浅谈风险管理的“形神合一”——以中国联通风险管理实践为例,本文主要内容关键词为:风险管理论文,中国联通论文,形神论文,为例论文,浅谈论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
2004年,美国COSO委员会在内部控制框架基础上,提出了企业风险管理(Enterprise Risk Management, ERM)的概念,并将ERM定义为:由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中的一个过程,它旨在识别可能会影响主体的潜在事项和风险,以使其控制在该主体的风险容量之内,并为主体目标的实现提供合理保证。2006年6月国务院国资委正式颁布《中央企业全面风险管理指引》,标志着中国企业走上风险管理的轨道;2007年全国工商联颁布《民营企业风险管理指引手册》,之后中国银监会、证监会、保监会也都相继颁布了行业和企业的风险管理规定;2009年国家质量监督检验检疫总局和中国国家标准化管理委员会发布《风险管理原则与实施指南》。中外有关风险管理的制度规范相继出台不仅进一步拓延了内部控制理论,也推动了企业风险管理实践的发展。笔者认为,风险管理的核心要点应集中在风险识别并实现对风险的可控上,这应是企业开展风险管理的内在要求和关键实质,也是企业开展风险管理的必由之路。由于在组织风险识别和实现风险可控的模式上无现成套路可循,一定程度上使得众多企业在面对风险管理时,难免处于一种“神易会”而“形难循”的状况,因此风险管理的开展模式也就成为当前企业风险管理的难点问题。笔者拟以中国联合网络通信有限公司(以下简称中国联通)的风险管理实践为例,通过剖析其风险管理模式实际操作重点,进一步探讨风险管理的“形神合一”问题,为企业开展风险管理提供相关参考。
一、实践与探索
风险管理的核心工作是提供有关企业所面临风险的重要信息以及如何对这些重要信息进行风险管理,因此开展风险管理之前应首先理解其构成要素。 COSO委员会明确指出风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等八个方面的要素构成。不难发现,风险管理与内部控制天然相辅相成且共为合力:企业风险管理的八要素是在包括内部控制的全部五要素前提下,增加了目标设定、事件辨别和风险反应这三个要素,虽然风险管理与内部控制所定义的对象有所不同,但这并不影响风险管理与内控建设工作的互相融通,因而在企业管理实践中,风险管理框架增加的这三个要素,可视为进一步拓展内部控制深度和广度的需要。从这个意义上来说,两者互相影响和补充。
(一)与内控建设相结合,明确风险管理的着眼点。企业风险主要有财务报告失真风险、资产安全风险、营私舞弊风险、经营决策风险、违反法律法规风险等,这些风险都必须通过制定风险管理办法、落实风险评估责任和风险应对措施来防范,从而有效防止投资建设、资产保值、系统安全、市场竞争等风险的产生和恶化。因此,作为定义为过程管理的风险管理,企业在开展日常工作中就应重点聚焦于风险识别、风险评估、风险应对等一系列过程。简单归纳起来,风险管理的主要内容如图1所示。
从图1可见,虽然风险管理由八大要素构成,但对已基于风险管理为源动力而开展内控建设的企业而言,风险管理的主要内容可相对集中在上述五个环节,即着重于以风险评估为主的可形化和闭环化的风险管理。中国联通自开展内控建设以来,就充分意识到风险管理与内控建设的密切相关性,明确将风险梳理列为内控建设的前提基础,每半年自上而下组织全国性的风险评估工作,并以此为重点持续推进风险管理,不仅促进了公司内控建设的健全性和有效性,同时也逐步探索出了一套可行的风险管理模式,使风险管理有重点、有抓手地得以落实推进。
(二)与现有架构相适应,健全分级风险管理组织。任何管理模式的建立及持续发展,都有赖于一个得力组织的“牵引”和“保障”,风险管理模式的建立与完善也不例外。中国联通自开展内控建设以来,逐级建立的内控及风险管理机构是公司实施有效风险管理的保证,同时在逐级设立组织机构时注意避免割裂化另设的弊端,注重强化风险管理与内控建设这两大管理工作的紧密关联度,建立统一阵营共同推进。
由图2可见,中国联通各级从事风险管理的组织机构中,其职责都明确包含了内部控制与风险管理,这种设置方式有助于公司在落实内部控制五要素和风险管理八要素时,因组织架构形成合力而促使两者工作目标得以高效达成;另一方面,由于集团公司内控与风险管理委员会负有对识别风险、评估风险等一系列风险管理工作层层把关和指导监控的职责,且可借助省市两级基层机构具体开展风险评估的成效,因此这种“分兵把口”的组织模式可以促使公司最大限度地统筹应对风险,尤其是系统性的风险问题,从而降低风险对公司的负面影响程度,以达成公司风险管理的目标。
组织机构实际设置中注重横纵融通也尤为关键。图2中中国联合网络通信有限公司广西分公司(以下简称“广西联通”)的内控及风险管理办公室之下共设6个专业组,负有评估生产经营全过程潜在风险并制定切合实际的风险管理方案之责,同时由位列第一的部门组织小组各成员及所辖单位选择和运用各种应对风险策略与措施,防范风险事故发生以减少风险损失,将风险控制在可容忍的范围内。另一方面,财务部作为企业经营管理结果的综合反映部门,全部涵盖至6个专业组,这有助于评估具体事项时,借助其广泛参与度及其专业特性,整合和渗透相关信息,以便全方位地开展风险评估。
(三)以可操作促推进,制定规范的风险评估模板。很多企业开展风险评估时常常面临“点多形散”、组织难度不小且成效不明显的状况:一方面执行过程中往往该关注到的风险没关注到或关注到时已严重滞后,另一方面由于各级风险管理岗位的管理者和员工的知识与技能有可能不尽全面或素质参差不齐或人员流动频繁等原因,风险评估结论时不全或应对措施操作性不强。上述这类问题如得不到有效解决,无疑会降低风险管理效果。
广西联通自2007年开始风险评估工作以来,通过“两个结合”和“两个工具”,积极探索应对上述难点问题的工作方式。所谓两个结合,一是结合过程数据而有的放矢开展风险评估,二是结合统一制定的标准化模板指导和组织各级风险评估;所谓两个工具,即风险案例库和风险目录。以下笔者通过例举广西联通开展风险评估的主要形式,分析其在推进风险管理中的作用。
1.关口前移,有针对性地开展风险评估。广西联通经过不断实践探索,从最初以任由各级单位无序报送的被动型风险评估,逐步转变为关口前移的主动型风险评估,通过类似表1的提示表方式,从源头和过程中抽筛重要信息加以剖析和评估。如表1所列示的网间结算支出,为公司对外支出的成本项目,该成本项目与收入乃至产品套餐关联性极强,且在公司成本结构中占比较大。对这类项目的初始做法是由市分公司或市场线上的专业小组上报后才进行风险管理,但后来发现这种做法在评估工作这个环节,往往风险早已渗透至各个方面,负面影响已然存在且消亡难度较大,显然这种“来料加工”式的做法很难适应风险管理实质要求,为此广西联通自风险管理开展的第二年即探索采用按月自动过滤且自上而下组织评估。
如表1例举的系统数据显示,区公司风险管理委员会提出了相应评估意见,提示专业部门和分公司共同寻找是否存在套餐设计漏洞而导致结算倒挂的问题,并要求相关单位在规定时限内完成原因剖析并及时解决。这种关口前移的风险评估方式,自2007年年末以来广泛运用并逐年完善。以这种方式试行的第二年,广西联通结合当时内控重点就设计出了32张风险评估提示表并大都固化于IT系统中,其中市场类内容涵盖资费执行、积分兑换、赠款情况等共18张表,其他14张表则主要集中于资产、工程、营业款及通信终端等方面。广西联通采用这种前移化提示的风险评估模式,在客观上增强了风险评估工作的时效性,不仅有效地避免了以往各级风险管理单位盲目填列等问题,而且通过这种提示表定期整理出“风险案例库”并在风险评估季度会上推出,极大地促进了公司风险管理工作。执行前移式风险评估当年中期至今,公司收入保持两位数增长,利润当期实现扭亏为盈并自此驶入良性发展轨道。
2.模板统一,规范开展风险评估。几年来,广西联通还结合公司管理各期的内部控制需要,于2008年起在前移式风险评估的基础上,统一了各级风险管理信息模板(见表2),在促进风险管理有效推进的同时也促进了各级相关工作管理通畅和落实有序。
由表2可见,公司经过几年的风险管理实践,自上而下统一的风险管理信息表列示了包括风险类别、风险等级、风险解决方案在内共14个项目,并从2009年起正式启用并沿用至今。正是有了上述标准化的统一信息传递模板,使得公司在对风险评估和管理时可以做到有据可查、一目了然,确保了风险管理得以顺利开展并层层落实。
随着标准化风险管理信息统一管理日渐推广,公司日积月累形成了“风险目录”,截至目前已积累的风险目录就有6类87项。有了风险目录的指引,无论是一直从事风险评估工作的员工还是刚入职的新员工,在其参与公司定期组织的风险评估时,都有了可借鉴和参考的依据,对高效推进风险管理帮助较大。
(四)与绩效管理挂钩,强化风险管理监督体系。企业的风险管理是一个过程管理,目的是保障公司战略目标、经营效率和效果目标、财务报告可靠性目标和现行法规遵循性目标得以有效实现。为此,中国联通管理层在组织风险管理工作时,明确强调各级单位都应根据风险评估揭示的风险,对照确定的风险控制目标,及时制定规避风险的策略和措施,并通过与内控评审紧密结合及融入企业绩效管控的方式,促使风险管理各项工作在管理层的监督下得以持续推进和完善。
图3 中国联通风险管理的监督体系图
风险管理的后续改进和监督执行如图3所示,风险识别是企业风险管理的起点也是关键点,但绝不是风险管理的终点,风险管理的意义取决于企业持续改善机制的建立与健全,而持续改善机制很大程度上需要依靠企业绩效管控的有效引导。广西联通自2006年系统性地开展内控建设和风险管理工作以来,除了定期组织各级单位开展风险评估外,还注重风险评估结果的改进,坚持将评估事项按责任落实(WHO)、落实要求(WHAT)和高效落实(HOW)“三步曲”后续跟进,并将其纳入公司的绩效管控。这不仅极大促进了全员风险管理意识的提升,同时也避免了风险管理工作的“虎头蛇尾”、形同虚设、无疾而终。广西联通正是切实实施了闭环式的风险监督,自2005年年末至今已连续7年顺利通过中美两国三地的内控评审,且连年保持财报审计各期“零调整”的良好记录,一定程度上表明了公司的风险管理成效显著。
二、思考与启示
将风险管理有效转换为企业战略目标的实施过程,是企业做好风险管理的根本,也是企业开展风险管理的基点。透过中国联通风险管理近几年的实践与探索,笔者认为风险管理要实现“形神合一”,“知其神”固然重要,但更重要的是需要企业坚持不懈探求和不断完善风险管理的开展模式,努力做到“形达而神至”。要想做到这一点,笔者认为关键有四:
1.与内部控制紧密结合,风险管理才更有落脚点。从中国企业内部控制和风险管理的发展进程来看,显然内部控制的要求更先于风险管理,尤其对国内首批实施内控建设的国有大型企业而言更是如此。笔者从多年主持公司内控建设和风险管理中体会到,内部控制与风险管理在公司开展无论谁先谁后,无可否认都同样经历过开展初期“从无到有、无迹可循”的茫然和着急。中国联通自2005年起启动内控建设,真正能找到其“形”且成体系化推进的是在2006年,而公司正是因为有了内控建设的基础,当2006年下半年国资委提出中央企业全面启动风险管理工作时,中国联通即确立了风险管理要依托内控建设成果并加以拓延的工作思路,一方面将风险管理作为持续内控建设的前提,另一方面通过内控建设执行中的风险评估、控制活动及检查监督等,推动风险管理工作的具体实施。可见企业在推行类似风险管理这种大型管理活动时,找准落脚点并善于合力非常重要。
2.将被动参与变为主动切入,风险管理才更显生命力。风险管理首先要解决的问题是识别风险,但风险的特性却是无处不在,因此企业如果有能力调动全员树立风险意识、形成对身边事物风险发掘的行为习惯,将有助于企业风险管理的全方位开展。但仅以此模式开展风险管理,显然属于自下而上的“被动式”,手段相对单一且需要全员的大局观和能力水平达到一定高度,因此探索主动模式作为补充十分必要。而关注风险产生的源头应成为“主动式”的切入点,比如投资项目从设计方案、业务发展从用户质量、成本开支从营销策划开始关注等,这些源头端的风险如果都能及早发现并有效防范,那么企业的价值和管理能力必将得到大幅提升。从广西联通各层级分类设置内控及风险管理组织机构、探索并设计风险评估提示表的方式不难发现,企业致力于从源头切入、变被动等待为主动出击的风险管理才是有价值的风险管理,才是企业管理层需要的风险管理。
3.善于融入标准化模式,风险管理才更具操作性。企业在生产运营过程中,所涉风险多而杂,很容易出现管理的“两张皮”问题,因此风险管理要严格按照规定的程序及要求开展,并对风险评估与控制的过程及结果留下规范完整的文档记录,包括风险评估办公例会的会议纪要、抽查的有关文档、填制的风险评估报告等,因为这些内容都将客观反映企业风险评估管理的“轨迹”,但要达成这种“轨迹路径”,需要企业上下有统一而规范的“管理格式”,上述提及的广西联通风险管理实践中采用的《风险管理信息表》、《风险评估提示表》以及风险目录和风险案例库,就是这种管理模式的集中体现,正是通过这些标准化模板的聚焦,才使得企业风险管理有迹可循、操作可行明了。
4.注重配套持续改进机制,风险管理才更长效化。在以风险评估为主导开展风险管理的企业,有能力将这项工作打造为连贯且闭环的常态化工作尤为关键,这需要企业善于将前期各级风险管理信息进行整合、跟进及开展后评估。笔者认为,这方面需要企业风险管理部门发挥重要作用,但由于其涉及面广、人多、事杂,仅以一个部门之力恐难实现,如果能适时、适当地将这项工作与部门和岗位的绩效考核挂钩,无疑会事半功倍。中国联通近几年对各级单位的绩效考核办法中,都将内控建设和风险管理要求纳入考核体系的约束条款,并明确对风险产生的负面后果层层落实责任。可见,对风险管理做到善始善终,方能真正促进风险管理工作的长效推进。
标签:风险管理论文; 风险评估论文; 内部控制论文; 中央企业全面风险管理指引论文; 企业内部控制与风险管理论文; 企业内部控制审计指引论文; 内控体系建设论文; 中国联通论文; 内控管理论文; 风险内控论文; 工作管理论文;