20世纪50年代,包括1952年通用汽车公司发生的重大火灾在内的一系列偶发性事件推动了美国风险管理活动的兴起,自此,风险管理作为一项重要的管理活动逐步引起企业的重视。对于国企而言,由于其国有资产属性,风险管理显得很重要。因此,国资委为指导国企开展全面风险管理工作,进一步提升企业管理水平,于2006年6月6日印发《中央企业全面风险管理指引》,此指引至今依旧是国企进行全面风险管理工作的重要指导文件,智域将从以下三个方面对其进行解读:
学术界不同学派对于风险的定义各不相同,而指引中将风险定义为“未来的不确定性对企业实现其经营目标的影响”,可以看到国资委将风险定义为一个中性词,并非单一地强调风险的“负面性”,而是兼顾了风险的“正面性”和“负面性”,这一点亦可以从风险的分类中体现:指引以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。因此,指引强调“企业开展全面风险管理工作,应注重防范和控制风险可能给企业造成损失和危害,也应把机会风险视为企业的特殊资源,通过对其管理,为企业创造价值,促进经营目标的实现”。此外,为方便企业风险管理工作的开展,通常情况下会将企业风险分为战略风险、财务风险、市场风险、运营风险、法律风险。
首先要明确的是风险控制不等于全面风险管理,全面风险管理指的是在降低风险所带来的收益与所需要付出的成本之间进行权衡,最终决定采取何种措施的过程;而风险控制则是指降低风险发生的可能性或减少风险发生后所带来的损失的一种措施。也就是说风险控制仅仅是全面风险管理过程中所采取的措施之一。
而全面风险管理与内部控制这二者的区别和联系一直是理论界和实务界争论的热点话题,且至今仍未达成共识。目前理论界对内部控制与风险管理的关系有三种不同的观点:一是内部控制包含全面风险管理,二是全面风险管理包含内部控制,三是内部控制和全面风险管理的本质协调论。从国资委发布的《中央企业全面风险管理指引》来看,全面风险管理的范畴大于内部控制,但二者在实践中是紧密关联且不可分离的,内部控制系统的建立是企业全面风险管理工作开展的重要基础,而全面风险管理工作的开展又不断促进企业内部控制系统的完善,最终实现企业经营管理上的水准和风险防范能力的提高。
指引中对于全面风险管理的描述为:“围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。”基于此,智域总结企业在开展全面风险管理工作时应当抓住两个要点:一是建立健全风险管理体系,包括:风险管理组织文化、风险管理组织体系、风险管理信息系统以及风险管理内部控制系统;二是以风险管理体系为基石,常态化执行风险管理基本流程,在对企业相关风险进行管理,实现风险管理总体目标的同时,不断优化企业风险管理体系。
建立健全风险管理组织体系首先要明确风险管理三道防线:第一道防线为各有关部门和业务单位,第二道防线为风险管理职能部门和董事会下设的风险管理委员会,第三道防线为内部审计部门和董事会下设的审计委员会。
其中各有关部门和业务单位需要定期自查,并提交自查报告至风险管理职能部门和董事会下设的风险管理委员会;风险管理职能部门和董事会下设的风险管理委员会需要检查并评价各有关部门和业务单位的风险管理工作开展情况,并出具评价和建议报告,将报告提交至内部审计部门和董事会下设的审计委员会;内部审计部门和董事会下设的审计委员会则负责监督评价公司整体风险管理工作的开展情况。
基于此,风险管理组织体系应当包括规范的公司法人治理结构、风险管理职能部门、内部审计部门以及其他有关职能部门、业务单位。而规范的公司法人治理结构,应当包括股东(大)会(对于国有独资公司或国有独资企业,即指国资委)、董事会、监事会、经理层,形成高效运转、有效制衡的监督约束机制。
其中,董事会就全面风险管理工作的有效性对股东(大)会负责,董事会应当下设审计委员会(如具备条件,可另外再设风险管理委员会);企业总经理负责全面主持风险管理的日常工作,对全面风险管理工作的有效性向董事会负责;风险管理职能部门履行全面风险管理工作,对总经理或其委托的高级管理人员负责;内部审计部门负责全面风险管理工作的监督评价并出具监督评价审计报告,其工作有效性对审计委员会负责;其他职能部门及各业务单位在全面风险管理工作中,应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督。
内部控制系统指“围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施”,简而言之,内部控制系统就是企业为实现风险管理目标所制定的一系列制度、流程等,而健全的内控体系应当至少包含九个方面:岗位授权制度;报告制度;批准制度;责任制度;审计检查制度;考核评价制度;重大风险预警制度;以总法律顾问制度为核心的企业法律顾问制度;重要岗位权力制衡制度等。
风险管理文化的建立有助于提高员工风险管理意识,促进企业风险管理水平的提升。建立风险管理组织文化应当从三个方面着手:一是营造风险管理文化氛围,二是加强员工法律素质教育,三是要将风险管理与公司薪酬绩效管理制度等各项人事制度相结合。
信息系统的建立有助于企业风险管理工作效率的提高,因此企业需要建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。
完整的风险管理基本流程应当包括收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案及风险管理的监督与改进等五个环节。
各有关职能部门和业务单位应当广泛且持续不断地收集与自身相关的战略风险、财务风险、市场风险、运营风险及法律风险的初始信息,且需包含历史数据和未来预测。
风险评估包含三个步骤:风险辨识、风险分析及风险评价。企业首先应当依据收集的风险管理初始信息进行风险辨识,查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险;其次,对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生的可能性高低、风险发生的条件;最后,需要评估风险对公司实现目标的影响程度、风险的价值等。此外,企业在评估多项风险时,应根据对风险发生可能性的高低和对目标的影响程度的评估,绘制风险坐标图,对各项风险进行比较,以便后续制定各项风险的管理优先顺序和策略。
风险管理策略的制定核心是要依据企业的风险偏好、风险承受度以及风险管理有效性标准,针对不同的风险选择合适的管理工具。
其中,风险承担是指企业对所面临的风险采取被动接受的态度,从而承担风险带来的后果;风险规避是指企业回避、停止或退出蕴含某风险的商业活动或商业环境,避免承担风险带来的后果;风险转移是指企业通过合同将风险转移到第三方,企业对转移后的风险不再拥有所有权;风险转换是指企业通过战略调整等手段将企业面临的风险转换成另一个风险;风险对冲是指采取各种手段,引入多个风险因素或承担多个风险,使得这些风险能够相互对冲;风险补偿是指事前(损失发生以前)对风险承担进行价格补偿;风险控制是指控制事件发生的动因、环境、条件等,来减轻风险事件发生时的损失或降低风险事件发生的可能性。
在风险管理策略确定后,应当依据风险管理策略制定具体的风险管理解决方案,方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。风险管理解决方案的制定与实施同时也是内部控制体系一直在优化的过程。
企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。
为实现对风险管理工作的有效监督及改进,各有关部门及业务单位理应当定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送企业风险管理职能部门;风险管理职能部门应当定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,对风险管理策略进行评估,并提出调整或改进建议,出具评价和建议报告,及时报送企业总经理或其委托分管风险管理工作的高级管理人员;内部审计部门至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果做监督评价,监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。
企业应当常态化执行风险管理基本流程,明晰有几率存在的风险点,及时制定相应的解决方案,此外,企业还应当通过风险管理基本流程的执行来不断完成企业内控体系,加强抗风险能力。返回搜狐,查看更加多