风险控制策略：结合风险评估与企业战略的有效措施

风险控制是指设计切实可行的风险控制活动,有效执行相应的风险应对策略。考虑到风险应对与风险控制在本质上存在相通之处,而且联系紧密,因此,本部分将风险应对与风险控制放在一起讨论,并统称为风险控制。

(一)各部门在风险控制中的职责

董事会的职责包括:对公司层面重大风险的应对方针、控制方针进行审批;对应对方案、控制方案进行督促和指导。

高管层的职责包括:制定公司层面重大风险的应对方针;审批各部门、分(子)公司提交的风险应对方案并提出修改意见;每年对公司重大风险应对方针的有效性进行回顾和更新;审批部门提交的针对重大风险的控制活动,包括相关制度与流程的修改与更新。

风险管理部门的职责包括:完善用于风险应对的方法和工具;就风险应对、风险控制向各级管理者进行培训;协调跨部门的风险研讨会;汇总经高管层批准的各部门、分(子)公司的风险应对方案、控制方案,并编制“公司剩余风险评估汇总表”;更新风险管控风险数据库。

公司其他职能部门和分、子公司的职责包括:组织本部门(分、子公司)的风险应对、风险控制研讨会;制定本部门(分、子公司)的风险应对策略、风险控制方案并提交给高管层;为应对策略、控制方案提供相应的资源支持;具体组织相应的风险控制活动;每年对风险应对和风险控制的有效性进行总结和改进。

(二)风险应对策略与风险控制措施

1．风险应对策略

风险应对策略包括六种:规避、降低、分散、转移、利用、接受。应对策略因主体和风险的不同而不同,不论采用哪一策略或组合策略,目的都是要把剩余风险降低到与希望的风险容限相协调的水平。

(1)风险规避:指退出给主体带来风险的活动。这是一种比较消极的策略,通常适用于危险性风险控制。风险规避包括彻底避免、改变条件、中途放弃三种情况。

(2)风险降低:指在损失发生前全面消除风险可能发生的根源,尽力减少风险发生的可能性或减少损失的程度,或二者同时降低。这种策略虽然不可能完全消除损失,但仍然不失为一种积极应对策略。该策略按照控制目的,可分为损失预防和损失抑制;按措施的执行程序,可分为事前、事中、事后控制。

(3)风险分散:指降低主体对特定事物或人的依赖程度。这也是一种积极策略,常见的分散方法有多元经营、多方筹资、多方投资、外汇资产多元化、吸引多方供应商、争取多方客户等。

(4)风险转移:指将风险转嫁给他人,以降低风险发生的可能性,降低损失的程度。与风险规避相比,风险转移是将风险转嫁到他人身上,而规避风险的结果是任何人都无须承担风险。风险转移的途径主要包括保险、控制型非保险转移(如外包、租赁、出售)、财务型非保险转移(如保证、再保证、证券化、股份化)三种形式。

(5)风险接受:指接受风险可能发生的影响及其后果。该策略允许少量风险存在,避免对风险的过多管理。风险接受并不是不采取任何措施去接受,而是在权衡成本收益后无意采取进一步的控制措施。因此,它并非一种无为的风险应对策略,而是一种积极的应对策略。

(6)风险利用:指把风险当作机遇,实现目标。它是一个非常积极的应对策略,也符合既要管控风险也要把握机会的先进理念。

2．风险控制措施(www.xing528.com)

风险控制是与风险应对联系在一起的,是风险应对策略的具体实施途径。确定了应对策略,企业就要据此采取具有针对性的措施来控制风险,确保将剩余风险控制在可接受水平之内。

风险控制措施复杂多样,可根据不同的目的进行分类。按照控制目标,可分为战略目标、经营目标、财务目标的风险控制;根据控制方式,可分为不相容职务分离、授权审批、会计系统、财产保护、预算、运营分析、绩效考评的风险控制;按照内部控制要素,可分为内部环境类、控制活动类、控制手段类风险控制。在实际工作中,人们习惯于将风险控制分为高层、中层、基层岗位控制,或者采用更简单的两分法——整体层面和活动层面。

在风险控制中有几点需要注意:

(1)风险控制活动要与风险应对策略整合。控制活动要以风险评估为基础,根据风险应对策略,采取具体的风险控制活动。

(2)风险控制活动要对降低风险与控制成本进行权衡。选择风险控制措施时,企业应综合考虑相关法规、发展战略、企业文化、人员素质等要求,尤其要特别关注成本和降低风险的潜在有效性,在二者之间寻求一个最佳平衡点。

(3)风险控制活动要将控制政策和程序贯穿于企业的所有层次和部门。COSO认为,控制活动存在于整个组织的所有层级和所有职能之中,有效的控制措施需要与企业的业务活动和管理流程相衔接。只有当风险识别、风险评估、风险控制与企业战略全面结合起来,风险控制才可能是有效的。

(4)风险控制活动要关注信息技术方法的应用。信息技术不受人为操纵,是较好的控制风险的技术。当然,对信息系统也要控制。必要时,信息系统控制应与人工实施的控制相结合,以确保信息的有效性、准确性和完整性。

在实践中,企业经常采用的控制方法有多种,比如召开讨论会,绘制矩阵图,编制控制清单,分离不相容职务,运用模板来记录控制政策,利用软件来记录控制活动等。

(三)风险控制信息汇总

在实施控制措施后,要不断开展日常和专项检查监督,各职能部门、分(子)公司也要进行自我检查,根据实际情况填写并上报自我评估报告。通过完善缺陷改进措施,不断提高企业风险应对能力,并将改进情况分析汇总,以完善风险信息库。下面是几个风险控制信息的模板,如表6-9、表6-10、表6-11所示。

表6-9 风险控制信息表

表6-10 风险管控缺陷改进实施方案表

表6-11 风险管控改进措施实施表