风险管理:企业可持续发展的保障

企业风险管理(ERM)是一套系统化的方法，用来理解和管理企业面临的各种风险。企业风险管理包括内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素，贯穿在企业的管理过程之中。根据美国损失控制协会对于美国企业的统计，未设置风险管理系统的企业，70％在遭受巨灾后5年内会结束营业。 对于已建立企业风险管理系统的公司而言，在面临损失事故时将具有更大的竞争优势。一个成功的企业风险管理系统是藉由公司政策、发展策略、资源管理、组织架构、操作程序及营运上各项关键参数所发展而成，而企业建立与提升风险管理能力，除了能有效降低灾害发生后之严重性之外，更能提升企业相关人员风险管控与灾后复原的技能与专业，落实管理运作之必要基础。 1　风险管理的基本要素 内部环境：企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。企业管理者是内部环境的重要部分，其职责是建立企业风险管理理念，确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的初步行动结合起来。 目标制定：根据企业确定的任务或发展方向，管理者制定企业的战略目标，选择战略方案并确定其他与之相关的目标，在企业内层层分解和落实。 事项识别：有时，管理者不能确切地知道某一潜在事项是否会发生、何时发生及造成的结果，使得企业的管理者需要对这些事项进行识别。 风险评估：风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估——风险发生的可能性和影响。风险评估应从企业的发展战略角度进行。 风险反应：风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险，企业都应考虑所有的风险反应方案。选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险，即从企业总体的角度，或者从组合风险的角度，重新计量风险。 控制活动：控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业为实现其商业目标而执行过程的一部分。 信息和沟通：来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责，包括企业内自上而下、自下而上以及横向的沟通。 监控：对企业风险管理的监控，是指评估风险管理要素的内容和运行中执行质量的一个过程。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。 ２　企业风险管理的方法 每个企业在经营中都有可能性发生风险，如何化解和减少风险是企业经营者必须进行研究的。首先要明确有哪几种风险，然后有的放矢地采取措施。只有加强风险意识，进行科学的管理和科学的决策，建立起相应的制度才能避免风险的发生。从目前市场环境来看主要有七种风险，相应采取的措施有： 经济合同风险：是指企业在履行经济合同过程中，对方违反合同规定或遇到不可抗力影响，造成本企业的经济损失。因此，企业在进行经营和产品合同签订后的履约及赔偿责任问题。合同签订后还应密切注视其执行情况，要有远见地处理随时发生的变化。 债务风险：是指企业举债不当或举债后资金使用不当致使企业遭受损失。为了避免企业资产负债，企业应控制负债比率。 担保风险：是指为其他企业的贷款提供担保，最后因其他企业无力还款而代其偿还债务。企业应谨慎办理担保业务，严格审批手续，一定要完善反担保手续以避免不必要的损失。 汇率风险：是指企业在经营进出口及其他对外经济活动时，因本国与外国汇率变动，使企业在兑换过程中遭受的损失。企业平时就要随时注意其外币债务，密切注视各种货币的汇率变化，以便采取相应措施。 投资风险：是指因投资不当造成投产企业经营的效益不好，投资资本下跌。企业对此应采取：在项目投资前，一定要各职能部门和项目评审组一起进行严格的、科学的审查和论证，不能盲目运作。对外资项目更不能作风险承诺，也不能作差额担保和许诺固定回报率。 产品市场风险：是指因市场变化、产品滞销等原因导致跌价或不能及时卖出自己的产品。产生市场风险的原因有三个：（1）市场销售不景气，包括市场疲软和产品产销不对路；（2）商品更新换代快，新产品不能及时投放市场；（3）国外进口产品挤占国内市场。必须对症下药。 存货风险：是指因价格变动或过时、自然损耗等损失引起存货价值减少。这时企业应马上清理存货，生产时要控制投入、控制采购、按时产出，加强保管。 3　当前我国企业风险管理存在的问题 1、混淆风险管理与内部控制的关系 许多企业的管理者将内部控制与企业管理和风险管理等同起来，常常产生这样的误解：内部控制可保证企业成功并使其财务报告绝对合法；内部控制可以防止企业决策的失误；建立了内部控制就等于实施了科学管理等。两者混淆的关键，在于没有看到内部控制管理是风险管理的本质性要求。 2、过分关注内部控制细节而忽视企业风险管理 企业把主要精力放在所有细小的、微不足道的控制上，如有些企业差旅费报销的规定长达数十页，极其繁琐，表面上控制得很好，但浪费了许多管理资源，还会忽视企业重大风险。 3、只重视内部控制设计而疏于其执行效果，使企业承担巨大风险 任何一个公司都或多或少存在一定的内部控制，否则，公司无法正常运行。公司把大量的精力放在设计内部控制上，而在如何保证制度实施方面，则缺乏应有的措施。在具体控制活动和监督等方面存在缺陷，所以很难保证已设计好的内部控制能够得到执行。如果企业用这一纸空文来管理，势必会带来巨大风险，最终走向灭亡。 4、对风险管理缺乏足够重视 与国际领先企业相比，除了我国的金融、保险等高风险行业非常重视风险管理外，大部分企业尚没有引起应有的重视，风险管理尚处于起步阶段，过分强调企业的增长和效益，没有处理好增长、效益和风险之间的平衡，在企业风险管理方面存在诸多差距。缺乏如COSO《企业风险管理——整体框架》那样的权威框架对企业风险管理的指导；由于有的风险是可以计量的，因此，部分企业重视采取大量复杂的技术来管理这些风险。但是，一些定性的风险却被忽视，如声誉风险、管制风险、遵循风险、安全风险和政治风险等，企业缺乏系统和全面的风险管理。 ４　当前应首先加强合规性风险管理 每个企业由于所处发展阶段不同，因而面临的最大风险也存在差异。有的企业是战略风险问题，有的企业是经营风险问题，也有企业是财务风险问题。但我国企业目前普遍面临的最大风险问题是法律法规的遵循风险，也就是合规性风险。它主要是由于企业无法满足法律、法规、规则要求，也没有遵循自己制定的标准，以及运作的行为准则，而造成企业面临着财务损失的风险或者声誉风险。 因此，当前我国企业应首先强调合规性风险的管理。合规在企业文化里非常重要，强调诚信和正直，这点需要从董事会和高层领导做起，这也是我国企业规避风险的必要措施。合规关系到企业内的每一位职员。企业在经营时，必须以高标准来要求每个职员，确保所有行为达到合规的要求。一旦违规操作，将对股东、客户、职员以及市场带来严重的负面影响，并将影响企业的声誉。 ５　以立法的形式促进企业加强内部控制 针对安然、世通等财务欺诈事件，美国国会出台了《2002年公众公司会计改革和投资者保护法案》。法案的核心在于促进企业完善内部控制，加强信息向公众披露的质量和透明度，并对公司管理层提出了明确的责任要求。法案还将影响到公司的各项管理行为，公司的会计和财务、内部审计、风险管理、人力资源政策和程序、公司治理等诸多方面。 可见，以立法的形式来要求企业加强其内部控制，其影响和意义是深远的。从我国企业的实际情况分析，企业内部控制的不足主要表现在：内部控制过分关注如何达到财务报告目标的要求，忽视内部控制的经营目标和满足法律法规要求的目标，并受限于会计控制；在内部控制的整体结构上，重视业务层面控制，忽略公司层面和信息系统层面的控制：缺乏完整的内部控制文档，以及对主要业务环节／程序／目标／风险／控制的全面分析；内部控制按传统的职能部门开展，缺乏流程观，内部控制不系统化；缺乏正式的内部控制测试方法，管理层内控报告依据不充分等。 正如COSO在其《企业风险管理——整体框架》中所指出的那样，内部控制是企业风险管理必不可少的一部分，风险管理框架建立在内部控制框架的基础上。我国企业要加强风险管理，首先从内部控制人手，而通过立法的形式予以强化，将推动我国企业的内部控制体系的建设。 ６　内部审计在企业风险管理中的作用日趋重要 风险管理监督和风险承受部门必须有效分离，这已成为现代经营风险管理的一项重要原则。随着公司治理力度和风险防范意识的加强，整合提升管理水平，内部质量管理体系审核必然会成为组织内部控制的一种重要方式。 1、内部审计师从评价各部门的内部控制制度入手，在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞，识别并防范风险，查错纠弊，对既成损失提出应对策略等。 2、内部审计可以深入到经营管理的各个过程和行为，分析其合理性，查找并防范风险。 3、内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险，而且各管理部门还有共同承担的综合风险，内部审计师作为第三方，可协调各部门共同管理这一投资决策带来的风险。 4、内部审计有助于识别组织风险。风险管理的首要环节是对风险的识别。内部审计正是以风险敏感