时间:2023-08-29 16:44:35
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业风险管理标准,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
摘 要:2004年的COSO《企业风险管理—整合框架》报告以后,COSO—ERM 框架成了企业风险管理的标准框架,但是次贷危机中众多金融机构的破产,使得COSO—ERM框架的有效性受到了怀疑。在后危机时代,发展新的风险管理框架成为必然要求。企业风险管理的目标从追求公司(股东)利益最大化转向追求企业利益相关者利益最大化,企业风险管理的内容也从COSO八要素风险管理发展到以经济资本、风险管理要素、结构性金融工具和可持续风险管理为支柱的全面风险管理。
关键词:企业风险管理;经济资本;风险管理要素;可持续风险管理
Abstract:Since COSO issued“Enterprise Risk Management-Integrated Framework”,COSO-ERM framework has become the standard of enterprise risk management,but as some financial institutions broke in the Subprime Crisis,the effectiveness of the enterprise risk management was suspected. Today in the post-crisis era,developing new analytical framework of enterprise risk management becomes an inevitable claim. In the new analysis framework,the objective of enterprise risk management is shifted from the company(shareholders)to maximize the interests to maximize the interests of corporate stakeholders,and the contents of enterprise risk management are shifted from the COSO eight elements to the economic capital,risk management elements,structured financial instruments and risk management for the pillars of sustainable comprehensive risk management.
Key Words:enterprise risk management,economic capital,risk management elements,sustainability risk management
中图分类号:F830 文献标识码:A 文章编号:1674-2265(2012)06-0009-05
风险管理理论已有五十年的发展历史,已成为指导企业经营管理不可或缺的重要思想。2004年COSO颁布《企业风险管理——整合框架》后,COSO—ERM框架很快成为风险管理的核心标准,企业风险管理首次拥有了一个系统的分析框架。但是,发生于2007年的次贷危机,动摇了人们对COSO框架的信心,风险管理该如何实施成为后危机时代风险管理理论必须回答的问题。王稳(2010)提出了一个新的企业风险管理分析框架,以经济资本、风险管理要素、结构性金融工具和可持续风险管理作为企业风险管理的核心内容,为后危机时代的风险管理提供了一个可参考的框架思路。本文在这个分析框架的基础上,系统梳理了已有文献对风险管理框架和内容的论述。
一、企业风险管理分析框架的演进
首先,企业风险管理(ERM)分析框架的演进表现为内涵的演进。从现有文献看,经历了从全面(整合性)风险管理向ERM转变的过程。斯基珀(Skipper,1994)、马尔伯里(Lisa Meulbroek,2002)、威廉(William,2003)的研究都是从全面风险管理的角度来定义企业风险管理,认为以更加综合的方法处理所有种类的风险是其主要特征;CAS(美国产险精算协会)的ERM报告认为,企业风险管理是一个组织主体为了增加其利益相关者的长期和短期利益而采取的包括风险评估、风险控制、风险开发、风险融资以及风险监控等一系列活动;但COSO(2004)对企业风险管理的定义影响最为深远:“企业风险管理是一个过程,它由主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”。
其次,企业风险管理分析框架的演进表现为ERM内容的演进。米勒(Miller,1992)、鲁特等(Froot等,1993、1994)、马尔伯里(2002)等都提出了各自的风险管理框架,但以CAS—ERM报告(2003)、COSO(2004)以及《巴塞尔协议》等最为有名。CAS的ERM报告认为风险管理包括两方面内容:一是企业面临的风险的类型和种类,二是不同的风险管理程序步骤,包括风险识别、风险分析(量化)、风险整合、风险定价、风险应对和风险监控等;COSO框架以风险管理目标设定和八要素为主体内容,全面看待风险与机会的关系,涵盖了内部控制的内容和方法,构建了一个较为全面的风险管理框架;《巴塞尔协议Ⅰ》是以风险为基础的银行业风险监管框架,主要包括资本的分类、资本监管协议以及风险权重的计算方法等;《巴塞尔资本协议Ⅱ》则是在《巴塞尔协议Ⅰ》的基础上,对银行业的风险管理提出了全新的要求,其核心内容即三大支柱:最低资本金要求、外部监管、信息披露和市场约束,创新主要集中在风险权重的计量,将风险范围扩展到信用风险、市场风险和操作风险,以及内部评级法等;《巴塞尔协议Ⅲ》是在《巴塞尔资本协议Ⅱ》的基础上,对银行的资本充足率、普通股和资本缓冲做出了较为详细的规定及过渡期安排,对银行的风险管理提出了新的要求和挑战。
「关键词 企业风险 风险管理 风险管理审计
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、企业风险及风险管理的内涵
进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。
1 企业风险的实质
首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。
2 企业风险的划分
企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:
(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。
(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。
(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。
3 企业风险管理
COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”
我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标
对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。
从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容
风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
1 审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2 审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
3 审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:
1 审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。
2 审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。
需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别的风险的特征;
(2)相关历史数据的充分性与可靠性;
(3)管理层进行风险评估的技术能力;
(4)成本效益的考核与衡量等。
3 审查风险评估方法应当遵循的原则
内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。
(四)风险应对措施适当性和有效性审查
内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。
关键词:风险评估;报告;内控体系
中图分类号:F272 文献标识码:A 文章编号:1001-828X(2014)010-00-01
风险评估工作与内部控制体系的建设相互促进、有机结合,是企业围绕总体经营目标,识别企业各业务单元、各项重要经营活动及其重要业务流程中的风险,并对风险发生的可能性和影响程度进行分析、评价和应对的过程。
总体而言,风险评估报告的结构至少应包括四部分内容:其一,企业情况概述,本部分就企业风险评估项目背景、定位与目标、理念与方案三大内容进行概括与总结,便于报告使用者理解本次风险评估工作的基本目标与方法;其二,风险评估实施过程,本部分是整个风险与内控体系建设工作的起点,旨在构建一个具有代表性又有扩展性的通用风险管理标准,从风险管理知识宣传、风险分类与定义、风险评估标准三大方面初步构建企业风险管理基础平台;其三,识别企业面临的重大风险,根据风险调查问卷和风险调研访谈,识别出企业面临的重大风险,以供企业管理层参考;其四,风险管理体系的建设,结合企业风险管理的现状,提出相应的改进措施,包括风险管理组织结构设置、职能设置、工作流程及工作防范建议。
以上四部分在风险评估报告中层层推进,构成完整的风险评估过程,以下作详细说明。
一、风险评估项目概述
(一)风险评估项目背景
本部分重点介绍企业的成立、发展沿革,行业背景,分子公司情况以及业务架构、组织结构等。编制企业风险评估报告的重要意义在于企业管理层希望借助风险评估项目,有效识别和评估影响本企业战略和经营目标的内外部风险源,并通过健全重大风险的应对与管控机制,有效地平衡好风险与收益,提高企业风险防范能力,从而防范和降低各类风险对企业经营的冲击,为企业实现战略和经营目标保驾护航。
(二)关于风险评估项目定位与目标
风险评估项目旨在达成三大目标:其一,建立风险管理基础,构建一个具有代表性又有扩展性的通用风险管理标准,统一企业的风险管理语言和标准;其二,明确重大风险领域,采用全面梳理与重点分析相结合的方式,识别和分析企业战略、经营、财务与合规领域中的重大风险,协助管理层统一对风险的认识;其三,团队能力建设与知识培养,加强和提高企业总部和各业务群管理团队对风险管理工作的参与度和认知,最大程度实现知识转移。
二、风险评估项目实施过程
(一)关于判断风险分类与定义
应从企业战略出发,参考COSO内部控制整合框架、行业风险数据库以及企业的风险管理实务,并结合企业的战略目标、实际情况等因素,建立适用于本企业的风险数据模型(即风险地图),从战略风险、运营风险、合规风险及财务风险四大方面对企业所面临的风险进行分类和定义,从而为统一公司的风险管理语言奠定基础。
(二)关于设立风险评估标准
为了对上述四大类风险的重要性进行评定并据此明确风险管理的优先次序和资源配置方向,应从风险发生可能性和风险影响程度两个维度建立符合企业实际情况的风险评估标准,以反映风险发生可能性由极低至极高,和风险影响程度由极轻微至灾难性的不同等级。
(三)关于实施风险评估过程
为了协助管理层更好地理解和评估风险,应以风险数据库和评估标准为基础,通过风险调查问卷的发放、收集与统计,风险调研与风险访谈等多种形式,在企业总部和业务群开展多层次、全方位的风险识别与评估工作。通过上述工作,不仅协助企业管理层评估重大风险领域所在,而且还能分析其可能影响的战略及经营目标,从而为企业明确风险责任,改进相关重点业务领域中的风险管控措施明确方向。
三、针对企业风险评估的调研结果
结合风险调查问卷与风险调研访谈的结果,企业管理层对影响本企业战略和经营目标实现的众多风险进行客观评估,并由此明确前几大风险的优先次序。这些风险可能是:产业(产品)战略和多元化、战略规划、市场营销、风险管理体系建设、公司高层的基调、品牌及声誉管理、销售模式、客户结构风险、人力资源规划及政策、组织结构等等。这些风险并不是独立存在,在实际经营环境中,各类风险往往互相影响、互相牵制,共同对企业实现经营目标产生影响。为此,还应对上述重大风险及其内在关系进行相应的逻辑分析,以协助管理层梳理各项重大风险之间的关系。
四、企业风险管理体系搭建
一套成熟完善的风险管理框架包括战略(目标)、风险以及流程与控制。企业战略处于企业管理及风险管理体系的最高层,是企业风险管理以及流程内控建设的出发点,风险管理体系必须紧紧围绕企业战略。风险则是影响企业战略管理体系的实施与战略目标达成的不确定因素,企业需要将外部环境、内部经营与战略目标进行对比,以识别出影响企业战略的重要风险。企业流程与管控体系则是风险管理体系的重要落脚点,完善的风险管理体系可以从企业的流程、制度等管控体系中识别出影响,并从风险管理体系的制度及流程建立风险应对措施。
(一)风险管理体系现状分析
一套完善的风险管理体系通常由业务部门、风险管理部门和内部审计部门组成的“三道防线”共同构成。通常,企业均能初步搭建起风险管控体系的三道防线,如:1.各业务部门负责关注各业务领域内的风险并采取相应的控制措施降低风险;2.企业管理部负责公司运营风险管理,对运营风险进行预警和控制,为公司的经营、管理决策提供可行性、合法性分析和法律风险分析;3.审计监察部主要负责集团的财务审计、经营活动审计及其他专项审计。
(二)风险管理工作规划
风险管理与内部控制体系的建设密切相关,相辅相成,没有完善配套的内控体系,风险管理就如同纸上谈兵、空中楼阁;而缺少风险管理的内控体系建设,会由于缺乏足够的针对性而效率低下、浪费资源。
无论是《企业内部控制基本规范》或是COSO ERM模型,都将企业的目标分为四大类别,包括:战略目标、经营目标、财务目标和合规目标。风险是影响企业目标实现的不确定性,而内部控制则是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。因此,企业有目标就会有风险,而针对每个风险就会有相应的内部控制,以管理风险,从而合理保证目标的实现。
风险评估项目实施过程中,应协助企业初步搭建结合先进理论基础、契合企业实际情况、符合国家监管要求的内部控制体系框架,将风险匹配到内控体系框架,并完成对该体系框架的评估、梳理和建设工作。
在此基础上,需要进一步开展风险管理工作,逐步完善风险管理和内部控制体系,依据风险分层管理、分类管理和集中管理的要求,建立符合企业自身特点的全面风险管理组织体系。另外,在充分考虑企业规模以及业务发展需要的基础上,针对近期及未来风险管理工作的重点,提出相应的参考及建议。如:完善企业风险管理组织架构中各管理层级的岗位职责。完善三道防线,其一,各风险责任部门的日常管理工作,包括,风险责任人、风险联络员等;其二,风险管理部门的管理工作,风险管理涉及公司的方方面面,建议由总裁、执行总裁等高级管理人员组成的风险管理委员会,负责公司整体风险管理工作,风险管理委员会下设风险管理部门,负责各业务部门风险管理工作的协调;其三,审计监督工作,审计监察部应对风险管理进行审查和评价,对风险管理工作进行监督,即对风险管理过程的设计和执行的有效性进行评价,并给出评价意见;审查和评价重大风险的评估和管理是否适当,将评价结果向审计委员会汇报。
风险评估工作结束后,形成风险评估报告,反映企业的风险及其分布状况,为领导决策提供支持。通过风险辨识、风险分析及风险评价,形成风险评估初步结果后,就风险评估结果的真实性、准确性向企业风险管理委员会征求意见,并根据反馈的意见,调整、修正企业的风险评估结果,编写出企业的风险评估报告,上报风险管理委员会或董事会进行审议。
参考文献:
[1]企业内部控制基本规范.财政部,证监会,审计署,银监会和保监会联合.
市场风险逐步渐显现。2002年以来,受国际国内煤炭价格快速上涨的影响,煤炭行业投资规模迅速扩张,煤炭开采速度加快,在局部地区出现供大于求的情况,从而埋下一定的市场风险隐患。而目前下游用煤产业的行业景气度下降,导致煤炭需求急转直下,煤炭价格出现了深度回调,煤炭企业销售回款率下降,企业财务收益空间不断缩小,经济效益全面滑坡,前期市场风险显现。
经营风险逐步显现。当前多数煤炭企业集团的煤矿普遍进入了中老年期,资源逐渐枯竭,经营前景不容乐观,且多数煤矿企业因建设早、标准低、基础设施投入不足,生产安全保障和环境治理的历史欠账多,仅靠近几年煤炭市场的升温难以从根本上弥补。此外,由于国家政策性因素,煤炭企业承担的税费较重,一定程度上增加了企业的经营成本。随着煤炭市场价格回调,企业总体运行效益将进一步下滑。
同时,由于煤炭工业在国民经济中所具有的重要战略地位,使国家进一步加大了对其的宏观调控。以建设大型煤炭基地、培育大型煤炭企业和企业集团为主线的煤炭工业结构调整,既给煤炭企业带来了前所未有的良好发展机遇,也带来了众多经营风险。国有大型煤炭企业加强企业全面风险管理既是企业实现其总体经营目标的迫切要求,也是增强企业竞争力,促进企业持续、健康、稳定发展的必然选择。
当前国有大型煤炭企业风险管理存在的主要问题是:
一、风险管理意识淡薄。企业普遍缺乏必要的风险意识,没有进行积极主动、全面系统的风险管理工作。存在的问题主要有:一是风险管理活动是瞬时或间断性的,事后将其抛掷脑后;二是企业缺乏对风险进行按期复核,降低了企业适应环境变动、管理和规避风险的本领。甚至有些企业只顾眼前便宜,忽视某些决策对企业将来的熏陶,从而给企业带来巨大的损失。
二、风险管理职能分散。安全生产风险由安监部门具体负责,产品质量风险由质检部门具体负责,市场营销风险由运销部门具体负责,财务风险由财务部门具体负责,经济合同风险由法律事务部门具体负责,企业风险管理职能分散;特别是涉及企业改革发展中的综合性风险,如企业法人治理结构的建设、产权制度改革、企业战略规划的制定和实施,企业兼并重组、整合破产、上市投资等行为,企业缺少应对的统一有效的全面风险管理的组织协调职能;同时,企业风险管理专门人才严重匮乏,现有的企业风险管理人员综合素质不高,知识结构单一,工作创新能力差等,也是开展企业全面风险管理的重要制约因素。
三、风险管理制度建设不到位。一是制度建设缺乏系统性,有的制度内容简单,仅有实体要求而无程序规定,使人们难以操作,有的制度结构设置不尽合理,缺乏应有的权、责、利的相互制衡,有的制度彼此之间缺乏相互衔接,造成条块分割,相互冲突,不能发挥制度的整体效应;二是制度建设缺乏实效性,有的制度内容滞后,不能适应形势的新发展,失去了执行的环境和条件,有的制度比较空泛,不能紧密结合企业实际提出有针对性的措施,有的制度硬性规定过高,不切实际,有的制度甚至缺乏法律依据,在实际运行中执行不通。三是制度建设缺乏规范性,存在有章不行、有规不守的现象,监督检查和处罚追究不严格,缺少评价体系和完善程序,缺乏执行制度的氛围,缺少风险管理的企业精神和制度文化。
四、风险管理组织机构不健全。当前,我国大多数煤炭企业集团企业存在较为严重的治理结构问题,如缺乏风险管理部门,风险承当主体不明白,各个部门或者岗位间互相推卸责任,缺乏有效的管束机制等,从而使我国企业不能将企业风险管理上涨到企业发展战略高度。导致各个部门和岗位的人员对其工作职责和工作流程不清晰,风险责任主体不明确,难以形成现代意义上独立的风险管理部门,没有专门的人员进行专职的企业风险管理工作。
五、审计人员未能充分利用分析性程序
我国理论界对分析性程序的研究重视不够,在审计实践中做分析性复核也只是“蜻蜓点水”,随意性大。审计人员基本上是依据审计程序表中的审前数与从前年度审定命作简单比较,以及计算几个综合性财务比率,对行业分析做得很少,更谈不上采用时间序列分析、回归分析和统计调查规矩。国外在这方面有比较深入的探讨,值得我们去学习。
总之,伴随着经济的快速发展,煤炭企业内外部环境的不确定性也越来越大,尤其是对中国企业来说,其经营的不确定性更是难以保证。
如何建立有效的风险管理控制体系已成为很多煤炭企业集团的当务之急。
一、提高认识,加强煤炭企业集团风险管控的顶层设计
从国外企业风险管理的整体实践来看,在煤炭企业风险管理制度顶层设计中,主导机构、标准化、分析与评估技术、配套制度等四个方面是实施好企业风险管理工作的核心要素。
(一)主导机构。成立或确定风险管理的主导机构是开展企业风险管理的重要基础。负责企业风险辨别、识别、分工等重要事项,作为整体风险管理工作的主导机构。收集和企业方面有关风险管理的信息;追踪、检查、评估整体风险管理架构的实施和执行情况,并及时总结推广最佳实务经验等。
(二)标准化。制定了《风险管理应用指南》,通过建立风险管理应用背景、风险级别、风险分析、风险评估、风险处理等规范步骤来加强突发事件的规范化、程序化管理。
(三)分析与评估技术。科学实用的风险分析与评估技术是开展企业风险管理工作的重要支撑,能够使企业决策者及相关人员在遇到复杂的社会风险时,特别是在面临风险管理决策、制定应急计划、以及重大公共政策等方面,有能力做出尽可能科学、准确、有效的决策。
(四)配套制度。完善的企业风险管理配套制度是确保风险管理工作扎实有效开展的重要保证。
二、把风险管理作为煤炭企业集团的一项基本战略
要在煤炭集团设立或确定相关部门,加强对风险管理建设工作的统一领导,加强对推进风险管理工作的整体设计,系统研究和总结国内外风险管理工作的经验和教训,制订风险管理总体规划,明确推动整体风险管理建设的基本方法,建立和完善企业风险管理工作制度,制定企业风险管理手册或指南,加强对企业风险管理推进工作全过程的指导、监督检查和总结改进。加快建立企业风险评估制度。
三、建立健全风险控制的组织体系和机制保障
为及时解决各部门在实施中遇到的风险管理技术、政策等问题,确保企业整体风险管理建设战略目标的顺利实施,应明确划分企业风险管理的三类单位:
(一)是组织实施单位。以审计为核心的各部门,制定内部风险管理的相关政策,总体设计和把握评估风险管理建设的进程,解决整体风险管理建设中存在的实际问题;
(二)是实施支持单位。针对其所属各部门的风险管理实施情况进行评估,实施支持单位需要向企业负责人、高级管理人员提供风险管理的建议,提供相应的研究咨询报告;
(三)是具体执行业务部门。在企业风险管理整体推动工作中,具体业务部门承担执行责任,各部门依据相关的风险管理规程进行风险管理,内部成立风险管理实施机构,针对部门风险管理进行实务评估以提升风险管理能力。
四、构建并健全风险管控业务流程
(一)是风险管理的事前控制流程。包括1、相关制度制定流程。各部门拟订的公司级别的制度、办法,和涉及两个部门以上的业务管理制度、风险控制制度、业务流程、办法等流程。2、风险控制委员会审核风控事项的工作流程。
关键词:风险管理;内部控制
一、企业风险管理与内部控制的概念比较
美国COSO委员会1992年的《内部控制整体框架》是用于指导企业进行内部控制的指导文件。2004年,COSO委员会出台了新的COSO报告———《企业风险管理整体框架》,拓宽了内部控制的含义,同时对企业风险管理进行了详细的说明。《企业风险管理整体框架》中对企业风险管理的定义为“由企业的董事会、管理层和其他员工共同参与,应用于企业战略制定和企业内部各个层次和部门的,贯穿整个企业旨在识别影响组织的潜在事件,为组织目标的实现提供合理的保证”。《内部控制整体框架》将内部控制定义为“由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的大成而提供合理保证的过程”。在这两个《框架》的基础上,可以从企业风险管理与内部控制概念的定义、主要目标以及构成要素等几方面做如下比较:
(一)企业风险管理与内部控制的定义
比较二者的定义可以看出二者的相同点有:企业风险管理与内部控制的实施主体相同,都需要企业的决策、管理以及执行各方阶层的参与,而不是企业某一层级的特权;风险管理与内部控制的最终目的都是为企业的平稳运行保驾护航,为企业战略目标实现提供合理保障。细分之下,二者也存在一些不同之处:内部控制更强调财务方面的可靠性以及企业管理的效率提升,而风险管理除了主要财务报告的可靠性之外更一步确保企业非财务信息的准确真实;内部控制只针对企业内部,风险管理则同时兼顾内部和外部风险。
(二)企业风险管理与内部控制主要目标
《企业风险管理整体框架》中指出风险管理服务的目标为战略目标,经营目标,报告目标以及合规目标;《内部控制整体框架》中则提到内部控制的主要目标为经营目标,财务报告目标,合规目标[1]。可以看出,风险管理与内部控制的最终目标基本相近,二者间最明显的区别是风险管理比内部控制多了一个战略目标。内部控制注重在经营过程中为了实现目标采取的一种控制的管理职能,保障日常活动不脱离目标轨迹,而风险管理更侧重事前预测和发现,但也不忽略事后采取相应的措施,使损失降到最低;企业风险管理是包括内外风险的全面管理,既关心由于组织结构、制度变革、人员变换等导致的内部风险,又关心由于外部政治经济、自然环境等引起的外部风险,而内部控制则是在企业内部环境的基础上进行风险的评估和监控,范围相对狭窄。
(三)企业风险管理与内部控制的构成要素
内部控制包括五个组成要素:控制环境、风险评估、控制活动、信息与沟通、监督,而风险管理的构成要素为八个:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督检查。通过以上比较可以看出,企业风险管理拓展了内部控制中的“风险评估”要素,将其演化为目标设定、事项识别、风险评估及风险应对。这四个要素是围绕企业战略目标而增加的内容。
(四)企业风险管理与内部控制的实现方法
内部控制主要对公司内部管理制度进行定性分析,设计指导性的对策,而风险管理则是侧重量的分析,通过定量分析来评估风险发生的可能性是多少和对企业影响程度大小。内部控制和企业风险管理从不同的两个方面对企业经营进行管理,相对内部控制评定的方法,企业风险管理会更加准确地判断出风险的大小。
二、风险管理与内部控制的关系
(一)传统理论观点
从上一节的讨论中可以看出,企业风险管理与内部控制的概念十分相似,二者的目标与构成要素也有很大部分的重叠,在理论应用中十分容易出现混淆。剖析过去对企业风险管理与内部控制关系的研究,目前对二者的关系问题有以下三种主流观点:1.内部控制是风险管理的一部分:《企业风险管理整合框架》中明确指出:“内部控制是企业风险管理不可分割的一部分”。《框架》是定义企业风险管理的权威参考之一,因此在理论研究中,将内部控制划入风险管理范围内的观点被广泛接受;2.内部控制包括风险管理:不同于美国COSO委员会,加拿大COSO委员会在其报告中指出:“风险评估和风险管理是内部控制的关键要素”;3.内部控制与风险管理本质上是相同的:英国特恩布尔报告认为健全的内部控制制度必须建立在对公司所面临风险全面、综合分析的基础上。
(二)风险管理与内部控制的关系
具体到在理论实践应用中,常更倾向于实践第三种观点:即内部控制与风险管理本质相同,二者在指导企业管理中相辅相成,共同为实现企业的战略目标服务。如今以风险为导向的内部控制机制在实践中已经得到普遍认可,有力的说明了风险管理与内部控制的可兼容性。1.风险管理体系是内部控制的前提:不同于内部控制,风险管理是管理活动,设定企业的战略目标并围绕这一目标对环境存在的风险进行评估,是其开展管理过程的前提。而内部控制框架中没有企业战略目标这一要素,风险评估的标准没有明确与企业战略目标挂钩,其特定目标是维护企业的经营和效率、财务报告的可靠性及经营活动的合法合规性,这些目标服务于实现价值创造和企业战略的终极目标。2.内部控制体系依赖于风险管理体系:内部控制体系的关注重点在财务方面,在实现内部控制的过程中,自身的风险需要其他管理体系加以识别和评估。风险管理体系除关注财务外,同时强调其他方面的管理,并且可以对内部控制体系自身的风险进行防范,建立完善的风险应对体系。3.内部控制与企业风险管理是有机的整体:二者的目标都是为了实现企业的平稳健康发展,二者虽然侧重点不同,但在实现企业战略目标方面相辅相成,是一个有机的整体——内部控制与企业风险管理是公司内部环境与外部环境两个方面管控风险的不同框架。企业所处的市场及社会环境的不断变化,企业面对的风险是一个动态概念,经常处于变化之中,只有把握风险管理先机,才能收到实效,及时掌握尽可能真实、准确的经济动态信息。而动态风险管理过程的顺利实现必须依赖于内部控制,在内部控制的有效框架下对企业内部存在的风险进行治理,而对于内部控制无法掌握的外部环境,应在风险管理的框架下及时采取有效措施,内外双管齐下,避免企业运行偏离原定目标。
三、建立基于企业风险管理整合框架的内部控制体系
建立基于企业风险管理整合框架的内部控制体系,即在风险管理的基础上,科学设计内部控制制度,为实现企业目标提供合理的保障。首先,所有的经营活动必须在不触犯相关法律法规的前提下进行,将两者管理方法结合应用,使企业健康快速发展。其次,为了实现企业目标,内部控制必须确保企业内部业务流程的顺利进行,有效地执行每个业务环节。最后,内部控制通过对风险的识别、评估、找到行之有效的方法,在管理过程中将两者进行融合。以启明信息技术股份有限公司为例[3],通过生产生活中经验的积累,启明信息技术股份有限公司建立了完备的基于企业风险管理的内部控制体系:一方面在实施风险控制时,通过将风险管理工作落实到内部控制制度上,来提高企业风险评估的水平,另一方面通过内部控制来优化企业的管理功能,从而更好的进行风险管理,分析制定风险管理方案。通过将企业风险管理与内部控制相结合,企业最大化的实现了对风险的防范,提高了经营管理效率。在新的复杂的市场经济环境下,企业面临巨大的内外部各类风险,以风险管理为导向的内部控制管理模式会更利于企业的发展。内部控制和企业风险管理在企业管理中起着等同的重要作用,因此在企业风险管理整合框架的基础上,建立完善的内部控制体系,从而使企业更好地实现企业目标,以增强企业的抗风险能力,将是未来风险管理与内部控制融合发展的方向。
参考文献
[1]朱大华.企业风险管理与内部控制的关系与应用[J].财会通讯,2012,(26):46-48.
关键词:内部控制;风险管理;萨班斯法案;COSO框架
一、内部控制的内涵、基本原则
1.内部控制的内涵、侧重点
(1)内部控制的内涵。内部控制是指企业的内部管理控制系统,包括为保证企业正常经营所采取的一系列必要的措施。内部控制贯穿于企业经营活动的各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。
(2)内部控制的侧重点。要加强企业内部控制,提高内部控制的水平,需从以下侧重点抓起。
①内部控制具有一定的目的性,为达到某种或某些目标而实施。
②内部控制是为达到某个或某些目标而进行的过程,且是一种动态的过程,是使企业的经营依循既定的目标前进的过程。它本身是一种手段而非一种目的。
③内部控制与企业经营活动相互交织,为企业基本的经营活动而存在。
④内部控制深受企业内部和外部环境的影响,环境影响企业控制目标的制定与实施。
⑤企业中的每一名员工既是控制的主体又是控制的客体,既对其所负责的作业实施控制,又受到他人的控制和监督。
⑥所有的内部控制都是针对“人”而设立和实施的,企业内部会形成一种控制精神和控制观念,直接影响到企业的控制效率和效果。
2.内部控制的基本原则
了解及坚持内部控制的基本原则,有利于企业组织内部加强内部控制、降低企业非系统风险,从而促进企业安全运行。内部控制的基本原则包括:
(1)内部控制应涵盖企业内部的各项经济业务、各个部门和各个岗位。
(2)内部控制应当符合国家有关法律法规和本企业的实际情况,任何部门和个人都不得拥有超越内部控制的权力。
(3)内部控制应当保证企业内部机构、岗位及其职责权限的合理设置和分工,坚持不相容职务相互分离,确保不同机构和岗位之间权责分明、相互制约、相互监督。
(4)内部控制应当正确处理成本与效益的关系,保证以合理的控制成本达到最佳的控制效果。
二、依托COSO理论构建内部控制整体框架
1.COSO理论框架内容
2003年7月,美国COSO委员根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft), 2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM),标志COSO委员会最新的内部控制研究成果面世。
COSO企业风险管理的定义 :“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。
2.构建内部控制整体框架
(1)企业风险管理的目标体系。新COSO报告将企业风险管理的目标归为战略目标、经营目标、报告目标、合规目标四类。战略目标,与企业的使命相一致,企业所有的经营管理活动必须长期有效的支持该使命;经营目标,与企业经营的效果与效率相关,包括业绩指标与盈利指标,旨在使企业能够有效及高效地使用资源;报告目标,该目标关注企业报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息;合规目标,是最基础的目标,指企业经营是否遵循相关的法律法规。
(2)企业风险管理的要素构成。在内部控制整合框架五个要素的基础上, COSO企业风险管理的构成要素增加到八个:①内部环境;②目标设定:③事项识别;④风险评估;⑤风险应对;⑥控制活动;⑦信息与沟通;⑧监控。八个要素相互关联,贯穿于企业风险管理的过程中。
(3)企业风险管理目标与要素的联系。目标是指一个主体力图实现什么,企业风险管理的构成要素则意味着需要什么来实现它们,二者之间有着直接的关系。此外,新COSO报告还强调在整个企业范围内实行风险管理。这种关系可以通过一个三维矩阵以立方体的形式表示出来。
3.COSO框架理论对中国的启示
(1)成立风险管理标准委员会,形成多元民主的制定机制。
(2)建立以风险为导向的“中国企业内部控制框架”,向构建“中国企业风险管理框架”自然过渡。
(3)各界根据风险管理框架,制定或修订各自的风险管理规范。如果“中国企业风险管理框架”能够及时推出,各部门、系统据其修订或制定相应的风险管理文件是解决问题的最理想方案。
三、萨班斯法案对我国内部控制的借鉴
1.我国内部控制现状
(1)企业内部控制环境急需建设。我国企业内部控制普遍存在一下问题:内部控制意识淡薄;人员素质较低;组织机构设置不合理;企业制度不健全;没有形成法制制约的大环境,还没有真正形成有法可依、执法必严、违法必究的大环境。
(2)控制不力。在我国企业中,财务与会计合署办公、会计人员素质较低、责权不对等、风险控制意识较弱、监督不强、信息交流不畅通等问题普遍存在,今后要特别注意开发与引进先进的企业财务与管理软件,逐步建立高质量的企业信息沟通系统。国内也有不少由于内部控制缺失导致经营风险的案例,比如亚细亚、中航油、中储棉、国储铜等事件,折射出了我国企业内部控制严重缺失,风险管理水平低下,监管缺位等管理上的弊端,给企业和国家造成了重大损失。
2.管理者责任
法案突出了内部管理者的法律责任,一旦出了问题,管理者不但要在经济上受到处罚,而且要追究刑事责任。建议我国也应界定管理当局的责任。管理层必须承担公司内部控制有效性的责任,并运用恰当的控制标准(如COSO标准)来评价公司内部控制的有效性,对形成的评估结果有足够的证据支持,同时签署一份关于公司内部控制有效性的书面申明。
3.建立管理者定期评价内部控制机制
(1)健全法律法规,对内部控制有效性进行强制性规定。近年来,财政部、证监会等国家监管部门陆续在2001年和2008年了我国《内部会计控制规范》、《企业内部控制基本规范》等相关法规,对于加强我国企业内部控制和风险管理起到了规范和指导作用。今后,还应在遵循以上法规和加强企业内部控制过程中,不断总结经验、分析教训产生的原因,学习其他国家相关法律法规的先进之处,逐步改进和健全我国加强内部控制和防范企业经营风险的法规体系,促进企业健康发展。
(2)制定科学规范的评价标准。由于缺乏一套完整的内部控制体系,造成内部控制有效性评价流于形式。因此,投入一定的人力、物力、财力,尽早建立一套完整的、公认的内部控制标准,使内部控制评价有章可循是必要的。
(3)统一内部控制规范的内容。目前我国理论与实务界没有对内部控制的内容形成一致的意见。我国内部控制的内容范围与COSO报告相比,还有相当的距离。有关内部控制规范的内容主要集中在会计领域,内部控制贯穿于整个生产经营全过程,企业的环境、文化理念、经营哲学等控制环境与风险因素都应纳入企业内部控制的范围来予以考虑。
四、企业风险管理理论基础及与内部控制的关系
1.企业风险管理理论基础
(1)战略管理理论。战略管理包含四个关键流程:战略分析;战略选择;现代企业风险管理框架研究战略实施;战略评价和调整。企业在实行战略管理的过程中,风险始终伴随其中,其成功实施需要风险管理的密切配合。两者是有机结合,相互交融的。
(2)系统论。系统论的观点和方法为我们建立风险管理系统结构提供了理论依据。风险管理由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个要素构成并相互影响的动态的过程,在企业的生产经营管理中发挥着重要作用,是一个系统,与其他系统一样具有整体性、联系性、层次性、目的性、环境适应性、动态性的特征。
2.企业风险管理与内部控制的关系
内部控制是风险管理的基础和本质要求,风险管理是内部控制的自然延伸与升华,二者现阶段是相互交叉融合的,只是在不同行业、不同时期、企业的不同层次,企业对内部控制和风险管理的强调各有侧重。
(1)行业本身特性。从事金融业的企业一般都非常强调风险管理的重要性,对风险管理的需求也就更迫切,因而以风险管理主导内部控制可能更方便。对于其它一般性制造企业等来说,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
(2)企业所处的生命周期。在初创期,企业高管层一般更加重视内部控制的强化。在成长期,企业面临的经营风险与市场风险也越来越大,以风险管理主导内部控制的管理模式可能更利于企业的发展。企业进入了成熟期,此时企业一般会努力健全组织体系与制度体系,在内部控制上会加大力度。在衰退期,企业的规模大但包袱沉重,内部控制成了企业高管层无法逃避的现实问题。
(3)企业内部不同层次。从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性各有不同。在战略风险方面,风险管理发挥主导作用,内部控制起到配合作用。到财务报告层次,内部控制发挥主导作用,风险管理起到配合作用,但随着市场条件的日益成熟,技术的不断进步,法律及监管实践的发展,内部控制必然走向风险管理。
五、美国纽约银行加强内部控制和风险管理结合的成功案例
美国纽约银行的风险管理与监控活动是由董事会及其下设的审计与检查委员会及风险委员会的授权开始。这两个委员会定期审查银行风险暴露情况、风险政策及风险管理活动,而风险政策主管除了负责日常监督及政策授权外,并与审计主管、合规主管共同维系风险管理结构的有效运作,已完成以下的阶段性目标:
1.确保银行风险经过适当辨识、监督、报告及评价。
2.阐明银行承受的风险种类与风险单位数,并传达至具体负责单位。
3.维持风险管理组织的独立性。
4.促进风险管理文化的健全和对风险调整绩效的重视。
美国纽约银行内控系统的设计用来巩固银行财务、业务环境、市场操作、法规遵循等的健全,并有内部稽核监督及测试其余财务报告系统整体的有效性;而银行风险的处理程序可确保政策能一致地被执行。银行独立的操作风险管理架构,建立在强健的风险管理文化之上,并分为以下三个层次:
(1)风险委员会:其任务包括对银行操作风险策略的监督及核准,该委员会并定期开会讨论关键风险一体机操作风险提案,同时也对风险管理系统的有效性提出审核。
(2)操作风险管理部门:负责发展风险政策及评估、监督、衡量风险的工具。此外,促进风险管理效率及创造改善风险管理控制功能的动机也是操作风险管理部门的重要任务。
(3)各级业务部门管理人员:负责维持业务内有效内控系统的正常运作,并维持银行风险布局与银行所订立的政策一致。
文献综述:
[1]财政部、证监会、审计署、银监会、保监会.《企业内部控制基本规范》,2008-6-28
[2]财政部.《内部会计控制规范――基本规范(试行)》,2001-6-22.
[3]财政部.《内部会计控制规范――货币资金(试行)》,2001-6-22.
[4]COSO.方红星 王宏译:企业风险管理整合框架「M.大连:东北财经大学出版社,2005.
企业经营风险的识别
企业的经营风险蕴含在企业的经营管理过程中,涉及到企业管理的各个方面,集中在能为企业创造效益的各经营环节中。由于利益的驱动,管理者们需要在经营管理中做出决策,确保企业的利益最大化。而这些决策或是战略往往是在市场信息不对称的情况下做出的,企业有时也要为错误的决策付出代价。企业风险管理是建立在了解企业风险的各个层面,减少失败的可能性并将不确定的经营成果降低到可接受的范围内。
通常企业的风险管理应该具备以下几个特点:
1.风险管理过程化
企业的风险管理是由降低和控制风险的一系列程序组成,其中包括:风险的识别与分解、风险管理目标的确定、风险管理方法的选择、风险管理的实施与修正和风险管理结果评估。企业风险管理框架包含8个要素:内部环境,目标设定,事项识别,风险评估,风险应对,控制活动,信息与沟通和监控;8个构成要素同时也是有效的企业风险管理的判断标准,如果这些构成要素存在且正常运行,那么就可能没有重大缺陷。
2.风险管理源头化
对于风险管理范围来讲,一方面要分业务、分部门、分层次管理风险;另一方面也需要将各个层次的风险加以汇总,站在全局的高度来定义和管理,从战略决策的源头对风险进行管控。以日本企业为例,日本的几家大型政府控股企业均设有“情报参事室”,专门收集企业外部环境信息以及变化情况,在汇总信息的基础之上,综合分析个因素之间的关系以及组合之后对战略实施产生的影响,为企业战略制定提出参照意见,以确保战略方向的正确和风险最小化。
3.风险管理全员化
企业风险管理不仅仅是高层领导和管理人员的责任,而是涉及企业内部所有人员,从CEO到每一位普通员工。只有全体员工树立了风险管理意识,全员参与风险管理,才能取得最终的效果。例如丰田实行的“全面质量管理”中就根据每一位员工的工作内容,将质量指标和对应的失败风险分解,变成每一位员工的日常管理内容,每一个人都清楚自己的工作内容和不按照要求的方法操作会带来的各种质量风险。通过员工自行管理,品质人员集中管理,管理层监督执行的方式到达全面管理质量的提升。而松下电子,建立了完善的产品档案,为每一件产品和产品上的组件都进行了编号,并将相关的生产信息和操作人员信息输入OEM系统备案。在松下,一个螺丝钉或是一个焊接头都能根据编号在OEM系统里找到生产的时间、操作人员姓名、以及当时的质检结果。
4.风险管理成本化
风险管理并不是要消除全部风险或是不惜一切代价来降低风险,而是尽量使得风险缩小到可以承受的范围之内。在风险管理的过程中,需要合理调配投入的资源与产出的结果。美国通用电气的工程师们在实施SIX SIGMA 管理的过程中发现,风险管理也同样存在着边际效益递减的规律:当管理风险的投入达到某一临界点的时候,再追加的投入所产生的管理效果将会逐渐缩小,最终造成资源的浪费。所以在风险管理的过程中依然要遵循经济规律而并非一味加大投入。GE的前任CEO在谈到通用风险管理的时候说到:“我们都清楚不可能管理所有的风险,我只要求我的经理们在他们能控制的部分做到最好。”
中国国有企业风险管理分析
中国国有企业风险管理目前尚处于起步阶段,2006年国资委下发了《中央企业全面风险管理指引》标志着国有企业风险管理正式纳入日常企业管理工作范畴。经过几年的发展,大多数企业建立了自己的风险管理体系和相应的制度、流程;总结出了宝贵的经验,同时也积累失败的教训。通过对北京、上海、广州和重庆的43家国有大中型企业调研的结果,所有被调研的企业都已开展风险管理工作;其中,98%的企业开展了财务风险管理,90%的企业开展了法律风险管理,85%的企业具有运营风险管理的职能,80%的企业实行了战略风险管理,60%的企业同时具有市场风险管理。通过此次调研,也暴露出了问题和不足,主要体现在:一、企业所运行的风险管理机制不统一,没有统一的测评标准和评估手段。这就为企业之间的合作带来了障碍。2010年上海一家电能公司向一家国有银行申请7000万元人民币的项目贷款,但是在该项目的风险评估过程中,双方由于采用的风险评估方法、设定的权重和参照系数不一致,而产生了分歧,耗时将近2年的谈判过程不仅造成了人力、物力的浪费,同时也错失了市场的机遇使原有的投资回报率由于原材料涨价和环境变更打了折扣。二、企业内部风险管理没有建立起有机的联系,多数情况下不同的风险管理是相互独立的。而在实际运行过程总会产生彼此牵制、互相矛盾的情况,这又使得企业不得不花费相当大的成本进行协调处理,从而降低了企业的运作效率。
未来国有企业风险管理途径
关键词:内部审计 风险管理 综述
一、内部审计定义的演进
国际内部审计定义的制定经历了多次的发展变化,内部审计的第一次定义是在1947年7月,IIA发表《内部审计职责说明书》将内部审计定义为:“内部审计是建立在审查财务、会计和其他经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务,处理财务与会计问题,有时也涉及经营管理中的问题。”定义表明内部审计主要是对公司的财务会计进行审计。1971年,IIA对内部审计重新定义为:“内部审计是建立在审查经营活动基础上的独立评价活动,并为管理提供服务,是一种衡量、评价其他控制有效性的管理控制。”这次定义注重内部审计的管理服务职能,并对控制有效性进行评价。1999年,IIA对内部审计定义进行了修改。在新定义中,IIA指出:“作为一种客观、独立的确认与咨询服务,内部审计通过采用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,其目的是帮助企业改善经营状况、增加企业价值”。这次定义最大的变化就是将风险管理列入内部审计的范围,定义的注重点是内部审计在公司治理中应发挥的作用,审计的目标变为增加组织的价值和改善组织的营运。2001年1月IIA重新修订《内部审计实务框架》,在新框架中内部审计定义将风险管理在内部审计中的地位提升到了一个更高的层次,同时也强调要围绕风险制定内部审计计划,确定内部审计重点。2004年IIA在其修订的《内部审计实务标准》中将内部审计认定为:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。”这一定义将内部审计的范围延伸到风险管理和公司治理,认为内部审计是针对风险管理、控制及治理过程的有效性M行评价和改善所必需的。
相比之下,我国的内部审计起步较晚,在我国制定内部审计制度之前,并没有一个权威的完整体系。但从1983年开始,关于内部审计的规定在我国的部分法律中不断地被提及。我国在1985年第一次定义内部审计,“内部审计是部门、单位加强财政、财务监督的重要手段,是国家审计体系的组成部分。”这个定义强调内部审计主要行使监督职能。在1989年和1995年我国对内部审计重新进行定义,定义仍然强调内部审计的监督职能,主要是进行财政财务收支的真实、合法、效益的监督。2003年的《审计署关于内部审计工作的规定》中对内部审计进行重新定义:“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为,以促进加强经济管理和实现经济目标。”这个定义增加了内部审计评价的职能,以及增加了内部审计的目的为促进加强经济管理和实现经济目标。2003年《内部审计基本准则》中对内部审计进行了第五次定义,规定:“内部审计通过对经营活动的评价和审计检查,对内部控制适当的把握,并保证其合法性和有效性来促进目标实现,因此它是一种独立又客观的监督评价活动。”这个定义关注的是内部审计的监督和评价职能,而且主要关注经营活动和内控的适当性、合法性和有效性,主要是为组织管理服务。
二、内部审计与风险管理的关系
(一)内部审计和风险管理二者是一种互动交融关系
风险管理系统是企业的重要预警系统,在对企业进行风险检测、识别和预警方面起着重要的作用。而内部审计作为公司治理的重要工具,可以为企业的健康、持续发展提供保证,风险管理与内部审计的融合能够为企业的发展贡献力量。风险管理与内部审计相互融合是改善企业营运状况,增加企业价值的客观需要,也是使其自身得以发展的有效途径。内部审计通过评价和监督风险管理过程,使其成为企业风险管理的一道重要防线。风险管理与内部审计已逐渐形成了“你中有我、我中有你、相互依存、不断发展”的密切关系(余玉苗,2004)。韩志丽(2005)从价值链着手,阐述内部审计与风险管理之间的互动关系,通过内部审计与风险管理之间的这种互动,使得企业整体风险管理水平不断提升,同时也促进了内部审计的持续发展。刘丽云(2006)分析了内部审计和风险管理之间的关系,指出:“内部审计应在定义上融入风险管理,在目标上和风险管理相互统一,在职能上强调对风险的鉴证与咨询,在服务领域上扩展到评价和改善风险管理流程。”随着企业风险管理水平的提高和内部审计在风险预警和风险管理中发挥作用的职能逐渐增加,内部审计和风险管理之间的联系越来越密切,内部审计应积极转型与企业风险管理相结合(魏文婷,2014)。在企业的经营活动中,风险本身就是内部审计的有效对象,将企业的内部审计与风险管理进行有效的联系与融合,是企业未来发展的必然趋势。
(二)风险管理是内部审计的重要组成部分,将主导内部审计的变化
对企业风险管理进行监督和评价是内部审计发展的必然要求,内部审计的范围已经延伸到企业风险管理和公司治理,风险管理已成为内部审计的一项重要内容。2002年,国际内部审计师协会在《全面风险管理:发展趋势和新的实践总结》一文中指出:“21世纪企业管理过程的重点将会是风险管理,风险管理不仅会影响企业如何委派首席风险官向首席执行官和董事长报告工作,而且也会影响内部审计的执行。”Robert.R.Moeller(2006)在《布林克现代内部审计学》中指出:“风险管理是内部审计计划和评估过程的重要组成部分,内部审计人员需要理解风险,并将审计工作的重点尽量集中在高风险领域。”风险管理的变化主导着内部审计的变化,而内部审计在企业风险管理中的主要职责就是对风险管理过程进行再监督、再评价(王光远,2007)。风险管理是企业管理的核心,需要内部审计的协助,内部审计在企业风险管理控制过程中发挥的作用相当大,现代企业管理应该建立健全内部审计的综合风险管理体系,使之与企业各级风险管理组织系统相配合,企业风险管理工作应当成为企业内部审计工作的一部分和主要内容。
(三)内部审计是风险管理系统不可或缺的部分
内部审计在企业中承担着审查并参与企业的风险管理流程、为风险管理提供确证服务、促进风险的识别与评估等重要职责。内部审计部门和内部审计人员参与企业的风险管理已经成为必然的内在需求。内部审计参与企业的风险管理,将会使内部审计在企业管理中发挥重要的作用,并将其在企业风险管理中的作用推向一个更高的层次(许叶枚,2009)。赵婷婷(2011)提出内部审计是风险管理的一种方法、手段,而风险管理则是内部审计的一项新的内容、一个新的领域,内部审计成为风险管理的重要组成部分。马欢欢(2012)明确阐述了企业风险管理与内部审计之间的关系,内部审计在企业的风险管理活动中扮演着重要的角色,对降低企业经营活动风险、加强企业风险管理具有重要作用。王兵、刘力云、张利民(2013)指出我国加入WTO后,内部审计的重心转变为以内部控制、风险管理为导向的管理审计为主,内部审计在加强风险管理、完善组织治理、建立现代企业制度等方面发挥着越来越重要的作用。在当前市场经济环境下,风险管理的有效性在对企业的生存和发展方面的作用日渐显著。内部审计对企业的财务状况和经营管理情况进行指导和监督,评价并改善企业面临的风险,已成为企业风险管理系统的重要部分。
三、内部审计在企业风险管理中的作用
(一)内部审计在企业风险管理中能够增加企业价值
内部审计能够客观地检查与评价企业整体风险管理状况,指导企业的风险管理策略,对企业风险管理效果进行反馈,以及对企业的风险管理进行预警和监督,能够提升企业价值。Mcnamee & Selim(1999)指出:“在高速发展时期,企业管理者需要了解发展过程中可能遇到的各种风险。因此,内部审计人员要在风险环境中观察企业的业务流程,识别和评估企业面临的风险,提出应对和防范风险的建议,从而为企业增加价值。”贾云洁(2009)探讨了企业内部审计与企业战略的匹配从而形成的增值作用对企业价值的影响,并提出内部审计提升企业价值的主要途径。吕秀芝(2010)分析了内部审计给企业带来增值作用的途径和作用领域,指出内部审计通过内部独立的审核和咨询活动的展开能够帮助企业实现自身价值的最大化,是一种有效的增值手段。沈维成(2011)指出内部审计是企业风险管理的重要组成部分,其通过降低企业运营风险来实现企业价值的增加。在风险管理环境中,内部审计可以为企业风险管理部门提供咨询服务,促进企业价值的提升,风险管理视角下内部审计对实现企业价值增值有重要的现实意义。
(二)内部审计能够从整体上防范和管理风险,有利于减少风险损失
内部审计部门可以从全局出发、从客观的角度对企业面临的风险进行识别,及时建议企业管理部门采取措施防范和控制风险。Masaaki(2012)指出:“内部审计是一种独立、客观的鉴证和咨询活动。在全面风险管理方面,内部审计人员的职责就是向董事会提交有关风险管理充分性和有效性的鉴证。”胡静波、李卜(2012)提出内部审计通过监督活动来有效达到企业经营目标,它帮助企业将风险控制在合理的范围内,评价、防范和控制风险的发生和蔓延,并加以改进和完善。姜洪研(2013)指出内部审计人员能够独立地分析、评估和监控风险,并检查风险防范措施,帮助企业管理风险,降低风险损失。李萍(2014)指出内部审计并不参与企业特定的业务活动,使其能够从全局的视角对企业面临的风险进行防范和控制,从而对企业整体的风险管理进行统筹规划。王晨(2016)指出内部审计可以通过风险管理促进内部控制的完善,能够从全局角度客观地管理风险,控制、引导企业风险策略,减少企业风险。内部审计在企业风险管理和内部控制中扮演着重要的角色,内部审计通过对企业风险管理进行评价、监督并提出改善风险管理和内部控制的建议,从而帮助企业优化风险管理体系,降低风险,提高企业运营效率。
(三)内部审计有利于完善公司风险管理流程,提高公司治理水平
在风险管理视角下,内部审计可以有效地监控、改善企业风险管理体系,提高企业的运行效率和治理水平。内部审计在企业风险管理中具有独特的优势,有助于公司治理的M一步完善。Vijayakumar A. N, Nagaraja N(2012)在分析企业运作特点的基础上,指出风险管理视角下的内部审计模式可以有效地监控、改善公共企业风险管理体系,提高公共企业的运行效率。陈瑞敏(2012)分析了内部审计在企业全面风险管理中的重要作用,指出内部审计能够帮助企业完善其法人治理结构,提高公司治理水平。余琛(2013)指出科学的内部审计方式有助于完善企业的组织管理,提高企业的管理水平,有助于企业达到预期的经营目标。徐夏青(2013)指出内部审计参与企业风险管理与公司治理,除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构,即通过全面参与企业风险管理,提升企业的治理水平。张巧红(2015)从企业面临风险特征及风险形成原因入手,探讨了内部审计在风险管理中的作用,通过系统的、规范的方法,将风险导向贯穿内部审计工作,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。内部审计参与企业风险管理,能够促使企业建立更有效的风险管理机制,从而帮助企业提高自身竞争力,实现企业的经营目标。Z
参考文献:
[1]王兵,刘力云,张立民.中国内部审计近30年发展:历程回顾与启示[J].会计研究,2013,(10).
[2]贾云洁.从战略角度谈内部审计价值增值策略[J].审计与经济研究,2009,(2).
[3]王晨.企业风险管理中的内部审计研究[J].经济研究导刊,2015,(11).
作者简介:
关键词 风险管理文化
文章编号 1008-5807(2011)03-023-01
一、企业风险管理文化的内涵
企业文化是企业在长期运行过程中形成的,并为企业管理层和员工所接受和认同的理想,价值观和行为规范的总称。企业风险管理文化是蕴涵于企业文化中的核心内容,是在风险管理活动中提炼、形成的集风险管理理念、哲学观和价值观、风险防范的行为规范于一体的人文文化。
二、企业风险管理文化的组成部分
风险管理文化是企业可持续发展的思想保障和理念基础之一。对于企业来说,更需要实施新的、高层次的文化战略,构建与其相适应的,高度吻合的风险管理文化。企业的风险管理文化主要由精神模块、制度模块、行为模块、技术模块和知识模块组成。
(一)精神模块
风险管理文化的精神模块又叫风险管理的精神文化,它处于整个风险管理文化的最深层,并成为风险管理文化的灵魂和核心。在市场化改革的形势下,要强化以风险为中心的管理理念。企业风险管理文化精神模块的塑造主要可以从两个方面来分析:
(1)建立有企业特色的风险管理理念。企业只有根据自己的特点,提炼出符合本企业的优秀理念,体现出企业的个性,形成企业自身特色的企业精神,才能为企业的发展指明方向,并以一种无形的方式沉淀下来形成企业的一种行为规范。
(2)确立企业风险管理核心价值体系。企业高层管理者要有意识的参与、引导、推动和创造企业的风险管理文化,要把风险管理文化建设放在企业经营管理中的重要位置。
(二)制度模块
在一个文化系统中,精神文化必须也必然要发挥灵魂、核心作用,从而渗透到其他文化中。精神文化的渗透、指导、调整作用,必须有一个逻辑秩序,这就要通过制度文化的层面或环节发生。对于企业风险管理文化来说,其组织结构、制度规范层面的建构,正是搭建一个风险管理精神文化与行为文化、物质文化之间承上启下、承前启后的平台,处于特殊重要地位。企业要根据自己的理念,不断推出适应新的竞争形势的管理制度,可以借鉴企业文化的人本管理的模式、学习型组织的创建和流程再造等,用优秀的制度来保证文化建设的实施。
(三)行为模块
风险管理文化建设的行为层面可以分为管理层和员工两个层次。管理层要有全新的管理行为,在自己的管理行为中处处体现出本企业的文化特点,体现出企业的文化品位;而员工要有全新的工作行为,要用爱岗敬业、诚实守信、开拓创新的行为,要树立“执行第一”和全员执行意识来具体实践企业的风险管理文化,有效防止企业风险行为的产生。企业文化要随着环境的变化做快速的改善甚至是转变,使得企业文化与经济发展的要求趋同。
(四)技术模块
技术层面主要是指企业防范控制风险的技术和手段,包括识别、计量、监测、控制风险以及风险管理系统的建立等内容。在技术层面构建时要遵守科学管理、可持续发展的原则,建立长效机制和有效的信息沟通机制。确保风险管理能够在各个环节下正常进行,实现对风险管理分散和集中的有机统一,从整体上把握企业面临的全面风险。
(五)知识模块
良好的风险管理文化的培育离不开学习。通过不断的学习研讨,实践,案例教育以及风险管理理念、知识、业务和危机意识方面的培训,倡导和强化风险意识,牢固树立“风险先行”的意识。
三、企业风险管理文化建设的路径
(一)树立先进的风险管理理念
当今时代的风险管理文化应该是面向世界,面向未来的文化。一方面,企业要立足现状。相较于传统的风险管理理念,现代管理理念有了很大的进步,但是还是只停留在制度管理和道德风险防范上,没有意识到到企业不只是防范风险,还是在经营风险,没有将其变成一种经营理念融入到公司经营的每一个层面,每一项业务运作的过程中去。另一方面,企业要敞开胸襟,借鉴国外先进成熟的管理理念,把国外的理念与我国国情相结合,使风险管理文化更具开放性,紧跟时展的潮流,更加适应经济全球化的需要。
(二)增强全员的风险意识,使风险管理文化深入人心
企业要通过不断强化对风险认识的文化导向逐步形成全行员工统一的风险管理理念和价值标准,并渗透到所有部门和岗位的各项业务过程及每一个操作环节中。风险无处不在,无时不有,为了有效识别、防范和控制风险,企业要推行全面风险管理,强调全员参与风险管理文化理念,企业全体员工都应该有风险管理意识的自觉性。风险管理不仅仅是风险管理部门的事情,而是整个企业全体员工都必须考虑的事情。企业应该通过加强对员工的教育和培训来增强员工的风险意识。
(三)强化人力资源管理,建立学习创新型企业
人是创造文化的载体,又是传承文化的载体,风险管理文化塑造要以人为中心,着眼于人们的思维方式和心理状态,充分体现以人为本的思想,注重风险管理文化中人的因素,突出风险管理文化的主体。我们要培育一批纪律性强、专业文化水平高、素质过硬的风险管理人才队伍,只有人才的专业能力水平上去了,我们才能拉近和世界先进企业的管理水平,才能在企业的竞争中处于有利地位。企业只有建立强大的人力资源体系,才有能力实施风险管理,才能提高企业的竞争实力,确保企业目标的实现。
参考文献:
[1] 胡昆.商业银行风险管理文化建设的思考.华南金融电脑,2008(12).
[2] 韩煜.商业银行风险管理文化探析.科技资讯,2006(5).
[3] 齐刚.浅谈上市公司的风险管理文化.中国新技术新产品,2009 NO24.
关键词:内部审计;风险导向内部审计;风险管理
内部审计作为重要的管理工具,一直是企业内部监督的重要组成部分。随着经济全球化和市场竞争多元化的不断深入,企业所面临的风险日趋复杂。尤其是对于大型企业集团而言,风险规模已经远远超出管理层能够直接管控的范围。为此,企业开始日益重视风险管理工作,积极建立内部控制体系,提高企业风险管控能力。在此趋势下,风险导向内部审计应运而生,并较好的适应了管理层的风险管理需要。
一、风险导向内部审计的概念与基本特点
按照国际内部审计师协会(IIA)对内部审计的定义,内部审计是“一种独立、客观的保证和咨询活动,其目的是在于为组织增加价值并提高组织的运作效率。它采取系统化和规范化的方法来对风险管理、控制和治理程序进行评估和改善,从而帮助组织实现目标”。根据这一定义,推行风险导向内部审计就是要以对组织风险的评估与改善作为基本目标,以内部控制为审计基础,以公司治理为参与风险管理的前提。风险导向内部审计作为内部审计发展的一个阶段,其本身具有区别于传统内部审计和注册会计师外部审计的特点。笔者认为这些特点主要体现在如下方面:首先,风险导向内部审计将风险评估和改善作为首要目标,并据此延伸其职能。具体来说,其职能主要有三个方面,一是利用其在内部管理方面的专家地位和信息优势,根据企业目标评估、分析和管理风险,并将审计结果和管理建议向管理层报告。二是帮助管理层在制定重大决策事项时进行风险评估。三是为市场、采购、技术等其他专业领域的风险管理部门提供咨询。总之,风险导向内部审计不再是消极的查错防弊,而应以组织的整体风险评估作为首要工作。其次,风险导向内部审计在方法上更加注重风险评估、缺陷评估和管理建议。区别于传统内部审计,风险导向内部审计始终把风险管理作为审计工作的出发点和落脚点,强化审计工作的事前风险评估和事后缺陷评估环节,并基于这些评估得到审计结论和给出风险管理建议。第三,风险导向内部审计以内部控制为基础。从理论上说,内部审计是内部控制的监督环节,是对其他内部控制环节的再控制。内部审计无论从事是对风险的评估和改善,还是参与风险管理和治理程序,都需要依托对企业内部控制状况的了解。第四,采用风险导向使内部审计工作融入企业全面风险管理体系。不同于外部审计师所实施的内部控制审计,内部审计是为了保证企业经营目标的实现、保护资产安全、防止舞弊的发生而进行的全方位的内部控制评价。也就是说,内部审计、内部控制以及管理层的风险治理活动都是以企业风险管理为目标。内部审计通过采用风险导向而参与到企业全面风险管理中,成为整个风险管理体系的有机组成部分。
二、在内部审计中采用风险导向的必要性与实践意义
当前,内部审计需要应对的风险越来越复杂,对审计的要求也不断提高。内部审计需要更为全面、及时、准确的反映企业存在的风险,并提出有针对性的管理建议。传统内部审计虽然也针对企业风险进行监督,但从根本上说仍然缺乏完整有效的风险识别和评估体系,审计工作高度依赖审计人员水平,其风险覆盖的全面性、重要环节的审计充分性、以及审计质量的稳定性均难以保证。这不但无法满足企业风险管理需求,而且难以体现内部审计的管理价值,不利于内部审计的长期发展。因此,在审计实践中采用风险导向是内部审计发展的必然选择。
1、风险导向内部审计以风险评估和改善为目标,可以更为系统的覆盖企业重要风险,保证内部审计的完整性传统内部审计对于内部控制的关注一般集中在已有流程和已识别的运营风险,而缺乏对风险识别全面性和风险变动的评估。但对个体企业而言,无论是外部环境、业务特点,还是内部管理和治理结构都十分复杂,且始终处在不断变化的过程中。COSO委员会在2004年颁布的《企业风险管理——整体框架》(ERM)中将企业全面风险要素概括为八个大类,而阿瑟.安德森公司的商务风险模型(BRM)则将企业风险概括为三大类75种,足见其范围之广。在此情况下,传统内部审计很难保证审计结果和管理建议不存在重大遗漏、误判或者与企业实际状况脱节的风险。而风险导向内部审计通过有效的风险识别和风险评估,可以及时、全面的掌握这些情况,帮助内部审计部门形成对被审企业的完整认识。
2、风险导向内部审计对风险和缺陷的评估,能够更为科学的确定审计事项的重要性水平,有助于合理调配审计资源,深入进行研究分析,保证内部审计的充分性在目前的内部审计实践中,一个较为突出的问题是在标准化的审计程序上耗费大量审计资源,而缺乏对重要问题的深入研究和系统性分析。具体来说,一方面,审计过于追求程序的标准化,审计意见包含大量详细的操作细节问题,但没有区分重要性水平。特别是对于风险较小的环节给予过多关注,造成控制冗余,不但影响审计效率,也可能对后续审计产生误导。另一方面,对于重要缺陷不能给出系统评估和全面的解决方案,例如评估缺陷在多大程度上增加了企业运营风险,缺陷产生的系统性原因和个体原因,以及如何进行整改和需要投入的管理资源是否符合成本效益原则。而风险导向内部审计重视事前的风险评估,可以有效解决审计侧重点问题,合理调配审计资源。可以结合企业目标,有针对性的深入研究重要风险,评估缺陷程度。同时,还可以减少在次要风险上的审计资源投入,在总体资源有限的情况下发挥最大的审计效果。
三、实施风险导向内部审计的实现途径与展望
风险导向内部审计从根本上改变了传统审计的指导思想和工作模式,对内审部门提出了很大的挑战,其在实践中的应用还存在很大障碍。笔者认为,要想实施风险导向内部审计,至少需要在如下几个实现转变。
1、内部审计部门职能的转变:由消极的查错防弊向主动的风险管理转变在所有阻碍风险导向审计实施的问题中,最根本的是内审部门自身定位的转变。风险导向内部审计要求内审部门的定位要从消极的查错防弊变为主动的风险管理,在风险评估、内部控制乃至公司治理中发挥专业作用。这使内审工作从监督指导职能延伸到风险评估、缺陷分析和管理咨询,几乎颠覆了内审部门的旧有工作范围,无疑是对内审部门从软件到硬件的全面挑战。尽管如此,这些转变又是不可回避的,因为能否转变思路并主动适应新的角色,是内部审计能否提升自身价值的关键所在,也是企业风险管理提升不可或缺的重要途径。
2、审计方法的转变:建立完善风险评估机制风险评估和改善作为内部审计的首要目标,在实践中也是能否真正实施风险导向内部审计的关键问题。因为企业的风险千差万别,风险评估也非常复杂繁琐,但作为整个审计体系的基石,所有后续审计工作均需要以风险评估为基础。笔者认为,企业应通过建立成熟的风险识别模型和风险评估程序,通过流程化、标准化以节约审计资源。具体来说,一方面内审部门应结合COSO企业风险管理框架(ERM)、企业风险模型(BRM)以及其他风险分析工具,建立一套适合本企业特点的风险识别模型。然后根据企业目标,在模型框架内识别具有重大影响的风险项目,建立企业风险数据库。另一方面,在内部审计中应建立风险评估报告制度,强制要求内审人员全面了解被审单位的风险状况,以保证所有后续审计工作按风险导向执行,最终帮助评价审计结果对企业整体风险的影响。
3、风险管理架构的转变:整合内部控制资源,实施风险的全过程管理无论是内部审计还是内部控制和企业风险管理部门,乃至于各专业部门的风险管理人员,其根本任务归根结底就是对风险进行管理。而受制于管理范围和资源限制,内部审计部门必须与其他风险管理部门共同开展风险管理工作。具体来说,一是需要加强部门协调,与相关部门共享风险数据库,并在共同的风险识别框架下对风险形成共同认识,对控制措施和审计缺陷评估实施共同标准。二是对风险进行全过程管理。根据风险管理过程理论,风险管理是风险识别、风险度量和风险监控三个环节构成的循环,内部审计对于风险的管理也必然是一个动态的过程,需要整合相关资源对风险全流程进行管理,及时进行重新评估和应对。目前,外部审计机构正在大力开展管理咨询业务,凭借其专业优势和成本优势,越来越多的重复性内部审计工作已呈现外包化趋势。内部审计如果仍在“查错防弊”阶段止步不前,将越来越难以为企业创造价值。因此,只有积极参与企业内部风险管理,并在此基础上与其他风险管理部门密切配合,形成强有力的风险管理体系,才能有效为企业保驾护航,这或许是内部审计的长远发展方向。
作者:姜传志 胡增会 单位:青岛中油岩土工程有限公司
参考文献:
[1]曹伟,桂友泉.2002:内部审计与内部控制[J].审计研究(1),P27-30.
[2]费朵,邹家继.2008:项目风险识别方法探讨[J].物流科技(8),P139-141.
关键词:企业内部控制 风险管理 现代化经济体制
中图分类号:F27文献标识码:A文章编号:1009-5349(2016)13-0088-01
内部控制中风险管理机制是企业管理实施的具体方法及理论,在企业风险评估、内部控制及资产保护、实现企业目标等方面均具有重要价值。通过了解当前企业发展情况,发现内部控制及风险管理相关制度的建立及完善工作存在问题,应加强相关机制的研究,确保企业走可持续道路。
一、风险管理机制概述
企业内部控制指的是在专业管理制度基础上加强风险防范。通过有效的监管,建立可控制企业发展的全方位控制体系,对关键控制点进行描述,以流程形式对生产经营业务情况进行展示并进行规范的管理体系。企业风险管理指的是企业在未来战略目标实现的整个过程中,努力将多种不确定因素可能造成的结果控制在可接受范围内的主要方法及实施过程,可确保实现企业整体利益。我国正处于经济持续发展阶段,企业发展具有较光明的前景,企业方面在业务扩大发展过程中可能缺乏对企业风险的关注,部分企业因财务基础薄弱,无法通过科学数据分析为企业发展提供决策,造成企业内部管理中风险观念的薄弱状态。[1]企业风险管理与内部控制作为企业的实践产物是针对企业经济风险的有效手段。因社会经济的快速发展,以往企业内部实施的传统控制手段及风险管理机制均落后,无法适应社会新潮流。因此,企业应针对自身发展情况加强内部控制管理,通过提高内部控制意识加强风险管理,逐步完善相关制度,最大化减少内部控制缺陷及风险管理不足对企业造成的损失,企业发展中内部控制及风险管理的有效应用十分重要。
二、建立企业内部控制中风险管理机制的前提
企业内部进行控制及风险管理需要满足内部环境、信息交流、内部监督、控制措施、风险评估五个前提条件。并确保在建立风险管理机制中遵循利益原则及机制独立原则。企业方面在建立内部机制前应针对企业主要潜在风险进行有效评估及准确识别,根据轻重缓急按照顺序进行排列。企业内部控制机制建设应贯彻全企业各个环节,机制的建立应充分考虑企业成本及适应程度等多种层面,若只针对风险发生率为零的风险控制,是对企业人力物力资源的浪费。[2]
三、企业内部控制中风险管理机制应用中存在的问题
通过对我国企业风险意识进行分析,多数企业具有较强风险意识,但是重点对财务风险进行关注,在风险控制及管理方面仍缺乏。通过对国企内部控制结构进行分析发现仍存在较大完善空间。若企业不能结合自身发展进行结构治理,随着企业漏洞的扩大无法确保企业内部控制的开展。从另一个角度来讲,机制结构的不完整会造成企业内部管理控制工作及风险管理工作的无法落实,不能充分发挥其实际价值。因缺乏内部控制监督及制约,虽然少数企业对监督机制的重要性有所认识,甚至已经出台了相关规章制度进行辅助,但在实际工作开展中这些规章制度无法发挥实际效用,导致企业内部仍存在较大风险。
四、企业内部控制中风险管理机制有效应用的措施
企业风险管理观念的开展主要表现在风险评估及风险评估、风险应对方面。因此,只有企业方面确保工作人员树立正确风险管理理念与认识,才能从整体上提高员工风险意识,进而对企业发展过程中可能出现的各种风险进行预防,使企业获得最大化经济发展空间。
企业对自身内部控制中风险管理制度的完善主要表现在两方面。公司风险管理首要任务为识别公司存在的风险,因此在企业日常运行过程中应加强对各类型风险制度的识别,通过有效区分可能出现的风险类型,更好地开展风险防范工作。另一方面来说,企业风险管理体系的建构主要是确保企业战略目标的准确性,通过对风险事项的分析细化,从企业内部入手对不同层面信息进行划分选择。在加强风险管理机制审计工作中,应实行风险导向审计制度,另一方面应确保企业内部审计自身独立性,对其权威性进行保护。通过严格审核企业风险管理机制,降低企业风险发生率,提高内部控制风险管理工作开展效率,实现企业经济及社会效益的提高。
五、结语
全球一体化经济的发展为我国企业带来了巨大挑战,为提高企业风险管理意识及能力,应有效加强内部控制中风险管理相关机制的建设。通过加强企业风险管理意识、完善企业法人治理结构、完善管理体系、加强内部审计及监督机制,应用ISO9000国际标准对内部控制机制进行完善并加强,不断改革新企业内部风险管理机制,提高企业风险管控能力,确保企业走可持续发展道路。
参考文献:
[关键词] 企业风险管理审计模式
从20世纪90年代后期开始,由于新经济带来的全球化、电子商务、企业组织结构虚拟化等特征,许多跨国公司开始实施新的企业全面风险管理方法。
一、企业风险管理审计涵义及其特点
企业风险管理审计是指企业内部审计部门采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动,对机构的风险管理、控制及监督过程进行评价进而提高过程效率,帮助机构实现目标。它有其自身的特点:
1.审计目标:确定企业战略目标,风险管理策略及相应的经营风险(固有风险)并评价企业是如何实施风险管理有效性从而实现企业目标。
2.审计策略:①了解企业战略,经营及价值目标,以及经营行为。 识别实现该目标以及其经营行为的主要固有风险。②了解企业的风险管理策略及风险管理措施。③评价企业的风险管理措施,并有效地将风险降至可接受水平。④关注风险管理缺口的有效性。
3.测试方法:实质性测试与符合性测试相结合,其运用取决于企业风险管理的有效性。
4.管理建议:识别出每个风险关键点所存在的风险管理缺口。
风险管理审计吸收了其他审计模式的优点,同时又关注到企业的战略、绩效等整体风险管理的有效性,其不仅考虑到审计师可接受的剩余审计风险,更是从审计固有风险源头,即企业管理层所进行的风险管理活动的角度识别并评价风险,从而才能更一步地从审计师及企业管理层双角度确保审计资源的分配及审计的有效性。
二、企业风险管理审计模式与其他审计模式的区别
根据原安达信公司专业人士Paul Sobel, 在其于2003年所著的《Auditor’s risk manage-ment guide: integrating auditing and ERM》一书中的概括, 现代审计模式在过去五十年中经历了四大阶段,其分别是:控制基础审计、流程基础审计(又称经营审计)、风险基础审计(又称风险导向审计)、风险管理基础审计, 又称风险管理审计。那么企业风险管理审计模式与风险基础审计模式和控制基础审计模式的不同在于:
1.企业风险管理审计与控制基础审计的区别。
(1)出发点不同。企业风险管理审计侧重审计风险管理政策与企业经营战略方针的矛盾统一,控制基础审计侧重测试企业经营的横向、纵向的制约与协调。
(2)审核目标不同。企业风险管理审计的目标是关注企业风险管理政策设计的适当性;执行的有效性;风险损失处理的合理性。控制基础审计的目标是关注内部控制制度设计的健全性、适当性;执行的有效性。
(3)审计方法不同。企业风险管理审计采用预警分析、专业判断、综合评价等方法。控制基础审计采用测试、分析、专业判断等方法。
2.企业风险管理审计与风险基础审计的区别。
(1)含义不同。企业风险管理审计是审计主体通过对组织风险识别、风险程度的评价等工作的审计,评价风险政策、措施的适当性、执行的有效性的工作。风险基础审计体现着审计主体开展财务审计、绩效审计、控制审计等审计工作首先以测试组织的风险管理战略和风险管理为前提,根据对风险管理审计测试的结果,决定其他相应审计的范围、性质、程度和时间。
(2)侧重点不同。风险管理审计侧重对风险管理进行鉴证,而风险基础审计侧重于对会计信息质量的鉴证。
三、开展企业风险管理审计应注意的问题
企业经营必然要面对许许多多的风险,这些风险有的相互叠加放大,有的相互抵销减少。因此,企业考虑风险时,必须根据风险组合的观点,从贯穿整个企业的角度看风险。要实行全面风险管理。这对于对风险管理进行再监督的风险管理审计来说是一种挑战。
1.风险管理审计要与企业的各级风险管理组织相配合。开展企业风险管理审计要求内部审计工作超越企业内部各职能部门之间的间隔,实现全体的综合的和全员层次的行动进行综合的风险管理。在现代企业的风险控制方面,不少大中型企业一般建立三级的风险管理组织,即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构;公司风险控制委员会领导下的内部审计及专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险,对公司风险管理制度进行设计以及对各业务部门执行风险控制制度的有效性进行定期的检查,及时揭示和报告潜在风险,并提出防范风险及改进工作的建议。内部审计部门对公司总裁负责。各业务部门、业务支持部门和管理部门承担一线的风险控制职能,各部门负责人直接负责风险监控,内部审计部门要对其监控情况组织、指导、监管和控制质量进行评估。
2.以风险管理为核心,对公司治理、风险管理和内部控制进行整合。风险管理是与公司治理和内部控制交汇的核心。公司治理的核心职责就是要有确保公司应对风险的战略和措施,在公司治理中包含一些战略性的风险管理因素。公司治理的实施需要内部控制,为公司治理机制的运行提供保障。同样,风险管理的实施也需要内部控制,采用各种内部控制的方式与方法,实现有效的风险管理。因此,从一定程度上说公司治理和内部控制有着相同的目标:风险管理。内部审计以风险管理为核心进行整合中,以内部控制为手段,对风险管理和公司治理进行内部控制;内部控制和风险管理以公司治理为内容,即内部控制和风险管理的内容是公司治理的内容;内部控制和公司治理以风险管理为目标,风险管理的目标是提高企业的经济效益,因而内部控制和公司治理也是要以提高经济效益为目标。
3.创新风险管理审计中的技术和方法,提高审计水平。随着信息技术的广泛应用,我国内部审计在风险分析、风险量化和应用计算机审计技术方与世界各国存在较大差距,审计效率成为内部审计在风险管理中发挥作用的挚肘。因此,迫切需要研制、开发兼容性强和功能完善的通用审计软件,从而实现审计效果与效率的统一,全面提高内部审计质量。
4.风险管理审计要注意提高审计人员的素质。企业风险管理审计对审计从业人员的业务素质提出了新的要求,首先,要求审计人员具备必需的管理学知识和经济学知识。如经济学、管理学、统计学、经济法、信息技术等。其次,要加强审计人员的业务素质建设,要加强审计队伍的理论建设,采取有效措施来改善内部审计人员的专业理论水平,如采取学历考试、职业技术资格考试、职称测评、外出培训及建立人员流动站等方式。然后,还要加强审计人员的职业道德教育,增强内部审计人员的责任感和使命感,树立廉洁勤政的观念,将审计部门;建成讲正气、讲学习的法治机构,这是保持审计人员独立性与权威性的基石。最后,按照国际标准,培养某一领域的专家,改变当前内部审计人员知识结构不合理、理论水平不高的现象。
5.辅助审计软件的使用与完善。现代风险导向审计方法中分析性程序占据非常重要的地位,辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用,它可以直接对数据库进行加工分析,依据软件模型自行处理数据,使运用分析性测试程序成为节约成本的重要手段。另外,采用审计软件使统计抽样的样本更具代表性,审计抽样风险可控,为风险导向审计提供了技术支持。目前,我国在审计软件的开发和使用上不够理想,还有待提高,而且大部分注册会计师缺少相应的技术准备,在现阶段推行现代风险导向审计方法只能是一种愿望。
参考文献:
[1]风险导向审计的最新发展――风险管理审计,management.省略/tax/2006-06/33521.htm
[2]王晓霞著:企业风险审计.中国时代经济出版社,2005
[3]《内部审计具体准则第16号-风险管理审计》
[4]田国双吕红梅:企业内部审计参与风险管理若干问题探讨.审计2004(9)
