做企业会不可避免地要面对各种各样的风险,风险的存在是客观的,可以说没有风险,企业不可能发展。很显然,从企业发展这个角度来考虑,企业战略应该考虑风险管理要素。
风险有时可能会直接危害的企业的生存。一个企业如果要想实现企业的既定目标,就必须识别所有重大的风险,采取必要的风险管理措施,通过完善的风险控制系统,确保企业的可持续性发展。社会的变革,经济的发展、时常出现令人难以预料的趋向,客户的偏好和需求也在不断的变化,能预见这些变化所带来的风险对企业来讲是至关重要的。对于那些不可预见的突发事件,企业的管理层应采取积极的态度做好风险管理的预案。一个完整有效的风险管理系统和风险管理程序可以最大限度的帮助企业的管理层随时从容不迫地应对各种风险,使企业更好地得以生存和发展。
每个企业的存在都有其目标,在实现目标的过程中,存在着可能对目标的实现产生影响的事件的不确定性,这就是风险。有关风险的定义大致有以下三个:1、传统定义:风险是损失的不确定性。2、当代定义:风险是预期与实际结果的差异。3、国际标准组织定义:风险是事件发生的可能性及其后果的综合。风险的衡量标准是后果与可能性。
在企业经营管理活动中,风险常常被定义为生产运营的弊端、失误或失败带来企业危机的可能性。根据美国COSO委员会最新版本的《企业风险管理框架》的论述,风险管理体系包括相互关联的八个风险管理要素,即内控环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等。新的 COSO报告新增加了一个观念、一个目标、两个概念和三个要素,即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要,新眶架还要求企业设立一个新的部门——风险管理部。
我们也看到有些书将风险管理要素分为五个,即内控环境、风险评估、控制活动、信息与沟通、监控,不管是八个或五个要素,笔者认为风险管理的基本内容已经包括在内。八个要素更全面细致。各要素贯穿在企业管理过程中,为实现企业目标提供保证。
要对风险管理要素及过程进行论证分析,我们首先要对风险发生的原因及风险分类进行研究,结合当前企业实际,探讨风险管理要素及过程。
一、风险发生原因及分类
一般来说,对风险的分类有以下几个方面:按风险发生的原因分,企业风险可以分为内在风险和外在风险。内在风险包括生产管理不善、产品质量低下、营销管理乏力、财务结构不良、资金供应不足等内部原因。外在风险又分为人为风险和自然风险。前者如政府政策变化、战争爆发、股市突变、产品被人假冒、竞争对手采取不正当竞争手段等,后者如台风、地震、海啸给企业带来的危害。
按危机对企业持续经营的影响程度分类(美国Dun&Bradstreet信用评级公司),企业风险可以分为以下几类:企业停止经营待转让或破产:企业被采取执行、收回抵押品、扣押财产等行动后仍不足以清偿债务而停业;企业主动消失留下未清偿的债务;企业卷入类似被要求接管和重组的法律诉讼;企业主动向债权人让步。
按企业经营管理职能分,有管理风险、供应风险、生产风险、融资风险、销售风险与信用风险。
按资产内容分,有流动风险和资产分配风险。
风险还可以分为行业风险与企业风险。行业风险的分析包括对所处行业的总体趋势、当前状态和普遍存在的问题进行评估分析,从而确定本企业的发展方向、竞争优势和竞争策略。企业风险分析包括对组织结构的效率、组织结构、企业目标、企业文化、管理制度的合理性等进行分析评估。沟通风险是企业风险的一种。实际上是信息风险与关系风险的总称。信息风险是由于信息的不准确、不及时、不完整所造成的决策失误或决策缓慢的风险。关系风险是由于沟通不力,或不能很好了解信息,致使出现对信息的错误理解,并导致不适当的行动,造成客户丧失、机会损失或士气低落以及各种冲突等。对这些风险进行及时观察和控制,是企业风险控制的重要内容。
COSO委员会提出一个新的观念——风险组合观(An En tity—level Portfolio View Of Risk)企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。
二、内控环境是风险管理要素的基础
内部控制是指管理层、审计委员会及其他各方进行的、旨在加强风险管理、增大实现既定目标的可能性的行为。
内部控制可以用来防止或发现雇员在履行其指定职责时的重大错误或违规,并且及时进行纠正。建立内控环境主要是在企业中树立风险管理理念,营造一种风险管理文化,为其他风险管理要素打下基础。企业风险管理过程是否有效很大程度取决于组织的道德氛围,它是企业文化的表现。良好的道德文化具有以下特征:有包括避免舞弊和腐败的程序在内的的道德规范、政策等;由领导层经常宣传鼓励良好的道德文化;有支持和加强道德文化的措施;设有接受举报的机构,保证检举得到评价;有学习机会,使员工都能成为良好道德文化的倡导者;有要求员工、顾客、供应商定期声明遵守组织道德规范的制度等。内部控制是一个过程,是实现目的的手段,而不是结果本身。内部控制受到组织内各层次人员的影响,他们在很大程度上影响规章制度的实施效果和效率,内控必须建立在充分沟通的基础上。内部控制的目的是保证组织实现以下目标:组织运行的效果与效率;财务报告的可靠性和完整性;符合相关法律和合同;资产安全。内控环境包括组织特征、产品与服务构成、组织文化、领导风格、法律制度、管理层对内部控制的认识和组织信息管理系统等,这些因素直接的或间接的对风险控制的推行、效果、效率产生正面或负面影响。如组织机构的变化,可能导致业务重组或业务范围、局部目标发生变化,风险控制方式和范围必然相应变化。在企业日常内部审计或外部审计中,审计师最重视的就是被审单位的内控环境,如果内控环境评价是良好的,审计人员会认为该单位管理的风险较小,在实施审计过程中相对抽查范围会少。反之,会认为该单位风险较大,审计范围就有可能扩大。内部控制是现代抽样审计的基础,风险导向审计的基础也是内部控制。营造良好的内控环境,是风险管理的最基本环节。我们常见的企业风险往往发生在内控环境较差的单位,包括企业领导人道德取值低下,不讲诚信,欺骗组织或股东,伪造财务报表,管理决策、人事任用上存在 “内部人”管理问题或董事会、监事会不履行职责等,许多制度、监控成为一纸空文,这样的内控环境风险最大,造成的损失最大。国际国内这样的例子不难列举,如安然、蓝田事件,都存在内控环境不良的问题。
三、企业风险管理框架新增了三个风险管理要素——“目标制定”、“事项识别”和“风险反应”
COSO委员会增加一类目标——战略目标,并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标,但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告。目标制定(Objective Setting)。在风险管理框架中,由于要针对不同的目标分析其相应的风险,因此目标的制定自然就成为风险管理流程的首要步骤,并将其确认为风险管理框架的一部分。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。
针对风险度量COSO委员会提出两个新概念——风险偏好(Risk Appetite)和风险容忍度(Risk Tolerances) 针对企业目标实现过程中所面临的风险,风险管理框架对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看,风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来,目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。
风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。
事项识别(Event Identification)。企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素,而且可能在企业的各个层面上出现,并且应根据对实现企业目标的潜在影响来确认风险。但是,企业风险管理框架深入探讨了潜在事项的概念,认为潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇,而存在潜在负面影响的事项则称为风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及事项的发生趋势进行计量。下列事情可能给组织带来风险:因使用不正确、不及时、不完整、不可靠的资料而导致决策错误;记录有错误、会计核算资料不真实、不完整;资产保护不当;顾客不满意,组织信誉受损;执行组织决策、计划、程序不力,或有违法违规行为;不经济地获取或无效地利用资源;没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。风险识别主要有两块:确定风险和危机的来源、对来源进行问题处理。风险的识别应当用一种系统方法来进行,以确保组织的所有主要活动及其风险都被囊括进来,并进行有效的分类。风险危机识别方法有:头脑风暴、问卷调查、业务流程分析、事件分析 、审计、行业参考、研讨会等。
风险反应(Risk Response)。企业风险管理框架提出对风险的四种反应方案:规避、减少、共担和接受风险。作为风险管理的一部分,管理者应比较不同方案的潜在影响,并且应在企业风险容忍度范围内的假设下,考虑风险反应方案的选择。在个别和分组考虑风险的各反应方案后,企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。一般来说,常见的风险反应有两种方法:控制对策和财务对策。包括回避风险法、预防损失法、减少风险法、分离风险法、自留风险法、保险法等。
四、风险管理要素中的风险评估、控制活动
风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估---风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。如果所处行业本身存在较大的风险,或者已经被认定为日益衰退的行业,企业就应当考虑适时的退出策略。如果所处的行业处于暂时性低潮,企业就应采取适当的措施分散风险。如果全行业的竞争日趋激烈,企业就应通过加强技术力量、努力降低成本或产品多元化等办法来加强竞争能力。企业就应通过加强技术力量、努力降低成本或产品多元化等办法来加强竞争能力。企业风险的分析评估应主要集中在功能的健全和组织成本的平衡方面。因为快速增长的企业既可能出现组织机构不健全,无法适应不断发展的业务量和经营结构的需求,也可能出现组织机构迅速膨胀,导致管理成本迅速上升的风险。对规模较大的组织机构进行分析评估,主要考察其运行效率或对外部环境的适应性方面。大型企业往往可能因为作风成熟、官僚主义滋生或信息传递效率低等原因而不能对外部因素,特别是市场变化迅速作出反映,从而导致竞争优势的丧失。
内部控制框架和风险管理框架都强调对风险的评估,但风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差的情形下的估计值或者事项的分布等技术来分析。最好能够找到与风险相关的目标一致的计量单位进行计量,将风险与相关的目标联系起来。风险评估的时间基准应与企业的战略和目标相一致,如果可能,也应与可观测到的数据相一致。企业风险管理框架还要求注意相互关联的风险,确定单一的事项如何为企业带来多重的风险。
正如前面所说,企业风险管理需要管理者建立一种企业总体层面上的风险组合观。在风险评估方面体现为,对各业务单位、职能部门、生产过程或相应的其他活动负责的各层管理者对其负责的部门或单位的风险应进行复合式评估,而企业高层管理者也应从企业总体层面上考虑相互关联的风险和企业的总风险。
控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部门,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。
五、信息和沟痛、监控
来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。企业风险管理框架扩大了企业信息和沟通的构成内容,认为企业的信息应包括来自过去、现在和未来潜在事项的数据。企业的信息系统的基本职能应以时间序列的形式收集、捕捉数据,其收集数据的详细程度则视企业风险识别、评估和反应的需要而定。
对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式,来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。监控还包括对企业风险管理的记录。对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。适当的记录通常会使风险管理的监控更为有效果和有效率。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时,他们应考虑为企业风险管理设计一套记录模式并保持有关的记录。
六、风险管理的过程
(一)企业的风险管理是一个过程,其本身并不是一个结果,而是实现结果的一种方式。企业的风险管理是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
(二)企业风险管理是一个由人参与的过程,涉及一个企业各个层次员工。
(三)该过程可用于企业的战略制定。企业的战略目标是企业最高层次的目标,它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标而制定战略,并将战略分解成相应的子目标,再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时,管理者应考虑与不同的战略相关联的风险。
(四)该风险管理过程应应用于企业内部每个层次和部门,企业管理者对企业所面临的风险应有一个总体层面上的风险组合观。一个企业必须从全局、从总体层面上考虑企业的各项活动。企业的风险管理应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源分配)到业务部门的活动 (如市场部、人力资源部),再到业务流程(如生产过程和新客户信用复核)。
(五)该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好的范围内管理风险。
(六)设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。
(七)企业风险管理框架针对一类或几类相互独立但又存在重叠的目标,目的在于企业目标的实现。
总之,企业风险管理是一个过程,企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断。企业的风险管理要有效,则其设计必须包括所有的要素并得到执行。企业风险管理可以从一个企业的总体来认识,也可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部门的角度来看待风险管理,所有的要素也都应作为基准包含在内。
风险管理是什么?
所谓风险管理就是一种针对危机情境所作的管理措施及因应策略,即是组织为避免或减轻风险和危机所带来的严重威胁而所从事的长期规划及不断学习、适应的动态过程。
目前的发展趋势而言,风险需要集中管理,所以建立专业的风险管理部门是大势所趋。然而单纯把希望和责任寄托在风险与危机管理部门也是不现实的,由于风险与危机几乎存在于企业“肌体”的各个角落,没有全体成员、各个部门的参与,风险与危机管理部门即便是疲于奔命也必将劳而无功。针对风险管理要素的内容,企业的风险管理过程包括:
成立风险管理部门
毋庸置疑,风险危机管理部门是顺利处理危机、协调各方关系的组织保障。但是由于组织的规模大小和经营复杂程度常常是不同的,所以在部门设置上常常采用不同的形式,风险危机管理部门也扮演着不同的角色。
风险管理委员会或小组
风险管理委员会或小组是一个智囊团,它是由各种对风险情况十分了解,并能针对特殊个案作出评估的专业人事所组成,其成员一般是兼职的,由企业的领导人、各职能部门人员组成。风险危机管理委员会或小组应当至少负责如下职责:对风险预测;制定策略和计划;监督计划执行;在风险发生时进行指导。
风险管理经理或首席风险官
让专业人员专职从事风险与危机的控制工作,让其他人继续公司的正常经营工作,是一种非常明智的做法,这就涉及到设立风险危机管理经理或首席风险官。
全员参与风险管理.各管理层在企业风险管理中的地位和职责
(1)董事会。董事会对企业的风险管理负有监督职责,主要通过以下方式实现其职责:
——了解管理者在企业内部建立有效的风险管理的程度;
——获知并认可企业的风险偏好;
——复核企业的风险组合观并与企业的风险偏好相比较;
——评估企业最重要的风险并评估管理者的风险反应是否适当。
(2)管理者。企业的首席执行官对企业的风险管理最终负责,企业的高层确定风险管理的基调,从而影响企业内部环境中的员工操守和价值观及其他因素。
(3)风险管理员。风险管理员是指某一组织内的首席风险管理员或首席风险管理经理,他与企业内其他管理者一起,在各自的职责范围内建立并维护有效的风险管理框架。首席风险管理员也可以担当监督风险管理进度和帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责,并可以成为企业风险管理委员会的一员。
(4)内部审计人员。内部审计人员在企业风险管理的监控中占有重要的地位,这一职责作为其日常职责的一部分。他们可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会履行其职责。
(5)其他员工。从某种程度上讲,企业风险管理是企业内每一个员工的责任,因此,风险管理应是企业内每一个员工的工作手册的一部分内容。本质上,企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。同样,企业所有的员工都有责任向上报告风险。
加强风险事前预测、事中管理、事后分析总结
风险事前的预测是风险管理的前提。企业应针对实现战略目标过程中可能发生的风险进行预测并制定计划,对重大风险管理做到心中有数。事中的管理是对计划执行的检查,及时发现隐患,不断完善风险计划。事后的分析、总结是对风险管理的进一步认识和提高。各个环节的管理非常重要。
加强风险管理的技术分析,提高风险防范水平
风险管理技术包括风险评估框架、风险防范系统等。风险的评估包括确定范围与方法,收集和分析相关数据和对分析结果进行说明。风险缓解是指在确定了审计的范围、发生的可能性、可能造成的损失等因素后选择的保护措施,最大限度地降低风险,实行对管理效果地监控。不确定因素的分析是尽可能充分地收集各种可能导致风险地因素有关情报,建立模型分析,预测风险发生地可能性及后果。
实行风险管理责任制,建立风险管理激励机制。
完善风险管理机制、制度,提高管理风险水平。
