天有不測風雲,人有旦夕禍福。企業也是如此,由於各種不確定性因素的存在,它必然麵臨著客觀存在的各種風險,企業能否對這些風險進行有效的管理和控製,是其能否生存發展、能否實現預期目標的關鍵。財務風險是企業最主要的風險之一,有效地控製集團和成員公司的財務風險,對企業集團財務控製有著重要的意義。
一、風險與企業風險
目前,理論界和實務界對風險的定義並不統一,代表性的觀點有三種,第一種觀點認為,風險是損失的不確定性;第二種觀點認為,風險是一種損失或損害的可能性;第三種觀點認為,風險是實際結果和預期結果的離差。
上述觀點的表述雖有所不同,但實際上均將風險同“不確定性”相聯係。第二種觀點認為風險是損失或損害的可能性,這種可能性包括發生損害的可能性和不發生損害的可能性兩種結果,具有不確定性,而且這種可能性可以用概率加以描述。第三種觀點,指出風險是實際結果與預期結果之間的差異,而這個差異可能存在,也可能不存在;如果存在差異,可能是正向的差異,也可能是負向的差異,這些都是不確定的。可見沒有不確定性就沒有風險,用“不確定性”來解釋風險具有普遍的代表性,“不確定性”可作為理解“風險”概念的基礎。
風險對任何人、任何組織都是存在的,我們這裏講的是企業風險。顧名思義,企業風險就是企業損失的不確定性。可這樣的說法實在太抽象了,讓人覺得好像是明白了,又好像是什麼也沒有明白。所以,我更願意采取列舉法,來把企業風險列示出來,那就是企業風險是指企業所麵臨的政治風險、法律風險、自然風險、信用風險、彙率風險、利率風險、決策風險和管理風險。
二、財務風險的定義
盡管企業的所有風險,都可能直接或間接地和財務有關,但是作為財務人員,我們不可能對企業的所有風險都進行管理,客觀上沒有那麼全麵的能力,主觀上也不願意承擔太多的責任。所以,就需要從企業風險中找出應該由財務係統管理的風險,即財務風險。什麼是財務風險?和前麵我們遇到的許多概念一樣,我國理論界的認識也不統一,主要的有兩種觀點:
一種觀點認為,企業所有的風險都是財務風險,財務風險是經營風險的貨幣化表現。因為經營風險的大小以及損失都能夠直接和清楚地表現於企業財務收支的變化之中,表現為經濟損失。由此可以得出經營風險與財務風險的含義完全相同的結論,經營風險和財務風險隻是看待問題和分析問題的角度不同而已。
另一種觀點認為,財務風險屬於經營風險的一種,它不同於一般的經營風險,它僅是指企業在生產經營過程中的資金運動,即取得資金、使用資金、分配資金活動中所麵臨的各種風險。財務風險按資本運動環節的存在形態分為籌資風險、投資風險、經營風險、收益分配風險四種。
我認為,第一種觀點等於什麼都沒有說,既然企業所有的風險都是財務風險,那麼企業風險和財務風險就是一回事了,專家們把一個東西起兩個名字,不是故意製造混亂嘛。第二種觀點有一定的道理,但其所涵蓋的風險不是財務係統都能夠實施控製的。我認為從企業集團財務控製的角度來定義,財務風險是企業財務係統從職責、能力等方麵可以控製的和資金運動、財產損失有關的風險。據此,我們可以界定出財務風險的範圍包括:自然災害等造成的財產損失風險、信用的不確定性造成的壞賬損失風險、彙率的不確定性造成的外幣資產損失風險、利率的不確定性造成的財務費用增加風險、資本市場的不確定性造成的理財損失風險和財務危機的預警。
三、財務風險管理的過程
企業風險管理是指采用不同的管理辦法,用最小的成本達到最大安全保障的經濟運行過程。財務風險管理是企業風險管理的一個組成部分。所以,財務風險管理的過程和企業風險管理的過程是一樣的,包括風險識別、風險衡量、風險處理和風險管理評估四個階段。
1.風險識別
風險識別是指風險管理人員通過對大量來源可靠的信息資料進行係統的定性和定量分析,分清企業可能麵臨的各種風險因素,進而確定潛在的風險和性質,並把握其發展趨勢。
風險識別通常包括感知風險和分析風險兩個階段。一方麵,通過感性認識和曆史經驗來判斷風險因素;另一方麵通過對各種客觀的經營管理資料和風險事故記錄進行分析、歸納和整理,尋找風險和損失的一般規律。風險識別是整個風險管理工作的基礎,是一項持續性和係統性的工作,必須加以製度化、程序化。
風險識別常見的方法包括風險清單法、標準調查表法、財務報表法、流程圖法、風險因素分析法、事故樹分析法、損失統計記錄法、現場調查法等。
2.風險衡量
風險衡量就是根據風險識別的結果,衡量風險對企業的影響,測定特定風險事故發生的損失頻率和損失程度。
損失頻率是指一定時間內損失可能發生的次數。損失程度是指每次損失的可能規模,即損失金額的大小。如果我們把損失頻率與損失程度相比較的話,對損失程度的估計更為重要。風險管理人員必須估計每種損失風險類型的損失頻率和損失程度,並按其重要性進行排序,為下一步進行風險處理提供依據。
3.風險處理
風險處理是針對經過風險識別、風險衡量之後的風險問題,進行處理的過程。風險處理是風險管理的關鍵階段。風險處理的過程就是處理手段的選擇和應用的過程。經過企業界多年的實踐和理論界孜孜不倦的研究,已經總結出了很多行之有效的風險處理手段,我會在後麵專門講這個問題。
4.風險管理評估
風險管理評估是對風險處理手段的適用性、效益性進行分析、檢查、修正和評估。風險管理過程是一個動態的過程,企業原有的風險消失了,新的風險又會產生,過去適用的風險處理手段,現在或將來可能不再適用。另外,企業正在使用的風險處理手段未必都是正確的,所以企業對風險處理手段進行評估是非常必要的。
需要注意的是,上麵所講的這四個階段並不是截然分開的,在時間上會有所重疊,當然也不是一勞永逸的,而是一個周而複始、循環往複的過程。隻要世界上還存在著不確定性,企業就存在著風險,企業風險管理的風險識別、風險衡量、風險處理和風險管理評估這個循環就得不停地周轉。
四、COSO的企業風險管理框架
以上所講的風險管理過程,是傳統的風險管理過程,盡管我認為中國的企業集團能夠按照這個風險管理過程實施風險管理,就已經很不錯了,但還是有必要向大家簡單介紹一下國際上最新的風險管理成果———COSO的企業風險管理框架。
COSO是一個專門從事內部控製、風險管理的組織,它是美國注冊會計師協會(AICPA)、美國會計學會(AAA)、財務執行官協會(FEI)、國際內部審計師協會(IIA)和管理會計師協會(MAA)共同資助組成的反虛假財務報告委員會下屬的發起人組織委員會(THECOMMITTEEOFSPONSORINGORGANIZATIONSOFTHETREADWAY COMMIS-SION)的英文縮寫。COSO於1992年提出了著名的《內部控製———整體框架》的研究報告,並於1994年進行了增補,1997年正式頒布了《內部控製———整合框架》,成為內部控製理論的裏程碑。
《內部控製———整合框架》頒布以後,人們通過研究和實踐發現,風險管理框架比內部控製框架要大,並認定內部控製實際上是風險管理的主要內容。為了健全企業風險管理的理論與實務,CO-SO於2001年開始了企業風險管理框架的研究,2003年夏公布了研究報告,2004年8月正式公布了《企業風險管理框架》。
COSO的《企業風險管理框架》由目標、要素、層麵之間的關係構成。其目標有四個:戰略目標,與經理人使命相一致;運營目標,追求效力和效率;報告目標,要提供財務和非財務報告;遵循目標,保證活動按照法律和規定運行。組成要素有八個:內部環境、目標設置、事件確定、風險評估、風險應對、控製活動、信息與交流、監控。其層麵有四個:企業層次、子公司層次、業務單位層次、分支機構層次。
COSO發布的《企業風險管理框架》當然不是我用上麵這一段話就能夠介紹清楚的,由於時間關係,我也不能展開來講,如果大家感興趣,可以找一些有關著作,進一步研究。
五、財務風險處理手段
財務風險處理的手段有很多,根據事件可能發生的概率、事件發生的嚴重性、事件發生的成本,可以采用的風險處理手段大致可以分為四類:接受風險、避免風險、減輕或緩解風險和損失、抑製和轉嫁風險。
1.接受風險
如果風險發生的可能性較小,風險損失的影響較低,或者風險的發生很可能產生長遠的價值,企業可以考慮接受這種風險。例如:一家企業的進出口業務量很小,隻有很少的外幣頭寸,就可以考慮接受彙率變動所造成的彙兌損失風險。
2.回避風險
如果一項業務活動的風險發生,或潛在損失的代價和可能性均較大時,就要考慮采取極端手段,主動放棄或改變該業務活動,從而避免與該活動有關的風險暴露和潛在損失。風險回避是最簡單、最徹底的風險控製手段,它可以在事前、事中使用。但是,風險回避也存在著局限性。首先,客觀上存在著許多無法回避的風險;其次,有些風險暴露在理論上是可以回避的,但在實際操作中可能是不可行的;再者,有時候風險回避在經濟上是不適當的;最後,回避一種風險可能會產生另外一種新的風險。因此,風險回避手段在實踐中不能過度使用。