企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。
企业风险管理是:
- 一个过程,它持续地流动于主体之内;
- 由组织中各个层级的人员实施;
- 应用于战略制订;
- 贯穿于企业,在各个层级和单元应用,还包括采取主体层级的风险组合观;
- 旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内;
- 能够向一个主体的管理当局和董事会提供合理保证;
- 力求实现一个或多个不同类型但相互交叉的目标。
这个定义比较宽泛。它抓住了对于公司和其他组织如何管理风险至关重要的关键概念,为不同组织形式、行业和部门的应用提供了基础。它直接关注特定主体既定目标的实现,并为界定企业风险管理的有效性提供了依据。
管理的基础
企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时,要确定承受多大的不确定性。不确定性可能会破坏或增加价值,因而它既代表风险,也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。
当管理当局通过制订战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以最大化。
管理的内容
企业风险管理包括:
- 协调风险容量与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容量。
- 增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。
- 抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及由此带来的成本或损失。
- 识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险。
- 抓住机会——通过考虑全面范围内的潜在事项,促使管理当局识别并积极地实现机会。
- 改善资本调配——获取强有力的风险信息,使得管理当局能够有效地评估总体资本需求,并改进资本配置。
企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标,防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规,还有助于避免对主体声誉的损害以及由此带来的后果。总之,企业风险管理不仅帮助一个主体到达期望的目的地,还有助于避开前进途中的隐患和意外。
- 事项——风险与机会
事项可能会带来负面的影响,也可能会带来正面的影响,抑或二者兼而有之。带来负面影响的事项代表风险,它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响,或者说代表机会。机会是一个事项将会发生并对目标——支持价值创造或保持——的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订过程中,以便制订计划去抓住机会。
管理的组成
企业风险管理基本框架包括八个方面内容: 内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等8个要素构成。
(一)内部环境
中央企业内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。其中特别是中央企业领导班子的风险偏好,决定了中央企业对可能出现的预料之外的事件的态度,中央企业管理层必须明确战略及其执行过程中的风险和回报。
(二)目标设定
根据国资委确定的任务或预期,管理层制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。管理层必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。企业风险管理就是提供给企业管理层一个适当的过程,将目标与企业的任务或预期联系在一起,保证制定的目标与企业的风险偏好相一致。
(三)事项识别
企业风险管理要求辨别可能对实现中央企业目标产生负面影响的所有重要情况或事件,事项识别的基础是将可能的风险与环境进行对比。这要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。
(四)风险评估
一般用可能性(概率)和影响结果两个指标度量风险。风险评估的过程根据不同的情况,采用定性和定量相结合的方法。若可以获取充足的数据,可采用决策风险定量评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则可采取定性的评估方法。
(五)风险应对
中央企业要对每一个重要的风险及其对应的回报进行评价和平衡,据平衡的情况采取包括回避、接受、共担或降低这些风险。风险应对是中央企业风险管理的整体重要组成部分。
(六)控制活动
控制活动包括在整个组织使用的审核、批准、授权、确认以及对经营绩效考核、资产安全管理、不相容职务分离等方法。这是中央企业管理层设计的政策和程序,为执行特定的风险应对措施提供合理保证。
(七)信息与沟通
风险信息必须以一定的形式和框架进行交流,使中央企业员工、管理层履行各自的责任。中央企业必须对各种数据和信息流进行加工,形成关于企业风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式3种有效的交流形式。员工的风险信息交流意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与中央企业管理层进行交流,中央企业管理层应当重视员工的意见。
(八)监控
中央企业应通过持续的监控和独立的评价活动,监控企业风险管理的有效性。持续监控以日常经营中发生的事件和交易为对象,包括中央企业管理层和专门的监控人员的活动。
