“风险管理之所以是企业的‘老大难’问题,是因为‘老大’不重视。‘老大’重视了,也就不难了。”北汽福田汽车部件有限公司财务总监王国柱如是说。 作为典型的“一把手”工程,企业风险管理的实施效果显然和老板的支持度息息相关。只有企业高层充分认识到了风险管理的重要性,并身体力行地支持企业风险管理系统的建设,才能保证企业内部控制和风险管理工作的不断推进。 但在现实中,往往并不是这样的结果。“比如我们现在推的BI系统,虽然公司最高层了解这是比较完善的管理工具,但是对于在实际工作中能不能实现规划的效果以及这套系统能给公司带来多大的价值表示怀疑。”西子联合控股有限公司财务副部长项慧荣表示。 刘霄仑多年来一直致力于企业风险管理方面的研究,是该领域研究的著名学者,对于风险管理部门在企业中的尴尬地位,刘霄仑深有感触。他认为,高级管理层之所以不认可或不支持风险管理的工作,多是因为风险管理并没有带给他们想要的结果。在投入巨大的人力、财力资源后,发现风险识别机制并没有自动报警。于是,公司高层便开始对风险管理体系的实施效果产生质疑。“很显然,企业高层对风险管理过于缺乏耐心了。” 从本质上讲,风险管理体系是一种制度设计,这种设计让企业在激进与保守之间形成一种平衡,在企业激进的内部力量和保守的内部力量之间形成一种制衡,为的是保护出资人、股东的利益。“因此,对于企业高层来说,只有站在股东根本利益的角度来思考问题,才会获得本质上的动力,实现短期利益与长期利益之间的平衡。然而对于我们的国有企业来讲,出资人的不到位,本身就给这个谜局定义了先天性的缺陷。”华彩咨询战略与风险管理咨询专家洪乐说道。 “从财务人员的角度出发,要想‘管理’自己的老板,首先要明白自己的定位。”王国柱认为,作为企业财务人员,首先要具备一个基本理念,即财务是管理的重要组成部分,自己既是老板的得力助手,也是老板的合作伙伴。“一定要多站在自己老板的角度上考虑问题,但同时又必须是老板的警示器。” 长期以来,由于受技术条件的限制,我国企业的内控建设和风险管理工作,一直都是通过人工操作、现场检查等方式实施,这种方式在早年间,尚能勉强维持企业内控机制正常运行。但随着近些年市场经济的发展和企业环境的不断变化,单纯依赖手工控制去应对企业面临的风险,显然已不合时宜。企业迫切需要控制手段的现代化。
ERP系统的引入,则很好地解决了这些问题。在贵州轮胎股份有限公司信息部部长张凤友看来,ERP系统最大的优点是可以实现业务与财务的集成,实现信息的共享,它在企业资源最优化配置的前提下,将企业内部主要的经营活动进行有序整合,包括财务、资产、项目、生产维护、采购、物料、人力资源等等,从而达到高效化经营的目的。同时,通过ERP系统对经营流程实施控制,还可以克服人为因素的干扰。
“但ERP系统并非适合每个企业。”南京造币有限公司财务总监金春年表示,ERP系统的发展,是伴随着企业的发展而进行的,而且在每一个阶段都是为了解决企业不同阶段的重点问题。所以,如果一些公司不考虑公司实际情况而盲目引入ERP系统,其结果往往是“劳民伤财”的。“试想一下,如果一个企业还处在进销存、财务的基本管理都还没有顺利的情况下,如何来实施ERP?”
项慧荣认为,ERP系统作为基层子公司的业务管理信息系统,虽然功能强大,性能稳定,但是由于本身自成体系,与国内企业实际情况结合起来,实施起来仍有一定难度,往往很难100%发挥其优势。SAP BO系统为BI系统软件,作为集团公司的管理、财务信息的集成分析平台,可以与业务管理系统结合,对于集团化公司的智能化管理帮助较大。但作为管理系统,其发挥作用的大小,最终还是取决于人对管理的理解和分析。
随着企业经营环境的不断变化,企业面临的不确定因素越来越多,承担的风险越来越大。为了增强企业的竞争力,应对愈加复杂的生存环境,近几年,越来越多的内部审计组织开始介入风险管理,对管理的控制予以再控制,并特别监督那些高风险领域的流程、制度的设计和执行的有效性。可以说,内部审计部门已逐渐成为风险管理职能体系中的第三道闸门。
在陆家嘴国际信托有限公司稽核部总经理翁瑜看来,内部审计部门参与风险管理,有其必要性。“由于风险在企业中,往往具有传染性和隐藏性等特点,一个部门因为管理失误或者风险管理出现差错而导致风险爆发,其具体的危害并不一定会在本部门体现出来,而是有可能在其他部门通过其他方式体现出来。而在内审制度引入到风险管理后,内审部门往往能够以独立第三方的身份,从全局的高度客观公正地对业务流程的各个点进行评估,并提出防范风险的有效建议。”
云南白药集团健康产品事业部财务部经理李云松认为,内部审计部门作为介于企业管理层和各职能部门之间的一个部门,能够很好地充当企业长期风险策略与各种决策的协调人。通过和有关职能部门的反复沟通,内控审计部门能够帮助企业实现风险与受益的平衡。
但洪乐却对此表达了自己的担忧,“在当今的企业实务中,事实上风险管理的很多工作都是由企业的内部审计部门来牵头执行的,内部审计部门的确承担了风险管理的职能,并充当了风险信息的枢纽。但我觉得这样的做法从原则上来讲,是有悖于内部审计的独立性原则的,是将风险管理的第二和第三道防线合并为一的做法,对此我并不提倡。”
随着我国企业信息化建设的不断深入,企业信息安全成本也在逐年上升。近几年,一再爆发的企业信息安全事件表明,我们在对信息风险的防范上,做得还远远不够。 南京某科技有限公司风控主任袁创认为,目前之所以企业信息安全事件频发,一方面是因为宏观环境变化和行业发展趋势的变化,使得越来越多的公司意识到了信息资源的重要性,各公司对信息的搜集和占有也越来越重视,这在客观上为企业的信息管理加大了难度;另一方面,我国企业对信息风险的防范,还处于较为被动的局面,对前期预估不够全面,很多时候要等风险爆发后才匆忙出台补救措施,效率比较低下。 在河南某集团有限公司市场部主任王大治看来,想要做好企业信息安全的防范工作,在前期就一定要仔细、全流程排查,并对潜在风险点进行分类分析。“比如,外部市场信息的变化会给企业经营带来哪些影响,公司的脆弱点在哪儿,什么身份的人可以访问哪种类型的信息,等等。然后对这些数据进行跟踪,并提出具体的防控措施。一旦风险定性,下一步就要进入控制阶段,通过对策略、技术和工具的合理运用,来降低这种风险发生的可能性。” 张凤友则从具体的细节上,介绍了贵州轮胎股份有限公司在信息安全风险防范上的一些具体措施,颇值得参考: 第一,在公司总部建设标准的计算机机房、硬件及其他配套设施,做好计算机机房及设备的防火、防盗、防雷、防尘、防病毒,做好备份管理; 第二,撤并原来分布在各分、子公司之间计算机机房、服务器及其他配套设备,全部集中于公司总部机房; 第三,重新构建公司网络系统,确保公司网络安全运行; 第四,建设公司统一的邮件系统和办公系统,做好邮件系统办公系统的防病毒、防侵入管理; 第五,整合公司ERP系统、MES系统,确保信息一致性。 产业结构的不断加深,使很多企业开始向集团化的方向发展。但随着集团规模的不断庞大,也使得很多企业开始面临“尾大不掉”的难题。近几年,因为母公司未能对子公司实现资金、重要决策上的有效管控而造成的恶性事件数不胜数。这在一定程度上表明,当下大企业集团在对子公司进行分权管理的同时,还有必要对各子公司进行一定程度的集权管理,并依据产权关系,使子公司在其所划定的范围内开展财务活动。 与单一型的企业相比,集团企业往往具有如下几个特点:第一,涉及的产业多,有的集团其旗下产业之间相关性不是很大,甚至会包括十几个产业板块;第二,不同的产业板块往往处于不同的发展阶段;第三,内部控制和风险管理的环境基础参差不齐,比如所属的上市公司和成熟阶段的产业板块基础较好,处于起步和发展阶段的产业基础较差。 “这些特点,要求企业在进行集权管理时,既要有统一的风险管理体系和标准,同时又不得不考虑各产业集团和子公司之间的差异。”南京朗驰集团机电有限公司副总经理樊必才表示,企业在进行公司治理时,在大的框架和原则一致的情况下,母公司应将子公司的一些日常财务活动管理权下放给子公司。企业的风险管理既要站在一定高度,又要深入实际,去了解每个板块的业务类型,并以此设定相应的风险管理目标。 樊必才表示,集团公司本部与子公司之间的财务集权和分权的平衡实际是一个动态的过程,“因此集团公司对各个子公司的管控力度,也应依据实际情况而定,并根据形势及时进行调整。”
