时间:2023-09-06 17:06:54
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业风险管理的特征,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、前言
经济全球化的快速推进,信息化时代背景下,人才、技术、资本以及商品等多要素的流动已经明显加快,市场经济社会背景下的不确定因素明显增多,从而使得企业所面临的风险加剧,呈现出复杂的局面,影响企业目标的实现。面对这样的环境,企业应该具备较强的应对风险的能力,从而在全新的市场环境中占据主体地位。但企业应对风险的能力则需要依靠企业管理,全面风险管理作为一项受到广泛关注的管理模式,在企业风险管理中所能够发挥出的效用显著。
二、全面风险管理概述
(一)全面风险管理的定义
全面风险管理是指企业在战略目标的引导下,在企业管理的每个环节中都严格执行风险管理的基本流程、注重培育良好的风险管理文化、建立健全全面风险管理体系,以此来保证企业战略目标的制定与实现[1]。有关于全面风险管理的定义较多,但目前被广泛采用与应用的则是以上定义。
(二)全面风险管理特征、分类及目标
1.全面风险管理特征
全面风险管理的基本特征主要表现在以下几个方面:(1)战略性:以企业战略为目标设定全面风险管理目标,体现出全局性特征;(2)统一性:风险管理目标都是以维护企业持续发展为根本;(3)广泛性:涉及到企业运营中的纯风险与投机风险;(4)全员性:以风险管理文化为核心,全员参与其中;(5)双面性:全面风险管理能够从风险的双面性入手分析;(6)系统性:将多风险因素有机整合,考虑风险的系统性与相关性;(7)专业性:全面推进风险管理各职能部门的构建,为专业化管理提供条件;(8)灵活性:全面风险管理是一个动态化过程,具备灵活性特征;(9)专属性:全面风险管理要求从企业实际出发,体现专属性;(10)便捷性:全面风险管理有助于信息的高效整合[2]。
2.全面风险管理分类
企业风险管理当中的风险分类如下:(1)战略风险:该风险类型的产生基本成因源于企业内部与外部,但并非每一个风险都可以称之为战略风险,只有影响企业战略框架的风险才是战略风U;(2)财务风险:表现在企业财务方面的风险要素,如资金流动性风险、企业偿债风险等等;(3)商业风险:商业风险涵盖面较为宽泛,包括信用风险、竞争风险、信誉风险、法律风险、市场风险等;(4)营运风险:该风险类型表现在内部运行阶段,由于人为或者外部因素造成的经济损失都被称之为营运风险;(5)政治风险:国家政权的强制产生的风险与引起的损失;(6)社会风险:该风险类型主要表现在人文方面[3]。
3.全面风险管理目标
全面风险管理目标需要依据企业风险发生之前与发生之后进行具体确定,针对性的做好管理与全面优化,从而实现组织目标的合理性。
损失发生之前全面风险管理目标为:经济型目标、合规性目标、降低潜在损失性目标、社会责任目标。
损失发生之后全面风险管理目标为:生存目标、持续经营目标、发展目标、社会责任目标、稳定的盈利目标。
三、全面风险管理在企业管理中的框架构建
全面风险管理在企业管理中的框架构建,主要是结合我国企业的实际情况与现实需求,运用COSO《框架》作为理论基础,全面借鉴当前有关于企业风险管理方面的研究内容的实践经验,系统性的做好论述与分析工作,建立一套具有较强现实意义的全面风险管理框架,具体如图1所示:
(一)评价风险管理能力
从调查的公司风险管理经验来看,其中所调查的多数企业都会在开展风险管理的初期阶段成立专门的风险管理项目组,主要负责风险管理框架、风险识别、策略制定以及内部控制等等多项工作,以此来全面保证建立一套系统性的风险管理框架。如果企业将风险管理的重点放在表面的风险管理之上,也可以做好对风险的具体识别工作,撰写风险评估报告与风险管理报告[4]。但这种做法仅仅停留在表现,而并不能够发现企业发展中的深层次风险问题与风险因素。
但如果企业在开展全面风险管理当中能够准确的意识到企业风险的本质,则需要界定出风险管理的有效性,评价与衡量企业风险管理方面的能力,制定长远的发展规划,从而逐步树立起一种风险组合的观点,形成一种高标准的风险文化,为分析因素的持续性改进与风险控制奠定坚实基础。从而在这基础之上焕发公司的生机,减少风险因素的产生。因此,作为企业在开展全面风险管理的过程中需要主动地去针对风险因素对企业风险管理能力进行评估工作,以此来为企业的长远发展提供保证。可以说,评价风险管理能力是进行全面风险管理的前提。
(二)架构风险管理组织
一个较为全面的风险管理组织,要求在架构全面风险管理组织的阶段,董事会需要设置一个风险管理委员会来全面考虑风险因素,做好风险政策与策略的构建,将企业管理层的风险管理理念做好及时的传递工作,将诸多风险事物直接向总经理进行汇报。并且不同的构成单元需要做好优化与引导,从而更加全面的去引导与实践,应对风险做好处置策略。
评价企业风险
1.企业风险评估的基础。作为评价企业风险的前提,基础内容当中主要包括确定风险评估的对象、设置企业目标、设置风险偏好、设置风险承受度等等。这就要求企业在进行自身风险评价阶段,要做好深度的分析与优化工作。
3.评价企业风险。企业风险评价是一个系统性的过程中,具体流程如下:
其一,设立风险评估的基础。公司需要自上而下的反复讨论确定企业使命、战略目标、风险偏好和风险承受度。企业使命为以卓越经营引领现代医药,推进中国健康产业的发展;战略目标则是成为中国医药制造业营销收入前三名;风险偏好与风险承受度方面也应该做好指标优化[7]。
其二,医药制造产业应该做好风险的识别工作。包括战略风险、经营风险、财务风险与药品风险四个层面,对涉及到的各个风险识别因素进行分析。
其三,公司风险分析方面,由于制造企业的特殊性,在进行全面风险管理的过程中需要结合企业的发展实际情况,做好评价工作,建立风险量化的发展模式,为评价结果奠定基础。
4.风险管理策略
风险管理策略的根本目的是适应企业自身发展,风险识别过程与风险分析方面则是为分析评价工作奠定基础,保证所选择的风险管理策略服务企业发展目标。从而为该制药公司提出切实的可行性建议。结合本制药公司的实际情况,主要是采取风险规避策略与风险转移策略。风险规避是对药品采取紧急召回与产品撤市处理,而风险转移则是将风险因素转移给第三方。
5.风险管理文化
其一,建立就有内部控制与风险意识的企业文明,全面优化企业管理水平与员工的基本素质,为风险管理目标实现提供保障;其二,在企业内部营造一个风险管理的氛围环境,让员工自身意识到风险管理的重要性,以此来做好风险管理工作;其三,⒎缦展芾砦幕融入到企业发展的大文化当中,市场开展宣传工作及与风险管理有关的活动内容,为风险管理文化的具体行程打下坚实基础。
6.风险管理活动监督与改进
根据全面风险管理的各个流程在企业当中的应用情况,做好监督与改进工作,优化风险管理的基础环境,为风险管理的有效性检验提供保障。同样,也应该具备依据不同情况做好缺陷优化的能力。
五、结论
综上所述,在新的市场经济环境下,企业的可持续发展依靠自身的良好管理能力。企业在市场竞争当中会受到多种风险因素的影响,导致经营过程与应用问题受到影响。这就需要充分结合企业的实际情况,挖掘全面风险管理的应用价值,以制药企业为例,为该方法的具体应用提供参考与借鉴。
参考文献:
[1]陈杰群.全面风险管理在企业管理中的应用研究[J].赤子(上中旬),2016(21):182.
[2]齐艳.全面风险管理在企业管理中的应用研究[J].全国商情,2016(27):19-20.
[3]李腾.全面风险管理在企业管理中的应用研究[J].企业导报,2016(18):25-26.
[4]胡川.全面风险管理在核电项目设计风险管理的应用研究[J].价值工程,2016(23):33-35.
[5]杜玮.全面风险管理在企业管理中的应用研究[J].中国市场,2016(19):90-91.
「关键词 企业风险 风险管理 风险管理审计
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、企业风险及风险管理的内涵
进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。
1 企业风险的实质
首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。
2 企业风险的划分
企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:
(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。
(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。
(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。
3 企业风险管理
COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”
我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标
对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。
从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容
风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
1 审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2 审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
3 审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:
1 审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。
2 审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。
需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别的风险的特征;
(2)相关历史数据的充分性与可靠性;
(3)管理层进行风险评估的技术能力;
(4)成本效益的考核与衡量等。
3 审查风险评估方法应当遵循的原则
内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。
(四)风险应对措施适当性和有效性审查
关键词:风险风险管理风险管理审计
中图分类号:F239.62 文献标识码:A 文章编号:1004-4914(2011)05-178-02
随着企业规模的增大,企业所承担的风险也逐步增加,企业内部审计的使命开始转移到企业风险管理审计上来。开展企业风险管理审计成为企业实现经营目标的迫切要求,更是防范和化解企业风险的必然选择。
一、企业风险管理审计概述
企业风险管理审计是指企业内部审计部门采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动,旨在帮助机构实现目标。
实施企业风险管理审计是针对内部控制制度的执行情况进行再监督,以便及时发现并消除风险点,把风险损失控制在最低限度,与此同时,能够通过对内部控制制度的健全性和符合性测试发现内控制度的不足之处,并提出改进意见,进一步修订和完善内部控制制度。实施企业风险管理审计能起到预防风险与警示的作用。企业结合实际情况制定具体的内控制度,由相关部门或人员具体实施,事先控制可能出现的风险,把风险消灭在发生之前或过程之中,而当风险产生并造成损失时,要分析原因,总结经验教训,采取相应措施,发挥风险管理审计的警示作用。
企业风险管理审计是一种现代审计模式,较以往审计,它有以下几个转变:一是审计思路发生转变。账项基础审计注重具体交易事项的审查测试;制度基础审计虽注重内部控制的符合性测试,但企业风险管理审计则是注重确认和测试风险管理部门,为降低风险而采取的方式和方法。二是审计重心开始转移。审计人员的审计工作由原来的内部控制审计扩展到对所有风险进行管理审计,拓宽了审计范围。三是审计方法更科学先进。企业风险管理审计是利用战略和目标分析的结论,确定关键风险点,进行风险评估,采取必要的措施降低或消除风险。企业风险管理审计广泛运用数学分析、统计分析和计算机等技术方法,使审计工作更加科学快捷。四是审计目的更加明确。审计目的在于揭示企业的各种风险因素,降低和防范各种风险,协助企业决策者和管理层达到预期的经营目标。
二、企业风险管理审计面临的问题
目前,企业的风险管理审计尚处在发展阶段,风险管理审计的发展面临许多问题。主要表现在:
(一)企业风险意识淡薄
企业缺乏风险意识,没有积极、主动、系统地进行风险管理工作。一方面企业中的风险管理活动往往是瞬时的或者间断性的,意识到了就进行管理,事后则又将其抛掷脑后;另一方面企业缺乏对风险进行定期复核和再评估的意识,降低了企业应适应环境变化,进行管理风险和规避风险的能力。有些企业则忽视长远发展目标,只顾眼前的利益,往往只对眼前风险进行评估,忽视某些行为决策对企业未来发展产生的影响,从而缺乏对企业风险进行系统全面的分析,最终给企业带来巨大的损失。
(二)风险管理组织架构不健全
目前大多数企业风险管理的组织架构不完善,缺乏现代意义上独立的风险管理部门,导致各个部门和岗位的人员对其工作职责和操作程序不清晰,风险承担的最终主体不明确,也没有专门的人员进行企业风险管理。有的企业即便是成立了相应的风险管理部门,但没有专职的风险经理,风险承担的主体不明确,各个部门或者岗位间相互推卸责任,使其风险管理的成效缺乏有效的约束机制,从而无力承担起独立的、具有权威性的、有效管理企业风险的职责,使得企业的风险管理始终停留在以眼前利益为目的的决策层次上,而不能将企业风险管理上升到企业发展的战略高度。
(三)风险管理范围不明确
在企业风险管理审计的范围上,审计人员侧重于企业经营管理风险的识别、估算和控制方面的审计,而对企业制度风险、法律风险、决策风险等其他风险的评估、测试等方面的审视程度不够。由于企业自身改革的不断深化,企业的风险管理不可能只停留在分别对某一种风险进行管理的阶段上,企业只有全面的、综合的考虑可能发生的各种风险因素,才能有效的预防、管理和控制风险。同样的,企业风险管理审计也不能停留在部门风险管理审计的阶段上,而要向全面的、整体的风险管理审计发展,只有这样企业才能不断发现和化解风险,减少不应有的损失。
(四)风险管理审计人才缺乏
目前,我国企业风险管理审计人才严重匮乏,现有风险管理审计人员综合素质不高。主要表现在审计人员知识结构单一,风险意识不强,技术管理措施落实不到位等,导致风险管理审计质量不高。此外,大多数审计人员主要是单纯会计或审计专业,没有经济管理理、法律事务等多元化的综合知识,有的审计人员甚至不了解企业的经营状况或行业背景,这些因素将约束风险管理审计的有效开展,也是企业风险管理审计工作所亟待解决的问题。
三、开展企业风险管理审计的应对措施
为了更好地开展风险管理审计,防范和化解各类风险,必须对风险管理审计中存在的问题采取有效措施。
(一)提高企业风险意识,风险防范寓于管理
要转变企业观念,提高企业风险意识,将风险管理纳入企业的经营管理之中。开展企业风险管理审计,首先要求企业管理层要彻底转变观念、增强风险意识,把风险管理审计摆在重要位置上,正确合理地处理风险与效益的关系,把企业长远利益作为企业的根本目标。同时审计人员也要转变观念,尽快实现从传统的账项基础审计、制度基础审计向风险管理审计转变,突出风险管理的重要性。一方面要监督企业各职能部门认真贯彻各项内部控制制度,切实规范操作程序,防止操作过程中人为造成风险;另一方面要认真落实风险管理审计提出的整改意见,克服专业管理部门的偏见,使风险管理审计能够真正发挥作用。
(二)完善内部控制制度,健全风险管理架构
要进一步完善内部控制制度的建设,健全风险管理的组织架构,明确风险的承担主体,整合现有的风险管理部门,形成由最高管理层直接负责的、系统的、全面的风险管理系统。企业要在充分利用内部的风险管理人员的基础上,充分利用企业外部风险管理咨询公司专家的智慧,进行有效的企业风险管理。这可以为审计人员开展企业风险管理审计提供明确的审计对象,使审计人员能够制定出更加有效合理的审计计划,节约审计时间,提高审计效率。
(三)重视企业经营风险,兼顾其他管理风险
企业风险管理是保持企业持续发展的途径。企业风险管理的实质就是对影响企业持续发展的不确定因素进行管理,控制并减少不确定因素对企业的持续影响。内部审计人员在重视企业经营风险管理审计的同
时,对于企业的其他风险管理,如制度风险管理、法律风险管理的审计也应该引起足够的重视。在现代企业的竞争中,哪怕只忽视一种风险都很可能使企业遭受巨大的损失。因此,内部审计人员应全面系统地进行企业风险管理审计,同时还要关注一些日常管理中不经意间引发的风险。
(四)企业风险无时不在,风险评估需经常化
企业风险是随时随地都会发生的,而且是不断变化的,偶尔几次的风险管理审计不能解决根本问题,因此风险管理审计必须做到经常化。要周期性地或不定期地开展全面的风险审查评估,并在此基础上,对重点风险点及时开展专项风险审计,尤其是对内部控制制度评价中发现的重大失控点,应予以高度的重视,采取有效措施堵塞漏洞,减少或者消除风险点和内控失控点。风险管理审计还应当制度化,风险管理审计是强化内部控制的重要手段,企业决策者或者企业管理层应对风险管理审计的范围、内容、方法及审计结果的利用等做出明确的规定,将其纳入内部控制制度,约束并强制各部门执行,从而达到防范或消除风险的目的。
(五)培养高端审计人才,提高专业审计质量
开展企业风险管理审计,需要培养一批高素质的审计人才。企业风险来自各方面,而且不是孤立存在的,受众多内在因素和外在因素的影响,这就对审计人员提出了更高的素质要求,要求审计人员不仅仅是一个合格的管理者,还要是一名优秀的审计人员。审计人员既要掌握了解企业内部的经营管理运作状况,又要熟悉企业外部环境的变迁、国家政策法规的出台、市场经济的趋势、行业的特点和技术的发展等。企业可以选拔优秀审计人才进修学习现代风险管理审计技术,对现有的风险管理审计人员进行定期培训。让他们不断更新专业知识。提高他们的专业水平,也可引进复合型人才充实企业内部审计队伍。丰富的专业知识和技能、高度的责任心和良好的职业道德、敏锐细致的观察能力、较强的组织分析能力等是现代企业内部审计人员的必备要件。
综上所述,随着竞争的全球化和经营的战略化,风险管理审计已上升到企业发展的战略高度,成为现代企业内部审计的首要任务。风险管理审计将对企业的健康持续发展起到至关重要的作用。
参考文献:
1.段琳.内部审计:风险管理的抓手.中国石油企业,2007(12)
2.刘莉.企业内部审计风险分析与规避对策商业会计,2008(12)
3.赵菁.降低内部审计风险的途径西安建筑科技大学学报,2008(02)
摘要:2004年9月,COSO委员会正式颁布了新的COSO报告:《企业风险管理——整合框架》。在对此报告进行研究的基础上,探讨了两方面的问题,一是企业风险管理与内部控制的融合,二是內部审计与风险管理。通过比较认为,首先,企业风险管理与內部控制同样是一个程序,处于不断的调整和变化之中.两者只有相互融合,才能实现最佳效果;其次,对企业风险管理进行监督和评价是现代内部审计发展的结果。內部控制向风险管理领域扩展,对內部审计的发展产生了深远影响,集中体现在风险基础内部审计的产生。
关键词:企业风险管理;內部控制;內部审计
一、企业风险管理框架的提出
2004年,美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO这样定义企业风险管理,企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用.旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。
1.内部环境(InternalEnvironment)。企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
2.目标设定(ObjectiveSetting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。
3.事件辨别(EventIdentification)。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。这一步要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。
4.风险评估(RiskAssessment)。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
5.风险反应(RiskResponse)。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
6.控制活动(ControlActivities)。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。
7.信息和交流(InformationandCommunication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息;平行式是部门之间的信息交流和传递;自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与管理层进行交流,管理当局应当重视员工的意见。
8.监督(Monitor)。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的合适人选。
二、企业风险管理与内部控制的融合
自1992年美国COSO委员会提出《内部控制框架》报告(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上,结合《SOX法案》在报告方面的要求,进行扩展研究得到的。通过比较,我们可以发现,企业风险管理的定义采用了1992年内部控制框架定义的模式,认为企业风险管理与内部控制同样是一个程序,它不是静态的,而是处于不断的调整和变化之中,以适应组织环境的变化。
企业风险管理除包括内部控制的三个目标之外,还增加了战略目标,并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营的效率和效果、财务报告的可靠性和现行法规的遵循。企业风险管理框架也包含三个类似的目标,但是比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
另外,企业风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件辨别和风险反应三个要素,由于对象不同,风险管理更加针对组织面临的“风险”,增加这三个要素,拓展了概念的深度和广度。因此,风险管理框架建立在内部控制框架的基础上,内部控制框架则是企业风险管理必不可少的一部分。
内部控制与风险管理的融合很早就引发了人们的关注,经过长期的争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最佳效果。COSO企业风险管理概念的提出,将风险管理与内部控制的融合大大地向前推动了一步,这种融合必将极大地推进内部控制和内部审计的发展。
三、风险管理对内部审计的影响
内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同,尚未形成统一的最佳做法,国际内部审计师协会目前还没有标准的风险基础审计定义,IIA的职业问题委员会认为,风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改进,审计业务的范围和优先次序应由组织所面临的风险所决定。
风险基础内部审计的特征可以总结为以下几点:
第一,风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司针对风险管理功能,设立一个分部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理的一个组成部分,整个审计工作根植于以未来为导向的风险分析。
第二,内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效”虽然仍被关注,但已不是关键。
第三,内部审计的反应方式不再是反应式的、事后的、不连续的监控,从以交易为基础转变为以过程为基础,对组织战略计划的创新也由观察者转变为参与者。
(一)企业风险管理框架
美国反虚假财务报告委员会管理组织fcOSO)针对企业界频繁发生的高层管理人员舞弊现象,颁布了全新的COSO报告,即《企业风险管理――整合框架》(Enterprls-eRiskManagement-Integrated Framework,简称ERMl。这个框架是在原《内部控制――整体框架》的基础上,结合《萨班斯一奥克斯利法案》(Sarbanes-Oxley Act)的相关要求展开研究得到的。根据ERM框架,“全面风险管理是一个过程,这个过程受董事会、管理层和其他人员的影响,这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标”。ERM框架有三个维度:第一维是企业的目标,包括战略、经营、报告和合规性目标;第二维是全面风险管理要素,包括内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息和沟通、监控等要素;第三维是企业内部各个层次,包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是:全面风险管理的各要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从上述方面进行风险管理。企业风险管理是一个过程,企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效,是基于对风险管理要素设计和执行是否正确的评估基础上的主观判断。企业的风险管理要有效,其设计必须包括所有的要素并得到执行。
(二)我国企业风险管理规范
近年来我国有关部门和很多企业也逐步认识到风险管理对企业经营的重要性,为了指导企业开展全面风险管理工作,进一步提高企业管理水平,增强企业竞争力,促进企业稳步发展,国务院国有资产监督管理委员会2006年6月了《中央企业全面风险管理指引》。该指引指出,全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。财政部、证监会等部门也于2008年5月了《企业内部控制基本规范》。该规范指出,企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况及时进行风险评估。企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。
(三)企业风险分析
风险产生于不确定性因素的存在,企业运行环境的不确定性带来了企业运行结果的不确定性。企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:(1)企业的战略风险,是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。(2)企业日常经营管理风险,是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。(3)财务风险。包括筹资风险、资金投放的风险及企业其他财务活动风险。
二、企业风险管理审计的作用
对企业风险管理进行监督和评价是现代内部审计发展的结果,风险管理审计是内部审计的主要职责,分析、确认、揭示关键性的经营风险,才是内部审计的焦点。随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。企业进行风险管理审计可以起到以下几方面的作用:
一是全面识别企业风险,风险在企业内部具有感染性、铸递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承扭,而是会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计具有相对的独立性,受单位主要负责人的直接领导,这就使其可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
二是调控和指导企业的风险策略内部审计部门处于企业量事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,可以调控和指导企业的风险管理策略。
三是内部审计部门的建议更易引起企业领导的重视一些企业尽管设立了风险管理部门,但不具有独立性,其意见往往会屈服于管理层的压力,这使得风险管理部门的作用受到一定程度的限制。而内部审计部门独立于其他管理部门,其风险评估的意见可以直接向董事会汇报,这样可以加强管理层对内部审计部门意见的重视程度。
三、企业风险管理审计的内容
企业运营状况审查。确定风险是否像所预计的一样,能减轻至可接受的程度以及在可控的范围内,并确定审核程序可以有效且低成本运作。监督和评价一个部门内的业务流程是否存在风险,或者一个流程能够同时对诸多部门同时进行管理。
企业信息系统风险审查。内部审计人员参与系统开发及方案制订,尤其关注流程的改进、数据传递、系统的执行计划及测试计划。对应用系统执行前及执行后的状况进行评估。对信息安全问题进行评估。
遵从国家法规政策审查。对企业的各项经营活动进行全面分析和评估。通过评估并纠正程序,确保遵守国家相关法律及政策。
风险管理流程控制审查。为实现企业经营目标,评估现行流程,保证其对可能事件与可能情况能进行有效识别、评估、管理和控制。协助风险管理机构落实有关措施。
风险应对措施适当性和有效性审查。内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;采取的风险应对措施是否适合本组织的经营、管理特点;成本效益的考核与衡量等。
关键词:企业风险管理;內部控制;內部审计
一、企业风险管理框架的提出
2004年,美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO这样定义企业风险管理,企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用.旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。
1.内部环境(InternalEnvironment)。企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
2.目标设定(ObjectiveSetting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。
3.事件辨别(EventIdentification)。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。这一步要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。
4.风险评估(RiskAssessment)。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
5.风险反应(RiskResponse)。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
6.控制活动(ControlActivities)。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。
7.信息和交流(InformationandCommunication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息;平行式是部门之间的信息交流和传递;自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与管理层进行交流,管理当局应当重视员工的意见。
8.监督(Monitor)。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的合适人选。
二、企业风险管理与内部控制的融合
自1992年美国COSO委员会提出《内部控制框架》报告(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上,结合《SOX法案》在报告方面的要求,进行扩展研究得到的。通过比较,我们可以发现,企业风险管理的定义采用了1992年内部控制框架定义的模式,认为企业风险管理与内部控制同样是一个程序,它不是静态的,而是处于不断的调整和变化之中,以适应组织环境的变化。
企业风险管理除包括内部控制的三个目标之外,还增加了战略目标,并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营的效率和效果、财务报告的可靠性和现行法规的遵循。企业风险管理框架也包含三个类似的目标,但是比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
另外,企业风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件辨别和风险反应三个要素,由于对象不同,风险管理更加针对组织面临的“风险”,增加这三个要素,拓展了概念的深度和广度。因此,风险管理框架建立在内部控制框架的基础上,内部控制框架则是企业风险管理必不可少的一部分。
内部控制与风险管理的融合很早就引发了人们的关注,经过长期的争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最佳效果。COSO企业风险管理概念的提出,将风险管理与内部控制的融合大大地向前推动了一步,这种融合必将极大地推进内部控制和内部审计的发展。
三、风险管理对内部审计的影响
内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同,尚未形成统一的最佳做法,国际内部审计师协会目前还没有标准的风险基础审计定义,IIA的职业问题委员会认为,风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改进,审计业务的范围和优先次序应由组织所面临的风险所决定。
风险基础内部审计的特征可以总结为以下几点:
第一,风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司针对风险管理功能,设立一个分部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理的一个组成部分,整个审计工作根植于以未来为导向的风险分析。
第二,内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效”虽然仍被关注,但已不是关键。
第三,内部审计的反应方式不再是反应式的、事后的、不连续的监控,从以交易为基础转变为以过程为基础,对组织战略计划的创新也由观察者转变为参与者。
关键词:内部审计 风险管理 协同效应
随着现代企业规范程度的提高和各个行业监管力度的加强,内部审计、风险管理等工作受到了越来越多的重视,国资委有《中央企业全面风险管理指引》,许多行业都先后了行业风险管理指引,可见监管部门对此的重视。而就世界范围而言,美国《萨班斯――奥克利斯法案》颁布、COSO框架体系建立,也都是对企业内部风险管理的加强。那么,什么是内部审计,什么是风险管理,两者的关系如何, 两者结合的意义有哪些,本文将就这些方面作进一步探讨,并在此基础上研究企业如何发挥两者的协同效应。
■一、内部审计与风险管理的关系
要理顺内部审计与风险管理的关系,首先要清楚内部审计、风险管理的概念。所谓内部审计,国际内部审计师协会(IIA)在《内部审计实务标准》中将内部审计定义为一种独立、客观的保证工作和咨询活动,其目的在于为组织增加价值并提高组织的运作效率,采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善,从而帮助组织实现目标。而企业风险管理是一个由企业的董事会、管理层和员工共同参与,应用于企业战略制定和企业内部各个层次和部门,用于识别可能对企业造成潜在影响的事项,并根据风险偏好管理风险,为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中,是一个过程,是实现结果的一种方式。与传统的项目风险管理相比,企业风险管理强调战略导向,覆盖了组织所有的管理层次和管理领域,方法也更为结构化和规范化。
内部审计、外部审计、董事会以及高层管理人员被称为有效公司治理的四大基石。内部审计师的作用是检查、评估和分析组织的风险,审查公司对法律法规的遵守情况,促进公司在风险管理、治理结构以及内部控制等方面的提高,向董事会、审计委员会以及高层管理人员负责提供保证――风险已被分散、公司治理是有效的、内部控制是健全的。内部审计以企业内部信息使用者为中心,聚焦于控制、风险管理等关键问题,通过帮助组织管理风险和提高管理效率,来增加组织的价值和改善公司的经营。因此,内部审计承担了监督、分析、评价、检察、报告和改进等任务,是企业风险管理不可或缺的组成部分。就世界范围看,风险管理已成为内部审计的主要内容。IIA早就把评价和改善组织的风险作为内部审计的主要内容,其1999年制定的内部审计定义将风险管理和内部控制、公司治理并列作为内部审计的工作对象,2001年修改的《内部审计实务标准》明确要求内部审计参与风险管理和公司治理过程。
■二、内部审计与风险管理结合的意义
国际内部审计师协会多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。
内部审计与风险管理相结合是将风险作为内部审计的对象,打破了原来的内部审计只关心内部控制有效性的局面,在评价内部控制的基础上,对企业所面临的各种风险进行识别和分析。从另一个角度来讲,内部审计更加注重企业的未来,从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定,来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计,侧重对风险管理进行鉴证。
内部审计参与风险管理不仅为内部审计自身提供了发展契机,而且作为企业内的一种独立、客观的保证工作和咨询活动,内部审计是公司治理必要和有价值的组成部分,能够在风险管理中发挥独特的作用,无论是内部审计还是风险管理都能从双方的整合中提高效率,创造价值。
■三、内部审计在风险管理中的角色和地位
国际内部审计师协会在2004年发表的《内部审计在企业风险管理中的角色》意见书中指出:内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此,内部审计在企业风险管理架中首要角色是监督者,包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,对关键风险报告的评估和对关键风险管理的评估。
按国际内部审计师协会的标准,内部审计的服务种类可以分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相关主体服务,其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。总体来讲,处于信息劣势的服务对象希望内部审计为其提供保证服务,处于信息优势的服务对象则更希望内部审计为其提供咨询服务。其中,保证服务是指为了对风险管理。内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验;咨询服务是咨询性的以及与委托人服务相关的活动,其性质和范围是与委托人达成一致意见,目的是增加价值和改进组织的经营。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生的。除了作为监督者所提供的保证服务之外,内部审计还提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动,加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者角色。
内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥更大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化为监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。
■四、企业如何发挥内部审计与风险管理的协同效应
按照审计署颁发的《审计署关于内部审计工作的规定》中的有关规定以及法人治理的有关要求,内部审计要相对独立。因此,通常情况下,内部审计部门独立于公司经营管理层,在业务上直接向董事会下属的审计委员会汇报,但这并不等于内部审计部门与企业的风险管理相脱节,事实上,如果内部审计能够充分利用风险管理的相关信息,最大限度发挥与企业内部风险管理的协同效用,无论是审计计划的制定还是审计范围的确定都将更具有针对性,审计的效果也会更好。那么,如何充分发挥内部审计与风险管理的协同效应呢?
1、以企业整体的战略目标为基础,进行风险分类,合理分配审计资源
企业在不同时期,其战略目标是不同的,风险分布、风险偏好以及风险应对策略都相应有所差异,保险企业亦如此。作为内审部门参与风险管理,应以公司整体的战略目标为基础,分析公司当前的风险分布,了解公司当前的风险应对策略和风险承受能力,并对这些风险进行分类,有针对性地制定审计计划,分配审计资源。同时,作为一个全国性的保险公司的内部审计部门,在参与风险管理的时候,要清楚不同层级机构风险分布是不同的,在总公司层面,主要是决策风险,在分公司层面,主要是控制风险,在中心支公司及以下机构,主要是经营风险。
2、充分获取风险管理部门的意见,按风险管理的要求开展内部审计
风险管理部门是风险管理的专业部门,其对于公司风险分布的了解最全面、最准确,内审部门应主动与风险管理部门沟通,了解目前公司风险管理的基本情况,以及其对于目前公司风险的看法和意见,并要求其对待定的审计项目提出有针对性的建议。同时,由于目前大部分公司风险管理都还比较薄弱,无论是人员配备、人员的专业能力,还是公司的重视程度都还不够,风险管理部门也要依赖内审部门通过现场审计来验证、评价其风险评估、风险分析的合理性、有效性。因此,对于风险管理部门提出的审计要求,内审部门在条件允许的情况下,应及时予以合理安排。
3、与风险管理部门进行信息共享
毫无疑问,内部审计部门与风险管理部门是掌握公司风险信息最全面、最准确的两个部门,但掌握的情况却又有所区别。风险管理部门是在既定的风险承受能力和风险应对策略的基础上,注重对风险整体情况的识别、评价和分析,并对出现的重大风险提出可行的解决方案。因此,无论是其风险评级报告还是其风险分析报告,着眼点都是一个组织单位(全系统、分公司、甚至中心支公司)整体风险是否在合理、可控的范围内。而内审部门是通过必要的审计程序、有针对性的审计方法对公司经营过程的记录、结果等进行验证、核对、测试,以了解其合规性、合理性和发现其是否存在风险,因此,内审部门对于风险的了解更具体、更有说服力。因此,如果内审部门能与风险管理部门进行信息共享,实现整体与具体的结合,则对于提高风险管理的水平和风险信息的有效性都具有重要意义。
4、利用自身优势,实现内部审计与风险管理的有机整合
【摘要】文章从内部控制与风险管理之间的内在关系入手,探讨了内部审计与风险管理中的互动关系和目标上的一致性。指出内部审计在企业风险管理中的角色是监督者,并提供保证和咨询服务。
【关键词】内部审计;风险管理;角色定位
自20世纪90年代起,西方许多大型企业内部审计部门开始对企业的风险管理进行评估与监督,以实现企业经营目标的安全性、效率性和效果性。纵观近十几年的发展历程可发现,两者之间互相融合,存在着密不可分的关系。
一、二者互动交融关系形成的现实背景
当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。
随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。
二、内部审计与风险管理的互动关系
(一)内部审计定义中包含有风险管理的内容
内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。
风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。
(二)风险管理赋予了内部审计在企业中新的地位和作用
为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。
三、内部审计与风险管理目标上的一致性
风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。21写作秘书网
而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。
上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。
四、内部审计在风险管理中的角色定位
COSO在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。
IIA2001年颁布的内部审计实务准则,其实务公告——“内部审计在风险管理中的作用”指出,风险管理是管理人员的关键职责,内部审计人员应该通过检查、评价、报告风险管理过程的充分性和有效性并提出改进建议来协助管理人员和审计委员会的工作。管理层和委员会负责机构的风险管理和控制过程,以咨询顾问身份开展工作的内部审计人员可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
在充分考虑内部审计的独立性与客观性的基础上,结合相关法规、报告的观点,可以看出:对整个组织的可持续发展能力,对所有者、利益相关人、监管机构和普通公众负责的是企业管理层,内部审计人员应立足于协助、帮助管理层和审计委员会履行风险管理的职责,主要职责是对整个风险管理过程进行评价,认定并评价管理的充分性与有效性,向管理层和审计委员会报告情况并提出改进管理的建议,以此保证风险管理的有效性。因此,内部审计在企业风险管理框架中首要的角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者的角色。
【参考文献】
[1]刘德运.内部审计原理与技术[M].北京:中国经济出版社,2006(6):25.
关键词:内部审计 风险管理 内部审计职能
随着经济全球化及国际化程度的加深,企业经营环境日趋复杂,经营风险大为增加。企业、行业之间的竞争日益加剧,如何防范风险,加强风险管理,已成为企业经营者面临的重要课题,建立和完善风险管理体系已成为企业生存发展的重要而紧迫的任务。作为企业董事会及其审计委员会和最高管理层控制手段的内部审计,在企业管理尤其是风险管理、内部控制以及公司治理、组织运营中的地位与作用日趋突出,成为关系企业成败兴衰的重要因素。内部审计具有相对独立性,其更能从企业全局角度,清醒识别与评估风险;与外部审计相比,内部审计更能从企业利益与实际出发,积极主动地提出防范风险的有效建议。本文在总结内部审计理论和全面风险管理理论的基础上,对内部审计如何在企业全面风险管理中发挥认定、评价、指引职能进行探讨。
一、内部审计与企业风险管理评述
(一)内部审计职能内部审计是组织内部的一种独立客观的监督和评价活动,通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。内部审计具有认定、评价和指引三项职能。认定职能表现在企业内部审计人对受托人履行受托管理责任的过程或结果进行核实,并予以认定,认定职能是一切审计结论和审计意见、审计建议的基础与前提。评价职能表现在审计人对受托人履行受托管理责任的行为和结果的评价,具体来讲是对受托人某些方面管理活动的过程、结果与既定目标、决策等一系列标准的符合性进行评价;指引职能是当代企业内部审计的重要职能,其表现在审计人员针对管理层涉及企业局部甚至整体的显现与潜在的管理负偏差,提出纠正和预防等改进管理的建议。
(二)企业风险管理框架2004年美国反虚假财务报告委员会管理组织(COSO)针对企业界频繁发生的高层管理人员舞弊现象,颁布了全新的COSO报告,即《企业风险管理――整合框架》(EnterpriseRiskManagement-Integrated Framework,简称ERM)。这个框架是在原《内部控制――整体框架》的基础上,结合《萨班斯一奥克斯利法案》(Sarbanes-Oxley Act)的相关要求展开研究得到的。根据ERM框架,“全面风险管理是一个过程,这个过程受董事会、管理层和其他人员的影响,这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标”。ERM框架有三个维度:第一维是企业的目标,包括战略、经营、报告和合规性目标;第二维是全面风险管理要素,包括内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息和沟通、监控等要素;第三维是企业内部各个层次,包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是:全面风险管理的各要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从上述方面进行风险管理。企业风险管理是一个过程,企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效,是基于对风险管理要素设计和执行是否正确的评估基础上的主观判断。企业的风险管理要有效,其设计必须包括所有的要素并得到执行。
(三)我国企业风险管理的规范近年来我国有关部门和很多企业也逐步认识到风险管理对企业经营的重要性,为了指导企业开展全面风险管理工作,进一步提高企业管理水平,增强企业竞争力,促进企业稳步发展,国务院国有资产监督管理委员会2006年6月了《中央企业全面风险管理指引》。该指引指出,全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。财政部、证监会等部门也于2008年5月了《企业内部控制基本规范》。该规范指出,企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况及时进行风险评估。企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。上述指引和规范的将会促进我国企业实施全面风险管理,使管理层能够有效地应对不确定性以及由此带来的风险和机会,增强企业创造价值能力。
二、内部审计在企业风险管理中的作用分析
(一)客观全面的识别风险风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计具有相对的独立性,受单位主要负责人的直接领导,这就使其可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
(二)调控和指导企业的风险策略内部审计部门处于企业董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,可以调控和指导企业的风险管理策略。
(三)内部审计部门的建议更易引起企业领导的重视一些企业尽管设立了风险管理部门,但不具有独立性,其意见往往会屈服于管理层的压力,这使得风险管理部门的作用受到一定程度的限制。而内部审计部门独立于其他管理部门,其风险评估的意见可以直接向董事会汇报,这样可以加强管理层对内部审计部门意见的重视程度。
由此可见,内部审计在企业中发挥着重要作用,其更了解企业面临的风险因素,具有丰富的管理经验,有利于将内部审计的资源和成果与企业风险控制相结合,并减少企业内部机构的重复设置,参与企业风险管理已成为内部审计人员义不容辞的责任。
三、基于内部审计的企业风险管理
(一)改善风险管理的内部审计工作程序内部审计应以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。具体来说,内部审计能够利用以下工作程序改善企业风险管理:一是检查与评价。内部审计可以对企业风险管理体系的充分性和有效性进行评估,主要包括:评价企业战略目标的制定是否在分析组织及行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业自身风险偏好来制订;与相关管理层讨论部门目标,评估分解到各部门的具体目标是否与企业整体战略目标一致并拥有足够的支
持;评价管理层对风险的识别与评估是否适当;分析风险控制措施是否足以使风险失控的可能性和影响在企业风险容忍度之内;评估风险监控程序是否得到持续、有效执行,监控报告及风险管理报告是否充分、及时。二是管理与协调。内部审计经过长期发展已成为一种专门职业。在企业组织架构中,内部审计具有相对独立性,能够以客观开放的视角清醒地识别和评价风险,并提出防范风险的有效建议;内部审计凭借对企业全面深入的了解以及能够影响决策层的特殊地位,积极参与企业风险体系建设,对风险控制各要素进行组织、管理和协调,推动各个部门乃至整个企业不断提高风险管理的效率和效果。三是顾问与咨询。内部审计人员以咨询顾问身份协助企业确定、评价并实施针对风险进行管理的方法和控制措施:内部审计对组织的了解以及对风险的洞察,具备他人无法企及的优势,能够以建议或咨询的形式,积极协助企业建设风险管理体系或使风险管理体系的建立成为可能;内部审计在改善企业风险管理流程的效果和效率方面,能够集合企业内外资源,高效地协助管理层或审计委员会进行检查、评价并提出建议;内部审计能够运用专业知识进行风险评估与控制培训,使风险意识贯穿于企业各层面,逐步形成全员、全过程、全方位、全天候的风险管理;内部审计所处地位有助其对企业整体风险进行深入研究,并利用现代技术开发适合本企业的风险识别、评估工具和控制方法。四是报告与防范。内部审计能够在风险控制和改进组织风险管理成效方面发挥关键作用。内部审计通过适时与相关部门就风险管理事项进行沟通,检查、评价并报告风险管理过程的充分性和有效性,并按清晰传递的线路对发现的重大风险进行报告,对整改情况进行后续审计,使风险及时得到有效控制和防范。此外,内部审计在运用技术手段评估风险控制程序的充分性和有效性的同时,能够利用自身优势推动风险管理意识成为企业文化的一部分,从而为企业风险防范构筑意识形态上的屏障。
(二)改善风险管理的内部审计评价报告风险管理效果评价是分析、比较已实施的风险管理方法的结果与预期目标的偏离程度,以此来评判风险管理方案的科学性、适应性和收益性。由于风险性质的可变性、人们对风险认识的阶段性以及风险管理技术处于不断完善之中,因此,需要对风险的识别、估测、评价及管理方法进行定期检查、修正,以保证风险管理方法适应变化了的新情况。所以,可将风险管理视为一个周而复始的管理过程。风险管理效益的大小取决于是否能以最小风险成本取得最大安全保障,同时还要考虑与整体管理目标是否一致以及具体实施的可能性、可操作性和有效性。企业内部审计机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告。内部审计可以通过对以下方面的实施情况和存在缺陷进行评价并提出改善风险管理的评价报告:风险管理基本流程与风险管理策略;企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设;风险管理组织体系与信息系统;全面风险管理总体目标。
(三)改善风险管理的内部审计方法与手段由于风险管理涉及企业各个部门和各个环节,仅靠董事会及有关委员会、最高管理层和风险管理、内部审计等职能部门,难以实现对整个企业面临的所有风险进行有效管理,因而还必须组织企业内部各级管理层及每个员工协同进行。在此过程中,内部审计人员通过向有关方面反映风险管理的有效做法和负偏差,提出纠正与预防负偏差、激励与推动优良行为等改进风险管理的建议,可以对有关方面开展风险管理起到一定指引作用。内部审计可以采用以下方法改善风险管理:一是进行风险预测和识别。风险的预测和识别是指对企业所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程,以确定企业正在或将要面临哪些风险。内部审计要对企业所面临的主要风险进行预测和识别,并找出未被识别的风险。采用的方法包括决策分析、可行性分析、因果分析和专家调查法等。二是对已经存在和将要发生的风险进行评估。企业的内部审计人员应用各种管理科学技术,采用定性和定量分析相结合的方式,预测风险的大小,找出主要的风险源,合理的评价风险可能产生的影响,以此为依据提出对风险采取的相应对策。常用的风险评估方法主要有:调查和专家打分法、风险报酬法及解析方法等。三是提出改进和防范风险的措施。风险的防范措施是指企业为降低已识别出的风险可能造成的损失所采取的措施。内部审计可以根据不同的情况,提出避免风险、接受风险、还是降低风险的具体措施和建议,以强化企业的风险管理,降低风险损失,并对有关部门所采取的风险防范措施进行监督和检查。采用改进和防范的措施主要有:避免风险、损失控制、分离风险单位、转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)和投保等。四是压力测试。压力测试是指在极端情形下,分析评估风险管理模型或内部控制流程的有效性,发现问题,并制定改进措施的方法,目的是防止出现重大损失事件。其具体操作步骤如下:针对某一风险管理模型或内部控制流程,假设可能会发生哪些极端情形。极端情形是指在非正常情况下,发生概率很小,且一旦发生,后果十分严重的事件。假设极端情形时,不仅要考虑本企业或与本企业类似的其他企业出现过的历史教训,还要考虑历史上不曾出现,但将来可能会出现的事件;评估极端情形发生时,该风险管理模型或内部控制流程是否有效,并分析对目标可能造成的损失;制定相应措施,进一步修改和完善风险管理模型或内部控制流程。内部审计还可以通过与外部咨询机构合作以补充内部审计技能的不足;为了对企业所面临的各种风险作出反映,优化内部审计人员组合,吸收市场专家、计算机专家、管理顾问、工程师等多种专业人才加入内部审计队伍;通过网络沟通信息、调阅资料;内部审计人员与各经营单位的负责人建立一对一的合作伙伴关系;内部审计部门为下属经营单位指派“教练”,由经营单位负起全面的风险管理责任,而内部审计部门则扮演平等的顾问角色,其作用主要在于指导和影响;内部审计与风险管理部门合署办公,以促进企业风险管理的不断改进;内部审计人员事前积极参与重大决策的风险评估过程,以便在业务开展前识别风险并提出解决方案。
四、企业风险管理中内部审计的对策
(一)健全和完善内部审计制度要强化对企业全面风险管理的有效性审计,必须建立健全完善的内部审计组织体系,设置独立的内部审计部门,并根据国家有关的法律法规、中国内部审计协会颁布的内部审计准则和企业发展现状,制定内部审计规范和制度。内部审计人员在企业中应努力取得单位决策层的支持,不断提高自身的业务素质,提高识别风险的能力,以此扩展内部审计工作,使内部审计更具生命力。
(二)充分发挥内部审计机构的再监督职能风险管理是企业经营管理的重要组成部分,对企业风险管理的有效性开展内部审计,是新形势下企业生存与发展的客观需要,也是董事会及其审计委员会和最高管理层的内在要求。如果将“监督评审”职能视为全面风险管理“宝塔”上的最高级部分,那么内部审计工作就应处于全面风险管理宝塔的尖顶部位。所谓“再监督”就是在各经营管理部门和财务部门两道防线之后的第三道防线。内部审计部门的独立性和应有的权威性,加上其组织系统的垂直性,赋予了该部门行使对内部控制进行再监督和再评价的特殊重要职能。这种重要性主要表现在内部审计人员在严密计划和组织下,能够独立按照审计委员会的要求,有选择地对全面风险管理的各个方面行使其检查职能,并能够将检查评价结果直接反映到高级管理层,且有权督促内部审计监察建议的落实。为强化内部审计部门的监督职能,许多上市公司都成立了独立于经营管理活动之外的审计委员会。
[关键词]财务管理专业;保险学教学改革;教学目标
财务管理专业保险学的教学目标是培养具有现代保险意识、能够运用现代保险技术、掌握现代风险管理理念的财务管理人才。财务管理专业保险学教学应当紧密结合财务管理人才对保险知识和能力的要求进行科学设计,但目前保险学的教学单纯考虑自身的内容体系比较重,而与有针对性的教学还存在相当大的差距,因此,高等院校财务管理专业加强保险学教学改革研究非常必要。
一、科学优化教学内容,建立与财务管理专业相匹配的保险学知识体系
财务管理专业保险学课程应当在遵循保险学自身知识结构的基础上,科学优化教学内容,建立与之相匹配的知识体系,充分满足财务管理人才对保险知识的需求。
(一)风险管理是财务管理专业保险学知识体系的基础内容
风险管理是研究风险发生规律和风险控制技术的一门新兴管理科学。保险是风险管理最重要的技术手段,是企业或个人把自身的风险以交纳保险费为代价。将风险转嫁给保险人承担,当发生保险风险损失时,保险人按照合同约定进行经济补偿。保险虽然仅仅作为整个风险管理过程中财务管理手段之一,却表现出极大的社会保障功能,得到广泛应用。
风险管理是财务管理专业保险学研究的重要基础内容。企业风险管理整合框架下非投机风险的发生发展规律、类型、本质特征、成本的形成和度量、风险管理理论、风险管理的基本程序和方法、风险管理与保险的关系等都应当作为教学的重点,使学生深入理僻风险管理的内涵,充分认识通过保险转移企业风险的重要意义。
(二)保险基础理论是财务管理专业保险学知识体系的核心内容
科学的理论是人们认识和指导实践的重要基础。在财务管理专业保险学知识体系中,加强保险基础理论的内容设计,对学生科学指导企业风险防范,提高风险管理中保险的综合运用能力和理论分析水平产生重要的影响。
保险理论随着保险实践的不断深入而逐步形成并得到快速发展,对经济产生了巨大的推进作用。作为财务管理专业学生必须掌握保险经济学原理、保险功能理论、风险防范理论,掌握保险合同的法律规范要求,掌握保险运行的基本原则、应用范围及法律后果。达到能够运用保险理论与技术指导企业的风险管理行为。解决企业在保险合同订立、履行过程中发生的一系列复杂的业务及法律问题,保护企业的合法权益。保险基础理论是财务管理专业保险学课程的核心内容。
(三)商业保险是财务管理专业保险学知识体系的主干内容
商业保险作为风险管理的重要平台,对保持经济繁荣与健康发展、企业灾后重建、维持企业持续经营、保障员工福利等方面发挥着无可替代的作用。
企业在生产经营中,所面临的财产风险、责任风险、信用风险等已经成为束缚企业发展的重要因素。企业通过制定保险计划,购买各类企业财产保险产品,实现对风险的有效管理。可以通过制定企业年金计划,为员工的生命、健康、意外伤害提供更高层次的人身保障,增强企业的凝聚力,促进优质人力资源的稳定。因此,商业保险是财务管理专业保险学课程的重点和主干。
通过商业保险知识的学习使学生比较系统地了解和掌握各类商业保险的产品特点,能够根据企业生产与财务状况,在企业风险评估基础上科学制定保险计划。选择优质的保险产品和保险公司,提高企业风险管理和财务管理水平。
(四)社会保险是财务管理专业保险学知识体系的重要内容
在企业运行中,存在着员工退休养老、医疗费开支、劳动力流动而产生的失业等风险,这些风险只能通过社会保险来解决。社会保险制度是建立现代企业制度的需要,可以改变劳动力对企业的依附关系,使企业在市场竞争中地位平等。
社会保险与商业保险同属于社会保障范畴,具有相同的业务和数理技术基础,都是社会安全机制的重要组成部分。通过学习使学生了解社会保险对企业发展的积极影响。明确企业员工所享有的社会保险的权利和应尽的法律义务,企业应该如何遵守社会保险的法律规范,保证员工社会福利待遇的实现。社会保险是财务管理专业保险学知识体系的重要内容。
(五)保险企业经营与监管是财务管理专业保险学知识体系不可缺少的内容
保险经营具有负债性,保险产品是无形产品。财务管理人员在实施企业风险保险转移、制定员工福利计划时,必须了解保险企业的经营状况,了解保险企业台前幕后的各项业务及程序,了解国家如何对保险企业进行监督与管理。只有这样,才能保证企业通过保险途径管理风险的效果。提高运用保险手段管理风险的水平。所以,保险企业经营与监管是财务管理专业保险学知识体系不可缺少的内容。
二、积极强化能力培养,提高财务管理专业保险学的教学效果
掌握和运用保险知识。分析与解决财务管理中出现的风险管理问题,提高财务管理的综合能力,是财务管理专业保险学课程始终如一的教学目标,因此,能力培养在保险学教学中非常重要。
(一)通过保险案例教学强化能力培养
财务管理专业保险学教学应该以案例教学为先导,综合运用保险、法律及财务管理专业知识,正确处理企业风险管理中出现的各种保险问题。例如。美国“9.11”恐怖风险与保险分析、达姆达轮火灾案、大连国际合作集团公司索赔案等。这些案例具有一定的代表性,涉及的法律问题比较复杂,通过解析让学生明晰法律规范,提高对保险知识的理解,加强专业知识的深化。提高分析与解决问题的能力,面对企业风险管理中错综复杂的保险法律案件能够找到解决的途径与方法。
案例教学能够极大地激发学生的参与意识。对于提高学生的理解能力、思维能力和表达能力具有良好的效果。财务管理专业保险学案例教学要强调案例的真实性、典型性,启发学生从不同角度提出解决方案。找到理论依据。
(二)通过社会调查强化能力培养
社会调查是将社会关注的某一具体问题,通过让学生直接进入社会调查研究得出结论的教学方法。学生在收集信息、设计方案、实施方案、完成任务中学习和掌握知识,使能力得到提高。
财务管理专业保险学课程主要是为了处理企业静态财务风险,加强企业风险管理。提高保险意识而设置。在确定社会调查项目时,要紧密结合企业风险管理的实际情况,针对学生的兴趣及程度进行选择。例如。在风险管理、财产保险、团体人身保险、社会保险等教学中,可以确立一些社会调查项目,学生根据自己的兴趣选择其中的一项或几项,如某企业保险情况调查、某企业保险方案策划、某企业员工福利策划等。在调查中深入企业,对有效资料进行科学分析,写出调查报告。根据学生的表现、调查报告的质量给出考核评价。
(三)通过实践教学强化能力培养
实践教学的核心是学生根据所学的理论和方法进行具体操作,发现问题与解决问题。通过实践教学,达到学以致用的同化,巩固所掌握的知识,提高能力的转化率。
在企业财产保险、责任保险、工程保险等实务教学中,实践教学将收到显着的教学效果。首先。设定一个目标企业,学生可以到企业了解生产及财务状况、风险管理情况,排查企业风险隐患,制定企业风险防范与保险计划,企业办理投保事项。其次,模拟企业发生保险事故,学生代表企业向保险公司申请索赔,参加损失鉴定,理算保险赔款。再次,选择企业保险实务诉讼案例,建立模拟保险法庭,模拟代表企业参加法律诉讼。要充分利用校内外实习资源,采用模拟实训和现场实习相结合、辅以比赛等多种教学形式。使学生能够将所学的保险学知识运用到企业风险管理之中,达到强化能力培养的目的。
(四)改革考核评价方法强化能力培养
为了保证财务管理专业保险学课程的教学质量必须设计与保险学教学目标相匹配的、信度和效度较高的、易于操作的考核评价方法。
财务管理专业对学生的能力水平要求较高,保险学课程的教学考核评价要紧紧抓住能力培养这个关键要素。可以采用多种形式,如在一定笔试基础考核外,增加企业保险案例分析、企业保险调查报告、企业投保索赔业务技能模拟操作等能力考核项目,加大平时成绩比例。变一次性、终结性考试为全过程考核,减少学习的功利性,有效完成财务管理专业保险学课程的教学目标。
三、高度重视教学研究,提高财务管理专业保险学的教学水平
财务管理专业保险学课程应该高度重视教学研究。充分考虑财务管理专业人才的知识结构和能力需要,全面提高教学质量。
(一)注重综合性教学研究
财务管理专业的课程体系比较宽泛,学生的知识面广、发散性思维强。在保险学教学研究中,应当积极探索如何发挥学生的知识储备优势,注重经济学、金融学、管理学、法学、自然科学等多学科的融合。
例如,在解释保险概念时,可以从经济学、法学、管理学的不同角度进行阐述,从保险的自然属性和社会属性的表现特征。揭示保险经济现象内在的规律性与矛盾的特殊性及与其他经济现象的普遍联系。在介绍损失补偿原则时,可以锁定某个目标企业,从风险管理、财务管理、法律规范等角度去分析损失补偿原则的内涵与财务效果,也可以进行计量和博弈分析等。通过多视角提高学生对教学内容的理解力。
关键词:金融企业;风险管理
一、金融企业风险特征
1.造成损失的原因不同。自然灾害或者是认为因素导致的伤害就是可保风险导致金融风险的就是经济性的原因造成的,主要就是金融市场的基本要素的价格引起的变动,比如,汇率、利率、证券价格都会有一定的影响存在,风险是“正”或者“负”的结果都是由可能的,市场金融行情发生了对自己没有好处的变动,就是“负”,相反而言,对自己会产生不好的影响就是“正”,其会使风险偏好者得以获利。
2.规避风险的途径不同。一般选用企业投保和保险公司承保的方式进行的就是可保风险,可保风险也是发达的保险市场所要经历的;利用复杂多样、本身充满投机和风险的衍生金融工具通过套期保值的市场交易方式,就是金融风险的规避。但是,有很少一部分的险种已经发展到可以在这样两种市场中兼顾,能以衍生金融工具对可保风险进行管理,从而实现了风险管理的跨市。
二、金融企业风险管理缺陷
我国金融企业在风险管理方面还存在很多不足,此次全球性金融危机,迫使我国金融企业必须重新审视自己的风险管理。总体而言,目前我国金融企业在风险管理方面还存在以下缺陷:
1.在完善市场风险管理体系在缺乏全面风险管理体系国内金融企业中已经有了很多年的摸索,但是现在对于全面有效的风险管理体系和框架还是没有建立起来,有不同的部门同时做风险管理工作,以风险的单一性控制为主,没有对所有的风险进行覆盖。在现状我们呢个了解到,董事会、风险管理委员会、资产负债管理委员会等等风险管理决策系统,金融企业基本上都已经建立起来,基本上以稽核委员会为主,风险管理的实施部门以授信部门和风险资产管理部门为主,这就是风险管理的监督系统。
2.风险战略目标不够明确。当前,我国对于金融企业风险的战略还不是太明确,和业务战略结合也不是很紧密,组合管理的起步也比较晚。现在又很大一部分大中型的中资银行都对本行的战略做出了很明确的长景,但是对于现在正在经历的战略风险的认识还是不够充分,对于规划也不是很清晰。业务风险的管理往往是金融企业最注重的,但是对于长期战略风险的管理却忽视了,这样的行为会使金融企业的在风险管理中也往往不能够有预见性,也不能做到防患于未然。
3.风险管理技术比较陈旧。现在我国在对于经济资本的计量和分配还是处于金融企业的探索阶段,还需要对现有的计量手段、会计和信息系统进行改进。很长时间以来,针对于风险管理的方面我国金融业较为重视其定性分析,比如在信用风险管理中,对贷款投向的政策性、合法性、贷款运行的安全性等方面较为重视,在对风险管理的强化之中这些分析的方法都是不可或缺的。但是,和国外风险管理的方法相比较,还是缺少风险管理量化分析手段,在风险识别、度量等方面还很不精确。
三、金融企业风险管理体系构建
依据金融企业在风险管理上的不足之处,对于现行的企业内部控制制度的出台金融企业应该要抓住其机遇,在对企业内部控制构建的同时,要对资本运营风险防范体系和财务分析制度进行完善,对于风险管理要建立并且要全面的实施,要对各类风险的防范要进行切实的加强。可以从以下两个方面具体进行实施:
1.健全内部控制制度具体包括:一是对内部风险评估和检测制度的建立,提供了对内部控制的建立和完善的支持。在对业务的开展之前,对于每一笔贷款、拆借、投资、外汇交易以及涉及不同的业务范围的交易对象、部门、行业、地区和国家,都应该对风险指标或比率要首先进行测定,为业务部门提交作为决策参考。要对风险状况在业务发生以后进行跟踪监测。二是要对内部审监督进行强化,对内部控制机制进行建立。内部审计制度在银行内部控制中起着很重要的作用,支撑银行内部控制作用的发挥,前提和保证就是内部审计制度,所以要强化内部控制制度是很有必要的。要对组织体制上的独立性的建立,要在审计工作开展上具有权威性,就要通过改革来进行,是总行一级法人并且对其负责的审计监督体制是直接隶属的。与此同时,要在很短的时间内,建立起一支政治素质高、业务能力强的干部队伍,对业务人员要配备充足,以便对内部审计工作不断发展和加强的需要有所适应。
2.在对风险管理体系的构建中,要进行全面的监测、跟踪很多分散的、动态的信息组合起来进行,全面风险管理体系的一项重要功能就是向金融企业提供决策依据。有严格的岗位分工和明确的工作职责,以达到内控所需要的双重控制和交叉检查效果。把风险防范作为内部稽核工作的主要目标,实行风险评级制度,逐步提高内部稽核工作的层次和效率。
关键词:风险管理;内部控制;机制
中图分类号:F23
文献标识码:A
文章编号:1672-3198(2010)04-0167-02
1 风险管理的演进历史及现状
风险管理是采取一定的措施对风险进行检测评估, 使风险降低到可以接受的程度, 并将其控制在某一可以接受的水平上。从职能上说, 风险管理就是在对风险进行观察、评估的基础上控制风险可能造成的损失, 保证组织目标的实现。对风险管理的定义可以理解为: 一是风险管理是一个系统过程, 包括风险的识别、衡量和控制等环节; 二是风险管理的目标在于控制和减少损失, 提高有关单位或个人的经济利益或社会效果; 三是风险管理是一种管理方法。
风险管理作为企业的一项管理活动,产生于 20 世纪 50 年代的美国, 当时美国一些大公司发生的重大损失使公司的高层决策者开始认识到风险管理的重要性。在那时, 风险管理是企业管理的一个重要组成部分, 主要涉及的是对企业纯粹风险的管理。这一特征是和那时企业经营环境相对简单, 因而纯粹风险给企业经营带来的影响最为严重以及通过保险手段可以对纯粹风险进行有效管理是密切相关的。
20世纪80年代后, 企业的经营环境开始发生了巨大变化, 以价格风险、利率风险、汇率风险等为代表的财务风险开始给企业带来巨大的威胁, 使得企业开始寻求规避财务风险的工具。但企业在这方面的努力仅限于一些孤立的实践活动, 并没有形成完整的理论和方法体系。反而在金融机构中, 由于所经营的金融产品带来的各种风险加剧, 逐步形成了针对金融机构的相对完整而系统的金融风险管理体系, 其针对的对象和内容都与传统风险管理有很大不同。
到 20 世纪末, 随着大型企业特别是巨型跨国公司面临的风险管理日趋多样和复杂, 开始出现了将企业的所有风险, 包括纯粹风险和财务风险综合起来进行管理的需要。这种需求使得在历史上不同时期, 并沿着两条不同轨迹发展起来的传统风险管理和金融财务风险管理终于结合在一起, 形成一个崭新的概念――全面风险管理。
全面风险管理是指企业围绕总体经营目标, 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程, 培育良好的风险管理文化, 建立健全全面风险管理体系, 包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统, 从而为实现风险管理的总体目标提供合理保证的过程和方法。
2 构建我国企业全面风险管理整体框架
2.1 我国全面风险管理现状与发展趋势
目前,我国为数众多的企业中的全面风险管理基本是一种被动式的管理,没有专门的人员或机构进行企业风险管理活动,每个人或部门往往只针对工作中的风险孤立地采取一定对策,缺乏系统性、全局性。
笔者认为,要建立企业全面风险管理体系,首先要树立风险意识,转变观念,提高认识,使企业中每个部门每个员工都理解企业全面风险管理的价值,协调全面风险管理目标和政策,把全面风险管理融入日常的企业管理中,使风险管理成为人们一项日常的管理行为。
随着知识经济发展程度的加深,受其影响,现代企业全面风险管理体系从指导思想到具体制度建设上,出现了以下四个方面的发展趋势:一是由着眼于控制向关注环境转变;二是由回顾历史向着眼于未来转变;三是以零起点的风险预测取代评价;四是由关注经营风险向关注战略风险转变。
企业需要经过一个循序渐进、不断完善的过程,从最初的简单风险管理达到全面风险管理的高阶段。全面风险管理将风险管理视为企业追寻机遇过程中一个合理有序的流程,将商务风险管理行为与战略管理、业务计划制定过程结合在一起,使用一种复杂的、高度透明的、持之以恒的方法将战略、过程、人员、技术和知识联结在一起,以实现使整个企业的风险、收益、增长与资本得到充分优化的目的。
2.2 企业全面风险管理整体框架的构建
目前我国企业全面风险管理还处于起步阶段,还未形成成熟的理念和管理工具,受制于发展现状,还需要一个有序不断地改进过程。在构建中要先抓住关键要素,努力以最小的成本达到最大的安全保障,这些关键要素包括以下四个方面。
(1)明确企业全面风险管理目标,建立有效的监督体系。
企业全面风险管理整体框架是建立在明确的企业监督框架和适当的人员责任分配基础之上的,其目标是使风险成为企业文化的内在有机组成部分。企业全面风险管理一定要与企业的技术及战略管理相结合,要在全企业范围内明确宣布风险目标和计划,并将其与企业业务、战略及业绩目标结合起来,建立一个由全企业层次集体支持的风险管理过程。
(2)营造企业全面风险管理的文化氛围,推进风险管理的实践。
企业全面风险管理框架是建立在内部环境的基础之上,内部环境直接影响和制约企业全面风险管理的成败。内部环境的要素包括员工的诚信,职业道德和工作胜任能力,管理层的经营理念和经营风格,董事会或审计委员会的监管和指导力度,企业的权责力分配方法和人力资源政策。要不断提高企业全面风险管理能力,需要一套企业层面的方法。这种企业层面的方法是由企业的组织结构,文化理念和经营管理哲学共同决定的。随着企业文化中风险敏感程度的提高,企业管理者会进一步掌握有效的风险管理能力。通过他们的推进、提供报告、贯彻相应的方法、构建适当的体系,以实施既定的风险战略和政策,企业全面风险管理水平将不断提高。
(3)构建独立的企业全面风险管理体系。
为了确保企业全面风险管理活动被很好地理解和执行,企业首要的任务就是建立一个全面风险管理组织结构。这个结构划分为两个层次:一是高级管理层(董事会)。它承担全面风险管理的最终责任。这种责任要求高级管理层对本企业的产品、业务过程和相关风险有全面了解。其下面设全面风险管理委员会,负责全面风险管理实施过程中的授权和日常决策工作,向董事会提交独立风险报告,它直接对董事会负责。二是建立独立的全面风险管理职能部门。其任务是辅助高级管理层完成其风险管理责任。主要负责评估和监控企业整体的风险情况,并及时向风险管理委员会报告,提出针对风险来源的具体管理办法,制定本企业全面风险管理的各项制度,策划全面风险管理的各项工作,提出全面风险管理的改进方法,建立有效的事后补救机制等。基层所属单位应改变管理模式,在矩阵式管理的基础上实现管理过程的扁平化,使风险管理横向延伸,纵向管理。
(4)建立健全风险识别、评估体系。
要评估风险首先要识别风险,收集分析并综合处理相关的内部及外部数据为企业提供可靠、及时的风险管理信息。我们可借鉴国际先进经验并运用现代科技手段,通过风险组织流程,风险计量模型、风险数据库、风险管理信息系统等手段,采用列出事项目录、进行内部分析、推进式的研讨与访谈、过程流动分析、损失事项数据方法等技术,识别、分析、度量风险与机遇持续过程。建立科学的评估方法,组建一套统一完整的管理工具和风险管理的共同语言,帮助管理层更好地关注,选择应对风险的措施。这种风险评估体系一旦发展起来并投入实施,就逐步走向了企业风险管理。
3 构建体现全面风险管理的内部控制新机制
3.1 构建具有本企业特色创新风险管理理念
将全面风险管理作为企业文化的一部分,是一个全新的概念。这一概念的提出到最终确立为企业文化还需要一个过程,需要全体员工在全面风险管理理念下的共同努力。因此,要多学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,只有这样,全面风险管理的理念才能真正融入到实际工作中,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。
3.2 构建切合实际的内部控制评价机制
传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,岗位管理职责的长期稳定成为保证权威的第一要义,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来修补。作为岗位职责监督者的稽核部门也只是“例行检查”。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。
3.3 构建全新的内部控制组织体系原则
一是全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,但目前,企业内部控制体系与全面风险的要求还存在较大的差距。内部控制要遵循全面风险管理的原则,即:(1)全员管理原则,实现对全体员工强化风险意识,做到“横到边、纵到底”,将风险意识,印在脑海里,落实在行动上;(2)全过程管理原则,对企业的发展、业务操作的全过程实行风险控制;(3)全方位风险管理原则,不但要包括业务风险,还要包括投资风险、信用风险、合同风险等。
二是分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。三是风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。
四是协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。
3.4 构建符合内控要求的业务管理新制度
传统分散风险管理模式下,为了保证各项业务的顺利开展和防范各类风险,各职能部门制定了大量的所谓“全面”的制度。但很多制度刚一制定出来,就失去了实际意义,成为了墙上贴的制度和书本上写着的制度,制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,整合各项业务操作环节,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。
参考文献
[1]许谨良,周江雄.风险管理[M].北京:中国金融出版社,1998.
[2]阎达五,杨有红.内部控制框架的构建[J].会计研究,2001,(2).
