企业风险管理的含义范文

时间:2023-09-07 17:57:49

导语:如何才能写好一篇企业风险管理的含义,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业风险管理的含义

篇1

关键词:内部审计;内部监督;风险管理;风险评估

在国家当前的新经济形势下,企业的规模日益扩大,其机构和业务日益繁杂,所面临的风险也不断增加。内部审计作为一种独立、客观的保证与咨询活动,是企业自我约束和自我监督机制的重要组成部分。企业管理层也迫切需要内部审计机构协助其更有效地履行其职责,提高企业的运作效率和经济活动的附加值。

1 内部审计与风险管理的含义

(1)内部审计的含义。内部审计是指由本部门和本单位内部专职的审计机构或人员所实施的审计。这种专职的审计机构或人员,独立于财会部门之外,直接接受本部门、本单位主要负责人的领导,依法对本部门、本单位及其下属单位的财务收支、经营管理活动及其经济效益进行内部审计监督。内部审计的目的是纠错防弊,促使企业改善其经营管理,提高经济效益。

(2)风险管理的含义。企业风险管理是从整体企业的宏观角度来辨识及分析风险的过程。其方法不只是将企业所有风险整合,而是将企业面临的所有不确定性转化为可通过策略及运作优势达到营运目标的一种方法。COSO对风险管理的定义是:“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响,这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件和管理风险,使之在企业的风险偏好之内,从而合理确保企业实现既定的目标。”

2 内部审计与企业风险管理的关系

(1)内部审计在风险管理中扮演重要角色。内部审计是企业内部监督与控制的关键环节,可以协助公司辨别及评估重大风险的披露,对改善风险管理及控制制度做出重要贡献。企业内部审计机构在规划审计工作时,应评估各种管理活动的相对风险,并将风险按照重要性进行排序,对风险较大的项目优先考虑开展相关审计工作。对管理层的风险管理流程效果和效率方面进行检查、评价、报告并提出审计建议,帮助企业识别、评价风险及实施风险管理方法。

(2)内部审计在风险管理方面具有独特的优势。风险管理是一个系统的过程,对风险的防范和控制需要从整体出发。而内部审计机构在企业中不从事具体业务活动,独立于业务管理部门,使其具有相对的独立性。因此,在进行风险管理的过程中,能够客观地、从全局的角度管理风险,正确地识别和评估风险,并及时建议相关部门采取措施应对风险。

(3)风险管理是进行内部审计工作有效的工具。风险管理是企业管理层的职责所在。为了实现企业的经营目标,管理层应当确保企业具备良好的风险管理流程,并且在经营过程中正常运转。内部审计可以通过制定正式的行为规范,经常检查公司风险管理流程是否健全等措施有效地降低企业风险。风险管理作为内部审计工作的有效工具,很多企业和部门已将其应用于机构的持续性、财务管理、资产管理和舞弊等各项风险管理中。

3如何发挥内部审计在企业风险管理中的作用

(1)确认风险识别的充分性。在企业进行风险识别的过程中,内部审计人员应该对风险管理流程进行审查与评价,确定企业在风险识别的过程中风险归类的正确性以及分析方法的适当性。内部审计可以采用多种风险分析方法对企业内部和外部的风险要素进行识别分析,判断企业管理层是否对主要风险均已识别和分析,并充分考虑风险可能造成的影响,为进行风险评价奠定基础。

(2)确定风险评估的恰当性。在企业进行风险评估的过程中,企业要对已识别的风险事件进行定量和定性的分析,分析风险产生的重要性及可能性。内部审计应首先对风险性质及程度的衡量与界定进行评价,这关系到进行风险处理的依据是否可靠。其次,应对管理层的风险评估过程的适当性、执行的有效性进行评价,找出需要修改完善的地方,为各级管理层提供专业审计意见。

转贴于

(3)评估风险对策的有效性。内部审计在企业风险对策活动中发挥的作用,直接反映在审计成果中,是审计价值的重要体现。企业根据对风险的评估和判断,应采取相应的措施和方法来进行风险处理,以降低和抑制风险损失,获取风险收益。在风险对策活动中,内部审计应分析风险回报的合理性、评价风险措施的有效性。

(4)评价风险监控的合理性。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。在这个过程中,内部审计首先应当从评价企业各部门的内部控制制度入手,审查企业经营活动中重要环节相关控制制度设置的合理性以及执行的有效性,识别并防范风险。其次,应当密切关注可能引致风险的重要事项,了解企业的风险偏好,与相关管理层讨论部门的目标、存在的风险,并评价管理层采取的风险监控活动的有效性。再次,应当以企业总体风险组合的观点看待风险,协调各部门共同管理企业,从全局角度识别并评价风险,提出改进建议来协助企业管理层履行其职责,以保证企业目标的实现。

4结束语

内部审计参与企业风险管理是内部审计的发展方向,是环境因素和内部审计自身因素共同作用的结果。这不仅为内部审计的发展提供了契机,也有利于企业在风险管理的过程中采用先进的审计方法和技术手段,强化内部审计职能,积极探索,勇于创新,使企业在竞争中处于优势地位,实现管理最优、效益最佳的发展目标,并开创审计工作的新局面。

主要参考文献

[1]徐宏峰,李洪天。内部审计与公司治理的改善[J]。财会月刊:会计版,2007(9)。

篇2

关键词:审计风险 风险管理 风险导向内部审计

风险导向审计也称为风险基础审计。风险基础审计是指以被审计单位的风险评估为基础,综合评审被审计单位活动的各因素,并根据量化风险水平确定实施审计的范围和重点,进而进行实质性审查的一种审计。风险导向审计作为一种重要的审计理念和方法,是师事务所为应对日益增多的审计诉讼而产生的。它可以大大提高审计的工作效率。

风险导向内部审计的分歧

内部审计下的风险导向审计尚无统一的定义。第一种观点认为,把审计中的风险导向审计运用于内部审计就是风险导向内部审计,即内部审计人员立足于对审计风险的分析和评价,并以此为出发点,制定审计计划,实施审计行为的一种审计方法。

第二种观点认为,风险导向内部审计是指内审人员在审计过程自始至终都关注风险(不是审计风险),依据风险选择项目,识别风险,测试管理者降低风险的方法,并以企业风险为中心做审计报告,协助企业管理风险。

上述两种观点是不一致的。不一致的含义会影响风险导向内部审计的推行和实施,那到底什么是风险导向内部审计呢?笔者认为,要全面认识风险导向内部审计的定义,应从审计风险和风险管理的区别谈起。

审计风险和风险管理

审计风险

什么是审计风险?学术界对此并没有统一的定义。《国际审计准则第25号——重要性和审计风险》将审计风险定义为,“审计人员对实质上误报的财务资料可能提供不适当意见的风险。”美国《审计准则说明第47号》认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”我国《独立审计具体准则第9号——内部控制与审计风险》认为:“审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。”而《内部审计具体准则第17号——重要性与审计风险》则认为,“本准则所称的审计风险,是指内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当结论的可能性。”

风险管理

克里斯蒂认为风险管理是或组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力。美国学者威廉斯和理查德汉斯认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理。内部审计师协会认为风险管理是对组织以及财务目标的所有风险进行评估和响应的一种严格的、协调的方法。

风险管理和审计风险的区别

主体不同。企业风险管理的主体是企业,是企业的董事会、管理层或普通员工。审计风险的主体是审计机构和审计人员。

目的不同。风险管理的目标是控制和减少损失,提高有关单位或个人的利益或效果,风险管理是从企业的角度来管理和控制风险。审计风险是从审计机构和审计人员的角度,在实施审计项目过程中控制审计风险的目的是避免审计失败。

风险性质不同。审计风险由固有风险、控制风险和检查风险三个要素组成,虽然前两者与被审计单位的环境、业务复杂性、相关内部控制等有关,但是仅包括从审计角度出发与其有关的风险。风险管理关注的核心是企业风险,与审计风险中的“风险”相比,风险管理中“风险”的范围更加宽泛,涉及可能对企业战略和目标的实现产生影响的事件、行为和环境等等因素。

风险导向内部审计的内涵

有关审计风险的定义中,特别是内部审计具体准则的定义中,我们可以看出来,“审计风险”中的“风险”是指审计机构或人员承担的,与审计过程有关的各种风险事项。由此看来,风险导向内部审计中的“风险”也应指的是审计风险。

篇3

随着企业经营环境及经营理念的根本性变革,现代企业风险的定义有了新的发展和内涵。传统意义上,风险是指企业在经营过程中遭受损失的不确定性。在新的经济条件下,由于新技术和互联网的广泛应用以及全球范围内日益激烈的竞争,企业在获得新的发展机遇的同时也面临着更多的不确定性,即各种风险因素。这种不确定性是获得成长必须付出的代价。在此情况下,单纯将风险作为遭受损失的可能性来理解已无法适应现代企业风险管理需要。因此,现代企业风险的完整定义应包含两个层面的内容:首先,风险是事件在未来发生的可能性及其后果的综合,包括风险因素、风险事故和风险损失等要素。风险因素:引起或增加风险事故发生的机会或扩大损失幅度的条件,是风险事故发生的潜在原因;风险事故:是指造成风险损失的直接原因,意味着风险的可能性转化成了现实;风险损失:风险事故所带来的物质上、行为上、关系上和心理上的实际和潜在的利益丧失。其次,风险与机遇如硬币的两面,二者在数量及性质上成正比例的辩证统一关系,机遇蕴涵于得到有效管理的风险之中。

现代企业风险管理是指企业在经营过程中,识别、评估、分析各种可能造成潜在影响的风险事项,并在其风险偏好范围内进行控制和管理,从而为企业目标的实现提供合理保证的过程,具体表现为认真分析风险、有意识地承担风险、科学地管理风险、稳妥地获取风险收益。它以博弈论作为理论基础,通过对不确定性全方位、深层次的分析,形成完善的风

险管理计划;对各类风险进行识别、定量定性分析、响应和监控,形成综合性的风险应对策略,为正确决策提供依据,为持续发展提供基础。其核心是将难以预计的未来事项的不确定性控制在可接受的程度,并从中寻求有利于企业发展的机遇。该定义通常包括以下基本原理:(1)从企业整体角度分析风险。企业风险管理不是汇集每个独立部门面临的风险,而是汇集彼此及企业相对于每个独立部门的整体风险;(2)从宏观角度分析风险。风险管理是一种持续行为,贯穿于企业经营的全过程,包括事前、事中、事后。越早发现风险,越早采取措施,则风险管理的成本就越低,给企业带来的效益就越大。

二、现代企业风险管理理念概括来说,健全的企业风险管理理念可以归结为6C,即全面性、一致性、关联性、集权性、互通性、创新性。

1、全面性(comprehensive)。风险管理的目标不仅仅是使公司免遭损失,而且包括能在风险中抓住发展机遇。全面性可归纳为三个“确保”,一是确保企业风险管理目标与业务发展目标相一致;二是确保企业风险管理能够涵盖所有业务和所有环节中的风险;三是确保能够识别企业所面临的各类风险。

2、一致性(consistent)。风险管理有道亦有术。风险管理的“道”根植于企业的价值观与社会责任感。风险管理的“术”是具体的操作技术与方法。风险管理的“道”是“术”之纲,“术”是“道”的集中体现,二者高度一致。

3、关联性(correlative)。有效的风险管理系统是一个由不同的子系统组成的有机体系,如信息系统、沟通系统、决策系统、指挥系统、后勤保障系统、财物支持系统等。因而,企业风险管理的有效与否,除了取决于风险管理体系本身外,在很大程度上还取决于它所包含的各个子系统是否健全和有效。任何一个子系统的失灵都有可能导致整个风险管理体系的失效。

4、集权性(centralized)。集权的实质就是要在企业内部建立起职责清晰、权责明确的风险管理机构。因为清晰的职责划分是确保风险管理体系有效运作的前提。同时,企业应确保风险管理机构具有高度权威,并尽可能不受外部因素的干扰,以保持其客观性和公正性。

5、互通性(communicating)。风险管理战略的有效性在很大程度上取决于其所获信息是否充分。而风险管理战略能否被正确执行则受制于企业内部是否有一个高效的信息沟通渠道。有效的信息沟通可以确保企业所有人员都能正确理解其工作职责与责任,从而使风险管理体系各环节正常运行。

6、创新性(creative)。风险管理既要充分借鉴成功的经验,又要根据风险的实际情况,尤其要借助新技术、新信息和新思维,进行大胆创新。

三、现代企业风险管理体系及其构成要素

每个组织的存在都有其目标,在实现目标的过程中,必然存在各种不确定因素,即风险。企业管理层的一项重要职责就是要建立一个良好的风险管理体系,来识别、评价和控制风险,为组织目标的实现提供合理的保证。

(一)现代企业风险管理体系如上图所示,完善的现代企业风险管理体系应将风险管理视为闭环型的过程管理,包括风险识别、风险分析、风险应对、风险监控,四个环节依次顺序推进、循环往复。

1、风险识别。即确定何种风险可能会对企业产生影响,并以明确的文档描述这些风险及其特性。一般而言,风险识别是一个反复进行的过程,应尽可能地全面识别企业可能面临的风险。对风险进行分类和归纳是风险识别中常用的方法。风险分类应当反映出企业所属行业或应用领域内常见的风险来源。例:技术方面的风险、时间安排方面的风险及财务方面的风险等。检查表是风险识别中非常有效的工具。根据积累的风险数据和信息,特别是企业在风险管理过程中形成的数据集合风险管理知识库,可以较为完整地开发和编制企业风险检查表。检查表的好处是提高了风险识别过程的效率。特别是企业进行大量类似项目时,完全可以开发一套通用的风险检查表,以提高风险识别过程的速度和质量。

2、风险分析。即评估已识别风险可能的后果及影响的过程。风险分析可以选择定性分析或定量分析方法,进一步确定已识别风险对企业的影响,并根据其影响对风险进行排序,确定关键风险项,并指导风险应对计划的制定。

风险指数体系是一个有效的风险分析模型,主要用于表征整个企业的风险程度。该体系根据风险识别和风险分析的结果,运用数学模型计算得到一组量化的风险指数,从而实现对企业风险的量化反映及横向校核,并监控风险管理的绩效。

3、风险应对。即针对企业面临的风险,开发、制定风险应对计划并组织必要的资源着手实施,目的是有效控制风险,避免风险失控演变为危机。风险应对计划包括企业当前及未来面临的主要风险类别,针对各类风险的主要应对措施,每个措施的操作规程,包括所需的资源、完成时间以及进行状态等。风险应对计划形成之后,企业应通过风险管理体系确保计划启动时所必需的人力、物力等资源。

4、风险监控。即在风险管理全过程中,跟踪已识别的风险,监控残余风险及识别新的风险,确保风险应对计划的执行,评估风险应对措施对减低风险的有效性,并形成风险监控 报告。风险监控是企业风险管理生命周期中一种持续的过程,在企业经营过程中,风险不断变化,可能会有新风险出现,也可能有预期风险消失。

(二)现代企业风险管理要素完善的现代企业风险管理体系一般应包括相互关联的要素,各要素贯穿于企业管理全过程,为实现企业目标提供保证。

1、内控建设。主要是在企业中建立完善的内部控制制度,树立良好的风险管理理念,营造出色的风险管理文化,为其他风险管理要素的实施打下环境基础。

2、目标制定。决策层必须首先确定企业的目标,才能够在此基础上确定对目标的实现具有潜在影响的各种不确定因素,即风险。

3、事项识别。下列事项可能给组织带来风险:因使用不正确、不及时、不完整、不可靠的资料而导致决策错误;记录有错误、会计核算资料不真实、不完整;资产保护不当;顾客不满意,组织信誉受损;执行组织决策、计划、程序不力,或有违法违规行为;不经济地获取或无效地利用资源;没有完成组织的任务和目标等等,需要企业的管理者对其进行识别、评估和反应。

4、风险评估。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估:风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。

5、风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一项重要的风险,企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在容忍度之内的风险反应方案。

6、控制活动。控制活动是确保风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个层面,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。

7、信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业中的每一环节能够恰当执行各自职责。

8、监控。对企业风险管理的监控是指评估风险管理要素的内容、运行以及执行质量的过程。企业可以通过持续监控和个别评估两种方式,来保证风险管理理念在决策、管理层面和各执行层面都得到了正确的理解和贯彻。此外,在风险管理过程中,必须高度重视沟通的作用,通过积极、全面、有效的内外沟通及上下沟通,确保风险控制与危机处理流程顺畅、有序、高效、及时。

四、内部审计与现代企业风险管理

(一)内部审计与现代企业风险管理的关系为体现并适应执业环境的变化,1999年,国际内部审计师协会(IIA)在其《内部审计实务标准》及《职责说明》中对内部审计进行了重新定义。新定义将内部审计的范围延伸到风险管理和公司治理,认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的,使企业内部审计与风险管理融为一体。可见,内部审计是风险管理的一种方法、一种手段,而风险管理则是内部审计的一项新的内容、一个新的领域。从发展趋势看,内部审计不仅越来越关注风险,同时,也是风险管理体系的重要组织部分。现代企业内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向型内部审计体系下,控制仍然重要,但业务重心在于分析、确认、揭示关键性的经营风险,强调风险规避、风险转移和风险的控制。可以说,IIA将“评价并改善风险管理、控制和治理过程的效果”作为内部审计的重要职责,视风险管理为内部审计的推动力,是国际内部审计几十年苦苦探索的经验总结,为内部审计未来发展指明了努力的方向。

(二)内部审计在风险管理中的作用

在风险导向型模式下,内部审计全面参与公司治理与风险管理,发现并评价重要的风险因素,协助组织改善风险控制程序,成为企业风险管理体系的关键环节。

1、检查与评价。重点是对企业风险管理体系的充分性和有效性进行评估,主要包括:(1)评价企业战略目标的制定是否在分析组织和行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业自身风险偏好来制订;(2)与相关管理层讨论部门目标,评估分解到各部门的具体目标是否与企业整体战略目标一致并拥有足够的支持;(3)评价管理层对风险的识别与评估是否适当;(4)分析风险控制措施是否足以使风险失控的可能性和影响在企业风险容忍度之内;(5)评估风险监控程序是否得到持续、有效执行,监控报告及风险管理报告是否充分、及时。

2、管理与协调。内部审计经过长期的发展已经成为一种专门的职业。(1)在企业组织架构中,内部审计具有相对独立性,能够以客观开放的视角清醒地识别和评价风险,并提出防范风险的有效建议;(2)内部审计凭借对企业全面深入的了解,以及能够影响决策层的特殊地位,积极参与企业风险体系建设,对风险控制各要素进行组织、管理和协调,推动被审计部门乃至整个企业不断提高风险管理的效率和效果。

篇4

关键词:企业风险;内部审计

中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)07-0-01

企业经营风险无处不在,实施良好内部控制管理,可大大地降低企业风险,从而远离危机,稳步发展。内部审计作为现代管理和管理控制活动的重要组成部分,应在其中发挥着治病及预防兼有的作用,为企业的肌体健康提供支持。

一、风险导向内部审计含义与特征

1.1风险导向内部审计含义

风险导向内部审计以影响企业目标实现的风险为出发点,以经营过程中面临的各种重要风险作为审计实施对象,来确定审计项目及重点,以降低风险的控制措施及手段为测试重点内容,借以评价企业风险措施充分性和有效性,并依此提出建议。总体上,它所持的是一种广义的风险观,可为企业提供增值服务,使内部审计目标与企业目标紧密结合在一起。

1.2风险导向内部审计特征

(1)以组织目标为目标。风险导向内部审计是以企业目标实现为出发点开展工作的。从目标实现角度分析风险因素影响,了解分析控制及剩余风险等作业。

(2)以组织的风险为关注焦点。内部审计人员正是根据企业所面临的风险,结合企业的战略、目标,以最大化实现企业目标为目的,去选择审计对象。

(3)业务范围扩大。风险导向内部审计的对象是企业经营过程的各种风险,审计范围包括了公司所有的活动领域,含风险管理、公司治理和内部控制全面过程。

(4)增加组织的价值为目的。为改善风险管理、内部控制和公司治理程序提供建议,帮助企业实现其目标。

(5)部审计更加关注对企业未来的风险。现代风险导向内部审计与风险管理相结合,强调对风险进行识别分析,从另一个角度来说,这也就更加关注企业的未来目标实现。

(6)内部审计资源使用效率提高。风险导向内部审计模式以项目风险的大小排序选择审计项目,可减少无必要的审计人力投入,帮助企业节约费用,避免资源浪费,提高了审计工作的效率。

二、风险导向内部审计导入必要性

2.1企业经营风险日益复杂是产生的直接原因

风险管理是管理层的一项主要职责,而对企业风险管理过程评估和报告通常是内部审计一项主要工作内容。内部审计运用现代风险管理方法和内部控制措施,对企业内部的风险管理系统设计合理性、充分性、有效性进行检查、监督和报告,提出改进意见,为管理当局提供帮助。

2.2传统内部审计缺陷是产生的内在原因

账项基础内部审计以财务报表为出发点,内部审计人花费精力于会计记录及凭证的详细审查,审计效率低下、审计效果不佳、审计内容狭窄。制度导向基础内部审计以内部控制制度及其执行评价为关注重点,在快速变迁的环境下,易导致企业控制系统僵化、审计作用严重滞后,无法满足管理需要。

2.3内部审计面临的生存危机是风险导向审计产生的外在原因

因账项基础和制度基础内部审计存在着诸多缺陷,导致内部审计组织无法为企业增加价值,内部审计职能越来越不受到重视。同时,社会审计机构在发展过程中,逐步将风险评估、控制咨询、管理服务等纳入业务范围,扩展自己服务领域,在企业中形成正面评价。企业为了节省成本,也考虑将内部审计的业务部分对外承包。内部审计生存风险陆续显现。

三、风险导向内部审计导入措施

3.1平衡独立性、效率性、灵活性原则要求,合理设置内部审计组织模式。

独立性可使内部审计做出公正、不偏不倚判断,对开展内部审计业务十分必要。效率性原则要求应当按照效率性原则来设计,依分权的机制自上而下行成有机整体。灵活性原则要求不同规模的企业应该采用不同的组织机构模式。

3.2强化内部审计人力资源管理,提高人员素质。

(1)制定审计岗位说明书,作为人员需求、培养、业绩评价依据。总体上内部审计人员应该具备履行职能所必需的知识和技能、交流沟通和书面表达能力、良好的思想品质和职业道德。

(2)依职权做好组织内人员编制定位,编制各层级人员工作职责表。

(3)加强内部审计人力资源培养。人力培养是一项十分重要的工作,企业可采用新员工入职导师培训、职业外训模式等形式结合进行。

3.3实施风险导向内部审计流程。

内部审计为满足风险管理的需要,需要以企业风险为出发点,规划审计战略,着眼重大风险,强调风险、评估风险,以增加企业价值。以下为执行审计三大步骤。

(1)风险识别与评估。

风险导向内部审计要求以风险识别与评估为首要目标。审计一切活动以风险作为出发点和落脚点。首先需要识别和评估企业的各种风险,作为制订审计计划的基础。此阶段最主要工作有确定目标、识别风险、分析风险三项工作。

(2)制定审计计划。

基于风险管理的内部审计将注意力放在企业的重大风险,要求将企业风险与审计活动紧密联系起来,决定哪些风险列入审计计划,将风险分配至审计活动中。为了使有限的审计资源得到充分利用,以实现企业目标,需要对审计工作进行规划,决定检查何风险、何时检查、如何检查,并将审计资源分配至各项风险。主要工作有确定列入审计计划的风险、确定拟审计风险、编制审计计划、分配资源,计划核准。

(3)审计实施与报告。

为实现内部审计对风险受到妥善管理,财务报告已正确披露的供确认目标,必须了解企业风险管理、公司治理和内部控制程序,并加以测试,以确定它们是否正常运行。内部审计的审计对象包括风险管理、公司治理和内部控制三类活动。在审计终结阶段,内部审计需提出审计意见,出具审计报,将问题报告给那些能针对审计结果采取适当措施的人员。最后做为一个必不可少的环节,还要对发现的风险进行后续审计,便于企业高层理解内部审计的工作,保证审计建议有效落实。

参考文献:

[1]王光远.消极防弊积极兴利价值增值(一)一20世纪内部审计的回顾与思考[J].财会月刊,2003,46(2-6):3-5.

篇5

评价和管理风险在内部审计的未来发展中占有非常重要的地位。在审计的时候内部审计人员需要注重风险,通过选择项目的风险度并且减低风险,来改善和评估整个企业的风险。内部审计人员应该首先了解和评价被审计企业的内部控制,然后判断和分析此单位的风险程度,并且对审计提出建议和评价,根据实际情况制定相应的审计策略进行控制,让企业的内部审计风险尽可能的降低到最低,最后让企业实现运营目标。企业的目标和风险进行结合,让企业的管理和治理层提供价值性的服务。风险导向内部审计应该把重点从风险控制转移到风险管理上。因此,内部审计目前不仅仅只关注内部控制,还需要把风险管理提到日程上来。

二、风险导向内部审计和企业风险管理框架的联系

根据我国近几年来的规范修改和补充,使得目前我国在企业风险管理中非常关注企业风险,使得改善和修改风险成为目前风险导向内部审计的重心。所以,风险导向内部审计和企业风险管理之间的联系就成为我们分析的目标:

(一)企业风险管理是风险导向内部审计的对象

在过去,内部控制一直都以为是为了让外部审计职业风险进行减少的工具,而不是对管理者进行服务。而现在,首先ERM把战略目标进行增加,然后将企业风险更多的关注根本性、重大性的战略问题;然后,在ICIF的五要素基础之上加入三个要素,即风险评估、事件识别和目标设定,这总共八个要素共同组建了完整的风险管理;最后,ERM提倡把所有层次进行企业风险管理的覆盖,包括企业的整体层次、分支机构、子公司和业务单位,而这些就是企业内部控制和治理的企业风险管理的框架,它包涵了企业内部控制和治理方面的全部风险,而这些风险也恰恰是风险导向内部审计的对象。因此,风险导向内部审计的对象就是企业风险管理。

(二)风险导向内部审计的实现,为企业风险管理提供了现实的指导

企业在高风险的内部审计中,通过风险导向内部审计认知了一种新理念,但是却没有让内部审计人员有一个具体思路进行风险导向内部审计的实现。如果想进行风险导向内部审计的实现,就需要通过一般的风险管理模式进行维护和开发内部风险审计程序。

三、风险导向外部审计和内部审计之间的差异

在IIA对风险导向的内部审计进行倡导之前,外部审计就是风险导向外部审计。而为了降低审计成本、让审计业务的增长能够让外部审计适应,有效的把审计风险降低,并且审计资源能够高效的利用起来的这种审计风险模式,我们称为风险导向外部审计,它让制度基础审计的全面发展和高度深化,并且审计的实务和理论方面都对它非常重视。所以,风险导向外部审计和内部审计的差异就成了我们在进行风险导向内部审计的一个问题。

虽然两者都对审计的客体风险评估都非常重视,但是在风险导向的范围、目标和内涵都不一样。

(一)内涵不同。风险导向内部审计主要是通过主体组织的内部控制,再考虑公司治理和组织整体风险作为企业审计的中心的一种审计。含义里把审计对象作为风险的突出;而风险导向外部审计是在进行审计程序的审计主题,首先应该对企业的风险进行评估,其次通过评估出来的实际情况确定企业审计的重点,然后再分配审计资源,最终进行交易和余额的测试内容。

(二)目标不同。风险导向内部审计目标是评估风险从而进行风险管理的对策,这样可以把组织的风险有效降低,并且让企业的价值有效增加,让内部审计可以发挥其充分的作用。而风险导向的外部审计目标主要是将审计主体的利益进行最大化的实现。实现这种目标需要进行以下的方法:①审计效率的提高。企业做虚假陈述或是财务造假,都是因为企业无法把既定的目标领域进行完成。这些都是在企业的高风险领域发生。那么在低风险的领域,企业并没有相关的动机。所以外部审计应该对企业高风险领域进行识别,然后可以集中审计资源从而详细、重点的审计,最终把审计的效率有效提高。②审计风险的降低。如果没有法律责任,审计风险是不会对审计主体在利益上造成伤害,但目前资本市场的第三方和投资者通常会因为违约或是侵权提出对外部审计的诉讼,让其赔偿责任并且承担巨额的损失,最后对审计主体的利益造成影响。风险导向审计的目标就是严密控制审计风险,能够把外部审计的法律责任有效减少,所以风险导向外部审计主要就是通过审计风险的降低和审计效率的提高来对审计主体进行服务,让审计主体自身利益得到维护。

(三)不同的风险范围。风险导向内部审计考虑审计的内容,其风险是根据所有管理层次的各种性质和所有目标的所有风险,可以当作是ERM关注的所有风险。而风险导向外部审计考虑审计的策略,是与关联企业报告的编制流程和对企业报表公允性进行影响的内部控制失效风险。

四、在我国企业风险管理框架的意义

在过去,我国一直处于一个比较低的企业风险管理的水平,虽然一直在这么多年来有所发展和进步,但是和目前迅速发展的经济形势下相比,我国的企业风险管理不能够很好的与之适应,呈现出来的是滞后的状态。而我国的企业很多都没有风险管理,其主要原因就是缺少和企业目前状况适合的指导企业风险管理的框架。

(1)组织机构方面,企业的各级风险管理组织要和内部审计工作进行配合,企业综合风险管理进行开展。

(2)企业风险意识有效提高,风险管理理念全面进行培育。

(3)内部审计组织模式得到优化,并且把内部审计人员的素质得到提高。

(4)信息进行及时的沟通,让风险处置得到时效的保证。

(5)把原来的风险管理系统和内部控制系统进行有效完善和整合。

(6)后续审计得到重视,让风险管理形成有效的回路。

五、结束语

风险导向内部审计是内部审计产生于高风险社会并且对职业危机得到应对从而进行的全新审计理念的推出。IIA把内部审计的定义进行修改,从而让其发展,最后影响现代内部审计的发展。同时,传统的控制导向内部审计和目前的风险导向内部审计进行对比,风险导向内部审计有独特的审计内容、服务对象和业务范围。

我国的内部审计和国外的内部审计实践进行比较还处于非常初级的阶段,主要是因为我国目前的内部审计准则并没有对公司治理领域进行涉足,也没有对公司风险管理活动组织改善和评估,而仅仅只是对内部控制进行监督和评价。虽然我国的内部审计正处于发展过程,但是风险导向内部审计发展和产生的现实背景也一样存在。所以,风险导向内部审计的推行也是我国必然会发展的过程。只有如此,我国内部审计才能够提供更多的增值服务给组织,并且在组织里的地位得到必然的提升,把潜在的职业危机得到清除。

参考文献:

[1]杨爱群.风险导向内部审计在企业风险管理中的应用探讨.商场现代化.2007(4).

[2]程永泉,冯义秀.风险导向内部审计及其在企业构建风险管理框架中的应用,北京工商大学学报(社会科学版).2009.24(2).

[3]郑小荣.风险导向内部审计若干理论问题探讨.审计与经济研究.2006.21(1).

篇6

论文关键词 企业 风险管理 内部控制

一、企业风险管理含义

企业风险管理应视为一个持续的执行过程,紧密结合在企业经营战略的设定之中,通过企业的管理层及其他相关人员共同协作执行,其理念及制度应贯穿于整个企业运营过程中,为每一名企业员工所熟知和运用,从而确保能够及时发现企业可能存在的潜在风险,使一切风险都处于可控状态,为企业经营目标的达成提供有力保障。企业的风险管理通常分为八点要素,相互关联,相互协作,贯穿于企业经营活动始终。其内容包括:

1.内部环境识别。所有企业风险管理要素均是以企业自身的内部环境为基础的,只有明确了企业内部环境的特点,才能制定出切实有效的风险管理的框架及规则。通过对企业内部环境的认知,能够帮助管理人员正确制定企业战略及经营目标,从而有效地开展业务活动,并且准确地识别风险、评估风险并及时应对。

2.制定经营目标。管理人员在制定企业经营战略目标时,应当根据企业的经营任务及预期内容进行科学的分析和设计,从而确保战略实施的可行性,并切实将相关目标分层分级地落实到企业内部各个部门及各个岗位。

3.企业风险评估。管理人员在评估企业风险时,应当从发生可能性及影响程度两方面进行周密考虑,并且结合企业即期的经营战略及经营目标进行具有战略眼光的风险识别和评估。

4.经营事项评估。在企业的运营过程中,往往存在着较多不确定性,这些现阶段结果尚不明确的事项可能会对企业具有积极的影响,也可能存在着消极影响,甚至二者同时并存。因此,企业管理人员应当及时对这些不确定性予以识别和评估,认识到事项的负面影响即是企业的潜在风险因素,必须尽早识别和评估,并预先制定出应急措施。

5.风险应对方案。面对风险的发生,风险应对反应包括规避风险、控制风险、承担风险及转移风险四种,作为企业的风险管理,应当针对不同的风险,制定出相应的风险应对反应方案,从而确保将风险的影响降至最低。

6.风险控制措施。当风险应对反应方案开始执行时,制定正确的风险控制措施,能够确保反应方案遵循正确的流程得以有效执行。因此,控制措施应当针对企业的不同层面、不同部门及不同岗位全面制定和落实,其要素包括规范的应对政策及对政策产生影响的一系列操作章程。

7.信息获取及沟通。企业应定期对来自内外部的信息进行获取、识别,并通过固定的格式予以保存和传递,从而帮助企业员工正确执行自身职责,并提供执行结果的参考和评估。此外,还应当保持沟通顺畅,包括企业由上而下、由下而上的纵向沟通,各部门间的横向沟通,以及企业与外部环境间的信息交换。

8.风险效果监控。企业应当及时对风险管理要素有关内容的合理性和完善性进行定期评估,并对风险管理的运行情况进行评估和监督。其方式可采取持续性监控和个别要素评估两类。

二、内部控制的含义

内部控制是一个循环往复的动态过程,其内容包括控制目标设计、控制执行、执行评价、目标改进等多个环节,为企业提供持续不断的信息反馈,使企业能够准确掌握当前自身运营情况,以及内外部环境对自身带来的机遇及影响。

企业在获取信息的同时,还能够通过对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,从而能够及时进行内部控制体系的完善和补充。而内部控制的评估内容,主要包括对企业现行内部控制体系设计及执行的合理性、有效性及完整性进行系统的审核、检验及分析等工作。其作用主要包括:

1.确保企业管理的完善性。企业的经营管理应当顺应外部经济环境的变化不断做出调节,以便适应新的发展形势,这一要求便需要企业对内部控制进行不断的评估和完善,从而及时发现其中的缺陷和漏洞,杜绝营私舞弊,改善薄弱环节,从而提高企业的内部管理水平,增强企业竞争力。

2.有利于充分发挥审计职能。目前,审计已经发展到抽样审计的高度,企业实行内部控制评估,能够依据评估结果明确审计范围,突出审计重点,寻求最佳审计方法,使审计效率得到有效提高,并充分发挥审计的重要职能。

3.提供各方决策依据。内部控制评估结果公布后,除了企业自身之外,有关部门均能据此对企业财务报告的可信度进行评价,了解企业的长期可持续发展能力、成长性、运营合法性等多个方面,从而制定下一步的行动决策。

三、企业内部控制与风险管理之间的关系

2004年,COSO经过4年的研究之后,在之前《内部控制统一框架》理论的基础上了《全面风险管理统一框架》,为全面风险管理提供了执行标准和依据,在这一新的理论中,全面风险管理增加了三项内部控制目标,以及相应的管理战略目标。由此可见,内部控制与风险管理日趋融合趋向。然而,全面风险管理与内部控制仍然具有一定的差异:

1.全面风险管理作为一个持续性的执行过程,贯穿于企业管理始终,而内部控制则是企业管理职能中的一项。此外,全面风险管理内容包含了战略风险、财务风险、市场风险、运营风险、合规风险等多项风险内容,企业能够通过这些风险的分析和评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。

2.全面风险管理理念中包含了风险偏好、风险应对策略、风险零容忍度等战略要素,因此能够对风险进行准确全面的度量和评估,确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是企业内部面对可能遇到的风险所采取的各种应对措施及方法,完全依据风险内容进行控制机制的制定及实施,内部控制措施的必要性与风险系数呈正相关的关系,企业在运营过程中,需要以具体的内部控制措施为有效手段,对各种风险进行控制和评估,从而将潜在的各类风险扼杀在萌芽之中。

四、我国企业风险管理及内部控制现状

国资委2006年颁布了《中央企业全面风险管理指引》,将国外先进风险管理经验与我国企业特色相结合,作为我国企业实施全面风险管理的重要依据和理论指导。2008年财政部会同相关部门联合《企业内部控制基本规范》,2010年再次《企业内部控制配套指引》,为我国企业内部控制与全面风险管理相结合的企业管理体系提供了理论指导依据。这些法律法规均促使企业充分审视、完善和加强自身内部控制管理工作,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,从而不断提升自身的风险管控能力。然而,全面风险管理工作仍然处于起步阶段,与国外先进管理体系相比,仍然存在着不足之处,具体包括:

1.未能充分认识风险管理的重要性,执行力度不足,对于内部控制与风险管理之间的关系概念模糊。部分企业将风险管理和内部控制分裂开来,视为两种彼此独立的管理体系,部分企业则仅仅将内部控制视为全面风险管理的一种手段,弱化了内部控制的重要作用。这些概念上的模糊认识使部分基层管理人员产生了管理体系重复、冗杂的误解,并使内部控制与全面风险管理体系彼此脱节,不利于企业风险管理的完善和发展。

2.偏重合规性,忽视实践性。部分企业过分强调全面风险管理体系的制度及手册等文件完善,却忽视了制度的执行、监督、评估和反馈等实践工作,从而不利于全面风险管理的执行报告及偏差纠正。

3.运行机制不到位。在部分风险系数较高的运营环节、经营领域及关键风险控制点,对风险因素的预警、应对及追踪力度仍显不足,或存在落实不到位的情况,尚需做进一步的完善和补充。

五、完善内部控制及风险管理体系的建议

(一)充分评估企业当前风险,设计切实可行的内部控制体系

内部控制体系必须紧密依据企业的风险评估结果,因此在制定切实可行的内部控制体系时,必须首先全面评估企业风险,并根据企业的实际情况从设计、执行、评估、完善等四个环节进行内部控制体系设计,其中,设计环节是极为重要的一环,这一阶段关系到企业内部控制体系是否科学可靠、切实可行,企业应当从自身经营情况及管理特点出发,注重全面性和科学性。

在执行环节,应当注重内部控制制度的可操作性,并根据企业各部门、各层级的技术特点,制定实质性的管理制度。在评估环节,应当注重内部控制预期目标达成率的评估,并确保评估的客观性、公正性和透明度,以便为管理人员提供真实有效的决策依据。在改善阶段,应及时对控制制度进行跟进和修正,并保持其改善的稳定性、科学性及实质性,并制定事前、事中及事后的监督机制。

(二)根据企业特点,制定明确的可执行制度

建立起切实可行的内部控制体系后,还应根据企业自身特点,制定出细致而严密的执行制度,其中包括:(1)科学设定控制目标,详细划分控制责任,明确进行控制授权,使各部门、各岗位准确了解自己所承担的控制职责,牢记被赋予的控制权限,从而使内部控制制度权责分明,目标明确,具有较高的执行力,同时,一个明确而详尽的执行制度,能够为企业各部门、各岗位提供行动指南;(2)分离不相容岗位,降低人为风险。此类分离应广泛包含部门之间、机构之间、机构内部人员之间,从而扫清内部控制障碍,最大限度填补管理漏洞,防范和降低人为潜在风险。

(三)完善组织机构,充分发挥内部审计部门职能

企业可根据自身特点建立完善的风险管理机构:一是建立由企业负责人负责的全面风险管理领导小组,全面负责指导企业的风险管理工作;二是设立专职部门或确定相应职能部门,具体履行全面风险管理职责;三是发挥内部审计部门的作用,负责研究提出全面风险管理监督评价体系,开展监督与评价,出具监督评价审计报告。其他职能部门及各业务单位在全面风险管理工作中,应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督。

(四)增强风险意识

企业各部门应当提高风险意识,严格依据企业制定的规章制度执行,防范杜绝把关不严、执行不力等不良现象,避免因此导致的以权谋私、监守自盗等损害企业利益的行为,从而降低企业资产遭受损失的风险。此外,信息经济时代的到来造就了外部复杂多变的经营活动,企业越来越广泛地使用互联网技术,投身电子商务活动之中,企业应高度重视网络数据的风险控制,提高商业信息安全的风险意识,防范内部员工的道德风险及系统漏洞所造成的技术风险,从而避免给企业资产造成重大损失。

(五)提高企业各部门协同能力

企业应培养内部各部门的整体意识,明确企业作为利益整体,工作必须从整体利益出发,内部控制不能狭隘地谋求部门或个人自身的利益,积极增进各部门、各层级间的信息共享,加强信息沟通,建立起相互协作、相互配合、彼此促进的团队精神,在工作中互通有无,做到问题及时发现、共同分担、共同商讨,从而及时填补内部控制的漏洞,提高企业的经营效益。

篇7

[关键词]风险;风险管理

一、风险管理的内涵

1.风险的含义。风险和危险是不同的,风险包含着一种不确定性,每个结果的概率是可知或可以估计的,而危险则只意味着一种不好的预兆。因此,有时虽然有危险存在,但不一定要冒此风险,我们要想方设法去改变风险发生的条件,使之不发生,甚至带来转机。综上所述,可以这样定义的风险:风险就是活动或事件消极的,人们不希望的后果发生的潜在可能性。具体地说,风险一般应具备以下要素:(1)事件(不希望发生的变化);(2)事件发生具有不确定性;(3)风险的影响(后果);(4)风险的原因。

2.风险管理的含义。风险管理涉及各个行业,每个行业都有其自身的特点,企业风险管理是指生产过程中,风险管理部门对可能遇到的各种风险因素进行识别、分析、评估,以最低成本实现最大的安全保障的过程。

从表层上分析,风险管理就是对生产活动或行为中的风险进行管理,从深层上研究,风险管理是指主体通过风险识别、风险量化、风险评价等风险分析活动,对风险进行规划、控制、监督,从而增大应对威胁的机会,以成功地完成并实现总目标。风险管理的主体是管理人员,客体是生产活动中的风险或不确定性,大型、复杂的生产活动过程应设置专门的风险管理机构和相应的风险负责人。

二、风险管理过程及方法

风险管理过程包括风险规划、风险识别、风险评价、风险处理和风险监控几个阶段:

1.风险规划。风险规划,指决定如何着手进行风险管理活动的过程。风险规划确定一套完整全面有机配合、协调一致的策略和方法并将风险其形成文件的过程,这套策略和方法用于识别和跟踪风险区;拟定风险缓解方案;进行持续的风险评估,从而确定风险变化情况并配置充足的资源。在进行风险规划时,主要考虑的因素有:风险管理策略、预定义角色和指责、各项风险容忍度、工作分解结构、风险管理指标体系。

风险规划过程的运行机制是为风险管理过程提供方法、技巧、工具或其他手段、定量的目标、应对策略、选择标准和风险数据库。其中,定量的目标表示了量化的目标;应对策略有助于确定应对风险的可选择方式;选择标准指在风险规划过程中制定策略;风险数据库包含历史风险信息和风险行动计划等。

2.风险识别。风险识别是风险管理的第一步,即识别实施过程中可能遇到(面临的、潜在的)的所有风险源和风险因素,对它们的特性进行判断、归类,并鉴定风险性质。风险识别的目的是减少的结构不确定性。亦即发现引起风险的主要因素,并对其影响后果做出定性的估计。该步骤需要明确两个问题:明确风险来自何方(确定风险源),并对风险事项进行分类;对风险源进行初步量化。

风险的识别是风险管理的基础,应是一项持续性、反复作业的过程和工作。因为风险具有可变性、不确定性,任何条件和环境的变化都可能会改变原有风险的性质并产生新的风险。对风险的识别不仅要通过感性认识和经验进行判断,更重要的是必须依靠对各种客观统计资料和风险记录进行分析、归纳和整理,从而发现各种风险的特征及规律。常用的风险识别方法有:专家调查法(头脑风暴法、德尔菲法、访谈法、问卷调查法)、情景分析法、故障树分析法等。

3.风险分析和评价。风险分析和评价是在对风险进行识别的基础上,对识别出的风险采用定性分析和定量分析相结合的方法,估计风险发生的概率、风险范围、风险严重程度(大小)、变化幅度、分布情况、持续时间和频度,从而找到影响安全的主要风险源和关键风险因素,确定风险区域、风险排序和可接受的风险基准。在分析和评价风险时,既要考虑风险所致损失的大小,又要考虑风险发生的概率,由此衡量风险的严重性。

风险分析和评价的目的是将各种数据转化成可为决策者提供决策支持的信息,进而对各风险事件后果进行评价,并确定其严重程度排序。在确定风险评价准则和风险决策准则后,可从决策角度评定风险的影响,计算出风险对决策准则影响的度量,由此确定可否接受风险,或者选择控制风险的方法,降低或转移风险。

风险分析和评价的方法主要有:专家打分法、蒙特卡罗模拟法、概率分布的叠加模型(CIMM模型)、随机网络法、风险影响图分析法、风险当量法等。

4.风险处理。风险处理就是对风险提出处置意见和办法。通过对风险识别、估计和评价,把风险发生的概率、损失严重程度以及其他因素综合起来考虑,就可得出发生各种风险的可能性及其危害程度,再与公认的安全指标相比较,就可确定的危险等级,从而决定采取什么样的措施以及控制措施应采取到什么程度。有效处理风险,可以从改变风险后果的性质、风险发生的概率或风险后果大小三个方面提出多种策略。

5.风险监控。风险监控就是通过对风险识别、估计、评价、处理全过程的监视和控制,从而保证风险管理能达到预期的目标。监控风险实际上是监控生产活动的进展和环境,即情况的变化,其目的是:核对风险管理策略和措施的实际效果是否与预见的相同;寻找机会改善和细化风险控制计划,获取反馈信息,以便将来的决策更符合实际。在风险监控过程中,及时发现那些新出现的以及预先制定的策略或措施不见效或性质随着时间的推延而发生变化的风险,然后及时反馈,并根据对生产活动的影响程度,重新进行风险识别、估计、评价和处理,同时还应对每一风险事件制定成败标准和判据。

风险监控的主要方法有:审核检查法、监视单、风险报告等。

三、总结

风险管理是一个全寿命的动态过程,与管理的四个阶段,即启动、规划、实施和结束阶段密切结合,渗透在寿命周期的全过程之中。在企业有效开展风险管理能够促进各单位决策的科学化、合理化,减少决策的风险性,能为企业提供安全的经营环境,能够保障企业经营目标的顺利实现,能够促进企业经营效益的提高。无论从理论还是从实践的角度来说,大胆创新、探索性地恰当运用风险管理的理论与方法,已成为关注的一个热点,对于提升企业管理水平、加强安全保障、创造更好的经济效益具有十分重要的意义。

参考文献:

篇8

Abstract: Starting from the main content, the necessity of implementation and the application of total risk management in enterprises, this article expounds the importance of total risk management in enterprise development, and shows its procedures, contents and requirements.

关键词: 企业;全面风险;管理

Key words: enterprise;total risk;management

中图分类号:F270.7 文献标识码:A 文章编号:1006-4311(2013)22-0139-03

1 风险的概念

“风险”一词的由来,最为普遍的一种说法是,在远古时期,以打鱼捕捞为生的渔民们,他们认识到,在出海捕捞打鱼的生活中,“风”即意味着“险”,因此有了“风险”一词的由来。现代意义上的风险一词,已经大大超越了“遇到危险”的狭义含义,企业全面风险管理,所指的风险是指未来的不确定性对企业目标所产生的影响。其基本的核心含义是“未来结果的不确定性或损失”,如果采取适当的措施使破坏或损失的概率不会出现,或者说智慧的认知,理性的判断,继而采取及时而有效的防范措施,那么风险可能带来机会,由此进一步延伸的意义,不仅仅是规避了风险,可能还会带来比例不等的收益,有时风险越大,回报越高、机会越大。

2 风险管理典型案例

法国兴业银行是世界上最大的银行集团之一,是法国第二大银行,市值仅次于法国巴黎银行。该行2008年1月24日披露,因其精通电脑的一位名叫杰罗姆·科维尔的交易员冲破银行内部层层监控进行非法期货交易,该行因此蒙受了49亿欧元(约合71.6亿美元)的巨额亏损。据称,这也是有史以来涉及金额最大的交易员欺诈事件。这一数额巨大的欺诈案件一度引起了法国总统萨科齐的关注,监管当局已着手对此展开调查。法国财政部报告认为:兴业银行风险监控机制有问题,内部监控系统多个环节有可能存在漏洞。存在的主要风险有:没有有效监督交易员盘面资金,没有有效跟踪资金流动,没有遵守后台与前全隔离规则,过分相信电脑系统,而忽视了对风险和流程的管理。当今随着经济全球化的不断发展,企业在市场竞争中,无论是在人力资源方面、财务方面,还是法律方面、内部控制等方面都充满了风险,一个企业要想在这个风险重重的环境之中,求生存、巩固现有市场、保持繁荣、发展壮大、始终立于不败之地,就要充分认识到企业全面风险管理的重要性。

3 风险管理的意义

近些年来风险管理逐步成为了国际上关注的热点,在一些发达国家,风险管理不仅在理论上发展迅速,而且很多企业都已认识到风险管理的重要性,越来越多地将风险管理应用到企业管理的各个方面。尤其是在诸如安然、世通等事件发生后,风险管理更加为各国所重视,美国还出台了萨奥法案来规范上市公司的行为,萨奥法案被称为是自罗斯福总统以来对美国商业界影响最为深远的改革法案。

在我国,风险管理理论的发展及应用相对滞后,有相当一部分企业普遍存在风险管理意识不足,缺乏风险策略、风险管理较为被动、缺少风险管理专业人才,以及风险管理技术、资金不足等问题。企业切实实行全面风险管理、运行风险管理基本流程可以获得很多好处,最主要的有:标本兼治,从根本上提高企业风险管理水平。全面风险管理体系帮助企业建立动态的自我运行、自我完善、自我提升的风险管理平台,形成风险管理长效机制,从根本上提升企业风险管理水平。达到与企业整体经营战略相结合的风险最优化。全面风险管理把风险管理纳入企业战略执行的层面之上,将企业成长与风险相联,设置与企业成长及回报目标相一致的风险承受度,从而使企业将战略目标的波动控制在一定范围内,支持企业战略目标实现并随时调整战略目标,保障企业稳健经营。

2006年,国务院国有资产监督管理委员会,了《中央企业全面风险管理指引》,强调企业全面风险管理是一项十分重要的工作,关系到国有资产保值增值和企业持续、健康、稳定发展。要求央企逐步开展全面风险管理工作,进一步提高企业管理水平,增强企业竞争力,促进企业稳步发展。

中国石油天然气股份有限公司在2004年开始着手建立以萨奥法案为依据,COSO框架为基础的内部控制体系,2005年通过了普华永道会计师事务所的外部审计。内控体系开始正式运行。2010年,股份公司开始选取试点单位按照国资委要求,开展全面风险管理工作。2011年,根据集团公司通知文件要求,锦州石化公司作为第二批推广单位,逐步开展2012年公司风险管理报告的编制工作。公司内控与风险管理办公室,借鉴试点单位的经验,按照风险管理报告的要求,于2011年下旬,开始组织开展公司全面风险管理工作。

4 在锦州石化公司开展风险管理工作

4.1 工作目标 围绕公司“十二五”发展规划及2012年目标,以炼化生产业务为核心,按照风险评估的程序和方法,开展公司层面的风险评估,分析确定2012年公司可能面临的重大风险,并制定相应的重大风险管理策略与解决方案,完成公司2012年风险管理报告的编制工作。

4.2 评估范围 锦州石化公司现有生产装置85套,原油加工能力达到750万吨/年。本次风险评估工作以生产经营业务为核心,充分考虑影响公司目标实现的资源、环境、市场、竞争、组织与运营等内部因素和外部因素,识别和评估企业生产活动的重要风险。涉及的范围主要包括:总经理办公室、生产技术处、机动设备处、安全环保处、规划计划处、财务处、人事处(组织部)、企管法规处(内控与风险管理办公室)、审计处、纪委监察处、企业文化处、工程管理部、营销调运部、物资采购部、信息中心、矿区服务事业部16个单位和部门。

4.3 组织方式 公司成立了企业风险评估领导工作组,设立企业风险评估领导工作组办公室,统一指挥各部门的风险评估工作。具体负责编制《锦州石化公司2012年风险管理报告工作实施方案》、《锦州石化公司风险评估标准》,组织开展培训和为各单位开展工作进行技术指导,汇总分析公司层面风险数据库,督促各单位工作进度及审核阶段性工作质量,协调解决实施过程中遇到的问题,编制《锦州石化公司企业风险管理报告》。

4.4 评估程序(图1)

4.4.1 建立风险评估基础。以集团公司风险评估方法为指引,通过研究公司炼化生产核心业务架构,明确公司风险管理的目标,确定风险管理的范围,对公司层面各项风险进行分类,编制风险识别指引,建立公司风险评估标准。

4.4.1.1 对风险进行分类。依据集团公司风险分类标准及全面风险管理相关理论研究成果,结合公司实际,以炼化经营业务为核心,将公司层面风险分类为战略风险、经营风险、报告风险和合规风险四大类。再把上述各类风险以专业为指引进行细化,将公司层面战略、经营、合规、报告4大类33项纳入16个单位识别的范围,编制了《风险识别主要事项指引》,明确了各类风险涉及的单位,为开展识别指出方向。

4.4.1.2 统一风险评估标准。按照集团公司《风险评估规范》,结合公司实际,风险评估办公室制定《锦州石化公司风险评估标准》。在标准制定过程中,我们充分与各主要处室,包括总经理办公室、安全环保处、生产技术处、规划计划处、财务处、人事处、物资采购等部门结合沟通研讨,在集团公司规定的风险评估规范的基础上,结合锦州石化公司的实际,对财务损失的金额、健康安全环境评估的影响数值进行了细化分级,并降低了损失额度,最低从5万元起开始评估;在营运影响因素中重点突出生产运行过程中的多种影响因素;在企业声誉及法律法规因素中补充完善了违反公司3项规章制度等的影响后果,使标准的应用更接近炼化核心业务,更具有可操作性。此外,针对评估小组成员在业务能力、技术水平或工作经历等情况进行类别划分,设置4个层次、4种评估打分权重,采用加权平均方法,统一设计《公司层面风险评价打分表》。通过增加、补充和完善,形成本公司风险评估标准。

风险评估标准主要包括可能性和影响程度标准。

风险发生的可能性:可能性分五级,分别以5、4、3、2、1五个分值进行评分。考虑风险发生的可能性时,可以从发生概率、大型灾害/事件类、日常营运三种标准中,选择一种标准对风险发生的可能性进行评分。

风险影响程度:影响程度分为五级,分别以5、4、3、2、1五个分值进行评分。考虑风险的影响程度时,可以从财务损失、企业声誉、法律和规章制度、健康安全环境、营运及稳定六个方面,选择其中一个主要方面对风险的影响程度进行评分。

4.4.2 目标设置与分解。围绕公司发展战略总体思路,结合本部门\单位职责,各专业部门将公司“十二五”发展规划、2012年主要生产经营目标及KPI指标进行分解落实,在目标设置环节,各专业部门以目标为基础,按计划开展风险识别、评估工作。

4.4.3 风险识别。各专业小组围绕本专业工作目标,通过采取查阅领导讲话、通报、座谈、讨论、网络、问卷调查等方法展开信息收集,对可能影响公司目标实现的内外部风险因素、风险事件进行识别并记录。各专业评估小组以公司下达的《风险识别主要事项指引》为参考,全面开展风险识别,以风险易发和高风险领域为重点,开展风险事件库的收集和风险数据库的建立工作。

4.4.3.1 风险事件库建立情况。各专业小组围绕公司“十二五”规划及2012年度生产经营目标,从内、外部角度,自下而上广泛收集相关风险事件。16个专业小组共收集国内、国外、同行业及本企业近五年来发生的重大风险损失事件182个,这些案例设计健康安全环境、舞弊及诚信、法律、投资、信息安全、生产中断与产能不匹配、稳定、价格波动等业务领域。安全环保工作小组还对公司曾经发生过的重大风险事件,从发生的过程、造成的损失或影响、产生的原因、事件的处理以及防止同类事件发生所采取的对策等方面,进行了分析研究。经公司风险评估办公室汇总整理,形成《风险事件库》,为风险分析和风险评估提供依据。

4.4.3.2 公司层面风险数据库建立情况。各专业小组参考集团公司风险数据库,结合公司领导讲话、国内外同行业披露的风险等信息,经过培训、研讨、案例分析等过程,分阶段按部门逐项验收,展开风险再识别工作。3月末,16家单位共识别出包含生产中断风险、健康安全环境风险、人力资源风险、物资采购舞弊风险、交通风险、合同风险、质量风险、起重伤害风险、触电风险、中毒和窒息风险、资金流动管理风险、价格波动风险、市场需求风险、生产技术落后风险、劳动关系风险等各类风险70个。其中,经营风险占70%,合规风险占14.28%,战略风险占4.30%,报告风险占11.42%。(见图2)。风险评估帮公司汇总整合同类项并组织分析,在些基础上编制完成了公司层面的风险数据库,如图2:

4.4.4 风险分析。针对风险分析,我们主要应用了风险事件成因分析法和调查问卷法。借助风险评估标准工具,开展风险分析。风险评估办公室组织16家风险评估单位成员,认真学习《锦州石化公司风险评估标准》,通过讲解和讨论,大家明确了如何确定风险的可能性及风险的影响程度;如何设定打分权重;如何计算风险等级分值等内容。为第三阶段开展的风险评估工作奠定了基础。从3月14日开始,由16个各专业小组组织相关人员按照《锦州石化公司风险评估标准》,对识别出的风险,从风险发生的可能性及影响程度进行分析,初步确认本专业重要风险。各专业小组根据评分结果,将已确认的中级(分数在5分以上)风险,填写《重大风险汇总表》后上报风险评估办公室。

4.4.5 风险评价。从3月20日开始,风险评估办公室根据各评估工作小组提供的风险分析及评估结果,对初步确认的中级以上重要风险进行汇总、分析,形成各专业重要风险数据库汇总表,共计43个重要风险;公司评估工作组针对43个重要风险再次评估,按评估方法排序,确定风险偏好,评估出公司层面重大风险,并将重大风险绘制成风险热力图。

4.4.5.1 公司风险评估小组确定公司风险评估方法。结合风险分析过程的可能性和影响程度的判定,按照如下权重设置及统计计算方法,完成中等级以上风险再评估。公司级评估权重:副总师以上领导40%、处级干部30%、科级干部20%、业务人员10%。

R=■(A■×C■)×■(B■×C■)

R—风险等级分值;Ai—第i类人员风险发生可能性平均分值;Bi—第i类人员风险影响程度平均分值;Ci—第i类人员权重;n—人员类别总数。风险等级分值=风险影响程度分值*风险发生可能性分值。对已评价风险按风险等级分值进行排序,参照风险等级(见表1)确定重大风险。原则上R值大于12分以上的风险确定为公司的重大风险加以控制;低于此风险作为重要和一般风险加以控制。

4.4.5.2 公司风险评估办公室组织进行重大风险评估。风险评估办公室以问卷的形式,对43个重要风险进行再次评估,评定出风险等级。此次评估共发出问卷382份,回收率100%。问卷发放的对象为四个层次,第一层为副总以上公司领导,第二层是机关及直属单位处级领导,第三次为机关及直属单位科级干部,第四层次为机关及直属单位科员。风险评估办公室通过计算、统计、汇总,确定公司风险偏好,选择风险分值大于10的风险,共计20个风险初步列为公司层面需控制的风险,其中,重大风险7个(12分以上),重要风险13个(分值10-11),并将该评估结果上报公司主管领导审核。

4.4.5.3 绘制风险热力图

参考文献:

[1]李庆虎,段学仲,张佰睿.企业全面风险管理:识别、评估与控制[J].中国总会计师,2007(09).

篇9

直接导致内部管控和内部风险管理产生直接联系的公开文件是1992年由COSO所提出来的《内部控制――整体框架》,此后,随着企业风险管理和企业风险管理逐渐关联性的不断升级,2004年在内部控制研究的基础上,《企业风险管理――整合框架》的提出更将二者的共同点予以了明确的分析。如图1所示:

(一)企业内部控制含义 企业内部控制主要是依存企业现有的专业管理制度和策略,以风险管控、风险预防、风险监管等方面的工作为主要工作目的,借助全方位多层次的管控方式,按照描述关键控制点方式、过程监控体系方式、流程监管方式等来从直观和间接的角度对生产和经营过程中的各类业务所进行的规范式管理模式。从管理角度来看,企业内部控制主要在定义上隶属于风险管理的子系统,从管理范畴来看,作为全面风险管理的重要阶段之一,企业内部管控也可以作为企业风险管理在整体实施时的重要组成部分。在企业内部控制过程中,主要需要从内部环境即企业内部管控的机构设置、企业内部审计、企业文化、企业人力资源政策以及企业的社会责任和企业的治理结构等方面来进行分层管理和专业化的管控。相对企业风险评估来说,企业的内部管控方式更需要进行目标的合理化确定,按照企业的风险评估流程和结果,针对企业在风险评估过程中所出现的各类风险以及企业在风险监管时得出的结论,企业在内部控制时可以更加明晰自身的管控承受范围和找到相应的管控措施。

(二)企业风险管理内涵 企业风险管理主要是由企业的董事局、企业的管理层以及企业内部其他具有此权限的人员在共同确定统一的目标时,按照战略制定的要求以及围绕该要求而产生的从各个层面来进行运作的活动,此类活动存在的意义在于识别各类具有潜在风险或者就企业目前的管理过程来分析而存在的各类风险,所进行评估,任何违背或者阻碍企业共同目标的因素或者风险,在企业进行风险管理的过程中均予以规避或治理,以保障企业的整体目标得以顺利进行。

在企业进行管控的过程中,风险作为其工作的主要范围,信息的沟通及时化是企业进行风险评估和判断的重要因素,这也是企业在内部控制时从信息化角度来完成企业的内部信息疏导、企业各方面信息的有效传递、企业信息流通的及时性和稳定性等方面工作的主要原因之一,在企业进行内部管理和监控时,对于风险评估和风险管控本身的行为来说,同样也需要按照企业的实际需要,进行相应的内部监督,包括日常内部监督和具有专业性的专项检查,一旦发现企业的内部控制缺陷包括政策、措施等方面以及针对风险进行评估时出现的各类人为和非人为的可以进一步诱导企业内部控制中风险性质变化或者量变等问题发生的直接因素,均可以在核查的同时加以改进。

二、从内部架构角度看企业内部控制与风险管理

(一)企业内部控制与风险产生之间关系的介质 企业风险产生主要原因就是在于企业发展 “目标”的存在性,目标是公司取得长驱发展的主要动力,同样目标的存在也同样引发了各种风险的出现见(图2)。目标作为风险产生的主要原因有:首先,目标作为风险的出现的主要原因来自于人的主观能动性与客观活动之间的差别,在客观的活动过程中,当人的主观能动性与客观环境之间的差异化成为不确定因素时,风险就会同时出现。其次,因为目标需要建立在一个较高层次的基础之上,在当前企业发展高度结构化的模式下,任何一类子目标的发展都需要下一个阶层子目标的支撑,因此这些子目标之间需要以重叠性和排斥性进行系统化排列,尤其是在不同的目标之间更需要进一步的相互补充,由此,一旦层叠性逐渐出现任何关联间隙,就会导致风险因素的出现。最后由于在企业的内部和外部的管理中存在着诸多的目标,因此在不同的目标进行次第互补时,就必然出现衔接方面的安全隐患,如果各个目标之间的衔接性存在问题,或者衔接的联系性不够完整,就极易造成衔接之间的空白期,这些空白期自然会造成风险性的出现。

(二)企业内部控制与风险管理的专业化促进 目标产生的主要原因在于企业的发展需要,企业内部控制与风险产生之间产生关系的介质更在于对目标的实现。强化企业的内部管理活动,将企业的多样化发展目标统一到同一个发展层面上来,企业发展过程中的各项风险维度则会相应的维持在一个企业可以管理和可以控制的范围内。这也是企业在内部管理和内部控制时,出现各类风险的主要原因。

此外,从企业管理的角度来看,企业的风险控制和企业的风险管理,需要在专业化角度进行细化,以审计为例比如当同一个或者不同账号出现账户交易时,一旦账户交易中存在着内部或者外部因素而导致的漏报和错报问题时,内部管控和内部管理就自然会在出现相应的专业管理需要的同时出现专业管理的风险,以审计为例(见图3),审计的过程中所出现的漏报、错报等问题时,对于此类问题的纠正或者对此类问题的管理过程中,对于出现的问题或者存在的风险隐患,就自然应该划归到相应的管理层面来进行分析,如因为财务报表的疏漏而导致风险的产生就需要划归到财务方面来解决,因为企业的管理失衡所出现的风险问题或者由于各项制度的不完整性而存在的问题,需要按照不同问题出现的源头进行分门别类的风险评估及措施应对。但是无论基于哪种,从企业发展的角度来看,都会引发企业风险的出现,并需要通过内部控制而耗费企业运营成本。

三、由整到层划分企业内部控制与风险识别

篇10

风险沟通是在风险感知的基础上形成了对公众心理状态具有调节功能的一种风险管理模式,其属于风险管理中的一个特殊的领域。而风险感知是有研究学者提出的一种风险管理概念,他主要讲的是将一种风险事件解释为一信号,信号本身的性质与传播条件都会对受众的心里产生一定的影响,并对这个信号进行选择性的接受和解释。社会大众往往都是凭借着对风险事件的情况进行知觉方面的判断,这种在对风险缝隙和判断过程中采用知觉进行判断的方式我们将其称为风险感知。因此,在风险信号和公众对风险信号的认知之间经历的过程有着三个方面的因素会参与到影响社会公众的知觉判断。一个是风险本身所具备的特征;其次是受众不同的特征;最后一个是上述两者相互作用所共同产生的一种作用。风险事件往往会引起公众心理方面的变化,事件突发会引发恐慌现象,但是公众心理的变化情况并不是非理性和无控制的,产生心理变化主要是根据这个事件是否与自身的利益相挂钩。因此,有效的处理好公众的情绪问题与准确科学的处理风险数据是同等重要的。在了解了公众的风险感知与制定有针对性的方案和处理好风险的物理性危害同等重要。

二、企业风险管理中的风险沟通体系

(一)企业内部风险沟通体系

首先,企业风险沟通需要对企业的经营和生产过程中各种风险进行全面的感知。根据本企业的风险管理程序,对企业的风险进行识别和评估,但是这种风险评估和传统意义上的评估是完全不相同的,尽管在对企业的风险识别过程中,面临的风险是一致的,但是传统的分先识别和评估主要是在掌握和了解了风险的类型和严重程度之后所进行的,而风险沟通中所需要了解的这些风险主要是了解这些风险信息在传递过程中是否及时给企业带来的影响。也就是说,在风险沟通过程中,其关注的重点是信息传递后所带来的后果,因此,在沟通中的风险感知应该注意定位角度,找准对象,应用到具体的企业,企业的结构组织、员工的专业素质、信息系统的完善与否、管理者的态度以及企业的文化等因素都是影响风险信息传递的重要因素,任何一方面的存在问题,都会对信息的传递产生负面影响,这就要求企业在进行风险管理过程中,对每一个影响因素尽可能的掌握和了解,并对可能出现的各种问题进行提前预测和处理,实时关注沟通渠道的通畅,全面感知企业的异常情况,为企业内部风险沟通体系的建立奠定基础。其次,建立企业内部参与者之间的伙伴关系是体系建设的关键。对于企业风险管理的所有参与者而言,对企业面临的不同风险有着自己不同的观点和看法。由于工作岗位、专业知识以及责任的不同,导致了不同的参与者对风险管理的理解和侧重的角度有所差异。对于企业的管理者来说,其侧重的风险意识主要是企业面临的总体风险;而对于每一个部门来说,更关心企业风险是否会给本部门带来影响;而落实到每一个员工的身上之后,他们主要关心的风险是与自己切身利益相关联的风险。所以,从不同的出发点出发,侧重的风险类型是一样的。因此,企业风险管理过程中要充分的认识到这种差异性的原因和背后隐藏的含义,在沟通过程中要及时采取措施,创造一个开放、公平的沟通平台,才能够让企业所有的参与者都能积极主动的参与到风险管理中来,这样做的好处是既可以发现企业面临的各种风险,同时还能够实现各种风险信息的快速传递,有利于企业风险管理的良性动态循环。最后,在企业风险管理中实行真正的双向沟通模式。双向沟通模式是企业风险沟通的重要手段和工作,在这里之所以说双向沟通模式是一种工具,是因为它所依托的主要是彼此之间的信任和良好的伙伴关系。只有这两个因素在沟通过程中真正做到位,才能真正的实现双向沟通,这个模式才能执行,否则这个模式只是停留在口头上。在企业风险沟通机制建设过程中,双向沟通模式受到多方面因素的影响,例如:管理者的态度、企业文化、职工的专业素质等,一旦处理不好这些因素,都会对双向沟通模式产生重要的影响。因此,在实现双向沟通模式的过程中,一定要及时处理好各种影响因素,保证双向沟通模式的顺利开展,同时在实现过程中还需要结合本企业的实际情况,灵活的进行调整,这样才能达到风险沟通的目的。

(二)企业外部风险沟通体系

对于企业外部风险沟通体系,信任问题是首先要解决的问题。企业在经营过程中,最终目的是为了实现经济效益最大化,而外部利益的参与者也是抱着同样的目的来进行合作的,双方在追求利益最大化的过程中必然会产生矛盾,矛盾产生的主要原因就是在于彼此的不信任。双方在合作过程中,都想获得对方足够的信息,而这种行为在经济活动中存在着严重的信息不对称的现象,也就是说外部利益的相关者无法完全获得企业内部的信息,而企业也无法获取外部的信息,双方都处在这种信息不对称的环境中,都封闭了自己的信息试图获取另一方的信息,这就形成了双方之间的堤防,相互之间的不信任。这就要求企业在外部风险沟通体系建设中,首先应该重点解决与外部利益相关者相互信任的问题。企业在经营过程中,追求经济效益最大化本身没有问题,但是要注意的是在法律规定的范围内追求自身的经济效益最大化,要采用合理的手段获取。尽管信息不对称现象是一种必然的现象,但企业在与外部利益相关者合作过程中,应该在不违反本企业商业机密的基础上,尽量多的向外部公开信息,以开放的姿态获取外部企业的信任。同时,企业还应该注重维护本企业的声誉和形象,以诚实守信的态度与外部企业开展合作,在外部利益相关者心理建立起坚实的信任基础。一旦这种基础建立之后,上述企业将内部风险沟通机制就能全面盘活,同时,在采取了相应的措施之后,以更高的效率与外部利益相关者进行风险沟通。就全面的风险感知来说,企业通过建立良好的信任关系之后,就需要积极主动地获取外部企业的风险因素,快速分析企业面临的各种风险,为企业风险管理赢取时间。信任是相互的,外部企业在收集本企业的相关信息时,企业应该以平等的心态对待外部企业的这种行为,以一种和谐的方式实现双方的和谐发展,从而能够很好的在本企业内部实现双向的风险沟通模式,缩小因为信息不对称而带来的各种沟通障碍,使企业能够更好的进行风险管理和沟通。

三、结语