企業風險管理要素范文
時間:2023-09-07 17:58:16
導語:如何才能寫好一篇企業風險管理要素,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
隨著我國市場經濟體制的不斷完善,對于供電企業,機遇與挑戰并存。一方面,企業面臨著經濟平穩較快增長、產業結構逐步調整、用電需求總體擴大、電力技術持續創新等有利于企業發展的新機遇;另一方面,企業也面臨著煤價上漲、上網電價提高、電力市場競爭加劇、輸配電價空間狹小、終端銷售電價無利上漲等外部經營環境的新變化。
如何適應環境的變化、提高抗風險能力,成為擺在供電企業管理者面前的一個現實而嚴峻的問題。2006年6月6日,國務院國有資產監督管理委員會了《中央企業全面風險管理指引》(以下簡稱《指引》)。《指引》對中央企業如何開展全面風險管理工作提出了明確要求。為建設技術先進、運作高效、風險在控、管理科學的現代電網企業,更好履行社會責任,競爭中立于不敗之地,供電企業必須構建全面風險管理體系。本文將在分析供電企業風險管理現狀的基礎上,探討建立供電企業全面風險管理體系的必要性,提出構建基于廣義安全以五要素為核心的供電企業全面風險管理體系。
一、供電企業風險管理現狀分析
筆者通過對供電企業風險管理現狀的大量調查分析,發現供電企業現階段風險管理主要存在如下問題,制約著企業的可持續發展。
1.企業風險管理多為事后控制,缺乏主動性
供電企業現有風險管理多為事后控制,對風險缺乏系統的、定期評估,缺少積極的、主動的風險管理機制,不能從根本上防范重大風險以及其所帶來的損失。
2.重視具體風險的管理,缺乏風險管理整體策略
已實施風險管理的供電企業中,有很大一部分企業更多地將精力投入到具體風險管理中,對企業風險組合與風險的相互關系缺乏系統的、整體的考慮,從而導致風險管理資源分配不均,影響企業整體風險管理的效率和效果。
3.尚未形成風險信息標準和傳送渠道,風險管理缺乏充分的信息支持
現階段,多數供電企業內部缺乏對于風險信息的統一認識,風險信息的傳遞尚未有效的協調和統一。對于具體風險,由于缺乏量化和信息化的數據支持,企業決策的效率和效果受到影響。
4.風險管理職責不清
大部分供電企業現有的風險管理職能、職責存在于各個部門和崗位之中。一方面,企業缺乏明確且針對不同層面的風險管理的職能描述和職責要求;另一方面,企業考核和激勵機制中尚未明確提出風險管理的內容,導致缺乏保障風險管理順利運行的職能架構。
鑒于風險管理的全面性、復雜性和技術性,供電企業想要解決上述問題,實現依法經營、科學決策,保證自身可持續發展,就需要改變企業管理理念,構建全面風險管理體系。
二、供電企業構建全面風險管理體系的意義
1.實現企業經營責任與社會責任的統一
供電企業通過構建全面風險管理體系,可實現企業經營責任和社會責任的統一。供電企業資源配置將得到優化,經濟快速增長對電力的需求將得到滿足、電力安全可靠供應將得到一定程度的保障。
2.確保供電企業的經營效益的提高
(1)達到與企業整體經營戰略相結合的風險最優化
全面風險管理把風險管理納入供電企業戰略執行的層面之上,將企業成長與風險相聯,設置與企業成長及回報目標相一致的風險承受度,從而使供電企業將戰略目標的波動控制在一定的范圍內,支持企業戰略目標實現并隨時調整戰略目標,保障企業穩健經營。
(2)標本兼治,從根本上提高企業風險管理水平
全面風險管理體系幫助供電企業建立動態的自我運行、自我完善、自我提升的風險管理平臺,形成風險管理長效機制,保證企業風險可控、在控、能控,從根本上提升供電企業風險管理水平。
(3)避免企業重大損失
通過對供電企業重大風險的量化評估和實時監控,全面風險管理體系幫助企業建立重大風險評估,重大事件應對,重大決策制定,重大信息報告和披露以及重大流程內部控制的機制,從根本上避免供電企業遭受重大損失。
3.促進經濟效益的提高,降低各種風險成本
實施全面風險管理,能夠有效防范和應對資金管理風險、資產安全風險、稅收管理風險、財務監管風險、電費回收風險等,提高供電企業的經濟效益。
首先,供電企業預算控制將更加嚴格、資金集中率和利用效率會得到提高,企業收入受損失或資金被不當支付形成賬外資金等風險大幅減少。其次,供電企業的資產管理將更加規范,賬務記錄更新及時,與財務同步,財務報表準確性得到提高,規避企業損失。再次,財務監管手段將更加有力,收入確認將更加及時、正確、完整,成本支出、資產價值將得到真實、準確反映,人員利用管理漏洞或工作疏忽給企業造成損失的現象將減少。 另外,在電費收入方面,可有效管控抄表質量不到位、電費回收不及時,預存電費或抵押擔保風險防控措施不到位等電費資金損失風險,電費回收率將大幅提高。
三、供電企業基于廣義安全的全面風險管理體系構建
1.持續開展風險教育培訓,樹立全員風險意識,營造風險文化氛圍
供電企業的風險是一種“廣義安全風險”,它不僅與生產安全相關,還涉及企業經營管理的各個方面,企業應將風險進行層次劃分(如表1所示)。由于風險的全面性、廣泛性,供電企業的風險管理必須是一個群策群力的過程,企業全員風險意識的樹立至關重要。
表 1 供電企業廣義安全風險
Table 1 The Broad Security Risks of Power Supply Enterprise
供電企業應結合崗位職責,分層次集中開展風險教育培訓,并使其常態化。領導層側重風險管理知識和有關制度培訓學習,提高風險管理責任意識和組織能力;管理層側重于《供電企業風險點識別和防范手冊》及其使用方法的培訓;執行層側重于風險意識和現場風險辨識能力的培訓。通過培訓,使各級人員增強對風險管理的作用和意義的理解,掌握風險辨識內容、要點和控制方法。
另外,供電企業應將風險管理文化建設融入企業文化建設的全過程。企業可運用集中培訓、會議交流、內部網頁、問題解答、電話熱線、信息簡報等形式多樣的宣貫方法,舉辦“企業風險月”、“風險大討論”以及風險管理方面的知識競賽和技能比賽等各種形式的活動,使職工在思想上、組織上、行動上達成共識。
2.制訂全面風險管理規劃
供電企業應在全面建設“一強三優”電網企業的總體目標指導下,制訂全面風險管理規劃,對企業全面風險管理工作實施部署。全面風險管理規劃應按照“整體設計、分步實施;突出重點、務求實效;借助外腦、全員參加”的原則,分階段、有重點地循序推進。
第一,構建一個有利于風險管理的公司治理結構,可根據實際情況,成立風險管理委員會,提供組織保障。第二,按照《指引》并結合企業實際,進行流程再造,將全面風險管理要求融入到企業管理決策和業務程序之中,并將社會責任、風險管理職責的要求和風險授權通過工作標準落實到每個職工的實際行動中,初步完成全面風險管理體系框架的搭建。第三,推動全面風險管理信息系統開發和上線,提供科學地建設風險管理系統的實施和推行步驟。供電企業可以以年為一個周期循環,實現一次管理創新。全面風險管理信息系統先期開發、同步實施、模塊組合、循環上升,科學推進企業全面風險管理不斷向深入發展。第四,供電企業應形成持續改進機制,使風險管理常態化。企業應定期檢查評價并對風險進行再描述,提出風險管理改進建議。第五,企業應通過知識轉移及變革管理,推動風險管理意識在企業文化中的滲透。
3.建立以“5A+2C”為核心的供電企業全面風險管理體系
根據COSO《內部控制整合框架》報告、《指引》及風險管理相關理論,結合供電企業行業特征及風險管理現狀,筆者認為供電企業應將全面風險管理視為一個長期的持續改進的管理過程。基于此,筆者提出了“5A+2C”全面風險管理體系。該體系增加了強大的策動力和資源配置以及授權要求,提供了科學地建設風險管理系統的實施和推行步驟,以全面風險管理為導向,涵蓋全面,操作精細,形成了可持續發展的管理模式,實現了一次管理創新。
(1)“5A+2C”體系總體結構
“5A+2C”體系中,“5A”,系供電企業構建風險管理體系的五大要素,即目標設定(Aim)、風險識別(Acknowledgement)、風險評估(Assessment)、風險預警(Alarm)和風險應對(Answer),各要素貫穿在企業風險管理過程之中。“2C”,系全面風險管理“5A”有效實施的保障,即信息溝通(Communication)及監控(Control)。“5A”、“2C”既相互獨立又相互聯系,形成一個有機統一體。
(2)組織責任體系保障
供電企業應明確每個業務流程對應的權責,建立逐級承諾、逐級聲明和問責到底的管理機制,形成循環責任傳導體系。隨著風險管理工作的逐步落實,供電企業還應強化責任意識,形成縱向到底、橫向到邊的橫、縱向網狀監督和管控。管理層負領導責任,對主要風險確定責任人,具體風險責任落實到各職能部門和業務單位,對任何違反風險管理相關政策的組織和個人,給予追究和處罰。
5.建立風險管理信息系統,確保2C功能實施,實現管理動態化
(1)“2C”(信息和溝通、監控)功能概述
供電企業應識別和記錄那些有關企業管理的內外部事項的信息,并將這些信息以適當的方式在規定的期限內傳達給員工,以實施企業風險管理和其他任務。通過在組織內上、下級之間信息傳遞,能夠產生有效的溝通。供電企業應建立一種向上反饋重要信息的溝通方式,并且在對外方面也建立有效的溝通。
監控是對供電企業風險管理現狀和各組成部分績效進行評價和控制的過程。企業通過持續監控和個別評價以及兩者的結合來實現監控。持續監控是對日常的管理活動采取的,個別評價則主要是根據評估風險的性質和程度,以及持續監控過程的效率來確立。
(2)建立風險信息管理系統
鑒于風險管理的全面性、復雜性和技術性,傳統的依靠人力推動和運作方式進行管理創新的方法已經不能滿足推行全面風險管理的要求。因此,供電企業必須將信息技術應用于全面風險管理的各項工作,建立涵蓋風險管理基本流程和內部控制系統各環節的風險管理信息系統。該系統能夠確保“2C”功能(信息溝通和監控)發揮,確保管理動態化,確保“5A”要素通過信息系統固化和展示,確保日常運作的有效性。風險管理信息系統功能模塊如下圖所示。
(3)實現動態優化管理
供電企業的風險動態管理可通過以下方式實施。首先,供電企業可通過風險識別、風險評估流程,按照風險分類,向相應風險管理層級進行動態展示。其次,供電企業應對風險事件庫、風險知識庫、稽核規則庫等固有信息進行定期更新,以確保相關內容符合內外部環境的變化和要求。對于不再適應企業風險管理需求的信息,應當及時進行調整和更新。最后,供電企業應加快推動風險管理系統的開發上線,進一步實現與供電企業數據中心對接,自動、實時地從數據中心提取數據。
6.建立全面風險管理制度保障體系
供電企業應著手建立諸如《溝通訪談管理辦法》、《風險信息管理辦法》、《風險知識技能培訓管理辦法》、《文檔管理辦法》、《問責管理辦法》等規定,同時制訂嚴密的風險管理工作自查制度、風險指令制度、周例會制度、風險控制和應急反應制度、風險監督評價制度、風險工作評估制度、風險要素更新制度、文檔復核制度等各類制度。供電企業在全面風險管理體系的構建過程中,可根據各階段工作任務的不同情況,制訂推廣手冊、測試手冊作為工作指引,指導各級風險管理工作的開展。良好的制度保障,使得上傳與下達、協調與溝通及時,有效地促進風險管理建設推進。
四、結束語
供電企業通過建立基于廣義安全的全面風險管理體系,一方面可實現企業經營責任和社會責任的統一,另一方面可確保供電企業的經營效益和經濟效益的提高,從而增強供電企業的免疫力、應變力和競爭力,為建設“高效電網、堅強電網、誠信電網、綠色電網、責任電網、服務保障電網”提供強有力的保障。
篇2
關鍵詞:企業風險管理理論中央企業本土化
本世紀初以來,以不確定性為基本研究對象的企業風險管理(EnterpriseRiskManagement,ERM)理論逐漸進入我國實業界和研究者的視野。2006年6月,國務院國有資產監督管理委員會頒布實施了《中央企業全面風險管理指引》(下稱《指引》),該《指引》的頒行,可以看成是企業風險管理理論在我國大規模本土化的開始。
一、企業風險管理理論概要及在我國的規范化實施
1.企業風險管理(ERM)理論的一般框架。企業風險管理作為一種全新管理理念或管理框架的最終形成,是由美國發起人組織委員會(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO)在2004年9月提出的,標志文書是《企業風險管理——整合框架》(EnterpriseRiskManagementIntegratedFramework,下稱《整合框架》),這個框架是迄今為至企業風險管理最完善、最成熟的理論概括。COSO認為,企業風險管理是經由企業當局廣泛參與,對企業面臨的不確定性進行多要點掌控,以實現組織目標的過程。
《整合框架》提出了企業風險管理的8個核心要素,即,目標設定、內部環境、事件識別、風險評估、風險回應、信息溝通、控制活動和持續監督,這8個要素組成了一個有機體系。企業風險管理有4個目標,即,戰略目標、經營目標、報告目標和合規目標。理想的ERM框架是通過對不確定性的管理增加股東價值,以共同的語言和要素安排,落實企業的上述4項目標。企業風險管理的要素與目標之間是一種緊密的支持與保證關系。
2.企業風險管理在我國中央企業的初步實踐。在《整合框架》的背景下,2006年6月國資委根據《中a華人民共和國公司法》、《企業國有資產監督管理暫行條例》等法律法規,制定頒布了《中央企業全面風險管理指引》,對中央企業實施風險管理的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理信息系統等進行了系統規范,成為中央企業風險管理的權威指導文書。之后,一些省市區也出臺了很多相關文件,對《指引》的實際操作進行具體化。《指引》所稱企業風險,包括純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存),具體分為戰略風險、財務風險、市場風險、運營風險、法律風險等。
《指引》對企業風險管理的目標、流程描述,與《整合框架》中的描述大體相同。它將企業風險管理的目標設定為五個方面:一是將風險控制在與總體目標相適應并可承受的范圍內;二是確保企業內外部實現真實、可靠的信息溝通;三是遵守法律法規;四是通過企業制度安排降低實現經營目標的不確定性;五是建立針對重大風險發生后的危機處理計劃。這五個方面的目標,分別對應著《整合框架》提出的4個目標。它將企業風險管理流程區劃為收集初始信息、進行風險評估、制定管理策略、提出實施解決方案和監督改進等5個階段,分別對應著《整合框架》中的企業風險管理8大基本要素。二、企業風險管理理論本土化過程中應注意的問題
1.找到切合實際的本土化切入點
一方面,通過對《指引》的解讀可知,與國資委以往出臺的文件有很大不同是,過去國資委頒行的大多數文件都是在對企業大量實踐經驗進行分析總結的基礎之上形成的,是一個從實踐到理論,再從理論回到實踐的過程。而《指引》則正好相反,它來自于成熟的理論,而且主要是國外的成熟理論,先于國內企業的管理實踐。另一方面,每一個中央企業都有其特殊的行業特點、既有體制、歷史傳承、文化特色和企業員工隊伍、管理當局的素質水平等,這決定了不同的企業在實施風險管理時應有不同的切入點或突破口,不能好高騖遠,要從各自的實際出發,找準影響各自企業主要經營管理領域的不確定性來源,有針對性地進行企業風險管理實踐。
2.建立起具有可操作組織規范
企業風險管理理論和《指引》都是針對企業所面臨的時時處處都存在的各類風險提出的,都只是一個理論框架和方向指引,沒有統一具體的模式。它要求企業圍繞總體經營目標,通過在企業各個管理環節和經營過程中執行風險管理的基本流程,營造風險管理的氛圍,建設風險管理體系,等等。可見,無論企業風險管理理論還是《指引》,都沒有為中央企業的現實經營管理給出一個具體的、可以搬來即用的藥方,所以,將企業風險管理理論和《指引》具體化為每一個中央企業中看得見、摸得著的具體組織結構和規章制度,是當前我國中央企業需要下大力氣去做的事情。
3.培育良好的氣氛和合格主體
一般講,一個良好的適合于特定企業的ERM氛圍,應該至少包括以下幾個方面內容:一是將企業的風險偏好與企業戰略有機聯系;二是能夠保證企業的風險管理戰略、企業的發展戰略與企業的股東價值保持一致;三是可以提供鑒別和評估風險的工具,并有強大的企業輿論支持這些工具使用;四是企業各層面有統一的風險語言,和暢通的溝通管道。任何一個ERM框架都是在一定的氛圍中由具體的企業成員最終實施的,沒有良好的企業風險管理氛圍,得不到企業各層面人員的支持,再好的企業風險管理框架和《指引》都會流于口號和形式。
參考文獻:
[1]滕青:我國企業風險管理框架構建[J].經濟管理,2007,(3):45~48
篇3
【關鍵詞】企業風險管理框架 風險偏好 風險容忍度 風險組合
全美反虛假財務報告委員會下設的發起人委員會(The Committee of Sponsoring Organizations of the Treadway Commission,COSO)從 2001年起就致力于企業風險管理框架的研究,并于2004年了《企業風險管理框架》。過去10年間,風險的復雜程度不斷加大,出現了一些新的風險,COSO對企業風險管理有了新的認識,2016年了題為《企業風險管理――協調風險、戰略以及業績》(以下稱新版RMF框架)的征求意見稿。本文對《新版RMF框架》進行分析解讀,以期為理解《風險管理框架――協調風險、戰略以及業績》及開展風險管理研究,提供借鑒與參考。
一、COSO風險管理框架演進^程
(一)從《內部控制整合框架》到《企業風險管理框架》
1985年,由美國注冊會計師協會、美國會計協會、財務經理人協會、內部審計師協會、管理會計師協會聯合成立了反虛假財務報告委員會,目的在于探討財務報告中舞弊產生的原因及其解決方法。1987年,該委員會的贊助機構成立了COSO委員會,致力于研究內部控制方面的問題。1992年,COSO委員會了著名的COSO報告――《內部控制整合框架》,并于1994年對該報告進行了增補。該框架自以來,在全球得到了廣泛認可和應用,理論界和實務界不斷對其提出改進建議,強調內部控制整合框架應與企業風險管理相結合。
COSO委員會從2001年開始致力于企業風險管理方面的研究,并于2004年頒布了《企業風險管理框架》(Enterprise Risk Management Framework,ERM),為企業風險管理提供了理論框架和應用指南。相對于內部控制整合框架,2004年的《企業風險管理框架》新增加了(風險組合觀)、一個目標(戰略目標)、兩個概念(風險偏好和風險容忍度)和三個要素(目標制定、事項識別和風險反應),強調內部控制是企業風險管理必不可少的一部分,風險管理框架的范圍比內部控制框架的范圍更廣泛,是對內部控制框架的擴展。
(二)從《企業風險管理框架》到《企業風險管理――協調風險、戰略以及業績》
自2004版《企業風險管理框架》以來,實施該框架的企業面臨各種問題:一是美國上市企業不得不全力以赴應對《薩班斯法案》的合規工作;二是企業風險管理的實施范圍往往并不面向整個組織機構,并且很少被運用到戰略制定中;三是COSO在編制框架時采用了類似于內部控制框架所使用的“立方體”結構,許多企業試圖在過于細微的層面實施該框架;四是許多組織機構將企業風險管理作為保證活動來實施,而不是將其視為更佳的企業管理方式,如運用于流程層面而非戰略制定層面,企業風險管理的實施活動也因此陷于細節的泥潭,令許多高管很快失去興趣;五是2008年金融危機所引發的經濟大蕭條,令許多企業進入危機應對模式,企業風險管理的實施也因此受到影響。因此,企業風險管理框架在早些年并未被廣泛接受和應用。
正是由于金融危機帶來的慘痛教訓,企業高管逐漸意識到有效風險管理的重要性,從而引起整個企業對有關風險事項的關注和重視。人們開始對風險管理框架做出更明晰闡釋的呼聲日漸高漲。自2014 年起,COSO啟動了修訂項目,對2004年的《企業風險管理框架》進行修訂,并于2016年了題為《企業風險管理――協調風險、戰略以及業績》征求意見稿。征求意見稿中重新定義了風險,放棄了原框架中的“立方體”結構,改為慣用的要素和原則結構,重點關注如何使企業風險管理在組織機構內行之有效。
二、新版《企業風險管理框架》變化
(一)采用了要素和原則結構
COSO的舊版ERM框架是從內部控制框架演變而來的,采用的是“立方體”結構,包括4個目標(合規、報告、經營、戰略)、4個層級(總部、分部、業務單位、附屬機構)、8個要素(內部環境、目標設置、事件識別、風險評估、風險反應、控制活動、信息與溝通、監控)。
新版ERM采用了要素和原則結構,包括5個要素和23條原則,其主要結構如下表所示。
新版ERM采用了要素和原則結構,設置了5個要素與相應的原則間的對應關系,是整個文件的目錄,從而增強了企業風險管理框架可讀性、有用性和內在一致性。
(二)簡化了企業風險管理的定義
1.關于風險的定義
COSO舊版ERM框架中沒有對風險提出明確的定義,但是將風險清楚地描述為:“事件可能會帶來負面的影響,也可能會帶來正面的影響,抑或二者兼而有之。帶來負面影響的事件代表風險,會妨礙價值創造或破壞現有價值。帶來正面影響的事件可能會抵消負面影響,或者說代表機會。”可以看出,舊版ERM認為風險是純粹負面的,這種認識顯然無法滿足風險管理應用于決策過程的需要。
新版ERM框架將風險定義為:“風險――影響戰略和經營目標實現的事項發生的可能性。”從定義中可以看出,新版ERM框架沒有明確風險是負面的還是雙向性的。結合新版ERM框架的整體內容看,新版ERM框架中風險的定義是雙向性的。
2.關于企業風險管理的定義
COSO舊版ERM框架中對企業風險管理的定義為:“企業風險管理是企業的董事會、管理層和其他員工共同參與的一個過程,應用于企業的戰略制訂和企業的各個部門以及各項經營活動,用于確認可能影響企業的事項并在其風險偏好范圍內管理風險,對企業目標的實現提供合理保證。”
新版ERM框架中將企業風險管理定義為:“全面風險管理――組織在創造、維護和實現價值的過程中,進行風險管理所賴以依靠的、與戰略和執行緊密結合的文化、能力和實踐。”相比之下,新版ERM框架不只是過程,還包括文化、能力和實踐,不僅保障價值不被侵蝕,更突出價值創造。
(三)強調風險和價值間的關系
舊版ERM框架關注的重點是避免價值受到侵蝕,將風險最小化至可接受的水平。新版ERM框架強調了風險管理在創造、保留和實現價值過程中的重要作用,應將風險管理視作企業在制定戰略和識別機會,從而創造和保持價值過程中不可或缺的一部分。風險管理不再是簡單地將風險水平控制在目標水平之下,而是動態地貫穿于企業價值鏈的全過程,成為企業價值管理中不可缺少的一部分。
(四)重申ERM的整體性
新版ERM框架強調了組織運營中所有層面風險管理的整體性,將風險管理框架整合到企業戰略制定、經營目標制定及戰略和目標的執行中。新版ERM框架鼓勵使用者將風險管理視為其組織管理的有機組成部分,而不是附加的或獨立的活動。通過支撐企業的運營、管理業績從而最終為企業創造、實現和保留價值,企業風險管理的重要作用得以發揮。如新版ERM框架沒有涉及風險報告,而是強調報告風險對組織業績、戰略和經營目標實現所產生的潛在或實際影響。
(五)審視了文化的作用
文化在企業風險管理中的重要作用,被引入到新的ERM框架中。風險治理明確了組織的基調,而文化包含了組織的道德價值、期望行為及對風險的理解。文化與業務環境之間的關系反映了戰略的選擇和執行方式。在對企業風險進行監控的同時,需要研究如何塑造企業文化,并且要關注文化對其他風險管理要素的影響。如新版ERM框架在一開始就明確了文化和業務環境之間的關系,這種關系影響到企業戰略的選擇和執行。更重要的是,這種關系為風險的識別、評價以及針對風險如何分配資源,提供了環境。
(六)加強了對風險和戰略的討論
新版ERM框架認識到:當企業的戰略選擇與企業的使命、愿景、核心價值不協調時,企業可能會發生重大失敗。即使企業的戰略選擇與其使命、愿景、核心價值相協調,許多企業也沒有意識到戰略選擇對風險組合的重要性。有些企I甚至沒有意識到業務層面的細微失敗,從而使其上升到了整體層面,威脅到了企業的長期生存。
與舊版ERM框架相比,新版ERM框架提升和擴展了對風險和戰略的討論,主要關注以下三方面:一是戰略和經營目標、組織使命、愿景和價值不匹配的可能性;二是風險對已選戰略的影響;三是戰略執行中的風險。通過區分風險對戰略影響的三種可能表現形式,新版ERM框架對風險管理的重要性進行了更詳細的分析。
(七)提升了業績與風險管理的一致性
新版ERM框架強調了組織風險和其業績之間的關系。風險如何作為企業確定其經營目標和業績目標的重要組成部分,新版ERM框架主要關注以下方面:一是企業風險管理實踐支撐企業風險的識別和評估,企業的風險識別和評估可能會影響業績目標選擇;二是通過確定可接受的績效偏差,新版ERM框架的使用者能夠理解業績的變化如何影響經營目標中風險組合的變化,反之亦然;三是新版ERM框架強調風險評估和風險報告并不是為了生成風險清單,而是為了強調風險對戰略和經營目標實現產生的影響。
為了強調風險管理和組織業績間的重要關系,新版ERM框架引入了“風險組合”圖,該圖用以描述既定戰略和經營目標下,風險類型和風險程度對組織經營業績變化的影響。此外,新版ERM框架還考慮了企業的風險偏好,指出風險偏好型企業可以尋求更多機遇。通過引入風險偏好、業績、風險容忍度概念,風險組合圖中對風險提供了動態、全面的視圖,便于企業在衡量風險中做出更明智的決策選擇。
(八)將企業風險管理明確地鏈接到決策過程中
企業價值鏈的每個環節,都會涉及決策問題。由于企業要尋求創造,實現和保留價值,決策便涉及戰略選擇、經營目標和業績目標的設定及資源的分配。將風險管理的思想整合到企業的整個生命周期中,有助于企業帶有風險意識地做出決策。
新版ERM框架逐步探究了與風險組合相關的信息如何加強了整體決策。包括對風險程度和風險類型的理解,經營環境的影響,對識別和評估風險所基于假設的理解,以及企業的風險文化和風險偏好。
(九)描述了企業風險管理與內部控制的關系
為了反映技術和商業環境的變化,COSO在2013年更新了內部控制框架,涵蓋5大單元和17項原則。新版ERM框架將不會取代這個內部控制文件。這兩個框架雖然是分開設計,但內容相互補充。為避免重復,兩個報告中內部控制相同的方面沒有在新版ERM框架中重復描述,如控制活動。但內部控制整合框架中有關風險管理的監管內容,在新版ERM框架中作了進一步討論。
(十)完善了風險偏好和風險容忍度的定義
新版ERM框架完善了風險偏好和可接受的績效偏差(通常稱為風險容忍度)的概念。風險偏好仍然被定義為,企業在追求戰略和業務目標過程中愿意承受的風險量。而風險容忍度不再是風險偏好的細化指標,要與業績水平相聯系。在風險組合圖中,風險偏好與業績線的垂直交叉面表示風險容忍度。新版ERM框架在定義風險容忍度時,關注的是在業績水平給定的情況下,確定可接受的風險量。在特定的業績水平范圍內,組織能夠清楚地界定可接受風險的范圍。這使組織能夠更好地評價業績水平的變化,是否仍然保持在風險容忍度范圍內。組織在評價風險和業績時,不應將風險和業績看作靜態和相互獨立的,而應該是不斷變化和相互影響的。
三、結論與展望
新版ERM框架的標題暗示了風險與戰略以及企業績效間日益重要的關系。新框架公開征集意見工作現已結束,最終版本將于2017年正式公布。期望新版ERM框架可以實現COSO所預期,能夠被更廣泛、更有效地運用到企業的經營和決策中。
篇4
(一)我國內部控制發展階段
我國內部控制研究起步較晚,是隨著審計事業的發展逐漸發展起來的,直到20世紀80年代,學術界才開始了這一領域的探索和研究。隨著內部控制理論研究的不斷深入,研究人員從站在審計的角度來討論內部控制的作用與建設,發展到站在企業的角度來討論其對風險防范和規避的作用。
(二)現代風險管理的重要意義
1、提高決策的科學性。現代企業風險管理以風險為核心,將控制由事中及事后延伸到事前并且自上而下地圍繞著風險,體現出全方位的控制思維。在此基礎上,開發出一系列針對風險的方法,基于對不確定性能有較準確的判斷,保證決策的科學性。
2、注重人的能動性。我國內部控制提供的大多是一些政策手冊和表格,管理的理念不是發揮全體工作人員的能動性,而是把他們管住、管牢,員工之間相互推諉、職責不清。現代企業風險管理提出要更加重視人的因素,以增強風險管理的自覺性。
3、強調執行的關鍵性。現代企業風險管理強調通過控制活動的設置,建立獨立的監督部門來保證制度實施的可行性。控制活動在整個組織的各個層次和各種活動中都發生,而監督則指整個風險管理過程均應被監督,且在必要時對所發現的偏離進行必要的修正。
二、企業風險管理框架內容
(一)企業風險管理框架概述
COSO委員會(Committee of Sponsoring Organization of the Treadway Committee,美國虛假財務報告全國委員會的發起組織委員會),于1992年9月提出了報告《內部控制――整體框架》(1994年進行了增補)。2004年9月COSO又提出了《企業風險管理――整合框架》(Enterprise Risk Management-Integrated Framework,簡稱ERM-IF)。
1、企業風險管理的定義。在COSO報告中,其定義為:企業風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。
2、企業風險管理的目標。COSO報告中,提及的目標共有四類:戰略目標,是高層次的目標,與使命相關聯并支撐其使命;經營目標,指有效和高效率地利用其資源;報告目標,指報告的可靠性;合規目標,指符合適用的法律和法規。
3、企業風險管理的要素。(1)內部環境,包含組織的基調,為主體內的人員如何認識和對待風險設定了基礎。內部控制一般包含風險管理理念及誠信與道德價值觀。(2)目標設定,必須先有目標,管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取適當的程序設定適當的目標,并與其風險容量相符。(3)事項識別,必須識別影響主體目標實現的內部和外部事項,區分風險和機會。(4)風險評估,通過考慮風險的可能性和影響來對其加以分析,并以此作為決定如何進行管理的依據。(5)風險應對,管理當局應選擇合適的風險應對,以便把風險控制在主體的風險容限和風險容量以內。(6)控制活動,制訂和執行政策與程序以幫助確保風險應對得以有效實施。(7)信息與溝通,相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。(8)監控,對企業風險管理進行全面監控,必要時加以修正。
(二)企業風險管理框架的理論突破
1、增加一個主要目標。《企業風險管理整體框架》較《內部控制整合框架》多提出了一個戰略目標,戰略目標屬高層次目標,它與企業的使命相關聯并支撐著企業的使命。
2、提出兩個創新概念。企業風險管理框架引入了風險容量、風險容限等創新概念,風險容量及風險容限是目標設定的前提。風險容量是一個主體在謀求價值及其增值過程中所愿意承擔的廣泛意義上的風險數量。風險容限與主體的目標相關,是相對于實現一項具體目標而言的可以接受的偏離程度,在確定各目標的風險容限時,企業應考慮相關目標的重要性,并將其與企業風險容量相協調。
3、擴展三個基本要素。企業風險管理拓展了內部控制的風險評估要素,將該要素拓展為目標設定、事項識別、風險評估以及風險應對等四個要素。在事項識別要素上,兩者的區別主要體現為內部控制沒有將事項劃分為機會與風險,而風險管理把對戰略執行或目標實現有著正面影響的稱為機會,有負面影響的才定為風險。在風險評估要素上,兩者的區別主要在于風險管理透過一個更加敏銳的視角來觀察風險評估,鼓勵從固有風險和剩余風險的角度,采用與該風險相關目標相同的計量單位來表述風險。在風險應對要素上,兩者的主要差別則是企業風險管理可以使管理當局考慮潛在的風險應對策略,并測定剩余風險水平是否與主體的風險容限相協調。
三、我國企業風險管理存在的問題
(一)風險管理意識淡薄
風險管理理念沒有到位,企業之間風險管理開展得不平衡。風險管理作為一種管理職能基本上還沒有融入我國企業管理中,企業經營基本上還是財務型控制被動經營,企業發展的總體決策在相當程度上缺乏企業管理理念。企業風險管理技術水平低,風險評估、信用等級評定缺乏有效的評定標準,風險控制和風險融資的方式相當有限。
(二)關注的全面性不足
在企業業務發展導向上,注重規模和速度,強調業務增長量,忽視企業發展的實質。大部分企業出于自身所處環境的需要和市場運作實踐中吸取的經驗教訓,只針對即將面臨的風險采取應對措施,而這些措施往往又是臨時性的、局部性的,相互間缺乏有機的聯系,很少從經濟全球化的視角,從科學發展觀的高度,以企業持續發展的戰略目標,全面考慮構建符合現代企業要求的風險管理機制。
(三)缺乏有效的信息系統
各類風險數據、損失數據是企業經營管理的數理基礎,在相當程度上也可以說,企業可通過擴充這類資源,提高企業的經營水平和展業范圍。因此,在理論和實踐中都要求我國各類企業建立一個完整的信息系統對這類資源進行保護、開發和利用。缺乏這類基礎數據的支持,將導致企業的經營決策缺乏合理的依據。
四、加強我國企業風險管理的對策分析
(一)強化公司治理與信用體系
造成風險管理缺位與虛位的信用失范,在于外部原因的信用體系問題;造成風險管理缺位與虛位的治理失當,在于內部原因的公司治理問題。完善的公司治理與健全的信用體系可以確保有效的風險管理,這就是風險管理與信用體系、公司治理的良性互動。實現三者之間的良性互動,必須有法制化的制度加以保障。當出現信用失范、治理失當以及互動失調導致風險失控時,維護市場的公平與效率和保護當事人權益的重要措施就是破產清算制度,必要措施就是信息透明制度。
(二)加快風險管理信息化進程
1、擴大信息源。除了與本企業生產經營直接有關的商品市場信息以外,還要注意收集一些與其相關的金融市場、資本市場以及能源市場的動態信息,努力避免疏漏而影響綜合分析的能力。
2、提高信息的解讀能力。善于從眾多的信息中去偽存真,舉一反三,捕捉信息中的風險征兆,從而發現風險的起因、走向和力度,以及發現可能給本企業造成的影響,為應對風險決策提供可靠根據。
3、建立風險預警系統。開辟風險信息快捷上報通道,使管理當局及早掌握風險信息,研究應對策略并組織實施,減輕可能造成的不良后果。
(三)構建全新的組織體系原則
1、建立全面風險管理原則,并采用風險組合管理方式,使風險管理的目標和要求滲透到企業的各項業務過程和各個操作環節。
篇5
[關鍵詞] 企業 風險管理 策略
風險管理就是通過風險識別、風險評估以及風險管理方案的實施,實現風險成本最小化和企業利潤最大化的管理過程。風險管理是在達成既定目標的前提下,最小化存在于企業財務管理環節的風險,或把風險控制在企業可以接受的范圍內。風險是指在特定的客觀情況下,在特定的時期內,未來事件的預期結果和實際結果發生偏離的可能性。從風險規避的角度看,風險一般是指損失的機會或可能性。
一、風險的概念及分類
由各類風險因素的未來不確定性所引起的可能的虧損,將導致資產價值減少與負債價值增加的可能性稱為企業風險。
企業風險分為:市場風險、信用風險和經營風險三類。市場風險是指由市場風險因素的變動所引起的資產價值的減少或負債價值的增加的風險。信用(違約)風險是指交易的某一方失去支付能力導致另一方的損失的產生。經營風險:是指除市場風險與信用風險外的其它風險,通常與企業經營有關的特殊風險。
二、企業風險管理的意義
由于各種不確定因素的存在,企業的經營活動難免存在各種各樣的風險,企業必須而且只有及時采取必要的措施對風險進行控制,才能避免或降低風險給企業帶來的損失,從而確保企業經營目標的實現。因此,有效的風險管理對企業來說具有重要的意義。
1.有利于企業在面對風險時做出正確的決策,提高企業應對能力。在經濟日益全球化的今天,企業所面臨的環境越來越復雜,不確定因素越來越多,科學決策的難度大大增加,企業只有建立起有效的風險管理機制,實施有效的風險管理,才能在變幻莫測的市場環境中做出正確的決策。
2.有利于企業經營目標的實現,增強企業經濟效益。企業經營活動的目標是追求股東價值最大化、利潤最大化,但在實現這一目標的過程中,難免會遇到各種各樣的不確定性因素的影響,從而影響到企業經營活動目標的實現。因此,企業有必要進行風險管理,化解各種不利因素的影響,以保證企業經營目標的實現。
3.有利于促進整個國民經濟的健康發展。企業是國民經濟的基礎,企業的興衰與國民經濟的發展息息相關。因此通過實施有效的風險管理,降低企業的各種風險,提高企業應對風險的能力和市場競爭能力,以企業的健康發展促進整個國民經濟的良性發展。
三、企業風險管理策略
1.明確企業風險管理目標,建立有效的監督體系。企業風險管理整體框架是建立在明確的企業監督框架和適當的人員責任分配基礎之上的,其目標是使風險成為企業文化的內在有機組成部分。企業風險管理一定要和企業的技術及戰略管理相結合,要在全企業范圍內明確企業風險管理目標和計劃,并將其與企業業務、戰略及業績目標結合起來,建立一個由全企業層次集體支持的風險管理過程。
2.探素和建立風險評估體系。企業風險管理更加關注風險,拓展了內部控制框架的風險評估要素,進一步細分為目標設定、事項識別、風險評估和風險對策等要素,通過風險評估將各要素緊密聯系起來。而風險評估包括三個基本方面:一是技巧熟練的風險責任人;二是一套風險管理的共同語言;三是識別、分析、度量風險與機遇持續過程。要評估風險首先要識別風險,收集、分析并綜合處理相關的內部及外部數據以便為企業提供可靠、及時的風險管理信息。了解影響企業經營業績的關鍵性風險性質,分析產生風險的根本原因。建立風險參數與限制,權衡風險與收益,評估不同戰略的風險,并最終選擇應對風險的措施。這種風險評估體系一旦發展起來并投入實施,就逐步走向了企業風險管理。
3.建立切實有效的激勵機制,激活企業的人力資源。現代企業的競爭就是人才的競爭,人才是生產力諸多要素中最主要、最活躍的因素,是企業最寶貴的財富之一,其數量、質量、結構在很大程度上決定著企業的成敗興衰。中小企業由于規模小,人才相對比較缺乏,而且由于發展空間有限,人才特別高素質的管理人才、技術骨干流失嚴重,因此,對于中小企業來說,建立切實有效的激勵機制,激活企業的人力資源更有其必要性和緊迫性。通過激勵機制充分激發員工的積極性、創造性,挖掘員工的潛能,把員工個人的發展與企業的發展緊緊地聯系在一起。
4.塑造符合本企業特質的企業文化,增強全員風險意識。文化是明天的經濟,企業文化是企業發展的人文力量,是確立以人為本,以價值觀的塑造為核心的文化管理模式,通過文化來引導、調控和凝聚員工的積極性、創造性,使人的價值、自我實現和全面發展在企業管理中得到全面的發展,企業文化是企業可持續發展的力量源泉。我國的中小企業由于歷史較短,且大多脫胎于個體私營企業,長期以來對于企業文化建設重視不夠,投入不足,造成了人才難留的局面,因此,要塑造符合本企業特質的企業文化,通過文化環境的感染、誘導和約束等方式去激發員工的內在潛力,使創新成為企業發展源源不決的動力。同時在企業內部加強全員的風險意識,通過建立一種有效的知識獲取、交流、傳輸、共享機制,降低企業因知識差異產生的風險。
總之,企業風險管理需要董事會、管理當局和全體員工的共同努力。企業風險管理需要人們長期持續探索并不斷完善。雖然這項工作比較艱巨,但對于企業目標的實現、經營效率的提高、企業報告的可靠以及有關政策法規的執行都將是十分有益的。
參考文獻:
[1]朱榮思賀欣:內部控制框架的新發展―企業風險管理框架[J].北京:審計研究,2003,(6).141
篇6
[關鍵詞]風險導向內部審計風險管理
一、企業風險管理框架介紹
1.企業風險管理含義。美國COSO委員會的《企業風險管理框架》中對其定義:企業風險管理是一個過程,受企業的董事會、管理層和其他人員的影響,應用于企業的戰略制定及各個方面,旨在確定影響企業的潛在重大事件,將企業的風險控制在可接受的程度內,從而為實現企業的目標提供合理保證。
2.企業風險管理框架。美國COSO委員會提出ERM框架主要由三個維度組成:第一維度是企業的目標,主要有四個,即戰略目標、運營目標、報告目標和遵循目標;第二維度是全面風險管理要素,主要包括以下八要素:內部環境、目標設定、事項識別、風險評估、風險對策、控制活動、信息和溝通、監督;第三維度是企業的各個層級,包括整個企業、各職能部門、各條業務線及下屬各個子公司。企業風險管理三個維度的關系是:全面風險管理的八個要素都是為企業的四個目標服務的,企業的各個層級都要堅持服從企業的四個目標,每個層次都必須從八個方面進行風險管理。
二、以風險導向的內部審計
風險導向內部審計是指內部審計人員在審計全過程自始至終都要關注風險,根據風險度選擇項目,以降低風險為導向,以對整個組織的風險進行評估與改善為最終目的的一種審計理念。其根本目標是通過將風險與企業目標的實現直接聯系起來,為公司治理層及管理層提供有價值的服務,是企業進行風險管理的一種有效工具。
三、風險管理框架下實施風險導向內部審計的理性思考
1.樹立動態理念
從COSO對風險管理的定義可以看出,風險管理滲透于企業經營活動全過程且反復相互影響,風險管理機制的運作是一個動態管理的過程,與經營管理活動交互存在。風險導向審計是將各項管理經營活動整合成一個完整、相互約束和自我改善的體系。它運用立體觀察的理論來判斷影響企業經營風險的各種因素,從企業所處的行業狀況、監管環境、經營目標、戰略規劃到經營方式、業務流程等內外部各個方面來評估企業的風險水平,把經營風險植入到本身的風險評價中去,并貫穿于內部審計的全過程。風險管理是一個動態過程,風險管理框架下的內部審計也是一個動態過程,且貫穿于企業管理全過程。
2.以企業風險管理框架為理論依據,改變審計思路,改進審計流程和方法,與風險管理機制相融合
(1)以風險管理框架為理論依據。國際內部審計師協會(IIA)《內部審計實務標準》對風險審計的規范和指導,極力倡導內部審計在企業風險管理框架中發揮不可替代的重要作用,即內部審計要在風險環境分析、風險事件識別、風險評估、風險反應和控制、風險信息溝通和管理系統監控環節中發揮重要作用。風險導向內部審計是傳統審計的發展,賦予為企業的風險管理提供保證的重要任務,因此,應該讓內部審計和風險管理框架直接聯系,實現協同效應。(2)采用“自上而下”的審計思路。傳統的內部審計沿襲“自下而上”、“由點到面”的審計思路,風險導向審計則要求審計人員對企業的戰略管理進行分析,對企業風險做出合理的專業判斷,運用“自上而下”的思路,確定審計的范圍、重點、審計目標和相關審計程序,通過實質性測試的結果,結合重要性判斷來判斷整個企業的風險并最終形成審計意見。 (3)設計以企業戰略為審計起點,融風險管理于其中的審計流程。內部審計要從戰略分析入手,按照“戰略分析――經營環節分析――剩余風險分析”的思路展開風險分析,確定實質性審計程序的性質、時間和范圍。在風險管理中,內部審計部門主要是對風險管理部門和其他相關部門所進行的風險管理進行再監督。因此內部審計程序與機構的風險管理之間應該協調一致,使這兩項工作產生協同增效的作用。在編制審計計劃時,應該在對可能影響機構的風險進行評估的基礎上,制定內部審計部門的審計計劃,確定審計項目。確定審計范圍時,要考慮并反映整個公司的戰略性計劃目標,并每年對審計范圍進行一次評估,以反映機構的最新戰略和方針。編制審計方案時,通過風險因素分析來確定審計業務工作重點;在審計實施過程中,通過評價內部控制制度,查找其中的疏漏和薄弱環節;在更新審計范圍與計劃的內容時,要反映管理層的方針、目標、工作重心出現的變化。在選擇檢測、證實風險的技術與方法時,應該能夠反映出風險的重大性與發生的可能性。在編制審計報告時,應對風險管理狀況進行評價,指出風險管理中存在的漏洞和不足之處,提出加強管理的建議。追蹤審計時,將風險確定為決定追蹤審計范圍的重要因素,風險越大,追蹤審計的范圍就越廣。(4)采用分析性復核為核心的審計方法。在風險管理框架下,內部審計的一個重要職能是協助建立和完善企業風險管理制度,對執行情況的有效性進行檢查,及時揭示和報告潛在風險,提出防范措施和改進意見,因此風險評估是風險導向審計的重要手段。風險評估的核心是分析性復核的運用。在多元因素評估過程中,還要將現代管理方法運用到分析性程序中去,使風險因素不再獨立。
3.改善企業內外環境,為引入風險導向內部審計提供基礎
首先,加強公司治理結構。現代風險導向審計的起點是企業經營風險,重點關注重大錯報風險,因此公司治理的優劣與否直接決定重大錯報風險的程度,從而影響到審計效果。其次,強化對內部審計人員的職業素質訓練。再次,修改和完善內部審計法規,為內部審計人員實施風險導向內部審計提供法律上的支持。
綜上所述,企業的內部審計部門應該在企業的風險管理中發揮起應有的作用,與企業風險管理緊密結合成為一個完整的統一體,使得企業能在日趨激烈的市場競爭中將各種可能面臨的風險將到最低水平,從而提升企業自身的競爭力,以實現長足的發展。
參考文獻:
[1]劉麗云:試析內部審計與風險管理機制的融合[J].財會研究,2006(8).
[2] 李瑛等:新環境下的企業風險管理與風險導向內部審計[J].會計之友,2008(3).
篇7
每個組織的存在都有其目標,在實現目標的過程中,存在著影響目標實現的不確定性因素。企業管理層的一項重要職責就是要建立一個良好的風險管理體系,來識別、評價和控制風險,為企業目標的實現提供合理的保證。內部審計在風險管理中的作用就是監控、檢查、評估、報告管理層風險管理過程的充分性和有效性,提出改進意見,幫助企業改進風險管理與控制體系,從而為企業增加價值。
企業風險管理體系簡介
要對風險管理過程的充分性和有效性進行評價,首先要對風險管理體系有一個初步的了解。根據美國COSO委員會《企業風險管理框架》的要求,建立風險管理體系包括相互關聯的八個風險管理要素,各要素貫穿在企業管理過程中,為實現企業目標提供保證。
第一是內控環境。主要是在企業中樹立風險管理理念,營造一種風險管理文化,為其他風險管理要素打下基礎。
第二是目標制定。管理者必須首先確定企業的目標,才能夠確定對目標的實現有潛在影響的事項。根據企業確定的任務或預期,管理者制定企業的戰略目標,選擇戰略并確定其他與之相關的目標并在企業內層層分解和落實。
第三是事項識別。下列事情可能給組織帶來風險:因使用不正確、不及時、不完整、不可靠的資料而導致決策錯誤;記錄有錯誤、會計核算資料不真實、不完整;資產保護不當;顧客不滿意,組織信譽受損;執行組織決策、計劃、程序不力,或有違法違規行為;不經濟地獲取或無效地利用資源;沒有完成組織的任務和目標。需要企業的管理者對其進行識別、評估和反應。
第四是風險評估。風險評估可以使管理者了解潛在事項如何影響企業目標的實現。管理者應從兩個方面對風險進行評估-風險發生的可能性和影響。對于風險的評估應從企業戰略和目標的角度進行。
第五是風險反應。風險反應可以分為規避風險、減少風險、共擔風險和接受風險四類。對于每一個重要的風險,企業都應考慮所有的風險反應方案。有效的風險管理要求管理者選擇可以使企業風險發生的可能性和影響都在風險容忍度之內的風險反應方案。
第六是控制活動。控制活動是幫助保證風險反應方案得到正確執行的相關政策和程序。控制活動存在于企業的各個部分、各個層面和各個部門,通常包括兩個要素:確定應該做什么的政策和影響該政策的一系列程序。
第七是信息和溝通。來自于企業內部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞,以保證企業的員工能夠執行各自的職責。
第八是監控。對企業風險管理的監控是指評估風險管理要素的內容和運行以及執行質量的一個過程。企業可以通過持續監控和個別評估兩種方式,來保證企業的風險管理在企業內務管理層面和各部門持續得到執行。
從以上八個風險管理要素可以看出,企業風險管理是一個過程。是一個由企業的董事會、管理層和其他員工共同參與的,應用于企業戰略制定和企業內部各個層次和部門的,用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的,為企業目標的實現提供合理保證的過程。
內部審計在風險管理中的作用
根據《內部審計實務標準》對內部審計的定義:內部審計是一種獨立、客觀的保證與咨詢活動,目的是為機構增加價值并提高機構的運作效率。它采用系統化規范化的方法來對風險管理、控制及治理程序進行評估和改善,從而幫助機構實現其目標。所以在風險管理中,內部審計要發揮兩方面的作用:
第一是對風險管理過程的充分性和有效性進行評價,主要從以下幾個方面進行評價:1.評價企業戰略目標的制定是否是在分析組織和行業的發展情況和趨勢、企業的優勢和劣勢、外部的機會和威脅的基礎上結合企業風險偏好來制訂;2.與相關管理層討論部門的目標,看分解到各部門的目標是否對戰略目標提供足夠的支持;3.評價管理層對風險的識別和評估是否準確;4.分析控制措施是否完善,是否可以使企業風險發生的可能性和影響都落在風險容忍度之內;5.風險監控是否持續得到執行,監控報告制度是否恰當,風險管理報告是否充分、及時。
第二是以咨詢顧問身份協助機構確定、評價并實施針對風險管理的方法和控制措施。內部審計在該方面的作用包括:1.進行控制和風險評估培訓。使風險意識貫穿于整個企業的各個層面,并且使每名員工能夠有效識別風險并提出有效控制措施,實施企業全員、全過程、全方位、全天候的風險管理。2.召開控制和風險評估專題討論會。針對重大風險隱患,要集合企業內外部的專家進行專題研討。審計人員既是組織者,又是參與者,同時也是學習者。3.開發自我評估工具。對風險管理進行深入研究,利用現代技術開發適合本企業的評估工具
將企業風險管理融入內部審計程序
在風險管理中,內部審計部門主要是對風險管理部門和其他相關部門所進行的風險管理進行再監督。因此內部審計程序與機構的風險管理之間應該協調一致,使這兩項工作產生協同增效的作用。
1.在編制審計計劃時,應該在對可能影響機構的風險進行評估的基礎上,制定內部審計部門的審計計劃,確定審計項目。
2.確定審計范圍時,要考慮并反映整個公司的戰略性計劃目標,并每年對審計范圍進行一次評估,以反映機構的最新戰略和方針。
3.編制審計方案時,通過風險因素分析來確定審計業務工作重點;在審計實施過程中,通過評價內控制度,查找其中的疏漏和薄弱環節;在更新審計范圍與計劃的內容時,要反映管理層的方針、目標、工作重心出現的變化。在選擇檢測、證實風險的技術與方法時,應該能夠反映出風險的重大性與發生的可能性。
篇8
一、全面風險管理框架概述
(一)Tread―way委員會及COSO的成立。1985年由AICPA、美國審計總署(AAA)、FEI等機構共同贊助成立了全國舞弊性財務報告委員會,即Tread-way 委員會,旨在研究舞弊性財務報告產生的原因及其相關領域,其中包括內部控制不健全問題,并建立了一個專門研究內部控制問題的委員會COSO。迄今為止,COSO委員會共了五篇研究報告,除上面提及的《內部控制統一框架》與《企業風險管理――整合框架》外,其余三份分別是:1987年的《反欺詐性財務報告全國委員會報告》、1996年的《衍生金融工具運用中的內部控制問題》和1999年的《欺詐性財務報告――1987~1997:美國公眾公司分析》。
(二)全面風險管理框架。2003年7月COSO委員會頒布《企業風險管理――整合框架》,簡稱ERM。其中定義“全面風險管理是一個過程,這個過程受組織的董事會、管理層和其他人員影響,應用于戰略制定、貫穿在整個組織之中。全面風險管理旨在識別影響組織的潛在事件并管理風險,使之在企業的風險偏好之內,從而為組織目標的實現提供合理的保證”。管理當局通過制定戰略和目標,力求實現增長和報酬目標以及相關的風險之間的最優平衡,并且在追求所在主體的目標過程中高效率和有效地調配資源時,價值得以最大化。企業風險管理包括三個層次:風險管理目標、全面風險管理要素、企業的各個層級。
二、全面風險管理框架解析
根據《企業風險管理――整合框架》,每一個主體都面臨不確定性,管理當局所面臨的挑戰就是在為增加利益相關者價值而奮斗的同時,要確定承受多大的不確定性。不確定性可能會破壞或增加價值,它既代表風險,也代表機會。企業風險管理使管理當局能夠有效地應對不確定性以及由此帶來的風險和機會,增進創造價值的能力。對此,COSO提出了相應的ERM框架,包括風險管理的定義、目標完成和企業風險管理要素等。
(一)ERM定義。根據COSO的定義,ERM是一個過程,應用于戰略制定和企業各個層面,識別潛在可能影響企業的事件,并在企業風險偏好內管理風險,為完成企業目標提供合理的保證。影響企業的事件具有負面或正面效果,或二者同時具有。另外,該定義強調“全面風險管理”而非“全部風險管理”,即并不是將各風險進行簡單合并管理,而是將風險管理看為一個有機過程,在這一過程中,將各種風險看為一個有機整體進行統一管理。
(二)目標達成和分類。在企業經營中,管理層首先建立戰略目標,再選擇戰略,在企業經營中實施戰略,直至實現企業目標:戰略目標、經營目標、報告目標和監管目標。這四類目標既相互獨立,又彼此重疊,它們表示企業的不同需求,也是企業不同經理人員的直接責任。需要說明的是,因為關于報告可靠性的目標和法律法規遵循的目標屬于企業內部控制范圍內,ERM可以提供合理的保證以使目標達成,但戰略性和經營目標通常受到外部事件影響,而超出企業范圍內的控制。相應地,對這兩類目標,ERM可以提供合理的保證則是管理層和在監督角色的董事會能夠及時意識到企業達到目標的程度。
(三)ERM的八個要素。為保證目標的完成,COSO提出了企業管理中構成 ERM的八個要素。ERM不是一個嚴格的系列步驟,即一個要素影響下一個要素,而是一個多方向、重復性的過程,在這個過程中幾乎任何要素都能而且會影響其他要素。目標和要素之間存在直接的聯系,目標是企業要努力完成的東西,而ERM要素是完成目標所需要的東西。
(四)框架的局限性。ERM自身也存在局限性,企業即使完全具備了這八個要素,仍然不能保證企業目標的實現。這些局限性包括:人員決策判斷的失誤、對風險做出反應和建立控制制度要受到成本效益的制約、人員簡單的錯誤可能導致ERM的中斷、兩人或多人勾結導致控制制度的失效,以及管理層凌駕于控制制度之上等,這些缺陷使董事會和管理層不可能絕對保證企業目標的實現。
篇9
2004年9月美國COSO委員會的企業風險管理整合框架,其中很重要的一個變化是企業風險管理框架拓展了內部控制框架的風險評估要素,創造了四個構成要素――目標設定、事項識別、風險評估和風險應對,使原來內部控制中的五要素,拓展為企業風險管理的八要素,為什么要對此細化呢?筆者的理解是COSO試圖讓這個框架在風險評估這個環節更具體,更有指導性,體現了其和對風險評估要素的重視及強調,雖然它并不否定其他構成要素的重要性。
我國內部控制基本規范中雖然還是提五要素,但在第三章“風險評估”中也借鑒了COSO的表述,包含了目標設定、事項識別、風險評估和風險應對四個方面的內容。關于風險識別,在第二十二條和第二十三條列示了企業內外部各種風險因素。
按照COSO的定義,事項是源于內部或外部的影響戰略實施或目標實現的事故或事件。事項可能帶來正面或負面的影響,或者兩者兼而有之。在事項識別有過程中,管理層認識到不確定性的存在,但是并不知道一個事項是否會發生,或什么時候發生,或者它所帶來的確切影響。事項有的很明顯,有的很隱晦;所產生的影響有的微不足道,有的十分重大。
筆者認為在企業風險管理構成要素中,事項識別是需要管理層重視的一個問題,也是風險管理工作中一個不好掌握的環節,它是風險評估的起點,與目標緊密相連。在實務工作中,這個要素怎樣識別,由誰來確認事項,運用什么工作方法,怎么區別對待機會和威脅并啟動不同的風險響應機制,是一個難題。事項、發生的可能性及對其的評估,“在實踐中很困難,因為通常很難知道到底應該把底線畫在哪兒。”管理層重視事項識別這個環節,并在實際工作中明確崗位職責,建立有效的工作機制,才能做到寓風險管理持續地流動于主體之內的要求。
二、事項識別的主體
事項識別的主體是管理層。企業風險管理要求企業的每個員工都要對風險管理負有一定的責任,首席執行官負有首要和最終的責任,其他管理人員在各自的職責范圍內依據風險容限去管理風險。風險官、財務官、內部審計師等通常負有關鍵的支持責任。企業其他人員按指引和規程去實施風險管理。在企業實際工作中,問題有三個,其一,不同的管理層自上而下認識和努力程度是否一致;其二,不同崗位的人員素質及能力水平是否符合要求;其三,缺乏專責機構,事項識別職責不明。
首席執行官(CEO)負責建立企業風險管理的所有構成要素。CEO要領導和指引其他高級管理人員共同做好事項識別工作,要培養管理團隊有共同的風險管理價值觀、原則,要使風險管理理念和文化在企業廣泛、深入地普及。只有上下認識一致,共同努力,風險識別工作才能做好。
管理層的特定崗位的勝任能力水平是事項識別的重要制約因素。管理人員需要一定的知識與技能才能做好這項工作,人在認知風險事項時是有局限性的,尤其是復雜的經濟和社會現象,人們往往認識不清,比如前兩年源于美國次貸危機引發的全球金融危機,一開始,很少人認識到它的危害性、影響深度及廣度。事項識別需要管理層敏銳的視角,勇于負責的態度,豐富的經驗和明確對等的權責分配及監督。
事項識別必須在管理層特定機構和特定崗位明確職責。責任到人,才不會導致由提倡“人人有責”變成“人人無責”,管理層要通過逐級授權,讓不同的管理者分擔與其分部、業務單元、子公司對應的風險管理責任。事項范圍需要按一定的方法進行歸類,事項識別漏項要有處罰制度,保證管理層內部權責明確,賞罰分明。
我國企業可以結合自身實際情況,建立以總裁或CEO為首的風險管理委員會,下設具有跨部門、跨單元風險管理職責的專職或兼職的風險管理辦公室,各部門、子公司、各單元的負責人為各自單位的風險管理責任人,在各部門、子公司、業務單元設專職風險管理崗位,內部審計部門對風險管理工作進行再監督,這樣一種風險管理主體架構。
三、事項識別的工作機制
企業要建立一定的工作機制來保證事項識別工作得到貫徹落實。除了CEO負有全面責任外,風險官、財務官、內審部門負有相對于其他管理層人員更重的事項識別職責,企業風險管理部門、財務部門、法律部門相對于其他部門有更多的風險管理責任,應明確其崗位職責。CEO要定期地約談、督促相關崗位和部門的管理人員協助其做好這方面的工作。對于事項識別,管理層應建立報告制度,不同層級發現的事項,要按照一定的標準上報,企業要事先規定不同情形的事項如何處置。風險官、財務官、內審部門、風險管理專門機構,要有事項識別具體工作要求,對事項識別的周期、范圍、時機、深度和廣度做出規定,定期報告,對于特定的事項范圍,明確由哪個管理角色來承擔。要建立基層員工反映不尋常事項的順暢渠道,鼓勵和引導全體員工積極參與風險管理工作,建立獎勵制度。運用科學的方法和有效的工作組織,事項識別工作才能做好。
四、事項識別的難點
不同事項影響企業生存和發展的環境,使企業面臨的機會與風險發生變化。事項識別的難點在于事項的廣泛性,相關性,相互依賴性,不確定性和可識別性。
所謂廣泛性是說事項眾多,紛繁復雜。既包括外部因素,如經濟、環境、政治、社會、技術因素等,也包括來源于企業內部的各種因素。即使在經濟因素里面,事項也數不勝數,如國際金融危機、國家產業政策調整、資金成本變化、行業競爭性準入的變化等等,從企業內部因素看,如人員方面,安全事故、合同到期、薪酬政策等,將可能影響企業人力資源的獲得,給企業帶來停工損失或使企業形象受損。
相關性是指事項與目標之間的是否有因果對應關系,人們通過界定這些事項,能夠提高人們發現風險與機會的能力。事項識別必須圍繞著目標的實現來確定的,只有影響戰略實施或目標實現的內外部事故和事件才屬于事項的范圍。
相互依賴性是指事項通常不是孤立地發生的,一個事項可能引發另一個事項,事項也可能會同時發生。如一項資本性開支(固定資產更新改造)因為縮減性財務政策而推遲實施,可能導致停工或延期交貨。有時,事項之間的關聯性也要進行分析研究才能得出。當事項之間存在相互關聯,或者事項結合或相互影響產生顯著不同的可能性或影響時,管理層就要把它們放在一起來評估。
不確定性是指事項是否如期發生,企業風險管理的實質就是平衡企業在創造價值的同時,能夠承受多少不確定性。在企業經營所處的環境中,諸如經濟全球化、技術、重組、變化中的市場、競爭和管制等因素都會導致不確定性。不確定性來源于不能準確地確定事項發生的可能性以及所帶來的影響。
可識別性指事項發生或即將發生時,能否被管理層識別。風險實際上更多地來源于管理層沒有識別到有著負面影響的事項,在事項發生時,管理層沒有意識到它會給企業帶來影響。事項識別還包括要將代表著機會的事項反饋到管理層的戰略制訂或目標制訂過程中。企業的事項識別能力也與其運用的技術方法緊密相關,也有一個培養和提高的過程。
事項識別的深度、廣度、時機和范圍因主體而異。對于以上這些難點的充分認識,有助于企業風險管理抓住“牛鼻子”,抓住關鍵事項。
五、事項識別的方法
篇10
【關鍵詞】企業全面風險管理,內部控制,理念
隨著我國經濟全球化、市場化的不斷深入,企業面臨的不確定因素愈來愈多,很多企業把注意力引向了全面風險控制與內部控制機制方面的設立,但只有少部分內部治理結構健全的企業設立了有效的風險監控職能,大部分企業仍存在較為嚴重的風險管控缺陷的問題。如何建立、完善企業內控制度已成為眾多企業亟待解決的治理問題。
一、企業內部控制發展
內部控制是組織運營和管理活動發展到一定階段的產物,是科學管理的必然要求。它是在內部牽制的基礎上,由企業管理人員在經營管理實踐中創造并由審計人員理論總結而逐步完善的自我監督和自行調整體系。內部控制從內部控制理論與實踐的發展大體上經歷了內部牽制、內部控制系統、內部控制結構、內部控制整合框架和全面風險管理等五個不同的階段。
1、內部牽制階段。內部牽制階段指的是20世紀以前內部控制的基本思想和初級形式。內部牽制以查錯防弊,保護的財產安全為目的,針對控制對象以職務分離、賬目核對等方法發揮分權牽制、實物牽制、機械牽制和簿記牽制的職能。
2、內部控制系統階段。這一階段從時間上看大致為20世紀40年代至80年代。在注冊會計師行業的推動下,內部控制由早期的內部牽制逐漸演變為涉及組織結構、崗位職責、人員素質、業務處理程序和內部審計等比較嚴密的內部控制系統,完成了實踐塑造和理論完善的兩大使命,適應了這一時期資本主義經濟快速發展、所有權與經營權進一步分離的特點。
3、內部控制結構階段。20 世紀80年代至90年代初,內部控制的發展進入內部控制結構階段。在這一階段,控制環境作為一項生根內容被納入內部控制結構之中。控制環境反映組織的各個利益關系主體對內部控制的態度、看法和行為;是對建立、加強或削弱特定政策和程序效率發生影響的各種因素。具體包括: 管理者的思想和經營作風;企業組織結構;審計委員會發揮的職能;確定職權和責任的方法;管理者監控和檢查工作時所用的控制方法;人事工作方針及其執行、影響本企業業務的各種外部關系。
4、內部控制整合框架階段。1992 年9 月, 美國反虛假財務報告委員會的主辦組織委員會( COSO) 在的報告《內部控制: 整合框架》 中提出了內部控制的三項目標和五大要素, 標志著內部控制進入一個新的發展階段。其目標包括合理地確保經營的效率和有效性、財務報告的可靠性、對適用法規的遵循。內部控制要素包括: 控制環境、 風險評估、控制活動、信息與溝通和監控。
5、全面風險管理階段。這一階段的標志是2003年7月美國COSO頒布的企業風險管理框架的討論稿。企業風險管理是受企業董事會、管理層和其他員工影響的,用于識別那些可能影響企業的潛在事件并管理風險,使之在企業的風險偏好之內,為企業目標的達成而提供合理保證的過程。
二、企業全面風險管理發展
企業風險管理框架是在內部控制與企業的風險管理相結合的基礎上,結合《薩班斯一奧克斯法案》在報告方面的要求研究得到的。風險管理框架是建立在內部控制框架的基礎上,內部控制是企業風險管理必不可少的一部分,但風險管理框架的范圍比內部控制框架的范圍更為廣泛,是對內部控制框架的擴展,是一個主要針對風險的更為明確的概念。
相對于企業內部控制制度,企業全面風險管理框架的創新在于:在目標上:提出來企業戰略管理目標,為風險管理應貫穿戰略目標的制定、分解和執行過程,為戰略目標的實現提供合理保證; 在內容上控制要素構成為內部環境、目標制定、事項識別、風險評估、風險反映、控制活動、信息和溝通、監控;在概念上提出來風險偏好和風險容忍度。
三、 全面風險管理與內部控制的關系
1、 全面風險管理與內部控制的區別
(1)管理范圍不同。
全面風險管理的管理范圍要大于內部控制。內部控制是一種管理職能,主要作用于事中與事后的控制,而全面風險管理則是貫穿于整個過程的各個環節,尤其是在事前就有了一定的預見性的風險考慮。
(2)具體業務流程不同。
全面風險管理涉及制定風險管理目標和戰略、選擇風險評估方法、聘用管理人員以及報告程序等環節,而內部控制不涉及到企業經營目標的設立,只是對目標制定的過程進行控制。負責如對報告的評估、對信息交流的監督、對錯誤的糾正等等。
(3)風險管理不同。
全面風險管理框架引入了風險偏好、風險預警、風險對策等方法概念,因此,在風險度量的基礎上,該框架可促使企業發展戰略向風險偏好靠攏。根據投入、風險、回報之間的聯系,合理進行資本分配。這些功能都是內部控制框架能力范圍之外的。
2、聯系
通過了解內部控制的五大發展階段可知,隨著企業管理者的治理理念的改變,全面風險管理在內部控制的基礎上發展和完善。內部控制作為企業的重要的組織制度,為實現企業的管理目標而提供了保障。有效的內部控制保證企業營運有效、財務可靠,使企業風險值降到最小,保證企業的可持續發展。
全面風險管理產生于戰略決策之中,貫穿于企業的各個環節,為企業持續發展提供保障。全面風險管理包括三個方面:一是企業的風險管理目標。包括經營目標、戰略目標、報告目標和合規目標;二是全面風險管理要素。主要有目標設定、內部環境、事件分析、風險評估、風險對策、信息交流、控制監督;三是企業的各個層級的設置與風險管理職責。包括企業整體、各職能部門、各業務線和企業下屬各子公司,以及各個層級的風險控制職責。
