“三元问题法”是深入理解事物的一种方法,通过对想要理解的事物提出和解答下列三个问题:为什么(why)、是什么(what)、怎么样(how),可以更容易地理解这个事物,尤其是复杂事物。我们这篇文章使用“三元问题法”,帮助大家简要地了解风险管理体系。
前言:什么是风险?
在理想世界里,企业制定一个目标,然后投入资源组织实施,最后获得与目标一致的结果。但理想很丰满,现实却很骨感。
在现实工作中,如下图所示,最后获得的结果一般有3种可能:一是实现了目标,结果与目标刚好一致,这是小概率的、理想世界里的情形;二是实现了目标,并且结果比目标还要更好,这是极小概率的、极其理想的;三是没有实现目标,甚至有些方面表现得糟糕,这是大概率的、常见的情形。
图:理想和现实中的目标与结果
虽然我们在事前大概知道有三种可能的结果,但是并不能确切地预知会是哪种以及结果具体会是怎样,这就是结果的不确定性。
例如,当企业想要实现一个经营目标(如增加收入、降低成本、提高效率,上市新产品、建立新品牌、组建新团队、优化组织架构、调整薪酬结构、变革绩效考核方案、推行新体系等)时,经过组织资源推进实施,结果可能会是达到预期(小概率)、超过预期(极小概率),更可能是未达预期(大概率)。
那么,为什么结果会不确定呢?如下图所示,原来,在企业里面存在大量的问题(例如,企业战略与运营脱节、缺乏制度流程、制度难以落地、流程不完备不畅顺,部门职责权限错配、各自为政,员工不胜任岗位、搭便车、磨洋工、不遵守流程、业绩作假、勾结竞争对手或供应商、偷盗公司财物等),这些问题影响企业实现其目标的过程。因为有这些问题的影响,结果往往就差强人意。
图:现实中目标实现过程受各类问题的影响
企业经营管理过程中,对目标结果的不确定性的影响,叫做风险。而对那些可能影响企业实现目标的事项进行的管理(包含事前、事中、事后),叫做风险管理。
1. 为什么需要建立风险管理体系?Why?
如前言所述,企业想要实现既定的目标,无论是战略层面的宏观目标,还是运营层面的具体目标,都需要有效地管理风险。风险管理体系的建设与运行,帮助企业很好地管理风险,能够为企业内外部带来显著的价值。
(1)外部监管要求
近年来,国内外关于企业风险管理的监管要求频繁出台或更新,包括企业内部控制基本规范、深交所和上交所的上市公司规范运作指引、港交所的企业管治守则和企业管治报告、美国萨班斯法案404条款等。
证券市场对企业风险管理的监管呈现3个明显趋势:监管日趋严格、强化管理者责任,关注过程和结果。
(2)内部管理需要
无论上市与否,忽视风险管理的企业下列问题通常比较突出:内部控制薄弱、内外部风险频发;违规操作引发行政处罚;违法操作导致法律诉讼;资金资产流失;损失浪费严重;人员腐化、营私舞弊等。
而调查和研究显示,国内的企业经过实施规范的风险管理体系后,能够在以下5个方面获得显著的改善和提升:保障经营管理合法合规;保障资金资产安全;保障财务报告及相关信息真实完整;提高经营效率和效果;促进企业实现发展战略。
2. 建立什么样的风险管理体系?What?
我们根据多年的研究和实践,提炼了一个金字塔模型,帮助大家更容易地理解风险管理体系的框架,如下图所示,它从上至下分为风险管理政策、风险管理监督、风险管理工具和风险管理环境等4个层面。
图:风险管理体系框架的金字塔模型©
(1)风险管理政策
包含高管基调和风险管理制度。高管的意识、态度和支持决定风险管理价值能达到的高度。风险管理制度用于统筹规范风险管理各项工作的角色、分工、职责、权限、考核、评价等。
(2)风险管理监督
包含风险管理的评估、考核、评级和奖惩等4个要素,用于监督管理层和全体员工的风险管理表现,以使风险管理有机融入日常工作,最终达到有效管理风险、实现企业目标的目的。
(3)风险管理工具
包含内部控制建设、重大风险管理、反舞弊机制、内部审计监督和法律风险管理等5个工具,它们是风险管理体系这个“大体系”之下的5个“子体系”。通过将专业规范的工具和方法应用于风险管理各领域、全流程,持续“管控风险、促进发展”。
(4)风险管理环境
包含企业内外部不同领域的14个要素,它们共同组成实施风险管理体系这项工作的环境,并且从不同的方面影响着这项工作。风险管理环境是风险管理的土壤,决定风险管理的有效性。
3. 要怎么样建立风险管理体系?How?
建设风险管理体系是一个系统性工程,我们根据先后顺序和逻辑关系将大量具体工作分为7个模块,其中体系规划、搭建框架、体系运行、监督管理和持续优化等5个模块是按照先后顺序、逐个落实推进的;另外,风险管理文化建设和风险管理团队建设影响着上述5个模块的建设和实施,这两个模块的建设是贯穿始终的。
图:风险管理体系建设的整体工作框架©
(1)体系规划
主要工作有:确立并在公司内部反复沟通关于风险管理的高管基调;制定、发布并培训和沟通风险管理制度;制定并发布体系实施方案与实施计划等。
(2)搭建框架
主要工作有:搭建流程责任框架;搭建流程内控框架;制定重大风险管理的基本流程;建立反舞弊机制;建立审计稽查、管理审计和审计调查的机制;搭建企业法律风险管理框架等。
(3)体系运行
主要工作有:按照时间进度计划,分别制定内部控制、重大风险管理、反舞弊、内部审计和法律风险管理等5个子体系的分阶段运行计划和方案,通过试点运行后全面推广。
(4)监督管理
主要工作有:根据5个子体系工具的运行情况,对管理层各自管辖范围内风险管理的表现情况定期地进行评估、考核、评级和奖惩等,目的是通过考评,提高管理层管理风险的能力,帮助他们实现企业目标。
(5)持续优化
主要工作有:内部控制、重大风险管理、反舞弊、内部审计和法律风险管理等5个子体系的运行优化;5个子体系之间的融合优化;风险管理组织团队能力优化和提升等。
(6)风险管理文化建设
主要工作有:高管基调、高管参与关键环节和场景、全体员工松土培训、风险管理文化塑造、榜样塑造、风险事件复盘公开、优秀案例经验传播、风险管理月报、风险管理考评奖惩公开等。
(7)风险管理团队建设
主要工作有:组建或完善内控与风险管理、内部审计、反舞弊和法务团队,职责权限划分与宣导培训、工具方法应用专题课程、实施方案研讨、典型案例研讨、风险事件深度复盘、团队人员能力阶段性发展规划等。
版权声明:
本文系原创,风险管理体系框架的金字塔模型及其描述©和风险管理体系建设的整体工作框架及其描述©已登记版权。欢迎转载,请保留全文,并且注明出处或原文链接。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。