法律顾问网欢迎您访问!法律顾问网力图打造最专业的律师在线咨询网站.涉外法律顾问\知识产权法律顾问\商务法律顾问 法律顾问、委托电话:13930139603,投稿、加盟、合作电话:13932197810 网站客服:点击这里联系客服   法律文书 | 在线咨询 | 联系我们 | 设为首页 | 加入收藏
关键字:

律师咨询电话13930139603

首 页 | 法治新闻 | 民法顾问 | 刑法顾问 | 普法常识 | 法律援助 | 社团顾问 | 商法顾问 | 律师动态 | 公益讼诉 | 执行顾问 | 经典案例 | 法律法规

国际贸易

知识产权

税收筹划

公司事务

土地房产

建筑工程

合同纠纷

债权债务


劳动争议


医疗纠纷


交通事故


婚姻家庭
社团顾问 税收筹划 | 房地产企业 | 金融机构 | 产业政策 | 服务业 | 外资企业 | 企业顾问流程 | 政府和社会团体  
企业顾问流程  
企业风险管理浅析
作者:石家庄赵丽娜律师编辑   出处:法律顾问网·涉外www.flguwen.com     时间:2011-03-22 13:10:00

企业风险管理浅析
风险是普遍存在的,任何经济组织,不论其规模、结构、性质或产业如何,其运营及组织内的不同层级都会面临来自内部或外部的不同风险。风险影响着每个经济单位的生存能力和竞争能力,影响着它们维持自己财务方面的稳固、正面的公共形象,也影响着它们的产品、服务及员工的整体品质。风险与经济组织的运营相随相伴。管理者永远不可能消除风险,因为管理者的每一决策本身即蕴含着风险。管理者能够做到的是建立有效的风险管理机制,将风险控制在一个合理的水平。
         第一节 风险的概念和风险管理的重要性
  理解风险的概念和风险管理的重要性是有效进行风险管理的前提,本节将从风险概念的起源谈起,介绍风险的概念和风险管理的重要性。
 一、风险的一般概念
 风险是无时不在的,但人们对风险和风险管理的认识却是随着社会的进步和经济的发展而日渐成熟的。
  风险的概念起源于意大利,十七世纪由法国传人英国,十九世纪早期传人美国。风险在英文词典中的定义是“遭受损失或伤害的机会或可能性”。换句话说,每次当我们所进行的活动可能使我们遭受损失时,我们就面临某种程度的风险。风险是高还是低,取决于预计的损失的大小和发生损失的可能性。如果预计损失很小或者发生损失的可能性微乎其微,风险就很低。
  国际内部审计师协会对风险的定义是:风险是发生某种影响目标完成的事件的不确定性。风险的大小可用该事件的后果和可能性来计量。因此,在有可能发生使企事业单位的经营目标不能实现的事件时,就存在着经营风险。比如,如果企业销售采用的是赊销方式,在审核销售收入的风险时,只有在预计某个客户有可能不能如期偿付货款时,该笔销售收入才有风险。
  风险具有以下特点:
   1.风险的不确定性
  风险不是一定会发生的损失,只是有可能发生的损失。必定会发生的损失,即使还未发生,也不再是风险,因为结果已经确定。因此,如果某项决定的结果是确定的,则不论将来的结果是损失惨重还是收入丰厚,都不再存在风险。所以,某项行为或决定是否有风险,取决于其是否可能带来损失。比如,投资建厂,将来可能盈利,也可能亏损,这种发生亏损的可能性就是风险。而购买国债,基本上投资风险为零,因为将来的收益——国债利息收入在购买时已经是确定的。
  2.风险的绝对性
  但是,从绝对意义上来说,任何行动的结果都是不可能事先完全确定的,总有不确定的影响因素存在,可能对预计的结果产生不利的影响,因此总是存在某种程度的风险的。从极端的角度考虑,即使是购买国债,也可能由于将来发生异常事件,比如发生全国范围的地震或其他自然灾害,给国家和人民造成巨大损失,政府可能需要资金救灾和重建家园,因而降低国债利息支出,使投资者的利息收入比预期的要低。这种可能性是完全存在的,只是因其发生的可能性极小,我们在考虑问题时可以忽略不计,因此视同没有风险。
  3.风险判断的主观性
  对于风险的评价也是因人而异的。在某个人看来有极大的风险的情况,可能对于另外一个人来说没什么风险或者风险极低,因为对于风险的评价取决于评价者对于风险的可能性的估计和对风险的承受能力。比如,对于是否需要签订长期的商场租赁合同,有的商家认为很重要,因为他们预测销售业务将蒸蒸日上,而租金会上涨,业主将来不同意续约的可能性极大,如果合同租赁期不够长,将导致商场被迫中断经营,搬迁出去,这种情况所造成的损失是他们完全不能接受的,因此一定要签订长期的租约以作保障。而有些商家则认为他们与业主的租赁关系良好,不能续约的可能性极小;或者即使不能续约而被迫搬迁所带来的损失是可以接受的;或者企业在商业领域的发展未必很长久,以后需要续约的可能性不大,因此,只签订了相对较短的租赁期。可见,租赁合同的长短,取决于商家对于未来不能续约所造成的损失的评价,这种评价基于其对未来的经营情况和租赁关系做出的判断。
 二、风险管理的意义
 一个单位的经营管理活动是有明确的目标的,比如,一般而言,企业的经营活动是为了实现股东价值的最大化,即实现最大的利润。但是,在企事业单位的经营管理活动中,由于存在各种内部和外部的不确定因素,诸如法治环境、市场竞争、消费者的消费习惯、科技发展等的变化,使单位的经营活动有可能不能达到预期的目标。比如,政府投资建设某种通讯设施,可能还未投入使用,就由于另外一种新技术的迅速发展而被淘汰;或者,政府的研究部门进口某套先进的设备,以外币定价,可能由于外汇升值超过预期水平而需要以更多的人民币兑换支付,超过了预算;或者,某部分税法的规定可能改变,使某些企业不再享受某些优惠政策,导致这些企业的利润下降甚至亏损而不能实现预期的利润;或者,竞争对手可能采取高薪策略吸引企业的大批高级技术人才外流,导致企业产品的质量下降,失去竞争力,影响销售收入,等等。总之,由于各种不确定因素的影响,企事业单位的经营活动难免存在各种各样的风险。各个单位必须对各种风险进行分析和控制,及时采取必要的措施以降低风险,才能确保实现经营目标。因此,有效地管理各种风险对于企事业单位实现经营目标具有重要意义,这表现在以下方面:
  1.有利于作出正确的决策
  世界经济的全球化发展,使各国市场日益联成一体,一个国家的政治、经济情况的变化就可能影响其他国家的经济,导致经营环境中不确定的因素增加,决策更加复杂和困难。单位只有建立有效的风险管理机制,充分分析各种风险,才能在变幻莫测的经济环境中作出正确的决策。比如,一个国家的货币贬值或经济政策的调整,不仅影响国内的经济,还势必直接或间接地影响贸易伙伴国家的商品进口和出口及其国内市场。因此,生产厂家和贸易公司在分析国内外市场对商品的需求时,还要考虑?E率的变化趋势和其他贸易伙伴国家的经济政策对国内外市场的影响,确定不同情况下的市场销售策略,并对汇率的变化进行监控,才能根据不同情况及时作出正确的决策。
  2.有利于保护资产的安全与完整
  一个单位的资产包括有形资产、无形资产和人力资源,这些资源的安全和完整是存在风险的。为了保证企业有足够的资源进行经营生产,实现预期的利润,企业必须采取各种有效的风险控制措施才能保证各项资产的安全。比如,企业创立的品牌商标,本来是企业的无形资产,而如果被他人抢先注册了,企业则失去了所有权和使用权,不再拥有这项资产,也不能再获得该商标带来的超额利润。企业为了避免这种风险都会及时注册商标,并监控是否有其他企业仿冒本企业的商标,侵害本企业的市场份额和销售利润。
   3.有利于实现营运活动的目标
  任何单位的营运活动都可以用“3E”来衡量业绩,“3E”即经济(Economy——产出一定,投人最少),效率(Efficiency——投入一定,产出最高)和效果(Effectiveness——产品符合要求),任何一方面可能发生的损失都是风险,只有做好风险管理,才有可能实现“3E"。企业追求股东价值最大化、利润最大化,必须以最有效率的方式进行生产经营,才能利用有限的资源获得尽可能多的利润。但是,企业在经营管理活动中对资源难免存在因利用不当而浪费的情况、低效使用的情况,不合格产品的返工成本就是一种损失。风险管理,就是要减少或控制这种可能产生损失的因素,比如,采取一定的质量管理措施,减少原材料质量不合格的风险、降低生产加工质量不合格的风险等,以减少产品不合格的风险和返工的成本。
  综上所述,随着市场经济的发展和国内外政治、经济环境的变化,企事业单位的经营管理所面临的风险因素增加了,而且在不断变化,任何风险管理方法都不可能监控或消除所有的风险。经营管理者只有认识到风险管理的重要性,才能通过建立适当的内部控制系统,采用一些风险管理方法,并不断随着内部、外部风险因素的变化而做调整。只有这样,才能减少和控制风险因素的影响,将损失控制在可以承受的范围内,从而实现单位的经营管理目标。
           第二节 风险环境和风险分类
 一、风险环境
 任何一个企事业单位都是在一定的环境中开展经营管理活动的,而这一环境存在的各种不确定的因素可能使单位不能实现其经营目标,这种有风险的经营环境就是单位的风险环境。外部的法律、政治、经济环境会给单位带来风险,内部的经营管理活动也会产生风险。来自外部的风险主要是法律风险、政治风险和经济风险;来自内部的风险主要是单位的战略风险、财务风险、营运风险及诚信风险。单位的内部风险和外部风险是相关联的,外部的经营环境的变化影响单位的内部管理和决策上的风险,单位内部管理和决策也会增加或降低外部的风险。建立健全内部风险控制系统可以减少外部风险对单位经营活动的影响,降低经营风险。
 二、外部风险
 外部风险主要有法律风险、政治风险和经济风险。首先是法律风险。从宏观上说,法律环境包括法律体系是否健全、法律的强制性和透明度、执法的独立性等。微观上看,法律环境包括涉及各种契约关系、侵权行为等直接与单位的经营活动相关的明细法律法规是否明确和完善。如果这些方面不是非常明确,或者经常改变,无法预测,单位的决策面临的法律风险就会非常大,以前合法的决策会由于法律的改变而变成不合法的,给单位造成巨大损失。比如新环境保护政策,可能要求企业必须淘汰原有的设备,购买新的无污染的设备,企业不得不损失已投资的设备,因此,企业作决策时必须考虑法律的调整方向所带来的风险。政治风险是指社会变革、国家行为、政府的稳定性及国有化趋势等带来的风险,主要关系到单位的社会环境是否长期安全稳定。政治环境如果不稳定,单位就必须考虑如何采取措施减少风险损失。比如在两个国家之间可能发生战争的情况下,贸易公司为了避免货物损失,会向保险公司增加投保战争险。经济风险包括市场竞争状况、消费者的消费倾向、电子商务、总体经济发展情况等方面的变化带来的风险。不同的经济环境,组织机构面临的风险是不同的,经营决策也是不同的。比如,企业在计划经济条件下的经营方式与在完全竞争的自由经济条件下的经营方法是完全不一样的,在经济萧条时期和经济快速增长时期的增长决策也是不同的。电子商务的发展,会使部分消费者从传统方式经营的企业转向采用网络交易的供应商。企业如果不能及时把握新的经济趋势,了解经济环境中发生的变化及变化给企业带来的风险,就可能由于无法应对没有预料到的风险而丧失发展的机会,甚至破产倒闭。
  法律风险、政治风险和经济风险是相互影响、相互关联的。法律健全稳定,政治也会相应地比较稳定,相对而言市场竞争会公平一些,单位的整体经营环境会清晰二些,决策的可行性、可靠性会高一些。所以,单位在分析外部风险时,要从局部人手,作整体的系统的考虑,才能对外部风险有全面的把握,作出正确的决策。
  三、内部风险
  企事业单位的内部风险源自企事业单位的经营业务,与外部风险相比,一般来说更容易分析和管理,也比较容易辨识,可以通过一定的控制程序将其降低到可以接受的水平。首先是战略风险,它包括单位的发展战略、市场战略、投资战略,品牌战略等,是单位经营管理的宏观决策,决定单位发展的方向,如果发生决策性失误,可能导致单位遭受不可挽回的损失。比如,有许多企业在发展过程中,制定多元化经营策略,投资不熟悉的领域,结果不仅不能收回投资,反而损失了盈利项目的利润。其次是财务风险,包括融资风险、利率风险、汇率风险、投资回报率等。企事业单位的一切经营活动都需要资金,财务上的风险控制不当,也会导致巨大的损失。比如,扩大经营规模需要追加投资,如果不能及时获得需要的资金,不能按时履行合同,不仅有可能失去扩大市场的时机,还有可能导致合约对方的巨额罚款。另外一个内部风险是经营风险,如财产损失、信息管理风险、供货风险、人才流失、物流风险、营运风险等。这些风险是由企事业单位的经营特点决定的。比如,对于零售企业来说,不能及时采购到保质保量、市场所需的商品是企业的重要风险。而对于传统生产企业而言,由于原料采购相对稳定,更为重要的风险可能是由于市场的变化而失去销售订单,产品销售不出去。最后,丧失诚信也是企业的重大风险。企事业单位的不法行为、舞弊、贪污、不良信用等,都会给单位带来负面影响,也有可能导致重大损失,例如企业的某些严重违法行为不仅可能导致政府的巨额处罚,还可能被迫停业整顿或永久关闭。
  与各种外部风险一样,单位内部的各种风险也是相互作用的,财务风险、营运风险和丧失诚信的风险都会影响单位的决策,单位在决策上的风险也会增加财务风险、营运风险和诚信风险。比如,企业的增长战略是兼并,那么就相应地增加了财务融资的风险和营运上融合其他企业的风险。如果财务不能融通需要的并购资金或者营运上不能成功地经营管理被兼并的企业,都会导致企业增长目标的失败。
  四、外部风险与内部风险的关系
  作为一个整体,企事业单位的经营管理活动是在存在着各种风险的内部和外部环境中进行的,单位内部和外部的风险都是相互关联、相互作用的,外部的经营环境的变化影响单位的内部管理和决策上的风险,单位内部的管理和决策也会增加或降低外部的风险,单位的内部风险如果控制不当,必然会影响单位的经营结果。因此,企事业单位必须建立合适的风险管理系统,对这些风险进行分析和控制,才能减少风险的影响,实现其经营管理目标。
             第三节 风险管理的方法
  风险存在于整个单位的经营活动中,企事业单位既要对各项风险进行分别管理,也要对总体风险进行综合管理。美国国家虚假财务报告委员会赞助机构研究小组(COSO,内容介绍见下一章节)对企业风险管理的定义是:企业风险管理是由企业的董事会、管理层和其他人员实施的、从战略层面开始的、并贯穿整个企业的一个过程。这个过程的设计是为了及时识别可能影响企业的潜在事件并按企业接受风险的态度管理风险,为实现企业目标提供合理的保证。以下介绍风险管理的内容和方法。
 一、风险管理的内容与方法
 企事业单位风险管理的目的是为了有效地经营、提供可靠的财务报告、遵守适用法律法规、实现单位的经营目标。企事业单位风险管理的范围很广,包括传统意义上的对交易、财产和营运的内部控制系统,还包括向董事会提供企业风险管理方面的信息,主要是关于企事业单位最重要的风险及管理的情况。董事会负责监督管理层的风险管理系统设计和运作,管理层负责设计和运作风险管理系统,企事业单位所有人员都对保证风险管理措施的成功实施负有责任。
  根据COSO的分析,企事业单位的风险管理活动包括七个基本要素:控制环境,事件识别,风险评估,风险反应,控制活动,信息和沟通,监控。
  1.风险环境分析
  这里的环境是指企事业单位风险管理的环境,包括前面所讲的单位的风险环境、经营目标、实现经营目标的战略措施以及涉及具体操作程序的经营模式,还包括董事会和管理层的“风险管理哲学(理念或态度)”及冒风险的“欲望”,因为董事会和管理层对风险的态度将影响企事业单位对业务活动的选择和为使风险被控制在可以接受的水平而采取的措施。比如,如果董事会和管理层对风险的态度是非常保守的,那么企事业单位有可能只选择在一些风险非常低的领域里投资,当然收益也可能相对较低。
  2.风险事件识别和风险评估
  在了解企事业单位的经营目标,考虑了企事业单位的内、外部环境的情况下,能辨别出所有可能发生的、影响单位实现其目标的重要事件(情况),即所有的风险。然后进行风险评估,分析风险发生的可能性(概率)和影响(损失),包括定量和定性分析。除了做个别风险分析,还要考虑同时发生某些风险的情况。
  3.风险反应
  了解了风险的重要程度后,企事业单位可以做出“反应”,决定是接受风险、避免风险,还是减轻风险。对于企事业单位完全不能接受的风险,比如违法经营的风险,一般是避免这种风险,即放弃带来这个风险的计划或行动,因为任何风险控制的措施都不可能完全消除风险。某些风险在企事业单位可以承受的范围内,单位可以接受,不必再采取额外的措施。其他的风险有相对的风险回报,单位可以考虑接受,但要采取减轻风险的措施,才能将风险降到可以接受的水平,获得希望的回报。减轻风险的措施包括减少风险、转移风险或分担风险。比如在汇率波动较大的时期,单位的大额进出口贸易会导致较大的汇率风险,单位一般会采用外汇期货或其他方式来保证将汇率损失控制在可以接受的范围内。
  4.控制活动和风险信息沟通
  控制是指管理层设计的一系列工作控制程序和政策,其目的是为了减少日常工作中的风险以及意外事件带来的风险。控制贯穿整个组织,主要包括企事业单位的各项内部控制制度,比如批准、授权、审核、分工、财产安全保护等。这些程序和行动的目的是为了确保工作正常进行,质量得到保证,各项降低风险的措施得以贯彻实施。另外,为了有效地控制风险,风险信息要及时准确地传递给相关人员。虽然在风险识别、评估、反应和控制行动过程中,柑关人员已了解了必要的信息,但由于风险信息的复杂和微妙,企事业单位要确定恰当的形式传递风险信息,并及时在工作人员、管理层和董事会之间进行有效沟通,使各层面的人员能及时了解情况,履行相应的控制职责,也使其他外部利益相关者获得适当的信息,对企事业单位在风险管理方面的能力建立信心。
  5.监控风险管理的有效性
  企事业单位还要建立对风险管理系统的监控。与前面的控制某一具体工作的控制程序不同,这是对单位风险管理是否有效进行监控,包括对内部控制系统运行情况的持续监控。比如,系统会自动核对不同部门手工录入的有勾稽关系的报表,将核对不上的报表体现在例外报告中。审核人员既检查例外报告中的报表以确认其是否正确,也抽查系统自动处理的不在例外报告中的报表以确认其是否正确,确保系统控制正常,没有发生错误和遗漏的情况。监控也包括对定期检查结果的评价和对异常事件处理情况的评价,这是对日常控制的整体有效性的监控和对单位的意外事项的风险管理水平的监控。
   以上是企事业单位风险管理的模式。由于单位资源的有限性和管理控制的成本考虑,单位在设计内部控制机制时应以风险识别和分析为基础,在必要的环节设置控制点,才能达到风险管理的有效性和有效率。风险管理是一项系统工作,贯穿于企事业单位的所有经营管理活动中,从日常的质量控制到突发事件的防范,都包含风险管理的概念。企事业单位必须建立有效的、有效率的风险管理机制,以便及时发现风险和控制风险,才能实现单位的经营目标。
 二、风险管理的一般过程
 企事业单位的风险管理同时还是一个全面的、系统的过程,它不仅仅限于对某一件事情和情况的处理,而是一个动态的、持续的过程,渗透到单位的每个方面,涉及每个层面的人员。单位通过在日常工作中嵌入风险管理机制,可以更好地识别风险和管理风险。从具体操作上来说,一般单位的风险管理的程序包括确定风险管理环境、识别风险、分析风险、评估风险和处理风险。
   在这个程序中贯穿始终的是风险信息沟通和监控/结果评价。需要强调的是风险识别包括识别日常工作中的风险也包括预计发生意外事件的风险,比如日常应付账款处理时发生支付虚假供应商的风险,以及发生意外火灾导致财产损失的风险。为了避免遗漏重要的风险因素,需要单位的各级管理人员参与风险识别和分析,筛选出各部门的重要的风险,然后根据单位的整体经营目标对各部门的风险的影响进行评估,并排列出对单位有重要影响的风险,为这些重要的风险制定控制方案,由相关部门制定具体的行动计划付诸实施,以达到降低风险的目的。当然,企事业单位还要不断地对这些风险管理的情况和结果进行评价,提高风险管理水平。  ’
           第四节 COSO风险管理模式介绍
  COSO是美国国家反虚假财务报告委员会赞助机构研究小组Committee of Sponsoring Organization of the Treadway Commission的英文缩写,是该委员会 (又称杜德威委员会,以该委员会主席杜德威得名)的主办机构于1985年自发成立的另一个民间专业组织。它的主办机构主要是美国五个财务会计方面的专业协会,包括美国会计协会、国家会计师协会(现为管理会计师协会)、美国注册会计师协会、国际内部审计师协会和财务执行官协会。COSO主要由这五个机构设立,也独立于这五个机构。
  COSO最初是这些赞助机构为了辅助美国国家虚假财务报告委员会而成立的,致力于通过加强职业道德(行为准则)、有效的内部控制和公司治理来提高财务报告的质量。COSO的主要研究报告包括《虚假财务报告:1987—1997上市公司》,《衍生工具使用的内部控制问题》,《内部控制:整合性架构》和《企业风险管理架构》等。本文主要介绍《企业风险管理架构》中的主要内容,即常称的COSO风险管理模式。
  一、COSO报告的目的
  COSO风险管理模式从分析风险管理的相关性开始,指出由于企业经营环境和经营决策中存在可能带来风险也可能带来机遇的不确定因素。管理层面临的挑战是要决定为了获得利益相关者(包括股东、企业所在社区、员工、顾客和供应商等受企业影响的各方)的价值增长而准备接受的不确定因素的程度。利益相关者的价值只有在企业的管理战略、增长目标、风险控制和有效地使用企业资源四者之间达到最佳平衡点时才实现最大值。风险管理有助于企业识别阻碍其实现战略目标的各种风险,并使企业的价值增长、风险和投资回报相联系,使企业战略和企业对风险的接受态度一致,加强企业的风险反应决策,降低损失和减少发生突发事件的情况。企业风险管理与公司治理是紧密相连的,管理层负责向董事会提供重要风险以及如何管理风险的信息。企业风险管理与内部控制也是紧密相联的,内部控制是企业风险管理不可分割的一部分。总之,企业风险管理的目的在于帮助企业实现利润目标,防止损失,提高财务报告的质量;遵纪守法,避免信誉损害等,帮助企业到达目的地并避开沿途的险境。然而,不同的人对于风险管理有不同的理解。COSO企业风险管理模式的重要目的之一是整合不同的观点形成一个框架,确定通用的定义和基本要素,为企业评估风险管理和法律制定者制定法规提供一个起点。
  二、COSO对企业风险管理的定义
  COSO确定的企业风险管理的定义是:企业风险管理是由企业的董事会、管理层和其他人员实施的,从战略层面开始并贯穿整个企业的一个过程。这个过程的设计是为了识别可能影响企业的潜在事件并按企业接受风险的态度管理风险,为实现企业目标提供合理的保证。内部控制是企业风险管理的一个组成部分,《内部控制;整合性架构》的全部内容都在企业风险管理框架中。
  三、COSO确定的企业风险管理基本要素
  COSO确定的企业风险管理的7个基本要素是控制环境、事件识别、风险评估、风险反应、控制活动、信息和沟通、监控。COSO对每个部分给出了明确的解释和详细说明。
  四、风险管理和企业目标的关系
  COSO指出企业风险管理是企业管理程序中的一部分,企业通过评判风险管理在4个层面的目标(战略目标、经营目标、可靠的报告、遵守法律)中的有效性可以得到实现企业经营目标的合理保证。评判的内容包括:了解企业战略目标实现的进度,了解企业经营目标实现的进度,确定企业的报告是可靠的,相关的法律得到遵守。COSO指出企业四个层面的目标与这七个部分之间的关系是:企业风险管理的每一个要素都适用于四个层面的目标,每个目标都与七个基本要素相关。
  五、风险管理的限制因素
  COSO指出了企业风险管理的限制因素:经营决策者的人性弱点的现实,多个人员的合谋作弊,风险控制的高成本/效益比率,控制程序没有正常运行,管理人员超越控制程序,等。因此,风险管理可以有助于确保管理层知道企业的进屉,但不能确保经营目标本身的实现,对企业的任何目标都不能提供绝对的保证。
  六、相关人员在风险管理中的责任
  企业中的每个人都对风险管理负有责任,COSO提出了相关责任人的角色和责任:董事会和企业的首席执行官负有最终的责任,其他管理人员要支持企业的风险管理并负责职责范围内的风险控制程序的有效运作,其他人员负责执行制定的风险管理指示。COSO进一步详细说明丁财务执行官、风险执行官和内部审计人员的责任。董事会负责监督企业的风险管理,外部审计师、执法人员、顾客、供应商,商业伙伴,财务分析师、债券等级评价机构、新闻媒体等可以提供有用的信息给企业。最后,COSO提出了各方应采取的行动:董事会要与管理层讨论企业风险管理的状况并进行监督;高层管理人员、首席执行官、财务执行官及主要部门的负责人要讨论企业风险管理的能力和有效性并确保存在持续的监控程序;企业的其他人员要考虑如何执行风险管理及加强风险管理;执法人员可以考虑采用本企业风险管理框架的定义和内容对企业的管理加以规范;对财务管理、审计等提供指导的专业组织应根据本框架的精神考虑他们的标准和指引;教育者应考虑将本报告中的概念作为课程的内容。
         第五节 内部审计人员在风险管理中的角色
  国际内部审计师协会对内部审计职能有如下明确定义: “内部审计是一项独立的、客观的保证和咨询活动,其目的在于为组织增加价值并提高组织的运作效率。它采取系统化和规范化的方法,对风险管理、控制和治理过程进行评估和改善,从而帮助组织实现其目标。”
   以下就内部审计在风险管理的七项活动中的职能作分别说明。
  一、在风险环境分析中的作用
  在环境分析活动中,企事业单位的目标、战略和计划要合理地反映外部环境、可使用的资源,要考虑主要的风险(威胁)。内部审计要评价单位的“固有风险”和“剩余风险”(采取控制行动后可以接受的风险)。由于信息技术的发展,办公自动化的程度日益提高,控制人员逐步减少,单位的风险的性质和影响程度也发生了变化。比如,有些单位将工资核算或者电脑系统的设计维护工作外包,虽然减少了资本投入,但使单位面临这些合作者不能完成任务的风险,因此,管理层还需要知道合作者的风险。办公自动化还将监控的重心从发现和纠正错误转移到预防错误,防患于未然,因为如果自动控制程序不能在错误输人系统的环节进行控制,那么有可能导致后面一系列自动的错误处理。比如,如果系统没有设计供应商的身份验证控制,那么,系统可能会按自动付款程序付款给虚假的供应商。内部审计人员要分析这些环境因素的变化,才能进一步考虑组织机构的风险的变化和控制是否与形势变化相符,并将分析结果反映于给管理层的审计报告中供他们作决策时参考。
  二、在风险事件识别活动中的作用
  在风险事件识别活动中,单位要识别内外环境中所有的风险事件,不论大小都不遗漏,保证风险轮廓勾勒的完整性。内部审计人员可以采用通用风险分析模板及方法,包括COSO提供的分析方法等,识别单位本身的风险和重要合作者的风险。一般而言,单位外包部分工作是因为不想投资这方面的资源,比如单位外包供应链的管理工作,是为了避免对这个系统工程的资本投入。但是单位也会因此而缺乏熟悉供应链管理公司运作的人员,不了解这种公司所面临的风险,无法预测影响该承包商的风险事件和对单位的关联影响。因此,内部审计人员需要运用某些分析方法,比如“头脑风暴”和“情景模拟”等,创造性地进行分析,判断管理层是否完全识别了单位的所有风险,若有遗漏的风险要提醒管理层加以考虑。
  三、在风险评估中的作用
  在风险评估活动中,单位要对已识别的风险事件进行定量分析和定性分析,分析事件发生的可能性和影响(后果)。风险分析的复杂性和困难在于在很多情况下要主观判断不同结果发生的可能性。比如,诉讼损失可能会有几种不同的结果,而每种结果发生的可能性可能不同。不同背景、经验、职位的人对同一风险的判断也可能不同,带有各自的偏见。比如,上级主管可以出于整体考虑,认为某部门经营风险很高,而该部门负责人则认为风险已在控制范围之内。内部审计人员由于特有的独立地位,可以从客观的角度分析风险的假设条件、计算方法来评价风险,提供专业意见。
  四、在风险反应和控制活动中的作用
  在风险反应活动中,单位要根据不同的风险决定要采取的策略和方法,决定是避免风险,接受风险,还是降低风险。如前面章节所述,对有相对的风险回报的风险,单位可以考虑接受,但要采取控制措施,才能将风险降到可以接受的水平,获得希望的回报。对于这部分风险,单位会采取减少风险、转移风险或分担风险的办法以降低单位承受的风险。内部审计人员的主要工作在于分析/评价风险回报的合理性、减少风险的措施的有效性,以及接受风险转移和风险分担的那一方的风险。如果对方不能承受该风险,则这种风险控制的措施将是无效的。
  在控制活动中,单位通过设计业务控制程序来限制和降低风险,许多内部控制程序都是为了这个目的而设汁的。一般而言,内部审计人员在进行审计活动时,都要测试这些控制程序的有效性。这是内部审计工作的重要环节,在前面章节已作详细讲解,这里就不再赘述。
  五、在风险信息沟通和风险管理系统监控中的作用
  在风险信息沟通活动中,单位的风险管理要将风险信息及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险管理的某些信息还要传递给其他有关方面,比如董事会和审计委员会等监督者要了解风险管理的情况,供应商、债权人等也需要对单位的风险管理有一定的信任。内部审计人员可以通过评价报告系统证明风险信息被准确、及时地传达给相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息,而内部审计职能的设立对债权人和其他外部利益相关者来说也是单位具备有效的风险管理的一个证明。
  在监控活动中,单位要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证单位对风险的管理是一直有效的。内部审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
  总之,内部审计在企事业单位风险管理中起着重要作用,内部审计人员可以运用自己在风险管理方面的专业知识,从独立客观的角度为管理层和审计委员会提供有价值的保证和咨询服务,提高单位的风险管理水平。
思考题
  1.风险的定义是什么?风险的特点是什么?  2.风险管理的意义是什么? 3.外部风险和内部风险都有哪些?各种风险之间的关系是什么? 4.什么是风险管理?它的七个组成部分是什么?  5.风险管理的限制因素有哪些? 6.COSO风险管理模式建议风险管理各相关方面的责任是什么? 7.内部审计师在风险管理中的作用是什么?  8.内部审计师如何在风险管理中发挥作用?
内部控制与规范企业风险
内部控制的动力源于风险防范并构成风险管理的必要环节,但内部控制只能防范风险,不能转嫁、承担、化解或分散风险。

  内部控制的动力源自风险防范 

  何为内部控制?中国注册会计师独立审计准则第九号《内部控制与审计风险》认为:内部控制是指在一个单位内部,为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、完整而制定和实施的政策与程序。中国证监会发布的《证券公司内部控制指引》指出:公司内部控制包括内部控制机制和内部控制制度两个方面。内部控制机制是指公司的内部组织结构及其相互之间的运行制约关系;内部控制制度是指公司为防范金融风险,保护资产的安全与完整,促进各项经营活动的有效实施而制定的各种业务操作程序、管理方法与控制措施的总称。国际组织(COSO)则将内部控制定义为一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障。 

  从上述各种定义中我们不难看出,虽然对内部控制理解的角度各有侧重,但共同的认识在于内部控制是一个组织所设计并实施的程序(包括必要的制度和措施),旨在为实现该组织的某种目标而提供合理保障。内部控制将从三个方面提供合理保障,并有助于组织某种目标的实现:经营过程有效率/效益地进行,并预防资源的损失;对外提供可靠的财务报告;相关法律法规得以遵循。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益。而合规经营、真实的财务报告和有效益/效率的经营也正是企业风险管理所应该达到的基本状态。从这个角度出发,内部控制是风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。 

  对一个持续经营的企业而言,常见的企业风险包括:战略风险,即不恰当的行动纲领和发展规划导致的风险;经营风险,即不适宜的经营手段导致的风险;财务风险,即失去融资能力或遭致无法承受的债务而导致的风险;信息风险,即不相关、不真实信息报告导致的风险;环境与法律风险,即环境骤变和政策不明朗导致的风险;灾害风险,即由于战争、自然灾害等人为不可抗拒的因素造成的风险。 

  正是因为风险的存在,风险管理才成为必要。企业管理的重要内容之一就是建立风险评估系统,认识和分析企业整体目标及各活动层目标,以及影响这些目标实现的内在和外在因素、发生的概率及可能的后果,并采取相应的控制措施。因此,风险防范既是企业管理的必要部分,也是内部控制机制建立的内在动力。换句话说,内部控制的建立是与风险管理的要求相并存的。正是因为存在各种各样的风险,企业才应该建立良好的内部控制系统,配合风险管理,实现企业目标。 

  内部控制不等于风险管理 

  虽然内部控制的动力源于风险防范并构成风险管理的必要环节,但内部控制不等于风险管理本身。许多企业的管理者将内部控制与企业管理和风险管理等同起来,常常产生这样一些误解:内部控制可保证企业成功并使其财务报告绝对可靠合法;内部控制可以防止企业决策的失误;内部控制可以阻止两个或两个以上的人相互勾结来践踏控制系统;建立了内部控制就等于实施了科学管理,等等。 

  内部控制只能防范风险,不能转嫁、承担、化解或分散风险。风险管理是由风险识别、风险评估、风险对策、风险监测等一系列环节组成的一个循环流程,就这一循环流程而言,内部控制仅与风险识别和评估密切相联。对企业面临风险的识别和评估,既是企业选用何种风险对策,实施何种管理措施的前提,亦是建立企业内部控制的基础。在风险识别和评估基础上所建立的内部控制,只能规避经营管理活动中经常发生的错误和风险,但不能解决风险管理中企业所面临的所有风险,更不能转嫁、承担、化解、分散风险。例如,对于重要信息的异地备份,既是内部控制中信息安全性的要求,也是风险管理中规避风险的必要措施。国际著名投资银行摩根士坦利,正是严格遵循了这一基本要求,其虽置身于世贸大厦88层之高,但在“9·11”事件中,其所有客户的重要资料并未随世贸大厦的轰然倒塌而被埋葬。但是,上述内部控制措施只能防范可能的风险,并不代表风险发生后的措施。风险发生后的自救也是风险管理的重要内容。 

  即使建立了合理而有效的内部控制系统,科学而全面的管理仍是必不可少的,不能将它们二者混为一谈。对于企业经营活动中发生概率较大,且企业能够承担控制成本的风险,要力求通过企业自身的控制系统,并依托以财务管理为中心的企业管理体系予以控制。对于发生概率较小,或控制成本较大的风险,则应在加强管理、增强自身素质的基础上,降低风险对企业的影响程度

(声明:本站所使用图片及文章如无注明本站原创均为网上转载而来,本站刊载内容以共享和研究为目的,如对刊载内容有异议,请联系本站站长。本站文章标有原创文章字样或者署名本站律师姓名者,转载时请务必注明出处和作者,否则将追究其法律责任。)
上一篇:现代风险管理和风险经理职业的兴起
下一篇:企业风险管理—— 整合框架
在线咨询

姓 名 * 电 话
类 别 邮 箱
内 容 *

联系我们
电话:13930139603 13651281807
QQ号:373036737
邮箱:373036737@qq.com
 
点击排行      
· 如何成为一名优秀的法律人?
· 法律顾问网  聘请法律顾问,聘...
· 专家指导:招商洽谈八大注意事项
· 中小企业融资中的法律风险规避
· 商务谈判中的律师个人魅力及谈判技...
· 美国金牌律师的沟通技巧
· 现代企业经营中法律顾问的主要任务
· 律师合同审查实务
· 企业风险管理浅析
· 律师如何规划自己
· 106条打造你成为交际大师
· 律师告诉您官司打不赢的十大原因
· 关于律师参与酒店委托管理协议谈判...
· 如何制作高质量的律师代理词
· 谈判是律师必备的基本技能
· 财务上60种合理避税的方法
· 股东会决议注销决定
· 县级供电企业法律风险及防范
· 如何做好企业的法律顾问
· 律师在索赔谈判中的工作重点和技巧
· 招商引资项目商业计划书
· 企业风险管理—— 整合框架
律师团队     更多>>
法律顾问网.涉外

法律顾问网.涉外
13930139603
赵丽娜律师

赵丽娜律师
13930139603
赵光律师15605513311--法律顾问网.涉外特邀环资能法律专家、碳交易师

赵光律师15605513311--法律顾问网.涉外特邀环资能法律专家、碳交易师
法律专家:杨学臣18686843658

法律专家:杨学臣18686843658
湖南长沙单晓岚律师

湖南长沙单晓岚律师
13975888466
医学专家颉彦华博士

医学专家颉彦华博士
精英律师团队






法律网站 政府网站 合作网站 友情链接  
关于我们 | 联系我们 | 法律声明 | 收费标准
Copyright 2010-2011 www.flguwen.com 版权所有 法律顾问网 - 中国第一法律门户网站 未经授权请勿转载
电话:13930139603 13651281807 QQ:373036737 邮箱:373036737@qq.com
国家信息产业部备案 冀ICP备0509988
点击这里和QQ聊天 法律咨询
点击这里和QQ聊天 网站客服
留言咨询
联系我们
律师热线:
13930139603
13651281807
律师助理:
13932197810