《小议企业风险管理框架的思索》由会员分享,可在线阅读,更多相关《小议企业风险管理框架的思索(3页珍藏版)》请在金锄头文库上搜索。
1、小议企业风险管理框架的思索摘要:2004年9月,COSO委员会正式公布了新的COSO报告:?企业风险管理整合框架?。在对此报告进行研究的根底上,探讨了两方面的问题,一是企业风险管理与内部控制的融合,二是內部审计与风险管理。通过比拟认为,首先,企业风险管理与內部控制同样是一个程序,处于不断的调整和变化之中两者只有相互融合,才能实现最正确效果;其次,对企业风险管理进行监督和评价是现代内部审计开展的结果。內部控制向风险管理领域扩展,对內部审计的开展产生了深远影响,集中表达在风险根底内部审计的产生。关键词:企业风险管理;內部控制;內部审计一、企业风险管理框架的提出2004年,美国Treadway委员会
2、下属赞助委员会(COSO)在内部控制框架概念的根底上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,使内部控制的研究开展到一个新的阶段。COSO这样定义企业风险管理,企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。COSO认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由内部环境、目标设定、事件区分、风险评估、风险反响、控制活动、信息和交流以及监督等8个方面组成。
3、1内部环境(InternalEnvironment)。企业的内部环境是其他所有风险管理要素的根底,为其他要素提供规那么和结构,也为ERM的其他组成因素提供了框架。其中特别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。2目标设定(ObjectiveSetting)。即管理层必须基于目标来识别成功的潜在因素。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中,其他相关目标是指除战略目标之外的其他目标,其制定应与企业的战略相联系。管理者必须首先确定企业的目标。才
4、能够确定对目标的实现有潜在影响的事项,而企业风险管理就是提供应企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致。3事件区分(EventIdentification)。在对企业目标、战略和方案以及对企业所处的内部和外部环境都有深刻了解的根底上,企业风险管理要求区分可能对实现公司目标产生负面影响的所有重要情况或事件,事件区分的根底是将可能的风险与环境进行比照。这一步要求综合运用各种专业知识,尽可能地了解企业当前或将来的环境和经营情况。4风险评估(RiskAssessment)。一般用可能性(概率)和影响结果两个维
5、度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,假设可以获取充足的数据,一般采用定量的评估方法;假设潜在的可能性及影响结果都较小,或者无法获得数据,那么一般采取定性的评估方法。5风险反响(RiskResponse)。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于本钱效益分析以及企业的风险偏好。而平衡的反响包括接受、躲避或缓和这些风险,后者又包括风险别离、风险转换或者减少(包括通过
6、控制活动)等形式。风险反响是企业风险管理的整体重要组成局部。6控制活动(ControlActivities)。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反响提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产平安、职责别离等方法。7信息和交流(InformationandCommunication)。风险区分、评估、反响和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外根底的时时报告,报告使用趋势指
7、标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。通常存在自上而下式、平行式和自下而上式三种有效的交流形式。自上而下式是管理当局向员工传递风险信息;平行式是部门之间的信息交流和传递;自下而上式是一线员工向管理层汇报风险信息。员工的风险信息交流方面的意识是风险管理环境的重要组成局部,应鼓励员工就其意识到的重要风险与管理层进行交流,管理当局应当重视员工的意见。8监督(Monitor)。与内部控制一样,企业应通过持续的监督和独立的评价活动,监督企业风险管理的有效性。持续监督以日常经营中发生的事
8、件和交易为对象,包括管理当局和专门的监督人员的活动。独立评价一般以定期检查方案为根底,或者以日常监督中发现的意外为起点,由于在独立调查、风险评估和报告方面具备能力、技巧和经验,内部审计师是提供独立评价的适宜人选。二、企业风险管理与内部控制的融合自1992年美国COSO委员会提出?内部控制框架?报告(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改良建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1992年的研究成果?内部控制框架?报告的根底上,结合?SOX法案?在报告方面的要求,进行扩展研究得到的。通
9、过比拟,我们可以发现,企业风险管理的定义采用了1992年内部控制框架定义的模式,认为企业风险管理与内部控制同样是一个程序,它不是静态的,而是处于不断的调整和变化之中,以适应组织环境的变化。企业风险管理除包括内部控制的三个目标之外,还增加了战略目标,并扩大了报告目标的范畴。内部控制框架将企业的目标分为经营的效率和效果、财务报告的可靠性和现行法规的遵循。企业风险管理框架也包含三个类似的目标,但是比内部控制框架增加了一个目标战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。另外,企业风险管理的8个要素除了包括内部控制的全部5个要
10、素之外,还增加了目标设定、事件区分和风险反响三个要素,由于对象不同,风险管理更加针对组织面临的“风险,增加这三个要素,拓展了概念的深度和广度。因此,风险管理框架建立在内部控制框架的根底上,内部控制框架那么是企业风险管理必不可少的一局部。内部控制与风险管理的融合很早就引发了人们的关注,经过长期的争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最正确效果。COSO企业风险管理概念的提出,将风险管理与内部控制的融合大大地向前推动了一步,这种融合必将极大地推进内部控制和内部审计的开展。三、风险管理对内部审计的影响内部控制向风
11、险管理领域扩展,对内部审计的开展产生了深远影响,这种影响集中表达在风险根底内部审计的产生。由于各国实务各不相同,尚未形成统一的最正确做法,国际内部审计师协会目前还没有标准的风险根底审计定义,IIA的职业问题委员会认为,风险根底审计关注的焦点是组织对所面临影响其目标实现的风险作出的反响,与其他形式的审计不同,这种审计的出发点是风险,而非控制,其目的在于为风险管理提供独立保证,并在必要时加以引导和改良,审计业务的范围和优先次序应由组织所面临的风险所决定。风险根底内部审计的特征可以总结为以下几点:第一,风险根底内部审计不仅关注风险管理,同时也是风险管理的重要组成局部。公司针对风险管理功能,设立一个分
12、部,配置一位风险经理,内部审计人员建立风险评估模式,内部审计工作成为企业风险管理的一个组成局部,整个审计工作根植于以未来为导向的风险分析。第二,内部审计的方法不再是强调确认和测试控制的完整性,而是强调确认经营风险并测试这些风险是否得到有效管理,由交易事项和对政策的遵循,转变为对目标、战略和风险管理程序的关注,“控制是否适当且有效虽然仍被关注,但已不是关键。第三,内部审计的反响方式不再是反响式的、事后的、不连续的监控,从以交易为根底转变为以过程为根底,对组织战略方案的创新也由观察者转变为参与者。第四,内部审计在组织中扮演的角色不再是独立的评价者,更是风险管理与公司治理的集合者,内部审计人员应就战略规划、企业并购、合资经营、战略联盟及环境保护等重大问题,及时、客观、独立地提供咨询。最后,内部审计的建议不再是强化控制、强调本钱效益配比以及提高控制的效率和效果,而是风险躲避、风险转移和风险控制,通过有效的风险管理提高组织整体管理的效率和效果。
