发布时间:2023-10-10 15:35:59
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业风险管理要素范例,将为您的写作提供有力的支持和灵感!
随着税务部门征管稽查行为逐步规范化和法制化,以及报税系统信息化的发展,企业投机行为带来的潜在风险越来越大。企业解决税务风险的最好办法,就是制定一个好的税务策略,建立一套严格的内控体系,把企业的税务风险控制在可接受的范围之内。
一、税务风险的定义及管理目标
(一)定义
税务风险就是企业在涉税活动中面临的一种不确定性。风险和收益是成正比的,企业追求利润最大化,势必要求降低税收,因而税务风险的存在,具有客观的必然性。税务风险具有税收上的不确定性。在生产、经营过程中,企业面临着各种各样的决策,每一项决策都要考虑效益和成本的关系,不可避免的会涉及税务问题。不同的决策引起不同的税收负担,即使相同的决策也会由于纳税人的主观原因和外部环境的客观原因不同而税负各异。
(二)企业税务风险管理目标
从企业角度考虑,税务风险管理的目标是企业通过税务风险管理体系识别、评估和防控税务风险,以保证企业经营决策和日常经营活动及相关业务处理符合税法规定,降低企业涉税成本。企业税务部门应参与企业战略规划和重大经营决策的制定,并跟踪和监控相关税务风险。具体说,企业税务风险管理的主要目标包括:税务规划具有合理的商业目的,并符合税法规定;经营决策和日常经营活动考虑税收因素的影响,符合税法规定,对税务事项的会计处理符合相关会计制度或准则以及相关法律法规;纳税申报和税款缴纳符合税法规定;税务登记、账簿凭证管理、税务档案管理以及税务资料的准备和报备等涉税事项,符合税法规定。目标重点突出了税务行为的“合法性”,即涉税事宜均符合法律规定。
二、企业税务风险管理构成要素
企业税务风险管理,主要包括八个相互关联的构成要素:
(一)内部税务环境。企业领导确定关于税务风险的概念,并确定税务风险容量;内部税务环境为主体中的领导及员工对待风险的态度;领导重视,税务会计坚实的业务基础及相关人员的配合和正确认识,为税务风险管理打好了基础。
(二)税务目标设定。设定税务工作目标,工作人员在努力达成目标的过程中,就能识别影响它们的潜在风险事项。企业税务风险管理确保管理当局采取恰当的程序设定目标,确保所选定的税务目标支持和切合该税务主体的使命,并且与它的税务风险容量相一致。
(三)税务风险事项识别。税务事项识别涉及到从影响税务目标事先的内部和外部原因中识别潜在的税务事项。它包括区分代表风险的税务事项和代表机会的税务事项,以及可能二者兼有的事项,机会被反馈到管理当局的战略或目标制定过程中。
(四)税务风险评估。要对识别的税务风险进行分析,以便形成如何对他们进行管理的依据。税务风险与可能被影响的目标相关联。即要对固有税务风险进行评估,也要对变化的税务风险进行评估,评估要考虑到税务风险的可能性和影响。
(五)税务风险应对。员工识别和评价可能的税务风险应对措施,包括回避风险、承担风险、降低风险和分担风险。税务管理当局选择一系列措施,使税务风险与主体的风险容限和风险容量相协调。
(六)税务风险控制。制订和实施政策和程序,以帮助确保管理当局所选择的税务风险应对措施得以有效实施。
(七)税务相关信息与沟通。收集税务相关的信息,以确保员工履行其职责的方式和时机能及时识别、获取相关信心并保持有效沟通。税务人员需要借助相关信息来识别、评估和应对税务风险,使税务人员充分了解自己的职责和相互联系,并有序开展工作。
(八)税务风险监控。对企业税务风险管理进行全面监控,必要时对税务风险管理程序加以修改和改进。通过这种方式,能够动态反应企业税务情况,并根据外界和内部条件的要求而变化。
三、企业税务风险管理的影响因素
(一)内部影响因素
企业内部税务风险因素包括:企业经营理念和发展战略;税务规划以及对待税务风险的态度。组织架构、经营模式或业务流程,税务风险管理机制的设计和执行;税务管理部门设置和人员配备;部门之间的权责划分和相互制衡机制;税务管理人员的业务素质和职业道德;财务状况和经营成果;对管理层的业绩考核指标。企业信息的基础管理状况;信息和沟通情况。监督机制的有效性。其他内部风险因素。分析企业的内部风险因素,有利于企业从高层态度、员工素质、企业组织结构、技术投入与应用、经营成果,财务状况、内部制度等微观方面,识别企业自身可能存在的税务风险。重点可归纳为以下几个方面:
一是企业经营管理者的依法纳税意识。部分企业的经营管理者依法纳税意识不是很强,不注重税务人才的培养和职务设置,企图通过不合法行为来达到减少企业税负的目的。随着我国税收征收征管体系的健全,税收征管力度的加大,企业税务不合法行为一旦被发现,将可能面临行政处罚和刑事处罚,后果严重。为此,企业及其经营管理者有必要树立涉税风险防范意识,加深对企业涉税风险了解,加大对税务风险的防范。
二是企业税务人员的专业水平。一些企业的税务风险直接来自税务人员对会计法规、税务法规和国家政策的不熟悉,企业税务人员的专业水平直接影响企业涉税风险,严重得还可能在主观没有违法意图的情况下,做出事实违法的税务行为,给企业带来税务风险。
三是企业经营管理体制的影响。完善的企业经营管理体制和内部控制制度是企业涉税风险防范的基础。企业如果缺乏有效地经营管理体制,就很难从源头上控制和防范涉税风险。因而企业应该建立健全企业财会制度,内部审计制度、企业税务风险管理制度等,从组织架构、经营模式或业务流程上做好税务风险管理机制的设计和执行,还要重视税务管理部门的作用,设置并配备相关人员,使部门之间的权责划分要相互制衡。
(二)外部影响因素
企业外部税务风险因素包括:经济形势和产业政策;市场竞争和融资环境;适用的法律法规和监管要求;税收法规或地方性法规的完整性和适用性;上级或股东的越权或违规行为;行业惯例;灾害性因素;其他外部风险因素。我国目前的影响因素主要包括以下几个方面:
一是税收政策法规。在金融危机的影响下,为了适应经济发展的需要,税收政策变化频繁。再加上我国纳税人与税务机关的交流不够,信息不对称,造成对税务法规的错误理解,因此纳税人需要及时准确掌握税收政策法规的变动,如果企业不及时了解这些变动,调整自己的涉税行为,极有可能使自己的本来合法的纳税行为变为不合法,加大企业涉税风险。
中图分类号:F235文献标识码:A
文章编号:1005-913X(2017)04-0098-02
近年来,大型集团企业日益成为企业组织形式发展的主要方向,然而伴随企业组织规模的扩大与组织层级的增多,财务风险的传导性与危害性变得更加显著,因而如何遏制随企业规模扩张而不断增大的财务风险便成为一个亟需解决的问题。构建集团企业财务风险管理系统势在必行。
一、集团企业财务风险管理框架构建的原则
(一)系统性原则
系统论强调整体性原则,企业财务风险管理是一个系统,系统是由各组成要素相互联系、相互作用所形成的一个有机整体,系统的各组成要素是不可缺少、不可分割的;系统论强调目的性原则,企业财务风险管理系统通过系统功能的发挥而实现财务风险管理的目标,而系统功能的发挥又与系统的组成及结构有很大关系;系统论强调整体优化原则,企业财务风险管理系统整体性能是否最优会受到该系统组成管理要素及要素间关系变化的影响,若想发挥系统的最优性能,就需要根据环境的变化不断调整系统组成管理要素及管理要素间的关系,从而达到优化企业财务风险管理系统整体性能的目的。
(二)环境分析起点原则
构建集团企业财务风险管理框架,它就有边界,边界外面就是环境。任何活动的实施都是在一定环境下进行的,集团企业财务风险管理活动具有主动适应环境并受环境影响的双重特性。管理的目标受集团企业战略目标统驭,制定集团企业战略目标是在环境分析的基础上进行的。因此,只有进行环境分析,才能知晓集团企业财务风险管理所面临的迫切形势,以及所面临的优势和劣势,然后利用环境造成的机会,回避环境造成的威胁,发挥自身优势,回避自身劣势。所以,确立集团企业财务风险管理目标时,必须以环境分析为起点。
(三)目标导向原则
目标是集团企业财务风险管理的方向、也是评价管理效果的依据。我们应该以目标为导向确定集团企业财务风险管理的主体、活动和保障措施。当然集团企业财务风险管理的实施目标和集团企业战略目标应保持一致,这是由环境分析的结果确定的。集团企业财务风险管理是集团企业财务管理乃至战略管理的一部分,随着环境的不断变化,集团企业财务风险管理处于不同发展阶段,可能会面临不同的问题,因此需要以集团企业财务管理为目标,保持两者目标的一致性。
(四)具体问题具体分析原则
具体问题具体分析原则是指我们在构建集团企业财务风险管理框架时,在确定集团企业财务风险管理的主体、活动和保障措施,以实现集团企业财务风险管理目标时,要立足于我国的现状,根据我国国情,而不是一味地照抄照搬国外的做法。当然,我们构建的集团企业财务风险管理框架可以随着环境而变化、调整、优化,是适应环境的。具体问题具体分析原则要求我们能够根据环境变化及时改变集团企业财务风险管理框架的构成要素,针对环境保护目标中出现的新的问题不断完善模式。目前,集团企业财务风险管理面临的环境发生着非常迅速、异常巨大的变化,这对我们构建集团企业财务风险管理框架提出了新的要求,即要根据环境变化及时调整层次和目标,明确主体、完善活动、健全保障体系、优化实施基础,合理保证集团企业财务风险管理的效率和效果,实现集团企业财务风险管理的整体目标。
二、集团企业财务风险管理框架的构建
(一)集团企业财务风险管理框架的三层结构
1.目标层。目标是任何实践活动的最终归宿,也是指导实施层的重要依据。目标是实施主体的方向和考评依据,没有目标的行为是没有任何意义的,没有目标的实施活动也不会实现预想的效果和效率。因此,目标层的目标要素就是按照环境分析起点原则分析、制定、选择的切实可行的目标。集团企业财务风险管理的目标包括战略目标和具体目标,集团企业财务风险管理框架的战略目标是集团企业层面的长期的、整体的目标,具体目标是不同层次责任主体的具体目标。
2.管理层。管理层是集团企业财务风险管理框架的核心部分,是目标层诉诸于实践的具体表现。管理层包括责任主体、程序方法和保障体系等要素。管理层以目标层为导向受到目标层的制约,同时又对目标层层级目标的实现起决定作用。管理层更离不开基础层的支持和保障。因此,管理层是连接目标层和基础层的桥梁,它是目标层的具体实践和基础层的现实表现。
3.基础层。从目标的建立到为完成目标所开展的管理活动,基础层都是这个过程的基点。它立足于实际,详细分析目前面临的现状和实情,是整个框架构建的基础。管理层的管理主体、管理活动和保障体系受基础层的约束和限制,同时基础层又为管理层提供支持和保障。
(二)集团企业财务风险管理框架的要素分析
1.管理目标。管理目标是企业通过财务风险管理达到的目标,是我们构建集团企业财务风险管理框架的根本出发点和核心。我们在构建集团企业财务风险管理框架时就必须从管理目标出发。在集团企业财务风险管理框架中管理目标属于目标层的要素。管理目标是在对集团企业的宏观、微观环境进行SWOT分析后得出的战略选择基础上进行战略评价,在确定企业战略目标的基础上,考虑了企业使命和风险承受度后制定的。当然,目标应该从上向下层层分解,每一层管理主体都负有与其权责相τΦ哪勘辍⒅副旰涂己吮曜肌
2.责任主体。责任主体是集团企业财务风险管理的核心力量,其中,股东大会是公司的最高权力机构,站在所有者角度,通过有效管理所有者的财权,对集团企业财务风险进行管理;董事会是集团企业的经营决策机构,从财务管理的角度看,同样是经营者财务监督体系的核心和最高层。董事会从行政者的角度,通过全方位负责财务决策有效性,对企业财务风险进行管理;监事会是公司的司法者,在财务风险管理领域,监事会应当全面了解集团企业财务风险管理现状,跟踪监督董事会和高级管理层为完善内部控制所做的相关工作,检查和研究日常经营活动中是否存在违反既定财务风险管理政策和原则的行为;总经理及其集体是公司经营管理最高执行层。从日常财务监督的组织、管理和实施过程看,总经理及其集体的主要职责是负责执行财务风险控制政策,制定财务风险控制的程序和操作规程,及时了解财务风险水平及其控制情况,并确保集团企业具备足够的人力、物力、恰当的组织结构、管理信息系统以及技术水平,来有效地识别、度量、控制财务风险,并定期或者不定期评价财务风险控制的效果和效率;部门主要包括财务风险控制部门、财务控制部门、内部审计部门等。企业所有岗位能够实施或者参与财务风险管理的人,都是财务风险管理的责任主体,通过各自职责的履行情况,对企业财务风险进行管理。企业所有岗位都是财务风险管理的责任主体;之所以把子公司单独列为一个责任主体,是因为集团企业所属的子公司往往也存在背离母公司的倾向,从而使母公司面临失控,导致财务风险。
3.程序方法。程序方法是企业财务风险管理的基本程序和方法,是责任主体所表现的行为集合,表现为责任主体进行财务风险管理的行为举动,同时也是控制系统主要监督、控制的内容,包括规范的财务风险管理基本流程。集团企业财务风险管理的程序方法至少应该包括:风险识别、风险度量、风险应对和管理评价等。集团企业财务风险管理目标实现的效果和效率是由责任主体实施程序方法的效果和效率决定的,必须加强责任主体实施程序方法的引导、控制和评价,以便使集团企业财务风险管理朝着有利于管理目标去组织、贯彻和实施。
Abstract:Since COSO issued“Enterprise Risk Management-Integrated Framework”,COSO-ERM framework has become the standard of enterprise risk management,but as some financial institutions broke in the Subprime Crisis,the effectiveness of the enterprise risk management was suspected. Today in the post-crisis era,developing new analytical framework of enterprise risk management becomes an inevitable claim. In the new analysis framework,the objective of enterprise risk management is shifted from the company(shareholders)to maximize the interests to maximize the interests of corporate stakeholders,and the contents of enterprise risk management are shifted from the COSO eight elements to the economic capital,risk management elements,structured financial instruments and risk management for the pillars of sustainable comprehensive risk management.
Key Words:enterprise risk management,economic capital,risk management elements,sustainability risk management
中图分类号:F830 文献标识码:A 文章编号:1674-2265(2012)06-0009-05
风险管理理论已有五十年的发展历史,已成为指导企业经营管理不可或缺的重要思想。2004年COSO颁布《企业风险管理——整合框架》后,COSO—ERM框架很快成为风险管理的核心标准,企业风险管理首次拥有了一个系统的分析框架。但是,发生于2007年的次贷危机,动摇了人们对COSO框架的信心,风险管理该如何实施成为后危机时代风险管理理论必须回答的问题。王稳(2010)提出了一个新的企业风险管理分析框架,以经济资本、风险管理要素、结构性金融工具和可持续风险管理作为企业风险管理的核心内容,为后危机时代的风险管理提供了一个可参考的框架思路。本文在这个分析框架的基础上,系统梳理了已有文献对风险管理框架和内容的论述。
本世纪初以来,以不确定性为基本研究对象的企业风险管理(enterprise risk management,erm)理论逐渐进入我国实业界和研究者的视野。2006年6月,国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该《指引》的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。 一、企业风险管理理论概要及在我国的规范化实施
1.企业风险管理(erm)理论的一般框架。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(committee of sponsoring organizations of the treadway commission,coso)在2004年9月提出的,标志文书是《企业风险管理——整合框架》(enterprise risk management integrated framework,下称《整合框架》),这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。coso认为,企业风险管理是经由企业当局广泛参与,对企业面临的不确定性进行多要点掌控,以实现组织目标的过程。
《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部 环境 、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的erm框架是通过对不确定性的管理增加股东价值,以共同的 语言 和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。
2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等 法律 法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威 指导 文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、 财务 风险、 市场 风险、运营风险、法律风险等。
《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。
二、企业风险 管理 理论 本土化过程中应注意的问题
1.找到切合实际的本土化切入点
一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析 总结 的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、 历史 传承、 文化 特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
2.建立起具有可操作组织规范
企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的 药 方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。
3.培育良好的气氛和合格主体
一般讲,一个良好的适合于特定企业的erm氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与 企业战略 有机联系;二是能够保证企业的风险管理战略、企业的 发展战略 与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险 语言 ,和畅通的沟通管道。任何一个erm框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。
参考文献:
一、COSO的内部控制整体框架和风险管理整体框架
(一)《内部控制——整体框架》关于风险管理的论述
1992年,COSO了其研究报告《内部控制——整体框架》,并于1994年进行了增补修订。在该报告中,COSO(1992)指出,企业必须了解它所面临的风险,并加以处理。企业必须制定目标,而目标又必须与销售、生产、营销、财务等活动相结合,如此企业才能很好地运作。企业还必须建立识别、分析和管理相关风险的机制。
COSO(1992)提出了内部控制的五个要素,其中之一便是风险评估。COSO(1992)指出,每一个主体都面临着各种来源于内部和外部的风险,这些风险必须加以评估。风险评估的前提之一是建立目标,不同层次的目标应当相互联系并保持内部一致。风险评估是指识别、分析与实现目标相关的风险,它是决定这些风险应如何管理的基础。由于经济、行业、管制和经营条件会不断发生变化,应当建立相应的机制以识别并处理与这些变化相关的特定风险。COSO(1992)指出,须从企业整体和作业两个层次来识别风险。企业整体层次的风险可能由外部或内部因素而产生。外部因素如:科技发展、顾客的需求或预期改变、竞争、新颁布的法律法规、天然灾害、经济环境改变;内部因素如:信息系统处理的中断、员工的品质、经理人的责任改变、企业活动的性质以及员工可接近企业资产的程度、董事会或监事会不够坚定或无效。
(二)风险管理的新发展:《企业风险管理——整体框架》
2004年,COSO了其研究报告《企业风险管理——整体框架》。风险管理整体框架(ERM)是在内部控制整体框架基础上发展而来的。COSO(2004)指出,风险管理框架不想也没有替代内部控制框架,但它将内部控制框架整合在内,采用这一框架,企业既可以满足内部控制的需要,也可以建立一个完整的风险管理过程。
1.风险管理的目标
COSO(2004)认为,主体的目标包括四个:
(1)战略目标,是高水平的目标,它应与组织的使命一致并支持该使命;
(2)经营目标,组织应当有效率和效果地使用资源;
(3)报告目标,组织应当提供可靠的报告;
(4)遵循目标(合规性目标),即组织应当遵循相关的法律规章。
企业风险管理实际就是为实现上述目标提供合理的保证。
2.风险管理的内容
企业风险管理包含以下方面的内容(作用):
(1)协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时,应考虑组织的风险偏好。
(2)改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略(包括规避、降低、分担与接受风险)中做出选择。
(3)减少经营意外与损失。提高组织识别潜在事项并做出反应,减少意外事项及相关的成本或损失的能力。
(4)识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险,企业风险管理应当有助于对相关关联的影响作出有效的反应,并对多企业的风险作出整体性反应。
(5)抓住机会。通过考虑所有的潜在事项,管理层应当能够识别并实现机会。
(6)改善资本的配置。在获得关于风险的信息后,管理层可以有效地评估总体资本需求并改进资本的配置。
企业风险管理的上述作用,有助于管理层实现组织的经营和盈利目标,并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循,并有助于避免组织声誉的损害及相关不良后果。总之,企业风险管理有助于企业向其所期望的方向发展,避免在发展的过程中遭遇陷阱和意外。
3.风险管理的要素
企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法,并与管理过程合成一个整体。这些要素包括:
(1)内部环境。内部环境包含了组织的风格,它确定了组织人员如何看待和处理风险的基础,是其它要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。
(2)目标设定。在管理层辨别影响其目标实现的潜在事项之前,必须有目标。企业风险管理要求管理层设定目标,选择的目标需要能够支持组织的使命并与组织使命相一致,并与其风险偏好相一致。
(3)事项识别。即识别那些影响组织目标实现的内外部事项,并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。
(4)风险评估。必须对风险加以分析,考虑其发生的可能性以及影响,并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。
(5)风险应对。管理层应在不同的风险应对(包括回避、接受、降低、分担风险)中做出选择,从而采取一系列与组织的风险容忍度(risk tolerances)和风险偏好相一致的行动。
(6)控制活动。应建立相关的政策和程序,以确保风险应对策略得到有效的执行。控制活动通常包括两个要素:确定应从事何种活动的政策、执行政策的程序。
(7)信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息并加以传递沟通,从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上,包括向下、向上以及平行交互沟通。
(8)监控。整个企业风险管理都应当加以监控并根据需要做出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。
对于这八个要素,COSO(2004)指出,企业风险管理不是一个严格的序列过程,即一个要素仅影响下一个要素,而且是一个多方向的、相互影响的过程,任何要素都可以并且确实影响其它的要素。
4.风险管理目标与风险管理要素的关系
COSO(2004)认为,目标是主体要实现什么,企业风险管理的要素则意味着需要什么来实现它们,因此,风险管理的目标与要素之间存在密切的直接联系。这样,企业目标、风险管理要素与企业各个层级之间就形成一个三维立体图。
二、美国风险管理准则对我国的启示
从以上COSO风险管理准则内容和要求上,可以看出存在以下特点:
(一)将风险管理与内部控制联系在一起。内部控制是风险管理的重要手段,董事会应当建立并维持有效的内部控制系统以实现风险管理。
(二)均强调风险管理是一个包含风险识别、计量和应对的系统化过程。风险识别、计量、应对和控制活动是一个紧密的整体,企业必须识别面临的潜在风险,并评估其对企业的影响,从而采取相应的措施来应对风险。在风险识别和分析、评估的技术上,均强调应当结合采用定量技术和定性技术。另外,人们越来越认识到,风险是无法绝对消除的,因此,风险管理的目标是将其控制在主体的风险偏好以内,而不是消除风险。反映到风险应对策略上,相关的风险管理准则大都强调风险的应对措施包括回避、抑减(降低)、转嫁(分摊)、接受,应当根据风险发生的可能性、对主体的影响以及主体自身的风险容量选择适当的应对措施。 (三)强调风险管理应当融入到企业日常经营活动中,并贯穿于企业的各个层次、所有的经营活动。风险管理针对的是企业经营活动中对企业目标实现产生影响的风险事项,因此,风险管理必须与企业的经营活动紧密地结合在一起,在经营活动中处处体现风险管理的理念与做法,这不仅有助于及时识别企业所面临的风险事项,也有助于降低风险管理成本、提高风险管理效率。
(四)强调控制环境的作用。公司的高层基调、管理层的管理哲学、董事会和相关委员会、员工的胜任能力对于有效的风险管理具有重要作用,如果没有一个良好的、注重风险管理的内部环境,风险管理很难取得成功。
(五)强调全员参与。全员管理是现代风险管理的重要特征,风险管理不仅仅是风险管理部门的事,而且需要靠企业的全体员工来落实,所有员工都会影响到企业风险管理的效果,企业应当使所有员工了解自己在风险管理中的作用。
(六)强调信息与沟通。信息和沟通对于良好的风险管理和内部控制相当重要,下层要了解公司的风险管理战略和政策、措施,并有顺畅的向上沟通风险管理和内部控制情况的渠道,上层要及时向员工及外部了解企业面临的重大风险及其管理情况。
《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部环境、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的ERM框架是通过对不确定性的管理增加股东价值,以共同的语言和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。
2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威指导文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、财务风险、市场风险、运营风险、法律风险等。
《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。
二、企业风险管理理论本土化过程中应注意的问题
1.找到切合实际的本土化切入点
一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析总结的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
2.建立起具有可操作组织规范
企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的药方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。
3.培育良好的气氛和合格主体
一般讲,一个良好的适合于特定企业的ERM氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与企业战略有机联系;二是能够保证企业的风险管理战略、企业的发展战略与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险语言,和畅通的沟通管道。任何一个ERM框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。
参考文献:
[1]滕青:我国企业风险管理框架构建[J].经济管理,2007,(3):45~48
[2]陈颖杰赵阳:谈企业整体风险管理[J].商业经济研究,2007,(28):44~45
一、我国风险管理审计准则的内容及局限性
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号—风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
二、重新认识内部控制与风险管理的关系
对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标—风险—控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:
1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。
2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。
总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。
三、建议
基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。
主要参考文献
关键词:企业风险管理;內部控制;內部审计
一、企业风险管理框架的提出
2004年,美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO这样定义企业风险管理,企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用.旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。
1.内部环境(InternalEnvironment)。企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
2.目标设定(ObjectiveSetting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。
3.事件辨别(EventIdentification)。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。这一步要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。
4.风险评估(RiskAssessment)。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
5.风险反应(RiskResponse)。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
6.控制活动(ControlActivities)。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。
7.信息和交流(InformationandCommunication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息;平行式是部门之间的信息交流和传递;自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与管理层进行交流,管理当局应当重视员工的意见。
8.监督(Monitor)。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的合适人选。
二、企业风险管理与内部控制的融合
自1992年美国COSO委员会提出《内部控制框架》报告(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上,结合《SOX法案》在报告方面的要求,进行扩展研究得到的。通过比较,我们可以发现,企业风险管理的定义采用了1992年内部控制框架定义的模式,认为企业风险管理与内部控制同样是一个程序,它不是静态的,而是处于不断的调整和变化之中,以适应组织环境的变化。
企业风险管理除包括内部控制的三个目标之外,还增加了战略目标,并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营的效率和效果、财务报告的可靠性和现行法规的遵循。企业风险管理框架也包含三个类似的目标,但是比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
另外,企业风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件辨别和风险反应三个要素,由于对象不同,风险管理更加针对组织面临的“风险”,增加这三个要素,拓展了概念的深度和广度。因此,风险管理框架建立在内部控制框架的基础上,内部控制框架则是企业风险管理必不可少的一部分。
内部控制与风险管理的融合很早就引发了人们的关注,经过长期的争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最佳效果。COSO企业风险管理概念的提出,将风险管理与内部控制的融合大大地向前推动了一步,这种融合必将极大地推进内部控制和内部审计的发展。
三、风险管理对内部审计的影响
内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同,尚未形成统一的最佳做法,国际内部审计师协会目前还没有标准的风险基础审计定义,IIA的职业问题委员会认为,风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改进,审计业务的范围和优先次序应由组织所面临的风险所决定。
风险基础内部审计的特征可以总结为以下几点:
第一,风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司针对风险管理功能,设立一个分部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理的一个组成部分,整个审计工作根植于以未来为导向的风险分析。
第二,内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效”虽然仍被关注,但已不是关键。
现代企业风险管理是指企业在经营过程中,识别、评估、分析各种可能造成潜在影响的风险事项,并在其风险偏好范围内进行控制和管理,从而为企业目标的实现提供合理保证的过程,具体表现为认真分析风险、有意识地承担风险、科学地管理风险、稳妥地获取风险收益。它以博弈论作为理论基础,通过对不确定性全方位、深层次的分析,形成完善的风
险管理计划;对各类风险进行识别、定量定性分析、响应和监控,形成综合性的风险应对策略,为正确决策提供依据,为持续发展提供基础。其核心是将难以预计的未来事项的不确定性控制在可接受的程度,并从中寻求有利于企业发展的机遇。该定义通常包括以下基本原理:(1)从企业整体角度分析风险。企业风险管理不是汇集每个独立部门面临的风险,而是汇集彼此及企业相对于每个独立部门的整体风险;(2)从宏观角度分析风险。风险管理是一种持续行为,贯穿于企业经营的全过程,包括事前、事中、事后。越早发现风险,越早采取措施,则风险管理的成本就越低,给企业带来的效益就越大。
二、现代企业风险管理理念概括来说,健全的企业风险管理理念可以归结为6C,即全面性、一致性、关联性、集权性、互通性、创新性。
1、全面性(comprehensive)。风险管理的目标不仅仅是使公司免遭损失,而且包括能在风险中抓住发展机遇。全面性可归纳为三个“确保”,一是确保企业风险管理目标与业务发展目标相一致;二是确保企业风险管理能够涵盖所有业务和所有环节中的风险;三是确保能够识别企业所面临的各类风险。
2、一致性(consistent)。风险管理有道亦有术。风险管理的“道”根植于企业的价值观与社会责任感。风险管理的“术”是具体的操作技术与方法。风险管理的“道”是“术”之纲,“术”是“道”的集中体现,二者高度一致。
3、关联性(correlative)。有效的风险管理系统是一个由不同的子系统组成的有机体系,如信息系统、沟通系统、决策系统、指挥系统、后勤保障系统、财物支持系统等。因而,企业风险管理的有效与否,除了取决于风险管理体系本身外,在很大程度上还取决于它所包含的各个子系统是否健全和有效。任何一个子系统的失灵都有可能导致整个风险管理体系的失效。
4、集权性(centralized)。集权的实质就是要在企业内部建立起职责清晰、权责明确的风险管理机构。因为清晰的职责划分是确保风险管理体系有效运作的前提。同时,企业应确保风险管理机构具有高度权威,并尽可能不受外部因素的干扰,以保持其客观性和公正性。
5、互通性(communicating)。风险管理战略的有效性在很大程度上取决于其所获信息是否充分。而风险管理战略能否被正确执行则受制于企业内部是否有一个高效的信息沟通渠道。有效的信息沟通可以确保企业所有人员都能正确理解其工作职责与责任,从而使风险管理体系各环节正常运行。
6、创新性(creative)。风险管理既要充分借鉴成功的经验,又要根据风险的实际情况,尤其要借助新技术、新信息和新思维,进行大胆创新。
三、现代企业风险管理体系及其构成要素
每个组织的存在都有其目标,在实现目标的过程中,必然存在各种不确定因素,即风险。企业管理层的一项重要职责就是要建立一个良好的风险管理体系,来识别、评价和控制风险,为组织目标的实现提供合理的保证。
(一)现代企业风险管理体系如上图所示,完善的现代企业风险管理体系应将风险管理视为闭环型的过程管理,包括风险识别、风险分析、风险应对、风险监控,四个环节依次顺序推进、循环往复。
1、风险识别。即确定何种风险可能会对企业产生影响,并以明确的文档描述这些风险及其特性。一般而言,风险识别是一个反复进行的过程,应尽可能地全面识别企业可能面临的风险。对风险进行分类和归纳是风险识别中常用的方法。风险分类应当反映出企业所属行业或应用领域内常见的风险来源。例:技术方面的风险、时间安排方面的风险及财务方面的风险等。检查表是风险识别中非常有效的工具。根据积累的风险数据和信息,特别是企业在风险管理过程中形成的数据集合风险管理知识库,可以较为完整地开发和编制企业风险检查表。检查表的好处是提高了风险识别过程的效率。特别是企业进行大量类似项目时,完全可以开发一套通用的风险检查表,以提高风险识别过程的速度和质量。
2、风险分析。即评估已识别风险可能的后果及影响的过程。风险分析可以选择定性分析或定量分析方法,进一步确定已识别风险对企业的影响,并根据其影响对风险进行排序,确定关键风险项,并指导风险应对计划的制定。
风险指数体系是一个有效的风险分析模型,主要用于表征整个企业的风险程度。该体系根据风险识别和风险分析的结果,运用数学模型计算得到一组量化的风险指数,从而实现对企业风险的量化反映及横向校核,并监控风险管理的绩效。
3、风险应对。即针对企业面临的风险,开发、制定风险应对计划并组织必要的资源着手实施,目的是有效控制风险,避免风险失控演变为危机。风险应对计划包括企业当前及未来面临的主要风险类别,针对各类风险的主要应对措施,每个措施的操作规程,包括所需的资源、完成时间以及进行状态等。风险应对计划形成之后,企业应通过风险管理体系确保计划启动时所必需的人力、物力等资源。
4、风险监控。即在风险管理全过程中,跟踪已识别的风险,监控残余风险及识别新的风险,确保风险应对计划的执行,评估风险应对措施对减低风险的有效性,并形成风险监控 报告。风险监控是企业风险管理生命周期中一种持续的过程,在企业经营过程中,风险不断变化,可能会有新风险出现,也可能有预期风险消失。
(二)现代企业风险管理要素完善的现代企业风险管理体系一般应包括相互关联的要素,各要素贯穿于企业管理全过程,为实现企业目标提供保证。
1、内控建设。主要是在企业中建立完善的内部控制制度,树立良好的风险管理理念,营造出色的风险管理文化,为其他风险管理要素的实施打下环境基础。
2、目标制定。决策层必须首先确定企业的目标,才能够在此基础上确定对目标的实现具有潜在影响的各种不确定因素,即风险。
3、事项识别。下列事项可能给组织带来风险:因使用不正确、不及时、不完整、不可靠的资料而导致决策错误;记录有错误、会计核算资料不真实、不完整;资产保护不当;顾客不满意,组织信誉受损;执行组织决策、计划、程序不力,或有违法违规行为;不经济地获取或无效地利用资源;没有完成组织的任务和目标等等,需要企业的管理者对其进行识别、评估和反应。
4、风险评估。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估:风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。
5、风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一项重要的风险,企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在容忍度之内的风险反应方案。
6、控制活动。控制活动是确保风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个层面,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。
7、信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业中的每一环节能够恰当执行各自职责。
8、监控。对企业风险管理的监控是指评估风险管理要素的内容、运行以及执行质量的过程。企业可以通过持续监控和个别评估两种方式,来保证风险管理理念在决策、管理层面和各执行层面都得到了正确的理解和贯彻。此外,在风险管理过程中,必须高度重视沟通的作用,通过积极、全面、有效的内外沟通及上下沟通,确保风险控制与危机处理流程顺畅、有序、高效、及时。
四、内部审计与现代企业风险管理
(一)内部审计与现代企业风险管理的关系为体现并适应执业环境的变化,1999年,国际内部审计师协会(IIA)在其《内部审计实务标准》及《职责说明》中对内部审计进行了重新定义。新定义将内部审计的范围延伸到风险管理和公司治理,认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的,使企业内部审计与风险管理融为一体。可见,内部审计是风险管理的一种方法、一种手段,而风险管理则是内部审计的一项新的内容、一个新的领域。从发展趋势看,内部审计不仅越来越关注风险,同时,也是风险管理体系的重要组织部分。现代企业内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向型内部审计体系下,控制仍然重要,但业务重心在于分析、确认、揭示关键性的经营风险,强调风险规避、风险转移和风险的控制。可以说,IIA将“评价并改善风险管理、控制和治理过程的效果”作为内部审计的重要职责,视风险管理为内部审计的推动力,是国际内部审计几十年苦苦探索的经验总结,为内部审计未来发展指明了努力的方向。
(二)内部审计在风险管理中的作用
在风险导向型模式下,内部审计全面参与公司治理与风险管理,发现并评价重要的风险因素,协助组织改善风险控制程序,成为企业风险管理体系的关键环节。
1、检查与评价。重点是对企业风险管理体系的充分性和有效性进行评估,主要包括:(1)评价企业战略目标的制定是否在分析组织和行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业自身风险偏好来制订;(2)与相关管理层讨论部门目标,评估分解到各部门的具体目标是否与企业整体战略目标一致并拥有足够的支持;(3)评价管理层对风险的识别与评估是否适当;(4)分析风险控制措施是否足以使风险失控的可能性和影响在企业风险容忍度之内;(5)评估风险监控程序是否得到持续、有效执行,监控报告及风险管理报告是否充分、及时。
一、企业风险管理框架分析
企业风险管理的基础性前提是每一个主体的存在都是为其利益相关者提供价值。所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值奋斗的同时,要确定承受多大的不确定性。管理当局依据不确定性,制定战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所有主体的目标的过程中高效率和有效地调配资源,以使价值得以最大化。通过COSO给出的企业风险管理的框架,可知企业风险管理是一个过程,持续地流动于主体之内;由组织中各个层级的人员实施;应用于战略制定;贯穿于企业,在各个层级和单元应用,还包括采取主体层级的风险组合观;旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内;能够向一个主体的管理当局和董事会提供合理保证;力求实现一个或多个不同类型但相互交叉的目标。
(一)企业风险管理的目标COSO报告将企业风险管理的目标归纳为:战略目标、经营目标、报告目标、合规目标。战略目标规划企业经营管理活动所必须长期坚持的有效愿景。经营目标涉及到企业经营的效果与效率,包括业绩指标与盈利指标,旨在提高企业有效及高效地利用资源的能力。报告目标关注企业报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息。合规目标是最基础的目标,考察企业经营遵循相关的法律法规的情况。其中,战略目标层次最高,反映了管理者为努力实现利益相关者创造价值的目标而做出的选择。
(二)企业风险管理的构成要素企业风险管理包括八个互相关联的要素,这些要素来自管理层经营企业的方式,并和管理流程整合在一起。包括:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通及监控。宏观上,内部环境是企业风险管理的基础,为企业风险管理其他组成部分的顺利运行提供了平台。目标设定是全面风险管理的起点,是其他要素的驱动力量。在目标设定的前提下,对影响目标的风险进行事件识别,进而对识别的事项进行风险评佑,风险评估驱动风险反应,影响控制活动,信息与沟通和监督贯穿于企业风险管理的整个过程,并对各个组成要素进行修正。这样,企业风险管理就成为了一个多元化、多方向的、不断重复、相互作用动态的过程。
(三)企业风险管理框架评析认定一个主体的企业风险管理是否“有效”,除了目标制定上的正确性外,还要判断其构成要素是否存在,且有效运行。构成要素如果存在并且正常运行,就可能没有重大缺陷,而风险则可能已经被控制在主体的风险容量范围之内。如果确定企业风险管理在所有四类目标上都是有效的,那么董事会和管理当局就可以合理保证了解主体,并实现其战略和经营目标及主体报告的可靠性以及符合适用的法律和法规。
在ERM框架中,内部审计人员在监督和评价内部控制及相关成果方面承担着重要任务,必需协助管理层和董事会监督、评价、检查、报告和改革ERM的运行情况,这对内部审计人员的能力提出了更高的要求。对内审人员而言,最大的挑战是在ERM中扮演何种角色。但COSO报告认为内审人员不应对建立ERM体系承担主要责任。这可能使内审人员的职责从原来对CFO和内审委员会负责转变为对CFO、内审委员会和风险主管负责。从ENM框架中,笔者发现,其新增加了一个角色――风险主管或风险经理。风险主管除了需要和其他管理人员一样,在自己的职责范围内建立起风险管理外,还要帮助其他经理人报告企业风险信息,成为风险管理委员会的成员之一。可见,风险管理框架的运用对管理层进行了重新配置,加强了管理人员的风险意识,深化了内部控制,同时明确内部审计是风险管理的高层确认者、是对风险管理的再管理。
二、企业风险管理与内部审计的关系
对比COSO制定的ERM概念与IIA修定的内部审计定义,不难发现,企业风险管理框架主要应对潜在的事项,将战略决策贯穿于整个企业实施的过程中,将风险控制在企业偏好的容量限度内,并为企业目标的实现提供合理的保证。因此,风险管理框架下的内部审计关注的核心是企业在实现其自身目标下所经历的各类风险,以及风险大小的测量、风险预警系统的设置情况。
(一)风险管理框架下的内部审计应用效果分析第一,内部审计不同于单纯的财务审计及管理审计,而是融风险管理。公司治理和内部控制的审查于一体,更关注企业在整个治理过程中的决策风险和经营风险。第二,内部审计的职能更加明确。西方业界的“外包化”理念迅速地传至中国,通过外包,企业可以利用民间审计的优势资源和较低的成本为企业服务,这在一定程度上抢占了内部审计人员的业务。生存危机使内部审计部门必须努力寻求自身的存在路径,为企业组织提供独特的增值服务。而在风险管理框架下,企业雇员利用对企业具体经营模式的高度熟悉度及忠诚程度从民间审计CPA事务所手中夺得审核企业的权利,凸显了其优势i通过咨询与鉴证服务,内审人员制定出适合企业的专用审计方案,帮助企业快速作出决策,并提高决策的科学性、实用性,使审计人员的职能更加
明晰突出。第三,内部审计拓展了风险管理的工作范围。传统审计所提供的保证服务通常是事后对某一领域或事项的评价;而风险管理则是对可能影响组织的潜在事件的管理,贯穿于事前、事中、事后并覆盖整个企业。这使内部审计逐渐形成了基于战略计划和风险评估而制定的,向管理层提供确认和咨询的主动服务方式。风险管理框架下的内部审计为强化公司治理及健全内部控制提供了良好的沟通桥梁,促进了公司治理与现代内部控制的协同与整合,有利于企业内部受托责任委员会定期开展评价活动。
(二)内部审计对风险管理框架的促进作用内部审计在企业风险管理中的首要角色是监督者,包括对风险流程的识别评估,对最终产品流程报告的评估和对关键风险管理的预测。在企业风险管理框架中,内审人员首先要针对企业所处行业的特点及企业自身的优势劣势进行SWOT分析,制定出适合企业发展的战略计划,然后识别出可能影响企业运营的事项。为识别这些事项,必须对风险进行评估。可运用“风险坐标图”进行评估。在风险坐标图上,风险的类型和程度均予以标明,通过风险坐标图,可以指明在哪些领域、哪些关键业务上公司的风险比较大,可能会产生不利影响。在明晰和估测风险后,可利用一些模型、软件来测算风险的大小,如果风险值在风险的容量内,该方案就是可行的,否则就需重新设计方案,重新进行优化选择。
此外,内部审计的成功实施还会对企业文化的积淀起着积极的促进作用。企业文化是一个企业在长期生产经营中倡导、积累,经过筛选提炼成的,是企业的灵魂和潜在的生产力,是打造企业核心竞争力的战略举措。企业在不断应对风险的过程中,通过制定的战略规划,建立起企业风险管理文化,而内部审计的职能则由单纯的监督检查的保护性职能向与咨询服务的建设性职能并重转变,使企业的风险管理文化日趋成熟。
三、企业风险管理框架的构建
目前,许多国内企业开始积极进行风险管理建设的尝试,在一定程度上增强了企业抗风险的能力。但总体上,国内企业对风险管理的意识还比较淡薄,这客观上促使我国要在现有的关于企业内部控制及审计准则的基础上建立一套比较系统的、完善的中国企业风险管理框架,来指引和规范当前企业的运营及长远发展。国资委2006年6月的《中央企业全面风险管理指引》正是为推进风险管理建设做出的有益尝试和重大突破。由于我国实行的是以公有制为主体,多种所有制经济共同发展的社会主义市场经济体制。国有经济、集体经济及混合所有制经济并存,体制结构较为复杂。参照《中央企业全面风险管理指引》,可以区分不同的经济体制,分别进行风险管理框架的构建。
一、企业风险管理
(一)企业风险管理概念
根据《企业风险管理框架》(简称ERM框架),“企业风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从组织战略制定一直贯穿到组织的各项活动中,用于识别那些可能影响组织的潜在事件并管理风险,使之在组织的风险偏好之内,从而合理确保组织取得既定的目标。”ERM框架有三个维度,第一维是组织的目标,包括战略目标、经营目标、报告目标和合规目标;第二维是企业风险管理要素,包括内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和交流、监控;第三维是组织的各个层级,包括整个组织、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是,企业风险管理的八个要素都是为组织的四个目标服务的;组织各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。企业风险管理定义直接关注组织目标的实现,并且为衡量组织风险管理的有效性提供了基础。该定义强调:风险管理本身并不是一个结果,而是实现结果的一种方式;决定一个组织的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断;该过程应应用于组织内部每个层次和部门,可以从一个组织的总体来认识,也可以从一个单独的部门或多个部门的角度来认识;该过程是用来识别可能对组织造成潜在影响的事项并在风险偏好的范围内管理风险。
(二)企业风险管理要素
1.内部环境。内部环境包含组织基调,是组织员工如何看待风险、对待风险的基础,包括风险管理理念、风险偏好、正直和道德价值观及工作环境,是其他所有风险管理要素的基础,为其他要素提供规则和结构。管理当局是内部环境的重要组成部分,对其他内部环境要素有重要的影响,其职责是建立组织风险管理理念,确定组织的风险偏好,营造组织的风险文化,并将风险管理和相关的初步行动结合起来。
2.目标制定。组织先制定使命,在此背景下,管理层制定战略和目标,并把目标逐层分解为战略目标(高层次目标,和组织使命方向一致,并支持使命)、运营目标(有效且高效地使用资源)、报告目标(报告的可靠性)和合规目标(遵循适用的法律法规)。企业风险管理框架就是为实现组织目标服务,确保管理层参与目标制定流程,确保所选择的目标不仅和组织使命方向一致,支持组织的使命,而且能够保证制定的目标与组织的风险偏好相一致。
3.事项识别。事项既可能带来消极后果,也可能带来积极后果,或者带来混合后果。消极后果的事项意味着风险,它会阻碍价值创造或破坏现有价值。积极后果的事项会抵消消极影响,或者带来机会(所谓机会,就是事项如果发生,能促进目标的实现,能支持价值创造或价值的保存)。因此,管理者应识别影响组织目标实现的内外事项,分清风险和机会。企业风险管理能够改善对交叉影响的有效反应,并能为各种风险提供统一的风险反应对策。
4.风险评估。识别和分析风险,考虑可能性和后果,在此基础上决定应如何管理风险。风险评估可以使管理者了解潜在事项如何影响组织目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对于风险的评估应从组织战略和目标的角度进行。
5.风险反应。风险反应是管理层选择风险反应方式并制定一套措施把风险控制在组织的风险容忍度和风险偏好之内。风险反应可以分为规避风险、减少风险、共担风险、接受风险和利用风险。规避风险是指采取措施退出会给组织带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险,降低风险发生的可能性或降低风险对组织的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。利用风险是把风险看作机会,利用可能发生的风险及其影响。对于每一个重要的风险,组织都应考虑所有的风险反应方案。
6.控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于组织的各部分、各个层面和各个部门,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。
7.信息和沟通。识别、分析和沟通来自于组织内部和外部的相关信息,必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证组织的员工能够执行各自的职责。有效的沟通包括组织内上传、下达和平行的沟通,还包括将相关的信息与组织外部相关方进行有效沟通和交换。
8.监控。监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。组织可以通过两种方式对风险管理进行监控――持续监控和个别评估。持续监控和个别评估都是用来保证组织的风险管理在组织内务管理层面和各部门持续得到执行。
二、风险管理审计
(一)风险管理审计的目标
风险管理审计是指胜任的专职机构和专业人员对组织内部风险管理程序、风险反应、管理制度及机制的合理性、有效性进行独立的审查和评价过程。风险管理审计的根本目的是最大限度地增加组织价值。
审计目标是回答“通过审计要证明什么”的理论问题,是审计行为的出发点,是审计工作的指南,也是审查和评价审计内容所期望达到的境地和最终结果。审计目标体系由总目标、一般目标和项目目标构建。
(二)风险管理审计的内容
审计内容是回答“审计什么”的问题。根据ERM框架中的要素,风险管理审计的内容主要包括:
1.风险管理程序的科学性和合理性,主要包括风险管理开发阶段所制订的风险管理框架结构的内容;风险管理试探阶段所实施风险管理框架结构的内容;风险管理回顾阶段所丰富并增强风险管理框架结构的内容;风险管理展开阶段所推广并实施风险管理框架的情况;风险管理支持阶段所需要提供的各种基础组织以及服务。
2.风险反应的周密性和可行性,主要包括风险反应计划的周密性(如有否考虑风险的可规避性、可转移性、可减少性、可接受性);风险应对策略的可行性(如是否采取了风险控制、风险自留、风险转移)。
3.风险管理制度的合法性和完善性,主要包括风险管理制度的合法性(如建立风险管理制度是否经过充分论证);风险管理体制的完善性(如考核评价体制和责任追究制度是否健全)。
4.风险管理机制的结构性和尽责性,主要包括高层管理人员和重要岗位业务人员的风险管理理念及对风险管理的重视程度;风险管理人员的结构和素质;全员风险管理的情况。
(三)风险管理审计的程序
1.审计规划阶段,包括选定被审计对象和制定风险管理审计计划。被审计对象选定工作包括识别被审计对象的策略、识别潜在被审计对象和排列被审计对象的顺序。制定风险管理审计计划包括制订财务风险管理、生产风险管理、市场风险管理、会计风险管理、人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。
2.审计测评阶段,包括风险的分析、评估和监控。(1)分析风险。审计人员应对风险迹象进行深入了解、描述和记录,并对风险的可能性和发生频率进行分类。风险可能性分析结果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“基本确定”等类别,风险发生频率分析结果一般可分为“高频率、高损害风险”,“高频率、低损害风险”,“低频率、低损害风险”,“低频率、高损害风险”等类别。(2)评估风险。审计人员应分析风险的成因及其影响,并确定风险程度及等级。风险程度一般分为“极高”、“高”、“中等”、“低”和“极低”等级别。风险概率用风险发生可能性的百分比表示,风险量=风险概率×风险损失量。(3)监控风险。审计人员应对可能发生的风险和损失进行跟踪检查。跟踪已识别风险的发展变化情况,包括在整个项目生命周期内,风险产生的条件和导致的后果变化,作出减缓风险的方案,调险管理计划。
3.审计报告阶段,包括汇总审计结果、出具审计报告和追加后续审计。(1)汇总审计结果,包括审计现状、标准、差异、原因和建议等部分。如审计建议中对损失大、概率大的灾难性的风险要避免;对损失小、概率大的风险,可采取措施来降低风险量;对损失大、概率小的风险,可通过保险或合同条款将责任转移;对损失小、概率小的风险,可采取积极手段来控制。(2)出具审计报告,包括标题、收件人、正文、附件、签章、报告日期等基本要素。审计报告正文部分主要内容有:审计目标、风险概况、审计依据、审计结论、审计评价和审计建议等。(3)追加后续审计。ERM是一个动态的过程,审计测试应与之相协调,追加后续审计显得重要。后续审计应将重点放在最严重的问题上,相关部门是否予以纠正,若不纠正,责任和原因到底在哪儿;对一般事项可仅限于询问和简短的讨论。
【参考文献】
[1] 朱荣恩,贺欣.内部控制框架的新发展――企业风险管理框架[J].审计研究,2003,(6).
一、企业风险管理框架的提出
2004年,美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO这样定义企业风险管理,企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用.旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。
1.内部环境(InternalEnvironment)。企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
2.目标设定(ObjectiveSetting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。
3.事件辨别(EventIdentification)。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。这一步要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。
4.风险评估(RiskAssessment)。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
5.风险反应(RiskResponse)。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
6.控制活动(ControlActivities)。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。
7.信息和交流(InformationandCommunication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息;平行式是部门之间的信息交流和传递;自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与管理层进行交流,管理当局应当重视员工的意见。
8.监督(Monitor)。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的合适人选。
二、企业风险管理与内部控制的融合
自1992年美国COSO委员会提出《内部控制框架》报告(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上,结合《SOX法案》在报告方面的要求,进行扩展研究得到的。通过比较,我们可以发现,企业风险管理的定义采用了1992年内部控制框架定义的模式,认为企业风险管理与内部控制同样是一个程序,它不是静态的,而是处于不断的调整和变化之中,以适应组织环境的变化。
企业风险管理除包括内部控制的三个目标之外,还增加了战略目标,并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营的效率和效果、财务报告的可靠性和现行法规的遵循。企业风险管理框架也包含三个类似的目标,但是比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
另外,企业风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件辨别和风险反应三个要素,由于对象不同,风险管理更加针对组织面临的“风险”,增加这三个要素,拓展了概念的深度和广度。因此,风险管理框架建立在内部控制框架的基础上,内部控制框架则是企业风险管理必不可少的一部分。
内部控制与风险管理的融合很早就引发了人们的关注,经过长期的争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最佳效果。COSO企业风险管理概念的提出,将风险管理与内部控制的融合大大地向前推动了一步,这种融合必将极大地推进内部控制和内部审计的发展。
三、风险管理对内部审计的影响
内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同,尚未形成统一的最佳做法,国际内部审计师协会目前还没有标准的风险基础审计定义,IIA的职业问题委员会认为,风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改进,审计业务的范围和优先次序应由组织所面临的风险所决定。
风险基础内部审计的特征可以总结为以下几点:
第一,风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司针对风险管理功能,设立一个分部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理的一个组成部分,整个审计工作根植于以未来为导向的风险分析。
第二,内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效”虽然仍被关注,但已不是关键。
(一)内部牵制阶段。一般认为,20世纪40年代以前是内部牵制阶段。内部控制思想的萌芽早在五千多年前就出现了。苏美尔文化的史料记载中会计账簿数字边的标记、古埃及古物入仓时的职务分离、我国周朝留下的记录——“一毫财赋之出入,数人之耳目通焉”等,均反映了内部牵制的基本原理,即以账目间的相互核对为主要内容并实施岗位分离。内部牵制理论建立在两个基本假设之上:两个或两个以上的人或部门无意识地犯同样错误的可能性很小;两个或两个以上的人或部门有意识地串通舞弊的可能性大大低于单独一个人或部门舞弊的可能性。美国著名审计学家蒙哥马利1912年所著的《审计——理论与实践》一书中已明确表述过这种思想,这种思想在早期被认为是确保所有账目正确无误的一种理想控制方法。
(二)内部控制制度阶段。20世纪40年代到20世纪70年代,在内部牵制思想的基础上逐渐产生了内部控制概念。1949年美国注册会计师协会(AICPA)所属的审计程序委员会发表了一份题为《内部控制:系统协调的要素及其对管理部门和独立公共会计师的重要性》的特别报告,首次正式提出了内部控制的定义:“内部控制包括组织的计划和企业为了保护资产,检查会计数据的准确性和可靠性,提高经营效率,以及促使遵循既定的管理方针等所采用的所有方法和措施”。这一概念突破了与财务会计部门直接有关的控制局限,使内部控制扩大到企业内部各个领域。内部控制的内容也发生了变化,从内部牵制时期的账户核对和职务分离逐步演变为由组织机构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。
1958年,出于审计人员测试与财务报表有关的内部控制的需要,审计程序委员会又将内部控制分为内部会计控制和内部管理控制。前者是指与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序;后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。将内部控制一分为二使得审计人员在研究和评价企业内部控制制度的基础上来确定实质性测试的范围和方式成为可能。由此内部控制进入“制度二分法”阶段。
(三)内部控制结构阶段。20世纪70年代以后,内部控制的理论研究又有了新的发展,研究重点逐步从一般涵义向具体内容深化。在实践中审计人员发现很难确切区分内部会计控制和内部管理控制,而且后者对前者其实有很大影响,无法在审计时完全忽略。于是,1988年5月AICPA了第55号审计准则公告《财务报表审计中内部控制结构的考虑》,以“内部控制结构”的概念取代了“内部控制制度”。该公告认为:“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”,并指出内部控制结构包括三个组成要素:控制环境,会计制度和控制程序。从而,内部控制从“制度二分法”步入“结构分析法”阶段,这是内部控制发展史上的一次重要改变。
(四)内部控制整体框架阶段。1992年9月,由美国注册会计师协会、美国会计学会(AAA)、国际内部审计师协会(IIA)、财务经理协会(FEI)以及管理会计师协会(IMA)共同组成的COSO委员会了指导内部控制实践的纲领性文件COSO研究报告:《内部控制——整体框架》(IC-IF),并于1994年作了修改。该报告重新定义了内部控制:“内部控制是受董事会、管理当局和其他职员影响,为企业经营活动的效率和效果、财务报告的可靠性,相关法律法规的遵循性等目标的实现提供合理保证的过程。”内部控制整体框架由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素组成。同以往的内部控制理论及研究成果相比,COSO报告提出了许多有价值的新观点,阐述了内部控制的各个组成部分,客观地指出了内部控制的局限性,而且明确了不同人员在内部控制中的角色和责任。
二、企业风险管理框架
自COSO报告以来,内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对该框架提出改进建议,认为其对风险强调不够,使得内部控制无法与企业风险管理相结合(朱荣恩、贺欣,2003)。因此2004年9月,COSO委员会在1992年的COSO报告的基础上,结合《萨班斯——奥克斯利法案》在报告方面的要求,颁布了《企业风险管理整体框架》的报告(ERM)。该报告把企业风险管理定义为:“企业风险管理是一个受企业的董事会、管理当局和其他职员影响,应用于战略制定并贯穿于整个企业,用于识别可能影响企业的潜在事项并在企业的风险偏好内管理风险,为企业目标的实现提供合理保证的过程”。企业风险管理由内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个相互关联的要素组成。企业风险管理的信息流程如下图所示:
图在文尾!
企业风险管理的信息流程
该流程并不代表风险管理的组织流程,但可以从信息流的角度透视企业的风险管理流程。企业风险管理的信息流程描述如下:由董事会的风险管理委员会确定内部环境中的风险管理文化和风险偏好;董事会与经理层设定包括战略目标及其他相关目标在内的目标体系,在设定目标时,要考虑企业的风险容忍度、风险偏好以及事项识别环节所确定的机会;确定了目标,企业就要考虑其所面临的内部因素和外部因素,并识别相关可能带来潜在不利影响的事项(风险);在风险评估部分评价风险损失额和风险发生概率,同时考虑剩余风险;采用组合风险观和其他具体的应对措施来应对风险;在控制活动环节继续落实有助于风险反应的政策和措施,并报告结果。然后,从控制活动环节返回到事项识别环节,重复事项识别、风险评估、风险反应、控制活动这个流程;监控则对上述所有环节的效率和效果进行监督和控制。
企业风险管理整体框架与内部控制整体框架相比,有以下几种变化:第一,目标的拓展。由IC-IF的三个目标——经营、财务报告和遵循性,扩大到ERM的四个目标——战略、经营、报告和遵循性,两者中只有经营和遵循性这两个目标的定义相同。IC-IF中的财务报告目标只与公开披露的财务报告的可靠性相关,而ERM中的报告目标的范围有很大的扩展,包括企业所有对内和对外的报告,报告目标的范围从仅仅关注财务信息扩展到同时关注非财务信息。此外,ERM还增加了战略目标,不仅强调在整个企业范围内识别和管理风险的重要性,还强调应针对企业目标的实现在企业战略制定阶段就考虑一系列备选方案的风险因素,从而使ERM的应用深入到了战略制定层次。第二,要素的增加。ERM增加了目标设定,事项识别和风险反应这三个与风险密切相关的要素,遵循了“目标——风险——控制”的逻辑顺序,充分体现了对风险的关注。第三,对原有要素内容的充实和丰富。在内部环境要素中,ERM更直接关注企业的风险文化与风险偏好。在风险评估要素中,倾向于更准确地进行风险评估,采用定性或定量的方法对事项发生的后果和可能性进行估计,并将风险与相关的目标联系起来。在信息与沟通要素中,考虑了来自历史、现在和将来潜在的事项和沟通方式,并要求与企业信息系统整合。此外,ERM还明确了控制活动的目的,指出控制是有助于确保管理层的风险反应措施得以执行的政策和程序。第四,提出了风险组合观的概念,全面贯彻了风险理念。ERM要求管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险保持在风险偏好的范围内。因为对企业内部各个部门而言,其风险可能落在该部门的风险容忍度范围内,但从企业总体来看,总风险则有可能超过企业总体的风险偏好范围。
三、内部控制与风险管理日益融合
实行内部控制和风险管理都是为了维护投资者利益,实现企业目标。内部控制的起源较风险管理要早。最初的内部控制是随着生产的大规模化和资本社会化产生的,是互相牵制的思想,通常采取账目核对的方法,以确保财产安全和账目正确。风险管理则是在新技术和市场条件下出现的,风险管理是内部控制概念的自然延伸。关于这点,可以从企业风险管理框架的变化中得到证明。框架最大的变化,就是将企业内部控制更名为企业风险管理,这一变化是有特殊意义的。事实上,几乎所有的公司都有一大套管理制度,这些制度大到包括对外投资,小到包括差旅费报销等,应有尽有。因此,董事会与管理层往往认为,这些制度的贯彻与执行就是内部控制的所有内容。其实,企业的管理资源是有限的,控制也是需要成本的,如果将企业主要精力放在所有细小的、或微不足道的控制上,往往会舍本求末。如有些企业在差旅费报销的规定上长达数十页,极其繁琐,表面上控制得很好,但浪费了许多管理资源,还会忽视企业重大风险。所以,框架要求董事会与管理层将精力主要放在可能产生重大风险的环节上而不是放在所有细小环节上,将风险管理作为内部控制的最主要内容,这是一个革命性的变化。
四、结语
内部控制理论发展反映了内部控制实践的发展。当今社会经济环境日趋复杂,企业不可避免地会遇到各种风险,因此企业应建立风险管理机制,以防范和规避风险。而分析和辨认风险是有效内部控制的关键组成要素。从COSO的两份重要报告中可以看出,不论是1992年的《内部控制——整体框架》,还是2004年的《企业风险管理——整体框架》,均把风险管理作为主要的内部控制要素,强调识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现并且在企业战略制定阶段就应该予以考虑。英国的特恩布尔报告扩大了内部控制的范围,将内部控制与风险管理合为一体,认为两者是近乎等同的概念。可见,内部控制和风险管理日益融合,风险导向已是内部控制的发展方向。
————————
参考文献:
[1]《内部控制问题研究》课题组:《基于公司治理结构的内部控制有关问题研究》,《会计论坛》2005年第2期。
[2]金彧昉、李若山、徐明磊:《COSO报告下的内部控制新发展——从中航油事件看企业风险管理》,《会计研究》2005年第2期。