全面风险管理
出自 MBA智库百科(https://wiki.mbalib.com/)
全面风险管理(Comprehensive Risk Management)
目录 |
所谓全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
全面风险管理是一个全新的概念,目前主要应用于企业管理领域,所以以下都围绕企业管理进行阐述。这里的定义是参照了国有资产监督管理委员会2006年6月发布的《中央企业全面风险管理指引》。
全面风险管理的发展与应用状况[1]
很早以前就出现具有一定整体风险管理思想的应用实践。例如,早在1979年XL环境有限公司曾就化学业提出了一套综合风险管理方案,不过那只是将几种不同的可保风险加以综合考虑,提供一些新型的保险品种或风险管理方案。XL环境有限公司是一家资本供给公司,客户是化学产品制造商和销售商。其客户面临的主要风险暴露有:生产过程中因化学要素污染环境而产生的责任赔付和销售过程中可能出现的产品责任。这些风险暴露的发生都将削弱公司的盈利能力,影响到还款能力。为此,XL环境有限公司通过它的保险操作部门为这些化学制造商和销售商客户提供了一套综合性的风险管理方案,涉及保险、风险控制和索赔管理,它为客户提供的保险与保险公司提供的标准保险所设定的保险责任范围有很大区别,在其保单中,保障范围不但包括环境污染责任损失,也包括产品销售过程中的产品责任损失。
到了20世纪90年代,在世界经济快速发展,在自然灾害给人类带来频繁冲击的环境和状态下,整体风险管理思想一经提出就立即受到企业各界人士的青睐,专家和学者开始着手探讨具体实施的方法和技术,许多金融机构着手将这一思想应用于自己实际的风险管理活动中。IRM的研究和实践主要以纯粹风险和投机风险的相互关联为出发点,其过程则是从局部向着整体方向的发展,例如,先从几种重要风险的综合管理开始,然后逐渐过渡到真正意义上的整体风险管理实践;将金融风险管理的理论和方法(如金融工程)逐渐推广到既包含纯粹风险又包含金融风险的情形。
整体风险管理方式作为一种内部管理整合方式已经在许多大型企业推广应用,尤其是银行和保险公司应用最为普遍。那些初步实施了整体风险管理方案的企业已经获得了成效和收益,大大提高了企业竞争力。
整体风险管理方式应用最为普遍的是银行业,整体风险管理产品出现最多的是保险业,其次是证券业和银行,其他应用比较广泛的领域有政府部门在生态管理、宏观经济管理、行业管理的政策研究方面。
较多的要算银行业。已有的成果有:将银行业的信用风险的管理与其他金融风险的管理相整合;银行的资产负债管理与企业经营风险管理相整合。例如,早在1999年,Piraeu银行集团就开发和使用了整体风险管理方案,将资产负债管理与企业经营风险管理整合为一个部门,使用整合的计算机信息系统,提供融合资产负债管理与企业经营风险管理的报告。该集团又于2001年将资产负债管理和市场风险、信用风险管理相整合。另外,一些金融服务机构正在开发和利用IRM这巨大的潜在市场;许多保险公司也在开发和使用将负债管理与资产管理相结合的信息系统软件;更多的保险公司对IRM及其软件包产生了浓厚的兴趣和使用愿望。
信用风险是银行的最重要风险之一,也是一种可保风险。现在越来越多的银行放弃传统的信用保险而转向使用IRM的方式将信用风险与金融衍生工具相结合,将信用风险通过资本市场进行分散和转移。
(一)在负债业务方面运用整体风险管理思想
现在保险公司新发行的许多保单都是将多种可保风险甚至是传统不可保风险如利率风险等金融风险捆绑在一起,提供更大范围的保障而且保费更为低廉。例如,综合型保单、组合型保单、一揽子保单就是将许多不同的风险类型集中在同一张保单里,为所承保的每类风险损失的自留额之上提供一个总保障额。1997年Honeywell公司开创的一种保单同时为四种风险(财产、责任、董事和高级职员责任和汇率波动)提供保障,其中包含一种金融风险——汇率风险。这是一种将纯粹风险和投机风险相结合的保单例子。
(二)在资产负债管理中运用整体风险管理思想
保险人不但在承保业务中面临入不敷出的问题,所持有的资产,如债权、股票、不动产等,也面临价值贬值的风险。保险人所面I临的整体风险取决于资产组合和负债组合的风险的综合效应。设想一下,如果保险人承保的保单持有人出现了超乎意料的索赔,同时股票市场暴跌,所拥有的股票资产在大量缩水,保险人的处境会怎么样?显然保险人将进入一种“雪上加霜”的境地。反过来,如果保险人承保的保单持有人出现了超乎意料的索赔,但是由于金融市场的价格状态使保险人拥有的资产大幅度升值,那么,保险人的资产就起到了“雪中送炭”的作用,保险人能顺利渡过超常赔付的难关。
保险人运用整体风险管理来进行资产负债管理的途径之一就是利用保险风险与金融风险相互关联、此消彼长的性质,以降低风险损失的波动性,争取稳定的利润。
这种思路的典型应用就是,保险人在承保了农作物(如大麦)遭受自然灾害的保险的同时适当进行一些农作物方面的期货或期权投资。例如,当某个保险人承保了某家大型农场的农作物保险,这家农场主要生产大麦,风险因素是恶劣天气(如严重干旱)或过多雨水造成农作物歉收所带来的损失。该保险人可以投资于一定的大麦期货或者大麦看涨期权来降低自己的风险程度。当恶劣天气真的发生,大麦的市场价格也可能大幅上涨。因此,一方面保险公司不得不进行巨额赔付以弥补农场歉收的损失,另一方面期货或期权价格将上涨,由此带来额外收益可在一定程度上弥补保险赔偿的损失。
(三)在财务管理中运用整体风险管理思想
保险公司利用不同风险此消彼长的性质,将所承保的一些重要风险重新组合或打包,将难以承受的损失部分通过再保险转移出去,以改善财务状况,满足监管要求。如有限风险再保险就是其中一例。
有限风险再保险实际上是再保险合同与融资合同的整合创新形式。与传统再保险不同的是,在有限风险再保险期间,原保险人与再保险人会共同设立一个经验账户或称风险管理基金来管理承保期间的承保风险及其资金运营。这种保险合同一般提供多年期的保障,再保险人仅承担有限风险损失的保障,保障水平一般根据保险期内缴纳和积累的保费水平。再保险分出人和分人人可以共享经营成果。例如,如果保险期内发生保险损失低于所缴纳的保费,或者积累的保费的投资收益较好使基金积累高于损失的总额,分出人还可以获得部分保费的返还。在极端的有限风险再保险保单中,几乎可以不发生任何风险转移,例如当累积的保费等于累积发生的损失额的时候,再保险人只是起到为时间建立了一个风险基金,这时这种再保险单只是一种融资工具。
有限风险再保险合同是一种具备IRM思想的典型方案。首先,这种合同是以解决财务问题为目的的保险方式。财务问题本身是综合了企业各种风险因素之后的结果,因此有限风险再保险合同不是一般的转移单个承保风险的合同,而是解决企业整体风险的解决方案。其次,有限风险再保险合同一般是多年期的合同,其主要风险管理机制是通过再保险期间不同年份承保损失的平滑来分散承保风险和财务风险,换句话说,这种保险是通过多年时间内承保风险的自然规避来达到分散风险的目的。由于有限风险再保险的特殊运作机制,这种保险不但有助于分散原保险公司的承保风险和财务风险,而且还有助于帮助原保险人满足监管要求和进行合理避税,从而有助于原保险人提高盈余、平衡利润、业务扩大、改善投资效益等。这种风险融资方式也用于一般企业,称之为有限风险保单,在这里建立风险基金、提供融资的是保险公司。
(四)其他应用例
如,IRIVI思想在保险公司设计保单方面就有许多的应用。保险人也将这些整体风险管理思想扩展到向客户提供整体性的保障产品。保险人往往针对特别客户的资产与负债特点设计一些特殊保险产品,这些产品将客户面临的一些重要风险捆绑在一起,利用这些风险此消彼长的特点,设计赔付条款和确定保险价格,使得这些产品不同于传统保险产品,它们将以更低廉的价格获得更大范围的保障。多触发型保险合同就是这种典型的新型产品。
以双触发型保险合同为例。这种保险单与传统的保险单的主要差异在于,保险赔付不但取决于保险期内的保险事故是否发生并达到赔付的水平(称为第一种触发器),而且,还取决于另一个特定非保险事件的发生(称为第二触发器)。一般来说,这一特定非保险事件往往与被保人的财务状况紧密相连的指标,如原材料价格、产品价格、利率以及汇率等。也就是说,当被保险人只是遭受了保险风险的冲击,其另一影响财务状况的重要指标没有恶化的表现,保险人不给予赔付;只有被保人处于“屋漏偏逢连夜雨”的时候才给予补偿。这种保单旨在控制企业偿付能力不足的整体风险。
霍尼韦尔公司和米德(Mead)公司通过使用ART产品,即把保险保障与金融风险防范技术结合起来,通过把各种风险捆绑在一起,使风险转移方面的费用节省了大约20%~30%。
早在1997年,加拿大政府就已经将政府部门的整体风险管理呈上了政府议事日程,并开始了在政府各级服务机构推行整体风险管理的研究和实践工作。在加拿大政府报告“theReportoftheIndependentReviewPanelonModernizationofComptrollershipintheGovernmentofCanada(1997)”中,政府强调在政府公共服务部门推行现代化风险管理的重要性;为响应政府的号召,加拿大内阁秘书处的财政部牵头组建了一个关于公共服务部门整体风险管理的研究团队。该团队由联邦机构、教育机构和一些个体研究者构成和参与,开发了一个适应公共服务机构风险管理的整体风险管理框架IRMF(In—tegratedRiskManagementFramework)。
IRMF提倡在联邦公共服务机构内部推行一种系统的、整体化的风险管理方法和体系,强调在公共服务机构内部的风险交流和风险容忍度的重要性。
他们建立IRMF的主要目的是期望:(1)促进各级政府服务部门管口理的创新,以提升公共服务部门的服务功效,保持政府的可信性、可靠性和勤勉印象,使政府行政人员不触犯并能保护公众的兴趣和利益。(2)促进推广应用先进的风险管理思想和方法。IRMF可以为公共服务部门及其工作人员提供一个实践的指南来帮助他们在决策过程中如何识别、评估那些与政策、计划、项目及其操作相关联的重要风险,如何适度有序地管理这些重要风险,从而强化政府的责任和义务。
IRMF有四个要件,以下是这四个要件的基本内容以及实施IRMF期望达到的目标:
(1)描绘机构(或公司)层面的风险图。这一要件的实质就是公司机构层面重要风险的识别与评价,他们期望能获得三个关键成果:①通过对机构内部和外部环境的分析研究,发现机构潜在的威胁和利好机会;②在进行机构层面的风险管理决策规划中,能充分把握和意识到机构目前的风险管理状态,包括挑战、机会、能力、实践经验及其文化氛围;③能绘制机构的风险图,其中包括的重要内容有:关键风险领域、风险容忍度、缓解风险的能力等。
(2)建立一个IRM职能体系。该职能体系达到下面的目标和要求:①是风险管理的指挥中心,能促进机构内有关风险管理政策、操作规则的制定,推动风险管理计划的交流、理解和应用。②能借助和协同现有机构决策机制,包括各级管理部门、明确的责任人以及绩效呈报单位,以促进IRM方案和方法的顺利落实和推行,并借助各种绩效评价方式,如审计部门独立地审核和评估,来对IRM的绩效进行合理评价。③组织和引导开发使用整个机构的ERM能力(包括相应的人力资本和管理工具及过程)培育计划和建设措施,以及时应对不断变化的机构内部及外部环境。
(3)推进IRM的实践。期望IRM的实践具备条件:①各部门所使用的风险管理过程是协调一致的;②能使机构决策及其重要性次序的排定兼顾到各个层次的风险管理实践结果;③辅以决策和与利益关联者(stakeholder)交流所使用的方法和措施具有持续性和稳定性。
(4)促使风险管理机制的不断进步和发展。对于这一要素,IRMF期望获得下面的结果:①从经验教训中学会辨识IRM合适的工作环境;②将学习计划融入机构的风险管理实践过程中;③风险管理的成果能用以推动机构中包括个人、团队的管理的创新、能力培育和不断改进;④做到经验和实践成果能在机构内部以及各级管理层共享。
依据所设定的目标和要求,IRMF详细地给出了公共服务机构的风135口风险管理科学的发展及其整合趋势险管理基本过程和重要环节,并给出了这些环节的一般含义和执行规则。
加拿大政府还将整体风险管理思想应用于“千年虫”的风险控制问题,这些方法的应用已经扩展到了政府在线业务和规划整合管理。
根据SAS软件公司在2006年7月对全世界339家金融机构进行的一项问卷调查(SAS,2006)结果显示,改善企业经营成果并满足监管条件是推动金融机构实施ERM的主要推动力;除此以外,就是改善企业管理绩效、能基于风险进行合理定价、节省分配资本并减少信用风险损失。分析者从所获得的调查结果判断,平均而言,应用ERM系统可以减少资本要求10%。更具体地说,对于一个需要100亿美元资本分配的银行,其中60亿美元被分配给信用风险,那么进行先进的、系统化的ERM管理将可以减少6亿美元的资本分配;按照10%的年度资本回报率计算,银行因此可在一年中净增收益6000美元。
全面风险管理理论的沿革[2]
以KentD.Miller(1992)提出了整合风险管理(Integrated Risk Management)的概念为标志,随后的十多年,其发展可以分为两个阶段。
(一)多学派百家争鸣的阶段(1992~2001)
各个领域的专家学者从自己熟悉的学科出发,讨论和探索类似于整体风险管理的概念,具有代表性的学派如下:
1.整合风险管理(Integrated Risk Management)。工业管理、工程项目管理领域的学者,从控制和组织的角度提出了整合风险管理,认为企业要从整体角度出发分析、识别、评价企业面对的所有风险并实施相应的管理策略。其主要观点在于企业可以根据具体的风险状况,对多种风险管理方式进行整合,强调风险研究范围的扩展。
2.完全风险管理(Total Risk Management)。心理学、社会学和经济学的交叉学者认为,风险管理活动应该涉及三个要素:价格、偏好和概率。价格用来确定因预防各种风险所必须支付的成本;概率用来估计这些风险发生的可能性;偏好用来确定承受风险的能力和意愿及信心度。风险管理必须将三要素综合起来,进行系统和动态的理性决策。
3.综合风险管理(Global Risk Management)。金融机构的学者在对金融机构特别是银行的风险管理实践中,提出了综合风险管理的理论。强调对金融机构面临的风险做出连惯一致、准确和及时的度量;试图建立一种严密的程序,用来分析总的风险在交易过程、资产组合及其他经营活动范围内的分布情况,以及对不同类型的风险应该怎样进行定价和合理配置资本。同时,在金融机构内部建立专门的风险管理部门,致力于防范和化解风险并且消化由此带来的成本。
(二)整体风险管理思想的融合阶段(2001-)
随着对风险和风险管理认识在深度和广度上的拓展,以上理论不再限于各自的原有范畴,各种学说逐渐趋向内涵的融合与统一。北美非寿险精算师协会(CAS)将整体风险管理
定义为:一个对各种来源的风险进行评价、控制、研发、融资、监测的过程,任何行业的企业都可以通过这一过程提升短期或长期的利益相关者价值[5]。这一概念不仅明确了风险管理的价值取向,而且首次将风险管理措施扩展到“研发”、“融资”,反映了风险管理理念的最新成果和较高水平。随后,在内部控制领域具有权威影响的COSO 委员会,于2004 年9月颁布了《整体风险管理——总体框架》报告。报告从内部控制的角度出发,研究了整体风险管理的过程以及实施的要点,是整体风险管理理念在运用上的重大突破。
中央企业要在促进国有经济布局和结构优化方面发挥表率作用,实现国有资本优化配置,充分发挥跨省市经营,产业分布广的优势,就必须逐步建立全面风险管理框架,降低生产经营风险。在中央企业全面风险管理建立和实施的过程中,应该遵循以下原则。
(一)预测先导原则
成功地回避风险,必须建立在对风险发生可能性科学预测的基础上,这就要求在选择具体操作方法时,坚持理论与实际、定性与定量、历史与未来相结合的方法,以确保实施方法的准确性和有效性。
(二)权衡轻重原则
对风险的性质、风险程度做出合理评估,结合企业管理、财务等综合能力,制定风险管理方针和策略。
(三)避免超载原则
国资委或中央企业应对所属企业管理者的风险管理能力进行监控,避免超出其承受能力的经营风险。
(四)成本效益原则
对因进行风险管理而产生的成本及其绩效进行比较,择优采用。如果风险防范成本超出了最终风险可预测损失,那么,该项风险防范措施的效果无疑应该大打折扣。
企业全面风险管理发展趋势[3]
全面风险管理,是指企业围绕总体经营目标。通过在企业管理的各个环节和经营过程中,执行风险管理的基本流程。培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。从而为实现风险管理的总体目标提供合理保证的过程和方法。
从国际上看,许多国家已从制度安排上着手建立以风险容量控制为中枢的相关风险全面管理框架。如美国萨班斯法案的实施。对在美上市公司的治理和管理控制提出了更高的要求,该法案404条款(管理层对内部控制的评价)规定了内部控制方面的要求和内部控制评价报告,这对美国企业内部流程梳理、加强财务投资监管、提高管理透明度等方面产生相当大的影响。2004年,美国著名的反虚假财务报告委员会下属赞助委员会COSO在内部控制框架概念基础上,提出一个概念全新的COSO报告《企业风险管理——总体框架》(简称EBM),使内部控制研究发展到一个新的阶段。COSO委员会提出,企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的各个部门和各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
从国内来看,中央政府已越来越重视风险控制,将风险管理提高到企业管理的重要位置。2006年6月。国务院国资委发布了《中央企业全面风险管理指引》。对中央企业如何开展全面风险管理工作提出了总体原则,并对企业风险管理的基本流程、组织体系、风险评估等方面进行了比较详细的引导。该《指引》的出台,对国有资产的保值增值和企业的健康发展。将起到一定积极作用,为我国企业应对经济全球化挑战和市场经济条件下的内外风险,提供了指南。 2007年3月全国工商联发布《关于指导民营企业加强危机管理工作的若干意见》,指导民营企业增强危机意识,建立防范风险的危机预警机制和用于解决危机的应急处理机制,提高危机防范与危机化解的能力和水平。由此可见,我国在企业全面风险管理方面已经迈出了一大步,已经从初始的意识教育发展阶段上升到具体策划实施的实质性阶段。但是,全面风险管理在我国企业管理中还属于相对薄弱的环节。许多企业缺乏经验,风险意识不强,风险管理手段相对匮乏。因此。广泛开展企业全面风险管理理论与实践研究。积极借鉴国际上企业全面风险管理技术和经验,努力提高我国企业全面风险管理水平,将是我国政府和企业面临的日益紧迫的重要任务。
全面把握企业全面风险管理的基本流程与要求[3]
企业全面风险管理不同于企业个别风险管理。它需要对企业各种风险进行统一、集中的识别、排序和控制,需要建立科学的全面风险管理流程,保证企业全面风险管理工作的有序性和有效性。为了更好地指导企业风险管理工作,《中央企业全面风险管理指引》第五条详细提出了我国中央企业全面风险管理基本流程的主要工作,具体包括:
(一)收集风险管理初始信息
收集风险管理初始信息是企业全面风险管理的首要环节,其目的在于及时发现企业可能面临的各种风险。为企业风险评估提供依据。
不同的风险,源于企业内外不同方面,而且随时随地都有可能发生。因此,收集风险管理初始信息应该贯穿于企业所有的业务单位,并且作为一项经常性工作。它要求企业有效地建立风险信息收集与管理系统,广泛、持续地收集与企业各种风险和风险管理相关的内外初始信息。主要包括与企业战略风险、财务风险、市场风险、运营风险、法律风险相关的国内外宏观经济政策、经济运行情况、产业政策、技术进步与技术政策、市场供给与市场需求变化、竞争对手有关情况、本企业战略与内部条件、有关法律法规等。
(二)进行风险评估
企业风险评估,是对所收集的风险管理初始信息企业各项业务管理及其重要业务流程进行的风险评估,具体包括风险识别、风险分析和风险评价三个步骤,其目的在于查找和描述企业风险,评价所识别出的各种风险对企业实现目标的影响程度和风险价值,给出风险控制的优先次序等。
风险识别、风险分析和风险评价,是一项专业性和组织性很强的管理工作。可以由企业组织有关职能部门和业务单位进行,也可以聘请外部专家乃至有资质、信誉好、专业能力强的中介机构协助进行。但无论如何,都要采取定性与定量相结合的方法,如问卷调查、专家咨询、管理层访谈、集体讨论、情景分析、统计分析、模拟分析等。为了提高风险评估的质量与效率,还要统一制定各种风险度量单位和风险评估模型,要保证风险评估的前提假设、数据来源和评估程序的合理性与准确性。对各类风险之间的相互关系,也要进行必要的相关分析,以便对各种风险进行集中管理。此外,风险评估也是一项经常性工作,需要进行动态管理。
(三)制定风险管理策略
制定风险管理策略,就是根据内外条件,对所识别出的各种风险,按照所给出的优先次序。围绕企业目标与战略,确定风险偏好、风险承受度和风险管理有效性标准,选择适当的风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制等风险管理工具,确定风险管理所需要的人力与物力资源的配置原则。这是风险控制的首要环节,决定着企业风险控制的成本与效率。企业应该定期总结和分析所制定的风险管理策略的合理性和有效性,对不适当的风险管理策略进行及时的修正或调整。
(四)提出和实施风险管理解决方案
提出和实施风险管理解决方案,就是根据所制定的风险管理策略。针对各类风险或各项重大风险制定风险解决方案。这是对风险管理策略的具体落实。一般包括:提出和确定风险解决的具体目标、所需要的组织领导、所涉及的管理与业务流程、所需要的条件、手段以及各种内控制度等,以及风险事件发生之前、之中和之后应该采取的具体应对措施(包括外包方案)以及风险管理工具。
所制定的风险管理解决方案,应该满足合规性要求,同时要注重成本、质量与效率的平衡,坚持经营战略与风险策略、风险控制与运行效率的统一,保护自身商业秘密,防止自身对外包解决方案产生依赖性风险。
(五)风险管理的监督与改进
企业风险管理的重点是对事关企业生存与发展的重大风险的识别、分析与控制。因此,企业应该以重大风险、重大事件、重大决策和重要管理与业务流程为重点,对上述各项风险管理工作实施情况进行监督,并且采取有效的方法对其有效性进行检验。根据监督和检验结果,对所存在的问题或缺陷加以改进。
为了加强风险管理的监督与改进工作,企业应该建立健全风险管理工作自查制度、监督评价制度(包括外部评价制度)、报告制度和信息反馈系统,为改进和有效落实风险管理策略和风险管理解决方案提供保证。
全面风险管理的一般程序包括七个步骤。这七个步骤是:
- 建立综合信息框架;
- 风险评估;
- 制定风险战略;
- 构造风险管理解决方案;
- 实施风险管理解决方案;
- 监控改进风险管理的过程;
- 贯穿于整个风险管理过程中的信息沟通。
说到风险管理,有个概念是必须要提到的,即企业内部控制。在实践中有很多企业不能真正理解全面风险管理与内部控制的区别和联系,要么将两者完全隔离开来,要么只是简单地将它们等同起来。那么它们有什么联系和差异呢?目前国际上基本上是接受了美国COSO(全国虚假财务报告委员会的发起人委员会)2004年发布的《企业风险管理——整合框架》(国内也有译作《全面风险管理框架》的)对两者的阐释。
- 一、按COSO框架,两者的联系为:
(1)全面风险管理涵盖了内部控制。COSO框架中明确地指出全面风险管理体系框架包括内控,将之作为一个子系统。
(2)内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是国内外许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
- 二、内部控制与全面风险管理的差异为:
(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标,而全面风险管理则贯穿于管理过程的各个方面,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
(3)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是现行的内部控制框架所不能做到的。
从国际国内发展趋势来看,随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
- 三、内部控制与全面风险管理的产生和发展
内部控制和风险管理的概念是在实践中逐步产生、发展和完善起来的。
在20世纪30年代,由于受到1929-1933年的世界性经济危机的影响,美国约有40%左右的银行和企业破产,经济倒退了约20年。美国企业为应对经营上的危机,许多大中型企业都在内部设立了保险管理部门,负责安排企业的各种保险项目。可见,当时的内部控制和风险管理主要依赖保险手段。
1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究发表了题为《内部控制,协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,第一次对内部控制做了权威性的定义。1955年,美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。
20世纪70年代中期,作为美国“水门事件”调查结果,立法者和监管团体开始对内部控制问题给以高度重视。为了制止美国公司向外国政府官员行贿,美国国会于1977年通过了“国外腐败实务法案(1977)”。该法案除了反腐败条款外,还包含了要求公司管理层加强会计内部控制的条款。该法案成为美国在公司内部控制方面的第一个法案。1978年,美国执业会计协会下面的柯恩委员会(Cohen Commission)提出报告,一是建议公司管理层在披露财务报表时,提交一份关于内控系统的报告;二是建议外部独立审计师对管理者内控报告提出审计报告。1980年后,内部控制审计的职业标准逐渐成形。而且,这些标准逐渐得到了监管者和立法者的认可。
1970年代以后,随着企业面临的风险复杂多样和风险费用的增加,法国从美国引进了内部控制和风险管理并在法国国内传播开来。与法国同时,日本也开始了风险管理研究。此后20年来,美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会上,世界各国专家学者云集纽约,共同讨论并通过了“101条风险管理准则”,这是风险管理走向实践化的一个重要文件。1992年9月,美国COSO委员会发布了《企业内部控制——整合框架》,这份框架此后被纳入政策和法规之中,并被各国数千家企业用来为实现既定目标所采取的行动加以更好的控制。 1995年由澳大利亚和新西兰联合制订的AS/NZS 4360明确定义了风险管理的标准程序,这就是我们通常说的澳新ERM标准,这标志着第一个国家风险管理标准的诞生。
多年来,人们在风险管理实践中逐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。然而,尽管很多企业意识到全面风险管理,但是对全面风险管理有清晰理解的却不多,已经实施了全面风险管理的企业则更少。但2001年11月的美国安然公司倒闭案和2002年6月的世通公司财务欺诈案,加之其它一系列的会计舞弊事件,促使企业的风险管理问题受到全社会的关注。2002年7月,美国国会通过萨班斯法案(Sarbanes- Oxley法案),要求所有在美国上市的公司必须建立和完善内控体系。萨班斯法案被称为是美国自1934年以来最重要的公司法案,在其影响下,世界各国纷纷出台类似的方案,加强公司治理和内部控制规范,加大信息披露的要求,加强企业全面风险管理。接着在2004年9月,COSO发布《企业风险管理——整合框架》(Enterprise Risk Management — Integrated Framework),该框架拓展了内部控制,更加关注于企业全面风险管理这一更为宽泛的领域,并随之成为世界各国和众多企业广为接受的标准规范。
到目前为止,世界上已有30几个国家和地区,包括所有资本发达国家和地区及一些发展中国家如马来西亚,都发表了对企业的监管条例和公司治理准则。在各国的法律框架下,企业有效的风险管理不再是企业的自发行为,而成为企业经营的合规要求。
- 四、内部控制与全面风险管理运用的一些误区
(1)把内部控制与全面风险管理体系的建设理解为建章立制。其实从 COSO框架的定义中,我们可以看出它们都被明确为是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
(2)内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程,两者在内涵上也有一定重合,企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等,确定选择合适的管理体系和建设重点。比如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。在相关管理理论和实践不断发展变化的今天,有时候先做起来比争论更有意义。
(3)内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望,他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。
(4)内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进,与国内企业原有的管理体系和观点存在较多的差异和差距,目前这些理念和方法还更多的处于导入阶段,大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。这造成了企业在这方面的理解有差异或者关注度不够,除非出现强制性的相关规范和要求。其实这些理念、概念的出现并不是说企业就缺乏这些,事实是理论来源于实践又高于实践,这些理论的提出有助于我们将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。
斯坦福大学研究院提出的是企业全面风险管理(CERM:Comprehensive Enterprises Risk Management)框架。
企业全面风险管理(CERM:Comprehensive Enterprises Risk Management)强调通过量化分析支撑下的决策分析,在决策层面上管控战略方向选择、重大业务决策等方面的风险。相形之下,COSO风险管理框架以内控为中心,强调通过制度、流程和财务等手段,在业务层面上管控运营、操作过程中的风险。它可以在企业整体层面制定风险战略,构建内控体系,完善风险管理制度,优化流程和组织职能,为企业构建风险管理的长效机制,从根本上提升风险管理的效率和效果,最终帮助企业实现风险管理的各项目标,包括:
- 建立包括风险识别、风险测评、风险应对和风险监控在内的企业风险管理体系
- 利用系统的、科学的方法对各类风险进行识别和分析
- 将风险应对措施落实到企业的制度、组织、流程和职能当中
- 形成企业风险管理战略,支持企业经营战略目标的实现
- 使所有企业利益相关人了解企业的风险,满足股东以及监管机构的要求
提高我国企业全面风险管理水平的主要措施[3]
(一)提高企业高层管理者综合素质,增强高层管理者全面风险管理能力。
企业全面风险管理水平,取决于高层管理者的风险偏好、处理风险事件的态度、方法和能力。这就要求企业高层管理者必须拥有专门的风险管理知识、才能和智慧,形成一套系统的风险管理理念,树立科学的风险应对策略观,以确保履行其风险监控责任,引导企业风险管理文化的形成,推动企业风险管理系统的合理构建。与此相适应,在选拔、聘用和考核企业高层管理者时,应该强调其风险意识、风险管理态度与风险管理能力,要从制度设计着手,引导或迫使企业高层管理者不断提高其自身综合素质,增强其全面风险管理能力。
(二)塑造风险管理文化,增强全员风险管理意识。
风险管理是一项全员参与的系统工程,需要以塑造风险管理文化。增强全员风险管理意识为支撑。风险管理文化是企业文化的重要组成部分,其内容主要包括风险管理理念、风险控制行为、风险道德标准和风险管理环境。在风险管理文化建设中。要倡导和强化“全员的风险管理意识”,通过各种途径将风险管理理念传递给每一个员工,并且内化为员工的职业态度和工作习惯;要在企业内部形成风险控制的文化氛围和职业环境。使企业能敏锐地感知风险、分析风险、防范风险。
(三)设立风险管理机构,构筑全面风险管理组织体系。
设立风险管理机构,构筑全面风险管理组织体系,是提高企业风险管理水平的重要保证。主要涉及到:企业法人治理结构、风险管理职能部门、内部审计部门、法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。董事会应该成为企业全面风险管理工作的最高决策者和监督者,就企业全面风险管理的有效性对股东会负责。董事会内部可以设置风险管理委员会,专门研究和制定企业风险管理政策与策略等。经理层应该成为企业全面风险管理政策与策略的执行者,主要负责企业全面风险管理的日常工作。就企业全面风险管理工作的有效性对董事会负责。企业风险管理职能部门等内部有关部门。应该形成各有分工、各司其责、相互联系、相互配合的有机整体。各机构人员应该由熟悉本职工作,能对个案做出风险评估和处理的专家或专门人才组成。根据各企业经营特点,应该确立各部门、各单位风险控制的重点环节和重点对象。制定相应的风险应对方案;监督企业决策层和各部门、各单位的规范运作。风险发生时。风险管理组织系统应该能够全面有效地指导和协调风险应对工作。
2009年中央企业全面风险管理报告(模本)[4]
- 一、2008年度风险管理工作有关情况
(一)简要说明本企业及主要所属企业2008年度企业风险管理工作计划的执行情况。
(二)简要说明2008年本企业管理重大风险的效果,包括在管理机会风险方面所取得的主要成效。
(三)简要说明本企业建立风险事件库的相关情况。
1.企业建立风险事件库,收集整理分析本企业、国内同行业及国外企业发生的风险事件案例的相关情况。
2.根据本企业确定的重大风险损失事件标准,对企业近三年来发生的重大风险损失事件,从发生过程、造成的损失或影响、产生原因、事件的处理以及为防止同类事件再次发生所采取的对策等方面,进行收集整理分析的相关情况。
企业向国资委报送的年度报告中可以仅从分类和数量方面,简要说明建立风险事件库、分析重大风险损失事件的有关情况。
- 二、2009年风险管理工作有关情况
中央企业应高度重视当前及今后一定时期内更加复杂的经济形势对本企业的影响,在进行风险评估、制订重大风险管理策略及解决方案时,更具针对性,确保企业持续稳定健康发展。
(一)企业2009年面临的重大风险。
1.重大风险描述。
说明本企业2009年经风险评估后确定的重大风险(包括纯粹风险和机会风险),并从风险类别、产生原因、涉及的主要所属企业、涉及的重要流程、风险发生后可能给企业带来的影响等方面逐一进行简要描述。
2.其他重要风险描述。
对经评估后确定的其他重要风险(发生概率小,一旦发生将对企业的经营目标产生重大影响的风险),比照对重大风险的相关要求逐一进行简要描述。
3.风险坐标图。
按照发生的可能性及发生后对经营目标的影响程度两个维度,将企业2009年面临的重大风险和其他重要风险绘制成风险坐标图。
(二)重大风险管理基本流程执行情况。
1.风险评估情况。
(1)简要说明企业为开展本年度风险评估,尤其是结合当前经济形势,进一步在战略风险、财务风险、市场风险、运营风险和法律风险等方面收集风险管理初始信息的情况。
(2)简要说明本企业开展2009年风险评估的范围、方式及参与人员等情况。
(3)以附件形式说明本企业在分析风险发生的可能性、风险发生后对经营目标的影响程度时,所采用的评估标准。
(4)简要说明同2008年相比,本企业2009年经风险评估后确定的重大风险的变化情况。
(5)按照风险分类,说明风险评估结果的数量分布情况。
2.重大风险管理策略与解决方案。
(1)以附件形式说明本企业根据自身情况界定的企业重大风险判断标准。
(2)从以下两个方面,逐一简要说明各项重大风险的管理策略和解决方案。
①风险管理策略。包括企业对每一项重大风险的风险偏好、风险承受度及据此确定的风险预警指标等。
②风险解决方案。包括风险事件发生前、中、后拟采取的具体应对措施,所使用的风险管理工具,以及如何抓住重大风险中的机会等。
3.风险管理的监督与改进。
(1)简要说明本企业对执行重大风险管理策略和解决方案的监督机制。
(2)简要说明参与风险管理的各业务单位、职能部门,根据可能发生的变化情况和管理中存在的缺陷,完善和改进重大风险管理的机制。
(三)企业全面风险管理工作总体规划及2009年企业风险管理计划。
1.简要说明本企业全面风险管理工作总体规划。
2.简要说明本企业2009年全面风险管理工作计划。
3.说明董事会或经理办公会议对本企业2009年全面风险管理工作提出的要求。
- 三、企业全面风险管理体系及风险管理文化建设现状
(已提交《2008年中央企业全面风险管理报告》的企业,本部分只需说明有关变动情况。)
(一)风险管理组织体系。
以附件形式说明企业最新的组织结构图(三级公司以上)与风险管理组织机构图。
2.董事会与企业经理层。
设立董事会的企业:
设立风险管理委员会或已确定履行相关职责的专门委员会的,说明该委员会的名称、构成、职责及履职情况;尚未设立的,说明相关工作计划;并说明本企业经理层分工负责风险管理工作的相关情况。
未设立董事会的企业:
说明本企业经理办公会议履行风险管理职责情况及经理层分工负责风险管理工作的相关情况;经理办公会议下设了风险管理机构(如全面风险管理领导小组、风险管理委员会等)的,说明该管理机构的名称、构成、职责及履职情况。
3.风险管理职能部门。
设立风险管理专职部门的,说明该部门的名称、编制、主要职责及人员构成。
确定相关职能部门履行风险管理职责的,说明该部门的名称、风险管理专职或兼职岗位设置、人员配置及主要职责。
4.主要所属企业的风险管理组织体系。
本企业主要所属企业的风险管理组织体系,可比照本节前述2、3的相关要求进行简要说明。
(二)内部控制系统。
1.简要说明本企业及主要所属企业内部控制系统建设现状,包括重要流程的管理、内部控制评价等。
2.已制订《内部控制手册》的企业,简要说明其主要内容及执行情况。
3.简要说明本企业建设内部控制系统的工作计划。
(三)风险管理信息系统。
已建立风险管理信息系统(包括在企业管理信息系统的基础上,进行补充、调整、更新,使之具备风险信息管理功能)的企业,简要说明该系统覆盖的所属企业范围、主要管理及业务流程,监控的重大风险以及对这些风险的预警功能等情况。
(四)风险管理文化。
1.简要说明本企业风险管理文化建设现状。
2.简要说明《风险管理指引》印发以来,本企业开展风险管理培训的有关情况,包括时间、内容、人次及师资等。
3.企业已制定员工行为、道德诚信等有关规定的,简要说明其主要内容。
(五)风险管理与绩效考核。
企业已将风险管理纳入绩效考核体系的,简要说明风险管理考核指标及其权重等情况。
- 四、有关意见和建议
(一)需要国资委协助解决的有关重大风险管理问题。
(二)对国资委推动中央企业全面风险管理工作的建议。
全面风险管理有哪些关键点呢?如何评估