- 相關推薦
關于企業風險管理框架的若干思考
摘 要:2004年9月,COSO委員會正式頒布了新的COSO報告:《企業風險管理——整合框架》。在對此報告進行研究的基礎上,探討了兩方面的問題,一是企業風險管理與內部控制的融合,二是內部審計與風險管理。通過比較認為,首先,企業風險管理與內部控制同樣是一個程序,處于不斷的調整和變化之中.兩者只有相互融合,才能實現最佳效果;其次,對企業風險管理進行監督和評價是現代內部審計發展的結果。內部控制向風險管理領域擴展,對內部審計的發展產生了深遠影響,集中體現在風險基礎內部審計的產生。 關鍵詞:企業風險管理;內部控制;內部審計
一、企業風險管理框架的提出
2004年,美國Treadway委員會下屬贊助委員會(COSO)在內部控制框架概念的基礎上,提出了企業風險管理(Enterprise Risk Management,ERM)的概念,使內部控制的研究發展到一個新的階段。COSO這樣定義企業風險管理,企業風險管理是一個過程,受企業董事會、管理當局和其他員工的影響,包括內部控制及其在戰略和整個公司的應用.旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規的遵循提供合理保證。COSO認為,ERM為公司董事會提供了有關企業所面臨的重要風險,以及如何進行風險管理方面的信息,并進一步提出企業風險管理由內部環境、目標設定、事件辨別、風險評估、風險反應、控制活動、信息和交流以及監督等8個方面組成。
1.內部環境(Internal Environment)。企業的內部環境是其他所有風險管理要素的基礎,為其他要素提供規則和結構,也為ERM的其他組成因素提供了框架。其中特別是管理當局的風險偏好,決定了公司對可能出現的預料之外的事件的態度,管理當局和董事會必須明確戰略及其執行過程中的風險和回報。
2.目標設定(Objective Setting)。即管理層必須基于目標來識別成功的潛在因素。根據企業確定的任務或預期,管理者制定企業的戰略目標,選擇戰略并確定其他與之相關的目標并在企業內層層分解和落實。其中,其他相關目標是指除戰略目標之外的其他目標,其制定應與企業的戰略相聯系。管理者必須首先確定企業的目標。才能夠確定對目標的實現有潛在影響的事項,而企業風險管理就是提供給企業管理者一個適當的過程,既能夠幫助制定企業的目標,又能夠將目標與企業的任務或預期聯系在一起,并且保證制定的目標與企業的風險偏好相一致。
3.事件辨別(Event Identification)。在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上,企業風險管理要求辨別可能對實現公司目標產生負面影響的所有重要情況或事件,事件辨別的基礎是將可能的風險與環境進行對比。這一步要求綜合運用各種專業知識,盡可能地了解企業當前或將來的環境和經營情況。
4.風險評估(Risk Assessment)。一般用可能性(概率)和影響結果兩個維度度量風險,前者是一定的負面影響事件發生的可能性;后者是假設事件發生,對經營、財務報告以及戰略產生影響的可能結果,潛在影響一般以對經營、數量、金錢損失以及戰略目標可能造成的損失進行計算。風險評估的過程中根據不同的情況,采用定性、定量以及相結合的方法,若可以獲取充足的數據,一般采用定量的評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數據,則一般采取定性的評估方法。
5.風險反應(Risk Response)。企業對每一個重要的風險及其對應的回報進行評價和平衡,結果取決于成本效益分析以及企業的風險偏好。而平衡的反應包括接受、規避或緩和這些風險,后者又包括風險分離、風險轉換或者減少(包括通過控制活動)等形式。風險反應是企業風險管理的整體重要組成部分。
6.控制活動(Control Activities)。控制活動是管理當局設計的政策和程序,為執行特定的風險緩和反應提供合理保證?刂苹顒影ㄔ谡麄組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業績復核、資產安全、職責分離等方法。
7.信息和交流(Information and Communication)。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息,與財務信息一樣,風險信息必須以一定的形式和框架進行交流,使員工、管理層以及董事履行各自的責任。風險評估的信息系統可以產生定期或“例外基礎”的時時報告,報告使用趨勢指標、業績矩陣及運營或財務成果的形式,這些報告能夠引導出及時的決策。在公司層次,必須對各種數據和信息流進行加工,形成關于公司風險組合輪廓的統一觀點,以利于交流。通常存在自上而下式、平行式和自下而上式三種有效的交流形式。自上而下式是管理當局向員工傳遞風險信息;平行式是部門之間的信息交流和傳遞;自下而上式是一線員工向管理層匯報風險信息。員工的風險信息交流方面的意識是風險管理環境的重要組成部分,應鼓勵員工就其意識到的重要風險與管理層進行交流,管理當局應當重視員工的意見。
8.監督(Monitor)。與內部控制一樣,企業應通過持續的監督和獨立的評價活動,監督企業風險管理的有效性。持續監督以日常經營中發生的事件和交易為對象,包括管理當局和專門的監督人員的活動。獨立評價一般以定期檢查計劃為基礎,或者以日常監督中發現的意外為起點,由于在獨立調查、風險評估和報告方面具備能力、技巧和經驗,內部審計師是提供獨立評價的合適人選。
二、企業風險管理與內部控制的融合
自1992年美國COSO委員會提出《內部控制框架》報告(簡稱COSO報告)以來,該內部控制框架已經被世界上許多企業所采用,但理論界和實務界紛紛對內部控制框架提出一些改進建議,強調內部控制框架的建立應與企業的風險管理相結合。新的企業風險管理框架就是在1992年的研究成果——《內部控制框架》報告的基礎上,結合《SOX法案》在報告方面的要求,進行擴展研究得到的。通過比較,我們可以發現,企業風險管理的定義采用了1992年內部控制框架定義的模式,認為企業風險管理與內部控制同樣是一個程序,它不是靜態的,而是處于不斷的調整和變化之中,以適應組織環
【企業風險管理框架的若干思考】相關文章:
企業風險管理框架的構建03-20
現代企業風險管理審計框架03-24
探討企業稅務風險管理思考論文01-01
工業企業物流成本管理現狀若干思考03-22
風險管理框架下的內部審計03-23
論風險導向審計在風險管理框架中的應用03-22
企業文化建設的若干思考12-08
民營企業人力資本運營的若干思考03-22
對企業無形資產開展內部審計的若干思考03-20