时间:2023-09-28 15:27:32
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇企业风险管理的特征,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
对一个持续经营的企业而言,常见的企业风险包括:战略风险、经营风险、财务风险、信息风险、环境与法律风险。从风险产生的特点看:有宏观的、微观的;有自然的、人为的;有政治的、经济的;有战略的、市场的、财务的、运营的、法律的等方面。在企业风险管理的目标中,面对风险的出现,各管理层因利益关系,对全面风险管理的需求和心态各不相同,所关注的重点也各不一样。科学分析其中的差异,承认这些现象的合理性,科学制定风险管理措施,是降低风险管理成本,全面提升风险管理有效性的重要途径。企业风险管理的核心,不仅是强化风险管理的意识,而是要激发各管理层进行风险管理的动力,并建立一种机制持续维系这种动力,去解决企业面临的各种风险问题。企业为规避风险,维护自身利益,推行全面风险管理,并通过制定制度去落实这并不难。难的是在看不到直接风险的时候,去进行风险管理工作;更难的是在日常的风险管理中,去建立风险管理的持续动力机制和风险管理文化。因此有必要在分析风险管理行为、动力体系的基础上,对建立企业风险管理的持续动力机制这一重要问题进行探讨。
一、企业风险管理中各层面需求与行为分析
本文首先从企业的所有者、职业经理人、一般管理人员、普通员工在业务环节中产生的风险程度、避免风险的利益分配、风险责任的大小、风险管理工作的复杂性这几个方面,探求其一般想法和需求,以及不同的行为特征,去寻找推进风险管理的着力点。
第一,业务环节中产生风险程度的分析。从企业面临风险的来源看,主要分内部风险和外部风险,从数量上看,内部风险远大于外部风险。而内部风险中,企业所有者、职业经理人、一般管理人员、普通员工这四个层面中,管理行为偏差所带来的风险程度是不相同的。控制和防范风险的重点环节首先是在企业上层,它是一些决策、市场经营、重大管理思路带来的风险。而这些风险是隐形的,往往伴随着重大风险损失。企业基层环节的风险,一般是管理措施和操作性失误的风险,相对来说对企业整体影响不大。所以说,企业中所有者、职业经理人、一般管理人员、普通员工行为偏差对应造成的风险大小程度应是由大到小。
第二,规避风险行为的各层利益分配。因为加强了企业风险管理,实现了企业规避风险、减少损失或者获取更大利益的目标,企业的所有者、职业经理人、一般管理人员、普通员工这四个层面人员的得益也不尽相同,其最终得益分配是从大到小。根据行为动机趋利性的原理,得益不同,其行为动力也不同,所以全面风险管理的主要动力必然源于企业高层。
普通员工层面得益最小,行为动力必然也小。如果把风险管理措施制定得较为复杂,未经细化和简化地在这层面实施,出现偏差的概率会较高。风险管理措施复杂,必然会带来管理成本的升高,不符合企业管理中以最小的投入获取最大效益的原则。因此,风险管理措施必须以较简单的操作方式,在普通员工层面完成,才会有较好的效果。
第三,风险责任在企业各层中的分配。如表1所示,职业经理人是控制风险管理措施的关键环节,一般管理人员是避免风险造成具体利益损失的关键环节。各个管理层所承担的风险管理责任是不相同的,他们在企业加强风险管理的工作目标下,根据自身责任的情况来规避风险,进行管理。在追究因风险管理工作不力而造成损失的责任中,企业各层次承担的责任是不一样的。企业日常大量的经营行为决策是由职业经理人决定,所以在承担风险管理责任时,理论上职业经理人的责任应该更大。但是,很多风险管理责任的出现,是由某些管理的具体行为所引发,某些管理行为就成为产生风险责任的载体。因此,职业经理人就可借此分摊风险责任,这样职业经理人尽管承担着较大的风险管理责任,但其直接经济责任相对减轻。于此同时,一般管理人员和直接造成风险责任的岗位员工就相应承担较大的经济责任。
第四,风险管理工作的复杂性在各管理层的分配。从风险管理工作具体落实的复杂性而言,在各管理层的分配也是不相同的(见表2)。从表2可以看出,企业风险管理工作量最大、工作复杂性最高的是在一般管理人员这个层面。他们是企业全面风险管理工作的支撑点,也是整个工作是否有成效的关键。
所以,从业务环节产生风险程度、避免风险的得益分配、风险责任的大小、风险管理工作的复杂性这几个方面看,要抓好企业的全面风险管理,所有者是由企业的自身利益机制制约形成动力,而职业经理人和一般管理人员从职责上划分是决定整个风险管理的核心层面,风险评估这一核心环节也是在这一层面中实现,风险规避的各种措施同样也是由这一层面组织贯彻落实。
二、企业风险管理动力体系
从企业风险管理的行为特点可以看到,在风险管理的不同层面存在着各种不同的利益和管理需求。从风险管理的动力来源看,其同样存在着各种不同的推动形式和组合。
风险管理内在动力主要是来源于企业的利益需求、责任落实、行为习惯等,其利益、责任的大小及习惯特征也就影响着整个风险管理的不同组合类型,会在风险管理中形成利益驱动型、责任驱动型、习惯驱动型、混合驱动型等作用力大小不等的风险管理方式。因此,也就自然形成企业风险管理中的千姿百态,如图1所示。
充分认识风险管理的行为特点、动力机制,我们就能更好地抓住风险管理的中心环节。根据每个企业所处的行业特征,掌握企业内部风险管理的主要矛盾,风险管理的动力及其程度,风险管理的措施就会有的放矢,高效低成本地推进风险管理工作就有了坚实的基础。
三、企业风险管理文化与持续动力机制的建立
通过一些活动和措施使企业避免一些可见损失的发生,企业是非常愿意去完成的。但对于一些长期的、需一定成本的全面风险管理工作,未必每个企业都愿意长期、认真的去做,特别是一些未曾遭遇过重大风险事件的或只是在已见风险时才去做的企业,这都是很正常的。进行全面风险管理,使企业健康、稳定、持续地发展,就必须要有企业风险管理文化的支撑。
第一,促进企业风险管理文化形成。企业不可能通过经受风险的重大伤害去认识风险,并去建立风险管理文化,因为有一些企业可能在一次风险的经历中已经消亡。当企业或个人的利益受到风险的重大伤害,那么其对风险影响的认识必然会十分深刻。通过制度来管理和认识风险虽然有效,但是由于处于被动的状态,容易不断被淡化。笔者认为,促进企业风险管理文化建立,要以风险管理制度建设为基础,以小风险或剩余风险损失案例教育为思想动力,不断强化风险意识。要基于管理人员的类型、习惯,对风险的认识和行为偏好、利益关系、奖惩制度、工作能力等多因素的基础上,以企业发展目标为主导,调和各种动力和因素,形成风险管理思维和工作习惯,去实现企业风险管理文化的建立。有效的企业风险管理需要风险管理文化的支撑,因为人们都有规避风险的意识,但在利益追求中却很容易产生低估风险、淡忘风险的倾向。所以企业风险管理文化的形成是有一定困难的,不可能一蹴而就,企业风险管理文化的形成需要一个过程和一些经历。
第二,企业风险管理持续动力机制的建立。当企业通过努力形成风险管理文化后,风险对企业的伤害必然会大力减少,人们对风险危害的意识也会逐步弱化,这就需要企业去建立起全面风险管理的持续动力机制。在前文分析企业风险管理动力体系的基础上,从管理原理去分析,全面风险管理的持续动力机制必须保持对企业风险管理工作的不断刺激,使全面风险管理为企业规避风险带来新的、现实的和潜在的价值。另外,全面风险管理的持续动力机制能从制度和利益的角度约束企业员工按照企业全面风险管理的要求,不断循环检查、调整工作去适应变化,规避风险。因此,可以按上述二个方面的要求,去建立全面风险管理的持续动力机制。根据对风险管理的研究,结合企业的实际情况,提出一个管理循环体系。
图2来实现全面风险管理持续动力机制的目标。
要建立一个有效的全面风险管理持续动力机制管理循环系统。首先要充分利用企业本身的内部控制监督成果,就是利用审计结果及审计发现,去贴近企业管理中已存在的风险问题。将工作计划、审计结果、经营环境分析三者结合起来,作为风险评估的工作前提,就能直接发现和处理风险问题,提高效率,降低管理成本。让企业更直接看到风险管理的作用和效果,全面提高推进风险管理工作的动力和积极性。其次,要对企业因风险所造成的损失,分清是固有风险损失还是人为风险损失。对人为的风险损失,要制定企业风险损失责任追究惩戒办法。要引导员工学习风险管理知识和技能,学习规避风险的方法,并通过企业内、外部风险损失案例的教育培训,不断促进全员风险意识的强化,形成全面风险管理强有力的环境压力势态和个人利益约束机制,保证全面风险管理工作在整个企业能有效推进,规避发展中的风险,服务于企业的长期效益。通过分析,可充分认识到企业风险管理中,管理人员的一般行为规律、风险管理的动力体系,因此,笔者认为应以风险管理制度为基础,以剩余风险损失循环教育作为思想动力,以风险损失责任追究制度为保障,寻找风险管理中企业和人的利益、责任、行为习惯对风险管理的推动作用和合力点,去形成企业风险管理文化中的压力和动力。
综上所述,将上述各种因素联系起来,形成一个循环管理系统。在不断保持风险管理方式的动态变化下,对原有动力系统按新的环节进行改造,进行新的平衡设计,使企业内部产生风险管理的持续的动力机制。
参考文献:
关键词:企业风险管理;经济资本;风险管理要素;可持续风险管理
Abstract:Since COSO issued“Enterprise Risk Management-Integrated Framework”,COSO-ERM framework has become the standard of enterprise risk management,but as some financial institutions broke in the Subprime Crisis,the effectiveness of the enterprise risk management was suspected. Today in the post-crisis era,developing new analytical framework of enterprise risk management becomes an inevitable claim. In the new analysis framework,the objective of enterprise risk management is shifted from the company(shareholders)to maximize the interests to maximize the interests of corporate stakeholders,and the contents of enterprise risk management are shifted from the COSO eight elements to the economic capital,risk management elements,structured financial instruments and risk management for the pillars of sustainable comprehensive risk management.
Key Words:enterprise risk management,economic capital,risk management elements,sustainability risk management
中图分类号:F830 文献标识码:A 文章编号:1674-2265(2012)06-0009-05
风险管理理论已有五十年的发展历史,已成为指导企业经营管理不可或缺的重要思想。2004年COSO颁布《企业风险管理——整合框架》后,COSO—ERM框架很快成为风险管理的核心标准,企业风险管理首次拥有了一个系统的分析框架。但是,发生于2007年的次贷危机,动摇了人们对COSO框架的信心,风险管理该如何实施成为后危机时代风险管理理论必须回答的问题。王稳(2010)提出了一个新的企业风险管理分析框架,以经济资本、风险管理要素、结构性金融工具和可持续风险管理作为企业风险管理的核心内容,为后危机时代的风险管理提供了一个可参考的框架思路。本文在这个分析框架的基础上,系统梳理了已有文献对风险管理框架和内容的论述。
一、企业风险管理分析框架的演进
在市场经济体制下,企业按照现代企业制度的机制运行,具有产权明晰、自主经营、自负盈亏、自我发展的自,完全具备了作为市场主体角色的资格。同时,企业所面临的内外部各种风险以不同于以往的方式和程度影响着企业目标的实现,从而使风险管理成为企业管理不可缺的一个方面。
(一)现代企业风险的特征
1、非预期性。相对于计划经济体制下的企业而言,现代企业风险更多地来自企业外部,而产生外部风险的各种因素均是企业不可控的,其发生与否以及何时发生,企业事先不得而知。对企业内部风险, 由于外部风险波及,其不可预期性也有不同程度的加大。
2、非可控性。如上所述,企业风险多由外部不可控制的环境因素产生,并波及至企业内部。对企业风险的防范,从根本上来说主要是先从外部风险做起,在有效降低外部风险影响程度的基础上,减少其再向企业内部的波及的范围和程度。
3、综合作用。现代企业面对不仅有内部因素,更有外部环境因素影响;不仅有国内的;也包括国际的;在现代企业风险管理体系中,公司治理从企业整体角度理顺关系,内部控制程序则从执行层面对企业风险的防范发挥作用。内部审计作为内部控制的重要组成部分,与风险管理密不可分,其在风险管理中发挥着不可替代的独特作用。
二、内部控制与风险管理的联系日趋紧密
在决定内部控制政策,并在此基础上评估特定环境中内部控制的构成时,企业决策层应对诸多风险管理问题进行深入思考。比如:公司面临风险的性质和程度;公司可承受风险的程度和类型;风险发生的时间及可能性;公司自身防范风险的能力;实施风险管理的成本,以及从相关风险中可能获取的利益等。
管理层在执行企业风险控制政策过程中,应准确确认、评价公司所面临的风险,并执行决策层所设计的内部控制政策,对企业风险进行有效的管理。
三、内部审计理论的新发展
审计理论和方法在经历了详细检查、从详细检查转为初步抽样、以及测试内部控制并广泛采用抽样进行审计的三个发展阶段后,目前已发展到了以测试评价企业风险为主要方法的风险导向审计阶段。为顺应内部审计理论及实务的变化,国际内部审计师协会(IIA)在1999年对内部审计重新定义为:内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。
这一新定义又将内部审计的范围延伸到风险管理和公司治理层面,认为内部审计是针对风险管理,控制及治理过程的有效性进行评价和改善所必需的。
四、内部审计的主要职责就是风险管理
随着风险导向审计时代的来临,内部审计的工作重点也发生了变化。现代内部审计除了关注传统的内部控制外,更加关注有效的风险管理机制设计的合理性及其运行的有效性。在风险导向审计观念下,年度审计计划与公司决策层风险战略连接在一起。内部审计人员通过对当前风险的分析确保其审计计划与经营计划相一致,并使风险管理贯穿于审计计划执行的全过程。在风险导向审计观念中,内部审计的工作重点不仅是测试控制,而且包括确认风险以及测试管理风险的方法;控制仍然重要,但分析、确认、揭示关键性的经营风险等相关风险,才是内部审计的焦点。
五、内部审计在风险管理中的作用
内部审计在企业内部控制体系中处于独特的位置,有着其他内部控制组成部分所不具有的不可替代的独特的风险管理作用。
(一)能够以独立、客观的姿态,从企业全局角度对风险进行管理。
风险在企业内部所具有的感染性,传递性和不对称性等特征,即一个部门所造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是沿着相关工作程序传递给其他部门,最终可能会使整个企业陷入困境。因此对风险的确认、防范和控制需要从全局角度考虑,而其他的业务部门较内部审计部门而言,很难做到这一点。内部审计人员不从事企业具体的业务活动,相对独立于相关业务活动和业务部门,而且直接隶属于企业高层管辖,这就使得他们可以从全局角度出发,以某种超然的姿态对企业风险进行客观地认别确认和评价,及时便捷地向企业高层汇报有关情况,便于企业从全局高度对风险进行有效管理。
(二)控制、指导企业的风险策略。
由于企业内部审计部门处于企业决策层和执行层之间,内部审计人员充当了企业长期风险策略与各种决策控制的协调人角色。通过对长期规划与短期计划的协调,以及对实际执行缺陷和成功经验的互动反馈,内部人员可以起到调控、指导企业风险管理策略的作用,使企业风险管理体系以良性循环的态势不断完善和发展。
「关键词企业风险风险管理风险管理审计由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、企业风险及风险管理的内涵进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。1企业风险的实质首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。2企业风险的划分企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。3企业风险管理COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
「关键词 企业风险 风险管理 风险管理审计
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、企业风险及风险管理的内涵
进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。
1 企业风险的实质
首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。
2 企业风险的划分
企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:
(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。
(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。
(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。
3 企业风险管理
COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”
我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标
对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。
从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容
风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
1 审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2 审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
3 审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:
1 审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。
2 审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。
需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别的风险的特征;
(2)相关历史数据的充分性与可靠性;
(3)管理层进行风险评估的技术能力;
(4)成本效益的考核与衡量等。
3 审查风险评估方法应当遵循的原则
内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。
(四)风险应对措施适当性和有效性审查
内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。
「摘要企业风险管理是一个倍受关注的焦点问题,企业能否在存在各种不确定性因素影响的环境中有序、有效地运转,在很大程度上取决于企业风险管理的有效性。对企业风险管理的有效性进行审查和评价是现代内部审计的一个崭新领域,本文在分析了企业风险和风险管理内涵的基础上,分析了企业风险管理审计的目标及主要内容。
「关键词企业风险风险管理风险管理审计由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。一、企业风险及风险管理的内涵进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。1企业风险的实质首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。2企业风险的划分企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。3企业风险管理COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。二、企业风险管理审计的目标对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。三、企业风险管理审计的内容风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:1审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。3审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。(二)风险识别的适当性及有效性审查风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:1审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。2审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。(三)风险评估方法的适当性及有效性审查内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:(1)已识别的风险的特征;(2)相关历史数据的充分性与可靠性;(3)管理层进行风险评估的技术能力;(4)成本效益的考核与衡量等。3审查风险评估方法应当遵循的原则内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。(四)风险应对措施适当性和有效性审查内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:(1)采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;(2)采取的风险应对措施是否适合本组织的经营、管理特点;(3)成本效益的考核与衡量等。
关键词:风险管理 内部控制 框架
一、风险管理的概念
我国对风险管理理论的研究起步较晚,且不同行业对风险控制管理的理论见解也有所不同。本文认为风险管理是指企业在可能遇见的风险环境里,通过对风险的识别、估测、评价,借以基础上选择一套最恰当的风险管理办法,对风险控制后所致的后果降至最小化的管理过程。
二、风险管理与内部控制的关系
关于对风险管理和内部控制这两个概念,学术界有两种争论――风险管理包括内部控制,或者内部控制包括风险。本文则认为内部控制是风险管理的基础条件,风险管理是内部控制的升华,两者相辅相成,只是不同行业之间对两个概念强调的侧重点不同而已。
1.行业特征。金融行业,所的广告语都是“投资有风险,入市需谨慎”,可见,它所强调的一般都是对风险管理的重要性,所以该行业是以风险管理主导内部控制更为方便管理。而对于制造业来说,要求企业对内部控制加强管理,所以企业以内部控制为主导更为适合。
2.企业运行周期。在企业刚起来阶段,内部结构还不够完善,所以要加强企业的内部控制体系的建立。而在企业成长期间,企业规模扩大,业务范围广,随之而来的风险也越来越大,所以其管理模式是风险管理控制主导内部控制体系。随着企业逐渐走向成熟,盈利达到最高,有了抵御风险的能力,企业会力求在内控上做到更加完善来巩固自身的防御能力。在衰退期,由于企业的规章制度多,所以内部控制成了企业领导重点关注的内容。
三、现代企业风险管理框架的基本内容
美国COSO委员会对内部控制的概念有一定的标准解释,然而在经历了美国安然、施乐等企业发生的欺诈事件后,COSO所提出了内部控制框架受到了相当大的质疑,于是,人们开始关注对风险的控制,认为内部控制框架应当与风险管理相结合来提升企业的管理水平。但是,对于绝大多数企业来说,缺乏普遍认同的风险管理和内部控制框架的定义。2004年9月,在学术界和企业界的强烈要求下,美国COSO委员会颁布了《企业风险管理整合框架》,该框架是目前应用最广泛的理论依据,受到各国业界人士的高度关注。
(一)COSO企业风险管理框架
1.企业风险管理的目标体系。COSO认为风险管理目标有四类:战略目标、经营目标、报告目标、合规目标。战略目标是指企业的使命。经营目标一般是指业绩指标、盈利指标等。报告目标是指企业财务报告和其他信息的可靠性。合规目标是指企业在经营过程中是否遵守相关法律法规。企业目标的分类有助于企业在面对不同时期的不同问题时,能侧重点的管理,可以根据企业当时的需要进行分派某个具体部门进行直接负责。
2.企业风险管理的要素。企业风险管理有八个要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和控制。这八个要素都贯穿在企业生产经营管理过程当中。
3.企业风险管理目标与要素之间的联系。企业风险管理要素是为了实现其风险管理目标的,因此,两者之间有着直接的关系。
(二)COSO企业风险管理框架理论
企业风险管理框架是《内部控制整合框架》的拓展和完善,新的COSO报告又新增加了一些观点、目标和要素,主要体现在:
1.风险组合观。COSO提出了一个新的观念――风险组合观,要求企业从总体控制各个部门的风险,借以统筹考虑对风险的施行措施,避免各部门分散考虑应对风险。
2.战略目标。内部控制框架的企业目标分为三个:经营目标、财务目标、合法目标。而企业风险管理框架新增加了一个新的目标――战略目标。从管理学来分析,战略目标是用来支持企业实现最终使命的,是最高层次的目标。
3.风险容量和风险容限。风险管理的框架定义:风险容量是一个主体在追求价值的过程中所愿意承受的广泛意义的风险的数量,它反映了主体的风险管理理念,进而影响了主体的文化和经营风格。风险容限是风险容量的基础,是企业实现目标所能接受的偏离限度。
4.三要素――目标设定、事项识别和风险应对。目标设定是风险管理体系的首个要素。事项识别是企业进行风险管理的前提。风险应对是说针对不同风险来选择不同的对策,做到风险最小化管理来降低成本,促进企业发展。
四、我国企业风险管理的现状及分析
(一)中航油的案例分析
中航油新加坡公司于2001年在新上市,当时是陈久霖任董事兼总裁兼总经理职务,在任期间,陈久霖对企业的业务范围进行大力扩展,2003年,企业已经从事油品套期保值和衍生品期权交易,起初的200万桶交易获得非常大的收益,但是由于2003年到2006年之间,石油价格一路攀升,而中航油对石油价格回跌一直寄予希望,不断的增仓,致使账面价格亏损严重,最后不得不申请企业破产。
中航油的事件,引起业界一片哗然。其原因有多方面:第一,企业领导更新意识淡薄。第二,风险偏好极端。第三,缺乏风险评估机制的建立。虽然中航油内部指定了《风险管理手册》,并运用了风险管理软件。但是风险管理手册上的条例有很多有争议的地方,并且对企业高层没有起到约束的作用,这也是中航油走向衰败的原因之一。
(二)我国企业风险管理问题
近年来,随着美国引发全球经济危机,国内企业开始重视对风险的管理。比如加强了对风险的预测、将内部审计部门参与到风险管理中。企业在长期的风险管理实践中取得了进步并累积了很多经验,但是仍然存在一些问题:
1.内部控制体系不够完善。作为风险管理的基础――内部控制,必须给风险管理提供一个可靠的环境。可以将内部控制分为四个演变过程:内部牵制、内部控制制度、内部控制结构和内部控制框架。据调查,我国企业中只有30%的企业建立了完善的内部控制框架,其他大部分企业停留在内部控制制度阶段。
2.对风险管理的意识薄弱。企业家往往过多的关注于怎样进行经营管理来实现盈利,只有在企业遇到风险时,才能对已经到来的风险进行忙于应对,这样往往会给企业造成很大损失甚至有破产的可能。
有的企业虽然已经建立了风险管理机制,却只是表面上的功夫,流于形式,面对风险的到来,无人问津或有章不循,慌乱地采取一些临时的解决措施。风险管理如同虚设,使企业的随意性过大,扭曲了风险管理的本质和初衷。
3.风险管理的技术方法运用较差。对于风险管理的各个细节应当通过一系列的技术和方法来实现,否则风险管理无法施行。国外企业的风险管理技术相对发达,通过先进的风险管理软件以及优秀的风险管理技术专家来支撑对风险的管理。而我国的风险管理信息化系统相对落后,也没有成熟的人员队伍,所以,企业对风险管理的技术和方法的运行程度低。
五、现代企业构建风险管理框架的思路
(一)建立健全的内部治理结构
完善的公司治理结构有助于企业进行责任划分,促进股权结构的合理化,强化企业内部控制,提高企业经营效率。公司治理结构的完善能较好的梳理所有者、董事会和经理人三者之间的关系,为企业风险管理提供了一个基本的组织架构,在该架构下,设立一个专门的风险管理机构或者指定某个职能部门来进行风险管理。该机构或部门负责处理风险管理的日常事项,包括风险管理的策划、部署、检查以及预测风险未来的导向,并向领导提出建设性的意见。
(二)加强企业文化的建设,大力宣传风险防范意识
企业文化是企业长期以来的共同理想、价值观、作风、道德规范、生活习惯的总称,体现出本企业的特色,对企业职工有号召力和感染力,是企业长期文化形成的反应。风险管理文化作为企业文化其中的一项因素,对风险管理理念和行为起决定性的作用,良好的风险管理文化可以规避风险,从而提高企业经济效益,因此,要养成良好的风险管理文化,塑造风险文化的氛围,对一个企业来说是非常重要的。主要从以下几个方面入手:首先,要加强全体职工的法律意识。其次,要对风险切入点的管理人员和职工进行培训工作,强调对风险的意识。最后,定期在企业内部宣传风险文化刊物,培养全体员工的风险管理意识,强化员工的风险管理素质。将风险管理文化灌输于每名员工,形成一种精神状态,这样才能避免风险的发展与延伸。
(三)设立风险评估和控制活动
随着市场环境的多样性变化,对企业面临的各种风险进行有效地分析、估量,是企业领导对风险管理的重要环节之一。它是在事项识别后,通过对风险信息的大量收集,运用科学的办法,估测出风险发生的可能性或者损失的程度。风险评估一般是通过对风险的实时观察和借助以往的经验来进行风险管理。控制活动是风险管理的核心环节,遍及企业的各个部门,它是通过批准、授权、验证等多项活动对企业进行控制和监督,促进企业目标的快速达成。
(四)信息路径的畅通
企业要建立风险管理体系,必须有良好的信息沟通环境,能帮助企业对运营情况进行实时掌握。建立一套风险管理的信息路径必须有一套风险管理术语,以便于员工之间的沟通,保证信息能被及时传递到相关部门。
六、结束语
文章通过对风险管理框架进行叙述的基础上,分析了我国企业风险管理的现状以及存在的问题,并提出了建设性的几点建议,力求对我国企业的发展起到促进的作用。由于我国的风险管理理论还处于起步阶段,所以还有很多问题需要进一步探讨,笔者水平有限,在构建风险管理框架方面提出的建议仍需进一步得到改善。
参考文献:
[1]方红星,王宏泽.企业风险管理整合框架[M].大连:东北财经大学出版社,2005.
[2]郑子云,司徒永富.企业风险管理[M].北京:商务印书馆,2002.
【关键词】 COSO报告;内部控制;风险管理
一、COSO背景
COSO委员会是由美国注册会计师协会( AICPA )、美国会计学会( AAA )、财务经理人协会( FEI )、内部审计师协会( IIA )和管理会计师协会( IMA )共同发起并出资组成的民间组织。该组织的宗旨在于通过商业伦理、有效的内部控制和公司治理提高财务报告质量。COSO的研究成果在美国以及全球会计、审计和证券界产生了深远影响,其中的一些概念和原理被写入了教科书,成为研究人员经常引用的经典;而且,随同报告的实务指南也为单位组织建立内部管理架构提供了十分有益的帮助,成为评价单位组织内部控制的标准。(柳木华 . 2006)。迄今为止,COSO委员会共了五部研究报告。
1987年,COSO了《反欺诈性财务报告全国委员会报告》,报告对财务欺诈的研究和分析没有简单地局限于独立审计师的查错作用,而是密切关注企业法律、金融和其他咨询顾问在财务欺诈中的角色,分析了企业经理班子价值观念和会计、内审与审计委员会的作用,触及了政府管制(包括SEC)和大学会计课程设置是否充分有效等问题。报告分别向公众公司、注册会计师、SEC以及其他法律部门、教育部门等提出了约100条建议。1996年,COSO发表了《金融衍生工具使用中的内部控制问题》,该报告模型认为,“风险管理过程需要理解实体的目标和经营活动,识别市场风险和测度承担的风险,然后决定是否使用衍生产品将风险降低到可以承受的水平。只要简单的忽略与衍生产品有关的部分并代之以其他合适的降低风险行为,这个过程就具有普遍性”。报告为衍生工具用户建立、评估和改善内部控制,提供了指导性建议。1999年,COSO利用1987-1997年欺诈性财务报告公司样本,在归纳其公司特征、控制环境特征、欺诈特征的基础上,了《欺诈性财务报告-1987至1997:美国公众公司分析》。报告探讨了三个欺诈高发行业――信息技术、保健和金融服务业的欺诈特点,发现三个行业的欺诈手段存在显著差异,如信息技术业最常见的欺诈手段是收入欺诈,而金融服务业最常见的手段是资产欺诈和资产盗用,并且研究了财务报告欺诈与公司治理之间的关系,发现欺诈样本公司与其所在行业标准相比,具有相当弱的公司治理机制。20 世纪在经历了70年代一连串财务失败和可疑的商业行为相继爆发后,国际社会又出现了更耸人听闻的以金融机构破产为代表的财务失败事件,给纳税人最终带来超过1 500亿美元的成本。为能有效遏制这种愈演愈烈的会计舞弊活动,1992年,COSO在进行了深入研究之后了一份关于内部控制的纲领性文件,即《内部控制――整体框架》,它标志着内部控制理论与实践进入了整体框架的阶段。报告提出了内部控制的五个重要组成要素:控制环境、风险评估、控制活动、信息及沟通与监督,深化了内部控制的理念和应用。COSO报告一经便得到了业界的认可与采纳,并在世界范围内产生了广泛影响。2001年以来,以安然、世通等为代表的一些美国大公司,因财务信息造假等行为而相继倒闭破产,震撼了美国的资本市场,引起了世界的极大反响。在国际社会对改善公司治理与加强风险管理的呼声日益高涨的背景下,2004年9月,COSO委员会结合《萨班斯一奥克斯利法案》的相关要求,颁布了一个概念全新的报告:《企业风险管理――整体框架》(ERM)。框架的出台顺应了各方需求,与1992年的《内部控制――整体框架》相比,在内部控制的内涵、目标、要素以及内部控制责任承担等层面有了全新的突破,对企业风险管理做出了更为详尽的阐述。ERM并没有取代《内部控制――整体框架》,而是基于并将其融入其中,全面推进了内部控制标准的发展。
二、COSO企业风险管理整体框架概要
COSO为企业风险管理确立了一个可普遍接受的概念,为各组织识别风险和实施风险管理提供了理论基础。ERM框架认为:“企业风险管理是一个过程,是由企业的董事会、经理层和其他员工共同参与,应用于企业战略制定和企业内部各个层次和部门的、贯穿整个企业,旨在识别影响组织的潜在事件,为组织目标的实现提供合理的保证”。企业风险管理是由人参与的过程而并非结果,企业必须将风险管理融入在日常的经营管理之中,并涉及企业的每个员工。风险管理能够识别对企业造成影响的潜在风险,能在一定程度上帮助企业实现合理的既定目标。
企业风险管理包含八个相互关联的要素:
(一)内部环境
内部环境是其他风险管理要素的基础,它由《内部控制――整体框架》要素中的“控制环境”演变而来,但包含了更为丰富的内容,如风险文化和风险偏好、管理哲学和经营风险、权力和责任分配、实践操守和价值观等。
(二)目标设定
ERM框架认为,企业的管理层在评估风险之前必须确立目标,并针对不同的目标分析相应的风险,这样管理当局才能识别影响目标实现的潜在事项。企业的目标可以分成四类:1.战略目标。与企业的使命相一致,是较高层次的目标;2.经营目标。与企业经营的效果与效率相关,旨在使企业能够有效地使用资源;3.报告目标。企业组织报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息;4.遵循目标。即企业经营是否遵循相关的法律法规。
(三)事件识别
指识别影响事件的内外部因素。潜在的事项,对企业可能有正面影响,也可能有负面影响。识别风险旨在于抓住机遇,或者在风险评估和应对阶段弥补风险对企业的影响。
(四)风险评估
是决定如何管理风险的基础,风险得到识别后,就需要对风险进行分析评估,这样,管理层就能根据被识别风险的重要程度来进行规划和组织,使通过风险管理这个过程识别和分析风险,并采取减弱风险影响的行动来管理风险。风险评估可根据不同的风险目标确定相应的风险评估方法,主要为定量分析和定性分析相结合的方法。
(五)风险对策
是在评估了相关的风险之后,所做出的应对、控制、转移、补偿风险的各种策略和措施。通常将风险对策分为规避风险、减少风险、共担风险和接受风险等四类。企业应在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事件发生的可能性和事项对企业的影响,并设计和执行风险应对方案。COSO认为,有效的风险管理是管理者的选择能使企业风险发生的可能性和影响都落在风险的容忍度内。
(六)控制活动
是有助于保证风险应对方案得到执行的相关政策和程序。管理当局应对企业所有系统进行控制,包括对信息系统的控制,通常控制活动和风险评估过程是联系在一起的。
(七)信息与沟通
信息是沟通的基础,沟通必须满足不同团体和个人的期望。企业内部和外部的信息必须以一定的方式进行确认和传递,以保证员工各自职责的执行和企业风险管理的有效运行。
(八)监督
COSO将监督作为评估企业风险管理质量过程的一个部分,即评估风险管理要素的内容和运行,以及评价某一时期执行质量的一个过程。该过程包括持续监督、个别评估或者两者的结合。
企业风险管理的八个要素是一个有机整体。风险管理不只是一个直线的过程,而是一个多元化的相互作用的过程。 各要素之间的关系是:内部环境是企业风险管理的基础,为企业风险管理所有其他要素的运行提供了平台和组织结构;企业目标的制定,是风险管理的起点,是其他步骤的躯动力量;在企业目标已定的前提下,企业需要对影响目标的风险进行事件识别,进而对识别事件进行风险评估,风险评估驭动风险反应,影响控制活动;信息与沟通和监督贯穿于企业风险管理的全过程,并且可对其他各个组成要素进行修正(吴永澎 . 2006)。
三、COSO企业风险管理框架对内部控制标准的发展
(一)丰富了内部控制的内涵
COSO在《内部控制――整体框架》中将内部控制定义为一个受董事会、经理层和其他人员影响的过程,提出内部控制是为了实现三个目标,即:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。该定义明确了以下要点:内部控制是一个过程;内部控制是一个受人影响的过程;内部控制为了实现三个目标;内部控制过程的设计是为了提供实现内部控制目标的合理保证。这个定义比较宽泛,从某些角度来说,也存在一些片面性。而新的ERM框架则更加明确了对风险管理和保护资产概念的运用,并将纠正错误的管理行为明确地列为控制活动之一。ERM框架在原《内部控制――整体框架》所明确的要点基础上,进一步明确了以下内容:即,内部控制应用于战略制定;内部控制贯穿整个企业的所有层级和单位;内部控制旨在识别影响组织的事件并在组织的风险偏好范围内管理风险。由于ERM框架提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体,同时又涵盖了内部控制所有合理的内容。
(二)发展了内部控制的目标
针对《内部控制――整体框架》对企业战略管理方面关注不够的缺陷,ERM在目标中增加了一个新的目标――“战略目标”。使企业在追求短期利益的同时,从战略高度关注企业的长远目标和可持续发展。该目标的层次比其他三个目标更高。风险管理既应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。特定的战略目标虽然可以通过不同的战略来实现,然而不同的战略目标会给企业带来不同的风险。战略制定和风险偏好存在直接关系,在考虑达到战略目标的具体目标时,管理当局要鉴别与战略选择相关的风险,并且要考虑对这些风险的应对措施的运用(吴永澎. 2006)。此外,ERM整体框架还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告将财务报告的可靠性界定为“编制可靠的公开财务报表,包括中期和简要财务报表,以及从这些财务报表中摘出的数据,如利润分配数据”。新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”,该目标涵盖了企业的所有报告。
(三)拓展了内部控制的要素
COSO在《内部控制――整体框架》中提出了五个要素:即控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行了深化和拓展,将其演变为八个要素。引入了风险偏好、风险容忍度和风险文化等概念,将原有的“控制环境”扩展为“内部环境”。这一修改使企业关注的范围不再局限于控制方面,而是从更宽阔的视野,以及更综合、更直接的角度考虑各种因素对风险的影响。并且将原有的“风险评估”要素发展为“事件识别”、“风险评估”和“风险反应”。这不只是对原“风险评估”进行的简单细化,而是意味着企业风险意识的增强和主动地管理风险。也就是企业风险管理综合框架强调应对所有事件,包括正面事件和负面事件进行综合识别,并且应将其以适当的组合方式加以看侍,并通过对固有风险和剩余风险的综合评价做出适当的风险应对措施,以减少经营偏差的发生及相关成本和损失,有利于企业抓住机会,及时调整策略,避免资源浪费,实现经营获利目标。
(四)明确了内部控制的责任关系
ERM框架认为,组织的每个成员都应对企业风险管理承担责任,并进一步划分了责任主体的等级:董事会在风险管理中扮演更加重要的角色――负总体责任,并被要求变得更加谨慎。企业风险管理的成功与否主要依赖于董事会,因为董事会需要批准组织的风险偏好;在企业风险管理中,CEO负有首要责任,并应对所有权负责,其他经理人员则起支持作用;风险部门管理者,财务部门管理者和内部审计人员等负有关键性责任;其他的企业人员负有按确定的指示和协议执行企业风险管理的责任。另外,企业外部利益相关者如客户、卖主、商业伙伴、外部审计师、监督者和财务分析师经常提供影响企业风险管理的有用信息。虽然他们并不为企业风险管理负责,但却是企业实施风险管理必须考虑的因素。
(五)创新了内部控制的风险观念
ERM 框架指出,企业风险管理的基本假设是,每一主体存在的目的是为其所有者创造价值。所有主体都面临不确定性,管理层的挑战就是确定在其为所有者创造价值的过程中,须在多大程度上接受不确定性。ERM把事件区分为风险和机会,事件可能有消极的影响、积极的影响或两者兼有。消极影响事件意味着风险,它妨碍价值创造或削弱现存价值;积极影响事件可以抵销消极影响或意味着机会。机会是一种可能性,即事件将会发生并积极影响目标实现、支持价值创造或价值保持。一个组织必须识别影响其目标实现的内、外部事件,区分哪些是风险、哪些是机会。管理当局要密切注意各层级的风险,并采取积极的管理措施。内部控制的目的不应是消极控制或防范风险,而是要主动管理风险。风险管理能使管理层有效地处理不确定性及与之相关的风险和机会,增进创造价值的能力,并在追求主体目标的过程中有效地配置资源,实现价值最大化。
【参考文献】
[1] 贾国军,李阳,杨秀玲. “从美国COSO报告的发展,看我国内部控制体系的完善”. 财会研究,2006.11.
[2] 宋怡萱,张翩. “COSO企业风险管理整体框架解析”.财会通讯,2006.3.
[3] 陈秧秧. “COSO《企业风险管理综合框架》简介”. 财会通讯,2005.2.
[4] 金小英,唐予华. “COSO风险管理报告内外部关系的解读与启示”. 财会通讯,2006.6.