风险管理机制论文大全11篇
时间:2023-03-22 17:38:12
风险管理机制论文篇(1)
对于一个安全稳健经营的银行机构来说,必须建立起一个可以充分识别、测算、监督和控制其所经营产品和业务所涉及风险的管理框架,这已经是美国银行界和监管部门的共识。因为,银行业经营需要的不仅仅是充足的偿债能力和流动性,更重要的则是当风险到来时能够尽可能少地遭受损失。试想,一家银行即使流动性再充分,如果稍微遇到市场波动,就会遭受很大的损失,这样的银行我们能称之为稳健的银行吗?
正是基于这个理由,美国联邦储备体系(theFederalReserveSystem)一直非常重视对所监管的银行的风险状况进行评估、预测、计算和控制,甚至对银行的内部控制系统进行监控。
银行机构经营过程中所面临的风险主要包括:
1、信贷风险(CreditRisk)。指因借款人或交易对方不能履行偿还义务所给银行带来的风险。
2、市场风险(MarketRisk)。指因金融资产的市场价格(如利率、汇率或股票价格)发生不利的变化而给银行机构带来损失的风险。
3、流动性风险(LiquidityRisk)。指银行机构因无力变现资产或获得足够的资金而无法偿还到期债务的风险。另外一种意义的流动性风险是指,由于市场深度有限或发生市场混乱,银行无法在不大幅度降低市场价格的情况下迅速出售或抵消特定的风险。
4、经营风险(OperatingRisk)。指因一些潜在问题可能导致出现不可预见的损失。这类问题主要包括不充分的信息系统、经营问题、不遵守内部控制要求或者欺诈带来的损失。
5、法律风险(LegalRisk)。指因合约无法执行、法律诉讼或判决结果不利而扰乱银行机构的经营状况产生的风险。
6、名誉风险(ReputationRisk)。指这样一种损失的可能性,即因对一家银行机构经营做法的反面宣传可能导致顾客减少、费用高昂的诉讼或收入下降。
以上是对银行机构经营过程中所面临风险状况的主要分类。但是,在银行机构的实际运营过程中,则会由于各家银行所从事的具体活动的性质和范围的不同从而在经营过程中面临不同的风险组合、风险集中程度以及风险暴露程度。
二、银行机构的风险管理所包含的内在因素
银行监管部门每年都要对所监管银行的风险质量进行评定。无论是对于各州的成员银行,还是对于大规模的银行持股公司来说,以下的几个方面都将接受来自监管部门的检查:
1、银行董事会有对该家银行风险状况进行有效性监督的职责
按照现代公司制度,董事会是对一家公司的经营决策担负最重要和最终责任的机构。对于银行的风险控制系统来说,以下事项应该是董事会所肩负的重要职责:银行机构的整体经营战略和有关风险承担的重大政策;有关确定管理责任和制定风险承受和暴露限度的政策;随时监控银行机构的绩效和风险状况;对一家银行所面临的信贷、市场和流动性风险进行综合评估;定期重新评估银行机构的经营战略和重大的风险管理政策和程序,尤其是银行机构的财务目标和风险承受能力。
2、确定银行机构风险的管理政策和程序
银行机构的风险一经确定,就需要制定对银行机构经营所面临的风险进行管理的政策和程序,以便为银行机构的总体经营战略的日常实施提供指导。这些管理政策和程序实施的目的应该是保护银行不致承担过度或不审慎的风险。
3、对银行机构的风险进行管理和监测的信息系统
有效的风险监督要求各机构能够坚定和测算所有的实质性风险暴露。有效的风险监测必须有信息系统的支持,该系统可以为高级管理人员和董事们提供及时的关于财务情况、经营状况和机构整体风险存在情况的报告,还可以定期为负责银行机构日常管理的主要管理人员提供报告。充分的风险管理项目的复杂程度可能相差很大,主要决定因素是银行机构的规模和复杂程度及承受风险的能力。对于那些只从事传统银行业务的机构而言,董事和高级管理人员主要注重日常业务细节,因此基本的风险管理系统可能就足够了。然而,大型的跨国机构则往往需要更为详细和更为正式的风险管理系统,以便应付更为广泛和更为复杂的金融活动,并为高级管理人员和董事们提供监督和指导日常业务活动所需要的一切信息。大型银行机构在风险管理过程中还需要制定为它在世界范围内所从事业务活动可能涉及的主要风险类型设定具体的审慎限度的详细指导细则。
4、银行机构的综合内部控制系统
建立一个良好有效、科学严密的综合内部控制系统,对于银行的安全和稳健运作,尤其是银行的风险管理系统来说至关重要。只有建立起一个良好的内部控制系统,才能从根本上在制度的层面对一家银行机构的正式的职权划分、职责分离以及权力制衡作出严格安排。相反,如果职权划分不明确,权力不能得到有效的制衡,银行机构的财务信息的真实性就会受到挑战。甚至很有可能导致严重的财务亏损。架构合理的内部控制系统可以推动有效的经营,推动可靠的财务和管理报告,可以为资产提供保障,并有助于确保有关部门法律、条例以及机构政策的遵守。国际通行的做法是由独立的、直接向董事会或董事会指定的委员会(通常是审计委员会)报告的内部审计人员对内部控制系统进行检验。
三、对银行机构所面临的主要风险进行估算的方法
银行运营和监管的实践告诉人们,仅仅对银行所面临的风险进行理论上的识别和实际上的监控对于防范金融风险来说是远远不够的,必须建立起对银行机构所面临的风险进行量化估算的数学模型和方法。近几十年来,银行机构一直尝试着使用复杂的数学模型技术来量化它们的市场或价格风险,这些技术的最基本概念就是“MonteCarlo模拟”和“风险价值”。通过使用具体的置信水平和“风险价值”测算方法估算在给定的持有期间内,一家银行机构的风险类别中的头寸因市场总体变化可能引起的下降幅度,其中这些模型测算的焦点是银行机构所面临的信贷风险。
银行监管部门已经采纳一些承认这些市场风险建模方法的有效性的资本标准,并一直跟踪建立改善资本充足标准的模型的进展情况,此项工作的前提是对银行信贷风险的研究必须首先取得成果。
下面具体谈谈对两种主要的银行风险进行估算的方法。
1、市场风险(MarketRisk)。
90年代中期,联邦储备体系(FederalReserveSystem)曾一项规定,要求银行机构测算并持有一定的资本来覆盖市场风险暴露,尤其是与外汇和商品头寸以及交易账户中的债务和股本头寸有关的市场风险。根据这项规定,如果一家银行机构满足特定的定性和定量标准,即可以使用其内部风险测算程序。内部模型估算法即是建立在这个规定的基础之上的。
风险管理机制论文篇(2)
1我国商业银行风险管理机制存在的问题
改革开放以来,中国银行业在改革、发展和对外开放的同时,也在不断借鉴国际先进商业银行的经验,国内不少银行借助外部中介力量,引进中介知名机构的风险管理系统软件,改造风险管理组织体系和业务流程等;构建商业银行风险管理制度体系,如制定了包括授权授信、审贷分离、岗位制约、内部审计等大量的内部控制制度,在风险管理和内部控制上取得了一些成绩。但是,在风险管理方面还不同程度的存在以下一些问题:
1.1公司治理机制尚不完善
随着国有独资商业银行的股份制改造和新兴股份制商业银行的崛起,原来银行业内部的利益格局发生了重大变化。在构建现代企业制度意义上的公司治理方面,国内商业银行虽然有许多有益的实践,但整体效果和个体实效都不甚理想,无论是公司治理的组织架构、制度安排还是治理机制,都处在新旧控制体系交错的状态下。
1.2内控管理机制和合规风险管理机制不健全
根据新巴塞尔协议的定义,合规风险指的是:银行因未能遵循法律法规、监管要求、规则、自律性组织制定有关准则、已经适用于银行自身业务活动的行为准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。商业银行的发展历史表明,银行业在经营过程中随时都有可能被风险所困,甚至被压垮。近年来,我国银行业违规案件频繁发生,给银行业造成了很大的损失。
2我国商业银行风险管理机制不健全的原因分析
公司治理机制不完善,风险管理战略不健全,导致商业银行的激励机制的导向出现偏差,银行的宗旨和价值无法得到体现。由于合规风险管理机制的不健全,使得商业银行无法通过政策和程序的持续修订去传承许多有益的风险管理经验,制约了商议银行风险管理机制的发挥。
2.1缺乏全面的风险意识
首先是全面风险管理理念不到位,仍以信用风险管理为主,对市场风险、操作风险等重视不够。其次是忽视了不同业务、不同地区在风险管理方面存在的差异。不仅不能管理好业务风险,反而容易产生新的风险。最后是不能正确认识风险管理和业务发展的关系,认为风险管理会阻碍业务发展,同时又不能认真研究市场变化的规律,通过否定业务逃避承担风险,业务不但发展不了,反而降低了银行的整体抗风险能力。
2.2对管理层缺乏有效约束机制
国家作为所有者和社会经济调控者的双重角色,对国有商业银行提出的经济目标在事实上也是双重的,这就使得对国有商业银行的实际经营状况难以进行清晰有效的考核和评估。同时,由于缺乏人格化的产权和清晰的选择标准,管理人员的选择基本上采用行政化的干部考核运用制度。此外,国有商业银行的员工薪酬体系类似于公务员,收入水平基本上是事前确定的,与业绩水平的相关程度不明显,对其难以形成有效的激励。
2.3激励约束机制与银行文化不相融
银行文化是指银行在长期经营与发展过程中逐步形成并经过全体员工认同的共同价值取向和心理预期,这种以人为本的价值取向和心理预期就是银行的目标和企业信念。绩效考核机制体现了银行的发展理念和经营思路,对于银行风险管理有重要的导向作用。并且,绩效考核结果的运用跟银行员工的切身利益相关,对员工行为有重要影响。
3健全银行风险管理机制的有效途径
国际经验表明,在经济发展较快、银行贷款大幅度增加的情况下,尤其要加强风险管理。我国近年来经济发展速度较快,外部环境比较复杂,银行业发展还不成熟,风险管理形势严峻。增强我国银行业的抗风险能力成为国有银行改革与发展的重要任务之—。
3.1强化公司治理
完善公司治理结构是建立现代金融企业制度,提高银行发展能力、竞争力和抗风险能力的根本所在。长期以来我国商业银行就普遍存在产权模糊、产权主体虚置、产权约束弱化问题,导致银行的所有者与经营者激励不足和风险软约束。这一问题国有商业银行最为突出,在其他银行也同样存在一尤其是有政府背景的,或者国有企业为大股东或控股股东的商业银行。产权结构在很大程度上决定了银行的公司治理结构,进而直接影响了银行治理机制和风险管理机制的效能。从风险管理机制的角度来看,股份制是商业银行组织形式的最佳选择。
3.2构建有效的合规风险管理体系
风险管理机制论文篇(3)
[关键词]风险资本高技术创业企业融资机制
一、引言
风险资本又称“创业基金”,是指由专业投资人提供的快速成长并且具有很大升值潜力的新兴公司的一种资本。风险资本通过购买股权、提供贷款或既购买股权又提供贷款的方式进入这些企业。风险资本是准备用于进行风险投资的资金。风险资本的来源因时因国而异,如个人和家庭资金,国外资金,保险公司资金、年金和大产业公司资金等,主要是一种以私募方式募集资金,以公司等组织形式设立,投资于未上市的新兴中小型企业的一种承担高风险、谋求高回报的资本形态。在我国,通常所说的“产业投资基金”即属于创业基金。
与传统资本市场相比,高技术领域对投资者的素质要求更高,风险投资者的出现适应了这一要求。在企业发展初期,风险资本几乎成了除创业者自有资本之外惟一的资金来源。在这之后,虽然其他形式的资本(如债务资本)也逐渐介入高技术企业,但这些资本与传统资本在本质上并没有区别,决定企业融资特性的主要还在于风险资本。可以说,在高技术企业发展的整个历程中,风险资本家无论在控制权安排,还是融资结构选择方面都起着举足轻重的作用。因此,风险资本作为联系融资合约双方的纽带,无疑成为分析高技术企业融资机制的切入点。
二、风险资本的基本内涵和特征
1.风险资本的基本内涵
风险资本产生于资本、市场、企业等各自发展且彼此联系的历史进程中,体现出在这样的一系列联系中发育成长的实质。虽然风险资本在其发展演变的过程中存在起伏波动,风险资本的边界仍然处于变化的弹性之中,但它在发育成长和向世界的扩展中以及各国风险资本的融合和趋同化趋势中,依然显示出其基本内涵和相对突出的基本特征。
对于风险资本的定义,欧美经济学家们曾给出过多种认定的边界,从不同角度显示了风险资本内涵的发展延伸和国家差异性。联系风险资本发展演化的历史进程和不同国家与地区扩展中的同质性,可以将风险资本定义为:风险资本是在资本、市场、商品经济、企业及其成长的各自发展演化和彼此互动的历史进程中所形成的一种资本类型及一种投融资工具。它形成于非传统的资金来源并主要投资于处于初创或处于成长初期的高成长性、高风险性企业,它以相对较长期的股权投资为主要投资形式并以股权的高幅增值和最终出售来获取投资回报。这里对风险资本的定义,是一种所谓的“比较传统”的风险资本定义。
2.风险资本的基本特征
(1)风险资本的买方融资特征。风险资本作为一种投融资工具,在现实运作中总是表现为一个融资与投资相结合的过程,其中风险资本得以成立的前提就是融资。整个金融机构在市场中的融资可分为买方金融和卖方金融两大基本类型,各类商业银行、投资银行等属于卖方金融,而专门运营风险资本的风险投资公司和其他数量有限的金融机构则属于买方金融。买方金融的利润主要来自于资产买卖的差价,而风险资本的融资就属于买方金融。风险资本家购买的是资本,出售的则是自己的信誉、投资计划和对未来收益的预期。投资时,它们购买的是企业的股份,出售的是资本金;退出时,它们出售所持企业的股份,买入资金,外加丰厚的利润和良好的业绩,从而在资本撤出后进行下一轮的融资和投资。
(2)风险资本所投资企业的幼稚性和成长阶段的初始性。风险资本所投向的风险企业是其自身增值运动的始点,从这里开始风险资本的运作主体(风险投资公司等)和受资企业一起进入共同成长的历程口不过,风险资本不同于一般的资本,其差别主要表现在对象的特殊限定上:风险资本主要以创业企业为投资对象,它所投资的可能是一种新技术或新产品,也可能是一个刚创立的企业,总之,风险资本的投资对象主要是创业企业,且是那些从企业成长角度看尚处于成长初始阶段的企业。在风险资本的实际运作中,虽然包含着对于其所投资企业的分期投资或者连续投资,也包含着风险资本在某些企业成长到一定时期时运用杠杆收购或管理收购的手段进行介入,但这并没有改变它在投资对象方面的基本特征。
(3)风险资本的高风险性。风险资本的高风险性是风险资本一个十分突出的基本特征。从风险资本的实际运作经验来看,风险资本在创造了许多成长神话的同时也导致了许多的败绩。风险资本的高风险性根源在于风险资本所涉及的风险因素复杂多变,来自于信息的不充分性、信息的不对称性和不确定性,以及多方面的其他非可控因素等,风险集中于风险资本运作的整个过程。
三、风险资本与高技术创业企业的融合
虽然,至今风险资本还未成为企业融资领域的主流,而且它并不必然地以高技术企业作为惟一的投资范围,甚至目前主导世界高技术产业发展的高技术企业群体中,有很多大企业也并未形成以风险资本背景的企业为主流的格局。但是,从以上对风险资本的认识可知,它从一开始就与高技术及高技术企业存在着密切联系,对高技术的青睐和高技术的商业化预期是导致风险资本诞生的重要动因之一,谈到风险资本就很自然地将它与高技术企业联系在一起。风险资本与高技术企业之间的融合,表现为风险资本与高技术企业的联姻和结合,进而表现为高技术企业通过融入风险资本实现成长和风险资本通过高技术企业的成长实现增值。
但风险资本与高技术企业的融合不是简单的结合,是具有明显的指向性的,即风险资本并不是能够与所有的高技术企业融合的。正像ARD公司与DEC公司的成功结合一样,风险资本与高技术企业的融合突出体现在风险资本与高技术创业企业的相互结合上,可以说,风险资本和高技术创业企业的结合乃是风险资本与高技术企业融合的直接的具体体现。
风险管理机制论文篇(4)
一、 引言
2011年,全国地方政府性债务专项审计显示:截至2010年底,全国地方政府性债务余额共计107 174.91亿元,占当年GDP的1/4,超过当年全国财政总收入 。2014年,为积极控制和化解地方政府性债务风险,国务院出台《关于加强地方政府性债务管理的意见》,要求测算债务相关指标,评估地区债务风险状况,对债务高风险地区进行预警。党的十八届三中全会和中央经济工作会议提出,应“建立规范合理的中央和地方政府债务管理及风险预警机制”、“着力防控债务风险”。
相关法规及政策的出台已凸显出当前建立我国地方政府性债务风险评价机制的紧迫性,但由于相关数据及信息披露有限,我国地方政府性债务的风险量化和预警研究尚未得到深入开展,目前针对地方政府性债务风险评价问题的研究主要有:裴育、欧阳华生(2007)从理论高度阐述了我国地方政府性债务风险预警机制的目标及其构建;许争、戚新(2013)、倪筱楠等(2014)、朱文蔚、陈勇(2015)则依照债务资金流向,从借、用、还三个环节依次选取风险衡量指标,构建地方政府性债务的风险评价机制 ;缪小林、伏润民(2012)按照地方政府性债务的内部结构风险和外部负担风险分类,讨论了风险指标的选取,并利用HP滤波分析判断了债务风险的长期波动趋势 ;陈梦秋、宋良荣(2013)尝试为地方财政编制资产负债表,并据此从静态、动态两个维度选取风险评价指标,构建债务风险评价指标体系 ;郭宇、庄亚明(2014)基于系统工程论,通过社会经济、举债程度和偿债能力三个子系统构建了风险系统的多层次预警指标体系和机制。
虽然国内学者从不同角度尝试探讨了我国地方政府性债务的风险测算和评价方法,但仍存在一些问题:首先,缺乏必要的理论基础及依据。多数研究对指标的选取设置没有进行充分论证,注重实践应用而忽视了理论研究,理论基础的薄弱导致债务风险评价体系的科学性受到影响;其次,所建立的风险评价指标体系相对狭隘。多数指标体系不能全面反映与债务风险相关的各项因素,偏重个人主观经验,缺乏对我国地方政府性债务发展历程和特有背景的客观考量。因此,找到一种科学合理的理论作为基础及依据,结合我国特有的地方政府性债务特征与制度背景,构建一套客观全面的风险评价机制成为亟需,也是本文的主要研究目的。
二、 地方政府性债务的风险特征及内部控制的适用性
当前,我国地方政府性债务主要存在以下特征:
首先,主体多元,管理权责不清。在目前的地方政府性债务体系中,举债主体包括融资平台公司、地方政府部门及机构、经费补助事业单位等,债务监管主体包括财政、审计、贷款银行等部门。但在诸多的参与主体中,作为主要监管部门的地方财政只能掌控部分债务,绝大多数存在于融资平台公司和其他政府部门的债务由各单位独自管理,其来源渠道复杂,投资方向多样,财政部门难以对该部分债务实施统一有效的直接监管。这种复杂多元的系统使债务的借、用、还被隔绝于不同主体而难以明确权责,在面临债务风险时不能及时采取控制措施,增加了债务风险向财政风险甚至金融风险转化的可能性。
其次,“重借轻还”,风险意识淡薄。由于债务偿还期限通常大于领导干部换届周期,上界地方政府举借的债务常常由下届地方政府承担偿还,而当本级政府面临债务偿还危机时,最终会由上级政府“买单”,这种举借权力与偿还责任上的时空分离,导致地方政府管理人员的风险意识相对淡薄,极易出现过度举债行为。此外,我国的政治文化背景和不尽完善的干部考核机制使得部分地方政府在举借债务时,考虑的不是长远发展战略和财政承债能力,而是短期经济效益及“形象工程”。淡薄的风险意识和“重借轻还”的管理态度无疑加重了地方债务负担及债务风险爆发的可能性。
最后,机制缺失,监管乏力。监管机制的缺失,首先表现在债务的计量管理基础薄弱。目前,全国地方政府性债务尚未形成统一的统计系统和信息反馈路径,信息分散、统计不准确、反馈不及时都增加了债务管理的难度,降低了债务管理的精度,使得大量透明度差的隐性债务游离于地方财政和人大的监管之外。其次在于缺少统一的风险控制机制。我国至今尚未建立起统一的债务风险评价和预警机制,难以对整个债务系统实施全面的风险预警和控制,这是债务监管面临的突出问题。
内部控制理论自18世纪产业革命后,伴随企业实践发展至今,内部控制的具体目标也由最早的保障财物安全和信息真实,扩展至经营效率以及战略正确性,以风险管理为起点的内部控制,逐步成为现代公司治理中的重要组成部分。针对前述我国地方政府性债务存在的管理权责不清、风险意识淡薄、风险控制机制缺失等特征及问题,内部控制恰好是一种在多环节系统中分配权责、实施监督的有效管理机制,有利于克服债务管理中的权责不清;同时,作为风险管理中的重要机制,内部控制能够有效增强地方政府的风险意识,促使其着眼于长期发展,立足战略层面对债务进行科学规划和管理 ;风险控制方面,内部控制是一种主动的风险应对机制,可以融入到日常管理中,在事前、事中、事后对组织实施连环不间断的动态管理过程,可以有效弥补风险控制机制缺失问题。
此外,内部控制在行政管理及国家治理中的实践应用也较为普遍。诸多学者认为内部控制能够保证政府有效履行公共受托责任,对于提升单位管理和国家治理水平都具有重要意义 。也有学者进一步探讨了内部控制在地方政府性债务管理中的应用逻辑、作用机理和面临困境 ,并尝试将内部控制理论与地方政府性债务风险防范问题相结合,探讨基于内部控制的债务风险防范方法 ,但内部控制在地方政府性债务风险管理中的实践应用尚未有学者展开进一步的讨论。
三、 地方政府性债务风险评价机制的构建
1. 风险指标的选取设定。COSO在《内部控制整体框架》中指出,内部控制系统由相互关联的五项要素组成,分别是控制环境、风险评估、控制活动、信息与沟通、监督,它们相互联系,又分别适用于特定目标类别,共同构成能够对环境变化连续反应的一个整体。本文基于该五项要素构建了债务风险评价的基本框架,结合我国地方政府性债务有限可得的数据资料,共设置了16项风险评价指标,构建风险评价指标体系,如表1所示。
(1)控制环境。结合COSO内控整体框架,本文将控制环境设定为债务运行的经济基础和财政基础,从经济和财政两大视角出发,为控制环境选取了七项评价指标。经济基础方面,参考黄运(2002);肖红叶等(2007);郭玉清等(2015)的研究成果,选取地方“GDP增长率”和“人均GDP”衡量经济发展水平,用“第三产业增加值GDP占比”和“商品出口额GDP占比”反映经济发展结构。财政基础方面,选取“地方财政收入”和“财政收入支出比”衡量地方政府财力及其流动性,用“财政支出贡献率”(财政支出/GDP)反映地区经济对财政支出的依赖度,以反应经济发展的可持续性。
(2)风险评估。风险评估要素旨在识别和分析系统活动中与实现组织目标相关的风险,以合理确定风险对策。参考黄燕芬、邬拉(2011);缪小林、伏润民(2012)等人对我国地方政府性债务所面临风险的分析及研究,本文将风险评估要素分为规模风险、结构风险和运行风险三类,分别设置风险评价指标,以求全面识别和评估风险。
规模风险即债务总量超过地区经济承载能力,导致债务无法按期偿还所带来的风险,本文从当前规模和发展速度两个角度评估,使用“债务率”(年末债务余额/当年综合财力)和“负债率”(年末债务余额/GDP)两项国际通用指标衡量债务的相对规模,用“债务增速与GDP增速比”衡量债务相对发展速度。结构风险指标参考缪小林、伏润民(2012)的研究成果,选取“担保债务风险”(年末担保债务余额/财政收入)、“逾期债务率”(年末逾期债务额/年末债务余额)两项指标组成对结构风险的评估,其中,“担保债务风险”反映地方政府的或有债务风险,“逾期债务率”反映地方政府当前积累的信用违约风险状况。运行风险选取“债务依存度”(当年新增债务额/财政支出)衡量,反映财政支出对务资金的依赖性。
(3)控制活动。本文参考2014年《国务院关于加强地方政府性债务管理的意见》以及财政部相关规定,对各地区的政府性债务相关管理制度和风险控制措施进行评估,我们选用各地区在2013年政府性债务审计公告中披露的地区债务管理制度数量作为对该要素的评估,设置“债务管理制度”指标,制度数量和涉及内容越全面,债务风险发生的可能性越小。
(4)信息与沟通。在地方政府性债务的风险评价体系中,地方政府应及时收集与传递有关债务规模、来源、当前使用情况、偿还情况、政府承债能力、可能面临风险等的信息。本文借鉴上海财经大学公共经济与管理学院研究团队依据各地信息公开申请、网络、出版物等渠道,搜集相关信息制定的“财政透明度指数”来衡量地方政府性债务信息与沟通指标,完善的信息披露可以形成有效的外部约束机制,降低债务风险。
(5)监督。本文将监督要素设定为以控制债务风险为目的,对债务资金运行有效性进行的监督评价活动。本文从审计视角出发,评估地方政府性债务的监督要素,并借鉴朱荣(2014) 的研究方法,用各地政府性债务审计公告中披露的审计查处违规金额数量衡量“审计执行力度”,查处金额越大,表明审计执行力度越大,监督作用越强。
2. 风险评价指标体系的建立。由于表1所列指标的量纲和数量级存在差异,考虑我国相关数据获取困难,样本量有限等因素,本文选取均值法对指标进行无量纲化处理,并对负向指标取倒数,得到各指标最终的评价值,将其调整到方向一致可加总的状态,使得债务风险越大,最终评分越大。
对于指标权重的确认,本文采用专家评判法和熵值法分别为主因子和次因子赋权。通过向业内专家发放调查问卷的方式,获得主因子指标的重要性判断矩阵,通过一致性检验后,确定主因子权重。本文手工整理了2013年全国地方政府性债务专项审计结果,即30个省(自治区、直辖市)和3个计划单列市的债务审计公告及其相应年份的统计年鉴,剔除数据缺失的样本,最后得到了27个地区2012年末次因子指标的相关数据,考虑样本数量能够满足客观赋权法的计算要求,因此采用熵值法计算次因子指标权重。最终得到风险评价指标体系的权重分布,如表1各指标后括号内数值所示。基于地区i第j项指标的评分和权重分布,测算其政府性债务的总体风险:
由此得到相关地区的政府性债务风险评分,分值越大,地方政府性债务风险越大。同时,根据本文所构建的风险评价机制得到债务风险最终评分,可以追溯定位关键风险点,找到“五要素”中具体薄弱环节所在,为后续风险管理和相关措施改善提供有效参考和指引。
四、 结论
本文以内部控制理论为基础及依据,结合我国地方政府性债务的风险特征及制度背景,探讨了内部控制理论在地方政府性债务风险管理中的适用性。内部控制的风险管理本质为其在地方政府性债务风险评价中的应用奠定了较合理的理论逻辑和实践基础;同时,内部控制理论的应用也有利于解决当前债务风险评价模型普遍缺乏理论依据的问题。本文从控制环境、风险评估、控制活动、信息与沟通、监督等多维度出发,构建了涵盖经济基础、财政基础、规模风险、结构风险、运行风险等方面的地方政府性债务风险评价机制,为我国地方政府性债务的风险评价与预警、控制及管理提供有益的借鉴及参考。
参考文献:
[1] 审计署.第35号公告《全国地方政府性债务审计结果》,2011.
[2] 裴育,欧阳华生.我国地方政府债务风险预警理论分析[J].中国软科学,2007,(3):110-119.
[3] 许争,戚新.地方政府性债务风险预警研究――基于东北地区某市的经验数据[J].科学决策,2013,(8):30-47.
[4] 倪筱楠,王莉,袁若愚.基于模糊综合判断法的地方政府债务风险评价[J].企业经济,2014,(5):156-159.
[5] 朱文蔚,陈勇.我国地方政府性债务风险评估及预警研究[J].亚太经济,2015,(1):31-36.
[6] 缪小林,伏润民.我国地方政府性债务风险生成与测度研究――基于西部某省的经验数据[J].财贸经济,2012,(1):17-24.
[7] 陈梦秋,宋良荣.基于资产负债表的地方政府负债融资信用评级指标体系研究[J].金融经济,2013,(6):21-23.
[8] 郭宇,庄亚明.地方政府性债务风险预警系统的构建[J].统计与决策,2014,(4):151-154.
[9] 小林,伏润民,地方政府债务风险的内涵与生成:一个文献综述及权责时空分离下的思考[J],经济学家,2013,(8):90-101.
[10] 孙芳城,李松涛.浅议内部控制视角下的地方政府债务管理[J].商业会计,2010,(16):61-62.
[11] 张少春.抓实抓好内控规范实施工作努力打造行政事业单位管理“升级版”[J].中国财政,2013,(16):8-10.
[12] 杨兴龙,何国亮,内部控制服务地方政府性债务治理的逻辑和机理[J].中央财经大学学报,2014,(10):63-69.
[13] 药清,董玲.基于内部控制视角的地方政府债务风险研究[J].财会通讯,2014,(3):106-108.
风险管理机制论文篇(5)
中图分类号:F275 文献标识码:A
2007年美国次贷危机的爆发使全球陷入严重的经济恐慌之中,此次金融危机造成一大批金融机构相继倒闭,金融市场剧烈动荡,股市急剧下挫,民众的投资和消费信心遭受重创。自2008年10月份以来,分布于我国长江三角洲和珠江三角洲的中小企业也受到有史以来最严重的经济冲击。在目前形势下,一些国家在金融危机中受到的重创仍然没有消除,甚至愈演愈烈。世界经济明显的下行趋势,以及国际经济环境中的不确定、不稳定因素的增多,使我们不得不思考寻找企业抵御风险的措施和方法,加强和完善企业内部控制与风险管理已迫在眉睫。
一、企业内部控制与风险管理理论的合理解读
(一)内部控制理论。
内部控制理论是伴随着企业内控实践经验的积累而逐步发展起来的。内部控制理论的发展先后经历了内部牵制、内部控制制度、内部控制结构与内部控制整体框架等四个不同的阶段。就目前来看,内部控制的权威定义来自于1992年COSO(The Commit-tee of Spons oring Organizations of the Treadway Committee)颁布的《内部控制―――整体框架》报告,该报告认为内部控制是由企业的董事会、管理层、和其他成员实施的,为营运的效率、效果、财务报告的可靠性以及法律规章的遵循性提供合理保证的过程。它是由控制环境、风险评估、控制程序、信息与沟通和监督五大要素组成的。
(二)风险管理理论。
风险管理是一门新兴的管理学科,其涉及到的行业和领域比较广泛,尤其是在企业界,有关风险管理的理论研究受到了极大的关注,风险管理的具体实践也得到了一些落实。关于对风险管理的理解可以从表层和深层的两个角度分析。从表层上讲,风险管理是对生产活动或行为中的风险进行管理;从更深层次上讲,风险管理是指风险管理负责人通过风险识别、风险评价和风险量化等风险分析活动,对风险进行规划、控制、监督,从而增大应对威胁的机会,以成功的完成并实现总目标。对风险管理的研究目前已经形成两大学说,一种是美国学说,一种是英国学说。美国学者把风险管理的对象局限于纯粹风险,在概念上侧重风险处理。英国COSO在1992年颁布了《企业整合框架》,该框架认为企业风险管理是一个过程,该过程由企业董事会、管理层和其他员工共同参与,应用于战略制定,贯穿于企业各层级和部门,为识别影响企业的潜在事项和风险而设计,为企业目标的实现提供合理保证。
二、内部控制与风险管理的关系分析
(一)内部控制与风险管理的关系研究回顾。
结合国际上对内部控制与风险管理的权威定义,以及国内外学者对内部控制与风险管理关系的研究总结出三种代表性观点:
1、风险管理包括内部控制。
COSO在2004年出台的《企业风险管理――整体框架》中明确指出企业风险管理包括内部控制。企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中,风险管理包含的八要素涵盖了内部控制整体框架的五要素,由此说明内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。
2、内部控制包括风险管理。
COSO在《内部控制――整体框架》报告中将风险评估作为企业内部控制的一个组成要素,实际上就是将风险管理包含在内部控制的范围之内。英国FSA在《综合准则》(The Combined Code,1998)中关于内部控制的规定也第一次以官方文件的形式明确将风险管理包含在内部控制之中。
(二)内部控制与风险管理逐渐走向融合。
1、理论上相互融合。
COSO在1994年将《内部控制―――整体框架》修改为《企业风险管理―――整体框架》,其根本原因在于内部控制的出发点与最终目的就是为了控制和管理风险。虽然内部控制的目标与控制层次不断提升,但风险控制与管理始终是其核心,从字面理解上可知内部控制就是控制风险,控制风险就是风险管理。所以内部控制和风险管理是控制风险的两种不同语义表达形式。风险管理无疑是内部控制在新形势下的自然升华,它是更主动、更全面的内部控制。
2、实践中相互融合。
在风险导向内部控制的观念下,风险管理成为企业生存并且发展壮大的关键环节,内部控制的工作重点也由制定单纯的内部控制制度转变为寻求测试管理风险和确认风险的方法,内部控制工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部控制也被赋予了更多的职责和使命。尤其是近年来在美国发生的财务造假案导致了安然、世通等跨国大公司的破产,同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。这些事件的发生,在全球引起了各方对民间审计机构诚信问题的探讨,同时也触动了人们对企业内部控制的进一步思索。无一不认为企业内部控制制度的发展演进与企业面临的风险相关,风险管理涉及的层次更深更广,内部控制将逐渐走向风险管理。
三、我国内部控制与风险管理的现状分析
(一)内部控制和风险管理责任主体单一。
就目前来讲,很多企业的内部控制和风险管理制度往往都是由经理层制定的,使经理层成为唯一的责任主体,其目的是为了更好的服务于高层管理者控制企业的资产和业务,控制中层管理者和企业员工的行为,而对于高层管理者(如总经理、执行董事)则缺乏制约控制能力。在这种情况下往往将为企业带来经营风险并导致经营失败。内部控制和风险管理的主体应该是一条自上而下的链条,因此,有必要让企业所有的利益相关者,尤其是公司的股东和董事会认识到内部控制、风险管理的重要性和紧迫性,从而加强对内部控制的制定和实施。
(二)风险管理意识有待提高,风险管理理念没有得到推广。
企业经营者和管理者的风险意识在现阶段比较淡薄,风险管理作为一种职能和理念尚未融入到我国企业的管理过程当中,因此企业管理层对于风险管理的重要性认识还不到位,风险管理手段相对落后。在项目决策和公司治理方面,对风险评估、信用等级评定缺乏有效的评定标准,缺乏专业风险管理及监控体系,制定不出有效的风险管理方案。尽管有一些风险管理措施,但仅局限于口头上或者制度上,或者实施力度不强,风险管理水平较低。
(三)内部控制固有的局限性还未引起足够的重视。
无论是理论界还是实务界往往将企业倒闭、破产或不能正常经营归因于企业的内部控制制度存在缺陷,这虽然没有错,但忽视了内部控制失效的另一个重要原因,即内部控制固有的局限性。COSO报告在阐述内部控制的四大局限时提到:内部控制既不能解决管理阶层人员素质问题也不能左右政府政策或经营环境。因此对于凌驾于传统内部控制之上的风险,传统的内部控制很难解决。
(四)企业缺少适当的风险管理机制。
我国企业中只有银行、保险、证券公司等金融机构比较注重风险管理,并且因为金融行业的风险性较大,所以许多金融机构也按照国家相关法规的要求建立了自身的风险管理机制,但是至于我国其他企业则很少具备自身的风险管理机制,并且也缺乏对普通企业如何建立风险防范机制的相关研究。COSO在《企业风险管理一总体框架》这一报告中认为风险管理作为企业内部控制不可缺少的一个要素,它不单是简单被动地应对各种风险,而是积极地通过对风险的识别、分析、控制这一风险管理过程来帮助企业合理有效地规避风险危害以及利用风险机会。因此,我国企业应充分重视风险管理机制的必要性和重要性,有关机构也应加强对普通企业建立风险管理机制的研究工作。
四、培养企业内部控制与风险管理能力的对策
(一)完善公司治理与内部控制环境。
由于我国市场经济尚处于发展阶段,证券市场也处于新兴加转轨阶段,股权结构异化,股权文化缺失,公司治理形备而实不至。因此应加强公司治理建设,利用董事会、监事会、股东相互制衡的方式来解决企业高层人员“一人独大”而带来的风险。将公司经营层面的内部控制与公司治理层面的内部控制结合起来,从根本上改善内部控制环境,实现对公司风险的全面控制。
(二)建设有效的风险管理体系。
就目前来看,我国绝大多数企业对内部控制的重要性认识不足,内控结构很不完善,控制效率低下,风险意识淡薄,从而导致我国企业的内部控制在总体上存在着内部控制环境恶劣、控制活动薄弱、信息流通不畅和对内部控制的监控不力等问题。因此我国企业必须注重风险管理体系的建设,在该体系中应重点包括控制战略风险、控制经营风险、控制财务风险等预防和处理措施。风险管理体系的建立将使企业内部控制制度更加健全,而健全的内部控制制度又可以有效地防止和降低风险可能带来的各种损失,促进效益最大化,提高企业的市场竞争力。
(三)实施动态的过程管理,控制经营活动风险。
1、实施全面预算管理。
企业应该设立预算管理机构,聘请专业人员编制预算并且严格预算的执行与监督,合理的进行预算分析和评估,从而达到预防风险、控制风险、强化风险管理的目的。
2、实施资金集中管理。
建立高效的筹资、融资系统,加强资金使用管理及外汇风险的管理来降低和规避风险。
(四)强调全员参与,高度关注内部控制与风险管理。
首先,企业要高度重视对控制环境的建设,完善法人治理结构,建立权力制衡机制;管理层要重视内部风险控制的成效,不断提高整个员工的综合素质,重点培育和加强全员风险管理意识,通过培训帮助员工建立系统的全面风险管理理论,使员工充分意识到风险管理的重要性,并使他们增强对风险的敏感度,摆正风险管理和企业发展的关系,同时建立风险控制制度和奖惩制度,帮助员工了解自身工作的责任;其次,树立企业风险管理文化,通过各种途径将风险控制文化传递给每一个员工,使风险管理理念渗透到每个部门、每个岗位和每个工作环节。建立从董事会到部门到员工严密、畅通的信息网络,设立良好的信息与沟通系统,形成以部门为单位的风险责任中心,确定部门风险控制目标并落实到责任人;最后,培育风险管理的综合型人才,引入竞争机制,合理配置企业人力资源,在注重加强员工的业务素质教育的同时,加强员工守法意识和职业道德教育。
(作者:广东商学院会计学院2009级研究生,研究方向:财务会计理论与实务)
参考文献:
[1]COSO制定.方红星,王宏译.企业风险管理――整合框架.东北财经大学出版社,2005.
风险管理机制论文篇(6)
Abstract:The construction of archival safety system has become an essential part of the archival cause development strategy. Facing the shortage of systematic induce in archival safety system theory, this paper point out the source of archival security system theory from these aspects: the archival conservation and management theory, risk society theory, risk management theory, disaster management theory, information security theory and safety culture management theory.
Keywords:Archives safety system; Archives conservation; Disaster management; Risk management; Information security
1 引言
2010年以恚从档案安全体系建设的提出到《关于加强和改进新形势下档案工作的意见》《全国档案事业发展“十三五”规划纲要》《关于进一步加强档案安全工作的意见》等文件的出台说明:档案安全体系建设已成为档案事业发展战略中不可或缺的一部分,得到了党和国家的充分肯定,一个全方位、多角度、深层次的档案安全体系建设“顶层设计”已经形成。反思我国档案安全体系建设快速推进的深层次原因,离不开学界多年来对档案安全问题的不断研究。从最初对档案安全保管、档案安全保护的研究到如今从档案安全体系的层面展开对各类档案安全问题的系统研究,档案界人士充分汲取相关学科的思想源流,并将其融入档案安全问题的研究当中,取得了重大进展。时至今日,我国档案安全领域已经积累了大量的研究成果。但值得注意的是,当前研究当中缺乏对档案安全体系理论的系统归纳和科学提炼。因此,厘清档案安全体系研究的理论源泉,对于促进档案安全体系的深入研究,以及具有中国特色的档案安全理论体系的形成意义重大。
2 档案安全体系研究的主要理论阐释
2.1 档案保护与档案管理理论。形成于20世纪60年代的档案保护技术学是研究档案制成材料损坏规律及科学保护档案技术方法的一门学科,它的任务是最大限度地延长档案的寿命。档案安全的理论最初就体现在档案保护之中。几十年的发展历程中,档案保护研究逐渐从各个层面展开,尤其是在信息技术的推动下,学界不仅对档案保护技术学科赖以存在与发展的知识基础和理论框架进行了全面的总结和梳理,还将目光转移到新材料、新技术、新设备的研究当中。我国档案保护技术学所形成的核心思想和理论方法,是以纸质档案为核心构建起来的知识体系,例如档案修复技术方法、档案馆建筑与设备、档案害虫与微生物的防治等,它们在我国传统档案保护工作以及“国家重点档案抢救与保护”工作中扮演着重要的理论角色。然而,随着数字时代的到来,档案保护的范围逐渐拓展到电子文件(档案)的安全保护、备份与长期保存等领域,而这些领域同样也是档案安全体系建设中的核心内容之一。档案安全体系建设下,档案安全保护是档案安全体系建设的重要组成[1]。总之,在档案安全体系理论建构当中,档案保护领域的理论方法不可或缺。
档案管理理论是围绕档案收集、整理等工作流程形成的一整套理论、原则和方法。科学的档案管理对于维护档案的完整与安全意义重大。从这个角度看,档案安全体系理论的构建离不开档案管理理论的指导。首先,要确保电子文件的安全,除了探讨电子文件信息的安全保密技术与方法外,电子文件的归档、电子文件的长期保存同样是档案安全体系建设中需要关注的重大问题。一方面,电子邮件、政府网站、政务新媒体等新型“文件”的出现,如何确定归档范围,如何鉴定其价值、划定保管期限,如何完整捕获文件内容及其结构和元数据信息都是值得研究的问题。另一方面,电子文件的长期保存和维护,尤其是新型电子文件的长期保存策略方法也是需要涉足的重要问题。其次,从文件生命周期的角度来看,文件(电子文件)从形成到销毁或永久保存的整个周期都存在安全问题,因此,对文件整个生命周期进行安全管理,既要防止重要文件由于没有归档或归档信息不完整造成的丢失,也要防止保管当中的篡改、泄密,以及注意防火、防盗等,当然,还有利用过程的原件保护、信息保密、隐私保护甚至销毁阶段的安全等。
2.2 风险社会理论。德国著名的社会学家乌尔里希・贝克在1986年出版的《风险社会》一书中,首次提出了“风险社会”的理论命题。此后,英国学者斯科特・拉什、安东尼・吉登斯、沃特・阿赫特贝格等人对风险的概念、风险社会理论进行了进一步探讨。风险社会理论对风险、风险社会进行了完整描述,对如何规避和应对风险作了阐释,是开展风险管理的理论与思想源泉。风险社会理论提出之后,风险的经济学、心理学、政治学、文化学等多维度视角也为关注风险社会问题提供了多种理论分析路径。此外,风险社会背景下,风险社会理论已经对政府管理、企业管理、社会治理等领域产生显著影响,基于风险社会视角展开的安全问题研究层出不穷。
对于档案界而言,对档案安全问题的认识通常有两种视角:一是从档案的存在形态、固有特性以及档案保管的场所、方式、管理体制、运行机制等方面着手,力图从内部发现档案安全风险因素;二是从档案安全所面临的外在环境,包括各种自然灾害以及政治、经济和社会等方面着手,力图从外部分析档案安全风险因素。风险社会理论为理解和思考档案安全体系建设面临的诸多问题提供了一个重要的理论视角,为档案安全风险的防范、规避与管理提供重要思路。
总之,探索风险社会理论对档案安全问题研究的理论价值和现实意义,对认识现阶段我国面临的档案安全问题提供理论借鉴。从风险社会理论视角切入对档案安全体系建设进行透视和反思,剖析产生安全问题的深层原因,这对于档案界树立风险意识、培育风险文化有导向作用。此外,有利于档案机构明确风险社会中档案安全的责任担当,从宏观和微观的双重视角展开,树立“大安全观”,建立安全防范机制、制定安全应对策略与相应的政策引导和制度保障机制。
2.3 风险管理理论。风险具有不确定性与客观存在性,它由潜在的损失、损失的大小、潜在损失发生的不确定性三种因素构成。为了避免事件发生的不良后果,减少事件造成的各种损失,即降低风险成本,人们引用管理科学的原理和方法来规避风险,于是风险管理(risk management)便应运而生。
风险管理是一种有目的的管理活动,常被视为一种保险,一个缓解不确定性的缓冲区,最终目标是以最小的成本获取最大的安全保障。因此,在进行风险管理的时候,管理主体通常致力于通过风险的识别、评估等一系列流程矸治瞿谕獠看嬖诘姆缦找蛩兀并制定一系列方案、措施来应对风险,以达到风险管理的目标。目前,风险管理理论已经在企业管理、工程项目管理、医疗护理管理等领域得到了极其深入的应用与理论拓展,并逐步运用到政府管理、信息管理、IT项目管理、自然灾害管理等领域中。
2000年,王健等人翻译了戴维・比尔曼的著作《电子证据――当代机构文件管理战略》,比尔曼认为,在电子文件管理中应导入风险概念,进行风险管理。之后,电子文件的风险管理开始引起国内学者的关注,其中中国人民大学的“电子政务系统中文件管理风险防范与对策研究”课题组进行了系统研究,探索了电子文件管理风险及其产生原因[2][3]、电子文件风险管理的必要性和可行性[4]、电子文件的风险管理流程与方法等[5][6],并于2008年出版了专著《电子文件风险管理》。
总的来说,在文件与档案管理当中引入风险管理理论是十分必要且可行的[7],在数字时代,文件与档案管理活动中面临的风险越来越多,这些风险不仅出现在收集阶段,还出现在整理、利用等各个阶段,尤其是档案信息化(数字化)建设阶段[8]以及档案数字化项目外包当中[9]。在文件与档案管理中引入风险管理理论,已成为我国档案安全管理的重要思想。
2.4 灾害管理理论。灾害是由自然原因、人为原因或两者兼而有之的原因而形成的、发生于自然界的或突发或缓慢发生的能给人类造成各种损害的事件。灾害与防灾、减灾是人类生存与可持续发展所面临的永恒主题。因此,灾害管理(disaster management)逐渐成为应对灾害的重要活动,它通过对灾害的研究、预测、减灾措施实施和灾后恢复等活动,以预防灾害的发生或减少灾害造成的损失。现代灾害管理理论主要有危机管理理论、风险管理理论和GCSP 管理理论。危机管理理论侧重于灾害的防治,风险管理理论更侧重于灾害预防,GCSP管理理论则是综合危机管理和风险管理理论,侧重于灾害的管理方法。
我国自然灾害频繁,档案面临着各种潜在的威胁。国家档案局对自然灾害的防治非常重视,每年都要专门发文强调汛期档案安全,此外还出台了《档案馆防治灾害工作指南》,其目的就在于进一步强化档案工作者的灾难风险意识和防范意识,为各级档案馆和档案工作者在制定灾害管理政策和战略过程中提供必要指导,以便进一步增强档案馆抵御各种灾害的能力,确保档案的安全保管和妥善处置,把各种灾害对档案馆的影响减少到最低程度[10]。针对档案以及档案馆所面临的灾害威胁,灾害管理领域的理论方法(诸如灾害恢复、灾害风险评估、灾害损失预测与评估、灾害分类与等级划分、防灾减灾对策、灾害应急管理、灾害风险管理、灾害危机管理等)对档案安全管理有重要参考借鉴价值。因此,近些年来,有学者对档案灾害预警机制[11]、档案部门灾害事件应急准备能力[12]、档案灾害管理体系[13]、档案防灾减灾体系建设[14]、数字档案灾害[15]等问题进行了探索,还有学者对“档案灾害学”进行了深入研究[16][17]。
2.5 信息安全理论。信息安全是信息时代永恒的需求。可以说信息安全是信息的影子,哪里有信息哪里就存在信息安全问题。当前,信息科学技术空前繁荣,可危害信息安全的事件也不断发生,敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪等,对信息安全构成了极大威胁,信息安全的形势是严峻的。信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。一般而言,信息安全主要包括设备安全、数据安全、内容安全和行为安全4个层面的内容,而信息安全学科就是研究信息获取、信息存储、信息传输和信息处理领域中如何保障这四个层面安全问题的一门新兴学科。在信息安全理论当中,技术被认为是信息安全保障最重要的手段,在发展过程中出现了数字水印技术、网络防火墙技术、入侵检测技术、访问控制技术、信息加密技术、可信计算技术、RFID技术等安全保护技术。
进入21世纪以来,档案信息安全受到了高度重视。学者们纷纷针对档案信息安全的因素以及档案信息安全管理存在的问题,从技术、管理以及保障体系等层面阐述应对策略。研究中不难发现,档案信息安全研究不能脱离信息安全领域的理论与技术方法的指导,信息安全领域的诸如网络安全机制、隐私保护、设备安全、信息系统安全、信息安全风险评估、信息安全技术、PKI安全认证体系、可信计算技术等理念、技术和方法对档案信息安全研究有重要参考价值。
2.6 安全文化与管理理论。安全问题是伴随人类的出现而产生的,防御灾害、事件和保障安全是人类生存和发展的基本需求之一。安全科学的研究对象就是与“天灾”和“人祸”相关的安全问题。“天灾”包括地震、台风、洪水、旱灾等。“人祸”就包括战争、环境破坏、恐怖活动、网络黑客事件、大面积停电、交通事故、公共安全等。安全科学的基本任务是揭示安全现象中的安全规律,安全科学原理就是安全规律的核心内容。这些原理当中:安全文化原理、安全伦理原理、安全教育原理、安全法律法规原理等社会科学方面的原理对于档案安全体系建设以及档案安全观的形成研究颇有参考价值。此外,从安全管理的层面来看,安全生产管理当中的一些经验教训、体制机制以及管理理念、管理策略方法等同样可以作为档案安全管理的参考。
3 结语
2010年,国家档案局提出建设档案安全体系,并迅速付诸实践。实践工作的快速推进,亟须理论的支撑。因此,有必要梳理已有的相关成果,分析相关的理论思想来源,提炼档案安全体系理论,为指导我国档案安全体系建设提供参考。本文系统梳理了档案安全问题研究当中所涉及的档案学、社会学、管理科学、灾害学、信息安全学以及安全科学等6个领域的7大主要理论思想,其中“档案保护理论”“档案管理理论”是档案安全体系研究的理论基础,其余5种理论则为档案安全体系相关问题的研究提供了理论借鉴和思想源流。然,在各学科理论融合发展的大背景下,后面5种学术理论当中,也存在部分交叉的情况。如灾害管理理论、安全管理理论当中同样借鉴了风险管理理论的思想。因此,笔者认为,针对档案安全问题的广泛性与特殊性,在档案安全体系研究当中各种理论思想之间并不是完全割裂开的,是可以相互借鉴吸收的,其共同目标是应对各类档案安全问题,指导档案安全体系建设。
参考文献:
[1]赵鹏.从档案安全体系建设的角度看档案保护[J].中国档案,2010(6):27.
[2]冯惠玲,王健.电子政务建设中的文件管理风险探析[J].中国行政管理, 2005(4):62~66.
[3]冯惠玲.论电子文件的风险管理[J].档案学通讯, 2005(3):8~11.
[4]徐拥军.电子文件风险管理的必要性与可行性[J]. 档案学通讯, 2005(6):51~55.
[5]张宁.电子文件风险管理:识别与应对[J].电子政务, 2010(6):24~30.
[6]张宁.思维的“逆行”――电子文件风险管理解析[J].中国档案, 2010(7):59~61.
[7]向立文,欧阳华.论加强档案风险管理的必要性与可行性[J].档案学通讯, 2015(4):68~71.
[8]陈国云.档案信息化建设的风险管理[J].北京档案,2008(2):42~43.
[9]黄丽华.引进风险管理方法构建安全管理策略――档案数字化外包潜在风险分析及安全管理措施研究[N].中国档案报,2015-11-23(03).
[10]王良城. 自然灾害对档案的侵袭与应对策略[J]. 北京档案,2010(7):72.
[11]于海燕.档案灾害预警机制研究[J].档案学通讯, 2011(4):81-84.
[12]吴加琪,周林兴.档案部门灾害事件应急准备能力研究[J].浙江档案, 2012(6):16~18.
[13]毛惠芳.预警应急抢救――档案灾害管理体系的构建[D].合肥:安徽大学, 2010.
[14]张新.灾害后的行动与反思――从北川档案抢救看档案防灾减灾体系建设[J].四川档案,2010(3):21~23.
[15]吴晓红,郭莉珠.数字档案灾害初探[J].档案学通讯,2005(3):80~83.
风险管理机制论文篇(7)
中图分类号:F270.7 文献标识码:A
文章编号:1004-4914(2010)09-020-02
在1992年《企业内部控制――整体框架》报告的基础之上,结合《萨班斯――奥克斯利法案》(Sarbanes―Oxley Act,以下简称萨奥法案)的相关要求进行扩展研究,美国科索委员会COSO在2004年正式《企业风险管理――整体框架》,指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更广泛的管理概念和工具。”该框架对内部控制的内涵进行了扩展:监督成为企业风险管理的要素之一,对企业风险管理进行监督以确定企业风险的运行是否有效,监督对象在目标、方法、内容等方面进行了扩展,但仍然遵循了内部控制监督的基本原则和方法。COSO委员会于2009年1月了《监督内部控制系统的指南》(Guidance 0n Monitoring InternalControl Syslems,以下简称监督指南)。该指南以风险导向为核心理念,以将监督有效地植入公司的持续控制过程为根本目标,从而能最小化内部控制失败,并提高决策所需信息的可靠性,它在实质上推动了内部控制监督要素的应用性发展。我国自2009年7月1日起施行《企业内部控制基本规范》,也强调了风险管理。
但是,很多研究结果表明,当前的内部控制框架有一定的局限性,尤其是对风险管理的强调不够,使企业的内部控制与风险管理无法有机结合,所以应该加强基于风险管理的内控。
一、内部控制和风险管理基本理论
1.内部控制理论。内部控制是指被审计单位为了保证业务活动的有 效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督。
内部控制理论是内部控制框架和标准制定的基础,在整个内部控制体系中起基础性作用。在我国,吴水澎,邵贤弟,陈汉文(2000)、杨雄胜(2005,2006)、潘琰,郑仙萍(2008)、毛新述,杨有红(2009)等从不同的视角对内部控制理论进行了探讨。谢志华探讨了内部控制的本质和结构,陈关亭讨论了企业内部控制的假说。
2.风险管理理论。(1)风险的概念。人们在特定客观条件下和特定时期内,对于某一事件或行为产生的预期结果与实际结果之间的差异程度就是风险。这种差异程度在本质上体现了预期主体之间的价值调整。(2)风险的特征。风险的主要特征包括:风险是客观存在的,风险是相对且可以变化的,风险是可以预测的,风险在一定程度上是可以控制的,风险损失与风险价值的对立统一性。(3)风险管理理论。风险管理是企业在识别风险、分析风险、衡量风险的基础上寻求有效控制风险的途径,并用最经济合理的方法来处置风险,以实现最大安全保障的科学管理方法。
企业风险管理的目标是通过对企业的风险进行控制和管理,尽可能使得某一风险事件或行为造成的损失比预期小,创造的价值比预期大,即风险溢价最大化。设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。企业风险管理目的在于企业同标的实现,保证股东财富的最大化。
二、内部控制、风险管理之间的关系
内部控制与风险管理并非平行的关系,应该说内部控制是风险管理的一个重要组成部分,而风险管理则是内部控制的发展和延续。内控主要是针对常规性风险,风险管理主要针对非常规性风险。
理论界和实务界对内部控制与风险管理的关系观点不一,目前具有代表性的三种观点是:内部控制包括风险管理;内部控制就是风险管理;风险管理包括内部控制。
1.内部控制包括风险管理。COCO的报告认为,风险识别、风险评估、风险应对、风险监控是企业内部控制的关键要素。CICA(1998)阐明了风险管理和内部控制之间的关系,即内部控制包括风险管理。
2.内部控制就是风险管理。Blackhum(1999)认为风险管理与内部控制仅仅是人为的分离,在现实的经营活动中,两者是相同内容的不同表达形式而已;Matthew Leitch(2004)认为,理论上风险管理系统和内部控制系统没有实质上的区别,随着这两个概念的内涵不断外延,两者正趋同一致,即内部控制就是风险管理。陈关亭(2005)认为风险管理与内部控制并不是包含关系,而是完全等价的。
3.风险管理包括内部控制。美国科索委员会COSO于2004年正式的ERM--IF表明了内部控制是风险管理不可分割的一部分。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。2009年的《监督内部控制系统的指南》也体现出了类似理念。通过分析,笔者倾向于第三种观点,认为风险管理的范围大于内部控制,且二者逐渐在融合。原因主要在于:(1)按风险管理和内部控制的发展进程来看,内部控制早于风险管理;(2)COSO于2004年9月正式颁布的ERM--IF指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更为广泛的管理概念和工具。”所以,在当前大力提倡建立完善的内部控制的大环境下,必须要基于风险管理来开展。
根据上述分析,企业风险管理和内部控制融合关系框架如图l所示。从图中我们可以看出:内部控制、风险管理之间的关系非常密切。因此,必须把这两者融入企业日常的经营管理之中,充分考虑在实现企业战略目标过程中的风险,并针对风险采取有效的措施加强内控控制。
企业实现管理目标的前提是防范风险,防范风险的内在机制在于内部控制。目前,我国内部控制制度及实施情况仍然比较落后,还存在着许多问题。
1.风险管理与内控脱节。一些企业由于风险问题而损失严重,甚至倒闭,不是因为没有内部控制体系、风险控制制度,而是根本就未有力执行,公司治理控制没有很好地发挥作用,治理层风险意识单薄,人员职业道德偏低,从而未起到强有力的制衡作用,导致管理层无视企业的制度,按自己的意图肆意妄为。这有待于通过改善公司治理结构、强化外部监管来强制企业按制度办事,并针对违规行为制定严厉的惩戒措施来逐渐改善,使得风险管理与企业的内部控制有机结合。
2.企业缺乏良好的风险管理及控制环境。我国企业对风险管理的重视程度不够,普遍缺乏足够的风险意识和风险管理文化,企业及高管很少具备进行风险管理所需要的科学知识结构,企业存在的环境是风险管理的基础,为其他要素提供合理的氛围。在实践中,内部环境受企业历史
和文化的影响,具体包括企业员工的道德观和胜任能力、员工的培训、管理者的管理风格和经营哲学、企业文化等。在风险管理过程中,治理层、高管层和基层必须保持高度的风险意识和遵守业务工作流程,因为在风险面前,任何一个疏于坚持原则的行为或判断,都很可能导致控制失败,给企业带来巨大的损失。我国很多企业发生风险管理失败的重要原因之一是缺乏高度的风险意识和坚定的原则操守,这很大程度上是由于缺乏关注风险管理的企业文化等内部环境。制度规范、市场等企业生存的外部环境也是影响风险管理和内控实施的重要因素。
3.监督机构不健全,独立性不强。要确保内部控制制度被切实地执行且执行的效果良好,必须有良好的监督约束机制。内部审计机构在其间发挥着重要的内部监督作用。为此,审计署颁布了《关于内部审计工作的规定》,批准公布了《内部审计准则》,以加强内部审计在内控中的监督作用。由于内部审计机构的独立性及监督能力受到管理体制、外部干预等多种因素的影响,所能发挥的监督作用有限。许多企业的内部审计部门形同虚设,不独立于企业的其他部门,不具有监督所应有的权利和地位,内部审计人员的素质参差不齐,有些企业的内部审计人员甚至不具备最基本的财会知识,因此,行使监督职能时就会力不从心,不少企业的内部审计仅仅流于形式,大多数不能发挥其应有的作用。
4.缺乏有效的风险评估体系。目前我国企业内部控制评价主观性大、评价标准不统一、风险评估体系不完善,没有形成一套有效的风险评估体系对风险进行评估。对风险的识别和衡量更多的是依赖经验,模型分析和量化分析较少,找不到关键控制点,这导致企业风险管理及控制徒有虚名,给企业运营带来严重后果。
5.信息和沟通渠道不畅通。企业的各个部门,以及企业与外部不能进行有效沟通,不能及时获取有用信息会妨碍风险管理和控制。尤其是在当前信息化和网络化快速发展的时代,会导致很多信息的流失,这都会导致风险管理和控制措施不能有效地实施。
四、完善我国企业内部控制的措施
1.强化风险管理在我国企业内部控制中的核心地位。随着我国制度和规范的健全,我国企业的内部控制不是缺乏制度和政策。而是缺乏让制度得以执行到底的风险措施或流程。工作流程的根本任务就是将技术和人有效运作在企业组织之中,从而推进企业的技术性(技术、标准、程序、结构等)和社会性(行为规范、企业文化、激励和约束机制等)发挥整体绩效的功能。企业在制定工作流程时可以将企业的制度和执行人有效地衔接起来,从而增加工作的价值,提高工作效率,并能减少错误降低风险。所以,在当前必须要强化风险管理,否则有效的内控也难以实现。
2.完善良好的企业风险管理和内部控制环境。企业环境通常包括企业文化、治理结构、人事政策、权利和责任的分配、外部影响等,其中企业文化是核心竞争力的核心要素。完善企业环境可以从以下方面努力:(1)建立健全组织结构。组织结构提供了企业活动的筹划、执行、控制以及跟踪检查的框架,它包括权责范围以及管理层次。各组织机构的人员配备要注意职责划分。(2)加强人力资源管理。培养风险管理专业人才队伍;提高每个员工的风险控制责任感和敏感度,尤其是高管层;大力培养员工的职业道德和职业操守。企业内外经济环境和社会环境发生变化时,企业文化也应该不断的完善、调整和升华,从而适应新的环境、条件和组织目标,保证企业文化充满生机和活力。
3.健全企业风险导向下的内控监督机构。有效实施内控,要做到有效监督。监督要以风险为导向,把焦点放在评估那些应对重大风险的控制。监督应该要建立在对企业目标风险的分析以及对控制如何能够或不能够应对或减轻这些风险的理解基础上,在整个监督流程中需要始终贯穿风险导向原则。健全企业的内部审计监督机构要做到:1.进一步提高内部审计的独立性,保证审计的客观性和公正性;2.推进审计内容由财务审计向管理审计转变,管理审计可以优化企业的管理流程和提高企业的内部控制水平;3.审计时点要重视事前和事中审计而非仅仅事后审计,做到对整个过程进行审计,真正做到防范风险;4.严格执行审计决定。审计决定是对具体审计项目的总结,在经过企业领导批准后应及时送达被审计单位执行,被审计单位应严格执行。这样内部审计监督机构可以及时、准确、客观地发现和反映项目投资、业务合作、资产处置、财务状况分析等环节中存在的问题,更重要的是能提出具有可行性的审计意见和建议,为解决问题提供决策依据。
4.完善企业的风险评估体系,建立风险动态评估机制。控制和风险的概念紧密相关’风险评估是进行内部控制的依据。完善企业风险评估体系应遵守的原则是:定性与定量相结合原则、成本收益原则、重要性原则、全面性原则、有效反馈原则和灵活使用原则。风险评估主要报告筹资风险、投资风险、信用风险、合同风险。企业应在立足于自身情况的同时,构建恰当的评估模型,按照一定的风险评估过程进行评估,基本过程如图2。
风险评估体系确立了企业各种行为的边界,明确了什么可以做,什么不可以做。如果发现有越界行为,要能及时发现并对其进行控制,把损失降至最低。而且,在评估过程中要做到根据具体的情况,实时评估,建立动态评估机制以此反映不断变化的新情况。
风险管理机制论文篇(8)
企业从无到有、从小到大的发展过程,如同人的成长要经历幼年、青年、中年、老年等阶段一样,也要经历不同的阶段。在每一阶段上都具有不同的特征和遇到不同的困难。随着现代社会的发展,经济环境变得瞬息万变,市场竞争越来越激烈。与此同时,企业需要面对的问题越来越多,面临的风险也越来越大,这样就迫使企业必须花费更多的精力对付各种风险。
在市场经济中有许多失败的企业,他们的失败各有其因,但也有一些共同的原因,那就是不重视风险管理,对风险的控制力非常弱。本文研究的问题是面对永远在变化着的社会环境和经济环境,企业如何运用内部审计的理论、方法、程序分析自身风险管理现状,找出问题和不足,提出改进措施和建议,运用先进的风险管理理论对动态变化的风险进行管理,从而实现目标,使企业能够长期生存发展。
风险管理理论发展至今,不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解,于是产生了不同的理论派别。本文的理论框架主要来源于美国COSO委员会2004年9月制定的《企业风险管理——整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准-专业实务框架》。
一、公司简介
某集团有限公司是中国最大的肉制品生产企业之一,其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市,拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验,集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年,冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品,自2002年至2004年,其市场占有率连续三年位居中国大型零售商销售首位。
二、公司风险管理要素审计评价程序及结论
尽管某集团在香港联合交易所主板上市,但其实质还是一家中国民营企业,其并没有建立专门的风险管理组织机构、人员、系统,公司风险管理处于“凭感觉进行风险管理”的阶段,只是由管理层根据调查分析、经验总结,识别、列出公司面临的四大类十三种主要风险,并制定了一些防范措施。公司审计部作为监督检查部门,每年至少两次从集团层面对风险管理进行整体评价,并在每季度对分、子公司执行例行审计过程中,重点关注风险管理状况。以下试从集团公司层面,以《COSO风险管理——整合框架》(以下简称COSO框架)中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。
(一)内部环境
1.理论描述。内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。
2.审计评价程序。
(1)设计风险相关文化调查表对风险管理的内部环境进行调查;
(2)审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观。
3.审计评价结论。公司的风险管理理念属于风险偏好型,提倡抓住机会,大胆开拓。但对风险管理理念没有一个书面的说明性的陈述,这些理念存在于董事会及高级管理层的头脑中,通过收购决策、政策、行为准则、各种规章制度反映出来并加以强化。
(二)目标设定
1.理论描述。设定战略层次的目标,为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险,确定目标是有效的事项识别、风险评估和风险应对的前提。
2.审计评价程序。
(1)获取管理层对目标的书面陈述;
(2)通过访谈、询问,获取公司员工对公司目标的知晓、理解程度的信息;
(3)通过查阅管理层的述职报告,获取目标实现进展情况的信息。
3.审计评价结论。公司管理层对风险管理目标没有明确的书面陈述,公司员工对公司的目标知之甚少,经审计调查总结,目标如下:
战略目标:创中国第一肉食品品牌;
经营目标:顾客满意最大化,品牌价值最大化;
报告目标:财务报告真实、完整,符合《上市规则》要求;
合规目标:遵循国家、行业、企业的法律、法规、制度。
(三)事项识别
1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话,并确定它们是否代表机会,或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对。
2.审计评价程序。
(1)查阅行业有关资料,询问、访谈高层、中层、一般职工,审查风险识别是否充分、全面;
(2)审查风险识别过程资料,判断是否根据内外部环境的变化定期进行修正。
3.审计评价结论。公司管理层根据调查分析、经验总结,识别、列出公司面临的四大类(行业风险,业务风险,财务风险,合规风险)十三种主要风险:
(1)爆发动物疫情;
(2)突然而来的业务干扰;
(3)消费者口味及喜好的变化;
(4)产品质量出现问题而导致对人身的伤害;
(5)原材料价格波动;
(6)产品未能迎合市场需求;
(7)主要管理层的流失;
(8)其他实体误用、盗用本公司商号(商标);
(9)资金安全管理;
(10)资产安全管理;
(11)会计系统故障;
(12)违反《上市规则》;
(13)违反食品管理、环保法规有关法律规定。
经审计调查,公司管理层对风险识别较为充分,且计划每年分两次(期中和期末)对公司面临的风险进行全面的核查,若发现风险变化,即使进行调整,但未能严格实施。而对于机会,管理层没有进行专门识别。
(四)风险评估
1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估,并且通常采用定性和定量相结合的方法。
2.审计评价程序。获取管理层对风险进行定性评估的资料,评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估,由于缺乏相关的人才、技术、资料,尚未对风险进行过定量分析。公司管理层计划每年分两次(期中和期末)对公司面临的风险进行全面的核查和平谷,若发现风险变化,及使进行调整修正,但未能严格实施。
(五)风险应对
1.理论描述。在评估了相关的风险之后,管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。
2.审计评价程序。通过访谈、询问,了解管理层采取的风险应对策略及理由,评价其合理性。
3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施,从风险应对的角度看多为预防性措施,以降低风险发生的可能性,而没有采取购买保险等风险分担措施。
(六)控制活动
1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构。它们包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。
2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险,制定了防范措施,审计部门相应地制订了审计评价程序。
3.审计评价结论。经审计调查,公司管理层对于风险管理的控制活动要素较为重视,制定的风险防范措施较为全面、严密、可操作,大部分得到了严格有效执行,但也有部分单位未能严格执行风险防范措施。
(七)信息与沟通
1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息,以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。
2.审计评价程序。
(1)走访公司IT部和公司内部报刊编辑部,了解评价公司的信息系统的建设和运转情况。
(2)访问公司网站,观察其运转情况;
(3)使用公司的局域网、内部电话网,阅读公司内部报刊,评价其运转情况和功效发挥情况。
3.审计评价结论。公司设立了IT部,建立了较为完备、先进的信息管理系统,通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递,并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。
(八)监控
1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。
2.审计评价程序。
(1)审查内部定期(每天、每周、每月)上报的管理报表(报告),评价风险管理日常监控职能发挥情况;
(2)审查内部审计部门的审计计划、风险管理审计报告,评价其监控职能的发挥情况。
3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控;通过内部审计部门对公司所控制的所有单位、项目进行例行审计,报告中时常反映一些被审单位风险管理状况的信息,对风险管理的监控较为及时,但对公司总部层面的风险监控较为薄弱。
三、结语
企业要想在市场经济的大潮中基业长青,必须对面临的各种风险进行系统地、全面地管理,这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具,结合本企业具体实际情况,对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价,查找问题和不足,对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善,逐步建立企业风险管理系统,是解决风险管理问题的最佳实务。企业应当增强风险意识,逐步建立险管理系统,为企业保驾护航,这样企业才能在市场经济的大海中劈波斩浪,扬帆远航。
参考文献:
风险管理机制论文篇(9)
风险是一个事项将会发生并给目标实现带来负面影响的可能性(COSO,方红星等译,2005),它实质上是指损失的不确定性。企业风险可以描述为企业目标不能得以实现的可能性(孟焰、潘秀丽,2006)。风险是影响企业经营管理决策的重要因素。如何关注企业风险,实施有效地风险治理措施,是企业必须面对的重要议题。伴随着企业风险意识的不断加强,以及相关理论研究的持续深入,内部控制、风险管理与审计之间的联系逐渐引起理论界与实务界的重视,风险导向成为内部控制和审计的主流思想。鉴于此,本文在梳理内部控制、风险管理与审计之间关系的基础上,试图构建由经营者、所有者、内部审计师和外部审计师组成的企业风险综合治理体系,以期达到降低企业风险、增加企业价值的效用。
一、内部控制的本质:风险控制机制
内部控制是指企业为了实现控制目标,由董事会、监事会、经理层和全体员工实施的一系列政策和程序,它是企业加强经营管理的有效工具和手段。内部控制本质上是组织的内部风险控制机制(丁友刚、胡兴国,2007),它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力。内部控制源于企业管理中的内部牵制思想,内部控制理论的发展先后经历了内部牵制、内部控制制度、内部控制结构、内部控制整合框架和企业风险管理整合框架五个阶段。在内部控制的演进过程中,内部控制的目标从最初的确保实物资产安全,到提高经营效率以及财务报告信息的可靠性,再到保证法律法规的遵循性,以至现阶段对企业战略风险的关注,无不体现出风险控制的理念。内部控制就是控制风险,控制风险就是风险管理(谢志华,2007)。在企业风险管理整合框架阶段,风险控制从基础层面上升到战略层面,战略风险控制成为内部控制的首要目标,经营风险控制、财务报告风险控制以及合规性风险控制都服从于战略风险控制。风险整合框架的,使内部控制从一般意义上风险控制机制扩展至全面风险控制机制,成为企业加强管理、提高经营效率和效果,从而实现战略目标的有力手段(财政部会计司赴美国考察团,2007)。
二、内部控制、风险管理与内部审计
国际内部审计师协会(IIA)在《内部审计实务标准》中将内部审计定义为:“是一种独立、客观的确认和咨询活动,旨在增加组织的价值和改善组织的运营。它通过应用系统化、规范化的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”;《企业内部控制应用指引》(征求意见稿)将内部审计定义为:“是指企业内部的一种独立客观的监督、评价和咨询活动,通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议,促进改善企业运行的效率效果、实现企业发展目标”。从其定义可以看出,内部审计具有评价、监督和服务等职能。内部控制、风险管理与内部审计之间的联系日趋紧密,内部审计是内部控制体系的组成部分,风险管理是内部审计的重要领域。
(一)内部审计是内部控制体系的组成部分
1986年4月,最高审计机关国际组织在第十二届大会上发表的《总声明》,把组织结构、方法程序和内部审计作为内部控制的要素,内部审计成为内部控制的重要组成部分。内部审计在企业内部天然的监督作用使其自然成为内部控制方式之一,同时又是对内部控制执行情况的一种监督形式,是对内部控制的控制(曹伟、桂友泉,2002)。内部审计是内部监督的主要形式,《企业内部控制基本规范》把内部监督作为内部控制的一个要素。根据《企业内部控制基本规范》的要求,企业应当制定内部控制监督制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。由此可见,内部审计是内部控制体系的组成部分。
(二)风险管理是内部审计的重要领域
企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价(孟焰、潘秀丽,2006),对组织的风险管理过程进行检查、评价和报告是内部审计人员的重要工作。IIA实务公告2110-1规定:“内部审计师应通过检查、评价、报告与建议改进有关风险管理过程的适当性和有效性,来协助管理层和审计委员会。内部审计师在充当咨询角色时,可以协助组织确认、评价风险并执行风险管理方法和控制来解决这些风险”。我国《内部审计具体准则第16号――风险管理审计》第七条规定:“内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。” 以上规定充分体现了风险管理是内部审计的重要领域,内部审计在企业风险管理过程中起到监督、评价和咨询等作用。
内审部门作为内部控制和风险管理的牵头部门,只有通过其风险管理等各项增值服务,才能真正体现该机构在组织中的存在价值(王斌,2009),内部审计既是企业内部控制和风险管理的监督者,又是完善企业内部控制和风险管理的重要推动力量。
三、内部控制、风险管理与外部审计
(一)外部审计依赖于内部控制
内部控制是公司内部治理机制的基石,有效的内部控制,能够保证公司的正常运作和发展;外部审计是现代公司治理不可或缺的组成部分,外部审计治理作用的有效发挥有赖于内部控制的良好运作。内部控制和审计分别是影响组织效率的内在因素和外在因素之一,二者自身的产生、演进和彼此之间的互动、耦合,都是追求组织效率的必然结果(方红星,2002)。现代审计依赖于内部控制。审计人员是内部控制理论研究的发起者和推动者,也是该理论发展至今最大的使用者(张宜霞,2007)。
审计师关注与财务报告相关的内部控制。正是由于资本市场对企业财务会计信息质量的要求,才使得作为经济警察的注册会计师对企业内部控制制度的建立与执行尤为关注(施先旺,2008)。风险导向审计是审计模式发展的最新阶段,根据风险导向审计的要求,审计师首先要了解和评价被审计单位的内部控制,通过对被审计单位的战略及经营风险进行识别和评估,来确定高风险的审计领域,以便进行重点审计,从而有利于提高审计效率,减低审计风险。在现代风险导向审计方法实施过程中,仍然需要用到制度基础审计方法甚至详细审计方法的一些程序,但它已不局限于对传统企业内部控制的分析,而将分析对象扩大到整个企业的风险管理范围(审计理论研究课题组,2009)。但是,应当明确一点,在风险导向审计模式下,审计对内部控制的依赖不是减弱了,而是得到了进一步加强,只是分析范围扩大到整个企业的风险管理领域。
(二)外部审计是一种风险监督机制
理论是解释审计需求的主流理论,它是在Jensen和Meckling(1976)所倡导的委托理论的基础上发展起来的。在企业的委托关系中,委托人和人的目标往往是不一致的,人为了追求自身利益的最大化,可能会损害委托人的利益。为了使人与委托人的利益保持一致,委托人通常会选择适当的激励机制与监督机制,来减少委托人与人之间的信息不对称,而外部审计就是一种有效的监督机制。
外部审计作为一种外部监督机制,对于缓解冲突,促进资源的优化配置具有重要的作用。由于股东收益因关系存在而可能受到损害,因此股东的风险控制愿望一直表现得非常强烈(王斌,2009)。外部审计是所有者(股东)检验经营者经营管理效率和效果的一种方式,它是所有者对经营者实施的一种监督机制。外部审计师需要实施风险评估程序,来了解被审计单位的目标、战略以及相关经营风险。因此,所有者可以从外部审计师那里获得较多的关于企业的风险信息,这样就可以有效地降低所有者和经营者之间的信息不对称,进而所有者可以通过影响经营者的经营管理决策,来降低企业风险。
经济监督是审计的基本职能。审计的经济监督职能,主要是指通过审计、监察和督促被审计单位的经济活动在规定的范围内、在正常的轨道上进行;监察和督促有关经济责任者忠实地履行经济责任,同时借以揭露违法违纪、稽查损失浪费,查明错误弊端,判断管理缺陷和追究经济责任等(李凤鸣,2006)。根据我国《独立审计具体准则第24号――与管理当局的沟通》的要求,注册会计师应当对已发现的重大错误、舞弊或可能性,与管理当局进行沟通。《企业风险管理――整合框架》也指出,在进行财务报表审计时,审计师可以向管理当局提供有关风险管理方面的信息,以便管理当局更好地履行其风险管理职责,这些信息主要包括审计师所注意到的风险管理和控制所存在的缺陷,以及改进的建议。与管理当局进行沟通,有利于管理当局及时发现经营管理中的漏洞,以便采取整改措施,防止风险的扩大。
由此可见,无论是从所有者角度来看,还是从经营者角度来看,外部审计都是一种风险监督机制。
四、企业风险综合治理体系的构建
本文论述了内部控制、风险管理与审计之间的联系,它们在各自的职能领域发挥着风险控制或者风险监督的作用。内部控制的本质是一种风险控制机制,风险管理包含内部控制,内部控制是风险管理不可分割的一部分,风险控制是内部控制和风险管理的根本目标;内部审计是内部控制体系的组成部分,风险管理是内部审计的重要领域;外部审计依赖于内部控制,对所有者和经营者来说,外部审计是一种风险监督机制。基于内部控制、风险管理和审计之间的密切联系,笔者构建了由经营者、所有者、内部审计师和外部审计师组成的企业风险综合治理体系,以期达到降低企业风险、增加企业价值的效用。图1为企业风险综合治理体系示意图:
(一)经营者是企业风险治理的实施者
本文所指的经营者是指企业的经营管理决策人员,主要包括董事会、监事会和经理层等。董事会应当确保风险管理过程的适当性、有效性,并最终对企业的风险管理过程负责;监事会对董事会建立与实施的风险管理政策进行监督;经理层应当树立风险导向的经营管理理念,制定合理的风险管理政策,并且确保其能够发挥应有的作用。企业应当根据不同的管理级层赋予相应的风险责任和职能,并且成立专门机构(如风险委员会)或者指定适当的机构(如审计委员会)来负责组织与协调企业风险治理机制的建立实施以及日常工作。同时,经营者还应当考虑向内部审计师和外部审计师征求风险治理意见,以便能够扩大视野,提高风险治理水平。
(二)所有者是企业风险治理的需求者
所有者(股东)是企业风险的最终承担者,经营者的不当行为所造成的损失要由股东来“买单”。因此,所有者具有强烈的风险控制愿望,他们往往会采取一些措施来控制企业风险。例如,股东大会对企业的经营方针、筹资、投资、利润分配等重大事项享有表决权,所有者可以通过否决潜在风险较大的投资项目、撤换不称职的经营者等方式来规避风险。另外,王斌(2009)提出,要使股东有能力保持对公司风险的持续监控,股东要做的事应当是:追加购买审计师的额外服务,即要求审计师在向股东提供年度审计报告的同时,追加提供“风险提示意见”这项服务功能,并将其与审计报告一起对外披露。笔者认为,股东追加购买审计师的额外服务,并不会增加审计师的负担。因为外部审计师必须对被审计单位的风险进行评估,它只是外部审计师提供年度审计报告业务的“副产品”,并且能够在一定程度上满足股东风险控制的期望。尽管目前尚处于理论探索阶段,但股东向外部审计师购买“风险提示意见”这项额外服务,将具有广阔的发展前景。
(三)内部审计师是企业风险治理的监督者
内部审计机构是企业内部控制和风险管理的监督部门,内部审计师理应成为企业风险治理的监督者。内部审计师通过对企业风险管理的恰当性和有效性进行检查、评价、报告和提出改进建议,能够使董事会和经理层全面、系统地了解企业的风险治理状况,从而有助于董事会和经理层提高风险治理水平,实现对企业风险的有效控制。
(四)外部审计师是企业风险治理的咨询者
现代风险导向审计是以被审计单位的战略风险为导向,审计师需要了解被审计单位及其环境,重点关注被审计单位的目标、战略以及相应的经营风险,根据风险评估的结果来实施进一步的审计程序。注册会计师具有较强的职业判断能力,能够对被审计单位的风险治理状况作出合理的评估。因此,被审计单位的董事会和经理层有必要与外部审计师进行沟通,征求外部审计师的风险治理意见。同时,外部审计师要与内部审计师加强交流与沟通,尤其要针对内部审计师咨询企业在内部控制和风险管理方面所存在的问题,利用内部审计资源,充分识别风险较高的领域,进而提高审计效率。
【主要参考文献】
[1] 财政部会计司赴美国考察团. 美国会计国际趋同、注册会计师监管和内部控制考察报告[J]. 会计研究,2007(8):3-8.
[2] 曹伟,桂友泉. 内部审计与内部控制[J]. 审计研究,2002(1):27-30.
[3] 丁友刚,胡兴国. 内部控制、风险控制与风险管理――基于组织目标的概念解说与思想演进[J].会计研究,2007(12):51-54.
[4] 方红星. 内部控制、审计与组织效率[J].会计研究,2002(7):41-44.
[5] COSO.企业风险管理――整合框架[M].方红星,王宏等译. 大连:东北财经大学出版社,2005.
[6] 贺密柱.内部控制理论演进的中外比较及其思考[J].财会通讯(学术版),2008(2):101-103.
[7] 李凤鸣,韩晓梅. 内部控制理论的历史演进与未来展望[J]. 审计与经济研究,2001(7):61-63.
[8] 李凤鸣. 审计学原理(第三版)[M].上海:复旦大学出版社,2006.
[9] 孟焰,潘秀丽. 企业风险管理审计研究[J]. 审计研究,2006(3):61-63.
[10] 施先旺. 内部控制理论的变迁及其启示[J]. 审计研究,2008(6):79-83.
[11] 审计理论研究课题组. 审计基本理论比较:前后一贯的理论结构[M].上海:立信会计出版社,2009.
[12] 王斌. 股东期望、全面风险管理与审计价值[J].会计研究,2009(5):87-93.
[13] 吴水澎,陈汉文,邵贤弟. 内部控制理论的发展与启示[J].会计研究,2000(4):2-8.
风险管理机制论文篇(10)
加强企业内部控制和风险管理是化解企业风险的重要措施。任何企业要实现永续经营,必须进行健全有效的内部控制。特别在当今社会,经济环境是风云变幻,企业间竞争越来越激烈,不可避免会遇到各种风险。企业构建风险导向型内部控制是内部控制与全面风险管理结合的一个重要途径,是内部控制理论和实践发展的大势所趋。
一、我国企业内部控制的管理现状
内部控制已成为当今国内外理论界和实务界研究的一个重要课题,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个阶段。目前,内部控制理论正发展进入风险管理阶段。其中最为显著的研究成果是理论界的COSO报告,2004年美国COSO提出了《企业风险管理――整合框架》(Enterprise RiskManagement,简称ERM),进一步强调了风险因素在内部环境中的作用,提出风险评估要素的下级要素为目标制定、事项识别、风险评估要素,新增了风险反应要素;提出了风险容量、风险组合观和风险管理理念,并建议企业设立风险管理机构。从ERM框架对企业内部控制的完善来看,企业内部控制逐渐呈现与风险管理趋近和一体化的趋势。
当前,我国大部分企业的内部控制尚处于刚起步或待完善阶段,未能将风险管理与内部控制有机结合起来,形成突出风险管理的内部控制系统。主要表现在以下方面:
(1)缺乏一个良好的控制环境,具体表现在风险管理组织结构不完善、企业管理者的管理哲学存在问题、企业文化的培育忽视管理控制等。导致各个部门和岗位的人员对工作职责和操作程序不清晰,风险承担的主体不明确,从而无力承担起管理企业风险的职责。(2)企业风险管理的意识薄弱,不能将企业发展目标与风险防范切实结合起来,在经营方面跟着感觉走,企业主动以减损防损为目的而安排风险转移的行为不多;决策上随意主观,存在经营理念上的短期行为。(3)在战略方面,企业往往存在过度性的冒险,普遍没有储备进行风险评估与风险管理所必需的数据与信息;缺乏对风险进行定期复核和科学评估的实践,造成了我国企业往往承担了不该承担的风险,降低了企业适应环境变化、管理和规避风险的能力。(4)在我国企业中,或者不存在内部控制活动,或者内部审计监督弱化。即使存在所谓的政策和程序,也只是“写在纸上、贴在墙上”,没有人去执行考核、检查或只是搞形式、走过场,控制活动未实际发挥作用,最终不能确保管理层的指令得以实现。
二、中航油事件的借鉴意义
2004年从中航油到中储棉,大型国企巨亏事件屡屡爆发,就是上述现状的最好体现。我们不妨以ERM框架来剖析中航油事件发生的过程与根源,为中国企业如何进行内部控制,作一个初步尝试。
中国航油(新加坡)股份有限公司是中国航空油料集团公司的海外控股公司。经国家有关部门批准,新加坡公司在取得中国航油集团公司授权后,自2003年开始做油品套期保值业务。期间,新加坡公司总裁陈久霖擅自扩大业务范围,开始从事石油衍生品期权交易,结果由于操作失误导致中航油现金流量枯竭,实际损失和潜在损失总计约5154亿美元。
当然,陈久霖这种石油期权投机交易,中航油集团公司是明令禁止的。但交易时,未向中航油集团公司报告,而且中国航油集团也没有发现。为了掩饰公司的违法行为,中航油开始向上级公司提供假账,其亏损在财务账面上没有任何显示。最终使中航油事件从一个并不很大的失误开始,酿成为石破天惊的大案。
中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远影响。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件,也给我们提出了一个相同的问题:我们的企业到底怎么了?从中不能不引发对我国企业内部控制的思考。因此,将ERM框架中的内容,与企业实际业务结合起来,对我国企业内部控制制度的重新构建,有一定借鉴意义。
三、构建风险导向型内部控制
风险导向型内部控制的本质特征是以风险要素管理为基础,企业构建风险导向型内部控制可以兼顾内部控制与全面风险管理两个方面的工作,是内部控制理论和实践发展的大势所趋。
本文针对我国内部控制与风险管理现状,借鉴中航油事件发生的根源剖析,提出构建风险导向型内部控制应从以下几方面着手:
1.构建新企业文化,加强企业内部环境建设
企业内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。内部环境主要包括:风险管理哲学和风险偏好、员工诚实性和道德观以及企业经营环境,企业的内部环境确立了企业的风险文化。通过建立新企业文化培养员工的忠诚,促进全体员工树立风险管理哲学观,随着企业文化中风险敏感程度的提高,企业管理者会进一步掌握有效的风险管理能力。
从中航油公司的内部环境来看,确实存在非常严重的问题。陈久霖败走狮城,技术层面的原因非常简单。深入挖掘,还是其在期货交易中,根本没有意识到风险,而是相信自己的判断:油价冲高后必然会落。而在事情败露以后,陈久霖还认为:“只要再有一笔钱,就能翻身。”CEO如此看待风险,其独断专行的内部环境,可见一斑。而集团公司由于看重陈久霖过去的贡献,即使知道了陈久霖因场外期货交易发生了严重损失,不仅没有果断采取止损措施,反而通过出售部分股权,再次进行投机,使中航油损失达到了天文数字。所以,极端的风险偏好、畸形的风险文化和管理结构体现了中航油恶劣的内部环境。因此,制定出一套符合中国国情的新企业文化,加强企业内部环境建设。这是中航油事件给我们的启示。
2.制定合理的控制目标,实施风险防范战略
目标设定是有效的事项识别、风险评估和风险应对的前提。目标与企业的风险偏好是相对应的,风险偏好决定企业的风险容忍水平。一般来说,公司在认识到影响其业绩的潜在事项之前,必须有一定的目标。企业风险管理确保管理层参与目标制定流程,确保所选择的目标不仅和企业使命方向一致,而且应与其风险承受能力相符。反之,如果公司在经营过程中,对什么事件应采取什么对策并不清晰,特别是高风险事项,也采用一般程序来处理,也是导致公司内部控制失败的主要成因之一。从中航油的发展史来看,从一家船务经纪公司重新定位为以航油采购为主的贸易公司,又从一个纯贸易型企业发展到以石油实业投资、国际石油贸易和进口航油采购为一体的工贸结合型跨国企业。登陆新加坡资本市场后,陈久霖又不满足于单纯的油品现货贸易,从上市伊始就开始涉足石油期货。中航油管理层在没有向董事会报告并取得批准的情况下,无视国家法律法规的禁止,擅自将企业战略目标移位于投机性期货交易,这种目标设立的随意性,以及对目标风险的藐视,最终将企业陷入惊涛骇浪之中。因此,制定合理的控制目标,实施风险防范战略,是企业内部控制的重要方面。
3.建立健全风险识别、评估体系
风险识别就是要借鉴国际先进经验并运用现代科技手段,通过风险组织流程,风险计量模型、风险数据库、风险管理信息系统等手段,采用列出事项目录、进行内部分析、推进式的研讨与访谈、过程流动分析、损失事项数据方法等技术,识别、分析风险与机遇。进而运用科学的评估方法,组建一套统一完整的管理工具,帮助管理层更好地选择应对风险的措施。
一个组织必须识别影响其目标实现的内、外部事项,区分哪些是风险、哪些是机会。可能有负面影响的事项代表了风险,可能有正面影响的事项代表了能抵消负面作用的机会,通过事项识别,能引导管理层战略或者目标始终能保持不被偏离。2002年中航油的年报显示其当年的投机交易盈利,2003年下半年,中航油进入石油期权交易市场,到年底也赚了钱,这正是事项识别中的机会与风险问题。如果陈久霖能认清形势,在赚取巨额利润时,清醒地意识到可能产生的风险,或许中航油的历史会改写。因此,利用事项识别技巧(例如事项目录、流程分析等)来区分机会和风险,建立健全风险识别、评估体系显得十分重要。
4.加强风险控制活动,实施风险管理监督
管理层在辩识风险、评估风险之后应确定如何应对风险,加强风险控制活动。包括风险回避、降低风险、风险分担、风险承受等。风险控制活动是确保管理层指令得以执行的政策及程序,如核准、授权、验证、复核营业绩效、保障资产安全及职务分工等,是企业日常工作的不可分割的一部分。在控制活动中,要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、以及对执行政策和管理指令的保证。并且内部控制活动的实施过程必须建立在各项约束、激励的制衡机制上,并辅之以及时的监督和反馈。
企业可以通过持续监督、个别评估或两者相结合的方式来实现这个过程,以确保企业内部控制能持续有效地运作。ERM框架强调了通过控制活动的设置,建立独立的监督部门来保证框架实施的可行性。作为一个现代企业组织,将所有业务活动分离出授权、批准、执行、记录及监督,并将这些职能分别授于不同部门执行,形成一个相互牵制、相互制约的过程,是内部控制的精髓。
从中航油事件来看,陈久霖作为一个管理人员,如果其有授权功能,就不应有执行的功能。即使其有执行功能,就不应有检查与监督功能。但是,在陈久霖越权从事石油金融衍生产品投机过程中,没有任何阻拦,而在事后还能一手摭天、隐瞒真实信息,足见该公司控制活动与监督这两个方面存在严重问题。通常,在比较规范的海外公司,为了保证内部控制的实施,除了财务上必须既向公司总经理汇报,又应向董事会汇报外,还有一个不受总经理制约的内部审计委员会。这种风险控制和监督管理机制是值得我们借鉴的。
5.实施中利用信息手段不断优化
最后,内部控制设计并不是一蹴而就的,要随着外部环境的变化、单位业务职能的调整和管理要求的提高不断修订和完善。尤其在全面信息化条件下,要充分利用信息系统来收集、整理、分析、评价各种信息,并在企业内部实时传递信息,进而可以分析内部控制缺陷产生的原因,并有针对性地提出和实施改进方案,实现企业内部控制的不断健全和完善。
综上所述,构建风险导向型内部控制是内部控制理论和实践发展的大势所趋。企业风险管理整体框架需要管理者和全体员工的共同努力,逐步将内部控制及风险管理相互渗透,应用于企业管理过程和整个经营系统,使我国企业的内部控制不断完善,以更好地适应市场和时代的发展。
参考文献
[1]王建华,邢鑫.论内部控制理论的发展对企业内部控制的新要求[J].中国经贸导刊,2008(10).
[2]翟萧.我国企业风险管理现状分析[J].合作经济与科技,2008(4).
[3]王剑英.企业内部控制的现状分析[J].山西财政税务专科学校学报,2004(12).
风险管理机制论文篇(11)
企业从无到有、从小到大的发展过程,如同人的成长要经历幼年、青年、中年、老年等阶段一样,也要经历不同的阶段。在每一阶段上都具有不同的特征和遇到不同的困难。随着现代社会的发展,经济环境变得瞬息万变,市场竞争越来越激烈。与此同时,企业需要面对的问题越来越多,面临的风险也越来越大,这样就迫使企业必须花费更多的精力对付各种风险。
在市场经济中有许多失败的企业,他们的失败各有其因,但也有一些共同的原因,那就是不重视风险管理,对风险的控制力非常弱。本文研究的问题是面对永远在变化着的社会环境和经济环境,企业如何运用内部审计的理论、方法、程序分析自身风险管理现状,找出问题和不足,提出改进措施和建议,运用先进的风险管理理论对动态变化的风险进行管理,从而实现目标,使企业能够长期生存发展。
风险管理理论发展至今,不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解,于是产生了不同的理论派别。本文的理论框架主要来源于美国coso委员会2004年9月制定的《企业风险管理——整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准-专业实务框架》。
一、公司简介
某集团有限公司是中国最大的肉制品生产企业之一,其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市,拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验,集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年,冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品,自2002年至2004年,其市场占有率连续三年位居中国大型零售商销售首位。
二、公司风险管理要素审计评价程序及结论
尽管某集团在香港联合交易所主板上市,但其实质还是一家中国民营企业,其并没有建立专门的风险管理组织机构、人员、系统,公司风险管理处于“凭感觉进行风险管理”的阶段,只是由管理层根据调查分析、经验总结,识别、列出公司面临的四大类十三种主要风险,并制定了一些防范措施。公司审计部作为监督检查部门,每年至少两次从集团层面对风险管理进行整体评价,并在每季度对分、子公司执行例行审计过程中,重点关注风险管理状况。以下试从集团公司层面,以《coso风险管理——整合框架》(以下简称coso框架)中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。
(一)内部环境
1.理论描述。内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。
2.审计评价程序。
(1)设计风险相关文化调查表对风险管理的内部环境进行调查;
(2)审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观。
3.审计评价结论。公司的风险管理理念属于风险偏好型,提倡抓住机会,大胆开拓。但对风险管理理念没有一个书面的说明性的陈述,这些理念存在于董事会及高级管理层的头脑中,通过收购决策、政策、行为准则、各种规章制度反映出来并加以强化。
(二)目标设定
1.理论描述。设定战略层次的目标,为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险,确定目标是有效的事项识别、风险评估和风险应对的前提。
2.审计评价程序。
(1)获取管理层对目标的书面陈述;
(2)通过访谈、询问,获取公司员工对公司目标的知晓、理解程度的信息;
(3)通过查阅管理层的述职报告,获取目标实现进展情况的信息。
3.审计评价结论。公司管理层对风险管理目标没有明确的书面陈述,公司员工对公司的目标知之甚少,经审计调查总结,目标如下:
战略目标:创中国第一肉食品品牌;
经营目标:顾客满意最大化,品牌价值最大化;
报告目标:财务报告真实、完整,符合《上市规则》要求;
合规目标:遵循国家、行业、企业的法律、法规、制度。
(三)事项识别
1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话,并确定它们是否代表机会,或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对。
2.审计评价程序。
(1)查阅行业有关资料,询问、访谈高层、中层、一般职工,审查风险识别是否充分、全面;
(2)审查风险识别过程资料,判断是否根据内外部环境的变化定期进行修正。
3.审计评价结论。公司管理层根据调查分析、经验总结,识别、列出公司面临的四大类(行业风险,业务风险,财务风险,合规风险)十三种主要风险:
(1)爆发动物疫情;
(2)突然而来的业务干扰;
(3)消费者口味及喜好的变化;
(4)产品质量出现问题而导致对人身的伤害;
(5)原材料价格波动;
(6)产品未能迎合市场需求;
(7)主要管理层的流失;
(8)其他实体误用、盗用本公司商号(商标);
(9)资金安全管理;
(10)资产安全管理;
(11)会计系统故障;
(12)违反《上市规则》;
(13)违反食品管理、环保法规有关法律规定。
经审计调查,公司管理层对风险识别较为充分,且计划每年分两次(期中和期末)对公司面临的风险进行全面的核查,若发现风险变化,即使进行调整,但未能严格实施。而对于机会,管理层没有进行专门识别。
(四)风险评估
1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估,并且通常采用定性和定量相结合的方法。
2.审计评价程序。获取管理层对风险进行定性评估的资料,评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。
3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估,由于缺乏相关的人才、技术、资料,尚未对风险进行过定量分析。公司管理层计划每年分两次(期中和期末)对公司面临的风险进行全面的核查和平谷,若发现风险变化,及使进行调整修正,但未能严格实施。
(五)风险应对
1.理论描述。在评估了相关的风险之后,管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。
2.审计评价程序。通过访谈、询问,了解管理层采取的风险应对策略及理由,评价其合理性。
3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施,从风险应对的角度看多为预防性措施,以降低风险发生的可能性,而没有采取购买保险等风险分担措施。
(六)控制活动
1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构。它们包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。
2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险,制定了防范措施,审计部门相应地制订了审计评价程序。
3.审计评价结论。经审计调查,公司管理层对于风险管理的控制活动要素较为重视,制定的风险防范措施较为全面、严密、可操作,大部分得到了严格有效执行,但也有部分单位未能严格执行风险防范措施。
(七)信息与沟通
1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息,以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。
2.审计评价程序。
(1)走访公司it部和公司内部报刊编辑部,了解评价公司的信息系统的建设和运转情况。
(2)访问公司网站,观察其运转情况;
(3)使用公司的局域网、内部电话网,阅读公司内部报刊,评价其运转情况和功效发挥情况。
3.审计评价结论。公司设立了it部,建立了较为完备、先进的信息管理系统,通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递,并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。
(八)监控
1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。
2.审计评价程序。
(1)审查内部定期(每天、每周、每月)上报的管理报表(报告),评价风险管理日常监控职能发挥情况;
(2)审查内部审计部门的审计计划、风险管理审计报告,评价其监控职能的发挥情况。
3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控;通过内部审计部门对公司所控制的所有单位、项目进行例行审计,报告中时常反映一些被审单位风险管理状况的信息,对风险管理的监控较为及时,但对公司总部层面的风险监控较为薄弱。
三、结语
企业要想在市场经济的大潮中基业长青,必须对面临的各种风险进行系统地、全面地管理,这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具,结合本企业具体实际情况,对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价,查找问题和不足,对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善,逐步建立企业风险管理系统,是解决风险管理问题的最佳实务。企业应当增强风险意识,逐步建立险管理系统,为企业保驾护航,这样企业才能在市场经济的大海中劈波斩浪,扬帆远航。
参考文献:
