发布时间:2023-12-18 15:24:52
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业风险管理的特征范例,将为您的写作提供有力的支持和灵感!
随着我国改革开放层次加深,范围更广,市场经济发展飞速的同时,受到的国际市场冲击以及市场经济本身的不稳定性都会导致市场经济主体――企业生存风险的产生。对于任何事物来说不确定性和风险对于其生存与发展都具有重要影响作用。为了能够在激烈的市场竞争中发展壮大,企业必须重视风险管理,只有完善的风险管理制度才能够使得企业化险为夷,避开各种市场风险,甚至是做到险中求胜,抓住机遇加快发展。
一、企业风险管理基本介绍
追溯历史,我们会发现风险管理在我国历史悠久,风险管理思想最早产生于夏朝,主要是用于天灾人祸下的粮食储备制度。国外学者于二十世纪三十年代提出风险管理概念,认为风险管理重点是“风险”以及“管理”。迄今为止,最经典的风险管理定义就是威廉姆斯(Williams)在其著作《风险管理与保险》中为风险管理做的定义,即:以组织目标为依据,以最小费用运用风险识别、风险评估、风险应对以及风险控制措施解决企业所面临的的中风险危机的管理过程就是企业风险管理。国内学者也对风险管理进行了各种定义,总结归纳,作者认为所谓风险管理就是企业对所面临的的风险及时预测、及时评估其对企业运行的影响,然后依据影响的范围和程度,设计出风险应对方案,以期在风险中企业受到的损害最低,获得的利润最大。
二、我国企业风险管理发展历程
风险管理发展的历程划分并不统一,但是学术界共同认为风险管理真正意义的开始阶段应该是二十世纪三十年代的美国,并且于六十年展成为现代化管理手段,而风险管理全球性的普遍应用则是二十世纪七十年代,九十年代风险管理整体概念得到极大的发展。
对于我国企业风险管理发展历程的划分,国内学者亦各有不同观点,例如,国内学者王农跃、严复海等将企业风险管理划分为三个阶段,依据时间顺序依次是:传统企业风险管理――现代企业风险管理――全面企业风险管理。作者在深入研究众学者的理论成果的基础上,结合我国企业风险管理实践活动发展情况认为我国企业风险管理发展历程可以分为两个阶段,即:财务以及保险风险管理阶段和企业整体风险管理阶段。
1.财务以及保险风险管理阶段
财务以及保险风险管理阶段时间基本为20世纪30年代初至20世纪90年代初,这个阶段也是我国企业风险管理思想萌芽形成阶段,风险管理涉及的企业管理内容主要是企业财务风险和可保风险。这个阶段概括起来有以下几个特征。
首先,模型化的定量研究是这个阶段风险管理研究的主要方法。此阶段代表性理论著作成果是国外学者赫尔其和梅尔于20世纪60年代初期出版的《企业风险管理》,书中将数理统计技术和概率论引入企业风险管理研究中,标志着企业风险管理的研究逐步趋向于专门化和系统化。
其次,此阶段风险管理研究由美国扩展至世界各地。这个阶段也是我国引入风险管理研究的最初阶段。全球越来越多的国家的企业开始重视风险管理的重要作用,并且将风险管理与营运管理、战略管理定位企业管理的三大主体。
再次,非金融工商企业开始重视风险管理研究的作用。风险管理的最初起源于保险行业,后来迅速为证券行业、投资行业、银行业等金融行业所采纳并加以发展。但是20世纪50年代由于著名公司通用汽车公司发生火灾事故引发非金融工商企业对于风险管理的重视,风险管理研究在非金融工商企业界迅速发展。
最后,财务风险和可保风险是这个阶段风险管理研究的主要内容,企业应对风险的主要手段是保险。虽然这个阶段风险管理风险管理已经得到了非金融工商界的重视,但是风险管理的研究领域主体依旧是金融保险业,这也就是的了风险管理研究多多少少都带有金融保险的行业特性。例如,20世纪60年代Beaver发表的论文《财务比率与失败预测》中基本就是采用金融保险行业的数据进行分析;20世纪70年代初期,Scholes和Black联合发表的风险管理理论研究资料基本都是金融期权定价相关理论。
这一阶段我国企业风险管理的发展历程附属于世界企业风险管理发展阶段。虽然起步比较晚,但是基本发展特征与国外相似,但是也具有一定的缺点,主要有:企业战略与风险管理不相配,风险管理没有放到企业发展战略地位;没有独立的风险管理部门,风险管理基本由内部审计、会计、财务管理部门分别进行,风险管理主观性较强;风险管理的研究基本是独立进行,没有考虑到市场是持续、动态变化的,企业仅仅从某一片面、单一层面上进行风险管理的研究,缺乏全局性和整体性的考虑。
这一阶段,我国风险管理比较经典的代表作是20世纪90年代初香港保险总部出版的《风险管理手册》和20世纪80年代初台湾学者宋明哲所著的《风险管理》。
2.企业整体风险管理阶段
20世纪90年代世界政治和经济环境发生巨大变化,世界各国银行个体倒闭最终引发拉美部分国家金融动荡、亚洲金融危机、墨西哥金融危机等较大金融整体风险动荡,促使风险管理由财务和保险局部领域扩展至企业整体层面的风险管理研究,每个企业都在寻求建立完善的全面风险管理体系。
受世界金融动荡的影响,我国风险管理研究阶段也由财务和保险局部风险管理开始拓展至企业整体风险管理体系的研究上。整体风险管理体系的建立需要在旧的风险管理方法和技术基础上进行各种创新工作,不断协调企业各方利益,全面考虑风险的影响因素,通过有效的风险组合做到整体风险的规避,实现企业最大利润。与财务风险和可保风险阶段相比,这个阶段基本特征有以下几点。
首先,企业风险管理更加职责化,并且形成连续性风险管理制度。这个阶段我国企业设置独立风险管理部门,建立了具体的风险管理机制,这样企业风险管理不再是管理层主观意愿,而是企业管理职责组成部分,风险管理更加连续化。
其次,模型化的风险管理研究模式转变为框架标准化风险管理研究模式。在参照国外企业风险管理的有效理论的基础上,国务院国资委于2006年制定了《中央企业全面风险管理指引》,《中央企业全面风险管理指引》是我国第一个风险管理框架,具有一定的权威性,对于企业进行框架标准化风险管理研究具有重要指引意义。
最后,风险管理更加注重企业整体风险组合的研究管理。这个阶段企业不再仅仅局限于对企业财务风险的管理,更加注重企业各个部门风险整体的应对。例如,在应对市场造成的产品风险时,财务风险以及各种产品市场风险相结合,制定最佳生产计划应对市场风险,保证企业在风险中获得最大经济效益。
三、我国企业风险管理发展展望
综合我国企业风险管理发展历程以及经济发展水平,作者认为我国企业风险管理发展趋势主要有:
首先,企业风险管理目标将由传统被动风险处理向风险预防、风险转嫁以及风险价值利用转变,企业风险管理活动重点向风险开发、风险利用和风险经营转变。
其次,企业风险管理中母公司从外部以股东身份对子公司进行各种风险管理标准会得到完善。由于母公司与子公司之间的委托理论以及两权分离理论,目前关于企业内部风险管理的系统标准很少有涉及到母公司对于子公司的各种风险管理条例,所以如何进一步完善作为股东身份的母公司对于子公司的各种风险管理标准将会是我国企业风险管理发展的一个新方向。
再次,企业风险管理研究的主流趋势将会是企业整体层面风险管理体系,也就是企业集成风险管理以及风险管理绩效评价的研究。随着我国市场经济进一步成熟,市场开放度更加深层次以及全方位,各种国内外市场风险的冲击必然使得根据企业管理战略目标制定企业集成风险管理目标的集成风险管理将会受到企业的重视。与传统风险管理不容,集成风险管理具有明确的目标体系,总目标与企业战略目标相吻合,各级企业部门根据本部门职能对总目标进行分解,得出本部门具体的子目标,各级目标具有鲜明的层次性,形成树状目标体系图。与此同时,风险管理成本效益等的绩效考核也会日益成为各企业以及理论研究者重视的内容。
最后,未来我国企业风险管理研究的主体不再是单个的学者,各种经济组织或者政府将成为企业风险管理的研究主体。就像区域经济组织合作是经济全球化必经之路一样,我国各个行业要得到极大的发展,合作式经济组织必然会日益成为企业之间共赢的必然手段,所以风险管理不会再局限于某个企业,经济组织整体风险管理会逐渐成为风险管理的研究主体。另外对市场经济起引导以及宏观控制的政府也会参与整体市场经济风险管理的研究,因为经济全球化中的各种冲击,要想我国市场经济顺利规避各种风险,企业风险最小化,离不开政府的宏观控制。
结语:总之,企业风险管理对于企业规避风险,快速发展壮大具有重要意义,我们要在了解企业风险管理发展历程的基础上做好对未来企业风险管理的正确预测,科学合理借助风险管理解决企业运行中各环节遇见的风险,或者在市场风险中做好企业展战略决策。
一、企业风险管理中各层面需求与行为分析
本文首先从企业的所有者、职业经理人、一般管理人员、普通员工在业务环节中产生的风险程度、避免风险的利益分配、风险责任的大小、风险管理工作的复杂性这几个方面,探求其一般想法和需求,以及不同的行为特征,去寻找推进风险管理的着力点。
第一,业务环节中产生风险程度的分析。从企业面临风险的来源看,主要分内部风险和外部风险,从数量上看,内部风险远大于外部风险。而内部风险中,企业所有者、职业经理人、一般管理人员、普通员工这四个层面中,管理行为偏差所带来的风险程度是不相同的。控制和防范风险的重点环节首先是在企业上层,它是一些决策、市场经营、重大管理思路带来的风险。而这些风险是隐形的,往往伴随着重大风险损失。企业基层环节的风险,一般是管理措施和操作性失误的风险,相对来说对企业整体影响不大。所以说,企业中所有者、职业经理人、一般管理人员、普通员工行为偏差对应造成的风险大小程度应是由大到小。
第二,规避风险行为的各层利益分配。因为加强了企业风险管理,实现了企业规避风险、减少损失或者获取更大利益的目标,企业的所有者、职业经理人、一般管理人员、普通员工这四个层面人员的得益也不尽相同,其最终得益分配是从大到小。根据行为动机趋利性的原理,得益不同,其行为动力也不同,所以全面风险管理的主要动力必然源于企业高层。
普通员工层面得益最小,行为动力必然也小。如果把风险管理措施制定得较为复杂,未经细化和简化地在这层面实施,出现偏差的概率会较高。风险管理措施复杂,必然会带来管理成本的升高,不符合企业管理中以最小的投入获取最大效益的原则。因此,风险管理措施必须以较简单的操作方式,在普通员工层面完成,才会有较好的效果。
第三,风险责任在企业各层中的分配。如表1所示,职业经理人是控制风险管理措施的关键环节,一般管理人员是避免风险造成具体利益损失的关键环节。各个管理层所承担的风险管理责任是不相同的,他们在企业加强风险管理的工作目标下,根据自身责任的情况来规避风险,进行管理。在追究因风险管理工作不力而造成损失的责任中,企业各层次承担的责任是不一样的。企业日常大量的经营行为决策是由职业经理人决定,所以在承担风险管理责任时,理论上职业经理人的责任应该更大。但是,很多风险管理责任的出现,是由某些管理的具体行为所引发,某些管理行为就成为产生风险责任的载体。因此,职业经理人就可借此分摊风险责任,这样职业经理人尽管承担着较大的风险管理责任,但其直接经济责任相对减轻。于此同时,一般管理人员和直接造成风险责任的岗位员工就相应承担较大的经济责任。
第四,风险管理工作的复杂性在各管理层的分配。从风险管理工作具体落实的复杂性而言,在各管理层的分配也是不相同的(见表2)。从表2可以看出,企业风险管理工作量最大、工作复杂性最高的是在一般管理人员这个层面。他们是企业全面风险管理工作的支撑点,也是整个工作是否有成效的关键。
所以,从业务环节产生风险程度、避免风险的得益分配、风险责任的大小、风险管理工作的复杂性这几个方面看,要抓好企业的全面风险管理,所有者是由企业的自身利益机制制约形成动力,而职业经理人和一般管理人员从职责上划分是决定整个风险管理的核心层面,风险评估这一核心环节也是在这一层面中实现,风险规避的各种措施同样也是由这一层面组织贯彻落实。
二、企业风险管理动力体系
从企业风险管理的行为特点可以看到,在风险管理的不同层面存在着各种不同的利益和管理需求。从风险管理的动力来源看,其同样存在着各种不同的推动形式和组合。
风险管理内在动力主要是来源于企业的利益需求、责任落实、行为习惯等,其利益、责任的大小及习惯特征也就影响着整个风险管理的不同组合类型,会在风险管理中形成利益驱动型、责任驱动型、习惯驱动型、混合驱动型等作用力大小不等的风险管理方式。因此,也就自然形成企业风险管理中的千姿百态,如图1所示。
充分认识风险管理的行为特点、动力机制,我们就能更好地抓住风险管理的中心环节。根据每个企业所处的行业特征,掌握企业内部风险管理的主要矛盾,风险管理的动力及其程度,风险管理的措施就会有的放矢,高效低成本地推进风险管理工作就有了坚实的基础。
三、企业风险管理文化与持续动力机制的建立
通过一些活动和措施使企业避免一些可见损失的发生,企业是非常愿意去完成的。但对于一些长期的、需一定成本的全面风险管理工作,未必每个企业都愿意长期、认真的去做,特别是一些未曾遭遇过重大风险事件的或只是在已见风险时才去做的企业,这都是很正常的。进行全面风险管理,使企业健康、稳定、持续地发展,就必须要有企业风险管理文化的支撑。
第一,促进企业风险管理文化形成。企业不可能通过经受风险的重大伤害去认识风险,并去建立风险管理文化,因为有一些企业可能在一次风险的经历中已经消亡。当企业或个人的利益受到风险的重大伤害,那么其对风险影响的认识必然会十分深刻。通过制度来管理和认识风险虽然有效,但是由于处于被动的状态,容易不断被淡化。笔者认为,促进企业风险管理文化建立,要以风险管理制度建设为基础,以小风险或剩余风险损失案例教育为思想动力,不断强化风险意识。要基于管理人员的类型、习惯,对风险的认识和行为偏好、利益关系、奖惩制度、工作能力等多因素的基础上,以企业发展目标为主导,调和各种动力和因素,形成风险管理思维和工作习惯,去实现企业风险管理文化的建立。有效的企业风险管理需要风险管理文化的支撑,因为人们都有规避风险的意识,但在利益追求中却很容易产生低估风险、淡忘风险的倾向。所以企业风险管理文化的形成是有一定困难的,不可能一蹴而就,企业风险管理文化的形成需要一个过程和一些经历。
第二,企业风险管理持续动力机制的建立。当企业通过努力形成风险管理文化后,风险对企业的伤害必然会大力减少,人们对风险危害的意识也会逐步弱化,这就需要企业去建立起全面风险管理的持续动力机制。在前文分析企业风险管理动力体系的基础上,从管理原理去分析,全面风险管理的持续动力机制必须保持对企业风险管理工作的不断刺激,使全面风险管理为企业规避风险带来新的、现实的和潜在的价值。另外,全面风险管理的持续动力机制能从制度和利益的角度约束企业员工按照企业全面风险管理的要求,不断循环检查、调整工作去适应变化,规避风险。因此,可以按上述二个方面的要求,去建立全面风险管理的持续动力机制。根据对风险管理的研究,结合企业的实际情况,提出一个管理循环体系。
图2来实现全面风险管理持续动力机制的目标。
要建立一个有效的全面风险管理持续动力机制管理循环系统。首先要充分利用企业本身的内部控制监督成果,就是利用审计结果及审计发现,去贴近企业管理中已存在的风险问题。将工作计划、审计结果、经营环境分析三者结合起来,作为风险评估的工作前提,就能直接发现和处理风险问题,提高效率,降低管理成本。让企业更直接看到风险管理的作用和效果,全面提高推进风险管理工作的动力和积极性。其次,要对企业因风险所造成的损失,分清是固有风险损失还是人为风险损失。对人为的风险损失,要制定企业风险损失责任追究惩戒办法。要引导员工学习风险管理知识和技能,学习规避风险的方法,并通过企业内、外部风险损失案例的教育培训,不断促进全员风险意识的强化,形成全面风险管理强有力的环境压力势态和个人利益约束机制,保证全面风险管理工作在整个企业能有效推进,规避发展中的风险,服务于企业的长期效益。通过分析,可充分认识到企业风险管理中,管理人员的一般行为规律、风险管理的动力体系,因此,笔者认为应以风险管理制度为基础,以剩余风险损失循环教育作为思想动力,以风险损失责任追究制度为保障,寻找风险管理中企业和人的利益、责任、行为习惯对风险管理的推动作用和合力点,去形成企业风险管理文化中的压力和动力。
综上所述,将上述各种因素联系起来,形成一个循环管理系统。在不断保持风险管理方式的动态变化下,对原有动力系统按新的环节进行改造,进行新的平衡设计,使企业内部产生风险管理的持续的动力机制。
现阶段,我国的社会经济发展已经逐渐步入了“新常态”,从增长速度上来看,已经从高速增长转变为了中高速增长;从发展方式层面出发,已经从依靠资源要素以及投资驱动转变为了创新驱动。目前的经济发展“新常态”促进了企业管理工作的“新常态”,内部审计作为现代企业管理的重要组成部分,应找准与现代企业管理的结合点,积极主动适应经济发展新常态。随着内外部环境变化,企业经营环境变得日趋复杂,各种风险日益增多,正确认识风险和风险管理的意义,寻找风险管理的有效途径,帮助企业及时、有效地预防和应对风险,是推进内部审计工作创新发展的途径之一。本文从内部审计参与企业风险管理的意义出发,指出内部审计参与企业风险管理的途径和方法,并进一步探讨了内部审计与风险管理结合在企业中的应用和实践。
一、企业风险管理的概念
2004年9月,美国COSO委员会在《内部控制整合框架》的基础上扩展形成了《企业风险管理整合框架》(COSO-ERM),为现代化企业风险管理工作提供了一个相对全面的指南。基于COSO框架,企业风险管理主要是由企业中的董事会、管理人员以及其他工作人员在计划方案制定的时候以及在整个企业中实施的、用于识别可能影响组织的潜在事件并根据风险偏好管理风险,为组织目标的实现提供合理保证的过程。
二、内部审计参与企业风险管理的意义
从企业内部管理来看,内部审计是企业风险管理中的关键性组成部分,充分发挥着提升风险管理水平的重任;从内部审计发展进程来看,参与企业风险管理逐渐发展为内部审计工作的专业化发展方向与业务拓展的主战场。此外,内部审计工作作为企业内部有着相对超脱以及独立身份的专业化机构,能以更加全面、深刻和专业的视角仔细观察分析以及评价企业发展期间所面临的多种内部风险因素与外部风险因素。内部审计可以充当现代化企业风险控制管理的最后屏障,发挥安全网的作用。具体来说,内部审计不仅能够凭借监督身份实施独立性企业风险评估,而且还能够凭借服务职能上的优势全面参与到相应的风险管理建设中去,最终实现内部审计工作健康发展以及大胆创新,从根本上提升审计地位。此外,风险管理方面的专业化理论与实践的发展同样可以促进企业内部审计在价值层面的保值增值,创造更大的业务空间以及发展平台,实现内部审计逐渐从传统财务向非财务领域的科学化过渡发展。
三、内部审计参与企业风险管理的途径和方法
(一)协调组织风险管理决策
内部审计在企业中具有的独特组织地位,大多数企业的内部审计分布于各个组织系统和各个基层单位的内部,对企业的业务接触全面,能够在企业企业风险管理以及改进等环节发挥组织协调的作用。其次,内部审计人员跟其他具体的业务职能人员相比,更能避免逆向利益驱动、环境影响、反道德行为等可能导致风险管理失效或不彻底等情况的发生,有助于其发表专业、客观的意见,协助设计和实施企业风险管理。再次,内部审计可以协助企业中的不同部门对各种风险进行不断完善,制定出合理化的处置方案,致力于优化企业的风险应对措施,日益完善风险防范管理方案,从根本上减少由于风险而造成的企业损失。但是,内部审计执行协调角色职能时,应避免承担相应的管理职责,且不能因协调业务而损害其独立性。
(二)提供咨询服务
内部审计针对企业风险管理开展咨询业务的深入程度取决于企业风险管理的成熟度。当企业尚未建立全面风险管理框架时,内部审计应该作为企业风险管理的推动者,将企业风险管理的意识引入到企业文化当中,从而使每个岗位上的员工都形成风险意识。当企业逐步建立全面风险管理框架时,内部审计人员应充分发挥自身具备的全局视野和专业技能,适时根据企业战略目标、经营策略的调整以及自身财务知识结构、所处外部经济环境的变化,不间断地改进和完善企业风险管控的组织结构和业务流程,使之能持续符合企业的风险承受能力,为企业长期发展保驾护航。此外,需要引起注意的是,当内部审计机构开展咨询服务工作的时候,必须要充分考虑自身的专业化胜任能力。具体来说,内部审计的相关工作人员必须要有着相对较强的风险管理知识以及操作技能,而且应经过专业化培训教育,可以清楚了解风险识别情况、风险评估情况、风险监控情况等。
(三)评价企业风险管理过程
内部审计应从以下几个方面对企业风险管理过程进行评价:一是评价企业风险管理组织结构是否充分、适当和有效,对于其设计和运行存在的缺陷和不足提出针对性改进措施,充分发挥内部审计的咨询职能,使风险管理组织结构更具有合理性。二是在熟悉企业战略目标和经营业务的基础上,针对不同项具体评价其风险识别是否全面,风险等级划分是否合理。
(四)跟踪风险控制活动
从实际操作来说, 企业风险管理框架的执行远比框架的设计重要,一个设计完美的管理框架可能因判断错误、执行人的胜任能力和内外部境变化等因素而失去其应有的作用。因此,内部审计人员应当对风险所处环境及其他相关因素开展持续性监测和分析,动态关注企业风险监控体系是否健全及执行效果,也可以通过对内部审计揭示披露风险或问题的处理情况开展后续跟踪检查,检查所实行的控制措施是否及时有效或产生新的风险,并将检查结果及建议提供给企业管理层以便改进风险控制措施。
四、内部审计与企业风险管理结合在企业的应用和实践
根据国资委《中央企业全面风险管理指引》以及《关于2012年中央企业开展全面风险管理工作有关事项的通知》要求,中国铁路总公司及其所属铁路局已经在探索如何将内部审计与企业风险管理进行有益的结合,并针对高风险领域及管理层关注的问题开展了一系列专项审计和调查,提高了内审的效率和效果,也证明了与企业风险管理的整合是内部审计发展的主要方向之一。例如,中国铁路总公司对铁路基建项目建设情况进行跟踪审计,就工程的立项、预算、招标、合同、实施、验工计价、验收、竣算、付款等各环节进行审计,对发现的问题及时提出管理建议并协助整改,保证了工程项目优质高效快速的建成;南昌铁路局内部审计部门根据与企业风险管理战略目标匹配的业务重点,开展了全局非运输企业物资贸易经营风险防控管理情况、职工保障性住房建设资金管理情况等专项审计,为管理层的后续决策提供了依据,促进了企业风险管理的持续改进。这些专项审计和调查对现阶段国有企业内部审计工作的开展无疑有着很好的示范作用,但是铁路企业因其特殊的历史原因和体制问题,长期以来将安全风险管理作为企业风险管理的主要目标,缺乏将战略风险、财务风险、市场风险、运营风险和法律风险整合的全面风险管理体系,还处于风险管理的初级阶段,不够系统和规范。笔者尝试根据企业风险管理流程,设计了风险管理基础审计的一般程序,希望能起到抛砖引玉的作用。
(一)计划阶段
内部审计部门制定年度审计计划时,应对识别出的风险事件评估后进行风险排序,确定审计先后次序。审计计划制定后并非一成不变,当管理层的目标、方针和关注点发生变化时,应对审计计划进行适时调整,重新分配审计资源。其次,在执行审计业务计划的过程中,如果出现内部审计资源不足或审计范围受到限制的情况,内部审计部门负责人应及时向企业管理层报告,以避免无法获取充分、适当的审计证据,导致审计结果出现偏差。
(二)准备阶段
风险管理审计的准备阶段是进行风险管理审计的基础,这一阶段所需进行的准备工作主要包括:了解企业的风险偏好和战略目标、业务层面目标的风险承受度;在审计业务范围内实施初步调查后,确定审计目标和审计领域相关风险、控制程度及可利用的内审资源;审计方法的选择等。
(三)实施阶段
1、根据审计范围选取合适的风险评价标准
内部审计人员在选取风险评价标准时,应考虑该风险评价标准是否符合被审计单位的实际情况;是否涵盖大部分的风险领域;风险特征是否鲜明清晰,对环境的变化是否具有弹性。
2、对审计范围内的风险进行分析和评价
内部审计人员结合企业经营战略制定和部署,采取定量分析与定性分析相结合的方法对风险实施综合性评估。通常情况下,风险评估坐标图属于相对常见的分析方法,属于定性分析法,主要是借助对风险带来影响大小的反映,将此结论与风险可能出现的情况进行密切关联,从根本上为明确业务风险次序提供合理化框架。定量分析方法则可以通过采集足够多的风险样本,利用专业工具和技术建立概率模型量化风险来确定风险评级;再按照初始设定的影响程度和可能性估值,计算风险评分,将评分较高的风险列作主要风险,评分较低的风险列作次要风险,然后对风险进行优先次序的排列。
3、对风险应对措施进行评价
在确定了风险的范围、发生的可能性、可能造成的损失等因素后,是否正确地选择了风险应对策略,最大限度地降风险是内部审计人员的重点关注点。风险应对策略一般来说有规避、控制、转移、承受四种,每种策略的使用是有条件的,否则将认为措施不当。内部审计人员应结合被审计单位的风险偏好、企业所处的环境特征、风险程度以及企业管理人员的经验等,来判断企业风险应对措施选取是否适当。
4、对风险管理框架进行评价
内部审计部门应在众多单项风险评估的基础上,评价企业风险管理框架的充分性和运行的有效性。包括:评价风险控制体系所具有的有效性特点,也就是说风险控制体系的应用是否可以获得相应的预期效果,最终实现预期的实际控制目标;科学评价风险控制体系是否存在重大差异和缺陷,发现后是否及时进行了纠正或改进。
(四)报告阶段
风险管理审计报告就是内部审计的工作人员针对审计过程中所发现的相应风险水平以及对于组织目标所产生的影响作出的评价结论和控制过程评价报告,除具备内部审计报告的要素外,还应简明易懂、有建设性意见。可以三种形式发表评价结论:一是无保留意见,即经过审计没有发现风险管理体系存在普遍的相对严重的薄弱环节;二是保留意见,也就是审计可以发现风险管理体系当中存在的相关管理漏洞或者是薄弱环节,然而整体上是不至于失效的;三是否定意见,也就是风险管理体系有重大漏洞或严重的薄弱环节,风险管理体系整体上作用很小甚至失效。
(五)审计后续阶段
内部审计部门应对审计结果进行跟踪检查,监督管理层已采取有效措施,确保审计建议能够得到有效落实;或管理层针对审计中发现的问题,决定接受不采取行动所带来的风险。
参考文献:
[1]内部审计在治理、风险和控制中的作用[M].西苑出版社,2008年
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、企业风险及风险管理的内涵
进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。
1企业风险的实质
首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。
2企业风险的划分
企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:
(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。
(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。
(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。
3企业风险管理
COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”
我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标
对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。
从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容
风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
1审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
3审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:
1审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。
2审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。
需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别的风险的特征;
(2)相关历史数据的充分性与可靠性;
(3)管理层进行风险评估的技术能力;
(4)成本效益的考核与衡量等。
3审查风险评估方法应当遵循的原则
内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。
(四)风险应对措施适当性和有效性审查
内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。
内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:
一、企业风险及风险管理的内涵进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。1企业风险的实质首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。2企业风险的划分企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。3企业风险管理COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
对于企业经营管理而言,风险管理是其中至关重要的一环。然而,在企业开展风险管理过程中,作为企业风险管理中必不可少的一部分——风险沟通体系并未发挥其应有的作用,并且企业在经营管理过程中,对风险沟通体系的建设缺乏有效重视,由此使得这一体系难以为企业风险管理提供有力支持,如此一来,要求企业推进对风险沟通体系的有效研究。由此可见,对企业风险管理中的风险沟通体系建设进行研究探讨,具有十分重要的现实意义。
一、企业风险管理概述
企业风险是企业在经营过程中会引发的风险,因而亦可称之为经营风险。依据《中央企业全面风险管理指引》,企业风险指的是未来的不确定性对企业实现其经营目标的影响[1]。企业风险管理是企业在经营管理过程中,致力于将一系列不确定因素引发的结果管控在预期可接受范围内的方法及过程,从而保障及推动企业全面利益的实现。企业风险管理是企业每个阶层、每个部门、每个员工均所需关注的。对于企业而言,建设起一个科学完备的企业风险管理体系是尤为关键的。科学完备的企业风险管理有助于评估企业潜在的风险,使企业在有准备的前提下,采取相应的防范对策。因而,现如今越来越多企业认识到开展好企业风险管理工作的重要性,并不断致力于建设健全企业风险管理体系。所以,对于现代企业而言,以风险管理为导向的企业运营,是一种相对科学的管理模式。
二、企业风险沟通体系概述
风险沟通的形成以风险感知为重要前提,换而言之,风险沟通的达成是依托公众心理层面对风险的一种及时感应状态来开展研究的。作为研究人员所提出一项科学性概念,由此如同每种发生的或潜在危险的事件均可释放出一个信号,该信号在传输过程中往往会受到来源于公众心理的一系列影响,然后利用自身的主观感知对风险事件予以定性判断,此类主观感知的因素通常会影响公众的判断,由此要求引入第三方,以此为公众判断提供一定帮助,由此便形成了风险沟通。如此一来,有助于防范产生慌乱的局面,虽然公众心理既有感性的一方面,也有理性的一方,然而人群海量信息的传播同样是所需评价的一项重要因素,因而,有效地解决此类问题的重中之重便在于建设起科学有效的风险沟通体系。
三、我国企业风险沟通体系发展现状
伴随我国企业风险沟通体系的不断发展完善,当前的体系可很好地推动我国企业的不断发展,并且伴随近年来与发达国家交流活动的日益频繁,及相关人员专业素质的逐步提高,我国众多企业风险管理意识得到了显著提升,然而需要明确的是,相较于一些发达国家,我国企业依旧存在诸多不足,且表现主要表现为风险沟通体系依旧停留于单方面的沟通模式上,内部与外部的风险管理并未能实现有机相融,以及风险沟通中企业难以营造出和谐的运行环境,等等。
四、企业风险管理中的风险沟通体系建设措施
(一)建设健全企业内部风险沟通体系
建设健全企业内部风险沟通体系,具体而言:其一,企业风险沟通应当对企业经营管理中各式各样风险予以有效感知。结合企业的风险管理流程,对企业面临的风险开展评估识别,然而这一风险评估过程与传统意义层面的评估是截然不同的,即便在对企业风险进行识别时,所面临的风险是大同小异的,然而传统的风险评估通常是掌握风险的种类及严重水平前提下开展的,而风险沟通中所需掌握的此类风险,主要是掌握该部分风险信息在传输时第一时间对企业造成影响与否[2]。换而言之,在风险沟通中,其重中之重是关注风险信息传输后所造成的结果,所以,在风险沟通中的风险感知,应当进行有效定位,充分结合企业实际情况,企业的组织结构、员工的综合素质、企业的文化等因素均很大程度上影响着风险信息传输,任何一环出现问题,均会对信息的传递造成不利影响,由此要求企业在开展风险管理时,应当尽量把控好每一项影响因素,并对潜在的一系列问题进行预先评估及处理,实时监测沟通渠道畅通与否,有效感知企业异常情况,为建设健全企业内部风险沟通体系奠定坚实基础。其二,构建企业内部参与者相互间的合作关系是体系建设的重中之重。对于企业风险管理的每一位参与者来说,对企业面临的各种风险均有着自身不同的观点与认识。因为工作岗位、专业素质等的差异,使得不同参与者对风险管理的认识与侧重角度不尽相同。所以,企业风险管理过程中应当有效认识到此类差异性的内涵及其原因,在沟通时采取有效措施,搭建一个和谐、公平的沟通平台,方可进一步调动起企业每一位参与者参与风险管理的主观能动性,如此一来,不仅可促进及时发现企业面临的一系列风险,还可促进对一系列风险信息的快速传输,促进企业风险管理的顺利开展。其三,在企业风险管理中采用双向沟通模式。双向沟通模式可为企业风险沟通提供有力支持,依托该种模式,可促进构建起相互间的和谐合作关系。在企业风险沟通体系建设过程中,双向沟通模式受企业管理者态度、企业员工专业素质、企业文化等因素重要影响,倘若未处理好该部分因素,则势必会对双向沟通模式造成不利影响。所以,在推行双向沟通模式时,应当尽可能处理好各项影响因素,确保双向沟通模式的有序运行,并且在推行过程中还应当结合企业实际情况,进行科学调整,进而促进风险沟通目的的有效达成。
(二)建设健全企业外部风险沟通体系
建设健全企业内部风险沟通体系,首先要解决好信任问题。双方在合作过程中,均想获取对方足够的信息,而这一行为在当前经济活动中表现出严重的信息不对称情况,换言之外部利益主体难以充分获取企业内部信息,而企业也难以有效获取外部的信息,双方同时处在该种信息不对称的环境中,对对方试图获取自身信息的途径予以了封闭处理,进而形成了彼此间的不信任[3]。即便信息不对称是当前社会发展的一种必然现象,然而企业在与外部利益相关主体合作时,应当在不破坏企业自身商业机密的前提下,尽可能地向外部公开信息,以开放的姿态赢得外部合作方的信任。与此同时,企业还应当注重塑造自身良好的形象,秉承诚实守信的原则与外部企业进行合作,在外部利益相关主体心理层面奠定有力的信任基础。最后,信任是相互的,企业通过对一种和谐的方式推动相互的共同发展,进一步可更有效地在企业内部实现双向的风险沟通模式,摆脱由于信息不对称而造成的一系列沟通障碍,促进企业风险管理的顺利开展。
五、结束语
总而言之,企业风险沟通在企业经营管理中扮演着至关重要的角色,而企业风险沟通体系的建设则是一项复杂的系统工程。因而,企业相关人员必须要革新思想观念,提高对企业风险管理及风险沟通体系的内涵特征的有效认识,加强对我国企业风险沟通体系发展现状的深入分析,建设健全企业内部风险沟通体系,建设健全企业外部风险沟通体系,积极促进企业风险管理的顺利开展。
参考文献:
[1]姚春姬.企业风险管理中的风险沟通机制研究[J].时代金融旬刊,2014,05(06):159-160.
【关键词】内部审计;风险管理;参与原因;运作过程
内部审计准则第16号具体准则——风险管理审计,明确了内部审计人员要对组织内部控制中的风险管理状况进行审查与评价,表明风险管理已成为内部审计发展的重要方向。该项具体准则明确:风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。
一、内部审计参与企业风险管理的原因
(一)企业的集团化发展,要求内部审计参与风险管理
近年来,随着全球经济金融一体化程度的加深,企业面临的经营环境日趋复杂,经营风险大大增加,内部审计必须对企业经营资源运动的合标性进行全程跟踪审计,把减少企业面临的风险作为企业实现目标的关键。内部审计目前已由外在介入型逐步发展为内在融入型,渗透到企业经营管理的各方面、经济活动的各环节。它已成为强化管理的促进者、提高效能的推动者、风险前瞻的岸望者、价值增值的倡导者。因此,内部审计参与企业的风险管理也就成为企业发展必然的内在需求。
(二)内部审计的自身发展要求参与企业风险管理
1.内部审计的定义包含了风险管理内容
内部审计是采用一种系统化、规范化的方法,来对机构进行风险管理、控制和监督过程进行评价,进而提高它们的效率,帮助机构实现目标。从中不难看出,内部审计的范围已延伸到风险管理,认为只有在风险管理框架中实施的内部审计才能称之为风险管理审计,“评价和改善风险管理”成为了内部审计的重要工作领域,它拓展了内部审计的广度和深度,是对内部审计的重新定位。
2.风险管理赋予了内部审计在企业中新的地位和作用
随着内部审计定位和角色的不断改变,内部审计已成为企业的诊断师,由于在经营中风险的必然存在性,使得任何企业都必须面对风险,并利用一切手段去避免、降低它所带来的影响和后果。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,能够站在第三者的角度去帮助企业更好地把握经营的方向,并将其在企业中的作用推向一个新水平。
3.内部审计与风险管理的目标是一致的
从风险管理的定义看,风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的方法,用最低的成本获得最高的安全保障,将损失降至最低水平。它的目标是直接服务于企业的经营目标的。
从内部审计的定义看,内部审计的目的是为企业增加价值并提高企业的运营效率。内部审计部门经过收集资料、识别并评价风险的过程之后,能够对企业的运营提出富有价值的见解,从而被企业管理者采纳,因此可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等,还可以将这些有价值的信息应用于经营管理活动,从而达到企业增值的目的。由此可见,风险管理与内部审计在其目标上是相一致的。
(三)内部审计参与企业风险管理具有独立性、综合性和连续性的优势
1.独立性优势
内部审计不参与企业具体的业务经营活动,因此不对各项业务管理中出现的问题承担直接责任,其相对超脱的地位是保持审计独立性的内在基础。内部审计通过实施审计检查程序发表的审计意见可以直达企业的管理高层,具有相对客观的基础。
2.综合性优势
内部审计在企业管理中是一个综合性部门,其审计范围覆盖着企业经营的各个方面,掌握的信息是多方面的。企业的风险潜藏在各个方面,风险管理需要从全局角度对风险的影响大小、轻重缓急进行综合评估,协调各方面风险管理的行动。内部审计具有从全局考虑分析判断风险的综合性优势,对企业风险管理进行的系统性、专业性监督检查和评价,权衡企业实施风险防范和效益成本的利弊,在风险与收益比较中研究风险管理的定位。
3.连续性优势
内部审计部门及人员由于长期在企业内部工作,对企业所面临的风险更为了解,对风险的各种影响因素更便于做深入的调查,对企业风险的转化影响、风险管理措施效果等更便于进行连续的跟踪,对风险管理进行循环的连续性监控,而且内部审计长期参与企业风险管理所掌握的风险管理信息和经验,会对不断深化企业风险管理和节约管理成本产生重要影响。内部审计人员作为企业员工,是最终利益的相关者,他们会对企业风险管理的效果和建立风险管理的长效机制更具有责任感。
二、内部审计参与企业风险管理的运作过程
(一)内部审计在企业风险管理中的定位
内部审计与风险管理是你中有我、我中有你、相互依存、联动发展的紧密关系。企业在制订风险管理方案时,应将内部审计作为风险管理的第一道防线,由内部审计对整个风险管理流程进行评估和监控,但内部审计在企业风险管理的建立与防范中,主要责任是对整个风险管理过程进行认定,并评价其充分性与有效性,向管理层报告并提出管理建议,以此来保证风险管理的有效性。因此,内部审计在企业风险管理框架中的首要角色是监督者;其次才是咨询服务者,它承担了咨询者、协调者、建议者的角色。
当然,内部审计在企业风险管理中的角色是一个逐步变化的过程。在企业缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议,即建议者;在企业实施风险管理的初期,内部审计能够发挥很大的协调作用,此即协调者;而当企业风险管理逐步成熟、运作稳定以后,内部审计就转化为监督者和咨询者。
(二)内部审计在企业风险管理中的作用
1.能够客观地对企业整体风险管理进行检查与评价
从风险的形成与影响后果等特性,不难看出风险在企业内部具有感染性、传递性、不对称性等特征,如一个部门造成的风险或者疏于风险管理,可能会传递到其他部门,最终要由整个企业承担。因此,有些部门可能会出现缺失道德风险,而这种风险不是由它们来承担行为责任。又如,采购部门为节约采购成本,会忽视对材料规格、型号、质量方面的检查,这种暗藏的风险会在生产车间或者销售部门反映出来,最终给企业造成损失。因此,对风险的认识、防范和控制等需要从全局考虑。
内部审计由于不参与企业经营的具体业务活动,它是独立于业务管理部门的,因而它可以从企业的全局出发、从客观的角度对各种风险进行识别,将风险评估的意见直接报告给董事会或经营管理层,提高管理层对内部审计意见的重视程度,保证其他管理部门及时采取有效措施控制风险,从而达到企业的高效运营。
2.能够以咨询顾问身份协助管理层建立风险管理制度
内部审计在企业尚未建立风险管理的过程中,应积极向管理层提出建立风险管理过程的相关建议。如果企业尚未建立风险管理过程,内部审计人员应该提请管理层注意这种情况,并同时提出建立风险管理过程的相关建议。内部审计可以通过开展风险管理培训培育企业风险管理文化,使风险意识贯穿于企业的各个层面;内部审计可以利用其专业优势开发适合企业特点的自我评估工具,以提醒管理层注意到目标、风险、控制的关系,帮助管理层将生产经营与风险管理更好地结合;内部审计可以通过咨询服务的方式协助企业建立风险管理系统。
3.能够指导企业的风险管理策略,防止控制过度或不足的缺陷
内部审计是内部控制的再控制,企业根据目标和所能承受的风险,制定内部控制制度,内部审计人员对现代内部控制的评估焦点在于强调风险并评估具体的风险管理活动。控制过度容易导致效率不高,控制不足容易导致舞弊行为的产生。内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人,并通过对长期计划与短期实现的调节,指导企业的风险管理策略。
4.能够发挥反馈作用,对企业的风险管理产生预警作用
由于风险是面向未来的,是直接与企业的战略及经营目标相关联的,因此以风险为出发点和核心的内部审计,能够以事后的反馈延伸到事前以及事中,从而达到更高效率的控制。内部审计的咨询职能充分体现了内部审计的能动性及增值目标,并且将事后的反馈扩展到内部控制建立前以及实施时的协助与促进,帮助管理层对风险管理进行持续改进与完善,产生预警功能,从而达到内部审计在企业管理控制系统中的反馈作用。
(三)内部审计参与企业风险管理的方式方法
1.转变观念,将风险管理作为内部审计的重要工作
内部审计应由过去的控制导向审计向现代风险导向审计过渡,由被动地承受审计风险,到主动地控制审计风险,将工作程序转向“确定目标、评估风险、管理风险”。内部审计部门要把参与风险管理写入内部审计工作制度,明确内部审计人员应当关心企业所面临的风险,根据风险评估思路开展对内部控制的评估,使审计报告将目前的控制与策略计划和风险评估连接进来,有效地管理企业风险。
2.要把企业风险管理融入日常审计项目中
企业风险存在于企业经营管理的各个方面,在一次审计中对企业面临的各种风险进行全面的检查和评价是不可能的,因此内部审计须在每一次的日常审计项目中,增强风险意识,引入风险审计的观念和方法,充分揭示和评价企业特定审计范围内存在的风险,使企业管理者对此风险给予重视并采取措施化解和控制。比如,内部审计部门开展的经济责任审计,企业经营负责人在任期内发生的重大投资、债务重组、重点工程建设等活动会对今后产生重大影响,任期内发生的经济纠纷或重要的管理缺陷也不一定会在其任期内体现,对此,内部审计就应作出必要的风险评价,一方面划清前后任的经济责任,一方面帮助企业采取必要的措施防患于未然。
3.要对企业的风险管理机制进行监督检查
当一个企业建立了风险管理机制,其规章制度是否得到有效执行,是需要进行监督检查的。内部审计就是对风险管理的再监督或再管理,是其参与风险管理的一种重要形式。内部审计可以实施各种专项检查,监督检查企业相关风险管理的各个风险控制点,评价预防风险的各项工作是否到位、评价降低风险的有关措施是否有效、评价风险的变化程度等等,从而对进一步改进风险管理提出意见。内部审计还可以对已经显现甚至出现损失的风险进行检查分析,发现和反映企业风险管理中的缺陷,如风险管理责任不清、部门间协调不足、风险防范资源不足等。
4.要加强对内部审计人员的督导
为提高审计工作质量,内部审计机构负责人需根据审计工作的具体情况建立内部审计督导制度,对审计人员的工作进行指导、监督和复核,明确各级人员的责任,同时必须强调督导是贯穿于审计项目的全过程的,它包括对审计方案的制订及修订、审计程序的实施、审计工作底稿的编制、审计证据的收集、审计报告的撰写等。内部审计机构负责人应采取必要的措施,尽可能减少内部审计人员在风险管理工作中的主观判断行为,在督导工作中要遵循重要性、谨慎性和客观性原则。
一、风险管理的概念
我国对风险管理理论的研究起步较晚,且不同行业对风险控制管理的理论见解也有所不同。本文认为风险管理是指企业在可能遇见的风险环境里,通过对风险的识别、估测、评价,借以基础上选择一套最恰当的风险管理办法,对风险控制后所致的后果降至最小化的管理过程。
二、风险管理与内部控制的关系
关于对风险管理和内部控制这两个概念,学术界有两种争论――风险管理包括内部控制,或者内部控制包括风险。本文则认为内部控制是风险管理的基础条件,风险管理是内部控制的升华,两者相辅相成,只是不同行业之间对两个概念强调的侧重点不同而已。
1.行业特征。金融行业,所的广告语都是“投资有风险,入市需谨慎”,可见,它所强调的一般都是对风险管理的重要性,所以该行业是以风险管理主导内部控制更为方便管理。而对于制造业来说,要求企业对内部控制加强管理,所以企业以内部控制为主导更为适合。
2.企业运行周期。在企业刚起来阶段,内部结构还不够完善,所以要加强企业的内部控制体系的建立。而在企业成长期间,企业规模扩大,业务范围广,随之而来的风险也越来越大,所以其管理模式是风险管理控制主导内部控制体系。随着企业逐渐走向成熟,盈利达到最高,有了抵御风险的能力,企业会力求在内控上做到更加完善来巩固自身的防御能力。在衰退期,由于企业的规章制度多,所以内部控制成了企业领导重点关注的内容。
三、现代企业风险管理框架的基本内容
美国COSO委员会对内部控制的概念有一定的标准解释,然而在经历了美国安然、施乐等企业发生的欺诈事件后,COSO所提出了内部控制框架受到了相当大的质疑,于是,人们开始关注对风险的控制,认为内部控制框架应当与风险管理相结合来提升企业的管理水平。但是,对于绝大多数企业来说,缺乏普遍认同的风险管理和内部控制框架的定义。2004年9月,在学术界和企业界的强烈要求下,美国COSO委员会颁布了《企业风险管理整合框架》,该框架是目前应用最广泛的理论依据,受到各国业界人士的高度关注。
(一)COSO企业风险管理框架
1.企业风险管理的目标体系。COSO认为风险管理目标有四类:战略目标、经营目标、报告目标、合规目标。战略目标是指企业的使命。经营目标一般是指业绩指标、盈利指标等。报告目标是指企业财务报告和其他信息的可靠性。合规目标是指企业在经营过程中是否遵守相关法律法规。企业目标的分类有助于企业在面对不同时期的不同问题时,能侧重点的管理,可以根据企业当时的需要进行分派某个具体部门进行直接负责。
2.企业风险管理的要素。企业风险管理有八个要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和控制。这八个要素都贯穿在企业生产经营管理过程当中。
3.企业风险管理目标与要素之间的联系。企业风险管理要素是为了实现其风险管理目标的,因此,两者之间有着直接的关系。
(二)COSO企业风险管理框架理论
企业风险管理框架是《内部控制整合框架》的拓展和完善,新的COSO报告又新增加了一些观点、目标和要素,主要体现在:
1.风险组合观。COSO提出了一个新的观念――风险组合观,要求企业从总体控制各个部门的风险,借以统筹考虑对风险的施行措施,避免各部门分散考虑应对风险。
2.战略目标。内部控制框架的企业目标分为三个:经营目标、财务目标、合法目标。而企业风险管理框架新增加了一个新的目标――战略目标。从管理学来分析,战略目标是用来支持企业实现最终使命的,是最高层次的目标。
3.风险容量和风险容限。风险管理的框架定义:风险容量是一个主体在追求价值的过程中所愿意承受的广泛意义的风险的数量,它反映了主体的风险管理理念,进而影响了主体的文化和经营风格。风险容限是风险容量的基础,是企业实现目标所能接受的偏离限度。
4.三要素――目标设定、事项识别和风险应对。目标设定是风险管理体系的首个要素。事项识别是企业进行风险管理的前提。风险应对是说针对不同风险来选择不同的对策,做到风险最小化管理来降低成本,促进企业发展。
四、我国企业风险管理的现状及分析
(一)中航油的案例分析
中航油新加坡公司于2001年在新上市,当时是陈久霖任董事兼总裁兼总经理职务,在任期间,陈久霖对企业的业务范围进行大力扩展,2003年,企业已经从事油品套期保值和衍生品期权交易,起初的200万桶交易获得非常大的收益,但是由于2003年到2006年之间,石油价格一路攀升,而中航油对石油价格回跌一直寄予希望,不断的增仓,致使账面价格亏损严重,最后不得不申请企业破产。
中航油的事件,引起业界一片哗然。其原因有多方面:第一,企业领导更新意识淡薄。第二,风险偏好极端。第三,缺乏风险评估机制的建立。虽然中航油内部指定了《风险管理手册》,并运用了风险管理软件。但是风险管理手册上的条例有很多有争议的地方,并且对企业高层没有起到约束的作用,这也是中航油走向衰败的原因之一。
(二)我国企业风险管理问题
近年来,随着美国引发全球经济危机,国内企业开始重视对风险的管理。比如加强了对风险的预测、将内部审计部门参与到风险管理中。企业在长期的风险管理实践中取得了进步并累积了很多经验,但是仍然存在一些问题:
1.内部控制体系不够完善。作为风险管理的基础――内部控制,必须给风险管理提供一个可靠的环境。可以将内部控制分为四个演变过程:内部牵制、内部控制制度、内部控制结构和内部控制框架。据调查,我国企业中只有30%的企业建立了完善的内部控制框架,其他大部分企业停留在内部控制制度阶段。
2.对风险管理的意识薄弱。企业家往往过多的关注于怎样进行经营管理来实现盈利,只有在企业遇到风险时,才能对已经到来的风险进行忙于应对,这样往往会给企业造成很大损失甚至有破产的可能。
有的企业虽然已经建立了风险管理机制,却只是表面上的功夫,流于形式,面对风险的到来,无人问津或有章不循,慌乱地采取一些临时的解决措施。风险管理如同虚设,使企业的随意性过大,扭曲了风险管理的本质和初衷。
3.风险管理的技术方法运用较差。对于风险管理的各个细节应当通过一系列的技术和方法来实现,否则风险管理无法施行。国外企业的风险管理技术相对发达,通过先进的风险管理软件以及优秀的风险管理技术专家来支撑对风险的管理。而我国的风险管理信息化系统相对落后,也没有成熟的人员队伍,所以,企业对风险管理的技术和方法的运行程度低。
五、现代企业构建风险管理框架的思路
(一)建立健全的内部治理结构
完善的公司治理结构有助于企业进行责任划分,促进股权结构的合理化,强化企业内部控制,提高企业经营效率。公司治理结构的完善能较好的梳理所有者、董事会和经理人三者之间的关系,为企业风险管理提供了一个基本的组织架构,在该架构下,设立一个专门的风险管理机构或者指定某个职能部门来进行风险管理。该机构或部门负责处理风险管理的日常事项,包括风险管理的策划、部署、检查以及预测风险未来的导向,并向领导提出建设性的意见。
(二)加强企业文化的建设,大力宣传风险防范意识
企业文化是企业长期以来的共同理想、价值观、作风、道德规范、生活习惯的总称,体现出本企业的特色,对企业职工有号召力和感染力,是企业长期文化形成的反应。风险管理文化作为企业文化其中的一项因素,对风险管理理念和行为起决定性的作用,良好的风险管理文化可以规避风险,从而提高企业经济效益,因此,要养成良好的风险管理文化,塑造风险文化的氛围,对一个企业来说是非常重要的。主要从以下几个方面入手:首先,要加强全体职工的法律意识。其次,要对风险切入点的管理人员和职工进行培训工作,强调对风险的意识。最后,定期在企业内部宣传风险文化刊物,培养全体员工的风险管理意识,强化员工的风险管理素质。将风险管理文化灌输于每名员工,形成一种精神状态,这样才能避免风险的发展与延伸。
(三)设立风险评估和控制活动
随着市场环境的多样性变化,对企业面临的各种风险进行有效地分析、估量,是企业领导对风险管理的重要环节之一。它是在事项识别后,通过对风险信息的大量收集,运用科学的办法,估测出风险发生的可能性或者损失的程度。风险评估一般是通过对风险的实时观察和借助以往的经验来进行风险管理。控制活动是风险管理的核心环节,遍及企业的各个部门,它是通过批准、授权、验证等多项活动对企业进行控制和监督,促进企业目标的快速达成。
(四)信息路径的畅通
企业要建立风险管理体系,必须有良好的信息沟通环境,能帮助企业对运营情况进行实时掌握。建立一套风险管理的信息路径必须有一套风险管理术语,以便于员工之间的沟通,保证信息能被及时传递到相关部门。
六、结束语
文章通过对风险管理框架进行叙述的基础上,分析了我国企业风险管理的现状以及存在的问题,并提出了建设性的几点建议,力求对我国企业的发展起到促进的作用。由于我国的风险管理理论还处于起步阶段,所以还有很多问题需要进一步探讨,笔者水平有限,在构建风险管理框架方面提出的建议仍需进一步得到改善。
参考文献:
[1]方红星,王宏泽.企业风险管理整合框架[M].大连:东北财经大学出版社,2005.
《企业内部控制基本规范》明确指出,“企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识”。
风险管理文化是以企业文化为背景,在经营管理活动过程中逐步形成并为广大员工自觉遵守的风险管理理念、风险价值观念和风险管理行为规范。是企业文化的重要组成部分。
2008年金融危机爆发以来破产的企业,失败的根源都可以找到风险管理失效因素的作用力。只是危机把潜伏和积累的风险暴露了出来。国内著名的奶业企业“三鹿”集团的失败,中国银行业在“次贷危机”中几十亿元的损失、中国铝业海外并购的巨额损失、中信泰富投资澳元衍生品损失、富士康集团的连跳事件都是风险管理失败的结果。
从管理学角度看,管理主要依赖于两个最基本的要素:权力和文化。权力作为一种支配资源的力量,依靠的是一种硬性的制度约束,这种约束是一种被动约束。文化则是一种一般性的规范指导能力,它往往是一种理念,一种思维方式。包括在这种理念指导下的行为习惯。对企业职工素质的培养和良好的职业道德的形成具有潜移默化的巨大作用。文化的约束是一种发自内心的认同。因此只有将风险管理依托于一种文化,才能将约束变为自觉。
根据企业文化和管理学理论,作为企业文化子系统的风险管理文化由风险管理理念、风险管理行为和风险管理物质三个层次组成。
风险管理理念文化又叫风险管理精神文化,相对于风险管理行为文化和物质文化,它处于整个风险管理文化的最深层,并成为风险管理文化的灵魂和核心。
风险管理行为文化,一般包括风险管理的组织架构、风险管理制度规范和从事风险管理的部门和人的行为表现等。
风险管理物质文化包括两个重要组成部分:一是知识技能技术层面,即企业在风险管理过程中形成的技术和艺术,它包括企业对各种风险的辨识能力、评估能力、风险计量技术及对风险管理模型的开发运用技巧;二是实物层面,即通过企业风险管理形成的安全的经营与管理产品、设施、设备和空间环境以及配套的各种物质保障手段等。
一、风险管理理念文化
从内涵上讲,企业风险管理理念文化是指企业在长期发展过程中形成的,全体成员统一在风险管理方向上的思想观念、价值标准、道德规范和风险理论成果的总和。它是企业风险管理行为文化与物质文化的一种总结与升华,是企业风险文化中最有活力、最有生命力、最有创造力的核心部分,是企业风险管理的思想上层建筑。
从外延上讲,企业风险管理的理念文化包括:企业风险精神、企业风险价值观、企业风险控制观、风险管理观以及理论化、体系化的企业风险管理学。
企业风险管理理念文化的构建主要依靠学习和培训实现。风险管理理念的培训和引导应该是全员、全过程的。要让每个员工都有风险意识,每个流程环节都要树立风险观念。按照统一的风险评估和应对标准处理日常工作。通常的风险管理理念包括以下几个。
1.风险不能“回避”,只能“管理”风险
企业的任何经营活动都具有一定的风险,在市场上运作有价格风险、汇率风险,同客户打交道有信用风险,企业财产有被盗、火灾等风险。即使不同客户打交道、不同资金打交道,只做日常业务操作工作,还有操作风险。企业用人还有道德风险。所以,企业不可能回避所有的风险,它所能够做的只是管理控制风险,是如何去识别风险、如何去判断风险的大小、如何去分散风险、如何为风险提供相应的保障。也可以通过市场(如保险)等实现部分风险转移。
2.风险和回报必须对称
在统计学上,风险和回报是正向相关关系,通常的情况是,回报率愈高时,风险也愈大;而风险愈低时,回报率也愈低。在德国商业银行的经营理念中,控制风险和创造利润是同等重要的事情。用他们自己的语言是:“2R”(Risk?and?Return)is?the?same?coin。即风险和回报是同一枚硬币的正反两面,彼此不能分离。任何人在工作中都必须合理兼顾。任何不对称的行为都是不可取的。
企业本身就是个风险集合体,因此决定了企业在获取利润时必须承担风险。企业风险管理的目标不是消除风险,而是通过主动的风险管理过程实现风险与回报的平衡,要注重风险和回报的平衡关系,敢于承担与预期收益相平衡的风险,但明知违反法律、法规强制性规定的风险必须杜绝,如生产销售不合格产品、严重环境污染、偷税等。企业只有通过有效识别风险、评估风险、应对风险,才能抓住市场机会,业务扩张在有风险控制的框架内进行才能良性、可持续发展。
3.全面风险管理
受美国2002年出台的萨班斯――奥克斯利法案(以下简称SOX法案)的影响,我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求,完善内部控制体系、完成内控评估报告。同时,随着经济全球化的深入,企业遭受产品市场、要素市场和金融市场的价格冲击越来越大,各类风险产生的扩张效应和联动效应越来越严重。因此,内部控制和风险管理成为现代企业重点关注的课题。
本文将在回顾内部控制和风险管理理论发展的基础上,探讨二者之间的关系,并结合宝钢在内控体系建设和风险管理方面的最佳实践,提出整合的风险管理框架设想,以期对我国企业的内控体系和风险管理体系建设提供借鉴。
一、内部控制、风险管理的理论发展及其关系
(一)内部控制理论的发展
20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后,美国COSO委员会将“内部控制”定义为“一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障”。在COSO委员会制定的内部控制框架中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
2002年,美国成立的上市公司会计监管委员会(简称PCAOB)明确采用了COSO内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了COSO内控框架,有些国家和地区在参照该框架的基础上建立了自己的内控体系。
我国在2005年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国SOX法案的要求,在理论体系上和COSO内控框架一脉相承。
(二)风险管理理论的发展
企业风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明,仅靠内部控制难以实现企业的最终目标。为此,COSO于2004年9月出台了《COSO企业全面风险管理整合框架》(简称ERM),提出了由三个维度构成的风险管理整合框架。
我国国务院国资委于2006年《中央企业全面风险管理指引》(以下简称《指引》),标志着我国中央企业建立全面风险管理体系工作的启动。
(三)内控体系建设与全面风险管理工作的联系和作用
全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益,而这正是全面风险管理应该达到的基本状态。此外,内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用,具体体现在以下两个层面:
1.在理论框架层面,完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。
2.在推进工作的步骤层面,从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。
至于差异,从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看,内部控制仅是管理的一项职能,而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营;而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场、法律等领域。
二、宝钢在内控体系建设领域的实践
宝钢股份是宝钢集团的核心子公司。公司从2005年增资扩股后就着重于梳理内部流程,推广管理标准。2007年3月,由公司总经理担任组长的内控评审项目开始启动。
内控项目工作范围包括宝钢股份总部以及下属分子公司,资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份12大业务流程,梳理了各类大小流程300多个。在对12大流程风险控制点辨识的基础上,逐步建立宝钢股份上市公司内部控制体系,编制公司流程内控手册,形成公司全面的内控改进点报告,建立公司层面基本内控体系。并在前期工作的基础上,开展内控体系的自我评估工作,形成公司内控自我评估报告。
在项目实施过程中,公司组织了多场内控培训会,形成了全员内控的企业文化。同时,公司对发现的内控薄弱点狠抓落实整改,并对各单位的问题汇总报告进行整理;评审项目组还组织各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析,就同类问题开展自查自纠,以形成辐射效应。此外,宝钢股份还将内控评审项目和常规审计工作相结合,在内部审计工作中跟踪检查问题的整改情况。
三、宝钢在风险管理领域的实践
宝钢从2007年开始全力推进全面风险管理体系建设,这既是资本市场的要求,也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是:围绕宝钢的战略目标,在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面:
(一)以法人治理为基础,建设风险管理的组织体系
完善的法人治理是风险管理重要的内部环境,也是风险管理体系建设的起点和保障,而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业,在完善董事会试点的过程中优化董事会成员结构,建立外部董事制度,不断完善董事会运作机制,初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。
同时,宝钢按照国资委《指引》的要求,构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,公司明确了其各自相应的职责。第二道防线建设:总部层面成立由分管副总经理担任组长的“全面风险管理体系建设领导小组”,由系统运行改善部作为风险管理的综合管理部门,对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价,及时发现流程中存在的问题,提出内控完善的建议。
(二)与管控模式相结合,制定风险管理策略和流程
宝钢采取的是“战略控制型”的管控模式,即总部通过对策略性、全局性业务进行管控来确保战略意图的实现,对于具体执行性业务则授权给各子公司来执行,以确保整体运作效率和响应速度。
因此,宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点,通过推进风险管理文化建设、推动内控系统优化,确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施,建立并不断完善风险管理体系。各子公司则结合自身产业特征,从防范运营风险的角度出发,重点推进四项工作:1.建立风险管理的组织体系和工作机制;2.对重大风险进行识别和评估,形成重大风险清单,确定风险管理的重点领域;3.针对重大风险涉及的重要业务流程和重大事件,评估、完善内控体系,并落实为工作规范,制定管理制度,形成内控手册;4.针对可能发生重大突发事件的业务领域,建立预警机制,制定应急预案。
(三)建立了财务预警指标体系,使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警
在应急预案方面,在总部和子公司层面编制了一系列应急预案,提高宝钢处置突发事件、保障公共安全的能力,最大程度地预防和减少突发事件及其造成的损害。
四、整合的风险管理框架设想
通过长期的工作实践和思考分析,笔者认为:企业的风险管理工作需要和企业管理的多方面相结合,构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合,还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统如图1所示:
(一)风险管理系统应与公司治理系统进行整合
风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)指出,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,高管和风险主管应当直接承担风险管理的责任,董事会则应积极参与增值型的风险管理活动,如在风险管理的过程中对管理层进行指导、授权和监督等活动。
(二)风险管理系统应与公司战略管理系统相整合
风险管理功能与公司战略管理功能相耦合,主要体现在图2所示的战略管理全过程中:
将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略,会引起不同的风险,也应采取不同的风险应对措施。因此,不同的战略模式将会导致在不同的领域配置风险管理的资源。
企业战略管理的最终目标是为了实现企业价值的持续增长,企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开,该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值,必须具有高效、快捷和质量可靠的业务流程,这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径,企业风险管理也应遵循这一路径而展开。
总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。
【主要参考文献】
[1] 张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究,2005,(2).
[2] 吴轶伦.内部控制自我评价[J]. 上海财经大学学报,2004,(4).
[3] 吴轶伦.内部审计职能的发展与风险管理模式的建设[J]. 冶金财会,2006,(3).
[4] 方红星.内部控制审计组织效率[J].会计研究,2002,(7).
[5]课题研究组.内部会计控制规范操作实务[M].中国商业出版社,2001.
[6]阎达五,宋建.双元控制主体构架下现代企业会计控制的新思考[J].会计研究,2000,(3).
[7] 朱荣恩、贺欣.内部控制框架的新发展――企业风险管理框架 [J].审计研究, 2003,(6).
[8] 金或日方 ,李若山,徐明磊. COSO报告下的内部控制新发展 [J].会计研究,2005,(2).
[9] 严晖.风险导向内部审计整合框架研究 [M].中国财政经济出版社,2004.
[10] 宋夏云.现代风险导向审计模式的背景分析与理论创新 [J].中国审计,2005.
[11]胡春元.审计风险研究[M].东北财经大学出版社, 1997.
[12]吴轶伦.内部审计的风险管理模式[J].上海审计,2006,(1).
[13]郑石桥等.现代企业内部控制系统[M].立信会计出版社,2000.
[14]张国康等.内部控制制度[M].立信会计出版社,2003.
[15]课题组.现代企业内控制度:概念界定与设计思路[J].会计研究,2001,(11).
[16] Arthur A. Thompson.Jr and A.J.Strickland Ш,段盛华等译,战略管理.中国财政经济出版社,2005.
[17] Robert S. Kaplan and David P. Norton,刘俊勇等译.战略地图.广东经济出版社,2005.
[18] Larry F. Konrath, Auditing: A risk analysis approach, 5th edition, South-Western.
一、风险管理理论体系
(一)企业风险管理定义
企业风险管理主要是在企业生产经营全过程中,企业管理人员对影响企业发展的潜在风险因素进行分析,通过分析控制企业风险,确保企业高效有序运行,保障企业的总体目标的实现的一种管理方式。企业风险管理措施主要指企业面临风险时所采取的管理应对措施。它比内部环境管理控制概念更加广泛,它考虑的不仅仅是企业内部的环境建设,还包括了企业的其他方面的因素,比如说市场因素、社会因素、自然因素等。所以企业风险管理涉及企业的方方面面,为企业的正常发展提供有利的条件。这也就需要企业在建设时,加强对企业风险管理的投资,引进高科技管理人才,建立一支强大的风险监督管理系统。
在管理过程中,美国COS0_ERM定义:风险管理过程过程受董事会、管理层和其他人员的影响,从企业战略的制定一直贯穿到企业的各项活动中,用于识别那些可能会影响到企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得确定的目标。《中央企业全面风险管理指引》定义:全面风险管理主要是围绕企业总体目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
(二)企业风险管理的发展
传统风险管理主要是从20世纪30年代到20世纪90年代,这一阶段的风险管理体系较为松散,整体管理效益较为低下,管理存在诸多漏洞。传统风险管理起源于美国。美国经济危机导致人们对风险的认识开始上升,对风险的威胁认识开始逐渐加深,由此相关人员在进行企业管理的过程中开始建立风险管理意识和风险管理体系。20实际30年代,美国科技进步在很大程度上促进了风险管理的发展,为风险管理的建设提供了基础。1931年风险管理概念由美国管理协会首次提出,风险管理开始在企业中扎根生长。
传统风险管理主要分为三个阶段:第一阶段,原始管理。第二阶段,初级阶段。第三阶段,风险管理的高级阶段。原始阶段主要以原始管理结构为基础,主要是对人员的风险控制。初级阶段主要是非连续性的管理结构,风险控制取决于主要管理人员。风险管理的高级阶段建立以人的行为为目标的管理体系,实现对权益、权利、职能等的全面约束。我国当前的风险管理主要处于此阶段。
现代风险管理阶段主要是从上世纪八十年代末、九十年代初到目前,在这一阶段的风险管理主要表现出:
第一,风险管理高度系统性和统一性。全面风险管理的目标开始统一,在目标的基础对企业利益进行分析,对风险进行取舍,实现企业的风险把握选择,确保企业又好又快发展。
第二,信息平善。在本阶段的风险管理已经实现了高度的信息共享,在很大程度上对市场信息进行分析,提高了市场决策及经营效益。
第三,数学模型风险分析。当前的风险管理技术已经有了很大提升和改进,在进行传统定性分析的基础上,相关人员通过运用大量的数学模型有效实现了对风险的控制,对企业在各方面的风险承担指标及承受力进行准确分析。
(三)全面风险管理体系结构
1.风险战略。风险战略主要是企业在进行风险管理的过程中严格依照风险管理方针及行动纲领进行的管理活动。在该过程中风险战略有效对企业的风险偏好程度、企业的风险度量标准、企业风险管理的指导方针及风险量化的模型进行指定,实现了对企业风险的综合指导。
风险战略在企业中的指导作用主要表现在:(1)风险战略对企业的风险管理方针进行制定,为企业的风险管理活动建立综合战略核心;(2)风险战略对企业的风险量度标准进行制定,建立了风险管理资源及重点的分配基准;(3)风险战略在企业战略激进程度的基础上对企业的风险进行全面指导,完成企业业务组合的选择;(4)风险战略对量化模型进行确定。
2.风险管理组织。风险管理组织主要是在风险意识的前提下确定的企业的组织结构和组织关系。风险管理组织可以在很大程度上促进风险管理的实现,提高风险管理效果。通过风险组织管理,企业可以对各种风险进识别、分析、评估、判断,并采取有效措施来进行预防与控制,实现企业自身的安全。企业风险管理组织职能主要包括:(1)企业风险管理组织可以有效降低风险复杂程度,实现风险资源统一管理,确保风险目标实现。(2)明确风险管理组织责任,对风险管理责任岗位进行明确,形成责任化体系。
3.风险管理信息系统。风险管理信息系统主要是在风险管理的过程中为风险管理环节提供信息的系统。风险管理信息是影响管理效果的关键因素。当前我国市场变化多样,市场整体环境较为复杂,信息系统的及时、准确、有效可以在很大程度上提高风险管理的效果,对企业的风险进行控制。风险管理信息系统是企业风险管理和企业风险控制战略的良好载体,可以有效建立在企业内部风险沟通桥梁,为化风险提供有效资料。
4.内控系统。内控系统主要是对风险战略提供基础的风险信息,提高风险控制效果。内控系统主要由一系列政策和程序组成,可以对企业的风险进行提前预防、适时管理、及时反馈,确保从本质上加强风险管理准确性,提高企业的风险管理效果。
内控系统通过将内部控制制度、企业管理行为、减少风险三项目标作为控制核心,实现对风险管理的连续性、综合性控制,是当前企业风险管理的实际操作核心。内控系统的控制效益直接影响了企业风险管理的实际效果。
5.风险理财。风险理财主要是通过企业金融手段进行风险管理的一种方式。常见的风险理财方式主要包括:风险斛存、风险转移、风险控制和风险规避。通过风险理财可以实现风险融资,有效对企业的风险进行最优化平衡,实现风险理财全部留存和全部转移的平衡。通过风险理财不会改变风险本身的可能性,也不会降低损失程度。
二、企业风险评估方法及体系
(一)企业风险评估方法
企业风险评估方法主要包括财务风险度量法、战略风险度量法、巴塞尔新资本体系风险评价法、COSO框架下风险评估法。
1.财务风险度量法。财务风险度量法主要代表方法为标准化调查法、四阶段症状分析法、三个月资金周转表分析法、流程图分析法、管理评估分析法五种。
标准化调查法主要是通过专业人员、调查公司等对企业可能遇到的问题进行详细调查,确保企业能够完成整体的风险分析;四阶段症状分析法主要通过对企业财务危机潜伏期、发作期、恶化期、实现期进行分析评估,对企业的风险因素进行分析,确保企业摆脱财务困境;三个月资金周转表分析法主要是对短期的财务进行预警,主要通过对企业的理财环境进行分析,确保建立高度安全性的资金周转表,提高企业效益;流程图分析法通过企业在运行过程中可能出现的风险进行分析,实现潜在风险的动态管理,有效提高管理效果;管理评估分析法总分是100分,企业所得分数越高,处境越差。这种管理评分法试图把定性分析判断定量化,实现对企业全方面的细致了解,对企业的管理进行客观公正的评价。
2.战略风险度量法。战略风险度量法主要是对传统战略风险管理的细化,该方法通过对传统风险管理阶段和主观风险管理阶段的风险度量进行分析,实现了资源、营销指标、尺度等评定。
战略风险度量法中的状态确定主要是通过在企业发展过程中能够对企业竞争地位指标造成影响的因素进行研究,实现对企业发展的综合控制。战略风险度量法通过运用CAPM模型对战略及风险关系进行言几句,实现了风险相关多角化的分析。
3.巴塞尔新资本体系风险评价法。巴塞尔新资本体系风险评价法包括资本分类、风险权重计算标准、1992年资本和资产的标准比例和过渡期的实施安排、各国监管当局自由决定的范围四项内容。巴塞尔新资本体系风险评价法通过对RAROC技术进行研究,实现了当前风险的有效控制,已经在我国的商业银行中得到广泛应用。
4.COSO框架下风险评估法。COSO框架下风险评估法主要是对内部因素和外部因素进行综合分析,实现对影响企业目标进度因素的控制。在该过程中,企业要对风险中不同的目标进行整体改进,根据企业管理和企业未来潜在事件对企业今后的风险因素特征及风险因素潜在可能性进行分析,完成对企业规模、经营复杂性、企业活动监督管理程度的综合评价。COSO框架下风险评估法通过及时地发现、预测和防范风险,将企业的损失降到最低点。COSO框架下风险评估法对企业带来的危害,也能够在风险中把握机遇,通过对风险的进一步分析做出相应的决策,为企业创造出更多的价值,带来更多的利益,实现企业的最终目的。
(二)风险评估体系的构建
在进行风险评估体系管理的过程中,相关人员要对企业的风险管理中的风险事件、风险识别、风险评估、风险反应进行控制,实现风险管理体系基本构建。
风险事件主要是对进行企业风险管理过程中企业无法认识到的不确定因素进行分析。在该过程中企业要对可能出现的潜在事件进行综合分析,对企业内部和外部因素进行充分考虑,对企业的风险管理进行彻底贯彻落实,降低外部因素和内部因素对企业的影响效果。风险事件可以在很大程度上影响企业的风险管理效果。
风险识别主要是在明确企业的经营目标后对企业的整体战略活动进行的风险分析识别。在进行风险识别的过程中,操作人员要对企业的内部风险识别制度和风险识别因素进行充分分析,确保风险识别分类的有效性。要通过风险分类、寻找风险源、衡量风险实现对企业风险的基本评估和自我评估。
风险评估主要是在进行企业风险控制的过程中对企业的设立进行辨认、分析、管理的机制。风险评估过程中要对企业的内外环境风险、信息系统风险、资产风险、经营活动风险、合法性风险等进行机制分析,对高风险区域进行确定。风险评估包括风险辨识、风险分析、风险评价三方面。要充分对企业的风险进行研究,从长期角度提高对风险的认识,确保从本质上提高企业的经济效益。
风险反应主要是在完成上述的风险评估后对评估结果操作进行评价,通过对企业期望风险的承受度选取合理的应对措施。
三、企业全面风险管理体系结构框架
通过风险管理降低系统风险,提高企业应对风险的能力,已经成为企业管理的重中之重。
企业全面风险管理体系结构框架主要是依据对企业通用的风险管理模型、风险管理语言、企业全面风险管理的内部环境进行研究建立的管理结构框架。
(一)企业控制体系构建原则
在进行企业内部控制体系构建的过程中,企业要严格遵守以下原则:
1.全面风险管理原则:企业内部控制要对企业的战略市场、财务管理、信息化建设、人才管理等方面风险性进行全面分析,将控制体系渗透到企业管理的方方面面。
2.独立性原则:企业内部控制机构要与风险管理相符合,保证部门之间的相互独立性,确保利润与风险控制相平衡。要严格依照风险管理要求进行管理,确保风险管理的总系效果。
3.协调与效率原则:企业部门之间要对自身责任进行明确划分,确保风险管理责任明确化。要对各部门之间的信息及时进行交流与沟通,确保部门之间协调配合,增强合作效果。部门之间要建立完善的监督管理机制,实现对风险管理的监督控制。
4.开放及重要性原则:企业风险管理框架要对外部优秀企业风险管理进行吸纳,对本企业风险管理重点进行突出,重结构、重环节、重部位。
(二)企业风险管理控制措施
1.提升管理人员素质。在进行企业风险管理建设的过程中,管理人员素质水平的高低直接决定着企业风险管理质量的好坏。企业管理者素质的提高,不仅有利于企业内部环境建设,还能够提升企业的对外素质形象,赢得更好的市场环境。因此,企业要加强对员工的素质教育。提高企业员工素质道德,需要对员工进行培训。企业在进行风险管理的过程中要对管理人员进行素质教育,确保管理人员能够严格依照管理制度和管理体系完成风险管理的整体评估,提高企业在过程中的实际操作效果。
2.推进内部制度标准化。建立企业风险管理控制制度,确保企业以内部控制管理为基础,保证风险管理整体化、合理化实施。要建立完善管理制度,加强对企业管理的监督。企业良好的发展,不仅要依靠企业管理者素质的提高,还应该建立完善的企业监督体制。企业监督机制的确立,能够更好的对企业进行监督,尤其是对企业高层管理者的监督,能够减少企业不良风气的出现。在企业中,高层管理者的行为作风会影响到整个公司的风气建设,而这种机制的建立能够避免不良风气的形成,降低企业内部管理存在的风险。
3.确保会计信息通畅。在进行企业内部控制风险管理的过程中,企业人员要严格保证会计信息的准确性,保证会计信息通畅,确保风险管理人员在第一时间得到有效的风险管理信息。要建立完善的风险信息管理体系,对企业经营状况、财务对账真实性进行监督,构建良好企业经营实时监督管理控制系统。要加大信息的公开化、透明化程度,从本质上提高财务信息的准确性、真实性。
4.构建权威审核体系。在进行企业风险控制构建的过程中,企业要建立权威的内部审核体系,确保对风险管理信息及风险管理数据进行准确控制盒分析。要实行董事会、法人代表、监事会直接指挥下的派驻制,派驻人员要保证与派驻区域或部门不存工作紧密关系,保证工作关系平行,从本质上实现业务监督分离。要对派驻内部人员的工资、福利、人事等进行全部分析,确保派驻人员与区域不存在利益关系。由企业董事会直接进行监督、控制和管理。
5.加强企业内部文化。在进行企业风险控制的过程中,企业要加强对人员的内部文化控制,建立良好风险管理内部环境。企业文化建设需要加强对企业员工的培训,增强员工的责任意识,充分调动他们的工作热情,营造一种和谐的企业氛围。让员工在企业中感受到温暖,使企业管理更加人性化。定期对企业员工进行培训,提高他们的文化素质,增加他们对公司的信任感。
四、总结
随着当前我国经济的不断进步,全球化趋势的不断加强,风险管理已经成为影响企业全球化和经济化的关键。在进行企业风险管理的过程中,通过对风险观和风险管理进行正确认识,对面临的风险进行准确识别和判断,可以在很大程度上提高企业的经济效益,实现对企业高效管理和控制。风险管理体系作为现代管理科学体系的核心内容,实现了企业由单纯性生产到风险预算生产方向的转变,加强了企业对自身发展的认识,实现了对自身发展的综合性、系统性、战略性评价,对我国企业发展具有非常好的促进效果。
参考文献
中图分类号:F272.7 文献标识码:A
COSO分别于1992年和2004年先后了两个内部控制框架,后者被命名为《风险管理——整合框架》,不但与原《内部控制——整合框架》名称不一,并将风险管理理念和方法导入其中。尽管我国2008年的《企业内部控制基本规范》采用了前者的形式和后者的思想,但是与我国企业的习惯认识产生了冲突。如何认识内部控制与风险管理的联系和区别,并对二者进行整合是当前会计理论界和实务界需要进一步思考的。
一、风险管理与内部控制关系综述
一般认为,企业内部控制是为了保护资产安全、提高企业经营效率和效果、保证财务信息真实性和可靠性所建立的一套自我管理和自我约束的管理制度或机制。但是,COSO于2004年重新提出的《企业风险管理——整合框架》强调了内部控制是风险管理不可分割的一部分,同时又指出了风险管理框架并没有打算取代在的内部控制框架。但并没有说清楚内部控制与风险管理究竟是一种什么样的关系。而且既然不准备替代内部控制框架,那么提出风险管理框架的用意又是什么。其实,长期以来,理论界和实务界对内部控制与风险管理之间的关系始终没有达到一致意见。概括而言,主要有以下三种观点:
(一)内部控制包含风险管理。
巴塞尔银行业监管委员会的《银行业组织内部控制系统框架》主张把风险管理内容纳入到内部控制框架之中。例如该框架指出:“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平。确保管理层采取必要的步骤去识别、计量、监督以及控制这类风险。”。另外,加拿大注册会计师协会控制标准委员会也认为:控制应该包括风险的识别与减轻。
(二)风险管理包含内部控制。
2004年,OSO委员会提出的《企业风险管理——整合框架》明确指出:内部控制是企业风险管理不可分割的一部分;内部控制是风险管理的一种方式。2005年,英国特恩而尔委员会也认为:公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。
(三)内部控制就是风险管理。
国内外也有不少学者认为,风险管理系统与内部控制系统没有差异。这两个概念的外延变得越来越广,正在变为同一事物。风险管理与内部控制仅仅是人为的分离,而在现实的商业行为中,二者其实是一体化的。将内部控制定义为风险管理只是为了强调控制与战略制定的联系,刻画了内部控制作为组织支撑的特征。
二、内部控制与风险管理比较
1992年COSO提出的《内部控制——整合框架》将内部控制定义为,“受董事会、管理层及其他人员影响的,为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”2004年COSO重新推出《风险管理——整合框架》,将风险管理定义为“由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定和企业各个层次的活动,目的是识别影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理保证的过程。”
(一)内部控制与风险管理的相关性。
1、风险管理包含内部控制,是内部控制的改进版
内部控制是生产规模化和资本社会化的产物,是基于委托关系的,其目标是保证会计信息的真实和资产安全;而风险管理则是经济全球化的产物,是对内部控制的拓展和延伸,其目标是提高企业对外部市场的反应能力,提升企业战略的适应性。因此,内部控制与风险管理的融合是必然的。2004年COSO委员会的《企业风险管理——整合框架》通过控制目标和控制要素的安排,将内部控制全面纳入到了风险管理框架之下,从而实现了内部控制与风险管理的全面融合。融合后,风险管理目标多了一个战略目标,这一目标正是内部控制升华到风险管理的核心体现。另外,为了强调风险的重要性,风险管理框架另外增加了事件识别、目标设定和风险对策三个要素。由此可以看出,内部控制实际上是包容在风险管理框架之中的。
2、风险管理以内部控制为工具。
风险管理是以内部控制为基础的,必须得到内部控制的支持,才能实现风险控制的目标。内部控制受风险管理驱动,反过来为企业实现管理目标而提供有效的保证。完善的内部控制是当今世界大多数国家的法定要求,是现代企业建立风险管理体制应达到的基本状态。
(二)内部控制与风险管理的差异。
1、内部控制与风险管理控制的对象不同。
内部控制是企业实现目标采取的政策和程序,仅仅是一项管理职能,侧重于事后和过程的控制。因而与风险管理相比,内部控制相对滞后,如控制活动、信息与沟通、对控制的监督等要素都属于事后性质的,这就决定了内部控制不能解决所有风险问题。而风险管理活动相对比较主动,通过战略目标的设定和事项识别,将内部控制提前到企业战略制定过程,使风险管理具有了前瞻性,被赋予了战略管理功能,提升了企业风险管理的地位和能力。
2、内部控制与风险管理对风险的认识不同。
内部控制注重对企业目标实现过程中产生负面影响的事件进行控制,没有区分风险和机会。而风险管理既关注风险对企业战略目标实现的不利影响,还要求关注风险中所蕴涵的机会对企业战略的促进作用。
3、内部控制与风险管理对风险管理的范围不同。
内部控制与早期的企业经营环境相适应,外部环境相对稳定,关注的是企业内部风险;而风险管理与当前不确定的市场环境相对应,关注的侧重点是企业外部市场风险。之所以如此,是因为只有关注外部风险才能够提高企业战略对外部市场的适应性
4、内部控制与风险管理采取的风险管理策略不同。
随着金融衍生工具的出现和市场竞争的加剧,企业存在多重风险,而且风险存在叠加,有的风险相互抵消减少。因此,风险管理提出了对风险进行组合管理的概念,企业不能只从某个部门或某项业务去考虑风险,而应当从组织整体角度考虑风险问题。
三、内部控制与风险管理的整合
内部控制应与企业的风险管理的融合,是企业风险管理的客观要求。
(一)设立风险管理委员会,提高内部控制的层次。
我国大多数企业之所以仍然将内部控制视为企业日常管理的工具,而将其定位于风险管理,关键是企业风险意识不强,而风险意识不强的原因是无人对风险承担责任。如果在企业组织结构中建立独立的、专业的风险管理团队,不但有助于对内部控制进行专业化的管理,增强其独立性,而且有助于创造一个独立承担风险管理责任的主体,从而激发企业领导层的风险责任意识。
(二)在内部控制框架中导入风险理念。
内部控制与风险管理是不可分割的整体,风险是二者联系的桥梁,这就要求在企业内部控制的各个层面、各项业务流程和各个控制环节注入风险管理政策和程序。企业风险管理部门,应当按照风险管理的要求,加强对内部控制的监督,定期和不定期地对风险管理活动的有效性作出评价,并提出整改意见。
(三)明确董事对企业风险管理的责任。
企业风险管理部门只是风险管理的直接责任人,董事会才是风险管理的最终责任人。为此,企业应当建立多层次的风险责任体系,以各司其职,各负其责任。将董事会的责任定位于风险管理的顶层设计层次,高级管理层的责任则主要定位于风险管理的执行层次,专职的风险管理部门的责任则定位于风险管理的组织层次,各部门经理则对本部门的运作风险管理负责。值得一提的是,董事会不但负责风险管理的顶层设计,而且对风险管理承担最终责任,董事会必须对对违反风险管理的各种行为,都应当严加追究,无论其是否造成损失。
(四)完善企业风险管理的内部环境。
COSO《风险管理——整合框架》将原《内部控制——整体框架》中的“控制环境”要素修改为“内部环境”要素,旨在要求提高整体风险意识而不仅仅是与控制政策和程序有关的风险意识,要求企业加强风险文化建设、树立适当的风险偏好、正确地识别风险和机会,以风险为导向加强人力资源管理,培养员工的诚实性和道德观,以提高企业整体的风险管理素质。
四、结束语
风险管理是一个比内部控制更加宽泛的概念,险管理与内部控制的融合是内部控制和风险管理成熟的标志。内部控制与风险管理的融合,强调了内部控制与企业战略之间的联系,使内部控制从狭隘的财务控制拓展到战略管理层面,要求内部控制参与企业价值创造的全过程。内部控制与风险管理的融合说明了传统的内部控制为企业风险管理构筑的防火墙已经难以抵挡市场瞬息万变的变化带来的风险,需要更全面的风险管理以适应市场经济的发展。
(作者单位:平顶山市建设工程标准定额管理站)
参考文献:
关键词:企业风险管理;內部控制;內部审计
一、企业风险管理框架的提出
2004年,美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO这样定义企业风险管理,企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用.旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。
1.内部环境(InternalEnvironment)。企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
2.目标设定(ObjectiveSetting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。
3.事件辨别(EventIdentification)。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。这一步要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。
4.风险评估(RiskAssessment)。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
5.风险反应(RiskResponse)。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
6.控制活动(ControlActivities)。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。
7.信息和交流(InformationandCommunication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息;平行式是部门之间的信息交流和传递;自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与管理层进行交流,管理当局应当重视员工的意见。
8.监督(Monitor)。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的合适人选。
二、企业风险管理与内部控制的融合
自1992年美国COSO委员会提出《内部控制框架》报告(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上,结合《SOX法案》在报告方面的要求,进行扩展研究得到的。通过比较,我们可以发现,企业风险管理的定义采用了1992年内部控制框架定义的模式,认为企业风险管理与内部控制同样是一个程序,它不是静态的,而是处于不断的调整和变化之中,以适应组织环境的变化。
企业风险管理除包括内部控制的三个目标之外,还增加了战略目标,并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营的效率和效果、财务报告的可靠性和现行法规的遵循。企业风险管理框架也包含三个类似的目标,但是比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
另外,企业风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件辨别和风险反应三个要素,由于对象不同,风险管理更加针对组织面临的“风险”,增加这三个要素,拓展了概念的深度和广度。因此,风险管理框架建立在内部控制框架的基础上,内部控制框架则是企业风险管理必不可少的一部分。
内部控制与风险管理的融合很早就引发了人们的关注,经过长期的争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最佳效果。COSO企业风险管理概念的提出,将风险管理与内部控制的融合大大地向前推动了一步,这种融合必将极大地推进内部控制和内部审计的发展。
三、风险管理对内部审计的影响
内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同,尚未形成统一的最佳做法,国际内部审计师协会目前还没有标准的风险基础审计定义,IIA的职业问题委员会认为,风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改进,审计业务的范围和优先次序应由组织所面临的风险所决定。
风险基础内部审计的特征可以总结为以下几点:
第一,风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司针对风险管理功能,设立一个分部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理的一个组成部分,整个审计工作根植于以未来为导向的风险分析。
第二,内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效”虽然仍被关注,但已不是关键。