在當今復雜的商業(yè)環(huán)境中,每個企業(yè)都面臨眾多的風險因素,不僅是火災�、財產(chǎn)損害�����、業(yè)務中斷���、盜竊及產(chǎn)品責任等傳統(tǒng)風險��,還包括計算機風險����、恐怖主義和影響企業(yè)創(chuàng)新的規(guī)則等不斷涌現(xiàn)的風險因素�,企業(yè)的聲譽也受到不同風險因素的威脅����。
企業(yè)風險管理(ERM)是一套系統(tǒng)化的方法,用來管理企業(yè)面臨的各種風險�����。企業(yè)風險管理包括內(nèi)部環(huán)境�����、目標制定��、事項識別、風險評估���、風險反應����、控制活動��、信息和溝通�、監(jiān)控等八個相互關聯(lián)的要素��,貫穿在企業(yè)的管理過程之中。根據(jù)美國損失控制協(xié)會對美國企業(yè)的統(tǒng)計,未設置風險管理系統(tǒng)的企業(yè),70%在遭受巨災后5年內(nèi)會結束營業(yè);對于已建立企業(yè)風險管理系統(tǒng)的企業(yè)而言�����,在面臨損失事故時將具有更大的競爭優(yōu)勢。
企業(yè)風險管理存在的問題
1.混淆風險管理與內(nèi)部控制的關系。許多企業(yè)的管理者將內(nèi)部控制與企業(yè)管理和風險管理等同起來�,常常產(chǎn)生這樣的誤解:內(nèi)部控制可保證企業(yè)成功并使其財務報告絕對合法��;內(nèi)部控制可以防止企業(yè)決策的失誤;建立了內(nèi)部控制就等于實施了科學管理等。兩者混淆的關鍵原因,是沒有看到內(nèi)部控制管理是風險管理的本質(zhì)要求。
2.過分關注內(nèi)部控制細節(jié)而忽視企業(yè)風險管理���。企業(yè)把主要精力放在所有細小的、微不足道的控制上�����,如有些企業(yè)差旅費報銷的規(guī)定長達數(shù)十頁,極其繁瑣,表面上控制得很好����,但浪費了許多管理資源����,還會使企業(yè)重大風險被忽視�。
3.只重視內(nèi)部控制設計而疏于其執(zhí)行效果�����,使企業(yè)承擔巨大風險。任何一個企業(yè)都或多或少地存在一定的內(nèi)部控制��,否則,企業(yè)無法正常運行。企業(yè)把大量精力放在設計內(nèi)部控制上����,而在如何保證制度實施方面�,則缺乏應有的措施���;在具體控制活動和監(jiān)督等方面存在缺陷��,所以很難保證已設計好的內(nèi)部控制能夠得到執(zhí)行。如果企業(yè)用這樣一紙空文來管理,勢必會帶來巨大風險。
4.對風險管理缺乏足夠重視���。與國際領先企業(yè)相比,除了我國的金融�、保險等高風險行業(yè)非常重視風險管理外��,大部分企業(yè)尚未足夠重視��,風險管理還處于起步階段。企業(yè)過分強調(diào)增長和效益���,沒有處理好增長��、效益和風險之間的平衡�,在企業(yè)風險管理方面與國際領先企業(yè)存在很大的差距,缺乏如COSO《企業(yè)風險管理——整體框架》那樣的權威框架對企業(yè)風險管理的指導。由于有的風險是可以計量的�,因此�,部分企業(yè)應重視采取大量復雜的技術來管理這些風險����。此外�����,一些定性的風險也被忽視���,如聲譽風險、管制風險��、遵循風險�����、安全風險和政治風險等��,企業(yè)缺乏系統(tǒng)和全面的風險管理��。
應加強合規(guī)性風險管理
每個企業(yè)由于所處發(fā)展階段不同,因而面臨的最大風險也存在差異���。有的企業(yè)是戰(zhàn)略風險問題�,有的企業(yè)是經(jīng)營風險問題,也有企業(yè)是財務風險問題����。但我國企業(yè)目前普遍面臨的最大風險問題是法律法規(guī)的遵循風險,也就是合規(guī)性風險���。它主要是由于企業(yè)既沒有滿足法律���、法規(guī)、規(guī)則要求���,也沒有遵循自己制定的標準���,以及運作的行為準則�,而造成企業(yè)面臨著財務損失的風險或者聲譽風險�。
以立法的形式促進企業(yè)加強內(nèi)部控制
針對安然、世通等財務欺詐事件,美國國會出臺了《2002年公眾公司會計改革和投資者保護法案》���。法案的核心在于促進企業(yè)完善內(nèi)部控制�����,加強信息披露的質(zhì)量和透明度�����,并對公司管理層提出了明確的責任要求�����。法案還將影響到公司的各項管理行為��,公司的財務���、內(nèi)部審計、風險管理����、人力資源政策和程序、公司治理等諸多方面�。
可見,以立法的形式來要求企業(yè)加強其內(nèi)部控制���,其影響和意義是深遠的��。從我國企業(yè)的實際情況分析����,企業(yè)內(nèi)部控制的不足主要表現(xiàn)在:內(nèi)部控制過分關注如何達到財務報告目標的要求,忽視內(nèi)部控制的經(jīng)營目標和滿足法律法規(guī)要求的目標��,并受限于會計控制�;在內(nèi)部控制的整體結構上,重視業(yè)務層面控制�,忽略公司層面和信息系統(tǒng)層面的控制;缺乏完整的內(nèi)部控制文檔�����,以及對主要業(yè)務環(huán)節(jié)/程序/目標/風險/控制的全面分析�;內(nèi)部控制按傳統(tǒng)的職能部門開展,缺乏流程觀�,內(nèi)部控制不系統(tǒng)化;缺乏正式的內(nèi)部控制測試方法���,管理層內(nèi)控報告依據(jù)不充分等���。正如COSO在其《企業(yè)風險管理——整體框架》中指出的那樣,內(nèi)部控制是企業(yè)風險管理必不可少的一部分��,風險管理框架建立在內(nèi)部控制框架的基礎上��。我國企業(yè)要加強風險管理,首先要從內(nèi)部控制人手��,再通過立法的形式予以強化���,以此推動我國企業(yè)內(nèi)部控制體系的建設。
內(nèi)部審計的作用日趨重要
風險管理監(jiān)督和風險承受部門必須有效分離��,這已成為現(xiàn)代經(jīng)營風險管理的一項重要原則����。隨著公司治理力度和風險防范意識的加強,整合提升管理水平��,內(nèi)部質(zhì)量管理體系審核必然會成為組織內(nèi)部控制的一種重要方式����。
1.內(nèi)部審計師從評價各部門的內(nèi)部控制制度入手,在生產(chǎn)�����、采購����、銷售�、財務會計����、人力資源管理等各個領域查找管理漏洞,識別并防范風險�,查錯糾弊,對既成損失提出應對策略等。
2.內(nèi)部審計可以深入到經(jīng)營管理的各個過程和行為,分析其合理性�����,查找并防范風險。
3.內(nèi)部審計在部門風險管理中還起著協(xié)調(diào)作用����。不僅各部門有內(nèi)部風險,而且各管理部門還有共同承擔的綜合風險�,內(nèi)部審計師作為第三方,可協(xié)調(diào)各部門共同管理這一投資決策帶來的風險��。
4.內(nèi)部審計有助于識別組織風險��,風險管理的首要環(huán)節(jié)是對風險的識別���。內(nèi)部審計正是以風險敏感性分析為起點開展工作���。
5.內(nèi)部審計有助于進一步確定并防范風險���。通過審查業(yè)務流程的合規(guī)性,在生產(chǎn)環(huán)節(jié)中識別并防范風險�,避免因生產(chǎn)計劃和實際生產(chǎn)脫節(jié)造成的產(chǎn)品積壓和供不應求產(chǎn)生的損失���。
6.人力資源管理內(nèi)部控制審計�����。許多大型跨國集團包括眾多的成本利潤中心�����,這些成本利潤中心有相對的獨立性��,它們的負責人管理水平的高低直接影響到整個集團的效益��。對一些關鍵崗位人員聘用的失誤�,往往給組織帶來巨大的經(jīng)濟損失甚至造成滅頂之災���。任期經(jīng)濟責任審計是高級管理人員崗位輪換�、解聘、重新聘任���、提拔的前提����。在任期審計中被認為業(yè)績不佳的管理人員不能得到職位提升��,大大減少了人員聘用不當帶來的風險���。
人力資源管理在風險管理中的重要性
人力資源風險管理中最常見的幾類問題包括:黑單�����、泄露公司機密及商業(yè)秘密����、虛報或假報賬目等���。出現(xiàn)以上問題�����,有以下幾個方面的原因:我國社會信用體系不完善��;公司內(nèi)部管理制度存在缺陷�,制度不全面,特別是有些企業(yè)根本沒有建立人力資源道德風險的防范和監(jiān)督制度��;員工職業(yè)素養(yǎng)有待提高��,缺少必要的職業(yè)規(guī)范和素質(zhì)或者道德水準��。因此�����,企業(yè)加強內(nèi)部風險控制��,必須建立并完善內(nèi)部人力資源風險防范體系和危機處理機制�,控制內(nèi)部人力資源風險�,從而保障企業(yè)商業(yè)安全。
一是建立人力資源風險管理體系��,其重點在于建立事前的風險防范和事中風險監(jiān)控機制����。企業(yè)必須培養(yǎng)事前風險防范意識,并建立相應的監(jiān)督體制�,以確保這種意識落實到現(xiàn)實的管理過程中���;企業(yè)須建立完善的數(shù)據(jù)記載機制,對記載數(shù)據(jù)進行分析并合理利用����。
二是建立事中預防監(jiān)控機制。事中預防監(jiān)控是事前防范的延伸���。公司內(nèi)部要對在職人員�����,特別是重要崗位員工進行公開的定期���、不定期考核或心理測試,加強對員工個人職業(yè)素養(yǎng)的培訓與提高�,完善新員工的培訓機制和對在職員工的考核機制;公司外部可聘請專業(yè)的調(diào)查公司對重點崗位員工的盡職狀況進行定期保密調(diào)查�����。
三是建立事后危機處理機制��。公司內(nèi)部要設立專門的危機管理部門,并不斷健全和完善部門制度�����。
把風險管理落到實處
風險管理是企業(yè)管理中的重要內(nèi)容�����,風險管理機制更是企業(yè)管理體系的關鍵組成部分�。然而,這些卻是目前中國企業(yè)在項目管理方面的薄弱環(huán)節(jié)�。如何切實地進行風險管理,建立風險管理機制����,是企業(yè)項目管理走向成熟過程中必須要解決的問題�。
1.風險識別主要是確定何種風險可能會對項目產(chǎn)生影響,并以明確的文檔描述這些風險及其特性��。一般來講�,風險識別是一個反復進行的過程,由項目主要成員�����、企業(yè)風險管理小組分頭進行,盡可能地識別出項目可能存在的風險���。對風險進行分類和歸納是風險識別中常用的方法�。風險分類應該是經(jīng)過綜合考慮而定義的����,應當反映出項目所屬行業(yè)或應用領域內(nèi)的常見風險來源。
2.風險分析是評估已識別出風險的影響和可能性的過程�。風險分析可以選擇定性分析或定量分析方法,進一步確定已識別的風險對項目目標的影響��,并根據(jù)其影響對風險進行排序���,確定項目的關鍵風險項�����,并指導接下來的風險應對計劃的制定�����。項目的風險指數(shù)是一個有效的指標����,代表整個項目的風險程度,同時該指標也可以用于橫向比較不同項目之間的風險程度�����。
3.風險應對主要是針對項目的風險開發(fā)來制定一個風險應對的方案��,提高實現(xiàn)項目目標的機會���。風險應對計劃包括項目主要風險����,針對該風險的主要應對措施����,每個措施必須有明確的人員來負責,要求完成的時間以及進行的狀態(tài)����。
4.風險監(jiān)控主要是在項目執(zhí)行的過程中���,跟蹤已識別的風險�����,監(jiān)視殘余風險和識別新的風險��,確保項目風險應對計劃的執(zhí)行�����,評估風險應對措施對減少風險的有效性�����。風險監(jiān)控是項目整個生命周期中的一種持續(xù)過程���,隨著項目逐漸的推進���,風險會不斷變化,可能會有新的風險出現(xiàn)����,也可能有預期的風險消失。
逐步推行全面風險管理
有關機構應積極推動制定如COSO《企業(yè)風險管理——整體框架》那樣的框架��,以指導我國企業(yè)的風險管理�。我國企業(yè)應積極借鑒國外先進的企業(yè)風險管理理念和方法,建立和完善全面的風險管理體系��,通過持續(xù)的風險管理來評估決策和交易中的風險,計算實行風險管理所取得的報酬和不實行風險管理所遭受的懲罰�����。其目的是發(fā)現(xiàn)和處理好企業(yè)在減輕財務���、經(jīng)營和戰(zhàn)略風險與為股東創(chuàng)造競爭價值之間的適當平衡�����。以結構化的風險管理過程為理論基礎���,根據(jù)企業(yè)的業(yè)務特點,制定企業(yè)的風險管理方針和制度��,然后結合實用的風險管理軟件�����,特別是軟件平臺與知識庫相結合的軟件工具����,形成切實可行、易于操作�����、收效突出的風險管理機制�����,把風險管理落到實處����,提升企業(yè)的管理能力,為企業(yè)實現(xiàn)價值�。
浙公網(wǎng)安備 33010802003509號