企業目標風險與風險管理范文

時間:2023-09-06 17:42:20

導語:如何才能寫好一篇企業目標風險與風險管理,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

企業目標風險與風險管理

篇1

關鍵詞:企業組織目標內部控制風險管理

一、內部控制與全面風險管理的相關概念

(一)內部控制

所謂內部控制是指經濟單位及各組織在經濟活動中所建立起的一種互相制約的業務組織形式及職責分工制度??梢哉f內部控制是一個過程,該過程受著企業組織內部各個人員的影響,其目的是為了優化經營管理,提升企業的經營效益。內部控制的要素共分為控制環境、風險評估、控制活動以及信息與溝通和監督等五個,如下圖1所示。

(二)全面風險管理

所謂風險管理是指在一個存在風險的環境中,如何將風險降至最低的管理過程,該過程包括了對風險因素的評估、度量以及制定應變策略等。理想的風險管理是一個將優先次序排好的過程中,其中可能引起最大損失以及最可能發生的事情進行優先處理。但是實際情況中,排列優先次序的過程相對比較困難,因為風險與其發生的可能性并沒有一定的規律可循。由此可見,風險管理需要整個公司所有人員的共同執行與參與。風險管理要求包括內部環境、目標制定、事件識別、風險評估、風險反應以及控制活動、監督和信息與溝通等八個。其如下圖2所示。

二、內部控制與風險管理的異同

(一)重視內部控制與風險管理的相關性

企業內部控制和風險管理的相關性體現在以下幾個方面:

第一,內部控制及風險管理都是指過程化的管理,相對而言內部控制呈現出動態管理的特點,它促使企業經營朝向既定的組織目標而努力,但是它又不是組織目標的一部分,而是促使目標達成的手段,內部控制各要素對其產生直接的影響。全面風險管理同樣是一個過程,但是其相對內部控制而言,從某種意義上表現出一種靜態性,即其貫穿于企業的各項業務活動中,管理過程的各方面均有風險管理各要素的滲透。

第二,影響內部控制及風險管理的因素相同,企業組織架構中各個層次的人員,諸如董事會、管理層或者其它的相關人員,他們的互相影響和作用會對內部控制產生直接的影響,它不但包含了內部控制政策及相關的控制表單,各層次人員的作用也包含在內。此外,在控制過程中,每個成員不僅是被控制的對象,也會是實行控制的控制者。而對于風險管理而言,其整個過程也強調人的參與,它與整個企業的所有相關人員均有著密切的關系,而企業管理者在進行風險管理時要有一個宏觀架構方面的風險組合觀念。

第三,內部控制和風險管理的手段相同。無論是內部控制還是風險管理,均是通過風險評估來實現對應的管理目標。企業在實行內部控制的過程中,風險評估是其中必不可少的一部分,它的主要作對是對影響目標實現的各種不確定因素加以辨別,從而再針對風險管理的方法做出決定??刂婆c風險是兩個密切相關的概念,而企業要提升其內部控制的效率及加強內部控制的效果,最主要的就是要進行環境控制及風險評估。企業在進行風險評估的過程中,通常要經過風險辨識、風險分析及應對控制等各個環節。同樣,在風險管理中一樣要先確定出組只目標,在剩余及固有的基礎上評估風險,對其影響企業目標實現的程度做出分析與判斷,并以此為基礎進行風險管事,從而為企業合理的配置管理資源提供更為合理的依據。

第四,內部控制與風險管理的目的相同。無論是內部控制還是風險管理,其最終的目的都是保證企業組織目標的順利實現。因為內部控制本身有一定的限制,比如成本控制、人為錯誤或者管理越權等等,所以內部控制只可為企業管理提供相應的保證,但無法做到絕對保證。而風險管理同樣也是為了識別對企業經營目標會產生影響的因素,并有針對性的加以管理,以促使企業可以在經濟預算合量的基礎上,判斷出其風險偏好。

(二)內部控制與風險管理的差異

內部控制風險管理的差異表現在兩點:

其一,內部控制與風險管理的側重點不同。相對而言,內部控制更加側重于制度層面,其通過制定規章制度促使各層人員遵守制度來規避風險;而風險管理的側重面更體現在交易層面,即其規避風險的手段為市場化的自由競爭或者市場交易等。通常而言,內部控制的目的是提高會計信息的真實性及資金的安全性,其核心是會計控制。內部控制通常僅限于財務部門及其要關部門,在企業管理過程或者整體的經營系統層面,內部控制只是管理職能中的一項。而全面風險管理則更加側重于在特定的業務中,與戰略選擇及經營決策有關的風險和收益的比較,比如利率風險、匯率風險管理以及銀行授信管理等等,可以說在整個管理過程中均滲透著風險管理。由此可見,風險管理是內部控制在技術與市場條件下的自然延伸,內部控制是風險管理的前提與基礎,而風險管理中包括了內部控制。

其二,內部控制及風險管理所涉及到的風險的范圍不同。內部控制過程中,經營管理活動既要對內部風險做出評估,又要評估外部的風險。內部控制的過程涉及到整個公司所面對的、并且公司內部各相關人員所經營的各類外部及內部風險。而風險在實際的企業運營過程中卻是客觀存在的,相對于內部控制而言,風險管理與其最大的不同就是對特定業務的戰略評審更為關注,其主要目的是通過對不同公司業務領域內風險和報酬間的比較,實現收益最大化的企業經營目標。

三、內部控制與風險管理的有效整合

(一)內部控制要服務于企業經營者的目標

所謂控制就是控制者對受控者的一種能動作用,受控者根據控制者的作用而進行相應的行動,從而實現系統目標。盡管設定內部控制目標不屬于內部控制的組成要素,但是它是實施內部控制的前提,促進內部控制的關鍵條件,屬于過程管理中的一個重要組成部分。內部控制目標的制定對內部控制而言,意義重大,其對是否有必要存在內部控制有著決定性的作用。一個完善的內部控制對企業經營目標的實現有著直接的影響,它幫助企業經營者實現其預定經營目標。管理目標包括合理的資源配置、科學的決策、最低的成本控制、最優的質量管理以及利潤最大化。在企業組織目標中,該五個具體的管理目標是互相聯系、互相支持的:企業設施配置的關鍵就是資源配置;而企業經營的方向性是由管理決策來決定的;產品成本目標是實現利潤最大化的重要條件之一;質量管理目標則是保證企業永續經營的必備條件;而財務目標即利潤最大化,是企業經營的源動力,也是其它目標綜合作用的最終成果。只有實現了這五個目標,才能夠保證企業整個經營管理目標的實現。

(二)內部控制對實現組織目標的間接作用

因為內部控制制度所體現的是控制主體即企業經營者的意志,因此如果控制主體不同,其內部控制的目標必然不同。內部控制目標還要按照企業的法人治理結構的不同層次進行具體的細分,將內部控制目標層層落實到各級單位及部門。企業各層次相關人員進行內部控制的主要目標就是降低經營風險,減少虛假會計信息,保證管理者的經營目標可以順利實現。但是企業管理中必然存在激勵機制,管理者的目標與企業組織目標不得背道而馳,其最終的目標仍是為了實現企業組織目標而服務。一個有效的內部控制機制不但可以實現企業資源利用率最大化,有效的降低成本,還能夠促進企業向著良性化的方向發展。隨著市場經濟的不斷發展,人們的經濟意識也在不斷的提高,企業所處的經營環境的不確定性也越來越高,企業契約的不完備性就隨之增強,因此各企業經營者對內部控制的研究越來越重視,以期能夠通過合理的內部控制消除不完備契約所導致的逆向選擇及道德風險,最終促企經營目標得以順利實現。

(三)全面風險管理概念可以取代一般性的風險管理

我們可以用全面風險管理的概念取代企業經營過程中的一般性的風險管理。全面風險管理概念中提出,無論哪種類型的企業均或多或少面臨著各種不確定性,來自于各方面的風險與機遇是并存的。而對于企業的經營管理者來說,最大的挑戰是在企業為各利益相關者創造價值的過程中,對企業承受伴隨價值增加而來的風險的能力。企業的全面風險管理機制的有效性越高,管理者對不確定的風險及機遇的處理能力就越高,從而使得企業創造價值的能力得到最大程度的提升。

(四)全面風險管理中企業目標與各要素間的關系

在全面風險管理概念中,企業目標分為戰略、經營以及呈報與合規等四類,其所反映的是企業的不同層面的不同需求,針對企業各層次人員確定其相應的責任。而上文中也提到全面風險管理的要素包括模塊,這些要素最終的目的就是服務于企業的四類目標,無論企業中的哪個層次均要通過這模塊對各自的企業目標進行全面風險管理。全面風險管理并非絕對意義上的單循環步驟,而是一個重復性的、多向性的過程,在這個過程中,每個要素均會對其它要素產生影響,并且受其它要素的影響,即每個風險管理組成要素是和四類目標互相縱橫交錯的。因此風險管理目標與其各要素之間存在著直接的聯系,即目標是企業努力的方向,而風險管理要素則是實現這一目標所必須的條件。

此外,風險管理的各個要素還是評價企業風險管理水平的標準。企業風險管理的構成及目標不僅是建立健全企業風險管理過程的基本依據,也是對其有效性做出評價的標準。評價企業風險管理的有效性,要看全面風險管理的八個構成要素是否同時存在,其運行是否有效。而且在不同的主體中,風險管理各個要素的具體運行也是各不相同的。

(五)利用全面風險管理評價企業目標實現的程度

針對全面風險管理的八個要素,及其在企業經營管理中是否發揮了有效的作用,我們可以以此為依據判斷企業目標實現的程度,所以從這個意義上來講,全面風險管理的要素就是評價企業目標的實現程度的標準。如果企業的風險管理體系這八個要素并存且能夠正常發揮作用,證明該企業基本上沒有太大的缺陷存在,風險管理方面也能夠將其控制在一定的范圍內。不過不同的企業風險管理各要素發揮作用的程度也各不相同,并且也不是絕對的,一些企業即使全部具備了所有的要素,但是也無法絕對保證可以實現企業經營目標,這是由于風險管理自身存在著無法克服的局限性,這些局限性體現在人員決策判斷失誤、控制制度的建立受著成本管理的約束、一些人為的簡單錯誤造成風險管理的中斷、企業內部人員互相勾結使得內部控制制度失效或者管理者凌駕于控制制度之上等各方面,正是這些局限性使得企業經營管理者無法絕對保證可以百分百實現企業目標。

參考文獻:

[1]鄭小榮,王美英.內部控制法制化的理論依據――法律特征與實踐影響[J].當代財經,2010(4)

[2]鄭小榮.試論內部控制法制化的三大弊端[J].財會研究,2010(18)

[3]王美英,鄭小榮.對內部控制審計與財務報表審計整合的思考[J].財務與會計,2010(7)

[4]孟杰.基于全面風險管理的企業內部控制實施探討[J].財經界,2009(11)

篇2

從中國企業構建全面風險管理體系基礎條件來看,中國企業尤其是在境外上市的企業近幾年以來一直致力于企業內部控制建設,已經建立了一套比較完善的內控體系,編制了內部控制手冊和自我評估手冊,初步搭建了以風險管理為核心的內部控制基礎平臺。這是中國企業建立健全全面風險管理體系的基礎條件。當然,多數企業的內控系統通過對流程的控制主要對運營風險、財務風險等風險建立了比較完善的控制體系,但是還不能覆蓋企業面臨的所有風險,如戰略類、市場類風險,不能對其進行有效的管理和控制。

所謂基于內控的全面風險管理體系,簡單地說,就是在內部控制建設的基礎上,構建全面風險管理體系,是適合已經建立內部控制體系的企業進行全面風險管理建設的一條創新路徑。這既符合國際上內部控制逐步向全面風險管理發展的潮流,也是中國企業構建全面風險管理體系的現實選擇。

3C框架和流程

中天恒管理咨詢公司經過多年的探索和實踐,專為中國企業打造的3C全面風險管理基本框架(下文簡稱“3C框架”)如圖1。

3C框架從總體結構上是按照目標體系、風險整合、管理融合來安排的,形成了由目標體系、風險整合、管理融合組成的有機體系,貫徹嚴密的目標――風險――管理的邏輯關系。

企業目標是一個相互聯系、相互依存的目標體系。全面風險管理作為企業管理的一項核心內容,可以把目標確定作為全面風險管理的前提條件進行關注,并將其貫穿于全面風險管理工作的始終。

風險是對企業目標實現產生影響事項發生的不確定性,包括了危險和機會,是一個全面的概念。風險偏好、風險意識、風險理念、風險文化是企業全面風險管理的軟要素,是企業實施全面風險管理必須明確的基本概念。把企業主要風險整合起來,是全面風險管理的一個基本標準。

全面風險管理是為合理保證企業目標實現,對企業風險進行全面管理的動態過程,是對企業風險進行整合管理的過程,是藝術和科學的結合。全面風險管理目標、意義、主體、內容、流程、方法是企業全面風險管理的重要內容,是必須明確的;全面風險管理政策、戰略、策略、決策是企業全面風險管理的基礎,影響整個全面風險管理工作;全面風險管理信息、溝通、學習應貫穿于全面風險管理工作的始終。這些都應該從總體上予以明確。

全面風險管理融合,是企業風險管理自身內部的融合,是企業風險管理與企業業務的融合,是企業風險管理與企業管理的融合。全面風險管理與企業管理需要融合的內容很多,其中最重要的就是要做到內部控制與風險管理的融合。

3C框架與COSO的不同

3C框架沒有直接引入管理要素概念,從總體看包括目標、風險、管理三個方面;從流程看包括管理準備、管理實施、管理報告和監督改進四個方面。

3C框架把COSO全面風險管理框架“事件識別”定義為“風險識別”;把COSO全面風險管理框架“風險評估”細化為“風險分析”、“風險計價”、“風險評價”;把COSO全面風險管理框架“控制活動”重新定義為“風險控制”;把COSO全面風險管理框架“監控”改為“監督改進”,并細化為“風險監督”、“風險審計”、“管理改進”等。

3C框架將風險辨識、風險確認、事件識別統一為風險識別,并定義為確認風險的過程;將風險計量、風險衡量、風險量度、風險測量、風險估計、風險估價統一為風險計價,并定義為風險的量化過程;將風險策略、風險應對、風險工具統一為風險應對,并定義為選擇應對風險策略的過程;將控制活動、控制政策、控制程序、控制措施、應對措施統一為風險控制,并定義為應對風險的各種措施;將監督檢查、監督評價、持續監督、監控、監控系統、內部監督統一為風險監督,并定義為監督檢查風險的過程等等。

篇3

關鍵詞:納稅籌劃;風險管理;準備

一、納稅籌劃風險管理概述

(一)納稅籌劃風險管理的含義

納稅籌劃風險管理是指由企業管理層和納稅籌劃相關人員實施的,通過識別、評估納稅籌劃風險并用科學方法制定、執行和改進納稅籌劃風險的應對策略,來將納稅籌劃風險減低至可接受的范圍內,從而實現企業納稅籌劃目標的一個持續不斷的過程。

(二)納稅籌劃風險管理的意義

一是有利于減少因納稅籌劃失敗而產生的經濟損失;二是有利于樹立良好的納稅信用,會使稅務機關對企業留下很好的印象,以致于能夠獲取稅務檢查以及稅收優惠政策運用上的寬松待遇等;三是有利于樹立良好企業信譽,不僅可以避免發生不必要的信譽損失,而且可以得到供應商和顧客的信任,增強自身競爭力;四是能夠在一定程度上消除和減少企業管理層以及納稅籌劃相關人員對納稅籌劃風險的焦慮,增加安全感,從而提高工作效率和生活質量。

(三)納稅籌劃風險管理的流程概述

第一,納稅籌劃風險管理的準備階段。具體包括確定納稅籌劃風險管理目標、成立納稅籌劃風險管理小組、收集納稅籌劃風險管理信息、制定納稅籌劃風險管理計劃。第二,納稅籌劃風險管理的實施階段。包括納稅籌劃風險識別、納稅籌劃風險評估、納稅籌劃風險應對。第三,納稅籌劃風險管理的監控階段。具體包括納稅籌劃風險管理的監督與評價、納稅籌劃風險管理的總結與改進。

二、納稅籌劃風險管理的準備階段需進行的工作

(一)確定納稅籌劃風險管理目標

1、納稅籌劃風險管理的總體目標

納稅籌劃風險管理是企業納稅籌劃活動的一部分,企業納稅籌劃風險管理的目標也是為了實現企業納稅籌劃的目標。而企業納稅籌劃的目標又是為了實現企業的財務目標即企業價值最大化,因此,納稅籌劃風險管理的目標應當服務于企業價值最大化這一企業整體目標。

2、納稅籌劃風險管理的具體目標

納稅籌劃風險管理的具體目標分為納稅籌劃風險管理損前目標和納稅籌劃風險管理損前目標。

納稅籌劃風險管理損前目標,是在納稅籌劃風險導致的損失發生前的風險管理目標。是避免或減少納稅籌劃風險事故的發生,從而降低納稅籌劃風險。具體措施包括:建立健全納稅籌劃風險管理機制,培養相關人員納稅籌劃風險意識,準確核算納稅金額,正確選擇適合于本企業稅收法律法規,選擇經驗豐富的納稅籌劃人員等。

納稅籌劃風險管理損后目標,是在納稅籌劃風險導致的損失發生后的風險管理目標。具體措施包括:企業遭受納稅籌劃風險損失后,要盡量地補救,承擔應盡的經濟責任和社會責任,盡量維護自己的納稅形象,為自身營造良好的繼續生存發展環境;同時,進一步處理好和稅務機關的關系,將納稅籌劃風險損失額盡量降到最低。針對納稅籌劃風險的特點,應將第一個目標,即“納稅籌劃風險管理損前目標”作為納稅籌劃風險管理的主要目標。

(二)成立納稅籌劃風險管理小組

成立納稅籌劃風險管理小組,主要是成立納稅籌劃風險管理核心小組。企業在確定了明確的目標后,應根據項目需要組成納稅籌劃風險管理項目核心組,選定風險管理項目組長和工作人員。必要時,可聘請其他部門相關人員參加納稅籌劃風險管理小組的工作。同時確定納稅籌劃風險管理小組各成員的權利、任務和責任,作為績效考核的依據。

(三)收集納稅籌劃風險管理信息

1、外部信息的收集

(1)稅收環境信息

企業涉及的稅種及各稅種的具體規定,特別是稅收優惠規定;各稅種之間的相關性;稅收征納程序和稅務行政制度;稅收環境的變化趨勢、內容。

(2)政府涉稅行為信息

納稅籌劃博弈中,企業先行動,因此,在行動之前,必須預測政府可能對自身行動產生的反應。這主要包括:政府對納稅籌劃的態度、政府的主要反避稅法規和措施、政府反避稅的運作規程。

2、內部信息的收集

(1)實施主體信息

任何納稅籌劃方案必須基于企業自身的實際經營情況。必須充分了解企業自身的相關信息。這主要包括:企業財務管理目標、企業納稅籌劃目標企業經營狀況、企業財務狀況、管理人員對納稅籌劃風險的態度、納稅籌劃人員的素質等等。

(2)企業涉稅問題調查與評估

在實施納稅籌劃管理之前,應當對企業進行涉稅問題調查和納稅評估。該步驟的工作應重點分析、整理、調查、評估涉稅資料:納稅籌劃內部控制制度、納稅會計處理、主要稅種及稅負率、近三個年度納稅情況分析、主要涉稅問題、稅收處罰記錄、稅企關系情況等。

3、內、外部信息的反饋信息

對內、外部信息的收集應當是一個動態的過程,企業在實施納稅籌劃風險管理的過程中,會不斷獲取新的信息。同時,實施結果需要及時反饋相應部門,以便對納稅籌劃風險管理的實施進行調整和完善。

(四)制定納稅籌劃風險管理計劃

制定納稅籌劃風險管理計劃,是納稅籌劃風險管理的重要環節,是對納稅籌劃風險管理實施的全過程所做的綜合安排。納稅籌劃風險管理計劃涉及的內容是全局性的,是對納稅籌劃風險管理目的、范圍、重點、流程等基本內容進行規劃,是進行納稅籌劃風險管理的基礎和依據,也是進行有效溝通和協調的手段。

總之,納稅籌劃風險管理的準備是必要的,它為納稅籌劃風險管理的實施和監控階段的工作打好了基礎。

參考文獻:

1、李三喜,徐榮才.3C框架――全面風險管理標準[M].中國市場出版社,2007(8).

篇4

【摘要】風險管理和內部控制及公司治理的研究正成為許多國家政府以及有關國際組織的研究重點,COSO的《企業風險管理——整體框架》標志著內部控制理論與實踐進入了整體框架的新階段。關注COSO報告中風險管理框架的新發展,加快企業風險管理,在完善社會主義市場經濟體制進程中無疑具有重要的現實意義。

一、COSO的內部控制整體框架和風險管理整體框架

(一)《內部控制——整體框架》關于風險管理的論述

1992年,COSO了其研究報告《內部控制——整體框架》,并于1994年進行了增補修訂。在該報告中,COSO(1992)指出,企業必須了解它所面臨的風險,并加以處理。企業必須制定目標,而目標又必須與銷售、生產、營銷、財務等活動相結合,如此企業才能很好地運作。企業還必須建立識別、分析和管理相關風險的機制。

COSO(1992)提出了內部控制的五個要素,其中之一便是風險評估。COSO(1992)指出,每一個主體都面臨著各種來源于內部和外部的風險,這些風險必須加以評估。風險評估的前提之一是建立目標,不同層次的目標應當相互聯系并保持內部一致。風險評估是指識別、分析與實現目標相關的風險,它是決定這些風險應如何管理的基礎。由于經濟、行業、管制和經營條件會不斷發生變化,應當建立相應的機制以識別并處理與這些變化相關的特定風險。COSO(1992)指出,須從企業整體和作業兩個層次來識別風險。企業整體層次的風險可能由外部或內部因素而產生。外部因素如:科技發展、顧客的需求或預期改變、競爭、新頒布的法律法規、天然災害、經濟環境改變;內部因素如:信息系統處理的中斷、員工的品質、經理人的責任改變、企業活動的性質以及員工可接近企業資產的程度、董事會或監事會不夠堅定或無效。

(二)風險管理的新發展:《企業風險管理——整體框架》

2004年,COSO了其研究報告《企業風險管理——整體框架》。風險管理整體框架(ERM)是在內部控制整體框架基礎上發展而來的。COSO(2004)指出,風險管理框架不想也沒有替代內部控制框架,但它將內部控制框架整合在內,采用這一框架,企業既可以滿足內部控制的需要,也可以建立一個完整的風險管理過程。

1.風險管理的目標

COSO(2004)認為,主體的目標包括四個:

(1)戰略目標,是高水平的目標,它應與組織的使命一致并支持該使命;

(2)經營目標,組織應當有效率和效果地使用資源;

(3)報告目標,組織應當提供可靠的報告;

(4)遵循目標(合規性目標),即組織應當遵循相關的法律規章。

企業風險管理實際就是為實現上述目標提供合理的保證。

2.風險管理的內容

企業風險管理包含以下方面的內容(作用):

(1)協調風險偏好和戰略。管理層在評估不同的戰略、確定相關目標、建立相關風險的管理機制時,應考慮組織的風險偏好。

(2)改進風險反應決策。企業風險管理要求識別并在不同的風險應對策略(包括規避、降低、分擔與接受風險)中做出選擇。

(3)減少經營意外與損失。提高組織識別潛在事項并做出反應,減少意外事項及相關的成本或損失的能力。

(4)識別并管理多個企業之間以及企業內部的風險。每一個企業都面臨無數的、會影響組織不同方面的風險,企業風險管理應當有助于對相關關聯的影響作出有效的反應,并對多企業的風險作出整體性反應。

(5)抓住機會。通過考慮所有的潛在事項,管理層應當能夠識別并實現機會。

(6)改善資本的配置。在獲得關于風險的信息后,管理層可以有效地評估總體資本需求并改進資本的配置。

企業風險管理的上述作用,有助于管理層實現組織的經營和盈利目標,并防止資源損失。企業風險管理有助于保證提供有效的財務報告和對法律規章的遵循,并有助于避免組織聲譽的損害及相關不良后果??傊髽I風險管理有助于企業向其所期望的方向發展,避免在發展的過程中遭遇陷阱和意外。

3.風險管理的要素

企業風險管理包含八個相互關聯的要素。這些要素來源于管理層管理企業的方法,并與管理過程合成一個整體。這些要素包括:

(1)內部環境。內部環境包含了組織的風格,它確定了組織人員如何看待和處理風險的基礎,是其它要素的基礎。內部環境具體包括風險管理哲學、風險偏好、董事會、誠實度和道德價值觀、組織結構、勝任能力、人力資源政策與實務、權責分配。

(2)目標設定。在管理層辨別影響其目標實現的潛在事項之前,必須有目標。企業風險管理要求管理層設定目標,選擇的目標需要能夠支持組織的使命并與組織使命相一致,并與其風險偏好相一致。

(3)事項識別。即識別那些影響組織目標實現的內外部事項,并區分為風險和機會。機會將被考慮進管理層的戰略或目標設定過程中。

(4)風險評估。必須對風險加以分析,考慮其發生的可能性以及影響,并作為確定這些風險應如何加以管理的基礎。應當對固有風險和殘存風險加以評估。

(5)風險應對。管理層應在不同的風險應對(包括回避、接受、降低、分擔風險)中做出選擇,從而采取一系列與組織的風險容忍度(risk tolerances)和風險偏好相一致的行動。

(6)控制活動。應建立相關的政策和程序,以確保風險應對策略得到有效的執行??刂苹顒油ǔ0▋蓚€要素:確定應從事何種活動的政策、執行政策的程序。

(7)信息與溝通。應當按照特定的格式和時間框架來識別、捕捉相關信息并加以傳遞溝通,從而使人們可以履行其職責。有效的溝通存在于較廣泛的意義上,包括向下、向上以及平行交互溝通。

(8)監控。整個企業風險管理都應當加以監控并根據需要做出調整。監督可以通過持續性的管理活動、單獨評價或者二者同時來實現。

對于這八個要素,COSO(2004)指出,企業風險管理不是一個嚴格的序列過程,即一個要素僅影響下一個要素,而且是一個多方向的、相互影響的過程,任何要素都可以并且確實影響其它的要素。

4.風險管理目標與風險管理要素的關系

COSO(2004)認為,目標是主體要實現什么,企業風險管理的要素則意味著需要什么來實現它們,因此,風險管理的目標與要素之間存在密切的直接聯系。這樣,企業目標、風險管理要素與企業各個層級之間就形成一個三維立體圖。

二、美國風險管理準則對我國的啟示

從以上COSO風險管理準則內容和要求上,可以看出存在以下特點:

(一)將風險管理與內部控制聯系在一起。內部控制是風險管理的重要手段,董事會應當建立并維持有效的內部控制系統以實現風險管理。

(二)均強調風險管理是一個包含風險識別、計量和應對的系統化過程。風險識別、計量、應對和控制活動是一個緊密的整體,企業必須識別面臨的潛在風險,并評估其對企業的影響,從而采取相應的措施來應對風險。在風險識別和分析、評估的技術上,均強調應當結合采用定量技術和定性技術。另外,人們越來越認識到,風險是無法絕對消除的,因此,風險管理的目標是將其控制在主體的風險偏好以內,而不是消除風險。反映到風險應對策略上,相關的風險管理準則大都強調風險的應對措施包括回避、抑減(降低)、轉嫁(分攤)、接受,應當根據風險發生的可能性、對主體的影響以及主體自身的風險容量選擇適當的應對措施。 (三)強調風險管理應當融入到企業日常經營活動中,并貫穿于企業的各個層次、所有的經營活動。風險管理針對的是企業經營活動中對企業目標實現產生影響的風險事項,因此,風險管理必須與企業的經營活動緊密地結合在一起,在經營活動中處處體現風險管理的理念與做法,這不僅有助于及時識別企業所面臨的風險事項,也有助于降低風險管理成本、提高風險管理效率。

(四)強調控制環境的作用。公司的高層基調、管理層的管理哲學、董事會和相關委員會、員工的勝任能力對于有效的風險管理具有重要作用,如果沒有一個良好的、注重風險管理的內部環境,風險管理很難取得成功。

(五)強調全員參與。全員管理是現代風險管理的重要特征,風險管理不僅僅是風險管理部門的事,而且需要靠企業的全體員工來落實,所有員工都會影響到企業風險管理的效果,企業應當使所有員工了解自己在風險管理中的作用。

(六)強調信息與溝通。信息和溝通對于良好的風險管理和內部控制相當重要,下層要了解公司的風險管理戰略和政策、措施,并有順暢的向上溝通風險管理和內部控制情況的渠道,上層要及時向員工及外部了解企業面臨的重大風險及其管理情況。

(七)強調定期對風險管理過程和內部控制進行評估,并對發現的缺陷和不足加以報告。風險管理是一個持續的、動態的過程,企業的內、外部環境在不斷地變化,這決定了原先的控制未必有效,因此,必須定期對風險管理過程和內部控制的有效性進行評估,以找出其缺陷和不足并及時采取補救措施。

篇5

摘要:2004年9月,COSO委員會正式頒布了新的COSO報告:《企業風險管理——整合框架》。在對此報告進行研究的基礎上,探討了兩方面的問題,一是企業風險管理與內部控制的融合,二是內部審計與風險管理。通過比較認為,首先,企業風險管理與內部控制同樣是一個程序,處于不斷的調整和變化之中.兩者只有相互融合,才能實現最佳效果;其次,對企業風險管理進行監督和評價是現代內部審計發展的結果。內部控制向風險管理領域擴展,對內部審計的發展產生了深遠影響,集中體現在風險基礎內部審計的產生。

關鍵詞:企業風險管理;內部控制;內部審計

一、企業風險管理框架的提出

2004年,美國Treadway委員會下屬贊助委員會(COSO)在內部控制框架概念的基礎上,提出了企業風險管理(EnterpriseRiskManagement,ERM)的概念,使內部控制的研究發展到一個新的階段。COSO這樣定義企業風險管理,企業風險管理是一個過程,受企業董事會、管理當局和其他員工的影響,包括內部控制及其在戰略和整個公司的應用.旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規的遵循提供合理保證。COSO認為,ERM為公司董事會提供了有關企業所面臨的重要風險,以及如何進行風險管理方面的信息,并進一步提出企業風險管理由內部環境、目標設定、事件辨別、風險評估、風險反應、控制活動、信息和交流以及監督等8個方面組成。

1.內部環境(InternalEnvironment)。企業的內部環境是其他所有風險管理要素的基礎,為其他要素提供規則和結構,也為ERM的其他組成因素提供了框架。其別是管理當局的風險偏好,決定了公司對可能出現的預料之外的事件的態度,管理當局和董事會必須明確戰略及其執行過程中的風險和回報。

2.目標設定(ObjectiveSetting)。即管理層必須基于目標來識別成功的潛在因素。根據企業確定的任務或預期,管理者制定企業的戰略目標,選擇戰略并確定其他與之相關的目標并在企業內層層分解和落實。其中,其他相關目標是指除戰略目標之外的其他目標,其制定應與企業的戰略相聯系。管理者必須首先確定企業的目標。才能夠確定對目標的實現有潛在影響的事項,而企業風險管理就是提供給企業管理者一個適當的過程,既能夠幫助制定企業的目標,又能夠將目標與企業的任務或預期聯系在一起,并且保證制定的目標與企業的風險偏好相一致。

3.事件辨別(EventIdentification)。在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上,企業風險管理要求辨別可能對實現公司目標產生負面影響的所有重要情況或事件,事件辨別的基礎是將可能的風險與環境進行對比。這一步要求綜合運用各種專業知識,盡可能地了解企業當前或將來的環境和經營情況。

4.風險評估(RiskAssessment)。一般用可能性(概率)和影響結果兩個維度度量風險,前者是一定的負面影響事件發生的可能性;后者是假設事件發生,對經營、財務報告以及戰略產生影響的可能結果,潛在影響一般以對經營、數量、金錢損失以及戰略目標可能造成的損失進行計算。風險評估的過程中根據不同的情況,采用定性、定量以及相結合的方法,若可以獲取充足的數據,一般采用定量的評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數據,則一般采取定性的評估方法。

5.風險反應(RiskResponse)。企業對每一個重要的風險及其對應的回報進行評價和平衡,結果取決于成本效益分析以及企業的風險偏好。而平衡的反應包括接受、規避或緩和這些風險,后者又包括風險分離、風險轉換或者減少(包括通過控制活動)等形式。風險反應是企業風險管理的整體重要組成部分。

6.控制活動(ControlActivities)??刂苹顒邮枪芾懋斁衷O計的政策和程序,為執行特定的風險緩和反應提供合理保證??刂苹顒影ㄔ谡麄€組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業績復核、資產安全、職責分離等方法。

7.信息和交流(InformationandCommunication)。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息,與財務信息一樣,風險信息必須以一定的形式和框架進行交流,使員工、管理層以及董事履行各自的責任。風險評估的信息系統可以產生定期或“例外基礎”的時時報告,報告使用趨勢指標、業績矩陣及運營或財務成果的形式,這些報告能夠引導出及時的決策。在公司層次,必須對各種數據和信息流進行加工,形成關于公司風險組合輪廓的統一觀點,以利于交流。通常存在自上而下式、平行式和自下而上式三種有效的交流形式。自上而下式是管理當局向員工傳遞風險信息;平行式是部門之間的信息交流和傳遞;自下而上式是一線員工向管理層匯報風險信息。員工的風險信息交流方面的意識是風險管理環境的重要組成部分,應鼓勵員工就其意識到的重要風險與管理層進行交流,管理當局應當重視員工的意見。

8.監督(Monitor)。與內部控制一樣,企業應通過持續的監督和獨立的評價活動,監督企業風險管理的有效性。持續監督以日常經營中發生的事件和交易為對象,包括管理當局和專門的監督人員的活動。獨立評價一般以定期檢查計劃為基礎,或者以日常監督中發現的意外為起點,由于在獨立調查、風險評估和報告方面具備能力、技巧和經驗,內部審計師是提供獨立評價的合適人選。

二、企業風險管理與內部控制的融合

自1992年美國COSO委員會提出《內部控制框架》報告(簡稱COSO報告)以來,該內部控制框架已經被世界上許多企業所采用,但理論界和實務界紛紛對內部控制框架提出一些改進建議,強調內部控制框架的建立應與企業的風險管理相結合。新的企業風險管理框架就是在1992年的研究成果——《內部控制框架》報告的基礎上,結合《SOX法案》在報告方面的要求,進行擴展研究得到的。通過比較,我們可以發現,企業風險管理的定義采用了1992年內部控制框架定義的模式,認為企業風險管理與內部控制同樣是一個程序,它不是靜態的,而是處于不斷的調整和變化之中,以適應組織環境的變化。

企業風險管理除包括內部控制的三個目標之外,還增加了戰略目標,并擴大了報告目標的范疇。內部控制框架將企業的目標分為經營的效率和效果、財務報告的可靠性和現行法規的遵循。企業風險管理框架也包含三個類似的目標,但是比內部控制框架增加了一個目標——戰略目標。該目標的層次比其他三個目標更高。企業的風險管理在應用于實現企業其他三類目標的過程中,也應用于企業的戰略制定階段。

另外,企業風險管理的8個要素除了包括內部控制的全部5個要素之外,還增加了目標設定、事件辨別和風險反應三個要素,由于對象不同,風險管理更加針對組織面臨的“風險”,增加這三個要素,拓展了概念的深度和廣度。因此,風險管理框架建立在內部控制框架的基礎上,內部控制框架則是企業風險管理必不可少的一部分。

內部控制與風險管理的融合很早就引發了人們的關注,經過長期的爭論和實踐,人們對二者關系的認識不斷深化,逐漸認識到將兩者關系隔離的分析方法是不可取的,內部控制與風險管理只有相融合,才能實現最佳效果。COSO企業風險管理概念的提出,將風險管理與內部控制的融合大大地向前推動了一步,這種融合必將極大地推進內部控制和內部審計的發展。

三、風險管理對內部審計的影響

內部控制向風險管理領域擴展,對內部審計的發展產生了深遠影響,這種影響集中體現在風險基礎內部審計的產生。由于各國實務各不相同,尚未形成統一的最佳做法,國際內部審計師協會目前還沒有標準的風險基礎審計定義,IIA的職業問題委員會認為,風險基礎審計關注的焦點是組織對所面臨影響其目標實現的風險作出的反應,與其他形式的審計不同,這種審計的出發點是風險,而非控制,其目的在于為風險管理提供獨立保證,并在必要時加以引導和改進,審計業務的范圍和優先次序應由組織所面臨的風險所決定。

風險基礎內部審計的特征可以總結為以下幾點:

第一,風險基礎內部審計不僅關注風險管理,同時也是風險管理的重要組成部分。公司針對風險管理功能,設立一個分部,配置一位風險經理,內部審計人員建立風險評估模式,內部審計工作成為企業風險管理的一個組成部分,整個審計工作根植于以未來為導向的風險分析。

第二,內部審計的方法不再是強調確認和測試控制的完整性,而是強調確認經營風險并測試這些風險是否得到有效管理,由交易事項和對政策的遵循,轉變為對目標、戰略和風險管理程序的關注,“控制是否適當且有效”雖然仍被關注,但已不是關鍵。

第三,內部審計的反應方式不再是反應式的、事后的、不連續的監控,從以交易為基礎轉變為以過程為基礎,對組織戰略計劃的創新也由觀察者轉變為參與者。

篇6

關鍵詞:內部審計;風險管理

每個組織的存在都有其目標,在實現目標的過程中,存在著影響目標實現的不確定性因素。企業管理層的一項重要職責就是要建立一個良好的風險管理體系,來識別、評價和控制風險,為企業目標的實現提供合理的保證。內部審計在風險管理中的作用就是監控、檢查、評估、報告管理層風險管理過程的充分性和有效性,提出改進意見,幫助企業改進風險管理與控制體系,從而為企業增加價值。

1企業風險管理體系簡介

企業風險管理(EnterpriseRiskManagement,簡寫為ERM)的實質是企業有效利用各種資源,以戰略的方式管理風險,使企業在多變的環境下以穩健的方式運作,從而獲得增加價值的機會。在全球競爭激烈的市場中,任何企業都處于動蕩多變的環境之中。企業面臨的風險越來越多,風險引發的損失規模也越來越大,這些都促使企業對風險管理給予高度的關注。要對風險管理過程的充分性和有效性進行評價,首先要對風險管理體系有一個初步的了解。根據美國COSO委員會《企業風險管理框架》的要求,建立風險管理體系包括相互關聯的八個風險管理要素,各要素貫穿在企業管理過程中,為實現企業目標提供保證。

(1)內控環境。主要是在企業中樹立風險管理理念,營造一種風險管理文化,包括建立企業的風險文化,制定明晰的戰略、目標,明確企業的風險責任人和利益相關者,使用統一的風險語言,為其他風險管理要素打下基礎。

(2)目標制定。管理者必須首先確定企業的目標,才能夠確定對目標的實現有潛在影響的事項。根據企業確定的任務或預期,管理者制定企業的戰略目標,選擇戰略并確定其他與之相關的目標并在企業內層層分解和落實。

(3)事項識別。下列事情可能給組織帶來風險:因使用不正確、不及時、不完整、不可靠的資料而導致決策錯誤;記錄有錯誤、會計核算資料不真實、不完整;資產保護不當;顧客不滿意,組織信譽受損;執行組織決策、計劃、程序不力,或有違法違規行為;不經濟地獲取或無效地利用資源;沒有完成組織的任務和目標。需要企業的管理者對其進行識別、評估和反應。

(4)風險評估。評估風險是ERM執行中關鍵的步驟之一。在評估風險的過程中要注意選擇合適的評估技術,評估風險事件發生的可能性和頻繁度,風險事件的潛在影響及其成本的高低,最后繪制一張風險地圖。評估風險事件的方法有很多,如定量方法、定性方法,企業可以根據自身的具體情況來制定自己的評估方法。

(5)風險反應。風險反應可以分為規避風險、減少風險、共擔風險和接受風險四類。對于每一個重要的風險,企

業都應考慮所有的風險反應方案。有效的風險管理要求管理者選擇可以使企業風險發生的可能性和影響都在風險容忍度之內的風險反應方案。

(6)控制活動??刂拼胧┚褪窃诮邮茱L險的情況下,評估因接受風險所帶來的額外費用和保險費用,評估因控制帶來的管理成本和回報。在降低風險的情況下,明確所需的控制活動,評估這些控制活動所帶來的成本費用。控制活動還包括評估目前組織、程序、系統和反饋系統管理風險的能力。最后通過控制行為,調險地圖。風險發生的可能性和頻率是很難改變的,最有效的就是通過對風險管理成本的控制,將風險盡量降低到企業可承受范圍以內。

(7)信息和溝通。信息系統應當有效地追蹤企業當前正在發生的事件以及已經避免的事件。同時企業還要保證有及時的關于企業各個層面的ERM報告。在風險活動中發生的成本費用和控制活動。其次要溝通ERM的有效性和成本費用。保證在企業中有定期的ERM報告,尤其是包括員工的責任義務完成狀況以及對ERM的檢查情況,CRO和其他重要的執行官要對ERM的有效性和成本加以測量和存檔,同時明確向董事會和執行官報告的責任和途徑。

(8)監控。對企業風險管理的監控是指評估風險管理要素的內容和運行以及執行質量的一個過程。企業可以通過持續監控和個別評估兩種方式,來保證企業的風險管理在企業內務管理層面和各部門持續得到執行。風險不是靜態的,風險的數量和可能性會隨內外部環境的變化而變化,持續的監控對有效地管理風險是最基本的。通過持續的監控可以使企業明確在下一步的風險管理中應當改進的問題。通過這個環節可以明確ERM可以給企業帶來的利益與價值,了解風險評估的正確性,為下一次的評估提供經驗教訓,明確風險回應決策的有效性,同時還有助于控制成本費用。

從以上八個風險管理要素可以看出,企業風險管理是一個過程。是一個由企業的董事會、管理層和其他員工共同參與的,應用于企業戰略制定和企業內部各個層次和部門的,用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的,為企業目標的實現提供合理保證的過程。轉貼

2內部審計在風險管理中的作用

根據《內部審計實務標準》對內部審計的定義:內部審計是一種獨立、客觀的保證與咨詢活動,目的是為機構增加價值并提高機構的運作效率。它采用系統化規范化的方法來對風險管理、控制及治理程序進行評估和改善,從而幫助機構實現其目標。所以在風險管理中,內部審計可以發揮以下作用:

(1)內部審計人員熟悉公司業務并能夠隨時深入到生產經營的全過程去了解掌握具體情況,收集大量的第一手資料,從中發現存在風險的隱患問題,進行風險分析,提請管理層注意風險管理和控制等的相關建議。

(2)內部審計通過咨詢服務方式積極協助公司進行風險管理過程的建立。風險管理是一個復雜的系統工程,在一個組織內部應當明確職責分工,各司其職。董事會負責制定戰略目標,高層領導各負責一個方面的風險管理責任,其他管理人員由管理層分配一部分工作,操作人員負責日常監控,而內部審計人員則負責定期評價和保證工作。內部審計師可以促進、協助風險管理過程的建立,但不負風險管理的責任。

(3)內部審計通過將風險管理評價作為審計工作的重點,以檢查、評價風險管理過程的充分性和有效性。內部審計主要從兩個方面評估風險管理過程的充分性和有效性。

①評價風險管理主要目標的完成情況。主要表現在評價公司以及同行業的發展情況和趨勢,確定是否可能存在影響企業發展的風險;檢查公司的經營戰略,了解公司能夠接受的風險水平;與相關管理層討論部門的目標、存在的風險,以及管理層采取的降低風險和加強控制的活動,并評價其有效性;評價風險監控報告制度是否恰當;評價風險管理結果報告的充分性和及時性;評價管理層對風險的分析是否全面,為防止風險而采取的措施是否完善,建議是否有效;對管理層的自我評估進行實地觀察、直接測試,檢查自我評估所依據的信息是否準確,以及其他審計技術;評估與風險管理有關的管理薄弱環節,并與管理層、董事會、審計委員會討論。如果他們接受的風險水平與公司風險管理戰略不一致,應進行報告。

②評價管理層選擇的風險管理方式的適當性。由于各個公司的文化氛圍、管理理念和工作目標不同,風險管理的實施也有很大差別。每個公司應根據自身活動來設計風險管理過程。一般說來,規模大的、在市場籌資的公司必須用正式的定量風險管理方法;規模小的、業務不太復雜的,則可以設置非正式的風險管理委員會定期開展評價活動。內部審計人員的職責是評價公司風險管理方式與公司活動的性質是否適當。

(4)內部審計應積極持續地支持并參與風險管理過程,對風險管理過程進行管理和協調。在現代企業制度下,公司全面建立了風險管理過程,內部審計因此能夠擔負起風險管理的職能。首先,內部審計從評價各部門的內部控制制度入手,在生產、采購、銷售、財務會計、人力資源管理等各個領域查找管理漏洞,識別并防范風險,做出相關評價。其次,內部審計可以深入到企業管理的極細微的環節上查找問題,分析其合理性。內部審計人員更多的是以風險發生可能性大小為依據,深入到經營管理的各個過程,查找并防范風險。再次,內部審計在部門風險管理中還起著協調作用。不僅各部門有內部風險,而且各管理部門還有共同承擔的綜合風險,內部審計人員作為獨立的第三方,可協調各部門共同管理企業,以防范宏觀決策帶來的風險。

3將企業風險管理融入內部審計程序

在風險管理中,內部審計部門主要是對風險管理部門和其他相關部門所進行的風險管理進行再監督。因此內部審計程序與機構的風險管理之間應該協調一致,使這兩項工作產生協同增效的作用。

(1)在編制審計計劃時,應該在對可能影響機構的風險進行評估的基礎上,制定內部審計部門的審計計劃,確定審計項目。

(2)確定審計范圍時,要考慮并反映整個公司的戰略性計劃目標,并每年對審計范圍進行一次評估,以反映機構的最新戰略和方針。

(3)編制審計方案時,通過風險因素分析來確定審計業務工作重點;在審計實施過程中,通過評價內部控制制度,查找其中的疏漏和薄弱環節;在更新審計范圍與計劃的內容時,要反映管理層的方針、目標、工作重心出現的變化。在選擇檢測、證實風險的技術與方法時,應該能夠反映出風險的重大性與發生的可能性。

(4)在編制審計報告時,應對風險管理狀況進行評價,指出風險管理中存在的漏洞和不足之處,提出加強管理的建議。

篇7

【關鍵詞】內部控制;企業風險管理;風險審計

一、企業風險管理

(一)企業風險管理概念

根據《企業風險管理框架》(簡稱ERM框架),“企業風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從組織戰略制定一直貫穿到組織的各項活動中,用于識別那些可能影響組織的潛在事件并管理風險,使之在組織的風險偏好之內,從而合理確保組織取得既定的目標?!盓RM框架有三個維度,第一維是組織的目標,包括戰略目標、經營目標、報告目標和合規目標;第二維是企業風險管理要素,包括內部環境、目標設定、事項識別、風險評估、風險反應、控制活動、信息和交流、監控;第三維是組織的各個層級,包括整個組織、各職能部門、各條業務線及下屬各子公司。ERM三個維度的關系是,企業風險管理的八個要素都是為組織的四個目標服務的;組織各個層級都要堅持同樣的四個目標;每個層次都必須從以上八個方面進行風險管理。企業風險管理定義直接關注組織目標的實現,并且為衡量組織風險管理的有效性提供了基礎。該定義強調:風險管理本身并不是一個結果,而是實現結果的一種方式;決定一個組織的風險管理是否有效是基于對風險管理要素設計和執行是否正確的評估基礎上的一個主觀判斷;該過程應應用于組織內部每個層次和部門,可以從一個組織的總體來認識,也可以從一個單獨的部門或多個部門的角度來認識;該過程是用來識別可能對組織造成潛在影響的事項并在風險偏好的范圍內管理風險。

(二)企業風險管理要素

1.內部環境。內部環境包含組織基調,是組織員工如何看待風險、對待風險的基礎,包括風險管理理念、風險偏好、正直和道德價值觀及工作環境,是其他所有風險管理要素的基礎,為其他要素提供規則和結構。管理當局是內部環境的重要組成部分,對其他內部環境要素有重要的影響,其職責是建立組織風險管理理念,確定組織的風險偏好,營造組織的風險文化,并將風險管理和相關的初步行動結合起來。

2.目標制定。組織先制定使命,在此背景下,管理層制定戰略和目標,并把目標逐層分解為戰略目標(高層次目標,和組織使命方向一致,并支持使命)、運營目標(有效且高效地使用資源)、報告目標(報告的可靠性)和合規目標(遵循適用的法律法規)。企業風險管理框架就是為實現組織目標服務,確保管理層參與目標制定流程,確保所選擇的目標不僅和組織使命方向一致,支持組織的使命,而且能夠保證制定的目標與組織的風險偏好相一致。

3.事項識別。事項既可能帶來消極后果,也可能帶來積極后果,或者帶來混合后果。消極后果的事項意味著風險,它會阻礙價值創造或破壞現有價值。積極后果的事項會抵消消極影響,或者帶來機會(所謂機會,就是事項如果發生,能促進目標的實現,能支持價值創造或價值的保存)。因此,管理者應識別影響組織目標實現的內外事項,分清風險和機會。企業風險管理能夠改善對交叉影響的有效反應,并能為各種風險提供統一的風險反應對策。

4.風險評估。識別和分析風險,考慮可能性和后果,在此基礎上決定應如何管理風險。風險評估可以使管理者了解潛在事項如何影響組織目標的實現。管理者應從兩個方面對風險進行評估――風險發生的可能性和影響。風險發生的可能性是指某一特定事項發生的可能性,影響則是指事項的發生將會帶來的影響。對于風險的評估應從組織戰略和目標的角度進行。

5.風險反應。風險反應是管理層選擇風險反應方式并制定一套措施把風險控制在組織的風險容忍度和風險偏好之內。風險反應可以分為規避風險、減少風險、共擔風險、接受風險和利用風險。規避風險是指采取措施退出會給組織帶來風險的活動。減少風險是指減少風險發生的可能性、減少風險的影響或兩者同時減少。共擔風險是指通過轉嫁風險或與他人共擔風險,降低風險發生的可能性或降低風險對組織的影響。接受風險則是不采取任何行動而接受可能發生的風險及其影響。利用風險是把風險看作機會,利用可能發生的風險及其影響。對于每一個重要的風險,組織都應考慮所有的風險反應方案。

6.控制活動??刂苹顒邮菐椭WC風險反應方案得到正確執行的相關政策和程序??刂苹顒哟嬖谟诮M織的各部分、各個層面和各個部門,通常包括兩個要素:確定應該做什么的政策和影響該政策的一系列程序。

7.信息和溝通。識別、分析和溝通來自于組織內部和外部的相關信息,必須以一定的格式和時間間隔進行確認、捕捉和傳遞,以保證組織的員工能夠執行各自的職責。有效的溝通包括組織內上傳、下達和平行的溝通,還包括將相關的信息與組織外部相關方進行有效溝通和交換。

8.監控。監控是指評估風險管理要素的內容和運行以及一段時期的執行質量的一個過程。組織可以通過兩種方式對風險管理進行監控――持續監控和個別評估。持續監控和個別評估都是用來保證組織的風險管理在組織內務管理層面和各部門持續得到執行。

二、風險管理審計

(一)風險管理審計的目標

風險管理審計是指勝任的專職機構和專業人員對組織內部風險管理程序、風險反應、管理制度及機制的合理性、有效性進行獨立的審查和評價過程。風險管理審計的根本目的是最大限度地增加組織價值。

審計目標是回答“通過審計要證明什么”的理論問題,是審計行為的出發點,是審計工作的指南,也是審查和評價審計內容所期望達到的境地和最終結果。審計目標體系由總目標、一般目標和項目目標構建。

(二)風險管理審計的內容

審計內容是回答“審計什么”的問題。根據ERM框架中的要素,風險管理審計的內容主要包括:

1.風險管理程序的科學性和合理性,主要包括風險管理開發階段所制訂的風險管理框架結構的內容;風險管理試探階段所實施風險管理框架結構的內容;風險管理回顧階段所豐富并增強風險管理框架結構的內容;風險管理展開階段所推廣并實施風險管理框架的情況;風險管理支持階段所需要提供的各種基礎組織以及服務。

2.風險反應的周密性和可行性,主要包括風險反應計劃的周密性(如有否考慮風險的可規避性、可轉移性、可減少性、可接受性);風險應對策略的可行性(如是否采取了風險控制、風險自留、風險轉移)。

3.風險管理制度的合法性和完善性,主要包括風險管理制度的合法性(如建立風險管理制度是否經過充分論證);風險管理體制的完善性(如考核評價體制和責任追究制度是否健全)。

4.風險管理機制的結構性和盡責性,主要包括高層管理人員和重要崗位業務人員的風險管理理念及對風險管理的重視程度;風險管理人員的結構和素質;全員風險管理的情況。

(三)風險管理審計的程序

1.審計規劃階段,包括選定被審計對象和制定風險管理審計計劃。被審計對象選定工作包括識別被審計對象的策略、識別潛在被審計對象和排列被審計對象的順序。制定風險管理審計計劃包括制訂財務風險管理、生產風險管理、市場風險管理、會計風險管理、人事風險管理和其他風險管理審計計劃,確定風險管理審計的位置和背景。

2.審計測評階段,包括風險的分析、評估和監控。(1)分析風險。審計人員應對風險跡象進行深入了解、描述和記錄,并對風險的可能性和發生頻率進行分類。風險可能性分析結果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“基本確定”等類別,風險發生頻率分析結果一般可分為“高頻率、高損害風險”,“高頻率、低損害風險”,“低頻率、低損害風險”,“低頻率、高損害風險”等類別。(2)評估風險。審計人員應分析風險的成因及其影響,并確定風險程度及等級。風險程度一般分為“極高”、“高”、“中等”、“低”和“極低”等級別。風險概率用風險發生可能性的百分比表示,風險量=風險概率×風險損失量。(3)監控風險。審計人員應對可能發生的風險和損失進行跟蹤檢查。跟蹤已識別風險的發展變化情況,包括在整個項目生命周期內,風險產生的條件和導致的后果變化,作出減緩風險的方案,調險管理計劃。

3.審計報告階段,包括匯總審計結果、出具審計報告和追加后續審計。(1)匯總審計結果,包括審計現狀、標準、差異、原因和建議等部分。如審計建議中對損失大、概率大的災難性的風險要避免;對損失小、概率大的風險,可采取措施來降低風險量;對損失大、概率小的風險,可通過保險或合同條款將責任轉移;對損失小、概率小的風險,可采取積極手段來控制。(2)出具審計報告,包括標題、收件人、正文、附件、簽章、報告日期等基本要素。審計報告正文部分主要內容有:審計目標、風險概況、審計依據、審計結論、審計評價和審計建議等。(3)追加后續審計。ERM是一個動態的過程,審計測試應與之相協調,追加后續審計顯得重要。后續審計應將重點放在最嚴重的問題上,相關部門是否予以糾正,若不糾正,責任和原因到底在哪兒;對一般事項可僅限于詢問和簡短的討論。

【參考文獻】

[1] 朱榮恩,賀欣.內部控制框架的新發展――企業風險管理框架[J].審計研究,2003,(6).

[2]中國內部審計協會.內部審計理論與實務[M].中國石化出版社,2004.

篇8

[關鍵詞] 企業風險管理理論 中央企業 本土化

本世紀初以來,以不確定性為基本研究對象的企業風險管理(Enterprise Risk Management,ERM)理論逐漸進入我國實業界和研究者的視野。2006年6月,國務院國有資產監督管理委員會頒布實施了《中央企業全面風險管理指引》(下稱《指引》),該《指引》的頒行,可以看成是企業風險管理理論在我國大規模本土化的開始。

一、企業風險管理理論概要及在我國的規范化實施

1.企業風險管理(ERM)理論的一般框架。企業風險管理作為一種全新管理理念或管理框架的最終形成,是由美國發起人組織委員會(Committee of Sponsoring Organizations of the Treadway Commission,COSO)在2004年9月提出的,標志文書是《企業風險管理――整合框架》(Enterprise Risk Management Integrated Framework,下稱《整合框架》),這個框架是迄今為至企業風險管理最完善、最成熟的理論概括。COSO認為,企業風險管理是經由企業當局廣泛參與,對企業面臨的不確定性進行多要點掌控,以實現組織目標的過程。

《整合框架》提出了企業風險管理的8個核心要素,即,目標設定、內部環境、事件識別、風險評估、風險回應、信息溝通、控制活動和持續監督,這8個要素組成了一個有機體系。企業風險管理有4個目標,即,戰略目標、經營目標、報告目標和合規目標。理想的ERM框架是通過對不確定性的管理增加股東價值,以共同的語言和要素安排,落實企業的上述4項目標。企業風險管理的要素與目標之間是一種緊密的支持與保證關系。

2.企業風險管理在我國中央企業的初步實踐。在《整合框架》的背景下,2006年6月國資委根據《中a華人民共和國公司法》、《企業國有資產監督管理暫行條例》等法律法規,制定頒布了《中央企業全面風險管理指引》,對中央企業實施風險管理的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理信息系統等進行了系統規范,成為中央企業風險管理的權威指導文書。之后,一些省市區也出臺了很多相關文件,對《指引》的實際操作進行具體化?!吨敢匪Q企業風險,包括純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存),具體分為戰略風險、財務風險、市場風險、運營風險、法律風險等。

《指引》對企業風險管理的目標、流程描述,與《整合框架》中的描述大體相同。它將企業風險管理的目標設定為五個方面:一是將風險控制在與總體目標相適應并可承受的范圍內;二是確保企業內外部實現真實、可靠的信息溝通;三是遵守法律法規;四是通過企業制度安排降低實現經營目標的不確定性;五是建立針對重大風險發生后的危機處理計劃。這五個方面的目標,分別對應著《整合框架》提出的4個目標。它將企業風險管理流程區劃為收集初始信息、進行風險評估、制定管理策略、提出實施解決方案和監督改進等5個階段,分別對應著《整合框架》中的企業風險管理8大基本要素。

二、企業風險管理理論本土化過程中應注意的問題

1.找到切合實際的本土化切入點

一方面,通過對《指引》的解讀可知,與國資委以往出臺的文件有很大不同是,過去國資委頒行的大多數文件都是在對企業大量實踐經驗進行分析總結的基礎之上形成的,是一個從實踐到理論,再從理論回到實踐的過程。而《指引》則正好相反,它來自于成熟的理論,而且主要是國外的成熟理論,先于國內企業的管理實踐。另一方面,每一個中央企業都有其特殊的行業特點、既有體制、歷史傳承、文化特色和企業員工隊伍、管理當局的素質水平等,這決定了不同的企業在實施風險管理時應有不同的切入點或突破口,不能好高騖遠,要從各自的實際出發,找準影響各自企業主要經營管理領域的不確定性來源,有針對性地進行企業風險管理實踐。

2.建立起具有可操作組織規范

企業風險管理理論和《指引》都是針對企業所面臨的時時處處都存在的各類風險提出的,都只是一個理論框架和方向指引,沒有統一具體的模式。它要求企業圍繞總體經營目標,通過在企業各個管理環節和經營過程中執行風險管理的基本流程,營造風險管理的氛圍,建設風險管理體系,等等。可見,無論企業風險管理理論還是《指引》,都沒有為中央企業的現實經營管理給出一個具體的、可以搬來即用的藥方,所以,將企業風險管理理論和《指引》具體化為每一個中央企業中看得見、摸得著的具體組織結構和規章制度,是當前我國中央企業需要下大力氣去做的事情。

3.培育良好的氣氛和合格主體

一般講,一個良好的適合于特定企業的ERM氛圍,應該至少包括以下幾個方面內容:一是將企業的風險偏好與企業戰略有機聯系;二是能夠保證企業的風險管理戰略、企業的發展戰略與企業的股東價值保持一致;三是可以提供鑒別和評估風險的工具,并有強大的企業輿論支持這些工具使用;四是企業各層面有統一的風險語言,和暢通的溝通管道。任何一個ERM框架都是在一定的氛圍中由具體的企業成員最終實施的,沒有良好的企業風險管理氛圍,得不到企業各層面人員的支持,再好的企業風險管理框架和《指引》都會流于口號和形式。

參考文獻:

[1]滕青:我國企業風險管理框架構建[J].經濟管理,2007,(3):45~48

篇9

關鍵詞:電網企業;風險管理;審計

作者簡介:梁國棟(1977-),男,河南新鄉人,北京英大長安風險管理咨詢有限公司咨詢業務一部主任,國家注冊管理咨詢師,國際注冊內部審計師,經濟師。

中圖分類號:F272 文獻標識碼:A 文章編號:1007-0079(2013)14-0183-02

隨著國務院國資委《中央企業全面風險管理指引》和財政部等五部委聯合頒布的《企業內部控制規范》的先后出臺,國家部委和監管機構日益重視央企風險管理工作,國家電網公司系統在公司總部的正確引領下,正在大力推進全面風險管理體系和內控體系建設,并在完善組織架構、運營體系建設、專項領域研究和風險文化建設等方面不斷取得突破。

內部審計職能作為電網企業全面風險管理體系的第三道防線,需要運用科學的風險管理審計方法,對已有風險管理工作進行客觀、真實和有效地評價,責任重大。然而,風險管理審計作為一項尚未完全成熟的審計職能,仍需對其進行不斷研究。

一、電網企業風險管理審計理論簡述

中國內部審計具體準則第16號《風險管理審計》指出“本準則所稱風險管理審計,是指內部審計機構、內部審計人員依據國家法律、法規、政策和標準,獨立、客觀地對本組織風險管理和治理過程進行監督、評價和咨詢,提出改進和加強風險管理的意見或建議的行為”。

根據以上定義,電網企業風險管理審計是指電網企業內部審計部門采用系統化、規范化的方法來進行以測試風險管理體系建設、各業務循環以及相關部門的風險識別、風險評估、風險控制等為基礎的一系列審核活動,從而實現對電網企業風險管理工作適當性、有效性的評價,促進電網企業提高風險管理工作的效率和效果。

風險管理審計作為內部審計的嶄新領域,與傳統的財務審計、制度審計等相比具有兩方面的差異。

一是風險管理審計與企業目標直接關聯。傳統內部審計將著眼點放在財務結果、經營管理活動等方面,并沒有與企業戰略、經營目標相聯系。而風險管理審計則是立足企業經營目標,對影響目標實現的不確定性因素的管理進行審計,把握企業整體和各流程、各部門的風險,通過“目標—風險—管理—審計”的路線將審計對象與企業目標直接聯系,從而更好地為企業服務。

二是風險管理審計將原有審計關口前移。在傳統的審計模式下,審計的目的是對已經發生的事件進行檢查和分析,從而揭示已經發生的風險事件、差錯和舞弊。而風險管理審計則立足企業重大風險,對風險的管理過程和效果進行測試、評價和反饋,充分體現事前審計的思想,由原先消極的以“發現和評價”為主的內部審計活動轉向積極的防范和解決問題的內部審計活動。

電網企業面臨的高風險經營環境日益復雜,帶來了自身風險管理需求的提升,如何有效評價風險管理工作是引起電網企業風險管理審計產生的內部背景,與此同時,電網企業風險點眾多,內部審計部門還需要對重大風險點進行風險管理專項審計。因此,電網企業引入風險管理審計需求強烈。

二、風險管理審計與企業風險管理的關系

電網企業開展全面風險管理體系建設是一項龐大的系統工程,一方面需要搭建公司級的組織體系、制度體系、流程體系和文化體系,另一方面又要整合原有風險管理工作成果,例如安全風險管理(涉及電網、設備和人身)、財務風險管理、營銷風險管理等。為確保風險管理的充分性和有效性,對風險管理進行持續監控必不可少。

在電網企業全面風險管理體系建設過程中,管理層在做出風險管理決策方面負主要責任,而審計人員在管理層的風險決策方面可以提供建議、質疑或者支持,通過運用風險管理方法和技術,對風險管理過程的充分性和有效性進行檢查、評價和報告,提出改進建議和意見,為電網企業管理層提供有關決策參考。

因此,風險管理審計的目標就是內部審計部門采用系統、科學的審計方法,結合風險管理工具,對電網企業風險管理工作的完整性、合理性和有效性進行評價。

三、電網企業風險管理審計的內容與方法

國家電網公司目前開展的全面風險管理體系建設工作已經取得了豐碩的成果,根據國網公司系統風險管理體系建設取得的經驗,一個設計完整、運行有效的風險管理體系應該包括兩個層面的風險管理體系,即公司層面風險管理體系和業務層面風險管理體系,內審部門開展風險管理審計工作的內容,應立足上述兩個方面實施,具體如圖1所示。

如圖1所示,電網企業內審部門可以采取“立足一個體系、抓住兩個層面”的工作思路,從公司層面對電網企業開展風險管理體系建設工作的完整性和有效性進行評價,從業務層面對電網企業開展風險管理具體工作的設計有效性和執行有效性進行評價。

在整個風險管理審計過程中,內審部門在公司層面的風險管理審計中往往不用花費過多的精力,而業務層面風險管理則是整個風險管理審計工作的重中之重,一般而言,針對業務層面風險管理的審計可采取如下方式:

1.立足風險管理策略

風險管理策略是電網企業面對公司各類風險的態度,它包括風險偏好、風險承受度等內容。風險管理策略制定的科學與否直接關系到后續風險管理工作的成敗,因此在具體審計過程中,必須牢牢抓住風險管理“策略制定程序的合規性、策略選擇方法的科學性和策略選擇結果的適當性”這三個關鍵問題。

2.關注企業目標設定

風險的定義是“不確定性對目標的影響”,因此在風險管理審計過程中,要首先關注目標設定是否恰當,是否是管理層或各部門的關注目標。一旦目標發生偏移,則再科學、有效的風險管理工作也將毫無價值,因此在具體審計過程中,應關注設定目標的準確性和適當性。

3.抓住風險識別范圍

在目標設定的情況下,風險識別的結果將會對電網企業風險狀況的了解產生重大影響。因此,內審部門在審計過程中,應重點關注風險識別的方法是否適當、過程是否嚴密、結果是否完整。一般意義上,針對設定目標識別出的風險應該是窮盡的,而且是基于原因的(對目標實現有影響的原因或者因素)。

4.分析風險評估標準

評估標準在一定意義上是電網企業風險偏好和承受度的直觀反映,風險評估標準涉及到風險發生可能性和影響程度兩個維度,審計時要充分考慮到評估標準在電網企業風險偏好的影響下,其風險承受度的極大值和極小值是否與標準相符,因此在開展該階段審計時,應重點關注風險管理標準設計的前后一致性、科學性和適用性,

5.判斷風險控制措施

風險控制措施往往都是針對重大風險而設計的,因此,針對風險控制措施的審計,首先要特別關注該控制措施是否是對重大風險有針對性;其次要關注控制措施設計的全面性;最后要關注所設計控制措施的有效性。審計關注重點可包括風險成因分析、措施制定情況、工作節點安排、具體責任歸屬和控制預期成果等方面。

6.審視監督改進機制

作為相對獨立的第三方,內審職能還應對電網企業風險管理工作的閉環管理機制進行審計和評價,以判斷其監督改進工作是否開展?如何開展?以及有效性如何?從而為管理層判斷公司風險管理工作的有效性提供證據。因此,審計的關注重點應放在機制是否按照計劃、組織、實施、控制、反饋的閉環回路進行。

7.追蹤重大風險預警

針對重大風險的監控和預警是整個風險管理工作的核心,也是內審部門在有限的審計資源條件下,有效開展風險管理審計工作的重點。電網企業每年年初都會針對當年的風險情況進行識別、評估,確定重大風險,從而集中優質資源予以管控,并設置預警指標予以監控,內審機構可相應地跟進上述過程,并保持應有的職業敏感性和判斷力,從相對獨立、客觀的角度保持對重大風險的追蹤,從而對重大風險的管理工作做到全過程、全方位的評價。

四、電網企業風險管理審計的主要方法

1.問卷調查法

“問卷調查法”是指內審人員針對需要調查了解的風險管理體系構成要素和風險控制點,設計擬調查的問題條款,形成調查問卷以了解風險管理情況的方法。調查問題的提出,應緊緊圍繞風險管理體系中的控制點及其管理措施,即對控制點設置的各項控制措施逐一設計調查問題。問卷調查表的設計一般可分三步進行:一是確定風險管理審計目標;二是根據審計目標,確定所要調查的風險控制點及其控制措施;三是根據控制點及其控制措施擬定具有針對性的調查問題。調查問卷的格式,通常有封閉式和開放式兩種。其要素一般包括:調查單位、調查項目、調查時間、調查問題、被調查人、審計負責人和審計調查人等。

2.流程圖分析

“流程圖分析”是指企業風險管理部門將整個企業生產過程的一切環節系統化、順序化,制成流程圖,從而便于發現企業面臨的風險。內審部門可根據本企業的生產流程,列舉出各個生產環節的所有風險。流程圖通常包括風險點、控制點、審批環節等,能夠直觀反映流程中的風險分部情況。然而,流程圖中往往難以直接顯示控制點的控制措施,因此還需借助風險控制矩陣、權限指引等表單,以配合對流程圖的理解。

3.自我評估法

“控制自我評估”(Control Self Assessment,簡稱CSA)是IIA協會力推的一種風險控制自我評估方法,在發達國家的企業內審工作中應用比較普遍,是指企業內部為實現目標、控制風險而對內部控制系統的有效性和恰當性實施自我評估的方法。其有三個基本特征:關注業務的過程和控制的成效;由管理部門和職員共同進行;用結構化的方法開展自我評估。內審人員可積極推動企業管理層和部門負責人引入與推廣該方法,以實現對風險管理的自我評價。

4.價值鏈分析

“價值鏈分析法”指的是審計人員通過對被審計項目的價值鏈活動進行風險識別并且找出其重大風險,進而對重大風險上的風險管控措施的有效性情況進行評估,同時還對價值鏈的內部聯系和縱向聯系進行風險分析,查找所采取的風險控制措施不適當、高成本或者控制效果不佳的問題,做出重大風險管理措施有效性評價并且提出審計建議的一種工作方法。

5.專家意見法

“專家意見法”是指審計人員依據系統的程序,采用匿名發表意見的方式向專家征求意見,即專家之間不得互相討論,不發生橫向聯系,只能與調查人員發生關系,通過多輪次調查專家對問卷所提問題的看法,經過反復征詢、歸納、修改最后匯總成專家基本一致的看法,作為針對某個風險管理活動的風險管

理情況評價的結果。這種方法具有廣泛的代表性,較為可靠。

6.概率分析法

“概率分析法”又稱風險分析法,是通過研究影響目標實現的各種不確定性因素發生的頻率及其對目標的影響程度,進而對風險的等級做出判斷,并對相應的風險管理措施的優劣作出判斷的一種不確定性分析法。概率分析法常用于對大中型重要若干項目的評估和決策之中。

五、結語

風險管理審計尚處于不斷發展、創新的過程中,在中國企業中的應用尚不普遍,還需要不斷的深入研究。隨著電網企業風險管理工作的不斷深入推進,內審部門作為風險管理的第三道防線,其承擔的監督檢查職能日益重要,內審部門相對獨立、客觀、科學地評價風險管理工作成效將是今后電網企業風險管理工作的重點。

參考文獻:

[1]國務院國資委.中央企業全面風險管理指引(國資發改革[2006]108號)[Z].2006.

[2]石貴泉,王凡林.現代內部審計理論與實務[M].濟南:山東人民出版社,2005.

[3]卓繼民.現代企業風險管理審計[M].北京:中國財政經濟出版社,2005.

篇10

1.企業風險管理(ERM)理論的一般框架。企業風險管理作為一種全新管理理念或管理框架的最終形成,是由美國發起人組織委員會(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO)在2004年9月提出的,標志文書是《企業風險管理——整合框架》(EnterpriseRiskManagementIntegratedFramework,下稱《整合框架》),這個框架是迄今為至企業風險管理最完善、最成熟的理論概括。COSO認為,企業風險管理是經由企業當局廣泛參與,對企業面臨的不確定性進行多要點掌控,以實現組織目標的過程。

《整合框架》提出了企業風險管理的8個核心要素,即,目標設定、內部環境、事件識別、風險評估、風險回應、信息溝通、控制活動和持續監督,這8個要素組成了一個有機體系。企業風險管理有4個目標,即,戰略目標、經營目標、報告目標和合規目標。理想的ERM框架是通過對不確定性的管理增加股東價值,以共同的語言和要素安排,落實企業的上述4項目標。企業風險管理的要素與目標之間是一種緊密的支持與保證關系。

2.企業風險管理在我國中央企業的初步實踐。在《整合框架》的背景下,2006年6月國資委根據《中a華人民共和國公司法》、《企業國有資產監督管理暫行條例》等法律法規,制定頒布了《中央企業全面風險管理指引》,對中央企業實施風險管理的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理信息系統等進行了系統規范,成為中央企業風險管理的權威指導文書。之后,一些省市區也出臺了很多相關文件,對《指引》的實際操作進行具體化?!吨敢匪Q企業風險,包括純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存),具體分為戰略風險、財務風險、市場風險、運營風險、法律風險等。

《指引》對企業風險管理的目標、流程描述,與《整合框架》中的描述大體相同。它將企業風險管理的目標設定為五個方面:一是將風險控制在與總體目標相適應并可承受的范圍內;二是確保企業內外部實現真實、可靠的信息溝通;三是遵守法律法規;四是通過企業制度安排降低實現經營目標的不確定性;五是建立針對重大風險發生后的危機處理計劃。這五個方面的目標,分別對應著《整合框架》提出的4個目標。它將企業風險管理流程區劃為收集初始信息、進行風險評估、制定管理策略、提出實施解決方案和監督改進等5個階段,分別對應著《整合框架》中的企業風險管理8大基本要素。

二、企業風險管理理論本土化過程中應注意的問題

1.找到切合實際的本土化切入點

一方面,通過對《指引》的解讀可知,與國資委以往出臺的文件有很大不同是,過去國資委頒行的大多數文件都是在對企業大量實踐經驗進行分析總結的基礎之上形成的,是一個從實踐到理論,再從理論回到實踐的過程。而《指引》則正好相反,它來自于成熟的理論,而且主要是國外的成熟理論,先于國內企業的管理實踐。另一方面,每一個中央企業都有其特殊的行業特點、既有體制、歷史傳承、文化特色和企業員工隊伍、管理當局的素質水平等,這決定了不同的企業在實施風險管理時應有不同的切入點或突破口,不能好高騖遠,要從各自的實際出發,找準影響各自企業主要經營管理領域的不確定性來源,有針對性地進行企業風險管理實踐。

2.建立起具有可操作組織規范

企業風險管理理論和《指引》都是針對企業所面臨的時時處處都存在的各類風險提出的,都只是一個理論框架和方向指引,沒有統一具體的模式。它要求企業圍繞總體經營目標,通過在企業各個管理環節和經營過程中執行風險管理的基本流程,營造風險管理的氛圍,建設風險管理體系,等等??梢?,無論企業風險管理理論還是《指引》,都沒有為中央企業的現實經營管理給出一個具體的、可以搬來即用的藥方,所以,將企業風險管理理論和《指引》具體化為每一個中央企業中看得見、摸得著的具體組織結構和規章制度,是當前我國中央企業需要下大力氣去做的事情。

3.培育良好的氣氛和合格主體

一般講,一個良好的適合于特定企業的ERM氛圍,應該至少包括以下幾個方面內容:一是將企業的風險偏好與企業戰略有機聯系;二是能夠保證企業的風險管理戰略、企業的發展戰略與企業的股東價值保持一致;三是可以提供鑒別和評估風險的工具,并有強大的企業輿論支持這些工具使用;四是企業各層面有統一的風險語言,和暢通的溝通管道。任何一個ERM框架都是在一定的氛圍中由具體的企業成員最終實施的,沒有良好的企業風險管理氛圍,得不到企業各層面人員的支持,再好的企業風險管理框架和《指引》都會流于口號和形式。

參考文獻:

[1]滕青:我國企業風險管理框架構建[J].經濟管理,2007,(3):45~48

[2]陳穎杰趙陽:談企業整體風險管理[J].商業經濟研究,2007,(28):44~45

[3]張東毅:淺談國有企業風險管理[J],山東煤炭管理干部學院黨報,2007,(3):11~12