企业风险识别与应对措施
【摘要】目前,国外关于COSO企业风险管理框架应用于企业实践的研究刚刚开始,但是国内这方面的实践运用还很少。本文以抚顺石化公司内部控制制度的建设和实施为例,仅就COSO企业风险管理报告提出风险识别与风险应对等,在我国加工制造企业的实际运用作一些探讨。
引言:如果把市场比作大海,企业就是大海中乘风破浪的一艘艘帆船,无论大船还是小船,都要经历市场风浪的考验。而风险就是市场上一排排风浪与暗礁,他们隐匿于大海之中,不住地窥望着帆船,时时刻刻准备把帆船吞溺于汪洋大海之中。
风险与经营管理就像一对孪生兄弟一样,随着企业的发展壮大和市场的不断变化而呈现出不同的面貌,企业的管理者在经营过程中通过各种手段力争将风险控制到最低来保证经济利益的流入。世界经济迈入二十一世纪以来,美国境内发生的“安然”、“施乐”和“世通”等财务舞弊事件引发了社会公众对保护投资者利益的争议,公司财务信息披露的法律遵循性开始备受重视,财务信息披露的真实性和完整性受到了社会众多的密切关注。2002年美国总统布什签发了《萨班斯-奥克斯利法案》(简称萨奥法案),这对海外上市公司的经营管理提出了新的挑战。由于各种不确定性因素的存在,企业面临着客观存在的各种风险,企业能否对风险进行有效的识别和应对,是企业能否生存发展、能够实现企业预期目标的关键。企业的风险控制是企业内部控制体系的重要构成部分,无论是影响全球的COSO报告还是国家有关规范制度,都强调了对风险进行控制的重要性。
一、风险识别(risk idintification)
风险无处不在,有效地识别风险就会使风险的控制有的放矢,从而消灭这吞溺企业的风浪和暗礁。按照风险管理学科对风险的分类,企业的风险可划分为市场风险、产品风险、经营风险、投资风险、外汇风险、人事风险、体制风险、购并风险、自然灾害风险、公关风险、政策风险和外交风险等;按照能否为企业带来盈利划分,企业风险可划分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。按照企业实现目标层次划分,企业风险相应划分为企业战略风险、企业日常经营管理风险和财务风险。但所有的风险都贯穿于企业经营的各个过程中。
风险识别是企业全面风险管理的第一步,是对企业面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程。应遵循全面性、系统性、制度化和经常化等原则。由于风险随时存在,因此风险识别和风险分析的过程是一个循环往复的过程。在抚顺石化分公司的风险识别过程中,笔者将企业风险识别分成以下几个步骤进行:
(一)按照全面性和系统性原则梳理业务范围,建立风险控制流程
抚顺石化公司是一家以石油加工炼制为主的特大型石油化工联合企业,在风险控制流程的建立中,将经营活动划分为规划计划、建设过程、物资采购、生产过程、产品销售、存货、财务资产、人力资源、内部审计和合同纠纷等几大类,全面系统地梳理并确定了公司经营活动的业务流程。
在确定业务流程的基础上,还对每一大类业务流程进行了细化,依据管理的细化程度,进一步划分各级子流程,形成了层层嵌套的流程树状体系。如图1所示。
(二)按照制度化和经常化原则,对风险控制流程建立风险数据库
为了全面地评估风险数据,公司对每一个子流程都进行了风险分析,风险分析以“找出关键控制点,建立风险控制文档和流程控制程序”为目的,建立并健全公司的风险数据库。如图2、图3所示。
在风险控制文档和流程控制程序中,针对每一个流程步骤,分别从是否为经营决策风险、是否违反了法律法规、是否致使财务报告失真、是否使资产安全受到了威胁和是否有营私舞弊的现象等五个方面进行归类;同时,对于控制目标的类型从完整性控制(completely)、准确性控制(accurate)、有效性控制(valid)和接触性控制(relative)四个方面进行分类。通过这些分类,将为每一个流程步骤设定出风险控制点,再对风险控制点进行全面归集,就形成了完整的企业风险数据库。
(三)对风险数据库进行风险评估分析,设定关键风险控制点
抚顺石化公司的风险数据库建立在COSO框架的目标基础上,COSO框架的风险应对目标主要有三个方面:
1.针对企业的基本目标来确保经营的效果和效率(Effectiveness and efficiency of operations),包括业绩、盈利目标和资源的安全性;
2.确保财务报表的可靠性(Reliability of financial reporting);
3.确保企业对法律法规的遵循性(Compliance with applicable laws and regulations)。
依据上述三项目标,对风险数据库的各项风险数据进行了筛选,将影响上述三项目标的风险数据设定为关键风险控制点,建立了关键风险控制数据库。
二、风险应对(risk response)
在对公司的经营风险进行了逐一识别后,公司需要树立风险组合观,按照“避免风险,减少风险,分担风险,接受风险”原则,对公司的风险实施了有效控制。目前,各公司的现行做法各有不同,抚顺石化分公司着重从以下几个方面进行分析和控制。
(一)设立组织机构进行风险控制
加强对风险控制的组织领导,成立风险管理委员会,企业成立了以总经理为主任,分管业务的副总经理、财务总监或总会计师为副主任,各业务部经理、财务部经理以及外聘专家为成员的风险管理委员,其职责是审查批准企业风险管理体系方案,具有对风险业务的最终决策权。
(二)开展风险评价和风险应对,成立风险管理部门
以现行管理制度为基础,建立企业统一的风险管理体系,提高经营管理水平,成立风险管理部门。直接对风险管理委员会负责,具体负责企业的风险管理工作。
(三)风险管理的指导思想、总体目标和基本步骤
1.企业风险管理的指导思想
以企业发展战略为总体目标,达成共识,识别战略风险,有效规避战略风险;以提高企业自身管理水平的需求为动力,努力建立完善的企业风险管理体系,全面提升企业管理水平;以国家法律法规为依据,从管理理念、管理手段、管理方式入手,合理控制或规避企业法律风险;以企业管理和财务监督为中心,以日常企业管理检查、考核为手段,针对企业日常管理中的薄弱环节和控制缺陷,实现全面风险管理体系与QHSE现行管理制度体系的有机结合;规范企业内部企业管理流程,完善管理方式和行为,有效防范经营风险,提高经营管理水平。
2.企业风险管理的总体目标(见图4)
3.基本步骤
第一,建章建制,规范业务流程的操作。
规章制度的健全与有效执行,是企业内部操作的行为准则。根据风险管理记录模板,将企业现有的控制措施与现有的规章制度进行对比,发现风险管理记录的差异。风险管理记录的差异一般有两种情况:一是有管理,但没有形成正式的规章制度;二是有管理,也有相关规章制度,但没有达到所确定的风险管理记录的要求。通过这两个方面的差异分析,确定风险管理中存在的缺陷。
第二,对企业风险管理体系进行系统测试。
在企业风险管理体系的建立过程中,需要反复地进行系统测试。从业务流程描述、风险数据库的建立最终到发布实施,都要有层次、分步骤地进行系统测试。一般做法中,主要的系统测试方法有以下几种:跟单测试、关键控制测试、管理层测试、控制环境测试、信息系统测试和跟踪测试等。
笔者以以抚顺石化分公司的跟单测试流程为例,说明企业风险管理体系进行持续改进过程。如图5所示。
第三,建立考核与评价机制。
为强化风险管理,企业实施了情况的检查与考核制度,建立配套的奖惩制度,定期对风险管理制度的执行情况进行检查和考核,对出现的问题及时整改解决,并在执行中逐步完善,对不执行或执行不力的,予以严惩。定期提出企业风险管理检查结果,并向企业考核部门提出奖罚意见。
第四,利用信息化手段,加强企业风险管理。
企业以强化企业风险管理为契机,推进企业过程化控制和信息化管理。在保证企业风险管理有效运作的前提下,要求信息传导和反馈要快捷、准确,利用信息化手段提升企业资源计划(ERP)管理理念,结合企业管理实际,研发并推行适合企业自身发展的ERP软件,提高企业风险管理水平。
第五,制定和实施企业战略规划,防止战略风险。
企业推行了谨慎的发展战略,突出主业,三思而后行。适度采用多元化经营,紧密围绕主业,谨慎涉足自己不熟悉或者没有竞争优势的领域,并从人力资源、资金资源、资产资源和信息资源等多方面加强企业风险管理。
三、企业风险识别和风险控制的局限性
抚顺石化分公司通过近两年的风险控制管理,取得了一定的管理成绩。
(一)有效的风险识别与应对,仅仅能帮助企业实现经营目标,但是有效的企业风险管理体系,不能使平庸的战略目标变得卓越。由于政策的变化、竞争对手行为的不确定性以及经济环境的变化等外因影响,不能保证企业一定成功。
(二)不能确保财务报告的可靠性和法律法规的遵循性。内控制度是企业目标的实现向管理层和董事会提供合理的、而非绝对的保证。内控系统的内在局限性包括以下现实情况:决策判断可能失误以及简单的人为错误可能导致重大纰漏。
(三)无法保证合伙同谋绕过风险应对措施规定。
总之,我国企业内部控制普遍薄弱,尤其入世以来,我国企业在国际竞争市场这片大海中扬帆远航,不断面对来自国际市场竞争压力和经营发展不确定性因素的风浪与暗礁,企业的掌舵人开始将目光转向建立和完善企业风险管理体系,以确保在风浪和暗礁出击下,企业这艘帆船稳健前行,持续改进健康生存发展能力,实现预期的战略目标。
