时间:2023-06-14 09:35:02
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇企业风险与合规范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
一、全面风险管理工作开展情况
(一)基本概念
全面风险管理工作,是我国根据西方国家的现代风险管理思想演化而来。2006年国务院国资委印发了《中央企业全面风险管理指引》。这使我国的全面风险管理实践工作达到了一个新的阶段。该项工作的理念为:战略性、全员化、专业化、二重性、系统化。目标是:紧密联系企业战略为实现战略,寻求风险优化措施。
(二)工作实施过程
工作过程包括以下几个步骤:收集风险管理初始信息;进行风险评估;制定风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。
(三)形成的企业成果
最终要形成了五大系统,风险管理策略、风险管理措施、组织职能体系、内控系统、信息系统。但是目前没有哪家企业建立完善了信息管理系统。完成年度企业风险分析报告,形成岗位风险手册。
(四)实际工作中的问题
测试风险技术方法的很难得到正确的使用,测试风险工具的使用员工素质有很大关系,风险的辨识存在很大主观性,风险的收集很难全面。
如果从高层集团公司开始向底层企业推进,时间过于漫长,短期很难看到效益,这样往往导致管理层积极性不高,使得工作停留在表面。
当构建完成全面风险管理形成体系,会年度形成全面风险的报告,最高层和各级员关注不同的风险,还要根据企业的风险偏好,制定风险策略,重新修订文件,工程量浩大,耗费人力。
二、内部控制规范企业目前执行情况
(一)基本概念
从2001年中国企业内部会计控制规范开始,国内的内部控制工作开始起步。2006年受国务院委托,财政部、国资委、证监会、审计署、银监会、保监会联合成立了企业内部控制委员会。2008年6月财政部牵头制定印发了《企业内部控制基本规范》,2010年4月联合下发了《企业内部控制指引》(包括应用指引、评价指引、审计指引)。形成了我国基本内部控制规范体系。
内部控制目标五方面:保证经营合法合规、资产安全、财务报告相关信息真实完整,提高经营效率、促进发展战略。
达到内部控制基本要素(手段)为:内部环境、风险评估、控制活动、信息沟通、内部监督。
(二)如何在企业推行
企业按照应用指引,在18各方面,进行梳理,整改,根据指引,结合自身需要,在各个层级、可以同时开展梳理,在制定出自己各个经营方面符合内控精神的制度。
(三)形成的企业成果
形成了一系列的内部控制基本规章制度、内部控制组织体系,内控的岗位手册。
(四)实际工作需要注意的问题
内部控制必须与业务相结合,梳理各项业务制度,找到业务流程与内控精神的契合,不是简单地生拉硬套,需要很强专业素质和研究精神。
内控也提到了每年的要用风险管理的技术方法,测试制度是否达到了内控要求。内控制度是需要不断地完善地,但是持续、无尽的工作也使企业员工疲于应付。
三、全面预算管理工作的管理思路
(一)基本概念
国内学者结合财务收支计划管理、企业内部市场理念、成本控制等方面,提出了全面预算管理体系理论。以利润考核,资金收支考核为目的,成本控制为重点,达到提高企业效益的目的,保证企业战略实施。以经营预算、投资预算为基础,资金预算控制为手段,最后形成预算管理的体系。
(二)企业中的实施过程
首先建立预算的上报审批体系,保证权威性,保证预算的执行力;基础岗位各项业务制定基础定额,根据业务流程,制定出成本控制,采购控制、投资控制、收入控制的预算表,最终体反应为财务数字;资金预算是预算体系中的重点,通过资金合理运用保证预算的合理性;设计预算报表体系,由各业务板块或各子公司填报,汇总经营的各项费用,收入、投资支出、损失等项目,审批修后形成预算体系,汇总出的企业经营成果预算。根据预算结果制定考核目标,制定奖惩措施。
(三)在实际工作需要注意问题
预算的审批是关键,没有一个强有力、知识丰富、专业过硬的的审批组织,很难应付企业中各部门预算的多种影响因素;设计各项业务预算表格,需要很强的专业能力,也是很大的工程量;业务预算的定额管理是重点。怎么合理的确定定额定耗,是需要多次试验或是经验的判断。
四、三者关系如何,如何在工作相互利用成果
(一)风险与内控和全面预算工作的关系
全面风险管理主要是方法论,内控规范偏重于条文,制度、规则。两者出发点也不同,内控是站在监督者的角度,主要为了企业的报告真实、控制企业中出现经营舞弊风险;风险管理是在企业发展战略角度的控制风险。但是最后两者都形成了一套完善的体系,两套体系都是相对完整的。
笔者认为:从企业出发,两项工作的目的都是加强风险控制,是企业管理的基础工作。内控制度是更加具体,使企业的管理有章可循的。只有将两项工作的做扎实,才能在此基础上完善企业的全面预算管理,或者其他ERP等资源管理系统。
全面预算工作是以成本控制为目的,提高企业盈利水平。是在企业的规范运营之上的,管理会计的应用。将两项工作完善固化在全面预算工作,优化业务业务,控制风险,最终降低成本,实现效益。如果没有内部控制规范建设,预算是没有任何意义的,只有在流程、责任清晰,岗位责任明晰的情况下,企业才可以更放心的使用成本对标、利润考核、内部市场等管理手段,提高企业的效率。不能否认的是科学技术创新是企业发展核心竞争力。
(二)整合三种工作、减少投入管理成本,达到管理目的
首先完善公司治理结构、梳理基础岗位设置。以内控应用指引为基础框架,以风险的技术方法,测试部门设置是否涵盖主要的风险。保证公司战略实现的治理结构,形成能够控制运营风险的岗位设置。其中包含预算的管理体系、审批体系建立。
按照内控各项业务指引梳理各项经营业务流程(可以在各级子公司同时展开),以风险管理的技术手段测试漏洞,形成各项业务流程图,岗位手册。建立岗位手册,既是内控手册,也是风险管理岗位手册。全面风险管理思路和方法的用于检验、测试保证制度的长期有效性。这也是一个不间断的过程,需要根据市场、生产等情况制定定期检测的制度。
根据岗位性质、岗位流程、生产流程工艺,定制各种产品的消耗定额,完成全面预算工作的定额基础。这种工作需要各工种专家或工作能手确定,保证正确性、权威性。
设计业务收入支出的各种表格(包含生产经营所有环节),使各业务部门,规范填报,满足业务特性。注意表格内容的形式与财务核算一致性。
管理层汇总预算表格(投资预算,资金预算,经营预算)形成预算报表体系。预算审批体系要对各业务部门的预算进行审批,发回后执行。各业务部门在执行时,与财务核算一同控制。根据年月度预算考核财务决算,资金预算控制资金使用。
预算的审批是需要专业的技术和数据基础。根据往年的定额和一定的增长系数,通过计算得出的审批结果。
根据优化后的业务流程,预算定额,成本分配等计算方式,实施信息化或者改进信息化。
五、结束语
三种方法自成体系,不可能完全融合。基础管理工作是三种管理理念的切合点。也是三种管理体系的基础。做好了共同的基础,三种体系才可以互相借鉴,包容。
参考文献:
[1]国务院国有资产监督管理委员会.中央企业全面风险管理指引.(国资发改革[2006]108号)
中图分类号:F270 文献标识码:A
作为全球第二大经济体,我国的国际地位及影响力大幅提升,中国因素受到很多国家的欢迎,这为我们“走出去”提供了难得的历史机遇。如果我们在合规经营方面行为不当,影响的不仅仅是一个企业的品牌或声誉,而是中国企业、中国品牌及整个国家的形象和声誉。而一个国家的国际形象好坏,在国际商务活动中的声誉如何,直接影响到国际社会对本国的接纳程度,关系到本国的国际竞争力和国家的核心利益。因此,我们要将合规经营上升到国家层面、政治层面去考虑,上升到能否实现强国梦的战略高度去考虑。
一、中国基建企业面临的国际合规环境
目前,中国基建企业面临的境外经营合规风险越来越大。主要原因是全球反腐力度在加强,具体体现在国际组织和一些国家政府机构正在加大反对商业贿赂的力度。美国、英国等许多国家都先后出台了各自的反腐败法,联合国及其他国际机构纷纷签署反腐败公约,并加大联合执法的力度。
从1996年开始,世界银行正式实施反腐败战略,这主要源自于时任世界银行行长的詹姆斯 ・ 沃尔芬森在年会上发表的《腐败的毒瘤》这一具有里程碑意义的讲话。世界银行反腐败战略实施后,在世行贷款项目中被世行确定为有腐败欺诈行为的承包商、制造商和咨询者将被列入黑名单,在世行贷款项目中永远或一段时间内不能中标。2010年4月,非洲开发银行、亚洲开发银行、欧洲复兴开发银行、世界银行集团、美洲开发银行共同签署的联合执行制裁决议,形成集体执法行动。
在美国和国际组织推动反商业腐败的同时,很多国家先后出台了各自的反商业腐败法。在各国政府反海外腐败的法规中,美国的《反海外腐败法》力度最大,威慑力最强。跨国公司在中国的分支机构也被严格监控,在美国公开的资料上,就有将近20家跨国公司在中国因违反美国的《反海外腐败法》而被惩罚过。即便有些违规看起来并不算“严重”。
因商业贿赂被美国法律追究的跨国公司往往被处以重金罚款,当事人甚至受到刑事处罚。与此同时,公司声誉严重受损。以德国西门子公司为例,由于在一些发展中国家通过行贿获取订单,而被美国和德国行政当局处罚16亿美元,以公司监事会主席(相当于我国企业董事长)为首的20余名高级管理人员被解除职务,有的还被追究法律责任。
强化合规经营,反对商业贿赂正在成为一种潮流。为减少合规风险,很多跨国公司都在强化合规经营,遏制商业贿赂。不少公司设立专门的合规专员,完善合规管理制度,加强培训,预防、检查公司运行流程中的违规现象,积极处理违规事件。
目前,中国政府已经加入了《联合国反腐败公约》《亚太地区反腐败行动计划》《国际商务交易中打击勒索和贿赂行为准则》。作为成员国的中国企业,必然要顺应全球合规治理加强的大趋势,履行公约所规定的义务,积极预防和应对商业贿赂,树立和维护国家形象。
二、中国企业建立境外合规风险管理体系的意义
(一)维护国家形象的需要
跨国企业虽然具有国际性,并且遵循基本的商业逻辑行事,但在以国家为主体的当代世界中,让人产生的第一印象还是其国家形象。如果中国企业在“走出去”的时候能够塑造一个遵规、亲和、友善、负责的中国形象,就会减少许多冲突和困境。因此,建立合规体系并使其有效运行,是使企业所有商业活动始终保持合法合规的基本保障。
(二)文化融入的需要
在国际市场上,我国基建企业在技术方面的差距并不大,但在管理和文化层面还有很大差距。因此,建设先进的企业文化,转变思想观念、改变思维方式,成为我们参与国际竞争的关键因素。
在合规经营、反对腐败成为主流价值观的大背景下,我们首先要创新的就是合规文化。要把文化理念转变为行为,需要通过建立系统的制度,将合规要求融入具体的工作流程及岗位中,持之以恒地严格执行。将表面的合规管理逐渐变成习惯,形成一种严谨的行为方式。通过合规制度的建立与执行,合规文化的培育,将管理文化由任意型、粗放型向信誉型、集约型转变。
中国文化比较强调变通、灵活,有时候这是优点,有时候就容易出问题。企业要想真正融入国际大家庭、实现做强做优,就必须对我们的行为方式和道德文化进行认真反思和总结,学会遵守国际游戏规则,才有可能自立于世界大企业之林。
(三)市场竞争的需要
随着中国企业的发展壮大,一部分中国企业已处于发展变革的重要阶段。在这个阶段中,一是面临更多、更复杂的合规风险,二是在合规要求更严格的环境下参与市场竞争是未来的发展趋势,这就决定我们只有走合规经营之路,才能防范合规风险,才能在世界范围内和发达国家跨国公司竞争。
(四)防范政治风险的需要
在和平时期,国家之间的竞争主要体现在经济领域的竞争,而经济领域的竞争则突出表现在大企业之间的竞争。
在世界格局中占主导地位的美国和西方国家,用冷战思维遏制中国的崛起。在国际市场上,作为后起之秀的中国企业,一举一动都备受关注,一旦出现失误就会被无限放大,削弱我们的市场竞争力,遏制我们的发展壮大。
西方国家冷战思维的特点之一就是寻找中国企业与西方企业的差异,并在中国企业的软肋上大做文章,突出中国企业的弊端,从“软实力”上削弱我们的竞争力,破坏国际形象,从而阻挠我们走向国际市场。
三、基建企业合规管理体系建设的主要内容
根据某大型基建企业在境外合规管理方面的探索与实践,总结出企业境外合规管理体系建设的主要内容。
合规管理体系的构建,以组织体系和制度体系的建立为保障,以员工行为合规为基点,强化七大高风险领域的管控,建立三大机制,设置五道防线,并通过合规风险的动态识别、定期沟通、及时应对,有效防范合规风险的发生。
(一)构建合规风险管理制度体系和组织体系
建立完善的合规风险管理制度体系和明确的组织体系是开展合规管理工作的重要前提和基础。企业要在深入调研的基础上,参照美国反腐败法等法律规定及世界银行等有关国际组织的合规要求,借鉴国际最佳合规管理实践,对自身合规管理现状、海外业务特点及市场环境进行细致分析,找出现有合规管理工作与有关要求的差距,构建权责分明的合规风险管理组织机构和合规风险管理制度体系,为企业合规风险管控提供保障。
(二)以员工行为合规为基点,打造合规经营基石
员工行为合规是合规风险管理的前提和基础,企业应立足员工行为合规这个基点,积极推动全员、全过程的合规风险管理工作。
为保证企业合规要求得到全面落实,要加强对员工的培训和考核,一是对员工进行合规制度,尤其是员工行为准则的培训,确保员工知晓企业对员工合规行为准则的具体要求;二是要求企业及所属单位有关领导和高风险员工签署合规声明,承诺遵守相关法律法规和其他要求;三是对员工进行合规操守考核,将考核结果按适当权重纳入个人或部门的年度绩效考核中。如果出现员工违规行为,将视严重程度按劳动合同管理办法等规章制度规定,进行警告、记过、降职、撤职、解除劳动合同等处分。
(三)强化高风险领域管控,有针对性地开展合规管理工作
企业应通过深入调研与全面对标,在识别、评价管理及业务流程中的内部风险及相关外部风险的基础上,确定第三方聘用、采购、投标、合同、业务招待、捐赠与赞助、业务付款等高风险领域,并从防范合规风险的角度,参照最佳实践,对合规管理要求、合规管理职责、运行机制及流程进行梳理、补充和完善。
一是应强化第三方聘用合规。通过第三方协助企业开展市场开发工作,是我国基建企业进入新的市场领域或业务领域通常采用的一种方式。
二是强化业务采购合规。在采购招标前,合规官应对招标项目立项审批流程进行复核、审阅,对项目外包的必要性进行独立审查;编制招标文件期间,合规官应对潜在投标人及审批过程进行复核、审阅,对其合规性进行独立审查;评标期间,合规官应对评标小组的评审过程进行复核、审阅,对招标过程有无违反招标程序进行监督检查。
三是强化业务投标合规。合规官要审查投标工作人员是否与招标人或其他竞标方有利害关系;受理投标过程中对投标合规性的质疑与举报。要对项目投标是否有第三方合作伙伴参与、项目是否与政府或国际组织有关、招标人的诚信背景等内容进行合规资格审查,对投标项目的合规风险进行评估、分级,并制定相应的风险管控策略。
四是强化业务合同合规。企业应设立合同管理机构,配置工作人员。在现有法律审查的基础上,对拟签订合同增设合规性审查程序,以对法律风险以外的其他合规风险进行预防与控制。合规官要对合同约定的业务内容是否与实际情况一致进行合规性审查。根据审核结果,合规官判断合同中的潜在合规风险,提出防范措施及修改意见,并告知合同承办人。
五是强化业务招待合规。业务招待必须符合相关法律法规和其他要求。业务招待主要遵循以下基本原则:礼品与款待不得成为获得不正当利益的途径;礼品与款待不得是现金或现金等价物;礼品与款待的场合、对象、频率、价值、接受者的职位和社会地位不得造成不道德、不诚实或不恰当的印象;礼品与款待的费用必须合理,且用于合法的业务目的;业务所在国法律和习俗允许等。如果礼品与款待不符合上述原则,如在3个月内出现两次以上向同一接受方提供超出象征性价值的礼品,礼品是现金或现金等价物,款待与正常业务活动的开展没有直接关系,或有任何娱乐成分等高风险事项,应依据审批权限事先经过合规官审核并获得有关人员的批准。
(四)建立三大机制,助推合规管理工作持续开展
合规风险管理的三大机制是支撑合规风险管理体系正常运行、保证合规风险管理工作得以有效持续开展的重要基础。
1.建立合规风险分级管理机制。对合规风险进行分级管理,规定各级合规审批权限,所有审批事项须经至少两个及以上的人员进行审核和审批。
2.建立合规监督机制。合规官对第三方聘用、采购、投标、捐赠与赞助、业务付款等高风险事项进行合规审查;组织合规官对合规交叉(如跨地区、跨单位)进行审查;受理违反或疑似违反企业合规制度和流程、法律法规和其他要求的内外部投诉和举报,对违规事件组织监察等有关部门进行调查。
3.建立合规工作传达与沟通机制。定期将合规工作计划传达至所属单位及各个部门,并部署相关合规管理工作。每年初,合规部门应协同企业文化、人力资源等有关部门制订合规工作宣贯计划,及时有效地向员工和业务合作伙伴传达合规工作计划、合规制度和流程等内容。
(五)设置合规风险五道防线,做好事前预防
1.明确员工合规要求,建立防范合规风险的第一道防线
企业在签订劳动合同时,要求员工签署合规声明,明确员工合规要求;招聘中高级管理人员等高风险岗位员工时,要开展合规背景调查,从源头上规避合规风险。通过合规教育培训,进一步增强员工合规风险认识。建立员工合规操守考核制,将考核结果纳入年度绩效考核,强化员工合规意识及合规义务的履行。
2.开展管理部门合规审批,建立防范合规风险的第二道防线
在规范业务合规经营行为时,除了合规部门、合规官对业务事项进行审批外,企业应要求管理部门针对特定事项发表意见,审核、审批业务事项。涉及金额较大或风险较大的,上级企业的管理部门还要进行审核、审批,加大防范合规风险的力度,为防范合规风险构建一道新的防线。
3.设置合规官,建立防范合规风险的第三道防线
企业应将合规官作为合规管理的关键要素之一。在日常工作中,合规官对第三方聘用、采购招标、投标、合同管理、业务招待、业务付款等审批事项中的高风险环节进行合规审查并严格把关。合规官还要受理违反合规管理的内外部投诉和举报,对违规事件组织调查等。
4.构建合规交叉审查,建立防范合规风险的第四道防线
企业应每年抽调合规官对所属单位、海外公司、办事处进行合规交叉(如跨地区、跨单位)审查。在审查过程中,合规官不仅要对合规管理流程的执行情况进行审查,也要对合规官的培训和履职情况进行审查。合规审查工作完成后,应出具书面的合规审查报告,送首席合规官审阅签字。
5.设立海外合规举报、投诉渠道,建立防范合规风险的第五道防线
企业应设立反商业贿赂的举报、投诉电话,建立违规违纪及调查取证制度,发挥内部员工、外部相关利益者和纪检监察部门在业务合规排查中的作用。
从20世纪90年代初开始,国内掀起了多元化经营浪潮,海尔、中信等国内知名企业迅速崛起。从发展实际来看,大多数企业实施多元化经营战略的主要动机有两个:一是进攻型的,到新的领域去获取更多的利润;二是防御型的,将部分资源配置在不同领域以规避风险。因此,多元化经营如何实现同等收益下风险最小化或同等风险下收益最大化,就成为企业迫切需要解决的问题。
一、投资组合与企业多元化经营理论分析
1.投资组合
(1)投资组合概述。投资者在进行投资时,并不把其所有资金都投资于一种证券,而是同时持有多种证券,即投资组合。投资组合的有效性建立在对不同证券投资风险与收益分析的基础上,实现风险不变收益提高或收益相同风险较低的目标。
(2)投资组合风险分类。①可分散风险。某些因素对单个证券造成经济损失的可能性,如个别公司工人罢工,公司在市场竞争中的失败等。这种风险可以通过证券持有的多样化来抵消。②不可分散风险。是由于某些因素给市场上所有的证券都带来经济损失的可能性,如宏观经济状况的变化、国家税法的变化、国家财政政策和货币政策的变化都会使股票报酬发生变动。这些风险不能通过投资组合分散掉。
2.企业多元化经营
(1)多元化经营概述。多元化经营是当整个产业趋于成熟以及竞争成本过高的情况下,企业考虑既有事业范围之外的成长,是企业进入与自己原有经营业务相关或不相关的新的产业或经营领域,以充实系列产品结构或者丰富产品组合结构的经营模式。
(2)多元化分类。①水平多元化。企业利用现有市场,向水平方向扩展生产经营领域,进行产品、市场的复合开发,从而达到规模经济的目的。②垂直一体化。企业进入生产经营活动或产品的上游或下游产业,形成一条龙式的生产经营态势,以节约交易成本提高企业整体的盈利水平。③同心多元化。企业利用现有技术、特长经验及资源等,以同一圆心扩展业务。同心多元化的相关性佳,协同效应强,有较大的获利性和较低的风险性。④混合多元化。企业进入与现有经营领域不相关的新领域,在与现有技术、市场、产品无关的领域中寻找成长机会。混和多元化的相关性差,协同效应弱,企业难以管理多种不同业务,无法获得战略匹配带来的优势。
3.多元化经营与投资组合对比分析
(1)投资行为对比。证券投资是通过虚拟资本的投资介入新的行业与市场,投资者根据自身对风险的厌恶程度,选择多种证券进行组合;多元化经营则是企业进行的实业投资,是通过介入不同的业务领域,实现行业经营的多元化。
(2)投资目的对比。证券投资的主要目的就是获得投资收益,因此,证券投资决策的目标是投资收益最大而风险最小。多元化经营目的是为了企业的持续成长,是通过跨行业投资,实现行业互补,从而规避经营中的风险。其中:
①不可分散风险。市场上所有的证券由于宏观环境影响可能造成损失;多元化经营中同样容易受宏观经济不景气的打击,造成整个企业亏损甚至倒闭。
②可分散风险。由于各种不确定性因素的存在,单个证券投资是存在风险的,在不同情况下,证券投资可能会得到不同的投资收益,进行投资组合可以规避单项投资带来的风险,从而实现收益的最优化。企业多元化经营将资源分散到不同产品或行业经营中,避免经营范围单一造成企业过于依赖某一市场,使企业在遭受某一产品或经营领域的挫折时,通过在其它产品或行业的经营成功而弥补亏损,从而提高企业的抗风险能力,并尽量减少风险损失。多元化进入技术、机构、职能活动或销售渠道能够共享的经营领域,可以由于范围经济而使成本降低。
二、企业多元化经营风险规避模型设计
在分析了投资组合与多元化经营的相似之处后,基于投资组合中业已成熟的理论,把相关变量重新定义并引入新的影响因子。该模型运用于企业的多元化经营的实践中,指导企业如何通过最优化的跨行业组合,有效降低经营风险以实现企业的持续成长。
1.企业多元化经营模型假设条件
(1)竞争市场是有效的。各行业的行情反映了其内在经济价值,每个经营者都掌握充分的行业信息,了解各个行业的期望收益率及其方差。
(2)经营者投资某个行业的目标是在给定风险下收益最大,或者在给定收益水平下风险最低,即经营者都是厌恶风险的。
(3)行业经营者以期望收益率以及收益率的方差作为选择经营方案的依据。如果要他们选择风险方差较高的方案,都要求有额外的投资收益率作为补偿。
(4)各行业的收益率之间有一定的相关性。它们之间的相关程度可以用相关系数或者收益率之间的协方差来表示。
2.企业多元化经营模型变量说明
(1)多元化经营投资的概率(Ei)。第i个行业在多元化经营中所占的投资比例,其投资组合的概率之和为1。
(2)多元化经营的期望报酬率()。各个行业的期望报酬率以其投资比重为权数计算出来的加权平均数。假定在经营中通过不同行业组合,收益率达到预定目标,即。
(3)多元化经营的方差。方差越大,表明多元化经营组合的投资收益的不稳定性越大,相应的投资风险也就越高,反之则越小。影响标准离差的因素包括,经营者所处的市场竞争环境,市场中各行业竞争的激烈程度,经营者预期的收益及概率等。
(4)多元化经营的行业间的协方差(σij)。是反映多元化经营中行业间相关程度的指标,即行业间的互补情况。随着企业多元化经营中包括行业数量的增加,单个行业的标准差对整个企业多元化经营总体的标准差造成的影响越来越小,而各个行业之间协方差造成的影响越来越大。当企业多元化经营中包括行业数量的增加时,单个行业的标准差对整个企业多元化经营总体的标准差造成的影响程度趋向于零。这就意味着通过跨行业的经营,可以使隐含在单个行业中的风险得以分散,从而降低多元化经营的总体风险。
(5)行业进入壁垒影响因子(F)。进入壁垒是在一种产业中,原有企业相对于潜在进入企业的优势。
3.企业多元化经营均值――方差模型
(1)企业经营n个行业的期望报酬率为:
――多元化经营的期望报酬率
Ei――第i个行业在多元化经营中所占的比重
Ki――第i个行业的期望报酬率
n――多元化经营的行业总数
(2)多元化投资n个行业的风险用组合的方差表示为:
――多元化经营的方差
σij――第i j两个行业的协方差
Ei――第i个行业在多元化经营中的比重
Ej――第j个行业在多元化经营中的比重
(3)行业进入壁垒影响因子
行业进入壁垒=F{结构性进入壁垒,行为性进入壁垒,政策性壁垒}
结构性壁垒=f{规模经济,资本量门槛,绝对成本优势,产品差异化}
(4)多元化经营的优化组合模型
①在一定的预期收益率下,行业组合的方差越小越好。
②在组合一定风险的情况下,行业组合的收益率越大越好。
三、结束语
多元化经营是企业实现持续成长可采用的发展模式之一,证券投资组合相关知识给了多元化有益的借鉴。本模型说明,只要行业间不具有完全的正相关关系,多元化经营的风险就一定小于单个行业经营风险的加权平均值。因此,降低风险的有效途径是选择相关程度较低的行业进行多元化经营。
本世纪初以来,以不确定性为基本研究对象的企业风险管理(Enterprise Risk Management,ERM)理论逐渐进入我国实业界和研究者的视野。2006年6月,国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该《指引》的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。
一、企业风险管理理论概要及在我国的规范化实施
1.企业风险管理(ERM)理论的一般框架。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,COSO)在2004年9月提出的,标志文书是《企业风险管理――整合框架》(Enterprise Risk Management Integrated Framework,下称《整合框架》),这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。COSO认为,企业风险管理是经由企业当局广泛参与,对企业面临的不确定性进行多要点掌控,以实现组织目标的过程。
《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部环境、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的ERM框架是通过对不确定性的管理增加股东价值,以共同的语言和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。
2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威指导文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、财务风险、市场风险、运营风险、法律风险等。
《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。
二、企业风险管理理论本土化过程中应注意的问题
1.找到切合实际的本土化切入点
一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析总结的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
2.建立起具有可操作组织规范
企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的药方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。
3.培育良好的气氛和合格主体
一般讲,一个良好的适合于特定企业的ERM氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与企业战略有机联系;二是能够保证企业的风险管理战略、企业的发展战略与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险语言,和畅通的沟通管道。任何一个ERM框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。
参考文献:
本世纪初以来,以不确定性为基本研究对象的企业风险管理(EnterpriseRiskManagement,ERM)理论逐渐进入我国实业界和研究者的视野。2006年6月,国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该《指引》的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。
一、企业风险管理理论概要及在我国的规范化实施
1.企业风险管理(ERM)理论的一般框架。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO)在2004年9月提出的,标志文书是《企业风险管理——整合框架》(EnterpriseRiskManagementIntegratedFramework,下称《整合框架》),这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。COSO认为,企业风险管理是经由企业当局广泛参与,对企业面临的不确定性进行多要点掌控,以实现组织目标的过程。
《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部环境、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的ERM框架是通过对不确定性的管理增加股东价值,以共同的语言和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。
2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威指导文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、财务风险、市场风险、运营风险、法律风险等。
《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。
二、企业风险管理理论本土化过程中应注意的问题
1.找到切合实际的本土化切入点
一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析总结的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
2.建立起具有可操作组织规范
企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的药方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。
3.培育良好的气氛和合格主体
一般讲,一个良好的适合于特定企业的ERM氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与企业战略有机联系;二是能够保证企业的风险管理战略、企业的发展战略与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险语言,和畅通的沟通管道。任何一个ERM框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。
参考文献:
一、企业风险管理框架分析
企业风险管理的基础性前提是每一个主体的存在都是为其利益相关者提供价值。所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值奋斗的同时,要确定承受多大的不确定性。管理当局依据不确定性,制定战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所有主体的目标的过程中高效率和有效地调配资源,以使价值得以最大化。通过COSO给出的企业风险管理的框架,可知企业风险管理是一个过程,持续地流动于主体之内;由组织中各个层级的人员实施;应用于战略制定;贯穿于企业,在各个层级和单元应用,还包括采取主体层级的风险组合观;旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内;能够向一个主体的管理当局和董事会提供合理保证;力求实现一个或多个不同类型但相互交叉的目标。
(一)企业风险管理的目标COSO报告将企业风险管理的目标归纳为:战略目标、经营目标、报告目标、合规目标。战略目标规划企业经营管理活动所必须长期坚持的有效愿景。经营目标涉及到企业经营的效果与效率,包括业绩指标与盈利指标,旨在提高企业有效及高效地利用资源的能力。报告目标关注企业报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息。合规目标是最基础的目标,考察企业经营遵循相关的法律法规的情况。其中,战略目标层次最高,反映了管理者为努力实现利益相关者创造价值的目标而做出的选择。
(二)企业风险管理的构成要素企业风险管理包括八个互相关联的要素,这些要素来自管理层经营企业的方式,并和管理流程整合在一起。包括:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通及监控。宏观上,内部环境是企业风险管理的基础,为企业风险管理其他组成部分的顺利运行提供了平台。目标设定是全面风险管理的起点,是其他要素的驱动力量。在目标设定的前提下,对影响目标的风险进行事件识别,进而对识别的事项进行风险评佑,风险评估驱动风险反应,影响控制活动,信息与沟通和监督贯穿于企业风险管理的整个过程,并对各个组成要素进行修正。这样,企业风险管理就成为了一个多元化、多方向的、不断重复、相互作用动态的过程。
(三)企业风险管理框架评析认定一个主体的企业风险管理是否“有效”,除了目标制定上的正确性外,还要判断其构成要素是否存在,且有效运行。构成要素如果存在并且正常运行,就可能没有重大缺陷,而风险则可能已经被控制在主体的风险容量范围之内。如果确定企业风险管理在所有四类目标上都是有效的,那么董事会和管理当局就可以合理保证了解主体,并实现其战略和经营目标及主体报告的可靠性以及符合适用的法律和法规。
在ERM框架中,内部审计人员在监督和评价内部控制及相关成果方面承担着重要任务,必需协助管理层和董事会监督、评价、检查、报告和改革ERM的运行情况,这对内部审计人员的能力提出了更高的要求。对内审人员而言,最大的挑战是在ERM中扮演何种角色。但COSO报告认为内审人员不应对建立ERM体系承担主要责任。这可能使内审人员的职责从原来对CFO和内审委员会负责转变为对CFO、内审委员会和风险主管负责。从ENM框架中,笔者发现,其新增加了一个角色――风险主管或风险经理。风险主管除了需要和其他管理人员一样,在自己的职责范围内建立起风险管理外,还要帮助其他经理人报告企业风险信息,成为风险管理委员会的成员之一。可见,风险管理框架的运用对管理层进行了重新配置,加强了管理人员的风险意识,深化了内部控制,同时明确内部审计是风险管理的高层确认者、是对风险管理的再管理。
二、企业风险管理与内部审计的关系
对比COSO制定的ERM概念与IIA修定的内部审计定义,不难发现,企业风险管理框架主要应对潜在的事项,将战略决策贯穿于整个企业实施的过程中,将风险控制在企业偏好的容量限度内,并为企业目标的实现提供合理的保证。因此,风险管理框架下的内部审计关注的核心是企业在实现其自身目标下所经历的各类风险,以及风险大小的测量、风险预警系统的设置情况。
(一)风险管理框架下的内部审计应用效果分析第一,内部审计不同于单纯的财务审计及管理审计,而是融风险管理。公司治理和内部控制的审查于一体,更关注企业在整个治理过程中的决策风险和经营风险。第二,内部审计的职能更加明确。西方业界的“外包化”理念迅速地传至中国,通过外包,企业可以利用民间审计的优势资源和较低的成本为企业服务,这在一定程度上抢占了内部审计人员的业务。生存危机使内部审计部门必须努力寻求自身的存在路径,为企业组织提供独特的增值服务。而在风险管理框架下,企业雇员利用对企业具体经营模式的高度熟悉度及忠诚程度从民间审计CPA事务所手中夺得审核企业的权利,凸显了其优势i通过咨询与鉴证服务,内审人员制定出适合企业的专用审计方案,帮助企业快速作出决策,并提高决策的科学性、实用性,使审计人员的职能更加
明晰突出。第三,内部审计拓展了风险管理的工作范围。传统审计所提供的保证服务通常是事后对某一领域或事项的评价;而风险管理则是对可能影响组织的潜在事件的管理,贯穿于事前、事中、事后并覆盖整个企业。这使内部审计逐渐形成了基于战略计划和风险评估而制定的,向管理层提供确认和咨询的主动服务方式。风险管理框架下的内部审计为强化公司治理及健全内部控制提供了良好的沟通桥梁,促进了公司治理与现代内部控制的协同与整合,有利于企业内部受托责任委员会定期开展评价活动。
(二)内部审计对风险管理框架的促进作用内部审计在企业风险管理中的首要角色是监督者,包括对风险流程的识别评估,对最终产品流程报告的评估和对关键风险管理的预测。在企业风险管理框架中,内审人员首先要针对企业所处行业的特点及企业自身的优势劣势进行SWOT分析,制定出适合企业发展的战略计划,然后识别出可能影响企业运营的事项。为识别这些事项,必须对风险进行评估。可运用“风险坐标图”进行评估。在风险坐标图上,风险的类型和程度均予以标明,通过风险坐标图,可以指明在哪些领域、哪些关键业务上公司的风险比较大,可能会产生不利影响。在明晰和估测风险后,可利用一些模型、软件来测算风险的大小,如果风险值在风险的容量内,该方案就是可行的,否则就需重新设计方案,重新进行优化选择。
此外,内部审计的成功实施还会对企业文化的积淀起着积极的促进作用。企业文化是一个企业在长期生产经营中倡导、积累,经过筛选提炼成的,是企业的灵魂和潜在的生产力,是打造企业核心竞争力的战略举措。企业在不断应对风险的过程中,通过制定的战略规划,建立起企业风险管理文化,而内部审计的职能则由单纯的监督检查的保护性职能向与咨询服务的建设性职能并重转变,使企业的风险管理文化日趋成熟。
三、企业风险管理框架的构建
目前,许多国内企业开始积极进行风险管理建设的尝试,在一定程度上增强了企业抗风险的能力。但总体上,国内企业对风险管理的意识还比较淡薄,这客观上促使我国要在现有的关于企业内部控制及审计准则的基础上建立一套比较系统的、完善的中国企业风险管理框架,来指引和规范当前企业的运营及长远发展。国资委2006年6月的《中央企业全面风险管理指引》正是为推进风险管理建设做出的有益尝试和重大突破。由于我国实行的是以公有制为主体,多种所有制经济共同发展的社会主义市场经济体制。国有经济、集体经济及混合所有制经济并存,体制结构较为复杂。参照《中央企业全面风险管理指引》,可以区分不同的经济体制,分别进行风险管理框架的构建。
风险是指预期结果的不确定性。风险不仅包括负面效应的不确定性,会给企业带来损失,即“危险”,还包括正面效应的不确定性,给企业增加价值,即“机会”。由于风险具有不确定性,于是人们重点关注的焦点便集中在风险管理上。这时,需要一个强有力的框架以便有效地识别、评估和控制风险。企业风险管理整合框架涵盖了内部控制整合框架,并且拓展了内部控制整合框架,但是它没有立即取代内部控制整合框架。ERM框架中对企业风险管理的定义如下:企业风险管理是由一个主体的董事会、管理当局和其他人员实施的,应用于战略制订并贯穿于企业之中,它是一个过程,目的是识别可能会对主体产生影响的潜在事项,把其控制在该主体的风险容量内,为主体目标的实现提供保障。本框架将主体的目标分为四类:战略目标——最高层次的目标、经营目标——包括资源运用的效果和效率、报告目标——报告的可靠性与合规目标。与内部控制框架相比,ERM提出了新的目标——战略目标,并把它放在最高层次上,这就是说企业风险管理的内容与范围上升到了战略高度。同时首次提出了总体层面上的风险组合观,也就是说管理者确定战略目标时,要保持战略与风险偏好的一致,选择与企业风险偏好一致的战略,从风险组合的观点看待风险。在组成要素上,ERM新增了3个要素,ERM框架主要由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督八个要素组成。企业风险管理是一个动态的过程,ERM框架明确提出了风险管理流程:立足于企业内部环境,制定相应的目标,识别相关事项,并进行风险评估,对评估的风险进行反应并控制,整个风险管理过程全部处在监控中,借助信息与沟通实现。
2.国内内部控制的动向
近年来,由于内控不到位而导致企业、公众损失的案例时有发生:中航油陈久霖案,利用金融衍生工具投机,造成国有资产流失;南方航空副总裁委托理财机构操纵自己公司股票,最终资不抵债,破产重组;由于运营风险管理失控导致的三鹿毒奶粉事件;中信泰富签订杠杆式外汇合约导致企业巨亏事件;国美电器黄光裕案、四川长虹等案例的出现是国内企业管理机构下定决心完善内控的重要原因。2010年4月26日,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》,连同2008年5月的《企业内部控制基本规范》,这些政策法规的制定,构建了企业内控规范体系。
关键词:
风险管理;内部审计;风险管理审计
中图分类号:F239文献标识码:A文章编号:16723198(2009)22018102
1 我国风险管理审计准则出台的背景
如今的西方多数大中型企业均已实施了不同程度的风险管理。根据德勤2003 年的调查, 80%以上的世界性金融机构已设立了风险管理师(CRO) 工作职位, CRO 职位比例居首位的为南美洲金融机构, 已达95%, 居末位的为亚洲金融机构, 仅为29%。在目前欧美的部分金融机构中CRO 的职位职能仍然由企业的风险管理委员会行使。普华永道2004 年对全球1 400 位CEO 进行了调查,其中70%的CEO 将发展与提高企业的整体化风险管理能力提高到他们当前工作内容的首位。调查还显示38%CEO 认为, 企业已经建立了行之有效的企业整体化风险管理体系, 另有46%的CEO表示将在1- 3 年内建立与发展企业整体化风险管理体系。
为了适应企业界的这种变化,更好地实现组织价值的增值。国际内部审计师协会(IIA)1999年6月对内部审计进行第五次定义。修订后的定义扩大了内部审计的范围,将它的工作目标延伸到包括风险管理、控制与治理程序,强调了内部审计对组织的重要贡献,标志着内部审计开始进入了风险管理审计阶段。风险管理审计反映了内部审计动态发展的基本趋势和变革倾向。
相比之下,我国企业的风险管理水平还处在初级阶段, 虽然近年来取得了长足的进步, 但就总体而言, 与飞速发展的客观经济形势仍不相适应, 呈滞后状态。近年来国内外上市公司出现的诚信危机, 有力地推动了我国企业风险管理的进程。企业管理当局已经意识到现在的社会也是一个风险全球化的社会。因此迫切需要建立起一套适合我国企业进行风险管理的指导框架。2006年6月国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该指引的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号风险管理审计》(下称:风险管理审计准则),该准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
2 我国风险管理审计准则的内容及局限性
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
首先,可以看出该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万(10×50万=500万)。但是中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云波诡秘,而是在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
其次,对风险管理审计的认识依赖于企业进行风险管理实践时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,下称COSO委员会)在2004年9月提出的《企业风险管理――整合框架》(Enterprise Risk Management Integrated Framework,下称《ERM整合框架》)。这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。国内中央企业在进行风险管理则是在《指引》的指导下并结合自身的实际情况开展的。《指引》对企业风险管理的目标、流程描述,与《ERM整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段.分别对应着《整合框架》中的企业风险管理8大基本要素。所以风险管理审计准则中的风险管理概念要采纳《ERM整合框架》中广义的风险管理观点而非其1992年的《内部控制整体框架》中狭义的观点。
3 运用风险管理审计准则存在的制约因素
3.1 有关风险管理审计的法规及准则尚不完善
风险管理审计是从西方国家引入我国的,相关的法规及准则还不够健全和完备。我国内部审计准则正处于跟国际内部审计准则接轨的阶段当中,关于风险管理审计最主要的法规是2005年5月开始实施的风险管理审计准则,只是就风险识别、风险评估、风险应对进行风险管理审计作了原则性的规定,比较抽象,缺乏对风险管理审计操作的具体指导。其他有关风险管理审计的法规也比较缺乏。
3.2 企业管理观念落后,风险意识不足
随着企业外部经营环境的复杂化,领导层风险意识大大增强,认识到进行风险管理的重要性并着手建立自身的风险管理体系,但水平较低;同时尚未意识到内部审计机构开展风险管理审计的重大意义。在这样的风险管理观念里,很难有效进行风险管理,降低和避免风险带来的损失只能成为空谈。
3.3 内部审计在组织中的地位不合理
内部审计在组织中的地位影响其开展风险管理审计的效果。目前由于内审部门组织地位不合理,风险管理审计的开展变得异常艰难。有些企业将内部审计部门只设置在总经理层级之下,与其他职能部门同一级别。但企业总经理和以上的高层的职权高于内部审计部门,与内部审计部门的权力相抵触,这样在开展风险管理审计过程中,一旦高层发生舞弊或者重大决策失误就不易发现和解决,这样的情况下所进行的风险管理审计工作不仅难以保持内审人员的独立性与客观性,还存在着重大的审计风险,无法保证风险管理审计的质量,最终可能导致企业陷入危机。
3.4 内审人员知识结构单一、缺乏综合知识
风险管理工作的复杂性决定了内部审计人员知识的全面性,决定了内部审计人员必须具备复合型人才的素质,不仅要具备会计、审计专业知识,还要熟悉企业经营环境和生产经营过程,具备管理学、金融、计算机技术、工程制造、法律等多方面知识。我国内部审计人员专业结构中,会计、审计专业占绝对统治地位,而其他专业的工作人员在内部审计人员结构中所占的比例相对较小。知识结构单一不能适应风险管理审计对知识综合性的需求,风险管理审计难以开展。
4 有效开展风险管理审计的对策与建议
基于以上分析笔者认为,要实现有效的风险管理审计,要做到如下几点:
4.1 丰富与完善风险管理审计准则的内容
对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会2004年的《ERM整合框架》中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。
4.2 加速推进国内企业的风险管理实践
企业风险管理理论和《指引》都是针对企业所面临的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式,在企业风险管理理论本土化的过程中应找到符合国内企业实际的切入点。每一个企业都有其特殊的行业特点,既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等。这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骜远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
4.3 全面提高审计人员素质
首先,要改变审计人员专业结构的不合理,培养高水平复合型的人才。其次,要加强培训,强化审计人员的逻辑思维和综合分析能力,提高审计人员运用数理统计模型、金融工程等先进方法进行风险管理分析的能力。
参考文献
一、内部审计概述
(一)内部审计的概念
所谓内部审计,是在组织内部建立,并为管理部门服务的一种具有独立检查、监督及评价的活动。在企业内部所设的本文由收集整理二级审计机构或部门以及审计人员,其可检查、监督与评价内部牵制制度的充分性与有效性,还可遵循国家的法律法规,检查、监督和评价会计及相关信息的真实性与合法性,并依照审计特有的专业技术及方法,监督评价企业资产的安全性与完整性以及企业自身经营业绩的好坏与经营是否合规。保持相对独立性地对本组织的财务活动、经营效益和各项管理活动进行的审计活动。内部审计是现代企业制度进一步完善的产物。
(二)内部审计与外部审计的联系与区别
1、联系:内部审计与外部审计的共同点是都掌握基本的财务审计技术,可能相互借鉴审计结果。
2、区别:一是不同的独立性。内部审计与外部审计的目标不同和服务对象不同,所以两者的独立性也不相同。二是不同的审计目标。外部审计的目标是对财报的合法性与公允性作出评价,而内部审计的目的是评价和改善风险管理、控制和公司治理流程的有效性,帮助企业实现其目标。三是关注不同的重点领域。外部审计主要侧重点是会计信息的质量和合规性,而内部审计是对经济活动的合法合规与经营效率等进行关注。四是不同业务范围。 外部审计是对财务报表、内部控制、鉴证、尽职调查等的审计业务,而内部审计则是以企业的经济活动为基础,并拓展到以管理领域为主的一种审计活动。六是不同的审计标准。法定的独立审计准则级相关的法律法规是外部审计标准。而非法定的公认方针与程序是内部审计的标准。六是不同的专业胜任能力要求。和外部审计相比,由于内部审计是帮助企业实现其目标,改善机构的运作并增加其价值,所以内部审计对审计工作的管理知识水平有一定的要求,要求内部审计人员具备一定的管理知识与水平。
二、内部审计的角色定位
(一)内部审计的职能
内部审计职能指的是反映出内部审计的本质其本身固有的内在功能,其职能为实现审计目标服务,并随着审计目标的变化而变化。其主要包括检查、评价、签证、建
设等职能。
首先是检查职能:主要包括检查企业各项业务与经济活动是否合法合规、企业经济活动资料是否真实可靠以及企业内部各种经济活动的经济有效性
其次是鉴证职能。指的是鉴定与证明被审计单位的财务状况、经济活动及经营成果,并作出审计结论。为了保证报表的质量,签证是在检查的基础上进行。
再次是评价职能。内部审计评价必须要具备一套先进的、客观的及具有可比性的标准与评价指标体系。主要是对单位的计划、决策方案、预算等的可行性与合理性进行的评价、对企业经济活动是否遵循既定的决策与目标所进行的评价以及对企业内控与管理责任制度等是否完备、合理及有效的评价。
最后是建设职能。所谓的建设职能指的是对企业在管理上的优点给予肯定,同时指出其不足,并提出合理化建议,协助企业经营管理者提高经济管理活动的效率与效果。
(二)内部审计在现代企业风险管理中的积极作用
首先,内部审计能从战略高度调控企业风险管理体系
内部审计在现代企业中占有特殊地位,现代企业要求建立隶属于董事会的审计委员会,主要是为了让其能从战略高度对企业的风险管理体系进行调控。审计委员会是对董事会负责的监督监督者的部门,是现代企业董事会的二级机构,其是站在企业治理的高度对其内部审计监控体系进行全面的规划与评价。
其次,内部审计能客观评价企业风险管理体系,提出有效措施,降低风险损失
内部审计独立于各业务职能部门,其不直接从事生产与经营业务活动。这就使审计部门得可站在全局高度、客观的识别与评价风险,对企业进行整体内部控制设计的有效性评估,及时发现内部控制缺陷,协助内部机构确定、评价并实施针对风险管理的方法及措施,并及时的为企业管理部门提出有效的改进措施,控制风险,加强管理,减少风险所带来的损失。
2科技企业风险投资项目存在的问题
2.1风险投资主体过于单一
当前,我国科技企业风险投资项目的投资主体主要依赖政府,科研机构与企业自身,且政府作为投资主体的风险投资项目占绝大多数,而高校科研机构与企业作为投资的主体的情况较少,而甚少是通过民间资金募集,我国范围内有关科技企业风险投资项目的社会资金募集机制尚未建立。在科技企业风险投资项目中,虽然大部分项目都是政府作为投资主体,但是对于科技企业而言,政府投资的资金规模不大,且投资的科技领域有一定的政策倾向,风险投资项目资金都具有较强的流向性,显然这样的投资模式必然导致我国科技企业风险投资项目的投资主体单一化,难以通过社会其他渠道募集到投资资金,这就会阻碍我国科技企业风险投资项目的发展,而另一方面,由于风险投资项目的投资主体过于单一化且大多投资主体为政府或者国企事业单位,这就会是科技企业风险投资项目的资金运作权集中在政府层面,由政府等单一作为投资主体的风险投资项目也会因为运作权的高度集中产生道德风险。
2.2风险投资项目中的信息不对称
古典经济学中,充分、完全的信息是一个假定的前提,但是随着社会经济的快速发展,信息经济学的横空出世打破了这一假定,著名的经济学家詹姆斯·莫利斯把信息的非对称性引入了经济学中,这就大大拓宽了经济学研究的范围与领域,而信息的不对称是普遍存在于现实的经济活动之中的,由于信息的不对称引发了“道德风险”与“逆向选择”等诸多问题,这些大大降低了经济运行的效率,而从这一方面来看,在科技企业风险投资项目中,信息的不对称会给投资项目带来一定的风险。由于科技企业与风险资本的持有者之间的信息不对称,这就导致两者之间产生决策上的偏差,不能共同促使资金的有效利用,促使企业风险投资活动的健康发展,这就客观要求二者之间必须建立有效的、能起到良好的激励和约束作用的融资机制来确保信息的充分披露,以保证科技企业的经营活动不损害风险资本家的利益,并更好地将两者的利益集合起来。风险投资在投资过程要直接参与到被投资企业的具体运作中去,风险投资者要积极地参与到科技企业的管理工作中去,对企业风险投资项目进行管理与监督,保证投资的有合理性与有效性。
2.3风险投资专业人员匮乏
在科技企业风险投资项目的运营与管理中,企业不但需要具有较强金融管理能力的风险投资人才,更需要会技术、懂管理的专业科技人才,尤其是具有高技术的科学家、工程师等专业技术人员。这些人才具有很强的专业技术知识,同时具有丰富的科技研发经验,他们能够准确地分析当前科技企业开展项目的商业价值与技术价值,预测当前项目未来的发展前途,使风险投资资金与项目进行有效结合,进而提高企业风险投资的有效性,为企业创造丰厚利润。但是就目前而言,我国科技企业风险投资项目的缺乏这样的专业人才,这就导致科技企业风险投资发展缓慢。在这种情况下,一些科技企业虽然完成风险投资项目的前期工作,但是随着项目发展的不断深入,由于风险投资人才与高技术核心人才的匮乏,科技企业风险投资项目的发展就会出现一些本可以避免的问题与风险,而这些势必会导致效率下降,最终影响整个项目的运行,甚至也会导致科技企业风险投资项目的失败。
2.4政策引导力度欠佳
从我国科技企业风险投资的支援体系上看,由于我国风险投资起步较晚,尤其是针对科技企业的风险投资的引导,缺乏强有力的政策扶持与相应的法律法规,而且政府对科技企业风险投资项目的扶植也仅限于部分领域,扶植具有较强的政策倾向性,而且就目前而言,我国长期实行科研经费由行政主管部门分配管理体制或者政府财政部门逐级分配的管理体制,科研成果商品化程度较低,而且关于科技企业风险投资的法律法规不完善,对科技企业风险投资缺乏明确的发展计划、规范化的管理方、有效的激励、严格的监督作用,这就很难促进我国科技企业风险投资项目的发展。
3降低科技企业风险投资项目风险措施
3.1培养多元化的风险投资主体
科技企业风险投资项目资金短缺是其在发展过程中遇到的主要问题之一,而风险投资资金的短缺在很大程度上是由于风险投资主体较少引起的,所以发展科技企业风险投资项目,就必须引入更多的风险资本,培养多元化的风险投资主体。当前科技企业发展风险投资项目的主要任务是建立科技企业风险投资运营机制,用良好的机制吸引更多的社会投资主体,逐步提高风险投资的资金量,增加科技企业风险投资项目资金的有效供给,从而构建多元化的风险投资机构。在构建的过程中,要从我国科技企业的实际出发,根据当前我国科技企业的基本情况,创建符合我国科技企业风险投资模式,使科技与资本完美结合。这不但有利于扶持我国科技企业风险投资事业的发展,也能拓宽新的合作渠道,帮助企业产品顺利进入市场。与此同时,要逐步创立风险投资公司,以高新技术项目、企业生产销售条件以及银行贷款联合创办高新技术风险投资公司,风险投资公司可以从成功企业的股份升值中较快地收回风险投资,用成功项目的收益来弥补失败项目的损失,形成资金的良性循环和合理运用。
3.2建立发达的信息沟通渠道
在风险投资过程中,如果各个风险投资公司之间缺少必要的沟通和联系,每个风险投资项目从确定到运作到最终退出都是风险投资公司独自进行信息的收集、分析和处理,那么不仅投资成本偏高,而且投资决策也很难做到客观公正。因此,除风险投资公司建立健全自己的信息网络即专家库之外,企业根据实际需要,由政府或行业协会牵头,企业参与,组织和建立畅通、便捷、高效的信息沟通渠道,通过局域网或者是互联网等方式联接,使科技企业能够及时掌握国内外最新专利、技术等技术市场的行情信息,并获取风险投资资金的信息,保证科技企业风险投资项目的资金需求量,这样既可以为相关的风险投资者提供适合的风险投资项目,也可以为科技企业的创业者提供更多的资金来源渠道,进而保证科技企业风险投资项目资金的充裕,为企业创造更大的经济价值。
3.3积极培养复合型风险投资人才
在风险投资项目过程中,对风险投资项目的运行不但需要熟练掌握高新技术,且具有创新精神、敢于冒险、富有进取精神的技术人员,更需要具有金融知识并有较强风险意识的风险投资管理者。就目前来看,我国科技企业风险投资项目的相关复合型风险投资人才较少,而近年来科技企业风险投资项目与日俱增,所以复合型投资人才难以满足当前风险投资项目的发展。我国科技企业在发展其风险项目的同时应当积极培养复合型的风险投资人才。一方面科技企业可以通过与科研机构或相关高校合作,开设相关风险人才培养专业,以此满足市场对相关复合型风险投资人才的需求。另一方面加强对国内外风险投资人才的学习力度,积极学习国内外先进的风险投资项目管理经验,以此提高大庆复合型投资人才的质量。
2风控管理体系建立目标与企业需求
为满足外部监管和管控要求,结合企业多元化战略等特点,对企业全面内控及风险管理水平和能力进行诊断和优化,加强内部管理水平,防范企业风险,围绕企业战略经营目标,建立覆盖企业各业务、各部门的风险识别、评估及应对机制,培养和建立企业内部的风险管控专业化人才队伍,加强企业合法合规经营。风险管理信息化控制要求企业流程规范、制度完善,对企业一些风险采取风险预警及采用风险应对措施,行业内部提出建立《全面风险和内部控制风控管理体系》的理念。2009年,集团公司成立风险审计内控部门,下属单位也相继成立风控审计部门,目的为了建立更好的企业,防止出现企业战略与经营层面的一些风险,借助国外的经营管理思想,提出风险和内控理念。在企业经营发展中会面临各种各样的风险,如在战略层面企业需要投资一个新的企业,需要评估整个市场的定位,评估战略风险、实施结果风险、企业资金流风险,决策层面的风险、流程方面的风险、生产过程中进度风险、质量风险等等,这些风险都是企业所需要面临的,怎样规避这些风险以及采取应对措施,尽量减少对企业的损失是建立风控体系的目标。当然也存在利好的风险,如果对这类风险应对得当,对企业的发展反而是有利的。全面风险管理体系建设目标是建设以风险管理为导向、以内部控制和内部审计为手段的风控体系,并通过信息化将风控体系与各价值链活动和管理活动有机融合,提升企业运营管控水平,保证企业战略经营目标落地。
3风控管理体系建设总体思路
传统企业建立风控体系是以部门级需求为主、以企业风控主管部门为主,独立完成各类风险评估,建立部门级风控体系,仅仅是风控审计部门的一个风险评估工作平台,并未达到企业级防控目标,提升不了企业战略高度。企业风险有战略经营层面风险、资金风险、库存风险、生产风险、IT风险、服务风险、交付风险等渗透在各个业务流程中,只有各个业务部门知道各个业务的风险发生点,所有风险的监控需要各业务部门协调,由企业级风险控制部门统管,组成企业级风控团队,提高企业风险管控能力。为了满足企业的经营发展,需从部门级风控需求上升至企业级风控需求,驱动企业战略目标,使企业业务流程化,组织绩效最大化,建立基于端对端流程的业务协作和信息共享,面向企业级需求总体设计和规划企业风险控制管理体系。
控管理体系的建设方法
做好企业的风控管理,实际上是对企业IT系统的治理和改造过程,将风控点渗透到企业信息系统中,找到风险点在何处,分析哪些风险是对企业影响最大的,哪些风险是业务层面的,由公司风控管理部门协调管理。风控体系建设目标分为体系建设和IT建设两部分。首先企业应明确风险是企业全部门的事情,要培养企业员工风控意识,没有风控意识,企业制度不完善,业务流程不规范甚至没有业务流程,都将影响企业的经营战略。风险管理文化要贯穿至企业各业务和流程中,完善企业各类制度、规范流程,梳理出各类风险点,企业就有了风险体系和风险管理文化,基于风控体系企业的合规性IT建设就有良好的基础了。从体系优化到IT系统固化:风险监控预警与内部控制系统采用一套流程、不同视角的设计理念,可在企业战略管理、科研生产等各项活动中,对各类风险进行识别、评估、应对和分析,通过数据集成提供实时动态的风险监控预警。发挥IT技术对风控体系在各业务系渗透作用,力促营造依法合规、科学规范、风清气正的运营氛围,保障企业的持续发展。
5风控管理体系的蓝图设计、方案设计
围绕企业战略流程的嵌入式管控体系,梳理出各业务风险点。风险监控值、目标值、阀值和实际值都来源于业务。根据企业发展阶段,通过风控系统风险数据的准确性得到保证,风险指标的合理性、监控预警模型和算法得到规范,实现企业风险智能监控;企业领导层所关注的各个层面的风险展示界面清晰、快捷;企业风险点明确;风险评估、预警准确及时;为决策及管理层提供风控主题,使风控企业内闭环流转,提高工作效率。经过大量的闭环运行,企业预警模型才能逐步完善,基于模型创建风险指标,才能实现企业风险的智能监控。风控体系建设蓝图设计使风险-内控-审计有机结合,在各项业务活动中管控风险。风控体系的建设从企业战略目标出发,梳理业务架构,考虑影响战略目标实现的各风险领域,在此基础上设计支撑战略目标实现的内控管理流程及具体控制措施。风控体系的建设应将企业已有的应用系统与风控系统集成设计。企业风控体系的建设,实际也是对企业IT系统的治理和改造,将风险点渗透到各个相关系统业务点,通过风控系统也业务系统关联,达到风控目标。全面风险管理框架是:风险管理体系-风险管理文化-风险管理组织职能体系-内部控制系统-风险管理信息系统-风险管理绩效考核。风险管理体系———风险管理文化是企业文化的一个重要部分,风险管理文化的建设应融入企业文化建设全过程,将风险管理意识转化为员工的共同认识和自觉行动,促进企业建立系统、规范、高效的风险管理机制。风险管理文化需在企业内部形成共同的风险语言,在各个层面营造风险管理文化氛围。风险管理文化建设应与薪酬制度和人事制度相结合,有利于增强各级管理人员特别是高级管理人员风险意识。建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途经和形式,加强对风险管理理念、知识、流程、管控核心内容的培训,培养风险管理人才,培育风险管理文化。风险管理体系———风险管理组织职能体系第一道防线,有关职能部门和业务单位。提出这道防线,最大好处是把风险管理的手段和内控程序融入到了企业的各业务单位的工作与流程中,防止风险管理与各业务单位的工作脱节,搞“两张皮”。第二道防线,专职风险管理职能部门和董事会下设的风险管理委员会。在进入全面风险管理阶段,设立这道防线,有利于统一组织领导,统一策略与标准,共享人力资源。第三道防线,审计委员会、内部审计部门。风险管理体系———内部控制系统从企业战略出发,以风险为导向,通过评估、改善与提升、监督的方法维护公司内部控制系统的有效运作,实现内部控制的五个目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。风险管理体系———风险管理信息系统:风险管理信息系统需包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。风险管理体系———风险管理绩效考核,各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送企业风险管理职能部门;企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,对风险管理策略进行评估,对跨部门和业务单位的风险管理解决方案进行评价,提出调整或改进建议,出具评价和建议报告,及时报送企业总经理或其委托分管风险管理工作的高级管理人员;建立内控考核评价制度,把各业务单位风险管理执行情况与绩效薪酬挂钩。