企业风险管理问题与对策

来源:用户上传      作者: 赵　原

　　风险管理是现代企业经营管理的一个重要理念，如何加强内部控制应对风险是每个企业都必须面对的问题。风险管理水平的提高，有赖于审计人员水平的提高，同时还有赖于审计制度的完善与企业信息的公开和经营评价体系科学化建设的进一步加强。企业风险管理整体框架的构建和发展需要董事会、管理当局和全体员工的共同努力。企业风险管理整体框架的构建也不会在一夜之间完成，需要人们长期持续探索并不断完善。虽然这项工作任务比较艰巨，但对于企业目标的实现、经营效率的提高、企业报告的可靠以及有关政策法规的执行都将是十分有益的。
　　
　　一、完善我国内部控制规范评价制度
　　
　　（一）提升风险管理理念。1992年的COSO报告将“控制环境”要素列为内部控制的五要素之首，2004年的ERM框架则把“控制环境”进一步扩大到“内部环境”。将“控制环境”（内部环境）要素明确为内部控制的基础，就在于把公司治理看作内部控制要素所含的内容，表明内部控制首先要以体现公司治理的本质并实现其目标为起点。由此可以看出，美国的内部控制正向公司治理和管理实践转变。我国财政部颁布的《基本规范》仍停留在会计、审计导向上，这套规范既没有“控制环境”的内容，也没有强调风险管理的价值。应将我国的内部控制规范在理论与方法上从会计、审计的范畴中超脱出来，建设公司治理和管理导向的内部控制，以满足企业的内在需求。
　　（二）拓展内部控制目标。美国ERM框架的内部控制目标包括战略目标、经营目标、报告目标、合规性目标四个方面，而我国内部控制的目标仅局限于报告目标和合规性目标。我国应拓展内部控制的目标，由报告目标、合规性目标向战略目标和经营目标扩展，以调动企业对内部控制建设的关注和需求。
　　（三）丰富内部控制责任主体。2006年2月颁布的《独立审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》已将内部控制的责任主体向上扩展到治理层（董事会），向下扩展到其他员工。应将这种理念运用到我国内部控制基本规范中，丰富内部控制责任主体，由单一主体向多元主体发展。
　　（四）建立科学的内部控制规范体系。对于我国目前内部控制规范中存在的各种缺陷，有关部门应加快对内部控制规范的修订，甚至重新制定。
　　考虑到我国的实际情况，可以建立内部控制基本规范和具体规范两个层次：基本规范应是一套类似于美国COSO报告那样的概念性的制度框架，具有强制力；具体规范可以是具有可操作性的规则，应是参照性的。有关部门应将内部控制规范的建设提到日程上，建立一套科学的内部控制规范体系，为企业的内部控制的自我评估和外部审计师的内部控制审计提供评价依据。
　　
　　二、从COSO角度完善现代企业风险管理体系考虑的因素
　　
　　ERM详细地描述了风险管理过程的八要素，即内部环境、目标制定、事项识别、风险评估、风险对策、控制活动、信息与沟通、监控。
　　（一）内部环境。内部环境是内部风险管理的基础，公司应当从以下方面说明内部环境：①董事会和管理层的理念和经营风格；②内部风险管理的组织架构；③人力资源政策。从内部环境这一个要素来看，首先，董事会和管理层应该树立风险管理的意识和理念。这是一个公司风险管理存在与否以及是否有效的首要因素。董事会商讨公司日常工作并监督其运行情况，而管理层则负责工作的管理来使公司在健康的道路上发展。二者决定了一个公司的未来走向，其重要性不言而喻。如果说，内部环境问题严重的话，很可能导致公司的全面崩溃。因此，董事会和管理层首先应该树立风险管理的意识和理念。其次，合理设置内部风险管理的组织结构，也是内部环境里重要的一环。管理需要人员和结构，一个合理的结构是保证管理的效率和效果的重要基础。再有，就是人员。管理是人的管理，由人来管理。这就需要合理的员工激励政策和人力资源政策来搞好内部人员的关系，协调他们一起建立一个稳定和谐的内部环境。
　　（二）目标设定。即管理当局采取适当的程序去设定目标。做人要有做人的目标，一个企业也该有企业的目标。设定一个合理的目标，能够使企业准确定位，规划自身未来的发展道路。管理当局应当确保所选定的目标支持和切合企业自身的最终目标，并且与企业的风险容量相符。
　　（三）事项识别。即必须识别影响公司目标实现的内部和外部事项。一个企业若想健康长久的发展，就必须对周围的环境有清晰的认识。无论是内部还是外部，企业必须要区分风险和机会。也就是我们所说的事项识别。因此，企业应当说明其事项识别机制，找到事项识别的有效方法，比如SWOT分析等。
　　（四）风险评估。即通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。
　　我们现在的公司都处在风险中，面临的风险来自方方面面。如，运营风险、市场风险、财务风险、人事风险、信贷风险、法律风险、管制风险、声誉风险、技术风险等以及随着交易类型和工具的变化所面临的兼并收购、破产重组、电子商务等等。事项识别是我们对所处环境的风险有所认识，但仅仅认识是不够的。还需要我们对风险的可能性和对公司未来的影响进行分析。风险评估是一个进一步认识风险的过程，对接下来的风险应对起着重要作用。所以，公司要运用正确严谨的评估方法，定期对风险进行评估，来确保对风险的预防和及时有效的应对。公司一般采用数学方法和模型，并运用计算机系统，通过预测来评估风险及其影响。
　　（五）控制活动。即制定和执行政策与程序以帮助确保风险应对得以有效实施。有了风险评估和应对，就要运用评估的结果和应对的措施来指导实践，来对风险加以控制。控制活动就是建立的有助于确保管理层的指令得到实施的政策和程序，在整个机构内所有级别和所有职能部门内进行。这项活动是企业实现其目标过程中一个极其重要的组成部分。不能为控制而控制，也不能仅认为应该控制而控制。管理者必须将控制活动与控制目标相结合，控制活动是努力实现目标的一种机制。在一个企业中，具体的控制活动应当包括批准、授权、验证、核对、审核工作业绩、资产的安全性及职责分工。从这些不同方面来控制，互相牵制和弥补，可以使制定的政策和程序能有效地实施风险应对。
　　（六）信息与沟通。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。随着人们对日益复杂的信息系统的依赖程度增加，信息的可靠性至关重要。不准确的信息会导致风险不被确认或错误的评估，以及低劣的管理决策。为提高数据信息质量，每一组织必须建立企业级的数据管理项目，包括相关信息的获取、维护和分发。提高信息质量的困难很多，包括职能部门的需求矛盾、系统限制，都会阻碍信息的获取与有效使用。要迎接这些挑战，管理层必须在数据的整合方面制定清晰的战略计划，明确职责并定期对信息质量进行评估。而沟通是信息系统的一部分，包括内部沟通与外部沟通。有效的沟通应包括：有效的企业风险管理的重要性和相关性；企业的目标；企业的风险偏好与风险承受度；每个员工在企业风险管理中的角色和职责。所有员工，特别是负责经营或财务管理职责的管理人员，都必须得到公司最高管理层的明确指令：严肃认真地对待企业的风险管理。
　　（七）监控。即对企业风险管理进行全面监控。监控可以通过持续的管理活动、个别评价或者两者结合来完成。
　　为了防范风险，公司各部门必须转变传统的工作方式，增强现代管理意识，建立和完善一整套符合国家监控要求与企业发展要求的新的管理机制，形成防范和抵御风险的坚实屏障，促进企业健康、稳定地运行和发展。具体来说，应当建立和完善如下机制：（1）积极主动的决策机制；（2）严格、认真的控制机制；（3）真实、科学的信息处理机制；（4）相互监督、相互约束的制衡机制。■

转载注明来源:https://www.xzbu.com/2/view-411839.htm