前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇审计风险识别方法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:风险管理 风险管理审计 评价
中图分类号:F239.6 文献标识码:A
文章编号:1004-4914(2014)02-117-02
一、引言
国资委2006年《中央企业全面风险管理指引》,极大地推动了风险管理工作在国内企业特别是在国有大中型企业的应用。风险管理属于新的管理活动,其理论在不断深化、方法在不断丰富,风险管理已成为组织治理必不可少的一部分。内部审计机构承担了风险管理职责,开展基础体系建设、业务风险管理等系列工作,以风险和内控为角度开展审计,发挥出对风险管理工作的监督、评价职能。为了确保风险管理的有效性,众多优秀企业已逐步开展风险管理审计,这一类型审计成为内部审计发展的一个亮点和趋势。
二、风险管理审计的基本概念、价值
我国内部审计工作正在从传统的财务账项审计向到现代管理审计转变,内部审计将更加贴近企业的各项管理,更加融入管理的过程之中。风险管理审计是内部审计的组成部分,是管理审计中新的审计类型。它是内审部门采用系统化、规范化的方法,对承担风险管理职责的部门所制定的应对程序、对策方案以及机制的合理性与有效性进行监督、评价和咨询,以改进企业对风险的管理、增进企业价值的一种审计类型。
风险管理审计的目标主要包括:范围的科学合理性;评价标准与指标体系的科学性;识别与评估的科学合理性;措施、方法与程序的合理性;风险应对的合理性等。与传统内部审计相比,风险管理审计的范围由内控审计扩展到所有风险管理技术审计,它更加注重确认和测试风险管理部门为降低风险而采取的措施及效果。
开展风险管理审计可以使组织利益相关者了解组织风险现状,保障各利益相关者共同利益最大化,也可以进一步提高风险应对方案效率、效果,提高内部审计工作的针对性,实现风险管理与组织整体经营战略的优化结合。
三、风险管理审计的主要内容
从风险管理审计的内涵可以看出风险管理审计的主要任务包括:检查、评价、报告风险管理过程的适当性和有效性,以提出改进风险管理工作的意见,为企业管理层、审计委员会的提供有用信息。
1.评价风险管理机制。良好的风险管理机制是风险管理是否有效的前提,因此,首先应审计、确定组织风险管理机制的健全性及有效性,包括但不限于组织体系、内控体系、报告体系和考核体系。(1)审计风险管理组织机构健全性。开展风险管理,做好组织和人员保障是一项重要内容。组织应根据自身实际特点,在统一领导、广泛参与下,搭建职责明确、有效运行的风险管理结构框架,包括风险管理责任人、专业和非专业管理人员、外部服务机构在内的组织体系。(2)审计风险管理程序的合理性。企业应当结合实际建立风险管理的程序流程,确保风险管理的有效性。(3)审计风险管理内控体系的健全性。内控体系在风险管理中占重要部分,属于核心内容。没有与组织管理实际相适应的、完整的内控体系,风险管理有效性无从谈起。审计人员需要审查被审计单位内控体系构建情况,可以《企业内部控制基本规范》为标准,考察对于各个要素的控制。(4)审查报告体系的存在性及运行有效性。考察日常报告体系及运行、突发风险报告体系及运行、预警报告体系及运行。(5)审查考核体系的执行性、有效性。考察考核体系覆盖程度及结果应用情况,评价考核体系是否能够有效推动风险管理工作。
2.审计评价风险识别的过程。审计人员在审计时应注意分析企业风险识别是否结合实际情况充分识别组织内外部所面临的各项风险。通常来看,应结合风险管理各项环境和内控要素,如就组织目标、经营情况、管理薄弱环节或问题等进行访谈、查阅资料、记录、历史案例,应了解风险识别过程中的相关记录材料并评价其充分性,必要时还应进行分析性复核,对企业经营管理活动与内部控制中所面临的缺陷进行分析、确认。(1)审计识别原则的合理性。风险识别是风险评估及进行应对的关键性第一步。只有采取合适的原则才能更充分地识别出各种风险因素。
(2)审计识别的充分性、全面性与否。风险管理审计需要评价相关风险资料是否涵盖了对组织各层次目标产生影响的所有内部、外部风险。内部风险主要来源于组织治理机构效能、管理的局限,业务控制失效、产品或服务销售策略、经营活动和业务特点、资产性质及其管理局限、人员知识结构、专业经验等方面。外部风险主要来源于国家法律法规政策变化、宏观经济环境变化、行业变化、竞争环境等方面。(3)审计识别方法的适当性。审计人员应对各种风险做系统地分析与归类,形成企业风险框架,并结合管理实际特点,对企业风险识别方法的适当性进行审查,评价该方法能否适当地识别出对各层目标有针对性的风险。
3.审计评价风险评估过程。风险评估是应用各种工具方法,定性或定量地估计风险发生的概率及其影响程度。审计人员应实施必要的审计程序,特别是要关注“风险发生概率”和“风险对企业目标产生的影响程度”两个要素确定的方法、记录、过程,并分析其合理性。(1)风险识别所反映的特征分析。不同企业所具有的风险具有一定的差异性,对风险评估过程进行评价,因不同的风险所应采取的评估方法不尽相同,审计人员应首先对企业风险识别结果所具有的特征进行了解,如哪些是内部原因所产生的,哪些是外部原因所产生的,哪些是与战略、核心业务、支撑性业务相关的风险,哪些是与企业价值链关系密切的风险。
审计人员在对风险评估方法审计时,应考虑风险特征来评价评估方法的适当性。如已识别风险可用定量方法评估风险的严重程度,审计人员需要判断描述风险事件影响的“数量”是否恰当;如无法定量表示,审计人员应判断管理层所定的“性质”是否合适合理。(2)历史资料的可信赖程度。企业(下转第119页)(上接第117页)管理层多数依据历史已发生的案例、风险事件为参照标准、参考对象进行风险评估,审计人员应考虑历史资料的充分性、可靠性,充分论证案例发生环境、各相关因素、结果发生条件等是否能够恰当地借鉴到当期的风险评估中。(3)判断企业开展风险评估的能力。开展风险评估的水平高低与企业管理层对风险评估方法的理解、运用有密切关系。审计人员应对企业管理层运用定量定性方法的能力、对所依靠的数量模型、信息技术、个人经历经验进行了解,考虑评估过程中企业管理层运用是否恰当。(4)对成本、效益进行权衡。管理层在运用定性或定量方法开展风险评估时应考虑评估方法成本、效益性。审计人员需要对管理层选用方法的成本效益性予以考量。
4.审计评价风险应对措施。审计人员在评价企业风险应对措施的适当、有效性时,应考虑以下方面:(1)剩余风险是否在可接受的范围。一般企业对固有风险具有相应的管控措施,风险应对措施应主要针对剩余风险。因此,审计人员应评价在采取应对措施后剩余风险能否在组织可接受范围内。如果已将风险降低到企业可接受的范围,可以确认风险应对措施有效。(2)是否结合企业的经营管理实际。每个企业风险应对措施会有所不同,这是基于企业管理实际状况而定。如果不适合自身特点,就不是恰当的应对措施。审计人员应考虑企业经营管理特点,对所采取措施的适当性做出评价。
四、风险管理审计程序和方法
1.在计划阶段,识别经营风险,制定风险管理审计计划。通过了解被审计单位的经营,识别经营风险。如了解企业性质、管理机制、业务内容、经营范围、组织结构、人员组成等,建立对企业框架性的认识;通过查阅企业文件、规章制度,了解各项管理要求;访谈各级领导、骨干员工等主要人员,全面了解风险管理现状;现场查阅各种经营生产过程原始记录,审计审核、批准等管理控制程序。初步确定风险管理薄弱环节,编制审计工作计划。
2.在实施阶段,审查、评价风险管理状况。在实施阶段,围绕风险管理审计的主要内容,审查和评价风险管理状况,包括风险管理机制、风险识别过程、风险评估以及风险应对措施的审查和评价四个方面。
3.在审计报告阶段,出具风险管理审计报告,开展后续审计。按照审计过程中发现情况,依据《风险管理审计准则》出具风险管理审查和评价报告、或者出具详尽的专项审计报告,将风险管理审计的范围、内容、方式、时间以及发现的主要问题及建议报告给适当的管理层。
由于多数企业风险管理职能由内审部门承担,因此审计人员的审查评价结果可作为改进和完善风险管理工作的一项重要依据。为保证、监督风险管理审计提出的合理化建议能够得到有效落实,内审人员可以通过后续审计来复查管理层是否就报告中的建议采取合适的行动,是否取得预期效果,如果未采取行动,需要明确相应责任和原因。
4.审计过程中常用的方法。在风险管理审计不同任务阶段,可采用的审计方法有所不同。如,在制定审计计划时,可通过流程图法和文字表述法、问卷调查法(编制风险管理问卷调查表)、关键路线法确定风险管理审计开展的重点;在审查评价风险识别时,可采用决策分析、可行性分析、生产流程分析、投入产出分析、资产负债分析、排列图、因果分析、因素分解、经济活动分析法和统计分析法、鱼刺图、专家调查列举法等;在衡量风险管理措施时可使用专家调查法、风险报酬法、风险当量法、蒙特卡罗模拟方法;在后续审计阶段,可以通过座谈、查阅有关资料、现场观察等进行审计。
五、结语
风险管理审计处于发展探索阶段,很多企业还没有形成常规性审计类型,甚至尚未开展。当然,风险管理审计发展还面临很多问题。如组织结构及制度不健全,管理层对风险管理审计重要性认识不足,尚未建立科学合理的风险管理评价标准,开展风险管理审计的人员业务结构和经验等条件无法满足风险管理审计需要。
随着组织内外环境变化日益加快,风险管理工作逐渐提升到重要层面是一个重要趋势。作为风险管理的再管理,风险管理审计的广泛开展需要强化风险管理工作,制定切合实际的风险管理评价标准,明确审计部门开展风险管理审计的重要作用,提高审计人员胜任力,培养高素质审计人才,将风险管理审计常态化。
参考文献:
[1] 高东坡.内部审计如何参与企业的风险管理.商场现代化,2007(9)
[2] 靳建堂.风险管理审计初探.现代企业风险管理论文汇编,2005
[3] 李晓光.浅议企业风险管理审计.经济师,2011(5)
[4] 钱光明,陈德艳.论我国企业风险管理审计.商业会计,2011(33)
[5] 万文钢.对风险管理及风险管理审计的认识和理解.中国内部审计,2010(9)
[6] 汪振纲.风险管理审计理论述评.风险与内控,2010(2)
[7] 夏丹宁.推进风险管理审计的思路.中国内部审计,2004(12)
[8] 谢浩,尹珍丽.风险管理审计常用方法解析.时代经贸,2010(10)
[9] 朱奇云.关于风险管理审计在我国运用的思考.中国市场,2008(48)
关键词:内部审计;风险管理框架;应用
中图分类号:F239 文献标识码:A 文章编号:1672-3198(2009)03-0237-02
1 引言
2004年美国反虚假财务报告委员会(COSO)颁布了《企业风险管理――总体框架》中,企业风险管理的定义是,由董事会和管理层在制定战略及在整个企业中实施的、用于识别可能影响组织的潜在事件并根据风险偏好管理风险,为组织实现目标提供合理保证的过程。它强调企业风险管理和内部控制体系整合,使二者共同成为公司治理的强大工具。内部控制体系中核心环节之一的内部审计承担了监督、评价、检查、报告和改进等任务,是企业风险管理不可或缺的组成部分。
2004年国际内部审计师协会(IIA)内部审计的定义将风险管理和内部控制、公司治理列为内部审计的工作对象,明确要求内部审计参与风险管理和公司治理过程, IIA《标准》确定了风险审计的方向。
2 风险管理框架下风险导向审计的应用前提
在风险管理框架下,要发挥风险导向审计的作用,必须以风险管理为基础,改变审计思路,改进审计流程和方法。
2.1 以风险管理框架为理论框架
COSO提出的ERM框架首先增加了战略目标,将企业风险的关注点引向战略问题;其次,在内部控制五要素(内控环境、风险评估、内控活动、信息与沟通、监督)的基础上增加了目标设定、事件识别和风险评估三个要素,与原来的风险评估要素构成了一个完整的风险管理过程;最后,还强调风险管理覆盖所有层次,包括业务单元、子公司、分支机构和公司的整体层次等内部控制的全部领域。可见,ERM是一个整合公司治理和内部控制的框架,它关注包括公司治理领域和内部控制环节的一切风险。
IIA通过修改内部审计定义加速了它的发展并使其成为现代内部审计发展的趋势。它是传统审计的发展,赋予为企业的风险管理提供保证的重要任务,因此,应该让内部审计和风险管理框架直接联系,实现协同效应。IIA《标准》对风险审计的规范和指导,极力倡导内部审计在企业风险管理框架中发挥不可替代的重要作用,即内部审计要在风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。
2.2 以风险管理目标为审计过程的行动指引
全球化、技术更新、资本重组、变化的市场、竞争和管制等因素使企业经营面临着很多不确定性,现代企业管理的战略目标是增加企业价值,同时承受相应的风险。不确定性是对价值的破坏或增进,风险与机会并存,管理层把机会反馈到战略或目标制订过程中,以便把握住适合的机会。
COSO对企业风险管理定下四大目标:战略目标――高层次目标,与使命相关联并支撑其使命;经营目标――有效和高效率地利用其资源;报告目标――报告的可靠性;合规目标――符合适用的法律和法规。在这些目标指引下,风险管理过程就是要合理保证管理层及时了解企业实现目标的程度。依据IIA对内部审计的定义,风险导向审计的总目标是对企业所面临的风险进行管理,对内部控制和治理过程进行评估,将评估的结果反馈给管理层,从而帮助企业实现目标。其目标基本一致。
COSO风险管理框架扩展了风险管理的广度和深度,提高了企业管理层控制风险的地位,也提高了风险评估在企业经营中的地位,企业目标分为经营效果和效率、财务报告可靠性和法律法规的遵守程度,内部控制目标提升到企业战略的层次。风险导向审计对企业风险的监控是指对风险管理要素的内容和运行及一段时期内执行质量的评估,要求在企业风险控制监督过程中取得实效,广泛收集有关经营决策和风险状况的信息,评估各个待审计项目的风险,进而确定审计风险控制策略。风险导向审计的焦点体现在分析、确认和解释关键性的经营风险,使审计和企业风险管理策略紧密联系。
2.3 采用新型的审计思路
传统的内部审计沿袭“自下而上”、“由点到面”的审计思路,风险导向审计则要求审计人员对企业的战略管理进行分析,对企业风险做出合理的专业判断,运用“自上而下”的思路,确定审计的范围、重点、审计目标和相关审计程序,通过实质性测试的结果,结合重要性判断来判断整个企业的风险并最终形成审计意见。
2.4 以企业战略为审计起点
企业经营战略指导企业未来的发展方向,内部审计要把握好企业战略和长远规划,才能充分发挥其服务职能,从战略分析入手,按照“战略分析――经营环节分析――剩余风险分析”的思路展开风险分析, 确定实质性审计程序的性质、时间和范围。它使得审计人员从战略系统观角度对企业保持和加强风险管理体系的竞争优势进行分析评价,指导审计重点、范围、目标和程序,从系统上改进了审计方法,以适应新经济环境的要求。
2.5 以风险识别为审计主线
风险导向审计以风险识别为起点,通过事前分析评估,提出应对风险的方案并辅之事后总结,完善风险管理制度,并检查风险控制的有效性,及时揭示和报告潜在风险,提出防范措施和改进建议。
所谓风险识别是指在风险发生前,运用各种方法系统地、连续地发现风险的过程,了解企业存在的各种风险因素及其可能带来的后果,将风险识别运用到审计中,审计人员可以针对不同的风险程度采取不同的实质性测试程序和相应的风险控制措施。风险识别方法有很多,如环境分析法、财务报表法、流程图法、情景分析法、决策分析法、动态分析法、头脑风暴法等,多种方法可在风险识别过程中结合运用。
2.6 以风险评估为控制手段
在风险管理框架下,内部审计的一个重要职能是协助建立和完善企业风险管理制度,对执行情况的有效性进行检查,及时揭示和报告潜在风险,提出防范措施和改进意见,因此风险评估是风险导向审计的重要手段。它有利于帮我们确定合理的审计程序,揭示被审计单位财务、经营等方面风险,并重点考虑形成这些财务数据的业务经营及其他影响因素等方面,搜集充分、适当的审计证据。非财务因素如企业的战略优势在哪里,未来发展前景如何,管理方式与经营理念是否合理,主要竞争对手是谁,重要客户是谁,人力资源素质怎么样,面临的法律监管环境如何及内部控制制度等。
风险评估的核心是分析性复核的运用。所谓分析性复核,就是以财务资料与非财务资料之间的表面关系或可预测的关系,评估财务信息的合理性,分析被审计单位的重要比率,包括这些比率异动及与预期数的差异,目的是评价业务的总体合理性。在多元因素评估过程中,还要将现代管理方法运用到分析性程序中去,使风险因素不再独立,常用的分析方法有:战略分析、绩效分析、财务分析、会计分析及前景分析等。
3 风险管理框架下内部风险导向审计的应用过程
风险管理是一个动态过程,风险管理框架下的内部审计也是一个动态过程,且贯穿于企业管理全过程。
3.1 理解风险管理是一个动态过程
COSO对风险管理的定义是“风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证” 。从定义可以看出,风险管理渗透于企业经营活动全过程且反复相互影响,风险管理机制的运作是一个动态管理的过程,与经营管理活动交互存在。我们看到,风险和机会有时会互换,也是动态过程,如果把握不好,机会将变为风险,如果控制及时,风险也会转化为机会。风险管理就是帮助管理层有效处理不确定性,规避风险、把握机会,提高企业创造价值的能力,这也决定了风险管理是个动态过程。
风险管理要素由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等八个相互关联的要素构成。这些要素来源于企业经营方式,各个要素之间相互影响、互相作用。例如,风险评估促进风险应对,并影响控制活动,突出信息和沟通的重要性。因此,风险管理是多方向且反复的过程,不同要素之间相互影响。
3.2 风险导向审计贯穿于企业管理全过程
风险导向审计最终目的是为了完善公司治理,协助管理层应对风险、把握机遇,提升企业价值。它以风险为出发点,由传统的事后评价变为全过程的动态反应,为管理层提供及时有用的信息,为公司治理相关措施的有用性给予反馈,并提出建议。所以,风险导向审计是将各项管理经营活动整合成一个完整、相互约束和自我改善的体系。它运用立体观察的理论来判断影响企业经营风险的各种因素,从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来评估企业的风险水平,把经营风险植入到本身的风险评价中去,并贯穿于内部审计的全过程。
我国学者黄园园提出,企业管理活动可以划分为战略管理、管理控制和作业活动三个层面,风险导向审计贯穿于企业管理的全过程,内部审计通过作业活动层面的风险导向审计和自我控制评价了解企业风险状况和管理薄弱环节,进而向战略管理层或管理控制层提出管理建议,在战略层做出决策后向管理控制层或作业活动层提供管理咨询,并在获得授权的情况下协调作业活动层的改进工作。
3.3 风险导向审计在不同风险管理水平的作用过程
风险导向内部审计与传统内部审计的区别在于其遵循的逻辑顺序是“目标风险控制”,同时根据企业风险评估调整审计战略,确定审计重点,紧密关注高风险的领域,以提供更相关、更符合管理层和董事会需求的确证信息。
在不同风险管理水平下,风险导向审计所发挥的作用不同(如表1)。在风险暴露阶段,内部审计建立在审计风险评估的基础上,采用风险管理方法;在风险察觉阶段,内部审计建立在审计风险评估基础上,协助建立企业范围的风险管理方法;在风险确认阶段,内部审计使用管理层的风险评估结果,促进风险管理的战略和政策的实施;在风险管理阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计;在风险管理融合阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计。
当然,在不同风险阶段,企业风险管理水平是不断发展和变化的,在这种逻辑思路下,风险导向审计模式应根据不同的风险水平不断调整审计目标和重点,发挥不同的职能作用。
4 结论与建议
4.1 结论
在风险管理框架下风险导向审计的功能得到有效拓展,在促进风险管理、内部控制和公司治理方面都发挥了重要作用,成为企业风险管理体系的重要组成部分。因此,风险导向审计贯穿于企业管理全过程,必须突破传统观念,以企业风险管理框架为理论依据,改进审计流程和方法,与风险管理机制相融合,其审计模式在不同风险管理水平下应随之相应调整。
4.2 建议
我国内部审计起步较晚,无论在理论研究还是实际应用,与西方内部审计存在较大差距。随着我国市场经济体制逐步完善和世界经济一体化,我国企业与西方企业面临着同样经营环境和风险,内部审计作为企业风险管理体系的重要环节,必将面临严峻的挑战。我们可以从以下三方面着手准备,为全面推广风险导向审计提供基础。
今年的经济形势号称“近十年来最严峻”,在这样的经济环境下,企业管理者越来越认识到风险管理的重要性,纷纷咨询专业的咨询公司,寻求风险管理解决方案。然而,很多咨询公司和企业管理者并未深入理解集团公司与单体公司的风险管理区别,所设计的方案与单体公司大同小异,这样是很难解决集团公司特有的风险管理难题的。本文将为您浅析集团公司特有的风险管理难点及解决方案。
一、集团公司特有的风险管理七大难点
集团公司与单体公司在经营管理上有着巨大的区别,其风险管理比单体公司要复杂得多,其难点主要表现在以下方面:
1. 跨层次治理带来风险管理的巨大挑战
集团治理结构极其复杂,集团有集团的董事会和监事会,子公司作为独立法人,有子公司的董事会和监事会,母公司对整个集团的管理必须要通过层层的委托传导,委托关系越长,就有越多的成本,风险也就容易被相应地放大。
2. 容易出现总部空心化风险
在中国存在一种怪现象,就是子公司的牛人不愿意到总部工作,因为总部的薪酬体系不够合理,没有一个老总敢拍着自己胸脯保证总部的人比子公司相应岗位上的人拿的工资高。为什么?子公司的人在相应岗位上,哪怕表面上拿的工资低,最后的职务消费综合下来就可能会比总部高,这就出现一个悖论,优秀的人在子公司干得有声有色,但是,把他提拔到母公司后,他的业务线条、社会关系和专业能力断带了,怎么去补偿他是一个问题。很多集团公司里都没有相应的补偿(在风险管理中称为风险补偿机制),这样就导致母公司有能力的人往子公司跑,实在跑不下去就辞职,最后剩下一些兢兢业业、能力超强的高管层和能力有待培养的中层组成的一个母公司或者总部。总部的空心化将导致总部能力的缺失,为集团管控之大弊。
3. 母子公司间、子公司之间的利益博弈,导致集团无法协同
这主要表现为以下三种情况:
其一,由于母公司当初对子公司的扶持和管理不到位,子公司必须自己去开辟江山。子公司自己打客户,自己做市场,自己来搞运作,自己搞关系,母公司对子公司的发展作用不大,在这种情况下,子公司天然与母公司的情感交流少了,母公司就沦为了一个简单的出资人。
其二,在子公司小的时候不去管控,觉得小的时候不用管控,等慢慢大了,诸侯化了,母公司再想把管控线条搭下去,就会非常的困难。子公司也知道,一旦把线条拉下来,可能把一些内部利益破坏掉,而母公司也不注意方法,老是大张旗鼓喊,要把采购集中起来,营销集中起来,所有财务资源集中起来,使得子公司非常害怕,甚至抵触。
其三,各子公司都伸手向母公司要资源,但母公司的发展是有取舍的,难免会厚此薄彼,这就造成了几个子公司之间争夺资源和母子公司之间相互博弈的格局。这样的格局发展下去,会造成子公司间的内部资源竞争,甚至反目成仇,而母公司难以协调。
4. 环节多、速度慢造成的信息传递风险和决策风险
相对单体公司而言,集团公司层级多,部门多,这样导致信息的传递和决策速度更慢,信息传递的准确度更低,多部门、多子公司构成不同的利益团体的可能性也会更大,相互博弈造成协调成本增加的风险也会加大,这一系列风险又有交叉放大的可能性。
5. 协同陷阱
集团公司很多时候不能从过去的收购或重组中取得协同效益,于是不得不进行业务剥离。仔细分析协同失败的原因,有些时候完全是因为经理们盲目地追求其实并不存在的协同效益而造成的。他们试图把根本不是竞争优势来源的业务或技能联接起来或是实现共享,错误的分析判断或低劣的实施手段是导致失败的主要原因。某些情况,尽管潜在的协同效益是显而易见的,甚至公司上下也都对此形成了共识,但是这些协同效益似乎是可望而不可及的,公司总是无法真正地实现它们,这就是所谓的协同陷阱。
6. 产业组合和外部环境导致风险复杂化
集团公司大多都是跨行业经营,经营的行业经验不会完全相同,甚至会完全不同,这将导致面对的外部环境更复杂,对环境的控制能力会更弱。同时,因为母公司需要在既定的资源条件下经营更多的业务,往往会面临资源在每个特定的业务被摊薄的风险。
7. 风险在集团内部交叉传递和叠加放大带来的新风险管理要求
集团管控体系实施后,因为集团公司内部的联通性,风险就有联通和放大的危险。故而对实施管控的集团来说,风险管理尤为复杂,风险在集团内部交叉传递和叠加放大带来的新风险管理要求,需要进行以母公司为主导的涵盖集团总部及子公司的跨层级风控体系运作,同时要求母公司派出足够的专业人员来牵头进行该体系的建设、运作与监督。
二、集团公司风险管理要点
随着企业规模的扩大,企业所面临的风险也将必然变大。很多集团公司建立了风控体系但运作不起来,或者重大风险事件仍然无法避免,其重要原因之一就是对上述问题的认识不足,没有将集团管控融入到风控体系中,往往造成企业管控基础不足,从而无法高效运转风控体系。
1.正确认识集团公司的风险特点。
很多企业认为集团公司的风险就是总部的风险加上各子公司风险的总和,这是大错特错的。子公司风险传导到集团层面,常常会交叉放大。比如说,一个集团公司的战略并非各个子公司战略总和,所以集团战略风险也并非简单的各个子公司战略风险总和;再比如,产业链运作的集团公司,各个子公司负责产业链中的不同模块,一个子公司发生了重大风险事件,影响的远不止它本身,还会影响整个产业链,这个风险传导到集团总部,可能导致整个集团的产业链运作瘫痪。
2.明确集团管控在风控体系中的重要性。
鉴于集团公司的风险管理难点,只有在风控体系建设和运作中融合集团管控思想,才能实现集团层面、总部层面、子单元层面风控体系的融合及联动管理,以集团管控体系为基础,强化集团公司由上至下的风险管理能力。
3.正确把握集团管控与风控体系的融合要点。
其一,在风险管理组织中融合。风险管理组织常见的有三道防线,但这是只对公司自身的防线,融入集团管控思想后,可以建立纵向风险管理组织,形成人力资源风险管理条线、财务风险管理条线、资产风险管理条线、生产风险管理条线、营销风险管理、审计风险管理、信息风险管理条线等多个纵向风险管理条线,然后,针对不同风险管理条线界定清晰的权责利关系以及风险监控、报告重点,真正将子公司的风险纳入到整个集团的风控体系。
其二,在风险识别与评估中融合。我们常用的风险识别方法有内外部风险识别法和五大类风险识别法,这对于集团公司是不够的,必须以集团管控视角,识别企业是否存在战略管控风险、人力资源管控风险、财务管控风险、资产管控风险、生产管控风险、营销管控风险、审计管控风险、信息管控风险等,对于这些风险需要进行专项的风险评估。
其三,在预警管理中融合。预警管理是风控体系中最重要的内容之一,在设计预警指标时,不能只考虑集团总部自身的预警指标,还必须设计总部对子公司的监控指标,指标值的预警强度直接反映了总部对不同子公司的管控深度及宽度。
其四,在风险管理制度及流程中融合。风控体系的运作需要建设一套风险管理制度及相应流程,那么在设计风险管理制度及流程中需要明确总部对子公司的风险管理权责及事项,监管要求及重点,工作内容及具体事项等,并体现在相关流程中,例如风险评估流程、风险预警流程、风险应对流程、风险管理报告流程、缺陷整改流程、风险管理考核流程等。