企业风险管理标准范文

时间:2023-08-29 17:17:15

导语:如何才能写好一篇企业风险管理标准,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业风险管理标准

篇1

关键词:企业年金;风险管理;IS031000;受托管理风险

JEL分类号:G23 中图分类号:F832.39 文献标识码:A 文章编号:1006-1428(2011)11-0112-04

一、企业年金风险管理分析

企业年金是指企业在参加国家基本养老保险的基础上依据国家政策和自身经济状况建立的对基本养老保险进行补充的养老保险形式,是养老保障体系“三支柱”中的“第二支柱”。2005年以来,我国先后评审认定了来自银行、保险、证券、基金、信托行业的两批企业年金管理机构。截至2010年底,我国已有3.7万家企业建立了企业年金计划,涉及员工1300余万,资金规模逾2800亿。

风险是指不确定性对目标的影响,风险管理可以定义为一个组织对风险所采取的指挥和控制的协调活动。风险管理是与金融业发展相伴的永恒课题,关系到退休人员补充养老金问题的企业年金也不例外。

企业年金的风险管理主要关注受益人从参与年金计划直至取得最终收益全过程中所面临的风险。主要包括企业年金各管理机构间信托、委托合同关系执行中违约产生的信用风险,企业年金资产保值增值过程中投资所面临的市场风险,因为制度缺陷、人员因素、科技因素导致的操作风险等。中国市场上的企业年金风险具有多行业多机构联合运营使风险复杂化,业务导向型市场影响企业年金健康发展,信息透明度低于公募基金等特点。

企业年金是退休人员的“养命钱”,具有强烈的低风险偏好,追求在相对安全的前提下实现保值增值.所以加强其风险管理研究和实践的意义重大,影响到国家养老保障体系的建设和企业年金自身的发展。本文首次将风险管理标准ISO31000引入中国企业年金研究领域,结合我国金融市场和社会保障特点,对该标准在企业年金风险管理中的应用策略展开研究。

二、ISO31000及其引入企业年金管理的论证

(一)ISO31000标准及其应用价值

ISO31000:2009《风险管理――原则与指南》是国际标准化组织ISO于2009年11月15日的国际标准。该标准的制定起步于2004年,ISO技术管理局组建了由澳大利亚专家任主席、28国专家组成的风险管理工作组(RMWG),历经WG稿、CD稿、DIS稿、FDIS稿等版本最终定稿。标准正文包括范围、术语与定义、原则、框架、过程共五部分。我国国家标准GB/T 24353参考了ISO31000的DIS稿。

因为全球第一个企业层面的风险管理标准AS/NZS 4360是ISO31000的起草基础和重要参考文本。所以ISO31000在企业有很高的应用价值。虽然正式的时间不长,但ISO31000已经被中国企业关注.部分实施SOX法案404测试的企业对该标准展开了学习,某金融机构的博士后工作站也将如何应用该标准列为正式研究方向。

(二)将ISO31000引入企业年金管理的论证

在中国企业年金风险管理的研究与实践中.有关学者和机构已经借鉴COSO、Basel、CAS、Towers Perrin展开了很多有益的工作,但ISO31000在中国企业年金管理领域尚未被引入。

第一,必要性论证。我国企业年金风险管理的标准化工作尚未启动,在借鉴国外风险管理的协议、框架等经验的同时,应该适时引入风险管理的标准。中国企业年金管理机构归属于不同行业,仅参考行业属性强的风险管理制度(如银行业的Basel)不利于化解行业差异,需要一套更有通用性的标准指导管理工作。

第二,可行性论证。ISO31000是第一个面向企业风险、个人风险、公共风险等各类风险的通用性风险管理的国际标准,综合了30多个国家/地区的风险管理标准编制经验,淡化了行业属性和国别色彩,能够涵盖企业年金管理中面对的信用、市场、操作等各类风险。

第三,应用意义。按照ISO31000的制定方针.企业年金风险管理中应用ISO31000可以使企业年金利益各方“提高实现其目标的可能性”,“鼓励主动管理”,“提高各方识别、应对风险的意识”,“改进对机会和威胁的识别”,“符合相关法律法规和国际规范”.“改进信心和信任”,“为风险应对有效地配置和使用资源”,“改进运营的有效性和效率”。

三、企业年金管理应用ISO31000的原则研究

(一)标准的性质与定位

在企业年金管理中应用ISO31000中要首先明确标准的性质。首先,1SO31000是风险管理的指南,但不具有管理要求和管理体系的性质。其次,本标准在ISO系列标准中突破性地强化原则的重要性.指出了风险管理的11项原则。再次,本标准可以用于组织内部和合同关联方的审核或评价,但不是一个认证标准。

(二)标准的执行主体

企业年金风险管理的执行主体是年金管理机构(受托人、账户管理人、投资管理人、托管人),同时也需要企业客户(委托人)和监管机构的监督。监管部门设置四类管理机构,在职责隔离、相互制衡以控制风险的同时,机构间信息流、资金流的复杂走向也为风险管理增加了难度。其中,受托人作为最终责任人.承担着风险管理标准落实核心的角色。

(三)标准实施的难点

第一,一个年金计划往往要涉及多家机构,存在大量信息与资金交互,还存在合同到期后机构间转移的可能,这些为ISO31000的实施增加了复杂度。第二,销售导向型市场现状下,年金管理机构盈利困难.实施一套完整的国际风险管理标准却需要大量成本。第三,年金管理机构间短期内难以实现完全的数字化信息交互,系统性的信息不通畅会影响风险管理标准的具体落实。

(四)标准实施的重点

第一,年金管理机构所在的不同行业已实行风险管理的程度不同,银行、证券、保险、基金、信托机构间风险管理成熟程度不同,行业管理标准不同.ISO31000是统一标准的好契机,但同时也需要在不同类型机构应用时因地制宜。第二,ISO31000因其通用性。相对抽象与笼统,需要企业年金管理机构结合业务实务进行大量研究探索。第三,标准实施中要从四种管理资格、多类型风险、计划执行生命周期多个阶段三个维度综合考虑。

四、基于ISO31000的企业年金风险模型设计

(一)风险模型设计

本文结合ISO31000中风险管理过程一章的思想和中国年金管理机构的管理实务,将企业年金风险管

理模型设计如图l。建立环境、风险识别、风险分析、风险评价、风险应对、监测与评审,构成年金风险管理的完整闭环,循环于计划建立、计划运营、计划终止转移等各个阶段,面向信用、市场、操作三类风险。

在建立环境环节,年金管理机构需要清楚地表达工作目标,确定内外部参数,这是管理风险和为维持风险管理过程而制定范围、风险准则时必须考虑的。在风险识别环节,年金管理机构需要通过历史数据、理论分析、专家意见和利益相关方需求对风险源、风险事件、风险原因和它们的潜在结果进行分析。在风险分析环节,风险管理部门应考虑分析的详细程度及变化、与风险本身的依赖性等,可以定性、半定量、定量或采用它们的组合。在风险评价环节,以基于风险分析结果的决策为目的,根据风险需要应对和实施应对的优先顺序进行决策。在风险应对环节,选择一个或多个改变风险的方式,评估采取应对措施后残余风险的等级是否可以容忍,如果不容忍则应提出新的风险应对。沟通与咨询工作存在于上述各个环节。监测与评审工作可以是定期或临时的。

(二)机构风险管理差异

除了模型中通用性管理外,根据四种管理资格间的信息流与资金流,对于不同管理资格风险管理的差异和涉及的风险管理工具总结如图2,图中实线为资金流,虚线为信息流。

五、企业年金管理中实施ISO31000的步骤规划

图3表示了年金管理机构将风险管理整合入企业年金现有管理体系和不同职能阶段的过程步骤。

第一,授权与承诺。该阶段对应企业年金合同管理。为确保企业年金风险管理的有效性,需要与委托人形成有效的约束合同,明确风险管理的终极目标,即以保值增值为基础,追求年金给付时的较高收益水平.提高受益人退休后的养老金替代率。而机构管理层需要提供强有力和持续性的承诺,将风险管理提升到公司层面而非停留在风险管理部门层面。

第二,管理风险框架设计。该阶段对应企业年金计划建立。管理风险框架的设计中,首先要考虑年金管理机构所属的行业,根据银行、证券、保险等不同行业的环境特点研究风险框架;年金管理机构应依据组织的目标、方针,建立风险管理方针,明确管理风险的责任、职责及处理年金计划各方利益冲突的方式,对风险管理部分提供必要资源,确定测量和报告风险管理绩效的方式:机构明确风险管理责任与责任人;将风险管理以关联的、有效的、高效率的方式嵌入机构的年金计划管理全过程:机构为风险管理配置适当的人力物力财力资源:建立内部各管理单元的沟通机制和对管理层的报告机制;建立对客户和监管机构等外部单位的报告机制。

第三,实施风险管理。该阶段对应企业年金运营管理。年金管理机构需制定风险管理框架实施的时间计划,加强与各方面的沟通、咨询,掌握全面信息.加强培训,确保风险管理框架的实施结果与计划目标的一致。

第四,框架的监测与评审。该阶段对应企业年金基金监督。年金管理机构应按照确定的指标测量风险管理绩效和风险管理计划的进展,定期评审风险框架的合理性和有效性。

第五,框架的持续改进。该阶段对应企业年金的系统改进、客服管理。以监测和评审的结果为基础.结合客服渠道获得的反馈,年金管理机构对风险管理的框架、方针、计划和信息系统进行改进。

针对企业年金管理中应用ISO31000的难点与重点,需要年金机构高度重视并从长久健康发展的角度努力研究并积极克服,主要手段包括:第一。加强不同资格年金机构间的信息沟通、数据交换标准实施、信息系统对接。第二,充分考虑我国多行业共同运营与监管企业年金的现状,加强对各行业管理标准、发展现状的调研与分析。第三,结合中国企业年金用户的管理现状、工作习惯、职工心理,加强产品设计、投资、运营的实务研究与总结。

六、受托运营风险管理的实例分析

受托人是企业年金风险管理中最重要的角色.本文选取受托运营及其面临的操作风险为例,运用上述模型进行对其计划建立、计划运营、计划终止转移三个阶段的风险管理注意事项进行具体讨论。

计划建立阶段:(1)年金计划的设计在符合法规要求的前提下,要尽量贴近客户需求,防止偏离需求导致的服务风险隐患,从需求源头遏制不合理要求。(2)方案设计的参数化。(3)加快处理速度,减少客户等待时间。(4)保证计划与合同细节的准确性。

计划运营阶段:(1)加强多个管理人间及管理人和委托人间的信息交互管理,防止信息传递失误。(2)积累人工经验,并编人计算机系统,提高业务管理系统错误检查的能力。(3)加强运营差错控制流程的监督,确保制度落实。

计划转移阶段:(1)准确快速执行新旧管理人间的交接工作,以满足人社部2011年11号令[8]对45日工作时限的要求。(2)客户信息转移的准确性、完整性和保密性。(3)新旧管理人对客户服务的持续性,确保无缝对接。

对于运营差错导致的操作风险,风险应对的主要手段包括:(1)查找差错根源,及时按流程更改错误。(2)弥补客户因服务问题蒙受的直接损失。(3)惩戒导致差错的人员,对导致差错的信息系统及时升级改进。(4)改进工作流程,加强复核和异常数据的检查。

篇2

关键词:风险管理 可持续发展 人本理念

概论

企业风险管理是对企业内可能产生的各种风险进行识别、衡量、分析、评价,并适时采取及时有效的方法进行防范和控制,用最经济合理的方法来综合处理风险,以实现最大安全保障的一种科学管理方法。

所谓企业风险是指企业内外环境的不确定性、生产经营活动的复杂性和企业能力的有限性而导致企业的实际收益达不到预期收益,甚至导致企业生产经营活动失败的可能性。

宣钢公司作为国有大型企业,引入风险管理可以有效规避市场潜在风险,是科学发展与持续发展的必然要求。通过实施风险管理能够切实保障企业生产经营稳定有序,且良性循环。

1.企业风险管理的内容

企业风险管理具体包括企业风险识别、企业风险衡量和企业风险处理三个方面。

企业风险识别是风险分析和管理中的一项基础性工作,其主要任务是明确企业风险的存在,并找到主要的风险因素,为后面的风险度量和风险决策奠定基础。

借助企业风险衡量,以便确定对企业发展影响的严重性并采取相应的措施,它其实就是运用一定方法对风险发生的可能性或损失范围与程度进行估计和衡量。

企业风险处理则是针对不同类型、不同规模、不同概率的企业内外部风险,采取相应的对策、措施或方法,使风险损失的影响降到最小限度。

按照风险的来源不同,可以分为外部风险和内部风险。具体地讲:企业外部风险包括:顾客风险、竞争对手风险、政治环境风险、法律环境风险、经济环境风险等;企业内部风险包括:产品风险、营销风险、财务风险、人事风险、组织与管理风险等。

2.企业风险管理现状分析

宣钢公司始终坚持“七统一”的经营管理模式和“集中一贯制”的管理原则,在明确各职能部门归口管理职能和职责的基础上,把握关键,完善制度,突出规章制度的标准化和刚性管理。自2010年开始,宣钢公司坚持围绕安全生产、现场管理、财务管理、产品研发、基础管理、标准化作业、物资检验、工程建设、互助检修、能源管控、综合利用、物流、质量、环境保护等方面,不断梳理和重新修订各项规章制度500多项,目前已形成了一套与当前生产经营流程紧密衔接的较为完整的内部管理制度,对公司财务、市场、运营、法律等方面的风险管理发挥了重要作用。

此外,宣钢公司为建立高效、精干的组织机构,提高专业化、系统化管理水平,在修订、完善公司各职能部门主要职责和管理权限的同时,进一步加强、加快权力运行机制建设,按管理岗位严格设定权责,固化管理(业务)流程,明确各岗位管理范畴。使得部门职责与权力运行机制从职能部门和具体岗位权责两方面交相呼应,共同构成宣钢公司完整的业务(事务)操作权限指引,进一步理顺了管理体制,强化了风险控制,减少和杜绝管理空白,优化了资源配置。确保国有资产保值、增值。

3.企业风险管理存在的问题

一是宣钢公司未建立全面风险管理组织体系,主要依靠各业务管理部门完成风险信息收集、风险评估等基础工作,并依据各专业系统管理规章进行事中的风险管理,而在公司整体层面上未建立统一风险管理策略和风险管理方案,风险管理工作相对较为分散。

二是风险管理工作主要集中在业务层面,由公司各业务部门构建了风险管理的第一防线,而未明确建立风险管理职能部门或董事会的第二道防线以及内审部门的第三道防线。

三是员工风险管理意识不强,没有将风险管理意识转化为共同认识和自觉行动,风险管理文化建设还需进一步加强。

四是风险管理信息系统不够完善,缺乏风险管理的信息技术手段,无法通过信息系统实现风险预警。

4.加强企业风险管理的思路及重点工作

一是加强风险管理文化的宣传力度,将风险管理文化建设融入公司文化建设全过程,增强员工风险管理意识。针对当前钢铁行业严峻形势,采取多种途经和形式,加强对风险管理理念、知识、流程、管控核心内容的培训,培养风险管理人才,培育风险管理文化。

二是尽早建立和完善风险管理组织体系,明确公司法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位在公司全面风险管理中的职责、权限,使公司全面风险管理工作实现统一领导、协调运行的总体目标,从而确保公司形成高效运转、有效制衡的监督约束机制。

三是逐步构建风险管理的三道防线,将风险管理工作与薪酬制度和人事制度相结合,增强各级管理人员特别是高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽视风险等行为的发生。

四是根据国家五部委联合下发的《企业内部控制制度》要求,并按照集团公司统一安排,适时启动宣钢公司内控体系建设工作,将内控建设与全面风险管理体系的健全有机结合,构建完善的公司全面风险管理体系。

五是加强风险管理信息系统建设。在对公司ERP系统的管理功能进一步完善、开发的基础上,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,实现对风险的计量、定量分析与定量测试工作。

5.结语

篇3

摘 要 随着一系列加强公司治理规定的出台,公司治理核心要素的风险管理受到了前所未有的关注,企业风险管理的中坚力量内部审计正成为公司治理基石之一。本文介绍了企业风险管理审计的内涵,论述了当前开展风险管理审计工作存在的主要问题及对策,以利于风险管理审计的正确认识和顺利实施。

关键词 公司治理 风险管理 内部审计

近年来,由于企业缺乏风险意识,没有对风险实施实质管理而导致破产或整顿的事件时有发生,促使中国企业越来越重视风险管理。加强风险管理审计是企业发展的需要,也是投资人及利益相关者的需要。

一、风险管理审计的内涵

风险管理审计是内部审计部门采用系统化、规范化的方法,通过对企业全面风险管理活动进行监督和评价,进而改善企业风险管理、增加企业价值、实现企业目标。

二、目前企业风险管理审计存在的主要问题

(一)风险管理审计所处的环境方面

1.企业组织机构及配套制度不健全

目前,大多数企业的组织机构没有独立的风险管理部门,风险管理模式是谁主管谁负责承担,但当发生风险时,相关职能部门又不能全面承担风险,或是风险承担的最终主体模糊。

2.管理者对风险重视不够

企业管理者只是消极、被动的进行风险管理,没有积极、主动地进行风险管理。同时,有些企业只顾眼前利益,忽视长远利益,进行风险管理需要耗费一定的人力、物力、财力,而有些企业管理者,考虑到成本或者其他原因而放弃对企业进行全面、系统的风险分析,最终给企业带来巨大的损失甚至遭受致命打击。

3.尚未建立科学的、操作性强的风险管理评价标准体系

风险管理审计在我国才刚起步,其相应的评价标准体系尚未建立,实际工作中,有的以国家或行业的相关规定作标准,有的以本企业历史最好水平或理想水平为依据,这就容易导致评价标准的模糊、偏离实际。

(二)风险管理审计的实施主体方面

1.内部审计人员风险管理意识亟待加强

目前大多数内部审计人员对审计工作的认识仍停留在指出企业已经存在的错误和不规范的行为。而对于尚未发生的,需要预测、分析、评价的和企业战略目标的实现密切相关的风险则认识不够,阻碍了风险管理审计工作的开展。

2.内部审计人员素质水平不够高

我国现有内部审计人员综合素质仍然无法满足独立承担风险管理审计的需要。多数内部审计人员缺乏经济、管理等知识多元化背景,从专业结构来看,内部审计人员主要来自于会计和审计专业,整体素质偏低,与现代企业发展不相适应,无法胜任对风险管理的评价工作,而寻求专家支持又受到经费和人力资源信息的双重制约。

3.审计部门风险管理审计工作权责不明

很多企业审计部门不仅要负责建立企业风险管理体系,还要评估风险事项,提出防范措施,这样的职责分配,削弱了审计工作的独立性与客观性。同时,大多数企业审计工作都是对总经理负责,一旦总经理拒绝采纳审计部门提出的正确的风险管理意见,则不能有效执行风险管理措施,这本身就是一种公司治理上的重大风险。

三、完善企业风险管理内部审计的对策

(一)企业方面

1.管理当局应承担起风险管理的责任

董事会负责制定战略目标,赋予高管层风险的所有权,执行管理层接纳剩余风险,运营层持续的识别、评估、减轻和监督活动,内部审计部门定期评价并协助其他部门进行风险管理。因此,管理层承担着全部风险管理的责任。

2.强化风险意识

市场是动态的,以及受风险预测方法、技术、人员等的影响,不能对风险全面、准确的预测。企业管理层应充分认识到内部审计的地位和作用,保证内部审计部门具有相应的独立性和权威性,发挥内部审计在风险管理中的重要作用。

3.管理当局应制定符合企业特点的风险管理评价标准体系

企业风险管理部门应对纳入风险管理范围的各项经营活动制订最低或最高标准。该标准体系应该具有如下特点:特征鲜明,客观真实,分类清晰,因时而变。根据风险管理对象的不同可以建立相应的风险评价标准。

(二)内部审计方面

1.内部审计人员必须提高认识,准确定位

近年来围绕公司治理结构出台的一些新规定,都对内部审计赋予了新的职责。面对出现的新情况和新趋势,内部审计人员要扮演好“执行情况的评判者”、“增值服务的贡献者”、“良好文化的倡导者”三个角色,发挥其应有的作用。

2.提高内部审计人员的素质

提高内部审计人员的素质,是发挥内部审计作用的关键。内部审计人员应具有强烈的求知欲,及时了解和掌握国家经济政策、财经法规以及企业、部门规章制度、会计和审计知识等方面的变化信息,加强对税法、经济法、企业管理等其他相关知识的学习,努力成为复合型人才。

3.内审部门要注意与董事会、管理层的沟通

在适当情况下,内部审计人员应与管理层、审计委员会和董事会就与风险和风险管理事务中的薄弱环节进行讨论。如果审计部门负责人认为高级管理层接受的风险水平与机构的风险管理战略和政策不一致,或该水平不能被机构接受,审计部门负责人应就此与高级管理层进行讨论。

参考文献:

[1]孟焰,潘秀丽.企业风险管理审计研究.审计研究.2006(3).

[2]向振军,尹珍丽.刍议企业风险管理审计.黑龙江对外经贸.2006.

篇4

内部审计与企业风险管理协调与整合,能帮助内部审计的发展。内部审计的成员,都是公司自己的人员,他们对企业经营活动的了解与熟悉程度比外界审计机构高,对公司的忠诚度也高。他们在进行内部审计时,能够更快速、准确的核查出公司存在风险的地方,在审计报告中,能提出具有针对性、更有效的风险管理意见,为公司提供有效的服务。与外界审计机构相比,更突出了他们的优势,提供发展的机会和巩固了内部审计在企业发展中的地位。内部审计与风险管理协调与整合,能有效的对公司进行管理与监督。企业风险管理,需要内部审计去完成这个过程。企业风险具有不可预测性,如果管理层未能及时预测到风险隐患,可能会对企业的发展造成影响。而我们的内部审计部门是在我们业务处理部门之外的一个部门,在企业生产经营活动中,可以作为一个客观的角度来认识事物的发展,能从全局发展去看待经营中决策的影响结果,及早的为企业管理者提供风险防范措施与改善建议。内部审计可以对公司经营中长期风险进行协调,指导企业进行风险管理。通过内部审计这个工作,才能使企业风险管理得以实施,保证企业的健康发展。

二、内部审计在企业风险管理中的作用

美国反虚假财务报告委员指出企业风险管理有四个目标,八个要素,并且在企业的四个层面开展。四个目标是在遵守国家法律法规的同时,客观对待经营活动,采用高效率的发展方式,实现企业战略目标;八个要素是内部环境、事件识别、风险评估、风险反应、目标设定、控制活动、监控活动和信息沟通。企业风险管理四个目标是在企业的企业级、部门级、事业单位级和分公司级中去实施完成的。而这些过程,需要我们的内部审计去监督与控制,为管理层提供有效的保证与咨询服务;在发展过程中,对风险管理提供有效的风险报告评估和风险管理评估,监督企业经营活动的发展,促进企业健康稳定发展。在企业风险管理过程中,我们的内部审计就起到了监督的作用。内部审计服务包括保证服务和咨询服务,内部审计活动也是围绕这两种服务开展的,促进企业对风险的识别与评估,同时指导和协调决策者对风险进行管理,提供风险管理建议,体现了内部审计具有建议性的作用、咨询作用和指导作用。

三、内部审计与企业风险管理整合的方法

内部审计工作的开展,就是为企业风险管理提供服务,对企业风险进行评估,监督与改善企业风险管理。企业内部审计是企业风险管理的重要部分,二者不可分割,因此,需要我们对内部审计与企业风险管理进行有效的协调与整合,主要有以下几个方法。

(一)风险管理基础审计。风险管理基础审计就是站在公司全局的位置,从公司基本经营活动出发,对公司实现目标的经营活动中的风险进行审计。基础审计更关注于企业的战略目标,从多方面去监督与控制企业风险,主要涉及了企业经营目标,管理者能接受风险的底线,主要风险的评估数值和业绩风险的管理等。在实施过程中,对企业目标实现风险进行有效的改良处理,避免或者接受公司经营活动中的固有风险,并对固有风险进行有效的控制与管理。在实施风险管理基础审计时,首先我们应该把企业的经营目标列入我们的审计计划里面,并作为我们审计的判断标准;其次我们应该根据管理层把目标与业绩关联对风险的接受底线,管理层接受风险的底线等来进行审计判断风险的强度;通过有效的方法途径,向管理层提供风险评估报告和风险管理方法,让管理者能正确识别风险并重视风险。

(二)风险管理审计。风险管理审计就是企业内部审计对公司生产活动经营活动管理中风险管理的设计、风险管理实施、关键风险管理的控制和风险评估的报告数据的真实性、准确性进行审计与评估。我们的内部审计工作人员应该对企业实施的风险管理方针进行评估,看是否符合该企业目标的实现。同时,我们应该对企业风险管理体系的可靠性、充分性、准确性进行审计,以保证企业风险管理符合企业的实际情况,提供及时有效的风险管理建议,有效控制风险的发生。在企业生产经营活动中,要随时监控企业风险控制方法是否及时在实际工作中实施,改善工作是否到位,提早预防与控制风险管理。

(三)管理咨询和建议。内部审计在做审计工作的同时,应该为企业管理层提供有用的风险管理建议和风险管理咨询服务,因为我们内部审计的工作目的就是为企业提供有效的保证服务和咨询服务。企业风险管理体系在发展过程中,我们的内部审计有义务为风险管理提供准确的、及时的风险咨询服务和建议,让企业风险管理从开始做到及时有效的管理与监控。在发展过程中,内部审计可以为风险管理提供专门的咨询服务,同时对风险管理中发现的问题提供专业的风险管理改善方法,为风险管理提供保证服务。

四、结束语

篇5

【关键词】 风险管理审计;研究;述评

风险管理是企业经营过程中的核心内容。风险管理审计既是风险管理的最后一道防线,又是推动风险管理向前发展的有效力量。近年来,国内外学者对风险管理审计理论进行了研究。本文对风险管理审计理论的产生、研究成果等进行了系统的探讨。

一、风险管理审计的产生

随着企业管理理论与实践的发展,内部审计受托责任在范围和内容上不断扩展和充实,内部审计的外延和内涵也日益拓展和丰富,从而不断出现新的导向阶段。20世纪90年代起,关注利益相关者的价值理念在管理中成为主流思想,企业致力于增加价值,公司治理、内部控制以及风险管理的研究进入了比较成熟的阶段,世界各地相关法规纷纷出台,对内部审计提出了新的要求,公司管理层也希望从内部审计工作中得到更富有建设性的服务以巩固、提高其组织地位,这一切都给内部审计带来了压力,风险管理审计就是应对这些压力而产生的。

风险管理审计由内部审计始发而来,是沿着内部审计和管理实践两条道路发展而来。早在1997年,麦克宁和塞林(McNamee&SeLim)就提出内部审计在组织中的作用已经从原来的“独立的评价职能”转变为“整合风险管理和公司治理”。虽然麦克宁和塞林没有展开具体分析,但可以说他们的观点是有前瞻性和洞察力的。严晖(2004)认为,以风险为核心和出发点的内部审计从事后反应式的评价和反馈转变为更加能动、及时的前馈和实时反应。郑小荣(2006)认为,现代企业面临的高风险经营环境,引起企业对内部审计需求的变化,是风险管理审计产生的内部背景,而审计外部化趋势侵蚀内部审计生存的职业空间是风险管理审计产生的外部背景。王光远(2007)认为,企业有许多风险点,需要对风险点进行专门审计,这便产生了风险管理审计。有关风险管理审计理论与实务的研究,从20世纪90年代兴起,有些团体和个人做了大量的工作,取得了具有可操作性的结果。1995年澳大利亚标准委员会和新西兰标准委员会成立的联合技术委员会制定和出版了世界上第一个企业风险管理标准S/NEZ4360标准,为企业内部审计提供了一个以风险为基础的框架(严复海,2007)。澳大利亚内部审计已较早地走出单纯财务收支审计圈子,步入以内部控制和风险管理为主要内容的现代审计,澳大利亚内部审计参与风险管理和控制的基本流程已成为固定模式。国际内部审计师协会(IIA)研究基金会(2001)在《企业风险管理――趋势和最佳实践》一文中建立了企业风险管理框架。该框架包括评估风险、整合风险、探究风险和保持向前四个环节。总部位于纽约的雅芳公司,内部审计部门的目标是成为运营部门和公司管理层的业务伙伴,“根据公司战略行为和目标调整审计策略,在新的业务风险降临时,设法从开始就介入,并通过雇佣有经验的员工执行原本草率行事的初始检查。内部审计部门通过引导公司改进审计计划来关注公司全面的业务风险。”杜邦(Du Pont)公司内部审计人利用战略经营机构网络进行全球性风险评估和认定。内部审计人利用风险模型的分析结果,与管理当局讨论实际的风险情况,确定下年的主要风险领域。

二、风险管理审计研究成果

从21世纪初至今,美国对风险管理审计做了大量的实证研究或经验研究,并取得了丰硕的成果。2004年美国国家财务报告舞弊委员会(National Commission On Fraudulent Financial Reporting, i.e Treadway Commission)所发起的内部控制研究组织(Committee of Sponsoring Organization,COSO)了《企业风险管理框架》(Enterprise Risk Management-Integrated Framework, ERM),该风险框架是COSO 委托美国普华永道会计公司(Pricewaterhouse Coopers)组织编写的,基本上是对在全球跨国公司运用多年的全面风险管理实践进行的系统总结,成为风险管理审计发展史上的经典文献。在ERM框架中,要求内部审计人员在监督和评价成果方面承担重要任务,评估风险管理要素的内容和运行以及执行质量,协助管理层和董事会履行其职责。ERM扩大了内部控制的范围,提高了内部控制的层次,是一个更关注风险的强大的概念体系。值得一提的是,2004年IIA-UK and Ireland机构发表的名为《The Role of Internal Audit in Enterprise Wide Risk Management》的意见书中指出,采用ERM的组织已逐渐认识到,内部审计能在组织的ERM过程中发挥最为合适的作用。Beasley等在COSOERM框架之后的经验研究表明,“ERM使内部审计对组织风险有了更好的了解……随着内部审计部门在ERM方面的经验越来越丰富,ERM对内部审计的积极影响将得到更多的体现。”这表明ERM对内部审计产生了显著影响,内部审计在ERM中扮演着多种不同的角色。Compion、Antita(2000),Gerrit Sarens,Ignace De Beelde(2005),澳大利亚证券交易所(Australian Stock Exchange)明确提出了风险管理包含内部控制的观点。英国与爱尔兰内部审计协会2003年8月颁布了关于“风险管理审计”的立场公告(Position Statement),对风险管理审计的作用做出了阐述。2004年IIA《内部审计实务标准――专业实务框架》的修订对风险管理审计科学成长意义重大。江苏省内部审计师协会2004年印发《江苏省内部风险管理审计准则》(试行)。中国内部审计协会2005年内部审计具体准则16号――《企业风险管理审计》。这些著作和法规代表了管理职业界发展风险管理审计的尝试。

风险管理审计的文献除涉及上述风险管理审计的历史发展外,还涉及了风险管理审计实施的必要性、风险管理审计的动因等方面内容。《内部审计思想》(Bailey等,2006)中,Herman-son和Rittenberg将内部审计的治理活动界定为“风险监控”和“控制确认”。他们认为,“风险监控、控制确认和遵循工作构成内部审计活动的主要部分,这三个要素共同直接勾画出组织治理”,内部审计在公司治理中的作用“包括监控、评价和分析组织的风险与控制,以及检查和确认信息与政策、程序和法律的遵循”。摩根士丹利(Morgan Stanley)高级经理卓继民(注册会计师)的专著《现代企业风险管理审计》中对风险管理审计理念和方法进行了系统的阐述,他运用工具、模型以及来自实践的案例研究了风险管理审计的概念、对象、准则、报告等一些基本的问题,为风险管理审计的规范化做了大量基础性工作。陈珊珊对风险管理审计从纵横角度分析了其最新定位和独特优势。陈锦烽认为,内部审计工作从控制扩大为风险管理及公司治理是时势所趋。王骥认为风险管理将由一般能力变为核心竞争能力,成为企业管理的重点。高东坡在《内部审计如何参与企业的风险管理》中研究了在我国开展风险管理审计的必要性和可行性,着重强调了由内部审计师执行风险管理审计业务的优势。夏丹宁在《推进风险管理审计的思路》中从理论与实践相结合的角度,就风险管理审计选题、立项、工作方案、审计方法、审计评价等做了初步的探讨。刘世谨将风险管理审计动因概括为以下四点:其一,企业面临的风险日益增大,减少企业面临的风险是组织实现目标的关键;其二,内部审计对发展的渴求,使内部审计师把风险管理作为内部审计的重要领域;其三,内部审计能够在风险管理中发挥独特的作用,包括管理风险、控制指导风险管理策略、加强管理层对内部审计部门意见的重视程度;其四,外部审计扩展了风险评估这项新的保证服务业务,这不能不对内部审计界产生影响。孟焰认为,企业风险管理审计应当包括以下方面的内容:1.通过审查风险管理组织机构的健全性、风险管理程序的合理性、风险预警系统的存在及有效性确定企业风险管理机制的健全性及有效性;2.通过审查风险识别原则的合理性、风险识别方法的适当性确定风险识别的适当性及有效性;3.实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。

21世纪以来,风险管理审计的问题逐渐成为世界范围内普遍关注的问题和会计、审计科学改革的焦点。独立咨询师(IMC)、国际注册内部审计师(CIA)、金融风险管理师(FRM)和注册企业风险管理师(CERM)四支力量推动着风险管理审计的发展。诸如以迈克尔・波特为代表的战略管理理论以及迈克尔・哈默、詹姆斯・钱皮的企业再造理论等为风险管理审计提供了重要的理论基础,数理统计学、实证方法、计算机技术等为风险管理审计有关方式和方法的建立和运用提供了有利的技术方面的支持。

三、对风险管理审计研究现状的总体评价

风险管理审计作为一个新兴的内部审计分支,改变了传统的思维方式,扩大了风险管理的应用范围,优化了内部审计行为,为内部审计的职业发展提供了广阔的空间。它虽然只发展了20多年,但已经取得了可喜的研究成果:1.风险管理审计逐渐从概念转换成具体的行动步骤;2.企业越来越重视风险管理体系的建立健全;3.我国学者借鉴国外的研究成果,对风险管理审计进行了富有成果地探讨;4.风险管理审计的研究领域不断拓展。

但是,风险管理审计目前仍有许多实际问题需要解决:

1.如何建立广泛的风险管理观念;2.建立什么样的企业风险管理框架;3.风险管理审计实施工具的开发;4.风险管理审计如何参与企业制度风险、法律风险等其他风险的评估测试;5.公司治理、内部审计和风险管理的整合;6.风险导向审计与风险管理审计概念的界定。这些方面都是今后风险管理审计的研究方向。

【参考文献】

[1] 司欣波.澳大利亚内部审计模式调查与研究[J].会计师, 2006(5):45.

[2] 赵金芳,黄甲喜.对企业风险管理实施内部审计的思考[J].商业会计,2007(1):27.

[3] 卓继民.现代企业风险管理审计[M].北京:中国财政经济出版社,2005.

[4] committee of the Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management Framework, (Draft)[R]. New York: COSO, 2003. erm.省略.

[5] The Institute of Internal Auditors-UK and Ireland. Position Statement: Risk Based Internal Auditing[S]. London: IIA UK and Ireland, 2003:3.

[6] 许天祥,范国佑,韦华宁.如何做好内部审计[M].北京:中国财经出版社,2007.

[7] 陈珊珊.内部审计:三维视角下的重新审视[J].中国工会财会2005(6):9.

[8] 陈锦烽,苏淑美.内部审计新纪元[M].大连:大连出版社,2006.

[9] 王骥.内部审计参与风险管理的路径[J].企业改革与管理,2007(6):17.

[10] 高东坡.内部审计如何参与企业的风险管理[J].商场现代化,2007(9):73.

[11] 夏丹宁.推进风险管理审计的思路[J].中国内部审计,2004(12):17.

篇6

关键词:风险管理;小微企业;风险意识;成本效益;内部控制

关于风险管理,多数人都会联系到大中型企业管理中的管理内容,其实,风险管理存在与否与企业规模无关,只要是企业就需要进行风险管理。企业的风险管理能力,尤其是抵抗风险的能力,决定着企业的生死存亡。小微企业虽然规模小、资源有限,但其实是一个完整的组织,风险管理也是其企业管理中相当重要的内容。

一、小微企业风险管理概述

2004年9月美国反虚假财务报告委员会的发起人委员会(简称COSO)颁布了《企业风险管理-整合框架》,明确了风险管理就是一个管理过程,旨在识别潜在事项并对其进行风险管理,使其在主体的风险容量内为主体目标的实现提供合理保证。我国财政部于2018年8月颁布了《管理会计应用指引第700号———风险管理》(财会〔2018〕22号),其中第二条规定:风险管理是指企业为实现风险管理目标,对企业风险进行有效识别、评估、预警和应对等管理活动的过程。无论是美国的还是我国的企业风险管理的概念,都突出了风险管理的过程属性,即识别、评估、应对的闭环过程,也突出了风险管理的目标属性,保证企业目标的实现。由此可以得出,小微企业风险管理是小微企业为了企业生存发展目标,对不确定性事件进行合理应对的管理过程。

(一)小微企业风险管理的现状

目前,小微企业风险管理的水平参差不齐,管理水平高的,风险管理贯穿于企业的各项经营管理流程之中,管控有重要节点,有主有次,轻重不同;管理差的,基本上处于被动接受风险结果的状态。部分企业成立时缺少风险管理,随着企业的发展能够逐渐完善风险管理体系,逐渐做大做强,有些则相反,成立之初,风险管理就已经建立了,但没有随着企业的发展而发展,处于停滞状态。一部分企业虽然有着比较完善的风险管理制度,但处于纸上谈兵,根本没有落地,多数企业虽然制度不完善,但已经成制度的部分执行落实得很彻底。

(二)小微企业风险管理的重要性

风险管理可以促进小微企业管理目标的实现,能够帮助小微企业了解应对其面临的各类不确定事件,规避风险,掌握机会,合理调配自身的资源,平衡成本与效益,尽量减少经营意外和损失。对于小微企业更为重要的是,能够使小微企业充分利用有限资源,顺利渡过初创期,完成从生存到发展的飞跃。

二、小微企业风险管理存在的问题

虽然小微企业的风险管理水平不一,但无论是处在何种状态的小微企业,在风险管理上都存在着诸多问题,主要体现在以下方面:

(一)风险管理意识分寸掌握不合理

在小微企业中,风险管理意识或不足或过强,对风险的环境、目标、事件、评估、应对、控制、沟通及监督不够深入全面,低估或高估风险时有发生。低估风险容易造成被动局面,被迫接受高风险带来的后果,产生重大损失;高估风险则会浪费人力、物力、时间等各项资源,成本费用增加,甚至会因此错失机会,限制企业发展。特别是当面临高利润、大金额、长期收益或是可树立良好企业形象的项目,企业更容易弱化风险意识,面临被动接受风险的局面。

(二)企业实际控制人对风险管理不够重视

小微企业因为规模小,组织结构简单,企业决策基本上都是由其实际控制人做出的,是实际控制人的一言堂。如果实际控制人在实际管理中风险偏好过于激进或者懈怠风险管理,会使整个企业对于风险管理都是不重视的,员工也不太可能会主动防范风险。除此以外,实际控制人可能因为自身素质的限制,把企业管理重点放在业务上,对风险管理不重视。

(三)财务负责人的专业能力不足

在小微企业中,财务负责人要全面负责财务、税务、内控、预算等工作,要统筹公司的成本费用与利润,收入与税金、资金的关系,要求财务负责人具有满足这些工作的专业能力、理论基础和实践经验。但在实际中,一部分小微企业因为人力资源制度、发展空间的限制,不能留住具备完全胜任能力的财务负责人,现任的财务负责人存在专业知识不全面、实践经验欠缺、专业能力不足等问题,在风险控制、沟通和监督中,很难起到专业性的引领和桥梁作用,严重阻碍了小微企业的风险管理。

(四)风险管理不成体系,风险管理重点不突出

小微企业风险管理的内部环境导致了小微企业在风险管理时零星操作,风险管理制度不完善、不成体系,很难把握住风险管理的重点,样样风险都想防范,样样都不能把握的合理、恰到好处。小微企业可能会忽略那些高风险、较大可能性发生的不确定事件,把人力、物力、财力、时间等资源浪费在低风险的事物上,形成了风险管理的空白区域,未做到风险管理的全面性、融合性、平衡性和重要性,存在舞弊或丧失机会的可能。

(五)风险管理内容的分类管理上关系处理不妥当

目前阶段,多数小微企业面临的核心问题依旧是生存,因此风险管理也是围绕生存这个战略核心去开展的。因此,战略风险管理必然成为主体,优先级最先,而财务风险管理、市场风险管理、运营风险管理、法律风险管理这四项风险管理是辅助。在小微企业的实际经营管理过程中,很少有把企业的战略风险管理放在首位的,有的甚至是缺失的,其他四项风险管理缺少了根本的服务目标,基于此的风险管控措施必然是不到位的,管控效果有限,会出现本末倒置、喧宾夺主的情况,不但不能促进企业管理目标的实现,反而与企业管理目标背道而驰,最终事与愿违。

三、加强小微企业风险管理的措施

提高小微企业的风险管理水平,要从最基础的风险管理意识入手,在此基础上,完善制度,抓重点,保根本,促落地。

(一)选人用人培训人,形成全员的风险意识

只有在企业内部形成良好的风险管理氛围,树立全员风险意识,小微企业的风险管理工作才能得到保证。第一,要注重风险管理关键人的意识培养。风险管理关键人包括企业实际控制人、财务负责人、各业务部门负责人,这些人决定公司发展的走向,对各项业务都有引领带头作用,更有监督核查的责任,他们的风险意识强了,企业的风险管理水平就上去了。尤其企业实际控制人和财务负责人,企业实际控制的风险偏好、风险容量和风险容限,决定着企业的风险偏好、风险容量和风险容限,因此要特别加强实际控制人风险意识的培养,做好员工的榜样。财务负责人是各项业务流程的交汇监督人,是企业风险管理的第二道防线,他的风险意识越强,对于企业实际控制人的建议影响力就越强,风险管理的效果也越明显。第二,严格把控关键风险管理人员的选用标准,企业要任用重用那些具备以下素质的优秀人才:一是专业基础知识过硬;二是熟悉公司业务实操;三是经验丰富,熟知风险管理的要点;四是懂经营管理,能做好实际控制人的参谋;五是要有前瞻性;六是要有职业道德,;七是要有较强的学习能力。第三,通过对所有岗位人员的专业培训、职业引导实现加强风险管理的全员培训。在专业培训和职业引导中,让所有员工树立起风险意识。一方面培训内容要有针对性,符合岗位职责内容,预先给关键岗位的关键人打好预防针,强化风险管理的关键点和重点,为该人员风险管理意识形成打下良好基础;另一方面在执业引导中,要突出风险管理关键人物的带头作用,促进全员风险管理意识的形成。

(二)建立并落地风险管理制度

在小微企业管理中比较突出的特点就是灵活多变,实用性强,因此,小微企业需要首先建立起一个风险管理的制度框架,随后逐步完善,添加更为具体详实的内容。在制度的制定过程中,最关键部分是流程表单的制定,要通过和具体的业务部门如采购、生产制作、服务、仓储运输、销售、售后、人力资源、法务等部门的沟通协调,制定出易实施操作、方便控制的业务流程,每个流程都要有对应的表单,其填制、审核传递流程要与业务流程一致,在表单中体现部门、人员的分工、职责、权限,这样既保证了财务数据的完整、真实、可靠,又保证了内控措施的有效执行,使得风险管理落到实处。在风险管理制度落地时要减少管理层凌驾和人员串通。减少管理层凌驾最好的办法就是尽量避免“特批”,“特批”的存在会让已经制定好的制度、流程失效,正常的风险管理状态被破坏,更让被特批的人,形成侥幸心理,风险管理制度就形同虚设了。人员串通在小微企业更容易形成,因为在小微企业中一人多岗多责更普遍存在,因此除了简单的道德约束,还要在流程设计中减少不相容岗位,形成互相监督。

(三)坚持成本效益原则,抓住重点

在企业管理中风险总是无处不在的,即使风险管理体系全面的企业也难以做到识别并应对所有风险,尤其是在小微企业里,资源有限,要把有限的资源投入到企业的发展中去,因此,风险管理一定要坚持成本效益原则,合理应对风险。所谓合理应对,就是将风险高可能性大的不确定性事件作为风险管理的重点,高风险就意味着发生后损失大,可能性大就是易发生,这是风险管理流程中的关键节点。比如在合同风险管理中,合同审核时发现客户方存在较多的应付账款诉讼,那么这个客户的授信就要限制,不然应收可能就不能回收,这是个高概率高风险事件,是风险管理的重点。对于低风险可能性小的不确定事件采取忽略的态度,因为一旦发生企业也承担得起后果。对于风险高可能性小和风险低可能性大的不确定事件,就要看企业的风险承受力、风险偏好,也就是机会与风险的选择,要求企业用收益率、损失率的数据标准线来控制。

(四)坚持战略风险管理战略风险管理是企业维持经营方向

正确最根本的保证,一旦战略风险管理出现问题,就会让企业发展方向发生偏离,甚至南辕北辙。因此,小微企业一定要形成不定期复盘经营情况的制度、传统甚至是习惯,观察内外环境是否变化,尤其是国家法律法规对于产业导向的影响,财政、税收、人力资源政策对企业的扶植力度,科学技术特别是计算机网络技术对于本企业的影响,企业自身是否与市场发展程度、经济发展水平、科技水平、国家政策相适应。运营风险管理、财务风险管理、市场风险管理和法律风险管理四项管理要服务于战略风险管理。当企业战略偏向于扩张时,运营风险管理就会偏重于公司内外的资源能否满足企业扩张需要带来的各类风险管理,市场风险管理就会注重于预防市场变动对于企业扩张带来的不利影响;财务风险管理就会突出资金筹措的风险管理、税务筹划、扩张前后资产获利能力。同时运用管理会计的风险预警分析和管理工具,辅助战略风险管理,法律风险管理的焦点在投融资过程中涉及到的企业合规风险。如果战略偏向于收缩,运营风险管理就会偏重于公司内外资源过剩处理的各类风险管理,财务风险管理、市场风险管理和法律风险管理也会相应变化。当企业战略稳定时,四项辅助风险管理突出的就是防激进求稳定。

(五)推行风险管理导向的内部控制措施,促进风险管理落地

无论是风险管理还是内部控制管理,其目的都是为降低企业风险,促进企业管理目标的实现,两者目的一致,采取管控的八要素也是相似的,而且判断一个企业风险管理水平高低,就是要看其内部控制是否完备。因此,加强企业内部控制的管理,尤其通过推行风险管理导向的内部控制措施,可提高企业的风险管理水平。风险管理导向是把风险管理要素融入到内部控制中来,在业务流程中进行内部控制,把风险管理的制度设计与内部控制过程有机地结合起来,在风险管理成本与效益平衡性原则下,合理应对,使风险管理真正落到实处。如商务洽谈环节,首先,看合同双方经济背景实力,这决定着话语权,也决定了项目风险的主要承担方。其次,业务负责人和公司实际控制人对洽谈起着关键作用,决定了合同项目风险大小和可能性。最后,博弈过程也是合同风险形成的过程,就商务洽谈风险管理的关键。把握住了整个洽谈的业务过程的关键点,便抓住了风险导向管控的关键点,商务洽谈的风险管理自然落地了。

四、结语

小微企业的风险管理,核心在于负责风险管理的关键岗、关键人、关键事,充分发挥企业实际控制人的风险守门人作用,在财务负责人的专业引领中,各部门各岗位,全员风险管理的氛围中,开展小微企业的风险管理。考虑到成本效益原则,不强求面面俱到,但一定要抓住重点,合理应对,保证战略风险管理的根本,落实风险管理导向的内部控制,就能做好小微企业风险管理,防患于未然。

参考文献:

[1]孙芳城,曾玲,钟廷勇.CEO财务专长、职业生涯关注与企业风险[J].金融经济学研究,2020(03):152-160.

[2]沈淳.企业财务战略管理与风险防范[J].全国流通经济,2019(05):45-46.

[3]王建明.新形势下企业战略管理会计新探[J].纳税,2020(08):113-114.

[4]胡文娟.试论目标导向下企业的内部控制和风险管理[J].财经界,2020(10):104-105.

篇7

关键词:风险;企业风险;风险传导;评价

中图分类号:F275 文献标识码:A

文章编号:1005-913X(2015)04-0023-06

随着经济和社会的迅猛发展,企业无论是内部系统还是外部环境都处于动态变化之中,环境的变化加剧和系统无序化程度的加强使企业面临着极大的不确定性,即风险增大。企业对风险管理的需求上升到对风险系统运行过程的全面监控与管理。加强对企业风险传导及评价的研究,有助于从过程的视角进一步了解和掌握风险对于企业产生影响的整个动态过程及其规律,从而更好地控制和管理企业风险,具有重要的理论意义和实践价值。

企业风险及其管理问题一直受到国内外学者的普遍关注。国内外学者己对风险的类别、起因、特征及对风险的管理等方面进行了广泛研究。另外,关于风险传导的研究也是目前学术界关注的热点领域。接下来笔者将对有关风险管理研究和传导研究的国内外研究现状作以概括综述。

一、企业风险要素研究

国外学者将企业风险要素概括为两大类:企业外源性风险和内源性风险。Moshe Hagigi与Kumar Sivakumar(2009)认为,企业外源性风险因素主要包括一般环境、全行业和企业的来源于外部的不确定性。内源性风险因素包括从公司内部产生的不确定性,包括管理观念、态度和组织观点,以及在风险管理认知行为上的差异、内部控制问题等。

(一)外源不确定性

Milier(1992)详细描述了企业来自外部的风险因素,并将其分为三大类。一是一般环境因素的风险性。主要包括政治的不确定性、政府政策的不确定性、宏观经济的不确定性,如利率和汇率的变化,社会的动荡和自然灾害等的不确定性。二是整个行业的风险性。主要包括市场投入的不确定性、生产市场的不确定性和与竞争对手的竞争中造成的不确定性。三是一些特定企业的风险性。主要包括如生产经营的不确定性、投入和产出问题、污染物的排放造成问题、与研究和开发有关的不确定性、信贷行为的不确定性。

(二)内生不确定性

传统经济学家对风险的观点认为,决策者是理性的人,他们试图从财富中期望最大化的效用。当管理者的边际效用是递减时,管理者显示出风险规避。Holt和Laury(2002)的实证研究也证实这种规避风险的态度。然而,有大量的证据表明,人类的行为并非总是理性和进行风险规避的。

Kahneman和Tversky(1979)提出在不确定情况下人们的选择并不总是理性的,人们在面临风险时有不同的选择,甚至有些选择是被动的。这就导致了行为与理性假设下的预期存在偏差。

March和Shapira(1987)探讨了企业风险和管理人员持有的理念之间的关系。他们的结论是,管理者喜欢冒险并表现出风险偏好,而且管理者的决策使用的程序在某些方面与经典的或理论的程序有所差异。Kahneman和Lovallo(1993)这一问题进行了进一步的探讨,他们认为导致这一现象的原因是管理者对风险和机会有非常乐观的判断,进而,他们对风险有大胆的预测。

管理者对风险的看法本质上是主观的,不同的人看法不同,而且可能并不准确。针对这一实际情况,Mezias和Starbulk(2003)发表了一系列有关管理人员的观念的研究报告。他们指出,通过评估管理观念来证明管理者的看法往往是非常不准确的。

Wright等人(2007)研究了有激励措施的管理者对企业承担风险的影响。他们发现,管理股票期权与公司承担风险是直接和统一相关的。但是Wright,Kroll,Krug和Pcttus发现,持股与企业承担风险呈非线性关系。

Goto(2007)讨论了在风险管理中行为方式的重要性,并提出控制职工的主观偏见和判断风险的方法。

二、企业风险管理理论研究

(一)国外风险管理理论的研究现状

1.企业风险管理理论

国外学者对于风险管理的研究起步比较早,研究内容也比较全面。托马斯.L.巴顿等在《企业风险管理》中介绍了一种有效的一体化的、战略性的、经营性的风险管理机制以及在整个企业范围内实施风险管理的基本原理。作者指出,现代企业的风险管理机制应实现从独立型向综合型的转变;风险识别的方法一旦确定下来,风险识别应该有一个动态化连续不断的过程。

詹姆斯.德阿克在《企业的泛风险管理》中指出,应建立一种动态的处理风险与机遇的系统化策略。书中介绍了目前在国外方兴未艾的一种风险管理新方法――企业层面的风险管理(EWRM),将风险与机遇结合起来考察,并把企业面临的各种风险看作是相互联系的一个整体。把风险管理与企业的战略决策、经营活动统一起来,通过真正具有全局性、前瞻性的方法去管理所有关键性的奉贤于机遇,从而使企业能够在变动不定的经济环境中最大限度地利用机遇,避免损失,最终确立竞争优势。

Cormac Butler在《风险值概论》中引入了变动性与相关性来建立风险值模型,并引入了一种新的风险控制方法:蒙特卡罗模拟法,同时提出了以资产组合为基础的评估信用风险的原理与方法。

篇8

1 风险管理视角下的内部审计概述

基于风险管理的内部审计是从风险管理角度出发,通过规避企业经营过程中的各种风险、规范企业经营运作流程等系列举措,最终实现企业价值增值的过程。

1.1 风险管理视角下的内部审计的特点

1.1.1 发现并解决问题。传统内部审计将发现的问题报告给相应部门,审计工作就可以结束了。而风险管理视角下的内部审计,更加注重可能对企业未来发展产生影响的问题,尤其要给出恰当的审计结论及切实可行的对策建议,帮助企业及时发现并合理解决存在的问题。

1.1.2 凸显企业风险。风险管理视角下的内部审计不仅仅关注审计风险,其关注的范围包括企业经营过程中的各种风险,包括经营风险、财务风险、技术风险、市场风险等,并将它们作为审计的重点。风险管理视角下的内部审计有助于企业减少风险,达成企业战略发展目标。

1.1.3 增加企业价值。增加企业价值是内部审计的最终目的,是内部审计的发展趋势。虽然内部审计不直接参与企业的生产和销售活动,但其可以通过减少企业风险、降低审计成本、提出有价值的建议、增加获利机会等活动来为企业增加价值,进而为企业带来利益。

1.1.4 被审计对象主动参与。与传统的内部审计不同,风险管理视角下的内部审计注重让被审计人员参与到审计活动中来,改变过往居高临下的审计关系,调动被审计人员的积极性,审计人员和被审计人员能够共同分析和解决审计过程中发现的问题。

1.1.5 业务范围不断扩展。在传统的内部审计工作范围的基础上,风险管理视角下的内部审计将业务范围扩展至公司治理、风险管理等领域,并呈现出进一步扩展的发展趋势。对于能够提升企业价值的稽核和内控活动,内部审计都将积极开展。

1.2 内部审计与风险管理的关系

1.2.1 内部审计是风险管理的有效工具。国际内部审计师协会对内部审计的定义进行的最新修订中,进一步强调内部审计是一种实现企业内部风险管理的有效工具。企业内部审计发展实践表明,实现有效的风险管理才是现代内部审计的最终目的。

1.2.2 风险管理的实现客观上需要内部审计的支持。现代企业经营风险日益增多,企业风险规避、风险应对、风险补偿等行为的实现,必须以详细的企业内部风险信息为基础。而在企业风险管理过程中,为了准确掌握自身风险状况,客观上要求企业必须进行深入细致的内部审计,才能保证企业对内部风险形成有效的控制。随着商业环境的日趋复杂多变,企业风险管理对必须实施有效的内部审计提出了客观要求。

2 风险管理视角下国有企业内部审计存在的问题

随着我国经济的快速发展,国有企业内部审计近年来取得了长足的进步。但总体而言,我国国有企业现阶段的内部审计工作的开展并不广泛,内部审计对于企业经营和管理控制的影响程度不深,特别是在参与企业风险管理方面还存在很多不足之处。

2.1 法律体系对内部审计实施缺乏规范性指引

目前,我国法律体系中对于内部审计的表述和界定较为笼统,缺少企业内部审计工作的实施相关的规范性指引。增值型内部审计在我国法律体系中尚未提及,对于如何增强内部审计增值作用的研究也有待深入,以增值作用为基础的内部审计往往缺乏实施的基础。

2.2 内部审计在企业风险管理中职能运用不足

目前,相当部分国有企业内部审计重点仍然是企业例行审计、离任审计等传统审计业务,对企业建设完善的风险管控机制没有发挥应有的作用。同时,企业内部审计更缺乏科学有效的风险管理审计程序,这造成了其内部审计在风险管理的各个阶段不能有效地发挥其职能。

2.3 审计队伍建设滞后于企业风险管理步伐

国有企业内部审计人员不仅应当具备从事内部审计业务相适应的专业知识和业务能力,而且还应熟悉企业的日常经营活动,掌握风险管理相关的业务知识。目前,我国国有企业大部分内部审计从业人员都具有财会的知识背景,但是他们对风险意识、风险预测与评估、风险控制与管理的认识还较为欠缺,与现代企业内部审计业务的要求还存在一定差距。

2.4 内部审计在风险管理中作用缺乏合理评价

由于我国国有企业内部审计效果没有成熟的考核体系,各企业对内部审计工作考核标准不一,企业管理者对于内部审计工作的实施效果没有科学评价,尤其是内部审计对风险管理重要影响的认识不足,导致企业管理层对于内部审计的应用不关心,客观上阻碍了风险管理内部审计在我国的发展。

3 强化风险管理视角下国有企业内部审计作用的建议

国有企业在我国国民经济体系中占有的重要地位,决定了我们必须加强国有企业的内部审计,使之在防控经营风险方面发挥更大的作用。

3.1 提高审计目标与战略目标间的匹配度

传统的内部审计主要以合规检查和例行监督为目标,这种狭隘的审计目标难以与现代企业的战略目标有效匹配。为了全面参与企业风险管理并有效实现企业价值增值,内部审计应当积极围绕企业战略发展目标,持续提升自身目标的层次,科学设置内部审计目标,为企业价值增值过程提供更加有力的支持。

3.2 强化形成内部风险控制意识

作为一种常规的、经常性的内部控制手段,内部审计与企业内部人员的接触面和接触频率均高于其他风险管理手段,因此,应当通过有效实施内部审计持续帮助和促进企业内部人员强化风险管理控制意识,树立企业内部的风险管理观念,建立健全企业内部风险控制体系。

3.3 升级企业风险管理框架

作为企业风险管理体系的重要组成部分,内部审计的有效运作可以促进企业内部控制和流程监控管理成效的提升,进而确保企业内部风险控制措施的控制成果,保证企业风险管理模块能够得到详实有效的审计信息的支持,从而支撑企业风险管理框架的运作,并为企业的内部全面风险管理体系提供更加有效的升级支持。

3.4 推动企业风险管理信息集成

由于传统的企业风险管理过程中缺乏统一的协调,使得风险管理控制信息割裂,风险管理的效率大打折扣。内部审计可以集合企业内部风险管理信息,构建一个集中的、规范的、真实度较高的企业内部风险管理信息库,最终借助企业内部审计活动的开展来推动企业风险管理信息的集成,反馈给企业的各个部门。

3.5 提高企业风险管理人员专业素质

作为一种持续性的内部监督手段,企业内部审计通过对企业内部管理流程和运营状况的定期监控,对企业内部人员形成一定的合规性压力。因此,通过内部审计制度可以对企业风险管理人员发挥监督作用,不断促进企业风险管理人员提高工作质量和专业素养,为企业风险管理机制的有效运行奠定基础,进而不断提高企业内在价值。

3.6 优化组织结构及职权体系

由于内部审计结果可以较为详实地反映出企业运营情况,可以在此基础上进一步发掘出企业运营过程中的内部控制缺陷和风险因素。深入分析企业这些内部控制缺陷和风险因素,管理层可以发现较易出现内部控制风险和缺陷的业务单位和部门,有效地挖掘出风险动因后,对组织结构进行有针对性的优化和调整,以相互牵制原则提升企业内部控制和风险管理绩效,从而实现更好的内部控制效果,最终提升企业价值。

篇9

关键词:风险管理 内部控制 框架

一、风险管理的概念

我国对风险管理理论的研究起步较晚,且不同行业对风险控制管理的理论见解也有所不同。本文认为风险管理是指企业在可能遇见的风险环境里,通过对风险的识别、估测、评价,借以基础上选择一套最恰当的风险管理办法,对风险控制后所致的后果降至最小化的管理过程。

二、风险管理与内部控制的关系

关于对风险管理和内部控制这两个概念,学术界有两种争论――风险管理包括内部控制,或者内部控制包括风险。本文则认为内部控制是风险管理的基础条件,风险管理是内部控制的升华,两者相辅相成,只是不同行业之间对两个概念强调的侧重点不同而已。

1.行业特征。金融行业,所的广告语都是“投资有风险,入市需谨慎”,可见,它所强调的一般都是对风险管理的重要性,所以该行业是以风险管理主导内部控制更为方便管理。而对于制造业来说,要求企业对内部控制加强管理,所以企业以内部控制为主导更为适合。

2.企业运行周期。在企业刚起来阶段,内部结构还不够完善,所以要加强企业的内部控制体系的建立。而在企业成长期间,企业规模扩大,业务范围广,随之而来的风险也越来越大,所以其管理模式是风险管理控制主导内部控制体系。随着企业逐渐走向成熟,盈利达到最高,有了抵御风险的能力,企业会力求在内控上做到更加完善来巩固自身的防御能力。在衰退期,由于企业的规章制度多,所以内部控制成了企业领导重点关注的内容。

三、现代企业风险管理框架的基本内容

美国COSO委员会对内部控制的概念有一定的标准解释,然而在经历了美国安然、施乐等企业发生的欺诈事件后,COSO所提出了内部控制框架受到了相当大的质疑,于是,人们开始关注对风险的控制,认为内部控制框架应当与风险管理相结合来提升企业的管理水平。但是,对于绝大多数企业来说,缺乏普遍认同的风险管理和内部控制框架的定义。2004年9月,在学术界和企业界的强烈要求下,美国COSO委员会颁布了《企业风险管理整合框架》,该框架是目前应用最广泛的理论依据,受到各国业界人士的高度关注。

(一)COSO企业风险管理框架

1.企业风险管理的目标体系。COSO认为风险管理目标有四类:战略目标、经营目标、报告目标、合规目标。战略目标是指企业的使命。经营目标一般是指业绩指标、盈利指标等。报告目标是指企业财务报告和其他信息的可靠性。合规目标是指企业在经营过程中是否遵守相关法律法规。企业目标的分类有助于企业在面对不同时期的不同问题时,能侧重点的管理,可以根据企业当时的需要进行分派某个具体部门进行直接负责。

2.企业风险管理的要素。企业风险管理有八个要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和控制。这八个要素都贯穿在企业生产经营管理过程当中。

3.企业风险管理目标与要素之间的联系。企业风险管理要素是为了实现其风险管理目标的,因此,两者之间有着直接的关系。

(二)COSO企业风险管理框架理论

企业风险管理框架是《内部控制整合框架》的拓展和完善,新的COSO报告又新增加了一些观点、目标和要素,主要体现在:

1.风险组合观。COSO提出了一个新的观念――风险组合观,要求企业从总体控制各个部门的风险,借以统筹考虑对风险的施行措施,避免各部门分散考虑应对风险。

2.战略目标。内部控制框架的企业目标分为三个:经营目标、财务目标、合法目标。而企业风险管理框架新增加了一个新的目标――战略目标。从管理学来分析,战略目标是用来支持企业实现最终使命的,是最高层次的目标。

3.风险容量和风险容限。风险管理的框架定义:风险容量是一个主体在追求价值的过程中所愿意承受的广泛意义的风险的数量,它反映了主体的风险管理理念,进而影响了主体的文化和经营风格。风险容限是风险容量的基础,是企业实现目标所能接受的偏离限度。

4.三要素――目标设定、事项识别和风险应对。目标设定是风险管理体系的首个要素。事项识别是企业进行风险管理的前提。风险应对是说针对不同风险来选择不同的对策,做到风险最小化管理来降低成本,促进企业发展。

四、我国企业风险管理的现状及分析

(一)中航油的案例分析

中航油新加坡公司于2001年在新上市,当时是陈久霖任董事兼总裁兼总经理职务,在任期间,陈久霖对企业的业务范围进行大力扩展,2003年,企业已经从事油品套期保值和衍生品期权交易,起初的200万桶交易获得非常大的收益,但是由于2003年到2006年之间,石油价格一路攀升,而中航油对石油价格回跌一直寄予希望,不断的增仓,致使账面价格亏损严重,最后不得不申请企业破产。

中航油的事件,引起业界一片哗然。其原因有多方面:第一,企业领导更新意识淡薄。第二,风险偏好极端。第三,缺乏风险评估机制的建立。虽然中航油内部指定了《风险管理手册》,并运用了风险管理软件。但是风险管理手册上的条例有很多有争议的地方,并且对企业高层没有起到约束的作用,这也是中航油走向衰败的原因之一。

(二)我国企业风险管理问题

近年来,随着美国引发全球经济危机,国内企业开始重视对风险的管理。比如加强了对风险的预测、将内部审计部门参与到风险管理中。企业在长期的风险管理实践中取得了进步并累积了很多经验,但是仍然存在一些问题:

1.内部控制体系不够完善。作为风险管理的基础――内部控制,必须给风险管理提供一个可靠的环境。可以将内部控制分为四个演变过程:内部牵制、内部控制制度、内部控制结构和内部控制框架。据调查,我国企业中只有30%的企业建立了完善的内部控制框架,其他大部分企业停留在内部控制制度阶段。

2.对风险管理的意识薄弱。企业家往往过多的关注于怎样进行经营管理来实现盈利,只有在企业遇到风险时,才能对已经到来的风险进行忙于应对,这样往往会给企业造成很大损失甚至有破产的可能。

有的企业虽然已经建立了风险管理机制,却只是表面上的功夫,流于形式,面对风险的到来,无人问津或有章不循,慌乱地采取一些临时的解决措施。风险管理如同虚设,使企业的随意性过大,扭曲了风险管理的本质和初衷。

3.风险管理的技术方法运用较差。对于风险管理的各个细节应当通过一系列的技术和方法来实现,否则风险管理无法施行。国外企业的风险管理技术相对发达,通过先进的风险管理软件以及优秀的风险管理技术专家来支撑对风险的管理。而我国的风险管理信息化系统相对落后,也没有成熟的人员队伍,所以,企业对风险管理的技术和方法的运行程度低。

五、现代企业构建风险管理框架的思路

(一)建立健全的内部治理结构

完善的公司治理结构有助于企业进行责任划分,促进股权结构的合理化,强化企业内部控制,提高企业经营效率。公司治理结构的完善能较好的梳理所有者、董事会和经理人三者之间的关系,为企业风险管理提供了一个基本的组织架构,在该架构下,设立一个专门的风险管理机构或者指定某个职能部门来进行风险管理。该机构或部门负责处理风险管理的日常事项,包括风险管理的策划、部署、检查以及预测风险未来的导向,并向领导提出建设性的意见。

(二)加强企业文化的建设,大力宣传风险防范意识

企业文化是企业长期以来的共同理想、价值观、作风、道德规范、生活习惯的总称,体现出本企业的特色,对企业职工有号召力和感染力,是企业长期文化形成的反应。风险管理文化作为企业文化其中的一项因素,对风险管理理念和行为起决定性的作用,良好的风险管理文化可以规避风险,从而提高企业经济效益,因此,要养成良好的风险管理文化,塑造风险文化的氛围,对一个企业来说是非常重要的。主要从以下几个方面入手:首先,要加强全体职工的法律意识。其次,要对风险切入点的管理人员和职工进行培训工作,强调对风险的意识。最后,定期在企业内部宣传风险文化刊物,培养全体员工的风险管理意识,强化员工的风险管理素质。将风险管理文化灌输于每名员工,形成一种精神状态,这样才能避免风险的发展与延伸。

(三)设立风险评估和控制活动

随着市场环境的多样性变化,对企业面临的各种风险进行有效地分析、估量,是企业领导对风险管理的重要环节之一。它是在事项识别后,通过对风险信息的大量收集,运用科学的办法,估测出风险发生的可能性或者损失的程度。风险评估一般是通过对风险的实时观察和借助以往的经验来进行风险管理。控制活动是风险管理的核心环节,遍及企业的各个部门,它是通过批准、授权、验证等多项活动对企业进行控制和监督,促进企业目标的快速达成。

(四)信息路径的畅通

企业要建立风险管理体系,必须有良好的信息沟通环境,能帮助企业对运营情况进行实时掌握。建立一套风险管理的信息路径必须有一套风险管理术语,以便于员工之间的沟通,保证信息能被及时传递到相关部门。

六、结束语

文章通过对风险管理框架进行叙述的基础上,分析了我国企业风险管理的现状以及存在的问题,并提出了建设性的几点建议,力求对我国企业的发展起到促进的作用。由于我国的风险管理理论还处于起步阶段,所以还有很多问题需要进一步探讨,笔者水平有限,在构建风险管理框架方面提出的建议仍需进一步得到改善。

参考文献:

[1]方红星,王宏泽.企业风险管理整合框架[M].大连:东北财经大学出版社,2005.

[2]郑子云,司徒永富.企业风险管理[M].北京:商务印书馆,2002.

篇10

[关键词]内部审计;风险管理;IIA;COSO框架

内部审计是现代管理和管理控制的组成部分。IIA在《内部审计实务标准》中将其定义为是一种独立、客观的保证工作和咨询活动,其目的在于为组织增加价值并提高组织的运作效率,采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善,从而帮助组织实现目标。

企业风险管理是一个由企业的董事会、管理层和员工共同参与,应用于企业战略制定和企业内部各个层次和部门,用于识别可能对企业造成潜在影响的事项,并根据风险偏好管理风险,为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中,是一个过程,是实现结果的一种方式。与传统的项目风险管理相比,企业风险管理强调战略导向,覆盖了组织所有的管理层次和管理领域,方法也更为结构化和规范化。

内部审计承担了监督、分析、评价、检察、报告和改进等任务,是企业风险管理不可或缺的组成部分。就世界范围看,风险管理已成为内部审计的主要内容。IIA早就把评价和改善组织的风险作为内部审计的主要内容,其1999年制定的内部审计定义将风险管理和内部控制、公司治理并列作为内部审计的工作对象,2001年修改的《内部审计实务标准》明确要求内部审计参与风险管理和公司治理过程。我国内部审计准则中也充分考虑了风险评估作为内部审计中的一个核心概念。

内部审计为什么要与风险管理相整合,在COSO框架下两者如何结合是需要深入分析的问题。本文将对两者的关系,两者结合的意义及两者结合的方式作进一步探讨,并在此基础上研究中国企业如何将内部审计与风险管理相结合。

一、内部审计与风险管理的关系及两者结合的意义

IIA在对美国国会关于《萨班斯——奥克利斯法案》的意见陈述书中表述:内部审计、外部审计、董事会以及高层管理人员被称为有效的公司治理的四大基石。内部审计师的作用是监控、评估和分析组织的风险,审查信息及公司对法律法规的遵守情况,向董事会、审计委员会以及高层管理人员负责提供保证——风险已被分散、公司治理是有效的。内部审计以企业内部信息使用者为中心,聚焦于控制、风险管理等关键问题,通过帮助组织管理风险和提高管理效率,来增加组织的价值和改善公司的经营。

公司的治理过程是公司的利益相关主体让管理层发现风险并对其进行控制的过程,对公司风险的监控及适当地规避此类风险,对实现公司目标和保存公司价值都有直接的贡献。内部审计参与风险管理的实质就是协助公司的高层管理人员做如下工作:系统鉴别组织所面临的风险;评估这些风险对组织的潜在影响;制定控制风险的策略;评价风险管理的过程;就风险应对措施的合理性、风险监控的及时性、恰当性、有效性等信息进行有效的交流和沟通。风险管理是管理层的一项主要职责,而对组织的风险管理过程进行评估和报告通常是内部审计工作的一项主要内容。在适当情况下,内部审计师应与管理层审计委员会和董事会就与风险和风险管理实务中的薄弱环节进行讨论,当然在该过程中由管理层负责对重大风险采取针对性行动,内部审计机构负责人负责评价这些行动。风险管理作为管理层的一项主要职责,它应当确保组织中有良好的风险管理过程,并使其发挥作用。董事会和审计委员会负责监督、判断组织是否有适当的风险管理过程,以及是否充分、有效。内部审计师的职责是运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层和审计委员会提供帮助。

IIA多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。

内部审计与风险管理相结合是将风险作为内部审计的对象,打破了原来的内部审计只关心内部控制有效性的局面,在评价内部控制的基础上,对企业所面临的各种风险进行识别和分析。从另一个角度来讲,内部审计更加注重企业的未来,从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定,来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计,侧重对风险管理进行鉴证。

内部审计参与风险管理不仅为内部审计自身提供了发展契机,而且作为企业内的一种独立、客观的保证工作和咨询活动,内部审计是公司治理必要和有价值的组成部分,能够在风险管理中发挥独特的作用,无论是内部审计还是风险管理都能从双方的整合中提高效率,创造价值。

内部审计作为内部控制的重要组成部分,其在风险管理中发挥不可替代的独特作用。主要有以下几个方面:(1)内部审计能够从全局的角度管理风险。对风险的认识、防范和控制需要从全局考虑,但各业务部门很难做到这一点。内部审计人员从事具体的业务活动,独立于业务管理部门,这使得他们可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。(2)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节,内部审计人员可以调控、指导企业的风险管理策略。(3)内部审计部门的建议更易引起重视。内部审计部门独立于企业高级管理层,其风险评估的意见可以直接上报给董事会,这会加强管理当局对内部审计部门意见的重视程度。从内部审计发挥的上述职能看,内部审计已经参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系;评价并改进组织的治理程序,为组织的治理做出贡献;同时继续原有的对控制效率和效果的评价作用,帮助组织保持有效的控制。此时的内部审计人员是风险管理专家,通过对风险的把握来评价公司治理及

内部控制,并促进公司治理和内部控制的改善,从而实现对风险的控制。在风险管理这个统一核心下,公司治理与内部控制实现了一定程度整合,为组织增加了价值。

二、内部审计在风险管理中的角色和责任

COSO报告指出企业风险管理有四个目标(实现战略、高效运作、客观报告、遵守法则)、八个要素(内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动),并在企业的四个层次(企业级、部门级、事业单位级、分公司级)展开。内部审计在这一框架中作为监控活动存在,由内部机构对企业风险管理进行独立评估。IIA在2004年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此,内部审计在企业风险管理架中首要角色是监督者,包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,对关键风险报告的评估和对关键风险管理的评估。

按IIA的标准,内部审计的服务种类可以分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相关主体服务,其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。总体来讲,处于信息劣势的服务对象希望内部审计为其提供保证服务,处于信息优势的服务对象则更希望内部审计为其提供咨询服务。其中,保证服务是指为了对风险管理。内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验;咨询服务是咨询性的以及与委托人服务相关的活动,其性质和范围是与委托人达成一致意见,目的是增加价值和改进组织的经营。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生的。除了作为监督者所提供的保证服务之外,内部审计还提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动,加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者角色。内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥更大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化为监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。

为保证其独立性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持,但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动,内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外,在实践中,应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责,就应该认为与此相关领域的审计客观性受到了损害,内部审计不能就其直接协调和指导的风险管理事项提供保证服务。

三、内部审计与风险管理整合的程序步骤

(一)判明风险类别,分析风险的具体源由

企业风险多种多样,表现的形式与发生影响也是千差万别的,为了管理和控制风险,应对风险进行辨认并予以分类,从中分辨出风险的性质,以确定主要风险、次要风险、关键风险、派生风险。

国外审计界对经营风险提出了多种分类模式,大致可概括为以下九类:外部经营风险(经营风险)——业务风险(经营风险)——职权风险(经营风险)——信息处理与技术风险(经营风险)——诚信度风险(经营风险)。——财务风险(投资决策风险)——业务风险(投资决策风险)——财务风险(投资决策风险)——战略风险。

在内部审计工作中,一般先从企业整体的战略目标着手,分析战略目标与企业实践的差距,明确形成差距的风险,进而分析风险的产生部门、风险的类别及其性质。

(二)在组织机构上,内审工作要与企业的各级风险管理组织相配合,开展企业综合风险管理

根据COSO的风险管理框架,一些国际会计公司提出了企业综合风险管理概念。这种管理是要求内部审计工作超越企业内部各职能部门的隔离,实行全体的、综合的和全员的行动进行综合风险管理。

在现代企业的风险控制方面,不少大中型企业一般建立三级风险管理组织,即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构;公司风险控制委员会领导下的内部审计;专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险,对公司风险管理制度进行设计以及对各业务部门执行风险控制制度情况进行定期检查,及时提示和报告潜在风险,并提出防范风险及改进工作的建议。

(三)按风险管理的要求开展内部审计

与经营风险管理相结合的内部审计,其具体要求是在企业的“经营——风险——控制——监督”过程中,内部审计充分发挥其监控实效。亦即内部审计在开展时,先由企业各层次人员明确企业经营风险控制管理的目标,在此基础上广泛收集经营决策信息、情况及风险情况,据此对各个待审项目的风险做出评价,进而确定内部审计控制风险的策略(包括规避风险、接受风险、转移风险、运用风险、减少风险),然后运用“计划——执行——检查——行动”方式,对企业主管层、业务管理层及业务执行层进行审计。新晨

(四)对具体项目风险、内部审计要参与事先、事中和事后三个阶段的全过程风险审查

四、内部审计与风险管理结合在中国的应用和实践