企业风险管理(ERM)是一套系统化的方法,用来理解和管理企业面临的各种风险。企业风险管理包括内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素,贯穿在企业的管理过程之中。根据美国损失控制协会对于美国企业的统计,未设置风险管理系统的企业,70%在遭受巨灾后5年内会结束营业。对于已建立企业风险管理系统的公司而言,在面临损失事故时将具有更大的竞争优势。一个成功的企业风险管理系统是藉由公司政策、发展策略、资源管理、组织架构、操作程序及营运上各项关键参数所发展而成,而企业建立与提升风险管理能力,除了能有效降低灾害发生后之严重性之外,更能提升企业相关人员风险管控与灾后复原的技能与专业,落实管理运作之必要基础。
1风险管理的基本要素
内部环境:企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。企业管理者是内部环境的重要部分,其职责是建立企业风险管理理念,确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的初步行动结合起来。
目标制定:根据企业确定的任务或发展方向,管理者制定企业的战略目标,选择战略方案并确定其他与之相关的目标,在企业内层层分解和落实。
事项识别:有时,管理者不能确切地知道某一潜在事项是否会发生、何时发生及造成的结果,使得企业的管理者需要对这些事项进行识别。
风险评估:风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估——风险发生的可能性和影响。风险评估应从企业的发展战略角度进行。
风险反应:风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险,企业都应考虑所有的风险反应方案。选定某一风险反应方案后,管理者应在残存风险的基础上重新评估风险,即从企业总体的角度,或者从组合风险的角度,重新计量风险。
控制活动:控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业为实现其商业目标而执行过程的一部分。
信息和沟通:来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责,包括企业内自上而下、自下而上以及横向的沟通。
监控:对企业风险管理的监控,是指评估风险管理要素的内容和运行中执行质量的一个过程。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。
2 企业风险管理的方法
每个企业在经营中都有可能性发生风险,如何化解和减少风险是企业经营者必须进行研究的。首先要明确有哪几种风险,然后有的放矢地采取措施。只有加强风险意识,进行科学的管理和科学的决策,建立起相应的制度才能避免风险的发生。从目前市场环境来看主要有七种风险,相应采取的措施有:
经济合同风险:是指企业在履行经济合同过程中,对方违反合同规定或遇到不可抗力影响,造成本企业的经济损失。因此,企业在进行经营和产品合同签订后的履约及赔偿责任问题。合同签订后还应密切注视其执行情况,要有远见地处理随时发生的变化。
债务风险:是指企业举债不当或举债后资金使用不当致使企业遭受损失。为了避免企业资产负债,企业应控制负债比率。
担保风险:是指为其他企业的贷款提供担保,最后因其他企业无力还款而代其偿还债务。企业应谨慎办理担保业务,严格审批手续,一定要完善反担保手续以避免不必要的损失。
汇率风险:是指企业在经营进出口及其他对外经济活动时,因本国与外国汇率变动,使企业在兑换过程中遭受的损失。企业平时就要随时注意其外币债务,密切注视各种货币的汇率变化,以便采取相应措施。
投资风险:是指因投资不当造成投产企业经营的效益不好,投资资本下跌。企业对此应采取:在项目投资前,一定要各职能部门和项目评审组一起进行严格的、科学的审查和论证,不能盲目运作。对外资项目更不能作风险承诺,也不能作差额担保和许诺固定回报率。
产品市场风险:是指因市场变化、产品滞销等原因导致跌价或不能及时卖出自己的产品。产生市场风险的原因有三个:(1)市场销售不景气,包括市场疲软和产品产销不对路;(2)商品更新换代快,新产品不能及时投放市场;(3)国外进口产品挤占国内市场。必须对症下药。
存货风险:是指因价格变动或过时、自然损耗等损失引起存货价值减少。这时企业应马上清理存货,生产时要控制投入、控制采购、按时产出,加强保管。
3 当前我国企业风险管理存在的问题
1)混淆风险管理与内部控制的关系
许多企业的管理者将内部控制与企业管理和风险管理等同起来,常常产生这样的误解:内部控制可保证企业成功并使其财务报告绝对合法;内部控制可以防止企业决策的失误;建立了内部控制就等于实施了科学管理等。两者混淆的关键,在于没有看到内部控制管理是风险管理的本质性要求。
2)过分关注内部控制细节而忽视企业风险管理
企业把主要精力放在所有细小的、微不足道的控制上,如有些企业差旅费报销的规定长达数十页,极其繁琐,表面上控制得很好,但浪费了许多管理资源,还会忽视企业重大风险。
3)只重视内部控制设计而疏于其执行效果,使企业承担巨大风险
任何一个公司都或多或少存在一定的内部控制,否则,公司无法正常运行。公司把大量的精力放在设计内部控制上,而在如何保证制度实施方面,则缺乏应有的措施。在具体控制活动和监督等方面存在缺陷,所以很难保证已设计好的内部控制能够得到执行。如果企业用这一纸空文来管理,势必会带来巨大风险,最终走向灭亡。
4)对风险管理缺乏足够重视
与国际领先企业相比,除了我国的金融、保险等高风险行业非常重视风险管理外,大部分企业尚没有引起应有的重视,风险管理尚处于起步阶段,过分强调企业的增长和效益,没有处理好增长、效益和风险之间的平衡,在企业风险管理方面存在诸多差距。缺乏如COSO《企业风险管理——整体框架》那样的权威框架对企业风险管理的指导;由于有的风险是可以计量的,因此,部分企业重视采取大量复杂的技术来管理这些风险。但是,一些定性的风险却被忽视,如声誉风险、管制风险、遵循风险、安全风险和政治风险等,企业缺乏系统和全面的风险管理。
4 当前应首先加强合规性风险管理
每个企业由于所处发展阶段不同,因而面临的最大风险也存在差异。有的企业是战略风险问题,有的企业是经营风险问题,也有企业是财务风险问题。但我国企业目前普遍面临的最大风险问题是法律法规的遵循风险,也就是合规性风险。它主要是由于企业无法满足法律、法规、规则要求,也没有遵循自己制定的标准,以及运作的行为准则,而造成企业面临着财务损失的风险或者声誉风险。
因此,当前我国企业应首先强调合规性风险的管理。合规在企业文化里非常重要,强调诚信和正直,这点需要从董事会和高层领导做起,这也是我国企业规避风险的必要措施。合规关系到企业内的每一位职员。企业在经营时,必须以高标准来要求每个职员,确保所有行为达到合规的要求。一旦违规操作,将对股东、客户、职员以及市场带来严重的负面影响,并将影响企业的声誉。
5 以立法的形式促进企业加强内部控制
针对安然、世通等财务欺诈事件,美国国会出台了《2002年公众公司会计改革和投资者保护法案》。法案的核心在于促进企业完善内部控制,加强信息向公众披露的质量和透明度,并对公司管理层提出了明确的责任要求。法案还将影响到公司的各项管理行为,公司的会计和财务、内部审计、风险管理、人力资源政策和程序、公司治理等诸多方面。
可见,以立法的形式来要求企业加强其内部控制,其影响和意义是深远的。从我国企业的实际情况分析,企业内部控制的不足主要表现在:内部控制过分关注如何达到财务报告目标的要求,忽视内部控制的经营目标和满足法律法规要求的目标,并受限于会计控制;在内部控制的整体结构上,重视业务层面控制,忽略公司层面和信息系统层面的控制:缺乏完整的内部控制文档,以及对主要业务环节/程序/目标/风险/控制的全面分析;内部控制按传统的职能部门开展,缺乏流程观,内部控制不系统化;缺乏正式的内部控制测试方法,管理层内控报告依据不充分等。正如COSO在其《企业风险管理——整体框架》中所指出的那样,内部控制是企业风险管理必不可少的一部分,风险管理框架建立在内部控制框架的基础上。我国企业要加强风险管理,首先从内部控制人手,而通过立法的形式予以强化,将推动我国企业的内部控制体系的建设。
6 内部审计在企业风险管理中的作用日趋重要
风险管理监督和风险承受部门必须有效分离,这已成为现代经营风险管理的一项重要原则。随着公司治理力度和风险防范意识的加强,整合提升管理水平,内部质量管理体系审核必然会成为组织内部控制的一种重要方式。
1)内部审计师从评价各部门的内部控制制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,查错纠弊,对既成损失提出应对策略等。
2)内部审计可以深入到经营管理的各个过程和行为,分析其合理性,查找并防范风险。
3)内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计师作为第三方,可协调各部门共同管理这一投资决策带来的风险。
4)内部审计有助于识别组织风险。风险管理的首要环节是对风险的识别。内部审计正是以风险敏感性分析为起点开展工作。内部审计人员通常关注的风险主要有:财务和经营信息不足;政策、计划、程序、法律和标准贯彻失败;资产流失;资源浪费和无效使用;不能达到目的和目标。在决定所要审计的内容之前,内部审计师不仅要评估和备选内容相关的风险的类型,还要评估当前有多少风险。按照各待审内容风险水平的顺序排列,然后首先审查高风险的内容。
5)内部审计有助于进一步确定并防范风险。通过审查业务流程的合规性,在生产环节中识别并防范的风险,避免因生产计划和实际生产脱节造成的产品积压和供不应求产生的损失。
6)人力资源管理内部控制审计。许多大型跨国集团包括众多的成本利润中心,这些成本利润中心有相对的独立性,它们的负责人管理水平的高低直接影响到整个集团的效益。对一些关键岗位人员聘用的失误,往往给组织带来巨大的经济损失甚至造成灭顶之灾。任期经济责任审计是高级管理人员岗位轮换、解聘、重新聘任、提拔的前提。在任期审计中认为业绩不佳的管理人员不能得到职位提升,大大减少了人员聘用不当带来的风险。
7 人力资源管理在风险管理中的重要性
人力资源风险管理中最常见的几类问题,包括:黑单、泄露公司机密及商业秘密、虚报或假报账目等。出现以上问题,有以下几个方面的原因:我国社会信用体系不完善;公司内部管理制度存在缺陷,制度制订不足,特别是有些企业根本没有建立人力资源道德风险的防范和监督制度,公司管理层对公司制度执行不力,甚至参与有损公司利益的行为;员工职业素养有待提高,缺少必要的职业规范和素质或者道德水准、特别是尽职性不高。因此,企业加强内部风险控制,必须建立并完善内部人力资源风险防范体系和危机处理机制,控制内部人力资源风险,从而保障企业商业安全。
建立人力资源风险管理体系,其重点在于建立事前的风险防范和事中风险监控机制。企业必须培养事前风险防范的意识,并建立相应的监督体制,以确保这种意识落实到现实的管理过程中;企业监督体制的建立和实际运作,包括雇佣资质调查和背景调查、风险测试机制;企业须建立完善的数据记载机制,对记载数据进行分析并合理利用。
其次,建立事中预防监控机制。事中预防监控是事前防范的延伸。公司内部,要对在职人员,特别是重要岗位员工进行公开的定期、不定期考核或心理测试;加强对员工个人职业素养的培训与提高,完善新员工的培训机制和对在职员工的考核机制。公司外部,可聘请专业的调查公司对重点岗位员工的尽职状况进行定期保密调查。
最后,建立事后危机处理机制。公司内部要设立专门的危机管理部门,并不断健全和完善部门制度;公司外部,可聘请专业调查公司对在职人员、离职人员的职业去向进行追踪调查。
8 把风险管理落到实处的四步曲
风险管理是企业管理中的重要内容,风险管理机制更是企业管理体系的关键组成部分。然而,这些却是目前中国企业在项目管理方面的薄弱环节。如何切实地进行风险管理,建立风险管理机制,是企业项目管理走向成熟过程中必须要解决的问题。
1、风险识别
主要是确定何种风险可能会对项目产生影响,并以明确的文档描述这些风险和其特性。风险识别一般来讲,是一个反复进行的过程,由项目主要成员、企业风险管理小组分头进行,来尽可能地识别出项目可能存在的风险。对风险进行分类和归纳是风险识别中常用的方法。风险分类应该是经过综合考虑而定义的,应当反映出项目所属行业或应用领域内的常见风险来源。例如下面的分类:项目的技术方面的风险、项目的时间安排方面的风险、项目的财务方面的风险等。检查表是风险识别中非常有效的工具。根据以往类似的项目和积累的其他风险管理的知识和信息,可以开发和编制项目风险检查表。检查表的好处是使风险识别过程短平快,提高了效率。
2、风险分析
主要是评估已识别出风险的影响和可能性的过程。风险分析可以选择定性分析或定量分析方法,进一步确定已识别的风险对项目目标的影响,并根据其影响对风险进行排序,确定项目的关键风险项,并指导接下来的风险应对计划的制定。项目的风险指数是一个有效的指标,表征整个项目的风险程度。该指标,是应用一个风险指数计算的数学模型,根据风险识别和风险分析的结果,计算得到一个量化的项目风险指数。通过应用项目风险指数,在项目选择和执行过程中,以量化的指标反映项目的风险,监控风险管理的绩效。同时该指标,也可以用于横向比较不同项目之间的风险程度。
3、风险应对
主要是针对项目的风险开发和制定一个风险应对的方案,目的是提高实现项目目标的机会。风险应对计划包括项目主要风险,针对该风险的主要应对措施,每个措施必须有明确的人员来负责,要求完成的时间以及进行的状态。
4、风险监控
主要是在项目的整个过程中,跟踪已识别的风险,监视残余风险和识别新的风险,确保项目风险应对计划的执行,评估风险应对措施对减低风险的有效性。风险监控是项目整个生命周期中的一种持续的过程,随着项目逐渐的推进,风险会不断变化,可能会有新的风险出现,也可能有预期的风险的消失。
9 逐步推行全面风险管理
政府或有关机构应积极推动制定如COSO《企业风险管理——整体框架》那样的框架,以指导我国企业的风险管理;我国企业应积极借鉴国外先进的企业风险管理理念和方法,建立和完善全面的风险管理体系,通过持续的风险管理来评估决策和交易中的风险,计算实行风险管理所取得的报酬和不实行风险管理所得到的惩罚。其目的是发现和处理好企业在减轻财务、经营和战略风险与为股东创造竞争价值之间的恰当平衡。以结构化的风险管理过程为理论基础,根据企业的业务特点,制定企业的风险管理方针和制度,然后结合实用的风险管理软件,特别是软件平台与知识库相结合的软件工具,形成切实可行、易于操作、收效突出