风险管理的定义
风险管理是指一种从企业整体发展视角,对组织所有风险进行识别、评估和应对的方法,通过对企业内外部各类风险的全面评估和综合管理,包括风险识别、风险评估、风险应对、风险监测等环节,旨在确保企业能够在不同风险下实现可持续发展,帮助企业实现目标,增强企业价值。可以说,风险管理协助企业解决“做正确的事”。
企业风险类型及风险应对策略
内部风险:战略风险、运营风险、财务风险 外部风险:政治风险、法律合规风险、社会文化风险、技术风险、市场风险 风险应对:风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制
风险管控的层级:合规-内控-风控-内审 合规:企业运营的基石 合规确保公司各项生产经营活动遵守相关法律法规和行业规范。合规涉及的面比较广泛,常见包括法律合规、财务合规、知识产权合规、数据隐私合规、安全环保合规等。只有合规经营,企业才能避免法律风险和声誉风险,赢得社会和客户的信任。合规管理解决的是“企业不做禁止的事,以及如何在合规框架内有效做事”,合规需要内部控制手段来实现。 内控:确保企业稳健运行的关键 内控的核心不但要求合规,还要考察“规”的状态(是否完善、是否有配套指引、执行过程是否完善),并在此基础上发展较完善的工具和方法(COSO框架),内控是抑制操作层面风险的最佳手段。内控主要从流程合规、反舞弊角度出发,“自下而上”地诊断招标采购、销售、资金等具体运营流程中的内部控制缺陷,并进行整改。内部控制侧重于过程控制,防范的是企业内部可能面临的各项风险,解决的是如何“正确的做事”。 内控主要采用例行审计、专项审计、合规检查等形式,主要使用穿行测试、控制测试等工具,诊断重点业务、重要流程的内部控制设计及运行缺陷。 风控:风险管控的“最高形式” 侧重于防范可能会损害企业经营目标的某一特定风险,这些风险可能来自于市场、信用、操作等方面,如订单客户授信风控评估。风控管理的核心必须把风险管理的职能提升到高级管理层,必须设立独立于业务部门的风险管理部门。风控主要围绕企业战略经营目标,“自上而下”地辨识、评估、分析风险,并提出风险预警防范和应急管理的策略和措施。 风控主要采用风险地图、流程数据分析、调查问卷、控制分析、专家评分等工具。随着企业信息化程度的逐渐提高,以数据分析为核心的量化风险分析、风险评估指标体系(如REI指数)等越来越受到重视。风控解决的是企业在某一具体领域要做“正确的事”。 内审:提升企业治理水平的关键环节 内审是指企业内部审计部门对企业运营、内部控制、风险管理和公司治理进行评估和评价的活动。内审范畴也比较广泛,包括财务和会计、运营和流程、风险管理和内部控制、合规性等方面。内审相比于内控、风控、以及合规管理,最大的特点是其独立性与客观性。可以说,内部审计是评价“事情做的是否正确、是否有效”。 合规、内控、风控、内审一体化之大风控 在现代企业管理中,合规、内控、风控和内审都是基于治理、监管等因素下的“产品”,并且在企业管理中扮演着至关重要的角色。它们相互依存、相互支持,共同构成了企业稳健发展的四大支柱,但由于风险管理存在横向无边,纵向千层的情况,在实操领域,这几个要素却是各有侧重。 风险管理、合规管理和内部控制均需与企业业务流程相融合,嵌入企业经营管理活动中。就一体化融合体系而言,不管是几位一体,这些融合要素基本都是在三道防线模型中,三道风险防线的共性特征就是底层逻辑都是围绕风险管理而展开,遵循风险识别、风险评价、风险管控、风险控制效果监督与评价的管理闭环。 风险识别是定性定量地对风险进行衡量,侧重的是“可能性”。因此,风险识别应该是最早的环节,从企业整体出发,评估风险状况,找到应对策略。这其中,又可分为不可控风险和可控风险。不可控风险通常通过风险转移、保险、风险接受等方式进行应对;可控的风险通常通过内部控制手段进行应对。所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。那内控执行的效果如何,就通过审计来检查。审计检查完后有一些问题发现,可能是最早风险评估环节就没考虑到的,那么审计发现问题又回过头来指导风险管理的完善。
内部控制是内部审计的根,为风险管理提供控制机制,为内部审计提供审计对象。其次,风险管理是内部审计的依据,通过分析管理过程中存在的问题及各项风险,确定风险所在地,为内部审计目标提供依据,减少确定审计目标和审计重点的时间,直接指明整个审计方向与审计重点。最后,内部审计通过确认和咨询来完善和优化风险管理和内部控制,对内部控制和风险管理提出更高的要求。