24周年

財稅實務(wù) 高薪就業(yè) 學歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

全面風險管理控制 讓風險及時剎車

來源: CIO發(fā)展中心 編輯: 2011/09/13 11:17:41  字體:

  全面風險管理溯源

  全面風險管理是一個全新的概念,它出自美國的COSO(即The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting全國虛假財務(wù)報告委員會下屬的發(fā)起人委員會)。根據(jù)塞班斯法案,COSO內(nèi)控框架是評估企業(yè)內(nèi)控的標準。在企業(yè)內(nèi)控領(lǐng)域央企率先邁出了第一步,2006年,國資委發(fā)布了《中央企業(yè)全面風險管理指引》。2010年4月,財政部等五部委聯(lián)合頒布了《企業(yè)內(nèi)部控制配套指引》,中國企業(yè)內(nèi)控規(guī)范體系初具雛形。這些都是以COSO為依據(jù)。

  不過,全面風險管理與IT工具結(jié)合在中國剛剛起步,鮮見全面實施案例。盡管出于監(jiān)管要求、企業(yè)適應(yīng)外部競爭環(huán)境和自身發(fā)展的需要,中國企業(yè)日漸重視風險管理,但是能做到風險管理信息化的企業(yè)鳳毛麟角。即使風險管理在一些企業(yè)已經(jīng)比較深入,但是離全面風險管理還很遙遠。

  為此,筆者專門采訪了北京殷塞信息技術(shù)有限公司CTO兼CIO朱東。朱東還在擔任中國航空技術(shù)國際控股有限公司信息技術(shù)部總經(jīng)理時,就傾心鉆研過理想企業(yè)模型,對目前在企業(yè)中鮮有實施的全面風險管理也進行了透徹詳盡的研究。他逐字逐句鉆研財政部以及國資委發(fā)布的關(guān)于風險管控的規(guī)范和指引,“我們將這些規(guī)范全部掰開揉碎了,然后一一對應(yīng)到企業(yè)的業(yè)務(wù)過程、IT系統(tǒng)中。”

  要探討如何進行全面風險管理,首先要搞清楚什么是風險,這是朱東一貫的思路。“風險是發(fā)生某種影響目標完成的不確定因素。凡是使目標不確定的因素都是風險,風險等于不確定。”以經(jīng)營風險為例,經(jīng)營風險就是影響企業(yè)完成經(jīng)營目標的、涉及日常經(jīng)營管理方面事件的不確定性。由此,風險管理的過程包括建立風險管理環(huán)境、確定風險管理目標、風險事件識別、風險評估、制定風險對策、實施風險控制、保證整個風險管理過程中信息共享與溝通、對風險管理活動進行監(jiān)控。

  其次,梳理出企業(yè)進行全面風險管理的理想做法。對風險管理的研究,朱東延續(xù)了之前建立理想企業(yè)模型的做法:尋找每個風險管控節(jié)點上的全球最佳實踐,參照相關(guān)的指引和規(guī)范將其實現(xiàn)。

  第三,了解風險事件的一般分類,識別出企業(yè)經(jīng)營管理中的重要事項。第四,確定企業(yè)涉及的風險類別,識別企業(yè)面對的風險事件。第五,制定風險對策,匯總風險分析結(jié)果,建立企業(yè)風險跟蹤表。第六,根據(jù)常見風險,在操作層面建立起全面風險防范基礎(chǔ)體系。第七,分析企業(yè)管理層和決策層的風險管理職責,構(gòu)建支持全面風險管理系統(tǒng)的IT系統(tǒng)架構(gòu)。第八,建立重點IT系統(tǒng),實現(xiàn)企業(yè)全面風險管理。

  風險分門別類

  在COSO原文件中,對風險進行了詳細的分類和闡述。從風險源上來講,可以分為外部因素和內(nèi)部因素。從外部環(huán)境來看,政局的動蕩、金融風暴、國際匯率的變化、不可預(yù)測的自然災(zāi)害、突發(fā)事故的襲擊、國際領(lǐng)導人的更替等等都會給企業(yè)帶來風險。從內(nèi)部經(jīng)營和管理來看,盲目的投資擴張、管理滯后、用人失當、資金緊張等可能讓企業(yè)付出沉重的代價。

  “風險無處不在,那么對于個體企業(yè)究竟構(gòu)不構(gòu)成風險,要根據(jù)企業(yè)自身的情況進行識別。”在識別風險時,要把企業(yè)看做是內(nèi)外部有機聯(lián)系的統(tǒng)一整體,內(nèi)部各個部門之間是相互配合相互聯(lián)系的。風險通常可以分為戰(zhàn)略風險、財務(wù)風險、運營風險和危害性風險等。通過分類將各種不同的風險進行分門別類,以此來判定企業(yè)所面臨的各種風險的級別。

  在全面風險管理的研究成果中,風險評估和識別的最佳實踐來自于微軟風險評估表。在此基礎(chǔ)上,結(jié)合業(yè)界對全面風險管理的研究,朱東設(shè)計了一張風險地圖,它將每個風險事件的重要性和發(fā)生幾率都體現(xiàn)在地圖上。將風險分成不同的類別,依據(jù)發(fā)生的可能性和造成的嚴重性分門別類制定對策。最后將整個風險列出一張表,“每一個風險是什么,用哪些指標來衡量,對此有什么樣的對策都一一對應(yīng)。企業(yè)所有員工依據(jù)這張表統(tǒng)一行動。”

  用IT逐層分解防范風險

  在世界500強的企業(yè)名錄中,大約每隔10年就有1/3的企業(yè)從這個名錄中消失。忽視風險的存在可能會將企業(yè)帶入萬劫不復(fù)的深淵。對于風險的防范和規(guī)避,朱東指出企業(yè)通常有兩種方法:一是基礎(chǔ)性防范,二是采取特殊措施。

  依據(jù)理想企業(yè)模型,理想企業(yè)在每個環(huán)節(jié)的做法都是采用全球最佳實踐。當尋找到每個點上的最佳實踐以后,按照理想企業(yè)的管理方法去設(shè)計IT工具。理想企業(yè)的做法認為企業(yè)有三個層次的人員:操作層、管理層和決策層。三者各司其職,在風險管控中承擔各自不同的角色。“操作層員工主要進行過程控制,管理層進行全局型控制,決策層進行整體分析和全局性監(jiān)督。”過程型控制分可計量型風險和不可計量型風險。全局型控制分可為計量型全局風險和事件型全局風險。整體分析的目標是經(jīng)營風險,全局性監(jiān)督的是全面的風險管理。

  根據(jù)不同層面人員的工作職責,分別配以不同的IT系統(tǒng),如BI、OA、ERP、CRM、SCM等。只有完備的IT系統(tǒng)才能支持完整的全面風險管理。“沒有任何一個信息系統(tǒng)能夠包打天下全面解決風險管理的問題。每個系統(tǒng)在設(shè)計時都有自身不同的設(shè)計意圖,要巧妙運用不同軟件的設(shè)計組合起來達到全面風險管理的目的。”

  “我們把財政部內(nèi)控基本規(guī)范和企業(yè)內(nèi)控應(yīng)用指引的要求,通過梳理全部落實到企業(yè)經(jīng)營管理中的每一步。將國資委和財政部等部委相關(guān)的規(guī)范拿出來一一對應(yīng),每落實一條涂一個顏色。當整個規(guī)范全部被涂上顏色時就說明全部得到了落實。”企業(yè)經(jīng)營和管理中涉及到的各個流程在IT系統(tǒng)中得以固化,企業(yè)風險也借助IT工具能夠有效地監(jiān)控與防范。

  在朱東對全面風險管理的研究體系中,風險地圖是最高決策層全面監(jiān)控風險的工具。通過地圖可以實時了解整個企業(yè)面臨的風險和變化。“比如當銀行貸款利率高到一定程度,企業(yè)的一些業(yè)務(wù)就不能繼續(xù)開展,否則將面臨巨大風險。那么,年初做計劃時就可以提前分析好貸款利率,一旦達到警戒值,立即亮紅燈,這樣決策層就能夠?qū)崟r知道整個企業(yè)面臨的所有風險。”

  企業(yè)做全面風險管理的難點在于要吃透風險管控的本質(zhì)。“任何做企業(yè)的人都會面臨這樣的問題,今年預(yù)期的銷售目標是多少,如果出現(xiàn)怎樣的問題和情形將有可能達不到目標。這些影響企業(yè)經(jīng)營的不確定性因素皆為風險。風險是無處不在的,它不是理論化的、抽象化的概念。”當風險明確,利用IT工具將風險指標層層進行分解,落地到企業(yè)中,使得人人都是防范企業(yè)風險的主體。

  朱東最后指出,中國企業(yè)的全面風險管理才剛剛開始起步。中國企業(yè)遠沒有像國外企業(yè)那樣感受到痛入骨髓的緊迫感。目前,風險管控主要是依靠國家的強制性要求在推進。

我要糾錯】 責任編輯:雨非

實務(wù)學習指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - jnjuyue.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號