中美风险管理体系对比分析及对我国企业风险管理的建议(下)
来源:用户上传
作者:
(接第3期第39页)
四、对我国企业加强风险管理工作的建议
(一)抓住关键风险,实现企业风险管理重心的转移
1.运用事项识别、风险评估、风险应对要素,做好风险应对工作
企业风险管理是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都可能影响其他构成要素。而我国很多企业在制定战略、经营计划之前缺乏必要的事项识别、风险评估,自然也就不可能提前制定风险应对预案。我国江浙、广东地区的许多企业面对此次突如其来的金融海啸袭击,措手不及、无力应对、经营恶化乃至纷纷倒闭的现象恰恰说明了风险应对预案的重要性。
因此,我国企业应当充分考虑事项识别、风险评估、风险应对等要素对企业目标设定特别是战略目标设定的影响,通过在战略规划滚动修订的过程中更好地识别相关风险因素和事项,对其进行有针对性的定性和定量分析,并确定恰当的风险应对措施。
2.要尽快解决某些企业“战略定位不明确”的风险
企业风险管理的首要目标就是要确保企业战略目标的实现,战略风险是企业所面临的最大风险。对于我国大部分企业来说,不论从集团角度还是子公司角度都或多或少地存在着一定的战略风险。特别是对于整体贡献度较小的一些子公司来说,存在集团总部层面对其战略定位不够清晰的问题。这些子公司地处全国乃至世界各地,没有真正的核心主业,经营品种繁多、鱼龙混杂、抗风险能力较差,并在一定程度上浪费了公司的经营资源。因此,我国企业特别是大型企业内部的业务整合工作势在必行,并且应该从集团总部层面考虑其战略定位问题,以形成“上下同欲”的战略协同,形成“专业化、一体化、差异化”的经营优势。
3.要重点监控战略不明确或风险高的业务单元
企业风险管理应分清优先顺序、轻重缓急。从我国企业风险管理现状来说,一些战略不够清晰的业务单元,由于其方向不明确导致业务的多元和低效,使前、中、后台职责相分离的控制体系较难有效实施并发挥作用,相比那些方向明确、战略清晰、管理有序的经营单元风险较高。对于这类业务单元,应是企业内部风险监控的重点,进而有效减少风险事故的发生。
4.应尽快建立企业投资及并购风险管理的模型与体系
我国加入WTO后,投资并购案例不断增多。这些投资项目对我国企业参与全球竞争,实现快速、持续发展至关重要,但是由于一些企业缺乏在相关领域的经营和管理经验,他们往往面临着较大风险。因此,企业在进行项目整合与并购时,加速引进投资和并购方面的经营与管理人才,建立和培育与相关产业领域相适应的风险管理模型与体系十分重要。
5.要正确评价战略目标设定和整合过程中的业务机会
COSO-ERM框架和《指引》、《规范》中都提出了要正确认识和把握风险与收益对称原则,既要防止和纠正忽视风险、片面追求收益的做法,也要防止单纯为规避风险而放弃发展机会。
对我国企业来说,应该充分关注战略目标设定和整合过程中的业务机会,避免由于过多地强调风险的规避而错过千载难逢的发展机遇。面对当前全球金融危机,对于那些有实力、有准备的企业来说,机遇可能大于挑战,此时更需要企业在困难和风险中准确判断形势,在挑战和考验中清醒把握方向,沉着应对、趋利避害,变压力为动力,化挑战为机遇。
(二)营造有利于企业目标实现的内部环境
1.高度重视企业发展过程中的员工职业道德风险
COSO-ERM框架清晰地告诉我们,企业风险管理的各个要素都需要由人来实施,因此员工在企业风险管理工作中的行为非常重要。近几年来,我国企业特别是一些大型企业已经初步形成了具有自身特色的风险管理体系,从关键风险环节、以预算管理为核心的风险管理流程和风险管理的协同机制上基本实现了对主要风险事项有效的风险应对和控制活动,使企业风险基本上达到了可知、可控、可承受。近几年来,我国企业发生的各种风险事故,由员工道德问题所引起的风险事故在全部风险事件中的比重不断上升。因此,企业一定要高度重视员工的道德风险,通过培育优秀的企业文化、有效的激励机制、权力制衡、强制休假、严格监督、加大惩处力度等措施加以防范,因为这种风险不仅具有一般控制活动难以控制的特点,而且对公司的损害也是最大的。
2.落实“三重一大”的集体决策机制,切实消除管理层凌驾的风险
无论多么完善的风险管理体系,企业最高管理层依然可能凌驾于企业风险管理之上。也就是说,企业风险管理的好坏在很大程度上取决于作为一把手的企业领导人及其所推行和建立起来的企业风险文化。而我国众多企业内部很多业务单元的一把手,由于他们所拥有的特定权力,工作中产生不当应用,而导致公司价值遭受破坏的案例还是时有发生,这些企业通常采用“一支笔”的审批程序,而对一把手则缺少必要的制衡和监督。因此,必须加强对企业各级经营单元中一把手的培训和监督力度,对“三重一大”(重大决策、重要人事任免、重大项目安排和大额度资金使用等)均要切实履行领导班子集体决策机制,从而做到决策科学,规避风险。
3.要建立与运用投诉、举报等反舞弊机制防范道德风险
近几年来,我国企业特别是一些大型企业都通过建立健全反舞弊机制来优化企业内部环境。另外,企业应当恰当、合理地运用投诉、举报等制度来有效防范内部风险特别是员工道德风险。同时公布纪检监察专用电话、专用邮箱,真正发挥全体员工的监督作用,使其成为企业反舞弊和防范道德风险的有效途径。
4.要加强对骨干人才的中长期激励
我国大部分企业目前仍处在建设人力资源中长期激励机制的探索与尝试阶段,尽管上市公司已开始实行以股票期权为主要内容的中长期激励机制,但是在大多数企业中都还没有完善的中长期激励办法和措施,大多还停留在短期绩效考核层面。而对短期业绩的追求有时会诱导经营单元的经营者和管理者与公司价值理念背道而驰,从而有可能给公司价值带来负面影响。
5.要促进下属经营单元结合实际设定目标,防止产生欺诈性报告
COSO-ERM框架指出,过分强调结果,尤其是短期结果,可能会导致产生欺诈性财务报告。
当前,一些企业内部经营单元都在竞相制定具有挑战性的高业绩目标,并把它们建立在科学的预测与分析的基础上,建立在可持续的业务基础之上,从而对整个企业的快速发展产生了积极的推动作用。但是,在这个过程中,也有一些企业不能合理地保证其所设定的目标与其经营实力、风险应对措施相匹配,超越了自身的风险承受能力和风险容量,有的还因此产生了欺诈性的财务报告或非财务报告。因此,我们强调在设定企业的经营目标时一定要符合企业自身的实际,企业的经营者和上级企业要对此承担责任。
(三)进一步保证控制活动的有效执行
1.加强职责分离控制,杜绝业务单元一把手既当“运动员”又当“裁判员”
我国大部分企业特别是大型企业目前大都建立了风险管理体系,风险得到了有效控制。但有些企业管理层既是业务的具体执行者又是业务审批者,内部监督与控制就无法发挥作用,从而使企业的风险暴露面大为增加。以中航油当年违规操作期货业务为例,其产生的根本原因,就是陈久霖作为下属企业的总经理亲自操作,既当“运动员”又当“裁判员”,风险控制和止损机制如同摆设,内部控制制度和风险管理体系无法正常发挥作用。因此,我们建议必须严格禁止企业高层管理者特别是一把手直接进行业务操作,杜绝其既当“运动员”又当“裁判员”。
2.落实岗位轮换和强制休假制度,强化职责分离控制的有效性
岗位轮换和强制休假制度能有效控制风险。但是目前我国大部分企业并没有强制执行这一制度,导致企业内部过分强调工作衔接和人工成本,过分强调员工的奉献精神。这样一来不但使《劳动合同法》所赋予员工的合法权益得不到保证,更为重要的是它在很大程度上增加了企业内部风险。企业内部一些重要岗位由一个人长期负责,给个人舞弊创造了可乘之机。
因此,我们建议企业从风险管理高度重视关键岗位轮换和部分重要岗位员工的强制休假制度,以杜绝不必要的舞弊现象。
3.要通过远程办公等手段,加强对企业内部临时性授权的管理
目前,我国很多企业特别是一些大型企业通过ERP信息系统完成全球范围内的业务操作,实现了授权审批控制和流程控制的有效结合。但在实际经营活动中,经常会出现某个环节负责审批的人员由于开会、出差、生病等原因而必须将其审批权限临时赋予他人等现象。这其中,一些人随意将自己的权责赋予他人,而接受授权人员对其负责审批的环节、业务可能缺乏了解,甚至由于道德风险因素而出现某些人员利用这一空隙蒙混过关的现象,从而给企业造成了风险和损失。
因此,企业必须关注临时性授权过程中蕴藏的风险因素,通过有效地利用远程办公等手段,减少临时性授权行为所带来的风险。同时,要对临时授权委托行为进行严格监管。
4.加强对信息系统的控制,确保信息质量
(1)加强信息系统的安全管理工作
企业要高度重视信息系统安全管理工作,建立信息技术人员梯队,通过长效机制稳定信息服务人才队伍,加强对计算机病毒等灾害的防御,建立信息系统的灾难恢复计划,通过异地数据库备份公司信息,避免由于发生火灾、地震等自然灾害而导致的公司重大信息丢失,确保信息安全。
(2)要逐步实现企业资源计划(ERP)等信息系统的统一
目前我国很多企业包括一些大型企业都存在着多套信息系统并行的情况,这为企业信息管理带来了巨大的挑战与难度。要真正实现企业的战略目标,实现信息系统的整合是必然结果,它不仅将提高整个企业集团的信息质量,也会大大提高企业风险管理的质量。
(3)要确保业务数据的一致性、准确性、及时性,杜绝人为操纵信息质量
随着企业信息系统中功能模块的不断完善,企业信息系统中的业务、财务、资金等主要模块能够实现在同一平台基础上的资源共享。为了确保企业信息质量,关键是要确保风险管理信息系统中输入的业务数据的一致性、准确性、及时性。道理很简单,对于信息系统而言,进去的是垃圾,出来的决不会是黄金。
5.要确保经营效率与效果目标的实现
为了确保企业经营目标的实现,企业特别是大型企业应该按照风险管理的重要性原则,结合各经营单元公司治理、人员能力、风险管理水平、业务实际等情况,合理确定集团总部与下属经营单元的审批权限,从而既保证具体业务执行层面应有的效率,由其根据实际情况采取切实可行的措施防范风险,同时还可以把集团总部相关职能部门从繁琐的形式审批工作中解放出来,使其真正深入一线,为企业关键业务的管理提供支持和保障。在实际工作中,企业还应进一步加强对外包服务事项的管理,通过及时沟通、有效监督、协议约定等措施督促企业提高服务效率。
6.加强环境健康与安全(HSE)体系建设,切实履行企业社会责任
随着我国建设和谐社会目标的提出,我国企业纷纷以更加积极的心态关注安全、关注健康、关注环保,注重“以人为本”,努力实现人与自然、人与社会的和谐发展。企业一旦发生HSE方面的责任事故,不仅对国家、对社会造成巨大危害,也会使企业遭受巨大经济损失,很多企业因此而破产,2008年发生的三鹿集团破产就是企业忽视HSE管理而最终使企业遭受灭顶之灾的鲜明案例。
因此,企业应该本着对员工负责、对企业长期生存与发展负责、对国家负责、对社会负责的精神,按照“以人为本”的要求,时刻居安思危,不断加大对HSE的投入,全面完善HSE体系,最大限度地规避HSE风险,切实履行社会责任。
(四)要确保信息与沟通的及时与畅通
1.有效利用ERP等信息系统的后台功能,实现适时监控
风险管理信息系统应实现信息在企业内部各职能部门、业务单位之间的集成与共享,既要满足单项业务风险管理的要求,也要满足企业整体和跨职能部门、业务单位的风险管理综合要求,同时要实现适时监控。企业应设立专门的信息管理小组,配备专职人员,通过对ERP等系统的后台分析和数据提取,对相关信息进行收集、整理和加工,使系统内的相关信息最终成为可为企业提供风险管理决策支持的重要资源。例如,可以利用对信息系统的后台功能,对各业务单元的授信台账、库存台账、合同台账等进行处理,整理加工出其逾期应收账款、高龄存货等相关管理信息,并按照风险矩阵进行风险排序,对重要事项、重大金额实施重点监控,就可以实现对各业务单元重大应收和存货项目相关风险的实时监控,而且可以抓住重点,更好地解决企业内部信息的上下沟通,使相关风险防患于未然。同时,ERP等信息小组还可以根据企业内部不同层面的管理需要,通过对相关报表的定义等形式生成符合各个层面不同需要的管理报表,使各信息系统之间丰富的基础信息成为能为管理层提供决策支持的有价值的信息资源。
2.要在总部与一线员工之间建立起有效的沟通渠道,避免信息堵塞
企业应当让员工知道直接向内部审计师、法律顾问或者其他高层管理者沟通的渠道,以保证公司信息的向上流动不会发生堵塞。在这种情况下,企业应当建立鼓励员工报告对主体行为守则可能存在可疑违反的机制,并要使员工了解报告相关的信息不会遭到报复。这一点对于在公司内部确保有效的沟通渠道,促进信息在公司内部向上、向下和平行流动非常重要。
3.避免信息超载,要确保正确的信息、以正确的形式、按正确的渠道、在正确的时间、流向正确的人
目前,我国一些大型企业大都有十几个或几十个职能与管理部门、多个专业委员会和一系列的规章制度。按照这些部门、委员会和制度的要求,每天、每周、每月、每季度、每年都有大量的信息在企业内部、企业与外界之间流动,这些信息量是非常庞大的。在这些信息中,有很多是重复的、不及时的、相互交叉的,这使报送信息的人、部门、业务单元要承受巨大压力,同时也降低了管理效率。
企业要真正采取措施避免信息超载,确保正确的信息、以正确的形式、按正确的渠道、在正确的时间流向正确的人。这对于提高工作效率、避免信息浪费、减轻相关人员的工作负担,使正确的人及时获取正确的信息是很有好处的。例如针对企业内外对财务信息的需求门类繁多的现象,企业可以规范财务信息收集、整理、汇报的线条,由专门的部门负责收集,并在企业内部共享。
(五)要进一步确保有效实施监控
1.要切实提高内部审计工作质量
内部审计工作是企业风险管理的一项重要内容,其质量好坏直接影响到企业监控工作的质量,影响到企业的后续改进与完善。而内部审计工作的好坏又与相关内部审计人员的业务素质、道德水平、对企业风险管理的认识程度等因素息息相关。为了切实提高企业内部审计工作质量,企业内部审计委员会和内部审计人员要切实加强对企业理念和规章制度的学习,准确把握企业风险管理的脉搏,同时可以通过参加国际注册内部审计师(CIA)等专业考试,不断提高个人素质,提高内部审计工作的胜任能力。同时,企业内部审计工作也应该按照风险管理的重要性原则分清监控重点,提高公司监控工作的整体效果。
2.要采取措施确保监控活动中所报告的缺陷真正得到改进
制度的执行往往比制度的设计本身更有意义,确保相关缺陷的改进是监控活动的延伸和结果。在企业经营与管理过程中,有时也会出现由于各种原因导致改进措施不到位,从而不利于企业风险管理质量的提高,所以应该在企业内部建立起确保改进行动予以实施的机制。
3.要进一步严格责任追究制度
严格的责任追究制度是就要对在监督检查中发现的违反企业风险管理要求的行为,严格追究相关责任人的责任。这一点对我国企业十分重要,因为它能够使公司高层向员工正确传达企业风险管理的正确信息,对于正确引导员工按照公司正确的发展方向,按照企业全面风险管理体系的要求去发展,追求企业价值与个人价值的共赢是极其有利的。
主要参考文献:
[1]COSO制定发布.方红星,王宏译.企业风险管理――整合框架.东北财经大学出版社,2005年9月.
[2]陈汉文.山西票号内部控制案例,2006年5月.
[3]国务院国有资产管理委员会.中央企业全面风险管理指引,2006年6月.
[4]财政部.关于印发《企业内部控制基本规范》的通知,2008年5月.
[5]朱晓莉.基于企业生命周期的内部控制内生性浅议.国际商务财会,2007(5).
[6]高雅青,李三喜,徐荣才.全面风险管理号角已经吹响.国际商务财会,2008(1).
责编:筱惠
转载注明来源:https://www.xzbu.com/3/view-1421056.htm
