時間:2024-01-23 15:43:12
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇企業風險管理標準范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
JEL分類號:G23 中圖分類號:F832.39 文獻標識碼:A 文章編號:1006-1428(2011)11-0112-04
一、企業年金風險管理分析
企業年金是指企業在參加國家基本養老保險的基礎上依據國家政策和自身經濟狀況建立的對基本養老保險進行補充的養老保險形式,是養老保障體系“三支柱”中的“第二支柱”。2005年以來,我國先后評審認定了來自銀行、保險、證券、基金、信托行業的兩批企業年金管理機構。截至2010年底,我國已有3.7萬家企業建立了企業年金計劃,涉及員工1300余萬,資金規模逾2800億。
風險是指不確定性對目標的影響,風險管理可以定義為一個組織對風險所采取的指揮和控制的協調活動。風險管理是與金融業發展相伴的永恒課題,關系到退休人員補充養老金問題的企業年金也不例外。
企業年金的風險管理主要關注受益人從參與年金計劃直至取得最終收益全過程中所面臨的風險。主要包括企業年金各管理機構間信托、委托合同關系執行中違約產生的信用風險,企業年金資產保值增值過程中投資所面臨的市場風險,因為制度缺陷、人員因素、科技因素導致的操作風險等。中國市場上的企業年金風險具有多行業多機構聯合運營使風險復雜化,業務導向型市場影響企業年金健康發展,信息透明度低于公募基金等特點。
企業年金是退休人員的“養命錢”,具有強烈的低風險偏好,追求在相對安全的前提下實現保值增值.所以加強其風險管理研究和實踐的意義重大,影響到國家養老保障體系的建設和企業年金自身的發展。本文首次將風險管理標準ISO31000引入中國企業年金研究領域,結合我國金融市場和社會保障特點,對該標準在企業年金風險管理中的應用策略展開研究。
二、ISO31000及其引入企業年金管理的論證
(一)ISO31000標準及其應用價值
ISO31000:2009《風險管理――原則與指南》是國際標準化組織ISO于2009年11月15日的國際標準。該標準的制定起步于2004年,ISO技術管理局組建了由澳大利亞專家任主席、28國專家組成的風險管理工作組(RMWG),歷經WG稿、CD稿、DIS稿、FDIS稿等版本最終定稿。標準正文包括范圍、術語與定義、原則、框架、過程共五部分。我國國家標準GB/T 24353參考了ISO31000的DIS稿。
因為全球第一個企業層面的風險管理標準AS/NZS 4360是ISO31000的起草基礎和重要參考文本。所以ISO31000在企業有很高的應用價值。雖然正式的時間不長,但ISO31000已經被中國企業關注.部分實施SOX法案404測試的企業對該標準展開了學習,某金融機構的博士后工作站也將如何應用該標準列為正式研究方向。
(二)將ISO31000引入企業年金管理的論證
在中國企業年金風險管理的研究與實踐中.有關學者和機構已經借鑒COSO、Basel、CAS、Towers Perrin展開了很多有益的工作,但ISO31000在中國企業年金管理領域尚未被引入。
第一,必要性論證。我國企業年金風險管理的標準化工作尚未啟動,在借鑒國外風險管理的協議、框架等經驗的同時,應該適時引入風險管理的標準。中國企業年金管理機構歸屬于不同行業,僅參考行業屬性強的風險管理制度(如銀行業的Basel)不利于化解行業差異,需要一套更有通用性的標準指導管理工作。
第二,可行性論證。ISO31000是第一個面向企業風險、個人風險、公共風險等各類風險的通用性風險管理的國際標準,綜合了30多個國家/地區的風險管理標準編制經驗,淡化了行業屬性和國別色彩,能夠涵蓋企業年金管理中面對的信用、市場、操作等各類風險。
第三,應用意義。按照ISO31000的制定方針.企業年金風險管理中應用ISO31000可以使企業年金利益各方“提高實現其目標的可能性”,“鼓勵主動管理”,“提高各方識別、應對風險的意識”,“改進對機會和威脅的識別”,“符合相關法律法規和國際規范”.“改進信心和信任”,“為風險應對有效地配置和使用資源”,“改進運營的有效性和效率”。
三、企業年金管理應用ISO31000的原則研究
(一)標準的性質與定位
在企業年金管理中應用ISO31000中要首先明確標準的性質。首先,1SO31000是風險管理的指南,但不具有管理要求和管理體系的性質。其次,本標準在ISO系列標準中突破性地強化原則的重要性.指出了風險管理的11項原則。再次,本標準可以用于組織內部和合同關聯方的審核或評價,但不是一個認證標準。
(二)標準的執行主體
企業年金風險管理的執行主體是年金管理機構(受托人、賬戶管理人、投資管理人、托管人),同時也需要企業客戶(委托人)和監管機構的監督。監管部門設置四類管理機構,在職責隔離、相互制衡以控制風險的同時,機構間信息流、資金流的復雜走向也為風險管理增加了難度。其中,受托人作為最終責任人.承擔著風險管理標準落實核心的角色。
(三)標準實施的難點
第一,一個年金計劃往往要涉及多家機構,存在大量信息與資金交互,還存在合同到期后機構間轉移的可能,這些為ISO31000的實施增加了復雜度。第二,銷售導向型市場現狀下,年金管理機構盈利困難.實施一套完整的國際風險管理標準卻需要大量成本。第三,年金管理機構間短期內難以實現完全的數字化信息交互,系統性的信息不通暢會影響風險管理標準的具體落實。
(四)標準實施的重點
第一,年金管理機構所在的不同行業已實行風險管理的程度不同,銀行、證券、保險、基金、信托機構間風險管理成熟程度不同,行業管理標準不同.ISO31000是統一標準的好契機,但同時也需要在不同類型機構應用時因地制宜。第二,ISO31000因其通用性。相對抽象與籠統,需要企業年金管理機構結合業務實務進行大量研究探索。第三,標準實施中要從四種管理資格、多類型風險、計劃執行生命周期多個階段三個維度綜合考慮。
四、基于ISO31000的企業年金風險模型設計
(一)風險模型設計
本文結合ISO31000中風險管理過程一章的思想和中國年金管理機構的管理實務,將企業年金風險管
理模型設計如圖l。建立環境、風險識別、風險分析、風險評價、風險應對、監測與評審,構成年金風險管理的完整閉環,循環于計劃建立、計劃運營、計劃終止轉移等各個階段,面向信用、市場、操作三類風險。
在建立環境環節,年金管理機構需要清楚地表達工作目標,確定內外部參數,這是管理風險和為維持風險管理過程而制定范圍、風險準則時必須考慮的。在風險識別環節,年金管理機構需要通過歷史數據、理論分析、專家意見和利益相關方需求對風險源、風險事件、風險原因和它們的潛在結果進行分析。在風險分析環節,風險管理部門應考慮分析的詳細程度及變化、與風險本身的依賴性等,可以定性、半定量、定量或采用它們的組合。在風險評價環節,以基于風險分析結果的決策為目的,根據風險需要應對和實施應對的優先順序進行決策。在風險應對環節,選擇一個或多個改變風險的方式,評估采取應對措施后殘余風險的等級是否可以容忍,如果不容忍則應提出新的風險應對。溝通與咨詢工作存在于上述各個環節。監測與評審工作可以是定期或臨時的。
(二)機構風險管理差異
除了模型中通用性管理外,根據四種管理資格間的信息流與資金流,對于不同管理資格風險管理的差異和涉及的風險管理工具總結如圖2,圖中實線為資金流,虛線為信息流。
五、企業年金管理中實施ISO31000的步驟規劃
圖3表示了年金管理機構將風險管理整合入企業年金現有管理體系和不同職能階段的過程步驟。
第一,授權與承諾。該階段對應企業年金合同管理。為確保企業年金風險管理的有效性,需要與委托人形成有效的約束合同,明確風險管理的終極目標,即以保值增值為基礎,追求年金給付時的較高收益水平.提高受益人退休后的養老金替代率。而機構管理層需要提供強有力和持續性的承諾,將風險管理提升到公司層面而非停留在風險管理部門層面。
第二,管理風險框架設計。該階段對應企業年金計劃建立。管理風險框架的設計中,首先要考慮年金管理機構所屬的行業,根據銀行、證券、保險等不同行業的環境特點研究風險框架;年金管理機構應依據組織的目標、方針,建立風險管理方針,明確管理風險的責任、職責及處理年金計劃各方利益沖突的方式,對風險管理部分提供必要資源,確定測量和報告風險管理績效的方式:機構明確風險管理責任與責任人;將風險管理以關聯的、有效的、高效率的方式嵌入機構的年金計劃管理全過程:機構為風險管理配置適當的人力物力財力資源:建立內部各管理單元的溝通機制和對管理層的報告機制;建立對客戶和監管機構等外部單位的報告機制。
第三,實施風險管理。該階段對應企業年金運營管理。年金管理機構需制定風險管理框架實施的時間計劃,加強與各方面的溝通、咨詢,掌握全面信息.加強培訓,確保風險管理框架的實施結果與計劃目標的一致。
第四,框架的監測與評審。該階段對應企業年金基金監督。年金管理機構應按照確定的指標測量風險管理績效和風險管理計劃的進展,定期評審風險框架的合理性和有效性。
第五,框架的持續改進。該階段對應企業年金的系統改進、客服管理。以監測和評審的結果為基礎.結合客服渠道獲得的反饋,年金管理機構對風險管理的框架、方針、計劃和信息系統進行改進。
針對企業年金管理中應用ISO31000的難點與重點,需要年金機構高度重視并從長久健康發展的角度努力研究并積極克服,主要手段包括:第一。加強不同資格年金機構間的信息溝通、數據交換標準實施、信息系統對接。第二,充分考慮我國多行業共同運營與監管企業年金的現狀,加強對各行業管理標準、發展現狀的調研與分析。第三,結合中國企業年金用戶的管理現狀、工作習慣、職工心理,加強產品設計、投資、運營的實務研究與總結。
六、受托運營風險管理的實例分析
受托人是企業年金風險管理中最重要的角色.本文選取受托運營及其面臨的操作風險為例,運用上述模型進行對其計劃建立、計劃運營、計劃終止轉移三個階段的風險管理注意事項進行具體討論。
計劃建立階段:(1)年金計劃的設計在符合法規要求的前提下,要盡量貼近客戶需求,防止偏離需求導致的服務風險隱患,從需求源頭遏制不合理要求。(2)方案設計的參數化。(3)加快處理速度,減少客戶等待時間。(4)保證計劃與合同細節的準確性。
計劃運營階段:(1)加強多個管理人間及管理人和委托人間的信息交互管理,防止信息傳遞失誤。(2)積累人工經驗,并編人計算機系統,提高業務管理系統錯誤檢查的能力。(3)加強運營差錯控制流程的監督,確保制度落實。
計劃轉移階段:(1)準確快速執行新舊管理人間的交接工作,以滿足人社部2011年11號令[8]對45日工作時限的要求。(2)客戶信息轉移的準確性、完整性和保密性。(3)新舊管理人對客戶服務的持續性,確保無縫對接。
對于運營差錯導致的操作風險,風險應對的主要手段包括:(1)查找差錯根源,及時按流程更改錯誤。(2)彌補客戶因服務問題蒙受的直接損失。(3)懲戒導致差錯的人員,對導致差錯的信息系統及時升級改進。(4)改進工作流程,加強復核和異常數據的檢查。
關鍵詞:企業風險管理;經濟資本;風險管理要素;可持續風險管理
Abstract:Since COSO issued“Enterprise Risk Management-Integrated Framework”,COSO-ERM framework has become the standard of enterprise risk management,but as some financial institutions broke in the Subprime Crisis,the effectiveness of the enterprise risk management was suspected. Today in the post-crisis era,developing new analytical framework of enterprise risk management becomes an inevitable claim. In the new analysis framework,the objective of enterprise risk management is shifted from the company(shareholders)to maximize the interests to maximize the interests of corporate stakeholders,and the contents of enterprise risk management are shifted from the COSO eight elements to the economic capital,risk management elements,structured financial instruments and risk management for the pillars of sustainable comprehensive risk management.
Key Words:enterprise risk management,economic capital,risk management elements,sustainability risk management
中圖分類號:F830 文獻標識碼:A 文章編號:1674-2265(2012)06-0009-05
風險管理理論已有五十年的發展歷史,已成為指導企業經營管理不可或缺的重要思想。2004年COSO頒布《企業風險管理——整合框架》后,COSO—ERM框架很快成為風險管理的核心標準,企業風險管理首次擁有了一個系統的分析框架。但是,發生于2007年的次貸危機,動搖了人們對COSO框架的信心,風險管理該如何實施成為后危機時代風險管理理論必須回答的問題。王穩(2010)提出了一個新的企業風險管理分析框架,以經濟資本、風險管理要素、結構性金融工具和可持續風險管理作為企業風險管理的核心內容,為后危機時代的風險管理提供了一個可參考的框架思路。本文在這個分析框架的基礎上,系統梳理了已有文獻對風險管理框架和內容的論述。
一、企業風險管理分析框架的演進
【關鍵詞】企業管理 風險管理 風險分析 管理體系
一、風險管理理論體系
(一)企業風險管理定義
企業風險管理主要是在企業生產經營全過程中,企業管理人員對影響企業發展的潛在風險因素進行分析,通過分析控制企業風險,確保企業高效有序運行,保障企業的總體目標的實現的一種管理方式。企業風險管理措施主要指企業面臨風險時所采取的管理應對措施。它比內部環境管理控制概念更加廣泛,它考慮的不僅僅是企業內部的環境建設,還包括了企業的其他方面的因素,比如說市場因素、社會因素、自然因素等。所以企業風險管理涉及企業的方方面面,為企業的正常發展提供有利的條件。這也就需要企業在建設時,加強對企業風險管理的投資,引進高科技管理人才,建立一支強大的風險監督管理系統。
在管理過程中,美國COS0_ERM定義:風險管理過程過程受董事會、管理層和其他人員的影響,從企業戰略的制定一直貫穿到企業的各項活動中,用于識別那些可能會影響到企業的潛在事件并管理風險,使之在企業的風險偏好之內,從而合理確保企業取得確定的目標。《中央企業全面風險管理指引》定義:全面風險管理主要是圍繞企業總體目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。
(二)企業風險管理的發展
傳統風險管理主要是從20世紀30年代到20世紀90年代,這一階段的風險管理體系較為松散,整體管理效益較為低下,管理存在諸多漏洞。傳統風險管理起源于美國。美國經濟危機導致人們對風險的認識開始上升,對風險的威脅認識開始逐漸加深,由此相關人員在進行企業管理的過程中開始建立風險管理意識和風險管理體系。20實際30年代,美國科技進步在很大程度上促進了風險管理的發展,為風險管理的建設提供了基礎。1931年風險管理概念由美國管理協會首次提出,風險管理開始在企業中扎根生長。
傳統風險管理主要分為三個階段:第一階段,原始管理。第二階段,初級階段。第三階段,風險管理的高級階段。原始階段主要以原始管理結構為基礎,主要是對人員的風險控制。初級階段主要是非連續性的管理結構,風險控制取決于主要管理人員。風險管理的高級階段建立以人的行為為目標的管理體系,實現對權益、權利、職能等的全面約束。我國當前的風險管理主要處于此階段。
現代風險管理階段主要是從上世紀八十年代末、九十年代初到目前,在這一階段的風險管理主要表現出:
第一,風險管理高度系統性和統一性。全面風險管理的目標開始統一,在目標的基礎對企業利益進行分析,對風險進行取舍,實現企業的風險把握選擇,確保企業又好又快發展。
第二,信息平善。在本階段的風險管理已經實現了高度的信息共享,在很大程度上對市場信息進行分析,提高了市場決策及經營效益。
第三,數學模型風險分析。當前的風險管理技術已經有了很大提升和改進,在進行傳統定性分析的基礎上,相關人員通過運用大量的數學模型有效實現了對風險的控制,對企業在各方面的風險承擔指標及承受力進行準確分析。
(三)全面風險管理體系結構
1.風險戰略。風險戰略主要是企業在進行風險管理的過程中嚴格依照風險管理方針及行動綱領進行的管理活動。在該過程中風險戰略有效對企業的風險偏好程度、企業的風險度量標準、企業風險管理的指導方針及風險量化的模型進行指定,實現了對企業風險的綜合指導。
風險戰略在企業中的指導作用主要表現在:(1)風險戰略對企業的風險管理方針進行制定,為企業的風險管理活動建立綜合戰略核心;(2)風險戰略對企業的風險量度標準進行制定,建立了風險管理資源及重點的分配基準;(3)風險戰略在企業戰略激進程度的基礎上對企業的風險進行全面指導,完成企業業務組合的選擇;(4)風險戰略對量化模型進行確定。
2.風險管理組織。風險管理組織主要是在風險意識的前提下確定的企業的組織結構和組織關系。風險管理組織可以在很大程度上促進風險管理的實現,提高風險管理效果。通過風險組織管理,企業可以對各種風險進識別、分析、評估、判斷,并采取有效措施來進行預防與控制,實現企業自身的安全。企業風險管理組織職能主要包括:(1)企業風險管理組織可以有效降低風險復雜程度,實現風險資源統一管理,確保風險目標實現。(2)明確風險管理組織責任,對風險管理責任崗位進行明確,形成責任化體系。
3.風險管理信息系統。風險管理信息系統主要是在風險管理的過程中為風險管理環節提供信息的系統。風險管理信息是影響管理效果的關鍵因素。當前我國市場變化多樣,市場整體環境較為復雜,信息系統的及時、準確、有效可以在很大程度上提高風險管理的效果,對企業的風險進行控制。風險管理信息系統是企業風險管理和企業風險控制戰略的良好載體,可以有效建立在企業內部風險溝通橋梁,為化風險提供有效資料。
4.內控系統。內控系統主要是對風險戰略提供基礎的風險信息,提高風險控制效果。內控系統主要由一系列政策和程序組成,可以對企業的風險進行提前預防、適時管理、及時反饋,確保從本質上加強風險管理準確性,提高企業的風險管理效果。
內控系統通過將內部控制制度、企業管理行為、減少風險三項目標作為控制核心,實現對風險管理的連續性、綜合性控制,是當前企業風險管理的實際操作核心。內控系統的控制效益直接影響了企業風險管理的實際效果。
5.風險理財。風險理財主要是通過企業金融手段進行風險管理的一種方式。常見的風險理財方式主要包括:風險斛存、風險轉移、風險控制和風險規避。通過風險理財可以實現風險融資,有效對企業的風險進行最優化平衡,實現風險理財全部留存和全部轉移的平衡。通過風險理財不會改變風險本身的可能性,也不會降低損失程度。
二、企業風險評估方法及體系
(一)企業風險評估方法
企業風險評估方法主要包括財務風險度量法、戰略風險度量法、巴塞爾新資本體系風險評價法、COSO框架下風險評估法。
1.財務風險度量法。財務風險度量法主要代表方法為標準化調查法、四階段癥狀分析法、三個月資金周轉表分析法、流程圖分析法、管理評估分析法五種。
標準化調查法主要是通過專業人員、調查公司等對企業可能遇到的問題進行詳細調查,確保企業能夠完成整體的風險分析;四階段癥狀分析法主要通過對企業財務危機潛伏期、發作期、惡化期、實現期進行分析評估,對企業的風險因素進行分析,確保企業擺脫財務困境;三個月資金周轉表分析法主要是對短期的財務進行預警,主要通過對企業的理財環境進行分析,確保建立高度安全性的資金周轉表,提高企業效益;流程圖分析法通過企業在運行過程中可能出現的風險進行分析,實現潛在風險的動態管理,有效提高管理效果;管理評估分析法總分是100分,企業所得分數越高,處境越差。這種管理評分法試圖把定性分析判斷定量化,實現對企業全方面的細致了解,對企業的管理進行客觀公正的評價。
2.戰略風險度量法。戰略風險度量法主要是對傳統戰略風險管理的細化,該方法通過對傳統風險管理階段和主觀風險管理階段的風險度量進行分析,實現了資源、營銷指標、尺度等評定。
戰略風險度量法中的狀態確定主要是通過在企業發展過程中能夠對企業競爭地位指標造成影響的因素進行研究,實現對企業發展的綜合控制。戰略風險度量法通過運用CAPM模型對戰略及風險關系進行言幾句,實現了風險相關多角化的分析。
3.巴塞爾新資本體系風險評價法。巴塞爾新資本體系風險評價法包括資本分類、風險權重計算標準、1992年資本和資產的標準比例和過渡期的實施安排、各國監管當局自由決定的范圍四項內容。巴塞爾新資本體系風險評價法通過對RAROC技術進行研究,實現了當前風險的有效控制,已經在我國的商業銀行中得到廣泛應用。
4.COSO框架下風險評估法。COSO框架下風險評估法主要是對內部因素和外部因素進行綜合分析,實現對影響企業目標進度因素的控制。在該過程中,企業要對風險中不同的目標進行整體改進,根據企業管理和企業未來潛在事件對企業今后的風險因素特征及風險因素潛在可能性進行分析,完成對企業規模、經營復雜性、企業活動監督管理程度的綜合評價。COSO框架下風險評估法通過及時地發現、預測和防范風險,將企業的損失降到最低點。COSO框架下風險評估法對企業帶來的危害,也能夠在風險中把握機遇,通過對風險的進一步分析做出相應的決策,為企業創造出更多的價值,帶來更多的利益,實現企業的最終目的。
(二)風險評估體系的構建
在進行風險評估體系管理的過程中,相關人員要對企業的風險管理中的風險事件、風險識別、風險評估、風險反應進行控制,實現風險管理體系基本構建。
風險事件主要是對進行企業風險管理過程中企業無法認識到的不確定因素進行分析。在該過程中企業要對可能出現的潛在事件進行綜合分析,對企業內部和外部因素進行充分考慮,對企業的風險管理進行徹底貫徹落實,降低外部因素和內部因素對企業的影響效果。風險事件可以在很大程度上影響企業的風險管理效果。
風險識別主要是在明確企業的經營目標后對企業的整體戰略活動進行的風險分析識別。在進行風險識別的過程中,操作人員要對企業的內部風險識別制度和風險識別因素進行充分分析,確保風險識別分類的有效性。要通過風險分類、尋找風險源、衡量風險實現對企業風險的基本評估和自我評估。
風險評估主要是在進行企業風險控制的過程中對企業的設立進行辨認、分析、管理的機制。風險評估過程中要對企業的內外環境風險、信息系統風險、資產風險、經營活動風險、合法性風險等進行機制分析,對高風險區域進行確定。風險評估包括風險辨識、風險分析、風險評價三方面。要充分對企業的風險進行研究,從長期角度提高對風險的認識,確保從本質上提高企業的經濟效益。
風險反應主要是在完成上述的風險評估后對評估結果操作進行評價,通過對企業期望風險的承受度選取合理的應對措施。
三、企業全面風險管理體系結構框架
通過風險管理降低系統風險,提高企業應對風險的能力,已經成為企業管理的重中之重。
企業全面風險管理體系結構框架主要是依據對企業通用的風險管理模型、風險管理語言、企業全面風險管理的內部環境進行研究建立的管理結構框架。
(一)企業控制體系構建原則
在進行企業內部控制體系構建的過程中,企業要嚴格遵守以下原則:
1.全面風險管理原則:企業內部控制要對企業的戰略市場、財務管理、信息化建設、人才管理等方面風險性進行全面分析,將控制體系滲透到企業管理的方方面面。
2.獨立性原則:企業內部控制機構要與風險管理相符合,保證部門之間的相互獨立性,確保利潤與風險控制相平衡。要嚴格依照風險管理要求進行管理,確保風險管理的總系效果。
3.協調與效率原則:企業部門之間要對自身責任進行明確劃分,確保風險管理責任明確化。要對各部門之間的信息及時進行交流與溝通,確保部門之間協調配合,增強合作效果。部門之間要建立完善的監督管理機制,實現對風險管理的監督控制。
4.開放及重要性原則:企業風險管理框架要對外部優秀企業風險管理進行吸納,對本企業風險管理重點進行突出,重結構、重環節、重部位。
(二)企業風險管理控制措施
1.提升管理人員素質。在進行企業風險管理建設的過程中,管理人員素質水平的高低直接決定著企業風險管理質量的好壞。企業管理者素質的提高,不僅有利于企業內部環境建設,還能夠提升企業的對外素質形象,贏得更好的市場環境。因此,企業要加強對員工的素質教育。提高企業員工素質道德,需要對員工進行培訓。企業在進行風險管理的過程中要對管理人員進行素質教育,確保管理人員能夠嚴格依照管理制度和管理體系完成風險管理的整體評估,提高企業在過程中的實際操作效果。
2.推進內部制度標準化。建立企業風險管理控制制度,確保企業以內部控制管理為基礎,保證風險管理整體化、合理化實施。要建立完善管理制度,加強對企業管理的監督。企業良好的發展,不僅要依靠企業管理者素質的提高,還應該建立完善的企業監督體制。企業監督機制的確立,能夠更好的對企業進行監督,尤其是對企業高層管理者的監督,能夠減少企業不良風氣的出現。在企業中,高層管理者的行為作風會影響到整個公司的風氣建設,而這種機制的建立能夠避免不良風氣的形成,降低企業內部管理存在的風險。
3.確保會計信息通暢。在進行企業內部控制風險管理的過程中,企業人員要嚴格保證會計信息的準確性,保證會計信息通暢,確保風險管理人員在第一時間得到有效的風險管理信息。要建立完善的風險信息管理體系,對企業經營狀況、財務對賬真實性進行監督,構建良好企業經營實時監督管理控制系統。要加大信息的公開化、透明化程度,從本質上提高財務信息的準確性、真實性。
4.構建權威審核體系。在進行企業風險控制構建的過程中,企業要建立權威的內部審核體系,確保對風險管理信息及風險管理數據進行準確控制盒分析。要實行董事會、法人代表、監事會直接指揮下的派駐制,派駐人員要保證與派駐區域或部門不存工作緊密關系,保證工作關系平行,從本質上實現業務監督分離。要對派駐內部人員的工資、福利、人事等進行全部分析,確保派駐人員與區域不存在利益關系。由企業董事會直接進行監督、控制和管理。
5.加強企業內部文化。在進行企業風險控制的過程中,企業要加強對人員的內部文化控制,建立良好風險管理內部環境。企業文化建設需要加強對企業員工的培訓,增強員工的責任意識,充分調動他們的工作熱情,營造一種和諧的企業氛圍。讓員工在企業中感受到溫暖,使企業管理更加人性化。定期對企業員工進行培訓,提高他們的文化素質,增加他們對公司的信任感。
四、總結
隨著當前我國經濟的不斷進步,全球化趨勢的不斷加強,風險管理已經成為影響企業全球化和經濟化的關鍵。在進行企業風險管理的過程中,通過對風險觀和風險管理進行正確認識,對面臨的風險進行準確識別和判斷,可以在很大程度上提高企業的經濟效益,實現對企業高效管理和控制。風險管理體系作為現代管理科學體系的核心內容,實現了企業由單純性生產到風險預算生產方向的轉變,加強了企業對自身發展的認識,實現了對自身發展的綜合性、系統性、戰略性評價,對我國企業發展具有非常好的促進效果。
參考文獻
[1]陳柳,欽張琴.論全面風險管理框架體系的構建[J].學說連線,2009,4(22):12-13.
關鍵詞:風險管理 可持續發展 人本理念
概論
企業風險管理是對企業內可能產生的各種風險進行識別、衡量、分析、評價,并適時采取及時有效的方法進行防范和控制,用最經濟合理的方法來綜合處理風險,以實現最大安全保障的一種科學管理方法。
所謂企業風險是指企業內外環境的不確定性、生產經營活動的復雜性和企業能力的有限性而導致企業的實際收益達不到預期收益,甚至導致企業生產經營活動失敗的可能性。
宣鋼公司作為國有大型企業,引入風險管理可以有效規避市場潛在風險,是科學發展與持續發展的必然要求。通過實施風險管理能夠切實保障企業生產經營穩定有序,且良性循環。
1.企業風險管理的內容
企業風險管理具體包括企業風險識別、企業風險衡量和企業風險處理三個方面。
企業風險識別是風險分析和管理中的一項基礎性工作,其主要任務是明確企業風險的存在,并找到主要的風險因素,為后面的風險度量和風險決策奠定基礎。
借助企業風險衡量,以便確定對企業發展影響的嚴重性并采取相應的措施,它其實就是運用一定方法對風險發生的可能性或損失范圍與程度進行估計和衡量。
企業風險處理則是針對不同類型、不同規模、不同概率的企業內外部風險,采取相應的對策、措施或方法,使風險損失的影響降到最小限度。
按照風險的來源不同,可以分為外部風險和內部風險。具體地講:企業外部風險包括:顧客風險、競爭對手風險、政治環境風險、法律環境風險、經濟環境風險等;企業內部風險包括:產品風險、營銷風險、財務風險、人事風險、組織與管理風險等。
2.企業風險管理現狀分析
宣鋼公司始終堅持“七統一”的經營管理模式和“集中一貫制”的管理原則,在明確各職能部門歸口管理職能和職責的基礎上,把握關鍵,完善制度,突出規章制度的標準化和剛性管理。自2010年開始,宣鋼公司堅持圍繞安全生產、現場管理、財務管理、產品研發、基礎管理、標準化作業、物資檢驗、工程建設、互助檢修、能源管控、綜合利用、物流、質量、環境保護等方面,不斷梳理和重新修訂各項規章制度500多項,目前已形成了一套與當前生產經營流程緊密銜接的較為完整的內部管理制度,對公司財務、市場、運營、法律等方面的風險管理發揮了重要作用。
此外,宣鋼公司為建立高效、精干的組織機構,提高專業化、系統化管理水平,在修訂、完善公司各職能部門主要職責和管理權限的同時,進一步加強、加快權力運行機制建設,按管理崗位嚴格設定權責,固化管理(業務)流程,明確各崗位管理范疇。使得部門職責與權力運行機制從職能部門和具體崗位權責兩方面交相呼應,共同構成宣鋼公司完整的業務(事務)操作權限指引,進一步理順了管理體制,強化了風險控制,減少和杜絕管理空白,優化了資源配置。確保國有資產保值、增值。
3.企業風險管理存在的問題
一是宣鋼公司未建立全面風險管理組織體系,主要依靠各業務管理部門完成風險信息收集、風險評估等基礎工作,并依據各專業系統管理規章進行事中的風險管理,而在公司整體層面上未建立統一風險管理策略和風險管理方案,風險管理工作相對較為分散。
二是風險管理工作主要集中在業務層面,由公司各業務部門構建了風險管理的第一防線,而未明確建立風險管理職能部門或董事會的第二道防線以及內審部門的第三道防線。
三是員工風險管理意識不強,沒有將風險管理意識轉化為共同認識和自覺行動,風險管理文化建設還需進一步加強。
四是風險管理信息系統不夠完善,缺乏風險管理的信息技術手段,無法通過信息系統實現風險預警。
4.加強企業風險管理的思路及重點工作
一是加強風險管理文化的宣傳力度,將風險管理文化建設融入公司文化建設全過程,增強員工風險管理意識。針對當前鋼鐵行業嚴峻形勢,采取多種途經和形式,加強對風險管理理念、知識、流程、管控核心內容的培訓,培養風險管理人才,培育風險管理文化。
二是盡早建立和完善風險管理組織體系,明確公司法人治理結構、風險管理職能部門、內部審計部門和法律事務部門以及其他有關職能部門、業務單位在公司全面風險管理中的職責、權限,使公司全面風險管理工作實現統一領導、協調運行的總體目標,從而確保公司形成高效運轉、有效制衡的監督約束機制。
三是逐步構建風險管理的三道防線,將風險管理工作與薪酬制度和人事制度相結合,增強各級管理人員特別是高級管理人員風險意識,防止盲目擴張、片面追求業績、忽視風險等行為的發生。
四是根據國家五部委聯合下發的《企業內部控制制度》要求,并按照集團公司統一安排,適時啟動宣鋼公司內控體系建設工作,將內控建設與全面風險管理體系的健全有機結合,構建完善的公司全面風險管理體系。
五是加強風險管理信息系統建設。在對公司ERP系統的管理功能進一步完善、開發的基礎上,建立涵蓋風險管理基本流程和內部控制系統各環節的風險管理信息系統,實現對風險的計量、定量分析與定量測試工作。
5.結語
「關鍵詞 企業風險 風險管理 風險管理審計
由于各種不確定性因素,企業面臨著各種風險,能否對風險進行有效的管理和控制,是企業能否生存發展、實現企業預期目標的關鍵。企業風險管理的有效性在一定程度上取決于企業對風險管理工作的監督和評價。因此,無論是國際內部審計師協會對內部審計的定義,還是我國的內部審計準則都強調了內部審計在企業風險管理中的重要性。我國從2005年5月1日起施行的內部審計具體準則第16號———《風險管理審計》中更是強調了內部審計人員對風險管理進行審查和評價的職責。
一、企業風險及風險管理的內涵
進行企業風險管理審計,必須明確企業風險及風險管理的內涵。否則,企業風險管理審計便無從談起。
1 企業風險的實質
首先,風險產生于不確定性因素的存在,如果企業運行的內外環境是確定的,則不存在企業風險。其次,企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說,我們更注重企業的運行結果,對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此,可以認為,企業風險則是企業運行結果偏離期望結果的可能性。筆者認為,企業目標是企業期望達到的一種結果狀態,但由于相關因素的持續不斷的變化,企業目標的實現存在不確定性。因此,企業風險可以描述為企業目標不能得以實現的可能性。
2 企業風險的劃分
企業風險可以按多種標準進行分類。筆者認為,既然將風險定義為企業目標不能得以實現的可能性,那么,企業風險可以按照企業目標的不同層次來理解和劃分,并可將其相應劃分為:
(1)企業的戰略風險是指企業戰略目標不能實現的可能性,主要包括:由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險;由于企業的具體戰略選擇失誤而帶來的風險,包括企業經營領域的選擇風險、企業并購風險等。
(2)企業日常經營管理風險是指企業具體經營目標不能實現的可能性,又可以劃分為企業經營環節的作業鏈風險,如企業供、產、銷等環節的風險;企業的人事風險,如由于人員任用、授權、業績評價等方面的缺陷帶來的風險;企業的信息風險,如企業信息系統風險等。
(3)財務風險。狹義一般是指由于企業籌措資金而形成的風險,并主要是指企業由于舉債而形成的風險,也可稱之為籌資風險。按照本文對風險的定義,即企業目標不能實現的可能性,則企業的財務風險是指企業財務活動目標不能得以實現的可能性,包括籌資風險、資金投放的風險及企業其他財務活動風險,我們可以稱之為廣義的財務風險。
3 企業風險管理
COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程,它由董事會、管理當局和其他人員執行,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在風險容量之內,并為主體目標的實現提供合理保證。”
我國內部審計協會2005年的內部審計具體準則16號—《企業風險管理審計》中指出“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”
從上述對風險管理的解釋可以看出,企業風險管理的最終目標是為企業目標的實現提供合理的保證。
二、企業風險管理審計的目標
對企業風險管理進行監督和評價是現代內部審計發展的結果,企業風險管理審計的目標取決于對企業內部審計的功能定位。
從西方企業內部審計的產生和發展過程來看,內部審計是隨著經濟的發展,企業內部管理層次的增多和控制范圍的擴大,基于企業內部經濟管理與監督的需要而產生的,并隨著管理的需要而不斷發展。隨著內部審計的不斷發展,內部審計的目標也在不斷地變化,其中以國際內部審計師協會(IIA)對內部審計所下定義的變化最具有代表性。國際內部審計師協會(IIA)理事會指出內部審計是一種獨立、客觀的保證和咨詢活動,其目的是增加組織的價值和改善組織的經營。
我國的內部審計不是在企業內部管理需要的動因下發展起來的,而是在政府的要求下,在國家審計部門的推動下建立起來的。1993年國家審計署成立,為了盡快建立和完善審計體系,補充剛剛復興的國家審計力量的不足,政府和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展,企業內部審計越來越受到各方面的重視,對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出:內部審計是組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。
從內部審計的發展過程可以看出,企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于:通過內部審計機構和人員對企業風險管理過程的了解,審查并評價其適當性和有效性,提出改進建議,促進企業目標的實現。
三、企業風險管理審計的內容
風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體的風險管理進行審查與評價,也可對職能部門的風險管理進行審查與評價。因此,筆者認為企業風險管理審計應當包括以下方面的內容:
(一)風險管理機制的審查與評價
企業的風險管理機制是企業進行風險管理的基礎,良好的風險管理機制是企業風險管理是否有效的前提。因此,內部審計部門或人員需要審查以下方面,以確定企業風險管理機制的健全性及有效性。包括:
1 審查風險管理組織機構的健全性。企業必須根據規模大小、管理水平、風險程度以及生產經營的性質等方面的特點,在全體員工參與合作和專業管理相結合的基礎上,建立一個包括風險管理負責人、一般專業管理人、非專業風險管理人和外部的風險管理服務等規范化風險管理的組織體系。該體系應根據風險產生的原因和階段不斷地進行動態調整,并通過健全的制度來明確相互之間的責、權、利,使企業的風險管理體系成為一個有機整體。
2 審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序,以確保風險管理的有效性。
3 審查風險預警系統的存在及有效性。企業進行風險管理的目的是避免風險、減少風險,因此,風險管理的首要工作是建立風險預警系統,即通過對風險進行科學的預測分析,預計可能發生的風險,并提醒有關部門采取有力的措施。企業的風險管理機構和人員應密切注意與本企業相關的各種內外因素的變化發展趨勢,從對因素變化的動態中分析預測企業可能發生的風險,進行風險預警。
(二)風險識別的適當性及有效性審查
風險識別是指對企業面臨的,以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。內部審計人員應當實施必要的審計程序,對風險識別過程進行審查與評價,重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。筆者認為應當包括以下內容:
1 審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析,風險識別是關鍵性的第一步。
2 審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調查研究之后,運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類,并總結出企業面臨的各種風險。風險識別方法所要解決的主要問題是:采取一定的方法分析風險因素、風險的性質以及潛在后果。
需要注意是,風險管理的理論和實務證明沒有任何一種方法的功能是萬能的,進行風險識別方法的適當性審查和評價時,必須注重分析企業風險管理部門是否將各種方法相互融通、相互結合地運用。
(三)風險評估方法的適當性及有效性審查
內部審計人員應當實施必要的審計程序,對風險評估過程進行審查與評價,并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時,內部審計人員應當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。
內部審計人員應當對管理層所采用的風險評估方法進行審查,并重點考慮以下因素:
(1)已識別的風險的特征;
(2)相關歷史數據的充分性與可靠性;
(3)管理層進行風險評估的技術能力;
(4)成本效益的考核與衡量等。
3 審查風險評估方法應當遵循的原則
內部審計人員在評價風險評估方法的適當性和有效性時,應當遵循以下原則:
(1)定性方法的采用需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性;
(2)在風險難以量化、定量評價所需數據難以獲取時,一般應采用定性方法;
(3)定量方法一般情況下會比定性方法提供更為客觀的評估結果。
(四)風險應對措施適當性和有效性審查
內部審計人員應當實施適當的審計程序,對風險應對措施進行審查。
關鍵詞:電網企業;風險管理;審計
作者簡介:梁國棟(1977-),男,河南新鄉人,北京英大長安風險管理咨詢有限公司咨詢業務一部主任,國家注冊管理咨詢師,國際注冊內部審計師,經濟師。
中圖分類號:F272 文獻標識碼:A 文章編號:1007-0079(2013)14-0183-02
隨著國務院國資委《中央企業全面風險管理指引》和財政部等五部委聯合頒布的《企業內部控制規范》的先后出臺,國家部委和監管機構日益重視央企風險管理工作,國家電網公司系統在公司總部的正確引領下,正在大力推進全面風險管理體系和內控體系建設,并在完善組織架構、運營體系建設、專項領域研究和風險文化建設等方面不斷取得突破。
內部審計職能作為電網企業全面風險管理體系的第三道防線,需要運用科學的風險管理審計方法,對已有風險管理工作進行客觀、真實和有效地評價,責任重大。然而,風險管理審計作為一項尚未完全成熟的審計職能,仍需對其進行不斷研究。
一、電網企業風險管理審計理論簡述
中國內部審計具體準則第16號《風險管理審計》指出“本準則所稱風險管理審計,是指內部審計機構、內部審計人員依據國家法律、法規、政策和標準,獨立、客觀地對本組織風險管理和治理過程進行監督、評價和咨詢,提出改進和加強風險管理的意見或建議的行為”。
根據以上定義,電網企業風險管理審計是指電網企業內部審計部門采用系統化、規范化的方法來進行以測試風險管理體系建設、各業務循環以及相關部門的風險識別、風險評估、風險控制等為基礎的一系列審核活動,從而實現對電網企業風險管理工作適當性、有效性的評價,促進電網企業提高風險管理工作的效率和效果。
風險管理審計作為內部審計的嶄新領域,與傳統的財務審計、制度審計等相比具有兩方面的差異。
一是風險管理審計與企業目標直接關聯。傳統內部審計將著眼點放在財務結果、經營管理活動等方面,并沒有與企業戰略、經營目標相聯系。而風險管理審計則是立足企業經營目標,對影響目標實現的不確定性因素的管理進行審計,把握企業整體和各流程、各部門的風險,通過“目標—風險—管理—審計”的路線將審計對象與企業目標直接聯系,從而更好地為企業服務。
二是風險管理審計將原有審計關口前移。在傳統的審計模式下,審計的目的是對已經發生的事件進行檢查和分析,從而揭示已經發生的風險事件、差錯和舞弊。而風險管理審計則立足企業重大風險,對風險的管理過程和效果進行測試、評價和反饋,充分體現事前審計的思想,由原先消極的以“發現和評價”為主的內部審計活動轉向積極的防范和解決問題的內部審計活動。
電網企業面臨的高風險經營環境日益復雜,帶來了自身風險管理需求的提升,如何有效評價風險管理工作是引起電網企業風險管理審計產生的內部背景,與此同時,電網企業風險點眾多,內部審計部門還需要對重大風險點進行風險管理專項審計。因此,電網企業引入風險管理審計需求強烈。
二、風險管理審計與企業風險管理的關系
電網企業開展全面風險管理體系建設是一項龐大的系統工程,一方面需要搭建公司級的組織體系、制度體系、流程體系和文化體系,另一方面又要整合原有風險管理工作成果,例如安全風險管理(涉及電網、設備和人身)、財務風險管理、營銷風險管理等。為確保風險管理的充分性和有效性,對風險管理進行持續監控必不可少。
在電網企業全面風險管理體系建設過程中,管理層在做出風險管理決策方面負主要責任,而審計人員在管理層的風險決策方面可以提供建議、質疑或者支持,通過運用風險管理方法和技術,對風險管理過程的充分性和有效性進行檢查、評價和報告,提出改進建議和意見,為電網企業管理層提供有關決策參考。
因此,風險管理審計的目標就是內部審計部門采用系統、科學的審計方法,結合風險管理工具,對電網企業風險管理工作的完整性、合理性和有效性進行評價。
三、電網企業風險管理審計的內容與方法
國家電網公司目前開展的全面風險管理體系建設工作已經取得了豐碩的成果,根據國網公司系統風險管理體系建設取得的經驗,一個設計完整、運行有效的風險管理體系應該包括兩個層面的風險管理體系,即公司層面風險管理體系和業務層面風險管理體系,內審部門開展風險管理審計工作的內容,應立足上述兩個方面實施,具體如圖1所示。
如圖1所示,電網企業內審部門可以采取“立足一個體系、抓住兩個層面”的工作思路,從公司層面對電網企業開展風險管理體系建設工作的完整性和有效性進行評價,從業務層面對電網企業開展風險管理具體工作的設計有效性和執行有效性進行評價。
在整個風險管理審計過程中,內審部門在公司層面的風險管理審計中往往不用花費過多的精力,而業務層面風險管理則是整個風險管理審計工作的重中之重,一般而言,針對業務層面風險管理的審計可采取如下方式:
1.立足風險管理策略
風險管理策略是電網企業面對公司各類風險的態度,它包括風險偏好、風險承受度等內容。風險管理策略制定的科學與否直接關系到后續風險管理工作的成敗,因此在具體審計過程中,必須牢牢抓住風險管理“策略制定程序的合規性、策略選擇方法的科學性和策略選擇結果的適當性”這三個關鍵問題。
2.關注企業目標設定
風險的定義是“不確定性對目標的影響”,因此在風險管理審計過程中,要首先關注目標設定是否恰當,是否是管理層或各部門的關注目標。一旦目標發生偏移,則再科學、有效的風險管理工作也將毫無價值,因此在具體審計過程中,應關注設定目標的準確性和適當性。
3.抓住風險識別范圍
在目標設定的情況下,風險識別的結果將會對電網企業風險狀況的了解產生重大影響。因此,內審部門在審計過程中,應重點關注風險識別的方法是否適當、過程是否嚴密、結果是否完整。一般意義上,針對設定目標識別出的風險應該是窮盡的,而且是基于原因的(對目標實現有影響的原因或者因素)。
4.分析風險評估標準
評估標準在一定意義上是電網企業風險偏好和承受度的直觀反映,風險評估標準涉及到風險發生可能性和影響程度兩個維度,審計時要充分考慮到評估標準在電網企業風險偏好的影響下,其風險承受度的極大值和極小值是否與標準相符,因此在開展該階段審計時,應重點關注風險管理標準設計的前后一致性、科學性和適用性,
5.判斷風險控制措施
風險控制措施往往都是針對重大風險而設計的,因此,針對風險控制措施的審計,首先要特別關注該控制措施是否是對重大風險有針對性;其次要關注控制措施設計的全面性;最后要關注所設計控制措施的有效性。審計關注重點可包括風險成因分析、措施制定情況、工作節點安排、具體責任歸屬和控制預期成果等方面。
6.審視監督改進機制
作為相對獨立的第三方,內審職能還應對電網企業風險管理工作的閉環管理機制進行審計和評價,以判斷其監督改進工作是否開展?如何開展?以及有效性如何?從而為管理層判斷公司風險管理工作的有效性提供證據。因此,審計的關注重點應放在機制是否按照計劃、組織、實施、控制、反饋的閉環回路進行。
7.追蹤重大風險預警
針對重大風險的監控和預警是整個風險管理工作的核心,也是內審部門在有限的審計資源條件下,有效開展風險管理審計工作的重點。電網企業每年年初都會針對當年的風險情況進行識別、評估,確定重大風險,從而集中優質資源予以管控,并設置預警指標予以監控,內審機構可相應地跟進上述過程,并保持應有的職業敏感性和判斷力,從相對獨立、客觀的角度保持對重大風險的追蹤,從而對重大風險的管理工作做到全過程、全方位的評價。
四、電網企業風險管理審計的主要方法
1.問卷調查法
“問卷調查法”是指內審人員針對需要調查了解的風險管理體系構成要素和風險控制點,設計擬調查的問題條款,形成調查問卷以了解風險管理情況的方法。調查問題的提出,應緊緊圍繞風險管理體系中的控制點及其管理措施,即對控制點設置的各項控制措施逐一設計調查問題。問卷調查表的設計一般可分三步進行:一是確定風險管理審計目標;二是根據審計目標,確定所要調查的風險控制點及其控制措施;三是根據控制點及其控制措施擬定具有針對性的調查問題。調查問卷的格式,通常有封閉式和開放式兩種。其要素一般包括:調查單位、調查項目、調查時間、調查問題、被調查人、審計負責人和審計調查人等。
2.流程圖分析
“流程圖分析”是指企業風險管理部門將整個企業生產過程的一切環節系統化、順序化,制成流程圖,從而便于發現企業面臨的風險。內審部門可根據本企業的生產流程,列舉出各個生產環節的所有風險。流程圖通常包括風險點、控制點、審批環節等,能夠直觀反映流程中的風險分部情況。然而,流程圖中往往難以直接顯示控制點的控制措施,因此還需借助風險控制矩陣、權限指引等表單,以配合對流程圖的理解。
3.自我評估法
“控制自我評估”(Control Self Assessment,簡稱CSA)是IIA協會力推的一種風險控制自我評估方法,在發達國家的企業內審工作中應用比較普遍,是指企業內部為實現目標、控制風險而對內部控制系統的有效性和恰當性實施自我評估的方法。其有三個基本特征:關注業務的過程和控制的成效;由管理部門和職員共同進行;用結構化的方法開展自我評估。內審人員可積極推動企業管理層和部門負責人引入與推廣該方法,以實現對風險管理的自我評價。
4.價值鏈分析
“價值鏈分析法”指的是審計人員通過對被審計項目的價值鏈活動進行風險識別并且找出其重大風險,進而對重大風險上的風險管控措施的有效性情況進行評估,同時還對價值鏈的內部聯系和縱向聯系進行風險分析,查找所采取的風險控制措施不適當、高成本或者控制效果不佳的問題,做出重大風險管理措施有效性評價并且提出審計建議的一種工作方法。
5.專家意見法
“專家意見法”是指審計人員依據系統的程序,采用匿名發表意見的方式向專家征求意見,即專家之間不得互相討論,不發生橫向聯系,只能與調查人員發生關系,通過多輪次調查專家對問卷所提問題的看法,經過反復征詢、歸納、修改最后匯總成專家基本一致的看法,作為針對某個風險管理活動的風險管
理情況評價的結果。這種方法具有廣泛的代表性,較為可靠。
6.概率分析法
“概率分析法”又稱風險分析法,是通過研究影響目標實現的各種不確定性因素發生的頻率及其對目標的影響程度,進而對風險的等級做出判斷,并對相應的風險管理措施的優劣作出判斷的一種不確定性分析法。概率分析法常用于對大中型重要若干項目的評估和決策之中。
五、結語
風險管理審計尚處于不斷發展、創新的過程中,在中國企業中的應用尚不普遍,還需要不斷的深入研究。隨著電網企業風險管理工作的不斷深入推進,內審部門作為風險管理的第三道防線,其承擔的監督檢查職能日益重要,內審部門相對獨立、客觀、科學地評價風險管理工作成效將是今后電網企業風險管理工作的重點。
參考文獻:
[1]國務院國資委.中央企業全面風險管理指引(國資發改革[2006]108號)[Z].2006.
[2]石貴泉,王凡林.現代內部審計理論與實務[M].濟南:山東人民出版社,2005.
[3]卓繼民.現代企業風險管理審計[M].北京:中國財政經濟出版社,2005.
摘 要 隨著一系列加強公司治理規定的出臺,公司治理核心要素的風險管理受到了前所未有的關注,企業風險管理的中堅力量內部審計正成為公司治理基石之一。本文介紹了企業風險管理審計的內涵,論述了當前開展風險管理審計工作存在的主要問題及對策,以利于風險管理審計的正確認識和順利實施。
關鍵詞 公司治理 風險管理 內部審計
近年來,由于企業缺乏風險意識,沒有對風險實施實質管理而導致破產或整頓的事件時有發生,促使中國企業越來越重視風險管理。加強風險管理審計是企業發展的需要,也是投資人及利益相關者的需要。
一、風險管理審計的內涵
風險管理審計是內部審計部門采用系統化、規范化的方法,通過對企業全面風險管理活動進行監督和評價,進而改善企業風險管理、增加企業價值、實現企業目標。
二、目前企業風險管理審計存在的主要問題
(一)風險管理審計所處的環境方面
1.企業組織機構及配套制度不健全
目前,大多數企業的組織機構沒有獨立的風險管理部門,風險管理模式是誰主管誰負責承擔,但當發生風險時,相關職能部門又不能全面承擔風險,或是風險承擔的最終主體模糊。
2.管理者對風險重視不夠
企業管理者只是消極、被動的進行風險管理,沒有積極、主動地進行風險管理。同時,有些企業只顧眼前利益,忽視長遠利益,進行風險管理需要耗費一定的人力、物力、財力,而有些企業管理者,考慮到成本或者其他原因而放棄對企業進行全面、系統的風險分析,最終給企業帶來巨大的損失甚至遭受致命打擊。
3.尚未建立科學的、操作性強的風險管理評價標準體系
風險管理審計在我國才剛起步,其相應的評價標準體系尚未建立,實際工作中,有的以國家或行業的相關規定作標準,有的以本企業歷史最好水平或理想水平為依據,這就容易導致評價標準的模糊、偏離實際。
(二)風險管理審計的實施主體方面
1.內部審計人員風險管理意識亟待加強
目前大多數內部審計人員對審計工作的認識仍停留在指出企業已經存在的錯誤和不規范的行為。而對于尚未發生的,需要預測、分析、評價的和企業戰略目標的實現密切相關的風險則認識不夠,阻礙了風險管理審計工作的開展。
2.內部審計人員素質水平不夠高
我國現有內部審計人員綜合素質仍然無法滿足獨立承擔風險管理審計的需要。多數內部審計人員缺乏經濟、管理等知識多元化背景,從專業結構來看,內部審計人員主要來自于會計和審計專業,整體素質偏低,與現代企業發展不相適應,無法勝任對風險管理的評價工作,而尋求專家支持又受到經費和人力資源信息的雙重制約。
3.審計部門風險管理審計工作權責不明
很多企業審計部門不僅要負責建立企業風險管理體系,還要評估風險事項,提出防范措施,這樣的職責分配,削弱了審計工作的獨立性與客觀性。同時,大多數企業審計工作都是對總經理負責,一旦總經理拒絕采納審計部門提出的正確的風險管理意見,則不能有效執行風險管理措施,這本身就是一種公司治理上的重大風險。
三、完善企業風險管理內部審計的對策
(一)企業方面
1.管理當局應承擔起風險管理的責任
董事會負責制定戰略目標,賦予高管層風險的所有權,執行管理層接納剩余風險,運營層持續的識別、評估、減輕和監督活動,內部審計部門定期評價并協助其他部門進行風險管理。因此,管理層承擔著全部風險管理的責任。
2.強化風險意識
市場是動態的,以及受風險預測方法、技術、人員等的影響,不能對風險全面、準確的預測。企業管理層應充分認識到內部審計的地位和作用,保證內部審計部門具有相應的獨立性和權威性,發揮內部審計在風險管理中的重要作用。
3.管理當局應制定符合企業特點的風險管理評價標準體系
企業風險管理部門應對納入風險管理范圍的各項經營活動制訂最低或最高標準。該標準體系應該具有如下特點:特征鮮明,客觀真實,分類清晰,因時而變。根據風險管理對象的不同可以建立相應的風險評價標準。
(二)內部審計方面
1.內部審計人員必須提高認識,準確定位
近年來圍繞公司治理結構出臺的一些新規定,都對內部審計賦予了新的職責。面對出現的新情況和新趨勢,內部審計人員要扮演好“執行情況的評判者”、“增值服務的貢獻者”、“良好文化的倡導者”三個角色,發揮其應有的作用。
2.提高內部審計人員的素質
提高內部審計人員的素質,是發揮內部審計作用的關鍵。內部審計人員應具有強烈的求知欲,及時了解和掌握國家經濟政策、財經法規以及企業、部門規章制度、會計和審計知識等方面的變化信息,加強對稅法、經濟法、企業管理等其他相關知識的學習,努力成為復合型人才。
3.內審部門要注意與董事會、管理層的溝通
在適當情況下,內部審計人員應與管理層、審計委員會和董事會就與風險和風險管理事務中的薄弱環節進行討論。如果審計部門負責人認為高級管理層接受的風險水平與機構的風險管理戰略和政策不一致,或該水平不能被機構接受,審計部門負責人應就此與高級管理層進行討論。
參考文獻:
[1]孟焰,潘秀麗.企業風險管理審計研究.審計研究.2006(3).
[2]向振軍,尹珍麗.芻議企業風險管理審計.黑龍江對外經貿.2006.
關鍵詞:風險評估;報告;內控體系
中圖分類號:F272 文獻標識碼:A 文章編號:1001-828X(2014)010-00-01
風險評估工作與內部控制體系的建設相互促進、有機結合,是企業圍繞總體經營目標,識別企業各業務單元、各項重要經營活動及其重要業務流程中的風險,并對風險發生的可能性和影響程度進行分析、評價和應對的過程。
總體而言,風險評估報告的結構至少應包括四部分內容:其一,企業情況概述,本部分就企業風險評估項目背景、定位與目標、理念與方案三大內容進行概括與總結,便于報告使用者理解本次風險評估工作的基本目標與方法;其二,風險評估實施過程,本部分是整個風險與內控體系建設工作的起點,旨在構建一個具有代表性又有擴展性的通用風險管理標準,從風險管理知識宣傳、風險分類與定義、風險評估標準三大方面初步構建企業風險管理基礎平臺;其三,識別企業面臨的重大風險,根據風險調查問卷和風險調研訪談,識別出企業面臨的重大風險,以供企業管理層參考;其四,風險管理體系的建設,結合企業風險管理的現狀,提出相應的改進措施,包括風險管理組織結構設置、職能設置、工作流程及工作防范建議。
以上四部分在風險評估報告中層層推進,構成完整的風險評估過程,以下作詳細說明。
一、風險評估項目概述
(一)風險評估項目背景
本部分重點介紹企業的成立、發展沿革,行業背景,分子公司情況以及業務架構、組織結構等。編制企業風險評估報告的重要意義在于企業管理層希望借助風險評估項目,有效識別和評估影響本企業戰略和經營目標的內外部風險源,并通過健全重大風險的應對與管控機制,有效地平衡好風險與收益,提高企業風險防范能力,從而防范和降低各類風險對企業經營的沖擊,為企業實現戰略和經營目標保駕護航。
(二)關于風險評估項目定位與目標
風險評估項目旨在達成三大目標:其一,建立風險管理基礎,構建一個具有代表性又有擴展性的通用風險管理標準,統一企業的風險管理語言和標準;其二,明確重大風險領域,采用全面梳理與重點分析相結合的方式,識別和分析企業戰略、經營、財務與合規領域中的重大風險,協助管理層統一對風險的認識;其三,團隊能力建設與知識培養,加強和提高企業總部和各業務群管理團隊對風險管理工作的參與度和認知,最大程度實現知識轉移。
二、風險評估項目實施過程
(一)關于判斷風險分類與定義
應從企業戰略出發,參考COSO內部控制整合框架、行業風險數據庫以及企業的風險管理實務,并結合企業的戰略目標、實際情況等因素,建立適用于本企業的風險數據模型(即風險地圖),從戰略風險、運營風險、合規風險及財務風險四大方面對企業所面臨的風險進行分類和定義,從而為統一公司的風險管理語言奠定基礎。
(二)關于設立風險評估標準
為了對上述四大類風險的重要性進行評定并據此明確風險管理的優先次序和資源配置方向,應從風險發生可能性和風險影響程度兩個維度建立符合企業實際情況的風險評估標準,以反映風險發生可能性由極低至極高,和風險影響程度由極輕微至災難性的不同等級。
(三)關于實施風險評估過程
為了協助管理層更好地理解和評估風險,應以風險數據庫和評估標準為基礎,通過風險調查問卷的發放、收集與統計,風險調研與風險訪談等多種形式,在企業總部和業務群開展多層次、全方位的風險識別與評估工作。通過上述工作,不僅協助企業管理層評估重大風險領域所在,而且還能分析其可能影響的戰略及經營目標,從而為企業明確風險責任,改進相關重點業務領域中的風險管控措施明確方向。
三、針對企業風險評估的調研結果
結合風險調查問卷與風險調研訪談的結果,企業管理層對影響本企業戰略和經營目標實現的眾多風險進行客觀評估,并由此明確前幾大風險的優先次序。這些風險可能是:產業(產品)戰略和多元化、戰略規劃、市場營銷、風險管理體系建設、公司高層的基調、品牌及聲譽管理、銷售模式、客戶結構風險、人力資源規劃及政策、組織結構等等。這些風險并不是獨立存在,在實際經營環境中,各類風險往往互相影響、互相牽制,共同對企業實現經營目標產生影響。為此,還應對上述重大風險及其內在關系進行相應的邏輯分析,以協助管理層梳理各項重大風險之間的關系。
四、企業風險管理體系搭建
一套成熟完善的風險管理框架包括戰略(目標)、風險以及流程與控制。企業戰略處于企業管理及風險管理體系的最高層,是企業風險管理以及流程內控建設的出發點,風險管理體系必須緊緊圍繞企業戰略。風險則是影響企業戰略管理體系的實施與戰略目標達成的不確定因素,企業需要將外部環境、內部經營與戰略目標進行對比,以識別出影響企業戰略的重要風險。企業流程與管控體系則是風險管理體系的重要落腳點,完善的風險管理體系可以從企業的流程、制度等管控體系中識別出影響,并從風險管理體系的制度及流程建立風險應對措施。
(一)風險管理體系現狀分析
一套完善的風險管理體系通常由業務部門、風險管理部門和內部審計部門組成的“三道防線”共同構成。通常,企業均能初步搭建起風險管控體系的三道防線,如:1.各業務部門負責關注各業務領域內的風險并采取相應的控制措施降低風險;2.企業管理部負責公司運營風險管理,對運營風險進行預警和控制,為公司的經營、管理決策提供可行性、合法性分析和法律風險分析;3.審計監察部主要負責集團的財務審計、經營活動審計及其他專項審計。
(二)風險管理工作規劃
風險管理與內部控制體系的建設密切相關,相輔相成,沒有完善配套的內控體系,風險管理就如同紙上談兵、空中樓閣;而缺少風險管理的內控體系建設,會由于缺乏足夠的針對性而效率低下、浪費資源。
無論是《企業內部控制基本規范》或是COSO ERM模型,都將企業的目標分為四大類別,包括:戰略目標、經營目標、財務目標和合規目標。風險是影響企業目標實現的不確定性,而內部控制則是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。因此,企業有目標就會有風險,而針對每個風險就會有相應的內部控制,以管理風險,從而合理保證目標的實現。
風險評估項目實施過程中,應協助企業初步搭建結合先進理論基礎、契合企業實際情況、符合國家監管要求的內部控制體系框架,將風險匹配到內控體系框架,并完成對該體系框架的評估、梳理和建設工作。
在此基礎上,需要進一步開展風險管理工作,逐步完善風險管理和內部控制體系,依據風險分層管理、分類管理和集中管理的要求,建立符合企業自身特點的全面風險管理組織體系。另外,在充分考慮企業規模以及業務發展需要的基礎上,針對近期及未來風險管理工作的重點,提出相應的參考及建議。如:完善企業風險管理組織架構中各管理層級的崗位職責。完善三道防線,其一,各風險責任部門的日常管理工作,包括,風險責任人、風險聯絡員等;其二,風險管理部門的管理工作,風險管理涉及公司的方方面面,建議由總裁、執行總裁等高級管理人員組成的風險管理委員會,負責公司整體風險管理工作,風險管理委員會下設風險管理部門,負責各業務部門風險管理工作的協調;其三,審計監督工作,審計監察部應對風險管理進行審查和評價,對風險管理工作進行監督,即對風險管理過程的設計和執行的有效性進行評價,并給出評價意見;審查和評價重大風險的評估和管理是否適當,將評價結果向審計委員會匯報。
風險評估工作結束后,形成風險評估報告,反映企業的風險及其分布狀況,為領導決策提供支持。通過風險辨識、風險分析及風險評價,形成風險評估初步結果后,就風險評估結果的真實性、準確性向企業風險管理委員會征求意見,并根據反饋的意見,調整、修正企業的風險評估結果,編寫出企業的風險評估報告,上報風險管理委員會或董事會進行審議。
參考文獻:
[1]企業內部控制基本規范.財政部,證監會,審計署,銀監會和保監會聯合.
【關鍵詞】企業;風險管理;審計;問題;對策
經濟的快速發展促使我國經濟中不確定因素在持續不斷增加,由此就會造成企業在發展的過程中將面臨更多的風險,對企業的發展造成極強的阻礙作用。對此,就需要相關部門針對企業風險管理審計中存在的問題進行有效的分析與研究,進而根據其中存在的問題進行針對性的解決,找出切實有效的應對措施,以此來加強并提升整個企業的風險管理審計,促使企業得以高效的運行與管理,提升企業在市場競爭中的主要地位,促使企業得以更好更快發展。
一、我國企業風險管理審計存在的問題
1.制度化與規范化的不健全
在我國,進行企業風險管理審計工作的時間較短,在很多方面的工作及制度都還不夠完善。因此,就會造成企業的風險管理部門在進行自我評價方面的能力較弱。同時,就目前我國的發展現狀來看,沒有一套完整的、全面的風險管理審計的標準及制度,與之相關的法律制度與體系之間也存在著很多的問題,由此造成了企業在進行風險管理的過程中有著較大的隨意性,所實施與開展的相關工作缺乏標準規范,對整個企業的發展會造成不利的影響。
2.內部控制環境不完善
企業在發展的過程中的內部控制環境是企業進行風險管理的基礎性因素,但是在企業管理的過程中法人治理結構的中缺少能夠進行相互制約的機制,進而在發展的過程中對企業內部控制的作用產生了極大地影響,阻礙了內部控制的作用,進一步對我國企業內部控制環境的基礎作用造成了極其重大的影響,對企業的發展目標、規劃、業務活動等造成了一定的影響,致使我國企業相關人員在風險的管理、識別以及評估方面出現了或多或少的錯誤。
3.風險管理審計技術落后
由于我國企業風險審計的起步較晚,且尚處于初級發展階段,因此所應用的風險管理審計技術較為落后,沒有能夠和當前的信息化相連接。此外,很多企業從事風險管理審計工作的人員業務素質及能力水平較低,進而在實際的工作過程中就會頻頻發生錯誤,增加了審計工作的難度,降低了審計工作的工作效率,給企業風險管理審計工作帶來了很多負面、消極的影響
二、我國企業風險管理審計的對策
1.健全風險管理審計相關制度及政策
隨著國際市場經濟的不斷發展,致使我國很多企業在市場競爭過程中的壓力不斷加大,進而造成很多國際型的跨國公司出現風險管理不善的情形,進而面臨著破產及倒閉的狀況,據此,我國相關的政府部門需要針對當前企業發展現狀來建立健全企業風險管理審計相關制度及有效的政策,由此來保障并促使企業能夠實現長期、穩定的發展與建設。此外,還需要健全相關的法律制度,進而促使相關企業在進行風險管理審計工作時能夠有所參照及依據,引導企業在風險管理審計的過程中降低企業風險發生的可能性。
2.擴大風險管理范圍
通常情況下,企業在進行風險管理的部門不僅包括財務會計部門,同時企業中的生產經營部門以及后勤保證部門、安全保衛部門等都需要進行企業的風險管理。而這些部門在開展企業風險管理審計的過程中需要依據各部門的在當前發展情況下所要面臨的風險進行有效的評估與檢查。企業的生產部門就需要對相關產品的功能設計、生產技術及相關生產工藝方面等順應時代的發展進行有效的改進與更新,對企業的生產效益進行有效的控制與管理等等。而企業的安全保衛部門在進行風險管理審計的過程中則是要對企業內部相關安全措施的安排以及落實情況進行監督、管理與檢查等等。由于企業風險管理審計的范圍及內容較多,因而在實際的審計過程中需要從風險管理成本、管理收益等方面進行評價,開展相關的監督風險管理措施,并在審計過程中不斷的發現問題、解決問題,由此來提升并完善企業風險管理工作。
3.優化審計方法
企業風險管理審計是從企業的風險經營以及風險管理方面作為基礎,通過對相關財務報表進行研究而分析企業的審計風險,并逐步的開展計計劃,設施審計程序等等。企業的這種風險管理設計的方面能夠全方位的滿足企業風險管理的相關要求,對企業內部的環境變化進行有效的控制。對此,企業在內部審計的過程中可以通過選擇被審計者、制定審計計劃、初步調查、審查內部控制、擴大性測試、形成審計報告等多個步驟逐漸的對內部的風險進行控制與管理。與此同時,企業在發展的過程中還可以借鑒先進的管理經驗,對審計的方法進行優化,進而不斷的提升風險管理審計的效率。
三、結語
目前,我國企業的風險管理審計工作仍處于發展的初級階段,很多企業正在風險管理審計的路上不斷的探索與前行。通過開展風險管理審計能夠有效的提升企業對于風險管理的能力。但是由于我國企業風險管理審計的起步較晚,在實際的工作中存在著很多的問題,因而通過有效的提升風險管理審計的措施及工作方法,能夠有效的提升企業內部風險管理審計工作的效果及效率,進而提升企業在市場中的競爭力。
參考文獻:
[1]李建文.對內部審計參與企業風險管理的認識[J].經濟師,2010(7).
