发布时间:2023-11-13 11:33:06
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业风险管理内容范例,将为您的写作提供有力的支持和灵感!
Abstract: As one kind of independent, objective monitoring and evaluation activities, internal audit in financial enterprise's development has very important significance. This paper trough described the modern internal audit in financial enterprise risk management's roles, to the internal audit in the risk management of China's financial enterprises in the status and direction of development.
Key words: financial enterprises; internal audit; risk management
中图分类号:E232.6
1.金融企业审计概述
随着国家对国有资产监管制度的日趋完善,各地方政府更加重视资产管理,以及不断健全的公司治理结构,使得金融企业的审计工作越来越被重视,审计的方法也不断更新。
1.1金融企业审计的基本对象
按照《金融企业绩效评价办法》的分类标准,我国的金融企业主要包括四种类型,第一,执业需要取得银行业务许可证的各类银行及企业;第二,执业需要取得保险业务许可证的各类保险企业;第三,执业需要取得证券业务许可证的各类企业;第四,从事金融相关业务的企业。这四类企业也就是金融审计的对象。
1.2金融企业审计的主要类型
总体来看,当前金融企业的审计包括内部审计和外部审计。内部审计是指金融企业通过在企业内部设立审计机构,通过独立、客观、公正的审计行为对企业进行监督和评价。内部审计的方法有很多,但总体来看主要包括审查、复核、盘点、测试与抽样、评价等,对于一个管理规范的金融企业而言,内部审计是不可或缺的一个部分。外部审计是指外部审计机构如会计师事务所接受委托对金融企业的财务报告等进行审计,并提供相应的审计报告,对有关的财务状况等做出客观公正的评价。外部审计的方法主要是外部审计机构通过审查金融企业原始账簿、抽查会计凭证等,对企业的财务报告进行分析和评价。
1.3我国金融企业审计的发展趋势
总体来看,当前国家对金融企业审计的重视程度不断提升,颁布了《金融企业财务规则》、《银行业金融机构外部审计监管指引》、《银行业金融机构内部审计指引》等法规制度,并对制度执行过程中的一些问题做出了相应的制度安排,如颁布了《金融企业选聘会计师事务所招标管理办法(试行)》,这些制度的颁布实施,将使得金融企业审计走向规范化。而对于金融企业自身而言,随着其理念的更新,目前已经将审计工作摆在更加突出的位置,这将推动金融企业审计工作的进一步发展。
2.内部审计在金融业风险管理中的作用
内部审计与企业风险管理有着紧密的联系, 内部审计是风险信息沟通和监控检查的重要措施, 与风险管理密不可分。在现代金融业经营管理中, 随着内外部环境的变化, 各种风险因素增多, 内部审计工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用, 同时, 内部审计也被赋予了更多的职责和使命。
2.1内部审计在金融业风险管理中的识别和检查作用
内部审计人员可以通过分析环境和风险的变化, 检查内部控制系统是否已经更新, 是否能控制新的风险; 还可以通过后续跟踪管理层对审计中发现的问题以及对例外事项的整改情况, 检查新采取的控制措施是否奏效, 将分析结果和建议提交给管理层以便评估和改进控制措施。内部审计人员可以运用自己在风险管理方面的专业知识和经验, 从独立、客观的角度发现问题为管理层和审计委员会提供有价值的信息, 从而提高公司整体的风险管理水平。
2.2内部审计在金融业风险管理中的管理与协调作用
在金融业的组织架构中, 内部审计机构一般都处在金融业的董事会、总经理和各职能部门之间的位置, 正是由于这种特殊的位置使得内部审计人员能够充当金融业长期风险策略和各种战略决策的协调人。内部审计可以客观地从企业全局的角度进行分析和管理风险; 可以从金融业的利益和实际情况出发, 清醒地识别和评价风险,提出防范风险的有效建议, 调控、指导企业的风险管理策略。内部审计人员通过评价报告系统证明风险信息被准确、及时地传递给相关人员, 内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息, 而内部审计职能的设立对债权人和其他外部利益相关者来说也是公司具备有效的风险管理的一个证明。在监控活动中, 公司要对风险管理进行持续监控,通过对内部控制系统运行的监控和定期检查结果以及意外事项处理结果的评价, 确认公司对风险的管理是一直有效的还是控制系统存在一定的问题。内部审计人员从公司整体利益的角度出发积极参与公司的风险管理, 有效地与相关部门进行沟通协调 , 这些工作得到了公司领导层的高度赞赏, 内部审计在全公司的地位也得到了大大提高。
2.3内部审计在金融业风险管理中的顾问与咨询作用
由于内部审计人员对本组织的情况了解的比较全面, 也比较深入, 对提供咨询服务工作有着独特的优势。内部审计可以通过评估并运用风险管理的方法, 帮助组织解决风险问题; 通过咨询工作积极协助金融业风险管理过程的建立。在改善管理层的风险管理流程的效果和效率方面, 内部审计可以协助管理层和审计委员会进行检查、评价、报告和提出建议。内部审计机构独立于管理部门, 其风险评估的意见可以直接报给董事会, 这会加强管理当局对内部审计机构意见的重视程度。内部审计人员由于特有的独立地位, 可以从客观的角度分析风险的假设条件、通过科学的计算方法来评价风险, 提供专业意见。内部审计的顾问与咨询作用的及时发挥往往能帮助企业化解极大的经营风险。
2.4内部审计在金融业风险管理中的报告防范作用
审计发现如何传递, 审计成果如何利用, 舞弊风险如何防范, 这都将直接关系到内部审计在风险管理监督体系中的价值和作用。内部审计在风险控制和改进组织机构的效果方面要发挥其领导作用。首先,内部审计要与相关部门进行沟通, 对重大的审计发现要按清晰传递的线路进行报告,对监督检查结果的落实情况要进行跟踪并报告, 使风险及时得到控制和防范; 其次,内部审计可以通过评估相关控制的充分性和有效性来协助防止舞弊, 可以利用其自身的优势在倡导良好的道德文明建设方面发挥更大的作用。
3.强化金融企业内部审计实施效果的有效途径
伴随近年来审计体制改革深入推进,金融企业内部审计独立性、重要性、权威性日益增强,内部审计监督、评价及建设职能越发显现,从实际操作角度讲,金融企业内部审计不断深化、提升水平的重要举措在于:
1)革新理念,以风险为导向,以审计创新为动力,以创造价值为核心,完善内部审计功能与目标。提升金融企业经营管理能力、更好更快实现金融企业经营管理目标。在工作对象上,内部审计必须从传统的判断对错、查询错弊等内容向解决经营管理矛盾问题、发现并规避风险、觉察并抓住机遇等内容转变,同时还要擅长综合分析诊断、积极寻找对策、主动求证解决方案,既要履行监督职能,又要做管理层的智囊团和参谋长,以创造性的工作状态提高内部审计的层次和价值。
企业内部控制是由企业董事会、监事会、经理层和全体员工共同实施的,旨在合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略的过程。企业内部控制要素包括内部环境、风险评估、控制活动、信息与沟通及内部监督五个方面。企业风险管理是由企业董事会、管理层和其他人员实施,应用于战略制订并贯穿于企业当中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证。企业风险管理包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息沟通、监控八个相互关联的要素。
内部控制与风险管理都是企业的免疫系统,它们的关系密不可分,内部控制进一步的提升就是风险管理,风险管理是内部控制的发展和延续。在今天,企业内部控制和风险管理理论发生了巨大变革,两者已开始逐步融为一体。具体表现为:一是两者都是促进企业实现企业目标的过程,这个过程均要组织企业各个层级的人员实施;二是内部控制五要素中的风险评估,其内容包括目标设定、风险识别、风险分析和风险应对,因此内部控制五要素与风险管理八要素是一致的;三是两者要确保实现的目标均包括战略目标、经营目标、报告目标和合规目标。
二、金融危机下企业内部控制与风险管理中存在的问题
此次席卷全球的金融危机,不论大型企业还是中小企业都受到相当程度的冲击,一些企业的破产与倒闭,虽然是许多因素导致的结果,但共同的因素是由于企业缺乏应对危机的机制和内部控制没有发挥有效的作用、内部控制与风险管理未能发挥免疫系统的功能。金融危机下企业内部控制与风险管理中存在的问题主要体现如下:
第一,对内部控制和风险管理认识不足,企业内部控制制度不健全,关键的风险控制点缺乏控制措施。近几年来,我国企业建立内部控制以及风险管理体系的意识已大幅提高,但目前的状况还不是很理想,在内部控制和风险管理的认识和实践广度、深度上,与国外相比有较大的差距。很多企业将内部控制片面理解为内部会计控制、成本控制、资金安全控制等,有的企业对内部控制的认识还停留在内部牵制阶段,风险评估控制普遍不足,风险管理不到位,企业抗风险能力差。例如,中航油事件中,公司没有按照国家不准海外国企以盈利为目的涉足衍生品交易的相关规定,不仅把石油期货作为赚钱的主要手段,而且在期货合同的损失值超过公司风险管理手册规定的50万美元的上限时,一意孤行,最终导致5.5亿美元的重大损失。
第二,企业内部控制环境不理想。我国目前许多企业股权过于集中,“一股独大”的情况严重,使得整个公司的治理结构相互制衡的作用较为缺失,另外,一些企业长官意识严重,许多决策都在于领导拍脑门,缺乏科学合理的决策机制和对决策机制的有效制衡。有一些企业形式上已建立较为完善的法人治理架构,决策权名义上在董事会,但实际上却由个别领导说了算。企业领导者权力过于集中,驾驭于内部控制之上,或办事不按程序,或直接插手具体事务,导致内部控制失效。例如,湘潭电缆厂原厂长陈某集总经理、厂长、党委书记于一身,在人事政策、企业管理等方面独断专行,内部审计机构形同虚设;在她在任的三年左右时间内,这个年产值25亿元的国有大型企业由盈利变为亏损3.61亿元。
第三,企业内部控制缺乏有效监管,在执行中失效。目前我国企业内部控制的有效监管环节还很薄弱。从内部监管来看,一些企业的监管机构不健全,例如,根据深圳市迪博企业风险管理技术有限公司发表的《中国上市公司2010年内部控制白皮书》,2009年沪市上市公司设立了内部审计部门的样本数为494家,未设立的样本数为367家;深市上市公司设立了内部审计部门的样本数为807家,未设立的样本数为95家。而一些企业的内审机构,由总经理或副总经理领导,导致内审部门缺乏应有的独立性。内部审计部门缺失或独立性不足,导致了内部控制的内部日常监管缺位或不到位。从外部监管,证监部门的监管范围仅为上市公司,且这种监管往往停留在事后监管和重点监管层面,甚至难以覆盖全部上市公司;会计师事务所年度审计的内部控制测试对企业完善内控具有一定积极意义,但会计师事务所重点关注是与财务报表相关的内部控制。而内部控制是一套自行检查、制约和调整内部业务活动的自律系统,因此,对自律系统的监督是必不可少的,这种监督有来自企业内部的,也有来自企业外部的。但目前这两种监督力量薄弱,且监督也缺乏执行力度。
第四,缺乏与内控相关的风险管理信息系统。有研究表明,信息可以消除某种不确定性的发生,不确定性实质就是一种信息不完全状态。这种信息既包括风险管理理论与方法的管理支持信息,也包括企业自身风险与风险管理的政策信息及外部给企业风险管理提供的信息。由于这种信息量非常大,需要借助数据库和相关管理软件进行集成管理,即有必要构建企业的风险管理信息系统。但在实务中,由于重视不够,投入较大,建立风险管理信息系统的企业并不多见。
三、完善内部控制与风险管理机制的对策
市场经济从微观角度来说是一种风险经济,作为市场基本单元的企业时刻面临着风险,而且市场经济越是开放发达,其中蕴藏的风险和不确定性就越大。作为企业内部管理核心的内部控制对置身于风险之中的企业来说起着重要的作用。我国继2008年5月22日《企业内部控制基本规范》之后,2010年4月26日财政部会同证监会、审计署、银监会、保监会又了《企业内部控制配套指引》。后危机时代,企业应根据《企业内部控制基本规范》和《企业内部控制配套指引》要求,结合企业实际情况,加强企业内部控制体系建设,通过整合业务流程、加强内部控制措施和风险管理手段,将企业风险控制在企业风险承受能力和风险容量之内。
第一,强化全员风险意识,培育风险管理文化,构建全面风险管理体系。通过风险评估,准确识别与实现控制目标相关联的内外部风险;通过定性与定量风险分析,认清风险特性,掌握关键风险控制节点,预防为主,加强事前、事中过程控制,加强事后考核、评价、奖惩控制,将风险控制责任落到实处。在评估风险可能性和后果后,根据成本效益原则选择风险规避、风险承受、风险降低、风险分担等一系列策略将剩余风险控制在企业期望的风险容量内。
第二,构建良好的控制环境。在治理结构方面,完善治理结构,明确董事会、监事会、经理层的职责,使决策系统和监督系统各司其职、各负其责、协调运转、有效制衡。在人力资源政策上,制定和实施企业可持续发展的人力资源政策,将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,将德才兼备作为培训提拔企业干部的重要标准,通过员工培训、在职学习和后续教育,不断提高员工素质。在企业文化方面,加强企业文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。
第三,加强内部控制的内外部监管。内部审计是内部监督的重要内容。在企业内部控制建设与风险管理体系建设上,应设置相对独立的内审部门,内审部门直接由董事会或其下设的审计委员会负责,这种形式有利于内审作用的充分发挥。同时要转变内审职能,拓宽内审领域,实现由事后审计向事中审计、事前审计的转变,实现从传统审计向风险导向审计的转变。根据内部控制配套指引的要求,可以由内审部门组织对内部控制进行评价,通过评价识别风险和内部控制缺陷。在外部监督上,充分发挥会计师事务所在内部控制审计中的作用。
第四,构建风险管理信息系统,保障信息与沟通的及时与畅通。建立有效风险信息管理系统,有条件的可以构建电子信息系统,没有条件的,应建立风险信息收集、识别、分析、评估的内部制度,理顺风险信息流程,确保风险信息及时准确达到管理层,从而为管理决策提供风险信息依据。
参考文献:
1、财政部等五部委.企业内部控制基本规范[Z].2008.
2、财政部等五部委.企业内部控制配套指引[Z].2010.
关键词 :内部管理 风险管理 融合策略
一、企业内部控制与风险管理融合基础
以风险管理为导向的内部控制体系的两大核心目标是运营目标和战略目标。现代企业在经营业务的时候深入剖析各种风险因素,在确定风险因素以后制定相应的运营目标和战略目标。
对于风险的管理,企业建立了内控体系,为了高效率地进行风险管理,企业需要进一步完善内部控制管理体系。要构建完善的体系,在信息化的时代,会计信息的内部管理也非常重要。会计信息的完整性、真实性、有用性直接关系到了企业决策的效率。规范企业各类信息的采集、归类、记录和汇总的过程和行为非常重要,才能如实反映企业经营状况,有效控制企业的经营风险,从而促进企业的健康发展。实行内部管理,很重要的是要正确做到内部监督和审计。在计划经济体制下,很多企业过于重视内部监督而忽视了事后结果的监督,忽略了事前事后监督的重要性,导致了内部监督没有达到预期的效果。要想改变这样的局面,企业必须着眼于现实,对各项业务开展内部活动监督。
二、内部控制与风险管理的相关性
(一)内部控制与风险管理的具体过程。内部控制实质上是以现实改善组织经验管理,提高经济效益的过程,它是企业为达到某种目标的一种手段。一般来说,组织内部控制由风险评估、内部环境、控制活动、内部监督、信息与沟通五大因素组成。风险管理是一个采取有效措施将风险控制到最小化的过程,风险管理有利于企业资产的完整性,有利于企业经营目标活动的实现。内部控制和风险管理是贯穿于企业的各个阶段,各个经营活动的,需要各个岗位的工作人员齐心协力,共同对企业的业务活动进行内部控制和风险管理。
(二)内部控制和风险管理有着相同的手段。在企业的实践中我们可以看出,内部控制和风险管理都可以采用风险评估的方式去实现。在coso报告中我们看到,风险评估是对目标实现中出现的风险加以分析,从而更好地区分处理相关风险。在内部控制的基础下,企业开展风险评估的顺序主要是:识别风险——分析风险——管理风险——控制风险。但是在风险管理的背景下,企业应该先明确组织目标,然后再围绕该目标开展风险评估,这样就可以了解到风险的不利影响,从而可以改善相应的措施。
(三)内部控制和风险管理的目标是相同的。内部控制和风险管理的核心目的都是提供合理的保证。对于内部控制来说,由于受到成本等许多不确定因素的影响,导致了合理的保证只在企业董事和管理层,内部控制的根本目标是防范风险的发生而不是解决已经发生了的风险。对于风险管理来说,主要的工作是找出影响企业实现目标的因素并采取相应的措施加以解决。终上所述,内部控制和风险管理都是为实现企业的目标起着很重要的作用。
二、内部控制与风险管理的区别
(一)两者的侧重点不同。内部控制是以制度机制为侧重点,要通过制定、完善、实施相关的制度来达到规避风险的目标,从而促进企业的发展。而风险管理的侧重点在于市场的交易,以市场的交易来达到规避风险的目标。另一方面,内部控制以会计控制为切入点,重视会计信息的准确性、资产的完整性和决策的有用性。一般来说,内部控制只局限于财务等少数职能部门,没有渗透于企业管理过程,但是风险管理涵盖了每一个经营环节,即战略制定及企业各个层次的活动,所以风险管理包含了内部控制,而内部控制只是风险管理的一个组成部分。
(二)内部控制与风险管理所涉及到的风险存在于不同的范围。Coso报告指出,内部控制涵盖了企业生产经营过程中出现的所有风险,而不仅仅是企业的内部风险,还包括了外部风险。但是风险管理不同,巴塞尔委员会指出,风险管理着重于实现对特定业务的战略评审,从而对同一个行业不同企业间的风险、收益比较风险来促进企业的经济效益最大化。
三、企业内控管理与风险管理融合策略
(一)完善内部控制规范体系。内部控制的基础是要强化组织领导,董事会负责内部控制的建立健全可实施,监事会对董事会建立实施内部控制进行监督,经理层负责组织领导企业内部控制的日常活动,全体人员广泛参与内部控制活动的具体实施。企业的内部控制应该全员、全面地开展,不断提升企业的管理水平,防范风险,实现企业的经营价值,从而促进企业实现更大的目标。
(二)调整优化企业治理结构,为实现内部控制评价科学合理性提供保证。内部控制和评估与企业治理结构之间相互影响,企业内部控制及评价以企业治理结构为基础,又以企业治理结构为依据,因此,调整优化企业治理结构对实现内部控制评价的科学性和合理性至关重要。
(三)加大内部控制的自我评价力度。在西方国家,上市企业的内部控制工作倾向于控制自我评价状态,要求上市企业落实好内部控制执行监督评价工作,发现内部控制所存在的不足时,及时采取措施加以弥补和纠正,从而保证内部控制工作高效率进行。所以,上市企业通过开展内部控制自我评价工作,有助于规范企业业务经营程序及内部审计程序,还有效地控制了企业的资金风险和管理风险,可以为企业的可持续发展提供更大的动力。
(四)全面预算管理业务流程。企业全面预算管理由预算编制、预算执行和预算考核组成。预算编制是管理业务活动的基础,主要以理清预算管理思路,以明确管理目标为切入点;预算执行作为全面预算管理业务活动的关键,影响着预算管理的质量,主要以事前预测和事中控制和事后监督为切入点;预算考核作为全面预算管理业务活动的保障,贯穿了整个预算管理业务流程。通过考核可以及时发现经营管理中的不足,然后再有针对性地执行有效措施加以纠正,从而保障业务活动高效展开。
结语:
内部控制和风险管理是企业实现自身经济价值必须重视的两个重要因素,不论是企业的领导者还是基层工作者,都应看到这两者的重要性,把两者结合起来,并且充分参透其中的内涵,把企业逐渐做大做强,使企业的风险将到最低,实现收益最大化。
参考文献:
引言
近年来,我国的建筑企业的不断改革,建筑企业对于决策风险防范和国有资产流失的问题日益重视。如何从制度上防范建筑企业财务风险,使建筑企业财务状况按照预期的财务目标转化,这是很多财务人员关注的问题。
1、建筑企业财务风险简述与控制
财务风险是建筑企业在面临激烈的市场竞争、建立现代企业在面临激烈的市场竞争、建立现代企业制度过程中所必然出现和面对的问题,财务风险本身也是建筑企业经营状况的反映,具有如下的特点:第一,财务风险贯穿于建筑项目管理的全过程,从初始的项目规划立项、资益分析到建设实施、交付使用中均涉及到资金的安全和合理使用、确保最大经济效益的问题,因此财务风险具有全面性的特点。第二,由于财务风险是伴随着市场经济条件下竞争市环境而产生的,尤其在我国目前各项相关经济体制尚未充分健全的情况下,建筑企业的财务风险是客观存在的,不以个人及至企业的主观意志为转移的,建筑企业财务风险在财务活动中的表现即为的实际结果与财务预期目标的背离 。第三,“风险”本身所指的即为具有不确定性的对企业潜在损失的可能性。建筑企业财务风险不确定性一方面表现为该项损失是否发生,另外一方面表现为在产生损失的情况下财务损失量的大小。
如何使建筑企业内部管理制度的得到健全,如何防范企业的业务活动中各个环节。近年来,随着发展政策监管的加强,对建筑企业,尤其是对大型国有建筑企业加强内部控制的关注越来越多,政府职能部门对国有建筑企业内部控制建设的要求也日益强化。国有建筑企业已失去体制和行业垄断这两个规避风险的屏障。因此,国有建筑企业只有树立财务风险观念,建立和完善内部控制制度,通过科学的策略和方法来及时有效地防范和控制财务风险,才能保证自身的生存和发展,在竞争中立于不败之地。
控制建筑企业内部的管理制度,它包含了企业经营效率、效果和风险管理等内容。国有建筑企业工程项目往往时间跨度长、规模大、工艺复杂,项目离总部较远且高度分散,企业面临的外部环境变化和自身特点将使其面临更大的市场风险。
随着我国建筑业的发展,控制与财务风险防范是一个事物的两个方面,前者是手段,后者是目的,离开了内部控制,财务风险防范则无从谈起。我国国有建筑企业财务风险作用于企业通常表现为:企业资产流动性下降;工程款拖欠导致经营资金不足;资产负债率过高;债务负担沉重;盈利能力下降以至于走到破产的边缘等等,这些问题也都与国有建筑企业内部控制框架直接相关,可见内部控制与财务风险防范密切相关。
2、建筑企业财务风险的内容
建筑企业广义的财务风险风险含义涉及了企业在进行财务活动中的融资风险、投资风险、资金收回风险和收益分配风险等;狭义的财务风险,是指企业举债融资时所产生的风险,因此又称为融资风险,即企业负债经营时面临的到期无法还本付息的财务危机及资不抵债的破产危机等。可见在资金筹集、资金运用、资金的累积分配等财务活动都会产生财务风险。
3、建立财务风险防范方法
在实际的工作中,我们归纳总结出,建筑企业内部控制和防范财务风险的方法主要有:
3.1 财务风险的会计(审计)防范方法
第一,提高会计信息质量。提高会计信息质量首先要加强会计基础工作,加强会计基础工作包括提高会计人员素质,提高会计核算水平,使会计对建筑企业经济业务的反映尽量做到全面、准确、及时。因此,提高会计信息质量,加强会计为建筑企业管理提供信息的职能是利用会计信息防范建筑企业财务风险的当务之急。另外,在实际工作中,国有建筑企业决策者进行决策有时还是凭感觉、靠关系,这样不科学的决策方法无疑加剧了企业财务风险,因此提高会计工作在建筑企业中的地位,强化会计工作在建筑企业经营管理中的作用就成为会计工作者义不容辞的责任,也是防范建筑企业财务风险的需要。
第二,强化会计制度约束。建筑企业作为市场中的一个经济主体,其财务风险水平受市场风险的影响,创造一个稳定的市场环境对建筑企业稳定财务运行、降低财务风险十分重要。从这一点来说,强化会计制度约束对防范建筑企业财务风险起着间接作用。
第三,强化审计监督。建筑企业的外部审计监督可以减少建筑企业内部可能发生的会计差错和舞弊行为,使建筑企业会计信息更准确地反映建筑企业实际的财务状况,降低建筑企业财务风险。内部审计是建筑企业内部对会计控制的再控制,它通过评价会计控制来督促会计部门不断地改进和完善会计控制,从而力求将对建筑企业财务状况的反映差错减少到最低限度。
3.2 财务风险的财务防范方法
关于财务方法主要是运用风险管理的一般方法,以对建筑企业财务活动的不同方面的控制达到对企业财务风险整体控制的目的。
3.2.1 企业筹资风险的防范。
一个企业需要正确选择出合适自己的筹资方式,从而合理的确定财务结构。在现代建筑企业资本结构中,债务资本所占比例偏高;在债务结构中,短期债务比例偏高,企业筹资渠道的单一性,增加了财务风险发生的可能性。企业在选择筹资方式时要考虑筹资方案的可行性、经济性和安全性,合理确定财务结构,即要合理确定债务资金与自有资金、短期资金与长期资金的比例关系。
3.2.2 企业投资风险的防范。
我们的建筑企业在生产经营中其特点决定了应收账款的存在,这是其必然性,企业要对应收账款进行全过程的控制。在应收账款中要做到事前控制、事中控制和事后控制。建筑企业的投资周期一般较长,从而也会受到很多不确定因素的影响,使投资决策的预期效果受到影响,企业在投资决策中应加强可行性研究,从宏观和微观两个方面对投资风险进行认真分析。
3.2.3 风险和防范。
在建筑企业管理中,我们要充分的利用筹集资金成本较低的优势,降低企业综合资本成本,从而有效防范收益分配对企业未来发展造成的不利影响。
3.3 风险产生的制度基础
在建筑企业内部,财务风险制度基础包括两点:其一是企业财务运行机制,其二是企业内部的委托关系,两者对企业财务风险的防范都有重要意义。
如何去完善企业内部财务风险防范制度,其一是要认真的搞好企业财务活动的参与人和影响者的相关活动,其二是进行控制和反映,做好预防工作,预防可能避免的偏差,使企业财务活动围绕一定的目标进行。
3.4 制度约束因素
1引言
互联网+金融的创新组合给企业的全面风险管理水平提出了更高的要求。风险管理与内部审计各有侧重、相互支撑。一方面,企业内审工作的推进可以不断完善企业的风险管理。另一方面,企业的风险管理也不断地带动内审工作的
不断进步革新。因此,本文着重探讨互联网金融企业存在的风险,研究互联网金融企业内部审计发挥作用的具体路径,为企业更加有效地进行风险防范与管控提出优化措施,以便帮助企业实现价值增值。
2互联网金融相关概念
2.1理论基础
在我国的金融发展历史上,互联网+金融的组合实属创新之举。它的理论依据有KMRW声誉模型、互联网经济学理论、梅特卡夫定律和长尾理论等。其中,长尾理论由安德森在2004年首次提出,此理论认为在商品的需求曲线上,这些尾部的商品呈现出一条长长的尾巴模样,尽管这些尾部的商品零散,但是由于数量巨大,累计之后的份额却不可忽视,甚至可以超过主流市场的商品价值。这个发现使得人们越来越重视尾部客户,不再像以往一样只是争取大客户。这个思路的转变使得原本这些无人问津的商品现在进入了消费者的视野。在长尾理论中,快速发展的互联网使得信息传播加快,准入门槛变低,商品的生产成本和流通成本得以下降,消费者开始重视这些本被人忽视的商品,进行买卖交易。
2.2主要特征
2.2.1低成本普惠金融发展的局限性是成本和收益的不一致,而互联网金融则可以弥补这一点,完善普惠金融的发展短板。互联网金融可以将中小微企业和普通个人客户揽入金融市场之内,重新进行金融资源分配,通过互联网平台可以降低相关的运营与交易成本,最大限度地进行资源整合,打破传统金融的束缚,从而形成规模优势,获得效益。
2.2.2高效率互联网金融不受空间地点与时间的约束,可以全天候、全方位地进行运营。只需要保障相应的大数据与云计算的正常工作即可,中间环节的减少,使得业务运转效益高效。
2.2.3重体验互联网金融使得客户在获得服务之后可以立即反馈服务的效果,实现高效沟通,互联网企业在接到反馈以后可以进行服务改进,从而实现双向互动式的沟通和交叉链接的体验。同时,客户可以通过平台购买机票、预定酒店、代交交通罚款等,方便快捷。
2.2.4多风险大数据与云计算是互联网有效运行的技术支持,这些现代通信技术在给予高效便利的同时也带来信息技术风险,如黑客与木马会盗取客户的密码,造成资金安全隐患。
3互联网金融企业内部审计实施风险管理的必要性
3.1促进互联网金融企业发展
信息技术的飞速发展意味着企业在获得有效信息以后可以立即反应,采取相对应的措施,保持市场灵敏度,这同时也意味着各个企业获得信息的时间差不断缩小,竞争更加的激烈。此时,内部审计在企业防范风险的作用就由于企业经营权和所有权的两权分离而逐渐重要。面对各种潜在的信息安全风险、业务风险、法律合规风险等,内部审计不能再向之前仅仅提交合规性检查报告给企业的管理层或董事会就万事大吉了,而是应当及时转变,适应时展,不再拘束传统的监察职能,而是审时度势,为风险管理进行服务,提高风险管理水平,监督、防范、减少各类风险的发生和危害,变以往的事后风险管理为主动地进行事前、事中管理,重视风险评级的作用,有针对性地应对各种风险的发生,最终实现企业的价值增值。
3.2维护个人投资者的合法权益
互联网金融的飞速发展契合了普惠金融的发展战略,给人民群众的生活带来了极大的便利,例如,不用去银行柜台,就可以轻松在手机客户端实现基金投资、个人存款等操作。金融的互联网与互联网的金融化的交互发展,使得可以更多地服务于广大群众,突破了传统金融服务的深度与广度。据不完全统计,截至2020年上半年,我国的互联网普及率达到了64.5%,这个数据完全可以印证前文提到的长尾理论。越来越多的网民汇聚在一起,给数字经济的发展打下了坚实的用户基础。然而,互联网金融通过大数据与云计算等互联网技术分析客户的消费偏好,获得顾客的消费数据,这样客户的隐私就得以暴露。但是目前还没有明确的法律法规来认定其中的合理界限。因此,这就需要内部审计部门在风险管理的过程之中,有的放矢,抓大放小,在保证风险可控的情况之下,尊重消费者隐私,维护广大网民的合法权益,也给广大的投资者创造良好的投资环境。
3.3加强对互联网金融行业的监管
与传统金融行业相比,互联网金融企业吸取2种行业的优势,取其精华,再加以利用,大大扩展了金融服务行业的职能广度,挖掘了普惠金融的深度。但是我国目前的互联网金融行业仍然处于起步阶段,由于结合了2种高风险的行业,互联网金融行业的风险也急剧增高。我国针对互联网金融行业相关的法律法规还亟待完善,整个行业缺乏清晰的监管标准、明确的监管分工、科学的监管方式等,导致互联网金融行业急需有效的管理条例,来实现合理与效率的平衡,主个体之间的协调,实现技术与创新的突破,实现事前、事中的引导。在此背景之下,内部审计就可以对一些合规合法的问题进行针对性的解决,明确企业经营的边界,扫除“灰色地带”,防范各类风险,如此一来,就可以促进互联网行业的监管,发挥内部审计的防范风险的重要作用。
4互联网金融企业面对的风险
4.1监管环境发生变化
互联网金融公司常常利用自身平台和大数据优势,使自己成为整个信用创造体系中的关键桥梁。相较于传统的建立在银行资产负债表之上的监管体系,互联网金融公司在联合贷款模式之中,利用信贷分工的手段,使自己处于监管的灰色地带不受监管,让银行承担金融监管职责和信贷的风险。例如,在消费信贷余额中,多数信贷由银行提供,但是银行并不能控制这部分资金的潜在风险。这种联合贷款模式巧妙地使互联网金融公司不在传统的金融监管体系的范围之内,如此一来,便使得互联网金融公司不受有力的监管,有监管失效的可能性。银保监会联合中国人民银行等部门在2020年11月公布了《网络小额贷款业务管理暂行办法(征求意见稿)》(简称“网络小贷新规”),目的是加强对互联网金融公司小额贷款业务的监管。此次新规的,宣布了新监管时代的到来,因为其对互联网金融公司的盈利模式、经营模式等都作了更加具体的规定,会使得其更加规范的运营。例如,其第二十条要求,同一投资人及其关联方、一致行动人作为主要股东参股跨省级行政区域经营网络小额贷款业务的小额贷款公司的数量不得超过2家,或控股跨省级行政区域经营网络小额贷款业务的小额贷款公司的数量不得超过1家。这就明确了互联网金融公司不能再像以往一样同时运营多个小额贷款公司,而是应当在经营管理模式上需要对自己旗下的多家小贷公司进行重组,退出之前的灰色地带,在阳光下严格按照新规当中对小贷款公司的准入条件、业务范围进行发展。
4.2市场竞争愈加激烈
由于互联网进入快速发展阶段,互联网金融业也进入一个全新的阶段。除了传统的金融机构,如银行、保险公司等,越来越多的公司在看到互联网金融企业广阔的发展前景与丰厚的利润之后,也纷纷加入。在网贷市场里,除了互联网金融科技的先驱蚂蚁集团之外,平安、腾讯、京东、小米、美团等也纷纷加入,越来越多的企业纷纷追随蚂蚁进行放贷业务。另外,在长尾理论之下,尽管中小微客户资金量小,但是汇聚起来的用户数量巨大,下沉市场潜力巨大。互联网金融公司依赖中小微企业和普通个人客户,利用低净值用户的规模化来不断挖掘下沉市场,提高交易效率,获得巨大收益,长尾效应更加明显。
4.3内部控制制度不完善
企业若想在激烈的市场环境之中平稳运营,完善的内部控制是必不可少的条件之一。内部控制如果存在缺陷,便会牵一发而动全身,引发内外部的各种风险,如业务风险、法律风险等。鉴于我国的互联网金融企业尽管发展势头较猛,但是发展历史较短,各个企业都普遍存在内部控制制度不完善、内控意识不强的问题。例如,许多互联网金融企业存在股东权利过大的问题,往往利用子公司与母公司的关联方交易来进行利益输送,同时股东权利过大,会严重削弱监事会的独立性。因为监事会的成员大多就是本公司内部工作人员,尽管监督长拥有核查权与决策权,但是由于其直接对董事会负责,最终导致权利形同虚设,不具有实际效力,架空的权利与职能并不会进行有效的监督。
4.4内审人员素质亟待提高
互联网金融企业由于结合了2种高风险的行业,其风险不言而喻。传统的审计方法利用财务报表分析手段处理数据,找出企业经营方面存在的问题,显然无法有效地应用于互联网金融企业。因为在互联网金融企业中,其所有的交易记录、用户数据等都是利用计算机及时处理,保存电子凭证、账簿等。同时,互联网金融企业内部往往运用风险导向审计模式来防范和控制风险,这就要求内部审计人员在庞大的交易数据面前,不仅需要具备专业的审计知识,还需要精通计算机网络,熟悉互联网金融流程,根据系统识别出的各种风险,进行数据处理,寻找隐蔽线索,找出漏洞。
5建议与启示
5.1加强风险的预测和预防
互联网金融风险复杂多变且具有隐蔽性,因此,更需要内部审计发挥在金融监管中的核心中坚力量,进行事前、事中的风险管理与控制。具体来说,在内部预测时,互联网金融公司应当注意内部控制结构是否合理有效,观察业务模式是否合规,检查资金流向是否健康,分析是否与社会福利相悖,应当面面俱到,考虑风险的可能发生情况,有针对性地进行合理防范。完善的内部控制是企业良好运行必不可少的条件之一,它除了可以帮助企业尽快适应资本市场的监管,进行稳步发展,还可以帮助企业提升自身的经营水平,树立企业形象。在外部预防中,要随时警惕互联网对金融业的影响,不断提高技术水平,更新区块链等新兴技术的运用。总而言之,应当科学利用互联网技术,从战略的角度出发,对互联网金融企业的风险进行早预测、早预防,及时地控制风险会使企业更加平稳地经营发展。
5.2提高市场竞争力,加强业务风险的管理
尽管长尾效应显著,可以积少成多,最后累积起来庞大的用户群体,具有广阔的消费市场。但是,这些利用长尾理论累积起来的大量资金同时也带给企业信用风险和流动性风险。具体来说,就是企业在投资过程中,谨记不要将鸡蛋放在同一个篮子之中,应当将汇集的大量资金投入风险低、收益高的货币基金,遵循分散性原则,不仅要争取最大的收益,还得保证安全性,不断优化自身的资金配置。同时,还要在公司内部设立合理的准备金率,以便在经营的过程中发生挤兑事件或者遭遇基础利率变化而产生的流动性短缺,不至于让企业落入流动性风险和信用风险。
5.3找准市场定位,回归金融科技本质
互联网金融公司往往倾向于强调其是技术驱动的金融科技公司,原因之一是如果试图摆脱身上的“金融”影子,科技公司可以在资本市场拿到更高估值;另一个原因就是科技行业相比于金融行业监管较松。然而,在如今监管大环境变化的趋势之下,互联网金融公司更应当找好自己的市场地位,抛弃打擦边球的想法,认识到监管大环境的改变对自己今后发展的限制,回归金融科技的本质,尽快适应新监管时代的到来,从而更加稳妥地进行市场活动。
5.4建设高素质内部审计队伍
互联网金融企业内部审计工作的顺利展开,离不开审计人员的专业能力。高素质的人才培养离不开企业的精心栽培。对审计人员应当进行综合性的培训,同时学习审计、金融、法律、计算机知识等,提高专业知识和业务能力,打造复合型人才,还可以邀请经验丰富的专家来对本企业的内审人员进行技能培训,开阔视野,以便帮助内审人员更好地在信息化高速发展的社会里适应节奏。
一、内部审计及其在金融企业风险管理中主要作用
1 内部审计的基本理解
与注册会计师事务所对企业开展的外部审计相比,内部审计从机构设置到人员配备等各个环节均属于企业内部行为。针对企业内部审计特点,国际内部审计师协会在出版的《内部审计实务标准》中将内部审计界定为,“一种独立、客观的保证工作和咨询活动”,内部审计目的在于为组织增加价值同时提升组织运作效率,在此过程中,它以系统化、规范化方法评价企业风险管理、风险控制、风险治理程序等,来达到提高风险管控效率、推动组织目标实现的目的。目前,我国内部审计师协会对内部审计的理解为,“组织内部的一种独立、客观的监督与评价活动”,在此活动中,企业借助于审查、评价经营活动和内控适当性、合法性、有效性等行为,帮助实现组织目标。作为风险控制的一大有效工具,内部审计在企业尤其是金融企业的县管理中日益发挥出极大作用,金融企业开展内部审计的现象越来越普及,内部审计之于金融企业的风险识别、风险衡量、风险防范等产生了更加积极的影响。
2 内部审计在金融企业风险管理中的重要作用
对金融企业而言,内部审计是其进行风险信息沟通及监控检查的有效措施,尤其在现代企业经营管理过程中,金融企业所遇内外部环境发生了极大变化,各类风险因素增多,为了更好地改善风险管理、完善治理结构,金融企业必须将内部审计所具备的更多职责和使命更加充分发挥。
首先,通过内部审计人员对企业所处环境变化的分析,金融企业内部控制系统是否需要更新、能否监控新的风险等一系列问题,都考验着企业管理者的水平和公司整体运作状况,即内部审计实时识别与检查金融企业风险管理过程。其次,内部审计还在金融企业风险管理中起到管理与协同作用,就目前金融企业组织结构来讲,内部审计机构往往处于企业董事会、总经理与各个职能部门之间,该机构位置的特殊性使内审人员兼具金融企业长期风险策略人、各种展露决策协调人的角色,则内部审计既能客观地站在企业全局角度对金融风险进行分析和管理,又能从企业利益和实际情况考虑,对风险加以识别和评价,并提出防控风险的相关建议和调控措施。同时,内部审计能对金融企业风险管理发挥顾问和咨询作用,特别是内审机构独立于管理部门这一客观优势,使得内审人员可保持客观立场,分析风险假设条件、以科学方法评价风险,还将所作风险评估意见可直接上报董事会,最大程度上化解企业经营风险。此外,由于内部审计可与相关部门有效沟通,且充分利用内审控制的有效性规避行为,则内部审计还在金融企业风险管理中具有实时报告和有效防范作用。
二、内部审计在金融企业风险管理中的问题及质量控制
1 当前内部审计在金融企业风险管理中常见问题
由于旧传统与旧体制因素的影响,我国金融企业在公司治理上的不足严重制约着其自身发展和完善,在长期计划经济体制下,高度集中计划管理、高度集中行政约束都是金融企业存在的明显特征,历经多年改革,我国金融企业公司治理结构已发生较大转变,但向实质性转变进展速度仍显缓慢。加上陈旧观念、落后管理模式的干预,很多金融企业内部全面风险管理工作水平都有待提高。
再论及金融企业内部控制组织框架,其仍然处于初步建设阶段,企业内控制度建设滞后,企业所有权、经营权等相互分离与制衡状况不尽人意。比如企业内部控制权威性弱化,内控活动多由经营者主管,在生产经营业务活动中,内部审计控制作用无法充分体现,金融企业在内部控制监督、评价方面有效性、及时性等都有待提升。
同时,由于金融企业内部专业的风险管理人员数量偏少,且大多疏于掌握专业化、现代化风险管理理论及风险计量技术,当前多数金融企业风险管理体制独立性仍然薄弱,其受到外界干扰因素也较多,最终造成企业风险管理基础不稳。而一直以来,金融机构风险管理方法甚为陈旧这一客观现实,又加剧了金融企业在进行风险识别、风险度量、风险监测时,科学性、规范性不够,进而给外部监督、市场约束等外部监管也带来一定难度。
2 完善内部审计在金融企业风险管理中的质量控制
长远来看,建立健全现代金融企业制度,已成为我国金融企业改进公司治理结构以及提高企业发展能力、竞争能力、抗风险能力的基础所在。换言之,在当前国际国内社会经济背景下,我国金融企业应积极树立科学发展观、构建现代金融企业制度、建立完善的公司治理结构。这意味着金融企业必须完成两大任务,一则建立独立完善的风险管理体系和全面风险管理模式,则金融企业需致力于先进风险管理文化的培育和独立风险管理部门的建立,在此前提下,以科学的风险管理模式全面管理各类风险,以科学的风险识别、衡量、监测、控制、转移方法,对风险进行全过程管理,以部门间、上下级之间协调联动管理方式实践企业风险管理职责,并立足于促进业务发展建立增值型风险管理体系。二则改善内控机制,推动公司治理机制的良性运行,现代经济管理学认为,防范金融风险须先从金融机构内部控制做起,金融企业应借助于科学的决策体系、高效的自我约束及激励机制,降低不良贷款比例、提升经营管理水平、加大企业盈利水平、提高企业市场核心竞争力。
1.风险管理体系的内涵
国有企业风险管理体系被人们划分为三个维度,其中,第一个维度包括:一是战略目标,也就是风险管理体系的最高目标。二是经营目标,也就是要提高企业现有资源的利用率,避免出现资源浪费的情况。三是报告目标,也就是企业每个发展阶段都要进行总结,并形成报告。四是合规目标,也就是企业自始至终每个阶段的发展目标必须符合国家相关法律法规及政策的规定。企业在建立风险管理体系之前必须先确定企业的发展和经营目标,这样才能保障风险管理落实到位。企业风险管理体系的第二个维度是企业管理中的关键要素点,企业风险管理体系的第二个维度需要和企业的发展目标和方向联系在一起,并对企业的风险进行评估。企业发展的核心实际上是人,企业风险管理也包括对人的管理,管理内容包括:一是道德价值观;二是职业素养;三是企业文化的认同;四是风险意识等等。企业管理人员还需要根据企业的实际情况及确定的发展目标来分析内外部因素对风险管理的影响,对风险因素进行识别评估,确定风险管理的方向。企业可以采取以下对策来应对风险:一是规避风险;二是通过转移和对冲来分担风险;三是通过转换、补偿、控制的方式来降低风险,四是承受风险。在应对风险的过程中,企业各个部门需要多沟通,实现信息和资源共享。企业各个部门之间的有效沟通可以体现为以下几种形式:一是主体向下;二是平行流动;三是向上流动。企业风险管理体系不是一成不变的,需要结合企业的发展状况进行调整和完善。企业风险管理体系第三个维度属于主体单元,包括:一是企业;二是子企业;三是业务单元;四是科室。
2.风险管理体系在国有企业中的作用
企业建立风险管理体系的最终目的就是为企业发展提供保障和依据。企业要在发展的过程中培育企业文化,并结合实际情况健全内外部风险管理制度,采取风险管理对策,并保证企业风险管理工作落实到位,明确风险管理的责任。企业风险管理体系的建立和实施可以增强企业管理人员的风险管理意识,提高企业的风险管理水平。风险管理体系的建立也可以让企业管理人员第一时间了解企业的经营状况,实现企业利益最大化。风险管理体系的建立还使得企业自身在风险的可承受度以内,抓住机遇,优化企业资源配置,创造更大的价值。
二、风险管理体系在国有企业的建立
1.风险管理体系的建立目标
企业风险管理体系的建立目标就是把企业的风险管理工作贯穿于企业发展和经营全程,从目标的设定到事件的识别再到风险的评估最后到风险的应对和风险的监控,这样一系列的环节构成了一个流程,而这每一个环节都有它具体的方法,由此建立起一个整体完善的风险管理体系来满足企业的发展需求,实现对企业经营过程的全面监控和管理,推动国有企业的发展,让国有企业在激烈的社会竞争中立于不败之地。
2.风险管理体系的建立措施
国有企业风险管理体系的建立不能盲目,需要遵循以下原则:一是合理性原则,也就是企业风险管理体系的建立必须遵循国家相关法律法规及政策,而且还要以企业的管理制度为依据。二是完整性原则,也就是需要对企业发展的各个过程进行监督和管理,涵盖企业的战略、运营、财务、合规等所有方面。三是融合性原则,也就是企业风险管理体系必须和企业原有的管理制度和体系融合在一起,渗透到企业的日常经营中去巩固企业原有的发展成果,满足企业的发展需求,深层次的挖掘风险管理体系的内涵。四是效率性原则,也就是动态性原则,企业风险管理体系必须可控,必须是动态的,时时监控时时改进,而且效率非常高。五是匹配性原则,把企业的整体风险控制在可接受的范围之内,企业的风险承受度与企业的发展目标相匹配。六是综合性原则,由于风险的多样性和复杂性,需要采取综合性的管理手段防范综合性的风险。七是有序性原则,也就是企业必须捋顺风险管理的程序和步骤,实行分层管理的方法。随着社会的快速发展,计算机技术也得到迅猛发展,计算机技术已经广泛应用于国有企业风险管理中。目前,国有企业风险管理已经实现了信息化,标准化,企业风险管理工作正在顺利开展。
企业在开展风险管理工作的过程中必须有效的控制企业内外部环境,控制环境可以体现出企业管理者的管理态度,企业管理人员的行为和态度对于员工的行为和态度有很大影响,国有企业风险管理保障因素有:一是风险管理理念;二是风险管理文化;三是风险偏好;四是员工胜任能力;五是人力资源政策;六是人力资源措施;七是反舞弊机制。风险评估是对于企业发展过程中的不确定影响因素进行分析。风险评估是国有企业风险管理中不可获取的环节,企业风险评估是一项系统性工作,需要涉及的内容比较多,而且对于风险评估人员的专业性和综合素质提出了较高的要求,企业必须设置专门的风险评估部门,并聘请专业的风险评估人员展开风险评估工作。控制活动实际上就是对于企业生产经营活动进行监督和管控,主要包括以下环节:一是审核;二是批准;三是授权;四是验证;五是核对;六是经营绩效考核;七是资金保全;八是职务分离。在开展企业风险管理的过程中,企业必须实现信息共享,通过对信息的识别来传递信号。监督是企业开展风险管理中不可或缺的环节,监督包括:一是持续监督;二是独立评估;三是缺陷报告;四是奖惩机制。企业风险管理的重点是:一是重大风险;二是重大事件;三是重大决策;四是重要管理;五是业务流程。企业风险管理还必须按照步骤进行,先急后缓,先易后难,这样才能更好的实现企业风险管理目标。企业在开展风险管理工作之前需要先梳理企业现有的业务流程,然后明确各个部门的职责,并对企业的风险进行评估,把分析得出的数据进行整理,建立数据库,为后续企业风险管理工作的开展提供依据和支持。在新形势下,国有企业必须改变传统的风险管理理念和模式,并健全风险管理制度,风险管理制度包括:一是风险管理授权制度;二是风险管理报告制度;三是风险管理审批制度;四是风险管理责任制度;五是内部审计制度;六是风险管理考核制度;七是重大风险预警制度;八是法律风险制度;九是危机管理制度。
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、企业风险及风险管理的内涵
进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。
1企业风险的实质
首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。
2企业风险的划分
企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:
(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。
(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。
(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。
3企业风险管理
COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”
我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标
对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。
从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容
风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
1审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
3审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:
1审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。
2审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。
需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别的风险的特征;
(2)相关历史数据的充分性与可靠性;
(3)管理层进行风险评估的技术能力;
(4)成本效益的考核与衡量等。
3审查风险评估方法应当遵循的原则
内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。
(四)风险应对措施适当性和有效性审查
内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。
内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、企业风险及风险管理的内涵
进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。
1企业风险的实质
首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。
2企业风险的划分
企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:
(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。
(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。
(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。
3企业风险管理
COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”
我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标
对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。
从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容
风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
1审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
3审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:
1审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。
2审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。
需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别的风险的特征;
(2)相关历史数据的充分性与可靠性;
(3)管理层进行风险评估的技术能力;
(4)成本效益的考核与衡量等。
3审查风险评估方法应当遵循的原则
内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。
(四)风险应对措施适当性和有效性审查
内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。
内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:
关键词:
内审部门;企业风险库
随着企业风险管理工作越来越受到重视,作为风险管理的重要组成部分——风险库也逐步走进了管理层的视野。企业风险库收集、归类、跟踪已识别的各类风险信息,能够帮助管理层特别是内审部门了解、掌握企业的风险现状及变化趋势,是企业风险管理的重要工具。同时,实践当中由企业内审部门承担风险管理工作的情况也屡见不鲜。为此,如何建设及运行企业风险库就成为摆在内审部门面前的一道重要课题。
一、基本原则
企业风险库的建设及运行工作应遵循以下几个原则:
1.先易后难、逐步扩展原则。企业风险库建设涉及到企业管理和运营方面,内容包括内控风险、运营风险、市场风险、财务风险、安全风险、法律(环保等)风险等,其建设与完善绝非能一日而就。作为企业内审部门,可采用电子表格形式,先将比较熟悉的内控风险、运营风险、财务风险等类风险纳入风险库进行监管,待条件成熟后再将其它风险逐一纳入企业风险库进行跟踪管理。
2.形式规范原则。企业风险库是企业风险管理的一个重要工具,它承载着企业风险的识别、评估与应对工作;同时它也是一项重要资源,企业管理层从中获取有用的管理信息和风险提示。因此,风险库的形式必须规范,既能承载企业风险管理的日常工作和信息,又能让相关部门在日常业务中借鉴。
3.定期维护原则。在风险库建立后,运维工作成为关键。没有日常运维的风险库,即使建立时风险数据比较全面,也将逐步脱离企业实际情况,失去其价值。维护周期视企业具体情况而定,但不能少于每月一次。
4.信息化辅助管理原则。随着企业风险管理工作逐步完善,风险库数据量快速增大,日常维护工作耗费大量人力,运行成本变得高昂;风险库应用在企业内逐步推广,维护及使用部门增多,电子表格的协作受到考验。因此,风险库载体由电子表格向专业软件演化将是一个发展趋势。内审部门在风险库设计及日常运行时应充分考虑到这一因素。
二、风险库建设
必要的人员配置和项目预算是风险库建设和运行的前置条件,决定了风险库建设和日后运行状态的优劣。内审部门应充分意识到风险库在风险管理工作中的重要性,成立项目组安排专门人员结合企业实际情况和相关法律法规,制订风险库建设的步骤、方法等计划;报批项目组人员配置、工作职责、项目预算等;拟订风险的搜集、分类、分级、录入、运维办法等。风险数据库建设人员应包括内部审计、内控、法务、财务、企管等人员;后期维护人员应不少于一人,可视企业规模设为兼职,但必须有确定的人员和工作责职。风险库在内容方面和结构要素方面应包含下面内容:
1.内容方面,风险库应当包括但不限于下列分类:战略风险、内控风险、运营风险、市场风险、财务风险、安全风险、法律(环保等)风险等,细分之下还包括生产风险、政策风险、道德风险等。风险的纳入应遵循先易后难、逐步扩展原则。
2.要素方面,风险库应有风险名称、风险描述、分类、等级、控制流程、风险主控部门等要素,内审部门可以根据企业实际情况适当增补部分项目,以达到对风险进行充分管控的目标。风险名称应简单易懂,如“上海办事处售后存货损失风险”。风险描述内容应具体明确。风险分类原则上按内容区别,如内控风险、市场风险、法律风险。风险等级评定时,要考虑具体风险的年发生频次及每次发生的损失金额。控制流程根据企业实际业务流程填写。风险主控部门同时也是风险应对的主要责任部门。风险应对措施不仅包括风险主控部门报送的应对措施,还应包括内审部门对应对措施落实的检查情况。风险状态以风险管理的各个阶段确认,如识别、评估、应对、跟踪、结案等。
三、风险库运行
风险库运行的基本理念是,以数据库作为支撑,通过识别、评估、应对、监控企业风险,对企业管理提供建议,使管理层能够较快做出科学合理的风险决策。同时,跟踪风险的发展状态,实现企业动态风险管理。风险库的运行工作主要包括以下几个方面:
1.识别风险,甄选入库。风险的识别可依据相关的资料和以前的审计发现,使用清单法、调查法、流程图法和事件树等方法来进行。通过上述方法并广泛走访调查,能够相对全面的识别企业所面临的风险。在经过风险识别后,可得出企业运营中的常见风险,进而根据识别出的风险进行甄选,优先将具有管理效益的风险纳入企业风险库。在确定风险等级时,应考虑年发生频次和每次可能损失金额。当风险项目需要采用总分类管理时,可以采用电子表格的分组功能实现。
2.评估风险,组织应对。内审部门应对已纳入风险库的风险项目进行分析,明确风险主控部门和控制流程,并督促风险主控部门制定出相应的风险应对策略和具体措施。在应对策略方面,可供选择的有风险回避、风险预防、风险转移和风险授受等。制订具体应对措施时,风险主控部门应根据实际业务情况和可能发生的损失。内审部门应对制订的应对措施进行审核和评估,以确认是否能够达到企业决策的风险管控目标。
3.监控风险,跟踪落实。内审部门应在企业运营过程中,持续对风险情况进行监控和跟踪。主要途径有风险主控部门定期汇报、日常走访了解、专项审计报告确认等。监控的主要内容包括已识别风险变化情况、风险应对措施实际落地情况和应对风险效果、残余风险和衍生风险情况;针对风险应对措施实际效果考虑是否追加或减少措施。
4.信息共享,全面管理。内审部门定期整理风险库数据,形成报表传达各风险主控部门,内容包括对各个风险的评估、决策、应对措施和处置结果。风险库日常对风险主控部门和相关管理部门开放各自业务范围内的风险信息权限,能够有效提高工作效率并促进风险管理规范花、制度化,达到全面风险管理的最终目标。
综上所述,企业风险库的建设及应用以防范和解决企业风险为主线,通过系统评估和记录企业内控漏洞和风险状况,评判应对措施,有利于加强企业内控工作和增强管理层的风险意识。风险库对于企业建立完善先进的风险管理体系,健全经营管理机制,实现风险“可控、能控、在控”,具有重要的现实意义。
参考文献:
[1]方红星、王宏译.企业风险管理-整合框架/美国COSO[M].大连:东北财经大学出版社,2005.9.
相关概述
进入新世纪,我国经济迅猛发展,社会主义市场经济体系不断完善,同时世界经济一体化和经济知识化、信息化趋势日趋明显,在这种情况下,企业的发展环境有了较大变动,面临的不确定性因素及风险因素日益增多。同时随着金融危机对全球经济造成的持续深刻影响和我国经济社会发展之间协调性的不断增强,我国企业所面临的机会和挑战并存。正是在这一大背景之下,企业有必要进一步强化自身风险管理水平,提高风险管理意识,有效解决企业发展中所面临的风险因素,减少营运风险对企业的影响,保障企业健康持续发展。
当前,我国企业在风险管理方面的经验不足,许多风险管理理论尚没有完全普及。调查发现,企业在日常的风险管理中主要重视运营风险、市场风险以及财务风险等相关的传统风险因素,对于法律风险以及战略风险等非传统风险关注相对较少,企业管理者对于风险管理的流程,如风险规划、风险识别、风险评估、风险评价、风险应对以及风险监控等认识相对清晰,具有一定的认知。企业的关注重点都放在减少企业重大风险带来的损失以及强化企业对自身各个项目的监管等环节。这在一定程度上也反映了部分企业在风险管理中缺少对管理重点的有效认知。
企业全面风险管理的实践分析
部分企业的风险管理机构存在兼职现象,缺少明确的风险管理责任人,缺少健全完善的风险管理机构,这在一定程度上削弱了企业的风险管理效率及风险管理效益。自身的风险管理机构是否健全存在着较大的关联。
总的来讲,企业在提升自身风险管理科学化水平方面具有较强烈的需求和意愿,并做出了较大的努力,但是由于风险管理理念和认知的缺位,企业风险管理的模式仍旧是停留在原有的项目风险管理,仍旧没有形成全面、完整的能够涵盖企业各个层次和各个部门的全面风险管理体系,主要表现在以下几个方面:首先是部分企业对于风险管理的战略地位以及其重要性缺少足够的重视;其次是企业风险管理机制和机构不健全,难以跟上企业管理需求;再次是企业风险管理系统不能够跟企业的经营系统有效结合,造成企业管理上存在漏洞;最后是企业的风险管理文化没有建立,缺少浓厚的风险管理氛围,风险管控理念难以在企业管理层及职工中普及开来。
企业全面风险管理成熟度理论模型
企业将全面风险管理成熟度理论引入到企业的日常管理中,主要是为了采用成熟度模型来进一步评价分析风险管理效果及效率。成熟度模型的最早应用领域是IT技术企业,通过成熟度理论在评价企业软件的开发过程,保障软件的持续改进完善。成熟度模型的使用需要包含两个要素,一是改进的内容,二是改进的步骤,这样就可以有效描述企业如何提升或者改进相关产品的过程。
针对企业风险管理能力及风险管理水平的测量评估,企业需要有效结合风险管理成熟度理论,诊断并发现风险管理的问题和差距,并及时制定相应的措施加以改进。企业实施全面风险管理成熟度理论可以认为是企业如何通过成熟度模型来提升自身风险管理能力的过程的相关框架。风险管理成熟度模型最初只是应用在风险管理的执行阶段,后来随着成熟度模型的不断成熟,企业逐步在风险管理制度建设、过程监管以及人员培养等各个方面强化了运用,实现了风险管理所能达到的成熟度等级要求。
企业全面风险管理成熟度模型应当围绕企业日常经营风险的分析和评估环节,将开发和计量相关的分析模型作为主要手段,同时还应当明确企业全面管理成熟度模型在实际运用中的主要障碍不是技术手段问题,而是相应的企业经济关系及管理机制、管理组织问题。因此,要实现企业全面风险管理成熟度模型的有效运用,还应当将企业放置在良好的政策环境之下,得到相关政府机构的政策支持;同时合理设置相关的风险管理部门或者机构来合理确定和明确企业风险管理责任机制,确定明晰的风险报告线,进一步提升企业管理者的风险管理水平,强化风险管理意识,积极培养企业风险管理文化氛围,并将企业管理者的领导能力、沟通能力及全体职工的风险管理参与水平都纳入到管理范围之中;积极培养和创新企业风险管理机制,并充分利用信息化手段实现企业内部风险知识的分享以及全面风险管理信息系统的有效整合。企业全面风险管理是一个系统化、长期化、持续化的过程,跟企业的日常管理经营活动密切相关,通过科学合理的制度设计和方法运用能够有效对企业的风险管理活动进行评估和监管,切实发挥成熟度理论在企业全面风险管理中的积极作用。表1是企业全面风险管理成熟度模型的等级比较;表2是基本的风险管理成熟度模型。
企业全面风险管理成熟度模型指标分析
AC模型相对比较粗糙,没有建立与企业风险管理相匹配的风险评价指标体系,这就使得AC模型在可操作性上有待进一步提升。而智能模型的指标体系没有经过专家的验证,在分类上也相对不够清晰,指标结构稍微有些混乱。三维模型也是指标过于模糊,难以可靠有效地根据企业指标来综合反映和判断企业风险管理的实际情况。这三个模型都没有明确设定使用行业范围,因此在利用中应当积极结合企业实际,合理选取指标,使之更加具有操作性。表3是本文构建的企业全面风险管理成熟度体系中的评价指标。
强化企业全面风险管理的建议措施
首先,积极创建良好的内部控制环境。企业要想提升内部控制的效率,离不开企业内所有职工的参与,这就需要管理者积极构建内部控制良好环境和氛围,注重企业风险文化的培养。在实施风险管理的整个过程中,企业管理者及职工都需要树立风险防范意识,明确自身所承担的风险防范责任,积极构建内部控制管理网络,并强化风险管理在整个企业管理中的地位及作用,在风险控制的各个关键点都要有明确的内部控制措施,这也是企业实施风险管理的重要前提和基础。
其次,强化企业风险管理责任,构建风险管理框架。风险识别是企业风险控制的起点和基础,缺乏科学合理的风险识别过程就难以保证风险管理的质量和效益,正是由于风险识别在整个风险管理过程中的基础性地位及作用,企业有必要强化对风险的识别和分类,并在此基础上积极追溯企业风险产生的各种原因和影响因素。企业要积极构建符合自身实际的全面风险管理框架,全面、持续、广泛地收集和识别跟企业本身风险或者风险管控相关联的企业内外风险信息,及时发现各种不确定因素。
最后,进一步强化内部控制的基础性作用,并不断进行强化。企业的内部控制要想落到实处就必须制定完善的内部控制规范,并严格执行。企业管理层需要结合自身生产管理特点,制定明确的内部控制操作流程和规范,确定各个管理岗位的具体责任,使得企业内部控制的管理的各项责任都落实到位。只有这样才能确保内部控制规范的严格落实,这对于提高企业内部控制的管理效率低下,保障企业内部控制整体战略目标的实现具有重要意义。
结论
总之,企业经营风险已经成为企业日常管理的重要内容,我国企业面对风险管理的新形势、新内容,都有着迫切的风险管理完善意愿和需求,不少企业的风险管理体系尚未建立和完善,因此有效地将风险管理成熟度模型引入到企业的日常风险管理体制中,能够形成覆盖企业整个部门及生产经营环节、实现多层次立体化的全面风险管控体系。企业在实际应用中还应当积极结合企业自身实际和行业特点,实现企业全面风险管理成熟度模型的可操作性,动态化、精细化地对企业日常管理中的各项经营风险进行管理和控制,力求管理过程的全面、科学和实效,为企业有效应对各种风险及不确定性因素,实现企业健康有序可持续发展提供有力保障和支持。
参考文献:
1.潘吉仁,林知炎,贾广社.建筑企业组织项目管理成熟度模型研究[J].土木工程学报,2009(12)
2.符志民.企业风险管理成熟度评价(下)[J].中国航天,2009(5)
3.丁德臣,何建敏,吴广谋.企业风险管理模型方法综述[J].科学学与科学技术管理,2008(7)
4.李明辉.论企业风险管理组织架构的设计[J].科学学与科学技术管理,2008(1)
5.刘俊颖,刘瑞平.建立组织学习模式提升风险管理能力[J].国际经济合作,2007(2)
6.杨乃定,RolfMirus.企业集成风险管理―企业风险管理发展新方向[J].工业工程与管理,2002(5)
7.朱荣恩,贺欣.内部控制框架的新发展―企业风险管理框架―COSO委员会新报告《企业风险管理框架》简介[J].审计研究,2003(6)
从近些年企业经营实际来看,我国的企业风险管理还处于初级阶段,风险评估有待进一步研究;就我国企业目前情况而言,企业风险评估工作将以建立风险管理体系的基础数据库为重点。
我国企业风险评估的必要性
每个企业在运营过程中都会出现不同程度的风险,这些风险有些对企业运营不会产生较大影响,但有些风险会威胁企业生存,因此,为了企业能够健康稳定地发展,风险评估是非常重要的。企业有可能出现的风险有战略风险、市场风险、资产风险等,有效评估这些风险是企业经营者提高经营能力的重要内容。风险评估与企业效益前景关系密切,风险评估能预测、判断企业的战略选择、组织价格,资产配置和政策环境等很多方面,确保企业在发生损失之前能够做好应对准备,进而减少损失的程度。市场经济产生后,企业需要自行承担风险,但我国绝大多数企业并未意识到风险的危害性,没有形成风险评估意识,风险评估工作的开展一直处于初级阶段,对市场以及内外部风险所带来的风险常常无法很好应对。近年来,我国企业经常会发生无法及时有效应对风险而造成较大损失的情况。企业必须要重视风险管理工作,而在整个风险管理过程中,起最基础作用的就是风险评估。我国企业只有做好风险评估工作,才能更好地应对风险的到来,风险管理工作也才能有的放矢地进行。
我国企业风险评估现状
《中央企业全面风险管理指引》出台。央企代表着我国企业最优的管理水平。但由于风险意识较弱,央企风险事件频繁发生。尽管我国有些企业在国外上市,而企业内部也相应地建立了内部控制体系,但与国际大企业相比,我国企业风险管理水平依旧较弱,究其原因是没有很好地将国际先进方法引入其中。我国一些企业正在酝酿建立风险管理体系,急需一个指导性文件,此时《中央企业全面风险管理指引》出台。国务院国资委对国内外风险管理学术成果和管理实践经验进行了深入研究,在此基础上,国资委进一步对部分央企风险管理状况进行了深入的实际调研,摸清了央企风险管理现状。
央企风险管理现状。虽然央企风险管理在我国已经较为成熟和完善,但是与国外大公司相比,央企风险管理还存在一定的差距,具体表现在:一半以上的企业风险管理还处于传统的风险管理阶段,也就是说,各个职能部分负责各个部门的风险管理,企业缺乏对整个公司的风险管理;完全或部分建立全面风险管理体系的企业仅占20%左右。
中小企业风险管理。中小企业资产规模虽然不及央企,但却与央企一道成为我国国民经济的基础力量。相对大型企业和国有企业,中小企业更容易摆脱改革前的生产束缚,更容易融入到新的市场经济中,进而得到快速发展。中小企业风险管理的特点如下:一方面,中小企业的风险管理理念较为落后,风险管理意识淡薄。中小企业在发展和管理过程中有一个明显的特征就是重速度、重量轻质。中小企业完善的内部控制体系相对较少,使得这些企业当中的管理者和员工普遍缺乏风险意识。另一方面,中小企业抗风险能力较弱,在资金、管理、技术等方面都无法与大型企业相比,这些弱势使其更容易产生风险,另外,中小企业抗风险能力有限,一旦产生较大风险,容易造成巨大损失,甚至对企业发展产生较大的阻碍作用。再者,中小企业风险管理水平滞后。中小企业虽然在很多方面都无法与大企业相比,但是其灵活性较强也是一大优势。
首先,投资少、规模小、组织结构简单,相对来说,投资回报周期就短;其次,灵活性强,其可以根据市场的变化而调整自己的战略;再次,中小企业生存和发展所需要的环境要求较低,更容易存活。尽管如此,中小企业组织结构简单在一定程度上也阻碍了风险管理工作的开展。在中小企业中,一般很难设置专门的部门和专门的人员来负责风险管理工作,而且,中小企业软硬件基础也相对薄弱,没有建立好完善的内部控制制度和风险管理机制,进而中小企业是很难进行全面风险管理的。
企业风险评估方法
所谓基于内控的全面风险管理体系,简单地说,就是在内部控制建设的基础上,构建全面风险管理体系,是适合已经建立内部控制体系的企业进行全面风险管理建设的一条创新路径。这既符合国际上内部控制逐步向全面风险管理发展的潮流,也是中国企业构建全面风险管理体系的现实选择。
3C框架和流程
中天恒管理咨询公司经过多年的探索和实践,专为中国企业打造的3C全面风险管理基本框架(下文简称“3C框架”)如图1。
3C框架从总体结构上是按照目标体系、风险整合、管理融合来安排的,形成了由目标体系、风险整合、管理融合组成的有机体系,贯彻严密的目标――风险――管理的逻辑关系。
企业目标是一个相互联系、相互依存的目标体系。全面风险管理作为企业管理的一项核心内容,可以把目标确定作为全面风险管理的前提条件进行关注,并将其贯穿于全面风险管理工作的始终。
风险是对企业目标实现产生影响事项发生的不确定性,包括了危险和机会,是一个全面的概念。风险偏好、风险意识、风险理念、风险文化是企业全面风险管理的软要素,是企业实施全面风险管理必须明确的基本概念。把企业主要风险整合起来,是全面风险管理的一个基本标准。
全面风险管理是为合理保证企业目标实现,对企业风险进行全面管理的动态过程,是对企业风险进行整合管理的过程,是艺术和科学的结合。全面风险管理目标、意义、主体、内容、流程、方法是企业全面风险管理的重要内容,是必须明确的;全面风险管理政策、战略、策略、决策是企业全面风险管理的基础,影响整个全面风险管理工作;全面风险管理信息、沟通、学习应贯穿于全面风险管理工作的始终。这些都应该从总体上予以明确。
全面风险管理融合,是企业风险管理自身内部的融合,是企业风险管理与企业业务的融合,是企业风险管理与企业管理的融合。全面风险管理与企业管理需要融合的内容很多,其中最重要的就是要做到内部控制与风险管理的融合。
3C框架与COSO的不同
3C框架没有直接引入管理要素概念,从总体看包括目标、风险、管理三个方面;从流程看包括管理准备、管理实施、管理报告和监督改进四个方面。
3C框架把COSO全面风险管理框架“事件识别”定义为“风险识别”;把COSO全面风险管理框架“风险评估”细化为“风险分析”、“风险计价”、“风险评价”;把COSO全面风险管理框架“控制活动”重新定义为“风险控制”;把COSO全面风险管理框架“监控”改为“监督改进”,并细化为“风险监督”、“风险审计”、“管理改进”等。