三、高效执行企业风险管理的策略 1.加强对管理层权力制衡的内控制度建设 笔者认为,对管理层权力制衡的内控制度建设是风险防范的基础,也是最难实施的,毕竟企业管理层在建设内控制度时,首先要约束的恰恰是自己。从调查统计来看,一系列重大舞弊丑闻的根源,很大程度上归咎于管理层内控约束机制的缺失。负责企业经营决策的CEO们权力过大,又缺乏有效监督,当个人绩效目标与公司及股东目标发生冲突时,他们往往会选择前者,给企业发展带来隐患。因此,对管理层进行权力制衡不但必要而且势在必行。 董事会和独立审计委员会(或监事会)必须拥有充分知情权,授权以外的重大投资及经营决策必须通过董事会的批准。董事会的主要职责在于判断决策事项的机会和风险性是否在董事会认可的范围内。独立审计委员会的职责是通过不定期的监督来检查公司运作中有无违反授权范围或存在隐瞒的事项。与普通的内部审计不同,ERM的独立评估只对企业风险进行测试,而不是全面的内控测试,这就确保了企业能以有限的成本投入来认知并化解潜在的风险。 2.完善制订重大决策的内控流程 完善制订重大决策的内控流程是企业风险控制的关键。建立起面向企业管理层的内控制衡制度后,必须设计相关的关键控制流程与之配套。按照企业风险管理要求的流程再造对比图如下所示: 传统内控制下的决策流程设计 施加风险管理影响下的决策流程设计 传统模式下的内控制度,业务部门经过会签,通过流程将决策信息提交给CEO,CEO可以对决策信息进行风险过滤后提供给董事会,从而诱导董事会作出有利于他们的决策。财务经理对CEO负责,即使出现问题,CEO也可以通过施加影响修改财务报表。在这种内控架构下,董事会很难发现舞弊问题,等到发现时局面往往已不可收拾。内部审计只能监控CEO以下的控制点,监事会则基本形同虚设。 在修订后的内控架构中,决策权被上移至董事会。监事会(或风险管理委员会)的职责更加明确,除听取CEO的汇报外,还要关注CEO控制点之前各流程的风险评估,并且有权对相关部门进行质询。财务经理同时对CEO和董事会负责,并接受监事会的监督,监事会对决策流程做出客观的风险评估后提交董事会。这样,董事会在审议CEO提交的方案前,拥有来自业务层、财务经理、监事会从各自不同角度提供的风险评估信息。 通过企业风险管理框架内的流程再造,能明确各个关键控制点的责任主体,量化风险大小,并接受独立的审查。因此,董事会在批准CEO的提案前,对风险的大小能作出更为有效的评估,既降低了风险,也大大减少了舞弊的机会。 3.强化对各关键环节的风险控制 在制度和流程优化之后,如果每个关键控制点的风险量化发生偏差,也将导致最后的决策发生偏移。所以,有必要强化对各关键环节的风险控制。 内控流程要求对每个关键控制点提出风险量化分析。首先,要对关键环节所涉及的人员进行培训,宣贯风险管理的理念,使其意识到他们提供的风险评价信息将对董事会的决策产生直接影响。其次,明确各主体在企业风险管理流程中承担的责任,强化责任意识,并制订相应的奖惩措施,促使各控制点对风险和机会保持足够的谨慎态度。 比如,当电信公司进行网络投资项目时,都会有规划部门率先提交项目可行性报告,但这类可行性报告往往强调项目的投资收益性,忽略或有意识地弱化项目的风险性。引入风险管理流程后,规划部门必须面对监事会的质询,而且在风险责任明确、存在实质性惩罚措施的情况下,可行性报告一般能做到如实评估项目投资失败所造成的风险。 由于ERM刚推出不久,国际上还没有与之相应的成熟的风险管理模式,企业大都还处于摸索阶段。执行企业风险管理的关键在于如何强化董事会的决策功能,形成一套行之有效的风险监督机制,并保证其相对的独立性。 (作者单位:浙江省电信有限公司 公话分公司 撰文/茹越峰) |