时间:2023-07-10 09:25:40
引言:寻求写作上的突破?我们特意为您精选了12篇企业风险与合规范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
(一)合规风险的含义。2005年4月29日,巴塞尔银行监管委员会了《合规与银行内部合规部门》高级文件。该文件虽未直接对“合规”一词的概念进行界定,但却指出:“本文件所称‘合规风险’是指,银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行自身业务活动的行为准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。”我国证券监督管理委员会在2008年7月14日的《证券公司合规管理试行规定》也对“合规风险”进行了定义:“合规风险”是指因证券公司或其工作人员的经营管理或执业行为违反法律、法规或准则而使证券公司受到法律制裁、被采取监管措施、遭受财产损失或声誉损失的风险。例如,证券公司在经营过程中违反证券公司客户交易结算资金第三方存管规定而受到监管当局的制裁,证券公司违反客户隐私保护、侵犯客户利益等有关规定而被,证券公司因未能遵守国家劳动就业法规或者税收法规而受到处罚并影响其声誉等。从内涵上看,合规风险主要是强调因为各种自身原因主导性地违反法律法规和监管规则等而遭受的经济或声誉的损失。这种风险性质更严重,造成的损失也更大。
(二)证券公司合规风险的分类。证券公司合规风险可以进行如下分类:一是制度风险:主要是由于内部制度的制定、更新跟不上外部法律、法规及监管要求变化而造成制度缺陷的风险;二是内控缺失风险:主要是证券公司缺乏有效的内控管理,一些重大决策完全是某些领导的个人意愿而导致损失的可能性;三是执行风险:指因内部控制失效,交易或管理系统操作不当或缺乏必要的后台技术支持而导致的损失;(4)法律风险:是由于证券公司经营过程中超越法定权限的行为而导致损失的风险。
二、我国证券公司合规风险管理中存在的问题
(一)合规风险意识不强,忽视合规风险控制。我国的证券行业发展时间尚短,因此在风险管理、风险控制等方面的能力存在缺陷,驾驭风险的经验和意识严重不足。作为企业,盈利是其最终目的,而追求高利润、高回报是近年来整个证券业出现系统性问题的源头。然而在追求高利润、高回报的同时,证券公司却对于公司内部风险控制和管理存在着很多误区:一是风险管理控制部门定位缺失。虽然我国的证券公司均成立了风险控制部门,但这些风险控制部门很大程度上是因为监管部门在政策法规上对证券公司内部风险控制和管理方面作了硬性规定而被迫成立的。由于这些部门并不直接给证券公司创造经济效益,因此往往是处于流于形式或者是应付监管部门的检查的尴尬境地;二是人力资源配备不足。从我国证券公司现行的组织体系表面看对合规管理有所涉及,如监事会、独立董事制度等,但由于缺乏系统性、强制性的专职机构与人员,缺乏有效的组织保障和科学的运行程序,因此合规管理效果很不理想。
(二)合规管理缺乏有效的考核。证券公司在其激励考核指标的设计上,风险尤其是合规风险指标的权重小、占比低;而且,合规操作本身没有得到应有的重视,发展性的业务量指标仍然是考核体系的主导,合规行为本身所创造的价值并没有在证券公司的价值体系中得到形式和程度上的体现。虽然在《证券公司合规管理试行规定》中明确规定证券公司合规管理人员的工资水平不低于同等岗位的平均工资水平,但在实际发放过程中,合规管理人员的工资水平并未达到平均水平。证券公司合规考核也基本停留在制度建设上,没能将合规考核与证券公司的长期发展相结合。
(三)责任追究效果难发挥。随着证券公司合规风险管理的进一步规范化和专业化,公司内部控制部门对于违规问题的揭示程度也在不断深入,但在相关问题的处理上,责任追究力度相对不足。目前来看,证券公司合规风险的责任追究已经出现了以下不良的倾向:一是合规风险处理责任单位不够明确,很多证券公司对于责任追究往往只是结合合规部门的意见,由公司人力资源总部和相关业务部门对违规人员进行处罚,致使合规处罚和责任追究处理分寸把握各不相同;二是在处罚种类上,表现为分支机构或者公司内部处理多,行政处罚少;三是在处罚对象上,表现为对具体人员的处理多,对分支机构的处理少;四是在层次上,表现为对基层操作人员处理多,对高级管理人员处理少。以上种种不良倾向导致证券公司在合规管理责任追究的实际落实中很难有良好的警示效果。一些人员和分支机构在违规时往往不会受到合规处罚,而另一部分人一旦遭到合规处罚,往往抱怨待遇不公,而不会查找自身原因。在违规责任得不到有效追究的情况下,合规管理的权威性、有效性和执行的严肃性都会受到潜在的、不可避免的动摇。进而,会对公司管理层或者决策层的违规行为形成事实上的纵容。一旦所谓的机会出现,他们就会冒着巨大的风险进行违规操作。而当冒险失败时,整个证券公司也就走到了尽头。
(四)证券公司整体合规风险管理文化氛围不浓。我国证券公司实施合规风险管理将是一个长时间的过程。合规风险管理的实施联系着公司企业文化、管理文化的重塑,涉及各个部门、各项业务、各种产品的全方位风险管理理念。然而,目前我国证券公司没能形成一套具有很强执行力的制度,以至于至今没有形成严格、有效执行内部管理制度的公司传统习惯或公司文化,造成合规文化缺失。合规文化培育是合规风险管理体系能够顺利实施的内部环境基础,必须通过改革旧有的制度范式、变革落后管理理念方法才能实现。而这个触及公司根本的改变涉及到公司的各个角落、各个业务、各责任人,这势必损害部分人原有的利益关系,同时也意味着合规文化的培育面临巨大障碍。
(五)风险预警及风险评价系统的缺乏。我国证券公司普遍缺乏风险预警体系,主要表现为:各个证券公司没有一套符合自身业务要求的风险监视和度量控制模型,不能及时、准确地了解证券公司财务风险和业务风险状况,实现对证券公司的全过程监管。当证券公司某个控制环节出现问题时,往往不能及时发现。随着问题的逐步扩大,还会影响到其他控制点风险的产生,并最终导致整个内控体系的无效。同时,证券公司缺乏一套有效的风险评价系统,不能对证券公司的内部控制体系作出客观的评价。
三、加强证券公司合规风险管理的措施
(一)健全合规机构和合规队伍。合规机构和合规队伍的建设涉及到证券公司的董事会、高级管理层、具体职能部门和具体合规人员等各个层面。
1.董事会层面。巴塞尔银行监管委员会在《合规与银行内部合规部门》中专门规定了董事会的合规职责,包括审批合规政策并确保其制定适当,监督合规政策的实施,在全公司推行诚信与正直的价值观念等。证券公司董事会可以设置专门的合规委员会或要求审计委员会承担上述职责。
2.高级管理层层面。巴塞尔银行监管委员会在《合规与银行内部合规部门》中指出,“每家银行应该有一位执行官或高级职员全面负责协调银行合规风险的识别和管理,以及监督其他合规部门职员的工作”,该执行官或高级职员被称为“合规负责人”。合规部门的负责人必须是专职管理人员或者是证券公司内部的高级管理人员,但不能参与证券公司的业务处理,能够全面协调证券公司合规风险的识别与防范,定期向高层汇报合规风险分析报告,并对合规部门负责。
3.合规部门层面。合规部门是合规工作的职能部门,是合规管理体系的重要组成部分,保持其独立性是最重要的原则。
(1)合规部门在证券公司内部应有正式地位,证券公司根据自身的实际情况在公司章程或者正式的文件中应明确规定合规部门的地位、职权以及独立性。董事会或者高级管理层有责任指导有关合规风险的管理工作,审核证券公司有关合规方面的制度,并对其负责。
(2)合规部门虽然授予其独立性,但是它的履行情况应受到证券公司内部审计部门的监管。内审部门与合规部门应当分离,以保证对合规部门的工作进行独立的考核,审计部门也要将与合规有关的所有审计调查结果及时告知合规负责人或者相应的高层领导。
(3)合规部门应根据合规方案履行其职责,确定合规部门的日常工作计划,定期考核评级。如具体政策和程序的实施与评审,合规风险评估,合规评估的方式以及对员工合规文化的教育与培训等。制定合规方案应以风险为本,并受到合规负责人的监督,以确保部门之间的相互协调。
人力资本的形成源于人力资本投资。人力资本投资既有与其它资本投资形式所共有的资本投资特性,又有着自己的独特性。这种独特性主要表现为:
(一)投资主体的多元性
在现代社会中,不同国家和地区的公共支出中都有很大一部分是对教育、健康设施或服务的支出,这使政府理所当然地成为一个投资主体。如果再考虑企业,人力资本的投资主体必然具有多元性的特征。
(二)投资客体的不确定性
人力资本的投资客体是人。由于人力资本与其承载者不可分离,因此,相对于物质资本而言,人力资本效能的发挥更具有不确定性,所有影响人类行为的因素都有可能影响人力资本效能的发挥。
(三)投资行为的长期性
人力资本投资属于一种周期较长的投资。投资周期长本身就意味着不确定因素增多,使投资的风险加大。短期看来,较好的投资项目有可能经不起时间的考验。除去一般性的市场风险外,还有来自投资客体的风险。
(四)投资收益的间接性
人力资本投资的直接结果是人力资本存量的增加,它必须通过与物质资本存量的有机结合,才能产生经济与社会效益。因此,人力资本投资并不直接作用于生产过程,也不直接生产物质财富,投资收益也不能通过物质生产过程直接反映出来。而且,人力资本投资的收益不是全部以使用价值的形式体现出来的,有相当一部分表现在非经济方面。投资收益的间接性与投资主体的多元性并存,使建立明晰的人力资本产权结构成为困难,有可能加剧投资风险。
二、人力资本投资风险的类型
(一)道德风险
这种风险是由投资主体的多元性和投资者与收益者的不一致性引发的。人是有主体意识的,不同的人具有不同的价值取向和个人目标。因此,当人力资本外流时,作为凝结在劳动者体内的知识、技能及其表现出来的能力的人力资本与其具有不可剥离的特性,从而使投资者遭受损失。从某种意义上来说,这种投资风险就是道德风险。
(二)中断风险
这种风险是由投资的不连续性引发的。人力资本投资的连续性体现为在生命历程的各阶段上都要进行人力资本的投资。一个人在完成一定的正规教育之后,即进入社会从事生产劳动,需要接受各种在职培训,退出劳动过程还要参与多种继续教育,不能因为处于生命历程中的某个阶段而中断人力资本投资,中断即是人力资本的贬值。
(三)产出风险
这种风险是由投资的长期性引发的。同样的人力资本投资。其回报往往差异很大,这与物质资本投资结果有着根本不同。人力资本投资是渐进性分阶段进行,而且属于一种周期较长的投资。投资周期长本身就意味着不确定因素增多,使投资的市场风险加大。
(四)折旧风险
这种风险是由投资效益的滞后性引发的。随着科技的发展,商品价值中来自直接劳动的部分成为从属要素,相反,商品价值的高低却主要取决于科学技术的进步及其在生产中的运用。因此,科技进步导致的人力资本投资风险的损失是惊人的。
三、人力资本投资风险的规避
从人力资本投资的特点出发,并结合不同的风险类型,减少人力资本的投资风险应考虑以下几方面:
(一)通过划分人力资本的投资领域,减少由于投资主体的多元化所引起的风险
尽管人力资本投资收益具有间接性和不易精确计量的特点,但是我们可以根据投资目的不同,通过对投资领域的划分,在最大程度上使人力资本的产权得以明晰,从而化解由于投资主体的多元性可能引发的在未来利益分配中的矛盾,以减少投资风险。企业作为盈利性组织,进行人力资本投资的主要目的是通过对员工知识的更新来不断提高企业的生产能力,从而实现利润最大化。因此,企业的投资对象主要是企业内部的员工,投资的领域是能够为企业带来收益的、企业发展所需要的专业性劳动技能。由于人力资本是存在于人体之内、与人不可分割的。因此,人力资本的承载者也就成为人力资本的天然所有者,也理应成为最主要的投资主体和风险承担者,这也是使产权关系简单化的根本途径。
(二)通过对企业外部和内部环境的把握与调整,减少投资客体的不确定性带来的风险
1 把握外部环境变化趋势,降低投资行为的盲目性
企业要仔细研究国家政治倾向和政府的产业政策,制定企业中长期的人力资本投资计划,保证企业在未来政策环境变化中对人力资本在数量和质量上的要求,使企业和个人得到长远发展。与此同时,企业也要加强市场调查研究,预测企业产品的市场需求量、价格水平等不确定因素,确定企业对人力资本投资不足影响企业正常生产的风险。
2 优化内部环境,降低投资载体的流动性
(1)建立或完善考评激励机制,调动投资客体的积极性。投资主体必须根据员工需求的多样性、层次性制定或完善科学合理的、全方位的考评及激励机制。首先,让绩效考核思想深入员工,让员工明白考核是实事求是地发现员工的长处、短处,以使其扬长避短,不断改进。其次,建立完整的绩效管理体系。企业在进行绩效考核时,应该建立一套关于绩效考核的管理流程,使其成为解决绩效考核的依据。再次,考核要有个性化。个性化就是根据每个员工的不同工作环境:结合公司的发展远景,而实施的不同的考核方式和考核目的。
(2)加强企业文化建设,增强企业的凝聚力。通过文化建设使员工与企业目标、价值观和企业精神相一致,从而尽量缩小企业与员工之间在人力资本投资方面的分歧,进而使投资收益能达到最大化。企业文化的形成是一个长期的过程,一旦形成之后,则会对企业的持续稳定发展奠定基础,使企业做到“事业留人,感情留人。政策留人”。通过企业文化建设,可以增强劳动者对企业价值观的认同,从而减少人力资本投资风险。
从20世纪90年代初开始,国内掀起了多元化经营浪潮,海尔、中信等国内知名企业迅速崛起。从发展实际来看,大多数企业实施多元化经营战略的主要动机有两个:一是进攻型的,到新的领域去获取更多的利润;二是防御型的,将部分资源配置在不同领域以规避风险。因此,多元化经营如何实现同等收益下风险最小化或同等风险下收益最大化,就成为企业迫切需要解决的问题。
一、投资组合与企业多元化经营理论分析
1.投资组合
(1)投资组合概述。投资者在进行投资时,并不把其所有资金都投资于一种证券,而是同时持有多种证券,即投资组合。投资组合的有效性建立在对不同证券投资风险与收益分析的基础上,实现风险不变收益提高或收益相同风险较低的目标。
(2)投资组合风险分类。①可分散风险。某些因素对单个证券造成经济损失的可能性,如个别公司工人罢工,公司在市场竞争中的失败等。这种风险可以通过证券持有的多样化来抵消。②不可分散风险。是由于某些因素给市场上所有的证券都带来经济损失的可能性,如宏观经济状况的变化、国家税法的变化、国家财政政策和货币政策的变化都会使股票报酬发生变动。这些风险不能通过投资组合分散掉。
2.企业多元化经营
(1)多元化经营概述。多元化经营是当整个产业趋于成熟以及竞争成本过高的情况下,企业考虑既有事业范围之外的成长,是企业进入与自己原有经营业务相关或不相关的新的产业或经营领域,以充实系列产品结构或者丰富产品组合结构的经营模式。
(2)多元化分类。①水平多元化。企业利用现有市场,向水平方向扩展生产经营领域,进行产品、市场的复合开发,从而达到规模经济的目的。②垂直一体化。企业进入生产经营活动或产品的上游或下游产业,形成一条龙式的生产经营态势,以节约交易成本提高企业整体的盈利水平。③同心多元化。企业利用现有技术、特长经验及资源等,以同一圆心扩展业务。同心多元化的相关性佳,协同效应强,有较大的获利性和较低的风险性。④混合多元化。企业进入与现有经营领域不相关的新领域,在与现有技术、市场、产品无关的领域中寻找成长机会。混和多元化的相关性差,协同效应弱,企业难以管理多种不同业务,无法获得战略匹配带来的优势。
3.多元化经营与投资组合对比分析
(1)投资行为对比。证券投资是通过虚拟资本的投资介入新的行业与市场,投资者根据自身对风险的厌恶程度,选择多种证券进行组合;多元化经营则是企业进行的实业投资,是通过介入不同的业务领域,实现行业经营的多元化。
(2)投资目的对比。证券投资的主要目的就是获得投资收益,因此,证券投资决策的目标是投资收益最大而风险最小。多元化经营目的是为了企业的持续成长,是通过跨行业投资,实现行业互补,从而规避经营中的风险。其中:
①不可分散风险。市场上所有的证券由于宏观环境影响可能造成损失;多元化经营中同样容易受宏观经济不景气的打击,造成整个企业亏损甚至倒闭。
②可分散风险。由于各种不确定性因素的存在,单个证券投资是存在风险的,在不同情况下,证券投资可能会得到不同的投资收益,进行投资组合可以规避单项投资带来的风险,从而实现收益的最优化。企业多元化经营将资源分散到不同产品或行业经营中,避免经营范围单一造成企业过于依赖某一市场,使企业在遭受某一产品或经营领域的挫折时,通过在其它产品或行业的经营成功而弥补亏损,从而提高企业的抗风险能力,并尽量减少风险损失。多元化进入技术、机构、职能活动或销售渠道能够共享的经营领域,可以由于范围经济而使成本降低。
二、企业多元化经营风险规避模型设计
在分析了投资组合与多元化经营的相似之处后,基于投资组合中业已成熟的理论,把相关变量重新定义并引入新的影响因子。该模型运用于企业的多元化经营的实践中,指导企业如何通过最优化的跨行业组合,有效降低经营风险以实现企业的持续成长。
1.企业多元化经营模型假设条件
(1)竞争市场是有效的。各行业的行情反映了其内在经济价值,每个经营者都掌握充分的行业信息,了解各个行业的期望收益率及其方差。
(2)经营者投资某个行业的目标是在给定风险下收益最大,或者在给定收益水平下风险最低,即经营者都是厌恶风险的。
(3)行业经营者以期望收益率以及收益率的方差作为选择经营方案的依据。如果要他们选择风险方差较高的方案,都要求有额外的投资收益率作为补偿。
(4)各行业的收益率之间有一定的相关性。它们之间的相关程度可以用相关系数或者收益率之间的协方差来表示。
2.企业多元化经营模型变量说明
(1)多元化经营投资的概率(Ei)。第i个行业在多元化经营中所占的投资比例,其投资组合的概率之和为1。
(2)多元化经营的期望报酬率()。各个行业的期望报酬率以其投资比重为权数计算出来的加权平均数。假定在经营中通过不同行业组合,收益率达到预定目标,即。
(3)多元化经营的方差。方差越大,表明多元化经营组合的投资收益的不稳定性越大,相应的投资风险也就越高,反之则越小。影响标准离差的因素包括,经营者所处的市场竞争环境,市场中各行业竞争的激烈程度,经营者预期的收益及概率等。
(4)多元化经营的行业间的协方差(σij)。是反映多元化经营中行业间相关程度的指标,即行业间的互补情况。随着企业多元化经营中包括行业数量的增加,单个行业的标准差对整个企业多元化经营总体的标准差造成的影响越来越小,而各个行业之间协方差造成的影响越来越大。当企业多元化经营中包括行业数量的增加时,单个行业的标准差对整个企业多元化经营总体的标准差造成的影响程度趋向于零。这就意味着通过跨行业的经营,可以使隐含在单个行业中的风险得以分散,从而降低多元化经营的总体风险。
(5)行业进入壁垒影响因子(F)。进入壁垒是在一种产业中,原有企业相对于潜在进入企业的优势。
3.企业多元化经营均值――方差模型
(1)企业经营n个行业的期望报酬率为:
――多元化经营的期望报酬率
Ei――第i个行业在多元化经营中所占的比重
Ki――第i个行业的期望报酬率
n――多元化经营的行业总数
(2)多元化投资n个行业的风险用组合的方差表示为:
――多元化经营的方差
σij――第i j两个行业的协方差
Ei――第i个行业在多元化经营中的比重
Ej――第j个行业在多元化经营中的比重
(3)行业进入壁垒影响因子
行业进入壁垒=F{结构性进入壁垒,行为性进入壁垒,政策性壁垒}
结构性壁垒=f{规模经济,资本量门槛,绝对成本优势,产品差异化}
(4)多元化经营的优化组合模型
①在一定的预期收益率下,行业组合的方差越小越好。
②在组合一定风险的情况下,行业组合的收益率越大越好。
三、结束语
多元化经营是企业实现持续成长可采用的发展模式之一,证券投资组合相关知识给了多元化有益的借鉴。本模型说明,只要行业间不具有完全的正相关关系,多元化经营的风险就一定小于单个行业经营风险的加权平均值。因此,降低风险的有效途径是选择相关程度较低的行业进行多元化经营。
本世纪初以来,以不确定性为基本研究对象的企业风险管理(enterprise risk management,erm)理论逐渐进入我国实业界和研究者的视野。2006年6月,国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该《指引》的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。 一、企业风险管理理论概要及在我国的规范化实施
1.企业风险管理(erm)理论的一般框架。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(committee of sponsoring organizations of the treadway commission,coso)在2004年9月提出的,标志文书是《企业风险管理——整合框架》(enterprise risk management integrated framework,下称《整合框架》),这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。coso认为,企业风险管理是经由企业当局广泛参与,对企业面临的不确定性进行多要点掌控,以实现组织目标的过程。
《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部 环境 、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的erm框架是通过对不确定性的管理增加股东价值,以共同的 语言 和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。
2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等 法律 法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威 指导 文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、 财务 风险、 市场 风险、运营风险、法律风险等。
《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。
二、企业风险 管理 理论 本土化过程中应注意的问题
1.找到切合实际的本土化切入点
一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析 总结 的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、 历史 传承、 文化 特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
2.建立起具有可操作组织规范
企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的 药 方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。
3.培育良好的气氛和合格主体
一般讲,一个良好的适合于特定企业的erm氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与 企业战略 有机联系;二是能够保证企业的风险管理战略、企业的 发展战略 与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险 语言 ,和畅通的沟通管道。任何一个erm框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。
参考文献:
《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部环境、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的ERM框架是通过对不确定性的管理增加股东价值,以共同的语言和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。
2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威指导文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、财务风险、市场风险、运营风险、法律风险等。
《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。
二、企业风险管理理论本土化过程中应注意的问题
1.找到切合实际的本土化切入点
一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析总结的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
2.建立起具有可操作组织规范
企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的药方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。
3.培育良好的气氛和合格主体
一般讲,一个良好的适合于特定企业的ERM氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与企业战略有机联系;二是能够保证企业的风险管理战略、企业的发展战略与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险语言,和畅通的沟通管道。任何一个ERM框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。
参考文献:
[1]滕青:我国企业风险管理框架构建[J].经济管理,2007,(3):45~48
[2]陈颖杰赵阳:谈企业整体风险管理[J].商业经济研究,2007,(28):44~45
一、企业风险管理框架分析
企业风险管理的基础性前提是每一个主体的存在都是为其利益相关者提供价值。所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值奋斗的同时,要确定承受多大的不确定性。管理当局依据不确定性,制定战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所有主体的目标的过程中高效率和有效地调配资源,以使价值得以最大化。通过COSO给出的企业风险管理的框架,可知企业风险管理是一个过程,持续地流动于主体之内;由组织中各个层级的人员实施;应用于战略制定;贯穿于企业,在各个层级和单元应用,还包括采取主体层级的风险组合观;旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内;能够向一个主体的管理当局和董事会提供合理保证;力求实现一个或多个不同类型但相互交叉的目标。
(一)企业风险管理的目标COSO报告将企业风险管理的目标归纳为:战略目标、经营目标、报告目标、合规目标。战略目标规划企业经营管理活动所必须长期坚持的有效愿景。经营目标涉及到企业经营的效果与效率,包括业绩指标与盈利指标,旨在提高企业有效及高效地利用资源的能力。报告目标关注企业报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息。合规目标是最基础的目标,考察企业经营遵循相关的法律法规的情况。其中,战略目标层次最高,反映了管理者为努力实现利益相关者创造价值的目标而做出的选择。
(二)企业风险管理的构成要素企业风险管理包括八个互相关联的要素,这些要素来自管理层经营企业的方式,并和管理流程整合在一起。包括:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通及监控。宏观上,内部环境是企业风险管理的基础,为企业风险管理其他组成部分的顺利运行提供了平台。目标设定是全面风险管理的起点,是其他要素的驱动力量。在目标设定的前提下,对影响目标的风险进行事件识别,进而对识别的事项进行风险评佑,风险评估驱动风险反应,影响控制活动,信息与沟通和监督贯穿于企业风险管理的整个过程,并对各个组成要素进行修正。这样,企业风险管理就成为了一个多元化、多方向的、不断重复、相互作用动态的过程。
(三)企业风险管理框架评析认定一个主体的企业风险管理是否“有效”,除了目标制定上的正确性外,还要判断其构成要素是否存在,且有效运行。构成要素如果存在并且正常运行,就可能没有重大缺陷,而风险则可能已经被控制在主体的风险容量范围之内。如果确定企业风险管理在所有四类目标上都是有效的,那么董事会和管理当局就可以合理保证了解主体,并实现其战略和经营目标及主体报告的可靠性以及符合适用的法律和法规。
在ERM框架中,内部审计人员在监督和评价内部控制及相关成果方面承担着重要任务,必需协助管理层和董事会监督、评价、检查、报告和改革ERM的运行情况,这对内部审计人员的能力提出了更高的要求。对内审人员而言,最大的挑战是在ERM中扮演何种角色。但COSO报告认为内审人员不应对建立ERM体系承担主要责任。这可能使内审人员的职责从原来对CFO和内审委员会负责转变为对CFO、内审委员会和风险主管负责。从ENM框架中,笔者发现,其新增加了一个角色――风险主管或风险经理。风险主管除了需要和其他管理人员一样,在自己的职责范围内建立起风险管理外,还要帮助其他经理人报告企业风险信息,成为风险管理委员会的成员之一。可见,风险管理框架的运用对管理层进行了重新配置,加强了管理人员的风险意识,深化了内部控制,同时明确内部审计是风险管理的高层确认者、是对风险管理的再管理。
二、企业风险管理与内部审计的关系
对比COSO制定的ERM概念与IIA修定的内部审计定义,不难发现,企业风险管理框架主要应对潜在的事项,将战略决策贯穿于整个企业实施的过程中,将风险控制在企业偏好的容量限度内,并为企业目标的实现提供合理的保证。因此,风险管理框架下的内部审计关注的核心是企业在实现其自身目标下所经历的各类风险,以及风险大小的测量、风险预警系统的设置情况。
(一)风险管理框架下的内部审计应用效果分析第一,内部审计不同于单纯的财务审计及管理审计,而是融风险管理。公司治理和内部控制的审查于一体,更关注企业在整个治理过程中的决策风险和经营风险。第二,内部审计的职能更加明确。西方业界的“外包化”理念迅速地传至中国,通过外包,企业可以利用民间审计的优势资源和较低的成本为企业服务,这在一定程度上抢占了内部审计人员的业务。生存危机使内部审计部门必须努力寻求自身的存在路径,为企业组织提供独特的增值服务。而在风险管理框架下,企业雇员利用对企业具体经营模式的高度熟悉度及忠诚程度从民间审计CPA事务所手中夺得审核企业的权利,凸显了其优势i通过咨询与鉴证服务,内审人员制定出适合企业的专用审计方案,帮助企业快速作出决策,并提高决策的科学性、实用性,使审计人员的职能更加
明晰突出。第三,内部审计拓展了风险管理的工作范围。传统审计所提供的保证服务通常是事后对某一领域或事项的评价;而风险管理则是对可能影响组织的潜在事件的管理,贯穿于事前、事中、事后并覆盖整个企业。这使内部审计逐渐形成了基于战略计划和风险评估而制定的,向管理层提供确认和咨询的主动服务方式。风险管理框架下的内部审计为强化公司治理及健全内部控制提供了良好的沟通桥梁,促进了公司治理与现代内部控制的协同与整合,有利于企业内部受托责任委员会定期开展评价活动。
(二)内部审计对风险管理框架的促进作用内部审计在企业风险管理中的首要角色是监督者,包括对风险流程的识别评估,对最终产品流程报告的评估和对关键风险管理的预测。在企业风险管理框架中,内审人员首先要针对企业所处行业的特点及企业自身的优势劣势进行SWOT分析,制定出适合企业发展的战略计划,然后识别出可能影响企业运营的事项。为识别这些事项,必须对风险进行评估。可运用“风险坐标图”进行评估。在风险坐标图上,风险的类型和程度均予以标明,通过风险坐标图,可以指明在哪些领域、哪些关键业务上公司的风险比较大,可能会产生不利影响。在明晰和估测风险后,可利用一些模型、软件来测算风险的大小,如果风险值在风险的容量内,该方案就是可行的,否则就需重新设计方案,重新进行优化选择。
此外,内部审计的成功实施还会对企业文化的积淀起着积极的促进作用。企业文化是一个企业在长期生产经营中倡导、积累,经过筛选提炼成的,是企业的灵魂和潜在的生产力,是打造企业核心竞争力的战略举措。企业在不断应对风险的过程中,通过制定的战略规划,建立起企业风险管理文化,而内部审计的职能则由单纯的监督检查的保护性职能向与咨询服务的建设性职能并重转变,使企业的风险管理文化日趋成熟。
三、企业风险管理框架的构建
目前,许多国内企业开始积极进行风险管理建设的尝试,在一定程度上增强了企业抗风险的能力。但总体上,国内企业对风险管理的意识还比较淡薄,这客观上促使我国要在现有的关于企业内部控制及审计准则的基础上建立一套比较系统的、完善的中国企业风险管理框架,来指引和规范当前企业的运营及长远发展。国资委2006年6月的《中央企业全面风险管理指引》正是为推进风险管理建设做出的有益尝试和重大突破。由于我国实行的是以公有制为主体,多种所有制经济共同发展的社会主义市场经济体制。国有经济、集体经济及混合所有制经济并存,体制结构较为复杂。参照《中央企业全面风险管理指引》,可以区分不同的经济体制,分别进行风险管理框架的构建。
一、内部控制的内涵、基本原则
1.内部控制的内涵、侧重点
(1)内部控制的内涵。内部控制是指企业的内部管理控制系统,包括为保证企业正常经营所采取的一系列必要的措施。内部控制贯穿于企业经营活动的各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。
(2)内部控制的侧重点。要加强企业内部控制,提高内部控制的水平,需从以下侧重点抓起。
①内部控制具有一定的目的性,为达到某种或某些目标而实施。
②内部控制是为达到某个或某些目标而进行的过程,且是一种动态的过程,是使企业的经营依循既定的目标前进的过程。它本身是一种手段而非一种目的。
③内部控制与企业经营活动相互交织,为企业基本的经营活动而存在。
④内部控制深受企业内部和外部环境的影响,环境影响企业控制目标的制定与实施。
⑤企业中的每一名员工既是控制的主体又是控制的客体,既对其所负责的作业实施控制,又受到他人的控制和监督。
⑥所有的内部控制都是针对“人”而设立和实施的,企业内部会形成一种控制精神和控制观念,直接影响到企业的控制效率和效果。
2.内部控制的基本原则
了解及坚持内部控制的基本原则,有利于企业组织内部加强内部控制、降低企业非系统风险,从而促进企业安全运行。内部控制的基本原则包括:
(1)内部控制应涵盖企业内部的各项经济业务、各个部门和各个岗位。
(2)内部控制应当符合国家有关法律法规和本企业的实际情况,任何部门和个人都不得拥有超越内部控制的权力。
(3)内部控制应当保证企业内部机构、岗位及其职责权限的合理设置和分工,坚持不相容职务相互分离,确保不同机构和岗位之间权责分明、相互制约、相互监督。
(4)内部控制应当正确处理成本与效益的关系,保证以合理的控制成本达到最佳的控制效果。
二、依托COSO理论构建内部控制整体框架
1.COSO理论框架内容
2003年7月,美国COSO委员根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft), 2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM),标志COSO委员会最新的内部控制研究成果面世。
COSO企业风险管理的定义 :“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。
2.构建内部控制整体框架
(1)企业风险管理的目标体系。新COSO报告将企业风险管理的目标归为战略目标、经营目标、报告目标、合规目标四类。战略目标,与企业的使命相一致,企业所有的经营管理活动必须长期有效的支持该使命;经营目标,与企业经营的效果与效率相关,包括业绩指标与盈利指标,旨在使企业能够有效及高效地使用资源;报告目标,该目标关注企业报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息;合规目标,是最基础的目标,指企业经营是否遵循相关的法律法规。
(2)企业风险管理的要素构成。在内部控制整合框架五个要素的基础上, COSO企业风险管理的构成要素增加到八个:①内部环境;②目标设定:③事项识别;④风险评估;⑤风险应对;⑥控制活动;⑦信息与沟通;⑧监控。八个要素相互关联,贯穿于企业风险管理的过程中。
(3)企业风险管理目标与要素的联系。目标是指一个主体力图实现什么,企业风险管理的构成要素则意味着需要什么来实现它们,二者之间有着直接的关系。此外,新COSO报告还强调在整个企业范围内实行风险管理。这种关系可以通过一个三维矩阵以立方体的形式表示出来。
3.COSO框架理论对中国的启示
(1)成立风险管理标准委员会,形成多元民主的制定机制。
(2)建立以风险为导向的“中国企业内部控制框架”,向构建“中国企业风险管理框架”自然过渡。
(3)各界根据风险管理框架,制定或修订各自的风险管理规范。如果“中国企业风险管理框架”能够及时推出,各部门、系统据其修订或制定相应的风险管理文件是解决问题的最理想方案。
三、萨班斯法案对我国内部控制的借鉴
1.我国内部控制现状
(1)企业内部控制环境急需建设。我国企业内部控制普遍存在一下问题:内部控制意识淡薄;人员素质较低;组织机构设置不合理;企业制度不健全;没有形成法制制约的大环境,还没有真正形成有法可依、执法必严、违法必究的大环境。
(2)控制不力。在我国企业中,财务与会计合署办公、会计人员素质较低、责权不对等、风险控制意识较弱、监督不强、信息交流不畅通等问题普遍存在,今后要特别注意开发与引进先进的企业财务与管理软件,逐步建立高质量的企业信息沟通系统。国内也有不少由于内部控制缺失导致经营风险的案例,比如亚细亚、中航油、中储棉、国储铜等事件,折射出了我国企业内部控制严重缺失,风险管理水平低下,监管缺位等管理上的弊端,给企业和国家造成了重大损失。
2.管理者责任
法案突出了内部管理者的法律责任,一旦出了问题,管理者不但要在经济上受到处罚,而且要追究刑事责任。建议我国也应界定管理当局的责任。管理层必须承担公司内部控制有效性的责任,并运用恰当的控制标准(如COSO标准)来评价公司内部控制的有效性,对形成的评估结果有足够的证据支持,同时签署一份关于公司内部控制有效性的书面申明。
3.建立管理者定期评价内部控制机制
(1)健全法律法规,对内部控制有效性进行强制性规定。近年来,财政部、证监会等国家监管部门陆续在2001年和2008年了我国《内部会计控制规范》、《企业内部控制基本规范》等相关法规,对于加强我国企业内部控制和风险管理起到了规范和指导作用。今后,还应在遵循以上法规和加强企业内部控制过程中,不断总结经验、分析教训产生的原因,学习其他国家相关法律法规的先进之处,逐步改进和健全我国加强内部控制和防范企业经营风险的法规体系,促进企业健康发展。
(2)制定科学规范的评价标准。由于缺乏一套完整的内部控制体系,造成内部控制有效性评价流于形式。因此,投入一定的人力、物力、财力,尽早建立一套完整的、公认的内部控制标准,使内部控制评价有章可循是必要的。
(3)统一内部控制规范的内容。目前我国理论与实务界没有对内部控制的内容形成一致的意见。我国内部控制的内容范围与COSO报告相比,还有相当的距离。有关内部控制规范的内容主要集中在会计领域,内部控制贯穿于整个生产经营全过程,企业的环境、文化理念、经营哲学等控制环境与风险因素都应纳入企业内部控制的范围来予以考虑。
四、企业风险管理理论基础及与内部控制的关系
1.企业风险管理理论基础
(1)战略管理理论。战略管理包含四个关键流程:战略分析;战略选择;现代企业风险管理框架研究战略实施;战略评价和调整。企业在实行战略管理的过程中,风险始终伴随其中,其成功实施需要风险管理的密切配合。两者是有机结合,相互交融的。
(2)系统论。系统论的观点和方法为我们建立风险管理系统结构提供了理论依据。风险管理由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个要素构成并相互影响的动态的过程,在企业的生产经营管理中发挥着重要作用,是一个系统,与其他系统一样具有整体性、联系性、层次性、目的性、环境适应性、动态性的特征。
2.企业风险管理与内部控制的关系
内部控制是风险管理的基础和本质要求,风险管理是内部控制的自然延伸与升华,二者现阶段是相互交叉融合的,只是在不同行业、不同时期、企业的不同层次,企业对内部控制和风险管理的强调各有侧重。
(1)行业本身特性。从事金融业的企业一般都非常强调风险管理的重要性,对风险管理的需求也就更迫切,因而以风险管理主导内部控制可能更方便。对于其它一般性制造企业等来说,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
(2)企业所处的生命周期。在初创期,企业高管层一般更加重视内部控制的强化。在成长期,企业面临的经营风险与市场风险也越来越大,以风险管理主导内部控制的管理模式可能更利于企业的发展。企业进入了成熟期,此时企业一般会努力健全组织体系与制度体系,在内部控制上会加大力度。在衰退期,企业的规模大但包袱沉重,内部控制成了企业高管层无法逃避的现实问题。
(3)企业内部不同层次。从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性各有不同。在战略风险方面,风险管理发挥主导作用,内部控制起到配合作用。到财务报告层次,内部控制发挥主导作用,风险管理起到配合作用,但随着市场条件的日益成熟,技术的不断进步,法律及监管实践的发展,内部控制必然走向风险管理。
五、美国纽约银行加强内部控制和风险管理结合的成功案例
美国纽约银行的风险管理与监控活动是由董事会及其下设的审计与检查委员会及风险委员会的授权开始。这两个委员会定期审查银行风险暴露情况、风险政策及风险管理活动,而风险政策主管除了负责日常监督及政策授权外,并与审计主管、合规主管共同维系风险管理结构的有效运作,已完成以下的阶段性目标:
1.确保银行风险经过适当辨识、监督、报告及评价。
2.阐明银行承受的风险种类与风险单位数,并传达至具体负责单位。
3.维持风险管理组织的独立性。
4.促进风险管理文化的健全和对风险调整绩效的重视。
美国纽约银行内控系统的设计用来巩固银行财务、业务环境、市场操作、法规遵循等的健全,并有内部稽核监督及测试其余财务报告系统整体的有效性;而银行风险的处理程序可确保政策能一致地被执行。银行独立的操作风险管理架构,建立在强健的风险管理文化之上,并分为以下三个层次:
(1)风险委员会:其任务包括对银行操作风险策略的监督及核准,该委员会并定期开会讨论关键风险一体机操作风险提案,同时也对风险管理系统的有效性提出审核。
(2)操作风险管理部门:负责发展风险政策及评估、监督、衡量风险的工具。此外,促进风险管理效率及创造改善风险管理控制功能的动机也是操作风险管理部门的重要任务。
(3)各级业务部门管理人员:负责维持业务内有效内控系统的正常运作,并维持银行风险布局与银行所订立的政策一致。
文献综述:
[1]财政部、证监会、审计署、银监会、保监会.《企业内部控制基本规范》,2008-6-28
[2]财政部.《内部会计控制规范――基本规范(试行)》,2001-6-22.
[3]财政部.《内部会计控制规范――货币资金(试行)》,2001-6-22.
我国内部控制建设工作已经如火如荼的开展了几年,笔者结合在企业和咨询公司的工作经验,针对企业对于内部控制法规和体系建设的疑问,对我国内部控制法规的现状进行解读和比较,以及如何应用这些法规体系,建设内部控制和风险管理体系的整合。
一、我国内部控制法规的现状
(一) 我国内部控制法规的多样化
我国内部控制法规存在多样化,一是颁发的机构不同,二是法规的内容针对性不同,三是法规适用的主体不同。
在《企业内部控制基本规范》和《企业内部控制配套指引》未出台前,都是各监管部门自行制定的,并且有些对内部控制的要求并不是以单独的法规的形式体现,而在融合在其他法规中。《企业内部控制基本规范》和《企业内部控制配套指引》是由五部委共同出台的,对我国企业内部控制建设有了统一的规定和执行要求,以后所有与内部控制建设和执行有关的法规规章都依据两项法规执行。
毕竟我国企业行业、类型、经营管理等存在多样化,《企业内部控制基本规范》和《企业内部控制配套指引》规定的内容不能面面俱到,加之不同的监管法规的存在,企业在建设和企业内部控制时,除了依据最基本的《企业内部控制基本规范》和《企业内部控制配套指引》,也要执行与企业相关的监管部门的规定,才能确保企业内部控制建设的全面性和重要性。
(二) 风险管理法规现状
对于风险管理的要求,除国资委出台《中央企业全面风险管理指引》专门的风险管理的法规外,其他法规对风险管理要求都是也体现在与内部控制相关的法规体系里。因此,对于企业在建设内部控制和风险管理整合的体系时,需要借鉴国资委出台《中央企业全面风险管理指引》,在对风险信息收集、识别、评估、应对等进行遵循和参与。
因此,我国内部控制法规包含多种类型,一是对对所有企业都适用,二是针对上市公司和金融机构;颁布的监管机构包括了财政部、国资委、银监会、保监会、证监会、审计署、中国人民银行、深交所、上市所。
二、内部控制与风险管理的整合应对
(一)内部控制与风险管理的关系
我国内部控制建设融合了风险管理和内部控制两种理念。
内部控制和风险管理不是独立两个体系,内部控制的基础是基于对企业风险的识别,内部控制建设的目的是防范和控制风险;风险管理体系的建立是依赖于内部控制体系的建设,所以两者相互协调、统一的整体,其最终的目的都是促进企业实现发展战略目标。
基于风险管理为基础的内部控制整合体系,是企业内部控制建设和实施的方向,规范和指引各种类型企业的内部控制建设。
(二)内部控制与风险管理整合体系
内部控制与风险管理整合的步骤如下:
第一步:组建风险及内部管理架构
确认企业风险管理及内部控制管理的目标、原则,组建风险及内部管理(以下简称“风控”)架构,明确治理层、管理层的管理层级、权限、职责,以及具体风控实施的部门、职能、人员构成、任职要求、汇报层级等,要保证风控部门的权威性和一定条件的参与权、处置建议权。
第二步:风险信息收集及整理
企业治理层确认企业风险管理目标,明确风险管理的重点和原则。
由风控部门牵头,各职能部门、业务部门共同参与,以风险管理目标为基础,对企业所面临的各种风险进行收集,之后进行信息的整理、筛选和汇总工作,形成的风险信息因素要有普遍性、针对性、行业特性。
在此基础上,共同讨论形成企业的经营管理活动的初步业务循环。
第三步:风险评估及分析
由风控部门,或由风控部门牵头,业务骨干参与组成风险评估小组,对企业经营管理活动,按循环、部门对业务流程进行梳理,明确企业目前重要的业务经营单元有哪些,这些业务经营单元由哪些业务流程构成。
流程梳理后,企业将从风险管理的角度分别对每个流程进行分析,同时结合整理后的风险信息因素进行对比,这些流程中目前是否存在风险,存在哪些类别的风险,风险在什么情况下会发生,风险对企业的影响是否在企业承受范围之内,目前企业针对该风险的防控措施有哪些,是否还有效运转,实施了这些防控措施后风险的影响是否有所降低,经有效防控后的风险影响是否符合企业目前的风险偏好和企业目前的承受范围内等。
在此基础上,对企业的业务流程进行重新的界定和划分,循环划分的详细程度,依据业务管理的精细化程度不同而定,以达到企业经营管理活动的全面性、重要性和成本效益的原则。
第四步:缺陷的确认与整改
风控部门在评估检查后风险,对企业目前确实已经发生且存在的,编制缺陷汇总,包括可能产生的风险及形成原因、可能造成的风险损失、重要性程度、责任部门等,与缺陷发生的部门讨论确认,按审批权限审批后,下发整改执行。
第五步:制定风险应对方案
在上一步骤基础上,结合企业的风险偏好,确认针对风险的控制措施。
第六步:编写风险数据库
企业风控部门组织各部门编写风险数据库,依据划分的流程,说明企业可能会面临的风险、所属的循环、风险可能产生的后果、风险影响的程度、风险的应对政策、风险的责任部门等。
企业在风险数据库编写的要结合风险信息收集和评估的内容,有针对性进行编写,不是风险信息的内容越多越好,而是要体现企业所处的内外部环境、发展周期、经营规模、人员状况等。
企业风险数据库,要定期进行重新的识别、评估,进行更新,以符合企业的状况。
第七步:编写内部控制体系文件
企业在风险和流程梳理完成后,依据识别出的风险、企业的风险应对策略,对现有的控制活动的控制措施进行修改或完善,以达到规避风险的目的,控制措施的体现载体为企业风险和内部控制管理体系文件。
企业修改或完善内部控制体系文件时,首先要对现有的评估的风险与现有体系文件中规定的控制措施进行一一核对,找出体系文件存在遗漏、不完整、不规范之处,在此基础上进行完善。
企业在编写内部控制体系文件时,要结合《企业内部控制基本规范》五要素的要求,并且企业在编写内部控制体系文件时,要结合国家的相关法律法规的要求和监督部门特殊要求。
第八步:编写评价文件
企业编写评价文件,主要是为了内部监督部门对风险和内部控制管理实施情况进行评价。
编写的依据是企业完善后的内部控制体系文件,针对每一项业务活动、控制措施,制定评价的方法、频率、文件抽查名称、抽查的数量、缺陷定义的依据等。
评价手册的编写,要使实施评价活动的人员,在实施评价活动过程有依有据,填写的评价手册底稿内容,要能如实反应企业的存在的问题,所以评价手册的编写的要素要完整,格式要简练,操作性强。
第九步:实施评价活动
企业在实施评价活动之前,要先确认评价的重点、评价的频率。
企业对风险的承受度、企业经营管理的复杂程度、人力资源素质、实施成本,决定企业实施评价的频率,企业至少每年要实施一次评价活动。
实施评价活动的频率,也与每次进行评价的内容相关,如果企业在一个年度内,进行数次的评价活动,考虑成本的原则,每次可以选择不同的重点内容进行评价,如果每年度只进行一次评价活动,就是进行全面性的评价活动。
一、内部审计概述
(一)内部审计的概念
所谓内部审计,是在组织内部建立,并为管理部门服务的一种具有独立检查、监督及评价的活动。在企业内部所设的本文由收集整理二级审计机构或部门以及审计人员,其可检查、监督与评价内部牵制制度的充分性与有效性,还可遵循国家的法律法规,检查、监督和评价会计及相关信息的真实性与合法性,并依照审计特有的专业技术及方法,监督评价企业资产的安全性与完整性以及企业自身经营业绩的好坏与经营是否合规。保持相对独立性地对本组织的财务活动、经营效益和各项管理活动进行的审计活动。内部审计是现代企业制度进一步完善的产物。
(二)内部审计与外部审计的联系与区别
1、联系:内部审计与外部审计的共同点是都掌握基本的财务审计技术,可能相互借鉴审计结果。
2、区别:一是不同的独立性。内部审计与外部审计的目标不同和服务对象不同,所以两者的独立性也不相同。二是不同的审计目标。外部审计的目标是对财报的合法性与公允性作出评价,而内部审计的目的是评价和改善风险管理、控制和公司治理流程的有效性,帮助企业实现其目标。三是关注不同的重点领域。外部审计主要侧重点是会计信息的质量和合规性,而内部审计是对经济活动的合法合规与经营效率等进行关注。四是不同业务范围。 外部审计是对财务报表、内部控制、鉴证、尽职调查等的审计业务,而内部审计则是以企业的经济活动为基础,并拓展到以管理领域为主的一种审计活动。六是不同的审计标准。法定的独立审计准则级相关的法律法规是外部审计标准。而非法定的公认方针与程序是内部审计的标准。六是不同的专业胜任能力要求。和外部审计相比,由于内部审计是帮助企业实现其目标,改善机构的运作并增加其价值,所以内部审计对审计工作的管理知识水平有一定的要求,要求内部审计人员具备一定的管理知识与水平。
二、内部审计的角色定位
(一)内部审计的职能
内部审计职能指的是反映出内部审计的本质其本身固有的内在功能,其职能为实现审计目标服务,并随着审计目标的变化而变化。其主要包括检查、评价、签证、建
设等职能。
首先是检查职能:主要包括检查企业各项业务与经济活动是否合法合规、企业经济活动资料是否真实可靠以及企业内部各种经济活动的经济有效性
其次是鉴证职能。指的是鉴定与证明被审计单位的财务状况、经济活动及经营成果,并作出审计结论。为了保证报表的质量,签证是在检查的基础上进行。
再次是评价职能。内部审计评价必须要具备一套先进的、客观的及具有可比性的标准与评价指标体系。主要是对单位的计划、决策方案、预算等的可行性与合理性进行的评价、对企业经济活动是否遵循既定的决策与目标所进行的评价以及对企业内控与管理责任制度等是否完备、合理及有效的评价。
最后是建设职能。所谓的建设职能指的是对企业在管理上的优点给予肯定,同时指出其不足,并提出合理化建议,协助企业经营管理者提高经济管理活动的效率与效果。
(二)内部审计在现代企业风险管理中的积极作用
首先,内部审计能从战略高度调控企业风险管理体系
内部审计在现代企业中占有特殊地位,现代企业要求建立隶属于董事会的审计委员会,主要是为了让其能从战略高度对企业的风险管理体系进行调控。审计委员会是对董事会负责的监督监督者的部门,是现代企业董事会的二级机构,其是站在企业治理的高度对其内部审计监控体系进行全面的规划与评价。
其次,内部审计能客观评价企业风险管理体系,提出有效措施,降低风险损失
内部审计独立于各业务职能部门,其不直接从事生产与经营业务活动。这就使审计部门得可站在全局高度、客观的识别与评价风险,对企业进行整体内部控制设计的有效性评估,及时发现内部控制缺陷,协助内部机构确定、评价并实施针对风险管理的方法及措施,并及时的为企业管理部门提出有效的改进措施,控制风险,加强管理,减少风险所带来的损失。
民营资本风险的认识存在较大的偏差,纵观我国创业风险投资机构,可以看到其中有九成的是民营资本,这些投资方向主要着重于那些传统的制造业、服务业项目等,这些项目的特点是风险少,而且是他们所了解熟知的,一切等待上市的,科技型的企业,在投资上则很少关注。与此同时,由于一些投资人投资的理念及能力不足,缺乏与国际国内知名的创投管理团队合作共同合作的宏远规划,很难健康发展,难以形成规模化、专业化、集团化的发展模式,由此也使创投机构加快了去风险化、PE(股权投资)化的倾向。
2.政府引导不足
政府引导措施不足主要表现在如下几方面:第一,覆盖面及规模的扩大,政府创投机构作用的发挥,需要的是机制的科学化、实际化、高效化,总体来说,我国创投引导基金的规模相对较小,难以适应发展的需求;第二,政府牵头的天使投资基金严重不足,仅依靠以跟进投资和补助为主的引导基金,对引导创投资金投向初创型企业的主导性较弱;第三,国企投资基金受多重因素的影响,比如IPO上市公司国有股社保基金转持政策、国有资产保值增值等,对于具有高风险、低持股的创业风险投资领域的关注很少,对股权投资基金的兴趣较浓。
3.金融配套服务不足
金融配套服务不够完善,首先,由于有些地区资本市场的落后,产权交易呈现分散状态,难以汇集成一股力量。与天津股权交易中心和中关村“新三板”等国家级试点相比,这些股权交易市场、场外交易市场等活力较弱,与全国性资本市场的合作也不力,对创投机构的缺乏吸引。其次,相关金融投资机构的十分落后,如,证券、投行等,我国目前参与创投市场发展的机构投资者匮乏,有分量的产业投资、股权投资等财富管理机构也不够健全,本土投资机构大多是规模小,效应弱。由此,我们需要建立和完善相关的政策法规
4.政策法规不完善
目前政策缺少针对性政策措施,现有政策大多是设立创投引导基金、规范管理、专项补贴等内容,缺少在市场进入、税收优惠、投融资管理等方面的针对性政策措施,对于吸纳民间资本,支持高新技术产业发展等引导力度还不够强。政策覆盖的范围也不够广,创业风险投资发展相关的基本法规、法律还不健全。
二、我国创业风险投资发展对策结合
我国创业风险投资发展现状,认为应从完善风险投资体系、强化政策支持和完善金融服务体系三个方面做起,来促进创业风险投资的规模与结构的优化和发展:
1.培育国有创业风险投资体系
发挥产业引导作用,让国有创业风险投资机构走上健康发展的轨道,借鉴深圳等先进地区的经验,依托大型国有控股投资公司的基础上,支持并购重组和科技成果产业化为主、以中长期投资为发展方向的国有大型股权和创业风险投资集团。以期步入国家新兴产业创投计划,切实与金融央企对接,组建一批战略性新兴产业领域的创业风险投资基金。改变以往落后的考核机制,将创业风险投资纳入国资考核范围,并允许其可适当程度的投资风险损失等同于创造利润。依托我国创业风险引导基金以及海洋等省级产业投资基金,与国际创投机构合作设立一批专业领域的天使投资基金。
2.加大政策扶持力度
全国各地可参照深圳、北京等待政策,对民营企业出资参与设立高新技术产业领域的创业投资基金,可按募集资金额和投资额给予相应的一次性奖励,并对符合导向的投资项目提供一定的风险补助。或在一定前提下,出台民营资本对创业投资领域的投入可直接抵扣出资企业的应纳税额等特殊政策。在此基础上,加大对创业风险投资的风险补助力度,鼓励各地龙头企业利用自身管理、技术、资本优势组建其产业领域内的风险投资机构,或创立创业风险投资基金。
3.完善金融服务体系
完善金融服务体系,促进资本市场发育,建立活跃、规范而完善的创业风险投资服务体系,对于促进创业风险投资规模的扩大和结构的优化有着重要的作用。对此,我国各省应尽快完善产权交易中心建设,力求尽快组建规范、活跃的区域性资本市场。与此同时,还应不断推进金融改革,尤其是以区域资本市场建设为依托,畅通投融资和信息交流渠道,引导民间资本积极参与高新技术产业建设,依托募集、参股、信托、地方债券等多种方式向高新技术企业投资,解决创业风险投资去风险化问题突出的现状。
一、我国风险管理审计运用的现状分析
(一)相关法规及准则尚不健全
企业风险管理审计是从欧美国家引入我国的,作为一个新生事物,在法规准则及政策的建设方面尚不健全和完备。目前,我国内部审计准则正处于与国际接轨磨合的阶段,风险管理审计主要法规则还是2005年5月份开始颁布实施的《内部审计具体准则第16号—风险管理审计》。该文件首次对风险管理审计做出了一些规定,主要由总则、一般原则、风险管理的审查与评价和附则四个部分组成,但仅仅对风险识别、风险评估、风险应对进行风险管理审计作了原则性的规定,比较抽象,缺乏对风险管理审计操作性的具体指导,企业的操作实务中仍无章可循,其他有关风险管理审计的法律法规政策还比较缺乏,没有形成一个完备的法律体系。
正是缺乏相关法规及准则方面的法律保障及指导支持,目前我国企业界能够开展风险管理审计工作的还是少数,风险管理审计的良性发展非常不利,对于风险管理审计的顺利开展也起不到很好的规范、约束和保障作用,束缚了审计人员风险管理审计的开展工作。
(二)审计模式落后,审计方法简单
目前我国不少企业还处于传统的审计理念和模式中,企业更多的是出于保护公司财产和察觉舞弊行为的目的而关注财务报表和企业帐目,而不是从企业的经营风险和管理层风险管理的角度来关注财务报表,因而审计风险不能得到有效控制,也使风险审计在给企业带来潜在经济效益的价值链中的价值无法进一步得到体现。在信息高度发展的时代,谁能占有顾客、市场、供应商、技术等有关信息的先机,谁就能在竞争的环境中争取有利地位,而在欧美国家企业采用计算机辅助审计的技术己经比较普遍,例如ACL,Caseware,Idea,Compass 3等等,且在风险模型选择上也有多样性,如AS/NZE4360模型、1997年COSO内部控制—整合框架的“目标—风险—控制”模型、IIA研究基金的企业风险管理框架、杜邦“沸腾壶”模型等等。可见我国审计模式落后,审计方法简单,最终导致企业不能恰当地预测风险、识别风险、评估风险和应对风险,使风险管理审计工作受到制约,进而影响企业目标的顺利实现。
(三)企业管理观念落后,风险意识淡薄
当前企业的经营环境日益复杂,企业管理者风险意识大大加强,但尚未意识到开展风险管理审计的意义所在。有些企业管理者对审计工作的认识还仅仅停留在发现企业现存错误和不规范的行为的层次上,未意识到风险管理审计的开展能促进风险管理的进行,更能系统全面的分析与评价风险,从而判断风险的性质,找到更合理的风险防范措施,以降低风险的发生,避免风险造成的损失。有些企业管理者甚至只顾眼前利益,忽视了长远利益,没有投放相应的人力、财力、物力进行风险管理审计工作,最终导致企业不能及时的发现和预测风险,造成了不可挽回的损失甚至是致命的打击。正是由于企业的管理者缺乏成熟的风险管理理念及科学的风险管理策略,阻碍了风险管理审计工作的顺利开展。
二、我国风险管理审计的有效对策
(一)完善风险管理审计法规及准则
完善的风险管理审计法规准则是企业风险管理审计高效执行的有力保障,是保护投资者合法权益的重要法律依据。当务之急是加快风险管理审计在实务操作方面的建设。我国可以参考COSO委员会2004年的《企业风险管理—— 整合框架》(ERM)、国际审计准则和中国注册会计师审计准则,依托《内部审计具体准则第16号— —风险管理审计》,针对经济运行过程中出现的新情况新问题,明确规定风险管理审计的内容、审计程序、审计方法、审计标准、审计报告,为风险管理审计的顺利开展提供指导,铺平道路。目前我国有一些企业采取IT治理风险管理审计,而对此可供参考的准则只有:2006年注册会计师协会颁布的“中国注册会计师鉴证业务具体准则第1663号——电子商务对财务报告的影响”;财政部2007年3月颁布的“企业内部控制具体规范(征求意见稿)——计算机信息系统”。我国可以加强这方面的立法,规范风险审计工作,保证其顺利开展。
(二)确立风险管理审计模式,优化审计方法
企业风险管理审计是以企业风险经营与风险管理为出发点,从财务报表的源头去分析审计风险,实施审计程序,这种审计模式满足了企业进行全面风险管理的要求,有助于应对内外部不断变化的环境。企业可以借鉴内部审计程序的九个步骤:选择被审计者、制定审计计划、初步调查、审查内部控制、扩大性测试、形成审计发现和审计建议、提出审计报告、进行后续审计、最终评价来等程序进行风险管理审计。同时,内审部门应该借鉴发达国家经验,结合企业实际情况,不断探索有效的审计技术,开发新的审计软件,优化审计方法,改进计算机审计系统,以提高风险管理审计的效率。
(三)提高企业风险意识,融入企业文化
企业文化作为是企业在长期的实践活动中所形成的具有本组织特色的文化,它是企业的无形资产,把风险管理的理念、意识和制度在企业内散播和培养起来,融入到企业文化之中,而上升到文化境界层次,风险管理就成为企业管理层和员工共同关心、随时关心的问题,不但可以为企业的全体员工提供一种原则的指导,而且可以使企业的风险管理工作达到事半功倍的效果。
参考文献:
中图分类号:F239.45文献标志码:A文章编号:1673-291X(2010)25-0078-02
近年来,随着经济的发展,特别是全球经济金融一体化程度的加深,企业面临的经营环境日趋复杂,企业风险无时不在,无处不在。市场化程度越高,企业风险的表现和影响就越普遍,尤其一些大型企业的管理高层面对企业快速扩张的势头,面对多变的市场环境和繁重的经营管理问题,深深感到企业面临的各种风险也在与日俱增,因此,越来越多的企业开始重视风险管理,也迫切需要内部审计通过一套系统、规范的方法来评价和改进风险管理及控制、治理过程的效果。
一、 企业风险及风险管理概述
1.风险。风险一词源自西方,是指可能发生的损失、失败或伤害的意思。它是不以人的意志为转移的,在一定环境和期限内客观存在的,导致费用、损失与损害的产生,能够用科学的定量和定性方法进行的不确定性管理,具有客观性、普遍性、必然性、可识别性、可控制性和多样性等特点。
2.风险管理。2004年COSO(Committee Of Sponsoring Organizations OfThe Tread-way Commission)的《企业风险管理――整合框架》认为,企业风险管理是一个过程,它由一个主体的董事会、管理者和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。确切地讲,风险管理通过了解企业及其市场情况,辨识风险,分析风险,评估风险,设计并实施风险管理解决方案,并不断监测风险管理过程而使企业达到其战略目标。一般情况下,企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息和交流以及监督等八个方面组成。
二、中国企业风险管理现状
1.风险管理意识有待进一步增强。长期计划经济体制的影响,大部分企业风险意识薄弱,风险管理理念比较陈旧,风险管理意识没有贯穿到企业全体员工以及经营管理的全过程,没有积极主动地进行风险管理工作。
2.风险管理体制有待进一步建立。中国现代企业制度还未真正确立,国内大多数企业对风险管理没有明确的定位,在企业的组织结构设置上未考虑风险管理部门和职能,缺乏专职部门和人员来履行风险管理职责。中国很多企业没有制定一套科学的、合理的风险管理规划,因此化解、抵御风险的能力差。
3.外部环境有待进一步完善。目前,中国有关内部控制以及风险管理的指导原则、指引、 规范很多出自不同的政府部门,存在互不兼容的情况。法律法规的不健全,政府的多头管理,导致企业无所适从,失去了积极性,从而被动执行甚至不执行。
三、内部审计参与企业风险管理的必要性
1.内部审计自身的发展要求。国际内部审计师协会在2004年《内部审计实务标准》中关于内部审计的定义是:“内部审计是一种独立客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现它的目标。”该定义将内部审计的范围延伸到风险管理和公司治理领域,认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。这是内部审计部门不断适应经济社会发展,在企业中担当更重要的角色和发挥更重要作用的要求。
2.企业风险管理发展的要求。作为高层次的监督部门,内部审计机构相对独立,不同于其他风险管理部门,其风险评估意见直接报告给董事会、审计委员会,足以引起管理当局的重视。在现代企业经营管理中,随着内外部环境的变化,各种风险因素增多,内部审计工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,因此,内部审计也被赋予了更多的职责和使命。
3.内部审计与风险管理目标的一致性要求。内部审计的目标是为企业增加价值并为提高企业的运营效率。风险管理是采取适当的内部方法,以最低的成本获得最高的安全保障,将损失降到最低,达到企业效益的最大化。从这个意义上来说,内部审计和风险管理的目标是相一致的。
四、内部审计如何参与企业风险管理
1.内部审计在现有各类审计中发现和反映企业存在的风险,促进企业采取措施进行风险管理。内部审计是在经营管理部门基础上的再监督,内部审计工作成为企业风险管理的一个组成部分,整个审计工作根植于以未来为导向的风险分析。内部审计人员应就战略规划、企业并购、合资经营、战略联盟及环境保护等重大问题,建立相应的风险评估模式,强调确认经营风险,并测试这些风险管理政策是否适当,是否得到有效执行。
2.内部审计是防范经营风险,促进企业各项工作规范运行,增加效益的有效保障。通过内部审计,对企业内部控制存在的薄弱环节和经营活动中存在的弊端,及时提出切实可行的建设性措施,增加企业的经济效益。实施内部审计在防范风险方面的作用表现在:一是通过检查各项业务活动的合法性及合规性,及时发现背离法规和监管措施的问题,保证业务经营活动在法规和监管措施允许范围内进行,降低业务经营风险。二是通过对财务数据进行日常监控,及时发现异样情况,防止财务风险。三是通过评价企业的内部控制制度、管理制度,以及各种章程的合理性、完备性和有效性,找出其中的管理缺陷和控制弱点,防范因缺乏控制而产生的风险。四是全方位、全过程地参与企业管理,特别应加强事前审计和事中审计,真正形成一套对风险的预警系统,时时防范风险的发生。
3.内部审计提供咨询服务,评价并实施针对风险管理的方法和控制措施。审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。具体包括进行控制和风险评估培训,实施企业全员、全过程、全方位、全天候的风险管理;召开控制和风险评估专题讨论会,针对重大风险隐患,要集合企业内外部的专家进行专题研讨;开发自我评估工具,对风险管理进行深入研究,利用现代技术开发适合本企业的评估工具。
五、内部审计在企业风险管理中存在的困难与问题
1.内部审计的独立性不够强。许多企业内部审计机构极不稳定,力量单薄,没有受到企业领导层的足够重视,而且内部审计作为企业中的一个职能部门,其人员配置!职务升迁、工作地位等都由本企业领导决定,导致内部审计在组织、工作、经济等方面都不独立。
2.内部审计人员本身的素质有待加强。开展风险管理审计,对审计人员的素质要求还是挺高的,涉及的知识面比较多,除了政治素质要求比较高以外,业务上还要学习财务知识以外的更多东西,需具备一定的经营销售知识,法律知识、企业自身需要运用的管理知识以及控制理论与实践、风险管理、经济预警等方面的知识。
六、如何加强内部审计在企业风险管理中存在的问题和困难
1.增强内部审计的独立性。制定相关的实施细则和行业、部门内审规章制度,从法律上规定内审机构的地位、层次、结构,将内部审计纳入法制化轨道,用法律保障内部审计的独立性。合理设置保证内部审计机构,由企业的最高权力机构领导内部审计机构,有利于保持内部审计独立性、权威性和高层次地位。
2.提高内审人员素质,建立专业结构合理的审计队伍。在风险导向阶段,内部审计人员必须具有广博的知识,具有多元化的专业技能,做到训练有素,审计人员必须注重知识的更新和知识面的扩展,不仅要精通财会、审计知识,还要具有经济管理、金融、统计、工程技术、法律、信息和计算机等方面的专业知识;要不断通过后续教育,培养审计人员的专业胜任能力,通过审计实践,提高审计人员敏锐的洞察力、判断力和组织协调能力等;要加强内部审计人员的职业道德教育,逐步建立起一支具有现代知识素养和职业道德水准的内部审计队伍。
除此之外,应结合企业生产技术的特点,增加具备经济学和企业管理学知识的专家以及其他专业人员,包括内部控制专家、风险管理专家、公司治理专家和信息系统专家,以组成有各方面综合能力的内部审计项目组,逐步改善内部审计队伍的专业结构,使内部审计人员的专业结构趋向合理,以适应现代内部审计发展的要求。
参考文献:
[1]美国COSO制定.企业风险管理――整合框架 [M].方红星,王宏,译.大连:东北财经大学出版社,2005.
[2]吕永红,夏亨峰.中国内部审计独立性问题探讨[J].中国集体经济:上旬刊,2009,(11).
[3]毛敢杰.关于强化企业内部审计和风险管理的几点看法[J].科学咨询导报,2007,(6).
[4]王国盛.企业风险管理和舞弊的防范与检查[J].中国内部审计,2005,(10):41-42.
[5]徐海根.试论内部审计与风险管理之间的关系[J].会计之友:中旬刊,2009,(12).
[6]宋东红,朱秀霞.风险管理视角下的内部审计职能探析[J].经济研究导刊,2009,(31).
[7]范太艳,王彬彬.浅议内部审计的咨询服务功能[J].网络财富,2008,(6).
Brief Analysis On Internal Audit and Rsik Management
LIANG Rui-hu