引論:我們為您整理了13篇企業風險管理標準范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
隨著國內經濟改革的深化,市場環境中不穩定的因素增多,企業面臨著更大的風險。在國資委正式《中央企業全面風險管理指引》后,全面風險管理體系建設工作成為央企推進現代化管理的重點項目。南方電網公司在2013年年度工作會議上,正式提出構建具有南網特色的全面風險管理體系,并將全面風險管理列為七個先進管理體系建設工作之一。
為更好地貫徹落實網公司的中長期發展戰略,江門局深入開展了全面風險管理體系建設。在此過程中,結合企業的日常經營情況和風險管理現狀,江門局建立了一套風險管理體系的評價標準。該標準能夠對企業全面風險管理體系的建設水平做出準確評價,促進體系持續改善。
二、評價標準的構建
(一)評價標準的框架
借鑒風險管理評價領域的實踐經驗,以PDCA閉環管理為構建思路,本文初步建立了全面風險管理體系評價標準,該標準主要分為:風險管理基礎、風險管理過程、風險事件管理、審核與改進四個維度,從不同的維度對體系進行審核評價,從全過程評價全面風險管理體系的建設情況,起到了完善體系的作用。
第一,風險管理基礎是企業進行全面風險管理的前提條件,風險管理基礎包括風險管理規劃與工作計劃、風險管理組織、風險管理制度與流程、風險管理培訓、風險管理文化、溝通與協調等內容。第二,在具備風險管理基礎后,企業按照風險管理過程進行風險管理,主要包括風險信息收集、風險識別、風險評估、風險應對和風險監控。第三,當風險事件發生時,應該有對應的風險事件管理措施。最后,要通過定期對全面風險管理體系建設情況進行審核,達到提升體系建設水平的目標。
1. 風險管理基礎
風險管理基礎是全面風險管理評價標準建設的基石,企業進行全面風險管理應從夯實風險管理基礎做起,做好目標、制度、文化三個層面的基礎工作。目標層面是指企業應有明確的風險管理規劃,并依據風險管理規劃制定風險管理工作計劃,明確階段性及年度風險管理目標、重點和落實舉措;制度層面是指企業應建立健全風險管理組織、制定與完善風險管理制度、梳理風險管理模塊,將風險管理有效落實;文化層面是指要進行風險管理培訓、加強風險管理文化建設、做好內外部溝通與協調,最終形成全體員工“重視風險管理、參與風險管理、牢記風險管理”的風險管理文化。
2. 風險管理過程
風險管理過程是指企業風險管理人員在日常工作中進行風險管理的一系列流程與活動,包括收集風險環境信息、進行風險識別、開展風險評估、制定并落實風險應對措施、進行風險監督與評價等。風險環境信息收集包括收集企業內外部可能導致損失的風險因素;風險識別是指根據收集到的風險因素,梳理出戰略、財務、市場、安全、法律、廉潔、公共關系等方面的風險點;風險評估是對風險發生概率、風險影響程度等進行評價,從而得出風險等級;風險應對是根據風險等級情況,制定針對性的應對策略和應對措施并加以落實;風險監督與評價是對風險應對措施落實情況進行監督,對落實效果進行評價,并根據監督評價結果完善風險庫、優化風險應對措施,提升風險管理效果。
風險管理過程的執行情況是管控風險的關鍵,企業應重點制定針對性強、管控效果明顯的風險應對措施,并強化風險監督和評價,將風險管理落到實處。
3. 風險事件管理
風險事件是指企業由于管理失誤或者意外因素引起的風險事故(風險損失大、影響程度廣的事件)。針對風險事件,企業應當建立起一套反應迅速、舉措靈活的風險事件管理機制。風險事件管理機制應分為以下幾個步驟:風險事件識別,全面、準確、及時地識別出企業潛在的風險事件,為應急管理做好前期準備;應急預案編制,確認潛在的事件或緊急情況,并提出相應措施,形成預案。確保對應急事件的及時響應,以預防或減少與之有關的損失和影響;風險事件處理,確保對風險事件的及時響應和處理,以預防或減少與之有關的損失和影響;風險事件調查,了解風險事件發生的原因、過程、結果以及其他情況,全面分析風險事件,做到科學防控;風險事件溝通與回顧,在第一時間的應對過后,應當對風險事件發生的全過程進行更深入的了解,以防止類似事件的發生或將風險損失降至最低。
4. 審核與改進
企業對全面風險管理體系的審核主要分為內部審核和外部審核。內部審核主要評價全面風險管理內部審核的組織與策劃、實施與回顧的情況。外部審核主要評價全面風險管理外部審核的組織與策劃、實施與結果運用的情況。此外,還應建立統一、正式的糾正預防系統,確保糾正和預防行動的有效實施。
企業應通過內部審核和外部審核機制,定期對全面風險管理體系進行審核,得出改進意見,并遵守糾正預防系統的流程和規定,確保各項改進措施的有效實施,促進風險管理水平的提升。
(二)評價標準的完善
1. 審核原則與方法
從全面風險管理體系的本質來看,體系的建立是為了使風險管理的工作規范化、系統化和流程化。因此,深度挖掘管理過程中存在的問題是體系審核的基本原則。審核應遵循以下方法。
(1)以PDCA閉環管理流程為審核思路,通過相關管理或工作痕跡,以文件查閱、現場驗證或抽樣詢問等方式,查找各環節問題或不符合事項。
(2)對發現問題或不符合事項,進行分類分析和診斷,發現工作亮點和改進機會。
(3)審核應遵循實事求是的原則,根據存在的問題或不符合事項所占比例和關鍵程度,進行評分。
2. 分數確立與分配
對于評價標準相關分數的確立與分配,首先應該按照審核原則,對應各個模塊,組織全面風險管理審核的專家們根據行業與企業的實際情況進行模塊分數打分。為確保各模塊分數分配的合理性,可以采用德爾菲法測算各模塊的分值,同時向專家們強調應以公平、公正、客觀的態度進行打分評價。
打分過程可分為:設計評分表格,為專家評分奠定基礎;選取專家進行匿名打分的方式,進行第一輪評分;匯總第一輪評分結果,取平均值,并將第一輪評分結果反饋給評審專家;專家根據反饋的評分結果,進行第二輪評分,取平均值,得出各模塊的分配結果。以江門供電局為例,最終的分數分配結果如表5。
3. 等級劃分與描述
在分配了各模塊的分數之后,還需要對風險評估得出的分數進行分級和定性,并按照以往經驗對各層級的風險做出客觀描述,以便在遇到突發風險的情況下,能按照描述內容,針對各層級風險的實際情況做出具體的應對措施。
4. 評價模型運用
評價標準在確立了相應的審核原則、模塊分數和等級劃分之后,將對四個主要模塊的每個細分環節進行運用。評價的模式主要遵循“管理目標”、“評價內容”和“評價標準”三個步驟進行,在明確工作的目標后,根據審核要素和評價內容,對該環節進行逐步的評價,得出每一細分環節的分數。最后依次對各環節進行評價,直至完成對全面風險管理體系的總體評價。
三、結論
全面風險管理體系的建設離不開一個有效的評價準則系統,在建設全面風險管理體系的過程中,我們應該積極探索、制定相關的評價準則,幫助體系建設形成管理上的閉環,最終達到持續提升全面風險管理水平的目標。
鑒于全面風險管理體系評價理論與實踐均處于探索階段,本文構建的評價標準難免會存在一些不足,在此敬請諒解。但是理論的探索和研究永遠是螺旋上升的,本文僅作拋磚引玉之用,希望能與各位同仁相互探討學習,共同推動全面風險管理體系評價理論的進步與完善。
參考文獻:
篇2
企業風險指未來的不確定性對企業實現其經營目標的影響或者指對企業目標實現過程中有不利影響的某一事件發生的可能性;以能否為企業帶來盈利機會為標志,將風險分為純粹風險(僅帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存),通過對風險概念的解讀,不難發現風險是把雙刃劍,其蘊含著造成損失的可能性,又蘊含著轉化為利益的機遇。
全面風險管理指企業圍繞總體經營目標或戰略,制定風險管理策略,在公司經營管理的各個方面和業務過程中的各個環節進行風險管理的基本流程,落實風險理財措施,培育良好的風險管理文化,建立健全風險管理的組織體系、信息系統和內部控制系統的過程和方法。主要內容包括目標確定、風險識別、風險分析、風險評價和風險應對。
二、風險管理對企業的意義
所有企業都是在有風險因素的環境下經營,而不是企業風險管理使企業面臨風險環境,企業風險管理是使管理者能夠在充滿風險的環境中更加有效的經營。
風險偏好指一個公司或企業在追求其目標的過程中愿意接受的風險的程度,是企業的風險管理文化。必須充分考慮企業風險偏好與戰略有機結合,才能使戰略目標、戰略方案得以落實。企業風險管理提供了確認和選擇不同的風險反應方案的嚴格標準,企業的風險反應方案包括風險規避、風險降低、風險接受和風險利用等四類,增加了企業風險反應決策速度,應對環境的變化也將得心應手;有效的風險管理可能提高確認潛在事項、評估風險和明確反應方案,最后減少經營意外的出現次數以及減少相應的成本或損失;而風險管理也不單從單一風險考慮對企業的影響,還將從企業整體考慮應對風險措施,避免由于過度重視單一風險而給企業造成的機會損失。
企業的競爭不僅局限在資源擁有上,更多是強調資源效率,而企業總體風險的更為明確的信息可以使企業管理者能夠更加有效的評估企業資源的分配,實現最佳組合,提高企業經營效率,降低成本,降低損耗,促使企業生產活動的順利進行,創造安全穩定的企業環境,保障企業目標的實現。
三、企業風險管理的舉措
(一)深化全員危機意識,統一企業風險文化
《COSO:Enterprise Risk Management Framework》中強調企業風險管理是企業董事會、管理層和其他員工共同參與的一個過程,在很大程度上受各個層次員工的思想、行為等影響,所以提升全員危機意識、風險意識,努力使意識印在腦海里,溶化在血液中,落實在行動上,將是推動企業風險管理的保障,加強企業風險文化的培育將是企業風險管理的重要一步。
(二)全面改善內部環境,提供風險管理基礎
企業的內部環境是風險管理要素的基礎,為其他要素提供規則和結構,內部環境影響企業戰略和目標的制定、業務活動的組織和風險的識別、評估和執行等等,還影響控制活動的設計與執行、信息和溝通系統以及監控活動。內部環境包括公司治理結構、員工道德與勝任能力、人員培訓、經營模式、分配權利與職責方式等,只有改善內部環境中不適應的環節,努力培育出與風險管理運作相適應的內部環境,從而促進企業戰略目標的實現。
(三)梳理經營管理流程,識別標識風險節點
企業各業務部門(包含項目部)應該梳理所經營業務范圍內的所有流程,以流程為著手點,以資金成本、時間成本、機會成本、直接損失、無形損失等等標準進行流程的再造與梳理,標識出流程中的各個風險節點,如此一來不僅可以對成本進行管控,而且還可以將風險進行掌握。
(四)評估業務風險等級,建立預警反應系統
在風險節點的基礎上,根據風險定性定量分析方法作出風險坐標圖,通過深入討論或者打分法對風險進行分級,并在坐標圖中進行區域的劃分,針對每一區域進行風險管理戰略的制定,是接受還是轉移,是利用還是規避;與此同時,應該建立相應的預警反應系統,即劃分風險各階段的預警標準,以指導具體風險應對措施的制定。
(五)行動方案執行100%,確保控制活動100%
在風險預警標準的指導下,對風險關鍵點、風險責任部門(人)、防控規則、具體應對措施等進行詳細的描述,使風險防控方案可操作,風險管理常態化;在業務執行過程中嚴格按照制度、流程進行操作,確保控制活動的落實,達到風險防控、成本管控的良好效果。
(六)優化整合業務風險,統籌企業風險管理
為避免業務部門過度風險管理給企業帶來機會損失的可能性,風險部門應該從企業層面上總體把握分散于企業各層次及各部門的風險暴露,以統籌考慮風險對策,防止分部門分散考慮與應對風險,如將風險割裂在市場、財務、工程、安全、質量、人力資源、審計、預算等部門,并考慮到風險事件之間的交互影響,防止兩種傾向:一是部門的風險處于風險偏好可承受能力之內,但總體效果可能超出企業的承受程度,因為個別風險影響并不總是相加的,可能是相乘的;二是個別部門的風險暴露超過其限度,但總體風險水平還沒有超出企業的承受范圍,因為事件的影響有時有抵消的效果。因此,還能進一步承受風險,爭取更高回報與成長的空間。按照風險組合與整體管理的觀點需要統一考慮風險事件之間以及風險對策之間的交互影響,統籌風險管理方案。
四、結束語
如今在市場經濟條件下,金融危機持續加深的背景下,企業的經營環境中存在著更多的不確定性,不確定性既表示風險,也預示著機遇。企業風險管理就是通過各要素有效地發揮其功能,幫助企業抓住機遇,將風險控制在可接受的范圍內,促進企業各類目標的實現,實現企業價值最大化。
參考文獻:
[1]李三喜.風險管理實務操作指南[M].北京:中國時代經濟出版社,2010.
篇3
關鍵詞 :企業文化;風險文化;風險管理
中圖分類號F270文獻標志碼:A文章編號:1000-8772(2014)13-0266-02
現代企業間的競爭已不僅僅是產品、營銷、技術、戰略的競爭,更是企業文化的競爭。隨著企業的發展壯大和內外環境的不斷變化,企業面臨的風險呈現出多樣化、復雜性的特點,風險管理應運而生。企業開展風險管理的過程,實質上也是一種新的文化培育、發展和運用的過程,這種新的文化,即為風險管理文化,被視為重要的企業文化或企業文化中較為重要的一個方面。在信用經濟環境下,企業經營的每個環節都具有風險,風險管理和控制對于企業來說,意義重大,企業若想在激烈的市場競爭中立足和發展,必須形成良好的風險管理文化氛圍。
一、國外企業風險管理文化的發展
美國一位銀行家曾經說過:“一個金融機構信用管理的失敗,不是因為缺乏信貸政策、程序,即使設置非常復雜的政策、程序、檢查、報告等控制手段,如果缺少一個好的風險管理文化,所有這些都徒有形式。”所謂風險管理文化,是通過行動或文字的呈現,使企業管理者和員工對企業的風險特征有比較充分的認識,并以他們的能力、誠信和職業道德來控制、管理風險,將風險管理作為一個動態過程貫穿于企業的經營管理之中。風險管理文化是伴隨著企業風險管理的發展而發展起來的。
(一)國外風險管理的發展
風險管理理論和實踐始于1930年代的美國保險業。當時美國發生了世界上最嚴重的經濟危機,大約40%的銀行和企業破產。為了度過這場危機,美國大多數企業在內部設立了保險管理部門,專門針對企業經營狀況購買各種保險,以規避和轉移企業風險。到1950年代,風險管理真正成為一門學科并納入研究,提出了“風險管理文化”。隨著企業面臨的風險復雜化和風險費用的增加,法國于1970年代開始從美國引進風險管理研究和實踐成果,風險管理開始在歐洲大陸傳播開來。與此同時,日本也開始了風險管理研究。
此時,多數企業的風險管理還只是單一區域的信用風險管理,把企業風險通過在財產或其他保險公司投保來轉移。之后企業風險管理主要針對投資風險和財務風險的分散和回避,風險管理的研究也拓展到全球范圍。美國、英國、法國、德國、日本等國家先后建立起全國性和地區性的風險管理協會。在1983年美國召開的風險和保險管理協會年會上,共同討論并通過了“101條風險管理準則”,標志著風險管理的發展進入了一個新的發展階段。
進入1990年代,隨著全球一體化的發展及企業外部環境變化的不確定性,全面風險管理等新理論被提出并納入實踐。在西方發達國家,各企業都相繼建立了風險管理機構,專門負責風險分析和研究,美國還成立了全美范圍的風險研究所和美國風險管理協會。全球眾多知名公司、跨國企業也都在本世紀初開始實施自身的風險管理建設工作。
(二)國外風險管理文化的成果
1.《薩班斯法案》。2002年7月,美國國會通過了《2002年薩班斯——奧克斯利法案》(簡稱《薩班斯法案》),約束在美上市公司的各種經營行為,從法律層面降低上市公司風險事件的發生。該法案的核心是建立企業內部控制制度,促進企業完善內部控制,加強向公眾披露的信息質量和增加透明度,防止出現虛假財務報告,并對公司管理層提出了明確的責任要求。該法案是美國有史以來最為嚴厲的財務法則,其要求上市公司的首席執行官(CEO)和首席財務官(CFO)對公司財務年報和季報的真實性和完整性提供書面保證,同時加強了對公司欺詐行為和白領犯罪的刑事處罰力度。
2.COSO《內部控制——整合框架》。1992年,COSO了著名的《內部控制——整合框架》,并于1994年做出局部修正,成為內部控制領域最為權威的文獻之一,被國際和各國審計準則制定機構、銀行監管機構和其他方面所采納。該框架系統地描述了內部控制的定義、目標、構成要素和有效性評價標準等。經過十多年的應用,其已經成為世界各地普遍認可的一個標準。
3.COSO《企業風險管理——整合框架》。2004年9月的這份框架,拓展了內部控制的內容,為各國的企業風險管理提供一個統一術語和概念體系的應用指南。它對企業風險管理做了如下定義:企業風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。
4.澳大利亞—新西蘭風險管理標準(AS/NZS 4360)。這是世界上第一個國家風險管理標準,于1995年首次,它給出了一套風險管理標準的語言定義和風險管理的標準過程定義。到目前為止,該標準已被澳大利亞政府和世界上許多上市公司采用,許多澳大利亞和新西蘭的行業協會依此并結合自己的行業特性,編制了本行業的風險管理標準。
二、國內企業風險管理文化的發展
(一)我國風險管理的發展
我國關于風險管理的研究始于1980年代。一些學者將風險管理和安全系統工程理論引入國內,在少數企業試用中感覺比較滿意。由于國內大部分企業缺乏對風險管理的認識,也沒有建立專門的風險管理機構,風險管理活動往往是暫時的或者間斷性的,缺乏對風險的定期復核和再評估。
(二)我國風險管理文化的成果
1.《企業內部控制基本規范》。為加強和規范企業內部控制,提高企業經營管理水平和風險防范能力,促進企業可持續發展,根據國家有關法律法規,財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制基本規范》,自2009年7月1日起在上市公司范圍內施行,鼓勵非上市的大中型企業執行。該規范共7章50條,在立足我國國情的基礎上,確立了以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證的內部控制框架。最重要的是,它開創性地建立了以企業為主體、以政府監督為促進、以中介機構審計為重要組成部分的內部控制實施機制。《規范》的實施,有效解決了政出多門、要求不一、企業無所適從的問題,有利于提高企業內部控制監管效率、降低監管成本,有利于優化企業管理和增強企業競爭實力,有利于保障經濟安全、維護資本市場穩定。
2.《中央企業全面風險管理指引》。為指導企業進行全面風險管理,國務院國有資產管理委員會借鑒發達國家企業風險管理的法律法規、國外先進的大公司在風險管理方面的通行做法,以及國內有關內部控制機制建設方面的規定,于2006年6月頒布了《中央企業全面風險管理指引》。《指引》)共分為10章70條,對中央企業開展全面風險管理工作的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理文化、風險管理信息系統等方面進行了詳細闡述,明確了全面風險管理的定義是:企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。確定了全面風險管理需實現的總體目標:一是確保將風險控制在與總體目標相適應并可承受的范圍內;二是確保內外部,尤其是企業與股東之間實現真實、可靠的信息溝通;三是確保企業遵守有關法律法規;四是確保企業有關規章制度和為實現經營目標而采取重大措施的貫徹執行,降低實現經營目標的不確定性;五是確保企業建立針對各項重大風險發生后的危機處理計劃,保護企業不因災害性風險或人為失誤而遭受重大損失。《指引》還提供了4種風險管理的常用技術和方法,使《指引》更具有操作和實用性。
三、中外企業風險文化的比較
由于經濟發展程度和國情的不同,不同國家的企業風險文化有其不同的行為特點。對比美國的《薩班斯法案》和我國的《中央企業全面風險管理指引》,不難發現兩者的區別。
從上表中可以看到,我國的全面風險管理更注重于將企業風險與企業的總體目標對應起來,適應于總體目標并控制在可承受的范圍之內,并在事先做好對企業風險的控制和防范。從戰略層面,確定一個科學決策的程序,以解決投資人的信任問題,為投資人提供的是長遠利益,這樣,從體系上解決了利益沖突的結構問題。而薩班斯法案關注的只是財務層面,只要求財務報告真實可靠,而不關心如何做出正確決策,這使得董事會趨于保守,未從根本上解決利益沖突的結構性問題。
參考文獻:
[1] 黃秀華.西方企業風險管理的歷史演變及啟示[J].中國集體經濟,2011(3).
篇4
我國企業風險評估的必要性
每個企業在運營過程中都會出現不同程度的風險,這些風險有些對企業運營不會產生較大影響,但有些風險會威脅企業生存,因此,為了企業能夠健康穩定地發展,風險評估是非常重要的。企業有可能出現的風險有戰略風險、市場風險、資產風險等,有效評估這些風險是企業經營者提高經營能力的重要內容。風險評估與企業效益前景關系密切,風險評估能預測、判斷企業的戰略選擇、組織價格,資產配置和政策環境等很多方面,確保企業在發生損失之前能夠做好應對準備,進而減少損失的程度。市場經濟產生后,企業需要自行承擔風險,但我國絕大多數企業并未意識到風險的危害性,沒有形成風險評估意識,風險評估工作的開展一直處于初級階段,對市場以及內外部風險所帶來的風險常常無法很好應對。近年來,我國企業經常會發生無法及時有效應對風險而造成較大損失的情況。企業必須要重視風險管理工作,而在整個風險管理過程中,起最基礎作用的就是風險評估。我國企業只有做好風險評估工作,才能更好地應對風險的到來,風險管理工作也才能有的放矢地進行。
我國企業風險評估現狀
《中央企業全面風險管理指引》出臺。央企代表著我國企業最優的管理水平。但由于風險意識較弱,央企風險事件頻繁發生。盡管我國有些企業在國外上市,而企業內部也相應地建立了內部控制體系,但與國際大企業相比,我國企業風險管理水平依舊較弱,究其原因是沒有很好地將國際先進方法引入其中。我國一些企業正在醞釀建立風險管理體系,急需一個指導性文件,此時《中央企業全面風險管理指引》出臺。國務院國資委對國內外風險管理學術成果和管理實踐經驗進行了深入研究,在此基礎上,國資委進一步對部分央企風險管理狀況進行了深入的實際調研,摸清了央企風險管理現狀。
央企風險管理現狀。雖然央企風險管理在我國已經較為成熟和完善,但是與國外大公司相比,央企風險管理還存在一定的差距,具體表現在:一半以上的企業風險管理還處于傳統的風險管理階段,也就是說,各個職能部分負責各個部門的風險管理,企業缺乏對整個公司的風險管理;完全或部分建立全面風險管理體系的企業僅占20%左右。
中小企業風險管理。中小企業資產規模雖然不及央企,但卻與央企一道成為我國國民經濟的基礎力量。相對大型企業和國有企業,中小企業更容易擺脫改革前的生產束縛,更容易融入到新的市場經濟中,進而得到快速發展。中小企業風險管理的特點如下:一方面,中小企業的風險管理理念較為落后,風險管理意識淡薄。中小企業在發展和管理過程中有一個明顯的特征就是重速度、重量輕質。中小企業完善的內部控制體系相對較少,使得這些企業當中的管理者和員工普遍缺乏風險意識。另一方面,中小企業抗風險能力較弱,在資金、管理、技術等方面都無法與大型企業相比,這些弱勢使其更容易產生風險,另外,中小企業抗風險能力有限,一旦產生較大風險,容易造成巨大損失,甚至對企業發展產生較大的阻礙作用。再者,中小企業風險管理水平滯后。中小企業雖然在很多方面都無法與大企業相比,但是其靈活性較強也是一大優勢。
首先,投資少、規模小、組織結構簡單,相對來說,投資回報周期就短;其次,靈活性強,其可以根據市場的變化而調整自己的戰略;再次,中小企業生存和發展所需要的環境要求較低,更容易存活。盡管如此,中小企業組織結構簡單在一定程度上也阻礙了風險管理工作的開展。在中小企業中,一般很難設置專門的部門和專門的人員來負責風險管理工作,而且,中小企業軟硬件基礎也相對薄弱,沒有建立好完善的內部控制制度和風險管理機制,進而中小企業是很難進行全面風險管理的。
企業風險評估方法
篇5
一、企業風險及風險管理的內涵
進行企業風險管理審計,必須明確企業風險及風險管理的內涵。否則,企業風險管理審計便無從談起。
1 企業風險的實質
首先,風險產生于不確定性因素的存在,如果企業運行的內外環境是確定的,則不存在企業風險。其次,企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說,我們更注重企業的運行結果,對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此,可以認為,企業風險則是企業運行結果偏離期望結果的可能性。筆者認為,企業目標是企業期望達到的一種結果狀態,但由于相關因素的持續不斷的變化,企業目標的實現存在不確定性。因此,企業風險可以描述為企業目標不能得以實現的可能性。
2 企業風險的劃分
企業風險可以按多種標準進行分類。筆者認為,既然將風險定義為企業目標不能得以實現的可能性,那么,企業風險可以按照企業目標的不同層次來理解和劃分,并可將其相應劃分為:
(1)企業的戰略風險是指企業戰略目標不能實現的可能性,主要包括:由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險;由于企業的具體戰略選擇失誤而帶來的風險,包括企業經營領域的選擇風險、企業并購風險等。
(2)企業日常經營管理風險是指企業具體經營目標不能實現的可能性,又可以劃分為企業經營環節的作業鏈風險,如企業供、產、銷等環節的風險;企業的人事風險,如由于人員任用、授權、業績評價等方面的缺陷帶來的風險;企業的信息風險,如企業信息系統風險等。
(3)財務風險。狹義一般是指由于企業籌措資金而形成的風險,并主要是指企業由于舉債而形成的風險,也可稱之為籌資風險。按照本文對風險的定義,即企業目標不能實現的可能性,則企業的財務風險是指企業財務活動目標不能得以實現的可能性,包括籌資風險、資金投放的風險及企業其他財務活動風險,我們可以稱之為廣義的財務風險。
3 企業風險管理
COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程,它由董事會、管理當局和其他人員執行,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在風險容量之內,并為主體目標的實現提供合理保證。”
我國內部審計協會2005年的內部審計具體準則16號—《企業風險管理審計》中指出“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”
從上述對風險管理的解釋可以看出,企業風險管理的最終目標是為企業目標的實現提供合理的保證。
二、企業風險管理審計的目標
對企業風險管理進行監督和評價是現代內部審計發展的結果,企業風險管理審計的目標取決于對企業內部審計的功能定位。
從西方企業內部審計的產生和發展過程來看,內部審計是隨著經濟的發展,企業內部管理層次的增多和控制范圍的擴大,基于企業內部經濟管理與監督的需要而產生的,并隨著管理的需要而不斷發展。隨著內部審計的不斷發展,內部審計的目標也在不斷地變化,其中以國際內部審計師協會(IIA)對內部審計所下定義的變化最具有代表性。國際內部審計師協會(IIA)理事會指出內部審計是一種獨立、客觀的保證和咨詢活動,其目的是增加組織的價值和改善組織的經營。
我國的內部審計不是在企業內部管理需要的動因下發展起來的,而是在政府的要求下,在國家審計部門的推動下建立起來的。1993年國家審計署成立,為了盡快建立和完善審計體系,補充剛剛復興的國家審計力量的不足,政府和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展,企業內部審計越來越受到各方面的重視,對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出:內部審計是組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。
從內部審計的發展過程可以看出,企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于:通過內部審計機構和人員對企業風險管理過程的了解,審查并評價其適當性和有效性,提出改進建議,促進企業目標的實現。
三、企業風險管理審計的內容
風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體的風險管理進行審查與評價,也可對職能部門的風險管理進行審查與評價。因此,筆者認為企業風險管理審計應當包括以下方面的內容:
(一)風險管理機制的審查與評價
企業的風險管理機制是企業進行風險管理的基礎,良好的風險管理機制是企業風險管理是否有效的前提。因此,內部審計部門或人員需要審查以下方面,以確定企業風險管理機制的健全性及有效性。包括:
1 審查風險管理組織機構的健全性。企業必須根據規模大小、管理水平、風險程度以及生產經營的性質等方面的特點,在全體員工參與合作和專業管理相結合的基礎上,建立一個包括風險管理負責人、一般專業管理人、非專業風險管理人和外部的風險管理服務等規范化風險管理的組織體系。該體系應根據風險產生的原因和階段不斷地進行動態調整,并通過健全的制度來明確相互之間的責、權、利,使企業的風險管理體系成為一個有機整體。
2 審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序,以確保風險管理的有效性。
3 審查風險預警系統的存在及有效性。企業進行風險管理的目的是避免風險、減少風險,因此,風險管理的首要工作是建立風險預警系統,即通過對風險進行科學的預測分析,預計可能發生的風險,并提醒有關部門采取有力的措施。企業的風險管理機構和人員應密切注意與本企業相關的各種內外因素的變化發展趨勢,從對因素變化的動態中分析預測企業可能發生的風險,進行風險預警。
(二)風險識別的適當性及有效性審查
風險識別是指對企業面臨的,以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。內部審計人員應當實施必要的審計程序,對風險識別過程進行審查與評價,重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。筆者認為應當包括以下內容:
1 審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析,風險識別是關鍵性的第一步。
2 審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調查研究之后,運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類,并總結出企業面臨的各種風險。風險識別方法所要解決的主要問題是:采取一定的方法分析風險因素、風險的性質以及潛在后果。
需要注意是,風險管理的理論和實務證明沒有任何一種方法的功能是萬能的,進行風險識別方法的適當性審查和評價時,必須注重分析企業風險管理部門是否將各種方法相互融通、相互結合地運用。
(三)風險評估方法的適當性及有效性審查
內部審計人員應當實施必要的審計程序,對風險評估過程進行審查與評價,并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時,內部審計人員應當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。
內部審計人員應當對管理層所采用的風險評估方法進行審查,并重點考慮以下因素:
(1)已識別的風險的特征;
(2)相關歷史數據的充分性與可靠性;
(3)管理層進行風險評估的技術能力;
(4)成本效益的考核與衡量等。
3 審查風險評估方法應當遵循的原則
內部審計人員在評價風險評估方法的適當性和有效性時,應當遵循以下原則:
(1)定性方法的采用需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性;
(2)在風險難以量化、定量評價所需數據難以獲取時,一般應采用定性方法;
(3)定量方法一般情況下會比定性方法提供更為客觀的評估結果。
篇6
一、企業風險及風險管理的內涵
進行企業風險管理審計,必須明確企業風險及風險管理的內涵。否則,企業風險管理審計便無從談起。
1企業風險的實質
首先,風險產生于不確定性因素的存在,如果企業運行的內外環境是確定的,則不存在企業風險。其次,企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說,我們更注重企業的運行結果,對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此,可以認為,企業風險則是企業運行結果偏離期望結果的可能性。筆者認為,企業目標是企業期望達到的一種結果狀態,但由于相關因素的持續不斷的變化,企業目標的實現存在不確定性。因此,企業風險可以描述為企業目標不能得以實現的可能性。
2企業風險的劃分
企業風險可以按多種標準進行分類。筆者認為,既然將風險定義為企業目標不能得以實現的可能性,那么,企業風險可以按照企業目標的不同層次來理解和劃分,并可將其相應劃分為:
(1)企業的戰略風險是指企業戰略目標不能實現的可能性,主要包括:由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險;由于企業的具體戰略選擇失誤而帶來的風險,包括企業經營領域的選擇風險、企業并購風險等。
(2)企業日常經營管理風險是指企業具體經營目標不能實現的可能性,又可以劃分為企業經營環節的作業鏈風險,如企業供、產、銷等環節的風險;企業的人事風險,如由于人員任用、授權、業績評價等方面的缺陷帶來的風險;企業的信息風險,如企業信息系統風險等。
(3)財務風險。狹義一般是指由于企業籌措資金而形成的風險,并主要是指企業由于舉債而形成的風險,也可稱之為籌資風險。按照本文對風險的定義,即企業目標不能實現的可能性,則企業的財務風險是指企業財務活動目標不能得以實現的可能性,包括籌資風險、資金投放的風險及企業其他財務活動風險,我們可以稱之為廣義的財務風險。
3企業風險管理
COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程,它由董事會、管理當局和其他人員執行,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在風險容量之內,并為主體目標的實現提供合理保證。”
我國內部審計協會2005年的內部審計具體準則16號—《企業風險管理審計》中指出“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”
從上述對風險管理的解釋可以看出,企業風險管理的最終目標是為企業目標的實現提供合理的保證。
二、企業風險管理審計的目標
對企業風險管理進行監督和評價是現代內部審計發展的結果,企業風險管理審計的目標取決于對企業內部審計的功能定位。
從西方企業內部審計的產生和發展過程來看,內部審計是隨著經濟的發展,企業內部管理層次的增多和控制范圍的擴大,基于企業內部經濟管理與監督的需要而產生的,并隨著管理的需要而不斷發展。隨著內部審計的不斷發展,內部審計的目標也在不斷地變化,其中以國際內部審計師協會(IIA)對內部審計所下定義的變化最具有代表性。國際內部審計師協會(IIA)理事會指出內部審計是一種獨立、客觀的保證和咨詢活動,其目的是增加組織的價值和改善組織的經營。
我國的內部審計不是在企業內部管理需要的動因下發展起來的,而是在政府的要求下,在國家審計部門的推動下建立起來的。1993年國家審計署成立,為了盡快建立和完善審計體系,補充剛剛復興的國家審計力量的不足,政府和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展,企業內部審計越來越受到各方面的重視,對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出:內部審計是組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。
從內部審計的發展過程可以看出,企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于:通過內部審計機構和人員對企業風險管理過程的了解,審查并評價其適當性和有效性,提出改進建議,促進企業目標的實現。
三、企業風險管理審計的內容
風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體的風險管理進行審查與評價,也可對職能部門的風險管理進行審查與評價。因此,筆者認為企業風險管理審計應當包括以下方面的內容:
(一)風險管理機制的審查與評價
企業的風險管理機制是企業進行風險管理的基礎,良好的風險管理機制是企業風險管理是否有效的前提。因此,內部審計部門或人員需要審查以下方面,以確定企業風險管理機制的健全性及有效性。包括:
1審查風險管理組織機構的健全性。企業必須根據規模大小、管理水平、風險程度以及生產經營的性質等方面的特點,在全體員工參與合作和專業管理相結合的基礎上,建立一個包括風險管理負責人、一般專業管理人、非專業風險管理人和外部的風險管理服務等規范化風險管理的組織體系。該體系應根據風險產生的原因和階段不斷地進行動態調整,并通過健全的制度來明確相互之間的責、權、利,使企業的風險管理體系成為一個有機整體。
2審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序,以確保風險管理的有效性。
3審查風險預警系統的存在及有效性。企業進行風險管理的目的是避免風險、減少風險,因此,風險管理的首要工作是建立風險預警系統,即通過對風險進行科學的預測分析,預計可能發生的風險,并提醒有關部門采取有力的措施。企業的風險管理機構和人員應密切注意與本企業相關的各種內外因素的變化發展趨勢,從對因素變化的動態中分析預測企業可能發生的風險,進行風險預警。
(二)風險識別的適當性及有效性審查
風險識別是指對企業面臨的,以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。內部審計人員應當實施必要的審計程序,對風險識別過程進行審查與評價,重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。筆者認為應當包括以下內容:
1審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析,風險識別是關鍵性的第一步。
2審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調查研究之后,運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類,并總結出企業面臨的各種風險。風險識別方法所要解決的主要問題是:采取一定的方法分析風險因素、風險的性質以及潛在后果。
需要注意是,風險管理的理論和實務證明沒有任何一種方法的功能是萬能的,進行風險識別方法的適當性審查和評價時,必須注重分析企業風險管理部門是否將各種方法相互融通、相互結合地運用。
(三)風險評估方法的適當性及有效性審查
內部審計人員應當實施必要的審計程序,對風險評估過程進行審查與評價,并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時,內部審計人員應當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。
內部審計人員應當對管理層所采用的風險評估方法進行審查,并重點考慮以下因素:
(1)已識別的風險的特征;
(2)相關歷史數據的充分性與可靠性;
(3)管理層進行風險評估的技術能力;
(4)成本效益的考核與衡量等。
3審查風險評估方法應當遵循的原則
內部審計人員在評價風險評估方法的適當性和有效性時,應當遵循以下原則:
(1)定性方法的采用需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性;
(2)在風險難以量化、定量評價所需數據難以獲取時,一般應采用定性方法;
(3)定量方法一般情況下會比定性方法提供更為客觀的評估結果。
(四)風險應對措施適當性和有效性審查
內部審計人員應當實施適當的審計程序,對風險應對措施進行審查。
內部審計人員在評價風險應對措施的適當性和有效性時,應當考慮以下因素:
篇7
風險管理文化是以企業文化為背景,在經營管理活動過程中逐步形成并為廣大員工自覺遵守的風險管理理念、風險價值觀念和風險管理行為規范。是企業文化的重要組成部分。
2008年金融危機爆發以來破產的企業,失敗的根源都可以找到風險管理失效因素的作用力。只是危機把潛伏和積累的風險暴露了出來。國內著名的奶業企業“三鹿”集團的失敗,中國銀行業在“次貸危機”中幾十億元的損失、中國鋁業海外并購的巨額損失、中信泰富投資澳元衍生品損失、富士康集團的連跳事件都是風險管理失敗的結果。
從管理學角度看,管理主要依賴于兩個最基本的要素:權力和文化。權力作為一種支配資源的力量,依靠的是一種硬性的制度約束,這種約束是一種被動約束。文化則是一種一般性的規范指導能力,它往往是一種理念,一種思維方式。包括在這種理念指導下的行為習慣。對企業職工素質的培養和良好的職業道德的形成具有潛移默化的巨大作用。文化的約束是一種發自內心的認同。因此只有將風險管理依托于一種文化,才能將約束變為自覺。
根據企業文化和管理學理論,作為企業文化子系統的風險管理文化由風險管理理念、風險管理行為和風險管理物質三個層次組成。
風險管理理念文化又叫風險管理精神文化,相對于風險管理行為文化和物質文化,它處于整個風險管理文化的最深層,并成為風險管理文化的靈魂和核心。
風險管理行為文化,一般包括風險管理的組織架構、風險管理制度規范和從事風險管理的部門和人的行為表現等。
風險管理物質文化包括兩個重要組成部分:一是知識技能技術層面,即企業在風險管理過程中形成的技術和藝術,它包括企業對各種風險的辨識能力、評估能力、風險計量技術及對風險管理模型的開發運用技巧;二是實物層面,即通過企業風險管理形成的安全的經營與管理產品、設施、設備和空間環境以及配套的各種物質保障手段等。
一、風險管理理念文化
從內涵上講,企業風險管理理念文化是指企業在長期發展過程中形成的,全體成員統一在風險管理方向上的思想觀念、價值標準、道德規范和風險理論成果的總和。它是企業風險管理行為文化與物質文化的一種總結與升華,是企業風險文化中最有活力、最有生命力、最有創造力的核心部分,是企業風險管理的思想上層建筑。
從外延上講,企業風險管理的理念文化包括:企業風險精神、企業風險價值觀、企業風險控制觀、風險管理觀以及理論化、體系化的企業風險管理學。
企業風險管理理念文化的構建主要依靠學習和培訓實現。風險管理理念的培訓和引導應該是全員、全過程的。要讓每個員工都有風險意識,每個流程環節都要樹立風險觀念。按照統一的風險評估和應對標準處理日常工作。通常的風險管理理念包括以下幾個。
1.風險不能“回避”,只能“管理”風險
企業的任何經營活動都具有一定的風險,在市場上運作有價格風險、匯率風險,同客戶打交道有信用風險,企業財產有被盜、火災等風險。即使不同客戶打交道、不同資金打交道,只做日常業務操作工作,還有操作風險。企業用人還有道德風險。所以,企業不可能回避所有的風險,它所能夠做的只是管理控制風險,是如何去識別風險、如何去判斷風險的大小、如何去分散風險、如何為風險提供相應的保障。也可以通過市場(如保險)等實現部分風險轉移。
2.風險和回報必須對稱
在統計學上,風險和回報是正向相關關系,通常的情況是,回報率愈高時,風險也愈大;而風險愈低時,回報率也愈低。在德國商業銀行的經營理念中,控制風險和創造利潤是同等重要的事情。用他們自己的語言是:“2R”(Risk?and?Return)is?the?same?coin。即風險和回報是同一枚硬幣的正反兩面,彼此不能分離。任何人在工作中都必須合理兼顧。任何不對稱的行為都是不可取的。
企業本身就是個風險集合體,因此決定了企業在獲取利潤時必須承擔風險。企業風險管理的目標不是消除風險,而是通過主動的風險管理過程實現風險與回報的平衡,要注重風險和回報的平衡關系,敢于承擔與預期收益相平衡的風險,但明知違反法律、法規強制性規定的風險必須杜絕,如生產銷售不合格產品、嚴重環境污染、偷稅等。企業只有通過有效識別風險、評估風險、應對風險,才能抓住市場機會,業務擴張在有風險控制的框架內進行才能良性、可持續發展。
3.全面風險管理
篇8
企業風險管理是一項復雜的系統工程,在這個系統中,一般由董事會負責制定風險管理的戰略目標,由高級管理層負責風險管理目標的綜合控制實施,由各職能部門負責專項風險業務的控制管理,由所屬子、分公司組織落實風險管理的具體措施。內部審計部門在企業風險管理中,對企業風險管理的充分性和有效性進行檢查、評價和報告,并提出改進意見。
內部審計是一種獨立客觀的保證與咨詢活動,它的目的是為了增加機構的價值并提高機構的運作效率。《中央企業內部審計管理暫行辦法》第三章內部審計機構主要職責中規定:“內部審計機構應當對本企業及其子企業的物資采購、產品銷售、工程招標、對外投資及風險控制等經濟活動和重要的經濟合同等進行審計監督”;“對本企業及其子企業內部控制系統的健全性、合理性和有效性進行檢查、評價和意見反饋,對企業有關業務的經營風險進行評估和意見反饋”。
二、我國企業風險管理審計中存在的問題
(一)風險管理評估體系不完善
目前,我國企業風險管理審計尚處于起步階段,風險管理評估體系還沒有建立完善。大部分企業在實際工作中,一部分是以國家或行業的相關規定作為自身評估的標準;一部分是以企業自身的歷史理想水平作為標準;一部分是以企業自身對風險的認識作為標準。然而,這樣的評估標準比較容易造成風險管理評估標準與實際不相符合,從而會影響風險管理審計發揮其作用。
(二)內部審計機構和審計人員素質缺陷
內部審計機構的獨立性是保障內部審計獨立性的基礎。根據IIA的觀點,內部審計機構的獨立性是保證內部審計人員客觀性的基礎,是內部審計內容、范圍、方法、技術以及報告不受干涉的前提。目前,我國內部審計機構的設置缺乏獨立性,容易受到上級領導的制約,導致內部審計人員不能獨立的、有效的完成內部審計工作。
此外,企業大多數內部審人員對企業的審計工作的認識只是停留在一些不符合內部審計規范的層面上,對企業可能面對的潛在風險因素認識不夠,沒有進行有效的事先預測、分析、和評價,未向公司提出任何的防范措施。在實際工作,很多內部審計部門僅僅就企業現在面臨的風險進行分析、評價并提出防范措施。很多企業將保險作為其控制風險的主要手段,但保險項目少,企業投保的積極性不高,保險防災防損的作用沒有充分發揮。由于內部審計員的風險管理意識不強,將不利于風險管理審計工作的有序、有效的開展,因而企業可能不能夠及時進行風險防范,造成企業的損失。
(三)風險管理范圍不明確
在企業風險管理審計的范圍上,審計人員側重于企業經營管理風險的識別、估算和控制力面的審計,而對企業制度風險、法律風險、決策風險等其他風險的評估、測試等力面的審視程度不夠、由于企業自身改革的不斷深化,企業的風險管理不可能只停留在分別對某一種風險進行管理的階段上,企業只有全面的、綜合的考慮可能發生的各種風險因索,才能有效的預防、管理和控制風險。同樣的,企業風險管理審計也不能停留在部門風險管理審計的階段上,而要向全面的、整體的風險管理審計發展,只有這樣企業才能不斷發現和化解風險,減少不應有的損失。
三、加強我國企業風險管理審計的戰略措施
(一)建立適合企業的風險管理制度和機制
應該結合我國國情和企業實際,建立完善企業風險管理審計制度,確保風險管理審計健康發展應根據規模大小、管理水平、風險程度以及生產經營性質等方面的特點,建立一個包括風險管理負責人、一般專業管理人、非專業管理人和外部風險管理服務等規范化風險管理的組織體系根據風險產生的原因和階段,并通過健全的制度來明確相互之間的責權利關系,使企業的風險管理成為一個有機整體建立風險預警系統,對風險進行科學的預測分析,結合實際情況制定具體的內控制度,事先控制可能出現的風險,通過對內部控制制度的健全性和符合性測試,不斷修汀和完善內部控制制度。
(二)完善風險管理評估體系
在建立我國風險管理體制方面,我們可以借鑒COSO新框架的管理理念,即企業風險管理應用于戰略制定與組織的各層次活動中。它使管理者在面對不確定性時能夠識別、評估和管理風險,發揮創造與保持價值的作用。風險管理能夠使風險偏好與戰略保持一致,將風險與增長及回報統籌考慮,促進應對風險的決策,減小經營風險與損失,識別與管理企業交叉風險,為多種風險提供整體的對策,捕捉機遇以及使資本的利用合理化。在我國企業發展的現狀下,我們必須盡快轉換長期以來固化的觀念和思維定式,努力構建體現全面風險管理的內部控制新機制。完善風險管理評估體系主要包括以下幾方面:
1.完善風險評價標準的評析。由于風險管理對象的差異,企業應根據實際情況分別建立內部控制風險評價標準、財務風險評價標準等。而風險評價標準要能夠對企業業務特征高度概括、對風險要點鮮明清晰、對環境的具體變化具有彈性反映等。
2.完善對風險識別、分析、評價的審核。內部審計人員要依據企業經營戰略的籌劃和部署,通過對有關單位和部門風險的識別、分析、評價的設計進行檢查、評估并提出建議。
3.完善對風險管理措施、方法的評價。在風險管理方針和策略的指導下,風險管理措施有規避、控制與抑制、保留、轉移、利用五種,每種措施的使用是有條件的,否則將認為措施不當。
(三)提高內部審計人員的整體素質
企業風險來自各方面,而且不是孤立存在的,這就對審計人員提出了更高的素質要求。
1、內部審計人員要掌握一定的信息技術。內部審計人員面對企業普遍使用的信息技術和日趨復雜的業務環境,要想參與風險管理,提高審計服務的效率和質量,傳統的審計技術已經落后。審計處理手段由手工操作發展到信息化審計,更新審計技術成為當務之急。
2、內部審計人員應有創造性的思維模式。風險管理就是人們對不確定因素的認識程度,是對風險管理人員的思維模式的測試和挑戰。內部審計人員要成為風險管理的專家,就應有創造性的思維模式。內部審計人員應堅守持續調整、持續改善的理念,以確保內部審計的任務與戰略重點、技術與核心程序同利益相關者的期望及風險管理和內部控制的優先性同步成長。
3、內部審計人員要具有良好的交流技巧。早期的內部審計人員根據管理當局查錯防弊的意圖,以“獵人”的眼光強制而神秘地執行審計程序,詳細地檢查賬目和交易事項,最后將所發現的問題全部向上報告。但隨著內部審計范圍的拓寬,這種傳統的觀念就不再合適了。這是因為內部審計要有效地參與風險管理,提供建設性的意見,就要深入調查內部控制和經營管理的現狀,找出薄弱環節和經營不善之處,并尋求改進的措施,而這就需要取得被審計部門的理解、參與和合作。
此外,健全內部審計職業化規范、完善內部審計專業化組織、促進內部審計人員專業化等,這些都是非常重要的配套措施。(作者單位:山西財經大學)
參考文獻
[1]張玉.后安然時代國際內部審計發展趨勢綜述[J].審計研究,2005(5).
[2]郭偉昌,劉金鳳.企業風險審計模型研究與應用[J].審計研究,2008(6).
篇9
一、企業風險管理的概念
2004年9月,美國COSO委員會在《內部控制整合框架》的基礎上擴展形成了《企業風險管理整合框架》(COSO-ERM),為現代化企業風險管理工作提供了一個相對全面的指南。基于COSO框架,企業風險管理主要是由企業中的董事會、管理人員以及其他工作人員在計劃方案制定的時候以及在整個企業中實施的、用于識別可能影響組織的潛在事件并根據風險偏好管理風險,為組織目標的實現提供合理保證的過程。
二、內部審計參與企業風險管理的意義
從企業內部管理來看,內部審計是企業風險管理中的關鍵性組成部分,充分發揮著提升風險管理水平的重任;從內部審計發展進程來看,參與企業風險管理逐漸發展為內部審計工作的專業化發展方向與業務拓展的主戰場。此外,內部審計工作作為企業內部有著相對超脫以及獨立身份的專業化機構,能以更加全面、深刻和專業的視角仔細觀察分析以及評價企業發展期間所面臨的多種內部風險因素與外部風險因素。內部審計可以充當現代化企業風險控制管理的最后屏障,發揮安全網的作用。具體來說,內部審計不僅能夠憑借監督身份實施獨立性企業風險評估,而且還能夠憑借服務職能上的優勢全面參與到相應的風險管理建設中去,最終實現內部審計工作健康發展以及大膽創新,從根本上提升審計地位。此外,風險管理方面的專業化理論與實踐的發展同樣可以促進企業內部審計在價值層面的保值增值,創造更大的業務空間以及發展平臺,實現內部審計逐漸從傳統財務向非財務領域的科學化過渡發展。
三、內部審計參與企業風險管理的途徑和方法
(一)協調組織風險管理決策
內部審計在企業中具有的獨特組織地位,大多數企業的內部審計分布于各個組織系統和各個基層單位的內部,對企業的業務接觸全面,能夠在企業企業風險管理以及改進等環節發揮組織協調的作用。其次,內部審計人員跟其他具體的業務職能人員相比,更能避免逆向利益驅動、環境影響、反道德行為等可能導致風險管理失效或不徹底等情況的發生,有助于其發表專業、客觀的意見,協助設計和實施企業風險管理。再次,內部審計可以協助企業中的不同部門對各種風險進行不斷完善,制定出合理化的處置方案,致力于優化企業的風險應對措施,日益完善風險防范管理方案,從根本上減少由于風險而造成的企業損失。但是,內部審計執行協調角色職能時,應避免承擔相應的管理職責,且不能因協調業務而損害其獨立性。
(二)提供咨詢服務
內部審計針對企業風險管理開展咨詢業務的深入程度取決于企業風險管理的成熟度。當企業尚未建立全面風險管理框架時,內部審計應該作為企業風險管理的推動者,將企業風險管理的意識引入到企業文化當中,從而使每個崗位上的員工都形成風險意識。當企業逐步建立全面風險管理框架時,內部審計人員應充分發揮自身具備的全局視野和專業技能,適時根據企業戰略目標、經營策略的調整以及自身財務知識結構、所處外部經濟環境的變化,不間斷地改進和完善企業風險管控的組織結構和業務流程,使之能持續符合企業的風險承受能力,為企業長期發展保駕護航。此外,需要引起注意的是,當內部審計機構開展咨詢服務工作的時候,必須要充分考慮自身的專業化勝任能力。具體來說,內部審計的相關工作人員必須要有著相對較強的風險管理知識以及操作技能,而且應經過專業化培訓教育,可以清楚了解風險識別情況、風險評估情況、風險監控情況等。
(三)評價企業風險管理過程
內部審計應從以下幾個方面對企業風險管理過程進行評價:一是評價企業風險管理組織結構是否充分、適當和有效,對于其設計和運行存在的缺陷和不足提出針對性改進措施,充分發揮內部審計的咨詢職能,使風險管理組織結構更具有合理性。二是在熟悉企業戰略目標和經營業務的基礎上,針對不同項具體評價其風險識別是否全面,風險等級劃分是否合理。
(四)跟蹤風險控制活動
從實際操作來說,企業風險管理框架的執行遠比框架的設計重要,一個設計完美的管理框架可能因判斷錯誤、執行人的勝任能力和內外部境變化等因素而失去其應有的作用。因此,內部審計人員應當對風險所處環境及其他相關因素開展持續性監測和分析,動態關注企業風險監控體系是否健全及執行效果,也可以通過對內部審計揭示披露風險或問題的處理情況開展后續跟蹤檢查,檢查所實行的控制措施是否及時有效或產生新的風險,并將檢查結果及建議提供給企業管理層以便改進風險控制措施。
四、內部審計與企業風險管理結合在企業的應用和實踐
根據國資委《中央企業全面風險管理指引》以及《關于2012年中央企業開展全面風險管理工作有關事項的通知》要求,中國鐵路總公司及其所屬鐵路局已經在探索如何將內部審計與企業風險管理進行有益的結合,并針對高風險領域及管理層關注的問題開展了一系列專項審計和調查,提高了內審的效率和效果,也證明了與企業風險管理的整合是內部審計發展的主要方向之一。例如,中國鐵路總公司對鐵路基建項目建設情況進行跟蹤審計,就工程的立項、預算、招標、合同、實施、驗工計價、驗收、竣算、付款等各環節進行審計,對發現的問題及時提出管理建議并協助整改,保證了工程項目優質高效快速的建成;南昌鐵路局內部審計部門根據與企業風險管理戰略目標匹配的業務重點,開展了全局非運輸企業物資貿易經營風險防控管理情況、職工保障性住房建設資金管理情況等專項審計,為管理層的后續決策提供了依據,促進了企業風險管理的持續改進。這些專項審計和調查對現階段國有企業內部審計工作的開展無疑有著很好的示范作用,但是鐵路企業因其特殊的歷史原因和體制問題,長期以來將安全風險管理作為企業風險管理的主要目標,缺乏將戰略風險、財務風險、市場風險、運營風險和法律風險整合的全面風險管理體系,還處于風險管理的初級階段,不夠系統和規范。筆者嘗試根據企業風險管理流程,設計了風險管理基礎審計的一般程序,希望能起到拋磚引玉的作用。
(一)計劃階段
內部審計部門制定年度審計計劃時,應對識別出的風險事件評估后進行風險排序,確定審計先后次序。審計計劃制定后并非一成不變,當管理層的目標、方針和關注點發生變化時,應對審計計劃進行適時調整,重新分配審計資源。其次,在執行審計業務計劃的過程中,如果出現內部審計資源不足或審計范圍受到限制的情況,內部審計部門負責人應及時向企業管理層報告,以避免無法獲取充分、適當的審計證據,導致審計結果出現偏差。
(二)準備階段
風險管理審計的準備階段是進行風險管理審計的基礎,這一階段所需進行的準備工作主要包括:了解企業的風險偏好和戰略目標、業務層面目標的風險承受度;在審計業務范圍內實施初步調查后,確定審計目標和審計領域相關風險、控制程度及可利用的內審資源;審計方法的選擇等。
(三)實施階段
1、根據審計范圍選取合適的風險評價標準
內部審計人員在選取風險評價標準時,應考慮該風險評價標準是否符合被審計單位的實際情況;是否涵蓋大部分的風險領域;風險特征是否鮮明清晰,對環境的變化是否具有彈性。
2、對審計范圍內的風險進行分析和評價
內部審計人員結合企業經營戰略制定和部署,采取定量分析與定性分析相結合的方法對風險實施綜合性評估。通常情況下,風險評估坐標圖屬于相對常見的分析方法,屬于定性分析法,主要是借助對風險帶來影響大小的反映,將此結論與風險可能出現的情況進行密切關聯,從根本上為明確業務風險次序提供合理化框架。定量分析方法則可以通過采集足夠多的風險樣本,利用專業工具和技術建立概率模型量化風險來確定風險評級;再按照初始設定的影響程度和可能性估值,計算風險評分,將評分較高的風險列作主要風險,評分較低的風險列作次要風險,然后對風險進行優先次序的排列。
3、對風險應對措施
進行評價在確定了風險的范圍、發生的可能性、可能造成的損失等因素后,是否正確地選擇了風險應對策略,最大限度地降風險是內部審計人員的重點關注點。風險應對策略一般來說有規避、控制、轉移、承受四種,每種策略的使用是有條件的,否則將認為措施不當。內部審計人員應結合被審計單位的風險偏好、企業所處的環境特征、風險程度以及企業管理人員的經驗等,來判斷企業風險應對措施選取是否適當。
4、對風險管理框架進行評價
內部審計部門應在眾多單項風險評估的基礎上,評價企業風險管理框架的充分性和運行的有效性。包括:評價風險控制體系所具有的有效性特點,也就是說風險控制體系的應用是否可以獲得相應的預期效果,最終實現預期的實際控制目標;科學評價風險控制體系是否存在重大差異和缺陷,發現后是否及時進行了糾正或改進。
(四)報告階段
風險管理審計報告就是內部審計的工作人員針對審計過程中所發現的相應風險水平以及對于組織目標所產生的影響作出的評價結論和控制過程評價報告,除具備內部審計報告的要素外,還應簡明易懂、有建設性意見。可以三種形式發表評價結論:一是無保留意見,即經過審計沒有發現風險管理體系存在普遍的相對嚴重的薄弱環節;二是保留意見,也就是審計可以發現風險管理體系當中存在的相關管理漏洞或者是薄弱環節,然而整體上是不至于失效的;三是否定意見,也就是風險管理體系有重大漏洞或嚴重的薄弱環節,風險管理體系整體上作用很小甚至失效。
(五)審計后續階段
內部審計部門應對審計結果進行跟蹤檢查,監督管理層已采取有效措施,確保審計建議能夠得到有效落實;或管理層針對審計中發現的問題,決定接受不采取行動所帶來的風險。
作者:李萍 單位:南昌鐵路局審計處
參考文獻:
[1]內部審計在治理、風險和控制中的作用[M].西苑出版社,2008年
篇10
(二)國外風險管理文化的成果
1《.薩班斯法案》。
2002年7月,美國國會通過了《2002年薩班斯———奧克斯利法案》(簡稱《薩班斯法案》),約束在美上市公司的各種經營行為,從法律層面降低上市公司風險事件的發生。該法案的核心是建立企業內部控制制度,促進企業完善內部控制,加強向公眾披露的信息質量和增加透明度,防止出現虛假財務報告,并對公司管理層提出了明確的責任要求。該法案是美國有史以來最為嚴厲的財務法則,其要求上市公司的首席執行官(CEO)和首席財務官(CFO)對公司財務年報和季報的真實性和完整性提供書面保證,同時加強了對公司欺詐行為和白領犯罪的刑事處罰力度。
2.COSO《內部控制———整合框架》。
1992年,COSO了著名的《內部控制———整合框架》,并于1994年做出局部修正,成為內部控制領域最為權威的文獻之一,被國際和各國審計準則制定機構、銀行監管機構和其他方面所采納。該框架系統地描述了內部控制的定義、目標、構成要素和有效性評價標準等。經過十多年的應用,其已經成為世界各地普遍認可的一個標準。
3.COSO《企業風險管理———整合框架》。
2004年9月的這份框架,拓展了內部控制的內容,為各國的企業風險管理提供一個統一術語和概念體系的應用指南。它對企業風險管理做了如下定義:企業風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。
4.澳大利亞—新西蘭風險管理標準(AS/NZS4360)。
這是世界上第一個國家風險管理標準,于1995年首次,它給出了一套風險管理標準的語言定義和風險管理的標準過程定義。到目前為止,該標準已被澳大利亞政府和世界上許多上市公司采用,許多澳大利亞和新西蘭的行業協會依此并結合自己的行業特性,編制了本行業的風險管理標準。
二、國內企業風險管理文化的發展
(一)我國風險管理的發展
我國關于風險管理的研究始于1980年代。一些學者將風險管理和安全系統工程理論引入國內,在少數企業試用中感覺比較滿意。由于國內大部分企業缺乏對風險管理的認識,也沒有建立專門的風險管理機構,風險管理活動往往是暫時的或者間斷性的,缺乏對風險的定期復核和再評估。
(二)我國風險管理文化的成果
1《企業內部控制基本規范》。
為加強和規范企業內部控制,提高企業經營管理水平和風險防范能力,促進企業可持續發展,根據國家有關法律法規,財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制基本規范》,自2009年7月1日起在上市公司范圍內施行,鼓勵非上市的大中型企業執行。該規范共7章50條,在立足我國國情的基礎上,確立了以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證的內部控制框架。最重要的是,它開創性地建立了以企業為主體、以政府監督為促進、以中介機構審計為重要組成部分的內部控制實施機制。《規范》的實施,有效解決了政出多門、要求不一、企業無所適從的問題,有利于提高企業內部控制監管效率、降低監管成本,有利于優化企業管理和增強企業競爭實力,有利于保障經濟安全、維護資本市場穩定。
2《中央企業全面風險管理指引》。
為指導企業進行全面風險管理,國務院國有資產管理委員會借鑒發達國家企業風險管理的法律法規、國外先進的大公司在風險管理方面的通行做法,以及國內有關內部控制機制建設方面的規定,于2006年6月頒布了《中央企業全面風險管理指引》。《指引》)共分為10章70條,對中央企業開展全面風險管理工作的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理文化、風險管理信息系統等方面進行了詳細闡述,明確了全面風險管理的定義是:企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。確定了全面風險管理需實現的總體目標:一是確保將風險控制在與總體目標相適應并可承受的范圍內;二是確保內外部,尤其是企業與股東之間實現真實、可靠的信息溝通;三是確保企業遵守有關法律法規;四是確保企業有關規章制度和為實現經營目標而采取重大措施的貫徹執行,降低實現經營目標的不確定性;五是確保企業建立針對各項重大風險發生后的危機處理計劃,保護企業不因災害性風險或人為失誤而遭受重大損失。《指引》還提供了4種風險管理的常用技術和方法,使《指引》更具有操作和實用性。
篇11
提高企業財務風險管理有效性的建議
企業風險,特別是企業財務風險的存在,會對企業的生存與發展產生不利影響,制約企業長遠戰略目標的實現。企業應該秉著“防患于未然”態度,積極面對各種財務風險,采取有效的管理手段,降低這些財務風險對企業的沖擊,達到通過財務風險管理來應對企業風險的目標。通過提高財務風險識別與防范的意識,建立財務風險預警機制,提高風險管理審計的有效性等措施,提高企業財務風險管理的有效性。
(一)提高財務風險識別與防范的意識
由于財務風險性質與產生作用所需要的時空積累,并非所有的財務風險都會給企業帶來致命性的沖擊。一些財務風險在萌芽期可能對企業來說是微乎其微,這就會出現認識的誤區,從而對這些財務風險采取回避、放任的態度,等意識到財務風險的不利影響時,往往為時已晚。企業應在內部控制、內部審計準則的指引下,進行風險意識教育,在企業投資決策、融資決策、經營決策、分配決策等基本財務過程中,權衡收益與風險的關系,選擇最優的決策,提高財務風險防范與識別意識,正確識別和防范企業面臨的各種財務風險。
(二)構建有效的財務風險預警機制
財務風險管理處于企業風險管理的核心地位,即使是非財務風險,也會以財務數據的形式有所體現,也就是非財務信息的財務化。建立企業財務風險預警機制,對于企業財務風險管理與非財務風險管理都有著深刻的意義。企業應結合自身情況,以財務管理的內容和重點為依據,選擇諸如資產負債率、資產收益率、債務現金保障率、存貨周轉率、應收現金周轉率等基本財務指標,對具體比率賦予合適的權重,建立一整財務預警機制,參考行業標準,結合企業縱向、橫向業績水平,通過具體的財務數據的對比,來衡量財務績效,進而識別、評估和處理存在的各種財務風險與非財務風險,及時發現并處理風險,最大程度降低企業的風險損失。
篇12
一、我國企業風險管理存在的問題分析
1.風險管理意識淡薄。除金融保險企業以外,多數企業缺乏風險管理觀念,很多企業還停留在計劃經濟條件下賣方市場的水平上,或者說沒有形成風險意識,更缺乏有效的識別、評估和應對風險的機制,導致不少上市公司應變能力和抗風險能力較差。企業中多數管理者對風險管理的意識還很淡薄,很少分析甚至不分析可能導致風險出現的因素,也沒有建立行之有效的風險管理機制。2.內部控制與風險管理沒有有效結合。風險管理與內部控制有內在的聯系,健全內部控制是實施全面風險管理的前提。企業只有從加強內部控制做起,通過風險意識的提高,尤其是提高企業中處于關鍵地位的中、高層管理人員的風險意識,才能使企業安全運行。然而,雖然一部分企業已經認識到內部控制與風險管理結合的重要性,但企業目前仍將風險管理與內部控制在企業運營和管理中隔離開來,企業內部控制不能涵蓋企業面臨的所有風險,針對風險設置的控制目標的細化程度仍然很低。企業風險管理與內部控制脫離,沒能實現融合和跨越。3.不了解風險管理方法論,風險管理框架缺失。我國企業進行風險管理實踐的時間和歷史很短,而且主要停留在運營風險管理的層面,企業全面風險管理還沒有成為企業普遍關注的重點。一個有效的風險管理機制應該能夠對于企業所有的預期情況進行評估和處理,能夠突破企業所面臨的風險和組織之間的界限,能夠對所有潛在的重大風險進行預計并制定相應的解決方案。但目前多數企業不了解如何進行風險管理,對風險管理方法認識不足,并且企業風險管理工作的實施缺乏有效的風險管理框架作為指導和參考。4.缺乏有效的風險管理監督和評價機制。由于管理體制和管理方式的問題,我國企業風險管理的監督很薄弱,監督評價方法不夠先進,不能起到應有的作用。由于目前沒有通用的風險管理評價方法,內部稽查中風險管理有效性的評價方式過于簡單。傳統的評價方法是以定性分析為主的,分析過程較復雜,且很大程度上依賴于評審人員的主觀判斷,主觀性較強,缺乏客觀具體的可操作性標準,導致風險管理評價缺乏科學性、規范性和可操作性,進而增加了評價工作的實施難度、資源投入的主觀隨意性、結論不可靠性。此外,內部審計監督部門普遍缺乏獨立性和權威性,內部審計人員的勝任能力不足、缺乏主動性和能動性,內部審計制度不健全,業務不規范,作用未能充分發揮,致使內部審計部門形同虛設。此外,企業組織機構設置不合理、內部控制和風險管理沒有和信息系統相結合、缺乏人才和知識積累等因素也在一定程度上影響了企業全面風險管理的實施。
二、企業風險智能管理框架的構建
通過實施有效的風險管理框架,將能夠使企業在多變的內外部環境中保持企業發展的可持續性,不斷增加企業價值,推動企業戰略的實現。實施企業風險智能管理框架的主要貢獻為:增強對風險和控制的了解;提高評級機構認知;提高公司盈利質量;提高對股東的信息透明度;提高監管認知;降低風險事件產生的損失;提高公司社會聲譽;提高風險調整回報率;增加董事會和風險委員會的風險管理信心;降低經濟資本要求;有效識別增值業務;減少風險項目的保費等等。企業風險智能管理框架要確保能識別并評估關鍵風險點并有效加以應對,例如:戰略風險、財務風險、多元化投資風險、政策風險、融資風險、工程項目管理風險、營運安全風險等。有效實施風險智能管理框架的企業可以被稱為風險智能型企業。1.企業變革。企業要在新的企業風險管理環境下使風險管理框架高效運行,首先要從企業管理、人員、流程、科技四個方面進行改進和變革,為實施風險管理框架提供基礎支撐。1.1管理變革。企業董事會或經營層應就風險管理的目標設定以及風險管理的基本方法進行明確,對業務管理機構進行重構,例如:設立風險管理部門、專職法務部門或法務專員、設立資金管理中心、設立運營安全管理部門、設立投資戰略部門,保證內部審計部門的獨立性等。同時對管理流程進行梳理優化,明確不同級別管理層的職責權限,最后由內部審計部門加以監督,由人力資源部門綜合考核,形成一個有效、閉環的管理體系,這樣就能保證各項業務可以得到自動化的有效管理。1.2人員變革。風險智能管理并不僅僅是指設立一個風險管理機構,而是要改變企業所有員工觀察和管理風險的方式。企業應當在各部門各單位設立風險管理專員,并在適當的時機對各級管理層和風險管理專員提供有關風險管理技巧和風險管理意識的崗位培訓,提高每名管理者的風險應對能力,形成良好的風險管理氛圍。1.3流程再造。企業風險管理框架和控制流程體系的重建,對于正確識別、分析和應對風險的相互依賴和整體風險的管理是至關重要的。風險智能管理的方法之一是基于原有的內部控制體系基礎,在風險管理流程之間建立通用性和關聯性,使風險智能管理貫穿于各層級的計劃、管理和運營決策流程之中,以確保風險智能化計劃和管理的有效實行,使其成為每個員工日常工作的一部分。1.4科技變革。隨著新科技的不斷發展,各種信息化工具不斷變化并迅速發展。科技可以起到杠桿作用,未識別、測量、報告和監控風險提供共同的平臺。企業通過建立風險預警管理信息系統,與業務管理系統、資產管理系統、預算管理系統、財務系統建立互聯,通過識別分析,實時提供風險預警,并在預警的同時提供風險應對措施建議,提高風險智能化管理水平。2.構建企業風險智能管理體系。2.1設定企業戰略目標。首先公司要對內外部環境進行有效分析,選擇并確定符合企業實際的戰略目標,并對戰略目標進行分解,將風險管理理念融入公司經營管理,利用風險智能管理程序有效配置資源,并明確各主體的業務目標和風險管理目標,從而使風險管理融入公司戰略體系的方方面面。2.2明確風險管理理念。風險管理理念是指企業利用通用的風險管理語言,對識別、分析和管理風險的統一的信念和態度。風險管理理念應當延伸到企業經營管理活動的全范圍、全過程,它可以通過各種表述方式形成企業的風險文化,使企業各級管理者在做任何決策或管理活動時都能夠考慮風險,并使全員在風險管理的價值觀上保持趨同。2.3構建風險管理職責體系。構建企業全面風險管理的組織機構并明確風險管理職責,是實施風險管理的根本保證。風險管理組織機構從上而下應由董事會及其下設風險管理委員會和審核委員會、經營層、風險部門及人員、業務部門及其風險專員和企業員工構成,從而形成有效的風險管理防線。同時,公司應明確界定各級機構在風險管理中的職責權限,并通過提升風險管理人員的風險意識,提高風險管理技能,確保各級人員在風險管理過程中有良好的履職能力。2.4構建風險智能管理策略框架。風險管理策略框架是風險智能管理的核心內容。企業應根據內外部環境,圍繞企業制定的戰略目標,確定風險偏好、風險承受度、風險容量和風險容限,明確風險智能管理有效性的標準,有效配置風險管理所需的人、財、物等資源,制定風險管理手冊,并將風險管理策略框架應用于企業各個領域的風險管理指導方針之中。企業應從整個主體范圍或組合的角度,從不同的視角,利用大數據、風險度量模型、定性分析等評估技術,評估風險的可能性、影響程度以及風險之間的潛在關系,有針對性地選擇風險承受、回避、分擔、降低等應對方式,與企業內部控制體系的建立和實施有機結合,通過有效的風險控制活動和溝通報告機制,將企業的剩余風險控制在可接受的范圍內。企業風險智能管理策略能夠成為企業的核心競爭力之一,最終為企業戰略目標的實現保駕護航。2.5構建風險智能管理信息系統。為了實現風險管理智能,企業需要要優化整個信息流程,風險智能管理信息系統是指利用信息技術,對與企業相關的內外部風險信息進行收集、整理、分析、處理、預警并提出應對策略的一個實時、動態的管理體系。它應當由三個模塊組成,即:風險信息的收集加工模塊,主要由風險管理系統識別或由風險管理專員收集和錄入;風險分析和預警模塊主要由風險管理部門在風險管理系統的分析基礎上做出預警;風險應對決策和實施模塊由風險管理系統提供的風險應對建議,由風險管理部門提出風險應對方案,提交管理層落實風險應對責任,并指定專人監督。在風險信息系統的設計與實施過程中,應充分把握系統之間的分工與協調,因為它是一個有機的整體,各部分的銜接至關重要。2.6持續風險監控與評價。如上文所述,企業風險管理隨著時間的變化而改變,它是一個持續的、動態的管理活動,這也要求風險的監控與評價必須是持續開展的,企業各管理層級、各個業務部門都應開展風險持續監控,同時風險管理或審計部門還應定期開展風險管理評價。風險監控和評價發現的重要缺陷應及時向管理層和上級部門報告,重大缺陷還應向公司董事會及其風險管理委員會、審計委員會報告。通過監控與評價,能夠有效保證企業風險職能管理框架的設計和運行有效性,能夠提升全員的風險管理能力,從而使公司風險水平實現持續改進。
三、企業風險智能管理框架實施建議
1.正確認識企業內部控制與風險管理的關系。企業內部控制的風險觀就是由全員參與的、對與人、與活動及與環境有關的全面風險進行控制,是整合傳統內部控制和現代風險管理為一體的過程。內部控制發展方向就是企業風險管理,其實質就是企業風險控制的管理。現代企業風險管理系統,是以風險識別和應對為核心,以內外部環境為風險管理的范圍,以企業風險管理文化為靈魂,以控制活動為手段,全員、全范圍、全過程的風險控制系統。企業內部控制逐漸呈現向風險管理發展和一體化的趨勢,即以風險管理為主導,建立適應企業風險管理戰略的新的內部控制,從而實現內部控制向風險管理的跨越。2.完善考核和激勵機制。為確保經營的效率效果,企業必須將風險智能管理框架的建立實施情況納入企業的綜合考核激勵體系。一個完善的指標考核體系需要根據企業的整體戰略和風險管理目標的要求等因素確定。此外,通過明確企業管理者的責、權、利,通過利用風險管理評價結果,與業績考核相掛鉤,建立起責權相關的激勵制度。按照員工的崗位職責及工作目標,進行定期考核評估,總結工作成效,及時發現問題并予以改正。評估和認定結果與獎金、調薪、升職掛鉤。通過績效考核機制將企業的目標與個人工作目標有機地結合起來,從而推動企業戰略目標的實現。
參考文獻:
[1]美國COSO制定.企業風險管理——整合框架[M].方紅星,王宏譯.大連:東北財經大學出版社,2005.
篇13
(二)風險管理的內容簡述
1.風險管理的含義
企業的風險管理是指全面分析企業各個經營過程中的風險,通過對風險的識別、衡量、分析,并在此基礎上采用相應手段對風險進行有效處置,以最低成本實現最大安全保障的一種科學管理方法。
2.國外風險管理的發展階段
在國際上,隨著對風險管理的理解和認識不斷深化,風險管理理論也在不斷發展和完善,主要經歷了三個發展階段:風險管理萌芽階段、風險管理發展階段、全面風險管理階段。
(1)風險管理萌芽階段(20世紀30年代至60年代)也被稱為安全生產階段。早在20世紀50年代,法國古典管理理論學家亨利法約爾就已經認識到風險管理的重要性,他將工業活動分為六項,其中就包括:⑴技術活動(生產、制造、加工);⑵商業活動(購買、銷售、交換);⑶財務活動(籌集和最適當地利用資本);⑷安全活動(保護財產和人員);(5)會計活動(財產清點、資產負債表、成本、統計等);⑹管理活動(計劃組織、指揮、協調和控制)等內容,可以說是企業風險管理的雛形。伴隨著工業革命的蓬勃發展,在20世紀60年代,企業風險管理的方法進一步增加,很多學者開始專門研究風險管理的方法,越來越多的企業,尤其是保險行業,已經將風險管理作為企業的一項重要工作。
(2)風險管理的發展階段(20世紀70年代至90年代)也叫結構優化階段。隨著風險管理在歐洲、亞洲等眾多國家和地區的廣泛傳播,風險管理工作也從保險行業擴展至更多的企業,風險管理逐步的規范化、標準化和程序化,風險管理手段也開始變得多樣化,并且通過加入管理學知識和工具,如運籌學、計量經濟學、統計學等內容,使得風險管理的手段不斷增加,領域不斷擴大。但在這段時期,大部分企業在風險管理方面仍然沒有形成完整的理論體系和成熟的管理方法。
(3)全面風險管理階段(21世紀初至今)。隨著2001年美國安然公司倒閉、2002年世通公司財務舞弊案等事件發生后,全面風險管理開始得到各國政府和企業的全方位的普遍重視。西方學術界開始注重企業“全面風險管理”理論整體化、系統化的研究工作。這一時期,眾多規范性和標準文件如:《薩班斯法案》、風險管理標準(AS/NZS4360)、COSO-ERM標準和《巴塞爾協議Ⅱ》等紛紛出臺,使現代風險理念從最初的簡單風險管理發展到“全面風險管理”的高級階段。
3.我國的風險管理概論
在我國,風險管理理論發展相對滯后,有相當一部分企業普遍存在風險管理意識不足,缺乏風險策略,風險管理較為被動等問題,為了從根本上提高企業風險管理水平,2006年6月,國務院國有資產監督管理委員會出臺了《中央企業全面風險管理指引》(國資發改革[2006]108號)(以下簡稱《指引》),文件中對中央企業開展全面風險管理工作的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理文化以及風險管理信息系統等方面進行了詳細的闡述。《指引》的出臺,使得我國國有企業對于全面風險管理有了更加系統全面的認識,能夠幫助企業盡快建立全面風險管理體系,并且通過指引提供的風險管理的常用技術和方法,使全面風險管理工作具備更強的可操作性和實用性。
4.企業風險管理的意義
由于企業風險存在極大的不確定性,因此如何避免或降低發生風險的概率,減小由此給企業帶來的損失對于企業來說具有重要意義。
(1)企業風險管理有利于實現企業的戰略發展和經營目標。要想企業能夠長期穩步發展,必須在增強高層的戰略駕馭能力的同時,保證既能持續地監控、分析和反饋內外環境變化,提前示警;同時培養企業快速反應的能力,保證在需要做出反應時,能及時、有效地應變。
(2)有利于提高企業業務處理的工作效率。風險管理控制系統要求企業各個職能部門的工作能夠相互協調和制約,通過業務處理的授權,使企業各職能部門明確工作范圍和職權,使各個職能部門能夠各司其職,各負其責,從而提高工作效率。
(3)形成風險管理信息收集、分析、報告系統,為有效監控風險和應對風險提供依據。通過建立風險管理信息系統,能夠及時有效的監控企業的經營及管理情況,做到對風險的及時預警,并且為領導的決策提供有力的數據支持。
(4)避免企業重大損失,支持企業正常有序的運行。通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,能夠第一時間發現風險,進而及時應對,避免或解決風險,從而為實現企業的正常有序發展服務。
(5)標本兼治,從根本上提高企業風險管理水平。全面風險管理體系的建立,能夠在根本上提高企業自我運行、自我完善、自我提升的風險管理水平,形成風險管理的長效管理機制。
