一、企业风险管理发展历程
1.整合框架
风险是指预期结果的不确定性。风险不仅包括负面效应的不确定性,会给企业带来损失,即“危险”,还包括正面效应的不确定性,给企业增加价值,即“机会”。由于风险具有不确定性,于是人们重点关注的焦点便集中在风险管理上。这时,需要一个强有力的框架以便有效地识别、评估和控制风险。企业风险管理整合框架涵盖了内部控制整合框架,并且拓展了内部控制整合框架,但是它没有立即取代内部控制整合框架。ERM框架中对企业风险管理的定义如下:企业风险管理是由一个主体的董事会、管理当局和其他人员实施的,应用于战略制订并贯穿于企业之中,它是一个过程,目的是识别可能会对主体产生影响的潜在事项,把其控制在该主体的风险容量内,为主体目标的实现提供保障。本框架将主体的目标分为四类:战略目标——最高层次的目标、经营目标——包括资源运用的效果和效率、报告目标——报告的可靠性与合规目标。与内部控制框架相比,ERM提出了新的目标——战略目标,并把它放在最高层次上,这就是说企业风险管理的内容与范围上升到了战略高度。同时首次提出了总体层面上的风险组合观,也就是说管理者确定战略目标时,要保持战略与风险偏好的一致,选择与企业风险偏好一致的战略,从风险组合的观点看待风险。在组成要素上,ERM新增了3个要素,ERM框架主要由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督八个要素组成。企业风险管理是一个动态的过程,ERM框架明确提出了风险管理流程:立足于企业内部环境,制定相应的目标,识别相关事项,并进行风险评估,对评估的风险进行反应并控制,整个风险管理过程全部处在监控中,借助信息与沟通实现。
2.国内内部控制的动向
近年来,由于内控不到位而导致企业、公众损失的案例时有发生:中航油陈久霖案,利用金融衍生工具投机,造成国有资产流失;南方航空副总裁委托理财机构操纵自己公司股票,最终资不抵债,破产重组;由于运营风险管理失控导致的三鹿毒奶粉事件;中信泰富签订杠杆式外汇合约导致企业巨亏事件;国美电器黄光裕案、四川长虹等案例的出现是国内企业管理机构下定决心完善内控的重要原因。2010年4月26日,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》,连同2008年5月的《企业内部控制基本规范》,这些政策法规的制定,构建了企业内控规范体系。
二、启示
面对日益复杂的经济环境,企业面临的风险不仅数量增多,种类也更加多样化。这就要求企业在加强自身内部控制的状况下,更要对企业风险管理予以重视。企业风险管理贯穿于企业之中,上自股东会、董事会高层人员,下到公司员工都对企业风险管理起着相应的作用与影响。董事制定的战略规划,公司各业务部门应该积极地去识别与评估为实现业务目标而面临的风险并制定相应的风险应对方案,管理风险以使其在企业的风险容量之内。减少和降低风险所带来的损失,并对日常运营管理中的重点工作实现风险监控和报告。诚然,即使是有效的企业风险管理也可能会失败,这就是说企业风险管理只能为企业实现目标提供合理保证而不是绝对保证,还需要正常的日常经营活动、管理者对决策的判断和组织中各个层级人员职责的发挥。
作者:王小琛 单位:首都经济贸易大学会计学院
