企业风险管理

1.什么是企业风险管理

企业风险管理是企业在实现未来战略目标的过程中,试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程,以确保和促进组织的整体利益实现。企业风险管理(ERM)框架是由Treadway委员会所属的美国虚假财务报告全国委员会的发起组织委员会(COSO)在内部控制框架的基础上,于2004年9月提出的企业风险管理的整合概念。

ERM是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险,为企业目标的实现提供合理保证的过程。

企业风险管理处理影响价值创造或保持的风险和机会,定义如下:

企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。

这个定义反映了几个基本概念。企业风险管理是:

  • 一个过程,它持续地流动于主体之内;
  • 由组织中各个层级的人员实施;
  • 应用于战略制订;
  • 贯穿于企业,在各个层级和单元应用,还包括采取主体层级的风险组合观;
  • 旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内;
  • 能够向一个主体的管理当局和董事会提供合理保证;
  • 力求实现一个或多个不同类型但相互交叉的目标。

这个定义比较宽泛。它抓住了对于公司和其他组织如何管理风险至关重要的关键概念,为不同组织形式、行业和部门的应用提供了基础。它直接关注特定主体既定目标的实现,并为界定企业风险管理的有效性提供了依据。

2.企业风险管理的基础前提[1]

企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时,要确定承受多大的不确定性。不确定性可能会破坏或增加价值,因而它既代表风险,也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力

当管理当局通过制订战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以最大化。

3.企业风险管理的内容[1]

企业风险管理包括:

  • 协调风险容量(risk appetite)[2]战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容量。
  • 增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。
  • 抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及由此带来的成本或损失。
  • 识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险。
  • 抓住机会——通过考虑全面范围内的潜在事项,促使管理当局识别并积极地实现机会。
  • 改善资本调配——获取强有力的风险信息,使得管理当局能够有效地评估总体资本需求,并改进资本配置

企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标,防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规,还有助于避免对主体声誉的损害以及由此带来的后果。总之,企业风险管理不仅帮助一个主体到达期望的目的地,还有助于避开前进途中的隐患和意外。

  • 事项——风险与机会

事项可能会带来负面的影响,也可能会带来正面的影响,抑或二者兼而有之。带来负面影响的事项代表风险,它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响,或者说代表机会。机会是一个事项将会发生并对目标——支持价值创造或保持——的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订过程中,以便制订计划去抓住机会。

4.企业风险管理框架的组成

美国COSO(反欺诈交易委员会)委托普华永道开发《COSO风险管理整合框架》中指出,企业风险管理基本框架包括八个方面内容: 内部环境、目标设定、事项识别、风险评估风险应对控制活动信息沟通以及监控等8个要素构成。

(一)内部环境

中央企业内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。其中特别是中央企业领导班子的风险偏好,决定了中央企业对可能出现的预料之外的事件的态度,中央企业管理层必须明确战略及其执行过程中的风险和回报。

(二)目标设定

根据国资委确定的任务或预期,管理层制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。管理层必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。企业风险管理就是提供给企业管理层一个适当的过程,将目标与企业的任务或预期联系在一起,保证制定的目标与企业的风险偏好相一致。

(三)事项识别

企业风险管理要求辨别可能对实现中央企业目标产生负面影响的所有重要情况或事件,事项识别的基础是将可能的风险与环境进行对比。这要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。

(四)风险评估

一般用可能性(概率)和影响结果两个指标度量风险。风险评估的过程根据不同的情况,采用定性和定量相结合的方法。若可以获取充足的数据,可采用决策风险定量评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则可采取定性的评估方法。

(五)风险应对

中央企业要对每一个重要的风险及其对应的回报进行评价和平衡,据平衡的情况采取包括回避、接受、共担或降低这些风险。风险应对是中央企业风险管理的整体重要组成部分。

(六)控制活动

控制活动包括在整个组织使用的审核、批准、授权、确认以及对经营绩效考核、资产安全管理、不相容职务分离等方法。这是中央企业管理层设计的政策和程序,为执行特定的风险应对措施提供合理保证。

(七)信息沟通

风险信息必须以一定的形式和框架进行交流,使中央企业员工、管理层履行各自的责任。中央企业必须对各种数据和信息流进行加工,形成关于企业风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式3种有效的交流形式。员工的风险信息交流意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与中央企业管理层进行交流,中央企业管理层应当重视员工的意见。

(八)监控

中央企业应通过持续的监控和独立的评价活动,监控企业风险管理的有效性。持续监控以日常经营中发生的事件和交易为对象,包括中央企业管理层和专门的监控人员的活动。

5.企业风险管理的目标[1]

在主体既定的使命或愿景(vision)[3]范围内,管理当局制订战略目标、选择战略,并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标:

  • 战略(strategic)目标——高层次目标,与使命相关联并支撑其使命;
  • 经营(operations)目标——有效和高效率地利用其资源;
  • 报告(reporting)目标——报告的可靠性;
  • 合规(compliance)目标——符合适用的法律和法规。

对主体目标的这种分类可以使我们关注企业风险管理的不同侧面。这些各不相同但却相互交叉的类别——一个特定的目标可以归入多个类别,反映了主体的不同需要,而且可能会成为不同管理人员的直接责任。这个分类还有助于区分从每一类目标中能够期望的是什么。一些主体采用的另一类目标——保护资源也包含在上述类别之内。

因为有关报告的可靠性和符合法律、法规的目标在主体的控制范围之内,所以可以期望企业风险管理为实现这些目标提供合理保证。但是,战略目标和经营目标的实现取决于并不一定总在主体控制范围之内的外部事项,对于这些目标而言,企业风险管理能够合理地保证管理当局和起监督作用的董事会及时地了解主体朝着实现目标前进的程度。

6.目标与构成要素之间的关系

目标是指一个主体力图实现什么,企业风险管理的构成要素则意味着需要什么来实现它们,二者之间有着直接的关系。这种关系可以通过一个三维矩阵以立方体的形式表示出来。

四种类型的目标——战略、经营、报告和合规——用垂直方向的栏表示,八个构成要素用水平方向的行表示,而一个主体内的各个单元则用第三个维度表示。这种表示方式使我们既能够从整体上关注一个主体的企业风险管理,也可以从目标类别、构成要素或主体单元的角度,乃至其中的任何一个分项的角度去加以认识。

  • 有效性

认定一个主体的企业风险管理是否“有效”,是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断。因此,构成要素也是判定企业风险管理有效性的标准。构成要素如果存在并且正常运行,那么就可能没有重大缺陷,而风险则可能已经被控制在主体的风险容量范围之内。

如果确定企业风险管理在所有四类目标上都是有效的,那么董事会和管理当局就可以合理保证他们了解主体实现其战略和经营目标、主体的报告可靠以及符合适用的法律和法规的程度。

八个构成要素在每个主体中的运行并不是千篇一律的。例如,在中小规模主体中的应用可能不太正式,不太健全。尽管如此,当八个构成要素存在且正常运行时,小规模主体依然会拥有有效的企业风险管理。

  • 局 限

尽管企业风险管理带来了重要的好处,但是仍然存在着局限。除了前面讨论过的因素之外,局限还导源于下列现实:人类在决策过程中的判断可能有纰漏,有关应对风险和建立控制的决策需要考虑相关的成本和效益,类似简单误差或错误的个人缺失可能会导致故障的发生,控制可能会因为两个或多个人员的串通而被规避,以及管理当局有能力凌驾于企业风险管理决策之上。这些局限使得董事会和管理当局不可能就主体目标的实现形成绝对的保证。

  • 涵盖内部控制

内部控制是企业风险管理不可分割的一部分。这份企业风险管理框架涵盖了内部控制,从而构建了一个更强有力的概念和管理工具。内部控制是在《内部控制——整合框架》中加以定义和描述的。由于该框架经受了时间的考验,并且成为现行规则、法规和法律的基础,因此那份文件对内部控制的定义和框架依然有效。尽管《内部控制——整合框架》的正文中只有一部分被本框架所引用,但是本框架通过参考的方式把该框架整体融合了进来。

主体中的每个人都对企业风险管理负有一定的责任。首席执行官(CEO)负有首要责任,并且应当假设其拥有所有权。其他管理人员支持主体的风险管理理念,促使符合其风险容量,并在各自的责任范围内依据风险容限去管理风险。风险官、财务官、内部审计师等通常负有关键的支持责任。主体中的其他人员负责按照既定的指引和规程去实施企业风险管理。董事会对企业风险管理提供重要的监督,并察觉和认同主体的风险容量。很多外部方面,例如顾客、卖主、商业伙伴、外部审计师、监管者和财务分析师常常提供影响企业风险管理的有用信息,但是他们不但不对主体的企业风险管理的有效性承担任何责任,而且也不是它的组成部分。

7.企业风险管理的七种方法

每个企业在经营中都有可能性发生风险,但如何化解和减少风险是企业经营者必须进行研究的,企业的风险管理是一项重要的工作。在企业家的头脑中首先要明确有哪几种风险,然后有的放矢地采取措施。只有加强风险意识,进行科学的管理和科学的决策,建立起相应的制度才能避免风险的发生。从目前市场环境来看大致有七种风险,相应采取的措施有:

第一为投资风险

投资风险是指因投资不当造成投产企业经营的效益不好,投资资本下跌。企业对此应采取:在项目投资前,一定要各职能部门和项目评审组一起进行严格的、科学的审查和论证,不能盲目运作。对外资项目更不能作风险承诺,也不能作差额担保和许诺固定回报率。 第二为经济合同风险。

经济合同风险是指企业在履行经济合同过程中,对方违反合同规定或遇到不可抗力影响,造成本企业的经济损失。因此,企业在进行经营和产品合同签订后的履约及赔偿责任问题。合同签订后还应密切注视其执行情况,要有远见地处理随时发生的变化。

第三为产品市场风险。

产品市场风险是指因市场变化、产品滞销等原因导致跌价或不能及时卖出自己的产品。产生市场风险的原因有三个:(1)市场销售不景气,包括市场疲软和产品产销不对路;(2)商品更新换代快,新产品不能及时投放市场;(3)国外进口产品挤占国内市场。

第四为存货风险。

存货风险是指因价格变动或过时、自然损耗等损失引起存货价值减少。这时企业应马上清理存货,生产时要控制投入、控制采购、按时产出,加强保管。有些观念保守的企业担心存货贬值,怕影响当前效益,长期不处理,结果造成产品积压,损失越来越大。

第五为债务风险。

债务风险是指企业举债不当或举债后资金使用不当致使企业遭受损失。为了避免企业资产负债,企业应控制负债比率。许多企业因股东投资强度不够,便以举债扩大生产经营或盲目扩大征税,结果提高资产负债率,造成资金周转不灵,还会影响正常地还本付息。最有可能导致企业资不抵债破产

第六为担保风险

担保风险是指为其他企业的贷款提供担保,最后因其他企业无力还款而代其偿还债务。企业应谨慎办理担保业务,严格审批手续,一定要完善反担保手续以避免不必要的损失。

第七为汇率风险

汇率风险是指企业在经营进出口及其他对外经济活动时,因本国与外国汇率变动,使企业在兑换过程中遭受的损失。企业平时就要随时注意其外币债务。密切注视各种货币的汇率变化,以便采取相应措施。特别是在银行有外币贷款的企业更应如此。

8.风险管理的误区

误区之一:视风险为畏途,放弃发展机会。风险其实是无处不在的,特别是企业经营活动中,其结果本身就有不确定性。不少企业对未来盲目恐惧,缺乏前瞻性,视风险为不可抗力,采取回避的方式防范风险。殊不知,新的发展机会往往是由前期高风险带来的,放弃风险有时候就等于放弃机会。

误区之二:企业风险管理是一个筐,什么都往里面装。不少企业的风险管理尚未开展,仅仅是一个概念性的东西,很多高层管理者认为一旦实施企业全面风险管理,所有事务都可以归集到其中来处理。但企业风险管理其实仅仅只是企业管理活动中的一个方面而已,它不可能也不应该涵盖企业生产经营的全部工作。

误区之三:片面强调某类风险,忽视其他风险因素。企业风险管理应包括战略、财务、市场、运营、法律等诸多方面,并非某一方面风险所能描述的。有些企业就片面强调某类风险,而忽视对其他方面风险因素的控制。

误区之四:舍本逐末,未能抓住风险管理的关键。很多企业都有一整套完备的管理制度,有些企业认为只要这些制度的顺利贯彻执行,就是内部控制的全部,就可以有效防范企业风险。但实际并非如此,如果企业将主要精力放在微不足道的控制上,表面上控制得很好,但往往不仅浪费许多管理资源,而且还会忽视重大风险。

误区之五:注重风险制度设计,忽视制度执行。企业都或多或少的存在一定的内部控制制度。很多公司很重视制度的设计,甚至高薪借助“外脑”。但事实是制度的执行比设计更为重要,良好的企业风险管理制度如果不能得到有效的执行,其效用就无法发挥。