论文部分内容阅读
对于实施全面风险管理的企业如何能够有效地进行风险管理,其皆直接面临着一个重要的议题:如何落实?很多企业做了各种各样的风险管理文件,领导也通过大会小会去强调风险的重要性及落实要求,在事实上,风险却一再发生。
关键字:企业内控 企业风险管控
风险是企业运营中客观存在的一种行为,为掌控和管理风险,减少可能的损失,各国政府都在从国家层面加强管理。随着我国在境内外上市公司的增加,国务院国有资产监督管理委员会于2006年6月6日正式印发了《中央企业全面风险管理指引》,加强对国有控股企业的全面风险管理,而当前国际最权威的风险管理方法,是美国反虚假财务报告委员会于2003年公布了COSO《企业风险管理——整合框架》,是最为广泛认可的针对企业全面风险管理的国际标准,它既能满足企业风险管理的需要,又能进一步充实完善风险管理流程。 2004年9月 ,COSO委员会根据《萨班斯——奥克利斯法案》的相关要求,正式颁布了“企业风险管理整合框架”。
从商业运营的角度来看,为实践对风险的管理,企业全面风险管理这一方法被提出。企业全面风险管理是指建立有关的监督、控制和规范职能,以推动企业在不断变化的经营环境下持续地提升其风险管理能力,这是持续开展、贯穿整个企业的一种流程,这种工作将在战略制定中实行,旨在识别可能会对企业产生影响的潜在事件,把风险控制在企业的承受能力之内,并由企业内各级人员执行。在整个企业范围内,也就是在企业的每个层面和每个单元中予以实行,包括从整个公司角度即组合的角度来审视风险,最终能够为企业管理层和董事会提供合理保证。
对于实施全面风险管理的企业如何能够有效地进行风险管理,其皆直接面临着一个重要的议题:如何落实?很多企业做了各种各样的风险管理文件,领导也通过大会小会去强调风险的重要性及落实要求,在事实上,风险却一再发生。
在对企业风险防范和管理多年研究的基础上,我们总结出企业全面风险防范和管理的应用,可划分成三个阶段(见图1):基于企业整体控制阶段、基于岗位控制阶段和基于流程控制阶段。
1、基于企业整体控制。在很多企业里,都是首先通过文件、宣贯开始的风险管理,通过一个制度约束了很多工作,风险管理不够细致,导致各个风险点无人负责,这种基于企业整体控制的阶段应该说是企业管理风险的起步。
2、基于岗位控制:在国家和行业对风险重视程度越来越高的时候,越来越多的企业把重点工作的风险落实到个人上,于是风险管理超着更精细的方向发展,最终企业里的风险管理负责人把每个岗位都进行了细致的梳理,整理出岗位风险文件,形成岗位风险管理制度,确保“每项风险工作都有人负责”。
这种细致的基于岗位风险管理,也是咨询公司在为企业做风险管理时提供的解决方案,一般情况下的方案包括三个部分:识别风险、建立岗位风险手册、制定公司风险管理机制。三个步骤下来,看似建立了一个牢固的风险管理体系,但是实践证明这种方式的效果并不明显。
风险识别方案将工作岗位作为风险识别的载体,从岗位的职责和活动出发,识别工作岗位中遇到和将会面临的风险,把企业的风险落到到各个岗位,从公司最底层考虑风险,既能准确地定位风险来源,又能将风险进一步细化,及时发现问题,制定应对策略。
举一个真实的案例:我们曾为一家大型国有企业下属某单位开展了基于岗位控制的风险管理,从营销、销售、生产、综合管理各个领域均建立了岗位制定,从工作成果上来非常丰富,该企业风险管理人员也是非常满意风险体系的建立。但是当我们在一年后去回访时却了解到,这套丰满的风险机制被当作企业管理中的另一份制度文件被束之高阁,制度应用不起来、员工不清楚当初梳理的风险、风险管理人员在企业里压力很大。
在与这家企业风险管理人员进行深入的交流后,总结基于岗位风险管理的三个天然的不足,是导致结果难以应用的主要原因:
1、 岗位是基于个人而非团队,员工难以重视:在企业里,每个人都是工作里的一个环节,当以岗位来确定风险时,意味着很难与其他岗位产生协同,这不符合企业运作的规律,导致个人觉得自己的无所谓,难以真正重视。
2、 岗位不是工作价值体现,领导难以重视:企业里的价值是基于工作模式和工作流程来实现,一个岗位并不能体现出整体价值,企业领导也难以重视。
3、 岗位应用效果不佳,管理人员难以推动:企业风险管理机制是依靠有效的风险管理为基础,风险管理人员在基于岗位管理的模式下,难以推进企业的风险管理,工作非常被动。
在经过不断总结探索后,AMT提出基于流程的风险管理,这种风险管理是从企业运营出发,而不仅是从个人出发,能够真正把企业价值与风险管理相结合起来,为风险的落实和管理真正提供了支撑。同样是这家国有企业的另一个下属单位,邀请我们协助建立整个企业的风险体系,在与风险管理人员进行深入研讨后,建立基于流程的风险管理体系,形成风险管理网。
AMT的基于流程的风险管理分为三个基本步骤:识别所有可能的风险、梳理现有流程并确认各环节风险点、建立可落实的风险管理机制。
1、 识别所有可能风险。
风险在任何一个企业都存在,但每个行业均有些自身的特点。通常情况下,我们采用风险识别方法选择模型,针对外部环境、战略空间和管理基础进行全面分析(见图2)。
为全面把握风险范围,基于风险识别模型,把企业风险分成外源性风险和内源性风险2类风险:
外源性风险:包括但不限于标准、管理机构、政策、资源、环境等;
内源性风险:包括但不限于实物、技术、产品、市场、信用等;
在实际操作中,更进一步细分风险,为下一步的工作提供坚实的基础。
2、 梳理现有流程并分析各环节风险点。
在明确了企业各个环节的风险点后,可以开展企业流程梳理,针对现有流程,分析每个活动点存在的问题和风险应对办法,不放过该流程中每个节点。
在流程梳理和环节风险分析中,可能需要用到各种工具和方法,包括对流程梳理的工具、组织业务人员参加讨论的技巧等等,最终形成业务中各环节的风险控制 (见图3)。
在这个环节中,特别要注意3个要点,这将直接影响到最后风险防范的成功和实际落实:
选择合适的流程:很多企业想一次性解决所有问题,期望能够通过一次项目或一次运动把所有工作给完成,这是一种不切实际的想法。合理的做法是确定企业中最重要、最需要的流程开展,求精不求多;
组织合适的团队:风险管理不是几个企业风险管理人员的职责,也不是一个外部公司能够完全做完的,在这个过程中一定需要业务人员全力参与,使业务人员对结果深刻认识,所以说风险管理的过程,实际上是一个全员参与的过程;
坚定的决心:在梳理流程和识别确认风险过程中,由于业务人员的工作忙,短期效果不明显,肯定会出现负面的言论。对于风险推进人员,一定要顶住压力,坚持到底。
3、 建立可落实的风险管理机制。
风险管理是长期的工作,只要业务发生就会发生风险,另一方面,内外部环境和业务的变化,会导致业务风险的调整。所以一个好的有效的机制是保证企业风险管理长期可控的必要条件。
通常情况下,通过一个会议机制,我们定义为企业风险分析会,来作为风险管理的风向标,会议中讨论当前存在的问题,及未来改进的风险指标体系和监控方法。会议召开得准时性和好坏,直接决定着风险管理机制能否落实。
很多企业对类似的风险管理会存在怀疑态度,每次会议讨论什么议题?谁来主导?怎么落实等,这确实是会议存在的压力。我们的经验是风险分析会一定与企业运营的会议一并召开,更详尽的问题,可进一步分析。
在不断总结实践与理论探索后,AMT认为企业开展基于流程的风险管理与防范,有3个关键要素:
流程管理要有一定基础:流程是企业运作的基础,而一定的流程基础开展风险梳理的基础,否则会导致风险管理工作量巨大,推进工作艰苦;
对风险管理有相对成熟的认知:如果只是把风险只是当作一种工作,企业的员工必须深刻理解风险管理的价值,与业务运作互相促进作用,只有这样,才能真正投入进来;
企业愿意投入:风险管理是业务运作的另一个方面,相对于业务管理上的投入,很多企业不愿意在风险上投入过多,觉得没有价值。而恰恰相反,没有人员、资源和管理要求上的投入,无论应用哪种风险管理方法,肯定无法取得理想的结果。
通过三个步骤建立起来的企业全面风险管理,可以为企业风险的长期落实打下基础,这是因为与业务结合了、与员工之间的关系结合了、与企业的最高利益相结合。只要企业能够坚持,针对风险的防范和管理必然取得相应的成果。
关键字:企业内控 企业风险管控
风险是企业运营中客观存在的一种行为,为掌控和管理风险,减少可能的损失,各国政府都在从国家层面加强管理。随着我国在境内外上市公司的增加,国务院国有资产监督管理委员会于2006年6月6日正式印发了《中央企业全面风险管理指引》,加强对国有控股企业的全面风险管理,而当前国际最权威的风险管理方法,是美国反虚假财务报告委员会于2003年公布了COSO《企业风险管理——整合框架》,是最为广泛认可的针对企业全面风险管理的国际标准,它既能满足企业风险管理的需要,又能进一步充实完善风险管理流程。 2004年9月 ,COSO委员会根据《萨班斯——奥克利斯法案》的相关要求,正式颁布了“企业风险管理整合框架”。
从商业运营的角度来看,为实践对风险的管理,企业全面风险管理这一方法被提出。企业全面风险管理是指建立有关的监督、控制和规范职能,以推动企业在不断变化的经营环境下持续地提升其风险管理能力,这是持续开展、贯穿整个企业的一种流程,这种工作将在战略制定中实行,旨在识别可能会对企业产生影响的潜在事件,把风险控制在企业的承受能力之内,并由企业内各级人员执行。在整个企业范围内,也就是在企业的每个层面和每个单元中予以实行,包括从整个公司角度即组合的角度来审视风险,最终能够为企业管理层和董事会提供合理保证。
对于实施全面风险管理的企业如何能够有效地进行风险管理,其皆直接面临着一个重要的议题:如何落实?很多企业做了各种各样的风险管理文件,领导也通过大会小会去强调风险的重要性及落实要求,在事实上,风险却一再发生。
在对企业风险防范和管理多年研究的基础上,我们总结出企业全面风险防范和管理的应用,可划分成三个阶段(见图1):基于企业整体控制阶段、基于岗位控制阶段和基于流程控制阶段。
1、基于企业整体控制。在很多企业里,都是首先通过文件、宣贯开始的风险管理,通过一个制度约束了很多工作,风险管理不够细致,导致各个风险点无人负责,这种基于企业整体控制的阶段应该说是企业管理风险的起步。
2、基于岗位控制:在国家和行业对风险重视程度越来越高的时候,越来越多的企业把重点工作的风险落实到个人上,于是风险管理超着更精细的方向发展,最终企业里的风险管理负责人把每个岗位都进行了细致的梳理,整理出岗位风险文件,形成岗位风险管理制度,确保“每项风险工作都有人负责”。
这种细致的基于岗位风险管理,也是咨询公司在为企业做风险管理时提供的解决方案,一般情况下的方案包括三个部分:识别风险、建立岗位风险手册、制定公司风险管理机制。三个步骤下来,看似建立了一个牢固的风险管理体系,但是实践证明这种方式的效果并不明显。
风险识别方案将工作岗位作为风险识别的载体,从岗位的职责和活动出发,识别工作岗位中遇到和将会面临的风险,把企业的风险落到到各个岗位,从公司最底层考虑风险,既能准确地定位风险来源,又能将风险进一步细化,及时发现问题,制定应对策略。
举一个真实的案例:我们曾为一家大型国有企业下属某单位开展了基于岗位控制的风险管理,从营销、销售、生产、综合管理各个领域均建立了岗位制定,从工作成果上来非常丰富,该企业风险管理人员也是非常满意风险体系的建立。但是当我们在一年后去回访时却了解到,这套丰满的风险机制被当作企业管理中的另一份制度文件被束之高阁,制度应用不起来、员工不清楚当初梳理的风险、风险管理人员在企业里压力很大。
在与这家企业风险管理人员进行深入的交流后,总结基于岗位风险管理的三个天然的不足,是导致结果难以应用的主要原因:
1、 岗位是基于个人而非团队,员工难以重视:在企业里,每个人都是工作里的一个环节,当以岗位来确定风险时,意味着很难与其他岗位产生协同,这不符合企业运作的规律,导致个人觉得自己的无所谓,难以真正重视。
2、 岗位不是工作价值体现,领导难以重视:企业里的价值是基于工作模式和工作流程来实现,一个岗位并不能体现出整体价值,企业领导也难以重视。
3、 岗位应用效果不佳,管理人员难以推动:企业风险管理机制是依靠有效的风险管理为基础,风险管理人员在基于岗位管理的模式下,难以推进企业的风险管理,工作非常被动。
在经过不断总结探索后,AMT提出基于流程的风险管理,这种风险管理是从企业运营出发,而不仅是从个人出发,能够真正把企业价值与风险管理相结合起来,为风险的落实和管理真正提供了支撑。同样是这家国有企业的另一个下属单位,邀请我们协助建立整个企业的风险体系,在与风险管理人员进行深入研讨后,建立基于流程的风险管理体系,形成风险管理网。
AMT的基于流程的风险管理分为三个基本步骤:识别所有可能的风险、梳理现有流程并确认各环节风险点、建立可落实的风险管理机制。
1、 识别所有可能风险。
风险在任何一个企业都存在,但每个行业均有些自身的特点。通常情况下,我们采用风险识别方法选择模型,针对外部环境、战略空间和管理基础进行全面分析(见图2)。
为全面把握风险范围,基于风险识别模型,把企业风险分成外源性风险和内源性风险2类风险:
外源性风险:包括但不限于标准、管理机构、政策、资源、环境等;
内源性风险:包括但不限于实物、技术、产品、市场、信用等;
在实际操作中,更进一步细分风险,为下一步的工作提供坚实的基础。
2、 梳理现有流程并分析各环节风险点。
在明确了企业各个环节的风险点后,可以开展企业流程梳理,针对现有流程,分析每个活动点存在的问题和风险应对办法,不放过该流程中每个节点。
在流程梳理和环节风险分析中,可能需要用到各种工具和方法,包括对流程梳理的工具、组织业务人员参加讨论的技巧等等,最终形成业务中各环节的风险控制 (见图3)。
在这个环节中,特别要注意3个要点,这将直接影响到最后风险防范的成功和实际落实:
选择合适的流程:很多企业想一次性解决所有问题,期望能够通过一次项目或一次运动把所有工作给完成,这是一种不切实际的想法。合理的做法是确定企业中最重要、最需要的流程开展,求精不求多;
组织合适的团队:风险管理不是几个企业风险管理人员的职责,也不是一个外部公司能够完全做完的,在这个过程中一定需要业务人员全力参与,使业务人员对结果深刻认识,所以说风险管理的过程,实际上是一个全员参与的过程;
坚定的决心:在梳理流程和识别确认风险过程中,由于业务人员的工作忙,短期效果不明显,肯定会出现负面的言论。对于风险推进人员,一定要顶住压力,坚持到底。
3、 建立可落实的风险管理机制。
风险管理是长期的工作,只要业务发生就会发生风险,另一方面,内外部环境和业务的变化,会导致业务风险的调整。所以一个好的有效的机制是保证企业风险管理长期可控的必要条件。
通常情况下,通过一个会议机制,我们定义为企业风险分析会,来作为风险管理的风向标,会议中讨论当前存在的问题,及未来改进的风险指标体系和监控方法。会议召开得准时性和好坏,直接决定着风险管理机制能否落实。
很多企业对类似的风险管理会存在怀疑态度,每次会议讨论什么议题?谁来主导?怎么落实等,这确实是会议存在的压力。我们的经验是风险分析会一定与企业运营的会议一并召开,更详尽的问题,可进一步分析。
在不断总结实践与理论探索后,AMT认为企业开展基于流程的风险管理与防范,有3个关键要素:
流程管理要有一定基础:流程是企业运作的基础,而一定的流程基础开展风险梳理的基础,否则会导致风险管理工作量巨大,推进工作艰苦;
对风险管理有相对成熟的认知:如果只是把风险只是当作一种工作,企业的员工必须深刻理解风险管理的价值,与业务运作互相促进作用,只有这样,才能真正投入进来;
企业愿意投入:风险管理是业务运作的另一个方面,相对于业务管理上的投入,很多企业不愿意在风险上投入过多,觉得没有价值。而恰恰相反,没有人员、资源和管理要求上的投入,无论应用哪种风险管理方法,肯定无法取得理想的结果。
通过三个步骤建立起来的企业全面风险管理,可以为企业风险的长期落实打下基础,这是因为与业务结合了、与员工之间的关系结合了、与企业的最高利益相结合。只要企业能够坚持,针对风险的防范和管理必然取得相应的成果。