精华内容
下载资源
问答
  • 企业风险管理的意义
    千次阅读
    2021-02-23 16:22:07

      风险管理又被称作危机管理,它是一个管理过程。它包括了对企业风险的一个确定、评估、度量以及企业在发展过程中应付风险的相关策略。风险管理的目的,顾名思义,主要是要把能够可以避免的风险减至最小,其成本和损失能够最小化。

      一般来说,理想的风险管理是一连串排好优先次序的一个过程,使得能够可以引起最大损失和最有可能发生的事情可以得到优先处理,而那些相对风险较低的事情或者可能发生概率较小的事情则压后处理。但是,这个优化的过程往往在现实情况里难以很好地决定好,因为任何风险以及发生的可能性常常并不是一致的,所以通常需要权衡两者的比重,从而便于作出最合适、最合理的决定。同时,风险管理也要面临一个难题,那就是有效资源的运用,因为这会涉及机会成本(Opportunity Cost)因素。把资源用于风险管理,可能会使能够运用于回报活动的资源减少,而理想的风险管理则正是希望能够花最少的资源而尽可能地去解决、去化解最大的危机。

      风险管理的基本程序包括了风险的识别、风险的估测、风险管理方法和风险管理效果评价等几个环节。

      风险的识别。风险的识别指的是每个经济单位或个人对他们所要面临的以及可能潜在的风险加以判断,然后归类整理,并且对风险的性质进行鉴定的一个过程。

      风险的估测。风险的估测指的是建立在风险识别的基础上,通过对之前所收集的大量详细的损失资料进行分析,并且运用概率论和数理统计等方法,估计和预测出风险发生的概率以及将会达到的损失程度。风险估测的内容主要包括两个方面,一个是损失频率,另一个是损失程度。

      风险管理方法。风险管理方法可以分为两大类,一大类是控制法,它的目的是为了降低损失频率和损失程度,其重点就在于能够改变引起风险事故和扩大损失的各种条件;第二大类是财务法,这类风险管理方法是在事先就做好相关的吸纳风险成本的财务安排。

      企业进行风险控制的意义主要体现在以下几个方面。

      首先,增强抵御风险的能力。科学的风险控制措施,能够提升企业在面临风险时决策的科学性,使企业在面对不可预测的市场风险时能够尽可能地减少损失。

      其次,提升企业的经济利润,确保企业的健康发展。企业进行生产运营的根本目的是实现理想中的利润,但是随着市场竞争的加剧,要实现这一目标所面临的困难也在不断增加。而企业风险控制的实施,有助于企业能够对诸多困难有一定的准备,确保企业的经济利润不会出现剧烈波动。

      最后,保证国民经济的可持续发展。企业是市场的主体,企业的健康发展是整个国民经济可持续发展的前提。风险控制措施的实施,提升了企业的生存能力和管理水平,使整体的国民经济处于平稳的发展态势之中。

    更多相关内容
  • 分析内部控制与风险管理对煤炭企业意义,探讨当前我国煤炭企业存在的内部控制制度不完善、观念落后等问题,提出优化企业环境、建立风险管理系统、提高员工素质等措施,改善煤炭企业的管理方式,促进煤炭行业的持续健康...
  • 为了推进企业风险防控体系建设,提高企业管理水平,使企业管理者充分认识到风险防控体系建设对于企业可持续发展的重要意义,特别是对于煤炭企业而言,近年来市场疲软,价格下跌,企业经营风险、资金风险集聚,做好风险防控...
  • 品生命周期管理(ProductLifecycleManagement-PLM)系统已经在国内多家企业实施推广应用。其中既不乏系统推广效果显著,为企业发展直接助力的成功案例;更不乏项目实施过程跌宕起伏,项目超支或严重拖期的案例;还有项目...
  • IT项目管理从某个意义上来说,就是风险管理。从理论上讲风险管理可以分为三个部分:风险识别、风险分析和风险解决。传统的风险管理系统只能帮我们较正规地统计和管理风险,这些系统本身是不能规避或解决任何风险的。...
  • 有关风险管理的研究已取得丰富的成果,但是针对风险管理在施工企业的实施状况和施工技术人员对风险管理的重视程度情况的研究还未见诸文献。本文采用调查问卷的方式对40位施工技术人员进行了问卷调查。调查结果显示有...
  • 风险管理对于项目成功意义重大,在项目的生命周期中,风险不断的出现并干扰项目的正常开展,对项目目标的达成带来各种不利的影响;如何有效识别和管理风险日益成为企业关注的重点;对于这种情况中存在的风险若能够提前...
  • 本文以工程项目风险管理审计的意义为切入点,对工程项目风险管理审计的内容进行了论述,分析了建设工程项目审计风险的成因,最后针对性的提出了工程项目风险管理审计的对策。
  • 一、企业风险管理与内部控制之间的关系  风险管理是指企业在经营过程中,发现与了解企业各个业务层面中所蕴藏的风险,通过风险管理策略,达到企业的预期战略目标的过程。  内部控制是指企业为了保证战略目标的...

      一、企业风险管理与内部控制之间的关系

      风险管理是指企业在经营过程中,发现与了解企业各个业务层面中所蕴藏的风险,通过风险管理策略,达到企业的预期战略目标的过程。

      内部控制是指企业为了保证战略目标的实现,对企业战略制定和经营活动中存在的风险予以管理的相关制度安排。

      风险管理是做正确的事,内控控制即正确的做事,两者之间相互依存的、不可分离。

      二、企业风险管理与内部控制之间存在的问题

      (一)风险管理意识淡薄,风险评估机制有待加强

      企业目前所面临的风险主要包括战略风险、财务风险、法律风险、运营风险、市场风险。每个风险大类下又有很多细分风险。目前,我国金融银行业比较重视风险管理,其他行业企业在这一块有明显的缺失,大部分企业只是每年度通过问卷调查,评出企业年度重大风险。但这种方法较为主观,且对问卷调查内容的质量以及评价方法提出很高的要求。

      (二)风险的有效防范措施力度不够

      风险和目标息息相关,不少企业管理层为了达到绩效考核目标,获得更高的经济效益,冒着风险进行违规运营,结果让股东承担债务违约、企业破产的风险,损害了企业和股东的利益。从内部控制的层面来讲,企业在辨认和分析过风险之后,理应通过一些积极又有创新意义的管理风险的措施,将风险降低在企业可承受范围内。

      (三)内部控制制度未有效实施

      我国很多企业为了满足资本市场监管要求,制定了较为全面的内部控制制度,但实际操作时却未按照内部控制制度执行。主要有以下两方面原因:一是制度的制定流于形式,新制定的制度未进行宣贯和培训;二是制定的制度不符合企业实际流程,随着企业管理举措和组织架构的变动,未对制度进行优化和修订,致使该制度不适用于企业。

      三、加强企业风险管理与内部控制的应对措施

      (一)加强风险评估机制,加强风险管控

      企业如果通过风险评估问卷进行重大风险评估,应每年定期更新风险清单。风险评估的方法应选择两轮风险调查问卷。第一轮问卷直接使用更新的风险清单,由各个部门和业务单元直管经理人进行填写,按照权重统计出排名靠前的风险。然后根据第一轮的结果、当年的监管关注点和环境变化编写公司领导问卷,从而评出公司年度重大风险。采用两轮风险调查问卷的方法,会使评估出的风险更具有针对性。

      (二)强化风险防范意识,提升风险管理能力

      企业应提高各业务部门的风险防范意识,提升业务部门自身的风险管理能力。风险管理部门应严格要求业务部门根据具体的制度执行各项流程,组织、协调、支持、配合业务部门在达到业务目标的路上管控好风险。对于重要业务流程和关键控制点的内控体系管控措施应尽可能嵌入业务信息系统,减少人为操作的主观性。

      (三)建立健全内控工作体系

      企业内控体系建设应明确企业风险管理三道防线的职能部门责任范围。第一道防线,如销售、采购部门等核心业务部门,作为业务的具体执行部门,应作为风险管理的第一责任机构;第二道防线,如风控、内控、合规等部门,协助一线核心业务部门进行风险管控;第三道防线,如审计、纪检和监察等部门,应对内部控制建立与实施情况进行监督检查,评价内部控制的有效性的持续过程。

      (四)完善内控制度建设

      企业应全面梳理查找公司管控制度和流程缺陷,对缺乏内控要求和风险应对措施,不符合不相容职务分离控制、授权审批控制等相关要求,对专项风险、内控体系监督评价、责任追究制度规定不健全等情形,应对相关制度进行修订增补。

      (五)设立内部控制的考核和执行监督机制

      建立健全内控制度后,最重要的问题还是执行。企业应设立对应的考核机制以及激励机制,直接影响到执行人员的绩效考核,从而提高风险防范意识能力。

      另外,公司审计、纪检、巡查等部门应根据企业经营情况和上级企业的要求对重大风险开展日常监督、专项监督,对发现的问题进行统计汇总,明确整改责任人和计划整改完成时间,并及时跟踪整改进度、定期报告整改状况,形成整改闭环机制。

    展开全文
  • 2016年6月,美国反欺诈财务报告委员会(The Committee of Sponsoring Organizations of the Treadway Commission, COSO)发布了新版企业风险管理框架“企业风险管理-服务于企业战略和绩效的实现” (Enterprise Risk...

    http://www.sohu.com/a/124375769_489979

    2016年6月,美国反欺诈财务报告委员会(The Committee of Sponsoring Organizations of the Treadway Commission, COSO)发布了新版企业风险管理框架“企业风险管理-服务于企业战略和绩效的实现” (Enterprise Risk Management- Aligning risk with strategy and performance)征求意见稿,这是继2004年COSO正式公布企业风险管理框架(Enterprise Risk Management Framework, ERM)以来第一次对ERM框架进行修订和完善,更确切的说是对ERM框架大刀阔斧的进行了重新构思和设计。

    新版ERM框架已经于2016年9月30日截止全球范围内收集反馈意见,并计划于2017年第一季度正式公布。

    1. 新版ERM框架出台的背景

    众所周知,在企业风险管理和内部控制理论研究领域,COSO组织有着举足轻重的位置,从1992年出版企业内部控制整合框架(Internal Control- Integrated Framework)以来,作为在美上市公司内控体系建设的指导框架,不仅得到了美国证监会的认可,而且在全球范围内被众多国家相关企业和上市公司监管机构采用和推广,如中国财政部2008年发布的《企业内部控制基本规范》即采用了COSO组织1992年发布的内部控制框架要素和内容。

    2000年以来,企业界在实施了十来年内部控制框架之后,发现即便建立了完善的内部控制体系,仍然会出现企业倒闭、破产、经营失败或预期不达标等风险损失案例,所以COSO组织开始从更高的一个角度来思考企业的管理活动以及内部控制体系的局限性。

    内部控制体系确实对实现财务报告的可靠性和有效性提供了合理的保障(从实践经验看,内部控制体系的建立对经营和合规两个目标的支持力度并没有像财务目标那样得到很好的体现),但是企业需要从整合风险管理的角度为企业创造价值并合理保障公司战略目标的实现。

    COSO组织对ERM框架的初衷和定位是正确的,但在起草ERM框架时采用了在COSO内部控制框架的基础上进行升级和扩充的做法,这直接导致了两个理论框架虽然愿景和目标各不相同,但内容的重合度非常高,回想过去这些年企业在实践这两个理论体系时出现的种种说法“内部控制就是风险管理”、“风险管理就是内部控制”、“风险管理是“大内控””等,在当时发布起草ERM框架时就埋下了隐患。

    图1:内部控制框架和企业风险管理框架

    2014年,COSO组织开始着手对ERM框架的升级换代,用其自身的阐述,原因在于过去十年间外部环境的复杂变化,利益相关方更加关心风险管理对企业价值的创造,尤其是在战略的制定和执行中风险管理价值的体现,以及增强风险管理和企业绩效之间的协同关系。

    想必COSO组织也非常清楚过去十年间关于内部控制和风险管理之间关系的争论和对企业实际开展工作造成的影响,只好痛定思痛,着眼于未来,这一点从新版的ERM框架中可以看出来。COSO组织对新版ERM框架进行了颠覆性的变化,起码从表面上来看,没有一点从前的影子了,看来是有意和内控及2004版风险管理划清界限,结束这十年来的两者的纠葛和纷争。

    图2:COSO新版企业风险管理框架

    很多从事和熟悉风险管理工作的人,对ERM新框架一开始的感觉都是陌生和不适应,最开始将征求意见稿发送给国内权威专家参考时,部分专家也提出“这是对历史的一种背叛”、“新框架太荒唐”等批判性的反馈意见,但这是人们对于熟悉环境突然变化的抵触心理,待各位专家平复心情仔细研读后,还是非常肯定新框架做出的勇敢变化及对风险管理工作的准确定位。

    2. 新版ERM框架和旧框架的区别与联系

    1. 新框架采用了国际文件惯用的要素加原则的结构(Components and Principals)

    新版框架使用了构成元素+原则的结构,包括5个构成元素,细分为23条原则,2013年COSO组织更新了企业内部控制框架的部分内容,在文章的整体结构上就是采用的这种结构,新的结构加强了新框架的可读性、可用性和一致性。

    2. 修订了风险的定义

    旧版框架中对风险的定义为:

    风险是一个事项将会发生并给目标实现带来负面影响的可能性。

    新版框架中对风险的定义为:

    事项发生并影响战略和业务目标之实现的可能性。

    可以看到,旧定义只强调了负面影响,而新定义的主要改动是兼顾了正面和负面的影响,这和国际风险管理标准ISO 31000及中国风险管理标准GB-T 24353是一致的,这种认识中国早在2006年国务院国资委发布的《中央企业全面风险管理指引》文件中就有体现。

    3. 简化和重新定义了ERM

    同时我们还可以比较ERM的定义。

    旧版框架对ERM的定义为:

    ERM是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内。并为主体目标的实现提供合理保证。

    新版框架对ERM的定义为:

    组织在创造、保存、实现价值的过程中赖以进行风险管理的,与战略制定和实施相结合的文化、能力和实践。

    可以看到,新版框架简化了对ERM的定义以方便阅读和记忆。新定义方便所有读者的理解,而不只是风险管理从业者,新定义包括文化和能力而不只是过程,更加强调风险与价值的相结合,突出价值创造而不只是防止损失,这样也避免了和内部控制定义的界限不清。

    4. 强调风险与价值的关系

    新版框架中,ERM被视为战略制定的重要组成和识别机遇、创造和保留价值的必要部分。新版框架中ERM不再是主体的一个额外的或是单独的活动,而是融入主体的战略和运营当中的有机部分。

    5. 真正定位了风险管理与战略的协同作用

    新版框架注意到了自旧版框架发布以来,组织在实践ERM过程中遇到的一些问题,包括对风险管理工作的定位,风险管理工作的范围和目标等,新版框架定义了风险管理工作的高度,包括:战略和业务目标与使命、愿景和价值观不匹配的可能性;选定的战略所隐含的意义;执行战略过程中的风险。

    6. 重新定义了风险偏好和风险容量

    旧版框架中,风险容量(Risk Tolerance)只是颗粒化的、更细节的风险偏好(Risk Appetite)。新版本中,风险偏好保留了原来的定义,即主体在追求战略和业务目标的过程中愿意承受的风险量,而将风险容量重新确定为可接受的绩效变动区间(Accepted Variation in Performance),新的定义更加明确和可度量,有助于组织在给定绩效目标下计算可以承受的风险边界。

    3. 新版ERM框架主要内容解读

    图3:新版ERM框架的五要素和23个原则

    风险管理和文化

    风险治理和文化组成了ERM所有其他部分的基础。风险治理定下主体的基本基调,加强ERM的重要性并确立ERM的监管责任的分配;文化则是主体的价值观、行为准则和对风险的理解。

    1. 实现董事会对风险的监督

    董事会对主体的风险监督负有首要责任。首先要确认董事会和管理层对风险治理的责任分配。一般来说,董事会成员具有丰富的行业经验和技能,且独立于管理层。这使得他们能提供风险治理的整体战略和独立视角,并将风险管理的日常责任交给管理层或者特定的委员会,如风险管理委员会。

    2. 建立治理和运作模式

    在明确的责任分配下,组织应该建立完整的运营模式和汇报体系。影响组织建立何种运营模式的因素有很多,例如企业的战略目标,规模、行业、区域分布、财务税务等方面的法律法规等等。管理层结合企业的使命、愿景和核心价值来计划、组织并执行企业战略。

    一般来说,管理层通过授权给特定委员会的形式来掌握、管理与战略相关的风险。对于大型组织来说,这样的委员会可能不止一个,这就需要不同的委员会之间明确权责的分配并共享对风险的理解。明确权责十分重要,这能激发人们在授权范围内的能动性。而随着组织的发展,运营模式和授权-报告体系也需要做出相应调整。

    3. 定义期望的组织行为

    董事会和管理层通过定义其期望的行为来将组织核心价值和对风险的态度具体化。建立一个所有员工都接受的企业文化对于企业抓住机遇、规避风险来说至关重要。表现在下图所示的风险光谱上,风险激进的组织更倾向于接受追求战略和业务目标时所需承担的不同类型和数量的风险。

    图4:风险光谱

    4. 展现对诚实和道德的承诺

    组织制定基调,建立员工行为准则并对偏离准则的行为做出回应。即使组织明确展示了对诚实和道德的承诺,还是难免发生违背企业的价值观的行为。这种行为可能是好人犯了错误,好人一时意志软弱,或者坏人蓄意造成破坏。因此需要对行为进行详尽的评估并制定细节的应对措施。关键是将个体的行为和组织文化结合起来,这需要管理层在日常工作中不断解读、强调和践行企业文化。

    5. 加强问责

    组织确保各个层级的个体在风险管理方面的职责明确,并确保其自身在提供准则和指导方面的职责明确。管理层向董事会负责,员工向管理层负责。个体是否负责受到奖励机制的很大影响,董事会和管理层应该在组织的各个层级建立奖励机制,这种建立可能是薪酬方面的,也可以是非物质的,比如授予更重要的工作。

    6. 吸引、发展并留住优秀的个体

    致力于根据战略和业务目标构筑人力资本。组织需要建立在各个层级评价工作能力的机制。董事会评价管理层的能力,管理层评价各个业务单元或者职能部门的能力。管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才,评价和留住人才。

    风险、战略和目标设定

    ERM通过制定战略和业务目标的过程与主体的战略计划融合在一起。通过对商业环境的理解,组织可以得到对内在和外在因素的看法以及它们对风险的影响。组织在战略制定中确定其风险偏好,而业务目标使得战略得以实践并形成主体日常的运营。

    7. 考虑风险和业务环境

    组织考虑业务环境对风险图谱的潜在影响。组织要理解业务环境,考虑内部和外部的环境和不同的利益相关者。外部环境包括政治、经济、社会、科技、法律和环境等方面,内部环境包括资本、人力、流程和技术等方面。

    8. 定义风险偏好

    组织在创造、保存和实现价值的过程中定义风险偏好。负责确定风险偏好的董事会和管理层必须完全了解不同风险偏好所代表的取舍和利害关系。对于一些组织来说,“高风险偏好”或“低风险偏好”已经足够区分,对已另外一些组织来说,风险偏好必须是可以量化的。风险偏好可以有“目标”、“范围”、“上限”、“下限”等不同的表达和设定方式。

    9. 评估可供选择的战略

    组织评估可替代的战略和对风险状况的影响。组织必须明确战略的重要意义和不同战略选择所隐含的意义,将战略和风险偏好结合在一起考虑并依据不同情况和阶段调整战略。

    10. 建立业务目标的同时考虑风险

    组织建立不同层次的业务目标以制定和支持战略的同时考虑风险。业务目标可以使财务表现、客户满意度、卓越运营、合规、效率提升或者领先行业的创新等等。组织必须理解不同的业务目标所隐含的意义并确定不同的绩效度量方式和目标。

    11. 定义可接受的绩效浮动区间

    可接受的绩效浮动也可以理解为风险容忍度。衡量绩效的完成度可以是定量的也可以是定性的。前者如资本回报率等,后者如品牌知名度、媒体评价等。

    执行中的风险

    组织识别并评估可能影响其实现战略和业务目标的风险,结合企业的风险偏好,对风险按照其严重程度排分优先次序,组织选择风险应对的方法并对绩效进行监控以做出调整。这样,企业对追求战略和业务目标时所面临的风险量建立起一个组合的观念。

    12. 识别执行中的风险

    组织识别执行过程中影响业务目标实现的风险。风险识别的方法包括专题研讨会、访谈、流程分析、关键风险指标和数据追踪等。风险和机遇并存,识别风险的过程也是识别机遇的过程。

    13 评估风险的严重程度

    风险评估的重要工具是风险热力图,热力图从风险发生的可能性和影响程度两方面对风险进行评级。风险评价要从固有风险、目标剩余风险和实际剩余风险三个层级进行。

    图5:风险热力图

    14. 区分风险的优先次序

    组织结合风险偏好,选定对风险排分优先等级的标准,然后对所有识别的风险进行排分。

    15. 识别和选择风险响应

    风险响应有不同的方式,包括承受风险、回避风险、追逐风险、降低风险、分担风险等。管理层根据业务环境、性价比、法律法规、风险优先级、风险严重程度和风险偏好来选择和实施风险响应措施。一旦选择风险响应措施,就需要有效的控制活动来确保响应措施的实施。这些控制活动在《内部控制—整合框架》中已经介绍。

    16. 评估执行中的风险

    组织需要对绩效进行监测,如果绩效的浮动区间超出了可以接受的范围,则可能需要:重新考虑业务目标或战略;调整目标绩效,重新进行风险评估;重新进行风险优先级的排序;重新制定风险应对措施;重新确立风险偏好。

    17. 建立风险的组合观

    管理层需要从组织整体角度考虑风险,将组织风险作为一个整体去和实现绩效目标所需要承受的风险进行对比,而不是将其视为一个个单独的、分散的风险。

    风险信息、沟通和报告

    沟通是在主体中不断迭代地取得并分享信息的过程。管理层利用从内部和外部取得的有效信息来支持企业风险管理工作,组织利用信息系统来捕捉、处理和管理数据和信息。通过利用应用于所有组成部分的信息,组织就风险、文化和绩效做出报告。

    18. 使用相关信息

    组织利用支持企业风险管理的信息,首先考虑有哪些可用的信息来源,然后衡量取得这些信息的成本,最终确定需要哪些消息来源。外部的消息来源包括:公开指数、政府发布的地缘政治报告和研究、市场调查服务、客户满意度问卷、社交媒体和博客、运用报告及第三方发布的报告、产业报告和同业公司的财务报告。

    内部的消息来源包括:董事会和管理层会议、财务报表和投资回报分析、道德和行为相关的培训、交易和尽职调查的成果、工时报告、库存报告及检举热线的报告。这些信息需要满足:容易取得、准确、真实、恰当、可靠、及时。

    19. 利用信息系统

    信息系统可以是正式的或者是非正式的。组织应该应用分类学来管理ERM相关的信息,基于组织的规模大小、复杂程度将风险进行细分。管理层要依据内外部环境及时地维护信息系统并做出调整。

    20. 沟通风险信息

    沟通的对象既包括内部的员工,也包括董事会、股东及其他外部的利益相关者。沟通方法可以是电子信息、外部/第三方材料、非正式/口头、公共活动、培训和研讨会、内部文件。

    21. 对风险、文化和绩效进行报告

    组织在各个层级对风险、文化和绩效做出报告。首先组织要确定这些报告的使用者和他们的职责。报告的形式和种类很多,包括:风险的整体判断、风险图谱、根本原因分析、敏感度分析、对新兴及发生变化的风险的分析、KPI(关键业绩指标)、趋势分析、对意外事故、违规和损失的披露以及对ERM计划和倡议的追踪。管理层需要确定报告的频率并对其质量负责。

    监控ERM效果

    通过监控ERM的效果,组织可以判断ERM的各组成部分的长期运作是否良好并获知有哪些实质性的变化。

    22. 对重大变化进行监控

    组织识别和评估可能对战略和业务目标的达成造成实质性影响的内部和外部变化。造成这些实质性影响的变化可能来自内部的原因,例如快速成长、新技术或者管理层及其他人事变动;可能来自外部环境,例如法规和经济环境的变化;还可能来自组织文化方面,例如并购和重组带来的文化冲击。

    23. 对ERM进行监控

    组织应监控ERM的效果并随时准备对其进行效率上和实用性上的改善。做出这些完善的机遇可能存在于以下任何领域:新技术、历史短板、组织方式转变、风险偏好、风险分类、沟通、同业对比、变化的速率。组织同样要明确未来理想中的ERM状态,如此才能做出持续改进。

    4. 风险绩效曲线介绍

    新版框架中数十次出现了一个新提出的曲线—风险绩效曲线,提出了将风险与绩效相结合并给出了图形化的解释。单个的风险和绩效并不总是一一相关的,但是整体的风险与绩效是相关的。

    为了提供相关指导,新版框架对风险和绩效的关系提供了图形化的表达和示例。为了完成对风险轮廓的描述,组织需要理解下面内容:战略和业务目标、绩效目标和可接受的浮动范围、风险承受能力和风险偏好、风险对达成战略和业务目标的影响程度。

    如下图中所示,横坐标代表绩效,纵坐标代表组织所承受的风险。图中的蓝色曲线代表风险-绩效曲线,即风险总体上随着绩效的升高而升高。红色水平线条表示组织确定的风险容限,而紫色垂直线条表示组织的绩效目标。

    图6:风险绩效曲线

    可以看到,c点表示目标绩效下组织所承受的风险,c点到a点的距离则代表实际风险与风险容限的差距,距离越短,表示企业的风险偏好越激进。而b点代表达到100%风险容限时,组织所能达成的最大绩效,但这也意味着组织承担的风险总量已经处于饱和状态。

    可以看出,风险绩效曲线是新版框架的创新,它成功地将风险、风险偏好、绩效、目标绩效、绩效偏差等概念的关系用图形的方式展现出来,简单形象,方便理解。此示意图是风险-绩效曲线的最基本的一张图,在新版框架的附录中还有更详尽的解释。

    但是,我们需要注意,风险绩效曲线试图将风险和绩效进行量化对比,在实际操作中有一定的难度。目标绩效虽然容易设置(通过收入、收益率、利润、市场占有率等确定),但是风险如何加总量化是一个复杂的问题。除此之外,示意图中风险与绩效的关系是一条平滑的曲线,但是实际情况是,风险和绩效的关系不会如此单纯,所以如果没有数据积累和大量分析,精确绘制这条实际的蓝色曲线是非常困难的。我们风险管理咨询的同事曾经带领团队试图从一个项目风险评估中绘制风险绩效曲线,但碰到的障碍很多,希望COSO在正式发布ERM框架时,可以给出更具操作性的指导。

    5. 几点探讨及观点

    1. 更好的区分风险管理和内部控制的边界

    本文背景介绍中已经对风险管理和内部控制的情况作了简单介绍,在企业风险管理体系和内部控制体系建设方面,中国企业积累的经验在全球范围内独树一帜,源于过去十几年中国企业走过的坎坷之路。

    2006年,国务院国资委发布《中央企业全面风险管理指引》,开启了中国企业尤其是中央和地方国有企业建设全面风险管理体系的浪潮,在国务院国资委的推动下,绝大多数中央企业几年内建立起了全面风险管理体系。

    2008年,财政部发布《企业内部控制基本规范》,要求大中型企业尤其是上市公司建立健全企业内部控制体系,2013年,这些要求又在中央企业推广和落实。

    对于部分企业来说,无论是企业风险管理还是内部控制都属于新生事物,这两个体系从两个国家部委的角度一前一后进行要求和推广,很多企业感到迷惑,不知道如何处理这两个体系以及这两个体系和企业管理之间的关系,造成了一定的管理混乱和资源重复投入,这些问题从最开始理论框架的设计上确实没有划分清晰的界限。

    对于风险管理和内部控制的关系,2013年COSO发布的内部控制框架更新版文件附录中提出,企业风险管理是企业治理中的组成部分,企业内部控制是企业风险管理中的组成部分,从中国理论和实践经验看,大部分专家还是比较认可这种关系界定。

    图7:风险管理和内部控制关系图

    此次ERM新框架中,对于风险管理和内部控制的关系也做了进一步的阐述,新框架中有意规避了旧框架中对于控制活动的描述,把控制活动的内容留给了内部控制体系,而突出了风险的治理和文化的内容,以及强调和战略及绩效的关系,算是给两个体系“分家”做了个“了断”,关于两者的关系比较及经验总结限于篇幅,此处不再展开。

    期待COSO公布正式版之后,实践界可以尽快研究如何应用,尽快形成企业风险管理体系建设的行业最佳实践。

    2. 推动风险管理更好的和企业管理的融合

    真正的风险管理工作是要支持管理决策的,而不仅仅是建立内部控制制度和流程,虽然COSO新版的ERM框架已经开始回到“正轨”,其实有些国际的知名风险管理咨询公司并未受到COSO原有框架的局限性影响,如达信的风险管理咨询服务及我们的姐妹公司奥纬咨询(Oliver Wyman Consulting),我们一直坚持为客户提供的风险管理方法论就是为企业的战略和管理决策提供支持,将风险管理工作融入管理决策的各个流程环节中,我们一直认为这是风险管理的真正价值所在。

    转载于:https://www.cnblogs.com/dhcn/p/11546191.html

    展开全文
  • 工业企业人员伤害风险是传统意义上的静态风险。针对工业企业预防和控制人员伤害,从动态视角加以分析与研究出发,结合动态反馈机制和动态风险管理的...全过程的动态风险跟踪与信息反馈,为工业企业风险管理提供新思路。
  • 目前引进战略投资者已经是...文章论述了煤矿企业引进战略投资者的意义,探讨了战略投资者与煤炭企业内部管理的相关性,提出了相关的风险预防对策:积极改善公司治理结构、合理进行整合引进管理、加大引进推动和监管力度。
  • PCAOB通过审计准则第5号文件选定了COSO框架(《内部控制:综合框架》)作为上市公司风险管理框架,要求上市公司管理层按照COSO框架评估公司内部控制的有效性,并公开披露报告。《萨班斯法案》旨在要求涉及公众利益并...
  • 分析了岗位标准作业流程和安全风险预控管理体系对于煤矿企业安全生产和标准化作业的意义,通过对二者之间关系的分析,探讨了岗位标准作业流程与安全风险预控管理体系融合的路径。
  • 确定一个中等规模的一个项目(建设工程项目、IT项目、研发项目、日常生活中的项目皆可),结合项目实际谈谈项目管理的重大意义。 二、职业应用能力考核题目 确定一个中等规模的一个项目(建设工程项目、IT项目、研发...
  • 企业在统一战略指导之下对内部控制和风险管理进行统筹,通过完善的体系、流程、实施、监控和评价,将风险预防并控制在合理范围之内,促进企业经营目标实现,来保障企业发展行稳致远。

    企业内部控制与全面风险管理体系建设案例解析

    六方合略(天津)企业管理咨询服务有限责任公司 文/任洪卓

    一、企业内部控制与全面风险管理体系建设必要性

    1995年2月27日上世纪九十年代英国最大的银行之一巴林银行因运行风险破产,1997年9月18日八佰伴日本公司因盲目投资战略风险破产,2004年6月中航油新加坡有限公司因风险管理失效遭受重大损失,美国《财务》500强排名第七名的安然公司和前百名的世通因财务控制失败发生财务丑闻宣告破产,2021年下半年恒大因高杠杆投资战略风险引发庞大债务危机,还有西门子贿赂案,广东佛山利达玩具有限公司出口玩具被召回、老板上吊自杀等等,国内外一件件内部控制失效、风险管理缺失而导致经营失败的案例为我们敲响了警钟。

    从现阶段我国企业内部控制和风险管理水平来看,仍存在着较多问题亟待解决,例如:控制观念薄弱﹑控制结构不健全、缺少监督机制、业务流程不规范、审批环节缺失、监控评估整改环节乏力等,直接影响企业管理效率阻碍企业长远发展。伴随经济全球化进程不断加快,我国大多企业迈向国际市场竞争大潮,越来越多外资企业涌入国内市场。由此可见,目前我国企业不止面临着外部环境竞争,更迎来更多内部治理经营问题,促使企业需要迎接更为困难的经营风险考验,但是我国部分企业对于经营风险防范的意识不够强烈,其工作重心往往向财务管理环节倾斜。此外,结合我国企业内部控制结构相关调查,企业内部控制机制结构尚未健全。

    二、企业内部控制与全面风险管理体系建设意义

    企业在统一战略指导之下对内部控制和风险管理进行统筹,通过完善的体系、流程、实施、监控和评价,将风险预防并控制在合理范围之内,促进企业经营目标实现,来保障企业发展行稳致远。

    企业内部控制管理是企业为增加企业收益、提高资金利用率、扩大企业规模等实施的一系列自我规划、监督和制约活动或方针。一个企业若没了内部控制管理则会自乱阵脚,所以说做好企业内控是掌控全局的第一步。当然,企业内控并非孤立存在的,若只利用企业内控对企业目标进行规划,则很容易使企业内部控制流于形式。一个企业只有结合其自身内部诉求,对项目决策和人员调配进行合适的管控,结合多项管理工作共同进行,贯穿企业发展前进的主线,才能正确提升内部控制效率而不至于使内部控制变成无实用性的冗余物。

    全面风险管理是企业生存底线,其精要是将未知风险变成可控风险,关键是通过管理将很多相互影响的因素进行统筹,根据企业的目标去作风险分析,把一些主要风险明确下来,然后找到相应的控制手段、管理手段,将风险控制在可承受的风险范围内,为企业经营目标的实现提供合理的保证。

    三、我国企业内部控制与全面风险管理体系建设进程

    四、企业内部控制管理与全面风险管理体系简述

    随着企业规模的扩大、市场竞争的加剧,以及国家各部委、外部监管机构对企业管控力度的不断加强和公司信息披露的日益透明,进一步加强企业内部控制和全面风险管理成为企业发展的关键。

    企业内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,通过准确定位内部控制的目标,要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略,构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架,并实行内部控制自我评价制度,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。

    全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险管理措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。

    五、企业内部控制管理与全面风险管理体系建设依据

    为确保内部控制与全面风险管理体系建设的合规化及标准化,在遵循企业内部控制相关规定的基础上,参考目前国际国内通行的内部控制标准,主要依据如下:

    ■财政部等五部委《企业内部控制基本规范》及配套指引;

    ■国务院国资委《中央企业全面风险管理指引》;

    ■中国国家标准化管理委员会《GBT 24353-2009 风险管理:原则与实施指南》;

    ■COSO《内部控制整体框架》;

    ■COSO《企业风险管理整合框架》。

    六、企业内部控制管理与全面风险管理体系建设具体步骤

    1、资料研读:成立项目组,并对企业提供的公司介绍、公司治理、组织结构、制度文件、公司文件存档目录等资料进行研读。按照部门划分梳理资料清单、文件汇总,按照组织框架梳理业务流程、管控环节、控制缺陷汇总,参照行业风险事件库梳理风险点、风险事件,为进一步开展工作奠定基础。

    2、工作计划:项目组基于对企业提供资料的研读,确定企业内部控制与全面风险管理体系建设的工作计划,并根据部门划分和岗位设置拟定现场访谈提纲、内控问卷和风控问卷,继而按照工作计划开展工作。

    3、现场访谈:项目组进驻场后,由企业相关负责人组织各部门,全员参与开启准备会,宣贯企业内部控制与全面风险管理体系建设目的、意义、步骤和工作安排。项目组根据部门划分和岗位设置对相关人员展开现场访谈,了解部门设置、岗位职责、业务流程、管控环节、审批权限、部门对接、法律审核、内控建议等相关事项,从多个维度立体把控企业内部控制是否合规、流程是否合理、缺陷点何在,在资料研读的基础上通过现场访谈进一步确认企业风险点、风险事件。

    4、调查问卷:项目组在展开现场访谈的同时,把内控问卷和风控问卷根据部分划分和岗位设置对应下发,由相关负责人、管理人员、员工填好后收回,由项目组进行研读和整理。

    5、梳理确认:对资料研读、现场访谈、调查问卷等资料进行汇总、提炼、梳理,整理出流程文件(包含流程清单、业务流程图、流程描述表)、内部控制缺陷清单、风险事件库等,交由企业相关人员审核和确认,并根据企业的反馈对文件进行再次修订和确认。

    6、成果文件:项目组结束进驻现场工作后,进入资料整理、内控诊断、风险评估、框架梳理、矩阵描述阶段,通过大量的资料整理输出内部控制管理手册、内部控制诊断报告、流程框架控制矩阵、内部控制管理与全面风险管理办法、风险分类框架及风险事件库等成果文件。

    七、企业内部控制与全面风险管理体系成果文件

    1、企业内部控制管理手册,是企业内部控制体系并保障其有效运行的基本制度和实施规范。主要从内部环境、风险评估、控制活动、信息与沟通、内部监督、内部控制工作机制等方面,为企业优化流程管控、推进标准化管理提供依据,为企业开展内部控制工作提供可遵循的标准,以达到建立健全内部控制管理体系、固化形成内部控制工作机制和规范加强内部控制评价工作的目的。

    2、企业内部控制诊断报告,参照财政部颁发的《内部控制基本规范》及其配套指引,围绕公司各项控制目标,结合公司风险水平,从内部控制五要素出发,通过对企业组织架构、战略管理、合同管理、资产管理、采购管理、财务管理等业务活动内控情况的诊断,实现对企业内部控制存在缺陷或不足的辨识和评价,从而为进一步完善内部控制体系奠定基础。

    3、企业流程框架及控制矩阵,采取调查问卷、资料研读与询问访谈等方法,对公司组织架构、发展战略、人力资源、社会责任、销售业务、采购业务、合同管理、财务管理等业务活动所涉及的具体流程、风险描述、控制措施、控制责任部门、相关规章制度等进行梳理,并根据业务管理类型进行业务划分、提炼、细化和总结。

    4、企业内部控制与全面风险管理办法,主要从内部控制管理的组织体系、框架及设计原则、执行及更新维护、评审及缺陷评价、控制报告几个方面,为企业建立健全风险管理及内部控制体系、有效实施及监督内部控制提供方法遵循,提高企业经营管理水平和风险防范能力,达到促进企业持续、健康发展的目的。

    5、企业风险分类框架及风险事件库,从战略风险、财务风险、市场风险、法律风险、运营风险等框架维度,对企业存在的风险进行分类和细化,并对风险级别、风险点、风险发生的原因、风险事件、主责部门等进行记录、释义、阐述,为企业全面风险管理提供辨识、评估和控制依据。

    展开全文
  • 10.第十一章.风险管理

    万次阅读 2022-02-02 13:45:25
    文章目录11.1项目风险管理概述11.2规划风险管理11.3识别风险11.4实施定性风险分析11.5实施定量风险分析11.6规划风险应对11.7控制风险11.8风险管理示例 11.1项目风险管理概述 1、风险的含义可以从多种角度来考察: 第...
  • 软件项目风险管理研究在国外已有十多年的历史,而我国尚未普遍开展IT项目风险管理的研究和实践,总结前人的经验教训、探讨适合我国国情的风险管理体系是本项目的理论意义。IT项目的高风险特征和越来越大的社会需求,...
  • 煤矿企业的健康发展对于我国基础经济的发展与保证有着重要的意义,财务管理在煤矿企业管理中占据着重要的地位,但当前煤矿企业的财务仍存在这诸多的问题与不足,这些问题突出表现在:财务管理意识落后;财务管理专门人才...
  • A公司物流配送安全风险管理现状

    万次阅读 2022-03-13 17:05:10
    第三章 A公司物流配送安全风险管理现状 3.1 A公司物流配送项目概况 3.1.1 A公司物流配送项目组织架构 本节首先介绍A公司主要组织架构,2016年A公司在山西省X市上市。公司主要的业务为清洁能源,通过生产经营焦炉...
  • 战略管理即相当于个人的“职业生涯规划”,对个人而言,可以做到“忙得有意义,忙到点子上”,防止无意中进入“工作太忙而没时间思考”或者“思考太多而没时间工作”的自我成长陷阱。 战略管理被誉为是商业企业运作...
  • 全面了解量化风险管理

    万次阅读 2020-04-17 09:03:21
    1.2 风险类型 企业风险有多种分类方式: 按照能否分散,可分为系统风险和非系统风险; 按照会计标准,可分为会计风险和经济风险; 按照驱动因素,可分为经济风险、信用风险、操作风险、流动性风险。 金融风险主要...
  • 集团企业内部转移价格的制定是企业集团经营与发展,实施财务管控的核心问题之一,是调节企业内部各部门之间经营利润的重要杠杆,也是提高企业...对企业集团资源配置、成本和风险控制、经营效益的提高有着极其重要的意义
  • 风险管理

    2019-10-01 04:26:25
    风险管理是指如何在项目或者企业一个肯定有风险的环境里把风险可能造成的不良影响减至最低的管理过程。 风险管理当中包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的...
  • Tenable在设备漏洞管理业内处于优势地位,方便企业管理度量网络安全风险,并知晓哪些漏洞需要修复。上海道宁是Tenable中文经销商,为广大企业带来强大的Tenable解决方案
  • 1、对项目风险的认识 风险并不是一发生就消失了.首先,历史经常会重演,只要引发风险的因素没有消险,风险依然...作为项目经理,要管理好项目中的风险,避免风险造成的损失,提高项目的收益率 2、信息系统项目风险可以分为哪
  • 合同法律风险管理 合同的意义

    千次阅读 2020-02-11 22:23:21
    合同法律风险管理(一) 学习合同法律风险管理过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— 合同的意义 —— 1.合同是协议 问题1:意向协议、会议纪要的法律属性是()。 A....
  • 在出资者所有权和法人财产权相分离的现代企业制度下,建立在资金运动论基础之上的现有财务风险管理理论和方法已不能很好地满足出资者和经营者对财务风险管理的不同需要。因此,建立一套基于财务分层管理理论和现金...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 69,422
精华内容 27,768
热门标签
关键字:

企业风险管理的意义