[摘要]企业进行风险评估有利于企业在面对风险时做出正确的决策。现阶段,企业所面临的环境非常复杂,不确定因素也逐渐增多,企业能否建立长久、有效的风险管理机制关系到企业能否在多变的市场环境中做出正确的决策,实现经营目标并提高经济效益。健全企业风险评估机制,应从完善风险评估机制程序、改善环节中的不足,选取合适的评估方法入手,以达到避免、控制、转嫁、保留与承担,降低风险损失和风险防范的目的,保证整体经济健康发展。
根据2005年风险管理的财务执行报告(由美国政府软件供应商OversightSystemsInc提供)调查结果显示:在被调查公司中,大部分仍没有执行风险管理的关键性步骤。近些年来,在我国风险管理也逐渐受到重视,政府相应出台了一系列法律法规来规范风险管理的执行,如2006年6月6日,国务院国有资产管理委员会发布了《中央企业全面风险管理指引》,对中央企业如何开展全面风险管理工作提出了明确要求;2008年4月1日,中国证券业监督管理委员会发布《期货公司首席风险官管理规定(试行)》,要求期货公司设立首席风险官,对公司风险管理进行监督、检查等,这些都使得企业风险管理进一步加强和完善,但同时也存在许多问题。在次贷危机引致的金融风暴背景下,经济放缓给习惯于快速增长的国内企业造成巨大困难,根据国家发改委统计,2008年上半年,全国破产、倒闭的企业高达6.7万家,还有不少企业出现裁员、停产,未来动荡的世界经济局势是对我国企业风险管理能力的巨大考验,企业应加强风险意识和风险管理。
一、风险相关概念的内涵
风险是指在一定环境和期限内客观存在的,导致费用、损失产生的,可以认识与控制的不确定性。很多人在理解风险时,往往把风险与不确定性混淆,事实上,风险的定义只能与目标相联系,风险的最简单的定义是指“起作用的不确定性”,透过这个定义我们可以认识到,与目标并不相关的不确定性应该被排除在风险管理过程之外。
风险评估是风险管理的重要组成部分,是指能够及时识别和科学分析影响企业内部控制目标实现的各种不确定因素并采取应对措施的过程。在实际操作中,大致可以把企业风险评估过程分为风险识别、风险分析和风险评价三个步骤。风险辨识是识别企业所面临的风险,并将风险归类;风险分析则是将识别出的风险放进统一的模型中进行分析处理,做出定量或者定性的分析;而风险评价是评价风险对企业目标的影响,企业影响最大的风险将成为企业风险管理的重点。
根据美国COSO的企业风险管理框架,企业风险管理是指由企业董事会、管理层及其他员工共同参与,并应用于企业战略制定,旨在识别可能对企业造成影响的事项,并在其风险偏好范围内管理风险,保证企业目标的合理实现的过程,本文中的风险的管理倾向于在风险分析的基础上进行风险防范,即采取应对风险的措施。
二、企业风险评估策略
(一)、控制活动策略
企业管理阶层辨识风险之后,应针对这种风险发出必要的指令。控制活动即确保管理阶层的指令得以执行的政策及程序,包括核准、授权、验证、调节、复核、职务分工以及保障资产安全等多种活动。控制活动旨在帮助企业针对“使企业目标无法达到的风险”采取必要行动。一个完整的控制活动体系应包括以下五个方面:
1.企业绩效分析及相应指标的比较。
企业在生产经营过程中会采取各种措施,如价格政策的变化、新产品开发、合资经营、融资行为以及生产技术的改良、生产成本的控制等,高层管理人员应对这些措施的效果进行评价,并与预算、预测、前期及竞争者的绩效相比较,以衡量目标达成的程度,同时对计划执行情况进行监督,还需要调查超出计划的结果或者不正常的趋势,辨认目标无法达成的原因。
2.直接的部门管理。
部门经理应认真复核本部门的经营业绩,检查本部门经营活动的执行情况,并对某项经营活动的前景和趋势进行预测。
3.实体控制。
为保证企业资产的安全完整,应定期进行盘点,并与账面记录比较。
4.信息控制。
包括一般控制和应用控制两方面。一般控制帮助管理阶层确保系统持续、适当的运转;应用控制概括起来就是输入控制和输出控制,如系统软件的控制,存取安全的控制,系统维护控制等。
5.分工。
员工应各司其职,避免交叉、舞弊现象的发生。
控制活动是针对关键控制点而制定的,因此,企业在制定控制活动时关键就是要寻找关键控制点。企业一般根据其经营活动的五大循环即采购循环、销售循环、付款循环、收款循环和理财循环等分别设计其控制活动。在各个循环中,往来账款是最常见的一项业务。导致往来账款业务中出现问题最主要的原因就在于企业缺乏相应的控制政策和控制程序,如岗位分离、授权批准、文件记录、预算控制、实物保全等,或有了这些政策和程序却没有执行。
(二)、信息与沟通策略
围绕在控制活动周围的是信息与沟通系统。一个良好的信息和沟通系统可以使企业及时掌握企业营运的状况和组织中发生的事情。信息与沟通系统的质量影响到企业内部控制的效率和效果。具体包括以下两个方面:
1.信息系统。
一个良好的信息沟通系统不仅要有向下的沟通管道,还应有向上的、横向的以及对外界的信息沟通管道。企业建立良好的信息系统,必须做到:
(1)建立良好的信息系统支持策略;(2)将信息系统与企业营运有效的结合:(3)恰当选择更新信息系统的最佳时间:(4)确保信息品质。
2.沟通。
一个良好的信息系统应能确保组织中每个人均清楚地知道其所承担的特定职务。每位员工都必须了解内部控制制度的有关方面,如这些方面如何生效,在控制制度中所扮演的角色、所担负的责任以及怎样与他人的工作发生关联等。
(三)、内部监督策略
一个健全的内部控制系统必须得到有效的监督。监督是由适当的人员,在适当及时的基础下,评估控制的设计和运作情况的过程,也是一种随着时间的推移而评估制度执行质量的过程。监督可通过日常的、持续的监督活动来完成,也可以通过进行个别的、单独的评估来实现,或两者结合。
1.持续的监督活动。
持续的监督活动在营运过程中发生,它包括例行的管理和监督活动,以及其他员工为履行其职务所采取的行动。持续监督活动包括:(1)绩效比较:(2)外界沟通;(3)内部监督;(4)职务分离;(5)建议制度:(6)信息反馈。
2.个别评估。
在持续监督的基础上,企业在必要的时候需要聘请独立的人员或组织进行评估,以直接监视控制系统的有效性,这种做法是对持续性监督程序的评估。其范围和频率应视风险的大小及控制的重要性而定。
3.报告缺陷。
对内部控制的缺失应由下向上报告,某些重大缺失应报告给高层管理阶层和董事会。
三、健全企业风险评估机制
(一)目标设定
目标设定是风险识别和风险分析的前提,企业应当按照长短期经营目标和战略发展目标,设定相关的经营指标、财务报告指标和资产安全等指标,并根据企业的风险偏好、设定的目标和指标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。在设置风险偏好时,通常由企业管理层制定并由董事会批准,并可以借助企业利用可用资本去承担“最坏情况”风险的百分数是多少等问题进行评定,除此外还要设置风险容忍度,风险容忍度是指实现一项具体目标可以接受的偏离程度,并用那些与度量目标相同的单位进行度量。风险容忍度通常要考虑日常经营风险、偶发事件和极端承受力的容忍度。在经营指标、财务报告指标和资产安全指标的设定方面要考虑其行业特性和指标的有效性,同时在考虑非系统风险指标的同时,还应考虑国家政策变化、汇率变动、金融危机等系统性风险,并为其设定相应指标。
(二)风险识别
通过分析设定的反映经营状况的各项指标如偿债能力指标中的流动比率、速动比率;负债能力指标中的净资产报酬率;资产管理指标中的应收账款周转率、存货周转率;投资风险指标中的偿债收益比等就可以对企业是否存在经营风险和财务风险等非系统性风险做出判断,一般来说,若企业不能达到预定的上述指标值或者出现净资产报酬率为负、流动比率过低等现象则说明企业可能存在内部经营风险或者财务风险。
风险识别要通过日常信息收集或在开展风险管理事项以及企业投资新项目时,对被评价单位的单个指标及综合指标进行分析,估计可能会发生的风险及其可能性,并判断风险发生的影响程度及应该的应对措施,并对超过警戒水平的指标,定期或不定期地向企业领导报告,以达到预警的作用。在企业的日常经营活动中要注意外部市场风险分析,如社会、经济、技术、自然风险等,并编制风险分析报告,时间可以根据不同事项而定,分为定期、不定期,定期报告是指定期对存在或可能产生的风险进行分析;不定期报告是指在每项工作结束时,对存在或潜在的风险进行揭示,及时报告。
(三)风险分析
风险分析是在风险识别的基础上更深入的了解风险,风险分析的目的在于精确的估计和测算风险损失,并作为选择应对措施的基础。风险分析包括考虑风险的来源,评估现有控制措施的有效性,风险发生的概率以及影响,并分析指明导致风险后果和发生概率的各种因素。具体来说,若目前没有采取任何风险管理措施应对固有风险和新增风险,应从风险发生的概率以及影响这两个维度,采取打分的形式,对每一个风险发生的可能性和影响做出估计,并区分风险级别,以便针对不同级别的风险采取不同的应对措施。若已经采用控制固有风险的措施则需要分析现有风险控制措施是否起到有效识别、预防风险及减轻损失的作用,并在风险清单中记录每一项措施涉及和执行的有效性。
四、进一步完善企业风险防范和管理的对策
(一)风险避免
风险避免是指主动放弃或者拒绝实施某些可能引起风险损失的方案,也是处置风险最彻底的一种方法,它能够在风险事件发生之前完全消除由该风险所造成的损失。但风险规避的方法也具有局限性,只有当某一特定风险导致的损失频率和损失幅度都相当高并且采用其他风险管理方法的成本大于收益时才可以使用,否则就会因为风险规避而否定项目的实施,从而也失去项目盈利的可能性。因此,应建立风险事故数据库,它是进行风险预警的有效工具。通过对发生在企业外部和内部的风险事故进行分析,测试企业自身的风险管理程序,能够起到激励和警惕管理层的作用,从而促使其加强风险管理措施的实施并阻止企业内的风险发生,同时建立风险事故数据库,还可以根据导致损失的频率和幅度确定风险防范的措施。
(二)风险控制
风险控制指有意识地采取行动,设法降低损失的概率和损失幅度的方法,主要适用于既不想放弃也不想转嫁的风险,风险控制包括损失预防控制和减少损失控制。在风险控制的方面我们可以采取建立全面有效的内控机制,不仅在业务流程上建立风险管理机制,更要建立全面、有效的风险内控机制,以保障风险管理机制有效执行。主要应对企业分支机构多且分散的情况,因为上述现象的存在导致了企业内部信息的不对称,从而不能真实地反应分支机构经营风险情况,同时为了加强企业内部的风险管理与控制,还可以建立内部审计制度,现阶段下的内部审计制度的重点就侧重于风险审计。
(三)风险转嫁
风险转嫁是将自己面临的损失风险转给他人的行为,这类风险的损失频率与幅度大于采取风险控制措施时,主要可以采取保险和非保险两种方式。采取风险保险的方式主要是将风险转嫁给保险公司,采取这一方式时,应分析投保方案,选择好险种并充分调查保险公司,综合考虑保险公司规模、保费率、信誉等因素;而采用非保险方式转移风险多是借用合同或协议将损失的法律责任及财务后果转由他人承担,可以采取的措施如签订免除责任协议,利用合同中的转移责任条款将损失转移给他人。除此之外还可以出售企业的风险资产,将与相应资产有关的风险转嫁给该项资产购买方。
(四)风险保留与承担
风险保留与承担,也称为自担风险,是指企业依靠自己的资金实力弥补已出现的风险损失的一种方法,是处置残余风险的一种方式。通常适用于无法避免的风险、处理风险的成本高于承担风险所付出的代价并且企业可以安全地承担风险损失。一般来说,企业可以设立应急基金,是指企业分别对所面临的风险进行识别和计量,并根据其本身的财务能力,按照一定的比例预先提取,可以采取一次性转移一笔资金的做法或者定缴款长期积累的方式,用以补偿风险事件所致损失的一种基金,通常这种办法用于应对那些可能引起较大损失,但损失无法直接摊入经营成本的风险。
五、结论
企业进行风险评估有利于企业在面对风险时做出正确的决策,现阶段企业所面临的环境非常复杂,不确定因素也逐渐增多,企业能否建立长久、有效的风险管理机制关系到企业能否在多变的市场环境中做出正确的决策、实现经营目标并提高经济效益。本文说明了企业加强风险评估与管理的紧迫性,介绍了风险、风险评估及风险管理的内涵,并详细阐明健全企业风险评估机制的着眼点及企业加强风险防范与管理的措施,在加强企业风险防范及管理的措施方面可以通过风险规避、控制、转嫁和自担四种方式防范,并介绍了相应的具体措施。
在当今数字化时代,随着企业信息化程度的不断提升,网络安全问题变得越发突出。对于集团公司而言,保护其重要数据和系统安全至关重要。为了解决这一问题,很多集团公司会选择寻求专业的安全技术咨询服务。那么,如何选择适合集团公司需求的安全技术咨询服务呢?以下是一些建议:
2024-04-28安全管理与生产管理是企业管理中两个重要且密切相关的概念。虽然它们都旨在确保企业的运营效率和员工的安全,但在实践中却有着明显的区别。本文将从多个角度对安全管理和生产管理进行比较,以帮助读者更好地理解二者之间的不同之处。
2024-03-01在当今竞争激烈的商业环境中,企业不仅需要追求经济效益,还必须注重环境、健康和安全(EHS)方面的管理。在这种背景下,构建EHS文化和推进QHSE(Quality, Health, Safety, Environment)管理体系成为企业不可或缺的工作。本文将探讨这两个重要主题,并介绍如何在企业中实施和推动它们。
2023-12-20员工是企业最宝贵的资源,他们的健康和安全对于企业的发展至关重要。为了保障员工的身体健康和工作安全,企业需要建立健全的员工健康与安全管理机制。本文将探讨员工健康与安全管理的重要性,并提出相关的措施和建议。
2023-12-12在现代工作环境中,安全意识的重要性愈发凸显。尤其是在高风险行业中,如化工、石油等领域,防火防爆安全知识的掌握和应用更是至关重要。为了保障员工的安全与健康,我们致力于建立一套完善的HSE(Health, Safety and Environment)培训矩阵,旨在提升员工的安全意识和技能,共同打造和谐的工作环境。
2023-12-11在现代商业环境中,企业面临着各种不同类型的安全风险。这些风险可能来自外部威胁,也可能源于内部问题。了解并识别这些风险对于保护企业数据、资产和声誉至关重要。以下是企业主要的安全风险类型:
2023-12-07