时间:2023-06-08 10:58:33
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业风险与合规,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
本世纪初以来,以不确定性为基本研究对象的企业风险管理(Enterprise Risk Management,ERM)理论逐渐进入我国实业界和研究者的视野。2006年6月,国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该《指引》的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。
一、企业风险管理理论概要及在我国的规范化实施
1.企业风险管理(ERM)理论的一般框架。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,COSO)在2004年9月提出的,标志文书是《企业风险管理――整合框架》(Enterprise Risk Management Integrated Framework,下称《整合框架》),这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。COSO认为,企业风险管理是经由企业当局广泛参与,对企业面临的不确定性进行多要点掌控,以实现组织目标的过程。
《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部环境、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的ERM框架是通过对不确定性的管理增加股东价值,以共同的语言和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。
2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威指导文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、财务风险、市场风险、运营风险、法律风险等。
《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。
二、企业风险管理理论本土化过程中应注意的问题
1.找到切合实际的本土化切入点
一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析总结的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
2.建立起具有可操作组织规范
企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的药方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。
3.培育良好的气氛和合格主体
一般讲,一个良好的适合于特定企业的ERM氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与企业战略有机联系;二是能够保证企业的风险管理战略、企业的发展战略与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险语言,和畅通的沟通管道。任何一个ERM框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。
参考文献:
[1]滕青:我国企业风险管理框架构建[J].经济管理,2007,(3):45~48
一、企业风险管理发展历程
1.整合框架
风险是指预期结果的不确定性。风险不仅包括负面效应的不确定性,会给企业带来损失,即“危险”,还包括正面效应的不确定性,给企业增加价值,即“机会”。由于风险具有不确定性,于是人们重点关注的焦点便集中在风险管理上。这时,需要一个强有力的框架以便有效地识别、评估和控制风险。企业风险管理整合框架涵盖了内部控制整合框架,并且拓展了内部控制整合框架,但是它没有立即取代内部控制整合框架。ERM框架中对企业风险管理的定义如下:企业风险管理是由一个主体的董事会、管理当局和其他人员实施的,应用于战略制订并贯穿于企业之中,它是一个过程,目的是识别可能会对主体产生影响的潜在事项,把其控制在该主体的风险容量内,为主体目标的实现提供保障。本框架将主体的目标分为四类:战略目标——最高层次的目标、经营目标——包括资源运用的效果和效率、报告目标——报告的可靠性与合规目标。与内部控制框架相比,ERM提出了新的目标——战略目标,并把它放在最高层次上,这就是说企业风险管理的内容与范围上升到了战略高度。同时首次提出了总体层面上的风险组合观,也就是说管理者确定战略目标时,要保持战略与风险偏好的一致,选择与企业风险偏好一致的战略,从风险组合的观点看待风险。在组成要素上,ERM新增了3个要素,ERM框架主要由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督八个要素组成。企业风险管理是一个动态的过程,ERM框架明确提出了风险管理流程:立足于企业内部环境,制定相应的目标,识别相关事项,并进行风险评估,对评估的风险进行反应并控制,整个风险管理过程全部处在监控中,借助信息与沟通实现。
2.国内内部控制的动向
近年来,由于内控不到位而导致企业、公众损失的案例时有发生:中航油陈久霖案,利用金融衍生工具投机,造成国有资产流失;南方航空副总裁委托理财机构操纵自己公司股票,最终资不抵债,破产重组;由于运营风险管理失控导致的三鹿毒奶粉事件;中信泰富签订杠杆式外汇合约导致企业巨亏事件;国美电器黄光裕案、四川长虹等案例的出现是国内企业管理机构下定决心完善内控的重要原因。2010年4月26日,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》,连同2008年5月的《企业内部控制基本规范》,这些政策法规的制定,构建了企业内控规范体系。
二、启示
面对日益复杂的经济环境,企业面临的风险不仅数量增多,种类也更加多样化。这就要求企业在加强自身内部控制的状况下,更要对企业风险管理予以重视。企业风险管理贯穿于企业之中,上自股东会、董事会高层人员,下到公司员工都对企业风险管理起着相应的作用与影响。董事制定的战略规划,公司各业务部门应该积极地去识别与评估为实现业务目标而面临的风险并制定相应的风险应对方案,管理风险以使其在企业的风险容量之内。减少和降低风险所带来的损失,并对日常运营管理中的重点工作实现风险监控和报告。诚然,即使是有效的企业风险管理也可能会失败,这就是说企业风险管理只能为企业实现目标提供合理保证而不是绝对保证,还需要正常的日常经营活动、管理者对决策的判断和组织中各个层级人员职责的发挥。
作者:王小琛 单位:首都经济贸易大学会计学院
随着知识经济的快速发展,高科技成果产业化、市场化的速度逐步加快,国内风险投资事业蓬勃,大量民间资本涌入,国外资本也不断进入我国风险投资市场,经过将近二十年的发展,我国风险投资事业逐步走向正轨,并向着国际化迅速迈进,因此,如何推动我国科技企业风险投资项目健康、快速地发展成为企业与学术界关注的热点。但是,科技企业在实施风险投资项目的过程中,都会受到诸多消极因素的影响,最终导致科技企业风险投资项目失败,因此对我国科技企业风险投资项目进行研究具有重要的现实意义。
2科技企业风险投资项目存在的问题
2.1风险投资主体过于单一
当前,我国科技企业风险投资项目的投资主体主要依赖政府,科研机构与企业自身,且政府作为投资主体的风险投资项目占绝大多数,而高校科研机构与企业作为投资的主体的情况较少,而甚少是通过民间资金募集,我国范围内有关科技企业风险投资项目的社会资金募集机制尚未建立。在科技企业风险投资项目中,虽然大部分项目都是政府作为投资主体,但是对于科技企业而言,政府投资的资金规模不大,且投资的科技领域有一定的政策倾向,风险投资项目资金都具有较强的流向性,显然这样的投资模式必然导致我国科技企业风险投资项目的投资主体单一化,难以通过社会其他渠道募集到投资资金,这就会阻碍我国科技企业风险投资项目的发展,而另一方面,由于风险投资项目的投资主体过于单一化且大多投资主体为政府或者国企事业单位,这就会是科技企业风险投资项目的资金运作权集中在政府层面,由政府等单一作为投资主体的风险投资项目也会因为运作权的高度集中产生道德风险。
2.2风险投资项目中的信息不对称
古典经济学中,充分、完全的信息是一个假定的前提,但是随着社会经济的快速发展,信息经济学的横空出世打破了这一假定,著名的经济学家詹姆斯·莫利斯把信息的非对称性引入了经济学中,这就大大拓宽了经济学研究的范围与领域,而信息的不对称是普遍存在于现实的经济活动之中的,由于信息的不对称引发了“道德风险”与“逆向选择”等诸多问题,这些大大降低了经济运行的效率,而从这一方面来看,在科技企业风险投资项目中,信息的不对称会给投资项目带来一定的风险。由于科技企业与风险资本的持有者之间的信息不对称,这就导致两者之间产生决策上的偏差,不能共同促使资金的有效利用,促使企业风险投资活动的健康发展,这就客观要求二者之间必须建立有效的、能起到良好的激励和约束作用的融资机制来确保信息的充分披露,以保证科技企业的经营活动不损害风险资本家的利益,并更好地将两者的利益集合起来。风险投资在投资过程要直接参与到被投资企业的具体运作中去,风险投资者要积极地参与到科技企业的管理工作中去,对企业风险投资项目进行管理与监督,保证投资的有合理性与有效性。
2.3风险投资专业人员匮乏
在科技企业风险投资项目的运营与管理中,企业不但需要具有较强金融管理能力的风险投资人才,更需要会技术、懂管理的专业科技人才,尤其是具有高技术的科学家、工程师等专业技术人员。这些人才具有很强的专业技术知识,同时具有丰富的科技研发经验,他们能够准确地分析当前科技企业开展项目的商业价值与技术价值,预测当前项目未来的发展前途,使风险投资资金与项目进行有效结合,进而提高企业风险投资的有效性,为企业创造丰厚利润。但是就目前而言,我国科技企业风险投资项目的缺乏这样的专业人才,这就导致科技企业风险投资发展缓慢。在这种情况下,一些科技企业虽然完成风险投资项目的前期工作,但是随着项目发展的不断深入,由于风险投资人才与高技术核心人才的匮乏,科技企业风险投资项目的发展就会出现一些本可以避免的问题与风险,而这些势必会导致效率下降,最终影响整个项目的运行,甚至也会导致科技企业风险投资项目的失败。
2.4政策引导力度欠佳
从我国科技企业风险投资的支援体系上看,由于我国风险投资起步较晚,尤其是针对科技企业的风险投资的引导,缺乏强有力的政策扶持与相应的法律法规,而且政府对科技企业风险投资项目的扶植也仅限于部分领域,扶植具有较强的政策倾向性,而且就目前而言,我国长期实行科研经费由行政主管部门分配管理体制或者政府财政部门逐级分配的管理体制,科研成果商品化程度较低,而且关于科技企业风险投资的法律法规不完善,对科技企业风险投资缺乏明确的发展计划、规范化的管理方、有效的激励、严格的监督作用,这就很难促进我国科技企业风险投资项目的发展。
3降低科技企业风险投资项目风险措施
3.1培养多元化的风险投资主体
科技企业风险投资项目资金短缺是其在发展过程中遇到的主要问题之一,而风险投资资金的短缺在很大程度上是由于风险投资主体较少引起的,所以发展科技企业风险投资项目,就必须引入更多的风险资本,培养多元化的风险投资主体。当前科技企业发展风险投资项目的主要任务是建立科技企业风险投资运营机制,用良好的机制吸引更多的社会投资主体,逐步提高风险投资的资金量,增加科技企业风险投资项目资金的有效供给,从而构建多元化的风险投资机构。在构建的过程中,要从我国科技企业的实际出发,根据当前我国科技企业的基本情况,创建符合我国科技企业风险投资模式,使科技与资本完美结合。这不但有利于扶持我国科技企业风险投资事业的发展,也能拓宽新的合作渠道,帮助企业产品顺利进入市场。与此同时,要逐步创立风险投资公司,以高新技术项目、企业生产销售条件以及银行贷款联合创办高新技术风险投资公司,风险投资公司可以从成功企业的股份升值中较快地收回风险投资,用成功项目的收益来弥补失败项目的损失,形成资金的良性循环和合理运用。
3.2建立发达的信息沟通渠道
在风险投资过程中,如果各个风险投资公司之间缺少必要的沟通和联系,每个风险投资项目从确定到运作到最终退出都是风险投资公司独自进行信息的收集、分析和处理,那么不仅投资成本偏高,而且投资决策也很难做到客观公正。因此,除风险投资公司建立健全自己的信息网络即专家库之外,企业根据实际需要,由政府或行业协会牵头,企业参与,组织和建立畅通、便捷、高效的信息沟通渠道,通过局域网或者是互联网等方式联接,使科技企业能够及时掌握国内外最新专利、技术等技术市场的行情信息,并获取风险投资资金的信息,保证科技企业风险投资项目的资金需求量,这样既可以为相关的风险投资者提供适合的风险投资项目,也可以为科技企业的创业者提供更多的资金来源渠道,进而保证科技企业风险投资项目资金的充裕,为企业创造更大的经济价值。
3.3积极培养复合型风险投资人才
在风险投资项目过程中,对风险投资项目的运行不但需要熟练掌握高新技术,且具有创新精神、敢于冒险、富有进取精神的技术人员,更需要具有金融知识并有较强风险意识的风险投资管理者。就目前来看,我国科技企业风险投资项目的相关复合型风险投资人才较少,而近年来科技企业风险投资项目与日俱增,所以复合型投资人才难以满足当前风险投资项目的发展。我国科技企业在发展其风险项目的同时应当积极培养复合型的风险投资人才。一方面科技企业可以通过与科研机构或相关高校合作,开设相关风险人才培养专业,以此满足市场对相关复合型风险投资人才的需求。另一方面加强对国内外风险投资人才的学习力度,积极学习国内外先进的风险投资项目管理经验,以此提高大庆复合型投资人才的质量。
3.4采取优惠的税收政策
一、我国创业风险投资现状分析
1.金融配套服务不足金融配套服务不够完善,首先,由于有些地区资本市场的落后,产权交易呈现分散状态,难以汇集成一股力量。与天津股权交易中心和中关村“新三板”等国家级试点相比,这些股权交易市场、场外交易市场等活力较弱,与全国性资本市场的合作也不力,对创投机构的缺乏吸引。其次,相关金融投资机构的十分落后,如,证券、投行等,我国目前参与创投市场发展的机构投资者匮乏,有分量的产业投资、股权投资等财富管理机构也不够健全,本土投资机构大多是规模小,效应弱。由此,我们需要建立和完善相关的政策法规
2.政策法规不完善目前政策缺少针对性政策措施,现有政策大多是设立创投引导基金、规范管理、专项补贴等内容,缺少在市场进入、税收优惠、投融资管理等方面的针对性政策措施,对于吸纳民间资本,支持高新技术产业发展等引导力度还不够强。政策覆盖的范围也不够广,创业风险投资发展相关的基本法规、法律还不健全。
二、我国创业风险投资发展对策
结合我国创业风险投资发展现状,认为应从完善风险投资体系、强化政策支持和完善金融服务体系三个方面做起,来促进创业风险投资的规模与结构的优化和发展:
1.培育国有创业风险投资体系发挥产业引导作用,让国有创业风险投资机构走上健康发展的轨道,借鉴深圳等先进地区的经验,依托大型国有控股投资公司的基础上,支持并购重组和科技成果产业化为主、以中长期投资为发展方向的国有大型股权和创业风险投资集团。以期步入国家新兴产业创投计划,切实与金融央企对接,组建一批战略性新兴产业领域的创业风险投资基金。改变以往落后的考核机制,将创业风险投资纳入国资考核范围,并允许其可适当程度的投资风险损失等同于创造利润。依托我国创业风险引导基金以及海洋等省级产业投资基金,与国际创投机构合作设立一批专业领域的天使投资基金。
2.加大政策扶持力度全国各地可参照深圳、北京等待政策,对民营企业出资参与设立高新技术产业领域的创业投资基金,可按募集资金额和投资额给予相应的一次性奖励,并对符合导向的投资项目提供一定的风险补助。或在一定前提下,出台民营资本对创业投资领域的投入可直接抵扣出资企业的应纳税额等特殊政策。在此基础上,加大对创业风险投资的风险补助力度,鼓励各地龙头企业利用自身管理、技术、资本优势组建其产业领域内的风险投资机构,或创立创业风险投资基金。
3.完善金融服务体系完善金融服务体系,促进资本市场发育,建立活跃、规范而完善的创业风险投资服务体系,对于促进创业风险投资规模的扩大和结构的优化有着重要的作用。对此,我国各省应尽快完善产权交易中心建设,力求尽快组建规范、活跃的区域性资本市场。与此同时,还应不断推进金融改革,尤其是以区域资本市场建设为依托,畅通投融资和信息交流渠道,引导民间资本积极参与高新技术产业建设,依托募集、参股、信托、地方债券等多种方式向高新技术企业投资,解决创业风险投资去风险化问题突出的现状。
三、总结
综上所述,近年来,我国高新技术产业发展迅速,这与创业风险投资的发展有着密切的联系,但总的来说,我国创业风险资本规模虽然快速扩大,但总量依然偏低,与我国高新技术产业的发展速度不相适应。在此背景下,应通过产业引导、政府扶持、完善服务体系等措施,促进创业风险投资体系的健康发展,促进我国高新技术产业的健康发展。
作者:武欣博单位:北京大学
摘要:2004年9月,COSO委员会正式颁布了新的COSO报告:《企业风险管理——整合框架》。在对此报告进行研究的基础上,探讨了两方面的问题,一是企业风险管理与内部控制的融合,二是內部审计与风险管理。通过比较认为,首先,企业风险管理与內部控制同样是一个程序,处于不断的调整和变化之中.两者只有相互融合,才能实现最佳效果;其次,对企业风险管理进行监督和评价是现代内部审计发展的结果。內部控制向风险管理领域扩展,对內部审计的发展产生了深远影响,集中体现在风险基础内部审计的产生。
关键词:企业风险管理;內部控制;內部审计
一、企业风险管理框架的提出
2004年,美国Treadway委员会下属赞助委员会(COSO)在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO这样定义企业风险管理,企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用.旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等8个方面组成。
1.内部环境(InternalEnvironment)。企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
2.目标设定(ObjectiveSetting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。
3.事件辨别(EventIdentification)。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件,事件辨别的基础是将可能的风险与环境进行对比。这一步要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。
4.风险评估(RiskAssessment)。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
5.风险反应(RiskResponse)。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
6.控制活动(ControlActivities)。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。
7.信息和交流(InformationandCommunication)。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的时时报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息;平行式是部门之间的信息交流和传递;自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成部分,应鼓励员工就其意识到的重要风险与管理层进行交流,管理当局应当重视员工的意见。
8.监督(Monitor)。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查计划为基础,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的合适人选。
二、企业风险管理与内部控制的融合
自1992年美国COSO委员会提出《内部控制框架》报告(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上,结合《SOX法案》在报告方面的要求,进行扩展研究得到的。通过比较,我们可以发现,企业风险管理的定义采用了1992年内部控制框架定义的模式,认为企业风险管理与内部控制同样是一个程序,它不是静态的,而是处于不断的调整和变化之中,以适应组织环境的变化。
企业风险管理除包括内部控制的三个目标之外,还增加了战略目标,并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营的效率和效果、财务报告的可靠性和现行法规的遵循。企业风险管理框架也包含三个类似的目标,但是比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
另外,企业风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件辨别和风险反应三个要素,由于对象不同,风险管理更加针对组织面临的“风险”,增加这三个要素,拓展了概念的深度和广度。因此,风险管理框架建立在内部控制框架的基础上,内部控制框架则是企业风险管理必不可少的一部分。
内部控制与风险管理的融合很早就引发了人们的关注,经过长期的争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最佳效果。COSO企业风险管理概念的提出,将风险管理与内部控制的融合大大地向前推动了一步,这种融合必将极大地推进内部控制和内部审计的发展。
三、风险管理对内部审计的影响
内部控制向风险管理领域扩展,对内部审计的发展产生了深远影响,这种影响集中体现在风险基础内部审计的产生。由于各国实务各不相同,尚未形成统一的最佳做法,国际内部审计师协会目前还没有标准的风险基础审计定义,IIA的职业问题委员会认为,风险基础审计关注的焦点是组织对所面临影响其目标实现的风险作出的反应,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改进,审计业务的范围和优先次序应由组织所面临的风险所决定。
风险基础内部审计的特征可以总结为以下几点:
第一,风险基础内部审计不仅关注风险管理,同时也是风险管理的重要组成部分。公司针对风险管理功能,设立一个分部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理的一个组成部分,整个审计工作根植于以未来为导向的风险分析。
第二,内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效”虽然仍被关注,但已不是关键。
第三,内部审计的反应方式不再是反应式的、事后的、不连续的监控,从以交易为基础转变为以过程为基础,对组织战略计划的创新也由观察者转变为参与者。
一、企业风险管理
企业风险管理,指企业围绕总体经营目标企业, 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。它由一个企业的董事会、管理经营层和员工共同实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证。与传统的项目风险管理相比,企业风险管理强调战略导向,覆盖了企业所有的管理层次和管理领域,方法也更为结构化和规范化。
二、企业内部审计
(一)内部审计概念
国有企业内部审计依据国家有关法律法规、财务会计制度和企业内部管理规定等,对企业的财务收支、财务决算、全面预算、经济责任、资产质量、运营状况、经营绩效、建设项目及其他有关经济活动的真实性、有效性和效益性进行监督和评价工作,及时发现问题,明确经济责任,纠正违规行为。它通过检查和评价经营活动及内部控制的适当性、合理性和有效性来促进企业目标的实现。内部审计是国有企业内部的一种独立客观的监督和评价活动,也是企业内部不可或缺重要的管理工具和手段。目前一些国有企业内部审计已经从单纯的财务会计审计跨越到了企业经营管理领域,以改善企业的管理素质和提高管理水平为目的审计。而内部控制审计和风险管理是其中的重要组成部分。
(二)国有企业内部审计现状简析
内部审计是现代企业管理和管理控制的重要组成部分。目前,一般国有企业大都设置了内部审计部门,但一些国有企业内部审计工作同时存在着以下一些的问题。比如:鉴于管理级次问题,一些内部审计部门不能向股东(大)会、董事会、监事会或企业审计委员会提交审计检查报告,内审机构设置缺乏独立性;内部审计工作范围局限于差错防弊、财务收支的检查,较少触及现代国有企业业务流程方面的风险管理和监测,从而未能就国有现代企业风险管理担起监督作用;内审部门的隶属关系、角色、职责不明确;内部审计人员的水平、内审方法、知识的更新速度和内部审计的创新能力、应变能力等有待提高和完善, 高素质、复合型审计人才匮乏,内部审计缺乏一套系统化和科学化的内审程序等等。
三、内部审计参与企业风险管理的主要动因
近几年来,随着经济的发展,特别是经济全球化的加深以及欧债危机持续发酵和全球经济的持续低迷,企业面对的是一个充满风险的外部世界,使企业的经营环境变得日趋复杂。
随着信息化时代的到来和企业管理的网络化普及,现代企业的管理体制、经营业务流程、内部控制、经营理念等将发生了变革。知识经济的来临和高科技迅猛发展也使企业面临比以前更大的风险。企业自身为适应环境求得生存也在不断的变革中求发展,而变革是企业风险产生的一个重要来源。也是内部经营环境促使内部审计参与企业风险管理主要动因之一。
可见,企业风险无处不在,因此,企业所有者和经营者必须树立风险意识,把减少企业面临的风险作为企业实现目标的关键。今天,企业对于防止可能发生的风险与损失以及损失后如何采取补救措施,比以往任何时候都更加关注,从而要求企业对其自身存在和面临的各种风险以及可能存在与发生的所有风险进行识别、衡量、评价,并在此基础上制定和实施对企业最优化的风险处理方案。内部审计的目的在于增加企业的价值和改善企业的经营。因此,内部审计部门和内部审计人员参与企业的风险管理也就成为必然的内在需求。
四、内部审计如何参与企业风险管理
内部审计的作用是监控、评估和分析企业的风险,审查信息及企业对法律法规的遵守情况,向企业董事会、审计委员会以及高层管理人员负责提供保证——风险已被分散、企业治理是有效的。内部审计对企业风险管理一般应包括以下方面:
(一)评价企业风险管理组织架构的合理性、有效性
检查企业是否已经建立健全为实现风险管理目标而设置的内部管理层次、管理结构和配备必要的管理人员。审查企业内部的如财务会计部门、销售部门、采购供应部门和人员之间的权限分工、职责是否明确、不相容的岗位是否相互分离,岗位之间是否相互牵制内容等。对企业风险管理组织架构的合理性、有效性进行评价并提出改进意见和措施。
(二)对企业风险管理目标进行合理性评价
风险管理的目标是指企业通过实施必要的风险管理将风险控制在一个可控的水平,从而保证企业经营目标的实现。内部审计在评价企业风险管理目标时,要对本企业的风险状况进行辨析,不同企业应对损失的能力有所不同,因而所设定的风险可控水平是不同的。不同的风险管理目标,决定着具体的损失前目标和损失后目标的不同, 为实现这些目标所进行的风险管理活动也就不同。内部审计人员应当结合企业的战略目标来评价企业风险管理目标。
(三)对风险进行有效识别
风险识别是对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。内部审计要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。
(四)提出改进和防范的措施
风险的防范措施是指企业为降低已识别出的风险可能造成的损失所采取的措施。内部审计机构可以根据不同的情况,提出避免风险、接受风险、还是降低风险的具体措施和建议,以强化企业的风险管理,降低风险损失,并对有关部门所采取的风险防范措施进行监督和检查。
风险衡量是应用各种管理科学技术,采用定性与定量分析结合的方式,最终定量估计风险大小,找出主要的风险来源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计要对已有风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。风险的防范措施就是为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。采用改进和防范措施主要有:避免风险、损失控制、分离风险单位、转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)等。
内部审计对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,应提出改进措施和建议,以强化企业的风险管理,降低风险损失。此外,内部审计参与风险管理应当评价企业在风险管理运作的各个环节所制定的相关规章制度,并监督实施。
我国的民营快递企业是随着电子商务的兴起而得到快速蓬勃发展的,据国家邮政局官网公布的2014年上半年邮政行业经济运行情况,民营快递企业市场份额持续上升,业务量比重达83.4%。但在这个繁荣发展的背后却也带来了诸多的弊病,给企业的健康发展带来了诸多风险。快递作业过程环节多,门点网点也多,收件、发件流向交织复杂,非常容易发生错收、错发、货损、变质、丢失、错单、延误等快递服务质量事故。因此,快递行业是一个极具风险的行业。为应对这一问题,民营快递企业势必要建立一套风险控制机制。
2民营快递企业风险的含义及其特征
民营快递企业风险是指民营快递企业在快递服务经营中,由于受到很多不确定因素的影响,使得企业经营利润减少甚至亏损,引起维持经营困难的各种可能。民营快递企业风险的出现与国家政治、经济政策、市场经济景气程度、企业管理等紧密联系在一起。一旦风险无法控制或者控制失效,民营快递企业将面临市场萎缩、利润下降,甚至被兼并或者破产。民营快递企业风险主要有以下四个特征:一是风险的不确定性。体现在:
①风险是否发生是不确定的;
②风险发生的时间是不确定的;
③风险产生的结果如何是不确定的。二是风险的客观性。民营快递企业风险的出现受到上述各种因素的影响,这些因素是客观存在的,同时,风险的发生与控制都有规律性,人们只能利用这些规律,而不能消灭这些规律。三是风险的可测定性。个别风险的发生虽然是偶然的,不可预知的,但通过对大量风险的观察会发现,风险往往呈现出一定的规律性。根据以往大量的历史经营资料,可以测算风险事故发生的概率及其损失程度,并且可构造出损失分布的模型,成为风险估测的基础。四是风险的可控性。民营快递企业风险的出现源于多种因素的影响,如果能够及时了解、掌握这些因素的动向,并以充足的人力、物力、财力应对风险,就可以有效防止风险的发生或者降低风险的发生概率,即使出现了风险,也可以把风险损失降到最低。
3民营快递企业风险识别
3.1民营快递企业外部风险
①自然风险。自然风险指的是由于自然灾害如火灾、雨、台风、地震等不可抗力因素所引起的风险,自然风险一般来说是无法控制、难以预测、难以避免的。由于民营快递企业末端物流配送业务的范围十分的广阔,客户地域分布也非常的广,因此遇到自然灾害的概率是比较高的。
②政策法规风险。政策法规风险指的是政府有关快递行业的政策发生重大变化或是有重要的举措、法规出台,引起快递行业市场的波动,从而给投资者带来的风险。目前快递行业法律法规还不完善,法律法规中对于快递企业的规定比较少,大大的增加了民营快递企业的运营风险。
③宏观经济风险。宏观经济风险指经济活动和物价水平波动可能导致的企业利润损失。特别是随着经济全球化和世界经济一体化发展进程的加快,各国经济在获得新的发展机遇的同时,宏观经济风险程度也相对增大,2008年经济危机的爆发就是其中的一个例证。
3.2民营快递企业内部风险
①人员风险。人员风险包括民营快递企业管理者素质,快递服务人员素质,快递人员流动性等。民营快递企业普遍存在着企业管理者素质低,快递服务从业人员素质也较低,快递从业人员流动性过大等问题。
②经营风险。经营风险是指民营快递企业的决策人员在经营管理中出现失误而导致企业盈利水平下降和成本增加的现象。在市场竞争空前激烈的大环境下,许多民营快递企业只重视业务开发,忽视业务合规管理,过分追求发展规模和速度,通过低资费、跨区域揽收提升业务量,忽视了整个企业的经营效益。
③信息风险。信息风险是指在共享信息的过程中,由于信息的不对称和严重的信息污染现象导致的信息不准确性、滞后性和其他一些不良后果的一种相对冒险现象。信息风险主要包括物流信息的及时、准确披露和客户信息安全两个方面。
4建立健全民营快递企业风险控制机制
4.1建立健全风险预防机制
根据风险的可测定性,民营快递企业可建立健全风险预防机制,并做好以下几项工作。第一,建立风险意识教育机制。通过风险意识教育培训,如应对风险模拟、企业风险案例分析、企业风险知识教育等,帮助企业员工树立风险意识。第二,建立风险分析预测机制。通过对企业自身的风险进行全面而深入的分析,再根据企业的内外部状况对各种可能出现的风险进行预测,再对风险的属性、来源、影响和应对风险的成本等作出实事求是的评估。第三,做好风险控制机构设置与协调工作。民营快递企业风险控制是一个系统工程,需要各个部门相互协调沟通才能实现有效化解。
4.2建立健全风险控制机制
根据风险的可控性,民营快递企业可建立健全风险控制机制,并做好以下几项工作。建立健全风险控制责任机制。在做好风险控制机构设置的同时,也需要做好对相关风险控制岗位制定相应的岗位职责,提高有关人员的责任意识和责任心,也为在控制风险失败之后进行有效问责提供了有利依据。建立健全制定风险控制策略机制。这一机制可确保风险控制策略制定实施的科学性与合理性。当民营快递企业在面对风险之时,在制定风险控制策略的过程中,要明确制定风险控制策略面临的首要问题、执行标准、评估标准和方式,制定风险控制策略,并确定最佳策略。建立健全实施风险控制策略机制。是否能有效实施风险控制策略,取决于决策是否果断和行动是否迅速。为此,企业需要统一指挥,上令下达,提升组织与个人的执行力。当企业风险发生之时,各部门要马上行动起来,在各自岗位上按照企业的统一部署,为风险控制提供足够的人力、物力和财力,为有效化解风险奠定扎实基础。
4.3建立健全风险控制反馈机制
根据风险的客观性,民营快递企业可建立健全风险反馈机制,并做好以下几项工作。第一,建立健全恢复正常快递服务经营秩序机制。民营快递企业风险的出现,干扰、破坏了企业的快递业务经营秩序。因此,在风险控制结束后,需根据所遭遇的风险的类型和破坏程度的不同,从人、财、物、社会舆论等不同方面恢复企业快递经营秩序。第二,建立健全员工心理干预机制。任何灾难过后,人的心理创伤是比较难以抚平的,为此,民营快递企业也要有对因遭遇企业风险而受到损害的企业员工提供心理治疗的意识与行动。这将有利于激发企业员工劳动积极性,凝聚企业人心、实现民营快递企业的可持续发展。第三,建立健全风险控制的总结和反思机制。对风险发生的原因、风险预防、风险控制等各个环节进行全面的总结和反思,找出可供借鉴的经验,找出存在的问题,以提高民营快递企业自身的风险预防、控制能力。
5结论
[关键词] 内部控制 企业风险 风险防范 风险管理
在新经济时代,企业面临着机遇和风险。因此,风险管理已成为企业管理的一个重要内容。风险管理是由风险识别、风险计量、风险处理及风险防范等一系列环节组成的一个动态循环系统,而风险防范是整个风险管理的核心和关键。它是通过企业内部控制的制度和程序在风险控制流程的实施中实现的,风险防范依托于内部控制实现,内部控制是企业进行风险管理、防范企业风险的必要环节和有效手段。
一、内部控制的原动力来自企业风险防范
内部控制是指企业为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误和舞弊,保证会计资料及相关资料的真实、合法、完整而制定和实施的政策与程序。从广义上来说,一个企业内部控制是指企业的内部管理控制系统,包括为企业正常经营所采取的一系列必要的管理措施,如授权与指挥进行购货、销售、生产等经营活动方式、方法;核算、审核、分析各种信息资料及报告的程序与步骤等。内部控制贯穿于企业经营活动的各个方面,只要存在企业经营管理活动,就需要有相应的内部控制。
良好的内部控制可以合理保证企业合规经营、财务会计信息的真实可靠和企业经营效率的提高,而合规经营、真实的财务报告和有效率的经营也正是企业风险管理所应该达到的基本状态。从这个角度出发,内部控制是风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。相反,如果没有良好的内部控制,则往往会导致各种错误和舞弊的产生,甚至造成企业的破产倒闭,从国内的巨人集团衰败、“银广厦”到国外的巴林银行倒闭、“安然事件”等无不是由于其内部控制缺损或失效所致。因此,内部控制是防范企业风险事件发生的一种长效机制。
二、风险管理与内部控制的关系
1.风险管理的内涵
风险是指可能对目标的实现产生影响的事件发生的不确定性。对企业来说,风险是某种不利因素产生并造成实际损失,致使企业目标无法实现或降低实现目标的效率的可能性。风险管理就是采取一定的措施对风险进行检测评价,使风险降到可以接受的程度,并将其控制在某一可以接受的水平上,其是一个系统过程,包括风险的识别、衡量和控制等环节;风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;风险管理是一种管理方法。
2.内部控制的内涵
内部控制是受企业董事会、管理当局和其他职员的影响,旨在取得经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证的过程。内部控制包括5个要素:
(1)控制环境:是指对企业控制的建立和实施有重大影响的一组因素的总称,包括管理哲学、经营方式、组织结构、人力资源政策与实务、董事会等。
(2)风险评估:是提高企业内部控制效率和效果的关键,包括风险辨识和风险分析。
(3)控制活动:指为保证企业目标的实现而建立的政策和程序,包括业绩评价、信息处理控制、实物控制、职务分离等。
(4)信息沟通:是指信息在企业内部自上而下、自下而上、横向之间,以及企业与外界进行有效的传递,有助于提高内部控制的效率和效果,及时为企业的生产经营决策提供全面和准确的信息。
(5)监督:是指随着时间的推移及内外部因素的变化而不断地对企业的内部控制框架进行检查评价的过程。
3.风险管理与内部控制的关系
内部控制与风险管理既相互联系又有重要差异。从二者的框架结构看,风险管理的8个要素除了包括内部控制的5个要素之外,还增加了目标设定、事件识别和风险对策3个要素。因此,风险管理涵盖了内部控制。
从二者的实质内容看,两者存在以下几项重要差异:一是内部控制仅是管理的一项职能,而风险管理属于风险范畴,贯穿于管理过程的各个方面。二是在风险管理框架中,由于把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性(将产生正面影响的事件视为机会)”,因此,该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险。内部控制框架没有区分风险和机会。三是由于风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致。另外,风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现风险管理的4项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。
三、健全内部控制制度,防范企业风险
既然内部控制是作为防范企业风险的机制而存在,那么如何建立健全企业的内部控制制度?内部控制按其控制的目的不同,可分为管理控制和会计控制。前者以提高企业经营效益和工作效率,保证经营方针、决策的贯彻执行,以及经营目标的实现为目的;后者则是以保护企业财产物资的安全,确保会计信息的真实与完整以及财务活动的合法性为目的。两者相互联系、相互影响,有些控制措施可以用于会计控制,也可用于管理控制。
1.以人为核心的管理控制
管理控制的范围很广,包括企业内部除了会计控制之外的所有控制,如企业发展战略、组织结构、人事管理、安全和质量管理、部门间的关系协调和企业负责人及高层管理决策及行为等方面的控制,但重点是与人的行为紧密相关的组织结构、人事管理控制等。
(1)推进现代企业制度建设,完善法人治理结构。在现代企业制度下,通过建立健全法人治理结构,在股东会、董事会、监事会和经理层之间合理配置权限、公平分配利益,明确决策、执行和监督责任,在企业内部形成一种有效的激励、监督和制衡机制。这既是内部管理控制的重要内容,也是企业内部控制制度建立的基础和有效运行的前提。
(2)改进人力资源管理机制,提高企业人员素质。一个企业的人力资源政策直接影响到企业中每一个人的表现和业绩。良好的人力资源政策对培养企业人员,提高企业人员的素质,更好地贯彻和执行企业内部控制有很大的帮助。因此,企业应面向人才市场,引入竞争机制,合理配置企业人力资源,形成任人唯贤、优胜劣汰的用人机制。企业经营管理者的素质直接影响到企业的行为,进而影响到企业内部控制的效率和效果。因此,企业应加强对企业经营者的学习教育,从知识、技能到职业道德、经营理念等方面提高其素质,逐步形成学习型企业,从而提高内部控制的效率。
2.以会计系统为核心的会计控制
根据新《会计法》和财政部《内部会计控制规范――基本规范(试行)》的规定,结合企业现状,现代企业会计控制应重点抓好以下几方面工作:
(1)实行全面的预算管理,做到企业收支心中有数。“凡事预则立,不预则废”,企业经营也不例外,必须实行有效的预算管理。预算管理是指企业为达到既定目标而编制的经营、资本、财务等年度收支计划,这是企业管理现代化的重要标志。预算是控制的基础,只有在预算体系正确完整的基础上,才能谈得上完善的内部控制。
(2)加强会计系统控制,确保会计信息真实、完整。会计系统是企业为了汇总、分析、分类、记录、报告企业交易,并保持对相关资产与负债的受托责任而建立的方法和记录。会计作为一个控制信息系统,对内向管理层提供经营管理的诸多信息,对外向投资者、债权人等提供用于投资等决策的信息,是有效实施会计控制的核心。企业要依据《会计法》和国家统一的会计制度,结合自身实际,制定适合本企业的会计制度,明确会计凭证、会计账簿和财务会计报告的处理程序,建立和完善会计档案保管和会计工作交接办法,实行会计人员岗位责任制,充分发挥会计的监督职能。
内部控制是风险管理的必要环节和有效手段,风险管理的过程伴随着内部控制的执行。企业要在激烈的市场竞争中立于不败之地,应建立一套行之有效的风险管理机制,加强内部控制制度的建设,使之更有效地防范企业风险。
参考文献:
[1]吴群:内部控制是防范企业风险的必要环节[J].中外管理导报,2003(5)
[2]胡继荣:论我国企业内部控制的问题与对策[J].福州大学学报,2004(1).
[3]王光远刘秋明:公司治理下的内部控制与审计[J].中国注册会计师,2004(2)
[4]朱荣恩贺欣:内部控制框架的新发展-企业风险管理框架[J].审计研究,2005(6)
关键词:企业 风险控制 实施策略
企业在生产经营过程中,不可避免的要受到经济环境、法律政策、金融制度等外部因素以及企业的治理结构、战略文化、管理体系等内部因素的影响,在这些因素中存在着较多的风险隐患,如果管理控制不当容易影响企业的自身战略发展。特别是在当前企业经营发展所面临的内外环境复杂多变的时期,建立风险监督管理系统,对企业的经营管理潜在风险因素进行全面系统的分析,强化企业的风险管理控制能力,确保企业风险控制目标的实现,已经成为企业管理工作的重点,对于提高企业的经营管理水平以及市场环境适应能力也具有重要的作用。
一、企业经营发展的风险类型分析
对企业的风险进行管理控制,必须明确企业生产经营的主要风险类型,在当前市场经济环境下,企业风险可以分为外部风险以及内部风险两类。
(一)外部风险
外部风险主要是指企业在市场环境下生产经营过程中所面临的客观风险,主要包括政治风险、法律政策风险、合规风险、技术风险、市场环境风险、产业风险、社会文化风险以及信用风险等几种类型。
(二)内部风险
内部风险主要是与企业的战略目标、管理体系以及治理结构相关的风险因素,主要包括企业的战略风险、操作风险、运营风险、财务风险等几种类型,其中企业风险管理控制主体就是企业财务风险的管理控制,即对企业财务结构、会计活动以及投资项目所开展的风险管理控制活动。
二、当前企业风险控制管理存在的问题分析
(一)全面预算管理基础薄弱
全面预算管理已经成为现代企业管理体系中应用较为广泛的管理手段,系统完善的全面预算管理体系可以对企业的经营管理尤其是资金管理进行整体的规划安排,对于降低企业的财务风险以及资金流动性风险具有重要的作用。但是目前我国企业的全面预算管理基础薄弱,难以真正发挥其实际职能,对于降低企业经营风险以及指导企业财务管理工作作用不大。
(二)内部控制力度较弱
内部控制作为企业风险管理体系的重要内容,对于评估分析以及防范控制风险具有重要的作用。但是由于部分企业内部控制制度的系统性较差,缺乏重点性以及风险导向性,削弱了内部控制在风险管理工作中的实际效果。
(三)风险监督机制失效
由于部分企业风险控制管理意识薄弱,因此对于风险管理并没有制定系统全面的监督机制,同时也缺乏风险管理工作激励措施,由于监督职能的失效,因此风险管理体系也无法实现事前预警分析、事中控制防范以及事后问责,这种权责不明的制度造成风险控制管理效果较差。
三、提高企业风险控制能力的具体策略
(一)完善预算管理体系,强化内部控制体系的建设
全面预算管理体系建设不仅可以起到分配控制以及考核企业资源的作用,对于组织企业经营活动,降低经营风险也具有重要的作用。因此企业应该完善预算管理制度,同时采取自上而下、自下而上以及上下结合的方式进行企业预算的编制,并通过强有力的执行措施,发挥全面预算管理在降低企业风险工作中的作用。其次,企业应该认识到内部控制与风险管理工作之间的密切联系,并通过完善内部控制体系以及制度建设,为有效的风险控制管理工作提供基础保障作用。
(二)做好企业的风险评估以及应对工作
由于企业的风险具有不确定性以及突发性,因此必须做好风险评估以及应对工作。首先企业应该全面深入了解企业经营发展过程中存在的各类风险,细致分析有可能造成企业出现风险问题的各种因素。然后按照定性风险评价法或者是风险率风险评价法等方法对风险频率进行准确的评估,通过对风险因素、风险类型以及企业数据的细致分析,准确的评价风险发生概率以及风险等级,进而对风险管理工作的重点进行排序。其次,在完成风险分析以及评估之后,应该按照风险等级、发生概率、企业的战略以及企业承受能力等相关内容,制定具体的风险应对方法。在风险管理控制方法的制定上,应该注重管理方法的连续性以及动态性,通过积极的应对来提高企业的风险防范控制能力。
(三)优化信息系统建设,强化对风险管理的监督考核
优化企业的信息系统建设, 可以强化企业的信息集成以及共享能力,因而能够将涉及到企业经营活动的各项信息及时准确的传递至决策部门以及风险管理部门,进而确保企业风险监测、风险评估分析以及风险等级管理等工作的顺利开展。同时,企业应该完善风险监督机制,督促相关部门严格按照风险管理措施执行风险管理控制工作。此外,企业风险监督管理部门应该做好风险管理绩效评价工作,通过绩效评价为企业风险管理工作的持续开展与改进提供准确的依据。
四、结束语
企业在市场经济环境下开展经营活动,就必然存在着风险问题,企业内外环境中的各种风险因素都有可能对企业正常经营发展造成不利影响。因此企业管理部门必须充分认识到风险管理控制工作的重要性,将风险管理控制作为一项系统工程,结合企业行业特点以及业务活动特点,对风险管理控制环境进行优化,完善企业风险管理控制制度,并通过细致的评估分析,提高企业风险控制能力,确保企业的稳健发展。
参考文献:
[1]许国兵.基于案例推理的企业物流外包风险预警系统[J].物流技术,2007
本文试从企业风险库的建立及运行方面着手,探讨其对企业风险管理的现实意义;同时从内部审计部门的角度出发,提出若干建议和办法,以期能为企业风险库的建设与运行提供参考意见。
关键词:
内审部门;企业风险库
随着企业风险管理工作越来越受到重视,作为风险管理的重要组成部分——风险库也逐步走进了管理层的视野。企业风险库收集、归类、跟踪已识别的各类风险信息,能够帮助管理层特别是内审部门了解、掌握企业的风险现状及变化趋势,是企业风险管理的重要工具。同时,实践当中由企业内审部门承担风险管理工作的情况也屡见不鲜。为此,如何建设及运行企业风险库就成为摆在内审部门面前的一道重要课题。
一、基本原则
企业风险库的建设及运行工作应遵循以下几个原则:
1.先易后难、逐步扩展原则。企业风险库建设涉及到企业管理和运营方面,内容包括内控风险、运营风险、市场风险、财务风险、安全风险、法律(环保等)风险等,其建设与完善绝非能一日而就。作为企业内审部门,可采用电子表格形式,先将比较熟悉的内控风险、运营风险、财务风险等类风险纳入风险库进行监管,待条件成熟后再将其它风险逐一纳入企业风险库进行跟踪管理。
2.形式规范原则。企业风险库是企业风险管理的一个重要工具,它承载着企业风险的识别、评估与应对工作;同时它也是一项重要资源,企业管理层从中获取有用的管理信息和风险提示。因此,风险库的形式必须规范,既能承载企业风险管理的日常工作和信息,又能让相关部门在日常业务中借鉴。
3.定期维护原则。在风险库建立后,运维工作成为关键。没有日常运维的风险库,即使建立时风险数据比较全面,也将逐步脱离企业实际情况,失去其价值。维护周期视企业具体情况而定,但不能少于每月一次。
4.信息化辅助管理原则。随着企业风险管理工作逐步完善,风险库数据量快速增大,日常维护工作耗费大量人力,运行成本变得高昂;风险库应用在企业内逐步推广,维护及使用部门增多,电子表格的协作受到考验。因此,风险库载体由电子表格向专业软件演化将是一个发展趋势。内审部门在风险库设计及日常运行时应充分考虑到这一因素。
二、风险库建设
必要的人员配置和项目预算是风险库建设和运行的前置条件,决定了风险库建设和日后运行状态的优劣。内审部门应充分意识到风险库在风险管理工作中的重要性,成立项目组安排专门人员结合企业实际情况和相关法律法规,制订风险库建设的步骤、方法等计划;报批项目组人员配置、工作职责、项目预算等;拟订风险的搜集、分类、分级、录入、运维办法等。风险数据库建设人员应包括内部审计、内控、法务、财务、企管等人员;后期维护人员应不少于一人,可视企业规模设为兼职,但必须有确定的人员和工作责职。风险库在内容方面和结构要素方面应包含下面内容:
1.内容方面,风险库应当包括但不限于下列分类:战略风险、内控风险、运营风险、市场风险、财务风险、安全风险、法律(环保等)风险等,细分之下还包括生产风险、政策风险、道德风险等。风险的纳入应遵循先易后难、逐步扩展原则。
2.要素方面,风险库应有风险名称、风险描述、分类、等级、控制流程、风险主控部门等要素,内审部门可以根据企业实际情况适当增补部分项目,以达到对风险进行充分管控的目标。风险名称应简单易懂,如“上海办事处售后存货损失风险”。风险描述内容应具体明确。风险分类原则上按内容区别,如内控风险、市场风险、法律风险。风险等级评定时,要考虑具体风险的年发生频次及每次发生的损失金额。控制流程根据企业实际业务流程填写。风险主控部门同时也是风险应对的主要责任部门。风险应对措施不仅包括风险主控部门报送的应对措施,还应包括内审部门对应对措施落实的检查情况。风险状态以风险管理的各个阶段确认,如识别、评估、应对、跟踪、结案等。
三、风险库运行
风险库运行的基本理念是,以数据库作为支撑,通过识别、评估、应对、监控企业风险,对企业管理提供建议,使管理层能够较快做出科学合理的风险决策。同时,跟踪风险的发展状态,实现企业动态风险管理。风险库的运行工作主要包括以下几个方面:
1.识别风险,甄选入库。风险的识别可依据相关的资料和以前的审计发现,使用清单法、调查法、流程图法和事件树等方法来进行。通过上述方法并广泛走访调查,能够相对全面的识别企业所面临的风险。在经过风险识别后,可得出企业运营中的常见风险,进而根据识别出的风险进行甄选,优先将具有管理效益的风险纳入企业风险库。在确定风险等级时,应考虑年发生频次和每次可能损失金额。当风险项目需要采用总分类管理时,可以采用电子表格的分组功能实现。
2.评估风险,组织应对。内审部门应对已纳入风险库的风险项目进行分析,明确风险主控部门和控制流程,并督促风险主控部门制定出相应的风险应对策略和具体措施。在应对策略方面,可供选择的有风险回避、风险预防、风险转移和风险授受等。制订具体应对措施时,风险主控部门应根据实际业务情况和可能发生的损失。内审部门应对制订的应对措施进行审核和评估,以确认是否能够达到企业决策的风险管控目标。
3.监控风险,跟踪落实。内审部门应在企业运营过程中,持续对风险情况进行监控和跟踪。主要途径有风险主控部门定期汇报、日常走访了解、专项审计报告确认等。监控的主要内容包括已识别风险变化情况、风险应对措施实际落地情况和应对风险效果、残余风险和衍生风险情况;针对风险应对措施实际效果考虑是否追加或减少措施。
4.信息共享,全面管理。内审部门定期整理风险库数据,形成报表传达各风险主控部门,内容包括对各个风险的评估、决策、应对措施和处置结果。风险库日常对风险主控部门和相关管理部门开放各自业务范围内的风险信息权限,能够有效提高工作效率并促进风险管理规范花、制度化,达到全面风险管理的最终目标。
综上所述,企业风险库的建设及应用以防范和解决企业风险为主线,通过系统评估和记录企业内控漏洞和风险状况,评判应对措施,有利于加强企业内控工作和增强管理层的风险意识。风险库对于企业建立完善先进的风险管理体系,健全经营管理机制,实现风险“可控、能控、在控”,具有重要的现实意义。
参考文献:
[1]方红星、王宏译.企业风险管理-整合框架/美国COSO[M].大连:东北财经大学出版社,2005.9.
[2]胡杰武.企业风险管理[M].北京:清华大学出版社,2009.9:94.
一、企业风险的定义及特征
国资委《中央企业全面风险管理指引》中提到的风险是指“未来的不确定性对企业实现其经营目标影响”。它突出了以下几个方面的特性:风险具有未来性;风险具有不确定性。风险是未来失误发生的不确定性。不确定性是是客观的,不以人的意志为转移,不能控制,但是却是可预测的,并且这种不确定性又与概率相关,并且有时也可能形成有利结果;企业风险与企业经营目标紧密相关性。企业经营目标与企业风险成正比例。风险对实现企业的经营目标有好处,也可能有坏处,具有双面性;企业风险又具有机会和威胁的统一性。企业风险是中性的,既包含威胁,也包含机会。也可以讲它具有“损益性”,既可带来损失,也可获得利益。
二、企业全面风险管理的内涵
全面风险管理是将企业生产经济中可能发生的各种风险因素控制在自身可以接受范围内。企业全面风险管理内涵:全面风险管理是一个过程,它持续地作用于企业,渗透于企业整个经营管理活动中;全面风险管理由企业中各个层级的人员共同完成,需要企业各个层级的员工从企业经营目标的角度认识风险,在企业总体风险管理解决方案的部署下,履行自己的职责和权限来开展风险管理行动;全面风险管理应用企业战略决策,在制定时管理层应考虑与不同战略方案相关的风险;全面风险管理贯穿整个企业,应用于企业总部、职能部门事业部、分(子)企业等各级机构;全面风险管理的目的在于识别企业的潜在风险,并把风险控制在企业可以接受范围内。
三、全面风险管理的内容
全面风险管理主要内容包括以下几项:影响经营目标实现的因素及事项都是全面风险管理的内容,企业应采取具体措施并实施有效的防范举措,规避风险;全面风险管理内容贯穿于生产经营的全过程。全面风险管理的基本流程要贯穿于生产经营的全过程,确保企业经营总目标的实现;积极培育企业良好的风险管理文化;提升企业风险管理的管控能力。具体包括:协调风险容量与战略、增进风险管理的应对策略、抑减经营意外和损失、识别与管控企业的各级风险、提升企业的整体应对能力、改善企业资源配置,充分利用资本。
四、全面风险管理的目标
企业风险管理总体目标是为企业实现其经营目标提供合理的保证,也是为了保证企业经营目标的实现,将企业目标面临的重大风险得到有效管控,企业系统地辨识、衡量、排序并管控各级风险。确保将企业风险控制在与企业总体目标相适应并可承受的范围内;确保有关法律法规在企业贯彻执行;提高企业经营活动的效率和效果;确保风险防范及危机处理机制,保护企业免遭重大损失;形成良好的风险管理文化,强化企业全体员工的风险管理意识。
五、企业内部控制与全面风险管理关系
企业的内部控制针对企业经营管理中的程序性风险,通过对控制点的设置,实现经营管理的管控,确保企业重大风险准确评估和有效防范。全面风险管理是内部控制体系的延伸,通过实施风险防控,监控预警,实现对企业重大风险进行有效的防范,从而提升企业内部控制水平。全面风险管理开展的好坏决定于企业董事会,需要企业管理层的全力配合。全面风险管理帮助企业形成准确的战略决策。全面风险管理在企业管理的各环节中实现,而不仅仅是为了合规的要求,主要在于创效。
六、企业风险管理的具体实践经验。
全面风险管理是一项需要全员参与的工作,为确保全面风险管理工作顺利推进,企业首先完善了覆盖所有部门的风险管理工作组织体系,确定并完善了基层单位的风险信息员网络,设置了专(兼)职风险管理工作的岗位人员,明确了风险管理工作的岗位职能和责任、业务范围、工作流程、管理策略和应对的制定、监督和改进措施。
其次是企业于每年年初组织各部门参照往年风险事件,通过交流研讨完成了对本年度风险事件的采集,企业对风险事件进行辨识评估,最终确定企业本年度风险事件库。
第三企业对前期辨识出的风险事件库,从风险事件发生的可能性和对企业的影响程度等方面进行评估,确定企业年度重大风险事件,并制定企业年度重大风险管控方案,加强对重大风险的预警管控,建立健全风险指标监控体系,分析各项风险预警指标实际情况,及时总结、改进风险管控措施,不断提高企业的风险管控水平,防范和化解各项风险。
一、企业风险管理体系研究概述
我国对风险管理的研究大约开始于上世纪 80 年代初,自90 年代开始我国风险管理研究进入了全面发展阶段。比较典型代表作有:风险全生命周期和企业集成风险管理理论。随着我国民营企业近年来的迅速发展,学者们认为中小企业风险管理体系的构建的流程主要包括风险规划、搜集信息、风险识别、风险评估、风险应对、风险反馈6个主要部分。2006 年 6 月20 日,国资委颁布实施了《中央企业全面风险管理指引》,进一步强化了风险管理在我国企业管理中的重要作用。
二、企业管理中的主要风险
企业管理中存在的风险主要包括战略风险、财务风险、市场风险、运营风险、法律风险等。同时按照能否为企业带来盈利等机会为标识,将风险分为纯粹风险和机会风险。
三、企业实施风险管理体系的原因分析
(一)解决企业面临问题的需要
随着经济全球化的发展,企业在市场竞争中将面对各种各样的问题,主要表现在:1、缺乏正确的风险理念。2、缺乏企业全面风险管理意识。3、缺乏风险管理高度认知。4、缺乏系统性风险管理手段。
(二)国家的相关规定
2005年以来,证监会、沪深证券交易所、国资委分别出台了多部法规。2008年5月,财政部、证监会、审计署、银监会、保监会五个部门联合题为“关于印发《企业内部控制基本规范》的通知”。这个通知明确规定了2009年7月1日起,将在上市公司范围内实施《企业内部控制基本规范》。这是中国会计审计领域的又一重大改革举措。这些相关规定表明中国全面风险管理体系框架已初步搭建,中国企业要健康发展必须建立与之相适应的风险管理体系。
(三)各类风险事件频发
如果企业存在未建立风险管理机制或企业的风险管理失效,将会导致企业毁灭股东价值,将会出现客户流失、信誉丧失、合作伙伴丢失、营业中断或直接破产风险。
四、企业风险管理的基本过程
结合企业的实际情况,一般的风险管理主要包括企业政策、风险识别、风险评价与风险监控。企业实施风险管理主要包括三个阶段:风险识别、风险评价与风险监控阶段。企业通过计划、组织、协调、控制等过程,协调运用各种科学有效方法措施对风险进行管控,随时监控企业运行管理状况和风险动态,全面妥善处理风险事件造成的可能损失。
五、企业应对风险管理的策略
企业风险管理体系建设的成败很大程度上取决于企业员工参与的程度。同时领导层要做出表率,这样可既以推动员工参于风险建设的积极性,也为企业实行全面风险管理给予充分的指导支持。
(一)全面建立风险管理文化
风险管理文化是风险管理体系实施的灵魂和核心,风险管理体系建设必须以先进的全员风险管理文化培育为先导,使员工树立正确的风险管理理念,把风险管理意识转化为员工的自觉行动。
1、培育全员风险管理文化,应建立岗前风险管理培训体制,加强员工素质教育和培训,通过业务轮训、普法教育、在职自学等形式对风险管理理念、知识、流程、制度等核心内容进行培训。
2、培育全员的风险管理文化,关键要在日常具体工作中体现出来。必须要做到工作有明确标准、业务有系统流程、操作有详细手册、过程有动态监控和事后有严格考核,让风险管理入脑入心,使风险防范成为一种自觉的意识和行为。
3、应当同薪酬制度和人事制度相结合,有助于增强各级管理人员的风险意识,并建立管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。
4、风险管理文化建设必须融入企业文化建设的全过程。应把风险管理文化作为企业文化建设的重要分支,与廉洁文化、站所文化、安全文化共同策划、共同组织、共同实施,以增强企业文化建设的完整性。领导班子要重视风险管理文化培育、主管领导负责培育风险管理文化日常工作,部门负责人要在培育风险文化中起到表率带头作用。风险管理文化建设还应大力加强员工法律知识素质教育,形成人人讲诚信、依法合规经营的风险管理文化。
(二)精心构建风险预警机制
企业的风险预警机制一般应由软机制和硬机制两个部分组成。软机制主要体现在风险管理文化和危机意识上,健康向上的文化氛围和居安思危、未雨绸缪的危机意识,有助于风险的预警和应对。硬机制主要指企业的行政管理体系,包括应急的机制、人力资源配置、财力资源配备和启动程序等。
1、要建立风险预警的监测系统,确保企业内部信息畅通无阻,确保信息的及时反馈,确保企业各职能部门人员岗位责任清晰、权责明确,防止管理人员对危及企业的内外部信息置若罔闻、熟视无睹、麻木不仁的现象发生,引导各级管理人员树立强烈的风险理念和危机意识。
2、要应用科学手段,如情景分析、数据对比、风险案例研究等方法尽可能量化风险预警指标,确定企业的预警指标上限。
3、要根据企业常见的战略、市场、财务、运营、法律等五类风险,分析导致风险出现的主要因素,及时对主要因素的内外部信息进行收集、分析和传递。
4、要以重大风险、事件和决策、重要业务流程为关注核心,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行全面监测,重点采用采用压力测试、返回测试和穿行测试等方式方法对风险管理有效性进行检验,根据问题持续改进。
5、内部审计、纪检监察和企业管理部门应当每年对包括风险管理职能部门在内的各相关部门和业务单元能否按照有关规定开展风险管理工作进行监督考评,同时提出改进建议。
6、要深入研究国内外企业特别是同行单位的兴衰案例,从国内外企业的成长和衰落过程中吸取教训,借鉴经验,并获取风险爆发征兆、风险控制措施、风险处置方案等有效信息。
(三)科学采用风险管理方法
如何防范风险,有效利用机会风险实现企业价值最大化,是风险管理的最终目的。现代风险管理方法有很多,比如:风险坐标图、蒙特卡罗方法、关键风险指标管理、压力测试、五因子法、风险解构识别法、事故树法、因子识别法等。重点如关键风险指标管理、压力测试两种方法。
(四)合理规避风险管理中的误区
国资委2006年6月颁布了《中央企业全面风险管理指引》的法规,很多企业根据要求开始在企业实施全面风险管理,但是管理人员在实际操作中对风险管理还存在一些认识上的误区,使得风险管理没有真正落到实处。
1、存在风险管理与内部控制两者关系认识混淆的现象。有些管理者将内部控制与风险管理等同起来,产生了内部控制可保证企业成功并使其财务报告绝对合法,内部控制可以防止企业决策的失误,建立了内部控制就等同于实施了科学管理等。产生以上混淆现象主要在于没有将内部控制管理作为风险管理的本质性要求。
2、重视内部控制设计而不注重其执行的效果。公司把大量的精力放在设计内部控制上,设计了很多的管理制度和操作规程,而在如何保证制度实施层面,则缺乏必要的管理手段。管理实际中具体控制活动和监督等方面存在各种不足,很难保证已设计好的内部控制能够得到较好执行。如果企业用空的制度来实施管理,企业必然会产生意想不到的管理风险,反而得不偿失。
3、过分关注内部控制细节而忽视了企业风险管理。企业主要管理人员把主要精力放在所有细小、微不足道的控制上,如某些企业请销假的规定长达数十页,极其繁琐,表面上控制得很好,但浪费了许多管理资源,还会忽视企业重大风险。
4、风险管理没有全面推广。风险监控不光是风险管理部门的事情,职能部门也应参与管理实施,风险管理部门应将风险评估分析结果传达至相关业务部门以确保风险得到合理管控。有些企业职能部门把风险管理跟日常业务工作分离开来搞“两张皮”,片面的认为风险管理就是风险管理部门的事情,而他们的主要职责就是配合完成分配下来的额外工作。这是对风险管理工作的片面认识,而带来的就是各级人员对风险管理工作的有意识或无意识的消极怠工。然而,风险管理作为企业管理的一个重要部分,应该是一项长期、系统并融合在各项企业管理中的有机组成部分。各级管理人员要认识到风险评估、分析、有效应对都需要相关职能部门的全面参与,才能使得风险管理工作全面有效实施。
5、风险管理是静态管理过程。风险管理是动态的而不是静态的,企业需要随时观察有关情况发展变化,及时评估相应风险。企业管理中的内因、外因变化都会导致公司管理风险发生变化,因此各企业要对风险识别、风险评估以及有效的风险管控进行及时全面有效的管理。
六、结论
本文运用现代风险管理理论,对企业风险管理体系的发展及建立的必要性进行了探讨研究,对企业存在的风险进行了梳理归类,归纳了战略风险、市场风险、运营风险、财务风险和法律风险,同时制定了一整套企业风险管理体系运行策略,通过积极培育风险管理文化,精心构建风险预警机制,科学采用风险管理方法,合理规避风险管理误区,全面提高企业的风险应对及承受能力,改进企业的风险控制手段,降低企业潜在的各种风险发生的概率,减少企业的风险损失,推动企业的持续、健康、稳定发展。
参考文献:
[1]丁翠芝,企业内部控制与风险管理框架构架.[J]产业与科技论坛.2007(6):152-154.
