【摘要】目前,國外關于COSO企業(yè)風險管理框架應用于企業(yè)實踐的研究剛剛開始,但是國內這方面的實踐運用還很少。本文以撫順石化公司內部控制制度的建設和實施為例,僅就COSO企業(yè)風險管理報告提出風險識別與風險應對等,在我國加工制造企業(yè)的實際運用作一些探討。
引言:如果把市場比作大海,企業(yè)就是大海中乘風破浪的一艘艘帆船,無論大船還是小船,都要經(jīng)歷市場風浪的考驗。而風險就是市場上一排排風浪與暗礁,他們隱匿于大海之中,不住地窺望著帆船,時時刻刻準備把帆船吞溺于汪洋大海之中。
風險與經(jīng)營管理就像一對孿生兄弟一樣,隨著企業(yè)的發(fā)展壯大和市場的不斷變化而呈現(xiàn)出不同的面貌,企業(yè)的管理者在經(jīng)營過程中通過各種手段力爭將風險控制到最低來保證經(jīng)濟利益的流入。世界經(jīng)濟邁入二十一世紀以來,美國境內發(fā)生的“安然”、“施樂”和“世通”等財務舞弊事件引發(fā)了社會公眾對保護投資者利益的爭議,公司財務信息披露的法律遵循性開始備受重視,財務信息披露的真實性和完整性受到了社會眾多的密切關注。2002年美國總統(tǒng)布什簽發(fā)了《薩班斯-奧克斯利法案》(簡稱薩奧法案),這對海外上市公司的經(jīng)營管理提出了新的挑戰(zhàn)。由于各種不確定性因素的存在,企業(yè)面臨著客觀存在的各種風險,企業(yè)能否對風險進行有效的識別和應對,是企業(yè)能否生存發(fā)展、能夠實現(xiàn)企業(yè)預期目標的關鍵。企業(yè)的風險控制是企業(yè)內部控制體系的重要構成部分,無論是影響全球的COSO報告還是國家有關規(guī)范制度,都強調了對風險進行控制的重要性。
一、風險識別(risk idintification)
風險無處不在,有效地識別風險就會使風險的控制有的放矢,從而消滅這吞溺企業(yè)的風浪和暗礁。按照風險管理學科對風險的分類,企業(yè)的風險可劃分為市場風險、產品風險、經(jīng)營風險、投資風險、外匯風險、人事風險、體制風險、購并風險、自然災害風險、公關風險、政策風險和外交風險等;按照能否為企業(yè)帶來盈利劃分,企業(yè)風險可劃分為純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存)。按照企業(yè)實現(xiàn)目標層次劃分,企業(yè)風險相應劃分為企業(yè)戰(zhàn)略風險、企業(yè)日常經(jīng)營管理風險和財務風險。但所有的風險都貫穿于企業(yè)經(jīng)營的各個過程中。
風險識別是企業(yè)全面風險管理的第一步,是對企業(yè)面臨的、以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。應遵循全面性、系統(tǒng)性、制度化和經(jīng)常化等原則。由于風險隨時存在,因此風險識別和風險分析的過程是一個循環(huán)往復的過程。在撫順石化分公司的風險識別過程中,筆者將企業(yè)風險識別分成以下幾個步驟進行:
(一)按照全面性和系統(tǒng)性原則梳理業(yè)務范圍,建立風險控制流程
撫順石化公司是一家以石油加工煉制為主的特大型石油化工聯(lián)合企業(yè),在風險控制流程的建立中,將經(jīng)營活動劃分為規(guī)劃計劃、建設過程、物資采購、生產過程、產品銷售、存貨、財務資產、人力資源、內部審計和合同糾紛等幾大類,全面系統(tǒng)地梳理并確定了公司經(jīng)營活動的業(yè)務流程。
在確定業(yè)務流程的基礎上,還對每一大類業(yè)務流程進行了細化,依據(jù)管理的細化程度,進一步劃分各級子流程,形成了層層嵌套的流程樹狀體系。如圖1所示。
(二)按照制度化和經(jīng)常化原則,對風險控制流程建立風險數(shù)據(jù)庫
為了全面地評估風險數(shù)據(jù),公司對每一個子流程都進行了風險分析,風險分析以“找出關鍵控制點,建立風險控制文檔和流程控制程序”為目的,建立并健全公司的風險數(shù)據(jù)庫。如圖2、圖3所示。
在風險控制文檔和流程控制程序中,針對每一個流程步驟,分別從是否為經(jīng)營決策風險、是否違反了法律法規(guī)、是否致使財務報告失真、是否使資產安全受到了威脅和是否有營私舞弊的現(xiàn)象等五個方面進行歸類;同時,對于控制目標的類型從完整性控制(completely)、準確性控制(accurate)、有效性控制(valid)和接觸性控制(relative)四個方面進行分類。通過這些分類,將為每一個流程步驟設定出風險控制點,再對風險控制點進行全面歸集,就形成了完整的企業(yè)風險數(shù)據(jù)庫。
(三)對風險數(shù)據(jù)庫進行風險評估分析,設定關鍵風險控制點
撫順石化公司的風險數(shù)據(jù)庫建立在COSO框架的目標基礎上,COSO框架的風險應對目標主要有三個方面:
1.針對企業(yè)的基本目標來確保經(jīng)營的效果和效率(Effectiveness and efficiency of operations),包括業(yè)績、盈利目標和資源的安全性;
2.確保財務報表的可靠性(Reliability of financial reporting);
3.確保企業(yè)對法律法規(guī)的遵循性(Compliance with applicable laws and regulations)。
依據(jù)上述三項目標,對風險數(shù)據(jù)庫的各項風險數(shù)據(jù)進行了篩選,將影響上述三項目標的風險數(shù)據(jù)設定為關鍵風險控制點,建立了關鍵風險控制數(shù)據(jù)庫。
二、風險應對(risk response)
在對公司的經(jīng)營風險進行了逐一識別后,公司需要樹立風險組合觀,按照“避免風險,減少風險,分擔風險,接受風險”原則,對公司的風險實施了有效控制。目前,各公司的現(xiàn)行做法各有不同,撫順石化分公司著重從以下幾個方面進行分析和控制。
(一)設立組織機構進行風險控制
加強對風險控制的組織領導,成立風險管理委員會,企業(yè)成立了以總經(jīng)理為主任,分管業(yè)務的副總經(jīng)理、財務總監(jiān)或總會計師為副主任,各業(yè)務部經(jīng)理、財務部經(jīng)理以及外聘專家為成員的風險管理委員,其職責是審查批準企業(yè)風險管理體系方案,具有對風險業(yè)務的最終決策權。
(二)開展風險評價和風險應對,成立風險管理部門
以現(xiàn)行管理制度為基礎,建立企業(yè)統(tǒng)一的風險管理體系,提高經(jīng)營管理水平,成立風險管理部門。直接對風險管理委員會負責,具體負責企業(yè)的風險管理工作。
(三)風險管理的指導思想、總體目標和基本步驟
1.企業(yè)風險管理的指導思想
以企業(yè)發(fā)展戰(zhàn)略為總體目標,達成共識,識別戰(zhàn)略風險,有效規(guī)避戰(zhàn)略風險;以提高企業(yè)自身管理水平的需求為動力,努力建立完善的企業(yè)風險管理體系,全面提升企業(yè)管理水平;以國家法律法規(guī)為依據(jù),從管理理念、管理手段、管理方式入手,合理控制或規(guī)避企業(yè)法律風險;以企業(yè)管理和財務監(jiān)督為中心,以日常企業(yè)管理檢查、考核為手段,針對企業(yè)日常管理中的薄弱環(huán)節(jié)和控制缺陷,實現(xiàn)全面風險管理體系與QHSE現(xiàn)行管理制度體系的有機結合;規(guī)范企業(yè)內部企業(yè)管理流程,完善管理方式和行為,有效防范經(jīng)營風險,提高經(jīng)營管理水平。
2.企業(yè)風險管理的總體目標(見圖4)
3.基本步驟
第一,建章建制,規(guī)范業(yè)務流程的操作。
規(guī)章制度的健全與有效執(zhí)行,是企業(yè)內部操作的行為準則。根據(jù)風險管理記錄模板,將企業(yè)現(xiàn)有的控制措施與現(xiàn)有的規(guī)章制度進行對比,發(fā)現(xiàn)風險管理記錄的差異。風險管理記錄的差異一般有兩種情況:一是有管理,但沒有形成正式的規(guī)章制度;二是有管理,也有相關規(guī)章制度,但沒有達到所確定的風險管理記錄的要求。通過這兩個方面的差異分析,確定風險管理中存在的缺陷。
第二,對企業(yè)風險管理體系進行系統(tǒng)測試。
在企業(yè)風險管理體系的建立過程中,需要反復地進行系統(tǒng)測試。從業(yè)務流程描述、風險數(shù)據(jù)庫的建立最終到發(fā)布實施,都要有層次、分步驟地進行系統(tǒng)測試。一般做法中,主要的系統(tǒng)測試方法有以下幾種:跟單測試、關鍵控制測試、管理層測試、控制環(huán)境測試、信息系統(tǒng)測試和跟蹤測試等。
筆者以以撫順石化分公司的跟單測試流程為例,說明企業(yè)風險管理體系進行持續(xù)改進過程。如圖5所示。
第三,建立考核與評價機制。
為強化風險管理,企業(yè)實施了情況的檢查與考核制度,建立配套的獎懲制度,定期對風險管理制度的執(zhí)行情況進行檢查和考核,對出現(xiàn)的問題及時整改解決,并在執(zhí)行中逐步完善,對不執(zhí)行或執(zhí)行不力的,予以嚴懲。定期提出企業(yè)風險管理檢查結果,并向企業(yè)考核部門提出獎罰意見。
第四,利用信息化手段,加強企業(yè)風險管理。
企業(yè)以強化企業(yè)風險管理為契機,推進企業(yè)過程化控制和信息化管理。在保證企業(yè)風險管理有效運作的前提下,要求信息傳導和反饋要快捷、準確,利用信息化手段提升企業(yè)資源計劃(ERP)管理理念,結合企業(yè)管理實際,研發(fā)并推行適合企業(yè)自身發(fā)展的ERP軟件,提高企業(yè)風險管理水平。
第五,制定和實施企業(yè)戰(zhàn)略規(guī)劃,防止戰(zhàn)略風險。
企業(yè)推行了謹慎的發(fā)展戰(zhàn)略,突出主業(yè),三思而后行。適度采用多元化經(jīng)營,緊密圍繞主業(yè),謹慎涉足自己不熟悉或者沒有競爭優(yōu)勢的領域,并從人力資源、資金資源、資產資源和信息資源等多方面加強企業(yè)風險管理。
三、企業(yè)風險識別和風險控制的局限性
撫順石化分公司通過近兩年的風險控制管理,取得了一定的管理成績。
(一)有效的風險識別與應對,僅僅能幫助企業(yè)實現(xiàn)經(jīng)營目標,但是有效的企業(yè)風險管理體系,不能使平庸的戰(zhàn)略目標變得卓越。由于政策的變化、競爭對手行為的不確定性以及經(jīng)濟環(huán)境的變化等外因影響,不能保證企業(yè)一定成功。
(二)不能確保財務報告的可靠性和法律法規(guī)的遵循性。內控制度是企業(yè)目標的實現(xiàn)向管理層和董事會提供合理的、而非絕對的保證。內控系統(tǒng)的內在局限性包括以下現(xiàn)實情況:決策判斷可能失誤以及簡單的人為錯誤可能導致重大紕漏。
(三)無法保證合伙同謀繞過風險應對措施規(guī)定。
總之,我國企業(yè)內部控制普遍薄弱,尤其入世以來,我國企業(yè)在國際競爭市場這片大海中揚帆遠航,不斷面對來自國際市場競爭壓力和經(jīng)營發(fā)展不確定性因素的風浪與暗礁,企業(yè)的掌舵人開始將目光轉向建立和完善企業(yè)風險管理體系,以確保在風浪和暗礁出擊下,企業(yè)這艘帆船穩(wěn)健前行,持續(xù)改進健康生存發(fā)展能力,實現(xiàn)預期的戰(zhàn)略目標。
