在当今复杂的商业环境中,每个企业都面临众多的风险因素,不仅是火灾、财产损害、业务中断、盗窃及产品责任等传统风险,还包括计算机风险、恐怖主义和影响企业创新的规则等不断涌现的风险因素,企业的声誉也受到不同风险因素的威胁。
企业风险管理(ERM)是一套系统化的方法,用来管理企业面临的各种风险。企业风险管理包括内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素,贯穿在企业的管理过程之中。根据美国损失控制协会对美国企业的统计,未设置风险管理系统的企业,70%在遭受巨灾后5年内会结束营业;对于已建立企业风险管理系统的企业而言,在面临损失事故时将具有更大的竞争优势。
企业风险管理存在的问题
1.混淆风险管理与内部控制的关系。许多企业的管理者将内部控制与企业管理和风险管理等同起来,常常产生这样的误解:内部控制可保证企业成功并使其财务报告绝对合法;内部控制可以防止企业决策的失误;建立了内部控制就等于实施了科学管理等。两者混淆的关键原因,是没有看到内部控制管理是风险管理的本质要求。
2.过分关注内部控制细节而忽视企业风险管理。企业把主要精力放在所有细小的、微不足道的控制上,如有些企业差旅费报销的规定长达数十页,极其繁琐,表面上控制得很好,但浪费了许多管理资源,还会使企业重大风险被忽视。
3.只重视内部控制设计而疏于其执行效果,使企业承担巨大风险。任何一个企业都或多或少地存在一定的内部控制,否则,企业无法正常运行。企业把大量精力放在设计内部控制上,而在如何保证制度实施方面,则缺乏应有的措施;在具体控制活动和监督等方面存在缺陷,所以很难保证已设计好的内部控制能够得到执行。如果企业用这样一纸空文来管理,势必会带来巨大风险。
4.对风险管理缺乏足够重视。与国际领先企业相比,除了我国的金融、保险等高风险行业非常重视风险管理外,大部分企业尚未足够重视,风险管理还处于起步阶段。企业过分强调增长和效益,没有处理好增长、效益和风险之间的平衡,在企业风险管理方面与国际领先企业存在很大的差距,缺乏如COSO《企业风险管理——整体框架》那样的权威框架对企业风险管理的指导。由于有的风险是可以计量的,因此,部分企业应重视采取大量复杂的技术来管理这些风险。此外,一些定性的风险也被忽视,如声誉风险、管制风险、遵循风险、安全风险和政治风险等,企业缺乏系统和全面的风险管理。
应加强合规性风险管理
每个企业由于所处发展阶段不同,因而面临的最大风险也存在差异。有的企业是战略风险问题,有的企业是经营风险问题,也有企业是财务风险问题。但我国企业目前普遍面临的最大风险问题是法律法规的遵循风险,也就是合规性风险。它主要是由于企业既没有满足法律、法规、规则要求,也没有遵循自己制定的标准,以及运作的行为准则,而造成企业面临着财务损失的风险或者声誉风险。
以立法的形式促进企业加强内部控制
针对安然、世通等财务欺诈事件,美国国会出台了《2002年公众公司会计改革和投资者保护法案》。法案的核心在于促进企业完善内部控制,加强信息披露的质量和透明度,并对公司管理层提出了明确的责任要求。法案还将影响到公司的各项管理行为,公司的财务、内部审计、风险管理、人力资源政策和程序、公司治理等诸多方面。
可见,以立法的形式来要求企业加强其内部控制,其影响和意义是深远的。从我国企业的实际情况分析,企业内部控制的不足主要表现在:内部控制过分关注如何达到财务报告目标的要求,忽视内部控制的经营目标和满足法律法规要求的目标,并受限于会计控制;在内部控制的整体结构上,重视业务层面控制,忽略公司层面和信息系统层面的控制;缺乏完整的内部控制文档,以及对主要业务环节/程序/目标/风险/控制的全面分析;内部控制按传统的职能部门开展,缺乏流程观,内部控制不系统化;缺乏正式的内部控制测试方法,管理层内控报告依据不充分等。正如COSO在其《企业风险管理——整体框架》中指出的那样,内部控制是企业风险管理必不可少的一部分,风险管理框架建立在内部控制框架的基础上。我国企业要加强风险管理,首先要从内部控制人手,再通过立法的形式予以强化,以此推动我国企业内部控制体系的建设。
内部审计的作用日趋重要
风险管理监督和风险承受部门必须有效分离,这已成为现代经营风险管理的一项重要原则。随着公司治理力度和风险防范意识的加强,整合提升管理水平,内部质量管理体系审核必然会成为组织内部控制的一种重要方式。
1.内部审计师从评价各部门的内部控制制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,查错纠弊,对既成损失提出应对策略等。
2.内部审计可以深入到经营管理的各个过程和行为,分析其合理性,查找并防范风险。
3.内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计师作为第三方,可协调各部门共同管理这一投资决策带来的风险。
4.内部审计有助于识别组织风险,风险管理的首要环节是对风险的识别。内部审计正是以风险敏感性分析为起点开展工作。
5.内部审计有助于进一步确定并防范风险。通过审查业务流程的合规性,在生产环节中识别并防范风险,避免因生产计划和实际生产脱节造成的产品积压和供不应求产生的损失。
6.人力资源管理内部控制审计。许多大型跨国集团包括众多的成本利润中心,这些成本利润中心有相对的独立性,它们的负责人管理水平的高低直接影响到整个集团的效益。对一些关键岗位人员聘用的失误,往往给组织带来巨大的经济损失甚至造成灭顶之灾。任期经济责任审计是高级管理人员岗位轮换、解聘、重新聘任、提拔的前提。在任期审计中被认为业绩不佳的管理人员不能得到职位提升,大大减少了人员聘用不当带来的风险。
人力资源管理在风险管理中的重要性
人力资源风险管理中最常见的几类问题包括:黑单、泄露公司机密及商业秘密、虚报或假报账目等。出现以上问题,有以下几个方面的原因:我国社会信用体系不完善;公司内部管理制度存在缺陷,制度不全面,特别是有些企业根本没有建立人力资源道德风险的防范和监督制度;员工职业素养有待提高,缺少必要的职业规范和素质或者道德水准。因此,企业加强内部风险控制,必须建立并完善内部人力资源风险防范体系和危机处理机制,控制内部人力资源风险,从而保障企业商业安全。
一是建立人力资源风险管理体系,其重点在于建立事前的风险防范和事中风险监控机制。企业必须培养事前风险防范意识,并建立相应的监督体制,以确保这种意识落实到现实的管理过程中;企业须建立完善的数据记载机制,对记载数据进行分析并合理利用。
二是建立事中预防监控机制。事中预防监控是事前防范的延伸。公司内部要对在职人员,特别是重要岗位员工进行公开的定期、不定期考核或心理测试,加强对员工个人职业素养的培训与提高,完善新员工的培训机制和对在职员工的考核机制;公司外部可聘请专业的调查公司对重点岗位员工的尽职状况进行定期保密调查。
三是建立事后危机处理机制。公司内部要设立专门的危机管理部门,并不断健全和完善部门制度。
把风险管理落到实处
风险管理是企业管理中的重要内容,风险管理机制更是企业管理体系的关键组成部分。然而,这些却是目前中国企业在项目管理方面的薄弱环节。如何切实地进行风险管理,建立风险管理机制,是企业项目管理走向成熟过程中必须要解决的问题。
1.风险识别主要是确定何种风险可能会对项目产生影响,并以明确的文档描述这些风险及其特性。一般来讲,风险识别是一个反复进行的过程,由项目主要成员、企业风险管理小组分头进行,尽可能地识别出项目可能存在的风险。对风险进行分类和归纳是风险识别中常用的方法。风险分类应该是经过综合考虑而定义的,应当反映出项目所属行业或应用领域内的常见风险来源。
2.风险分析是评估已识别出风险的影响和可能性的过程。风险分析可以选择定性分析或定量分析方法,进一步确定已识别的风险对项目目标的影响,并根据其影响对风险进行排序,确定项目的关键风险项,并指导接下来的风险应对计划的制定。项目的风险指数是一个有效的指标,代表整个项目的风险程度,同时该指标也可以用于横向比较不同项目之间的风险程度。
3.风险应对主要是针对项目的风险开发来制定一个风险应对的方案,提高实现项目目标的机会。风险应对计划包括项目主要风险,针对该风险的主要应对措施,每个措施必须有明确的人员来负责,要求完成的时间以及进行的状态。
4.风险监控主要是在项目执行的过程中,跟踪已识别的风险,监视残余风险和识别新的风险,确保项目风险应对计划的执行,评估风险应对措施对减少风险的有效性。风险监控是项目整个生命周期中的一种持续过程,随着项目逐渐的推进,风险会不断变化,可能会有新的风险出现,也可能有预期的风险消失。
逐步推行全面风险管理
有关机构应积极推动制定如COSO《企业风险管理——整体框架》那样的框架,以指导我国企业的风险管理。我国企业应积极借鉴国外先进的企业风险管理理念和方法,建立和完善全面的风险管理体系,通过持续的风险管理来评估决策和交易中的风险,计算实行风险管理所取得的报酬和不实行风险管理所遭受的惩罚。其目的是发现和处理好企业在减轻财务、经营和战略风险与为股东创造竞争价值之间的适当平衡。以结构化的风险管理过程为理论基础,根据企业的业务特点,制定企业的风险管理方针和制度,然后结合实用的风险管理软件,特别是软件平台与知识库相结合的软件工具,形成切实可行、易于操作、收效突出的风险管理机制,把风险管理落到实处,提升企业的管理能力,为企业实现价值。