企业研究论文-企业风险识别与应对措施.doc

企业研究论文-企业风险识别与应对措施【摘要】目前，国外关于COSO企业风险管理框架应用于企业实践的研究刚刚开始，但是国内这方面的实践运用还很少。本文以抚顺石化公司内部控制制度的建设和实施为例，仅就COSO企业风险管理报告提出风险识别与风险应对等，在我国加工制造企业的实际运用作一些探讨。引言：如果把市场比作大海，企业就是大海中乘风破浪的一艘艘帆船，无论大船还是小船，都要经历市场风浪的考验。而风险就是市场上一排排风浪与暗礁，他们隐匿于大海之中，不住地窥望着帆船，时时刻刻准备把帆船吞溺于汪洋大海之中。风险与经营管理就像一对孪生兄弟一样，随着企业的发展壮大和市场的不断变化而呈现出不同的面貌，企业的管理者在经营过程中通过各种手段力争将风险控制到最低来保证经济利益的流入。世界经济迈入二十一世纪以来，美国境内发生的“安然”、“施乐”和“世通”等财务舞弊事件引发了社会公众对保护投资者利益的争议，公司财务信息披露的法律遵循性开始备受重视，财务信息披露的真实性和完整性受到了社会众多的密切关注。2002年美国总统布什签发了萨班斯-奥克斯利法案（简称萨奥法案），这对海外上市公司的经营管理提出了新的挑战。由于各种不确定性因素的存在，企业面临着客观存在的各种风险，企业能否对风险进行有效的识别和应对，是企业能否生存发展、能够实现企业预期目标的关键。企业的风险控制是企业内部控制体系的重要构成部分，无论是影响全球的COSO报告还是国家有关规范制度，都强调了对风险进行控制的重要性。一、风险识别（riskidintification）风险无处不在，有效地识别风险就会使风险的控制有的放矢，从而消灭这吞溺企业的风浪和暗礁。按照风险管理学科对风险的分类，企业的风险可划分为市场风险、产品风险、经营风险、投资风险、外汇风险、人事风险、体制风险、购并风险、自然灾害风险、公关风险、政策风险和外交风险等；按照能否为企业带来盈利划分，企业风险可划分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。按照企业实现目标层次划分，企业风险相应划分为企业战略风险、企业日常经营管理风险和财务风险。但所有的风险都贯穿于企业经营的各个过程中。风险识别是企业全面风险管理的第一步，是对企业面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程。应遵循全面性、系统性、制度化和经常化等原则。由于风险随时存在，因此风险识别和风险分析的过程是一个循环往复的过程。在抚顺石化分公司的风险识别过程中，笔者将企业风险识别分成以下几个步骤进行：（一）按照全面性和系统性原则梳理业务范围，建立风险控制流程抚顺石化公司是一家以石油加工炼制为主的特大型石油化工联合企业，在风险控制流程的建立中，将经营活动划分为规划计划、建设过程、物资采购、生产过程、产品销售、存货、财务资产、人力资源、内部审计和合同纠纷等几大类，全面系统地梳理并确定了公司经营活动的业务流程。在确定业务流程的基础上，还对每一大类业务流程进行了细化，依据管理的细化程度，进一步划分各级子流程，形成了层层嵌套的流程树状体系。如图1所示。（二）按照制度化和经常化原则，对风险控制流程建立风险数据库为了全面地评估风险数据，公司对每一个子流程都进行了风险分析，风险分析以“找出关键控制点，建立风险控制文档和流程控制程序”为目的，建立并健全公司的风险数据库。如图2、图3所示。在风险控制文档和流程控制程序中，针对每一个流程步骤，分别从是否为经营决策风险、是否违反了法律法规、是否致使财务报告失真、是否使资产安全受到了威胁和是否有营私舞弊的现象等五个方面进行归类；同时，对于控制目标的类型从完整性控制（completely）、准确性控制（accurate）、有效性控制（valid）和接触性控制（relative）四个方面进行分类。通过这些分类，将为每一个流程步骤设定出风险控制点，再对风险控制点进行全面归集，就形成了完整的企业风险数据库。（三）对风险数据库进行风险评估分析，设定关键风险控制点抚顺石化公司的风险数据库建立在COSO框架的目标基础上，COSO框架的风险应对目标主要有三个方面：1.针对企业的基本目标来确保经营的效果和效率（Effectivenessandefficiencyofoperations），包括业绩、盈利目标和资源的安全性；2.确保财务报表的可靠性（Reliabilityoffinancialreporting）；3.确保企业对法律法规的遵循性（Compliancewithapplicablelawsandregulations）。依据上述三项目标，对风险数据库的各项风险数据进行了筛选，将影响上述三项目标的风险数据设定为关键风险控制点，建立了关键风险控制数据库。二、风险应对（riskresponse）在对公司的经营风险进行了逐一识别后，公司需要树立风险组合观，按照“避免风险，减少风险，分担风险，接受风险”原则，对公司的风险实施了有效控制。目前，各公司的现行做法各有不同，抚顺石化分公司着重从以下几个方面进行分析和控制。（一）设立组织机构进行风险控制加强对风险控制的组织领导，成立风险管理委员会，企业成立了以总经理为主任，分管业务的副总经理、财务总监或总会计师为副主任，各业务部经理、财务部经理以及外聘专家为成员的风险管理委员，其职责是审查批准企业风险管理体系方案，具有对风险业务的最终决策权。（二）开展风险评价和风险应对，成立风险管理部门以现行管理制度为基础，建立企业统一的风险管理体系，提高经营管理水平，成立风险管理部门。直接对风险管理委员会负责，具体负责企业的风险管理工作。（三）风险管理的指导思想、总体目标和基本步骤1.企业风险管理的指导思想以企业发展战略为总体目标，达成共识，识别战略风险，有效规避战略风险；以提高企业自身管理水平的需求为动力，努力建立完善的企业风险管理体系，全面提升企业管理水平；以国家法律法规为依据，从管理理念、管理手段、管理方式入手，合理控制或规避企业法律风险；以企业管理和财务监督为中心，以日常企业管理检查、考核为手段，针对企业日常管理中的薄弱环节和控制缺陷，实现全面风险管理体系与QHSE现行管理制度体系的有机结合；规范企业内部企业管理流程，完善管理方式和行为，有效防范经营风险，提高经营管理水平。2.企业风险管理的总体目标（见图4）3.基本步骤第一，建章建制，规范业务流程的操作。规章制度的健全与有效执行，是企业内部操作的行为准则。根据风险管理记录模板，将企业现有的控制措施与现有的规章制度进行对比，发现风险管理记录的差异。风险管理记录的差异一般有两种情况：一是有管理，但没有形成正式的规章制度；二是有管理，也有相关规章制度，但没有达到所确定的风险管理记录的要求。通过这