企业风险管理要素范文

时间:2023-09-07 17:58:16

导语:如何才能写好一篇企业风险管理要素,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业风险管理要素

篇1

[关键词]供电企业; 全面风险管理; 广义安全

随着我国市场经济体制的不断完善,对于供电企业,机遇与挑战并存。一方面,企业面临着经济平稳较快增长、产业结构逐步调整、用电需求总体扩大、电力技术持续创新等有利于企业发展的新机遇;另一方面,企业也面临着煤价上涨、上网电价提高、电力市场竞争加剧、输配电价空间狭小、终端销售电价无利上涨等外部经营环境的新变化。

如何适应环境的变化、提高抗风险能力,成为摆在供电企业管理者面前的一个现实而严峻的问题。2006年6月6日,国务院国有资产监督管理委员会了《中央企业全面风险管理指引》(以下简称《指引》)。《指引》对中央企业如何开展全面风险管理工作提出了明确要求。为建设技术先进、运作高效、风险在控、管理科学的现代电网企业,更好履行社会责任,竞争中立于不败之地,供电企业必须构建全面风险管理体系。本文将在分析供电企业风险管理现状的基础上,探讨建立供电企业全面风险管理体系的必要性,提出构建基于广义安全以五要素为核心的供电企业全面风险管理体系。

一、供电企业风险管理现状分析

笔者通过对供电企业风险管理现状的大量调查分析,发现供电企业现阶段风险管理主要存在如下问题,制约着企业的可持续发展。

1.企业风险管理多为事后控制,缺乏主动性

供电企业现有风险管理多为事后控制,对风险缺乏系统的、定期评估,缺少积极的、主动的风险管理机制,不能从根本上防范重大风险以及其所带来的损失。

2.重视具体风险的管理,缺乏风险管理整体策略

已实施风险管理的供电企业中,有很大一部分企业更多地将精力投入到具体风险管理中,对企业风险组合与风险的相互关系缺乏系统的、整体的考虑,从而导致风险管理资源分配不均,影响企业整体风险管理的效率和效果。

3.尚未形成风险信息标准和传送渠道,风险管理缺乏充分的信息支持

现阶段,多数供电企业内部缺乏对于风险信息的统一认识,风险信息的传递尚未有效的协调和统一。对于具体风险,由于缺乏量化和信息化的数据支持,企业决策的效率和效果受到影响。

4.风险管理职责不清

大部分供电企业现有的风险管理职能、职责存在于各个部门和岗位之中。一方面,企业缺乏明确且针对不同层面的风险管理的职能描述和职责要求;另一方面,企业考核和激励机制中尚未明确提出风险管理的内容,导致缺乏保障风险管理顺利运行的职能架构。

鉴于风险管理的全面性、复杂性和技术性,供电企业想要解决上述问题,实现依法经营、科学决策,保证自身可持续发展,就需要改变企业管理理念,构建全面风险管理体系。

二、供电企业构建全面风险管理体系的意义

1.实现企业经营责任与社会责任的统一

供电企业通过构建全面风险管理体系,可实现企业经营责任和社会责任的统一。供电企业资源配置将得到优化,经济快速增长对电力的需求将得到满足、电力安全可靠供应将得到一定程度的保障。

2.确保供电企业的经营效益的提高

(1)达到与企业整体经营战略相结合的风险最优化

全面风险管理把风险管理纳入供电企业战略执行的层面之上,将企业成长与风险相联,设置与企业成长及回报目标相一致的风险承受度,从而使供电企业将战略目标的波动控制在一定的范围内,支持企业战略目标实现并随时调整战略目标,保障企业稳健经营。

(2)标本兼治,从根本上提高企业风险管理水平

全面风险管理体系帮助供电企业建立动态的自我运行、自我完善、自我提升的风险管理平台,形成风险管理长效机制,保证企业风险可控、在控、能控,从根本上提升供电企业风险管理水平。

(3)避免企业重大损失

通过对供电企业重大风险的量化评估和实时监控,全面风险管理体系帮助企业建立重大风险评估,重大事件应对,重大决策制定,重大信息报告和披露以及重大流程内部控制的机制,从根本上避免供电企业遭受重大损失。

3.促进经济效益的提高,降低各种风险成本

实施全面风险管理,能够有效防范和应对资金管理风险、资产安全风险、税收管理风险、财务监管风险、电费回收风险等,提高供电企业的经济效益。

首先,供电企业预算控制将更加严格、资金集中率和利用效率会得到提高,企业收入受损失或资金被不当支付形成账外资金等风险大幅减少。其次,供电企业的资产管理将更加规范,账务记录更新及时,与财务同步,财务报表准确性得到提高,规避企业损失。再次,财务监管手段将更加有力,收入确认将更加及时、正确、完整,成本支出、资产价值将得到真实、准确反映,人员利用管理漏洞或工作疏忽给企业造成损失的现象将减少。 另外,在电费收入方面,可有效管控抄表质量不到位、电费回收不及时,预存电费或抵押担保风险防控措施不到位等电费资金损失风险,电费回收率将大幅提高。

三、供电企业基于广义安全的全面风险管理体系构建

1.持续开展风险教育培训,树立全员风险意识,营造风险文化氛围

供电企业的风险是一种“广义安全风险”,它不仅与生产安全相关,还涉及企业经营管理的各个方面,企业应将风险进行层次划分(如表1所示)。由于风险的全面性、广泛性,供电企业的风险管理必须是一个群策群力的过程,企业全员风险意识的树立至关重要。

表 1 供电企业广义安全风险

Table 1 The Broad Security Risks of Power Supply Enterprise

供电企业应结合岗位职责,分层次集中开展风险教育培训,并使其常态化。领导层侧重风险管理知识和有关制度培训学习,提高风险管理责任意识和组织能力;管理层侧重于《供电企业风险点识别和防范手册》及其使用方法的培训;执行层侧重于风险意识和现场风险辨识能力的培训。通过培训,使各级人员增强对风险管理的作用和意义的理解,掌握风险辨识内容、要点和控制方法。

另外,供电企业应将风险管理文化建设融入企业文化建设的全过程。企业可运用集中培训、会议交流、内部网页、问题解答、电话热线、信息简报等形式多样的宣贯方法,举办“企业风险月”、“风险大讨论”以及风险管理方面的知识竞赛和技能比赛等各种形式的活动,使职工在思想上、组织上、行动上达成共识。

2.制订全面风险管理规划

供电企业应在全面建设“一强三优”电网企业的总体目标指导下,制订全面风险管理规划,对企业全面风险管理工作实施部署。全面风险管理规划应按照“整体设计、分步实施;突出重点、务求实效;借助外脑、全员参加”的原则,分阶段、有重点地循序推进。

第一,构建一个有利于风险管理的公司治理结构,可根据实际情况,成立风险管理委员会,提供组织保障。第二,按照《指引》并结合企业实际,进行流程再造,将全面风险管理要求融入到企业管理决策和业务程序之中,并将社会责任、风险管理职责的要求和风险授权通过工作标准落实到每个职工的实际行动中,初步完成全面风险管理体系框架的搭建。第三,推动全面风险管理信息系统开发和上线,提供科学地建设风险管理系统的实施和推行步骤。供电企业可以以年为一个周期循环,实现一次管理创新。全面风险管理信息系统先期开发、同步实施、模块组合、循环上升,科学推进企业全面风险管理不断向深入发展。第四,供电企业应形成持续改进机制,使风险管理常态化。企业应定期检查评价并对风险进行再描述,提出风险管理改进建议。第五,企业应通过知识转移及变革管理,推动风险管理意识在企业文化中的渗透。

3.建立以“5A+2C”为核心的供电企业全面风险管理体系

根据COSO《内部控制整合框架》报告、《指引》及风险管理相关理论,结合供电企业行业特征及风险管理现状,笔者认为供电企业应将全面风险管理视为一个长期的持续改进的管理过程。基于此,笔者提出了“5A+2C”全面风险管理体系。该体系增加了强大的策动力和资源配置以及授权要求,提供了科学地建设风险管理系统的实施和推行步骤,以全面风险管理为导向,涵盖全面,操作精细,形成了可持续发展的管理模式,实现了一次管理创新。

(1)“5A+2C”体系总体结构

“5A+2C”体系中,“5A”,系供电企业构建风险管理体系的五大要素,即目标设定(Aim)、风险识别(Acknowledgement)、风险评估(Assessment)、风险预警(Alarm)和风险应对(Answer),各要素贯穿在企业风险管理过程之中。“2C”,系全面风险管理“5A”有效实施的保障,即信息沟通(Communication)及监控(Control)。“5A”、“2C”既相互独立又相互联系,形成一个有机统一体。

(2)组织责任体系保障

供电企业应明确每个业务流程对应的权责,建立逐级承诺、逐级声明和问责到底的管理机制,形成循环责任传导体系。随着风险管理工作的逐步落实,供电企业还应强化责任意识,形成纵向到底、横向到边的横、纵向网状监督和管控。管理层负领导责任,对主要风险确定责任人,具体风险责任落实到各职能部门和业务单位,对任何违反风险管理相关政策的组织和个人,给予追究和处罚。

5.建立风险管理信息系统,确保2C功能实施,实现管理动态化

(1)“2C”(信息和沟通、监控)功能概述

供电企业应识别和记录那些有关企业管理的内外部事项的信息,并将这些信息以适当的方式在规定的期限内传达给员工,以实施企业风险管理和其他任务。通过在组织内上、下级之间信息传递,能够产生有效的沟通。供电企业应建立一种向上反馈重要信息的沟通方式,并且在对外方面也建立有效的沟通。

监控是对供电企业风险管理现状和各组成部分绩效进行评价和控制的过程。企业通过持续监控和个别评价以及两者的结合来实现监控。持续监控是对日常的管理活动采取的,个别评价则主要是根据评估风险的性质和程度,以及持续监控过程的效率来确立。

(2)建立风险信息管理系统

鉴于风险管理的全面性、复杂性和技术性,传统的依靠人力推动和运作方式进行管理创新的方法已经不能满足推行全面风险管理的要求。因此,供电企业必须将信息技术应用于全面风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统。该系统能够确保“2C”功能(信息沟通和监控)发挥,确保管理动态化,确保“5A”要素通过信息系统固化和展示,确保日常运作的有效性。风险管理信息系统功能模块如下图所示。

(3)实现动态优化管理

供电企业的风险动态管理可通过以下方式实施。首先,供电企业可通过风险识别、风险评估流程,按照风险分类,向相应风险管理层级进行动态展示。其次,供电企业应对风险事件库、风险知识库、稽核规则库等固有信息进行定期更新,以确保相关内容符合内外部环境的变化和要求。对于不再适应企业风险管理需求的信息,应当及时进行调整和更新。最后,供电企业应加快推动风险管理系统的开发上线,进一步实现与供电企业数据中心对接,自动、实时地从数据中心提取数据。

6.建立全面风险管理制度保障体系

供电企业应着手建立诸如《沟通访谈管理办法》、《风险信息管理办法》、《风险知识技能培训管理办法》、《文档管理办法》、《问责管理办法》等规定,同时制订严密的风险管理工作自查制度、风险指令制度、周例会制度、风险控制和应急反应制度、风险监督评价制度、风险工作评估制度、风险要素更新制度、文档复核制度等各类制度。供电企业在全面风险管理体系的构建过程中,可根据各阶段工作任务的不同情况,制订推广手册、测试手册作为工作指引,指导各级风险管理工作的开展。良好的制度保障,使得上传与下达、协调与沟通及时,有效地促进风险管理建设推进。

四、结束语

供电企业通过建立基于广义安全的全面风险管理体系,一方面可实现企业经营责任和社会责任的统一,另一方面可确保供电企业的经营效益和经济效益的提高,从而增强供电企业的免疫力、应变力和竞争力,为建设“高效电网、坚强电网、诚信电网、绿色电网、责任电网、服务保障电网”提供强有力的保障。

篇2

关键词:企业风险管理理论中央企业本土化

本世纪初以来,以不确定性为基本研究对象的企业风险管理(EnterpriseRiskManagement,ERM)理论逐渐进入我国实业界和研究者的视野。2006年6月,国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该《指引》的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。

一、企业风险管理理论概要及在我国的规范化实施

1.企业风险管理(ERM)理论的一般框架。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO)在2004年9月提出的,标志文书是《企业风险管理——整合框架》(EnterpriseRiskManagementIntegratedFramework,下称《整合框架》),这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。COSO认为,企业风险管理是经由企业当局广泛参与,对企业面临的不确定性进行多要点掌控,以实现组织目标的过程。

《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部环境、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的ERM框架是通过对不确定性的管理增加股东价值,以共同的语言和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。

2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威指导文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、财务风险、市场风险、运营风险、法律风险等。

《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。二、企业风险管理理论本土化过程中应注意的问题

1.找到切合实际的本土化切入点

一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析总结的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。

2.建立起具有可操作组织规范

企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的药方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。

3.培育良好的气氛和合格主体

一般讲,一个良好的适合于特定企业的ERM氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与企业战略有机联系;二是能够保证企业的风险管理战略、企业的发展战略与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险语言,和畅通的沟通管道。任何一个ERM框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。

参考文献:

[1]滕青:我国企业风险管理框架构建[J].经济管理,2007,(3):45~48

篇3

【关键词】企业风险管理框架 风险偏好 风险容忍度 风险组合

全美反虚假财务报告委员会下设的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission,COSO)从 2001年起就致力于企业风险管理框架的研究,并于2004年了《企业风险管理框架》。过去10年间,风险的复杂程度不断加大,出现了一些新的风险,COSO对企业风险管理有了新的认识,2016年了题为《企业风险管理――协调风险、战略以及业绩》(以下称新版RMF框架)的征求意见稿。本文对《新版RMF框架》进行分析解读,以期为理解《风险管理框架――协调风险、战略以及业绩》及开展风险管理研究,提供借鉴与参考。

一、COSO风险管理框架演进^程

(一)从《内部控制整合框架》到《企业风险管理框架》

1985年,由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合成立了反虚假财务报告委员会,目的在于探讨财务报告中舞弊产生的原因及其解决方法。1987年,该委员会的赞助机构成立了COSO委员会,致力于研究内部控制方面的问题。1992年,COSO委员会了著名的COSO报告――《内部控制整合框架》,并于1994年对该报告进行了增补。该框架自以来,在全球得到了广泛认可和应用,理论界和实务界不断对其提出改进建议,强调内部控制整合框架应与企业风险管理相结合。

COSO委员会从2001年开始致力于企业风险管理方面的研究,并于2004年颁布了《企业风险管理框架》(Enterprise Risk Management Framework,ERM),为企业风险管理提供了理论框架和应用指南。相对于内部控制整合框架,2004年的《企业风险管理框架》新增加了(风险组合观)、一个目标(战略目标)、两个概念(风险偏好和风险容忍度)和三个要素(目标制定、事项识别和风险反应),强调内部控制是企业风险管理必不可少的一部分,风险管理框架的范围比内部控制框架的范围更广泛,是对内部控制框架的扩展。

(二)从《企业风险管理框架》到《企业风险管理――协调风险、战略以及业绩》

自2004版《企业风险管理框架》以来,实施该框架的企业面临各种问题:一是美国上市企业不得不全力以赴应对《萨班斯法案》的合规工作;二是企业风险管理的实施范围往往并不面向整个组织机构,并且很少被运用到战略制定中;三是COSO在编制框架时采用了类似于内部控制框架所使用的“立方体”结构,许多企业试图在过于细微的层面实施该框架;四是许多组织机构将企业风险管理作为保证活动来实施,而不是将其视为更佳的企业管理方式,如运用于流程层面而非战略制定层面,企业风险管理的实施活动也因此陷于细节的泥潭,令许多高管很快失去兴趣;五是2008年金融危机所引发的经济大萧条,令许多企业进入危机应对模式,企业风险管理的实施也因此受到影响。因此,企业风险管理框架在早些年并未被广泛接受和应用。

正是由于金融危机带来的惨痛教训,企业高管逐渐意识到有效风险管理的重要性,从而引起整个企业对有关风险事项的关注和重视。人们开始对风险管理框架做出更明晰阐释的呼声日渐高涨。自2014 年起,COSO启动了修订项目,对2004年的《企业风险管理框架》进行修订,并于2016年了题为《企业风险管理――协调风险、战略以及业绩》征求意见稿。征求意见稿中重新定义了风险,放弃了原框架中的“立方体”结构,改为惯用的要素和原则结构,重点关注如何使企业风险管理在组织机构内行之有效。

二、新版《企业风险管理框架》变化

(一)采用了要素和原则结构

COSO的旧版ERM框架是从内部控制框架演变而来的,采用的是“立方体”结构,包括4个目标(合规、报告、经营、战略)、4个层级(总部、分部、业务单位、附属机构)、8个要素(内部环境、目标设置、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控)。

新版ERM采用了要素和原则结构,包括5个要素和23条原则,其主要结构如下表所示。

新版ERM采用了要素和原则结构,设置了5个要素与相应的原则间的对应关系,是整个文件的目录,从而增强了企业风险管理框架可读性、有用性和内在一致性。

(二)简化了企业风险管理的定义

1.关于风险的定义

COSO旧版ERM框架中没有对风险提出明确的定义,但是将风险清楚地描述为:“事件可能会带来负面的影响,也可能会带来正面的影响,抑或二者兼而有之。带来负面影响的事件代表风险,会妨碍价值创造或破坏现有价值。带来正面影响的事件可能会抵消负面影响,或者说代表机会。”可以看出,旧版ERM认为风险是纯粹负面的,这种认识显然无法满足风险管理应用于决策过程的需要。

新版ERM框架将风险定义为:“风险――影响战略和经营目标实现的事项发生的可能性。”从定义中可以看出,新版ERM框架没有明确风险是负面的还是双向性的。结合新版ERM框架的整体内容看,新版ERM框架中风险的定义是双向性的。

2.关于企业风险管理的定义

COSO旧版ERM框架中对企业风险管理的定义为:“企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制订和企业的各个部门以及各项经营活动,用于确认可能影响企业的事项并在其风险偏好范围内管理风险,对企业目标的实现提供合理保证。”

新版ERM框架中将企业风险管理定义为:“全面风险管理――组织在创造、维护和实现价值的过程中,进行风险管理所赖以依靠的、与战略和执行紧密结合的文化、能力和实践。”相比之下,新版ERM框架不只是过程,还包括文化、能力和实践,不仅保障价值不被侵蚀,更突出价值创造。

(三)强调风险和价值间的关系

旧版ERM框架关注的重点是避免价值受到侵蚀,将风险最小化至可接受的水平。新版ERM框架强调了风险管理在创造、保留和实现价值过程中的重要作用,应将风险管理视作企业在制定战略和识别机会,从而创造和保持价值过程中不可或缺的一部分。风险管理不再是简单地将风险水平控制在目标水平之下,而是动态地贯穿于企业价值链的全过程,成为企业价值管理中不可缺少的一部分。

(四)重申ERM的整体性

新版ERM框架强调了组织运营中所有层面风险管理的整体性,将风险管理框架整合到企业战略制定、经营目标制定及战略和目标的执行中。新版ERM框架鼓励使用者将风险管理视为其组织管理的有机组成部分,而不是附加的或独立的活动。通过支撑企业的运营、管理业绩从而最终为企业创造、实现和保留价值,企业风险管理的重要作用得以发挥。如新版ERM框架没有涉及风险报告,而是强调报告风险对组织业绩、战略和经营目标实现所产生的潜在或实际影响。

(五)审视了文化的作用

文化在企业风险管理中的重要作用,被引入到新的ERM框架中。风险治理明确了组织的基调,而文化包含了组织的道德价值、期望行为及对风险的理解。文化与业务环境之间的关系反映了战略的选择和执行方式。在对企业风险进行监控的同时,需要研究如何塑造企业文化,并且要关注文化对其他风险管理要素的影响。如新版ERM框架在一开始就明确了文化和业务环境之间的关系,这种关系影响到企业战略的选择和执行。更重要的是,这种关系为风险的识别、评价以及针对风险如何分配资源,提供了环境。

(六)加强了对风险和战略的讨论

新版ERM框架认识到:当企业的战略选择与企业的使命、愿景、核心价值不协调时,企业可能会发生重大失败。即使企业的战略选择与其使命、愿景、核心价值相协调,许多企业也没有意识到战略选择对风险组合的重要性。有些企I甚至没有意识到业务层面的细微失败,从而使其上升到了整体层面,威胁到了企业的长期生存。

与旧版ERM框架相比,新版ERM框架提升和扩展了对风险和战略的讨论,主要关注以下三方面:一是战略和经营目标、组织使命、愿景和价值不匹配的可能性;二是风险对已选战略的影响;三是战略执行中的风险。通过区分风险对战略影响的三种可能表现形式,新版ERM框架对风险管理的重要性进行了更详细的分析。

(七)提升了业绩与风险管理的一致性

新版ERM框架强调了组织风险和其业绩之间的关系。风险如何作为企业确定其经营目标和业绩目标的重要组成部分,新版ERM框架主要关注以下方面:一是企业风险管理实践支撑企业风险的识别和评估,企业的风险识别和评估可能会影响业绩目标选择;二是通过确定可接受的绩效偏差,新版ERM框架的使用者能够理解业绩的变化如何影响经营目标中风险组合的变化,反之亦然;三是新版ERM框架强调风险评估和风险报告并不是为了生成风险清单,而是为了强调风险对战略和经营目标实现产生的影响。

为了强调风险管理和组织业绩间的重要关系,新版ERM框架引入了“风险组合”图,该图用以描述既定战略和经营目标下,风险类型和风险程度对组织经营业绩变化的影响。此外,新版ERM框架还考虑了企业的风险偏好,指出风险偏好型企业可以寻求更多机遇。通过引入风险偏好、业绩、风险容忍度概念,风险组合图中对风险提供了动态、全面的视图,便于企业在衡量风险中做出更明智的决策选择。

(八)将企业风险管理明确地链接到决策过程中

企业价值链的每个环节,都会涉及决策问题。由于企业要寻求创造,实现和保留价值,决策便涉及战略选择、经营目标和业绩目标的设定及资源的分配。将风险管理的思想整合到企业的整个生命周期中,有助于企业带有风险意识地做出决策。

新版ERM框架逐步探究了与风险组合相关的信息如何加强了整体决策。包括对风险程度和风险类型的理解,经营环境的影响,对识别和评估风险所基于假设的理解,以及企业的风险文化和风险偏好。

(九)描述了企业风险管理与内部控制的关系

为了反映技术和商业环境的变化,COSO在2013年更新了内部控制框架,涵盖5大单元和17项原则。新版ERM框架将不会取代这个内部控制文件。这两个框架虽然是分开设计,但内容相互补充。为避免重复,两个报告中内部控制相同的方面没有在新版ERM框架中重复描述,如控制活动。但内部控制整合框架中有关风险管理的监管内容,在新版ERM框架中作了进一步讨论。

(十)完善了风险偏好和风险容忍度的定义

新版ERM框架完善了风险偏好和可接受的绩效偏差(通常称为风险容忍度)的概念。风险偏好仍然被定义为,企业在追求战略和业务目标过程中愿意承受的风险量。而风险容忍度不再是风险偏好的细化指标,要与业绩水平相联系。在风险组合图中,风险偏好与业绩线的垂直交叉面表示风险容忍度。新版ERM框架在定义风险容忍度时,关注的是在业绩水平给定的情况下,确定可接受的风险量。在特定的业绩水平范围内,组织能够清楚地界定可接受风险的范围。这使组织能够更好地评价业绩水平的变化,是否仍然保持在风险容忍度范围内。组织在评价风险和业绩时,不应将风险和业绩看作静态和相互独立的,而应该是不断变化和相互影响的。

三、结论与展望

新版ERM框架的标题暗示了风险与战略以及企业绩效间日益重要的关系。新框架公开征集意见工作现已结束,最终版本将于2017年正式公布。期望新版ERM框架可以实现COSO所预期,能够被更广泛、更有效地运用到企业的经营和决策中。

篇4

(一)我国内部控制发展阶段

我国内部控制研究起步较晚,是随着审计事业的发展逐渐发展起来的,直到20世纪80年代,学术界才开始了这一领域的探索和研究。随着内部控制理论研究的不断深入,研究人员从站在审计的角度来讨论内部控制的作用与建设,发展到站在企业的角度来讨论其对风险防范和规避的作用。

(二)现代风险管理的重要意义

1、提高决策的科学性。现代企业风险管理以风险为核心,将控制由事中及事后延伸到事前并且自上而下地围绕着风险,体现出全方位的控制思维。在此基础上,开发出一系列针对风险的方法,基于对不确定性能有较准确的判断,保证决策的科学性。

2、注重人的能动性。我国内部控制提供的大多是一些政策手册和表格,管理的理念不是发挥全体工作人员的能动性,而是把他们管住、管牢,员工之间相互推诿、职责不清。现代企业风险管理提出要更加重视人的因素,以增强风险管理的自觉性。

3、强调执行的关键性。现代企业风险管理强调通过控制活动的设置,建立独立的监督部门来保证制度实施的可行性。控制活动在整个组织的各个层次和各种活动中都发生,而监督则指整个风险管理过程均应被监督,且在必要时对所发现的偏离进行必要的修正。

二、企业风险管理框架内容

(一)企业风险管理框架概述

COSO委员会(Committee of Sponsoring Organization of the Treadway Committee,美国虚假财务报告全国委员会的发起组织委员会),于1992年9月提出了报告《内部控制――整体框架》(1994年进行了增补)。2004年9月COSO又提出了《企业风险管理――整合框架》(Enterprise Risk Management-Integrated Framework,简称ERM-IF)。

1、企业风险管理的定义。在COSO报告中,其定义为:企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。

2、企业风险管理的目标。COSO报告中,提及的目标共有四类:战略目标,是高层次的目标,与使命相关联并支撑其使命;经营目标,指有效和高效率地利用其资源;报告目标,指报告的可靠性;合规目标,指符合适用的法律和法规。

3、企业风险管理的要素。(1)内部环境,包含组织的基调,为主体内的人员如何认识和对待风险设定了基础。内部控制一般包含风险管理理念及诚信与道德价值观。(2)目标设定,必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序设定适当的目标,并与其风险容量相符。(3)事项识别,必须识别影响主体目标实现的内部和外部事项,区分风险和机会。(4)风险评估,通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。(5)风险应对,管理当局应选择合适的风险应对,以便把风险控制在主体的风险容限和风险容量以内。(6)控制活动,制订和执行政策与程序以帮助确保风险应对得以有效实施。(7)信息与沟通,相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。(8)监控,对企业风险管理进行全面监控,必要时加以修正。

(二)企业风险管理框架的理论突破

1、增加一个主要目标。《企业风险管理整体框架》较《内部控制整合框架》多提出了一个战略目标,战略目标属高层次目标,它与企业的使命相关联并支撑着企业的使命。

2、提出两个创新概念。企业风险管理框架引入了风险容量、风险容限等创新概念,风险容量及风险容限是目标设定的前提。风险容量是一个主体在谋求价值及其增值过程中所愿意承担的广泛意义上的风险数量。风险容限与主体的目标相关,是相对于实现一项具体目标而言的可以接受的偏离程度,在确定各目标的风险容限时,企业应考虑相关目标的重要性,并将其与企业风险容量相协调。

3、扩展三个基本要素。企业风险管理拓展了内部控制的风险评估要素,将该要素拓展为目标设定、事项识别、风险评估以及风险应对等四个要素。在事项识别要素上,两者的区别主要体现为内部控制没有将事项划分为机会与风险,而风险管理把对战略执行或目标实现有着正面影响的称为机会,有负面影响的才定为风险。在风险评估要素上,两者的区别主要在于风险管理透过一个更加敏锐的视角来观察风险评估,鼓励从固有风险和剩余风险的角度,采用与该风险相关目标相同的计量单位来表述风险。在风险应对要素上,两者的主要差别则是企业风险管理可以使管理当局考虑潜在的风险应对策略,并测定剩余风险水平是否与主体的风险容限相协调。

三、我国企业风险管理存在的问题

(一)风险管理意识淡薄

风险管理理念没有到位,企业之间风险管理开展得不平衡。风险管理作为一种管理职能基本上还没有融入我国企业管理中,企业经营基本上还是财务型控制被动经营,企业发展的总体决策在相当程度上缺乏企业管理理念。企业风险管理技术水平低,风险评估、信用等级评定缺乏有效的评定标准,风险控制和风险融资的方式相当有限。

(二)关注的全面性不足

在企业业务发展导向上,注重规模和速度,强调业务增长量,忽视企业发展的实质。大部分企业出于自身所处环境的需要和市场运作实践中吸取的经验教训,只针对即将面临的风险采取应对措施,而这些措施往往又是临时性的、局部性的,相互间缺乏有机的联系,很少从经济全球化的视角,从科学发展观的高度,以企业持续发展的战略目标,全面考虑构建符合现代企业要求的风险管理机制。

(三)缺乏有效的信息系统

各类风险数据、损失数据是企业经营管理的数理基础,在相当程度上也可以说,企业可通过扩充这类资源,提高企业的经营水平和展业范围。因此,在理论和实践中都要求我国各类企业建立一个完整的信息系统对这类资源进行保护、开发和利用。缺乏这类基础数据的支持,将导致企业的经营决策缺乏合理的依据。

四、加强我国企业风险管理的对策分析

(一)强化公司治理与信用体系

造成风险管理缺位与虚位的信用失范,在于外部原因的信用体系问题;造成风险管理缺位与虚位的治理失当,在于内部原因的公司治理问题。完善的公司治理与健全的信用体系可以确保有效的风险管理,这就是风险管理与信用体系、公司治理的良性互动。实现三者之间的良性互动,必须有法制化的制度加以保障。当出现信用失范、治理失当以及互动失调导致风险失控时,维护市场的公平与效率和保护当事人权益的重要措施就是破产清算制度,必要措施就是信息透明制度。

(二)加快风险管理信息化进程

1、扩大信息源。除了与本企业生产经营直接有关的商品市场信息以外,还要注意收集一些与其相关的金融市场、资本市场以及能源市场的动态信息,努力避免疏漏而影响综合分析的能力。

2、提高信息的解读能力。善于从众多的信息中去伪存真,举一反三,捕捉信息中的风险征兆,从而发现风险的起因、走向和力度,以及发现可能给本企业造成的影响,为应对风险决策提供可靠根据。

3、建立风险预警系统。开辟风险信息快捷上报通道,使管理当局及早掌握风险信息,研究应对策略并组织实施,减轻可能造成的不良后果。

(三)构建全新的组织体系原则

1、建立全面风险管理原则,并采用风险组合管理方式,使风险管理的目标和要求渗透到企业的各项业务过程和各个操作环节。

篇5

[关键词] 企业 风险管理 策略

风险管理就是通过风险识别、风险评估以及风险管理方案的实施,实现风险成本最小化和企业利润最大化的管理过程。风险管理是在达成既定目标的前提下,最小化存在于企业财务管理环节的风险,或把风险控制在企业可以接受的范围内。风险是指在特定的客观情况下,在特定的时期内,未来事件的预期结果和实际结果发生偏离的可能性。从风险规避的角度看,风险一般是指损失的机会或可能性。

一、风险的概念及分类

由各类风险因素的未来不确定性所引起的可能的亏损,将导致资产价值减少与负债价值增加的可能性称为企业风险。

企业风险分为:市场风险、信用风险和经营风险三类。市场风险是指由市场风险因素的变动所引起的资产价值的减少或负债价值的增加的风险。信用(违约)风险是指交易的某一方失去支付能力导致另一方的损失的产生。经营风险:是指除市场风险与信用风险外的其它风险,通常与企业经营有关的特殊风险。

二、企业风险管理的意义

由于各种不确定因素的存在,企业的经营活动难免存在各种各样的风险,企业必须而且只有及时采取必要的措施对风险进行控制,才能避免或降低风险给企业带来的损失,从而确保企业经营目标的实现。因此,有效的风险管理对企业来说具有重要的意义。

1.有利于企业在面对风险时做出正确的决策,提高企业应对能力。在经济日益全球化的今天,企业所面临的环境越来越复杂,不确定因素越来越多,科学决策的难度大大增加,企业只有建立起有效的风险管理机制,实施有效的风险管理,才能在变幻莫测的市场环境中做出正确的决策。

2.有利于企业经营目标的实现,增强企业经济效益。企业经营活动的目标是追求股东价值最大化、利润最大化,但在实现这一目标的过程中,难免会遇到各种各样的不确定性因素的影响,从而影响到企业经营活动目标的实现。因此,企业有必要进行风险管理,化解各种不利因素的影响,以保证企业经营目标的实现。

3.有利于促进整个国民经济的健康发展。企业是国民经济的基础,企业的兴衰与国民经济的发展息息相关。因此通过实施有效的风险管理,降低企业的各种风险,提高企业应对风险的能力和市场竞争能力,以企业的健康发展促进整个国民经济的良性发展。

三、企业风险管理策略

1.明确企业风险管理目标,建立有效的监督体系。企业风险管理整体框架是建立在明确的企业监督框架和适当的人员责任分配基础之上的,其目标是使风险成为企业文化的内在有机组成部分。企业风险管理一定要和企业的技术及战略管理相结合,要在全企业范围内明确企业风险管理目标和计划,并将其与企业业务、战略及业绩目标结合起来,建立一个由全企业层次集体支持的风险管理过程。

2.探素和建立风险评估体系。企业风险管理更加关注风险,拓展了内部控制框架的风险评估要素,进一步细分为目标设定、事项识别、风险评估和风险对策等要素,通过风险评估将各要素紧密联系起来。而风险评估包括三个基本方面:一是技巧熟练的风险责任人;二是一套风险管理的共同语言;三是识别、分析、度量风险与机遇持续过程。要评估风险首先要识别风险,收集、分析并综合处理相关的内部及外部数据以便为企业提供可靠、及时的风险管理信息。了解影响企业经营业绩的关键性风险性质,分析产生风险的根本原因。建立风险参数与限制,权衡风险与收益,评估不同战略的风险,并最终选择应对风险的措施。这种风险评估体系一旦发展起来并投入实施,就逐步走向了企业风险管理。

3.建立切实有效的激励机制,激活企业的人力资源。现代企业的竞争就是人才的竞争,人才是生产力诸多要素中最主要、最活跃的因素,是企业最宝贵的财富之一,其数量、质量、结构在很大程度上决定着企业的成败兴衰。中小企业由于规模小,人才相对比较缺乏,而且由于发展空间有限,人才特别高素质的管理人才、技术骨干流失严重,因此,对于中小企业来说,建立切实有效的激励机制,激活企业的人力资源更有其必要性和紧迫性。通过激励机制充分激发员工的积极性、创造性,挖掘员工的潜能,把员工个人的发展与企业的发展紧紧地联系在一起。

4.塑造符合本企业特质的企业文化,增强全员风险意识。文化是明天的经济,企业文化是企业发展的人文力量,是确立以人为本,以价值观的塑造为核心的文化管理模式,通过文化来引导、调控和凝聚员工的积极性、创造性,使人的价值、自我实现和全面发展在企业管理中得到全面的发展,企业文化是企业可持续发展的力量源泉。我国的中小企业由于历史较短,且大多脱胎于个体私营企业,长期以来对于企业文化建设重视不够,投入不足,造成了人才难留的局面,因此,要塑造符合本企业特质的企业文化,通过文化环境的感染、诱导和约束等方式去激发员工的内在潜力,使创新成为企业发展源源不决的动力。同时在企业内部加强全员的风险意识,通过建立一种有效的知识获取、交流、传输、共享机制,降低企业因知识差异产生的风险。

总之,企业风险管理需要董事会、管理当局和全体员工的共同努力。企业风险管理需要人们长期持续探索并不断完善。虽然这项工作比较艰巨,但对于企业目标的实现、经营效率的提高、企业报告的可靠以及有关政策法规的执行都将是十分有益的。

参考文献:

[1]朱荣思贺欣:内部控制框架的新发展―企业风险管理框架[J].北京:审计研究,2003,(6).141

篇6

[关键词]风险导向内部审计风险管理

一、企业风险管理框架介绍

1.企业风险管理含义。美国COSO委员会的《企业风险管理框架》中对其定义:企业风险管理是一个过程,受企业的董事会、管理层和其他人员的影响,应用于企业的战略制定及各个方面,旨在确定影响企业的潜在重大事件,将企业的风险控制在可接受的程度内,从而为实现企业的目标提供合理保证。

2.企业风险管理框架。美国COSO委员会提出ERM框架主要由三个维度组成:第一维度是企业的目标,主要有四个,即战略目标、运营目标、报告目标和遵循目标;第二维度是全面风险管理要素,主要包括以下八要素:内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息和沟通、监督;第三维度是企业的各个层级,包括整个企业、各职能部门、各条业务线及下属各个子公司。企业风险管理三个维度的关系是:全面风险管理的八个要素都是为企业的四个目标服务的,企业的各个层级都要坚持服从企业的四个目标,每个层次都必须从八个方面进行风险管理。

二、以风险导向的内部审计

风险导向内部审计是指内部审计人员在审计全过程自始至终都要关注风险,根据风险度选择项目,以降低风险为导向,以对整个组织的风险进行评估与改善为最终目的的一种审计理念。其根本目标是通过将风险与企业目标的实现直接联系起来,为公司治理层及管理层提供有价值的服务,是企业进行风险管理的一种有效工具。

三、风险管理框架下实施风险导向内部审计的理性思考

1.树立动态理念

从COSO对风险管理的定义可以看出,风险管理渗透于企业经营活动全过程且反复相互影响,风险管理机制的运作是一个动态管理的过程,与经营管理活动交互存在。风险导向审计是将各项管理经营活动整合成一个完整、相互约束和自我改善的体系。它运用立体观察的理论来判断影响企业经营风险的各种因素,从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来评估企业的风险水平,把经营风险植入到本身的风险评价中去,并贯穿于内部审计的全过程。风险管理是一个动态过程,风险管理框架下的内部审计也是一个动态过程,且贯穿于企业管理全过程。

2.以企业风险管理框架为理论依据,改变审计思路,改进审计流程和方法,与风险管理机制相融合

(1)以风险管理框架为理论依据。国际内部审计师协会(IIA)《内部审计实务标准》对风险审计的规范和指导,极力倡导内部审计在企业风险管理框架中发挥不可替代的重要作用,即内部审计要在风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。风险导向内部审计是传统审计的发展,赋予为企业的风险管理提供保证的重要任务,因此,应该让内部审计和风险管理框架直接联系,实现协同效应。(2)采用“自上而下”的审计思路。传统的内部审计沿袭“自下而上”、“由点到面”的审计思路,风险导向审计则要求审计人员对企业的战略管理进行分析,对企业风险做出合理的专业判断,运用“自上而下”的思路,确定审计的范围、重点、审计目标和相关审计程序,通过实质性测试的结果,结合重要性判断来判断整个企业的风险并最终形成审计意见。 (3)设计以企业战略为审计起点,融风险管理于其中的审计流程。内部审计要从战略分析入手,按照“战略分析――经营环节分析――剩余风险分析”的思路展开风险分析,确定实质性审计程序的性质、时间和范围。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致,使这两项工作产生协同增效的作用。在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划,确定审计项目。确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。编制审计方案时,通过风险因素分析来确定审计业务工作重点;在审计实施过程中,通过评价内部控制制度,查找其中的疏漏和薄弱环节;在更新审计范围与计划的内容时,要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时,应该能够反映出风险的重大性与发生的可能性。在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议。追踪审计时,将风险确定为决定追踪审计范围的重要因素,风险越大,追踪审计的范围就越广。(4)采用分析性复核为核心的审计方法。在风险管理框架下,内部审计的一个重要职能是协助建立和完善企业风险管理制度,对执行情况的有效性进行检查,及时揭示和报告潜在风险,提出防范措施和改进意见,因此风险评估是风险导向审计的重要手段。风险评估的核心是分析性复核的运用。在多元因素评估过程中,还要将现代管理方法运用到分析性程序中去,使风险因素不再独立。

3.改善企业内外环境,为引入风险导向内部审计提供基础

首先,加强公司治理结构。现代风险导向审计的起点是企业经营风险,重点关注重大错报风险,因此公司治理的优劣与否直接决定重大错报风险的程度,从而影响到审计效果。其次,强化对内部审计人员的职业素质训练。再次,修改和完善内部审计法规,为内部审计人员实施风险导向内部审计提供法律上的支持。

综上所述,企业的内部审计部门应该在企业的风险管理中发挥起应有的作用,与企业风险管理紧密结合成为一个完整的统一体,使得企业能在日趋激烈的市场竞争中将各种可能面临的风险将到最低水平,从而提升企业自身的竞争力,以实现长足的发展。

参考文献:

[1]刘丽云:试析内部审计与风险管理机制的融合[J].财会研究,2006(8).

[2] 李瑛等:新环境下的企业风险管理与风险导向内部审计[J].会计之友,2008(3).

篇7

每个组织的存在都有其目标,在实现目标的过程中,存在着影响目标实现的不确定性因素。企业管理层的一项重要职责就是要建立一个良好的风险管理体系,来识别、评价和控制风险,为企业目标的实现提供合理的保证。内部审计在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性,提出改进意见,帮助企业改进风险管理与控制体系,从而为企业增加价值。

企业风险管理体系简介

要对风险管理过程的充分性和有效性进行评价,首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求,建立风险管理体系包括相互关联的八个风险管理要素,各要素贯穿在企业管理过程中,为实现企业目标提供保证。

第一是内控环境。主要是在企业中树立风险管理理念,营造一种风险管理文化,为其他风险管理要素打下基础。

第二是目标制定。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。

第三是事项识别。下列事情可能给组织带来风险:因使用不正确、不及时、不完整、不可靠的资料而导致决策错误;记录有错误、会计核算资料不真实、不完整;资产保护不当;顾客不满意,组织信誉受损;执行组织决策、计划、程序不力,或有违法违规行为;不经济地获取或无效地利用资源;没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。

第四是风险评估。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估-风险发生的可能性和影响。对于风险的评估应从企业战略和目标的角度进行。

第五是风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险,企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。

第六是控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面和各个部门,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。

第七是信息和沟通。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。

第八是监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式,来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。

从以上八个风险管理要素可以看出,企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。

内部审计在风险管理中的作用

根据《内部审计实务标准》对内部审计的定义:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。所以在风险管理中,内部审计要发挥两方面的作用:

第一是对风险管理过程的充分性和有效性进行评价,主要从以下几个方面进行评价:1.评价企业战略目标的制定是否是在分析组织和行业的发展情况和趋势、企业的优势和劣势、外部的机会和威胁的基础上结合企业风险偏好来制订;2.与相关管理层讨论部门的目标,看分解到各部门的目标是否对战略目标提供足够的支持;3.评价管理层对风险的识别和评估是否准确;4.分析控制措施是否完善,是否可以使企业风险发生的可能性和影响都落在风险容忍度之内;5.风险监控是否持续得到执行,监控报告制度是否恰当,风险管理报告是否充分、及时。

第二是以咨询顾问身份协助机构确定、评价并实施针对风险管理的方法和控制措施。内部审计在该方面的作用包括:1.进行控制和风险评估培训。使风险意识贯穿于整个企业的各个层面,并且使每名员工能够有效识别风险并提出有效控制措施,实施企业全员、全过程、全方位、全天候的风险管理。2.召开控制和风险评估专题讨论会。针对重大风险隐患,要集合企业内外部的专家进行专题研讨。审计人员既是组织者,又是参与者,同时也是学习者。3.开发自我评估工具。对风险管理进行深入研究,利用现代技术开发适合本企业的评估工具

将企业风险管理融入内部审计程序

在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致,使这两项工作产生协同增效的作用。

1.在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划,确定审计项目。

2.确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。

3.编制审计方案时,通过风险因素分析来确定审计业务工作重点;在审计实施过程中,通过评价内控制度,查找其中的疏漏和薄弱环节;在更新审计范围与计划的内容时,要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时,应该能够反映出风险的重大性与发生的可能性。

篇8

一、全面风险管理框架概述

(一)Tread―way委员会及COSO的成立。1985年由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会,即Tread-way 委员会,旨在研究舞弊性财务报告产生的原因及其相关领域,其中包括内部控制不健全问题,并建立了一个专门研究内部控制问题的委员会COSO。迄今为止,COSO委员会共了五篇研究报告,除上面提及的《内部控制统一框架》与《企业风险管理――整合框架》外,其余三份分别是:1987年的《反欺诈性财务报告全国委员会报告》、1996年的《衍生金融工具运用中的内部控制问题》和1999年的《欺诈性财务报告――1987~1997:美国公众公司分析》。

(二)全面风险管理框架。2003年7月COSO委员会颁布《企业风险管理――整合框架》,简称ERM。其中定义“全面风险管理是一个过程,这个过程受组织的董事会、管理层和其他人员影响,应用于战略制定、贯穿在整个组织之中。全面风险管理旨在识别影响组织的潜在事件并管理风险,使之在企业的风险偏好之内,从而为组织目标的实现提供合理的保证”。管理当局通过制定战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标过程中高效率和有效地调配资源时,价值得以最大化。企业风险管理包括三个层次:风险管理目标、全面风险管理要素、企业的各个层级。

二、全面风险管理框架解析

根据《企业风险管理――整合框架》,每一个主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时,要确定承受多大的不确定性。不确定性可能会破坏或增加价值,它既代表风险,也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。对此,COSO提出了相应的ERM框架,包括风险管理的定义、目标完成和企业风险管理要素等。

(一)ERM定义。根据COSO的定义,ERM是一个过程,应用于战略制定和企业各个层面,识别潜在可能影响企业的事件,并在企业风险偏好内管理风险,为完成企业目标提供合理的保证。影响企业的事件具有负面或正面效果,或二者同时具有。另外,该定义强调“全面风险管理”而非“全部风险管理”,即并不是将各风险进行简单合并管理,而是将风险管理看为一个有机过程,在这一过程中,将各种风险看为一个有机整体进行统一管理。

(二)目标达成和分类。在企业经营中,管理层首先建立战略目标,再选择战略,在企业经营中实施战略,直至实现企业目标:战略目标、经营目标、报告目标和监管目标。这四类目标既相互独立,又彼此重叠,它们表示企业的不同需求,也是企业不同经理人员的直接责任。需要说明的是,因为关于报告可靠性的目标和法律法规遵循的目标属于企业内部控制范围内,ERM可以提供合理的保证以使目标达成,但战略性和经营目标通常受到外部事件影响,而超出企业范围内的控制。相应地,对这两类目标,ERM可以提供合理的保证则是管理层和在监督角色的董事会能够及时意识到企业达到目标的程度。

(三)ERM的八个要素。为保证目标的完成,COSO提出了企业管理中构成 ERM的八个要素。ERM不是一个严格的系列步骤,即一个要素影响下一个要素,而是一个多方向、重复性的过程,在这个过程中几乎任何要素都能而且会影响其他要素。目标和要素之间存在直接的联系,目标是企业要努力完成的东西,而ERM要素是完成目标所需要的东西。

(四)框架的局限性。ERM自身也存在局限性,企业即使完全具备了这八个要素,仍然不能保证企业目标的实现。这些局限性包括:人员决策判断的失误、对风险做出反应和建立控制制度要受到成本效益的制约、人员简单的错误可能导致ERM的中断、两人或多人勾结导致控制制度的失效,以及管理层凌驾于控制制度之上等,这些缺陷使董事会和管理层不可能绝对保证企业目标的实现。

篇9

2004年9月美国COSO委员会的企业风险管理整合框架,其中很重要的一个变化是企业风险管理框架拓展了内部控制框架的风险评估要素,创造了四个构成要素――目标设定、事项识别、风险评估和风险应对,使原来内部控制中的五要素,拓展为企业风险管理的八要素,为什么要对此细化呢?笔者的理解是COSO试图让这个框架在风险评估这个环节更具体,更有指导性,体现了其和对风险评估要素的重视及强调,虽然它并不否定其他构成要素的重要性。

我国内部控制基本规范中虽然还是提五要素,但在第三章“风险评估”中也借鉴了COSO的表述,包含了目标设定、事项识别、风险评估和风险应对四个方面的内容。关于风险识别,在第二十二条和第二十三条列示了企业内外部各种风险因素。

按照COSO的定义,事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事项可能带来正面或负面的影响,或者两者兼而有之。在事项识别有过程中,管理层认识到不确定性的存在,但是并不知道一个事项是否会发生,或什么时候发生,或者它所带来的确切影响。事项有的很明显,有的很隐晦;所产生的影响有的微不足道,有的十分重大。

笔者认为在企业风险管理构成要素中,事项识别是需要管理层重视的一个问题,也是风险管理工作中一个不好掌握的环节,它是风险评估的起点,与目标紧密相连。在实务工作中,这个要素怎样识别,由谁来确认事项,运用什么工作方法,怎么区别对待机会和威胁并启动不同的风险响应机制,是一个难题。事项、发生的可能性及对其的评估,“在实践中很困难,因为通常很难知道到底应该把底线画在哪儿。”管理层重视事项识别这个环节,并在实际工作中明确岗位职责,建立有效的工作机制,才能做到寓风险管理持续地流动于主体之内的要求。

二、事项识别的主体

事项识别的主体是管理层。企业风险管理要求企业的每个员工都要对风险管理负有一定的责任,首席执行官负有首要和最终的责任,其他管理人员在各自的职责范围内依据风险容限去管理风险。风险官、财务官、内部审计师等通常负有关键的支持责任。企业其他人员按指引和规程去实施风险管理。在企业实际工作中,问题有三个,其一,不同的管理层自上而下认识和努力程度是否一致;其二,不同岗位的人员素质及能力水平是否符合要求;其三,缺乏专责机构,事项识别职责不明。

首席执行官(CEO)负责建立企业风险管理的所有构成要素。CEO要领导和指引其他高级管理人员共同做好事项识别工作,要培养管理团队有共同的风险管理价值观、原则,要使风险管理理念和文化在企业广泛、深入地普及。只有上下认识一致,共同努力,风险识别工作才能做好。

管理层的特定岗位的胜任能力水平是事项识别的重要制约因素。管理人员需要一定的知识与技能才能做好这项工作,人在认知风险事项时是有局限性的,尤其是复杂的经济和社会现象,人们往往认识不清,比如前两年源于美国次贷危机引发的全球金融危机,一开始,很少人认识到它的危害性、影响深度及广度。事项识别需要管理层敏锐的视角,勇于负责的态度,丰富的经验和明确对等的权责分配及监督。

事项识别必须在管理层特定机构和特定岗位明确职责。责任到人,才不会导致由提倡“人人有责”变成“人人无责”,管理层要通过逐级授权,让不同的管理者分担与其分部、业务单元、子公司对应的风险管理责任。事项范围需要按一定的方法进行归类,事项识别漏项要有处罚制度,保证管理层内部权责明确,赏罚分明。

我国企业可以结合自身实际情况,建立以总裁或CEO为首的风险管理委员会,下设具有跨部门、跨单元风险管理职责的专职或兼职的风险管理办公室,各部门、子公司、各单元的负责人为各自单位的风险管理责任人,在各部门、子公司、业务单元设专职风险管理岗位,内部审计部门对风险管理工作进行再监督,这样一种风险管理主体架构。

三、事项识别的工作机制

企业要建立一定的工作机制来保证事项识别工作得到贯彻落实。除了CEO负有全面责任外,风险官、财务官、内审部门负有相对于其他管理层人员更重的事项识别职责,企业风险管理部门、财务部门、法律部门相对于其他部门有更多的风险管理责任,应明确其岗位职责。CEO要定期地约谈、督促相关岗位和部门的管理人员协助其做好这方面的工作。对于事项识别,管理层应建立报告制度,不同层级发现的事项,要按照一定的标准上报,企业要事先规定不同情形的事项如何处置。风险官、财务官、内审部门、风险管理专门机构,要有事项识别具体工作要求,对事项识别的周期、范围、时机、深度和广度做出规定,定期报告,对于特定的事项范围,明确由哪个管理角色来承担。要建立基层员工反映不寻常事项的顺畅渠道,鼓励和引导全体员工积极参与风险管理工作,建立奖励制度。运用科学的方法和有效的工作组织,事项识别工作才能做好。

四、事项识别的难点

不同事项影响企业生存和发展的环境,使企业面临的机会与风险发生变化。事项识别的难点在于事项的广泛性,相关性,相互依赖性,不确定性和可识别性。

所谓广泛性是说事项众多,纷繁复杂。既包括外部因素,如经济、环境、政治、社会、技术因素等,也包括来源于企业内部的各种因素。即使在经济因素里面,事项也数不胜数,如国际金融危机、国家产业政策调整、资金成本变化、行业竞争性准入的变化等等,从企业内部因素看,如人员方面,安全事故、合同到期、薪酬政策等,将可能影响企业人力资源的获得,给企业带来停工损失或使企业形象受损。

相关性是指事项与目标之间的是否有因果对应关系,人们通过界定这些事项,能够提高人们发现风险与机会的能力。事项识别必须围绕着目标的实现来确定的,只有影响战略实施或目标实现的内外部事故和事件才属于事项的范围。

相互依赖性是指事项通常不是孤立地发生的,一个事项可能引发另一个事项,事项也可能会同时发生。如一项资本性开支(固定资产更新改造)因为缩减性财务政策而推迟实施,可能导致停工或延期交货。有时,事项之间的关联性也要进行分析研究才能得出。当事项之间存在相互关联,或者事项结合或相互影响产生显著不同的可能性或影响时,管理层就要把它们放在一起来评估。

不确定性是指事项是否如期发生,企业风险管理的实质就是平衡企业在创造价值的同时,能够承受多少不确定性。在企业经营所处的环境中,诸如经济全球化、技术、重组、变化中的市场、竞争和管制等因素都会导致不确定性。不确定性来源于不能准确地确定事项发生的可能性以及所带来的影响。

可识别性指事项发生或即将发生时,能否被管理层识别。风险实际上更多地来源于管理层没有识别到有着负面影响的事项,在事项发生时,管理层没有意识到它会给企业带来影响。事项识别还包括要将代表着机会的事项反馈到管理层的战略制订或目标制订过程中。企业的事项识别能力也与其运用的技术方法紧密相关,也有一个培养和提高的过程。

事项识别的深度、广度、时机和范围因主体而异。对于以上这些难点的充分认识,有助于企业风险管理抓住“牛鼻子”,抓住关键事项。

五、事项识别的方法

篇10

【关键词】企业全面风险管理,内部控制,理念

随着我国经济全球化、市场化的不断深入,企业面临的不确定因素愈来愈多,很多企业把注意力引向了全面风险控制与内部控制机制方面的设立,但只有少部分内部治理结构健全的企业设立了有效的风险监控职能,大部分企业仍存在较为严重的风险管控缺陷的问题。如何建立、完善企业内控制度已成为众多企业亟待解决的治理问题。

一、企业内部控制发展

内部控制是组织运营和管理活动发展到一定阶段的产物,是科学管理的必然要求。它是在内部牵制的基础上,由企业管理人员在经营管理实践中创造并由审计人员理论总结而逐步完善的自我监督和自行调整体系。内部控制从内部控制理论与实践的发展大体上经历了内部牵制、内部控制系统、内部控制结构、内部控制整合框架和全面风险管理等五个不同的阶段。

1、内部牵制阶段。内部牵制阶段指的是20世纪以前内部控制的基本思想和初级形式。内部牵制以查错防弊,保护的财产安全为目的,针对控制对象以职务分离、账目核对等方法发挥分权牵制、实物牵制、机械牵制和簿记牵制的职能。

2、内部控制系统阶段。这一阶段从时间上看大致为20世纪40年代至80年代。在注册会计师行业的推动下,内部控制由早期的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制系统,完成了实践塑造和理论完善的两大使命,适应了这一时期资本主义经济快速发展、所有权与经营权进一步分离的特点。

3、内部控制结构阶段。20 世纪80年代至90年代初,内部控制的发展进入内部控制结构阶段。在这一阶段,控制环境作为一项生根内容被纳入内部控制结构之中。控制环境反映组织的各个利益关系主体对内部控制的态度、看法和行为;是对建立、加强或削弱特定政策和程序效率发生影响的各种因素。具体包括: 管理者的思想和经营作风;企业组织结构;审计委员会发挥的职能;确定职权和责任的方法;管理者监控和检查工作时所用的控制方法;人事工作方针及其执行、影响本企业业务的各种外部关系。

4、内部控制整合框架阶段。1992 年9 月, 美国反虚假财务报告委员会的主办组织委员会( COSO) 在的报告《内部控制: 整合框架》 中提出了内部控制的三项目标和五大要素, 标志着内部控制进入一个新的发展阶段。其目标包括合理地确保经营的效率和有效性、财务报告的可靠性、对适用法规的遵循。内部控制要素包括: 控制环境、 风险评估、控制活动、信息与沟通和监控。

5、全面风险管理阶段。这一阶段的标志是2003年7月美国COSO颁布的企业风险管理框架的讨论稿。企业风险管理是受企业董事会、管理层和其他员工影响的,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,为企业目标的达成而提供合理保证的过程。

二、企业全面风险管理发展

企业风险管理框架是在内部控制与企业的风险管理相结合的基础上,结合《萨班斯一奥克斯法案》在报告方面的要求研究得到的。风险管理框架是建立在内部控制框架的基础上,内部控制是企业风险管理必不可少的一部分,但风险管理框架的范围比内部控制框架的范围更为广泛,是对内部控制框架的扩展,是一个主要针对风险的更为明确的概念。

相对于企业内部控制制度,企业全面风险管理框架的创新在于:在目标上:提出来企业战略管理目标,为风险管理应贯穿战略目标的制定、分解和执行过程,为战略目标的实现提供合理保证; 在内容上控制要素构成为内部环境、目标制定、事项识别、风险评估、风险反映、控制活动、信息和沟通、监控;在概念上提出来风险偏好和风险容忍度。

三、 全面风险管理与内部控制的关系

1、 全面风险管理与内部控制的区别

(1)管理范围不同。

全面风险管理的管理范围要大于内部控制。内部控制是一种管理职能,主要作用于事中与事后的控制,而全面风险管理则是贯穿于整个过程的各个环节,尤其是在事前就有了一定的预见性的风险考虑。

(2)具体业务流程不同。

全面风险管理涉及制定风险管理目标和战略、选择风险评估方法、聘用管理人员以及报告程序等环节,而内部控制不涉及到企业经营目标的设立,只是对目标制定的过程进行控制。负责如对报告的评估、对信息交流的监督、对错误的纠正等等。

(3)风险管理不同。

全面风险管理框架引入了风险偏好、风险预警、风险对策等方法概念,因此,在风险度量的基础上,该框架可促使企业发展战略向风险偏好靠拢。根据投入、风险、回报之间的联系,合理进行资本分配。这些功能都是内部控制框架能力范围之外的。

2、联系

通过了解内部控制的五大发展阶段可知,随着企业管理者的治理理念的改变,全面风险管理在内部控制的基础上发展和完善。内部控制作为企业的重要的组织制度,为实现企业的管理目标而提供了保障。有效的内部控制保证企业营运有效、财务可靠,使企业风险值降到最小,保证企业的可持续发展。

全面风险管理产生于战略决策之中,贯穿于企业的各个环节,为企业持续发展提供保障。全面风险管理包括三个方面:一是企业的风险管理目标。包括经营目标、战略目标、报告目标和合规目标;二是全面风险管理要素。主要有目标设定、内部环境、事件分析、风险评估、风险对策、信息交流、控制监督;三是企业的各个层级的设置与风险管理职责。包括企业整体、各职能部门、各业务线和企业下属各子公司,以及各个层级的风险控制职责。