前言:中文期刊网精心挑选了企业风险管理的特征范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业风险管理的特征范文1
关键词:企业风险管理;经济资本;风险管理要素;可持续风险管理
Abstract:Since COSO issued“Enterprise Risk Management-Integrated Framework”,COSO-ERM framework has become the standard of enterprise risk management,but as some financial institutions broke in the Subprime Crisis,the effectiveness of the enterprise risk management was suspected. Today in the post-crisis era,developing new analytical framework of enterprise risk management becomes an inevitable claim. In the new analysis framework,the objective of enterprise risk management is shifted from the company(shareholders)to maximize the interests to maximize the interests of corporate stakeholders,and the contents of enterprise risk management are shifted from the COSO eight elements to the economic capital,risk management elements,structured financial instruments and risk management for the pillars of sustainable comprehensive risk management.
Key Words:enterprise risk management,economic capital,risk management elements,sustainability risk management
中图分类号:F830 文献标识码:A 文章编号:1674-2265(2012)06-0009-05
风险管理理论已有五十年的发展历史,已成为指导企业经营管理不可或缺的重要思想。2004年COSO颁布《企业风险管理——整合框架》后,COSO—ERM框架很快成为风险管理的核心标准,企业风险管理首次拥有了一个系统的分析框架。但是,发生于2007年的次贷危机,动摇了人们对COSO框架的信心,风险管理该如何实施成为后危机时代风险管理理论必须回答的问题。王稳(2010)提出了一个新的企业风险管理分析框架,以经济资本、风险管理要素、结构性金融工具和可持续风险管理作为企业风险管理的核心内容,为后危机时代的风险管理提供了一个可参考的框架思路。本文在这个分析框架的基础上,系统梳理了已有文献对风险管理框架和内容的论述。
一、企业风险管理分析框架的演进
企业风险管理的特征范文2
「关键词 企业风险 风险管理 风险管理审计
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展、实现企业预期目标的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。因此,无论是国际内部审计师协会对内部审计的定义,还是我国的内部审计准则都强调了内部审计在企业风险管理中的重要性。我国从2005年5月1日起施行的内部审计具体准则第16号———《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。
一、企业风险及风险管理的内涵
进行企业风险管理审计,必须明确企业风险及风险管理的内涵。否则,企业风险管理审计便无从谈起。
1 企业风险的实质
首先,风险产生于不确定性因素的存在,如果企业运行的内外环境是确定的,则不存在企业风险。其次,企业运行环境的不确定性带来了企业运行结果的不确定性。一般来说,我们更注重企业的运行结果,对预期结果的实现与否及可实现程度的大小成为了衡量企业风险大小的现实标准。因此,可以认为,企业风险则是企业运行结果偏离期望结果的可能性。笔者认为,企业目标是企业期望达到的一种结果状态,但由于相关因素的持续不断的变化,企业目标的实现存在不确定性。因此,企业风险可以描述为企业目标不能得以实现的可能性。
2 企业风险的划分
企业风险可以按多种标准进行分类。笔者认为,既然将风险定义为企业目标不能得以实现的可能性,那么,企业风险可以按照企业目标的不同层次来理解和划分,并可将其相应划分为:
(1)企业的战略风险是指企业战略目标不能实现的可能性,主要包括:由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险;由于企业的具体战略选择失误而带来的风险,包括企业经营领域的选择风险、企业并购风险等。
(2)企业日常经营管理风险是指企业具体经营目标不能实现的可能性,又可以划分为企业经营环节的作业链风险,如企业供、产、销等环节的风险;企业的人事风险,如由于人员任用、授权、业绩评价等方面的缺陷带来的风险;企业的信息风险,如企业信息系统风险等。
(3)财务风险。狭义一般是指由于企业筹措资金而形成的风险,并主要是指企业由于举债而形成的风险,也可称之为筹资风险。按照本文对风险的定义,即企业目标不能实现的可能性,则企业的财务风险是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险,我们可以称之为广义的财务风险。
3 企业风险管理
COSO于2004年颁布的《企业风险管理框架》中指出“企业风险管理是一个过程,它由董事会、管理当局和其他人员执行,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在风险容量之内,并为主体目标的实现提供合理保证。”
我国内部审计协会2005年的内部审计具体准则16号—《企业风险管理审计》中指出“风险管理,是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。”
从上述对风险管理的解释可以看出,企业风险管理的最终目标是为企业目标的实现提供合理的保证。
二、企业风险管理审计的目标
对企业风险管理进行监督和评价是现代内部审计发展的结果,企业风险管理审计的目标取决于对企业内部审计的功能定位。
从西方企业内部审计的产生和发展过程来看,内部审计是随着经济的发展,企业内部管理层次的增多和控制范围的扩大,基于企业内部经济管理与监督的需要而产生的,并随着管理的需要而不断发展。随着内部审计的不断发展,内部审计的目标也在不断地变化,其中以国际内部审计师协会(IIA)对内部审计所下定义的变化最具有代表性。国际内部审计师协会(IIA)理事会指出内部审计是一种独立、客观的保证和咨询活动,其目的是增加组织的价值和改善组织的经营。
我国的内部审计不是在企业内部管理需要的动因下发展起来的,而是在政府的要求下,在国家审计部门的推动下建立起来的。1993年国家审计署成立,为了尽快建立和完善审计体系,补充刚刚复兴的国家审计力量的不足,政府和政府审计机构都极力敦促内部审计的组建。但随着我国经济体制的不断改革发展,企业内部审计越来越受到各方面的重视,对内部审计的理解也发生了较大的变化。我国的内部审计基本准则指出:内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
从内部审计的发展过程可以看出,企业内部审计的目标在于帮助企业实现目标。企业内部审计的目标决定了企业风险管理审计的目的在于:通过内部审计机构和人员对企业风险管理过程的了解,审查并评价其适当性和有效性,提出改进建议,促进企业目标的实现。
三、企业风险管理审计的内容
风险管理包括组织整体及职能部门两个层面。内部审计人员既可对组织整体的风险管理进行审查与评价,也可对职能部门的风险管理进行审查与评价。因此,笔者认为企业风险管理审计应当包括以下方面的内容:
(一)风险管理机制的审查与评价
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。因此,内部审计部门或人员需要审查以下方面,以确定企业风险管理机制的健全性及有效性。包括:
1 审查风险管理组织机构的健全性。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的特点,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。
2 审查风险管理程序的合理性。企业风险管理机构应当采用适当的风险管理程序,以确保风险管理的有效性。
3 审查风险预警系统的存在及有效性。企业进行风险管理的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。
(二)风险识别的适当性及有效性审查
风险识别是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。笔者认为应当包括以下内容:
1 审查风险识别原则的合理性。企业进行风险评估乃至风险控制的前提是进行风险识别和分析,风险识别是关键性的第一步。
2 审查风险识别方法的适当性。识别风险是风险管理的基础。风险管理人员应在进行了实地调查研究之后,运用各种方法对尚未发生的、潜在的、及存在的各种风险进行系统的归类,并总结出企业面临的各种风险。风险识别方法所要解决的主要问题是:采取一定的方法分析风险因素、风险的性质以及潜在后果。
需要注意是,风险管理的理论和实务证明没有任何一种方法的功能是万能的,进行风险识别方法的适当性审查和评价时,必须注重分析企业风险管理部门是否将各种方法相互融通、相互结合地运用。
(三)风险评估方法的适当性及有效性审查
内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。
内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别的风险的特征;
(2)相关历史数据的充分性与可靠性;
(3)管理层进行风险评估的技术能力;
(4)成本效益的考核与衡量等。
3 审查风险评估方法应当遵循的原则
内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:
(1)定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;
(2)在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;
(3)定量方法一般情况下会比定性方法提供更为客观的评估结果。
(四)风险应对措施适当性和有效性审查
内部审计人员应当实施适当的审计程序,对风险应对措施进行审查。
企业风险管理的特征范文3
【关键词】 COSO报告;内部控制;风险管理
一、COSO背景
COSO委员会是由美国注册会计师协会( AICPA )、美国会计学会( AAA )、财务经理人协会( FEI )、内部审计师协会( IIA )和管理会计师协会( IMA )共同发起并出资组成的民间组织。该组织的宗旨在于通过商业伦理、有效的内部控制和公司治理提高财务报告质量。COSO的研究成果在美国以及全球会计、审计和证券界产生了深远影响,其中的一些概念和原理被写入了教科书,成为研究人员经常引用的经典;而且,随同报告的实务指南也为单位组织建立内部管理架构提供了十分有益的帮助,成为评价单位组织内部控制的标准。(柳木华 . 2006)。迄今为止,COSO委员会共了五部研究报告。
1987年,COSO了《反欺诈性财务报告全国委员会报告》,报告对财务欺诈的研究和分析没有简单地局限于独立审计师的查错作用,而是密切关注企业法律、金融和其他咨询顾问在财务欺诈中的角色,分析了企业经理班子价值观念和会计、内审与审计委员会的作用,触及了政府管制(包括SEC)和大学会计课程设置是否充分有效等问题。报告分别向公众公司、注册会计师、SEC以及其他法律部门、教育部门等提出了约100条建议。1996年,COSO发表了《金融衍生工具使用中的内部控制问题》,该报告模型认为,“风险管理过程需要理解实体的目标和经营活动,识别市场风险和测度承担的风险,然后决定是否使用衍生产品将风险降低到可以承受的水平。只要简单的忽略与衍生产品有关的部分并代之以其他合适的降低风险行为,这个过程就具有普遍性”。报告为衍生工具用户建立、评估和改善内部控制,提供了指导性建议。1999年,COSO利用1987-1997年欺诈性财务报告公司样本,在归纳其公司特征、控制环境特征、欺诈特征的基础上,了《欺诈性财务报告-1987至1997:美国公众公司分析》。报告探讨了三个欺诈高发行业――信息技术、保健和金融服务业的欺诈特点,发现三个行业的欺诈手段存在显著差异,如信息技术业最常见的欺诈手段是收入欺诈,而金融服务业最常见的手段是资产欺诈和资产盗用,并且研究了财务报告欺诈与公司治理之间的关系,发现欺诈样本公司与其所在行业标准相比,具有相当弱的公司治理机制。20 世纪在经历了70年代一连串财务失败和可疑的商业行为相继爆发后,国际社会又出现了更耸人听闻的以金融机构破产为代表的财务失败事件,给纳税人最终带来超过1 500亿美元的成本。为能有效遏制这种愈演愈烈的会计舞弊活动,1992年,COSO在进行了深入研究之后了一份关于内部控制的纲领性文件,即《内部控制――整体框架》,它标志着内部控制理论与实践进入了整体框架的阶段。报告提出了内部控制的五个重要组成要素:控制环境、风险评估、控制活动、信息及沟通与监督,深化了内部控制的理念和应用。COSO报告一经便得到了业界的认可与采纳,并在世界范围内产生了广泛影响。2001年以来,以安然、世通等为代表的一些美国大公司,因财务信息造假等行为而相继倒闭破产,震撼了美国的资本市场,引起了世界的极大反响。在国际社会对改善公司治理与加强风险管理的呼声日益高涨的背景下,2004年9月,COSO委员会结合《萨班斯一奥克斯利法案》的相关要求,颁布了一个概念全新的报告:《企业风险管理――整体框架》(ERM)。框架的出台顺应了各方需求,与1992年的《内部控制――整体框架》相比,在内部控制的内涵、目标、要素以及内部控制责任承担等层面有了全新的突破,对企业风险管理做出了更为详尽的阐述。ERM并没有取代《内部控制――整体框架》,而是基于并将其融入其中,全面推进了内部控制标准的发展。
二、COSO企业风险管理整体框架概要
COSO为企业风险管理确立了一个可普遍接受的概念,为各组织识别风险和实施风险管理提供了理论基础。ERM框架认为:“企业风险管理是一个过程,是由企业的董事会、经理层和其他员工共同参与,应用于企业战略制定和企业内部各个层次和部门的、贯穿整个企业,旨在识别影响组织的潜在事件,为组织目标的实现提供合理的保证”。企业风险管理是由人参与的过程而并非结果,企业必须将风险管理融入在日常的经营管理之中,并涉及企业的每个员工。风险管理能够识别对企业造成影响的潜在风险,能在一定程度上帮助企业实现合理的既定目标。
企业风险管理包含八个相互关联的要素:
(一)内部环境
内部环境是其他风险管理要素的基础,它由《内部控制――整体框架》要素中的“控制环境”演变而来,但包含了更为丰富的内容,如风险文化和风险偏好、管理哲学和经营风险、权力和责任分配、实践操守和价值观等。
(二)目标设定
ERM框架认为,企业的管理层在评估风险之前必须确立目标,并针对不同的目标分析相应的风险,这样管理当局才能识别影响目标实现的潜在事项。企业的目标可以分成四类:1.战略目标。与企业的使命相一致,是较高层次的目标;2.经营目标。与企业经营的效果与效率相关,旨在使企业能够有效地使用资源;3.报告目标。企业组织报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息;4.遵循目标。即企业经营是否遵循相关的法律法规。
(三)事件识别
指识别影响事件的内外部因素。潜在的事项,对企业可能有正面影响,也可能有负面影响。识别风险旨在于抓住机遇,或者在风险评估和应对阶段弥补风险对企业的影响。
(四)风险评估
是决定如何管理风险的基础,风险得到识别后,就需要对风险进行分析评估,这样,管理层就能根据被识别风险的重要程度来进行规划和组织,使通过风险管理这个过程识别和分析风险,并采取减弱风险影响的行动来管理风险。风险评估可根据不同的风险目标确定相应的风险评估方法,主要为定量分析和定性分析相结合的方法。
(五)风险对策
是在评估了相关的风险之后,所做出的应对、控制、转移、补偿风险的各种策略和措施。通常将风险对策分为规避风险、减少风险、共担风险和接受风险等四类。企业应在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事件发生的可能性和事项对企业的影响,并设计和执行风险应对方案。COSO认为,有效的风险管理是管理者的选择能使企业风险发生的可能性和影响都落在风险的容忍度内。
(六)控制活动
是有助于保证风险应对方案得到执行的相关政策和程序。管理当局应对企业所有系统进行控制,包括对信息系统的控制,通常控制活动和风险评估过程是联系在一起的。
(七)信息与沟通
信息是沟通的基础,沟通必须满足不同团体和个人的期望。企业内部和外部的信息必须以一定的方式进行确认和传递,以保证员工各自职责的执行和企业风险管理的有效运行。
(八)监督
COSO将监督作为评估企业风险管理质量过程的一个部分,即评估风险管理要素的内容和运行,以及评价某一时期执行质量的一个过程。该过程包括持续监督、个别评估或者两者的结合。
企业风险管理的八个要素是一个有机整体。风险管理不只是一个直线的过程,而是一个多元化的相互作用的过程。 各要素之间的关系是:内部环境是企业风险管理的基础,为企业风险管理所有其他要素的运行提供了平台和组织结构;企业目标的制定,是风险管理的起点,是其他步骤的躯动力量;在企业目标已定的前提下,企业需要对影响目标的风险进行事件识别,进而对识别事件进行风险评估,风险评估驭动风险反应,影响控制活动;信息与沟通和监督贯穿于企业风险管理的全过程,并且可对其他各个组成要素进行修正(吴永澎 . 2006)。
三、COSO企业风险管理框架对内部控制标准的发展
(一)丰富了内部控制的内涵
COSO在《内部控制――整体框架》中将内部控制定义为一个受董事会、经理层和其他人员影响的过程,提出内部控制是为了实现三个目标,即:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。该定义明确了以下要点:内部控制是一个过程;内部控制是一个受人影响的过程;内部控制为了实现三个目标;内部控制过程的设计是为了提供实现内部控制目标的合理保证。这个定义比较宽泛,从某些角度来说,也存在一些片面性。而新的ERM框架则更加明确了对风险管理和保护资产概念的运用,并将纠正错误的管理行为明确地列为控制活动之一。ERM框架在原《内部控制――整体框架》所明确的要点基础上,进一步明确了以下内容:即,内部控制应用于战略制定;内部控制贯穿整个企业的所有层级和单位;内部控制旨在识别影响组织的事件并在组织的风险偏好范围内管理风险。由于ERM框架提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体,同时又涵盖了内部控制所有合理的内容。
(二)发展了内部控制的目标
针对《内部控制――整体框架》对企业战略管理方面关注不够的缺陷,ERM在目标中增加了一个新的目标――“战略目标”。使企业在追求短期利益的同时,从战略高度关注企业的长远目标和可持续发展。该目标的层次比其他三个目标更高。风险管理既应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。特定的战略目标虽然可以通过不同的战略来实现,然而不同的战略目标会给企业带来不同的风险。战略制定和风险偏好存在直接关系,在考虑达到战略目标的具体目标时,管理当局要鉴别与战略选择相关的风险,并且要考虑对这些风险的应对措施的运用(吴永澎. 2006)。此外,ERM整体框架还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告将财务报告的可靠性界定为“编制可靠的公开财务报表,包括中期和简要财务报表,以及从这些财务报表中摘出的数据,如利润分配数据”。新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”,该目标涵盖了企业的所有报告。
(三)拓展了内部控制的要素
COSO在《内部控制――整体框架》中提出了五个要素:即控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行了深化和拓展,将其演变为八个要素。引入了风险偏好、风险容忍度和风险文化等概念,将原有的“控制环境”扩展为“内部环境”。这一修改使企业关注的范围不再局限于控制方面,而是从更宽阔的视野,以及更综合、更直接的角度考虑各种因素对风险的影响。并且将原有的“风险评估”要素发展为“事件识别”、“风险评估”和“风险反应”。这不只是对原“风险评估”进行的简单细化,而是意味着企业风险意识的增强和主动地管理风险。也就是企业风险管理综合框架强调应对所有事件,包括正面事件和负面事件进行综合识别,并且应将其以适当的组合方式加以看侍,并通过对固有风险和剩余风险的综合评价做出适当的风险应对措施,以减少经营偏差的发生及相关成本和损失,有利于企业抓住机会,及时调整策略,避免资源浪费,实现经营获利目标。
(四)明确了内部控制的责任关系
ERM框架认为,组织的每个成员都应对企业风险管理承担责任,并进一步划分了责任主体的等级:董事会在风险管理中扮演更加重要的角色――负总体责任,并被要求变得更加谨慎。企业风险管理的成功与否主要依赖于董事会,因为董事会需要批准组织的风险偏好;在企业风险管理中,CEO负有首要责任,并应对所有权负责,其他经理人员则起支持作用;风险部门管理者,财务部门管理者和内部审计人员等负有关键性责任;其他的企业人员负有按确定的指示和协议执行企业风险管理的责任。另外,企业外部利益相关者如客户、卖主、商业伙伴、外部审计师、监督者和财务分析师经常提供影响企业风险管理的有用信息。虽然他们并不为企业风险管理负责,但却是企业实施风险管理必须考虑的因素。
(五)创新了内部控制的风险观念
ERM 框架指出,企业风险管理的基本假设是,每一主体存在的目的是为其所有者创造价值。所有主体都面临不确定性,管理层的挑战就是确定在其为所有者创造价值的过程中,须在多大程度上接受不确定性。ERM把事件区分为风险和机会,事件可能有消极的影响、积极的影响或两者兼有。消极影响事件意味着风险,它妨碍价值创造或削弱现存价值;积极影响事件可以抵销消极影响或意味着机会。机会是一种可能性,即事件将会发生并积极影响目标实现、支持价值创造或价值保持。一个组织必须识别影响其目标实现的内、外部事件,区分哪些是风险、哪些是机会。管理当局要密切注意各层级的风险,并采取积极的管理措施。内部控制的目的不应是消极控制或防范风险,而是要主动管理风险。风险管理能使管理层有效地处理不确定性及与之相关的风险和机会,增进创造价值的能力,并在追求主体目标的过程中有效地配置资源,实现价值最大化。
【参考文献】
[1] 贾国军,李阳,杨秀玲. “从美国COSO报告的发展,看我国内部控制体系的完善”. 财会研究,2006.11.
[2] 宋怡萱,张翩. “COSO企业风险管理整体框架解析”.财会通讯,2006.3.
[3] 陈秧秧. “COSO《企业风险管理综合框架》简介”. 财会通讯,2005.2.
[4] 金小英,唐予华. “COSO风险管理报告内外部关系的解读与启示”. 财会通讯,2006.6.
企业风险管理的特征范文4
【关键词】内部控制;风险管理;公司治理;战略管理
受美国2002年出台的萨班斯——奥克斯利法案(以下简称SOX法案)的影响,我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求,完善内部控制体系、完成内控评估报告。同时,随着经济全球化的深入,企业遭受产品市场、要素市场和金融市场的价格冲击越来越大,各类风险产生的扩张效应和联动效应越来越严重。因此,内部控制和风险管理成为现代企业重点关注的课题。
本文将在回顾内部控制和风险管理理论发展的基础上,探讨二者之间的关系,并结合宝钢在内控体系建设和风险管理方面的最佳实践,提出整合的风险管理框架设想,以期对我国企业的内控体系和风险管理体系建设提供借鉴。
一、内部控制、风险管理的理论发展及其关系
(一)内部控制理论的发展
20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后,美国COSO委员会将“内部控制”定义为“一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障”。在COSO委员会制定的内部控制框架中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
2002年,美国成立的上市公司会计监管委员会(简称PCAOB)明确采用了COSO内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了COSO内控框架,有些国家和地区在参照该框架的基础上建立了自己的内控体系。
我国在2005年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国SOX法案的要求,在理论体系上和COSO内控框架一脉相承。
(二)风险管理理论的发展
企业风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明,仅靠内部控制难以实现企业的最终目标。为此,COSO于2004年9月出台了《COSO企业全面风险管理整合框架》(简称ERM),提出了由三个维度构成的风险管理整合框架。
我国国务院国资委于2006年《中央企业全面风险管理指引》(以下简称《指引》),标志着我国中央企业建立全面风险管理体系工作的启动。
(三)内控体系建设与全面风险管理工作的联系和作用
全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益,而这正是全面风险管理应该达到的基本状态。此外,内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用,具体体现在以下两个层面:
1.在理论框架层面,完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。
2.在推进工作的步骤层面,从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。
至于差异,从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看,内部控制仅是管理的一项职能,而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营;而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场、法律等领域。
二、宝钢在内控体系建设领域的实践
宝钢股份是宝钢集团的核心子公司。公司从2005年增资扩股后就着重于梳理内部流程,推广管理标准。2007年3月,由公司总经理担任组长的内控评审项目开始启动。
内控项目工作范围包括宝钢股份总部以及下属分子公司,资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份12大业务流程,梳理了各类大小流程300多个。在对12大流程风险控制点辨识的基础上,逐步建立宝钢股份上市公司内部控制体系,编制公司流程内控手册,形成公司全面的内控改进点报告,建立公司层面基本内控体系。并在前期工作的基础上,开展内控体系的自我评估工作,形成公司内控自我评估报告。
在项目实施过程中,公司组织了多场内控培训会,形成了全员内控的企业文化。同时,公司对发现的内控薄弱点狠抓落实整改,并对各单位的问题汇总报告进行整理;评审项目组还组织各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析,就同类问题开展自查自纠,以形成辐射效应。此外,宝钢股份还将内控评审项目和常规审计工作相结合,在内部审计工作中跟踪检查问题的整改情况。
三、宝钢在风险管理领域的实践
宝钢从2007年开始全力推进全面风险管理体系建设,这既是资本市场的要求,也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是:围绕宝钢的战略目标,在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面:
(一)以法人治理为基础,建设风险管理的组织体系
完善的法人治理是风险管理重要的内部环境,也是风险管理体系建设的起点和保障,而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业,在完善董事会试点的过程中优化董事会成员结构,建立外部董事制度,不断完善董事会运作机制,初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。
同时,宝钢按照国资委《指引》的要求,构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,公司明确了其各自相应的职责。第二道防线建设:总部层面成立由分管副总经理担任组长的“全面风险管理体系建设领导小组”,由系统运行改善部作为风险管理的综合管理部门,对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价,及时发现流程中存在的问题,提出内控完善的建议。
(二)与管控模式相结合,制定风险管理策略和流程
宝钢采取的是“战略控制型”的管控模式,即总部通过对策略性、全局性业务进行管控来确保战略意图的实现,对于具体执行性业务则授权给各子公司来执行,以确保整体运作效率和响应速度。
因此,宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点,通过推进风险管理文化建设、推动内控系统优化,确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施,建立并不断完善风险管理体系。各子公司则结合自身产业特征,从防范运营风险的角度出发,重点推进四项工作:1.建立风险管理的组织体系和工作机制;2.对重大风险进行识别和评估,形成重大风险清单,确定风险管理的重点领域;3.针对重大风险涉及的重要业务流程和重大事件,评估、完善内控体系,并落实为工作规范,制定管理制度,形成内控手册;4.针对可能发生重大突发事件的业务领域,建立预警机制,制定应急预案。
(三)建立了财务预警指标体系,使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警在应急预案方面,在总部和子公司层面编制了一系列应急预案,提高宝钢处置突发事件、保障公共安全的能力,最大程度地预防和减少突发事件及其造成的损害。
四、整合的风险管理框架设想
通过长期的工作实践和思考分析,笔者认为:企业的风险管理工作需要和企业管理的多方面相结合,构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合,还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统:
(一)风险管理系统应与公司治理系统进行整合
风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)指出,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,高管和风险主管应当直接承担风险管理的责任,董事会则应积极参与增值型的风险管理活动,如在风险管理的过程中对管理层进行指导、授权和监督等活动。:
(二)风险管理系统应与公司战略管理系统相整合
风险管理功能与公司战略管理功能相耦合,主要体现在图2所示的战略管理全过程中:
将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略,会引起不同的风险,也应采取不同的风险应对措施。因此,不同的战略模式将会导致在不同的领域配置风险管理的资源。
企业战略管理的最终目标是为了实现企业价值的持续增长,企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开,该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值,必须具有高效、快捷和质量可靠的业务流程,这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径,企业风险管理也应遵循这一路径而展开。
总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。
【主要参考文献】
[1]张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究,2005,(2).
[2]吴轶伦.内部控制自我评价[J].上海财经大学学报,2004,(4).
[3]吴轶伦.内部审计职能的发展与风险管理模式的建设[J].冶金财会,2006,(3).
[4]方红星.内部控制审计组织效率[J].会计研究,2002,(7).
[5]课题研究组.内部会计控制规范操作实务[M].中国商业出版社,2001.
[6]阎达五,宋建.双元控制主体构架下现代企业会计控制的新思考[J].会计研究,2000,(3).
[7]朱荣恩、贺欣.内部控制框架的新发展——企业风险管理框架[J].审计研究,2003,(6).
[8]金或日方,李若山,徐明磊.COSO报告下的内部控制新发展[J].会计研究,2005,(2).
[9]严晖.风险导向内部审计整合框架研究[M].中国财政经济出版社,2004.
[10]宋夏云.现代风险导向审计模式的背景分析与理论创新[J].中国审计,2005.
[11]胡春元.审计风险研究[M].东北财经大学出版社,1997.
企业风险管理的特征范文5
【关键词】审计 风险管理 问题 建议
随着现代企业的复杂化和不确定性因素的增加,企业风险发生的频率可能越来越高,造成的损失可能也越来越大。 因此,对企业风险进行管理就显得尤为重要。审计是现代企业的“第三只跟睛”,内部审计作为企业的经济监督部门必须关注风险,对于对风险管理的审查和评价是内部控制审计的重要内容之一。
1.正确认识现代企业风险管理审计
在经济管理活动中,风险常常被定义为生产和经营的弊端、失误或失败带来企业危机的可能性。风险管理是对影响企业的目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的控制过程,是企业内部控制的基本组成部分。风险管理旨在为企业目标的实现提供合理的保证。在风险客观存在的情况下,防范风险、对风险进行管理已成为企业管理层、职能部门及企业员工上下关注的焦点。因此,需要内部审计人员运用风险管理方法和控制措施,对企业风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,这就是企业风险管理审计。实施现代企业风险管理审计,其重点应关注企业面临的内、外部风险是否已得到充分、适当的确认,内部审计人员应当采用适当的审计程序收集足够的证据,从总体上对风险管理过程的充分性以及所选择风险管理方式的适当性发表意见。
风险管理过程充分与否,取决于风险管理过程是否着眼于如下五个主要目标,以及目标是否得到实现:
(1)找出业务战略与活动领域的风险并进行优先排序。
(2)企业管理层已经确定了企业可以接受的风险水平,包括为实现企业战略计划而接受的风险。
(3)设计、实施了降低风险的活动,把风险降低并管理在上述可接受的水平。
(4)开展持续的监督活动,定期对风险和控制的有效性进行再评估,以管理风险。
(5)企业管理层定期收到风险管理过程的结果报告。
内部审计人员应实施必要的审计程序,对风险评估过程进行审查与评价。重点关注风险发生的可能性及风险对企业目标的实现产生影响的严重程度两个因素。风险评估可以采用定性或定量的方法进行。同时,内部审计人员应当对管理层所采用的风险评估方法进行审查,并重点考虑以下因素:
(1)已识别风险的特征。
(2)相关历史数据的充分性与可靠性。
(3)企业管理层进行风险评估的能力。
(4)成本效益的考核与衡量。
(5)其他相关因素。
2.现代企业风险管理审计中存在的问题
2.1 现代企业风险管理审计机制否健全,影响对企业风险管理审计作出公正评价。
内部审计是一个挑战性很强的职业,它必须在变化的环境中不断发展。面对不断发展变化的环境,各企业管理层和内部审计部门的风险都相应增大,为现代企业风险管理审计工作提出更高的要求,使得内部审计部门识别风险,帮助企业管理层规避风险的难度增加,对内部审计机构及其人员的职业素质提出了更多的要求。而与之相适应的内部审计部门本身的建设在实际工作中滞后于现代企业风险管理步伐,难以对企业风险管理进行公正评价并提出改进建议。
2.2 企业内部控制系统不健全,导致无法开展企业风险管理审计工作。
企业内部审计部门对企业进行内部控制评价项目,可以协助企业管理层建立和执行风险管理和控制过程。通过进行内部控制评价,内部审计人员和企业管理层可以联合收集有关控制程序是否运行良好,剩余风险严重程度等方面的信息,以协助企业管理层更好的管理风险。实施这一工作的前提是企业必须建立健全完善的内部控制系统,因为完善的内部控制系统是开展企业风险管理审计的基础,而目前的实际状况是有些企业并未建立或健全内部控制制度或内部控制系统,也有的企业内部控制落实情况差,难以发挥效应,导致企业风险管理审计工作无法开展。
2.3 企业管理层,在确定企业可接受风险水平时主观独断,造成失误或失败,给企业带来产生危机的可能性。
企业管理层不具备并保持履行风险管理职责的能力及特定的知识和技术,如在识别风险的过程中,一旦发现风险,企业管理层不能正确分析其可能产生的影响,不能正确判断风险的重要性,分析风险存在的可能性,无法正确决定如何管理风险和采取管理措施,对风险程度的定性和定量分析不准确。由于上述问题的存在;影响内部审计部门对企业风险管理过程的充分性和有效性做出正确评价,并提出切实可行的改进意见。
3.关于开展现代企业风险管理审计的几点建议
现代企业风险管理审计,必须在积极借鉴国内外企业风险管理审计经验和教训的基础上,从严管理,不断创新,积极探索市场经济条件下,加强企业风险管理审计的措施。
3.1 现代企业风险管理需要与之匹配的现代内部审计。
从传统的财务收支审计转向为企业识别、防范风险服务,内部审计关注企业风险问题,标志着内部审计工作性质的转折。内部审计职能已发展成为风险管理的候选人,它是“自然嵌入”组织结构,而不是外在因素,它有利于促进企业风险管理制度与政策的贯彻执行。为此,要健全企业内部风险管理审计机构,加强内部审计部门自身建设,增强处理风险的自信能力;增加内部审计人员的风险分析能力,促进和保持内部审计职能的专业水准,支持和开发以风险为基础的审计技术方法;保持审计的独立性和客观性,充分发挥内部审计专业人才的作用,制定识别、分析和反馈风险的系统目标,以理想的方式实现控制和防范企业风险的目标,适应现代企业不断发展的需要。
3.2 建立健全完善的内部控制系统,促进企业开展风险管理审计。
内部控制活动是执行企业管理层指令的有利保证,企业所有的运作层次和职能中都存在控制活动,企业风险管理与内部控制之间的关系是相互依存的:风险管理是内部控制的要素之一,通过实施企业内部控制加强风险管理,降低企业风险。而内部控制又是内部审计的直接对象,通过内部审计的检查、评估而不断促进内部控制的健全完善,进而将风险控制在企业可以接受的水平之下。因此,企业应建立科学、合理、规范的内部控制制度与内部控制系统,以促进企业开展风险管理审计,以协助企业管理层的工作,促进企业目标的实现。
3.3 在企业风险管理审计中,应注重各种效益与费用支出的分析。
严格核算企业风险管理成本和费用支出,促使企业风险 管理者用最经济节约的方法为可能发生的风险做好准备,适 用最合适、最佳技术手段来降低风险管理成本,并开发相应的技术方法,通过尽可能低的管理成本达到最大的安全保障,取得控制风险的最佳效果。企业风险管理的目的在于避免可能发生的损失。企业风险管理的成本主要体现在执行成本、机会成本、声誉成本及风险成本等方面。在选择风险管理手段时,首先必须考虑的一个因素就是要在保证企业风险管理效率的条件下,尽可能将风险管理成本降到最低水平。内部审计部门应采取定量或定性的无法,同时考虑短期成本与长期社会成本问题,才能有效地、较准确地把握成本效益尺度。
3.4 建立良好的现代企业风险管理文化。
以风险为基础的审计方法是从传统的单一职能向风险管理全过程检查发展,使企业发展的各种职能不再是孤立的,而是相互联系的整体过程。内部审计部门应与企业管理层合作,共同建立良好的企业风险管理文化,支持企业合作伙伴共同处理和解决风险管理所要求的相应技术。
风险管理程序与政策是企业管理层制定的,内部审计部门要监督风险管理程序与政策的合理性、适应性和贯彻执行的有效性。这样即可避免由于企业管理层,主观独断而给企业带来的风险,促进各项企业风险管理制度的落实。〖KH*2/3D〗
企业风险管理的特征范文6
关键词:风险管理;内部控制;企业风险管理
Abstract:Risk management transited from disperse study of multiple fields to integrated framework of enterprise risk management in last fifty years. This paper summarizes the major views about traditional risk management theory,financial risk management theory,internal control theory and enterprise risk management theory,and reviews the future development tendency of risk management after the subprime crisis.
Key Words:risk management,internal control,enterprise risk management
中图分类号:F830 文献标识码:A 文章编号:1674-2265(2011)02-0023-05
2007年次贷危机的爆发,各大金融机构的破产,使得风险管理再度成为理论界研究的热点,雷曼兄弟、美林等公司都曾经是风险管理的先行者,但还是在危机面前走向了破产,那么究竟该如何进行风险管理呢?在回答这个问题之前,我们有必要回顾一下风险管理理论的演进与发展,从历史的脉络中来寻找企业风险管理的精要所在。
一、传统风险管理理论
风险管理作为一门学科出现,是在二十世纪60年代中期。1963年梅尔和赫奇斯的《企业的风险管理》、1964年威廉姆斯和汉斯的《风险管理与保险》出版标志着风险管理理论正式登上了历史的舞台。他们认为风险管理不仅仅是一门技术、一种方法或是一种管理过程,而且是一门新兴的管理科学,从此风险管理迅速发展,成为企业经营和管理中必不可少的重要组成部分。
传统风险管理的对象主要是不利风险(也就是纯粹风险),目的就是为了减少纯粹风险对企业经营和可持续发展的影响;企业风险管理所采取的主要策略就是风险回避和风险转移,保险则成为最主要的风险管理工具。
在这个阶段,研究者的主要工作就是对风险管理对象的界定和区分,辨别出那些对企业只有不利影响的风险类型并着手解决,是传统风险管理的重要思路。实践中,纯粹风险确实对企业的可持续经营具有很大的影响,特别是那些没有预测到的纯粹风险,往往会直接拖垮一个企业,而且企业对纯粹风险的管理涉及到机会成本的问题,这更加需要企业在综合权衡的基础上做出风险管理决策(Gahin,1967),因此,纯粹风险一直被当作风险管理的对象和目标。而具体的解决办法,是以保险作为主要手段,通过购买保险来转移那些影响企业的纯粹风险,至于如何购买保险、购买什么样的保险就属于风险管理决策的范围了,而不仅仅是一种技术手段,实际上,风险管理就是从保险行为中延伸出来的管理手段,因此,保险在这个时期的风险管理中具有重要的作用(Denenberg,1966)。
此外,这一时期风险管理的应用从企业扩展到了市政领域。Todd(1969)、Vaughan(1971)通过对美国九个州市政管理的调研发现,市政官员对风险管理的认识还十分薄弱,提出加强市政领域的风险管理是市政官员的重要职能,目的是保证市政财务预算免受意外灾害的影响,以保持提供应有的市政服务的能力。
而这个阶段风险管理理论的重要成就是实现了与主流经济、管理学科的融合。风险管理方法论的提出无疑是最为重要的,1965年Hedges第一次提出了有关构建企业风险管理的方法论,界定了分析风险管理的观察视角问题,指出风险管理往往存在着两种不同的视角:一是基于首席财务官职位的财务政策视角,二是基于风险管理官职位的风险与保险视角,同时指出,保险是企业风险管理的重要工具,但是保险并不意味着风险管理的全部,从而将风险管理的范围进一步拓展,并且明确了保险只是风险管理的一种工具,使得风险管理从方法论角度更为全面和完善。Close(1974)将风险管理与现代管理学中的复杂组织系统模型相结合,为风险管理学科的发展提供了更为主流的理论来源;Cummins(1976)将风险管理与传统的企业理论相结合,运用现代经济学的分析方法来确定风险管理的最优策略,从而使风险管理融入到金融市场理论中并成为金融学的一个重要领域。
二、金融风险管理理论
如果说传统风险管理理论是为了解决纯粹风险,那么金融风险管理就是为了应对投机风险的问题,是为了实现“风险最小条件下的收益最大,或是收益一定条件下的风险最小”目标,这是金融风险管理与传统风险管理的最重要区别。
金融风险管理理论的重要组成部分,就是自二十世纪50年代开始发展起来的一系列现代微观金融方法:Markowitz(1952)提出的资产组合理论为金融风险管理提供了有利的支撑,用统计学中的方差来度量风险, 用期望值来度量收益,并且首次在此基础上研究了证券资产的投资组合问题,指出投资者的理性投资行为是以追求在相同风险下的收益最大化或在相同收益下的风险最小化为基础;在此基础上,Hart 和Jaffee(1974) 又提出了将银行所有资产和负债视同为一种特定类型的证券组合来进行管理的理论框架, 根据该理论框架, 商业银行的资产分布、贷款分布应形成一个合理的投资组合, 应避免风险过度集中;Sharpe(1964)提出的资本资产定价模型(CAPM)则是开创了现代风险资产定价理论的先河,提出了投资的回报与风险成正比的基本规律,即资产的期望报酬等于无风险利率加上风险调整后的收益率,揭示了在均衡条件下证券的期望收益率和市场风险之间的关系,证明了通过证券组合可以有效地分散和规避非系统风险,但是无法分散具有整体特征的系统性风险;因此,对于企业进行风险管理来说,每种业务的费用至少应等于资本的CAPM成本,从而可以确保投资的回报率经过风险调整后能够实现最大化;Black和Scholes(1973)提出了著名的Black―Scholes期权定价模型,解决了期权定价问题,推动了金融衍生产品的迅速发展和现代金融风险管理市场的形成,为企业的风险管理提供了更为精确的工具,企业可以通过金融衍生工具市场的交易进行风险管理,既可以通过金融衍生品交易来转移市场风险,也可以通过信用衍生品的交易来进行信用风险管理。这些理论的提出,使得风险管理突破了传统模式下依靠保险转移风险的思路,开始利用风险获取收益,标志着风险管理理论开始向纵深发展。
这个阶段风险管理的对象十分繁杂,但是影响最大的则是外汇风险。布雷顿森林体系的崩溃使得汇率的波动性明显加大,原油价格的大幅上涨使得企业的生产成本难以控制,这些对于那些大型跨国公司来说影响都很大,其中外汇风险是最致命的,汇率的波动影响企业的已实现利润、持有的金融资产的价值以及预期的收入,因此以企业的预期效用最大化为原则的风险管理,在具体策略和措施的实施中也受到企业的风险态度的影响:如果企业风险管理的目的是为了减少外汇风险敞口至零,那么企业将会采取分散化的财务策略;如果外汇风险仅仅是被看成另外一个必须考虑的风险变量的话,那么企业将会采取集中化的财务策略;同时,企业在管理外汇市场中的风险时往往采取不对称的态度,即针对不同的货币,采取不同的管理行为和策略:在“软”通货中,企业会采取有利措施来抵消可能会带来的未预期损失,相反在“硬”通货中,企业偏向于保留部分正向敞口(Folks,1972;Rodriguez,1974、1978)。
金融风险管理的工具以ART为主,这是一种随着资本市场和保险市场融合而出现的、综合保险和衍生品两者特点的风险转移产品,是一系列非传统风险转移产品、风险工具和风险技术的总称,一般分为用来防范传统风险的非传统风险工具和基于资本市场的风险管理工具(James Lam,2003)。其中,专属保险公司是用来防范传统风险的非传统风险载体的重要方式,它可以为母公司提供税收减免优惠,从而提升公司的盈利能力和市场价值(Davidson和Thornton,1987、1988;Wood、Glascock和Bigbee,1988)。而Ullrich(1992)的研究揭示了专属保险公司的另外一个优势,即提供给母公司更优先的成本优势:相对于商业保险公司来说,专属保险公司能够为母公司而不是为商业保险公司提供储备基金的投资收入;为母公司在手续费和利润获取方面实现成本减少;为母公司进入再保险市场提供方便以降低交易成本;通过提供有竞争力的保险业务而进化成母公司的利润中心;协助母公司规避周期性的商业保险市场。
三、内部控制理论
实际上,内部控制理论是风险管理理论的重要分支,特别是2004年COSO颁布了《企业风险管理―整合框架》后,风险管理与内部控制的关系更为紧密,内部控制融入到企业风险管理(ERM)框架中。
(一)内部会计控制
内部会计控制是内部控制理论发展的第一个阶段。Grady(1957)指出,内部会计控制就是一个综合了组织的计划和商业中运用的协调过程的制度,用于预防未预期到的或是错误的操作带来的资产损失、检查管理决策中用到的会计数据的准确性和客观性、提升运营效率和鼓励遵守已制定的政策等。Scott(1976)则认为,内部控制不应当被看成是一个人格因素,而是应当看成是一个经营和管理环境的函数,而且环境的一个重要因素是实际行为,而不是态度,因此内部控制更强调其管理本性。
美国注册会计师协会(AICPA)是这个阶段促进内部会计控制发展的重要力量,它的一系列公告和文件,如《SAP No.1》、《SAS No.1》和《SAS No.55》等,不仅对于推动内部会计控制的完善具有积极的作用,而且对于完善、发展的方向以及具体的业务操作等都提供了有价值的意见。
(二)内部控制整体框架
1992年COSO了《企业内部控制―整体框架》,第一次系统构建了企业的内部控制体系。COSO框架下的内部控制,更多的是基于独立会计师的视角,明确指出,内部控制是由企业董事会、经理层以及其他员工影响实施的,旨在为财务报告的可靠性、经营效果和效率以及现行法规的遵循而提供合理保证的过程;同时提出了企业内部控制构成的概念,认为内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通、监督五大要素组成,由此内部控制的概念完全突破了审计的局限,向企业全面管理控制的范畴发展。1994年COSO委员会又提出了《对外报告的修改篇》,增加了与保障资产安全有关的控制,从而进一步扩大了内部控制的范围。
在COSO报告的基础上,这一阶段的研究对内控报告和内控信息披露格外重视,从而使得内控领域的研究更加具有整体化的色彩。内控报告对投资者加深对公司的全面了解具有积极作用,密切了投资者和公司之间的沟通联系,强化了投资者对公司经营能力和竞争优势的信任,增强了投资者对公司的信心(Willis,2000);内控信息的披露也间接具有分辨公司好坏的功能,那些不敢提供内控报告的公司较之那些提供了内控报告的公司来说,往往会具有更差的财务表现,同时内控报告的公布使企业能够彰显自己的核心能力和竞争策略,以图对投资者的决策施加影响,这也间接使得外部投资者能够对公司的内部控制施加影响,从而使得内部控制的发展真正进入到了全面、综合的阶段(Mcmullen,1996;Newson,2002)。
这个时期,英国的内部控制理论发展也很迅速。卡德伯利报告、哈姆佩尔报告,以及作为综合准则指南的特恩布尔报告堪称英国内部控制研究史上的三大里程碑。1992年的卡德伯利报告以内部控制、财务报告质量以及公司治理之间的关系为前提,从财务角度入手并将内部控制置于公司治理的框架下,特别强调内部控制声明的重要性,并且重视独立的审计委员会对内部控制的意义,还第一次提出了实行独立董事制度的观点,在很多领域开创了英国内部控制和公司治理的先河。1998年的哈姆佩尔报告明确提出了内部控制的目的是保护资产的安全、保持正确的财务会计记录、保证公司内部使用和向外部提供的财务信息的可靠性,认为董事对内部控制具有关键的作用,并且强调了“内部控制不局限于财务方面,而是应该包括更多的管理过程”的观点。1999年的特恩布尔报告则是英国内部控制和公司治理研究的集大成者,为公司及董事会提供了具体的、颇具可行性的内部控制指引:高度重视董事会在内部控制中的地位和作用,包括制定正确的内部控制政策、对内部控制有效性的复核以及实行正确的风险管理政策等;尤为重要的是,该报告较早地认识到内部控制与风险管理的关系并且对公司管理层在风险控制和管理中的角色进行了分析与界定,从而为内部控制向全面风险管理的发展提供了初步的借鉴。
从上述内部控制理论的发展过程来看,内部控制理论的演进经历了“平面―三维” 的过程:在内部会计控制阶段,控制环境、控制活动和会计系统三要素构成了一个平面的控制系统;在内部控制整体框架中,控制环境、控制活动、风险评估、信息与沟通、监控五要素,则演变成了一个三维的控制系统。
四、企业风险管理理论
COSO的《Enterprise Risk Management ―Integrated Framework》,是一份具有划时代意义的风险管理报告。它是在1992年《Internal Control―Integrated Framework》的基础上,结合《萨班斯―奥克斯法案》在报告方面的要求进行扩展研究而最终形成的。该报告对企业风险管理(ERM)下了一个全新的、综合的定义:“企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”,并列出了风险管理的八要素:内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控,从而为企业风险管理提供了更为具体的思路。
学术界的研究很大一部分体现在企业风险管理与公司价值的关系上。Allayannis等(2001)分析了运用衍生品进行风险管理对企业价值的影响,运用托宾Q作为企业价值的替代变量,通过对1990―1995年间720家非金融企业运用外汇衍生品情况的研究,发现运用了外汇衍生品后,企业的价值呈现正增长的态势,风险对冲的报酬对于那些在外汇领域具有风险敞口的企业来说,在统计和经济意义上都具有重要影响,比那些同样面临外汇风险敞口却不实行对冲的企业高大约4.87%的市场价值;而对于那些本身不具有外汇风险敞口,但是在经营中涉及到进出口业务的企业来说,衍生品对冲带来的市场机制提升并不明显。同时,还发现了有利的证据支持风险对冲能提升企业价值的假设。Hoyt和Liebenberg(2008)运用美国上市保险公司的资料数据,对2000―2004年期间共166家保险公司的经营情况进行了分析,得出的结论是,采用ERM的公司,其公司价值的增加具有较大的普遍性,这种价值的增加体现在公司特征上,表现在采用了ERM的公司往往规模更大,行业多样化、国际化程度更高以及财务融资能力较强等;同时,本文的研究还发现,采用ERM的公司价值比未采用ERM的公司平均高出3.6%,且在统计和经济意义的检验方面均为显性,从而证明了ERM对提升公司价值的积极作用。Kallenberg(2007)分析了风险管理对于公司价值的影响,指出随着世界经济一体化的发展,风险管理和风险交流越来越成为企业经营的重要内容。他以ABB公司为例分析了开放的、直接的风险管理对于建立公司信誉和维护公司价值的重要意义,ABB公司的股价在2001―2002年间下跌了90%,其中50%是与石棉危机有关的。
对风险管理要素的研究也受到了学者们的关注。Andreas Muller(1999)分析ERM流程的角度是成本控制,他认为ERM包括风险剥离(risk stripping)、风险地图(risk mapping)、风险组合和套期(risk packing and hedging)三个阶段。Colquitt等(1999)以实证研究的方法分析了风险经理在ERM过程中的角色及作用。Lisa Meulbroek(2002)在传统风险管理流程风险识别、风险衡量(可能性预测和后果评估)、风险策略制定和方法选择的基础上,提出了建立公司价值模型来提高风险管理能力的方法。CAS(2003)对ERM流程的分析注重了企业环境因素的影响,在传统风险管理流程的基础上,着重强调了环境分析的基础性意义,提出了ERM流程包括环境分析、风险识别、风险量化、风险整合、风险优化和利用、风险控制与评估等步骤的循环。
对利益相关者与企业风险管理关系的研究是最近的一种趋势。注重企业的社会责任、声誉风险以及可持续发展在风险管理中的应用,逐渐将这些问题纳入到企业风险管理的分析框架中,从而将风险管理的目的拓展到了利益相关者最大化方面。CAS―ERM报告(2003)就提到了企业风险管理的目的就是为了增加组织的利益相关者在短期和长期的价值;Marsiglia等(2005)、Forstmoser(2006)的研究分别从企业价值所面临的社会责任和可持续性挑战、企业声誉风险的管理问题出发,来研究风险管理问题,从而将对企业风险管理的研究扩展到了一个新的领域。
五、展望与趋势
始于2007年的次贷危机对风险管理提出了新的挑战,未来的风险管理需要在以下两个方面进行加强:
第一,企业破产风险的衡量问题。次贷危机中,很多金融机构的流动性是在极短时间内枯竭的,偿付能力在几个月中发生了根本性的变化,那么,以防范企业破产风险为直接动因的企业风险管理,该如何来衡量企业的破产风险呢?该使用什么工具来动态监控呢?
第二,风险管理工具的使用问题。本来作为风险管理工具的金融产品如CDS等,反而变成了导致企业破产的风险来源,本意是要分散、降低风险,结果反而集聚、恶化了风险,那么该如何来使用这些具有两面性的工具呢?
参考文献:
[1]Fikry S. Gahin,A Theory of Pure Risk Management in the Business Firm[J],The Journal of Risk and Insurance, 1967,34(1):121-129.
[2]Herbert S.Denenberg,J.Robert Ferrari,New Perspectives on Risk Management:The Search for Principles[J], The Journal of Risk and Insurance,1966, 33(4):647-661.
[3]J.David Cummins,Risk Management and the Theory of the Firm[J],The Journal of Risk and Insurance,1976, 43(4): 587-609.
[4]Harry Markowitz,Portfolio Selection[J],The Journal of Finance,1952,7(1):77-91.
[5]William F Sharpe,Capital Asset Prices:A Theory of Market Equilibrium under Conditions of Risk[J],Journal of Finance,1964,19(3):425-442.
[6]James Lam,Enterprise Risk Management:From Incentive to Controls[M].London:John Wiley and Sons,2003:88-91.
[7]Thomas Ullrich, Pooling Risks in a Captive Insurance Company[J], The John Liner Review , 1992, (6): 41-49.
[8]Richard R. Scott,Attribution of Internal Control[J],Journal of Black Studies, 1976,6(3):. 277-290.
[9]George Allayannis,James Weston,The Use of Foreign Exchange Derivatives and Firm Market Value[J], The Review of Financial Studies spring,2001, 14(1): 243-276.
[10]Robert E. Hoyt,Andre P. Liebenberg,The Value of Enterprise Risk Management:Evidence from the U.S. Insurance Industry[R],the Society of Actuaries, 2008.
[11]Kristian Kallenberg,The Role of Risk in Corporate Value:A Case Study of the ABB Asbestos Litigation[J], Journal of Risk Research,2007,10(8): 1007-1025.
[12]L.Lee Colquitt,Robert E. Hoyt,Ryan B.Lee,Integrated Risk Management and the Role of the Risk Manager[J],Risk Management and Insurance Review, 1999,2(3): 43-61.
[13]Lisa Meulbroek.Integrated Risk Management for the Firm:A Senior Management’s Guide[R],Harvard Business School Working papers. 2002.
[14]Casualty Acturial Society Enterprise Risk Management Committee,Overview of Enterprise Risk Management[R].2003.
