时间:2024-01-23 15:43:12
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇企业风险管理标准范例。如需获取更多原创内容,可随时联系我们的客服老师。
JEL分类号:G23 中图分类号:F832.39 文献标识码:A 文章编号:1006-1428(2011)11-0112-04
一、企业年金风险管理分析
企业年金是指企业在参加国家基本养老保险的基础上依据国家政策和自身经济状况建立的对基本养老保险进行补充的养老保险形式,是养老保障体系“三支柱”中的“第二支柱”。2005年以来,我国先后评审认定了来自银行、保险、证券、基金、信托行业的两批企业年金管理机构。截至2010年底,我国已有3.7万家企业建立了企业年金计划,涉及员工1300余万,资金规模逾2800亿。
风险是指不确定性对目标的影响,风险管理可以定义为一个组织对风险所采取的指挥和控制的协调活动。风险管理是与金融业发展相伴的永恒课题,关系到退休人员补充养老金问题的企业年金也不例外。
企业年金的风险管理主要关注受益人从参与年金计划直至取得最终收益全过程中所面临的风险。主要包括企业年金各管理机构间信托、委托合同关系执行中违约产生的信用风险,企业年金资产保值增值过程中投资所面临的市场风险,因为制度缺陷、人员因素、科技因素导致的操作风险等。中国市场上的企业年金风险具有多行业多机构联合运营使风险复杂化,业务导向型市场影响企业年金健康发展,信息透明度低于公募基金等特点。
企业年金是退休人员的“养命钱”,具有强烈的低风险偏好,追求在相对安全的前提下实现保值增值.所以加强其风险管理研究和实践的意义重大,影响到国家养老保障体系的建设和企业年金自身的发展。本文首次将风险管理标准ISO31000引入中国企业年金研究领域,结合我国金融市场和社会保障特点,对该标准在企业年金风险管理中的应用策略展开研究。
二、ISO31000及其引入企业年金管理的论证
(一)ISO31000标准及其应用价值
ISO31000:2009《风险管理――原则与指南》是国际标准化组织ISO于2009年11月15日的国际标准。该标准的制定起步于2004年,ISO技术管理局组建了由澳大利亚专家任主席、28国专家组成的风险管理工作组(RMWG),历经WG稿、CD稿、DIS稿、FDIS稿等版本最终定稿。标准正文包括范围、术语与定义、原则、框架、过程共五部分。我国国家标准GB/T 24353参考了ISO31000的DIS稿。
因为全球第一个企业层面的风险管理标准AS/NZS 4360是ISO31000的起草基础和重要参考文本。所以ISO31000在企业有很高的应用价值。虽然正式的时间不长,但ISO31000已经被中国企业关注.部分实施SOX法案404测试的企业对该标准展开了学习,某金融机构的博士后工作站也将如何应用该标准列为正式研究方向。
(二)将ISO31000引入企业年金管理的论证
在中国企业年金风险管理的研究与实践中.有关学者和机构已经借鉴COSO、Basel、CAS、Towers Perrin展开了很多有益的工作,但ISO31000在中国企业年金管理领域尚未被引入。
第一,必要性论证。我国企业年金风险管理的标准化工作尚未启动,在借鉴国外风险管理的协议、框架等经验的同时,应该适时引入风险管理的标准。中国企业年金管理机构归属于不同行业,仅参考行业属性强的风险管理制度(如银行业的Basel)不利于化解行业差异,需要一套更有通用性的标准指导管理工作。
第二,可行性论证。ISO31000是第一个面向企业风险、个人风险、公共风险等各类风险的通用性风险管理的国际标准,综合了30多个国家/地区的风险管理标准编制经验,淡化了行业属性和国别色彩,能够涵盖企业年金管理中面对的信用、市场、操作等各类风险。
第三,应用意义。按照ISO31000的制定方针.企业年金风险管理中应用ISO31000可以使企业年金利益各方“提高实现其目标的可能性”,“鼓励主动管理”,“提高各方识别、应对风险的意识”,“改进对机会和威胁的识别”,“符合相关法律法规和国际规范”.“改进信心和信任”,“为风险应对有效地配置和使用资源”,“改进运营的有效性和效率”。
三、企业年金管理应用ISO31000的原则研究
(一)标准的性质与定位
在企业年金管理中应用ISO31000中要首先明确标准的性质。首先,1SO31000是风险管理的指南,但不具有管理要求和管理体系的性质。其次,本标准在ISO系列标准中突破性地强化原则的重要性.指出了风险管理的11项原则。再次,本标准可以用于组织内部和合同关联方的审核或评价,但不是一个认证标准。
(二)标准的执行主体
企业年金风险管理的执行主体是年金管理机构(受托人、账户管理人、投资管理人、托管人),同时也需要企业客户(委托人)和监管机构的监督。监管部门设置四类管理机构,在职责隔离、相互制衡以控制风险的同时,机构间信息流、资金流的复杂走向也为风险管理增加了难度。其中,受托人作为最终责任人.承担着风险管理标准落实核心的角色。
(三)标准实施的难点
第一,一个年金计划往往要涉及多家机构,存在大量信息与资金交互,还存在合同到期后机构间转移的可能,这些为ISO31000的实施增加了复杂度。第二,销售导向型市场现状下,年金管理机构盈利困难.实施一套完整的国际风险管理标准却需要大量成本。第三,年金管理机构间短期内难以实现完全的数字化信息交互,系统性的信息不通畅会影响风险管理标准的具体落实。
(四)标准实施的重点
第一,年金管理机构所在的不同行业已实行风险管理的程度不同,银行、证券、保险、基金、信托机构间风险管理成熟程度不同,行业管理标准不同.ISO31000是统一标准的好契机,但同时也需要在不同类型机构应用时因地制宜。第二,ISO31000因其通用性。相对抽象与笼统,需要企业年金管理机构结合业务实务进行大量研究探索。第三,标准实施中要从四种管理资格、多类型风险、计划执行生命周期多个阶段三个维度综合考虑。
四、基于ISO31000的企业年金风险模型设计
(一)风险模型设计
本文结合ISO31000中风险管理过程一章的思想和中国年金管理机构的管理实务,将企业年金风险管
理模型设计如图l。建立环境、风险识别、风险分析、风险评价、风险应对、监测与评审,构成年金风险管理的完整闭环,循环于计划建立、计划运营、计划终止转移等各个阶段,面向信用、市场、操作三类风险。
在建立环境环节,年金管理机构需要清楚地表达工作目标,确定内外部参数,这是管理风险和为维持风险管理过程而制定范围、风险准则时必须考虑的。在风险识别环节,年金管理机构需要通过历史数据、理论分析、专家意见和利益相关方需求对风险源、风险事件、风险原因和它们的潜在结果进行分析。在风险分析环节,风险管理部门应考虑分析的详细程度及变化、与风险本身的依赖性等,可以定性、半定量、定量或采用它们的组合。在风险评价环节,以基于风险分析结果的决策为目的,根据风险需要应对和实施应对的优先顺序进行决策。在风险应对环节,选择一个或多个改变风险的方式,评估采取应对措施后残余风险的等级是否可以容忍,如果不容忍则应提出新的风险应对。沟通与咨询工作存在于上述各个环节。监测与评审工作可以是定期或临时的。
(二)机构风险管理差异
除了模型中通用性管理外,根据四种管理资格间的信息流与资金流,对于不同管理资格风险管理的差异和涉及的风险管理工具总结如图2,图中实线为资金流,虚线为信息流。
五、企业年金管理中实施ISO31000的步骤规划
图3表示了年金管理机构将风险管理整合入企业年金现有管理体系和不同职能阶段的过程步骤。
第一,授权与承诺。该阶段对应企业年金合同管理。为确保企业年金风险管理的有效性,需要与委托人形成有效的约束合同,明确风险管理的终极目标,即以保值增值为基础,追求年金给付时的较高收益水平.提高受益人退休后的养老金替代率。而机构管理层需要提供强有力和持续性的承诺,将风险管理提升到公司层面而非停留在风险管理部门层面。
第二,管理风险框架设计。该阶段对应企业年金计划建立。管理风险框架的设计中,首先要考虑年金管理机构所属的行业,根据银行、证券、保险等不同行业的环境特点研究风险框架;年金管理机构应依据组织的目标、方针,建立风险管理方针,明确管理风险的责任、职责及处理年金计划各方利益冲突的方式,对风险管理部分提供必要资源,确定测量和报告风险管理绩效的方式:机构明确风险管理责任与责任人;将风险管理以关联的、有效的、高效率的方式嵌入机构的年金计划管理全过程:机构为风险管理配置适当的人力物力财力资源:建立内部各管理单元的沟通机制和对管理层的报告机制;建立对客户和监管机构等外部单位的报告机制。
第三,实施风险管理。该阶段对应企业年金运营管理。年金管理机构需制定风险管理框架实施的时间计划,加强与各方面的沟通、咨询,掌握全面信息.加强培训,确保风险管理框架的实施结果与计划目标的一致。
第四,框架的监测与评审。该阶段对应企业年金基金监督。年金管理机构应按照确定的指标测量风险管理绩效和风险管理计划的进展,定期评审风险框架的合理性和有效性。
第五,框架的持续改进。该阶段对应企业年金的系统改进、客服管理。以监测和评审的结果为基础.结合客服渠道获得的反馈,年金管理机构对风险管理的框架、方针、计划和信息系统进行改进。
针对企业年金管理中应用ISO31000的难点与重点,需要年金机构高度重视并从长久健康发展的角度努力研究并积极克服,主要手段包括:第一。加强不同资格年金机构间的信息沟通、数据交换标准实施、信息系统对接。第二,充分考虑我国多行业共同运营与监管企业年金的现状,加强对各行业管理标准、发展现状的调研与分析。第三,结合中国企业年金用户的管理现状、工作习惯、职工心理,加强产品设计、投资、运营的实务研究与总结。
六、受托运营风险管理的实例分析
受托人是企业年金风险管理中最重要的角色.本文选取受托运营及其面临的操作风险为例,运用上述模型进行对其计划建立、计划运营、计划终止转移三个阶段的风险管理注意事项进行具体讨论。
计划建立阶段:(1)年金计划的设计在符合法规要求的前提下,要尽量贴近客户需求,防止偏离需求导致的服务风险隐患,从需求源头遏制不合理要求。(2)方案设计的参数化。(3)加快处理速度,减少客户等待时间。(4)保证计划与合同细节的准确性。
计划运营阶段:(1)加强多个管理人间及管理人和委托人间的信息交互管理,防止信息传递失误。(2)积累人工经验,并编人计算机系统,提高业务管理系统错误检查的能力。(3)加强运营差错控制流程的监督,确保制度落实。
计划转移阶段:(1)准确快速执行新旧管理人间的交接工作,以满足人社部2011年11号令[8]对45日工作时限的要求。(2)客户信息转移的准确性、完整性和保密性。(3)新旧管理人对客户服务的持续性,确保无缝对接。
对于运营差错导致的操作风险,风险应对的主要手段包括:(1)查找差错根源,及时按流程更改错误。(2)弥补客户因服务问题蒙受的直接损失。(3)惩戒导致差错的人员,对导致差错的信息系统及时升级改进。(4)改进工作流程,加强复核和异常数据的检查。
关键词:企业风险管理;经济资本;风险管理要素;可持续风险管理
Abstract:Since COSO issued“Enterprise Risk Management-Integrated Framework”,COSO-ERM framework has become the standard of enterprise risk management,but as some financial institutions broke in the Subprime Crisis,the effectiveness of the enterprise risk management was suspected. Today in the post-crisis era,developing new analytical framework of enterprise risk management becomes an inevitable claim. In the new analysis framework,the objective of enterprise risk management is shifted from the company(shareholders)to maximize the interests to maximize the interests of corporate stakeholders,and the contents of enterprise risk management are shifted from the COSO eight elements to the economic capital,risk management elements,structured financial instruments and risk management for the pillars of sustainable comprehensive risk management.
Key Words:enterprise risk management,economic capital,risk management elements,sustainability risk management
中图分类号:F830 文献标识码:A 文章编号:1674-2265(2012)06-0009-05
风险管理理论已有五十年的发展历史,已成为指导企业经营管理不可或缺的重要思想。2004年COSO颁布《企业风险管理——整合框架》后,COSO—ERM框架很快成为风险管理的核心标准,企业风险管理首次拥有了一个系统的分析框架。但是,发生于2007年的次贷危机,动摇了人们对COSO框架的信心,风险管理该如何实施成为后危机时代风险管理理论必须回答的问题。王稳(2010)提出了一个新的企业风险管理分析框架,以经济资本、风险管理要素、结构性金融工具和可持续风险管理作为企业风险管理的核心内容,为后危机时代的风险管理提供了一个可参考的框架思路。本文在这个分析框架的基础上,系统梳理了已有文献对风险管理框架和内容的论述。
一、企业风险管理分析框架的演进
【关键词】企业管理 风险管理 风险分析 管理体系
一、风险管理理论体系
(一)企业风险管理定义
企业风险管理主要是在企业生产经营全过程中,企业管理人员对影响企业发展的潜在风险因素进行分析,通过分析控制企业风险,确保企业高效有序运行,保障企业的总体目标的实现的一种管理方式。企业风险管理措施主要指企业面临风险时所采取的管理应对措施。它比内部环境管理控制概念更加广泛,它考虑的不仅仅是企业内部的环境建设,还包括了企业的其他方面的因素,比如说市场因素、社会因素、自然因素等。所以企业风险管理涉及企业的方方面面,为企业的正常发展提供有利的条件。这也就需要企业在建设时,加强对企业风险管理的投资,引进高科技管理人才,建立一支强大的风险监督管理系统。
在管理过程中,美国COS0_ERM定义:风险管理过程过程受董事会、管理层和其他人员的影响,从企业战略的制定一直贯穿到企业的各项活动中,用于识别那些可能会影响到企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得确定的目标。《中央企业全面风险管理指引》定义:全面风险管理主要是围绕企业总体目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
(二)企业风险管理的发展
传统风险管理主要是从20世纪30年代到20世纪90年代,这一阶段的风险管理体系较为松散,整体管理效益较为低下,管理存在诸多漏洞。传统风险管理起源于美国。美国经济危机导致人们对风险的认识开始上升,对风险的威胁认识开始逐渐加深,由此相关人员在进行企业管理的过程中开始建立风险管理意识和风险管理体系。20实际30年代,美国科技进步在很大程度上促进了风险管理的发展,为风险管理的建设提供了基础。1931年风险管理概念由美国管理协会首次提出,风险管理开始在企业中扎根生长。
传统风险管理主要分为三个阶段:第一阶段,原始管理。第二阶段,初级阶段。第三阶段,风险管理的高级阶段。原始阶段主要以原始管理结构为基础,主要是对人员的风险控制。初级阶段主要是非连续性的管理结构,风险控制取决于主要管理人员。风险管理的高级阶段建立以人的行为为目标的管理体系,实现对权益、权利、职能等的全面约束。我国当前的风险管理主要处于此阶段。
现代风险管理阶段主要是从上世纪八十年代末、九十年代初到目前,在这一阶段的风险管理主要表现出:
第一,风险管理高度系统性和统一性。全面风险管理的目标开始统一,在目标的基础对企业利益进行分析,对风险进行取舍,实现企业的风险把握选择,确保企业又好又快发展。
第二,信息平善。在本阶段的风险管理已经实现了高度的信息共享,在很大程度上对市场信息进行分析,提高了市场决策及经营效益。
第三,数学模型风险分析。当前的风险管理技术已经有了很大提升和改进,在进行传统定性分析的基础上,相关人员通过运用大量的数学模型有效实现了对风险的控制,对企业在各方面的风险承担指标及承受力进行准确分析。
(三)全面风险管理体系结构
1.风险战略。风险战略主要是企业在进行风险管理的过程中严格依照风险管理方针及行动纲领进行的管理活动。在该过程中风险战略有效对企业的风险偏好程度、企业的风险度量标准、企业风险管理的指导方针及风险量化的模型进行指定,实现了对企业风险的综合指导。
风险战略在企业中的指导作用主要表现在:(1)风险战略对企业的风险管理方针进行制定,为企业的风险管理活动建立综合战略核心;(2)风险战略对企业的风险量度标准进行制定,建立了风险管理资源及重点的分配基准;(3)风险战略在企业战略激进程度的基础上对企业的风险进行全面指导,完成企业业务组合的选择;(4)风险战略对量化模型进行确定。
2.风险管理组织。风险管理组织主要是在风险意识的前提下确定的企业的组织结构和组织关系。风险管理组织可以在很大程度上促进风险管理的实现,提高风险管理效果。通过风险组织管理,企业可以对各种风险进识别、分析、评估、判断,并采取有效措施来进行预防与控制,实现企业自身的安全。企业风险管理组织职能主要包括:(1)企业风险管理组织可以有效降低风险复杂程度,实现风险资源统一管理,确保风险目标实现。(2)明确风险管理组织责任,对风险管理责任岗位进行明确,形成责任化体系。
3.风险管理信息系统。风险管理信息系统主要是在风险管理的过程中为风险管理环节提供信息的系统。风险管理信息是影响管理效果的关键因素。当前我国市场变化多样,市场整体环境较为复杂,信息系统的及时、准确、有效可以在很大程度上提高风险管理的效果,对企业的风险进行控制。风险管理信息系统是企业风险管理和企业风险控制战略的良好载体,可以有效建立在企业内部风险沟通桥梁,为化风险提供有效资料。
4.内控系统。内控系统主要是对风险战略提供基础的风险信息,提高风险控制效果。内控系统主要由一系列政策和程序组成,可以对企业的风险进行提前预防、适时管理、及时反馈,确保从本质上加强风险管理准确性,提高企业的风险管理效果。
内控系统通过将内部控制制度、企业管理行为、减少风险三项目标作为控制核心,实现对风险管理的连续性、综合性控制,是当前企业风险管理的实际操作核心。内控系统的控制效益直接影响了企业风险管理的实际效果。
5.风险理财。风险理财主要是通过企业金融手段进行风险管理的一种方式。常见的风险理财方式主要包括:风险斛存、风险转移、风险控制和风险规避。通过风险理财可以实现风险融资,有效对企业的风险进行最优化平衡,实现风险理财全部留存和全部转移的平衡。通过风险理财不会改变风险本身的可能性,也不会降低损失程度。
二、企业风险评估方法及体系
(一)企业风险评估方法
企业风险评估方法主要包括财务风险度量法、战略风险度量法、巴塞尔新资本体系风险评价法、COSO框架下风险评估法。
1.财务风险度量法。财务风险度量法主要代表方法为标准化调查法、四阶段症状分析法、三个月资金周转表分析法、流程图分析法、管理评估分析法五种。
标准化调查法主要是通过专业人员、调查公司等对企业可能遇到的问题进行详细调查,确保企业能够完成整体的风险分析;四阶段症状分析法主要通过对企业财务危机潜伏期、发作期、恶化期、实现期进行分析评估,对企业的风险因素进行分析,确保企业摆脱财务困境;三个月资金周转表分析法主要是对短期的财务进行预警,主要通过对企业的理财环境进行分析,确保建立高度安全性的资金周转表,提高企业效益;流程图分析法通过企业在运行过程中可能出现的风险进行分析,实现潜在风险的动态管理,有效提高管理效果;管理评估分析法总分是100分,企业所得分数越高,处境越差。这种管理评分法试图把定性分析判断定量化,实现对企业全方面的细致了解,对企业的管理进行客观公正的评价。
2.战略风险度量法。战略风险度量法主要是对传统战略风险管理的细化,该方法通过对传统风险管理阶段和主观风险管理阶段的风险度量进行分析,实现了资源、营销指标、尺度等评定。
战略风险度量法中的状态确定主要是通过在企业发展过程中能够对企业竞争地位指标造成影响的因素进行研究,实现对企业发展的综合控制。战略风险度量法通过运用CAPM模型对战略及风险关系进行言几句,实现了风险相关多角化的分析。
3.巴塞尔新资本体系风险评价法。巴塞尔新资本体系风险评价法包括资本分类、风险权重计算标准、1992年资本和资产的标准比例和过渡期的实施安排、各国监管当局自由决定的范围四项内容。巴塞尔新资本体系风险评价法通过对RAROC技术进行研究,实现了当前风险的有效控制,已经在我国的商业银行中得到广泛应用。
4.COSO框架下风险评估法。COSO框架下风险评估法主要是对内部因素和外部因素进行综合分析,实现对影响企业目标进度因素的控制。在该过程中,企业要对风险中不同的目标进行整体改进,根据企业管理和企业未来潜在事件对企业今后的风险因素特征及风险因素潜在可能性进行分析,完成对企业规模、经营复杂性、企业活动监督管理程度的综合评价。COSO框架下风险评估法通过及时地发现、预测和防范风险,将企业的损失降到最低点。COSO框架下风险评估法对企业带来的危害,也能够在风险中把握机遇,通过对风险的进一步分析做出相应的决策,为企业创造出更多的价值,带来更多的利益,实现企业的最终目的。
(二)风险评估体系的构建
在进行风险评估体系管理的过程中,相关人员要对企业的风险管理中的风险事件、风险识别、风险评估、风险反应进行控制,实现风险管理体系基本构建。
风险事件主要是对进行企业风险管理过程中企业无法认识到的不确定因素进行分析。在该过程中企业要对可能出现的潜在事件进行综合分析,对企业内部和外部因素进行充分考虑,对企业的风险管理进行彻底贯彻落实,降低外部因素和内部因素对企业的影响效果。风险事件可以在很大程度上影响企业的风险管理效果。
风险识别主要是在明确企业的经营目标后对企业的整体战略活动进行的风险分析识别。在进行风险识别的过程中,操作人员要对企业的内部风险识别制度和风险识别因素进行充分分析,确保风险识别分类的有效性。要通过风险分类、寻找风险源、衡量风险实现对企业风险的基本评估和自我评估。
风险评估主要是在进行企业风险控制的过程中对企业的设立进行辨认、分析、管理的机制。风险评估过程中要对企业的内外环境风险、信息系统风险、资产风险、经营活动风险、合法性风险等进行机制分析,对高风险区域进行确定。风险评估包括风险辨识、风险分析、风险评价三方面。要充分对企业的风险进行研究,从长期角度提高对风险的认识,确保从本质上提高企业的经济效益。
风险反应主要是在完成上述的风险评估后对评估结果操作进行评价,通过对企业期望风险的承受度选取合理的应对措施。
三、企业全面风险管理体系结构框架
通过风险管理降低系统风险,提高企业应对风险的能力,已经成为企业管理的重中之重。
企业全面风险管理体系结构框架主要是依据对企业通用的风险管理模型、风险管理语言、企业全面风险管理的内部环境进行研究建立的管理结构框架。
(一)企业控制体系构建原则
在进行企业内部控制体系构建的过程中,企业要严格遵守以下原则:
1.全面风险管理原则:企业内部控制要对企业的战略市场、财务管理、信息化建设、人才管理等方面风险性进行全面分析,将控制体系渗透到企业管理的方方面面。
2.独立性原则:企业内部控制机构要与风险管理相符合,保证部门之间的相互独立性,确保利润与风险控制相平衡。要严格依照风险管理要求进行管理,确保风险管理的总系效果。
3.协调与效率原则:企业部门之间要对自身责任进行明确划分,确保风险管理责任明确化。要对各部门之间的信息及时进行交流与沟通,确保部门之间协调配合,增强合作效果。部门之间要建立完善的监督管理机制,实现对风险管理的监督控制。
4.开放及重要性原则:企业风险管理框架要对外部优秀企业风险管理进行吸纳,对本企业风险管理重点进行突出,重结构、重环节、重部位。
(二)企业风险管理控制措施
1.提升管理人员素质。在进行企业风险管理建设的过程中,管理人员素质水平的高低直接决定着企业风险管理质量的好坏。企业管理者素质的提高,不仅有利于企业内部环境建设,还能够提升企业的对外素质形象,赢得更好的市场环境。因此,企业要加强对员工的素质教育。提高企业员工素质道德,需要对员工进行培训。企业在进行风险管理的过程中要对管理人员进行素质教育,确保管理人员能够严格依照管理制度和管理体系完成风险管理的整体评估,提高企业在过程中的实际操作效果。
2.推进内部制度标准化。建立企业风险管理控制制度,确保企业以内部控制管理为基础,保证风险管理整体化、合理化实施。要建立完善管理制度,加强对企业管理的监督。企业良好的发展,不仅要依靠企业管理者素质的提高,还应该建立完善的企业监督体制。企业监督机制的确立,能够更好的对企业进行监督,尤其是对企业高层管理者的监督,能够减少企业不良风气的出现。在企业中,高层管理者的行为作风会影响到整个公司的风气建设,而这种机制的建立能够避免不良风气的形成,降低企业内部管理存在的风险。
3.确保会计信息通畅。在进行企业内部控制风险管理的过程中,企业人员要严格保证会计信息的准确性,保证会计信息通畅,确保风险管理人员在第一时间得到有效的风险管理信息。要建立完善的风险信息管理体系,对企业经营状况、财务对账真实性进行监督,构建良好企业经营实时监督管理控制系统。要加大信息的公开化、透明化程度,从本质上提高财务信息的准确性、真实性。
4.构建权威审核体系。在进行企业风险控制构建的过程中,企业要建立权威的内部审核体系,确保对风险管理信息及风险管理数据进行准确控制盒分析。要实行董事会、法人代表、监事会直接指挥下的派驻制,派驻人员要保证与派驻区域或部门不存工作紧密关系,保证工作关系平行,从本质上实现业务监督分离。要对派驻内部人员的工资、福利、人事等进行全部分析,确保派驻人员与区域不存在利益关系。由企业董事会直接进行监督、控制和管理。
5.加强企业内部文化。在进行企业风险控制的过程中,企业要加强对人员的内部文化控制,建立良好风险管理内部环境。企业文化建设需要加强对企业员工的培训,增强员工的责任意识,充分调动他们的工作热情,营造一种和谐的企业氛围。让员工在企业中感受到温暖,使企业管理更加人性化。定期对企业员工进行培训,提高他们的文化素质,增加他们对公司的信任感。
四、总结
随着当前我国经济的不断进步,全球化趋势的不断加强,风险管理已经成为影响企业全球化和经济化的关键。在进行企业风险管理的过程中,通过对风险观和风险管理进行正确认识,对面临的风险进行准确识别和判断,可以在很大程度上提高企业的经济效益,实现对企业高效管理和控制。风险管理体系作为现代管理科学体系的核心内容,实现了企业由单纯性生产到风险预算生产方向的转变,加强了企业对自身发展的认识,实现了对自身发展的综合性、系统性、战略性评价,对我国企业发展具有非常好的促进效果。
参考文献
[1]陈柳,钦张琴.论全面风险管理框架体系的构建[J].学说连线,2009,4(22):12-13.
关键词:风险管理 可持续发展 人本理念
概论
企业风险管理是对企业内可能产生的各种风险进行识别、衡量、分析、评价,并适时采取及时有效的方法进行防范和控制,用最经济合理的方法来综合处理风险,以实现最大安全保障的一种科学管理方法。
所谓企业风险是指企业内外环境的不确定性、生产经营活动的复杂性和企业能力的有限性而导致企业的实际收益达不到预期收益,甚至导致企业生产经营活动失败的可能性。
宣钢公司作为国有大型企业,引入风险管理可以有效规避市场潜在风险,是科学发展与持续发展的必然要求。通过实施风险管理能够切实保障企业生产经营稳定有序,且良性循环。
1.企业风险管理的内容
企业风险管理具体包括企业风险识别、企业风险衡量和企业风险处理三个方面。
企业风险识别是风险分析和管理中的一项基础性工作,其主要任务是明确企业风险的存在,并找到主要的风险因素,为后面的风险度量和风险决策奠定基础。
借助企业风险衡量,以便确定对企业发展影响的严重性并采取相应的措施,它其实就是运用一定方法对风险发生的可能性或损失范围与程度进行估计和衡量。
企业风险处理则是针对不同类型、不同规模、不同概率的企业内外部风险,采取相应的对策、措施或方法,使风险损失的影响降到最小限度。
按照风险的来源不同,可以分为外部风险和内部风险。具体地讲:企业外部风险包括:顾客风险、竞争对手风险、政治环境风险、法律环境风险、经济环境风险等;企业内部风险包括:产品风险、营销风险、财务风险、人事风险、组织与管理风险等。
2.企业风险管理现状分析
宣钢公司始终坚持“七统一”的经营管理模式和“集中一贯制”的管理原则,在明确各职能部门归口管理职能和职责的基础上,把握关键,完善制度,突出规章制度的标准化和刚性管理。自2010年开始,宣钢公司坚持围绕安全生产、现场管理、财务管理、产品研发、基础管理、标准化作业、物资检验、工程建设、互助检修、能源管控、综合利用、物流、质量、环境保护等方面,不断梳理和重新修订各项规章制度500多项,目前已形成了一套与当前生产经营流程紧密衔接的较为完整的内部管理制度,对公司财务、市场、运营、法律等方面的风险管理发挥了重要作用。
此外,宣钢公司为建立高效、精干的组织机构,提高专业化、系统化管理水平,在修订、完善公司各职能部门主要职责和管理权限的同时,进一步加强、加快权力运行机制建设,按管理岗位严格设定权责,固化管理(业务)流程,明确各岗位管理范畴。使得部门职责与权力运行机制从职能部门和具体岗位权责两方面交相呼应,共同构成宣钢公司完整的业务(事务)操作权限指引,进一步理顺了管理体制,强化了风险控制,减少和杜绝管理空白,优化了资源配置。确保国有资产保值、增值。
3.企业风险管理存在的问题
一是宣钢公司未建立全面风险管理组织体系,主要依靠各业务管理部门完成风险信息收集、风险评估等基础工作,并依据各专业系统管理规章进行事中的风险管理,而在公司整体层面上未建立统一风险管理策略和风险管理方案,风险管理工作相对较为分散。
二是风险管理工作主要集中在业务层面,由公司各业务部门构建了风险管理的第一防线,而未明确建立风险管理职能部门或董事会的第二道防线以及内审部门的第三道防线。
三是员工风险管理意识不强,没有将风险管理意识转化为共同认识和自觉行动,风险管理文化建设还需进一步加强。
四是风险管理信息系统不够完善,缺乏风险管理的信息技术手段,无法通过信息系统实现风险预警。
4.加强企业风险管理的思路及重点工作
一是加强风险管理文化的宣传力度,将风险管理文化建设融入公司文化建设全过程,增强员工风险管理意识。针对当前钢铁行业严峻形势,采取多种途经和形式,加强对风险管理理念、知识、流程、管控核心内容的培训,培养风险管理人才,培育风险管理文化。
二是尽早建立和完善风险管理组织体系,明确公司法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位在公司全面风险管理中的职责、权限,使公司全面风险管理工作实现统一领导、协调运行的总体目标,从而确保公司形成高效运转、有效制衡的监督约束机制。
三是逐步构建风险管理的三道防线,将风险管理工作与薪酬制度和人事制度相结合,增强各级管理人员特别是高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽视风险等行为的发生。
四是根据国家五部委联合下发的《企业内部控制制度》要求,并按照集团公司统一安排,适时启动宣钢公司内控体系建设工作,将内控建设与全面风险管理体系的健全有机结合,构建完善的公司全面风险管理体系。
五是加强风险管理信息系统建设。在对公司ERP系统的管理功能进一步完善、开发的基础上,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,实现对风险的计量、定量分析与定量测试工作。
5.结语
「关键词 企业风险 风险管理 风险管理审计
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、企业风险及风险管理的内涵
进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。
1 企业风险的实质
首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。
2 企业风险的划分
企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:
(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。
(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。
(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。
3 企业风险管理
COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”
我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标
对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。
从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容
风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
1 审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2 审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
3 审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:
1 审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。
2 审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。
需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别的风险的特征;
(2)相关历史数据的充分性与可靠性;
(3)管理层进行风险评估的技术能力;
(4)成本效益的考核与衡量等。
3 审查风险评估方法应当遵循的原则
内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。
(四)风险应对措施适当性和有效性审查
内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。
关键词:电网企业;风险管理;审计
作者简介:梁国栋(1977-),男,河南新乡人,北京英大长安风险管理咨询有限公司咨询业务一部主任,国家注册管理咨询师,国际注册内部审计师,经济师。
中图分类号:F272 文献标识码:A 文章编号:1007-0079(2013)14-0183-02
随着国务院国资委《中央企业全面风险管理指引》和财政部等五部委联合颁布的《企业内部控制规范》的先后出台,国家部委和监管机构日益重视央企风险管理工作,国家电网公司系统在公司总部的正确引领下,正在大力推进全面风险管理体系和内控体系建设,并在完善组织架构、运营体系建设、专项领域研究和风险文化建设等方面不断取得突破。
内部审计职能作为电网企业全面风险管理体系的第三道防线,需要运用科学的风险管理审计方法,对已有风险管理工作进行客观、真实和有效地评价,责任重大。然而,风险管理审计作为一项尚未完全成熟的审计职能,仍需对其进行不断研究。
一、电网企业风险管理审计理论简述
中国内部审计具体准则第16号《风险管理审计》指出“本准则所称风险管理审计,是指内部审计机构、内部审计人员依据国家法律、法规、政策和标准,独立、客观地对本组织风险管理和治理过程进行监督、评价和咨询,提出改进和加强风险管理的意见或建议的行为”。
根据以上定义,电网企业风险管理审计是指电网企业内部审计部门采用系统化、规范化的方法来进行以测试风险管理体系建设、各业务循环以及相关部门的风险识别、风险评估、风险控制等为基础的一系列审核活动,从而实现对电网企业风险管理工作适当性、有效性的评价,促进电网企业提高风险管理工作的效率和效果。
风险管理审计作为内部审计的崭新领域,与传统的财务审计、制度审计等相比具有两方面的差异。
一是风险管理审计与企业目标直接关联。传统内部审计将着眼点放在财务结果、经营管理活动等方面,并没有与企业战略、经营目标相联系。而风险管理审计则是立足企业经营目标,对影响目标实现的不确定性因素的管理进行审计,把握企业整体和各流程、各部门的风险,通过“目标—风险—管理—审计”的路线将审计对象与企业目标直接联系,从而更好地为企业服务。
二是风险管理审计将原有审计关口前移。在传统的审计模式下,审计的目的是对已经发生的事件进行检查和分析,从而揭示已经发生的风险事件、差错和舞弊。而风险管理审计则立足企业重大风险,对风险的管理过程和效果进行测试、评价和反馈,充分体现事前审计的思想,由原先消极的以“发现和评价”为主的内部审计活动转向积极的防范和解决问题的内部审计活动。
电网企业面临的高风险经营环境日益复杂,带来了自身风险管理需求的提升,如何有效评价风险管理工作是引起电网企业风险管理审计产生的内部背景,与此同时,电网企业风险点众多,内部审计部门还需要对重大风险点进行风险管理专项审计。因此,电网企业引入风险管理审计需求强烈。
二、风险管理审计与企业风险管理的关系
电网企业开展全面风险管理体系建设是一项庞大的系统工程,一方面需要搭建公司级的组织体系、制度体系、流程体系和文化体系,另一方面又要整合原有风险管理工作成果,例如安全风险管理(涉及电网、设备和人身)、财务风险管理、营销风险管理等。为确保风险管理的充分性和有效性,对风险管理进行持续监控必不可少。
在电网企业全面风险管理体系建设过程中,管理层在做出风险管理决策方面负主要责任,而审计人员在管理层的风险决策方面可以提供建议、质疑或者支持,通过运用风险管理方法和技术,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进建议和意见,为电网企业管理层提供有关决策参考。
因此,风险管理审计的目标就是内部审计部门采用系统、科学的审计方法,结合风险管理工具,对电网企业风险管理工作的完整性、合理性和有效性进行评价。
三、电网企业风险管理审计的内容与方法
国家电网公司目前开展的全面风险管理体系建设工作已经取得了丰硕的成果,根据国网公司系统风险管理体系建设取得的经验,一个设计完整、运行有效的风险管理体系应该包括两个层面的风险管理体系,即公司层面风险管理体系和业务层面风险管理体系,内审部门开展风险管理审计工作的内容,应立足上述两个方面实施,具体如图1所示。
如图1所示,电网企业内审部门可以采取“立足一个体系、抓住两个层面”的工作思路,从公司层面对电网企业开展风险管理体系建设工作的完整性和有效性进行评价,从业务层面对电网企业开展风险管理具体工作的设计有效性和执行有效性进行评价。
在整个风险管理审计过程中,内审部门在公司层面的风险管理审计中往往不用花费过多的精力,而业务层面风险管理则是整个风险管理审计工作的重中之重,一般而言,针对业务层面风险管理的审计可采取如下方式:
1.立足风险管理策略
风险管理策略是电网企业面对公司各类风险的态度,它包括风险偏好、风险承受度等内容。风险管理策略制定的科学与否直接关系到后续风险管理工作的成败,因此在具体审计过程中,必须牢牢抓住风险管理“策略制定程序的合规性、策略选择方法的科学性和策略选择结果的适当性”这三个关键问题。
2.关注企业目标设定
风险的定义是“不确定性对目标的影响”,因此在风险管理审计过程中,要首先关注目标设定是否恰当,是否是管理层或各部门的关注目标。一旦目标发生偏移,则再科学、有效的风险管理工作也将毫无价值,因此在具体审计过程中,应关注设定目标的准确性和适当性。
3.抓住风险识别范围
在目标设定的情况下,风险识别的结果将会对电网企业风险状况的了解产生重大影响。因此,内审部门在审计过程中,应重点关注风险识别的方法是否适当、过程是否严密、结果是否完整。一般意义上,针对设定目标识别出的风险应该是穷尽的,而且是基于原因的(对目标实现有影响的原因或者因素)。
4.分析风险评估标准
评估标准在一定意义上是电网企业风险偏好和承受度的直观反映,风险评估标准涉及到风险发生可能性和影响程度两个维度,审计时要充分考虑到评估标准在电网企业风险偏好的影响下,其风险承受度的极大值和极小值是否与标准相符,因此在开展该阶段审计时,应重点关注风险管理标准设计的前后一致性、科学性和适用性,
5.判断风险控制措施
风险控制措施往往都是针对重大风险而设计的,因此,针对风险控制措施的审计,首先要特别关注该控制措施是否是对重大风险有针对性;其次要关注控制措施设计的全面性;最后要关注所设计控制措施的有效性。审计关注重点可包括风险成因分析、措施制定情况、工作节点安排、具体责任归属和控制预期成果等方面。
6.审视监督改进机制
作为相对独立的第三方,内审职能还应对电网企业风险管理工作的闭环管理机制进行审计和评价,以判断其监督改进工作是否开展?如何开展?以及有效性如何?从而为管理层判断公司风险管理工作的有效性提供证据。因此,审计的关注重点应放在机制是否按照计划、组织、实施、控制、反馈的闭环回路进行。
7.追踪重大风险预警
针对重大风险的监控和预警是整个风险管理工作的核心,也是内审部门在有限的审计资源条件下,有效开展风险管理审计工作的重点。电网企业每年年初都会针对当年的风险情况进行识别、评估,确定重大风险,从而集中优质资源予以管控,并设置预警指标予以监控,内审机构可相应地跟进上述过程,并保持应有的职业敏感性和判断力,从相对独立、客观的角度保持对重大风险的追踪,从而对重大风险的管理工作做到全过程、全方位的评价。
四、电网企业风险管理审计的主要方法
1.问卷调查法
“问卷调查法”是指内审人员针对需要调查了解的风险管理体系构成要素和风险控制点,设计拟调查的问题条款,形成调查问卷以了解风险管理情况的方法。调查问题的提出,应紧紧围绕风险管理体系中的控制点及其管理措施,即对控制点设置的各项控制措施逐一设计调查问题。问卷调查表的设计一般可分三步进行:一是确定风险管理审计目标;二是根据审计目标,确定所要调查的风险控制点及其控制措施;三是根据控制点及其控制措施拟定具有针对性的调查问题。调查问卷的格式,通常有封闭式和开放式两种。其要素一般包括:调查单位、调查项目、调查时间、调查问题、被调查人、审计负责人和审计调查人等。
2.流程图分析
“流程图分析”是指企业风险管理部门将整个企业生产过程的一切环节系统化、顺序化,制成流程图,从而便于发现企业面临的风险。内审部门可根据本企业的生产流程,列举出各个生产环节的所有风险。流程图通常包括风险点、控制点、审批环节等,能够直观反映流程中的风险分部情况。然而,流程图中往往难以直接显示控制点的控制措施,因此还需借助风险控制矩阵、权限指引等表单,以配合对流程图的理解。
3.自我评估法
“控制自我评估”(Control Self Assessment,简称CSA)是IIA协会力推的一种风险控制自我评估方法,在发达国家的企业内审工作中应用比较普遍,是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。其有三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。内审人员可积极推动企业管理层和部门负责人引入与推广该方法,以实现对风险管理的自我评价。
4.价值链分析
“价值链分析法”指的是审计人员通过对被审计项目的价值链活动进行风险识别并且找出其重大风险,进而对重大风险上的风险管控措施的有效性情况进行评估,同时还对价值链的内部联系和纵向联系进行风险分析,查找所采取的风险控制措施不适当、高成本或者控制效果不佳的问题,做出重大风险管理措施有效性评价并且提出审计建议的一种工作方法。
5.专家意见法
“专家意见法”是指审计人员依据系统的程序,采用匿名发表意见的方式向专家征求意见,即专家之间不得互相讨论,不发生横向联系,只能与调查人员发生关系,通过多轮次调查专家对问卷所提问题的看法,经过反复征询、归纳、修改最后汇总成专家基本一致的看法,作为针对某个风险管理活动的风险管
理情况评价的结果。这种方法具有广泛的代表性,较为可靠。
6.概率分析法
“概率分析法”又称风险分析法,是通过研究影响目标实现的各种不确定性因素发生的频率及其对目标的影响程度,进而对风险的等级做出判断,并对相应的风险管理措施的优劣作出判断的一种不确定性分析法。概率分析法常用于对大中型重要若干项目的评估和决策之中。
五、结语
风险管理审计尚处于不断发展、创新的过程中,在中国企业中的应用尚不普遍,还需要不断的深入研究。随着电网企业风险管理工作的不断深入推进,内审部门作为风险管理的第三道防线,其承担的监督检查职能日益重要,内审部门相对独立、客观、科学地评价风险管理工作成效将是今后电网企业风险管理工作的重点。
参考文献:
[1]国务院国资委.中央企业全面风险管理指引(国资发改革[2006]108号)[Z].2006.
[2]石贵泉,王凡林.现代内部审计理论与实务[M].济南:山东人民出版社,2005.
[3]卓继民.现代企业风险管理审计[M].北京:中国财政经济出版社,2005.
摘 要 随着一系列加强公司治理规定的出台,公司治理核心要素的风险管理受到了前所未有的关注,企业风险管理的中坚力量内部审计正成为公司治理基石之一。本文介绍了企业风险管理审计的内涵,论述了当前开展风险管理审计工作存在的主要问题及对策,以利于风险管理审计的正确认识和顺利实施。
关键词 公司治理 风险管理 内部审计
近年来,由于企业缺乏风险意识,没有对风险实施实质管理而导致破产或整顿的事件时有发生,促使中国企业越来越重视风险管理。加强风险管理审计是企业发展的需要,也是投资人及利益相关者的需要。
一、风险管理审计的内涵
风险管理审计是内部审计部门采用系统化、规范化的方法,通过对企业全面风险管理活动进行监督和评价,进而改善企业风险管理、增加企业价值、实现企业目标。
二、目前企业风险管理审计存在的主要问题
(一)风险管理审计所处的环境方面
1.企业组织机构及配套制度不健全
目前,大多数企业的组织机构没有独立的风险管理部门,风险管理模式是谁主管谁负责承担,但当发生风险时,相关职能部门又不能全面承担风险,或是风险承担的最终主体模糊。
2.管理者对风险重视不够
企业管理者只是消极、被动的进行风险管理,没有积极、主动地进行风险管理。同时,有些企业只顾眼前利益,忽视长远利益,进行风险管理需要耗费一定的人力、物力、财力,而有些企业管理者,考虑到成本或者其他原因而放弃对企业进行全面、系统的风险分析,最终给企业带来巨大的损失甚至遭受致命打击。
3.尚未建立科学的、操作性强的风险管理评价标准体系
风险管理审计在我国才刚起步,其相应的评价标准体系尚未建立,实际工作中,有的以国家或行业的相关规定作标准,有的以本企业历史最好水平或理想水平为依据,这就容易导致评价标准的模糊、偏离实际。
(二)风险管理审计的实施主体方面
1.内部审计人员风险管理意识亟待加强
目前大多数内部审计人员对审计工作的认识仍停留在指出企业已经存在的错误和不规范的行为。而对于尚未发生的,需要预测、分析、评价的和企业战略目标的实现密切相关的风险则认识不够,阻碍了风险管理审计工作的开展。
2.内部审计人员素质水平不够高
我国现有内部审计人员综合素质仍然无法满足独立承担风险管理审计的需要。多数内部审计人员缺乏经济、管理等知识多元化背景,从专业结构来看,内部审计人员主要来自于会计和审计专业,整体素质偏低,与现代企业发展不相适应,无法胜任对风险管理的评价工作,而寻求专家支持又受到经费和人力资源信息的双重制约。
3.审计部门风险管理审计工作权责不明
很多企业审计部门不仅要负责建立企业风险管理体系,还要评估风险事项,提出防范措施,这样的职责分配,削弱了审计工作的独立性与客观性。同时,大多数企业审计工作都是对总经理负责,一旦总经理拒绝采纳审计部门提出的正确的风险管理意见,则不能有效执行风险管理措施,这本身就是一种公司治理上的重大风险。
三、完善企业风险管理内部审计的对策
(一)企业方面
1.管理当局应承担起风险管理的责任
董事会负责制定战略目标,赋予高管层风险的所有权,执行管理层接纳剩余风险,运营层持续的识别、评估、减轻和监督活动,内部审计部门定期评价并协助其他部门进行风险管理。因此,管理层承担着全部风险管理的责任。
2.强化风险意识
市场是动态的,以及受风险预测方法、技术、人员等的影响,不能对风险全面、准确的预测。企业管理层应充分认识到内部审计的地位和作用,保证内部审计部门具有相应的独立性和权威性,发挥内部审计在风险管理中的重要作用。
3.管理当局应制定符合企业特点的风险管理评价标准体系
企业风险管理部门应对纳入风险管理范围的各项经营活动制订最低或最高标准。该标准体系应该具有如下特点:特征鲜明,客观真实,分类清晰,因时而变。根据风险管理对象的不同可以建立相应的风险评价标准。
(二)内部审计方面
1.内部审计人员必须提高认识,准确定位
近年来围绕公司治理结构出台的一些新规定,都对内部审计赋予了新的职责。面对出现的新情况和新趋势,内部审计人员要扮演好“执行情况的评判者”、“增值服务的贡献者”、“良好文化的倡导者”三个角色,发挥其应有的作用。
2.提高内部审计人员的素质
提高内部审计人员的素质,是发挥内部审计作用的关键。内部审计人员应具有强烈的求知欲,及时了解和掌握国家经济政策、财经法规以及企业、部门规章制度、会计和审计知识等方面的变化信息,加强对税法、经济法、企业管理等其他相关知识的学习,努力成为复合型人才。
3.内审部门要注意与董事会、管理层的沟通
在适当情况下,内部审计人员应与管理层、审计委员会和董事会就与风险和风险管理事务中的薄弱环节进行讨论。如果审计部门负责人认为高级管理层接受的风险水平与机构的风险管理战略和政策不一致,或该水平不能被机构接受,审计部门负责人应就此与高级管理层进行讨论。
参考文献:
[1]孟焰,潘秀丽.企业风险管理审计研究.审计研究.2006(3).
[2]向振军,尹珍丽.刍议企业风险管理审计.黑龙江对外经贸.2006.
关键词:风险评估;报告;内控体系
中图分类号:F272 文献标识码:A 文章编号:1001-828X(2014)010-00-01
风险评估工作与内部控制体系的建设相互促进、有机结合,是企业围绕总体经营目标,识别企业各业务单元、各项重要经营活动及其重要业务流程中的风险,并对风险发生的可能性和影响程度进行分析、评价和应对的过程。
总体而言,风险评估报告的结构至少应包括四部分内容:其一,企业情况概述,本部分就企业风险评估项目背景、定位与目标、理念与方案三大内容进行概括与总结,便于报告使用者理解本次风险评估工作的基本目标与方法;其二,风险评估实施过程,本部分是整个风险与内控体系建设工作的起点,旨在构建一个具有代表性又有扩展性的通用风险管理标准,从风险管理知识宣传、风险分类与定义、风险评估标准三大方面初步构建企业风险管理基础平台;其三,识别企业面临的重大风险,根据风险调查问卷和风险调研访谈,识别出企业面临的重大风险,以供企业管理层参考;其四,风险管理体系的建设,结合企业风险管理的现状,提出相应的改进措施,包括风险管理组织结构设置、职能设置、工作流程及工作防范建议。
以上四部分在风险评估报告中层层推进,构成完整的风险评估过程,以下作详细说明。
一、风险评估项目概述
(一)风险评估项目背景
本部分重点介绍企业的成立、发展沿革,行业背景,分子公司情况以及业务架构、组织结构等。编制企业风险评估报告的重要意义在于企业管理层希望借助风险评估项目,有效识别和评估影响本企业战略和经营目标的内外部风险源,并通过健全重大风险的应对与管控机制,有效地平衡好风险与收益,提高企业风险防范能力,从而防范和降低各类风险对企业经营的冲击,为企业实现战略和经营目标保驾护航。
(二)关于风险评估项目定位与目标
风险评估项目旨在达成三大目标:其一,建立风险管理基础,构建一个具有代表性又有扩展性的通用风险管理标准,统一企业的风险管理语言和标准;其二,明确重大风险领域,采用全面梳理与重点分析相结合的方式,识别和分析企业战略、经营、财务与合规领域中的重大风险,协助管理层统一对风险的认识;其三,团队能力建设与知识培养,加强和提高企业总部和各业务群管理团队对风险管理工作的参与度和认知,最大程度实现知识转移。
二、风险评估项目实施过程
(一)关于判断风险分类与定义
应从企业战略出发,参考COSO内部控制整合框架、行业风险数据库以及企业的风险管理实务,并结合企业的战略目标、实际情况等因素,建立适用于本企业的风险数据模型(即风险地图),从战略风险、运营风险、合规风险及财务风险四大方面对企业所面临的风险进行分类和定义,从而为统一公司的风险管理语言奠定基础。
(二)关于设立风险评估标准
为了对上述四大类风险的重要性进行评定并据此明确风险管理的优先次序和资源配置方向,应从风险发生可能性和风险影响程度两个维度建立符合企业实际情况的风险评估标准,以反映风险发生可能性由极低至极高,和风险影响程度由极轻微至灾难性的不同等级。
(三)关于实施风险评估过程
为了协助管理层更好地理解和评估风险,应以风险数据库和评估标准为基础,通过风险调查问卷的发放、收集与统计,风险调研与风险访谈等多种形式,在企业总部和业务群开展多层次、全方位的风险识别与评估工作。通过上述工作,不仅协助企业管理层评估重大风险领域所在,而且还能分析其可能影响的战略及经营目标,从而为企业明确风险责任,改进相关重点业务领域中的风险管控措施明确方向。
三、针对企业风险评估的调研结果
结合风险调查问卷与风险调研访谈的结果,企业管理层对影响本企业战略和经营目标实现的众多风险进行客观评估,并由此明确前几大风险的优先次序。这些风险可能是:产业(产品)战略和多元化、战略规划、市场营销、风险管理体系建设、公司高层的基调、品牌及声誉管理、销售模式、客户结构风险、人力资源规划及政策、组织结构等等。这些风险并不是独立存在,在实际经营环境中,各类风险往往互相影响、互相牵制,共同对企业实现经营目标产生影响。为此,还应对上述重大风险及其内在关系进行相应的逻辑分析,以协助管理层梳理各项重大风险之间的关系。
四、企业风险管理体系搭建
一套成熟完善的风险管理框架包括战略(目标)、风险以及流程与控制。企业战略处于企业管理及风险管理体系的最高层,是企业风险管理以及流程内控建设的出发点,风险管理体系必须紧紧围绕企业战略。风险则是影响企业战略管理体系的实施与战略目标达成的不确定因素,企业需要将外部环境、内部经营与战略目标进行对比,以识别出影响企业战略的重要风险。企业流程与管控体系则是风险管理体系的重要落脚点,完善的风险管理体系可以从企业的流程、制度等管控体系中识别出影响,并从风险管理体系的制度及流程建立风险应对措施。
(一)风险管理体系现状分析
一套完善的风险管理体系通常由业务部门、风险管理部门和内部审计部门组成的“三道防线”共同构成。通常,企业均能初步搭建起风险管控体系的三道防线,如:1.各业务部门负责关注各业务领域内的风险并采取相应的控制措施降低风险;2.企业管理部负责公司运营风险管理,对运营风险进行预警和控制,为公司的经营、管理决策提供可行性、合法性分析和法律风险分析;3.审计监察部主要负责集团的财务审计、经营活动审计及其他专项审计。
(二)风险管理工作规划
风险管理与内部控制体系的建设密切相关,相辅相成,没有完善配套的内控体系,风险管理就如同纸上谈兵、空中楼阁;而缺少风险管理的内控体系建设,会由于缺乏足够的针对性而效率低下、浪费资源。
无论是《企业内部控制基本规范》或是COSO ERM模型,都将企业的目标分为四大类别,包括:战略目标、经营目标、财务目标和合规目标。风险是影响企业目标实现的不确定性,而内部控制则是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。因此,企业有目标就会有风险,而针对每个风险就会有相应的内部控制,以管理风险,从而合理保证目标的实现。
风险评估项目实施过程中,应协助企业初步搭建结合先进理论基础、契合企业实际情况、符合国家监管要求的内部控制体系框架,将风险匹配到内控体系框架,并完成对该体系框架的评估、梳理和建设工作。
在此基础上,需要进一步开展风险管理工作,逐步完善风险管理和内部控制体系,依据风险分层管理、分类管理和集中管理的要求,建立符合企业自身特点的全面风险管理组织体系。另外,在充分考虑企业规模以及业务发展需要的基础上,针对近期及未来风险管理工作的重点,提出相应的参考及建议。如:完善企业风险管理组织架构中各管理层级的岗位职责。完善三道防线,其一,各风险责任部门的日常管理工作,包括,风险责任人、风险联络员等;其二,风险管理部门的管理工作,风险管理涉及公司的方方面面,建议由总裁、执行总裁等高级管理人员组成的风险管理委员会,负责公司整体风险管理工作,风险管理委员会下设风险管理部门,负责各业务部门风险管理工作的协调;其三,审计监督工作,审计监察部应对风险管理进行审查和评价,对风险管理工作进行监督,即对风险管理过程的设计和执行的有效性进行评价,并给出评价意见;审查和评价重大风险的评估和管理是否适当,将评价结果向审计委员会汇报。
风险评估工作结束后,形成风险评估报告,反映企业的风险及其分布状况,为领导决策提供支持。通过风险辨识、风险分析及风险评价,形成风险评估初步结果后,就风险评估结果的真实性、准确性向企业风险管理委员会征求意见,并根据反馈的意见,调整、修正企业的风险评估结果,编写出企业的风险评估报告,上报风险管理委员会或董事会进行审议。
参考文献:
[1]企业内部控制基本规范.财政部,证监会,审计署,银监会和保监会联合.
【关键词】企业;风险管理;审计;问题;对策
经济的快速发展促使我国经济中不确定因素在持续不断增加,由此就会造成企业在发展的过程中将面临更多的风险,对企业的发展造成极强的阻碍作用。对此,就需要相关部门针对企业风险管理审计中存在的问题进行有效的分析与研究,进而根据其中存在的问题进行针对性的解决,找出切实有效的应对措施,以此来加强并提升整个企业的风险管理审计,促使企业得以高效的运行与管理,提升企业在市场竞争中的主要地位,促使企业得以更好更快发展。
一、我国企业风险管理审计存在的问题
1.制度化与规范化的不健全
在我国,进行企业风险管理审计工作的时间较短,在很多方面的工作及制度都还不够完善。因此,就会造成企业的风险管理部门在进行自我评价方面的能力较弱。同时,就目前我国的发展现状来看,没有一套完整的、全面的风险管理审计的标准及制度,与之相关的法律制度与体系之间也存在着很多的问题,由此造成了企业在进行风险管理的过程中有着较大的随意性,所实施与开展的相关工作缺乏标准规范,对整个企业的发展会造成不利的影响。
2.内部控制环境不完善
企业在发展的过程中的内部控制环境是企业进行风险管理的基础性因素,但是在企业管理的过程中法人治理结构的中缺少能够进行相互制约的机制,进而在发展的过程中对企业内部控制的作用产生了极大地影响,阻碍了内部控制的作用,进一步对我国企业内部控制环境的基础作用造成了极其重大的影响,对企业的发展目标、规划、业务活动等造成了一定的影响,致使我国企业相关人员在风险的管理、识别以及评估方面出现了或多或少的错误。
3.风险管理审计技术落后
由于我国企业风险审计的起步较晚,且尚处于初级发展阶段,因此所应用的风险管理审计技术较为落后,没有能够和当前的信息化相连接。此外,很多企业从事风险管理审计工作的人员业务素质及能力水平较低,进而在实际的工作过程中就会频频发生错误,增加了审计工作的难度,降低了审计工作的工作效率,给企业风险管理审计工作带来了很多负面、消极的影响
二、我国企业风险管理审计的对策
1.健全风险管理审计相关制度及政策
随着国际市场经济的不断发展,致使我国很多企业在市场竞争过程中的压力不断加大,进而造成很多国际型的跨国公司出现风险管理不善的情形,进而面临着破产及倒闭的状况,据此,我国相关的政府部门需要针对当前企业发展现状来建立健全企业风险管理审计相关制度及有效的政策,由此来保障并促使企业能够实现长期、稳定的发展与建设。此外,还需要健全相关的法律制度,进而促使相关企业在进行风险管理审计工作时能够有所参照及依据,引导企业在风险管理审计的过程中降低企业风险发生的可能性。
2.扩大风险管理范围
通常情况下,企业在进行风险管理的部门不仅包括财务会计部门,同时企业中的生产经营部门以及后勤保证部门、安全保卫部门等都需要进行企业的风险管理。而这些部门在开展企业风险管理审计的过程中需要依据各部门的在当前发展情况下所要面临的风险进行有效的评估与检查。企业的生产部门就需要对相关产品的功能设计、生产技术及相关生产工艺方面等顺应时代的发展进行有效的改进与更新,对企业的生产效益进行有效的控制与管理等等。而企业的安全保卫部门在进行风险管理审计的过程中则是要对企业内部相关安全措施的安排以及落实情况进行监督、管理与检查等等。由于企业风险管理审计的范围及内容较多,因而在实际的审计过程中需要从风险管理成本、管理收益等方面进行评价,开展相关的监督风险管理措施,并在审计过程中不断的发现问题、解决问题,由此来提升并完善企业风险管理工作。
3.优化审计方法
企业风险管理审计是从企业的风险经营以及风险管理方面作为基础,通过对相关财务报表进行研究而分析企业的审计风险,并逐步的开展计计划,设施审计程序等等。企业的这种风险管理设计的方面能够全方位的满足企业风险管理的相关要求,对企业内部的环境变化进行有效的控制。对此,企业在内部审计的过程中可以通过选择被审计者、制定审计计划、初步调查、审查内部控制、扩大性测试、形成审计报告等多个步骤逐渐的对内部的风险进行控制与管理。与此同时,企业在发展的过程中还可以借鉴先进的管理经验,对审计的方法进行优化,进而不断的提升风险管理审计的效率。
三、结语
目前,我国企业的风险管理审计工作仍处于发展的初级阶段,很多企业正在风险管理审计的路上不断的探索与前行。通过开展风险管理审计能够有效的提升企业对于风险管理的能力。但是由于我国企业风险管理审计的起步较晚,在实际的工作中存在着很多的问题,因而通过有效的提升风险管理审计的措施及工作方法,能够有效的提升企业内部风险管理审计工作的效果及效率,进而提升企业在市场中的竞争力。
参考文献:
[1]李建文.对内部审计参与企业风险管理的认识[J].经济师,2010(7).
