基于嵌入性视角的风险管理论文

2022-09-21 15:24:12 来源:写作指导

基于嵌入性视角的风险管理论文

一、风险管理嵌入企业的“解”

风险具有伴生在企业战略目标和业务活动中的特性,不能单独产生,因而,风险管理也不是独立的,它与组织的业务不可分离,管理风险一定是管理业务过程或活动中的风险,在业务全生命周期的过程中发挥控制、应对与协调的作用,以尽量降低风险至可以接受的容量范围内,合理保证经营目标的实现。企业要开展好风险管理工作,必须正确认识风险管理与组织过程之间的关系。国内外的标准、指引均对此给出了清晰的解释。例如:《风险管理———原则与指南》(ISO31000)标准中指出风险管理的第二项原则是“风险管理是构成组织所有过程整体所必需的一部分”,且在其推荐的风险管理框架中特别强调了“整合入组织的过程”的突出地位,我国的《风险管理原则与实施指南》(GB/T24353)标准中风险管理原则亦为“融入组织管理过程”,因而风险与组织的运转共生共灭,应以关联的、有效的和高效率的方式嵌入组织的所有实践和过程,尤其是在制定企业的方针、策划战略、评审业务、变更决策等业务过程中进行融合。具有嵌入性是企业开展风险管理的首要条件。

二、基于嵌入性视角的企业风险管理体系构建

既然风险管理与组织过程的融合如此重要且必要,那么如何实现嵌入?本文认为要以风险控制为导向,以流程为载体,构建基于嵌入性视角的企业风险管理体系,提高过程控制能力和业务执行的有效性,增强企业竞争力,促进企业目标的实现。

(一)建立嵌入式的风险管理体系

一个企业的正常运转涉及到从宏观、中观到微观的诸多层面、诸多环节,基于嵌入性视角的风险管理(如图1所示)则是在全范围内与战略目标和业务流程体系融合,从宏观到微观形成全覆盖,并非局限于单一子流程,从整体上形成一个系统化、结构化的体系,并保持良性循环、持续改进。

1.宏观层面。

企业的宏观层面重在研究发展战略与经营方针、完善内部环境治理、文化建设、重大事项决策等。首先,要将风险管理的原则、作用、术语融入公司高层的管理理念中,为健全治理结构奠定基础,并依托企业文化建设平台在全员中不断强化企业诚信与职业道德观、强化风险管理意识、培育风险文化氛围;其次,要在制定战略和经营方针时充分考虑相关风险,战略目标是企业运作的方向和指导思想,应在战略风险评估报告的基础上确立清晰的战略导向、发展纲要和方针;再次,要建立环境,考虑组织及其环境的内外部与风险管理过程相关的参数、指标,明确管理风险的范围及关于评价风险的准则,例如管理层的风险偏好,风险造成的结果划分为几个等级,风险发生可能性的维度分为几级,风险管理的组织保障和运维机制,风险评估的方法和时频等。此外,要在决策企业经营与拓展的重大事项时通过尽职调查、高层会议研讨、项目风险评估等方式充分考虑风险因素对决策目标的潜在影响,以促进企业积极抓住机遇,稳妥化解危机。

2.中观层面。

企业的中观层面侧重于流程管理、内部控制规范,是宏观战略执行落地的核心区域,在整个体系中起承上启下的作用,目标只有落实到流程上才能变得可执行。中观层面的重点是要处理好业务与业务之间的接口关系,突破条块化的“职能墙”,建立端到端的流程。美国管理大师哈默曾提出一个重要观点“流程本来就在业务那里,只是没有受到相应的尊重和了解。”同样“,风险本来就在流程那里,只是没有识别、分析和评价。”可见,流程本身是业务运作的载体,风险管理是嵌入此载体中的关键点。那么风险管理如何嵌入到流程中呢?最简单也最有效的方法就是在流程中扩展属性信息———如风险点编号、风险事件、风险源、风险等级、风险矩阵、控制措施等。将风险管理的要求作为属性标签,添加到流程的具体活动节点上。也就是说在流程体系中建立的每一个责任流程都由流程图、流程执行要求、风险控制文档、表单、相关政策文件等组成。其中最重要的是在流程执行要求中明确每一个活动是由谁来做、做什么、怎么做、多长时间完成、有哪些风险、风险等级高低、如何控制风险的责任内容。采用这种嵌入性的方法,一方面,使业务执行人员不再翻阅多个管理文件,也避免了风险管理文件与其他管理文件出现不一致造成业务执行人员的无所适从;另一方面,管理人员通过检索流程节点附加的标签,也能更好地监控风险管理要求的落实。企业将风险管理过程嵌入营销、研发、安全生产、环保、工程项目建设、合同管理、客户服务、财务管控、人力资源规划等各种流程中,还必须做好事前的风险评估、事中的风险控制、事后的风险应对。其中风险评估有数十种方法,一般在实务操作中,推荐采用风险矩阵法,这是一种由美国空军电子系统中心的采办小组于1995年4月提出的通过测定后果和可能性来排序和显示风险的工具。采用这种方法,建立基于风险事件的全面风险清单,确定风险等级,生成风险带下的风险图谱,可以直观的表现风险,协助决策风险应对。风险控制强调的是对已识别的风险在制度政策、机制或工具、技术、方法等方面建立控制措施,一般在实务操作中,以增加审批、缩减权限、不相容职务相分离、强制上下限等方式加强控制。风险应对则包括选择一个或多个改变风险的方式,并实施这些方式。一旦付诸实施,这些方式就会提供或改进控制措施。

3.微观层面。

企业的微观层面是关系最为纷繁复杂、数据流转最为频密的一个层面,它以岗位职责和员工手册为基础,以信息技术为手段对中观层和宏观层起支撑作用。岗位职责随流程细化而明晰,结合职业健康、作业安全、环保、廉洁、等风险因素的考虑,企业可建立一套清晰的岗位风险表,并在作业指导书、员工手册等工作指引中嵌入岗位风险防控措施,以有效实现增强风险意识、降低、预防腐败、员工健康成长的目标。另一方面,利用信息化的手段,在E化业务流程时嵌入风险管理,将业务流程活动的关键控制点设置于系统内,如超预算的资金控制、合同的多级联动审批、自动给料、出库量上限卡控、用户权限的制衡、日志保存等,不仅提升了操作的透明度,改善了信息不对称的情况,而且增强了内部控制有效性,实现了企业物流、资金流与信息流有机结合。

4.持续优化循环机制与动态风险管理体系。

风险管理是个动态的过程,风险管理体系也是一个动态、持续改进的过程。随着社会环境的变化、技术的发展以及企业战略目标的变化,风险管理体系必须随机而变,这就需要在内部设立一种持续优化循环的良性机制———即管理层应及时了解组织及其环境,优化风险管理的范围和风险准则,定期开展风险评估,更新风险清单、风险等级、风险带、风险图谱,并适时调整风险应对计划。

(二)风险管理在N公司的嵌入应用实例解析

N公司是一个大型的集团化企业,多元化经营,并且海外控股多家子公司,现以其“法律事务与合同管理”业务过程嵌入风险管理作案例介绍。首先,确定法律风险评估维度;其次,在合同管理流程中引入风险,建立风险矩阵,

1.确定法律风险评估维度。

在前述的风险管理体系宏观层面中,执行风险管理过程的第一个子过程“建立环境”,也是执行风险管理框架设计的第四项内容,即明确风险发生可能性维度,从1-可能性非常小到5-可能性非常高分为五级,以及明确法律风险评估维度,分为财务方面的影响和非财务方面的影响两个子维度,每个子维度从1-轻微到5-非常严重也分为五级。

2.设定风险等级计算模型。

风险等级=(财务方面的影响×0.65+非财务方面的影响×0.35)发生可能性。

3.确立风险应对策略。

风险等级≤3为低风险带,3≤风险等级<10为中风险带,风险等级≥10为高风险带。低风险带:风险接受,保持现有控制力度及相关内控措施有效性,并制定风险事后应对方案。中风险带:风险转移和风险控制,优化业务流程,强化风险控制措施使不确定性降低或风险影响程度降低,并制定应急预案,做好风险预警。高风险带:风险规避、风险转移和风险控制,优化业务流程和控制措施,使剩余风险向低风险区域靠近,并可考虑寻求外部单位分担风险或规避风险,制定应急预案,做好风险预警。

4.风险管理属性嵌入合同管理流程。

建立具有风险管理内容的合同管理流程,由三个部分组成,分别是合同管理流程图、流程执行要求与风险控制文档、相关表单等。第一,绘制合同管理流程图,清晰展示合同管理活动涉及的十余项活动的名称、执行部门、流转顺序和责任单位,并在风险事件对应的流程活动上以“红色五角星”标识。第二,梳理流程执行要求,根据流程目的、范围和业务需求,以“谁在什么地方用多长时间做什么以及怎么做的”方式,详细说明所有活动的具体工作内容和责任,并识别风险、分析与评价风险,编制流程执行要求与风险控制文档。第三,将流程活动涉及的所有输入、输出表单依次列示于后。

5.合同管理流程涉及的主要风险及控制目标。

合同管理流程涉及的主要风险有:K1:合同签订未经适当审批或未留下书面审批记录,可能导致不当或者虚假的合同签订,可能导致企业合法权益受到侵害。造成公司经济利益的损失。K2:合同未由公司恰当的经授权人员签订,可能导致不当或者虚假的合同签订,给公司带来法律风险或者经济利益的损失。K3:未妥善保管或使用合同印章,造成合同章错用、滥用,可能导致公司利益损失。K4:合同未全面履行,或没有及时履行且没有得到及时处理,或监控不当,可能导致企业诉讼失败、经济利益受损。K5:合同纠纷处理不当,可能损害企业利益、信誉和形象;合同纠纷引发的公司重大法律诉讼事项没有及时对外披露。针对合同管理流程的主要风险,优化审查、审批、跟踪记录等环节,强化事前的控制措施,以降低剩余风险,需要达到的控制目标如下:K1:确保合同在签订前经过合理的审批,以确保公司的经济利益不受损害。K2:确保合同由授权人签订,确保合同的有效性,维护公司的合法权益。K3:确保合同用章过程规范有序,维护公司的经济利益。K4:承办部门对合同的履行情况进行跟踪记录,并实施例行汇报机制。合同归口管理部门根据合同管理要求定期组织对合同履行情况的检查以及评估工作。K5:各承办部门在合同发生纠纷时,及时将发生的法律诉讼事项向法律事务人员以及合同签署人报告。公司法律顾问按照上市规则要求对公司的法律诉讼事项进行分析、整理,经确认需要披露的,按照上市规则进行披露。如上,合同管理流程中涉及的高风险在加强风险控制后,剩余风险转入中、低风险。

三、结语

正如ISO主席凯文所说“风险管理是嵌入到而不是附加于组织现存的实践或业务过程中。”我们应该清醒的认识到企业风险管理与组织流程的融合特性,要立足于嵌入性的角度去构建风险管理体系,持续改进和不断加强企业风险管理工作。本文以理论联系实践的方式,阐述了风险管理与组织过程的关系,以及基于嵌入性视角的风险管理内容,并以实例展示了风险管理嵌入流程管理体系的方法,对企业设计风险管理框架、全面推进风险管理工作起到一定的借鉴作用。

作者:李蔷 单位:深圳市中金岭南有色金属股份有限公司