企業(yè)風險管理(ERM)是一套系統(tǒng)化的方法���,用來理解和管理企業(yè)面臨的各種風險��。項目管理培訓師康路晨總結(jié)企業(yè)風險管理包括內(nèi)部環(huán)境�����、目標制定�����、事項識別����、風險評估、風險反應�����、控制活動��、信息和溝通���、監(jiān)控等八個相互關聯(lián)的要素����,貫穿在企業(yè)的管理過程之中。根據(jù)美國損失控制協(xié)會對于美國企業(yè)的統(tǒng)計���,未設置風險管理系統(tǒng)的企業(yè),70%在遭受巨災后5年內(nèi)會結(jié)束營業(yè)�。對于已建立企業(yè)風險管理系統(tǒng)的公司而言,在面臨損失事故時將具有更大的競爭優(yōu)勢�。一個成功的企業(yè)風險管理系統(tǒng)是藉由公司政策、發(fā)展策略���、資源管理��、組織架構(gòu)��、操作程序及營運上各項關鍵參數(shù)所發(fā)展而成��,而企業(yè)建立與提升風險管理能力����,除了能有效降低災害發(fā)生后之嚴重性之外��,更能提升企業(yè)相關人員風險管控與災后復原的技能與專業(yè)����,落實管理運作之必要基礎。
1 風險管理的基本要素
內(nèi)部環(huán)境:企業(yè)的內(nèi)部環(huán)境是其他所有風險管理要素的基礎,為其他要素提供規(guī)則和結(jié)構(gòu)���。企業(yè)管理者是內(nèi)部環(huán)境的重要部分�����,其職責是建立企業(yè)風險管理理念����,確定企業(yè)的風險偏好��,營造企業(yè)的風險文化�,并將企業(yè)的風險管理和相關的初步行動結(jié)合起來。
目標制定:根據(jù)企業(yè)確定的任務或發(fā)展方向��,管理者制定企業(yè)的戰(zhàn)略目標�,選擇戰(zhàn)略方案并確定其他與之相關的目標,在企業(yè)內(nèi)層層分解和落實����。
事項識別:有時,管理者不能確切地知道某一潛在事項是否會發(fā)生�、何時發(fā)生及造成的結(jié)果,使得企業(yè)的管理者需要對這些事項進行識別��。
風險評估:風險評估可以使管理者了解潛在事項如何影響企業(yè)目標的實現(xiàn)。管理者應從兩個方面對風險進行評估——風險發(fā)生的可能性和影響��。風險評估應從企業(yè)的發(fā)展戰(zhàn)略角度進行���。
風險反應:風險反應可以分為規(guī)避風險���、減少風險���、共擔風險和接受風險四類�����。對于每一個重要的風險�,企業(yè)都應考慮所有的風險反應方案�����。選定某一風險反應方案后�����,管理者應在殘存風險的基礎上重新評估風險�����,即從企業(yè)總體的角度,或者從組合風險的角度��,重新計量風險�。
控制活動:控制活動是幫助保證風險反應方案得到正確執(zhí)行的相關政策和程序?��?刂苹顒哟嬖谟谄髽I(yè)的各部分���、各個層面和各個部門?�?刂苹顒邮瞧髽I(yè)為實現(xiàn)其商業(yè)目標而執(zhí)行過程的一部分����。
信息和溝通:來自于企業(yè)內(nèi)部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞����,以保證企業(yè)的員工能夠執(zhí)行各自的職責,包括企業(yè)內(nèi)自上而下��、自下而上以及橫向的溝通���。
監(jiān)控:對企業(yè)風險管理的監(jiān)控��,是指評估風險管理要素的內(nèi)容和運行中執(zhí)行質(zhì)量的一個過程���。企業(yè)可以通過兩種方式對風險管理進行監(jiān)控——持續(xù)監(jiān)控和個別評估���。
2 企業(yè)風險管理的方法
著名項目管理專家康路晨表示每個企業(yè)在經(jīng)營中都有可能性發(fā)生風險���,如何化解和減少風險是企業(yè)經(jīng)營者必須進行研究的。首先要明確有哪幾種風險�����,然后有的放矢地采取措施����。只有加強風險意識,進行科學的管理和科學的決策�,建立起相應的制度才能避免風險的發(fā)生。從目前市場環(huán)境來看主要有七種風險�,相應采取的措施有:
經(jīng)濟合同風險:是指企業(yè)在履行經(jīng)濟合同過程中,對方違反合同規(guī)定或遇到不可抗力影響���,造成本企業(yè)的經(jīng)濟損失�。因此,企業(yè)在進行經(jīng)營和產(chǎn)品合同簽訂后的履約及賠償責任問題���。合同簽訂后還應密切注視其執(zhí)行情況�����,要有遠見地處理隨時發(fā)生的變化�。
債務風險:是指企業(yè)舉債不當或舉債后資金使用不當致使企業(yè)遭受損失���。為了避免企業(yè)資產(chǎn)負債�,企業(yè)應控制負債比率�����。
擔保風險:是指為其他企業(yè)的貸款提供擔保��,最后因其他企業(yè)無力還款而代其償還債務�。企業(yè)應謹慎辦理擔保業(yè)務,嚴格審批手續(xù)����,一定要完善反擔保手續(xù)以避免不必要的損失�。
匯率風險:是指企業(yè)在經(jīng)營進出口及其他對外經(jīng)濟活動時��,因本國與外國匯率變動����,使企業(yè)在兌換過程中遭受的損失。企業(yè)平時就要隨時注意其外幣債務��,密切注視各種貨幣的匯率變化��,以便采取相應措施��。
投資風險:是指因投資不當造成投產(chǎn)企業(yè)經(jīng)營的效益不好���,投資資本下跌。企業(yè)對此應采?�。涸陧椖客顿Y前�,一定要各職能部門和項目評審組一起進行嚴格的、科學的審查和論證�����,不能盲目運作��。對外資項目更不能作風險承諾,也不能作差額擔保和許諾固定回報率�����。
產(chǎn)品市場風險:是指因市場變化�����、產(chǎn)品滯銷等原因?qū)е碌鴥r或不能及時賣出自己的產(chǎn)品�。產(chǎn)生市場風險的原因有三個:(1)市場銷售不景氣,包括市場疲軟和產(chǎn)品產(chǎn)銷不對路�����;(2)商品更新?lián)Q代快����,新產(chǎn)品不能及時投放市場;(3)國外進口產(chǎn)品擠占國內(nèi)市場�。必須對癥下藥。
存貨風險:是指因價格變動或過時���、自然損耗等損失引起存貨價值減少�����。這時企業(yè)應馬上清理存貨�����,生產(chǎn)時要控制投入���、控制采購��、按時產(chǎn)出���,加強保管。
3 當前我國企業(yè)風險管理存在的問題
1)混淆風險管理與內(nèi)部控制的關系
許多企業(yè)的管理者將內(nèi)部控制與企業(yè)管理和風險管理等同起來���,常常產(chǎn)生這樣的誤解:內(nèi)部控制可保證企業(yè)成功并使其財務報告絕對合法�;內(nèi)部控制可以防止企業(yè)決策的失誤�;建立了內(nèi)部控制就等于實施了科學管理等。兩者混淆的關鍵���,在于沒有看到內(nèi)部控制管理是風險管理的本質(zhì)性要求。
2)過分關注內(nèi)部控制細節(jié)而忽視企業(yè)風險管理
企業(yè)把主要精力放在所有細小的���、微不足道的控制上��,如有些企業(yè)差旅費報銷的規(guī)定長達數(shù)十頁�����,極其繁瑣��,表面上控制得很好�����,但浪費了許多管理資源���,還會忽視企業(yè)重大風險���。
3)只重視內(nèi)部控制設計而疏于其執(zhí)行效果,使企業(yè)承擔巨大風險
任何一個公司都或多或少存在一定的內(nèi)部控制��,否則�����,公司無法正常運行���。公司把大量的精力放在設計內(nèi)部控制上��,而在如何保證制度實施方面�����,則缺乏應有的措施����。在具體控制活動和監(jiān)督等方面存在缺陷,所以很難保證已設計好的內(nèi)部控制能夠得到執(zhí)行�����。如果企業(yè)用這一紙空文來管理���,勢必會帶來巨大風險�,最終走向滅亡����。
4)對風險管理缺乏足夠重視
與國際領先企業(yè)相比,除了我國的金融�����、保險等高風險行業(yè)非常重視風險管理外�����,大部分企業(yè)尚沒有引起應有的重視�,風險管理尚處于起步階段,過分強調(diào)企業(yè)的增長和效益�,沒有處理好增長、效益和風險之間的平衡����,在企業(yè)風險管理方面存在諸多差距。缺乏如COSO《企業(yè)風險管理——整體框架》那樣的權(quán)威框架對企業(yè)風險管理的指導��;由于有的風險是可以計量的�,因此,部分企業(yè)重視采取大量復雜的技術來管理這些風險��。但是��,一些定性的風險卻被忽視����,如聲譽風險、管制風險�����、遵循風險、安全風險和政治風險等�����,企業(yè)缺乏系統(tǒng)和全面的風險管理�。
4 當前應首先加強合規(guī)性風險管理
每個企業(yè)由于所處發(fā)展階段不同�����,因而面臨的最大風險也存在差異����。有的企業(yè)是戰(zhàn)略風險問題,有的企業(yè)是經(jīng)營風險問題���,也有企業(yè)是財務風險問題�����。但我國企業(yè)目前普遍面臨的最大風險問題是法律法規(guī)的遵循風險�����,也就是合規(guī)性風險����。它主要是由于企業(yè)無法滿足法律�����、法規(guī)����、規(guī)則要求,也沒有遵循自己制定的標準����,以及運作的行為準則,而造成企業(yè)面臨著財務損失的風險或者聲譽風險���。
因此�,當前我國企業(yè)應首先強調(diào)合規(guī)性風險的管理����。合規(guī)在企業(yè)文化里非常重要,強調(diào)誠信和正直����,這點需要從董事會和高層領導做起����,這也是我國企業(yè)規(guī)避風險的必要措施�。合規(guī)關系到企業(yè)內(nèi)的每一位職員。企業(yè)在經(jīng)營時����,必須以高標準來要求每個職員,確保所有行為達到合規(guī)的要求�。一旦違規(guī)操作,將對股東��、客戶����、職員以及市場帶來嚴重的負面影響,并將影響企業(yè)的聲譽����。
5 以立法的形式促進企業(yè)加強內(nèi)部控制
針對安然����、世通等財務欺詐事件�����,美國國會出臺了《2002年公眾公司會計改革和投資者保護法案》����。法案的核心在于促進企業(yè)完善內(nèi)部控制���,加強信息向公眾披露的質(zhì)量和透明度,并對公司管理層提出了明確的責任要求�。法案還將影響到公司的各項管理行為,公司的會計和財務����、內(nèi)部審計、風險管理�、人力資源政策和程序、公司治理等諸多方面�。
可見,以立法的形式來要求企業(yè)加強其內(nèi)部控制��,其影響和意義是深遠的���。從我國企業(yè)的實際情況分析�,企業(yè)內(nèi)部控制的不足主要表現(xiàn)在:內(nèi)部控制過分關注如何達到財務報告目標的要求,忽視內(nèi)部控制的經(jīng)營目標和滿足法律法規(guī)要求的目標�����,并受限于會計控制���;在內(nèi)部控制的整體結(jié)構(gòu)上���,重視業(yè)務層面控制,忽略公司層面和信息系統(tǒng)層面的控制:缺乏完整的內(nèi)部控制文檔���,以及對主要業(yè)務環(huán)節(jié)/程序/目標/風險/控制的全面分析�;內(nèi)部控制按傳統(tǒng)的職能部門開展�����,缺乏流程觀��,內(nèi)部控制不系統(tǒng)化���;缺乏正式的內(nèi)部控制測試方法�����,管理層內(nèi)控報告依據(jù)不充分等�。正如COSO在其《企業(yè)風險管理——整體框架》中所指出的那樣,內(nèi)部控制是企業(yè)風險管理必不可少的一部分���,風險管理框架建立在內(nèi)部控制框架的基礎上���。我國企業(yè)要加強風險管理,首先從內(nèi)部控制人手�����,而通過立法的形式予以強化�,將推動我國企業(yè)的內(nèi)部控制體系的建設�。
6 內(nèi)部審計在企業(yè)風險管理中的作用日趨重要
風險管理監(jiān)督和風險承受部門必須有效分離,這已成為現(xiàn)代經(jīng)營風險管理的一項重要原則�。隨著公司治理力度和風險防范意識的加強,整合提升管理水平���,內(nèi)部質(zhì)量管理體系審核必然會成為組織內(nèi)部控制的一種重要方式����。
1)內(nèi)部審計師從評價各部門的內(nèi)部控制制度入手���,在生產(chǎn)���、采購�、銷售����、財務會計、人力資源管理等各個領域查找管理漏洞��,識別并防范風險�,查錯糾弊,對既成損失提出應對策略等����。
2)內(nèi)部審計可以深入到經(jīng)營管理的各個過程和行為,分析其合理性���,查找并防范風險�。
3)內(nèi)部審計在部門風險管理中還起著協(xié)調(diào)作用��。不僅各部門有內(nèi)部風險���,而且各管理部門還有共同承擔的綜合風險�����,內(nèi)部審計師作為第三方��,可協(xié)調(diào)各部門共同管理這一投資決策帶來的風險���。
4)內(nèi)部審計有助于識別組織風險�����。風險管理的首要環(huán)節(jié)是對風險的識別��。內(nèi)部審計正是以風險敏感性分析為起點開展工作����。內(nèi)部審計人員通常關注的風險主要有:財務和經(jīng)營信息不足���;政策、計劃�、程序、法律和標準貫徹失?�。毁Y產(chǎn)流失�;資源浪費和無效使用;不能達到目的和目標�����。在決定所要審計的內(nèi)容之前��,內(nèi)部審計師不僅要評估和備選內(nèi)容相關的風險的類型����,還要評估當前有多少風險。按照各待審內(nèi)容風險水平的順序排列��,然后首先審查高風險的內(nèi)容����。
5)內(nèi)部審計有助于進一步確定并防范風險。通過審查業(yè)務流程的合規(guī)性�,在生產(chǎn)環(huán)節(jié)中識別并防范的風險,避免因生產(chǎn)計劃和實際生產(chǎn)脫節(jié)造成的產(chǎn)品積壓和供不應求產(chǎn)生的損失���。
6)人力資源管理內(nèi)部控制審計����。許多大型跨國集團包括眾多的成本利潤中心,這些成本利潤中心有相對的獨立性��,它們的負責人管理水平的高低直接影響到整個集團的效益��。對一些關鍵崗位人員聘用的失誤����,往往給組織帶來巨大的經(jīng)濟損失甚至造成滅頂之災。任期經(jīng)濟責任審計是高級管理人員崗位輪換�、解聘、重新聘任�����、提拔的前提����。在任期審計中認為業(yè)績不佳的管理人員不能得到職位提升,大大減少了人員聘用不當帶來的風險����。
7 人力資源管理在風險管理中的重要性
人力資源風險管理中最常見的幾類問題����,包括:黑單、泄露公司機密及商業(yè)秘密、虛報或假報賬目等���。出現(xiàn)以上問題����,有以下幾個方面的原因:我國社會信用體系不完善��;公司內(nèi)部管理制度存在缺陷���,制度制訂不足���,特別是有些企業(yè)根本沒有建立人力資源道德風險的防范和監(jiān)督制度,公司管理層對公司制度執(zhí)行不力�����,甚至參與有損公司利益的行為�;員工職業(yè)素養(yǎng)有待提高,缺少必要的職業(yè)規(guī)范和素質(zhì)或者道德水準��、特別是盡職性不高���。因此�,企業(yè)加強內(nèi)部風險控制,必須建立并完善內(nèi)部人力資源風險防范體系和危機處理機制����,控制內(nèi)部人力資源風險,從而保障企業(yè)商業(yè)安全���。
建立人力資源風險管理體系���,其重點在于建立事前的風險防范和事中風險監(jiān)控機制。企業(yè)必須培養(yǎng)事前風險防范的意識��,并建立相應的監(jiān)督體制��,以確保這種意識落實到現(xiàn)實的管理過程中�����;企業(yè)監(jiān)督體制的建立和實際運作�����,包括雇傭資質(zhì)調(diào)查和背景調(diào)查��、風險測試機制�;企業(yè)須建立完善的數(shù)據(jù)記載機制,對記載數(shù)據(jù)進行分析并合理利用����。
其次,建立事中預防監(jiān)控機制�。事中預防監(jiān)控是事前防范的延伸。公司內(nèi)部��,要對在職人員�����,特別是重要崗位員工進行公開的定期�、不定期考核或心理測試;加強對員工個人職業(yè)素養(yǎng)的培訓與提高�����,完善新員工的培訓機制和對在職員工的考核機制���。公司外部����,可聘請專業(yè)的調(diào)查公司對重點崗位員工的盡職狀況進行定期保密調(diào)查����。
最后�����,建立事后危機處理機制��。公司內(nèi)部要設立專門的危機管理部門�����,并不斷健全和完善部門制度�;公司外部����,可聘請專業(yè)調(diào)查公司對在職人員、離職人員的職業(yè)去向進行追蹤調(diào)查���。
?��。浮“扬L險管理落到實處的四步曲
風險管理是企業(yè)管理中的重要內(nèi)容,風險管理機制更是企業(yè)管理體系的關鍵組成部分�。然而,這些卻是目前中國企業(yè)在項目管理方面的薄弱環(huán)節(jié)。如何切實地進行風險管理�,建立風險管理機制,是企業(yè)項目管理走向成熟過程中必須要解決的問題����。
1����、風險識別
主要是確定何種風險可能會對項目產(chǎn)生影響,并以明確的文檔描述這些風險和其特性��。風險識別一般來講�,是一個反復進行的過程,由項目主要成員����、企業(yè)風險管理小組分頭進行,來盡可能地識別出項目可能存在的風險�����。對風險進行分類和歸納是風險識別中常用的方法�����。風險分類應該是經(jīng)過綜合考慮而定義的����,應當反映出項目所屬行業(yè)或應用領域內(nèi)的常見風險來源����。例如下面的分類:項目的技術方面的風險�����、項目的時間安排方面的風險���、項目的財務方面的風險等�。檢查表是風險識別中非常有效的工具����。根據(jù)以往類似的項目和積累的其他風險管理的知識和信息,可以開發(fā)和編制項目風險檢查表���。檢查表的好處是使風險識別過程短平快��,提高了效率��。
2����、風險分析
主要是評估已識別出風險的影響和可能性的過程。風險分析可以選擇定性分析或定量分析方法��,進一步確定已識別的風險對項目目標的影響����,并根據(jù)其影響對風險進行排序,確定項目的關鍵風險項����,并指導接下來的風險應對計劃的制定�����。項目的風險指數(shù)是一個有效的指標����,表征整個項目的風險程度。該指標��,是應用一個風險指數(shù)計算的數(shù)學模型����,根據(jù)風險識別和風險分析的結(jié)果,計算得到一個量化的項目風險指數(shù)。通過應用項目風險指數(shù)�,在項目選擇和執(zhí)行過程中,以量化的指標反映項目的風險����,監(jiān)控風險管理的績效。同時該指標��,也可以用于橫向比較不同項目之間的風險程度��。
3�����、風險應對
主要是針對項目的風險開發(fā)和制定一個風險應對的方案�,目的是提高實現(xiàn)項目目標的機會。風險應對計劃包括項目主要風險���,針對該風險的主要應對措施���,每個措施必須有明確的人員來負責,要求完成的時間以及進行的狀態(tài)�����。
4、風險監(jiān)控
主要是在項目的整個過程中���,跟蹤已識別的風險���,監(jiān)視殘余風險和識別新的風險,確保項目風險應對計劃的執(zhí)行��,評估風險應對措施對減低風險的有效性����。風險監(jiān)控是項目整個生命周期中的一種持續(xù)的過程,隨著項目逐漸的推進�����,風險會不斷變化���,可能會有新的風險出現(xiàn),也可能有預期的風險的消失����。
9 逐步推行全面風險管理
政府或有關機構(gòu)應積極推動制定如COSO《企業(yè)風險管理——整體框架》那樣的框架�����,以指導我國企業(yè)的風險管理;我國企業(yè)應積極借鑒國外先進的企業(yè)風險管理理念和方法��,建立和完善全面的風險管理體系���,通過持續(xù)的風險管理來評估決策和交易中的風險�����,計算實行風險管理所取得的報酬和不實行風險管理所得到的懲罰���。其目的是發(fā)現(xiàn)和處理好企業(yè)在減輕財務、經(jīng)營和戰(zhàn)略風險與為股東創(chuàng)造競爭價值之間的恰當平衡���。以結(jié)構(gòu)化的風險管理過程為理論基礎�,根據(jù)企業(yè)的業(yè)務特點�,制定企業(yè)的風險管理方針和制度,然后結(jié)合實用的風險管理軟件�����,特別是軟件平臺與知識庫相結(jié)合的軟件工具����,形成切實可行����、易于操作���、收效突出的風險管理機制�����,把項目風險管理落到實處�����,提升企業(yè)的項目管理能力�����,為企業(yè)實現(xiàn)價值。
浙公網(wǎng)安備 33010802003509號