全面風險管理�,指企業圍繞總體經營目標�����,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程�����,培育良好的風險管理文化���,建立健全全面風險管理體系�,包括風險管理策略�����、風險理財措施�����、風險管理的組織職能體系�����、風險管理信息系統和內部控制系統�����,從而為實現風險管理的總體目標提供合理保證的過程和方法���。
集團全面風險管理的八個關鍵要素
關鍵要素一:內部環境
企業內部環境是其他所有風險管理要素的基礎�,為其他要素提供規則和結構�。內部環境影響企業戰略和目標的制定�����、業務活動的組織和風險的識別���、評估和執行等等���。它還影響企業控制活動的設計和執行���、信息和溝通系統以及監控活動���。
內部環境包括企業員工的道德觀和勝任能力�、人員的培訓���、管理者的經營模式�、分配權限和職責的方式等內容���。董事會是內部環境的一個重要組成部分���,對其他內部環境的組成內容有重要的影響�。而企業的管理者也是內部環境的一部分���,其職責是建立企業的風險管理理念�����、確定企業的風險偏好�����,營造企業的風險文化�����,并將企業的風險管理和相關的行動計劃結合起來���。
1���、風險管理組織體系建設落后�,很多員工都認為風險管理就是審計做的事���、是財務做的事�����,沒有把風險管理放在一個全局的高度來看待���。
2���、內部控制建設進展緩慢�。
集團對內部控制責任追究制度的建設非常滯后?����,F有的考核制度主要是以經濟責任考核為主���,即使涉及到內部控制的專項審計�,也是針對領導層面���,沒有或很少涉及有面向全體員工的對于違反內部控制制度的責任追究制度或規定���。
3�、風險管理文化沒有深入人心�,落地性不強�。很多員工還僅僅將“風險”理解為“危險”���,對于“風險”概念沒有全面的認識�,對于如何在日常工作中貫徹���、落實風險管理�����,大部分員工的理解還認為是內部控制的管理���。同時風險管理與各種制度的結合性并不好���,沒有將風險管理的意識充分體現在制度建設中�,比如在薪酬�、人事制度等���。
關鍵要素二:目標制定
根據企業確定的任務或預期�����,管理者確定企業的戰略目標���,選擇戰略方案�����,確定相關的子目標并在企業內層層分解和落實�����,各子目標都應遵循企業的戰略方案并與戰略方案相聯系�����。在能夠確定對目標的實現有潛在影響的事項之前�,管理者就應確定企業的目標���。而企業風險管理就是提供給管理者一個適當的過程���,既能夠制定企業的目標�,又能夠將目標與企業的任務或預期聯系在一起�,并且這些目標還與企業的風險偏好相一致�����。
集團風險管理的目標不明確�。目前集團內很多企業對于風險管理的目標不明確�����,也沒有明確的針對某類或某個風險設定本企業的風險偏好���、風險承受度標準���、風險管理有效性標準和風險管理的優選順序�。風險管理沒有明確的指向性���。很多企業�����,集團戰略還處于完善�����、定型階段�����,最終的方案沒有確定�����,這也極大的影響了集團風險管理的目標性���。盡管集團在戰略之下也要求各企業�����、各部門制定三年計劃�,計劃中也提到了如何實現目標的方法和措施�����,但是還遠遠沒有達到風險管理的要求和標準�����。
關鍵要素三:事項識別
事項識別指管理者意識到了不確定性的存在�����,即管理者不能確切地知道某一事項是否會發生���、何時發生或者如果發生其結果如何�����,從而對風險事項進行逐個確認和描述���。作為事項識別的一部分�����,管理者應考慮會影響事項發生的各種企業內外部的因素�。外部因素包括經濟�、商業�����、自然環境���、政治���、社會和技術因素等�����,內部因素反映出管理者所做的選擇�����,包括企業的基礎設施���、人員���、生產過程和技術等事項�。
很多集團企業目前沒有系統化的開展風險事項識別工作���。主要表現在以下幾個方面:
1�、很多企業沒有專門的�����、有針對性的開展過風險識別工作�����。絕大部分企業沒有建立過風險管理模型���,沒有對本企業可能發生的風險事項進行列示和整理���。
2�����、關于風險管理相關信息的搜集�����、整理���、分析工作���,目前集團比較側重于內部信息的搜集�,對于外部風險信息的搜集開展較少���。信息的搜集���、整理���、分析工作沒有形成系統化���,比如沒有對相關信息進行必要的篩選�、提煉���、對比�����、分類�、組合�。風險事項識別工作的信息搜集不完整�����、信息處理不系統�����。
關鍵要素四:風險評估
風險評估可以使企業了解潛在事項如何影響企業目標的實現�����。管理者應從兩個方面對風險進行評估――風險發生的可能性和影響���。風險發生的可能性是指某一特定事項發生的可能性;影響則是指事項的發生將會帶來的影響���。通常一個潛在事項結果是一個可能的范圍值���,管理者應將其作為制定風險反應方案的基礎�����。通過風險評估���,管理者可以了解潛在事項在整個企業內對企業的正面和負面的影響�����,單個事項或某類事項對企業的影響�。
一般情況下�,集團風險評估工作不系統���、內容簡單�����、沒有深入挖掘產生風險的原因�、風險可能帶來的影響�。主要表現在以下幾個方面:
1�����、對風險的分析和評價主要采取以一事一議的形式�,沒有形成制度化�����。
2�、風險分析和評價的內容較為單一���、涉及范圍較窄���,以財務風險���、法律風險分析為主�,其他風險和其他業務部門的風險分析涉及較少�����。風險分析沒有對風險發生的可能性及其原因進行深入�、系統的剖析���。
3���、風險評價沒有對風險發生的影響程度進行研究�����。對相應風險的內部控制情況沒有進行系統的評價�����,因此也沒有繪制風險坐標圖和風險管理矩陣���。
關鍵要素五:風險反應
管理者可以制定不同風險反應方案���,并在風險容忍度和成本效益原則的前提下�����,考慮每個方案如何影響事項發生的可能性和事項對企業的影響���,并設計和執行風險反應方案�����。
風險反應可分為規避風險���、減少風險�����、共擔風險和接受風險四類�����。規避風險是指采取措施退出會給企業帶來風險的活動���。減少風險是指減少風險發生的可能性���、減少風險的影響或者兩者同時減少�����。共擔風險是指通過轉嫁或與他人共擔一部分風險來降低風險發生的可能性或影響���。接受風險則是不采取任何改變風險發生的可能性或影響的行動�。
在集團業務運作中�,沒有將多種風險管理方法綜合使用���,應對活動沒有具體方案���,多為原則性規定�。主要表現在以下幾個方面:
1���、風險管理方法比較單一���,沒有將多種風險管理方法綜合運用���。
2���、風險反應活動主要集中在財務�����、投融資�����、生產部門�����,其他業務部門開展得較少���,沒有將風險管理在整個企業所有部門開展進行���。
3�、風險管理應對活動以整體性原則規定為主���,缺少針對分類風險或具體重大風險的解決方案�。
4���、對于風險管理策略目前只制定應急預案���,但遠遠沒有達到全面風險管理策略的層次�����。
關鍵要素六:控制活動
控制活動是幫助保證風險反應方案得到正確執行的相關政策和程序�����?����?刂苹顒哟嬖谟谄髽I的各部分�、各個層面和各個部門�?����?刂苹顒邮瞧髽I努力實現其商業目標的過程的一部分�??刂苹顒油ǔ0▋蓚€要素:確定應該做什么的一個政策和影響該政策的一系列過程���。
廣義來講�����,對信息系統控制活動可以分為兩類�。一類是一般控制�����,這類控制應用于大多數應用系統�����,有助于保證系統的持續地�����、正確地運行�����。另一類是應用控制�����,包括用于控制技術應用的應用軟件內部的電腦程序�。必要時將信息系統控制與其他手工的過程控制相結合���,可以保證信息的完整性�、精確性和有效性�。
集團沒有形成全過程�����、全方位的控制活動體系�����。主要表現在以下幾個方面:集團的風險管理控制活動主要是各種報告制度和內部控制制度�����。報告制度主要包括下級企業對上級企業的報告�����、各部門對企業經營層的報告�、經營層對董事/監事會層面的報告�。缺少客觀的���、自動反應系統的配合�����?;陲L險管理全過程���、全方位的控制活動系統尚未建立完善�,包括控制目標設定���、預警機制的建立�����、事件觸發后的反映�����、持續性監督與反饋等?����,F有的各種培訓仍以專業崗位技能培訓為主�����,在整個集團內部還沒有普及并持續性開展以風險管理為主題的培訓�����,基層員工對風險和風險管理的意識還比較淡薄�。
關鍵要素七:信息與溝通
來自于企業內部和外部的相關信息必須以一定的格式和時間間隔進行確認�����、捕捉和傳遞�,以保證企業的員工能夠執行各自的職責�。有效的溝通也是廣義上的溝通���,包括企業內自上而下�、自下而上以及橫向的溝通�。有效的溝通還包括將相關的信息與企業外部相關方的有效溝通和交換�����,如客戶�、供應商�、行政管理部門和股東等�����。
信息是溝通的基礎�����,溝通則必須滿足各部門和個人的要求�,以使他們能夠有效地履行其職責���。溝通應使企業的員工了解有效地企業風險管理的重要性和相關性�,了解企業的風險偏好和風險容忍度�����,并在企業內執行�、設計一個統一的風險用語并向員工說明他們在影響和支持企業風險管理要素中的地位和職責�。溝通渠道還應該保證企業員工能夠在各業務部門�����、業務流程或職能部門間進行風險信息的溝通���。
集團企業中風險信息的搜集工作沒有系統開展���,信息傳遞機制還不完善���,信息系統建設滯后�����。主要表現在以下幾個方面:
1�、目前集團還沒有系統的開展風險信息的搜集工作�����,只是各企業�、各部門分散的開展了相關工作�����。信息搜集工作沒有進行條塊結合的有機管理�。
2���、目前集團除了已經實行的下屬企業委派人報告制度之外���,沒有其他的有關風險信息的傳遞機制���。在調研中還發現�����,有些企業內部各部門之間的風險信息傳遞也不是很順暢�����,有時需要通過企業高層才可以獲得其他部門的相關信息���。
3�、目前集團還沒有建立覆蓋整個集團的遠程辦公系統���,正在或已經建設好的三大系統(財務�����、人力資源�、資產)更多的充當的是一個信息倉庫的角色�,而沒有發揮動態風險信息管理的功能�,對風險管理提供的支持較少���。
關鍵要素八:監控
對企業風險管理的監控是指評估風險管理要素的內容和運行以及一段時期的執行質量的一個過程���。企業可以通過兩種方式對風險管理進行監控——持續監控和個別評估�。持續監控和個別評估都是用來保證企業的風險管理在企業內各管理層面和各部門持續得到執行���。持續監控是對企業日常的�����、重復的經營活動的監控���,在實時的基礎上進行�,是對不斷變化的環境的動態地反應�,應在企業內部徹底地貫徹和執行�����。如果執行得好�����,持續監控比個別評估更為有效�����。
個別評估的頻率是企業管理者的主觀判斷問題���。在決定個別評估的頻率時�����,管理者應考慮來自于企業內部和外部事項的變化的性質和程度以及相應的風險�、企業員工進行風險反應和相應控制的能力和經驗�、持續監控的結果等因素�。
很多集團企業對于風險的監控還屬于事后監督�,沒有建立系統化�����、定量化的風險預警機制�����。目前的預警主要依靠的是各企業委派負責人的一事一議的重大事項匯報制度�。沒有建立客觀的�、系統化的�����、自動的風險預警機制�。許多企業目前對于風險的防范還停留在事后的���、被動的階段���。由于還沒有建立完整的風險管理信息系統�,因此也無法提供可用于定量分析的風險信息���,從而制約了集團對風險管理的迅速反應�。
集團全面風險管理的優化建議
1�����、加強企業風險管理的職能機構建設���,防范企業經營風險�����。
企業應該加強風險管理的職能機構建設�����,建立高效的風險管理機制�����。企業應該設立風險管理機構�,建立專門的風險管理團隊���,負責風險管理和控制工作���。同時�����,企業應該建立完善的風險管理制度和流程���,規范風險管理程序���,加強風險管理和控制的力度�����,防范企業經營風險�����。
2�����、構建從下到上的風險管理程序�,讓員工及時上報風險問題�,將風險扼殺到萌芽階段�����。
企業應該建立從下到上的風險管理程序�����,讓員工及時上報風險問題�����,將風險扼殺到萌芽階段�����。企業可以通過建立風險管理信息系統�����,利用信息化技術處理各項數據信息�����,提高風險管理和控制效率和質量�。
3�、利用大數據技術管控風險�,讓企業經營管理決策更加準確�、規范���。
企業可以利用大數據技術管控風險�����,讓企業經營管理決策更加準確�、規范�����。企業可以通過建立大數據平臺�,利用大數據技術處理各項數據信息�����,提高風險管理和控制效率和質量���。
4�����、確定員工任職資格�����,找出人崗差距�,發揮員工潛能�。
企業應該確定員工任職資格�,找出人崗差距�,發揮員工潛能�����。企業可以通過建立員工職業規劃和管理機制�,確定員工任職資格�,找出人崗差距�����,發揮員工潛能�����,提高員工的工作積極性和工作績效���。
5���、建立關鍵崗位的人才梯隊和人才儲備庫�����,改進繼任計劃�����。
企業應該建立關鍵崗位的人才梯隊和人才儲備庫���,改進繼任計劃�����。企業可以通過建立關鍵崗位的人才梯隊和人才儲備庫�����,提高人才儲備和管理效率�,提高企業的競爭力�。同時���,企業應該改進繼任計劃���,確保企業能夠及時填補職位空缺���,保證企業的穩定發展�����。
以上是關于“集團全面風險管理的關鍵要素及優化建議”的介紹���,供大家參考�。咨詢全面風險管理�����,歡迎致電中略咨詢�����。
