时间:2023-08-24 17:17:58
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业风险管理内容,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:内部审计;企业风险框架
一、企业风险管理框架介绍
1 企业风险管理的定义。2003年7月美国COSO(全美反舞弊性财务报告委员会发起组织)委员会的《企业风险管理框架》征求意见稿中对其定义“企业风险管理是4"由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。这是一个广义的风险管理定义,适用于各种类型的组织、行业和部门。
2 COSO企业风险管理框架的内容。对于许多企业来说,没有一个普遍认同的关于风险以及风险管理的定义,也缺乏一个概述风险管理运作程序的全面框架,这使得董事会成员和管理层之间进行风险交流变得异常困难。在这背景下,制定框架有着强烈的驱动力。为了顺应企业的呼声和要求,2003年7月美国COSO委员会颁布了企业风险管理框架的讨论稿。讨论稿描述了企业风险管理框架包括四类目标:战略目标、经营目标、报告目标、合规性目标。要素:内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
二、以风险导向的内部审计
内部审计是在一个组织内部建立的一种独立的评价活动,并作为对该组织的活动进行审查和评价的一种服务。内部审计的目的是协助该组织的管理成员有效地履行他们的职责。内部审计的发展趋势是有财务审计到财务审计与管理审计并重。
现在国内外的审计都推行风险导向审计。审计风险模式为:审计风险=重大错报风险×检查风险。在审计过程中,审计师需要实施审计程序,评估重大错报风险,并依据重大错报风险的评估水平确定并实施进一步的审计程序,以便把检查风险降低到一个可以接受的低水平。
站在企业立场的内部审计师更多的把风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险,所以内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的建议的一种审计方法。
三、内部审计与企业风险管理的关系
内部审计即是企业风险管理(内部控制)的一个组成部分,又是企业风险管理(内部控制)的一种特殊形式。
企业风险管理体系包括要素,其中监控又分为持续监控与个别评价。持续监控的对象是除监控外的七大要素,持续监控的主体是各直接进行风险管理的业务部门。个别评价的对象是除监控外的七大要素和持续监控。个别评价的主题是内部审计部门和业务部门,并且应该以内部审计部门为主,因为业务部门主要负责持续监控,长时间从一个角度看问题容易产生偏差,由内部审计部门介入,能有效地纠正这种偏差。作为个别评价的内部审计是企业风险管理的一部分,评价除自身以外的企业风险管理体系的全部内容。
四、内部审计中企业风险管理框架的应用
在企业风险管理体系中,内部审计是对企业风险管理有效性的评价。本文试图建立一个风险管理评价体系,以方便地指导内部审计对风险管理体系的评价工作,加强全企业范围内对风险的识别与控制,完善风险管理体系。
1 评价的目的。内部审计对企业风险管理有效性评价的目的在于完善企业风险管理体系,更好地控制风险、增加价值。需要注意的是,评价本身不是目的,评价过程中内审人员与各部门的沟通以及评价后相应改进措施比评价本身更为重要。
2 评价的内容。内部审计人员对企业风险管理的评价可分为总体和业务两个层面进行,评价的内容就是企业风险管理框架中的八要素。
3 评价的方法。评价的方法有很多,有很多不同的评价方法和工具,包括一览表、问券以及流程图技术等。这里介绍2种模式。(1)风险管理自评。风险管理自评的方法就是要求审计人员与被审计部门管理人员组成一个小组,对本部门风险管理的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。对于内部审计而言,风险管理自评可以让管理部门了解到对风险管理的责任,同时还可以提高审计的效率和效果,减少审计人员的工作量,节省审计时间。(2)风险管理矩阵法。风险管理矩阵法是审计人员根据企业经常目标、风险与控制之间的联系,为确保审计建议能针对重要的风险而建立的一张工作表。
该表包含了下列信息:明确企业的经营目标,审计人员对被审计事项的初步了解,根据初步了解的情况识别风险因素,衡量风险的重要程度,采取适当的控制措施,审计人员的评价和结论。
内部审计人员通常在测试的最后阶段来做这个矩阵,其优点是清楚地反映出对每一目标的测试和评价,有助于关注重要风险。
4 评价的报告。评价报告分为两大类,一类是专项评价报告,一类是总体评价报告。
本文试从企业风险库的建立及运行方面着手,探讨其对企业风险管理的现实意义;同时从内部审计部门的角度出发,提出若干建议和办法,以期能为企业风险库的建设与运行提供参考意见。
关键词:
内审部门企业风险库
随着企业风险管理工作越来越受到重视,作为风险管理的重要组成部分——风险库也逐步走进了管理层的视野。企业风险库收集、归类、跟踪已识别的各类风险信息,能够帮助管理层特别是内审部门了解、掌握企业的风险现状及变化趋势,是企业风险管理的重要工具。同时,实践当中由企业内审部门承担风险管理工作的情况也屡见不鲜。为此,如何建设及运行企业风险库就成为摆在内审部门面前的一道重要课题。
一、基本原则
企业风险库的建设及运行工作应遵循以下几个原则:
1.先易后难、逐步扩展原则。
企业风险库建设涉及到企业管理和运营方面,内容包括内控风险、运营风险、市场风险、财务风险、安全风险、法律(环保等)风险等,其建设与完善绝非能一日而就。作为企业内审部门,可采用电子表格形式,先将比较熟悉的内控风险、运营风险、财务风险等类风险纳入风险库进行监管,待条件成熟后再将其它风险逐一纳入企业风险库进行跟踪管理。
2.形式规范原则。
企业风险库是企业风险管理的一个重要工具,它承载着企业风险的识别、评估与应对工作;同时它也是一项重要资源,企业管理层从中获取有用的管理信息和风险提示。因此,风险库的形式必须规范,既能承载企业风险管理的日常工作和信息,又能让相关部门在日常业务中借鉴。
3.定期维护原则。
在风险库建立后,运维工作成为关键。没有日常运维的风险库,即使建立时风险数据比较全面,也将逐步脱离企业实际情况,失去其价值。维护周期视企业具体情况而定,但不能少于每月一次。
4.信息化辅助管理原则。
随着企业风险管理工作逐步完善,风险库数据量快速增大,日常维护工作耗费大量人力,运行成本变得高昂;风险库应用在企业内逐步推广,维护及使用部门增多,电子表格的协作受到考验。因此,风险库载体由电子表格向专业软件演化将是一个发展趋势。内审部门在风险库设计及日常运行时应充分考虑到这一因素。
二、风险库建设
必要的人员配置和项目预算是风险库建设和运行的前置条件,决定了风险库建设和日后运行状态的优劣。内审部门应充分意识到风险库在风险管理工作中的重要性,成立项目组安排专门人员结合企业实际情况和相关法律法规,制订风险库建设的步骤、方法等计划;报批项目组人员配置、工作职责、项目预算等;拟订风险的搜集、分类、分级、录入、运维办法等。风险数据库建设人员应包括内部审计、内控、法务、财务、企管等人员;后期维护人员应不少于一人,可视企业规模设为兼职,但必须有确定的人员和工作责职。风险库在内容方面和结构要素方面应包含下面内容:
1.内容方面,
风险库应当包括但不限于下列分类:战略风险、内控风险、运营风险、市场风险、财务风险、安全风险、法律(环保等)风险等,细分之下还包括生产风险、政策风险、道德风险等。风险的纳入应遵循先易后难、逐步扩展原则。
2.要素方面,
风险库应有风险名称、风险描述、分类、等级、控制流程、风险主控部门等要素,内审部门可以根据企业实际情况适当增补部分项目,以达到对风险进行充分管控的目标。风险名称应简单易懂,如“上海办事处售后存货损失风险”。风险描述内容应具体明确。风险分类原则上按内容区别,如内控风险、市场风险、法律风险。风险等级评定时,要考虑具体风险的年发生频次及每次发生的损失金额。控制流程根据企业实际业务流程填写。风险主控部门同时也是风险应对的主要责任部门。风险应对措施不仅包括风险主控部门报送的应对措施,还应包括内审部门对应对措施落实的检查情况。风险状态以风险管理的各个阶段确认,如识别、评估、应对、跟踪、结案等。
三、风险库运行
风险库运行的基本理念是,以数据库作为支撑,通过识别、评估、应对、监控企业风险,对企业管理提供建议,使管理层能够较快做出科学合理的风险决策。同时,跟踪风险的发展状态,实现企业动态风险管理。风险库的运行工作主要包括以下几个方面:
1.识别风险,甄选入库。
风险的识别可依据相关的资料和以前的审计发现,使用清单法、调查法、流程图法和事件树等方法来进行。通过上述方法并广泛走访调查,能够相对全面的识别企业所面临的风险。在经过风险识别后,可得出企业运营中的常见风险,进而根据识别出的风险进行甄选,优先将具有管理效益的风险纳入企业风险库。在确定风险等级时,应考虑年发生频次和每次可能损失金额。当风险项目需要采用总分类管理时,可以采用电子表格的分组功能实现。
2.评估风险,组织应对。
内审部门应对已纳入风险库的风险项目进行分析,明确风险主控部门和控制流程,并督促风险主控部门制定出相应的风险应对策略和具体措施。在应对策略方面,可供选择的有风险回避、风险预防、风险转移和风险授受等。制订具体应对措施时,风险主控部门应根据实际业务情况和可能发生的损失。内审部门应对制订的应对措施进行审核和评估,以确认是否能够达到企业决策的风险管控目标。
3.监控风险,跟踪落实。
内审部门应在企业运营过程中,持续对风险情况进行监控和跟踪。主要途径有风险主控部门定期汇报、日常走访了解、专项审计报告确认等。监控的主要内容包括已识别风险变化情况、风险应对措施实际落地情况和应对风险效果、残余风险和衍生风险情况;针对风险应对措施实际效果考虑是否追加或减少措施。
4.信息共享,全面管理。
内审部门定期整理风险库数据,形成报表传达各风险主控部门,内容包括对各个风险的评估、决策、应对措施和处置结果。风险库日常对风险主控部门和相关管理部门开放各自业务范围内的风险信息权限,能够有效提高工作效率并促进风险管理规范花、制度化,达到全面风险管理的最终目标。综上所述,企业风险库的建设及应用以防范和解决企业风险为主线,通过系统评估和记录企业内控漏洞和风险状况,评判应对措施,有利于加强企业内控工作和增强管理层的风险意识。风险库对于企业建立完善先进的风险管理体系,健全经营管理机制,实现风险“可控、能控、在控”,具有重要的现实意义。
作者:冯安平 单位:江苏新日电动车股份有限公司
参考文献:
[1]方红星、王宏译.企业风险管理-整合框架/美国COSO[M].大连:东北财经大学出版社,2005.9.
【关键词】企业风险管理;公司绩效;关系研究;内部管理
Enterprise Risk Management即我们通常所说的企业风险管理,简称ERM,通过采取各种手段对企业内的发展进行评估,同时分析出管理的风险。企业风险管理主要是将各种风险管理的方式组合在一起,使整个公司范围内的风险之和低于单个风险之和,从而转换成较低的风险管理的成本。特别是近些年来经济的飞速发展,社会各界以及企业的管理者对风险管理的关注度持续增长,越来越多的企业开始在实行风险管理,很多专业咨询公司应运而生,但是纵观我国风险管理的现状,很多制度并不完善,特别是对企业风险管理的组织结构、管理优势、测度风险的不确定以及企业内部反对力量的阻挠,使得我国的企业风险管理仍处于发展的初级阶段。
公司绩效指的是在一定时期内企业经营的效益情况和经营者的业绩,主要包括公司盈利的能力、资产运营的水平、偿债的能力以及后续发展的潜力等内容。公司绩效是一个企业运营状况的整体评价,它与企业的风险管理相辅相成,良好的企业风险管理能够有效提高公司的绩效情况,相反,如果一个公司没有形成良好的企业风险管理,将会影响企业绩效水平的考核。如何正确把握企业风险管理与公司绩效的关系,从而发挥企业发展的潜在动力,增强企业在市场上的竞争力呢?我们可以从企业风险管理与公司绩效的具体表现形式的关系着手进行分析。
一、企业风险管理与公司盈利能力的关系
企业风险管理设置的初衷是为了降低外部经济压力和内部结构变化对企业发展带来的冲击,降低企业发展的风险成本,为企业提供了减少不可避免的风险转移或者由资产使用带来的潜在成本的压力,从而提高企业的经济效益,因此企业风险管理与公司盈利能力的大小是正相关的关系。如果企业具有较高的盈利能力,证明企业的各项事业发展都比较符合实际的发展规律,实行企业风险的管理,能够在保持公司盈利能力的同时,减少未来企业发展遇到经济波动对企业的影响,切实能够做到未雨绸缪,降低企业的运营风险。
二、企业风险管理与资产运营水平的关系
企业资产运营的水平的高低与企业风险管理之间有着密切的联系,通过企业风险管理的实际操作,整合出在企业范围内各种风险的总和,并根据风险的具体情况制定企业发展的计划和投资的方向,在明确每一步发展可能为企业带来的风险之后,科学制定企业的投资计划,例如在研究国家股市政策之后,慎重股市投资以及对股票的管理,使企业的资产都能够得到合理的规划,从而提高企业的经济效益。反之,如果公司具有较高的资产运营水平,各项资产都能够得到合理的利用,也会为企业的风险管理提供相对稳定的实施环境,有利于制定出更加符合企业发展的风险管理政策。
三、企业风险管理与企业价值的关系
企业的价值作为一种经济术语,是指公司全部资产的市场价值,包括了股票与负债市场之间价值的总和,例如债券、优先股普通股以及其他形式的证券,同时还包括公司无形资产和公司价值的溢价评估。作为公司绩效的组成部分之一,企业价值的体现与企业风险的管理具有重要的影响, 例如如果一个企业的管理者,他的监管压力可能会对特定行业中的竞争者产生类似的影响,而上市公司中的股东压力则取决于不懂股东之间的行对影响,因此为了更好实现公司的价值,有效管理公司的各种市场价值的具体体现,企业进行风险管理的可能性就越大,而实行企业风险管理获得的收益也越大。
四、企业风险管理与偿债能力
企业的偿债能力主要是指企业利用其拥有的资产偿还企业长期债务或者短期债务的能力,偿债能力的大小直接反应了企业财务状况的好坏和经营能力的强弱,而通过企业风险管理,能够预见企业偿还债务的能力,分析出债务对公司的潜在影响,在保证偿债能力的同时保证公司资金的正常运转。
结语
通过构建能够成功实施的企业风险管理能够完善对我国公司进行治理,能够帮助企业将风险设定在可处理的风险容量之内,在明确企业目标的同时,运用于企业经营活动的全过程中,特别是对公司的结构治理具有重要的现实指导意义,具有整合性的企业风险管理也必将成为未来企业管理中的重要组成部分。
参考文献:
[1] 胡于高. 内部审计与公司治理的互动关系[J]. 合肥工业大学学报(社会科学版). 2010(02)
[2] 赵靖. 中国上市公司股权结构特征及其影响[J]. 中国市场. 2010(Z1)
[3] 王琳琳,薛蓉,王淑艳. 上市公司治理结构与绩效关系研究[J]. 中国证券期货. 2010(07)
在分析风险管理审计准则出台的背景、内容及现阶段开展风险管理审计存在的制约因素基础上,提出了有效开展风险管理审计的一点建议。
关键词:
风险管理;内部审计;风险管理审计
中图分类号:F239文献标识码:A文章编号:16723198(2009)22018102
1 我国风险管理审计准则出台的背景
如今的西方多数大中型企业均已实施了不同程度的风险管理。根据德勤2003 年的调查, 80%以上的世界性金融机构已设立了风险管理师(CRO) 工作职位, CRO 职位比例居首位的为南美洲金融机构, 已达95%, 居末位的为亚洲金融机构, 仅为29%。在目前欧美的部分金融机构中CRO 的职位职能仍然由企业的风险管理委员会行使。普华永道2004 年对全球1 400 位CEO 进行了调查,其中70%的CEO 将发展与提高企业的整体化风险管理能力提高到他们当前工作内容的首位。调查还显示38%CEO 认为, 企业已经建立了行之有效的企业整体化风险管理体系, 另有46%的CEO表示将在1- 3 年内建立与发展企业整体化风险管理体系。
为了适应企业界的这种变化,更好地实现组织价值的增值。国际内部审计师协会(IIA)1999年6月对内部审计进行第五次定义。修订后的定义扩大了内部审计的范围,将它的工作目标延伸到包括风险管理、控制与治理程序,强调了内部审计对组织的重要贡献,标志着内部审计开始进入了风险管理审计阶段。风险管理审计反映了内部审计动态发展的基本趋势和变革倾向。
相比之下,我国企业的风险管理水平还处在初级阶段, 虽然近年来取得了长足的进步, 但就总体而言, 与飞速发展的客观经济形势仍不相适应, 呈滞后状态。近年来国内外上市公司出现的诚信危机, 有力地推动了我国企业风险管理的进程。企业管理当局已经意识到现在的社会也是一个风险全球化的社会。因此迫切需要建立起一套适合我国企业进行风险管理的指导框架。2006年6月国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该指引的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号风险管理审计》(下称:风险管理审计准则),该准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
2 我国风险管理审计准则的内容及局限性
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
首先,可以看出该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万(10×50万=500万)。但是中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云波诡秘,而是在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
其次,对风险管理审计的认识依赖于企业进行风险管理实践时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,下称COSO委员会)在2004年9月提出的《企业风险管理――整合框架》(Enterprise Risk Management Integrated Framework,下称《ERM整合框架》)。这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。国内中央企业在进行风险管理则是在《指引》的指导下并结合自身的实际情况开展的。《指引》对企业风险管理的目标、流程描述,与《ERM整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段.分别对应着《整合框架》中的企业风险管理8大基本要素。所以风险管理审计准则中的风险管理概念要采纳《ERM整合框架》中广义的风险管理观点而非其1992年的《内部控制整体框架》中狭义的观点。
3 运用风险管理审计准则存在的制约因素
3.1 有关风险管理审计的法规及准则尚不完善
风险管理审计是从西方国家引入我国的,相关的法规及准则还不够健全和完备。我国内部审计准则正处于跟国际内部审计准则接轨的阶段当中,关于风险管理审计最主要的法规是2005年5月开始实施的风险管理审计准则,只是就风险识别、风险评估、风险应对进行风险管理审计作了原则性的规定,比较抽象,缺乏对风险管理审计操作的具体指导。其他有关风险管理审计的法规也比较缺乏。
3.2 企业管理观念落后,风险意识不足
随着企业外部经营环境的复杂化,领导层风险意识大大增强,认识到进行风险管理的重要性并着手建立自身的风险管理体系,但水平较低;同时尚未意识到内部审计机构开展风险管理审计的重大意义。在这样的风险管理观念里,很难有效进行风险管理,降低和避免风险带来的损失只能成为空谈。
3.3 内部审计在组织中的地位不合理
内部审计在组织中的地位影响其开展风险管理审计的效果。目前由于内审部门组织地位不合理,风险管理审计的开展变得异常艰难。有些企业将内部审计部门只设置在总经理层级之下,与其他职能部门同一级别。但企业总经理和以上的高层的职权高于内部审计部门,与内部审计部门的权力相抵触,这样在开展风险管理审计过程中,一旦高层发生舞弊或者重大决策失误就不易发现和解决,这样的情况下所进行的风险管理审计工作不仅难以保持内审人员的独立性与客观性,还存在着重大的审计风险,无法保证风险管理审计的质量,最终可能导致企业陷入危机。
3.4 内审人员知识结构单一、缺乏综合知识
风险管理工作的复杂性决定了内部审计人员知识的全面性,决定了内部审计人员必须具备复合型人才的素质,不仅要具备会计、审计专业知识,还要熟悉企业经营环境和生产经营过程,具备管理学、金融、计算机技术、工程制造、法律等多方面知识。我国内部审计人员专业结构中,会计、审计专业占绝对统治地位,而其他专业的工作人员在内部审计人员结构中所占的比例相对较小。知识结构单一不能适应风险管理审计对知识综合性的需求,风险管理审计难以开展。
4 有效开展风险管理审计的对策与建议
基于以上分析笔者认为,要实现有效的风险管理审计,要做到如下几点:
4.1 丰富与完善风险管理审计准则的内容
对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会2004年的《ERM整合框架》中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。
4.2 加速推进国内企业的风险管理实践
企业风险管理理论和《指引》都是针对企业所面临的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式,在企业风险管理理论本土化的过程中应找到符合国内企业实际的切入点。每一个企业都有其特殊的行业特点,既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等。这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骜远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
4.3 全面提高审计人员素质
首先,要改变审计人员专业结构的不合理,培养高水平复合型的人才。其次,要加强培训,强化审计人员的逻辑思维和综合分析能力,提高审计人员运用数理统计模型、金融工程等先进方法进行风险管理分析的能力。
参考文献
[1]李瑛,李阳.新环境下的企业风险管理与风险导向内部审计[J].会计之友,2008(3):7071.
关键词:企业 风险控制 实施策略
企业在生产经营过程中,不可避免的要受到经济环境、法律政策、金融制度等外部因素以及企业的治理结构、战略文化、管理体系等内部因素的影响,在这些因素中存在着较多的风险隐患,如果管理控制不当容易影响企业的自身战略发展。特别是在当前企业经营发展所面临的内外环境复杂多变的时期,建立风险监督管理系统,对企业的经营管理潜在风险因素进行全面系统的分析,强化企业的风险管理控制能力,确保企业风险控制目标的实现,已经成为企业管理工作的重点,对于提高企业的经营管理水平以及市场环境适应能力也具有重要的作用。
一、企业经营发展的风险类型分析
对企业的风险进行管理控制,必须明确企业生产经营的主要风险类型,在当前市场经济环境下,企业风险可以分为外部风险以及内部风险两类。
(一)外部风险
外部风险主要是指企业在市场环境下生产经营过程中所面临的客观风险,主要包括政治风险、法律政策风险、合规风险、技术风险、市场环境风险、产业风险、社会文化风险以及信用风险等几种类型。
(二)内部风险
内部风险主要是与企业的战略目标、管理体系以及治理结构相关的风险因素,主要包括企业的战略风险、操作风险、运营风险、财务风险等几种类型,其中企业风险管理控制主体就是企业财务风险的管理控制,即对企业财务结构、会计活动以及投资项目所开展的风险管理控制活动。
二、当前企业风险控制管理存在的问题分析
(一)全面预算管理基础薄弱
全面预算管理已经成为现代企业管理体系中应用较为广泛的管理手段,系统完善的全面预算管理体系可以对企业的经营管理尤其是资金管理进行整体的规划安排,对于降低企业的财务风险以及资金流动性风险具有重要的作用。但是目前我国企业的全面预算管理基础薄弱,难以真正发挥其实际职能,对于降低企业经营风险以及指导企业财务管理工作作用不大。
(二)内部控制力度较弱
内部控制作为企业风险管理体系的重要内容,对于评估分析以及防范控制风险具有重要的作用。但是由于部分企业内部控制制度的系统性较差,缺乏重点性以及风险导向性,削弱了内部控制在风险管理工作中的实际效果。
(三)风险监督机制失效
由于部分企业风险控制管理意识薄弱,因此对于风险管理并没有制定系统全面的监督机制,同时也缺乏风险管理工作激励措施,由于监督职能的失效,因此风险管理体系也无法实现事前预警分析、事中控制防范以及事后问责,这种权责不明的制度造成风险控制管理效果较差。
三、提高企业风险控制能力的具体策略
(一)完善预算管理体系,强化内部控制体系的建设
全面预算管理体系建设不仅可以起到分配控制以及考核企业资源的作用,对于组织企业经营活动,降低经营风险也具有重要的作用。因此企业应该完善预算管理制度,同时采取自上而下、自下而上以及上下结合的方式进行企业预算的编制,并通过强有力的执行措施,发挥全面预算管理在降低企业风险工作中的作用。其次,企业应该认识到内部控制与风险管理工作之间的密切联系,并通过完善内部控制体系以及制度建设,为有效的风险控制管理工作提供基础保障作用。
(二)做好企业的风险评估以及应对工作
由于企业的风险具有不确定性以及突发性,因此必须做好风险评估以及应对工作。首先企业应该全面深入了解企业经营发展过程中存在的各类风险,细致分析有可能造成企业出现风险问题的各种因素。然后按照定性风险评价法或者是风险率风险评价法等方法对风险频率进行准确的评估,通过对风险因素、风险类型以及企业数据的细致分析,准确的评价风险发生概率以及风险等级,进而对风险管理工作的重点进行排序。其次,在完成风险分析以及评估之后,应该按照风险等级、发生概率、企业的战略以及企业承受能力等相关内容,制定具体的风险应对方法。在风险管理控制方法的制定上,应该注重管理方法的连续性以及动态性,通过积极的应对来提高企业的风险防范控制能力。
(三)优化信息系统建设,强化对风险管理的监督考核
优化企业的信息系统建设, 可以强化企业的信息集成以及共享能力,因而能够将涉及到企业经营活动的各项信息及时准确的传递至决策部门以及风险管理部门,进而确保企业风险监测、风险评估分析以及风险等级管理等工作的顺利开展。同时,企业应该完善风险监督机制,督促相关部门严格按照风险管理措施执行风险管理控制工作。此外,企业风险监督管理部门应该做好风险管理绩效评价工作,通过绩效评价为企业风险管理工作的持续开展与改进提供准确的依据。
四、结束语
企业在市场经济环境下开展经营活动,就必然存在着风险问题,企业内外环境中的各种风险因素都有可能对企业正常经营发展造成不利影响。因此企业管理部门必须充分认识到风险管理控制工作的重要性,将风险管理控制作为一项系统工程,结合企业行业特点以及业务活动特点,对风险管理控制环境进行优化,完善企业风险管理控制制度,并通过细致的评估分析,提高企业风险控制能力,确保企业的稳健发展。
参考文献:
[1]许国兵.基于案例推理的企业物流外包风险预警系统[J].物流技术,2007
关键词 风险管理文化
文章编号 1008-5807(2011)03-023-01
一、企业风险管理文化的内涵
企业文化是企业在长期运行过程中形成的,并为企业管理层和员工所接受和认同的理想,价值观和行为规范的总称。企业风险管理文化是蕴涵于企业文化中的核心内容,是在风险管理活动中提炼、形成的集风险管理理念、哲学观和价值观、风险防范的行为规范于一体的人文文化。
二、企业风险管理文化的组成部分
风险管理文化是企业可持续发展的思想保障和理念基础之一。对于企业来说,更需要实施新的、高层次的文化战略,构建与其相适应的,高度吻合的风险管理文化。企业的风险管理文化主要由精神模块、制度模块、行为模块、技术模块和知识模块组成。
(一)精神模块
风险管理文化的精神模块又叫风险管理的精神文化,它处于整个风险管理文化的最深层,并成为风险管理文化的灵魂和核心。在市场化改革的形势下,要强化以风险为中心的管理理念。企业风险管理文化精神模块的塑造主要可以从两个方面来分析:
(1)建立有企业特色的风险管理理念。企业只有根据自己的特点,提炼出符合本企业的优秀理念,体现出企业的个性,形成企业自身特色的企业精神,才能为企业的发展指明方向,并以一种无形的方式沉淀下来形成企业的一种行为规范。
(2)确立企业风险管理核心价值体系。企业高层管理者要有意识的参与、引导、推动和创造企业的风险管理文化,要把风险管理文化建设放在企业经营管理中的重要位置。
(二)制度模块
在一个文化系统中,精神文化必须也必然要发挥灵魂、核心作用,从而渗透到其他文化中。精神文化的渗透、指导、调整作用,必须有一个逻辑秩序,这就要通过制度文化的层面或环节发生。对于企业风险管理文化来说,其组织结构、制度规范层面的建构,正是搭建一个风险管理精神文化与行为文化、物质文化之间承上启下、承前启后的平台,处于特殊重要地位。企业要根据自己的理念,不断推出适应新的竞争形势的管理制度,可以借鉴企业文化的人本管理的模式、学习型组织的创建和流程再造等,用优秀的制度来保证文化建设的实施。
(三)行为模块
风险管理文化建设的行为层面可以分为管理层和员工两个层次。管理层要有全新的管理行为,在自己的管理行为中处处体现出本企业的文化特点,体现出企业的文化品位;而员工要有全新的工作行为,要用爱岗敬业、诚实守信、开拓创新的行为,要树立“执行第一”和全员执行意识来具体实践企业的风险管理文化,有效防止企业风险行为的产生。企业文化要随着环境的变化做快速的改善甚至是转变,使得企业文化与经济发展的要求趋同。
(四)技术模块
技术层面主要是指企业防范控制风险的技术和手段,包括识别、计量、监测、控制风险以及风险管理系统的建立等内容。在技术层面构建时要遵守科学管理、可持续发展的原则,建立长效机制和有效的信息沟通机制。确保风险管理能够在各个环节下正常进行,实现对风险管理分散和集中的有机统一,从整体上把握企业面临的全面风险。
(五)知识模块
良好的风险管理文化的培育离不开学习。通过不断的学习研讨,实践,案例教育以及风险管理理念、知识、业务和危机意识方面的培训,倡导和强化风险意识,牢固树立“风险先行”的意识。
三、企业风险管理文化建设的路径
(一)树立先进的风险管理理念
当今时代的风险管理文化应该是面向世界,面向未来的文化。一方面,企业要立足现状。相较于传统的风险管理理念,现代管理理念有了很大的进步,但是还是只停留在制度管理和道德风险防范上,没有意识到到企业不只是防范风险,还是在经营风险,没有将其变成一种经营理念融入到公司经营的每一个层面,每一项业务运作的过程中去。另一方面,企业要敞开胸襟,借鉴国外先进成熟的管理理念,把国外的理念与我国国情相结合,使风险管理文化更具开放性,紧跟时展的潮流,更加适应经济全球化的需要。
(二)增强全员的风险意识,使风险管理文化深入人心
企业要通过不断强化对风险认识的文化导向逐步形成全行员工统一的风险管理理念和价值标准,并渗透到所有部门和岗位的各项业务过程及每一个操作环节中。风险无处不在,无时不有,为了有效识别、防范和控制风险,企业要推行全面风险管理,强调全员参与风险管理文化理念,企业全体员工都应该有风险管理意识的自觉性。风险管理不仅仅是风险管理部门的事情,而是整个企业全体员工都必须考虑的事情。企业应该通过加强对员工的教育和培训来增强员工的风险意识。
(三)强化人力资源管理,建立学习创新型企业
人是创造文化的载体,又是传承文化的载体,风险管理文化塑造要以人为中心,着眼于人们的思维方式和心理状态,充分体现以人为本的思想,注重风险管理文化中人的因素,突出风险管理文化的主体。我们要培育一批纪律性强、专业文化水平高、素质过硬的风险管理人才队伍,只有人才的专业能力水平上去了,我们才能拉近和世界先进企业的管理水平,才能在企业的竞争中处于有利地位。企业只有建立强大的人力资源体系,才有能力实施风险管理,才能提高企业的竞争实力,确保企业目标的实现。
参考文献:
[1] 胡昆.商业银行风险管理文化建设的思考.华南金融电脑,2008(12).
[2] 韩煜.商业银行风险管理文化探析.科技资讯,2006(5).
[3] 齐刚.浅谈上市公司的风险管理文化.中国新技术新产品,2009 NO24.
[关键词]企业;风险管理;措施
[中图分类号]F275[文献标识码]A[文章编号]1005-6432(2013)9-0030-02
1现代企业风险管理概述
随着市场经济的发展,现代企业的风险管理有了新的拓展,传统意义上的风险指的是企业在经营过程中遭受损失的不确定因素。随着现代企业的发展和互联网技术的普及,企业发展的不确定因素增加,同时也为企业的发展创造良好的机遇。现代企业风险管理指的是在企业经营过程中,识别、分析、评估各种潜在的风险事项,对风险偏好范围进行管理和控制,为企业经营决策提供依据,保证企业经营目标的实现。具体表现为分析风险产生的原因,有意识地应对和承担风险,科学管理风险及稳妥获取风险收益。现代风险管理以博弈论为基础,通过深层次、全方位的分析,形成一套完善的系统的风险管理计划,对各类风险进行识别、定性定量分析、管理和监控等,为企业未来发展策略提供科学的依据。现代企业的风险管理可以分为以下几类。
11资本结构的风险管理
资本结构指的是企业资金的来源、权益资金和负债资金的规模大小。对企业资本结构的分析,目的在于优化企业的资本结构,使企业的资金运作能够实现良性循环,减少财务风险,提高企业的经济效益。如果企业的资本结构存在问题,负债经营的规模过大,增加了企业的财务风险,从而可能导致企业破产。企业负债经营规模过大,会削弱企业的筹资能力,导致企业资金链断裂,因此,资本结构的风险管理非常重要。
12生产风险管理
在市场经济中,企业的经营面临着不断变化的市场环境,企业如果对市场经济的发展变化没有做出科学的预测,则可能导致生产计划的不合理。在生产过程中,企业生产产品的劳动力资本、原料资本、存货政策是否发生变化、原材料的替代材料是否已经出现、机械设备的升级换代及科技创新等都会增加企业的生产风险。
13审计风险管理
审计风险管理指的是为了达到理想的审计效果,采取系统、综合、全面的风险管理方法。审计风险管理对可能发生的审计风险进行有效识别和控制,从而保证企业审计目标的实现。
14市场风险管理
企业生产的产品只有销售出去,才能实现企业经济利益。在市场经济中,企业市场占有额的大小与企业的经营成败有着重要的关系。市场风险主要从定价风险和产品风险两个方面表现出来,定价风险指企业产品的销售定价不合理而导致企业利益受损或损害顾客利益的情况。产品风险指企业生产的产品在市场上的销售不佳,导致企业产品的营销受到阻碍,影响了企业资产的回收。
2强化现代企业风险管理的措施
21树立现代企业的风险管理理念
在企业经营过程中,首先应树立风险管理理念。总的来说,现代企业风险管理理念可以概括为6C,具体包括以下内容:一是全面性。现代企业风险管理不能仅仅局限于降低企业的损失,而应该是在风险中抓住发展的机遇,将风险化为机遇,掌握企业经营的主动权,减少被动预防的情况。二是关联性。企业风险管理并非单一系统的运转,而是由多个子系统共同组成的有机统一体,包括信息系统、决策系统、沟通系统、财务支持系统、指挥系统等。在企业经营过程中,任何一个子系统失灵都可能造成企业风险管理系统的失效。三是一致性。企业风险管理有“道”有“术”,既包括了企业的经营理念和社会责任,也包括了具体的操作方法,二者高度一致。四是互通性。企业风险管理要求企业信息的高度共享,信息共享能够让员工各司其职,保证企业的正常运转。五是集权性。集权指的是企业应建立权责明确、职责清晰的风险管理机构,才能保证企业风险管理机构的有序运作。同时,企业的风险管理机构应具有高度的权威,尽量减少外界的干扰因素。六是创新性。企业在风险管理过程中,应充分借鉴其他成功经验,同时还应根据企业的实际情况,进行大胆创新,提升企业的风险管理水平。
22建立健全企业的内部控制制度
良好的内部控制制度能确保企业经营计划和方针的执行与贯彻,维护企业资产的完整和安全,保证企业会计信息符合会计准则的要求,有效防止会计舞弊行为的发生。同时,健全的内部控制制度有利于企业文化的形成,优秀的企业文化具有强大的凝聚力和向心力,增强企业员工的集体意识,有利于企业发展目标的实现。以海信集团为例,海信集团在经营过程中,始终坚持“要发展,更要健康”的经营理念,在保证企业财务健康的基本前提下,促进企业的稳步前进。海信的发展不在于争一时的高低,而是着眼于未来,促进企业经济效益的持续增长。
23加强审计,保持谨慎执业态度
在审计风险管理过程中,应保持谨慎的执业态度。事务所的管理者对审计风险认识的深入程度,会影响企业审计风险管理的效果。因此,管理者应统一认识,重视审计风险管理,制定良好的发展目标和发展战略,约束员工的行为,加强企业审计风险的控制和管理。
24严格审计程序
严格的审计程序能够有效防范及控制审计风险。可以采用两种方法:一是采用传统的审计方法,对客户的相关资料和会计报表进行详细审计,以此控制审计风险。二是以风险审计作为审计理念,对那些可能出现风险的审计项目,加大审计力度,同时结合客户的业务流程与经营风险结合起来,实施详细控制测试,掌握客户财务控制和业务流程的薄弱环节。从长远来看,仅以财务风险防范并不能有效控制风险,市场经济变化莫测,需要将财务风险和企业的经营风险结合起来,才能实现较理想的风险防范效果。
25加强财务管理
企业资本结构对企业的经营发展至关重要,优化企业的财务结构能够促进企业的健康发展。企业财务管理的目标应包括以下内容:降低企业的资本成本、提高企业的财务杠杆的效益、降低企业的财务风险。企业在经营过程中,应根据市场经济的变化情况,调整企业的资本结构,优化企业的负债结构,控制负债经营的规模和比例,促进企业的健康发展。
26充分发挥评估机构的作用
企业风险管理还需要发挥评估机构的重要性作用。由于企业风险管理责任重大,工作困难,仅靠单个人的力量难以顺利实施。因此,中介机构成为企业风险管理的最佳选择。中介机构作为专业的服务机构,不仅熟悉企业各种经济行为的产生和发展,了解企业的资本运作形式,还聚集了财务、法律、金融、价值评估、并购等专业人才。资产评估机构参与到企业风险管理中,能够为企业风险管理提供很多有益的见解,帮助企业化危机为转机,优化企业的资本结构,促进企业的健康发展。
3结论
在市场经济中,企业的生存和发展面临着很多不确定性因素,企业经营的风险不断增多,影响了企业的健康发展。企业风险不仅会给企业带来严重的经济损失,还会影响我国市场经济的稳定。因此,强化现代企业的风险管理不仅是企业发展的要求,也是我国市场经济的内在要求。随着现代企业的发展,企业风险管理的范围扩大、内容增多,企业风险管理尤为重要。企业风险管理首先应树立风险管理理念,建立健全企业的内部控制制度。其次,加强审计,保持谨慎执业态度,严格审计程序,减少审计风险。再次,加强财务管理,优化企业的资本结构。最后,应充分发挥评估机构的作用,提升企业的风险管理水平,促进企业的健康发展。
参考文献:
[1]刘子英企业如何强化风险管理——澳大利亚专家论建立风险管理框架[J].上海质量,2009(9):30-34
[2]周放生企业的风险管理及内部控制[J].中国流通经济,2009,23(11):11-13
[3]姚青基于风险管理的企业物流外包分析与探讨[J].中国商贸,2011(21):135-136
[4]赵小淋浅谈企业财务风险管理[J].中国商贸,2012(16):144-145,148
20世纪90年代以后,许多国家政府以及有关国际组织纷纷加大了对风险管理和内部控制及公司治理的研究,并了一系列的文告,就风险管理及与之紧密相关的内部控制问题做出了规定,其中,尤以COSO的《企业风险管理――整体框架》最具代表性。本文以美国企业风险管理框架为重点,探讨我国企业建立风险管理的必要性。
一、COSO的内部控制整体框架和风险管理整体框架
(一)《内部控制――整体框架》关于风险管理的论述
1992年,COSO了其研究报告《内部控制――整体框架》,并于1994年进行了增补修订。在该报告中,COSO(1992)指出,企业必须了解它所面临的风险,并加以处理。企业必须制定目标,而目标又必须与销售、生产、营销、财务等活动相结合,如此企业才能很好地运作。企业还必须建立识别、分析和管理相关风险的机制。
COSO(1992)提出了内部控制的五个要素,其中之一便是风险评估。COSO(1992)指出,每一个主体都面临着各种来源于内部和外部的风险,这些风险必须加以评估。风险评估的前提之一是建立目标,不同层次的目标应当相互联系并保持内部一致。风险评估是指识别、分析与实现目标相关的风险,它是决定这些风险应如何管理的基础。由于经济、行业、管制和经营条件会不断发生变化,应当建立相应的机制以识别并处理与这些变化相关的特定风险。COSO(1992)指出,须从企业整体和作业两个层次来识别风险。企业整体层次的风险可能由外部或内部因素而产生。外部因素如:科技发展、顾客的需求或预期改变、竞争、新颁布的法律法规、天然灾害、经济环境改变;内部因素如:信息系统处理的中断、员工的品质、经理人的责任改变、企业活动的性质以及员工可接近企业资产的程度、董事会或监事会不够坚定或无效。
(二)风险管理的新发展:《企业风险管理――整体框架》
2004年,COSO了其研究报告《企业风险管理――整体框架》。风险管理整体框架(ERM)是在内部控制整体框架基础上发展而来的。COSO(2004)指出,风险管理框架不想也没有替代内部控制框架,但它将内部控制框架整合在内,采用这一框架,企业既可以满足内部控制的需要,也可以建立一个完整的风险管理过程。
1.风险管理的目标
COSO(2004)认为,主体的目标包括四个:
(1)战略目标,是高水平的目标,它应与组织的使命一致并支持该使命;
(2)经营目标,组织应当有效率和效果地使用资源;
(3)报告目标,组织应当提供可靠的报告;
(4)遵循目标(合规性目标),即组织应当遵循相关的法律规章。
企业风险管理实际就是为实现上述目标提供合理的保证。
2.风险管理的内容
企业风险管理包含以下方面的内容(作用):
(1)协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时,应考虑组织的风险偏好。
(2)改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略(包括规避、降低、分担与接受风险)中做出选择。
(3)减少经营意外与损失。提高组织识别潜在事项并做出反应,减少意外事项及相关的成本或损失的能力。
(4)识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险,企业风险管理应当有助于对相关关联的影响作出有效的反应,并对多企业的风险作出整体性反应。
(5)抓住机会。通过考虑所有的潜在事项,管理层应当能够识别并实现机会。
(6)改善资本的配置。在获得关于风险的信息后,管理层可以有效地评估总体资本需求并改进资本的配置。
企业风险管理的上述作用,有助于管理层实现组织的经营和盈利目标,并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循,并有助于避免组织声誉的损害及相关不良后果。总之,企业风险管理有助于企业向其所期望的方向发展,避免在发展的过程中遭遇陷阱和意外。
3.风险管理的要素
企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法,并与管理过程合成一个整体。这些要素包括:
(1)内部环境。内部环境包含了组织的风格,它确定了组织人员如何看待和处理风险的基础,是其它要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。
(2)目标设定。在管理层辨别影响其目标实现的潜在事项之前,必须有目标。企业风险管理要求管理层设定目标,选择的目标需要能够支持组织的使命并与组织使命相一致,并与其风险偏好相一致。
(3)事项识别。即识别那些影响组织目标实现的内外部事项,并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。
(4)风险评估。必须对风险加以分析,考虑其发生的可能性以及影响,并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。
(5)风险应对。管理层应在不同的风险应对(包括回避、接受、降低、分担风险)中做出选择,从而采取一系列与组织的风险容忍度(risk tolerances)和风险偏好相一致的行动。
(6)控制活动。应建立相关的政策和程序,以确保风险应对策略得到有效的执行。控制活动通常包括两个要素:确定应从事何种活动的政策、执行政策的程序。
(7)信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息并加以传递沟通,从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上,包括向下、向上以及平行交互沟通。
(8)监控。整个企业风险管理都应当加以监控并根据需要做出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。
对于这八个要素,COSO(2004)指出,企业风险管理不是一个严格的序列过程,即一个要素仅影响下一个要素,而且是一个多方向的、相互影响的过程,任何要素都可以并且确实影响其它的要素。
4.风险管理目标与风险管理要素的关系
COSO(2004)认为,目标是主体要实现什么,企业风险管理的要素则意味着需要什么来实现它们,因此,风险管理的目标与要素之间存在密切的直接联系。这样,企业目标、风险管理要素与企业各个层级之间就形成一个三维立体图。
二、美国风险管理准则对我国的启示
从以上COSO风险管理准则内容和要求上,可以看出存在以下特点:
(一)将风险管理与内部控制联系在一起。内部控制是风险管理的重要手段,董事会应当建立并维持有效的内部控制系统以实现风险管理。
(二)均强调风险管理是一个包含风险识别、计量和应对的系统化过程。风险识别、计量、应对和控制活动是一个紧密的整体,企业必须识别面临的潜在风险,并评估其对企业的影响,从而采取相应的措施来应对风险。在风险识别和分析、评估的技术上,均强调应当结合采用定量技术和定性技术。另外,人们越来越认识到,风险是无法绝对消除的,因此,风险管理的目标是将其控制在主体的风险偏好以内,而不是消除风险。反映到风险应对策略上,相关的风险管理准则大都强调风险的应对措施包括回避、抑减(降低)、转嫁(分摊)、接受,应当根据风险发生的可能性、对主体的影响以及主体自身的风险容量选择适当的应对措施。
(三)强调风险管理应当融入到企业日常经营活动中,并贯穿于企业的各个层次、所有的经营活动。风险管理针对的是企业经营活动中对企业目标实现产生影响的风险事项,因此,风险管理必须与企业的经营活动紧密地结合在一起,在经营活动中处处体现风险管理的理念与做法,这不仅有助于及时识别企业所面临的风险事项,也有助于降低风险管理成本、提高风险管理效率。
(四)强调控制环境的作用。公司的高层基调、管理层的管理哲学、董事会和相关委员会、员工的胜任能力对于有效的风险管理具有重要作用,如果没有一个良好的、注重风险管理的内部环境,风险管理很难取得成功。
(五)强调全员参与。全员管理是现代风险管理的重要特征,风险管理不仅仅是风险管理部门的事,而且需要靠企业的全体员工来落实,所有员工都会影响到企业风险管理的效果,企业应当使所有员工了解自己在风险管理中的作用。
(六)强调信息与沟通。信息和沟通对于良好的风险管理和内部控制相当重要,下层要了解公司的风险管理战略和政策、措施,并有顺畅的向上沟通风险管理和内部控制情况的渠道,上层要及时向员工及外部了解企业面临的重大风险及其管理情况。
(七)强调定期对风险管理过程和内部控制进行评估,并对发现的缺陷和不足加以报告。风险管理是一个持续的、动态的过程,企业的内、外部环境在不断地变化,这决定了原先的控制未必有效,因此,必须定期对风险管理过程和内部控制的有效性进行评估,以找出其缺陷和不足并及时采取补救措施。
在企业竞争不断加剧的环境下,企业风险管理的作用与影响日益受到普遍关注,据安永会计师事务所2006年3月公布的一份全球调查显示,投资者非常关心企业在风险管理方面的情况,避免投资那些风险管理不力的企业。接近2/3的投资者对于风险管理不力的企业,在投资策略上采取非常抵触态度,近五万的投资者表示曾因这一原因抛售了有关的投资产品。可见,企业如何有效地进行风险管理,已成为公司治理层所面临的一个严峻的课题。
二、企业风险管理
(一)全球化企业风险管理发展现状与趋势
如今的西方多数大中型企业均已实施了不同程度的风险管理。根据德勤2003年的调查,80%以上的世界性金融机构已设立了风险管理师(CRO)工作职位,CRO职位比例居首位的为南美洲金融机构,已达95%,居末位的为亚洲金融机构,仅为29%.在目前欧美的部分金融机构中CRO的职位职能仍然由企业的风险管理委员会行使。普华永道2004年对全球1400位CEO进行了调查,其中70%的CEO将发展与提高企业的整体化风险管理能力提高到他们当前工作内容的首位。调查还显示38%CEO认为,企业已经建立了行之有效的企业整体化风险管理体系,另有46%的CEO表示将在1-3年内建立与发展企业整体化风险管理体系。
(二)我国企业风险管理存在的问题
我国企业风险管理普遍处在比较低的水平上,虽然近年来取得了长足的进步,但就总体而言,与飞速发展的客观经济形势仍不相适应,呈滞后状态。有人认为,我国企业风险管理落后是因为企业管理者的风险管理观念比较落后,笔者认为,现在国内大多数企业之所以没有进行风险管理,是因为缺乏一种与企业整体状况相适应并指导企业进行风险管理的系统框架。这种框架可以帮助企业在事件发生前预测风险、事件发生时应对风险、事件发生后评估与监控风险。
近年来国内外上市公司出现的诚信危机,有力地推动了我国企业风险管理的进程。企业管理当局已经意识到现在的社会也是一个风险全球化的社会。因此迫切需要建立起一套适合我国企业进行风险管理的指导框架。
三、风险导向内部审计与企业风险管理
(一)风险导向内部审计
内部审计的新发展是将评价和管理风险作为重要服务领域。内部审计要检查财务和经营信息的可靠性和完整性,并做出报告,确定对本组织经营活动和报告有关政策、计划、程序、法律和条例的遵循情况,评价资源利用的经济性和有效性,还对组织内部控制的健全性、有效性和遵循情况进行评价等。这正是与我国新出台的以系统论为基础的风险导向审计具有相同的思想。因此我们将这种系统的内部审计方法称为风险导向内部审计。
本文所指风险导向内部审计是指内部审计人员在审计全过程自始至终都要关注风险,根据风险度选择项目,以降低风险为导向,进行内部控制制度的符合性测试、实质性测试,并进行监督检查和评价,提出建设性意见和建议。其审计报告可以作为提示风险、防范风险以及信息交流的预警信号。因此,风险导向内部审计既是基于降低审计风险,又是为降低企业经营风险,进行风险管理的一种有效工具。
(二)风险导向内部审计在企业风险管理中的作用
1.帮助企业管理当局了解风险信息。将工作的重点放在重要风险上,使得年度计划与组织治理层的战略风险相一致,具体审计计划与具体经营风险相一致,还运用一定的方法进行风险管理。在实施审计过程中,使治理层随时了解企业的风险信息,这就可以在风险和机遇中寻求均衡点,使企业在风险来临时从被动受损到主动控制和排除风险,从而能够谨慎而又快速地在风险环境中生存、壮大。
2.帮助企业管理当局识别与评估风险。以系统论为基础产生的风险导向审计,要求内部审计人员不但要检查本企业的风险情况,还要观察同行业内其他企业的经营情况及整个市场的经营风险水平,站在一个较高的角度识别企业风险。另一方面,在了解了其他企业内部控制程序之后,可对本企业的内部控制制度有全新的认识,更容易评价本企业的内控制度是否合适,并采取更佳的内控制度来管理企业的风险。
3.帮助企业管理当局进行风险的管理与协调。从评价各部门内部控制制度入手,在各领域查找管理漏洞,帮助企业管理当局识别并防范风险。企业风险无处不在,不但各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范宏观决策带来的风险。
四、基于风险导向内部审计的企业风险管理框架的构建设想
(一)完善内审委员会
实施风险导向内部审计对企业风险进行管理的基础,就是必须具备完善的内审委员会结构。按照国家有关要求,我国国有大型集团、跨国公司和上市公司大都设置了内审委员会,对企业的经营管理活动进行监控;许多中、小型企业还没有设立相应的内审机构。审计委员会是董事会下设的专业委员会,内部审计人员应该具备专业的知识、较强的业务能力、良好的职业道德水平,并保持其独立性和客观性。其职责主要是负责聘任和解聘外部审计师,并辅助外部审计师的工作,解决公司外部审计师与管理层有关财务报告的争议意见;审查公司财务报告、内部控制和风险管理制度;监督、指导审计工作,协调内部审计与外部审计的关系,为公司董事会使用财务信息及向公众披露财务信息的真实性和可靠性提供保障。完善的内审机构应该做到成本费用合理、工作过程独立,才能在风险管理中真正发挥作用。
(二)了解外部环境风险
企业的外部环境是企业生存的基础,外部环境变化对企业蕴涵着越来越多的风险。风险导向内部审计要求审计人员不仅要了解本企业的经营情况,还要了解:1.同行业其他企业的经营情况;2.市场波动风险;3.政策环境变动的风险;4.科技进步风险;5.自然灾害带来的风险等外部环境的风险。现代企业的风险管理机制必须要随时了解环境的变化,并能够适应环境的变化,有效利用环境的变化,才能得到长足的发展。
(三)确定风险容忍度
风险容忍度是企业在实现其目标的过程中对差异的可接受程度,是在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。风险容忍度较大,说明企业承受风险的能力较强,在容忍度范围内的小风险可以采取通常日常应对措施。内部审计人员可以根据本企业的经营环境、经营规范、资本结构等确定风险容忍度,在风险事件来临时采取不同的措施加以应对。在市场环境下,企业会面临各种风险。内部审计人员应结合企业内外环境,找出所有会给企业带来威胁的风险,并从中确定几个最主要的风险。再对这几个关键风险进行容忍度的量化分析,确定可以接受的风险范围。
(四)识别风险
风险识别是风险管理框架中的关键。是对企业潜在的风险加以判断、归类和鉴定风险性质的过程。也就是说,从潜在的事件及其产生的原因和后果来检查风险,收集、整理可能的风险并充分征求各方意见以形成风险监控列表。
风险识别首先是对风险进行定性研究,内部审计人员熟悉公司的经营管理过程,以风险分析为起点开展工作,有效识别风险。可以根据自身的实际情况,制定风险管理审计计划,包括制订财务风险管理、生产风险管理、市场风险管理、会计风险管理、人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。最后,审计委员会还要关注已识别风险的完整性,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。
其次是对识别出的风险进行定量评估,通过对所搜集的大量的详细损失资料,应用各种管理科学技术,采用定性与定量相结合的方式,评估风险事件发生的可能性和频繁度,风险事件的潜在影响及其成本的高低。针对企业制定的详细风险管理审计计划,分别评估每一计划的风险,再综合各方面因素,确定企业总体风险的大小。风险评估的目的是确定每个风险要素的影响大小,一般是对已经识别出来的风险进行量化估计。在此过程中,内部审计委员会要对已有的评估结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。对于风险缺乏充分的控制措施的情况,提出改进措施和建议,以强化企业的风险管理,降低风险损失。风险分析中不仅要关注风险的数量方面,而且要关注风险的属性方面或其他承载价值的后果。
(五)应对风险
根据本企业的风险容忍度,制定风险应对策略:可规避性、可转移性、可缓解性、可接受性。内审委员会对有关部门针对风险所采取的行动进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内审委员会可以根据不同的情况,提出避免风险、接受风险、还是降低风险的具体措施和建议,协助完善风险的反应方案,以强化企业的风险防范管理,降低风险损失。
(六)监督风险发展状况
风险不是静态的,风险的数量和可能性会随内外部环境的变化而变化,持续的监控对有效地管理风险是最基本的。内审委员会可以通过持续的监控,使企业明确在下一步的风险处理中应当改进的问题。通过这个环节可以明确企业风险管理可以给企业带来的利益与价值,了解风险评估的正确性,为下次评估提供经验教训,明确风险回应决策的有效性,同时还有助于控制成本费用。
(七)评价风险带来的影响
一个风险事件结束后,审计委员会应将此次事件所带来的影响进行归纳、总结,成为以后风险管理的经验。在风险总结中应包含对以下内容的评价:1.风险识别是否完整;2.风险衡量是否准确;3.应对措施是否有效;4.监控手段是否合理;5.风险事件的后果。经过这个环节,可以总结工作的经验与教训,使风险管理框架更加完善。
关键词:企业风险;控制能力;策略
企业在经营、生产、发展的道路上必定会因各种因素而带来各种风险,这些因素即可以来自管理体系与治理结构等企业自身内部因素,也可以来自经济环境、法律政策等外部因素。虽然风险具有不确定性,但如果企业管理欠妥,极有可能使风险成为现实,对企业造成严重影响。因此,采取有效措施提高企业风险控制能力对企业来说极为重要。基于此,笔者就企业风险含义与特征、企业风险类型、目前企业风险控制管理存在的主要问题以及提高企业风险控制能力的措施几方面来阐述,旨在为企业风险控制工作的开展提供参考。
一、企业风险含义与特征
1.企业风险含义。企业风险又称经营风险,是指企业在在经营、生产、发展的过程中,因受到各种因素的影响,导致企业未能达到预期收益,存在影响企业经济的可能。企业风险具有广义与狭义两方面的理解,前者是指企业在资金运营等企业活动中,因各种原因的影响,导致企业盈利下降,企业发展轨道偏离;后者是指企业自身经营战略偏差造成企业收益发生大幅变动,甚至濒临破产、倒闭等巨大风险。2.企业风险特征。企业在采取风险管理措施之前,首先需要做的就是了解企业风险的特征,只有了解了“敌人”,才能做到有的放矢,采取具有针对性的控制措施。总的来说企业风险有以下几个特征:(1)具有不确定性。在一定环境下风险可发生多种变动,随之带来各种结果,可见企业风险是否会变为现实无法确定。(2)具有客观性。风险未来发生概率不确定,但它是客观存在的,不会随着人们意志而发生转移,也就是说企业预期收益可能会出现偏差的风险是客观存在的。(3)具有可度量性。当企业意识到存在风险时,在生产或进行经济活动前,会预测该风险对企业经济所造成的各种后果。(4)具有全面性。企业在进行各种活动中,如:资金运转、资金分配、资金筹集等,在上述这些企业活动中均有可能发生风险,即企业风险存在企业管理过程中,可在企业各种活动中体现。
二、企业风险类型
企业风险类型包括内部风险与外部风险两种,前者是指企业在生产经营整个过程中所需要面对的客观风险,如:合规风险、政治风险、产业风险、信用风险、市场环境风险与法律政策风险等;后者主要是指因企业管理体系、战略布局、治理结构等因素而发生的风险,包括:运营风险、操作风险、财务风险以及战略风险等。
三、目前企业风险控制管理存在的主要问题
1.预算管理基础薄弱。全面预算作为目前各企业管理最为常见的管理手段,该管理体系经全面完善后,具有整体、全面规划企业资金管理,降低企业资金流动与财务等各方面风险的优点。全面预算管理可谓是维持企业向着正常运转轨道发展,保持企业管理处于良好状态的重要手段。虽然我国各企业目前已将全面预算管理运用到企业管理中,但由于其预算管理运用还尚未成熟,基础薄弱,难以发挥出其实际职能,从而影响了企业财务管理工作顺利开展,降低其对企业风险的实际控制能力。2.企业风险管理体系的内部控制力薄弱。作为企业风险管理体系中的重要部分,内部控制力对防范控制、评估分析有着重大影响。而现阶段我国有的企业由于不具备完善、健全的内部控制制度,使得企业风险管理体系作用得不到有效发挥,从而影响了内部控制效果。3.风险监督力度较差由于企业不具备较强的风险管理意识,未意识到风险管理的重要性,因此并不能制定出一个良好的监督机制,面对具体风险管理工作不能采取相应的措施,未能起到风险监督的作用,使得风险管理系统起不到实质作用,不能有效进行风险预警分析,推动了企业风险向现实发展。
四、提高企业风险控制能力的措施
1.完善全面预算体系。作为风险管理体系中的重要内容,全面预算体系对企业的经营、企业的资金使用起着非常重要的作用,而且还能有效降低企业的经营风险。这提示我们,完善全面预算管理是企业提高风险管理效率的首要解决任务,通过对企业预算实施编制,落实各项措施的进行,这样才能将全面预算管理的实际作用淋漓尽致地发挥出来。加强对内部控制制度的建设,不断对内部控制体系进行完善,可促进企业风险管理工作的开展,对解决企业风险具有重要意义。2.加强企业风险评估与解决等工作的能力。风险不但具有不确定性,也具有突发性,属于一种不稳定因素。因此,企业需要具备良好的风险评估与解决等能力。企业风险就好比随时都有可能爆炸的炸弹,需要企业去辨别这颗“炸弹”所埋藏的位置,并通过精湛的拆弹技术去拆除它。企业要想做好风险评估工作,那么首要的就是探寻出隐藏或有可能发生风险的环节,并细致、全面、深入地分析其原因,可能会引发的结果等。通过风险评估法对其进行风险评估,以了解风险等级,获取风险发生概率等信息,根据这些信息制定出具有针对性的处理方案。3.完善风险管理监督机制。优化企业信息系统建设不但有利于企业信息的集成,而且还能起到强化企业信息共享的能力,有利于企业在进行经营活动时,将相关信息准确、及时地反馈给风险管理以及决策部门,使得企业风险监测、评估、分析、管理等工作能够逐一顺利开展。通过完善风险管理监督机制,能够将企业制定的风险管理措施落实到相关部门,确保风险管理控制工作有效进行。除此以外,企业风险监督管理部门还应履行自身工作职责,评价风险管理绩效,以了解企业风险管理工作进展以及完成情况,及时发现风险管理工作开展过程中存在的问题,分析并总结,以提出改进,确保风险管理工作能够持续、顺利开展。4.提升企业决策水平。为了防止企业风险管理工作中因相关人员做出错误的决策而引发企业风险,那么就需要提升企业决策水平。而且要想提升企业风险控制能力,也需要企业具备科学的决策方法,能够在风险管理过程中,明确影响决策的相关因素,并通过对这些因素进行充分、全面地考虑,以及利用定量分析法来制定出决策,在制定决策的过程中,尽可能多的制定可行性方案,最后通过科学的分析与评价,从中选择出最佳方案。提升企业决策水平也是一种降低企业风险的有效手段。
五、结语
企业贸易是我国经济的主要来源之一,而在我国企业中有95%以上属于中小型企业。这说明企业发展对我国经济的发展起着重要的影响作用,企业经济是我国重要经济来源之一。而当下市场竞争愈发激烈,全球经济面临着严峻的障碍,这无形中就增加了中国经济运行的困难,对中国经济发展带来了压力,随之也增加了企业发展的难度,在这样的经济环境下,企业风险可谓是无处不在的,同时也是无法避免的,而要想在竞争如此激烈的市场环境下顺利的生存发展下去,那么企业就必须提高企业的风险控制能力,建立完善的风险管理体系。而要想提高企业风险控制能力,那么就需要明确企业风险的含义与特征,企业风险类型,目前企业风险控制管理存在的主要问题,最后制定解决措施。预算管理基础薄弱、企业风险管理体系的内部控制力薄弱以及风险监督力度较差是目前我国企业在风险控制管理中存在的主要问题,针对这些问题需要企业从以下几方面入手,包括:完善全面预算体系、加强企业风险评估与解决等工作的能力、完善风险管理监督机制以及提升企业决策水平。这些措施在企业风险管理与控制中均起着重要作用,缺一不可。
参考文献:
[1]张萍萍.企业风险控制探究[J].行政事业资产与财务,2011,(22):107-108.
[2]刘广义.浅谈现代财务经济学视角下的企业风险控制问题[J].企业文化(中旬刊),2012,(9):204,159.
(一)风险的概念
“风险”一词的出现,是在远古时期,渔民们在出海捕捞打鱼的过程中发现,如果出现“风”则意味着有很大的几率会发生“险”,长此以往,人们将有可能出现的危险总结为“风险”,“风险”一词由此而来。而现代意义上的风险一词,学术界并没有统一的认识,主要有几种观点:一是风险是损失或损害的可能性;二是风险是损失的不确定性;三是风险是实际结果和预期结果的离差;四是风险是可度量的不确定性。而笔者综合上述观点,总结认为,风险是指在特定情况下和特定时间内,未来时间的预期结果与实际结果的差异,于是,所谓风险大,就是指这种差异变动程度大,风险小就是指这种差异变动程度小。
(二)风险管理的内容简述
1.风险管理的含义
企业的风险管理是指全面分析企业各个经营过程中的风险,通过对风险的识别、衡量、分析,并在此基础上采用相应手段对风险进行有效处置,以最低成本实现最大安全保障的一种科学管理方法。
2.国外风险管理的发展阶段
在国际上,随着对风险管理的理解和认识不断深化,风险管理理论也在不断发展和完善,主要经历了三个发展阶段:风险管理萌芽阶段、风险管理发展阶段、全面风险管理阶段。
(1)风险管理萌芽阶段(20世纪30年代至60年代)也被称为安全生产阶段。早在20世纪50年代,法国古典管理理论学家亨利法约尔就已经认识到风险管理的重要性,他将工业活动分为六项,其中就包括:⑴技术活动(生产、制造、加工);⑵商业活动(购买、销售、交换);⑶财务活动(筹集和最适当地利用资本);⑷安全活动(保护财产和人员);(5)会计活动(财产清点、资产负债表、成本、统计等);⑹管理活动(计划组织、指挥、协调和控制)等内容,可以说是企业风险管理的雏形。伴随着工业革命的蓬勃发展,在20世纪60年代,企业风险管理的方法进一步增加,很多学者开始专门研究风险管理的方法,越来越多的企业,尤其是保险行业,已经将风险管理作为企业的一项重要工作。
(2)风险管理的发展阶段(20世纪70年代至90年代)也叫结构优化阶段。随着风险管理在欧洲、亚洲等众多国家和地区的广泛传播,风险管理工作也从保险行业扩展至更多的企业,风险管理逐步的规范化、标准化和程序化,风险管理手段也开始变得多样化,并且通过加入管理学知识和工具,如运筹学、计量经济学、统计学等内容,使得风险管理的手段不断增加,领域不断扩大。但在这段时期,大部分企业在风险管理方面仍然没有形成完整的理论体系和成熟的管理方法。
(3)全面风险管理阶段(21世纪初至今)。随着2001年美国安然公司倒闭、2002年世通公司财务舞弊案等事件发生后,全面风险管理开始得到各国政府和企业的全方位的普遍重视。西方学术界开始注重企业“全面风险管理”理论整体化、系统化的研究工作。这一时期,众多规范性和标准文件如:《萨班斯法案》、风险管理标准(AS/NZS4360)、COSO-ERM标准和《巴塞尔协议Ⅱ》等纷纷出台,使现代风险理念从最初的简单风险管理发展到“全面风险管理”的高级阶段。
3.我国的风险管理概论
在我国,风险管理理论发展相对滞后,有相当一部分企业普遍存在风险管理意识不足,缺乏风险策略,风险管理较为被动等问题,为了从根本上提高企业风险管理水平,2006年6月,国务院国有资产监督管理委员会出台了《中央企业全面风险管理指引》(国资发改革[2006]108号)(以下简称《指引》),文件中对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化以及风险管理信息系统等方面进行了详细的阐述。《指引》的出台,使得我国国有企业对于全面风险管理有了更加系统全面的认识,能够帮助企业尽快建立全面风险管理体系,并且通过指引提供的风险管理的常用技术和方法,使全面风险管理工作具备更强的可操作性和实用性。
4.企业风险管理的意义
由于企业风险存在极大的不确定性,因此如何避免或降低发生风险的概率,减小由此给企业带来的损失对于企业来说具有重要意义。
(1)企业风险管理有利于实现企业的战略发展和经营目标。要想企业能够长期稳步发展,必须在增强高层的战略驾驭能力的同时,保证既能持续地监控、分析和反馈内外环境变化,提前示警;同时培养企业快速反应的能力,保证在需要做出反应时,能及时、有效地应变。
(2)有利于提高企业业务处理的工作效率。风险管理控制系统要求企业各个职能部门的工作能够相互协调和制约,通过业务处理的授权,使企业各职能部门明确工作范围和职权,使各个职能部门能够各司其职,各负其责,从而提高工作效率。
(3)形成风险管理信息收集、分析、报告系统,为有效监控风险和应对风险提供依据。通过建立风险管理信息系统,能够及时有效的监控企业的经营及管理情况,做到对风险的及时预警,并且为领导的决策提供有力的数据支持。
(4)避免企业重大损失,支持企业正常有序的运行。通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,能够第一时间发现风险,进而及时应对,避免或解决风险,从而为实现企业的正常有序发展服务。
(5)标本兼治,从根本上提高企业风险管理水平。全面风险管理体系的建立,能够在根本上提高企业自我运行、自我完善、自我提升的风险管理水平,形成风险管理的长效管理机制。
二、我国企业风险管理的现状及存在的问题
对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标—风险—控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:
1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。
2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。
总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。
二、我国风险管理审计准则的内容及局限性
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号—风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
三、建议
基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。
主要参考文献:
[1]中国内部审计协会.内部审计具体准则第16号——风险管理审计.2005.
[2]刘华.审计治理规范与案例[M].复旦大学出版社,2007.
[3]王晓霞.企业风险审计[M].中国时代经济出版社,2005.