企业目标风险与风险管理范文

时间:2023-09-06 17:42:20

导语:如何才能写好一篇企业目标风险与风险管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业目标风险与风险管理

篇1

关键词:企业组织目标内部控制风险管理

一、内部控制与全面风险管理的相关概念

(一)内部控制

所谓内部控制是指经济单位及各组织在经济活动中所建立起的一种互相制约的业务组织形式及职责分工制度。可以说内部控制是一个过程,该过程受着企业组织内部各个人员的影响,其目的是为了优化经营管理,提升企业的经营效益。内部控制的要素共分为控制环境、风险评估、控制活动以及信息与沟通和监督等五个,如下图1所示。

(二)全面风险管理

所谓风险管理是指在一个存在风险的环境中,如何将风险降至最低的管理过程,该过程包括了对风险因素的评估、度量以及制定应变策略等。理想的风险管理是一个将优先次序排好的过程中,其中可能引起最大损失以及最可能发生的事情进行优先处理。但是实际情况中,排列优先次序的过程相对比较困难,因为风险与其发生的可能性并没有一定的规律可循。由此可见,风险管理需要整个公司所有人员的共同执行与参与。风险管理要求包括内部环境、目标制定、事件识别、风险评估、风险反应以及控制活动、监督和信息与沟通等八个。其如下图2所示。

二、内部控制与风险管理的异同

(一)重视内部控制与风险管理的相关性

企业内部控制和风险管理的相关性体现在以下几个方面:

第一,内部控制及风险管理都是指过程化的管理,相对而言内部控制呈现出动态管理的特点,它促使企业经营朝向既定的组织目标而努力,但是它又不是组织目标的一部分,而是促使目标达成的手段,内部控制各要素对其产生直接的影响。全面风险管理同样是一个过程,但是其相对内部控制而言,从某种意义上表现出一种静态性,即其贯穿于企业的各项业务活动中,管理过程的各方面均有风险管理各要素的渗透。

第二,影响内部控制及风险管理的因素相同,企业组织架构中各个层次的人员,诸如董事会、管理层或者其它的相关人员,他们的互相影响和作用会对内部控制产生直接的影响,它不但包含了内部控制政策及相关的控制表单,各层次人员的作用也包含在内。此外,在控制过程中,每个成员不仅是被控制的对象,也会是实行控制的控制者。而对于风险管理而言,其整个过程也强调人的参与,它与整个企业的所有相关人员均有着密切的关系,而企业管理者在进行风险管理时要有一个宏观架构方面的风险组合观念。

第三,内部控制和风险管理的手段相同。无论是内部控制还是风险管理,均是通过风险评估来实现对应的管理目标。企业在实行内部控制的过程中,风险评估是其中必不可少的一部分,它的主要作对是对影响目标实现的各种不确定因素加以辨别,从而再针对风险管理的方法做出决定。控制与风险是两个密切相关的概念,而企业要提升其内部控制的效率及加强内部控制的效果,最主要的就是要进行环境控制及风险评估。企业在进行风险评估的过程中,通常要经过风险辨识、风险分析及应对控制等各个环节。同样,在风险管理中一样要先确定出组只目标,在剩余及固有的基础上评估风险,对其影响企业目标实现的程度做出分析与判断,并以此为基础进行风险管事,从而为企业合理的配置管理资源提供更为合理的依据。

第四,内部控制与风险管理的目的相同。无论是内部控制还是风险管理,其最终的目的都是保证企业组织目标的顺利实现。因为内部控制本身有一定的限制,比如成本控制、人为错误或者管理越权等等,所以内部控制只可为企业管理提供相应的保证,但无法做到绝对保证。而风险管理同样也是为了识别对企业经营目标会产生影响的因素,并有针对性的加以管理,以促使企业可以在经济预算合量的基础上,判断出其风险偏好。

(二)内部控制与风险管理的差异

内部控制风险管理的差异表现在两点:

其一,内部控制与风险管理的侧重点不同。相对而言,内部控制更加侧重于制度层面,其通过制定规章制度促使各层人员遵守制度来规避风险;而风险管理的侧重面更体现在交易层面,即其规避风险的手段为市场化的自由竞争或者市场交易等。通常而言,内部控制的目的是提高会计信息的真实性及资金的安全性,其核心是会计控制。内部控制通常仅限于财务部门及其要关部门,在企业管理过程或者整体的经营系统层面,内部控制只是管理职能中的一项。而全面风险管理则更加侧重于在特定的业务中,与战略选择及经营决策有关的风险和收益的比较,比如利率风险、汇率风险管理以及银行授信管理等等,可以说在整个管理过程中均渗透着风险管理。由此可见,风险管理是内部控制在技术与市场条件下的自然延伸,内部控制是风险管理的前提与基础,而风险管理中包括了内部控制。

其二,内部控制及风险管理所涉及到的风险的范围不同。内部控制过程中,经营管理活动既要对内部风险做出评估,又要评估外部的风险。内部控制的过程涉及到整个公司所面对的、并且公司内部各相关人员所经营的各类外部及内部风险。而风险在实际的企业运营过程中却是客观存在的,相对于内部控制而言,风险管理与其最大的不同就是对特定业务的战略评审更为关注,其主要目的是通过对不同公司业务领域内风险和报酬间的比较,实现收益最大化的企业经营目标。

三、内部控制与风险管理的有效整合

(一)内部控制要服务于企业经营者的目标

所谓控制就是控制者对受控者的一种能动作用,受控者根据控制者的作用而进行相应的行动,从而实现系统目标。尽管设定内部控制目标不属于内部控制的组成要素,但是它是实施内部控制的前提,促进内部控制的关键条件,属于过程管理中的一个重要组成部分。内部控制目标的制定对内部控制而言,意义重大,其对是否有必要存在内部控制有着决定性的作用。一个完善的内部控制对企业经营目标的实现有着直接的影响,它帮助企业经营者实现其预定经营目标。管理目标包括合理的资源配置、科学的决策、最低的成本控制、最优的质量管理以及利润最大化。在企业组织目标中,该五个具体的管理目标是互相联系、互相支持的:企业设施配置的关键就是资源配置;而企业经营的方向性是由管理决策来决定的;产品成本目标是实现利润最大化的重要条件之一;质量管理目标则是保证企业永续经营的必备条件;而财务目标即利润最大化,是企业经营的源动力,也是其它目标综合作用的最终成果。只有实现了这五个目标,才能够保证企业整个经营管理目标的实现。

(二)内部控制对实现组织目标的间接作用

因为内部控制制度所体现的是控制主体即企业经营者的意志,因此如果控制主体不同,其内部控制的目标必然不同。内部控制目标还要按照企业的法人治理结构的不同层次进行具体的细分,将内部控制目标层层落实到各级单位及部门。企业各层次相关人员进行内部控制的主要目标就是降低经营风险,减少虚假会计信息,保证管理者的经营目标可以顺利实现。但是企业管理中必然存在激励机制,管理者的目标与企业组织目标不得背道而驰,其最终的目标仍是为了实现企业组织目标而服务。一个有效的内部控制机制不但可以实现企业资源利用率最大化,有效的降低成本,还能够促进企业向着良性化的方向发展。随着市场经济的不断发展,人们的经济意识也在不断的提高,企业所处的经营环境的不确定性也越来越高,企业契约的不完备性就随之增强,因此各企业经营者对内部控制的研究越来越重视,以期能够通过合理的内部控制消除不完备契约所导致的逆向选择及道德风险,最终促企经营目标得以顺利实现。

(三)全面风险管理概念可以取代一般性的风险管理

我们可以用全面风险管理的概念取代企业经营过程中的一般性的风险管理。全面风险管理概念中提出,无论哪种类型的企业均或多或少面临着各种不确定性,来自于各方面的风险与机遇是并存的。而对于企业的经营管理者来说,最大的挑战是在企业为各利益相关者创造价值的过程中,对企业承受伴随价值增加而来的风险的能力。企业的全面风险管理机制的有效性越高,管理者对不确定的风险及机遇的处理能力就越高,从而使得企业创造价值的能力得到最大程度的提升。

(四)全面风险管理中企业目标与各要素间的关系

在全面风险管理概念中,企业目标分为战略、经营以及呈报与合规等四类,其所反映的是企业的不同层面的不同需求,针对企业各层次人员确定其相应的责任。而上文中也提到全面风险管理的要素包括模块,这些要素最终的目的就是服务于企业的四类目标,无论企业中的哪个层次均要通过这模块对各自的企业目标进行全面风险管理。全面风险管理并非绝对意义上的单循环步骤,而是一个重复性的、多向性的过程,在这个过程中,每个要素均会对其它要素产生影响,并且受其它要素的影响,即每个风险管理组成要素是和四类目标互相纵横交错的。因此风险管理目标与其各要素之间存在着直接的联系,即目标是企业努力的方向,而风险管理要素则是实现这一目标所必须的条件。

此外,风险管理的各个要素还是评价企业风险管理水平的标准。企业风险管理的构成及目标不仅是建立健全企业风险管理过程的基本依据,也是对其有效性做出评价的标准。评价企业风险管理的有效性,要看全面风险管理的八个构成要素是否同时存在,其运行是否有效。而且在不同的主体中,风险管理各个要素的具体运行也是各不相同的。

(五)利用全面风险管理评价企业目标实现的程度

针对全面风险管理的八个要素,及其在企业经营管理中是否发挥了有效的作用,我们可以以此为依据判断企业目标实现的程度,所以从这个意义上来讲,全面风险管理的要素就是评价企业目标的实现程度的标准。如果企业的风险管理体系这八个要素并存且能够正常发挥作用,证明该企业基本上没有太大的缺陷存在,风险管理方面也能够将其控制在一定的范围内。不过不同的企业风险管理各要素发挥作用的程度也各不相同,并且也不是绝对的,一些企业即使全部具备了所有的要素,但是也无法绝对保证可以实现企业经营目标,这是由于风险管理自身存在着无法克服的局限性,这些局限性体现在人员决策判断失误、控制制度的建立受着成本管理的约束、一些人为的简单错误造成风险管理的中断、企业内部人员互相勾结使得内部控制制度失效或者管理者凌驾于控制制度之上等各方面,正是这些局限性使得企业经营管理者无法绝对保证可以百分百实现企业目标。

参考文献:

[1]郑小荣,王美英.内部控制法制化的理论依据――法律特征与实践影响[J].当代财经,2010(4)

[2]郑小荣.试论内部控制法制化的三大弊端[J].财会研究,2010(18)

[3]王美英,郑小荣.对内部控制审计与财务报表审计整合的思考[J].财务与会计,2010(7)

[4]孟杰.基于全面风险管理的企业内部控制实施探讨[J].财经界,2009(11)

篇2

从中国企业构建全面风险管理体系基础条件来看,中国企业尤其是在境外上市的企业近几年以来一直致力于企业内部控制建设,已经建立了一套比较完善的内控体系,编制了内部控制手册和自我评估手册,初步搭建了以风险管理为核心的内部控制基础平台。这是中国企业建立健全全面风险管理体系的基础条件。当然,多数企业的内控系统通过对流程的控制主要对运营风险、财务风险等风险建立了比较完善的控制体系,但是还不能覆盖企业面临的所有风险,如战略类、市场类风险,不能对其进行有效的管理和控制。

所谓基于内控的全面风险管理体系,简单地说,就是在内部控制建设的基础上,构建全面风险管理体系,是适合已经建立内部控制体系的企业进行全面风险管理建设的一条创新路径。这既符合国际上内部控制逐步向全面风险管理发展的潮流,也是中国企业构建全面风险管理体系的现实选择。

3C框架和流程

中天恒管理咨询公司经过多年的探索和实践,专为中国企业打造的3C全面风险管理基本框架(下文简称“3C框架”)如图1。

3C框架从总体结构上是按照目标体系、风险整合、管理融合来安排的,形成了由目标体系、风险整合、管理融合组成的有机体系,贯彻严密的目标――风险――管理的逻辑关系。

企业目标是一个相互联系、相互依存的目标体系。全面风险管理作为企业管理的一项核心内容,可以把目标确定作为全面风险管理的前提条件进行关注,并将其贯穿于全面风险管理工作的始终。

风险是对企业目标实现产生影响事项发生的不确定性,包括了危险和机会,是一个全面的概念。风险偏好、风险意识、风险理念、风险文化是企业全面风险管理的软要素,是企业实施全面风险管理必须明确的基本概念。把企业主要风险整合起来,是全面风险管理的一个基本标准。

全面风险管理是为合理保证企业目标实现,对企业风险进行全面管理的动态过程,是对企业风险进行整合管理的过程,是艺术和科学的结合。全面风险管理目标、意义、主体、内容、流程、方法是企业全面风险管理的重要内容,是必须明确的;全面风险管理政策、战略、策略、决策是企业全面风险管理的基础,影响整个全面风险管理工作;全面风险管理信息、沟通、学习应贯穿于全面风险管理工作的始终。这些都应该从总体上予以明确。

全面风险管理融合,是企业风险管理自身内部的融合,是企业风险管理与企业业务的融合,是企业风险管理与企业管理的融合。全面风险管理与企业管理需要融合的内容很多,其中最重要的就是要做到内部控制与风险管理的融合。

3C框架与COSO的不同

3C框架没有直接引入管理要素概念,从总体看包括目标、风险、管理三个方面;从流程看包括管理准备、管理实施、管理报告和监督改进四个方面。

3C框架把COSO全面风险管理框架“事件识别”定义为“风险识别”;把COSO全面风险管理框架“风险评估”细化为“风险分析”、“风险计价”、“风险评价”;把COSO全面风险管理框架“控制活动”重新定义为“风险控制”;把COSO全面风险管理框架“监控”改为“监督改进”,并细化为“风险监督”、“风险审计”、“管理改进”等。

3C框架将风险辨识、风险确认、事件识别统一为风险识别,并定义为确认风险的过程;将风险计量、风险衡量、风险量度、风险测量、风险估计、风险估价统一为风险计价,并定义为风险的量化过程;将风险策略、风险应对、风险工具统一为风险应对,并定义为选择应对风险策略的过程;将控制活动、控制政策、控制程序、控制措施、应对措施统一为风险控制,并定义为应对风险的各种措施;将监督检查、监督评价、持续监督、监控、监控系统、内部监督统一为风险监督,并定义为监督检查风险的过程等等。

篇3

关键词:纳税筹划;风险管理;准备

一、纳税筹划风险管理概述

(一)纳税筹划风险管理的含义

纳税筹划风险管理是指由企业管理层和纳税筹划相关人员实施的,通过识别、评估纳税筹划风险并用科学方法制定、执行和改进纳税筹划风险的应对策略,来将纳税筹划风险减低至可接受的范围内,从而实现企业纳税筹划目标的一个持续不断的过程。

(二)纳税筹划风险管理的意义

一是有利于减少因纳税筹划失败而产生的经济损失;二是有利于树立良好的纳税信用,会使税务机关对企业留下很好的印象,以致于能够获取税务检查以及税收优惠政策运用上的宽松待遇等;三是有利于树立良好企业信誉,不仅可以避免发生不必要的信誉损失,而且可以得到供应商和顾客的信任,增强自身竞争力;四是能够在一定程度上消除和减少企业管理层以及纳税筹划相关人员对纳税筹划风险的焦虑,增加安全感,从而提高工作效率和生活质量。

(三)纳税筹划风险管理的流程概述

第一,纳税筹划风险管理的准备阶段。具体包括确定纳税筹划风险管理目标、成立纳税筹划风险管理小组、收集纳税筹划风险管理信息、制定纳税筹划风险管理计划。第二,纳税筹划风险管理的实施阶段。包括纳税筹划风险识别、纳税筹划风险评估、纳税筹划风险应对。第三,纳税筹划风险管理的监控阶段。具体包括纳税筹划风险管理的监督与评价、纳税筹划风险管理的总结与改进。

二、纳税筹划风险管理的准备阶段需进行的工作

(一)确定纳税筹划风险管理目标

1、纳税筹划风险管理的总体目标

纳税筹划风险管理是企业纳税筹划活动的一部分,企业纳税筹划风险管理的目标也是为了实现企业纳税筹划的目标。而企业纳税筹划的目标又是为了实现企业的财务目标即企业价值最大化,因此,纳税筹划风险管理的目标应当服务于企业价值最大化这一企业整体目标。

2、纳税筹划风险管理的具体目标

纳税筹划风险管理的具体目标分为纳税筹划风险管理损前目标和纳税筹划风险管理损前目标。

纳税筹划风险管理损前目标,是在纳税筹划风险导致的损失发生前的风险管理目标。是避免或减少纳税筹划风险事故的发生,从而降低纳税筹划风险。具体措施包括:建立健全纳税筹划风险管理机制,培养相关人员纳税筹划风险意识,准确核算纳税金额,正确选择适合于本企业税收法律法规,选择经验丰富的纳税筹划人员等。

纳税筹划风险管理损后目标,是在纳税筹划风险导致的损失发生后的风险管理目标。具体措施包括:企业遭受纳税筹划风险损失后,要尽量地补救,承担应尽的经济责任和社会责任,尽量维护自己的纳税形象,为自身营造良好的继续生存发展环境;同时,进一步处理好和税务机关的关系,将纳税筹划风险损失额尽量降到最低。针对纳税筹划风险的特点,应将第一个目标,即“纳税筹划风险管理损前目标”作为纳税筹划风险管理的主要目标。

(二)成立纳税筹划风险管理小组

成立纳税筹划风险管理小组,主要是成立纳税筹划风险管理核心小组。企业在确定了明确的目标后,应根据项目需要组成纳税筹划风险管理项目核心组,选定风险管理项目组长和工作人员。必要时,可聘请其他部门相关人员参加纳税筹划风险管理小组的工作。同时确定纳税筹划风险管理小组各成员的权利、任务和责任,作为绩效考核的依据。

(三)收集纳税筹划风险管理信息

1、外部信息的收集

(1)税收环境信息

企业涉及的税种及各税种的具体规定,特别是税收优惠规定;各税种之间的相关性;税收征纳程序和税务行政制度;税收环境的变化趋势、内容。

(2)政府涉税行为信息

纳税筹划博弈中,企业先行动,因此,在行动之前,必须预测政府可能对自身行动产生的反应。这主要包括:政府对纳税筹划的态度、政府的主要反避税法规和措施、政府反避税的运作规程。

2、内部信息的收集

(1)实施主体信息

任何纳税筹划方案必须基于企业自身的实际经营情况。必须充分了解企业自身的相关信息。这主要包括:企业财务管理目标、企业纳税筹划目标企业经营状况、企业财务状况、管理人员对纳税筹划风险的态度、纳税筹划人员的素质等等。

(2)企业涉税问题调查与评估

在实施纳税筹划管理之前,应当对企业进行涉税问题调查和纳税评估。该步骤的工作应重点分析、整理、调查、评估涉税资料:纳税筹划内部控制制度、纳税会计处理、主要税种及税负率、近三个年度纳税情况分析、主要涉税问题、税收处罚记录、税企关系情况等。

3、内、外部信息的反馈信息

对内、外部信息的收集应当是一个动态的过程,企业在实施纳税筹划风险管理的过程中,会不断获取新的信息。同时,实施结果需要及时反馈相应部门,以便对纳税筹划风险管理的实施进行调整和完善。

(四)制定纳税筹划风险管理计划

制定纳税筹划风险管理计划,是纳税筹划风险管理的重要环节,是对纳税筹划风险管理实施的全过程所做的综合安排。纳税筹划风险管理计划涉及的内容是全局性的,是对纳税筹划风险管理目的、范围、重点、流程等基本内容进行规划,是进行纳税筹划风险管理的基础和依据,也是进行有效沟通和协调的手段。

总之,纳税筹划风险管理的准备是必要的,它为纳税筹划风险管理的实施和监控阶段的工作打好了基础。

参考文献:

1、李三喜,徐荣才.3C框架――全面风险管理标准[M].中国市场出版社,2007(8).

篇4

【摘要】风险管理和内部控制及公司治理的研究正成为许多国家政府以及有关国际组织的研究重点,COSO的《企业风险管理——整体框架》标志着内部控制理论与实践进入了整体框架的新阶段。关注COSO报告中风险管理框架的新发展,加快企业风险管理,在完善社会主义市场经济体制进程中无疑具有重要的现实意义。

一、COSO的内部控制整体框架和风险管理整体框架

(一)《内部控制——整体框架》关于风险管理的论述

1992年,COSO了其研究报告《内部控制——整体框架》,并于1994年进行了增补修订。在该报告中,COSO(1992)指出,企业必须了解它所面临的风险,并加以处理。企业必须制定目标,而目标又必须与销售、生产、营销、财务等活动相结合,如此企业才能很好地运作。企业还必须建立识别、分析和管理相关风险的机制。

COSO(1992)提出了内部控制的五个要素,其中之一便是风险评估。COSO(1992)指出,每一个主体都面临着各种来源于内部和外部的风险,这些风险必须加以评估。风险评估的前提之一是建立目标,不同层次的目标应当相互联系并保持内部一致。风险评估是指识别、分析与实现目标相关的风险,它是决定这些风险应如何管理的基础。由于经济、行业、管制和经营条件会不断发生变化,应当建立相应的机制以识别并处理与这些变化相关的特定风险。COSO(1992)指出,须从企业整体和作业两个层次来识别风险。企业整体层次的风险可能由外部或内部因素而产生。外部因素如:科技发展、顾客的需求或预期改变、竞争、新颁布的法律法规、天然灾害、经济环境改变;内部因素如:信息系统处理的中断、员工的品质、经理人的责任改变、企业活动的性质以及员工可接近企业资产的程度、董事会或监事会不够坚定或无效。

(二)风险管理的新发展:《企业风险管理——整体框架》

2004年,COSO了其研究报告《企业风险管理——整体框架》。风险管理整体框架(ERM)是在内部控制整体框架基础上发展而来的。COSO(2004)指出,风险管理框架不想也没有替代内部控制框架,但它将内部控制框架整合在内,采用这一框架,企业既可以满足内部控制的需要,也可以建立一个完整的风险管理过程。

1.风险管理的目标

COSO(2004)认为,主体的目标包括四个:

(1)战略目标,是高水平的目标,它应与组织的使命一致并支持该使命;

(2)经营目标,组织应当有效率和效果地使用资源;

(3)报告目标,组织应当提供可靠的报告;

(4)遵循目标(合规性目标),即组织应当遵循相关的法律规章。

企业风险管理实际就是为实现上述目标提供合理的保证。

2.风险管理的内容

企业风险管理包含以下方面的内容(作用):

(1)协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时,应考虑组织的风险偏好。

(2)改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略(包括规避、降低、分担与接受风险)中做出选择。

(3)减少经营意外与损失。提高组织识别潜在事项并做出反应,减少意外事项及相关的成本或损失的能力。

(4)识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险,企业风险管理应当有助于对相关关联的影响作出有效的反应,并对多企业的风险作出整体性反应。

(5)抓住机会。通过考虑所有的潜在事项,管理层应当能够识别并实现机会。

(6)改善资本的配置。在获得关于风险的信息后,管理层可以有效地评估总体资本需求并改进资本的配置。

企业风险管理的上述作用,有助于管理层实现组织的经营和盈利目标,并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循,并有助于避免组织声誉的损害及相关不良后果。总之,企业风险管理有助于企业向其所期望的方向发展,避免在发展的过程中遭遇陷阱和意外。

3.风险管理的要素

企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法,并与管理过程合成一个整体。这些要素包括:

(1)内部环境。内部环境包含了组织的风格,它确定了组织人员如何看待和处理风险的基础,是其它要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。

(2)目标设定。在管理层辨别影响其目标实现的潜在事项之前,必须有目标。企业风险管理要求管理层设定目标,选择的目标需要能够支持组织的使命并与组织使命相一致,并与其风险偏好相一致。

(3)事项识别。即识别那些影响组织目标实现的内外部事项,并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。

(4)风险评估。必须对风险加以分析,考虑其发生的可能性以及影响,并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。

(5)风险应对。管理层应在不同的风险应对(包括回避、接受、降低、分担风险)中做出选择,从而采取一系列与组织的风险容忍度(risk tolerances)和风险偏好相一致的行动。

(6)控制活动。应建立相关的政策和程序,以确保风险应对策略得到有效的执行。控制活动通常包括两个要素:确定应从事何种活动的政策、执行政策的程序。

(7)信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息并加以传递沟通,从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上,包括向下、向上以及平行交互沟通。

(8)监控。整个企业风险管理都应当加以监控并根据需要做出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。

对于这八个要素,COSO(2004)指出,企业风险管理不是一个严格的序列过程,即一个要素仅影响下一个要素,而且是一个多方向的、相互影响的过程,任何要素都可以并且确实影响其它的要素。

4.风险管理目标与风险管理要素的关系

COSO(2004)认为,目标是主体要实现什么,企业风险管理的要素则意味着需要什么来实现它们,因此,风险管理的目标与要素之间存在密切的直接联系。这样,企业目标、风险管理要素与企业各个层级之间就形成一个三维立体图。

二、美国风险管理准则对我国的启示

从以上COSO风险管理准则内容和要求上,可以看出存在以下特点:

(一)将风险管理与内部控制联系在一起。内部控制是风险管理的重要手段,董事会应当建立并维持有效的内部控制系统以实现风险管理。

(二)均强调风险管理是一个包含风险识别、计量和应对的系统化过程。风险识别、计量、应对和控制活动是一个紧密的整体,企业必须识别面临的潜在风险,并评估其对企业的影响,从而采取相应的措施来应对风险。在风险识别和分析、评估的技术上,均强调应当结合采用定量技术和定性技术。另外,人们越来越认识到,风险是无法绝对消除的,因此,风险管理的目标是将其控制在主体的风险偏好以内,而不是消除风险。反映到风险应对策略上,相关的风险管理准则大都强调风险的应对措施包括回避、抑减(降低)、转嫁(分摊)、接受,应当根据风险发生的可能性、对主体的影响以及主体自身的风险容量选择适当的应对措施。 (三)强调风险管理应当融入到企业日常经营活动中,并贯穿于企业的各个层次、所有的经营活动。风险管理针对的是企业经营活动中对企业目标实现产生影响的风险事项,因此,风险管理必须与企业的经营活动紧密地结合在一起,在经营活动中处处体现风险管理的理念与做法,这不仅有助于及时识别企业所面临的风险事项,也有助于降低风险管理成本、提高风险管理效率。

(四)强调控制环境的作用。公司的高层基调、管理层的管理哲学、董事会和相关委员会、员工的胜任能力对于有效的风险管理具有重要作用,如果没有一个良好的、注重风险管理的内部环境,风险管理很难取得成功。

(五)强调全员参与。全员管理是现代风险管理的重要特征,风险管理不仅仅是风险管理部门的事,而且需要靠企业的全体员工来落实,所有员工都会影响到企业风险管理的效果,企业应当使所有员工了解自己在风险管理中的作用。

(六)强调信息与沟通。信息和沟通对于良好的风险管理和内部控制相当重要,下层要了解公司的风险管理战略和政策、措施,并有顺畅的向上沟通风险管理和内部控制情况的渠道,上层要及时向员工及外部了解企业面临的重大风险及其管理情况。

(七)强调定期对风险管理过程和内部控制进行评估,并对发现的缺陷和不足加以报告。风险管理是一个持续的、动态的过程,企业的内、外部环境在不断地变化,这决定了原先的控制未必有效,因此,必须定期对风险管理过程和内部控制的有效性进行评估,以找出其缺陷和不足并及时采取补救措施。

篇5

摘要:2004年9月,COSO委员会正式颁布了新的COSO报告:《企业风险管理——整合框架》。在对此报告进行研究的基础上,探讨了两方面的问题,一是企业风险管理与内部控制的融合,二是內部审计与风险管理。通过比较认为,首先,企业风险管理与內部控制同样是一个程序,处于不断的调整和变化之中.两者只有相互融合,才能实现最佳效果;其次,对企业风险管理进行监督和评价是现代内部审计发展的结果。內部控制向风险管理领域扩展,对內部审计的发展产生了深远影响,集中体现在风险基础内部审计的产生。

关键词:企业风险管理;內部控制;內部审计

一、企业风险管理框架的提出

2004年,美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO这样定义企业风险管理,企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用.旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。

1.内部环境(InternalEnvironment)。企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。

2.目标设定(ObjectiveSetting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。

3.事件辨别(EventIdentification)。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。这一步要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。

4.风险评估(RiskAssessment)。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。

5.风险反应(RiskResponse)。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。

6.控制活动(ControlActivities)。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。

7.信息和交流(InformationandCommunication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息;平行式是部门之间的信息交流和传递;自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与管理层进行交流,管理当局应当重视员工的意见。

8.监督(Monitor)。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的合适人选。

二、企业风险管理与内部控制的融合

自1992年美国COSO委员会提出《内部控制框架》报告(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上,结合《SOX法案》在报告方面的要求,进行扩展研究得到的。通过比较,我们可以发现,企业风险管理的定义采用了1992年内部控制框架定义的模式,认为企业风险管理与内部控制同样是一个程序,它不是静态的,而是处于不断的调整和变化之中,以适应组织环境的变化。

企业风险管理除包括内部控制的三个目标之外,还增加了战略目标,并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营的效率和效果、财务报告的可靠性和现行法规的遵循。企业风险管理框架也包含三个类似的目标,但是比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。

另外,企业风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件辨别和风险反应三个要素,由于对象不同,风险管理更加针对组织面临的“风险”,增加这三个要素,拓展了概念的深度和广度。因此,风险管理框架建立在内部控制框架的基础上,内部控制框架则是企业风险管理必不可少的一部分。

内部控制与风险管理的融合很早就引发了人们的关注,经过长期的争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最佳效果。COSO企业风险管理概念的提出,将风险管理与内部控制的融合大大地向前推动了一步,这种融合必将极大地推进内部控制和内部审计的发展。

三、风险管理对内部审计的影响

内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同,尚未形成统一的最佳做法,国际内部审计师协会目前还没有标准的风险基础审计定义,IIA的职业问题委员会认为,风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改进,审计业务的范围和优先次序应由组织所面临的风险所决定。

风险基础内部审计的特征可以总结为以下几点:

第一,风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司针对风险管理功能,设立一个分部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理的一个组成部分,整个审计工作根植于以未来为导向的风险分析。

第二,内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效”虽然仍被关注,但已不是关键。

第三,内部审计的反应方式不再是反应式的、事后的、不连续的监控,从以交易为基础转变为以过程为基础,对组织战略计划的创新也由观察者转变为参与者。

篇6

关键词:内部审计;风险管理

每个组织的存在都有其目标,在实现目标的过程中,存在着影响目标实现的不确定性因素。企业管理层的一项重要职责就是要建立一个良好的风险管理体系,来识别、评价和控制风险,为企业目标的实现提供合理的保证。内部审计在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性,提出改进意见,帮助企业改进风险管理与控制体系,从而为企业增加价值。

1企业风险管理体系简介

企业风险管理(EnterpriseRiskManagement,简写为ERM)的实质是企业有效利用各种资源,以战略的方式管理风险,使企业在多变的环境下以稳健的方式运作,从而获得增加价值的机会。在全球竞争激烈的市场中,任何企业都处于动荡多变的环境之中。企业面临的风险越来越多,风险引发的损失规模也越来越大,这些都促使企业对风险管理给予高度的关注。要对风险管理过程的充分性和有效性进行评价,首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求,建立风险管理体系包括相互关联的八个风险管理要素,各要素贯穿在企业管理过程中,为实现企业目标提供保证。

(1)内控环境。主要是在企业中树立风险管理理念,营造一种风险管理文化,包括建立企业的风险文化,制定明晰的战略、目标,明确企业的风险责任人和利益相关者,使用统一的风险语言,为其他风险管理要素打下基础。

(2)目标制定。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。

(3)事项识别。下列事情可能给组织带来风险:因使用不正确、不及时、不完整、不可靠的资料而导致决策错误;记录有错误、会计核算资料不真实、不完整;资产保护不当;顾客不满意,组织信誉受损;执行组织决策、计划、程序不力,或有违法违规行为;不经济地获取或无效地利用资源;没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。

(4)风险评估。评估风险是ERM执行中关键的步骤之一。在评估风险的过程中要注意选择合适的评估技术,评估风险事件发生的可能性和频繁度,风险事件的潜在影响及其成本的高低,最后绘制一张风险地图。评估风险事件的方法有很多,如定量方法、定性方法,企业可以根据自身的具体情况来制定自己的评估方法。

(5)风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险,企

业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。

(6)控制活动。控制措施就是在接受风险的情况下,评估因接受风险所带来的额外费用和保险费用,评估因控制带来的管理成本和回报。在降低风险的情况下,明确所需的控制活动,评估这些控制活动所带来的成本费用。控制活动还包括评估目前组织、程序、系统和反馈系统管理风险的能力。最后通过控制行为,调险地图。风险发生的可能性和频率是很难改变的,最有效的就是通过对风险管理成本的控制,将风险尽量降低到企业可承受范围以内。

(7)信息和沟通。信息系统应当有效地追踪企业当前正在发生的事件以及已经避免的事件。同时企业还要保证有及时的关于企业各个层面的ERM报告。在风险活动中发生的成本费用和控制活动。其次要沟通ERM的有效性和成本费用。保证在企业中有定期的ERM报告,尤其是包括员工的责任义务完成状况以及对ERM的检查情况,CRO和其他重要的执行官要对ERM的有效性和成本加以测量和存档,同时明确向董事会和执行官报告的责任和途径。

(8)监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式,来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。风险不是静态的,风险的数量和可能性会随内外部环境的变化而变化,持续的监控对有效地管理风险是最基本的。通过持续的监控可以使企业明确在下一步的风险管理中应当改进的问题。通过这个环节可以明确ERM可以给企业带来的利益与价值,了解风险评估的正确性,为下一次的评估提供经验教训,明确风险回应决策的有效性,同时还有助于控制成本费用。

从以上八个风险管理要素可以看出,企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。转贴

2内部审计在风险管理中的作用

根据《内部审计实务标准》对内部审计的定义:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。所以在风险管理中,内部审计可以发挥以下作用:

(1)内部审计人员熟悉公司业务并能够随时深入到生产经营的全过程去了解掌握具体情况,收集大量的第一手资料,从中发现存在风险的隐患问题,进行风险分析,提请管理层注意风险管理和控制等的相关建议。

(2)内部审计通过咨询服务方式积极协助公司进行风险管理过程的建立。风险管理是一个复杂的系统工程,在一个组织内部应当明确职责分工,各司其职。董事会负责制定战略目标,高层领导各负责一个方面的风险管理责任,其他管理人员由管理层分配一部分工作,操作人员负责日常监控,而内部审计人员则负责定期评价和保证工作。内部审计师可以促进、协助风险管理过程的建立,但不负风险管理的责任。

(3)内部审计通过将风险管理评价作为审计工作的重点,以检查、评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。

①评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势,确定是否可能存在影响企业发展的风险;检查公司的经营战略,了解公司能够接受的风险水平;与相关管理层讨论部门的目标、存在的风险,以及管理层采取的降低风险和加强控制的活动,并评价其有效性;评价风险监控报告制度是否恰当;评价风险管理结果报告的充分性和及时性;评价管理层对风险的分析是否全面,为防止风险而采取的措施是否完善,建议是否有效;对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确,以及其他审计技术;评估与风险管理有关的管理薄弱环节,并与管理层、董事会、审计委员会讨论。如果他们接受的风险水平与公司风险管理战略不一致,应进行报告。

②评价管理层选择的风险管理方式的适当性。由于各个公司的文化氛围、管理理念和工作目标不同,风险管理的实施也有很大差别。每个公司应根据自身活动来设计风险管理过程。一般说来,规模大的、在市场筹资的公司必须用正式的定量风险管理方法;规模小的、业务不太复杂的,则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。

(4)内部审计应积极持续地支持并参与风险管理过程,对风险管理过程进行管理和协调。在现代企业制度下,公司全面建立了风险管理过程,内部审计因此能够担负起风险管理的职能。首先,内部审计从评价各部门的内部控制制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,做出相关评价。其次,内部审计可以深入到企业管理的极细微的环节上查找问题,分析其合理性。内部审计人员更多的是以风险发生可能性大小为依据,深入到经营管理的各个过程,查找并防范风险。再次,内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范宏观决策带来的风险。

3将企业风险管理融入内部审计程序

在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致,使这两项工作产生协同增效的作用。

(1)在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划,确定审计项目。

(2)确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。

(3)编制审计方案时,通过风险因素分析来确定审计业务工作重点;在审计实施过程中,通过评价内部控制制度,查找其中的疏漏和薄弱环节;在更新审计范围与计划的内容时,要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时,应该能够反映出风险的重大性与发生的可能性。

(4)在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议。

篇7

【关键词】内部控制;企业风险管理;风险审计

一、企业风险管理

(一)企业风险管理概念

根据《企业风险管理框架》(简称ERM框架),“企业风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从组织战略制定一直贯穿到组织的各项活动中,用于识别那些可能影响组织的潜在事件并管理风险,使之在组织的风险偏好之内,从而合理确保组织取得既定的目标。”ERM框架有三个维度,第一维是组织的目标,包括战略目标、经营目标、报告目标和合规目标;第二维是企业风险管理要素,包括内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和交流、监控;第三维是组织的各个层级,包括整个组织、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是,企业风险管理的八个要素都是为组织的四个目标服务的;组织各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。企业风险管理定义直接关注组织目标的实现,并且为衡量组织风险管理的有效性提供了基础。该定义强调:风险管理本身并不是一个结果,而是实现结果的一种方式;决定一个组织的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断;该过程应应用于组织内部每个层次和部门,可以从一个组织的总体来认识,也可以从一个单独的部门或多个部门的角度来认识;该过程是用来识别可能对组织造成潜在影响的事项并在风险偏好的范围内管理风险。

(二)企业风险管理要素

1.内部环境。内部环境包含组织基调,是组织员工如何看待风险、对待风险的基础,包括风险管理理念、风险偏好、正直和道德价值观及工作环境,是其他所有风险管理要素的基础,为其他要素提供规则和结构。管理当局是内部环境的重要组成部分,对其他内部环境要素有重要的影响,其职责是建立组织风险管理理念,确定组织的风险偏好,营造组织的风险文化,并将风险管理和相关的初步行动结合起来。

2.目标制定。组织先制定使命,在此背景下,管理层制定战略和目标,并把目标逐层分解为战略目标(高层次目标,和组织使命方向一致,并支持使命)、运营目标(有效且高效地使用资源)、报告目标(报告的可靠性)和合规目标(遵循适用的法律法规)。企业风险管理框架就是为实现组织目标服务,确保管理层参与目标制定流程,确保所选择的目标不仅和组织使命方向一致,支持组织的使命,而且能够保证制定的目标与组织的风险偏好相一致。

3.事项识别。事项既可能带来消极后果,也可能带来积极后果,或者带来混合后果。消极后果的事项意味着风险,它会阻碍价值创造或破坏现有价值。积极后果的事项会抵消消极影响,或者带来机会(所谓机会,就是事项如果发生,能促进目标的实现,能支持价值创造或价值的保存)。因此,管理者应识别影响组织目标实现的内外事项,分清风险和机会。企业风险管理能够改善对交叉影响的有效反应,并能为各种风险提供统一的风险反应对策。

4.风险评估。识别和分析风险,考虑可能性和后果,在此基础上决定应如何管理风险。风险评估可以使管理者了解潜在事项如何影响组织目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对于风险的评估应从组织战略和目标的角度进行。

5.风险反应。风险反应是管理层选择风险反应方式并制定一套措施把风险控制在组织的风险容忍度和风险偏好之内。风险反应可以分为规避风险、减少风险、共担风险、接受风险和利用风险。规避风险是指采取措施退出会给组织带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险,降低风险发生的可能性或降低风险对组织的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。利用风险是把风险看作机会,利用可能发生的风险及其影响。对于每一个重要的风险,组织都应考虑所有的风险反应方案。

6.控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于组织的各部分、各个层面和各个部门,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。

7.信息和沟通。识别、分析和沟通来自于组织内部和外部的相关信息,必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证组织的员工能够执行各自的职责。有效的沟通包括组织内上传、下达和平行的沟通,还包括将相关的信息与组织外部相关方进行有效沟通和交换。

8.监控。监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。组织可以通过两种方式对风险管理进行监控――持续监控和个别评估。持续监控和个别评估都是用来保证组织的风险管理在组织内务管理层面和各部门持续得到执行。

二、风险管理审计

(一)风险管理审计的目标

风险管理审计是指胜任的专职机构和专业人员对组织内部风险管理程序、风险反应、管理制度及机制的合理性、有效性进行独立的审查和评价过程。风险管理审计的根本目的是最大限度地增加组织价值。

审计目标是回答“通过审计要证明什么”的理论问题,是审计行为的出发点,是审计工作的指南,也是审查和评价审计内容所期望达到的境地和最终结果。审计目标体系由总目标、一般目标和项目目标构建。

(二)风险管理审计的内容

审计内容是回答“审计什么”的问题。根据ERM框架中的要素,风险管理审计的内容主要包括:

1.风险管理程序的科学性和合理性,主要包括风险管理开发阶段所制订的风险管理框架结构的内容;风险管理试探阶段所实施风险管理框架结构的内容;风险管理回顾阶段所丰富并增强风险管理框架结构的内容;风险管理展开阶段所推广并实施风险管理框架的情况;风险管理支持阶段所需要提供的各种基础组织以及服务。

2.风险反应的周密性和可行性,主要包括风险反应计划的周密性(如有否考虑风险的可规避性、可转移性、可减少性、可接受性);风险应对策略的可行性(如是否采取了风险控制、风险自留、风险转移)。

3.风险管理制度的合法性和完善性,主要包括风险管理制度的合法性(如建立风险管理制度是否经过充分论证);风险管理体制的完善性(如考核评价体制和责任追究制度是否健全)。

4.风险管理机制的结构性和尽责性,主要包括高层管理人员和重要岗位业务人员的风险管理理念及对风险管理的重视程度;风险管理人员的结构和素质;全员风险管理的情况。

(三)风险管理审计的程序

1.审计规划阶段,包括选定被审计对象和制定风险管理审计计划。被审计对象选定工作包括识别被审计对象的策略、识别潜在被审计对象和排列被审计对象的顺序。制定风险管理审计计划包括制订财务风险管理、生产风险管理、市场风险管理、会计风险管理、人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。

2.审计测评阶段,包括风险的分析、评估和监控。(1)分析风险。审计人员应对风险迹象进行深入了解、描述和记录,并对风险的可能性和发生频率进行分类。风险可能性分析结果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“基本确定”等类别,风险发生频率分析结果一般可分为“高频率、高损害风险”,“高频率、低损害风险”,“低频率、低损害风险”,“低频率、高损害风险”等类别。(2)评估风险。审计人员应分析风险的成因及其影响,并确定风险程度及等级。风险程度一般分为“极高”、“高”、“中等”、“低”和“极低”等级别。风险概率用风险发生可能性的百分比表示,风险量=风险概率×风险损失量。(3)监控风险。审计人员应对可能发生的风险和损失进行跟踪检查。跟踪已识别风险的发展变化情况,包括在整个项目生命周期内,风险产生的条件和导致的后果变化,作出减缓风险的方案,调险管理计划。

3.审计报告阶段,包括汇总审计结果、出具审计报告和追加后续审计。(1)汇总审计结果,包括审计现状、标准、差异、原因和建议等部分。如审计建议中对损失大、概率大的灾难性的风险要避免;对损失小、概率大的风险,可采取措施来降低风险量;对损失大、概率小的风险,可通过保险或合同条款将责任转移;对损失小、概率小的风险,可采取积极手段来控制。(2)出具审计报告,包括标题、收件人、正文、附件、签章、报告日期等基本要素。审计报告正文部分主要内容有:审计目标、风险概况、审计依据、审计结论、审计评价和审计建议等。(3)追加后续审计。ERM是一个动态的过程,审计测试应与之相协调,追加后续审计显得重要。后续审计应将重点放在最严重的问题上,相关部门是否予以纠正,若不纠正,责任和原因到底在哪儿;对一般事项可仅限于询问和简短的讨论。

【参考文献】

[1] 朱荣恩,贺欣.内部控制框架的新发展――企业风险管理框架[J].审计研究,2003,(6).

[2]中国内部审计协会.内部审计理论与实务[M].中国石化出版社,2004.

篇8

[关键词] 企业风险管理理论 中央企业 本土化

本世纪初以来,以不确定性为基本研究对象的企业风险管理(Enterprise Risk Management,ERM)理论逐渐进入我国实业界和研究者的视野。2006年6月,国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该《指引》的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。

一、企业风险管理理论概要及在我国的规范化实施

1.企业风险管理(ERM)理论的一般框架。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,COSO)在2004年9月提出的,标志文书是《企业风险管理――整合框架》(Enterprise Risk Management Integrated Framework,下称《整合框架》),这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。COSO认为,企业风险管理是经由企业当局广泛参与,对企业面临的不确定性进行多要点掌控,以实现组织目标的过程。

《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部环境、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的ERM框架是通过对不确定性的管理增加股东价值,以共同的语言和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。

2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威指导文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、财务风险、市场风险、运营风险、法律风险等。

《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。

二、企业风险管理理论本土化过程中应注意的问题

1.找到切合实际的本土化切入点

一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析总结的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。

2.建立起具有可操作组织规范

企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的药方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。

3.培育良好的气氛和合格主体

一般讲,一个良好的适合于特定企业的ERM氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与企业战略有机联系;二是能够保证企业的风险管理战略、企业的发展战略与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险语言,和畅通的沟通管道。任何一个ERM框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。

参考文献:

[1]滕青:我国企业风险管理框架构建[J].经济管理,2007,(3):45~48

篇9

关键词:电网企业;风险管理;审计

作者简介:梁国栋(1977-),男,河南新乡人,北京英大长安风险管理咨询有限公司咨询业务一部主任,国家注册管理咨询师,国际注册内部审计师,经济师。

中图分类号:F272 文献标识码:A 文章编号:1007-0079(2013)14-0183-02

随着国务院国资委《中央企业全面风险管理指引》和财政部等五部委联合颁布的《企业内部控制规范》的先后出台,国家部委和监管机构日益重视央企风险管理工作,国家电网公司系统在公司总部的正确引领下,正在大力推进全面风险管理体系和内控体系建设,并在完善组织架构、运营体系建设、专项领域研究和风险文化建设等方面不断取得突破。

内部审计职能作为电网企业全面风险管理体系的第三道防线,需要运用科学的风险管理审计方法,对已有风险管理工作进行客观、真实和有效地评价,责任重大。然而,风险管理审计作为一项尚未完全成熟的审计职能,仍需对其进行不断研究。

一、电网企业风险管理审计理论简述

中国内部审计具体准则第16号《风险管理审计》指出“本准则所称风险管理审计,是指内部审计机构、内部审计人员依据国家法律、法规、政策和标准,独立、客观地对本组织风险管理和治理过程进行监督、评价和咨询,提出改进和加强风险管理的意见或建议的行为”。

根据以上定义,电网企业风险管理审计是指电网企业内部审计部门采用系统化、规范化的方法来进行以测试风险管理体系建设、各业务循环以及相关部门的风险识别、风险评估、风险控制等为基础的一系列审核活动,从而实现对电网企业风险管理工作适当性、有效性的评价,促进电网企业提高风险管理工作的效率和效果。

风险管理审计作为内部审计的崭新领域,与传统的财务审计、制度审计等相比具有两方面的差异。

一是风险管理审计与企业目标直接关联。传统内部审计将着眼点放在财务结果、经营管理活动等方面,并没有与企业战略、经营目标相联系。而风险管理审计则是立足企业经营目标,对影响目标实现的不确定性因素的管理进行审计,把握企业整体和各流程、各部门的风险,通过“目标—风险—管理—审计”的路线将审计对象与企业目标直接联系,从而更好地为企业服务。

二是风险管理审计将原有审计关口前移。在传统的审计模式下,审计的目的是对已经发生的事件进行检查和分析,从而揭示已经发生的风险事件、差错和舞弊。而风险管理审计则立足企业重大风险,对风险的管理过程和效果进行测试、评价和反馈,充分体现事前审计的思想,由原先消极的以“发现和评价”为主的内部审计活动转向积极的防范和解决问题的内部审计活动。

电网企业面临的高风险经营环境日益复杂,带来了自身风险管理需求的提升,如何有效评价风险管理工作是引起电网企业风险管理审计产生的内部背景,与此同时,电网企业风险点众多,内部审计部门还需要对重大风险点进行风险管理专项审计。因此,电网企业引入风险管理审计需求强烈。

二、风险管理审计与企业风险管理的关系

电网企业开展全面风险管理体系建设是一项庞大的系统工程,一方面需要搭建公司级的组织体系、制度体系、流程体系和文化体系,另一方面又要整合原有风险管理工作成果,例如安全风险管理(涉及电网、设备和人身)、财务风险管理、营销风险管理等。为确保风险管理的充分性和有效性,对风险管理进行持续监控必不可少。

在电网企业全面风险管理体系建设过程中,管理层在做出风险管理决策方面负主要责任,而审计人员在管理层的风险决策方面可以提供建议、质疑或者支持,通过运用风险管理方法和技术,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进建议和意见,为电网企业管理层提供有关决策参考。

因此,风险管理审计的目标就是内部审计部门采用系统、科学的审计方法,结合风险管理工具,对电网企业风险管理工作的完整性、合理性和有效性进行评价。

三、电网企业风险管理审计的内容与方法

国家电网公司目前开展的全面风险管理体系建设工作已经取得了丰硕的成果,根据国网公司系统风险管理体系建设取得的经验,一个设计完整、运行有效的风险管理体系应该包括两个层面的风险管理体系,即公司层面风险管理体系和业务层面风险管理体系,内审部门开展风险管理审计工作的内容,应立足上述两个方面实施,具体如图1所示。

如图1所示,电网企业内审部门可以采取“立足一个体系、抓住两个层面”的工作思路,从公司层面对电网企业开展风险管理体系建设工作的完整性和有效性进行评价,从业务层面对电网企业开展风险管理具体工作的设计有效性和执行有效性进行评价。

在整个风险管理审计过程中,内审部门在公司层面的风险管理审计中往往不用花费过多的精力,而业务层面风险管理则是整个风险管理审计工作的重中之重,一般而言,针对业务层面风险管理的审计可采取如下方式:

1.立足风险管理策略

风险管理策略是电网企业面对公司各类风险的态度,它包括风险偏好、风险承受度等内容。风险管理策略制定的科学与否直接关系到后续风险管理工作的成败,因此在具体审计过程中,必须牢牢抓住风险管理“策略制定程序的合规性、策略选择方法的科学性和策略选择结果的适当性”这三个关键问题。

2.关注企业目标设定

风险的定义是“不确定性对目标的影响”,因此在风险管理审计过程中,要首先关注目标设定是否恰当,是否是管理层或各部门的关注目标。一旦目标发生偏移,则再科学、有效的风险管理工作也将毫无价值,因此在具体审计过程中,应关注设定目标的准确性和适当性。

3.抓住风险识别范围

在目标设定的情况下,风险识别的结果将会对电网企业风险状况的了解产生重大影响。因此,内审部门在审计过程中,应重点关注风险识别的方法是否适当、过程是否严密、结果是否完整。一般意义上,针对设定目标识别出的风险应该是穷尽的,而且是基于原因的(对目标实现有影响的原因或者因素)。

4.分析风险评估标准

评估标准在一定意义上是电网企业风险偏好和承受度的直观反映,风险评估标准涉及到风险发生可能性和影响程度两个维度,审计时要充分考虑到评估标准在电网企业风险偏好的影响下,其风险承受度的极大值和极小值是否与标准相符,因此在开展该阶段审计时,应重点关注风险管理标准设计的前后一致性、科学性和适用性,

5.判断风险控制措施

风险控制措施往往都是针对重大风险而设计的,因此,针对风险控制措施的审计,首先要特别关注该控制措施是否是对重大风险有针对性;其次要关注控制措施设计的全面性;最后要关注所设计控制措施的有效性。审计关注重点可包括风险成因分析、措施制定情况、工作节点安排、具体责任归属和控制预期成果等方面。

6.审视监督改进机制

作为相对独立的第三方,内审职能还应对电网企业风险管理工作的闭环管理机制进行审计和评价,以判断其监督改进工作是否开展?如何开展?以及有效性如何?从而为管理层判断公司风险管理工作的有效性提供证据。因此,审计的关注重点应放在机制是否按照计划、组织、实施、控制、反馈的闭环回路进行。

7.追踪重大风险预警

针对重大风险的监控和预警是整个风险管理工作的核心,也是内审部门在有限的审计资源条件下,有效开展风险管理审计工作的重点。电网企业每年年初都会针对当年的风险情况进行识别、评估,确定重大风险,从而集中优质资源予以管控,并设置预警指标予以监控,内审机构可相应地跟进上述过程,并保持应有的职业敏感性和判断力,从相对独立、客观的角度保持对重大风险的追踪,从而对重大风险的管理工作做到全过程、全方位的评价。

四、电网企业风险管理审计的主要方法

1.问卷调查法

“问卷调查法”是指内审人员针对需要调查了解的风险管理体系构成要素和风险控制点,设计拟调查的问题条款,形成调查问卷以了解风险管理情况的方法。调查问题的提出,应紧紧围绕风险管理体系中的控制点及其管理措施,即对控制点设置的各项控制措施逐一设计调查问题。问卷调查表的设计一般可分三步进行:一是确定风险管理审计目标;二是根据审计目标,确定所要调查的风险控制点及其控制措施;三是根据控制点及其控制措施拟定具有针对性的调查问题。调查问卷的格式,通常有封闭式和开放式两种。其要素一般包括:调查单位、调查项目、调查时间、调查问题、被调查人、审计负责人和审计调查人等。

2.流程图分析

“流程图分析”是指企业风险管理部门将整个企业生产过程的一切环节系统化、顺序化,制成流程图,从而便于发现企业面临的风险。内审部门可根据本企业的生产流程,列举出各个生产环节的所有风险。流程图通常包括风险点、控制点、审批环节等,能够直观反映流程中的风险分部情况。然而,流程图中往往难以直接显示控制点的控制措施,因此还需借助风险控制矩阵、权限指引等表单,以配合对流程图的理解。

3.自我评估法

“控制自我评估”(Control Self Assessment,简称CSA)是IIA协会力推的一种风险控制自我评估方法,在发达国家的企业内审工作中应用比较普遍,是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。其有三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。内审人员可积极推动企业管理层和部门负责人引入与推广该方法,以实现对风险管理的自我评价。

4.价值链分析

“价值链分析法”指的是审计人员通过对被审计项目的价值链活动进行风险识别并且找出其重大风险,进而对重大风险上的风险管控措施的有效性情况进行评估,同时还对价值链的内部联系和纵向联系进行风险分析,查找所采取的风险控制措施不适当、高成本或者控制效果不佳的问题,做出重大风险管理措施有效性评价并且提出审计建议的一种工作方法。

5.专家意见法

“专家意见法”是指审计人员依据系统的程序,采用匿名发表意见的方式向专家征求意见,即专家之间不得互相讨论,不发生横向联系,只能与调查人员发生关系,通过多轮次调查专家对问卷所提问题的看法,经过反复征询、归纳、修改最后汇总成专家基本一致的看法,作为针对某个风险管理活动的风险管

理情况评价的结果。这种方法具有广泛的代表性,较为可靠。

6.概率分析法

“概率分析法”又称风险分析法,是通过研究影响目标实现的各种不确定性因素发生的频率及其对目标的影响程度,进而对风险的等级做出判断,并对相应的风险管理措施的优劣作出判断的一种不确定性分析法。概率分析法常用于对大中型重要若干项目的评估和决策之中。

五、结语

风险管理审计尚处于不断发展、创新的过程中,在中国企业中的应用尚不普遍,还需要不断的深入研究。随着电网企业风险管理工作的不断深入推进,内审部门作为风险管理的第三道防线,其承担的监督检查职能日益重要,内审部门相对独立、客观、科学地评价风险管理工作成效将是今后电网企业风险管理工作的重点。

参考文献:

[1]国务院国资委.中央企业全面风险管理指引(国资发改革[2006]108号)[Z].2006.

[2]石贵泉,王凡林.现代内部审计理论与实务[M].济南:山东人民出版社,2005.

[3]卓继民.现代企业风险管理审计[M].北京:中国财政经济出版社,2005.

篇10

1.企业风险管理(ERM)理论的一般框架。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO)在2004年9月提出的,标志文书是《企业风险管理——整合框架》(EnterpriseRiskManagementIntegratedFramework,下称《整合框架》),这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。COSO认为,企业风险管理是经由企业当局广泛参与,对企业面临的不确定性进行多要点掌控,以实现组织目标的过程。

《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部环境、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的ERM框架是通过对不确定性的管理增加股东价值,以共同的语言和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。

2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威指导文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、财务风险、市场风险、运营风险、法律风险等。

《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。

二、企业风险管理理论本土化过程中应注意的问题

1.找到切合实际的本土化切入点

一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析总结的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。

2.建立起具有可操作组织规范

企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的药方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。

3.培育良好的气氛和合格主体

一般讲,一个良好的适合于特定企业的ERM氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与企业战略有机联系;二是能够保证企业的风险管理战略、企业的发展战略与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险语言,和畅通的沟通管道。任何一个ERM框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。

参考文献:

[1]滕青:我国企业风险管理框架构建[J].经济管理,2007,(3):45~48

[2]陈颖杰赵阳:谈企业整体风险管理[J].商业经济研究,2007,(28):44~45

[3]张东毅:浅谈国有企业风险管理[J],山东煤炭管理干部学院党报,2007,(3):11~12