全面風險管理溯源
全面風險管理是一個全新的概念,它出自美國的COSO(即The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting全國虛假財務報告委員會下屬的發起人委員會)。根據塞班斯法案,COSO內控框架是評估企業內控的標準。在企業內控領域央企率先邁出了第一步,2006年,國資委發布了《中央企業全面風險管理指引》。2010年4月,財政部等五部委聯合頒布了《企業內部控制配套指引》,中國企業內控規范體系初具雛形。這些都是以COSO為依據。
不過,全面風險管理與IT工具結合在中國剛剛起步,鮮見全面實施案例。盡管出于監管要求、企業適應外部競爭環境和自身發展的需要,中國企業日漸重視風險管理,但是能做到風險管理信息化的企業鳳毛麟角。即使風險管理在一些企業已經比較深入,但是離全面風險管理還很遙遠。
為此,筆者專門采訪了北京殷塞信息技術有限公司CTO兼CIO朱東。朱東還在擔任中國航空技術國際控股有限公司信息技術部總經理時,就傾心鉆研過理想企業模型,對目前在企業中鮮有實施的全面風險管理也進行了透徹詳盡的研究。他逐字逐句鉆研財政部以及國資委發布的關于風險管控的規范和指引,“我們將這些規范全部掰開揉碎了,然后一一對應到企業的業務過程、IT系統中。”
要探討如何進行全面風險管理,首先要搞清楚什么是風險,這是朱東一貫的思路。“風險是發生某種影響目標完成的不確定因素。凡是使目標不確定的因素都是風險,風險等于不確定。”以經營風險為例,經營風險就是影響企業完成經營目標的、涉及日常經營管理方面事件的不確定性。由此,風險管理的過程包括建立風險管理環境、確定風險管理目標、風險事件識別、風險評估、制定風險對策、實施風險控制、保證整個風險管理過程中信息共享與溝通、對風險管理活動進行監控。
其次,梳理出企業進行全面風險管理的理想做法。對風險管理的研究,朱東延續了之前建立理想企業模型的做法:尋找每個風險管控節點上的全球最佳實踐,參照相關的指引和規范將其實現。
第三,了解風險事件的一般分類,識別出企業經營管理中的重要事項。第四,確定企業涉及的風險類別,識別企業面對的風險事件。第五,制定風險對策,匯總風險分析結果,建立企業風險跟蹤表。第六,根據常見風險,在操作層面建立起全面風險防范基礎體系。第七,分析企業管理層和決策層的風險管理職責,構建支持全面風險管理系統的IT系統架構。第八,建立重點IT系統,實現企業全面風險管理。
風險分門別類
在COSO原文件中,對風險進行了詳細的分類和闡述。從風險源上來講,可以分為外部因素和內部因素。從外部環境來看,政局的動蕩、金融風暴、國際匯率的變化、不可預測的自然災害、突發事故的襲擊、國際領導人的更替等等都會給企業帶來風險。從內部經營和管理來看,盲目的投資擴張、管理滯后、用人失當、資金緊張等可能讓企業付出沉重的代價。
“風險無處不在,那么對于個體企業究竟構不構成風險,要根據企業自身的情況進行識別。”在識別風險時,要把企業看做是內外部有機聯系的統一整體,內部各個部門之間是相互配合相互聯系的。風險通常可以分為戰略風險、財務風險、運營風險和危害性風險等。通過分類將各種不同的風險進行分門別類,以此來判定企業所面臨的各種風險的級別。
在全面風險管理的研究成果中,風險評估和識別的最佳實踐來自于微軟風險評估表。在此基礎上,結合業界對全面風險管理的研究,朱東設計了一張風險地圖,它將每個風險事件的重要性和發生幾率都體現在地圖上。將風險分成不同的類別,依據發生的可能性和造成的嚴重性分門別類制定對策。最后將整個風險列出一張表,“每一個風險是什么,用哪些指標來衡量,對此有什么樣的對策都一一對應。企業所有員工依據這張表統一行動。”
用IT逐層分解防范風險
在世界500強的企業名錄中,大約每隔10年就有1/3的企業從這個名錄中消失。忽視風險的存在可能會將企業帶入萬劫不復的深淵。對于風險的防范和規避,朱東指出企業通常有兩種方法:一是基礎性防范,二是采取特殊措施。
依據理想企業模型,理想企業在每個環節的做法都是采用全球最佳實踐。當尋找到每個點上的最佳實踐以后,按照理想企業的管理方法去設計IT工具。理想企業的做法認為企業有三個層次的人員:操作層、管理層和決策層。三者各司其職,在風險管控中承擔各自不同的角色。“操作層員工主要進行過程控制,管理層進行全局型控制,決策層進行整體分析和全局性監督。”過程型控制分可計量型風險和不可計量型風險。全局型控制分可為計量型全局風險和事件型全局風險。整體分析的目標是經營風險,全局性監督的是全面的風險管理。
根據不同層面人員的工作職責,分別配以不同的IT系統,如BI、OA、ERP、CRM、SCM等。只有完備的IT系統才能支持完整的全面風險管理。“沒有任何一個信息系統能夠包打天下全面解決風險管理的問題。每個系統在設計時都有自身不同的設計意圖,要巧妙運用不同軟件的設計組合起來達到全面風險管理的目的。”
“我們把財政部內控基本規范和企業內控應用指引的要求,通過梳理全部落實到企業經營管理中的每一步。將國資委和財政部等部委相關的規范拿出來一一對應,每落實一條涂一個顏色。當整個規范全部被涂上顏色時就說明全部得到了落實。”企業經營和管理中涉及到的各個流程在IT系統中得以固化,企業風險也借助IT工具能夠有效地監控與防范。
在朱東對全面風險管理的研究體系中,風險地圖是最高決策層全面監控風險的工具。通過地圖可以實時了解整個企業面臨的風險和變化。“比如當銀行貸款利率高到一定程度,企業的一些業務就不能繼續開展,否則將面臨巨大風險。那么,年初做計劃時就可以提前分析好貸款利率,一旦達到警戒值,立即亮紅燈,這樣決策層就能夠實時知道整個企業面臨的所有風險。”
企業做全面風險管理的難點在于要吃透風險管控的本質。“任何做企業的人都會面臨這樣的問題,今年預期的銷售目標是多少,如果出現怎樣的問題和情形將有可能達不到目標。這些影響企業經營的不確定性因素皆為風險。風險是無處不在的,它不是理論化的、抽象化的概念。”當風險明確,利用IT工具將風險指標層層進行分解,落地到企業中,使得人人都是防范企業風險的主體。
朱東最后指出,中國企業的全面風險管理才剛剛開始起步。中國企業遠沒有像國外企業那樣感受到痛入骨髓的緊迫感。目前,風險管控主要是依靠國家的強制性要求在推進。
加多寶
IBM
摩拜單車
vivo\oppo
中興
GOOGLE
