3C全面风险管理标准内容比较多,其基本内容包括:
◎目标体系
企业目标就是尽可能地创造价值,使企业价值最大化。企业目标是多种多样的,对其适当分类是必要的。从全面风险管理的需要出发,考虑到我国企业一般情况,企业的目标可从总体上分为社会目标、管理目标、经营目标、财务目标、遵循目标、其他目标等一级目标,在这个一级目标下细分了若干个二级目标,在二级目标下再细分三级目标。
企业目标是一个相互联系、相互依存的目标体系。由于企业组织存在着不同的层次体系,每一层次都有其自身的目标,低一层次的目标必然要服务于高一层次的目标。
企业的创立、生存、发展,甚至终结都是应有目标的,是企业管理的出发点和归宿。目标确定本身是企业管理人员,尤其企业高管人员的事,全面风险管理作为企业管理的一项核心内容,可以把目标确定作为全面风险管理的前提条件进行关注,并将其贯穿于全面风险管理工作的始终。全面风险管理不能从目标确定开始,不能把目标确定作为其流程,因为流程是解决如何做的问题。
◎风险整合
风险是对企业目标实现产生影响事项发生的不确定性,危险和机会并存,是一个全面的概念。
一般来说,风险由风险因素、风险事故和风险损失三要素构成。
风险属性是多样的,具有客观性、相对性、可变性、不确定性等属性,其中不确定性是风险的本质特性。
企业所面临的风险很多,对为数众多的风险进行适当的分类有利于汇总报告和管理风险。事实上,要把风险科学的分类的确是一件非常难的事,因为风险之间是相互关联难以分开的。从便于管理的角度,企业风险应从总体上分为社会风险、管理风险、经营风险、财务风险、法律风险、其他风险五个一级风险,在这个一级风险下细分了若干个二级风险,在二级风险下再细分三级风险。
风险偏好,是企业在寻求价值最大化时愿意接受的风险的数量,是一个“说起来容易做起来难”的概念。
风险意识,是全面风险管理软要素之一,是全面风险管理的基础,全面风险管理的出发点。虽然,把风险意识作为任何风险管理过程第一步说法有点夸张,但增强风险意识,营造企业风险管理文化氛围,对全面实施风险管理是有重要作用的。
风险理念,是一整套共同的信念和态度,决定着企业从目标体系确定和执行到日常的活动时如何考虑风险。
风险文化决定企业全面风险管理的好与坏,是企业实施全面风险管理的基础。
风险文化是由知识、制度和精神所构成的整个风险管理方式。
把企业风险整合起来,会赋予企业管理者更大的信心,使管理者在整体经营的观点上作出决策。实际工作中,至少要把企业主要风险整合起来,这是全面风险管理的一个基本标准。
◎管理融合
全面风险管理是为合理保证企业目标实现,对企业风险进行全面管理的动态过程。全面风险管理是全员、全过程、全方位的风险管理,既要控制风险,更要把握机会,是积极进攻性的风险管理。全面风险管理,是对企业风险进行整合管理的过程,始终是艺术和科学的结合。
全面风险管理目标,是通过控制风险和利用机会来创造价值,应与企业目标相一致,与企业价值最大化目标相一致。与企业目标体系相协调,与企业风险整合相衔接,全面风险管理目标体系应分为社会、管理、经营、财务、法律、其他等一级风险管理目标,在这个一级风险管理目标下细分了若干个二级风险管理目标,在二级风险管理目标下再细分三级风险管理目标。与企业全面风险管理核心流程相对应,全面风险管理目标体系可分为识别风险、评估风险、应对风险、控制风险、处理危机、把握机会等目标。
全面风险管理源于管理,正因为重要才从管理中游离出来,形成自成体系的独立内容,成为当代企业管理,尤其是风险管理的最佳实践。
全面风险管理政策,是企业全面风险管理的方向,是全面风险管理的最高基调。通常,全面风险管理政策是由董事会制定的,规定且按照董事会确定的风险偏好来控制风险。全面风险管理政策是抽象的,难以理解的,通过有效的工具将其变成具体的便于企业员工理解和应用是重要的。其中风险管理政策说明书和全面风险管理手册比较常用的工具。
全面风险管理战略,是企业全面风险管理带有全局性的事情,是全面风险管理的龙头和核心,对企业的整个风险管理工作起着关键的作用。全面风险管理战略制定由建立风险量化模型、确定风险偏好和风险承受度、制定风险应对策略三部分工作组成。
全面风险管理策略,指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略。
全面风险管理决策,是对企业全面风险管理的战略制定、目标确定、策略选择等重大事项的决定和策略。可以说,全面风险管理决策是全面风险管理过程中的一条主线,应该贯穿于全面风险管理始终。
全面风险管理的主体,是企业进行全面风险管理组织和人员,是全面风险管理目标得以实现的组织和人员保证。
全面风险管理内容,就是对企业风险的管理,也就是说,全面风险管理所要管理的就是企业风险,而且是对企业整合风险的管理。
全面风险管理流程,是企业全面管理活动从开始到结束的过程,这个过程是动态连续不断进行的。从我国企业的实际情况出发,全面风险管理流程应包括管理准备、管理实施、管理报告、监督改进基本流程。
全面风险管理方法是多种多样的,既有定性的方法,又有定量的方法,定性方法和定量方法要相结合,是一个有机组合体系。
全面风险管理信息,是全面风险管理的基础,贯穿全面风险管理工作的始终,应该嵌入到全面风险管理的整体程序中,很难作为一个独立的要素或程序而存在。实际上,全面风险管理的实践中信息与沟通一样应该是企业信息管理和有效沟通的一个重要部分,应该纳入企业管理的大系统。
全面风险管理沟通,是全面风险管理的有效手段,应该贯穿全面风险管始终,并融合在全面风险管理的全过程。全面风险管理沟通分为内部沟通和外部沟通两类。无论内部沟通,还是外部沟通,沟通的方式是多种多样的,例行会议、汇报,定项信息报告,信息快报,专题报告,员工手册,教育培训,互联网络等主要形式。风险对比是重要的全面风险管理沟通工具。
全面风险管理学习是提升风险管理人员素质的手段和途径,应该是全面风险管理的一项基础性的日常工作,不应作为一个风险管理过程的一个阶段,更不能是最后阶段。建立并不断完善风险数据库,编制全面风险管理学习文档是一个很好的学习方法。
全面风险管理要覆盖企业所有的风险因素,这些因素来自不同风险种类、不同地理区域、不同业务部门和不同的管理层面。全面风险管理强调从机构整体的角度对风险因素进行全面的汇总和整合。这种汇总和整合强调的是针对风险重叠的处理、针对风险相关性的处理和组合投资多样化分散风险的效用。全面风险管理融合,是企业风险管理自身内部的融合,是企业风险管理与企业业务的融合,是企业风险管理与企业管理的融合。实际上,全面风险管理与企业管理需要融合的内容很多,其中之一要做到控制与风险的融合。
◎管理准备
全面风险管理准备阶段主要工作内容包括选择项目、确定目标、成立小组、收集信息、初步了解、制定计划、编制方案、下发倡议等。
◎管理实施
全面风险管理实施阶段主要工作内容包括风险识别、风险评估、风险应对、风险控制等。
风险识别是确认风险的过程,是进行全面风险管理的前提。企业全面风险管理,既要考虑识别风险,也要考虑识别机会。根据价值链理论,把企业的风险识别延伸到价值链,也就是从价值链的视角考虑风险是越来越重要了。企业的风险按内容可分为社会风险、管理风险、经营风险、财务风险、法律风险和其他风险等。在此分类的基础上,在进一步分诱发风险的内、外部因素。实际工作中分类越具体越好,但为了汇总分析的需要,可以有几个层次。风险识别从理论上可以分筛选、监测和诊断三个环节或更多阶段,但实际工作中是很难划分的,因为其界限很难界定。风险识别阶段的最为主要的工作就是要建立风险数据库,将识别出来各种风险及其原因进行适当的归类,并以文字做清楚的描述。风险识别方法是很多的,各有其优缺点和适用条件,世界没有一个适用于全部风险识别的最好的方法。风险数据库就是一个简单实用的风险管理工具。
风险评估,是在风险识别的基础上对风险进行计量、分析、判断、排序的过程,包括风险计价、风险分析、风险评价等步骤,是风险应对的主要依据,应立足于对固有风险和剩余风险的评估。风险评估内容是评估风险发生的可能性和影响。可能性表示一个给定事项将会发生的概率,影响则代表它的后果。风险评估方法包括定性方法和定量方法,应定性方法和定量方法相结合进行。我国中央企业在实践中已采用过去风险事件总结和分析、同业企业风险事件总结和分析、部门初始风险评估表、企业初始风险汇总表等具有自主创新,有很强的实用性。不论采用何种方法来进行风险评估,也无论是基于固有风险,还是剩余风险的评估,要用到一些计量方式。计量方式有好多种,名义计量、顺序计量、间隔计量和比率计量是风险评估工作比较常用的的计量方式。
风险应对,是在风险评估的基础上,依据企业风险管理战略,根据自身条件和外部环境,选择应对风险策略的的过程,是全面风险管理的重要环节。风险应对内容,是企业应对风险的各种策略,风险应对策略因单位和风险的不同而不同。实际上,企业可以选择规避、降低、转移、分散、接受、利用等不同风险应对策略。不论采用某一类或组合策略,主要目的是要把剩余风险降低到与期望的风险容限相协调的水平。不同风险的风险应对策略是不同的。一般情况下,对战略、财务、运营和法律风险,可采取风险承担、风险规避、风险转换、风险控制等策略。对能够通过保险、期货、对冲等金融手段进行理财的风险,可以采用风险转移、风险对冲、风险补偿等策略。就是同一个企业的不同的业务或事项可以采取不同的风险应对策略,同一业务或事项在不同的时期可以采取不同的风险应对策略,同一业务或事项在同一时期也可以综合运用风险降低和风险分担应对策略。总结国内外全面风险管理的实践,不论采用哪种风险应对策略,基本的风险应对方法包括:研讨会、访谈、复核、分析、聘请外部专家等。
风险控制,是企业根据风险应对策略确保全面风险管理目标得以实现所采取的,针对企业在实现其既定目标过程中可能遭遇到的风险而制定和实施的,帮助保证风险应对方案或风险管理策略得到正确执行的相关措施,包括但不限于内部控制措施。风险控制是和风险应对策略联系在一起的,是风险应对策略的具体实施途径。有效的风险控制是具体的,是需要嵌入企业的各个层面和各个部门,与企业的业务活动、管理流程相衔接的,也可以说是贯穿于企业的所有层次和各个职能部门的。风险控制内容,是风险控制的措施。就一般而言,便于实际操作,要针对不同的风险,根据不同的风险应对策略来界定风险控制的内容或要素。否则,是空泛的不切合实际的,也是没有用处的。实际上,企业是社会人,有些风险控制不是单一个企业所能控制的,要靠整个社会整体控制系统。风险控制过程是复杂的,其关键步骤包括:建立风险控制文档、建立关键控制、制定控制程序文件等。
◎管理报告
全面风险管理报告阶段主要工作内容报告风险,风险预警带有报告性质,因此就归在报告阶段来论述。
风险预警,是度量某种状态偏离预警线的强弱程度、发出警戒信号的过程,是全面风险管理的一个十分有效的工具。风险预警作为一种全面风险管理的有效工具,可以贯穿于全面风险管理的始终。但事实上,要进行有效准确的风险预警,必须建立在有效风险识别、风险评估、风险应对、风险控制的基础上,因此,可以把风险预警作为风险管理报告阶段的一个重要环节,或作为风险报告的一项重要内容。风险预警工作关键是如何建立风险预警机制、风险预警模式,确定预警指标和判断预警标准。在全面风险管理工作中,企业大多对单个(类)风险设置“绿色、黄色、红色”三种预警提示。风险预警阶段的方法主要是图表和对比分析的方法。
风险报告,是对企业风险管理的情况的报告,报告风险是全面风险管理的一个重要环节,可作为全面风险管理的独立环节,根据需要可在全面风险管理的过程中随时报告重大的风险情况。设立风险管理部门的企业,风险报告的主体主要是风险管理部门,企业其他部门也有报告本部门风险管理的责任和义务。在没有设立风险管理机构的企业,内部审计应承担报告全部风险管理情况的职责。全面风险管理报告的形式和内容,因机构或类别的不同而不同,它们至少应该包括引言、正文、附件基本要素。编制全面风险管理报告的方法很多,比较实用的比较分析法、指标法和流程图法等。
◎监督改进
全面风险管理监督改进阶段主要工作内容包括风险监督、风险审计、管理改进等。
风险监督,是对企业全面风险管理健全、合理、有效性进行监督检查的过程,以保证企业全面风险管理实施效果,并通过监督活动对全面风险管理薄弱环节提出修正意见,为全面风险管理改进提供依据。风险监督的主体,可以是企业董事会(风险管理委员会)、高层管理当局,也可以是企业的风险管理部门、各职能部门,比较独立的是内部审计部门和中介机构。风险监督内容是广泛的,要从全面风险管理制度的健全性,方法、流程的合理性,执行的有效性进行全面监督。风险监督内容,从监督的主体分管理部门监督、审计监督和监察监督以及外部监督,各自关注的重点有所不同。风险监督内容,从监督的方式分持续监督、专项监督。不论那种方式,报告缺陷是必要的。风险监督方法是多种多样的,有一系列监督方法和工具可供使用,包括核对清单、调查问卷和流程图技术。风险监督的难点是评价,评价的难点是确定有效的评价标准。
风险审计是指审计机构采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动,对机构的风险管理、控制及监督过程进行评价,进而提高过程效率,帮助机构实现目标。风险审计的主体可以是政府审计、独立审计,也可以是内部审计,在审计体系当中,内部审计应该着重于风险审计。风险审计就是对风险管理情况的审计。由于不同的企业,对风险管理的要求及内容各不相同,因此,风险审计的内容也不可能完全一致。企业风险审计的内容可按照不同的标准进行界定,按照审计的主体,可分为政府风险审计、独立风险审计、内部风险审计;按照风险不同可分为管理风险审计、经营风险审计、财务风险审计、法律风险审计等;按照风险管理的流程,可分为风险识别审计、风险评估审计、风险应对审计、风险控制审计等。风险审计流程同其他审计流程基本上是一致的,应包括风险审计准备、风险审计实施、风险审计报告三个阶段,内部审计机构从事风险审计,还应强调后续审计。根据风险审计特点,应该强调了解被审计单位及其环境、控制测试、实质性程序、风险审计报告等内容。
管理改进,是根据存在的报告缺陷和变化的情况持续不断改进风险管理的动态过程,是一次全面风险管理的最后环节,又是下次风险管理的开始。管理改进的理念应贯穿于全面风险管理的始终,因为,在全面风险管理过程中应时时刻刻管理主体的变化。管理改进的简单程序包括分析总结报告缺陷,编制风险管理缺陷汇总分析表;识别变化情况,编制风险管理变化情况分析表;.形成风险管理改进分析报告,报上级高管层进行审批;制定改进计划书,报高管层审核;高管层对改进计划书进行审核,报董事会批准;下发改进计划,制定风险管理改进计划实施方案;具体实施风险管理改进工作;总结考评风险管理改进工作情况。
中天恒管理咨询公司总咨询师 徐荣才
