关于企业风险控制体系构建
关于企业风险控制体系构建李郁(长春市自来水公司,吉林长春130000)摘要:企业风险控制是企业财务战略管理的目的之一,企业风险是指由于企业面对内外环境的不确定性、生产经营活动的复杂性和企业自身能力的有限性,从而导致企业无法达到的预期收益的风险,甚至导致企业生产经营活动失败乃至破产的可能性,具体包括经营风险和财务风险。为了控制企业风险,在不同的时期应当运用不同的财务战略。在全球经济危机的影响下,我国企业也开始越来越关注企业风险控制。
关键词:企业风险;内部控制;机制建设
企业风险控制是企业对可能产生的各种风险进行识别、衡量、分析、评价,并适时采取及时的方法进行防范和控制,用最经济、最合理的方法来综合处理面临的风险,以实现最大自我安全保障的一种科学管理方法。我国企业在经济全球一体化、信息公开化的大背景下,如何充分利用现有条件有效识别、分析和评估风险,从而制定相应的风险应对预案,更好地规避和防范所面临的风险,在目前显得尤为必要。
一、构建企业风险控制的必要性
企业风险控制被称作是上世纪90年代及网络革命后的第二件大事,产生于上世纪90年代中后期。企业风险控制,一是产生自企业本身的推动。企业跨国寻求发展、世界经济全球化的驱动等导致企业经营的风险程度不断加大,企业必须考虑自身的风险控制能力,增加经营决策的前瞻性。二是由于企业管理的方法、工具和手段的不断发展创新,为风险控制的产生奠定了基础。三是信息技术的发展一方面给企业带来了新的风险,使企业面临新的考验;另一方面也为控制风险提供了新手段。四是金融危机促进了企业风险控制的全球化进程,形成了共同应对风险的观念,企业对风险评估方法、评估技术、评估战略性价值的达成一致。
二、中国企业风险控制面临的问题(一)缺乏正确的风险控制理念企业风险控制理念是指对所面临风险的态度和认识。风险控制理念应该与企业当前所处的内部和外部环境相一致,与企业的资源管理状况以及企业发展战略相适应,正确的风险控制理念应该有助于企业战略目标更好地实现。正确的风险控制理念是:既不是对风险进行刻意回避,也不是为高回报高收入而刻意追求高风险;既不是对面临的风险视而不见,也不是对风险过分强调和回避担心。
(二)缺乏对风险控制必要性的认识目前中国企业对风险控制的认识只停留在管理层面,无论是事前风险预测,还是事后风险的处理,都仅仅是从流程和技术层面去控制,风险控制认识缺乏必要的高度,还没有得到企业最高层的一致关注。实际上,风险控制应该是战略控制的必要内容,应该站在战略的高度认识企业风险控制,企业风险控制也是企业高层的一项重要工作内容之一。
(三)缺乏系统性风险控制手段
中国企业的风险控制还只是一种“感性”层面,一方面,缺乏对风险的分析和度量,企业缺少更加专业化的风险控制工具;另一方面,缺乏风险控制的整体性,企业风险控制往往按职能分工被切分到财务、运营、市场等多个
部门。
(四)风险控制渗透到企业经营的各组织层面和流程组织的风险控制往往缺乏清晰的表达和可操作性,并没有被全体员工理解和认同,也就无法真正落实到具体的日常实际工作中,没有形成全员控制风险的局面。
三、积极构建中国企业风险控制体系(一)开展分析评估风险评估是企业及时识别、科学分析经营活动中与现实控制目标相关的风险。风险评估包括目标设定、风险识别、风险分析和风险应对。
目标设定。风险是一个潜在事项的发生对目标实产生影响的可能性。企业必须制定与生产、销售、财务等业务相关的目标,建立辨认、分析和管理相关风险的机制,了解企业所面临的内部和外部风险。
风险识别。企业面临的风险包括内部风险和外部风险两种。内部风险包括:董事、监事、经理层及高级管理人员的职业操守、员工胜任本职工作的能力等人力资源因素;经营方式、资产管理、组织机构、业务流程等管理因素;经营成果、财务状况、现金流量等财务因素;营运安全、员工健康、环境保护等安全因素。外部风险包括:经济因素、法律因素、社会因素、自然环境因素等等。
风险分析。需确定对企业经营和发展影响较大的风险,进行重点关注和优先控制。企业应该采取定性和定量相结合的方法,对风险发生的可能性和损失程度进行分析。
风险应对。常用的风险应对策略有风险规避、风险承受、风险降低、风险分担。企业应当考虑管理层的风险偏好,采取适当的控制措施和风险应对策略。
(二)建立企业风险控制运行体系首先,要建立健全企业风险控制信息数据库,企业应广泛、持续不断地采集与本企业相关的一切内部、外部风险信息,包括对采集到的初始信息按标准进行筛选、对历史数据整理和未来预测分析,进行提炼、对比、分类、组合,形成企业风险控制信息系统平台。
其次,针对采集的风险初始信息,结合本企业的主要经营活动和重要业务处理流程,利用已经成型的风险控制工具和控制手段,采取定性和定量相结合的办法进行风险辨识、风险分析和风险评价,建立企业风险评估系统,具体描述风险发生可能性的百分比、风险发生的条件,评估风险的价值,风险对企业财务目标实现的影响程度等。对已经掌握的各项风险进行比较,确定对各项风险控制采取策略的优先顺序。
再次,围绕风险控制对财务目标的影响,建立健全企业内部控制系统。针对财务状况、企业发展战略、市场运营、发展规划、产品研发、投融资活动、内部审计、法律事务、人力资源、物资采购等各项业务进行风险控制,根据风险控制策略,制定企业经营活动基本流程和风险控制措施。
最后,建立健全内部组织体系的风险控制。主要包括:规范的公司法人治理结构,风险控制职能各部门、法律顾问部门和内部审计部门以及其他有关职能部门的组织机构。
(三)健全风险控制实施的法律支撑体系近几年,我国越来越重视企业风险控制,先后出台了许多针对上市公司的内部控制指引等。2006年7月,财政部、国资委、证监会、银监会和保监会联合发起成立企业内部控制标准委员会,2006年7月,国资委发布了《中央企业全面风险管理指引》,2006年11月,企业内部控制标准委员会发布了《企业内部控制规范—基本规范》,
2008年6月,五部委联合发布了我国首部《企业内部控制基本规范》,要求从2009年7月起首先在上市公司范围内施行,2010年4月五部委联合发布了《企业内部控制配套指引》。这些企业内部控制规范指引等的主要内容包括:企业层面的组织框架控制、发展战略控制、人力资源控制、社会责任控制和企业文化控制;业务层面的资金活动控制、采购业务控制、资产管理控制、销售业务控制、研究与开发控制、工程项目控制、担保业务控制、业务外包控制、财务报告控制、全面预算控制、合同管理控制、内部信心传递和信息系统控制。这标志着适应我国实际情况、融合国际先进经验的中国企业风险控制法律规范体系基本建成。
建立企业风险控制标准体系,要求在现有各部门标准基础上进行有机的整合。首先,需要明确企业风险控制统一理论框架,在同一理论框架下确定风险控制的具体内容,让各企业对风险控制体系的构建有一条主线,在大框架下构建本企业的风险控制体系。其次,需要各部门的相互协调,明确标准体系的基本主线,各部门既要有分工又要协调互助,建立一个职责明确的整体,做好统一标准制订部门的分工和侧重,在统一的原则下对现有多个标准体系进行梳理,通过有机整合各部门的力量来形成合力。应建立国资委、财政部、证监会等部门的联合风险整合机构,最终推出包括企业风险控制指引、企业风险控制建设和评价办法、特殊行业风险控制实施办法在内的三层次互为补充,系统的风险控制标准法律体系。