企业风险管理的特征范文

时间:2023-09-06 17:43:20

导语:如何才能写好一篇企业风险管理的特征,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业风险管理的特征

篇1

关键词:风险管理;内部控制;风险管理程序

一、现代企业风险管理概述

(一)现代企业风险管理的概念及特征

从企业的角度来说,风险主要指无法达到预期报酬的可能性。而企业风险是指企业在生产经营过程中,由于各种事先无法预料的不确定因素带来的影响,使企业的实际收益与预期收益发生一定的偏差,从而有蒙受损失和获得额外机会的可能性。企业风险具有客观性、偶然性、复杂性、可变性等。所谓风险管理,是指企业面对风险时采取科学有效的方法,以便用最小的成本获得最大安全保障利益的管理活动。美国国家虚假财务报告委员会赞助机构研究小组(COSO)报告中认为:内部控制是一种由企业董事会、管理阶层与其他人员执行,由管理人员阶层所设计,为达成运营的效果及财务报告的可靠性和相关法令的遵循提供合理保证的过程。

(二)现代企业风险管理的目标

损失前风险管理的目标包括经济性目标、安全性目标和履行社会责任目标3个方面:经济性目标、安全性目标、履行社会责任目标。

损失后风险管理的目标包括维持企业继续生存、促使企业继续经营、促使企业收入稳定、促使企业继续成长、完成社会责任5个方面。

二、现代企业风险管理的现状分析

(一)现代企业抗风险能力分析

企业的抗风险能力,主要取决于其风险的识别能力、风险的承受能力和风险的化解能力这3方面。企业的风险识别能力与人的素质和能力密切相关,即与人的经验、风险意识、所掌握的知识以及对信息的把握等方面有关。企业有一个风险承受力的问题,当然也要有一个逐步适应、不断提高的过程。目前,企业的资金普遍短缺,其风险承受能力自然也就比较脆弱。现在频频出现的企业集团化趋势正是反映了企业努力提高抗风险能力,参与国际市场竞争的要求。企业置身于市场经济大环境中,环境的变化既蕴含机遇,也隐藏着危机和风险。这需要企业具备化解和分散风险的能力。

(二)企业风险管理的现状

目前,我国企业的风险管理意识不强、企业管理者当局对企业风险管理的重要性认识模糊、风险管理缺位的现象比较普遍。具体来讲,我国企业的风险管理存在经营体制和管理制度上的风险,成功的管理模式如果不能适应环境的变化,就会变成失效的模式。同时,我国企业风险管理意识不强、管理理论素质偏低。企业风险管理机制不健全、企业改革滞后。

三、现代企业风险管理的基本程序

风险管理的基本程序包括风险识别、风险衡量、风险管理技术选择和风险管理效果评价等。

(一)风险识别

风险识别是风险管理的第一步,它是指风险主体对所面临的风险以及潜在风险加以判断、归类和鉴定性质的过程。对风险的识别一方面可以通过感性认识和经验来进行判断;另一方面,也是更重要的则必须依靠对各种客观的会计、统计、经营资料和风险记录进行分析、归纳和整理,从而发现各种风险的损害情况以及风险发生规律。风险识别是一项具有持续性和系统性的工作。

(二)风险衡量

风险衡量是指在风险识别的基础上,通过对所收集的大量的详细损失资料加以分析,运用概率论和数理统计,估计和预测风险发生的概率和损失幅度。风险衡量以损失频率和损失程度为主要测算指标,并据以确定风险的大小或高低。风险衡量一般需要运用概率论和数理统计方法,必要时借助计算机完成。风险衡量与风险识别以及风险处理在时间上不能截然分开。事实上,有些数量分析活动是在风险识别的过程中进行的,有些风险处理措施则在风险衡量时就已经存在。

(三)风险管理技术选择

根据风险衡量的结果,为实现风险管理的目标,需选择最佳的风险管理技术。风险管理技术分为两大类:控制型风险管理技术和财务型风险管理技术。前者是以避免、消除和减少意外事故发生的机会,限制已发生损失继续扩大的一切措施。后者是通过事先的财务计划来筹措资金,以便对风险事故造成的经济损失进行及时而充分的补偿。通过财务处理,可以把风险成本降低到最小程度。

(四)风险管理效果评价

对风险管理技术适用性及其收益性情况进行分析、检查、修正与评价称为风险管理效果评价。在某一特定时期内,风险管理技术选择是否最佳,需要进行科学的评估。风险管理效益的大小取决于是否能以最小的风险成本取得最大安全保障。在风险管理的实践中,通常要考虑该项技术的经济性、其与整体管理目标的一致性、实施的可能性和有效性,同时,由于人们的认识水平具有阶段性以及风险管理技术处于不断完善的过程中,因此对风险的识别、评价,以及技术的选择需要定期修正,使选择的风险管理技术适应变化了的情况需要,从而保证管理技术的最优使用。

四、现代企业风险管理的对策

(一)完善企业风险管理的对策

1、加强企业内部环境建设。内部环境体现了企业的特征,影响到企业员工的风险意识,为企业的风险管理提供了有关原则和结构。(1)健全和完善企业内部控制。内部控制贯穿于企业经营的各个方面,只要存在企业的经营管理,便需要有相应的内部控制。一个良好的内部控制环境能够保证经营方针和计划的贯彻与执行,维护企业资产的安全与完整,确保会计报表的编制符合会计法规、准则和制度的相关要求,同时还能防止、披露和纠正错误与舞弊现象的发生。(2)加强企业风险文化建设。企业应形成相对稳健的风险文化。海信集团便是一个成功的例子,他们始终坚持“要发展,更要健康”的发展思路,在保持财务健康的前提下稳步地谋求发展。他们认为企业不应求一时一事的高低,应求强而做,只有做强的企业才可以真正做大。

2、完善现代企业风险管理组织机构。为使企业风险管理的功能得到正常、充分发挥,企业应建立健全风险管理的组织机构,风险管理组织机构相对独立于企业组织的整体控制。现代企业风险管理机构要独立地开展工作,但不直接干涉企业正常生产经营活动,它是对企业最高管理者负责。

3、完善现代企业的风险预警机制。在现代企业风险分析清楚后,就应立即制定相应的预防转化措施,尽可能减少风险给企业带来的损失。现代企业风险预警制度若要能够有效运作,就必须要有正确及时且合乎企业所需要的各种风险管理资讯系统,提供及时而完整的经营成果数据供企业的经营者及各部门负责人以实际经营状况数据体系来与财务指标数据相比较。

4、构筑3道防线――领导责任线、岗位责任线、审计责任线。(1)领导责任线。由于企业风险管理的重要性和特殊性,因此,企业的领导层应给予充分重视和支持,定期专门研究企业风险管理问题,并根据企业的环境和形势变化确定本企业风险管理的重点和近期目标,要在企业行为决策过程中重视风险的比较论证,充分评估要对面临的和潜在的风险,及时采取对策。(2)岗位责任线。企业风险管理者要对本企业的风险管理负最终管理责任。在企业风险运行机制和风险管理机制下,企业各岗位风险管理者要在各自的职责范围内执行并维护有效的风险管理框架,企业所有员工都有责任向管理者当局报告本企业的风险管理情况与问题。(3)审计责任线。企业内部审计人员在本企业的风险管理中负有监控责任。企业的内部审计人员可通过对企业管理者在风险管理过程中的充分性和有效性进行检查、评估、提出改进建议来帮助风险管理者履行其职责。企业的外部审计人员也能从独立客观的角度对企业的财务报表进行审计,向企业提供风险管理方面的有用信息。3条防线缺一不可,其中领导责任线是关键,岗位责任线是重点,审计责任线是保障。

(二)未来企业风险管理的发展

在经济全球化和我国加入WTO的背景下,我国企业的风险管理已经成为国民经济整体运行的一项十分紧迫而又非常艰巨的任务。我国企业的风险有其自身的特征,并且在一定条件下是可控的。因此,企业的管理既要借鉴国外企业风险管理的先进经验,又要从我国的具体国情出发。纵观全文,现代企业风险管理工作是一项系统工程,涉及面广、内容复杂,是需要现代企业全员参与的一项管理活动,它是现代企业内控制度的拓展和延伸,是现代企业继企业战略和质量管理的又一重大方面。现代企业应坚持科学发展观,树立风险组合观、优化观、动态观,合理地确定企业风险度和风险管理目标,增强企业风险管理意识,提高企业风险管理水平,从而达到提升企业价值的目的。

参考文献:

1、王晓群.风险管理[M].上海财经大学出版社,2003.

2、张坤,李嘉明,周和生.风险管理与内部审计[M].化学工业出版社,2004.

3、钱肇基.现代企业管理新思维丛书――风险管理[M].中国电力出版社,1999.

4、周兆生.内部控制与风险管理[J].审计与经济研究,2004(4).

5、宋清华,李志辉.金融风险管理[M].中国金融出版社,2003.

6、陈很荣,程鹏,吴冲锋.现代企业风险管理的价值分析[J].科学与科学技术管理,2000(10).

7、许谨良等.企业风险管理[M].上海财经大学出版社,2000.

8、阎天三,李永超.强化企业风险管理的对策与建议[J].经济经纬,2000(4).

9、唐振达,柯学宁.现代企业风险管理研究――关注风险管理 提升企业价值[J].学术论坛,2006(1).

10、陈洪隽.关于我国企业风险管理的若干思考[J].经济研究参考,2005(93).

11、石玉英,乔林等.现代企业风险管理方法简述[J].科技与管理,2005(4).

12、David Mcnamee,Georges Selim. The Nest Step in Risk Management[J].Internal Auditor,1999(6).

13、Bradbury,J.A. The policy implications of differing concepts of risk[J].ScienceTechnology&Human Values,1998(14).

14、Fellex H.Kloman. Risk Management Reports[M].Seawrack Press.1996.

篇2

关键词:企业风险管理 内部控制 内部审计 管理机制

一、企业风险管理的必要性

近年来,很多企业缺乏风险意识,没有实施实质性的风险管理,忽略对风险的防范与控制,导致企业破产事件时有发生,如新疆德隆集团、四川长虹集团、科龙集团、中航油(新加坡分公司)等,严重的风险损失致使很多企业开始关注全面的风险管理。

企业风险管理是管理者对企业发展中存在的和潜在的风险进行辨识、评估以及权衡风险危害的行为等,并对所识别出的风险及时采用有效方法进行防范及控制。内部控制的目标是对企业存在的风险进行及时防范及控制,有效监督并保证企业的发展。从本质上讲,企业内部控制与风险管理存在着必然的联系:内部控制其实是风险管理的手段之一, 内部控制的实施建立在企业风险管理基础之上,并随着风险管理的需要而不断发展。但因为内部控制与风险管理具有不同的内涵和外延,所以两者不能相互替代、缺一不可。所以风险管理与内部控制有效结合,会更加准确地发现企业面临的风险,做出及时的防范与应对措施,将风险损失减到最低限度,稳定企业的经营环境,保证企业利润目标的实现,对企业发展起到保驾护航的作用。

二、企业风险管理的架构和模式

考虑到现阶段我国的企业发展条件和宏观环境,本文认为构建企业风险管理框架应注意以下几个方面:

(一)全面风险管理的目标应顺应企业发展面临的环境变化

企业的风险管理是建立在企业整体业务发展与经营基础上,需要与企业的研发技术、管理方法及战略目标相结合。所以企业风险管理整体框架的建立首先应明确风险管理要达到的目标,是否与企业发展目标紧密相连,分析企业面临的内外部环境,并将风险管理要达到的效果细化成具体的管理任务,在全企业范围内明确宣布风险目标和计划,要求全部业务人员和管理人员共同参与,并制定完善的制度体系,约束其职责行为,保证风险管理工作的落实。

(二)内部控制制度与企业风险管理体系密切结合

内部控制是加强风险管理的手段之一,是更具系统性、独立性的管理工作。内部控制组织结构的设计需要充分满足企业全面风险管理的要求。风险管理也应该与之互补,尽可能地利用内部控制发现的问题和维护的企业管理环境,采用更科学、合理的方法评估、预测业务风险、财务风险的严重程度,以节约人力、物力,提高管理效率。

三、目前企业风险管理的现状及分析

企业风险管理是一个循序渐进、不断完善的过程,是企业在不断探索的一个合理有序的流程,试图将经营风险管理行为与战略管理、业务计划制定过程结合在一起,以期整个企业的风险、收益、增长与资本得到充分优化。虽然我国企业一直在研究、完善风险管理,并取得显著的成绩,但是仍存在很多需要改进的地方。

(一)负责风险管理的职能结构有待进一步完善

我国很多企业也在做风险管理,但大多数是将风险防控的任务分配到不同部门,由其分工完成,而没有专业的风险管理组织或者专职负责人来来实现企业的风险管理和内部控制。分散式的风险管理容易导致功能交叉、分工混乱,管理责任与权利不明确,各部门工作缺乏积极性,没有有效的沟通,无法实现信息资源的共享,风险管理与内部控制不能及时发现问题,对企业风险防范与控制的作用微弱。

(二)风险管理具体目标尚待细化,制度缺乏约束力

目前我国企业风险管理整体水平较低,风险管理没有充分发挥应有的作用,很大程度上是因为企业对风险管理没有给予足够的重视,通过内部控制加强风险管理的意识薄弱。只是笼统地制定了企业风险防范将要达到的效果和希望,没有对该抽象的目标进一步界定,具体到各部门的实质性工作时,往往就成了形式上的东西,因为缺乏具体任务指标或完成效果的检验标准,很多风险防范及应对工作无法落实。简单的风险管理制度内容不全面,执行力匮乏,对员工的约束力较弱。

(三)内部控制制度执行不力,评价监督效果微弱

内部控制是在风险管理中更直接、更具体的一项工作。但很多企业并没有正确理解内部控制与风险管理的密切关系,过分地强调各部门将风险损失压倒最低,却忽略了具有明显管理效果的内部控制。有些企业仅限于将国家要求的内部控制制度制定出来,写成纸质的文件供检查,而没有相应地建立有效的内部控制执行流程、业绩评价等机制,使内控制度流于形式,无法应对企业面临的风险。或者将精力过多的集中于利用严格的内部控制流程发现问题、指出错误,没有同时将评价与激励制度跟进,整个管理的优势得不到发挥,不足没有改进,不利于企业的长期可持续发展。

(四)风险管理手段比较单一,无法有效地降低风险损失

我国企业风险管理水平整体较低的一个原因是风险管理手段比较单一、落后。首先表现为很多企业进行风险管理的目的过于肤浅,对内部控制与风险管理存在着不少误区,出于当期获得尽可能多的利润的经营理念,采取的防范与控制风险的措施都是眼前的、短期的。其次,很多风险管理手段是模仿先进企业集团或国外公司,采取了与本企业经营业务性质和发展条件相差很大的管理方法,适应性不强直接影响了管理的效率。再次,风险管理具有很强的专业性和技术性,很多企业的财务人员尚并不具备分析数据模型、推测市场环境变化,评估经营风险的能力,依靠的往往是经验性质的主观判断,在准确性与科学性上有待考究。

四、企业做好风险管理的建议

(一)健全组织机构,保证风险管理工作的权威性

风险管理是涉及企业所有业务和部门的一项长期工程,必须由企业的最高职能机构牵头,负责风险管理工作的推广与落实。首先就应该建立董事会或股东大会管理下的风险管理组织架构,明确风险管理在企业各项工作中的地位和权威性,领导企业做好制度建设,使风险管理有章可循。然后,经由具体负责的职能部门或财务部风险管理员,将风险管理的总体要求进行细化,坚持全员参与管理原则,要求落实到风险管理的执行层面,实现风险管理的横向延伸和纵向管理,监控企业的所有部门和业务,杜绝风险隐患。

(二)风险管理目标具体化,建立有企业特色的风险管理机制

第一,要对企业内部管理层进行风险管理的思想观念教育,纠正错误的认识,真正理解风险管理的必要性,使管理层将风险防范意识融入管理工作全过程,并用其指导基层工作的开展。第二,要根据本企业所面临的行业发展环境和具备的个体条件,研究如何将风险管理的目标具体化,细分为可衡量的任务指标,下发到企业的基层员工,营造良好的风险管理文化氛围,使这种防范意识成为员工自觉的行为约束。第三,完善考核评价制度。可以将风险管理体系的建设与薪酬制度相结合,利用内部控制制度中绩效考核的结果,评价风险管理任务指标的落实,改善企业内部环境,使风险管理真正发挥作用,保证企业经营管理系统的高效运作。

(三)找到风险管理与内部控制的切合点,发挥内部控制的优势

内部控制制度在很多大型企业集团都得到顺利开展,并取得不错的效果。中石化集团就对内部控制制度做了很好的规划,首先制定内部控制手册,通过制度的形式增强内部控制的约束力,并明确内部控制业务流程、实施细则,包括采购业务流程、生产成本管理业务流程、销售业务流程、资金管理业务流程、信息管理业务流程、监督与检查等,使内部控制更具有可操作性和参考性,不同的业务部门和基层人员可以根据自己的所属职责做出正确的行为。企业可以在分析面临的内外部环境和条件的前提下,将风险划分为:业务风险、经营风险、财务风险与合规风险,有针对性地制定常规的防范和应对措施,设计风险管理解决预案。然后结合内部控制的重点和难点,对企业流程进行梳理与改造,辨识关键控制环节和风险控制点,规范突发事件的处理流程,以及时将意外风险与损失降到最低。

(四)改进风险管理手段,强化风险预警功能

风险管理依靠的是硬件设施的保证和人力资源的专业性。第一,企业应该为风险管理建立或引用先进的软件系统,通过信息系统的铺设,部门之间可以方便地进行信息交流与共享,实现企业运营数据和信息收集、存储、处理、报告和信息披露的自动化,及时地掌握各个环节的变化与需要,尽可能反映真实、准确的经济动态信息,做出正确的应对措施。第二,要求具体负责的人员必须掌握风险分析的数据模型,能够熟练运用计算机技术分析统计数据,得到所需要的信息。并同时时刻更新自己的专业知识体系,通过培训或业务学习等方式,提高自己的财务分析与风险预测能力,综合运用现代风险管理技术,如模型计量、信用风险管理等方法,保证经验值的取值合理、可靠,准确预测企业发生各种风险的可能性及其大小,为企业提供有价值的财务信息。

参考文献:

[1]丁友刚,胡兴国.内部控制、风险控制、风险管理,会计研究,2007,12

篇3

关键词:风险;企业风险;风险传导;评价

中图分类号:F275 文献标识码:A

文章编号:1005-913X(2015)04-0023-06

随着经济和社会的迅猛发展,企业无论是内部系统还是外部环境都处于动态变化之中,环境的变化加剧和系统无序化程度的加强使企业面临着极大的不确定性,即风险增大。企业对风险管理的需求上升到对风险系统运行过程的全面监控与管理。加强对企业风险传导及评价的研究,有助于从过程的视角进一步了解和掌握风险对于企业产生影响的整个动态过程及其规律,从而更好地控制和管理企业风险,具有重要的理论意义和实践价值。

企业风险及其管理问题一直受到国内外学者的普遍关注。国内外学者己对风险的类别、起因、特征及对风险的管理等方面进行了广泛研究。另外,关于风险传导的研究也是目前学术界关注的热点领域。接下来笔者将对有关风险管理研究和传导研究的国内外研究现状作以概括综述。

一、企业风险要素研究

国外学者将企业风险要素概括为两大类:企业外源性风险和内源性风险。Moshe Hagigi与Kumar Sivakumar(2009)认为,企业外源性风险因素主要包括一般环境、全行业和企业的来源于外部的不确定性。内源性风险因素包括从公司内部产生的不确定性,包括管理观念、态度和组织观点,以及在风险管理认知行为上的差异、内部控制问题等。

(一)外源不确定性

Milier(1992)详细描述了企业来自外部的风险因素,并将其分为三大类。一是一般环境因素的风险性。主要包括政治的不确定性、政府政策的不确定性、宏观经济的不确定性,如利率和汇率的变化,社会的动荡和自然灾害等的不确定性。二是整个行业的风险性。主要包括市场投入的不确定性、生产市场的不确定性和与竞争对手的竞争中造成的不确定性。三是一些特定企业的风险性。主要包括如生产经营的不确定性、投入和产出问题、污染物的排放造成问题、与研究和开发有关的不确定性、信贷行为的不确定性。

(二)内生不确定性

传统经济学家对风险的观点认为,决策者是理性的人,他们试图从财富中期望最大化的效用。当管理者的边际效用是递减时,管理者显示出风险规避。Holt和Laury(2002)的实证研究也证实这种规避风险的态度。然而,有大量的证据表明,人类的行为并非总是理性和进行风险规避的。

Kahneman和Tversky(1979)提出在不确定情况下人们的选择并不总是理性的,人们在面临风险时有不同的选择,甚至有些选择是被动的。这就导致了行为与理性假设下的预期存在偏差。

March和Shapira(1987)探讨了企业风险和管理人员持有的理念之间的关系。他们的结论是,管理者喜欢冒险并表现出风险偏好,而且管理者的决策使用的程序在某些方面与经典的或理论的程序有所差异。Kahneman和Lovallo(1993)这一问题进行了进一步的探讨,他们认为导致这一现象的原因是管理者对风险和机会有非常乐观的判断,进而,他们对风险有大胆的预测。

管理者对风险的看法本质上是主观的,不同的人看法不同,而且可能并不准确。针对这一实际情况,Mezias和Starbulk(2003)发表了一系列有关管理人员的观念的研究报告。他们指出,通过评估管理观念来证明管理者的看法往往是非常不准确的。

Wright等人(2007)研究了有激励措施的管理者对企业承担风险的影响。他们发现,管理股票期权与公司承担风险是直接和统一相关的。但是Wright,Kroll,Krug和Pcttus发现,持股与企业承担风险呈非线性关系。

Goto(2007)讨论了在风险管理中行为方式的重要性,并提出控制职工的主观偏见和判断风险的方法。

二、企业风险管理理论研究

(一)国外风险管理理论的研究现状

1.企业风险管理理论

国外学者对于风险管理的研究起步比较早,研究内容也比较全面。托马斯.L.巴顿等在《企业风险管理》中介绍了一种有效的一体化的、战略性的、经营性的风险管理机制以及在整个企业范围内实施风险管理的基本原理。作者指出,现代企业的风险管理机制应实现从独立型向综合型的转变;风险识别的方法一旦确定下来,风险识别应该有一个动态化连续不断的过程。

詹姆斯.德阿克在《企业的泛风险管理》中指出,应建立一种动态的处理风险与机遇的系统化策略。书中介绍了目前在国外方兴未艾的一种风险管理新方法――企业层面的风险管理(EWRM),将风险与机遇结合起来考察,并把企业面临的各种风险看作是相互联系的一个整体。把风险管理与企业的战略决策、经营活动统一起来,通过真正具有全局性、前瞻性的方法去管理所有关键性的奉贤于机遇,从而使企业能够在变动不定的经济环境中最大限度地利用机遇,避免损失,最终确立竞争优势。

Cormac Butler在《风险值概论》中引入了变动性与相关性来建立风险值模型,并引入了一种新的风险控制方法:蒙特卡罗模拟法,同时提出了以资产组合为基础的评估信用风险的原理与方法。

篇4

【关键词】 内部审计; 风险管理; 参与原因; 运作过程

内部审计准则第16号具体准则――风险管理审计,明确了内部审计人员要对组织内部控制中的风险管理状况进行审查与评价,表明风险管理已成为内部审计发展的重要方向。该项具体准则明确:风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。

一、内部审计参与企业风险管理的原因

(一)企业的集团化发展,要求内部审计参与风险管理

近年来,随着全球经济金融一体化程度的加深,企业面临的经营环境日趋复杂,经营风险大大增加,内部审计必须对企业经营资源运动的合标性进行全程跟踪审计,把减少企业面临的风险作为企业实现目标的关键。内部审计目前已由外在介入型逐步发展为内在融入型,渗透到企业经营管理的各方面、经济活动的各环节。它已成为强化管理的促进者、提高效能的推动者、风险前瞻的岸望者、价值增值的倡导者。因此,内部审计参与企业的风险管理也就成为企业发展必然的内在需求。

(二)内部审计的自身发展要求参与企业风险管理

1.内部审计的定义包含了风险管理内容

内部审计是采用一种系统化、规范化的方法,来对机构进行风险管理、控制和监督过程进行评价,进而提高它们的效率,帮助机构实现目标。从中不难看出,内部审计的范围已延伸到风险管理,认为只有在风险管理框架中实施的内部审计才能称之为风险管理审计,“评价和改善风险管理”成为了内部审计的重要工作领域,它拓展了内部审计的广度和深度,是对内部审计的重新定位。

2.风险管理赋予了内部审计在企业中新的地位和作用

随着内部审计定位和角色的不断改变,内部审计已成为企业的诊断师,由于在经营中风险的必然存在性,使得任何企业都必须面对风险,并利用一切手段去避免、降低它所带来的影响和后果。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,能够站在第三者的角度去帮助企业更好地把握经营的方向,并将其在企业中的作用推向一个新水平。

3.内部审计与风险管理的目标是一致的

从风险管理的定义看,风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的方法,用最低的成本获得最高的安全保障,将损失降至最低水平。它的目标是直接服务于企业的经营目标的。

从内部审计的定义看,内部审计的目的是为企业增加价值并提高企业的运营效率。内部审计部门经过收集资料、识别并评价风险的过程之后,能够对企业的运营提出富有价值的见解,从而被企业管理者采纳,因此可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等,还可以将这些有价值的信息应用于经营管理活动,从而达到企业增值的目的。由此可见,风险管理与内部审计在其目标上是相一致的。

(三)内部审计参与企业风险管理具有独立性、综合性和连续性的优势

1.独立性优势

内部审计不参与企业具体的业务经营活动,因此不对各项业务管理中出现的问题承担直接责任,其相对超脱的地位是保持审计独立性的内在基础。内部审计通过实施审计检查程序发表的审计意见可以直达企业的管理高层,具有相对客观的基础。

2.综合性优势

内部审计在企业管理中是一个综合性部门,其审计范围覆盖着企业经营的各个方面,掌握的信息是多方面的。企业的风险潜藏在各个方面,风险管理需要从全局角度对风险的影响大小、轻重缓急进行综合评估,协调各方面风险管理的行动。内部审计具有从全局考虑分析判断风险的综合性优势,对企业风险管理进行的系统性、专业性监督检查和评价,权衡企业实施风险防范和效益成本的利弊,在风险与收益比较中研究风险管理的定位。

3.连续性优势

内部审计部门及人员由于长期在企业内部工作,对企业所面临的风险更为了解,对风险的各种影响因素更便于做深入的调查,对企业风险的转化影响、风险管理措施效果等更便于进行连续的跟踪,对风险管理进行循环的连续性监控,而且内部审计长期参与企业风险管理所掌握的风险管理信息和经验,会对不断深化企业风险管理和节约管理成本产生重要影响。内部审计人员作为企业员工,是最终利益的相关者,他们会对企业风险管理的效果和建立风险管理的长效机制更具有责任感。

二、内部审计参与企业风险管理的运作过程

(一)内部审计在企业风险管理中的定位

内部审计与风险管理是你中有我、我中有你、相互依存、联动发展的紧密关系。企业在制订风险管理方案时,应将内部审计作为风险管理的第一道防线,由内部审计对整个风险管理流程进行评估和监控,但内部审计在企业风险管理的建立与防范中,主要责任是对整个风险管理过程进行认定,并评价其充分性与有效性,向管理层报告并提出管理建议,以此来保证风险管理的有效性。因此,内部审计在企业风险管理框架中的首要角色是监督者;其次才是咨询服务者,它承担了咨询者、协调者、建议者的角色。

当然,内部审计在企业风险管理中的角色是一个逐步变化的过程。在企业缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议,即建议者;在企业实施风险管理的初期,内部审计能够发挥很大的协调作用,此即协调者;而当企业风险管理逐步成熟、运作稳定以后,内部审计就转化为监督者和咨询者。

(二)内部审计在企业风险管理中的作用

1.能够客观地对企业整体风险管理进行检查与评价

从风险的形成与影响后果等特性,不难看出风险在企业内部具有感染性、传递性、不对称性等特征,如一个部门造成的风险或者疏于风险管理,可能会传递到其他部门,最终要由整个企业承担。因此,有些部门可能会出现缺失道德风险,而这种风险不是由它们来承担行为责任。又如,采购部门为节约采购成本,会忽视对材料规格、型号、质量方面的检查,这种暗藏的风险会在生产车间或者销售部门反映出来,最终给企业造成损失。因此,对风险的认识、防范和控制等需要从全局考虑。

内部审计由于不参与企业经营的具体业务活动,它是独立于业务管理部门的,因而它可以从企业的全局出发、从客观的角度对各种风险进行识别,将风险评估的意见直接报告给董事会或经营管理层,提高管理层对内部审计意见的重视程度,保证其他管理部门及时采取有效措施控制风险,从而达到企业的高效运营。

2.能够以咨询顾问身份协助管理层建立风险管理制度

内部审计在企业尚未建立风险管理的过程中,应积极向管理层提出建立风险管理过程的相关建议。如果企业尚未建立风险管理过程,内部审计人员应该提请管理层注意这种情况,并同时提出建立风险管理过程的相关建议。内部审计可以通过开展风险管理培训培育企业风险管理文化,使风险意识贯穿于企业的各个层面;内部审计可以利用其专业优势开发适合企业特点的自我评估工具,以提醒管理层注意到目标、风险、控制的关系,帮助管理层将生产经营与风险管理更好地结合;内部审计可以通过咨询服务的方式协助企业建立风险管理系统。

3.能够指导企业的风险管理策略,防止控制过度或不足的缺陷

内部审计是内部控制的再控制,企业根据目标和所能承受的风险,制定内部控制制度,内部审计人员对现代内部控制的评估焦点在于强调风险并评估具体的风险管理活动。控制过度容易导致效率不高,控制不足容易导致舞弊行为的产生。内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人,并通过对长期计划与短期实现的调节,指导企业的风险管理策略。

4.能够发挥反馈作用,对企业的风险管理产生预警作用

由于风险是面向未来的,是直接与企业的战略及经营目标相关联的,因此以风险为出发点和核心的内部审计,能够以事后的反馈延伸到事前以及事中,从而达到更高效率的控制。内部审计的咨询职能充分体现了内部审计的能动性及增值目标,并且将事后的反馈扩展到内部控制建立前以及实施时的协助与促进,帮助管理层对风险管理进行持续改进与完善,产生预警功能,从而达到内部审计在企业管理控制系统中的反馈作用。

(三)内部审计参与企业风险管理的方式方法

1.转变观念,将风险管理作为内部审计的重要工作

内部审计应由过去的控制导向审计向现代风险导向审计过渡,由被动地承受审计风险,到主动地控制审计风险,将工作程序转向“确定目标、评估风险、管理风险”。内部审计部门要把参与风险管理写入内部审计工作制度,明确内部审计人员应当关心企业所面临的风险,根据风险评估思路开展对内部控制的评估,使审计报告将目前的控制与策略计划和风险评估连接进来,有效地管理企业风险。

2.要把企业风险管理融入日常审计项目中

企业风险存在于企业经营管理的各个方面,在一次审计中对企业面临的各种风险进行全面的检查和评价是不可能的,因此内部审计须在每一次的日常审计项目中,增强风险意识,引入风险审计的观念和方法,充分揭示和评价企业特定审计范围内存在的风险,使企业管理者对此风险给予重视并采取措施化解和控制。比如,内部审计部门开展的经济责任审计,企业经营负责人在任期内发生的重大投资、债务重组、重点工程建设等活动会对今后产生重大影响,任期内发生的经济纠纷或重要的管理缺陷也不一定会在其任期内体现,对此,内部审计就应作出必要的风险评价,一方面划清前后任的经济责任,一方面帮助企业采取必要的措施防患于未然。

3.要对企业的风险管理机制进行监督检查

当一个企业建立了风险管理机制,其规章制度是否得到有效执行,是需要进行监督检查的。内部审计就是对风险管理的再监督或再管理,是其参与风险管理的一种重要形式。内部审计可以实施各种专项检查,监督检查企业相关风险管理的各个风险控制点,评价预防风险的各项工作是否到位、评价降低风险的有关措施是否有效、评价风险的变化程度等等,从而对进一步改进风险管理提出意见。内部审计还可以对已经显现甚至出现损失的风险进行检查分析,发现和反映企业风险管理中的缺陷,如风险管理责任不清、部门间协调不足、风险防范资源不足等。

4.要加强对内部审计人员的督导

为提高审计工作质量,内部审计机构负责人需根据审计工作的具体情况建立内部审计督导制度,对审计人员的工作进行指导、监督和复核,明确各级人员的责任,同时必须强调督导是贯穿于审计项目的全过程的,它包括对审计方案的制订及修订、审计程序的实施、审计工作底稿的编制、审计证据的收集、审计报告的撰写等。内部审计机构负责人应采取必要的措施,尽可能减少内部审计人员在风险管理工作中的主观判断行为,在督导工作中要遵循重要性、谨慎性和客观性原则。

5.要优化内部审计人员结构,培养高素质的审计人才

篇5

[关键词]供电企业; 全面风险管理; 广义安全

随着我国市场经济体制的不断完善,对于供电企业,机遇与挑战并存。一方面,企业面临着经济平稳较快增长、产业结构逐步调整、用电需求总体扩大、电力技术持续创新等有利于企业发展的新机遇;另一方面,企业也面临着煤价上涨、上网电价提高、电力市场竞争加剧、输配电价空间狭小、终端销售电价无利上涨等外部经营环境的新变化。

如何适应环境的变化、提高抗风险能力,成为摆在供电企业管理者面前的一个现实而严峻的问题。2006年6月6日,国务院国有资产监督管理委员会了《中央企业全面风险管理指引》(以下简称《指引》)。《指引》对中央企业如何开展全面风险管理工作提出了明确要求。为建设技术先进、运作高效、风险在控、管理科学的现代电网企业,更好履行社会责任,竞争中立于不败之地,供电企业必须构建全面风险管理体系。本文将在分析供电企业风险管理现状的基础上,探讨建立供电企业全面风险管理体系的必要性,提出构建基于广义安全以五要素为核心的供电企业全面风险管理体系。

一、供电企业风险管理现状分析

笔者通过对供电企业风险管理现状的大量调查分析,发现供电企业现阶段风险管理主要存在如下问题,制约着企业的可持续发展。

1.企业风险管理多为事后控制,缺乏主动性

供电企业现有风险管理多为事后控制,对风险缺乏系统的、定期评估,缺少积极的、主动的风险管理机制,不能从根本上防范重大风险以及其所带来的损失。

2.重视具体风险的管理,缺乏风险管理整体策略

已实施风险管理的供电企业中,有很大一部分企业更多地将精力投入到具体风险管理中,对企业风险组合与风险的相互关系缺乏系统的、整体的考虑,从而导致风险管理资源分配不均,影响企业整体风险管理的效率和效果。

3.尚未形成风险信息标准和传送渠道,风险管理缺乏充分的信息支持

现阶段,多数供电企业内部缺乏对于风险信息的统一认识,风险信息的传递尚未有效的协调和统一。对于具体风险,由于缺乏量化和信息化的数据支持,企业决策的效率和效果受到影响。

4.风险管理职责不清

大部分供电企业现有的风险管理职能、职责存在于各个部门和岗位之中。一方面,企业缺乏明确且针对不同层面的风险管理的职能描述和职责要求;另一方面,企业考核和激励机制中尚未明确提出风险管理的内容,导致缺乏保障风险管理顺利运行的职能架构。

鉴于风险管理的全面性、复杂性和技术性,供电企业想要解决上述问题,实现依法经营、科学决策,保证自身可持续发展,就需要改变企业管理理念,构建全面风险管理体系。

二、供电企业构建全面风险管理体系的意义

1.实现企业经营责任与社会责任的统一

供电企业通过构建全面风险管理体系,可实现企业经营责任和社会责任的统一。供电企业资源配置将得到优化,经济快速增长对电力的需求将得到满足、电力安全可靠供应将得到一定程度的保障。

2.确保供电企业的经营效益的提高

(1)达到与企业整体经营战略相结合的风险最优化

全面风险管理把风险管理纳入供电企业战略执行的层面之上,将企业成长与风险相联,设置与企业成长及回报目标相一致的风险承受度,从而使供电企业将战略目标的波动控制在一定的范围内,支持企业战略目标实现并随时调整战略目标,保障企业稳健经营。

(2)标本兼治,从根本上提高企业风险管理水平

全面风险管理体系帮助供电企业建立动态的自我运行、自我完善、自我提升的风险管理平台,形成风险管理长效机制,保证企业风险可控、在控、能控,从根本上提升供电企业风险管理水平。

(3)避免企业重大损失

通过对供电企业重大风险的量化评估和实时监控,全面风险管理体系帮助企业建立重大风险评估,重大事件应对,重大决策制定,重大信息报告和披露以及重大流程内部控制的机制,从根本上避免供电企业遭受重大损失。

3.促进经济效益的提高,降低各种风险成本

实施全面风险管理,能够有效防范和应对资金管理风险、资产安全风险、税收管理风险、财务监管风险、电费回收风险等,提高供电企业的经济效益。

首先,供电企业预算控制将更加严格、资金集中率和利用效率会得到提高,企业收入受损失或资金被不当支付形成账外资金等风险大幅减少。其次,供电企业的资产管理将更加规范,账务记录更新及时,与财务同步,财务报表准确性得到提高,规避企业损失。再次,财务监管手段将更加有力,收入确认将更加及时、正确、完整,成本支出、资产价值将得到真实、准确反映,人员利用管理漏洞或工作疏忽给企业造成损失的现象将减少。 另外,在电费收入方面,可有效管控抄表质量不到位、电费回收不及时,预存电费或抵押担保风险防控措施不到位等电费资金损失风险,电费回收率将大幅提高。

三、供电企业基于广义安全的全面风险管理体系构建

1.持续开展风险教育培训,树立全员风险意识,营造风险文化氛围

供电企业的风险是一种“广义安全风险”,它不仅与生产安全相关,还涉及企业经营管理的各个方面,企业应将风险进行层次划分(如表1所示)。由于风险的全面性、广泛性,供电企业的风险管理必须是一个群策群力的过程,企业全员风险意识的树立至关重要。

表 1 供电企业广义安全风险

Table 1 The Broad Security Risks of Power Supply Enterprise

供电企业应结合岗位职责,分层次集中开展风险教育培训,并使其常态化。领导层侧重风险管理知识和有关制度培训学习,提高风险管理责任意识和组织能力;管理层侧重于《供电企业风险点识别和防范手册》及其使用方法的培训;执行层侧重于风险意识和现场风险辨识能力的培训。通过培训,使各级人员增强对风险管理的作用和意义的理解,掌握风险辨识内容、要点和控制方法。

另外,供电企业应将风险管理文化建设融入企业文化建设的全过程。企业可运用集中培训、会议交流、内部网页、问题解答、电话热线、信息简报等形式多样的宣贯方法,举办“企业风险月”、“风险大讨论”以及风险管理方面的知识竞赛和技能比赛等各种形式的活动,使职工在思想上、组织上、行动上达成共识。

2.制订全面风险管理规划

供电企业应在全面建设“一强三优”电网企业的总体目标指导下,制订全面风险管理规划,对企业全面风险管理工作实施部署。全面风险管理规划应按照“整体设计、分步实施;突出重点、务求实效;借助外脑、全员参加”的原则,分阶段、有重点地循序推进。

第一,构建一个有利于风险管理的公司治理结构,可根据实际情况,成立风险管理委员会,提供组织保障。第二,按照《指引》并结合企业实际,进行流程再造,将全面风险管理要求融入到企业管理决策和业务程序之中,并将社会责任、风险管理职责的要求和风险授权通过工作标准落实到每个职工的实际行动中,初步完成全面风险管理体系框架的搭建。第三,推动全面风险管理信息系统开发和上线,提供科学地建设风险管理系统的实施和推行步骤。供电企业可以以年为一个周期循环,实现一次管理创新。全面风险管理信息系统先期开发、同步实施、模块组合、循环上升,科学推进企业全面风险管理不断向深入发展。第四,供电企业应形成持续改进机制,使风险管理常态化。企业应定期检查评价并对风险进行再描述,提出风险管理改进建议。第五,企业应通过知识转移及变革管理,推动风险管理意识在企业文化中的渗透。

3.建立以“5A+2C”为核心的供电企业全面风险管理体系

根据COSO《内部控制整合框架》报告、《指引》及风险管理相关理论,结合供电企业行业特征及风险管理现状,笔者认为供电企业应将全面风险管理视为一个长期的持续改进的管理过程。基于此,笔者提出了“5A+2C”全面风险管理体系。该体系增加了强大的策动力和资源配置以及授权要求,提供了科学地建设风险管理系统的实施和推行步骤,以全面风险管理为导向,涵盖全面,操作精细,形成了可持续发展的管理模式,实现了一次管理创新。

(1)“5A+2C”体系总体结构

“5A+2C”体系中,“5A”,系供电企业构建风险管理体系的五大要素,即目标设定(Aim)、风险识别(Acknowledgement)、风险评估(Assessment)、风险预警(Alarm)和风险应对(Answer),各要素贯穿在企业风险管理过程之中。“2C”,系全面风险管理“5A”有效实施的保障,即信息沟通(Communication)及监控(Control)。“5A”、“2C”既相互独立又相互联系,形成一个有机统一体。

(2)组织责任体系保障

供电企业应明确每个业务流程对应的权责,建立逐级承诺、逐级声明和问责到底的管理机制,形成循环责任传导体系。随着风险管理工作的逐步落实,供电企业还应强化责任意识,形成纵向到底、横向到边的横、纵向网状监督和管控。管理层负领导责任,对主要风险确定责任人,具体风险责任落实到各职能部门和业务单位,对任何违反风险管理相关政策的组织和个人,给予追究和处罚。

5.建立风险管理信息系统,确保2C功能实施,实现管理动态化

(1)“2C”(信息和沟通、监控)功能概述

供电企业应识别和记录那些有关企业管理的内外部事项的信息,并将这些信息以适当的方式在规定的期限内传达给员工,以实施企业风险管理和其他任务。通过在组织内上、下级之间信息传递,能够产生有效的沟通。供电企业应建立一种向上反馈重要信息的沟通方式,并且在对外方面也建立有效的沟通。

监控是对供电企业风险管理现状和各组成部分绩效进行评价和控制的过程。企业通过持续监控和个别评价以及两者的结合来实现监控。持续监控是对日常的管理活动采取的,个别评价则主要是根据评估风险的性质和程度,以及持续监控过程的效率来确立。

(2)建立风险信息管理系统

鉴于风险管理的全面性、复杂性和技术性,传统的依靠人力推动和运作方式进行管理创新的方法已经不能满足推行全面风险管理的要求。因此,供电企业必须将信息技术应用于全面风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统。该系统能够确保“2C”功能(信息沟通和监控)发挥,确保管理动态化,确保“5A”要素通过信息系统固化和展示,确保日常运作的有效性。风险管理信息系统功能模块如下图所示。

(3)实现动态优化管理

供电企业的风险动态管理可通过以下方式实施。首先,供电企业可通过风险识别、风险评估流程,按照风险分类,向相应风险管理层级进行动态展示。其次,供电企业应对风险事件库、风险知识库、稽核规则库等固有信息进行定期更新,以确保相关内容符合内外部环境的变化和要求。对于不再适应企业风险管理需求的信息,应当及时进行调整和更新。最后,供电企业应加快推动风险管理系统的开发上线,进一步实现与供电企业数据中心对接,自动、实时地从数据中心提取数据。

6.建立全面风险管理制度保障体系

供电企业应着手建立诸如《沟通访谈管理办法》、《风险信息管理办法》、《风险知识技能培训管理办法》、《文档管理办法》、《问责管理办法》等规定,同时制订严密的风险管理工作自查制度、风险指令制度、周例会制度、风险控制和应急反应制度、风险监督评价制度、风险工作评估制度、风险要素更新制度、文档复核制度等各类制度。供电企业在全面风险管理体系的构建过程中,可根据各阶段工作任务的不同情况,制订推广手册、测试手册作为工作指引,指导各级风险管理工作的开展。良好的制度保障,使得上传与下达、协调与沟通及时,有效地促进风险管理建设推进。

四、结束语

供电企业通过建立基于广义安全的全面风险管理体系,一方面可实现企业经营责任和社会责任的统一,另一方面可确保供电企业的经营效益和经济效益的提高,从而增强供电企业的免疫力、应变力和竞争力,为建设“高效电网、坚强电网、诚信电网、绿色电网、责任电网、服务保障电网”提供强有力的保障。

篇6

文章编号:1005-913X(2015)08-0217-02

20世纪90年代以来,由两次金融危机引起的全球性经济衰退,致使企业风险的复杂性和破坏力大大增加。在这样的历史背景下,后金融危机时代的风险管理研究也随之呈现出新的发展态势,在阅读和研究相关文献时,有必要对近20年来的企业风险管理研究现状及趋势进行重新认识。基于此,本文对近年来企业风险管理研究进行了梳理,以期推动国内相关研究的发展。

一、研究框架的提出

现实需要的是管理学研究的源动力,企业风险管理研究也是如此。在后金融危机时代,如何更全面、更及时、更有效的预测和控制那些复杂性和破坏力大大增强的各类风险,是企业亟待解决的三个关键问题。本文此为视角,对相关研究成果进行分析梳理后认为,后金融危机时代的企业风险管理研究主要集中以下三个领域:其一,整合风险管理研究。该领域的研究注重从更加综合、全面的视角对风险管理进行剖析,强调风险管理不应只是被动地降低风险和减少损失,而是要在风险中寻找机会和利益;[1]其二,企业风险指数研究。此类研究强调风险是可以观察与测量的客观个体,在研究方法上重归纳、分析、证明与量化,体现了风险管理技术的进步;其三,企业风险预警研究。此领域的研究则关注风险因素在形成风险事件之前会以某种形式表现出来,并且能够通过科学分析进行预测,体现了风险管理观点的革新。

二、整合风险管理研究进展

(一)整合风险管理的内涵和目标

美国学者James Lam(2003)则详细说明了企业整合风险管理的目的,包括降低公司收益的波动性、最大化公司股东的价值以及促进职业和财务安全等。Brian(2006)认为整合管理风险代表着新的管理思想,意味着对原有的诸多风险管理技术、方法进行整合创新,与只强调被动的防范或转嫁风险的传统风险管理相比,整合管理风险更重视通过开发、利用和经营风险以促进管理者实现公司价值最大化。我国学者张维功等(2008)指出整合风险管理的理念、方法和工具已经广泛应用于企业战略选择、投融资决策、财务管理、内部控制等方面,涵盖了企业运作的各个层面。

(二)风险管理内部要素研究

近年来,学术界对于风险管理内部要素的研究主要包括实施动因和构成要素两个方面:Liebenberg(2010)等人认为企业是否实行风险管理除了提升企业价值的原因外,还取决经营状况和前景、市场竞争和企业的风险偏好等因素,而公司组织结构不适应企业风险管理的要求以及公司不愿变革的惰性,则是阻碍企业风险管理的主要因素(Kleffner,2011);关于企业风险管理的构成要素,以COSO提出的内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八要素最为经典。此外,也有学者通过实证分析论证了公司治理和组织文化在企业风险管理中也同样发挥了积极的作用(John,2010)。

(三)整合风险管理的价值性研究

学者们通过实证研究,论证了采取整合风险管理(Kimberly,2004)、运用衍生品进行风险对冲(Kim,2004)以及风险沟通(Lawrence,2009)等管理措施的企业,其公司价值具有普遍性的增加。而风险管理提升企业价值主要是通过以下三个途径实现的:[2]一是风险管理能够优化资本配置,提高权益回报率和改进公司治理结构(Lucia,2007);二是将风险管理融入到企业整体战略中,从而提升了企业战略抗击风险的能力和水平,增强了公司核心竞争力(Neil,2005);三是通过有效的风险管理措施来控制股票价格波动,使得管理层报酬与公司业绩的相关性为正,从而使得管理效率提高进而提升公司价值(James,2007)。

整合风险管理在创新的同时,还应有效整合现有的风险管理技术和方法,但就目前来看,整合的思想和方法还尚未成熟,有待进一步深入研究。

三、企业风险预警研究进展

(一)企业战略风险预警

战略风险是企业在市场竞争中不可避免的,学者们分别从管理决策(Simons,1999)、行业竞争排名与公司业绩(Slywoztky,2004)以及战略实施能力的不确定性(杨华江,2005)等角度对战略风险的类型和成因进行了界定。卢一萍(2011)采用案例分析法,提出了构建风险预警体系、建立分析处理风险预警信号机制、细化预警指标评价标准、出具风险预警报告这四个战略风险预警步骤。龚小凤(2013)从战略整合风险、文化整合风险、组织整合风险、人力资源整合风险、财务整合风险、业务流程整合风险等六个方面,运用网络层次分析法(ANP)构建了企业跨国并购风险预警模型。

(二)企业财务风险预警

近年来,学者们通过运用计算机技术和人工智能技术,在财务预警模型和方法的研究方面取得了一定的突破。较有代表性的有:Edward Altman(2001)等国外学者将人工神经网络分析方法引入到财务预警模型的研究中,提出的Z模型以及“配套”的五个预警指标被广泛采用。我国学者孔玉生等(2010)利用风险传导模型分析了财务风险产生的原因后,提出了信息透明度、法人治理结构、管理层监控力度、财务杠杆效应等四个方面是财务风险预警和防范的要点。赵春(2012)采用关联规则数据挖掘的方法,提出了基于时间序列动态维护的财务危机预警模型,克服了统计分析模型不能适应海量数据分析和人工智能模型无法考虑财务数据时间延续性的问题。

(三)企业营销风险预警

美国学者James(1998)按风险来源,提出了营销风险可分为战略风险、策略风险、组织风险、运作风险和环境风险五大部分。高凤彦等(1999)则从组织管理的角度把营销风险归纳为营销逆境、营销波动和营销失误三大类,并利用离差传递的方法确定了各指标所对应的预警系数。张云起(2001)运用层次分析、模糊评判、精确值测量三种方法,针对营销综合风险和客户信用风险,提出了A-FA综合评价模型。Emiliano(2009)从市场定位安全、市场结构安全、市场需求安全、市场竞争安全、市场扩张安全、市场策略安全和市场环境安全六方面建立了营销风险预警指标体系,在此基础上,林红菱等人(2012)采用模糊综合评价法构建了我国企业营销风险预警模型。

总的来说,近年来的企业风险预警研究取得了较为丰富的成果,已形成了较为完整的理论框架。尤其是在预警方法和预警模型的研究上取得了较大突破,但关于预警原理、警度划分以及预警模型和系统的评价等方面的文献不多,需进一步深入研究。

四、企业风险指数研究进展

(一)行业风险指数研究

学术界对行业风险指数的研究主要是将传统的指数理论与实践应用紧密结合,对不同经济领域中价格、安全、市场行情等风险因素的变化程度和趋势进行研究。当前的行业风险指数研究可分为两类 :一类是通过股票指数收益进行行业风险的评估,如Sung & Gregory(1999)研究了美国航空业股票收益与市场变量、行业变量的关系,发现它们之间存在相关关系。段瑞君(2012)采用OLS模型,通过对股票市场行业指数收益的市场风险和行业风险的实证分析,论证了市场风险与股票市场的整体波动相一致;另一类是通过构建相关模型对行业风险指数进行评价和预警,较有代表性的有:Bollen (2007)等学者提出了采用潜变量结构方程模型对顾客满意度指数进行多指标评价的方法,但也发现模型的特征会影响指数的特性。刘晓娥(2007)采用结构方程模型研究了港口建设项目投资风险评估指数;孙春伟(2014)采用危害分析与构建控制点的方法,构建了食品安全风险指数体系等。

(二)金融企业风险指数研究

Illing & Liu(2003)首先运用因子分析法、信用权重法等四种加权方法构建了金融压力指数,通过与指标现状的比较,表明当指数值高于一定的临界值时,表示该时期处于值得关注的高风险时期或金融危机时期。在此基础之上,Balakrishnan(2009)构建了新兴国家的金融压力指数,并研究了金融压力在发达与新兴国家间的传播机制。张瑾(2012)综合考虑了包含宏观经济、银行业金融机构、资本市场和政策环境等在内的主要因素,并指出在时间序列较为平稳的前提下,可对压力指数进行时间序列预测或开展压力测试,从而实现对系统性金融风险的预警功能。成祺炯(2014)等人则应用Shapley非对称权力指数模型,从资产组合、杠杆率、阈值三个维度,测算出了我国上市银行对金融系统风险的贡献度排名。

(三)企业投资风险指数研究

相比财务目标,大多数企业参与风险投资的战略意图更偏重于竞争力的提升和战略目标的实现。因此,评价企业投资风险一方面要关注获利性,但更要关注对提升投资企业核心竞争力的贡献程度。对此,Gompers(2001)就指出风险投资使企业能够快速获取新资源和发掘新能力,获得一些突破性的技术创新成果,从而塑造新的核心竞争力。张识宇等人(2011)针对企业提升核心竞争力与获得财务回报的投资目标,从技术产品竞争力、团队素质、市场吸引力、资源利用程度、环境支持性等五个方面构建了公司风险投资项目评价指标体系,提出了基于Theil指数的灰色评价方法。

从以上的分析可以看出,近年来风险指数的研究范围逐渐扩大,特别是在风险指数模型和测算方法上具有较大的创新并且日渐成熟,使得风险指数科学性和实用性更强。但在研究内容上偏重企业外部因素,对于企业内部风险因素考虑较少,而对于风险指数原理以及合理性等本质问题的探讨,也一直未在学术界达成共识。

篇7

【关键词】风险;风险管理;风险管理体系

随着新经济的发展,全球化进程的加快,信息化的不断普及和加深,企业所处内外环境发生了翻天覆地的变化。外部,企业面临着动荡多变的市场环境。例如互联网和计算机的应用,汇率的变化,贸易和行业政策的变动,绿色环保要求,顾客需求个性化和预期的不断提高等;内部,需要针对外部环境和企业战略定位,结合最新科学技术进行灵活的业务组合和流程的重组,以求得生存和竞争优势。这样就使企业内部人力,物力,财力和技术等系统处于不断的变化之中。这些变化一方面给企业带来重大的机遇,也给对风险反应迟缓的公司带来了厄运。巴林银行(Barings bank)倒闭,到安然公司破产,中航油的巨亏,都是惨痛的现实例子。所以,正面环境变化,做好企业风险管理工作,把风险控制在企业可以容忍的水平,积极利用风险带来的机遇,为企业不断创造价值,是目前企业管理者的重要课题和工作。

一、风险及风险管理定义辨析

在传统的风险管理中只是将风险和损失相联系,而没有将风险和积极的结果(如更多的盈利)相联系。现代风险的定义不仅注重对风险的防范和降低,更加关注在风险管理中创造更大的价值的机会,一般可以认为风险是指系统因系统本身和环境条件的不确定性,而引起系统实际的产出和预期目标产出间偏离的可能性,即发生各种结果的概率。通过风险管理的各种手段,防范减低坏的结果出现的概率,促使事件往好的结果方向发展。

随着人们对风险本质认识的不断加深,风险管理在企业中作用和地位也越来越重要,风险管理的内容体系也发生了巨大的变化,我们可以从下表中看出新旧风险管理体系的巨大差别:

现代的风险管理体系在称呼上被不同的学者冠以不同的称呼:集成风险管理,战略风险管理,或者全面风险管理,但是不管如何称呼,现代风险管理体系中的“风险”是指所有影响企业达成企业经营目标和战略目标的因素,而管理则指用综合运用企业的战略,人员,流程,技术和知识等系统的原则方法来评估和管理企业面临的这些不确定性因素,通过综合管理业务风险,财务风险,经营风险和风险转移,完成企业的战略目的和经营目标,力求公司价值最大化。所以其定义可以理解成:企业风险管理是一个过程,它由董事会、管理当局和其他人员实施,作用于战略制订过程并贯穿于企业经营全过程之中,目的在于识别所有可能会影响企业主体的潜在事项,管理这些潜在影响事件以使其在该企业主体的风险容忍范围之内,并为企业主体目标的实现进行保驾护航。

二、现代全面风险管理体系的特征

1.全面风险管理的对象不仅包括纯粹风险,更着眼于企业利用风险带来的盈利的机会。企业不是要降低或者完全消除风险,而是在把风险控制在自己设定的范围内的同时利用风险尽可能的增加企业盈利的机会和可能性。

2.全面风险管理的范围具有全局性和全面性,企业风险管理不是汇集每个独立部门面临的风险,而是汇集彼此及公司相对于每个独立部门的风险。这样就避免了过去风险管理各部门分割和孤立,避免了信息孤岛现象出现,使企业能在一个全面协调的视角对风险加以控制和利用,使不同风险能部分实现对冲,也降低了风险管理的成本。

3.全面风险管理在企业总体发展战略框架内进行,促进战略管理目标的有效实现。战略的制定和实施也是整合了风险管理的目标,并根据风险管理的反馈而进行调整。

4.全面风险管理要与企业经营活动的每个流程紧密结合,从业务活动开始做好风险控制。

5.全面风险管理是是一种纵观行为,是持续进行的,贯穿整个企业经营过程,而不是一种暂时或定期的行为。

6.全面风险管理要体现于企业的文化之中,也就是说,从企业的业务活动到全体管理者和员工的意识和行为,都能体现企业浓厚的风险防范和利用的色彩,并用制度规划下来。

7.全面风险管理的最终目的是提高企业的决策正确性和经营的效果和效率,最终取得长久的竞争优势。

8.全面风险管理实践中出现了专门的风险管理部门和职位。目前,越来越多的公司成立了风险办公室,对企业风险进行统一管理和协调,出现了首席风险官新的岗位,其职位级别等同于首席财务官(CFO),首席运营官(COO),凸现了风险管理在现代公司中的重要性。许多风险专家认为,如果没有风险办公室,算不上真正在搞企业风险管理。

三、企业风险管理的识别

在新的环境下,分析企业的所有风险,而不像过去只分析有关安全、财务等个别风险,而要全面考虑,全员动员,把企业面临的所有的风险识别和整理归类,以利于针对性的进行整体协调管理。一般来说,企业可以从以下几个方面来检视企业所面临的风险:

1.系统风险:这是指企业自己几乎无法控制的风险,比如重大自然灾害,战争,政局动荡等造成的对整个市场都具有重大影响的事件。

2.环境风险:这是指企业自己不能控制然而可以施加影响从而使风险程度变大或变小的风险,这包括商誉风险、竞争风险及行业风险。这些风险企业不能完全避免,但是可以通过提前预防,做好战略和计划,判断行业走势和产品生命周期等可以减少甚至避免受到风险事件的冲击。

3.可控制的风险:这是由于企业的决策和经营而产生的风险,它包括信用风险、市场风险、流动风险、经营风险、人员风险等。例如:企业进入快速增长或者进行多元化经营阶段,没有根据要求进行充分的人力资源储备,这就造成企业扩张或者兼并的效果不明显甚至失败;在这一阶段如果没有做好资本和现金预算,也会出现流动风险等等。

四、现代企业风险管理的目标

一般来说,不同行业的企业风险管理目标是不完全相同的,但是现代的全面风险管理风险管理的目标都是由企业战略目标来指引和决定。不同行业和不同的企业由于战略目标的差异有着不同的风险管理目标。例如:传统制造企业大部风的风险管理目标重点在于控制风险带来的损失或者损失的可能性;而高风险的新兴行业的风险管理目标一般着眼于如何利用风险来增加获利额及其可能性。

风险管理目标的体系化是现代企业风险管理区别于传统风险管理的一个主要特点。根据企业总体战略目标制定出风险管理总目标后,把指标按照组织结构和企业业务流程层层分解和细化,纲举目张,形成一个树状的目标管理体系,对全企业范围内的各种风险全面加以管理。

五、现代企业全面风险管理体系的建立思路

1.塑造具有风险价值观念的企业文化。一般来说,企业文化包括价值观、行为准则、企业经营管理哲学、经营理念、企业精神等的核心内容。塑造具有风险价值观念的企业文化就要把企业对风险的理解和态度融入到上述内容中和企业的战略、决策和各项活动中去,使风险管理成为每个员工的自觉的行为。首先,从企业的价值观和总体目标出发,制定相关政策和制度,使员工了解公司对于风险的态度、风险管理的目标和原则等,这就使员工面临风险时不是以惊慌而是以管理和控制的态度来面对。其次企业对风险管理语言的口径要统一,统一编制风险管理词汇来加强沟通和协调。在次企业要制定详细的行为准则来来指导员工对风险的防范和处理程序。

2.完善企业风险价值管理组织架构。新的管理理论必然在企业的组织结构上得以体现,如上文所述,现代的企业风险管理是一种新的专门风险管理理论和方法,风险管理活动是持续性和协调性的管理活动,必然要求企业建立相应的风险管理部门来统一组织管理。在目前的企业风险管理实践中,世界上著名的公司例如杜邦、微软、Unocal等都建立了风险管理办公室,聘请专门的风险管理专家对企业风险进行研究和统一管理,设计出了合乎企业特点和战略要求的风险管理制度框架。在实践中,风险管理活动一般由企业高层来任职,以减少风险管理活动的阻力,保持风险管理活动与战略的一致性。风险管理部门的组织形式也多种多样,但是矩阵组织是一种常见的形式,它较好的实现了专业管理和部门具体实践的结合。

3.利用信息技术建立风险信息管理系统。由于风险来源于信息的不对称,所以建立起良好的风险信息管理系统就成为风险管理活动的前提和基础。为了优化信息流程,把信息及时准确的送达需要的岗位和人员,企业一方面要建立内部信息收集机制,把企业自身产生的风险信息和风险管理政策信息在内部流畅沟通,另一方面,企业要建立起有效的外部相关信息的收集,处理和发送系统。这样就构成了一个较为全面的立体信息系统。

现代先进的计算机和网络技术,特别是企业区域网络能以友好的用户界面给予了员工提供及时、最新的风险管理信息。在利用企业内部网(Intranet)进行信息沟通和风险管理方面,新兴的科技公司走在了最前面。

4.利用科学技术和金融工具规避风险,最大化收益。建立了企业价值管理文化,风险管理组织架构,风险信息管理系统只是为风险价值管理创造了前提条件,企业不仅要能看到所面临的各种风险,分析出各种风险可能带来的后果,更要运作各种管理科学,工程科学,尤其是各种金融衍生工具来预防,规避,分散,转嫁策略来降低各种风险,保证和扩大价值创造。例如,利用项目管理方式进行目标分解,把各种风险细化具体化,从而可以更容易的进行控制和改进。而利用期权等金融工具,把企业面临的运营风险转化为财务风险,进行合理安排来抵御和控制风险。

总之,面对动荡多变的激烈市场竞争环境,做好企业的风险管理工作,不仅要结合最新的风险管理理论,更要从企业实际情况出发,明确企业风险管理目标,从战略、文化、组织等方面进行系统的改革和创新。只有这样,企业才能度过道道险滩激流,不断跨越自我。

参考文献

[1]朱桃林.企业风险管理浅析[J].中国地质矿产经济,2004,(6).

[2]江忠胜.浅议企业风险管理[J].武汉交通科技大学学报(社会科学版),1999,(9).

[3]黄本尧.期权与企业财务风险管理研究[M].北京:中国财政经济出版社,2003.

[4]张振川.现代企业风险价值管理问题探讨[J].会计研究,2004,(3).

[5]赵信.试论风险防范理念变革[J].经济师,2005,(1).

[6]安春红.浅谈项目风险管理[J].天津市财贸管理干部学院学报,2005,(1).

篇8

1 企业风险财务管理概述

1.1 企业风险财务管理的定义随着我国市场经济的快速发展,人们越来越重视企业风险财务管理,风险财务管理是企业面临的主要任务。企业风险财务管理是指:在企业生产经营的过程中,客观存在的风险财务现象,相关管理人员熟悉和了解企业财务状况之后,通过科学、合理的手段进行管理的一种方法,以逐渐降低企业风险,为企业带来更多的经济收益,进而使企业稳固地向前发展。

1.2 企业风险财务管理的特征

在企业风险财务管理的过程中,具有明显的特征,与普通管理相比较,企业风险财务管理涉及的内容比较广泛,主要是由于财务管理工作的范围比较宽泛。在企业生产经营的过程中,企业风险财务管理是不可避免的,并且管理的理念也在不断改进与完善,管理的内容在不断拓展,管理的方式也在不断完善。

1.3 企业风险管理的内容

企业风险财务管理内容主要可以分为以下方面,即自然、社会、市场和经营风险财务管理等。对于自然风险财务管理,会严重威胁企业的经济收益以及人身安全,相关负责人员也无法有效进行控制,因此,只有依据财务管理的基本方法,最大限度地降低企业风险。对于社会风险财务管理,产生的主要根源是社会的动荡,虽然不能直接影响企业财产,但是在一定程度上会影响经营管理活动,严重限制企业财务活动的进程。对于市场和经营风险财务管理,由于自身具有很多不确定性因素,因此,企业相关管理人员应当依据实际情况,逐渐降低财务风险。

2 企业财务风险的意义及原则

伴随市场竞争的日益激烈,企业要想有效地应对风险,就应具备一定的风险识别能力,科学、合理地对风险进行管理,在企业生产经营的过程中,风险财务管理具有一定的现实意义,能够使企业及时地规避风险,为企业获得更多的经济收益。通过风险财务管理,能够实现企业决策的科学性、合理性,为企业运行提供良好的生产经营氛围,因此,企业风险财务管理的实施,不仅能够为自身发展获得更多的经济收益,也能不断提高企业的市场竞争力。

在企业风险财务管理的过程中,由于涉及的内容比较复杂,因此,在管理的过程中,企业负责人员应全面地考虑各种因素,并且深入细致地分析影响因素。这就要求在企业管理的过程中,相关人员应当严格遵循风险管理的基本原则,主要应做到两个方面:首先,应当遵循权责统一的基本原则,这就要求企业和相关管理人员应当明确权责主要内容,实质上,就是在管理的过程中,能够明确地落实具体责任人,并且建立健全激励约束机制,依据实际情况,严格追究相关责任人。其次,应当遵循全面性的基本原则,在企业风险管理的过程中,相关管理人员应当全面系统地进行考虑,不断强化员工的风险管理意识。

3 影响企业财务风险的主要因素

在企业风险财务管理的过程中,存在很多不确定性因素,造成不确定性的原因有很多方面,主要可以概括为两个方面,即经济因素与非经济因素。

对于非经济因素,主要体现在企业经营目标,非经济因素是导致企业风险的关键因素,然而,现阶段,在企业发展的过程中,大部分企业的经营目标不够明确或不够科学合理,这会加重企业风险。此外,不能有效明确企业风险管理目标,不能利用企业文化带来的优势,强化企业风险财务管理。例如,某企业为了实现企业发展战略,对各经营单位每年制订经营目标任务及考核标准,其中包含刚性指标及弹性指标考核,内容比较全面,但是部分考核指标缺乏科学性。如刚性指标考核中的经营活动现金流指标要求为正的几百万至上千万,而与之相关联的经营业绩的其他如年订单总量、年收入总额等与往年相比大幅增长的趋势,根据近几年的行情来分析,此企业仍处于快速成长与扩张期,企业经营的现金流会处于比较紧张的状况,要实现预期的增长速度,需增加融资,但对各经营单位的考核中的经营活动现金流指标要求为正显然不够科学与合理。这样的考核其结果可想而知,年终几乎所有被考核的经营单位的经营活动现金流结果为负,大大降低了各经营单位经营的士气及积极性,影响企业发展战略的实现,导致企业所面临的竞争风险加剧。

对于经济因素,主要表现在企业的经营效益,在企业经济收益的过程中,企业相关管理人员没有树立正确的风险管理意识,并且管理方法落后,这会为企业带来极大的风险隐患。

4 强化企业风险财务管理的有效对策

4.1 完善企业内部控制体系

这就要求企业相关管理人员应当完善企业财务预警体系,并且加大监控力度,明确企业风险财务监控的基本程序,全面落实员工的具体职责,依据企业发展的实际状况,深入细致地分析财务报表及经营管理情况,在建立全面的内部控制的基础上,重点关注高风险及新业务领域。此外,相关管理人员应当建立健全财务风险防范及反馈机制,使员工树立正确的财务风险管理意识,严格实行企业风险财务责任制度,充分发挥会计监管的作用。

4.2 建立健全风险财务管理体制

相关管理人员应熟悉和了解法人治理的基本内涵,以为风险财务管理创建良好的管理氛围。企业还应当建立专门的风险财务管理机构,在建立的过程中,应充分体现风险财务管理的独立性,进而充分发挥自身的自主权,这能够有效提高企业整体抵御风险的能力。此外,企业相关管理人员应当调整和优化处理业务的程序,明确各个部门的具体职责,以有效地确保信息的精准性,并且应当发挥企业内部审计的重要职能,不断强化员工对内部审计的认识,以逐渐改进和完善内部审计的不足之处。

4.3 重视企业投融资决策的重要作用

在企业财务管理的过程中,财务决策起关键作用,然而,企业在决策的过程中,不能依据具体情况进行科学合理的分析。因此,相关负责人员应当全面系统地考虑影响因素,最大限度降低决策失误的几率,进而为企业带来更多的经济收益。

篇9

一、自主创新――3C框架在全面风险管理领域的探索

3C全面风险管理标准包括基本框架、实务标准、操作指南,基本涵盖了COSO全面风险管理框架和国务院国资委颁布的《中央企业全面风险管理指引》的所有内容。3C全面风险管理标准力求自主创新,除增加了实务标准、操作指南(COSO和国资委还未)这些具有可操作性的内容之外,在基本框架方面也进行了一系列的创新,充分考虑了中国企业的实际情况,在构建中国企业自己的全面风险管理标准方面进行了有益探索。仅基本框架而言,在全面风险管理领域的探索是全方位的,简单归纳起来主要包括以下几个方面:

(一)总体结构逻辑关系简单明了

COSO全面风险管理框架主体结构由定义、内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控、职能与责任、企业风险管理的局限、该做些什么等构成。《中央企业全面风险管理指引》由总则、风险管理初始信息、风险评估、风险管理策略、风险管理解决方案、风险管理的监督与改进、风险管理组织体系、风险管理信息系统、风险管理文化、附则等组成。而3C全面风险管理基本框架从总体结构上是按照目标体系、风险整合、管理融合来安排的,形成了由目标体系、风险整合、管理融合组成的有机体系,贯彻严密的目标――风险――管理的逻辑关系。

(二)框架内容力求科学系统

COSO全面风险管理框架认为企业风险管理包括8个相互关联的构成要素。这些构成要素是:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。《中央企业全面风险管理指引》没有直接引入管理要素概念,仅从全面风险管理内容看,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统5个方面。3C全面风险管理基本框架从总体看包括目标、风险、管理3个部分,从流程看包括管理准备、管理实施、管理报告和监督改进4个程序。具体探索体现在以下几个方面:

1.3C全面风险管理基本框架没有引入“内部环境”要素,而是将COSO全面风险管理框架中“内部环境”要素中的具体内容全部融入了整个框架中。COSO全面风险管理框架中“内部环境”界定的风险管理理念、风险容量、董事会、诚信与道德价值观、对胜任能力的要求、组织结构、权力和职责的分配、人力资源准则等要素,既有全面风险管理的“软要素”,又涉及到全面风险管理“硬要素”,确实是全面风险管理的基础,但用“内部环境”来界定难以理解,使人容易产生是诱发风险的内部环境因素,因此,3C全面风险管理基本框架没有引入“内部环境”要素,而是将它们分别作为全面风险管理的基础和内容独立出来了。

2.3C全面风险管理基本框架没有把“目标设定”作为全面风险管理的基本要素,并将COSO全面风险管理框架“目标设定”改为“目标确定”。目标管理很重要,是管理中的管理,目标确定是企业目标管理的核心内容,是企业管理工作的首要任务,董事会和各级管理人员必须确定目标。企业管理层在确定目标时要考虑风险因素,这是必然的,但全面风险管理工作不能事事从确定目标开始,确定目标本身就是管理人员的事,全面风险管理作为企业管理的一项核心内容,可以把目标确定作为风险管理的内容进行关注,但不是流程,至多说目标确定是全面风险管理的前提条件之一。

3.3C全面风险管理基本框架把COSO全面风险管理框架“信息与沟通”作为全面风险管理的重要手段,而不单独作为全面风险管理的一个流程或重要要素。信息在现代社会很重要,沟通无限,全面风险管理的全过程都涉及“信息与沟通”,不可能也没有必要独立出来,应该贯穿于全面风险管理的全过程。

4.3C全面风险管理基本框架把COSO全面风险管理框架“事件识别”定义为“风险识别”,把COSO全面风险管理框架“风险评估”细化为“风险分析”、“风险计价”、“风险评价”,把COSO全面风险管理框架“控制活动”重新定义为“风险控制”,把COSO全面风险管理框架“监控”改为“监督改进”,并细化为“风险监督”、“风险审计”、“管理改进”等。

5.3C全面风险管理基本框架从我国企业的实际情况出发,把全面风险管理流程界定为管理准备、管理实施、管理报告、监督改进四个基本流程。对每个具体流程都明确了工作内容、方法、步骤以及相应的表单,具有可操作性。

6.3C全面风险管理基本框架在包含COSO全面风险管理框架基本内容的同时,又增加了不少内容。比如明确提出风险偏好、风险意识、风险理念、风险文化等全面风险管理软要素;增加了全面风险管理政策、战略、策略、决策,风险学习等重要内容;总结了我国企业全面风险管理的一系列重要方法和工具;增加“风险预警”的独立内容,强调实时报警的重要性;增加“管理报告”的独立环节,强调风险报告的重要性;增加“风险审计”独立内容,强调风险审计的重要性,等等。

(三)将目标作为全面风险管理的前提而独立出来了

COSO全面风险管理框架认为企业风险管理框架力求实现主体的战略、经营、报告和合规4种类型的目标,并认为目标设定是事项识别、风险评估和风险应对的前提。《中央企业全面风险管理指引》未涉及企业目标的具体内容。3C全面风险管理基本框架首先界定了企业的目标体系,将其作为全面风险管理的前提而独立出来了。具体探索表现在以下几个方面:

1.3C全面风险管理基本框架明确了目标概念。企业目标是尽可能地创造价值,使企业价值最大化,全面风险管理目标与企业目标在总体方向上是一致的,但具体目标肯定是不同的,不能把企业目标和全面风险管理目标混为一谈。

2.3C全面风险管理基本框架明确了目标分类。从全面风险管理的需要出发,考虑到我国企业的一般情况,企业的目标可从总体上分为社会目标、管理目标、经营目标、财务目标、遵循目标、其他目标等一级目标,在这个一级目标下细分了若干个二级目标,在二级目标下再细分三级目标。当然,在三级目标下,还可再继续分下去,这就看企业管理的细化程度了。

3.3C全面风险管理基本框架明确了目标体系。企业目标是一个相互联系、相互依存的目标体系。企业目标体系是有层次的。由于企业存在着不同的管理层次,每一层次都有其自身的目标,低一层次的目标必然要服务于高一层次的目标。企业目标体系是相互关联相互渗透的。企业目标体系是需要整合的。企业目标体系是不断变化的。

4.3C全面风险管理基本框架将COSO全面风险管理框架目标设定改为目标确定。

(四)强调了风险整合的理念

COSO全面风险管理框架特别强调风险组合观,《中央企业全面风险管理指引》虽未明确提出风险整合的概念,但都有风险组合观的思想。3C全面风险管理基本框架借鉴了COSO全面风险管理框架风险组合观的观点,将风险整合作为全面风险管理的基本标准,并明确了风险偏好、风险意识、风险理念、风险文化等全面风险管理软要素。具体探索表现在以下几个方面:

1.提出了一个全面的风险概念,认为危险和机会并存。COSO全面风险管理框架引入了“事项”这一概念,事项包括风险和机会。《中央企业全面风险管理指引》用不确定性对企业实现其经营目标的影响来定义企业风险,抓住了风险的本质特征,但其只是针对经营目标的影响,范围狭窄。

2.明确界定了风险因素。COSO全面风险管理框架和《中央企业全面风险管理指引》均未明确风险要素,3C全面风险管理基本框架明确界定风险是由风险因素、风险事故和风险损失3要素构成。

3.确定了风险属性。COSO全面风险管理框架首先界定了主体的所面临的不确定性,国务院国资委颁布的《中央企业全面风险管理指引》对风险属性没有明确的界定,3C全面风险管理基本框架认为风险属性是多样的,具有客观性、相对性、可变性、不确定性等属性,其中不确定性是风险的本质特性。

4.明确了风险分类。COSO全面风险管理框架对风险未进行明确的分类,《中央企业全面风险管理指引》对风险按其内容和能否为企业带来盈利等机会为标志进行了分类。3C全面风险管理基本框架认为企业风险应从总体上分为社会风险、管理风险、经营风险、财务风险、遵循风险、其他风险六个一级风险,在这些一级风险下细分了若干个二级风险,在二级风险下再细分三级风险。实际工作中,根据全面风险管理的需要,在三级风险下,还可再继续分下去,但考虑到全面风险管理的成本和效益,一般分到三级即可。

(五)突出了内部控制与风险管理融合

COSO全面风险管理框架和《中央企业全面风险管理指引》都体现了管理融合的思想。3C全面风险管理基本框架将管理融合视为企业风险管理自身内部的融合,企业风险管理与企业业务的融合,企业风险管理与企业管理的融合,突出了内部控制与风险管理的融合。具体探索表现在以下几个方面:

1.重新定义了全面风险管理。

2.明确全面风险管理目标。

3.强调了全面风险管理意义。

4.增加了全面风险管理政策、战略、策略、决策的新内容。

5.明确了全面风险管理的主体。

6.确定了全面风险管理内容。

7.细化了全面风险管理流程。

8.总结了我国中央企业全面风险管理的方法。

9.将信息与沟通独立出来。

10.增加了全面风险管理学习。

(六)进一步统一了全面风险管理语言

3C全面风险管理基本框架将风险辨识、风险确认、事件识别统一为风险识别,并定义为确认风险的过程;将风险计量、风险衡量、风险量度、风险测量、风险估计、风险估价统一为风险计价,并定义为风险的量化过程;将风险策略、风险应对、风险工具统一为风险应对,并定义为选择应对风险策略的过程;将控制活动、控制政策、控制程序、控制措施、应对措施 统一为风险控制,并定义为应对风险的各种措施;将监督检查、监督评价、持续监督、监控、监控系统、内部监督统一为风险监督,并定义为监督检查风险的过程等等。

此外,3C全面风险管理实务标准和操作指南是COSO全面风险管理框架和《中央企业全面风险管理指引》所没有的内容,不具有可比性,但它都是全面风险管理实际工作非常需要的具有可操作性的内容。

二、必然趋势――内部控制和风险管理逐步走向融合

内部控制与风险管理走向融合,是一个必然的趋势,这不仅是内部控制体系向前迈进了一大步,也为内部审计的发展指明了方向,因此为了适应这样一种发展趋势,我国现行的内部控制体系有必要逐步向全面风险管理体系升级和完善。

实际上,世界上内部控制与风险管理已逐渐融合了,把内部控制与风险管理试为同一事件。1992年,Treadway委员会的发起组织委员会(the Committee of Sponsoring Organizations of the Treadway Commission)了《内部控制――整合框架》,2004年,该委员会又了《企业风险管理――整合框架》,在该框架附件C中明确:内部控制被涵盖在企业风险管理之内,是其不可分割的一部分。

国资委颁布的《中央企业全面风险管理指引》要求企业在开展全面风险管理工作的同时,还要与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。我国的有些企业都在积极探索内部控制与风险管理的融合之道,中天恒管理咨询公司为我国某中央企业设计的《全面风险管理手册》,与公司现有管理体系和管理手段相衔接,实际上不仅仅是内部控制与风险管理的融合,而是整个管理的融合。

内部控制与风险管理融合的道理其实非常简单。企业在实现目标的漫程中,会遇到各种各样的风险;因此,就要采取措施控制风险。也正因为有风险才要控制,如果没有风险,控制就是多余的了,就是添乱,当然更是浪费资源。风险与控制的关系简单地说就是风险减去控制就等于剩余风险。当然,这个剩余风险一定要在企业可接受的水平范围内。

如果内部控制与风险管理融合后,企业至少没有必要既设立风险管理部,又设立内部控制部,设一个风险控制部就够用了。风险管理与内部控制融合,就是要打破风险和控制水平之间的平衡,不要把现代企业的风险管理和控制仅仅当成是一项纯粹的企业经营活动,它是一项包括了企业咨询专家、企业决策者、中层管理者以及企业员工在内的综合管理系统,需要各方面力量的协调和配合才能实现。

篇10

[作者简介]张建刚,男,山东昌乐人,山东财政学院会计学院副教授,研究方向:审计理论。

[摘要]内部审计是现代管理和管理控制的重要组成部分。内部审计与风险管理协调整合是其自身获得发展和增加价值的重要途径。本文根据COSO企业风险管理框架和IIA内部审计实务标准,分析了内部审计与风险管理的关系及两者相结合的意义,指出内部审计在企业风险管理过程中可以发挥建议、协调、咨询和监督四种作用,并探讨了在发挥内部审计四种职能作用前提下,其与风险管理整合的程序步骤,及其在中国的应用。

[关键词]内部审计;风险管理;IIA;COSO框架

[中图分类号]F239.45 [文献标识码]A [文章编号]1008―2670(2007)01―0054―04

内部审计是现代管理和管理控制的组成部分。IIA在《内部审计实务标准》中将其定义为是一种独立、客观的保证工作和咨询活动,其目的在于为组织增加价值并提高组织的运作效率,采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善,从而帮助组织实现目标。

企业风险管理是一个由企业的董事会、管理层和员工共同参与,应用于企业战略制定和企业内部各个层次和部门,用于识别可能对企业造成潜在影响的事项,并根据风险偏好管理风险,为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中,是一个过程,是实现结果的一种方式。与传统的项目风险管理相比,企业风险管理强调战略导向,覆盖了组织所有的管理层次和管理领域,方法也更为结构化和规范化。

内部审计承担了监督、分析、评价、检察、报告和改进等任务,是企业风险管理不可或缺的组成部分。就世界范围看,风险管理已成为内部审计的主要内容。IIA早就把评价和改善组织的风险作为内部审计的主要内容,其1999年制定的内部审计定义将风险管理和内部控制、公司治理并列作为内部审计的工作对象,2001年修改的《内部审计实务标准》明确要求内部审计参与风险管理和公司治理过程。我国内部审计准则中也充分考虑了风险评估作为内部审计中的一个核心概念。

内部审计为什么要与风险管理相整合,在COSO框架下两者如何结合是需要深入分析的问题。本文将对两者的关系,两者结合的意义及两者结合的方式作进一步探讨,并在此基础上研究中国企业如何将内部审计与风险管理相结合。

一、内部审计与风险管理的关系及两者结合的意义

IIA在对美国国会关于《萨班斯――奥克利斯法案》的意见陈述书中表述:内部审计、外部审计、董事会以及高层管理人员被称为有效的公司治理的四大基石。内部审计师的作用是监控、评估和分析组织的风险,审查信息及公司对法律法规的遵守情况,向董事会、审计委员会以及高层管理人员负责提供保证――风险已被分散、公司治理是有效的。内部审计以企业内部信息使用者为中心,聚焦于控制、风险管理等关键问题,通过帮助组织管理风险和提高管理效率,来增加组织的价值和改善公司的经营。

公司的治理过程是公司的利益相关主体让管理层发现风险并对其进行控制的过程,对公司风险的监控及适当地规避此类风险,对实现公司目标和保存公司价值都有直接的贡献。内部审计参与风险管理的实质就是协助公司的高层管理人员做如下工作:系统鉴别组织所面临的风险;评估这些风险对组织的潜在影响;制定控制风险的策略;评价风险管理的过程;就风险应对措施的合理性、风险监控的及时性、恰当性、有效性等信息进行有效的交流和沟通。风险管理是管理层的一项主要职责,而对组织的风险管理过程进行评估和报告通常是内部审计工作的一项主要内容。在适当情况下,内部审计师应与管理层审计委员会和董事会就与风险和风险管理实务中的薄弱环节进行讨论,当然在该过程中由管理层负责对重大风险采取针对性行动,内部审计机构负责人负责评价这些行动。风险管理作为管理层的一项主要职责,它应当确保组织中有良好的风险管理过程,并使其发挥作用。董事会和审计委员会负责监督、判断组织是否有适当的风险管理过程,以及是否充分、有效。内部审计师的职责是运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层和审计委员会提供帮助。

IIA多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。

内部审计与风险管理相结合是将风险作为内部审计的对象,打破了原来的内部审计只关心内部控制有效性的局面,在评价内部控制的基础上,对企业所面临的各种风险进行识别和分析。从另一个角度来讲,内部审计更加注重企业的未来,从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定,来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计,侧重对风险管理进行鉴证。

内部审计参与风险管理不仅为内部审计自身提供了发展契机,而且作为企业内的一种独立、客观的保证工作和咨询活动,内部审计是公司治理必要和有价值的组成部分,能够在风险管理中发挥独特的作用,无论是内部审计还是风险管理都能从双方的整合中提高效率,创造价值。

内部审计作为内部控制的重要组成部分,其在风险管理中发挥不可替代的独特作用。主要有以下几个方面:(1)内部审计能够从全局的角度管理风险。对风险的认识、防范和控制需要从全局考虑,但各业务部门很难做到这一点。内部审计人员从事具体的业务活动,独立于业务管理部门,这使得他们可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。(2)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节,内部审计人员可以调控、指导企业的风险管理策略。(3)内部审计部门的建议更易引起重视。内部审计部门独立于企业高级管理层,其风险评估的意见可以直接上报给董事会,这会加强管理当局对内部审计部门意见的重视程度。从内部审计发挥的上述职能看,内部审计已经参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系;评价并改进组织的治理程序,为组织的治理做出贡献;同时继续原有的对控制效率和效果的评价作用,帮助组织保持有效的控制。此时的内部审计人员是风险管理专家,通过对风险的把握来评价公司治理及

内部控制,并促进公司治理和内部控制的改善,从而实现对风险的控制。在风险管理这个统一核心下,公司治理与内部控制实现了一定程度整合,为组织增加了价值。

二、内部审计在风险管理中的角色和责任

COSO报告指出企业风险管理有四个目标(实现战略、高效运作、客观报告、遵守法则)、八个要素(内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动),并在企业的四个层次(企业级、部门级、事业单位级、分公司级)展开。内部审计在这一框架中作为监控活动存在,由内部机构对企业风险管理进行独立评估。IIA在2004年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此,内部审计在企业风险管理架中首要角色是监督者,包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,对关键风险报告的评估和对关键风险管理的评估。

按IIA的标准,内部审计的服务种类可以分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相关主体服务,其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。总体来讲,处于信息劣势的服务对象希望内部审计为其提供保证服务,处于信息优势的服务对象则更希望内部审计为其提供咨询服务。其中,保证服务是指为了对风险管理。内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验;咨询服务是咨询性的以及与委托人服务相关的活动,其性质和范围是与委托人达成一致意见,目的是增加价值和改进组织的经营。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生的。除了作为监督者所提供的保证服务之外,内部审计还提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动,加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者角色。

内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥更大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化为监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。

为保证其独立性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持,但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动,内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外,在实践中,应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责,就应该认为与此相关领域的审计客观性受到了损害,内部审计不能就其直接协调和指导的风险管理事项提供保证服务。

三、内部审计与风险管理整合的程序步骤

(一)判明风险类别,分析风险的具体源由

企业风险多种多样,表现的形式与发生影响也是千差万别的,为了管理和控制风险,应对风险进行辨认并予以分类,从中分辨出风险的性质,以确定主要风险、次要风险、关键风险、派生风险。

国外审计界对经营风险提出了多种分类模式,大致可概括为以下九类:外部经营风险(经营风险)――业务风险(经营风险)――职权风险(经营风险)――信息处理与技术风险(经营风险)――诚信度风险(经营风险)。――财务风险(投资决策风险)――业务风险(投资决策风险)――财务风险(投资决策风险)――战略风险。

在内部审计工作中,一般先从企业整体的战略目标着手,分析战略目标与企业实践的差距,明确形成差距的风险,进而分析风险的产生部门、风险的类别及其性质。

(二)在组织机构上,内审工作要与企业的各级风险管理组织相配合,开展企业综合风险管理

根据COSO的风险管理框架,一些国际会计公司提出了企业综合风险管理概念。这种管理是要求内部审计工作超越企业内部各职能部门的隔离,实行全体的、综合的和全员的行动进行综合风险管理。

在现代企业的风险控制方面,不少大中型企业一般建立三级风险管理组织,即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构;公司风险控制委员会领导下的内部审计;专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险,对公司风险管理制度进行设计以及对各业务部门执行风险控制制度情况进行定期检查,及时提示和报告潜在风险,并提出防范风险及改进工作的建议。

(三)按风险管理的要求开展内部审计

与经营风险管理相结合的内部审计,其具体要求是在企业的“经营――风险――控制――监督”过程中,内部审计充分发挥其监控实效。亦即内部审计在开展时,先由企业各层次人员明确企业经营风险控制管理的目标,在此基础上广泛收集经营决策信息、情况及风险情况,据此对各个待审项目的风险做出评价,进而确定内部审计控制风险的策略(包括规避风险、接受风险、转移风险、运用风险、减少风险),然后运用“计划――执行――检查――行动”方式,对企业主管层、业务管理层及业务执行层进行审计。

(四)对具体项目风险、内部审计要参与事先、事中和事后三个阶段的全过程风险审查

四、内部审计与风险管理结合在中国的应用和实践

随着市场经济体制的建立和市场规范的不断健全,中国企业的内部审计有了很大发展,绝大多数企业设立了独立的内审机构。但总的来说,中国企业的内部审计工作滞后于企业管理,不能很好地满足经营管理需要,主要表现为:(1)审计职能以查错纠弊为主,没有充分发挥内部审计独特作用;(2)审计范围局限于财务会计,没有扩展到经营管理各个方面;(3)审计方式主要是事后审计,没有拓展到事前和事中审计。中国企业的内部审计急需改进完善,应在原来内部审计对象的基础上引入风险审计,加上对各种影响企业未来风险因素的认识和分析,借鉴国外先进的风险审计程序,完善整个审计体系,改善企业经营状况。