全面风险管理指引》,要求中央企业根据自身情况建立并完善企业全面风险管理体系。由于近年来由于央企在海外扩张、金融衍生品投资、财务审计等方面屡屡出现问题,造成国有资产的流失,引起了国资委对与央企风险管理的关注,作为国有资产的出资人,国资委负有国有资产保值增值的责任,因而加强央企的风险管理水平就成为必然选择。该指引是在总结国有企业的经验和教训的基础上,参考国际经验、国际做法而制定的,并引入了国际通行的《COSO企业全面风险管理整合框架》(简称COSO-ERM)实质内容。
3、企业面临日益复杂内外部环境
随着企业发展规模的扩张,在全球范围内参与国际竞争成为可能,需要企业具备较强整合资源的能力和风险防范能力,企业要正确认识全面风险管理体系的建设能够给企业带来的效益和潜在价值。目前越来越多的企业为了提升风险防范能力开始构建全面风险管理体系,包括石油、矿产、电信、核工业、军工等行业。研究和构建这一体系成为近来管理咨询的热点。
二、构建全面风险管理体系思路
全面风险管理体系建设的要求被越来越多的企业给关注,特别是国内外上市公司要求建立、批露公司的内部治理体系。对于我国多数企业来说,全面风险管理理论处于引进、研究、宣贯、探索阶段,总体上仍然处于初级阶段,多数企业并未建立起完全行之有效的全面风险管理体系,存在的通常问题包括:
(1)体系未与战略发展目标形成有效支撑;
(2)体系构建未考虑企业的价值创造过程,或者说风险控制未覆盖价值创造的所有环节;(3)体系构建未考虑风险控制与经营效率之间的平衡关系,导致体系建设成本过高,控制环节冗余或流于形式,运行效率低下。(4)未正确认识全面风险管理体系与其它管理体系之间的影响关系。风险识别、风险评估、风险应对策略是企业全面风险管理体系的核心内容,如何构建行之有效的全面风险管理体系,日益成为业界的热点需求。针对容易被企业给忽视或混淆的问题,我们需要探讨开展企业全面风险管理活动的注意事项:
(一)战略的高度认识和管理企业的风险
支持企业战略目标实现,是企业风险管理体系建立的最终目标。如果企业的风险管理体系没有建立与战略地有效衔接,则不能称之为有效的全面风险管理体系。
(1)在构建企业全面风险管理体系时,需要充分地解读公司的中长期发展规划或年度经营计划。通过解读公司的战略定位、战略内涵、战略举措梳理公司层面的战略目标、报告性目标、合规性目标。
(2)再将这些目标进行层层分解,形成若干子目标,包括职能部门层面的子目标,所属二级单位的子目标。可以结合业务职能战略、责任中心考核评价体系去梳理这些目标。
(3)为实现公司层面的目标,需要解析潜在的风险管理需求,可以通过调查问卷、访谈、标杆借鉴等模式进行评估这些风险的发生概率、影响程度,并对公司层面的风险进行分类。
(4)各个责任中心为了实现这些目标,会开展哪些日常经营管理活动,这个分析的过程也就是“事件识别”的过程。对于产生积极影响的事件,归类为“机遇”, 对于产生的潜在不利影响,归类为“风险”。在流程梳理的环节通过访谈、研讨等多种形式对风险进行识别和评估。
(5)考虑识别出来的公司层面的风险、业务层面的风险的全面性、系统性、一致性、有效性。全面性关注是否已将公司面临的风险给识别出来,可存在重要风险的遗漏问题;系统性关注风险识别和评估的所采用的工具、模型、方法论是否恰当;一致性关注公司层面的风险如何分解到业务层面去控制,相互之间是否存在矛盾与冲突;有效性是指识别出来的这些风险是否充分的、有效的控制措施。
(二)价值创造过程分析各个环节可能的风险
全面风险管理体系的建设应覆盖价值创造的每一环节,识别每一环节潜在的、可控的风险,并考虑相应的控制策略。基于价值创造模型来构建全面风险管理体系。如下表所示
每个价值环节的风险管理都有相应的流程对应,结合日常经济活动的展开情况,建立基本业务流程目录。并将风险分解对责任部门,通过完善制度、流程优化来控制业务层面的风险。
(三)平衡效率与风险控制之间的冲突
在流程优化环节,需要平衡效率与风险控制之间的矛盾,建立相互制衡、运行高效的内部控制体系。例如,某公司出现这样的现象:各部室人员高度精简,大家都感觉忙不过来,一个人要干好几个人的活,而且,权责不太明晰。两个分公司对于集团重组也是诚惶诚恐,事事都请示汇报,不知道他们到底的权限在哪里。公司的副总经理也不知该干什么,部室往往都直接向总经理汇报工作。因为一切刚刚开始,总经理也不能太放权,所以是事必躬亲,事无巨细非常劳累。这些运行低效、无序的现象是由于组织或岗位职责不合适、不清晰导致的。
以上都是影响企业运行效率的因素,在流程优化环节,需要把握经营效率与风险控制之间的平衡关系。理顺公司的管理控制模式、组织结构、岗位职责、人力资源政策,是保证全面风险管理体系有效运行的前提条件。在对现状进行风险控制分析的基础上,考虑管理制度是否健全或存在缺口,考虑现行的控制环节是否存在冗余,考虑风险控制是否不充分,考虑是否需要新增控制措施,考虑控制措施与风险的匹配关系。
(四)正确认识影响全面风险管理体系运行效果的关键因素
影响全面风险管理体系运行效果的关键要素包括:
(1)管理控制模式。清晰合理的总部与所属单位之间业务权限界面划分是保证流程有效、高效运行的关键。发展战略决定了企业应采取的管理控制模式。例如,当成立、兼并、收购了一个业务单位的时候,如何对它实施有效管理和控制,以防范控制不力而导致的风险?如何最大限度的发挥基层单位建设的积极性,同时又控制运行过程中的风险?在总部机关人员受限的情况下,如何最大发挥对所属单位的控制效果?如何通过管理提升,最大限度的为客户创造价值?这已经成为扩张期应该去考虑的问题。
(2)组织设置及职能。组织结构设置不合理或职能不完善,都会影响到流程运行的效率和效果。总部与分(子)公司责任中心定位决定了公司职能部门设置及应发挥的职能,分(子)公司责任中心定位决定了分(子)公司拥有的业务权限。
(3)岗位职责及人员配备。比如,对于前面提到的问题,总经理作为企业的领头羊,应从复杂的日常事务中解脱出来,应该更多从事战略规划的思考,如果没有有效的授权体系,总经理是不可能从这种现象解脱出来的。副总经理职责不明确导致不知道自己做什么。这个需要公司完善人力资源管理体系,编写《岗位说明书》,明确岗位工作内容、业务权限、任职资格、考核指标。
另外,人是体系执行的主体,如果人员配备不到位,或执行人员不具备相应的任职资格,或者风险控制措施认识不到位,均会影响到内控体系运行的效果。
(4)与其它管理体系之间的关系。全面风险管理体系不是单独存在的一个体系,与其它的专业管理体系有所交融,只是侧重点不同。例如,在西方,一些石油公司已将QHSE体系中的控制程序内容融入到COSO全面风险管理体系的流程控制环节。
企业开展全面风险管理工作,需要将风险管理作为一种价值创造活动,积极地面对风险,从战略的高度并采取系统地方法主动去认识风险、管理风险。当风险发生时有充分的准备,可以将风险控制在企业能够承担的水平。
