1、做好内部控制是做好风险管理的前提。
企业应严格对内部各项程序进行审查,提供日常业务流程、运营、内勤的规范性,实现各个部门从上到下的的防范,到所有人员的防范。
2、强化风险管理责任。
企业各级机构通过确定风险管理环节,分解、落实机构内各部门、各岗位管理职责,并对各单位、各部门的控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效的控制经营风险,落实岗位责任。
3、创新推动
利用内部控制工作本身要求的评价、完善机制,为企业持续创新机制、战略调整和自我提升的输送活力,促进企业战略目标的达成。
4、进行资源整合
利用内部控制工作跨部门的特征,整合风险和控制,优化流程和提高效率,帮助企业完成整合数据和信息质量控制要求。
5、系统日常监督
作为企业决策、执行和监督三权分立体系中的核心监督权,联合发挥大监督体系效能,推动深入到岗位的自我评价体系和提升专精领域的控制水平,确保各种监督手段的有效落地。
参考资料来源:人民网-中国企业步入“内控2.0 时代”
内部控制与风险管理的定义。所谓的内部控制所指的就是企业的董事会、经理层以及全体职员所共同实施的,目的是要实现企业的经营目标,要保护企业资产的完整性,要保证企业会计信息资料的正确性,要保证企业经营活动的经济性、效率性以及效果性的一系列的自我调整、自我约束、自我评价以及自我控制的方法和措施。对于企业的内部控制来讲,它主要包含了五个彼此之间相互联系的要素,这五个要素分别是控制环境、风险评估、控制活动、信息与沟通以及监控。
风险管理的定义。企业的风险管理指的是一个受到企业董事会、管理当局以及其他职工影响的,并且可能会对企业产生影响的事项,它为企业目标的实现提供保障。
内部控制与风险管理之间的关系。企业内部控制与风险管理两者之间具有一致性,主要表现在三个方面:一是企业内部控制以及风险管理的实现都需要各方的参与;二是两者都贯穿于企业的整个日常经营管理活动当中;三是两者的最终目的都是要实现企业的价值。具体来看,企业的内部控制是包含在企业的风险管理当中的,属于风险管理的一个部分。企业的风险管理和企业的内部控制相比较起来,它是站在更高的战略层次上来分析问题的,它比内部控制更加细化,能够更好的解决企业经营活动当中所出现的各种各样的风险问题。内部控制所发挥的主要作用则是体现在会计控制以及审计活动方面。随着内部控制以及风险管理的不断健全和完善,二者之间必定会相互交叉,且相互融合,最终相互统一。
强化职工业务素质培训,提升其业务能力。随着现代企业制度的建立及完善,企业面临着十分严峻的挑战,在这样的背景之下,企业现有人员的业务能力以及法制观念已远远不能满足企业发展的需要。所以,企业要提升员工的风险意识和职业技能。为此,企业就要针对自身的人员现状,采取多种形式的培训,使企业全体员工的职业意识以和职业技能不断提高,使其和社会经济发展的需求相适应,进而为企业创造更高的经济效益。
强化风险管理在企业内控中的地位。随着我国各项相关制度以及规范的不断健全和完善,企业的内部控制所欠缺的不再是相关的制度及政策,而是欠缺能够让相关制度得到有效执行的风险流程。对于企业的工作流程来讲,其最根本的任务就是通过把技术和人有效运作于企业当中,促进企业技术性以及社会性的整体绩效的发挥。那么,企业在制定具体工作流程的时候,可以通过把企业的制度与企业制度的执行人之间进行有效的衔接这种方式,使工作的价值得到增加,使工作的效率得到提升,从而减少企业的风险。
重视企业内控监督机构的建设。企业的内部控制得以有效的实施,离不开有效的监督措施。对于企业的监督工作来讲,必须要把风险作为导向,把对重大风险的控制作为评估的重点。具体而言,健全和完善企业内部审计监督机构,应该做好以下几方面:一要进一步把企业内部审计的独立性加以增强,保证审计的客观公正性;二要把企业的审计内容从财务审计逐渐转变成为管理审计,从而使企业的管理流程以及内控水平得到提升;三要把事前审计和始终审计作为审计的重点,实现对整个过程的有效审计,真正做好风险防范。
完善风险评估体系并建立起动态的评估机制。在很多情况之下,控制和风险总是紧密联系在一起的,而实行内部控制的最主要依据就是风险评估,所以要本着定性和定量相结合的原则、成本收益的原则、全面性的原则以及有效反馈的原则,不断把企业的风险评估体系加以完善。企业在实行风险评估的时候,主要是对筹资风险、投资风险、信用风险以及合同风险等等进行评估和报告。
企业经营风险的识别
企业的经营风险是蕴含在企业日常的管理经营过程之中,涉及到企业日常管理的各个方面,最重要的集中在能为企业创造效益的经营环节。由于利益的驱动,管理者们需要在经营管理中做出决策,确保企业的利益最大化。而这些决策或是战略往往是在市场信息不对称的情况下做出的,因此索要产生的风险,即决策失败会给企业带来的损失便是由于信息不对称而产生的成本,是企业为错误的决策所付出的代价。企业风险管理是建立在了解企业风险的各个层面,减少失败的可能性并将不确定的经营成果降低到可接受的范围内。
通常企业的风险管理应该具备以下几个特点:
1. 风险管理过程化
企业的风险管理是由降低和控制风险的一系列程序组成,其中包括:风险的识别与分解、风险管理目标的确定、风险管理方法的选择、风险管理的实施与修正和风险管理结果评估。在COSO发布的《COSO企业风险管理整合框架》一书中提到,企业风险管理框架包含8个要素:内部环境,目标设定,事项识别,风险评估,风险应对,控制活动,信息与沟通和监控;8个构成要素同时也是有效的企业风险管理的判断标准,如果这些构成要素存在且正常运行,那么就可能没有重大缺陷,而风险可能已经被控制在主体的风险容量之内。2011年12月安然事件爆发,一时间,企业风险管理成为了人们关注的焦点。自那以后美国越来越多的企业和机构采用了风险管理机制,通过对风险的化解和缩小,降低风险管理难度,达到管理效果,尤其是在风险预警方面,采取审计、商业调查等措施加大了风险的预防力度。
2. 风险管理源头化
对于风险管理范围来讲,一方面要分业务、分部门、分层次管理风险;另一方面也需要将各个层次的风险加以汇总,站在全局的高度来定义和管理,从战略决策的源头对风险进行管控。以日本企业为例,日本的几家大型政府控股企业均设有“情报参事室”,专门收集企业外部环境信息以及变化情况,包括:宏观经济、地域政治、自然环境、人文社会等诸多方面。在汇总信息的基础之上,综合分析个因素之间的关系以及组合之后对战略实施产生的影响,为企业战略制定提出参照意见,以确保战略方向的正确和风险最携。
3. 风险管理全员化
企业风险管理不仅仅是高层领导和管理人员的责任,而是涉及企业内部所有人员,从CEO到每一位普通员工。只有全体员工树立了风险管理意识,全员参与风险管理,才能取得最终的效果。例如丰田实行的“全面质量管理”中就根据每一位员工的工作内容,将质量指标和对应的失败风险分解,变成每一位员工的日常管理内容,每一个人都清楚自己的工作内容和不按照要求的方法操作会带来的各种质量风险。通过员工自行管理,品质人员集中管理,管理层监督执行的方式到达全面管理质量的提升。而松下电子,建立了完善的产品档案,为每一件产品和产品上的组件都进行了编号,并将相关的生产信息和操作人员信息输入OEM系统备案。在松下,一个螺丝钉或是一个焊接头都能根据编号在OEM系统里找到生产的时间、操作人员姓名、以及当时的质检结果。这样,企业的品质便和每一个人联系了起来,质量风险也得到了很好的管控。
4. 风险管理成本化
风险管理并不是要消除全部风险或是不惜一切代价来降低风险,而是尽量使得风险缩小到可以承受的范围之内。在风险管理的过程中,需要合理调配投入的资源与产出的结果。美国通用电气的工程师们在实施SIX SIGMA 管理的过程中发现,风险管理也同样存在着边际效益递减的规律:当管理风险的投入达到某一临界点的时候,再追加的投入所产生的管理效果将会逐渐缩小,最终造成资源的浪费。所以在风险管理的过程中依然要遵循的经济规律而并非一味加大投入。GE的前任CEO在谈到通用风险管理的时候说到:“我们都清楚不可能管理所有的风险,我只要求我的经理们在他们能控制的部分做到最好。”
中国国有企业风险管理分析
中国国有企业风险管理目前尚处于起步阶段,2006年国资委下发了《中央企业全面风险管理指引》标志着国有企业风险管理正式纳入日常企业管理工作范畴。经过几年的发展,大多数企业建立了自己的风险管理体系和相应的制度、流程;总结出了宝贵的经验,同时也积累失败的教训。通过对北京、上海、广州和重庆的43家国有大中型企业调研的结果,所有被调研的企业都以开展风险管理工作;其中,98%的企业开展了财务风险管理,90%的企业开展了法律风险管理,85%的企业具有运营风险管理的职能,80%的企业实行了战略风险管理,60%的企业同时具有市场风险管理。通过此次调研,也暴露出了问题和不足,主要体现在:一、企业所运行的风险管理机制不统一,没有统一的测评标准和评估手段。这就为企业之间的合作带来了障碍。2010年上海一家电能公司向一家国有银行申请7000万元人民币的项目贷款,但是在该项目的风险评估过程中,双方由于采用的风险评估方法、设定的权重和参照系数不一致,而产生了分歧,耗时将近2年的谈判过程不仅造成了人力、物力的浪费,同时也错失了市场的机遇使原有的投资回报率由于原材料涨价和环境变更打了折扣。二、企业内部风险管理没有建立起有机的联系,多数情况下不同的风险管理是相互独立的。而在实际运行过程总会产生彼此牵制、互相矛盾的情况,这又使得企业不得不花费相当大的成本进行协调处理,从而降低了企业的运作效率。
1. 未来国有企业风险管理途径
针对以上问题点,笔者通过对实际案例的分析和总结,以及成功经验的借鉴,提出以下几点做法来改善国有企业风险管理。
一、 将风险管理纳入企业战略发展规划。
在我们所调研的企业中,绝大多数企业都有了清晰的企业发展定位和明确的发展方向。在制定企业发展战略的同时要充分考虑到未来不确定因素所产生的风险和相关的管理办法。从组织架构和管控方式入手对风险进行管理。例如:企业的研发规划,由于研发前期需要大量的资金投入,而且研发周期一般来讲相对较长,研发结果具有一定的不确定性,我们建议企业设立研发部门进行专门管理,同时采用操作型管控的模式进行垂直管理。将研发规划分成阶段性计划,设立阶段性目标,分阶段进行管理和效果评估。这样做不仅有利于化解风险,即使发现并纠正偏差,同时还有利于高效管理、统一调动企业资源,确保研发过程顺利并取得预想效果。
二、注重风险管理的组织体系和相关制度的完善。
有效的风险管理是在一定的组织体系框架内依照相关制度来具体实施的。这就需要国有企业具备完善的法人治理结构,加强董事会和风险管理职能部门的建设。公司法人治理结构是现代企业制度的核心,而董事会的建设又是重中之重。法人治理结构的完善是加强风险管理的一个最有效的途径。首先完整的法人治理结构本身就减小了企业运营决策过程中由于体制不健全造成的盲目性和投机行为。再有,在董事会层面增加了风险管理职能,在行政部门中设立各职能部室针对企业风险开展专项管理,一般包括:规划发展部、审计部、财务部、法务部等主要职能部门。这样的组织架构,从董事会层面强化了对风险管理工作的实施力度,通过职能部室的职责划分有利于企业风险管理的专业化。而且清晰的职责也最大程度的避免了企业各项职能管理之间的冲突,降低了沟通和协调的成本投入。
三、 定期开展风险管理的论证工作。
在董事会的领导下,成立风险管理论证小组专门负责明确各部门在风险管理中具体的职责,协调工作中所产生的问题;对新出现的风险进行评估论证,制定专门的管理方案,并监督责任部门具体实施。河北钢铁集团下属的某家钢铁公司,在风险管理过程中,采用督办方式:由风险管理论证小组对风险管理的职责进行明确,重大风险管理以书面形式下发《风险管理督办卡》责成责任部门专项督办,定期汇报督办结果;同时将督办过程中的资料收集整理,总结出一套较为完整的管理方法并推广使用。
四、 制定相关的管理制度,实行分级管理
企业风险管理制度使得企业风险管理工作有章可循。企业通过高层会议制定风险管理办法的总纲领,之后由各职能部室在总纲领的指导下分别制定本部室的相关制度和规定,按照此方法,其下属各单位再制定本单位的相关办法。由此一来便形成了纵向的风险管理体系:自上而下的层层管理和监督执行,自下而上的逐级汇报。每个层级都行使不同的管理权限,将企业风险化整为零,为风险管理制度化、流程化和规范化提供了必要的保障。
五、 建立企业内部管控体系
企业的内部控制体系是风险管理的核心部分,关系到风险管理措施的具体实施和落地。有效地内部管控体系是保障企业稳健运行、防范经营风险的必要条件。企业的内部管控体系一般从内部环境、风险评估、控制活动、信息沟通和内部监督等方面进行管理。在内部环境方面:主要是完善法人治理结构、负责执行内部审计和监察,明确权责和业务流程;风险评估方面,主要是通过建立风险评估机制来识别和应对企业遇到的经营风险;控制活动方面:通过企业的控制措施将风险控制在可承受的范围内,并组织有效的实施管理;信息沟通方面:通过良好的内部沟通平台加强企业横向、纵向的沟通效果,及时发现并解决存在的矛盾,有效的反馈结果,保证管理过程中的意见统一、执行步调一致;内部监督方面:建立独立的监察部门,按照内部监督程序和要求开展日常内部监督、审计监察工作,保证企业领导干部队伍的廉洁自律、运行机制的科学有效。
通过以上几个方面的论述,为国有企业风险管理提出了明确的方法和目标,在未来的风险过程中需要企业领导者和员工充分的投入到管理实践中来,不断地积累经验,完善风险管理体系和方法,将国有企业的风险管理水平推上一个新的台阶。
企业风险管理与内部控制管理。搜索关注 金财时代大讲堂 公众号 在线老板财税知识学习平台 点击 在线学习 即可观看更多老板财税知识在线视频 只讲老板听得懂的财税干货。