時間:2023-09-06 17:06:54
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業風險管理的特征,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
一、前言
經濟全球化的快速推進,信息化時代背景下,人才、技術、資本以及商品等多要素的流動已經明顯加快,市場經濟社會背景下的不確定因素明顯增多,從而使得企業所面臨的風險加劇,呈現出復雜的局面,影響企業目標的實現。面對這樣的環境,企業應該具備較強的應對風險的能力,從而在全新的市場環境中占據主體地位。但企業應對風險的能力則需要依靠企業管理,全面風險管理作為一項受到廣泛關注的管理模式,在企業風險管理中所能夠發揮出的效用顯著。
二、全面風險管理概述
(一)全面風險管理的定義
全面風險管理是指企業在戰略目標的引導下,在企業管理的每個環節中都嚴格執行風險管理的基本流程、注重培育良好的風險管理文化、建立健全全面風險管理體系,以此來保證企業戰略目標的制定與實現[1]。有關于全面風險管理的定義較多,但目前被廣泛采用與應用的則是以上定義。
(二)全面風險管理特征、分類及目標
1.全面風險管理特征
全面風險管理的基本特征主要表現在以下幾個方面:(1)戰略性:以企業戰略為目標設定全面風險管理目標,體現出全局性特征;(2)統一性:風險管理目標都是以維護企業持續發展為根本;(3)廣泛性:涉及到企業運營中的純風險與投機風險;(4)全員性:以風險管理文化為核心,全員參與其中;(5)雙面性:全面風險管理能夠從風險的雙面性入手分析;(6)系統性:將多風險因素有機整合,考慮風險的系統性與相關性;(7)專業性:全面推進風險管理各職能部門的構建,為專業化管理提供條件;(8)靈活性:全面風險管理是一個動態化過程,具備靈活性特征;(9)專屬性:全面風險管理要求從企業實際出發,體現專屬性;(10)便捷性:全面風險管理有助于信息的高效整合[2]。
2.全面風險管理分類
企業風險管理當中的風險分類如下:(1)戰略風險:該風險類型的產生基本成因源于企業內部與外部,但并非每一個風險都可以稱之為戰略風險,只有影響企業戰略框架的風險才是戰略風U;(2)財務風險:表現在企業財務方面的風險要素,如資金流動性風險、企業償債風險等等;(3)商業風險:商業風險涵蓋面較為寬泛,包括信用風險、競爭風險、信譽風險、法律風險、市場風險等;(4)營運風險:該風險類型表現在內部運行階段,由于人為或者外部因素造成的經濟損失都被稱之為營運風險;(5)政治風險:國家政權的強制產生的風險與引起的損失;(6)社會風險:該風險類型主要表現在人文方面[3]。
3.全面風險管理目標
全面風險管理目標需要依據企業風險發生之前與發生之后進行具體確定,針對性的做好管理與全面優化,從而實現組織目標的合理性。
損失發生之前全面風險管理目標為:經濟型目標、合規性目標、降低潛在損失性目標、社會責任目標。
損失發生之后全面風險管理目標為:生存目標、持續經營目標、發展目標、社會責任目標、穩定的盈利目標。
三、全面風險管理在企業管理中的框架構建
全面風險管理在企業管理中的框架構建,主要是結合我國企業的實際情況與現實需求,運用COSO《框架》作為理論基礎,全面借鑒當前有關于企業風險管理方面的研究內容的實踐經驗,系統性的做好論述與分析工作,建立一套具有較強現實意義的全面風險管理框架,具體如圖1所示:
(一)評價風險管理能力
從調查的公司風險管理經驗來看,其中所調查的多數企業都會在開展風險管理的初期階段成立專門的風險管理項目組,主要負責風險管理框架、風險識別、策略制定以及內部控制等等多項工作,以此來全面保證建立一套系統性的風險管理框架。如果企業將風險管理的重點放在表面的風險管理之上,也可以做好對風險的具體識別工作,撰寫風險評估報告與風險管理報告[4]。但這種做法僅僅停留在表現,而并不能夠發現企業發展中的深層次風險問題與風險因素。
但如果企業在開展全面風險管理當中能夠準確的意識到企業風險的本質,則需要界定出風險管理的有效性,評價與衡量企業風險管理方面的能力,制定長遠的發展規劃,從而逐步樹立起一種風險組合的觀點,形成一種高標準的風險文化,為分析因素的持續性改進與風險控制奠定堅實基礎。從而在這基礎之上煥發公司的生機,減少風險因素的產生。因此,作為企業在開展全面風險管理的過程中需要主動地去針對風險因素對企業風險管理能力進行評估工作,以此來為企業的長遠發展提供保證。可以說,評價風險管理能力是進行全面風險管理的前提。
(二)架構風險管理組織
一個較為全面的風險管理組織,要求在架構全面風險管理組織的階段,董事會需要設置一個風險管理委員會來全面考慮風險因素,做好風險政策與策略的構建,將企業管理層的風險管理理念做好及時的傳遞工作,將諸多風險事物直接向總經理進行匯報。并且不同的構成單元需要做好優化與引導,從而更加全面的去引導與實踐,應對風險做好處置策略。
評價企業風險
1.企業風險評估的基礎。作為評價企業風險的前提,基礎內容當中主要包括確定風險評估的對象、設置企業目標、設置風險偏好、設置風險承受度等等。這就要求企業在進行自身風險評價階段,要做好深度的分析與優化工作。
3.評價企業風險。企業風險評價是一個系統性的過程中,具體流程如下:
其一,設立風險評估的基礎。公司需要自上而下的反復討論確定企業使命、戰略目標、風險偏好和風險承受度。企業使命為以卓越經營引領現代醫藥,推進中國健康產業的發展;戰略目標則是成為中國醫藥制造業營銷收入前三名;風險偏好與風險承受度方面也應該做好指標優化[7]。
其二,醫藥制造產業應該做好風險的識別工作。包括戰略風險、經營風險、財務風險與藥品風險四個層面,對涉及到的各個風險識別因素進行分析。
其三,公司風險分析方面,由于制造企業的特殊性,在進行全面風險管理的過程中需要結合企業的發展實際情況,做好評價工作,建立風險量化的發展模式,為評價結果奠定基礎。
4.風險管理策略
風險管理策略的根本目的是適應企業自身發展,風險識別過程與風險分析方面則是為分析評價工作奠定基礎,保證所選擇的風險管理策略服務企業發展目標。從而為該制藥公司提出切實的可行性建議。結合本制藥公司的實際情況,主要是采取風險規避策略與風險轉移策略。風險規避是對藥品采取緊急召回與產品撤市處理,而風險轉移則是將風險因素轉移給第三方。
5.風險管理文化
其一,建立就有內部控制與風險意識的企業文明,全面優化企業管理水平與員工的基本素質,為風險管理目標實現提供保障;其二,在企業內部營造一個風險管理的氛圍環境,讓員工自身意識到風險管理的重要性,以此來做好風險管理工作;其三,⒎縵展芾砦幕融入到企業發展的大文化當中,市場開展宣傳工作及與風險管理有關的活動內容,為風險管理文化的具體行程打下堅實基礎。
6.風險管理活動監督與改進
根據全面風險管理的各個流程在企業當中的應用情況,做好監督與改進工作,優化風險管理的基礎環境,為風險管理的有效性檢驗提供保障。同樣,也應該具備依據不同情況做好缺陷優化的能力。
五、結論
綜上所述,在新的市場經濟環境下,企業的可持續發展依靠自身的良好管理能力。企業在市場競爭當中會受到多種風險因素的影響,導致經營過程與應用問題受到影響。這就需要充分結合企業的實際情況,挖掘全面風險管理的應用價值,以制藥企業為例,為該方法的具體應用提供參考與借鑒。
參考文獻:
[1]陳杰群.全面風險管理在企業管理中的應用研究[J].赤子(上中旬),2016(21):182.
[2]齊艷.全面風險管理在企業管理中的應用研究[J].全國商情,2016(27):19-20.
[3]李騰.全面風險管理在企業管理中的應用研究[J].企業導報,2016(18):25-26.
[4]胡川.全面風險管理在核電項目設計風險管理的應用研究[J].價值工程,2016(23):33-35.
[5]杜瑋.全面風險管理在企業管理中的應用研究[J].中國市場,2016(19):90-91.
「關鍵詞 企業風險 風險管理 風險管理審計
由于各種不確定性因素,企業面臨著各種風險,能否對風險進行有效的管理和控制,是企業能否生存發展、實現企業預期目標的關鍵。企業風險管理的有效性在一定程度上取決于企業對風險管理工作的監督和評價。因此,無論是國際內部審計師協會對內部審計的定義,還是我國的內部審計準則都強調了內部審計在企業風險管理中的重要性。我國從2005年5月1日起施行的內部審計具體準則第16號———《風險管理審計》中更是強調了內部審計人員對風險管理進行審查和評價的職責。
一、企業風險及風險管理的內涵
進行企業風險管理審計,必須明確企業風險及風險管理的內涵。否則,企業風險管理審計便無從談起。
1 企業風險的實質
首先,風險產生于不確定性因素的存在,如果企業運行的內外環境是確定的,則不存在企業風險。其次,企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說,我們更注重企業的運行結果,對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此,可以認為,企業風險則是企業運行結果偏離期望結果的可能性。筆者認為,企業目標是企業期望達到的一種結果狀態,但由于相關因素的持續不斷的變化,企業目標的實現存在不確定性。因此,企業風險可以描述為企業目標不能得以實現的可能性。
2 企業風險的劃分
企業風險可以按多種標準進行分類。筆者認為,既然將風險定義為企業目標不能得以實現的可能性,那么,企業風險可以按照企業目標的不同層次來理解和劃分,并可將其相應劃分為:
(1)企業的戰略風險是指企業戰略目標不能實現的可能性,主要包括:由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險;由于企業的具體戰略選擇失誤而帶來的風險,包括企業經營領域的選擇風險、企業并購風險等。
(2)企業日常經營管理風險是指企業具體經營目標不能實現的可能性,又可以劃分為企業經營環節的作業鏈風險,如企業供、產、銷等環節的風險;企業的人事風險,如由于人員任用、授權、業績評價等方面的缺陷帶來的風險;企業的信息風險,如企業信息系統風險等。
(3)財務風險。狹義一般是指由于企業籌措資金而形成的風險,并主要是指企業由于舉債而形成的風險,也可稱之為籌資風險。按照本文對風險的定義,即企業目標不能實現的可能性,則企業的財務風險是指企業財務活動目標不能得以實現的可能性,包括籌資風險、資金投放的風險及企業其他財務活動風險,我們可以稱之為廣義的財務風險。
3 企業風險管理
COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程,它由董事會、管理當局和其他人員執行,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在風險容量之內,并為主體目標的實現提供合理保證。”
我國內部審計協會2005年的內部審計具體準則16號—《企業風險管理審計》中指出“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”
從上述對風險管理的解釋可以看出,企業風險管理的最終目標是為企業目標的實現提供合理的保證。
二、企業風險管理審計的目標
對企業風險管理進行監督和評價是現代內部審計發展的結果,企業風險管理審計的目標取決于對企業內部審計的功能定位。
從西方企業內部審計的產生和發展過程來看,內部審計是隨著經濟的發展,企業內部管理層次的增多和控制范圍的擴大,基于企業內部經濟管理與監督的需要而產生的,并隨著管理的需要而不斷發展。隨著內部審計的不斷發展,內部審計的目標也在不斷地變化,其中以國際內部審計師協會(IIA)對內部審計所下定義的變化最具有代表性。國際內部審計師協會(IIA)理事會指出內部審計是一種獨立、客觀的保證和咨詢活動,其目的是增加組織的價值和改善組織的經營。
我國的內部審計不是在企業內部管理需要的動因下發展起來的,而是在政府的要求下,在國家審計部門的推動下建立起來的。1993年國家審計署成立,為了盡快建立和完善審計體系,補充剛剛復興的國家審計力量的不足,政府和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展,企業內部審計越來越受到各方面的重視,對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出:內部審計是組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。
從內部審計的發展過程可以看出,企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于:通過內部審計機構和人員對企業風險管理過程的了解,審查并評價其適當性和有效性,提出改進建議,促進企業目標的實現。
三、企業風險管理審計的內容
風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體的風險管理進行審查與評價,也可對職能部門的風險管理進行審查與評價。因此,筆者認為企業風險管理審計應當包括以下方面的內容:
(一)風險管理機制的審查與評價
企業的風險管理機制是企業進行風險管理的基礎,良好的風險管理機制是企業風險管理是否有效的前提。因此,內部審計部門或人員需要審查以下方面,以確定企業風險管理機制的健全性及有效性。包括:
1 審查風險管理組織機構的健全性。企業必須根據規模大小、管理水平、風險程度以及生產經營的性質等方面的特點,在全體員工參與合作和專業管理相結合的基礎上,建立一個包括風險管理負責人、一般專業管理人、非專業風險管理人和外部的風險管理服務等規范化風險管理的組織體系。該體系應根據風險產生的原因和階段不斷地進行動態調整,并通過健全的制度來明確相互之間的責、權、利,使企業的風險管理體系成為一個有機整體。
2 審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序,以確保風險管理的有效性。
3 審查風險預警系統的存在及有效性。企業進行風險管理的目的是避免風險、減少風險,因此,風險管理的首要工作是建立風險預警系統,即通過對風險進行科學的預測分析,預計可能發生的風險,并提醒有關部門采取有力的措施。企業的風險管理機構和人員應密切注意與本企業相關的各種內外因素的變化發展趨勢,從對因素變化的動態中分析預測企業可能發生的風險,進行風險預警。
(二)風險識別的適當性及有效性審查
風險識別是指對企業面臨的,以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。內部審計人員應當實施必要的審計程序,對風險識別過程進行審查與評價,重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。筆者認為應當包括以下內容:
1 審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析,風險識別是關鍵性的第一步。
2 審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調查研究之后,運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類,并總結出企業面臨的各種風險。風險識別方法所要解決的主要問題是:采取一定的方法分析風險因素、風險的性質以及潛在后果。
需要注意是,風險管理的理論和實務證明沒有任何一種方法的功能是萬能的,進行風險識別方法的適當性審查和評價時,必須注重分析企業風險管理部門是否將各種方法相互融通、相互結合地運用。
(三)風險評估方法的適當性及有效性審查
內部審計人員應當實施必要的審計程序,對風險評估過程進行審查與評價,并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時,內部審計人員應當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。
內部審計人員應當對管理層所采用的風險評估方法進行審查,并重點考慮以下因素:
(1)已識別的風險的特征;
(2)相關歷史數據的充分性與可靠性;
(3)管理層進行風險評估的技術能力;
(4)成本效益的考核與衡量等。
3 審查風險評估方法應當遵循的原則
內部審計人員在評價風險評估方法的適當性和有效性時,應當遵循以下原則:
(1)定性方法的采用需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性;
(2)在風險難以量化、定量評價所需數據難以獲取時,一般應采用定性方法;
(3)定量方法一般情況下會比定性方法提供更為客觀的評估結果。
(四)風險應對措施適當性和有效性審查
關鍵詞:風險風險管理風險管理審計
中圖分類號:F239.62 文獻標識碼:A 文章編號:1004-4914(2011)05-178-02
隨著企業規模的增大,企業所承擔的風險也逐步增加,企業內部審計的使命開始轉移到企業風險管理審計上來。開展企業風險管理審計成為企業實現經營目標的迫切要求,更是防范和化解企業風險的必然選擇。
一、企業風險管理審計概述
企業風險管理審計是指企業內部審計部門采用一種系統化、規范化的方法來進行以測試風險管理信息系統、各業務循環以及相關部門的風險識別、分析、評價、管理及處理等為基礎的一系列審核活動,旨在幫助機構實現目標。
實施企業風險管理審計是針對內部控制制度的執行情況進行再監督,以便及時發現并消除風險點,把風險損失控制在最低限度,與此同時,能夠通過對內部控制制度的健全性和符合性測試發現內控制度的不足之處,并提出改進意見,進一步修訂和完善內部控制制度。實施企業風險管理審計能起到預防風險與警示的作用。企業結合實際情況制定具體的內控制度,由相關部門或人員具體實施,事先控制可能出現的風險,把風險消滅在發生之前或過程之中,而當風險產生并造成損失時,要分析原因,總結經驗教訓,采取相應措施,發揮風險管理審計的警示作用。
企業風險管理審計是一種現代審計模式,較以往審計,它有以下幾個轉變:一是審計思路發生轉變。賬項基礎審計注重具體交易事項的審查測試;制度基礎審計雖注重內部控制的符合性測試,但企業風險管理審計則是注重確認和測試風險管理部門,為降低風險而采取的方式和方法。二是審計重心開始轉移。審計人員的審計工作由原來的內部控制審計擴展到對所有風險進行管理審計,拓寬了審計范圍。三是審計方法更科學先進。企業風險管理審計是利用戰略和目標分析的結論,確定關鍵風險點,進行風險評估,采取必要的措施降低或消除風險。企業風險管理審計廣泛運用數學分析、統計分析和計算機等技術方法,使審計工作更加科學快捷。四是審計目的更加明確。審計目的在于揭示企業的各種風險因素,降低和防范各種風險,協助企業決策者和管理層達到預期的經營目標。
二、企業風險管理審計面臨的問題
目前,企業的風險管理審計尚處在發展階段,風險管理審計的發展面臨許多問題。主要表現在:
(一)企業風險意識淡薄
企業缺乏風險意識,沒有積極、主動、系統地進行風險管理工作。一方面企業中的風險管理活動往往是瞬時的或者間斷性的,意識到了就進行管理,事后則又將其拋擲腦后;另一方面企業缺乏對風險進行定期復核和再評估的意識,降低了企業應適應環境變化,進行管理風險和規避風險的能力。有些企業則忽視長遠發展目標,只顧眼前的利益,往往只對眼前風險進行評估,忽視某些行為決策對企業未來發展產生的影響,從而缺乏對企業風險進行系統全面的分析,最終給企業帶來巨大的損失。
(二)風險管理組織架構不健全
目前大多數企業風險管理的組織架構不完善,缺乏現代意義上獨立的風險管理部門,導致各個部門和崗位的人員對其工作職責和操作程序不清晰,風險承擔的最終主體不明確,也沒有專門的人員進行企業風險管理。有的企業即便是成立了相應的風險管理部門,但沒有專職的風險經理,風險承擔的主體不明確,各個部門或者崗位間相互推卸責任,使其風險管理的成效缺乏有效的約束機制,從而無力承擔起獨立的、具有權威性的、有效管理企業風險的職責,使得企業的風險管理始終停留在以眼前利益為目的的決策層次上,而不能將企業風險管理上升到企業發展的戰略高度。
(三)風險管理范圍不明確
在企業風險管理審計的范圍上,審計人員側重于企業經營管理風險的識別、估算和控制方面的審計,而對企業制度風險、法律風險、決策風險等其他風險的評估、測試等方面的審視程度不夠。由于企業自身改革的不斷深化,企業的風險管理不可能只停留在分別對某一種風險進行管理的階段上,企業只有全面的、綜合的考慮可能發生的各種風險因素,才能有效的預防、管理和控制風險。同樣的,企業風險管理審計也不能停留在部門風險管理審計的階段上,而要向全面的、整體的風險管理審計發展,只有這樣企業才能不斷發現和化解風險,減少不應有的損失。
(四)風險管理審計人才缺乏
目前,我國企業風險管理審計人才嚴重匱乏,現有風險管理審計人員綜合素質不高。主要表現在審計人員知識結構單一,風險意識不強,技術管理措施落實不到位等,導致風險管理審計質量不高。此外,大多數審計人員主要是單純會計或審計專業,沒有經濟管理理、法律事務等多元化的綜合知識,有的審計人員甚至不了解企業的經營狀況或行業背景,這些因素將約束風險管理審計的有效開展,也是企業風險管理審計工作所亟待解決的問題。
三、開展企業風險管理審計的應對措施
為了更好地開展風險管理審計,防范和化解各類風險,必須對風險管理審計中存在的問題采取有效措施。
(一)提高企業風險意識,風險防范寓于管理
要轉變企業觀念,提高企業風險意識,將風險管理納入企業的經營管理之中。開展企業風險管理審計,首先要求企業管理層要徹底轉變觀念、增強風險意識,把風險管理審計擺在重要位置上,正確合理地處理風險與效益的關系,把企業長遠利益作為企業的根本目標。同時審計人員也要轉變觀念,盡快實現從傳統的賬項基礎審計、制度基礎審計向風險管理審計轉變,突出風險管理的重要性。一方面要監督企業各職能部門認真貫徹各項內部控制制度,切實規范操作程序,防止操作過程中人為造成風險;另一方面要認真落實風險管理審計提出的整改意見,克服專業管理部門的偏見,使風險管理審計能夠真正發揮作用。
(二)完善內部控制制度,健全風險管理架構
要進一步完善內部控制制度的建設,健全風險管理的組織架構,明確風險的承擔主體,整合現有的風險管理部門,形成由最高管理層直接負責的、系統的、全面的風險管理系統。企業要在充分利用內部的風險管理人員的基礎上,充分利用企業外部風險管理咨詢公司專家的智慧,進行有效的企業風險管理。這可以為審計人員開展企業風險管理審計提供明確的審計對象,使審計人員能夠制定出更加有效合理的審計計劃,節約審計時間,提高審計效率。
(三)重視企業經營風險,兼顧其他管理風險
企業風險管理是保持企業持續發展的途徑。企業風險管理的實質就是對影響企業持續發展的不確定因素進行管理,控制并減少不確定因素對企業的持續影響。內部審計人員在重視企業經營風險管理審計的同
時,對于企業的其他風險管理,如制度風險管理、法律風險管理的審計也應該引起足夠的重視。在現代企業的競爭中,哪怕只忽視一種風險都很可能使企業遭受巨大的損失。因此,內部審計人員應全面系統地進行企業風險管理審計,同時還要關注一些日常管理中不經意間引發的風險。
(四)企業風險無時不在,風險評估需經常化
企業風險是隨時隨地都會發生的,而且是不斷變化的,偶爾幾次的風險管理審計不能解決根本問題,因此風險管理審計必須做到經常化。要周期性地或不定期地開展全面的風險審查評估,并在此基礎上,對重點風險點及時開展專項風險審計,尤其是對內部控制制度評價中發現的重大失控點,應予以高度的重視,采取有效措施堵塞漏洞,減少或者消除風險點和內控失控點。風險管理審計還應當制度化,風險管理審計是強化內部控制的重要手段,企業決策者或者企業管理層應對風險管理審計的范圍、內容、方法及審計結果的利用等做出明確的規定,將其納入內部控制制度,約束并強制各部門執行,從而達到防范或消除風險的目的。
(五)培養高端審計人才,提高專業審計質量
開展企業風險管理審計,需要培養一批高素質的審計人才。企業風險來自各方面,而且不是孤立存在的,受眾多內在因素和外在因素的影響,這就對審計人員提出了更高的素質要求,要求審計人員不僅僅是一個合格的管理者,還要是一名優秀的審計人員。審計人員既要掌握了解企業內部的經營管理運作狀況,又要熟悉企業外部環境的變遷、國家政策法規的出臺、市場經濟的趨勢、行業的特點和技術的發展等。企業可以選拔優秀審計人才進修學習現代風險管理審計技術,對現有的風險管理審計人員進行定期培訓。讓他們不斷更新專業知識。提高他們的專業水平,也可引進復合型人才充實企業內部審計隊伍。豐富的專業知識和技能、高度的責任心和良好的職業道德、敏銳細致的觀察能力、較強的組織分析能力等是現代企業內部審計人員的必備要件。
綜上所述,隨著競爭的全球化和經營的戰略化,風險管理審計已上升到企業發展的戰略高度,成為現代企業內部審計的首要任務。風險管理審計將對企業的健康持續發展起到至關重要的作用。
參考文獻:
1.段琳.內部審計:風險管理的抓手.中國石油企業,2007(12)
2.劉莉.企業內部審計風險分析與規避對策商業會計,2008(12)
3.趙菁.降低內部審計風險的途徑西安建筑科技大學學報,2008(02)
摘要:2004年9月,COSO委員會正式頒布了新的COSO報告:《企業風險管理——整合框架》。在對此報告進行研究的基礎上,探討了兩方面的問題,一是企業風險管理與內部控制的融合,二是內部審計與風險管理。通過比較認為,首先,企業風險管理與內部控制同樣是一個程序,處于不斷的調整和變化之中.兩者只有相互融合,才能實現最佳效果;其次,對企業風險管理進行監督和評價是現代內部審計發展的結果。內部控制向風險管理領域擴展,對內部審計的發展產生了深遠影響,集中體現在風險基礎內部審計的產生。
關鍵詞:企業風險管理;內部控制;內部審計
一、企業風險管理框架的提出
2004年,美國Treadway委員會下屬贊助委員會(COSO)在內部控制框架概念的基礎上,提出了企業風險管理(EnterpriseRiskManagement,ERM)的概念,使內部控制的研究發展到一個新的階段。COSO這樣定義企業風險管理,企業風險管理是一個過程,受企業董事會、管理當局和其他員工的影響,包括內部控制及其在戰略和整個公司的應用.旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規的遵循提供合理保證。COSO認為,ERM為公司董事會提供了有關企業所面臨的重要風險,以及如何進行風險管理方面的信息,并進一步提出企業風險管理由內部環境、目標設定、事件辨別、風險評估、風險反應、控制活動、信息和交流以及監督等8個方面組成。
1.內部環境(InternalEnvironment)。企業的內部環境是其他所有風險管理要素的基礎,為其他要素提供規則和結構,也為ERM的其他組成因素提供了框架。其別是管理當局的風險偏好,決定了公司對可能出現的預料之外的事件的態度,管理當局和董事會必須明確戰略及其執行過程中的風險和回報。
2.目標設定(ObjectiveSetting)。即管理層必須基于目標來識別成功的潛在因素。根據企業確定的任務或預期,管理者制定企業的戰略目標,選擇戰略并確定其他與之相關的目標并在企業內層層分解和落實。其中,其他相關目標是指除戰略目標之外的其他目標,其制定應與企業的戰略相聯系。管理者必須首先確定企業的目標。才能夠確定對目標的實現有潛在影響的事項,而企業風險管理就是提供給企業管理者一個適當的過程,既能夠幫助制定企業的目標,又能夠將目標與企業的任務或預期聯系在一起,并且保證制定的目標與企業的風險偏好相一致。
3.事件辨別(EventIdentification)。在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上,企業風險管理要求辨別可能對實現公司目標產生負面影響的所有重要情況或事件,事件辨別的基礎是將可能的風險與環境進行對比。這一步要求綜合運用各種專業知識,盡可能地了解企業當前或將來的環境和經營情況。
4.風險評估(RiskAssessment)。一般用可能性(概率)和影響結果兩個維度度量風險,前者是一定的負面影響事件發生的可能性;后者是假設事件發生,對經營、財務報告以及戰略產生影響的可能結果,潛在影響一般以對經營、數量、金錢損失以及戰略目標可能造成的損失進行計算。風險評估的過程中根據不同的情況,采用定性、定量以及相結合的方法,若可以獲取充足的數據,一般采用定量的評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數據,則一般采取定性的評估方法。
5.風險反應(RiskResponse)。企業對每一個重要的風險及其對應的回報進行評價和平衡,結果取決于成本效益分析以及企業的風險偏好。而平衡的反應包括接受、規避或緩和這些風險,后者又包括風險分離、風險轉換或者減少(包括通過控制活動)等形式。風險反應是企業風險管理的整體重要組成部分。
6.控制活動(ControlActivities)。控制活動是管理當局設計的政策和程序,為執行特定的風險緩和反應提供合理保證。控制活動包括在整個組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業績復核、資產安全、職責分離等方法。
7.信息和交流(InformationandCommunication)。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息,與財務信息一樣,風險信息必須以一定的形式和框架進行交流,使員工、管理層以及董事履行各自的責任。風險評估的信息系統可以產生定期或“例外基礎”的時時報告,報告使用趨勢指標、業績矩陣及運營或財務成果的形式,這些報告能夠引導出及時的決策。在公司層次,必須對各種數據和信息流進行加工,形成關于公司風險組合輪廓的統一觀點,以利于交流。通常存在自上而下式、平行式和自下而上式三種有效的交流形式。自上而下式是管理當局向員工傳遞風險信息;平行式是部門之間的信息交流和傳遞;自下而上式是一線員工向管理層匯報風險信息。員工的風險信息交流方面的意識是風險管理環境的重要組成部分,應鼓勵員工就其意識到的重要風險與管理層進行交流,管理當局應當重視員工的意見。
8.監督(Monitor)。與內部控制一樣,企業應通過持續的監督和獨立的評價活動,監督企業風險管理的有效性。持續監督以日常經營中發生的事件和交易為對象,包括管理當局和專門的監督人員的活動。獨立評價一般以定期檢查計劃為基礎,或者以日常監督中發現的意外為起點,由于在獨立調查、風險評估和報告方面具備能力、技巧和經驗,內部審計師是提供獨立評價的合適人選。
二、企業風險管理與內部控制的融合
自1992年美國COSO委員會提出《內部控制框架》報告(簡稱COSO報告)以來,該內部控制框架已經被世界上許多企業所采用,但理論界和實務界紛紛對內部控制框架提出一些改進建議,強調內部控制框架的建立應與企業的風險管理相結合。新的企業風險管理框架就是在1992年的研究成果——《內部控制框架》報告的基礎上,結合《SOX法案》在報告方面的要求,進行擴展研究得到的。通過比較,我們可以發現,企業風險管理的定義采用了1992年內部控制框架定義的模式,認為企業風險管理與內部控制同樣是一個程序,它不是靜態的,而是處于不斷的調整和變化之中,以適應組織環境的變化。
企業風險管理除包括內部控制的三個目標之外,還增加了戰略目標,并擴大了報告目標的范疇。內部控制框架將企業的目標分為經營的效率和效果、財務報告的可靠性和現行法規的遵循。企業風險管理框架也包含三個類似的目標,但是比內部控制框架增加了一個目標——戰略目標。該目標的層次比其他三個目標更高。企業的風險管理在應用于實現企業其他三類目標的過程中,也應用于企業的戰略制定階段。
另外,企業風險管理的8個要素除了包括內部控制的全部5個要素之外,還增加了目標設定、事件辨別和風險反應三個要素,由于對象不同,風險管理更加針對組織面臨的“風險”,增加這三個要素,拓展了概念的深度和廣度。因此,風險管理框架建立在內部控制框架的基礎上,內部控制框架則是企業風險管理必不可少的一部分。
內部控制與風險管理的融合很早就引發了人們的關注,經過長期的爭論和實踐,人們對二者關系的認識不斷深化,逐漸認識到將兩者關系隔離的分析方法是不可取的,內部控制與風險管理只有相融合,才能實現最佳效果。COSO企業風險管理概念的提出,將風險管理與內部控制的融合大大地向前推動了一步,這種融合必將極大地推進內部控制和內部審計的發展。
三、風險管理對內部審計的影響
內部控制向風險管理領域擴展,對內部審計的發展產生了深遠影響,這種影響集中體現在風險基礎內部審計的產生。由于各國實務各不相同,尚未形成統一的最佳做法,國際內部審計師協會目前還沒有標準的風險基礎審計定義,IIA的職業問題委員會認為,風險基礎審計關注的焦點是組織對所面臨影響其目標實現的風險作出的反應,與其他形式的審計不同,這種審計的出發點是風險,而非控制,其目的在于為風險管理提供獨立保證,并在必要時加以引導和改進,審計業務的范圍和優先次序應由組織所面臨的風險所決定。
風險基礎內部審計的特征可以總結為以下幾點:
第一,風險基礎內部審計不僅關注風險管理,同時也是風險管理的重要組成部分。公司針對風險管理功能,設立一個分部,配置一位風險經理,內部審計人員建立風險評估模式,內部審計工作成為企業風險管理的一個組成部分,整個審計工作根植于以未來為導向的風險分析。
第二,內部審計的方法不再是強調確認和測試控制的完整性,而是強調確認經營風險并測試這些風險是否得到有效管理,由交易事項和對政策的遵循,轉變為對目標、戰略和風險管理程序的關注,“控制是否適當且有效”雖然仍被關注,但已不是關鍵。
第三,內部審計的反應方式不再是反應式的、事后的、不連續的監控,從以交易為基礎轉變為以過程為基礎,對組織戰略計劃的創新也由觀察者轉變為參與者。
(一)企業風險管理框架
美國反虛假財務報告委員會管理組織fcOSO)針對企業界頻繁發生的高層管理人員舞弊現象,頒布了全新的COSO報告,即《企業風險管理――整合框架》(Enterprls-eRiskManagement-Integrated Framework,簡稱ERMl。這個框架是在原《內部控制――整體框架》的基礎上,結合《薩班斯一奧克斯利法案》(Sarbanes-Oxley Act)的相關要求展開研究得到的。根據ERM框架,“全面風險管理是一個過程,這個過程受董事會、管理層和其他人員的影響,這個過程從企業戰略制定一直貫穿到企業的各項活動中,用于識別那些可能影響企業的潛在事件并管理風險,使之在企業的風險偏好之內,從而合理確保企業取得既定的目標”。ERM框架有三個維度:第一維是企業的目標,包括戰略、經營、報告和合規性目標;第二維是全面風險管理要素,包括內部環境、目標設定、事項識別、風險評估、風險對策、控制活動、信息和溝通、監控等要素;第三維是企業內部各個層次,包括整個企業、各職能部門、各條業務線及下屬各子公司。ERM三個維度的關系是:全面風險管理的各要素都是為企業的四個目標服務的;企業各個層級都要堅持同樣的四個目標;每個層次都必須從上述方面進行風險管理。企業風險管理是一個過程,企業風險管理的有效性是某一時點的一個狀態或條件。決定一個企業的風險管理是否有效,是基于對風險管理要素設計和執行是否正確的評估基礎上的主觀判斷。企業的風險管理要有效,其設計必須包括所有的要素并得到執行。
(二)我國企業風險管理規范
近年來我國有關部門和很多企業也逐步認識到風險管理對企業經營的重要性,為了指導企業開展全面風險管理工作,進一步提高企業管理水平,增強企業競爭力,促進企業穩步發展,國務院國有資產監督管理委員會2006年6月了《中央企業全面風險管理指引》。該指引指出,全面風險管理是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,從而為實現風險管理的總體目標提供合理保證的過程和方法。財政部、證監會等部門也于2008年5月了《企業內部控制基本規范》。該規范指出,企業應當根據設定的控制目標,全面系統持續地收集相關信息,結合實際情況及時進行風險評估。企業開展風險評估,應當準確識別與實現控制目標相關的內部風險和外部風險,確定相應的風險承受度。企業應當根據風險分析的結果,結合風險承受度,權衡風險與收益,確定風險應對策略。
(三)企業風險分析
風險產生于不確定性因素的存在,企業運行環境的不確定性帶來了企業運行結果的不確定性。企業風險可以按照企業目標的不同層次來理解和劃分,并可將其相應劃分為:(1)企業的戰略風險,是指企業戰略目標不能實現的可能性,主要包括:由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險;由于企業的具體戰略選擇失誤而帶來的風險,包括企業經營領域的選擇風險、企業并購風險等。(2)企業日常經營管理風險,是指企業具體經營目標不能實現的可能性,又可以劃分為企業經營環節的作業鏈風險,如企業供、產、銷等環節的風險;企業的人事風險,如由于人員任用、授權、業績評價等方面的缺陷帶來的風險;企業的信息風險,如企業信息系統風險等。(3)財務風險。包括籌資風險、資金投放的風險及企業其他財務活動風險。
二、企業風險管理審計的作用
對企業風險管理進行監督和評價是現代內部審計發展的結果,風險管理審計是內部審計的主要職責,分析、確認、揭示關鍵性的經營風險,才是內部審計的焦點。隨著我國經濟體制的不斷改革發展,企業內部審計越來越受到各方面的重視,對內部審計的理解也發生了較大的變化。企業進行風險管理審計可以起到以下幾方面的作用:
一是全面識別企業風險,風險在企業內部具有感染性、鑄遞性、不對稱性等特征,即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承扭,而是會傳遞到其他部門,最終可能使整個企業陷入困境。因此對風險的認識、防范和控制需要從全局考慮,而各業務部門又很難做到這一點。內部審計具有相對的獨立性,受單位主要負責人的直接領導,這就使其可以從全局出發,從客觀的角度對風險進行識別,及時建議管理部門采取措施控制風險。
二是調控和指導企業的風險策略內部審計部門處于企業量事會、總經理和各職能部門之間的位置,內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期實現的調節,可以調控和指導企業的風險管理策略。
三是內部審計部門的建議更易引起企業領導的重視一些企業盡管設立了風險管理部門,但不具有獨立性,其意見往往會屈服于管理層的壓力,這使得風險管理部門的作用受到一定程度的限制。而內部審計部門獨立于其他管理部門,其風險評估的意見可以直接向董事會匯報,這樣可以加強管理層對內部審計部門意見的重視程度。
三、企業風險管理審計的內容
企業運營狀況審查。確定風險是否像所預計的一樣,能減輕至可接受的程度以及在可控的范圍內,并確定審核程序可以有效且低成本運作。監督和評價一個部門內的業務流程是否存在風險,或者一個流程能夠同時對諸多部門同時進行管理。
企業信息系統風險審查。內部審計人員參與系統開發及方案制訂,尤其關注流程的改進、數據傳遞、系統的執行計劃及測試計劃。對應用系統執行前及執行后的狀況進行評估。對信息安全問題進行評估。
遵從國家法規政策審查。對企業的各項經營活動進行全面分析和評估。通過評估并糾正程序,確保遵守國家相關法律及政策。
風險管理流程控制審查。為實現企業經營目標,評估現行流程,保證其對可能事件與可能情況能進行有效識別、評估、管理和控制。協助風險管理機構落實有關措施。
風險應對措施適當性和有效性審查。內部審計人員應當實施適當的審計程序,對風險應對措施進行審查。內部審計人員在評價風險應對措施的適當性和有效性時,應當考慮以下因素:采取風險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內;采取的風險應對措施是否適合本組織的經營、管理特點;成本效益的考核與衡量等。
關鍵詞:企業風險管理;內部控制;內部審計
一、企業風險管理框架的提出
2004年,美國Treadway委員會下屬贊助委員會(COSO)在內部控制框架概念的基礎上,提出了企業風險管理(EnterpriseRiskManagement,ERM)的概念,使內部控制的研究發展到一個新的階段。COSO這樣定義企業風險管理,企業風險管理是一個過程,受企業董事會、管理當局和其他員工的影響,包括內部控制及其在戰略和整個公司的應用.旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規的遵循提供合理保證。COSO認為,ERM為公司董事會提供了有關企業所面臨的重要風險,以及如何進行風險管理方面的信息,并進一步提出企業風險管理由內部環境、目標設定、事件辨別、風險評估、風險反應、控制活動、信息和交流以及監督等8個方面組成。
1.內部環境(InternalEnvironment)。企業的內部環境是其他所有風險管理要素的基礎,為其他要素提供規則和結構,也為ERM的其他組成因素提供了框架。其別是管理當局的風險偏好,決定了公司對可能出現的預料之外的事件的態度,管理當局和董事會必須明確戰略及其執行過程中的風險和回報。
2.目標設定(ObjectiveSetting)。即管理層必須基于目標來識別成功的潛在因素。根據企業確定的任務或預期,管理者制定企業的戰略目標,選擇戰略并確定其他與之相關的目標并在企業內層層分解和落實。其中,其他相關目標是指除戰略目標之外的其他目標,其制定應與企業的戰略相聯系。管理者必須首先確定企業的目標。才能夠確定對目標的實現有潛在影響的事項,而企業風險管理就是提供給企業管理者一個適當的過程,既能夠幫助制定企業的目標,又能夠將目標與企業的任務或預期聯系在一起,并且保證制定的目標與企業的風險偏好相一致。
3.事件辨別(EventIdentification)。在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上,企業風險管理要求辨別可能對實現公司目標產生負面影響的所有重要情況或事件,事件辨別的基礎是將可能的風險與環境進行對比。這一步要求綜合運用各種專業知識,盡可能地了解企業當前或將來的環境和經營情況。
4.風險評估(RiskAssessment)。一般用可能性(概率)和影響結果兩個維度度量風險,前者是一定的負面影響事件發生的可能性;后者是假設事件發生,對經營、財務報告以及戰略產生影響的可能結果,潛在影響一般以對經營、數量、金錢損失以及戰略目標可能造成的損失進行計算。風險評估的過程中根據不同的情況,采用定性、定量以及相結合的方法,若可以獲取充足的數據,一般采用定量的評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數據,則一般采取定性的評估方法。
5.風險反應(RiskResponse)。企業對每一個重要的風險及其對應的回報進行評價和平衡,結果取決于成本效益分析以及企業的風險偏好。而平衡的反應包括接受、規避或緩和這些風險,后者又包括風險分離、風險轉換或者減少(包括通過控制活動)等形式。風險反應是企業風險管理的整體重要組成部分。
6.控制活動(ControlActivities)。控制活動是管理當局設計的政策和程序,為執行特定的風險緩和反應提供合理保證。控制活動包括在整個組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業績復核、資產安全、職責分離等方法。
7.信息和交流(InformationandCommunication)。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息,與財務信息一樣,風險信息必須以一定的形式和框架進行交流,使員工、管理層以及董事履行各自的責任。風險評估的信息系統可以產生定期或“例外基礎”的時時報告,報告使用趨勢指標、業績矩陣及運營或財務成果的形式,這些報告能夠引導出及時的決策。在公司層次,必須對各種數據和信息流進行加工,形成關于公司風險組合輪廓的統一觀點,以利于交流。通常存在自上而下式、平行式和自下而上式三種有效的交流形式。自上而下式是管理當局向員工傳遞風險信息;平行式是部門之間的信息交流和傳遞;自下而上式是一線員工向管理層匯報風險信息。員工的風險信息交流方面的意識是風險管理環境的重要組成部分,應鼓勵員工就其意識到的重要風險與管理層進行交流,管理當局應當重視員工的意見。
8.監督(Monitor)。與內部控制一樣,企業應通過持續的監督和獨立的評價活動,監督企業風險管理的有效性。持續監督以日常經營中發生的事件和交易為對象,包括管理當局和專門的監督人員的活動。獨立評價一般以定期檢查計劃為基礎,或者以日常監督中發現的意外為起點,由于在獨立調查、風險評估和報告方面具備能力、技巧和經驗,內部審計師是提供獨立評價的合適人選。
二、企業風險管理與內部控制的融合
自1992年美國COSO委員會提出《內部控制框架》報告(簡稱COSO報告)以來,該內部控制框架已經被世界上許多企業所采用,但理論界和實務界紛紛對內部控制框架提出一些改進建議,強調內部控制框架的建立應與企業的風險管理相結合。新的企業風險管理框架就是在1992年的研究成果——《內部控制框架》報告的基礎上,結合《SOX法案》在報告方面的要求,進行擴展研究得到的。通過比較,我們可以發現,企業風險管理的定義采用了1992年內部控制框架定義的模式,認為企業風險管理與內部控制同樣是一個程序,它不是靜態的,而是處于不斷的調整和變化之中,以適應組織環境的變化。
企業風險管理除包括內部控制的三個目標之外,還增加了戰略目標,并擴大了報告目標的范疇。內部控制框架將企業的目標分為經營的效率和效果、財務報告的可靠性和現行法規的遵循。企業風險管理框架也包含三個類似的目標,但是比內部控制框架增加了一個目標——戰略目標。該目標的層次比其他三個目標更高。企業的風險管理在應用于實現企業其他三類目標的過程中,也應用于企業的戰略制定階段。
另外,企業風險管理的8個要素除了包括內部控制的全部5個要素之外,還增加了目標設定、事件辨別和風險反應三個要素,由于對象不同,風險管理更加針對組織面臨的“風險”,增加這三個要素,拓展了概念的深度和廣度。因此,風險管理框架建立在內部控制框架的基礎上,內部控制框架則是企業風險管理必不可少的一部分。
內部控制與風險管理的融合很早就引發了人們的關注,經過長期的爭論和實踐,人們對二者關系的認識不斷深化,逐漸認識到將兩者關系隔離的分析方法是不可取的,內部控制與風險管理只有相融合,才能實現最佳效果。COSO企業風險管理概念的提出,將風險管理與內部控制的融合大大地向前推動了一步,這種融合必將極大地推進內部控制和內部審計的發展。
三、風險管理對內部審計的影響
內部控制向風險管理領域擴展,對內部審計的發展產生了深遠影響,這種影響集中體現在風險基礎內部審計的產生。由于各國實務各不相同,尚未形成統一的最佳做法,國際內部審計師協會目前還沒有標準的風險基礎審計定義,IIA的職業問題委員會認為,風險基礎審計關注的焦點是組織對所面臨影響其目標實現的風險作出的反應,與其他形式的審計不同,這種審計的出發點是風險,而非控制,其目的在于為風險管理提供獨立保證,并在必要時加以引導和改進,審計業務的范圍和優先次序應由組織所面臨的風險所決定。
風險基礎內部審計的特征可以總結為以下幾點:
第一,風險基礎內部審計不僅關注風險管理,同時也是風險管理的重要組成部分。公司針對風險管理功能,設立一個分部,配置一位風險經理,內部審計人員建立風險評估模式,內部審計工作成為企業風險管理的一個組成部分,整個審計工作根植于以未來為導向的風險分析。
第二,內部審計的方法不再是強調確認和測試控制的完整性,而是強調確認經營風險并測試這些風險是否得到有效管理,由交易事項和對政策的遵循,轉變為對目標、戰略和風險管理程序的關注,“控制是否適當且有效”雖然仍被關注,但已不是關鍵。
第三,內部審計的反應方式不再是反應式的、事后的、不連續的監控,從以交易為基礎轉變為以過程為基礎,對組織戰略計劃的創新也由觀察者轉變為參與者。
關鍵詞:內部審計 風險管理 協同效應
隨著現代企業規范程度的提高和各個行業監管力度的加強,內部審計、風險管理等工作受到了越來越多的重視,國資委有《中央企業全面風險管理指引》,許多行業都先后了行業風險管理指引,可見監管部門對此的重視。而就世界范圍而言,美國《薩班斯――奧克利斯法案》頒布、COSO框架體系建立,也都是對企業內部風險管理的加強。那么,什么是內部審計,什么是風險管理,兩者的關系如何, 兩者結合的意義有哪些,本文將就這些方面作進一步探討,并在此基礎上研究企業如何發揮兩者的協同效應。
■一、內部審計與風險管理的關系
要理順內部審計與風險管理的關系,首先要清楚內部審計、風險管理的概念。所謂內部審計,國際內部審計師協會(IIA)在《內部審計實務標準》中將內部審計定義為一種獨立、客觀的保證工作和咨詢活動,其目的在于為組織增加價值并提高組織的運作效率,采用系統化、現代化的方法來對風險管理、控制和治理程序進行評價和改善,從而幫助組織實現目標。而企業風險管理是一個由企業的董事會、管理層和員工共同參與,應用于企業戰略制定和企業內部各個層次和部門,用于識別可能對企業造成潛在影響的事項,并根據風險偏好管理風險,為企業目標的實現提供合理保證的過程。它參與到企業的各項活動之中,是一個過程,是實現結果的一種方式。與傳統的項目風險管理相比,企業風險管理強調戰略導向,覆蓋了組織所有的管理層次和管理領域,方法也更為結構化和規范化。
內部審計、外部審計、董事會以及高層管理人員被稱為有效公司治理的四大基石。內部審計師的作用是檢查、評估和分析組織的風險,審查公司對法律法規的遵守情況,促進公司在風險管理、治理結構以及內部控制等方面的提高,向董事會、審計委員會以及高層管理人員負責提供保證――風險已被分散、公司治理是有效的、內部控制是健全的。內部審計以企業內部信息使用者為中心,聚焦于控制、風險管理等關鍵問題,通過幫助組織管理風險和提高管理效率,來增加組織的價值和改善公司的經營。因此,內部審計承擔了監督、分析、評價、檢察、報告和改進等任務,是企業風險管理不可或缺的組成部分。就世界范圍看,風險管理已成為內部審計的主要內容。IIA早就把評價和改善組織的風險作為內部審計的主要內容,其1999年制定的內部審計定義將風險管理和內部控制、公司治理并列作為內部審計的工作對象,2001年修改的《內部審計實務標準》明確要求內部審計參與風險管理和公司治理過程。
■二、內部審計與風險管理結合的意義
國際內部審計師協會多年來一直積極倡導內部審計參與風險管理,它認為內部審計為組織提供價值的兩個非常重要的途徑是對風險管理的充分性和對風險管理及內部控制框架的有效性提供保證服務。
內部審計與風險管理相結合是將風險作為內部審計的對象,打破了原來的內部審計只關心內部控制有效性的局面,在評價內部控制的基礎上,對企業所面臨的各種風險進行識別和分析。從另一個角度來講,內部審計更加注重企業的未來,從影響企業目標實現的各種系統風險和非系統風險出發,就內部控制是否健全、關鍵的控制點是否有效控制薄弱的環節以及改進措施是否有效提出認定,來評價風險管理與控制對組織目標實現的影響程度。以風險為對象的審計在風險管理基礎上又進了一步。風險審計就是在風險管理基礎上審計主體通過對組織風險識別、風險評價等工作的審計,側重對風險管理進行鑒證。
內部審計參與風險管理不僅為內部審計自身提供了發展契機,而且作為企業內的一種獨立、客觀的保證工作和咨詢活動,內部審計是公司治理必要和有價值的組成部分,能夠在風險管理中發揮獨特的作用,無論是內部審計還是風險管理都能從雙方的整合中提高效率,創造價值。
■三、內部審計在風險管理中的角色和地位
國際內部審計師協會在2004年發表的《內部審計在企業風險管理中的角色》意見書中指出:內部審計關于企業風險管理的核心角色是就組織風險管理的有效性向董事會提供客觀保證,以幫助確信關鍵企業風險被正確管理及內部控制系統有效運行。因此,內部審計在企業風險管理架中首要角色是監督者,包括對風險管理流程的評估和保證服務,對風險評估準確性的保證服務,對關鍵風險報告的評估和對關鍵風險管理的評估。
按國際內部審計師協會的標準,內部審計的服務種類可以分為保證服務和咨詢服務,前者是一種獨立評價的活動,后者是提供建議及咨詢的活動。內部審計為整個組織成員以及組織以外的所有利益相關主體服務,其信息服務對象的需求依其所處的位置、環境及掌握信息的不同而不同。總體來講,處于信息劣勢的服務對象希望內部審計為其提供保證服務,處于信息優勢的服務對象則更希望內部審計為其提供咨詢服務。其中,保證服務是指為了對風險管理。內部控制或公司的治理過程提供一個獨立的評價而對證物進行的客觀的檢驗;咨詢服務是咨詢性的以及與委托人服務相關的活動,其性質和范圍是與委托人達成一致意見,目的是增加價值和改進組織的經營。在企業風險管理中,內部審計的本質特征并不發生改變,因而它可以擔任的角色也是基于這兩種服務衍生的。除了作為監督者所提供的保證服務之外,內部審計還提供咨詢服務,包括促進對風險的識別和評估、指導和協調風險管理活動,加強對風險的報告、保持和發展風險管理框架、支持建立風險管理、參與制定風險管理戰略等。與此相適應,內部審計承擔了咨詢者、協調者、建議者角色。
內部審計在企業風險管理中的角色不是一成不變的,而是一個逐步變化和延續發展過程。在組織缺乏風險管理程序的情況下,內部審計可以向管理層提出建立企業風險管理的建議;在組織實施風險管理的初期,內部審計能夠發揮更大的協調作用,甚至直接擔任項目經理;而當企業風險管理逐步成熟,運作穩定以后,內部審計就從建議者、協調者轉化為監督者和咨詢者。內部審計的報告關系也會影響其在企業風險管理中的角色,報告關系層次越高,獨立性越強,內部審計就越能夠從全局和戰略角度參與企業風險管理;反之,則從局部和流程角度參與企業風險管理。
■四、企業如何發揮內部審計與風險管理的協同效應
按照審計署頒發的《審計署關于內部審計工作的規定》中的有關規定以及法人治理的有關要求,內部審計要相對獨立。因此,通常情況下,內部審計部門獨立于公司經營管理層,在業務上直接向董事會下屬的審計委員會匯報,但這并不等于內部審計部門與企業的風險管理相脫節,事實上,如果內部審計能夠充分利用風險管理的相關信息,最大限度發揮與企業內部風險管理的協同效用,無論是審計計劃的制定還是審計范圍的確定都將更具有針對性,審計的效果也會更好。那么,如何充分發揮內部審計與風險管理的協同效應呢?
1、以企業整體的戰略目標為基礎,進行風險分類,合理分配審計資源
企業在不同時期,其戰略目標是不同的,風險分布、風險偏好以及風險應對策略都相應有所差異,保險企業亦如此。作為內審部門參與風險管理,應以公司整體的戰略目標為基礎,分析公司當前的風險分布,了解公司當前的風險應對策略和風險承受能力,并對這些風險進行分類,有針對性地制定審計計劃,分配審計資源。同時,作為一個全國性的保險公司的內部審計部門,在參與風險管理的時候,要清楚不同層級機構風險分布是不同的,在總公司層面,主要是決策風險,在分公司層面,主要是控制風險,在中心支公司及以下機構,主要是經營風險。
2、充分獲取風險管理部門的意見,按風險管理的要求開展內部審計
風險管理部門是風險管理的專業部門,其對于公司風險分布的了解最全面、最準確,內審部門應主動與風險管理部門溝通,了解目前公司風險管理的基本情況,以及其對于目前公司風險的看法和意見,并要求其對待定的審計項目提出有針對性的建議。同時,由于目前大部分公司風險管理都還比較薄弱,無論是人員配備、人員的專業能力,還是公司的重視程度都還不夠,風險管理部門也要依賴內審部門通過現場審計來驗證、評價其風險評估、風險分析的合理性、有效性。因此,對于風險管理部門提出的審計要求,內審部門在條件允許的情況下,應及時予以合理安排。
3、與風險管理部門進行信息共享
毫無疑問,內部審計部門與風險管理部門是掌握公司風險信息最全面、最準確的兩個部門,但掌握的情況卻又有所區別。風險管理部門是在既定的風險承受能力和風險應對策略的基礎上,注重對風險整體情況的識別、評價和分析,并對出現的重大風險提出可行的解決方案。因此,無論是其風險評級報告還是其風險分析報告,著眼點都是一個組織單位(全系統、分公司、甚至中心支公司)整體風險是否在合理、可控的范圍內。而內審部門是通過必要的審計程序、有針對性的審計方法對公司經營過程的記錄、結果等進行驗證、核對、測試,以了解其合規性、合理性和發現其是否存在風險,因此,內審部門對于風險的了解更具體、更有說服力。因此,如果內審部門能與風險管理部門進行信息共享,實現整體與具體的結合,則對于提高風險管理的水平和風險信息的有效性都具有重要意義。
4、利用自身優勢,實現內部審計與風險管理的有機整合
【摘要】文章從內部控制與風險管理之間的內在關系入手,探討了內部審計與風險管理中的互動關系和目標上的一致性。指出內部審計在企業風險管理中的角色是監督者,并提供保證和咨詢服務。
【關鍵詞】內部審計;風險管理;角色定位
自20世紀90年代起,西方許多大型企業內部審計部門開始對企業的風險管理進行評估與監督,以實現企業經營目標的安全性、效率性和效果性。縱觀近十幾年的發展歷程可發現,兩者之間互相融合,存在著密不可分的關系。
一、二者互動交融關系形成的現實背景
當今世界,風險無時不在、無處不在,隨著時代的發展,企業所面臨的風險變得廣泛而復雜。企業必須謹慎地識別各種潛在風險,加強風險管理,并在風險管理方案的制定、執行、評估與監督等方面進行合理分工,以保證風險管理的效率。而在整個風險管理過程中又必然涉及多個部門的溝通和協調,這就需要一個超然、獨立的組織機構予以保障。內部審計部門在企業中的超然地位以及獨立評估和監督的特殊職能,正好滿足了這一要求。因此,企業風險管理必然要將內部審計納入自身體系。
隨著企業所面臨風險的增加,風險管理成為了企業管理的核心。由此,內部審計也借機及時進行了自身的重新定位,改變了過去只是作為企業財務監督者的定位,將自身的目標確定為向企業提供保證和咨詢服務,評估和改善風險管理、控制和治理程序。這樣,企業風險管理和內部審計兩者各自不同的發展路線逐漸接近并找到了交點。
二、內部審計與風險管理的互動關系
(一)內部審計定義中包含有風險管理的內容
內部審計從產生到現在已經歷了幾個世紀,每個時期內部審計的概念都有不同的內涵和外延。國際上,內部審計已有7次定義,至今仍在不斷變化,內部審計定義的發展在內部審計史上具有重要意義。
風險管理改變著內部審計的定義,也就同時改變了內部審計的職能和在企業中的價值。1993年版《標準》的序言中對內部審計的表述是:在一個企業內部建立的一種獨立的評價活動,并作為對該企業的控制及經營活動進行審查和評價的一種服務。而2001年版對內部審計是如下表述的:內部審計是采用一種系統化、規范化的方法來對機構的風險管理、控制及監督過程進行評價進而提高它們的效率,幫助機構實現目標。這個定義與1993年的定義相比較最明顯的變化在于將內部審計的范圍延伸到風險管理,比舊定義中提及的控制及經營活動要更為廣泛和深入。只有在風險管理框架中實施的內部審計才能稱之為風險管理審計。顯然,將“評價和改善風險管理”作為內部審計的重要工作領域,是內部審計的新發展,擴大了內部審計的領域,拓展了內部審計的廣度和深度,對內部審計的重新定位,修訂內部審計準則,重整內部審計流程,提高審計服務質量等提出了較高的要求。
(二)風險管理賦予了內部審計在企業中新的地位和作用
為了在企業中擔當更重要的角色和發揮更重要的作用,內部審計總是在不斷尋找新的對企業十分重要的領域。風險的廣泛存在,使企業經理人員對風險空前重視,為內部審計發展提供了一個絕好的機會。內部審計對風險管理的介入,將會使內部審計在企業中成為一個極其重要的角色,并將其在企業中的作用推向一個新高度。正因如此,內部審計師的職業組織——國際內部審計師協會才不遺余力地倡導內部審計師進軍這一領域,把風險管理作為內部審計的重要領域直接寫入了內部審計的定義。
三、內部審計與風險管理目標上的一致性
風險管理的定義指出:“企業風險管理是一個由企業的董事會、管理層和其他員工共同參與的,應用于企業戰略制定和企業內部各個層次和部門的,用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的,為企業目標的實現提供合理保證的過程。”風險管理就是通過對面臨的各種風險的認識、估測、評價,準確把握各種不確定性,采取恰當的內部方法,以便用最低的成本獲得最高的安全保障,將損失降至最低水平。風險管理通過測試、評價和控制風險因素來降低風險事件發生的概率和造成的損失,直接服務于實現企業目標。21寫作秘書網
而在內部審計新定義中,已明確指出內部審計的目的是為機構增加價值并提高機構的運營效率。IIA在2001年修訂的《內部審計實務標準》中,對“增加價值”一詞作了如下解釋:“機構的設立,是為了其所有者、其他利益方、顧客和客戶創造價值和謀取利益……內部審計是在收集資料、認識并評價風險的過程中,對經營與改良時機產生了深刻的見解,這些見解可能會對機構帶來諸多利益。這些有價值的信息可以咨詢、建議、書面報告或通過其他產品的形式呈現出來,所有這些得傳達給相應的經營管理人員。”根據這一解釋,增加價值的目標應由企業的各個職能部門來共同完成,而內部審計部門作為企業的職能部門之一,也應該努力增加企業的價值;同時,內部審計部門經過收集資料、識別并評價風險的過程之后,對企業管理層及其他職能部門的見解更為深刻,而且這些見解是富有價值的,而企業管理者采納、利用這些有價值的信息后,一方面可以借此消除各種減值因素,包括風險因素、控制漏洞、治理缺陷等;另一方面可以將這些有價值的信息應用于經營管理活動,從而達到使企業增值的目的。從這個意義上來說,風險管理與內部審計在其目標上是相一致的。
上述種種使企業風險管理與內部審計逐漸形成了你中有我、我中有你、相互依存、聯動發展的緊密關系。眾多企業在制定本企業風險管理方案時,將內部審計列為風險管理的一道重要防線,由內部審計對整個風險管理流程進行評估和監控;有的企業還特意安排內部審計直接參與風險管理方案的制定和執行全過程,以發揮內部審計在風險管理中的突出作用。與此同時,內部審計也將風險管理作為“為組織增加價值”的重要手段。
四、內部審計在風險管理中的角色定位
COSO在《企業風險管理——整合框架》中的“職能和責任”章節,闡明各管理層在全面風險管理中的地位和職責,并指出組織里的每個人對全面風險管理都有責任。首席執行官承擔最終責任,其他管理人員支持全面風險管理的理念,促使組織在風險容量內經營,并在各自負責的領域里負責將風險降低到相應的風險容忍度內。首席風險官、首席財務官、內部審計及其他人員通常承擔關鍵的支持性責任。組織的其他人員負責按照制定的指令和協議執行全面風險管理。這明確表明,內部審計對全面風險管理的建立并沒有基本責任,這是高級管理層的責任。內部審計人員的重要角色是,幫助管理層和審計委員會監督、檢查、評估、報告、建議全面風險管理過程的充分性和有效性。
IIA2001年頒布的內部審計實務準則,其實務公告——“內部審計在風險管理中的作用”指出,風險管理是管理人員的關鍵職責,內部審計人員應該通過檢查、評價、報告風險管理過程的充分性和有效性并提出改進建議來協助管理人員和審計委員會的工作。管理層和委員會負責機構的風險管理和控制過程,以咨詢顧問身份開展工作的內部審計人員可以協助機構確定、評價并實施針對風險的管理方法和控制措施。
在充分考慮內部審計的獨立性與客觀性的基礎上,結合相關法規、報告的觀點,可以看出:對整個組織的可持續發展能力,對所有者、利益相關人、監管機構和普通公眾負責的是企業管理層,內部審計人員應立足于協助、幫助管理層和審計委員會履行風險管理的職責,主要職責是對整個風險管理過程進行評價,認定并評價管理的充分性與有效性,向管理層和審計委員會報告情況并提出改進管理的建議,以此保證風險管理的有效性。因此,內部審計在企業風險管理框架中首要的角色是監督者,包括對風險管理流程的評估和保證服務、對風險評估準確性的保證服務、對關鍵風險報告的評估和對關鍵風險管理的評估。按IIA的標準,內部審計的服務種類可以劃分為保證服務和咨詢服務,前者是一種獨立評價的活動,后者是提供建議及咨詢的活動。在企業風險管理中,內部審計的本質特征并不發生改變,因而它可以擔任的角色也是基于這兩種服務衍生而來的。除了作為監督者所提供的保證服務外,內部審計還可提供咨詢服務,包括促進對風險的識別和評估、指導和協調風險管理活動、加強對風險的報告、保持和發展風險管理框架、支持建立風險管理、參與制定風險管理戰略等。與此相適應,內部審計承擔了咨詢者、協調者、建議者的角色。
【參考文獻】
[1]劉德運.內部審計原理與技術[M].北京:中國經濟出版社,2006(6):25.
關鍵詞:內部審計 風險管理 內部審計職能
隨著經濟全球化及國際化程度的加深,企業經營環境日趨復雜,經營風險大為增加。企業、行業之間的競爭日益加劇,如何防范風險,加強風險管理,已成為企業經營者面臨的重要課題,建立和完善風險管理體系已成為企業生存發展的重要而緊迫的任務。作為企業董事會及其審計委員會和最高管理層控制手段的內部審計,在企業管理尤其是風險管理、內部控制以及公司治理、組織運營中的地位與作用日趨突出,成為關系企業成敗興衰的重要因素。內部審計具有相對獨立性,其更能從企業全局角度,清醒識別與評估風險;與外部審計相比,內部審計更能從企業利益與實際出發,積極主動地提出防范風險的有效建議。本文在總結內部審計理論和全面風險管理理論的基礎上,對內部審計如何在企業全面風險管理中發揮認定、評價、指引職能進行探討。
一、內部審計與企業風險管理評述
(一)內部審計職能內部審計是組織內部的一種獨立客觀的監督和評價活動,通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。內部審計具有認定、評價和指引三項職能。認定職能表現在企業內部審計人對受托人履行受托管理責任的過程或結果進行核實,并予以認定,認定職能是一切審計結論和審計意見、審計建議的基礎與前提。評價職能表現在審計人對受托人履行受托管理責任的行為和結果的評價,具體來講是對受托人某些方面管理活動的過程、結果與既定目標、決策等一系列標準的符合性進行評價;指引職能是當代企業內部審計的重要職能,其表現在審計人員針對管理層涉及企業局部甚至整體的顯現與潛在的管理負偏差,提出糾正和預防等改進管理的建議。
(二)企業風險管理框架2004年美國反虛假財務報告委員會管理組織(COSO)針對企業界頻繁發生的高層管理人員舞弊現象,頒布了全新的COSO報告,即《企業風險管理――整合框架》(EnterpriseRiskManagement-Integrated Framework,簡稱ERM)。這個框架是在原《內部控制――整體框架》的基礎上,結合《薩班斯一奧克斯利法案》(Sarbanes-Oxley Act)的相關要求展開研究得到的。根據ERM框架,“全面風險管理是一個過程,這個過程受董事會、管理層和其他人員的影響,這個過程從企業戰略制定一直貫穿到企業的各項活動中,用于識別那些可能影響企業的潛在事件并管理風險,使之在企業的風險偏好之內,從而合理確保企業取得既定的目標”。ERM框架有三個維度:第一維是企業的目標,包括戰略、經營、報告和合規性目標;第二維是全面風險管理要素,包括內部環境、目標設定、事項識別、風險評估、風險對策、控制活動、信息和溝通、監控等要素;第三維是企業內部各個層次,包括整個企業、各職能部門、各條業務線及下屬各子公司。ERM三個維度的關系是:全面風險管理的各要素都是為企業的四個目標服務的;企業各個層級都要堅持同樣的四個目標;每個層次都必須從上述方面進行風險管理。企業風險管理是一個過程,企業風險管理的有效性是某一時點的一個狀態或條件。決定一個企業的風險管理是否有效,是基于對風險管理要素設計和執行是否正確的評估基礎上的主觀判斷。企業的風險管理要有效,其設計必須包括所有的要素并得到執行。
(三)我國企業風險管理的規范近年來我國有關部門和很多企業也逐步認識到風險管理對企業經營的重要性,為了指導企業開展全面風險管理工作,進一步提高企業管理水平,增強企業競爭力,促進企業穩步發展,國務院國有資產監督管理委員會2006年6月了《中央企業全面風險管理指引》。該指引指出,全面風險管理是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,從而為實現風險管理的總體目標提供合理保證的過程和方法。財政部、證監會等部門也于2008年5月了《企業內部控制基本規范》。該規范指出,企業應當根據設定的控制目標,全面系統持續地收集相關信息,結合實際情況及時進行風險評估。企業開展風險評估,應當準確識別與實現控制目標相關的內部風險和外部風險,確定相應的風險承受度。企業應當根據風險分析的結果,結合風險承受度,權衡風險與收益,確定風險應對策略。上述指引和規范的將會促進我國企業實施全面風險管理,使管理層能夠有效地應對不確定性以及由此帶來的風險和機會,增強企業創造價值能力。
二、內部審計在企業風險管理中的作用分析
(一)客觀全面的識別風險風險在企業內部具有感染性、傳遞性、不對稱性等特征,即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔,而是會傳遞到其他部門,最終可能使整個企業陷入困境。因此對風險的認識、防范和控制需要從全局考慮,而各業務部門又很難做到這一點。內部審計具有相對的獨立性,受單位主要負責人的直接領導,這就使其可以從全局出發,從客觀的角度對風險進行識別,及時建議管理部門采取措施控制風險。
(二)調控和指導企業的風險策略內部審計部門處于企業董事會、總經理和各職能部門之間的位置,內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期實現的調節,可以調控和指導企業的風險管理策略。
(三)內部審計部門的建議更易引起企業領導的重視一些企業盡管設立了風險管理部門,但不具有獨立性,其意見往往會屈服于管理層的壓力,這使得風險管理部門的作用受到一定程度的限制。而內部審計部門獨立于其他管理部門,其風險評估的意見可以直接向董事會匯報,這樣可以加強管理層對內部審計部門意見的重視程度。
由此可見,內部審計在企業中發揮著重要作用,其更了解企業面臨的風險因素,具有豐富的管理經驗,有利于將內部審計的資源和成果與企業風險控制相結合,并減少企業內部機構的重復設置,參與企業風險管理已成為內部審計人員義不容辭的責任。
三、基于內部審計的企業風險管理
(一)改善風險管理的內部審計工作程序內部審計應以重大風險、重大事件和重大決策、重要管理及業務流程為重點,對風險管理初始信息、風險評估、風險管理策略、關鍵控制活動及風險管理解決方案的實施情況進行監督,采用壓力測試、返回測試、穿行測試以及風險控制自我評估等方法對風險管理的有效性進行檢驗,根據變化情況和存在的缺陷及時加以改進。具體來說,內部審計能夠利用以下工作程序改善企業風險管理:一是檢查與評價。內部審計可以對企業風險管理體系的充分性和有效性進行評估,主要包括:評價企業戰略目標的制定是否在分析組織及行業的發展情況和趨勢、企業的優勢和劣勢、外部的機會和威脅的基礎上結合企業自身風險偏好來制訂;與相關管理層討論部門目標,評估分解到各部門的具體目標是否與企業整體戰略目標一致并擁有足夠的支
持;評價管理層對風險的識別與評估是否適當;分析風險控制措施是否足以使風險失控的可能性和影響在企業風險容忍度之內;評估風險監控程序是否得到持續、有效執行,監控報告及風險管理報告是否充分、及時。二是管理與協調。內部審計經過長期發展已成為一種專門職業。在企業組織架構中,內部審計具有相對獨立性,能夠以客觀開放的視角清醒地識別和評價風險,并提出防范風險的有效建議;內部審計憑借對企業全面深入的了解以及能夠影響決策層的特殊地位,積極參與企業風險體系建設,對風險控制各要素進行組織、管理和協調,推動各個部門乃至整個企業不斷提高風險管理的效率和效果。三是顧問與咨詢。內部審計人員以咨詢顧問身份協助企業確定、評價并實施針對風險進行管理的方法和控制措施:內部審計對組織的了解以及對風險的洞察,具備他人無法企及的優勢,能夠以建議或咨詢的形式,積極協助企業建設風險管理體系或使風險管理體系的建立成為可能;內部審計在改善企業風險管理流程的效果和效率方面,能夠集合企業內外資源,高效地協助管理層或審計委員會進行檢查、評價并提出建議;內部審計能夠運用專業知識進行風險評估與控制培訓,使風險意識貫穿于企業各層面,逐步形成全員、全過程、全方位、全天候的風險管理;內部審計所處地位有助其對企業整體風險進行深入研究,并利用現代技術開發適合本企業的風險識別、評估工具和控制方法。四是報告與防范。內部審計能夠在風險控制和改進組織風險管理成效方面發揮關鍵作用。內部審計通過適時與相關部門就風險管理事項進行溝通,檢查、評價并報告風險管理過程的充分性和有效性,并按清晰傳遞的線路對發現的重大風險進行報告,對整改情況進行后續審計,使風險及時得到有效控制和防范。此外,內部審計在運用技術手段評估風險控制程序的充分性和有效性的同時,能夠利用自身優勢推動風險管理意識成為企業文化的一部分,從而為企業風險防范構筑意識形態上的屏障。
(二)改善風險管理的內部審計評價報告風險管理效果評價是分析、比較已實施的風險管理方法的結果與預期目標的偏離程度,以此來評判風險管理方案的科學性、適應性和收益性。由于風險性質的可變性、人們對風險認識的階段性以及風險管理技術處于不斷完善之中,因此,需要對風險的識別、估測、評價及管理方法進行定期檢查、修正,以保證風險管理方法適應變化了的新情況。所以,可將風險管理視為一個周而復始的管理過程。風險管理效益的大小取決于是否能以最小風險成本取得最大安全保障,同時還要考慮與整體管理目標是否一致以及具體實施的可能性、可操作性和有效性。企業內部審計機構對企業全面風險管理工作進行評價,出具風險管理評估和建議專項報告。內部審計可以通過對以下方面的實施情況和存在缺陷進行評價并提出改善風險管理的評價報告:風險管理基本流程與風險管理策略;企業重大風險、重大事件和重要管理及業務流程的風險管理及內部控制系統的建設;風險管理組織體系與信息系統;全面風險管理總體目標。
(三)改善風險管理的內部審計方法與手段由于風險管理涉及企業各個部門和各個環節,僅靠董事會及有關委員會、最高管理層和風險管理、內部審計等職能部門,難以實現對整個企業面臨的所有風險進行有效管理,因而還必須組織企業內部各級管理層及每個員工協同進行。在此過程中,內部審計人員通過向有關方面反映風險管理的有效做法和負偏差,提出糾正與預防負偏差、激勵與推動優良行為等改進風險管理的建議,可以對有關方面開展風險管理起到一定指引作用。內部審計可以采用以下方法改善風險管理:一是進行風險預測和識別。風險的預測和識別是指對企業所面臨的以及潛在的風險加以判斷、歸類和鑒定風險性質的過程,以確定企業正在或將要面臨哪些風險。內部審計要對企業所面臨的主要風險進行預測和識別,并找出未被識別的風險。采用的方法包括決策分析、可行性分析、因果分析和專家調查法等。二是對已經存在和將要發生的風險進行評估。企業的內部審計人員應用各種管理科學技術,采用定性和定量分析相結合的方式,預測風險的大小,找出主要的風險源,合理的評價風險可能產生的影響,以此為依據提出對風險采取的相應對策。常用的風險評估方法主要有:調查和專家打分法、風險報酬法及解析方法等。三是提出改進和防范風險的措施。風險的防范措施是指企業為降低已識別出的風險可能造成的損失所采取的措施。內部審計可以根據不同的情況,提出避免風險、接受風險、還是降低風險的具體措施和建議,以強化企業的風險管理,降低風險損失,并對有關部門所采取的風險防范措施進行監督和檢查。采用改進和防范的措施主要有:避免風險、損失控制、分離風險單位、轉移風險(包括轉移風險源、簽訂免除責任協議、利用合同中的轉移責任條款)和投保等。四是壓力測試。壓力測試是指在極端情形下,分析評估風險管理模型或內部控制流程的有效性,發現問題,并制定改進措施的方法,目的是防止出現重大損失事件。其具體操作步驟如下:針對某一風險管理模型或內部控制流程,假設可能會發生哪些極端情形。極端情形是指在非正常情況下,發生概率很小,且一旦發生,后果十分嚴重的事件。假設極端情形時,不僅要考慮本企業或與本企業類似的其他企業出現過的歷史教訓,還要考慮歷史上不曾出現,但將來可能會出現的事件;評估極端情形發生時,該風險管理模型或內部控制流程是否有效,并分析對目標可能造成的損失;制定相應措施,進一步修改和完善風險管理模型或內部控制流程。內部審計還可以通過與外部咨詢機構合作以補充內部審計技能的不足;為了對企業所面臨的各種風險作出反映,優化內部審計人員組合,吸收市場專家、計算機專家、管理顧問、工程師等多種專業人才加入內部審計隊伍;通過網絡溝通信息、調閱資料;內部審計人員與各經營單位的負責人建立一對一的合作伙伴關系;內部審計部門為下屬經營單位指派“教練”,由經營單位負起全面的風險管理責任,而內部審計部門則扮演平等的顧問角色,其作用主要在于指導和影響;內部審計與風險管理部門合署辦公,以促進企業風險管理的不斷改進;內部審計人員事前積極參與重大決策的風險評估過程,以便在業務開展前識別風險并提出解決方案。
四、企業風險管理中內部審計的對策
(一)健全和完善內部審計制度要強化對企業全面風險管理的有效性審計,必須建立健全完善的內部審計組織體系,設置獨立的內部審計部門,并根據國家有關的法律法規、中國內部審計協會頒布的內部審計準則和企業發展現狀,制定內部審計規范和制度。內部審計人員在企業中應努力取得單位決策層的支持,不斷提高自身的業務素質,提高識別風險的能力,以此擴展內部審計工作,使內部審計更具生命力。
(二)充分發揮內部審計機構的再監督職能風險管理是企業經營管理的重要組成部分,對企業風險管理的有效性開展內部審計,是新形勢下企業生存與發展的客觀需要,也是董事會及其審計委員會和最高管理層的內在要求。如果將“監督評審”職能視為全面風險管理“寶塔”上的最高級部分,那么內部審計工作就應處于全面風險管理寶塔的尖頂部位。所謂“再監督”就是在各經營管理部門和財務部門兩道防線之后的第三道防線。內部審計部門的獨立性和應有的權威性,加上其組織系統的垂直性,賦予了該部門行使對內部控制進行再監督和再評價的特殊重要職能。這種重要性主要表現在內部審計人員在嚴密計劃和組織下,能夠獨立按照審計委員會的要求,有選擇地對全面風險管理的各個方面行使其檢查職能,并能夠將檢查評價結果直接反映到高級管理層,且有權督促內部審計監察建議的落實。為強化內部審計部門的監督職能,許多上市公司都成立了獨立于經營管理活動之外的審計委員會。
[關鍵詞]財務管理專業;保險學教學改革;教學目標
財務管理專業保險學的教學目標是培養具有現代保險意識、能夠運用現代保險技術、掌握現代風險管理理念的財務管理人才。財務管理專業保險學教學應當緊密結合財務管理人才對保險知識和能力的要求進行科學設計,但目前保險學的教學單純考慮自身的內容體系比較重,而與有針對性的教學還存在相當大的差距,因此,高等院校財務管理專業加強保險學教學改革研究非常必要。
一、科學優化教學內容,建立與財務管理專業相匹配的保險學知識體系
財務管理專業保險學課程應當在遵循保險學自身知識結構的基礎上,科學優化教學內容,建立與之相匹配的知識體系,充分滿足財務管理人才對保險知識的需求。
(一)風險管理是財務管理專業保險學知識體系的基礎內容
風險管理是研究風險發生規律和風險控制技術的一門新興管理科學。保險是風險管理最重要的技術手段,是企業或個人把自身的風險以交納保險費為代價。將風險轉嫁給保險人承擔,當發生保險風險損失時,保險人按照合同約定進行經濟補償。保險雖然僅僅作為整個風險管理過程中財務管理手段之一,卻表現出極大的社會保障功能,得到廣泛應用。
風險管理是財務管理專業保險學研究的重要基礎內容。企業風險管理整合框架下非投機風險的發生發展規律、類型、本質特征、成本的形成和度量、風險管理理論、風險管理的基本程序和方法、風險管理與保險的關系等都應當作為教學的重點,使學生深入理僻風險管理的內涵,充分認識通過保險轉移企業風險的重要意義。
(二)保險基礎理論是財務管理專業保險學知識體系的核心內容
科學的理論是人們認識和指導實踐的重要基礎。在財務管理專業保險學知識體系中,加強保險基礎理論的內容設計,對學生科學指導企業風險防范,提高風險管理中保險的綜合運用能力和理論分析水平產生重要的影響。
保險理論隨著保險實踐的不斷深入而逐步形成并得到快速發展,對經濟產生了巨大的推進作用。作為財務管理專業學生必須掌握保險經濟學原理、保險功能理論、風險防范理論,掌握保險合同的法律規范要求,掌握保險運行的基本原則、應用范圍及法律后果。達到能夠運用保險理論與技術指導企業的風險管理行為。解決企業在保險合同訂立、履行過程中發生的一系列復雜的業務及法律問題,保護企業的合法權益。保險基礎理論是財務管理專業保險學課程的核心內容。
(三)商業保險是財務管理專業保險學知識體系的主干內容
商業保險作為風險管理的重要平臺,對保持經濟繁榮與健康發展、企業災后重建、維持企業持續經營、保障員工福利等方面發揮著無可替代的作用。
企業在生產經營中,所面臨的財產風險、責任風險、信用風險等已經成為束縛企業發展的重要因素。企業通過制定保險計劃,購買各類企業財產保險產品,實現對風險的有效管理。可以通過制定企業年金計劃,為員工的生命、健康、意外傷害提供更高層次的人身保障,增強企業的凝聚力,促進優質人力資源的穩定。因此,商業保險是財務管理專業保險學課程的重點和主干。
通過商業保險知識的學習使學生比較系統地了解和掌握各類商業保險的產品特點,能夠根據企業生產與財務狀況,在企業風險評估基礎上科學制定保險計劃。選擇優質的保險產品和保險公司,提高企業風險管理和財務管理水平。
(四)社會保險是財務管理專業保險學知識體系的重要內容
在企業運行中,存在著員工退休養老、醫療費開支、勞動力流動而產生的失業等風險,這些風險只能通過社會保險來解決。社會保險制度是建立現代企業制度的需要,可以改變勞動力對企業的依附關系,使企業在市場競爭中地位平等。
社會保險與商業保險同屬于社會保障范疇,具有相同的業務和數理技術基礎,都是社會安全機制的重要組成部分。通過學習使學生了解社會保險對企業發展的積極影響。明確企業員工所享有的社會保險的權利和應盡的法律義務,企業應該如何遵守社會保險的法律規范,保證員工社會福利待遇的實現。社會保險是財務管理專業保險學知識體系的重要內容。
(五)保險企業經營與監管是財務管理專業保險學知識體系不可缺少的內容
保險經營具有負債性,保險產品是無形產品。財務管理人員在實施企業風險保險轉移、制定員工福利計劃時,必須了解保險企業的經營狀況,了解保險企業臺前幕后的各項業務及程序,了解國家如何對保險企業進行監督與管理。只有這樣,才能保證企業通過保險途徑管理風險的效果。提高運用保險手段管理風險的水平。所以,保險企業經營與監管是財務管理專業保險學知識體系不可缺少的內容。
二、積極強化能力培養,提高財務管理專業保險學的教學效果
掌握和運用保險知識。分析與解決財務管理中出現的風險管理問題,提高財務管理的綜合能力,是財務管理專業保險學課程始終如一的教學目標,因此,能力培養在保險學教學中非常重要。
(一)通過保險案例教學強化能力培養
財務管理專業保險學教學應該以案例教學為先導,綜合運用保險、法律及財務管理專業知識,正確處理企業風險管理中出現的各種保險問題。例如。美國“9.11”恐怖風險與保險分析、達姆達輪火災案、大連國際合作集團公司索賠案等。這些案例具有一定的代表性,涉及的法律問題比較復雜,通過解析讓學生明晰法律規范,提高對保險知識的理解,加強專業知識的深化。提高分析與解決問題的能力,面對企業風險管理中錯綜復雜的保險法律案件能夠找到解決的途徑與方法。
案例教學能夠極大地激發學生的參與意識。對于提高學生的理解能力、思維能力和表達能力具有良好的效果。財務管理專業保險學案例教學要強調案例的真實性、典型性,啟發學生從不同角度提出解決方案。找到理論依據。
(二)通過社會調查強化能力培養
社會調查是將社會關注的某一具體問題,通過讓學生直接進入社會調查研究得出結論的教學方法。學生在收集信息、設計方案、實施方案、完成任務中學習和掌握知識,使能力得到提高。
財務管理專業保險學課程主要是為了處理企業靜態財務風險,加強企業風險管理。提高保險意識而設置。在確定社會調查項目時,要緊密結合企業風險管理的實際情況,針對學生的興趣及程度進行選擇。例如。在風險管理、財產保險、團體人身保險、社會保險等教學中,可以確立一些社會調查項目,學生根據自己的興趣選擇其中的一項或幾項,如某企業保險情況調查、某企業保險方案策劃、某企業員工福利策劃等。在調查中深入企業,對有效資料進行科學分析,寫出調查報告。根據學生的表現、調查報告的質量給出考核評價。
(三)通過實踐教學強化能力培養
實踐教學的核心是學生根據所學的理論和方法進行具體操作,發現問題與解決問題。通過實踐教學,達到學以致用的同化,鞏固所掌握的知識,提高能力的轉化率。
在企業財產保險、責任保險、工程保險等實務教學中,實踐教學將收到顯著的教學效果。首先。設定一個目標企業,學生可以到企業了解生產及財務狀況、風險管理情況,排查企業風險隱患,制定企業風險防范與保險計劃,企業辦理投保事項。其次,模擬企業發生保險事故,學生代表企業向保險公司申請索賠,參加損失鑒定,理算保險賠款。再次,選擇企業保險實務訴訟案例,建立模擬保險法庭,模擬代表企業參加法律訴訟。要充分利用校內外實習資源,采用模擬實訓和現場實習相結合、輔以比賽等多種教學形式。使學生能夠將所學的保險學知識運用到企業風險管理之中,達到強化能力培養的目的。
(四)改革考核評價方法強化能力培養
為了保證財務管理專業保險學課程的教學質量必須設計與保險學教學目標相匹配的、信度和效度較高的、易于操作的考核評價方法。
財務管理專業對學生的能力水平要求較高,保險學課程的教學考核評價要緊緊抓住能力培養這個關鍵要素。可以采用多種形式,如在一定筆試基礎考核外,增加企業保險案例分析、企業保險調查報告、企業投保索賠業務技能模擬操作等能力考核項目,加大平時成績比例。變一次性、終結性考試為全過程考核,減少學習的功利性,有效完成財務管理專業保險學課程的教學目標。
三、高度重視教學研究,提高財務管理專業保險學的教學水平
財務管理專業保險學課程應該高度重視教學研究。充分考慮財務管理專業人才的知識結構和能力需要,全面提高教學質量。
(一)注重綜合性教學研究
財務管理專業的課程體系比較寬泛,學生的知識面廣、發散性思維強。在保險學教學研究中,應當積極探索如何發揮學生的知識儲備優勢,注重經濟學、金融學、管理學、法學、自然科學等多學科的融合。
例如,在解釋保險概念時,可以從經濟學、法學、管理學的不同角度進行闡述,從保險的自然屬性和社會屬性的表現特征。揭示保險經濟現象內在的規律性與矛盾的特殊性及與其他經濟現象的普遍聯系。在介紹損失補償原則時,可以鎖定某個目標企業,從風險管理、財務管理、法律規范等角度去分析損失補償原則的內涵與財務效果,也可以進行計量和博弈分析等。通過多視角提高學生對教學內容的理解力。
關鍵詞:金融企業;風險管理
一、金融企業風險特征
1.造成損失的原因不同。自然災害或者是認為因素導致的傷害就是可保風險導致金融風險的就是經濟性的原因造成的,主要就是金融市場的基本要素的價格引起的變動,比如,匯率、利率、證券價格都會有一定的影響存在,風險是“正”或者“負”的結果都是由可能的,市場金融行情發生了對自己沒有好處的變動,就是“負”,相反而言,對自己會產生不好的影響就是“正”,其會使風險偏好者得以獲利。
2.規避風險的途徑不同。一般選用企業投保和保險公司承保的方式進行的就是可保風險,可保風險也是發達的保險市場所要經歷的;利用復雜多樣、本身充滿投機和風險的衍生金融工具通過套期保值的市場交易方式,就是金融風險的規避。但是,有很少一部分的險種已經發展到可以在這樣兩種市場中兼顧,能以衍生金融工具對可保風險進行管理,從而實現了風險管理的跨市。
二、金融企業風險管理缺陷
我國金融企業在風險管理方面還存在很多不足,此次全球性金融危機,迫使我國金融企業必須重新審視自己的風險管理。總體而言,目前我國金融企業在風險管理方面還存在以下缺陷:
1.在完善市場風險管理體系在缺乏全面風險管理體系國內金融企業中已經有了很多年的摸索,但是現在對于全面有效的風險管理體系和框架還是沒有建立起來,有不同的部門同時做風險管理工作,以風險的單一性控制為主,沒有對所有的風險進行覆蓋。在現狀我們呢個了解到,董事會、風險管理委員會、資產負債管理委員會等等風險管理決策系統,金融企業基本上都已經建立起來,基本上以稽核委員會為主,風險管理的實施部門以授信部門和風險資產管理部門為主,這就是風險管理的監督系統。
2.風險戰略目標不夠明確。當前,我國對于金融企業風險的戰略還不是太明確,和業務戰略結合也不是很緊密,組合管理的起步也比較晚。現在又很大一部分大中型的中資銀行都對本行的戰略做出了很明確的長景,但是對于現在正在經歷的戰略風險的認識還是不夠充分,對于規劃也不是很清晰。業務風險的管理往往是金融企業最注重的,但是對于長期戰略風險的管理卻忽視了,這樣的行為會使金融企業的在風險管理中也往往不能夠有預見性,也不能做到防患于未然。
3.風險管理技術比較陳舊。現在我國在對于經濟資本的計量和分配還是處于金融企業的探索階段,還需要對現有的計量手段、會計和信息系統進行改進。很長時間以來,針對于風險管理的方面我國金融業較為重視其定性分析,比如在信用風險管理中,對貸款投向的政策性、合法性、貸款運行的安全性等方面較為重視,在對風險管理的強化之中這些分析的方法都是不可或缺的。但是,和國外風險管理的方法相比較,還是缺少風險管理量化分析手段,在風險識別、度量等方面還很不精確。
三、金融企業風險管理體系構建
依據金融企業在風險管理上的不足之處,對于現行的企業內部控制制度的出臺金融企業應該要抓住其機遇,在對企業內部控制構建的同時,要對資本運營風險防范體系和財務分析制度進行完善,對于風險管理要建立并且要全面的實施,要對各類風險的防范要進行切實的加強。可以從以下兩個方面具體進行實施:
1.健全內部控制制度具體包括:一是對內部風險評估和檢測制度的建立,提供了對內部控制的建立和完善的支持。在對業務的開展之前,對于每一筆貸款、拆借、投資、外匯交易以及涉及不同的業務范圍的交易對象、部門、行業、地區和國家,都應該對風險指標或比率要首先進行測定,為業務部門提交作為決策參考。要對風險狀況在業務發生以后進行跟蹤監測。二是要對內部審監督進行強化,對內部控制機制進行建立。內部審計制度在銀行內部控制中起著很重要的作用,支撐銀行內部控制作用的發揮,前提和保證就是內部審計制度,所以要強化內部控制制度是很有必要的。要對組織體制上的獨立性的建立,要在審計工作開展上具有權威性,就要通過改革來進行,是總行一級法人并且對其負責的審計監督體制是直接隸屬的。與此同時,要在很短的時間內,建立起一支政治素質高、業務能力強的干部隊伍,對業務人員要配備充足,以便對內部審計工作不斷發展和加強的需要有所適應。
2.在對風險管理體系的構建中,要進行全面的監測、跟蹤很多分散的、動態的信息組合起來進行,全面風險管理體系的一項重要功能就是向金融企業提供決策依據。有嚴格的崗位分工和明確的工作職責,以達到內控所需要的雙重控制和交叉檢查效果。把風險防范作為內部稽核工作的主要目標,實行風險評級制度,逐步提高內部稽核工作的層次和效率。
關鍵詞:風險管理;內部控制;機制
中圖分類號:F23
文獻標識碼:A
文章編號:1672-3198(2010)04-0167-02
1 風險管理的演進歷史及現狀
風險管理是采取一定的措施對風險進行檢測評估, 使風險降低到可以接受的程度, 并將其控制在某一可以接受的水平上。從職能上說, 風險管理就是在對風險進行觀察、評估的基礎上控制風險可能造成的損失, 保證組織目標的實現。對風險管理的定義可以理解為: 一是風險管理是一個系統過程, 包括風險的識別、衡量和控制等環節; 二是風險管理的目標在于控制和減少損失, 提高有關單位或個人的經濟利益或社會效果; 三是風險管理是一種管理方法。
風險管理作為企業的一項管理活動,產生于 20 世紀 50 年代的美國, 當時美國一些大公司發生的重大損失使公司的高層決策者開始認識到風險管理的重要性。在那時, 風險管理是企業管理的一個重要組成部分, 主要涉及的是對企業純粹風險的管理。這一特征是和那時企業經營環境相對簡單, 因而純粹風險給企業經營帶來的影響最為嚴重以及通過保險手段可以對純粹風險進行有效管理是密切相關的。
20世紀80年代后, 企業的經營環境開始發生了巨大變化, 以價格風險、利率風險、匯率風險等為代表的財務風險開始給企業帶來巨大的威脅, 使得企業開始尋求規避財務風險的工具。但企業在這方面的努力僅限于一些孤立的實踐活動, 并沒有形成完整的理論和方法體系。反而在金融機構中, 由于所經營的金融產品帶來的各種風險加劇, 逐步形成了針對金融機構的相對完整而系統的金融風險管理體系, 其針對的對象和內容都與傳統風險管理有很大不同。
到 20 世紀末, 隨著大型企業特別是巨型跨國公司面臨的風險管理日趨多樣和復雜, 開始出現了將企業的所有風險, 包括純粹風險和財務風險綜合起來進行管理的需要。這種需求使得在歷史上不同時期, 并沿著兩條不同軌跡發展起來的傳統風險管理和金融財務風險管理終于結合在一起, 形成一個嶄新的概念――全面風險管理。
全面風險管理是指企業圍繞總體經營目標, 通過在企業管理的各個環節和經營過程中執行風險管理的基本流程, 培育良好的風險管理文化, 建立健全全面風險管理體系, 包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統, 從而為實現風險管理的總體目標提供合理保證的過程和方法。
2 構建我國企業全面風險管理整體框架
2.1 我國全面風險管理現狀與發展趨勢
目前,我國為數眾多的企業中的全面風險管理基本是一種被動式的管理,沒有專門的人員或機構進行企業風險管理活動,每個人或部門往往只針對工作中的風險孤立地采取一定對策,缺乏系統性、全局性。
筆者認為,要建立企業全面風險管理體系,首先要樹立風險意識,轉變觀念,提高認識,使企業中每個部門每個員工都理解企業全面風險管理的價值,協調全面風險管理目標和政策,把全面風險管理融入日常的企業管理中,使風險管理成為人們一項日常的管理行為。
隨著知識經濟發展程度的加深,受其影響,現代企業全面風險管理體系從指導思想到具體制度建設上,出現了以下四個方面的發展趨勢:一是由著眼于控制向關注環境轉變;二是由回顧歷史向著眼于未來轉變;三是以零起點的風險預測取代評價;四是由關注經營風險向關注戰略風險轉變。
企業需要經過一個循序漸進、不斷完善的過程,從最初的簡單風險管理達到全面風險管理的高階段。全面風險管理將風險管理視為企業追尋機遇過程中一個合理有序的流程,將商務風險管理行為與戰略管理、業務計劃制定過程結合在一起,使用一種復雜的、高度透明的、持之以恒的方法將戰略、過程、人員、技術和知識聯結在一起,以實現使整個企業的風險、收益、增長與資本得到充分優化的目的。
2.2 企業全面風險管理整體框架的構建
目前我國企業全面風險管理還處于起步階段,還未形成成熟的理念和管理工具,受制于發展現狀,還需要一個有序不斷地改進過程。在構建中要先抓住關鍵要素,努力以最小的成本達到最大的安全保障,這些關鍵要素包括以下四個方面。
(1)明確企業全面風險管理目標,建立有效的監督體系。
企業全面風險管理整體框架是建立在明確的企業監督框架和適當的人員責任分配基礎之上的,其目標是使風險成為企業文化的內在有機組成部分。企業全面風險管理一定要與企業的技術及戰略管理相結合,要在全企業范圍內明確宣布風險目標和計劃,并將其與企業業務、戰略及業績目標結合起來,建立一個由全企業層次集體支持的風險管理過程。
(2)營造企業全面風險管理的文化氛圍,推進風險管理的實踐。
企業全面風險管理框架是建立在內部環境的基礎之上,內部環境直接影響和制約企業全面風險管理的成敗。內部環境的要素包括員工的誠信,職業道德和工作勝任能力,管理層的經營理念和經營風格,董事會或審計委員會的監管和指導力度,企業的權責力分配方法和人力資源政策。要不斷提高企業全面風險管理能力,需要一套企業層面的方法。這種企業層面的方法是由企業的組織結構,文化理念和經營管理哲學共同決定的。隨著企業文化中風險敏感程度的提高,企業管理者會進一步掌握有效的風險管理能力。通過他們的推進、提供報告、貫徹相應的方法、構建適當的體系,以實施既定的風險戰略和政策,企業全面風險管理水平將不斷提高。
(3)構建獨立的企業全面風險管理體系。
為了確保企業全面風險管理活動被很好地理解和執行,企業首要的任務就是建立一個全面風險管理組織結構。這個結構劃分為兩個層次:一是高級管理層(董事會)。它承擔全面風險管理的最終責任。這種責任要求高級管理層對本企業的產品、業務過程和相關風險有全面了解。其下面設全面風險管理委員會,負責全面風險管理實施過程中的授權和日常決策工作,向董事會提交獨立風險報告,它直接對董事會負責。二是建立獨立的全面風險管理職能部門。其任務是輔助高級管理層完成其風險管理責任。主要負責評估和監控企業整體的風險情況,并及時向風險管理委員會報告,提出針對風險來源的具體管理辦法,制定本企業全面風險管理的各項制度,策劃全面風險管理的各項工作,提出全面風險管理的改進方法,建立有效的事后補救機制等。基層所屬單位應改變管理模式,在矩陣式管理的基礎上實現管理過程的扁平化,使風險管理橫向延伸,縱向管理。
(4)建立健全風險識別、評估體系。
要評估風險首先要識別風險,收集分析并綜合處理相關的內部及外部數據為企業提供可靠、及時的風險管理信息。我們可借鑒國際先進經驗并運用現代科技手段,通過風險組織流程,風險計量模型、風險數據庫、風險管理信息系統等手段,采用列出事項目錄、進行內部分析、推進式的研討與訪談、過程流動分析、損失事項數據方法等技術,識別、分析、度量風險與機遇持續過程。建立科學的評估方法,組建一套統一完整的管理工具和風險管理的共同語言,幫助管理層更好地關注,選擇應對風險的措施。這種風險評估體系一旦發展起來并投入實施,就逐步走向了企業風險管理。
3 構建體現全面風險管理的內部控制新機制
3.1 構建具有本企業特色創新風險管理理念
將全面風險管理作為企業文化的一部分,是一個全新的概念。這一概念的提出到最終確立為企業文化還需要一個過程,需要全體員工在全面風險管理理念下的共同努力。因此,要多學習和借鑒其他企業風險管理的技術和經驗,積極探索適合本企業的內部控制管理新方法,只有這樣,全面風險管理的理念才能真正融入到實際工作中,創造一種優良的風險管理文化,改善內部環境,全面風險管理體系才能得到發展。
3.2 構建切合實際的內部控制評價機制
傳統模式下,由于缺乏統一的風險管理決策,各職能部門成為風險管理的權威,崗位管理職責的長期穩定成為保證權威的第一要義,嚴重缺乏對各項崗位職責的主動跟蹤評價系統,往往是出了事故才來修補。作為崗位職責監督者的稽核部門也只是“例行檢查”。因此,企業應根據自身的實際情況,通過確定風險控制環節,落實各部門的崗位管理職責,并對各部門的控制狀況進行定期檢查、評價和考核,強化風險管理責任,提高全員風險防范的意識和能力,從而有效地推進全面風險管理,實現從風險部門的防范轉向全企業、全員防范,將內部控制管理由個人行為提升到企業的整體行為,使企業的內控管理水平不斷提高。
3.3 構建全新的內部控制組織體系原則
一是全面風險管理原則。實施全面風險管理的關鍵在于構建完善的內部控制系統,但目前,企業內部控制體系與全面風險的要求還存在較大的差距。內部控制要遵循全面風險管理的原則,即:(1)全員管理原則,實現對全體員工強化風險意識,做到“橫到邊、縱到底”,將風險意識,印在腦海里,落實在行動上;(2)全過程管理原則,對企業的發展、業務操作的全過程實行風險控制;(3)全方位風險管理原則,不但要包括業務風險,還要包括投資風險、信用風險、合同風險等。
二是分層管理原則。即將風險管理的決策、管理、操作職能分別賦予不同層次的機構,形成金字塔型的組織架構。三是風險管理關口前移原則。將風險的日常監控職能直接設置到業務經營部門內,使風險管理更貼近市場,有利于及時發現風險、控制風險,體現風險管理與業務管理平行作業的特征。
四是協調與效率原則。要保證部門之間權責劃分明確、清晰,便于操作;保證部門之間的信息溝通方便、快捷,準確無誤,保證企業經營管理系統的高效運作。
3.4 構建符合內控要求的業務管理新制度
傳統分散風險管理模式下,為了保證各項業務的順利開展和防范各類風險,各職能部門制定了大量的所謂“全面”的制度。但很多制度剛一制定出來,就失去了實際意義,成為了墻上貼的制度和書本上寫著的制度,制度運行的有效性較差。究其原因,最主要是制度的制定缺乏系統科學的規劃。因此,要在符合內部控制要求的前提下,全面梳理現有規章制度,進一步完善供銷業務、財會業務、中間業務等各項業務的管理制度,整合各項業務操作環節,建立起面向企業、覆蓋所有業務品種和涉及業務全過程的內控管理體系,實現業務發展和風險管理的同步。基層單位要加強對規章制度執行和風險控制情況的自查,形成定期檢查的長效制度。內審部門要充分發揮審計的幫促作用,促使企業逐步建立起業務管理服從規章制度、業務考核服從統一標準的管理新制度。
參考文獻
[1]許謹良,周江雄.風險管理[M].北京:中國金融出版社,1998.
[2]閻達五,楊有紅.內部控制框架的構建[J].會計研究,2001,(2).
