时间:2023-08-29 16:43:34
[关键词]物流金融;风险管理;过程;融资
一.物流金融的风险识别过程
在物流金融领域存在着很多的风险因素,其中部分因素是完全独立存在的,但也有一部分是彼此之间是互相作用的。要完成对物流金融风险的评价工作,就需要准确的选取科学合理的风险评价指标。
(一)融资企业存在风险的研究
对于目前多数的第三方物流企业,其更乐意和自己比较了解而且彼此之间具有长期合作关系的中小企业提供物流资金增值服务,物流企业之所以这样做目的也是为了更好的规避物流金融的风险。在对物流企业的信用等级评估工作中,主要涉及到了以下几个方面:
1.企业运营能力
选取企业的运营能力作为定性指标;对于持续运营三年以上的融资企业其信誉等级评为“优”;经营未满1年者评为“差”;处于忧和差之间的融资企业就被评为了“中”。融资企业提供了资产回报率,而第三方物流企业根据融资企业的物流数据情况提供出存货周转率。
2.融资企业的盈利能力
以“连续盈利能力”作为定性指标,对于一些连续三年内持续盈利的企业评定为“优”,连续三年内少于两年盈利的企业被评定为“差”;而连续三年内两年盈利者评为“中”。一系列的相关数据如:销售利润率和税后利润率均由融资企业所提供。
3.融资企业的偿还能力
以企业稳定存货为定性目标,在最近一年内,融资企业在第三方物流存货的规模处于稳定和升高者评定为“优”,存货规模浮动较大者评为“差”,中间者记为“中”。由融资企业提供资产负债率和速动比率。
4.企业的信用记录
由于我国目前发展相对滞后的企业资信评级体系,导致第三方物流企业始终不能以较低的成本来直接的获得所有融资企业的信用评定等级,只能通过以之前合作记录为依据,完成对该企业履约率的统计,并以此来作为衡量企业合同执行情况的主要指标。
(二)物流金融风险指标体系的建立
在现阶段稳定的银行政策的影响下,第三方物流企业作为了型物流金融风险的主要承担者,其中金融风险影响因素的主要来源就是抵押物本身和融资企业,对此,我们提出了详细的一套物流金融风险指标体系。
(三)对物流金融风险指标体系的检验
虽然物流金融风险指标体系的是在对实践的不断归纳和总结以及对模型的借鉴优化的基础之上形成的,但为保证该指标体系的可靠性和专业性,我们还需要对这一风险指标体系进行检验工作。
二.物流金融风险的评估工作
物流风险的评估工作也就是在物流金融风险识别的过程中对风险因子完成量子化分析的过程,对物流金融风险评估工作的结果对的对后续风险处理方法有着直接的决定性作用。在本研究中利用了BP神经网络来完成对物流金融的风险评估工作。主要步骤如下:
(一)风险评估模型的建立
在设计过程中,网络层数和网络拟合度与每一层的节点数呈现一种正相关的关系,为实现拟合度的提高虽然可以通过增加网络层数的措施,但这也直接导致了网络的复杂化,进而也增加了训练的时间。所以引用了一个同时含有一个隐含层的具有三层BP的神经网络。BP神经网络的主要特征的体现就是对BP算法,又称之为梯度优化法。一般所涉及到的BP算法确定的原则就是:沿着表现函数下降最快的方法来进行对网络权值和阀值的修正。
(二)风险样本数据的获取
1.样本数据的采集
为了更好地说明物流金融风险评价模型的具体实现过程,同时也为了更好的说明模型的有效性和可靠性,需要制定一个物流金融风险样本数据收集表。表中数据信息要详尽具体,同时细分了高风险样本和低风险样本以及中风险样本。所采集到的样本数据经过一定的整理后录入从而形成一个完整的物流金融风险样本数据汇总表。
2.样本的处理
由于在物流金融风险指标体系中同时涵盖了定性指标和定量指标,在两类指标之间又缺少一个统一的度量标准,而且也不符合神经网络对于数据输入的需求,因此特加大了对网络收敛性的训练。另外对输入风险评估模型的样本数据进行了一定的预处理过程,通常所应用到的处理方法就是模糊化和归一化等。
(三)物流金融风险评估模型的仿真
1.隐含层的节点数
据上述可知,物流金融的风险评估模型一般都是由具有三层结构的BP神经网络组成,其中在输入层中有着15个节点,而输出层仅有1个节点,在隐含层的节点数值取值范围一般都在6到14之间。但据研究发现,当节点数为14个时,评估模型的误差是较小的,同时网络误差的收敛性也较好,因此可以将物流金融风险评估模型中隐含层节点数的数量确定为14个。
2.网络训练函数
在系统中所应用的Traing D函数来完成对BP神经网络的训练可以实现网络能够很快的进行收敛,而且过程中所产生的误差也比较小。但相比较于Traing D函数,Traing DM函数对神经网络的训练得到的结果是:能够使网络收敛速度更快,所以从风险评估模型优化的角度考虑,一般我们选取的训练函数是Traing DM.
3.网络学习速率
网络学习速率的选择直接影响到了网络收敛性的稳定。一般情况下,所选择的学习速率是0.01,在这一速率下,神经网络不仅具备良好的稳定性,而且也能很快的实现收敛。适当的提高网络学习速率,将其数值从0.01升高到0.02时,出现了网络误差曲线的明显震荡;而当数值为0.05时,误差又不能达到预定的目标。综上,为实现物流金融风险评估模型的最优化,一般所采取的神经网络学习速率为0.01.
(四)风险评估模型的检验
风险模型的评估结果基本上能够和样本的实际相一致,所以我们可以认为给予神经网络的物流金融风险评估模型有着良好的风险评估能力。
三.物流金融风险的处理
(一)管理型物流金融风险处理措施
1.风险回避
管理型物流方案在执行过程中会存在一定的潜在的风险,造成很多不利后果,所以需要采取一些手段和方法来减轻影响,比如放弃执行或者改变原有计划选择其他风险小的方案,这样一来就能够有效的回避风险,对于有风险的物流金融业务,需要综合自身物流实力来采取回避风险的措施,做到最小损失。
2.风险预防
风险防范意味着在实施过程中,要寻找潜在风险,采取措施,减少风险因素和风险概率,避免严重损害。在实际操作过程中,第三方物流应加强企业风险管理能力,增强员工风险意识,提高责任心,完善公司相关制度,防范财务风险,帮助企业健康发展。
(二)财务型物流金融风险处理措施
1.风险承担
所谓风险承担指的就是企业自身承担风险事故造成的损失,又称之为风险自留。在物流金融的实践中,第三方物流往往起着被动的风险承担的角色,在某项具体的业务开展之前,物流方可能也会意识到融资方抵押物所具备的风险,但是未能对存在的风险作出正确的预估,因而导致预防措施未能及时的采取进而导致了巨大的损失。在业务往来中,任何的一种业务行为都会存在一定的风险,有风险才会有收益,因此为保证企业收益的增加,也就需要采取恰当的风险承担。
2.风险转移
风险转移也是一种风险管理办法,这是主动将项目或相关的财务后果转移到其他单位或个人,从而有效地避免风险损失。风险转移作为了第三方物流企业常常采用的风险处理措施,物流方就是通过出让一部分的收益,然后成功的将物流金融业务转嫁给别人,从而有效的降低业务总体的风险。
四.结语
本文对物流金融风险管理体系进行了初步的探讨,主要涉及到了以下几方面的具体内容:
1.建立了一个具有良好的识别能力的物流金融风险评估模型;2.介进行了对物流金融风险管理全过程的系统研究;3.建立了物流金融的风险指标体系,并验证了该指标体系的稳定性和一致性。
物流金融正处在一个高度发展壮大的时期,而且现阶段相关部门对其研究的投入力度也在不断的加大,相信在不久的将来,物流金融必将会呈现出一种全新的形态,进而更好的为社会的发展做出更好更大的贡献。
参考文献
[1]赵芹.我国第三方物流企业供应链金融服务的风险管理研究[D].中国海洋大学,2010.
[2]乔华峰.XX港X公司物流金融风险管理研究[D].大连海事大学,2012.
[3]熊小芬.物流金融业务模式及风险管理研究[D].武汉理工大学,2007.
[4]郭佳.物流企业物流金融创新模式及风险管理研究[D].华南理工大学,2012.
[5]胡剑,李伟杰.物流金融:实务操作与风险管理[J].物流技术,2009,07:65-68.
[6]宋扬.物流金融运行中的风险管理[J].物流技术,2010,09:37-38+139.
随着航空业的迅猛发展,航空安全管理已经发展到事前预防的系统分析管理方式即风险管理。风险管理在航空运输领域的应用越来越为广泛。本文就风险管理在工程维修工作程序中的应用进行分析,通过工作程序风险管理,降低安全风险,提升安全管理水平,促进机务维护工作安全生产和可靠运行。
【关键词】
航空安全管理体系(SMS);风险管理;工作程序
0 引言
随着航空业的迅猛发展,对航空运营人的安全管理工作提出了巨大挑战。提高航空安全管理水平,成为航空运营人亟待解决的问题。近年,航空安全管理模式也随之在逐渐发生着变化,从最初重点关注硬件问题逐步过渡到关注人为因素问题;从事后开展检查和采取补救措施,日益倾向于注重过程控制的系统方法。尤其在引入安全管理体系(SMS)理念后,航空运营人通过SMS系统方法,科学地制定政策、目标,清楚地界定安全责任,有效地配备资源,不断提高安全运行水平。
1 安全管理体系(SMS)
安全管理体系(SMS)是运用系统分析方法,科学地制定政策、目标,清楚地界定安全责任,鼓励全员参与的方式,实施风险管理、安全保证、安全促进,有效地配备资源,在满足适航法规的基础上,不断提高运行水平。SMS包括四部分:安全政策、风险管理、安全保证、安全文化。其中风险管理是SMS的核心内容。风险管理的过程是通过系统和工作分析,以识别危险源,分析评价相关风险,针对风险设置系统要求,并采取措施来保证其满足安全运行要求。
2 风险管理在工作程序中的运用
安全是机务维修工作永恒的主题。工程维修工作程序作为维修单位实施机务维修工作的依据,其与适航法规的符合性、流程的可操作性,不仅对保证航空器的持续适航和正常运行至关重要,对保证航空器的飞行安全和减少维修差错方面也发挥重要作用。随着风险管理在航空业不同领域的逐步推广和广泛应用,各航空运营人及维修单位也逐渐将其运用到工作程序的编写、修订和实施中。
工作程序的风险管理是利用风险管理的五个步骤对其从编写到实施以及程序涉及的全部作业流程进行风险分析和控制。
2.1 系统和工作分析
系统和工作分析要详细清晰列出工作程序编写和实施所涉及的硬件、软件、人员、环境相互间的影响,以及程序中全部作业流程的所有接口及责任界面,直到足以识别危险源和进行风险分析。
系统和工作分析主要包括以下几个方面:
1)程序所涉及的参考文件,如适航法规、上级手册、关联程序及公司管理要求之间的关系;
2)编写人员与参考文件之间的关系;
3)工作流程与组织机构的关系;
4)工作任务流程的合理性;
5)完成程序规定的工作任务所需资源,如人员、器材、设备/设施、环境与工作任务要求的符合性;
6)影响工作的障碍因素(技术能力、系统效率等)。
通过上述相互之间关系的分析,编写系统和工作分析报告,为识别危险源做好基础工作。
2.2 危险源识别
危险源识别是根据系统和工作分析结果以及安全保证提出的要求来识别危险源及其潜在后果的过程。危险源识别是风险分析和评价的基础,因此存在的危险源必须被识别、记录和控制。危险源识别工具一般运用作业分析和流程图、因果图法、界面分析、故障树分析等。工作程序的危险源识别一般采用对系统和工作分析进行头脑风暴和流程图分析法相结合的方式。
1)对系统和工作分析进行头脑风暴:由管理者、程序编写人员和执行人员对系统和工作分析进行的头脑风暴通常是非常有效的方法。上述人员都是与程序密切相关以及对程序内容非常熟悉的专家,能够非常准确、有效的识别出危险源。
2)流程图分析法:通过绘制流程图并对其进行接口、界面分析,此方法可为进一步识别危险源提供详细清晰的线索。流程图能清晰地呈现出各个接口及责任界面存在的危险源,尤其是跨功能作业互动流程图。
跨功能作业互动流程图(如例图所示)由“起点”、“终点”、“决策判断点”、“责任部门”等组成。与基本流程图相比,跨功能作业互动流程图在流程呈现时,是依据各单位的职责予以划分的,可清晰明确各单位责任和接口,清楚说明各单位应完成的作业以及这些作业如何在部门之间往来的情况。其特点是:接口清晰、责任明确、流程简化,有利于优化流程且易于识别危险源。因此跨功能作业互动流程图是我们推荐的方式。但这种流程图绘制要求较高、难度较大。所以很多人依然采用基本流程图,即将工作项目依顺序由上而下,以单一方向排列,主要是显示工作执行的顺序,并以结构性的方式显示各大项作业与各细部作业的关系。基本流程图的缺点是不能呈现各单位的责任界面,不利于识别全部危险源。
确定危险源的分析过程应考虑工作程序从编写到实施以及全部作业流程的各个组成部分,这样才可以将工作程序及其运行环境中存在的危险源进行全部识别。尽管识别出程序的全部危险源是不现实的,但与运行有关的重大的、可合理预见的危险源必须被识别。然后通过整理记录形成危险源识别表,为下一步风险分析和评价做好准备。
2.3 风险分析和评价
风险分析和评价是将风险分解为有害结果出现的可能性和该后果的严重性。工作程序的风险分析和评价通常采取风险矩阵和风险值计算两种方法结合,即对危险源后果的严重性及其发生的可能性进行定量和定性的评判,确定风险等级和可接受程度。
风险等级通常分为四个等级,等级越高,风险越大。通过定量定性 分析确定风险的可接受程度,即
四级(红色):不可接受
三级(橙色):限制运行--即有条件的接受
二级(黄色):缓解后可接受
一级(绿色):可接受
在对危险源进行分析和评价后,如果发现该危险源所涉及的主要因素超出可接受范围,即风险等级为二级或以上,需要修改工作程序,直到所有危险源都控制在可接受范围,即使是存在“缓解后可接受”危险源,也必须重新修订工作程序,直到所有危险源都控制在可接受范围。这也是工作程序与其它工作实施风险管理的重要区别。
2.4 原因分析
风险分析不仅应注重对严重性和可能性等级的界定,还应进行“根原因分析”,这是制定有效控制措施,将风险降低至更低等级的第一步。在很多情况下,采用经验丰富的管理者及程序编写者、实施者进行头脑风暴等寻找降低风险的最有效和经济的方法。此方法可以使程序的实施者参加到讨论中,易于程序的落实。通过“根原因分析”制定有效控制措施,即风险控制。
2.5 风险控制
1)控制措施的设计与实施:在充分了解危险源、风险和根原因后,应进行风险控制措施的设计与实施,即风险控制。风险控制是针对每个不可接受的风险和经缓解后可接受的风险制定风险控制措施并组织实施的过程。风险控制措施一般分为规避措施和缓解措施。规避措施即改进设计,消除危险源;缓解措施即设置防护手段,减少危险源后果发生概率或降低其严重性。风险控制的基本原则是尽可能将风险降至最低,以持续改进安全状况。针对工作程序风险控制措施的实施,主要是指修订程序,即理顺作业流程或增加新的监督控制节点、改进培训、调整人员、改进技术等。总之,将风险控制措施加入到程序中,直到所有风险都控制在可接受范围。另外,控制措施投入使用前,必须评估控制措施是否有效及是否会对系统带来新危险源,即衍生危险源,并对其进行识别和控制。
2)控制措施的验证:通过程序的实施来验证其风险水平的改进情况,并持续对工作程序实施情况和实施环境进行监控,以评估措施的有效性。具体来讲,其一,通过质量审核发现程序执行过程中存在的问题;其二,实施部门主动反馈实施过程中发现的问题和建议;其三,程序主管部门对实施背景和环境进行监控。工作程序的实施有其实施背景和环境,即使采取了有效的控制措施,随着实施背景和环境的变化工作程序会出现新的危险源和风险,因此工作程序应实施动态管理,即根据上述情况的发生不断对其进行修改和完善。
3 工作程序运用风险管理的益处
随着工作程序风险管理的不断深入推进,在实际应用中取得了很好的收效。具体有以下几个方面:
3.1 完善程序质量,降低安全风险
通过风险管理,将识别出的不可接受的危险源通过完善程序得以消除。例如《航材入库和出库工作程序》,通过流程图分析法发现“领出未用的消耗性器材退库后”即结束工作,这将会使部分可用器材缺少相关历史记录,不能表明其是否处于可用状态,管理上没有形成闭环。针对该危险源进行风险分析并制定控制措施,即在作业流程中增加记录环节“将退库可用器材按照器材原批次在航材系统中完成退库收料”,使流程形成闭环,消除了危险源,降低了安全风险和运行成本。看似小小的环节,却有重大意义。由此可见,程序的质量对降低安全风险和运行成本起到重要的促进作用。
3.2 关注实际工作与程序的符合性,提高程序的可操作性
风险管理的实施打破了程序仅编写者及其领导参与的局面,使程序所有涉及部门和实施人员都能参与进来,提高了程序的关注度和程序的可操作性。在实施风险管理过程中,发现很多程序中的作业流程和实际操作不符合,通过风险评估重新梳理流程接口、明确责任界面,确保实际工作与程序一致,提高程序的可操作性。
3.3 促进程序的落实
在实际工作中我们发现很多程序的落实不到位,通过风险管理找到根原因后制定了风险控制措施,即增加程序编写后的征求意见和各基层单位会签环节,使程序的关注度大大提高。参与部门反馈意见逐渐增多,大家集思广益,使流程既顺畅又贴近生产实际;同时,加强了程序执行前的沟通和分析力度,使程序在实施前得到各部门的认可并做好执行准备工作,有利于程序的落实。
3.4 进一步强化SMS管理全员参与的理念
工作程序是工程维修系统实施具体维修工作的基础,程序涉及到公司的每位员工。通过程序风险管理,使全员都能参与其中,进一步强化了SMS管理全员参与理念,SMS管理理念日益深入人心,并得到更广泛的应用。
4 结束语
综上所述,工作程序应用风险管理后,在管理上,由被动变主动,由事后变事前,由结果管理变过程管理;在法规的符合上,工作程序能更科学地满足法规的相关要求;在操作层面,工作程序具有更强的可操作性。同时,通过风险管理,程序的关注人群越来越多,按章办事的意识大大增强,从根本上减少人为差错的发生,降低安全风险,提高安全管理水平,促进机务维护工作安全生产和可靠运行。
【参考文献】
[1] AC-121/135-2008-26 《关于航空运营人安全管理体系的要求》
[2] ICAO DOC 9859 SMM(SAFETY MANAGEMENT MANUAL)
关键词:石油企业;内部控制;全面风险管理
中图分类号:F27 文献标识码:A
收录日期:2013年8月23日
石油企业作为关系到国计民生的资源垄断性企业,其风险管理问题不容忽视。石油企业特殊的生产经营环境和生产工艺,形成了复杂的内外部风险环境,使之面临着多种风险,如投资风险、勘探风险、生产风险、价格风险、汇率风险等。近年来,石油企业积极开展内部控制和全面风险管理工作,促进了油田持续、健康、稳定发展。
一、《萨班斯-奥克斯利法案》对我国石油企业内部控制建设的推动
我国的三大石油公司自2000年以来在美国资本市场成功上市,就必须遵守美国资本市场的监管法律,其中《萨班斯-奥克斯利法案》要求在美上市公司的年报中必须包括经过会计师事务所评价的内部控制报告,这意味着中石油、中石化、中海油等石油企业就必须按照美国法律法规的要求搭建一套完善的内部控制体系,并通过外部审计和美国证券监管部门审核。
《萨班斯-奥克斯利法案》的404条款要求管理层对公司内部控制进行评价,明确了公司管理层对建立和维护内部控制系统的责任,将内部控制报告纳入年报披露范围,且年报审计者需对公司内部控制出具评价报告。该条款要求在美上市的外国公司必须在2005年7月15日达到要求,后来由于操作上的难度将期限延至2006年7月15日。在此推动下,三大石油公司成为国内首批建设内部控制体系的企业,其内部控制体系的建设领先于其他行业。例如,中石油在2005年就已开始按照404条款的规定,参考COSO的总体框架要求,立足于公司战略的高度,着手筹建内部控制系统工程,其涵盖了公司的各个层次,率先通过了404条款要求的内部控制外部评价。
在外部法律的推动下,我国的石油企业在不断的探索中逐渐形成了完善的内部控制体系,推动了企业生产与管理活动的顺利进行,有助于企业达到自身既定的经营目标。
二、从ERM框架到《中央企业全面风险管理指引》
《萨班斯-奥克斯利法案》同时带来了内部控制标准的发展。2004年美国COSO委员会在《内部控制——整体框架》的基础上,结合《萨班斯—奥克斯法案》的相关要求,了《企业风险管理——总体框架》(简称ERM框架)。与传统内部控制的内容相比,新框架有了较多变化。例如:原来的《内部控制——整体框架》中,内部控制有三个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性,新框架将目标发展为战略目标、经营目标、报告目标和合规目标四大目标。此外,新框架还将《内部控制——整体框架》中的五大要素发展为企业风险管理的要素,分别为内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、监督。
ERM框架将内部控制中的风险管理要素进行了深化和完善,将内部控制推向了风险控制的高度。与此同时,我国政府管理部门也认识到,单纯依赖会计控制已难以应对企业面对的复杂市场风险,会计控制必须向风险控制发展。在此背景下,国资委在2006年6月了《中央企业全面风险管理指引》,该指引将先进国家的风险管理经验与我国企业的特点结合起来,对央企的全面风险管理提出了指导性的意见,也是国内其他企业实施全面风险管理的主要参照依据。该指引的出台,意味着风险管理的理念和方法正式引入中国,成为了我国企业风险管理制度建设和标准建设的里程碑。2008年财政部会同证监会、审计署、银监会、保监会等部门联合了《企业内部控制基本规范》。2010年五部委又了《企业内部控制配套指引》。这些规范和指引的出台标志着我国企业内部控制和全面风险管理规范体系的基本建成。执行企业内部控制规范体系的企业,必须对本企业内控的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计。
以上这些法律法规都促使石油企业进一步加强和完善内部控制工作。在推进内部控制建设的过程中,石油企业一直把风险管理作为重点领域。《中央企业全面风险管理指引》之后,我国石油企业依靠其有效的内部控制基础,融合了现代企业制度框架下的风险管理理念,开始了全面风险管理的探索,使企业的风险管控能力不断提升。
三、石油企业实施全面风险管理现状以及存在的问题
《中央企业全面风险管理指引》后,石油企业依据指引的要求,努力建设全面风险管理体系。深入宣传风险管理理念,培育风险控制文化,完善风险管理组织体系。开展了构建安全环保体系、实现全面预算管理等管理活动,逐步推进全面风险管理。建立了业务流程管理基础规范与涵盖公司全部业务领域的流程架构。以财务报告风险控制为切入点,初步完成了各级流程的梳理。将风险控制措施落实到业务流程中,实现重要风险与关键控制的规范设计。建立业务流程管理信息系统,统一业务流程数据库,实现流程设计、控制测试信息化。
但应清醒地认识到,石油企业的风险管理仍处于探索阶段。与全面风险管理的实质内涵相比,还存在以下几个方面的不足:
第一,对风险管理的重要性认识不足,风险管理执行不力,实践中对内部控制和风险管理的关系认识含糊。有的企业将内部控制视为全面风险管理的手段,有的企业将风险管理视为和内部控制并列的独立系统。这种模糊的认识造成现实中企业基层管理者对重复建设体系的反感,并且造成全面风险管理体系的建设与内部控制有所脱节。
第二,过于注重合规性而忽略了风险管理的实质作用。一些企业在全面风险管理工作中只注重手册和制度文件的编写,而容易忽略如何执行制度、监督与报告制度执行状况、矫正制度执行偏差等方面。
此外,在高风险的环节和领域、关键控制点的预警、应对和跟踪不到位,风险管理的运行机制还需要进一步改进和完善。
四、石油企业加强全面风险管理的对策
(一)完善全面风险管理内部环境。培育有特色的企业风险管理文化。石油企业要通过开展行之有效的风险培训,提高员工的风险理论水平,培养专业人才,建设风险管理队伍。通过开展多样的宣传活动,增强员工的风险意识,使风险管理意识转变为员工的职业态度和工作习惯。同时,要营造全员参与、自觉执行的内部氛围,各级领导人员要发挥表率作用。
应当建立健全全面风险管理组织体系。要明确组织系统在风险管理中的基础性作用,确保风险管理部门健全,职责明确。石油企业可以构建立体的风险管理机构,建立三级风险防线。①第一级风险防线。它由部门负责人、独立的风险管理委员会和内部审计部门承担。部门负责人负责监控其管理部门员工的日常工作,确保员工按照公司规定的程序及职责权限工作。成立由总经理负总责的风险管理委员会,组织领导企业的全面风险管理工作;同时,在委员会下可以设立风险管理专职部门,直接对风险管理委员会负责。内部审计部门负责公司的内部控制系统及控制程序,确保股东投资及公司资产的安全性。②第二级风险防线。它由审计委员会负责,公司内部审计部门直接归属审计委员会领导。③第三级风险防线。它由董事会负责,对风险管理政策和程序做最后的决策。
(二)完善全面风险管理制度体系。不断完善全面风险管理制度体系。石油企业应探索一套符合自身特点的、覆盖所有业务流程的全面风险管理制度体系,促进风险管理的制度化、规范化、系统化。同时,根据法律法规、监管理念以及业务流程的变化,及时进行补充完善。首先,要着力抓好业务流程管理工作,要明确业务流程管理职责,完成流程分层分级设计,统一定义、结构和编码。还要以风险管理为核心、强化控制为重点,开展全面业务流程梳理;其次,结合实际,编制简单实用的风险指引。企业要从方便员工实际操作出发,结合风险管理工作流程,按照统一的格式,形成风险管理指引表和风险数据库,使得每个部门、岗位和员工可以快速了解其自身工作所涉及的风险及威胁程度,在实际工作中能够注重防范。
(三)建立适应全面风险管理的信息系统。一些石油企业为了固化公司的核心业务流程与管理流程,促进信息的准确、及时流通,建立了完善的OA办公系统。公司所有的经营与管理活动如生产运营、财务核算、资产管理、投资管理、资金管理、人力资源管理、审计等全部通过ERP系统完成。
为了更有效率地实施全面风险管理,石油企业应建立一个专门的风险管理信息系统。这个风险管理信息系统中的风险信息数据可以采取直接录入的方式,也可以从企业的其他信息平台如ERP系统中获取。该信息系统在功能上,涵盖了全面风险管理全部基本流程对信息的需求;在范围上,面向企业内、外部的各种风险,覆盖全面风险管理的全过程。
(四)加强风险管理监督工作,建立风险管理激励约束机制,全力提升风险管理执行力。企业要建立起业务部门、风险管理职能部门、内部审计部门和外部专业机构相结合的四位一体风险评价模式。一是做好风险管理的自我监督。业务部门定期对风险管理工作进行自查,及时发现缺陷并改进;二是强化各层次的测试检查,风险管理职能部门定期对业务部门的风险管理工作实施情况进行检查,提出调整和改进建议;三是内部审计部门至少每年一次对企业的全面风险管理工作进行评价,形成监督评价审计报告;四是聘请外部的风险管理专业机构对企业的全面风险管理实施情况进行评估,出具报告。
为了让每位员工重视风险管控工作,提升风险管理执行力,可以将风险管理与企业管理层、执行层的绩效考核和薪酬相结合,通过考核促使企业各个层面重视风险管理。同时,建立责任追究制度,对于因重大决策失误造成风险损失的责任人进行责任追究,提高风险管理的责任意识和执行力。
主要参考文献:
[1]孙合珍.关于建立企业风险管理体系的思考[J].财务与金融,2010.4.
[2]武晶,贾宏雁.论我国风险管理的现状及对策[J].学术交流,2010.6.
1 企业全面风险管理已成必然
从国际上看,许多国家已从制度安排上着手建立以风险容量控制为中枢的相关风险全面管理框架。如,2002年美国颁布的萨班斯法案要求上市公司全面关注风险,加强风险管理。基于这一要求,2003年7月美国著名的反虚假财务报告委员会下属的赞助委员会COSO在《内部控制整合框架》基础上,提出一个概念全新的《企业风险管理整合框架》讨论稿,2004年9月正式颁布了《企业风险管理——总体框架》(简称COSO-ERM),使内部控制研究发展到一个新的阶段。作为一个指导性的理论框架,COSO-ERM框架为公司董事会提供了有关企业所面临的重要风险以及如何进行风险管理方面的重要信息,最具权威的国际标准化组织也在近期颁布了《ISO 31000:2007 风险管理实施指南》。
从国内来看,有关各界已越来越重视风险控制。2004年,中国银监会《商业银行市场风险管理指引》(2004年第10号令),要求商业银行加强市场风险管理,充分识别、准确计量、持续检测和适当控制所有交易业务和非交易业务中的市场风险,确保在合理的市场风险水平之上安全、稳健经营,其承担的市场风险水平应当与市场风险管理能力和资本实力相匹配。2007年至2009年,银监会先后制定了《商业银行操作风险管理指引》、《商业银行并购贷款风险管理指引》、《商业银行声誉风险管理指引》和《商业银行流动性风险管理指引》,使商业银行风险管理规范不断丰富和完善。
近年来,银行业发生的许多案件充分表明,许多商业银行风险管理经验缺失,风险控制意识不强,风险管控手段匮乏。因此,积极借鉴国际先进银行全面风险管理技术和经验,深入开展全面风险管理理论研究,努力提高我国商业银行全面风险管理水平,控制银行风险案件的发生,是实现我国商业银行可持续发展目标所面临的重要任务。
2 全面风险管理的本质与流程
商业银行全面风险管理的本质为一个旨在实现商业银行经营目标、促进银行可持续发展的流程化的风险管理过程和管理体系。作为一个管理过程,其主要工作流程就是识别风险、评价风险和控制风险。作为一个管理系统,其主要构成因素包括管理主体与客体、管理目标和管理手段。全面风险管理的基本流程应该包括以下几个方面:
(1) 收集风险管理信息,建立问题数据库。就是围绕各种风险因素进行相关信息的收集、加工和处理,其目的在于及时发现银行可能面临的各种风险,为风险评估提供依据。因此,收集风险管理初始信息,建立问题数据库作为一项经常性工作贯穿于银行内部所有单位。
(2) 建立风险评估模型,进行风险等级评估。对所收集的风险管理数据库信息结合各项业务管理及其重要业务流程进行风险识别、风险分析和风险评价,其目的在于查找和描述风险,评价所识别出的各种风险的影响程度和风险价值,给出风险控制的优先次序等,为正确制定风险管理策略提供依据。
(3) 依据风险等级评估情况,制定风险管理策略。对所识别出的各种风险,按照所给出的优先次序,围绕银行目标与战略,确定风险偏好、风险承受度和风险管理有效性标准,选择适当的风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制等风险管理工具,确定风险管理所需要的人力与物力资源的配置原则。这是决定风险控制成本与效率的重要环节。
(4) 提出和实施风险管理解决方案。根据所制定的风险管理策略,针对各类风险或各项重大风险制定风险解决方案。制定风险管理解决方案应该满足合规性要求,同时要注重成本、质量与效率的平衡,坚持经营战略与风险策略、风险控制与运行效率的统一,保护自身商业秘密,防止自身对外包解决方案产生依赖性风险。
(5) 风险管理的循环评价与改进。风险管理的重点是对事关银行生存与发展的重大风险的识别、分析与控制。因此,风险管理部门应该以重大风险、重大事件、重大决策和重要管理与业务流程为重点,对各项风险管理工作实施情况进行监督,采取有效的方法对其有效性进行检验。根据监督和检验结果,对所存在的问题或缺陷加以改进和评价。
3 加强全面风险管理的主要措施
风险控制的核心是在全员基础上的系统风险控制理论,主要是通过建立和完善以风险控制为中枢的风险管理框架,运用先进的风险管控方法,提高风险管控的能力,全面加强风险管理。
(1) 提升管理综合素质,增强管理层全面风险控制能力和前瞻性。全面风险管理水平,要求管理层必须拥有专门的风险管理知识、才能和智慧,形成系统的风险管理理念,树立科学的风险应对策略观,以确保履行其风险监控责任,引导风险管理文化的形成,引导或迫使管理层不断提高其自身综合素质,增强其全面风险管理能力。推动风险管理系统的合理构建。
(2) 塑造风险管理文化,增强全员风险管理意识和要求。实践经验证明,一流银行的发展靠文化,二流银行的发展靠制度,三流银行的发展靠指标。全员参与的风险管理文化的塑造是银行核心竞争力的关键,要倡导和强化“全员风险管理意识”,通过各种途径将风险管理理念传递给每一个员工,并且内化为员工的职业态度和工作习惯。
随着《中央企业全面风险管理指引》(以下简称《指引》)和《企业内部控制规范》及配套指引在中央企业的开展和推广,央企陆续建立或准备建立内控和全面风险管理体系,风险管理已经成为企业生存与发展的关键要素。而信息化作为推动和实现企业体制完善、管理创新的重要手段,也早已融入企业的各项管理和实践。越来越多的企业将风险管理信息化纳入企业信息化建设规划当中。已经有相当数量的中央企业建立了内控和全面风险管理信息系统,还有一些企业结合管理实践,从法律、市场、信用、项目等专项业务管理入手形成了专项风险管理信息化应用。
风险管理信息化存在的问题
据调查,目前中央企业全面风险管理信息化建设仍处于起步阶段,仅有少数企业建立了独立的整体或专项风险管理信息系统。信息技术在企业各项风险管理工作中的应用仍不充分,无法满足企业对信息收集、风险评估、预警监测、沟通报告等工作的信息化要求,也未能发挥其对提高风险管理效率的促进作用。
笔者认为风险管理信息化之所以开展缓慢,应用不顺,可能与如下因素有关:
首先是定位不够清晰。一部分企业在建立内控或风险管理体系的同时或之后,实施了风险管理信息系统,但是这样一个系统是作为内控或全面风险管理牵头部门的工作信息平台,用于推动企业内控和全面风险管理管理体系运行?还是希望在各专项业务管理中通过风险管理信息化手段评估和管控业务风险?不少企业对于系统的操作主体、应用范围、管理目标往往不够清晰,导致信息系统效能难以发挥。
其次是不能与业务管理融合。有些企业虽然已经构建了风险管理信息系统,但是业务管理和风险管理在信息化应用中几乎没有交集,在信息系统中难以体系集成与信息共享,使得风险管理变成“管理孤岛”。现代企业已经制定了各种各样足够多的规章制度、流程手册、程序文件、工作指南等;还有各种管理体系,包括质量管理、安全管理、六西格玛、全面预算管理、全面风险管理、HSE、内控规范等。理论上讲,不管引入并建立了多少种管理理念和体系,企业都应当将它们整合成一套制度和流程,而企业的员工只要严格按照这套制度和流程中所规定的要求开展工作即可以满足所有管理体系的要求。如果不能发挥风险管理的整合价值,如果不通过IT技术构建统一的信息化应用平台,实现多个体系的整合和管理的融合,就会不断形成“管理体系孤岛”和“信息孤岛”,也就失去了内控和风险管理的价值和意义。
风险管理信息化的原动力
企业风险管理信息化主要应满足以下两个层面的管理需要:
一方面是建立内控和全面风险管理体系的信息化运行平台,帮助企业开展定期的风险评估、日常风险监控改进和内控评价,编制风险管理和内控评价报告,落实公司层面风险的集中管理,实现风险管理体系的运转。这项业务对于大多数企业来讲,与企业其他业务管理相比较,是企业的“新业务”。因此,有必要建立—套信息系统作为落实该业务的工作平台,便于内控和风险管理职能部门或团队更有效地开展公司层面风险管理工作的组织、沟通、协调和报告,解决风险管理工作推动、监督、评价考核;目前市场上绝大多数产品都是为了满足内控和全面风险管理体系的建设和运行而设计的,已经实施风险管理信息化建设的中央企业多数也是应用的此类产品。此外,在构建此类信息系统时,最好结合中国企业的实际情况,尽可能考虑内控和全面风险管理在信息流(包括风险库、指标库、流程库、控制措施等)、管理过程和评价考核等方面的融合。
另一方面就是企业中作为风险管理第一道防线的业务管理部门,需要将风险管理与企业业务管理相融合,使得风险管理充分融入企业的各项日常工作实践,应用风险管理的手段,评估并管控业务中的风险,体现在业务管理的信息化应用中,支持业务管理的有效风险分析和决策支持,这是业务管理部门所必备的工具手段。
这两个方面既体现企业管理的全局与局部,又体现风险管理的集中与分类,构成了企业风险管理信息化的原动力。
风险管理与业务管理信息化的融合
如何体现管理融合是企业信息化建设的重点和难点。如果一个企业有自己的协同办公管理系统,又有一套ERP,企业的各项业务的管理实践如何既能在执行业务流程的同时有效地评估和管控风险,又不出现“管理体系二张皮”的情况呢?显然,一套业务系统、一套风险管理系统的模式难以适应企业管理应用,换句话说,构建一套风险管理系统既作为企业内控和全面风险管理体系的运行平台,又希望承载风险管理与业务管理的融合要求是很困难的。
《指引》第五十八条明确提出:“已建立或基本建立企业管理信息系统的企业,应补充、调整、更新已有的管理流程和管理程序,建立完善的风险管理信息系统;尚未建立企业管理信息系统的,应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。”
根据《指引》的要求,对于尚未进行业务信息化建设的企业,应该应用内控和风险管理体系作为管理整合的管理依据和基础保障,将风险管理要素嵌入各项管理业务流程,统一设计一套整合的业务管理信息系统,在业务管理实践中开展并重复风险管理的闭环。
而对于已经构建ERP等信息化应用的企业,可以考虑将风险管理要素分解并构造成较细颗粒度且相对独立的“服务”。若企业具备修改、调整原有管理系统条件的,可以在各业务流程的不同环节中“嵌入”所需要的风险管理服务,根据服务运行的结果,决定下一步流程走向,形成“强控制”。比如,可以提供多个定性和定量的风险分析服务以及风险评价和查询服务,用于在各项业务中开展风险评估和动态查询,并在信息系统中根据风险分析和评价结果确定下一步应对策略和操作环节。
对于不具备业务系统中进行流程控制优化条件的,可以建立数据接口确保业务数据到风险管理系统的单向输入,根据业务管理逻辑和数据分析构成风险管理“服务触发器”,根据风险承受度和管理策略及时发出提示、预警等,但不影响原有系统的流程,形成“弱控制”。
河南煤化永锦能源有限公司是一个具有50年历史的老矿,面临由传统计划经济管理模式向市场经济管理模式转变的挑战。虽然经过几十年的摸索和经验总结,形成了众多的管理制度、办法,但整体上来说缺乏系统性、科学性、针对性,特别是安全管理思路传统保守,过多依靠专项整治、集中排查、会议布置、下达命令、处罚为主要的行政手段来强制实施安全保障,已不能适应当今企业发展的需要。传统安全管理的弊端主要表现为:
1.风险源辨识和风险评估不到位,造成安全管理盲目性较大。
2.安全管理流程不合理。安全管理操作控制程序不清晰、不闭合,未能做到全过程控制,安全管理存在漏洞、随意性较强。
3.安全管理协同性差,责任权利不统一。
二、内涵与主要做法
2.1健全安全管理组织结构成立内部市场化协同安全管理领导小组,加强组织领导。成立以矿长为组长,副矿长为副组长,各职能科室领导为成员的公司内部市场化安全协同管理领导小组,负责公司内部市场化安全协同管理重大问题的决策,例外问题的处置,内部市场化安全协同管理的监察工作。
2.2明确安全管理的指导思想与原则一是明确安全管理流程再造的思路。按照“总体规划、分步实施”的总体思想。二是明确安全管理的指导思想。基于内部市场化的煤矿安全管理是在内部市场化理论为指导的前提下完成的,从煤矿到班组共形成三级主要市场主体,分别是煤矿、区队以及班组。三是明确安全管理的运行机制。要想改革和创新煤矿安全管理模式,构建安全高效的煤矿安全管理体系,必须建立起一整套长效运行机制,理清各种关系,规范作业流程,主要包括市场机制、考核机制、协同机制和监察机制。四是明确安全管理的实施方法。在内部市场化运作的基础上,构建三维安全协同管理PDCA循环系统。五是明确安全管理的六个原则:市场化运作的原则、充分授权的原则、利益对等的原则、协同高效的原则、精细化管理的原则、安全目标导向原则。
2.3优化安全管理的体系架构通过对煤矿安全管理流程的调研、梳理,构建基于内部市场化的煤矿安全协同管理流程体系三维立体框架模型。根据模型,构建起安全管理的初步体系架构:纵向上从安全管理PDCA流程出发,形成安全目标管理、安全风险防范、安全管理与控制、安全目标考核和安全评价安全协同管理流程;横向上以市场主体上下游服务关系和岗位辅助协作关系,确定市场服务合同,从而明确不同主体之间的权利与责任,并从人、机、环、法、料五个方面规定了安全管理的内容。在纵横分析的基础上,形成安全管理岗位目标与责任、安全管理岗位考核指标、安全协同管理制度与考核方法,整个安全管理流程置于安全协同监察之下,从而形成以内部市场化运作为主,安全协同监察为辅的内部市场化的煤矿安全协同管理流程体系框架。
三、再造安全管理的流程
3.1构建PDCA安全管理流程(总体流程)通过对煤矿安全管理流程的调研分析,结合PDCA循环图思想,设计出PDCA安全协同管理总体流程。
3.2构建协同安全管理流程分流程在PDCA安全协同管理流程(总体流程)基础上,分别设计安全协同管理流程分流程,包括:安全目标管理流程、安全风险管理流程、安全控制管理流程、应急救援管理流程和内部市场化结算管理流程等。
①建立安全目标管理流程目标安全管理根据煤矿安全管理目标,采取自上而下、自下而上的方法,制定各级市场主体的安全目标,并根据各级市场主要目标,形成各级市场主体的岗位责任,安全目标考核指标、安全目标考核方法、内部市场化结算方案等。目标安全管理流程是基于内部市场化的煤矿安全协同管理控制的基础。在目标安全管理流程分析的基础上,制定了《安全生产岗位责任制》、《安全目标考核办法》、《安全内部市场化结算办法》等制度文件。
②构建安全风险管理流程安全风险管理是安全防范管理的重点,也是难点。煤矿安全风险管理的重点是建立危险源辨识和煤矿安全应急预案。首先通过建立煤矿安全风险综合信息平台,全面收集煤矿安全信息,对煤矿的安全风险作出初步判断;其次结合班组、部门的时间确认与反馈,参考行业风险事件库,全面辨识煤矿安全风险;第三进行全面的安全风险评估,根据专业经验、行业标杆等,结合煤矿实际,形成安全风险评估的初步结论;第四形成安全风险管控预案,提出风险评估报告。安全风险管理流程的设计借鉴了风险管理和危险源管理的理论和方法。危险辨识是基础,根据危险源辨识,形成危险源信息库;运用风险评估方法,确定风险(危险)等级,应对不同级别的风险,宜采取不同的管理方案。
3.3加强内部市场化结算流程管理①在集团内部市场化管理基础上,结合煤矿自身安全管理实际,依据安全目标考核指标和考核办法,构建建煤矿内部市场化管理实施新型管控模式,形成煤矿内部市场化结算体系,制定出详细可行的内部结算办法,构建起煤矿内部市场化管理实施新型管控模式。②完善内部市场化结算体系:一是分线核算,构建要素市场。二是不断完善价格体系。三是建立核算体系。四是建立考核评价体系。
3.4完善安全管理各项规章制度在安全风险分析的基础上,相继制定、完善《安全应急预案信息库》、《安全培训管理制度》、《安全标识管理办法》、《安全宣教制度》等多项规章制度,建立起市场化程度较强、协同力度较大的安全控制管理体系。
四、结语
①通过实施“基于内部市场化的煤矿协同安全管理”,建立健全了安全管理体系,明确了安全管理的主体,充分调动了员工安全管理的主动性和积极性,形成了良好的PDCA安全闭环管理新模式,产生了良好的效果。
②在目前煤炭形式下滑的情况下,煤矿生产成本增加压力下,加大成本投入的管控力度,严格履行审批签字把关职责,始终坚持设备、材料等周转,充分利用废旧物资调剂交易中心,对库存物资材料进行了调剂使用,减少了新材料投入。保证了矿井经济效益和社会效益。
③煤矿协同安全管理体系得到了进一步完善。通过基于内部市场化的煤矿安全协同管理流程再造的实施,建立了以市场为主,监察为辅的煤矿安全管理体系,形成了明确了安全管理责任体制,完善的安全计划执行体系,良好的责权利对等机制,极大地调动了员工参与安全管理的积极性和创造性。
④员工的主人翁意识明显加强,安全管理的主动性、积极性显著提高。
⑤安全管理流程进一步明晰,实现了安全管理全过程的管理与控制。
关键字:财务公司 全面风险管理 内部控制
作为由企业集团组建,立足于集团、服务于集团的非银行金融机构,企业集团财务公司担负着整合集团内部资金、为成员单位提供融资、促进产业结构和产品结构调整、支持企业发展的责任。在企业集团快速扩张、对资金需求不断增加的形势下,财务公司的风险管理面临着前所未有的考验。建立科学高效的风险管理体系、提高财务公司风险管理水平是财务公司防范金融风险、稳健经营和可持续发展的基础和保障,同时也是金融监管的迫切要求。
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
对财务公司而言,全面风险管理指的是董事会、高级管理层和所有员工各自履行相应的职责,有效控制涵盖整个公司各个业务层次的全部风险,进而为公司各项目标的实现提供合理保证的过程。构建财务公司的全面风险管理体系应包括五大模块:完善的组织架构、健康的内部环境和风险管理文化、科学的信息传递与风险管理流程、符合监管要求的审慎的资本管理、独立有效的内部控制和内部审计。
一、构建适合财务公司特点的风险管理组织架构
全面风险管理的主要特点是在公司内部设立风险管理委员会,下设风险管理部门,对日常的经营活动中所产生的风险进行管理和上报,公司的最高管理层对风险管理起决定性作用,承担最终责任。
财务公司根据自身的特点一般应设立董事会及其专门委员会、监事会、高级管理层、风险管理部门等风险管理机构。
董事会是最高风险管理和决策机构,承担风险管理的最终责任,负责审批风险管理的战略、政策和程序,确定可以承受的风险水平,督促和评价高级管理层在风险管理方面的履职情况。董事会通常还应指派风险管理委员会负责拟定具体的风险管理政策和指导原则,风险管理委员会最终形成的风险管理文件提交董事会批准。
监事会负责风险的各种监督监察工作,全面了解公司的风险管理状况,跟踪监督董事会和高管层为完善内部控制所做的相关工作,检查调研日常经营活动中是否存在违反公司风险管理政策和原则的行为。
高级管理层负责执行风险管理政策,制定风险管理的程序和操作规程,及时了解风险管理状况,确保配备足够的人力、物力和恰当的组织结构、管理信息系统以及技术水平来识别、计量、监测和控制各种风险。
财务公司应当为全面风险管理设立与公司的经营规模、风险状况相适应的风险管理部门。要保证它的相对独立,要有高管层的大力支持,配备具有高度责任心和风险管理技能的专业人员。
二、培育全员参与的风险管理文化
财务公司应注重风险管理文化的培植,积极倡导和强化风险意识,树立全方位的先进的风险管理理念,建立风险绩效考核,培养公司所有人员的风险敏感度,把风险管理提升到战略高度融入到公司的经营管理中。
当前先进的管理理念主要包括:以资本管理为核心;风险管理目标与业务发展目标统一;风险管理覆盖公司所有业务所有环节中的一切风险,实行“业务发展,风险先行“;风险管理独立权威;分散与集中结合,注重沟通交流等。
三、建立科学高效的风险管理流程
财务公司风险管理流程主要包括风险识别、风险计量、风险监测和报告、风险控制、风险处置与补偿。
目前财务公司的业务范围主要是在企业集团内部吸收成员单位存款,为成员单位提供结算服务,向成员单位发放贷款,提供票据承兑和贴现业务,办理委托业务等。基于此,财务公司面临的风险主要有流动性风险、操作风险、信用风险等。同时,由于财务公司受着银监会、人民银行、证监会等多个部门、多个层次的政策法规的监管,因此财务公司还要重视合规风险的管理,在进行风险管理时应综合考虑合规风险与其他风险的关联性。
财务公司一方面要依据监管机构的风险评价体系,对自身的资产状况、资产质量、管理水平、盈利性与流动性能力及市场敏感度等进行监测,同时也要对自身的风险如客户的信用状况进行分析和评价。目前财务公司的风险计量大多采用各种指标分析法、传统专家判断法等,近年来,对各种风险进行压力测试也是一种新的风险度量方法,受到了越来越多金融机构的重视。对风险的监测一般主要包括两个方面的工作,一是跟踪已识别风险的变化发展情况;二是根据风险变化及时调整风险应对措施,建立风险预警机制。
财务公司对风险的应对策略主要有风险规避、风险预防、风险分散、风险转移。在选择这些风险应对策略时要充分考虑财务公司自身的性质特点、对不同风险的承受能力以及风险管理的成本效益等因素,以达到最佳的风险控制和管理效果。
四、同时满足外部监管和内部管理需要的资本管理
资本是财务公司开展经营活动的前提和基础,是防范金融风险的最后一道防线。无论从外部监管和内部防范流动性风险来看,保持充足的资本都是财务公司安全运营的需要。财务公司应按照中国银监会的《商业银行资本充足率管理办法》(按规定财务公司比照执行)等一系列政策法规的要求,并结合自身经营规模、企业集团的行业特点和资金运动规律,运用科学的计算方法,制定并保持合理的资本充足率水平,提高资产质量、优化资源配置,充分防范流动性风险。
五、完善的内部控制和独立内部审计
关键词:企业内部控制 内控现状 解决措施
电力企业是整个国民经济实现可持续发展的基础,是国家的基础产业,在国民经济中发挥着极其重要的作用。当前,电力企业面临的竞争形势越来越严峻,电力企业要在激烈的市场竞争环境中占有一席之地,必须建立完善的内部控制,保证电力企业生产经营活动的顺利进行。
1、企业加强内控管理的必要性
内部控制是由企业全体员工共同实施的、旨在实现控制目标的过程。实施内部控制和全面风险管理是公司应对日益复杂的外部经营环境,推进“四化”工作,实现持续、健康发展的客观要求。近年来,国资委和财政部高度重视企业风险管理,提出了一系列加强企业风险管理与内部控制的配套监管措施。企业构建一个完整科学的内控管理体系,能帮助企业提高自身管理水平,保证企业经营管理合法合规、资产安全、信息真实完整、提高经营效率和效果、促进企业实现战略目标。
2、当前电力企业内控管理现状
完善的内部控制是衡量企业管理水平的重要标志,近年来电力企业大力推进“两个转变”,加强“四化”工作,在企业内部控制管理方面的尝试取得了较好的成果。但总体来看,内控管理现状对比国际最佳实践、国资委《指引》和财政部《内控规范》等监管要求,仍存在一些不足:
2.1、企业风险意识有待加强,公司风险管理文化需要进一步培育
由于长期的计划管理体制和自然垄断的业务属性,电力企业员工风险观念淡薄、责任意识和大局意识不强,对形势的发展变化缺乏敏感性和危机感。部分员工存在一种错误的认识,认为内部控制和风险管理是管理层和财务部门的事情,非全员参与的“过程”,表现消极应付,出现“搞形式”、“走过场”现象。
2.2、内控制度还不够健全,内部控制执行力有待强化
企业的内部控制制度不够全面,部分单位尚未建立风险管理组织保障体系,公司层级的全面风险管理和内部控制信息系统尚未建立,专业人才不足,相关制度有待完善。目前电力企业初步建立了统一的企业内部控制制度和内控流程标准,但在执行过程中,有的单位自我约束力差,有令不行,有禁不止,内控流程和内控制度流于形式,重大风险和重要流程的内控措施没有落实,内部控制的执行力度远远达不到标准;有的单位企业内部管理“闭门造车”各干各的,互不联系,各自为政,企业的各个部门不能很好的配合,致使企业内部控制制度作用发挥的不好。另外,缺乏对内部控制的有效监督措施,有的单位建立了内部审计机构,由于现今企业管理制度的制约,不能充分发挥其监管的职能,使得企业的监管措施形同虚设。
2.3、风险管理不到位,风险协调应对机制有待健全
随着社会经济的不断发展,企业的外部经营环境越发复杂,竞争不断加剧,电力企业能否在越来越大的压力下对风险进行评估,并进行有效的管理和控制,是企业能否实现企业目标与持续发展的重要因素。但由于在电力体制改革以前,作为国家的垄断性产业,企业的风险一般是生产上的安全,经营管理上的风险一般没有过多的考虑,企业依赖长期的行业优势及重生产轻经营的传统理念,造成了对市场分析的缺乏,没有及时的建立完整的系统的风险评估机制,及完善相应的风险解决措施,且部分单位风险事件报告不及时,风险隐患的处置效率较低、公司跨部门、跨专业、系统化的风险协调应对机制有待健全。
3、加强企业内部控制的措施和具体做法
3.1、重视内部控制环境建设,提高人员内控和风险管理意识
企业要加大企业经济安全文化的引导和灌输,及时掌握企业内部控制人员思想行为状况,强化员工风险意识,加强职业道德、内控意识的培养;通过网页、简报、专刊、知识竞赛等形式,多角度、全方位开展宣传内部控制工作,培育良好的内控文化;采取多种培训形式开展内部控制以及专业知识的培训,以提高员工工作能力,减少业务处理的技术错误,促进内控制度的有效执行。
3.2、完善企业内部控制体系,加强企业精益化管理
建立覆盖全流程的内部控制系统和内控手册,制定、完善企业统一的业务流程。各专业部门在日常工作中加强精益化管理,不断完善各项管理制度,优化完善业务流程,实施业务端到端的全流程设计与管理,跨部门流程通过明确部门之间的管理界面及职责,实现横向分段管理;跨层级流程通过上下级之间设置流程接口,实现纵向分级管理,确定分业务、分单位的关键控制点、控制要求和控制措施;将风险管控措施固化在工作流程中,将工作职责落实到岗位,将全面风险管理与内部控制充分融合到日常经营管理流程之中,形成有效的工作机制,强化内部控制,积极预防风险事项发生。
3.3、建立健全全面风险管理体系,有效化解各种风险
电力企业因其内外环境条件变化而面临各种风险,实施全面风险管理的过程也就是对它的所有风险统筹管理的过程,需要将所有风险明确纳入风险管理体系的风险范围,要将风险管理的思想融入企业生产经营的各个环节,做到时时进行风险管理,事事想到风险存在。企业要设立全面风险管理委员会,建立内部控制工作联系制度,组建内部控制建设实施业务组,从公司高层、中层、基层等不同层面,在安全、生产、财务、法律、运营等不同业务领域进行风险管理规划、运作,开展本专业内部控制相关工作。开展各层次、各部门参与的风险管理培训,进行全面的风险管理教育,普及风险管理知识,提高全体员工的风险管理意识,增强识别与管理风险的能力。
3.4、完善企业内部控制评价考核机制,强化内控制度有效执行
检查考核和评价是内部会计控制的重要一环,应由电力企业内部审计部门具体负责。对企业管理控制,通过会计控制进行调查和评价的内部审计职能,可以客观评价制度设计的效果及其实施的有效程度。运用检查、考核与评价手段,其目的在于督促电力企业各级管理主体切实认真地执行内部会计控制制度,企业要明确各单位的风险管理职责,建立风险管理的考核机制,提高风险管理的效率和效果,保障内部会计控制落到实处,实现规范管理和经营安全的企业目标。
企业定期组织开展内部控制评价工作,对内部控制流程的合理性、内部控制制度执行的有效性等各方面开展评价,及时发现内部控制执行的薄弱环节,提出完善内部控制的各项措施,保障内部控制制度的有效遵守。
关键词:风险管理;内部控制;油田企业
中图分类号:F270.7 文献标识码:A 文章编号:1001-828X(2014)011-000-01
油田企业由于受其生命周期长,涉及面广,一次性投资额大,且其成本具有不确定性等因素影响,因此完善油田企业的内部控制体系意义巨大。胜利油田某采油厂以系统节点精细管理为依托,以内部控制与专业管理结合为基础,将全面风险管理贯穿于生产经营的各个环节,不断规范全面风险管理基本流程,培育风险管理文化,积极构建“体系健全、运行有效、效果良好”的全面风险管理体系,确保油田企业在发展过程中各项措施能够落实到位。
一、构建风险管理组织体系,营造风险管理环境
首先,公司层面,在内控管理委员会和系统节点组织运行体系的基础上成立了以企业负责人为组长的风险管理委员会,全面负责企业风险管理体系建设、风险管理策略、风险管理程序等事项,确定企业全面风险管理的总体目标:围绕生产经营总体目标,依托系统节点,以构建全面风险管理为导向的内控控制体系为切入点,全面梳理各类风险,构筑风险管理防线,尽可能地降低各类风险,提高经济运行质量。其次,横向上,以系统节点各专业系统为基础,按专业分工成立了勘探开发、安全环保、设备管理、电力管理、作业管理、材料管理、生产运行、财务资产管理、法律风险管理、廉洁风险管理等17个风险管理专业子系统。纵向上,企业内部二、三、四级单位也相应成立了全面风险管理机构,明确相应的风险管理职责,分专业、分层级负责各自的风险防控工作;第三,分不同层面利用网络等多种媒介,积极倡导风险管理理念,增强全体干部职工风险防范意识,按照规范流程运作,从上到下营造了良好的全面风险管理氛围。
二、梳理节点风险点,明确风险防控目标
全面风险管理的关键是找准风险点,识别风险因素,评估分类并制定相应的对策加以防控。首先,在采油厂已建立的“三个层级、四个体系”的系统节点基础上,分18个专业系统从不同层面的重点和关键环节入手,对已设置的63个一级节点、184个二级节点、539个三级节点进行了梳理和分析,重点分析了可能存在的风险因素,并制定相应的对策,形成了分系统到节点的风险管理网络。其次,针对梳理出来的风险点和分公司风险清单进行了认真比对,按照重要程序和风险系数确定了油气勘探、成本管理、投资管理、HSE管理、资金管理、物资采购、法律事务、资产管理、税务管理、制度管理等十九项重要业务为采油厂一级风险管理重点,针对19项主要业务相关的重点环节和岗位进行了风险问题排查和评估,找出了可能存在的风险因素,合理设置内控权限,重点加以防控。财务资产管理系统分成本、预算、资金、资产管理等岗位进行了风险因素排查,编制了岗位风险排查表,明确了涉险职责、业务环节、风险表现、主要产生原因、风险等级以及防控措施。
三、强化内部制度体系建设,落实风险防控责任
倡导风险管理理念,在修订采油厂新版内控手册的过程中,将“三重一大”制度融入采油厂《内控手册》,进一步细化权限分工,同时制定符合企业的《全面风险管理办法》等,明确风险防范职责,为全面风险管理工作提供了有力保障;其次,以系统节点为基础,分系统和专业全面梳理采油厂在用的内部管理制度,结合管理实际,规范预算管理、修理费管理等多项业务流程,降低风险;第三,分财务管理、计划投资、物资管理等系统建立重点部门和关键岗位风险防控目标责任制度,明确相应的风险点、防范目标和责任,如财务资产管理系统建立了财务科长、财务主办、预算管理、成本管理、资金管理、基建投资管理等岗位风险防控目标责任制度,明确了相应岗位的风险防控目标、风险点、责任和防控措施,初步形成以风险管理为中心,以业务流程为手段、以经营管理风险、财务风险、法律风险为主的风险防控制度体系。
四、强化业务流程过程防控,降低各类风险发生
全面风险管理要围绕采油厂战略目标及经营管理目标,要求全体员工共同参与,通过执行风险管理流程,实施有效风险防控的过程。这个过程必须贯穿于采油厂的各种管理和经营活动之中,才能收到实效。为有效降低各类生产经营风险,采油厂立足各项业务流程强化过程防控。首先,以系统节点和“指标提升年”活动等为契机,通过优化、完善指标管理和运行机制,将全面风险管理与内控管理、标准化管理、专业化管理、过程化管理有机结合起来,多项工作配套联动,突出重点环节,规范运作,互相促进。如通过系统节点管理,将全面风险管理与内控的月季度穿行测试、精品目标流程培育等活动结合起来,使全面风险管理真正融入到生产经营活动中,提高防控实际效果。其次,在业务层面围绕“财务预审批、计划投资决策、物资采购管理、货币资金支付、关联交易结算”五条主线,从项目立项、预算安排、市场准入、质量监督等方面入手,重点把好“招投标、合同签订、结算付款”等关键环节和“价格、质量”两个重要节点。第三,积极完善采油厂风险库,确保各节点风险更新及时、应对措施得当,为风险管理目标提供合理依据。
五、培育全面风险管理文化,提高职工防范意识
关键词:高校;风险清单;风险管理;内部控制
一、高校内部控制与风险管理的关系
1.高校内部控制和风险管理的定义高校内部控制是其内部治理的重要组成部分,由内部环境、风险分析和评估、控制活动、信息与沟通、内部监督等活动构成,表现为与业务、财务相融合的组织管理结构、制度、程序和措施等,是高校为履行职责、实现目标、应对风险而实施的管理活动。高校的内控目标包括确保各项资金的安全运行,提高资金的使用效益,保障各项活动合法合规、资产安全完整、财务报告及相关信息真实完整,有效预防和防范舞弊腐败,办学服务效率和效果能得到提高。高校风险管理是指高校为实现相应的发展目标而面临不确定性,通过目标设定、识别风险和评估等风险管理活动,将风险控制在可接受的范围内,有利于提升管理和治理水平,同时减少对高校产生不利影响,从而提升管理水平,减少能对单位产生影响的不确定性因素。根据高校各个部门的职能和权力运行特点来看,风险多数集中在基建、资产管理、招聘、招生、科研等重点环节。2.高校内部控制和风险管理的关系高校内控和风险管理都是高校管理人员将经济业务作为对象,以期将学校战略与规划落到实处,而实施的一系列动态并且灵活的治理过程的集合。高校的风险管理包括内部控制,内部控制以风险管理为出发点,其控制目标、控制活动等依据内外部环境的变化而进行相应变化。高校内控与风险管理的目标和职能有很大的相关性,比如控制环境、控制活动以及风险评估等都是两者的相同内容。除此之外,高校风险管理包括风险反馈、目标制定等环节,内控是风险管理过程中的重要环节,而风险管理同时又覆盖了内部控制,贯穿于整个管理过程。所以,风险管理和内部控制工作一般是同时进行的,两者在运行过程中是统一并协同的。简而言之,风险管理是内部控制的延伸,内部控制的本质和核心就是风险控制。内部控制以风险管理为出发点,内部控制的发展是一个渐进的过程,内部控制的核心始终是风险管理,其目标、内容随着内部和外部环境的变化而变化,其本质就是风险控制。因此,高校的风险管理包括内部控制,是高校内部控制的延伸。风险意识和内控制度管理为完善高校控制系统提供了坚实基础,也是防范风险和高校风险管理的基础。高校的风险管理考虑的是整体的风险,而内部控制是单纯风险的防范和控制。风险管理涵盖了高校各个层面的发展战略,其目标不仅是为了保护资产和经营活动的平稳运行,还包括积极利用机会,寻求更好的发展机会。在内部控制和风险管理相互融合的框架体系中,内部控制的目的主要是为了控制整体的、全面的风险。内部控制侧重在控制手段上,风险管理侧重在控制目标和风险控制上,两者相互扩展和完善,最后建立一个完整的框架,实现控制风险的目标。两者在内容和形式上的区别和侧重,表明了有效整合的必要性。
二、高校内部控制与风险管理存在的问题
1.财务风险内控制度不健全风险内部控制体系是高校财务内部控制实施的关键。有效的工作体系是高校正常运营的保障,制度保障需要学校内部各部门积极配合。目前,高等院校在财务风险内控制度存在明显不足,仍存在局限性和片面性,无法形成系统化、规范化、可操作的制度框架。而且,高校没有制定完善的财务内控制度,且高校偿债风险防范制度不健全,必然降低高校财务风险应对能力。2.财务流程不规范财务流程规范化是制度落实的关键环节,虽然在高校的财务管理过程中,有关部门都相继出台了许多管理办法,但仍缺乏完善的财务业务流程。近年来一些高校内部也制定了相关流程,仍缺乏具体化的管控措施,办理程序及责任不清晰,大大影响执行效果。在组织控制活动方面,高校对关键岗位风险点的把握不够,缺乏对各个经济业务环节进行流程化管理。3.风险评估机制缺失随着高校的经营模式多样化,高校的招生、教学、科研以及基本建设等环节的财务风险不断增长。且近年来,高校资金来源逐渐呈多元化、复杂化趋势,高校面临的财务风险及考验越来越多。多数高校长期受事业单位机制影响,财务风险管控意识不足,未能积极有效地制定和落实财务风险评估机制,缺少对经济业务活动的风险监测和应对方案,导致应对业务和财务风险的能力不足。4.监督机制不完善高校的监管主要以内部监管为主,内部监管主要依靠纪检和审计两个部门,同时由于两部门业务及人力资源限制,难以做到监督工作全面化。且两部门的分工也容易造成内部财务管理监管的真空地带。审计部门一般只是对采购项目、基础项目建设、三公经费等重点内容进行审查,内控的监督及风险管理的范围受到限制,从而导致内控的监督和管理措施落实不到位。
三、嵌入风险清单管理的高校内控建设优化机制
风险清单是指组织根据自身战略、业务特点和风险管理要求,以表单形式进行风险识别、风险分析、风险应对、风险报告和沟通等管理活动的工具方法。其目标是使组织从整体上了解自身风险概况和存在的重大风险,明晰各相关部门的风险管理责任,规范风险管理流程,并为构建风险预警和风险考评机制奠定基础。从单位层面和业务层面以风险清单为工具方法,按照应用环境创建、目标设定、风险识别、风险分析、风险应对、风险报告和沟通、评价与优化的程序,通过风险管理基本框架的构建,来优化高校内控建设,使其符合高校特点的同时具有更强的可操作性。其中风险识别、风险分析、风险应对为关键环节。在风险识别环节,首先,查找可能影响高校正常运行的要素,如业务流程、规章制度、信息系统、人员素质等;其次,对查找出的要素进行深入的风险分析活动,判别是否存在风险;最后,梳理风险点,建立全面的风险清单。在风险分析环节,锁定识别出的单位和业务层面的关键风险点,对风险发生的可能性和风险后果的严重程度进行深入分析。风险发生的可能性分为高、中、低三个级别,“高”代表会影响高校的正常教学、科研等活动,对运营造成一定程度的影响;“中”代表能够进行正常的教学、科研等活动,但会对财务活动造成一定程度的影响;“低”代表对财务活动造成的影响较小。风险发生对目标实现的影响程度可分为高、中、低三个级别,“高”代表常常会发生,“中”代表某些情况下会发生,“低”代表极少情况下会发生。结合这两个标准,对各个风险点的总体风险度和风险等级进行分析和判断。在确定风险等级后,根据风险的大小确定相应的风险应对措施。确定为高等级的风险,需要进一步分析各个风险产生的原因,采取有效的控制措施将其降低至可承受范围内,并在后续的活动中持续关注该风险点的发展和动态;确定为中等级的风险,需要保持目前采取的控制措施,同时定期重新评估和分析风险;确定为低等级的风险,需要加强并坚持日常控制措施。
四、嵌入风险清单管理的高校内控建设优化措施
1.改善高校内部控制环境,增强风险防范意识高校风险管理是一个循序渐进的过程,成功与否主要在于高校管理人员和员工能否认知到风险管理重要性。高校管理人员必须充分认识到内部控制和风险管理的重要性,并且在制度体系构建上足够重视,落实责任,进而全面推行风险管理和岗位责任相融合,全员、全过程、全方位提高内控管理水平。特别是增强教职工风险意识,使大家在高校日常经营活动中认识到自己在风险管理中的职责,实现对风险的精准预测和有效控制,从根源上确保高校各项活动的有序推进。高校的内部控制环境,包括人员道德观念、能力素质、组织架构、人事制度及管理理念等,是高校风险管理的基础。一方面,需要重视人员的能力和素质培训,提高业务水平和能力,进一步提高财会人员的综合素质,加强沟通,创造和谐向上的工作氛围。另一方面,不断完善人事管理等有关制度,在人员聘用、培训、晋升等环节强化道德价值操守和风险管理意识,创造良好的管理控制环境,有利于促进高校自身的安全和稳定发展。2.健全财务内部控制制度,建设高校风险管理和预警体系高校应当基于自身需求,建立完善的内控制度,规范和控制经济业务活动,防范财务风险。高校管理层需要根据自身的办学特点和风险状况,对财务内控制度不断进行梳理并修订。同时对财务业务的主要流程和环节进行优化,加强制度建设,逐步建立起全面、系统的财务内控制度。另一方面,高校可以设立专门的内控管理部门,从总体上规划各项内部管理工作,从而确保有效发挥其功能和作用。以风险管理为导向的内部控制,最为关键的是风险防范。建立健全风险预警体系是高校内部控制与风险管理工作的重要举措。首先,构建全员、全面、全过程的风险管理体系,将财务风险预警不仅运用到高校投融资等工作中,还要落实到高校教学、科研、招生、就业等各个方面。其次,结合高校自身特点,不断收集并分析各种影响风险发生的信息,对高校发展与运营过程中存在的潜在风险因素进行动态追踪,实现事前、事中、事后的全过程监控,建立起动态的风险预警体制机制。最后,不断优化风险分析评估制度,完善高校风险预警机制,建立风险管理的长效机制,提高风险管理的效率与效果。3.多方位梳理完善业务财务流程,加强内部信息沟通高校在业务财务的规范化管理方面,要覆盖所有的业务财务流程,精细把控各个环节流程。利用流程化管理手段,将业务的各个处理流程细化,再分解到归口部门,以明确各个部门岗位的职责权限。同时为了有效提升内控制度的执行力,规范权力的运行,利用内部授权审批制度来实现制衡。随着风险管理和财务内控的积极推进,高校在对财务业务流程进行调整时,还需要考虑自身情况,重点关注借款、日常报销、绩效奖励、差旅费的审批流程、基础建设款项的审批、经费划拨审批,及一些其他特殊业务的处理流程。不断建立完善通畅的沟通机制,加强内部信息交流,特别是注重跨级沟通,实现上下级之间的平等双向沟通。具体可以通过以下手段来建立健全信息沟通机制:第一,建立内部开放式的信息系统,使员工能够第一时间反映相关情况,管理人员能够及时做出处理和反馈,从而为各级职能和教学部门提供有效参考;第二,建立投诉和投诉人保护制度,同时应给予适当的奖励;第三,成立内部小组,完善内部监督机制,定期召开通报会,分析错弊风险。同时,财务部门相关负责人应定期向学校管理层汇报工作开展情况,贯彻落实《高等学校财务制度》中的要求,从而将财务风险降到最低。4.强化内部监督机制,建立科学的内部控制评价机制运行有效的内部控制体系的建设和实施,离不开健全有效的内部监督机制。与此同时,监督和评价的结果也可以改进风险管理。因此,内控监管和评价制度的完善就成为关键。其中的首要工作是基于学校发展规划设立内控整体目标,把风险管理理念与高校业务活动进行融合,将内控目标、风险管理以及管理机制融合为一体,深入剖析流程,让高校各项工作更规范。另外,还需要通过自我评价、定期评估等方式对各个部门和岗位落实已分解职责的情况进行检查与评价,使高校内部控制能够接地气,能够真落实,能够有实效。高校通过内部、外部监督相结合的方式,依靠内部审计、纪检等进行常规和专项监察,同时借助外部审计机构、公众监督等,对学校的经济业务活动进行系统全面的审查。风险管理机构的设立是风险管理工作实施的基础,需要不断对风险管理机构、内控评价和监管制度进行优化和完善。深入调研学校的真实情况,制定高校内部控制整体目标,有效融合风险管理与高校业务活动,将风险管理、内控目标以及内部管理机制融为一体。同时,加强风险管理评估,根据实际情况,细分落实部门和岗位职责,检查评价控制情况。在高校的管理过程中实施全过程控制,实现内部控制与风险管理的有效融合。
五、结语
在高校的内部控制与风险管理工作中,运用风险清单的管理方法,将这两种工作结合在一起,通过对风险的规划、识别与评价,将内部控制与风险管理融合,从而更好地预防、规避和控制风险。同时,不断更新风险管理理念,树立风险管理意识,构建完善的风险预警体系和内部控制监督制度。在此基础上,将风险管理贯穿到高校教学科研、财务收支、业务管理、经营活动等各个领域,从而提高风险管理工作的质量和风险防范能力,规范高校的经济活动,促进高校的可持续和高质量发展。
参考文献
1.财政部关于全面推进行政事业单位内部控制建设的指导意见(财会〔2015〕24号).
2.管理会计应用指引第702号――风险清单(财会〔2018〕38号).
3.黄韬.高校财务管理内部控制的探讨.中央财经大学学报,2015(S2).
4.欧阳瑞聪.财务风险管控视角下的高校内部控制.财会学习,2017(02).
关键词:风险管理;业务管理;业务流程管理
一、前言
风险管理源于美国20世纪30年代。随着经济全球化的发展,公司规模不断扩大,经济行为日益复杂,风险管理的重要性也更加突出,企业越来越重视风险管理的研究。
国际上,许多国家已从制度安排上着手建立以风险容量控制为中枢的相关风险全面管理框架。2004年,美国反虚假财务报告委员会下属赞助委员会COSO在内部控制框架概念基础上,提出COSO报告《企业风险管理――总体框架》(简称EBM),使内部控制研究发展到一个新的阶段。
中国加入WTO后,国内企业面临的风险因素也日益增加。借鉴吸收国外先进风险管理经验,探索适合中国的企业风险管理规范,是国内管理学界面临的重大课题。目前国内对风险管理的研究偏重于风险管理体系的建设,而在风险管理服务企业的运作管理方面,相关研究较少。笔者曾经在风险管理企业做过详细跟踪调查,在风险管理企业业务管理方面做了研究。
规范风险管理企业业务管理,对帮助所服务的企业更迅速有效的建立全面风险管理体系,并有效地组织实施,具有现实应用价值。
二、企业风险管理顾问公司产生的背景和意义
COSO委员会提出,企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的各个部门和各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
目前国外发达国家中,多数大中型企业已实施了不同程度的风险管理。根据德勤2003年的调查,80%以上的世界性金融机构已设立了风险管理师(CRO)工作职位,CRO职位比例居首位的为南美洲金融机构,已达95%,居末位的为亚洲金融机构,仅为29%,在目前欧美的部分金融机构中CRO的职位职能仍然由企业的风险管理委员会行使。普华永道2004年对全球1400位CEO进行了调查,其中70%的CEO将发展与提高企业的整体化风险管理能力提高到他们当前工作内容的首位。调查还显示38%CEO认为,企业已经建立了行之有效的企业整体化风险管理体系,另有46%的CEO表示将在1~3年内建立与发展企业整体化风险管理体系。
从国内来看,相对于发达国家先进的风险管理理念、技术、方法和手段来说,中国对风险管理的深入是从规范内部控制体系开始的,2005年10月中国证监会出台了《关于提高上市公司质量意见》。国内企业在监管单位的要求下拉开了全面风险管理体系建设的工作,监管部门于2006年出台了《中央企业全面风险管理指引》、《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市公司内部控制指引》等一系列法规。此外,2006年7月15日企业内部控制标准委员会也在北京正式成立。我国证监会、保监会、银监会等机构相续了相应行业的风险管理指引,企业相应建立了风险管理委员会实施风险管理,财政部并提出了《企业内部控制应用指引》、《企业内部控制鉴证指引》、《企业内部控制评价指引》等指引性文件予以征求意见,并颁发了《企业内部控制基本规范》,规定上市公司必须在2009年7月1日开始实施,其他国有企业参照实施。目前,大中型国资企业,各地方国资部门都很重视风险管理体系的建设,并在积极推动和实施之中。
国际国内因风险管理不善或风险管理体系运行失效给企业发展造成严重危害的例子举不胜数,如:美国“安然公司”的丑闻、“房利美”、“房地美”的倒闭,法国“兴业银行事件”,中国“中海油事件”、“中储棉事件”、“三鹿毒奶粉事件”、“山西矿难事件”等。风险的严重危害性日益受到重视,它不仅给企业造成巨额经济损失、损害品牌声誉,甚至导致企业破产,人员失业。
风险管理的重要性和企业建立全面风险管理体系的迫切性,促使专业辅助企业建立风险管理体系的风险管理顾问公司应运而生。风险管理顾问公司是为企业建立全面风险管理体系,规范风险管理基本流程,培育企业风险管理文化提供专业化的建议和辅导,提高企业风险管理成效的专业服务公司,是顺应企业风险管理需要的新型公司形式。知识化、专业化、服务型是风险管理顾问公司的特点。
管理规范的风险管理顾问公司对促进企业风险管理建设具有积极的意义。
1 帮助企业系统理解风险管理方面的法律法规和风险管理建设标准
风险管理建设要在国家相关法律法规的指引下进行,风险管理顾问公司掌握了最全面的风险管理法律法规信息,并作出专业解析,可以帮助企业尽快准确理解国家对企业风险管理建设的要求,辅助企业在规范的轨道上进行全面风险管理建设。同时严格保证企业风险管理体系的标准、高效。
2 辅助企业进行规范的全面风险管理建设
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
风险管理顾问公司帮助企业优化管理模式和控制流程,提高企业识别与管理整体层面多种风险的综合能力,从而提高企业的全盘控制能力,减小企业经营的不确定性与盈利波动性,增强企业核心竞争力。
3 为企业提供各类专业风险分析报告
风险管理顾问公司通过对企业的战略风险、运营风险、财务风险、法律风险等进行研究分析,为企业提供风险分析、应对策略等报告,帮助企业从不同的角度去发现风险,应对风险,并及时有效的将风险任务细化到每一个员工,提高风险管理的专业化和高效化。
4 帮助企业进行风险管理知识培训
金融危机背景下,企业更加重视风险;但是,作为一种全新的管理理念,国内企业对风险管理体系的价值和作用缺乏足够了解,甚至认为建设企业风险管理体系是为应付监管部门的要求而只需要形式配合,对风险管理体系建设对企业和企业的人的实质性价值缺乏研究。需要引进风险管理顾问进行培训辅导。
风险管理是一个动态的管理体系。针对企业发展过程中遇到的新情况、新问题,企业应有计划有步骤对企业全体员工就行业发展、市场环境、公司运营、客户需求等方面实施培训。风险管理知识的系统培训,也有助于企业培育适合本企业的风险管理文化。风险管理顾问公司对于帮助企业进行员工风险知识培训具有积极的作用。
5 协助企业对风险管理的全程进行跟踪分析
风险管理顾问公司在企业风险管理流程的各个环节,从外部视角进行跟踪分析指导,有助于企业发现自身的问题并及时加以改进,保证做到对风险的全面监控,进一步降低了企业风险发生的概率。
风险管理顾问公司与企业发生联系的主要是风险管理业务部门,因此,加强风险管理顾问公司的业务管理,是保证上述目标顺利实现的根本。
三、风险管理顾问公司的业务管理的具体研究
风险管理顾问公司是一种中小型的知识化、专业化、服务化的管理顾问公司,以风险管理为业务目标,这决定了风险管理顾问公司自身的管理方式具有特殊性。应该在哪些方面进行研究,加强此类公司的规范管理,保证服务的高效率、高质量,这是本文重点关注的内容。笔者经过对四川一家风险管理顾问公司的调查研究,并结合国内外关于风险管理建设方面的标准和相关文献,进行了理论上的分析、总结,对风险管理顾问公司在业务管理方面得出几点结论。
风险管理顾问公司在业务管理方面,应该达到下述要求:业务资源配置合理、业务知识储备丰富、业务流程设计规范、业务联系顺畅。下面分别论述各个方面的管理中重点采取的措施。
1 完善业务组织管理,合理配置业务资源
风险管理顾问公司的各项业务,要以全面风险管理建设的标准要求为基础,业务组织管理的内容,要与全面风险管理建设的目标相适应。
全面风险管理包括健全的全面风险管理体系、规范的风险管理基本流程、良好的风险管理文化三个方面。从企业风险的角度看,《中央企业全面风险管理指引》中指出五类风险:战略风险、市场风险、运营风险、财务风险和法律风险。同时,公司在运作中需要处理大量的业务信息。因此,风险管理顾问公司应在下列方面进行业务资源配置:
(1)人才配置上,风险管理顾问公司应储备法律、财务管理、行业分析、风险管理、信息管理、网络维护专业的顾问人才。
人才是企业发展的根本,尤其是专业化风险管理顾问公司,具备各方面的专业人才是企业业务发展的基础。在专业人才选拔上,要求称职,均衡配置,根据具体项目的不同组建具体项目小组。这样组建的项目小组,可以实现每个专业顾问的责任明确,具体。
(2)业务部门的设置上,要体现部门之间相互协作。既不出现业务重叠,也要避免业务衔接脱钩。风险管理顾问公司应具有下列基本业务部门:项目部、外联部、技术支持部、后勤部。项目部负责风险项目的分析研究,各类分析报告的研究制定,风险管理方案的制定与辅助实施等,外联部负责内外沟通,业务联络,政府、企业交流,公司宣传等;技术支持部负责信息处理,网络维护,软件开发等;后勤部负责公司基本规章制度,后勤保障等。各部门分工协作,相互支持,保持信息快速传递,各司其职,实现业务管理的流畅高效。
2 业务知识储备管理
作为知识化、专业化的风险管理顾问公司,要对业务知识进行储备管理。包括以下方面:
(1)构建业务信息管理电子系统,对各类行业信息、经济政策信息以及企业战略风险、财务风险、运营风险、市场风险、法律风险等方面的信息资料收集、整理、存档。以小组讨论会的形式,定期进行已收集风险信息资料的总结,实现信息的消化吸收,并发挥头脑风暴的优势,集思广益,发现问题。
(2)加强风险管理顾问公司内部的专业知识交流。提高风险管理顾问对风险评估(风险辨识、风险分析、风险评价),风险策略,风险组织体系,风险信息系统,风险管理文化的理解水平,以相互培训的方式互相带动提高。从实践来看,这种培训方式提高了风险管理顾问的防范风险、转移风险,利用风险的专业知识水平。
(3)储备风险管理公司业务中所需要的各类模板。全面风险管理建设是一项信息调用量庞大的工作,建立适用不同行业的风险调查报告、风险分析报告、风险策略报告、风险管理报告、风险监督报告、风险文化建设报告、行业分析报告等模板,各种风险内部控制方案(内控报告制度、内控批准制度、内控责任制度、内控审计检查制度、内控考核评价制度、重大风险预警制度、以总法律顾问制度为核心的企业法律顾问制度、重要岗位权力制衡制度),以及公司业务接洽意向函模板、协议文件等模板体系,可以起到事半功倍的效果。在实际业务管理中,将这些这些准备工作分解到每一个风险顾问的日常总结工作中,做到日积月累,稳步提高。
3 设计规范的业务流程体系
在业务运作过程中,及时总结分析,制定一套业务操作流程,是业务管理负责人员的重要职责。业务流程体系包含多个层面,比如资料收集与使用管理流程、业务接洽流程,全面风险管理建设辅导流程等。比如笔者所研究的风险管理顾问公司就制定了完整的业务流程规范体系。举例说明:
例1、资料收集与使用流程管理:
(1)各工作人员负责日常资料收集工作。
(2)每周五下午四点,将近期收集到的资料简单分类后打包发到公司共享中,共享中建立日常资料收集暂存文件夹,用来暂时存放打包资料。
(3)资料整理人员负责对资料进行总的分类整理。
(4)对分类整理好的资料编制检索目录,将目录以电子文档或文本形式发送剑每一位公司成员,方便检索使用。
(5)资料备份、归档、异地保存。
备注:
(I)收集的资料上传时,打包文件注明姓名,资料收集期间。
(2)资料备份、归档、异地保存时,设立原始资料,整理分类后资料两个文件夹,及时更新。
上例中,是对资料的收集、整理、检索、归档、安全、调用等工作过程中总结出的流程,可以看出,这个流程对资料管理的各方面进行了有条理的安排,对于资料使用人员来说,是方便高效的。
一个好的业务流程,如果能以流程图的形式来表现,往往更加直观易懂,提高操作人员的掌握使用效率。比如下面的业务接洽流程图:
例图直观易懂地表达出了业务接洽阶段以及各阶段的工作仟务,简化和方便了风险管理项目小组的操作程序,也便于项目组的任务分派。
业务流程管理对提高风险管理顾问公司的运行效率具有重要作用,管理人员应该尽可能的发现业务运作中规律性的操作,同时发现存在的缺陷与不足,及时总结,加以改进,将操作程序规范化、流程化。
4 打造通畅的业务外部联系渠道
业务外部联系渠道的开拓是风险管理顾问公司扩大业务的主要方式。由于风险管理顾问行业在我国还是一个新兴行业,国内企业对于风险管理顾问的了解不深,对风险管理顾问的作用认识很少。因此,风险顾问业务管理中,应重视外部联系渠道的拓展,通过举办、参办、参加风险管理论坛,风险管理培训讲座,或积极通过新闻媒体,宣传风险管理,扩大影响力,培育潜在客户。
通过宣传建立与各类企业的业务联系,不但可以与企业互通有无,相互了解,也能促使相关企业主动邀请风险管理顾问辅导全面风险管理建设,帮助企业建立以内控为核心的风险管理三道防线(各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线)。
四、结束语
一、风险管理和内部控制
风险管理是指如何在一个存在风险的环境里把风险减至企业承受度之内的管理过程。内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。
对于风险管理和内部控制二者的关系,在理论界一直存在不同看法。针对这一问题,我国2008年出台《内部控制基本规范》时,在该文件中强调了二者的统一:内部控制的目标是防范和控制风险,并促进企业实现发展战略,风险管理也是为了促进企业实现发展战略,要求将风险控制在企业可承受范围之内。这一观点应该是代表了官方或者主流的观点。
事实上,内部控制和风险管理是一脉相承的理论成果,很多理论界人士认为,COSO(2004)的风险管理框架中超过60%的内容得益于COSO(1992)的内控框架,而COSO也在新的风险管理框架中明确指出,风险管理框架建立在内部控制框架的基础上,是对内部控制框架的扩展。也就是说风险管理与内部控制并非平行的关系,应该说内部控制是风险管理的渊源,风险管理是当前经济条件下对内部控制的完善和提升,从而更加丰富和拓展了内部控制的内涵和外延。
但内部控制和风险管理彼此也存在差异,各有侧重。内部控制侧重制度层面并通过规章制度来规避风险;风险管理则侧重交易层面并通过市场化的自由竞争或市场交易规避风险。一般来说,典型的内部控制依然是为了保证资金安全和会计信息的真实可靠;典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较,它贯穿于管理过程的各个方面。风险管理更强调主动的对未来的判断,管理的关键在于管理层通过积极的监管手段,根据内外因素的变化,抓住机遇,事前应对,创造收益,增加收益。因此,风险管理是内部控制在新技术和市场条件下的自然延伸,风险管理包括内部控制,内部控制是风险管理的基础。
内部控制只能防范风险,不能转嫁、承担、化解或分散风险。所以即使建立了合理而有效的内部控制系统,科学而全面的风险管理仍然是必不可少的,不能将它们二者混为一谈。对于企业经营活动中发生概率较大,且企业能够承担控制成本的风险,要力求通过企业自身的控制系统,并依托以财务管理为中心的企业管理体系予以控制。对于发生概率较小,或控制成本较大的风险,则应在加强管理、增强自身素质的基础上,降低风险对企业的影响程度。
二、我国企业内部控制与风险管理的现状
(一)企业内部环境基础薄弱
内部环境的特性最终会影响企业战略和目标的确立,会对风险的识别、评估和风险对策的实施产生影响。受长期经营历史的影响,我国多数企业内部环境不完善,从而导致内部控制和风险管理的建设和执行存在缺陷。其中最典型的表现就是公司治理方面的缺陷,表现为股东大会和监事会的作用难以发挥,中小股东的知情权、质询权无从体现。很多上市公司在形式上建立了董事会、监事会,聘任了总经理班子,但在实际工作中,真正的法人治理结构并未建立。“董事”不“懂事”,经常只是一个虚职;监事会也只是一个受董事会控制的议事机构,起不到监督作用。
此外,企业发展缺乏战略眼光,“食品安全、安全事故、员工权益”等有关社会责任、企业文化方面的问题也是层出不穷。
(二)对内控和风险管理的认识不够
目前,有相当一部分企业管理者对内部控制和风险管理认识不足,往往用传统经验来替代规范化的管理措施和手段。要么根本就没有建立内部控制制度,要么虽然建立了制度,但对风险管理的认识只是停留在职能管理的层面上,缺乏战略性、系统性的规划。而且大多数员工还没有理解和认同风险管理,因此,就无法落实到具体的日常工作中,未能实现立体交叉、多角度、全方位的风险预防监控,内部控制建设不成体系,步入了内控建设的另一个误区。例如1994年在上海证券交易所上市,曾一度是国内股市中少有的绩优股的长虹公司在2004年12月28日了上市10年以来的首次预亏公告,亏损主要源自对单一应收账款户(美国APEX公司)的坏账准备,从1998年到现在,APEX公司已经累积拖欠四川长虹4.67亿美元货款。背后的原因是对运营风险掌握不足,缺乏有效的内部控制制度,在应收账款回收方面存在诸多问题,管理者可能刻意隐瞒已发生的损失。
(三)管理层凌驾于内控制度之上
内部控制侧重于服务高层管理者控制资产、业务的需要,侧重于对企业中层管理者和员工的控制,对于高层管理者则缺乏制约效力,而企业往往会因为缺乏对公司高层管理者的有效控制和监督而陷入风险之中。国内企业高管违规的案例可谓是层出不穷,例如伊利公司董事长郑俊怀2004年12月因被控动用公司资金进行MBO落马、创维公司董事局主席黄宏生因透过贪污手法进行诈骗及挪用公司资金被拘等等。这些案例背后的主要原因就是管理层违规经营,而企业内部缺乏有效的监督机制。
(四)风险管理手段相对落后
经过若干年的发展,我国企业风险管理的水平有了长足的发展。但在实务中,仍有较大比例的企业管理者尚未完全接纳风险管理的思想和理论,导致企业风险管理仍处于起步阶段,缺乏科学合理的风险辨识、监测、分析、控制、报告等手段,更缺少专门化的风险管理工具,风险分析方法仅限于财务指标等静态分析。内部报告制度不健全和执行不严格,内部报告的时效性、针对性和有效性不强。财务电子信息系统的数据输入和输出、文件的储存与保管和网络安全等方面存在漏洞和隐患。
(五)现有业务流程存在问题
业务流程重组(BPR)是美国哈默博士为了提高企业的竞争力、生存能力和发展能力,于二十世纪90年代提出的一种现代企业管理思想和方法。在我国已经喊了多年,很多企业也相继开展了类似的工作,但实际效果却不尽如人意。主要的问题体现在企业的业务流程重组忽略整体性,将流程误解为简单的活动链,忽视了业务流程是贯穿其余的全流程属性。同时,大多数流程过细,没有分级概念,不利于监控和维护。审批繁琐,环节多,时间长,反应速度较慢,不利于企业竞争力提高。在进行流程管理时仍沿袭原有的管理模式,过分依赖金字塔型结构的垂直管理,水平方向的流程管理缺失严重。
(六)内部控制组织领导不到位,执行不力,缺乏对内部控制的评价监督机制
对任何企业来说,再完美的制度,如果得不到严格执行,就是一种摆设。而目前,部分企业领导者认为内控制度只是会计管理部门或财务管理部门或内部审计部门的事,缺乏统一领导,统一部署,虎头蛇尾,不了了之。
三、构建风险管理型的内部控制机制
(一)强化企业内部环境
内部环境是企业内部控制的根基,完善与否直接影响到企业内部控制的建设和执行,以及企业经营目标及整体战略目标的实现。“我们必须始终如一地遵守内部控制,直到被伤害为止。”一位美国内部控制专家如是说。这充分体现了建立风险管理型的内部控制机制严峻性和艰巨性。内部环境主要包括组织架构、发展战略、人力资源、社会责任和企业文化等。我国企业首先应该结合自身的实际情况建立并完善自身的治理结构,建立科学的聘用、培训、轮岗、考评、晋升、淘汰等人事管理制度,确保公司职员具备和保证正直、诚实、公正、廉洁的品质与应有的专业胜任能力。在发展的过程中形成具有本企业特点的企业文化,并承担起应有的社会责任。
(二)优化相关业务流程
业务流程的优化主要包含两个层面的含义,一是前面所讲到的BPR,即改善或重组业务流程,建立全球范围内的友好关系界面,提高响应速度,降低运营成本,为客户提供更优质的产品和服务。另一个层面即指按照国家相关部门的指导性文件,例如《内部控制基本规范》及配套指引,及时梳理现有业务流程,筛选出需要进行风险管控的重点业务流程,对流程各节点风险情况进行分析,提炼出该流程风险管控信息。对相关业务流程和关键风险点加强有效的监控,确保能有效控制业务流程中的任一环节,及时预警和报告重大风险事项。同时进行定期的审查流程执行情况,确保有效实施各环节的风险管理措施。
(三)构建风险管理组织机构
为实现有效的风险管理,必须构建完善的组织机构。首先要规范公司法人治理结构,设立风险管理委员会。二是有条件的企业要设立独立的风险管理部门。风险管理部门隶属于风险管理委员会,接受首席风险官的直接领导,与其他的业务部门形成矩阵式的组织结构,组织机构之间进行相互协调。
(四)培育和塑造风险管理文化
把企业文化建设作为企业内部控制的基础性工作,作为培植企业内部控制制度建设的“土壤”。泰勒曾指出:“在引进最好的制度之后,获得成功的程度同管理人员的能力、言行一致及其职权受到的尊重成正比例”。即好的环境条件不仅是企业成功的基础也是内部控制制度得到贯彻执行的关键。树立“风险管理,全员风险管理”的理念,增强全体员工风险管理意识,并把这种风险管理意识转化为自觉的行动,形成人人关注风险、事事关注风险、时时关注风险的良好风险管理氛围。
(五)建立风险管理信息系统和评价机制
一个良好的管理信息系统将有助于提高内部控制的效率和效果,具体说将有助于控制标准的建立和修正、控制活动成效的评定、控制报告的拟定,以及改进建议的及时传达。通过管理信息系统,企业内部的员工能够清楚地了解企业内部控制制度,知道其所承担的责任,并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息,使他们能够顺利履行其职责。
构建切合实际的内部控制评价机制,根据各自的实际情况,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对每一环节的控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。由此可以进一步推进风险管理在每个成员之间的有效实施,并可以将内部控制管理由个人行为和操作行为提升到企业的整体行为,推进企业的内控管理水平不断上新台阶。
结束语
综上所述,企业内部控制与风险管理二者是一个动态的统一体。纵观现实,我国企业在内部控制和风险管理上还存在着诸多问题,需要进一步建立和完善内部控制制度,实行风险管理型内部控制,以弥补传统内部控制存在的漏洞。
