首页 > 报告 文稿 综合
杨有红:强化风险管理 为企业可持续发展保驾护航
2020年03月02日 10:26
杨有红 北京工商大学教授
风险是企业在经营过程中生产目的与劳动成果之间的不确定性。只有加强风险管理,防范化解重大风险,才能为企业的可持续发展保驾护航。
一、企业运营的两大风险
企业风险按内容的不同可以分为:市场风险、产品风险、经营风险、投资风险、政策风险、法律风险等,我们可以将它们分为合规性风险和效益性风险进行分类管理。
(一)合规性风险
合规性风险是指在企业经营过程中,因未能与法律、法规、政策、最佳范例或服务水平协议保持一致而导致受到相关处罚,造成经济或声誉损失,以及其他负面影响的风险。对于合规性风险,企业必须严格按照法律法规和政策的要求,对于已知的违规行为要采取零容忍的态度。
(二)效益性风险
效益性风险是指因技术进步、市场环境或法律法规等因素变化而导致企业无法达到预期效益,或产生重大财务损失的可能性。对于效益性风险,企业应该在能力范围内勇于承担一定的风险,为企业谋取最大化的经济效益。
二、企业风险与错误的区别
两者的区别在于,风险是由于不确定性,可能给企业造成损失;而错误是有意违规,给企业造成损失,属于违法行为。
如果企业经营是依照法律法规进行,但经济业务的复杂性和把握法律法规的准确度出现偏差,使企业受到处罚或遭受损失,这种情况属于合规性风险,不属于有意违法或错误行为。下面举几个例子:
如果企业决策过程中由主要领导一人决定,重大投资事项没有经过规定的可行性研究或可行性论证,没有按照“三重一大”(即“重大事项决策、重要干部任免、重要项目安排、大额资金的使用,必须经集体讨论作出决定”的制度)要求做,导致重大经济损失,这种情况属于有意违规,是错误行为。
如果企业投资项目在投资之前经过了严格的可行性研究,按照“三重一大”的要求进行决策,但由于经济环境的变化、法律法规的变化或者竞争对手的技术变化,使项目不能达到预期效益,这种情况导致的损失是由于风险造成的,而不是由于错误决策造成的。
三、什么是企业风险管理
为了管控合规性风险和效益性风险,企业必须采取风险管理的策略或做法。风险管理是指企业或者项目在肯定存在风险的情况下,把风险可能造成的不良影响减至最低的管理过程。我分以下几点介绍风险管理的定义所涉及的要点:
(一)风险管理是一个过程,其融环境、制度、流程为一体
企业风险管理是一个过程,通过一整套制度贯彻实施。制度的好与坏会产生不同的效果。风险管理在实施过程中,还会受到员工的执行力、风险管控人员的能力、企业经营的环境、领导的重视程度等因素影响。因此,风险管理是一个将环境、制度和流程融为一体的动态管理过程。在这个动态管理过程中,企业要做好环境建设,比如,组织架构的设置、风险管理及相关机构的建立、全员风险意识的培养、领导对风险管理的重视程度等,建立适合本企业的风险管理制度和风险管理流程,只有这样企业风险管理才能取得实质性效果。
(二)风险管理过程贯穿于企业管理的各层面、各单元
一般来说,企业管理分为董事会、经理层、中层职能部门和部门各岗位等四个层面。风险管理贯穿于企业的每个层面。
此外,企业管理由多个单元构成,比如,财务管理单元、行政管理单元、技术管理单元、生产管理单元、营销管理单元、人力资源管理单元等。风险管理不是某一管理单元的职能,而是企业所有管理单元必须履行的职责。
(三)风险管理力求实现一个或多个不同类型,且相互交叉的目标
按照合规性风险和效益性风险,我们可以将风险管理分为合规性目标和效益性目标。这两种目标又可以分别细化为很多具体的目标。比如,合规性目标体现为企业提供的财务报告及相关信息真实可靠,不能存在虚假陈述和重大遗漏;又如,企业要保护资产安全,不能因资产被偷被盗、贪污挪用公款等行为造成资产损失。这些具体目标相互交叉,不是绝然独立的。比如,经营管理违规可能涉及到资产的处置没有按照规定去做,也可能导致财务报表失真。
(四)风险管理过程为实现企业目标提供合理保证
一套严谨的风险管理能为实现企业目标提供合理保证,而不是绝对保证。企业管理的过程十分复杂,一方面,外界因素会不断发生变化;另一方面,管理中难免会出现疏忽发生意外。比如,每一个岗位上的员工都按照风险管理的过程去做,但是某一个环节的员工由于胜任工作的能力有限,对某一问题的判断不准确,从而导致出现损失。
合理保证的另一个含义是,单凭严格科学的风险管理并不能保证企业目标的绝对实现,因为风险管理需要与其他方面的管理相结合,比如,战略管理等。
(五)风险管理过程由人来实施,并需要持续优化
风险管理的制度和流程由各岗位、各层次的员工来实施,良好的风险管控环境很重要。人的行为会导致风险管理出现差错。比如,某一岗位员工执行存在瑕疵的风险管理制度和流程;又如,风险管理的制度和流程没有问题,但管理人员在实施过程中理解存在偏差,这些都是风险管控系统会出现的问题。所以,企业必须持续优化风险管控系统。
我们通过一个例子来理解风险管理的定义所涉及的要点。比如,某企业用闲置的资金投资,如购买股票、债券、基金等,由于投资有风险,所以企业必须建立起严格的风险管理制度和流程。
首先是股东大会或董事会授权,获取授权以后,企业需要建立交易层面的控制制度,这套控制制度要分级授权,做到相互牵制。企业还要建立起交易层面的控制流程,这就需要财务部、投资部、证券期货交易部、内部审计部等多部门相互配合,共同承担风险管理的责任。
对于财务部而言,要在保证资金流动性、安全性的前提下,提供资金额度。财务部门需要考虑两个方面的问题,一方面是资金的流动性,不能影响企业生产经营的资金流动;另一方面是资金的安全性,要保证这笔资金如果投资失败,不会导致企业破产或出现严重的财务危机。
对于投资部而言,主要负责制定投资策略,包括风险管理有效性的标准、风险承受度、股票与债券的投资比例等。投资部从事投资管理,并不直接进行股票、债券、基金交易。比如,企业有八千万的资金额度投资,首先要在风险测算的基础上进行投资组合,股票、债券、基金要按照一定的比例购买,同时,还要规定某一支股票的最高投资额度,这样才能分散投资风险。
对于证券期货交易部而言,在风险管理中主要承担的责任是,按照规定进行投资组合,严格执行每支股票投资额度以及平仓标准,严格执行及时报告制度,把每天的买进卖出和浮动盈亏以及实现盈亏及时报告给相关部门。
对于内部审计部而言,要对交易性证券投资进行审计监督,监督财务部、投资部、证券期货交易部等按照风险管理的制度和流程去做,同时,监督各部门不得越权。
四、企业风险、战略、业绩之间的权衡与协调
企业在风险管理中必须做到风险、战略和业绩三者之间的权衡,同时,也要做好三者之间的协调工作。
企业在经营过程中,要在现有资源约束条件下制定企业战略。企业战略目标是企业的发展方向。企业战略路径是实现企业目标所采取的基本措施。
企业战略目标为企业经营提供了基本框架和商务模式。在战略实施阶段,企业必须做好三方面的工作:一是规划;二是计划;三是预算。这是实现企业战略目标的路径。
比如,美国西南航空公司。该公司属于采取成本领先战略的廉价航空公司。它的战略规划是所有飞机都采购波音737一种机型,这样,飞行员、机械维修师、库存修理用零件等都可以通用,大幅降低航空公司的运行成本。此外,该航空公司的飞机只在机场停留30分钟,大幅减少停留所支付的相关服务费。
除了这些规划以外,还要有具体的方案去落实。比如,企业在经营过程中,每一架飞机日常维修和大修要有一个详细的计划。同时,也要有相应的预算,如飞机日常维修成本费用额度等。只有明确了企业的战略目标、业绩指标,并制定出严格的规划、计划和预算,才能为企业实现业绩提供可靠保证。
在风险管理中,企业可能会遇到目标无法实现或者路径不符合企业现实等情况,这些都是企业在战略决策中要规避的风险。举一个例子,假设某个公司的战略路径是品牌领先或者技术领先,但是预算编的是成本领先,这时预算就无法保证企业战略目标和路径的实现。企业只有制定科学的战略目标和路径,同时制定恰当的风险管理制度和流程,并用规划、计划和预算追踪生产经营过程,通过核算系统获取反馈信息,调整不恰当的做法,这样才能保证企业实现业绩增长。
五、企业风险管控系统的优化循环
企业需要定期对风险管控系统进行评价,发现问题,提出整改措施,从而达到优化的目的。优化管理系统有以下五个步骤:
(一)目标的设定与调整
新的企业在进行风险管理时,要确定风险管控系统包含哪些目标体系;经营多年的企业在优化风险管控系统时,要研究现有目标体系是否需要作出调整。风险是目标实现过程中不利因素所造成的影响,要按照目标来衡量某件事情是否存在风险。所以,目标的设定和调整是风险管理最基本的工作。
(二)环境评估
环境评估是评价内部环境和外部环境发生了哪些变化,是否带来新的风险。
(三)风险识别与分析
风险识别与分析是建立在环境评估的基础之上,对新的风险进行分析。风险管理并不是杜绝所有的风险,有些风险是要绝对避免发生的,有些风险是要勇于承担并加以控制的。所以,企业要对风险的特征进行具体分析:一是分析风险发生的可能性;二是分析风险发生以后对企业造成的影响;三是制定相应的合理控制策略。比如,某一项风险如果发生的可能性极大,对企业造成的损失也极大,对于这样的风险企业应该规避;某一项风险如果发生的可能性极小,一旦发生对企业造成的损失也极小,对于这样的风险需要采取严格的措施加以控制。
(四)进行现有制度的梳理
企业在完成前面三个步骤后,就可以根据情况修订现有的风险管理制度和流程,修改不恰当的控制措施。
(五)风险管理制度的完善
企业制定具体修改方案堵上风险管理的制度漏洞,用新的完善的制度服务于风险管控系统。
六、企业风险管理体系建设应注意的关键问题
(一)从软硬环境进行梳理
1.硬环境
硬环境包括企业的法人治理结构,企业的机构设置、权责分配,企业的人力资源政策以及IT系统等。比如,企业的法人治理结构包括企业的董事会、监事会、经理层等,这些机构的设置是否满足公司治理的要求。
2.软环境
软环境包括风险管理优先的理念,全员的风险防范意识、胜任能力以及员工素质与道德价值观等。
(二)严格按照流程进行风险评估
1.遵循的流程
(1)确定企业的目标
包括两个层面:一是企业层面的目标;二是业务层面的目标。企业层面的目标是站在整体的角度,企业要达到的目标;业务层面的目标是指某个业务部门或某个业务岗位的具体目标。
(2)进行事项识别
风险事项识别要从外部因素和内部因素两方面进行。
(3)进行风险评估
从发生的可能性和可能造成的后果两方面评价风险事项,为制定正确可行的风险应对措施提供依据。
(4)采取风险应对措施
2.需要关注的几个关键问题
(1)目标的制定和分解
在目标的制定和分解中,目标必须数量化、价值化,有可行性。
(2)根据各岗位权责分解落实具体目标
根据企业的战略和目标,制定部门的具体要求,确保企业战略的实施和目标的实现。比如,企业制定适当放宽赊销以及严格赊销应收账款的管理,提高销售收入的战略,财务部门就要按照企业目标确定应收账款的周转速度,优化应收账款的风险管理措施。
(3)事项识别
事项识别分为外部事项识别和内部事项识别。其中,外部事项识别企业可以从国际环境和国内环境两方面进行。
外部事项识别中,国际环境可能遇到的问题有:
第一,世界各国及国际组织法律越来越严,处罚越来越重;
第二,对我国国企的不了解或偏见。
外部事项识别中,国内环境可能遇到的问题有:
第一,业务复杂性不断增强。随着我国科学技术的发展,管理水平的提高和消费者期望值的提高,业务模式的构建越来越复杂,对管理的要求也越来越高。比如,以往药品经销商和医疗器械经销商是分开的,现在是医疗服务综合提供商,这就要求企业精通各个领域,而不仅仅只是销售产品;
第二,法律法规不断完善。近年来我国经济发展迅速,在供给侧结构性改革中法律法规也在不断完善,企业如果不迅速准确地理解新颁布的法律法规,在经营过程中就会出现合规性风险。
内部事项识别中,企业可能遇到的问题有:
第一,风险管理措施不到位。当企业采取一项新的业务或新的商业模式或手段时,新的风险管理措施是否能跟上。比如,企业迫于业绩压力放宽赊销条件,应收账款的风险管理措施如果没跟上,就可能会产生坏账,对企业造成重大损失。
第二,价值观与管理理念是否有助于消除风险隐患。比如,有的员工风险意识淡薄,在销售过程中不断应客户要求扩大赊销,这样会给企业带来很大风险隐患。
第三,高端人才匮乏。有的企业对高端人才的储备缺乏敏锐的判断力。因此,企业在内部环境评估过程中,要不断评估企业人才的质量,以及新的业务和风险管理措施对人才的要求。
(4)风险评估
企业评价一项风险的大小以及应该采取的策略要从两方面评估:一是风险发生的可能性;二是风险发生后的影响。这样才能制定出恰当的风险管理措施。
(5)风险应对
企业识别出风险并对风险进行评估后,接下来要采取风险应对措施。风险应对指在风险评估的基础上,采取风险承受、风险规避、风险降低、风险分担等方法控制风险。企业在实施风险应对措施时,先要判断相应的风险承受度,再选择风险应对措施。
控制风险有以下几种措施:
第一,风险规避策略。企业对超出风险承受度的风险,采取放弃或停止与该风险相关的业务活动,以避免或减轻损失。
第二,风险降低策略。企业在权衡成本效益后,采取适当的控制措施降低或减小风险,将风险控制在承受度内。
第三,风险分担策略。企业采取业务分包、购买保险等方式,将风险控制在风险承受度内。
第四,风险承受策略。企业对承受度内的风险,在权衡成本效益后,不采取控制措施降低风险或减少损失。这是企业在应对发生的可能性极小,以及发生后造成的损失极少或危害极小的风险,所采取的措施。
(6)风险管控
在风险管理过程中,做好各部门的相互协调、信息的相互沟通十分重要,同时,也要做好企业与外界的相互沟通。
内部沟通要做好以下工作:
第一,领导的沟通意愿。各界领导要树立相互沟通、密切合作的典范,使各级员工知道领导有强烈的沟通意愿,起到很好的示范作用。
第二,确保信息传递的真实、全面和及时。在信息传递过程中,尤其是下级向上级领导汇报时,不仅要讲成绩,更应该把存在的风险和危害如实地告诉上级领导,以便于上级机构作出正确决策。
第三,建立信息有效沟通的渠道。当风险事项发生时,各部门要齐心协力,通过信息沟通和交换商量风险应对策略。
第四,保护信息沟通中的保护条款。
外部沟通要做好以下工作:
第一,吸取客户和供应商对产品及服务质量的信息。企业产品质量、服务质量的好与坏主要来自客户判断。企业为了提高竞争力需要不断吸取客户和供应商对产品及服务的信息,以便改进产品和服务。
第二,反馈公司经营人员的不恰当行为。企业在经营过程中,相关人员是否存在危害公司利益的情况,是否存在回扣或商业贿赂的现象,外部沟通是发现和反馈公司经营人员不恰当行为的重要途径。
第三,建立信息收集与分析系统。比如,当竞争对手出现重大技术突破使企业处于竞争劣势时,企业能否收集外部信息,从技术可行性角度把损失降到最小,并在短时间内提升竞争力。
第四,信息沟通中的互信机制。无论是企业与供应商的沟通,还是国际企业与中国企业的相互沟通,都应该秉承相互信任的原则,减少摩擦,共同采取应对危机的措施,提升影响力。
第五,信息沟通中的保密措施。企业在与外界沟通时,既要开诚布公,也要注意信息的保密。沟通人员必须区分开哪些是必须沟通的信息,哪些属于商业秘密,做好商业秘密的保护。
七、企业风险管理评价
企业风险管理评价主要是做好以下两方面的工作:
(一)评价组织体系
评价组织体系建设主要是做好以下工作:
第一,董事会总体负责风险管理自我评价工作;
第二,监事会监督风险管理自我评价工作;
第三,审计与风险管理委员会按照董事会要求,指导风险管理自我评价工作;
第四,董事会办公室组织风险管理自我评价,并进行评价中的协调事宜。由于风险工作的评价是由董事会总体负责的,下属企业或相关部门进行调研和评价时,董事会办公室要做好组织协调工作;
第五,风险评价小组按照规定程序或方法进行风险管理评价。
(二)评价程序
企业风险管理工作评价应按照以下程序进行:
第一,设定评价目标;
第二,建立评价机构。比如,建立评价工作小组等;
第三,制定评价方案。比如,大型企业集团如何评价本部,如何评价下属企业;是分组相互评价,还是自评与集中评价相结合等;
第四,实施现场测评。比如,个别谈话、问卷调查、专题讨论等,也可以采取穿行测试、实地查验、比较分析等方法;
第五,认定控制缺陷。经过几个步骤的测试,判断企业现有风险管控系统存在哪些缺陷,并对缺陷类型进行分类;
第六,汇总评价结果,形成企业内部控制评价报告和风险管理评价报告。报告要按照相关规定报送有关单位或部门。另外,评价报告不仅要指出风险管控系统存在的缺陷或不足,更要提交管理建议书,指出解决缺陷的办法。
总之,通过优化企业的风险管控系统,提高企业风险管理水平,为企业可持续性发展保驾护航。
(根据宣讲家网报告整理编辑,
未经许可,不得印刷、出版,违者追究法律责任)
责任编辑:马中豪
文章来源:http://www.71.cn/2020/0302/1077596.shtml
事业单位标识证书
京公网安备 11010102001556号