我国企业风险管理现状分析
来源:用户上传
作者: 翟 萧
从1988年美国注册公共会计师发布的第55号《审计注册说明书》中的内部控制框架的三要素,到1992年美国防止虚假财务报告委员会下属的发起人委员会(简称COSO)发布的《内部控制整体框架》报告中的五要素,再到COSO2004年《企业风险管理框架》(简称ERM)提出的八要素,内部控制理论得到不断的完善和发展。研究内部控制理论的角度也从内部控制转移到企业风险管理角度,这是值得我们关注的一处微妙变化。
所谓企业风险,人们通常理解为企业在发展过程中出现意外的、非正常的情况,从而造成损失的可能性,是能够影响一个或多个目标的不确定性。概括地说,风险的基本性质有三个:一是客观性;二是多样性;三是不确定性。风险的这些性质,给我们进行风险管理带来极大的困难。但这也正是我们可以积极地进行风险管理的出发点。
一、我国企业风险管理现状
(一)风险意识淡薄。目前,我国有很大部分企业缺乏风险管理意识,没有积极地进行风险管理工作。主要表现在两个方面:一是企业中的风险管理活动往往是暂时的或者间断性的,意识到了就进行管理,事后则放在一边,置之不理;二是企业缺乏对风险进行定期复核和再评估,降低了企业适应环境变化、管理和规避风险的能力。获取最大利润的根本目标致使有些企业只顾眼前利益,而忽视某些行为决策对企业未来发展产生的不利影响,往往对项目风险不能进行系统全面地分析,从而导致企业蒙受巨大损失。
(二)企业风险管理组织结构不完善。我国大多数企业存在较为严重的结构问题,导致各个部门和岗位的人员对工作职责和操作程序不清晰,风险承担的主体不明确,因而很难形成独立的风险管理部门,并且没有专门的人员进行企业风险管理。即便是成立了相应的风险管理部门,但也没有专职的风险经理,风险承担的主体也不明确,各个部门或者岗位间互相推卸责任,使其风险管理缺乏约束,从而无力承担起独立的、具有权威性的、有效管理企业风险的职责,使得我国企业的风险管理始终停留在以眼前利益为目的的决策层次上。
(三)企业风险管理与内部控制脱离。企业管理层未能将企业风险管理与内部控制有机结合起来,形成突出风险管理而更为有效的内部控制系统。①企业风险管理的意识薄弱,普遍没有储备进行风险评估与风险管理所必需的数据与信息;②企业主动以减损防损为目的而安排风险转移的行为不多;③由于法律在对企业安全管理方面未将风险的评估列入其中,也就较为缺乏企业有关部门就风险进行科学评估的实践;④在战略方面,企业往往存在过度性的冒险赌博,由于不懂得科学的风险评估的意义与技能,造成了我国企业往往承担了不该承担的风险,而同时又把本应该抓住的机会当成风险而被拒绝在外;⑤在经营方面跟着感觉走,决策上随意主观、缺乏科学性,存在经营理念上的短期行为。风险的这些性质,使得我们必须通过实际方法,来实现最全面的风险损失共担,从而对风险事故所造成损失的后果加以控制。这正是现代风险管理的重要依据和理论基础,它对于企业内部进行风险管理都具有深刻的意义。
二、完善我国企业内部控制评价制度
(一)提升风险管理理念。1992年的COSO报告将“控制环境”要素列为内部控制的五要素之首,2004年的ERM框架则把“控制环境”进一步扩大到“内部环境”。将“控制环境”(内部环境)要素明确为内部控制的基础,就在于把公司治理看作内部控制要素所含的内容,表明内部控制首先要以体现公司治理的本质并实现其目标为起点。由此可以看出,美国的内部控制正向公司治理和管理实践转变。我国财政部颁布的《基本规范》仍停留在会计、审计导向上,这套规范既没有“控制环境”的内容,也没有强调风险管理的价值。应将我国的内部控制规范在理论与方法上从会计、审计的范畴中超脱出来,建设公司治理和管理导向的内部控制,以满足企业的内在需求。
(二)拓展内部控制目标。美国ERM框架的内部控制目标包括战略目标、经营目标、报告目标、合规性目标四个方面,而我国内部控制目标仅局限于报告目标和合规性目标。我国应拓展内部控制的目标,由报告目标、合规性目标向战略目标和经营目标扩展,以调动企业对内部控制建设的关注和需求。
(三)丰富内部控制责任主体。2006年2月新颁布的《独立审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》已将内部控制的责任主体向上扩展到治理层(董事会),向下扩展到其他员工。应将这种理念运用到我国内部控制基本规范中,丰富内部控制责任主体,由单一主体向多元主体发展。
(四)建立科学的内部控制规范体系。对于我国目前内部控制规范中存在的各种缺陷,有关部门应加快对内部控制规范的修订,甚至重新制定。考虑到我国实际情况,可以建立内部控制基本规范和具体规范两个层次:基本规范应是一套类似于美国COSO报告那样的概念性的制度框架,具有强制力;具体规范可以是具有可操作性的规则,应是参照性的。有关部门应将内部控制规范建设提到日程上,建立一套科学的内部控制规范体系,为企业内部控制的自我评估和外部审计师的内部控制审计提供评价依据。
(五)发展内部控制独立审计业务,强化对企业内部控制的外部评价。目前,我国注册会计师接受委托执行的内部控制制度审核业务,参照的是中国注册会计师协会印发的《内部控制审核指导意见》,发表的是审核意见。建议将外部审计师对内部控制的评价确定为一项独立的强制性的审计业务,并研究制定内部控制审计准则,
强化外部的内部控制审计制度,促使企业管理层对内部控制的落实和运行。
三、完善现代企业风险管理体系应重点考虑的因素
(一)制定和协调企业风险文化。企业风险文化是企业文化的一方面,是企业在日常经营管理活动中如何对待风险、风险偏好以及风险容忍度的一套共同的观点、价值和实务。风险文化是企业进行风险管理是否成功的关键之一,企业的风险偏好、风险可容忍度与企业的战略直接相关,企业在制定战略时应考虑将该战略的既定收益与企业的风险偏好结合起来,这就要求企业管理者在不同战略间协调选择与企业风险偏好相一致的战略,同时考虑相关目标的重要性,并结合企业风险偏好确定目标风险的可容忍度,一旦确定了风险偏好和风险容忍度,企业全体人员都应该实行相同的风险偏好和风险容忍度。
(二)建立全面有效的内控机制。风险管理不仅在业务流程上建立风险管理机制,更为重要的是建立起一套全面、有效的风险内控机制,以确定风险管理机制最有效地执行,现代企业分支机构遍布各地,传统报表数据汇报信息不能完全、真实地反应分支机构经营风险情况,而现场审计又不能经常进行,并且有严重滞后性。为了实施有效风险管理,笔者认为可在企业总部成立直接对公司董事会负责的风险管理委员会和相应的职能部门,统一对各分支机构实施风险管理,专职、专业、专人负责对全系统分支机构进行风险监管,并制定统一的风险管理制度和流程,实施稽核检查;各分支机构下设独立风险总监,负责风险管理并可越过分支机构总经理直接向总部风险管理委员会和风险管理部门汇报情况。
(三)建立风险事故数据库。风险事故数据库是风险有效预警的工具。通过对发生在企业外部的风险事故进行分析,将激励和警惕管理层测试企业自身的风险管理程序,从而来检查他们是否能阻止企业内的风险发生;对企业内部以前发生的风险事故进行分析,可以避免以后类似风险事故的发生。■
转载注明来源:https://www.xzbu.com/2/view-411831.htm