企業風險管理淺析
風險是普遍存在的,任何經濟組織,不論其規模、結構、性質或產業如何,其運營及組織內的不同層級都會面臨來自內部或外部的不同風險。風險影響著每個經濟單位的生存能力和競爭能力,影響著它們維持自己財務方面的穩固、正面的公共形象,也影響著它們的產品、服務及員工的整體品質。風險與經濟組織的運營相隨相伴。管理者永遠不可能消除風險,因為管理者的每一決策本身即蘊含著風險。管理者能夠做到的是建立有效的風險管理機制,將風險控制在一個合理的水平。
第一節 風險的概念和風險管理的重要性
理解風險的概念和風險管理的重要性是有效進行風險管理的前提,本節將從風險概念的起源談起,介紹風險的概念和風險管理的重要性。
一、風險的一般概念
風險是無時不在的,但人們對風險和風險管理的認識卻是隨著社會的進步和經濟的發展而日漸成熟的。
風險的概念起源于意大利,十七世紀由法國傳人英國,十九世紀早期傳人美國。風險在英文詞典中的定義是“遭受損失或傷害的機會或可能性”。換句話說,每次當我們所進行的活動可能使我們遭受損失時,我們就面臨某種程度的風險。風險是高還是低,取決于預計的損失的大小和發生損失的可能性。如果預計損失很小或者發生損失的可能性微乎其微,風險就很低。
國際內部審計師協會對風險的定義是:風險是發生某種影響目標完成的事件的不確定性。風險的大小可用該事件的后果和可能性來計量。因此,在有可能發生使企事業單位的經營目標不能實現的事件時,就存在著經營風險。比如,如果企業銷售采用的是賒銷方式,在審核銷售收入的風險時,只有在預計某個客戶有可能不能如期償付貨款時,該筆銷售收入才有風險。
風險具有以下特點:
1.風險的不確定性
風險不是一定會發生的損失,只是有可能發生的損失。必定會發生的損失,即使還未發生,也不再是風險,因為結果已經確定。因此,如果某項決定的結果是確定的,則不論將來的結果是損失慘重還是收入豐厚,都不再存在風險。所以,某項行為或決定是否有風險,取決于其是否可能帶來損失。比如,投資建廠,將來可能盈利,也可能虧損,這種發生虧損的可能性就是風險。而購買國債,基本上投資風險為零,因為將來的收益——國債利息收入在購買時已經是確定的。
2.風險的絕對性
但是,從絕對意義上來說,任何行動的結果都是不可能事先完全確定的,總有不確定的影響因素存在,可能對預計的結果產生不利的影響,因此總是存在某種程度的風險的。從極端的角度考慮,即使是購買國債,也可能由于將來發生異常事件,比如發生全國范圍的地震或其他自然災害,給國家和人民造成巨大損失,政府可能需要資金救災和重建家園,因而降低國債利息支出,使投資者的利息收入比預期的要低。這種可能性是完全存在的,只是因其發生的可能性極小,我們在考慮問題時可以忽略不計,因此視同沒有風險。
3.風險判斷的主觀性
對于風險的評價也是因人而異的。在某個人看來有極大的風險的情況,可能對于另外一個人來說沒什么風險或者風險極低,因為對于風險的評價取決于評價者對于風險的可能性的估計和對風險的承受能力。比如,對于是否需要簽訂長期的商場租賃合同,有的商家認為很重要,因為他們預測銷售業務將蒸蒸日上,而租金會上漲,業主將來不同意續約的可能性極大,如果合同租賃期不夠長,將導致商場被迫中斷經營,搬遷出去,這種情況所造成的損失是他們完全不能接受的,因此一定要簽訂長期的租約以作保障。而有些商家則認為他們與業主的租賃關系良好,不能續約的可能性極小;或者即使不能續約而被迫搬遷所帶來的損失是可以接受的;或者企業在商業領域的發展未必很長久,以后需要續約的可能性不大,因此,只簽訂了相對較短的租賃期。可見,租賃合同的長短,取決于商家對于未來不能續約所造成的損失的評價,這種評價基于其對未來的經營情況和租賃關系做出的判斷。
二、風險管理的意義
一個單位的經營管理活動是有明確的目標的,比如,一般而言,企業的經營活動是為了實現股東價值的最大化,即實現最大的利潤。但是,在企事業單位的經營管理活動中,由于存在各種內部和外部的不確定因素,諸如法治環境、市場競爭、消費者的消費習慣、科技發展等的變化,使單位的經營活動有可能不能達到預期的目標。比如,政府投資建設某種通訊設施,可能還未投入使用,就由于另外一種新技術的迅速發展而被淘汰;或者,政府的研究部門進口某套先進的設備,以外幣定價,可能由于外匯升值超過預期水平而需要以更多的人民幣兌換支付,超過了預算;或者,某部分稅法的規定可能改變,使某些企業不再享受某些優惠政策,導致這些企業的利潤下降甚至虧損而不能實現預期的利潤;或者,競爭對手可能采取高薪策略吸引企業的大批高級技術人才外流,導致企業產品的質量下降,失去競爭力,影響銷售收入,等等。總之,由于各種不確定因素的影響,企事業單位的經營活動難免存在各種各樣的風險。各個單位必須對各種風險進行分析和控制,及時采取必要的措施以降低風險,才能確保實現經營目標。因此,有效地管理各種風險對于企事業單位實現經營目標具有重要意義,這表現在以下方面:
1.有利于作出正確的決策
世界經濟的全球化發展,使各國市場日益聯成一體,一個國家的政治、經濟情況的變化就可能影響其他國家的經濟,導致經營環境中不確定的因素增加,決策更加復雜和困難。單位只有建立有效的風險管理機制,充分分析各種風險,才能在變幻莫測的經濟環境中作出正確的決策。比如,一個國家的貨幣貶值或經濟政策的調整,不僅影響國內的經濟,還勢必直接或間接地影響貿易伙伴國家的商品進口和出口及其國內市場。因此,生產廠家和貿易公司在分析國內外市場對商品的需求時,還要考慮?E率的變化趨勢和其他貿易伙伴國家的經濟政策對國內外市場的影響,確定不同情況下的市場銷售策略,并對匯率的變化進行監控,才能根據不同情況及時作出正確的決策。
2.有利于保護資產的安全與完整
一個單位的資產包括有形資產、無形資產和人力資源,這些資源的安全和完整是存在風險的。為了保證企業有足夠的資源進行經營生產,實現預期的利潤,企業必須采取各種有效的風險控制措施才能保證各項資產的安全。比如,企業創立的品牌商標,本來是企業的無形資產,而如果被他人搶先注冊了,企業則失去了所有權和使用權,不再擁有這項資產,也不能再獲得該商標帶來的超額利潤。企業為了避免這種風險都會及時注冊商標,并監控是否有其他企業仿冒本企業的商標,侵害本企業的市場份額和銷售利潤。
3.有利于實現營運活動的目標
任何單位的營運活動都可以用“3E”來衡量業績,“3E”即經濟(Economy——產出一定,投人最少),效率(Efficiency——投入一定,產出最高)和效果(Effectiveness——產品符合要求),任何一方面可能發生的損失都是風險,只有做好風險管理,才有可能實現“3E"。企業追求股東價值最大化、利潤最大化,必須以最有效率的方式進行生產經營,才能利用有限的資源獲得盡可能多的利潤。但是,企業在經營管理活動中對資源難免存在因利用不當而浪費的情況、低效使用的情況,不合格產品的返工成本就是一種損失。風險管理,就是要減少或控制這種可能產生損失的因素,比如,采取一定的質量管理措施,減少原材料質量不合格的風險、降低生產加工質量不合格的風險等,以減少產品不合格的風險和返工的成本。
綜上所述,隨著市場經濟的發展和國內外政治、經濟環境的變化,企事業單位的經營管理所面臨的風險因素增加了,而且在不斷變化,任何風險管理方法都不可能監控或消除所有的風險。經營管理者只有認識到風險管理的重要性,才能通過建立適當的內部控制系統,采用一些風險管理方法,并不斷隨著內部、外部風險因素的變化而做調整。只有這樣,才能減少和控制風險因素的影響,將損失控制在可以承受的范圍內,從而實現單位的經營管理目標。
第二節 風險環境和風險分類
一、風險環境
任何一個企事業單位都是在一定的環境中開展經營管理活動的,而這一環境存在的各種不確定的因素可能使單位不能實現其經營目標,這種有風險的經營環境就是單位的風險環境。外部的法律、政治、經濟環境會給單位帶來風險,內部的經營管理活動也會產生風險。來自外部的風險主要是法律風險、政治風險和經濟風險;來自內部的風險主要是單位的戰略風險、財務風險、營運風險及誠信風險。單位的內部風險和外部風險是相關聯的,外部的經營環境的變化影響單位的內部管理和決策上的風險,單位內部管理和決策也會增加或降低外部的風險。建立健全內部風險控制系統可以減少外部風險對單位經營活動的影響,降低經營風險。
二、外部風險
外部風險主要有法律風險、政治風險和經濟風險。首先是法律風險。從宏觀上說,法律環境包括法律體系是否健全、法律的強制性和透明度、執法的獨立性等。微觀上看,法律環境包括涉及各種契約關系、侵權行為等直接與單位的經營活動相關的明細法律法規是否明確和完善。如果這些方面不是非常明確,或者經常改變,無法預測,單位的決策面臨的法律風險就會非常大,以前合法的決策會由于法律的改變而變成不合法的,給單位造成巨大損失。比如新環境保護政策,可能要求企業必須淘汰原有的設備,購買新的無污染的設備,企業不得不損失已投資的設備,因此,企業作決策時必須考慮法律的調整方向所帶來的風險。政治風險是指社會變革、國家行為、政府的穩定性及國有化趨勢等帶來的風險,主要關系到單位的社會環境是否長期安全穩定。政治環境如果不穩定,單位就必須考慮如何采取措施減少風險損失。比如在兩個國家之間可能發生戰爭的情況下,貿易公司為了避免貨物損失,會向保險公司增加投保戰爭險。經濟風險包括市場競爭狀況、消費者的消費傾向、電子商務、總體經濟發展情況等方面的變化帶來的風險。不同的經濟環境,組織機構面臨的風險是不同的,經營決策也是不同的。比如,企業在計劃經濟條件下的經營方式與在完全競爭的自由經濟條件下的經營方法是完全不一樣的,在經濟蕭條時期和經濟快速增長時期的增長決策也是不同的。電子商務的發展,會使部分消費者從傳統方式經營的企業轉向采用網絡交易的供應商。企業如果不能及時把握新的經濟趨勢,了解經濟環境中發生的變化及變化給企業帶來的風險,就可能由于無法應對沒有預料到的風險而喪失發展的機會,甚至破產倒閉。
法律風險、政治風險和經濟風險是相互影響、相互關聯的。法律健全穩定,政治也會相應地比較穩定,相對而言市場競爭會公平一些,單位的整體經營環境會清晰二些,決策的可行性、可靠性會高一些。所以,單位在分析外部風險時,要從局部人手,作整體的系統的考慮,才能對外部風險有全面的把握,作出正確的決策。
三、內部風險
企事業單位的內部風險源自企事業單位的經營業務,與外部風險相比,一般來說更容易分析和管理,也比較容易辨識,可以通過一定的控制程序將其降低到可以接受的水平。首先是戰略風險,它包括單位的發展戰略、市場戰略、投資戰略,品牌戰略等,是單位經營管理的宏觀決策,決定單位發展的方向,如果發生決策性失誤,可能導致單位遭受不可挽回的損失。比如,有許多企業在發展過程中,制定多元化經營策略,投資不熟悉的領域,結果不僅不能收回投資,反而損失了盈利項目的利潤。其次是財務風險,包括融資風險、利率風險、匯率風險、投資回報率等。企事業單位的一切經營活動都需要資金,財務上的風險控制不當,也會導致巨大的損失。比如,擴大經營規模需要追加投資,如果不能及時獲得需要的資金,不能按時履行合同,不僅有可能失去擴大市場的時機,還有可能導致合約對方的巨額罰款。另外一個內部風險是經營風險,如財產損失、信息管理風險、供貨風險、人才流失、物流風險、營運風險等。這些風險是由企事業單位的經營特點決定的。比如,對于零售企業來說,不能及時采購到保質保量、市場所需的商品是企業的重要風險。而對于傳統生產企業而言,由于原料采購相對穩定,更為重要的風險可能是由于市場的變化而失去銷售訂單,產品銷售不出去。最后,喪失誠信也是企業的重大風險。企事業單位的不法行為、舞弊、貪污、不良信用等,都會給單位帶來負面影響,也有可能導致重大損失,例如企業的某些嚴重違法行為不僅可能導致政府的巨額處罰,還可能被迫停業整頓或永久關閉。
與各種外部風險一樣,單位內部的各種風險也是相互作用的,財務風險、營運風險和喪失誠信的風險都會影響單位的決策,單位在決策上的風險也會增加財務風險、營運風險和誠信風險。比如,企業的增長戰略是兼并,那么就相應地增加了財務融資的風險和營運上融合其他企業的風險。如果財務不能融通需要的并購資金或者營運上不能成功地經營管理被兼并的企業,都會導致企業增長目標的失敗。
四、外部風險與內部風險的關系
作為一個整體,企事業單位的經營管理活動是在存在著各種風險的內部和外部環境中進行的,單位內部和外部的風險都是相互關聯、相互作用的,外部的經營環境的變化影響單位的內部管理和決策上的風險,單位內部的管理和決策也會增加或降低外部的風險,單位的內部風險如果控制不當,必然會影響單位的經營結果。因此,企事業單位必須建立合適的風險管理系統,對這些風險進行分析和控制,才能減少風險的影響,實現其經營管理目標。
第三節 風險管理的方法
風險存在于整個單位的經營活動中,企事業單位既要對各項風險進行分別管理,也要對總體風險進行綜合管理。美國國家虛假財務報告委員會贊助機構研究小組(COSO,內容介紹見下一章節)對企業風險管理的定義是:企業風險管理是由企業的董事會、管理層和其他人員實施的、從戰略層面開始的、并貫穿整個企業的一個過程。這個過程的設計是為了及時識別可能影響企業的潛在事件并按企業接受風險的態度管理風險,為實現企業目標提供合理的保證。以下介紹風險管理的內容和方法。
一、風險管理的內容與方法
企事業單位風險管理的目的是為了有效地經營、提供可靠的財務報告、遵守適用法律法規、實現單位的經營目標。企事業單位風險管理的范圍很廣,包括傳統意義上的對交易、財產和營運的內部控制系統,還包括向董事會提供企業風險管理方面的信息,主要是關于企事業單位最重要的風險及管理的情況。董事會負責監督管理層的風險管理系統設計和運作,管理層負責設計和運作風險管理系統,企事業單位所有人員都對保證風險管理措施的成功實施負有責任。
根據COSO的分析,企事業單位的風險管理活動包括七個基本要素:控制環境,事件識別,風險評估,風險反應,控制活動,信息和溝通,監控。
1.風險環境分析
這里的環境是指企事業單位風險管理的環境,包括前面所講的單位的風險環境、經營目標、實現經營目標的戰略措施以及涉及具體操作程序的經營模式,還包括董事會和管理層的“風險管理哲學(理念或態度)”及冒風險的“欲望”,因為董事會和管理層對風險的態度將影響企事業單位對業務活動的選擇和為使風險被控制在可以接受的水平而采取的措施。比如,如果董事會和管理層對風險的態度是非常保守的,那么企事業單位有可能只選擇在一些風險非常低的領域里投資,當然收益也可能相對較低。
2.風險事件識別和風險評估
在了解企事業單位的經營目標,考慮了企事業單位的內、外部環境的情況下,能辨別出所有可能發生的、影響單位實現其目標的重要事件(情況),即所有的風險。然后進行風險評估,分析風險發生的可能性(概率)和影響(損失),包括定量和定性分析。除了做個別風險分析,還要考慮同時發生某些風險的情況。
3.風險反應
了解了風險的重要程度后,企事業單位可以做出“反應”,決定是接受風險、避免風險,還是減輕風險。對于企事業單位完全不能接受的風險,比如違法經營的風險,一般是避免這種風險,即放棄帶來這個風險的計劃或行動,因為任何風險控制的措施都不可能完全消除風險。某些風險在企事業單位可以承受的范圍內,單位可以接受,不必再采取額外的措施。其他的風險有相對的風險回報,單位可以考慮接受,但要采取減輕風險的措施,才能將風險降到可以接受的水平,獲得希望的回報。減輕風險的措施包括減少風險、轉移風險或分擔風險。比如在匯率波動較大的時期,單位的大額進出口貿易會導致較大的匯率風險,單位一般會采用外匯期貨或其他方式來保證將匯率損失控制在可以接受的范圍內。
4.控制活動和風險信息溝通
控制是指管理層設計的一系列工作控制程序和政策,其目的是為了減少日常工作中的風險以及意外事件帶來的風險。控制貫穿整個組織,主要包括企事業單位的各項內部控制制度,比如批準、授權、審核、分工、財產安全保護等。這些程序和行動的目的是為了確保工作正常進行,質量得到保證,各項降低風險的措施得以貫徹實施。另外,為了有效地控制風險,風險信息要及時準確地傳遞給相關人員。雖然在風險識別、評估、反應和控制行動過程中,柑關人員已了解了必要的信息,但由于風險信息的復雜和微妙,企事業單位要確定恰當的形式傳遞風險信息,并及時在工作人員、管理層和董事會之間進行有效溝通,使各層面的人員能及時了解情況,履行相應的控制職責,也使其他外部利益相關者獲得適當的信息,對企事業單位在風險管理方面的能力建立信心。
5.監控風險管理的有效性
企事業單位還要建立對風險管理系統的監控。與前面的控制某一具體工作的控制程序不同,這是對單位風險管理是否有效進行監控,包括對內部控制系統運行情況的持續監控。比如,系統會自動核對不同部門手工錄入的有勾稽關系的報表,將核對不上的報表體現在例外報告中。審核人員既檢查例外報告中的報表以確認其是否正確,也抽查系統自動處理的不在例外報告中的報表以確認其是否正確,確保系統控制正常,沒有發生錯誤和遺漏的情況。監控也包括對定期檢查結果的評價和對異常事件處理情況的評價,這是對日常控制的整體有效性的監控和對單位的意外事項的風險管理水平的監控。
以上是企事業單位風險管理的模式。由于單位資源的有限性和管理控制的成本考慮,單位在設計內部控制機制時應以風險識別和分析為基礎,在必要的環節設置控制點,才能達到風險管理的有效性和有效率。風險管理是一項系統工作,貫穿于企事業單位的所有經營管理活動中,從日常的質量控制到突發事件的防范,都包含風險管理的概念。企事業單位必須建立有效的、有效率的風險管理機制,以便及時發現風險和控制風險,才能實現單位的經營目標。
二、風險管理的一般過程
企事業單位的風險管理同時還是一個全面的、系統的過程,它不僅僅限于對某一件事情和情況的處理,而是一個動態的、持續的過程,滲透到單位的每個方面,涉及每個層面的人員。單位通過在日常工作中嵌入風險管理機制,可以更好地識別風險和管理風險。從具體操作上來說,一般單位的風險管理的程序包括確定風險管理環境、識別風險、分析風險、評估風險和處理風險。
在這個程序中貫穿始終的是風險信息溝通和監控/結果評價。需要強調的是風險識別包括識別日常工作中的風險也包括預計發生意外事件的風險,比如日常應付賬款處理時發生支付虛假供應商的風險,以及發生意外火災導致財產損失的風險。為了避免遺漏重要的風險因素,需要單位的各級管理人員參與風險識別和分析,篩選出各部門的重要的風險,然后根據單位的整體經營目標對各部門的風險的影響進行評估,并排列出對單位有重要影響的風險,為這些重要的風險制定控制方案,由相關部門制定具體的行動計劃付諸實施,以達到降低風險的目的。當然,企事業單位還要不斷地對這些風險管理的情況和結果進行評價,提高風險管理水平。 ’
第四節 COSO風險管理模式介紹
COSO是美國國家反虛假財務報告委員會贊助機構研究小組Committee of Sponsoring Organization of the Treadway Commission的英文縮寫,是該委員會 (又稱杜德威委員會,以該委員會主席杜德威得名)的主辦機構于1985年自發成立的另一個民間專業組織。它的主辦機構主要是美國五個財務會計方面的專業協會,包括美國會計協會、國家會計師協會(現為管理會計師協會)、美國注冊會計師協會、國際內部審計師協會和財務執行官協會。COSO主要由這五個機構設立,也獨立于這五個機構。
COSO最初是這些贊助機構為了輔助美國國家虛假財務報告委員會而成立的,致力于通過加強職業道德(行為準則)、有效的內部控制和公司治理來提高財務報告的質量。COSO的主要研究報告包括《虛假財務報告:1987—1997上市公司》,《衍生工具使用的內部控制問題》,《內部控制:整合性架構》和《企業風險管理架構》等。本文主要介紹《企業風險管理架構》中的主要內容,即常稱的COSO風險管理模式。
一、COSO報告的目的
COSO風險管理模式從分析風險管理的相關性開始,指出由于企業經營環境和經營決策中存在可能帶來風險也可能帶來機遇的不確定因素。管理層面臨的挑戰是要決定為了獲得利益相關者(包括股東、企業所在社區、員工、顧客和供應商等受企業影響的各方)的價值增長而準備接受的不確定因素的程度。利益相關者的價值只有在企業的管理戰略、增長目標、風險控制和有效地使用企業資源四者之間達到最佳平衡點時才實現最大值。風險管理有助于企業識別阻礙其實現戰略目標的各種風險,并使企業的價值增長、風險和投資回報相聯系,使企業戰略和企業對風險的接受態度一致,加強企業的風險反應決策,降低損失和減少發生突發事件的情況。企業風險管理與公司治理是緊密相連的,管理層負責向董事會提供重要風險以及如何管理風險的信息。企業風險管理與內部控制也是緊密相聯的,內部控制是企業風險管理不可分割的一部分。總之,企業風險管理的目的在于幫助企業實現利潤目標,防止損失,提高財務報告的質量;遵紀守法,避免信譽損害等,幫助企業到達目的地并避開沿途的險境。然而,不同的人對于風險管理有不同的理解。COSO企業風險管理模式的重要目的之一是整合不同的觀點形成一個框架,確定通用的定義和基本要素,為企業評估風險管理和法律制定者制定法規提供一個起點。
二、COSO對企業風險管理的定義
COSO確定的企業風險管理的定義是:企業風險管理是由企業的董事會、管理層和其他人員實施的,從戰略層面開始并貫穿整個企業的一個過程。這個過程的設計是為了識別可能影響企業的潛在事件并按企業接受風險的態度管理風險,為實現企業目標提供合理的保證。內部控制是企業風險管理的一個組成部分,《內部控制;整合性架構》的全部內容都在企業風險管理框架中。
三、COSO確定的企業風險管理基本要素
COSO確定的企業風險管理的7個基本要素是控制環境、事件識別、風險評估、風險反應、控制活動、信息和溝通、監控。COSO對每個部分給出了明確的解釋和詳細說明。
四、風險管理和企業目標的關系
COSO指出企業風險管理是企業管理程序中的一部分,企業通過評判風險管理在4個層面的目標(戰略目標、經營目標、可靠的報告、遵守法律)中的有效性可以得到實現企業經營目標的合理保證。評判的內容包括:了解企業戰略目標實現的進度,了解企業經營目標實現的進度,確定企業的報告是可靠的,相關的法律得到遵守。COSO指出企業四個層面的目標與這七個部分之間的關系是:企業風險管理的每一個要素都適用于四個層面的目標,每個目標都與七個基本要素相關。
五、風險管理的限制因素
COSO指出了企業風險管理的限制因素:經營決策者的人性弱點的現實,多個人員的合謀作弊,風險控制的高成本/效益比率,控制程序沒有正常運行,管理人員超越控制程序,等。因此,風險管理可以有助于確保管理層知道企業的進屜,但不能確保經營目標本身的實現,對企業的任何目標都不能提供絕對的保證。
六、相關人員在風險管理中的責任
企業中的每個人都對風險管理負有責任,COSO提出了相關責任人的角色和責任:董事會和企業的首席執行官負有最終的責任,其他管理人員要支持企業的風險管理并負責職責范圍內的風險控制程序的有效運作,其他人員負責執行制定的風險管理指示。COSO進一步詳細說明丁財務執行官、風險執行官和內部審計人員的責任。董事會負責監督企業的風險管理,外部審計師、執法人員、顧客、供應商,商業伙伴,財務分析師、債券等級評價機構、新聞媒體等可以提供有用的信息給企業。最后,COSO提出了各方應采取的行動:董事會要與管理層討論企業風險管理的狀況并進行監督;高層管理人員、首席執行官、財務執行官及主要部門的負責人要討論企業風險管理的能力和有效性并確保存在持續的監控程序;企業的其他人員要考慮如何執行風險管理及加強風險管理;執法人員可以考慮采用本企業風險管理框架的定義和內容對企業的管理加以規范;對財務管理、審計等提供指導的專業組織應根據本框架的精神考慮他們的標準和指引;教育者應考慮將本報告中的概念作為課程的內容。
第五節 內部審計人員在風險管理中的角色
國際內部審計師協會對內部審計職能有如下明確定義: “內部審計是一項獨立的、客觀的保證和咨詢活動,其目的在于為組織增加價值并提高組織的運作效率。它采取系統化和規范化的方法,對風險管理、控制和治理過程進行評估和改善,從而幫助組織實現其目標。”
以下就內部審計在風險管理的七項活動中的職能作分別說明。
一、在風險環境分析中的作用
在環境分析活動中,企事業單位的目標、戰略和計劃要合理地反映外部環境、可使用的資源,要考慮主要的風險(威脅)。內部審計要評價單位的“固有風險”和“剩余風險”(采取控制行動后可以接受的風險)。由于信息技術的發展,辦公自動化的程度日益提高,控制人員逐步減少,單位的風險的性質和影響程度也發生了變化。比如,有些單位將工資核算或者電腦系統的設計維護工作外包,雖然減少了資本投入,但使單位面臨這些合作者不能完成任務的風險,因此,管理層還需要知道合作者的風險。辦公自動化還將監控的重心從發現和糾正錯誤轉移到預防錯誤,防患于未然,因為如果自動控制程序不能在錯誤輸人系統的環節進行控制,那么有可能導致后面一系列自動的錯誤處理。比如,如果系統沒有設計供應商的身份驗證控制,那么,系統可能會按自動付款程序付款給虛假的供應商。內部審計人員要分析這些環境因素的變化,才能進一步考慮組織機構的風險的變化和控制是否與形勢變化相符,并將分析結果反映于給管理層的審計報告中供他們作決策時參考。
二、在風險事件識別活動中的作用
在風險事件識別活動中,單位要識別內外環境中所有的風險事件,不論大小都不遺漏,保證風險輪廓勾勒的完整性。內部審計人員可以采用通用風險分析模板及方法,包括COSO提供的分析方法等,識別單位本身的風險和重要合作者的風險。一般而言,單位外包部分工作是因為不想投資這方面的資源,比如單位外包供應鏈的管理工作,是為了避免對這個系統工程的資本投入。但是單位也會因此而缺乏熟悉供應鏈管理公司運作的人員,不了解這種公司所面臨的風險,無法預測影響該承包商的風險事件和對單位的關聯影響。因此,內部審計人員需要運用某些分析方法,比如“頭腦風暴”和“情景模擬”等,創造性地進行分析,判斷管理層是否完全識別了單位的所有風險,若有遺漏的風險要提醒管理層加以考慮。
三、在風險評估中的作用
在風險評估活動中,單位要對已識別的風險事件進行定量分析和定性分析,分析事件發生的可能性和影響(后果)。風險分析的復雜性和困難在于在很多情況下要主觀判斷不同結果發生的可能性。比如,訴訟損失可能會有幾種不同的結果,而每種結果發生的可能性可能不同。不同背景、經驗、職位的人對同一風險的判斷也可能不同,帶有各自的偏見。比如,上級主管可以出于整體考慮,認為某部門經營風險很高,而該部門負責人則認為風險已在控制范圍之內。內部審計人員由于特有的獨立地位,可以從客觀的角度分析風險的假設條件、計算方法來評價風險,提供專業意見。
四、在風險反應和控制活動中的作用
在風險反應活動中,單位要根據不同的風險決定要采取的策略和方法,決定是避免風險,接受風險,還是降低風險。如前面章節所述,對有相對的風險回報的風險,單位可以考慮接受,但要采取控制措施,才能將風險降到可以接受的水平,獲得希望的回報。對于這部分風險,單位會采取減少風險、轉移風險或分擔風險的辦法以降低單位承受的風險。內部審計人員的主要工作在于分析/評價風險回報的合理性、減少風險的措施的有效性,以及接受風險轉移和風險分擔的那一方的風險。如果對方不能承受該風險,則這種風險控制的措施將是無效的。
在控制活動中,單位通過設計業務控制程序來限制和降低風險,許多內部控制程序都是為了這個目的而設汁的。一般而言,內部審計人員在進行審計活動時,都要測試這些控制程序的有效性。這是內部審計工作的重要環節,在前面章節已作詳細講解,這里就不再贅述。
五、在風險信息溝通和風險管理系統監控中的作用
在風險信息溝通活動中,單位的風險管理要將風險信息及時有效地傳遞給內部相關人員,以便及時采取相應的控制措施。風險管理的某些信息還要傳遞給其他有關方面,比如董事會和審計委員會等監督者要了解風險管理的情況,供應商、債權人等也需要對單位的風險管理有一定的信任。內部審計人員可以通過評價報告系統證明風險信息被準確、及時地傳達給相關人員,內部審計報告可以向董事會和審計委員會傳遞風險是否得到有效管理的信息,而內部審計職能的設立對債權人和其他外部利益相關者來說也是單位具備有效的風險管理的一個證明。
在監控活動中,單位要對風險管理進行持續監控,通過對內部控制系統的運行的監控和對定期檢查結果及意外事項的處理結果的評價,保證單位對風險的管理是一直有效的。內部審計人員可以通過分析環境和風險變化,檢查內部控制系統是否已更新,是否能控制新的風險。還可以通過后續審計管理層對審計中發現的問題及對意外事項的處理情況,檢查新的控制措施是否有效,將分析結果和建議提供給管理層以便改進控制措施。
總之,內部審計在企事業單位風險管理中起著重要作用,內部審計人員可以運用自己在風險管理方面的專業知識,從獨立客觀的角度為管理層和審計委員會提供有價值的保證和咨詢服務,提高單位的風險管理水平。
思考題
1.風險的定義是什么?風險的特點是什么? 2.風險管理的意義是什么? 3.外部風險和內部風險都有哪些?各種風險之間的關系是什么? 4.什么是風險管理?它的七個組成部分是什么? 5.風險管理的限制因素有哪些? 6.COSO風險管理模式建議風險管理各相關方面的責任是什么? 7.內部審計師在風險管理中的作用是什么? 8.內部審計師如何在風險管理中發揮作用?
內部控制與規范企業風險
內部控制的動力源于風險防范并構成風險管理的必要環節,但內部控制只能防范風險,不能轉嫁、承擔、化解或分散風險。
內部控制的動力源自風險防范
何為內部控制?中國注冊會計師獨立審計準則第九號《內部控制與審計風險》認為:內部控制是指在一個單位內部,為了保證業務活動的有效進行,保護資產的安全和完整,防止、發現、糾正錯誤與舞弊,保證會計資料的真實、完整而制定和實施的政策與程序。中國證監會發布的《證券公司內部控制指引》指出:公司內部控制包括內部控制機制和內部控制制度兩個方面。內部控制機制是指公司的內部組織結構及其相互之間的運行制約關系;內部控制制度是指公司為防范金融風險,保護資產的安全與完整,促進各項經營活動的有效實施而制定的各種業務操作程序、管理方法與控制措施的總稱。國際組織(COSO)則將內部控制定義為一個組織設計并實施的一個程序,以便為達到該組織的經營目標提供合理保障。
從上述各種定義中我們不難看出,雖然對內部控制理解的角度各有側重,但共同的認識在于內部控制是一個組織所設計并實施的程序(包括必要的制度和措施),旨在為實現該組織的某種目標而提供合理保障。內部控制將從三個方面提供合理保障,并有助于組織某種目標的實現:經營過程有效率/效益地進行,并預防資源的損失;對外提供可靠的財務報告;相關法律法規得以遵循。良好的內部控制可以合理保證合規經營、財務報表的真實可靠和經營結果的效率與效益。而合規經營、真實的財務報告和有效益/效率的經營也正是企業風險管理所應該達到的基本狀態。從這個角度出發,內部控制是風險管理的必要環節,內部控制的動力來自企業對風險的認識和管理。
對一個持續經營的企業而言,常見的企業風險包括:戰略風險,即不恰當的行動綱領和發展規劃導致的風險;經營風險,即不適宜的經營手段導致的風險;財務風險,即失去融資能力或遭致無法承受的債務而導致的風險;信息風險,即不相關、不真實信息報告導致的風險;環境與法律風險,即環境驟變和政策不明朗導致的風險;災害風險,即由于戰爭、自然災害等人為不可抗拒的因素造成的風險。
正是因為風險的存在,風險管理才成為必要。企業管理的重要內容之一就是建立風險評估系統,認識和分析企業整體目標及各活動層目標,以及影響這些目標實現的內在和外在因素、發生的概率及可能的后果,并采取相應的控制措施。因此,風險防范既是企業管理的必要部分,也是內部控制機制建立的內在動力。換句話說,內部控制的建立是與風險管理的要求相并存的。正是因為存在各種各樣的風險,企業才應該建立良好的內部控制系統,配合風險管理,實現企業目標。
內部控制不等于風險管理
雖然內部控制的動力源于風險防范并構成風險管理的必要環節,但內部控制不等于風險管理本身。許多企業的管理者將內部控制與企業管理和風險管理等同起來,常常產生這樣一些誤解:內部控制可保證企業成功并使其財務報告絕對可靠合法;內部控制可以防止企業決策的失誤;內部控制可以阻止兩個或兩個以上的人相互勾結來踐踏控制系統;建立了內部控制就等于實施了科學管理,等等。
內部控制只能防范風險,不能轉嫁、承擔、化解或分散風險。風險管理是由風險識別、風險評估、風險對策、風險監測等一系列環節組成的一個循環流程,就這一循環流程而言,內部控制僅與風險識別和評估密切相聯。對企業面臨風險的識別和評估,既是企業選用何種風險對策,實施何種管理措施的前提,亦是建立企業內部控制的基礎。在風險識別和評估基礎上所建立的內部控制,只能規避經營管理活動中經常發生的錯誤和風險,但不能解決風險管理中企業所面臨的所有風險,更不能轉嫁、承擔、化解、分散風險。例如,對于重要信息的異地備份,既是內部控制中信息安全性的要求,也是風險管理中規避風險的必要措施。國際著名投資銀行摩根士坦利,正是嚴格遵循了這一基本要求,其雖置身于世貿大廈88層之高,但在“9·11”事件中,其所有客戶的重要資料并未隨世貿大廈的轟然倒塌而被埋葬。但是,上述內部控制措施只能防范可能的風險,并不代表風險發生后的措施。風險發生后的自救也是風險管理的重要內容。
即使建立了合理而有效的內部控制系統,科學而全面的管理仍是必不可少的,不能將它們二者混為一談。對于企業經營活動中發生概率較大,且企業能夠承擔控制成本的風險,要力求通過企業自身的控制系統,并依托以財務管理為中心的企業管理體系予以控制。對于發生概率較小,或控制成本較大的風險,則應在加強管理、增強自身素質的基礎上,降低風險對企業的影響程度
(聲明:本站所使用圖片及文章如無注明本站原創均為網上轉載而來,本站刊載內容以共享和研究為目的,如對刊載內容有異議,請聯系本站站長。本站文章標有原創文章字樣或者署名本站律師姓名者,轉載時請務必注明出處和作者,否則將追究其法律責任。) |
