谈企业风险管理与内部审计

来源:用户上传      作者: 唐惠丽

　　一、企业风险管理评述
　　
　　(一)企业风险管理框架
　　美国反虚假财务报告委员会管理组织fcOSO)针对企业界频繁发生的高层管理人员舞弊现象，颁布了全新的COSO报告，即《企业风险管理――整合框架》(Enterprls-eRiskManagement-Integrated Framework，简称ERMl。这个框架是在原《内部控制――整体框架》的基础上，结合《萨班斯一奥克斯利法案》(Sarbanes-Oxley Act)的相关要求展开研究得到的。根据ERM框架，“全面风险管理是一个过程，这个过程受董事会、管理层和其他人员的影响，这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标”。ERM框架有三个维度：第一维是企业的目标，包括战略、经营、报告和合规性目标；第二维是全面风险管理要素，包括内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息和沟通、监控等要素；第三维是企业内部各个层次，包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是：全面风险管理的各要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从上述方面进行风险管理。企业风险管理是一个过程，企业风险管理的有效性是某一时点的一个状态或条件。决定一个企业的风险管理是否有效，是基于对风险管理要素设计和执行是否正确的评估基础上的主观判断。企业的风险管理要有效，其设计必须包括所有的要素并得到执行。
　　
　　(二)我国企业风险管理规范
　　近年来我国有关部门和很多企业也逐步认识到风险管理对企业经营的重要性，为了指导企业开展全面风险管理工作，进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展，国务院国有资产监督管理委员会2006年6月发布了《中央企业全面风险管理指引》。该指引指出，全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。财政部、证监会等部门也于2008年5月发布了《企业内部控制基本规范》。该规范指出，企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况及时进行风险评估。企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。
　　
　　(三)企业风险分析
　　风险产生于不确定性因素的存在，企业运行环境的不确定性带来了企业运行结果的不确定性。企业风险可以按照企业目标的不同层次来理解和划分，并可将其相应划分为：(1)企业的战略风险，是指企业战略目标不能实现的可能性，主要包括：由于对有关影响因素的分析不够充分或对未来的变化没能合理预计而带来的企业在总体战略选择环节的失误风险；由于企业的具体战略选择失误而带来的风险，包括企业经营领域的选择风险、企业并购风险等。(2)企业日常经营管理风险，是指企业具体经营目标不能实现的可能性，又可以划分为企业经营环节的作业链风险，如企业供、产、销等环节的风险；企业的人事风险，如由于人员任用、授权、业绩评价等方面的缺陷带来的风险；企业的信息风险，如企业信息系统风险等。(3)财务风险。包括筹资风险、资金投放的风险及企业其他财务活动风险。
　　
　　二、企业风险管理审计的作用
　　
　　对企业风险管理进行监督和评价是现代内部审计发展的结果，风险管理审计是内部审计的主要职责，分析、确认、揭示关键性的经营风险，才是内部审计的焦点。随着我国经济体制的不断改革发展，企业内部审计越来越受到各方面的重视，对内部审计的理解也发生了较大的变化。企业进行风险管理审计可以起到以下几方面的作用：
　　一是全面识别企业风险，风险在企业内部具有感染性、铸递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承扭，而是会传递到其他部门，最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑，而各业务部门又很难做到这一点。内部审计具有相对的独立性，受单位主要负责人的直接领导，这就使其可以从全局出发，从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。
　　二是调控和指导企业的风险策略内部审计部门处于企业量事会、总经理和各职能部门之间的位置，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节，可以调控和指导企业的风险管理策略。
　　三是内部审计部门的建议更易引起企业领导的重视一些企业尽管设立了风险管理部门，但不具有独立性，其意见往往会屈服于管理层的压力，这使得风险管理部门的作用受到一定程度的限制。而内部审计部门独立于其他管理部门，其风险评估的意见可以直接向董事会汇报，这样可以加强管理层对内部审计部门意见的重视程度。
　　
　　三、企业风险管理审计的内容
　　
　　企业运营状况审查。确定风险是否像所预计的一样，能减轻至可接受的程度以及在可控的范围内，并确定审核程序可以有效且低成本运作。监督和评价一个部门内的业务流程是否存在风险，或者一个流程能够同时对诸多部门同时进行管理。
　　企业信息系统风险审查。内部审计人员参与系统开发及方案制订，尤其关注流程的改进、数据传递、系统的执行计划及测试计划。对应用系统执行前及执行后的状况进行评估。对信息安全问题进行评估。
　　遵从国家法规政策审查。对企业的各项经营活动进行全面分析和评估。通过评估并纠正程序，确保遵守国家相关法律及政策。
　　风险管理流程控制审查。为实现企业经营目标，评估现行流程，保证其对可能事件与可能情况能进行有效识别、评估、管理和控制。协助风险管理机构落实有关措施。
　　风险应对措施适当性和有效性审查。内部审计人员应当实施适当的审计程序，对风险应对措施进行审查。内部审计人员在评价风险应对措施的适当性和有效性时，应当考虑以下因素：采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内；采取的风险应对措施是否适合本组织的经营、管理特点；成本效益的考核与衡量等。
　　内部审计人员通过风险管理审计提供独立的、有附加价值的风险评估和解决方案，并向管理层报告审查和评价风险管理过程的结果，并提出改进建议。
　　(作者单位：陕西工运学院)

转载注明来源:https://www.xzbu.com/2/view-417765.htm