美国COSO委员会(反对虚假财务报告委员会)曾在广泛吸收各国理论界和实务界研究成果的基础上,公布了《企业风险管理框架》报告。在该报告中,COSO在其1992年公布的内部控制框架报告基础上,推出了新的企业风险管理框架,将企业管理的重心由内部控制转向以风险管理为中心。
本文作者根据COSO研究报告的思路,参照物流企业营运风险控制的实践写就此文,希望能为广大物流企业控制经营风险提供借鉴。
质量管理的作用:控制内部风险
在谈风险管理之前,我们先来看几个案例。
案例一:
某货运公司,多年经营业绩良好,虽然期间也有过几次经济纠纷和诉讼,但因标的不大,妥善处理后没有引起公司足够的重视。公司管理层面临着持续增长的经营业绩的压力,业务增长成为公司考核业绩的最重要的指标,对风险防范意识渐渐让位于市场的压力,对部分重要客户,无单放货也成了业务员维系客户关系的常用方法。
2003年,公司突然接到法院传票,因无单放货被收货人告上法庭,最终被判决赔偿超过一千万元,数年心血付诸东流。
案例二:
某空运代理公司,2002年接受委托,为一客户代理空运出口一批化工品,客户声明为一般化工品,并出具了书面说明,但货物抵达目的地后被发现是危险品,且发生泄漏,造成飞机全损,被航空公司以欺诈的名义与发货人一起告上法庭,此时公司却找不到那张证明自己免责的书面说明,最终被卷入巨额诉讼当中。
案例三:
某货运代理公司,在近洋航线进出口业务中取得了领先的市场地位,在业务快速发展的阶段,个别业务人员长期私自从事违法行为,却一直未被公司察觉,终于东窗事发,被主管机关勒令停止经营相关业务,整改达数月之久,使业务量下降一半以上。
在国际货物运输中,上述因风险控制不力而使企业遭受损失的案例不胜枚举。人们不禁要问,为什么国际运输行业会有如此多的风险产生?难道真的就没有办法避免吗?
如何规避营运风险,保持基业常青,是每个经营者必须面对的问题。
在物流企业实施质量管理体系的实践中,人们总结出质量管理体系对物流企业最有价值的作用,即通过流程的标准化,总结管理知识和经验教训,并保证管理意志的贯彻实施,最终实现提高客户满意水平和控制内部风险。
物流企业的风险
对物流企业而言,所谓的风险,即业务经营中的不确定因素主要包括以下几个方面:
客户服务。由于企业只重视销售,不重视客户服务,导致营业额下降。
人力资源。岗位人员从业资格和能力不够,造成违规或低水平操作,有经验的人员流失,造成业务的中断,给公司的发展造成不利影响。
效率。企业效率低下,令成本升高,用较大的投入换来业务的上升。
表现差异。企业的运作水平与国际先进水准之间存在巨大的差距,没有能力弥补甚至忽视这种差距,造成业务开拓不利,客户资源流失。
时间拖延。业务流程耗时过多,单证处理速度过慢,解决问题时间过长等。
廉正风险和财务风险。
采购管理。企业可能由于对供应商管理不善,如错误地选择了供应商,或选择过多的供应商,造成采购成本偏高,影响企业产品竞争力。
授权风险。因监督控制不力造成的业务人员越权操作,如擅自为客户代垫费用,确认付款,无单放货,出具法律文件等等。
信息技术风险。如IT系统的崩溃,数据的丢失,备份计划的缺陷等。
风险控制流程至关重要
在案例一中,“企业有林林总总的管理规定,但那么多的诉讼和索赔事件出现,迄今没有任何违规,是因为企业没有相关要求和规定,或对规章制度执行不力。”某大型物流企业总经理如是说。
在案例二中,“纵观物流企业发生的所有商业风险事件,没有哪一件是因为企业事先不了解其危害性造成的,但规定是一回事,实际情况是另一回事,往往是事后才后悔当初细微的疏忽,但为时已晚。”一位资深法律顾问如是说。
在案例三中,“企业缺乏内部控制和监督机制,管理层对业务运作缺乏了解,只知道业绩指标,更没有相应的制度能够从内部进行风险控制,是造成企业出现违法问题的根源。”,一位国家主管机关官员说。
为什么有的企业有那么多的红头文件,组织了法律知识培训,希望提高员工的风险意识,却仍然存在众多违规造成的风险事件呢?为什么同样是经过ISO9000认证的大型物流企业,有的企业每年因风险控制不力造成数千万元的损失,而有规模更大的跨国物流企业,每年类似损失却能够控制在10万元以内?
我们的解释是,风险控制流程的不力,是造成类似问题的根源。
ISO9000强调的是业务流程管理,企业的部门服从与业务流程的要求,以满足客户要求和风险控制为最低标准。从流程的规划、执行、监督和改善的各个环节中,风险控制都是重要的一环。
风险管理的要素
企业风险管理包括八个相互关联的要素,各要素贯穿在企业的管理过程之中。根据管理者经营的方式,分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等。
内部环境
企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。企业管理者是内部环境的重要部分,其职责是建立企业风险管理理念,确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的初步行动结合起来。
目标制定
根据企业确定的任务或发展方向,管理者制定企业的战略目标,选择战略方案并确定其他与之相关的目标,在企业内层层分解和落实。
事项识别
有时,管理者不能确切地知道某一潜在事项是否会发生、何时发生及造成的结果,使得企业的管理者需要对这些事项进行识别。
风险评估
风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估——风险发生的可能性和影响。风险评估应从企业的发展战略角度进行。
风险反应
风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险,企业都应考虑所有的风险反应方案。选定某一风险反应方案后,管理者应在残存风险的基础上重新评估风险,即从企业总体的角度,或者从组合风险的角度,重新计量风险。
控制活动
控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业为实现其商业目标而执行过程的一部分。
信息和沟通
来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通,包括企业内自上而下、自下而上以及横向的沟通。
监控
对企业风险管理的监控,是指评估风险管理要素的内容和运行中执行质量的一个过程。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。
内部审核日趋重要
随着公司治理力度和风险防范意识的加强,整合提升管理水平,内部质量管理体系审核必然会成为组织内部控制的一种重要方式,正如惠普所倡导的“穿透式”审计,将业务流程审核、IT信息系统审核与财务审计紧密融合,将传统财务审计转变为现代风险审计,成为企业控制风险、规范业务流程的重要方式,内部审核的重要性必然会越来越受到重视。
