发布时间:2023-06-30 16:06:47
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的企业风险与合规样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
摘要:中小企业作为我国经济实体的新生代正处于一个快速成长的阶段,然而,由于大多中小企业受家族因素影响,导致组织结构单一、高度集权、责权不分等,无形中给企业的快速成长设置了障碍。本文针对中小企业组织架构设计与运行中存在的风险,提出组织架构的科学设计与规范运行,以达到企业规避风险、持续发展的目的。
关键词 :中小企业;组织架构;科学设计;规范运行;风险
企业组织架构作为组织在职、责、权方面的动态结构体系,其本质是为实现组织战略目标而采取的一种分工协作体系,其作用是对于工作任务进行分工、分组和协调合作及权限的划分。目前,我国中小企业正面临“快成长”时代,但事实上我国中小企业组织架构的设计与运行机制不容乐观,组织架构不完备及不健全所产生的后果,破坏力极大,企业面临内部的系统化挑战。因此,中小企业要尽早规划内部管理系统的搭建,建立科学高效、能随组织的重大战略调整而调整的组织架构,并将其作为一种管理程序,以适应自身不断发展更新的形势。
一、我国中小企业组织架构的现状
(一)集权管理,组织架构模式单一。在我国,中小企业的组织架构普遍为直线等级控制模式,企业内部按职能划分若干部门,其权力集中于最高领导,实行统一指挥和控制,各部门没有相对的独立性。从上到下,不同层次上的岗位角色在所承担的子系统目标功能作用的内容上,没有质的区别,组织架构模式单一,不能承接企业发展战略。
(二)组织架构设计不科学。过于扁平的组织中管理幅度不平衡,管理层次少,各职能部门之间缺乏横向交流与沟通,造成工作难于协调,甚至出现互相扯皮或推诿的现象。
(三)家族式管理导致责权不分。在调查中,大多中小企业家族氛围浓重,其重要管理人员基本为家族成员,造成产权封闭、高度集权和一股独大的现状,以至于难以引进专业管理人员对企业进行规范管理,阻碍了中小企业向正规化道路发展。
二、中小企业组织架构设计与运行中存在的风险
(一)组织架构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。采用盲目的组织架构进行企业运作,使得组织架构的发展跟不上战略发展的需要,从而阻碍了企业持续快速的发展。据不完全统计,我国中小企业约85%没有完善的企业组织系统,即便有系统,80%系统也都是伪系统,不能产生经济效益与持续发展。
(二)组织架构设计不科学,运行效率低下。首先,中小企业组织架构的职能设计,特别是责权关系设计、业务流程设计很少考虑企业性质和企业文化,只是一些部门简单的堆积,完全与企业管理要求脱节;部分中小企业各职能部门存在本位主义,相互间缺乏横向交流与沟通,互相不了解对方的业务工作流程、制度,造成工作开展不畅,效率低下。其次,家族式管理模式和个人决策机制影响了员工的积极性和创新意识,也不利于企业引进优秀管理人才,导致企业对外部环境变化的趋势及竞争态势反应迟钝,阻碍企业前进的步伐。
(三)过多地强调组织架构的设计,而忽略运行机制的建设,视组织架构为框架图,而不是企业管理的核心能力。大多中小企业的组织架构设计是按照有效分配和协调各种活动的要求进行的,它们更关注建立适合于稳定生产的结构,注重相互间明确的关系、清晰的职权和交往方式等刻板结构。却忽略了运行机制的建设,甚至将组织的结构(静态)与职能(动态)分离开来,不注重结构的过程,即组织协调性,不能创造出以结构为基础的企业竞争的核心能力。其结果是:组织架构欠灵活善变,不能适应环境的变化与战略的调整,削弱了企业在业内保持领先者的优势。
三、规避中小企业组织架构设计与运行风险的途径
组织架构包括静态的“基本结构”和动态的“运行机制”。基本结构考虑组织内部分工、任务和权责的有序安排,运行机制指的是控制程序、信息系统、报酬机制及各种规范化的规章制度,运行机制赋予企业基本结构以内容和活力,具有动态的特性。只有将二者有机结合起来,通过运行机制来强化基本结构,才能规避企业组织架构设计与运行中的风险。
(一)科学设计
第一,企业应当根据国家有关法律法规,明确各管理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。特别是企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照公司规定的权限和程序实行集体决策审批或联签制度,任何个人不得单独进行决策或者擅自改变决策意见。
第二,组织架构承接企业战略。企业组织架构在一定程度上体现了目标管理,设计时应综合考虑企业性质、发展战略、文化理念等因素。企业战略不同,其组织架构的模式和职能也不同,并应随企业发展不断优化,使企业组织架构与发展战略相承接。对于那些战略不清晰,只有一些具体目标的中小企业,则可根据其具体的目标设计组织结构及岗位。中小企业战略规划一般为三至五年,组织结构则考虑三年内不变,至少一年内没有大的变动,否则,容易造成员工无所适从,管理局面混乱。
第三,企业应当按照科学、精简、透明、制衡的原则,合理设置内部职能机构。设置时应对事不对人,因人设岗,会造成运行不畅。此外,企业应本着精干、高效、适用的原则分解管理层次、业务部门和职责权限,明确具体岗位的名称、职权和相互关系,并体现不相容职务相分离的要求,形成各司其职、各负其责、相互制约、相互协调的工作机制,共同搞好综合管理。
第四,组织架构要能够很好的响应市场和客户需求。设计组织架构,一定要根据市场变化和企业管控要求,考虑如何才能更快的响应市场和客户的需求,做到组织内部分工明确、沟通协调、信息传递顺畅及时,避免多部门同时接触同一客户,提高市场开发和管理效率。
第五,企业应当制定组织架构图、业务流程图、岗位说明书和权限指引等内部管理制度或相关文件,来帮助企业明确各部门在组织中所处的工作位置,使各部门按程序有秩序地开展工作,也使员工了解和掌握组织架构设计及权责分配情况,正确履行岗位职责。同时出现各种疑难问题也可以相应地得到解决,对规避企业经营风险和提高工作效率有很大的促进力。
(二)组织架构规范运行的制度保障
1.管理沟通规范化,沟通是伴随管理全过程的管理行为,也是企业组织运行效率高低的一个重要影响因素。沟通充分而有效,能激发员工工作热情和积极性,是下属员工做好工作的前提保障。因此,企业管理人员要熟练掌握沟通的基本要求和技巧,确定每个管理岗位要完成的管理沟通内容及对象,并把这一工作列入岗位工作标准进行考核;统一制定管理沟通过程效果记录表,对管理人员所完成的管理沟通工作进行详细地记录。沟通时要避免让下属被动地接受指令,因为权力在沟通中只会起负作用。
2.管理授权规范化,授权是组织运作的关键,它是企业主管将人权、财权、事权等决策权移转给部属,不只授予权力,还托付完成该项工作的必要责任。授权规范化的有效途径是权力细分,以达到权力制衡。即把一个笼统的权力分割为对应具体岗位的具体职责、具体工作环节上的具体工作任务,让不同的主体来享有。充分而适当的授权能使员工释放身上潜在的能量,导致在组织中的竞争风气。同时,可以增加管理幅度,减少组织层次,增进组织沟通效率。
(三)保证组织架构运行规范应采取的措施
指挥规范化,指挥是公司主管把他的意志要求下达给特定下属员工,让其按照指令行动。指挥管理规范化的标准是:有节而有序。随意而无节制的发号施令,让下属被动地接受指令,不利于激发员工意愿,可以说:靠指挥推动的鼓励是最没有效率的管理。
1.企业应当根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理,特别是重点关注高级管理人员的任职资格、履行情况以及经理层的运行效果和内部机构设置的合理性及运行的高效性,以确保企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。同时,企业应定期对组织架构设计与运行的效率和效果进行评估,发现缺陷,及时进行优化调整。
2.应当建立科学的投资管控制度,通过合法有效的形式履行出资人职责、维护出资人权益,重点关注公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。
3.对一些企业的内部控制和风险管理工作由不同机构负责的,可从工作内容、目标、要求以及具体工作执行的方法、程序等方面,将内部控制建设和风险管理工作有机结合起来,避免职能交叉、资源浪费,提高组织运行效率。
企业组织架构模式没有统一的标准要求,需要根据自身实际情况设计与运行,并不断优化。由于中小企业存在规模劣势,经营能力有限、管理水平较低、竞争能力差,要想获得更大的发展,其组织架构应该逐渐跨越传统的单一边界,健全以架构为基础的运行机制,使科学设计与规范运行有机结合起来,避免因组织架构不完善而带来的风险,使企业形成更强大的竞争力,从而实现持续稳定的发展。
参考文献:
[1]《中华人民共和国公司法》.
关键词部队建设 基础工程 风险管理
中图分类号:f272.9 文献标识码:a 文章编号:1009-0592(2010)12-257-01
企业风险管理作为一门新兴的科学,兴起于20世纪50年代的美国。它是企业在对其生产中的风险进行识别、估测、评价的基础上,优化组合各种风险管理技术,对风险实施有效的控制,妥善处理风险所致的结果,以期以最小的成本达到最大的安全保障的过程。它强调在损失发生前避免或减少风险事故发生的机会;在损失发生中控制风险事故的扩大和蔓延,尽可能减少损失;而在损失发生后则应该努力使损失的标的恢复到损失前的状态。
2004年,国际权威组织美国发起人委员会(coso)出台了《企业风险管理——整合框架》(erm),标志着企业风险管理发展到全面风险管理阶段。erm框架对企业风险管理的属性进行了明确地界定。它认为,企业风险管理是一个过程,持续流动于企业之内,应用战略制定的过程中,旨在识别那些一旦发生将会影响企业的潜在事项,并把风险控制在风险容量以内。它贯穿企业整体,在各个层级和单元应用,并由组织中各个层级的人员来实施的。
在这一整合框架中,全面风险管理有三个维度:第一是风险管理目标维度。企业风险管理框架提出了四类目标:一是战略目标,即高层次目标,它与使命相关联并支撑使命;二是经营目标,高效率地利用资源;三是报告目标,追求企业各项报告的可靠性;四是合规目标,应该符合适用的法律和法规。第二是风险管理要素维度。企业风险管理包括八个与管理过程整合在一起的构成要素:内部环境、目标设定、风险识别、风险评估、风险应对、控制活动、信息与沟通、监控等等。这八个要素相互独立、相互联系又相互制约,共同构成了全面风险管理这一有机体系。第三是企业组织层级维度。企业的各个层级包括组织的高级管理层、各职能部门、各条业务线及下属各子公司,组织里的每个人对全面风险管理都负有责任。在管理过程中,全面风险管理的八个要素都是为组织的四个目标服务,组织各个层级都要坚持同样的四个目标,每个层级都必须从以上八个方面进行风险管理。
erm框架一经提出,就被国外很多知名的企业如杜邦公司、微软公司、加利福尼亚联合石油公司、曼哈顿银行等采用。管理实践证明,企业风险管理框架在企业的风险管理中发挥了重要作用,有力地促进了企业的健康、良性发展。
部队安全管理和企业风险管理都是基于对不确定性因素的管理和控制,追求包括安全隐患在内的各种不确定性因素所导致的损失最小化。借鉴此理念和方法,加强部队安全管理,就应该树立起全面安全管理的理念,健全各项管理机制,形成完善的部队安全管理体系。
第一,建立部队安全管理目标体系。管理目标对管理实践具有极强的导向和规范作用。部队安全管理是一项涉及部队建设各个方面的活动,必须具有明确的管理目标体系。完善的安全管理目标体系,应该是一个具有纵向梯次性和横向并列性的目标体系。纵向上的梯次性是指管理目标具有层次性,有最高目标和基本目标之分。结合部队安全管理自身的特点,其最高目标应该定位在战斗力的维持和提升上,中间层次的目标则因该定位在保证军事活动能够顺利进行;目标横向上的并列性是指由于军兵种的不同、安全管理的对象指向不同而产生不同的安全管理目标。因此,建立完善的管理目标体系,需要针对管理对象的不同特点制定不同的管理目标,这些管理目标自身应该包含不同层次的子目标,从而形成具有较强操作性的安全管理目标体系,为安全管理的实践提供明确的导向。
1.1高风险、高收益风险投资主要投资于具有良好市场潜力,预期能够在风险投资介入期内快速成长,能带来较大经济效益的项目。在现阶段,风险投资的大部分项目都聚集在科技企业项目。但是从高新技术与新产品的研发、生产到最终走向成熟的过程中,存在很多的不确定性,比如说在技术、市场、管理方面都存在很大的不确定性,稍有不慎,所有的投资就会毁于一旦。风险资本所投资的项目都是经过非常专业的风险投资家筛选和评价之后,具有巨大潜在市场和发展前景的项目。近些年来,大多数的风险资本投资的对象是处于信息科技、生物工程等高科技领域的企业。
1.2风险投资是一种权益投资风险资本是一种权益资本,而不是一种借贷资本,因此其着眼点并不在于其投资对象当前的盈亏,而在于他们的发展前景和资产的增值,以便资金退出市场后取得高额回报。这有别于传统的贷富不贷贫的信贷原则。风险投资选定企业或项目后,通常要进行投资结构和方式的设计,同时要取得被投资企业的股份。这样风险资本和被投资企业可以很好地结合到一起,信息相对来说比较对称。
1.3风险资本具有再循环的特点风险资本以投入、回收、再投入的资金运行方式为宗旨,是一个循环的投资过程。投资者把着眼点放在风险企业的开拓阶段而不是成熟阶段,一旦创业成功,风险投资家即在风险市场上抛售股票,收回资本,获得巨额利润,风险资本退出。风险资本退出后,便会带着新的更大的投资能力去寻找新的风险投资机会,使科技企业不断涌现,从而推动高新技术产业化的进程,带来经济繁荣。
2科技企业风险投资的策略
2.1建立完善的财务信息披露机制在加强科技企业风险投资项目中,应当通过政府和科技企业共同努力,建立完善的风险投资项目管理体系,合理控制和规避科技企业风险投资项目中的风险。首先,进行政府采购,提供政府担保。科技企业在其建设发展的初期,其贷款行为受到商业银行的严格限制,进而导致其融资能力不足,因此科技企业的风险投资项目迫切需要一个担保人为其担保,以获取商业银行的贷款。由政府作为企业担保人为风险投资项目进行贷款,可以大大提高贷款速度,因此,政府可以针对科技企业风险投资项目设立科技贷款担保基金等策略为科技企业风险投资项目提供贷款担保。此外,对于国家直接控制或参与,关系到我国经济发展的风险投资项目,可以直接通过政府投资或政府采购予以政策等方面的支持,为科技企业风险投资项目提供担保。其次,制定相应的地方法律、法规予以支持。相关司法部门应当根据科技企业风险投资项目的发展状况制定支持其发展与技术创新有关的地方法律、法规。科技企业是地区科技成果转化的重要载体,但是由于科技企业发展较发达地区起步较晚,因此其基础稍显薄弱,这样就减缓了科技企业风险投资项目的发展。同时,相关司法部门应当进一步规范科技企业风险投资项目运作的法律、法规,完善风险投资的法律体系,使风险投资行为权责明确,对风险投资保证科技企业风险投资项目正常运营,合理避免其操作与运营风险,推动地区科技企业风险投资的长远发展。最后,将风险投资项目纳入政府创新体系。风险投资项目是促进科技企业发展的重要组成部分,而高新技术的发展对经济有着重要的影响,科技企业风险投资项目的成败在很大程度上取决于当前的创新能力、创新环境和创新资源,因此,地区的相关政府职能部门应将科技企业风险投资项目纳入政府创新体系中,对其制定统一的推行计划。同时进一步完善地区的创新体系,提升地区创新体系层次,以此改变当前科技企业创新工作的现状,保证其风险投资项目的顺利进行。
2.2积极培养科技企业复合型风险投资人才在风险投资项目过程中,对风险投资项目的运行不但需要熟练掌握高新技术,且具有创新精神、敢于冒险、富有进取精神的技术人员,更需要具有金融知识并有较强风险意识的风险投资管理者。就目前来看,地区科技企业风险投资项目的相关复合型风险投资人才较少,而近年来科技企业风险投资项目与日俱增,所以复合型投资人才难以满足当前科技企业风险投资项目的发展。科技企业在发展其风险项目的同时应当积极培养复合型的风险投资人才。一方面,科技企业可以利用高新技术开发区内高校等优势资源,通过与高校或相关科研机构合作,开设相关风险人才培养专业,以此满足市场对相关复合型风险投资人才的需求。另一方面,加强对国内外风险投资人才的学习力度,积极学习国内外先进的风险投资项目管理经验,同时相关管理部门应当积极鼓励国内外优秀的风险投资者进入,以此提高复合型投资人才的质量。
2.3建立有效的信息沟通渠道科技企业在进行风险投资项目的过程中,资金、技术、人员、市场等相关信息还存在着沟通不畅,甚至是无法沟通的状况,这样的现实状况在一定程度上会造成风险投资项目的资金脱节、人员沟通障碍以及市场信息滞后等不良影响,这些都会影响科技企业风险投资项目的正常运行,使其风险投资项目因为信息沟通不畅而遭受不必要的风险,使本来就短缺的风险投资资金也不能正常发挥其作用。所以政府应当根据科技企业的实际需要,由政府牵头,企业参与,组织和建立畅通、便捷、高效的信息沟通渠道,通过局域网或者是互联网等方式进行连接,使科技企业能够及时掌握国内外最新专利、技术等技术市场的行情信息,并获取风险投资资金的信息,保证科技企业风险投资项目的资金需求量,这样既可以为相关的风险投资者提供适合的风险投资项目,也可以为科技企业的创业者提供更多的资金来源渠道,进而保证科技企业风险投资项目资金的充裕,为企业创造更大的经济价值。
市场风险逐步渐显现。2002年以来,受国际国内煤炭价格快速上涨的影响,煤炭行业投资规模迅速扩张,煤炭开采速度加快,在局部地区出现供大于求的情况,从而埋下一定的市场风险隐患。而目前下游用煤产业的行业景气度下降,导致煤炭需求急转直下,煤炭价格出现了深度回调,煤炭企业销售回款率下降,企业财务收益空间不断缩小,经济效益全面滑坡,前期市场风险显现。
经营风险逐步显现。当前多数煤炭企业集团的煤矿普遍进入了中老年期,资源逐渐枯竭,经营前景不容乐观,且多数煤矿企业因建设早、标准低、基础设施投入不足,生产安全保障和环境治理的历史欠账多,仅靠近几年煤炭市场的升温难以从根本上弥补。此外,由于国家政策性因素,煤炭企业承担的税费较重,一定程度上增加了企业的经营成本。随着煤炭市场价格回调,企业总体运行效益将进一步下滑。
同时,由于煤炭工业在国民经济中所具有的重要战略地位,使国家进一步加大了对其的宏观调控。以建设大型煤炭基地、培育大型煤炭企业和企业集团为主线的煤炭工业结构调整,既给煤炭企业带来了前所未有的良好发展机遇,也带来了众多经营风险。国有大型煤炭企业加强企业全面风险管理既是企业实现其总体经营目标的迫切要求,也是增强企业竞争力,促进企业持续、健康、稳定发展的必然选择。
当前国有大型煤炭企业风险管理存在的主要问题是:
一、风险管理意识淡薄。企业普遍缺乏必要的风险意识,没有进行积极主动、全面系统的风险管理工作。存在的问题主要有:一是风险管理活动是瞬时或间断性的,事后将其抛掷脑后;二是企业缺乏对风险进行按期复核,降低了企业适应环境变动、管理和规避风险的本领。甚至有些企业只顾眼前便宜,忽视某些决策对企业将来的熏陶,从而给企业带来巨大的损失。
二、风险管理职能分散。安全生产风险由安监部门具体负责,产品质量风险由质检部门具体负责,市场营销风险由运销部门具体负责,财务风险由财务部门具体负责,经济合同风险由法律事务部门具体负责,企业风险管理职能分散;特别是涉及企业改革发展中的综合性风险,如企业法人治理结构的建设、产权制度改革、企业战略规划的制定和实施,企业兼并重组、整合破产、上市投资等行为,企业缺少应对的统一有效的全面风险管理的组织协调职能;同时,企业风险管理专门人才严重匮乏,现有的企业风险管理人员综合素质不高,知识结构单一,工作创新能力差等,也是开展企业全面风险管理的重要制约因素。
三、风险管理制度建设不到位。一是制度建设缺乏系统性,有的制度内容简单,仅有实体要求而无程序规定,使人们难以操作,有的制度结构设置不尽合理,缺乏应有的权、责、利的相互制衡,有的制度彼此之间缺乏相互衔接,造成条块分割,相互冲突,不能发挥制度的整体效应;二是制度建设缺乏实效性,有的制度内容滞后,不能适应形势的新发展,失去了执行的环境和条件,有的制度比较空泛,不能紧密结合企业实际提出有针对性的措施,有的制度硬性规定过高,不切实际,有的制度甚至缺乏法律依据,在实际运行中执行不通。三是制度建设缺乏规范性,存在有章不行、有规不守的现象,监督检查和处罚追究不严格,缺少评价体系和完善程序,缺乏执行制度的氛围,缺少风险管理的企业精神和制度文化。
四、风险管理组织机构不健全。当前,我国大多数煤炭企业集团企业存在较为严重的治理结构问题,如缺乏风险管理部门,风险承当主体不明白,各个部门或者岗位间互相推卸责任,缺乏有效的管束机制等,从而使我国企业不能将企业风险管理上涨到企业发展战略高度。导致各个部门和岗位的人员对其工作职责和工作流程不清晰,风险责任主体不明确,难以形成现代意义上独立的风险管理部门,没有专门的人员进行专职的企业风险管理工作。
五、审计人员未能充分利用分析性程序
我国理论界对分析性程序的研究重视不够,在审计实践中做分析性复核也只是“蜻蜓点水”,随意性大。审计人员基本上是依据审计程序表中的审前数与从前年度审定命作简单比较,以及计算几个综合性财务比率,对行业分析做得很少,更谈不上采用时间序列分析、回归分析和统计调查规矩。国外在这方面有比较深入的探讨,值得我们去学习。
总之,伴随着经济的快速发展,煤炭企业内外部环境的不确定性也越来越大,尤其是对中国企业来说,其经营的不确定性更是难以保证。
如何建立有效的风险管理控制体系已成为很多煤炭企业集团的当务之急。
一、提高认识,加强煤炭企业集团风险管控的顶层设计
从国外企业风险管理的整体实践来看,在煤炭企业风险管理制度顶层设计中,主导机构、标准化、分析与评估技术、配套制度等四个方面是实施好企业风险管理工作的核心要素。
(一)主导机构。成立或确定风险管理的主导机构是开展企业风险管理的重要基础。负责企业风险辨别、识别、分工等重要事项,作为整体风险管理工作的主导机构。收集和企业方面有关风险管理的信息;追踪、检查、评估整体风险管理架构的实施和执行情况,并及时总结推广最佳实务经验等。
(二)标准化。制定了《风险管理应用指南》,通过建立风险管理应用背景、风险级别、风险分析、风险评估、风险处理等规范步骤来加强突发事件的规范化、程序化管理。
(三)分析与评估技术。科学实用的风险分析与评估技术是开展企业风险管理工作的重要支撑,能够使企业决策者及相关人员在遇到复杂的社会风险时,特别是在面临风险管理决策、制定应急计划、以及重大公共政策等方面,有能力做出尽可能科学、准确、有效的决策。
(四)配套制度。完善的企业风险管理配套制度是确保风险管理工作扎实有效开展的重要保证。
二、把风险管理作为煤炭企业集团的一项基本战略
要在煤炭集团设立或确定相关部门,加强对风险管理建设工作的统一领导,加强对推进风险管理工作的整体设计,系统研究和总结国内外风险管理工作的经验和教训,制订风险管理总体规划,明确推动整体风险管理建设的基本方法,建立和完善企业风险管理工作制度,制定企业风险管理手册或指南,加强对企业风险管理推进工作全过程的指导、监督检查和总结改进。加快建立企业风险评估制度。
三、建立健全风险控制的组织体系和机制保障
为及时解决各部门在实施中遇到的风险管理技术、政策等问题,确保企业整体风险管理建设战略目标的顺利实施,应明确划分企业风险管理的三类单位:
(一)是组织实施单位。以审计为核心的各部门,制定内部风险管理的相关政策,总体设计和把握评估风险管理建设的进程,解决整体风险管理建设中存在的实际问题;
(二)是实施支持单位。针对其所属各部门的风险管理实施情况进行评估,实施支持单位需要向企业负责人、高级管理人员提供风险管理的建议,提供相应的研究咨询报告;
(三)是具体执行业务部门。在企业风险管理整体推动工作中,具体业务部门承担执行责任,各部门依据相关的风险管理规程进行风险管理,内部成立风险管理实施机构,针对部门风险管理进行实务评估以提升风险管理能力。
四、构建并健全风险管控业务流程
(一)是风险管理的事前控制流程。包括1、相关制度制定流程。各部门拟订的公司级别的制度、办法,和涉及两个部门以上的业务管理制度、风险控制制度、业务流程、办法等流程。2、风险控制委员会审核风控事项的工作流程。
关键词:风险评估;报告;内控体系
中图分类号:F272 文献标识码:A 文章编号:1001-828X(2014)010-00-01
风险评估工作与内部控制体系的建设相互促进、有机结合,是企业围绕总体经营目标,识别企业各业务单元、各项重要经营活动及其重要业务流程中的风险,并对风险发生的可能性和影响程度进行分析、评价和应对的过程。
总体而言,风险评估报告的结构至少应包括四部分内容:其一,企业情况概述,本部分就企业风险评估项目背景、定位与目标、理念与方案三大内容进行概括与总结,便于报告使用者理解本次风险评估工作的基本目标与方法;其二,风险评估实施过程,本部分是整个风险与内控体系建设工作的起点,旨在构建一个具有代表性又有扩展性的通用风险管理标准,从风险管理知识宣传、风险分类与定义、风险评估标准三大方面初步构建企业风险管理基础平台;其三,识别企业面临的重大风险,根据风险调查问卷和风险调研访谈,识别出企业面临的重大风险,以供企业管理层参考;其四,风险管理体系的建设,结合企业风险管理的现状,提出相应的改进措施,包括风险管理组织结构设置、职能设置、工作流程及工作防范建议。
以上四部分在风险评估报告中层层推进,构成完整的风险评估过程,以下作详细说明。
一、风险评估项目概述
(一)风险评估项目背景
本部分重点介绍企业的成立、发展沿革,行业背景,分子公司情况以及业务架构、组织结构等。编制企业风险评估报告的重要意义在于企业管理层希望借助风险评估项目,有效识别和评估影响本企业战略和经营目标的内外部风险源,并通过健全重大风险的应对与管控机制,有效地平衡好风险与收益,提高企业风险防范能力,从而防范和降低各类风险对企业经营的冲击,为企业实现战略和经营目标保驾护航。
(二)关于风险评估项目定位与目标
风险评估项目旨在达成三大目标:其一,建立风险管理基础,构建一个具有代表性又有扩展性的通用风险管理标准,统一企业的风险管理语言和标准;其二,明确重大风险领域,采用全面梳理与重点分析相结合的方式,识别和分析企业战略、经营、财务与合规领域中的重大风险,协助管理层统一对风险的认识;其三,团队能力建设与知识培养,加强和提高企业总部和各业务群管理团队对风险管理工作的参与度和认知,最大程度实现知识转移。
二、风险评估项目实施过程
(一)关于判断风险分类与定义
应从企业战略出发,参考COSO内部控制整合框架、行业风险数据库以及企业的风险管理实务,并结合企业的战略目标、实际情况等因素,建立适用于本企业的风险数据模型(即风险地图),从战略风险、运营风险、合规风险及财务风险四大方面对企业所面临的风险进行分类和定义,从而为统一公司的风险管理语言奠定基础。
(二)关于设立风险评估标准
为了对上述四大类风险的重要性进行评定并据此明确风险管理的优先次序和资源配置方向,应从风险发生可能性和风险影响程度两个维度建立符合企业实际情况的风险评估标准,以反映风险发生可能性由极低至极高,和风险影响程度由极轻微至灾难性的不同等级。
(三)关于实施风险评估过程
为了协助管理层更好地理解和评估风险,应以风险数据库和评估标准为基础,通过风险调查问卷的发放、收集与统计,风险调研与风险访谈等多种形式,在企业总部和业务群开展多层次、全方位的风险识别与评估工作。通过上述工作,不仅协助企业管理层评估重大风险领域所在,而且还能分析其可能影响的战略及经营目标,从而为企业明确风险责任,改进相关重点业务领域中的风险管控措施明确方向。
三、针对企业风险评估的调研结果
结合风险调查问卷与风险调研访谈的结果,企业管理层对影响本企业战略和经营目标实现的众多风险进行客观评估,并由此明确前几大风险的优先次序。这些风险可能是:产业(产品)战略和多元化、战略规划、市场营销、风险管理体系建设、公司高层的基调、品牌及声誉管理、销售模式、客户结构风险、人力资源规划及政策、组织结构等等。这些风险并不是独立存在,在实际经营环境中,各类风险往往互相影响、互相牵制,共同对企业实现经营目标产生影响。为此,还应对上述重大风险及其内在关系进行相应的逻辑分析,以协助管理层梳理各项重大风险之间的关系。
四、企业风险管理体系搭建
一套成熟完善的风险管理框架包括战略(目标)、风险以及流程与控制。企业战略处于企业管理及风险管理体系的最高层,是企业风险管理以及流程内控建设的出发点,风险管理体系必须紧紧围绕企业战略。风险则是影响企业战略管理体系的实施与战略目标达成的不确定因素,企业需要将外部环境、内部经营与战略目标进行对比,以识别出影响企业战略的重要风险。企业流程与管控体系则是风险管理体系的重要落脚点,完善的风险管理体系可以从企业的流程、制度等管控体系中识别出影响,并从风险管理体系的制度及流程建立风险应对措施。
(一)风险管理体系现状分析
一套完善的风险管理体系通常由业务部门、风险管理部门和内部审计部门组成的“三道防线”共同构成。通常,企业均能初步搭建起风险管控体系的三道防线,如:1.各业务部门负责关注各业务领域内的风险并采取相应的控制措施降低风险;2.企业管理部负责公司运营风险管理,对运营风险进行预警和控制,为公司的经营、管理决策提供可行性、合法性分析和法律风险分析;3.审计监察部主要负责集团的财务审计、经营活动审计及其他专项审计。
(二)风险管理工作规划
风险管理与内部控制体系的建设密切相关,相辅相成,没有完善配套的内控体系,风险管理就如同纸上谈兵、空中楼阁;而缺少风险管理的内控体系建设,会由于缺乏足够的针对性而效率低下、浪费资源。
无论是《企业内部控制基本规范》或是COSO ERM模型,都将企业的目标分为四大类别,包括:战略目标、经营目标、财务目标和合规目标。风险是影响企业目标实现的不确定性,而内部控制则是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。因此,企业有目标就会有风险,而针对每个风险就会有相应的内部控制,以管理风险,从而合理保证目标的实现。
风险评估项目实施过程中,应协助企业初步搭建结合先进理论基础、契合企业实际情况、符合国家监管要求的内部控制体系框架,将风险匹配到内控体系框架,并完成对该体系框架的评估、梳理和建设工作。
在此基础上,需要进一步开展风险管理工作,逐步完善风险管理和内部控制体系,依据风险分层管理、分类管理和集中管理的要求,建立符合企业自身特点的全面风险管理组织体系。另外,在充分考虑企业规模以及业务发展需要的基础上,针对近期及未来风险管理工作的重点,提出相应的参考及建议。如:完善企业风险管理组织架构中各管理层级的岗位职责。完善三道防线,其一,各风险责任部门的日常管理工作,包括,风险责任人、风险联络员等;其二,风险管理部门的管理工作,风险管理涉及公司的方方面面,建议由总裁、执行总裁等高级管理人员组成的风险管理委员会,负责公司整体风险管理工作,风险管理委员会下设风险管理部门,负责各业务部门风险管理工作的协调;其三,审计监督工作,审计监察部应对风险管理进行审查和评价,对风险管理工作进行监督,即对风险管理过程的设计和执行的有效性进行评价,并给出评价意见;审查和评价重大风险的评估和管理是否适当,将评价结果向审计委员会汇报。
风险评估工作结束后,形成风险评估报告,反映企业的风险及其分布状况,为领导决策提供支持。通过风险辨识、风险分析及风险评价,形成风险评估初步结果后,就风险评估结果的真实性、准确性向企业风险管理委员会征求意见,并根据反馈的意见,调整、修正企业的风险评估结果,编写出企业的风险评估报告,上报风险管理委员会或董事会进行审议。
参考文献:
[1]企业内部控制基本规范.财政部,证监会,审计署,银监会和保监会联合.
关键词:保险业;风险防范;发展
中图分类号:F840 文献标识码:A 文章编号:1001-828X(2013)09-0-02
近年来,我国保险业发展取得了举世瞩目的成就,但在看到保险业广阔发展前景的同时,我们也应清醒地认识到保险业发展中存在的一些亟待解决的深层次矛盾和问题,即保险业竞争实力与日益开放的市场环境不相适应,保险企业风险管控能力与其快速发展需求不相适应,保险业监管水平和法制环境与我国金融风险管控要求不相适应,全面提升保险业风险管控能力是化解这些矛盾、解决这些问题的根本出路。因此,保险业应在继续保持快速健康发展的同时,提升对加强风险管控重要性的认识,正确处理保险业发展与风险管控的关系,坚持一手抓业务发展不动摇,一手抓风险防范不放松,实现业务发展与风险防范的统筹协调和相互促进。
一、充分认识保险业风险防范的重要意义
风险防范是有目的、有意识地通过计划、组织、控制和检查等活动来阻止防范风险损失的发生,削弱损失发生的影响程度,以获取利益最大化。保监会近年来一直将“防风险”作为行业发展的主基调和重点工作来抓,出台了一系列防控风险的政策、制度,推动了全行业风险管控能力的提升,全面开展了行业风险排查工作,这都凸显了风险管理的重要性。
第一,风险防范是公司稳定经营的基础
长期稳健经营是保险行业的生命源泉,要保证长期稳健经营首先必须重视防范化解风险。保险公司的经营对象是风险,风险的随机性和不确定性,极大的增加了保险经营的复杂性和难度;保险公司的经营成本发生在未来,未来的经济和社会环境,我们无法完全控制和预测;保险公司的经营责任是连续的,经营的好坏直接影响着风险责任损失的偿付能力。在宏观经济和法律法规的前提下,保险公司经营活动更需要自我约束和自我管理,尤其是自身风险防范机制的建设。保险经营无处不在和无时不有遭遇着风险。风险不加防范,风险损失不施以控制,会危及到保险经营财务的稳定,直接关系着公司经营的稳定与否。
第二,风险防范是公司业务发展的前提
保险业在发展初期出现一些风险问题,很大程度上在于保险业发展得很不够,不仅整体实力比较弱,而且在思想观念、体制机制、经营管理等方面与现代市场经济的要求有较大的差距。解决这些问题的根本途径是依靠发展,通过促进保险业全面发展,夯实保险业防范化解风险的基础。防范化解保险风险必须加强统筹谋划,不能头痛医头,脚痛医脚。做好保险业的风险防范化解工作,要有系统和整体的观点,通过加快发展提高保险业防范化解风险的整体实力,通过深化改革完善保险业防范化解风险的体制机制,通过加强改善监管为保险业防范化解风险提供有力保障,把解决问题的内因和外因结合起来,把事前预防和事后化解结合起来,做到统筹兼顾、标本兼治。保险业在开拓新业务领域的同时,必然会不断面临新的风险。既不能忽视发展中可能存在的潜在风险,头脑发热,一哄而上,也不能在新的风险面前裹足不前、无所作为,要处理好加快发展和防范风险的关系,一方面要在发展中提高保险行业防范化解风险的能力,为增强全行业的抗风险能力奠定坚实的基础。另一方面要通过不断预防各种新的风险促进保险业加快发展。
第三,风险防范是市场激烈竞争的迫切要求
风险防控水平本质上是对公司经营管理能力,对公司业务发展和基础管理的根本检验和反映。风险防控能力的优劣将成为影响公司持续健康发展、决定公司竞争能力的根本因素。如果风险防控工作得不到加强,基础建设薄弱的现象不能得到根本性扭转,将有可能影响公司市场主导地位,建设国际一流寿险公司的伟大事业必将严重受阻。
第四,风险防范是保险业改革发展的需要
吴定富主席指出,十六大以来,保监会提出了改革、发展、监管三管齐下的风险防范化解整体思路。把改革作为防范化解风险的有效措施,深化保险公司体制改革,建立现代保险企业制度。
总之, 防范和化解行业风险主要是为了维护正常的市场秩序,保护被保险人的利益,促进保险业稳定持续健康发展,其手段主要是加强监管,建立健全完善的保险监管体系;防范和化解企业风险主要是为了避免损失或将损失控制在可以承受的范围以内,保证企业的盈利和持续经营,其手段主要是加强全面风险管理,通过风险自留或市场化手段来分散和转移风险。防范和化解保险风险,既要发挥监管机构的主导作用,又要发挥保险企业的主观能动性,将防范行业风险和防范企业风险有效统一起来。
二、真正落实保险业风险防范的措施
风险管控是保险行业根骨不变的真理,多年来,我们一直在学习新的管理理念和经验,其目的就是为了提高执行力、实现高效管理、真正从管理上出效益。在管理上控风险,促进保险业又快又好发发展。理论经验只有要变成实实在在的行动,才谈得上加强企业执行力;紧抓执行力,就是对制度措施的不折不扣的贯彻。更是对公司风险管控严谨精细的体现。
一要紧抓队伍建设。保险从业人员包括监管干部、公司管理人员和广大一线的展业人员,肩负着防范化解保险风险的重要责任。要加强监管人才队伍建设,提高监管机构引领发展的能力和防范风险的能力;要加强管理人才队伍建设,提高保险高管人员审慎经营意识,提高风险识别、评估和控制能力;要加强保险专业人才队伍建设,为保险业风险防范提供强有力的专业和技术支持;要加强保险营销人才队伍建设,增强从业人员的职业操守,改善保险行业形象。
二要强化制度执行。运营方面要牢固树立“制度第一”的理念,一丝不苟、不折不扣地贯彻执行制度,切实发挥制度内在的激励约束作用,将制度执行转变为全员的自觉行动,实现由“人治”向“制治”的转变。公司应继续加强风险绩效考核,统一考核标准,确保各级公司在经营过程中能够在收益和风险之间做出更好的把握和权衡。
三要加强基层建设。基层是公司业务发展最重要的环节,也是公司管理最薄弱的环节。我们要下决心逐步解决基层发展基础薄弱的问题,加大资源、费用向基层倾斜的力度,全面推进基层网点的标准化建设,研究探索寿险、财险、养老险基层网点的共建共用,提升品牌形象,促进业务发展,巩固先发优势。同时要着力加强基层的基础管理,夯实业务发展的管理基础。
四要完善指标考评。科学的考核评价是衡量各岗位规范操作、履行职责的标尺。运营方面要逐步建立起一整套科学的考核评价指标体系,既要设立考核指标,也要设立评价指标,既要侧重结果管理,也要注重过程管理,并逐步引入数据评估,实现考核评价的量化、细化、硬化和阶段化。特别是柜面服务能力、风险管控能力等指标,更是要尽快实行量化考核,促进运营基本职能的履行。
五要加大管理力度。首先要排查违规业务,消除风险隐患。各级公司进行自查自纠,摸清风险状况,采取有效措施,努力消除风险隐患。二要堵塞管理漏洞,降低发案机率。一是加强执行力建设,切实落实好现有的各项规章制度。比如进一步加强单证和印章管理,严格权限和密码管理,全面落实“零现金”管理。二是不断完善相关制度,对现有制度进行清理优化,增强制度的有效性、权威性和严肃性。比如上收保单借款审批权限,要求保单借款必须由投保人亲自办理等,杜绝保单借款业务中的违规风险。三是加强信息系统建设,充分发挥现代科技在风险防范中的积极作用。通过提高技术防范手段,降低人为的操作风险,使违规行为在技术上变得难以实现或不能够实现。
六要坚持合规经营。合规经营、防范风险根本在人,关键在领导干部。各级领导干部要牢固树立政治意识、大局意识、责任意识、风险意识、危机意识,本着对党和人民负责、对公司长远发展负责、对客户和员工负责的精神,高度重视合规经营、防范风险工作,做到警钟长鸣,始终守住防范风险这条底线。领导干部要率先垂范,带头执行法律法规和规章制度,成为依法合规经营的表率。要通过教育、宣导,引导广大干部员工和营销员,切实强化依法合规经营的意识,筑牢依法合规经营的思想防线,自觉维护保险业的品牌形象
保险业的广大干部职工要以高度的事业心和责任感,更加重视防范和化解保险风险,不断提高防范化解保险风险的能力,促进保险业又好又快地发展,更好地为构建社会主义和谐社会服务。公司一方面要时刻保持清醒的头脑,提高警惕性,增强洞察力,提早筑牢抵御外部风险的“防火墙”;另一方面要进一步完善内控制度,加强制度执行力建设,高度关注关键领域风险隐患,防范和化解各种经营风险,促进持续稳定健康发展。
参考文献:
[1]卿前海.中国寿险公司银行保险业务风险管理研究[J].现代商贸工业,2010(13).
关键词:企业风险管理;內部控制;內部审计
一、企业风险管理框架的提出
2004年,美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO这样定义企业风险管理,企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用.旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。
1.内部环境(InternalEnvironment)。企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
2.目标设定(ObjectiveSetting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。
3.事件辨别(EventIdentification)。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。这一步要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。
4.风险评估(RiskAssessment)。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
5.风险反应(RiskResponse)。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
6.控制活动(ControlActivities)。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。
7.信息和交流(InformationandCommunication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息;平行式是部门之间的信息交流和传递;自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与管理层进行交流,管理当局应当重视员工的意见。
8.监督(Monitor)。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的合适人选。
二、企业风险管理与内部控制的融合
自1992年美国COSO委员会提出《内部控制框架》报告(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上,结合《SOX法案》在报告方面的要求,进行扩展研究得到的。通过比较,我们可以发现,企业风险管理的定义采用了1992年内部控制框架定义的模式,认为企业风险管理与内部控制同样是一个程序,它不是静态的,而是处于不断的调整和变化之中,以适应组织环境的变化。
企业风险管理除包括内部控制的三个目标之外,还增加了战略目标,并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营的效率和效果、财务报告的可靠性和现行法规的遵循。企业风险管理框架也包含三个类似的目标,但是比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
另外,企业风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件辨别和风险反应三个要素,由于对象不同,风险管理更加针对组织面临的“风险”,增加这三个要素,拓展了概念的深度和广度。因此,风险管理框架建立在内部控制框架的基础上,内部控制框架则是企业风险管理必不可少的一部分。
内部控制与风险管理的融合很早就引发了人们的关注,经过长期的争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最佳效果。COSO企业风险管理概念的提出,将风险管理与内部控制的融合大大地向前推动了一步,这种融合必将极大地推进内部控制和内部审计的发展。
三、风险管理对内部审计的影响
内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同,尚未形成统一的最佳做法,国际内部审计师协会目前还没有标准的风险基础审计定义,IIA的职业问题委员会认为,风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改进,审计业务的范围和优先次序应由组织所面临的风险所决定。
风险基础内部审计的特征可以总结为以下几点:
第一,风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司针对风险管理功能,设立一个分部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理的一个组成部分,整个审计工作根植于以未来为导向的风险分析。
第二,内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效”虽然仍被关注,但已不是关键。
第三,内部审计的反应方式不再是反应式的、事后的、不连续的监控,从以交易为基础转变为以过程为基础,对组织战略计划的创新也由观察者转变为参与者。
(一)我国内部控制发展阶段
我国内部控制研究起步较晚,是随着审计事业的发展逐渐发展起来的,直到20世纪80年代,学术界才开始了这一领域的探索和研究。随着内部控制理论研究的不断深入,研究人员从站在审计的角度来讨论内部控制的作用与建设,发展到站在企业的角度来讨论其对风险防范和规避的作用。
(二)现代风险管理的重要意义
1、提高决策的科学性。现代企业风险管理以风险为核心,将控制由事中及事后延伸到事前并且自上而下地围绕着风险,体现出全方位的控制思维。在此基础上,开发出一系列针对风险的方法,基于对不确定性能有较准确的判断,保证决策的科学性。
2、注重人的能动性。我国内部控制提供的大多是一些政策手册和表格,管理的理念不是发挥全体工作人员的能动性,而是把他们管住、管牢,员工之间相互推诿、职责不清。现代企业风险管理提出要更加重视人的因素,以增强风险管理的自觉性。
3、强调执行的关键性。现代企业风险管理强调通过控制活动的设置,建立独立的监督部门来保证制度实施的可行性。控制活动在整个组织的各个层次和各种活动中都发生,而监督则指整个风险管理过程均应被监督,且在必要时对所发现的偏离进行必要的修正。
二、企业风险管理框架内容
(一)企业风险管理框架概述
COSO委员会(Committee of Sponsoring Organization of the Treadway Committee,美国虚假财务报告全国委员会的发起组织委员会),于1992年9月提出了报告《内部控制――整体框架》(1994年进行了增补)。2004年9月COSO又提出了《企业风险管理――整合框架》(Enterprise Risk Management-Integrated Framework,简称ERM-IF)。
1、企业风险管理的定义。在COSO报告中,其定义为:企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。
2、企业风险管理的目标。COSO报告中,提及的目标共有四类:战略目标,是高层次的目标,与使命相关联并支撑其使命;经营目标,指有效和高效率地利用其资源;报告目标,指报告的可靠性;合规目标,指符合适用的法律和法规。
3、企业风险管理的要素。(1)内部环境,包含组织的基调,为主体内的人员如何认识和对待风险设定了基础。内部控制一般包含风险管理理念及诚信与道德价值观。(2)目标设定,必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序设定适当的目标,并与其风险容量相符。(3)事项识别,必须识别影响主体目标实现的内部和外部事项,区分风险和机会。(4)风险评估,通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。(5)风险应对,管理当局应选择合适的风险应对,以便把风险控制在主体的风险容限和风险容量以内。(6)控制活动,制订和执行政策与程序以帮助确保风险应对得以有效实施。(7)信息与沟通,相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。(8)监控,对企业风险管理进行全面监控,必要时加以修正。
(二)企业风险管理框架的理论突破
1、增加一个主要目标。《企业风险管理整体框架》较《内部控制整合框架》多提出了一个战略目标,战略目标属高层次目标,它与企业的使命相关联并支撑着企业的使命。
2、提出两个创新概念。企业风险管理框架引入了风险容量、风险容限等创新概念,风险容量及风险容限是目标设定的前提。风险容量是一个主体在谋求价值及其增值过程中所愿意承担的广泛意义上的风险数量。风险容限与主体的目标相关,是相对于实现一项具体目标而言的可以接受的偏离程度,在确定各目标的风险容限时,企业应考虑相关目标的重要性,并将其与企业风险容量相协调。
3、扩展三个基本要素。企业风险管理拓展了内部控制的风险评估要素,将该要素拓展为目标设定、事项识别、风险评估以及风险应对等四个要素。在事项识别要素上,两者的区别主要体现为内部控制没有将事项划分为机会与风险,而风险管理把对战略执行或目标实现有着正面影响的称为机会,有负面影响的才定为风险。在风险评估要素上,两者的区别主要在于风险管理透过一个更加敏锐的视角来观察风险评估,鼓励从固有风险和剩余风险的角度,采用与该风险相关目标相同的计量单位来表述风险。在风险应对要素上,两者的主要差别则是企业风险管理可以使管理当局考虑潜在的风险应对策略,并测定剩余风险水平是否与主体的风险容限相协调。
三、我国企业风险管理存在的问题
(一)风险管理意识淡薄
风险管理理念没有到位,企业之间风险管理开展得不平衡。风险管理作为一种管理职能基本上还没有融入我国企业管理中,企业经营基本上还是财务型控制被动经营,企业发展的总体决策在相当程度上缺乏企业管理理念。企业风险管理技术水平低,风险评估、信用等级评定缺乏有效的评定标准,风险控制和风险融资的方式相当有限。
(二)关注的全面性不足
在企业业务发展导向上,注重规模和速度,强调业务增长量,忽视企业发展的实质。大部分企业出于自身所处环境的需要和市场运作实践中吸取的经验教训,只针对即将面临的风险采取应对措施,而这些措施往往又是临时性的、局部性的,相互间缺乏有机的联系,很少从经济全球化的视角,从科学发展观的高度,以企业持续发展的战略目标,全面考虑构建符合现代企业要求的风险管理机制。
(三)缺乏有效的信息系统
各类风险数据、损失数据是企业经营管理的数理基础,在相当程度上也可以说,企业可通过扩充这类资源,提高企业的经营水平和展业范围。因此,在理论和实践中都要求我国各类企业建立一个完整的信息系统对这类资源进行保护、开发和利用。缺乏这类基础数据的支持,将导致企业的经营决策缺乏合理的依据。
四、加强我国企业风险管理的对策分析
(一)强化公司治理与信用体系
造成风险管理缺位与虚位的信用失范,在于外部原因的信用体系问题;造成风险管理缺位与虚位的治理失当,在于内部原因的公司治理问题。完善的公司治理与健全的信用体系可以确保有效的风险管理,这就是风险管理与信用体系、公司治理的良性互动。实现三者之间的良性互动,必须有法制化的制度加以保障。当出现信用失范、治理失当以及互动失调导致风险失控时,维护市场的公平与效率和保护当事人权益的重要措施就是破产清算制度,必要措施就是信息透明制度。
(二)加快风险管理信息化进程
1、扩大信息源。除了与本企业生产经营直接有关的商品市场信息以外,还要注意收集一些与其相关的金融市场、资本市场以及能源市场的动态信息,努力避免疏漏而影响综合分析的能力。
2、提高信息的解读能力。善于从众多的信息中去伪存真,举一反三,捕捉信息中的风险征兆,从而发现风险的起因、走向和力度,以及发现可能给本企业造成的影响,为应对风险决策提供可靠根据。
3、建立风险预警系统。开辟风险信息快捷上报通道,使管理当局及早掌握风险信息,研究应对策略并组织实施,减轻可能造成的不良后果。
(三)构建全新的组织体系原则
1、建立全面风险管理原则,并采用风险组合管理方式,使风险管理的目标和要求渗透到企业的各项业务过程和各个操作环节。
