风险全流程管理大全11篇
时间:2024-01-26 15:47:27
风险全流程管理篇(1)
一.物流金融的风险识别过程
在物流金融领域存在着很多的风险因素,其中部分因素是完全独立存在的,但也有一部分是彼此之间是互相作用的。要完成对物流金融风险的评价工作,就需要准确的选取科学合理的风险评价指标。
(一)融资企业存在风险的研究
对于目前多数的第三方物流企业,其更乐意和自己比较了解而且彼此之间具有长期合作关系的中小企业提供物流资金增值服务,物流企业之所以这样做目的也是为了更好的规避物流金融的风险。在对物流企业的信用等级评估工作中,主要涉及到了以下几个方面:
1.企业运营能力
选取企业的运营能力作为定性指标;对于持续运营三年以上的融资企业其信誉等级评为“优”;经营未满1年者评为“差”;处于忧和差之间的融资企业就被评为了“中”。融资企业提供了资产回报率,而第三方物流企业根据融资企业的物流数据情况提供出存货周转率。
2.融资企业的盈利能力
以“连续盈利能力”作为定性指标,对于一些连续三年内持续盈利的企业评定为“优”,连续三年内少于两年盈利的企业被评定为“差”;而连续三年内两年盈利者评为“中”。一系列的相关数据如:销售利润率和税后利润率均由融资企业所提供。
3.融资企业的偿还能力
以企业稳定存货为定性目标,在最近一年内,融资企业在第三方物流存货的规模处于稳定和升高者评定为“优”,存货规模浮动较大者评为“差”,中间者记为“中”。由融资企业提供资产负债率和速动比率。
4.企业的信用记录
由于我国目前发展相对滞后的企业资信评级体系,导致第三方物流企业始终不能以较低的成本来直接的获得所有融资企业的信用评定等级,只能通过以之前合作记录为依据,完成对该企业履约率的统计,并以此来作为衡量企业合同执行情况的主要指标。
(二)物流金融风险指标体系的建立
在现阶段稳定的银行政策的影响下,第三方物流企业作为了型物流金融风险的主要承担者,其中金融风险影响因素的主要来源就是抵押物本身和融资企业,对此,我们提出了详细的一套物流金融风险指标体系。
(三)对物流金融风险指标体系的检验
虽然物流金融风险指标体系的是在对实践的不断归纳和总结以及对模型的借鉴优化的基础之上形成的,但为保证该指标体系的可靠性和专业性,我们还需要对这一风险指标体系进行检验工作。
二.物流金融风险的评估工作
物流风险的评估工作也就是在物流金融风险识别的过程中对风险因子完成量子化分析的过程,对物流金融风险评估工作的结果对的对后续风险处理方法有着直接的决定性作用。在本研究中利用了BP神经网络来完成对物流金融的风险评估工作。主要步骤如下:
(一)风险评估模型的建立
在设计过程中,网络层数和网络拟合度与每一层的节点数呈现一种正相关的关系,为实现拟合度的提高虽然可以通过增加网络层数的措施,但这也直接导致了网络的复杂化,进而也增加了训练的时间。所以引用了一个同时含有一个隐含层的具有三层BP的神经网络。BP神经网络的主要特征的体现就是对BP算法,又称之为梯度优化法。一般所涉及到的BP算法确定的原则就是:沿着表现函数下降最快的方法来进行对网络权值和阀值的修正。
(二)风险样本数据的获取
1.样本数据的采集
为了更好地说明物流金融风险评价模型的具体实现过程,同时也为了更好的说明模型的有效性和可靠性,需要制定一个物流金融风险样本数据收集表。表中数据信息要详尽具体,同时细分了高风险样本和低风险样本以及中风险样本。所采集到的样本数据经过一定的整理后录入从而形成一个完整的物流金融风险样本数据汇总表。
2.样本的处理
由于在物流金融风险指标体系中同时涵盖了定性指标和定量指标,在两类指标之间又缺少一个统一的度量标准,而且也不符合神经网络对于数据输入的需求,因此特加大了对网络收敛性的训练。另外对输入风险评估模型的样本数据进行了一定的预处理过程,通常所应用到的处理方法就是模糊化和归一化等。
(三)物流金融风险评估模型的仿真
1.隐含层的节点数
据上述可知,物流金融的风险评估模型一般都是由具有三层结构的BP神经网络组成,其中在输入层中有着15个节点,而输出层仅有1个节点,在隐含层的节点数值取值范围一般都在6到14之间。但据研究发现,当节点数为14个时,评估模型的误差是较小的,同时网络误差的收敛性也较好,因此可以将物流金融风险评估模型中隐含层节点数的数量确定为14个。
2.网络训练函数
在系统中所应用的Traing D函数来完成对BP神经网络的训练可以实现网络能够很快的进行收敛,而且过程中所产生的误差也比较小。但相比较于Traing D函数,Traing DM函数对神经网络的训练得到的结果是:能够使网络收敛速度更快,所以从风险评估模型优化的角度考虑,一般我们选取的训练函数是Traing DM.
3.网络学习速率
网络学习速率的选择直接影响到了网络收敛性的稳定。一般情况下,所选择的学习速率是0.01,在这一速率下,神经网络不仅具备良好的稳定性,而且也能很快的实现收敛。适当的提高网络学习速率,将其数值从0.01升高到0.02时,出现了网络误差曲线的明显震荡;而当数值为0.05时,误差又不能达到预定的目标。综上,为实现物流金融风险评估模型的最优化,一般所采取的神经网络学习速率为0.01.
(四)风险评估模型的检验
风险模型的评估结果基本上能够和样本的实际相一致,所以我们可以认为给予神经网络的物流金融风险评估模型有着良好的风险评估能力。
三.物流金融风险的处理
(一)管理型物流金融风险处理措施
1.风险回避
管理型物流方案在执行过程中会存在一定的潜在的风险,造成很多不利后果,所以需要采取一些手段和方法来减轻影响,比如放弃执行或者改变原有计划选择其他风险小的方案,这样一来就能够有效的回避风险,对于有风险的物流金融业务,需要综合自身物流实力来采取回避风险的措施,做到最小损失。
2.风险预防
风险防范意味着在实施过程中,要寻找潜在风险,采取措施,减少风险因素和风险概率,避免严重损害。在实际操作过程中,第三方物流应加强企业风险管理能力,增强员工风险意识,提高责任心,完善公司相关制度,防范财务风险,帮助企业健康发展。
(二)财务型物流金融风险处理措施
1.风险承担
所谓风险承担指的就是企业自身承担风险事故造成的损失,又称之为风险自留。在物流金融的实践中,第三方物流往往起着被动的风险承担的角色,在某项具体的业务开展之前,物流方可能也会意识到融资方抵押物所具备的风险,但是未能对存在的风险作出正确的预估,因而导致预防措施未能及时的采取进而导致了巨大的损失。在业务往来中,任何的一种业务行为都会存在一定的风险,有风险才会有收益,因此为保证企业收益的增加,也就需要采取恰当的风险承担。
2.风险转移
风险转移也是一种风险管理办法,这是主动将项目或相关的财务后果转移到其他单位或个人,从而有效地避免风险损失。风险转移作为了第三方物流企业常常采用的风险处理措施,物流方就是通过出让一部分的收益,然后成功的将物流金融业务转嫁给别人,从而有效的降低业务总体的风险。
四.结语
本文对物流金融风险管理体系进行了初步的探讨,主要涉及到了以下几方面的具体内容:
1.建立了一个具有良好的识别能力的物流金融风险评估模型;2.介进行了对物流金融风险管理全过程的系统研究;3.建立了物流金融的风险指标体系,并验证了该指标体系的稳定性和一致性。
物流金融正处在一个高度发展壮大的时期,而且现阶段相关部门对其研究的投入力度也在不断的加大,相信在不久的将来,物流金融必将会呈现出一种全新的形态,进而更好的为社会的发展做出更好更大的贡献。
参考文献
[1]赵芹.我国第三方物流企业供应链金融服务的风险管理研究[D].中国海洋大学,2010.
[2]乔华峰.XX港X公司物流金融风险管理研究[D].大连海事大学,2012.
[3]熊小芬.物流金融业务模式及风险管理研究[D].武汉理工大学,2007.
[4]郭佳.物流企业物流金融创新模式及风险管理研究[D].华南理工大学,2012.
[5]胡剑,李伟杰.物流金融:实务操作与风险管理[J].物流技术,2009,07:65-68.
风险全流程管理篇(2)
近年来,我国的商业银行对信用风险的防范作了大量工作,但形势仍然严峻,特别是不良资产,并未从根本上解决。面对加入世界贸易组织的形势,随着利率市场化的深入,商业银行的利率风险必然加剧。同时随着业务,操作风险问题也越来越严重。形势的发展越来越需要城市商业银行具有全面风险管理的体系。
的城市商业银行缺乏全面风险管理的思想观念,目前实行的是部门分散管理的风险管理方式。各个部门从上到下制定了不少的规章制度,但这些制度很多变成了墙上贴着的制度和书本上写着的制度,而不是实际运行中的制度。构筑全面风险管理体系,就是要克服目前的这种混乱状态,将风险管理变成流程管理和系统管理。
二、全面风险管理与内部控制
(一)全面风险管理的内涵与层次
按照监管部门的风险层次划分,商业银行的风险可以分为信用风险、操作风险和市场风险。
信用风险是指交易对手或债务不能正常履型合约或信用品质发生变化而导致交易另一方或债权人遭受损失的潜在可能性,是商业银行面临的重要风险。
市场风险又称价格风险,是指由于被用于交易的资产或可交易的资产的价值发生变化而导致损失的风险。可以分为利率风险、汇率风险、股市风险、商品价格风险(期货风险)。对于商业银行来说,市场风险主要是利率风险和汇率风险。
操作风险是指由于不完善或失灵的内部控制、人为的错误、制度失灵以及外部事件给银行带来直接或间接损失的可能性。操作风险包括诸如控制风险、信息技术风险、欺诈风险以及和商誉风险等。与信用风险、市场风险相比,操作风险有显著不同支出:操作风险大多是在银行可控范围内的内生风险,与收益无关;而信用风险和市场风险更多表现为外生风险,与收益相关。
就当前来说,信用风险是最主要的风险,直接表现就是不良贷款上升,业务指标恶化。按照新的监管标准,不良贷款率不得高于5%.操作风险则主要取决于日常管理的效率。随着利率市场化改革和汇率改革的推进,市场风险离城市商业银行越来越近。
(二)全面风险管理下的内部控制
实施全面风险管理的关键在于构筑商业银行内部控制系统,来落实风险管理的要求。在构筑内控体系时,要运用现代金融工程的成果,创造性运用各种金融工具和策略解决金融财务问题。
城市商业银行的内部控制体系的标准应达到:风险内控有标准、部门有制约、操作有制度、岗位有职责、过程有监控、风险有监测、工作有评价、事后有考核。在这样的标准下设计的风险内控体系,要做到覆盖事前、事中、事后各个风险管理关键环节。这也是监管部门对商业银行风险内控体系建设的基本要求。
未来商业银行的风险管理,侧重点应放在事前预测与事中控制方面,决不会在事后风险处置上。风险管理落脚点是在于建立相应的内控体系方面,一个完整的内控体系包括:内部控制组织体系、内部控制岗责体系、内部控制业务流程和管理流程体系、内部控制工具体系和内部控制考评体系。
三、构筑符合全面风险管理要求的内控体系
(一)内部控制体系的总体思路
1、基本要素。一个完整的内控包括五项要素:内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。
2、基本框架。按照以上基本要素要求,设计的城市商业银行内部控制体系的具体,应按如下路径展开:内部控制组织体系、内控岗责体系、内控业务流程和管理流程体系、内部控制工具体系、内部控制考评体系。在设计过程中,可以考虑按总行、分支行两个层次展开,并始终保证与巴塞尔协议和银监会的要求一致,力求体现绩效考核、内部审计和外部监管三者的一致性。
(二)业务流程、管理流程与风险点
无论是业务流程的风险控制平台,还是管理流程的风险控制平台,都必须依赖岗位责任的设置来实施银行内部风险管理的控制。作用在于,提示管理者根据风险预警信号设计和实施风险拦截的对策。
建立并不断优化流程,目的就是在于建立一个有效有效控制风险的平台。按照这一思路,业务流程的建立应按照产品线来设计,并贯彻以下几个原则:1、品种完全覆盖。2、内控操作完整独立。3、可计量并有预警功能。目前城市商业银行的业务流程运行体系基本上按照这一思路设计并运行,需要强化的是评价与预警功能。
管理流程建立在业务流程之上。管理流程设计按照管理部门层面特征,按管理级次设计。城市商业银行按照总行和基层行两个层面设计,并结合业务流程。分领导班子管理流程、人力资源管理流程、计划财务管理流程、信贷审批流程、与核算管理流程、法规管理流程、安全保卫管理流程、稽核监察管理流程、机管理流程、公司业务管理流程、个人银行业务管理流程、房地产业务管理流程、国际业务管理流程、中间业务管理流程、资产保全业务管理流程。各行可以根据具体情况合并设计。
在业务流程和管理流程的设计中,通过文字图表来明示风险点。内部控制的关键就在于管理行为覆盖全部风险点,从而控制风险。比如,银监会关于加强操作风险管理的通知中提到的“13条”,就是13个风险管理的关键风险点。风险管理说到底,就是要贯彻“全面覆盖、重点监控”的思想。
(三)内部控制与岗责体系
岗责体系存在于一定的组织结构下,岗责体系的设计必须服从于内部控制组织结构体系。它是风险管理信息传递和全面风险管理具体的实现途径。
1、岗责体系设计原则。根据城市商业银行岗责体系现状,结合银行业趋势,主要遵循全面风险管理、风险管理与业务管理平行作业原则、矩阵式报告制度原则、精简效率原则、相互牵制原则、协调配合原则、程式定位原则等7条原则。
2、岗责体系分层设计。根据管理级次,分总行和分行(支行)两个或三个级次设置。与常规设置不同的是,总行层面的风险管理岗位设置,除了设置风险管理委员会、风险管理部之外,为了将全面风险管理思想贯彻于全部业务活动中,必须在所有业务职能部门设置风险管理科室或岗位,明确负责对部门所负责业务的风险的监测、记录、报告、考核等工作。各分支行的风险管理,主张仅设立风险管理部统一实行风险控制与管理,只有业务规模较大支行在各业务职能部门内设立风险管理岗位。
3、风险管理职责必须明确。之所以考虑通过组织体系来管控风险,主要是通过组织与人力保证管理责任的落实。风险管理职责的明确,主要通过岗位职责描述和授信授权书进行,授权范围内事项分别由风险管理岗和风险管理部负责,风险管理委员会则主要是制定规则和处理例外事项。风险管理的关键则是,一是所有业务必须进行风险监控,绝对不能有游离于管理之外的业务;二是符合重要性要求的业务必须贯彻集体决策的原则,集体决策的规则必须有效。
(四)内控体系的衡量与评价
1、风险管理技术与工具
(1)信用风险。信用风险管理技术包括风险识别、度量、管理策略等多个方面。传统信用风险度量技术包括:专家评定制度、信用评分、信用评级和贷款风险度测算。,城市商业银行主要采取上述方法一种或多种组合。这些方法尽管具有简便明了,易于理解,对实践操作环境要求不高的优点,但缺点也十分显著:一是主要以会计账面价值为基础,但会计数据并不能全面反映公司的实际状况和前景,因而难以发现借款人经营状况中更细微、更快速的变化;二是主要借助定性,主观随意性较大,在防范道德风险上有缺陷;三是效率较低,耗费人力时间过多。因此国际银行业开始采取开发数学模型来度量信用风险,《巴塞尔新资本协议》提出了相应的内部评级法。目前国际金融界较流行的内部信用风险模型有:KMV公司的信用监控模型、JP摩根的信用度量术模型、麦肯锡公司的信贷组合观点模型等。
(2)市场风险。主要包括利率风险和汇率风险,利率风险是指由于利率的变化,可能导致的资产的回报率变得更低或负债变得更为巨大。这种风险针对利率敏感型资产和敏感型负债而言,它直接利差,从而影响盈利。汇率风险又称外汇风险,当商业银行经营外汇业务时,汇率变化可能导致银行相关资产变低或负债变大,从而对银行形成亏损。市场风险的综合度量技术主要有风险状况图、VaR方法、压力测试法、情景分析法等。
风险全流程管理篇(3)
一、引言
中国自2001年加入WTO以来,中国对外开放不断深入,从十六大召开后,中国企业进入了对外开放新阶段,纷纷加大了“走出去”的战略步伐。随着企业跨国经营和全球化进程的加快,企业面临的不确定因素加大,如一度被视为明星企业的中航油,2004年折戟狮城,损失5.5亿美元,折射出企业风险控制能力的薄弱,在企业界引起极大的震动。面对惨重的教训,企业的经营理念也悄然发生了转变,避免灭顶风险比获取超常收益更重要,这是企业界的共识。尤其在经历了2007年以来的史无前例的经济危机后现代企业管理论文,风险管理被受到前所未有的重视,然而企业在开展风险管理的过程中,发现不同版本的风险管理框架差异较大,如何选择适合企业自身的风险管理框架是摆在企业面前的实际问题,本文拟对目前国内外比较具有影响力的风险管理框架进行分析和比较,以期为企业实施全面风险管理提供帮助。
二、全面风险管理框架比较
目前国内外具有影响力的风险管理框架有美国COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月的《企业风险管理—整合框架》(以下简称COSO风险管理框架)。国际标准委员会于2009年颁布的《ISO/FDIS31000风险管理—原则和指引》(以下简称ISO31000),该风险管理标准是在2004年修订的澳大利亚/新西兰风险管理标准(AS/ NZS 4360)的基础上制定的。中国有国资委于2006年6月颁布了《中央企业全面风险管理指引》(国资发改革[2006]108号)(以下简称《指引》)。本文拟从风险和风险管理概念、风险管理流程、风险管理架构等内容对三个框架进行比较分析。
1.风险概念比较分析
COSO风险框架将风险定义为“风险是指一个事项将会发生并给目标实现带来负面影响的可能性”,而事项是源于内部或外部的影响目标实现的事故或事件,事项可能有正面或负面的影响,或两者兼而有之。从COSO对风险的定义可以看出,负面影响的事件为风险,正面的影响的事件为机会,强调风险的负面作用,并将目标明确分为战略目标、经营目标、报告目标和合规目标。这种分类方法有助于企业关注风险管理的不同侧面,满足企业增长和报酬以及监管者的要求。
《指引》认为企业风险是“指未来的不确定性对企业实现其经营目标的影响”,这里的影响包括正面的和负面的或者是两者兼有论文下载。并将风险明确指出对经营目标的影响。因此从风险的定义上可以看出,《指引》对企业风险的定义明确指出对经营目标的影响,经营目标是与经营战略相对应的目标,这可从《指引》后面提到的风险管理策略的制定要和经营战略相适应,经营战略是属于业务层面的战略,可以看出《指引》中企业风险更多指业务层面的风险而言的。
ISO31000将风险定义为“不确定性对目标的影响”。并指出影响是指实际与预期的偏差,可是正面的或负面的或两者兼有。并表明目标可以有不同方面,如财务、健康和安全以及环境目标,可以体现在不同的层次,如战略、运营、项目、产品和流程层面。从ISO31000对风险的定义描述可以看出ISO31000对风险的定义更加全面,兼顾了传统的财务、健康、安全以及环境风险,表明了风险的两面性,即正的作用和负的作用。
从以上比较来看,各风险管理框架对风险的定义基本上达成共识现代企业管理论文,即风险是不确定性对目标的影响,区别是目标的范围不一样和风险的两面性上。《指引》特指经营目标,COSO将目标分为战略目标、经营目标、报告目标和合规目标,ISO31000目标范围更加广范,可以指不同方面,也可以指不同层面。
2.风险管理概念比较分析
COSO 认为“企业风险管理是一个过程,它由一个企业的董事会、管理层和其他人员实施,应用于企业战略制定并一直贯穿到企业的各项活动中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证”。根据企业风险管理的定义可以发现COSO所指的企业风险管理覆盖的企业活动的范围包括战略制定活动。
《指引》认为全面风险管理,“指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。《指引》中的风险管理的总体目标,包括战略目标、经营目标、报告目标、合规目标和危机管理目标。与企业风险的定义相适应,风险管理的定义也是围绕经营目标的实现,而展开了一系列活动。
ISO31000认为风险管理指“对指导和控制组织有关风险的活动进行协调”,即所有跟风险有关的指导和控制活动都称为风险管理,涉及不同层面不同范围。
从以上比较分析可以看出,《指引》的风险管理覆盖的范围相对较窄,而COSO,强调风险管理不仅包括经营层面的活动而且包括战略制定活动。ISO31000的风险管理涉及任何与风险有关的指导和控制活动,涉及的程度和范围更加广范。
3.风险管理流程比较分析
COSO风险管理流程包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。COSO框架的风险管理流程始企业内部环境,并认为内部环境影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础。COSO将目标设定作为风险管理流程的一个关键要素,并明确指出目标设定是事项识别、风险评估和风险应对的前提条件。在识别和评估影响业绩的风险必要的措施来管理风险之前首先要设定目标。COSO区分四种类型的目标:战略目标、经营目标、报告目标和合规目标。
《指引》风险管理基本流程包括现代企业管理论文,收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。信息与沟通贯穿于整个流程中。《指引》并未在风险管理流程中提到目标的设定,但是从风险的定义、风险评估可看出其中暗含着目标设定的内容。
ISO31000风险管理基本流程包括沟通与协商、建立环境、风险评估、风险处理、监控与回顾,如图1所示论文下载。ISO31000将沟通与协商是整个风险管理流程的首要因素,旨在采用一种工作团队的工作方法,为风险管理建立一个适合的环境。通过与内外部利益相关者进行充分的沟通与协商有助于有效识别风险、不同领域的专业知识被用于风险分析、风险评估标准的建立、风险管理计划的执行和风险管理流程的变更等,确保整个风险管理过程中能充分理解和考虑利益相关者的利益。另外,ISO31000将环境建立作为风险管理流程的一个重要步骤,环境建立包括内外部环境的建立、风险管理流程环境的建立以及风险评估标准的建立。该步骤使风险管理活动与内外部环境相匹配,并在组织内建立了风险管理的组织基础和范围,如界定风险管理活动的目标和风险管理流程的责任、风险管理的范围、广度和深度以及风险评估的有效性和风险评估的标准等。
图1. ISO31000风险管理流程
从以上对各标准的风险管理流程来看,内容上基本相同,区别之处所反映的理念存在差异,COSO强调内部环境和目标设定,ISO31000强调沟通和协商以及环境的建立,《指引》强调信息收集,在整个风险管理流程中贯穿信息与沟通的内容。
4.风险管理架构比较分析
COSO风险管理架构保留了其内部控制框架的三个维度结构,即目标维、风险管理要素维和管理层级维,并在此基础上进行了拓展,目标由内部控制框架的3类扩展为4类,即除了经营目标、报告目标和合规目标外,增加了战略目标。风险管理要素由内部控制框架的5个扩展为8个,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。管理层级包括整个企业、职能部门、业务单位和分支机构4层。目标、要素和管理层级之间的关系为:各管理层级是风险管理主体,目标是企业努力实现的对象,风险管理要素是目标实现的步骤,企业的各个管理层级都要按照风险管理的8个要素为4个目标服务。
《指引》的全面风险管理框架包括总体目标、风险管理文化、风险管理流程和全面风险管理体系四个组成部分,其中风险管理体系由风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统构成。风险管理总体目标除包括COSO的四大目标外,还增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失”的应急管理目标。《指引》清晰提出风险管理的三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。但《指引》四个部分内在的逻辑关系表述的不是十分清晰。比如:建立全面风险管理体系是先建基本流程还是先建立体系没有界定清楚。风险管理基本流程中和风险管理体系中都有风险管理策略的内容现代企业管理论文,二者的内涵是否一致,并没有阐述清楚,风险理财措施属于风险管理工具或方法之一,它与组织职能体系、内部控制系统的内容不在一个管理层面上。对于全面风险管理体系中最重要的目标政策体系的没有突出。风险管理的目标政策对风险管理基本流程、风险管理体系和风险管理文化三个部分具有指导和引领的作用,但是在指引中没有独立章节表述,相关内容也不够详尽。
ISO31000风险管理架构定义为“为整个组织设计、实施、监控和检查与持续改进风险管理提供基础和组织安排的系列要素”。其中基础要素包括“管理风险的政策、目标、授权和承诺”。组织安排包括“计划、领导、职责、资源、流程和活动”。风险管理框架被植入到组织的整个战略和运营政策的制定和实践活动中。ISO31000风险管理框架如图2所示。
图2. ISO31000风险管理架构
ISO31000风险管理框架建立了风险管理原则、风险管理架构和风险管理流程之间的关系。如图3所示。风险管理原则为建立风险管理架构提供指导方针论文下载。风险管理架构中的管理政策,程序和活动,系统地应用到风险管理流程中,同时风险管理流程应在风险管理架构中通过风险管理计划,成为组织各个层面和活动的组成部分,并得到实施。从风险管理原则可以看出,ISO31000风险原则除了包括COSO和《指引》的风险管理理念外,还提出风险管理成为决策的组成部分,充分体现风险管理的重要性。价值的充分体现。
图3. 风险管理原则、风险管理架构和风险管理流程之间的关系图
三、比较分析结论与实施建议
根据全面风险管理的目标和覆盖范围,全面风险管理可以划分三个阶段,初级阶段、中级阶段和高级阶段。初级阶段主要关注经营目标,在企业内开始导入全面风险管理,风险管理的理念、方法和工具处于试用阶段,企业内部需要逐步形成统一的风险语言和广为接受的风险管理方法、措施、政策、职责分配以及风险管理流程和关键经营活动融合的过程,风险管理处于探索和价值逐步接受过程。风险管理中级阶段,风险管理逐步被接受,且提出了更高的要求,将风险管理提升到战略层面,和战略进行整合,保障战略目标的实现,发挥风险管理的价值创造和价值保持作用。风险管理高级阶段,风险管理应用于决策过程,为决策提供信息基础,并有机的与企业的内外环境、组织、文化和战略相融合现代企业管理论文,并随着内外部环境的变化而变更,成为企业的竞争力的重要来源。
从以上对各全面风险管理框架的概念、流程和架构的比较分析可以看出, ISO31000风险管理标准风险管理的范围和理念以及整个框架相对比较完善,适用于风险管理高级阶段。COSO风险框架将风险管理提升到战略层面,适用于风险管理中级阶段,但COSO风险框架仅提出了风险管理的要素和风险管理的目标,并未提出风险管理体系。《指引》适用于风险管理初级阶段。ISO31000风险管理标准解决了以上所有的问题,阐述清了风险管理原则、风险管理构架和风险管理流程之间的关系,为全面风险管理的实施扫清的障碍。
因此,中国中央企业在全面建设风险管理框架时,以《指引》为基础,充分参考与借鉴COSO的目标设定内容以及ISO31000的风险管理标准的内容,使风险管理流程和风险管理体系有机融为一体。同时应该指出《指引》的内容是适应中国企业风险管理实践而制定的风险管理框架,随着风险管理实践的开展,企业应提升风险管理的范围,即将战略制定活动和保障战略目标的实现纳入全面风险管理的范围。最后,在实践中充分贯彻ISO31000风险管理的思想和内容,使风险管理向更高的阶段迈进,从而不断提高企业自身的风险管理能力和增强企业的核心竞争力。
参考文献
风险全流程管理篇(4)
【关键词】
航空安全管理体系(SMS);风险管理;工作程序
0 引言
随着航空业的迅猛发展,对航空运营人的安全管理工作提出了巨大挑战。提高航空安全管理水平,成为航空运营人亟待解决的问题。近年,航空安全管理模式也随之在逐渐发生着变化,从最初重点关注硬件问题逐步过渡到关注人为因素问题;从事后开展检查和采取补救措施,日益倾向于注重过程控制的系统方法。尤其在引入安全管理体系(SMS)理念后,航空运营人通过SMS系统方法,科学地制定政策、目标,清楚地界定安全责任,有效地配备资源,不断提高安全运行水平。
1 安全管理体系(SMS)
安全管理体系(SMS)是运用系统分析方法,科学地制定政策、目标,清楚地界定安全责任,鼓励全员参与的方式,实施风险管理、安全保证、安全促进,有效地配备资源,在满足适航法规的基础上,不断提高运行水平。SMS包括四部分:安全政策、风险管理、安全保证、安全文化。其中风险管理是SMS的核心内容。风险管理的过程是通过系统和工作分析,以识别危险源,分析评价相关风险,针对风险设置系统要求,并采取措施来保证其满足安全运行要求。
2 风险管理在工作程序中的运用
安全是机务维修工作永恒的主题。工程维修工作程序作为维修单位实施机务维修工作的依据,其与适航法规的符合性、流程的可操作性,不仅对保证航空器的持续适航和正常运行至关重要,对保证航空器的飞行安全和减少维修差错方面也发挥重要作用。随着风险管理在航空业不同领域的逐步推广和广泛应用,各航空运营人及维修单位也逐渐将其运用到工作程序的编写、修订和实施中。
工作程序的风险管理是利用风险管理的五个步骤对其从编写到实施以及程序涉及的全部作业流程进行风险分析和控制。
2.1 系统和工作分析
系统和工作分析要详细清晰列出工作程序编写和实施所涉及的硬件、软件、人员、环境相互间的影响,以及程序中全部作业流程的所有接口及责任界面,直到足以识别危险源和进行风险分析。
系统和工作分析主要包括以下几个方面:
1)程序所涉及的参考文件,如适航法规、上级手册、关联程序及公司管理要求之间的关系;
2)编写人员与参考文件之间的关系;
3)工作流程与组织机构的关系;
4)工作任务流程的合理性;
5)完成程序规定的工作任务所需资源,如人员、器材、设备/设施、环境与工作任务要求的符合性;
6)影响工作的障碍因素(技术能力、系统效率等)。
通过上述相互之间关系的分析,编写系统和工作分析报告,为识别危险源做好基础工作。
2.2 危险源识别
危险源识别是根据系统和工作分析结果以及安全保证提出的要求来识别危险源及其潜在后果的过程。危险源识别是风险分析和评价的基础,因此存在的危险源必须被识别、记录和控制。危险源识别工具一般运用作业分析和流程图、因果图法、界面分析、故障树分析等。工作程序的危险源识别一般采用对系统和工作分析进行头脑风暴和流程图分析法相结合的方式。
1)对系统和工作分析进行头脑风暴:由管理者、程序编写人员和执行人员对系统和工作分析进行的头脑风暴通常是非常有效的方法。上述人员都是与程序密切相关以及对程序内容非常熟悉的专家,能够非常准确、有效的识别出危险源。
2)流程图分析法:通过绘制流程图并对其进行接口、界面分析,此方法可为进一步识别危险源提供详细清晰的线索。流程图能清晰地呈现出各个接口及责任界面存在的危险源,尤其是跨功能作业互动流程图。
跨功能作业互动流程图(如例图所示)由“起点”、“终点”、“决策判断点”、“责任部门”等组成。与基本流程图相比,跨功能作业互动流程图在流程呈现时,是依据各单位的职责予以划分的,可清晰明确各单位责任和接口,清楚说明各单位应完成的作业以及这些作业如何在部门之间往来的情况。其特点是:接口清晰、责任明确、流程简化,有利于优化流程且易于识别危险源。因此跨功能作业互动流程图是我们推荐的方式。但这种流程图绘制要求较高、难度较大。所以很多人依然采用基本流程图,即将工作项目依顺序由上而下,以单一方向排列,主要是显示工作执行的顺序,并以结构性的方式显示各大项作业与各细部作业的关系。基本流程图的缺点是不能呈现各单位的责任界面,不利于识别全部危险源。
确定危险源的分析过程应考虑工作程序从编写到实施以及全部作业流程的各个组成部分,这样才可以将工作程序及其运行环境中存在的危险源进行全部识别。尽管识别出程序的全部危险源是不现实的,但与运行有关的重大的、可合理预见的危险源必须被识别。然后通过整理记录形成危险源识别表,为下一步风险分析和评价做好准备。
2.3 风险分析和评价
风险分析和评价是将风险分解为有害结果出现的可能性和该后果的严重性。工作程序的风险分析和评价通常采取风险矩阵和风险值计算两种方法结合,即对危险源后果的严重性及其发生的可能性进行定量和定性的评判,确定风险等级和可接受程度。
风险等级通常分为四个等级,等级越高,风险越大。通过定量定性 分析确定风险的可接受程度,即
四级(红色):不可接受
三级(橙色):限制运行--即有条件的接受
二级(黄色):缓解后可接受
一级(绿色):可接受
在对危险源进行分析和评价后,如果发现该危险源所涉及的主要因素超出可接受范围,即风险等级为二级或以上,需要修改工作程序,直到所有危险源都控制在可接受范围,即使是存在“缓解后可接受”危险源,也必须重新修订工作程序,直到所有危险源都控制在可接受范围。这也是工作程序与其它工作实施风险管理的重要区别。
2.4 原因分析
风险分析不仅应注重对严重性和可能性等级的界定,还应进行“根原因分析”,这是制定有效控制措施,将风险降低至更低等级的第一步。在很多情况下,采用经验丰富的管理者及程序编写者、实施者进行头脑风暴等寻找降低风险的最有效和经济的方法。此方法可以使程序的实施者参加到讨论中,易于程序的落实。通过“根原因分析”制定有效控制措施,即风险控制。
2.5 风险控制
1)控制措施的设计与实施:在充分了解危险源、风险和根原因后,应进行风险控制措施的设计与实施,即风险控制。风险控制是针对每个不可接受的风险和经缓解后可接受的风险制定风险控制措施并组织实施的过程。风险控制措施一般分为规避措施和缓解措施。规避措施即改进设计,消除危险源;缓解措施即设置防护手段,减少危险源后果发生概率或降低其严重性。风险控制的基本原则是尽可能将风险降至最低,以持续改进安全状况。针对工作程序风险控制措施的实施,主要是指修订程序,即理顺作业流程或增加新的监督控制节点、改进培训、调整人员、改进技术等。总之,将风险控制措施加入到程序中,直到所有风险都控制在可接受范围。另外,控制措施投入使用前,必须评估控制措施是否有效及是否会对系统带来新危险源,即衍生危险源,并对其进行识别和控制。
2)控制措施的验证:通过程序的实施来验证其风险水平的改进情况,并持续对工作程序实施情况和实施环境进行监控,以评估措施的有效性。具体来讲,其一,通过质量审核发现程序执行过程中存在的问题;其二,实施部门主动反馈实施过程中发现的问题和建议;其三,程序主管部门对实施背景和环境进行监控。工作程序的实施有其实施背景和环境,即使采取了有效的控制措施,随着实施背景和环境的变化工作程序会出现新的危险源和风险,因此工作程序应实施动态管理,即根据上述情况的发生不断对其进行修改和完善。
3 工作程序运用风险管理的益处
随着工作程序风险管理的不断深入推进,在实际应用中取得了很好的收效。具体有以下几个方面:
3.1 完善程序质量,降低安全风险
通过风险管理,将识别出的不可接受的危险源通过完善程序得以消除。例如《航材入库和出库工作程序》,通过流程图分析法发现“领出未用的消耗性器材退库后”即结束工作,这将会使部分可用器材缺少相关历史记录,不能表明其是否处于可用状态,管理上没有形成闭环。针对该危险源进行风险分析并制定控制措施,即在作业流程中增加记录环节“将退库可用器材按照器材原批次在航材系统中完成退库收料”,使流程形成闭环,消除了危险源,降低了安全风险和运行成本。看似小小的环节,却有重大意义。由此可见,程序的质量对降低安全风险和运行成本起到重要的促进作用。
3.2 关注实际工作与程序的符合性,提高程序的可操作性
风险管理的实施打破了程序仅编写者及其领导参与的局面,使程序所有涉及部门和实施人员都能参与进来,提高了程序的关注度和程序的可操作性。在实施风险管理过程中,发现很多程序中的作业流程和实际操作不符合,通过风险评估重新梳理流程接口、明确责任界面,确保实际工作与程序一致,提高程序的可操作性。
3.3 促进程序的落实
在实际工作中我们发现很多程序的落实不到位,通过风险管理找到根原因后制定了风险控制措施,即增加程序编写后的征求意见和各基层单位会签环节,使程序的关注度大大提高。参与部门反馈意见逐渐增多,大家集思广益,使流程既顺畅又贴近生产实际;同时,加强了程序执行前的沟通和分析力度,使程序在实施前得到各部门的认可并做好执行准备工作,有利于程序的落实。
3.4 进一步强化SMS管理全员参与的理念
工作程序是工程维修系统实施具体维修工作的基础,程序涉及到公司的每位员工。通过程序风险管理,使全员都能参与其中,进一步强化了SMS管理全员参与理念,SMS管理理念日益深入人心,并得到更广泛的应用。
4 结束语
综上所述,工作程序应用风险管理后,在管理上,由被动变主动,由事后变事前,由结果管理变过程管理;在法规的符合上,工作程序能更科学地满足法规的相关要求;在操作层面,工作程序具有更强的可操作性。同时,通过风险管理,程序的关注人群越来越多,按章办事的意识大大增强,从根本上减少人为差错的发生,降低安全风险,提高安全管理水平,促进机务维护工作安全生产和可靠运行。
【参考文献】
[1] AC-121/135-2008-26 《关于航空运营人安全管理体系的要求》
风险全流程管理篇(5)
2炼化企业内控与风险管理现状研究
根据炼化企业内控与风险管理的特点,从5个方面对其现状进行分析。
(1)炼化企业基本完成内控与风险管理体系建设。在内控与风险管理体系建设过程中,炼化企业不仅借鉴了国际先进的管理经验,还创造性地建立了完善的内控体系框架,形成了系统的内部控制规范,实现了炼化企业内控体系建设、运行和维护的统一标准和行动准则。实现了与国际先进管理方法的融合,促进了经营管理的系统化、程序化和规范化。
(2)炼化企业内控与风险管理水平不断提高。借鉴国际大企业风险管理实践,研究建立企业风险评估方法。以财务报告为切入点,对炼化企业主要业务领域的风险进行了评估。结合内外部形势变化和企业经营管理实际,持续开展重大风险评估,完善风险管理策略和解决方案,健全了全面风险管理报告编制工作机制。随同业务流程梳理,全面评估经营风险,建立经营风险数据库,实现从财务报告风险评估向经营风险评估的拓展。
(3)炼化企业创新运用流程管理方法,实现岗位职责、风险控制与业务流程有机结合。炼化企业制定了业务流程管理制度,建立企业统一的业务流程架构,涵盖炼化企业全部业务领域,实现了业务流程的标准化和规范化。企业还建立了业务流程管理信息系统,形成了规范的业务流程数据库,实现流程管理信息化、控制测试信息化。炼化企业通过开展业务流程梳理,明确管理职责,识别并有效控制风险,形成覆盖经营管理全过程的业务流程管理规范。
(4)炼化企业建立健全了内控监督机制,提升了内控与风险管理的执行力。讲流程、讲规范、讲控制成为企业各级管理人员的广泛共识。炼化企业已经形成了内控与风险管理体系审计测试、考核评价、持续改进的良性循环,使企业的各项业务都用相关制度、规范来检查要求,促进了内控与风险管理体系的持续有效执行。
(5)炼化企业通过实施内控与风险管理体系提高了全员的风险意识,丰富了企业文化。通过强化内控与风险管理的宣传培训,提高了全员对内控与风险管理重要性和必要性的认识,树立了风险无处不在、风险无时不在、风险管理责任重大的风险管理理念,形成了以守法意识、诚信意识为重点的风险管理文化,丰富了企业文化内涵。
3结束语
(1)炼化企业要继续深化风险管理,完善企业各层次的风险评估。定期组织评估企业面临的风险,确定重大风险管理策略和解决方案,建立完善的风险事件库和风险数据库。围绕企业的发展目标,在已有内控与风险管理的基础上,开展涵盖经营管理各领域的业务活动风险评估。
风险全流程管理篇(6)
一、全面风险管理的定义
全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。同时,全面风险管理也是一种企业日常管理行为,主要通过设定企业战略发展经营目标,在日常生产经营中,实现全面覆盖企业风险、全员参与风险控制,在企业风险偏好范围内有效管理企业各环节风险的持续过程。
二、建立全面风险管理的组织体系
推行全面风险管理,首先要在企业内部建立不同层级的风险管理组织机构,企业可设立专职的全面风险管理工作小组,负责推进工作。一般情况下,成熟的企业全面风险管理组织体系包括四个层次,
根据风险管理组织机构应履行的风险管理责任,应当明确各层级机构的基本职责,如:董事会需要负责审议并确定本企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案;了解和掌握本企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策等。
而作为全面风险管理实施的关键部门——风险管理专责部门,一般由企业的综合管理部门,如:企管部、办公室或监察部门担任,对董事会负责,主要的职责包括审议风险管理策略和重大风险管理解决方案,审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;定期组织企业全面风险管理工作的评估等。
作为日常具体业务流程的运作部门,是企业全面风险管理的具体执行部门。在全面风险管理工作中,应接受风险管理职能部门的组织、协调、指导和监督;执行风险管理基本流程;提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制等。
三、收集企业风险管理初始信息
收集企业全面风险管理初始信息是实施全面风险管理的第一项工作。企业在收集初始信息时,按照一般企业推行风险管理的范围,主要从以下五方面来收集信息:
1.战略风险方面的信息。主要有涉及本行业的国内外宏观经济政策以及经济运行情况,国家的产业政策,行业科技进步、技术创新的有关内容;企业的主要客户、供应商及竞争对手的有关情况;主要竞争对手、标杆企业信息等。
2.财务风险方面的信息。主要财务风险信息有:企业的财务状况,成本费用情况;财务业务中曾发生或易发生错误的业务流程或环节等。
3.市场风险方面的信息。主要有:产品或服务的价格及供需变化,主要客户、主要供应商的信用情况,潜在竞争者、竞争者及其主要产品、替代品情况等。
4.运管风险方面的信息。主要有:人力资源情况,市场营销情况、生产制造情况、流程管控情况、质量管理情况等。
5.法律风险方面的信息。主要有:与企业相关的政治、法律环境;与企业签订的重大协议和有关贸易合同;影响企业的新法律法规和政策,以及本企业发生重大法律纠纷案件的情况等。
企业收集的各类风险管理初始信息,经过筛选、提炼、对比、分类等程序后,如来源可靠、条理清晰、分类恰当、依据充分,可以按照一定的要求进行确定,定义为企业全面风险管理的初始信息。
四、进行风险辨识,编制企业风险清单
企业风险辨识前,要进行充足的准备,事先应清晰了解企业设定的战略目标和经营目标,以明确风险辨识的具体方向,要了解设定目标,确定风险辩识方法,设计风险辩识方法框架,风险辩识技术培训,基础资料收集,同时要注重内部的协调沟通。
风险辨识的具体范围一般应包括外部风险辩识和内部风险辩识。在风险辩识范围内,通过一定风险辩识方法,识别出影响企业实现目标的风险事项(包括外部和内部),及风险事项的诱发因素(包括外部的经济、自然环境、政治、社会与技术因素;内部的机构、人员、流程与技术因素)。最后,风险辨识应考虑正常、异常和紧急三种状态;过去、现在和将来三种时态。
风险辩识有一些常用的基本方法,如:经营目标识别法,操作运营研究法,流程图分析法,行业标准对照法,调查问卷法,座谈交流法,风险清单识别法,财务报表分析识别法,个别访谈法,风险评估研讨会。每一类型的风险辨识应选用哪些方法,应根据具体情况而定。风险辨识后,会形成企业的《风险辨识清单》。
五、风险评估管理
企业风险管理信息经辨识后,要进行评估管理,评估风险发生的可能性,可通过风险发生的可能性评估标准和可能性判断标准的矩阵来进行评估。
可能性评估的选用标准,指针对各类风险特征,制定可供选择的评价具体风险事件发生可能性的标准,一般按照发生的频率、发生的概率和现状持续时间进行可能性评估,可依据各项风险事件选择适合的标准,但每项风险只能选择一项标准。可能性判断标准,指为每一种可供选用的评估标准设定一定的判断区间,每一区间对应一种可能性。一般设定五个判断区间,即五种可能性:罕见(非常低)、不太可能(低)、有一定可能(中等)、很可能(高)、肯定发生(非常高);对应可能性的分值,为每一种可能性设定一个分值,如对五种可能性设定1-5分五个分值。
根据风险分析结果已形成的风险事件清单,对照“风险事件发生可能性评估标准模型”,为风险清单的每一项具体风险事件选定其中一项可能性发生标准。在对企业现状及过去历史情况基础上,根据辩识过程了解到的风险事件的原因及其他情况,确定其所在的某一区间,得出每一个风险的综合评估结果。
六、风险管理策略
风险管理策略,是指企业根据自身经营特点,固有经营条件,所处行业环境,围绕企业发展战略,以企业的风险偏好、风险承受度、风险管理有效性标准为前提,选择适合的风险管理工具,同时确定实施风险管理所需人力和财力资源的配置原则。
一般的风险管理工具有:风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制。风险管理的工具选择,应该以各项风险管理工具的适用范围为依据,结合风险发生的可能性及风险发生的影响程度而确定;要针对某项风险事件选择一项或几项合适的风险管理工具应对后,能使该风险事项的剩余风险降至企业的风险容量之内。应当注意的是,当选择了风险承担,则不再选择其他风险管理工具;当选择了风险规避,则不再选择风险稀释—对冲工具。
七、制定风险解决方案
制定风险解决方案,应考虑的事项主要包括四项:
1.风险管理的优先次序,可结合企业自身风险管理能力,风险的可管理性,风险程度,成本效益性四项因素综合确定;
2.风险容忍和偏好,应结合本企业经验教训,历史事件,历史事件发生时所体现的应对能力,对董事会、总经理及其他高级管理人员、关键岗位员工的风险偏好,及本企业的风险容忍水平进行合理分析和客观评估;
3.纳入重大风险、重大事件、重要决策、重要流程的事项,在风险管理的排序中应作为优先项目考虑;
4.关键风险要素的存在,关键风险要素包括风险事件、风险原因、损失,企业应针对风险清单中的风险事件所描述的特定事项,其产生的直接原因,及所承受的后果,制定风险管理具体措施。
风险解决方案的有效实施,需要一定的配套手段,以便减少随意性和对个人的依赖。在人力方面,企业高层要高度重视,选择及培训适合的风险管理人才;在制度方面,要建立和严格执行既定的工作流程和规范,将风险管理措施融入业务流程中;在机制方面,要建立权责分配机制和双赢激励机制。
八、风险管理的监督与改进
风险全流程管理篇(7)
中图分类号:F27 文献标识码:A
收录日期:2013年8月23日
石油企业作为关系到国计民生的资源垄断性企业,其风险管理问题不容忽视。石油企业特殊的生产经营环境和生产工艺,形成了复杂的内外部风险环境,使之面临着多种风险,如投资风险、勘探风险、生产风险、价格风险、汇率风险等。近年来,石油企业积极开展内部控制和全面风险管理工作,促进了油田持续、健康、稳定发展。
一、《萨班斯-奥克斯利法案》对我国石油企业内部控制建设的推动
我国的三大石油公司自2000年以来在美国资本市场成功上市,就必须遵守美国资本市场的监管法律,其中《萨班斯-奥克斯利法案》要求在美上市公司的年报中必须包括经过会计师事务所评价的内部控制报告,这意味着中石油、中石化、中海油等石油企业就必须按照美国法律法规的要求搭建一套完善的内部控制体系,并通过外部审计和美国证券监管部门审核。
《萨班斯-奥克斯利法案》的404条款要求管理层对公司内部控制进行评价,明确了公司管理层对建立和维护内部控制系统的责任,将内部控制报告纳入年报披露范围,且年报审计者需对公司内部控制出具评价报告。该条款要求在美上市的外国公司必须在2005年7月15日达到要求,后来由于操作上的难度将期限延至2006年7月15日。在此推动下,三大石油公司成为国内首批建设内部控制体系的企业,其内部控制体系的建设领先于其他行业。例如,中石油在2005年就已开始按照404条款的规定,参考COSO的总体框架要求,立足于公司战略的高度,着手筹建内部控制系统工程,其涵盖了公司的各个层次,率先通过了404条款要求的内部控制外部评价。
在外部法律的推动下,我国的石油企业在不断的探索中逐渐形成了完善的内部控制体系,推动了企业生产与管理活动的顺利进行,有助于企业达到自身既定的经营目标。
二、从ERM框架到《中央企业全面风险管理指引》
《萨班斯-奥克斯利法案》同时带来了内部控制标准的发展。2004年美国COSO委员会在《内部控制——整体框架》的基础上,结合《萨班斯—奥克斯法案》的相关要求,了《企业风险管理——总体框架》(简称ERM框架)。与传统内部控制的内容相比,新框架有了较多变化。例如:原来的《内部控制——整体框架》中,内部控制有三个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性,新框架将目标发展为战略目标、经营目标、报告目标和合规目标四大目标。此外,新框架还将《内部控制——整体框架》中的五大要素发展为企业风险管理的要素,分别为内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、监督。
ERM框架将内部控制中的风险管理要素进行了深化和完善,将内部控制推向了风险控制的高度。与此同时,我国政府管理部门也认识到,单纯依赖会计控制已难以应对企业面对的复杂市场风险,会计控制必须向风险控制发展。在此背景下,国资委在2006年6月了《中央企业全面风险管理指引》,该指引将先进国家的风险管理经验与我国企业的特点结合起来,对央企的全面风险管理提出了指导性的意见,也是国内其他企业实施全面风险管理的主要参照依据。该指引的出台,意味着风险管理的理念和方法正式引入中国,成为了我国企业风险管理制度建设和标准建设的里程碑。2008年财政部会同证监会、审计署、银监会、保监会等部门联合了《企业内部控制基本规范》。2010年五部委又了《企业内部控制配套指引》。这些规范和指引的出台标志着我国企业内部控制和全面风险管理规范体系的基本建成。执行企业内部控制规范体系的企业,必须对本企业内控的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计。
以上这些法律法规都促使石油企业进一步加强和完善内部控制工作。在推进内部控制建设的过程中,石油企业一直把风险管理作为重点领域。《中央企业全面风险管理指引》之后,我国石油企业依靠其有效的内部控制基础,融合了现代企业制度框架下的风险管理理念,开始了全面风险管理的探索,使企业的风险管控能力不断提升。
三、石油企业实施全面风险管理现状以及存在的问题
《中央企业全面风险管理指引》后,石油企业依据指引的要求,努力建设全面风险管理体系。深入宣传风险管理理念,培育风险控制文化,完善风险管理组织体系。开展了构建安全环保体系、实现全面预算管理等管理活动,逐步推进全面风险管理。建立了业务流程管理基础规范与涵盖公司全部业务领域的流程架构。以财务报告风险控制为切入点,初步完成了各级流程的梳理。将风险控制措施落实到业务流程中,实现重要风险与关键控制的规范设计。建立业务流程管理信息系统,统一业务流程数据库,实现流程设计、控制测试信息化。
但应清醒地认识到,石油企业的风险管理仍处于探索阶段。与全面风险管理的实质内涵相比,还存在以下几个方面的不足:
第一,对风险管理的重要性认识不足,风险管理执行不力,实践中对内部控制和风险管理的关系认识含糊。有的企业将内部控制视为全面风险管理的手段,有的企业将风险管理视为和内部控制并列的独立系统。这种模糊的认识造成现实中企业基层管理者对重复建设体系的反感,并且造成全面风险管理体系的建设与内部控制有所脱节。
第二,过于注重合规性而忽略了风险管理的实质作用。一些企业在全面风险管理工作中只注重手册和制度文件的编写,而容易忽略如何执行制度、监督与报告制度执行状况、矫正制度执行偏差等方面。
此外,在高风险的环节和领域、关键控制点的预警、应对和跟踪不到位,风险管理的运行机制还需要进一步改进和完善。
四、石油企业加强全面风险管理的对策
(一)完善全面风险管理内部环境。培育有特色的企业风险管理文化。石油企业要通过开展行之有效的风险培训,提高员工的风险理论水平,培养专业人才,建设风险管理队伍。通过开展多样的宣传活动,增强员工的风险意识,使风险管理意识转变为员工的职业态度和工作习惯。同时,要营造全员参与、自觉执行的内部氛围,各级领导人员要发挥表率作用。
应当建立健全全面风险管理组织体系。要明确组织系统在风险管理中的基础性作用,确保风险管理部门健全,职责明确。石油企业可以构建立体的风险管理机构,建立三级风险防线。①第一级风险防线。它由部门负责人、独立的风险管理委员会和内部审计部门承担。部门负责人负责监控其管理部门员工的日常工作,确保员工按照公司规定的程序及职责权限工作。成立由总经理负总责的风险管理委员会,组织领导企业的全面风险管理工作;同时,在委员会下可以设立风险管理专职部门,直接对风险管理委员会负责。内部审计部门负责公司的内部控制系统及控制程序,确保股东投资及公司资产的安全性。②第二级风险防线。它由审计委员会负责,公司内部审计部门直接归属审计委员会领导。③第三级风险防线。它由董事会负责,对风险管理政策和程序做最后的决策。
(二)完善全面风险管理制度体系。不断完善全面风险管理制度体系。石油企业应探索一套符合自身特点的、覆盖所有业务流程的全面风险管理制度体系,促进风险管理的制度化、规范化、系统化。同时,根据法律法规、监管理念以及业务流程的变化,及时进行补充完善。首先,要着力抓好业务流程管理工作,要明确业务流程管理职责,完成流程分层分级设计,统一定义、结构和编码。还要以风险管理为核心、强化控制为重点,开展全面业务流程梳理;其次,结合实际,编制简单实用的风险指引。企业要从方便员工实际操作出发,结合风险管理工作流程,按照统一的格式,形成风险管理指引表和风险数据库,使得每个部门、岗位和员工可以快速了解其自身工作所涉及的风险及威胁程度,在实际工作中能够注重防范。
(三)建立适应全面风险管理的信息系统。一些石油企业为了固化公司的核心业务流程与管理流程,促进信息的准确、及时流通,建立了完善的OA办公系统。公司所有的经营与管理活动如生产运营、财务核算、资产管理、投资管理、资金管理、人力资源管理、审计等全部通过ERP系统完成。
为了更有效率地实施全面风险管理,石油企业应建立一个专门的风险管理信息系统。这个风险管理信息系统中的风险信息数据可以采取直接录入的方式,也可以从企业的其他信息平台如ERP系统中获取。该信息系统在功能上,涵盖了全面风险管理全部基本流程对信息的需求;在范围上,面向企业内、外部的各种风险,覆盖全面风险管理的全过程。
(四)加强风险管理监督工作,建立风险管理激励约束机制,全力提升风险管理执行力。企业要建立起业务部门、风险管理职能部门、内部审计部门和外部专业机构相结合的四位一体风险评价模式。一是做好风险管理的自我监督。业务部门定期对风险管理工作进行自查,及时发现缺陷并改进;二是强化各层次的测试检查,风险管理职能部门定期对业务部门的风险管理工作实施情况进行检查,提出调整和改进建议;三是内部审计部门至少每年一次对企业的全面风险管理工作进行评价,形成监督评价审计报告;四是聘请外部的风险管理专业机构对企业的全面风险管理实施情况进行评估,出具报告。
为了让每位员工重视风险管控工作,提升风险管理执行力,可以将风险管理与企业管理层、执行层的绩效考核和薪酬相结合,通过考核促使企业各个层面重视风险管理。同时,建立责任追究制度,对于因重大决策失误造成风险损失的责任人进行责任追究,提高风险管理的责任意识和执行力。
主要参考文献:
[1]孙合珍.关于建立企业风险管理体系的思考[J].财务与金融,2010.4.
风险全流程管理篇(8)
1.1实施内控与风险管理是炼化企业可持续发展的基础保障
随着经济全球化的不断深入,规避风险将成为炼化企业未来的发展方向。因此传统的企业管理模式已不能适应炼化企业的发展,只有结合自身业务特点,以流程管理为纽带,整理内控与风险管理流程,完善与其相关的各项管理制度,协调各项业务之间的联系,创新管理理念和思维方式,规僻风险,才能提高炼化企业的核心竞争力,才能为企业的健康和可持续发展提供基础保障[2]。
1.2实施内控与风险管理是炼化企业提升管理水平的需要
实施内控与风险管理就是从炼化企业的实际出发,根据企业内外部经营环境的变化,优化完善控制流程,找到适合企业运行的内控与风险管理体系,从根本上消除隐患死角和风险盲区。同时实施内控与风险管理体系建立起来的监督考核机制,使企业的风险管控作用得到加强,规范了炼化企业的运行秩序,从而提高企业的管理效率[3]。
1.3实施内控与风险管理是炼化企业提高风险应对能力的需要
在炼化企业实施内控与风险管理过程中,完善了重大决策、投资、财务、采购、销售等高风险领域的重大风险控制,制定了有效的防控措施和应对预案,真正把风险管理与企业的关键业务环节紧密结合起来,建立适合炼化企业业务特点的风险量化分析和监测预警机制,从而提高了炼化企业对风险的预警能力、反应速度和应对水平[4,5]。
2炼化企业内控与风险管理现状分析
根据炼化企业内控与风险管理的特点,从5个方面对其现状进行分析[6~9]。(1)炼化企业基本完成内控与风险管理体系建设。在内控与风险管理体系建设过程中,炼化企业不仅借鉴了国际先进的管理经验,还创造性地建立了完善的内控体系框架,形成了系统的内部控制规范,实现了炼化企业内控体系建设、运行和维护的统一标准和行动准则。实现了与国际先进管理方法的融合,促进了经营管理的系统化、程序化和规范化。(2)炼化企业内控与风险管理水平不断提高。借鉴国际大企业风险管理实践,研究建立企业风险评估方法。以财务报告为切入点,对炼化企业主要业务领域的风险进行了评估。结合内外部形势变化和企业经营管理实际,持续开展重大风险评估,完善风险管理策略和解决方案,健全了全面风险管理报告编制工作机制。随同业务流程梳理,全面评估经营风险,建立经营风险数据库,实现从财务报告风险评估向经营风险评估的拓展。(3)炼化企业创新运用流程管理方法,实现岗位职责、风险控制与业务流程有机结合。炼化企业制定了业务流程管理制度,建立企业统一的业务流程架构,涵盖炼化企业全部业务领域,实现了业务流程的标准化和规范化。企业还建立了业务流程管理信息系统,形成了规范的业务流程数据库,实现流程管理信息化、控制测试信息化。炼化企业通过开展业务流程梳理,明确管理职责,识别并有效控制风险,形成覆盖经营管理全过程的业务流程管理规范。(4)炼化企业建立健全了内控监督机制,提升了内控与风险管理的执行力。讲流程、讲规范、讲控制成为企业各级管理人员的广泛共识。炼化企业已经形成了内控与风险管理体系审计测试、考核评价、持续改进的良性循环,使企业的各项业务都用相关制度、规范来检查要求,促进了内控与风险管理体系的持续有效执行。(5)炼化企业通过实施内控与风险管理体系提高了全员的风险意识,丰富了企业文化。通过强化内控与风险管理的宣传培训,提高了全员对内控与风险管理重要性和必要性的认识,树立了风险无处不在、风险无时不在、风险管理责任重大的风险管理理念,形成了以守法意识、诚信意识为重点的风险管理文化,丰富了企业文化内涵。
风险全流程管理篇(9)
一、全面风险管理和内部控制概念
(一)全面风险管理的概念
全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。
(二)内部控制的概念
内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。
(二)管控范围相互包含
从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。
(三)管控视角侧重不同
从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。
(四)管控目的存在差异
从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。
综上所述,能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素,进行准确全面的度量和评估,建立初始信息框架,是全面风险管理工作流程起始点,因此,要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上,提出各种应对措施及方法,内部控制措施其必要性与风险系数呈正相关的关系,并依据风险内容制定控制机制与实施,企业在生产运营管理中,通过使用具体的内部控制措施的有效工具,对各类风险进行控制、评估,从而监控管理潜在的各类风险爆发隐患。
三、企业内部控制体系实施
随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。
建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。
(一)基于财务报告相关基础的SOX内控体系
初步建立以《萨班斯》财务报告为基础的一套内控体系,主要关注内控组织和制度的建设,完成体系的搭建,内外部审计中,均顺利过关,遵循工作总体有效,主要建设效果如下。
1.搭建内部控制体系组织架构和体系
内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。
按照内部控制建设目标和原则,通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设,完善了基本的内部控制设计,业务流程范围覆盖了企业所有业务部门,形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点,形成内部控制手册和矩阵。
2.梳理规范业务操作
梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。
3.提升风险管理意识
通过结合基于财务报告相关的内控建设初步的风险管理体系,深化了内控的管理细度,实现了将与财务报告相关的内控要求融入日常工作,与业务运营融合,提升了业务执行效率与效果,增强了风险管理意识。
4.内部控制落实
企业通过部门层面内控常态化管理项目的实施,将公司层面的控制落实到部门层面,控制的执行更加明确,转换部门角色,把部门由受控主体转变为控制的主体,形成部门内控闭环管理体系,实现部门内部控制的建立、执行、测试及跟进闭环管理,将控制真正融入到日常工作之中,避免内控管理与生产管理“两张皮”。同时,建立并完善内部信息沟通渠道即内控月报制度,内控月报涵盖了各部门日常工作中涉及的相关内控工作,实现与公司内控职能管理部门财务部的有效沟通。
5.加强内控执行监督
为加强对内控业务执行的监督力度与执行效果,设置考核体系和评价体系,企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式,以加强业务部门对内控管理工作的重视程度;在日常监督检查方面,采取了部门层面内控闭环管理体系,通过明确各部门内控自测要求,促进业务部门开展自测,并与内外部审计等检查实行有效衔接,主动发现风险,从而达到关注重点、聚焦实质的目标,将内控风险管理工作和业务管理工作有机的结合在一起。
(二)以风险为导向、面向业务运营的全面内控体系
开展企业层面的风险评估,编制全面风险评估报告,全面优化SOX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。
1.搭建业务框架
内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。
2.增设关键控制,注重前后评估
一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。
根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。
3.合并同质控制
通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。
4.梳理标准规范
考虑系统维护量增加,效率降低,以及未来的可扩展性,兼顾控制基线要求,适当强化部分控制,为不断增多的系统提供统一、标准的控制规范,统一了各信息系统的整体控制要求。此外,通过梳理与财务报告相关性系统,考虑其是否产生计费话单或生成财务数据,是否传输或存储财务数据,对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴,而是纳入日常管理流程。
5.实施内控系统固化
伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。
(三)以全面风险管理为视角的内控体系
遵循COSOII框架的全面风险管控体系,组织开展重大风险管控项目试点,促进风险管理工作与业务的深度融合,主要关注风险评估和风险应对,实现向全面风险管理过渡,不断完善其风险体系和内控体系建设,构建与以全面风险管理视角的内控体系,其主要建设效果如下。
1.深化风险文化
作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。
2.构建风险体系
企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。
全面风险管理工作从上述六类风险角度出发,营造企业自身文化;梳理公司各业务和内外部环节存在的风险,健全风险防范制度,构建风险防范体系。通过与利益相关方的沟通,提升公司形象,加强公司的廉政建设。
首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。
其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。
再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。
最后,加强利益相关方沟通管理和需求回应,全面提升社会形象。
企业通过上述措施制订执行全面风险管理工作计划,明确责任,评估各项风险发生的可能性和发生后对公司的影响程度,并对风险的重要性程度排序,确定公司面临的各种风险,细化落实相关计划与措施,定期开展回顾总结,监督执行情况、提出改进建议,完善风险管理的闭环管理机制,将风险管理的工作要求与业务运营管理相融合,切实做好日常的风险管理控制。
3.提升管理水平
通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。
4.关注重点风险,内控业务对标
随着企业管理日益精细化,相关内控要求与业务制度也在持续优化更新。在生产经营过程中,运用正向、逆向思维,梳理内部控制制度和业务管理制度,内控制度设计覆盖业务管理全过程,关注重点高风险和舞弊领域,业务制度是内控制度执行依据,内控制度是将业务制度中与内控相关条款归纳、整合。基于此,从内控合规角度出发,查找设计不合规或两者不一致的内容,进而完善内控要求与业务制度,实现全部内控业务流程对标,并将此项工作纳入内控常态化管理工作范围,不断完善内控体系。
上述内控体系特点为,建立企业统一的、标准化的内控手册和矩阵;控制点要求落实到具体部门和责任人,确保有效落地执行;内控管理执行部门和风险管理监督部门各司其职,相互制衡;全面覆盖涉及企业所有业务单元,涵盖生产、市场和管理等各业务线条;采用风险评估的方法,以风险为导向,关注关键环节风险管控;将内控与业务活动的紧密融合,避免“两张皮”;利用信息化手段固化内控要求,充分发挥信息系统优势。
四、未来全面风险管理内控体系的实施建议
(一)将企业风控管理和战略管理结合在一起
战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。
为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。
(二)全员参与自主风控
全面风险管理是长期性工作,涉及企业生产和管理整个过程,需要全员上下共同参与实施,也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求,评估企业关键性业务的状态,避免业务执行和风控执行信息不对称;实行自主动态风控管理,使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求,从而不断提升全员风险管控意识,做好重大风险自主评估;增强内控与业务融合度,确保关键业务自主内控合规;深化内控管理信息化的建设,实现内控要求系统自动控制;推动审计发现问题整改复查,发挥审计检察闭环监督价值。
(三)强化风险监控预警,有效完善内控体系
企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。
风险全流程管理篇(10)
中图分类号:D9
文献标识码:A
文章编号:16723198(2015)13017602
企业法律风险是企业在生产经营过程中由于企业外部法律环境发生变化,或企业故意或过失违反法律或约定义务或未按照法律规定行使权利,而对企业造成的负面后果的可能性或可能承担的责任和损失。企业自从设立之日起就面临着各种法律风险,涉及公司法、合同法、知识产权法、税收法等法律法规,其表现形式复杂多变。与其他风险相比,法律风险具有更强的可预知性和可控制性。法律风险管理,是指将法律作为一种管理资源渗透于企业的生产经营管理中,依据法律和政策的监管要求,遵循风险管理的基本规则,明确法律风险环境信息、法律风险评估、法律风险应对、监督和检查的全过程。它强调从管理的角度对法律风险进行识别、评价与控制,是一个持续循环、不断改善的动态过程。也就是通过系统规范的操作流程增强法律管控能力,促使企业最大限度防控风险,得国内国际竞争优势。
1企业法律风险管理起源及发展
1.1国家法律法规要求企业完善法律风险管理
2006年6月,国务院国资委了《中央企业全面风险管理指引》,对合同风险管理工作的总体原则、基本流程、组织体系、风险评估、管理策略、解决方案、监督与改进等进行了系统描述,并将企业法律风险作为企业全面风险管理的重要的不可分割的一部分。法律风险管理是全面风险管理的重要组成部分,对战略风险、运营风险、财务风险、市场风险的管理起到支撑作用,把好法律风险这一关对企业风险控制具有统领全局的意义。2008年6月,财政部、证监会、审计署、银监会、保监会五部门联合了《企业内部控制基本规范》,随后《内部控制应用指引》、《内部控制评价指引》等配套指引相继出台,明确指出企业应围绕总体经营目标,全面识别、系统分析生产经营中与实现经营目标相关的风险,科学合理确定风险应对策略,提高经营管理水平和风险防范能力,合理保证企业经营管理合法合规。
1.2企业目标战略实现要求企业完善法律风险管理
美国美孚石油公司于1882年成立法律部以来,至今已有一百多年的历史。在经济全球化的环境下,企业可以在更大的范围和更广的领域合理配置资源,但市场竞争也将更加充分和空前激烈。我国加入WTO后国内外市场正在逐步融合,市场竞争规则越来越规范和透明。尤其近年来,国有大中型企业“走出去”的步伐不断加快,面临的市场竞争环境变得更为复杂,在国际市场上面临的法律风险日益增多。企业需要提高认识,注重防范潜在的金融、市场、地域文化等风险,建立适应国际化要求的有效法律风险管理机制,合理控制风险,将法律风险管理前移,实现“事后补救”向“事前防范”的全面转换,从源头上进行防范和控制法律风险。
2企业法律风险管理基本原则
2.1纳入企业全面风险管理原则
企业面临的风险是多方面的,包括自然风险、投资风险、市场风险、财务风险等等,许多风险并不是截然分开的,存在交叉和重叠,往往可能会相互转化。法律风险与其他各种风险的联系最为密切,关联度最高。法律风险管理作为企业风险管理体系的组成部分,法律风险管理体系建设的目的就在于以现行法律法规为依据,以对企业历史数据的研究为基础,通过系统科学的方法对企业法律风险进行定性和定量分析,掌握企业法律风险全局,确定重点,集中力量应对。通过实现企业法律风险与其他风险管理的有机整合,从而提高风险管理的整体效率和效果。
2.2融入企业经营管理过程的原则
法律风险产生于企业的经营管理活动中,其识别、分析、评价和应对都离不开企业经营管理过程。多年来的企业风险管理实践使企业逐渐认识到,发生在企业内部不同管理部门,不同业务领域或不同的生产经营环节的风险,相互此消彼长,如果企业仅从某个部门、某项业务、某个环节角度去考虑风险,可能会造成资源的浪费,乃至贻误风险管理时机。而企业自身更熟悉本企业的经营情况,更了解风险状况,因此,企业法律风险管理应根据风险组织的特点贯穿于整个企业经营管理过程中。
2.3全员、全过程实施原则
员工是管理的根本。由于法律风险产生于企业日常经营活动的各个环节,法律风险管理不能仅仅依靠法律顾问、法务部门、律师事务所等外部资源,更要发挥企业自身的优势,要企业全员参与法律风险防范机制建设和落实工作,包括企业的法务部门(或人员)、各岗位员工分工负责。注重发挥企业内部资源,将完整的企业法律风险管理机制嵌入企业各个部门的实际工作中。与企业日常经营管理的各个环节、各个业务流程,乃至各个岗位结合起来,以形成法律风险管理的长效机制。
2.4管理流程规范化规则
企业实施任何行为都需要遵守法律规定,法律是贯穿企业经营活动的一个基本依据。法律风险管理要根据企业经营管理的业务流程,将相应的法律风险管理要求嵌入企业的日常经营管理之中,使其渗透到企业经营的各个方面,实现流程管理。从整个企业运行出发,在充分诊断业务流程各环节,分析业务流程存在的法律风险点及评估法律风险的基础上,以法律为依据,用市场经营的法则,着眼于建立一套统一、完整、清晰的管理流程、管理制度和应对机制,实现法律风险防控与企业管理完全对接,满足企业法律风险管理流程化要求。
2.5持续改进原则
企业法律风险并非一成不变,而是动态发展的,随着内外部法律环境的不断变化,风险种类、性质和表现形式不断发生变化。企业应实时跟踪法律风险环境的变化,通过及时监督检查法律风险管理流程的运行状况,确保应对计划的有效执行,并根据发现问题研究改进方法,对下一周期的法律评估和风险控制管理改进和调整,企业进入下一个法律风险管理循环,对随时产生、发现的法律风险进行识别、分析、控制及效果测评,形成一个动态的法律风险管理和体系,使得法律风险管理流程成为一个可持续运转的闭环。
2.6“预防第一”原则
当前,法律风险防范机制作为企业一项基本的战略性的管理方式,就是将企业法律工作重心前移,变事后处理为事前预防,把法律风险防范作为企业一项常规性的管理工作,融入企业和个部门的实际工作中。对企业构建企业法律风险防范机制的目的在于增强企业法律风险管理的前瞻性、主动性、计划性和时效性。通过定期法律风险体检,依据严格的法律风险检验流程和规范,对企业法律风险环境和法律风险管理水平做出客观、准确评判,并提出相应预防、改善措施,从而提高企业的抗风险能力,达到清除企业各类法律风险隐患的目的。
3企业法律风险管理策略
3.1提升企业法律风险管理能力
加强普法教育、法制宣传和法律风险管理培训,进一步强化企业决策者、管理者和普通员工增强法律风险意识,提高法律风险管理能力。牢固树立“依法、合规、公平、诚信”的理念,使“依法经营、合规经营”真正地内化于心、外化于行、固化于制。一是通过多种形式法制宣传、开展关键岗位人员法律知识培训,以及普法教育进基层、进车间等途径积极组织学法遵法、依法办事,推动形成良好的法制环境。二是在各部门、各单位成立法律风险管理活动联络组,通过各环节法律风险管理情况汇报与沟通,建立贯穿上下级、各单位的风险管理信息传递渠道,实现信息共享和快速响应,形成信息“传递、研判、核实、分析、反馈”闭环机制。三是结合企业生产经营实际,明确工作流程,并逐步推进制度和标准进车间、入班组、到岗位,建立健全制度执行、检查、评价、反馈、考核、改进的闭环管理机制,确保制度的严肃性、权威性和执行刚性。
3.2企业法律风险管理与企业管理工作有机结合
企业法律风险管理长效机制建立可以不断提高管理水平和风险防御能力。企业通过对内控机制的整合,将法律风险防控机制进一步向日常经营管理活动延伸,嵌入人力资源、财务管理、物资采购、市场营销、科技管理、国际业务、生产运营等业务流程,突出重点,进一步优化业务管控流程,构建法律风险防控机制的完整链条,全面提高法律风险事前、事中、事后防御能力,有效地消除和化解风险,全面提升企业法律风险防控能力。根据企业经营管理的业务流程,将相应的法律风险管理要求嵌入企业的日常经营管理之中,将其渗透到企业经营管理的各个方面,将法律风险管理与业务流程和管理环节的完全融合,实现流程管理。
3.3企业法律风险管理与企业发展紧密相连
企业法律风险管理的目的在于促进企业战略目标的实现。企业战略目标指导企业法律风险管理行为,有效控制法律风险也是企业的战略资源,企业法律风险管理保障着企业战略目标的实现。因此,法律风险评估和应对等企业法律风险管理活动中应充分考虑法律风险与企业战略目标之间的相互关系、影响等因素。企业法律风险管理应当根据企业经营管理战略确立管理目标,确定企业整体法律风险种类和法律风险可承受范围。针对企业不同经营周期以及在不同时期的发展重点,对法律风险管理战略和措施进行适时调整,使风险管理切合企业自身发展实际,符合企业不同时期的发展需要,最终实现企业法律风险管理战略与企业战略思想和发展目标高度一致。
3.4加快企业法律风险管理创新
按照依法治国和依法治企要求,以制度标准体系建设为基础,将法律风险管理关口前移,结合企业生产经营实际,建立完善的法律风险评估机制和预警机制,研究法律风险成因,尽早识别和消除法律风险根源,提前预防。根据风险级别,从制度规范建设入手,将所有的经营管理都纳入法律风险控制体系中,以各岗位职责为突破口,着眼于全员参与和全过程控制,突出重点,优化法律风险控制的制度流程,实施绩效考核和动态监控、评价,随着企业法律环境和经营发展战略的不断变化,法律风险防控的重点也相应适时调整、实时更新。不断调整和完善防控措施,对法律风险实施持续、系统、动态的防控,实现从单纯防范法律风险向防范管理风险的转变,促进法律风险防控体系不断升级完善。
风险全流程管理篇(11)
摘 要:在体制上全面风险管理与内部控制分别由国务院国资委和财政部提出,并在国有企业中广泛实施,全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的。但由于分别有同的国家部分主抓,从而形成了在企业内部也会又不同的单位和人员来分别从事全面风险管理和内部控制管理,造成了企业内部机构设置繁冗、业务交叉重复等现象。因此研究全面风险管理与内部控制相融合非常必要。
关键词 :全面风险管理;内部控制;融合
中图分类号:F275文献标志码:A文章编号:1000-8772(2015)10-0179-02
收稿日期:2015-03-20
作者简介:曹江涛(1976-)男,汉,陕西咸阳人,大学,会计师,陕西华燕航空仪表有限公司企业管理部部长,研究方向:企业管理。
全面风险管理是国务院国资委提出并推行的。全面风险管理是通过一定的方式识别出企业所有的风险,然后依据一定的标准对识别出的风险进行排序,寻找出企业应当重点关注的风险,再根据风险的属性采取相应的应对方案予以防范风险。其中绝大多数风险都是要依靠应对方案对风险进行控制,预防其发生或者将其控制在最小范围。
内部控制是财政部提出并推行的。内部控制是依据一定的标准对企业的流程进行审理,找出缺陷然后改进缺陷,以防止风险的发生。
可以看出全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的,但是在管理推进过程中,全面风险管理与内部控制形成了各自的体系,并在企业中并行开展。这样的做法在初期对于推动该两项项管理活动有很大帮助,但是也造成了企业内部机构设置繁冗、业务交叉重复、推诿扯皮、资源浪费等问题的出现。因此,研究风险管理与内部控制的融合具有很现实的价值。
一、组织体系的融合
全面风险管理与内部控制在组织体系设计上无论是层级还是职能都基本一致,所以便于融合。
全面风险管理的组织机构设置为三级,分别是风险管理委员会、风险管理办公室和部门风险管理小组(风险管理员)。其中,风险管理委员会是顶层决策机构,风险管理办公室是组织推进管理单位,部门风险管理小组是具体执行单位。
内部控制组织结构设置也分为三级,分别是企业级的内部控制领导小组、内部控制管理办公室和各部门内部控制管理员,其职能分别是决策、归口管理和实施。
因此,组织机构的融合可以采取合并方式,以全面风险管理组织机构为主,风险管理办公室在管理人员上要兼顾内部控制管理的专业人员。
二、管理语言的融合统一
在两个体系融合过程中建立统一的风险控制语言非常重要,有利于管理中信息的传递和管理行为的一致性,避免概念含糊不清导致的管理混乱。统一语言的原则是既可以保证语言的一致,也要保证两个体系的全面融合,避免融合过程中失去内控的对风险管理的辅助优势。
需要统一的语言首要的是对风险的名称定义方式,全面风险管理与内部控制对风险名称的定义办法完全不同。在全面风险管理中,对具体风险事件的名称没有统一规范,均采取描述的方式表达,描述规则是风险事件的“表现+影响”。例如:“应收账款超过诉讼时效导致无法收回”就是对应收账款风险中的一项具体风险事件的描述。对二级风险名称定义是按照业务类别定义的。例如财务风险可分为应收账款风险、现金管理风险、现金流风险等等。对一级风险名称的定义一般是按照风险的属性定义的。例如:战略风险、财务风险、市场风险、运营风险、法律风险等等。
在内部控制管理中,仅有缺陷的概念,而没有风险的概念,但缺陷导致的结果就是风险。内部控制对缺陷的分类是与流程级别对应的,也就是说一级流程缺陷、二级流程缺陷的名称定义方式是“流程名称+缺陷”。例如采购缺陷、采购付款缺陷等。缺陷所导致的风险也没有统一的命名方法,与风险管理一样是采用“表现+影响”的描述方法。
通过上述分析我们发现,对于具体风险事件的命名方法全面风险管理与内部控制管理基本是一样的。对于二级、一级风险(或者缺陷),全面风险管理与内部控制管理命名方法虽然不同,但全面风险管理一、二级风险包含了内部控制管理的一、二级缺陷,因此,在体系融合过程中,可以统一管理语言,即不再使用缺陷的概念,而统一使用全面风险管理的风险概念。
三、风险识别方法的融合
全面风险管理中,风险识别方法有初始信息识别法、分类识别法、头脑风暴识别法、流程分析识别法、价值链分析识别法等。通过这些方法的综合运用,识别出各业务单元、重要业务活动和重要业务流程中的风险。
内部控制识别缺陷(即风险)是通过对业务流程进行实际观察和穿行测试的方法,测试流程是否可以满足控制目标的方式来查找流程缺陷。内部控制识别缺陷的方法确定性很强,因此,该识别方法可以直接融入风险识别中来,为了管理中的语言统一,我们可以把内部控制的这种识别风险的方法命名为流程识别法。
这样的融合既满足了内部控制对风险的识别,也充实了全面风险管理对风险的识别方法。
除此之外内部控制还有通过不相容职务的识别来查找风险的方法。这个方法可以被风险管理借鉴,也作为风险识别的一个方法。
四、风险分析方法的融合
全面风险管理的风险分析就是在识别出风险的基础上,对风险发生的原因、风险发生的可能性以及风险发生后的影响进行甄别与描述。这一过程与内部控制基本是一致的。
内部控制在查找出缺陷的基础上也要对缺陷可能导致的风险进行分析与评价。两者的分析方法没有本质区别,因此完全可以合并融合。
五、评价标准的融合
在全面风险管理中,通过风险识别、风险分析后,依据事前制定的风险评估标准,对风险进行评估。评估是通过对风险发生的可能性和风险发生后的影响程度分别打分(1-5份),然后将这两个分值相乘所得的积作为对某一风险的评估值。而内部控制管理中,通过识别缺陷、分析缺陷后,依据事先制定的标准,根据缺陷的风险发生后的影响,分为重大缺陷、重要缺陷和一般缺陷。由于内部控制对于缺陷的评价仅限于影响程度层面,而且影响程度的评价与风险影响程度的评价维度基本一致,因此,可以将内部控制对缺陷的评价标准纳入风险评估标准中的风险发生后的影响程度这一维度中,并根据企业的实际情况对风险评估标准进行适当修改,以便可以充分反映出内部控制评价的要求。这样就可以实现全面风险管理与内部控制的评价标准的融合。
六、风险应对方案的融合
在全面风险管理中,对风险评估结束后,根据风险评估值的大小排序,企业选择其中重大、重要风险进行重点管控。对重大、重要风险的管控是通过制定相应的风险应对方案来实现的。应对方案包括制度、流程保障以及针对风险特性所制定的一系列措施。
在内部控制管理中,对缺陷评价后,无论缺陷重要与否,都应当制定措施、完善流程以达到最大限度地控制风险发生。
内部控制所采用的通过对流程梳理完善以达到控制风险的方法,其实也是全面风险管理中的重要方法之一,可以完全融入全面风险管理之中,即在风险应对方案中要求必须对相应的控制流程进行分析评估,对有缺陷的流程进行完善,以确保有效控制风险的发生。
七、体系的融合
所谓体系的融合就是要把现在的两个管理体系有机地融合在一起,包括组织体系、管理方法、管理语言、评价标准等,统一为一项管理,并能兼顾原来两个体系各自的优点。
通过对上述六个方面的分析,可以看出在全面风险管理与内部控制体系融合中采用吸收融合法可以满足原来两个体系的管控功能,即以风险管理体系为主,通过统一评价标准、统一语言、合并组织体系、融合识别方法、融合分析方法、融合评价方法和融合应对方案等措施,丰富和完善全面风险管理体系,取消内部控制管理体系。重点在评价标准修订、识别风险环节和风险应对环节充分吸收和兼顾内部控制管理的方式、方法,就能使原来的两个体系有机融合。
融合后对体系运行情况的审计评价,则由原来对两个体系的评价改为对一个体系的评价,评价方法不变。
八、融合前后的流程示意图对比
