咨询电话
17710707243
17710707243
企业如何进行风险分类、识别及描述?
——“五要素”闭环风险分析模型应用
根据“风险导向”管理理念,企业应该根据风险评价结果配置管理资源、开展管理活动。为了对风险进行有效评价,企业需要对风险进行高质量的分类、识别和描述。“高质量”可以具体表现在如下几个方面: “分类”:风险分类标准统一、满足MECE/金字塔等原则; “识别”:不存在重大风险遗漏; “描述”:对特定风险的描述完整、清晰、具体。 请注意,基于主题,本文中的“风险”系指“纯粹风险”(即只有带来损失一种可能性)而非“机会风险”(即带来损失和盈利的可能性并存)。
一、“五要素”闭环风险分析模型的提出 在企业的实际风险管理操作中,风险分类逻辑混乱、风险识别不全面、风险描述模糊不清等现象仍然普遍存在,在很大程度上制约了企业风险管理工作的效果。笔者认为,风险作为一个相对抽象的感念,本身涉及多个相关关联的核心要素,这些要素相互关联,对企业风险的分类、识别与描述产生了干扰。建立一个综合考虑各类要素的风险分析框架,能够为这些工作的开展提供有力支撑。对风险涉及的核心要素分析如下: 1、企业目标 对风险的分析,必须建立在一定企业目标的前提下。如企业期望达到一定的业绩目标,才会关注对业绩可能产生不利影响的风险因素。不同行业的企业,目标类型及其优先级分布也会存在差异。例如,安全生产固有风险高、面临强安全监管压力的企业(如资源采掘类企业),其安全生产目标往往具备高优先级。 2、业务活动 围绕企业目标,企业需要实施一定的业务活动。典型的业务活动包括采购、生产、销售、工程、合同、资金等。企业在各类业务活动场景下,需要充分识别并考虑风险的影响。从企业的视角,这些风险会对企业的业务活动开展产生负面影响,并进而影响企业目标的实现,需要进行识别、分类及描述,为后续风险应对提供基础。例如,企业在进行采购时,会实施供应商选择、价格确认、质量验收业务活动,也就会面临供应商选择风险、采购价格风险,原材料质量风险,最终的后果往往包括企业利润水平下滑、品牌形象受损。 3、风险诱因 在理想条件下,“一切尽如人意”、各类假设都能成立的前提下,企业的所有活动都能顺利开展、所有的目标都能够实现,企业并不需要关注风险,例如,对于一台“不会发生故障”的设备,企业不需要考虑其由于故障无法工作的情况。然而在现实经营场景下,这种理想状态是不存在的,由于零部件损耗、保养不及时、员工不当操作等风险诱因,都会导致设备故障。 风险诱因往往具备的特点包括:a.其发生的可能性客观存在,但最终是否导致风险后果存在不确定性;b.其一旦发生,会对企业业务开展、目标实现产生负面影响;c.在特定时点,对于企业而言,风险诱因既可能是已知的、也可能是未知的。其中,对于已知的风险诱因,企业需要进行分析并酌情制定控制措施;对于未知的风险诱因,企业应保持必要敏感性并积极主动的进行识别。 4、控制措施 企业风险管理中有一个基本假设:企业能够对风险施加影响,即在其他条件不变的前提下,企业通过有针对性的设计并执行控制措施,能够降低风险。如企业通过加强信用评审、持续跟踪账龄及债务人经营情况等措施,降低坏账风险。在特定控制措施非常普遍、甚至“约定俗成”的情况下,特定控制措施的缺失或执行不到位,往往被直接描述为一类风险。如“资金收支操作、账务记录和银行对账未实现职务分离”会被视为一项风险,其后果为资金被侵占、账实不符。 5、风险后果 企业对风险的关注,本质上来自于对于风险后果的担忧。从逻辑上讲,风险后果可以理解为对企业目标的反向描述。如当企业发生严重工伤事件时,企业会面临劳动赔偿、监管处罚及社会舆论压力,企业相关人员甚至可能面临刑事诉讼。与这些风险后果相对应,企业经营符合安全规范、规避劳动赔偿及监管处罚、提高企业社会美誉度、企业人员免于牢狱之灾,则是常见的企业目标。
基于上述要素分析,本文提出“五要素”闭环风险分析模型如下图(图1)及下表(表1)所示: 图1:“五要素”闭环风险分析模型
要素 风险分析关注点 主要决定因素 企业目标 企业有哪些目标?这些目标的重要性排序如何? 企业战略目标、价值观、利益相关方等因素 业务活动 企业开展哪些业务活动?在各类业务活动中会存在怎样的风险? 企业行业特点、业务模式等因素 风险诱因 有哪些内外部因素会诱发风险? 企业所处的内外部经营环境、需利用的各类资源等因素 控制措施 针对风险有哪些控制措施?这些控制措施如何失效会产生怎样的风险? 企业内控水平等因素 风险后果 风险事件会导致怎样的损失? 风险事件影响范围、影响程度等因素 表1:“五要素”闭环风险分析模型各要素说明
二、模型应用:优化风险分类 风险的分类应服务于企业管理需要,企业可根据自身情况灵活选择分类方式,但应尽可能提高分类标准一致性,努力实现逻辑严谨、“不重不漏”。与之对应,当前一些常见的风险分类方式需要改进。例如一些企业将“采购风险”与“声誉风险”并列,前者指在采购活动中存在的风险,而后者则侧重于对企业市场声誉造成负面影响的风险。即前者强调特定管理过程,后者强调特定风险损失类型,两者并不在同一个逻辑维度上。例如在采购过程中,如果不关注供应商社会责任履行状态(如存在雇佣童工、虐待员工等现象,如耐克20世纪90年代“血汗工厂”案例),则会可能对企业社会声誉造成损失,按照前面所描述的分类方式,这一项风险会被同时划分至采购风险和声誉风险。
基于“五要素”闭环风险分析模型,企业可选择的风险分类方式可以归纳为下表(表2):
要素 常见分类方式 对应常见风险表述方式 企业目标 按目标类型进行分类,如: 如财务报告、合规与运营(COSO框架下) “违反XX法律的风险” “财务报表不准确的风险” 等 业务活动 按业务领域进行分类,如: 销售、采购、生产、合同等 “采购风险” “销售风险” “合同风险” 等 风险诱因 按照内外部环境进行分类,如: 按内部环境(进一步划分人、设备、工艺等) 外部环境(进一步划分市场、监管、技术进步等) 按照“人的因素”进行分类,如: 决策、操作与舞弊 内外部环境: “监管风险” “汇率波动风险” “材料质量风险” 等 人的因素: “违规操作风险” “舞弊风险” 等 控制措施 按照企业关键控制措施分类,如: 审核、审批、盘点、预算、核对等 “审核不严格风险” “对账不准确风险” 等 风险后果 按照损失类型进行分类,如: 资金、声誉、员工健康等 “资金损失风险” “声誉损失风险” “市场份额损失风险” “人才流失风险” 等 表2:“五要素”闭环风险分析模型下的风险分类
在《中央企业全面风险管理指引》文件中,一级风险分类为五类,分别是战略风险、市场风险、财务风险、法律风险、运营风险,这种分类事实上体现了上述多种要素的组合。以国资委2020年度中央企业风险分类参考标准为例(详见表3): “战略风险”体现了“风险诱因”(如宏观经济风险、政策风险等)、“业务活动”(如科技创新风险)和“控制措施”(集团管控风险等) “财务风险”体现了“业务活动”(如金融业务与衍生品交易风险等)和“风险后果”(如现金流风险) “运营风险”/“法律风险”体现了“企业目标”(如经营效益风险、合规风险等)和“业务活动”(如采购及供应链管理、合同风险等) “市场风险”主要体现了“风险诱因”(如汇率波动风险、利率波动风险、客户信用风险等)。
一级风险 重点关注的二级风险 战略风险 1.宏观经济风险 2.国际化经营风险(包括中美贸易摩擦、合规风险、汇率风险等) 3.政策风险 4.改革与业务转型风险(包括混合所有制风险、资产重组风险等) 5.科技创新风险 6.集团管控风险 7.其他战略风险 财务风险 1.金融业务与衍生品交易风险 2.债务风险(包括负债率高企风险、债券违约风险、融资性贸易风险等) 3.现金流风险 4.其他财务风险 市场风险 1.市场变化和市场竞争风险 2.客户信用风险 3.其他市场风险 运营风险 1.经营效益风险(包括重要子企业效益大幅下滑和连续亏损风险等) 2.投资风险 3.安全生产、质量、环保、稳定风险 4.采购与供应链管理风险 5.工程项目管理风险 6.其他运营风险 法律风险 1.合规风险 2.其他法律风险(合同风险、知识产权风险、诉讼风险等) 表3:2020年度中央企业风险分类参考标准
在实际应用中,为了实现突出重点、全面覆盖等目的,企业可先按照一定逻辑先划分类别,进行穷举,然后在各个类别范畴内根据目标、业务活动、风险诱因、控制措施及后果进行分类。例如: 先按照业务类型(如国内业务风险、海外业务风险等)进行分类,然后在各类业务范畴内再进行风险分类; 先按照期限(如短期风险、长期风险等)进行分类,然后在不同期限范畴内进行风险分类。 “五要素”风险闭环模型除了可以在风险分类中应用,同样可以在风险识别、风险描述等环节中拥有广泛应用场景。
三、模型应用:优化风险识别
为了实现全面的风险识别,企业应该在上述框架下,围绕各个要素进行系统的“扫描”,具体可以归纳为下表(表4):
要素 典型全面性问题 关键问题清单 企业目标 企业目标不全面,如在制定劳动相关制度时,未充分考虑相关法规要求、工会诉求等因素。 1.企业制定了怎样的战略目标? 2.企业受到哪些外部监管要求? 3.企业需满足哪些利益相关方、怎样的利益诉求? 业务活动 忽略特定业务活动领域,或对特定业务活动缺乏细致分析。 1.企业开展了哪些业务活动? 2.企业业务活动之间的逻辑关系如何? 3.企业进行怎样的职责划分? 4.企业开展各类业务活动需利用哪些资源? 风险诱因 忽略部分风险诱因,如在合同中忽略未来原材料价格剧烈波动的可能。 1.企业在经营过程中,会遇到哪些风险诱因? 2.这些风险诱因以怎样的方式对企业经营产生影响? 3.如何对这些风险诱因进行观察? 控制措施 忽略特定已执行的控制措施或应执行的控制措施。 1.针对风险诱因,企业已经制定了哪些控制措施?执行效果如何? 2.存在哪些控制措施缺失? 风险后果 忽略或低估特定风险后果。 1.企业可能遭受哪些损失?如何衡量这些损失? 2.企业已经出现了哪些风险事件? 3.企业暴露了哪些风险隐患? 表4:基于“五要素”闭环风险分析模型的风险识别
四、模型应用:优化风险描述 风险描述应能够完整、清晰揭示风险产生的具体原因和后果,进而为风险评价、控制措施设计/执行等具体工作的开展奠定基础。但在风险管理实践中,各利益相关方往往会受到其背景、知识、信息等多方面因素的影响,对同一风险存在认知偏差,进而影响风险应对措施的有效执行。 通过“五要素”闭环风险分析模型,可以优化风险描述,展现风险本质内容,为风险沟通创造统一语言。基于五要素”闭环风险分析模型,可以通过简化或详细方式进行风险描述,具体可以归纳为下表(表5)。企业可以根据自身管理需要灵活选择不同描述方式。
企业目标 业务活动 风险诱因 控制措施 风险后果 风险描述方式 特点 典型简化描述 ✓ ✓ 当出现XX情况时【风险诱因】,导致XX损失【风险后果】 聚焦风险发生诱因及风险后果,即聚焦于“固有风险”。 详细描述 ✓ ✓ ✓ ✓ ✓ 当出现XX情况时【风险诱因】,在XX业务环节【业务活动】,由于XX管理措施执行不到位【控制措施】,导致XX损失【风险后果】,影响企业XX目标的实现【企业目标】。 在简化描述的基础上,同时考虑企业目标、相关业务活动、控制措施等因素,即聚焦于“剩余风险”。 表5:基于“五要素”闭环风险分析模型的风险描述
五、企业场景下的实操示例
A公司准备启动国内主板上市规划,根据中介机构的建议,根据上文框架,A公司开展了风险评价工作。具体如下表(表6):
要素 A公司的分析 结论 分析模型输出 (只展示部分结论,详见注1) 企业目标 A公司结合其国内主板上市目标及上市公司监管要求,结合A公司管理现状,将财务报告规范性目标作为其风险分析首要目标,并同时兼顾经营、合规目标。 目标:财务报告规范性满足上市公司要求 综合风险描述:财务报告规范性风险 目标/风险分解: 1)综合会计政策规范性(风险) 2)收入核算及列报规范性(风险); 3)成本、费用核算及列报规范性(风险); 4)研发支出核算及列报规范性(风险); 5)资产、负债核算及列报规范性(风险)。 ...... 业务活动 围绕财务报告规范性目标,A公司对其业务模式、组织架构、核算及列报程序进行了分析,识别了若干主要风险业务活动领域。 以收入核算及列报规范性(风险)为例,主要相关业务活动领域包括: 1)对外销售管理活动; 2)对外租赁管理活动; 3)合同管理活动; 4)资金管理活动; 5)关联方关系管理活动(可能涉及定价缺乏公允性、需要进行合并报表抵消等事项)。 风险诱因 A公司围绕财务报告规范性目标,在各主要业务活动领域,识别了若干风险诱因。 以收入核算及列报规范性(风险)中的“对外销售管理活动”为例,识别的主要风险诱因包括: 1)国家会计核算规则变化; 2)财务部门核算人员未正确理解及应用收入核算等规则; 3)销售过程中未及时、规范取得会计核算所需关键凭证,如《客户验收单》; 4)业务部门未将财务部门收入核算所需数据、凭证等及时、完整、准确传递至财务部门; 5)财务部门核算人员核算操作出现差错; 6)特定人员为了业绩达标等目的,虚构销售收入或在未满足销售确认条件下确认收入。 控制措施 A公司围绕财务报告规范性目标,在各主要业务活动领域,针对风险诱因,评估其应采取/已采取的控制措施。 以收入核算及列报规范性(风险)中的“对外销售管理活动”为例,应采取/已采取的控制措施包括: 1)根据最新适用国家会计核算规则,制定《会计核算办法》等文件,对销售收入的核算、列报进行规范; 2)梳理业务及会计核算流程,明确关键信息、凭证的生成/获取要求,实现业务部门及财务部门间有效的信息、凭证传递; 3)在关键节点设置制单、审核岗位,强化复核; 4)加强相关业务及财务人员培训; 5)强化往来账项、银行流水核对等措施; 6)针对收入核算规范性,加强财务监督及内部审计。 A公司经过评价,认为上述要求已基本得到设计与执行,后续将持续评价及改善。 风险后果 A公司围绕财务报告规范性目标,在各主要业务活动领域,针对风险诱因,在评估其应采取/已采取的控制措施基础上,对可能产生的风险后果进行了评估。 以收入核算及列报规范性(风险)中的“对外销售管理活动”为例,如果控制措施缺失或执行不力,可能导致的直接后果包括: 1)公司无法满足上市规范性要求,上市失败; 2)公司遭到上市监管机构行政处罚甚至立案调查; 3)公司商誉受损,在业务开展、融资等方面造成负面影响; 4)公司遭受税务机关处罚。 表6:基于“五要素”闭环风险分析模型应用示例
注1:这里的“部分展示”是指:1)仅展示部分目标;2)围绕所展示的目标,仅展示部分业务活动、风险诱因、控制措施及风险后果。
结合前表所示的分析模型输出,A公司在其“风险矩阵”中的典型风险描述示例为下表(表7):
控制目标 营业收入核算、列报规范 营业收入核算、列报规范 业务活动 销售业务 对外租赁业务 风险诱因 业务执行过程中未及时、规范取得会计核算所需关键凭证,如《客户验收单》。 财务部门核算人员未正确理解及应用收入核算等规则,如以未收到租金为由未及时确认收入,未按照会计政策(如直线法)确认租金收入。 控制措施 梳理业务及会计核算流程,明确关键信息、凭证的生成/获取要求,实现业务部门及财务部门间有效的信息、凭证传递。 加强财务部门人员培训,对会计政策进行及时培训。梳理租赁合同与收入情况,明确在租赁期内各个期间,应当采用直线法或其他系统合理的方法,将经营租赁的租赁收款额确认为租金收入。 责任部门 财务部(主责)、销售部 财务部(主责)、销售部 等级 高 高 财报认定 营业收入相关认定(存在性、完整性、估值等) 营业收入相关认定(存在性、完整性、估值等) 表7:基于“五要素”闭环风险分析模型应用风险矩阵示例
结 语 风险导向管理的核心在于围绕风险做到“有的放矢”,为了实现这一目标,企业必须对其所面临的各类风险进行有效的分类、识别与描述。基于对风险内在要素的分析,本文提出的“五要素”闭环风险分析模型,能够为企业完成上述工作提供有效的工具支持,提高工作成果质量。作者:冯萌