企业风险管理与内部控制一体化管理体系构建
2022-12-21汪滢
汪滢
中化石油销售有限公司
伴随着我国经济的快速发展,国内企业发展带来了良好的机遇,但也面临着新的不确定性挑战,企业可能因风险管理不到位而陷入经营危机。全面推进风险管理、内部控制向体系化、规范化、高效化发展,构建风险管理与内部控制整合管理体系是企业风险管理的必然趋势。
一、风险管理与内部控制的区别与联系
2006年,国资委出台《中央企业全面风险管理指引》,其中对企业风险的定义是“未来的不确定性对企业实现其经营目标的影响”,由此看来,风险的本质是不确定性,同时与企业目标有较强的关联性。由此看来,风险在企业运营中客观存在,可以来自企业的外部环境、战略决策以及日常经营。2008年,财政部等五部委联合发布《企业内部控制基本规范》中所指内部控制是“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”。内部控制落脚点在对企业内部可控风险的控制的过程,关注过程的实施和执行。企业可以通过加强内部控制,提高自身的确定性以应对外部的不确定性。但企业经营还面临很多外部风险,这些风险并不能依靠内部控制予以管控,因此可以说,内部控制属于风险管理的范畴,且属于风险管理的必要环节,二者在企业经营管理过程中需要整合同步推动,才能确保企业减少风险、增加机会、提升绩效。
2019年国资委印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》,提出“建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系。”这是国内首次在监管层面提出将内控、风险、合规有机结合,并强调实现“强内控、防风险、促合规”的管控目标,形成全面、全员、全过程、全体系的风险防控机制。由此可见,企业需要将风险管理嵌入内部控制流程中,并将内部控制融入风险管理框架中,构建风险管理与内部控制一体化的风险管控体系。
二、风险管理与内部控制一体化体系构建方法
近年来,随着企业风险管理理论与实践的不断发展,企业风险管理架构已初步成型。构建风险管理与内部控制一体化体系也需要从组织、职责、制度上搭建风险管理的闭环机制,通过识别发现风险隐患、分析研判风险成因、预测风险发生可能性、评估风险影响程度到制定风险应对策略与监控风险变化情况,直至将风险控制在可承受的范围,实现对企业风险的可知、可控、可承受、可管理。
(一)风险管理目标设定是体系构建的基本前提
企业经营的目标是价值创造与价值实现,提高企业运营效率、确保企业合法合规经营都是企业价值目标达成的基本前提。企业中,无论是规划、组织、资源、绩效,都需服务于企业价值增长,风险管理也不例外。托马斯·斯图尔特指出企业风险管理的基本使命是损失最小化管理、不确定性管理与绩效最优化管理。风险管理目标设定的难点就在于“损失最小化、绩效最优化及不确定性管理”之间的平衡,一味地追求损失最小化,将风险降至零,往往会使企业丧失不确定性带来的价值增长[1]。由此可见,企业风险管理的目标是需要将风险控制在企业可接受的范围内(风险偏好设定)。当企业面对任何风险时,均能按照预先设定的各种方案,以最小的代价达到管理风险的最大获益,从而保障企业经营的安全,就可以说企业风险管理的目标基本实现了。
企业风险管理目标除经济合理外,风险管理目标还要涵盖收益稳定的内容,稳定的收益意味着企业的正常发展,优秀的企业管理者追求的目标往往是企业持续稳健的经营,而非为了追求高收益而同时承担高风险的目标。为了达到收益稳定目标,企业需要更多地使用保险、套期保值等风险转移对冲的手段,以此获得风险发生后的补偿。
(二)风险识别是体系构建的基础
风险识别是企业风险管理的基础,无法准确识别风险是企业经营的最大风险。《中央企业全面风险管理指引》把企业风险分为战略风险、市场风险、财务风险、法律风险、运营风险五大类。首先,针对不同类别的风险,我们会采用不同的风险识别方法。对于战略风险识别,要结合企业战略目标与绩效,收集企业与同行业其他企业的风险信息,基于对战略目标的剖析与分解,运用情景分析法、因果分析法,辨识影响企业战略目标实现的风险事件。市场风险指未来市场价格、供需、竞争者等不确定性因素对企业绩效目标产生的影响。市场风险的核心是价格风险,市场风险识别需要围绕价格、供需及竞争者的情况,采用PEST分析、对标分析等方法,分析风险的特征和成因,预测风险影响,并预估应对风险所应付出的相应成本。其次,风险识别要以业务流程为支撑。财务风险、法律风险、运营风险是围绕风险管理对象,在企业各项业务经营管理活动中产生的不确定因素对企业的影响。由此可见,财务、法律、运营风险识别需要与企业流程梳理相结合,在企业流程梳理过程中,分析评估流程中关键管理环节,以此推出流程的关键风险点,加之后续开展的风险评估、风险应对和风险监控的风险管理过程,通过基于业务流程的风险防范,实现对企业各经营管理事项的安全管控。
(三)风险评估是体系构建的纽带
风险评估是依据定性、定量的方法评估风险对目标的影响程度,并根据评估结果进行分级排序。风险评估一般从发生可能性、影响程度、风险承受度三个维度进行评估。发生可能性是对未来风险发生的概率的预测,往往是以企业历史数据为根据,叠加趋势分析,预估风险发生概率。单纯地从损失角度评估风险,掩盖了风险与收益匹配的属性,需要从损失、收益两个方向评估风险对目标实现的影响,且影响方向往往并不是单一的,而是在两侧叠加产生。确定影响方向后,还需要评估风险可能造成影响的大小,影响大小与持续时间、冲击速度相关,特别是在黑天鹅、灰犀牛事件频发的时代,风险的急速冲击往往会对企业造成颠覆性的影响[2]。风险承受度指企业应对风险的准备程度,风险承受度与企业管理成熟度相关,管理成熟度越高,风险承受度越强,风险对企业造成的影响越可控。风险评估可以通过资料分析、调查问卷、访谈、专家意见、头脑风暴等方法,对识别出的风险进行分级排序,根据风险排序,确定企业重大风险点。
(四)风险应对是体系构建的核心
风险应对是指企业在风险识别、评估的基础上,为风险选择最有效的策略或策略组合,以期达到将风险化解或转化为收益的目标。企业需研判外部环境、结合自身条件,依据企业战略目标、经营目标确定风险偏好、设置风险容忍度阈值,同时,针对识别的具体风险点选择风险规避、风险转移、风险对冲、风险控制、风险承担等适合的风险管理工具。
风险规避是指企业为了避免风险可能导致的负面影响而彻底消除风险,可以包括:调整企业战略、停止高风险的经营活动,审查投资方案、避免高风险的投资项目,制定企业限制性制度和标准、阻止高风险的交易行为等。风险转移是企业将风险及其可能造成的损失转移给其他主体的方法。风险转移的最常见方式是保险,企业通过购买特定的保险产品,将风险转移给保险公司,而企业管理风险的成本是所缴纳的保险费。企业也可以通过订立经济合同的方式转移风险,将企业在交易链条中需要承担的风险,以合同背对背的形式转移给交易链中的另一方。风险对冲是应对市场风险的最有效的工具,是指通过购买与资产收益波动负相关的某种资产或衍生商品,来冲销资产潜在的风险损失。风险对冲常见的手段包括套期保值、多种外币结算、资产组合等,同时,企业也可以通过开展某些收益负相关性质的业务组合进行风险对冲[3]。
(五)风险监控确保了体系构建的闭环管理
企业虽建立了风险应对机制,但风险在经营管理过程中还可能会增大或衰退,因此,需要时刻监控风险的发展与变化情况,并随着风险的变化重新识别、评估、应对,以实现对风险的闭环管理。风险监控的对象包括风险成因与影响程度变化,这些变化往往会在企业经营指标上有所体现。风险监控的第一步是确定监控指标,围绕企业核心业务、重要经营指标,选取发生可能性高、影响程度大的风险点,对应风险点确定可量化、具有预先性的风险监控指标,将风险变化转化为可量化的指标数据,并定期动态监控风险指标的变化情况。第二步是确定预警区间,对标行业标杆值、企业历史经营数据均值,结合企业风险承受度确定风险预警区间,监控过程中发现触发预警条件或事件时,需及时向风险主责部门、管理层发出预警信息。最后,需要明确风险监控及预警的机制,风险监控情况需定期报告,且对不同的预警区间制定不同的应对及上报机制。
三、风险管理与内部控制一体化体系构建策略
企业风险管理需匹配战略与经营实际,基于法人治理结构,自上而下地搭建全面、全员、全过程、全体系的一体化风险防控体系。企业需要依据自身风险偏好、风险承受度,将设定好的风险管理流程融入经营与业务管理的各个环节,调动全员参与、核心业务链条全面覆盖、落实事前事中事后全过程管控风险,实现防控风险、降低损失、保证企业健康高效运行的风险管理目标。
(一)构建全员参与的风险管控组织体系
董事层是企业经营和管理的最高权力机构,在企业风险管理体系构建中具有核心地位。董事层承担企业风险管理的决策责任,在制定企业战略目标的同时确定企业风险偏好及风险容忍度。由董事层组建风险管理专业委员会,专门负责企业风险管理工作,负责培育企业风险管理文化、确定企业风险管理工作战略及目标、指导各业务领域风险管理工作,确保风险管理融入业务管理体系。企业各业务领域的主要管理者,是所负责领域风险管理的第一责任人,负责将风险管理与业务紧密结合,在业务规划中识别和评估风险,在业务开展中执行风险管理策略,并在日常运作中监控风险策略的有效性,确保将风险控制在可接受范围内。同时,企业应设立专门风险管理部门,由专业风险管理人员统筹管理企业风险体系建设,风险管理人员的定位应是“教练员”而非“裁判员”,以企业整体价值为出发点,及时发现风险隐患,提供专业风险解决方案,跟进风险策略落地,落实风险闭环管理,成为“业务身边的合作伙伴,值得信赖的风控专家”。企业从决策层到执行层构建完整的风险管理组织架构,将风险管理职责赋予核心业务、支持职能以及监督职能,从而为实现企业风险管理目标提供有效的组织保障。
(二)营造全员、全面风险管理文化氛围
企业风险管理体系建设需要全面、全员、全过程、全体系的实施,那么就需要在企业内部营造统一的风险管理文化氛围,包括统一的风险管理思想、理念与语言。风险管理文化建设的核心是精神文化,具体包括三个层次:一是树立“风险无处不在、无时不在”的危机意识;二是形成“风险蕴含机遇”的前瞻性危机观念;三是构建“逆向思维、超前防范、综合管理、分而治之”的系统性风险思维。风险管理文化的外在表现是企业的风险偏好与风险承受度,不同的风险文化将会带来不同的风险管理目标、风险评估结果乃至风险应对策略。由企业风险管理部门统筹开展年度风险评估工作、制定动态的风险监控预警机制、强化风险案例的警示宣贯,组织企业全员、全层级参与风险管理工作,形成企业内部统一的风险理解与认识,引导员工树立正确的企业风险观念[4]。
(三)运用数字化手段建立风险管理信息系统
不确定性的实质就是一种信息不完全状态,其中包括企业所面对的外部风险与自身风险因素等。企业风险管理的核心一方面是预测不确定性发生的可能,另一方面是降低不确定性发生带来的负面影响或扩大不确定性带来的机会。企业经营过程中积累的行业、市场、相关方以及经营数据等信息,在风险决策与管理中具有很高的应用价值。利用企业已有信息建立数据库,运用数字化与信息化的手段,建立风险管理信息系统,实时收集、分析、评估、判别企业有关风险管理信息,从而帮助企业进行风险分析、评估、监控、预警,并利用已有数据预测风险管理人员提出的各种可供选择方案的可能结果,并辅助选择出最优风险管控策略[5]。风险管理信息系统可以减少的不是损失的不确定性,而是减少做出的有关决策的不确定性,以此提高风险策略的效率与效果,降低风险管理成本,提高风险管理的技术水平,增加企业对风险的及时应变能力。
四、结语
在市场竞争日益激烈的今天,风险管理与内部控制体系的全面构建及有效执行是企业保持高效运行的关键所在。随着国家法律法规、市场、行业的变化与调整,风险管理既满足企业发展的内生需要,也使得企业可以适应波谲云诡的外部环境。企业只有对风险管理与内部控制体系不断研究、持续调整优化,运用科学的风险管理体系构建的方法与策略,统筹资源、统一领导,方能提升企业防范化解重大风险能力,为企业高质量发展保驾护航。