企業風險管理
出自 MBA智库百科(https://wiki.mbalib.com/)
全面風險管理(Enterprise Risk Management,ERM)
目錄 |
企業風險管理是企業在實現未來戰略目標的過程中,試圖將各類不確定因素產生的結果控制在預期可接受範圍內的方法和過程,以確保和促進組織的整體利益實現。企業風險管理(ERM)框架是由Treadway委員會所屬的美國虛假財務報告全國委員會的發起組織委員會(COSO)在內部控制框架的基礎上,於2004年9月提出的企業風險管理的整合概念。
ERM是一個由企業的董事會、管理層和其他員工共同參與的,應用於企業戰略制定,用於識別可能對企業造成潛在影響的事項併在其風險偏好範圍內管理風險,為企業目標的實現提供合理保證的過程。
企業風險管理處理影響價值創造或保持的風險和機會,定義如下:
企業風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用於戰略制訂並貫穿於企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,併為主體目標的實現提供合理保證。
這個定義反映了幾個基本概念。企業風險管理是:
- 一個過程,它持續地流動於主體之內;
- 由組織中各個層級的人員實施;
- 應用於戰略制訂;
- 貫穿於企業,在各個層級和單元應用,還包括採取主體層級的風險組合觀;
- 旨在識別一旦發生將會影響主體的潛在事項,並把風險控制在風險容量以內;
- 能夠向一個主體的管理當局和董事會提供合理保證;
- 力求實現一個或多個不同類型但相互交叉的目標。
這個定義比較寬泛。它抓住了對於公司和其他組織如何管理風險至關重要的關鍵概念,為不同組織形式、行業和部門的應用提供了基礎。它直接關註特定主體既定目標的實現,併為界定企業風險管理的有效性提供了依據。
企業風險管理的基礎前提[1]
企業風險管理的基礎性前提是每一個主體的存在都是為它的利益相關者提供價值。所有的主體都面臨不確定性,管理當局所面臨的挑戰就是在為增加利益相關者價值而奮鬥的同時,要確定承受多大的不確定性。不確定性可能會破壞或增加價值,因而它既代表風險,也代表機會。企業風險管理使管理當局能夠有效地應對不確定性以及由此帶來的風險和機會,增進創造價值的能力。
當管理當局通過制訂戰略和目標,力求實現增長和報酬目標以及相關的風險之間的最優平衡,並且在追求所在主體的目標的過程中高效率和有效地調配資源時,價值得以最大化。
企業風險管理的內容[1]
企業風險管理包括:
- 協調風險容量(risk appetite)[2] 與戰略——管理當局在評價備選的戰略、設定相關目標和建立相關風險的管理機制的過程中,需要考慮所在主體的風險容量。
- 增進風險應對決策——企業風險管理為識別和在備選的風險應對——風險迴避、降低、分擔和承受——之間進行選擇提供了嚴密性。
- 識別和管理多重的和貫穿於企業的風險——每一家企業都面臨影響組織的不同部分的一系列風險,企業風險管理有助於有效地應對交互影響,以及整合式地應對多重風險。
- 抓住機會——通過考慮全面範圍內的潛在事項,促使管理當局識別並積極地實現機會。
企業風險管理所固有的這些能力幫助管理當局實現所在主體的業績和贏利目標,防止資源損失。企業風險管理有助於確保有效的報告以及符合法律和法規,還有助於避免對主體聲譽的損害以及由此帶來的後果。總之,企業風險管理不僅幫助一個主體到達期望的目的地,還有助於避開前進途中的隱患和意外。
- 事項——風險與機會
事項可能會帶來負面的影響,也可能會帶來正面的影響,抑或二者兼而有之。帶來負面影響的事項代表風險,它會妨礙價值創造或者破壞現有價值。帶來正面影響的事項可能會抵消負面影響,或者說代表機會。機會是一個事項將會發生並對目標——支持價值創造或保持——的實現產生正面影響的可能性。管理當局把機會反饋到戰略或目標制訂過程中,以便制訂計划去抓住機會。
美國COSO(反欺詐交易委員會)委托普華永道開發《COSO風險管理整合框架》中指出,企業風險管理基本框架包括八個方面內容: 內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通以及監控等8個要素構成。
(一)內部環境
中央企業內部環境是其他所有風險管理要素的基礎,為其他要素提供規則和結構。其中特別是中央企業領導班子的風險偏好,決定了中央企業對可能出現的預料之外的事件的態度,中央企業管理層必須明確戰略及其執行過程中的風險和回報。
(二)目標設定
根據國資委確定的任務或預期,管理層制定企業的戰略目標,選擇戰略並確定其他與之相關的目標併在企業內層層分解和落實。管理層必須首先確定企業的目標,才能夠確定對目標的實現有潛在影響的事項。企業風險管理就是提供給企業管理層一個適當的過程,將目標與企業的任務或預期聯繫在一起,保證制定的目標與企業的風險偏好相一致。
(三)事項識別
企業風險管理要求辨別可能對實現中央企業目標產生負面影響的所有重要情況或事件,事項識別的基礎是將可能的風險與環境進行對比。這要求綜合運用各種專業知識,儘可能地瞭解企業當前或將來的環境和經營情況。
(四)風險評估
一般用可能性(概率)和影響結果兩個指標度量風險。風險評估的過程根據不同的情況,採用定性和定量相結合的方法。若可以獲取充足的數據,可採用決策風險定量評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數據,則可採取定性的評估方法。
(五)風險應對
中央企業要對每一個重要的風險及其對應的回報進行評價和平衡,據平衡的情況採取包括迴避、接受、共擔或降低這些風險。風險應對是中央企業風險管理的整體重要組成部分。
(六)控制活動
控制活動包括在整個組織使用的審核、批准、授權、確認以及對經營績效考核、資產安全管理、不相容職務分離等方法。這是中央企業管理層設計的政策和程式,為執行特定的風險應對措施提供合理保證。
風險信息必須以一定的形式和框架進行交流,使中央企業員工、管理層履行各自的責任。中央企業必須對各種數據和信息流進行加工,形成關於企業風險組合輪廓的統一觀點,以利於交流。通常存在自上而下式、平行式和自下而上式3種有效的交流形式。員工的風險信息交流意識是風險管理環境的重要組成部分,應鼓勵員工就其意識到的重要風險與中央企業管理層進行交流,中央企業管理層應當重視員工的意見。
(八)監控
中央企業應通過持續的監控和獨立的評價活動,監控企業風險管理的有效性。持續監控以日常經營中發生的事件和交易為對象,包括中央企業管理層和專門的監控人員的活動。
企業風險管理的目標[1]
在主體既定的使命或願景(vision)[3]範圍內,管理當局制訂戰略目標、選擇戰略,併在企業內自上而下設定相應的目標。企業風險管理框架力求實現主體的以下四種類型的目標:
- 戰略(strategic)目標——高層次目標,與使命相關聯並支撐其使命;
- 經營(operations)目標——有效和高效率地利用其資源;
- 報告(reporting)目標——報告的可靠性;
- 合規(compliance)目標——符合適用的法律和法規。
對主體目標的這種分類可以使我們關註企業風險管理的不同側面。這些各不相同但卻相互交叉的類別——一個特定的目標可以歸入多個類別,反映了主體的不同需要,而且可能會成為不同管理人員的直接責任。這個分類還有助於區分從每一類目標中能夠期望的是什麼。一些主體採用的另一類目標——保護資源也包含在上述類別之內。
因為有關報告的可靠性和符合法律、法規的目標在主體的控制範圍之內,所以可以期望企業風險管理為實現這些目標提供合理保證。但是,戰略目標和經營目標的實現取決於並不一定總在主體控制範圍之內的外部事項,對於這些目標而言,企業風險管理能夠合理地保證管理當局和起監督作用的董事會及時地瞭解主體朝著實現目標前進的程度。
目標是指一個主體力圖實現什麼,企業風險管理的構成要素則意味著需要什麼來實現它們,二者之間有著直接的關係。這種關係可以通過一個三維矩陣以立方體的形式表示出來。
四種類型的目標——戰略、經營、報告和合規——用垂直方向的欄表示,八個構成要素用水平方向的行表示,而一個主體內的各個單元則用第三個維度表示。這種表示方式使我們既能夠從整體上關註一個主體的企業風險管理,也可以從目標類別、構成要素或主體單元的角度,乃至其中的任何一個分項的角度去加以認識。
- 有效性
認定一個主體的企業風險管理是否“有效”,是在對八個構成要素是否存在和有效運行進行評估的基礎之上所作的判斷。因此,構成要素也是判定企業風險管理有效性的標準。構成要素如果存在並且正常運行,那麼就可能沒有重大缺陷,而風險則可能已經被控制在主體的風險容量範圍之內。
如果確定企業風險管理在所有四類目標上都是有效的,那麼董事會和管理當局就可以合理保證他們瞭解主體實現其戰略和經營目標、主體的報告可靠以及符合適用的法律和法規的程度。
八個構成要素在每個主體中的運行並不是千篇一律的。例如,在中小規模主體中的應用可能不太正式,不太健全。儘管如此,當八個構成要素存在且正常運行時,小規模主體依然會擁有有效的企業風險管理。
- 局 限
儘管企業風險管理帶來了重要的好處,但是仍然存在著局限。除了前面討論過的因素之外,局限還導源於下列現實:人類在決策過程中的判斷可能有紕漏,有關應對風險和建立控制的決策需要考慮相關的成本和效益,類似簡單誤差或錯誤的個人缺失可能會導致故障的發生,控制可能會因為兩個或多個人員的串通而被規避,以及管理當局有能力凌駕於企業風險管理決策之上。這些局限使得董事會和管理當局不可能就主體目標的實現形成絕對的保證。
- 涵蓋內部控制
內部控制是企業風險管理不可分割的一部分。這份企業風險管理框架涵蓋了內部控制,從而構建了一個更強有力的概念和管理工具。內部控制是在《內部控制——整合框架》中加以定義和描述的。由於該框架經受了時間的考驗,並且成為現行規則、法規和法律的基礎,因此那份文件對內部控制的定義和框架依然有效。儘管《內部控制——整合框架》的正文中只有一部分被本框架所引用,但是本框架通過參考的方式把該框架整體融合了進來。
- 職能與責任
主體中的每個人都對企業風險管理負有一定的責任。首席執行官(CEO)負有首要責任,並且應當假設其擁有所有權。其他管理人員支持主體的風險管理理念,促使符合其風險容量,併在各自的責任範圍內依據風險容限去管理風險。風險官、財務官、內部審計師等通常負有關鍵的支持責任。主體中的其他人員負責按照既定的指引和規程去實施企業風險管理。董事會對企業風險管理提供重要的監督,並察覺和認同主體的風險容量。很多外部方面,例如顧客、賣主、商業伙伴、外部審計師、監管者和財務分析師常常提供影響企業風險管理的有用信息,但是他們不但不對主體的企業風險管理的有效性承擔任何責任,而且也不是它的組成部分。
每個企業在經營中都有可能性發生風險,但如何化解和減少風險是企業經營者必須進行研究的,企業的風險管理是一項重要的工作。在企業家的頭腦中首先要明確有哪幾種風險,然後有的放矢地採取措施。只有加強風險意識,進行科學的管理和科學的決策,建立起相應的制度才能避免風險的發生。從目前市場環境來看大致有七種風險,相應採取的措施有:
第一為投資風險。
投資風險是指因投資不當造成投產企業經營的效益不好,投資資本下跌。企業對此應採取:在項目投資前,一定要各職能部門和項目評審組一起進行嚴格的、科學的審查和論證,不能盲目運作。對外資項目更不能作風險承諾,也不能作差額擔保和許諾固定回報率。 第二為經濟合同風險。
經濟合同風險是指企業在履行經濟合同過程中,對方違反合同規定或遇到不可抗力影響,造成本企業的經濟損失。因此,企業在進行經營和產品合同簽訂後的履約及賠償責任問題。合同簽訂後還應密切註視其執行情況,要有遠見地處理隨時發生的變化。
第三為產品市場風險。
產品市場風險是指因市場變化、產品滯銷等原因導致跌價或不能及時賣出自己的產品。產生市場風險的原因有三個:(1)市場銷售不景氣,包括市場疲軟和產品產銷不對路;(2)商品更新換代快,新產品不能及時投放市場;(3)國外進口產品擠占國內市場。
第四為存貨風險。
存貨風險是指因價格變動或過時、自然損耗等損失引起存貨價值減少。這時企業應馬上清理存貨,生產時要控制投入、控制採購、按時產出,加強保管。有些觀念保守的企業擔心存貨貶值,怕影響當前效益,長期不處理,結果造成產品積壓,損失越來越大。
第五為債務風險。
債務風險是指企業舉債不當或舉債後資金使用不當致使企業遭受損失。為了避免企業資產負債,企業應控制負債比率。許多企業因股東投資強度不夠,便以舉債擴大生產經營或盲目擴大徵稅,結果提高資產負債率,造成資金周轉不靈,還會影響正常地還本付息。最有可能導致企業資不抵債而破產。
第六為擔保風險。
擔保風險是指為其他企業的貸款提供擔保,最後因其他企業無力還款而代其償還債務。企業應謹慎辦理擔保業務,嚴格審批手續,一定要完善反擔保手續以避免不必要的損失。
第七為匯率風險。
匯率風險是指企業在經營進出口及其他對外經濟活動時,因本國與外國匯率變動,使企業在兌換過程中遭受的損失。企業平時就要隨時註意其外幣債務。密切註視各種貨幣的匯率變化,以便採取相應措施。特別是在銀行有外幣貸款的企業更應如此。
誤區之一:視風險為畏途,放棄發展機會。風險其實是無處不在的,特別是企業經營活動中,其結果本身就有不確定性。不少企業對未來盲目恐懼,缺乏前瞻性,視風險為不可抗力,採取迴避的方式防範風險。殊不知,新的發展機會往往是由前期高風險帶來的,放棄風險有時候就等於放棄機會。
誤區之二:企業風險管理是一個筐,什麼都往裡面裝。不少企業的風險管理尚未開展,僅僅是一個概念性的東西,很多高層管理者認為一旦實施企業全面風險管理,所有事務都可以歸集到其中來處理。但企業風險管理其實僅僅只是企業管理活動中的一個方面而已,它不可能也不應該涵蓋企業生產經營的全部工作。
誤區之三:片面強調某類風險,忽視其他風險因素。企業風險管理應包括戰略、財務、市場、運營、法律等諸多方面,並非某一方面風險所能描述的。有些企業就片面強調某類風險,而忽視對其他方面風險因素的控制。
誤區之四:捨本逐末,未能抓住風險管理的關鍵。很多企業都有一整套完備的管理制度,有些企業認為只要這些制度的順利貫徹執行,就是內部控制的全部,就可以有效防範企業風險。但實際並非如此,如果企業將主要精力放在微不足道的控制上,錶面上控制得很好,但往往不僅浪費許多管理資源,而且還會忽視重大風險。
誤區之五:註重風險制度設計,忽視制度執行。企業都或多或少的存在一定的內部控制制度。很多公司很重視制度的設計,甚至高薪藉助“外腦”。但事實是制度的執行比設計更為重要,良好的企業風險管理制度如果不能得到有效的執行,其效用就無法發揮。
全面風險管理(Enterprise Risk Management,ERM)應改稱為“企業風險管理(Enterprise Risk Management,ERM)”