|
一、问题的提出
2004年9月美国COSO委员会发布的企业风险管理整合框架,其中很重要的一个变化是企业风险管理框架拓展了内部控制框架的风险评估要素,创造了四个构成要素――目标设定、事项识别、风险评估和风险应对,使原来内部控制中的五要素,拓展为企业风险管理的八要素,为什么要对此细化呢?笔者的理解是COSO试图让这个框架在风险评估这个环节更具体,更有指导性,体现了其和对风险评估要素的重视及强调,虽然它并不否定其他构成要素的重要性。
我国内部控制基本规范中虽然还是提五要素,但在第三章“风险评估”中也借鉴了COSO的表述,包含了目标设定、事项识别、风险评估和风险应对四个方面的内容。关于风险识别,在第二十二条和第二十三条列示了企业内外部各种风险因素。
按照COSO的定义,事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事项可能带来正面或负面的影响,或者两者兼而有之。在事项识别有过程中,管理层认识到不确定性的存在,但是并不知道一个事项是否会发生,或什么时候发生,或者它所带来的确切影响。事项有的很明显,有的很隐晦;所产生的影响有的微不足道,有的十分重大。
笔者认为在企业风险管理构成要素中,事项识别是需要管理层重视的一个问题,也是风险管理工作中一个不好掌握的环节,它是风险评估的起点,与目标紧密相连。在实务工作中,这个要素怎样识别,由谁来确认事项,运用什么工作方法,怎么区别对待机会和威胁并启动不同的风险响应机制,是一个难题。事项、发生的可能性及对其的评估,“在实践中很困难,因为通常很难知道到底应该把底线画在哪儿。”管理层重视事项识别这个环节,并在实际工作中明确岗位职责,建立有效的工作机制,才能做到寓风险管理持续地流动于主体之内的要求。
二、事项识别的主体
事项识别的主体是管理层。企业风险管理要求企业的每个员工都要对风险管理负有一定的责任,首席执行官负有首要和最终的责任,其他管理人员在各自的职责范围内依据风险容限去管理风险。风险官、财务官、内部审计师等通常负有关键的支持责任。企业其他人员按指引和规程去实施风险管理。在企业实际工作中,问题有三个,其一,不同的管理层自上而下认识和努力程度是否一致;其二,不同岗位的人员素质及能力水平是否符合要求;其三,缺乏专责机构,事项识别职责不明。
首席执行官(CEO)负责建立企业风险管理的所有构成要素。CEO要领导和指引其他高级管理人员共同做好事项识别工作,要培养管理团队有共同的风险管理价值观、原则,要使风险管理理念和文化在企业广泛、深入地普及。只有上下认识一致,共同努力,风险识别工作才能做好。
管理层的特定岗位的胜任能力水平是事项识别的重要制约因素。管理人员需要一定的知识与技能才能做好这项工作,人在认知风险事项时是有局限性的,尤其是复杂的经济和社会现象,人们往往认识不清,比如前两年源于美国次贷危机引发的全球金融危机,一开始,很少人认识到它的危害性、影响深度及广度。事项识别需要管理层敏锐的视角,勇于负责的态度,丰富的经验和明确对等的权责分配及监督。
事项识别必须在管理层特定机构和特定岗位明确职责。责任到人,才不会导致由提倡“人人有责”变成“人人雅责”,管理层要通过逐级授权,让不同的管理者分担与其分部、业务单元、子公司对应的风险管理责任。事项范围需要按一定的方法进行归类,事项识别漏项要有处罚制度,保证管理层内部权责明确,赏罚分明。
我国企业可以结合自身实际情况,建立以总裁或CEO为首的风险管理委员会,下设具有跨部门、跨单元风险管理职责的专职或兼职的风险管理办公室,各部门、子公司、各单元的负责人为各自单位的风险管理责任人,在各部门、子公司、业务单元设专职风险管理岗位,内部审计部门对风险管理工作进行再监督,这样一种风险管理主体架构。
三、事项识别的工作机制
企业要建立一定的工作机制来保证事项识别工作得到贯彻落实。除了CEO负有全面责任外,风险官、财务官、内审部门负有相对于其他管理层人员更重的事项识别职责,企业风险管理部门、财务部门、法律部门相对于其他部门有更多的风险管理责任,应明确其岗位职责。CEO要定期地约谈、督促相关岗位和部门的管理人员协助其做好这方面的工作。对于事项识别,管理层应建立报告制度,不同层级发现的事项,要按照一定的标准上报,企业要事先规定不同情形的事项如何处置。风险官、财务官、内审部门、风险管理专门机构,要有事项识别具体工作要求,对事项识别的周期、范围、时机、深度和广度做出规定,定期报告,对于特定的事项范围,明确由哪个管理角色来承担。要建立基层员工反映不寻常事项的顺畅渠道,鼓励和引导全体员工积极参与风险管理工作,建立奖励制度。运用科学的方法和有效的工作组织,事项识别工作才能做好。
四、事项识别的难点
不同事项影响企业生存和发展的环境,使企业面临的机会与风险发生变化。事项识别的难点在于事项的广泛性,相关性,相互依赖性,不确定性和可识别性。
所谓广泛性是说事项众多,纷繁复杂。既包括外部因素,如经济、环境、政治、社会、技术因素等,也包括来源于企业内部的各种因素。即使在经济因素里面,事项也数不胜数,如国际金融危机、国家产业政策调整、资金成本变化、行业竞争性准入的变化等等,从企业内部因素看,如人员方面,安全事故、合同到期、薪酬政策等,将可能影响企业人力资源的获得,给企业带来停工损失或使企业形象受损。
相关性是指事项与目标之间的是否有因果对应关系,人们通过界定这些事项,能够提高人们发现风险与机会的能力。事项识别必须围绕着目标的实现来确定的,只有影响战略实施或目标实现的内外部事故和事件才属于事项的范围。
相互依赖性是指事项通常不是孤立地发生的,一个事项可能引发另一个事项,事项也可能会同时发生。如一项资本性开支(固定资产更新改造)因为缩减性财务政策而推迟实施,可能导致停工或延期交货。有时,事项之间的关联性也要进行分析研究才能得出。当事项之间存在相互关联,或者事项结合或相互影响产生显著不同的可能性或影响时,管理层就要把它们放在一起来评估。
不确定性是指事项是否如期发生,企业风险管理的实质就是平衡企业在创造价值的同时,能够承受多少不确定性。在企业经营所处的环境中,诸如经济全球化、技术、重组、变化中的市场、竞争和管制等因素都会导致不确定性。不确定性来源于不能准确地确定事项发生的可能性以及所带来的影响。
可识别性指事项发生或即将发生时,能否被管理层识别。风险实际上更多地来源于管理层没有识别到有着负面影响的事项,在事项发生时,管理层没有意识到它会给企业带来影响。事项识别还包括要将代表着机会的事项反馈到管理层的战略制订或目标制订过程中。企业的事项识别能力也与其运用的技术方法紧密相关,也有一个培养和提高的过程。
事项识别的深度、广度、时机和范围因主体而异。对于以上这些难点的充分认识,有助于企业风险管理抓住“牛鼻子”,抓住关键事项。
五、事项识别的方法
企业风险管理整合框架介绍了一些事项识别的方法和技术,如事项目录,内部分析,扩大或底限触发器,推进式的研讨与访谈,过程流动分析等等。除了应用上述方法来识别事项,框架还建议企业内部将潜在的事项进行归类,设计一个事项分类图,将内外部因素下所包含的各事项细分,使管理层尽量做到完整地识别事项,不至于漏项。一些公司按照其目标的分类来设定事项的分类,不同层级,不同的组织单元、职能机构或经营过程都按各自目标来归类相关事项,这样形成一个完整的列示。
通过学习企业风险管理整合框架,对于事项识别问题,笔者认为有难点,具体工作组织环节也容易被忽视,但是对于风险评估和应对来说,它又是起点,直接影响工作成效,要通过明确事项识别工作主体,使用科学方法和符合企业实际的工作机制,才能保证顺利完成事项识别工作,紧紧围绕着企业的目标,提高见险评估的水平,有效推进企业风险管理工作。
(编辑 杜 昌)
转载注明来源:http://www.ybaotk.com |
上一篇:浅析国有企业股权激励制度的改革下一篇:川江号子现状调查报告
|