前言:中文期刊网精心挑选了企业风险管理标准范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业风险管理标准范文1
关键词:企业风险管理;经济资本;风险管理要素;可持续风险管理
Abstract:Since COSO issued“Enterprise Risk Management-Integrated Framework”,COSO-ERM framework has become the standard of enterprise risk management,but as some financial institutions broke in the Subprime Crisis,the effectiveness of the enterprise risk management was suspected. Today in the post-crisis era,developing new analytical framework of enterprise risk management becomes an inevitable claim. In the new analysis framework,the objective of enterprise risk management is shifted from the company(shareholders)to maximize the interests to maximize the interests of corporate stakeholders,and the contents of enterprise risk management are shifted from the COSO eight elements to the economic capital,risk management elements,structured financial instruments and risk management for the pillars of sustainable comprehensive risk management.
Key Words:enterprise risk management,economic capital,risk management elements,sustainability risk management
中图分类号:F830 文献标识码:A 文章编号:1674-2265(2012)06-0009-05
风险管理理论已有五十年的发展历史,已成为指导企业经营管理不可或缺的重要思想。2004年COSO颁布《企业风险管理——整合框架》后,COSO—ERM框架很快成为风险管理的核心标准,企业风险管理首次拥有了一个系统的分析框架。但是,发生于2007年的次贷危机,动摇了人们对COSO框架的信心,风险管理该如何实施成为后危机时代风险管理理论必须回答的问题。王稳(2010)提出了一个新的企业风险管理分析框架,以经济资本、风险管理要素、结构性金融工具和可持续风险管理作为企业风险管理的核心内容,为后危机时代的风险管理提供了一个可参考的框架思路。本文在这个分析框架的基础上,系统梳理了已有文献对风险管理框架和内容的论述。
一、企业风险管理分析框架的演进
企业风险管理标准范文2
「关键词 企业风险 风险管理 风险管理审计
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、企业风险及风险管理的内涵
进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。
1 企业风险的实质
首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。
2 企业风险的划分
企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:
(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。
(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。
(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。
3 企业风险管理
COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”
我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标
对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。
从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容
风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
1 审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2 审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
3 审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:
1 审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。
2 审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。
需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别的风险的特征;
(2)相关历史数据的充分性与可靠性;
(3)管理层进行风险评估的技术能力;
(4)成本效益的考核与衡量等。
3 审查风险评估方法应当遵循的原则
内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。
(四)风险应对措施适当性和有效性审查
内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。
企业风险管理标准范文3
关键词:风险评估;报告;内控体系
中图分类号:F272 文献标识码:A 文章编号:1001-828X(2014)010-00-01
风险评估工作与内部控制体系的建设相互促进、有机结合,是企业围绕总体经营目标,识别企业各业务单元、各项重要经营活动及其重要业务流程中的风险,并对风险发生的可能性和影响程度进行分析、评价和应对的过程。
总体而言,风险评估报告的结构至少应包括四部分内容:其一,企业情况概述,本部分就企业风险评估项目背景、定位与目标、理念与方案三大内容进行概括与总结,便于报告使用者理解本次风险评估工作的基本目标与方法;其二,风险评估实施过程,本部分是整个风险与内控体系建设工作的起点,旨在构建一个具有代表性又有扩展性的通用风险管理标准,从风险管理知识宣传、风险分类与定义、风险评估标准三大方面初步构建企业风险管理基础平台;其三,识别企业面临的重大风险,根据风险调查问卷和风险调研访谈,识别出企业面临的重大风险,以供企业管理层参考;其四,风险管理体系的建设,结合企业风险管理的现状,提出相应的改进措施,包括风险管理组织结构设置、职能设置、工作流程及工作防范建议。
以上四部分在风险评估报告中层层推进,构成完整的风险评估过程,以下作详细说明。
一、风险评估项目概述
(一)风险评估项目背景
本部分重点介绍企业的成立、发展沿革,行业背景,分子公司情况以及业务架构、组织结构等。编制企业风险评估报告的重要意义在于企业管理层希望借助风险评估项目,有效识别和评估影响本企业战略和经营目标的内外部风险源,并通过健全重大风险的应对与管控机制,有效地平衡好风险与收益,提高企业风险防范能力,从而防范和降低各类风险对企业经营的冲击,为企业实现战略和经营目标保驾护航。
(二)关于风险评估项目定位与目标
风险评估项目旨在达成三大目标:其一,建立风险管理基础,构建一个具有代表性又有扩展性的通用风险管理标准,统一企业的风险管理语言和标准;其二,明确重大风险领域,采用全面梳理与重点分析相结合的方式,识别和分析企业战略、经营、财务与合规领域中的重大风险,协助管理层统一对风险的认识;其三,团队能力建设与知识培养,加强和提高企业总部和各业务群管理团队对风险管理工作的参与度和认知,最大程度实现知识转移。
二、风险评估项目实施过程
(一)关于判断风险分类与定义
应从企业战略出发,参考COSO内部控制整合框架、行业风险数据库以及企业的风险管理实务,并结合企业的战略目标、实际情况等因素,建立适用于本企业的风险数据模型(即风险地图),从战略风险、运营风险、合规风险及财务风险四大方面对企业所面临的风险进行分类和定义,从而为统一公司的风险管理语言奠定基础。
(二)关于设立风险评估标准
为了对上述四大类风险的重要性进行评定并据此明确风险管理的优先次序和资源配置方向,应从风险发生可能性和风险影响程度两个维度建立符合企业实际情况的风险评估标准,以反映风险发生可能性由极低至极高,和风险影响程度由极轻微至灾难性的不同等级。
(三)关于实施风险评估过程
为了协助管理层更好地理解和评估风险,应以风险数据库和评估标准为基础,通过风险调查问卷的发放、收集与统计,风险调研与风险访谈等多种形式,在企业总部和业务群开展多层次、全方位的风险识别与评估工作。通过上述工作,不仅协助企业管理层评估重大风险领域所在,而且还能分析其可能影响的战略及经营目标,从而为企业明确风险责任,改进相关重点业务领域中的风险管控措施明确方向。
三、针对企业风险评估的调研结果
结合风险调查问卷与风险调研访谈的结果,企业管理层对影响本企业战略和经营目标实现的众多风险进行客观评估,并由此明确前几大风险的优先次序。这些风险可能是:产业(产品)战略和多元化、战略规划、市场营销、风险管理体系建设、公司高层的基调、品牌及声誉管理、销售模式、客户结构风险、人力资源规划及政策、组织结构等等。这些风险并不是独立存在,在实际经营环境中,各类风险往往互相影响、互相牵制,共同对企业实现经营目标产生影响。为此,还应对上述重大风险及其内在关系进行相应的逻辑分析,以协助管理层梳理各项重大风险之间的关系。
四、企业风险管理体系搭建
一套成熟完善的风险管理框架包括战略(目标)、风险以及流程与控制。企业战略处于企业管理及风险管理体系的最高层,是企业风险管理以及流程内控建设的出发点,风险管理体系必须紧紧围绕企业战略。风险则是影响企业战略管理体系的实施与战略目标达成的不确定因素,企业需要将外部环境、内部经营与战略目标进行对比,以识别出影响企业战略的重要风险。企业流程与管控体系则是风险管理体系的重要落脚点,完善的风险管理体系可以从企业的流程、制度等管控体系中识别出影响,并从风险管理体系的制度及流程建立风险应对措施。
(一)风险管理体系现状分析
一套完善的风险管理体系通常由业务部门、风险管理部门和内部审计部门组成的“三道防线”共同构成。通常,企业均能初步搭建起风险管控体系的三道防线,如:1.各业务部门负责关注各业务领域内的风险并采取相应的控制措施降低风险;2.企业管理部负责公司运营风险管理,对运营风险进行预警和控制,为公司的经营、管理决策提供可行性、合法性分析和法律风险分析;3.审计监察部主要负责集团的财务审计、经营活动审计及其他专项审计。
(二)风险管理工作规划
风险管理与内部控制体系的建设密切相关,相辅相成,没有完善配套的内控体系,风险管理就如同纸上谈兵、空中楼阁;而缺少风险管理的内控体系建设,会由于缺乏足够的针对性而效率低下、浪费资源。
无论是《企业内部控制基本规范》或是COSO ERM模型,都将企业的目标分为四大类别,包括:战略目标、经营目标、财务目标和合规目标。风险是影响企业目标实现的不确定性,而内部控制则是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。因此,企业有目标就会有风险,而针对每个风险就会有相应的内部控制,以管理风险,从而合理保证目标的实现。
风险评估项目实施过程中,应协助企业初步搭建结合先进理论基础、契合企业实际情况、符合国家监管要求的内部控制体系框架,将风险匹配到内控体系框架,并完成对该体系框架的评估、梳理和建设工作。
在此基础上,需要进一步开展风险管理工作,逐步完善风险管理和内部控制体系,依据风险分层管理、分类管理和集中管理的要求,建立符合企业自身特点的全面风险管理组织体系。另外,在充分考虑企业规模以及业务发展需要的基础上,针对近期及未来风险管理工作的重点,提出相应的参考及建议。如:完善企业风险管理组织架构中各管理层级的岗位职责。完善三道防线,其一,各风险责任部门的日常管理工作,包括,风险责任人、风险联络员等;其二,风险管理部门的管理工作,风险管理涉及公司的方方面面,建议由总裁、执行总裁等高级管理人员组成的风险管理委员会,负责公司整体风险管理工作,风险管理委员会下设风险管理部门,负责各业务部门风险管理工作的协调;其三,审计监督工作,审计监察部应对风险管理进行审查和评价,对风险管理工作进行监督,即对风险管理过程的设计和执行的有效性进行评价,并给出评价意见;审查和评价重大风险的评估和管理是否适当,将评价结果向审计委员会汇报。
风险评估工作结束后,形成风险评估报告,反映企业的风险及其分布状况,为领导决策提供支持。通过风险辨识、风险分析及风险评价,形成风险评估初步结果后,就风险评估结果的真实性、准确性向企业风险管理委员会征求意见,并根据反馈的意见,调整、修正企业的风险评估结果,编写出企业的风险评估报告,上报风险管理委员会或董事会进行审议。
参考文献:
[1]企业内部控制基本规范.财政部,证监会,审计署,银监会和保监会联合.
企业风险管理标准范文4
市场风险逐步渐显现。2002年以来,受国际国内煤炭价格快速上涨的影响,煤炭行业投资规模迅速扩张,煤炭开采速度加快,在局部地区出现供大于求的情况,从而埋下一定的市场风险隐患。而目前下游用煤产业的行业景气度下降,导致煤炭需求急转直下,煤炭价格出现了深度回调,煤炭企业销售回款率下降,企业财务收益空间不断缩小,经济效益全面滑坡,前期市场风险显现。
经营风险逐步显现。当前多数煤炭企业集团的煤矿普遍进入了中老年期,资源逐渐枯竭,经营前景不容乐观,且多数煤矿企业因建设早、标准低、基础设施投入不足,生产安全保障和环境治理的历史欠账多,仅靠近几年煤炭市场的升温难以从根本上弥补。此外,由于国家政策性因素,煤炭企业承担的税费较重,一定程度上增加了企业的经营成本。随着煤炭市场价格回调,企业总体运行效益将进一步下滑。
同时,由于煤炭工业在国民经济中所具有的重要战略地位,使国家进一步加大了对其的宏观调控。以建设大型煤炭基地、培育大型煤炭企业和企业集团为主线的煤炭工业结构调整,既给煤炭企业带来了前所未有的良好发展机遇,也带来了众多经营风险。国有大型煤炭企业加强企业全面风险管理既是企业实现其总体经营目标的迫切要求,也是增强企业竞争力,促进企业持续、健康、稳定发展的必然选择。
当前国有大型煤炭企业风险管理存在的主要问题是:
一、风险管理意识淡薄。企业普遍缺乏必要的风险意识,没有进行积极主动、全面系统的风险管理工作。存在的问题主要有:一是风险管理活动是瞬时或间断性的,事后将其抛掷脑后;二是企业缺乏对风险进行按期复核,降低了企业适应环境变动、管理和规避风险的本领。甚至有些企业只顾眼前便宜,忽视某些决策对企业将来的熏陶,从而给企业带来巨大的损失。
二、风险管理职能分散。安全生产风险由安监部门具体负责,产品质量风险由质检部门具体负责,市场营销风险由运销部门具体负责,财务风险由财务部门具体负责,经济合同风险由法律事务部门具体负责,企业风险管理职能分散;特别是涉及企业改革发展中的综合性风险,如企业法人治理结构的建设、产权制度改革、企业战略规划的制定和实施,企业兼并重组、整合破产、上市投资等行为,企业缺少应对的统一有效的全面风险管理的组织协调职能;同时,企业风险管理专门人才严重匮乏,现有的企业风险管理人员综合素质不高,知识结构单一,工作创新能力差等,也是开展企业全面风险管理的重要制约因素。
三、风险管理制度建设不到位。一是制度建设缺乏系统性,有的制度内容简单,仅有实体要求而无程序规定,使人们难以操作,有的制度结构设置不尽合理,缺乏应有的权、责、利的相互制衡,有的制度彼此之间缺乏相互衔接,造成条块分割,相互冲突,不能发挥制度的整体效应;二是制度建设缺乏实效性,有的制度内容滞后,不能适应形势的新发展,失去了执行的环境和条件,有的制度比较空泛,不能紧密结合企业实际提出有针对性的措施,有的制度硬性规定过高,不切实际,有的制度甚至缺乏法律依据,在实际运行中执行不通。三是制度建设缺乏规范性,存在有章不行、有规不守的现象,监督检查和处罚追究不严格,缺少评价体系和完善程序,缺乏执行制度的氛围,缺少风险管理的企业精神和制度文化。
四、风险管理组织机构不健全。当前,我国大多数煤炭企业集团企业存在较为严重的治理结构问题,如缺乏风险管理部门,风险承当主体不明白,各个部门或者岗位间互相推卸责任,缺乏有效的管束机制等,从而使我国企业不能将企业风险管理上涨到企业发展战略高度。导致各个部门和岗位的人员对其工作职责和工作流程不清晰,风险责任主体不明确,难以形成现代意义上独立的风险管理部门,没有专门的人员进行专职的企业风险管理工作。
五、审计人员未能充分利用分析性程序
我国理论界对分析性程序的研究重视不够,在审计实践中做分析性复核也只是“蜻蜓点水”,随意性大。审计人员基本上是依据审计程序表中的审前数与从前年度审定命作简单比较,以及计算几个综合性财务比率,对行业分析做得很少,更谈不上采用时间序列分析、回归分析和统计调查规矩。国外在这方面有比较深入的探讨,值得我们去学习。
总之,伴随着经济的快速发展,煤炭企业内外部环境的不确定性也越来越大,尤其是对中国企业来说,其经营的不确定性更是难以保证。
如何建立有效的风险管理控制体系已成为很多煤炭企业集团的当务之急。
一、提高认识,加强煤炭企业集团风险管控的顶层设计
从国外企业风险管理的整体实践来看,在煤炭企业风险管理制度顶层设计中,主导机构、标准化、分析与评估技术、配套制度等四个方面是实施好企业风险管理工作的核心要素。
(一)主导机构。成立或确定风险管理的主导机构是开展企业风险管理的重要基础。负责企业风险辨别、识别、分工等重要事项,作为整体风险管理工作的主导机构。收集和企业方面有关风险管理的信息;追踪、检查、评估整体风险管理架构的实施和执行情况,并及时总结推广最佳实务经验等。
(二)标准化。制定了《风险管理应用指南》,通过建立风险管理应用背景、风险级别、风险分析、风险评估、风险处理等规范步骤来加强突发事件的规范化、程序化管理。
(三)分析与评估技术。科学实用的风险分析与评估技术是开展企业风险管理工作的重要支撑,能够使企业决策者及相关人员在遇到复杂的社会风险时,特别是在面临风险管理决策、制定应急计划、以及重大公共政策等方面,有能力做出尽可能科学、准确、有效的决策。
(四)配套制度。完善的企业风险管理配套制度是确保风险管理工作扎实有效开展的重要保证。
二、把风险管理作为煤炭企业集团的一项基本战略
要在煤炭集团设立或确定相关部门,加强对风险管理建设工作的统一领导,加强对推进风险管理工作的整体设计,系统研究和总结国内外风险管理工作的经验和教训,制订风险管理总体规划,明确推动整体风险管理建设的基本方法,建立和完善企业风险管理工作制度,制定企业风险管理手册或指南,加强对企业风险管理推进工作全过程的指导、监督检查和总结改进。加快建立企业风险评估制度。
三、建立健全风险控制的组织体系和机制保障
为及时解决各部门在实施中遇到的风险管理技术、政策等问题,确保企业整体风险管理建设战略目标的顺利实施,应明确划分企业风险管理的三类单位:
(一)是组织实施单位。以审计为核心的各部门,制定内部风险管理的相关政策,总体设计和把握评估风险管理建设的进程,解决整体风险管理建设中存在的实际问题;
(二)是实施支持单位。针对其所属各部门的风险管理实施情况进行评估,实施支持单位需要向企业负责人、高级管理人员提供风险管理的建议,提供相应的研究咨询报告;
(三)是具体执行业务部门。在企业风险管理整体推动工作中,具体业务部门承担执行责任,各部门依据相关的风险管理规程进行风险管理,内部成立风险管理实施机构,针对部门风险管理进行实务评估以提升风险管理能力。
四、构建并健全风险管控业务流程
(一)是风险管理的事前控制流程。包括1、相关制度制定流程。各部门拟订的公司级别的制度、办法,和涉及两个部门以上的业务管理制度、风险控制制度、业务流程、办法等流程。2、风险控制委员会审核风控事项的工作流程。
企业风险管理标准范文5
关键词:风险管理;内部控制
一、企业风险管理与内部控制的概念比较
美国COSO委员会1992年的《内部控制整体框架》是用于指导企业进行内部控制的指导文件。2004年,COSO委员会出台了新的COSO报告———《企业风险管理整体框架》,拓宽了内部控制的含义,同时对企业风险管理进行了详细的说明。《企业风险管理整体框架》中对企业风险管理的定义为“由企业的董事会、管理层和其他员工共同参与,应用于企业战略制定和企业内部各个层次和部门的,贯穿整个企业旨在识别影响组织的潜在事件,为组织目标的实现提供合理的保证”。《内部控制整体框架》将内部控制定义为“由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的大成而提供合理保证的过程”。在这两个《框架》的基础上,可以从企业风险管理与内部控制概念的定义、主要目标以及构成要素等几方面做如下比较:
(一)企业风险管理与内部控制的定义
比较二者的定义可以看出二者的相同点有:企业风险管理与内部控制的实施主体相同,都需要企业的决策、管理以及执行各方阶层的参与,而不是企业某一层级的特权;风险管理与内部控制的最终目的都是为企业的平稳运行保驾护航,为企业战略目标实现提供合理保障。细分之下,二者也存在一些不同之处:内部控制更强调财务方面的可靠性以及企业管理的效率提升,而风险管理除了主要财务报告的可靠性之外更一步确保企业非财务信息的准确真实;内部控制只针对企业内部,风险管理则同时兼顾内部和外部风险。
(二)企业风险管理与内部控制主要目标
《企业风险管理整体框架》中指出风险管理服务的目标为战略目标,经营目标,报告目标以及合规目标;《内部控制整体框架》中则提到内部控制的主要目标为经营目标,财务报告目标,合规目标[1]。可以看出,风险管理与内部控制的最终目标基本相近,二者间最明显的区别是风险管理比内部控制多了一个战略目标。内部控制注重在经营过程中为了实现目标采取的一种控制的管理职能,保障日常活动不脱离目标轨迹,而风险管理更侧重事前预测和发现,但也不忽略事后采取相应的措施,使损失降到最低;企业风险管理是包括内外风险的全面管理,既关心由于组织结构、制度变革、人员变换等导致的内部风险,又关心由于外部政治经济、自然环境等引起的外部风险,而内部控制则是在企业内部环境的基础上进行风险的评估和监控,范围相对狭窄。
(三)企业风险管理与内部控制的构成要素
内部控制包括五个组成要素:控制环境、风险评估、控制活动、信息与沟通、监督,而风险管理的构成要素为八个:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督检查。通过以上比较可以看出,企业风险管理拓展了内部控制中的“风险评估”要素,将其演化为目标设定、事项识别、风险评估及风险应对。这四个要素是围绕企业战略目标而增加的内容。
(四)企业风险管理与内部控制的实现方法
内部控制主要对公司内部管理制度进行定性分析,设计指导性的对策,而风险管理则是侧重量的分析,通过定量分析来评估风险发生的可能性是多少和对企业影响程度大小。内部控制和企业风险管理从不同的两个方面对企业经营进行管理,相对内部控制评定的方法,企业风险管理会更加准确地判断出风险的大小。
二、风险管理与内部控制的关系
(一)传统理论观点
从上一节的讨论中可以看出,企业风险管理与内部控制的概念十分相似,二者的目标与构成要素也有很大部分的重叠,在理论应用中十分容易出现混淆。剖析过去对企业风险管理与内部控制关系的研究,目前对二者的关系问题有以下三种主流观点:1.内部控制是风险管理的一部分:《企业风险管理整合框架》中明确指出:“内部控制是企业风险管理不可分割的一部分”。《框架》是定义企业风险管理的权威参考之一,因此在理论研究中,将内部控制划入风险管理范围内的观点被广泛接受;2.内部控制包括风险管理:不同于美国COSO委员会,加拿大COSO委员会在其报告中指出:“风险评估和风险管理是内部控制的关键要素”;3.内部控制与风险管理本质上是相同的:英国特恩布尔报告认为健全的内部控制制度必须建立在对公司所面临风险全面、综合分析的基础上。
(二)风险管理与内部控制的关系
具体到在理论实践应用中,常更倾向于实践第三种观点:即内部控制与风险管理本质相同,二者在指导企业管理中相辅相成,共同为实现企业的战略目标服务。如今以风险为导向的内部控制机制在实践中已经得到普遍认可,有力的说明了风险管理与内部控制的可兼容性。1.风险管理体系是内部控制的前提:不同于内部控制,风险管理是管理活动,设定企业的战略目标并围绕这一目标对环境存在的风险进行评估,是其开展管理过程的前提。而内部控制框架中没有企业战略目标这一要素,风险评估的标准没有明确与企业战略目标挂钩,其特定目标是维护企业的经营和效率、财务报告的可靠性及经营活动的合法合规性,这些目标服务于实现价值创造和企业战略的终极目标。2.内部控制体系依赖于风险管理体系:内部控制体系的关注重点在财务方面,在实现内部控制的过程中,自身的风险需要其他管理体系加以识别和评估。风险管理体系除关注财务外,同时强调其他方面的管理,并且可以对内部控制体系自身的风险进行防范,建立完善的风险应对体系。3.内部控制与企业风险管理是有机的整体:二者的目标都是为了实现企业的平稳健康发展,二者虽然侧重点不同,但在实现企业战略目标方面相辅相成,是一个有机的整体——内部控制与企业风险管理是公司内部环境与外部环境两个方面管控风险的不同框架。企业所处的市场及社会环境的不断变化,企业面对的风险是一个动态概念,经常处于变化之中,只有把握风险管理先机,才能收到实效,及时掌握尽可能真实、准确的经济动态信息。而动态风险管理过程的顺利实现必须依赖于内部控制,在内部控制的有效框架下对企业内部存在的风险进行治理,而对于内部控制无法掌握的外部环境,应在风险管理的框架下及时采取有效措施,内外双管齐下,避免企业运行偏离原定目标。
三、建立基于企业风险管理整合框架的内部控制体系
建立基于企业风险管理整合框架的内部控制体系,即在风险管理的基础上,科学设计内部控制制度,为实现企业目标提供合理的保障。首先,所有的经营活动必须在不触犯相关法律法规的前提下进行,将两者管理方法结合应用,使企业健康快速发展。其次,为了实现企业目标,内部控制必须确保企业内部业务流程的顺利进行,有效地执行每个业务环节。最后,内部控制通过对风险的识别、评估、找到行之有效的方法,在管理过程中将两者进行融合。以启明信息技术股份有限公司为例[3],通过生产生活中经验的积累,启明信息技术股份有限公司建立了完备的基于企业风险管理的内部控制体系:一方面在实施风险控制时,通过将风险管理工作落实到内部控制制度上,来提高企业风险评估的水平,另一方面通过内部控制来优化企业的管理功能,从而更好的进行风险管理,分析制定风险管理方案。通过将企业风险管理与内部控制相结合,企业最大化的实现了对风险的防范,提高了经营管理效率。在新的复杂的市场经济环境下,企业面临巨大的内外部各类风险,以风险管理为导向的内部控制管理模式会更利于企业的发展。内部控制和企业风险管理在企业管理中起着等同的重要作用,因此在企业风险管理整合框架的基础上,建立完善的内部控制体系,从而使企业更好地实现企业目标,以增强企业的抗风险能力,将是未来风险管理与内部控制融合发展的方向。
参考文献
[1]朱大华.企业风险管理与内部控制的关系与应用[J].财会通讯,2012,(26):46-48.
企业风险管理标准范文6
关键词:内部控制;风险管理;萨班斯法案;COSO框架
一、内部控制的内涵、基本原则
1.内部控制的内涵、侧重点
(1)内部控制的内涵。内部控制是指企业的内部管理控制系统,包括为保证企业正常经营所采取的一系列必要的措施。内部控制贯穿于企业经营活动的各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。
(2)内部控制的侧重点。要加强企业内部控制,提高内部控制的水平,需从以下侧重点抓起。
①内部控制具有一定的目的性,为达到某种或某些目标而实施。
②内部控制是为达到某个或某些目标而进行的过程,且是一种动态的过程,是使企业的经营依循既定的目标前进的过程。它本身是一种手段而非一种目的。
③内部控制与企业经营活动相互交织,为企业基本的经营活动而存在。
④内部控制深受企业内部和外部环境的影响,环境影响企业控制目标的制定与实施。
⑤企业中的每一名员工既是控制的主体又是控制的客体,既对其所负责的作业实施控制,又受到他人的控制和监督。
⑥所有的内部控制都是针对“人”而设立和实施的,企业内部会形成一种控制精神和控制观念,直接影响到企业的控制效率和效果。
2.内部控制的基本原则
了解及坚持内部控制的基本原则,有利于企业组织内部加强内部控制、降低企业非系统风险,从而促进企业安全运行。内部控制的基本原则包括:
(1)内部控制应涵盖企业内部的各项经济业务、各个部门和各个岗位。
(2)内部控制应当符合国家有关法律法规和本企业的实际情况,任何部门和个人都不得拥有超越内部控制的权力。
(3)内部控制应当保证企业内部机构、岗位及其职责权限的合理设置和分工,坚持不相容职务相互分离,确保不同机构和岗位之间权责分明、相互制约、相互监督。
(4)内部控制应当正确处理成本与效益的关系,保证以合理的控制成本达到最佳的控制效果。
二、依托COSO理论构建内部控制整体框架
1.COSO理论框架内容
2003年7月,美国COSO委员根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft), 2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM),标志COSO委员会最新的内部控制研究成果面世。
COSO企业风险管理的定义 :“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。
2.构建内部控制整体框架
(1)企业风险管理的目标体系。新COSO报告将企业风险管理的目标归为战略目标、经营目标、报告目标、合规目标四类。战略目标,与企业的使命相一致,企业所有的经营管理活动必须长期有效的支持该使命;经营目标,与企业经营的效果与效率相关,包括业绩指标与盈利指标,旨在使企业能够有效及高效地使用资源;报告目标,该目标关注企业报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息;合规目标,是最基础的目标,指企业经营是否遵循相关的法律法规。
(2)企业风险管理的要素构成。在内部控制整合框架五个要素的基础上, COSO企业风险管理的构成要素增加到八个:①内部环境;②目标设定:③事项识别;④风险评估;⑤风险应对;⑥控制活动;⑦信息与沟通;⑧监控。八个要素相互关联,贯穿于企业风险管理的过程中。
(3)企业风险管理目标与要素的联系。目标是指一个主体力图实现什么,企业风险管理的构成要素则意味着需要什么来实现它们,二者之间有着直接的关系。此外,新COSO报告还强调在整个企业范围内实行风险管理。这种关系可以通过一个三维矩阵以立方体的形式表示出来。
3.COSO框架理论对中国的启示
(1)成立风险管理标准委员会,形成多元民主的制定机制。
(2)建立以风险为导向的“中国企业内部控制框架”,向构建“中国企业风险管理框架”自然过渡。
(3)各界根据风险管理框架,制定或修订各自的风险管理规范。如果“中国企业风险管理框架”能够及时推出,各部门、系统据其修订或制定相应的风险管理文件是解决问题的最理想方案。
三、萨班斯法案对我国内部控制的借鉴
1.我国内部控制现状
(1)企业内部控制环境急需建设。我国企业内部控制普遍存在一下问题:内部控制意识淡薄;人员素质较低;组织机构设置不合理;企业制度不健全;没有形成法制制约的大环境,还没有真正形成有法可依、执法必严、违法必究的大环境。
(2)控制不力。在我国企业中,财务与会计合署办公、会计人员素质较低、责权不对等、风险控制意识较弱、监督不强、信息交流不畅通等问题普遍存在,今后要特别注意开发与引进先进的企业财务与管理软件,逐步建立高质量的企业信息沟通系统。国内也有不少由于内部控制缺失导致经营风险的案例,比如亚细亚、中航油、中储棉、国储铜等事件,折射出了我国企业内部控制严重缺失,风险管理水平低下,监管缺位等管理上的弊端,给企业和国家造成了重大损失。
2.管理者责任
法案突出了内部管理者的法律责任,一旦出了问题,管理者不但要在经济上受到处罚,而且要追究刑事责任。建议我国也应界定管理当局的责任。管理层必须承担公司内部控制有效性的责任,并运用恰当的控制标准(如COSO标准)来评价公司内部控制的有效性,对形成的评估结果有足够的证据支持,同时签署一份关于公司内部控制有效性的书面申明。
3.建立管理者定期评价内部控制机制
(1)健全法律法规,对内部控制有效性进行强制性规定。近年来,财政部、证监会等国家监管部门陆续在2001年和2008年了我国《内部会计控制规范》、《企业内部控制基本规范》等相关法规,对于加强我国企业内部控制和风险管理起到了规范和指导作用。今后,还应在遵循以上法规和加强企业内部控制过程中,不断总结经验、分析教训产生的原因,学习其他国家相关法律法规的先进之处,逐步改进和健全我国加强内部控制和防范企业经营风险的法规体系,促进企业健康发展。
(2)制定科学规范的评价标准。由于缺乏一套完整的内部控制体系,造成内部控制有效性评价流于形式。因此,投入一定的人力、物力、财力,尽早建立一套完整的、公认的内部控制标准,使内部控制评价有章可循是必要的。
(3)统一内部控制规范的内容。目前我国理论与实务界没有对内部控制的内容形成一致的意见。我国内部控制的内容范围与COSO报告相比,还有相当的距离。有关内部控制规范的内容主要集中在会计领域,内部控制贯穿于整个生产经营全过程,企业的环境、文化理念、经营哲学等控制环境与风险因素都应纳入企业内部控制的范围来予以考虑。
四、企业风险管理理论基础及与内部控制的关系
1.企业风险管理理论基础
(1)战略管理理论。战略管理包含四个关键流程:战略分析;战略选择;现代企业风险管理框架研究战略实施;战略评价和调整。企业在实行战略管理的过程中,风险始终伴随其中,其成功实施需要风险管理的密切配合。两者是有机结合,相互交融的。
(2)系统论。系统论的观点和方法为我们建立风险管理系统结构提供了理论依据。风险管理由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个要素构成并相互影响的动态的过程,在企业的生产经营管理中发挥着重要作用,是一个系统,与其他系统一样具有整体性、联系性、层次性、目的性、环境适应性、动态性的特征。
2.企业风险管理与内部控制的关系
内部控制是风险管理的基础和本质要求,风险管理是内部控制的自然延伸与升华,二者现阶段是相互交叉融合的,只是在不同行业、不同时期、企业的不同层次,企业对内部控制和风险管理的强调各有侧重。
(1)行业本身特性。从事金融业的企业一般都非常强调风险管理的重要性,对风险管理的需求也就更迫切,因而以风险管理主导内部控制可能更方便。对于其它一般性制造企业等来说,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
(2)企业所处的生命周期。在初创期,企业高管层一般更加重视内部控制的强化。在成长期,企业面临的经营风险与市场风险也越来越大,以风险管理主导内部控制的管理模式可能更利于企业的发展。企业进入了成熟期,此时企业一般会努力健全组织体系与制度体系,在内部控制上会加大力度。在衰退期,企业的规模大但包袱沉重,内部控制成了企业高管层无法逃避的现实问题。
(3)企业内部不同层次。从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性各有不同。在战略风险方面,风险管理发挥主导作用,内部控制起到配合作用。到财务报告层次,内部控制发挥主导作用,风险管理起到配合作用,但随着市场条件的日益成熟,技术的不断进步,法律及监管实践的发展,内部控制必然走向风险管理。
五、美国纽约银行加强内部控制和风险管理结合的成功案例
美国纽约银行的风险管理与监控活动是由董事会及其下设的审计与检查委员会及风险委员会的授权开始。这两个委员会定期审查银行风险暴露情况、风险政策及风险管理活动,而风险政策主管除了负责日常监督及政策授权外,并与审计主管、合规主管共同维系风险管理结构的有效运作,已完成以下的阶段性目标:
1.确保银行风险经过适当辨识、监督、报告及评价。
2.阐明银行承受的风险种类与风险单位数,并传达至具体负责单位。
3.维持风险管理组织的独立性。
4.促进风险管理文化的健全和对风险调整绩效的重视。
美国纽约银行内控系统的设计用来巩固银行财务、业务环境、市场操作、法规遵循等的健全,并有内部稽核监督及测试其余财务报告系统整体的有效性;而银行风险的处理程序可确保政策能一致地被执行。银行独立的操作风险管理架构,建立在强健的风险管理文化之上,并分为以下三个层次:
(1)风险委员会:其任务包括对银行操作风险策略的监督及核准,该委员会并定期开会讨论关键风险一体机操作风险提案,同时也对风险管理系统的有效性提出审核。
(2)操作风险管理部门:负责发展风险政策及评估、监督、衡量风险的工具。此外,促进风险管理效率及创造改善风险管理控制功能的动机也是操作风险管理部门的重要任务。
(3)各级业务部门管理人员:负责维持业务内有效内控系统的正常运作,并维持银行风险布局与银行所订立的政策一致。
文献综述:
[1]财政部、证监会、审计署、银监会、保监会.《企业内部控制基本规范》,2008-6-28
[2]财政部.《内部会计控制规范――基本规范(试行)》,2001-6-22.
[3]财政部.《内部会计控制规范――货币资金(试行)》,2001-6-22.
[4]COSO.方红星 王宏译:企业风险管理整合框架「M.大连:东北财经大学出版社,2005.
