企業風險管理要素
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇企業風險管理要素范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
企業風險管理要素范文第1篇
中圖分類號:F235文獻標識碼:A
文章編號:1005-913X(2017)04-0098-02
近年來,大型集團企業日益成為企業組織形式發展的主要方向,然而伴隨企業組織規模的擴大與組織層級的增多,財務風險的傳導性與危害性變得更加顯著,因而如何遏制隨企業規模擴張而不斷增大的財務風險便成為一個亟需解決的問題。構建集團企業財務風險管理系統勢在必行。
一、集團企業財務風險管理框架構建的原則
(一)系統性原則
系統論強調整體性原則,企業財務風險管理是一個系統,系統是由各組成要素相互聯系、相互作用所形成的一個有機整體,系統的各組成要素是不可缺少、不可分割的;系統論強調目的性原則,企業財務風險管理系統通過系統功能的發揮而實現財務風險管理的目標,而系統功能的發揮又與系統的組成及結構有很大關系;系統論強調整體優化原則,企業財務風險管理系統整體性能是否最優會受到該系統組成管理要素及要素間關系變化的影響,若想發揮系統的最優性能,就需要根據環境的變化不斷調整系統組成管理要素及管理要素間的關系,從而達到優化企業財務風險管理系統整體性能的目的。
(二)環境分析起點原則
構建集團企業財務風險管理框架,它就有邊界,邊界外面就是環境。任何活動的實施都是在一定環境下進行的,集團企業財務風險管理活動具有主動適應環境并受環境影響的雙重特性。管理的目標受集團企業戰略目標統馭,制定集團企業戰略目標是在環境分析的基礎上進行的。因此,只有進行環境分析,才能知曉集團企業財務風險管理所面臨的迫切形勢,以及所面臨的優勢和劣勢,然后利用環境造成的機會,回避環境造成的威脅,發揮自身優勢,回避自身劣勢。所以,確立集團企業財務風險管理目標時,必須以環境分析為起點。
(三)目標導向原則
目標是集團企業財務風險管理的方向、也是評價管理效果的依據。我們應該以目標為導向確定集團企業財務風險管理的主體、活動和保障措施。當然集團企業財務風險管理的實施目標和集團企業戰略目標應保持一致,這是由環境分析的結果確定的。集團企業財務風險管理是集團企業財務管理乃至戰略管理的一部分,隨著環境的不斷變化,集團企業財務風險管理處于不同發展階段,可能會面臨不同的問題,因此需要以集團企業財務管理為目標,保持兩者目標的一致性。
(四)具體問題具體分析原則
具體問題具體分析原則是指我們在構建集團企業財務風險管理框架時,在確定集團企業財務風險管理的主體、活動和保障措施,以實現集團企業財務風險管理目標時,要立足于我國的現狀,根據我國國情,而不是一味地照抄照搬國外的做法。當然,我們構建的集團企業財務風險管理框架可以隨著環境而變化、調整、優化,是適應環境的。具體問題具體分析原則要求我們能夠根據環境變化及時改變集團企業財務風險管理框架的構成要素,針對環境保護目標中出現的新的問題不斷完善模式。目前,集團企業財務風險管理面臨的環境發生著非常迅速、異常巨大的變化,這對我們構建集團企業財務風險管理框架提出了新的要求,即要根據環境變化及時調整層次和目標,明確主體、完善活動、健全保障體系、優化實施基礎,合理保證集團企業財務風險管理的效率和效果,實現集團企業財務風險管理的整體目標。
二、集團企業財務風險管理框架的構建
(一)集團企業財務風險管理框架的三層結構
1.目標層。目標是任何實踐活動的最終歸宿,也是指導實施層的重要依據。目標是實施主體的方向和考評依據,沒有目標的行為是沒有任何意義的,沒有目標的實施活動也不會實現預想的效果和效率。因此,目標層的目標要素就是按照環境分析起點原則分析、制定、選擇的切實可行的目標。集團企業財務風險管理的目標包括戰略目標和具體目標,集團企業財務風險管理框架的戰略目標是集團企業層面的長期的、整體的目標,具體目標是不同層次責任主體的具體目標。
2.管理層。管理層是集團企業財務風險管理框架的核心部分,是目標層訴諸于實踐的具體表現。管理層包括責任主體、程序方法和保障體系等要素。管理層以目標層為導向受到目標層的制約,同時又對目標層層級目標的實現起決定作用。管理層更離不開基礎層的支持和保障。因此,管理層是連接目標層和基礎層的橋梁,它是目標層的具體實踐和基礎層的現實表現。
3.基礎層。從目標的建立到為完成目標所開展的管理活動,基礎層都是這個過程的基點。它立足于實際,詳細分析目前面臨的現狀和實情,是整個框架構建的基礎。管理層的管理主體、管理活動和保障體系受基礎層的約束和限制,同時基礎層又為管理層提供支持和保障。
(二)集團企業財務風險管理框架的要素分析
1.管理目標。管理目標是企業通過財務風險管理達到的目標,是我們構建集團企業財務風險管理框架的根本出發點和核心。我們在構建集團企業財務風險管理框架時就必須從管理目標出發。在集團企業財務風險管理框架中管理目標屬于目標層的要素。管理目標是在對集團企業的宏觀、微觀環境進行SWOT分析后得出的戰略選擇基礎上進行戰略評價,在確定企業戰略目標的基礎上,考慮了企業使命和風險承受度后制定的。當然,目標應該從上向下層層分解,每一層管理主體都負有與其權責相τΦ哪勘輟⒅副旰涂己吮曜肌
2.責任主體。責任主體是集團企業財務風險管理的核心力量,其中,股東大會是公司的最高權力機構,站在所有者角度,通過有效管理所有者的財權,對集團企業財務風險進行管理;董事會是集團企業的經營決策機構,從財務管理的角度看,同樣是經營者財務監督體系的核心和最高層。董事會從行政者的角度,通過全方位負責財務決策有效性,對企業財務風險進行管理;監事會是公司的司法者,在財務風險管理領域,監事會應當全面了解集團企業財務風險管理現狀,跟蹤監督董事會和高級管理層為完善內部控制所做的相關工作,檢查和研究日常經營活動中是否存在違反既定財務風險管理政策和原則的行為;總經理及其集體是公司經營管理最高執行層。從日常財務監督的組織、管理和實施過程看,總經理及其集體的主要職責是負責執行財務風險控制政策,制定財務風險控制的程序和操作規程,及時了解財務風險水平及其控制情況,并確保集團企業具備足夠的人力、物力、恰當的組織結構、管理信息系統以及技術水平,來有效地識別、度量、控制財務風險,并定期或者不定期評價財務風險控制的效果和效率;部門主要包括財務風險控制部門、財務控制部門、內部審計部門等。企業所有崗位能夠實施或者參與財務風險管理的人,都是財務風險管理的責任主體,通過各自職責的履行情況,對企業財務風險進行管理。企業所有崗位都是財務風險管理的責任主體;之所以把子公司單獨列為一個責任主體,是因為集團企業所屬的子公司往往也存在背離母公司的傾向,從而使母公司面臨失控,導致財務風險。
3.程序方法。程序方法是企業財務風險管理的基本程序和方法,是責任主體所表現的行為集合,表現為責任主體進行財務風險管理的行為舉動,同時也是控制系統主要監督、控制的內容,包括規范的財務風險管理基本流程。集團企業財務風險管理的程序方法至少應該包括:風險識別、風險度量、風險應對和管理評價等。集團企業財務風險管理目標實現的效果和效率是由責任主體實施程序方法的效果和效率決定的,必須加強責任主體實施程序方法的引導、控制和評價,以便使集團企業財務風險管理朝著有利于管理目標去組織、貫徹和實施。
4.保障體系。保障體系是保證各責任主體按照企業財務風險管理流程來實施管理的程序方法得以落實的制度、機制和手段。保障體系是連接責任主體和程序方法的橋梁,是責任主體和程序方法的信息傳遞和溝通體系,是責任主體實施程序方法的保障機制。沒有健全、有效的保障體系,僅僅依靠責任主體的程序方法,很難保證集團企業財務管理的效果和效率,所以我們要建立、健全責任主體實施程序方法的保障體系。包括:完善風險管理的內部控制系統、開展信息化、建立財務預警系統、健全內部管理制度和審計等。
企業風險管理要素范文第2篇
【摘要】風險管理和內部控制及公司治理的研究正成為許多國家政府以及有關國際組織的研究重點,COSO的《企業風險管理——整體框架》標志著內部控制理論與實踐進入了整體框架的新階段。關注COSO報告中風險管理框架的新發展,加快企業風險管理,在完善社會主義市場經濟體制進程中無疑具有重要的現實意義。
一、COSO的內部控制整體框架和風險管理整體框架
(一)《內部控制——整體框架》關于風險管理的論述
1992年,COSO了其研究報告《內部控制——整體框架》,并于1994年進行了增補修訂。在該報告中,COSO(1992)指出,企業必須了解它所面臨的風險,并加以處理。企業必須制定目標,而目標又必須與銷售、生產、營銷、財務等活動相結合,如此企業才能很好地運作。企業還必須建立識別、分析和管理相關風險的機制。
COSO(1992)提出了內部控制的五個要素,其中之一便是風險評估。COSO(1992)指出,每一個主體都面臨著各種來源于內部和外部的風險,這些風險必須加以評估。風險評估的前提之一是建立目標,不同層次的目標應當相互聯系并保持內部一致。風險評估是指識別、分析與實現目標相關的風險,它是決定這些風險應如何管理的基礎。由于經濟、行業、管制和經營條件會不斷發生變化,應當建立相應的機制以識別并處理與這些變化相關的特定風險。COSO(1992)指出,須從企業整體和作業兩個層次來識別風險。企業整體層次的風險可能由外部或內部因素而產生。外部因素如:科技發展、顧客的需求或預期改變、競爭、新頒布的法律法規、天然災害、經濟環境改變;內部因素如:信息系統處理的中斷、員工的品質、經理人的責任改變、企業活動的性質以及員工可接近企業資產的程度、董事會或監事會不夠堅定或無效。
(二)風險管理的新發展:《企業風險管理——整體框架》
2004年,COSO了其研究報告《企業風險管理——整體框架》。風險管理整體框架(ERM)是在內部控制整體框架基礎上發展而來的。COSO(2004)指出,風險管理框架不想也沒有替代內部控制框架,但它將內部控制框架整合在內,采用這一框架,企業既可以滿足內部控制的需要,也可以建立一個完整的風險管理過程。
1.風險管理的目標
COSO(2004)認為,主體的目標包括四個:
(1)戰略目標,是高水平的目標,它應與組織的使命一致并支持該使命;
(2)經營目標,組織應當有效率和效果地使用資源;
(3)報告目標,組織應當提供可靠的報告;
(4)遵循目標(合規性目標),即組織應當遵循相關的法律規章。
企業風險管理實際就是為實現上述目標提供合理的保證。
2.風險管理的內容
企業風險管理包含以下方面的內容(作用):
(1)協調風險偏好和戰略。管理層在評估不同的戰略、確定相關目標、建立相關風險的管理機制時,應考慮組織的風險偏好。
(2)改進風險反應決策。企業風險管理要求識別并在不同的風險應對策略(包括規避、降低、分擔與接受風險)中做出選擇。
(3)減少經營意外與損失。提高組織識別潛在事項并做出反應,減少意外事項及相關的成本或損失的能力。
(4)識別并管理多個企業之間以及企業內部的風險。每一個企業都面臨無數的、會影響組織不同方面的風險,企業風險管理應當有助于對相關關聯的影響作出有效的反應,并對多企業的風險作出整體性反應。
(5)抓住機會。通過考慮所有的潛在事項,管理層應當能夠識別并實現機會。
(6)改善資本的配置。在獲得關于風險的信息后,管理層可以有效地評估總體資本需求并改進資本的配置。
企業風險管理的上述作用,有助于管理層實現組織的經營和盈利目標,并防止資源損失。企業風險管理有助于保證提供有效的財務報告和對法律規章的遵循,并有助于避免組織聲譽的損害及相關不良后果。總之,企業風險管理有助于企業向其所期望的方向發展,避免在發展的過程中遭遇陷阱和意外。
3.風險管理的要素
企業風險管理包含八個相互關聯的要素。這些要素來源于管理層管理企業的方法,并與管理過程合成一個整體。這些要素包括:
(1)內部環境。內部環境包含了組織的風格,它確定了組織人員如何看待和處理風險的基礎,是其它要素的基礎。內部環境具體包括風險管理哲學、風險偏好、董事會、誠實度和道德價值觀、組織結構、勝任能力、人力資源政策與實務、權責分配。
(2)目標設定。在管理層辨別影響其目標實現的潛在事項之前,必須有目標。企業風險管理要求管理層設定目標,選擇的目標需要能夠支持組織的使命并與組織使命相一致,并與其風險偏好相一致。
(3)事項識別。即識別那些影響組織目標實現的內外部事項,并區分為風險和機會。機會將被考慮進管理層的戰略或目標設定過程中。
(4)風險評估。必須對風險加以分析,考慮其發生的可能性以及影響,并作為確定這些風險應如何加以管理的基礎。應當對固有風險和殘存風險加以評估。
(5)風險應對。管理層應在不同的風險應對(包括回避、接受、降低、分擔風險)中做出選擇,從而采取一系列與組織的風險容忍度(risk tolerances)和風險偏好相一致的行動。
(6)控制活動。應建立相關的政策和程序,以確保風險應對策略得到有效的執行。控制活動通常包括兩個要素:確定應從事何種活動的政策、執行政策的程序。
(7)信息與溝通。應當按照特定的格式和時間框架來識別、捕捉相關信息并加以傳遞溝通,從而使人們可以履行其職責。有效的溝通存在于較廣泛的意義上,包括向下、向上以及平行交互溝通。
(8)監控。整個企業風險管理都應當加以監控并根據需要做出調整。監督可以通過持續性的管理活動、單獨評價或者二者同時來實現。
對于這八個要素,COSO(2004)指出,企業風險管理不是一個嚴格的序列過程,即一個要素僅影響下一個要素,而且是一個多方向的、相互影響的過程,任何要素都可以并且確實影響其它的要素。
4.風險管理目標與風險管理要素的關系
COSO(2004)認為,目標是主體要實現什么,企業風險管理的要素則意味著需要什么來實現它們,因此,風險管理的目標與要素之間存在密切的直接聯系。這樣,企業目標、風險管理要素與企業各個層級之間就形成一個三維立體圖。
二、美國風險管理準則對我國的啟示
從以上COSO風險管理準則內容和要求上,可以看出存在以下特點:
(一)將風險管理與內部控制聯系在一起。內部控制是風險管理的重要手段,董事會應當建立并維持有效的內部控制系統以實現風險管理。
(二)均強調風險管理是一個包含風險識別、計量和應對的系統化過程。風險識別、計量、應對和控制活動是一個緊密的整體,企業必須識別面臨的潛在風險,并評估其對企業的影響,從而采取相應的措施來應對風險。在風險識別和分析、評估的技術上,均強調應當結合采用定量技術和定性技術。另外,人們越來越認識到,風險是無法絕對消除的,因此,風險管理的目標是將其控制在主體的風險偏好以內,而不是消除風險。反映到風險應對策略上,相關的風險管理準則大都強調風險的應對措施包括回避、抑減(降低)、轉嫁(分攤)、接受,應當根據風險發生的可能性、對主體的影響以及主體自身的風險容量選擇適當的應對措施。 (三)強調風險管理應當融入到企業日常經營活動中,并貫穿于企業的各個層次、所有的經營活動。風險管理針對的是企業經營活動中對企業目標實現產生影響的風險事項,因此,風險管理必須與企業的經營活動緊密地結合在一起,在經營活動中處處體現風險管理的理念與做法,這不僅有助于及時識別企業所面臨的風險事項,也有助于降低風險管理成本、提高風險管理效率。
(四)強調控制環境的作用。公司的高層基調、管理層的管理哲學、董事會和相關委員會、員工的勝任能力對于有效的風險管理具有重要作用,如果沒有一個良好的、注重風險管理的內部環境,風險管理很難取得成功。
(五)強調全員參與。全員管理是現代風險管理的重要特征,風險管理不僅僅是風險管理部門的事,而且需要靠企業的全體員工來落實,所有員工都會影響到企業風險管理的效果,企業應當使所有員工了解自己在風險管理中的作用。
(六)強調信息與溝通。信息和溝通對于良好的風險管理和內部控制相當重要,下層要了解公司的風險管理戰略和政策、措施,并有順暢的向上溝通風險管理和內部控制情況的渠道,上層要及時向員工及外部了解企業面臨的重大風險及其管理情況。
(七)強調定期對風險管理過程和內部控制進行評估,并對發現的缺陷和不足加以報告。風險管理是一個持續的、動態的過程,企業的內、外部環境在不斷地變化,這決定了原先的控制未必有效,因此,必須定期對風險管理過程和內部控制的有效性進行評估,以找出其缺陷和不足并及時采取補救措施。
企業風險管理要素范文第3篇
摘要:2004年9月,COSO委員會正式頒布了新的COSO報告:《企業風險管理——整合框架》。在對此報告進行研究的基礎上,探討了兩方面的問題,一是企業風險管理與內部控制的融合,二是內部審計與風險管理。通過比較認為,首先,企業風險管理與內部控制同樣是一個程序,處于不斷的調整和變化之中.兩者只有相互融合,才能實現最佳效果;其次,對企業風險管理進行監督和評價是現代內部審計發展的結果。內部控制向風險管理領域擴展,對內部審計的發展產生了深遠影響,集中體現在風險基礎內部審計的產生。
關鍵詞:企業風險管理;內部控制;內部審計
一、企業風險管理框架的提出
2004年,美國Treadway委員會下屬贊助委員會(COSO)在內部控制框架概念的基礎上,提出了企業風險管理(EnterpriseRiskManagement,ERM)的概念,使內部控制的研究發展到一個新的階段。COSO這樣定義企業風險管理,企業風險管理是一個過程,受企業董事會、管理當局和其他員工的影響,包括內部控制及其在戰略和整個公司的應用.旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規的遵循提供合理保證。COSO認為,ERM為公司董事會提供了有關企業所面臨的重要風險,以及如何進行風險管理方面的信息,并進一步提出企業風險管理由內部環境、目標設定、事件辨別、風險評估、風險反應、控制活動、信息和交流以及監督等8個方面組成。
1.內部環境(InternalEnvironment)。企業的內部環境是其他所有風險管理要素的基礎,為其他要素提供規則和結構,也為ERM的其他組成因素提供了框架。其別是管理當局的風險偏好,決定了公司對可能出現的預料之外的事件的態度,管理當局和董事會必須明確戰略及其執行過程中的風險和回報。
2.目標設定(ObjectiveSetting)。即管理層必須基于目標來識別成功的潛在因素。根據企業確定的任務或預期,管理者制定企業的戰略目標,選擇戰略并確定其他與之相關的目標并在企業內層層分解和落實。其中,其他相關目標是指除戰略目標之外的其他目標,其制定應與企業的戰略相聯系。管理者必須首先確定企業的目標。才能夠確定對目標的實現有潛在影響的事項,而企業風險管理就是提供給企業管理者一個適當的過程,既能夠幫助制定企業的目標,又能夠將目標與企業的任務或預期聯系在一起,并且保證制定的目標與企業的風險偏好相一致。
3.事件辨別(EventIdentification)。在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上,企業風險管理要求辨別可能對實現公司目標產生負面影響的所有重要情況或事件,事件辨別的基礎是將可能的風險與環境進行對比。這一步要求綜合運用各種專業知識,盡可能地了解企業當前或將來的環境和經營情況。
4.風險評估(RiskAssessment)。一般用可能性(概率)和影響結果兩個維度度量風險,前者是一定的負面影響事件發生的可能性;后者是假設事件發生,對經營、財務報告以及戰略產生影響的可能結果,潛在影響一般以對經營、數量、金錢損失以及戰略目標可能造成的損失進行計算。風險評估的過程中根據不同的情況,采用定性、定量以及相結合的方法,若可以獲取充足的數據,一般采用定量的評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數據,則一般采取定性的評估方法。
5.風險反應(RiskResponse)。企業對每一個重要的風險及其對應的回報進行評價和平衡,結果取決于成本效益分析以及企業的風險偏好。而平衡的反應包括接受、規避或緩和這些風險,后者又包括風險分離、風險轉換或者減少(包括通過控制活動)等形式。風險反應是企業風險管理的整體重要組成部分。
6.控制活動(ControlActivities)。控制活動是管理當局設計的政策和程序,為執行特定的風險緩和反應提供合理保證。控制活動包括在整個組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業績復核、資產安全、職責分離等方法。
7.信息和交流(InformationandCommunication)。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息,與財務信息一樣,風險信息必須以一定的形式和框架進行交流,使員工、管理層以及董事履行各自的責任。風險評估的信息系統可以產生定期或“例外基礎”的時時報告,報告使用趨勢指標、業績矩陣及運營或財務成果的形式,這些報告能夠引導出及時的決策。在公司層次,必須對各種數據和信息流進行加工,形成關于公司風險組合輪廓的統一觀點,以利于交流。通常存在自上而下式、平行式和自下而上式三種有效的交流形式。自上而下式是管理當局向員工傳遞風險信息;平行式是部門之間的信息交流和傳遞;自下而上式是一線員工向管理層匯報風險信息。員工的風險信息交流方面的意識是風險管理環境的重要組成部分,應鼓勵員工就其意識到的重要風險與管理層進行交流,管理當局應當重視員工的意見。
8.監督(Monitor)。與內部控制一樣,企業應通過持續的監督和獨立的評價活動,監督企業風險管理的有效性。持續監督以日常經營中發生的事件和交易為對象,包括管理當局和專門的監督人員的活動。獨立評價一般以定期檢查計劃為基礎,或者以日常監督中發現的意外為起點,由于在獨立調查、風險評估和報告方面具備能力、技巧和經驗,內部審計師是提供獨立評價的合適人選。
二、企業風險管理與內部控制的融合
自1992年美國COSO委員會提出《內部控制框架》報告(簡稱COSO報告)以來,該內部控制框架已經被世界上許多企業所采用,但理論界和實務界紛紛對內部控制框架提出一些改進建議,強調內部控制框架的建立應與企業的風險管理相結合。新的企業風險管理框架就是在1992年的研究成果——《內部控制框架》報告的基礎上,結合《SOX法案》在報告方面的要求,進行擴展研究得到的。通過比較,我們可以發現,企業風險管理的定義采用了1992年內部控制框架定義的模式,認為企業風險管理與內部控制同樣是一個程序,它不是靜態的,而是處于不斷的調整和變化之中,以適應組織環境的變化。
企業風險管理除包括內部控制的三個目標之外,還增加了戰略目標,并擴大了報告目標的范疇。內部控制框架將企業的目標分為經營的效率和效果、財務報告的可靠性和現行法規的遵循。企業風險管理框架也包含三個類似的目標,但是比內部控制框架增加了一個目標——戰略目標。該目標的層次比其他三個目標更高。企業的風險管理在應用于實現企業其他三類目標的過程中,也應用于企業的戰略制定階段。
另外,企業風險管理的8個要素除了包括內部控制的全部5個要素之外,還增加了目標設定、事件辨別和風險反應三個要素,由于對象不同,風險管理更加針對組織面臨的“風險”,增加這三個要素,拓展了概念的深度和廣度。因此,風險管理框架建立在內部控制框架的基礎上,內部控制框架則是企業風險管理必不可少的一部分。
內部控制與風險管理的融合很早就引發了人們的關注,經過長期的爭論和實踐,人們對二者關系的認識不斷深化,逐漸認識到將兩者關系隔離的分析方法是不可取的,內部控制與風險管理只有相融合,才能實現最佳效果。COSO企業風險管理概念的提出,將風險管理與內部控制的融合大大地向前推動了一步,這種融合必將極大地推進內部控制和內部審計的發展。
三、風險管理對內部審計的影響
內部控制向風險管理領域擴展,對內部審計的發展產生了深遠影響,這種影響集中體現在風險基礎內部審計的產生。由于各國實務各不相同,尚未形成統一的最佳做法,國際內部審計師協會目前還沒有標準的風險基礎審計定義,IIA的職業問題委員會認為,風險基礎審計關注的焦點是組織對所面臨影響其目標實現的風險作出的反應,與其他形式的審計不同,這種審計的出發點是風險,而非控制,其目的在于為風險管理提供獨立保證,并在必要時加以引導和改進,審計業務的范圍和優先次序應由組織所面臨的風險所決定。
風險基礎內部審計的特征可以總結為以下幾點:
第一,風險基礎內部審計不僅關注風險管理,同時也是風險管理的重要組成部分。公司針對風險管理功能,設立一個分部,配置一位風險經理,內部審計人員建立風險評估模式,內部審計工作成為企業風險管理的一個組成部分,整個審計工作根植于以未來為導向的風險分析。
第二,內部審計的方法不再是強調確認和測試控制的完整性,而是強調確認經營風險并測試這些風險是否得到有效管理,由交易事項和對政策的遵循,轉變為對目標、戰略和風險管理程序的關注,“控制是否適當且有效”雖然仍被關注,但已不是關鍵。
第三,內部審計的反應方式不再是反應式的、事后的、不連續的監控,從以交易為基礎轉變為以過程為基礎,對組織戰略計劃的創新也由觀察者轉變為參與者。
企業風險管理要素范文第4篇
【關鍵詞】內部控制;企業風險管理;風險審計
一、企業風險管理
(一)企業風險管理概念
根據《企業風險管理框架》(簡稱ERM框架),“企業風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從組織戰略制定一直貫穿到組織的各項活動中,用于識別那些可能影響組織的潛在事件并管理風險,使之在組織的風險偏好之內,從而合理確保組織取得既定的目標。”ERM框架有三個維度,第一維是組織的目標,包括戰略目標、經營目標、報告目標和合規目標;第二維是企業風險管理要素,包括內部環境、目標設定、事項識別、風險評估、風險反應、控制活動、信息和交流、監控;第三維是組織的各個層級,包括整個組織、各職能部門、各條業務線及下屬各子公司。ERM三個維度的關系是,企業風險管理的八個要素都是為組織的四個目標服務的;組織各個層級都要堅持同樣的四個目標;每個層次都必須從以上八個方面進行風險管理。企業風險管理定義直接關注組織目標的實現,并且為衡量組織風險管理的有效性提供了基礎。該定義強調:風險管理本身并不是一個結果,而是實現結果的一種方式;決定一個組織的風險管理是否有效是基于對風險管理要素設計和執行是否正確的評估基礎上的一個主觀判斷;該過程應應用于組織內部每個層次和部門,可以從一個組織的總體來認識,也可以從一個單獨的部門或多個部門的角度來認識;該過程是用來識別可能對組織造成潛在影響的事項并在風險偏好的范圍內管理風險。
(二)企業風險管理要素
1.內部環境。內部環境包含組織基調,是組織員工如何看待風險、對待風險的基礎,包括風險管理理念、風險偏好、正直和道德價值觀及工作環境,是其他所有風險管理要素的基礎,為其他要素提供規則和結構。管理當局是內部環境的重要組成部分,對其他內部環境要素有重要的影響,其職責是建立組織風險管理理念,確定組織的風險偏好,營造組織的風險文化,并將風險管理和相關的初步行動結合起來。
2.目標制定。組織先制定使命,在此背景下,管理層制定戰略和目標,并把目標逐層分解為戰略目標(高層次目標,和組織使命方向一致,并支持使命)、運營目標(有效且高效地使用資源)、報告目標(報告的可靠性)和合規目標(遵循適用的法律法規)。企業風險管理框架就是為實現組織目標服務,確保管理層參與目標制定流程,確保所選擇的目標不僅和組織使命方向一致,支持組織的使命,而且能夠保證制定的目標與組織的風險偏好相一致。
3.事項識別。事項既可能帶來消極后果,也可能帶來積極后果,或者帶來混合后果。消極后果的事項意味著風險,它會阻礙價值創造或破壞現有價值。積極后果的事項會抵消消極影響,或者帶來機會(所謂機會,就是事項如果發生,能促進目標的實現,能支持價值創造或價值的保存)。因此,管理者應識別影響組織目標實現的內外事項,分清風險和機會。企業風險管理能夠改善對交叉影響的有效反應,并能為各種風險提供統一的風險反應對策。
4.風險評估。識別和分析風險,考慮可能性和后果,在此基礎上決定應如何管理風險。風險評估可以使管理者了解潛在事項如何影響組織目標的實現。管理者應從兩個方面對風險進行評估――風險發生的可能性和影響。風險發生的可能性是指某一特定事項發生的可能性,影響則是指事項的發生將會帶來的影響。對于風險的評估應從組織戰略和目標的角度進行。
5.風險反應。風險反應是管理層選擇風險反應方式并制定一套措施把風險控制在組織的風險容忍度和風險偏好之內。風險反應可以分為規避風險、減少風險、共擔風險、接受風險和利用風險。規避風險是指采取措施退出會給組織帶來風險的活動。減少風險是指減少風險發生的可能性、減少風險的影響或兩者同時減少。共擔風險是指通過轉嫁風險或與他人共擔風險,降低風險發生的可能性或降低風險對組織的影響。接受風險則是不采取任何行動而接受可能發生的風險及其影響。利用風險是把風險看作機會,利用可能發生的風險及其影響。對于每一個重要的風險,組織都應考慮所有的風險反應方案。
6.控制活動。控制活動是幫助保證風險反應方案得到正確執行的相關政策和程序。控制活動存在于組織的各部分、各個層面和各個部門,通常包括兩個要素:確定應該做什么的政策和影響該政策的一系列程序。
7.信息和溝通。識別、分析和溝通來自于組織內部和外部的相關信息,必須以一定的格式和時間間隔進行確認、捕捉和傳遞,以保證組織的員工能夠執行各自的職責。有效的溝通包括組織內上傳、下達和平行的溝通,還包括將相關的信息與組織外部相關方進行有效溝通和交換。
8.監控。監控是指評估風險管理要素的內容和運行以及一段時期的執行質量的一個過程。組織可以通過兩種方式對風險管理進行監控――持續監控和個別評估。持續監控和個別評估都是用來保證組織的風險管理在組織內務管理層面和各部門持續得到執行。
二、風險管理審計
(一)風險管理審計的目標
風險管理審計是指勝任的專職機構和專業人員對組織內部風險管理程序、風險反應、管理制度及機制的合理性、有效性進行獨立的審查和評價過程。風險管理審計的根本目的是最大限度地增加組織價值。
審計目標是回答“通過審計要證明什么”的理論問題,是審計行為的出發點,是審計工作的指南,也是審查和評價審計內容所期望達到的境地和最終結果。審計目標體系由總目標、一般目標和項目目標構建。
(二)風險管理審計的內容
審計內容是回答“審計什么”的問題。根據ERM框架中的要素,風險管理審計的內容主要包括:
1.風險管理程序的科學性和合理性,主要包括風險管理開發階段所制訂的風險管理框架結構的內容;風險管理試探階段所實施風險管理框架結構的內容;風險管理回顧階段所豐富并增強風險管理框架結構的內容;風險管理展開階段所推廣并實施風險管理框架的情況;風險管理支持階段所需要提供的各種基礎組織以及服務。
2.風險反應的周密性和可行性,主要包括風險反應計劃的周密性(如有否考慮風險的可規避性、可轉移性、可減少性、可接受性);風險應對策略的可行性(如是否采取了風險控制、風險自留、風險轉移)。
3.風險管理制度的合法性和完善性,主要包括風險管理制度的合法性(如建立風險管理制度是否經過充分論證);風險管理體制的完善性(如考核評價體制和責任追究制度是否健全)。
4.風險管理機制的結構性和盡責性,主要包括高層管理人員和重要崗位業務人員的風險管理理念及對風險管理的重視程度;風險管理人員的結構和素質;全員風險管理的情況。
(三)風險管理審計的程序
1.審計規劃階段,包括選定被審計對象和制定風險管理審計計劃。被審計對象選定工作包括識別被審計對象的策略、識別潛在被審計對象和排列被審計對象的順序。制定風險管理審計計劃包括制訂財務風險管理、生產風險管理、市場風險管理、會計風險管理、人事風險管理和其他風險管理審計計劃,確定風險管理審計的位置和背景。
2.審計測評階段,包括風險的分析、評估和監控。(1)分析風險。審計人員應對風險跡象進行深入了解、描述和記錄,并對風險的可能性和發生頻率進行分類。風險可能性分析結果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“基本確定”等類別,風險發生頻率分析結果一般可分為“高頻率、高損害風險”,“高頻率、低損害風險”,“低頻率、低損害風險”,“低頻率、高損害風險”等類別。(2)評估風險。審計人員應分析風險的成因及其影響,并確定風險程度及等級。風險程度一般分為“極高”、“高”、“中等”、“低”和“極低”等級別。風險概率用風險發生可能性的百分比表示,風險量=風險概率×風險損失量。(3)監控風險。審計人員應對可能發生的風險和損失進行跟蹤檢查。跟蹤已識別風險的發展變化情況,包括在整個項目生命周期內,風險產生的條件和導致的后果變化,作出減緩風險的方案,調險管理計劃。
3.審計報告階段,包括匯總審計結果、出具審計報告和追加后續審計。(1)匯總審計結果,包括審計現狀、標準、差異、原因和建議等部分。如審計建議中對損失大、概率大的災難性的風險要避免;對損失小、概率大的風險,可采取措施來降低風險量;對損失大、概率小的風險,可通過保險或合同條款將責任轉移;對損失小、概率小的風險,可采取積極手段來控制。(2)出具審計報告,包括標題、收件人、正文、附件、簽章、報告日期等基本要素。審計報告正文部分主要內容有:審計目標、風險概況、審計依據、審計結論、審計評價和審計建議等。(3)追加后續審計。ERM是一個動態的過程,審計測試應與之相協調,追加后續審計顯得重要。后續審計應將重點放在最嚴重的問題上,相關部門是否予以糾正,若不糾正,責任和原因到底在哪兒;對一般事項可僅限于詢問和簡短的討論。
【參考文獻】
[1] 朱榮恩,賀欣.內部控制框架的新發展――企業風險管理框架[J].審計研究,2003,(6).
[2]中國內部審計協會.內部審計理論與實務[M].中國石化出版社,2004.
企業風險管理要素范文第5篇
【關鍵詞】ERM 框架 高校 風險管理
1992年,美國COSO委員會了《內部控制——整合框架》,歷經十多年的實踐檢驗成為世界通行的內部控制權威文獻。2004年9月,COSO了《企業風險管理——整合框架》(ERM框架)。ERM框架拓展了內部控制,更有力、更廣泛地關注于企業風險管理這一更加寬泛的領域。COSO并不打算、也的確沒有取代內部控制框架,但是它將內部控制框架納入其中,公司不僅可以借助這個企業風險管理框架來滿足它們內部控制的需要,還可以借此轉向一個更加全面的風險管理過程。
一、ERM框架的目標和構成要素
(一)企業風險管理為主體實現的四大目標提供合理保證
(1)與高層次的目的相關,協調并支撐主體的戰略目標。(2)與利用主體資源的有效性和效率相關的經營目標。(3)與主體報告的可靠性相關的報告目標。(4)與主體符合適用的法律和法規相關的合規目標。
(二)ERM框架的構成要素
(1)內部環境,包含組織的基調,影響組織中人員的風險意識,是企業風險管理所有其他構成要素的基礎;(2)目標設定,必須先有目標,管理層才能識別影響目標實現的潛在事項,是企業風險管理的起點;(3)事項識別,主體目標實現的過程存在不確定性,管理層必須識別將會對主體產生影響的潛在事項,區分風險和機會;(4)風險評估,通過考慮風險發生的可能性和產生的影響來對其加以分析,并以此作為決定如何進行管理的依據;(5)風險應對,管理層要確定如何應對風險(回避、降低、分擔還是承受),從而采取一系列與組織的風險容忍度和風險偏好相一致的行動;(6)控制活動,是幫助確保管理層的風險應對得以實施而采取的政策和程序;(7)信息與溝通,風險管理有關的信息以保證人們能履行其職責的形式和時機予以識別、獲取和溝通;(8)監控,對企業風險管理進行監控,隨時對其構成要素的存在和運行進行評估。
二、高校借鑒ERM框架開展全面風險管理的思路
ERM框架是企業有效識別、評估、應對風險,開展全面風險管理的重要理論基礎。高校以培養適應社會需求的高素質人才為目標,也和企業一樣面臨著各種各樣的風險,如:財務、教學、科研、法律責任、實物損失、人員傷亡等風險。因此,高校要有效應對風險、實現組織戰略目標,有必要借鑒ERM框架的八個構成要素開展全面風險管理。
(一)確立風險管理理念
風險管理是一整套共同的信念和態度,它決定著主體在做任何事情時如何考慮風險。高校的風險管理理念反映在管理層所做的每一件事情上,從政策的表述、口頭和書面的溝通以及決策中反映出來。確立風險管理理念是一個過程,關鍵是管理層必須堅持以口頭和日常的行動來強化這種理念。當風險管理理念被很好地確立和理解、并為教職工所信奉時,高校就能有效地識別和管理風險,提高抵御風險的能力。
(二)健全組織結構
成立專門的機構、配備足夠的人員和經費是開展全面風險管理的重要前提。高校應當設置風險管理部門,負責建立健全高校的風險管理政策,確定各個部門對于風險管理的權力和義務,輔助各個部門識別、管理和應對風險,保證高校教學、科研等活動正常運轉。
(三)有效開展風險控制活動
目前各高校都有內部控制系統,在經費管理、采購、基建等風險高發領域采用職責分離、信息處理、批準與授權等控制活動。全面風險管理是對內部控制的拓展和延伸,高校風險管理不僅保持和完善內部控制系統,同時拓展到高校的各個部門的所有業務。建立風險管理系統,為應對風險制定了各種控制活動,并保證控制活動得以有效執行。控制活動是風險管理的核心內容,保持有效的控制活動是保護高校領導干部、實現風險管理目標的關鍵。
(四)構建暢通的信息與溝通渠道
高校建立風險管理信息系統,收集校內生成的數據和來自校外的信息,處理和提煉成為風險管理決策需要的信息。高校內部和外部環境在不斷變化,信息的收集、處理和運用是不間斷的,只有保持信息溝通渠道的暢通才能保證風險管理者能夠及時掌握有效的信息。ERM框架指出:一個主體中的每個人都對企業風險管理負有一定的責任。暢通的溝通渠道,可以讓高校的每一位教職工了解他們自己在風險管理中應該做什么、怎么做;可以幫助決策者及時掌握教學、科研、管理等方面的最新情況,從而能夠更好地抓住機會、抵御風險。
(五)發揮內部審計的風險管理職能
風險管理是一個持續的過程,隨著時間的變化曾經有效的風險應對可能變得不相關、控制活動可能不再有效或不被執行,因而有必要對風險管理進行監控。監控有持續的監控活動和專門評價兩種方式,高校內部審計更加適合對風險管理作專門評價。首先,作為高校的內設機構,能夠參與高校有關會議、經濟決策,更加了解高校運營的各個環節,能及時發現、獲悉潛在風險和風險管理狀況;其次,能夠從高校整體利益和實際出發進行審計、提出的建議更能為高校決策者采納。高校內部審計要充分發揮風險管理職能,積極開展風險管理審計,對高校的風險管理過程進行監督評價,為實現高校的戰略目標保駕護航。
參考文獻
[1]方紅星,王宏,譯.美國COSO指定.企業風險管理——整合框架[M].大連:東北財經大學出版社,2005.
