风险雷达

企业内部风险识别、分级及控制措施制定实操

2019-10-17 10:04

前言:企业内部风险识别、分级及控制措施制定是企业内控在落地中面临的现实问题。企业内部风险如何分类?在风险数据库/清单中,如何具体描述风险?在风险框架内,固有风险和剩余风险关系如何处理?风险管理与内控是何种关系?在本期阅享风控沙龙“周三之夜”,群内多位有相关工作经验的同仁针对企业内部风险识别、分级及控制措施制定实操这一主题进行了深入热烈的讨论。

企业内部风险如何识别及分类?

首先从影响的资金数额分,其次从对市场影响和公司形象角度区分。战略风险、财务风险、市场风险、运营风险、法律风险是一个常见的分类框架。金融企业还有流动性风险和信用风险。不同的风险责任部门不同,治理层应该先确认风险偏好和容忍度。如果是集团公司建议先要有顶层设计,确定分析框架(模型),再分类别后建立组织机构,分系统分层级明确各主体的职责,工作内容,工作程序,制度化后,再体系化的开展工作。

风险识别的起点是目标设定,如设定证券投资最大止损点、坏账损失率、设备完好率、存货周转率等,定性与定量相结合。分析内部与外部风险、可控与不可控。

“从风险识别的专业度维度看:专业技术性强的企业外部检查风险其实小,堡垒往往从内部攻破。专业技术强的,外部检查只能用同领域专家,但是那是学院派的,到现场可以被忽悠傻了。目前国内流程植入IT的前三行业,互联网,金融,通信,数据是GB级,不在内部实操,只以理论研究,把硅谷的请来都没用,黑客能攻破防火墙,但陷入数据大海提炼出的东西有可能令人捧腹。”

是否有企业围绕风险开展具体管理工作的实操案例?

国企表示:有内控手册,也有风险库和风险扫描。风险分十二类四级,类别具体有收入、成本、资金、采购、工程、法律、战略等等,基本上企业方方面面都有,很全还时时更新。风险库会直接指明主责单位和用于取证的IT系统,集团级大数据审计平台再建模,形式上已经很强,只差高层基调真正转变。但无论风险库如何完备,当领导重视的是目标管理的结果,急于完成国家预算时,那些不合理的KPI指标是最大风险产生的因素。

风险偏好和风险容忍度这一点在银监监管的企业必须有,一般基于行业平均水平和历史数据制定。标准由CRO起草,企业实际控制人审批。成果输出为坏账率、拨备覆盖率、流动比率等,但没有对重大损失和一般损失的界定。如果企业实际运营数据接近可容忍的风险值,会启动预警机制;若超过可容忍值,会处罚相关责任人。

风险偏好和容忍度和企业经验也有关,吃过的亏、走过的路,哪些搞定了,哪些没搞定来判断风险的严重程度。

在风险数据库/清单中,如何描述具体风险?

一个常见的描述方式为:可能出现××情况,可能导致××后果。比如成本类一级风险之一虚列成本,二级描述××成本因××表现虚假,导致××问题,三级描述××导致××成本表现……可能出现××情况的概率是××,可能导致××后果的最损失是××。风险识别的质量,对于后续的实际应用,还是有很大影响的。风险写得太具体,影响适用范围;风险写得太抽象,影响控制措施的制定。

在风险框架内,固有风险和剩余风险关系如何处理?

技术难点:‘固有风险’如何真正做到忽略所有控制措施?‘剩余风险’如何合理量化已有控制措施的效果?一般风险库对应企业内控手册或某些法律法规的原则,也就是正常情况下内控剩下的风险,要么是能接受的,要么是得提交法律部门处理的。

风险管理与内控的关系?

内控是风险管理中很重要的一部分。大多数风险都能对应到内控执行不力,还有串通舞弊。比如串通可表现出两个以上违反内控点,他们不承认串通,但奇妙的一起犯错。

  • 内控是风险管理的工具之一,针对执行风险。
  • 内控是风险管理策略里面的控制、转移、对冲等等。
  • 风险管理是战略的,内控基于执行,两者服务对象有差异。

企业的一个大风险,是不能达成企业目标的风险。也就是说,做风险管理,内控可能是一部分,但不是全部,甚至不是最重要的一部分。做风险管理,要看全局,做跟进做追踪。内控降低风险发生的概率,或者降低发生风险后的后果,并为之付出一定的成本。至于生死,是后果的一个度量标准。不注意消防,一把火把企业烧死的也不鲜见。错误地使用内控工具本身就是风险,比如财务把很有能力的业务人员给‘气’走了。

内控本身是风险导向的,但风险是不是靠内控可以解决,确实很难讲。比如特朗普发飙,单独企业内控估计没啥用。内控肯定是风险导向的,但风险不能只寄希望于内控。看企业规模,有时内控未必是最具性价比的方案。一般来说,风险管理所指的风险和内控所指的风险完全不是一个等级的。如果企业同时做风险管理+内控,风险点是对应不上控制点的,只有映射关系,不排除部分执行。

COSO和ERM框架和IC框架,我分别看了很多遍。相对于IC框架,ERM框架增补内容就是今晚我们讨论的内容,即聚焦于风险本身的讨论,而不是把风险当成一个既定的前提。ERM强调‘会发生什么,会有什么影响,我们应该有什么态度’,IC强调‘针对这些风险,我们应该采取哪些具体措施’,本质上根本不矛盾。划分风管和内控不必太认真,搞不好一个部门两块牌子,写材料的都一个人。难的是识别风险后,决策层在战略上选择错误。

企业面临的风险如何分级?

有的以影响财务报表××金额以上分级,违法的都是一级。管理本身就不是个数学推理的科学,就相当于风险管理的预警的阈值,是靠常年的数据积累结合实际情况优化调整的。

风控的角色应该如何定位?

风控不要把自己放在监管的角色,而是战略的角色,哪怕运营的角色也好。

本文来自公众号:阅洲内控与风险管理。

姓名*
手机*
公司*
邮箱
职务