|
风险管理的基本流程相信大家都很熟悉,按照国资委《中央企业全面风险管理指引》分为收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进五个主要环节。其中风险评估又分为风险辨识、风险分析和风险评价三个步骤。多年来很多企业特别是中央企业开展风险管理基本是按照以上要求实施的。但一些企业面临的境况却是,风险管理工作更多是为了满足监管和上级要求,与企业生产经营无法实现协同联动,虽然不得不做,实际却难见效果。 企业虽然引入了风险管理的“形”,却未能领略风险管理的“神”,工作开展无法做到形神兼备,是造成上述现象的一个重要原因。
结合多年工作经验和体会,通过系统梳理,认为一些企业当前风险管理存在以下主要问题: 一是没有突出目标管理要求,风险管理目标不明确,风险管理缺乏方向、规范和基本判断标准; 二是未能确定风险偏好和风险承受度,特别是企业整体风险承受能力和业务层面可接受风险水平; 三是风险信息收集机制需优化,风险信息收集不全面、不及时、提炼分析不够,缺乏相关性; 四是风险评估未能见实效,风险辨识、风险分析和风险评价三个步骤没有得到有效执行; 五是风险管理泛化、空化,公司层面风险缺少业务层面风险支撑,风险管理成为空中楼阁; 六是风险管理解决方案缺乏针对性,虽然面面俱到,实际难以解决具体问题; 七是风险管理未能闭环,缺乏全流程管理策划和责任落实,效果难以保证; 八是风险管理信息沟通渠道不畅通,风险管理牵头部门和风险管控主责部门协同性不够、机制不健全,无法保证信息沟通的及时、准确、完整,风险管理监督与改进工作流于形式。 如何解决以上问题,推动企业风险管理工作真正见实效? 一、完善风险信息收集机制 一是围绕目标开展风险信息收集。 风险管理目标是企业进行风险信息收集的重要依据。各级组织收集风险信息要有针对性,摸石头是为了过河,收集风险信息是为了进行风险管控,应广泛收集与风险管理目标相关内外部信息,切忌不要为收集风险信息而收集,应强化风险信息收集的目标导向,不论是企业、部门还是具体岗位,都应明确风险管理目标,开展与目标相关的风险信息收集。 二是做好风险信息收集的分工协同。 风险信息收集应围绕“统一设计、分工协作,横纵结合,上下贯通”的工作思路开展。风险管理牵头部门负责风险信息收集机制设计,各部门围绕控制目标,全面系统持续收集相关风险信息,既要做好风险信息的归纳分析,更要及时应对处置,同时按规定向风险管理牵头部门提交。风险管理牵头部门综合各部门信息做进一步整理分析,及时供领导决策参考或发布风险预警提示等,并逐步建立健全风险信息库、风险案例库。集团企业还应向上级风险管理牵头部门提交。 三是重视风险信息收集的规范性。 风险管理牵头部门应做好风险信息收集清单设计,规范自下而上统一适用的图表工具,区分不同国别(地区)、不同行业,有形损失、无形损失和威胁等,从风险信息和风险事件两个层面,明确风险信息收集要求。信息收集要求应通俗易懂,突出重点,避免内容冗余复杂。 四是客观判断企业管理和控制能力。 风险信息收集虽然需要全面、广泛,但更要突出重点,对于所收集的风险信息,各部门应有初始判断,如果属于风险可承受事项或不属于企业风险控制范围的事项,应做明确标注,另类处理(进行筛选,不是剔除)。尤其要重视重大风险事件的统计,明确对应统计分析和处置要求。风险管理牵头部门在汇总分析各部门风险信息时,从公司整体层面同样应开展基本判断,使风险信息清单尽量聚焦控制目标,突出风险信息收集的针对性、可用性。 五是区分风险基础清单与风险信息收集清单。 风险基础清单是企业风险管理牵头部门与各部门为加强风险管理,结合行业特点和重点工作,对可能面对的常态化风险进行提炼、分析、整理形成的,便于相关部门和单位更加精准高效认定相关风险,是日常开展风险管理工作的参考,重在发挥指导、提醒和提示作用。一般相对稳定,定期更新调整。 风险信息收集清单可分为初始信息收集清单和整理归纳清单,分别对应不同阶段和部门,初始信息收集清单应来源于相关单位和部门,主要呈现的是原始风险信息;整理归纳清单是风险管理牵头部门围绕初始信息进行在加工处理的结果。 风险信息收集清单较风险基础清单内容应更全面、更加注重时效性,进行动态更新,是风险基础清单制定、更新的参考和开展风险评估及风险源识别认定的重要依据。 六是建立风险信息收集工作的保障机制。 第一,明晰风险信息收集使用目的和工作要求; 第二,建立完善部门横向协同和信息共享机制,实现部门联动和信息及时有效传递; 第三,配套风险信息收集的奖惩机制; 第四,依托信息系统实现风险信息的及时有效收集和充分利用。 二、合理运用风险信息收集方法 《企业内部控制基本规范》从内部风险和外部风险两个角度明确了风险信息收集需要关注的因素;《中央企业全面风险管理指引》从战略风险、财务风险、市场风险、运营风险和法律风险五个类别要求广泛进行内外部风险信息收集。虽然为企业开展风险信息收集工作提供了重要参考,但是侧重于公司层面风险识别评估要求,企业如果不加细化和再分解,很难据此得到实际工作中真正需要关注的风险信息。因此,风险信息收集策略上要考虑全面,方法上要聚焦点线,实现点面结合,以点撑面,既有高度,又有深度,既有广度,又有厚度。 具体开展风险信息收集工作时,可综合运用以下方法: 1.根据同行业发生的或本单位的历史风险事件,判断风险; 2.根据国家(所在国)法律法规要求和本单位规章制度内容,提炼风险; 3.梳理业务流程,判断业务逻辑,结合关键控制点,认定风险; 4.全面深入剖析风险产生原因,举一反三,查找类似风险; 5.根据外部监管和上级单位的处罚、通报及客户投诉等,倒查风险。 6.基于业务属性,综合专业经验,判定某项业务可能存在的风险; 7.关注某项业务的异常指标或日常差错、问题,认定风险; 8.通过访谈交流、穿行测试、现场判断,认定风险; 9.分析不同渠道和来源的信息、数据匹配度,识别风险; 10.根据未来工作重点和管理新要求,预判风险。
三、重视风险的辨识和分析 很多企业虽然风险评估工作开展多年,但风险评估往往做的是风险评价,忽略弱化了风险的辨识和分析。 根据《中央企业全面风险管理指引》,风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。这里讲的风险辨识与分析,其实指的就是对收集的风险初始信息的归纳、加工处理要求,收集风险信息是风险评估的重要前提,这里的风险信息应是指加工处理过的风险信息,而不是初始风险信息。风险的辨识、分析是风险评估的一项重要工作,也是风险信息加工处理的重要程序,风险评估调查问卷更多体现的是风险评价要求。风险管理牵头部门组织开展风险评估工作时,要充分考虑到风险辨识和分析程序,重视对风险信息进行提前筛选、提炼、对比、分类、组合,保证风险评估范围全面、流程完整、依据可靠、结果客观。 四、强化风险源识别与管控 风险评估分为公司层面和业务层面两种形式。企业组织的风险评估一般为公司层面风险评估,即围绕企业面临的内外部环境,组织不同层级开展风险评估,综合汇总分析,最终形成重大风险评估结果。 这种评估结果一般符合多数人的认知,或者说,只要是对企业熟悉的人,对风险的看法与评估结果基本相同。正因为如此,针对这样的评估结果,企业很难制定对应的具体措施,或者即使形成了风险管理解决方案,也是放之四海而皆准的举措,与风险评估无必然关联。究其原因在于,这种评估结果呈现的是企业的“风险面”而不是“风险点”,如果缺少业务层面风险评估结果支持,公司层面的风险评估结果很难指导实际工作开展。 若要发挥风险管理工作实效,在评估认定公司层面重大风险后,企业应围绕重大风险,进行风险分解和细分,开展业务层面风险评估,识别可能导致重大风险发生的风险源,把宏观的“风险面”细化为微观的“风险点”。 风险源应结合风险信息清单,充分考虑各种内外部环境及物质、非物质(政治、社会、精神)因素,综合考虑认定。通过对风险源的识别与管控,把影响风险的不确定性因素,转化为可操作和执行的确定性措施,由风险管控主责部门,综合策划、协调资源,系统开展前期预防和过程管控,尽可能实现预期风险管控效果。
五、落实风险闭环管控责任 风险管理是一项系统性工作,厘清不同环节、不同部门的风险管控责任非常重要。在风险管理工作,各单位、各部门中既要站好本位,更要注意补位,最重要的是不能出现缺位。 风险管理牵头部门要突出整体设计、组织协调和成果转化,做好风险管理工作;风险管控主责部门要守土有责,管控好与自身业务和职责相关各项风险,做好管理风险工作。所有单位和部门的工作目标应统一、服务于企业的风险管理目标,涉及到跨行业、跨部门的重大风险,风险全过程管控要突出管理合力,事前、事中、事后密切结合,彼此呼应,既要强调团队作用,更要责任落实到岗到人。对于重大风险应对措施不足,重大风险事件处置不力,造成较为严重损失和影响的,应严肃追究相关组织和人员的责任。 |
|
|
