(一)构建全面风险管理文化理念与组织体系
ERM框架指出,内部环境是内部控制所赖以存在和运行的基础架构,可以影响风险管理体系的建立和实施,而且其他要素也都要以内部环境为基础,所以内部环境的优劣直接影响到内部控制的实施效率和效果。内部环境所涉范围非常广泛,不仅涉及到整个风险管理框架的构建过程,甚至涵盖到员工每天的工作方式和态度。企业对内部环境的管理通常是通过制定一系列有关促进共同价值观和团队精神的政策和程序来进行,并以书面形式的企业文化手册的方式来表达。内部环境受企业历史和文化的影响较深,具体而言,其主要控制点包括主体的企业文化、风险容量、董事会监督、组织道德价值观等,所以跨国公司总体层面需要从企业文化和组织体系这两个方面构建优良的内部环境。
(二)渗透风险管理理念
收益和风险的相互匹配决定了企业在日常运营、扩充业务种类、海外收购等提升股东价值的过程中都不可避免地面临不确定性,但风险具有双重性,既包含形成损失的可能性,也是收益形成的来源。风险管理并不是简单地考虑如何去避免风险,而是以更积极的态度去经营风险。风险偏好能够体现管理层对风险的态度,比如愿意承担哪种风险、最多能够承担多少风险、如何承担风险、对每份盈利愿意承担多少风险等。在确定了风险偏好的基础上,要对其量化以构建一套包含关键控制点的风险容量指标体系,如表1所示:同时,要强化员工的风险意识,将风险绩效指标纳入个人目标中以构建“风险管理责任制”。风险管理不仅是涉及到事前、事中、事后全过程的体系,也是公司高层、中层与基层全员协作参与的过程。如果每个员工都能够居安思危危,保持高度的危机感,并为风险和机遇的到来做好准备,就能够促使企业更有效地运转。
(三)建立基于事项的风险管理程序
在营造了良好的内部环境并设定了系统的公司目标体系后,公司需要针对具体的风险点设定相应的控制策略进行管理,这就涉及到对具体事项的识别、对风险影响程度的评估及对风险应对措施的制定这三方面的活动,见图2。与之前的内部控制整体框架相比,ERM框架特别强调了要基于会影响组织目标实现的潜在事项来识别风险和机会,并认为对于有负面影响的事项应加以评估并制定相应的应对措施,而对于会带来有正面影响的机会事项,管理者可以将其反馈到战略和目标设定过程中。定义的事项分为两个类别,一是经济状况、自然环境、商业环境、时事政治、社会状态及技术变革等外部环境,二是生产基础设施、人力资源、业务流程及技术采用等内部环境,表2对内外部影响事项进行了列举。在风险管理程序中贯彻事项思想可以帮助公司回归风险事件的本源,从而能够更清晰地描述风险及其对经营业务活动的影响,并据此对事项发生的性质和可能性进行预测。依据事项思想,企业对具体风险的认识起源于事项的识别,因此企业需要建立一个完善的识别机制。具体而言包括外部环境的识别、内部环境的识别和事项类型的划分。对于外部环境,企业可以根据自身所涉及的业务活动、产品或服务的特点、所在行业等来辨识可能会影响目标实现的外部因素,尤其需要关注市场趋势及经济动向对公司经营的影响。对于内部环境,公司应首先对其业务循环进行划分,然后详细分析现有的价值链流程以了解实物流、资金流及信息流情况,并在此基础上提取出影响所设目标实现的关键事项。最后还需要对识别出的内外部事项进行类型划分,即区分为对目标实现有负向消极作用的事项和有正向积极作用的事项。企业内外部影响事项如表2所示识别风险和机会事件后,跨国经营企业需要选取具有代表性的风险程度指标构建一个全面的风险评估体系以衡量风险发生的可能性和重要性。风险程度指标应尽可能合理地定量化,而对于无法量化的指标可以考虑采用标杆分析法、Delplli法或者分级描述法以科学地判定其对于既定目标的影响程度。随后,在了解了相关风险和机会的影响程度和发生可能性的基础上,跨国公司应针对具体的评估结果采取应对措施。对于经常发生而且影响程度很大不确定性事件:会造成负向影响的风险要减轻并加以控制,建立灵敏的检测系统和对冲措施;会造成正向影响的机遇则要加以利用并拓展,结合自身优势适时把握机会。对于影响程度高可能性低又难以控制的偶发性事项:对消极性风险则可以考虑用分担的方式把风险转移到组织以外;对积极性机会则应加以收集并做好具有针对性的前期准备以保证不会错失良机。应对经常发生但影响程度低的不确定事件:有反向影响的风险要严格加以控制,降低其发生的可能性;有正向影响的机遇则应择机利用,提高其发生的可能性及对目标的促进作用。而对于一些低度风险和机遇,由于发生的可能性和重要性都不显著,企业可以直接接受,但也需做好监控工作防止其对公司运营造成过多影响。风险评估的简单分类及对应的管理策略参见图3。另外,在对风险实施应对措施后,通常还要对剩余风险进行分析返回重新评估。
(四)设计高效内控流程
对于规模庞大的跨国公司而言,设计高效内控流程首先应建立统一的信息系统总体控制制度,然后在该制度的指引下利用信息技术建立风险管理系统以实现对业务关键点的实时控制。信息系统内控制度应结合企业具体实际设置包括分工与职责、系统管理、安全管理等控制要点。关于分工与职责,在企业采用信息技术控制时,可以通过设置安全口令控制来实现职责分离。关于系统管理:从信息系统管理层面来说,母公司要设立信息系统管理部负责公司总体信息化归口管理工作,各分(子)公司设立信息化领导小组,定期召开会议,听取、总结和指导本单位信息化工作,除对信息系统和信息资源行使管理职责外,信息系统管理部通常还要负责组织编制跨国公司信息化建设中长期规划;从信息资源管理方面来说,集团公司各职能部门、事业部、分(子)公司要定期梳理本部门管理的内部信息及需要其他部门提供的信息和需外购的信息,而信息管理部门则需要建立内部公共信息平台,实施信息集中和信息整合,采用统一标准接入、存储、处理和发布各类信息;从IT一般性控制方面来说,信息系统应制定要包括数据访问管理制度、程序变更管理制度、系统运行制度;从信息披露业务控制方面来说,董事会秘书局会同财务部制订出定期报告编制和披露工作计划,相关职能部门按照披露工作计划及相关规定向董事会秘书局提供相关资料,董事会秘书局按照相关法律法规和上市地监管机构的规定编制定期报告。关于安全管理,公司应制定系统安全管理制度和安全防范措施,配备网络监控、防火墙、杀毒软件等必要安全措施,编制信息系统应急方案以保证系统正常运行。其次,跨国公司还应成立全面预算控制体系,通过预算制定、预算执行、预算分析及考核等具体措施对有关事项的风险进行事前、事中和事后调控。全面预算一般按销售预算、经营预算,再报表预算的流程进行,全面预算体系中可以初步揭示企业下一年度的预计经营情况,根据所反映出的预算结果,预测其中的风险点所在,并预先采取某些风险控制的防范措施,从而达到规避与化解风险的目的。另外企业的全面预算管理体系的设计应与其所处的生命周期相匹配:通常来说,初创期应该以资本预算为基础,成长期要以销售为起点,成熟期要以成本控制为基础,衰退期要以现金流量为起点。对于大型跨国公司集团总体一般处于成熟期,应以成本为基础,但对于新设的下属子公司,可能要拆分计算再予以汇总。再者公司需要完善其业绩评价与激励机制,可以考虑通过合理设置股票期权激励机制使管理层及员工薪酬的发展与股东的长期利益想匹配。在业绩的衡量方面要综合采用财务指标和非财务指标,比如可以构建类似于平衡计分卡的全面评价体系,而在财务指标的选择上可以不局限于总资产利润率、销售利润率等盈利为基础的业绩计量方式,也可以加入市场增加值、经济增加值等直接与股东财富创造的业绩指标。在激励契约的设计方面,企业应防止管理人员的短视行为,设定长期的激励机制,以维护企业和股东的长远利益。
(五)结论
全面风险管理和内部控制过程不只是公司董事会和管理层的职责,也受到其他人员的影响,因此跨国公司应将内部控制范围拓展到全部子公司和全体员工,实行全员全方位的风险管理体系。总公司和子公司都要设立专门的内部审计和风险管理机构,对各项业务的内部控制执行情况进行监督,检查和评价。子公司的内部审计和风险管理机构要向总公司的相应机构传递内部控制和风险管理报告,以帮助母公司实现对子公司内部控制的有效监控。公司的各部门和各子公司应制定适合其具体实际的内部控制政策与流程,并及时向相关人员传达这些政策及流程情况。当然信息的传达应能够符合成本效益原山西职称则,并能够清楚传达、适当应对及定期监控公司所面临的各项风险。
作者:王萃彦 单位:内蒙古赤峰市房屋交易产权管理中心