内部控制——同一家组织应该统一编制自己的风险语言
ID:内审师修行与实战
风险语言,国内企业很少有这种说话!
很多企业管理层顶多知道风险这个词,对风控概念还比较陌生,甚至连风控的基本定义还没搞清楚,仍停留在“风险越大,收益越大”的常识阶段。
1.什么是风险语言?为什么要统一风险语言?
简单来说一个组织,有统一的风险和风险应对的专用术语,包括但不限于命名、定义、范围、评价等等。
其主要目的是:让组织内的所有成员在接收和传递关于风险的相关“说法”时,有一致的理解。
避免你说的是风险,他说的是收益。
你说的是美女,他说的是狐狸精。
也如计算机语言一样,所有计算机程序都要认,必须不存在重大分歧或偏差。
2.谁来设计风险语言
理论上来说,应该由专业的风险管理部门或人员来设定。
我国的企业中,很少有专门的风险管控部门,除了特殊的行业,比如金融业。
很多中小型企业也是不必要成立风险管理部门的,审计部门可能会取代这一职能。
这就存在一个问题:作为独立性的审计,能参与到风险管理中来吗?
理论上来说,不应该!
但是,除了审计部门,我们很难找到其他部门(就算是法务部门也不行)拥有全面的风险管理知识和意识。
所以,审计部当然可以参与制定风险语言,不要那么死板!
但要注意保持独立性,不要参与到具体的风险控制程序中,如参与和确定风险流程,并签字复核有风险的业务。
3.风险语言的目的:打造适用于自家企业的语言才是最合适的
风险语言,并不是让你开发一套专门的语言,而是引入普遍使用的风险概念,然后,结合公司业务,对相应的风险管理进行定义和描述。
比如:现金管理风险。
通用的说法就是现金流上相关风险,甚至包括预算、投融资和日常经营现金流。
但是,你们公司没有那么多业务,就只有收支安全,那就你需要对相应的收支风险进行定义。
在公司层面,也不是只有变小,也可能变大,比如:你们企业非要将工程验收(用于付款)也纳入到现金风险管理中,也无不可!
打造一套适用自己的风险语言,是风控框架的基础之一。
4.风险语言包括什么?
本文所说的风险语言,就是针对单个组织的。
你们组织中存在的主要风险有哪些,你就要为哪些风险制定专用语言。
(1)风险定义:可以沿用普遍意义上的“不确定性”作为定义,也可以用“后果”与“可能性”来定义。
你也可以单独为公司定义:可能造成财产损失的或造成(2万元以上)损失的才叫风险。
(2)风险归类:分类是一项很多样的操作,横着可以分,竖着也可以分。
你可以按大类分,比如:法律风险、市场风险、管理风险等。
也可以按业务类型分:投资风险、财务风险、工程管理风险、营销风险、财务风险等等;
还可以按控制风险和剩余风险来分类。
(3)风险评级:无论你是按一级、二级、三级来说,还是按特级、重大或普通风险来分,都要对风险做一个评级。
必须说清:一级的有哪些,什么标准?二级三级风险都有哪些,等。
一些应急类风险,也需要单独明确,便于做出及时应对。
总之,当你说出某类风险时,所有人的认知都是一样的。
(4)风险责任:不同的风险的责任人和责任部门要说清,主次要责任也要定义。
(5)风险应对措施:总体上有规避、接受、转移、降低四种应对,但作为企业,要有更为具体的应对措施,如:某一类风险应由几个部门响应?多长时间响应等。
(6)风控框架:这就比较大了,由无数个风险点,无数个应对措施组织的一套应对风险的管理系统。
总之,风险管理有多大范围,你的风险语言就要设计到多大范围,会涉及方方面面的知识和技能。
但必须有一个前提:适合自家组织的!
亲,多关注转发!