内控-风险-合规一体化建设100问(70-75)
湖南省港航水利集团有限公司 • 学习专栏
2023-04-21 09:20:04

70.什么是风险管理中的风险识别?

风险识别是指企业运用各种方法与手段,系统、全面、连续地认识管理与经营过程中所面临的各种风险事件,并进行有效的记录,形成风险清单的过程。

风险识别是在建立了风险评估的基础、完成了企业目标的设置与分解这些准备工作后的一个步骤,其实是真正开始“发现”与“挖掘”企业决策与经营过程中风险的首要步骤,是企业有针对性地处理风险、管理风险的基础。

71.什么是风险管理中的风险分析?

风险分析是指在识别了风险事件后,需要对风险发生的原因、风险发生会造成的影响、风险涉及的相关岗位与人员、风险所属的领域与业务流程等搜集进一步的信息,以便于后续对风险进行有效的管理与应对这样一个过程。

企业所面临的风险是错综复杂的,需要通过建立风险分析模型进行有效的识别和分析。因此风险识别与分析在整个风险管理中具有十分重要的位置,只有全面、准确地识别出风险,才能衡量、评价风险和选择应对风险的办法。

72.风险识别与分析的方法主要有哪些?

风险识别与分析过程包括识别那些可能对目标产生重大影响的风险源、影响范围、事件及其原因和潜在的后果。风险识别与分析有许多种方法,最主要使用的有以下几种:

结构化/半结构化访谈;

问卷调查;

查阅文件;

头脑风暴式的专题研讨会;

专项审核。

73.风险评估的合理广度和深度应该有多大?

企业在开展风险评估工作时,需要确定合理的范围。风险评估的操作范围可以是整个集团,也可以是集团负责某业务中的一个事业部,或者是某家子公司,甚至可以为某一个企业中的某一部门,或者独立的信息系统、特定系统组件和服务等。

在风险评估之前,我们需要关注这个组织的“目标”,然后才能确定合理确定风险评估的广度与深度。应该说,不同的组织目标对风险的态度是完全不同的,可能在这家企业属于重大风险的事项,在另外一家企业中是完全可以接受甚至忽略的事项。

我们可以举个例子,在生产型企业中,股权投资是一项非常重大的事项,需要经过经营层与决策层的多次讨论与研究,必要时还需要外部专家与行业专家的论证。但是在一家私募股权基金或者产业投资公司中,投资业务只是一项常规性的日常业务,往往仅仅会通过风险对冲的方式降低投资的风险。

74.风险管理解决方案的实施需经过哪些重要环节?

首先,企业应根据风险管理解决方案制定相应的风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。

其次,企业应针对识别出来的风险事项制定内部控制措施,一般至少包括以下内容:

第一,建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权作出风险性决定。

第二,建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。

第三,建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。

第四,建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。

第五,建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等。

第六,建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩。

第七,建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施。

第八,建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系,完善企业重大法律纠纷案件的备案管理制度。

第九,建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约,明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任,将该岗位作为内部审计的重点等。

最后,企业应当按照各有关部门和业务单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。

75.对风险管理的有效性进行检验的主要方法有哪些?

1、压力测试。是指在极端情形下,分析评估风险管理模型或内部控制流程的有效性,发现内部控制中的问题,并根据发现的问题制定改进措施的方法,目的是防止出现重大损失事件。

2、返回测试。是将历史数据输入到风险管理模型或内控流程中得出一个结果,把得出的结果与预测值对比,以检验内控方法的有效性。

3、穿行测试。是指在风险管理过程中,在正常运行的条件下,将初始数据输入内控流程,穿越全流程和所有关键环节,把运行结果与设计要求进行对比,以发现内控流程是否存在缺陷的方法。

4、内控体系有效性自我评估。是对内部控制制度进行评估的工作过程。它涉及所有员工,而不仅仅是少数审计人员或高层管理人员。这里的有效性评价是针对控制系统的评价,有别于部门业绩的评价和个人业绩的评价。

作者:阎攀宇

责编:陈南松

来源:中天华溥管理视野

专题合规建设

评论