引论:我们为您整理了13篇企业风险管理标准范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
随着国内经济改革的深化,市场环境中不稳定的因素增多,企业面临着更大的风险。在国资委正式《中央企业全面风险管理指引》后,全面风险管理体系建设工作成为央企推进现代化管理的重点项目。南方电网公司在2013年年度工作会议上,正式提出构建具有南网特色的全面风险管理体系,并将全面风险管理列为七个先进管理体系建设工作之一。
为更好地贯彻落实网公司的中长期发展战略,江门局深入开展了全面风险管理体系建设。在此过程中,结合企业的日常经营情况和风险管理现状,江门局建立了一套风险管理体系的评价标准。该标准能够对企业全面风险管理体系的建设水平做出准确评价,促进体系持续改善。
二、评价标准的构建
(一)评价标准的框架
借鉴风险管理评价领域的实践经验,以PDCA闭环管理为构建思路,本文初步建立了全面风险管理体系评价标准,该标准主要分为:风险管理基础、风险管理过程、风险事件管理、审核与改进四个维度,从不同的维度对体系进行审核评价,从全过程评价全面风险管理体系的建设情况,起到了完善体系的作用。
第一,风险管理基础是企业进行全面风险管理的前提条件,风险管理基础包括风险管理规划与工作计划、风险管理组织、风险管理制度与流程、风险管理培训、风险管理文化、沟通与协调等内容。第二,在具备风险管理基础后,企业按照风险管理过程进行风险管理,主要包括风险信息收集、风险识别、风险评估、风险应对和风险监控。第三,当风险事件发生时,应该有对应的风险事件管理措施。最后,要通过定期对全面风险管理体系建设情况进行审核,达到提升体系建设水平的目标。
1. 风险管理基础
风险管理基础是全面风险管理评价标准建设的基石,企业进行全面风险管理应从夯实风险管理基础做起,做好目标、制度、文化三个层面的基础工作。目标层面是指企业应有明确的风险管理规划,并依据风险管理规划制定风险管理工作计划,明确阶段性及年度风险管理目标、重点和落实举措;制度层面是指企业应建立健全风险管理组织、制定与完善风险管理制度、梳理风险管理模块,将风险管理有效落实;文化层面是指要进行风险管理培训、加强风险管理文化建设、做好内外部沟通与协调,最终形成全体员工“重视风险管理、参与风险管理、牢记风险管理”的风险管理文化。
2. 风险管理过程
风险管理过程是指企业风险管理人员在日常工作中进行风险管理的一系列流程与活动,包括收集风险环境信息、进行风险识别、开展风险评估、制定并落实风险应对措施、进行风险监督与评价等。风险环境信息收集包括收集企业内外部可能导致损失的风险因素;风险识别是指根据收集到的风险因素,梳理出战略、财务、市场、安全、法律、廉洁、公共关系等方面的风险点;风险评估是对风险发生概率、风险影响程度等进行评价,从而得出风险等级;风险应对是根据风险等级情况,制定针对性的应对策略和应对措施并加以落实;风险监督与评价是对风险应对措施落实情况进行监督,对落实效果进行评价,并根据监督评价结果完善风险库、优化风险应对措施,提升风险管理效果。
风险管理过程的执行情况是管控风险的关键,企业应重点制定针对性强、管控效果明显的风险应对措施,并强化风险监督和评价,将风险管理落到实处。
3. 风险事件管理
风险事件是指企业由于管理失误或者意外因素引起的风险事故(风险损失大、影响程度广的事件)。针对风险事件,企业应当建立起一套反应迅速、举措灵活的风险事件管理机制。风险事件管理机制应分为以下几个步骤:风险事件识别,全面、准确、及时地识别出企业潜在的风险事件,为应急管理做好前期准备;应急预案编制,确认潜在的事件或紧急情况,并提出相应措施,形成预案。确保对应急事件的及时响应,以预防或减少与之有关的损失和影响;风险事件处理,确保对风险事件的及时响应和处理,以预防或减少与之有关的损失和影响;风险事件调查,了解风险事件发生的原因、过程、结果以及其他情况,全面分析风险事件,做到科学防控;风险事件沟通与回顾,在第一时间的应对过后,应当对风险事件发生的全过程进行更深入的了解,以防止类似事件的发生或将风险损失降至最低。
4. 审核与改进
企业对全面风险管理体系的审核主要分为内部审核和外部审核。内部审核主要评价全面风险管理内部审核的组织与策划、实施与回顾的情况。外部审核主要评价全面风险管理外部审核的组织与策划、实施与结果运用的情况。此外,还应建立统一、正式的纠正预防系统,确保纠正和预防行动的有效实施。
企业应通过内部审核和外部审核机制,定期对全面风险管理体系进行审核,得出改进意见,并遵守纠正预防系统的流程和规定,确保各项改进措施的有效实施,促进风险管理水平的提升。
(二)评价标准的完善
1. 审核原则与方法
从全面风险管理体系的本质来看,体系的建立是为了使风险管理的工作规范化、系统化和流程化。因此,深度挖掘管理过程中存在的问题是体系审核的基本原则。审核应遵循以下方法。
(1)以PDCA闭环管理流程为审核思路,通过相关管理或工作痕迹,以文件查阅、现场验证或抽样询问等方式,查找各环节问题或不符合事项。
(2)对发现问题或不符合事项,进行分类分析和诊断,发现工作亮点和改进机会。
(3)审核应遵循实事求是的原则,根据存在的问题或不符合事项所占比例和关键程度,进行评分。
2. 分数确立与分配
对于评价标准相关分数的确立与分配,首先应该按照审核原则,对应各个模块,组织全面风险管理审核的专家们根据行业与企业的实际情况进行模块分数打分。为确保各模块分数分配的合理性,可以采用德尔菲法测算各模块的分值,同时向专家们强调应以公平、公正、客观的态度进行打分评价。
打分过程可分为:设计评分表格,为专家评分奠定基础;选取专家进行匿名打分的方式,进行第一轮评分;汇总第一轮评分结果,取平均值,并将第一轮评分结果反馈给评审专家;专家根据反馈的评分结果,进行第二轮评分,取平均值,得出各模块的分配结果。以江门供电局为例,最终的分数分配结果如表5。
3. 等级划分与描述
在分配了各模块的分数之后,还需要对风险评估得出的分数进行分级和定性,并按照以往经验对各层级的风险做出客观描述,以便在遇到突发风险的情况下,能按照描述内容,针对各层级风险的实际情况做出具体的应对措施。
4. 评价模型运用
评价标准在确立了相应的审核原则、模块分数和等级划分之后,将对四个主要模块的每个细分环节进行运用。评价的模式主要遵循“管理目标”、“评价内容”和“评价标准”三个步骤进行,在明确工作的目标后,根据审核要素和评价内容,对该环节进行逐步的评价,得出每一细分环节的分数。最后依次对各环节进行评价,直至完成对全面风险管理体系的总体评价。
三、结论
全面风险管理体系的建设离不开一个有效的评价准则系统,在建设全面风险管理体系的过程中,我们应该积极探索、制定相关的评价准则,帮助体系建设形成管理上的闭环,最终达到持续提升全面风险管理水平的目标。
鉴于全面风险管理体系评价理论与实践均处于探索阶段,本文构建的评价标准难免会存在一些不足,在此敬请谅解。但是理论的探索和研究永远是螺旋上升的,本文仅作抛砖引玉之用,希望能与各位同仁相互探讨学习,共同推动全面风险管理体系评价理论的进步与完善。
参考文献:
篇2
企业风险指未来的不确定性对企业实现其经营目标的影响或者指对企业目标实现过程中有不利影响的某一事件发生的可能性;以能否为企业带来盈利机会为标志,将风险分为纯粹风险(仅带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),通过对风险概念的解读,不难发现风险是把双刃剑,其蕴含着造成损失的可能性,又蕴含着转化为利益的机遇。
全面风险管理指企业围绕总体经营目标或战略,制定风险管理策略,在公司经营管理的各个方面和业务过程中的各个环节进行风险管理的基本流程,落实风险理财措施,培育良好的风险管理文化,建立健全风险管理的组织体系、信息系统和内部控制系统的过程和方法。主要内容包括目标确定、风险识别、风险分析、风险评价和风险应对。
二、风险管理对企业的意义
所有企业都是在有风险因素的环境下经营,而不是企业风险管理使企业面临风险环境,企业风险管理是使管理者能够在充满风险的环境中更加有效的经营。
风险偏好指一个公司或企业在追求其目标的过程中愿意接受的风险的程度,是企业的风险管理文化。必须充分考虑企业风险偏好与战略有机结合,才能使战略目标、战略方案得以落实。企业风险管理提供了确认和选择不同的风险反应方案的严格标准,企业的风险反应方案包括风险规避、风险降低、风险接受和风险利用等四类,增加了企业风险反应决策速度,应对环境的变化也将得心应手;有效的风险管理可能提高确认潜在事项、评估风险和明确反应方案,最后减少经营意外的出现次数以及减少相应的成本或损失;而风险管理也不单从单一风险考虑对企业的影响,还将从企业整体考虑应对风险措施,避免由于过度重视单一风险而给企业造成的机会损失。
企业的竞争不仅局限在资源拥有上,更多是强调资源效率,而企业总体风险的更为明确的信息可以使企业管理者能够更加有效的评估企业资源的分配,实现最佳组合,提高企业经营效率,降低成本,降低损耗,促使企业生产活动的顺利进行,创造安全稳定的企业环境,保障企业目标的实现。
三、企业风险管理的举措
(一)深化全员危机意识,统一企业风险文化
《COSO:Enterprise Risk Management Framework》中强调企业风险管理是企业董事会、管理层和其他员工共同参与的一个过程,在很大程度上受各个层次员工的思想、行为等影响,所以提升全员危机意识、风险意识,努力使意识印在脑海里,溶化在血液中,落实在行动上,将是推动企业风险管理的保障,加强企业风险文化的培育将是企业风险管理的重要一步。
(二)全面改善内部环境,提供风险管理基础
企业的内部环境是风险管理要素的基础,为其他要素提供规则和结构,内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等,还影响控制活动的设计与执行、信息和沟通系统以及监控活动。内部环境包括公司治理结构、员工道德与胜任能力、人员培训、经营模式、分配权利与职责方式等,只有改善内部环境中不适应的环节,努力培育出与风险管理运作相适应的内部环境,从而促进企业战略目标的实现。
(三)梳理经营管理流程,识别标识风险节点
企业各业务部门(包含项目部)应该梳理所经营业务范围内的所有流程,以流程为着手点,以资金成本、时间成本、机会成本、直接损失、无形损失等等标准进行流程的再造与梳理,标识出流程中的各个风险节点,如此一来不仅可以对成本进行管控,而且还可以将风险进行掌握。
(四)评估业务风险等级,建立预警反应系统
在风险节点的基础上,根据风险定性定量分析方法作出风险坐标图,通过深入讨论或者打分法对风险进行分级,并在坐标图中进行区域的划分,针对每一区域进行风险管理战略的制定,是接受还是转移,是利用还是规避;与此同时,应该建立相应的预警反应系统,即划分风险各阶段的预警标准,以指导具体风险应对措施的制定。
(五)行动方案执行100%,确保控制活动100%
在风险预警标准的指导下,对风险关键点、风险责任部门(人)、防控规则、具体应对措施等进行详细的描述,使风险防控方案可操作,风险管理常态化;在业务执行过程中严格按照制度、流程进行操作,确保控制活动的落实,达到风险防控、成本管控的良好效果。
(六)优化整合业务风险,统筹企业风险管理
为避免业务部门过度风险管理给企业带来机会损失的可能性,风险部门应该从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在市场、财务、工程、安全、质量、人力资源、审计、预算等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受程度,因为个别风险影响并不总是相加的,可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没有超出企业的承受范围,因为事件的影响有时有抵消的效果。因此,还能进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹风险管理方案。
四、结束语
如今在市场经济条件下,金融危机持续加深的背景下,企业的经营环境中存在着更多的不确定性,不确定性既表示风险,也预示着机遇。企业风险管理就是通过各要素有效地发挥其功能,帮助企业抓住机遇,将风险控制在可接受的范围内,促进企业各类目标的实现,实现企业价值最大化。
参考文献:
[1]李三喜.风险管理实务操作指南[M].北京:中国时代经济出版社,2010.
篇3
关键词 :企业文化;风险文化;风险管理
中图分类号F270文献标志码:A文章编号:1000-8772(2014)13-0266-02
现代企业间的竞争已不仅仅是产品、营销、技术、战略的竞争,更是企业文化的竞争。随着企业的发展壮大和内外环境的不断变化,企业面临的风险呈现出多样化、复杂性的特点,风险管理应运而生。企业开展风险管理的过程,实质上也是一种新的文化培育、发展和运用的过程,这种新的文化,即为风险管理文化,被视为重要的企业文化或企业文化中较为重要的一个方面。在信用经济环境下,企业经营的每个环节都具有风险,风险管理和控制对于企业来说,意义重大,企业若想在激烈的市场竞争中立足和发展,必须形成良好的风险管理文化氛围。
一、国外企业风险管理文化的发展
美国一位银行家曾经说过:“一个金融机构信用管理的失败,不是因为缺乏信贷政策、程序,即使设置非常复杂的政策、程序、检查、报告等控制手段,如果缺少一个好的风险管理文化,所有这些都徒有形式。”所谓风险管理文化,是通过行动或文字的呈现,使企业管理者和员工对企业的风险特征有比较充分的认识,并以他们的能力、诚信和职业道德来控制、管理风险,将风险管理作为一个动态过程贯穿于企业的经营管理之中。风险管理文化是伴随着企业风险管理的发展而发展起来的。
(一)国外风险管理的发展
风险管理理论和实践始于1930年代的美国保险业。当时美国发生了世界上最严重的经济危机,大约40%的银行和企业破产。为了度过这场危机,美国大多数企业在内部设立了保险管理部门,专门针对企业经营状况购买各种保险,以规避和转移企业风险。到1950年代,风险管理真正成为一门学科并纳入研究,提出了“风险管理文化”。随着企业面临的风险复杂化和风险费用的增加,法国于1970年代开始从美国引进风险管理研究和实践成果,风险管理开始在欧洲大陆传播开来。与此同时,日本也开始了风险管理研究。
此时,多数企业的风险管理还只是单一区域的信用风险管理,把企业风险通过在财产或其他保险公司投保来转移。之后企业风险管理主要针对投资风险和财务风险的分散和回避,风险管理的研究也拓展到全球范围。美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。在1983年美国召开的风险和保险管理协会年会上,共同讨论并通过了“101条风险管理准则”,标志着风险管理的发展进入了一个新的发展阶段。
进入1990年代,随着全球一体化的发展及企业外部环境变化的不确定性,全面风险管理等新理论被提出并纳入实践。在西方发达国家,各企业都相继建立了风险管理机构,专门负责风险分析和研究,美国还成立了全美范围的风险研究所和美国风险管理协会。全球众多知名公司、跨国企业也都在本世纪初开始实施自身的风险管理建设工作。
(二)国外风险管理文化的成果
1.《萨班斯法案》。2002年7月,美国国会通过了《2002年萨班斯——奥克斯利法案》(简称《萨班斯法案》),约束在美上市公司的各种经营行为,从法律层面降低上市公司风险事件的发生。该法案的核心是建立企业内部控制制度,促进企业完善内部控制,加强向公众披露的信息质量和增加透明度,防止出现虚假财务报告,并对公司管理层提出了明确的责任要求。该法案是美国有史以来最为严厉的财务法则,其要求上市公司的首席执行官(CEO)和首席财务官(CFO)对公司财务年报和季报的真实性和完整性提供书面保证,同时加强了对公司欺诈行为和白领犯罪的刑事处罚力度。
2.COSO《内部控制——整合框架》。1992年,COSO了著名的《内部控制——整合框架》,并于1994年做出局部修正,成为内部控制领域最为权威的文献之一,被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。该框架系统地描述了内部控制的定义、目标、构成要素和有效性评价标准等。经过十多年的应用,其已经成为世界各地普遍认可的一个标准。
3.COSO《企业风险管理——整合框架》。2004年9月的这份框架,拓展了内部控制的内容,为各国的企业风险管理提供一个统一术语和概念体系的应用指南。它对企业风险管理做了如下定义:企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。
4.澳大利亚—新西兰风险管理标准(AS/NZS 4360)。这是世界上第一个国家风险管理标准,于1995年首次,它给出了一套风险管理标准的语言定义和风险管理的标准过程定义。到目前为止,该标准已被澳大利亚政府和世界上许多上市公司采用,许多澳大利亚和新西兰的行业协会依此并结合自己的行业特性,编制了本行业的风险管理标准。
二、国内企业风险管理文化的发展
(一)我国风险管理的发展
我国关于风险管理的研究始于1980年代。一些学者将风险管理和安全系统工程理论引入国内,在少数企业试用中感觉比较满意。由于国内大部分企业缺乏对风险管理的认识,也没有建立专门的风险管理机构,风险管理活动往往是暂时的或者间断性的,缺乏对风险的定期复核和再评估。
(二)我国风险管理文化的成果
1.《企业内部控制基本规范》。为加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,根据国家有关法律法规,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。该规范共7章50条,在立足我国国情的基础上,确立了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证的内部控制框架。最重要的是,它开创性地建立了以企业为主体、以政府监督为促进、以中介机构审计为重要组成部分的内部控制实施机制。《规范》的实施,有效解决了政出多门、要求不一、企业无所适从的问题,有利于提高企业内部控制监管效率、降低监管成本,有利于优化企业管理和增强企业竞争实力,有利于保障经济安全、维护资本市场稳定。
2.《中央企业全面风险管理指引》。为指导企业进行全面风险管理,国务院国有资产管理委员会借鉴发达国家企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法,以及国内有关内部控制机制建设方面的规定,于2006年6月颁布了《中央企业全面风险管理指引》。《指引》)共分为10章70条,对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述,明确了全面风险管理的定义是:企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。确定了全面风险管理需实现的总体目标:一是确保将风险控制在与总体目标相适应并可承受的范围内;二是确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通;三是确保企业遵守有关法律法规;四是确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,降低实现经营目标的不确定性;五是确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。《指引》还提供了4种风险管理的常用技术和方法,使《指引》更具有操作和实用性。
三、中外企业风险文化的比较
由于经济发展程度和国情的不同,不同国家的企业风险文化有其不同的行为特点。对比美国的《萨班斯法案》和我国的《中央企业全面风险管理指引》,不难发现两者的区别。
从上表中可以看到,我国的全面风险管理更注重于将企业风险与企业的总体目标对应起来,适应于总体目标并控制在可承受的范围之内,并在事先做好对企业风险的控制和防范。从战略层面,确定一个科学决策的程序,以解决投资人的信任问题,为投资人提供的是长远利益,这样,从体系上解决了利益冲突的结构问题。而萨班斯法案关注的只是财务层面,只要求财务报告真实可靠,而不关心如何做出正确决策,这使得董事会趋于保守,未从根本上解决利益冲突的结构性问题。
参考文献:
[1] 黄秀华.西方企业风险管理的历史演变及启示[J].中国集体经济,2011(3).
篇4
我国企业风险评估的必要性
每个企业在运营过程中都会出现不同程度的风险,这些风险有些对企业运营不会产生较大影响,但有些风险会威胁企业生存,因此,为了企业能够健康稳定地发展,风险评估是非常重要的。企业有可能出现的风险有战略风险、市场风险、资产风险等,有效评估这些风险是企业经营者提高经营能力的重要内容。风险评估与企业效益前景关系密切,风险评估能预测、判断企业的战略选择、组织价格,资产配置和政策环境等很多方面,确保企业在发生损失之前能够做好应对准备,进而减少损失的程度。市场经济产生后,企业需要自行承担风险,但我国绝大多数企业并未意识到风险的危害性,没有形成风险评估意识,风险评估工作的开展一直处于初级阶段,对市场以及内外部风险所带来的风险常常无法很好应对。近年来,我国企业经常会发生无法及时有效应对风险而造成较大损失的情况。企业必须要重视风险管理工作,而在整个风险管理过程中,起最基础作用的就是风险评估。我国企业只有做好风险评估工作,才能更好地应对风险的到来,风险管理工作也才能有的放矢地进行。
我国企业风险评估现状
《中央企业全面风险管理指引》出台。央企代表着我国企业最优的管理水平。但由于风险意识较弱,央企风险事件频繁发生。尽管我国有些企业在国外上市,而企业内部也相应地建立了内部控制体系,但与国际大企业相比,我国企业风险管理水平依旧较弱,究其原因是没有很好地将国际先进方法引入其中。我国一些企业正在酝酿建立风险管理体系,急需一个指导性文件,此时《中央企业全面风险管理指引》出台。国务院国资委对国内外风险管理学术成果和管理实践经验进行了深入研究,在此基础上,国资委进一步对部分央企风险管理状况进行了深入的实际调研,摸清了央企风险管理现状。
央企风险管理现状。虽然央企风险管理在我国已经较为成熟和完善,但是与国外大公司相比,央企风险管理还存在一定的差距,具体表现在:一半以上的企业风险管理还处于传统的风险管理阶段,也就是说,各个职能部分负责各个部门的风险管理,企业缺乏对整个公司的风险管理;完全或部分建立全面风险管理体系的企业仅占20%左右。
中小企业风险管理。中小企业资产规模虽然不及央企,但却与央企一道成为我国国民经济的基础力量。相对大型企业和国有企业,中小企业更容易摆脱改革前的生产束缚,更容易融入到新的市场经济中,进而得到快速发展。中小企业风险管理的特点如下:一方面,中小企业的风险管理理念较为落后,风险管理意识淡薄。中小企业在发展和管理过程中有一个明显的特征就是重速度、重量轻质。中小企业完善的内部控制体系相对较少,使得这些企业当中的管理者和员工普遍缺乏风险意识。另一方面,中小企业抗风险能力较弱,在资金、管理、技术等方面都无法与大型企业相比,这些弱势使其更容易产生风险,另外,中小企业抗风险能力有限,一旦产生较大风险,容易造成巨大损失,甚至对企业发展产生较大的阻碍作用。再者,中小企业风险管理水平滞后。中小企业虽然在很多方面都无法与大企业相比,但是其灵活性较强也是一大优势。
首先,投资少、规模小、组织结构简单,相对来说,投资回报周期就短;其次,灵活性强,其可以根据市场的变化而调整自己的战略;再次,中小企业生存和发展所需要的环境要求较低,更容易存活。尽管如此,中小企业组织结构简单在一定程度上也阻碍了风险管理工作的开展。在中小企业中,一般很难设置专门的部门和专门的人员来负责风险管理工作,而且,中小企业软硬件基础也相对薄弱,没有建立好完善的内部控制制度和风险管理机制,进而中小企业是很难进行全面风险管理的。
企业风险评估方法
篇5
一、企业风险及风险管理的内涵
进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。
1 企业风险的实质
首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。
2 企业风险的划分
企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:
(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。
(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。
(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。
3 企业风险管理
COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”
我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标
对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。
从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容
风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
1 审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2 审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
3 审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:
1 审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。
2 审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。
需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别的风险的特征;
(2)相关历史数据的充分性与可靠性;
(3)管理层进行风险评估的技术能力;
(4)成本效益的考核与衡量等。
3 审查风险评估方法应当遵循的原则
内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。
篇6
一、企业风险及风险管理的内涵
进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。
1企业风险的实质
首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。
2企业风险的划分
企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:
(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。
(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。
(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。
3企业风险管理
COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”
我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标
对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。
从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容
风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
1审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
3审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:
1审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。
2审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。
需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别的风险的特征;
(2)相关历史数据的充分性与可靠性;
(3)管理层进行风险评估的技术能力;
(4)成本效益的考核与衡量等。
3审查风险评估方法应当遵循的原则
内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。
(四)风险应对措施适当性和有效性审查
内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。
内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:
篇7
风险管理文化是以企业文化为背景,在经营管理活动过程中逐步形成并为广大员工自觉遵守的风险管理理念、风险价值观念和风险管理行为规范。是企业文化的重要组成部分。
2008年金融危机爆发以来破产的企业,失败的根源都可以找到风险管理失效因素的作用力。只是危机把潜伏和积累的风险暴露了出来。国内著名的奶业企业“三鹿”集团的失败,中国银行业在“次贷危机”中几十亿元的损失、中国铝业海外并购的巨额损失、中信泰富投资澳元衍生品损失、富士康集团的连跳事件都是风险管理失败的结果。
从管理学角度看,管理主要依赖于两个最基本的要素:权力和文化。权力作为一种支配资源的力量,依靠的是一种硬性的制度约束,这种约束是一种被动约束。文化则是一种一般性的规范指导能力,它往往是一种理念,一种思维方式。包括在这种理念指导下的行为习惯。对企业职工素质的培养和良好的职业道德的形成具有潜移默化的巨大作用。文化的约束是一种发自内心的认同。因此只有将风险管理依托于一种文化,才能将约束变为自觉。
根据企业文化和管理学理论,作为企业文化子系统的风险管理文化由风险管理理念、风险管理行为和风险管理物质三个层次组成。
风险管理理念文化又叫风险管理精神文化,相对于风险管理行为文化和物质文化,它处于整个风险管理文化的最深层,并成为风险管理文化的灵魂和核心。
风险管理行为文化,一般包括风险管理的组织架构、风险管理制度规范和从事风险管理的部门和人的行为表现等。
风险管理物质文化包括两个重要组成部分:一是知识技能技术层面,即企业在风险管理过程中形成的技术和艺术,它包括企业对各种风险的辨识能力、评估能力、风险计量技术及对风险管理模型的开发运用技巧;二是实物层面,即通过企业风险管理形成的安全的经营与管理产品、设施、设备和空间环境以及配套的各种物质保障手段等。
一、风险管理理念文化
从内涵上讲,企业风险管理理念文化是指企业在长期发展过程中形成的,全体成员统一在风险管理方向上的思想观念、价值标准、道德规范和风险理论成果的总和。它是企业风险管理行为文化与物质文化的一种总结与升华,是企业风险文化中最有活力、最有生命力、最有创造力的核心部分,是企业风险管理的思想上层建筑。
从外延上讲,企业风险管理的理念文化包括:企业风险精神、企业风险价值观、企业风险控制观、风险管理观以及理论化、体系化的企业风险管理学。
企业风险管理理念文化的构建主要依靠学习和培训实现。风险管理理念的培训和引导应该是全员、全过程的。要让每个员工都有风险意识,每个流程环节都要树立风险观念。按照统一的风险评估和应对标准处理日常工作。通常的风险管理理念包括以下几个。
1.风险不能“回避”,只能“管理”风险
企业的任何经营活动都具有一定的风险,在市场上运作有价格风险、汇率风险,同客户打交道有信用风险,企业财产有被盗、火灾等风险。即使不同客户打交道、不同资金打交道,只做日常业务操作工作,还有操作风险。企业用人还有道德风险。所以,企业不可能回避所有的风险,它所能够做的只是管理控制风险,是如何去识别风险、如何去判断风险的大小、如何去分散风险、如何为风险提供相应的保障。也可以通过市场(如保险)等实现部分风险转移。
2.风险和回报必须对称
在统计学上,风险和回报是正向相关关系,通常的情况是,回报率愈高时,风险也愈大;而风险愈低时,回报率也愈低。在德国商业银行的经营理念中,控制风险和创造利润是同等重要的事情。用他们自己的语言是:“2R”(Risk?and?Return)is?the?same?coin。即风险和回报是同一枚硬币的正反两面,彼此不能分离。任何人在工作中都必须合理兼顾。任何不对称的行为都是不可取的。
企业本身就是个风险集合体,因此决定了企业在获取利润时必须承担风险。企业风险管理的目标不是消除风险,而是通过主动的风险管理过程实现风险与回报的平衡,要注重风险和回报的平衡关系,敢于承担与预期收益相平衡的风险,但明知违反法律、法规强制性规定的风险必须杜绝,如生产销售不合格产品、严重环境污染、偷税等。企业只有通过有效识别风险、评估风险、应对风险,才能抓住市场机会,业务扩张在有风险控制的框架内进行才能良性、可持续发展。
3.全面风险管理
篇8
企业风险管理是一项复杂的系统工程,在这个系统中,一般由董事会负责制定风险管理的战略目标,由高级管理层负责风险管理目标的综合控制实施,由各职能部门负责专项风险业务的控制管理,由所属子、分公司组织落实风险管理的具体措施。内部审计部门在企业风险管理中,对企业风险管理的充分性和有效性进行检查、评价和报告,并提出改进意见。
内部审计是一种独立客观的保证与咨询活动,它的目的是为了增加机构的价值并提高机构的运作效率。《中央企业内部审计管理暂行办法》第三章内部审计机构主要职责中规定:“内部审计机构应当对本企业及其子企业的物资采购、产品销售、工程招标、对外投资及风险控制等经济活动和重要的经济合同等进行审计监督”;“对本企业及其子企业内部控制系统的健全性、合理性和有效性进行检查、评价和意见反馈,对企业有关业务的经营风险进行评估和意见反馈”。
二、我国企业风险管理审计中存在的问题
(一)风险管理评估体系不完善
目前,我国企业风险管理审计尚处于起步阶段,风险管理评估体系还没有建立完善。大部分企业在实际工作中,一部分是以国家或行业的相关规定作为自身评估的标准;一部分是以企业自身的历史理想水平作为标准;一部分是以企业自身对风险的认识作为标准。然而,这样的评估标准比较容易造成风险管理评估标准与实际不相符合,从而会影响风险管理审计发挥其作用。
(二)内部审计机构和审计人员素质缺陷
内部审计机构的独立性是保障内部审计独立性的基础。根据IIA的观点,内部审计机构的独立性是保证内部审计人员客观性的基础,是内部审计内容、范围、方法、技术以及报告不受干涉的前提。目前,我国内部审计机构的设置缺乏独立性,容易受到上级领导的制约,导致内部审计人员不能独立的、有效的完成内部审计工作。
此外,企业大多数内部审人员对企业的审计工作的认识只是停留在一些不符合内部审计规范的层面上,对企业可能面对的潜在风险因素认识不够,没有进行有效的事先预测、分析、和评价,未向公司提出任何的防范措施。在实际工作,很多内部审计部门仅仅就企业现在面临的风险进行分析、评价并提出防范措施。很多企业将保险作为其控制风险的主要手段,但保险项目少,企业投保的积极性不高,保险防灾防损的作用没有充分发挥。由于内部审计员的风险管理意识不强,将不利于风险管理审计工作的有序、有效的开展,因而企业可能不能够及时进行风险防范,造成企业的损失。
(三)风险管理范围不明确
在企业风险管理审计的范围上,审计人员侧重于企业经营管理风险的识别、估算和控制力面的审计,而对企业制度风险、法律风险、决策风险等其他风险的评估、测试等力面的审视程度不够、由于企业自身改革的不断深化,企业的风险管理不可能只停留在分别对某一种风险进行管理的阶段上,企业只有全面的、综合的考虑可能发生的各种风险因索,才能有效的预防、管理和控制风险。同样的,企业风险管理审计也不能停留在部门风险管理审计的阶段上,而要向全面的、整体的风险管理审计发展,只有这样企业才能不断发现和化解风险,减少不应有的损失。
三、加强我国企业风险管理审计的战略措施
(一)建立适合企业的风险管理制度和机制
应该结合我国国情和企业实际,建立完善企业风险管理审计制度,确保风险管理审计健康发展应根据规模大小、管理水平、风险程度以及生产经营性质等方面的特点,建立一个包括风险管理负责人、一般专业管理人、非专业管理人和外部风险管理服务等规范化风险管理的组织体系根据风险产生的原因和阶段,并通过健全的制度来明确相互之间的责权利关系,使企业的风险管理成为一个有机整体建立风险预警系统,对风险进行科学的预测分析,结合实际情况制定具体的内控制度,事先控制可能出现的风险,通过对内部控制制度的健全性和符合性测试,不断修汀和完善内部控制制度。
(二)完善风险管理评估体系
在建立我国风险管理体制方面,我们可以借鉴COSO新框架的管理理念,即企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。在我国企业发展的现状下,我们必须尽快转换长期以来固化的观念和思维定式,努力构建体现全面风险管理的内部控制新机制。完善风险管理评估体系主要包括以下几方面:
1.完善风险评价标准的评析。由于风险管理对象的差异,企业应根据实际情况分别建立内部控制风险评价标准、财务风险评价标准等。而风险评价标准要能够对企业业务特征高度概括、对风险要点鲜明清晰、对环境的具体变化具有弹性反映等。
2.完善对风险识别、分析、评价的审核。内部审计人员要依据企业经营战略的筹划和部署,通过对有关单位和部门风险的识别、分析、评价的设计进行检查、评估并提出建议。
3.完善对风险管理措施、方法的评价。在风险管理方针和策略的指导下,风险管理措施有规避、控制与抑制、保留、转移、利用五种,每种措施的使用是有条件的,否则将认为措施不当。
(三)提高内部审计人员的整体素质
企业风险来自各方面,而且不是孤立存在的,这就对审计人员提出了更高的素质要求。
1、内部审计人员要掌握一定的信息技术。内部审计人员面对企业普遍使用的信息技术和日趋复杂的业务环境,要想参与风险管理,提高审计服务的效率和质量,传统的审计技术已经落后。审计处理手段由手工操作发展到信息化审计,更新审计技术成为当务之急。
2、内部审计人员应有创造性的思维模式。风险管理就是人们对不确定因素的认识程度,是对风险管理人员的思维模式的测试和挑战。内部审计人员要成为风险管理的专家,就应有创造性的思维模式。内部审计人员应坚守持续调整、持续改善的理念,以确保内部审计的任务与战略重点、技术与核心程序同利益相关者的期望及风险管理和内部控制的优先性同步成长。
3、内部审计人员要具有良好的交流技巧。早期的内部审计人员根据管理当局查错防弊的意图,以“猎人”的眼光强制而神秘地执行审计程序,详细地检查账目和交易事项,最后将所发现的问题全部向上报告。但随着内部审计范围的拓宽,这种传统的观念就不再合适了。这是因为内部审计要有效地参与风险管理,提供建设性的意见,就要深入调查内部控制和经营管理的现状,找出薄弱环节和经营不善之处,并寻求改进的措施,而这就需要取得被审计部门的理解、参与和合作。
此外,健全内部审计职业化规范、完善内部审计专业化组织、促进内部审计人员专业化等,这些都是非常重要的配套措施。(作者单位:山西财经大学)
参考文献
[1]张玉.后安然时代国际内部审计发展趋势综述[J].审计研究,2005(5).
[2]郭伟昌,刘金凤.企业风险审计模型研究与应用[J].审计研究,2008(6).
篇9
一、企业风险管理的概念
2004年9月,美国COSO委员会在《内部控制整合框架》的基础上扩展形成了《企业风险管理整合框架》(COSO-ERM),为现代化企业风险管理工作提供了一个相对全面的指南。基于COSO框架,企业风险管理主要是由企业中的董事会、管理人员以及其他工作人员在计划方案制定的时候以及在整个企业中实施的、用于识别可能影响组织的潜在事件并根据风险偏好管理风险,为组织目标的实现提供合理保证的过程。
二、内部审计参与企业风险管理的意义
从企业内部管理来看,内部审计是企业风险管理中的关键性组成部分,充分发挥着提升风险管理水平的重任;从内部审计发展进程来看,参与企业风险管理逐渐发展为内部审计工作的专业化发展方向与业务拓展的主战场。此外,内部审计工作作为企业内部有着相对超脱以及独立身份的专业化机构,能以更加全面、深刻和专业的视角仔细观察分析以及评价企业发展期间所面临的多种内部风险因素与外部风险因素。内部审计可以充当现代化企业风险控制管理的最后屏障,发挥安全网的作用。具体来说,内部审计不仅能够凭借监督身份实施独立性企业风险评估,而且还能够凭借服务职能上的优势全面参与到相应的风险管理建设中去,最终实现内部审计工作健康发展以及大胆创新,从根本上提升审计地位。此外,风险管理方面的专业化理论与实践的发展同样可以促进企业内部审计在价值层面的保值增值,创造更大的业务空间以及发展平台,实现内部审计逐渐从传统财务向非财务领域的科学化过渡发展。
三、内部审计参与企业风险管理的途径和方法
(一)协调组织风险管理决策
内部审计在企业中具有的独特组织地位,大多数企业的内部审计分布于各个组织系统和各个基层单位的内部,对企业的业务接触全面,能够在企业企业风险管理以及改进等环节发挥组织协调的作用。其次,内部审计人员跟其他具体的业务职能人员相比,更能避免逆向利益驱动、环境影响、反道德行为等可能导致风险管理失效或不彻底等情况的发生,有助于其发表专业、客观的意见,协助设计和实施企业风险管理。再次,内部审计可以协助企业中的不同部门对各种风险进行不断完善,制定出合理化的处置方案,致力于优化企业的风险应对措施,日益完善风险防范管理方案,从根本上减少由于风险而造成的企业损失。但是,内部审计执行协调角色职能时,应避免承担相应的管理职责,且不能因协调业务而损害其独立性。
(二)提供咨询服务
内部审计针对企业风险管理开展咨询业务的深入程度取决于企业风险管理的成熟度。当企业尚未建立全面风险管理框架时,内部审计应该作为企业风险管理的推动者,将企业风险管理的意识引入到企业文化当中,从而使每个岗位上的员工都形成风险意识。当企业逐步建立全面风险管理框架时,内部审计人员应充分发挥自身具备的全局视野和专业技能,适时根据企业战略目标、经营策略的调整以及自身财务知识结构、所处外部经济环境的变化,不间断地改进和完善企业风险管控的组织结构和业务流程,使之能持续符合企业的风险承受能力,为企业长期发展保驾护航。此外,需要引起注意的是,当内部审计机构开展咨询服务工作的时候,必须要充分考虑自身的专业化胜任能力。具体来说,内部审计的相关工作人员必须要有着相对较强的风险管理知识以及操作技能,而且应经过专业化培训教育,可以清楚了解风险识别情况、风险评估情况、风险监控情况等。
(三)评价企业风险管理过程
内部审计应从以下几个方面对企业风险管理过程进行评价:一是评价企业风险管理组织结构是否充分、适当和有效,对于其设计和运行存在的缺陷和不足提出针对性改进措施,充分发挥内部审计的咨询职能,使风险管理组织结构更具有合理性。二是在熟悉企业战略目标和经营业务的基础上,针对不同项具体评价其风险识别是否全面,风险等级划分是否合理。
(四)跟踪风险控制活动
从实际操作来说,企业风险管理框架的执行远比框架的设计重要,一个设计完美的管理框架可能因判断错误、执行人的胜任能力和内外部境变化等因素而失去其应有的作用。因此,内部审计人员应当对风险所处环境及其他相关因素开展持续性监测和分析,动态关注企业风险监控体系是否健全及执行效果,也可以通过对内部审计揭示披露风险或问题的处理情况开展后续跟踪检查,检查所实行的控制措施是否及时有效或产生新的风险,并将检查结果及建议提供给企业管理层以便改进风险控制措施。
四、内部审计与企业风险管理结合在企业的应用和实践
根据国资委《中央企业全面风险管理指引》以及《关于2012年中央企业开展全面风险管理工作有关事项的通知》要求,中国铁路总公司及其所属铁路局已经在探索如何将内部审计与企业风险管理进行有益的结合,并针对高风险领域及管理层关注的问题开展了一系列专项审计和调查,提高了内审的效率和效果,也证明了与企业风险管理的整合是内部审计发展的主要方向之一。例如,中国铁路总公司对铁路基建项目建设情况进行跟踪审计,就工程的立项、预算、招标、合同、实施、验工计价、验收、竣算、付款等各环节进行审计,对发现的问题及时提出管理建议并协助整改,保证了工程项目优质高效快速的建成;南昌铁路局内部审计部门根据与企业风险管理战略目标匹配的业务重点,开展了全局非运输企业物资贸易经营风险防控管理情况、职工保障性住房建设资金管理情况等专项审计,为管理层的后续决策提供了依据,促进了企业风险管理的持续改进。这些专项审计和调查对现阶段国有企业内部审计工作的开展无疑有着很好的示范作用,但是铁路企业因其特殊的历史原因和体制问题,长期以来将安全风险管理作为企业风险管理的主要目标,缺乏将战略风险、财务风险、市场风险、运营风险和法律风险整合的全面风险管理体系,还处于风险管理的初级阶段,不够系统和规范。笔者尝试根据企业风险管理流程,设计了风险管理基础审计的一般程序,希望能起到抛砖引玉的作用。
(一)计划阶段
内部审计部门制定年度审计计划时,应对识别出的风险事件评估后进行风险排序,确定审计先后次序。审计计划制定后并非一成不变,当管理层的目标、方针和关注点发生变化时,应对审计计划进行适时调整,重新分配审计资源。其次,在执行审计业务计划的过程中,如果出现内部审计资源不足或审计范围受到限制的情况,内部审计部门负责人应及时向企业管理层报告,以避免无法获取充分、适当的审计证据,导致审计结果出现偏差。
(二)准备阶段
风险管理审计的准备阶段是进行风险管理审计的基础,这一阶段所需进行的准备工作主要包括:了解企业的风险偏好和战略目标、业务层面目标的风险承受度;在审计业务范围内实施初步调查后,确定审计目标和审计领域相关风险、控制程度及可利用的内审资源;审计方法的选择等。
(三)实施阶段
1、根据审计范围选取合适的风险评价标准
内部审计人员在选取风险评价标准时,应考虑该风险评价标准是否符合被审计单位的实际情况;是否涵盖大部分的风险领域;风险特征是否鲜明清晰,对环境的变化是否具有弹性。
2、对审计范围内的风险进行分析和评价
内部审计人员结合企业经营战略制定和部署,采取定量分析与定性分析相结合的方法对风险实施综合性评估。通常情况下,风险评估坐标图属于相对常见的分析方法,属于定性分析法,主要是借助对风险带来影响大小的反映,将此结论与风险可能出现的情况进行密切关联,从根本上为明确业务风险次序提供合理化框架。定量分析方法则可以通过采集足够多的风险样本,利用专业工具和技术建立概率模型量化风险来确定风险评级;再按照初始设定的影响程度和可能性估值,计算风险评分,将评分较高的风险列作主要风险,评分较低的风险列作次要风险,然后对风险进行优先次序的排列。
3、对风险应对措施
进行评价在确定了风险的范围、发生的可能性、可能造成的损失等因素后,是否正确地选择了风险应对策略,最大限度地降风险是内部审计人员的重点关注点。风险应对策略一般来说有规避、控制、转移、承受四种,每种策略的使用是有条件的,否则将认为措施不当。内部审计人员应结合被审计单位的风险偏好、企业所处的环境特征、风险程度以及企业管理人员的经验等,来判断企业风险应对措施选取是否适当。
4、对风险管理框架进行评价
内部审计部门应在众多单项风险评估的基础上,评价企业风险管理框架的充分性和运行的有效性。包括:评价风险控制体系所具有的有效性特点,也就是说风险控制体系的应用是否可以获得相应的预期效果,最终实现预期的实际控制目标;科学评价风险控制体系是否存在重大差异和缺陷,发现后是否及时进行了纠正或改进。
(四)报告阶段
风险管理审计报告就是内部审计的工作人员针对审计过程中所发现的相应风险水平以及对于组织目标所产生的影响作出的评价结论和控制过程评价报告,除具备内部审计报告的要素外,还应简明易懂、有建设性意见。可以三种形式发表评价结论:一是无保留意见,即经过审计没有发现风险管理体系存在普遍的相对严重的薄弱环节;二是保留意见,也就是审计可以发现风险管理体系当中存在的相关管理漏洞或者是薄弱环节,然而整体上是不至于失效的;三是否定意见,也就是风险管理体系有重大漏洞或严重的薄弱环节,风险管理体系整体上作用很小甚至失效。
(五)审计后续阶段
内部审计部门应对审计结果进行跟踪检查,监督管理层已采取有效措施,确保审计建议能够得到有效落实;或管理层针对审计中发现的问题,决定接受不采取行动所带来的风险。
作者:李萍 单位:南昌铁路局审计处
参考文献:
[1]内部审计在治理、风险和控制中的作用[M].西苑出版社,2008年
篇10
(二)国外风险管理文化的成果
1《.萨班斯法案》。
2002年7月,美国国会通过了《2002年萨班斯———奥克斯利法案》(简称《萨班斯法案》),约束在美上市公司的各种经营行为,从法律层面降低上市公司风险事件的发生。该法案的核心是建立企业内部控制制度,促进企业完善内部控制,加强向公众披露的信息质量和增加透明度,防止出现虚假财务报告,并对公司管理层提出了明确的责任要求。该法案是美国有史以来最为严厉的财务法则,其要求上市公司的首席执行官(CEO)和首席财务官(CFO)对公司财务年报和季报的真实性和完整性提供书面保证,同时加强了对公司欺诈行为和白领犯罪的刑事处罚力度。
2.COSO《内部控制———整合框架》。
1992年,COSO了著名的《内部控制———整合框架》,并于1994年做出局部修正,成为内部控制领域最为权威的文献之一,被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。该框架系统地描述了内部控制的定义、目标、构成要素和有效性评价标准等。经过十多年的应用,其已经成为世界各地普遍认可的一个标准。
3.COSO《企业风险管理———整合框架》。
2004年9月的这份框架,拓展了内部控制的内容,为各国的企业风险管理提供一个统一术语和概念体系的应用指南。它对企业风险管理做了如下定义:企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。
4.澳大利亚—新西兰风险管理标准(AS/NZS4360)。
这是世界上第一个国家风险管理标准,于1995年首次,它给出了一套风险管理标准的语言定义和风险管理的标准过程定义。到目前为止,该标准已被澳大利亚政府和世界上许多上市公司采用,许多澳大利亚和新西兰的行业协会依此并结合自己的行业特性,编制了本行业的风险管理标准。
二、国内企业风险管理文化的发展
(一)我国风险管理的发展
我国关于风险管理的研究始于1980年代。一些学者将风险管理和安全系统工程理论引入国内,在少数企业试用中感觉比较满意。由于国内大部分企业缺乏对风险管理的认识,也没有建立专门的风险管理机构,风险管理活动往往是暂时的或者间断性的,缺乏对风险的定期复核和再评估。
(二)我国风险管理文化的成果
1《企业内部控制基本规范》。
为加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,根据国家有关法律法规,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。该规范共7章50条,在立足我国国情的基础上,确立了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证的内部控制框架。最重要的是,它开创性地建立了以企业为主体、以政府监督为促进、以中介机构审计为重要组成部分的内部控制实施机制。《规范》的实施,有效解决了政出多门、要求不一、企业无所适从的问题,有利于提高企业内部控制监管效率、降低监管成本,有利于优化企业管理和增强企业竞争实力,有利于保障经济安全、维护资本市场稳定。
2《中央企业全面风险管理指引》。
为指导企业进行全面风险管理,国务院国有资产管理委员会借鉴发达国家企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法,以及国内有关内部控制机制建设方面的规定,于2006年6月颁布了《中央企业全面风险管理指引》。《指引》)共分为10章70条,对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述,明确了全面风险管理的定义是:企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。确定了全面风险管理需实现的总体目标:一是确保将风险控制在与总体目标相适应并可承受的范围内;二是确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通;三是确保企业遵守有关法律法规;四是确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,降低实现经营目标的不确定性;五是确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。《指引》还提供了4种风险管理的常用技术和方法,使《指引》更具有操作和实用性。
篇11
提高企业财务风险管理有效性的建议
企业风险,特别是企业财务风险的存在,会对企业的生存与发展产生不利影响,制约企业长远战略目标的实现。企业应该秉着“防患于未然”态度,积极面对各种财务风险,采取有效的管理手段,降低这些财务风险对企业的冲击,达到通过财务风险管理来应对企业风险的目标。通过提高财务风险识别与防范的意识,建立财务风险预警机制,提高风险管理审计的有效性等措施,提高企业财务风险管理的有效性。
(一)提高财务风险识别与防范的意识
由于财务风险性质与产生作用所需要的时空积累,并非所有的财务风险都会给企业带来致命性的冲击。一些财务风险在萌芽期可能对企业来说是微乎其微,这就会出现认识的误区,从而对这些财务风险采取回避、放任的态度,等意识到财务风险的不利影响时,往往为时已晚。企业应在内部控制、内部审计准则的指引下,进行风险意识教育,在企业投资决策、融资决策、经营决策、分配决策等基本财务过程中,权衡收益与风险的关系,选择最优的决策,提高财务风险防范与识别意识,正确识别和防范企业面临的各种财务风险。
(二)构建有效的财务风险预警机制
财务风险管理处于企业风险管理的核心地位,即使是非财务风险,也会以财务数据的形式有所体现,也就是非财务信息的财务化。建立企业财务风险预警机制,对于企业财务风险管理与非财务风险管理都有着深刻的意义。企业应结合自身情况,以财务管理的内容和重点为依据,选择诸如资产负债率、资产收益率、债务现金保障率、存货周转率、应收现金周转率等基本财务指标,对具体比率赋予合适的权重,建立一整财务预警机制,参考行业标准,结合企业纵向、横向业绩水平,通过具体的财务数据的对比,来衡量财务绩效,进而识别、评估和处理存在的各种财务风险与非财务风险,及时发现并处理风险,最大程度降低企业的风险损失。
篇12
一、我国企业风险管理存在的问题分析
1.风险管理意识淡薄。除金融保险企业以外,多数企业缺乏风险管理观念,很多企业还停留在计划经济条件下卖方市场的水平上,或者说没有形成风险意识,更缺乏有效的识别、评估和应对风险的机制,导致不少上市公司应变能力和抗风险能力较差。企业中多数管理者对风险管理的意识还很淡薄,很少分析甚至不分析可能导致风险出现的因素,也没有建立行之有效的风险管理机制。2.内部控制与风险管理没有有效结合。风险管理与内部控制有内在的联系,健全内部控制是实施全面风险管理的前提。企业只有从加强内部控制做起,通过风险意识的提高,尤其是提高企业中处于关键地位的中、高层管理人员的风险意识,才能使企业安全运行。然而,虽然一部分企业已经认识到内部控制与风险管理结合的重要性,但企业目前仍将风险管理与内部控制在企业运营和管理中隔离开来,企业内部控制不能涵盖企业面临的所有风险,针对风险设置的控制目标的细化程度仍然很低。企业风险管理与内部控制脱离,没能实现融合和跨越。3.不了解风险管理方法论,风险管理框架缺失。我国企业进行风险管理实践的时间和历史很短,而且主要停留在运营风险管理的层面,企业全面风险管理还没有成为企业普遍关注的重点。一个有效的风险管理机制应该能够对于企业所有的预期情况进行评估和处理,能够突破企业所面临的风险和组织之间的界限,能够对所有潜在的重大风险进行预计并制定相应的解决方案。但目前多数企业不了解如何进行风险管理,对风险管理方法认识不足,并且企业风险管理工作的实施缺乏有效的风险管理框架作为指导和参考。4.缺乏有效的风险管理监督和评价机制。由于管理体制和管理方式的问题,我国企业风险管理的监督很薄弱,监督评价方法不够先进,不能起到应有的作用。由于目前没有通用的风险管理评价方法,内部稽查中风险管理有效性的评价方式过于简单。传统的评价方法是以定性分析为主的,分析过程较复杂,且很大程度上依赖于评审人员的主观判断,主观性较强,缺乏客观具体的可操作性标准,导致风险管理评价缺乏科学性、规范性和可操作性,进而增加了评价工作的实施难度、资源投入的主观随意性、结论不可靠性。此外,内部审计监督部门普遍缺乏独立性和权威性,内部审计人员的胜任能力不足、缺乏主动性和能动性,内部审计制度不健全,业务不规范,作用未能充分发挥,致使内部审计部门形同虚设。此外,企业组织机构设置不合理、内部控制和风险管理没有和信息系统相结合、缺乏人才和知识积累等因素也在一定程度上影响了企业全面风险管理的实施。
二、企业风险智能管理框架的构建
通过实施有效的风险管理框架,将能够使企业在多变的内外部环境中保持企业发展的可持续性,不断增加企业价值,推动企业战略的实现。实施企业风险智能管理框架的主要贡献为:增强对风险和控制的了解;提高评级机构认知;提高公司盈利质量;提高对股东的信息透明度;提高监管认知;降低风险事件产生的损失;提高公司社会声誉;提高风险调整回报率;增加董事会和风险委员会的风险管理信心;降低经济资本要求;有效识别增值业务;减少风险项目的保费等等。企业风险智能管理框架要确保能识别并评估关键风险点并有效加以应对,例如:战略风险、财务风险、多元化投资风险、政策风险、融资风险、工程项目管理风险、营运安全风险等。有效实施风险智能管理框架的企业可以被称为风险智能型企业。1.企业变革。企业要在新的企业风险管理环境下使风险管理框架高效运行,首先要从企业管理、人员、流程、科技四个方面进行改进和变革,为实施风险管理框架提供基础支撑。1.1管理变革。企业董事会或经营层应就风险管理的目标设定以及风险管理的基本方法进行明确,对业务管理机构进行重构,例如:设立风险管理部门、专职法务部门或法务专员、设立资金管理中心、设立运营安全管理部门、设立投资战略部门,保证内部审计部门的独立性等。同时对管理流程进行梳理优化,明确不同级别管理层的职责权限,最后由内部审计部门加以监督,由人力资源部门综合考核,形成一个有效、闭环的管理体系,这样就能保证各项业务可以得到自动化的有效管理。1.2人员变革。风险智能管理并不仅仅是指设立一个风险管理机构,而是要改变企业所有员工观察和管理风险的方式。企业应当在各部门各单位设立风险管理专员,并在适当的时机对各级管理层和风险管理专员提供有关风险管理技巧和风险管理意识的岗位培训,提高每名管理者的风险应对能力,形成良好的风险管理氛围。1.3流程再造。企业风险管理框架和控制流程体系的重建,对于正确识别、分析和应对风险的相互依赖和整体风险的管理是至关重要的。风险智能管理的方法之一是基于原有的内部控制体系基础,在风险管理流程之间建立通用性和关联性,使风险智能管理贯穿于各层级的计划、管理和运营决策流程之中,以确保风险智能化计划和管理的有效实行,使其成为每个员工日常工作的一部分。1.4科技变革。随着新科技的不断发展,各种信息化工具不断变化并迅速发展。科技可以起到杠杆作用,未识别、测量、报告和监控风险提供共同的平台。企业通过建立风险预警管理信息系统,与业务管理系统、资产管理系统、预算管理系统、财务系统建立互联,通过识别分析,实时提供风险预警,并在预警的同时提供风险应对措施建议,提高风险智能化管理水平。2.构建企业风险智能管理体系。2.1设定企业战略目标。首先公司要对内外部环境进行有效分析,选择并确定符合企业实际的战略目标,并对战略目标进行分解,将风险管理理念融入公司经营管理,利用风险智能管理程序有效配置资源,并明确各主体的业务目标和风险管理目标,从而使风险管理融入公司战略体系的方方面面。2.2明确风险管理理念。风险管理理念是指企业利用通用的风险管理语言,对识别、分析和管理风险的统一的信念和态度。风险管理理念应当延伸到企业经营管理活动的全范围、全过程,它可以通过各种表述方式形成企业的风险文化,使企业各级管理者在做任何决策或管理活动时都能够考虑风险,并使全员在风险管理的价值观上保持趋同。2.3构建风险管理职责体系。构建企业全面风险管理的组织机构并明确风险管理职责,是实施风险管理的根本保证。风险管理组织机构从上而下应由董事会及其下设风险管理委员会和审核委员会、经营层、风险部门及人员、业务部门及其风险专员和企业员工构成,从而形成有效的风险管理防线。同时,公司应明确界定各级机构在风险管理中的职责权限,并通过提升风险管理人员的风险意识,提高风险管理技能,确保各级人员在风险管理过程中有良好的履职能力。2.4构建风险智能管理策略框架。风险管理策略框架是风险智能管理的核心内容。企业应根据内外部环境,围绕企业制定的战略目标,确定风险偏好、风险承受度、风险容量和风险容限,明确风险智能管理有效性的标准,有效配置风险管理所需的人、财、物等资源,制定风险管理手册,并将风险管理策略框架应用于企业各个领域的风险管理指导方针之中。企业应从整个主体范围或组合的角度,从不同的视角,利用大数据、风险度量模型、定性分析等评估技术,评估风险的可能性、影响程度以及风险之间的潜在关系,有针对性地选择风险承受、回避、分担、降低等应对方式,与企业内部控制体系的建立和实施有机结合,通过有效的风险控制活动和沟通报告机制,将企业的剩余风险控制在可接受的范围内。企业风险智能管理策略能够成为企业的核心竞争力之一,最终为企业战略目标的实现保驾护航。2.5构建风险智能管理信息系统。为了实现风险管理智能,企业需要要优化整个信息流程,风险智能管理信息系统是指利用信息技术,对与企业相关的内外部风险信息进行收集、整理、分析、处理、预警并提出应对策略的一个实时、动态的管理体系。它应当由三个模块组成,即:风险信息的收集加工模块,主要由风险管理系统识别或由风险管理专员收集和录入;风险分析和预警模块主要由风险管理部门在风险管理系统的分析基础上做出预警;风险应对决策和实施模块由风险管理系统提供的风险应对建议,由风险管理部门提出风险应对方案,提交管理层落实风险应对责任,并指定专人监督。在风险信息系统的设计与实施过程中,应充分把握系统之间的分工与协调,因为它是一个有机的整体,各部分的衔接至关重要。2.6持续风险监控与评价。如上文所述,企业风险管理随着时间的变化而改变,它是一个持续的、动态的管理活动,这也要求风险的监控与评价必须是持续开展的,企业各管理层级、各个业务部门都应开展风险持续监控,同时风险管理或审计部门还应定期开展风险管理评价。风险监控和评价发现的重要缺陷应及时向管理层和上级部门报告,重大缺陷还应向公司董事会及其风险管理委员会、审计委员会报告。通过监控与评价,能够有效保证企业风险职能管理框架的设计和运行有效性,能够提升全员的风险管理能力,从而使公司风险水平实现持续改进。
三、企业风险智能管理框架实施建议
1.正确认识企业内部控制与风险管理的关系。企业内部控制的风险观就是由全员参与的、对与人、与活动及与环境有关的全面风险进行控制,是整合传统内部控制和现代风险管理为一体的过程。内部控制发展方向就是企业风险管理,其实质就是企业风险控制的管理。现代企业风险管理系统,是以风险识别和应对为核心,以内外部环境为风险管理的范围,以企业风险管理文化为灵魂,以控制活动为手段,全员、全范围、全过程的风险控制系统。企业内部控制逐渐呈现向风险管理发展和一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制,从而实现内部控制向风险管理的跨越。2.完善考核和激励机制。为确保经营的效率效果,企业必须将风险智能管理框架的建立实施情况纳入企业的综合考核激励体系。一个完善的指标考核体系需要根据企业的整体战略和风险管理目标的要求等因素确定。此外,通过明确企业管理者的责、权、利,通过利用风险管理评价结果,与业绩考核相挂钩,建立起责权相关的激励制度。按照员工的岗位职责及工作目标,进行定期考核评估,总结工作成效,及时发现问题并予以改正。评估和认定结果与奖金、调薪、升职挂钩。通过绩效考核机制将企业的目标与个人工作目标有机地结合起来,从而推动企业战略目标的实现。
参考文献:
[1]美国COSO制定.企业风险管理——整合框架[M].方红星,王宏译.大连:东北财经大学出版社,2005.
篇13
(二)风险管理的内容简述
1.风险管理的含义
企业的风险管理是指全面分析企业各个经营过程中的风险,通过对风险的识别、衡量、分析,并在此基础上采用相应手段对风险进行有效处置,以最低成本实现最大安全保障的一种科学管理方法。
2.国外风险管理的发展阶段
在国际上,随着对风险管理的理解和认识不断深化,风险管理理论也在不断发展和完善,主要经历了三个发展阶段:风险管理萌芽阶段、风险管理发展阶段、全面风险管理阶段。
(1)风险管理萌芽阶段(20世纪30年代至60年代)也被称为安全生产阶段。早在20世纪50年代,法国古典管理理论学家亨利法约尔就已经认识到风险管理的重要性,他将工业活动分为六项,其中就包括:⑴技术活动(生产、制造、加工);⑵商业活动(购买、销售、交换);⑶财务活动(筹集和最适当地利用资本);⑷安全活动(保护财产和人员);(5)会计活动(财产清点、资产负债表、成本、统计等);⑹管理活动(计划组织、指挥、协调和控制)等内容,可以说是企业风险管理的雏形。伴随着工业革命的蓬勃发展,在20世纪60年代,企业风险管理的方法进一步增加,很多学者开始专门研究风险管理的方法,越来越多的企业,尤其是保险行业,已经将风险管理作为企业的一项重要工作。
(2)风险管理的发展阶段(20世纪70年代至90年代)也叫结构优化阶段。随着风险管理在欧洲、亚洲等众多国家和地区的广泛传播,风险管理工作也从保险行业扩展至更多的企业,风险管理逐步的规范化、标准化和程序化,风险管理手段也开始变得多样化,并且通过加入管理学知识和工具,如运筹学、计量经济学、统计学等内容,使得风险管理的手段不断增加,领域不断扩大。但在这段时期,大部分企业在风险管理方面仍然没有形成完整的理论体系和成熟的管理方法。
(3)全面风险管理阶段(21世纪初至今)。随着2001年美国安然公司倒闭、2002年世通公司财务舞弊案等事件发生后,全面风险管理开始得到各国政府和企业的全方位的普遍重视。西方学术界开始注重企业“全面风险管理”理论整体化、系统化的研究工作。这一时期,众多规范性和标准文件如:《萨班斯法案》、风险管理标准(AS/NZS4360)、COSO-ERM标准和《巴塞尔协议Ⅱ》等纷纷出台,使现代风险理念从最初的简单风险管理发展到“全面风险管理”的高级阶段。
3.我国的风险管理概论
在我国,风险管理理论发展相对滞后,有相当一部分企业普遍存在风险管理意识不足,缺乏风险策略,风险管理较为被动等问题,为了从根本上提高企业风险管理水平,2006年6月,国务院国有资产监督管理委员会出台了《中央企业全面风险管理指引》(国资发改革[2006]108号)(以下简称《指引》),文件中对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化以及风险管理信息系统等方面进行了详细的阐述。《指引》的出台,使得我国国有企业对于全面风险管理有了更加系统全面的认识,能够帮助企业尽快建立全面风险管理体系,并且通过指引提供的风险管理的常用技术和方法,使全面风险管理工作具备更强的可操作性和实用性。
4.企业风险管理的意义
由于企业风险存在极大的不确定性,因此如何避免或降低发生风险的概率,减小由此给企业带来的损失对于企业来说具有重要意义。
(1)企业风险管理有利于实现企业的战略发展和经营目标。要想企业能够长期稳步发展,必须在增强高层的战略驾驭能力的同时,保证既能持续地监控、分析和反馈内外环境变化,提前示警;同时培养企业快速反应的能力,保证在需要做出反应时,能及时、有效地应变。
(2)有利于提高企业业务处理的工作效率。风险管理控制系统要求企业各个职能部门的工作能够相互协调和制约,通过业务处理的授权,使企业各职能部门明确工作范围和职权,使各个职能部门能够各司其职,各负其责,从而提高工作效率。
(3)形成风险管理信息收集、分析、报告系统,为有效监控风险和应对风险提供依据。通过建立风险管理信息系统,能够及时有效的监控企业的经营及管理情况,做到对风险的及时预警,并且为领导的决策提供有力的数据支持。
(4)避免企业重大损失,支持企业正常有序的运行。通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,能够第一时间发现风险,进而及时应对,避免或解决风险,从而为实现企业的正常有序发展服务。
(5)标本兼治,从根本上提高企业风险管理水平。全面风险管理体系的建立,能够在根本上提高企业自我运行、自我完善、自我提升的风险管理水平,形成风险管理的长效管理机制。