“风险评估”是指通过考虑某一风险发生的可能性高低和影响大小来对其加以分析,并以此作为如何进行风险管理的依据。在设定风险控制目标,发现风险事项之后,必须进行适当的风险评估。
评估风险对企业实现目标的影响程度或风险价值等,有定性与定量两种方法——定性方法包括问卷调查、集体讨论、专家咨询、政策分析、行业标杆比较、管理层访谈和调查研究等,而定量方法包括统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。根据coso的建议,定性和定量的方法相结合是最佳选择。
“风险应对”是指管理层在风险容忍度和成本、收益原则下,确定风险应对方案并考虑其对风险事项的可能性和效果的影响,然后设计、确定和实施选择的应对方案。
风险应对措施通常包括回避、降低、分担和承担四种。此外,在风险应对的过程中,还应该有组合的观念——一个不同风险组合应对之后,其风险应对管理成本可能会下降,也可能因为组合而积聚上升变得更加重要,这就如同合力效应。
“控制活动”是指为了应对风险的发生所采取的措施和方法,通过控制活动的实行,降低或者消除风险发生的可能性。
控制活动通常包含两个要素:确定应做什么的政策和有效地实施政策的程序。控制活动也可以分为预防性控制、检查性控制、纠正性控制和补偿性控制等各种类型。
在风险管理中,风险控制活动贯穿在组织的各个层级和各个职能部门,包括一系列不同的活动,比如批准、授权、验证、调节、评价、评估、职责分离等等。
“信息与沟通要素”是指提倡企业必须有效识别、收集来源于企业内部和外部的定性或定量的经营信息,并以适当的方式与相关利益者进行有效沟通。
信息的来源无论是内部,还是外部都有正式渠道,也有非正式渠道,有直接渠道也有间接渠道。比如,商户的风险高低在于获得商户的信息多少、来源及其可靠性——有直接与商户面谈或问卷调查得到信息,也可能有通过新闻媒体、网络平台、监管机构等方面获得的有关商户的信息。
另外,现在信息化时代下,内部不同平台之间的信息共享程度,以及内部系统与外部系统(供应商或客户)的集成度和信息分享程度都在日益上升。这给信息、沟通的及时性、效率得到改善,而同时信息的深度、及时性、可靠性对于信息分析决策都变得日益重要。
同信息的来源分为内部和外部一样,信息的沟通也分为内部和外部沟通。信息的内部沟通是为了更高的事项企业的战略、经营、报告和合规方面的目标。内部沟通包括横向的沟通和纵向的沟通,横向的沟通有利于风险的应对和控制活动的协调开展,纵向信息的及时沟通便于决策及其措施的快速确定和传达。
信息的外部沟通主要集中在企业主体与外部利益相关者之间的沟通,比如供应商、客户、监管机构、投资者等等。
“内部监督”是一个对风险要素当前功能及其业绩质量进行评估的过程。通常监督通过两种方法进行:通过持续的活动或个别评价。
持续监控建立在企业日常重复发生的业务活动和风险管理活动之上,而个别评价则是在事后进行的,可以作为对持续监控的补充。
专门的评价通常要确定评价的范围、频率、目的,并关注评价过程、方法和报告形成评价的信息传递机制和分享机制。在企业风险管理工作的实务处理中,这两种方法是结合进行的。
战略风险,是指影响企业实现战略发展目标和实施发展规划的各种不确定因素或可能性。企业的战略风险既有来源于企业内部的,又有来源于企业外部的。战略风险包括竞争风险、行业方向转换风险、战略收购合并风险、客户偏好转换风险等。
财务风险,是指企业因未来财务状况不确定而产生的实际财务结果与预期财务目标发生偏离,进而蒙受损失的可能性。财务风险包括利率和汇率的变动风险、原材料或产品价格波动风险、信用政策风险,以及公司理财行为风险等。
运营风险,是指企业在运营过程中,由于外部环境的复杂变动以及企业自身对环境认知能力和适应能力的局限性,导致企业运营失败或使运营活动无法达到预期目标的可能性。运营风险包括流程风险、人为风险、系统风险、事件风险、业务风险和操作风险等。
法律风险,是指由于企业外部法律环境发生变化,或由于包括企业自身在内的法律主体未按照法律规定或合同约定有效行使权利、履行义务,而对企业造成负面法律后果的可能性。法律风险包括:国内外政治法律环境风险与政策风险,员工道德操守风险,重大协议与合同的遵守与履行风险,法律纠纷风险,及知识产权风险等。
市场风险,是指未来市场价格的不确定性对企业实现既定目标的负面影响。市场风险包括商品价格与物资供应风险、客户供应商信用风险、税收风险和商品价格风险等。
从差异性来看,风险管理与内部控制的主要不同在于:
1、侧重点不同:内部控制侧重于制度层面,通过规章制度规避风险;风险管理则更侧重交易层面,通过市场化的自由竞争或市场交易规避风险。典型的内部控制是为保证资金安全和会计信息的真实可靠,会计控制是其核心;而典型的风险管理则关注特定业务中与战略选择或经营决策相关的风险与收益的比较,贯穿于管理过程的各个方面。
2、管理幅度不同:风险管理包含风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动;而内部控制负责风险管理过程中及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。内部控制主要强调事中和事后的管理活动;风险管理除了对事中和事后进行管理,还会在事情开展之前进行风险的辨识和评估,并制订出相应的应对方案。
3、对风险的对策不一致:全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,帮助董事会和高级管理层实现全面风险管理的目标。这些内容是内部控制框架所无法提供的。
ERM 框架(即企业风险管理—整合框架)认为企业进行风险管理的目标有四个:
一是战略目标——使企业的风险管理活动与使命相关联并且支撑企业使命;
二是经营目标——利用风险管理工作有效和高效率地利用企业资源;
三是报告目标——提高企业财务报告的可靠性;
四是合规性目标——使企业经营符合相关法律、法规的规定。
企业进行风险管理可采取风险承担、风险规避、风险转移、风险转换、风险对冲等应对策略。
风险承担,可以是被动的,也可以是主动的,可以是无意识的,也可以是有意识的,因为有时完全回避风险是不可能或明显不利的。采取有计划的风险承担不失为一种规避风险的方式。
风险规避,即通过放弃或拒绝合作停止业务活动来回避风险源。比如,虽然潜在的或不确定的损失能就此避免,但获得利益的机会也会因此丧失。
风险转移,即承担风险的主要对象把原本可能发生在自己身上的损失通过转移和嫁接的方式处理风险。企业通常可以通过保险或者对外承包等手段来把风险的后果以及其应对的责权转交给第三方。其中,保险的意思是通过为企业的产品进行相关保险的购买,使保险公司来帮企业接受风险;而对外承包则是通过各种合法途径以及渠道将自己本身对于业务的所有权转交给其他对象,进而将随之可能附带的风险进行一并转交的手段。
风险转换,一般是企业使用战略调整等方式对目前所面临的风险进行转换,使之成为另外的风险。风险转换的方式通常有制造衍生产品或者之前提到的战略调整等。风险转换通常不能对企业所面对的风险产生减少和规避作用,最常见的就是企业对风险进行转换之后减少了当前的风险,同时也加剧了另外的风险。企业有效地利用风险转换可以成功实现自身在两个甚至更多的风险之中周旋,取得最佳的效果,甚至能够实现无成本或者低成本。
风险对冲,指企业在自身具备一定的抗风险实力的情况下,通过多种渠道,成功引入不止一个风险因素,让它们之间产生对冲效果并且相互抵消。在企业所可能面临的各类风险中,原本存在着可以对冲并且有自然抵消的性质,企业应该对其有充分的了解并在适当的关键时机加以把握和利用。此外,考虑风险能否对冲时要站在一个相对的高度来审视,同时要防止风险的对冲不慎而导致多项风险同时发生,使企业面临更大的危机。
在策略的选择上,企业应根据不同业务特点统一确定风险偏好和风险承受度,即企业愿意承担哪些风险,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应采取的对策。
确定风险偏好和风险承受度,要正确认识和把握风险与收益的平衡,防止和纠正忽视风险与片面追求收益而不讲条件、范围以及认为风险越大、收益越高的观念和做法;同时,也要防止单纯为规避风险而放弃发展机遇。
风险管理组织体系是体现企业内部各个风险管理部门排列顺序、聚集状态、联系方式以及部门之间相互关系的结构体系。各个企业应当根据自身的具体情况建立适合自己的风险管理组织体系。
规模较小的企业,可以只设单个风险管理机构,而对于规模较大的企业来说,一个健全有效的风险管理组织体系则应当包括规范的公司法人治理结构、风险管理职能部门和内部审计部门及其他有关职能部门、各相关业务单位的组织领导机构等要素。
1、公司法人治理结构,一般包括股东(大)会、董事会、监事会、经理层等,企业应当按照《公司法》的要求建立健全规范的公司法人治理结构,各机构应依法、依公司章程的规定行使职权,履行职责,形成既高效运转、又有效制衡的法人治理机制。
2、业务管理部门或单位,主要包括业务管理或执行部门,如生产部门、销售部门、供应部门等。这是风险管理的一线部门,是风险识别、控制的主体,也可称之为风险管理的第一道防线。
3、风险管理职能部门,一般包括风险管理委员会及其执行机构,这是风险管理的第二道防线。风险管理职能部门主要制定风险管理制度,提出风险管理实施意见,组织协调全面风险管理日常工作,指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作等。
4、内部审计部门,一般包括审计委员会及其执行机构,是风险管理的第三道防线。内部审计部门在风险管理方面,主要是负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。
5、法律事务部门,一般包括总法律顾问与法律事务部,也可根据企业实际情况不设专门的法律事务部而将法律事务委托给中介机构办理,本部门主要负责各项经济业务或行为的审查、合同的拟订或会签、经济纠纷的处理、法律风险的防范与化解等工作。
董事会是企业风险管理框架中的核心,它需要对风险管理的目标确立、组织构建、建章立制、制度执行以及审计与监控情况全面负责。董事会就企业全面风险管理工作的有效性对全体股东负责。董事会在全面风险管理方面主要履行的职责包括:
1、审议并向股东(大)会提交企业全面风险管理年度工作报告。
2、确定企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案。
3、了解和掌握企业面临的各项重大风险及其风险管理现状,作出有效控制风险的决策。对公司全面风险管理体系的建立健全、有效实施及检查监督负责。
4、批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。
5、批准重大决策的风险评估报告。
6、批准内部审计部门提交的风险管理监督评价审计报告。
7、批准风险管理组织机构设置及其职责方案。
8、批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度作出的风险性决定的行为。
9、督导企业风险管理文化的培育。
10、全面风险管理其他重大事项。
监事会是董事会外部的监督机制,对股东(大)会负责,与董事会互相独立、互不隶属,在风险管理组织框架中,监事会起到了监督企业风险管理决策及实施过程的作用。监事会的重点监督对象是董事会,并且通过对董事会的监督来实现对经营管理层的监督职能。根据《公司法》等相关法律、法规的要求,监事会在全面风险管理方面主要履行的职责包括:
1、列席董事会和经营管理层会议,就企业风险管理相关议题发表监督意见,充分了解重大事项的背景经过及风险管控情况。
2、就与企业财务活动、经营决策相关的风险管理情况开展专项检查,通过检查发现并分析企业风险管理制度方面的缺陷和漏洞,督促董事会和管理层勤勉履职。
3、向董事会及经营管理层成员通报专项检查报告内容,督促董事会和经营管理层整改落实,适时跟踪后续审计,保证监事会检查实效。
4、调研审阅各类经营信息材料,了解企业总体风险管理情况,揭示企业经营管理中存在的风险隐患,向董事会和经营管理层提出有针对性的意见。
5、密切联系外部审计机构,了解外部审计工作进展情况,并指导内部审计部门开展内审及稽核工作。
6、对董事会和经营管理层在风险管理框架下履职行为合法合规性的监督,当董事会和经营管理层发生违规违法行为,损害企业和股东利益时,采取措施予以制止、纠正并追究责任。
风险管理委员会成员一般由3-5名董事组成,由董事会选举产生,委员会成员中应当有熟悉企业重要管理及业务流程的董事,以及具备风险管理监管知识或经验、具有一定法律知识的董事。风险管理委员会对董事会负责,向董事会提交风险管理决策及报告,其主要履行的职责包括:
1、提交全面风险管理年度报告。
2、审议风险管理策略和重大风险管理解决方案。
3、审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告。
4、审议内部审计部门提交的风险管理监督评价审计综合报告。
5、审议风险管理组织机构设置及其职责方案。
6、办理董事会授权的有关全面风险管理的其他事项。
审计委员会同样是隶属于董事会的专业委员会,它独立于经营管理层,其建立的初衷是在董事会建立一个独立的、专门的治理力量以强化外部审计师的独立性,从而提高公司财务报告信息的真实性和可靠性。委员会成员可以从外部董事中选取。审计委员会在进行风险管理时应当承担的职责包括:
1、了解管理层对财务报告风险的评估情况,就相关问题征询外部审计师的意见。
2、了解并监督企业内部审计质量与财务信息披露。
3、了解可能诱发重大风险的财务报告方面的薄弱环节。
4、就企业内部审计机构负责人的任免提出意见。
5、了解内部审计师的风险评估和根据该评估而制定的审计计划。
6、了解管理层的企业风险评估结果及其对财务报告的影响,审查企业内部控制程序的有效性,并接受有关方面的投诉。
7、监督企业社会中介审计等机构的聘用、更换及报酬支付。
风险识别是指企业运用各种方法与手段,系统、全面、连续地认识管理与经营过程中所面临的各种风险事件,并进行有效的记录,形成风险清单的过程。
风险识别是在建立了风险评估的基础、完成了企业目标的设置与分解这些准备工作后的一个步骤,其实是真正开始“发现”与“挖掘”企业决策与经营过程中风险的首要步骤,是企业有针对性地处理风险、管理风险的基础。
风险分析是指在识别了风险事件后,需要对风险发生的原因、风险发生会造成的影响、风险涉及的相关岗位与人员、风险所属的领域与业务流程等搜集进一步的信息,以便于后续对风险进行有效的管理与应对这样一个过程。
企业所面临的风险是错综复杂的,需要通过建立风险分析模型进行有效的识别和分析。因此风险识别与分析在整个风险管理中具有十分重要的位置,只有全面、准确地识别出风险,才能衡量、评价风险和选择应对风险的办法。
风险识别与分析过程包括识别那些可能对目标产生重大影响的风险源、影响范围、事件及其原因和潜在的后果。风险识别与分析有许多种方法,最主要使用的有以下几种:
结构化/半结构化访谈;
问卷调查;
查阅文件;
头脑风暴式的专题研讨会;
专项审核。
企业在开展风险评估工作时,需要确定合理的范围。风险评估的操作范围可以是整个集团,也可以是集团负责某业务中的一个事业部,或者是某家子公司,甚至可以为某一个企业中的某一部门,或者独立的信息系统、特定系统组件和服务等。
在风险评估之前,我们需要关注这个组织的“目标”,然后才能确定合理确定风险评估的广度与深度。应该说,不同的组织目标对风险的态度是完全不同的,可能在这家企业属于重大风险的事项,在另外一家企业中是完全可以接受甚至忽略的事项。
我们可以举个例子,在生产型企业中,股权投资是一项非常重大的事项,需要经过经营层与决策层的多次讨论与研究,必要时还需要外部专家与行业专家的论证。但是在一家私募股权基金或者产业投资公司中,投资业务只是一项常规性的日常业务,往往仅仅会通过风险对冲的方式降低投资的风险。
首先,企业应根据风险管理解决方案制定相应的风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。
其次,企业应针对识别出来的风险事项制定内部控制措施,一般至少包括以下内容:
第一,建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权作出风险性决定。
第二,建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。
第三,建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。
第四,建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。
第五,建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等。
第六,建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩。
第七,建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施。
第八,建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系,完善企业重大法律纠纷案件的备案管理制度。
第九,建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约,明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任,将该岗位作为内部审计的重点等。
最后,企业应当按照各有关部门和业务单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。
1、压力测试。是指在极端情形下,分析评估风险管理模型或内部控制流程的有效性,发现内部控制中的问题,并根据发现的问题制定改进措施的方法,目的是防止出现重大损失事件。
2、返回测试。是将历史数据输入到风险管理模型或内控流程中得出一个结果,把得出的结果与预测值对比,以检验内控方法的有效性。
3、穿行测试。是指在风险管理过程中,在正常运行的条件下,将初始数据输入内控流程,穿越全流程和所有关键环节,把运行结果与设计要求进行对比,以发现内控流程是否存在缺陷的方法。
4、内控体系有效性自我评估。是对内部控制制度进行评估的工作过程。它涉及所有员工,而不仅仅是少数审计人员或高层管理人员。这里的有效性评价是针对控制系统的评价,有别于部门业绩的评价和个人业绩的评价。
