企业风险控制和管理.从英国巴林银行、美国安然公司、世通公司到雷曼兄弟等国际知名公司相继暴露出严重的财务失败事件,加强公司治理、内部控制和风险管理的呼声愈来愈高。在我国,风险管理是企业管理中一个相对薄弱的环节,风险意识不强、风险管理工作薄弱,是企业发生重大风险事件的重要原因。2006年6月,国资委制定并发布了《中央企业全面风险管理指引》,对于建立健全风险管理长效机制,推动风险管理工作具有一定的意义。2008年6月财政部发布企业内部控制基本规范,强调企业应当建立实施风险评估程序。然而,在我国企业内部控制与风险管理,尚存在许多问题,在工作实践中,就内部控制与风险管理的关系,多种观点并存。有的认为风险管理包括内部控制,有的认为内部控制包括风险管理,还有的认为内部控制就是风险管理。笔者认为,风险管理与内部控制是两个不同的概念范畴,在企业管理中,二者同时存在并相互依存,存在着必然的内在联系,而不是相互包含的关系,更不是简单等同关系。什么是内部控制和风险管理企业内部控制是以专业管理制度为基础,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。风险管理又名危机管理,是指生产过程中,风险管理部门对可能遇到的各种风险因素进行识别、分析、评估,以最低成本实现最大的安全保障的过程(风险管理是一个过程,由风险的识别、量化、评价、控制、监督等过程组成)。内部控制与风险管理的不同内部控制与风险管理的主要区别在于,目的不同、目标不同、作用不同和发挥作用的环境不同。第一、风险管理的目的是要及时地发现风险、预测风险以及防止风险可能造成的不良影响,并设法把这种不良影响控制在最低的程度上。而内部控制是企业内部采取的风险管理流程规范,仅仅是管理的一项职能,只是对目标的制定过程进行评价,主要是通过事后和过程的控制来实现其自身的目标。第二、风险管理工作,注重防范和控制风险可能给企业造成损失和危害,同时把机会风险视为企业的特殊资源,通过对其管理,为企业创造价值,促进经营目标的实现。而内部控制则是以专业管理制度为基础,实施的遵循性控制活动,它无法防范管理层非理性风险和凌驾于管理制度以上的决策风险。第三、企业开展全面风险管理工作是与其他管理工作紧密结合,在综合考虑内部环境和外部环境的情况下,把风险管理的要求融入企业管理和业务流程中。而内部控制则是在内部环境下,根据国家有关法律法规和企业章程,建立的公司治理结构和议事规则。风险管理是以应有的风险意识开展企业管理的各项工作,内部控制是开展各项工作应遵循的操作规范。第四、全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内部控制与风险管理的内在联系从内部控制和风险管理的结构说,风险管理与内部控制的组成要素有五个方面是重合的,即控制环境、风险评估、控制活动、信息与沟通、监督。两者存在着不可分离的内在联系。第一、内部控制的最重要目的之一就是防范风险,没有风险防范这一既重要又明确的目的,内部控制的存在就大打折扣,至少发挥作用的空间会受到极大的限制。第二、风险分为内部风险和外部风险,企业的内部风险普遍存在于生产经营的各个环节,如何识别、评估、分析风险,实施风险解决方案,必须采取一定的措施,风险信息的取得是实施风险管理的前提,收集不到风险信息,风险管理就无从谈起。而内部控制是通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。内部控制这种嵌入式的工作方式,恰好为风险信息的收集提供了极大的方便,可见内部控制是作为风险管理的一种重要手段而存在的。第三、风险管理是指生产过程中,风险管理部门对可能遇到的各种风险因素进行识别、分析、评估,以最低成本实现最大的安全保障的过程。从其过程看,风险得到控制是其最终目的,这恰是内部控制的最基本的作用所在。可见实施风险管理离不开内部控制这一强有力的工具。第四、无论是内部控制还是风险管理,是一个全员全程参与的过程,实施内部控制和参与风险管理的主体是一致的,过程是一致的,它们的最终目的也是一致的。当我们在管理风险时,也正在实施控制,笔者认为这是一个协调统一的机制。如何开展内部控制和风险管理工作如何实施内部控制进行有效的风险管理,是摆在我们面前的首要任务。第一、要创造良好的控制环境,注重建立具有风险意识的企业文化。在企业风险管理过程中,每一位员工要树立“风险无处不在”的理念,应当知道个人职责对公司风险有怎样的影响,以及在公司内部的作用和责任与他人有怎样的关系,这是企业风险管理的一个重要方面,也是充分有效开展风险管理工作进行的前提。第二、要有强烈的风险意识和内控责任。风险管理的起点是风险识别,是进行有效风险管理的基础和关键。我们有责任对企业面临的各种风险进行识别,然后将风险进行分类,并追溯导致风险产生的各种因素。在全面风险管理框架下,风险识别的目标,就是要广泛、持续地收集与本企业风险和风险管理相关的内部、外部初始信息,发现企业面临的各种风险。第三、要充分利用内控规范并使其得到不断地优化。内控规范是根据管理制度和操作流程,征求相关责任岗位意见的基础上制定的,使用内控规范是责任岗位执行人的本分,严格执行内控规范,使每项业务得到恰当处理,这样既提高了工作效率,又合理保障了企业整体目标的实现。笔者认为,内部控制与风险管理是体制与机制的关系,仅有内部控制这个体制,而无风险管理的意识,则内控管理就是空架子,缺乏灵魂。有了风险管理意识,而无内部控制框架,则风险管理就失去了科学的管理手段,也易形成风险管理目标的缺失。中央企业全面风险管理指引第一章总则第一条为指导国务院国有资产监督管理委员会(以下简称国资委)履行出资人职责的企业(以下简称中央企业)开展全面风险管理工作,增强企业竞争力,提高投资回报,促进企业持续、健康、稳定发展,根据《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,制定本指引。第二条中央企业根据自身实际情况贯彻执行本指引。中央企业中的国有独资公司董事会负责督导本指引的实施;国有控股企业由国资委和国资委提名的董事通过股东(大)会和董事会按照法定程序负责督导本指引的实施。第三条本指引所称企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。第四条本指引所称全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。第五条本指引所称风险管理基本流程包括以下主要工作:(一)收集风险管理初始信息;(二)进行风险评估;(三)制定风险管理策略;(四)提出和实施风险管理解决方案;(五)风险管理的监督与改进。第六条本指引所称内部控制系统,指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。第七条企业开展全面风险管理要努力实现以下风险管理总体目标:(一)确保将风险控制在与总体目标相适应并可承受的范围内;(二)确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;(三)确保遵守有关法律法规;(四)确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;(五)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。第八条企业开展全面风险管理工作,应注重防范和控制风险可能给企业造成损失和危害,也应把机会风险视为企业的特殊资源,通过对其管理,为企业创造价值,促进经营目标的实现。第九条企业应本着从实际出发,务求实效的原则,以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点,积极开展全面风险管理工作。具备条件的企业应全面推进,尽快建立全面风险管理体系;其他企业应制定开展全面风险管理的总体规划,分步实施,可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作,建立单项或多项内部控制子系统。通过积累经验,培养人才,逐步建立健全全面风险管理体系。第十条企业开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。第二章风险管理初始信息第十一条实施全面风险管理,企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。第十二条在战略风险方面,企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例,并至少收集与本企业相关的以下重要信息:(一)国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策;(二)科技进步、技术创新的有关内容;(三)市场对本企业产品或服务的需求;(四)与企业战略合作伙伴的关系,未来寻求战略合作伙伴的可能性;(五)本企业主要客户、供应商及竞争对手的有关情况;(六)与主要竞争对手相比,本企业实力与差距;(七)本企业发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据;(八)本企业对外投融资流程中曾发生或易发生错误的业务流程或环节。第十三条在财务风险方面,企业应广泛收集国内外企业财务风险失控导致危机的案例,并至少收集本企业的以下重要信息(其中有行业平均指标或先进指标的,也应尽可能收集):(一)负债、或有负债、负债率、偿债能力;(二)现金流、应收账款及其占销售收入的比重、资金周转率;(三)产品存货及其占销售成本的比重、应付账款及其占购货额的比重;(四)制造成本和管理费用、财务费用、营业费用;(五)盈利能力;(六)成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节;(七)与本企业相关的行业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。第十四条在市场风险方面,企业应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与本企业相关的以下重要信息:(一)产品或服务的价格及供需变化;(二)能源、原材料、配件等物资供应的充足性、稳定性和价格变化;(三)主要客户、主要供应商的信用情况;(四)税收政策和利率、汇率、股票价格指数的变化;(五)潜在竞争者、竞争者及其主要产品、替代品情况。第十五条在运营风险方面,企业应至少收集与本企业、本行业相关的以下信息:(一)产品结构、新产品研发;(二)新市场开发,市场营销策略,包括产品或服务定价与销售渠道,市场营销环境状况等;(三)企业组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;(四)期货等衍生产品业务中曾发生或易发生失误的流程和环节;(五)质量、安全、环保、信息安全等管理