发布时间:2023-09-26 09:33:37
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业风险与风险管理,期待它们能激发您的灵感。
企业经营环境的不断变化,在成长发展和经营管理过程中的种种不适应都可能导致企业风险的发生。因此。企业必须根据自身特点、不同时期风险的不同状态,抓住重要环节和主要风险。围绕总体经营目标推行企业风险管理。同时,企业面临的风险不断增多,组织机构的重整愈加频繁。对内部审计在参与风险管理、完善治理结构以及加强内部控制等方面的需求也日益高涨。内部审计部门顺应时势,在越来越多的领域发挥着积极的审查、评价和促进作用,工作目标从过去的查错纠弊变为主动地帮助企业增加价值。此时,风险导向内部审计概念的提出满足了现代企业对内部审计在风险管理、内部控制和公司治理方面的更高要求。而在风险管理实践中,一个机构健全的企业除设置内部审计部门外,往往还专门组建了一个由风险管理专业人员构成的部门,即风险管理职能部门。由于内部审计部门和风险管理职能部门都要关注企业所面临的风险,却又在企业推行风险管理实践中扮演不同的角色,故两部门在开展各自业务时工作职责虽有不同,但必然会有一定的交叉和联系。文章首先对风险导向内部审计在企业风险管理中的作用进行剖析,在此基础上,就内部审计部门在开展风险导向审计业务时如何与风险管理职能部门进行协调与联系进行探讨。
一、风险导向内部审计和企业风险管理的概念
风险导向审计是把风险为导向的思想运用到内部审计领域,即内部审计人员在审计全过程中自始至终地关注风险,根据风险大小选择项目,以降低风险为导向,开展内部控制制度的符合性测试、实质性测试,并进行监督检查和评价,最终提出建设性意见和建议的审计方法。
而在企业风险管理方面,根据2004年9月颁布的ERM框架,“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”
二、实务中风险导向内部审计与企业风险管理的联系
风险导向内部审计既是基于降低内部审计人员的审计风险,同时又是为了降低企业经营风险、进行风险管理的一种有效工具。而企业开展风险管理目的也是全面识别企业风险并及时采取有效控制手段。两者有着十分紧密的联系,下面首先理清风险导向内部审计在企业风险管理中的作用。
(一)帮助企业直接有效地防范与规避风险
风险导向内部审计立足于对审计风险进行系统的分析和评价,并以此作为出发点,制定审计策略和与企业状况相适应的多样化审计计划,将风险考虑贯穿于整个审计过程。在风险导向内部审计实施过程中,内部审计人员首先对企业的经营战略进行分析。确定战略风险和重大交易;之后通过定量和定性结合的方法,进而评价企业风险管理中风险衡量的准确性:最后通过专门程序,审查企业职能部门采取的措施是否已将风险控制在可接受的范围内。对于不同类型的风险,向决策层建议采取风险回避、风险转移、风险降低等不同的策略和措施,从而帮助企业直接有效规避和防范风险。
(二)促进企业不断完善风险管理制度
风险导向内部审计是一种系统、规范的方法,对企业的风险管理体系及其运作进行监督和评价。通过定量与定性相结合的方法,就改进管理控制风险向决策层提出具体可行的建议和措施,并对企业生产、经营、管理的体制和机制提出调整,将这些建议和措施系统化、规范化,最终形成企业新的规章制度,进而周而复始地循环,使企业风险管理制度不断完善。
(三)为企业强化和规范风险管理运行机制提供重要支持
风险导向内部审计是企业风险管理运行机制的重要一环。一方面,风险导向内部审计的特定内容和方法有助于全面地识别风险,强化和规范企业风险管理。另一方面,风险导向内部审计关注会计报告的重大错报风险,对企业所处的宏观经济社会环境和行业环境、企业战略目标进行深入地了解和综合评估,落实实质性测试的范围和重点,这些都为企业强化和规范风险管理运行机制提供了重要的支持。
企业风险管理职能部门的主要责任是对整个风险管理过程进行认定,并评价其充分性与有效性,向管理层报告并提出管理建议,以此来保证风险管理的有效性。反过来,内部审计也是内部控制或者整个风险管理过程中不可或缺的重要组成部分。它既是内部控制的一种特殊形式,也是实现内部控制目标的重要手段。现实中的一些企业,董事会往往下设审计委员会、风险管理委员会,企业内部审计部门对审计委员会负责,风险管理职能部门对风险管理委员会负责。企业其他职能部门及各业务单位在全面风险管理工作中,同时接受风险管理职能部门和内部审计部门的组织、协调、指导和监督。
企业的风险管理职能部门所开展的风险管理实践可简要概括为四个步骤:第一步是风险识别;第二步是风险评估;第三步是风险应对;第四步是风险监察。而内部审计部门在开展风险导向审计业务时,相应的也要经过风险识别、评估、应对和监察阶段。其联系如图1所示。下面就各个阶段分别论述两部门的内在联系。
1 风险识别与评估阶段
根据ERM框架要求,企业风险管理职能部门在风险管理工作中,首先要识别出所有可能发生并对企业目标实现产生不利影响的重要情况;之后对风险发生的可能性及相对重大程度进行评估。而内部审计部门在开展风险导向内部审计业务时,首先要实施风险评估程序,通过分析性程序初步确定企业的风险,建立风险评估框架,对重要性做出初步判断并编制出整个审计计划;之后根据量化的风险水平确定审计项目的优先顺序,合理分配内部审计资源,目的是将有限的资源集中于高风险的领域,找出风险存在的根本原因,以寻求最好的解决方案。因此,内部审计人员为减少工作冗余,避免工作重复,可以先对风险管理职能部门的风险识别与评估报告的有效性和充分性进行审查和评价,并结合自身工作特点,有选择地加以利用。
2 风险应对阶段
在经过对企业风险的识别和评估后,企业风险管理职能部门都要对风险与收益进行权衡。当风险超出了企业的风险偏好,企业不能接受且无法经济有效地加以抑制,则须放弃该项目或计划,
从而避免风险带来的负面影响。对于大部分风险,需要企业采取一定的行动,转移或分散风险,以达到企业可接受的水平。为此。企业风险管理职能部门需要对风险进行控制。即将不可接受的“固有风险转化为可接受的“剩余风险”。而在内部审计部门开展风险导向内部审计业务时,内部审计人员通常要根据风险评估结果,设计与评估的重大错报风险相关联的、进一步的审计程序,开展控制测试与实质性测试,评估控制活动的有效性,使风险得以管理。由此可见,两部门都要在识别与评估风险之后,对重大风险及时做出回应,只是关注点和工作任务有所不同。风险管理职能部门需要根据企业总体目标,衡量风险的成本与收益,运用风险管理方法针对已评估的关键性风险予以控制。而风险导向内部审计要求内部审计人员运用审计抽样等技术,更加关注内部控制的测试与各个交易循环的实质性测试。
3 风险监察阶段
企业的生存发展是处在一个不断变化的竞争环境中的,故其所面临的风险也会不断变化,随时可能会有新的风险出现,也可能预期的风险会消失。根据ERM框架,风险管理职能部门要对风险进行监察,并根据风险变化情况及时采取相应策略进行风险管理。而在开展风险导向审计业务时,出具最终审计报告之后,内部审计人员还要进行后续的风险监控。一是为检查风险管理的效果,通常要开展跟踪审计活动,对需要管理层或风险管理职能部门马上采取纠正措施的事项进行适当的监督,以保证实现业务目标。降低组织风险;二是要对审计业务开始时所进行的风险评估结果持续关注,根据企业不断变化的内、外部环境随时进行调整,以帮助日后制定审计计划,确定审计重点。可见,两部门在风险监察阶段,都要对企业所面临的风险进行不断地监督。在实务操作中,两部门可以针对各自的工作侧重点,相互配合,紧密合作。
三、实务中风险导向审计业务与企业风险管理的协调
通过分析实务中内部审计部门在开展风险导向内部审计业务时与企业风险管理职能部门的联系,可知,无论是风险导向内部审计业务,还是风险管理部门进行风险管理实践,其根本目标都是为降低企业风险,维护企业利益,为企业的总体战略目标而服务。因此,内部审计部门在开展风险导向审计业务时需注意与风险管理职能部门及时协调、相互配合,最终形成合力,共同为企业服务。
(一)加强部门间合作,有效减少工作冗余
风险导向内部审计之所以要将审计资源集中于高风险的审计领域,对高风险点进行详细的实质性测试,原因在于审计资源是有限的,必须要将其优先使用在高风险领域,这也是它的本质要求。而企业风险管理职能部门的主要职责就是识别企业所面临的各种风险,并运用不同的风险管理策略开展风险控制活动,故内部审计部门在开展风险导向审计业务时,应充分考虑与风险管理部门的合作,积极应用风险管理部门的工作成果和专业意见,注意与其协调。以提高审计业务工作效率、完善审计工作成果。例如,风险管理部门每年组织开展的风险识别和评估可以帮助管理层识别想要实现组织目标所应关注的领域,在开展风险导向审计时,可以对此类信息有选择地加以利用,从而确认高风险领域,进而确定审计重点。此外,风险导向内部审计和企业风险管理根本目标都是要将企业所面临的风险降到最低,维护企业合法利益,故在很多时候,对某些重大风险领域,部门间应加强合作、联合调查。内部审计部门根据风险管理部门提供的风险评估报告进行进一步地分析复核,通过采取控制测试和实质性测试等程序来最终确定风险大小以及所带来的损失;之后。风险管理部门再根据内部审计部门最终出具的审计报告针对风险因素采取相应的措施。这样可以更加有针对性地对风险进行控制,从而将其降低到企业可接受的水平。
(二)要注意结合本部门工作特点对所取得的资料进行分析复核
虽然已经说明内部审计部门在开展风险导向内部审计业务时可以积极应用风险管理职能部门的专业成果,如其每年的风险评估报告,但必须强调的是,内部审计部门在应用其工作成果时必须要对其进行分析复核。对资料有选择地使用。因为风险导向内部审计最本质的要求是内部审计人员对企业的高风险领域进行识别和分析,进而采取有效的控制,而企业的风险多种多样,且随时随刻变化,风险管理职能部门有时难免由于某些原因导致其未能准确地识别企业的某一高风险点。这时如果内部审计部门在开展风险导向审计业务时也没有对其关注,即企业的风险识别出现了“盲点”,则很可能对企业的发展产生极大的冲击。这样,内部审计部门所开展的风险导向审计业务也就没能充分发挥其审计监督的作用。因此,在开展风险导向审计业务时,提倡借鉴风险导向职能部门的工作成果,减少工作冗余,但内部审计人员一定要对其工作成果进行再审查、再评估。
(三)分清职责,到位不越位
首先需要认清风险管理是管理层一项主要职责,通常由企业的风险管理职能部门具体负责实施,而对组织的风险管理过程进行评估和报告才是内部审计部门的工作内容。在企业风险管理框架下,内部审计是对风险管理的再管理,即内部审计人员并不参与风险管理的建立和运行过程,而是在企业已有风险管理的基础上实施再监督,以促进风险管理过程的建立健全或使风险管理的有效性成为可能,但是。不应该“拥有”已确认的风险或负责对这些风险的管理。风险管理的建立和运行过程应由管理层下设置的风险管理部具体负责,而内部审计在这一框架中应作为“监控活动”的角色而存在。此外,IIA在2004年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证。以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此,内部审计在企业风险管理框架中首要角色是监督者。包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,而不是风险管理的创建者或实施者。在开展风险导向内部审计中,内部审计人员一定要在协调、合作的同时分清职责,到位不越位。
(四)交流沟通,促进双方共同进步
内部审计部门所开展的审计业务几乎都是以风险为导向。将有限的审计资源集中到高风险领域,而企业的风险管理职能部门又对企业的风险因素进行专业化的识别、评估、控制和监察。因此,及时建立两个部门之间的交流、沟通机制,促进双方共同进步。可以更加有效地为企业总体战略目标服务。在具体实施过程中,两部门可以通过开展集中讨论会、建立风险信息库等方式进行相互交流。而且。两部门工作所需的知识结构也存在互补关系,可以互相学习。内部审计人员通过学习风险管理知识,可以更加专业地识别和评估企业风险因素,从而更有侧重地设计审计程序;而风险管理部门学习审计知识,也能够了解风险导向审计工作的重点。从而相互配合,减少重复工作,确保风险管理活动的经济性和有效性。
[参考文献]
[1]吴容,风险导向整合型内部审计模式探究[J],中国内部审计,2009(9)
[2]王学龙,郝斯佳,论风险导向型内部审计在企业风险管理中的作用[J],中国内部审计,2010(2)
[3]中国内部审计协会,内部审计在治理、风险和控制中的作用[M],西苑出版社,2008
一、企业风险管理概述
企业风险管理有八个组成要素:目标设定、风险识别、风险评估、风险对策、控制活动、信息与沟通、监督,内部环境.下面对其前四个方面的因素着重进行阐述:
[1]目标设定,即是在1960年之际,有国外的代洛克发现并且提出了相应的理论,它的内容是叙述具有一个向前的目标是完成某个事情的源泉和动力,所以可知,倘若确定了目标,就会增加靠近成功的几率,当一个具有挑战性的目标被大众认可并完成以后,取得的价值是非常可观的。
[2]风险识别是指在企业发生亏损,出现差错之前,企业的管理人员根据自己以往的经验以及相应的设备等辨识出对企业的威胁的因素以此来协助和维护企业达到既定目标的安全。这主要包括感知以及分析风险两个方面。
[3]风险评估
从企业的相关资源的安全角度来分析可知,风险评估主要是对企业内部的资料进行相应的分析,评估风险的来源和对企业的危害度,企业进行风险管理的前提,风险评估是企业保证其内部资源具有高的安全系数的主要措施,它将归类于资源的安全管理这一企业经营体系中。
二、企业开展风险评估的过程分析
国家政府部门在2006年之际就已经出版了《企业全中央面风险管理指引》这一条款,其中的一条项目《指引》里面的主要内容就指出了,每个企业或者公司都应该对保存关于风险管理方面的一些相关资料以及企业不同的项目管理业务过程开展一些针对实际情况的风险评估。对于这些方面的风险评估,企业就采取了三个方面的阶段和内容,首先是风险辨识,其内容主要是包含了和辨清企业开展什么项目或者进行什么措施会严重阻碍企业的发展,从而产生风险。话句话说的就是对于企业的各个生产流程,部门管理流程和相关的业务流程以及公司的一些日常事务活动进行认真地检查和评估,辨别其中是否具有风险性以及具有的这些风险内容的症状在哪里,其次,对企业进行风险分析,这主要就是为了确定企业能否产生风险以及分清风险的特点。换句话说就是根据相关的风险具有的特征对这些风险进行分门别类的定义,并且辨别其相关的风险度和产生这些风险的原因和条件。最后,对企业进行风险评价,风险评价也是极其重要的一个方面,即是预测企业的某个流程产生了风险之后会对企业造成什么样的影响,换句话说就是风险评价对企业来讲起着相当重要的作用,可能会了解到风险在企业实现其自身的目标方案中的影响程度等。
三、企业进行风险评估的重要性
任何企业都具有一定的风险性,并且企业的风险性也是不可避免的,风险评估是事实内部控制的重要环节,所以就要加强企业的风险评估,让企业的损失降到最低化,另外,在企业内进行风险评估还可以加强企业的管理人员与上级领导和企业员工之间的警惕风险的意识,而且还能够让全体员工能够懂得各司其职,加强企业的风险评估能够对企业的生产经营过程中出现的问题及时解决,防止其影响企业的既定目标,造成企业的正常营运处于瘫痪状态,由此企业加强风险评估是最有效也是最直接的提高企业的经济的途径。
四、企业进行风险评估的策略
3.1控制活动策略
在企业的相关管理部门在察觉这种风险,并且将这种风险的影响程度进行了了解和清晰的分析之后,就可以对企业存在的这种风险着手加派人手研究相应的解决措施。这里的控制活动主要是针对管理阶层而言,主要就是为了让相关的管理人员在发现企业有了某些风险之后能够及时的发出响应的指令,防止一些人员不停派遣和调岗的情况出现,相当于是授予管理人员的某种权利,这就包括了“核准、授权、验证、调节”等等一系列的过程,控制活动的最大的作用就在于保障企业的既定目标能够不够风险的影响,并且能够顺利的完成或者达到企业的既定目标。
3.2完险管理体系
全面风险管理是对整个机构内各个层次,各个种类风险的通盘管理。对企业实施全方位的整体风险管理不仅可以使企业的整体员工合作协调起来,让企业内部数据之间deep收集、测量、处理三者有机的站在一条水平线上,能够更好的协助企业的内部的审计以及监督。并且企业的相关上级领导以及相关的管理人员务必分清从整个企业的发展出发,分清其中的利与弊,使得各部门的领导安排的相关程序都能够及时的落到实处,其次有效、及时、准确的报告制度对于企业来讲也是非常重要的,这就需要尽快恢复其现有的报告缺陷,保证企业的内部信息畅通,即当企业的内部环境方面出现了某一方面的风险和错误时,就应该及时的上级领导挥或者部门报告,以便让其能够尽快得到解决,恢复正常的运营秩序。
3.3建立健全财务危机预警系统
企业财务预警机制系统是为防止企业偏离正常经营轨道而建立的报警和控制系统,它以企业信息化为基础,利用数据化管理方式,通过对各种财务数据资料的分析,对企业经营管理活动中存在的财务危机及早警示,对潜在财务风险进行实时监控,为经营决策提供可靠依据。
建立财务危机预警系统,可对财务运营过程进行监控、预测,及早发现财务危机信号,在其萌芽阶段采取有效措施进行预防和控制,避免情况恶化造成更大的损失。
3.4设计一套科学的内部控制行动指南
1、在机构内部广泛开展“深化内控理念,落实内控措施”的创建活动,结合自身情况及上级单位的要求,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。设立一套科学的内部控制行动指南,为管理者进行内部控制有效性评价提供指引也是当前急切需要解决的问题。并且要在内部相应的部门实施相应的个人评估策略,即在企业实施的长时间的监督过程中,在一般情况下,企业最好是聘请相应的专业人员对其进行评估,以此来监督企业内部控制的实施有效性,这些是对长效监督控制的一系列评估
1.提高管理人员的能力和素质
面对企业风险管理中存在的问题,要进一步提高企业管理人员的能力和素质,让他们知晓不重视风险管理对于企业所带来的危害。要遵循“引进来和走出去”的原则,可以聘请一些经验丰富、能力比较强的人员到企业内部进行培训,还要加大与其他企业管理人员的沟通与交流力度,让他们走出去学习先进的风险管理经验和方法,积极更新风险管理理念,提高管理人员的能力和素质,这是新时期企业风险管理的重点。总之,管理层面的人员要不断的创新管理,不断改进内部风险控制方式,提倡安全发展以及经济效益齐头并进的管理哲学,要重视企业内部风险管理的效果,通过企业信息化的网络平台的建设,积极设立信息沟通系统,制定相应的人力资源管理政策,这样才么能更好的贯彻企业的内部风险管理机制。
2.强化企业经营风险评估与管理过程
企业经营管理面临的风险比较多,但是其中有一部分风险通过采取有效的措施是能够有效规避的。所以,企业管理者要重视风险评估的开展工作,采取积极有效的措施来进行风险的预防,要学会识别风险、控制风险。换句话说,就是要积极的减少在企业快速发展过程中可能带来的一些不良影响。当企业的经营环境发展改变的时候,或者是企业需要拓展新的业务的时候,就需要进一步加大产品市场的调研力度,综合多种状况来对风险发生的可能性进行评估,这样才能针对具体的风险来采取相应的对策。除此之外,伴随着这信息技术的不断发展,在企业发展过程中,还可以引入现代信息管理系统,运用计算机来进行搜集可能出现的风险状况,通过网络实现相关信息资源的共享,运用现代化的设备和技术来对风险发生的可能性进行分析,这样才能保证决策的科学性和合理性。
3.细化管理控制方式和执行上的职责
首先,要保证职责分离开来。在现代企业内部风险管理过程中,职责分离是一项基本的要求,企业的一切的交易都要遵循这个原则,对员工的职责进行科学的划分,这样才能形成相互制约、相互监督的机制。其次,要科学设计流程。要明确各个工作岗位的责任和义务,让每一道工序都能互相检查,这样才能互相牵制。第三是绩效的考评。企业各个部门要定期的进行绩效考评工作,这样是工作目标完成状况下的一种事后的控制措施,是一段时期员工工作成效的总结,也是发现问题、改进工作方式的过程。最后,要全体员工参与进来。不管是经营管理层还是其他人员发现企业内部风险管理存在的缺陷,就需要向企业管理层进行及时的汇报,帮助企业更快更好的实现预期的目标,进而提高企业风险管理水平。
二、结论
(兰州财经大学,甘肃 兰州 730000)
摘 要:随着经济的高速增长,企业风险管理逐渐受到重视,同时,随着衍生金融工具的大规模使用,运用套期保值来控制风险成为许多企业的选择.但是我国企业应用套期保值与风险管理的效果并不很理想,关于企业应该如何改进套期保值与风险管理的问题亟待解决.针对这个问题,文章探讨了相关理论并进行分析,试图将套期保值与风险管理相结合来进行研究.
关键词 :套期保值;风险控制;风险管理
中图分类号:F273文献标识码:A文章编号:1673-260X(2015)08-0107-03
随着全球经济一体化的加速,国际资本的流动范围更为广泛,市场上的资金快速流通而又充满变化,增加了市场的波动性.上世纪末期,衍生金融工具成为人们视线的焦点,成为企业进行风险管理的首选之一,衍生金融工具因而成为现代金融体系中不可轻视的结构成分.在我国,金融市场日新月异的发展和国际化的影响,衍生金融工具也并驾齐驱,其使用频率急剧增加.然而,不可忽视的是,在企业风险管理中,衍生金融工具虽然是具有风险规避功能的工具,其自身却也蕴含着风险.面对衍生金融工具这把“双刃剑”,真是几家欢喜几家愁,有的企业通过它不仅没有成功地规避风险,反而还产生了亏损.在面临如此复杂而多变的经营环境下,如何合理适当地运用衍生金融工具,提高风险管理能力,是我国企业需要直面的核心问题.本文拟将企业风险管理理论运用在企业套期保值的操作过程中,研究企业套期保值的风险控制,使套期保值可以更好的发挥作用.
1 国内外研究综述
“套期保值”,是从英文“Hedging”翻译过来的,也有译作“对冲”,是金融市场的一种风险转移机制.其一般定义是:企业为了规避风险,通过使用套期工具,预期抵消被套期项目价格变动风险的一种交易活动.本质是:企业通过期货与现货两个市场,有效的安排,对冲风险,使经营活动避免遭受外部环境的不利影响、保护资产价值.
上世纪中期,Keynes和Hicks最早提出套期保值的目的不是为了在期货市场上通过它来获利,而是为了规避因现货市场的价格波动带来的风险.随着对套期保值使用和认识的深入,人们发现用Markowitz的资产组合理论来阐述套期保值的概念有着很好的效果,套期保值,就是将期货市场和现货市场上的资产进行投资组合.为了使投资组合的预期收益达到最大或预期收益风险达到最小,又引入了最小二乘法(OLS),通过线性回归,计算期货与现货价格的最小方差拟合,其斜率即套期保值比率.上世纪末,Ghosh运用误差修正模型(ECM)来研究套期保值,发现在预期收益风险最小时,考虑期货与现货价格的协整关系能使结论更为精确.近年来,随着风险价值模型的发展,研究者们在计算最优套期保值比率时尝试引入VaR方法.相比于其他的理论,VaR的优势在于,通过预计一段时间内套期保值的结果,使企业有相对充分的时间对风险做出反应.
国内现阶段关于套期保值理论的研究,主要基于国际上现有的研究成果,将这些研究成果在我国的期货市场上简单应用.周松(2011)首次定性地分析了企业风险管理与套期保值会计的关系.
综合来看,国内外关于衍生金融工具的风险管理这一块已有了较深厚的理论基础,能够对套期保值风险管理的研究给予帮助.
2 企业风险管理理论
从企业角度来看,风险是指一定环境、一定期限下,由不确定性事件的发生给企业经营目标造成不利影响的可能,是独立于企业意志之外的客观存在.
风险管理的理论倾向,经历了从风险回避到风险转移,再到风险管理的过程.2004年,COSO委员会了《企业风险管理框架》,其中对企业风险管理给出了如下定义:“企业风险管理,是由企业各级成员一起参与,共同实施的,通过制订战略,覆盖企业整体,识别那些可能对企业产生影响的潜在事项,对风险进行管理,将其控制在企业的风险容量内,保障企业目标的完成.”风险管理的主要流程,大致可分为:①目标设定,设定了目标后,管理者才能判断潜在事项是否会对目标造成影响.②事项识别,识别企业的内部事项和外部事项,根据其对目标的影响判断风险.③风险评估,分析风险的概率和可能带来的影响,基于此进行规划.④风险应对,通过风险规避、风险接受、风险降低、风险分担,把风险控制在企业的风险容量内.⑤控制活动,帮助风险应对方案有效执行.
3 套期保值理论
套期保值理论可以分为三个阶段:①传统套期保值理论;②基差逐利型套期保值理论;③现资组合保值理论.
3.1 传统套期保值理论
上世纪早期,英国经济学家Keynes和Hicks提出:企业进行套期保值的目的,不是为了获得利润,而是为了规避风险.套期保值具有保险功能,又被称为价格和信用保险.
3.2 基差逐利型套期保值理论
现实市场环境中,现货市场和期货市场的价格波动是不同步的,因此基差并非固定不变.Working提出,套期保值并不能做到将风险完全转移,只是用基差波动相对小的风险替换了现货价格波动大的风险.基差的存在,使人们开始根据现货市场和期货市场的价格变化或预期基差和实际基差来寻求套利机会,寻求利润是该理论与传统套期保值理论的本质区别.
3.3 现资组合保值理论
现代套期保值理论,其基础是Markowitz的资产组合理论.Johnson等通过资产组合理论来阐释套期保值:套期保值就是把期货市场和现货市场上的商品进行投资组合,预计组合可能的收益和方差,从减小方差或使效用函数最大化的角度来确定期货市场的保值比率.
4 套期保值的基本操作原则
1、交易方向相反原则
只有当企业在期货和现货两个市场中交易商品的方向相反时,才可以在市场出现价格波动的情况下将两者的盈利和亏损相抵消,达到利用套期保值规避价格波动风险的目的.
2、商品种类相同原则
企业在选择期货合约的标的物时,应选择与在现货市场上交易的商品具有良好的正相关性的商品.只有这样套期保值交易才具备规避价格风险的条件.
3、商品数量相等原则
企业在期货和现货市场上进行交易的商品数量应相等,这样当市场发生盈亏时才能大致相等,从而规避风险.
4、期限相同或相近原则
套期保值选用的期货合约月份最好与现货市场上买卖商品的时间相同或相近.因为价格变动影响着两个市场,只有选择交割月份与现货市场实际买进或卖出商品的时间相同或相近的期货合约,才能紧密联系两个市场的价格,从而实现套期保值效果.
5 套期保值的风险管理
套期保值作为企业风险管理的重要手段,其核心在于通过操作控制风险.投资者通过风险对冲来实现风险转嫁,将风险转移给有意愿的参与者来承担.投资者在期货市场上建立与现货市场相反的头寸,从而达到规避现货市场风险的目的.当基础资产的价格发生变动时,两个市场的盈利损失可以相互弥补.其依据是市场的两种经济现象的反应:第一种是同种商品期货和现货的价格走势在长期上大致相同,当某一阶段因为其他因素的影响时,两类价格会出现偏差,或因涨跌幅度的不同而产生差异.第二种是因为市场存在着套利机制,期货与现货市场的价格随着合约到期会逐渐趋于一致,不然就存在着无风险套期的机会.
但套期保值在规避风险的同时也可能产生新的风险.套期保值的风险可以分成两类,一类是通过套期保值控制企业经营的风险,即自有风险.另一类是管理套期保值操作时的风险,即外在风险.
自有风险包括:套期保值比率风险、基差风险、信用风险.
套期保值比率风险,当企业的套期保值比率选择不恰当时,套期保值就有可能带来损失而无法达到原来的目标.
基差风险,是被保商品和套保工具价格的波动不一致所产生的风险.根据有效市场假说,市场参与者可以迅速地对市场包含的信息做出反应.但在实际操作时,市场非完全有效市场,因此现货和期货市场价格存在随机扰动现象.
信用风险,是指交易方在套期保值交易中违约、无法履约时产生的风险.在合约到期日,交易对方拒绝付款的,会造成违约.在合约到期前,交易对方因各种原因遭受重大损失而失去支付能力的,会造成无法履约.
外在风险包括:决策风险、财务风险、管理体制风险.
决策风险,是指由于管理者的决策失误,企业制定的套期保值方案有缺陷.
财务风险,主要体现为企业保证金不足.当短期内期货价格发生剧烈变化,并朝着不利于套期保值者的方向变化时,企业被迫需要追加保证金,如果追加不利就会被强制平仓.
管理体制风险,是指由于我国套期保值管理体制的不足导致企业套期保值交易发生亏损的可能性.
由此可以看出,企业对套期保值操作前的风险分析具有重要地位,开展套期保值活动时需要风险管理的保驾护航.
6 套期保值风险管理方法
企业开展套期保值活动时,风险控制必然伴随始终,因此有必要建立相应的风险控制体系.本文引用COSO风险管理框架,围绕套期保值风险控制要素来讨论套期保值的风险管理措施.
6.1 目标设置
企业在进行套期保值时,应设定正确可行的目标,同时,识别相关的风险,评估这些风险对企业经营的影响,合理设定企业的风险容量.
6.2 事项识别
企业需要识别可能影响套期保值效果的潜在事项,判断这些事项带来的是有利影响还是不利影响.风险识别,就是分析各种因素对套期保值效果的影响程度.在对套期保值活动进行风险识别时,企业需要对整个套期保值流程进行梳理,分析识别所有可能存在的风险.
6.3 风险评估
风险评估,就是量化,估算,预测某一事件可能造成的损失及影响.对企业套期保值的风险评估可采用定量与定性两种方法.
定量方法主要是通过数学模型和技术手段来评估风险,如风险价值模型(VaR)、压力测试等.通过定量方法得到的结论往往较为精确,使企业能够直观地获取套期保值风险的信息,提高风险管理的效率.而当企业在风险模型失灵,无法取得足够可靠的数据等情况下,可采用定性方法.定性方法主要基于风险管理者的经验对套期保值风险进行评估,常用的方法有风险与控制自我评估法(RCSA).在运用RCSA方法对套期保值风险点进行评估时,既要评估该风险点的固有风险,还要评估在现有的控制活动和拟采取的控制活动中该风险点的剩余风险,评估内容包括风险发生的概率和危险程度.
6.4 风险应对
在应对套期保值风险的过程中,企业可制定套期保值风险管理策略,把影响企业经营目标的风险控制在企业的风险偏好和风险容量之内,保证其经营目标的实现.企业进行风险应对的方法有:风险规避、风险接受、风险降低、风险分担.判断风险是否处于风险偏好和风险容量之内,若处于风险容量内则选择风险接受,否则选择风险规避、降低或分担.
6.5 控制活动
套期保值的控制活动是其风险管理策略能够顺利实施的保证,是针对识别和评估的风险所釆取的具体措施.包括事前授权、职责分离等.开展控制活动时,应考虑活动与目标、风险应对的相关性和适应性.同时,对于活动中可能出现的突发事件,建立起应急处理机制,对暴露出来的风险及时采取补救措施,防止造成更大的损失.包括:①基础设施发生故障时的防范和处理.②日常业务活动的应急措施.
6.6 信息与沟通
套期保值风险随着套期保值交易的更新发展而不断变化,而诡变多端的市场又要求企业能迅速地对风险做出反应.因此,面对市场上繁多的信息,如何从中准确及时发现与风险相关的信息?企业有必要建立风险管理信息系统,对套期保值风险相关的信息进行收集和传递.通过系统实时收集市场与企业内部的信息,筛选出与风险相关的,及时传递.同时,在套期保值风险管理中,企业应构建一个有效的沟通平台,鼓励员工对风险问题进行交流,塑造积极的沟通环境.
6.7 监控
套期保值风险管理的监控,是围绕其风险管理目标,对风险管理整体过程进行监督,发现缺陷并持续改进.风险预警系统和风险监控系统是企业风险管理有效运行的保障.
总结
套期保值不是投资,不是为了获利,其根本目标是为了确保企业财务的稳定.企业应根据市场环境,结合自身发展模式和经营需求,正确认识套期保值的作用,充分发挥其价格风险管理功能,达到平稳运营的目的,为企业的生产经营提供有力保证.文章通过对企业风险管理和套期保值的相关理论进行探讨,依据风险管理框架界定了应对套期保值风险的系统化控制方法,对套期保值的风险控制和有效实施提供了支持.
参考文献:
〔1〕COSO, Enterprise Risk Management- Integrated Framework, 2004.
〔2〕刘霄仑.风险控制理论的再思考:基于对COSO内部控制理念的分析[J].会计研究,2010(3).
〔3〕李维安,戴文涛.公司治理、内部控制、风险管理的关系框架——基于战略管理视角[J].审计与经济研究,2013(4).
〔4〕王稳,王东.企业风险管理理论的演进与展望[J].审计研究,2010(4).
〔5〕阎达五,杨有红.内部控制框架构建[J].会计研究,2001(2).
〔6〕王东.国外风险管理理论研究综述[J].金融发展研究,2011(2).
〔7〕Robert E. Hoyt, Andre P. Liebenberg, The Value of Enterprise Risk Management:Evidence from the U.S. Insurance Industry[R], the Society of Actuaries, 2008.
〔8〕贾炜莹,兰凤云,陈宝峰.衍生工具运用对上市公司风险影响的实证研究[J].会计之友,2009(8).
[关键词] 公司治理;公司治理环境;风险管理;风险管理机制
一、公司治理
公司治理(也称为公司治理结构),是国家社会经济体系中的企业制度安排问题。其本质是各利益主体关于治理企业的权责利关系。公司治理结构强调责权分明、各司其职,委托—、纵向授权、激励和制衡机制并存。公司治理结构具有权力配置、权力制衡、激励与约束以及协调功能。按照《公司法》等有关规定,公司治理结构的架构应该是:所有者通过法定形式进入企业行使职能,通过在企业内的权力机构、决策机构、监督机构和执行机构,保障所有者对企业的最终控制权,形成所有者、经营者和劳动者之间的有效制衡和激励机制;并通过建立科学的管理体制、决策程序和责任制度,使相互的权利得到保障、行为受到约束。
公司治理是以《公司法》和公司章程为依据的制度安排,规范公司各利益主体之间的关系。由于企业所有权与经营权分离并成功实现了公司法人治理,现代公司企业制度的科学管理和高效运作为社会创造着巨额财富。但是,可以看到,与发达国家中管理规范的公司企业相比,我国的上市公司在治理中还存在很多问题。第一,股东大会虚设现象普遍,最高权力机构行使职权有限,对股东权益保护缺乏程序保障,不能体现资本多数决定的原则和股东民主权益的原则。第二,董事会、监事会和经理层之间没有形成比较严格的权力制衡关系;权力层中存在着严重的职位重叠现象,影响了公司决策执行,不符合风险分散原则;监事会独立性差,没有发挥有效的监督、约束与评价职能。第三,股权结构不合理,董事会运作不规范且容易纵和控制,董事义务责任淡薄,董事长权力过大,董事会等难以完成受托责任。第四,董事、监事、总经理等高管人员产生机制存在问题,公司治理外部环境难以有效发挥作用。第五,缺乏必要的激励约束机制,对公司执行董事等高级管理人员既缺乏合理的激励,又缺乏严格的约束。
二、企业风险管理
企业风险管理是指企业为了长远发展,达到经营管理的预期目标以及为此而拟定的制度或程序能够得以实现,在企业内部实施的各种制约和调节的组织、计划、方法和程序,其目的在于防止目标的偏离或降低风险管理成本。2004年9月,COSO委员会在《内部控制—整体框架》的基础上,正式了《企业风险管理框架》(Enterprise Rick Management Framework,简称《框架》)。描述了企业风险管理是一个过程,由企业董事、管理层和其他人员实施的, 应用于战略制定,贯穿整个企业所有层级和单位,旨在识别可能影响主体的潜在事项,在其风险偏好范围内管理风险,并针对主体目标的实现提供合理保证。《框架》拓展了企业的内部控制,对企业风险管理这一更宽泛的主题作了更全面的关注。尽管后者并不旨在且事实上也未曾替代内部控制框架,却将内部控制框架融入其中。因此,公司利用《框架》,既能满足对内部控制的需求,亦能向更完善的风险管理进程推进。《框架》确定了企业风险管理由内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息和沟通、监控要素构成。企业风险管理有利于风险偏好与企业战略的协调,可以改进风险反应决策,增进识别风险与风险反应的精确性。企业风险管理还能识别并管理多元化风险与企业内部交叉风险,获得风险信息,促使管理层有效评估资本需求和投资结构等,及时改进资本配置和调节投资方向,保证企业健康与可持续发展。企业风险管理应是一个立体框架模式的组织体系,不仅包括公司最高决策者用来授权与指挥经济活动的各种方式方法,也包括企业内部控制的各种程序和步骤,还包括为对市场等外部环境控制和评价而制定的风险反应机制等。
目前,我国许多企业经营效益低下,上市公司不规范运作、财务报告失真,违法、违规现象普遍,造成这种状况的原因是多方面的,但企业内部管理和风险控制缺失是其主要原因。主要表现在:第一,企业对风险管理认识不全面,风险管理观念淡薄,表现为重经营轻管理,导致企业风险管理基础工作薄弱。第二,企业风险管理程序不科学,风险责任不明确,公司权力机构之间缺乏有效制衡,风险管理制度缺乏系统化、科学化,风险管理手段简单,制度没有真正或有效执行。第三,企业风险管理缺乏统一控制标准,缺乏资源调剂和资本核算机制,导致风险信息不能有效利用。第四,企业缺少健全的风险管理组织机构,管理过程缺少监管,企业风险管理缺乏有效的激励或严格的惩罚。第五,企业环境不断发展变化,风险管理理论研究与应用相对滞后,使企业丧失一些发展良机。第六,风险管理缺乏专业人才,存在内部人员串通舞弊,表现为风险管理职能不能有效发挥,导致企业经济损失或风险成本增加。
三、完善公司治理,加强企业风险管理
(一)健全公司治理,完善企业风险管理的内部环境
1. 建立良好的公司治理机制,优化股权结构
公司治理结构是企业制度的核心,完善公司治理是企业经营、管理和规范运作的首要任务。公司治理的主体必须是产权明晰,自主经营,自我约束的独立法人实体。企业应按照《公司法》、《上市公司准则》等健全股东大会、董事会、监事会和总经理班子等机构,制订和完善《公司章程》以及相关的工作规则,使其各司其职,建立良好的治理机制,实现权力有效制衡。公司治理机构权力安排要体现合理的结构和科学的机制,要以较高的治理效率和良好的公司业绩为目标。健全公司治理,既要保证出资人到位,又要保持公司经营的独立性;既要实现全体股东利益,又要敢于拒绝控股股东的不当干预;既要保证公司经营效率,又要制约经理人员滥用职权,避免和防止“内部人控制”、大股东损害小股东利益。健全公司治理结构,完善上市企业董事会制度至关重要,应优化董事会的构成,正确发挥董事会的战略决策作用。另外,优化上市企业的股权结构可以促进公司治理的良性循环。引入战略或机构投资者,促进股权主体多元化,并发挥他们在公司治理中的积极作用。上市企业只有真正实现股权主体多元化,股权过于集中和流通股过于分散的现象才能得到有效缓解。有研究表明,公司法人持股比例上升不仅会直接对公司价值产生积极作用,同时还会促进公司治理状况的改进,降低成本。公司股权结构的变化,将对公司治理机制和公司价值产生深远的影响。
2. 完善激励和约束机制,建立竞争的经理人才市场
完善上市企业高管人员产生机制,建立科学的用人制度是公司治理的重要内容。目前,我国不少公司的高管人员仍按计划经济体制下的人事录用方式产生,使得企业高级经营管理人员的使用缺乏科学的考核。再加上公司治理结构的不完善和经理人才市场的缺失,使得现任经理们的行为得不到应有的市场约束。应建立有效的录用考核制度,通过规范、竞争、公正和约束的经理人才市场选拔聘用公司高层管理人员。高管人员在经营过程把自己声誉、利益与企业的经营状况和前景紧密联系起来,做到自我和制度双向约束,使经营者才能和企业的人力资源得到充分利用。完善的公司治理结构不仅包括人员考核、聘用和约束,还要建立行之有效的激励机制。公司可以在董事会下设由独立董事组成的报酬委员会,该委员会可就管理层,尤其是总经理等人员的年薪、激励酬金、期权计划、绩效衡量等细节制订方案并认真执行,及时披露。完善激励、约束机制,必须建立竞争性的经理人才市场,让具有经营才能的管理人员脱颖而出,受企业制度约束并根据经营业绩获得相应报酬。只有企业同时注重激励机制与约束制度,才能挖掘经营者的潜力,让其作出正确的经营决策,保证企业在瞬息万变的市场中长盛不衰。
3. 营造良好的内部环境,建立有效的监管制度
公司治理是公司的所有者与经营者权责利的一种制度安排。通过营造良好的内部环境,有利于企业进行风险管理,对进一步完善公司治理、促进企业健康发展十分必要。良好的内部环境应包括公司权力机构的权利有效制衡,企业的资源合理利用,风险管理科学,内部控制有效,生产经营效率高以及适合企业发展的企业文化等。良好的内部环境有利于公司治理效率的提高,治理机制趋向合理,治理结构科学化。完善公司治理结构、营造良好的内部环境,必须优化监管环境,建立有效的监管制度。建立以独立董事、监事会、审计等多元化监管体系是保证企业有效运转的重要措施,要增强监管受托责任,实施多样化的监管手段,还应充分发挥国家审计和社会中介机构的监督。加强信息披露,包括公司经营活动风险、信息资源、公司的财务状况等信息披露,减少因信息不对称而导致中小股民受损失。加强群众民主监督和社会舆论监督,可以强制企业正确履行其受托责任,制约劣迹经理人员的市场准入。对违规者实施严厉的惩罚就是强有力的监管,上市公司应制订并实行有效的问责制度,抵制内部人控制、机会主义行为,提高制度实施的质量和效果。
(二)加强企业风险管理,改善公司治理效果
1. 增强风险管理意识,提高风险管理认知度
由于我国目前正处于市场转型和经济改革的过程之中,现代企业制度尚未完善,市场环境较为特殊。目前,我国大多数企业的风险管理体系尚处在起步阶段,上市企业缺乏风险管理,对其所面临的风险并没有有效的控制手段。值得欣慰的是,国内的一些大公司已开始按照国际风险管理的思路来设计适合自己企业的风险管理体系。加强我国企业风险管理,要进一步与国际接轨,增强企业抗风险能力。首先,企业需要有一个很好的认识风险的内部环境。风险管理涉及到企业内部各个层面,应通过宣传教育,让每个员工了解风险的危害性,企业高管人员对其所从事的经营活动涉及的风险要有清醒的认识,在企业内部树立起风险管理意识,通过信息沟通渠道将风险信息反映给有关管理者,最后由决策层制订防御措施并传达给企业员工实施。其次,公司可以考虑成立一个部门,专门负责对企业所面对的风险进行评估和分析。风险管理部门要制订风险管理制度,明确责任,加强日常风险防范和危急事件的应对与处理。风险管理部门对整个企业风险管理应起到指导和带动作用,使企业的风险管理控制落实到每个岗位、每项业务和操作环节上。另外,企业可以不定期组织不同部门的员工参加一些研讨会,或聘请咨询机构为其提供相关的服务,增强企业对风险管理的认知度。
2. 企业风险管理制度化、程序化
企业风险虽然客观存在,但风险是相对的,是可以变化的,也是可以预测的,并能在一定程度上进行控制。有效的风险管理可以防范危机的发生,可以降低风险成本,减少企业损失。第一,建立适合本公司的风险管理制度。风险管理制度应以企业内部控制为基础,体现风险偏好及风险承受能力,建立科学的风险管理框架,针对企业目标的实现提供合理保证。第二,合理识别和评估风险。上市公司在收集和归类信息的过程中,合理识别风险的类别、产生原因和将来的影响。风险识别就是为了更好地评估风险发生的概率、重要程度以及给企业带来的损失。风险识别和评估在风险管理的过程中十分重要。众所周知,诺基亚和爱立信是生产手机的国际巨头,两家的手机芯片很大一部分来自飞利浦公司,2000年飞利浦公司的一家芯片厂发生了大火灾,这对诺基亚和爱立信都产生较大影响。诺基亚立即组织有关人员讨论芯片供应危机的解决方案,在几天后重新设计了芯片并找到新的厂商开始生产;而爱立信没有充分认识和评估这场火灾带来的影响,也没有寻求芯片替代供应商。最后,在市场销售旺盛时,由于芯片供应短缺,爱立信不能及时推出新款手机,将全球手机市场3%的份额让给了具有良好风险反应的诺基亚。由于缺乏风险识别、评估和防范风险机制,爱立信在遭遇风险,造成损失时才发现为时已晚,给公司的发展和竞争以沉重打击。第三,制定有效措施防范和处理风险。对风险进行科学评估后,根据不同类型的风险制定相应的风险策略。主要的应对措施有风险规避、风险降低与控制、风险转移和风险优化组合等。从上面的案例可以看出,诺基亚具有较强的抗风险和处理风险能力,制定了切实可行控制风险策略,促进了公司发展壮大。由此可见,风险反应和控制对一个企业来说至关重要。另外,企业在选择风险处理措施时还需要考虑潜在损失的规模和严重性,损失发生的概率、可资弥补损失的资源情况等内容。最后,企业还要建立风险信息管理系统,健全风险预警机制;加强信息沟通,防止因信息不充分导致风险决策失误。公司董事会等应加强对企业风险管理的绩效进行考核,对其使用性、成本收益比等进行评估,促进风险管理制度化、程序化,确保企业风险管理高效进行。
3. 营造风险管理文化,促进公司治理结构明显改善
发达国家的上市企业普遍采用的标准化的风险管理构架中,内部环境要素决定了企业成员对待和处理风险的基本原则。企业的风险管理制度、管理层的风险偏好、员工的诚信度和道德观决定了企业的风险管理文化。在营造企业风险管理文化方面,我国上市企业多数是依靠书面形式的企业管理理念或者一些行为准则和规章制度来规范员工的行为。而在发达国家,很多公司会将自己的价值观或员工的道德观告诉那些与之有业务往来的客户或供应商,让外界了解这个公司对于风险管理的文化和对员工的要求,并请他们帮助形成企业自己的风险管理文化。在良好的风险管理文化的控制下,确保内部控制有效运行,还应加强监控方面的职能和手段,提高独立董事、监事及内部审计在企业内的监督。另外,可以聘请专业人士举办风险管理和内部控制方面的讲座,让全体员工都体会到企业提倡风险管理方面的要求和文化需求。企业内部也可以组织一些风险评价,鼓励员工反映公司内部存在的一些风险隐患,形成一个开放的风险管理文化环境,管理层也可以获得更多的风险信息,帮助企业本身发现更多的问题。可见,风险管理可以促进公司治理结构进一步完善;也可以说,不具备风险管理可能导致企业在激烈的市场竞争中处于劣势,甚至被市场所淘汰。
主要参考文献
[1] 顾孟迪,雷鹏. 风险管理[M]. 北京:清华大学出版社,2004.
【关键词】风险管理;内部审计;优势;作用
一、企业风险和风险管理
风险是指在一定环境和限期内客观存在的,导致费用、损失与损害产生的,可以认识与控制的不确定性。企业在运行过程中往往存在着大量的战略风险、经营管理风险和作业风险,它们很可能导致企业费用和损失的发生,制约企业的生存、发展和获利能力。企业风险包括内部风险和外部风险。外部风险是指外部环境中对企业目标的实现产生影响的不确定性,其主要来源于以下因素:国家法律、法规及政策的变化;经济环境的变化;科技的快速发展;行业竞争、资源及市场变化;自然灾害及意外损失等。内部风险是指内部环境中对企业目标的实现产生影响的不确定性,其主要来源于以下因素:企业治理结构的缺陷;企业经营活动的特点;企业资产的性质以及资产管理的局限性;企业信息系统的故障或中断;人员的道德品质、业务素质未达到要求等。由此可见,风险的存在具有客观性和不确定性,可以被管理人员预测,并加以控制和规避。
企业风险管理作为一种特殊的管理功能,是一门新的管理科学。根据中国内部审计具体准则第16号的规定,风险管理是对影响企业目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为企业目标的实现提供合理保证。风险管理是一个系统过程,它包括风险的识别、评估和控制三个环节。不同企业风险管理的方法不尽相同,但在风险管理过程中的目标是一致的。一般包括:研究界定影响企业经营战略及业务活动的各类风险,并按影响大小或程度进行排序;确定企业在各项经营战略及业务活动中能够接受的风险水平;制定并实施风险控制计划,以尽可能地减少风险造成的损失;定期对风险及控制计划进行检查评估,改进风险管理措施;定期了解风险控制结果,确保企业经营战略目标的实现。
二、内部审计应利用自身优势,积极参与企业风险管理
内部审计在参与企业风险管理中的优势主要有以下三个方面:(1)内部审计具有独立性、客观性优势。内部审计独立于业务管理部门,不参与企业的生产经营业务的具体管理,不代替业务管理部门制定具体管理制度,不参与各种业务活动的具体操作,这使得内部审计可以从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。相比较而言,某个直接负责经营运作的业务部门或企业由于自身业绩和责任的影响,对风险的反映和处置会更多地站在自身角度考虑而缺乏及时性和客观性。内部审计通过实施审计检查程序发表的审计意见可以直达企业的管理高层,更容易引起重视,对于其他部门和下属单位而言更具有独立权威性。(2)内部审计具有全局性、综合性优势。企业的风险潜藏在各个方面,许多风险也会相互影响和传递,有时一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能会使整个企业产生损失。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计在企业管理中是一个综合性的部门,审计的范围覆盖企业的各个方面,掌握的信息是多方面的,具有从全局考虑分析判断风险的综合性优势。内部审计对企业风险管理进行的系统性、专业性监督检查和评价,会权衡企业实施风险防范和效益成本的利弊,在风险与收益比较中研究风险管理的定位,这是其他部门难以做到的。(3)内部审计具有内向性、连续性优势。内部审计人员长期在企业内部工作,对企业面临的风险更了解,对风险的各种影响因素更便于做深入的调查,而且对企业风险的转化影响,风险管理措施效果更便于进行连续的跟踪,内部审计长期参与企业风险管理所掌握的风险管理信息和经验,会对不断深化企业风险管理和节约管理成本产生重要影响。外部审计或咨询机构可能在独立性和专业性方面具有一定优势,但是却很难像内部审计一样对企业风险进行连续性关注,他们只能阶段性地按约定范围提出咨询意见,而且咨询成本也往往大大高于内部审计。另外,内部审计人员作为企业员工,企业目标是否能够实现,最终也会损害内部审计人员的切身利益,因此内部审计人员会对企业风险管理的效果和建立风险管理的长效机制有着更强烈的责任感。
既然内部审计在风险管理中具有独特的优势,那么就应该充分发挥自身的这种优势,积极参与企业风险管理,把风险管理作为贯穿内部审计工作的主线。在实践中,具体做法如下:(1)在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划,确定审计项目。(2)确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。(3)编制审计方案时,通过风险因素分析来确定审计业务工作重点;在审计实施过程中,通过评价内控制度,查找其中的疏漏和薄弱环节;在更新审计范围与计划的内容时,要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时,应该能够反映出风险的重大性与发生的可能性。(4)在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议。(5)追踪审计时,将风险确定为决定追踪审计范围的重要因素,风险越大,追踪审计的范围就越广。追踪审计应该将注意力集中于最严重的潜在的问题上,通过持续追踪,确保对于重大的审计发现,相关部门采取措施予以纠正。
三、内部审计应在企业风险管理中充分发挥作用
[关键词] 企业风险管理 内部控制 平衡计分卡
一、建立有效的内部控制体系是防范企业风险有效途径
内部控制是指企业为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误和舞弊,保证会计资料及相关资料的真实、合法、完整而制定和实施的政策与程序。美国在2002年7月颁布了《萨班斯――奥克斯利》(SOX)法案。SOX404条款要求公司在报送的财务报告中,对公司的内部控制架构和它的有效性进行评估,所有的上市公司的内部控制制度都要达到SOX404条款规定的标准要求。可见,内部控制制度对防范企业风险的重要性。
良好的内部控制可以合理保证企业合规经营、财务会计信息的真实可靠和企业经营效率的提高,而合规经营、真实的财务报告和有效率的经营也正是企业风险管理所应该达到的基本状态。从这个角度出发,内部控制是风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理。相反,如果没有良好的内部控制,则往往会导致各种错误和舞弊的产生,甚至造成企业的破产倒闭。从国内的巨人集团衰败、银广厦案到国外的巴林银行倒闭、安然事件等无不是由于其内部控制缺损或失效所致。因此,内部控制是防范企业风险事件发生的一种长效机制。
二、保证内部控制有效性必须注意以下问题
内部控制按其控制的目的不同,可分为管理控制和会计控制。前者以提高企业经营效益和工作效率,保证经营方针、决策的贯彻执行以及经营目标的实现为目的;后者则是以保护企业财产物资的安全、确保会计信息的真实与完整以及财务活动的合法性为目的。两者相互联系、相互影响,有些控制措施可以用于会计控制,也可用于管理控制。内部控制在企业管理实务中的表现通常是制度或工作流程,其有效性取决于两个方面:一是制度的完善与合理;二是制度的执行情况。具体来说要保证内控制度有效必须重点做好以下几个方面的问题。
1.随着企业发展和内外部环境的变化,与时俱进,不断完善内部控制制度,适应企业运作的实际情况,既要避免制度管理上的盲点又要避免一些不必要环节和控制点,影响企业的运营效率和制度执行的自觉性。企业内控制度的完善在于对关键风险控制点的有效掌控。事实上,包括像世通、安然在内,几乎所有大公司都有一整套风险管理制度。这些制度涵盖了从对外投资到差旅费报销等所有环节,应有尽有。其实,企业的管理资源是有限的,控制需要耗费大量成本。如果企业将主要精力放在所有琐碎细小的控制点上,显然就有些舍本逐末了。
2.营造良好企业制度文化氛围,形成遵守制度和按工作流程办事的自觉性,创造良好的内部控制环境。对于一个企业而言,内部控制最大的困难不在于设计一套制度,而在于如何保证制度的执行。内部控制的真正意义和价值就在于执行。世通、安然、中石油新加坡公司破产案无不说明公司的风险来自于内控制度的失效和形同虚设。这些公司在内部控制制度都比较完善,有些还是请专门的中介机构设计和制定。因此,公司内部控制制度的根本就是授权和监督,公司所有人的权限都是在这个组织中被授予的,并要得到有效监督。任何人都不能凌驾于制度之上,否则制度只能是一纸空文,对企业风险的防范毫无作用。只有当企业中的每一个员工目标明确,观念趋同,内部控制才更有实效。良好的企业文化氛围能为内部控制程序的执行创造良好的人文环境。
3.以人为本抓好管理控制。管理控制的范围很广,包括企业内部除了会计控制之外的所有控制,如企业发展战略、组织结构、人事管理、安全和质量管理、部门间的关系协调和企业负责人及高层管理决策及行为等方面的控制,但重点是与人的行为紧密相关的组织结构、人事管理控制等。
三、构建企业风险管理及预警体系,做好企业风险的预警及防范工作
内部控制虽然可以防范企业风险,并构成风险管理的必要环节,但内部控制不能代替风险管理,因此,企业必须结合企业实际构建风险管理及预警机构,加强风险管理。只有这样,当企业风险产生并威胁到企业的生存和发展时,才能及时化解风险。每个企业因其规模、所处行业等的不同其相应风险因素和防控手段都会不同,因此风险管理应因企而治,但总体来说应按照风险管理的基本程序作好风险识别、风险评估和风险控制,按照内部环境、目标制定、风险识别、风险评估、风险应对、控制活动、信息和沟通、监控等要素构建风险管理的基本框架。
1.要结合企业实际制定风险管理总体目标。
2.明确风险控制责任,健全风险管理组织机构。
3.建立健全风险分析评估、预警、处置工作流程。要能够很好地防范企业经营风险,必须按照风险级别建立一套有效的企业风险管理制度和流程。
参考文献:
[1]汤敏茅于轼:现代经济学前沿专题[M].北京:商务印书馆,2002
[2]张连起:内部控制:一个棘手的任务[J].财务与会计,2004,(6)
关键词:风险管理;内部控制;机制
中图分类号:F23
文献标识码:A
文章编号:1672-3198(2010)04-0167-02
1 风险管理的演进历史及现状
风险管理是采取一定的措施对风险进行检测评估, 使风险降低到可以接受的程度, 并将其控制在某一可以接受的水平上。从职能上说, 风险管理就是在对风险进行观察、评估的基础上控制风险可能造成的损失, 保证组织目标的实现。对风险管理的定义可以理解为: 一是风险管理是一个系统过程, 包括风险的识别、衡量和控制等环节; 二是风险管理的目标在于控制和减少损失, 提高有关单位或个人的经济利益或社会效果; 三是风险管理是一种管理方法。
风险管理作为企业的一项管理活动,产生于 20 世纪 50 年代的美国, 当时美国一些大公司发生的重大损失使公司的高层决策者开始认识到风险管理的重要性。在那时, 风险管理是企业管理的一个重要组成部分, 主要涉及的是对企业纯粹风险的管理。这一特征是和那时企业经营环境相对简单, 因而纯粹风险给企业经营带来的影响最为严重以及通过保险手段可以对纯粹风险进行有效管理是密切相关的。
20世纪80年代后, 企业的经营环境开始发生了巨大变化, 以价格风险、利率风险、汇率风险等为代表的财务风险开始给企业带来巨大的威胁, 使得企业开始寻求规避财务风险的工具。但企业在这方面的努力仅限于一些孤立的实践活动, 并没有形成完整的理论和方法体系。反而在金融机构中, 由于所经营的金融产品带来的各种风险加剧, 逐步形成了针对金融机构的相对完整而系统的金融风险管理体系, 其针对的对象和内容都与传统风险管理有很大不同。
到 20 世纪末, 随着大型企业特别是巨型跨国公司面临的风险管理日趋多样和复杂, 开始出现了将企业的所有风险, 包括纯粹风险和财务风险综合起来进行管理的需要。这种需求使得在历史上不同时期, 并沿着两条不同轨迹发展起来的传统风险管理和金融财务风险管理终于结合在一起, 形成一个崭新的概念――全面风险管理。
全面风险管理是指企业围绕总体经营目标, 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程, 培育良好的风险管理文化, 建立健全全面风险管理体系, 包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统, 从而为实现风险管理的总体目标提供合理保证的过程和方法。
2 构建我国企业全面风险管理整体框架
2.1 我国全面风险管理现状与发展趋势
目前,我国为数众多的企业中的全面风险管理基本是一种被动式的管理,没有专门的人员或机构进行企业风险管理活动,每个人或部门往往只针对工作中的风险孤立地采取一定对策,缺乏系统性、全局性。
笔者认为,要建立企业全面风险管理体系,首先要树立风险意识,转变观念,提高认识,使企业中每个部门每个员工都理解企业全面风险管理的价值,协调全面风险管理目标和政策,把全面风险管理融入日常的企业管理中,使风险管理成为人们一项日常的管理行为。
随着知识经济发展程度的加深,受其影响,现代企业全面风险管理体系从指导思想到具体制度建设上,出现了以下四个方面的发展趋势:一是由着眼于控制向关注环境转变;二是由回顾历史向着眼于未来转变;三是以零起点的风险预测取代评价;四是由关注经营风险向关注战略风险转变。
企业需要经过一个循序渐进、不断完善的过程,从最初的简单风险管理达到全面风险管理的高阶段。全面风险管理将风险管理视为企业追寻机遇过程中一个合理有序的流程,将商务风险管理行为与战略管理、业务计划制定过程结合在一起,使用一种复杂的、高度透明的、持之以恒的方法将战略、过程、人员、技术和知识联结在一起,以实现使整个企业的风险、收益、增长与资本得到充分优化的目的。
2.2 企业全面风险管理整体框架的构建
目前我国企业全面风险管理还处于起步阶段,还未形成成熟的理念和管理工具,受制于发展现状,还需要一个有序不断地改进过程。在构建中要先抓住关键要素,努力以最小的成本达到最大的安全保障,这些关键要素包括以下四个方面。
(1)明确企业全面风险管理目标,建立有效的监督体系。
企业全面风险管理整体框架是建立在明确的企业监督框架和适当的人员责任分配基础之上的,其目标是使风险成为企业文化的内在有机组成部分。企业全面风险管理一定要与企业的技术及战略管理相结合,要在全企业范围内明确宣布风险目标和计划,并将其与企业业务、战略及业绩目标结合起来,建立一个由全企业层次集体支持的风险管理过程。
(2)营造企业全面风险管理的文化氛围,推进风险管理的实践。
企业全面风险管理框架是建立在内部环境的基础之上,内部环境直接影响和制约企业全面风险管理的成败。内部环境的要素包括员工的诚信,职业道德和工作胜任能力,管理层的经营理念和经营风格,董事会或审计委员会的监管和指导力度,企业的权责力分配方法和人力资源政策。要不断提高企业全面风险管理能力,需要一套企业层面的方法。这种企业层面的方法是由企业的组织结构,文化理念和经营管理哲学共同决定的。随着企业文化中风险敏感程度的提高,企业管理者会进一步掌握有效的风险管理能力。通过他们的推进、提供报告、贯彻相应的方法、构建适当的体系,以实施既定的风险战略和政策,企业全面风险管理水平将不断提高。
(3)构建独立的企业全面风险管理体系。
为了确保企业全面风险管理活动被很好地理解和执行,企业首要的任务就是建立一个全面风险管理组织结构。这个结构划分为两个层次:一是高级管理层(董事会)。它承担全面风险管理的最终责任。这种责任要求高级管理层对本企业的产品、业务过程和相关风险有全面了解。其下面设全面风险管理委员会,负责全面风险管理实施过程中的授权和日常决策工作,向董事会提交独立风险报告,它直接对董事会负责。二是建立独立的全面风险管理职能部门。其任务是辅助高级管理层完成其风险管理责任。主要负责评估和监控企业整体的风险情况,并及时向风险管理委员会报告,提出针对风险来源的具体管理办法,制定本企业全面风险管理的各项制度,策划全面风险管理的各项工作,提出全面风险管理的改进方法,建立有效的事后补救机制等。基层所属单位应改变管理模式,在矩阵式管理的基础上实现管理过程的扁平化,使风险管理横向延伸,纵向管理。
(4)建立健全风险识别、评估体系。
要评估风险首先要识别风险,收集分析并综合处理相关的内部及外部数据为企业提供可靠、及时的风险管理信息。我们可借鉴国际先进经验并运用现代科技手段,通过风险组织流程,风险计量模型、风险数据库、风险管理信息系统等手段,采用列出事项目录、进行内部分析、推进式的研讨与访谈、过程流动分析、损失事项数据方法等技术,识别、分析、度量风险与机遇持续过程。建立科学的评估方法,组建一套统一完整的管理工具和风险管理的共同语言,帮助管理层更好地关注,选择应对风险的措施。这种风险评估体系一旦发展起来并投入实施,就逐步走向了企业风险管理。
3 构建体现全面风险管理的内部控制新机制
3.1 构建具有本企业特色创新风险管理理念
将全面风险管理作为企业文化的一部分,是一个全新的概念。这一概念的提出到最终确立为企业文化还需要一个过程,需要全体员工在全面风险管理理念下的共同努力。因此,要多学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,只有这样,全面风险管理的理念才能真正融入到实际工作中,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。
3.2 构建切合实际的内部控制评价机制
传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,岗位管理职责的长期稳定成为保证权威的第一要义,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来修补。作为岗位职责监督者的稽核部门也只是“例行检查”。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。
3.3 构建全新的内部控制组织体系原则
一是全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,但目前,企业内部控制体系与全面风险的要求还存在较大的差距。内部控制要遵循全面风险管理的原则,即:(1)全员管理原则,实现对全体员工强化风险意识,做到“横到边、纵到底”,将风险意识,印在脑海里,落实在行动上;(2)全过程管理原则,对企业的发展、业务操作的全过程实行风险控制;(3)全方位风险管理原则,不但要包括业务风险,还要包括投资风险、信用风险、合同风险等。
二是分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。三是风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。
四是协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。
3.4 构建符合内控要求的业务管理新制度
传统分散风险管理模式下,为了保证各项业务的顺利开展和防范各类风险,各职能部门制定了大量的所谓“全面”的制度。但很多制度刚一制定出来,就失去了实际意义,成为了墙上贴的制度和书本上写着的制度,制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,整合各项业务操作环节,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。
参考文献
[1]许谨良,周江雄.风险管理[M].北京:中国金融出版社,1998.
[2]阎达五,杨有红.内部控制框架的构建[J].会计研究,2001,(2).
一、完善我国内部控制规范评价制度
(一)提升风险管理理念。1992年的COSO报告将“控制环境”要素列为内部控制的五要素之首,2004年的ERM框架则把“控制环境”进一步扩大到“内部环境”。将“控制环境”(内部环境)要素明确为内部控制的基础,就在于把公司治理看作内部控制要素所含的内容,表明内部控制首先要以体现公司治理的本质并实现其目标为起点。由此可以看出,美国的内部控制正向公司治理和管理实践转变。我国财政部颁布的《基本规范》仍停留在会计、审计导向上,这套规范既没有“控制环境”的内容,也没有强调风险管理的价值。应将我国的内部控制规范在理论与方法上从会计、审计的范畴中超脱出来,建设公司治理和管理导向的内部控制,以满足企业的内在需求。
(二)拓展内部控制目标。美国ERM框架的内部控制目标包括战略目标、经营目标、报告目标、合规性目标四个方面,而我国内部控制的目标仅局限于报告目标和合规性目标。我国应拓展内部控制的目标,由报告目标、合规性目标向战略目标和经营目标扩展,以调动企业对内部控制建设的关注和需求。
(三)丰富内部控制责任主体。2006年2月颁布的《独立审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》已将内部控制的责任主体向上扩展到治理层(董事会),向下扩展到其他员工。应将这种理念运用到我国内部控制基本规范中,丰富内部控制责任主体,由单一主体向多元主体发展。
(四)建立科学的内部控制规范体系。对于我国目前内部控制规范中存在的各种缺陷,有关部门应加快对内部控制规范的修订,甚至重新制定。
考虑到我国的实际情况,可以建立内部控制基本规范和具体规范两个层次:基本规范应是一套类似于美国COSO报告那样的概念性的制度框架,具有强制力;具体规范可以是具有可操作性的规则,应是参照性的。有关部门应将内部控制规范的建设提到日程上,建立一套科学的内部控制规范体系,为企业的内部控制的自我评估和外部审计师的内部控制审计提供评价依据。
二、从COSO角度完善现代企业风险管理体系考虑的因素
ERM详细地描述了风险管理过程的八要素,即内部环境、目标制定、事项识别、风险评估、风险对策、控制活动、信息与沟通、监控。
(一)内部环境。内部环境是内部风险管理的基础,公司应当从以下方面说明内部环境:①董事会和管理层的理念和经营风格;②内部风险管理的组织架构;③人力资源政策。从内部环境这一个要素来看,首先,董事会和管理层应该树立风险管理的意识和理念。这是一个公司风险管理存在与否以及是否有效的首要因素。董事会商讨公司日常工作并监督其运行情况,而管理层则负责工作的管理来使公司在健康的道路上发展。二者决定了一个公司的未来走向,其重要性不言而喻。如果说,内部环境问题严重的话,很可能导致公司的全面崩溃。因此,董事会和管理层首先应该树立风险管理的意识和理念。其次,合理设置内部风险管理的组织结构,也是内部环境里重要的一环。管理需要人员和结构,一个合理的结构是保证管理的效率和效果的重要基础。再有,就是人员。管理是人的管理,由人来管理。这就需要合理的员工激励政策和人力资源政策来搞好内部人员的关系,协调他们一起建立一个稳定和谐的内部环境。
(二)目标设定。即管理当局采取适当的程序去设定目标。做人要有做人的目标,一个企业也该有企业的目标。设定一个合理的目标,能够使企业准确定位,规划自身未来的发展道路。管理当局应当确保所选定的目标支持和切合企业自身的最终目标,并且与企业的风险容量相符。
(三)事项识别。即必须识别影响公司目标实现的内部和外部事项。一个企业若想健康长久的发展,就必须对周围的环境有清晰的认识。无论是内部还是外部,企业必须要区分风险和机会。也就是我们所说的事项识别。因此,企业应当说明其事项识别机制,找到事项识别的有效方法,比如SWOT分析等。
(四)风险评估。即通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。
我们现在的公司都处在风险中,面临的风险来自方方面面。如,运营风险、市场风险、财务风险、人事风险、信贷风险、法律风险、管制风险、声誉风险、技术风险等以及随着交易类型和工具的变化所面临的兼并收购、破产重组、电子商务等等。事项识别是我们对所处环境的风险有所认识,但仅仅认识是不够的。还需要我们对风险的可能性和对公司未来的影响进行分析。风险评估是一个进一步认识风险的过程,对接下来的风险应对起着重要作用。所以,公司要运用正确严谨的评估方法,定期对风险进行评估,来确保对风险的预防和及时有效的应对。公司一般采用数学方法和模型,并运用计算机系统,通过预测来评估风险及其影响。
(五)控制活动。即制定和执行政策与程序以帮助确保风险应对得以有效实施。有了风险评估和应对,就要运用评估的结果和应对的措施来指导实践,来对风险加以控制。控制活动就是建立的有助于确保管理层的指令得到实施的政策和程序,在整个机构内所有级别和所有职能部门内进行。这项活动是企业实现其目标过程中一个极其重要的组成部分。不能为控制而控制,也不能仅认为应该控制而控制。管理者必须将控制活动与控制目标相结合,控制活动是努力实现目标的一种机制。在一个企业中,具体的控制活动应当包括批准、授权、验证、核对、审核工作业绩、资产的安全性及职责分工。从这些不同方面来控制,互相牵制和弥补,可以使制定的政策和程序能有效地实施风险应对。
(六)信息与沟通。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。随着人们对日益复杂的信息系统的依赖程度增加,信息的可靠性至关重要。不准确的信息会导致风险不被确认或错误的评估,以及低劣的管理决策。为提高数据信息质量,每一组织必须建立企业级的数据管理项目,包括相关信息的获取、维护和分发。提高信息质量的困难很多,包括职能部门的需求矛盾、系统限制,都会阻碍信息的获取与有效使用。要迎接这些挑战,管理层必须在数据的整合方面制定清晰的战略计划,明确职责并定期对信息质量进行评估。而沟通是信息系统的一部分,包括内部沟通与外部沟通。有效的沟通应包括:有效的企业风险管理的重要性和相关性;企业的目标;企业的风险偏好与风险承受度;每个员工在企业风险管理中的角色和职责。所有员工,特别是负责经营或财务管理职责的管理人员,都必须得到公司最高管理层的明确指令:严肃认真地对待企业的风险管理。
在企业竞争不断加剧的环境下,企业风险管理的作用与影响日益受到普遍关注,据安永会计师事务所2006年3月公布的一份全球调查显示,投资者非常关心企业在风险管理方面的情况,避免投资那些风险管理不力的企业。接近2/3的投资者对于风险管理不力的企业,在投资策略上采取非常抵触态度,近五万的投资者表示曾因这一原因抛售了有关的投资产品。可见,企业如何有效地进行风险管理,已成为公司治理层所面临的一个严峻的课题。
二、企业风险管理
(一)全球化企业风险管理发展现状与趋势
如今的西方多数大中型企业均已实施了不同程度的风险管理。根据德勤2003年的调查,80%以上的世界性金融机构已设立了风险管理师(CRO)工作职位,CRO职位比例居首位的为南美洲金融机构,已达95%,居末位的为亚洲金融机构,仅为29%.在目前欧美的部分金融机构中CRO的职位职能仍然由企业的风险管理委员会行使。普华永道2004年对全球1400位CEO进行了调查,其中70%的CEO将发展与提高企业的整体化风险管理能力提高到他们当前工作内容的首位。调查还显示38%CEO认为,企业已经建立了行之有效的企业整体化风险管理体系,另有46%的CEO表示将在1-3年内建立与发展企业整体化风险管理体系。
(二)我国企业风险管理存在的问题
我国企业风险管理普遍处在比较低的水平上,虽然近年来取得了长足的进步,但就总体而言,与飞速发展的客观经济形势仍不相适应,呈滞后状态。有人认为,我国企业风险管理落后是因为企业管理者的风险管理观念比较落后,笔者认为,现在国内大多数企业之所以没有进行风险管理,是因为缺乏一种与企业整体状况相适应并指导企业进行风险管理的系统框架。这种框架可以帮助企业在事件发生前预测风险、事件发生时应对风险、事件发生后评估与监控风险。
近年来国内外上市公司出现的诚信危机,有力地推动了我国企业风险管理的进程。企业管理当局已经意识到现在的社会也是一个风险全球化的社会。因此迫切需要建立起一套适合我国企业进行风险管理的指导框架。
三、风险导向内部审计与企业风险管理
(一)风险导向内部审计
内部审计的新发展是将评价和管理风险作为重要服务领域。内部审计要检查财务和经营信息的可靠性和完整性,并做出报告,确定对本组织经营活动和报告有关政策、计划、程序、法律和条例的遵循情况,评价资源利用的经济性和有效性,还对组织内部控制的健全性、有效性和遵循情况进行评价等。这正是与我国新出台的以系统论为基础的风险导向审计具有相同的思想。因此我们将这种系统的内部审计方法称为风险导向内部审计。
本文所指风险导向内部审计是指内部审计人员在审计全过程自始至终都要关注风险,根据风险度选择项目,以降低风险为导向,进行内部控制制度的符合性测试、实质性测试,并进行监督检查和评价,提出建设性意见和建议。其审计报告可以作为提示风险、防范风险以及信息交流的预警信号。因此,风险导向内部审计既是基于降低审计风险,又是为降低企业经营风险,进行风险管理的一种有效工具。
(二)风险导向内部审计在企业风险管理中的作用
1.帮助企业管理当局了解风险信息。将工作的重点放在重要风险上,使得年度计划与组织治理层的战略风险相一致,具体审计计划与具体经营风险相一致,还运用一定的方法进行风险管理。在实施审计过程中,使治理层随时了解企业的风险信息,这就可以在风险和机遇中寻求均衡点,使企业在风险来临时从被动受损到主动控制和排除风险,从而能够谨慎而又快速地在风险环境中生存、壮大。
2.帮助企业管理当局识别与评估风险。以系统论为基础产生的风险导向审计,要求内部审计人员不但要检查本企业的风险情况,还要观察同行业内其他企业的经营情况及整个市场的经营风险水平,站在一个较高的角度识别企业风险。另一方面,在了解了其他企业内部控制程序之后,可对本企业的内部控制制度有全新的认识,更容易评价本企业的内控制度是否合适,并采取更佳的内控制度来管理企业的风险。
3.帮助企业管理当局进行风险的管理与协调。从评价各部门内部控制制度入手,在各领域查找管理漏洞,帮助企业管理当局识别并防范风险。企业风险无处不在,不但各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范宏观决策带来的风险。
四、基于风险导向内部审计的企业风险管理框架的构建设想
(一)完善内审委员会
实施风险导向内部审计对企业风险进行管理的基础,就是必须具备完善的内审委员会结构。按照国家有关要求,我国国有大型集团、跨国公司和上市公司大都设置了内审委员会,对企业的经营管理活动进行监控;许多中、小型企业还没有设立相应的内审机构。审计委员会是董事会下设的专业委员会,内部审计人员应该具备专业的知识、较强的业务能力、良好的职业道德水平,并保持其独立性和客观性。其职责主要是负责聘任和解聘外部审计师,并辅助外部审计师的工作,解决公司外部审计师与管理层有关财务报告的争议意见;审查公司财务报告、内部控制和风险管理制度;监督、指导审计工作,协调内部审计与外部审计的关系,为公司董事会使用财务信息及向公众披露财务信息的真实性和可靠性提供保障。完善的内审机构应该做到成本费用合理、工作过程独立,才能在风险管理中真正发挥作用。
(二)了解外部环境风险
企业的外部环境是企业生存的基础,外部环境变化对企业蕴涵着越来越多的风险。风险导向内部审计要求审计人员不仅要了解本企业的经营情况,还要了解:1.同行业其他企业的经营情况;2.市场波动风险;3.政策环境变动的风险;4.科技进步风险;5.自然灾害带来的风险等外部环境的风险。现代企业的风险管理机制必须要随时了解环境的变化,并能够适应环境的变化,有效利用环境的变化,才能得到长足的发展。
(三)确定风险容忍度
风险容忍度是企业在实现其目标的过程中对差异的可接受程度,是在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。风险容忍度较大,说明企业承受风险的能力较强,在容忍度范围内的小风险可以采取通常日常应对措施。内部审计人员可以根据本企业的经营环境、经营规范、资本结构等确定风险容忍度,在风险事件来临时采取不同的措施加以应对。在市场环境下,企业会面临各种风险。内部审计人员应结合企业内外环境,找出所有会给企业带来威胁的风险,并从中确定几个最主要的风险。再对这几个关键风险进行容忍度的量化分析,确定可以接受的风险范围。
(四)识别风险
风险识别是风险管理框架中的关键。是对企业潜在的风险加以判断、归类和鉴定风险性质的过程。也就是说,从潜在的事件及其产生的原因和后果来检查风险,收集、整理可能的风险并充分征求各方意见以形成风险监控列表。
风险识别首先是对风险进行定性研究,内部审计人员熟悉公司的经营管理过程,以风险分析为起点开展工作,有效识别风险。可以根据自身的实际情况,制定风险管理审计计划,包括制订财务风险管理、生产风险管理、市场风险管理、会计风险管理、人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。最后,审计委员会还要关注已识别风险的完整性,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。
其次是对识别出的风险进行定量评估,通过对所搜集的大量的详细损失资料,应用各种管理科学技术,采用定性与定量相结合的方式,评估风险事件发生的可能性和频繁度,风险事件的潜在影响及其成本的高低。针对企业制定的详细风险管理审计计划,分别评估每一计划的风险,再综合各方面因素,确定企业总体风险的大小。风险评估的目的是确定每个风险要素的影响大小,一般是对已经识别出来的风险进行量化估计。在此过程中,内部审计委员会要对已有的评估结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。对于风险缺乏充分的控制措施的情况,提出改进措施和建议,以强化企业的风险管理,降低风险损失。风险分析中不仅要关注风险的数量方面,而且要关注风险的属性方面或其他承载价值的后果。
(五)应对风险
根据本企业的风险容忍度,制定风险应对策略:可规避性、可转移性、可缓解性、可接受性。内审委员会对有关部门针对风险所采取的行动进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内审委员会可以根据不同的情况,提出避免风险、接受风险、还是降低风险的具体措施和建议,协助完善风险的反应方案,以强化企业的风险防范管理,降低风险损失。
(六)监督风险发展状况
风险不是静态的,风险的数量和可能性会随内外部环境的变化而变化,持续的监控对有效地管理风险是最基本的。内审委员会可以通过持续的监控,使企业明确在下一步的风险处理中应当改进的问题。通过这个环节可以明确企业风险管理可以给企业带来的利益与价值,了解风险评估的正确性,为下次评估提供经验教训,明确风险回应决策的有效性,同时还有助于控制成本费用。
(七)评价风险带来的影响
一个风险事件结束后,审计委员会应将此次事件所带来的影响进行归纳、总结,成为以后风险管理的经验。在风险总结中应包含对以下内容的评价:1.风险识别是否完整;2.风险衡量是否准确;3.应对措施是否有效;4.监控手段是否合理;5.风险事件的后果。经过这个环节,可以总结工作的经验与教训,使风险管理框架更加完善。
【关键词】 风险管理;风险导向;内部审计
一、引言
在企业竞争不断加剧的环境下,企业风险管理的作用与影响日益受到普遍关注,据安永会计师事务所2006年3月公布的一份全球调查显示,投资者非常关心企业在风险管理方面的情况,避免投资那些风险管理不力的企业。接近2/3的投资者对于风险管理不力的企业,在投资策略上采取非常抵触态度,近五万的投资者表示曾因这一原因抛售了有关的投资产品。可见,企业如何有效地进行风险管理,已成为公司治理层所面临的一个严峻的课题。
二、企业风险管理
(一)全球化企业风险管理发展现状与趋势
如今的西方多数大中型企业均已实施了不同程度的风险管理。根据德勤2003年的调查,80%以上的世界性金融机构已设立了风险管理师(CRO)工作职位,CRO职位比例居首位的为南美洲金融机构,已达95%,居末位的为亚洲金融机构,仅为29%。在目前欧美的部分金融机构中CRO的职位职能仍然由企业的风险管理委员会行使。普华永道2004年对全球1 400位CEO进行了调查,其中70%的CEO将发展与提高企业的整体化风险管理能力提高到他们当前工作内容的首位。调查还显示38%CEO认为,企业已经建立了行之有效的企业整体化风险管理体系,另有46%的CEO表示将在1-3年内建立与发展企业整体化风险管理体系。
(二)我国企业风险管理存在的问题
我国企业风险管理普遍处在比较低的水平上,虽然近年来取得了长足的进步,但就总体而言,与飞速发展的客观经济形势仍不相适应,呈滞后状态。有人认为,我国企业风险管理落后是因为企业管理者的风险管理观念比较落后,笔者认为,现在国内大多数企业之所以没有进行风险管理,是因为缺乏一种与企业整体状况相适应并指导企业进行风险管理的系统框架。这种框架可以帮助企业在事件发生前预测风险、事件发生时应对风险、事件发生后评估与监控风险。
近年来国内外上市公司出现的诚信危机,有力地推动了我国企业风险管理的进程。企业管理当局已经意识到现在的社会也是一个风险全球化的社会。因此迫切需要建立起一套适合我国企业进行风险管理的指导框架。
三、风险导向内部审计与企业风险管理
(一)风险导向内部审计
内部审计的新发展是将评价和管理风险作为重要服务领域。内部审计要检查财务和经营信息的可靠性和完整性,并做出报告,确定对本组织经营活动和报告有关政策、计划、程序、法律和条例的遵循情况,评价资源利用的经济性和有效性,还对组织内部控制的健全性、有效性和遵循情况进行评价等。这正是与我国新出台的以系统论为基础的风险导向审计具有相同的思想。因此我们将这种系统的内部审计方法称为风险导向内部审计。
本文所指风险导向内部审计是指内部审计人员在审计全过程自始至终都要关注风险,根据风险度选择项目,以降低风险为导向,进行内部控制制度的符合性测试、实质性测试,并进行监督检查和评价,提出建设性意见和建议。其审计报告可以作为提示风险、防范风险以及信息交流的预警信号。因此,风险导向内部审计既是基于降低审计风险,又是为降低企业经营风险,进行风险管理的一种有效工具。
(二)风险导向内部审计在企业风险管理中的作用
1.帮助企业管理当局了解风险信息。将工作的重点放在重要风险上,使得年度计划与组织治理层的战略风险相一致,具体审计计划与具体经营风险相一致,还运用一定的方法进行风险管理。在实施审计过程中,使治理层随时了解企业的风险信息,这就可以在风险和机遇中寻求均衡点,使企业在风险来临时从被动受损到主动控制和排除风险,从而能够谨慎而又快速地在风险环境中生存、壮大。
2.帮助企业管理当局识别与评估风险。以系统论为基础产生的风险导向审计,要求内部审计人员不但要检查本企业的风险情况,还要观察同行业内其他企业的经营情况及整个市场的经营风险水平,站在一个较高的角度识别企业风险。另一方面,在了解了其他企业内部控制程序之后,可对本企业的内部控制制度有全新的认识,更容易评价本企业的内控制度是否合适,并采取更佳的内控制度来管理企业的风险。
3.帮助企业管理当局进行风险的管理与协调。从评价各部门内部控制制度入手,在各领域查找管理漏洞,帮助企业管理当局识别并防范风险。企业风险无处不在,不但各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范宏观决策带来的风险。
四、基于风险导向内部审计的企业风险管理框架的构建设想
(一)完善内审委员会
实施风险导向内部审计对企业风险进行管理的基础,就是必须具备完善的内审委员会结构。按照国家有关要求,我国国有大型集团、跨国公司和上市公司大都设置了内审委员会,对企业的经营管理活动进行监控;许多中、小型企业还没有设立相应的内审机构。审计委员会是董事会下设的专业委员会,内部审计人员应该具备专业的知识、较强的业务能力、良好的职业道德水平,并保持其独立性和客观性。其职责主要是负责聘任和解聘外部审计师,并辅助外部审计师的工作,解决公司外部审计师与管理层有关财务报告的争议意见;审查公司财务报告、内部控制和风险管理制度;监督、指导审计工作,协调内部审计与外部审计的关系,为公司董事会使用财务信息及向公众披露财务信息的真实性和可靠性提供保障。完善的内审机构应该做到成本费用合理、工作过程独立,才能在风险管理中真正发挥作用。
(二)了解外部环境风险
企业的外部环境是企业生存的基础,外部环境变化对企业蕴涵着越来越多的风险。风险导向内部审计要求审计人员不仅要了解本企业的经营情况,还要了解:1.同行业其他企业的经营情况;2.市场波动风险;3.政策环境变动的风险;4.科技进步风险;5.自然灾害带来的风险等外部环境的风险。现代企业的风险管理机制必须要随时了解环境的变化,并能够适应环境的变化,有效利用环境的变化,才能得到长足的发展。
(三)确定风险容忍度
风险容忍度是企业在实现其目标的过程中对差异的可接受程度,是在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。风险容忍度较大,说明企业承受风险的能力较强,在容忍度范围内的小风险可以采取通常日常应对措施。内部审计人员可以根据本企业的经营环境、经营规范、资本结构等确定风险容忍度,在风险事件来临时采取不同的措施加以应对。在市场环境下,企业会面临各种风险。内部审计人员应结合企业内外环境,找出所有会给企业带来威胁的风险,并从中确定几个最主要的风险。再对这几个关键风险进行容忍度的量化分析,确定可以接受的风险范围。
(四)识别风险
风险识别是风险管理框架中的关键。是对企业潜在的风险加以判断、归类和鉴定风险性质的过程。也就是说,从潜在的事件及其产生的原因和后果来检查风险,收集、整理可能的风险并充分征求各方意见以形成风险监控列表。
风险识别首先是对风险进行定性研究,内部审计人员熟悉公司的经营管理过程,以风险分析为起点开展工作,有效识别风险。可以根据自身的实际情况,制定风险管理审计计划,包括制订财务风险管理、生产风险管理、市场风险管理、会计风险管理、人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。最后,审计委员会还要关注已识别风险的完整性,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。
其次是对识别出的风险进行定量评估,通过对所搜集的大量的详细损失资料,应用各种管理科学技术,采用定性与定量相结合的方式,评估风险事件发生的可能性和频繁度,风险事件的潜在影响及其成本的高低。针对企业制定的详细风险管理审计计划,分别评估每一计划的风险,再综合各方面因素,确定企业总体风险的大小。风险评估的目的是确定每个风险要素的影响大小,一般是对已经识别出来的风险进行量化估计。在此过程中,内部审计委员会要对已有的评估结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。对于风险缺乏充分的控制措施的情况,提出改进措施和建议,以强化企业的风险管理,降低风险损失。风险分析中不仅要关注风险的数量方面,而且要关注风险的属性方面或其他承载价值的后果。
(五)应对风险
根据本企业的风险容忍度,制定风险应对策略:可规避性、可转移性、可缓解性、可接受性。内审委员会对有关部门针对风险所采取的行动进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内审委员会可以根据不同的情况,提出避免风险、接受风险、还是降低风险的具体措施和建议,协助完善风险的反应方案,以强化企业的风险防范管理,降低风险损失。
(六)监督风险发展状况
风险不是静态的,风险的数量和可能性会随内外部环境的变化而变化,持续的监控对有效地管理风险是最基本的。内审委员会可以通过持续的监控,使企业明确在下一步的风险处理中应当改进的问题。通过这个环节可以明确企业风险管理可以给企业带来的利益与价值,了解风险评估的正确性,为下次评估提供经验教训,明确风险回应决策的有效性,同时还有助于控制成本费用。
(七)评价风险带来的影响
一个风险事件结束后,审计委员会应将此次事件所带来的影响进行归纳、总结,成为以后风险管理的经验。在风险总结中应包含对以下内容的评价:1.风险识别是否完整;2.风险衡量是否准确;3.应对措施是否有效;4.监控手段是否合理;5.风险事件的后果。经过这个环节,可以总结工作的经验与教训,使风险管理框架更加完善。
五、结论
本文提出企业风险管理框架是一种以风险导向内部审计为指导思想的企业风险管理方法,同时明确了内部审计在风险管理过程中所负担的职责,为内部审计的发展提供了指导方向。总之,一个理想的建立在风险导向内部审计基础上的企业风险管理框架能够有效地控制和管理企业风险,在现有的条件下使企业风险达到最小。随着我国企业融入经济全球化的趋势,企业充分借鉴风险管理框架下的内部审计理论、技术和方法,使企业管理决策更加科学化,增强企业的生存能力与发展能力,实现企业目标的根本保证。
【参考文献】
[1] 朱湘忆. 论企业风险管理与内部审计[J]. 经济师,2005(4):152-153.
[2] 梁伦腾. ERP环境下的企业风险管理审计[J].审计月刊,2005(10):10-11.
[3] 钟淼. 内部审计师在企业风险管理中的角色定位[J].商业现代化,2005(1):91-92.
[4] 易育林. 内部审计在企业风险管理中的作用[J].株洲工学院学报,2006(5):86-87.
[5] 韩志丽. 企业风险管理中内部审计的应用[J].商业研究,2005(18):52-55.
[6] 李琳,陈光辉. 浅谈内部审计在企业风险管理中的作用[J]. 2006(3):85-87.
[7] W. Robert Knechel. The business risk audit: Origins, obstacles and opportunities. Accounting, Organizations and Society, 2006, 9:1-26.
[8] Matthew N. Simmons, Andrew J. Stephenson, Eric A. Klein. Natural history of bilchemical recurrence after radical prostatectomy: risk assessment for secondary therapy. European association of Urology, 2007, 51:1175-1184.
[9] S.Flowerday, A.W. Blundell, R. Von Solms. Continuous auditing technologies and models: A discussion. Computers and Security, 2006, 25:325-331.
[10] Neil Lategan, Rossouw von Solms. Towards enterprise information risk management-a body analogy. Computer Fraud and Security, 2006, 12:15-19.
【关键词】统计内部控制;风险管理;职责;作用
统计内部控制是企业自我约束和监督机制的重要组成部分,履行、发挥统计内部控制在企业风险管理中的职责与作用是企业转化经营机制、建立现代企业制度的客观需要。统计内部控制应有机融入企业风险管理过程中,充分发挥其在风险管理中的重要作用,为企业提高风险管理能力做出贡献。现代统计内部控制最早产生于西方资本主义国家,而我国的统计内部控制是在国家审计制度基础上发展起来的。2000年修订的《中华人民共和国会计法》(以下简称《会计法》)明确规定:“对会计资料定期进行统计内部控制的办法和程序应当明确”,这就进一步确立了统计内部控制的法律地位。探讨现代企业中统计内部控制的作用和进一步发挥其作用的措施,已成为一项重要任务。为此,本文拟就这个问题谈谈自己的一些看法。
1.统计内部控制在现代企业风险管理中的职责
在风险导向统计内部控制中,风险管理成为组织中的关键流程,分析、确认、揭示关键性的风险,成为统计内部控制的主要职责。
1.1 统计内部控制有职责融入企业风险管理
现代企业面临的经营环境日趋复杂,风险日益增大,减少面临的风险是企业实现价值最大化目标的关键。统计内部控制采取系统化、规范化的方法促进建立风险管理过程,通过内控制度的评价,对公司经营活动进行风险识别和评价,改进风险管理与控制体系,提请管理层关注风险,从而完善企业管理,转化负面风险,提升企业竞争能力和应变能力,最终实现企业目标。从实现企业目标方面看,统计内部控制有职责参与企业风险管理。企业是多个部门的集合,其中一点(一个部门)造成的风险会传递到另一点,最终会使整个面(企业整体)陷入困境甚至于瘫痪。因此,对风险识别、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。统计内部控制在企业中的地位,决定其能站在全局的高度相对超脱地获得企业内部控制、经营管理活动及风险管理等方面的信息,向管理层提供创造性思维,提出科学、合理的建议,避免风险带来的损失。从全局角度看,统计内部控制有职责融入风险管理。
1.2 统计内部控制是构成企业风险管理的重要机制
从企业内部看,现代企业建立了各级风险管理组织层次,包括风险控制委员会、统计内部控制部门、专职风险监管部门。但风险监管部门隶属于管理部门,不具有独立性,其意见有时会屈服于管理当局的压力,这使得风险管理部门的作用的发挥受到限制。
从企业外部看,外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,经常能提供一些有用的信息影响到企业风险管理。但他们更多地围绕企业会计报表的合法、公允、一贯性开展工作,对企业管理环境和运作过程不十分熟悉,决定其提供的风险管理服务不能做到贴近内部管理,不能对企业风险管理的有效性负责。而统计内部控制部门对企业面临的风险更了解,在风险管理方面拥有外部审计无可比拟的优势。
1.3 统计内部控制是风险控制程序的有益补充
在审计计划、审计实施、审计报告阶段,将风险作为重要考虑因素,在整个审计过程贯穿对风险的关注,充分考虑风险管理的充分性和有效性。具体讲,在审计计划阶段,统计内部控制应该考虑企业活动存在的风险,在评估风险优先次序的基础上安排审计工作,按照风险大小分配审计资源;在审计实施阶段,审计师通过检查、评价风险管理过程的充分性和有效性,发现风险控制的漏洞和薄弱环节;在审计报告阶段,对风险管理状况进行评价,对风险管理中存在的漏洞和不足提出改进建议,协助企业管理层确定、评价并实施针对风险管理的方法和控制措施。
2.统计内部控制在现代企业中的作用
2.1 完善企业约束机制,促进规范企业经济行为
监督职能是指检查监督被审计单位经济活动的真实性、正确性、合法性及合规性,督促其经济活动在正确的轨道上运行。审计监督职能与专业监督有本质的区别,审计监督的内容广泛、综合,并具有独立性、监督层次较高的特点。现代企业的自我约束机制是企业自主经营.自负盈亏,自我发展的保证。通过处于企业自我约束机制中心地位的统计内部控制进行再监督,能使企业充分实现自我约束。特别是针对不合规问题提出改进建议、意见或交由有关部门处理.有利于提高企业经济效益。据统计,仅1996年企业统计内部控制机构共完成504115个财务收支审计项目,查出并纠正各种违规金额达310.46亿元。园此.有人把统计内部控制比喻成企业的“经济卫士”。
2.2 有助于企业建立起科学的管理体制和提高管理水平
在现代企业制度下,有限责任公司、股份有限公司与其相适应配套的公司董事会、监事会、经理等现代企业内部机构的设立形成了现代企业管理体系。这个体系中有各自的职责权限范围,各机构如何相互制约和平衡是保证企业科学管理的基础。只有通过统计内部控制机构的评价服务职能运用。间接参与企业经营管理来约束董事、经理等机构和人员并协调其相互间关系,从而形成科学的管理体制,使各机构依据法规、章程对企业生产经营活动进行组织和领导,起到保证生产经营正常进行的作用。具体说来,统计内部控制对企业的生产经营决策、计划等各种经济活动是否符合国家方针政策,是否适应市场经济要求积极提供客观评价服务,通过在经济审计工作中发现的问题,为本企业的利益提供评价服务,帮助投资预测、成本分析、政策咨询等服务并提出合理化建议,促使各单位改进或采取措施从而不断提高企业管理水平。
【摘要】风险管理和内部控制及公司治理的研究正成为许多国家政府以及有关国际组织的研究重点,COSO的《企业风险管理——整体框架》标志着内部控制理论与实践进入了整体框架的新阶段。关注COSO报告中风险管理框架的新发展,加快企业风险管理,在完善社会主义市场经济体制进程中无疑具有重要的现实意义。
一、COSO的内部控制整体框架和风险管理整体框架
(一)《内部控制——整体框架》关于风险管理的论述
1992年,COSO了其研究报告《内部控制——整体框架》,并于1994年进行了增补修订。在该报告中,COSO(1992)指出,企业必须了解它所面临的风险,并加以处理。企业必须制定目标,而目标又必须与销售、生产、营销、财务等活动相结合,如此企业才能很好地运作。企业还必须建立识别、分析和管理相关风险的机制。
COSO(1992)提出了内部控制的五个要素,其中之一便是风险评估。COSO(1992)指出,每一个主体都面临着各种来源于内部和外部的风险,这些风险必须加以评估。风险评估的前提之一是建立目标,不同层次的目标应当相互联系并保持内部一致。风险评估是指识别、分析与实现目标相关的风险,它是决定这些风险应如何管理的基础。由于经济、行业、管制和经营条件会不断发生变化,应当建立相应的机制以识别并处理与这些变化相关的特定风险。COSO(1992)指出,须从企业整体和作业两个层次来识别风险。企业整体层次的风险可能由外部或内部因素而产生。外部因素如:科技发展、顾客的需求或预期改变、竞争、新颁布的法律法规、天然灾害、经济环境改变;内部因素如:信息系统处理的中断、员工的品质、经理人的责任改变、企业活动的性质以及员工可接近企业资产的程度、董事会或监事会不够坚定或无效。
(二)风险管理的新发展:《企业风险管理——整体框架》
2004年,COSO了其研究报告《企业风险管理——整体框架》。风险管理整体框架(ERM)是在内部控制整体框架基础上发展而来的。COSO(2004)指出,风险管理框架不想也没有替代内部控制框架,但它将内部控制框架整合在内,采用这一框架,企业既可以满足内部控制的需要,也可以建立一个完整的风险管理过程。
1.风险管理的目标
COSO(2004)认为,主体的目标包括四个:
(1)战略目标,是高水平的目标,它应与组织的使命一致并支持该使命;
(2)经营目标,组织应当有效率和效果地使用资源;
(3)报告目标,组织应当提供可靠的报告;
(4)遵循目标(合规性目标),即组织应当遵循相关的法律规章。
企业风险管理实际就是为实现上述目标提供合理的保证。
2.风险管理的内容
企业风险管理包含以下方面的内容(作用):
(1)协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时,应考虑组织的风险偏好。
(2)改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略(包括规避、降低、分担与接受风险)中做出选择。
(3)减少经营意外与损失。提高组织识别潜在事项并做出反应,减少意外事项及相关的成本或损失的能力。
(4)识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险,企业风险管理应当有助于对相关关联的影响作出有效的反应,并对多企业的风险作出整体性反应。
(5)抓住机会。通过考虑所有的潜在事项,管理层应当能够识别并实现机会。
(6)改善资本的配置。在获得关于风险的信息后,管理层可以有效地评估总体资本需求并改进资本的配置。
企业风险管理的上述作用,有助于管理层实现组织的经营和盈利目标,并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循,并有助于避免组织声誉的损害及相关不良后果。总之,企业风险管理有助于企业向其所期望的方向发展,避免在发展的过程中遭遇陷阱和意外。
3.风险管理的要素
企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法,并与管理过程合成一个整体。这些要素包括:
(1)内部环境。内部环境包含了组织的风格,它确定了组织人员如何看待和处理风险的基础,是其它要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。
(2)目标设定。在管理层辨别影响其目标实现的潜在事项之前,必须有目标。企业风险管理要求管理层设定目标,选择的目标需要能够支持组织的使命并与组织使命相一致,并与其风险偏好相一致。
(3)事项识别。即识别那些影响组织目标实现的内外部事项,并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。
(4)风险评估。必须对风险加以分析,考虑其发生的可能性以及影响,并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。
(5)风险应对。管理层应在不同的风险应对(包括回避、接受、降低、分担风险)中做出选择,从而采取一系列与组织的风险容忍度(risk tolerances)和风险偏好相一致的行动。
(6)控制活动。应建立相关的政策和程序,以确保风险应对策略得到有效的执行。控制活动通常包括两个要素:确定应从事何种活动的政策、执行政策的程序。
(7)信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息并加以传递沟通,从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上,包括向下、向上以及平行交互沟通。
(8)监控。整个企业风险管理都应当加以监控并根据需要做出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。
对于这八个要素,COSO(2004)指出,企业风险管理不是一个严格的序列过程,即一个要素仅影响下一个要素,而且是一个多方向的、相互影响的过程,任何要素都可以并且确实影响其它的要素。
4.风险管理目标与风险管理要素的关系
COSO(2004)认为,目标是主体要实现什么,企业风险管理的要素则意味着需要什么来实现它们,因此,风险管理的目标与要素之间存在密切的直接联系。这样,企业目标、风险管理要素与企业各个层级之间就形成一个三维立体图。
二、美国风险管理准则对我国的启示
从以上COSO风险管理准则内容和要求上,可以看出存在以下特点:
(一)将风险管理与内部控制联系在一起。内部控制是风险管理的重要手段,董事会应当建立并维持有效的内部控制系统以实现风险管理。
(二)均强调风险管理是一个包含风险识别、计量和应对的系统化过程。风险识别、计量、应对和控制活动是一个紧密的整体,企业必须识别面临的潜在风险,并评估其对企业的影响,从而采取相应的措施来应对风险。在风险识别和分析、评估的技术上,均强调应当结合采用定量技术和定性技术。另外,人们越来越认识到,风险是无法绝对消除的,因此,风险管理的目标是将其控制在主体的风险偏好以内,而不是消除风险。反映到风险应对策略上,相关的风险管理准则大都强调风险的应对措施包括回避、抑减(降低)、转嫁(分摊)、接受,应当根据风险发生的可能性、对主体的影响以及主体自身的风险容量选择适当的应对措施。 (三)强调风险管理应当融入到企业日常经营活动中,并贯穿于企业的各个层次、所有的经营活动。风险管理针对的是企业经营活动中对企业目标实现产生影响的风险事项,因此,风险管理必须与企业的经营活动紧密地结合在一起,在经营活动中处处体现风险管理的理念与做法,这不仅有助于及时识别企业所面临的风险事项,也有助于降低风险管理成本、提高风险管理效率。
(四)强调控制环境的作用。公司的高层基调、管理层的管理哲学、董事会和相关委员会、员工的胜任能力对于有效的风险管理具有重要作用,如果没有一个良好的、注重风险管理的内部环境,风险管理很难取得成功。
(五)强调全员参与。全员管理是现代风险管理的重要特征,风险管理不仅仅是风险管理部门的事,而且需要靠企业的全体员工来落实,所有员工都会影响到企业风险管理的效果,企业应当使所有员工了解自己在风险管理中的作用。
(六)强调信息与沟通。信息和沟通对于良好的风险管理和内部控制相当重要,下层要了解公司的风险管理战略和政策、措施,并有顺畅的向上沟通风险管理和内部控制情况的渠道,上层要及时向员工及外部了解企业面临的重大风险及其管理情况。
(七)强调定期对风险管理过程和内部控制进行评估,并对发现的缺陷和不足加以报告。风险管理是一个持续的、动态的过程,企业的内、外部环境在不断地变化,这决定了原先的控制未必有效,因此,必须定期对风险管理过程和内部控制的有效性进行评估,以找出其缺陷和不足并及时采取补救措施。
关键词:内部审计;企业风险管理
现阶段,我国的社会经济发展已经逐渐步入了“新常态”,从增长速度上来看,已经从高速增长转变为了中高速增长;从发展方式层面出发,已经从依靠资源要素以及投资驱动转变为了创新驱动。目前的经济发展“新常态”促进了企业管理工作的“新常态”,内部审计作为现代企业管理的重要组成部分,应找准与现代企业管理的结合点,积极主动适应经济发展新常态。随着内外部环境变化,企业经营环境变得日趋复杂,各种风险日益增多,正确认识风险和风险管理的意义,寻找风险管理的有效途径,帮助企业及时、有效地预防和应对风险,是推进内部审计工作创新发展的途径之一。本文从内部审计参与企业风险管理的意义出发,指出内部审计参与企业风险管理的途径和方法,并进一步探讨了内部审计与风险管理结合在企业中的应用和实践。
一、企业风险管理的概念
2004年9月,美国COSO委员会在《内部控制整合框架》的基础上扩展形成了《企业风险管理整合框架》(COSO-ERM),为现代化企业风险管理工作提供了一个相对全面的指南。基于COSO框架,企业风险管理主要是由企业中的董事会、管理人员以及其他工作人员在计划方案制定的时候以及在整个企业中实施的、用于识别可能影响组织的潜在事件并根据风险偏好管理风险,为组织目标的实现提供合理保证的过程。
二、内部审计参与企业风险管理的意义
从企业内部管理来看,内部审计是企业风险管理中的关键性组成部分,充分发挥着提升风险管理水平的重任;从内部审计发展进程来看,参与企业风险管理逐渐发展为内部审计工作的专业化发展方向与业务拓展的主战场。此外,内部审计工作作为企业内部有着相对超脱以及独立身份的专业化机构,能以更加全面、深刻和专业的视角仔细观察分析以及评价企业发展期间所面临的多种内部风险因素与外部风险因素。内部审计可以充当现代化企业风险控制管理的最后屏障,发挥安全网的作用。具体来说,内部审计不仅能够凭借监督身份实施独立性企业风险评估,而且还能够凭借服务职能上的优势全面参与到相应的风险管理建设中去,最终实现内部审计工作健康发展以及大胆创新,从根本上提升审计地位。此外,风险管理方面的专业化理论与实践的发展同样可以促进企业内部审计在价值层面的保值增值,创造更大的业务空间以及发展平台,实现内部审计逐渐从传统财务向非财务领域的科学化过渡发展。
三、内部审计参与企业风险管理的途径和方法
(一)协调组织风险管理决策
内部审计在企业中具有的独特组织地位,大多数企业的内部审计分布于各个组织系统和各个基层单位的内部,对企业的业务接触全面,能够在企业企业风险管理以及改进等环节发挥组织协调的作用。其次,内部审计人员跟其他具体的业务职能人员相比,更能避免逆向利益驱动、环境影响、反道德行为等可能导致风险管理失效或不彻底等情况的发生,有助于其发表专业、客观的意见,协助设计和实施企业风险管理。再次,内部审计可以协助企业中的不同部门对各种风险进行不断完善,制定出合理化的处置方案,致力于优化企业的风险应对措施,日益完善风险防范管理方案,从根本上减少由于风险而造成的企业损失。但是,内部审计执行协调角色职能时,应避免承担相应的管理职责,且不能因协调业务而损害其独立性。
(二)提供咨询服务
内部审计针对企业风险管理开展咨询业务的深入程度取决于企业风险管理的成熟度。当企业尚未建立全面风险管理框架时,内部审计应该作为企业风险管理的推动者,将企业风险管理的意识引入到企业文化当中,从而使每个岗位上的员工都形成风险意识。当企业逐步建立全面风险管理框架时,内部审计人员应充分发挥自身具备的全局视野和专业技能,适时根据企业战略目标、经营策略的调整以及自身财务知识结构、所处外部经济环境的变化,不间断地改进和完善企业风险管控的组织结构和业务流程,使之能持续符合企业的风险承受能力,为企业长期发展保驾护航。此外,需要引起注意的是,当内部审计机构开展咨询服务工作的时候,必须要充分考虑自身的专业化胜任能力。具体来说,内部审计的相关工作人员必须要有着相对较强的风险管理知识以及操作技能,而且应经过专业化培训教育,可以清楚了解风险识别情况、风险评估情况、风险监控情况等。
(三)评价企业风险管理过程
内部审计应从以下几个方面对企业风险管理过程进行评价:一是评价企业风险管理组织结构是否充分、适当和有效,对于其设计和运行存在的缺陷和不足提出针对性改进措施,充分发挥内部审计的咨询职能,使风险管理组织结构更具有合理性。二是在熟悉企业战略目标和经营业务的基础上,针对不同项具体评价其风险识别是否全面,风险等级划分是否合理。
(四)跟踪风险控制活动
从实际操作来说,企业风险管理框架的执行远比框架的设计重要,一个设计完美的管理框架可能因判断错误、执行人的胜任能力和内外部境变化等因素而失去其应有的作用。因此,内部审计人员应当对风险所处环境及其他相关因素开展持续性监测和分析,动态关注企业风险监控体系是否健全及执行效果,也可以通过对内部审计揭示披露风险或问题的处理情况开展后续跟踪检查,检查所实行的控制措施是否及时有效或产生新的风险,并将检查结果及建议提供给企业管理层以便改进风险控制措施。
四、内部审计与企业风险管理结合在企业的应用和实践
根据国资委《中央企业全面风险管理指引》以及《关于2012年中央企业开展全面风险管理工作有关事项的通知》要求,中国铁路总公司及其所属铁路局已经在探索如何将内部审计与企业风险管理进行有益的结合,并针对高风险领域及管理层关注的问题开展了一系列专项审计和调查,提高了内审的效率和效果,也证明了与企业风险管理的整合是内部审计发展的主要方向之一。例如,中国铁路总公司对铁路基建项目建设情况进行跟踪审计,就工程的立项、预算、招标、合同、实施、验工计价、验收、竣算、付款等各环节进行审计,对发现的问题及时提出管理建议并协助整改,保证了工程项目优质高效快速的建成;南昌铁路局内部审计部门根据与企业风险管理战略目标匹配的业务重点,开展了全局非运输企业物资贸易经营风险防控管理情况、职工保障性住房建设资金管理情况等专项审计,为管理层的后续决策提供了依据,促进了企业风险管理的持续改进。这些专项审计和调查对现阶段国有企业内部审计工作的开展无疑有着很好的示范作用,但是铁路企业因其特殊的历史原因和体制问题,长期以来将安全风险管理作为企业风险管理的主要目标,缺乏将战略风险、财务风险、市场风险、运营风险和法律风险整合的全面风险管理体系,还处于风险管理的初级阶段,不够系统和规范。笔者尝试根据企业风险管理流程,设计了风险管理基础审计的一般程序,希望能起到抛砖引玉的作用。
(一)计划阶段
内部审计部门制定年度审计计划时,应对识别出的风险事件评估后进行风险排序,确定审计先后次序。审计计划制定后并非一成不变,当管理层的目标、方针和关注点发生变化时,应对审计计划进行适时调整,重新分配审计资源。其次,在执行审计业务计划的过程中,如果出现内部审计资源不足或审计范围受到限制的情况,内部审计部门负责人应及时向企业管理层报告,以避免无法获取充分、适当的审计证据,导致审计结果出现偏差。
(二)准备阶段
风险管理审计的准备阶段是进行风险管理审计的基础,这一阶段所需进行的准备工作主要包括:了解企业的风险偏好和战略目标、业务层面目标的风险承受度;在审计业务范围内实施初步调查后,确定审计目标和审计领域相关风险、控制程度及可利用的内审资源;审计方法的选择等。
(三)实施阶段
1、根据审计范围选取合适的风险评价标准
内部审计人员在选取风险评价标准时,应考虑该风险评价标准是否符合被审计单位的实际情况;是否涵盖大部分的风险领域;风险特征是否鲜明清晰,对环境的变化是否具有弹性。
2、对审计范围内的风险进行分析和评价
内部审计人员结合企业经营战略制定和部署,采取定量分析与定性分析相结合的方法对风险实施综合性评估。通常情况下,风险评估坐标图属于相对常见的分析方法,属于定性分析法,主要是借助对风险带来影响大小的反映,将此结论与风险可能出现的情况进行密切关联,从根本上为明确业务风险次序提供合理化框架。定量分析方法则可以通过采集足够多的风险样本,利用专业工具和技术建立概率模型量化风险来确定风险评级;再按照初始设定的影响程度和可能性估值,计算风险评分,将评分较高的风险列作主要风险,评分较低的风险列作次要风险,然后对风险进行优先次序的排列。
3、对风险应对措施
进行评价在确定了风险的范围、发生的可能性、可能造成的损失等因素后,是否正确地选择了风险应对策略,最大限度地降风险是内部审计人员的重点关注点。风险应对策略一般来说有规避、控制、转移、承受四种,每种策略的使用是有条件的,否则将认为措施不当。内部审计人员应结合被审计单位的风险偏好、企业所处的环境特征、风险程度以及企业管理人员的经验等,来判断企业风险应对措施选取是否适当。
4、对风险管理框架进行评价
内部审计部门应在众多单项风险评估的基础上,评价企业风险管理框架的充分性和运行的有效性。包括:评价风险控制体系所具有的有效性特点,也就是说风险控制体系的应用是否可以获得相应的预期效果,最终实现预期的实际控制目标;科学评价风险控制体系是否存在重大差异和缺陷,发现后是否及时进行了纠正或改进。
(四)报告阶段
风险管理审计报告就是内部审计的工作人员针对审计过程中所发现的相应风险水平以及对于组织目标所产生的影响作出的评价结论和控制过程评价报告,除具备内部审计报告的要素外,还应简明易懂、有建设性意见。可以三种形式发表评价结论:一是无保留意见,即经过审计没有发现风险管理体系存在普遍的相对严重的薄弱环节;二是保留意见,也就是审计可以发现风险管理体系当中存在的相关管理漏洞或者是薄弱环节,然而整体上是不至于失效的;三是否定意见,也就是风险管理体系有重大漏洞或严重的薄弱环节,风险管理体系整体上作用很小甚至失效。
(五)审计后续阶段
内部审计部门应对审计结果进行跟踪检查,监督管理层已采取有效措施,确保审计建议能够得到有效落实;或管理层针对审计中发现的问题,决定接受不采取行动所带来的风险。
作者:李萍 单位:南昌铁路局审计处
参考文献:
[1]内部审计在治理、风险和控制中的作用[M].西苑出版社,2008年
[2]中央企业全面风险管理指引,2004年