時間:2023-09-28 15:27:32
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇企業風險管理的特征,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
對一個持續經營的企業而言,常見的企業風險包括:戰略風險、經營風險、財務風險、信息風險、環境與法律風險。從風險產生的特點看:有宏觀的、微觀的;有自然的、人為的;有政治的、經濟的;有戰略的、市場的、財務的、運營的、法律的等方面。在企業風險管理的目標中,面對風險的出現,各管理層因利益關系,對全面風險管理的需求和心態各不相同,所關注的重點也各不一樣。科學分析其中的差異,承認這些現象的合理性,科學制定風險管理措施,是降低風險管理成本,全面提升風險管理有效性的重要途徑。企業風險管理的核心,不僅是強化風險管理的意識,而是要激發各管理層進行風險管理的動力,并建立一種機制持續維系這種動力,去解決企業面臨的各種風險問題。企業為規避風險,維護自身利益,推行全面風險管理,并通過制定制度去落實這并不難。難的是在看不到直接風險的時候,去進行風險管理工作;更難的是在日常的風險管理中,去建立風險管理的持續動力機制和風險管理文化。因此有必要在分析風險管理行為、動力體系的基礎上,對建立企業風險管理的持續動力機制這一重要問題進行探討。
一、企業風險管理中各層面需求與行為分析
本文首先從企業的所有者、職業經理人、一般管理人員、普通員工在業務環節中產生的風險程度、避免風險的利益分配、風險責任的大小、風險管理工作的復雜性這幾個方面,探求其一般想法和需求,以及不同的行為特征,去尋找推進風險管理的著力點。
第一,業務環節中產生風險程度的分析。從企業面臨風險的來源看,主要分內部風險和外部風險,從數量上看,內部風險遠大于外部風險。而內部風險中,企業所有者、職業經理人、一般管理人員、普通員工這四個層面中,管理行為偏差所帶來的風險程度是不相同的。控制和防范風險的重點環節首先是在企業上層,它是一些決策、市場經營、重大管理思路帶來的風險。而這些風險是隱形的,往往伴隨著重大風險損失。企業基層環節的風險,一般是管理措施和操作性失誤的風險,相對來說對企業整體影響不大。所以說,企業中所有者、職業經理人、一般管理人員、普通員工行為偏差對應造成的風險大小程度應是由大到小。
第二,規避風險行為的各層利益分配。因為加強了企業風險管理,實現了企業規避風險、減少損失或者獲取更大利益的目標,企業的所有者、職業經理人、一般管理人員、普通員工這四個層面人員的得益也不盡相同,其最終得益分配是從大到小。根據行為動機趨利性的原理,得益不同,其行為動力也不同,所以全面風險管理的主要動力必然源于企業高層。
普通員工層面得益最小,行為動力必然也小。如果把風險管理措施制定得較為復雜,未經細化和簡化地在這層面實施,出現偏差的概率會較高。風險管理措施復雜,必然會帶來管理成本的升高,不符合企業管理中以最小的投入獲取最大效益的原則。因此,風險管理措施必須以較簡單的操作方式,在普通員工層面完成,才會有較好的效果。
第三,風險責任在企業各層中的分配。如表1所示,職業經理人是控制風險管理措施的關鍵環節,一般管理人員是避免風險造成具體利益損失的關鍵環節。各個管理層所承擔的風險管理責任是不相同的,他們在企業加強風險管理的工作目標下,根據自身責任的情況來規避風險,進行管理。在追究因風險管理工作不力而造成損失的責任中,企業各層次承擔的責任是不一樣的。企業日常大量的經營行為決策是由職業經理人決定,所以在承擔風險管理責任時,理論上職業經理人的責任應該更大。但是,很多風險管理責任的出現,是由某些管理的具體行為所引發,某些管理行為就成為產生風險責任的載體。因此,職業經理人就可借此分攤風險責任,這樣職業經理人盡管承擔著較大的風險管理責任,但其直接經濟責任相對減輕。于此同時,一般管理人員和直接造成風險責任的崗位員工就相應承擔較大的經濟責任。
第四,風險管理工作的復雜性在各管理層的分配。從風險管理工作具體落實的復雜性而言,在各管理層的分配也是不相同的(見表2)。從表2可以看出,企業風險管理工作量最大、工作復雜性最高的是在一般管理人員這個層面。他們是企業全面風險管理工作的支撐點,也是整個工作是否有成效的關鍵。
所以,從業務環節產生風險程度、避免風險的得益分配、風險責任的大小、風險管理工作的復雜性這幾個方面看,要抓好企業的全面風險管理,所有者是由企業的自身利益機制制約形成動力,而職業經理人和一般管理人員從職責上劃分是決定整個風險管理的核心層面,風險評估這一核心環節也是在這一層面中實現,風險規避的各種措施同樣也是由這一層面組織貫徹落實。
二、企業風險管理動力體系
從企業風險管理的行為特點可以看到,在風險管理的不同層面存在著各種不同的利益和管理需求。從風險管理的動力來源看,其同樣存在著各種不同的推動形式和組合。
風險管理內在動力主要是來源于企業的利益需求、責任落實、行為習慣等,其利益、責任的大小及習慣特征也就影響著整個風險管理的不同組合類型,會在風險管理中形成利益驅動型、責任驅動型、習慣驅動型、混合驅動型等作用力大小不等的風險管理方式。因此,也就自然形成企業風險管理中的千姿百態,如圖1所示。
充分認識風險管理的行為特點、動力機制,我們就能更好地抓住風險管理的中心環節。根據每個企業所處的行業特征,掌握企業內部風險管理的主要矛盾,風險管理的動力及其程度,風險管理的措施就會有的放矢,高效低成本地推進風險管理工作就有了堅實的基礎。
三、企業風險管理文化與持續動力機制的建立
通過一些活動和措施使企業避免一些可見損失的發生,企業是非常愿意去完成的。但對于一些長期的、需一定成本的全面風險管理工作,未必每個企業都愿意長期、認真的去做,特別是一些未曾遭遇過重大風險事件的或只是在已見風險時才去做的企業,這都是很正常的。進行全面風險管理,使企業健康、穩定、持續地發展,就必須要有企業風險管理文化的支撐。
第一,促進企業風險管理文化形成。企業不可能通過經受風險的重大傷害去認識風險,并去建立風險管理文化,因為有一些企業可能在一次風險的經歷中已經消亡。當企業或個人的利益受到風險的重大傷害,那么其對風險影響的認識必然會十分深刻。通過制度來管理和認識風險雖然有效,但是由于處于被動的狀態,容易不斷被淡化。筆者認為,促進企業風險管理文化建立,要以風險管理制度建設為基礎,以小風險或剩余風險損失案例教育為思想動力,不斷強化風險意識。要基于管理人員的類型、習慣,對風險的認識和行為偏好、利益關系、獎懲制度、工作能力等多因素的基礎上,以企業發展目標為主導,調和各種動力和因素,形成風險管理思維和工作習慣,去實現企業風險管理文化的建立。有效的企業風險管理需要風險管理文化的支撐,因為人們都有規避風險的意識,但在利益追求中卻很容易產生低估風險、淡忘風險的傾向。所以企業風險管理文化的形成是有一定困難的,不可能一蹴而就,企業風險管理文化的形成需要一個過程和一些經歷。
第二,企業風險管理持續動力機制的建立。當企業通過努力形成風險管理文化后,風險對企業的傷害必然會大力減少,人們對風險危害的意識也會逐步弱化,這就需要企業去建立起全面風險管理的持續動力機制。在前文分析企業風險管理動力體系的基礎上,從管理原理去分析,全面風險管理的持續動力機制必須保持對企業風險管理工作的不斷刺激,使全面風險管理為企業規避風險帶來新的、現實的和潛在的價值。另外,全面風險管理的持續動力機制能從制度和利益的角度約束企業員工按照企業全面風險管理的要求,不斷循環檢查、調整工作去適應變化,規避風險。因此,可以按上述二個方面的要求,去建立全面風險管理的持續動力機制。根據對風險管理的研究,結合企業的實際情況,提出一個管理循環體系。
圖2來實現全面風險管理持續動力機制的目標。
要建立一個有效的全面風險管理持續動力機制管理循環系統。首先要充分利用企業本身的內部控制監督成果,就是利用審計結果及審計發現,去貼近企業管理中已存在的風險問題。將工作計劃、審計結果、經營環境分析三者結合起來,作為風險評估的工作前提,就能直接發現和處理風險問題,提高效率,降低管理成本。讓企業更直接看到風險管理的作用和效果,全面提高推進風險管理工作的動力和積極性。其次,要對企業因風險所造成的損失,分清是固有風險損失還是人為風險損失。對人為的風險損失,要制定企業風險損失責任追究懲戒辦法。要引導員工學習風險管理知識和技能,學習規避風險的方法,并通過企業內、外部風險損失案例的教育培訓,不斷促進全員風險意識的強化,形成全面風險管理強有力的環境壓力勢態和個人利益約束機制,保證全面風險管理工作在整個企業能有效推進,規避發展中的風險,服務于企業的長期效益。通過分析,可充分認識到企業風險管理中,管理人員的一般行為規律、風險管理的動力體系,因此,筆者認為應以風險管理制度為基礎,以剩余風險損失循環教育作為思想動力,以風險損失責任追究制度為保障,尋找風險管理中企業和人的利益、責任、行為習慣對風險管理的推動作用和合力點,去形成企業風險管理文化中的壓力和動力。
綜上所述,將上述各種因素聯系起來,形成一個循環管理系統。在不斷保持風險管理方式的動態變化下,對原有動力系統按新的環節進行改造,進行新的平衡設計,使企業內部產生風險管理的持續的動力機制。
參考文獻:
關鍵詞:企業風險管理;經濟資本;風險管理要素;可持續風險管理
Abstract:Since COSO issued“Enterprise Risk Management-Integrated Framework”,COSO-ERM framework has become the standard of enterprise risk management,but as some financial institutions broke in the Subprime Crisis,the effectiveness of the enterprise risk management was suspected. Today in the post-crisis era,developing new analytical framework of enterprise risk management becomes an inevitable claim. In the new analysis framework,the objective of enterprise risk management is shifted from the company(shareholders)to maximize the interests to maximize the interests of corporate stakeholders,and the contents of enterprise risk management are shifted from the COSO eight elements to the economic capital,risk management elements,structured financial instruments and risk management for the pillars of sustainable comprehensive risk management.
Key Words:enterprise risk management,economic capital,risk management elements,sustainability risk management
中圖分類號:F830 文獻標識碼:A 文章編號:1674-2265(2012)06-0009-05
風險管理理論已有五十年的發展歷史,已成為指導企業經營管理不可或缺的重要思想。2004年COSO頒布《企業風險管理——整合框架》后,COSO—ERM框架很快成為風險管理的核心標準,企業風險管理首次擁有了一個系統的分析框架。但是,發生于2007年的次貸危機,動搖了人們對COSO框架的信心,風險管理該如何實施成為后危機時代風險管理理論必須回答的問題。王穩(2010)提出了一個新的企業風險管理分析框架,以經濟資本、風險管理要素、結構性金融工具和可持續風險管理作為企業風險管理的核心內容,為后危機時代的風險管理提供了一個可參考的框架思路。本文在這個分析框架的基礎上,系統梳理了已有文獻對風險管理框架和內容的論述。
一、企業風險管理分析框架的演進
在市場經濟體制下,企業按照現代企業制度的機制運行,具有產權明晰、自主經營、自負盈虧、自我發展的自,完全具備了作為市場主體角色的資格。同時,企業所面臨的內外部各種風險以不同于以往的方式和程度影響著企業目標的實現,從而使風險管理成為企業管理不可缺的一個方面。
(一)現代企業風險的特征
1、非預期性。相對于計劃經濟體制下的企業而言,現代企業風險更多地來自企業外部,而產生外部風險的各種因素均是企業不可控的,其發生與否以及何時發生,企業事先不得而知。對企業內部風險, 由于外部風險波及,其不可預期性也有不同程度的加大。
2、非可控性。如上所述,企業風險多由外部不可控制的環境因素產生,并波及至企業內部。對企業風險的防范,從根本上來說主要是先從外部風險做起,在有效降低外部風險影響程度的基礎上,減少其再向企業內部的波及的范圍和程度。
3、綜合作用。現代企業面對不僅有內部因素,更有外部環境因素影響;不僅有國內的;也包括國際的;在現代企業風險管理體系中,公司治理從企業整體角度理順關系,內部控制程序則從執行層面對企業風險的防范發揮作用。內部審計作為內部控制的重要組成部分,與風險管理密不可分,其在風險管理中發揮著不可替代的獨特作用。
二、內部控制與風險管理的聯系日趨緊密
在決定內部控制政策,并在此基礎上評估特定環境中內部控制的構成時,企業決策層應對諸多風險管理問題進行深入思考。比如:公司面臨風險的性質和程度;公司可承受風險的程度和類型;風險發生的時間及可能性;公司自身防范風險的能力;實施風險管理的成本,以及從相關風險中可能獲取的利益等。
管理層在執行企業風險控制政策過程中,應準確確認、評價公司所面臨的風險,并執行決策層所設計的內部控制政策,對企業風險進行有效的管理。
三、內部審計理論的新發展
審計理論和方法在經歷了詳細檢查、從詳細檢查轉為初步抽樣、以及測試內部控制并廣泛采用抽樣進行審計的三個發展階段后,目前已發展到了以測試評價企業風險為主要方法的風險導向審計階段。為順應內部審計理論及實務的變化,國際內部審計師協會(IIA)在1999年對內部審計重新定義為:內部審計是用來增加組織價值和改善組織運營的獨立、客觀的保證和咨詢活動。它以系統專業的方法對風險管理、控制及治理過程的有效性進行評價和改善,幫助組織實現其目標。
這一新定義又將內部審計的范圍延伸到風險管理和公司治理層面,認為內部審計是針對風險管理,控制及治理過程的有效性進行評價和改善所必需的。
四、內部審計的主要職責就是風險管理
隨著風險導向審計時代的來臨,內部審計的工作重點也發生了變化。現代內部審計除了關注傳統的內部控制外,更加關注有效的風險管理機制設計的合理性及其運行的有效性。在風險導向審計觀念下,年度審計計劃與公司決策層風險戰略連接在一起。內部審計人員通過對當前風險的分析確保其審計計劃與經營計劃相一致,并使風險管理貫穿于審計計劃執行的全過程。在風險導向審計觀念中,內部審計的工作重點不僅是測試控制,而且包括確認風險以及測試管理風險的方法;控制仍然重要,但分析、確認、揭示關鍵性的經營風險等相關風險,才是內部審計的焦點。
五、內部審計在風險管理中的作用
內部審計在企業內部控制體系中處于獨特的位置,有著其他內部控制組成部分所不具有的不可替代的獨特的風險管理作用。
(一)能夠以獨立、客觀的姿態,從企業全局角度對風險進行管理。
風險在企業內部所具有的感染性,傳遞性和不對稱性等特征,即一個部門所造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔,而是沿著相關工作程序傳遞給其他部門,最終可能會使整個企業陷入困境。因此對風險的確認、防范和控制需要從全局角度考慮,而其他的業務部門較內部審計部門而言,很難做到這一點。內部審計人員不從事企業具體的業務活動,相對獨立于相關業務活動和業務部門,而且直接隸屬于企業高層管轄,這就使得他們可以從全局角度出發,以某種超然的姿態對企業風險進行客觀地認別確認和評價,及時便捷地向企業高層匯報有關情況,便于企業從全局高度對風險進行有效管理。
(二)控制、指導企業的風險策略。
由于企業內部審計部門處于企業決策層和執行層之間,內部審計人員充當了企業長期風險策略與各種決策控制的協調人角色。通過對長期規劃與短期計劃的協調,以及對實際執行缺陷和成功經驗的互動反饋,內部人員可以起到調控、指導企業風險管理策略的作用,使企業風險管理體系以良性循環的態勢不斷完善和發展。
「關鍵詞企業風險風險管理風險管理審計由于各種不確定性因素,企業面臨著各種風險,能否對風險進行有效的管理和控制,是企業能否生存發展、實現企業預期目標的關鍵。企業風險管理的有效性在一定程度上取決于企業對風險管理工作的監督和評價。因此,無論是國際內部審計師協會對內部審計的定義,還是我國的內部審計準則都強調了內部審計在企業風險管理中的重要性。我國從2005年5月1日起施行的內部審計具體準則第16號———《風險管理審計》中更是強調了內部審計人員對風險管理進行審查和評價的職責。
一、企業風險及風險管理的內涵進行企業風險管理審計,必須明確企業風險及風險管理的內涵。否則,企業風險管理審計便無從談起。1企業風險的實質首先,風險產生于不確定性因素的存在,如果企業運行的內外環境是確定的,則不存在企業風險。其次,企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說,我們更注重企業的運行結果,對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此,可以認為,企業風險則是企業運行結果偏離期望結果的可能性。筆者認為,企業目標是企業期望達到的一種結果狀態,但由于相關因素的持續不斷的變化,企業目標的實現存在不確定性。因此,企業風險可以描述為企業目標不能得以實現的可能性。2企業風險的劃分企業風險可以按多種標準進行分類。筆者認為,既然將風險定義為企業目標不能得以實現的可能性,那么,企業風險可以按照企業目標的不同層次來理解和劃分,并可將其相應劃分為:(1)企業的戰略風險是指企業戰略目標不能實現的可能性,主要包括:由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險;由于企業的具體戰略選擇失誤而帶來的風險,包括企業經營領域的選擇風險、企業并購風險等。(2)企業日常經營管理風險是指企業具體經營目標不能實現的可能性,又可以劃分為企業經營環節的作業鏈風險,如企業供、產、銷等環節的風險;企業的人事風險,如由于人員任用、授權、業績評價等方面的缺陷帶來的風險;企業的信息風險,如企業信息系統風險等。(3)財務風險。狹義一般是指由于企業籌措資金而形成的風險,并主要是指企業由于舉債而形成的風險,也可稱之為籌資風險。按照本文對風險的定義,即企業目標不能實現的可能性,則企業的財務風險是指企業財務活動目標不能得以實現的可能性,包括籌資風險、資金投放的風險及企業其他財務活動風險,我們可以稱之為廣義的財務風險。3企業風險管理COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程,它由董事會、管理當局和其他人員執行,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在風險容量之內,并為主體目標的實現提供合理保證。”我國內部審計協會2005年的內部審計具體準則16號—《企業風險管理審計》中指出“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”從上述對風險管理的解釋可以看出,企業風險管理的最終目標是為企業目標的實現提供合理的保證。
二、企業風險管理審計的目標對企業風險管理進行監督和評價是現代內部審計發展的結果,企業風險管理審計的目標取決于對企業內部審計的功能定位。從西方企業內部審計的產生和發展過程來看,內部審計是隨著經濟的發展,企業內部管理層次的增多和控制范圍的擴大,基于企業內部經濟管理與監督的需要而產生的,并隨著管理的需要而不斷發展。隨著內部審計的不斷發展,內部審計的目標也在不斷地變化,其中以國際內部審計師協會(IIA)對內部審計所下定義的變化最具有代表性。國際內部審計師協會(IIA)理事會指出內部審計是一種獨立、客觀的保證和咨詢活動,其目的是增加組織的價值和改善組織的經營。我國的內部審計不是在企業內部管理需要的動因下發展起來的,而是在政府的要求下,在國家審計部門的推動下建立起來的。1993年國家審計署成立,為了盡快建立和完善審計體系,補充剛剛復興的國家審計力量的不足,政府和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展,企業內部審計越來越受到各方面的重視,對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出:內部審計是組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。從內部審計的發展過程可以看出,企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于:通過內部審計機構和人員對企業風險管理過程的了解,審查并評價其適當性和有效性,提出改進建議,促進企業目標的實現。
三、企業風險管理審計的內容風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體的風險管理進行審查與評價,也可對職能部門的風險管理進行審查與評價。因此,筆者認為企業風險管理審計應當包括以下方面的內容:
「關鍵詞 企業風險 風險管理 風險管理審計
由于各種不確定性因素,企業面臨著各種風險,能否對風險進行有效的管理和控制,是企業能否生存發展、實現企業預期目標的關鍵。企業風險管理的有效性在一定程度上取決于企業對風險管理工作的監督和評價。因此,無論是國際內部審計師協會對內部審計的定義,還是我國的內部審計準則都強調了內部審計在企業風險管理中的重要性。我國從2005年5月1日起施行的內部審計具體準則第16號———《風險管理審計》中更是強調了內部審計人員對風險管理進行審查和評價的職責。
一、企業風險及風險管理的內涵
進行企業風險管理審計,必須明確企業風險及風險管理的內涵。否則,企業風險管理審計便無從談起。
1 企業風險的實質
首先,風險產生于不確定性因素的存在,如果企業運行的內外環境是確定的,則不存在企業風險。其次,企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說,我們更注重企業的運行結果,對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此,可以認為,企業風險則是企業運行結果偏離期望結果的可能性。筆者認為,企業目標是企業期望達到的一種結果狀態,但由于相關因素的持續不斷的變化,企業目標的實現存在不確定性。因此,企業風險可以描述為企業目標不能得以實現的可能性。
2 企業風險的劃分
企業風險可以按多種標準進行分類。筆者認為,既然將風險定義為企業目標不能得以實現的可能性,那么,企業風險可以按照企業目標的不同層次來理解和劃分,并可將其相應劃分為:
(1)企業的戰略風險是指企業戰略目標不能實現的可能性,主要包括:由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險;由于企業的具體戰略選擇失誤而帶來的風險,包括企業經營領域的選擇風險、企業并購風險等。
(2)企業日常經營管理風險是指企業具體經營目標不能實現的可能性,又可以劃分為企業經營環節的作業鏈風險,如企業供、產、銷等環節的風險;企業的人事風險,如由于人員任用、授權、業績評價等方面的缺陷帶來的風險;企業的信息風險,如企業信息系統風險等。
(3)財務風險。狹義一般是指由于企業籌措資金而形成的風險,并主要是指企業由于舉債而形成的風險,也可稱之為籌資風險。按照本文對風險的定義,即企業目標不能實現的可能性,則企業的財務風險是指企業財務活動目標不能得以實現的可能性,包括籌資風險、資金投放的風險及企業其他財務活動風險,我們可以稱之為廣義的財務風險。
3 企業風險管理
COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程,它由董事會、管理當局和其他人員執行,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在風險容量之內,并為主體目標的實現提供合理保證。”
我國內部審計協會2005年的內部審計具體準則16號—《企業風險管理審計》中指出“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”
從上述對風險管理的解釋可以看出,企業風險管理的最終目標是為企業目標的實現提供合理的保證。
二、企業風險管理審計的目標
對企業風險管理進行監督和評價是現代內部審計發展的結果,企業風險管理審計的目標取決于對企業內部審計的功能定位。
從西方企業內部審計的產生和發展過程來看,內部審計是隨著經濟的發展,企業內部管理層次的增多和控制范圍的擴大,基于企業內部經濟管理與監督的需要而產生的,并隨著管理的需要而不斷發展。隨著內部審計的不斷發展,內部審計的目標也在不斷地變化,其中以國際內部審計師協會(IIA)對內部審計所下定義的變化最具有代表性。國際內部審計師協會(IIA)理事會指出內部審計是一種獨立、客觀的保證和咨詢活動,其目的是增加組織的價值和改善組織的經營。
我國的內部審計不是在企業內部管理需要的動因下發展起來的,而是在政府的要求下,在國家審計部門的推動下建立起來的。1993年國家審計署成立,為了盡快建立和完善審計體系,補充剛剛復興的國家審計力量的不足,政府和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展,企業內部審計越來越受到各方面的重視,對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出:內部審計是組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。
從內部審計的發展過程可以看出,企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于:通過內部審計機構和人員對企業風險管理過程的了解,審查并評價其適當性和有效性,提出改進建議,促進企業目標的實現。
三、企業風險管理審計的內容
風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體的風險管理進行審查與評價,也可對職能部門的風險管理進行審查與評價。因此,筆者認為企業風險管理審計應當包括以下方面的內容:
(一)風險管理機制的審查與評價
企業的風險管理機制是企業進行風險管理的基礎,良好的風險管理機制是企業風險管理是否有效的前提。因此,內部審計部門或人員需要審查以下方面,以確定企業風險管理機制的健全性及有效性。包括:
1 審查風險管理組織機構的健全性。企業必須根據規模大小、管理水平、風險程度以及生產經營的性質等方面的特點,在全體員工參與合作和專業管理相結合的基礎上,建立一個包括風險管理負責人、一般專業管理人、非專業風險管理人和外部的風險管理服務等規范化風險管理的組織體系。該體系應根據風險產生的原因和階段不斷地進行動態調整,并通過健全的制度來明確相互之間的責、權、利,使企業的風險管理體系成為一個有機整體。
2 審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序,以確保風險管理的有效性。
3 審查風險預警系統的存在及有效性。企業進行風險管理的目的是避免風險、減少風險,因此,風險管理的首要工作是建立風險預警系統,即通過對風險進行科學的預測分析,預計可能發生的風險,并提醒有關部門采取有力的措施。企業的風險管理機構和人員應密切注意與本企業相關的各種內外因素的變化發展趨勢,從對因素變化的動態中分析預測企業可能發生的風險,進行風險預警。
(二)風險識別的適當性及有效性審查
風險識別是指對企業面臨的,以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。內部審計人員應當實施必要的審計程序,對風險識別過程進行審查與評價,重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。筆者認為應當包括以下內容:
1 審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析,風險識別是關鍵性的第一步。
2 審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調查研究之后,運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類,并總結出企業面臨的各種風險。風險識別方法所要解決的主要問題是:采取一定的方法分析風險因素、風險的性質以及潛在后果。
需要注意是,風險管理的理論和實務證明沒有任何一種方法的功能是萬能的,進行風險識別方法的適當性審查和評價時,必須注重分析企業風險管理部門是否將各種方法相互融通、相互結合地運用。
(三)風險評估方法的適當性及有效性審查
內部審計人員應當實施必要的審計程序,對風險評估過程進行審查與評價,并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時,內部審計人員應當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。
內部審計人員應當對管理層所采用的風險評估方法進行審查,并重點考慮以下因素:
(1)已識別的風險的特征;
(2)相關歷史數據的充分性與可靠性;
(3)管理層進行風險評估的技術能力;
(4)成本效益的考核與衡量等。
3 審查風險評估方法應當遵循的原則
內部審計人員在評價風險評估方法的適當性和有效性時,應當遵循以下原則:
(1)定性方法的采用需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性;
(2)在風險難以量化、定量評價所需數據難以獲取時,一般應采用定性方法;
(3)定量方法一般情況下會比定性方法提供更為客觀的評估結果。
(四)風險應對措施適當性和有效性審查
內部審計人員應當實施適當的審計程序,對風險應對措施進行審查。
「摘要企業風險管理是一個倍受關注的焦點問題,企業能否在存在各種不確定性因素影響的環境中有序、有效地運轉,在很大程度上取決于企業風險管理的有效性。對企業風險管理的有效性進行審查和評價是現代內部審計的一個嶄新領域,本文在分析了企業風險和風險管理內涵的基礎上,分析了企業風險管理審計的目標及主要內容。
「關鍵詞企業風險風險管理風險管理審計由于各種不確定性因素,企業面臨著各種風險,能否對風險進行有效的管理和控制,是企業能否生存發展、實現企業預期目標的關鍵。企業風險管理的有效性在一定程度上取決于企業對風險管理工作的監督和評價。因此,無論是國際內部審計師協會對內部審計的定義,還是我國的內部審計準則都強調了內部審計在企業風險管理中的重要性。我國從2005年5月1日起施行的內部審計具體準則第16號———《風險管理審計》中更是強調了內部審計人員對風險管理進行審查和評價的職責。一、企業風險及風險管理的內涵進行企業風險管理審計,必須明確企業風險及風險管理的內涵。否則,企業風險管理審計便無從談起。1企業風險的實質首先,風險產生于不確定性因素的存在,如果企業運行的內外環境是確定的,則不存在企業風險。其次,企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說,我們更注重企業的運行結果,對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此,可以認為,企業風險則是企業運行結果偏離期望結果的可能性。筆者認為,企業目標是企業期望達到的一種結果狀態,但由于相關因素的持續不斷的變化,企業目標的實現存在不確定性。因此,企業風險可以描述為企業目標不能得以實現的可能性。2企業風險的劃分企業風險可以按多種標準進行分類。筆者認為,既然將風險定義為企業目標不能得以實現的可能性,那么,企業風險可以按照企業目標的不同層次來理解和劃分,并可將其相應劃分為:(1)企業的戰略風險是指企業戰略目標不能實現的可能性,主要包括:由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險;由于企業的具體戰略選擇失誤而帶來的風險,包括企業經營領域的選擇風險、企業并購風險等。(2)企業日常經營管理風險是指企業具體經營目標不能實現的可能性,又可以劃分為企業經營環節的作業鏈風險,如企業供、產、銷等環節的風險;企業的人事風險,如由于人員任用、授權、業績評價等方面的缺陷帶來的風險;企業的信息風險,如企業信息系統風險等。(3)財務風險。狹義一般是指由于企業籌措資金而形成的風險,并主要是指企業由于舉債而形成的風險,也可稱之為籌資風險。按照本文對風險的定義,即企業目標不能實現的可能性,則企業的財務風險是指企業財務活動目標不能得以實現的可能性,包括籌資風險、資金投放的風險及企業其他財務活動風險,我們可以稱之為廣義的財務風險。3企業風險管理COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程,它由董事會、管理當局和其他人員執行,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在風險容量之內,并為主體目標的實現提供合理保證。”我國內部審計協會2005年的內部審計具體準則16號—《企業風險管理審計》中指出“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”從上述對風險管理的解釋可以看出,企業風險管理的最終目標是為企業目標的實現提供合理的保證。二、企業風險管理審計的目標對企業風險管理進行監督和評價是現代內部審計發展的結果,企業風險管理審計的目標取決于對企業內部審計的功能定位。從西方企業內部審計的產生和發展過程來看,內部審計是隨著經濟的發展,企業內部管理層次的增多和控制范圍的擴大,基于企業內部經濟管理與監督的需要而產生的,并隨著管理的需要而不斷發展。隨著內部審計的不斷發展,內部審計的目標也在不斷地變化,其中以國際內部審計師協會(IIA)對內部審計所下定義的變化最具有代表性。國際內部審計師協會(IIA)理事會指出內部審計是一種獨立、客觀的保證和咨詢活動,其目的是增加組織的價值和改善組織的經營。我國的內部審計不是在企業內部管理需要的動因下發展起來的,而是在政府的要求下,在國家審計部門的推動下建立起來的。1993年國家審計署成立,為了盡快建立和完善審計體系,補充剛剛復興的國家審計力量的不足,政府和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展,企業內部審計越來越受到各方面的重視,對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出:內部審計是組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。從內部審計的發展過程可以看出,企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于:通過內部審計機構和人員對企業風險管理過程的了解,審查并評價其適當性和有效性,提出改進建議,促進企業目標的實現。三、企業風險管理審計的內容風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體的風險管理進行審查與評價,也可對職能部門的風險管理進行審查與評價。因此,筆者認為企業風險管理審計應當包括以下方面的內容:
(一)風險管理機制的審查與評價企業的風險管理機制是企業進行風險管理的基礎,良好的風險管理機制是企業風險管理是否有效的前提。因此,內部審計部門或人員需要審查以下方面,以確定企業風險管理機制的健全性及有效性。包括:1審查風險管理組織機構的健全性。企業必須根據規模大小、管理水平、風險程度以及生產經營的性質等方面的特點,在全體員工參與合作和專業管理相結合的基礎上,建立一個包括風險管理負責人、一般專業管理人、非專業風險管理人和外部的風險管理服務等規范化風險管理的組織體系。該體系應根據風險產生的原因和階段不斷地進行動態調整,并通過健全的制度來明確相互之間的責、權、利,使企業的風險管理體系成為一個有機整體。
2審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序,以確保風險管理的有效性。3審查風險預警系統的存在及有效性。企業進行風險管理的目的是避免風險、減少風險,因此,風險管理的首要工作是建立風險預警系統,即通過對風險進行科學的預測分析,預計可能發生的風險,并提醒有關部門采取有力的措施。企業的風險管理機構和人員應密切注意與本企業相關的各種內外因素的變化發展趨勢,從對因素變化的動態中分析預測企業可能發生的風險,進行風險預警。(二)風險識別的適當性及有效性審查風險識別是指對企業面臨的,以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。內部審計人員應當實施必要的審計程序,對風險識別過程進行審查與評價,重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。筆者認為應當包括以下內容:1審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析,風險識別是關鍵性的第一步。2審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調查研究之后,運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類,并總結出企業面臨的各種風險。風險識別方法所要解決的主要問題是:采取一定的方法分析風險因素、風險的性質以及潛在后果。需要注意是,風險管理的理論和實務證明沒有任何一種方法的功能是萬能的,進行風險識別方法的適當性審查和評價時,必須注重分析企業風險管理部門是否將各種方法相互融通、相互結合地運用。(三)風險評估方法的適當性及有效性審查內部審計人員應當實施必要的審計程序,對風險評估過程進行審查與評價,并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時,內部審計人員應當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。內部審計人員應當對管理層所采用的風險評估方法進行審查,并重點考慮以下因素:(1)已識別的風險的特征;(2)相關歷史數據的充分性與可靠性;(3)管理層進行風險評估的技術能力;(4)成本效益的考核與衡量等。3審查風險評估方法應當遵循的原則內部審計人員在評價風險評估方法的適當性和有效性時,應當遵循以下原則:(1)定性方法的采用需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性;(2)在風險難以量化、定量評價所需數據難以獲取時,一般應采用定性方法;(3)定量方法一般情況下會比定性方法提供更為客觀的評估結果。(四)風險應對措施適當性和有效性審查內部審計人員應當實施適當的審計程序,對風險應對措施進行審查。內部審計人員在評價風險應對措施的適當性和有效性時,應當考慮以下因素:(1)采取風險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內;(2)采取的風險應對措施是否適合本組織的經營、管理特點;(3)成本效益的考核與衡量等。
關鍵詞:風險管理 內部控制 框架
一、風險管理的概念
我國對風險管理理論的研究起步較晚,且不同行業對風險控制管理的理論見解也有所不同。本文認為風險管理是指企業在可能遇見的風險環境里,通過對風險的識別、估測、評價,借以基礎上選擇一套最恰當的風險管理辦法,對風險控制后所致的后果降至最小化的管理過程。
二、風險管理與內部控制的關系
關于對風險管理和內部控制這兩個概念,學術界有兩種爭論――風險管理包括內部控制,或者內部控制包括風險。本文則認為內部控制是風險管理的基礎條件,風險管理是內部控制的升華,兩者相輔相成,只是不同行業之間對兩個概念強調的側重點不同而已。
1.行業特征。金融行業,所的廣告語都是“投資有風險,入市需謹慎”,可見,它所強調的一般都是對風險管理的重要性,所以該行業是以風險管理主導內部控制更為方便管理。而對于制造業來說,要求企業對內部控制加強管理,所以企業以內部控制為主導更為適合。
2.企業運行周期。在企業剛起來階段,內部結構還不夠完善,所以要加強企業的內部控制體系的建立。而在企業成長期間,企業規模擴大,業務范圍廣,隨之而來的風險也越來越大,所以其管理模式是風險管理控制主導內部控制體系。隨著企業逐漸走向成熟,盈利達到最高,有了抵御風險的能力,企業會力求在內控上做到更加完善來鞏固自身的防御能力。在衰退期,由于企業的規章制度多,所以內部控制成了企業領導重點關注的內容。
三、現代企業風險管理框架的基本內容
美國COSO委員會對內部控制的概念有一定的標準解釋,然而在經歷了美國安然、施樂等企業發生的欺詐事件后,COSO所提出了內部控制框架受到了相當大的質疑,于是,人們開始關注對風險的控制,認為內部控制框架應當與風險管理相結合來提升企業的管理水平。但是,對于絕大多數企業來說,缺乏普遍認同的風險管理和內部控制框架的定義。2004年9月,在學術界和企業界的強烈要求下,美國COSO委員會頒布了《企業風險管理整合框架》,該框架是目前應用最廣泛的理論依據,受到各國業界人士的高度關注。
(一)COSO企業風險管理框架
1.企業風險管理的目標體系。COSO認為風險管理目標有四類:戰略目標、經營目標、報告目標、合規目標。戰略目標是指企業的使命。經營目標一般是指業績指標、盈利指標等。報告目標是指企業財務報告和其他信息的可靠性。合規目標是指企業在經營過程中是否遵守相關法律法規。企業目標的分類有助于企業在面對不同時期的不同問題時,能側重點的管理,可以根據企業當時的需要進行分派某個具體部門進行直接負責。
2.企業風險管理的要素。企業風險管理有八個要素:內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通和控制。這八個要素都貫穿在企業生產經營管理過程當中。
3.企業風險管理目標與要素之間的聯系。企業風險管理要素是為了實現其風險管理目標的,因此,兩者之間有著直接的關系。
(二)COSO企業風險管理框架理論
企業風險管理框架是《內部控制整合框架》的拓展和完善,新的COSO報告又新增加了一些觀點、目標和要素,主要體現在:
1.風險組合觀。COSO提出了一個新的觀念――風險組合觀,要求企業從總體控制各個部門的風險,借以統籌考慮對風險的施行措施,避免各部門分散考慮應對風險。
2.戰略目標。內部控制框架的企業目標分為三個:經營目標、財務目標、合法目標。而企業風險管理框架新增加了一個新的目標――戰略目標。從管理學來分析,戰略目標是用來支持企業實現最終使命的,是最高層次的目標。
3.風險容量和風險容限。風險管理的框架定義:風險容量是一個主體在追求價值的過程中所愿意承受的廣泛意義的風險的數量,它反映了主體的風險管理理念,進而影響了主體的文化和經營風格。風險容限是風險容量的基礎,是企業實現目標所能接受的偏離限度。
4.三要素――目標設定、事項識別和風險應對。目標設定是風險管理體系的首個要素。事項識別是企業進行風險管理的前提。風險應對是說針對不同風險來選擇不同的對策,做到風險最小化管理來降低成本,促進企業發展。
四、我國企業風險管理的現狀及分析
(一)中航油的案例分析
中航油新加坡公司于2001年在新上市,當時是陳久霖任董事兼總裁兼總經理職務,在任期間,陳久霖對企業的業務范圍進行大力擴展,2003年,企業已經從事油品套期保值和衍生品期權交易,起初的200萬桶交易獲得非常大的收益,但是由于2003年到2006年之間,石油價格一路攀升,而中航油對石油價格回跌一直寄予希望,不斷的增倉,致使賬面價格虧損嚴重,最后不得不申請企業破產。
中航油的事件,引起業界一片嘩然。其原因有多方面:第一,企業領導更新意識淡薄。第二,風險偏好極端。第三,缺乏風險評估機制的建立。雖然中航油內部指定了《風險管理手冊》,并運用了風險管理軟件。但是風險管理手冊上的條例有很多有爭議的地方,并且對企業高層沒有起到約束的作用,這也是中航油走向衰敗的原因之一。
(二)我國企業風險管理問題
近年來,隨著美國引發全球經濟危機,國內企業開始重視對風險的管理。比如加強了對風險的預測、將內部審計部門參與到風險管理中。企業在長期的風險管理實踐中取得了進步并累積了很多經驗,但是仍然存在一些問題:
1.內部控制體系不夠完善。作為風險管理的基礎――內部控制,必須給風險管理提供一個可靠的環境。可以將內部控制分為四個演變過程:內部牽制、內部控制制度、內部控制結構和內部控制框架。據調查,我國企業中只有30%的企業建立了完善的內部控制框架,其他大部分企業停留在內部控制制度階段。
2.對風險管理的意識薄弱。企業家往往過多的關注于怎樣進行經營管理來實現盈利,只有在企業遇到風險時,才能對已經到來的風險進行忙于應對,這樣往往會給企業造成很大損失甚至有破產的可能。
有的企業雖然已經建立了風險管理機制,卻只是表面上的功夫,流于形式,面對風險的到來,無人問津或有章不循,慌亂地采取一些臨時的解決措施。風險管理如同虛設,使企業的隨意性過大,扭曲了風險管理的本質和初衷。
3.風險管理的技術方法運用較差。對于風險管理的各個細節應當通過一系列的技術和方法來實現,否則風險管理無法施行。國外企業的風險管理技術相對發達,通過先進的風險管理軟件以及優秀的風險管理技術專家來支撐對風險的管理。而我國的風險管理信息化系統相對落后,也沒有成熟的人員隊伍,所以,企業對風險管理的技術和方法的運行程度低。
五、現代企業構建風險管理框架的思路
(一)建立健全的內部治理結構
完善的公司治理結構有助于企業進行責任劃分,促進股權結構的合理化,強化企業內部控制,提高企業經營效率。公司治理結構的完善能較好的梳理所有者、董事會和經理人三者之間的關系,為企業風險管理提供了一個基本的組織架構,在該架構下,設立一個專門的風險管理機構或者指定某個職能部門來進行風險管理。該機構或部門負責處理風險管理的日常事項,包括風險管理的策劃、部署、檢查以及預測風險未來的導向,并向領導提出建設性的意見。
(二)加強企業文化的建設,大力宣傳風險防范意識
企業文化是企業長期以來的共同理想、價值觀、作風、道德規范、生活習慣的總稱,體現出本企業的特色,對企業職工有號召力和感染力,是企業長期文化形成的反應。風險管理文化作為企業文化其中的一項因素,對風險管理理念和行為起決定性的作用,良好的風險管理文化可以規避風險,從而提高企業經濟效益,因此,要養成良好的風險管理文化,塑造風險文化的氛圍,對一個企業來說是非常重要的。主要從以下幾個方面入手:首先,要加強全體職工的法律意識。其次,要對風險切入點的管理人員和職工進行培訓工作,強調對風險的意識。最后,定期在企業內部宣傳風險文化刊物,培養全體員工的風險管理意識,強化員工的風險管理素質。將風險管理文化灌輸于每名員工,形成一種精神狀態,這樣才能避免風險的發展與延伸。
(三)設立風險評估和控制活動
隨著市場環境的多樣性變化,對企業面臨的各種風險進行有效地分析、估量,是企業領導對風險管理的重要環節之一。它是在事項識別后,通過對風險信息的大量收集,運用科學的辦法,估測出風險發生的可能性或者損失的程度。風險評估一般是通過對風險的實時觀察和借助以往的經驗來進行風險管理。控制活動是風險管理的核心環節,遍及企業的各個部門,它是通過批準、授權、驗證等多項活動對企業進行控制和監督,促進企業目標的快速達成。
(四)信息路徑的暢通
企業要建立風險管理體系,必須有良好的信息溝通環境,能幫助企業對運營情況進行實時掌握。建立一套風險管理的信息路徑必須有一套風險管理術語,以便于員工之間的溝通,保證信息能被及時傳遞到相關部門。
六、結束語
文章通過對風險管理框架進行敘述的基礎上,分析了我國企業風險管理的現狀以及存在的問題,并提出了建設性的幾點建議,力求對我國企業的發展起到促進的作用。由于我國的風險管理理論還處于起步階段,所以還有很多問題需要進一步探討,筆者水平有限,在構建風險管理框架方面提出的建議仍需進一步得到改善。
參考文獻:
[1]方紅星,王宏澤.企業風險管理整合框架[M].大連:東北財經大學出版社,2005.
[2]鄭子云,司徒永富.企業風險管理[M].北京:商務印書館,2002.
【關鍵詞】 COSO報告;內部控制;風險管理
一、COSO背景
COSO委員會是由美國注冊會計師協會( AICPA )、美國會計學會( AAA )、財務經理人協會( FEI )、內部審計師協會( IIA )和管理會計師協會( IMA )共同發起并出資組成的民間組織。該組織的宗旨在于通過商業倫理、有效的內部控制和公司治理提高財務報告質量。COSO的研究成果在美國以及全球會計、審計和證券界產生了深遠影響,其中的一些概念和原理被寫入了教科書,成為研究人員經常引用的經典;而且,隨同報告的實務指南也為單位組織建立內部管理架構提供了十分有益的幫助,成為評價單位組織內部控制的標準。(柳木華 . 2006)。迄今為止,COSO委員會共了五部研究報告。
1987年,COSO了《反欺詐性財務報告全國委員會報告》,報告對財務欺詐的研究和分析沒有簡單地局限于獨立審計師的查錯作用,而是密切關注企業法律、金融和其他咨詢顧問在財務欺詐中的角色,分析了企業經理班子價值觀念和會計、內審與審計委員會的作用,觸及了政府管制(包括SEC)和大學會計課程設置是否充分有效等問題。報告分別向公眾公司、注冊會計師、SEC以及其他法律部門、教育部門等提出了約100條建議。1996年,COSO發表了《金融衍生工具使用中的內部控制問題》,該報告模型認為,“風險管理過程需要理解實體的目標和經營活動,識別市場風險和測度承擔的風險,然后決定是否使用衍生產品將風險降低到可以承受的水平。只要簡單的忽略與衍生產品有關的部分并代之以其他合適的降低風險行為,這個過程就具有普遍性”。報告為衍生工具用戶建立、評估和改善內部控制,提供了指導性建議。1999年,COSO利用1987-1997年欺詐性財務報告公司樣本,在歸納其公司特征、控制環境特征、欺詐特征的基礎上,了《欺詐性財務報告-1987至1997:美國公眾公司分析》。報告探討了三個欺詐高發行業――信息技術、保健和金融服務業的欺詐特點,發現三個行業的欺詐手段存在顯著差異,如信息技術業最常見的欺詐手段是收入欺詐,而金融服務業最常見的手段是資產欺詐和資產盜用,并且研究了財務報告欺詐與公司治理之間的關系,發現欺詐樣本公司與其所在行業標準相比,具有相當弱的公司治理機制。20 世紀在經歷了70年代一連串財務失敗和可疑的商業行為相繼爆發后,國際社會又出現了更聳人聽聞的以金融機構破產為代表的財務失敗事件,給納稅人最終帶來超過1 500億美元的成本。為能有效遏制這種愈演愈烈的會計舞弊活動,1992年,COSO在進行了深入研究之后了一份關于內部控制的綱領性文件,即《內部控制――整體框架》,它標志著內部控制理論與實踐進入了整體框架的階段。報告提出了內部控制的五個重要組成要素:控制環境、風險評估、控制活動、信息及溝通與監督,深化了內部控制的理念和應用。COSO報告一經便得到了業界的認可與采納,并在世界范圍內產生了廣泛影響。2001年以來,以安然、世通等為代表的一些美國大公司,因財務信息造假等行為而相繼倒閉破產,震撼了美國的資本市場,引起了世界的極大反響。在國際社會對改善公司治理與加強風險管理的呼聲日益高漲的背景下,2004年9月,COSO委員會結合《薩班斯一奧克斯利法案》的相關要求,頒布了一個概念全新的報告:《企業風險管理――整體框架》(ERM)。框架的出臺順應了各方需求,與1992年的《內部控制――整體框架》相比,在內部控制的內涵、目標、要素以及內部控制責任承擔等層面有了全新的突破,對企業風險管理做出了更為詳盡的闡述。ERM并沒有取代《內部控制――整體框架》,而是基于并將其融入其中,全面推進了內部控制標準的發展。
二、COSO企業風險管理整體框架概要
COSO為企業風險管理確立了一個可普遍接受的概念,為各組織識別風險和實施風險管理提供了理論基礎。ERM框架認為:“企業風險管理是一個過程,是由企業的董事會、經理層和其他員工共同參與,應用于企業戰略制定和企業內部各個層次和部門的、貫穿整個企業,旨在識別影響組織的潛在事件,為組織目標的實現提供合理的保證”。企業風險管理是由人參與的過程而并非結果,企業必須將風險管理融入在日常的經營管理之中,并涉及企業的每個員工。風險管理能夠識別對企業造成影響的潛在風險,能在一定程度上幫助企業實現合理的既定目標。
企業風險管理包含八個相互關聯的要素:
(一)內部環境
內部環境是其他風險管理要素的基礎,它由《內部控制――整體框架》要素中的“控制環境”演變而來,但包含了更為豐富的內容,如風險文化和風險偏好、管理哲學和經營風險、權力和責任分配、實踐操守和價值觀等。
(二)目標設定
ERM框架認為,企業的管理層在評估風險之前必須確立目標,并針對不同的目標分析相應的風險,這樣管理當局才能識別影響目標實現的潛在事項。企業的目標可以分成四類:1.戰略目標。與企業的使命相一致,是較高層次的目標;2.經營目標。與企業經營的效果與效率相關,旨在使企業能夠有效地使用資源;3.報告目標。企業組織報告的可靠性,分為對內報告和對外報告,涉及財務和非財務信息;4.遵循目標。即企業經營是否遵循相關的法律法規。
(三)事件識別
指識別影響事件的內外部因素。潛在的事項,對企業可能有正面影響,也可能有負面影響。識別風險旨在于抓住機遇,或者在風險評估和應對階段彌補風險對企業的影響。
(四)風險評估
是決定如何管理風險的基礎,風險得到識別后,就需要對風險進行分析評估,這樣,管理層就能根據被識別風險的重要程度來進行規劃和組織,使通過風險管理這個過程識別和分析風險,并采取減弱風險影響的行動來管理風險。風險評估可根據不同的風險目標確定相應的風險評估方法,主要為定量分析和定性分析相結合的方法。
(五)風險對策
是在評估了相關的風險之后,所做出的應對、控制、轉移、補償風險的各種策略和措施。通常將風險對策分為規避風險、減少風險、共擔風險和接受風險等四類。企業應在風險容忍度和成本效益原則的前提下,考慮每個方案如何影響事件發生的可能性和事項對企業的影響,并設計和執行風險應對方案。COSO認為,有效的風險管理是管理者的選擇能使企業風險發生的可能性和影響都落在風險的容忍度內。
(六)控制活動
是有助于保證風險應對方案得到執行的相關政策和程序。管理當局應對企業所有系統進行控制,包括對信息系統的控制,通常控制活動和風險評估過程是聯系在一起的。
(七)信息與溝通
信息是溝通的基礎,溝通必須滿足不同團體和個人的期望。企業內部和外部的信息必須以一定的方式進行確認和傳遞,以保證員工各自職責的執行和企業風險管理的有效運行。
(八)監督
COSO將監督作為評估企業風險管理質量過程的一個部分,即評估風險管理要素的內容和運行,以及評價某一時期執行質量的一個過程。該過程包括持續監督、個別評估或者兩者的結合。
企業風險管理的八個要素是一個有機整體。風險管理不只是一個直線的過程,而是一個多元化的相互作用的過程。 各要素之間的關系是:內部環境是企業風險管理的基礎,為企業風險管理所有其他要素的運行提供了平臺和組織結構;企業目標的制定,是風險管理的起點,是其他步驟的軀動力量;在企業目標已定的前提下,企業需要對影響目標的風險進行事件識別,進而對識別事件進行風險評估,風險評估馭動風險反應,影響控制活動;信息與溝通和監督貫穿于企業風險管理的全過程,并且可對其他各個組成要素進行修正(吳永澎 . 2006)。
三、COSO企業風險管理框架對內部控制標準的發展
(一)豐富了內部控制的內涵
COSO在《內部控制――整體框架》中將內部控制定義為一個受董事會、經理層和其他人員影響的過程,提出內部控制是為了實現三個目標,即:經營的效果和效率、財務報告的可靠性、法律法規的遵循性。該定義明確了以下要點:內部控制是一個過程;內部控制是一個受人影響的過程;內部控制為了實現三個目標;內部控制過程的設計是為了提供實現內部控制目標的合理保證。這個定義比較寬泛,從某些角度來說,也存在一些片面性。而新的ERM框架則更加明確了對風險管理和保護資產概念的運用,并將糾正錯誤的管理行為明確地列為控制活動之一。ERM框架在原《內部控制――整體框架》所明確的要點基礎上,進一步明確了以下內容:即,內部控制應用于戰略制定;內部控制貫穿整個企業的所有層級和單位;內部控制旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險。由于ERM框架提出了風險偏好、風險容忍度等概念,使得ERM的定義更加明確、具體,同時又涵蓋了內部控制所有合理的內容。
(二)發展了內部控制的目標
針對《內部控制――整體框架》對企業戰略管理方面關注不夠的缺陷,ERM在目標中增加了一個新的目標――“戰略目標”。使企業在追求短期利益的同時,從戰略高度關注企業的長遠目標和可持續發展。該目標的層次比其他三個目標更高。風險管理既應用于實現企業其他三類目標的過程中,也應用于企業的戰略制定階段。特定的戰略目標雖然可以通過不同的戰略來實現,然而不同的戰略目標會給企業帶來不同的風險。戰略制定和風險偏好存在直接關系,在考慮達到戰略目標的具體目標時,管理當局要鑒別與戰略選擇相關的風險,并且要考慮對這些風險的應對措施的運用(吳永澎. 2006)。此外,ERM整體框架還將“財務報告的可靠性”發展為“報告的可靠性”。原COSO報告將財務報告的可靠性界定為“編制可靠的公開財務報表,包括中期和簡要財務報表,以及從這些財務報表中摘出的數據,如利潤分配數據”。新報告則將報告拓展到“內部的和外部的”、“財務的和非財務的報告”,該目標涵蓋了企業的所有報告。
(三)拓展了內部控制的要素
COSO在《內部控制――整體框架》中提出了五個要素:即控制環境、風險評估、控制活動、信息和溝通、監督。ERM框架對這五個要素進行了深化和拓展,將其演變為八個要素。引入了風險偏好、風險容忍度和風險文化等概念,將原有的“控制環境”擴展為“內部環境”。這一修改使企業關注的范圍不再局限于控制方面,而是從更寬闊的視野,以及更綜合、更直接的角度考慮各種因素對風險的影響。并且將原有的“風險評估”要素發展為“事件識別”、“風險評估”和“風險反應”。這不只是對原“風險評估”進行的簡單細化,而是意味著企業風險意識的增強和主動地管理風險。也就是企業風險管理綜合框架強調應對所有事件,包括正面事件和負面事件進行綜合識別,并且應將其以適當的組合方式加以看侍,并通過對固有風險和剩余風險的綜合評價做出適當的風險應對措施,以減少經營偏差的發生及相關成本和損失,有利于企業抓住機會,及時調整策略,避免資源浪費,實現經營獲利目標。
(四)明確了內部控制的責任關系
ERM框架認為,組織的每個成員都應對企業風險管理承擔責任,并進一步劃分了責任主體的等級:董事會在風險管理中扮演更加重要的角色――負總體責任,并被要求變得更加謹慎。企業風險管理的成功與否主要依賴于董事會,因為董事會需要批準組織的風險偏好;在企業風險管理中,CEO負有首要責任,并應對所有權負責,其他經理人員則起支持作用;風險部門管理者,財務部門管理者和內部審計人員等負有關鍵性責任;其他的企業人員負有按確定的指示和協議執行企業風險管理的責任。另外,企業外部利益相關者如客戶、賣主、商業伙伴、外部審計師、監督者和財務分析師經常提供影響企業風險管理的有用信息。雖然他們并不為企業風險管理負責,但卻是企業實施風險管理必須考慮的因素。
(五)創新了內部控制的風險觀念
ERM 框架指出,企業風險管理的基本假設是,每一主體存在的目的是為其所有者創造價值。所有主體都面臨不確定性,管理層的挑戰就是確定在其為所有者創造價值的過程中,須在多大程度上接受不確定性。ERM把事件區分為風險和機會,事件可能有消極的影響、積極的影響或兩者兼有。消極影響事件意味著風險,它妨礙價值創造或削弱現存價值;積極影響事件可以抵銷消極影響或意味著機會。機會是一種可能性,即事件將會發生并積極影響目標實現、支持價值創造或價值保持。一個組織必須識別影響其目標實現的內、外部事件,區分哪些是風險、哪些是機會。管理當局要密切注意各層級的風險,并采取積極的管理措施。內部控制的目的不應是消極控制或防范風險,而是要主動管理風險。風險管理能使管理層有效地處理不確定性及與之相關的風險和機會,增進創造價值的能力,并在追求主體目標的過程中有效地配置資源,實現價值最大化。
【參考文獻】
[1] 賈國軍,李陽,楊秀玲. “從美國COSO報告的發展,看我國內部控制體系的完善”. 財會研究,2006.11.
[2] 宋怡萱,張翩. “COSO企業風險管理整體框架解析”.財會通訊,2006.3.
[3] 陳秧秧. “COSO《企業風險管理綜合框架》簡介”. 財會通訊,2005.2.
[4] 金小英,唐予華. “COSO風險管理報告內外部關系的解讀與啟示”. 財會通訊,2006.6.
