企业风险管理中风险事项识别问题探析.docVIP

企业风险管理中风险事项识别问题探析一、问题的提出 2004年9月美国COSO委员会发布的企业风险管理整合框架，其中很重要的一个变化是企业风险管理框架拓展了内部控制框架的风险评估要素，创造了四个构成要素――目标设定、事项识别、风险评估和风险应对，使原来内部控制中的五要素，拓展为企业风险管理的八要素，为什么要对此细化呢？笔者的理解是COSO试图让这个框架在风险评估这个环节更具体，更有指导性，体现了其和对风险评估要素的重视及强调，虽然它并不否定其他构成要素的重要性 我国内部控制基本规范中虽然还是提五要素，但在第三章“风险评估”中也借鉴了COSO的表述，包含了目标设定、事项识别、风险评估和风险应对四个方面的内容。关于风险识别，在第二十二条和第二十三条列示了企业内外部各种风险因素 按照COSO的定义，事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事项可能带来正面或负面的影响，或者两者兼而有之。在事项识别有过程中，管理层认识到不确定性的存在，但是并不知道一个事项是否会发生，或什么时候发生，或者它所带来的确切影响。事项有的很明显，有的很隐晦；所产生的影响有的微不足道，有的十分重大 笔者认为在企业风险管理构成要素中，事项识别是需要管理层重视的一个问题，也是风险管理工作中一个不好掌握的环节，它是风险评估的起点，与目标紧密相连。在实务工作中，这个要素怎样识别，由谁来确认事项，运用什么工作方法，怎么区别对待机会和威胁并启动不同的风险响应机制，是一个难题。事项、发生的可能性及对其的评估，“在实践中很困难，因为通常很难知道到底应该把底线画在哪儿。”管理层重视事项识别这个环节，并在实际工作中明确岗位职责，建立有效的工作机制，才能做到寓风险管理持续地流动于主体之内的要求 二、事项识别的主体 事项识别的主体是管理层。企业风险管理要求企业的每个员工都要对风险管理负有一定的责任，首席执行官负有首要和最终的责任，其他管理人员在各自的职责范围内依据风险容限去管理风险。风险官、财务官、内部审计师等通常负有关键的支持责任。企业其他人员按指引和规程去实施风险管理。在企业实际工作中，问题有三个，其一，不同的管理层自上而下认识和努力程度是否一致；其二，不同岗位的人员素质及能力水平是否符合要求；其三，缺乏专责机构，事项识别职责不明 首席执行官（CEO）负责建立企业风险管理的所有构成要素。CEO要领导和指引其他高级管理人员共同做好事项识别工作，要培养管理团队有共同的风险管理价值观、原则，要使风险管理理念和文化在企业广泛、深入地普及。只有上下认识一致，共同努力，风险识别工作才能做好 管理层的特定岗位的胜任能力水平是事项识别的重要制约因素。管理人员需要一定的知识与技能才能做好这项工作，人在认知风险事项时是有局限性的，尤其是复杂的经济和社会现象，人们往往认识不清，比如前两年源于美国次贷危机引发的全球金融危机，一开始，很少人认识到它的危害性、影响深度及广度。事项识别需要管理层敏锐的视角，勇于负责的态度，丰富的经验和明确对等的权责分配及监督 事项识别必须在管理层特定机构和特定岗位明确职责。责任到人，才不会导致由提倡“人人有责”变成“人人无责”，管理层要通过逐级授权，让不同的管理者分担与其分部、业务单元、子公司对应的风险管理责任。事项范围需要按一定的方法进行归类，事项识别漏项要有处罚制度，保证管理层内部权责明确，赏罚分明 我国企业可以结合自身实际情况，建立以总裁或CEO为首的风险管理委员会，下设具有跨部门、跨单元风险管理职责的专职或兼职的风险管理办公室，各部门、子公司、各单元的负责人为各自单位的风险管理责任人，在各部门、子公司、业务单元设专职风险管理岗位，内部审计部门对风险管理工作进行再监督，这样一种风险管理主体架构 三、事项识别的工作机制 企业要建立一定的工作机制来保证事项识别工作得到贯彻落实。除了CEO负有全面责任外，风险官、财务官、内审部门负有相对于其他管理层人员更重的事项识别职责，企业风险管理部门、财务部门、法律部门相对于其他部门有更多的风险管理责任，应明确其岗位职责。CEO要定期地约谈、督促相关岗位和部门的管理人员协助其做好这方面的工作。对于事项识别，管理层应建立报告制度，不同层级发现的事项，要按照一定的标准上报，企业要事先规定不同情形的事项如何处置。风险官、财务官、内审部门、风险管理专门机构，要有事项识别具体工作要求，对事项识别的周期、范围、时机、深度和广度做出规定，定期报告，对于特定的事项范围，明确由哪个管理角色来承担。要建立基层员工反映不寻常事项的顺畅渠道，鼓励和引导全体员工积极参与风险管理工作，建立奖励制度。运用科学的方法和有效的工作组织，事项识别工作才能做好 四、事项识别的难点 不同事项影响企业生