企業目標風險與風險管理精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業目標風險與風險管理主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:企業目標風險與風險管理范文
論文關鍵詞:風險,全面風險管理,風險管理框架
一、引言
中國自2001年加入WTO以來,中國對外開放不斷深入,從十六大召開后,中國企業進入了對外開放新階段,紛紛加大了“走出去”的戰略步伐。隨著企業跨國經營和全球化進程的加快,企業面臨的不確定因素加大,如一度被視為明星企業的中航油,2004年折戟獅城,損失5.5億美元,折射出企業風險控制能力的薄弱,在企業界引起極大的震動。面對慘重的教訓,企業的經營理念也悄然發生了轉變,避免滅頂風險比獲取超常收益更重要,這是企業界的共識。尤其在經歷了2007年以來的史無前例的經濟危機后現代企業管理論文,風險管理被受到前所未有的重視,然而企業在開展風險管理的過程中,發現不同版本的風險管理框架差異較大,如何選擇適合企業自身的風險管理框架是擺在企業面前的實際問題,本文擬對目前國內外比較具有影響力的風險管理框架進行分析和比較,以期為企業實施全面風險管理提供幫助。
二、全面風險管理框架比較
目前國內外具有影響力的風險管理框架有美國COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月的《企業風險管理—整合框架》(以下簡稱COSO風險管理框架)。國際標準委員會于2009年頒布的《ISO/FDIS31000風險管理—原則和指引》(以下簡稱ISO31000),該風險管理標準是在2004年修訂的澳大利亞/新西蘭風險管理標準(AS/ NZS 4360)的基礎上制定的。中國有國資委于2006年6月頒布了《中央企業全面風險管理指引》(國資發改革[2006]108號)(以下簡稱《指引》)。本文擬從風險和風險管理概念、風險管理流程、風險管理架構等內容對三個框架進行比較分析。
1.風險概念比較分析
COSO風險框架將風險定義為“風險是指一個事項將會發生并給目標實現帶來負面影響的可能性”,而事項是源于內部或外部的影響目標實現的事故或事件,事項可能有正面或負面的影響,或兩者兼而有之。從COSO對風險的定義可以看出,負面影響的事件為風險,正面的影響的事件為機會,強調風險的負面作用,并將目標明確分為戰略目標、經營目標、報告目標和合規目標。這種分類方法有助于企業關注風險管理的不同側面,滿足企業增長和報酬以及監管者的要求。
《指引》認為企業風險是“指未來的不確定性對企業實現其經營目標的影響”,這里的影響包括正面的和負面的或者是兩者兼有論文下載。并將風險明確指出對經營目標的影響。因此從風險的定義上可以看出,《指引》對企業風險的定義明確指出對經營目標的影響,經營目標是與經營戰略相對應的目標,這可從《指引》后面提到的風險管理策略的制定要和經營戰略相適應,經營戰略是屬于業務層面的戰略,可以看出《指引》中企業風險更多指業務層面的風險而言的。
ISO31000將風險定義為“不確定性對目標的影響”。并指出影響是指實際與預期的偏差,可是正面的或負面的或兩者兼有。并表明目標可以有不同方面,如財務、健康和安全以及環境目標,可以體現在不同的層次,如戰略、運營、項目、產品和流程層面。從ISO31000對風險的定義描述可以看出ISO31000對風險的定義更加全面,兼顧了傳統的財務、健康、安全以及環境風險,表明了風險的兩面性,即正的作用和負的作用。
從以上比較來看,各風險管理框架對風險的定義基本上達成共識現代企業管理論文,即風險是不確定性對目標的影響,區別是目標的范圍不一樣和風險的兩面性上。《指引》特指經營目標,COSO將目標分為戰略目標、經營目標、報告目標和合規目標,ISO31000目標范圍更加廣范,可以指不同方面,也可以指不同層面。
2.風險管理概念比較分析
COSO 認為“企業風險管理是一個過程,它由一個企業的董事會、管理層和其他人員實施,應用于企業戰略制定并一直貫穿到企業的各項活動中,旨在識別可能會影響企業的潛在事項,管理風險以使其在該企業的風險容量之內,并為企業目標的實現提供合理保證”。根據企業風險管理的定義可以發現COSO所指的企業風險管理覆蓋的企業活動的范圍包括戰略制定活動。
《指引》認為全面風險管理,“指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法”。《指引》中的風險管理的總體目標,包括戰略目標、經營目標、報告目標、合規目標和危機管理目標。與企業風險的定義相適應,風險管理的定義也是圍繞經營目標的實現,而展開了一系列活動。
ISO31000認為風險管理指“對指導和控制組織有關風險的活動進行協調”,即所有跟風險有關的指導和控制活動都稱為風險管理,涉及不同層面不同范圍。
從以上比較分析可以看出,《指引》的風險管理覆蓋的范圍相對較窄,而COSO,強調風險管理不僅包括經營層面的活動而且包括戰略制定活動。ISO31000的風險管理涉及任何與風險有關的指導和控制活動,涉及的程度和范圍更加廣范。
3.風險管理流程比較分析
COSO風險管理流程包括內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。COSO框架的風險管理流程始企業內部環境,并認為內部環境影響組織中人員的風險意識,是企業風險管理所有其他構成要素的基礎。COSO將目標設定作為風險管理流程的一個關鍵要素,并明確指出目標設定是事項識別、風險評估和風險應對的前提條件。在識別和評估影響業績的風險必要的措施來管理風險之前首先要設定目標。COSO區分四種類型的目標:戰略目標、經營目標、報告目標和合規目標。
《指引》風險管理基本流程包括現代企業管理論文,收集風險管理初始信息;進行風險評估;制定風險管理策略;提出和實施風險管理解決方案;風險管理的監督與改進。信息與溝通貫穿于整個流程中。《指引》并未在風險管理流程中提到目標的設定,但是從風險的定義、風險評估可看出其中暗含著目標設定的內容。
ISO31000風險管理基本流程包括溝通與協商、建立環境、風險評估、風險處理、監控與回顧,如圖1所示論文下載。ISO31000將溝通與協商是整個風險管理流程的首要因素,旨在采用一種工作團隊的工作方法,為風險管理建立一個適合的環境。通過與內外部利益相關者進行充分的溝通與協商有助于有效識別風險、不同領域的專業知識被用于風險分析、風險評估標準的建立、風險管理計劃的執行和風險管理流程的變更等,確保整個風險管理過程中能充分理解和考慮利益相關者的利益。另外,ISO31000將環境建立作為風險管理流程的一個重要步驟,環境建立包括內外部環境的建立、風險管理流程環境的建立以及風險評估標準的建立。該步驟使風險管理活動與內外部環境相匹配,并在組織內建立了風險管理的組織基礎和范圍,如界定風險管理活動的目標和風險管理流程的責任、風險管理的范圍、廣度和深度以及風險評估的有效性和風險評估的標準等。
圖1. ISO31000風險管理流程
從以上對各標準的風險管理流程來看,內容上基本相同,區別之處所反映的理念存在差異,COSO強調內部環境和目標設定,ISO31000強調溝通和協商以及環境的建立,《指引》強調信息收集,在整個風險管理流程中貫穿信息與溝通的內容。
4.風險管理架構比較分析
COSO風險管理架構保留了其內部控制框架的三個維度結構,即目標維、風險管理要素維和管理層級維,并在此基礎上進行了拓展,目標由內部控制框架的3類擴展為4類,即除了經營目標、報告目標和合規目標外,增加了戰略目標。風險管理要素由內部控制框架的5個擴展為8個,包括內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。管理層級包括整個企業、職能部門、業務單位和分支機構4層。目標、要素和管理層級之間的關系為:各管理層級是風險管理主體,目標是企業努力實現的對象,風險管理要素是目標實現的步驟,企業的各個管理層級都要按照風險管理的8個要素為4個目標服務。
《指引》的全面風險管理框架包括總體目標、風險管理文化、風險管理流程和全面風險管理體系四個組成部分,其中風險管理體系由風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統構成。風險管理總體目標除包括COSO的四大目標外,還增加了“確保企業建立針對各項重大風險發生后的危機處理計劃,保護企業不因災害性風險或人為失誤而遭受重大損失”的應急管理目標。《指引》清晰提出風險管理的三道防線,即各有關職能部門和業務單位為第一道防線;風險管理職能部門和董事會下設的風險管理委員會為第二道防線;內部審計部門和董事會下設的審計委員會為第三道防線。但《指引》四個部分內在的邏輯關系表述的不是十分清晰。比如:建立全面風險管理體系是先建基本流程還是先建立體系沒有界定清楚。風險管理基本流程中和風險管理體系中都有風險管理策略的內容現代企業管理論文,二者的內涵是否一致,并沒有闡述清楚,風險理財措施屬于風險管理工具或方法之一,它與組織職能體系、內部控制系統的內容不在一個管理層面上。對于全面風險管理體系中最重要的目標政策體系的沒有突出。風險管理的目標政策對風險管理基本流程、風險管理體系和風險管理文化三個部分具有指導和引領的作用,但是在指引中沒有獨立章節表述,相關內容也不夠詳盡。
ISO31000風險管理架構定義為“為整個組織設計、實施、監控和檢查與持續改進風險管理提供基礎和組織安排的系列要素”。其中基礎要素包括“管理風險的政策、目標、授權和承諾”。組織安排包括“計劃、領導、職責、資源、流程和活動”。風險管理框架被植入到組織的整個戰略和運營政策的制定和實踐活動中。ISO31000風險管理框架如圖2所示。
圖2. ISO31000風險管理架構
ISO31000風險管理框架建立了風險管理原則、風險管理架構和風險管理流程之間的關系。如圖3所示。風險管理原則為建立風險管理架構提供指導方針論文下載。風險管理架構中的管理政策,程序和活動,系統地應用到風險管理流程中,同時風險管理流程應在風險管理架構中通過風險管理計劃,成為組織各個層面和活動的組成部分,并得到實施。從風險管理原則可以看出,ISO31000風險原則除了包括COSO和《指引》的風險管理理念外,還提出風險管理成為決策的組成部分,充分體現風險管理的重要性。價值的充分體現。
圖3. 風險管理原則、風險管理架構和風險管理流程之間的關系圖
三、比較分析結論與實施建議
根據全面風險管理的目標和覆蓋范圍,全面風險管理可以劃分三個階段,初級階段、中級階段和高級階段。初級階段主要關注經營目標,在企業內開始導入全面風險管理,風險管理的理念、方法和工具處于試用階段,企業內部需要逐步形成統一的風險語言和廣為接受的風險管理方法、措施、政策、職責分配以及風險管理流程和關鍵經營活動融合的過程,風險管理處于探索和價值逐步接受過程。風險管理中級階段,風險管理逐步被接受,且提出了更高的要求,將風險管理提升到戰略層面,和戰略進行整合,保障戰略目標的實現,發揮風險管理的價值創造和價值保持作用。風險管理高級階段,風險管理應用于決策過程,為決策提供信息基礎,并有機的與企業的內外環境、組織、文化和戰略相融合現代企業管理論文,并隨著內外部環境的變化而變更,成為企業的競爭力的重要來源。
從以上對各全面風險管理框架的概念、流程和架構的比較分析可以看出, ISO31000風險管理標準風險管理的范圍和理念以及整個框架相對比較完善,適用于風險管理高級階段。COSO風險框架將風險管理提升到戰略層面,適用于風險管理中級階段,但COSO風險框架僅提出了風險管理的要素和風險管理的目標,并未提出風險管理體系。《指引》適用于風險管理初級階段。ISO31000風險管理標準解決了以上所有的問題,闡述清了風險管理原則、風險管理構架和風險管理流程之間的關系,為全面風險管理的實施掃清的障礙。
因此,中國中央企業在全面建設風險管理框架時,以《指引》為基礎,充分參考與借鑒COSO的目標設定內容以及ISO31000的風險管理標準的內容,使風險管理流程和風險管理體系有機融為一體。同時應該指出《指引》的內容是適應中國企業風險管理實踐而制定的風險管理框架,隨著風險管理實踐的開展,企業應提升風險管理的范圍,即將戰略制定活動和保障戰略目標的實現納入全面風險管理的范圍。最后,在實踐中充分貫徹ISO31000風險管理的思想和內容,使風險管理向更高的階段邁進,從而不斷提高企業自身的風險管理能力和增強企業的核心競爭力。
參考文獻
[1](美)COSO,方紅星,王宏譯.企業風險管理—整合框架[M] ,大連:東北財經大學出版社,2007.
第2篇:企業目標風險與風險管理范文
「關鍵詞企業風險風險管理風險管理審計
由于各種不確定性因素,企業面臨著各種風險,能否對風險進行有效的管理和控制,是企業能否生存發展、實現企業預期目標的關鍵。企業風險管理的有效性在一定程度上取決于企業對風險管理工作的監督和評價。因此,無論是國際內部審計師協會對內部審計的定義,還是我國的內部審計準則都強調了內部審計在企業風險管理中的重要性。我國從2005年5月1日起施行的內部審計具體準則第16號———《風險管理審計》中更是強調了內部審計人員對風險管理進行審查和評價的職責。
一、企業風險及風險管理的內涵
進行企業風險管理審計,必須明確企業風險及風險管理的內涵。否則,企業風險管理審計便無從談起。
1企業風險的實質
首先,風險產生于不確定性因素的存在,如果企業運行的內外環境是確定的,則不存在企業風險。其次,企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說,我們更注重企業的運行結果,對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此,可以認為,企業風險則是企業運行結果偏離期望結果的可能性。筆者認為,企業目標是企業期望達到的一種結果狀態,但由于相關因素的持續不斷的變化,企業目標的實現存在不確定性。因此,企業風險可以描述為企業目標不能得以實現的可能性。
2企業風險的劃分
企業風險可以按多種標準進行分類。筆者認為,既然將風險定義為企業目標不能得以實現的可能性,那么,企業風險可以按照企業目標的不同層次來理解和劃分,并可將其相應劃分為:
(1)企業的戰略風險是指企業戰略目標不能實現的可能性,主要包括:由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的企業在總體戰略選擇環節的失誤風險;由于企業的具體戰略選擇失誤而帶來的風險,包括企業經營領域的選擇風險、企業并購風險等。
(2)企業日常經營管理風險是指企業具體經營目標不能實現的可能性,又可以劃分為企業經營環節的作業鏈風險,如企業供、產、銷等環節的風險;企業的人事風險,如由于人員任用、授權、業績評價等方面的缺陷帶來的風險;企業的信息風險,如企業信息系統風險等。
(3)財務風險。狹義一般是指由于企業籌措資金而形成的風險,并主要是指企業由于舉債而形成的風險,也可稱之為籌資風險。按照本文對風險的定義,即企業目標不能實現的可能性,則企業的財務風險是指企業財務活動目標不能得以實現的可能性,包括籌資風險、資金投放的風險及企業其他財務活動風險,我們可以稱之為廣義的財務風險。
3企業風險管理
COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程,它由董事會、管理當局和其他人員執行,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在風險容量之內,并為主體目標的實現提供合理保證。”
我國內部審計協會2005年的內部審計具體準則16號—《企業風險管理審計》中指出“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”
從上述對風險管理的解釋可以看出,企業風險管理的最終目標是為企業目標的實現提供合理的保證。
二、企業風險管理審計的目標
對企業風險管理進行監督和評價是現代內部審計發展的結果,企業風險管理審計的目標取決于對企業內部審計的功能定位。
從西方企業內部審計的產生和發展過程來看,內部審計是隨著經濟的發展,企業內部管理層次的增多和控制范圍的擴大,基于企業內部經濟管理與監督的需要而產生的,并隨著管理的需要而不斷發展。隨著內部審計的不斷發展,內部審計的目標也在不斷地變化,其中以國際內部審計師協會(IIA)對內部審計所下定義的變化最具有代表性。國際內部審計師協會(IIA)理事會指出內部審計是一種獨立、客觀的保證和咨詢活動,其目的是增加組織的價值和改善組織的經營。
我國的內部審計不是在企業內部管理需要的動因下發展起來的,而是在政府的要求下,在國家審計部門的推動下建立起來的。1993年國家審計署成立,為了盡快建立和完善審計體系,補充剛剛復興的國家審計力量的不足,政府和政府審計機構都極力敦促內部審計的組建。但隨著我國經濟體制的不斷改革發展,企業內部審計越來越受到各方面的重視,對內部審計的理解也發生了較大的變化。我國的內部審計基本準則指出:內部審計是組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。
從內部審計的發展過程可以看出,企業內部審計的目標在于幫助企業實現目標。企業內部審計的目標決定了企業風險管理審計的目的在于:通過內部審計機構和人員對企業風險管理過程的了解,審查并評價其適當性和有效性,提出改進建議,促進企業目標的實現。
三、企業風險管理審計的內容
風險管理包括組織整體及職能部門兩個層面。內部審計人員既可對組織整體的風險管理進行審查與評價,也可對職能部門的風險管理進行審查與評價。因此,筆者認為企業風險管理審計應當包括以下方面的內容:
(一)風險管理機制的審查與評價
企業的風險管理機制是企業進行風險管理的基礎,良好的風險管理機制是企業風險管理是否有效的前提。因此,內部審計部門或人員需要審查以下方面,以確定企業風險管理機制的健全性及有效性。包括:
1審查風險管理組織機構的健全性。企業必須根據規模大小、管理水平、風險程度以及生產經營的性質等方面的特點,在全體員工參與合作和專業管理相結合的基礎上,建立一個包括風險管理負責人、一般專業管理人、非專業風險管理人和外部的風險管理服務等規范化風險管理的組織體系。該體系應根據風險產生的原因和階段不斷地進行動態調整,并通過健全的制度來明確相互之間的責、權、利,使企業的風險管理體系成為一個有機整體。
2審查風險管理程序的合理性。企業風險管理機構應當采用適當的風險管理程序,以確保風險管理的有效性。
3審查風險預警系統的存在及有效性。企業進行風險管理的目的是避免風險、減少風險,因此,風險管理的首要工作是建立風險預警系統,即通過對風險進行科學的預測分析,預計可能發生的風險,并提醒有關部門采取有力的措施。企業的風險管理機構和人員應密切注意與本企業相關的各種內外因素的變化發展趨勢,從對因素變化的動態中分析預測企業可能發生的風險,進行風險預警。
(二)風險識別的適當性及有效性審查
風險識別是指對企業面臨的,以及潛在的風險加以判斷、歸類和鑒定風險性質的過程。內部審計人員應當實施必要的審計程序,對風險識別過程進行審查與評價,重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。筆者認為應當包括以下內容:
1審查風險識別原則的合理性。企業進行風險評估乃至風險控制的前提是進行風險識別和分析,風險識別是關鍵性的第一步。
2審查風險識別方法的適當性。識別風險是風險管理的基礎。風險管理人員應在進行了實地調查研究之后,運用各種方法對尚未發生的、潛在的、及存在的各種風險進行系統的歸類,并總結出企業面臨的各種風險。風險識別方法所要解決的主要問題是:采取一定的方法分析風險因素、風險的性質以及潛在后果。
需要注意是,風險管理的理論和實務證明沒有任何一種方法的功能是萬能的,進行風險識別方法的適當性審查和評價時,必須注重分析企業風險管理部門是否將各種方法相互融通、相互結合地運用。
(三)風險評估方法的適當性及有效性審查
內部審計人員應當實施必要的審計程序,對風險評估過程進行審查與評價,并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時,內部審計人員應當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。
內部審計人員應當對管理層所采用的風險評估方法進行審查,并重點考慮以下因素:
(1)已識別的風險的特征;
(2)相關歷史數據的充分性與可靠性;
(3)管理層進行風險評估的技術能力;
(4)成本效益的考核與衡量等。
3審查風險評估方法應當遵循的原則
內部審計人員在評價風險評估方法的適當性和有效性時,應當遵循以下原則:
(1)定性方法的采用需要充分考慮相關部門或人員的意見,以提高評估結果的客觀性;
(2)在風險難以量化、定量評價所需數據難以獲取時,一般應采用定性方法;
(3)定量方法一般情況下會比定性方法提供更為客觀的評估結果。
(四)風險應對措施適當性和有效性審查
內部審計人員應當實施適當的審計程序,對風險應對措施進行審查。
內部審計人員在評價風險應對措施的適當性和有效性時,應當考慮以下因素:
(1)采取風險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內;
第3篇:企業目標風險與風險管理范文
20世紀90年代以后,許多國家政府以及有關國際組織紛紛加大了對風險管理和內部控制及公司治理的研究,并了一系列的文告,就風險管理及與之緊密相關的內部控制問題做出了規定,其中,尤以COSO的《企業風險管理――整體框架》最具代表性。本文以美國企業風險管理框架為重點,探討我國企業建立風險管理的必要性。
一、COSO的內部控制整體框架和風險管理整體框架
(一)《內部控制――整體框架》關于風險管理的論述
1992年,COSO了其研究報告《內部控制――整體框架》,并于1994年進行了增補修訂。在該報告中,COSO(1992)指出,企業必須了解它所面臨的風險,并加以處理。企業必須制定目標,而目標又必須與銷售、生產、營銷、財務等活動相結合,如此企業才能很好地運作。企業還必須建立識別、分析和管理相關風險的機制。
COSO(1992)提出了內部控制的五個要素,其中之一便是風險評估。COSO(1992)指出,每一個主體都面臨著各種來源于內部和外部的風險,這些風險必須加以評估。風險評估的前提之一是建立目標,不同層次的目標應當相互聯系并保持內部一致。風險評估是指識別、分析與實現目標相關的風險,它是決定這些風險應如何管理的基礎。由于經濟、行業、管制和經營條件會不斷發生變化,應當建立相應的機制以識別并處理與這些變化相關的特定風險。COSO(1992)指出,須從企業整體和作業兩個層次來識別風險。企業整體層次的風險可能由外部或內部因素而產生。外部因素如:科技發展、顧客的需求或預期改變、競爭、新頒布的法律法規、天然災害、經濟環境改變;內部因素如:信息系統處理的中斷、員工的品質、經理人的責任改變、企業活動的性質以及員工可接近企業資產的程度、董事會或監事會不夠堅定或無效。
(二)風險管理的新發展:《企業風險管理――整體框架》
2004年,COSO了其研究報告《企業風險管理――整體框架》。風險管理整體框架(ERM)是在內部控制整體框架基礎上發展而來的。COSO(2004)指出,風險管理框架不想也沒有替代內部控制框架,但它將內部控制框架整合在內,采用這一框架,企業既可以滿足內部控制的需要,也可以建立一個完整的風險管理過程。
1.風險管理的目標
COSO(2004)認為,主體的目標包括四個:
(1)戰略目標,是高水平的目標,它應與組織的使命一致并支持該使命;
(2)經營目標,組織應當有效率和效果地使用資源;
(3)報告目標,組織應當提供可靠的報告;
(4)遵循目標(合規性目標),即組織應當遵循相關的法律規章。
企業風險管理實際就是為實現上述目標提供合理的保證。
2.風險管理的內容
企業風險管理包含以下方面的內容(作用):
(1)協調風險偏好和戰略。管理層在評估不同的戰略、確定相關目標、建立相關風險的管理機制時,應考慮組織的風險偏好。
(2)改進風險反應決策。企業風險管理要求識別并在不同的風險應對策略(包括規避、降低、分擔與接受風險)中做出選擇。
(3)減少經營意外與損失。提高組織識別潛在事項并做出反應,減少意外事項及相關的成本或損失的能力。
(4)識別并管理多個企業之間以及企業內部的風險。每一個企業都面臨無數的、會影響組織不同方面的風險,企業風險管理應當有助于對相關關聯的影響作出有效的反應,并對多企業的風險作出整體性反應。
(5)抓住機會。通過考慮所有的潛在事項,管理層應當能夠識別并實現機會。
(6)改善資本的配置。在獲得關于風險的信息后,管理層可以有效地評估總體資本需求并改進資本的配置。
企業風險管理的上述作用,有助于管理層實現組織的經營和盈利目標,并防止資源損失。企業風險管理有助于保證提供有效的財務報告和對法律規章的遵循,并有助于避免組織聲譽的損害及相關不良后果。總之,企業風險管理有助于企業向其所期望的方向發展,避免在發展的過程中遭遇陷阱和意外。
3.風險管理的要素
企業風險管理包含八個相互關聯的要素。這些要素來源于管理層管理企業的方法,并與管理過程合成一個整體。這些要素包括:
(1)內部環境。內部環境包含了組織的風格,它確定了組織人員如何看待和處理風險的基礎,是其它要素的基礎。內部環境具體包括風險管理哲學、風險偏好、董事會、誠實度和道德價值觀、組織結構、勝任能力、人力資源政策與實務、權責分配。
(2)目標設定。在管理層辨別影響其目標實現的潛在事項之前,必須有目標。企業風險管理要求管理層設定目標,選擇的目標需要能夠支持組織的使命并與組織使命相一致,并與其風險偏好相一致。
(3)事項識別。即識別那些影響組織目標實現的內外部事項,并區分為風險和機會。機會將被考慮進管理層的戰略或目標設定過程中。
(4)風險評估。必須對風險加以分析,考慮其發生的可能性以及影響,并作為確定這些風險應如何加以管理的基礎。應當對固有風險和殘存風險加以評估。
(5)風險應對。管理層應在不同的風險應對(包括回避、接受、降低、分擔風險)中做出選擇,從而采取一系列與組織的風險容忍度(risk tolerances)和風險偏好相一致的行動。
(6)控制活動。應建立相關的政策和程序,以確保風險應對策略得到有效的執行。控制活動通常包括兩個要素:確定應從事何種活動的政策、執行政策的程序。
(7)信息與溝通。應當按照特定的格式和時間框架來識別、捕捉相關信息并加以傳遞溝通,從而使人們可以履行其職責。有效的溝通存在于較廣泛的意義上,包括向下、向上以及平行交互溝通。
(8)監控。整個企業風險管理都應當加以監控并根據需要做出調整。監督可以通過持續性的管理活動、單獨評價或者二者同時來實現。
對于這八個要素,COSO(2004)指出,企業風險管理不是一個嚴格的序列過程,即一個要素僅影響下一個要素,而且是一個多方向的、相互影響的過程,任何要素都可以并且確實影響其它的要素。
4.風險管理目標與風險管理要素的關系
COSO(2004)認為,目標是主體要實現什么,企業風險管理的要素則意味著需要什么來實現它們,因此,風險管理的目標與要素之間存在密切的直接聯系。這樣,企業目標、風險管理要素與企業各個層級之間就形成一個三維立體圖。
二、美國風險管理準則對我國的啟示
從以上COSO風險管理準則內容和要求上,可以看出存在以下特點:
(一)將風險管理與內部控制聯系在一起。內部控制是風險管理的重要手段,董事會應當建立并維持有效的內部控制系統以實現風險管理。
(二)均強調風險管理是一個包含風險識別、計量和應對的系統化過程。風險識別、計量、應對和控制活動是一個緊密的整體,企業必須識別面臨的潛在風險,并評估其對企業的影響,從而采取相應的措施來應對風險。在風險識別和分析、評估的技術上,均強調應當結合采用定量技術和定性技術。另外,人們越來越認識到,風險是無法絕對消除的,因此,風險管理的目標是將其控制在主體的風險偏好以內,而不是消除風險。反映到風險應對策略上,相關的風險管理準則大都強調風險的應對措施包括回避、抑減(降低)、轉嫁(分攤)、接受,應當根據風險發生的可能性、對主體的影響以及主體自身的風險容量選擇適當的應對措施。
(三)強調風險管理應當融入到企業日常經營活動中,并貫穿于企業的各個層次、所有的經營活動。風險管理針對的是企業經營活動中對企業目標實現產生影響的風險事項,因此,風險管理必須與企業的經營活動緊密地結合在一起,在經營活動中處處體現風險管理的理念與做法,這不僅有助于及時識別企業所面臨的風險事項,也有助于降低風險管理成本、提高風險管理效率。
(四)強調控制環境的作用。公司的高層基調、管理層的管理哲學、董事會和相關委員會、員工的勝任能力對于有效的風險管理具有重要作用,如果沒有一個良好的、注重風險管理的內部環境,風險管理很難取得成功。
(五)強調全員參與。全員管理是現代風險管理的重要特征,風險管理不僅僅是風險管理部門的事,而且需要靠企業的全體員工來落實,所有員工都會影響到企業風險管理的效果,企業應當使所有員工了解自己在風險管理中的作用。
(六)強調信息與溝通。信息和溝通對于良好的風險管理和內部控制相當重要,下層要了解公司的風險管理戰略和政策、措施,并有順暢的向上溝通風險管理和內部控制情況的渠道,上層要及時向員工及外部了解企業面臨的重大風險及其管理情況。
(七)強調定期對風險管理過程和內部控制進行評估,并對發現的缺陷和不足加以報告。風險管理是一個持續的、動態的過程,企業的內、外部環境在不斷地變化,這決定了原先的控制未必有效,因此,必須定期對風險管理過程和內部控制的有效性進行評估,以找出其缺陷和不足并及時采取補救措施。
第4篇:企業目標風險與風險管理范文
關鍵詞:內部控制;實施;風險管理
1二者的主要區別方面
內部控制與風險管理主要在于目的、作用和發揮作用的環境差異。(1)風險管理是通過及時識別、評估、評價及防范風險,并控制不利影響的可接受程度,來實現目標;內部控制是企業內部風險管理的程序化規范,通過履行管理職能,通過事前參與、事中監督和事后評價達到目標。(2)風險管理是關注識別和控制風險可能影響的經營管理活動,對機會風險實施管理,促進實現經營目標和價值最大化;內部控制通過專業的過程管理規范和有效的控制活動,難以防范決策風險和經營者非理性風險。(3)風險管理,應緊密結合各項管理工作,統籌內外部環境,在企業管理和業務流程中嵌入風險管理觀念;內部控制是在企業內外部環境下,根據公司法構建的法人治理結構和決策規則。風險管理以應有的風險防范意識實施經營管理;內部控制是經營管理中應遵守的流程規范。(4)風險管理是為實現企業最終目標任務,在經營管理過程實行風險管理的具體措施和方法,營造良好的風險管理氛圍,構建全面風險管理體系,以及提供合理保證的過程、方法。內部控制的目的是保障企業經營管理合法合規、資產保值增值、財務信息真實可靠,經營效率和效果提升,促進實現企業發展規劃和戰略目標。
2二者相互聯系方面
內部控制與風險管理的五個組成要素完全相同,即內部環境、風險評估、控制活動、信息溝通、內部審計,彼此密不可分。(1)防范風險是內部控制最明確、最主要的目標,離開這一目標,內部控制就失去存在意義,也很難有發揮作用的時空。(2)風險存在于企業生產經營的始終,涉及內、外部風險,如何識別、分析、評估風險,制定風險解決方案和采取應對措施,收集潛在風險信息是實施風險管理的前提;內部控制是構建控制體系、關注控制關鍵點,用業務流程直接描繪生產經營業務過程而形成的管理規范。內部控制嵌入式工作方法,方便收集潛在風險信息,可見內部控制是實行風險管理的主要手段。(3)風險管理是企業在經營管理過程中,通過對潛在各類風險因素識別、分析、評估,用最低投入換取最大的安全保障。有效識別、防范、控制風險是企業風險管理最終目標,也正是內部控制的最主要作用,毫無疑問,內部控制是實施風險管理最有效的重要工具。(4)內部控制和風險管理。實施內部控制和風險管理的主體、過程、目標都是相同的,都是必須企業全員全程參與。在實施企業管理風險的同時,也是在實施內部控制程序,模式過程完全協調一致。
3通過實施內部控制實現有效的風險管理
(1)營造有序的內部環境。打造具有風險防范意識的企業生態,在風險管理過程中,全員都要形成“風險無處不在、無時不在”的理念,把握工作崗位職責對企業經營風險的影響程度,作用、責任與其他崗位的連帶關系,這是風險管理的主要構成,也是實行有效風險管控的重要前提。(2)強化風險意識和明確內控責任。風險管理的起點是風險識別,是有效實施風險管理的關鍵前提。識別潛在的各類風險并加以區分,查找風險產生的影響因素。在全面風險管理架構下,不斷收集與各類風險和風險管理有關的內外部初始信息,發現潛在的各種風險,就是風險識別的重要目標。(3)不斷優化和有效利用內控規范。企業內控規范是根據管理制度和操作流程,結合崗位職責制定的,崗位職責就是嚴格執行內控規范,正確處理工作內容,提高工作效率,保證完成目標任務。內部控制與風險管理是規范與理念的關系,僅有內部控制規范,而無風險管理理念,則內部控制就成為空中樓閣、無本之末。僅有風險管理理念,而無內部控制規范,則風險管理就喪失了最有效的工具,造成無的放矢。
參考文獻
[1]朱榮恩.企業內部案例[M].復旦大學出版社,2006.
[2]高存忠.企業內部控制與風險管理[J].工業審計與會計,2011.
第5篇:企業目標風險與風險管理范文
中國大型企業經營發展所面臨的問題:戰略落地效果差,戰略績效評估不到位,重戰略規劃輕戰略執行;以法律實體為對象管理,整合效率低下;管理以職能部門為單位,而非以流程為核心;總部管控能力弱,難以對集團業務規劃、資源分配和經營監控進行適當管理;人力資源管理機制、績效考核機制;流程縱向、橫向梳理不順,管理界面模糊不清,管理標準體系繁雜,制度體系冗雜;風險評估缺乏系統性、全面性,風險管理無法真正落地;內部監督失效,只停留于結果的事后審計,缺乏事前、事中的過程管理監督;IT整體規劃與管理提升整體步調不一致,IT應用控制的設計與風險評估結果未能有效銜接。基于企業發展所面臨的各類問題,內外需求使風控體系建設變得必要且迫切。2006年6月6日國資委印發《中央企業全面風險管理指引》,指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統(以下簡稱風控管理體系),從而為實現風險管理的總體目標提供合理保證的過程和方法。財政部、證監會、審計署、銀監會、保監會(“五部委”)于2008年6月28日和2010年4月26日分別了《企業內部控制基本規范》及配套指引,規定了內控合規時間表。利益相關者對于企業建立風險管理體系的審核要求,對企業可能面臨的風險進行全面、系統的識別、評估以及應對。企業的自身發展需要、企業競爭力是企業各種能力的綜合體現,并非僅指企業的盈利水平,而是表現為企業長期的生存和發展能力。提高企業競爭力的一個重要方面就是要提高企業的風險管控能力。在內外部環境瞬息萬變的情況下,能否及時掌握風險信息并采取適當行動已經成為企業提高競爭力的必要條件,而風險管理信息化控制已經成為大勢所趨。
2風控管理體系建立目標與企業需求
為滿足外部監管和管控要求,結合企業多元化戰略等特點,對企業全面內控及風險管理水平和能力進行診斷和優化,加強內部管理水平,防范企業風險,圍繞企業戰略經營目標,建立覆蓋企業各業務、各部門的風險識別、評估及應對機制,培養和建立企業內部的風險管控專業化人才隊伍,加強企業合法合規經營。風險管理信息化控制要求企業流程規范、制度完善,對企業一些風險采取風險預警及采用風險應對措施,行業內部提出建立《全面風險和內部控制風控管理體系》的理念。2009年,集團公司成立風險審計內控部門,下屬單位也相繼成立風控審計部門,目的為了建立更好的企業,防止出現企業戰略與經營層面的一些風險,借助國外的經營管理思想,提出風險和內控理念。在企業經營發展中會面臨各種各樣的風險,如在戰略層面企業需要投資一個新的企業,需要評估整個市場的定位,評估戰略風險、實施結果風險、企業資金流風險,決策層面的風險、流程方面的風險、生產過程中進度風險、質量風險等等,這些風險都是企業所需要面臨的,怎樣規避這些風險以及采取應對措施,盡量減少對企業的損失是建立風控體系的目標。當然也存在利好的風險,如果對這類風險應對得當,對企業的發展反而是有利的。全面風險管理體系建設目標是建設以風險管理為導向、以內部控制和內部審計為手段的風控體系,并通過信息化將風控體系與各價值鏈活動和管理活動有機融合,提升企業運營管控水平,保證企業戰略經營目標落地。
3風控管理體系建設總體思路
傳統企業建立風控體系是以部門級需求為主、以企業風控主管部門為主,獨立完成各類風險評估,建立部門級風控體系,僅僅是風控審計部門的一個風險評估工作平臺,并未達到企業級防控目標,提升不了企業戰略高度。企業風險有戰略經營層面風險、資金風險、庫存風險、生產風險、IT風險、服務風險、交付風險等滲透在各個業務流程中,只有各個業務部門知道各個業務的風險發生點,所有風險的監控需要各業務部門協調,由企業級風險控制部門統管,組成企業級風控團隊,提高企業風險管控能力。為了滿足企業的經營發展,需從部門級風控需求上升至企業級風控需求,驅動企業戰略目標,使企業業務流程化,組織績效最大化,建立基于端對端流程的業務協作和信息共享,面向企業級需求總體設計和規劃企業風險控制管理體系。
控管理體系的建設方法
做好企業的風控管理,實際上是對企業IT系統的治理和改造過程,將風控點滲透到企業信息系統中,找到風險點在何處,分析哪些風險是對企業影響最大的,哪些風險是業務層面的,由公司風控管理部門協調管理。風控體系建設目標分為體系建設和IT建設兩部分。首先企業應明確風險是企業全部門的事情,要培養企業員工風控意識,沒有風控意識,企業制度不完善,業務流程不規范甚至沒有業務流程,都將影響企業的經營戰略。風險管理文化要貫穿至企業各業務和流程中,完善企業各類制度、規范流程,梳理出各類風險點,企業就有了風險體系和風險管理文化,基于風控體系企業的合規性IT建設就有良好的基礎了。從體系優化到IT系統固化:風險監控預警與內部控制系統采用一套流程、不同視角的設計理念,可在企業戰略管理、科研生產等各項活動中,對各類風險進行識別、評估、應對和分析,通過數據集成提供實時動態的風險監控預警。發揮IT技術對風控體系在各業務系滲透作用,力促營造依法合規、科學規范、風清氣正的運營氛圍,保障企業的持續發展。
5風控管理體系的藍圖設計、方案設計
圍繞企業戰略流程的嵌入式管控體系,梳理出各業務風險點。風險監控值、目標值、閥值和實際值都來源于業務。根據企業發展階段,通過風控系統風險數據的準確性得到保證,風險指標的合理性、監控預警模型和算法得到規范,實現企業風險智能監控;企業領導層所關注的各個層面的風險展示界面清晰、快捷;企業風險點明確;風險評估、預警準確及時;為決策及管理層提供風控主題,使風控企業內閉環流轉,提高工作效率。經過大量的閉環運行,企業預警模型才能逐步完善,基于模型創建風險指標,才能實現企業風險的智能監控。風控體系建設藍圖設計使風險-內控-審計有機結合,在各項業務活動中管控風險。風控體系的建設從企業戰略目標出發,梳理業務架構,考慮影響戰略目標實現的各風險領域,在此基礎上設計支撐戰略目標實現的內控管理流程及具體控制措施。風控體系的建設應將企業已有的應用系統與風控系統集成設計。企業風控體系的建設,實際也是對企業IT系統的治理和改造,將風險點滲透到各個相關系統業務點,通過風控系統也業務系統關聯,達到風控目標。全面風險管理框架是:風險管理體系-風險管理文化-風險管理組織職能體系-內部控制系統-風險管理信息系統-風險管理績效考核。風險管理體系———風險管理文化是企業文化的一個重要部分,風險管理文化的建設應融入企業文化建設全過程,將風險管理意識轉化為員工的共同認識和自覺行動,促進企業建立系統、規范、高效的風險管理機制。風險管理文化需在企業內部形成共同的風險語言,在各個層面營造風險管理文化氛圍。風險管理文化建設應與薪酬制度和人事制度相結合,有利于增強各級管理人員特別是高級管理人員風險意識。建立重要管理及業務流程、風險控制點的管理人員和業務操作人員崗前風險管理培訓制度。采取多種途經和形式,加強對風險管理理念、知識、流程、管控核心內容的培訓,培養風險管理人才,培育風險管理文化。風險管理體系———風險管理組織職能體系第一道防線,有關職能部門和業務單位。提出這道防線,最大好處是把風險管理的手段和內控程序融入到了企業的各業務單位的工作與流程中,防止風險管理與各業務單位的工作脫節,搞“兩張皮”。第二道防線,專職風險管理職能部門和董事會下設的風險管理委員會。在進入全面風險管理階段,設立這道防線,有利于統一組織領導,統一策略與標準,共享人力資源。第三道防線,審計委員會、內部審計部門。風險管理體系———內部控制系統從企業戰略出發,以風險為導向,通過評估、改善與提升、監督的方法維護公司內部控制系統的有效運作,實現內部控制的五個目標:合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。風險管理體系———風險管理信息系統:風險管理信息系統需包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。風險管理體系———風險管理績效考核,各有關部門和業務單位應定期對風險管理工作進行自查和檢驗,及時發現缺陷并改進,其檢查、檢驗報告應及時報送企業風險管理職能部門;企業風險管理職能部門應定期對各部門和業務單位風險管理工作實施情況和有效性進行檢查和檢驗,對風險管理策略進行評估,對跨部門和業務單位的風險管理解決方案進行評價,提出調整或改進建議,出具評價和建議報告,及時報送企業總經理或其委托分管風險管理工作的高級管理人員;建立內控考核評價制度,把各業務單位風險管理執行情況與績效薪酬掛鉤。
6結論
第6篇:企業目標風險與風險管理范文
關鍵詞:風險管理構成要素
美國COSO委員會于2004年9月頒布了《企業風險管理—整合框架》(以下簡稱《框架》),旨在為各國的企業風險管理提供一個統一術語與概念體系的應用指南。為了幫助中央企業建立健全風險管理長效機制,增強企業競爭力,促進企業持續、健康、穩定發展,防止國有資產流失,提高投資者回報水平,保護投資者利益,國務院國有資產管理委員會借鑒發達國家企業風險管理的法律法規、國外先進的大公司在風險管理方面的通行做法,以及國內有關內部控制機制建設方面的規定,于2006年6月頒布了《中央企業全面風險管理指引》(以下簡稱《指引》)。本文著重分析《框架》和《指引》的區別,以期對我國企業的風險管理有所借鑒。
企業風險管理的定義比較
在《框架》中企業風險管理的定義如下:企業風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。
《指引》中的全面風險管理,指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險管理的組織職能體系、風險管理信息系統和內部控制系統等,從而為實現風險管理的總體目標提供合理保證的過程和方法。
企業風險管理的目標比較
《框架》將主體的目標分成四類,即與高層次的目的相關的戰略目標;與利用主體資源的有效性和效率相關的經營目標;與主體報告的可靠性相關的報告目標;與主體符合適用的法律和法規的合規目標。
《指引》將風險管理的目標分成五類,除了涉及以上四類目標之外,還提到另一個目標,即確保企業建立針對各項重大風險發生后的危機處理計劃,保護企業不因災害性風險或人為失誤而遭受重大損失。
企業風險管理的構成要素比較
在《框架》中,企業風險管理包括八個相互關聯的構成要素,即內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。在《指引》中,風險管理的基本流程包括五個方面的工作,即收集風險管理初始信息、進行風險評估、制定管理策略、提出和實施風險管理解決方案、風險管理的監督與改進,也就是企業風險管理的五個構成要素。盡管兩者對風險管理組成部分的稱謂不同,但是其內涵還是有很多相同的地方的。本文僅分析兩者的不同點。
《框架》認為內部環境是企業風險管理其他構成要素的基礎,為其他要素提供約束和結構。它影響著戰略和目標如何制訂,經營活動如何組織以及如何識別、評估風險并采取行動。它主要包括主體的風險管理理念、風險容量、董事會的監督,主體中人員的誠信、道德價值觀和勝任能力,以及管理當局分配權力和職責的方式。《指引》認為,風險管理初始信息是良好的風險管理的基礎,詳細列舉了企業管理戰略、財務、市場、法律四類常規風險所需的重要基礎信息,還特別強調企業應注重針對這四類風險廣泛收集導致企業危機的國內外案例。
《框架》認為,目標設定是事項識別、風險評估和風險應對的前提。在管理當局識別和評估實現目標的風險,并采取行動來管理風險之前,首先必須有目標。而《指引》所稱的風險管理基本流程中并不包括目標設定這一構成要素。
《框架》中的事項識別是指管理當局識別將會對主體產生影響的潛在事項,并確定它們是代表機會還是風險,或者兩者兼而有之。事項通常并不是孤立地發生的,因此管理當局在事項識別過程中應該明白事項彼此之間的關系。通過評估這種關系,確定風險管理活動的最優指向。《指引》中的風險辨識相當于事項識別,而這里所稱的風險辨識只是指查找企業各業務單元、各項重要經營活動及重要業務流程中有無風險,有哪些風險。
在《框架》中,管理當局將企業風險分為固有風險和剩余風險。而《指引》將風險分為戰略風險、財務風險、市場風險、運營風險和法律風險等;或者以能否為企業帶來盈利等機會為標志,將風險分為純粹風險和機會風險。
《框架》將風險應對分為四種類型,即回避、降低、分擔和承受。在《指引》中,對戰略、財務、運營和法律風險采取風險承擔、風險規避、風險轉換、風險控制、風險轉移、風險對沖、風險補償等方法。
與《指引》不同的是,《框架》還提出了管理層應從一個企業全局或者組合的觀點來考慮風險,決定企業的風險觀是否適應于與其目標相對應的整個風險容量。
企業風險管理組織體系的構成比較
《框架》指出企業風險管理由諸多方面實施,包括董事會(直接地或通過其下屬委員會)、管理當局、內部審計師和其他人員。外部方面也可能會提供對主體的企業風險管理活動有用的信息,例如外部審計師、立法者、客戶、商業伙伴、外包服務提供者、債券評級機構等。
《指引》指出企業風險管理組織體系主要包括規范的公司法人治理結構,風險管理職能部門,內部審計部門的法律事務部門以及其他有關職能部門、業務單位的組織領導機構及其職責,而沒有包括外部方面的人員或機構。
企業風險管理信息溝通渠道比較
《指引》指出,企業應建立貫穿于整個風險管理基本流程,連接各上下級、各部門和業務單位的風險管理信息溝通渠道,確保信息溝通的及時、準確、完整。
《框架》對溝通的闡述則更加全面,突出了溝通的重要性。對于那些將要報告的信息,必須有暢通的溝通渠道和清晰的傾聽意愿。如果正常的溝通渠道不起作用,就需要單獨的溝通途徑來充當自動防故障機制。它還指出最關鍵的溝通渠道位于高層管理當局和董事會之間。溝通的具體方式包括政策手冊、備忘錄、電子郵件、公告板通知、網絡等。
對目標、構成要素、主體內各個單元的關系比較
在《框架》中,目標、構成要素、主體內的各個單元可以通過一個三維矩陣以立方體的形式表示出來。這三個維度的關系是:企業風險管理的八個要素是為企業的四個目標服務的;企業各個層級都要堅持同樣的四個目標;每個層次都必須從以上八個方面進行風險管理。這種表示方式既能夠從整體上關注一個主體的企業風險管理,也可以從目標類別、構成要素或主體單元的角度,乃至其中的任何一個分項的角度去加以認識。而《指引》中則沒有體現這種關系。《指引》指出,企業開展全面風險管理工作應與其他管理工作緊密結合,把風險管理的各項要求融入企業風險管理和業務流程中。
另外,《指引》和《框架》對違反誠信準則行為的態度不同。《指引》指出,對違反道德誠信準則的行為,企業應嚴肅查處。而《框架》還指出,應形成鼓勵員工報告所懷疑的違反行為的機制,以及針對知情而不報告違反行為的員工的懲戒措施。同時,高層管理當局的行為和他們所作的表率對道德準則遵守也相當重要。
參考文獻
1.美國COSO制定,方紅星譯.企業風險管理—整合框架[M].東北財經大學出版社,2005
第7篇:企業目標風險與風險管理范文
關鍵詞:企業風險管理;部控制;部審計
中圖分類號:F234.4 文獻標志碼:A 文章編號:1673-291X(2007)02-0036-02
一、企業風險管理框架的提出
2004年,美國Treadway委員會下屬贊助委員會(COSO)在內部控制框架概念的基礎上,提出了企業風險管理(Enterprise Risk Management,ERM)的概念,使內部控制的研究發展到一個新的階段。COSO這樣定義企業風險管理,企業風險管理是一個過程,受企業董事會、管理當局和其他員工的影響,包括內部控制及其在戰略和整個公司的應用.旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規的遵循提供合理保證。COSO認為,ERM為公司董事會提供了有關企業所面臨的重要風險,以及如何進行風險管理方面的信息,并進一步提出企業風險管理由內部環境、目標設定、事件辨別、風險評估、風險反應、控制活動、信息和交流以及監督等8個方面組成。
1.內部環境(Internal Environment)。企業的內部環境是其他所有風險管理要素的基礎,為其他要素提供規則和結構,也為ERM的其他組成因素提供了框架。其別是管理當局的風險偏好,決定了公司對可能出現的預料之外的事件的態度,管理當局和董事會必須明確戰略及其執行過程中的風險和回報。
2.目標設定(Objective Setting)。即管理層必須基于目標來識別成功的潛在因素。根據企業確定的任務或預期,管理者制定企業的戰略目標,選擇戰略并確定其他與之相關的目標并在企業內層層分解和落實。其中,其他相關目標是指除戰略目標之外的其他目標,其制定應與企業的戰略相聯系。管理者必須首先確定企業的目標。才能夠確定對目標的實現有潛在影響的事項,而企業風險管理就是提供給企業管理者一個適當的過程,既能夠幫助制定企業的目標,又能夠將目標與企業的任務或預期聯系在一起,并且保證制定的目標與企業的風險偏好相一致。
3.事件辨別(Event Identification)。在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上,企業風險管理要求辨別可能對實現公司目標產生負面影響的所有重要情況或事件,事件辨別的基礎是將可能的風險與環境進行對比。這一步要求綜合運用各種專業知識,盡可能地了解企業當前或將來的環境和經營情況。
4.風險評估(Risk Assessment)。一般用可能性(概率)和影響結果兩個維度度量風險,前者是一定的負面影響事件發生的可能性;后者是假設事件發生,對經營、財務報告以及戰略產生影響的可能結果,潛在影響一般以對經營、數量、金錢損失以及戰略目標可能造成的損失進行計算。風險評估的過程中根據不同的情況,采用定性、定量以及相結合的方法,若可以獲取充足的數據,一般采用定量的評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數據,則一般采取定性的評估方法。
5.風險反應(Risk Response)。企業對每一個重要的風險及其對應的回報進行評價和平衡,結果取決于成本效益分析以及企業的風險偏好。而平衡的反應包括接受、規避或緩和這些風險,后者又包括風險分離、風險轉換或者減少(包括通過控制活動)等形式。風險反應是企業風險管理的整體重要組成部分。
6.控制活動(Control Activities)。控制活動是管理當局設計的政策和程序,為執行特定的風險緩和反應提供合理保證。控制活動包括在整個組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業績復核、資產安全、職責分離等方法。
7.信息和交流(Information and Communication)。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息,與財務信息一樣,風險信息必須以一定的形式和框架進行交流,使員工、管理層以及董事履行各自的責任。風險評估的信息系統可以產生定期或“例外基礎”的時時報告,報告使用趨勢指標、業績矩陣及運營或財務成果的形式,這些報告能夠引導出及時的決策。在公司層次,必須對各種數據和信息流進行加工,形成關于公司風險組合輪廓的統一觀點,以利于交流。通常存在自上而下式、平行式和自下而上式三種有效的交流形式。自上而下式是管理當局向員工傳遞風險信息;平行式是部門之間的信息交流和傳遞;自下而上式是一線員工向管理層匯報風險信息。員工的風險信息交流方面的意識是風險管理環境的重要組成部分,應鼓勵員工就其意識到的重要風險與管理層進行交流,管理當局應當重視員工的意見。
8.監督(Monitor)。與內部控制一樣,企業應通過持續的監督和獨立的評價活動,監督企業風險管理的有效性。持續監督以日常經營中發生的事件和交易為對象,包括管理當局和專門的監督人員的活動。獨立評價一般以定期檢查計劃為基礎,或者以日常監督中發現的意外為起點,由于在獨立調查、風險評估和報告方面具備能力、技巧和經驗,內部審計師是提供獨立評價的合適人選。
二、企業風險管理與內部控制的融合
自1992年美國COSO委員會提出《內部控制框架》報告(簡稱COSO報告)以來,該內部控制框架已經被世界上許多企業所采用,但理論界和實務界紛紛對內部控制框架提出一些改進建議,強調內部控制框架的建立應與企業的風險管理相結合。新的企業風險管理框架就是在1992年的研究成果――《內部控制框架》報告的基礎上,結合《SOX法案》在報告方面的要求,進行擴展研究得到的。通過比較,我們可以發現,企業風險管理的定義采用了1992年內部控制框架定義的模式,認為企業風險管理與內部控制同樣是一個程序,它不是靜態的,而是處于不斷的調整和變化之中,以適應組織環境的變化。
企業風險管理除包括內部控制的三個目標之外,還增加了戰略目標,并擴大了報告目標的范疇。內部控制框架將企業的目標分為經營的效率和效果、財務報告的可靠性和現行法規的遵循。企業風險管理框架也包含三個類似的目標,但是比內部控制框架增加了一個目標――戰略目標。該目標的層次比其他三個目標更高。企業的風險管理在應用于實現企業其他三類目標的過程中,也應用于企業的戰略制定階段。
另外,企業風險管理的8個要素除了包括內部控制的全部5個要素之外,還增加了目標設定、事件辨別和風險反應三個要素,由于對象不同,風險管理更加針對組織面臨的“風險”,增加這三個要素,拓展了概念的深度和廣度。因此,風險管理框架建立在內部控制框架的基礎上,內部控制框架則是企業風險管理必不可少的一部分。
內部控制與風險管理的融合很早就引發了人們的關注,經過長期的爭論和實踐,人們對二者關系的認識不斷深化,逐漸認識到將兩者關系隔離的分析方法是不可取的,內部控制與風險管理只有相融合,才能實現最佳效果。COSO企業風險管理概念的提出,將風險管理與內部控制的融合大大地向前推動了一步,這種融合必將極大地推進內部控制和內部審計的發展。
三、風險管理對內部審計的影響
內部控制向風險管理領域擴展,對內部審計的發展產生了深遠影響,這種影響集中體現在風險基礎內部審計的產生。由于各國實務各不相同,尚未形成統一的最佳做法,國際內部審計師協會目前還沒有標準的風險基礎審計定義,IIA的職業問題委員會認為,風險基礎審計關注的焦點是組織對所面臨影響其目標實現的風險作出的反應,與其他形式的審計不同,這種審計的出發點是風險,而非控制,其目的在于為風險管理提供獨立保證,并在必要時加以引導和改進,審計業務的范圍和優先次序應由組織所面臨的風險所決定。
風險基礎內部審計的特征可以總結為以下幾點:
第一,風險基礎內部審計不僅關注風險管理,同時也是風險管理的重要組成部分。公司針對風險管理功能,設立一個分部,配置一位風險經理,內部審計人員建立風險評估模式,內部審計工作成為企業風險管理的一個組成部分,整個審計工作根植于以未來為導向的風險分析。
第二,內部審計的方法不再是強調確認和測試控制的完整性,而是強調確認經營風險并測試這些風險是否得到有效管理,由交易事項和對政策的遵循,轉變為對目標、戰略和風險管理程序的關注,“控制是否適當且有效”雖然仍被關注,但已不是關鍵。
第三,內部審計的反應方式不再是反應式的、事后的、不連續的監控,從以交易為基礎轉變為以過程為基礎,對組織戰略計劃的創新也由觀察者轉變為參與者。
第四,內部審計在組織中扮演的角色不再是獨立的評價者,更是風險管理與公司治理的集合者,內部審計人員應就戰略規劃、企業并購、合資經營、戰略聯盟及環境保護等重大問題,及時、客觀、獨立地提供咨詢。
第8篇:企業目標風險與風險管理范文
【關鍵詞】企業全面風險管理,內部控制,理念
隨著我國經濟全球化、市場化的不斷深入,企業面臨的不確定因素愈來愈多,很多企業把注意力引向了全面風險控制與內部控制機制方面的設立,但只有少部分內部治理結構健全的企業設立了有效的風險監控職能,大部分企業仍存在較為嚴重的風險管控缺陷的問題。如何建立、完善企業內控制度已成為眾多企業亟待解決的治理問題。
一、企業內部控制發展
內部控制是組織運營和管理活動發展到一定階段的產物,是科學管理的必然要求。它是在內部牽制的基礎上,由企業管理人員在經營管理實踐中創造并由審計人員理論總結而逐步完善的自我監督和自行調整體系。內部控制從內部控制理論與實踐的發展大體上經歷了內部牽制、內部控制系統、內部控制結構、內部控制整合框架和全面風險管理等五個不同的階段。
1、內部牽制階段。內部牽制階段指的是20世紀以前內部控制的基本思想和初級形式。內部牽制以查錯防弊,保護的財產安全為目的,針對控制對象以職務分離、賬目核對等方法發揮分權牽制、實物牽制、機械牽制和簿記牽制的職能。
2、內部控制系統階段。這一階段從時間上看大致為20世紀40年代至80年代。在注冊會計師行業的推動下,內部控制由早期的內部牽制逐漸演變為涉及組織結構、崗位職責、人員素質、業務處理程序和內部審計等比較嚴密的內部控制系統,完成了實踐塑造和理論完善的兩大使命,適應了這一時期資本主義經濟快速發展、所有權與經營權進一步分離的特點。
3、內部控制結構階段。20 世紀80年代至90年代初,內部控制的發展進入內部控制結構階段。在這一階段,控制環境作為一項生根內容被納入內部控制結構之中。控制環境反映組織的各個利益關系主體對內部控制的態度、看法和行為;是對建立、加強或削弱特定政策和程序效率發生影響的各種因素。具體包括: 管理者的思想和經營作風;企業組織結構;審計委員會發揮的職能;確定職權和責任的方法;管理者監控和檢查工作時所用的控制方法;人事工作方針及其執行、影響本企業業務的各種外部關系。
4、內部控制整合框架階段。1992 年9 月, 美國反虛假財務報告委員會的主辦組織委員會( COSO) 在的報告《內部控制: 整合框架》 中提出了內部控制的三項目標和五大要素, 標志著內部控制進入一個新的發展階段。其目標包括合理地確保經營的效率和有效性、財務報告的可靠性、對適用法規的遵循。內部控制要素包括: 控制環境、 風險評估、控制活動、信息與溝通和監控。
5、全面風險管理階段。這一階段的標志是2003年7月美國COSO頒布的企業風險管理框架的討論稿。企業風險管理是受企業董事會、管理層和其他員工影響的,用于識別那些可能影響企業的潛在事件并管理風險,使之在企業的風險偏好之內,為企業目標的達成而提供合理保證的過程。
二、企業全面風險管理發展
企業風險管理框架是在內部控制與企業的風險管理相結合的基礎上,結合《薩班斯一奧克斯法案》在報告方面的要求研究得到的。風險管理框架是建立在內部控制框架的基礎上,內部控制是企業風險管理必不可少的一部分,但風險管理框架的范圍比內部控制框架的范圍更為廣泛,是對內部控制框架的擴展,是一個主要針對風險的更為明確的概念。
相對于企業內部控制制度,企業全面風險管理框架的創新在于:在目標上:提出來企業戰略管理目標,為風險管理應貫穿戰略目標的制定、分解和執行過程,為戰略目標的實現提供合理保證; 在內容上控制要素構成為內部環境、目標制定、事項識別、風險評估、風險反映、控制活動、信息和溝通、監控;在概念上提出來風險偏好和風險容忍度。
三、 全面風險管理與內部控制的關系
1、 全面風險管理與內部控制的區別
(1)管理范圍不同。
全面風險管理的管理范圍要大于內部控制。內部控制是一種管理職能,主要作用于事中與事后的控制,而全面風險管理則是貫穿于整個過程的各個環節,尤其是在事前就有了一定的預見性的風險考慮。
(2)具體業務流程不同。
全面風險管理涉及制定風險管理目標和戰略、選擇風險評估方法、聘用管理人員以及報告程序等環節,而內部控制不涉及到企業經營目標的設立,只是對目標制定的過程進行控制。負責如對報告的評估、對信息交流的監督、對錯誤的糾正等等。
(3)風險管理不同。
全面風險管理框架引入了風險偏好、風險預警、風險對策等方法概念,因此,在風險度量的基礎上,該框架可促使企業發展戰略向風險偏好靠攏。根據投入、風險、回報之間的聯系,合理進行資本分配。這些功能都是內部控制框架能力范圍之外的。
2、聯系
通過了解內部控制的五大發展階段可知,隨著企業管理者的治理理念的改變,全面風險管理在內部控制的基礎上發展和完善。內部控制作為企業的重要的組織制度,為實現企業的管理目標而提供了保障。有效的內部控制保證企業營運有效、財務可靠,使企業風險值降到最小,保證企業的可持續發展。
全面風險管理產生于戰略決策之中,貫穿于企業的各個環節,為企業持續發展提供保障。全面風險管理包括三個方面:一是企業的風險管理目標。包括經營目標、戰略目標、報告目標和合規目標;二是全面風險管理要素。主要有目標設定、內部環境、事件分析、風險評估、風險對策、信息交流、控制監督;三是企業的各個層級的設置與風險管理職責。包括企業整體、各職能部門、各業務線和企業下屬各子公司,以及各個層級的風險控制職責。
第9篇:企業目標風險與風險管理范文
關鍵詞:集團企業;財務風險
集團企業的前身大多是單體企業,所以大部分集團企業財務管理都存在風險性。當企業從單體企業發展成集團企業以后,將會面臨更大的風險。從近年來的發展情況來看,大部分集團企業很難對財務風險進行正確的判斷,預測管理質量也比較差,所以需要對財務風險管理框架進行討論,明確風險管理框架構建原則,討論完善方式。
一、框架設計
在對框架進行設計時,要將集團企業財務風險管理工作視為首要分析對象,并對各種實施要素進行研究,討論管理理論缺陷并對缺陷進行完善,提升集團財務風險管理質量。在日常工作時,要從起點原則以及目標導向等角度出發,對目標層、管理層、基礎層進行探究,明確不同層次對財務風險管理的影響及責任主體目標。因為集團企業涉及到的項目比較廣,所以財務管理工作難度也比較大,在進行財務風險管理之前,必須要先明確其框架,而框架設計可以滿足該方面的要求,并且從近年來的工作情況來看,目標層、管理層以及基礎層三層合一的框架結構可以有效提升集團企業財務風險管理質量,促使其更好的為集團發展服務。
二、集團企業財務風險管理框架構建原則
首先要重視起點原則,通常情況下起點原則都體現于財務管理環境當中,可以在構建風險框架時融入起點原則,使其具有社會環境與任務環境的雙重意義。但是這種模式下的框架構建會受到邊界的制約,所以集團要適應這些制約。部分集團員工在工作過程中提出的財務管理開展問題以及財務管理未來發展方向都會對管理的實施產生影響,所以擬定目標之前要先對環境進行分析,通過分析來掌握企業環境實際情況,結合外部風險來掌控機遇,進而全面提升集團自身的優勢,提升管理效率。其次要關注目標導向原則,在風險管理框架內部確立目標,將目標與實踐聯系到一起。集團企業發展需要借助不同階段的目標,而財務風險管理也需要目標的支持,所以企業必須按照既定目標工作,只有實現了目標才能體現出目標的價值。將目標作為導向,讓所有企業內部工作人員圍繞目標進行工作,可以促進企業長期健康發展。最后要關注系統性原則,并且集團企業應當將系統性原則作為財務風險管理的主要工作原則之一。因為系統性原則的整體性比較強,所以企業需要擬定財務風險管理目標,并將各個階段的目標作為系統化的內容來對待,保證內部安全有序的進行協調,減少要素割裂幾率。因為系統性原則目的性比較明確,所以想要從根本上發揮風險管理的作用,就必須要對集團企業內部各個系統進行歸納總結,將所有的系統聯系到一起,保證管理目的落到實處。
三、集團企業財務風險管理框架構建
(一)目標層構建
目標層是首要結構,對集團企業財務風險管理框架的構建有著至關重要的作用,所以在進行財務風險管理的時候需要將目標層的構建作為最終目標,并且優秀的目標層也可以推動管理層與基礎層更好更快的發展。常見的目標層內容分為內容戰略以及具體目標者兩項,而且在企業的日常運轉中,也要講財務風險管理框架構建當成主要目標,要求不同責任主體承擔相對應的目標,且實現目標。
(二)管理層構建
企業管理層構建對企業的發展來說是十分重要的,可以通過管理層構建來體現各種目標的實踐結果。集團企業當中,責任主體和程序方式都是財務管理工作的關鍵構成部分,而且在構建管理層時,需要將目標層作為基礎,讓所有的工作模式緊隨目標層,對目標層層級目標的確定具有一定的促進作用。財務風險管理框架中構建管理層的作用主要體現在目標層和基礎層的相互連接上,可以通過管理層來使二者更好的連接在一起,提升財務風險管理框架的運行質量,是一種媒介,可以全面提升財務風險管理質量。
(三)基礎層構建
基礎層的構建需要在目標層和管理層構建之后,當完成基礎層構建以后集團企業在財務風險管理框架中的目標和實施管理就可以落到實處。在框架中,基礎層主要作用是完成基點的確定,支撐框架。而在構建基礎層的時候,通常都是將客觀實際情況當成基礎來處理的,并且不僅可以對企業財務風險管理框架構建措施進行明確,還可以全面分析當前社會背景下的客觀環境,所以基礎層構建是十分重要的一個環節。基礎層當中的所有構成部分都會受到結構的制約,但是結構也會對基礎層起到保護的作用。
四、結束語
當前大部分集團企業的前身都是單體企業,所以財務管理環境比較復雜,相對應的風險也有所提升。集團企業要在財務管理過程中不斷的擬定最新管理目標與未來發展目標,并通過各種方式提升目標的可行性,提升風險管理質量。根據集團企業財務風險管理框架原則來明確不同層之間的關系,完善財務風險管理框架的科學性,全面管控財務風險,使其更好的為集團發展服務。
參考文獻:
[1]李小娟.芻議COSO風險管理框架下的企業財務風險控制[J].冶金財會,2010,02:39-40
[2]陳朋利.集團企業財務風險防控——基于彩虹集團財務風險防控的案例分析[J].現代商業,2014,08:203-204
