上海市经济管理干部学院学报
JournalofShanghaiEconomicManagementCollege第6卷第4期2008年7月
Vol.6No.4Jul.2008
企业风险的分类控制
杨子平
(西北师范大学,兰州730070)
摘要:现代企业面临的主要风险可分别从风险管理、信息披露和报告以及保险等角度进行分类。企业只有把风险分类的概念框架和企业实际结合起来,才能识别企业特有的风险,才能进行风险的分类控制和风险责任落实。企业风险的分类控制需要借鉴COSO的做法,建立风险管理总体框架,保证企业风险分类控制的规范化和制度化。关键词:企业风险;控制体系;分类控制
中图分类号:F272.3文献标识码:A文章编号:1672-3988(2008)04-0028-05
企业风险是指企业经营过程中出现的各种不确定性。由于外部环境和内部要素的扰动,企业风险极易被放大成企业危机,从而对企业的生存和发展构成威胁。客观评价企业面对的风险,按照权责关系实行分类控制,是现代企业风险控制的核心环节。
一、企业风险类型的划分
发达市场经济国家对企业风险的关注和研究由来已久,早在19世纪初就提出了有关企业风险的概念和分类方法①。保险制度发生变革,现代股份公司制度蓬勃发展,企业风险管理研究向公20世纪40年代后,
风险管理研究涉及面越来越广,形成了从公司治理、公司理财、内部控司理财领域渗透。20世纪90年代后,
制、战略管理、审计、保险等不同角度研究企业风险的局面,对企业风险类型的划分趋于多样化。
(一)从风险管理角度分类的企业风险
按照风险的定量分析,企业风险可以分为可定量分析的风险和不可定量分析的风险。按照风险因素的来源,可以分为来自企业内部因素的风险和来自企业外部因素的风险。按照风险的影响程度,可以分为重大风险、中度风险和轻度风险。按照风险发生的频率,可以分为高频率风险、中频率风险和低频率风险。按照风险的持续时间,可以分为长期风险、中期风险和短期风险。按照企业是否可以对风险进行影响和控制,可以分为可控制风险和不可控制风险。按照企业所需生产要素,可以分为人力资源风险、资本风险、设备运行和工艺风险、材料风险、产品风险、技术风险、信息风险、知识产权风险等。按企业的主要活动或主要经营环节,可分为材料采购风险、筹资风险、投资风险、制造风险、市场营销风险、收账风险、会计工作风险、安全风险、企业技术活动风险、人事活动风险、信息系统风险、企业组织变革风险。按照供应链的顺序,可以分为来自供应商的风险、采购风险、生产风险、市场营销风险、来自客户的风险,等等。
(二)按照信息披露和报告的需要分类的企业风险
收稿日期:2008-09-26
作者简介:杨子平(,男,西北师范大学经济管理学院工商管理系副教授。1966-)
—28—
美国风险管理学者克罗曼在《风险管理报告》一书中把企业风险分为环境风险、过程风险和决策风险。环境风险主要是企业外部由于竞争厂商、股东关系、资本来源、灾难性损失、政治法律、行业管制、产品和金融市场等因素引起的风险。过程风险是指企业经营过程中面临的风险,包括经营风险、授权风险、信息风险、忠诚风险、财务风险等。决策风险是指企业各种类型的决策可能失误导致的风险。包括经营决策风险、财务决策风险和战略决策风险。
日本学者按照风险与企业相关活动的关联性把风险分为与事业机会有关的风险和与事业活动运行有关的风险。与事业机会有关的风险是指经营和战略决策的不确定性带来的风险,包括新事业领域的进入风险、商品开发风险、筹资风险、投资失败风险等。与事业活动运行有关的风险是指由于业务活动的操作方式是否正确和有效而产生的风险,包括违法风险、粉饰财务报告的风险、商品质量风险、信息安全风险、业务操作程序风险、业务过于集中导致的风险、产品设计风险、定价风险、产品供应是否稳定的风险、社会评价风险等。这也是按照信息披露和报告的需要分类的。
(三)从保险角度分类的企业风险
纯粹风险与投机风险。纯粹风险是指只有损失而无获利可能性的风险。投机风险是指既有损失可能性又有获利可能性的风险。
基本风险与特定风险。这也是保险界通行的一种分类方法。基本风险是指不属于某个行业、企业无法控制的、影响整个国民经济的的风险。如由于经济、政治、制度、地理、洪水等巨大灾害所产生的不稳定因素。特定风险是指其发生只影响企业所处的行业和企业自身的风险,企业可以采取某些相应措施加以控制。
静态风险与动态风险。静态风险是指由于自然力的非常变动或人类行为的失误导致的风险。如地震、矿难、火灾、爆炸、盗窃等等。动态风险是指由于社会的异常变动,如经济、社会、技术、环境、政治、市场价格变动而导致损失的风险。如人口的增加、社会资本的增加、生产技术的改进、消费者偏好的变化、政策的调整等等。
按照风险发生的原因,风险可以分为自然风险、社会风险、政治风险、经济风险和技术风险。自然风险、社会风险、政治风险、经济风险和技术风险是以损失发生的原因为标准划分的。上属风险既可能表现为纯粹风险,也可能表现为投机风险。
二、企业特有风险的识别
站在不同角度和立场对企业风险所进行的类型划分,为企业风险的分类控制和责任落实提供了概念框架。不同的企业有不同的经营内容,面临的环境也不同。企业必须把风险分类的概念框架和企业的实际结合起来,才能识别企业特有的风险,才能进行风险的分类控制。
企业的生产经营活动表现为各种具体活动和事项,这些活动和事项的计划发生或者已经发生,将给企业的部门目标和整体目标带来某种不确定性。企业特有风险的识别就是剖析这些活动和事项将会给企业带来什么具体的影响,分析哪些活动和事项可以成为企业的机遇,哪些活动和事项可能会带来威胁;哪些活动和事项有利于企业总体目标和具体目标的实现,是正面的;哪些活动和事项对目标的实现产生消极影响,是负面的;哪些活动和事项对目标实现产生正面和负面影响的可能性都存在。
风险因素的挖掘和分析是风险识别的前提。各种活动和事项不确定性的背后是各种风险因素,只有对明显的和隐性的各种因素进行细致分析,才能搞清风险因素导致风险发生的机制,从而判定风险的类型和程度、频率、影响时间。
根据保险学理论中著名的Heinrich法则,每一个重大事故的背后约有29个左右的中等事件和事故
—29—
作支撑,这29个中等左右的事件和事故背后又有多达300个左右的失误作后盾。300个左右的失误背后有数千个风险因素的存在,从而形成一个金字塔似的风险因素结构。企业风险因素的挖掘也可以按照这种思路,分析企业重大决策和重大活动所包含的各种细小的风险因素,并且研究风险因素发生和引发失误和危机的机制,为风险的识别和控制提供基础资料。
识别企业特有风险的过程是一个上下结合的过程。企业高层首先要给出企业风险的大类,下达给各部门进行讨论。各部门管理人员根据自己的经营职责、经营目标、管理目标,依据高层管理部门给出的风险大类判定本部门存在的风险类型,对风险因素进行分析。基层职工根据自己所从事的具体经营活动,分析查找可能导致风险的具体因素。各部门根据大类对号入座,并对给定的风险大类提出修改和补充意见后,最后上报给最高管理层。
三、风险责任的落实
在对企业特有风险进行识别的基础上,根据企业内部的管理分工、授权程度和组织形式,按照权责对等的原则落实风险管理责任。
(一)确定风险分类控制的重点和责任分级落实
企业首先要区分哪些是可控风险,哪些是不可控风险;哪些是可以落实责任的风险,哪些是不能落实责任的风险。企业风险分类控制的重点是可控的、纯粹的和自我承担的风险。对不可控制的风险要密切关注,建立风险预警体系,加强定量分析,及时报告风险的大小和变化。企业要根据各种利益关系者能够容许和承受的风险程度,分析不可控风险可能带来的正面和负面效应,避免过分谨慎使企业丧失超额投资收益和过高风险导致企业危机。
企业内部由经理层主导的风险分类控制适宜于依据供应链、职能和部门来落实风险责任。以传统的直线职能式企业组织形式为例,财务部门和生产部门应该负责管理的各种风险,其他职能部门可以在对风险进行分析的基础上,确定属于各自责任的风险。风险责任的落实应该坚持易于明确责任界限、能够控制和管理、与岗位职责和工作内容密切相关的原则。
(二)企业各管理层在风险分类控制和分级控制中的职责
1.企业最高管理层
董事会主要职责是了解企业风险管理的现状,分析和认识企业风险偏好类型,整体分析企业面临的风险大小并与确定的风险偏好类型相比较。对企业面临的最重要的风险进行评估,拟定风险对应措施,评估采取应对措施后剩余风险的大小。企业的最高经营者确定企业风险管理的基调,对企业风险管理负最终责任。经营者要树立风险经营的观念,提高危机意识,带头建设企业内部的风险管理文化,带动和影响各级管理人员和职工建立风险观念,树立正确的职业观、道德观,提高社会责任感,自觉降低各种活动和事项所引发的各种风险。
2.风险管理经理
风险控制体系的建立需要在总经理之下设风险经理或者由总经理委托给总经理助理来负责整个企业的风险管理工作。可以考虑将保卫部、审计部和公共关系部合并到风险管理部门。风险经理负责企业风险经营思想的宣传、风险意识的培养和风险知识的培训。风险经理要负责整个企业的风险管理绩效考评,列席各部门向总经理所进行的风险管理汇报和向董事会的风险管理汇报。风险管理经理对各部门的风险控制进行指导和帮助。帮助各职能部门和生产部门明确存在的风险、控制的责任,各部门的管理者要把风险管理作为自己的工作职责的组成部分,在汇报和年度总结、考评时要专门报告风险管理的责任和职责—30—
履行情况。风险经理每半年度完成企业总体风险管理报告(包括风险主要类型、因素分析、控制措施、风险评价和计量的结论,向董事会和董事长、总经理提出的建议等)。风险经理负责企业整体风险预警体系的建立(涉及销售部门、安全部门、生产部门、财务部门、技术部门、人事部门等)。风险经理负责危机的处理(预案、报告体系、信息披露、应对措施、评估)。总经理与风险经理共同与各部门经理签订风险责任书。
3.内部审计人员
内部审计人员在企业风险管理中占据着重要的地位。他们可以通过专门的审计方法和程序来监控、检查、评估各部门风险管理过程的充分性和有效性,并向风险管理经理和各部门提出改进的建议。
4.各职能部门
各职能部门在识别各自的可控风险责任的基础上,要对造成风险的因素进行深入细致的分析,分解部门风险管理目标、出台考核措施、指定风险责任人和报告人、拟定部门的风险管理方案,形成部门风险管理计划和报告。各部门按照整个企业的风险管理周期定期汇报风险控制情况(包括风险因素分析、风险应对措施、风险计量和评价、存在的问题等)。
此外,企业要建立定期风险报告制度及重大、特殊风险及时报告制度。在职工手册中要明确职工的风险管理责任,年度总结考评中要包括风险管理方面的评价。
四、风险分类控制总体框架的建立
企业风险的分类控制需要建立风险管理总体框架,保证企业风险分类控制的规借鉴COSO②的做法,
范化和制度化。
(内部环境。企业的董事会、董事长、经理层、部门管理层必须树立企业风险经营观念、危机观念、持1)
续经营的观念、竞争的观念,营造企业风险管理的文化。企业的各个管理级层和职工在从事各项活动时,都要注意自己的行动给企业带来的潜在影响,发现可能出现的风险和机会。
(风险认知。结合企业战略目标、总目标、部门目标和子目标,分析对目标产生各种影响的各种事项2)
和活动。
(风险识别。对影响企业各层次目标的各种事项包括潜在事项进行分析,了解这些事项可能带来的3)
风险和机遇,识别可能会带来负面影响的风险,发现可能会带来正面影响的机遇。
(风险评估。在对事项进行识别的基础上,对可能造成负面影响的风险事项按照发生的可能概率和4)
对企业的影响程度进行分类,对可能造成的影响进行评估。认定在采取风险应对措施后剩余风险的大小,把风险控制在各级管理者能够承受和容忍的范围之内。
(风险应对。对风险可以采取回避、降低、分摊、自担等应对措施。回避就是不从事该项活动,消除可5)
能会带来风险的事项。降低就是采取措施降低风险发生的概率和影响程度。分摊就是通过转移或与有关交易方共同承担风险。自担就是不对产生风险的事项和活动采取任何措施,听之任之。
(风险控制。企业风险管理部门和上级部门要制定相关的政策、措施、程序,督促各部门实施预订的6)
风险对应措施,切实达到风险控制的效果。通过确立风险控制目标、分解目标、发现控制差异和纠正差异、考核奖惩等措施对各部门的风险管理活动实施控制。
(信息沟通。由于企业生产经营活动的关联性和整体性,个别部门的风险会通过企业的供应链传递7)
和放大。为了进行有效的风险控制,企业内部要加强风险信息的传递和沟通,这包括自下而上和自上而下以及横向的风险信息沟通;与客户、供应商、行业管理部门和股东的风险信息沟通。企业可以设计规定的格式和时间跨度,要求企业各部门按照规定的格式和时间对风险信息进行及时的确认、捕捉和传递。
—31—
(风险监督。企业的风险管理部门要对企业各部门的风险管理情况进行持续的监控和评估。监控风8)
险管理的各个要素是否齐全、风险管理程序是否科学、风险管理的质量等。监控的手段可以通过查阅各部门风险管理的记录来进行。这些记录反映着各部门风险管理的效果、效率、重视程度和程序。企业管理者可以考虑设计一套风险管理的记录模式以便于对各部门查阅、检查、归档、报告。
上述八个方面可以归纳为内部环境、目标确定、风险识别、风险评估、风险应对、风险控制、信息沟通、监督等要素。是否建立了企业风险管理框架,不但决定一个企业能否对各种风险进行分类控制,也是衡量一个企业是否真正建立现代企业制度的重要标准。
注释:
美国学者威雷特最早给出风险的定义,1921年,美国学者奈特在《风险、不确定性及利润》中把风险与不确定性①1901年,
作了明确区分。
有效的内部控制和公司治理等方面改善和提高财务报告质量的民间组织。1985年由美②COSO是一个试图通过商业道德、
国公认会计师协会(AICPA)为首的五个会计和审计专家组成。
参考文献:
贺欣.内部控制框架的新发展———企业风险管理框架[J].审计研究,([1]朱荣恩,2003,6).
—内涵与框架体系[J].东北财经大学学报,(2004,1).[2]张以霞.企业内部控制——
[3]野村亚纪子.内部統制から事業リスク管理へ[J].資本市場クォータリー2003年秋.www.yahoo.co.jp
・内部統制に関する研究会.リスク新時代の内部統制.平成十五年六月,www.yahoo.co.jp[4]リスク管理
TheClassificationControlsOverEnterprises'Risk
YANGZhi-ping
(NorthwestNormalUniversity,Lanzhou730070)
Abstract:Risksfacingthemodernenterprisescanbemainlyclassifiedfromtheperspectivesofriskmanage-ment,informationdisclosureandreport,insuranceandsoon.Onlybycombiningtheconceptofriskclassifica-tionandreality,canenterprisesidentifytheriskspeculiartothemandputclassificationcontrolsovertherisksandriskresponsibilityintopractice.Classificationcontrolsoverenterprises'
bestandardizedandsystematized.
Keywords:enterprises'risk;controlsystem;classificationcontrolrisksneedtofollowCOSO'sex-ampletobuildupriskmanagementbodyandmakesurethatclassificationcontrolsoverenterprises'riskscan
—32—
上海市经济管理干部学院学报
JournalofShanghaiEconomicManagementCollege第6卷第4期2008年7月
Vol.6No.4Jul.2008
企业风险的分类控制
杨子平
(西北师范大学,兰州730070)
摘要:现代企业面临的主要风险可分别从风险管理、信息披露和报告以及保险等角度进行分类。企业只有把风险分类的概念框架和企业实际结合起来,才能识别企业特有的风险,才能进行风险的分类控制和风险责任落实。企业风险的分类控制需要借鉴COSO的做法,建立风险管理总体框架,保证企业风险分类控制的规范化和制度化。关键词:企业风险;控制体系;分类控制
中图分类号:F272.3文献标识码:A文章编号:1672-3988(2008)04-0028-05
企业风险是指企业经营过程中出现的各种不确定性。由于外部环境和内部要素的扰动,企业风险极易被放大成企业危机,从而对企业的生存和发展构成威胁。客观评价企业面对的风险,按照权责关系实行分类控制,是现代企业风险控制的核心环节。
一、企业风险类型的划分
发达市场经济国家对企业风险的关注和研究由来已久,早在19世纪初就提出了有关企业风险的概念和分类方法①。保险制度发生变革,现代股份公司制度蓬勃发展,企业风险管理研究向公20世纪40年代后,
风险管理研究涉及面越来越广,形成了从公司治理、公司理财、内部控司理财领域渗透。20世纪90年代后,
制、战略管理、审计、保险等不同角度研究企业风险的局面,对企业风险类型的划分趋于多样化。
(一)从风险管理角度分类的企业风险
按照风险的定量分析,企业风险可以分为可定量分析的风险和不可定量分析的风险。按照风险因素的来源,可以分为来自企业内部因素的风险和来自企业外部因素的风险。按照风险的影响程度,可以分为重大风险、中度风险和轻度风险。按照风险发生的频率,可以分为高频率风险、中频率风险和低频率风险。按照风险的持续时间,可以分为长期风险、中期风险和短期风险。按照企业是否可以对风险进行影响和控制,可以分为可控制风险和不可控制风险。按照企业所需生产要素,可以分为人力资源风险、资本风险、设备运行和工艺风险、材料风险、产品风险、技术风险、信息风险、知识产权风险等。按企业的主要活动或主要经营环节,可分为材料采购风险、筹资风险、投资风险、制造风险、市场营销风险、收账风险、会计工作风险、安全风险、企业技术活动风险、人事活动风险、信息系统风险、企业组织变革风险。按照供应链的顺序,可以分为来自供应商的风险、采购风险、生产风险、市场营销风险、来自客户的风险,等等。
(二)按照信息披露和报告的需要分类的企业风险
收稿日期:2008-09-26
作者简介:杨子平(,男,西北师范大学经济管理学院工商管理系副教授。1966-)
—28—
美国风险管理学者克罗曼在《风险管理报告》一书中把企业风险分为环境风险、过程风险和决策风险。环境风险主要是企业外部由于竞争厂商、股东关系、资本来源、灾难性损失、政治法律、行业管制、产品和金融市场等因素引起的风险。过程风险是指企业经营过程中面临的风险,包括经营风险、授权风险、信息风险、忠诚风险、财务风险等。决策风险是指企业各种类型的决策可能失误导致的风险。包括经营决策风险、财务决策风险和战略决策风险。
日本学者按照风险与企业相关活动的关联性把风险分为与事业机会有关的风险和与事业活动运行有关的风险。与事业机会有关的风险是指经营和战略决策的不确定性带来的风险,包括新事业领域的进入风险、商品开发风险、筹资风险、投资失败风险等。与事业活动运行有关的风险是指由于业务活动的操作方式是否正确和有效而产生的风险,包括违法风险、粉饰财务报告的风险、商品质量风险、信息安全风险、业务操作程序风险、业务过于集中导致的风险、产品设计风险、定价风险、产品供应是否稳定的风险、社会评价风险等。这也是按照信息披露和报告的需要分类的。
(三)从保险角度分类的企业风险
纯粹风险与投机风险。纯粹风险是指只有损失而无获利可能性的风险。投机风险是指既有损失可能性又有获利可能性的风险。
基本风险与特定风险。这也是保险界通行的一种分类方法。基本风险是指不属于某个行业、企业无法控制的、影响整个国民经济的的风险。如由于经济、政治、制度、地理、洪水等巨大灾害所产生的不稳定因素。特定风险是指其发生只影响企业所处的行业和企业自身的风险,企业可以采取某些相应措施加以控制。
静态风险与动态风险。静态风险是指由于自然力的非常变动或人类行为的失误导致的风险。如地震、矿难、火灾、爆炸、盗窃等等。动态风险是指由于社会的异常变动,如经济、社会、技术、环境、政治、市场价格变动而导致损失的风险。如人口的增加、社会资本的增加、生产技术的改进、消费者偏好的变化、政策的调整等等。
按照风险发生的原因,风险可以分为自然风险、社会风险、政治风险、经济风险和技术风险。自然风险、社会风险、政治风险、经济风险和技术风险是以损失发生的原因为标准划分的。上属风险既可能表现为纯粹风险,也可能表现为投机风险。
二、企业特有风险的识别
站在不同角度和立场对企业风险所进行的类型划分,为企业风险的分类控制和责任落实提供了概念框架。不同的企业有不同的经营内容,面临的环境也不同。企业必须把风险分类的概念框架和企业的实际结合起来,才能识别企业特有的风险,才能进行风险的分类控制。
企业的生产经营活动表现为各种具体活动和事项,这些活动和事项的计划发生或者已经发生,将给企业的部门目标和整体目标带来某种不确定性。企业特有风险的识别就是剖析这些活动和事项将会给企业带来什么具体的影响,分析哪些活动和事项可以成为企业的机遇,哪些活动和事项可能会带来威胁;哪些活动和事项有利于企业总体目标和具体目标的实现,是正面的;哪些活动和事项对目标的实现产生消极影响,是负面的;哪些活动和事项对目标实现产生正面和负面影响的可能性都存在。
风险因素的挖掘和分析是风险识别的前提。各种活动和事项不确定性的背后是各种风险因素,只有对明显的和隐性的各种因素进行细致分析,才能搞清风险因素导致风险发生的机制,从而判定风险的类型和程度、频率、影响时间。
根据保险学理论中著名的Heinrich法则,每一个重大事故的背后约有29个左右的中等事件和事故
—29—
作支撑,这29个中等左右的事件和事故背后又有多达300个左右的失误作后盾。300个左右的失误背后有数千个风险因素的存在,从而形成一个金字塔似的风险因素结构。企业风险因素的挖掘也可以按照这种思路,分析企业重大决策和重大活动所包含的各种细小的风险因素,并且研究风险因素发生和引发失误和危机的机制,为风险的识别和控制提供基础资料。
识别企业特有风险的过程是一个上下结合的过程。企业高层首先要给出企业风险的大类,下达给各部门进行讨论。各部门管理人员根据自己的经营职责、经营目标、管理目标,依据高层管理部门给出的风险大类判定本部门存在的风险类型,对风险因素进行分析。基层职工根据自己所从事的具体经营活动,分析查找可能导致风险的具体因素。各部门根据大类对号入座,并对给定的风险大类提出修改和补充意见后,最后上报给最高管理层。
三、风险责任的落实
在对企业特有风险进行识别的基础上,根据企业内部的管理分工、授权程度和组织形式,按照权责对等的原则落实风险管理责任。
(一)确定风险分类控制的重点和责任分级落实
企业首先要区分哪些是可控风险,哪些是不可控风险;哪些是可以落实责任的风险,哪些是不能落实责任的风险。企业风险分类控制的重点是可控的、纯粹的和自我承担的风险。对不可控制的风险要密切关注,建立风险预警体系,加强定量分析,及时报告风险的大小和变化。企业要根据各种利益关系者能够容许和承受的风险程度,分析不可控风险可能带来的正面和负面效应,避免过分谨慎使企业丧失超额投资收益和过高风险导致企业危机。
企业内部由经理层主导的风险分类控制适宜于依据供应链、职能和部门来落实风险责任。以传统的直线职能式企业组织形式为例,财务部门和生产部门应该负责管理的各种风险,其他职能部门可以在对风险进行分析的基础上,确定属于各自责任的风险。风险责任的落实应该坚持易于明确责任界限、能够控制和管理、与岗位职责和工作内容密切相关的原则。
(二)企业各管理层在风险分类控制和分级控制中的职责
1.企业最高管理层
董事会主要职责是了解企业风险管理的现状,分析和认识企业风险偏好类型,整体分析企业面临的风险大小并与确定的风险偏好类型相比较。对企业面临的最重要的风险进行评估,拟定风险对应措施,评估采取应对措施后剩余风险的大小。企业的最高经营者确定企业风险管理的基调,对企业风险管理负最终责任。经营者要树立风险经营的观念,提高危机意识,带头建设企业内部的风险管理文化,带动和影响各级管理人员和职工建立风险观念,树立正确的职业观、道德观,提高社会责任感,自觉降低各种活动和事项所引发的各种风险。
2.风险管理经理
风险控制体系的建立需要在总经理之下设风险经理或者由总经理委托给总经理助理来负责整个企业的风险管理工作。可以考虑将保卫部、审计部和公共关系部合并到风险管理部门。风险经理负责企业风险经营思想的宣传、风险意识的培养和风险知识的培训。风险经理要负责整个企业的风险管理绩效考评,列席各部门向总经理所进行的风险管理汇报和向董事会的风险管理汇报。风险管理经理对各部门的风险控制进行指导和帮助。帮助各职能部门和生产部门明确存在的风险、控制的责任,各部门的管理者要把风险管理作为自己的工作职责的组成部分,在汇报和年度总结、考评时要专门报告风险管理的责任和职责—30—
履行情况。风险经理每半年度完成企业总体风险管理报告(包括风险主要类型、因素分析、控制措施、风险评价和计量的结论,向董事会和董事长、总经理提出的建议等)。风险经理负责企业整体风险预警体系的建立(涉及销售部门、安全部门、生产部门、财务部门、技术部门、人事部门等)。风险经理负责危机的处理(预案、报告体系、信息披露、应对措施、评估)。总经理与风险经理共同与各部门经理签订风险责任书。
3.内部审计人员
内部审计人员在企业风险管理中占据着重要的地位。他们可以通过专门的审计方法和程序来监控、检查、评估各部门风险管理过程的充分性和有效性,并向风险管理经理和各部门提出改进的建议。
4.各职能部门
各职能部门在识别各自的可控风险责任的基础上,要对造成风险的因素进行深入细致的分析,分解部门风险管理目标、出台考核措施、指定风险责任人和报告人、拟定部门的风险管理方案,形成部门风险管理计划和报告。各部门按照整个企业的风险管理周期定期汇报风险控制情况(包括风险因素分析、风险应对措施、风险计量和评价、存在的问题等)。
此外,企业要建立定期风险报告制度及重大、特殊风险及时报告制度。在职工手册中要明确职工的风险管理责任,年度总结考评中要包括风险管理方面的评价。
四、风险分类控制总体框架的建立
企业风险的分类控制需要建立风险管理总体框架,保证企业风险分类控制的规借鉴COSO②的做法,
范化和制度化。
(内部环境。企业的董事会、董事长、经理层、部门管理层必须树立企业风险经营观念、危机观念、持1)
续经营的观念、竞争的观念,营造企业风险管理的文化。企业的各个管理级层和职工在从事各项活动时,都要注意自己的行动给企业带来的潜在影响,发现可能出现的风险和机会。
(风险认知。结合企业战略目标、总目标、部门目标和子目标,分析对目标产生各种影响的各种事项2)
和活动。
(风险识别。对影响企业各层次目标的各种事项包括潜在事项进行分析,了解这些事项可能带来的3)
风险和机遇,识别可能会带来负面影响的风险,发现可能会带来正面影响的机遇。
(风险评估。在对事项进行识别的基础上,对可能造成负面影响的风险事项按照发生的可能概率和4)
对企业的影响程度进行分类,对可能造成的影响进行评估。认定在采取风险应对措施后剩余风险的大小,把风险控制在各级管理者能够承受和容忍的范围之内。
(风险应对。对风险可以采取回避、降低、分摊、自担等应对措施。回避就是不从事该项活动,消除可5)
能会带来风险的事项。降低就是采取措施降低风险发生的概率和影响程度。分摊就是通过转移或与有关交易方共同承担风险。自担就是不对产生风险的事项和活动采取任何措施,听之任之。
(风险控制。企业风险管理部门和上级部门要制定相关的政策、措施、程序,督促各部门实施预订的6)
风险对应措施,切实达到风险控制的效果。通过确立风险控制目标、分解目标、发现控制差异和纠正差异、考核奖惩等措施对各部门的风险管理活动实施控制。
(信息沟通。由于企业生产经营活动的关联性和整体性,个别部门的风险会通过企业的供应链传递7)
和放大。为了进行有效的风险控制,企业内部要加强风险信息的传递和沟通,这包括自下而上和自上而下以及横向的风险信息沟通;与客户、供应商、行业管理部门和股东的风险信息沟通。企业可以设计规定的格式和时间跨度,要求企业各部门按照规定的格式和时间对风险信息进行及时的确认、捕捉和传递。
—31—
(风险监督。企业的风险管理部门要对企业各部门的风险管理情况进行持续的监控和评估。监控风8)
险管理的各个要素是否齐全、风险管理程序是否科学、风险管理的质量等。监控的手段可以通过查阅各部门风险管理的记录来进行。这些记录反映着各部门风险管理的效果、效率、重视程度和程序。企业管理者可以考虑设计一套风险管理的记录模式以便于对各部门查阅、检查、归档、报告。
上述八个方面可以归纳为内部环境、目标确定、风险识别、风险评估、风险应对、风险控制、信息沟通、监督等要素。是否建立了企业风险管理框架,不但决定一个企业能否对各种风险进行分类控制,也是衡量一个企业是否真正建立现代企业制度的重要标准。
注释:
美国学者威雷特最早给出风险的定义,1921年,美国学者奈特在《风险、不确定性及利润》中把风险与不确定性①1901年,
作了明确区分。
有效的内部控制和公司治理等方面改善和提高财务报告质量的民间组织。1985年由美②COSO是一个试图通过商业道德、
国公认会计师协会(AICPA)为首的五个会计和审计专家组成。
参考文献:
贺欣.内部控制框架的新发展———企业风险管理框架[J].审计研究,([1]朱荣恩,2003,6).
—内涵与框架体系[J].东北财经大学学报,(2004,1).[2]张以霞.企业内部控制——
[3]野村亚纪子.内部統制から事業リスク管理へ[J].資本市場クォータリー2003年秋.www.yahoo.co.jp
・内部統制に関する研究会.リスク新時代の内部統制.平成十五年六月,www.yahoo.co.jp[4]リスク管理
TheClassificationControlsOverEnterprises'Risk
YANGZhi-ping
(NorthwestNormalUniversity,Lanzhou730070)
Abstract:Risksfacingthemodernenterprisescanbemainlyclassifiedfromtheperspectivesofriskmanage-ment,informationdisclosureandreport,insuranceandsoon.Onlybycombiningtheconceptofriskclassifica-tionandreality,canenterprisesidentifytheriskspeculiartothemandputclassificationcontrolsovertherisksandriskresponsibilityintopractice.Classificationcontrolsoverenterprises'
bestandardizedandsystematized.
Keywords:enterprises'risk;controlsystem;classificationcontrolrisksneedtofollowCOSO'sex-ampletobuildupriskmanagementbodyandmakesurethatclassificationcontrolsoverenterprises'riskscan
—32—