企业风险管理要素
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业风险管理要素范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
企业风险管理要素范文第1篇
中图分类号:F235文献标识码:A
文章编号:1005-913X(2017)04-0098-02
近年来,大型集团企业日益成为企业组织形式发展的主要方向,然而伴随企业组织规模的扩大与组织层级的增多,财务风险的传导性与危害性变得更加显著,因而如何遏制随企业规模扩张而不断增大的财务风险便成为一个亟需解决的问题。构建集团企业财务风险管理系统势在必行。
一、集团企业财务风险管理框架构建的原则
(一)系统性原则
系统论强调整体性原则,企业财务风险管理是一个系统,系统是由各组成要素相互联系、相互作用所形成的一个有机整体,系统的各组成要素是不可缺少、不可分割的;系统论强调目的性原则,企业财务风险管理系统通过系统功能的发挥而实现财务风险管理的目标,而系统功能的发挥又与系统的组成及结构有很大关系;系统论强调整体优化原则,企业财务风险管理系统整体性能是否最优会受到该系统组成管理要素及要素间关系变化的影响,若想发挥系统的最优性能,就需要根据环境的变化不断调整系统组成管理要素及管理要素间的关系,从而达到优化企业财务风险管理系统整体性能的目的。
(二)环境分析起点原则
构建集团企业财务风险管理框架,它就有边界,边界外面就是环境。任何活动的实施都是在一定环境下进行的,集团企业财务风险管理活动具有主动适应环境并受环境影响的双重特性。管理的目标受集团企业战略目标统驭,制定集团企业战略目标是在环境分析的基础上进行的。因此,只有进行环境分析,才能知晓集团企业财务风险管理所面临的迫切形势,以及所面临的优势和劣势,然后利用环境造成的机会,回避环境造成的威胁,发挥自身优势,回避自身劣势。所以,确立集团企业财务风险管理目标时,必须以环境分析为起点。
(三)目标导向原则
目标是集团企业财务风险管理的方向、也是评价管理效果的依据。我们应该以目标为导向确定集团企业财务风险管理的主体、活动和保障措施。当然集团企业财务风险管理的实施目标和集团企业战略目标应保持一致,这是由环境分析的结果确定的。集团企业财务风险管理是集团企业财务管理乃至战略管理的一部分,随着环境的不断变化,集团企业财务风险管理处于不同发展阶段,可能会面临不同的问题,因此需要以集团企业财务管理为目标,保持两者目标的一致性。
(四)具体问题具体分析原则
具体问题具体分析原则是指我们在构建集团企业财务风险管理框架时,在确定集团企业财务风险管理的主体、活动和保障措施,以实现集团企业财务风险管理目标时,要立足于我国的现状,根据我国国情,而不是一味地照抄照搬国外的做法。当然,我们构建的集团企业财务风险管理框架可以随着环境而变化、调整、优化,是适应环境的。具体问题具体分析原则要求我们能够根据环境变化及时改变集团企业财务风险管理框架的构成要素,针对环境保护目标中出现的新的问题不断完善模式。目前,集团企业财务风险管理面临的环境发生着非常迅速、异常巨大的变化,这对我们构建集团企业财务风险管理框架提出了新的要求,即要根据环境变化及时调整层次和目标,明确主体、完善活动、健全保障体系、优化实施基础,合理保证集团企业财务风险管理的效率和效果,实现集团企业财务风险管理的整体目标。
二、集团企业财务风险管理框架的构建
(一)集团企业财务风险管理框架的三层结构
1.目标层。目标是任何实践活动的最终归宿,也是指导实施层的重要依据。目标是实施主体的方向和考评依据,没有目标的行为是没有任何意义的,没有目标的实施活动也不会实现预想的效果和效率。因此,目标层的目标要素就是按照环境分析起点原则分析、制定、选择的切实可行的目标。集团企业财务风险管理的目标包括战略目标和具体目标,集团企业财务风险管理框架的战略目标是集团企业层面的长期的、整体的目标,具体目标是不同层次责任主体的具体目标。
2.管理层。管理层是集团企业财务风险管理框架的核心部分,是目标层诉诸于实践的具体表现。管理层包括责任主体、程序方法和保障体系等要素。管理层以目标层为导向受到目标层的制约,同时又对目标层层级目标的实现起决定作用。管理层更离不开基础层的支持和保障。因此,管理层是连接目标层和基础层的桥梁,它是目标层的具体实践和基础层的现实表现。
3.基础层。从目标的建立到为完成目标所开展的管理活动,基础层都是这个过程的基点。它立足于实际,详细分析目前面临的现状和实情,是整个框架构建的基础。管理层的管理主体、管理活动和保障体系受基础层的约束和限制,同时基础层又为管理层提供支持和保障。
(二)集团企业财务风险管理框架的要素分析
1.管理目标。管理目标是企业通过财务风险管理达到的目标,是我们构建集团企业财务风险管理框架的根本出发点和核心。我们在构建集团企业财务风险管理框架时就必须从管理目标出发。在集团企业财务风险管理框架中管理目标属于目标层的要素。管理目标是在对集团企业的宏观、微观环境进行SWOT分析后得出的战略选择基础上进行战略评价,在确定企业战略目标的基础上,考虑了企业使命和风险承受度后制定的。当然,目标应该从上向下层层分解,每一层管理主体都负有与其权责相τΦ哪勘辍⒅副旰涂己吮曜肌
2.责任主体。责任主体是集团企业财务风险管理的核心力量,其中,股东大会是公司的最高权力机构,站在所有者角度,通过有效管理所有者的财权,对集团企业财务风险进行管理;董事会是集团企业的经营决策机构,从财务管理的角度看,同样是经营者财务监督体系的核心和最高层。董事会从行政者的角度,通过全方位负责财务决策有效性,对企业财务风险进行管理;监事会是公司的司法者,在财务风险管理领域,监事会应当全面了解集团企业财务风险管理现状,跟踪监督董事会和高级管理层为完善内部控制所做的相关工作,检查和研究日常经营活动中是否存在违反既定财务风险管理政策和原则的行为;总经理及其集体是公司经营管理最高执行层。从日常财务监督的组织、管理和实施过程看,总经理及其集体的主要职责是负责执行财务风险控制政策,制定财务风险控制的程序和操作规程,及时了解财务风险水平及其控制情况,并确保集团企业具备足够的人力、物力、恰当的组织结构、管理信息系统以及技术水平,来有效地识别、度量、控制财务风险,并定期或者不定期评价财务风险控制的效果和效率;部门主要包括财务风险控制部门、财务控制部门、内部审计部门等。企业所有岗位能够实施或者参与财务风险管理的人,都是财务风险管理的责任主体,通过各自职责的履行情况,对企业财务风险进行管理。企业所有岗位都是财务风险管理的责任主体;之所以把子公司单独列为一个责任主体,是因为集团企业所属的子公司往往也存在背离母公司的倾向,从而使母公司面临失控,导致财务风险。
3.程序方法。程序方法是企业财务风险管理的基本程序和方法,是责任主体所表现的行为集合,表现为责任主体进行财务风险管理的行为举动,同时也是控制系统主要监督、控制的内容,包括规范的财务风险管理基本流程。集团企业财务风险管理的程序方法至少应该包括:风险识别、风险度量、风险应对和管理评价等。集团企业财务风险管理目标实现的效果和效率是由责任主体实施程序方法的效果和效率决定的,必须加强责任主体实施程序方法的引导、控制和评价,以便使集团企业财务风险管理朝着有利于管理目标去组织、贯彻和实施。
4.保障体系。保障体系是保证各责任主体按照企业财务风险管理流程来实施管理的程序方法得以落实的制度、机制和手段。保障体系是连接责任主体和程序方法的桥梁,是责任主体和程序方法的信息传递和沟通体系,是责任主体实施程序方法的保障机制。没有健全、有效的保障体系,仅仅依靠责任主体的程序方法,很难保证集团企业财务管理的效果和效率,所以我们要建立、健全责任主体实施程序方法的保障体系。包括:完善风险管理的内部控制系统、开展信息化、建立财务预警系统、健全内部管理制度和审计等。
企业风险管理要素范文第2篇
【摘要】风险管理和内部控制及公司治理的研究正成为许多国家政府以及有关国际组织的研究重点,COSO的《企业风险管理——整体框架》标志着内部控制理论与实践进入了整体框架的新阶段。关注COSO报告中风险管理框架的新发展,加快企业风险管理,在完善社会主义市场经济体制进程中无疑具有重要的现实意义。
一、COSO的内部控制整体框架和风险管理整体框架
(一)《内部控制——整体框架》关于风险管理的论述
1992年,COSO了其研究报告《内部控制——整体框架》,并于1994年进行了增补修订。在该报告中,COSO(1992)指出,企业必须了解它所面临的风险,并加以处理。企业必须制定目标,而目标又必须与销售、生产、营销、财务等活动相结合,如此企业才能很好地运作。企业还必须建立识别、分析和管理相关风险的机制。
COSO(1992)提出了内部控制的五个要素,其中之一便是风险评估。COSO(1992)指出,每一个主体都面临着各种来源于内部和外部的风险,这些风险必须加以评估。风险评估的前提之一是建立目标,不同层次的目标应当相互联系并保持内部一致。风险评估是指识别、分析与实现目标相关的风险,它是决定这些风险应如何管理的基础。由于经济、行业、管制和经营条件会不断发生变化,应当建立相应的机制以识别并处理与这些变化相关的特定风险。COSO(1992)指出,须从企业整体和作业两个层次来识别风险。企业整体层次的风险可能由外部或内部因素而产生。外部因素如:科技发展、顾客的需求或预期改变、竞争、新颁布的法律法规、天然灾害、经济环境改变;内部因素如:信息系统处理的中断、员工的品质、经理人的责任改变、企业活动的性质以及员工可接近企业资产的程度、董事会或监事会不够坚定或无效。
(二)风险管理的新发展:《企业风险管理——整体框架》
2004年,COSO了其研究报告《企业风险管理——整体框架》。风险管理整体框架(ERM)是在内部控制整体框架基础上发展而来的。COSO(2004)指出,风险管理框架不想也没有替代内部控制框架,但它将内部控制框架整合在内,采用这一框架,企业既可以满足内部控制的需要,也可以建立一个完整的风险管理过程。
1.风险管理的目标
COSO(2004)认为,主体的目标包括四个:
(1)战略目标,是高水平的目标,它应与组织的使命一致并支持该使命;
(2)经营目标,组织应当有效率和效果地使用资源;
(3)报告目标,组织应当提供可靠的报告;
(4)遵循目标(合规性目标),即组织应当遵循相关的法律规章。
企业风险管理实际就是为实现上述目标提供合理的保证。
2.风险管理的内容
企业风险管理包含以下方面的内容(作用):
(1)协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时,应考虑组织的风险偏好。
(2)改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略(包括规避、降低、分担与接受风险)中做出选择。
(3)减少经营意外与损失。提高组织识别潜在事项并做出反应,减少意外事项及相关的成本或损失的能力。
(4)识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险,企业风险管理应当有助于对相关关联的影响作出有效的反应,并对多企业的风险作出整体性反应。
(5)抓住机会。通过考虑所有的潜在事项,管理层应当能够识别并实现机会。
(6)改善资本的配置。在获得关于风险的信息后,管理层可以有效地评估总体资本需求并改进资本的配置。
企业风险管理的上述作用,有助于管理层实现组织的经营和盈利目标,并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循,并有助于避免组织声誉的损害及相关不良后果。总之,企业风险管理有助于企业向其所期望的方向发展,避免在发展的过程中遭遇陷阱和意外。
3.风险管理的要素
企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法,并与管理过程合成一个整体。这些要素包括:
(1)内部环境。内部环境包含了组织的风格,它确定了组织人员如何看待和处理风险的基础,是其它要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。
(2)目标设定。在管理层辨别影响其目标实现的潜在事项之前,必须有目标。企业风险管理要求管理层设定目标,选择的目标需要能够支持组织的使命并与组织使命相一致,并与其风险偏好相一致。
(3)事项识别。即识别那些影响组织目标实现的内外部事项,并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。
(4)风险评估。必须对风险加以分析,考虑其发生的可能性以及影响,并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。
(5)风险应对。管理层应在不同的风险应对(包括回避、接受、降低、分担风险)中做出选择,从而采取一系列与组织的风险容忍度(risk tolerances)和风险偏好相一致的行动。
(6)控制活动。应建立相关的政策和程序,以确保风险应对策略得到有效的执行。控制活动通常包括两个要素:确定应从事何种活动的政策、执行政策的程序。
(7)信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息并加以传递沟通,从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上,包括向下、向上以及平行交互沟通。
(8)监控。整个企业风险管理都应当加以监控并根据需要做出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。
对于这八个要素,COSO(2004)指出,企业风险管理不是一个严格的序列过程,即一个要素仅影响下一个要素,而且是一个多方向的、相互影响的过程,任何要素都可以并且确实影响其它的要素。
4.风险管理目标与风险管理要素的关系
COSO(2004)认为,目标是主体要实现什么,企业风险管理的要素则意味着需要什么来实现它们,因此,风险管理的目标与要素之间存在密切的直接联系。这样,企业目标、风险管理要素与企业各个层级之间就形成一个三维立体图。
二、美国风险管理准则对我国的启示
从以上COSO风险管理准则内容和要求上,可以看出存在以下特点:
(一)将风险管理与内部控制联系在一起。内部控制是风险管理的重要手段,董事会应当建立并维持有效的内部控制系统以实现风险管理。
(二)均强调风险管理是一个包含风险识别、计量和应对的系统化过程。风险识别、计量、应对和控制活动是一个紧密的整体,企业必须识别面临的潜在风险,并评估其对企业的影响,从而采取相应的措施来应对风险。在风险识别和分析、评估的技术上,均强调应当结合采用定量技术和定性技术。另外,人们越来越认识到,风险是无法绝对消除的,因此,风险管理的目标是将其控制在主体的风险偏好以内,而不是消除风险。反映到风险应对策略上,相关的风险管理准则大都强调风险的应对措施包括回避、抑减(降低)、转嫁(分摊)、接受,应当根据风险发生的可能性、对主体的影响以及主体自身的风险容量选择适当的应对措施。 (三)强调风险管理应当融入到企业日常经营活动中,并贯穿于企业的各个层次、所有的经营活动。风险管理针对的是企业经营活动中对企业目标实现产生影响的风险事项,因此,风险管理必须与企业的经营活动紧密地结合在一起,在经营活动中处处体现风险管理的理念与做法,这不仅有助于及时识别企业所面临的风险事项,也有助于降低风险管理成本、提高风险管理效率。
(四)强调控制环境的作用。公司的高层基调、管理层的管理哲学、董事会和相关委员会、员工的胜任能力对于有效的风险管理具有重要作用,如果没有一个良好的、注重风险管理的内部环境,风险管理很难取得成功。
(五)强调全员参与。全员管理是现代风险管理的重要特征,风险管理不仅仅是风险管理部门的事,而且需要靠企业的全体员工来落实,所有员工都会影响到企业风险管理的效果,企业应当使所有员工了解自己在风险管理中的作用。
(六)强调信息与沟通。信息和沟通对于良好的风险管理和内部控制相当重要,下层要了解公司的风险管理战略和政策、措施,并有顺畅的向上沟通风险管理和内部控制情况的渠道,上层要及时向员工及外部了解企业面临的重大风险及其管理情况。
(七)强调定期对风险管理过程和内部控制进行评估,并对发现的缺陷和不足加以报告。风险管理是一个持续的、动态的过程,企业的内、外部环境在不断地变化,这决定了原先的控制未必有效,因此,必须定期对风险管理过程和内部控制的有效性进行评估,以找出其缺陷和不足并及时采取补救措施。
企业风险管理要素范文第3篇
摘要:2004年9月,COSO委员会正式颁布了新的COSO报告:《企业风险管理——整合框架》。在对此报告进行研究的基础上,探讨了两方面的问题,一是企业风险管理与内部控制的融合,二是內部审计与风险管理。通过比较认为,首先,企业风险管理与內部控制同样是一个程序,处于不断的调整和变化之中.两者只有相互融合,才能实现最佳效果;其次,对企业风险管理进行监督和评价是现代内部审计发展的结果。內部控制向风险管理领域扩展,对內部审计的发展产生了深远影响,集中体现在风险基础内部审计的产生。
关键词:企业风险管理;內部控制;內部审计
一、企业风险管理框架的提出
2004年,美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO这样定义企业风险管理,企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用.旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。
1.内部环境(InternalEnvironment)。企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
2.目标设定(ObjectiveSetting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。
3.事件辨别(EventIdentification)。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。这一步要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。
4.风险评估(RiskAssessment)。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
5.风险反应(RiskResponse)。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
6.控制活动(ControlActivities)。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。
7.信息和交流(InformationandCommunication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息;平行式是部门之间的信息交流和传递;自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与管理层进行交流,管理当局应当重视员工的意见。
8.监督(Monitor)。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的合适人选。
二、企业风险管理与内部控制的融合
自1992年美国COSO委员会提出《内部控制框架》报告(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上,结合《SOX法案》在报告方面的要求,进行扩展研究得到的。通过比较,我们可以发现,企业风险管理的定义采用了1992年内部控制框架定义的模式,认为企业风险管理与内部控制同样是一个程序,它不是静态的,而是处于不断的调整和变化之中,以适应组织环境的变化。
企业风险管理除包括内部控制的三个目标之外,还增加了战略目标,并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营的效率和效果、财务报告的可靠性和现行法规的遵循。企业风险管理框架也包含三个类似的目标,但是比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
另外,企业风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件辨别和风险反应三个要素,由于对象不同,风险管理更加针对组织面临的“风险”,增加这三个要素,拓展了概念的深度和广度。因此,风险管理框架建立在内部控制框架的基础上,内部控制框架则是企业风险管理必不可少的一部分。
内部控制与风险管理的融合很早就引发了人们的关注,经过长期的争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最佳效果。COSO企业风险管理概念的提出,将风险管理与内部控制的融合大大地向前推动了一步,这种融合必将极大地推进内部控制和内部审计的发展。
三、风险管理对内部审计的影响
内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同,尚未形成统一的最佳做法,国际内部审计师协会目前还没有标准的风险基础审计定义,IIA的职业问题委员会认为,风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改进,审计业务的范围和优先次序应由组织所面临的风险所决定。
风险基础内部审计的特征可以总结为以下几点:
第一,风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司针对风险管理功能,设立一个分部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理的一个组成部分,整个审计工作根植于以未来为导向的风险分析。
第二,内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效”虽然仍被关注,但已不是关键。
第三,内部审计的反应方式不再是反应式的、事后的、不连续的监控,从以交易为基础转变为以过程为基础,对组织战略计划的创新也由观察者转变为参与者。
企业风险管理要素范文第4篇
【关键词】内部控制;企业风险管理;风险审计
一、企业风险管理
(一)企业风险管理概念
根据《企业风险管理框架》(简称ERM框架),“企业风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从组织战略制定一直贯穿到组织的各项活动中,用于识别那些可能影响组织的潜在事件并管理风险,使之在组织的风险偏好之内,从而合理确保组织取得既定的目标。”ERM框架有三个维度,第一维是组织的目标,包括战略目标、经营目标、报告目标和合规目标;第二维是企业风险管理要素,包括内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和交流、监控;第三维是组织的各个层级,包括整个组织、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是,企业风险管理的八个要素都是为组织的四个目标服务的;组织各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。企业风险管理定义直接关注组织目标的实现,并且为衡量组织风险管理的有效性提供了基础。该定义强调:风险管理本身并不是一个结果,而是实现结果的一种方式;决定一个组织的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断;该过程应应用于组织内部每个层次和部门,可以从一个组织的总体来认识,也可以从一个单独的部门或多个部门的角度来认识;该过程是用来识别可能对组织造成潜在影响的事项并在风险偏好的范围内管理风险。
(二)企业风险管理要素
1.内部环境。内部环境包含组织基调,是组织员工如何看待风险、对待风险的基础,包括风险管理理念、风险偏好、正直和道德价值观及工作环境,是其他所有风险管理要素的基础,为其他要素提供规则和结构。管理当局是内部环境的重要组成部分,对其他内部环境要素有重要的影响,其职责是建立组织风险管理理念,确定组织的风险偏好,营造组织的风险文化,并将风险管理和相关的初步行动结合起来。
2.目标制定。组织先制定使命,在此背景下,管理层制定战略和目标,并把目标逐层分解为战略目标(高层次目标,和组织使命方向一致,并支持使命)、运营目标(有效且高效地使用资源)、报告目标(报告的可靠性)和合规目标(遵循适用的法律法规)。企业风险管理框架就是为实现组织目标服务,确保管理层参与目标制定流程,确保所选择的目标不仅和组织使命方向一致,支持组织的使命,而且能够保证制定的目标与组织的风险偏好相一致。
3.事项识别。事项既可能带来消极后果,也可能带来积极后果,或者带来混合后果。消极后果的事项意味着风险,它会阻碍价值创造或破坏现有价值。积极后果的事项会抵消消极影响,或者带来机会(所谓机会,就是事项如果发生,能促进目标的实现,能支持价值创造或价值的保存)。因此,管理者应识别影响组织目标实现的内外事项,分清风险和机会。企业风险管理能够改善对交叉影响的有效反应,并能为各种风险提供统一的风险反应对策。
4.风险评估。识别和分析风险,考虑可能性和后果,在此基础上决定应如何管理风险。风险评估可以使管理者了解潜在事项如何影响组织目标的实现。管理者应从两个方面对风险进行评估――风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对于风险的评估应从组织战略和目标的角度进行。
5.风险反应。风险反应是管理层选择风险反应方式并制定一套措施把风险控制在组织的风险容忍度和风险偏好之内。风险反应可以分为规避风险、减少风险、共担风险、接受风险和利用风险。规避风险是指采取措施退出会给组织带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险,降低风险发生的可能性或降低风险对组织的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。利用风险是把风险看作机会,利用可能发生的风险及其影响。对于每一个重要的风险,组织都应考虑所有的风险反应方案。
6.控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于组织的各部分、各个层面和各个部门,通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序。
7.信息和沟通。识别、分析和沟通来自于组织内部和外部的相关信息,必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证组织的员工能够执行各自的职责。有效的沟通包括组织内上传、下达和平行的沟通,还包括将相关的信息与组织外部相关方进行有效沟通和交换。
8.监控。监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。组织可以通过两种方式对风险管理进行监控――持续监控和个别评估。持续监控和个别评估都是用来保证组织的风险管理在组织内务管理层面和各部门持续得到执行。
二、风险管理审计
(一)风险管理审计的目标
风险管理审计是指胜任的专职机构和专业人员对组织内部风险管理程序、风险反应、管理制度及机制的合理性、有效性进行独立的审查和评价过程。风险管理审计的根本目的是最大限度地增加组织价值。
审计目标是回答“通过审计要证明什么”的理论问题,是审计行为的出发点,是审计工作的指南,也是审查和评价审计内容所期望达到的境地和最终结果。审计目标体系由总目标、一般目标和项目目标构建。
(二)风险管理审计的内容
审计内容是回答“审计什么”的问题。根据ERM框架中的要素,风险管理审计的内容主要包括:
1.风险管理程序的科学性和合理性,主要包括风险管理开发阶段所制订的风险管理框架结构的内容;风险管理试探阶段所实施风险管理框架结构的内容;风险管理回顾阶段所丰富并增强风险管理框架结构的内容;风险管理展开阶段所推广并实施风险管理框架的情况;风险管理支持阶段所需要提供的各种基础组织以及服务。
2.风险反应的周密性和可行性,主要包括风险反应计划的周密性(如有否考虑风险的可规避性、可转移性、可减少性、可接受性);风险应对策略的可行性(如是否采取了风险控制、风险自留、风险转移)。
3.风险管理制度的合法性和完善性,主要包括风险管理制度的合法性(如建立风险管理制度是否经过充分论证);风险管理体制的完善性(如考核评价体制和责任追究制度是否健全)。
4.风险管理机制的结构性和尽责性,主要包括高层管理人员和重要岗位业务人员的风险管理理念及对风险管理的重视程度;风险管理人员的结构和素质;全员风险管理的情况。
(三)风险管理审计的程序
1.审计规划阶段,包括选定被审计对象和制定风险管理审计计划。被审计对象选定工作包括识别被审计对象的策略、识别潜在被审计对象和排列被审计对象的顺序。制定风险管理审计计划包括制订财务风险管理、生产风险管理、市场风险管理、会计风险管理、人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。
2.审计测评阶段,包括风险的分析、评估和监控。(1)分析风险。审计人员应对风险迹象进行深入了解、描述和记录,并对风险的可能性和发生频率进行分类。风险可能性分析结果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“基本确定”等类别,风险发生频率分析结果一般可分为“高频率、高损害风险”,“高频率、低损害风险”,“低频率、低损害风险”,“低频率、高损害风险”等类别。(2)评估风险。审计人员应分析风险的成因及其影响,并确定风险程度及等级。风险程度一般分为“极高”、“高”、“中等”、“低”和“极低”等级别。风险概率用风险发生可能性的百分比表示,风险量=风险概率×风险损失量。(3)监控风险。审计人员应对可能发生的风险和损失进行跟踪检查。跟踪已识别风险的发展变化情况,包括在整个项目生命周期内,风险产生的条件和导致的后果变化,作出减缓风险的方案,调险管理计划。
3.审计报告阶段,包括汇总审计结果、出具审计报告和追加后续审计。(1)汇总审计结果,包括审计现状、标准、差异、原因和建议等部分。如审计建议中对损失大、概率大的灾难性的风险要避免;对损失小、概率大的风险,可采取措施来降低风险量;对损失大、概率小的风险,可通过保险或合同条款将责任转移;对损失小、概率小的风险,可采取积极手段来控制。(2)出具审计报告,包括标题、收件人、正文、附件、签章、报告日期等基本要素。审计报告正文部分主要内容有:审计目标、风险概况、审计依据、审计结论、审计评价和审计建议等。(3)追加后续审计。ERM是一个动态的过程,审计测试应与之相协调,追加后续审计显得重要。后续审计应将重点放在最严重的问题上,相关部门是否予以纠正,若不纠正,责任和原因到底在哪儿;对一般事项可仅限于询问和简短的讨论。
【参考文献】
[1] 朱荣恩,贺欣.内部控制框架的新发展――企业风险管理框架[J].审计研究,2003,(6).
[2]中国内部审计协会.内部审计理论与实务[M].中国石化出版社,2004.
企业风险管理要素范文第5篇
【关键词】ERM 框架 高校 风险管理
1992年,美国COSO委员会了《内部控制——整合框架》,历经十多年的实践检验成为世界通行的内部控制权威文献。2004年9月,COSO了《企业风险管理——整合框架》(ERM框架)。ERM框架拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。COSO并不打算、也的确没有取代内部控制框架,但是它将内部控制框架纳入其中,公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程。
一、ERM框架的目标和构成要素
(一)企业风险管理为主体实现的四大目标提供合理保证
(1)与高层次的目的相关,协调并支撑主体的战略目标。(2)与利用主体资源的有效性和效率相关的经营目标。(3)与主体报告的可靠性相关的报告目标。(4)与主体符合适用的法律和法规相关的合规目标。
(二)ERM框架的构成要素
(1)内部环境,包含组织的基调,影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础;(2)目标设定,必须先有目标,管理层才能识别影响目标实现的潜在事项,是企业风险管理的起点;(3)事项识别,主体目标实现的过程存在不确定性,管理层必须识别将会对主体产生影响的潜在事项,区分风险和机会;(4)风险评估,通过考虑风险发生的可能性和产生的影响来对其加以分析,并以此作为决定如何进行管理的依据;(5)风险应对,管理层要确定如何应对风险(回避、降低、分担还是承受),从而采取一系列与组织的风险容忍度和风险偏好相一致的行动;(6)控制活动,是帮助确保管理层的风险应对得以实施而采取的政策和程序;(7)信息与沟通,风险管理有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通;(8)监控,对企业风险管理进行监控,随时对其构成要素的存在和运行进行评估。
二、高校借鉴ERM框架开展全面风险管理的思路
ERM框架是企业有效识别、评估、应对风险,开展全面风险管理的重要理论基础。高校以培养适应社会需求的高素质人才为目标,也和企业一样面临着各种各样的风险,如:财务、教学、科研、法律责任、实物损失、人员伤亡等风险。因此,高校要有效应对风险、实现组织战略目标,有必要借鉴ERM框架的八个构成要素开展全面风险管理。
(一)确立风险管理理念
风险管理是一整套共同的信念和态度,它决定着主体在做任何事情时如何考虑风险。高校的风险管理理念反映在管理层所做的每一件事情上,从政策的表述、口头和书面的沟通以及决策中反映出来。确立风险管理理念是一个过程,关键是管理层必须坚持以口头和日常的行动来强化这种理念。当风险管理理念被很好地确立和理解、并为教职工所信奉时,高校就能有效地识别和管理风险,提高抵御风险的能力。
(二)健全组织结构
成立专门的机构、配备足够的人员和经费是开展全面风险管理的重要前提。高校应当设置风险管理部门,负责建立健全高校的风险管理政策,确定各个部门对于风险管理的权力和义务,辅助各个部门识别、管理和应对风险,保证高校教学、科研等活动正常运转。
(三)有效开展风险控制活动
目前各高校都有内部控制系统,在经费管理、采购、基建等风险高发领域采用职责分离、信息处理、批准与授权等控制活动。全面风险管理是对内部控制的拓展和延伸,高校风险管理不仅保持和完善内部控制系统,同时拓展到高校的各个部门的所有业务。建立风险管理系统,为应对风险制定了各种控制活动,并保证控制活动得以有效执行。控制活动是风险管理的核心内容,保持有效的控制活动是保护高校领导干部、实现风险管理目标的关键。
(四)构建畅通的信息与沟通渠道
高校建立风险管理信息系统,收集校内生成的数据和来自校外的信息,处理和提炼成为风险管理决策需要的信息。高校内部和外部环境在不断变化,信息的收集、处理和运用是不间断的,只有保持信息沟通渠道的畅通才能保证风险管理者能够及时掌握有效的信息。ERM框架指出:一个主体中的每个人都对企业风险管理负有一定的责任。畅通的沟通渠道,可以让高校的每一位教职工了解他们自己在风险管理中应该做什么、怎么做;可以帮助决策者及时掌握教学、科研、管理等方面的最新情况,从而能够更好地抓住机会、抵御风险。
(五)发挥内部审计的风险管理职能
风险管理是一个持续的过程,随着时间的变化曾经有效的风险应对可能变得不相关、控制活动可能不再有效或不被执行,因而有必要对风险管理进行监控。监控有持续的监控活动和专门评价两种方式,高校内部审计更加适合对风险管理作专门评价。首先,作为高校的内设机构,能够参与高校有关会议、经济决策,更加了解高校运营的各个环节,能及时发现、获悉潜在风险和风险管理状况;其次,能够从高校整体利益和实际出发进行审计、提出的建议更能为高校决策者采纳。高校内部审计要充分发挥风险管理职能,积极开展风险管理审计,对高校的风险管理过程进行监督评价,为实现高校的战略目标保驾护航。
参考文献
[1]方红星,王宏,译.美国COSO指定.企业风险管理——整合框架[M].大连:东北财经大学出版社,2005.
