3.3 加强风险评估及管控
内部控制框架理论认为,在内部控制的5个要素中,风险评估是前提。现代的社会是机遇与风险并存的社会,任何企业都不可能不面对风险问题。对于湖南移动通信公司来说,风险评估无疑还是一个薄弱环节。湖南移动通信公司首先需健全自己的风险评估机制,规定专门的人员和部门来从事这项工作,其次要定期系统开展风险评估和分析工作,对湖南移动通信公司可能面临的风险进行预判。
3.3.1建立健全风险评估机制
3.3.3.1目标设定
每一个公司都面临来自外部和内部的一系列风险,确定目标是有效的事项识别、风险评估和风险应对的前提。湖南移动通信公司应设立自己的目标,在设立目标过程中应遵循目标与风险偏好相协调的原则,后者决定了公司的风险容忍度水平。
湖南移动通信公司在目标设定时要考虑经营、报告、合规目标和战略相互之间是否具有一致性。公司的战略目标、经营目标、报告目标和合规目标是实施风险管理的主要组成部分,且互相联系:
(1)战略目标与公司使命、愿景和宗旨一致,是设定相关目标及其子目标的导向。
(2)经营目标是公司战略目标的具体反映,关注于公司经营活动的有效性和效率,保证公司战略目标的实现。
(3)报告目标与公司战略目标相一致,保证为董事会和高级管理层、监管机构、投资者和客户提供准确、及时、完整的信息。
(4)合规目标与公司战略目标相一致,保证公司从事的经营管理活动符合相关法律法规和公司规章制度,并确保支持公司的经营目标和报告目标的实现。
经营、报告和合规目标的制定服务于企业战略目标与企业战略。为了确保其相互之间的一致性,湖南移动通信公司管理层应审批年度的目标,并通过定期的部门绩效考核对重要经营活动的目标进行总体监控。
3.3.1.2风险识别
将潜在的事项归入不同的类别可能很有用。通过在公司内横向的和在业务单元内纵向的将事项汇总,管理层形成对各事项之间关系的了解,从而获取更多的信息作为风险评估依据。通过归集类似事项,管理层能够更好地辨别风险,包括可能的机会和损失。湖南移动通信公司参考国资委《中央企业全面风险管理指引》的分类方法,并结合公司的业务特点,可将公司面临的主要风险划分为以下六类:
战略风险、市场风险、财务信息风险、运营管理风险、信息技术风险与法律风险。风险识别的重要部分是公司应广泛、持续收集和自身的所面临风险相关的内外部原始信息,包含历史数据与未来预测[33].湖南移动通信公司结合目前世界的政治经济形势,在广泛、持续的收集了各类风险管理初始信息的基础上,应对通信行业全球发展形势、政府监管政策和现有通信行业运营环境的等方面的影响及信息重点关注。结合面临风险类型及现有的组织架构,湖南移动通信公司把初始信息收集的职责落实到了各个相关责任部门,如:
(1)战略风险初始信息的收集由研究院、发展战略部来牵头组织,从宏观与微观两个不同层面来收集相关初始信息。
(2)市场风险初始信息的收集主要以市场经营部为主导负责,数据部、集团客户部、终端部等共同参与。收集国际通信市场的发展态势和国际通信企业的发展动向,了解国内电信监管机构的政策,包括3G的号码携带、行业重组后的全业务竞争以及《电信法》、《关于深化电信体制改革的通告》等。
(3)财务信息风险初始信息的收集由财务部为主牵头负责,收集国内外最新的财务管理发展动向,及美国、香港等湖南移动通信公司上市地对上市公司最新的监管政策,熟悉并研宄政府新出台的各类政策,比如:新制定的会计准则、营改增政策等,收集在资本市场上投资者与投行对公司的现状评价和预期。
(4)运营管理风险的初始信息收集由各部门共同参与,广泛收集所有涉及运营风险的初始信息,包括了解国内各监管部门的政策法规,了解国内通信行业的整体运营情况。
(5)信息技术风险的初始信息收集主要由网络部、业务支撑管理部、信息系统管理部、信息安全管理部等负责,主要是了解政府的相关法律法规、行业的发展动向以及公司的信息技术相关情况。
(6)法律风险的初始信息收集主要由法律事务部牵头组织,主要了解国家出台的有关政策法规以及对公司的影响。
3.3.1.3风险评估
企业风险管理中,风险评估这个构成要素是在整个公司中所发生的活动的一个持续性和重复性的互动。湖南移动通信公司风险评估的程序应当考虑各类相关的风险迹象,包括但不限于公司整体层面与经营层面。在设置风险评估程序时应当全面考虑可能对目标实现产生影响的外内部因素,这些程序应当分析风险并为管理风险提供基础。
湖南移动通信公司可形成三个层级风险评估机制,包括公司层级的“整体评估”、分公司层级“分单位评估”及各业务或部门层面“归口评估”,各个层级的评估既有机结合又互补。评估步骤为:评定公司的风险容忍度和风险偏好;评估固有风险的影响程度;评估固有风险的发生可能性;确定固有风险的水平,搭建风险库;测试评估现有的风险应对措施的可靠性和有效性;对剩余风险进行排序,绘制公司风险的坐标图;制定针对重大风险的管理策略及解决方案。湖南移动通信公司设置的风险评估模型主要由“固有风险”、“风险应对策略有效性”、“剩余风险”几个要素构成。
固有风险是在不做任何的风险防范及控制措施情况下的风险,用来衡量固有风险可能产生后果影响大小的风险指标包括非量化及量化指标。湖南移动通信公司的量化指标重点指可能造成的经济损失(如:净利润、总资产)或者通过实体数量计量(例如顾客投诉数量)。非量化指标则是指用来衡量某些定性的风险,例如:某些突发事件可能造成对公司声誉的影响等。公司从定量标准和定性标准两个方面来判断风险发生的影响程度和可能性,根据风险的影响程度认定不同级别:灾难性、重大、中等、次要、轻微;根据风险发生的可能性分为五个级别:极低、低、中等、高、极高。在综合考虑“风险发生的影响程度”和“风险发生的可能性”两个因素后确定固有风险的等级。
风险应对策略的有效性是评估公司的风险应对策略是否能够有效减少或降低固有风险,有效性评估主要是从风险应对策略的设计有效性和措施执行有效性两个方面来进行评估。评估时只需对现采取的控制策略进行评估,而对计划使用或即将开发的应对策略不加以考虑。弱的设计代表控制无效。湖南移动通信公司根据“风险应对策略设计的有效性”及“风险措施执行的有效性”,把对风险应对策略的有效性按评估结果分级成高、中及低:两项都是有效的,表示风险应对策略是切实到位的,评估结果为高;如果仅应对策略设计是有效的,而风险应对措施实施有效性只能部分有效,则为风险应多措施切实不到位,评估结果为中;如果应对策略的设计不是有效的,或应对策略的设计是有效的,而应对措施执行是无效的,不切实不到位,则评估结果为低。
剩余风险是在考虑或采取了相关的风险应对策略及措施后存在的风险,即固有风险在考虑风险应对措施有效性后的风险。湖南移动通信公司可根据固有风险、风险应对措施有效性不同级别的排列组合来确定剩余风险的等级。
湖南移动通信公司评估风险发生可能性的高低、对目标的影响程度,以及风险应对措施的有效性,据此对评估出的各项风险进行高低排序,并绘制风险坐标图,从而对公司当前的风险评级形成一个全面且清晰的认识,并以此确定对各项风险的管理优先顺序、策略和所需配置的人力和财力资源。如果剩余风险评级定为“高”,是湖南移动通信公司不能接受的风险水平,管理层将通过制定管理行动计划,规避风险或者转移风险来减少损失。