摘要:COSO企业风险管理整合框架的实施,宣告了从企业内部控制迈向企业风险管理的新阶段,但COSO框架十多年来,我国多数企业仍未建立起完善的风险管理框架体系。本文通过分析我国企业风险管理存在的问题,构建企业风险智能管理框架,并提出了实施风险智能管理框架的的两点建议,为成为风险智能型企业提供参考。
关键词:风险管理;风险智能型企业;管理框架
对于企业风险管理,国内许多理论研究还缺乏系统的理论解释和具有执行力的实践指南。在西方发达国家中,企业风险管理的研究和应用已经比较普及,风险和风险管理已成为管理者关注的头等大事,风险管理成为企业的一个重要职能。我国企业进行风险管理的时间很短,除金融企业外,多数企业主要停留在运营风险管理的层面。由于资本市场的不发达以及金融工具的缺乏,企业风险管理还没有成为我国企业普遍关注的重点。因此,我国企业必须引入全面的风险管理意识,从多个层次上进行全面的风险管理,构建与实施企业风险管理智能框架,才能提高自身的抗风险能力,保持企业的稳定,合理保证公司战略的实现。
一、我国企业风险管理存在的问题分析
1.风险管理意识淡薄。除金融保险企业以外,多数企业缺乏风险管理观念,很多企业还停留在计划经济条件下卖方市场的水平上,或者说没有形成风险意识,更缺乏有效的识别、评估和应对风险的机制,导致不少上市公司应变能力和抗风险能力较差。企业中多数管理者对风险管理的意识还很淡薄,很少分析甚至不分析可能导致风险出现的因素,也没有建立行之有效的风险管理机制。2.内部控制与风险管理没有有效结合。风险管理与内部控制有内在的联系,健全内部控制是实施全面风险管理的前提。企业只有从加强内部控制做起,通过风险意识的提高,尤其是提高企业中处于关键地位的中、高层管理人员的风险意识,才能使企业安全运行。然而,虽然一部分企业已经认识到内部控制与风险管理结合的重要性,但企业目前仍将风险管理与内部控制在企业运营和管理中隔离开来,企业内部控制不能涵盖企业面临的所有风险,针对风险设置的控制目标的细化程度仍然很低。企业风险管理与内部控制脱离,没能实现融合和跨越。3.不了解风险管理方法论,风险管理框架缺失。我国企业进行风险管理实践的时间和历史很短,而且主要停留在运营风险管理的层面,企业全面风险管理还没有成为企业普遍关注的重点。一个有效的风险管理机制应该能够对于企业所有的预期情况进行评估和处理,能够突破企业所面临的风险和组织之间的界限,能够对所有潜在的重大风险进行预计并制定相应的解决方案。但目前多数企业不了解如何进行风险管理,对风险管理方法认识不足,并且企业风险管理工作的实施缺乏有效的风险管理框架作为指导和参考。4.缺乏有效的风险管理监督和评价机制。由于管理体制和管理方式的问题,我国企业风险管理的监督很薄弱,监督评价方法不够先进,不能起到应有的作用。由于目前没有通用的风险管理评价方法,内部稽查中风险管理有效性的评价方式过于简单。传统的评价方法是以定性分析为主的,分析过程较复杂,且很大程度上依赖于评审人员的主观判断,主观性较强,缺乏客观具体的可操作性标准,导致风险管理评价缺乏科学性、规范性和可操作性,进而增加了评价工作的实施难度、资源投入的主观随意性、结论不可靠性。此外,内部审计监督部门普遍缺乏独立性和权威性,内部审计人员的胜任能力不足、缺乏主动性和能动性,内部审计制度不健全,业务不规范,作用未能充分发挥,致使内部审计部门形同虚设。此外,企业组织机构设置不合理、内部控制和风险管理没有和信息系统相结合、缺乏人才和知识积累等因素也在一定程度上影响了企业全面风险管理的实施。
二、企业风险智能管理框架的构建
通过实施有效的风险管理框架,将能够使企业在多变的内外部环境中保持企业发展的可持续性,不断增加企业价值,推动企业战略的实现。实施企业风险智能管理框架的主要贡献为:增强对风险和控制的了解;提高评级机构认知;提高公司盈利质量;提高对股东的信息透明度;提高监管认知;降低风险事件产生的损失;提高公司社会声誉;提高风险调整回报率;增加董事会和风险委员会的风险管理信心;降低经济资本要求;有效识别增值业务;减少风险项目的保费等等。企业风险智能管理框架要确保能识别并评估关键风险点并有效加以应对,例如:战略风险、财务风险、多元化投资风险、政策风险、融资风险、工程项目管理风险、营运安全风险等。有效实施风险智能管理框架的企业可以被称为风险智能型企业。1.企业变革。企业要在新的企业风险管理环境下使风险管理框架高效运行,首先要从企业管理、人员、流程、科技四个方面进行改进和变革,为实施风险管理框架提供基础支撑。1.1管理变革。企业董事会或经营层应就风险管理的目标设定以及风险管理的基本方法进行明确,对业务管理机构进行重构,例如:设立风险管理部门、专职法务部门或法务专员、设立资金管理中心、设立运营安全管理部门、设立投资战略部门,保证内部审计部门的独立性等。同时对管理流程进行梳理优化,明确不同级别管理层的职责权限,最后由内部审计部门加以监督,由人力资源部门综合考核,形成一个有效、闭环的管理体系,这样就能保证各项业务可以得到自动化的有效管理。1.2人员变革。风险智能管理并不仅仅是指设立一个风险管理机构,而是要改变企业所有员工观察和管理风险的方式。企业应当在各部门各单位设立风险管理专员,并在适当的时机对各级管理层和风险管理专员提供有关风险管理技巧和风险管理意识的岗位培训,提高每名管理者的风险应对能力,形成良好的风险管理氛围。1.3流程再造。企业风险管理框架和控制流程体系的重建,对于正确识别、分析和应对风险的相互依赖和整体风险的管理是至关重要的。风险智能管理的方法之一是基于原有的内部控制体系基础,在风险管理流程之间建立通用性和关联性,使风险智能管理贯穿于各层级的计划、管理和运营决策流程之中,以确保风险智能化计划和管理的有效实行,使其成为每个员工日常工作的一部分。1.4科技变革。随着新科技的不断发展,各种信息化工具不断变化并迅速发展。科技可以起到杠杆作用,未识别、测量、报告和监控风险提供共同的平台。企业通过建立风险预警管理信息系统,与业务管理系统、资产管理系统、预算管理系统、财务系统建立互联,通过识别分析,实时提供风险预警,并在预警的同时提供风险应对措施建议,提高风险智能化管理水平。2.构建企业风险智能管理体系。2.1设定企业战略目标。首先公司要对内外部环境进行有效分析,选择并确定符合企业实际的战略目标,并对战略目标进行分解,将风险管理理念融入公司经营管理,利用风险智能管理程序有效配置资源,并明确各主体的业务目标和风险管理目标,从而使风险管理融入公司战略体系的方方面面。2.2明确风险管理理念。风险管理理念是指企业利用通用的风险管理语言,对识别、分析和管理风险的统一的信念和态度。风险管理理念应当延伸到企业经营管理活动的全范围、全过程,它可以通过各种表述方式形成企业的风险文化,使企业各级管理者在做任何决策或管理活动时都能够考虑风险,并使全员在风险管理的价值观上保持趋同。2.3构建风险管理职责体系。构建企业全面风险管理的组织机构并明确风险管理职责,是实施风险管理的根本保证。风险管理组织机构从上而下应由董事会及其下设风险管理委员会和审核委员会、经营层、风险部门及人员、业务部门及其风险专员和企业员工构成,从而形成有效的风险管理防线。同时,公司应明确界定各级机构在风险管理中的职责权限,并通过提升风险管理人员的风险意识,提高风险管理技能,确保各级人员在风险管理过程中有良好的履职能力。2.4构建风险智能管理策略框架。风险管理策略框架是风险智能管理的核心内容。企业应根据内外部环境,围绕企业制定的战略目标,确定风险偏好、风险承受度、风险容量和风险容限,明确风险智能管理有效性的标准,有效配置风险管理所需的人、财、物等资源,制定风险管理手册,并将风险管理策略框架应用于企业各个领域的风险管理指导方针之中。企业应从整个主体范围或组合的角度,从不同的视角,利用大数据、风险度量模型、定性分析等评估技术,评估风险的可能性、影响程度以及风险之间的潜在关系,有针对性地选择风险承受、回避、分担、降低等应对方式,与企业内部控制体系的建立和实施有机结合,通过有效的风险控制活动和沟通报告机制,将企业的剩余风险控制在可接受的范围内。企业风险智能管理策略能够成为企业的核心竞争力之一,最终为企业战略目标的实现保驾护航。2.5构建风险智能管理信息系统。为了实现风险管理智能,企业需要要优化整个信息流程,风险智能管理信息系统是指利用信息技术,对与企业相关的内外部风险信息进行收集、整理、分析、处理、预警并提出应对策略的一个实时、动态的管理体系。它应当由三个模块组成,即:风险信息的收集加工模块,主要由风险管理系统识别或由风险管理专员收集和录入;风险分析和预警模块主要由风险管理部门在风险管理系统的分析基础上做出预警;风险应对决策和实施模块由风险管理系统提供的风险应对建议,由风险管理部门提出风险应对方案,提交管理层落实风险应对责任,并指定专人监督。在风险信息系统的设计与实施过程中,应充分把握系统之间的分工与协调,因为它是一个有机的整体,各部分的衔接至关重要。2.6持续风险监控与评价。如上文所述,企业风险管理随着时间的变化而改变,它是一个持续的、动态的管理活动,这也要求风险的监控与评价必须是持续开展的,企业各管理层级、各个业务部门都应开展风险持续监控,同时风险管理或审计部门还应定期开展风险管理评价。风险监控和评价发现的重要缺陷应及时向管理层和上级部门报告,重大缺陷还应向公司董事会及其风险管理委员会、审计委员会报告。通过监控与评价,能够有效保证企业风险职能管理框架的设计和运行有效性,能够提升全员的风险管理能力,从而使公司风险水平实现持续改进。
三、企业风险智能管理框架实施建议
1.正确认识企业内部控制与风险管理的关系。企业内部控制的风险观就是由全员参与的、对与人、与活动及与环境有关的全面风险进行控制,是整合传统内部控制和现代风险管理为一体的过程。内部控制发展方向就是企业风险管理,其实质就是企业风险控制的管理。现代企业风险管理系统,是以风险识别和应对为核心,以内外部环境为风险管理的范围,以企业风险管理文化为灵魂,以控制活动为手段,全员、全范围、全过程的风险控制系统。企业内部控制逐渐呈现向风险管理发展和一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制,从而实现内部控制向风险管理的跨越。2.完善考核和激励机制。为确保经营的效率效果,企业必须将风险智能管理框架的建立实施情况纳入企业的综合考核激励体系。一个完善的指标考核体系需要根据企业的整体战略和风险管理目标的要求等因素确定。此外,通过明确企业管理者的责、权、利,通过利用风险管理评价结果,与业绩考核相挂钩,建立起责权相关的激励制度。按照员工的岗位职责及工作目标,进行定期考核评估,总结工作成效,及时发现问题并予以改正。评估和认定结果与奖金、调薪、升职挂钩。通过绩效考核机制将企业的目标与个人工作目标有机地结合起来,从而推动企业战略目标的实现。
参考文献:
[1]美国COSO制定.企业风险管理——整合框架[M].方红星,王宏译.大连:东北财经大学出版社,2005.
[2]谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究,2007(10).
[3]司马则茜,程莎.企业集团全面风险管理集成框架[J].会计之友.2015(12).
作者:黄阳阳 单位:安徽皖通高速公路股份有限公司
