全面风险管理由来已久,近年来更是逐渐成为国际关注的热点。全面风险管理不仅在理论上发展迅速,而且很多企业都已意识到其重要性,越来越多地将其应用到企业管理的各个方面。尤其是在诸如安然、世通等事件发生后,全面风险管理更加为各国企业所重视。
“全面风险管理”源于我国引入COSO(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting,全国虚假财务报告委员会下属的发起人委员会)《企业风险管理——整合框架》时,觉得“企业风险管理”一词不足以表达风险管理工作的全部内容而提出,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。个人的看法是,“全面风险管理”是具有中国特色的“企业风险管理”,无论称谓如何,核心内涵是一致的。
2004年9月,《企业风险管理——整合框架》的颁布,旨在为各国的企业风险管理提供一个统一术语与概念体系的应用指南。为了帮助中央企业建立健全风险管理长效机制,防止国有资产流失,国务院国有资产管理委员会于2006年6月颁布了《中央企业全面风险管理指引》(以下称《指引》)。
此外,《萨班斯法案》、《内部控制基本规范》及其配套指引、《企业管治常规守则》、《巴塞尔协议》等诸多文件在不同程度上都涉及风险管理。但《企业风险管理——整合框架》和《指引》是直接规范风险管理的框架性文件,两者都从定义、目标、要素、层次等方面对风险管理的内容进行了系统规定,内容大体相同,只是在某些具体方面存在一些差异:
从定义来看,两者基本一致,都将企业风险管理描述为一个贯穿于企业战略制定和日常经营管理各方面,由企业董事会、管理层和其他员工共同参与,识别、评估各种风险并提出应对方案,以合理保证企业目标实现的过程。
从目标来看,《企业风险管理——整合框架》包括战略、经营、报告、合规性4个目标,《指引》中用详细的文字描述了五大总体目标,比《企业风险管理——整合框架》增加了“资产安全”目标,即“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失”。
从要素来看,《企业风险管理——整合框架》包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控8个相互关联的要素,实质是对内控五要素的细分。《指引》将风险管理基本流程分为收集初始信息、风险评估、确定应对策略、制定实施解决方案、监控与改进5个部分,并另起章节对组织职能、信息系统、管理文化进行了阐述。
2010年,我有幸参加了集团开展的华润水泥全面风险管理试点工作,对全面风险管理的实践情况颇有一番感受。
目前,全面风险管理的理论体系已较为完善,但无论在国外还是国内,无论是专业顾问公司还是普通经营企业,都缺乏成熟的实践经验。从行业上来看,金融行业属于高风险、严监管行业,理论和实践相对成熟,在管理信用风险、市场风险、操作风险、流动性风险等方面具有较为先进的工具方法,如压力测试、内部评级法等,而其他行业的实操经验还欠丰富,处于不断积累中。
另一个感受就是,全面风险管理知易行难,短期内效果并不明显。如前所述,该理论体系已基本形成并逐渐被理解和掌握,但由于行业千差万别,实操方面难以形成统一标准,实施过程中必然会遇到各种各样的困难和问题,如果处理不当,与短期预期效果就可能产生很大的差距,此时若不坚定信念,则可能半途而废。这有点像饮食保健或练太极,只有长期坚持,不断拾遗补漏,勤学苦练,方能显现效果。具体来说,全面风险管理在实际操作中主要有以下几个难点。
首先,风险辨识困难。对风险的辨识一般会通过向不同层级的员工发放调查问卷进行收集,企业的风险事件成千上万,如果问卷设计不当,则调查结果将会非常分散,很难进行统计分析,甚至导致结论偏离或错误。这就要求我们根据行业和企业的实际情况设计合理的调查问卷,如无记名、将企业的风险预先分设大类、设定风险事件的描述原则和方式等等,为下一步形成合理的风险分类和风险事件库打下基础,提高风险辨识的效率和效果。我们在试点工作时,由于问卷设计和填写要求不够细化和完善,后期耗费了较多的精力对1600多条原始风险事件进行合并、归纳和提炼,最终整理成245条风险事件,形成5类一级风险,27类二级风险,并对某些二级风险进行了三级分类。
其次,风险量化难以客观公正。业内一般根据风险发生的可能性和发生后对目标的影响程度两个维度,通过计算来衡量风险的大小。在缺乏大量有效历史数据的情况下,对风险发生的可能性和影响程度的评价往往都出于评价者的主观判断,量化结果也因人而异。风险量化目前来看是一大难题,即使是金融行业运用较为成熟的VAR值,专家意见也是仁者见仁,智者见智。
第三,缺乏有效应对措施和解决方案。风险管理的一项重要工作是针对已经梳理出的重大风险提出有效应对措施和解决方案并加以实施,这是对我们智慧和经验的极大考验。现实中,顾问公司往往只有较为空泛的理论体系和通行做法,缺乏对个体企业业务的深入了解,提出的应对措施和解决方案一般较为宏观;而企业自身则可能陷入“当局者迷”的情况,难以跳出既定的思维和做法。因此,内外结合、经验共享可能是目前状态下解决这一难题的有效做法。
2010年集团审计工作会议的主题为“专业·转型·价值”,而全面风险管理是转型中需要强化的职能之一。根据集团统一部署,“风险管控机制”已被列为集团“十二五”战略规划九大模块之一,全面风险管理体系建设工作已提上日程。我们期待着在2015年集团“十二五”战略规划完成时,集团全面风险管理体系能够日臻完善,成为支持集团永续发展的守护神。
“全面风险管理”源于我国引入COSO(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting,全国虚假财务报告委员会下属的发起人委员会)《企业风险管理——整合框架》时,觉得“企业风险管理”一词不足以表达风险管理工作的全部内容而提出,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。个人的看法是,“全面风险管理”是具有中国特色的“企业风险管理”,无论称谓如何,核心内涵是一致的。
2004年9月,《企业风险管理——整合框架》的颁布,旨在为各国的企业风险管理提供一个统一术语与概念体系的应用指南。为了帮助中央企业建立健全风险管理长效机制,防止国有资产流失,国务院国有资产管理委员会于2006年6月颁布了《中央企业全面风险管理指引》(以下称《指引》)。
此外,《萨班斯法案》、《内部控制基本规范》及其配套指引、《企业管治常规守则》、《巴塞尔协议》等诸多文件在不同程度上都涉及风险管理。但《企业风险管理——整合框架》和《指引》是直接规范风险管理的框架性文件,两者都从定义、目标、要素、层次等方面对风险管理的内容进行了系统规定,内容大体相同,只是在某些具体方面存在一些差异:从定义来看,两者基本一致,都将企业风险管理描述为一个贯穿于企业战略制定和日常经营管理各方面,由企业董事会、管理层和其他员工共同参与,识别、评估各种风险并提出应对方案,以合理保证企业目标实现的过程。
从目标来看,《企业风险管理——整合框架》包括战略、经营、报告、合规性4个目标,《指引》中用详细的文字描述了五大总体目标,比《企业风险管理——整合框架》增加了“资产安全”目标,即“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失”。
从要素来看,《企业风险管理——整合框架》包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控8个相互关联的要素,实质是对内控五要素的细分。《指引》将风险管理基本流程分为收集初始信息、风险评估、确定应对策略、制定实施解决方案、监控与改进5个部分,并另起章节对组织职能、信息系统、管理文化进行了阐述。
2010年,我有幸参加了集团开展的华润水泥全面风险管理试点工作,对全面风险管理的实践情况颇有一番感受。
目前,全面风险管理的理论体系已较为完善,但无论在国外还是国内,无论是专业顾问公司还是普通经营企业,都缺乏成熟的实践经验。从行业上来看,金融行业属于高风险、严监管行业,理论和实践相对成熟,在管理信用风险、市场风险、操作风险、流动性风险等方面具有较为先进的工具方法,如压力测试、内部评级法等,而其他行业的实操经验还欠丰富,处于不断积累中。
另一个感受就是,全面风险管理知易行难,短期内效果并不明显。如前所述,该理论体系已基本形成并逐渐被理解和掌握,但由于行业千差万别,实操方面难以形成统一标准,实施过程中必然会遇到各种各样的困难和问题,如果处理不当,与短期预期效果就可能产生很大的差距,此时若不坚定信念,则可能半途而废。这有点像饮食保健或练太极,只有长期坚持,不断拾遗补漏,勤学苦练,方能显现效果。具体来说,全面风险管理在实际操作中主要有以下几个难点。
首先,风险辨识困难。对风险的辨识一般会通过向不同层级的员工发放调查问卷进行收集,企业的风险事件成千上万,如果问卷设计不当,则调查结果将会非常分散,很难进行统计分析,甚至导致结论偏离或错误。这就要求我们根据行业和企业的实际情况设计合理的调查问卷,如无记名、将企业的风险预先分设大类、设定风险事件的描述原则和方式等等,为下一步形成合理的风险分类和风险事件库打下基础,提高风险辨识的效率和效果。我们在试点工作时,由于问卷设计和填写要求不够细化和完善,后期耗费了较多的精力对1600多条原始风险事件进行合并、归纳和提炼,最终整理成245条风险事件,形成5类一级风险,27类二级风险,并对某些二级风险进行了三级分类。
其次,风险量化难以客观公正。业内一般根据风险发生的可能性和发生后对目标的影响程度两个维度,通过计算来衡量风险的大小。在缺乏大量有效历史数据的情况下,对风险发生的可能性和影响程度的评价往往都出于评价者的主观判断,量化结果也因人而异。风险量化目前来看是一大难题,即使是金融行业运用较为成熟的VAR值,专家意见也是仁者见仁,智者见智。
第三,缺乏有效应对措施和解决方案。风险管理的一项重要工作是针对已经梳理出的重大风险提出有效应对措施和解决方案并加以实施,这是对我们智慧和经验的极大考验。现实中,顾问公司往往只有较为空泛的理论体系和通行做法,缺乏对个体企业业务的深入了解,提出的应对措施和解决方案一般较为宏观;而企业自身则可能陷入“当局者迷”的情况,难以跳出既定的思维和做法。因此,内外结合、经验共享可能是目前状态下解决这一难题的有效做法。
2010年集团审计工作会议的主题为“专业·转型·价值”,而全面风险管理是转型中需要强化的职能之一。根据集团统一部署,“风险管控机制”已被列为集团“十二五”战略规划九大模块之一,全面风险管理体系建设工作已提上日程。我们期待着在2015年集团“十二五”战略规划完成时,集团全面风险管理体系能够日臻完善,成为支持集团永续发展的守护神。
|