企业风险防范与管理—基于流程的全面风险管控

1、风险是企业运营中客观存在的一种行为,为掌控和治理风险,减少可能的损失,各国政府都在从国家层面增强治理.随着我国在境内外上市公司的增加,国务院国有资产监督治理委员会于2006年6月6日正式印发了?中央企业全面风险治理指引?,增强对国有控股企业的全面风险治理,而当前国际最权威的风险治理方法,是美国反虚假财务报告委员会于2003年公布了?企业风险治理一一整合框架?,是最为广泛认可的针对企业全面风险治理的国际标准,它既能满足企业风险治理的需要,又能进一步充实完善风险治理流程.2004年9月,委员会根据?萨班斯一一奥克利斯法案?的相关要求,正式公布了“企业风险治理整合框架.从商业运营的角度来看,为实践对

2、风险的治理,企业全面风险治理这一方法被提出.企业全面风险治理是指建立有关的监督、限制和标准职能,以推动企业在不断变化的经营环境下持续地提升其风险治理水平,这是持续开展、贯穿整个企业的一种流程,这种工作将在战略制定中实行,旨在识别可能会对企业产生影响的潜在事件,把风险限制在企业的承受水平之内,并由企业内各级人员执行.在整个企业范围内,也就是在企业的每个层面和每个单元中予以实行,包括从整个公司角度即组合的角度来审视风险,最终能够为企业治理层和董事会提供合理保对于实施全面风险治理的企业如何能够有效地进行风险治理,其皆直接面临着一个重要的议题：如何落实很多企业做了各种各样的风险治理文件,领导也通过大会

3、小会去强调风险的重要性及落实要求,在事实上,风险却一再发生.在对企业风险防范和治理多年研究的根底上,我们总结出企业全面风险防范和治理的应用,可划分成三个阶段见图1:基于企业整体限制阶段、基于岗位限制阶段和基于流程限制阶段.>e企土直舞风幄皆埋的«性5号冲又性*便左果南的风的企业风险管印的：个阶段更哼A守：时中室的网的着牌方以»科酒/内单怩里脱眼常H门褥工收龙大了烹壑心网电运It也外W忠勤,群R可q无电斗中*叶同第首建力在以血V比照11-怛风翦*iW球比到云花姆破土耳山落*型牲|区Frt二鼠innc=11K塞廿4P闫L4IYIJi图h企业网雕治理的三个防段1、基于企业整

4、体限制.在很多企业里,都是首先通过文件、宣贯开始的风险治理,通过一个制度约束了很多工作,风险治理不够细致,导致各个风险点无人负责,这种基于企业整体限制的阶段应该说是企业治理风险的起步.2、基于岗位限制：在国家和行业对风险重视程度越来越高的时候,越来越多的企业把重点工作的风险落实到个人上,于是风险治理超着更精细的方向开展,最终企业里的风险治理负责人把每个岗位都进行了细致的梳理,整理出岗位风险文件,形成岗位风险治理制度,保证“每项风险工作都有人负责.这种细致的基于岗位风险治理,也是咨询公司在为企业做风险治理时提供的解决方案,一般情况下的方案包括三个局部：识别风险、建立岗位风险手册、制定公司风险治理

5、机制.三个步骤下来,看似建立了一个牢固的风险治理体系,但是实践证实这种方式的效果并不明显.风险识别方案将工作岗位作为风险识别的载体,从岗位的责任和活动出发,识别工作岗位中遇到和将会面临的风险,把企业的风险落到到各个岗位,从公司最底层考虑风险,既能准确地定位风险来源,又能将风险进一步细化,及时发现问题,制定应对策略.举一个真实的案例：我们曾为一家大型国有企业下属某单位开展了基于岗位限制的风险治理,从营销、销售、生产、综合治理各个领域均建立了岗位制定,从工作成果上来非常丰富,该企业风险治理人员也是非常满意风险体系的建立.但是当我们在一年后去回访时却了解到,这套饱满的风险机制被当作企业治理中的另一份

6、制度文件被束之高阁,制度应用不起来、员工不清楚当初梳理的风险、风险治理人员在企业里压力很大.在与这家企业风险治理人员进行深入的交流后,总结基于岗位风险治理的三个天然的缺乏,是导致结果难以应用的主要原因：1、岗位是基于个人而非团队,员工难以重视：在企业里,每个人都是工作里的一个环节,当以岗位来确定风险时,意味着很难与其他岗位产生协同,这不符合企业运作的规律,导致个人觉得自己的无所谓,难以真正重视.2、岗位不是工作价值表达,领导难以重视：企业里的价值是基于工作模式和工作流程来实现,一个岗位并不能表达出整体价值,企业领导也难以重视.3、岗位应用效果不佳,治理人员难以推动：企业风险治理机制是依靠有效的

7、风险治理为根底,风险治理人员在基于岗位治理的模式下,难以推进企业的风险治理,工作非常被动.在经过不断总结探索后,提出基于流程的风险治理,这种风险管理是从企业运营出发,而不仅是从个人出发,能够真正把企业价值与风险治理相结合起来,为风险的落实和治理真正提供了支撑.同样是这家国有企业的另一个下属单位,邀请我们协助建立整个企业的风险体系,在与风险治理人员进行深入研讨后,建立基于流程的风险治理体系,形成风险治理网.的基于流程的风险治理分为三个根本步骤：识别所有可能的风险、梳理现有流程并确认各环节风险点、建立可落实的风险治理机制.1、识别所有可能风险风险在任何一个企业都存在,但每个行业均有些自身的特点.通

8、常情况下,我们采用风险识别方法选择模型,针对外部环境、战可萍的血匕点例如略空间和治理根底进行全面分析见图2.凤啦的方法柬打粮?/NT闻升辞讣也竟世用外.且打事,|某31瞳工科£.勖,外二蜜至一电不力里里及WZ环拓方第高虐.弭打啜于1天AIK同间理基金帆员工霖属移寓著理基姆-K,并值假专利工隼国哲汴精计I图为风险识别方法选探模型,为全面把握风险范围,基于风险识别模型,把企业风险分成外源性风险和内源性风险2类风险：外源性风险：包括但不限于标准、治理机构、政策、资源、环境等；内源性风险：包括但不限于实物、技术、产品、市场、信用等；在实际操作中,更进一步细分风险,为下一步的工作提供坚实的根底

9、.2、梳理现有流程弁分析各环节风险点过该流程中每个节点在流程梳理和环节风险分析中,可能需要用到各种工具和方法,终形成业务中各环节的风险限制见图3青普神才故界号及之母在明确了企业各个环节的风险点后,可以开展企业流程梳理,对现有流程,分析每个活动点存在的问题和风险应对方法,不放包括对流程梳理的工具、组织业务人员参加讨论的技巧等等,iii-k图流程体系中的风险治理节点,在这个环节中,特别要注意3个要点,这将直接影响到最后风险防范的成功和实际落实:选择适宜的流程：很多企业想一次性解决所有问题,期望能够通|1TTk节点也凤陵节审L敷加统H与悭拄对应用位国堀外公司.帝场都骐处内容肺瞽风随风降描述实物已缝钝

10、暹,但?统统有记录.导致财警效18不衡后控M揩脑无血的1尚检地陷限制毗贵任部门或代买轼酋量的材准,醺保工抖与酩统割据相苻凤除禽K元热天进行宣点书实M与系统威据进行摄对t>t<E3,左,过一次工程或一次运动把所有工作给完成,这是一种不切实际的想法.合理的做法是确定企业中最重要、最需要的流程开展,求精不求多；组织适宜的团队：风险治理不是几个企业风险治理人员的责任,也不是一个外部公司能够完全做完的,在这个过程中一定需要业务人员全力参与,使业务人员对结果深刻熟悉,所以说风险治理的过程,实际上是一个全员参与的过程；坚决的决心：在梳理流程和识别确认风险过程中,由于业务人员的工作忙,短期效果不明

11、显,肯定会出现负面的言论.对于风险推进人员,一定要顶住压力,坚持到底.3、建立可落实的风险治理机制.风险治理是长期的工作,只要业务发生就会发生风险,另一方面,内外部环境和业务的变化,会导致业务风险的调整.所以一个好的有效的机制是保证企业风险治理长期可控的必要条件.通常情况下,通过一个会议机制,我们定义为企业风险分析会,来作为风险治理的风向标,会议中讨论当前存在的问题,及未来改良的风险指标体系和监控方法.会议召开得准时性和好坏,直接决定着风险治理机制能否落实.很多企业对类似的风险治理会存在疑心态度,每次会议讨论什么议题谁来主导怎么落实等,这确实是会议存在的压力.我们的经验是风险分析会一定与企业运

12、营的会议一并召开,更详尽的问题,可进一步分析.在不断总结实践与理论探索后,认为企业开展基于流程的风险管理与防范,有3个关键要素：流程治理要有一定根底：流程是企业运作的根底,而一定的流程根底开展风险梳理的根底,否那么会导致风险治理工作量巨大,推进工作艰苦；对风险治理有相对成熟的认知：如果只是把风险只是当作一种工作,企业的员工必须深刻理解风险治理的价值,与业务运作互相促进作用,只有这样,才能真正投入进来；企业愿意投入：风险治理是业务运作的另一个方面,相对于业务治理上的投入,很多企业不愿意在风险上投入过多,觉得没有价值.而恰恰相反,没有人员、资源和治理要求上的投入,无论应用哪种风险治理方法,肯定无法