风险管理的定义
企业风险管理是由企业董事会、管理层及其他人员实施,在战略制定过程中和整个企业中予以采用的一个过程,它旨在识别可能会对企业产生影响的潜在事件,把风险控制在企业的承受能力之内,并为实现企业目标提供合理保证。从定义中不难看出,风险管理是管理者对企业管理的一个过程,而不是简单的建章立制。
以下是我对企业风险方法的理解:
制定风险管理的目标&建立基础
风险管理实际上就是对企业战略目标的管理,同时战略目标可以分为经营目标、报告目标和合规目标。经营目标包括财务指标、市场、产品等因素;报告目标是指各种内、外部报告;合规目标是指法律法规和监管条例;所以,我认为风险管理实际上就是对企业发展环境、管理层人员、基层人员、内部制度等全方位的管理。
风险评估
首先要找出问题,通过开会讨论、业务流程分析、员工问卷调查等方式,发现风险,确定风险出处(环境风险或流程风险),并从金额和可能性上判断风险严重性。
制定风险管理策略
根据评估后的风险制定风险管理策略,即风险对策,其分为风险回避、风险降低、风险分担和风险承担四种。管理者应根据风险情况对四种风险对策进行评估,通过评估风险对策对风险可能性和影响度的影响、衡量风险对策的成本和收益、留意风险对策可能带来的机遇三方面的综合考虑,选择恰当的风险对策。
设计/实施内部控制流程
当最终风险对策出台后,管理层应该开发出一套操作计划,来保证该对策方案的执行,为保证这些方案的执行,就需要设计/实施内部控制流程。
评价内部控制流程
随着内部控制流程的实施,管理层会发现剩余风险的存在,这种剩余风险是不可避免的,不但是由于受到资源的限制,还有受到未来固有不定因素和公司各个层面活动中不定因素的影响。这时候就需要对之前设计的内部控制流程进行重新评价。
监控、持续改善
对重新评价后的内部控制流程进行改善,并在实施中,再次关注剩余风险,如此循环,完善该流程。
风险管理的局限性
虽然通过风险管理可以降低企业风险,但其也具有一定的局限性,具体表现在其无法准确的预测未来、某些特定事件完全在管理层的控制之外、对于确定的目标不能提供绝对的保证、现代企业的复杂性、无法度量、识别所有的风险、个人行为和人为错误都存在不确定因素等方面。局限风险管理的因素有五个:其一为判断,企业风险管理的效力受经营决策中人为过失的限制;其二为分类过细,设计良好的企业风险管理可以被细分,但是员工可能会误解过于细分的指示,做出错误的判断或由于疏忽导致错误;其三为共谋,两个或两个以上员工的共谋活动会导致企业风险管理的失败,共谋犯罪或隐瞒活动有可能以风险管理程序不可辨别的方式更改财务数据或其他管理信息;其四为成本收益分析,资源是稀缺的,所以在决策时必须要考虑相关的成本和收益,从成本分析来看,存在难以量化与特定的内部环境因素相关的成本或某一外部信息成本的问题,从收益分析看,可能存在主观评价,如难以量化对某些风险采取措施后所取得的收益;其五为管理层凌驾,主要是指为达到违法目的而支配或不执行已制定的政策或程序,管理层凌驾不应与管理层干涉相混淆,管理层干涉有必要存在于处理不合规定的交易的处理程序之中,且干涉行为是对外披露的和有文件记录的,而凌驾行为则有意隐瞒其活动。总而言之,风险管理可提供合理的保证,但无法提供绝对的保证。
实务操作中应该避免的重大误区
误区一:不良的治理机制及“管理层态度”
有效的治理机制和管理层态度有助提高信息的透明度、促进公开坦承的沟通,并推动持续改进。这些都是风险管理得以有效执行的先决条件。如果领导不力,即便拥有最强的风险管理能力,也无用武之地。
说明在企业中,一定要建立起全方位的风险管理机制和沟通机制。
误区二:轻率的风险承担态度
在增长迅猛且市场利好的时期,更应以审慎的态度来承担风险,这是企业必须时刻牢记的法则。尽管胜任人员是企业发展、风险管理中的关键因素,但如果管理层对他们过度依赖且没有施以任何的限制、相互制约,又没有制定独立的监察和报告机制,那么这种轻率的态度就等同于管理层对相关举措所引致的固有风险毫无了解。
对企业中所有问题持怀疑和重视的态度,在内控流程趋于完善的前提下,用流程去考验它。
误区三:企业风险管理实施无效
大多数企业的风险管理实施工作缺乏重点、资源短缺、定位过低,以至于无法明确相关的责任关系。该误区带来的短期后果是企业风险管理工作无法从一而终,公司为清晰有关目标进行无休止的讨论。从长远的角度,风险管理工作将因此永远无法提升到战略层面,只是在组织内由各个职能部门单独进行。
须重视风险管理,并且在日常风险管理的工作中,有重点、认真的推进。
误区四:未建立风险评估流程、或风险评估流程欠缺成效或效率
若风险评估活动不能有效地或者快速的识别关键风险,即表明存在该误区。管理层在将风险评估识别的问题转化为可实施的步骤,并将其纳入公司业务计划时,常常会碰到无法明确相关责任人的问题。这样的一种情况,意味着企业实施的不是企业风险管理而是企业清单管理,因为在企业风险评估完成后,除了将风险清单分发给相关责任人之外,并未能采取进一步应对措施。
切忌走形式主义,应对风险评估出来的问题加以尽快解决。
误区五:沦为“从众心理”的牺牲品
由于“从众心理”的影响而跟风,且不清楚自己企业所承担的风险是否已经达致无法接受的水平,最终将导致恶劣的后果。
管理层应尽可能全面的考虑问题,实事求是。
误区六:错误理解“无法衡量便无法管理”的观点
有一种普遍观点认为,无法衡量的风险便无法管理。尽管这种观点在很大程度上是正确的,但很多管理人员将其作为疏于管理难以衡量风险的借口。风险并不因为无法衡量而消失不见,如果企业对于那些无法衡量的风险放弃管理,这极有可能导致决策者忽略掉一些重要的问题。
应认真对待风险,如无法解决问题,则做到尽量降低其带来的影响。
误区七:接受高风险领域欠缺透明度的现实
决策时缺乏相关信息,将令管理层无法了解公司的真实情况,更无法预测将来会发生的事情。而交易的复杂性和波动性又会进一步加大管理层在进行决策时对全局的了解和把握。因此,高级管理层的首要任务应该是在企业内部建立一种风险意识,并创建一种公开的、积极地风险和风险管理文化。在这种环境下,每一个人都可以大胆的提出任何问题,而不用担心遭到报复或者其事业和薪酬受到负面影响。
建立积极地风险管理文化,加大风险信息来源的范围。
误区八:未将风险管理纳入战略制定和绩效管理流程
通常,人们只是在战略制定完成之后才想起风险,在这种情况下制定的战略目标可能会不切实际,风险管理业将沦落为绩效管理的一个附属品。
应将战略制定与风险管理相结合。
误区九:忽视智能失效及企业文化中的“盲点”
企业文化对于组织防范不可接受风险事件的能力,以及在多变的市场环境下识别风险的能力,均有着十分重大的影响。公司应该开始考虑公开、透明和问责的问题,并在日后进行不断的完善。
建立良好的企业文化,利于企业风险管理。
误区十:董事会未能及时参与决策
董事会在许多问题上普遍缺乏及时参与决策,例如,关于管理层的风险偏好,以及企业战略和业务计划中存在的固有风险等问题。
董事会应加强对公司业务及管理层的了解。
总之,通过风险管理,可以规避企业在法律,财务、社会责任、投资等各方面的的风险,减少企业非正常情况下的损失,保持稳定持续的经营活动。