时间:2023-08-27 15:10:07
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业风险管理措施,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
引 言:当代科技的快速进步不但极大地促进了贸易的发展,而且使得整个市场更加透明化。另一方面,金融危机后世界主要经济体都不同程度地陷入衰退,我们正在经历一个经济结构调整的宏观经济周期。这些现实结合贸易企业的固有特点,使得外贸企业的利润水平下降,从而对风险管理提出了更高的要求。因此,结合时代特色及实际情况重新思索外贸企业的风险管理是非常必要的。
一、宏观因素
1.预判宏观经济环境
对外贸企业而言,宏观经济环境中最主要的因素有:经济周期、价格、利率与汇率。
(1)经济周期-增长与衰退。简言之,经济运行可分为增长周期、衰退周期,自2008年全球金融危机以来,世界经济由繁荣陷入衰退,总需求下降,国际贸易深受影响。
(2)价格-供求理论与投机波动。按照经典经济学理论,供求关系决定商品价格,这也是长期指导机构及企业基本面分析的金科玉律之一。我们结合特定商品的生产供应和需求情况可以从基本面上确定该商品的合理价格区间,脱离这个合理价格区间的商品定价对外贸企业是具有风险的。
另一方面,随着世界金融和通信的蓬勃发展,国际贸易中主要的大宗商品均已按标准化合约方式登陆交易市场。每个交易日,巨额资本参与这些交易以及由这些交易衍生出的海量衍生品交易。事实上,诸如期货等交易中仅仅存在小部分合约属于实体性质,而绝大部分交易中的合约属于投机性合约。这引发了更为剧烈的短期商品价格波动,其波动方向、峰值和力量日益取决于资本的流向和流量。
因此外贸企业不但要洞悉商品供求的基本面,通过对基本面的分析避免出现对价格走向的方向性误判;而且要掌握资本流动的风向,提防价格巨变而导致的违约,以及价格误判而造成的机会成本。企业可以通过交易软件了解市场行情的潮起潮落,在必要时,可以利用期货市场进行套期保值,锁定利润,规避风险。
(3)汇率-贸易收支、国际资本流动及央行干预。贸易收支、国际间资本流动及央行干预对汇率有根本性的影响。
汇率的波动对外贸企业利润的影响是显而易见的。在以外币为结算货币的基础上,当人民币对外币升值时,我国进口商按人民币核算将获得额外的汇兑收益,而出口商则遭遇汇兑损失;反之当人民币对外币贬值时,进口商损失而出口商获益。值得一提的是通常出口部门提供更多的就业并“收入更多财富”,因此世界各国往往倾向于本币贬值。近期日元竞争性贬值近30%的事实就有这方面原因,然而这是一种严重损害他国利益的行为。
外贸企业加强汇率方面的管理非常必要,主要有两方面措施:一方面是采用人民币计价结算,实质上汇率波动风险即从我方转移至外方。另一方面是采取远期结售汇工具避险保值,预先锁定收、付款时的汇率。
(4)利率。外贸企业,尤其是大宗贸易商,事实上大部分在做杠杆操作,即以较小本金撬动大额交易。而某一时段内的综合利率水平就是全部企业获得资金的成本,利率还会通过影响生产者、需求方等途径把资金成本压力传递给作为媒介的贸易商。
值得注意的是,主要经济体央行对利率的管理体现着其对经济形势的应对和预判,可以通过央行对利率的调整总结前期经济形势并预期未来一段时期的经济走势。对外贸企业而言,积极总结过去经济走势及央行的对策并及时把握最新动态,对于判断宏观经济形势有很大帮助。
外贸企业对利率和汇率形势进行研究,可以发现通过财务和金额工具的组合可以获得额外的安全收益。如付款可以通过银行海外融资,获取低息外币资金融通,节省的人民币资金做定期存款并配合远期购汇锁定利率,到期提取本息支付贷款,获得一定的套利利润。无论如何,要谨记避险原则,外贸企业需要的是锁定风险,而不是投机!
2.研究宏观政治指向
外贸企业应当正确解读政治纲领,研判政治动态对经济贸易的影响。
我国今年经济社会发展的主要预期目标是:国内生产总值增长7.5%左右;居民消费价格涨幅3.5%左右;城镇新增就业900万人以上,城镇登记失业率低于4.6%;城乡居民人均收入实际增长与经济增长同步;国际收支状况进一步改善。
保持合理的增长速度,为增加就业、改善民生提供必要条件,为转方式、调结构创造稳定环境。引导各方面把工作重心放到加快转变经济发展方式和调整经济结构上。继续实施积极的财政政策和稳健的货币政策。
从中可以领会到今年乃至一段延续的时间内将以“调结构”为主线,维持一定程度的经济增长目标以及相应的财政、货币政策都是为发展方式的调整和产业结构升级这条主线而设计的,同时也要为就业和民生保驾护航。那么,这将意味着至少在今年大部分时间内,高能耗、高污染的低端制造业出口和涉及铁矿石、煤炭、冶金产品等等的重工业类贸易将被迫“调整”,接下来的日子会不好过,应当顺势而为研究对策。
二、外部风险管理
1.信用风险管理
信用风险管理的核心是反欺诈。信用可谓贸易的灵魂,但是,商业欺诈行为在贸易中屡见不鲜,必须格外加以防范。
外贸企业应当树立和强化信用风险意识,加强客户管理,注重信息搜集,建立自己的数据库。可以求助于专业咨询机构,调查交易对手资信情况。对于和就业紧密相关的广大出口企业,国家予以扶持,鼓励通过中国出口信用保险公司为企业保驾护航。
对于新客户要加深了解,采用有利的收、付款方式,还可以要求对方提供第三方担保,如银行保函、备用信用证或实力雄厚的第三方出具的商业担保,或由资质良好的银行开具信用证。对于老客户要注意更新其信息,记录其信用情况,关注其财务状况、高管变动情况和公司突况。
外贸企业应尽量拉近与贸易终端(即实际的最终买方或卖方)的距离,减少中间商数量,缩短交易过程,降低贸易流程的信用风险和时间风险。
2.运营链风险
从发现需求到实现供给的过程中有两条明显的运营链接,即
(1)供需链:需求――合同――备货――运输――需求满足或供给实现。外贸企业要甄别需求的真实性。在我国对进出易的真实贸易背景是有原则性要求的,而且这也是反欺诈的重要方法之一。近年来,由于国内很多企业资金偏紧且利率高企,而美联储实施量化宽松带来的美元融资低利率就显得极具吸引力,因此出现了一定数量的融资易,值得注意。例如,商品涨价时,利用延期付款模式融资;还有更复杂的模式――境内外关联公司配合,通过不入境不报关的转口贸易,用远期信用证贴现获得低息融资。值得担忧的是这些融资交易几乎很少参与套期保值和汇率锁定,一旦价格、汇率发生重大波动时,链条就有瓦解崩溃的可能。当外贸企业有意无意地牵扯到这种贸易链时,风险会大大增加。
外贸企业要确保订单的及时性和准确性。公司应当在对宏观经济形势有所判断,充分掌握价格信息且了解对方资信情况的基础上审慎签订合同。合同涉及的时间点、时间段要明确,表述要清晰,术语要正确,以便准确执行,及时履行义务,还要明确法律适用,纠纷解决方案等,维护自身权利。
外贸企业在备货中要注意运营管理的细节,尤其是本身涉及生产运营的企业,更要注意流程控制和安全。
外贸工作者应具备一定的航运知识,尤其是涉及费用的时间点、术语及计算方法,运输过程要注意避免产生滞期费用和纠纷。另外,无论我方或外方承担保险责任,对标的货物上保险都是必须的。
只有一丝不苟地完成连接上的每一个环节,才能保证最终的需求满足或供给实现。
(2)资金链:供应商――卖方―(结算)―买方――需求方。注意选择相对安全的结算方式,如出口方要求对方通过知名银行开具的保函、信用证,及进口方要求对方接受托收、汇款等。在资金流转中可能出现无法“无缝对接”的情况而需要外贸企业暂时垫款,要审慎处理,充分调度现有资金存量调剂现金流,或选择适当的资金融通方式,如出口押汇、福费廷、进口押汇(代付)等。此外,还要注意美国、欧洲、日本、香港等国家和地区的节假日,期间相关货币无法清算,以免导致款项无法划转造成纠纷。
3.交流中的不确定性
外贸行为是涉外活动,必然存在因不同国家的语言、文化(共性)、法律的不同所引发的差异,又加之不同个人的偏好(个性)、思维方式、能力等方面的差异,都会对贸易行为产生不确定性。因此,为确保运营过程的及时性和有效性,对这些差异事先了解是很有必要的。
三、内部风险管理
1.贸易企业的固有特点
少数知名贸易商已经积累了雄厚资产,但多数贸易企业普遍存在应收及应付账款数量大、比例高,同时实收注册资本和固定资产较少,对现金周转要求较高的特点。随着全球化的推动和信息技术的发展,外贸企业的利润水平逐渐下降,呈现“本小利薄”的现状。
2.制度建设
外贸企业想做大、做强、做长久,就一定要根据自身情况加强制度建设,规模小的公司通常偏向于少数精英管理,而规模大的企业集团则需要完善的制度管理。
企业要建立处理日常事务的常态化运营制度和应对例外事务的紧急处置措施。要有授权和审批机制,还要有独立的内部审查机制,大型企业还应定期接受外部审查。
3.团队建设
任何制度离开执行者都是纸上谈兵,一支过硬的团队是实现制度的基础,外贸企业一定要注重团队建设,提高全体人员业务水平,既要深入又要全面。此外,外贸工作几乎是“全天候的”,每个工作岗位留有后备人员很有必要,防止个人休假、病假、辞职等情况造成不良影响。
4.财务管理
好的财务管理,精通于打理公司的现金流,懂得为公司带来一个合理的资产负债表,更能洞察经济环境和形势,知道采取什么样的财务策略。优秀的财务管理,不但成为公司安全经营的重要保障,还可以通过财务、金融的组合为企业创造额外的安全收益。
四、结论
在经济上行和繁荣时期“躺着赚钱”的时代渐行渐远,期间形成的很多理念也不再适用。社会的发展和宏观环境的变化决定了当代外贸企业必须提高认知能力,加强风险管理。总之,假如把管理一个外贸企业比作驾驭一艘航船,那么预判宏观经济形势就犹如预判天气和海况;而辨明政治指向就如同明确航向,而严格的内外风险管理就形如船只的日常管理;各环节相辅相成,缺一不可,综合加强企业风险管理才能拥有持久的安全续航力,在今后的经济复苏中赢得历史性机遇。
参考文献:
[1]邹昭.《企业战略分析(第三版)》【M】.首都经济贸易大学出版社,2008
「摘要企业风险管理是一个倍受关注的焦点问题,企业能否在存在各种不确定性因素影响的环境中有序、有效地运转,在很大程度上取决于企业风险管理的有效性。对企业风险管理的有效性进行审查和评价是现代内部审计的一个崭新领域,本文在分析了企业风险和风险管理内涵的基础上,分析了企业风险管理审计的目标及主要内容。
「关键词企业风险风险管理风险管理审计由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、企业风险及风险管理的内涵进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。1企业风险的实质首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。2企业风险的划分企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。3企业风险管理COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:1审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。3审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。(二)风险识别的适当性及有效性审查风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:1审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。2审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。(三)风险评估方法的适当性及有效性审查内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:(1)已识别的风险的特征;(2)相关历史数据的充分性与可靠性;(3)管理层进行风险评估的技术能力;(4)成本效益的考核与衡量等。3审查风险评估方法应当遵循的原则内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。(四)风险应对措施适当性和有效性审查内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:(1)采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;(2)采取的风险应对措施是否适合本组织的经营、管理特点;(3)成本效益的考核与衡量等。
「关键词 企业风险 风险管理 风险管理审计
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、企业风险及风险管理的内涵
进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。
1 企业风险的实质
首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。
2 企业风险的划分
企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:
(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。
(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。
(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。
3 企业风险管理
COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”
我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标
对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。
从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容
风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
1 审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2 审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
3 审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:
1 审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。
2 审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。
需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别的风险的特征;
(2)相关历史数据的充分性与可靠性;
(3)管理层进行风险评估的技术能力;
(4)成本效益的考核与衡量等。
3 审查风险评估方法应当遵循的原则
内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。
(四)风险应对措施适当性和有效性审查
(一)企业风险管理框架
美国反虚假财务报告委员会管理组织fcOSO)针对企业界频繁发生的高层管理人员舞弊现象,颁布了全新的COSO报告,即《企业风险管理――整合框架》(Enterprls-eRiskManagement-Integrated Framework,简称ERMl。这个框架是在原《内部控制――整体框架》的基础上,结合《萨班斯一奥克斯利法案》(Sarbanes-Oxley Act)的相关要求展开研究得到的。根据ERM框架,“全面风险管理是一个过程,这个过程受董事会、管理层和其他人员的影响,这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标”。ERM框架有三个维度:第一维是企业的目标,包括战略、经营、报告和合规性目标;第二维是全面风险管理要素,包括内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息和沟通、监控等要素;第三维是企业内部各个层次,包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是:全面风险管理的各要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从上述方面进行风险管理。企业风险管理是一个过程,企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效,是基于对风险管理要素设计和执行是否正确的评估基础上的主观判断。企业的风险管理要有效,其设计必须包括所有的要素并得到执行。
(二)我国企业风险管理规范
近年来我国有关部门和很多企业也逐步认识到风险管理对企业经营的重要性,为了指导企业开展全面风险管理工作,进一步提高企业管理水平,增强企业竞争力,促进企业稳步发展,国务院国有资产监督管理委员会2006年6月了《中央企业全面风险管理指引》。该指引指出,全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。财政部、证监会等部门也于2008年5月了《企业内部控制基本规范》。该规范指出,企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况及时进行风险评估。企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。
(三)企业风险分析
风险产生于不确定性因素的存在,企业运行环境的不确定性带来了企业运行结果的不确定性。企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:(1)企业的战略风险,是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。(2)企业日常经营管理风险,是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。(3)财务风险。包括筹资风险、资金投放的风险及企业其他财务活动风险。
二、企业风险管理审计的作用
对企业风险管理进行监督和评价是现代内部审计发展的结果,风险管理审计是内部审计的主要职责,分析、确认、揭示关键性的经营风险,才是内部审计的焦点。随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。企业进行风险管理审计可以起到以下几方面的作用:
一是全面识别企业风险,风险在企业内部具有感染性、铸递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承扭,而是会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计具有相对的独立性,受单位主要负责人的直接领导,这就使其可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
二是调控和指导企业的风险策略内部审计部门处于企业量事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,可以调控和指导企业的风险管理策略。
三是内部审计部门的建议更易引起企业领导的重视一些企业尽管设立了风险管理部门,但不具有独立性,其意见往往会屈服于管理层的压力,这使得风险管理部门的作用受到一定程度的限制。而内部审计部门独立于其他管理部门,其风险评估的意见可以直接向董事会汇报,这样可以加强管理层对内部审计部门意见的重视程度。
三、企业风险管理审计的内容
企业运营状况审查。确定风险是否像所预计的一样,能减轻至可接受的程度以及在可控的范围内,并确定审核程序可以有效且低成本运作。监督和评价一个部门内的业务流程是否存在风险,或者一个流程能够同时对诸多部门同时进行管理。
企业信息系统风险审查。内部审计人员参与系统开发及方案制订,尤其关注流程的改进、数据传递、系统的执行计划及测试计划。对应用系统执行前及执行后的状况进行评估。对信息安全问题进行评估。
遵从国家法规政策审查。对企业的各项经营活动进行全面分析和评估。通过评估并纠正程序,确保遵守国家相关法律及政策。
风险管理流程控制审查。为实现企业经营目标,评估现行流程,保证其对可能事件与可能情况能进行有效识别、评估、管理和控制。协助风险管理机构落实有关措施。
风险应对措施适当性和有效性审查。内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;采取的风险应对措施是否适合本组织的经营、管理特点;成本效益的考核与衡量等。
【关键词】 内部审计; 风险管理; 参与原因; 运作过程
内部审计准则第16号具体准则――风险管理审计,明确了内部审计人员要对组织内部控制中的风险管理状况进行审查与评价,表明风险管理已成为内部审计发展的重要方向。该项具体准则明确:风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。
一、内部审计参与企业风险管理的原因
(一)企业的集团化发展,要求内部审计参与风险管理
近年来,随着全球经济金融一体化程度的加深,企业面临的经营环境日趋复杂,经营风险大大增加,内部审计必须对企业经营资源运动的合标性进行全程跟踪审计,把减少企业面临的风险作为企业实现目标的关键。内部审计目前已由外在介入型逐步发展为内在融入型,渗透到企业经营管理的各方面、经济活动的各环节。它已成为强化管理的促进者、提高效能的推动者、风险前瞻的岸望者、价值增值的倡导者。因此,内部审计参与企业的风险管理也就成为企业发展必然的内在需求。
(二)内部审计的自身发展要求参与企业风险管理
1.内部审计的定义包含了风险管理内容
内部审计是采用一种系统化、规范化的方法,来对机构进行风险管理、控制和监督过程进行评价,进而提高它们的效率,帮助机构实现目标。从中不难看出,内部审计的范围已延伸到风险管理,认为只有在风险管理框架中实施的内部审计才能称之为风险管理审计,“评价和改善风险管理”成为了内部审计的重要工作领域,它拓展了内部审计的广度和深度,是对内部审计的重新定位。
2.风险管理赋予了内部审计在企业中新的地位和作用
随着内部审计定位和角色的不断改变,内部审计已成为企业的诊断师,由于在经营中风险的必然存在性,使得任何企业都必须面对风险,并利用一切手段去避免、降低它所带来的影响和后果。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,能够站在第三者的角度去帮助企业更好地把握经营的方向,并将其在企业中的作用推向一个新水平。
3.内部审计与风险管理的目标是一致的
从风险管理的定义看,风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的方法,用最低的成本获得最高的安全保障,将损失降至最低水平。它的目标是直接服务于企业的经营目标的。
从内部审计的定义看,内部审计的目的是为企业增加价值并提高企业的运营效率。内部审计部门经过收集资料、识别并评价风险的过程之后,能够对企业的运营提出富有价值的见解,从而被企业管理者采纳,因此可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等,还可以将这些有价值的信息应用于经营管理活动,从而达到企业增值的目的。由此可见,风险管理与内部审计在其目标上是相一致的。
(三)内部审计参与企业风险管理具有独立性、综合性和连续性的优势
1.独立性优势
内部审计不参与企业具体的业务经营活动,因此不对各项业务管理中出现的问题承担直接责任,其相对超脱的地位是保持审计独立性的内在基础。内部审计通过实施审计检查程序发表的审计意见可以直达企业的管理高层,具有相对客观的基础。
2.综合性优势
内部审计在企业管理中是一个综合性部门,其审计范围覆盖着企业经营的各个方面,掌握的信息是多方面的。企业的风险潜藏在各个方面,风险管理需要从全局角度对风险的影响大小、轻重缓急进行综合评估,协调各方面风险管理的行动。内部审计具有从全局考虑分析判断风险的综合性优势,对企业风险管理进行的系统性、专业性监督检查和评价,权衡企业实施风险防范和效益成本的利弊,在风险与收益比较中研究风险管理的定位。
3.连续性优势
内部审计部门及人员由于长期在企业内部工作,对企业所面临的风险更为了解,对风险的各种影响因素更便于做深入的调查,对企业风险的转化影响、风险管理措施效果等更便于进行连续的跟踪,对风险管理进行循环的连续性监控,而且内部审计长期参与企业风险管理所掌握的风险管理信息和经验,会对不断深化企业风险管理和节约管理成本产生重要影响。内部审计人员作为企业员工,是最终利益的相关者,他们会对企业风险管理的效果和建立风险管理的长效机制更具有责任感。
二、内部审计参与企业风险管理的运作过程
(一)内部审计在企业风险管理中的定位
内部审计与风险管理是你中有我、我中有你、相互依存、联动发展的紧密关系。企业在制订风险管理方案时,应将内部审计作为风险管理的第一道防线,由内部审计对整个风险管理流程进行评估和监控,但内部审计在企业风险管理的建立与防范中,主要责任是对整个风险管理过程进行认定,并评价其充分性与有效性,向管理层报告并提出管理建议,以此来保证风险管理的有效性。因此,内部审计在企业风险管理框架中的首要角色是监督者;其次才是咨询服务者,它承担了咨询者、协调者、建议者的角色。
当然,内部审计在企业风险管理中的角色是一个逐步变化的过程。在企业缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议,即建议者;在企业实施风险管理的初期,内部审计能够发挥很大的协调作用,此即协调者;而当企业风险管理逐步成熟、运作稳定以后,内部审计就转化为监督者和咨询者。
(二)内部审计在企业风险管理中的作用
1.能够客观地对企业整体风险管理进行检查与评价
从风险的形成与影响后果等特性,不难看出风险在企业内部具有感染性、传递性、不对称性等特征,如一个部门造成的风险或者疏于风险管理,可能会传递到其他部门,最终要由整个企业承担。因此,有些部门可能会出现缺失道德风险,而这种风险不是由它们来承担行为责任。又如,采购部门为节约采购成本,会忽视对材料规格、型号、质量方面的检查,这种暗藏的风险会在生产车间或者销售部门反映出来,最终给企业造成损失。因此,对风险的认识、防范和控制等需要从全局考虑。
内部审计由于不参与企业经营的具体业务活动,它是独立于业务管理部门的,因而它可以从企业的全局出发、从客观的角度对各种风险进行识别,将风险评估的意见直接报告给董事会或经营管理层,提高管理层对内部审计意见的重视程度,保证其他管理部门及时采取有效措施控制风险,从而达到企业的高效运营。
2.能够以咨询顾问身份协助管理层建立风险管理制度
内部审计在企业尚未建立风险管理的过程中,应积极向管理层提出建立风险管理过程的相关建议。如果企业尚未建立风险管理过程,内部审计人员应该提请管理层注意这种情况,并同时提出建立风险管理过程的相关建议。内部审计可以通过开展风险管理培训培育企业风险管理文化,使风险意识贯穿于企业的各个层面;内部审计可以利用其专业优势开发适合企业特点的自我评估工具,以提醒管理层注意到目标、风险、控制的关系,帮助管理层将生产经营与风险管理更好地结合;内部审计可以通过咨询服务的方式协助企业建立风险管理系统。
3.能够指导企业的风险管理策略,防止控制过度或不足的缺陷
内部审计是内部控制的再控制,企业根据目标和所能承受的风险,制定内部控制制度,内部审计人员对现代内部控制的评估焦点在于强调风险并评估具体的风险管理活动。控制过度容易导致效率不高,控制不足容易导致舞弊行为的产生。内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人,并通过对长期计划与短期实现的调节,指导企业的风险管理策略。
4.能够发挥反馈作用,对企业的风险管理产生预警作用
由于风险是面向未来的,是直接与企业的战略及经营目标相关联的,因此以风险为出发点和核心的内部审计,能够以事后的反馈延伸到事前以及事中,从而达到更高效率的控制。内部审计的咨询职能充分体现了内部审计的能动性及增值目标,并且将事后的反馈扩展到内部控制建立前以及实施时的协助与促进,帮助管理层对风险管理进行持续改进与完善,产生预警功能,从而达到内部审计在企业管理控制系统中的反馈作用。
(三)内部审计参与企业风险管理的方式方法
1.转变观念,将风险管理作为内部审计的重要工作
内部审计应由过去的控制导向审计向现代风险导向审计过渡,由被动地承受审计风险,到主动地控制审计风险,将工作程序转向“确定目标、评估风险、管理风险”。内部审计部门要把参与风险管理写入内部审计工作制度,明确内部审计人员应当关心企业所面临的风险,根据风险评估思路开展对内部控制的评估,使审计报告将目前的控制与策略计划和风险评估连接进来,有效地管理企业风险。
2.要把企业风险管理融入日常审计项目中
企业风险存在于企业经营管理的各个方面,在一次审计中对企业面临的各种风险进行全面的检查和评价是不可能的,因此内部审计须在每一次的日常审计项目中,增强风险意识,引入风险审计的观念和方法,充分揭示和评价企业特定审计范围内存在的风险,使企业管理者对此风险给予重视并采取措施化解和控制。比如,内部审计部门开展的经济责任审计,企业经营负责人在任期内发生的重大投资、债务重组、重点工程建设等活动会对今后产生重大影响,任期内发生的经济纠纷或重要的管理缺陷也不一定会在其任期内体现,对此,内部审计就应作出必要的风险评价,一方面划清前后任的经济责任,一方面帮助企业采取必要的措施防患于未然。
3.要对企业的风险管理机制进行监督检查
当一个企业建立了风险管理机制,其规章制度是否得到有效执行,是需要进行监督检查的。内部审计就是对风险管理的再监督或再管理,是其参与风险管理的一种重要形式。内部审计可以实施各种专项检查,监督检查企业相关风险管理的各个风险控制点,评价预防风险的各项工作是否到位、评价降低风险的有关措施是否有效、评价风险的变化程度等等,从而对进一步改进风险管理提出意见。内部审计还可以对已经显现甚至出现损失的风险进行检查分析,发现和反映企业风险管理中的缺陷,如风险管理责任不清、部门间协调不足、风险防范资源不足等。
4.要加强对内部审计人员的督导
为提高审计工作质量,内部审计机构负责人需根据审计工作的具体情况建立内部审计督导制度,对审计人员的工作进行指导、监督和复核,明确各级人员的责任,同时必须强调督导是贯穿于审计项目的全过程的,它包括对审计方案的制订及修订、审计程序的实施、审计工作底稿的编制、审计证据的收集、审计报告的撰写等。内部审计机构负责人应采取必要的措施,尽可能减少内部审计人员在风险管理工作中的主观判断行为,在督导工作中要遵循重要性、谨慎性和客观性原则。
5.要优化内部审计人员结构,培养高素质的审计人才
1.1企业风险管理的内容及影响因素
风险原是指在实现目标的过程中,可能出现的阻碍目标实现或者影响目标进程的危险。企业风险管理指的是企业对企业内部可能出现的各种风险的预测、识别、判断、分析等,并对不同的风险进行合理预防和科学应对的管理体系,旨在尽最大可能地降低风险出现的概率以及减小遭遇风险时的各项损失。企业风险管理的内容主要包括对潜在风险的前期预测,在企业正常运行过程中对风险进行防范,在风险出现时有科学而迅速的应对措施。对企业风险管理具有较大影响的因素有风险管理策略的科学性和准确性,风险管理策略实施的执行力等。
1.2企业内部控制的内容及目的
企业经营的目的是为了有效而持续地获得利润,而企业的内部控制则是针对企业内部运营的各项事宜的规划与管理,从而达到对内部运营、企业发展的相对控制。企业内部控制的内容主要包括对企业操作程序和操作手段合法性的监督,对企业生产流程的合理性的规划,对企业运行高效化的引导和促进,对企业财务可靠性的确保等等。企业内部控制的主要目的是以决策层、领导层以及其他人员以实现企业经营目的为目标,在企业的正常运转中实施确保目标实现的策略和措施,确保企业具有合法而有效的运营程序。
1.3企业风险管理与内部控制的关系
企业的风险管理与内部控制都是为了企业更好地发展而存在的,两者既有共同的领域与目标,又有各自的职责所在。近年来,随着全面风险管理的行业标准的推进和实施,两者在一定范围内存在着相互融合的发展趋势。然而风险管理与内部控制仍然存在许多的不同之处,对于风险管理来说,在实行全面风险管理之后,其主要包含了风险对策、事件识别、目标设定、过程监督、信息沟通、控制活动、风险评估、环境控制这八个方面,风险管理内容涉及企业管理的方方面面。对于企业的内部控制来说,内部控制同样也是企业风险管理的一个重要手段,其采取措施和应用策略的主要依据来自于企业的风险管理,但内部控制不仅仅针对于企业风险,涉及方面还包括企业所能把握的机会。
2现阶段我国企业风险管理与内部控制存在的问题
2.1企业管理与控制策略缺乏创新性
在我国加入世界贸易组织以来,国内企业的经营市场不再仅仅局限于本国内部,而是获得了更多走进国际市场的机会,同时受全球政治经济一体化的影响,我国企业在走出国门的同时,更多的外资企业入驻中国。我国企业面临着越来越多的挑战和更为复杂危险的风险因素,而企业在风险管理与内部控制方面却仍然处于较为传统的落后状态,改革进程也并不十分理想,应对风险的能力较差。面对纷繁复杂的世界局势,企业管理与控制策略缺乏能够有效突破的创新,对风险的应对方式显得过于保守,这对于把握时代机遇来说显得有些捉襟见肘,对企业良好快速的发展造成一定的阻碍。
2.2企业在相关制度体系方面不完善
企业的制度决定着相关政策的执行标准,在我国企业的风险管理与内部控制中,虽然在行业内部已经出台了相关的行业标准,但就具体的企业来说,企业在相关制度体系方面的建设还并不完善。企业所实施的内部控制策略的科学依据有待考究,风险评估标准的灵敏度和准确度有待提高。企业在正常运营过程中,对风险评估体系的不完善,将会导致企业遭遇风险的几率增加,在面对风险时的机动应对流程没有得到科学合理的制定,将会造成企业在遭遇风险时的损失增加,因此,尽快建立完善的制度体系对企业风险的控制是十分必要的。
2.3企业机构设置不能满足相关策略的实施要求
企业策略的应用与实施,离不开具体机构的执行。在我国企业的机构设置中,对于风险管理和内部控制相关的机构设置不能充分发挥企业全面风险管理与内部控制的作用。企业的风险管理和内部控制决定着企业的发展甚至存亡,决策权往往在决策管理层,有些企业在全力制衡方面存在很大的问题,导致决策权力失衡,有关政策的实施无法得到保障,即使再科学合理的措施策略也无法发挥其作用,这对于企业发展将造成极大的阻碍。
3企业风险管理与内部控制实施策略应用
3.1提高管理团队的认识和创新意识
面对全球化的竞争市场,我国企业的管理团队在规避风险的同时,也应当最大可能地把握住机遇。在以往所爆发的全球化的经济危机中,暴露出了很多企业在风险管理与内部控制中存在的问题,也督促着企业的决策层、管理层应当提高自身对于风险管理与内部控制的认识。企业应当加强管理团队的建设,吸引优秀人才的加入为团队带来新的管理思路,同时加强相关人员的培训和学习工作,提升团队整体的专业素质以及对风险准确而敏感的认识,提高管理方面在实施策略上的创新突破,努力构建一个全面的风险管理体系和完善合理的内部控制程序,提高企业的风险防范和应对能力。
3.2建立完善合理的管理控制机制
合理完善的管理控制体系应当包括企业在日常运转中对风险的科学评估,以风险评估为依据,在内部控制程序中对内部生产、财务等方面的运行方式进行调整,尽量规避风险发生的可能。在企业不幸遭遇风险时,有科学的应对预案,有优良的管理制定具有针对性的补救方案,企业从决策层、管理层,到基层员工,都能做到有章法可依,有序应对风险,控制风险危害的扩散,尽量挽回企业损失。
3.3完善企业机构设置促进相关策略的实施和应用
完善的企业机构设置是相关制度和策略执行力的保障。企业的机构设置在上市企业应当以董事会为核心,在一般企业应当以决策层为核心,来进行风险管理与内部控制的战略部署,并且设置具有一定权利的企业机构来保障相关政策和策略的实施。风险识别、评估和应对是企业风险管理的重点,应当设置专门机构来承担这项任务,专业业务也应交于专业团队来进行。对于内部控制对风险管理结果的反馈,也应由专门的机构在做企业运行方案的调整和相关政策的制定。尽量保证不同职能部门的专业性和独立性。
4结语
【关键词】内部审计 企业风险管理 整合
一、内部审计与企业风险管理整合的必要性
(一)内部审计能够指导和控制企业的风险决策
一般企业内部的审计部门是设在总经理、董事会和其他职能部门之间的位置,因此审计人员能够为企业的各项短期决策或者长期风险决策提供有效的沟通和协调。同时在对短期决策和长期决策制定的协调过程中,审计人员能够按照自己掌握到的各部门信息,指导和调控企业的风险管理策略。
(二)内部审计部门自身发展需要
企业的资产的受托责任从本质上说就是一项重要的审计问题。对于出资的股东而言,了解企业运营状况和企业风险就是其特别关注的问题,这就使得风险管理审计成为让这些投资股东了解风险状况的重要方法。通过参与到风险管理之中,内部审计能够对企业的风险和机会进行全面而有效地病故,甚至可以在得到董事会的授权之后制定相应的风险管理战略,这对于内部审计部门而言是其进行变革的重要内容,实现其从被动服务方式向主动服务方式的转变,进而促使审计部门逐渐成为企业中一个不可或缺的举足轻重的角色。内部审计部门拥有一些企业部门没有的信息,例如:更加了解企业的发展战略、企业文化、经验手段和内控情况等,对各职能部门的权限和职责也有了解,这些信息使得内部审计部门在风险管理工作上刚刚起步,但是充分的企业文化信息使得其能够制定出最符合企业实际情况的风险控制措施。
(三)内部审计部门的建议更加容易引起企业高层注意
有些企业设置了风险管理部门,但是此部门属于管理部门层次,主要是向总经理报告,并且没有较高的独立性,有时由于管理当局的压力,其制定的报告会言不由衷。例如:风险管理部门在进行某投资项目风险分析后得到此项目不适合风险投资,但是总经理好大喜功或者从其他途径获得了此项目风险小的观念,然后他就会极力促成此项目的实施,使得风险管理部门的真正作用受到了个人喜好的限制。但是内部审计部门就不会出现此种状况,其直接向董事会报告风险评估内容,这就增加了当局对于内部审计部门意见的关注程度。
(四)内部审计部门与企业风险管理整合,是现代企业内部控制的需要
经济全球化,市场改革逐步深入,国际化程度逐步加深,企业面临的经营风险大大增加。企业风险管理的重要目标就是减少企业面临的风险,这也是组织实现管理目标的关键所在。缺乏完善的约束机制、良好的激励措施和健全的公司管理制度,不仅仅会让企业面临生存上的危机,还会使得审计风险增大。作为企业内置的一个职能部门,内部审计必须成为企业风险管理的一部分猜想,风险刮泥审计是从企业具体目标出发,对企业面临的各种系统风险和非系统风险进行认真的分析,对内部控制机制是否健全、管理的控制点和执行方案是否有效以及薄弱环节的具体控制和改进措施提出新的认定等,这些都是现代企业内部进行内部管理控制的管理。
二、内部审计在风险管理中协调应用
(一)以风险评估为基础,优选项目
审计计划和项目选择应该按照风险评估结果按照风险危害程度确定优先顺序。只要存在一定的风险,不管其冯先生hi资产的潜在损失还是偏离实际计划亦或者是会计信息出现较大误差,就应该将此项目作为审计的重点。在进行项目风险审计优先级的制定时,可以将高层管理人事调整、资产或投资额大、业绩与预算差距较大、变更业务流程等作为首选的审计对象。内部审计师重要要注意风险回报的合理性,重视减少风险措施有效性的评定,并且对风险转移和风险分担作出清晰的界定。内部审计从全局的角度对企业的风险管理进行了评估,能够有效提出防范风险的建议,并且借由其对企业组织的深入了解,能够帮助审计部门经营同管理部门关系的改善,对现代企业风险管理工作起到了重要的作用。
(二)重点进行管理过程的审计工作
借助评价报告系统,内部审计师可以将风险信息及时而准确地传达给相关的风险控制人员,同时审计部门还可以直接向董事会传递有效的管理信息。也就是说,内部审计部门从人员安排、审计程序、工作经费方面都能够起到组织和保障的作用。内部审计部门重要要放在内部管理过程,重视对管理层进行风险因素的识别,调整好相应的经营策略和内部控制程序,制定出详细的风险防范措施。企业大道有效控制系统的必要手段就是内部控制,其总体设计应当以风险评估为主要原则,包括对信息交流、环境控制等方面的风险评价。企业管理则会根据内部管理控制的需要,对企业的运行机制、岗位职责和组织结构进行新的控制方式,放置企业员工利用职责便利从事违规行为,保证企业资产的完整和安全。而内部审计工作的焦点应当放在内部控制上,强调内部控制程序的控制效果和执行情况,特别要管理内部控制控制不到的区域,对这些区域的潜在危险进行风险评估,及时地剖析、纠正在经营管理工作上的缺陷,借助持续的评价和监督,达到对企业资金、预算等的风险控制。
(三)报告和防范风险
审计风险评估如何传递、审计结果如何进行利用,舞弊风险该如何进行控制,这一切对于内部审计在风险管理监督体系中的作用和价值都有直接的联系。内部审计部门在进行改进组织结构和风险控制方面要发挥其领导者的作用。一方面,内部审计要加强和其他各部门的沟通,对风险管理过程与充分的认识,并且能够及时的将监督评估结果传递给相关部门;另一方面,内部审计要通过评估相关的控制的有效性和充分性来放置舞弊行为的出现。
[关键词] 企业风险管理审计模式
从20世纪90年代后期开始,由于新经济带来的全球化、电子商务、企业组织结构虚拟化等特征,许多跨国公司开始实施新的企业全面风险管理方法。
一、企业风险管理审计涵义及其特点
企业风险管理审计是指企业内部审计部门采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动,对机构的风险管理、控制及监督过程进行评价进而提高过程效率,帮助机构实现目标。它有其自身的特点:
1.审计目标:确定企业战略目标,风险管理策略及相应的经营风险(固有风险)并评价企业是如何实施风险管理有效性从而实现企业目标。
2.审计策略:①了解企业战略,经营及价值目标,以及经营行为。 识别实现该目标以及其经营行为的主要固有风险。②了解企业的风险管理策略及风险管理措施。③评价企业的风险管理措施,并有效地将风险降至可接受水平。④关注风险管理缺口的有效性。
3.测试方法:实质性测试与符合性测试相结合,其运用取决于企业风险管理的有效性。
4.管理建议:识别出每个风险关键点所存在的风险管理缺口。
风险管理审计吸收了其他审计模式的优点,同时又关注到企业的战略、绩效等整体风险管理的有效性,其不仅考虑到审计师可接受的剩余审计风险,更是从审计固有风险源头,即企业管理层所进行的风险管理活动的角度识别并评价风险,从而才能更一步地从审计师及企业管理层双角度确保审计资源的分配及审计的有效性。
二、企业风险管理审计模式与其他审计模式的区别
根据原安达信公司专业人士Paul Sobel, 在其于2003年所著的《Auditor’s risk manage-ment guide: integrating auditing and ERM》一书中的概括, 现代审计模式在过去五十年中经历了四大阶段,其分别是:控制基础审计、流程基础审计(又称经营审计)、风险基础审计(又称风险导向审计)、风险管理基础审计, 又称风险管理审计。那么企业风险管理审计模式与风险基础审计模式和控制基础审计模式的不同在于:
1.企业风险管理审计与控制基础审计的区别。
(1)出发点不同。企业风险管理审计侧重审计风险管理政策与企业经营战略方针的矛盾统一,控制基础审计侧重测试企业经营的横向、纵向的制约与协调。
(2)审核目标不同。企业风险管理审计的目标是关注企业风险管理政策设计的适当性;执行的有效性;风险损失处理的合理性。控制基础审计的目标是关注内部控制制度设计的健全性、适当性;执行的有效性。
(3)审计方法不同。企业风险管理审计采用预警分析、专业判断、综合评价等方法。控制基础审计采用测试、分析、专业判断等方法。
2.企业风险管理审计与风险基础审计的区别。
(1)含义不同。企业风险管理审计是审计主体通过对组织风险识别、风险程度的评价等工作的审计,评价风险政策、措施的适当性、执行的有效性的工作。风险基础审计体现着审计主体开展财务审计、绩效审计、控制审计等审计工作首先以测试组织的风险管理战略和风险管理为前提,根据对风险管理审计测试的结果,决定其他相应审计的范围、性质、程度和时间。
(2)侧重点不同。风险管理审计侧重对风险管理进行鉴证,而风险基础审计侧重于对会计信息质量的鉴证。
三、开展企业风险管理审计应注意的问题
企业经营必然要面对许许多多的风险,这些风险有的相互叠加放大,有的相互抵销减少。因此,企业考虑风险时,必须根据风险组合的观点,从贯穿整个企业的角度看风险。要实行全面风险管理。这对于对风险管理进行再监督的风险管理审计来说是一种挑战。
1.风险管理审计要与企业的各级风险管理组织相配合。开展企业风险管理审计要求内部审计工作超越企业内部各职能部门之间的间隔,实现全体的综合的和全员层次的行动进行综合的风险管理。在现代企业的风险控制方面,不少大中型企业一般建立三级的风险管理组织,即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构;公司风险控制委员会领导下的内部审计及专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险,对公司风险管理制度进行设计以及对各业务部门执行风险控制制度的有效性进行定期的检查,及时揭示和报告潜在风险,并提出防范风险及改进工作的建议。内部审计部门对公司总裁负责。各业务部门、业务支持部门和管理部门承担一线的风险控制职能,各部门负责人直接负责风险监控,内部审计部门要对其监控情况组织、指导、监管和控制质量进行评估。
2.以风险管理为核心,对公司治理、风险管理和内部控制进行整合。风险管理是与公司治理和内部控制交汇的核心。公司治理的核心职责就是要有确保公司应对风险的战略和措施,在公司治理中包含一些战略性的风险管理因素。公司治理的实施需要内部控制,为公司治理机制的运行提供保障。同样,风险管理的实施也需要内部控制,采用各种内部控制的方式与方法,实现有效的风险管理。因此,从一定程度上说公司治理和内部控制有着相同的目标:风险管理。内部审计以风险管理为核心进行整合中,以内部控制为手段,对风险管理和公司治理进行内部控制;内部控制和风险管理以公司治理为内容,即内部控制和风险管理的内容是公司治理的内容;内部控制和公司治理以风险管理为目标,风险管理的目标是提高企业的经济效益,因而内部控制和公司治理也是要以提高经济效益为目标。
3.创新风险管理审计中的技术和方法,提高审计水平。随着信息技术的广泛应用,我国内部审计在风险分析、风险量化和应用计算机审计技术方与世界各国存在较大差距,审计效率成为内部审计在风险管理中发挥作用的挚肘。因此,迫切需要研制、开发兼容性强和功能完善的通用审计软件,从而实现审计效果与效率的统一,全面提高内部审计质量。
4.风险管理审计要注意提高审计人员的素质。企业风险管理审计对审计从业人员的业务素质提出了新的要求,首先,要求审计人员具备必需的管理学知识和经济学知识。如经济学、管理学、统计学、经济法、信息技术等。其次,要加强审计人员的业务素质建设,要加强审计队伍的理论建设,采取有效措施来改善内部审计人员的专业理论水平,如采取学历考试、职业技术资格考试、职称测评、外出培训及建立人员流动站等方式。然后,还要加强审计人员的职业道德教育,增强内部审计人员的责任感和使命感,树立廉洁勤政的观念,将审计部门;建成讲正气、讲学习的法治机构,这是保持审计人员独立性与权威性的基石。最后,按照国际标准,培养某一领域的专家,改变当前内部审计人员知识结构不合理、理论水平不高的现象。
5.辅助审计软件的使用与完善。现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。
参考文献:
[1]风险导向审计的最新发展――风险管理审计,management.省略/tax/2006-06/33521.htm
[2]王晓霞著:企业风险审计.中国时代经济出版社,2005
[3]《内部审计具体准则第16号-风险管理审计》
[4]田国双吕红梅:企业内部审计参与风险管理若干问题探讨.审计2004(9)
一、风险管理体系的内涵及其在国有企业中的作用
1.风险管理体系的内涵
国有企业风险管理体系被人们划分为三个维度,其中,第一个维度包括:一是战略目标,也就是风险管理体系的最高目标。二是经营目标,也就是要提高企业现有资源的利用率,避免出现资源浪费的情况。三是报告目标,也就是企业每个发展阶段都要进行总结,并形成报告。四是合规目标,也就是企业自始至终每个阶段的发展目标必须符合国家相关法律法规及政策的规定。企业在建立风险管理体系之前必须先确定企业的发展和经营目标,这样才能保障风险管理落实到位。企业风险管理体系的第二个维度是企业管理中的关键要素点,企业风险管理体系的第二个维度需要和企业的发展目标和方向联系在一起,并对企业的风险进行评估。企业发展的核心实际上是人,企业风险管理也包括对人的管理,管理内容包括:一是道德价值观;二是职业素养;三是企业文化的认同;四是风险意识等等。企业管理人员还需要根据企业的实际情况及确定的发展目标来分析内外部因素对风险管理的影响,对风险因素进行识别评估,确定风险管理的方向。企业可以采取以下对策来应对风险:一是规避风险;二是通过转移和对冲来分担风险;三是通过转换、补偿、控制的方式来降低风险,四是承受风险。在应对风险的过程中,企业各个部门需要多沟通,实现信息和资源共享。企业各个部门之间的有效沟通可以体现为以下几种形式:一是主体向下;二是平行流动;三是向上流动。企业风险管理体系不是一成不变的,需要结合企业的发展状况进行调整和完善。企业风险管理体系第三个维度属于主体单元,包括:一是企业;二是子企业;三是业务单元;四是科室。
2.风险管理体系在国有企业中的作用
企业建立风险管理体系的最终目的就是为企业发展提供保障和依据。企业要在发展的过程中培育企业文化,并结合实际情况健全内外部风险管理制度,采取风险管理对策,并保证企业风险管理工作落实到位,明确风险管理的责任。企业风险管理体系的建立和实施可以增强企业管理人员的风险管理意识,提高企业的风险管理水平。风险管理体系的建立也可以让企业管理人员第一时间了解企业的经营状况,实现企业利益最大化。风险管理体系的建立还使得企业自身在风险的可承受度以内,抓住机遇,优化企业资源配置,创造更大的价值。
二、风险管理体系在国有企业的建立
1.风险管理体系的建立目标
企业风险管理体系的建立目标就是把企业的风险管理工作贯穿于企业发展和经营全程,从目标的设定到事件的识别再到风险的评估最后到风险的应对和风险的监控,这样一系列的环节构成了一个流程,而这每一个环节都有它具体的方法,由此建立起一个整体完善的风险管理体系来满足企业的发展需求,实现对企业经营过程的全面监控和管理,推动国有企业的发展,让国有企业在激烈的社会竞争中立于不败之地。
2.风险管理体系的建立措施
国有企业风险管理体系的建立不能盲目,需要遵循以下原则:一是合理性原则,也就是企业风险管理体系的建立必须遵循国家相关法律法规及政策,而且还要以企业的管理制度为依据。二是完整性原则,也就是需要对企业发展的各个过程进行监督和管理,涵盖企业的战略、运营、财务、合规等所有方面。三是融合性原则,也就是企业风险管理体系必须和企业原有的管理制度和体系融合在一起,渗透到企业的日常经营中去巩固企业原有的发展成果,满足企业的发展需求,深层次的挖掘风险管理体系的内涵。四是效率性原则,也就是动态性原则,企业风险管理体系必须可控,必须是动态的,时时监控时时改进,而且效率非常高。五是匹配性原则,把企业的整体风险控制在可接受的范围之内,企业的风险承受度与企业的发展目标相匹配。六是综合性原则,由于风险的多样性和复杂性,需要采取综合性的管理手段防范综合性的风险。七是有序性原则,也就是企业必须捋顺风险管理的程序和步骤,实行分层管理的方法。随着社会的快速发展,计算机技术也得到迅猛发展,计算机技术已经广泛应用于国有企业风险管理中。目前,国有企业风险管理已经实现了信息化,标准化,企业风险管理工作正在顺利开展。
企业在开展风险管理工作的过程中必须有效的控制企业内外部环境,控制环境可以体现出企业管理者的管理态度,企业管理人员的行为和态度对于员工的行为和态度有很大影响,国有企业风险管理保障因素有:一是风险管理理念;二是风险管理文化;三是风险偏好;四是员工胜任能力;五是人力资源政策;六是人力资源措施;七是反舞弊机制。风险评估是对于企业发展过程中的不确定影响因素进行分析。风险评估是国有企业风险管理中不可获取的环节,企业风险评估是一项系统性工作,需要涉及的内容比较多,而且对于风险评估人员的专业性和综合素质提出了较高的要求,企业必须设置专门的风险评估部门,并聘请专业的风险评估人员展开风险评估工作。控制活动实际上就是对于企业生产经营活动进行监督和管控,主要包括以下环节:一是审核;二是批准;三是授权;四是验证;五是核对;六是经营绩效考核;七是资金保全;八是职务分离。在开展企业风险管理的过程中,企业必须实现信息共享,通过对信息的识别来传递信号。监督是企业开展风险管理中不可或缺的环节,监督包括:一是持续监督;二是独立评估;三是缺陷报告;四是奖惩机制。企业风险管理的重点是:一是重大风险;二是重大事件;三是重大决策;四是重要管理;五是业务流程。企业风险管理还必须按照步骤进行,先急后缓,先易后难,这样才能更好的实现企业风险管理目标。企业在开展风险管理工作之前需要先梳理企业现有的业务流程,然后明确各个部门的职责,并对企业的风险进行评估,把分析得出的数据进行整理,建立数据库,为后续企业风险管理工作的开展提供依据和支持。在新形势下,国有企业必须改变传统的风险管理理念和模式,并健全风险管理制度,风险管理制度包括:一是风险管理授权制度;二是风险管理报告制度;三是风险管理审批制度;四是风险管理责任制度;五是内部审计制度;六是风险管理考核制度;七是重大风险预警制度;八是法律风险制度;九是危机管理制度。
如今,国有企业风险管理体系的建立和风险管理工作的开展对于企业风险管理人员的专业性和综合素质提出了较高的要求,国有企业必须认识到加强风险管理人员培训的重要性,加大人员培训方面的资金投入,定期派遣风险管理人员外出参加专业化培训,丰富风险管理人员的实践经验,提高风险管理人员的专业水平和综合素质。要想实现国有企业风险管理目标,企业管理人员必须认识到开展风险管理工作的重要性,并对风险管理工作有正?_的认识和理解,形成企业独有的风险管理理念。创新是一个国家和民族进步的灵魂,企业在开展风险管理的过程中还需要不断创新,创新风险管理形式,创新风险管理手段,创新风险管理内容等等。
关键词:风险 风险管理 内部审计 风险管理审计 风险导向审计
一、风险及风险的分类
国际标准化组织将风险定义为不确定性对目标的影响。这种影响可能是正面的使组织获得收益的因数,也可能是负面的导致组织损失发生的因数。狭义的企业风险则是指企业经营过程中客观存在的有碍于组织目标实现的威胁因数。
根据风险的来源不同,可以将企业风险分为企业内部风险和企业外部风险,也可以分类为环境风险、决策风险和过程风险。
中国国资委的《中央企业全面风险管理指引》将企业风险划分为五大类:市场风险、战略风险、运营风险、财务风险、法律风险。因此对企业来说,相对来说比较难以掌控。
二、风险管理与内部控制、内部审计之间的关系
从风险管理的定义可以看出,风险管理既是一种管理方法,也是一项系统工程,需要全员参与并包括风险识别、评估和控制等环节;风险管理的目标不是完全彻底的消除风险,而是通过各种手段,如风险避免、风险控制、风险转嫁、风险保留与承担、风险保险等,将风险控制在企业可以接受的范围之内。
美国企业风险管理与内部控制、内部审计之间的关系,可以概括为三句话:风险管理与内部控制、内部审计分别实施,紧密结合;内部控制是风险管理的一种措施或手段;内部审计是以经营管理中的重大风险或内部控制中的薄弱环节为目标,以风险评估结果为导向实施的检查行为,是基于风险评估结果展开的。有效的风险管理一般具有七个特征:
(一)风险管理是管理者的职责
风险管理必须由管理层实施并贯穿于日常决策和企业所有经济业务。
(二)风险管理必须涉及所有部门并涵盖所有业务
通常情况是,企业各部门各司其职,业务管理方面相互隔离,缺乏统一联系。风险管理要求企业打破部门和业务之间的相互分割,建立统一的风险管理框架,并在确定的框架下制定相关流程、制度,协调实施风险管理。
(三)风险管理要分类进行
企业应根据各自的业务和管理特点,确定各自的风险类别,根据风险的轻重缓急程度,制定相应管控措施。
(四)风险管理强调对薄弱环节的管理
通常情况是,经营管理的薄弱环节是企业管理不到位、风险较高的环节,薄弱环节的风险累积有可能对企业造成实质性的损害和危机。
(五)风险管理要考虑风险的联系和交互作用
单个负面事件会引发一系列事件的连锁发生,从而带来非常严重的负面效应。“屋漏偏逢连夜雨,船迟又遇打头风”说的就是这种情形;
(六)风险管理应该融入并成为企业文化
企业文化是生产力,是推动企业持续、健康发展和提升竞争力的强大精神动力。企业风险管理只有融入并成为企业文化,才能具有长久的生命力,成为企业的一项长效机制。企业管理层应在各种场合不断宣讲风险管理理念和制度,使企业真正做到未雨绸缪,居安思危。
(七)风险管理不仅要重视规避风险,还要注重创造价值
风险不仅会造成损失,同时也能带来收益。企业管理层在选择规避风险的同时,不应一味的躲避风险,应善于从现有的风险中发现为企业创造价值的机会。从风险中发现能为企业创造增加价值的机会,是许多成功的企业管理者不断创造企业神话,带领企业从成功走向辉煌的必由之路。
三、内部审计在企业风险管理中的独特优势
(一)内部审计在风险识别和评估过程中的优势
内部审计作为企业有效治理、风险管理和内部控制不可或缺的一部分,参与风险管理既是内部审计职业发展的要求,也是企业发展的需要。企业相关职能部门如人力资源、合同管理部门等,只能对其所管理的领域或经济事项的某一阶段的固有风险进行识别和管理,内部审计部门的优势在于,首先,内部审计不仅可以涉及企业的组织结构、工作流程和经营战略等领域,而且可以监控经济业务管理的整个过程;其次,内部审计不仅重视会计信息,而且重视经济信息、产业信息和财务信息等。内部审计的独特地位和专业知识使其可以通过对所掌握的企业经营过程中所表现出来的各个方面的风险进行汇总、归纳、综合分析和提升,发现企业内部存在的共性问题、体制和机制层面的缺陷和风险,进而从根本上解释和评估风险管理措施,提高风险管理的有效性。
(二)内部审计在风险信息沟通和风险管理系统监控中的优势
由于企业职能部门和内部组织直接参与企业内部经营和风险管理,出于对单位和部门自身利益的考虑,企业职能部门和内部组织有可能不会将其所掌握的所有风险毫无保留的上报到董事会和管理层,进而由于信息沟通不畅造成过程控制风险。内部审计部门直接向董事会或总经理负责的机制决定了内部审计部门不存在像职能部门和内部组织那样的小团体利益,因而可以在其职责范围内,较好的完成其他管理部门不能完成的风险监控和风险信息沟通职能。
四、内部审计在企业风险管理中的作用
在企业风险管理框架下,内部审计是风险管理的函数,是对风险管理的再管理。内部审计参与风险管理的途径有两种:即风险管理审计和风险导向审计。两者既各有区别相互依存。内部审计部门在全面深刻地了解被审计单位的剩余风险的基础上,重点关注妨碍组织目标实现的高风险领域,合理设计进一步实质性审计程序的范围、重点和方法,并合理分配审计资源,提出改进措施和建议,做到既能保持审计效果,又能提高审计效率。两者的联系在于都是以企业内部控制中的风险管理为审计对象,在两者的相互关系中,风险管理审计是风险导向审计的基础,详尽而精准的风险管理审计为风险导向审计指明了审计方向,明确了审计重点,是成功风险导向审计的必要条件。同时,风险导向审计是对风险管理审计的进一步延伸,在风险管理审计的基础上,风险导向审计对企业剩余风险较大的领域进行重点审计,提出进一步减少或降低风险的措施和建议,提高企业风险管理水平,为企业目标的实现提供合理保证。
内部审计部门可以从以下方面开展风险管理审计:
(一)分析风险环境,识别风险事件
风险环境是指是指妨碍组织经营目标实现的经营环境,既包括法律、政治和经济等外部风险环境,也包括企业的风险偏好与风险文化、诚信与道德价值、管理理念与经营风格、组织结构与权责划分等内部风险环境。内部审计部门通过对经营环境及其变化的详细分析,观察同行业内其他企业的经营状况及整个市场的经营风险水平,加上内部审计人员独特的专业知识和技术,可以独立的推断企业存在的潜在重大风险,并比较全面客观地判断企业的固有风险以及剩余风险。
(二)评估风险级别
风险管理通常要求采用风险评级和计分的方法进行风险评估,并根据量化的风险水平对风险进行排序。内部审计人员需要从客观的角度分析风险的假设条件、计算方法的适当性来评价风险。对一些难以客观量化的风险,内部审计人员则需要凭借职业判断,采用主观估计判断风险发生的可能性。
内部审计对风险的评估不仅要看概率,而且要看影响程度。如果只关注概率,低概率的事件有可能会被忽略。但低概率风险暗含的突发因素可能会在某种情况下发生相互联系的、不断演变的连带反应,使事件变得越来越严重。
(三)评估风险控制的有效性
对于经过识别和评估后的风险,企业都要经过风险与收益的权衡,作出接受、规避或分散风险的决策。当风险超过企业的风险偏好,企业不能接受或无法经济有效的加以抑制,为避免风险带来的负面影响,企业有可能采取放弃该项目或计划的做法。对于大部分风险,企业需要采取一定的控制行动,将不可接受的固有风险转化为可接受的剩余风险。
内部审计部门需要采取各种方法,如分析性复核和详细测试程序,对企业采取的风险控制及管理活动进行分析,评估企业风险回避的合理性、减少风险措施的有效性,是否出现了新的风险等。分析时应考虑:组织内是否对风险达成共识;影响组织保值增值的主要风险是否被识别;风险分析是否围绕可能性和影响程度、弱点、发展速度与相互依存等;不同的情况是否被评估和进行了负荷测试;是否着手影响因素分析并制定应急计划;风险评估及降低风险计划及步骤;与谁沟通、沟通周期及沟通的有效性;剩余风险是否在可接受水平;是否有审批高风险决定的政策、程序并遵照执行;董事会和执行管理层是否对风险管理活动满意等。
(四)风险信息沟通
关键词:工程企业;财务风险;评估与预警;风险管理
随着我国基础建设与城市发展的逐步推进,建筑工程企业的经营发展成为了社会经济发展的重要组成部分,所以在工程企业发展过程中,利用有效的财务管理手段,提高企业发展效率是我们财务工作的主要内容。在实际工作中我们发现,工程企业经营中财务风险的出现,对于企业经营管理质量有着严重的负面影响,所以当前的工程企业,在新型风险管理技术视角的支持下利用新型的技术手段与管理理念,做好企业财务风险评估预警及管理显得尤为重要。
一、当前工程企业财务风险管理主要问题分析
(一)财务情况复杂影响了风险预警效率
在企业风险管理中,风险预警工作的开展需要对企业经营、财务状况、市场情况等多种因素进行综合性的评估才能完成。而在工程企业的财务过程中,财务工作内容较之一般企业更为复杂。这种复杂的财务管理实际状况,影响了风险预警开展的效率。首先是财务数据汇总较为困难。在工程企业财务管理过程中,财务数据汇总工作受到工程进度的影响,所以较为困难。如跨年度的工程建设中,其工程结算的财务数据难以进行有效汇总或汇总到的数据不完善的情况经常出现。这种数据汇总问题的出现,使得财务风险评估难以得到数据支持,进而影响了评估预警的整体质量。其次是市场变化影响了风险评估的开展。在工程建设过程中其施工建设周期较长,因此容易受到市场变化影响,加大了风险评估预警工作难度。这里所指的市场变化除了工程企业经营市场外,还包括了原材料市场、工程人力资源市场、金融市场等与工程企业有关的市场环境。如随着原材料市场价格的变化,企业成本的提升容易造成企业财务风险的出现。由于这种风险因素的提升,必然会加重企业风险评估预警工作的责任,进而使评估预警工作效率降低。
(二)突发问题较多造成财务风险的提高
在工程企业发展过程中,突发问题的出现是风险产生的主要原因。一是安全性突发问题。在当前的工程建设过程中,虽然企业加强了安全建设意识,但是安全问题依然难以避免。在安全问题发生后,可能会出现企业财务管理中现金支出增加、财务信誉度降低等问题,造成企业财务风险的出现。二是金融市场突发问题的出现。因为工程建设中需要大量资金支持,所以工程企业财务管理中必须与银行、担保公司等金融行业进行合作,吸纳贷款与投资。特别是在金融危机等突发性问题出现时,就会使企业资金链断裂,造成财务风险的出现。
(三)风险评估与预警体系不完善
在工程企业财务风险评估与预警工作过程中,其评估与预警体系的运行发挥着重要作用。良好的风险评估与预警体系,对于风险管理的开展起到了重要作用。但是在实际工作中我们发现,部分企业中风险评估与预警体系依然存在着以下问题。一是缺乏风险管理核心。在以前的企业风险管理过程中,财务管理部门负责风险的管理工作,但是因其缺乏企业管理的决策权,所以难以起到风险管理的核心作用。这就会在企业日常风险管理工作中影响了风险评估与预警工作的全面开展。二是监控体系不完善。企业财务风险管理属于企业整体性的财务工作,良好的风险监控是评估与预警工作完成的重要保障。但是在工程企业中,企业总部对各工程项目间的风险管理监控质量较差,进而影响了风险评估与预警的工作质量。
(四)风险管理中缺乏整体的抵御策略
在企业风险管理过程中,评估与预警工作的目的就是针对财务风险因素采取有效的应对抵御措施,降低风险因素对企业财务体系的影响。但是在财务工作中,风险策略的不足造成了企业风险管理工作难以顺利开展。这种策略性的缺失主要表现在两个方面。一是策略实用性差。在当前的工程企业风险应对抵御策略中,大部分内容集中在领导的管理层面,缺乏对实践工作内容的指导意义。如具体工作管理责任人员、实际工作程序等内容的缺乏,使应对策略缺乏了实用性。二是缺乏联合性工作策略。在当前的工程企业风险应对策略中,其应对措施主要由企业内部人员完成。这种应对策略的应用会使企业财务压力加大,影响了风险抵御工作的效果。如果我们采用行业和市场联合工作的应对策略,将会提高企业风险抵御的质量。
二、工程企业财务风险评估预警工作实践措施研究
(一)结合企业实际工作,建立网格化风险预警机制
为了提高风险评估与预警的工作效率,针对工程企业财务与风险管理工作较为复杂的情况,结合企业实际,利用新的网格化风险预警技术,开展风险管理工作。所谓的网格化技术既是利用计算机技术,将管理内容划分为若干网格来进行管理的新型管理方式。一是以工程项目为网格开展工作。在工程企业的财务管理中,工程项目管理工作的开展是非常重要的内容。这种工作模式可以保证在工程遇到突发性安全问题,或财务风险问题时,管理者可以及时开展风险评估与预警工作,提高企业风险管理质量。二是以工程项目时间节点为网格开展工作。我们可以根据企业经营与工程项目施工时间节点,制定风险管理网格,开展风险评估与预警工作。这种工作模式可以根据企业与工程项目在不同时间阶段的经营与财务特点,进行具有针对性的风险管理工作,提高其管理质量。如在工程开始、施工、收尾、验收等不同工程阶段,我们针对其不同的风险内容,开展具有针对性的风险管理工作,利用新技术促进风险管理的开展。
(二)建立全面的风险管理预案,减少突发风险影响
在工程企业财务管理过程中,为了解决风险管理中遇到的突发性问题影响,在实践工作中,我们采用新的技术观念设计风险管理预案,指导风险管理工作。一是对突发性问题进行全面的考虑与研究。在风险管理预案中,我们需要根据财务风险发生的原因、概率、危害、应对方法等因素利用综合模型进行全面的考虑,特别是对于突发问题中的风险因素进行考虑和研究,结合工作中曾经出现的经验教训,为预案的制定提供实践参考,提高预案中应对突发问题风险的作用。二是在预案中规范工作方法。突发性问题风险的管理过程中,我们需要利用严格有效的工作方法进行应对。所以在风险管理预案中,我们需要利用预案制度模式规范风险应对工作方法,利用规范化模式,保证突发问题风险评估与预警质量的提高。同时在风险管理预案应用中,我们还可以将预案管理与监督管理进行结合,为风险监控工作提供参考性保障。
(三)以法人管理为核心,完善风险预警与评估体系
为了更好地完善工程企业风险预警与评估体系,我们在企业内建立了金字塔式风险管理体系,开展风险管理工作。一是以企业法人为风险管理核心开展工作。我们应发挥法人在企业管理中的决策、监督等工作权利,提高企业风险管理的效率与质量。二是发挥财务部门的专业作用。这对企业财务风险管理的开展有着重要实践指导作用。如在企业内,财务部门组织专业的风险管理培训,提高企业内整体的风险管理意识,对于风险管理开展有着重要促进作用。三是落实风险管理责任制。在企业各部门、工程项目中设立专人开展风险评估与预警管理工作,落实风险管理的专人责任制,在基层实现风险管理的开展,层层负责,将风险管理的理念根植于企业文化中。四是聘请专业的外部机构。为了多方位的完善企业风险管理体系,可以聘请专业的审计机构对企业的风险管理体系进行审计测试,从不同的视角检测风险管理体系的设计是否存在缺陷,运行是否有效,从而发现内部人员没有关注到的风险点,强化风险管理的效率和质量。
(四)以合作模式,建立全面的企业风险抵御策略
为了更好地应对企业财务风险,我们需要以新型的合作性管理工作模式建立风险抵御策略,提高企业风险抵御的质量。一是内部合作模式的开展。在企业风险的应对与抵御过程中,我们需要在风险应对策略中整合企业内的各部门,促进企业内部合作的开展,做好企业风险应对与抵御工作。在这种模式下,财务风险的应对与抵御不再由财务管理部门单独完成,而是由企业内的各个部门与工程项目进行合作应对。这种工作模式对于财务风险管理的开展,有着重要的实践作用。二是外部合作模式的开展。在企业风险管理中,可以在市场和经营过程中与金融、保险等第三方企业进行联合性的风险应对与抵御工作,转移一部分风险。如在风险应对过程中,企业与金融企业合作获取资金进行风险应对,对于企业风险应对与抵御的开展可以提供很好的资金支持。
三、结束语
为了确实做好工程企业的财务风险管理工作,提高其在风险评估与预警管理工作中的质量,我们根据工程企业特点与风险因素产生原因,围绕着工程企业财务风险管理内容,利用新型技术与风险管理理念开展了风险评估、预警与管理实践研究。就当前的研究结果而言,其对企业风险管理工作而言,有着重要的指导意义。
参考文献:
[1]王阳.大中型施工企业财务风险控制研究[D].太原理工大学,2013.
一、现代企业风险管理及其类型
风险是指损失的不确定性,它是普遍存在的,任何经济组织,不论其规模、结构、性质或所处产业如何,其运营及组织内的不同层级都会面临来自内部或外部的不同风险。外部风险是指外部环境中对组织目标的实现产生影响的不确定性,其主要来源于以下因素:1、国家法律、法规及政策的变化;2、经济环境的变化;3、科技的快速发展;4、行业竞争、资源及市场的变化;5、自然灾害及意外损失;6、其他。内部风险是指内部环境中对组织目标的实现产生影响的不确定性,其主要来源于以下因素:1、组织治理结构的缺陷;2、组织经营活动的特点;3、组织资产的性质以及资产管理的局限性;4、组织信息系统的故障或中断;5、组织人员的道德品质、业务素质未达到要求;6、其他。
对于一家公司而言,风险既预示着机遇,又会影响其维持融资的能力以及保持和提高其产品与服务质量的能力。因此,在公司运作过程中,必须将风险限定在可接受的范围内,充分谨慎地利用风险,以减少在风险真正发生的情况下对持续经营产生的影响。可以说,这就是所谓的风险管理。
二、内部审计及其在风险管理中的地位和作用
由于客观条件的综合作用,各种风险因素首先会表现为一定的风险征兆,利用内部审计手段,强化风险管理,对各种风险进行识别、评估并采取应对措施,建立风险控制体系,转化风险因素,争取有利成果,显得十分必要。内部审计是企业自我约束和监督机制的重要组成部分,履行、发挥内部审计在企业风险管理中的职责与作用是企业转化经营机制、建立现代企业制度的客观需要。目前,内部审计组织已经开始介入风险管理,并将其作为内部审计的重要领域,这一做法得到了国际内部审计职业界的普遍认可,国际内部审计师协会已把评价和改善组织风险管理和控制的有效性作为内部审计的主要内容。内部审计作为内部控制的重要组成部分,其在风险管理中发挥着不可替代的作用,主要有以下几个方面:
(一)指导企业的风险策略。一方面内部审计拥有独特的位置,它处于企业的董事会、总经理和各职能部门之间,能够充当企业长期风险策略与各种决策的协调人;另一方面内部审计人员更了解组织中的高风险领域。因此,内部审计人员能够比较准确地确定组织中高风险的领域,协助管理部门制定适合企业自身特点的风险策略。
(二)参与风险管理过程。首先,内部审计从评价各部门的内部控制制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,做出相关评价。其次,内部审计可以深入到企业管理极细微的环节上查找问题,分析其合理性。再次,内部审计在部门风险管理中还起着协调作用。不仅各职能部门有内部风险,而且组织整体还有共同承担的综合风险,内部审计人员作为独立的第三方,可以协调各部门共同管理企业,以防范宏观决策带来的风险。
(三)评价风险管理。对企业风险管理过程进行审查和评价是内部审计工作的重点。
1、评价风险识别。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认,并找出未被识别的主要风险。
2、评价风险评估。内部审计部门和人员要对已有的风险评估结果进行再检验,以确定其是否得当,对不恰当的估计予以更正。风险分析中,审计师不仅要关注风险的数量方面,而且要关注风险的属性方面或其承载价值的后果。
3、评估风险应对。内部审计部门对有关部门针对风险所采取的防范措施进行检查,检查其是否得当、充分。对于风险缺乏充分控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,协助完善风险反应方案,以强化企业的风险防范管理,降低风险损失。
4、评价风险监控。内部审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
(四)传递反馈风险管理信息。在风险信息沟通活动中,内部审计人员要将掌握的风险信息及时、有效地传递给内部相关人员,以便及时采取相应的控制措施。风险管理的某些信息还要传递给其他有关方面,比如董事会和审计委员会等监督者要了解风险管理的情况,供应商、债权人等也需要对企业的风险管理有一定的信任。内部审计人员可以通过评价报告系统证明风险信息被准确、及时地传达给相关人员,如内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息,而内部审计职能的设立对债权人和其他外部利益相关者来说,也是企业具备有效风险管理的一个证明。
三、如何更加有效地发挥内部审计在企业风险管理中的作用
目前,我国大部分大中型现代企业都设置了内部审计部门,但存在着一些突出的问题。比如,内部审计部门不能向股东大会、董事会或监事会独立提交审计报告;内审部门的隶属关系、角色、职责不明确,缺乏独立性;内部审计工作范围局限于核实财会方面的交易,较少触及现代企业业务流程方面的风险管理和监测,从而未能就现代企业风险管理担起监督作用;内部审计人员的水平和内审方法有待提高,缺乏一套系统化和科学化的内审程序,等等。为解决这些问题,更有效地发挥内部审计在企业风险管理中的作用,提出以下建议:
(一)企业要提高对内部审计部门的定位。内部审计参与风险管理,其功效如何,关键在于内部审计机构的归属。内部审计部门应在企业高层管理当局的领导下发挥作用,这样对风险管理的目标有更深的认识,其审计建议被采纳的可能性更大,风险管理的作用也就能够得到更好地发挥。企业内部审计部门的宗旨、职责与权限都应以正式的书面文件(简称章程)来规定,并取得高层管理当局的批准。明确内部审计组织架构和管理体制,确定内部审计在公司的重要地位,将其职责通过章程加以保护,有利于内部审计更好地发挥在企业风险管理中的作用。
(二)内部审计部门应将风险管理放到重要位置。使内部审计由过去的控制导向审计向现代风险导向审计过渡,主要程序转向“确定组织目标、评估风险、管理风险”,审计人员由被动地承受审计风险到主动地控制审计风险。内部审计部门应将参与风险管理写入内部审计章程,明确内部审计人员应当关心组织所面临的风险,使审计人员必须根据风险评估的思路开展对内部控制的评估,使审计报告将目前的控制与策略计划和风险评估连接起来,有效地管理组织风险。
