今年元旦前后,我参与了一个电网企业年度全面风险管理报告编制的项目,而最近,又在为一家银行的流程银行建设项目打单,流程银行项目中最核心的内容也是基于银行业务的全面风险管理。随着接连遇到有关全面风险管理工作的项目内容,促使我对这一领域加强了学习,在此将学习成果做一个小结。
一、对风险的认识
所谓企业风险,在国资委《中央企业全面风险管理指引》中的定义是这样的:指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。这样来看,不用把风险两字想得太深奥,其实,只要是在达成目标的过程中,什么会妨碍目标实现,就可以叫做什么风险。比如,客户用了电,但是电费不一定能按时收上来,这就是收款的风险。所以说风险是无处不在的。
而全面风险管理,说的是企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。因此,从一个工作体系的建设来看,风险管理工作就要包括收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案以及风险管理的监督与改进。
二、我国全面风险管理的发展和政策环境
我国1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求,财政部随即连续制定发布了《内部会计控制规范——基本规范》等7项内部会计控制规范。但从更宽泛的管理意义上来说,真正把内部控制和风险管理形成法规,是受到美国2002年安然事件、世通公司财务欺诈案及随后美国的萨班斯法案的影响。2006年经当时国务院副总理黄菊的批准,这一问题提上议事日程,成立了企业内部控制标准委员会,正式开始这项工作。当年6月6日,国资委发布了《中央企业全面风险管理指引》,这是我国第一个全面风险管理的指导性文件。2008年6月28日,财政部、证监会、审计署、银监会、保监会五部门联合发布了《企业内部控制基本规范》,《规范》自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。《企业内部控制基本规范》在实践中的应用范围,就目前来说,可以分为三类企业:一类是上市公司,这是必须要进行的。其次是国有企业。按国资委出台的风险管理指引要求,下属的企业都要全面贯彻风险管理。而民营企业可以参考执行。
三、全面风险管理项目的主要内容
从全面风险管理体系建设要求来看,一个全面风险管理项目在设计阶段我认为最主要的有两个方面的工作内容,其一是制定企业全面风险管理基本框架,其二是针对企业不同的风险管理领域落实统一的风险管理模式中的各个环节。当然,除了设计之外,更重要的是帮助企业有效的落实设计成果,在此不表。
企业全面风险管理基本框架主要包括:一是明确风险管理目标。响应企业战略目标肯定是其一,此外还需要明确的其他目标有哪些,比如报告目标、合规目标等等;二是明确企业专业风险领域。国资委《中央企业全面风险管理指引》中已经分出了战略风险、财务风险、市场风险、运营风险、法律风险这五大类,但是要更加体现企业的经营特点或者企业风险管理重点的话,还可以再进行整合,比如党风廉政风险、安全风险等等;三是明确风险管理层级。主要指的是企业的风险管理需要涉及的范围,这个范围当然是越靠近风险发生点就越能发挥风险管理的作用;四是明确风险管理模式。风险管理模式一般由一组流程构成,具体包括风险识别、风险评估、风险控制、风险沟通和风险回顾;五是明确风险管理的保障体系,包括组织保障、文化保障、技术保障等等。
第二部分工作即落实风险管理模式中的各个环节是全面风险管理项目主要工作内容,也是最重要的内容,一方面企业有几个专业风险领域就要设计几套,另一方面企业风险管理的工作思路、工作要点、工作策略都在这个部分得到体现,因此这部分内容是最能体现风险管理项目的工作成果的。具体来看,首先是风险识别,就是借助识别工具,通过业务调研、专家研讨、资料研究等方式,从业务流程中识别风险点,揭示风险信息,如风险名称、风险发生的流程环节、导致风险的原因、风险后果、近年风险变化情况等等;其次是风险评估,借助风险评估工具,对风险的大小进行计算,得出防范风险的优先级。常用的风险评估方法是蒙特卡罗法,它是一种随机模拟数学方法,可以分析评估风险发生可能性、风险的成因、风险造成的损失或带来的机会等变量在未来变化的概率分布。风险评估的成果是绘制风险坐标图,即把风险发生可能性的高低、风险发生后对目标的影响程度,作为两个维度绘制在同一个平面上,有利于把有限的资源投入到重点防控对象上;第三是风险控制,针对风险源,指导业务部门制定控制措施。通常这部分会和流程优化、制度调整相结合,形成风险控制矩阵,控制矩阵主要包括主流程、子流程、风险点描述、风险重要性水平、控制点描述、控制活动描述、与其他业务部门控制职责划分、控制责任岗位、涉及的制度及规定等;第四是风险沟通,主要是可视化、动态化地获取风险状态,为制定行动计划提供支持。主要成果是整理风险事件台帐、编制风险管理知识案例库以及编制风险管理报告;最后是风险回顾,即结合关键绩效指标,评估全面风险管理体系的有效性,并制定相应提升计划。
从全面风险管理项目的工作内容和实际项目体验来看,我认为在风险识别和风险评估上是项目的难点,这两部分也是整个风险管理体系的基础内容。主要是这两部分内容是具有行业特点的,必须充分理解企业及行业的发展趋势、业务模式、经营特性才能作出深入的分析和判断。虽然可以说只要妨碍目标实现的都叫风险,但是如何能够充分的、没有遗漏的将风险梳理出来也是很有讲究的,还要考虑岗位、部门、企业这些不同层级所面临的风险点会有差异,风险点的提炼又会影响下一步风险评估方法的落实,因此需要整体性考虑。
以上是我对全面风险管理以及相关项目的一些初浅认识,欢迎大家沟通交流。