一、农业企业的风险类别
农业企业的生产运营过程集自然再生产和经济再生产于一体,这导致农业企业面临的风险具有自身的行业特征。按照风险形成的不同层次,农业企业的风险可分为三类,即自然环境风险、市场环境风险和企业内部风险。这三个层次的风险具有很强的整体性和关联性,很难将其割裂后进行孤立的理解和管理。
(一)自然环境风险
1.自然资源风险。自然资源风险可以理解为正常条件下的自然环境风险。农业企业生产的自然特性与其所占用资源的量、质和地理位置都密不可分,并在很大程度上直接决定了农业企业经营业绩的好坏。在数量方面,相关资源的短缺(如水资源和土地资源)会严重影响农业企业的生产营运。在质量方面,环境污染对资源质量所带来的不利影响会从根本上影响农业企业的效益。与此同时,资源的地理位置也直接决定了农业企业的营运成本高低。
2.自然灾害风险。自然灾害风险可以理解为异常条件下的自然环境风险。由于农业的生产特性,自然因素对农业的影响相比其他行业更为敏感和严重。我国是世界上两条巨灾多发地带(即北半球中纬度重灾带和太平洋重灾带)都涉及的国家,气候变化大,灾害种类多且发生频繁,这都给农业生产带来了巨大的损失。近年来,我国每年农田受灾面积达7亿亩以上,受灾农作物面积占农作物播种总面积的20%-35%,造成粮食损失200亿公斤(吴振宇,2005)。其中干旱、洪涝、冷灾、寒害是我国最主要的农业天气灾害(霍治国,2003)。据民政部公布的最新统计数字,截至2008年1月31日,我国2008年1月10号以来的低温雨雪冰冻灾害,共造成18个省份受灾,农作物受灾面积达727.08万公顷,因灾直接经济损失537.9亿元。自然灾害一方面会影响农业企业的产量,另一方面还会影响农业企业的产品质量,这都会增加农业企业的风险,造成农业企业效益不稳定。
(二)市场环境风险
1.政策体制风险。柯柄生(2001)指出,对于农业生产而言,一个主要的风险源于不稳定的政策环境。现阶段我国农业正处于转型时期,农业政策的稳定性较差。整体而言,农业政策的调整总是朝有利于农业经济发展的方向进行,但就个体而言,它不可能对每一个农业企业都有益。国家工业化政策使我国经济快速增长,然而农业经营规模却跟不上我国经济增长的平均速度。这一现象的背后是工业对农业在资金、技术等方面的回馈率较低(瞿翔、张俊飚,2006)。这一体制原因将使农业企业的可持续竞争力受到损害。
2.市场竞争风险。在一定的政策体制下,市场竞争主体行为的相互影响也将给农业企业带来风险。按照五力模型(波特,1997)的理论架构,对某一企业生产经营产生影响的市场主体可分为五类,分别是购买者、供应者、业内企业、潜在的进入者和替代品生产者,随后又有学者(Andrew s.Grove,1986)在此基础上补充了第六种力量,即互补品生产者。对农业企业而言,购买者的产品需求的不确定性影响着企业的销售风险,而供应商因素则影响着农业企业的采购风险,这都需要农业企业关注供应链上下游的产品质量和供给周期问题。同时,潜在的进入者、替代品生产者、互补品生产者和业内企业则一起决定了农业企业所在行业内竞争关系的变化。
(三)企业内部风险
1.观念风险。一般而言,管理者忽视危机的征兆、不重视对风险的监测都是因为企业未能对不确定性做出恰当和及时的反应。目前我国大多数农业企业起步较晚,且以中小企业居多,普遍风险意识淡薄,对加强风险管理没有给予足够的重视。可以说,风险观念的落后是我国农业企业内部风险的重要组成部分。
2.技术风险。农业企业往往是新技术应用的载体,但新技术优化农业自然再生产过程是有条件的。农业企业生产对象(植物和动物)的状态是不稳定的,这决定了农业企业生产技术的一系列特点,包括生产对象的不稳定性、区域环境的适应性、操作者水平的差异性。此外,有些技术的应用还需要考虑农业企业产品消费者的安全,例如基因技术的应用等。即使采用的技术在这几个方面都没有问题,也还存在着新技术的推广和应用的风险。
3.管理风险。农业企业的管理风险可以分为三个层次:首先,在人员组织方面,农业企业生产人员的来源、生产和管理人员的素质以及技能都不易把握和提高,这使得农业企业难以优化和实施有效管理。其次,在生产经营方面,农业自然再生产的特点决定了农业企业生产的原辅料以有机的、生物的或化学物料为主,因此,运输、存藏和使用这些物料的工艺难度相应较大,这构成了农业企业生产营运方面的不稳定因素。最后,在财务运作方面,农业企业的资本结构、资产结构、财务信息的透明、财务人员的职业操守也都加大了农业企业的内部管理风险。
二、农业企业的风险管理整合框架
自1992年美国COSO(Committee of Sponsoring Organization)委员会发布《内部控制整合框架》(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。2004年9月COSO委员会以原《内部控制整合框架》为基础,并结合《萨班斯-奥克斯法案》(Satbanes-Oxley Act)的相关要求,颁布了《企业风险管理整合框架》(COSO-ERM)。在该报告中,COSO委员会提出了企业风险管理的八个要素,分别是内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。笔者认为,农业企业可以立足于这八个要素,形成一个前后一贯、相互联系的风险管理整合框架以应对其面临的自然环境风险、市场环境风险和企业内部风险。
(一)内部环境
1.风险管理理念。企业的风险管理理念是一整套共同的信念和态度,它决定着企业成员在做事情时如何考虑风险,包括从战略的制定和执行到日常的活动。农业企业的风险管理不应该只重视技术层面的问题,更应该强调上下一贯的风险理念,这种理念实质上反映在管理活动中企业成员所做的每一件事情上,例如对供应商的选择和管理、对农业新技术的研发和推广、对自然灾害的预防和补救等。
2.权力和职责的分配。权力与职责的分配确定了企业内成员被授权和采取行动去处理问题和解决问题的模式。针对农业企业所面临风险的特性,企业应该有专门的部门或机构以及专门的流程承担风险识别和应对的职责,例如及时对行业政策的变化做出反应、密切关注竞争对手、潜在进入者和替代品生产者的实时动态等。相关权力和职责的划分要以充分的信息沟通为基础,以有效的监督为保障。
3.对胜任能力的要求。针对农业企业的人员组织问题,企业需要明确特定岗位的胜任能力和水平,并把这些要求转换成所需的知识和技能,从而使风险管理有着坚实的基础。这些必要的知识和技能取决于企业成员的基本素质、后续培训和经验积累。农业企业在明确了自身风险管理的能力要求后,应该进行相应的风险管理技能知识的培训,这需要覆盖从企业面临的外部环境到内部观念以及相关的技术
[1] [2] [3] 下一页
和管理技能等各个方面的内容。有必要的话还需要从外部聘请风险管理专业人士。
(二)目标设定
目标设定是事项识别、风险评估和风险应对的前提。农业企业管理层应根据企业确定的任务或预期,制定企业的战略目标和经营目标,并在此基础之上确定对目标的实现有潜在影响的事项。企业的风险管理就是提供给管理者一个适当的程序,在这样一个过程当中,既能帮助制定企业的目标,又能够将目标与企业所面临的内外部风险以及日常的营运联系在一起,同时还要保证制定的目标与企业的风险偏好和对风险的容忍程度相一致。从这个意义上说,针对农业企业特别需要关注的因素包括自身对自然资源的占有情况,对自然灾害风险的容忍程度,对农业政策性变动的承受力大小,对市场竞争环境的适应能力以及对企业内部各风险因素的控制程度。
(三)事项识别
不确定性的存在使得企业的管理者需要对影响设定目标实现的事项进行识别。事项识别是风险评估和风险应对的基础。整体而言,农业企业在进行事项识别时应充分考虑影响自然环境风险、市场环境风险和企业内部风险的各个事项。农业企业生产的自然特性与其所占用资源的量、质和地理位置无疑是影响其自然资源风险的事项;企业所处区域的常见和偶发自然灾害则是影响自然灾害风险的事项;国家的农业产业政策、进出口政策、汇率政策等则是影响农业企业政策体制风险的事项;企业现存竞争对手的威胁、潜在进入者的威胁、替代品和互补品生产者的威胁以及买方的侃价能力和供方的侃价能力等事项则影响着企业市场竞争风险。
需要注意的是,这些影响农业企业风险状况的事项通常不是孤立的,一个事项可能引发另一个事项。在事项识别的过程中,农业企业应该明白事项彼此之间的关系,通过评估这种关系,才能确定采取恰当风险管理措施的方向。例如冰雪和洪涝等自然灾害会导致农业产量和质量下降,从而影响市场供求平衡,推动农产品价格的波动,这样一来,农业企业面临的自然灾害风险加大了其面临的市场竞争风险;与此同时,产品市场价格波动又会作用于政策制定,为平抑价格波动而进行的政策修订又可能会在一定程度上加大农业企业面临的政策体制风险。由此可见,农业企业对风险事项的识别需要具
有一定的前瞻性和系统性。
(四)风险评估
企业风险评估,即企业在事项识别的基础上,进一步分析风险发生的可能性和对目标实现的可能影响程度。风险发生的可能性是指某一特定事项发生的可能性,而影响则是指事项的发生将会给企业带来的影响。农业企业在进行风险评估的过程中,可以使用SWOT分析这一强大工具。农业企业可以从优势(Strength)、劣势(Weakness)、机会(Opportunities)和威胁(Threat)四个方面给自己进行定位,进行风险评估,进而从以下四大战略模块中确定一个适合自己的战略:一是优势机会(SO)战略,即发挥企业内部优势利用外部市场机会的战略,例如利用自身资源优势发展生态农业;二是弱点机会(WO)战略,即通过利用外部市场机会来弥补内部弱点,例如尽量享受农业优惠政策弥补自身技术和资金的不足;三是优势威胁(ST)战略,即利用本企业的优势回避或减轻外部威胁的影响,例如锻造产业链抵抗竞争威胁;
四是弱点威胁(WT)战略,即减少企业内部弱点的同时回避外部环境的威胁,例如与优势企业进行合作经营等。
企业往往通过运用WO、ST或WT战略最终达致SO战略。当企业存在重大弱点时,它将努力克服这一弱点并尽量发挥自身的优势。当企业面临巨大威胁时,它将努力化解这些威胁以便集中精力利用机会。以“山东寿光蔬菜”核心企业的发展为例进行研究发现,从20世纪80年代起步,经过20世纪90年代规模的扩张和品质结构的优化升级,到21世纪初已经初步锻造出一条以高品质蔬菜种植为核心,向下衍生出蔬菜销售和加工配送企业,向上吸纳农药、化肥、种苗、竹竿和钢筋等生产资料企业的优势供应链,同时通过合作组织与农业研发机构合作,积极开展技术和管理创新及应用,并借助逐步建立起来的“寿光蔬菜”的品牌效应,吸引大量的海内外资金与技术,弥补自身农业发展资金的不足。由此可见,这些底子薄弱的蔬菜种植企业,通过上下游供应链的锻造、优势产业的互补以及相关产业政策的扶持,已经逐步将自身的弱点变成优势,外部的威胁转化为机会,并具备了强大的资源优势,牢牢掌握了市场先机,与此同时,企业通过这种战略性的风险评估模式,也使得其抗御风险的能力得到提高。
(五)风险应对
风险应对建立在深入的风险评估基础之上,为风险控制活动提供依据。农业企业应根据相关目标、企业风险偏好、风险可接受程度、风险发生的原因和风险重要性水平,结合实际情况确定适当的风险应对策略。风险应对策略可以分为规避风险、减少风险、共担风险和接受风险四类。针对没有超越自身风险容忍度的事项,农业企业可以采取风险接受策略,例如对一定的自然灾害风险的承受;而在迫不得已时,农业企业则采取规避风险策略,这主要是指撤出高风险领域。总体而言,农业企业最主要的风险应对策略主要是减少风险和共担风险。
减少风险和共担风险策略可以从战术和战略两个层面进行。在战术层面,农业企业可以采用订单农业、期货工具(包括天气期货)、保险(含产量保险和收入保险等)和控制财务杠杆等措施。。在战略层面上,农业企业可以采用多元化和产业链风险管理措施。多元化风险管理措施是指充分利用生产和加工相关程度较低的农业和农副产品以分散风险。通过进行投资组
合,达到在相同期望收益情形下组合风险最小或相同组合风险情形下期望收益最大的目的。产业链风险管理措施是指通过将整个农业生产过程分为产前、产中和产后三个环节,将不同类型风险在整个链条中进行分解,通过明确不同环节的主要风险类型及其作用机制,寻求不同的风险管理方式,然后进行有效的风险组合管理,实现降低农业企业风险的目的。对农业企业而言,以上战术和战略两个层面的措施应该结合使用。
(六)控制活动
控制活动是保证风险应对方案得到正确执行的相关政策和程序,通常包括两个要素:确定应该制定什么政策和实现该政策的一系列程序。农业企业为确保风险应对策略的有效执行和落实,首先应该强化企业每一位成员的风险管理意识,使相关的风险管理控制活动成为其自发的选择,这需要对员工进行必要的技能培训,同时对各个岗位的权责进行划分。控制活动包含的措施和程序主要有:批准、授权、验证、协调、复核、定期盘点、记录核对、财产保护、职责分离、绩效考核等内容。在整合的风险管理框架中,这些控制活动应存在于农业企业的各个部分、各个层面和各个部门。因此,农业企业应明确界定各部门和岗位的目标、职责和权限,建立相应的授权、检查和逐级问责制度,确保其在授权范围内履行职能;同时设立完善的控制架
构,制定各层级之间的控制程序,保证相关规章制度能够被有效执行。
(七)信息和沟通
对确保农业企业风险管理的效率和效果而言,信息和沟通具有不可替代的作用。农业企业应以一定的形式和时间间隔确认、捕捉和传递企业内外部的相关信息,在企业内进行全方位的沟通,以保证企
上一页 [1] [2] [3] 下一页
业员工能够有效执行各自职责,为企业风险管理策略的实施提供保障。企业获取的原始资料数据和信息(如气候状况、农产品价格等)必须及时可靠,以确保有效地做出决策。企业的信息系统应该能够根据内外部环境变化做必要的调整,确保信息高效传递,支持决策制定,以适应不断变化的环境。
(八)监控
从管理的角度来讲,企业风险管理系统本身的运行也需要进行监控。对企业风险管理的监控是指评估风险管理要素的内容和执行质量。农业企业可以通过两种方式对风险管理进行监控,即持续监控和个别评估。持续监控活动包含在企业正常的、反复的经营活动中,在正常的业务经营过程中被实时地执行,并且动态地对变化的情况做出反应。而个别评估则直接关注企业风险管理的有效性,对重大问题给予关注。就农业企业而言,对自身所面临的自然环境、市场环境和企业内部各种风险都需要保持应有的谨慎,进行持续监控;而个别评估则在重大事件出现时启动,如极有可能发生自然灾害时或有关政策发生变迁的情况下。
三、小结
农业企业面临的自然环境风险、市场风险和企业内部风险相互之间密切关联,这使得孤立的风险管理方式作用有限。本文通过借鉴最新的COSO报告的八大风险管理要素,为农业企业的风险管理给出了一个前后一贯、相互联系的整合治理架构。它通过强调内部环境中的风险意识,在企业目标设定的基础上识别风险事项,通过SWOT分析评估自身风险并采取应对措施,而后将其融入日常控制活动,最后在充分的信息与沟通的基础上对整个风险控制系统实时监控。这样的风险管理整合治理架构能够为我国农业企业的风险管理水平提升提供有力的支持。
成为企业董事会和管理者一个有用工具,用来衡量企业的管理团队处理风险的能力,并希望该框架能够成为衡量企业风险管理是否有效一个标准。
对风险的持续确认,与确定抓住什么机遇一样,对保护和提高企业利益相关者价值是至关重要。不确定性既代表风险,也代表机遇,既存在使企业增值可能,也存在使企业减值风险。在实现企业目标的过程中,企业风险管理框架是一个帮助企业管理者有效处理不确定性和减少风险进而提高企业创造价值能力的框架。
1.企业风险管理的定义
企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门,用于识别可能对企业造成潜在影响事项并在其风险偏好范围内管理风险,为企业目标的实现提供合理保证的过程。
这是一个广义风险管理定义,适用于各种类型的组织、行业和部门。该定义直接关注企业目标实现,并且为衡量企业风险管理的有效性提供了基础。该定义强调:
(1)企业的风险管理是一个过程,其本身并不是一个结果,而是实现结果一种方式。企业的风险管理是渗透于企业各项活动中一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
(2)企业风险管理是一个由人参与过程,涉及一个企业各个层次员工。
(3)该过程可用于企业战略制定。企业的战略目标是企业最高层次的目标,它与企业预期和任务相联系并支持预期和任务实现。一个企业为实现其战略目标而制定战略,并将战略分解成相应子目标,再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时,管理者应考虑与不同战略相关联的风险。
(4)该风险管理过程应应用于企业内部每个层次和部门,企业管理者对企业所面临风险应有一个总体层面上的风险组合观。一个企业必须从全局、从总体层面上考虑企业各项活动。企业风险管理应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源分配)到业务部门的活动 (如市场部、人力资源部),再到业务流程(如生产过程和新客户信用复核)。
(5)该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好范围内管理风险。
(6)设计合理、运行有效风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理保证。
(7)企业风险管理框架针对一类或几类相互独立但又存在重叠的目标,目的在于企业目标的实现。 总之,企业风险管理是一个过程,企业风险管理有效性是某一时点一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理要素设计和执行是否正确评估基础上的一个主观判断。企
业的风险管理要有效,则其设计必须包括所有要素并得到执行。企业风险管理可以从一个企业的总体来认识,也可以从一个单独的部门或多个部门角度来认识。即使是站在某一特定业务部门的角度来看待风险管理,所有要素也都应作为基准包含在内。
2.企业风险管理的构成要素
企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联要素,各要素贯穿在企业管理过程之中。
(1)内部环境
企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应,还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。董事会是内部环境的重要组成部分,对其他内部环境要素有重要的影响。企业的管理者也是内部环境的一部分,其职责是建立企业风险管理理念,确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的初步行动结合起来。
(2)目标制定
根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他三个目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。
(3)事项识别
不确定性的存在,使得企业的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的彭响、负面的影响或者两者同时存在。有负面影响约事项是企业的风险,要求企业的管理者对其进行评估和反应。因此,风险是指某一对企业目标的实观可能造成负面影响的事项发生的可能性。对企业有正面影响的事项,或者是企业的机遇,或者是可以低消风险对企业的负面影响的事项。机遇可以在企业战略或目标制定的过程中加以考虑,以确定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。
(4)风险评估
风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估——风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对于风险的评估应从企业战略和目标的角度进行。首先,应对企业的固有风险进行评估。确定对固有风险的风险反应模式扰能够确定对固有风险的管理措施。其次,管理者应在对固有风险采取有关管理措施的基础上,对企业的残存风险进行评估。
(5)风险反应
风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险,降低风险发生的可能性或降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要的风险,企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。
选定某一风险反应方案后,管理者应在残存风险的基础上重新评估风险,即从企业总体的角度、或
者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。
(6)控制活动
控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。
第1页 第2页 第3页 第4页 第5页
(7)信息和沟通
来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通,包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换,如客户、供应商、行政管理部门和股东等。
(8)监控
对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。
监控还包括对企业风险管理的记录。对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。适当的记录通常会使风险管理的监控更为有效果和有效率。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时,他们应考虑为企业风险管理设计一套记录模式并保持有关的记录。
3.风险管理要素和企业目标、企业内各层面及部门的关系
企业的风险管理框架包括四类目标和八要素。四类目标分别是战略目标、经营目标、报告目标和合法性目标,八要素是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控,是企业实现各类目标的保证,它们相互之间存在直接的关系。而且,新的风险管理框架还强调在整个企业范围内实行风险管理。
4.各管理层在企业风险管理中的地位和职责
(1)董事会。董事会对企业的风险管理负有监督职责,主要通过以下方式实现其职责:
——了解管理者在企业内部建立有效的风险管理的程度;
——获知并认可企业的风险偏好;
——复核企业的风险组合观并与企业的风险偏好相比较;
——评估企业最重要的风险并评估管理者的风险反应是否适当。
(2)管理者。企业的首席执行官对企业的风险管理最终负责,企业的高层确定风险管理的基调,从而影响企业内部环境中的员工操守和价值观及其他因素。
(3)风险管理员。风险管理员是指某一组织内的首席风险管理员或首席风险管理经理,他与企业内其他管理者一起,在各自的职责范围内建立并维护有效的风险管理框架。首席风险管理员也可以担当监督风险管理进度和帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责,并可以成为企业风险管理委员会的一员。
(4)内部审计人员。内部审计人员在企业风险管理的监控中占有重要的地位,这一职责作为其日常职责的一部分。他们可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会履行其职责。
(5)其他员工。从某种程度上讲,企业风险管理是企业内每一个员工的责任,因此,风险管理应是企业内每一个员工的工作手册的一部分内容。本质上,企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。同样,企业所有的员工都有责任向上报告风险。
企业的许多外部相关方也有助于企业目标的实现。如外部审计人员,他们从一个独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,直接有助于企业目标的实现。同时,外部审计人员还可以向管理者和董事会提供履行其职责有用的额外信息,间接地为企业目标的实现做出贡献。其他向企业提供风险管理的有用信息的相关方还包括行政管理部门、客户、其他与企业进行交易的各方、财务分析师、债券承销商和新闻媒介等等。但是,外部的各相关方并不对企业的风险管理负责。
第1页 第2页 第3页 第4页 第5页
嘉宾简介:
Miles Everson,普华永道国际会计公司合伙人。Miles领导美国普华的公司治理、风险管理和404条款遵循工作。Miles在风险管理领域有长达十五年的经验,为各类企业提供风险管理解决方案,他是COSO《企业风险管理整体框架》研究项目的负责人,做出了重要的贡献。Miles还著有《变革加速器-通过企业风险管理把握未来》一书。同时,他还是许多国际机构和论坛的演讲人。
主旨演讲:
注:本文为现场速记稿,未经嘉宾本人确认。如需引用,请联系嘉宾本人。
首先感谢大家邀请我参加本次论坛,我要感谢上海国家会计学院和英国皇家注册管理协会,我也向你们表示祝贺,你们本次的论坛是管理风险,这是今天企业越来越关注的一个话题。我相信今天在座嘉宾的演讲一定会对大家有帮助。我还要感谢所有的参与企业,包括普华永道,还有其他的一些公司,向他们表示感谢,在接下来的一个小时时间里面,我要给大家来介绍一下企业风险管理。
我主要讲的是三方面的内容。也就是在企业风险管理具体实践当中我们应该关注哪些要素。第二点来描述一下COSO的企业风险管理框架。我今天会讲这个COSO,COSO你们都熟悉这个说法吗?第三点我会给大家介绍一下企业管理的原则、框架如何进行具体的实施。但是在我具体讲这三点内容之前,我来讲讲企业风险管理的重要性。
经常有企业的主管或者投资者问我一个问题,为什么企业风险管理在今天这个环境里面比五年之前更加重要呢?我把这个原因总结为三点,为什么企业风险管理在今天的环境里面比五年或者十年之前更加重要,而且重要性会越来越强。 第一个原因我们面对的这个变化环境将会更加的剧烈。不管你的企业在哪个国家或者是从事什么样的行业,我们面临整个环境的变化只会越来越快。第二个原因就是为了要应对飞速的变化,对企业而言必须要改变或者调整自己企业的业务模式,要变的更加灵活。这样一来就面临很多不确定性。也就是说创造这些灵活的时候对业务就增加了复杂性。第三个原因就是对企业透明度的要求也越来越高,特别是对那些券市上、在股票市场上运作的企业,投资者对他们的透明度提高了更多更高的要求。一旦企业的运作出了什么事情的话,有可能企业还没有意识到,而资本市场上已经是意识到了。所以外部的投资者也要求企业能够更加的透明,能够对风险做出更快的鉴别和反应。
下面我就讲讲企业风险管理有哪些驱动和益处。
我们在四年之前就开始进行了一项研究,而且不断的在进行更新。我们花了很多的时间和一些企业的CEO,他们主要是大型的跨国企业,他们都是很有实力的企业,我们就问他们全面实施企业风险管理有哪些要素,我们问了他们一系列的问题。比如说他们之间有多少的CEO对他们企业全面实施风险管理感到有信心。这是很重要的一点,因为只有CEO对他们企业的风险管理有信心,才能代表他们已经建立起一个完善的体系。比如说风险管理的要素,包括在企业层面他们是不是额能够获得风险管理的信息,可以看到只有不到30恩%的CEO觉得可以获得足够风险管理的信息。
下面一个问题是他们是不是有一个通用的风险标准制定,也是不到1/3,问他们是不是有与流程相整合的战略管理,也是不到30%。那么风险管理数据是不是有被量化,只有不到25%的CEO说有。是不是他们有完全的整合职能与业务部门,只有不到25%。是不是整个集团的每个人都理解岗位职责,可以说只有不到15%的CEO说有。也就是说只有不到15%的CEO说他们整个企业的每个人都理解其岗位职责。是不是有一个仔细跟踪监管遵循的成本,或者说有整个监控的成本,可以说这个是不到35%。
可以看最后一个问题,为什么只有30%左右的CEO呢?因为这些CEO对他们在全球是不是都能够完整的实施风险管理感到没有信心。有些CEO认为他们已经实施了风险管理,为了实现风险管理对他们最大的挑战是什么呢?我们可以看到一系列的因素,人员、信息、信息的纪实性、竞争、组织的架构、技术支持、以及一些其他的因素。有两个最重要的因素带来了最大的挑战,对于实施企业风险管理的公司来说。第一个是人员,如果看看之前的幻灯片,不到15%的人了解自己的职责所在,所以我们就要讨论一下为什么人是最大的问题之一。他们不知道自己的职责在哪里。他们不理解所面临的风险是什么。第二个在实施方面最重要的就是信息,有时候不能获得足够的信息,一个是及时性,一个是充分性。所以当你看到企业风险管理的时候,这两个领域往往是带来实施方面最大的挑战:人、信息。一会我会更加详细的介绍这两个挑战。
有些CEO说他们是个人非常致力于推动ERM的。我们跟这些CEO交流,并且于那些并不致力于CRM的CEO做一个比较。怎么样推动风险管理的实施呢?对于那些致力于ERM的CEO来说,超过55%的人都说已经有了一套通用的标准和定义,有53%的CEO说他们有了更高层面的信息。但是下面一栏可以看到,致力于ERM的CEO,他们是进
行了与战略计划的整合。很多人都把ERM纳入了他们的战略计划中,占到42%,而对其他的CEO来说只有17%做到这一点。同样我也还是了在实际的经验中来帮助一些公司进行ERM。可以看到最关键的一个因素就是让企业风险管理的原则和你的战略计划相结合,来选择并且实施你的战略计划流程。因为你继续看一看这个幻灯片,往下走,可以看到致力于ERM的CEO,他们更多去实施的一些主要的驱动器。我希望大家可以看到倒数第三个,也就是量化到最大的程度,所有的风险都被量化,29%致力于ERM的CEO都这么做。我们觉得这种调研经常给我们提供很好的信息,让我们可以更好的来了解其他人的经验,就是实施一个ERM带来的好处和结果是时间。
在我们反思这些结果的时候,我们还可以有很多的经验帮助企业实施ERM,并且帮助已经实施的人来加强,这个工作是从几年前开始的。
下面我将谈谈今天第二个话题。也就是COSO企业风险管理框架的概览。我会给大家简要的介绍一下我们的框架。 第一个重点就是一个原则基础的框架。我们花了四年的时间做研究,试图理解有效的公司是如何由于他们很好的管理风险得到收益的,我们就设定了一些原则,这就是必须要运用的原则,不管你是哪种公司,不管你在管理哪种风险,也不管你的目标是什么,这些原则都是通用的。除了原则之外还有一些导则指南,这是很关键的。框架是一个概念性的框架,那么指南可以帮助公司来实施这些原则。原则是一个方向,每个公司都可以度身定做,根据自己的需要来调整。框架是比较灵活的,要写框架的话,必须从别人身上听到很多的建议,理解你如何来运用这些原则。但是这些框架我们设计的时候就有一个目标,希望它把能够运用于任何公司,无论在哪个行业都可以采用这个框架。所以我们可能做了很多很多的诊断。但是如果你做的太过于详细,这个框架可能就不能运用于所有的企业了,这是很重要的。在过去四年中我们推出这个框架以来一直看到这种情况。因为它的运用非常广泛,是基于一种运用的,所以我们可以成为一种标准可以被世界上各种各样的公司所采用。
我们这个框架第四个特征就是兼顾的现有的风险管理程序。我想今天任何的公司都已经在承担风险,他们已经有了一些流程来帮助他们自己了解风险。问题是现在的流程有效性如何?他们是不是平衡风险的时候很准备。
众所周知COSO委员会在1992年推出了内部控制的框架,这个内控框架被世界的监管机构所采纳,而且有一些监管者以及交易所把它作为一个基础,让所有的公司都来以次为基础。最后实施一个ERM并没有一刀切的方案,根据我
谈到了这个事实,公司大不同、行业不同、公司运作的复杂性不同、以及生命周期也不同,还有其他的一些运作,除了我刚才讲的五个因素之外还有其他的因素,各个公司也是不尽相同的。
下面我们花一点点时间看看我们企业风险管理的基础在哪里。首先这个框架有两个值,第一是框架本身,第二是运用实施的技术。
首先看看框架的本身,我已经说过这是一个原则基础的框架。它提供了一个风险的定义,以及风险管理的定义。有概念、分类、原则,并提供了一个通用的术语和定义。也皆是不同行业的人都可以用同一种语言来谈论风险。一共有80个组成部分来进行风险管理程序,也强化了对现有风险管理的指导。最后这个框架还提供了一些标准让你来确定风险管理的有效性。
在实施技术方面,我们还有一部分内容,但是是一种案例,告诉你如何来应用。当然它不可能涉及所有的实施技术的运用,但是可以给大家举例看看是如何实施运用的。企业风险管理方面我给大家举个例子,我们分成几个方面,首先企业的风险管理是一个流程,这个流程受到人的影响,是在战略环境当中加以应用的。如果大家看到我刚才谈过的调查,我们在和其他的企业研究中发现,如果你已经把你的ERM放在更好的战略中,你就可以更好的获得成功,更好的理解风险,并且更好的对风险进行管理。最后企业风险管理是贯穿于整个企业的,并不是仅仅应对某一个风险,也不仅仅是应用于某一个部门,而是贯穿于整个企业的。对企业有潜在影响的事项进行识别,并且根据风险偏好进行风险管理,这是两个非常根本的原则,我一会会详细的介绍。这也是关于识别你的事项,并且了解你的风险偏好。它可以想管理层和董事会进行保证。最后一点它与企业目标的达成相切合。
我们来看一看这个框架的架构。我刚才说它是和企业目标的达成相一致、相契合的。所以在我们的框架中确定了四个战略目标。运用的有效性、效果、报告的目标、以及是否遵循了所有的法律法规。我们知道并不是所有的企业都根据这四个方面来设定目标,但是我想向你证明,任何公司的目标都可以分成这四个部分。
第二,这是可以应用于组织的各个层面。(请看看方块的右手边),它可以应用于所有的业务部门、子公司,重要的一点根据公司的管理模式、根据目标来应用风险管理的框架,这也是COSO框架的基础之一。其中有八个相互联系的组成部分,包括内部环境、目标的设置、事项的变时、风险评估、风险的应对、控制活动、信息和沟通以及最后的监督。
在每一个组成部分之中都体现了我刚才介绍的原则,如果大家看过框架的话都知道,这些原则在附录B中可以了解到原则具体是什么。
然后我们来简要的介绍一下这些原则和概念,我想强调其中的三个原则,一个就是事项和风险,我们将看看风险的偏好和风险的容忍度,然后看看资产组合的关键,在此之前,我们还会介绍一下内控框架和企业风险管理框架之间的差别,但是同样重要的是我们要看一看这两个框架如何能够整合作一起。
在COSO委员会的工作组当中我们探讨了好几个月,就像探讨内部和ERM的关系如何。有很多不同的观点,就是它们的关系到底是怎么样的?但是最后我们达成了一致。为了能够维护框架的稳健性。这个关系应该是这样的,内部控制应该是ERM不可分割的一部分,简单的说你的企业风险管理如果没有内部控制的话是没有效的。也就是说在1992年设立的所有原则、概念都是可以纳入到整个ERM框架中的。此外,还有一些扩张的概念和原则以及扩张的目标,在ERM当中的目标又被延伸了。另外一个就是这两个框架有什么不同。有两个地方不同,第一个对内部控制框架,我们是假定你已经有了一些目标,已经有了目标设定的过程和流程,但是对于企业风险管理(ERM)我们觉得关键的是你要把目标的设定和战略的计划和风险管理整合在一起,也就是说这两个是必须被整合的。所以目标的设定也是ERM(企业风险管理)的一部分。
第二个重要的区分点,就是在企业风险管理框架中,有这样一个观点:必须对自己的风险有一个组合观,对自己风险的管理也要有一个组合观,这很关键。对于内部控制来说,框架说你可以根据一些逻辑来推断你的内控是有的,如果你了解你的每一种原则在每一个运用环境中是有效的,就可以了。你可以有不同的描述。比如说业务部门A内部控制是有效的,业务部门B内部控制是有效的,如果都是这样的话,就可以做出一个结论,作为公司整体来说我的内部控制就是有效的,是不需要推断的。但是对企业风险管理我们已经非常明确的指出,不但可以理解你的风险,以及对风险如何应对,必须有一个组合的观念来看待这个风险,如何影响你整个部门,以及如何有系统的方式来应对风险,而不仅仅是根据某个业务部门来探讨风险以及风险的应对。
我们来看看什么叫事件,事项是指一种意外或者突发的事件,它将会影响战略的实施和目标的达成。第二点我们要区分风险和机遇,风险是事项将会发生而且会给目标的达成带来不利影响的概率。而事项也可能会有正面的影响,它就
代表一种机遇。我这里想再来强调一点,就是很多的组织它是采取了风险管理的措施,他们一般只是注重风险端,但是没有看到另外一端,就是说这些事件也会给你带来正面的积极的机遇。风险实际上是一种可能的事件和你目标这么一个交点。一会我们也会具体来分析风险和机遇之间的关系。
那么接着我们要对风险进行计量,它的计量单位一定要和相关的目标是一致的。从实际的应用而言,这实际上是非常普遍的一个做法,就是风险一般,大家在进行评估和测量的时候,并没有使用和目标一致的计量单位,很多公司他们就说这个风险很大、很中或者是红色的、绿色的、橙色的风险程度,我看到这么一种标准之后,我就说,这个风险大是相对于什么而定的?是相对于你的战略目标大?还是相对于你的运作效率而言是风险很高?还是相对于我的合规性是风险高的?第二个就是说你说风险高、中,如何来衡量?可以看到我们COSO的框架而言,如果你能够有这么一个框架的话,你有自己的一个目标框架,我们就可以帮助你来评估风险的程度。就是说他们是有一个统一的框架。另外一点对于企业家而言,相对于他们的目标,跟他们谈论风险的话,他们是能够理解的,这是需要有一个替代的标杆。
另外要强调的一点,我们说的时间轴一定要根据达成的目标来确定。很多都会来评估信贷的风险或者是运作的风险,他们有可能没有考虑到时间轴。实际上在运作的时候,尽管大家有可能会意识到时间是非常重要的,但是我们在考虑合规性的风险或者战略风险、运作风险的时候,往往会忘记时间这个纬度,也就是说在多长的时间段里面遇到这个风险。可以看到这是两个很简单的例子。在这个幻灯片上面看起来很简单,但是实际上我们花了相当长的时间才做出这么一张幻灯片。也就是说我们一定要注重与目标,也注重与事件,而适中和目标的交点正是代表一个风险。
一系列的事件可能会创建一系列的风险,那么这个风险都是有不同分类的,我们来看一下蓝色的部分,就是我们公司所面临的比较普及的风险,比如说商品的风险、信用的风险、市场的风险、监管合规性的风险、操作层面的风险。我们看一下左边这个细项,风险的来源到底有哪些?这个事件来源有两部分,一个是内部,一个是外部。对于那些事件而言,我们就要问这些事件如何影响到不同的业务部门,这样一来我们就看到横轴(右边)列出了业务的目标,给大家举一个例子。比如说利率的变动,会影响到信贷的风险吗?当然了。会影响我们市场的风险吗?当然。会影响到对产品潜在的需求吗?对于抵押贷款而言当然会。会影响到我呼叫中心的呼叫量吗?当然会。所以我要问的一个问题就是,如果利率变动了50个基点,对我的业务目标有什么影响?如果在座的各位能够对这个问题进行回答的话,请举一下手。好
象没有人举手。可以看到这就是问题的根源。
你是不是理解某一个事项会影响到企业不同的目标。世界上有一些非常成熟的金融机构,他们在风险管理上非常有经验,但是他们也一直在考虑,如何来管理这个风险。比如说你的对家的风险,如果你拥有对家的投资组合,如果他进行了外包,如果你的对家业务发生了问题,那么对你而言业务目标会产生什么影响?你们举一下手看看你们是不是对这个风险做过评估?我要讲的一点也就是你一定要事先就了解,你的业务目标一旦受到一个事件的影响,那么对于不同的业务目标到底会产生什么样的影响?因为我们现在业务目标越来越复杂,业务模式越来越复杂,可以看到我们在管理风险方面的难度也越来越大。而且你一定要了解不同事件之间是相互错综复杂的。一旦其中一个事情发生了变动,也会影响到业务目标。
接下来我再来谈一下风险管理的另一个层面问题。很多时候有人会问我,他说这是我们一个风险评估的体系,他们就给我看,说有一些风险很大、有一些风险比较小。接着我就会问他,看一下你是使用的哪些定量的方法来评估这个风险的。这是COSO的框架,提出了定型风险计量技术的重要度,两者必须要同时加以运用。在我们的风险评估当中,是采取了两种方式,都使用。一般对于定性技术的运用是风险难以量化的时候,或者很难取得量化所需数据的时候用定性的技术,或者取得数据成本很高的时候也希望运用定性的技术。什么时候使用定量技术呢?当我们有足够的信息可以用来评估风险的可能发生率的影响。还有当面对错综复杂的业务模式时,当需要增加精度的时候,我们需要使用定量的技术。
我们看一下幻灯片右边的内容,可以看到风险管理技术逐步演进的路径,一开始是比较简单,我们基于自己的经验、自己的判断来定性的分析这个风险。接着要进一步寻找基准,对某一个特定的事件,在公司内部寻找一个基准或者在公司外部寻找一个基准来评估事件。接着我们又进一步使用一些非概率的技术,比如说进行敏感性分析、情景分析或者压力测试的方法。最后一种是使用概率的技术。也就是说它是有一个所谓的信心指数,可以进行反向测试等等。也就是进行风险管理、风险评估的时候一定要进行评估,如果你不理解定量的分析是非常复杂的话,实际上对公司的风险并没有非常好的评估方面,一定要了解世界上比较流行的风险评估的手段。
接着要谈的一个概念就是先偏好和风险承受度。
风险偏好实际上是一种比较宏观、高层的观点,是管理层或者董事会层面愿意承担的风险。再进行COSO调研的时候发现,很多时候风险偏好并没有被定量来得进行分析,它只是管理层或者董事会的一种哲学思考、宏观的思考。但是有时候我们发现风险偏好也是可以进行定量分析的。在我们的框架当中也说风险承受度,在可接受目标的偏差应该是与业务目标评估用同样的度量。要设定企业管理的目标,然后你说这些目标有哪些定量的评估体系,接着要评估风险。这个风险评估的度量应该和你衡量企业目标的度量是一样的,和风险承受能力评估也是同样尺度的。
再来看一下这张幻灯片,就像如何通过股价来管理公司的风险。我们知道实际上所谓的风险也是投入和产出之间的关系。在公司价值管理当中如何把风险管理也融合进去。可以看到对公司而言有三个利益群体,他们对风险、对回报都有自己的偏好,这三个利益关系是顾客、雇员和股东,对每一个利益相关者都要确定他们期望的回报值是多少、增长的目标是多少。然后就要看相对于这个回报和增长他们能接受的风险是多少。在增长风险回报之间如何能够保持一个平衡。对于客户而言,他的回报是希望能够增加单个客户增长,也希望这个公司能够进入更多的细分市场,能够增加它的市场渗透率,他们希望能够提高客户的满意度,能够提高客户的保留率。接着他们就看相对于这些增长的目标而言,公司应该承担怎么样的风险。这里面包括关键客户服务质量、流程的改善,或者集中程度和分水平的风险,他们也会来考察这个市场上信用波动的风险,然后看销售的风险。
这是一个业绩目标和风险管理之间的组合观。可以看到在几项内容。在这个幻灯片上要看一下2005年业绩的目标,当然这是在2004年做的对明年业绩目标的估计和制定。接着在右边就列出了在这一年当中可能会发生什么样的事件,发生的概率有多大,一旦发生这种事件的话,对我们2005年的业绩会产生怎么样的影响。在前面的演讲当中大家已经听到了我讲的一些风险管理原则,也就是说如果我们看到一个风险被列成一个MR,所谓一个R是指风险集中度。这个事件一旦发生的话,它以前给我们公司带来很大的麻烦,所以我们一定要了解这个风险集中对我们到底会产生怎么样的影响。对M而言是指每三年这个事件可能会发生,每发生会给我们公司造成一亿五千万美元的损失。
看一下Z项,Z就是每年都会发生一个合规性的事件,这里面有9项合规性的事件,比如说发生了这个事件之后我们会上报,每次上报会给我们带来七千五百万的损失,这是一个高发频率,每一年至少要发生一次以上。可以看到这系一个量化的指标。在这里并不是一个概率性的评估。但是可以看到实际是把它的集中度,把事件发生的严重程度和业务
指标、业务目标联系起来了。我们一定要有这么一个框架才可以把这个事件放入到我们的框架当中去。可以看到尽管这个方法并没有很复杂的定量技术,但是还是相当有效的。
再来看一下,这是我们按事件的类别,对我们目标的影响。看第一类的事件,也相当大的业务集中度,它对于我们公司经营收益的内在风险是相当高。这是一个组合观,是把事件按照类别进行分类,看看对我们公司经营业绩的影响,可以看到COSOERM企业风险管理,代表企业的一个机会,它提供了一个原则基础的通用框架,是非常逻辑、非常一致的,这样一来你可以围绕风险和控制的监管要求,该框架可用于一致化、协调并评估遵循所需的投入。这样的话可以对企业风险管理有一个全面、宏观的组合的风险观,而不仅仅是一个割裂风险管理视角。
有很多公司以为风险管理是一个全新的东西,之前都没有做过。但是实际上很多企业都是不自觉的在进行这方面的管理。因为作为一个企业而言,每天都面临风险,实际上每天都在进行风险管理。关键是你如何建立一个企业层面的、基于组合的全面的风险观。
下面要花一点时间来介绍一下ERM发展的不同阶段,可以看到ERM是由五个构件,这是基于我们帮助公司建立风险管理的实践。我们也可以看到这些企业不断的在风险管理方面成熟和演变。了解风险管理的这是第一个阶段,了解一些共同的语言,就是我们如何考虑风险到底怎么样,来关注风险在哪里,当前对它的控制有什么想法。第二个阶段就是风险的识别,风险识别阶段有两个基石,我在这里也列出来了,第一就是必须要理解风险在哪里,并且要画一个风险地图,风险会怎么样发展。当然要和目标相匹配。第二个基石就是你开始确定风险组织,如何架构,以及开始制定一些政策或者对政策进行设计,谁对哪一种风险负责。如果你还记得我之前的介绍,最大的一个缺点,在这个阶段就是很多人、雇员不知道他们的职责所在。其实如果在更早的阶段,让他们了解自己的职责,对整个系统的顺利实施是有帮助的。在第三和第四个阶段,重点就转移到了定义的分析,会进行一些自测,使用一些核心的风险指标,问题是在这里采用的一些衡量措施是定性的分析。现在还没有使用概率或者非概率的定量风险技术,还没有在这里使用。第四个阶段就是要更精确了,更精确的进行计量,在这时就会考虑可获得性的数据、内部和外部的数据、损失性的数据,这个时候就可以建模了,无论从资本的角度、价值的角度可以看看风险对我们公司带来什么样的影响。第五个阶段是整合管理,这个时候已经开始整合,风险管理的原则要纳入到公司的核心业务中去。我在这里想要强调,一般来说公司他们到第三阶段以后
就会直接跳到第五阶段,没有时间进行精确的建模。但是为了有一个整合的系统,我觉得你的业绩表现和定量的分析风险应该整合起来,所以第四环节是不能跳过的。
下面我将简要的再谈谈在实施方面的内容。
首先文化和治理。对于ERM的有效性来说最重要的就是和恰当的企业文化,风险组织应该基于某个中心部门来建立。风险管理委员会的架构必须根据风险类别来设立,由风险管理委员会来统管,而且必须对现在的风险管理有一个了解,并且知道它们现在的风险管理怎么样,可以对企业进行改良。
看看这张幻灯片,我们认为这个图非常有意义,可以用于很多公司,那么这个图有什么意思呢?在一个典型的业务周期中,计划、执行,然后对其进行监控。问题是在(左手边)的模式中,谁承担了哪一层的职责、谁承担了管理风险,这和战略都是密切相关的。这张图的底部就体现了另外一个思维方式,如何来考虑在公司最高层的风险,在公司最高层是如何分配的。在计划阶段给哪个部门分多少资本,以及他们在运行的时候可以获得多少资金,资金的限额,这也包括风险偏好和容忍度。在谈到业务执行的时候,主要就是控制一些流程。你的雇员如何运用这些流程。在衡量主控值的时候,就是报告和支持的分析。这是一个自我不断循环、自我不断发展的环路。
我们可以建立三种不同的组织结构图,可以利用它来实施企业风险管理。这三者不同的方法可以供不同类型的公司来使用。
在风险识别方面,在这一阶段有两个非常关键的元素,第一个有很多公司都做的很好,那就是获得初期的看法,风险是什么?它们和我们的目标联系在哪里。第二步(在我看来是最重要的一步),就是衡量一下如何运用八个相关的原则和模块,很多ERM的项目,都仅仅是关注风险的评估,但是他们却忽视了,我刚才谈的第二个关注,就是如何把基本的原则应用到普通业务运行当中去。这是一个自我评估的例子,其中有定性分析的内容,在定性分析方面,我们设定了一些可以用的措施。比如说很多公司都不知道他们在用什么样的测量方法,从这个图上可以看到,你是如何从已有的指标看公司情况如何,现在这些情况和风险因子,他们的关系如何,这是其他一些公司已经使用的一个模块。可以看看如何对其进行改良。这个地方更多的是定性管理,就是说可以进行风险管理的方式,通过一些平衡积分表和业绩的方式组合在一起,可以衡量业绩,同时也可以衡量风险,通过这种定性的分析把这两个联系在一起。
然后还可以计量一下影响波动性的关键因子,进行建模,认为风险敞口在哪里,可以根据这个风险敞口进行建型,这个模式的运用性比其他的要应用的更好。但是可以衡量事项,然后为资本来建模。如果可以为资本建模,对某一个目标或者某一个部门进行建模的话就可以为整个公司进行建模。
我的观点是这样的,我们谈到一个例子有风险资本的概念,我认为大部分业务部门的人,他们都是谈到对其收益的风险。其实重要的是为能够获得一个资本的数量,我必须知道收益的波动性,所以可以利用收益波动性和CFO和业务部门的人进行讨论。可以利用资本的数据理解,如何运用我的资本。
在第五个阶段,整合管理方面,可以整合现有的经营计划流程,加入更多的客观风险计量,当你谈到战略计划的时候,战略选择如何进行,如何进行目标的预测。将来交付的情况怎么样,比如说是为了增长、收益、客户的保留等等,这些都是我们可以进行计量的指标。显然ERM和这个计划相联系这是非常关键的,在计划流程中必须要确定风险的偏好,必须要进行组织的整合、组织的联系,必须非常自信的进行企业前景的预测,企业业务部门要知道自己的业务目标是什么,以及波动性如何,要通过什么样的方法创建这样的计划,就会受到业务部门的信任。然后可以把之前没有的整合性纳入到公司内部。
下面是将ERM嵌入到日常管理中,我们如何通过更好的日常管理、更优化的资本运用。当我们看到新的风险时,风险是很大的。业务部门通过风险调整进行控制,我们可以看到哪一个业务部门创造了多少价值,这些基础设施是和风险偏好相联系的。我之前也说过我们碰到的最大的挑战就是获得足够多的及时信息,这是在风险基础设施架构好了以后才可以获得的。那么高级管理团队要做出正确的决策,根据已有的信息,在每日的交易中必须进行风险和收益的权衡,然后做出比较、做出决策。
我们会强调四点,变化越来越快、透明度越来越高,你也不可能向你的相关者隐瞒着,CEO必须要很好的管理,ERM可以便于盈余波动性管理、资本充足性和资本优化趋向价值创造。风险管理方法有助于平衡围绕企业业绩和风险各方利益和观点。
这就是我的介绍,下面我非常欢迎大家的提问。
谢荣:
非常感谢Miles的演讲。Miles是非常早研究企业风险管理,也是实施风险管理的专家。Miles最近一个最成功的案例是什么?是他昨天非常英明的选择了搭北京早班的飞机赶到上海,确保了我们今天演讲的成功。大家都知道昨天北京、天津所有的航班,除了早班飞机到下午有一段时间正好可以起飞,来到上海。如果是昨天下午搭飞机就很难确保今天的演讲了。所以非常感谢Miles的精彩演讲。
听到Miles的演讲让我们了解了国际风险管理的一些现状,了解了COSO企业风险管理框架的基本内容。也了解了我们企业风险管理的一些技术、方法。企业风险管理是一个全球范围内新的课题,所以我们从Miles的演讲里面也看到了全球大概不到1/3的高层,包括CEO、CFO认为他们的企业已经实施了全面风险管理,说明大部分还没有非常严谨、周密的实施企业风险管理。那么我们中国经济发展这么快,企业面临的问题也是非常多,所以我想这是我们现在实施企业风险管理的一个非常重要的机会。从Miles的演讲里面,也看到了,要搞好一个企业的风险管理,人、信息、高层管理非常重要。所以我也希望曾经这次论坛的所有与会朋友,今后都能够成为我们国家企业风险管理的专家。按照今天Miles提出的许多非常有效的技术方法,来建立我们的企业风险管理系统。
下面就准备话筒,有朋友有问题的话,我们欢迎大家提问。看来第一个问题大家要留给我了。我有一个问题先问一下Miles,现在企业风险管理大家非常重视,我知道COSO有两个报告非常有名,一个是内部控制框架的报告,第二个是企业风险管理的框架报告。内部控制的框架报告现在成为《萨班斯法案》对内部控制完善的标准,我的问题是在今后COSO的企业风险管理框架,会不会替代COSO的内部控制框架成为《萨班斯法案》对内控要求的标准。
Miles:
《萨班斯法案》都是围绕内部控制来进行的,所以最近不会有这种替代性。我相信市场的驱动力,ERM主要还是用于评级机构、交易所来控制资本的流动。但是也不知道未来会是怎么样,所以以观后效。
提问:
Miles先生您好,我想问一个问题,中国经历近20年的高速成长,我们现在已经开始从外延式的增长到内含式,怎么样进行内部的管理控制,所以国际上的风险管理控制对中国企业来说非常重要。但是实际上中国企业目前很大的问
题,我们基层的控制性的风险控制还不是很好。而系统性的风险到目前为止突然从国外引进来,这两种风险中国都很重要,那么中国的企业如何去协调这两种风险?而且更基本的可能是基层的控制性的风险?操作层面的风险,您对中国这些企业有没有什么很好的建议?让这两种风险很好的结合起来?或者您认为在中国这两种风险哪一个是最主要要解决的?因为现在中国很多企业发现的问题都还是集中在基础层面的。谢谢。
Miles:
我想当你谈到基层操作性风险的话,这是取决基层风险、操作性风险的重要性。不仅仅是中国公司会碰到这样的问题,所有的公司都会碰到两种不同的风险。我们往往会过度的关注那些不是很重要的风险。我的建议是对基层的运作性风险,应该只是关注那些对企业有效性来说影响非常大的风险、很关键的风险,对那些小的风险就不要太关注。另外我们也看到在一些国家看到这种趋势,当你谈到从国外引入系统性风险的概念,我认为我需要再阐明一点,当我谈到风险的时候,我认为风险是对某一个目标来说的,并没有说一个系统性的目标。所以我说的就是事项,这个事项有可能是影响整个公司、整个行业甚至整个国家。所以如果这个事项带来了很大的影响,可以在全球的研究中希望看到更多公共部门和私营部门的合作,来解决这种所谓系统性的风险。我们所谓的系统性风险是会影响到整个公司、整个国家的,甚至是某一个国家无法解决,这才是我们所谓的系统性风险,这是我们对系统性风险的看法。我不知道这是不是回答了你的问题。
提问:
Miles你好,我想问的问题就是风险管理和传统企业管理之间的关系?
Miles:
我觉得不管从理论还是实践上而言,业绩管理、风险管理和内部控制是三位一体、不可分割的流程。这也是为什么在风险管理紧密的和企业业绩目标是结合在一起的。因为我们要制定一个目标、制定一个计划的时候,要把任何一个风险都在这个框架下进行风险评估。不能把这两者割裂开来,所以业绩的评估、风险管理是应该紧密的结合起来,在我的框架当中这几者也是必不可少的关系。
电信运营企业实施全面风险管理的初步探索和认识
2006 年6月国务院国资委下发的《中央企业全面风险管理指引》(以下简称《指引》),对于国有企业全面落实科学发展观,进一步深化改革,增强企业竞争力,促进企业的持续、稳定、健康发展,具有深远的意义。《指引》明确要求,中央企业应开展全面风险管理工作,进一步提高企业管理水平。
近年来,作为我国电信行业的主导运营商,中国移动在加强企业内部控制、完善风险管理体系等领域开展了积极的探索,并在有效落实全面风险管理要求方面积累了有益的经验。
一、对风险和风险管理的正确理解,是有效管理风险的基本前提
根据《指引》定义,企业风险是指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标准,分为纯粹风险和机会风险。
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风 险管理的总体目标提供合理保证的过程和方法。
结合中央企业的经营管理实际,上述定义阐述了国有企业构建风险管理框架的前提和方向,这与美国COSO(全国虚假财务报告委员会下属的发起人委员会)组织《企业风险管理框架》中有关风险及风险管理的概念是相互吻合的:
1、对风险进行辨识和确认的基础,是风险总与企业目标相关联。只有影响目标的不确定性,才是风险。
2、不确定性对企业实现目标的影响既有正面的又有负面的,分别意味着机会和风险。
3、风险管理是一系列方法和运用方法的过程,风险管理本身不是目的,而是实现目的的一种方式。
4、风险管理将渗透入企业所有层面的活动,而各层面相关员工则是各层次风险的具体管理人员。
5、受风险的不确定性特征和人的因素的影响,风险管理只能为实现企业目标提供合理保证。
6、内部控制体系是全面风险管理体系的组成部分。
7、企业的内部环境,如文化理念、管理体系等,是风险管理的基础,为风险管理提供规则和架构。
二、中国移动开展风险管理的实践
中国移动自上市以来,始终致力于建立完善的公司法人治理结构,贯彻、实施诚信、透明、公开、高效的企业管治原则,确保权力制衡和科学决策。公司建立了有效运作的董事会制度,董事会下设审核委员会、薪酬委员会和提名委员会,三个委员会全部由独立非执行董事组成。董事会的主要职责包括:制订公司整体战略目标,设定管理目标,监督公司的内部控制和财务管理,监管管理层的表现,授权公司管理层对企业日常运营进行管理。
规范的公司法人治理结构,为中国移动推进实施风险管理提供了组织保障。2002年,中国移动集团设立内审部;2005年,逐步在各省级公司建立内审机构,组建两级内审队伍;内审部门在审核委员会的领导下,开展以风险为导向的管理审计,将电信行业所有主要生产经营管理机制和业务流程纳入审计范围,电信运营企业的风险评估框架日渐成熟;2006年,遵循美国《萨班斯-奥克斯利法案》(SOX法案)第404条款的内部控制要求,完善与财务报告相关的内部控制制度,为公司财务报告的可靠性提供了合理保证,企业风险内控管理的组织体系和运作模型得到进一步充实、固化;2007年,内审部门结合风险审计和内控测试工作经验,在电信行业率先对企业全面风险管理实施独立评价,在此基础上,着手选择部分关键机制、流程和高风险领域实施重点评估。经过几年风险管理工作经验的积累,中国移动内审部门对电信运营企业面临的战略、法律、市场、财务等各类风险及其解决方案形成了初步的方法体系,在企业内部推动落实全面风险管理的路标逐渐清晰。
(一)依据COSO内部控制框架,构建电信行业风险管理审计模式
中国移动内审机构自设立以来,根据公司发展战略目标,制定了内部审计工作的总体规划,并逐年安排对运营管理、法律合规、信息技术及内部控制开展风险审计和评估。经过对电信企业运营风险特点的全面深入分析,将电信企业的主要生产经营和管理活动划分为3大类14个核心机制和流程,报请上市公司审核委员会审批后,按照重要性原则,依次开展对各机制流程的风险评估及内控审计。
对企业运营过程中面临的主要风险进行系统化分类,是对风险实施针对性管理的前提。内审部门将电信企业风险按不同层次和业务类别分解为14个机制或流程。详细分类为:
1、策略管理机制,主要包括企业策略管理机制,品牌策略管理机制,内部审计机制和企业管治机制。
2、核心业务流程,主要包括新产品及新服务开发流程,网络规划、建设、采购及物流管理流程,
网络管理流程,收入保障机制,市场销售与推广流程,客户服务流程。
3、资源管理机制,主要包括信息管制机制,人力资源管理机制,财务管理机制,法律及合规管理机制。
内审部门实施风险管理审计的基础,是针对特定机制和流程的风险编制风险控制矩阵。在构建各机制流程的风险控制矩阵时,均比照COSO组织《内部控制框架》,构建以控制环境为基础、以风险评估为前提、以控制活动为手段、以信息及沟通为条件、以监控为保障的内控风险评价模型。针对每类风险,在相应的控制要素中均设计了标准控制措施和剩余风险的评级标准,以及针对内控措施的审计方法。
(二)SOX法案内部控制遵从项目的实施,系统化地整合了内部控制流程,健全了内控管理体系
作为在美国上市的电信运营企业,中国移动自2005年起全面启动了SOX法案第404条款内部控制遵从项目。
1、总部、各省级公司及其分支机构均建立了内部控制管理的组织架构。公司各级管理层和业务部门负责人组成内部控制项目管理委员会,明确财务部门作为内控管理职能部门、内审部门作为内部控制测评部门,各业务流程负责部门接受财务部门、内审部门对内控工作的指导和监督。
2、经过对企业全部业务流程的梳理和记录,编制形成《与财务报告相关的内部控制手册》。内控手册采用COSO组织《内部控制框架》作为内部控制有效性的评价标准,将业务流程层面与财务报告相关的内部控制活动划分为信息技术、资本性支出、收入和计费、存货管理、营运支出、货币资金管理、固定资产管理、人工成本管理、会计和财务报告、筹资、关联方交易、法律法规遵循等12个主要流程。
3、建立了内部控制设计和执行的监控考核体系。外部审计师和内审部门每年都组织两次内控穿行和执行有效性审计,审计结果计入各单位年度经营业绩考核成绩。
随着SOX法案内部控制遵从项目的开展,中国移动建立了针对财务报告风险的常态化的内部控制组织体系和管理流程,风险管理理念已深入人心;各流程中内控授权、报告、审批、检查、评价考核、权力制衡等基本制度的建立,业已成为风险管理解决的内控方案的标准。
(三)总结风险管理审计和内部控制工作成果,开展全面风险评估
2007年,中国移动着眼企业管理全局,有针对性地全面梳理了企业风险,将14个核心管理机制和业务流程的审计框架与SOX法案内部控制制度体系进行了有机结合,并借鉴国外电信运营企业全面风险管理实践,遵循《指引》评估工作程序,组织开展了全面风险评估工作。
全面风险评估主要采取调查问卷、访谈和规章制度审阅等方式进行。其中,调查问卷体系包含
了16个主要机制和流程的209个问题,包括企业策略管理机制、公司管治(含审计与监察)机制、企业文化管理机制品牌策略管理机制、客户服务流程、财务管理机制等。
各省内审机构按照统一部署,召集各部门风险管理人员组成风险评估工作项目组,采取流程分析、访谈、规章制度审阅等方式,对相关风险问题逐一进行评估,量化风险等级;所有评估结果均经过各业务职能部门初评和内审部门复审两级复核;最终,项目组根据评估结果出具了全面风险评估报告。
三、长期的风险内控管理工作,使内审部门对企业运营中的高风险领域形成清晰的认知
依据中国移动风险管理审计、内控测试评价及全面风险评估的标准,企业运营中的高风险领域主要是指针对某项风险,被审计单位未建立相应的控制措施,或虽已建立控制措施、但未能有效执行。以中国移动省级子公司为例,在具体执行层面存在的风险包括以下几方面:
(一)战略风险方面
1、集团公司的整体战略不能有效传导,缺乏必要的工作机制和组织保证,一定程度上影响战略目标的统一理解、认识和达成。
2、企业内部职能调整或流程重组,但相关管理制度未及时修订完善,将使经营管理缺乏有效监管、战略无法有效落地。
3、尚未建立科学的战略业绩评价机制,无法有效避免经营单位短期绩效与企业总体战略目标的不相契合,导致过分依赖资源投入、追求当期经营成果等现象,不利于公司的长远发展。
(二)市场运营方面
1、新业务或新资费产品设计定位不当,细分市场的适用性不强,无效投入营运资源。
2、新业务的推广较多使用业务捆绑和成本置换等方式,容易引发客户投诉和投机消费行为。
3、营销渠道管理不规范,销售佣金结构不合理,导致代理商违规循环套利,销售渠道自营率较低,客户质量不高。
4、整体资费水平下降较快,低端客户转网频繁,浪费经营资源。
5、缺乏对SP有效监督管理和考核奖惩的机制,致使违规行为屡禁不止,企业形象受到损害。
6、社会渠道来源的客户资料真实性不强,影响公司为客户提供优质服务。
(三)网络建设和运行方面
1、固定资产投资计划或投资结构不合理,导致通信能力无法满足客户需求或造成通信能力闲置。
2、缺乏对建设项目的技术、市场、经济效益等方面的可行性分析,导致资本投入无法收回或达不到建设目标,技术方案不够合理,投资规模盲目扩大,经济效益低下。
3、建设项目管理不严,造成工程投资损失、浪费。
4、建设项目不能如期交付使用,影响通信能力服务的提升;或达到预定可使用状态的建设项目未能及时转固。
5、对重大通信故障的应急处理预案不完整,影响网络安全畅通。
(四)信息安全方面
1、违反法律法规的规定,对外不当披露信息,造成不良后果。
2、信息系统安全存在漏洞,导致公司财产损失、声誉下降或知识产权受到侵害。
(五)财务管理方面
1、财务预算管理失控,致使公司不能完成既定绩效计划。
2、会计方法的错误运用和会计处理错弊等,对外披露不真实的财务报告。
3、会计人员对税收法规掌握不全面或涉税核算不规范,带来监管风险。
(六)人力资源管理方面
1、更为激烈的行业竞争,引发核心人才的流失。
2、劳务用工的外包合作及聘用管理等易产生劳动争议、纠纷或导致事件升级。
除上述列举的具体风险外,电信行业重组、新技术的应用、电信全业务运营趋势的日渐明朗、信息化战略的实施、电信监管力度的加大等因素,都会对电信运营企业带来不同层面的风险。 针对审计评价中发现的各类高风险领域,中国移动各级内审部门通过汇总或专项报告、联席会议、审计跟进等途径,向董事会、公司管理层及业务管理部门、经营单位进行了反映,各级公司已经制定并实施了风险管理解决的内控方案,内审部门在企业全面风险管理领域发挥的作用逐渐显现。
四、电信运营企业推动全面风险管理的体会和认识
进入二十一世纪,经济全球化和竞争国际化不断加剧,企业运营的内外部环境发生了重大变化。同时,随着国家产业政策调整引发的电信行业重组、技术演进趋势加快,新的竞争格局和新的运营模式给电信运营商带来诸多挑战和选择,给企业经营带来诸多风险。面对现实,企业风险管理已经成为企业加强管理的内在需求。设计良好且执行到位的风险管理实践,可以使企业显著提升运营效率和效益,从而为实现战略目标提供保障。
(一)营造良好的内部环境,树立清晰的风险管理理念,确立有效的企业风险管理策略
根据COSO组织2004年发布的《企业风险管理框架》,风险管理是企业经营管理过程的组成部分,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等八个相互关联的要素;而内部环境是其他所有风险管理要素发挥作用的基础,为其他要素提供规则和结构,并受企业历史和文化的影响。良好的内部环境至少应包括以下基本特征:
1、规范的公司法人治理结构,股东会、董事会、监事会、经理层依法履行职责,高效运转、有效制衡。
2、董事会重视全面风险管理的价值,并与管理层和其他员工共同承担起风险管理的职责。
3、在企业内部培育和塑造良好的风险管理文化,树立正确的风险管理理念,将风险管理意识转化为员工的共同认识和自觉行动。
美国世通、安然和中航油公司的典型案例,给我们以深刻的警示:即使企业已经建有十分完善的风险内控制度和业务流程体系,但是如果缺乏牢固的内部环境基础,从公司董事会、管理层直至业务执行层对战略风险导向不清晰或不能达成共识,那么随时都可能发生管理人员凌驾于制度规定之上或操作人员不按既定流程作业的事件,轻则企业蒙受损失,重则公司一夜垮台。只有营造良好的内部环境,树立一致的风险管理认知,确立科学清晰的管理策略,才能有效保证风险管理体系的正常运转,以及各类管理制度和业务流程得到切实执行。
(二)建立健全风险管理的组织体系,并以信息化手段辅助实现管理体系的高效运转
风险管理组织体系是企业实施全面风险管理的基石,它通过设立风险管理的责任部门、组织部门、评估部门,在明确管理职责的同时又进行统筹安排,从而保证风险管理的顺利开展。《指引》明确提出:“企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。”
电信企业应建立健全风险管理组织体系,董事会及其下属的风险管理委员会负责建立风险管理机制,确立企业风险管理策略;公司管理层、风险管理职能部门、业务部门负责组织实施风险管理策略,并对风险管理工作进行自评、总结和改进;审计委员会及内审部门负责建立风险监督评价体系,实施审计监督并出具评价报告。其中,风险管理职能部门负责履行全面风险管理职责,对公司总经理负责;内审部门负责对风险管理工作及其工作效果进行监督评价,对董事会下设的审计委员会负责。据此,健全由业务管理职能、风险管理职能和审计职能逐级负责的风险管理组织防线。
业务经营与信息技术加速融合的趋势,促使信息技术成为了风险管理的有效手段和必要工具。电信企业应充分发挥行业优势,积极推动各运营支撑和管理系统、管理信息系统、经营分析系统、内控内审管理系统等多个系统数据的融合与集成,分类汇总形成涵盖内部控制各环节的风险信息库,并将风险管理措施全方位地嵌入生产经营管理过程,从而建立对风险信息的收集整理、分析评估、自动监控和触发预警、制定并执行解决方案的闭环管理过程。
(三)夯实内部控制管理基础,延展风险管理内涵和举措,循序渐进地推动全面风险管理
COSO组织认为,内部控制是企业风险管理不可分割的一部分。《企业风险管理框架》集成、涵盖了《内部控制框架》的主体内容,扩展了目标设定、事件识别和风险反应三个构成要素,增加了风险管理的战略目标,提出了风险组合观及对应的统筹治理风险理念。《企业风险管理框架》和《指引》都显示,基于内部控制系统、遵循企业愿景建立企业风险管理体系,已成为企业全面规划和管理风险的必由之路。电信运营企业规范的公司法人治理结构、完善的内部控制组织体系和成熟的风险管理文化,为全面风险管理的实施奠定了良好的基础。下一步,应继续健全风险管理的组织管理体系,从战略高度扩展风险内控管理的视角,不断创新风险管理的方法和工具,系统化地充实风险管理的内控措施,进一步完善内部控制,深化合规性风险管理,促进内部控制系统向全面风险管理系统的进化和升级。
(四)内审部门应在全面风险管理中发挥更加积极的作用
内审部门的职责性质,决定了其在风险管理中将发挥以下作用:
1、协助识别和防范风险。内审部门通过开展各种形式的审计监督和咨询评价,以风险为导向,对企业从内部环境至具体业务流程进行全方位的审视,以及时发现影响经营目标实现的内外部风险点,通过科学方法测算风险级别,提出改进建议,从而帮助风险管理职能部门和各业务单位及早采取防范措施。
2、协助完善风险管理解决方案。内审部门通过开展自上而下的流程分解和穿行测试活动,对于风险管理解决方案设计的健全性和有效性进行审视,以发现和确定既有的内控措施能否满足控制目标,有无遗漏或冗余,各业务部门在内控流程的配合和衔接中有无缺位,从而帮助企业进一步修补、完善风险内控措施。
3、对所有内控制度执行的有效性进行全面监控。内审部门通过开展管理专项审计或风险内控审计,检查企业内部各项业务活动的合法性和合规性,保证各项经营活动在合法范围内运作、在管理层可承受的风险程度内进行。随着内审部门风险管理职能的不断充实、审计技术的持续创新和内部审计人员职业技能的迅速提升,内审部门在风险管理中的重要作用将进一步凸显。
中国的电信运营企业经历了国际资本市场的不断洗礼,通过持续完善公司治理结构、强化风险内控管理,以稳步提高运营效率和效益,增强企业核心竞争力。为有效应对战略、运营、报告与合规风险,电信运营企业将继续积极贯彻全面风险管理的各项要求,健全、完善风险管理系统,以实现企业的持续快速健康发展和国有资本的保值增值。(中国移动山东公司 狄艳林 王强)
参考文献:
1 《萨班斯-奥克斯利法案》 2 杜杰著.风险管理实务
3 周兆生著.COSO企业风险管理框架
解析企业风险管理的定义
发布者:杨小舟 发布时间:2006-5-31 10:24:00
解析企业风险管理的定义
杨小舟/文
何谓风险,何谓企业的风险管理,不同的人有不同的理解。COSO发布企业风险管理整体框架的一个重要目标,就是对风险管理的定义、要素及一些主要的概念进行描述,以使大家的讨论能够建立在一个共同的基础之上,这既有利于研究的不断深化,有利于企业对现有风险管理体系进行评估、改进,也有利于管理者进行相应的风险管理决策。
本文主要探讨企业风险管理的定义。为便于理解,我们首先了解一下不确定性与价值、风险与机遇之间的关系。
不确定性与价值
企业风险管理的一个内在假设就是所有的经济组织,不管是盈利组织还是非盈利组织,其存在的目的就是为利益相关者创造价值。即企业的管理者通过各种各样的决策与执行,使企业的资本在运动过程中不断地得到保值或增值,详见图1。
图1 企业价值的驱动因素
如图1所示,企业的经营总是在一定的环境下进行的,环境因素包括技术创新、重组、市场变化、竞争、政府监管与调控等。所谓不确定性就是指影响企业目标实现,源自企业内部或外部的某一事件发生的可能性。
不确定性可能因为企业无法准确地确认事件发生的概率及其相应的后果而产生。比如,中国的3G标准到目前还未最终确定,不少IT企业(如中兴通讯、华为公司等)的经营由此而受到影响。再比如,前些年国家对房地产行业实现的宏观调控措施,也是不少房地产企业未曾预料到的。
不确定性也可能来自于企业的战略选择。比如,企业为满足增长的需要,需要在国外投资办厂或经营,经营所在国的政治环境、资源、市场、渠道、雇员的能力与成本等因素的稳定与否就给企业的经营带来了不确定性。
需要注意的是,不确定性既代表着风险,也代表着机遇;既可能损害企业的价值,也可能增加企业的价值。比如说同样是海外收购,联想集团2005年末收购IBM的PC业务后,经过不到一年的整合,该项业务即扭亏为盈,公司股价也随之上涨近50%;而TCL集团2005年度的巨额亏损,主要原因就是受累于手机巨头阿尔卡特、彩电巨头汤姆逊的合资公司的不良运行(杨小舟. 海外并购:谋定而后动. 新理财. 2006-2. P20)。建立企业风险管理系统就是为了帮助管理者有效地应对不确定性,提高企业管理风险和创造价值的能力。
风险与机遇
如前所述,不确定性不等于风险。不确定性是指某一事件发生的可能性,该事件可能有积极的效应,也可能有消极的效应,也可能两者兼而有之。比如说银行贷款利率的调整,属于源自外部的、企业不可控的事件,对企业经营的影响就存
在着不确定性。如果贷款利率向上调整,对企业目标的实现会产生不利影响;如果贷款利率向下调整,则会产生有利影响。再如人民币汇率的变动(目前变动较频繁,幅度也较大),对不同企业有不同的影响。
所谓风险是指对企业目标实现有不利影响的某一事件发生的可能性。因此,不确定性是风险的一个必要条件,但不是充分条件。
具有不利影响事件的发生,将会对企业的价值创造带来损害。比如机器设备的损坏、火灾,以及信用损失。有时表面上看起来有利的环境或条件也可能发生不利的后果。如客户的需求超过了企业的生产能力,说明企业的产品很适销,供不应求;但从另一方面看,由于不能满足客户需求,影响了客户的忠诚度,客户转而向其他供应商采购,从而影响了企业未来的部分订单。
所谓机遇是指对企业目标的实现有积极影响的某一事件发生可能性。机遇有利于企业的价值创造与保持。管理者需要将这种机遇融入企业的战略与目标设定的流程之中,以便采取行动抓住机遇。
对中国企业而言,机遇随时可能发生,但也稍纵即逝。比如2005年5月,中国人民银行发布了《短期融资券管理办法》,不少企业就抓住了这一机遇,大大降低了融资成本。如清华控股有限公司、金融街控股有限公司(000402)都通过发行短期融资券,筹集了将10个亿的资金,资金成本率约为3%左右。而一年期银行贷款的基准利率约为5.5%,仅此一项即可给企业节省利息支出2500万元。
从图1可以看出,企业的价值最终取决于未来现金流量的规模、时间和风险,因此,只有当企业的管理者制定了在增长、盈利与相应的风险之间取得最佳平衡的战略与目标,并能在经营过程中有效果、高效率地运用资源时,企业的价值才能达到最大化。
企业风险管理的定义
对于企业风险管理,COSO是这样定义的,即:企业风险管理是一个过程,受企业的董事会、管理层和其他人员的影响,应用于企业的战略制定及各个方面,旨在确定影响企业的潜在重大事件,将企业的风险控制在可接受的程度内,从而为实现企业的目标提供合理保证。
为正确理解这一定义,我们应注意以下几点:
1.企业的风险管理是一个过程。企业风险管理不是静止、一成不变的,而是一个持续改进的过程,它与企业日常的经营活动息息相关。只有当企业的风险管理机制嵌入到企业的基本制度之中,并成为企业经营中一个不可分割的部分时,才有可能发挥出最大效用。比如,国内某IT企业在以往的销售策略中,对分销商和代理商采用现金销售方式,但由于市场环境的变化,公司2004年修订了信用政策,扩大了信用销售。为了控制信用销售的风险,公司加强了对客户信用标准、信用额度及信用期限的分析与审批,但这些分析与审批制度是与公司的销售、发货、收款等内控流程、制度融为一体的。
2.企业风险管理受公司各个层级员工的影响。企业风险管理机制是由公司的董事会、管理层和其他员工建立并执行的。同时,企业的风险管理体系也对公司员工的行为产生相应的影响。
但是在一个企业中,由于不同的员工具有不同的教育背景、经历和技能,也有不同的需求和偏好,对风险的认识、态度和方法也就不一致。比如在确定公司的信用政策时,营销副总根据其掌握的信息与沟通情况,可能会建议对某一特定客户加大信用额度、延长信用期限;而公司CFO则根据对该客户财务报表的分析,考虑到坏账风险、资本成本等因素而
建议给予较小的信用额度和较短的信用期限。企业风险管理就是要提供一种机制来帮助员工从公司目标实现这一角度来理解风险,将员工的职责、权限与工作方式与公司目标之间建立一个明确的、紧密的关联。
特别需要指出的是,在一个企业中董事会主要承担监督职责,对公司的战略、重大交易、政策进行方向性的指导与审批,因此,董事会是企业风险管理中一个非常重要的组成部分。
3.企业的风险管理应当运用于战略的制定。每个企业都有自己的使命、远景,以及相应的战略目标。企业需要建立一系列的战略来实现其战略目标。除战略目标外,企业还应有一些相关的、具体的目标,这些目标源自企业的战略,渗透到企业的各个业务单元、分部和流程之中。
企业的风险管理应该运用于战略的制定,而战略制定就是在风险与相关替代策略之间的权衡与选择。比如企业的发展有两种战略:一是收购其他企业扩大市场份额;二是通过成本控制取得更高的毛利率。每一种战略选择都会涉及到相应的风险。收购其他企业,必须开拓新的或不熟悉的市场,竞争对手可能乘虚而入,侵蚀公司现有的市场份额;并且公司也可能缺乏实施这一战略的能力。而采用成本领先策略,则需要采用新技术、寻找新的供应商或形成新的战略联盟。企业的风险管理技术可以帮助企业的管理层评估和选择企业相应的战略与目标。
4.企业风险管理涉及到企业的方方面面。企业的风险管理应该应用于企业的各种活动层面,包括公司层面的战略计划、资源配置;部门层面的市场活动与人力资源管理;流程方面的生产与新客户信用的审视等。企业的风险管理还可应用于一些特定的项目或新的举措。
企业风险管理要求公司采用“组合风险”的观点,这一点应引起国内企业的充分重视。比如公司某一分部的各种风险可能是在该分部的风险偏好之内,但各分部的风险总和可能会超出公司作为一个整体的风险限度。相反,在某一分部看来是不能承受的风险,可能被另一个部门的经营业务所抵消。如我以前任职的一家IT集团公司,有电脑子公司(从事PC、服务器、数码产品等的制造与销售)、外设子公司(打印机、终端等产品的制造与销售)、计算机软件与系统集成子公司,以及网络产品制造与销售子公司。单从网络产品子公司来看,投入大量的研究与开发费用,风险较大,已超出该公司的风险可接受范围;但从整个集团公司来看,由于其他子公司具有较高的获利能力,网络产品公司对研究与开发项目的投入仍在集团公司可接受的风险范围内。
所以我们需要确认关联风险,并采取行动,从而使公司的整体风险与公司的风险偏好相一致。
5.企业风险管理与风险偏好(risk appetite)。所谓风险偏好,广义地讲,就是企业在追求其价值增值过程中所愿意接受的风险数量。它反映了一个企业的风险管理哲学,反过来也会对企业文化与经营风格产生影响。许多企业定性地考虑风险偏好问题,将风险分为高、中、低几个大类;另外一些企业采用定量方法,在增长、收益与风险之间进行平衡。
风险偏好引导企业的资源配置。高风险偏好的企业愿意将企业的大部分资本投入高风险领域,如新兴市场等。相反,低风险偏好的企业可能为了限制资本短期内的巨大损失而仅仅投资于成熟、稳定的市场。
风险偏好与企业的战略直接相关。不同的战略伴随不同的风险,因此,企业风险管理有助于管理层选择一种预期价值创造与公司风险偏好相一致的战略。
企业的风险承受与企业的目标相关,风险承受指偏离某一具体目标的可接受程度。在确定风险承受度时,管理层需要考虑各具体目标的相对重要性,并将风险承受与风险偏好相协调。
6.企业风险管理仅对目标的实现提供合理的保证(reasonable assurance)。设计与运行良好的企业风险管理体系可以给管理层和董事会在企业目标的实现方面提供一个合理的保证。之所以只能提供合理的保证而非绝对的保证是因为不确定性、风险与未来有关,谁也不能够准确地加以估计。
但合理的保证并不暗示着企业风险管理会经常失败。企业风险管理实施中风险反应的累积效应、内部控制制度的加强都会减少企业目标不能实现的风险。并且,企业风险管理不能将各级职能部门每个员工的日常经营与职责都指向企业目标的实现,这无疑会减少内耗,促进企业目标的实现。
7.企业风险管理与目标实现。在企业风险管理框架中,风险管理的目标共分为四类:
战略性目标:涉及高层次的目标,与企业使命相一致并支持企业使命的实现。
运营目标:涉及企业资源使用的效果与效率。
报告目标:涉及企业报告的可靠性。
规范目标:涉及公司对法律法规的遵循。
对目标进行分类有利于企业关注风险管理的不同方面。上述有些目标,如报告的可靠性。法律法规的遵循等是企业可控的,它取决于企业相关的经营活动是否适当。
但企业的战略目标,如获取特定的市场份额,以及一些营运目标,如成功导入一个新的产品生产线,并不总是在企业的可控范围内。对于这些目标,企业风险管理确实有利于管理层进行更好的决策,但并不能避免错误的判断或决策,也不能消除可能会导致企业经营目标不能实现的一些外部因素的发生。
需要特别强调的是,企业风险管理的目标不仅仅是财务报告的可靠和经营的规范,更重要的是企业战略目标的实现,以及资源高效率、有效果地运用。
企业风险管理的要素
企业风险管理系统是由一系列要素构成的。COSO框架中提出了八个相互关联的要素,这些要素来自于企业管理层运营企业的方式,并且与管理流程相互融合。
内控环境 管理层决定了企业对待风险的态度与风险偏好。内控环境包括正直与道德观、胜任能力、董事会与审计委员会、管理哲学与经营风险、组织结构、权责划分方式、人力资源政策等,为员工如何看待或处理风险与内部控制问题提供了基础。
目标设定 在管理层能够确认影响其目标实现的潜在事件之前,目标必须已经存在。企业风险管理确保管理层已经建立目标设定的程序,确保选择的目标与企业的使命相统一,与风险偏好相一致。
事件确认 对企业经营有重大影响的潜在事件必须得以确认。事件确认涉及确认影响企业目标实现的外部或内部事件。需要区分代表风险的事件,代表机遇的事件,或两者兼而有之的事件。需要注意的是,机遇将在制定企业战略或目标设定过程中加以考虑。
风险评估 对已确认的风险需要加以分析,为如何管理这些风险提供基础。风险是与受其影响的目标相伴随的。只有对风险发生的概率和后果进行恰当评估后,才能确定相应的风险管理的方式。
风险反应 人们确认并评估对风险的反应,包括风险回避、接受、减少和分散风险。管理层采取一系列的行动使经营风险与企业的风险偏好相一致。
控制活动 政策与程序的建立与实施,以确保管理层选择的风险管理方式能够得到有效的执行,包括控制系统的审阅、实物控制、职责划分,以及信息系统控制等。
信息与沟通 通过及时确认、获取相关的信息以及沟通使员工能够履行其职责。公司各阶层都需要相关的信息评估风险并做出适当的风险反应。人们也需要在其角色、职责方面进行有效的沟通
监督 企业风险管理体系的整体运行需要监控,必要时需要进行修正。监督活动由持续监督(如管理层对客户投诉处理的及时监督、财务报告合理性的日常审阅等)和单独评估(如内部审计师的定期审计)组成,以确保企业内部控制系统能持续有效地运行。
总之,企业风险管理是一个动态的流程,如风险的评估促使风险反应,进而影响到控制活动,有可能需要重新考虑信息与沟通,或者是企业的整个监督活动。因此,企业风险管理并不是一个严格的顺序性流程,即一个要素仅影响下一个要素。它是一个多方向的、互动的流程,任何一个要素都可能够并会对其他要素产生影响。
目标与要素之间的关系
企业风险管理的目标与要素之间存在着直接的关系。详见图2:
图2企业风险管理的目标与要素
风险管理的每一个要素都与目标有关。如来源于外部或内部的财务和非财务数据,属于信息与沟通要素的一个组成部分,在企业制定战略、有效地管理公司运营,以及编制报告时都需要运用。它也能反映公司是否遵循了相关的法律法规,如企业在对外披露的财务报告中是否存在虚假的陈述和不实的数据等。
同样,从目标类别角度看,每类目标也都与要素相关。例如企业运营的效率与效果这一目标,企业任何一个要素的应用状况,都会影响到这一目标的实现程度。
企业的风险管理框架与整个企业或者企业的每一个单独的部分(如子公司、分支机构或业务单元)相关。但是,我们必须认识到,风险管理的四大类目标指的是公司目标,而非分部或业务单元目标。我们在考虑与报告相关的目标时,就需要关于整个公司运营方面的一系列信息,而不是某一分部或业务单元的信息。
有效性
企业风险管理是一个过程,其有效性表现为某一时点的一种状态或条件。那么我们如何判断一个企业的风险管理系统是否有效呢?这就需要看企业的风险管理要素是否存在?是否有效地发挥其功能?如果各要素存在且恰当地发挥着作用,则说明企业存在有效的风险管理机制,企业能够消除重大缺陷,使风险控制在企业的风险偏好范围之内。
从目标角度看,如果企业的风险管理被确认为是有效的,则企业的董事会和管理层就可以在以下方面得到合理的保证:
他们理解公司战略目标实现的程度。
他们理解公司运营目标实现的程度。
公司的财务报告是可靠的。
相关的法律法规得到遵循。
结束语
在市场经济条件下,企业的经营存在着各种各样的不确定性。不确定性既表示风险,也预示着机遇。企业风险管理就是通过各要素有效地发挥其功能,帮助企业抓住机遇,将风险控制在可接受的范围内,促进企业各类目标的实现。
正确地理解企业风险管理的定义,是建立有效的风险管理机制的前提。需要特别强调的是,COSO企业风险管理整体框架中提出的目标与要素,与以前的内控框架相比,有了很大的扩展,与我国政府有关部门颁布的各种内部控制指引、指导意见更是有相当大的差异,理解并研究这种差异,对中国企业建立有效的风险管理机制是非常重要的。
不同的企业不可能采取完全相同的风险管理机制。中小企业在内控要素的实施上可能与大企业不同,但仍然可以建立有效的企业风险管理机制。在小型企业中,每一个要素可能不像大企业那样正规或结构严密,但其基本原理是一样的。
(作者系财政部科学研究所教授)
一、农业企业的风险类别
农业企业的生产运营过程集自然再生产和经济再生产于一体,这导致农业企业面临的风险具有自身的行业特征。按照风险形成的不同层次,农业企业的风险可分为三类,即自然环境风险、市场环境风险和企业内部风险。这三个层次的风险具有很强的整体性和关联性,很难将其割裂后进行孤立的理解和管理。
(一)自然环境风险
1.自然资源风险。自然资源风险可以理解为正常条件下的自然环境风险。农业企业生产的自然特性与其所占用资源的量、质和地理位置都密不可分,并在很大程度上直接决定了农业企业经营业绩的好坏。在数量方面,相关资源的短缺(如水资源和土地资源)会严重影响农业企业的生产营运。在质量方面,环境污染对资源质量所带来的不利影响会从根本上影响农业企业的效益。与此同时,资源的地理位置也直接决定了农业企业的营运成本高低。
2.自然灾害风险。自然灾害风险可以理解为异常条件下的自然环境风险。由于农业的生产特性,自然因素对农业的影响相比其他行业更为敏感和严重。我国是世界上两条巨灾多发地带(即北半球中纬度重灾带和太平洋重灾带)都涉及的国家,气候变化大,灾害种类多且发生频繁,这都给农业生产带来了巨大的损失。近年来,我国每年农田受灾面积达7亿亩以上,受灾农作物面积占农作物播种总面积的20%-35%,造成粮食损失200亿公斤(吴振宇,2005)。其中干旱、洪涝、冷灾、寒害是我国最主要的农业天气灾害(霍治国,2003)。据民政部公布的最新统计数字,截至2008年1月31日,我国2008年1月10号以来的低温雨雪冰冻灾害,共造成18个省份受灾,农作物受灾面积达727.08万公顷,因灾直接经济损失537.9亿元。自然灾害一方面会影响农业企业的产量,另一方面还会影响农业企业的产品质量,这都会增加农业企业的风险,造成农业企业效益不稳定。
(二)市场环境风险
1.政策体制风险。柯柄生(2001)指出,对于农业生产而言,一个主要的风险源于不稳定的政策环境。现阶段我国农业正处于转型时期,农业政策的稳定性较差。整体而言,农业政策的调整总是朝有利于农业经济发展的方向进行,但就个体而言,它不可能对每一个农业企业都有益。国家工业化政策使我国经济快速增长,然而农业经营规模却跟不上我国经济增长的平均速度。这一现象的背后是工业对农业在资金、技术等方面的回馈率较低(瞿翔、张俊飚,2006)。这一体制原因将使农业企业的可持续竞争力受到损害。
2.市场竞争风险。在一定的政策体制下,市场竞争主体行为的相互影响也将给农业企业带来风险。按照五力模型(波特,1997)的理论架构,对某一企业生产经营产生影响的市场主体可分为五类,分别是购买者、供应者、业内企业、潜在的进入者和替代品生产者,随后又有学者(Andrew s.Grove,1986)在此基础上补充了第六种力量,即互补品生产者。对农业企业而言,购买者的产品需求的不确定性影响着企业的销售风险,而供应商因素则影响着农业企业的采购风险,这都需要农业企业关注供应链上下游的产品质量和供给周期问题。同时,潜在的进入者、替代品生产者、互补品生产者和业内企业则一起决定了农业企业所在行业内竞争关系的变化。
(三)企业内部风险
1.观念风险。一般而言,管理者忽视危机的征兆、不重视对风险的监测都是因为企业未能对不确定性做出恰当和及时的反应。目前我国大多数农业企业起步较晚,且以中小企业居多,普遍风险意识淡薄,对加强风险管理没有给予足够的重视。可以说,风险观念的落后是我国农业企业内部风险的重要组成部分。
2.技术风险。农业企业往往是新技术应用的载体,但新技术优化农业自然再生产过程是有条件的。农业企业生产对象(植物和动物)的状态是不稳定的,这决定了农业企业生产技术的一系列特点,包括生产对象的不稳定性、区域环境的适应性、操作者水平的差异性。此外,有些技术的应用还需要考虑农业企业产品消费者的安全,例如基因技术的应用等。即使采用的技术在这几个方面都没有问题,也还存在着新技术的推广和应用的风险。
3.管理风险。农业企业的管理风险可以分为三个层次:首先,在人员组织方面,农业企业生产人员的来源、生产和管理人员的素质以及技能都不易把握和提高,这使得农业企业难以优化和实施有效管理。其次,在生产经营方面,农业自然再生产的特点决定了农业企业生产的原辅料以有机的、生物的或化学物料为主,因此,运输、存藏和使用这些物料的工艺难度相应较大,这构成了农业企业生产营运方面的不稳定因素。最后,在财务运作方面,农业企业的资本结构、资产结构、财务信息的透明、财务人员的职业操守也都加大了农业企业的内部管理风险。
二、农业企业的风险管理整合框架
自1992年美国COSO(Committee of Sponsoring Organization)委员会发布《内部控制整合框架》(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。2004年9月COSO委员会以原《内部控制整合框架》为基础,并结合《萨班斯-奥克斯法案》(Satbanes-Oxley Act)的相关要求,颁布了《企业风险管理整合框架》(COSO-ERM)。在该报告中,COSO委员会提出了企业风险管理的八个要素,分别是内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。笔者认为,农业企业可以立足于这八个要素,形成一个前后一贯、相互联系的风险管理整合框架以应对其面临的自然环境风险、市场环境风险和企业内部风险。
(一)内部环境
1.风险管理理念。企业的风险管理理念是一整套共同的信念和态度,它决定着企业成员在做事情时如何考虑风险,包括从战略的制定和执行到日常的活动。农业企业的风险管理不应该只重视技术层面的问题,更应该强调上下一贯的风险理念,这种理念实质上反映在管理活动中企业成员所做的每一件事情上,例如对供应商的选择和管理、对农业新技术的研发和推广、对自然灾害的预防和补救等。
2.权力和职责的分配。权力与职责的分配确定了企业内成员被授权和采取行动去处理问题和解决问题的模式。针对农业企业所面临风险的特性,企业应该有专门的部门或机构以及专门的流程承担风险识别和应对的职责,例如及时对行业政策的变化做出反应、密切关注竞争对手、潜在进入者和替代品生产者的实时动态等。相关权力和职责的划分要以充分的信息沟通为基础,以有效的监督为保障。
3.对胜任能力的要求。针对农业企业的人员组织问题,企业需要明确特定岗位的胜任能力和水平,并把这些要求转换成所需的知识和技能,从而使风险管理有着坚实的基础。这些必要的知识和技能取决于企业成员的基本素质、后续培训和经验积累。农业企业在明确了自身风险管理的能力要求后,应该进行相应的风险管理技能知识的培训,这需要覆盖从企业面临的外部环境到内部观念以及相关的技术
[1] [2] [3] 下一页
和管理技能等各个方面的内容。有必要的话还需要从外部聘请风险管理专业人士。
(二)目标设定
目标设定是事项识别、风险评估和风险应对的前提。农业企业管理层应根据企业确定的任务或预期,制定企业的战略目标和经营目标,并在此基础之上确定对目标的实现有潜在影响的事项。企业的风险管理就是提供给管理者一个适当的程序,在这样一个过程当中,既能帮助制定企业的目标,又能够将目标与企业所面临的内外部风险以及日常的营运联系在一起,同时还要保证制定的目标与企业的风险偏好和对风险的容忍程度相一致。从这个意义上说,针对农业企业特别需要关注的因素包括自身对自然资源的占有情况,对自然灾害风险的容忍程度,对农业政策性变动的承受力大小,对市场竞争环境的适应能力以及对企业内部各风险因素的控制程度。
(三)事项识别
不确定性的存在使得企业的管理者需要对影响设定目标实现的事项进行识别。事项识别是风险评估和风险应对的基础。整体而言,农业企业在进行事项识别时应充分考虑影响自然环境风险、市场环境风险和企业内部风险的各个事项。农业企业生产的自然特性与其所占用资源的量、质和地理位置无疑是影响其自然资源风险的事项;企业所处区域的常见和偶发自然灾害则是影响自然灾害风险的事项;国家的农业产业政策、进出口政策、汇率政策等则是影响农业企业政策体制风险的事项;企业现存竞争对手的威胁、潜在进入者的威胁、替代品和互补品生产者的威胁以及买方的侃价能力和供方的侃价能力等事项则影响着企业市场竞争风险。
需要注意的是,这些影响农业企业风险状况的事项通常不是孤立的,一个事项可能引发另一个事项。在事项识别的过程中,农业企业应该明白事项彼此之间的关系,通过评估这种关系,才能确定采取恰当风险管理措施的方向。例如冰雪和洪涝等自然灾害会导致农业产量和质量下降,从而影响市场供求平衡,推动农产品价格的波动,这样一来,农业企业面临的自然灾害风险加大了其面临的市场竞争风险;与此同时,产品市场价格波动又会作用于政策制定,为平抑价格波动而进行的政策修订又可能会在一定程度上加大农业企业面临的政策体制风险。由此可见,农业企业对风险事项的识别需要具
有一定的前瞻性和系统性。
(四)风险评估
企业风险评估,即企业在事项识别的基础上,进一步分析风险发生的可能性和对目标实现的可能影响程度。风险发生的可能性是指某一特定事项发生的可能性,而影响则是指事项的发生将会给企业带来的影响。农业企业在进行风险评估的过程中,可以使用SWOT分析这一强大工具。农业企业可以从优势(Strength)、劣势(Weakness)、机会(Opportunities)和威胁(Threat)四个方面给自己进行定位,进行风险评估,进而从以下四大战略模块中确定一个适合自己的战略:一是优势机会(SO)战略,即发挥企业内部优势利用外部市场机会的战略,例如利用自身资源优势发展生态农业;二是弱点机会(WO)战略,即通过利用外部市场机会来弥补内部弱点,例如尽量享受农业优惠政策弥补自身技术和资金的不足;三是优势威胁(ST)战略,即利用本企业的优势回避或减轻外部威胁的影响,例如锻造产业链抵抗竞争威胁;
四是弱点威胁(WT)战略,即减少企业内部弱点的同时回避外部环境的威胁,例如与优势企业进行合作经营等。
企业往往通过运用WO、ST或WT战略最终达致SO战略。当企业存在重大弱点时,它将努力克服这一弱点并尽量发挥自身的优势。当企业面临巨大威胁时,它将努力化解这些威胁以便集中精力利用机会。以“山东寿光蔬菜”核心企业的发展为例进行研究发现,从20世纪80年代起步,经过20世纪90年代规模的扩张和品质结构的优化升级,到21世纪初已经初步锻造出一条以高品质蔬菜种植为核心,向下衍生出蔬菜销售和加工配送企业,向上吸纳农药、化肥、种苗、竹竿和钢筋等生产资料企业的优势供应链,同时通过合作组织与农业研发机构合作,积极开展技术和管理创新及应用,并借助逐步建立起来的“寿光蔬菜”的品牌效应,吸引大量的海内外资金与技术,弥补自身农业发展资金的不足。由此可见,这些底子薄弱的蔬菜种植企业,通过上下游供应链的锻造、优势产业的互补以及相关产业政策的扶持,已经逐步将自身的弱点变成优势,外部的威胁转化为机会,并具备了强大的资源优势,牢牢掌握了市场先机,与此同时,企业通过这种战略性的风险评估模式,也使得其抗御风险的能力得到提高。
(五)风险应对
风险应对建立在深入的风险评估基础之上,为风险控制活动提供依据。农业企业应根据相关目标、企业风险偏好、风险可接受程度、风险发生的原因和风险重要性水平,结合实际情况确定适当的风险应对策略。风险应对策略可以分为规避风险、减少风险、共担风险和接受风险四类。针对没有超越自身风险容忍度的事项,农业企业可以采取风险接受策略,例如对一定的自然灾害风险的承受;而在迫不得已时,农业企业则采取规避风险策略,这主要是指撤出高风险领域。总体而言,农业企业最主要的风险应对策略主要是减少风险和共担风险。
减少风险和共担风险策略可以从战术和战略两个层面进行。在战术层面,农业企业可以采用订单农业、期货工具(包括天气期货)、保险(含产量保险和收入保险等)和控制财务杠杆等措施。。在战略层面上,农业企业可以采用多元化和产业链风险管理措施。多元化风险管理措施是指充分利用生产和加工相关程度较低的农业和农副产品以分散风险。通过进行投资组
合,达到在相同期望收益情形下组合风险最小或相同组合风险情形下期望收益最大的目的。产业链风险管理措施是指通过将整个农业生产过程分为产前、产中和产后三个环节,将不同类型风险在整个链条中进行分解,通过明确不同环节的主要风险类型及其作用机制,寻求不同的风险管理方式,然后进行有效的风险组合管理,实现降低农业企业风险的目的。对农业企业而言,以上战术和战略两个层面的措施应该结合使用。
(六)控制活动
控制活动是保证风险应对方案得到正确执行的相关政策和程序,通常包括两个要素:确定应该制定什么政策和实现该政策的一系列程序。农业企业为确保风险应对策略的有效执行和落实,首先应该强化企业每一位成员的风险管理意识,使相关的风险管理控制活动成为其自发的选择,这需要对员工进行必要的技能培训,同时对各个岗位的权责进行划分。控制活动包含的措施和程序主要有:批准、授权、验证、协调、复核、定期盘点、记录核对、财产保护、职责分离、绩效考核等内容。在整合的风险管理框架中,这些控制活动应存在于农业企业的各个部分、各个层面和各个部门。因此,农业企业应明确界定各部门和岗位的目标、职责和权限,建立相应的授权、检查和逐级问责制度,确保其在授权范围内履行职能;同时设立完善的控制架
构,制定各层级之间的控制程序,保证相关规章制度能够被有效执行。
(七)信息和沟通
对确保农业企业风险管理的效率和效果而言,信息和沟通具有不可替代的作用。农业企业应以一定的形式和时间间隔确认、捕捉和传递企业内外部的相关信息,在企业内进行全方位的沟通,以保证企
上一页 [1] [2] [3] 下一页
业员工能够有效执行各自职责,为企业风险管理策略的实施提供保障。企业获取的原始资料数据和信息(如气候状况、农产品价格等)必须及时可靠,以确保有效地做出决策。企业的信息系统应该能够根据内外部环境变化做必要的调整,确保信息高效传递,支持决策制定,以适应不断变化的环境。
(八)监控
从管理的角度来讲,企业风险管理系统本身的运行也需要进行监控。对企业风险管理的监控是指评估风险管理要素的内容和执行质量。农业企业可以通过两种方式对风险管理进行监控,即持续监控和个别评估。持续监控活动包含在企业正常的、反复的经营活动中,在正常的业务经营过程中被实时地执行,并且动态地对变化的情况做出反应。而个别评估则直接关注企业风险管理的有效性,对重大问题给予关注。就农业企业而言,对自身所面临的自然环境、市场环境和企业内部各种风险都需要保持应有的谨慎,进行持续监控;而个别评估则在重大事件出现时启动,如极有可能发生自然灾害时或有关政策发生变迁的情况下。
三、小结
农业企业面临的自然环境风险、市场风险和企业内部风险相互之间密切关联,这使得孤立的风险管理方式作用有限。本文通过借鉴最新的COSO报告的八大风险管理要素,为农业企业的风险管理给出了一个前后一贯、相互联系的整合治理架构。它通过强调内部环境中的风险意识,在企业目标设定的基础上识别风险事项,通过SWOT分析评估自身风险并采取应对措施,而后将其融入日常控制活动,最后在充分的信息与沟通的基础上对整个风险控制系统实时监控。这样的风险管理整合治理架构能够为我国农业企业的风险管理水平提升提供有力的支持。
成为企业董事会和管理者一个有用工具,用来衡量企业的管理团队处理风险的能力,并希望该框架能够成为衡量企业风险管理是否有效一个标准。
对风险的持续确认,与确定抓住什么机遇一样,对保护和提高企业利益相关者价值是至关重要。不确定性既代表风险,也代表机遇,既存在使企业增值可能,也存在使企业减值风险。在实现企业目标的过程中,企业风险管理框架是一个帮助企业管理者有效处理不确定性和减少风险进而提高企业创造价值能力的框架。
1.企业风险管理的定义
企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门,用于识别可能对企业造成潜在影响事项并在其风险偏好范围内管理风险,为企业目标的实现提供合理保证的过程。
这是一个广义风险管理定义,适用于各种类型的组织、行业和部门。该定义直接关注企业目标实现,并且为衡量企业风险管理的有效性提供了基础。该定义强调:
(1)企业的风险管理是一个过程,其本身并不是一个结果,而是实现结果一种方式。企业的风险管理是渗透于企业各项活动中一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
(2)企业风险管理是一个由人参与过程,涉及一个企业各个层次员工。
(3)该过程可用于企业战略制定。企业的战略目标是企业最高层次的目标,它与企业预期和任务相联系并支持预期和任务实现。一个企业为实现其战略目标而制定战略,并将战略分解成相应子目标,再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时,管理者应考虑与不同战略相关联的风险。
(4)该风险管理过程应应用于企业内部每个层次和部门,企业管理者对企业所面临风险应有一个总体层面上的风险组合观。一个企业必须从全局、从总体层面上考虑企业各项活动。企业风险管理应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源分配)到业务部门的活动 (如市场部、人力资源部),再到业务流程(如生产过程和新客户信用复核)。
(5)该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好范围内管理风险。
(6)设计合理、运行有效风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理保证。
(7)企业风险管理框架针对一类或几类相互独立但又存在重叠的目标,目的在于企业目标的实现。 总之,企业风险管理是一个过程,企业风险管理有效性是某一时点一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理要素设计和执行是否正确评估基础上的一个主观判断。企
业的风险管理要有效,则其设计必须包括所有要素并得到执行。企业风险管理可以从一个企业的总体来认识,也可以从一个单独的部门或多个部门角度来认识。即使是站在某一特定业务部门的角度来看待风险管理,所有要素也都应作为基准包含在内。
2.企业风险管理的构成要素
企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联要素,各要素贯穿在企业管理过程之中。
(1)内部环境
企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应,还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。董事会是内部环境的重要组成部分,对其他内部环境要素有重要的影响。企业的管理者也是内部环境的一部分,其职责是建立企业风险管理理念,确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的初步行动结合起来。
(2)目标制定
根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他三个目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。
(3)事项识别
不确定性的存在,使得企业的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的彭响、负面的影响或者两者同时存在。有负面影响约事项是企业的风险,要求企业的管理者对其进行评估和反应。因此,风险是指某一对企业目标的实观可能造成负面影响的事项发生的可能性。对企业有正面影响的事项,或者是企业的机遇,或者是可以低消风险对企业的负面影响的事项。机遇可以在企业战略或目标制定的过程中加以考虑,以确定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。
(4)风险评估
风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估——风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对于风险的评估应从企业战略和目标的角度进行。首先,应对企业的固有风险进行评估。确定对固有风险的风险反应模式扰能够确定对固有风险的管理措施。其次,管理者应在对固有风险采取有关管理措施的基础上,对企业的残存风险进行评估。
(5)风险反应
风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险,降低风险发生的可能性或降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要的风险,企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。
选定某一风险反应方案后,管理者应在残存风险的基础上重新评估风险,即从企业总体的角度、或
者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。
(6)控制活动
控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。
第1页 第2页 第3页 第4页 第5页
(7)信息和沟通
来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通,包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换,如客户、供应商、行政管理部门和股东等。
(8)监控
对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。
监控还包括对企业风险管理的记录。对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。适当的记录通常会使风险管理的监控更为有效果和有效率。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时,他们应考虑为企业风险管理设计一套记录模式并保持有关的记录。
3.风险管理要素和企业目标、企业内各层面及部门的关系
企业的风险管理框架包括四类目标和八要素。四类目标分别是战略目标、经营目标、报告目标和合法性目标,八要素是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控,是企业实现各类目标的保证,它们相互之间存在直接的关系。而且,新的风险管理框架还强调在整个企业范围内实行风险管理。
4.各管理层在企业风险管理中的地位和职责
(1)董事会。董事会对企业的风险管理负有监督职责,主要通过以下方式实现其职责:
——了解管理者在企业内部建立有效的风险管理的程度;
——获知并认可企业的风险偏好;
——复核企业的风险组合观并与企业的风险偏好相比较;
——评估企业最重要的风险并评估管理者的风险反应是否适当。
(2)管理者。企业的首席执行官对企业的风险管理最终负责,企业的高层确定风险管理的基调,从而影响企业内部环境中的员工操守和价值观及其他因素。
(3)风险管理员。风险管理员是指某一组织内的首席风险管理员或首席风险管理经理,他与企业内其他管理者一起,在各自的职责范围内建立并维护有效的风险管理框架。首席风险管理员也可以担当监督风险管理进度和帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责,并可以成为企业风险管理委员会的一员。
(4)内部审计人员。内部审计人员在企业风险管理的监控中占有重要的地位,这一职责作为其日常职责的一部分。他们可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会履行其职责。
(5)其他员工。从某种程度上讲,企业风险管理是企业内每一个员工的责任,因此,风险管理应是企业内每一个员工的工作手册的一部分内容。本质上,企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。同样,企业所有的员工都有责任向上报告风险。
企业的许多外部相关方也有助于企业目标的实现。如外部审计人员,他们从一个独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,直接有助于企业目标的实现。同时,外部审计人员还可以向管理者和董事会提供履行其职责有用的额外信息,间接地为企业目标的实现做出贡献。其他向企业提供风险管理的有用信息的相关方还包括行政管理部门、客户、其他与企业进行交易的各方、财务分析师、债券承销商和新闻媒介等等。但是,外部的各相关方并不对企业的风险管理负责。
第1页 第2页 第3页 第4页 第5页
嘉宾简介:
Miles Everson,普华永道国际会计公司合伙人。Miles领导美国普华的公司治理、风险管理和404条款遵循工作。Miles在风险管理领域有长达十五年的经验,为各类企业提供风险管理解决方案,他是COSO《企业风险管理整体框架》研究项目的负责人,做出了重要的贡献。Miles还著有《变革加速器-通过企业风险管理把握未来》一书。同时,他还是许多国际机构和论坛的演讲人。
主旨演讲:
注:本文为现场速记稿,未经嘉宾本人确认。如需引用,请联系嘉宾本人。
首先感谢大家邀请我参加本次论坛,我要感谢上海国家会计学院和英国皇家注册管理协会,我也向你们表示祝贺,你们本次的论坛是管理风险,这是今天企业越来越关注的一个话题。我相信今天在座嘉宾的演讲一定会对大家有帮助。我还要感谢所有的参与企业,包括普华永道,还有其他的一些公司,向他们表示感谢,在接下来的一个小时时间里面,我要给大家来介绍一下企业风险管理。
我主要讲的是三方面的内容。也就是在企业风险管理具体实践当中我们应该关注哪些要素。第二点来描述一下COSO的企业风险管理框架。我今天会讲这个COSO,COSO你们都熟悉这个说法吗?第三点我会给大家介绍一下企业管理的原则、框架如何进行具体的实施。但是在我具体讲这三点内容之前,我来讲讲企业风险管理的重要性。
经常有企业的主管或者投资者问我一个问题,为什么企业风险管理在今天这个环境里面比五年之前更加重要呢?我把这个原因总结为三点,为什么企业风险管理在今天的环境里面比五年或者十年之前更加重要,而且重要性会越来越强。 第一个原因我们面对的这个变化环境将会更加的剧烈。不管你的企业在哪个国家或者是从事什么样的行业,我们面临整个环境的变化只会越来越快。第二个原因就是为了要应对飞速的变化,对企业而言必须要改变或者调整自己企业的业务模式,要变的更加灵活。这样一来就面临很多不确定性。也就是说创造这些灵活的时候对业务就增加了复杂性。第三个原因就是对企业透明度的要求也越来越高,特别是对那些券市上、在股票市场上运作的企业,投资者对他们的透明度提高了更多更高的要求。一旦企业的运作出了什么事情的话,有可能企业还没有意识到,而资本市场上已经是意识到了。所以外部的投资者也要求企业能够更加的透明,能够对风险做出更快的鉴别和反应。
下面我就讲讲企业风险管理有哪些驱动和益处。
我们在四年之前就开始进行了一项研究,而且不断的在进行更新。我们花了很多的时间和一些企业的CEO,他们主要是大型的跨国企业,他们都是很有实力的企业,我们就问他们全面实施企业风险管理有哪些要素,我们问了他们一系列的问题。比如说他们之间有多少的CEO对他们企业全面实施风险管理感到有信心。这是很重要的一点,因为只有CEO对他们企业的风险管理有信心,才能代表他们已经建立起一个完善的体系。比如说风险管理的要素,包括在企业层面他们是不是额能够获得风险管理的信息,可以看到只有不到30恩%的CEO觉得可以获得足够风险管理的信息。
下面一个问题是他们是不是有一个通用的风险标准制定,也是不到1/3,问他们是不是有与流程相整合的战略管理,也是不到30%。那么风险管理数据是不是有被量化,只有不到25%的CEO说有。是不是他们有完全的整合职能与业务部门,只有不到25%。是不是整个集团的每个人都理解岗位职责,可以说只有不到15%的CEO说有。也就是说只有不到15%的CEO说他们整个企业的每个人都理解其岗位职责。是不是有一个仔细跟踪监管遵循的成本,或者说有整个监控的成本,可以说这个是不到35%。
可以看最后一个问题,为什么只有30%左右的CEO呢?因为这些CEO对他们在全球是不是都能够完整的实施风险管理感到没有信心。有些CEO认为他们已经实施了风险管理,为了实现风险管理对他们最大的挑战是什么呢?我们可以看到一系列的因素,人员、信息、信息的纪实性、竞争、组织的架构、技术支持、以及一些其他的因素。有两个最重要的因素带来了最大的挑战,对于实施企业风险管理的公司来说。第一个是人员,如果看看之前的幻灯片,不到15%的人了解自己的职责所在,所以我们就要讨论一下为什么人是最大的问题之一。他们不知道自己的职责在哪里。他们不理解所面临的风险是什么。第二个在实施方面最重要的就是信息,有时候不能获得足够的信息,一个是及时性,一个是充分性。所以当你看到企业风险管理的时候,这两个领域往往是带来实施方面最大的挑战:人、信息。一会我会更加详细的介绍这两个挑战。
有些CEO说他们是个人非常致力于推动ERM的。我们跟这些CEO交流,并且于那些并不致力于CRM的CEO做一个比较。怎么样推动风险管理的实施呢?对于那些致力于ERM的CEO来说,超过55%的人都说已经有了一套通用的标准和定义,有53%的CEO说他们有了更高层面的信息。但是下面一栏可以看到,致力于ERM的CEO,他们是进
行了与战略计划的整合。很多人都把ERM纳入了他们的战略计划中,占到42%,而对其他的CEO来说只有17%做到这一点。同样我也还是了在实际的经验中来帮助一些公司进行ERM。可以看到最关键的一个因素就是让企业风险管理的原则和你的战略计划相结合,来选择并且实施你的战略计划流程。因为你继续看一看这个幻灯片,往下走,可以看到致力于ERM的CEO,他们更多去实施的一些主要的驱动器。我希望大家可以看到倒数第三个,也就是量化到最大的程度,所有的风险都被量化,29%致力于ERM的CEO都这么做。我们觉得这种调研经常给我们提供很好的信息,让我们可以更好的来了解其他人的经验,就是实施一个ERM带来的好处和结果是时间。
在我们反思这些结果的时候,我们还可以有很多的经验帮助企业实施ERM,并且帮助已经实施的人来加强,这个工作是从几年前开始的。
下面我将谈谈今天第二个话题。也就是COSO企业风险管理框架的概览。我会给大家简要的介绍一下我们的框架。 第一个重点就是一个原则基础的框架。我们花了四年的时间做研究,试图理解有效的公司是如何由于他们很好的管理风险得到收益的,我们就设定了一些原则,这就是必须要运用的原则,不管你是哪种公司,不管你在管理哪种风险,也不管你的目标是什么,这些原则都是通用的。除了原则之外还有一些导则指南,这是很关键的。框架是一个概念性的框架,那么指南可以帮助公司来实施这些原则。原则是一个方向,每个公司都可以度身定做,根据自己的需要来调整。框架是比较灵活的,要写框架的话,必须从别人身上听到很多的建议,理解你如何来运用这些原则。但是这些框架我们设计的时候就有一个目标,希望它把能够运用于任何公司,无论在哪个行业都可以采用这个框架。所以我们可能做了很多很多的诊断。但是如果你做的太过于详细,这个框架可能就不能运用于所有的企业了,这是很重要的。在过去四年中我们推出这个框架以来一直看到这种情况。因为它的运用非常广泛,是基于一种运用的,所以我们可以成为一种标准可以被世界上各种各样的公司所采用。
我们这个框架第四个特征就是兼顾的现有的风险管理程序。我想今天任何的公司都已经在承担风险,他们已经有了一些流程来帮助他们自己了解风险。问题是现在的流程有效性如何?他们是不是平衡风险的时候很准备。
众所周知COSO委员会在1992年推出了内部控制的框架,这个内控框架被世界的监管机构所采纳,而且有一些监管者以及交易所把它作为一个基础,让所有的公司都来以次为基础。最后实施一个ERM并没有一刀切的方案,根据我
谈到了这个事实,公司大不同、行业不同、公司运作的复杂性不同、以及生命周期也不同,还有其他的一些运作,除了我刚才讲的五个因素之外还有其他的因素,各个公司也是不尽相同的。
下面我们花一点点时间看看我们企业风险管理的基础在哪里。首先这个框架有两个值,第一是框架本身,第二是运用实施的技术。
首先看看框架的本身,我已经说过这是一个原则基础的框架。它提供了一个风险的定义,以及风险管理的定义。有概念、分类、原则,并提供了一个通用的术语和定义。也皆是不同行业的人都可以用同一种语言来谈论风险。一共有80个组成部分来进行风险管理程序,也强化了对现有风险管理的指导。最后这个框架还提供了一些标准让你来确定风险管理的有效性。
在实施技术方面,我们还有一部分内容,但是是一种案例,告诉你如何来应用。当然它不可能涉及所有的实施技术的运用,但是可以给大家举例看看是如何实施运用的。企业风险管理方面我给大家举个例子,我们分成几个方面,首先企业的风险管理是一个流程,这个流程受到人的影响,是在战略环境当中加以应用的。如果大家看到我刚才谈过的调查,我们在和其他的企业研究中发现,如果你已经把你的ERM放在更好的战略中,你就可以更好的获得成功,更好的理解风险,并且更好的对风险进行管理。最后企业风险管理是贯穿于整个企业的,并不是仅仅应对某一个风险,也不仅仅是应用于某一个部门,而是贯穿于整个企业的。对企业有潜在影响的事项进行识别,并且根据风险偏好进行风险管理,这是两个非常根本的原则,我一会会详细的介绍。这也是关于识别你的事项,并且了解你的风险偏好。它可以想管理层和董事会进行保证。最后一点它与企业目标的达成相切合。
我们来看一看这个框架的架构。我刚才说它是和企业目标的达成相一致、相契合的。所以在我们的框架中确定了四个战略目标。运用的有效性、效果、报告的目标、以及是否遵循了所有的法律法规。我们知道并不是所有的企业都根据这四个方面来设定目标,但是我想向你证明,任何公司的目标都可以分成这四个部分。
第二,这是可以应用于组织的各个层面。(请看看方块的右手边),它可以应用于所有的业务部门、子公司,重要的一点根据公司的管理模式、根据目标来应用风险管理的框架,这也是COSO框架的基础之一。其中有八个相互联系的组成部分,包括内部环境、目标的设置、事项的变时、风险评估、风险的应对、控制活动、信息和沟通以及最后的监督。
在每一个组成部分之中都体现了我刚才介绍的原则,如果大家看过框架的话都知道,这些原则在附录B中可以了解到原则具体是什么。
然后我们来简要的介绍一下这些原则和概念,我想强调其中的三个原则,一个就是事项和风险,我们将看看风险的偏好和风险的容忍度,然后看看资产组合的关键,在此之前,我们还会介绍一下内控框架和企业风险管理框架之间的差别,但是同样重要的是我们要看一看这两个框架如何能够整合作一起。
在COSO委员会的工作组当中我们探讨了好几个月,就像探讨内部和ERM的关系如何。有很多不同的观点,就是它们的关系到底是怎么样的?但是最后我们达成了一致。为了能够维护框架的稳健性。这个关系应该是这样的,内部控制应该是ERM不可分割的一部分,简单的说你的企业风险管理如果没有内部控制的话是没有效的。也就是说在1992年设立的所有原则、概念都是可以纳入到整个ERM框架中的。此外,还有一些扩张的概念和原则以及扩张的目标,在ERM当中的目标又被延伸了。另外一个就是这两个框架有什么不同。有两个地方不同,第一个对内部控制框架,我们是假定你已经有了一些目标,已经有了目标设定的过程和流程,但是对于企业风险管理(ERM)我们觉得关键的是你要把目标的设定和战略的计划和风险管理整合在一起,也就是说这两个是必须被整合的。所以目标的设定也是ERM(企业风险管理)的一部分。
第二个重要的区分点,就是在企业风险管理框架中,有这样一个观点:必须对自己的风险有一个组合观,对自己风险的管理也要有一个组合观,这很关键。对于内部控制来说,框架说你可以根据一些逻辑来推断你的内控是有的,如果你了解你的每一种原则在每一个运用环境中是有效的,就可以了。你可以有不同的描述。比如说业务部门A内部控制是有效的,业务部门B内部控制是有效的,如果都是这样的话,就可以做出一个结论,作为公司整体来说我的内部控制就是有效的,是不需要推断的。但是对企业风险管理我们已经非常明确的指出,不但可以理解你的风险,以及对风险如何应对,必须有一个组合的观念来看待这个风险,如何影响你整个部门,以及如何有系统的方式来应对风险,而不仅仅是根据某个业务部门来探讨风险以及风险的应对。
我们来看看什么叫事件,事项是指一种意外或者突发的事件,它将会影响战略的实施和目标的达成。第二点我们要区分风险和机遇,风险是事项将会发生而且会给目标的达成带来不利影响的概率。而事项也可能会有正面的影响,它就
代表一种机遇。我这里想再来强调一点,就是很多的组织它是采取了风险管理的措施,他们一般只是注重风险端,但是没有看到另外一端,就是说这些事件也会给你带来正面的积极的机遇。风险实际上是一种可能的事件和你目标这么一个交点。一会我们也会具体来分析风险和机遇之间的关系。
那么接着我们要对风险进行计量,它的计量单位一定要和相关的目标是一致的。从实际的应用而言,这实际上是非常普遍的一个做法,就是风险一般,大家在进行评估和测量的时候,并没有使用和目标一致的计量单位,很多公司他们就说这个风险很大、很中或者是红色的、绿色的、橙色的风险程度,我看到这么一种标准之后,我就说,这个风险大是相对于什么而定的?是相对于你的战略目标大?还是相对于你的运作效率而言是风险很高?还是相对于我的合规性是风险高的?第二个就是说你说风险高、中,如何来衡量?可以看到我们COSO的框架而言,如果你能够有这么一个框架的话,你有自己的一个目标框架,我们就可以帮助你来评估风险的程度。就是说他们是有一个统一的框架。另外一点对于企业家而言,相对于他们的目标,跟他们谈论风险的话,他们是能够理解的,这是需要有一个替代的标杆。
另外要强调的一点,我们说的时间轴一定要根据达成的目标来确定。很多都会来评估信贷的风险或者是运作的风险,他们有可能没有考虑到时间轴。实际上在运作的时候,尽管大家有可能会意识到时间是非常重要的,但是我们在考虑合规性的风险或者战略风险、运作风险的时候,往往会忘记时间这个纬度,也就是说在多长的时间段里面遇到这个风险。可以看到这是两个很简单的例子。在这个幻灯片上面看起来很简单,但是实际上我们花了相当长的时间才做出这么一张幻灯片。也就是说我们一定要注重与目标,也注重与事件,而适中和目标的交点正是代表一个风险。
一系列的事件可能会创建一系列的风险,那么这个风险都是有不同分类的,我们来看一下蓝色的部分,就是我们公司所面临的比较普及的风险,比如说商品的风险、信用的风险、市场的风险、监管合规性的风险、操作层面的风险。我们看一下左边这个细项,风险的来源到底有哪些?这个事件来源有两部分,一个是内部,一个是外部。对于那些事件而言,我们就要问这些事件如何影响到不同的业务部门,这样一来我们就看到横轴(右边)列出了业务的目标,给大家举一个例子。比如说利率的变动,会影响到信贷的风险吗?当然了。会影响我们市场的风险吗?当然。会影响到对产品潜在的需求吗?对于抵押贷款而言当然会。会影响到我呼叫中心的呼叫量吗?当然会。所以我要问的一个问题就是,如果利率变动了50个基点,对我的业务目标有什么影响?如果在座的各位能够对这个问题进行回答的话,请举一下手。好
象没有人举手。可以看到这就是问题的根源。
你是不是理解某一个事项会影响到企业不同的目标。世界上有一些非常成熟的金融机构,他们在风险管理上非常有经验,但是他们也一直在考虑,如何来管理这个风险。比如说你的对家的风险,如果你拥有对家的投资组合,如果他进行了外包,如果你的对家业务发生了问题,那么对你而言业务目标会产生什么影响?你们举一下手看看你们是不是对这个风险做过评估?我要讲的一点也就是你一定要事先就了解,你的业务目标一旦受到一个事件的影响,那么对于不同的业务目标到底会产生什么样的影响?因为我们现在业务目标越来越复杂,业务模式越来越复杂,可以看到我们在管理风险方面的难度也越来越大。而且你一定要了解不同事件之间是相互错综复杂的。一旦其中一个事情发生了变动,也会影响到业务目标。
接下来我再来谈一下风险管理的另一个层面问题。很多时候有人会问我,他说这是我们一个风险评估的体系,他们就给我看,说有一些风险很大、有一些风险比较小。接着我就会问他,看一下你是使用的哪些定量的方法来评估这个风险的。这是COSO的框架,提出了定型风险计量技术的重要度,两者必须要同时加以运用。在我们的风险评估当中,是采取了两种方式,都使用。一般对于定性技术的运用是风险难以量化的时候,或者很难取得量化所需数据的时候用定性的技术,或者取得数据成本很高的时候也希望运用定性的技术。什么时候使用定量技术呢?当我们有足够的信息可以用来评估风险的可能发生率的影响。还有当面对错综复杂的业务模式时,当需要增加精度的时候,我们需要使用定量的技术。
我们看一下幻灯片右边的内容,可以看到风险管理技术逐步演进的路径,一开始是比较简单,我们基于自己的经验、自己的判断来定性的分析这个风险。接着要进一步寻找基准,对某一个特定的事件,在公司内部寻找一个基准或者在公司外部寻找一个基准来评估事件。接着我们又进一步使用一些非概率的技术,比如说进行敏感性分析、情景分析或者压力测试的方法。最后一种是使用概率的技术。也就是说它是有一个所谓的信心指数,可以进行反向测试等等。也就是进行风险管理、风险评估的时候一定要进行评估,如果你不理解定量的分析是非常复杂的话,实际上对公司的风险并没有非常好的评估方面,一定要了解世界上比较流行的风险评估的手段。
接着要谈的一个概念就是先偏好和风险承受度。
风险偏好实际上是一种比较宏观、高层的观点,是管理层或者董事会层面愿意承担的风险。再进行COSO调研的时候发现,很多时候风险偏好并没有被定量来得进行分析,它只是管理层或者董事会的一种哲学思考、宏观的思考。但是有时候我们发现风险偏好也是可以进行定量分析的。在我们的框架当中也说风险承受度,在可接受目标的偏差应该是与业务目标评估用同样的度量。要设定企业管理的目标,然后你说这些目标有哪些定量的评估体系,接着要评估风险。这个风险评估的度量应该和你衡量企业目标的度量是一样的,和风险承受能力评估也是同样尺度的。
再来看一下这张幻灯片,就像如何通过股价来管理公司的风险。我们知道实际上所谓的风险也是投入和产出之间的关系。在公司价值管理当中如何把风险管理也融合进去。可以看到对公司而言有三个利益群体,他们对风险、对回报都有自己的偏好,这三个利益关系是顾客、雇员和股东,对每一个利益相关者都要确定他们期望的回报值是多少、增长的目标是多少。然后就要看相对于这个回报和增长他们能接受的风险是多少。在增长风险回报之间如何能够保持一个平衡。对于客户而言,他的回报是希望能够增加单个客户增长,也希望这个公司能够进入更多的细分市场,能够增加它的市场渗透率,他们希望能够提高客户的满意度,能够提高客户的保留率。接着他们就看相对于这些增长的目标而言,公司应该承担怎么样的风险。这里面包括关键客户服务质量、流程的改善,或者集中程度和分水平的风险,他们也会来考察这个市场上信用波动的风险,然后看销售的风险。
这是一个业绩目标和风险管理之间的组合观。可以看到在几项内容。在这个幻灯片上要看一下2005年业绩的目标,当然这是在2004年做的对明年业绩目标的估计和制定。接着在右边就列出了在这一年当中可能会发生什么样的事件,发生的概率有多大,一旦发生这种事件的话,对我们2005年的业绩会产生怎么样的影响。在前面的演讲当中大家已经听到了我讲的一些风险管理原则,也就是说如果我们看到一个风险被列成一个MR,所谓一个R是指风险集中度。这个事件一旦发生的话,它以前给我们公司带来很大的麻烦,所以我们一定要了解这个风险集中对我们到底会产生怎么样的影响。对M而言是指每三年这个事件可能会发生,每发生会给我们公司造成一亿五千万美元的损失。
看一下Z项,Z就是每年都会发生一个合规性的事件,这里面有9项合规性的事件,比如说发生了这个事件之后我们会上报,每次上报会给我们带来七千五百万的损失,这是一个高发频率,每一年至少要发生一次以上。可以看到这系一个量化的指标。在这里并不是一个概率性的评估。但是可以看到实际是把它的集中度,把事件发生的严重程度和业务
指标、业务目标联系起来了。我们一定要有这么一个框架才可以把这个事件放入到我们的框架当中去。可以看到尽管这个方法并没有很复杂的定量技术,但是还是相当有效的。
再来看一下,这是我们按事件的类别,对我们目标的影响。看第一类的事件,也相当大的业务集中度,它对于我们公司经营收益的内在风险是相当高。这是一个组合观,是把事件按照类别进行分类,看看对我们公司经营业绩的影响,可以看到COSOERM企业风险管理,代表企业的一个机会,它提供了一个原则基础的通用框架,是非常逻辑、非常一致的,这样一来你可以围绕风险和控制的监管要求,该框架可用于一致化、协调并评估遵循所需的投入。这样的话可以对企业风险管理有一个全面、宏观的组合的风险观,而不仅仅是一个割裂风险管理视角。
有很多公司以为风险管理是一个全新的东西,之前都没有做过。但是实际上很多企业都是不自觉的在进行这方面的管理。因为作为一个企业而言,每天都面临风险,实际上每天都在进行风险管理。关键是你如何建立一个企业层面的、基于组合的全面的风险观。
下面要花一点时间来介绍一下ERM发展的不同阶段,可以看到ERM是由五个构件,这是基于我们帮助公司建立风险管理的实践。我们也可以看到这些企业不断的在风险管理方面成熟和演变。了解风险管理的这是第一个阶段,了解一些共同的语言,就是我们如何考虑风险到底怎么样,来关注风险在哪里,当前对它的控制有什么想法。第二个阶段就是风险的识别,风险识别阶段有两个基石,我在这里也列出来了,第一就是必须要理解风险在哪里,并且要画一个风险地图,风险会怎么样发展。当然要和目标相匹配。第二个基石就是你开始确定风险组织,如何架构,以及开始制定一些政策或者对政策进行设计,谁对哪一种风险负责。如果你还记得我之前的介绍,最大的一个缺点,在这个阶段就是很多人、雇员不知道他们的职责所在。其实如果在更早的阶段,让他们了解自己的职责,对整个系统的顺利实施是有帮助的。在第三和第四个阶段,重点就转移到了定义的分析,会进行一些自测,使用一些核心的风险指标,问题是在这里采用的一些衡量措施是定性的分析。现在还没有使用概率或者非概率的定量风险技术,还没有在这里使用。第四个阶段就是要更精确了,更精确的进行计量,在这时就会考虑可获得性的数据、内部和外部的数据、损失性的数据,这个时候就可以建模了,无论从资本的角度、价值的角度可以看看风险对我们公司带来什么样的影响。第五个阶段是整合管理,这个时候已经开始整合,风险管理的原则要纳入到公司的核心业务中去。我在这里想要强调,一般来说公司他们到第三阶段以后
就会直接跳到第五阶段,没有时间进行精确的建模。但是为了有一个整合的系统,我觉得你的业绩表现和定量的分析风险应该整合起来,所以第四环节是不能跳过的。
下面我将简要的再谈谈在实施方面的内容。
首先文化和治理。对于ERM的有效性来说最重要的就是和恰当的企业文化,风险组织应该基于某个中心部门来建立。风险管理委员会的架构必须根据风险类别来设立,由风险管理委员会来统管,而且必须对现在的风险管理有一个了解,并且知道它们现在的风险管理怎么样,可以对企业进行改良。
看看这张幻灯片,我们认为这个图非常有意义,可以用于很多公司,那么这个图有什么意思呢?在一个典型的业务周期中,计划、执行,然后对其进行监控。问题是在(左手边)的模式中,谁承担了哪一层的职责、谁承担了管理风险,这和战略都是密切相关的。这张图的底部就体现了另外一个思维方式,如何来考虑在公司最高层的风险,在公司最高层是如何分配的。在计划阶段给哪个部门分多少资本,以及他们在运行的时候可以获得多少资金,资金的限额,这也包括风险偏好和容忍度。在谈到业务执行的时候,主要就是控制一些流程。你的雇员如何运用这些流程。在衡量主控值的时候,就是报告和支持的分析。这是一个自我不断循环、自我不断发展的环路。
我们可以建立三种不同的组织结构图,可以利用它来实施企业风险管理。这三者不同的方法可以供不同类型的公司来使用。
在风险识别方面,在这一阶段有两个非常关键的元素,第一个有很多公司都做的很好,那就是获得初期的看法,风险是什么?它们和我们的目标联系在哪里。第二步(在我看来是最重要的一步),就是衡量一下如何运用八个相关的原则和模块,很多ERM的项目,都仅仅是关注风险的评估,但是他们却忽视了,我刚才谈的第二个关注,就是如何把基本的原则应用到普通业务运行当中去。这是一个自我评估的例子,其中有定性分析的内容,在定性分析方面,我们设定了一些可以用的措施。比如说很多公司都不知道他们在用什么样的测量方法,从这个图上可以看到,你是如何从已有的指标看公司情况如何,现在这些情况和风险因子,他们的关系如何,这是其他一些公司已经使用的一个模块。可以看看如何对其进行改良。这个地方更多的是定性管理,就是说可以进行风险管理的方式,通过一些平衡积分表和业绩的方式组合在一起,可以衡量业绩,同时也可以衡量风险,通过这种定性的分析把这两个联系在一起。
然后还可以计量一下影响波动性的关键因子,进行建模,认为风险敞口在哪里,可以根据这个风险敞口进行建型,这个模式的运用性比其他的要应用的更好。但是可以衡量事项,然后为资本来建模。如果可以为资本建模,对某一个目标或者某一个部门进行建模的话就可以为整个公司进行建模。
我的观点是这样的,我们谈到一个例子有风险资本的概念,我认为大部分业务部门的人,他们都是谈到对其收益的风险。其实重要的是为能够获得一个资本的数量,我必须知道收益的波动性,所以可以利用收益波动性和CFO和业务部门的人进行讨论。可以利用资本的数据理解,如何运用我的资本。
在第五个阶段,整合管理方面,可以整合现有的经营计划流程,加入更多的客观风险计量,当你谈到战略计划的时候,战略选择如何进行,如何进行目标的预测。将来交付的情况怎么样,比如说是为了增长、收益、客户的保留等等,这些都是我们可以进行计量的指标。显然ERM和这个计划相联系这是非常关键的,在计划流程中必须要确定风险的偏好,必须要进行组织的整合、组织的联系,必须非常自信的进行企业前景的预测,企业业务部门要知道自己的业务目标是什么,以及波动性如何,要通过什么样的方法创建这样的计划,就会受到业务部门的信任。然后可以把之前没有的整合性纳入到公司内部。
下面是将ERM嵌入到日常管理中,我们如何通过更好的日常管理、更优化的资本运用。当我们看到新的风险时,风险是很大的。业务部门通过风险调整进行控制,我们可以看到哪一个业务部门创造了多少价值,这些基础设施是和风险偏好相联系的。我之前也说过我们碰到的最大的挑战就是获得足够多的及时信息,这是在风险基础设施架构好了以后才可以获得的。那么高级管理团队要做出正确的决策,根据已有的信息,在每日的交易中必须进行风险和收益的权衡,然后做出比较、做出决策。
我们会强调四点,变化越来越快、透明度越来越高,你也不可能向你的相关者隐瞒着,CEO必须要很好的管理,ERM可以便于盈余波动性管理、资本充足性和资本优化趋向价值创造。风险管理方法有助于平衡围绕企业业绩和风险各方利益和观点。
这就是我的介绍,下面我非常欢迎大家的提问。
谢荣:
非常感谢Miles的演讲。Miles是非常早研究企业风险管理,也是实施风险管理的专家。Miles最近一个最成功的案例是什么?是他昨天非常英明的选择了搭北京早班的飞机赶到上海,确保了我们今天演讲的成功。大家都知道昨天北京、天津所有的航班,除了早班飞机到下午有一段时间正好可以起飞,来到上海。如果是昨天下午搭飞机就很难确保今天的演讲了。所以非常感谢Miles的精彩演讲。
听到Miles的演讲让我们了解了国际风险管理的一些现状,了解了COSO企业风险管理框架的基本内容。也了解了我们企业风险管理的一些技术、方法。企业风险管理是一个全球范围内新的课题,所以我们从Miles的演讲里面也看到了全球大概不到1/3的高层,包括CEO、CFO认为他们的企业已经实施了全面风险管理,说明大部分还没有非常严谨、周密的实施企业风险管理。那么我们中国经济发展这么快,企业面临的问题也是非常多,所以我想这是我们现在实施企业风险管理的一个非常重要的机会。从Miles的演讲里面,也看到了,要搞好一个企业的风险管理,人、信息、高层管理非常重要。所以我也希望曾经这次论坛的所有与会朋友,今后都能够成为我们国家企业风险管理的专家。按照今天Miles提出的许多非常有效的技术方法,来建立我们的企业风险管理系统。
下面就准备话筒,有朋友有问题的话,我们欢迎大家提问。看来第一个问题大家要留给我了。我有一个问题先问一下Miles,现在企业风险管理大家非常重视,我知道COSO有两个报告非常有名,一个是内部控制框架的报告,第二个是企业风险管理的框架报告。内部控制的框架报告现在成为《萨班斯法案》对内部控制完善的标准,我的问题是在今后COSO的企业风险管理框架,会不会替代COSO的内部控制框架成为《萨班斯法案》对内控要求的标准。
Miles:
《萨班斯法案》都是围绕内部控制来进行的,所以最近不会有这种替代性。我相信市场的驱动力,ERM主要还是用于评级机构、交易所来控制资本的流动。但是也不知道未来会是怎么样,所以以观后效。
提问:
Miles先生您好,我想问一个问题,中国经历近20年的高速成长,我们现在已经开始从外延式的增长到内含式,怎么样进行内部的管理控制,所以国际上的风险管理控制对中国企业来说非常重要。但是实际上中国企业目前很大的问
题,我们基层的控制性的风险控制还不是很好。而系统性的风险到目前为止突然从国外引进来,这两种风险中国都很重要,那么中国的企业如何去协调这两种风险?而且更基本的可能是基层的控制性的风险?操作层面的风险,您对中国这些企业有没有什么很好的建议?让这两种风险很好的结合起来?或者您认为在中国这两种风险哪一个是最主要要解决的?因为现在中国很多企业发现的问题都还是集中在基础层面的。谢谢。
Miles:
我想当你谈到基层操作性风险的话,这是取决基层风险、操作性风险的重要性。不仅仅是中国公司会碰到这样的问题,所有的公司都会碰到两种不同的风险。我们往往会过度的关注那些不是很重要的风险。我的建议是对基层的运作性风险,应该只是关注那些对企业有效性来说影响非常大的风险、很关键的风险,对那些小的风险就不要太关注。另外我们也看到在一些国家看到这种趋势,当你谈到从国外引入系统性风险的概念,我认为我需要再阐明一点,当我谈到风险的时候,我认为风险是对某一个目标来说的,并没有说一个系统性的目标。所以我说的就是事项,这个事项有可能是影响整个公司、整个行业甚至整个国家。所以如果这个事项带来了很大的影响,可以在全球的研究中希望看到更多公共部门和私营部门的合作,来解决这种所谓系统性的风险。我们所谓的系统性风险是会影响到整个公司、整个国家的,甚至是某一个国家无法解决,这才是我们所谓的系统性风险,这是我们对系统性风险的看法。我不知道这是不是回答了你的问题。
提问:
Miles你好,我想问的问题就是风险管理和传统企业管理之间的关系?
Miles:
我觉得不管从理论还是实践上而言,业绩管理、风险管理和内部控制是三位一体、不可分割的流程。这也是为什么在风险管理紧密的和企业业绩目标是结合在一起的。因为我们要制定一个目标、制定一个计划的时候,要把任何一个风险都在这个框架下进行风险评估。不能把这两者割裂开来,所以业绩的评估、风险管理是应该紧密的结合起来,在我的框架当中这几者也是必不可少的关系。
电信运营企业实施全面风险管理的初步探索和认识
2006 年6月国务院国资委下发的《中央企业全面风险管理指引》(以下简称《指引》),对于国有企业全面落实科学发展观,进一步深化改革,增强企业竞争力,促进企业的持续、稳定、健康发展,具有深远的意义。《指引》明确要求,中央企业应开展全面风险管理工作,进一步提高企业管理水平。
近年来,作为我国电信行业的主导运营商,中国移动在加强企业内部控制、完善风险管理体系等领域开展了积极的探索,并在有效落实全面风险管理要求方面积累了有益的经验。
一、对风险和风险管理的正确理解,是有效管理风险的基本前提
根据《指引》定义,企业风险是指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标准,分为纯粹风险和机会风险。
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风 险管理的总体目标提供合理保证的过程和方法。
结合中央企业的经营管理实际,上述定义阐述了国有企业构建风险管理框架的前提和方向,这与美国COSO(全国虚假财务报告委员会下属的发起人委员会)组织《企业风险管理框架》中有关风险及风险管理的概念是相互吻合的:
1、对风险进行辨识和确认的基础,是风险总与企业目标相关联。只有影响目标的不确定性,才是风险。
2、不确定性对企业实现目标的影响既有正面的又有负面的,分别意味着机会和风险。
3、风险管理是一系列方法和运用方法的过程,风险管理本身不是目的,而是实现目的的一种方式。
4、风险管理将渗透入企业所有层面的活动,而各层面相关员工则是各层次风险的具体管理人员。
5、受风险的不确定性特征和人的因素的影响,风险管理只能为实现企业目标提供合理保证。
6、内部控制体系是全面风险管理体系的组成部分。
7、企业的内部环境,如文化理念、管理体系等,是风险管理的基础,为风险管理提供规则和架构。
二、中国移动开展风险管理的实践
中国移动自上市以来,始终致力于建立完善的公司法人治理结构,贯彻、实施诚信、透明、公开、高效的企业管治原则,确保权力制衡和科学决策。公司建立了有效运作的董事会制度,董事会下设审核委员会、薪酬委员会和提名委员会,三个委员会全部由独立非执行董事组成。董事会的主要职责包括:制订公司整体战略目标,设定管理目标,监督公司的内部控制和财务管理,监管管理层的表现,授权公司管理层对企业日常运营进行管理。
规范的公司法人治理结构,为中国移动推进实施风险管理提供了组织保障。2002年,中国移动集团设立内审部;2005年,逐步在各省级公司建立内审机构,组建两级内审队伍;内审部门在审核委员会的领导下,开展以风险为导向的管理审计,将电信行业所有主要生产经营管理机制和业务流程纳入审计范围,电信运营企业的风险评估框架日渐成熟;2006年,遵循美国《萨班斯-奥克斯利法案》(SOX法案)第404条款的内部控制要求,完善与财务报告相关的内部控制制度,为公司财务报告的可靠性提供了合理保证,企业风险内控管理的组织体系和运作模型得到进一步充实、固化;2007年,内审部门结合风险审计和内控测试工作经验,在电信行业率先对企业全面风险管理实施独立评价,在此基础上,着手选择部分关键机制、流程和高风险领域实施重点评估。经过几年风险管理工作经验的积累,中国移动内审部门对电信运营企业面临的战略、法律、市场、财务等各类风险及其解决方案形成了初步的方法体系,在企业内部推动落实全面风险管理的路标逐渐清晰。
(一)依据COSO内部控制框架,构建电信行业风险管理审计模式
中国移动内审机构自设立以来,根据公司发展战略目标,制定了内部审计工作的总体规划,并逐年安排对运营管理、法律合规、信息技术及内部控制开展风险审计和评估。经过对电信企业运营风险特点的全面深入分析,将电信企业的主要生产经营和管理活动划分为3大类14个核心机制和流程,报请上市公司审核委员会审批后,按照重要性原则,依次开展对各机制流程的风险评估及内控审计。
对企业运营过程中面临的主要风险进行系统化分类,是对风险实施针对性管理的前提。内审部门将电信企业风险按不同层次和业务类别分解为14个机制或流程。详细分类为:
1、策略管理机制,主要包括企业策略管理机制,品牌策略管理机制,内部审计机制和企业管治机制。
2、核心业务流程,主要包括新产品及新服务开发流程,网络规划、建设、采购及物流管理流程,
网络管理流程,收入保障机制,市场销售与推广流程,客户服务流程。
3、资源管理机制,主要包括信息管制机制,人力资源管理机制,财务管理机制,法律及合规管理机制。
内审部门实施风险管理审计的基础,是针对特定机制和流程的风险编制风险控制矩阵。在构建各机制流程的风险控制矩阵时,均比照COSO组织《内部控制框架》,构建以控制环境为基础、以风险评估为前提、以控制活动为手段、以信息及沟通为条件、以监控为保障的内控风险评价模型。针对每类风险,在相应的控制要素中均设计了标准控制措施和剩余风险的评级标准,以及针对内控措施的审计方法。
(二)SOX法案内部控制遵从项目的实施,系统化地整合了内部控制流程,健全了内控管理体系
作为在美国上市的电信运营企业,中国移动自2005年起全面启动了SOX法案第404条款内部控制遵从项目。
1、总部、各省级公司及其分支机构均建立了内部控制管理的组织架构。公司各级管理层和业务部门负责人组成内部控制项目管理委员会,明确财务部门作为内控管理职能部门、内审部门作为内部控制测评部门,各业务流程负责部门接受财务部门、内审部门对内控工作的指导和监督。
2、经过对企业全部业务流程的梳理和记录,编制形成《与财务报告相关的内部控制手册》。内控手册采用COSO组织《内部控制框架》作为内部控制有效性的评价标准,将业务流程层面与财务报告相关的内部控制活动划分为信息技术、资本性支出、收入和计费、存货管理、营运支出、货币资金管理、固定资产管理、人工成本管理、会计和财务报告、筹资、关联方交易、法律法规遵循等12个主要流程。
3、建立了内部控制设计和执行的监控考核体系。外部审计师和内审部门每年都组织两次内控穿行和执行有效性审计,审计结果计入各单位年度经营业绩考核成绩。
随着SOX法案内部控制遵从项目的开展,中国移动建立了针对财务报告风险的常态化的内部控制组织体系和管理流程,风险管理理念已深入人心;各流程中内控授权、报告、审批、检查、评价考核、权力制衡等基本制度的建立,业已成为风险管理解决的内控方案的标准。
(三)总结风险管理审计和内部控制工作成果,开展全面风险评估
2007年,中国移动着眼企业管理全局,有针对性地全面梳理了企业风险,将14个核心管理机制和业务流程的审计框架与SOX法案内部控制制度体系进行了有机结合,并借鉴国外电信运营企业全面风险管理实践,遵循《指引》评估工作程序,组织开展了全面风险评估工作。
全面风险评估主要采取调查问卷、访谈和规章制度审阅等方式进行。其中,调查问卷体系包含
了16个主要机制和流程的209个问题,包括企业策略管理机制、公司管治(含审计与监察)机制、企业文化管理机制品牌策略管理机制、客户服务流程、财务管理机制等。
各省内审机构按照统一部署,召集各部门风险管理人员组成风险评估工作项目组,采取流程分析、访谈、规章制度审阅等方式,对相关风险问题逐一进行评估,量化风险等级;所有评估结果均经过各业务职能部门初评和内审部门复审两级复核;最终,项目组根据评估结果出具了全面风险评估报告。
三、长期的风险内控管理工作,使内审部门对企业运营中的高风险领域形成清晰的认知
依据中国移动风险管理审计、内控测试评价及全面风险评估的标准,企业运营中的高风险领域主要是指针对某项风险,被审计单位未建立相应的控制措施,或虽已建立控制措施、但未能有效执行。以中国移动省级子公司为例,在具体执行层面存在的风险包括以下几方面:
(一)战略风险方面
1、集团公司的整体战略不能有效传导,缺乏必要的工作机制和组织保证,一定程度上影响战略目标的统一理解、认识和达成。
2、企业内部职能调整或流程重组,但相关管理制度未及时修订完善,将使经营管理缺乏有效监管、战略无法有效落地。
3、尚未建立科学的战略业绩评价机制,无法有效避免经营单位短期绩效与企业总体战略目标的不相契合,导致过分依赖资源投入、追求当期经营成果等现象,不利于公司的长远发展。
(二)市场运营方面
1、新业务或新资费产品设计定位不当,细分市场的适用性不强,无效投入营运资源。
2、新业务的推广较多使用业务捆绑和成本置换等方式,容易引发客户投诉和投机消费行为。
3、营销渠道管理不规范,销售佣金结构不合理,导致代理商违规循环套利,销售渠道自营率较低,客户质量不高。
4、整体资费水平下降较快,低端客户转网频繁,浪费经营资源。
5、缺乏对SP有效监督管理和考核奖惩的机制,致使违规行为屡禁不止,企业形象受到损害。
6、社会渠道来源的客户资料真实性不强,影响公司为客户提供优质服务。
(三)网络建设和运行方面
1、固定资产投资计划或投资结构不合理,导致通信能力无法满足客户需求或造成通信能力闲置。
2、缺乏对建设项目的技术、市场、经济效益等方面的可行性分析,导致资本投入无法收回或达不到建设目标,技术方案不够合理,投资规模盲目扩大,经济效益低下。
3、建设项目管理不严,造成工程投资损失、浪费。
4、建设项目不能如期交付使用,影响通信能力服务的提升;或达到预定可使用状态的建设项目未能及时转固。
5、对重大通信故障的应急处理预案不完整,影响网络安全畅通。
(四)信息安全方面
1、违反法律法规的规定,对外不当披露信息,造成不良后果。
2、信息系统安全存在漏洞,导致公司财产损失、声誉下降或知识产权受到侵害。
(五)财务管理方面
1、财务预算管理失控,致使公司不能完成既定绩效计划。
2、会计方法的错误运用和会计处理错弊等,对外披露不真实的财务报告。
3、会计人员对税收法规掌握不全面或涉税核算不规范,带来监管风险。
(六)人力资源管理方面
1、更为激烈的行业竞争,引发核心人才的流失。
2、劳务用工的外包合作及聘用管理等易产生劳动争议、纠纷或导致事件升级。
除上述列举的具体风险外,电信行业重组、新技术的应用、电信全业务运营趋势的日渐明朗、信息化战略的实施、电信监管力度的加大等因素,都会对电信运营企业带来不同层面的风险。 针对审计评价中发现的各类高风险领域,中国移动各级内审部门通过汇总或专项报告、联席会议、审计跟进等途径,向董事会、公司管理层及业务管理部门、经营单位进行了反映,各级公司已经制定并实施了风险管理解决的内控方案,内审部门在企业全面风险管理领域发挥的作用逐渐显现。
四、电信运营企业推动全面风险管理的体会和认识
进入二十一世纪,经济全球化和竞争国际化不断加剧,企业运营的内外部环境发生了重大变化。同时,随着国家产业政策调整引发的电信行业重组、技术演进趋势加快,新的竞争格局和新的运营模式给电信运营商带来诸多挑战和选择,给企业经营带来诸多风险。面对现实,企业风险管理已经成为企业加强管理的内在需求。设计良好且执行到位的风险管理实践,可以使企业显著提升运营效率和效益,从而为实现战略目标提供保障。
(一)营造良好的内部环境,树立清晰的风险管理理念,确立有效的企业风险管理策略
根据COSO组织2004年发布的《企业风险管理框架》,风险管理是企业经营管理过程的组成部分,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等八个相互关联的要素;而内部环境是其他所有风险管理要素发挥作用的基础,为其他要素提供规则和结构,并受企业历史和文化的影响。良好的内部环境至少应包括以下基本特征:
1、规范的公司法人治理结构,股东会、董事会、监事会、经理层依法履行职责,高效运转、有效制衡。
2、董事会重视全面风险管理的价值,并与管理层和其他员工共同承担起风险管理的职责。
3、在企业内部培育和塑造良好的风险管理文化,树立正确的风险管理理念,将风险管理意识转化为员工的共同认识和自觉行动。
美国世通、安然和中航油公司的典型案例,给我们以深刻的警示:即使企业已经建有十分完善的风险内控制度和业务流程体系,但是如果缺乏牢固的内部环境基础,从公司董事会、管理层直至业务执行层对战略风险导向不清晰或不能达成共识,那么随时都可能发生管理人员凌驾于制度规定之上或操作人员不按既定流程作业的事件,轻则企业蒙受损失,重则公司一夜垮台。只有营造良好的内部环境,树立一致的风险管理认知,确立科学清晰的管理策略,才能有效保证风险管理体系的正常运转,以及各类管理制度和业务流程得到切实执行。
(二)建立健全风险管理的组织体系,并以信息化手段辅助实现管理体系的高效运转
风险管理组织体系是企业实施全面风险管理的基石,它通过设立风险管理的责任部门、组织部门、评估部门,在明确管理职责的同时又进行统筹安排,从而保证风险管理的顺利开展。《指引》明确提出:“企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。”
电信企业应建立健全风险管理组织体系,董事会及其下属的风险管理委员会负责建立风险管理机制,确立企业风险管理策略;公司管理层、风险管理职能部门、业务部门负责组织实施风险管理策略,并对风险管理工作进行自评、总结和改进;审计委员会及内审部门负责建立风险监督评价体系,实施审计监督并出具评价报告。其中,风险管理职能部门负责履行全面风险管理职责,对公司总经理负责;内审部门负责对风险管理工作及其工作效果进行监督评价,对董事会下设的审计委员会负责。据此,健全由业务管理职能、风险管理职能和审计职能逐级负责的风险管理组织防线。
业务经营与信息技术加速融合的趋势,促使信息技术成为了风险管理的有效手段和必要工具。电信企业应充分发挥行业优势,积极推动各运营支撑和管理系统、管理信息系统、经营分析系统、内控内审管理系统等多个系统数据的融合与集成,分类汇总形成涵盖内部控制各环节的风险信息库,并将风险管理措施全方位地嵌入生产经营管理过程,从而建立对风险信息的收集整理、分析评估、自动监控和触发预警、制定并执行解决方案的闭环管理过程。
(三)夯实内部控制管理基础,延展风险管理内涵和举措,循序渐进地推动全面风险管理
COSO组织认为,内部控制是企业风险管理不可分割的一部分。《企业风险管理框架》集成、涵盖了《内部控制框架》的主体内容,扩展了目标设定、事件识别和风险反应三个构成要素,增加了风险管理的战略目标,提出了风险组合观及对应的统筹治理风险理念。《企业风险管理框架》和《指引》都显示,基于内部控制系统、遵循企业愿景建立企业风险管理体系,已成为企业全面规划和管理风险的必由之路。电信运营企业规范的公司法人治理结构、完善的内部控制组织体系和成熟的风险管理文化,为全面风险管理的实施奠定了良好的基础。下一步,应继续健全风险管理的组织管理体系,从战略高度扩展风险内控管理的视角,不断创新风险管理的方法和工具,系统化地充实风险管理的内控措施,进一步完善内部控制,深化合规性风险管理,促进内部控制系统向全面风险管理系统的进化和升级。
(四)内审部门应在全面风险管理中发挥更加积极的作用
内审部门的职责性质,决定了其在风险管理中将发挥以下作用:
1、协助识别和防范风险。内审部门通过开展各种形式的审计监督和咨询评价,以风险为导向,对企业从内部环境至具体业务流程进行全方位的审视,以及时发现影响经营目标实现的内外部风险点,通过科学方法测算风险级别,提出改进建议,从而帮助风险管理职能部门和各业务单位及早采取防范措施。
2、协助完善风险管理解决方案。内审部门通过开展自上而下的流程分解和穿行测试活动,对于风险管理解决方案设计的健全性和有效性进行审视,以发现和确定既有的内控措施能否满足控制目标,有无遗漏或冗余,各业务部门在内控流程的配合和衔接中有无缺位,从而帮助企业进一步修补、完善风险内控措施。
3、对所有内控制度执行的有效性进行全面监控。内审部门通过开展管理专项审计或风险内控审计,检查企业内部各项业务活动的合法性和合规性,保证各项经营活动在合法范围内运作、在管理层可承受的风险程度内进行。随着内审部门风险管理职能的不断充实、审计技术的持续创新和内部审计人员职业技能的迅速提升,内审部门在风险管理中的重要作用将进一步凸显。
中国的电信运营企业经历了国际资本市场的不断洗礼,通过持续完善公司治理结构、强化风险内控管理,以稳步提高运营效率和效益,增强企业核心竞争力。为有效应对战略、运营、报告与合规风险,电信运营企业将继续积极贯彻全面风险管理的各项要求,健全、完善风险管理系统,以实现企业的持续快速健康发展和国有资本的保值增值。(中国移动山东公司 狄艳林 王强)
参考文献:
1 《萨班斯-奥克斯利法案》 2 杜杰著.风险管理实务
3 周兆生著.COSO企业风险管理框架
解析企业风险管理的定义
发布者:杨小舟 发布时间:2006-5-31 10:24:00
解析企业风险管理的定义
杨小舟/文
何谓风险,何谓企业的风险管理,不同的人有不同的理解。COSO发布企业风险管理整体框架的一个重要目标,就是对风险管理的定义、要素及一些主要的概念进行描述,以使大家的讨论能够建立在一个共同的基础之上,这既有利于研究的不断深化,有利于企业对现有风险管理体系进行评估、改进,也有利于管理者进行相应的风险管理决策。
本文主要探讨企业风险管理的定义。为便于理解,我们首先了解一下不确定性与价值、风险与机遇之间的关系。
不确定性与价值
企业风险管理的一个内在假设就是所有的经济组织,不管是盈利组织还是非盈利组织,其存在的目的就是为利益相关者创造价值。即企业的管理者通过各种各样的决策与执行,使企业的资本在运动过程中不断地得到保值或增值,详见图1。
图1 企业价值的驱动因素
如图1所示,企业的经营总是在一定的环境下进行的,环境因素包括技术创新、重组、市场变化、竞争、政府监管与调控等。所谓不确定性就是指影响企业目标实现,源自企业内部或外部的某一事件发生的可能性。
不确定性可能因为企业无法准确地确认事件发生的概率及其相应的后果而产生。比如,中国的3G标准到目前还未最终确定,不少IT企业(如中兴通讯、华为公司等)的经营由此而受到影响。再比如,前些年国家对房地产行业实现的宏观调控措施,也是不少房地产企业未曾预料到的。
不确定性也可能来自于企业的战略选择。比如,企业为满足增长的需要,需要在国外投资办厂或经营,经营所在国的政治环境、资源、市场、渠道、雇员的能力与成本等因素的稳定与否就给企业的经营带来了不确定性。
需要注意的是,不确定性既代表着风险,也代表着机遇;既可能损害企业的价值,也可能增加企业的价值。比如说同样是海外收购,联想集团2005年末收购IBM的PC业务后,经过不到一年的整合,该项业务即扭亏为盈,公司股价也随之上涨近50%;而TCL集团2005年度的巨额亏损,主要原因就是受累于手机巨头阿尔卡特、彩电巨头汤姆逊的合资公司的不良运行(杨小舟. 海外并购:谋定而后动. 新理财. 2006-2. P20)。建立企业风险管理系统就是为了帮助管理者有效地应对不确定性,提高企业管理风险和创造价值的能力。
风险与机遇
如前所述,不确定性不等于风险。不确定性是指某一事件发生的可能性,该事件可能有积极的效应,也可能有消极的效应,也可能两者兼而有之。比如说银行贷款利率的调整,属于源自外部的、企业不可控的事件,对企业经营的影响就存
在着不确定性。如果贷款利率向上调整,对企业目标的实现会产生不利影响;如果贷款利率向下调整,则会产生有利影响。再如人民币汇率的变动(目前变动较频繁,幅度也较大),对不同企业有不同的影响。
所谓风险是指对企业目标实现有不利影响的某一事件发生的可能性。因此,不确定性是风险的一个必要条件,但不是充分条件。
具有不利影响事件的发生,将会对企业的价值创造带来损害。比如机器设备的损坏、火灾,以及信用损失。有时表面上看起来有利的环境或条件也可能发生不利的后果。如客户的需求超过了企业的生产能力,说明企业的产品很适销,供不应求;但从另一方面看,由于不能满足客户需求,影响了客户的忠诚度,客户转而向其他供应商采购,从而影响了企业未来的部分订单。
所谓机遇是指对企业目标的实现有积极影响的某一事件发生可能性。机遇有利于企业的价值创造与保持。管理者需要将这种机遇融入企业的战略与目标设定的流程之中,以便采取行动抓住机遇。
对中国企业而言,机遇随时可能发生,但也稍纵即逝。比如2005年5月,中国人民银行发布了《短期融资券管理办法》,不少企业就抓住了这一机遇,大大降低了融资成本。如清华控股有限公司、金融街控股有限公司(000402)都通过发行短期融资券,筹集了将10个亿的资金,资金成本率约为3%左右。而一年期银行贷款的基准利率约为5.5%,仅此一项即可给企业节省利息支出2500万元。
从图1可以看出,企业的价值最终取决于未来现金流量的规模、时间和风险,因此,只有当企业的管理者制定了在增长、盈利与相应的风险之间取得最佳平衡的战略与目标,并能在经营过程中有效果、高效率地运用资源时,企业的价值才能达到最大化。
企业风险管理的定义
对于企业风险管理,COSO是这样定义的,即:企业风险管理是一个过程,受企业的董事会、管理层和其他人员的影响,应用于企业的战略制定及各个方面,旨在确定影响企业的潜在重大事件,将企业的风险控制在可接受的程度内,从而为实现企业的目标提供合理保证。
为正确理解这一定义,我们应注意以下几点:
1.企业的风险管理是一个过程。企业风险管理不是静止、一成不变的,而是一个持续改进的过程,它与企业日常的经营活动息息相关。只有当企业的风险管理机制嵌入到企业的基本制度之中,并成为企业经营中一个不可分割的部分时,才有可能发挥出最大效用。比如,国内某IT企业在以往的销售策略中,对分销商和代理商采用现金销售方式,但由于市场环境的变化,公司2004年修订了信用政策,扩大了信用销售。为了控制信用销售的风险,公司加强了对客户信用标准、信用额度及信用期限的分析与审批,但这些分析与审批制度是与公司的销售、发货、收款等内控流程、制度融为一体的。
2.企业风险管理受公司各个层级员工的影响。企业风险管理机制是由公司的董事会、管理层和其他员工建立并执行的。同时,企业的风险管理体系也对公司员工的行为产生相应的影响。
但是在一个企业中,由于不同的员工具有不同的教育背景、经历和技能,也有不同的需求和偏好,对风险的认识、态度和方法也就不一致。比如在确定公司的信用政策时,营销副总根据其掌握的信息与沟通情况,可能会建议对某一特定客户加大信用额度、延长信用期限;而公司CFO则根据对该客户财务报表的分析,考虑到坏账风险、资本成本等因素而
建议给予较小的信用额度和较短的信用期限。企业风险管理就是要提供一种机制来帮助员工从公司目标实现这一角度来理解风险,将员工的职责、权限与工作方式与公司目标之间建立一个明确的、紧密的关联。
特别需要指出的是,在一个企业中董事会主要承担监督职责,对公司的战略、重大交易、政策进行方向性的指导与审批,因此,董事会是企业风险管理中一个非常重要的组成部分。
3.企业的风险管理应当运用于战略的制定。每个企业都有自己的使命、远景,以及相应的战略目标。企业需要建立一系列的战略来实现其战略目标。除战略目标外,企业还应有一些相关的、具体的目标,这些目标源自企业的战略,渗透到企业的各个业务单元、分部和流程之中。
企业的风险管理应该运用于战略的制定,而战略制定就是在风险与相关替代策略之间的权衡与选择。比如企业的发展有两种战略:一是收购其他企业扩大市场份额;二是通过成本控制取得更高的毛利率。每一种战略选择都会涉及到相应的风险。收购其他企业,必须开拓新的或不熟悉的市场,竞争对手可能乘虚而入,侵蚀公司现有的市场份额;并且公司也可能缺乏实施这一战略的能力。而采用成本领先策略,则需要采用新技术、寻找新的供应商或形成新的战略联盟。企业的风险管理技术可以帮助企业的管理层评估和选择企业相应的战略与目标。
4.企业风险管理涉及到企业的方方面面。企业的风险管理应该应用于企业的各种活动层面,包括公司层面的战略计划、资源配置;部门层面的市场活动与人力资源管理;流程方面的生产与新客户信用的审视等。企业的风险管理还可应用于一些特定的项目或新的举措。
企业风险管理要求公司采用“组合风险”的观点,这一点应引起国内企业的充分重视。比如公司某一分部的各种风险可能是在该分部的风险偏好之内,但各分部的风险总和可能会超出公司作为一个整体的风险限度。相反,在某一分部看来是不能承受的风险,可能被另一个部门的经营业务所抵消。如我以前任职的一家IT集团公司,有电脑子公司(从事PC、服务器、数码产品等的制造与销售)、外设子公司(打印机、终端等产品的制造与销售)、计算机软件与系统集成子公司,以及网络产品制造与销售子公司。单从网络产品子公司来看,投入大量的研究与开发费用,风险较大,已超出该公司的风险可接受范围;但从整个集团公司来看,由于其他子公司具有较高的获利能力,网络产品公司对研究与开发项目的投入仍在集团公司可接受的风险范围内。
所以我们需要确认关联风险,并采取行动,从而使公司的整体风险与公司的风险偏好相一致。
5.企业风险管理与风险偏好(risk appetite)。所谓风险偏好,广义地讲,就是企业在追求其价值增值过程中所愿意接受的风险数量。它反映了一个企业的风险管理哲学,反过来也会对企业文化与经营风格产生影响。许多企业定性地考虑风险偏好问题,将风险分为高、中、低几个大类;另外一些企业采用定量方法,在增长、收益与风险之间进行平衡。
风险偏好引导企业的资源配置。高风险偏好的企业愿意将企业的大部分资本投入高风险领域,如新兴市场等。相反,低风险偏好的企业可能为了限制资本短期内的巨大损失而仅仅投资于成熟、稳定的市场。
风险偏好与企业的战略直接相关。不同的战略伴随不同的风险,因此,企业风险管理有助于管理层选择一种预期价值创造与公司风险偏好相一致的战略。
企业的风险承受与企业的目标相关,风险承受指偏离某一具体目标的可接受程度。在确定风险承受度时,管理层需要考虑各具体目标的相对重要性,并将风险承受与风险偏好相协调。
6.企业风险管理仅对目标的实现提供合理的保证(reasonable assurance)。设计与运行良好的企业风险管理体系可以给管理层和董事会在企业目标的实现方面提供一个合理的保证。之所以只能提供合理的保证而非绝对的保证是因为不确定性、风险与未来有关,谁也不能够准确地加以估计。
但合理的保证并不暗示着企业风险管理会经常失败。企业风险管理实施中风险反应的累积效应、内部控制制度的加强都会减少企业目标不能实现的风险。并且,企业风险管理不能将各级职能部门每个员工的日常经营与职责都指向企业目标的实现,这无疑会减少内耗,促进企业目标的实现。
7.企业风险管理与目标实现。在企业风险管理框架中,风险管理的目标共分为四类:
战略性目标:涉及高层次的目标,与企业使命相一致并支持企业使命的实现。
运营目标:涉及企业资源使用的效果与效率。
报告目标:涉及企业报告的可靠性。
规范目标:涉及公司对法律法规的遵循。
对目标进行分类有利于企业关注风险管理的不同方面。上述有些目标,如报告的可靠性。法律法规的遵循等是企业可控的,它取决于企业相关的经营活动是否适当。
但企业的战略目标,如获取特定的市场份额,以及一些营运目标,如成功导入一个新的产品生产线,并不总是在企业的可控范围内。对于这些目标,企业风险管理确实有利于管理层进行更好的决策,但并不能避免错误的判断或决策,也不能消除可能会导致企业经营目标不能实现的一些外部因素的发生。
需要特别强调的是,企业风险管理的目标不仅仅是财务报告的可靠和经营的规范,更重要的是企业战略目标的实现,以及资源高效率、有效果地运用。
企业风险管理的要素
企业风险管理系统是由一系列要素构成的。COSO框架中提出了八个相互关联的要素,这些要素来自于企业管理层运营企业的方式,并且与管理流程相互融合。
内控环境 管理层决定了企业对待风险的态度与风险偏好。内控环境包括正直与道德观、胜任能力、董事会与审计委员会、管理哲学与经营风险、组织结构、权责划分方式、人力资源政策等,为员工如何看待或处理风险与内部控制问题提供了基础。
目标设定 在管理层能够确认影响其目标实现的潜在事件之前,目标必须已经存在。企业风险管理确保管理层已经建立目标设定的程序,确保选择的目标与企业的使命相统一,与风险偏好相一致。
事件确认 对企业经营有重大影响的潜在事件必须得以确认。事件确认涉及确认影响企业目标实现的外部或内部事件。需要区分代表风险的事件,代表机遇的事件,或两者兼而有之的事件。需要注意的是,机遇将在制定企业战略或目标设定过程中加以考虑。
风险评估 对已确认的风险需要加以分析,为如何管理这些风险提供基础。风险是与受其影响的目标相伴随的。只有对风险发生的概率和后果进行恰当评估后,才能确定相应的风险管理的方式。
风险反应 人们确认并评估对风险的反应,包括风险回避、接受、减少和分散风险。管理层采取一系列的行动使经营风险与企业的风险偏好相一致。
控制活动 政策与程序的建立与实施,以确保管理层选择的风险管理方式能够得到有效的执行,包括控制系统的审阅、实物控制、职责划分,以及信息系统控制等。
信息与沟通 通过及时确认、获取相关的信息以及沟通使员工能够履行其职责。公司各阶层都需要相关的信息评估风险并做出适当的风险反应。人们也需要在其角色、职责方面进行有效的沟通
监督 企业风险管理体系的整体运行需要监控,必要时需要进行修正。监督活动由持续监督(如管理层对客户投诉处理的及时监督、财务报告合理性的日常审阅等)和单独评估(如内部审计师的定期审计)组成,以确保企业内部控制系统能持续有效地运行。
总之,企业风险管理是一个动态的流程,如风险的评估促使风险反应,进而影响到控制活动,有可能需要重新考虑信息与沟通,或者是企业的整个监督活动。因此,企业风险管理并不是一个严格的顺序性流程,即一个要素仅影响下一个要素。它是一个多方向的、互动的流程,任何一个要素都可能够并会对其他要素产生影响。
目标与要素之间的关系
企业风险管理的目标与要素之间存在着直接的关系。详见图2:
图2企业风险管理的目标与要素
风险管理的每一个要素都与目标有关。如来源于外部或内部的财务和非财务数据,属于信息与沟通要素的一个组成部分,在企业制定战略、有效地管理公司运营,以及编制报告时都需要运用。它也能反映公司是否遵循了相关的法律法规,如企业在对外披露的财务报告中是否存在虚假的陈述和不实的数据等。
同样,从目标类别角度看,每类目标也都与要素相关。例如企业运营的效率与效果这一目标,企业任何一个要素的应用状况,都会影响到这一目标的实现程度。
企业的风险管理框架与整个企业或者企业的每一个单独的部分(如子公司、分支机构或业务单元)相关。但是,我们必须认识到,风险管理的四大类目标指的是公司目标,而非分部或业务单元目标。我们在考虑与报告相关的目标时,就需要关于整个公司运营方面的一系列信息,而不是某一分部或业务单元的信息。
有效性
企业风险管理是一个过程,其有效性表现为某一时点的一种状态或条件。那么我们如何判断一个企业的风险管理系统是否有效呢?这就需要看企业的风险管理要素是否存在?是否有效地发挥其功能?如果各要素存在且恰当地发挥着作用,则说明企业存在有效的风险管理机制,企业能够消除重大缺陷,使风险控制在企业的风险偏好范围之内。
从目标角度看,如果企业的风险管理被确认为是有效的,则企业的董事会和管理层就可以在以下方面得到合理的保证:
他们理解公司战略目标实现的程度。
他们理解公司运营目标实现的程度。
公司的财务报告是可靠的。
相关的法律法规得到遵循。
结束语
在市场经济条件下,企业的经营存在着各种各样的不确定性。不确定性既表示风险,也预示着机遇。企业风险管理就是通过各要素有效地发挥其功能,帮助企业抓住机遇,将风险控制在可接受的范围内,促进企业各类目标的实现。
正确地理解企业风险管理的定义,是建立有效的风险管理机制的前提。需要特别强调的是,COSO企业风险管理整体框架中提出的目标与要素,与以前的内控框架相比,有了很大的扩展,与我国政府有关部门颁布的各种内部控制指引、指导意见更是有相当大的差异,理解并研究这种差异,对中国企业建立有效的风险管理机制是非常重要的。
不同的企业不可能采取完全相同的风险管理机制。中小企业在内控要素的实施上可能与大企业不同,但仍然可以建立有效的企业风险管理机制。在小型企业中,每一个要素可能不像大企业那样正规或结构严密,但其基本原理是一样的。
(作者系财政部科学研究所教授)