欢迎访问发表云网!为您提供杂志订阅、期刊投稿咨询服务!

全面风险管理论文大全11篇

时间:2023-04-03 09:49:01

全面风险管理论文

全面风险管理论文篇(1)

在全面风险管理框架中目标体系是核心,所有的人员、流程和方法必须围绕风险管理的目标制定和执行;组织体系是基础,从组织制度上保证风险管理各项工作的顺利进行,培养全员风险管理的氛围;流程体系是关键,房地产开发项目全过程的风险都要按照风险管理流程进行风险识别、风险分析、风险处理和风险监控;方法体系是手段,促进全部风险的管理。四大体系相辅相成,共同构成了一个相对完整的房地产项目全面风险管理体系。各个体系的具体关系(如图1)。

2房地产开发项目全面风险管理的流程

2.1房地产开发项目风险识别

房地产开发项目风险识别是风险管理的基础。主要用来确定风险来源和进行风险分类的过程。风险识别是在房地产开发项目工作分解的基础上进行的,即针对房地产开发项目的不同阶段,进行风险识别。不同阶段的风险因素不同,风险分类和分组的依据也不同。

2.2房地产开发项目风险评估

房地产开发项目风险评估是通过对风险的定性分析和定量分析,估计房地产开发项目风险发生的概率和可能产生的后果,在此基础上将风险按照高、中、低风险对风险进行排序,编制风险列表,最后根据风险的程度进行专题风险研究的过程。值得注意的是,房地产开发项目的进度、成本、质量风险分析的范围比建筑工程项目的进度、成本和质量的范围要宽,应该从项目可行性研究、项目规划设计、建设和经营各个阶段的工作特点来对其可能出现的风险进行分析。

2.3房地产开发项目风险监控

房地产开发项目风险监控是对风险应对计划执行情况的修正和提高的过程,也是房地产开发项目风险管理有效实施的保障。风险监控不仅仅依据风险应对计划采取风险应对措施,还应该随着项目的深入,对风险识别、评估的结果进行修正,对风险应对计划进行修改,即风险识别、评估、应对、监控和再识别的循环过程。

3房地产开发项目全面风险的应对策略

3.1风险回避

风险回避是根据风险预测评价,经过权衡利弊得失,采取放弃、中止开发项目,或改变开发项目条件,以避开风险源地,从根本上消除风险隐患的措施。通常潜在威胁发生可能性太大,或可能损失后果太严重,又无其他风险管理措施可用时,常采用风险回避。风险回避的做法大体可分为两种:一种是放弃或终止某项可能引起风险损失的活动;另一种是改变活动方案,或改变工作方法。可以看出,风险回避是一种消极的防范手段,有些迫不得己的意味。因为回避风险虽然能避免损失,但同时也失去了获利的机会。所以,在选取风险应对措施时最好慎用风险回避这种防范手段。

3.2风险控制

风险控制是指在风险事件发生前、发生时及发生后,采取的降低风险损失发生概率,缩小风险损失程度的措施。根据风险控制目的,风险控制可以分为风险预防和风险抑制。前者以降低风险损失发生概率为目的;后者以缩小风险的损失程度为目的。风险控制从主动采取预防措施入手,消除和减少风险隐患,降低损失发生频率和损失程度。因而,它是一种积极的风险管理措施。由于风险控制措施成本低、效益好,不会产生不良后遗症。因此对于房地产开发过程中的种种风险,应优先采用风险控制措施。

3.3风险转移

风险转移是指开发商在开发过程中,有意识地将自己不能承担或不愿承担的风险转嫁给其他经济单位承担所采取的措施。风险转移与风险回避不同,它不是放弃或中止项目开发,而是将开发活动中风险可能所致损失的法律责任转嫁给他人承担。风险转移也不同于风险控制,它不像风险控制那样是直接调节风险因素达到降低风险损失概率和程度,而是将风脸转移出去而间接达到降低自身的损失程度。

风险转移的主要途径有合同、保证、期货和保险。合同形式有固定总价合同、成本报酬合同、单价合同等;保险有财产保险、责任保险和人身险。各种合同的对开发商和承包商的风险影响程度不同,开发商可以根据项目的情况,采取适当的合同形式,合理转移风险,参见表1。

风险转移一般在以下情况下采用:(1)风险的转移方和被转移方(风险接受方)之间的损失可以清楚地计算和划分,否则双方之间无法进行风险转移;(2)被转移人能够且愿意承担适当的风险;(3)风险转移的成本低于其他风险管理措施。

3.险自留

风险自留是房地产开发者自己承担风险事件所致损失。在房地产开发中,对一些无法回避,难以控制和转移的风险,或因冒该风险可能获得较大利益时,在不影响开发者根本利益、大局利益的前提下,常采取风险自留措施。风险自留可分成两大类:计划性风险自留和非计划性风险自留。计划性风险自留是主动风险自留,其具体措施有:(l)自己保险;(2)专属保险;(3)损失摊销;(4)借款补偿;(5)自负额保险。非计划自留是被动自留,通过风险应急准备金来应对。风险自留对策应与风险控制对策结合使用,实行风险自留对策时,应尽可能地保证重大项目风险己经保险或实施了风险控制计划。风险自留对策也应与保险对策相比较,以便做出更利于节约风险管理成本的决定。

3.5风险利用

风险利用是指开发商利用人们惧怕风险、追求安全的心理,通过参与确实存在风险的开发活动,依靠自身扎实的风险管理工作,兴利抑弊,谋求自身最大收益的行为。风险利用是风险管理的较高层次,对风险管理人员的管理水平要求较高,必须具有丰富的项目经验,娴熟的技巧和高度的应变能力,才能对风险的可利用性和可利用价值进行分析,有效利用。例如在当前的土地市场化的条件下,经营性土地必须通过招拍挂的方式取得。但是有些精明的房地产开发商却另辟蹊径,从土地一级开发入手,通过争取某地块土地一级开发的开发权,为获得二级开发权打基础。因为如果进行了土地一级开发,就从某种程度上提前对土地的相关信息进行了了解。在进行土地进入二级市场上市交易时具有先天的优势,获取二级开发权的几率就更大。即所谓的“曲线拿地”,就是很好地利用了政策风险。

4房地产开发项目全面风险应对中注意的问题

4.1制定风险应对计划应具有针对性

风险应对计划的制定是风险管理的关键环节,由于项目的独特性和唯一性,在制定应对措施时不可能照搬现有的模式,必须根据项目自身的条件和项目风险识别、评估的结果,提出有针对性的解决方案。同时在制定应对计划时必须克服侥幸心理,为了减少费用支出,不对风险做有效的防范。

4.2注重应对管理方法的组合

无论是风险控制、风险转移还是风险自留等,每种风险应对措施都有它的局限性,面对复杂多变的风险,应注重多种方法的组合,根据项目的具体情况做出多种方案,按照优先级进行排序,避免单一方案无效带来的措手不及。

4.3注意应对管理的经济性

为了避免或减轻风险获取较高的回报,必须付出一定的代价。但是本着节省的原则,有必要对应对措施的有效性和经济性做一个综合评估。比如在应对不可预测的风险时,往往可以采取保险或风险自留的方法,但是哪个方法更

经济有效呢,就可以根据投保的费用和风险预留金的支出做一个比较,从而选出更加经济有效的措施。

参考文献

[1]陈蕾.当前房地产宏观调控政策特点及政策效应思考[J].中国城市经济,2007,(8).

[2]陈煌红,张欣.房地产开发项目全面风险管理[J].西南科技大学学报,2006,(3).

[3]陈祖.关于房地产开发项目管理难点的探讨与分析[J].四川建材,2006,(2).

全面风险管理论文篇(2)

风险是安全的对立面,风险的存在就意味着安全事故发生的可能性。风险管理就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。档案管理中的众多风险,正是影响档案安全管理的负面因素。“档案信息安全保障体系建设”提出后,学者积极运用风险管理理论探讨档案安全保障体系建设问题,促进了档案风险管理研究的发展。

目前我国对档案风险管理的研究既有理论层面的阐述,也有基于实践层面的探索,研究内容主要集中于电子文件风险管理、档案信息化建设的风险及防范、专门档案的风险管理等方面。

电子文件(数字信息)管理最先引进风险管理理论进行研究,其后一直是研究的热点。在这方面,最初的研究文章主要着眼于电子文件存在的风险和防范措施,主要基于电子文件管理实践过程中风险因素造成损失的状况和如何防范进行总结,研究偏重技术方面。正式提出“电子文件风险管理”后,国内对电子文件风险管理研究主要集中在对该理论的概括论述方面,其次是电子文件风险识别与评估、风险防范与应对方面。对“电子文件风险管理”,已经形成完善的概念基础并提出系统的研究框架。伴随着电子文件风险管理研究的不断深入,研究重点又将逐渐转向更广阔的实践层面,在理论指导下探讨如何解决电子文件管理实践中的风险问题。

全面风险管理论文篇(3)

Abstract:The construction of archival safety system has become an essential part of the archival cause development strategy. Facing the shortage of systematic induce in archival safety system theory, this paper point out the source of archival security system theory from these aspects: the archival conservation and management theory, risk society theory, risk management theory, disaster management theory, information security theory and safety culture management theory.

Keywords:Archives safety system; Archives conservation; Disaster management; Risk management; Information security

1 引言

2010年以恚从档案安全体系建设的提出到《关于加强和改进新形势下档案工作的意见》《全国档案事业发展“十三五”规划纲要》《关于进一步加强档案安全工作的意见》等文件的出台说明:档案安全体系建设已成为档案事业发展战略中不可或缺的一部分,得到了党和国家的充分肯定,一个全方位、多角度、深层次的档案安全体系建设“顶层设计”已经形成。反思我国档案安全体系建设快速推进的深层次原因,离不开学界多年来对档案安全问题的不断研究。从最初对档案安全保管、档案安全保护的研究到如今从档案安全体系的层面展开对各类档案安全问题的系统研究,档案界人士充分汲取相关学科的思想源流,并将其融入档案安全问题的研究当中,取得了重大进展。时至今日,我国档案安全领域已经积累了大量的研究成果。但值得注意的是,当前研究当中缺乏对档案安全体系理论的系统归纳和科学提炼。因此,厘清档案安全体系研究的理论源泉,对于促进档案安全体系的深入研究,以及具有中国特色的档案安全理论体系的形成意义重大。

2 档案安全体系研究的主要理论阐释

2.1 档案保护与档案管理理论。形成于20世纪60年代的档案保护技术学是研究档案制成材料损坏规律及科学保护档案技术方法的一门学科,它的任务是最大限度地延长档案的寿命。档案安全的理论最初就体现在档案保护之中。几十年的发展历程中,档案保护研究逐渐从各个层面展开,尤其是在信息技术的推动下,学界不仅对档案保护技术学科赖以存在与发展的知识基础和理论框架进行了全面的总结和梳理,还将目光转移到新材料、新技术、新设备的研究当中。我国档案保护技术学所形成的核心思想和理论方法,是以纸质档案为核心构建起来的知识体系,例如档案修复技术方法、档案馆建筑与设备、档案害虫与微生物的防治等,它们在我国传统档案保护工作以及“国家重点档案抢救与保护”工作中扮演着重要的理论角色。然而,随着数字时代的到来,档案保护的范围逐渐拓展到电子文件(档案)的安全保护、备份与长期保存等领域,而这些领域同样也是档案安全体系建设中的核心内容之一。档案安全体系建设下,档案安全保护是档案安全体系建设的重要组成[1]。总之,在档案安全体系理论建构当中,档案保护领域的理论方法不可或缺。

档案管理理论是围绕档案收集、整理等工作流程形成的一整套理论、原则和方法。科学的档案管理对于维护档案的完整与安全意义重大。从这个角度看,档案安全体系理论的构建离不开档案管理理论的指导。首先,要确保电子文件的安全,除了探讨电子文件信息的安全保密技术与方法外,电子文件的归档、电子文件的长期保存同样是档案安全体系建设中需要关注的重大问题。一方面,电子邮件、政府网站、政务新媒体等新型“文件”的出现,如何确定归档范围,如何鉴定其价值、划定保管期限,如何完整捕获文件内容及其结构和元数据信息都是值得研究的问题。另一方面,电子文件的长期保存和维护,尤其是新型电子文件的长期保存策略方法也是需要涉足的重要问题。其次,从文件生命周期的角度来看,文件(电子文件)从形成到销毁或永久保存的整个周期都存在安全问题,因此,对文件整个生命周期进行安全管理,既要防止重要文件由于没有归档或归档信息不完整造成的丢失,也要防止保管当中的篡改、泄密,以及注意防火、防盗等,当然,还有利用过程的原件保护、信息保密、隐私保护甚至销毁阶段的安全等。

2.2 风险社会理论。德国著名的社会学家乌尔里希・贝克在1986年出版的《风险社会》一书中,首次提出了“风险社会”的理论命题。此后,英国学者斯科特・拉什、安东尼・吉登斯、沃特・阿赫特贝格等人对风险的概念、风险社会理论进行了进一步探讨。风险社会理论对风险、风险社会进行了完整描述,对如何规避和应对风险作了阐释,是开展风险管理的理论与思想源泉。风险社会理论提出之后,风险的经济学、心理学、政治学、文化学等多维度视角也为关注风险社会问题提供了多种理论分析路径。此外,风险社会背景下,风险社会理论已经对政府管理、企业管理、社会治理等领域产生显著影响,基于风险社会视角展开的安全问题研究层出不穷。

对于档案界而言,对档案安全问题的认识通常有两种视角:一是从档案的存在形态、固有特性以及档案保管的场所、方式、管理体制、运行机制等方面着手,力图从内部发现档案安全风险因素;二是从档案安全所面临的外在环境,包括各种自然灾害以及政治、经济和社会等方面着手,力图从外部分析档案安全风险因素。风险社会理论为理解和思考档案安全体系建设面临的诸多问题提供了一个重要的理论视角,为档案安全风险的防范、规避与管理提供重要思路。

总之,探索风险社会理论对档案安全问题研究的理论价值和现实意义,对认识现阶段我国面临的档案安全问题提供理论借鉴。从风险社会理论视角切入对档案安全体系建设进行透视和反思,剖析产生安全问题的深层原因,这对于档案界树立风险意识、培育风险文化有导向作用。此外,有利于档案机构明确风险社会中档案安全的责任担当,从宏观和微观的双重视角展开,树立“大安全观”,建立安全防范机制、制定安全应对策略与相应的政策引导和制度保障机制。

2.3 风险管理理论。风险具有不确定性与客观存在性,它由潜在的损失、损失的大小、潜在损失发生的不确定性三种因素构成。为了避免事件发生的不良后果,减少事件造成的各种损失,即降低风险成本,人们引用管理科学的原理和方法来规避风险,于是风险管理(risk management)便应运而生。

风险管理是一种有目的的管理活动,常被视为一种保险,一个缓解不确定性的缓冲区,最终目标是以最小的成本获取最大的安全保障。因此,在进行风险管理的时候,管理主体通常致力于通过风险的识别、评估等一系列流程矸治瞿谕獠看嬖诘姆缦找蛩兀并制定一系列方案、措施来应对风险,以达到风险管理的目标。目前,风险管理理论已经在企业管理、工程项目管理、医疗护理管理等领域得到了极其深入的应用与理论拓展,并逐步运用到政府管理、信息管理、IT项目管理、自然灾害管理等领域中。

2000年,王健等人翻译了戴维・比尔曼的著作《电子证据――当代机构文件管理战略》,比尔曼认为,在电子文件管理中应导入风险概念,进行风险管理。之后,电子文件的风险管理开始引起国内学者的关注,其中中国人民大学的“电子政务系统中文件管理风险防范与对策研究”课题组进行了系统研究,探索了电子文件管理风险及其产生原因[2][3]、电子文件风险管理的必要性和可行性[4]、电子文件的风险管理流程与方法等[5][6],并于2008年出版了专著《电子文件风险管理》。

总的来说,在文件与档案管理当中引入风险管理理论是十分必要且可行的[7],在数字时代,文件与档案管理活动中面临的风险越来越多,这些风险不仅出现在收集阶段,还出现在整理、利用等各个阶段,尤其是档案信息化(数字化)建设阶段[8]以及档案数字化项目外包当中[9]。在文件与档案管理中引入风险管理理论,已成为我国档案安全管理的重要思想。

2.4 灾害管理理论。灾害是由自然原因、人为原因或两者兼而有之的原因而形成的、发生于自然界的或突发或缓慢发生的能给人类造成各种损害的事件。灾害与防灾、减灾是人类生存与可持续发展所面临的永恒主题。因此,灾害管理(disaster management)逐渐成为应对灾害的重要活动,它通过对灾害的研究、预测、减灾措施实施和灾后恢复等活动,以预防灾害的发生或减少灾害造成的损失。现代灾害管理理论主要有危机管理理论、风险管理理论和GCSP 管理理论。危机管理理论侧重于灾害的防治,风险管理理论更侧重于灾害预防,GCSP管理理论则是综合危机管理和风险管理理论,侧重于灾害的管理方法。

我国自然灾害频繁,档案面临着各种潜在的威胁。国家档案局对自然灾害的防治非常重视,每年都要专门发文强调汛期档案安全,此外还出台了《档案馆防治灾害工作指南》,其目的就在于进一步强化档案工作者的灾难风险意识和防范意识,为各级档案馆和档案工作者在制定灾害管理政策和战略过程中提供必要指导,以便进一步增强档案馆抵御各种灾害的能力,确保档案的安全保管和妥善处置,把各种灾害对档案馆的影响减少到最低程度[10]。针对档案以及档案馆所面临的灾害威胁,灾害管理领域的理论方法(诸如灾害恢复、灾害风险评估、灾害损失预测与评估、灾害分类与等级划分、防灾减灾对策、灾害应急管理、灾害风险管理、灾害危机管理等)对档案安全管理有重要参考借鉴价值。因此,近些年来,有学者对档案灾害预警机制[11]、档案部门灾害事件应急准备能力[12]、档案灾害管理体系[13]、档案防灾减灾体系建设[14]、数字档案灾害[15]等问题进行了探索,还有学者对“档案灾害学”进行了深入研究[16][17]。

2.5 信息安全理论。信息安全是信息时代永恒的需求。可以说信息安全是信息的影子,哪里有信息哪里就存在信息安全问题。当前,信息科学技术空前繁荣,可危害信息安全的事件也不断发生,敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪等,对信息安全构成了极大威胁,信息安全的形势是严峻的。信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。一般而言,信息安全主要包括设备安全、数据安全、内容安全和行为安全4个层面的内容,而信息安全学科就是研究信息获取、信息存储、信息传输和信息处理领域中如何保障这四个层面安全问题的一门新兴学科。在信息安全理论当中,技术被认为是信息安全保障最重要的手段,在发展过程中出现了数字水印技术、网络防火墙技术、入侵检测技术、访问控制技术、信息加密技术、可信计算技术、RFID技术等安全保护技术。

进入21世纪以来,档案信息安全受到了高度重视。学者们纷纷针对档案信息安全的因素以及档案信息安全管理存在的问题,从技术、管理以及保障体系等层面阐述应对策略。研究中不难发现,档案信息安全研究不能脱离信息安全领域的理论与技术方法的指导,信息安全领域的诸如网络安全机制、隐私保护、设备安全、信息系统安全、信息安全风险评估、信息安全技术、PKI安全认证体系、可信计算技术等理念、技术和方法对档案信息安全研究有重要参考价值。

2.6 安全文化与管理理论。安全问题是伴随人类的出现而产生的,防御灾害、事件和保障安全是人类生存和发展的基本需求之一。安全科学的研究对象就是与“天灾”和“人祸”相关的安全问题。“天灾”包括地震、台风、洪水、旱灾等。“人祸”就包括战争、环境破坏、恐怖活动、网络黑客事件、大面积停电、交通事故、公共安全等。安全科学的基本任务是揭示安全现象中的安全规律,安全科学原理就是安全规律的核心内容。这些原理当中:安全文化原理、安全伦理原理、安全教育原理、安全法律法规原理等社会科学方面的原理对于档案安全体系建设以及档案安全观的形成研究颇有参考价值。此外,从安全管理的层面来看,安全生产管理当中的一些经验教训、体制机制以及管理理念、管理策略方法等同样可以作为档案安全管理的参考。

3 结语

2010年,国家档案局提出建设档案安全体系,并迅速付诸实践。实践工作的快速推进,亟须理论的支撑。因此,有必要梳理已有的相关成果,分析相关的理论思想来源,提炼档案安全体系理论,为指导我国档案安全体系建设提供参考。本文系统梳理了档案安全问题研究当中所涉及的档案学、社会学、管理科学、灾害学、信息安全学以及安全科学等6个领域的7大主要理论思想,其中“档案保护理论”“档案管理理论”是档案安全体系研究的理论基础,其余5种理论则为档案安全体系相关问题的研究提供了理论借鉴和思想源流。然,在各学科理论融合发展的大背景下,后面5种学术理论当中,也存在部分交叉的情况。如灾害管理理论、安全管理理论当中同样借鉴了风险管理理论的思想。因此,笔者认为,针对档案安全问题的广泛性与特殊性,在档案安全体系研究当中各种理论思想之间并不是完全割裂开的,是可以相互借鉴吸收的,其共同目标是应对各类档案安全问题,指导档案安全体系建设。

参考文献:

[1]赵鹏.从档案安全体系建设的角度看档案保护[J].中国档案,2010(6):27.

[2]冯惠玲,王健.电子政务建设中的文件管理风险探析[J].中国行政管理, 2005(4):62~66.

[3]冯惠玲.论电子文件的风险管理[J].档案学通讯, 2005(3):8~11.

[4]徐拥军.电子文件风险管理的必要性与可行性[J]. 档案学通讯, 2005(6):51~55.

[5]张宁.电子文件风险管理:识别与应对[J].电子政务, 2010(6):24~30.

[6]张宁.思维的“逆行”――电子文件风险管理解析[J].中国档案, 2010(7):59~61.

[7]向立文,欧阳华.论加强档案风险管理的必要性与可行性[J].档案学通讯, 2015(4):68~71.

[8]陈国云.档案信息化建设的风险管理[J].北京档案,2008(2):42~43.

[9]黄丽华.引进风险管理方法构建安全管理策略――档案数字化外包潜在风险分析及安全管理措施研究[N].中国档案报,2015-11-23(03).

[10]王良城. 自然灾害对档案的侵袭与应对策略[J]. 北京档案,2010(7):72.

[11]于海燕.档案灾害预警机制研究[J].档案学通讯, 2011(4):81-84.

[12]吴加琪,周林兴.档案部门灾害事件应急准备能力研究[J].浙江档案, 2012(6):16~18.

[13]毛惠芳.预警应急抢救――档案灾害管理体系的构建[D].合肥:安徽大学, 2010.

[14]张新.灾害后的行动与反思――从北川档案抢救看档案防灾减灾体系建设[J].四川档案,2010(3):21~23.

[15]吴晓红,郭莉珠.数字档案灾害初探[J].档案学通讯,2005(3):80~83.

全面风险管理论文篇(4)

在分析电子文件安全管理的问题之前,我们应该要加强对风险管理与安全管理关系的认识。而要真正认清两者之间的关系,首先,要对风险与安全有深刻的认识。在新华字典中,对风险的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。”对安全的释义是“不受威胁,没有危险、危害、损失。”从两者的释义中,我们不难看出风险与安全是有密切关系的,都是通过与“危险、危害、损失”的关系来体现的,但这并不是说风险就意味着不安全,这跟人们日常的理解可能有出入,在大多数人看来,风险就是安全的对立面,风险的存在就意味着安全事故的发生,这种理解是不准确的。风险其实主要强调的是“可能性”,而“可能性”就意味着风险的发生可能会引起安全事故,造成危险、危害或损失,也可能不会。另外,还必须认识的是风险包含威胁和机会两层含义,即风险造成的影响包括消极的威胁和积极的机会两面,而不仅指传统意义的威胁。威胁与机会的转换关键是在于平衡安全、成本和效率之间的关系。正如电子文件的网络化利用,可能比传统纸质化利用面临的风险要大得多,但不能因为风险大就不利用电子文件,之所以电子文件网络化利用迅速发展,关键在网络化利用给档案工作带来的机会更大,利用成本更低、利用效率更高。其次,要对风险管理与安全管理有深刻的认识。风险管理是指管理组织对可能遇到的风险进行计划、识别、评估、应对、监控的全过程,是以科学的管理方法实现最大安全保障的实践活动的总称。③风险管理主要通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。应该说,风险管理本身就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。安全管理只有在风险管理正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在安全的投资、安全措施的选择、安全保障体系的建设等问题中做出合理的决策。基于风险管理的安全管理体系就是将风险管理自始至终贯穿于整个安全管理体系中,这种体系并不能完全消除安全的风险,只是尽量减少风险,将攻击造成损失的降低到最低限度,从而达到安全风险、成本与效率的平衡。

二、从风险管理的视角探讨电子文件安全管理问题

(一)缺乏科学的安全管理理论与方法指导

信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。从这个视角来看文档工作我们会发现,一直以来,文件、档案安全管理工作都是沿袭传统档案载体保护工作来开展,以此形成的相关理论也是以传统档案载体研究为基础的,随着电子文件的出现,传统以档案载体保护为核心的档案安全管理理论就很难适用于电子文件的安全管理。虽然档案部门也对电子文件安全管理做过很多理论探讨,提出“前端控制思想”、“全程管理思想”、“文件连续体理论”、“后保管时代”、“文件运动理论模型”等理论来强化电子文件的安全管理,但不可否认的是,这些理论并不是专门的安全管理理论,很难在电子文件安全管理上取得实质性效果,由此指导的电子文件安全管理工作存在种种疑难点,如电子文件安全事故衡量标准是什么?如何选择安全产品?安全控制全面吗?是否冗余?是否达到预期效果?安全等级如何划分?安全代价如何衡量?这些疑难点的出现,归根到底就是因为现阶段的电子文件安全管理工作缺乏科学的安全管理理论与方法指导。

(二)对安全管理的认识存在偏差

信息安全风险管理提倡的是一种适度安全,即风险是绝对的,安全就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度;同时也强调树立风险意识,并通过风险的大小来度量信息的安全性,将“信息”提升到“资产”的高度来进行安全管理。然而,传统电子文件安全管理对此认识却存在偏差。

1、追求绝对的安全。一直以来由于档案部门缺乏安全风险意识,总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而,从理论上讲,风险是绝对的,安全是相对的;风险是永恒的,安全是暂时的。而电子文件安全管理工作从本质上来讲,也就是风险管理工作。电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度,在实践中追求各安全属性的绝对安全,并不能达到最佳安全效果,也是不切实际的。同样,从信息安全保密的实践历史来讲,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。因此,档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失,档案永不泄密,电子文件万无一失”,那是永远不可能的!

2、风险意识薄弱,对安全风险认识存在偏差。一些安全管理人员风险意识淡薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事,庸人自扰之”,根本没有从风险管理的角度来度量电子文件的安全性。这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。

3、忽视了对“资产”评估鉴定。从目前情况看,文件、档案管理部门虽都认识到电子文件的重要性,但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助,并没有将电子文件提升到“资产”高度来管理,就更谈不上对“资产”进行评估鉴定。然而,从安全管理角度讲,一个组织系统内的资产在没有被评估鉴定前,是不可能成功实施安全管理并进行维护的。④

(三)管理环节不完善

信息安全风险管理强调对信息系统生命周期的全过程管理,包括一个完整的风险管理环节:风险计划的制订、风险识别、风险评估、风险应对、风险监控。从这个视角来看,当前电子文件安全管理存在明显的薄弱环节。首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。其次,缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”,但大多是“人云亦云”,进行简单的跟风或对安全产品与技术进行简单地堆叠,没有针对性。对于引起本组织电子文件风险的因素没有深入探究,甚至谈不上什么了解,对于所采取的应对措施更谈不上什么研究,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。最后,安全监控力度有限。电子文件是动态存在的,其安全现状也是随时在变化的。在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。

(四)缺乏系统性和动态性

信息安全风险管理基于系统、全面、科学的安全风险评估,强调对信息的全过程、动态控制,对信息进行系统化安全管理,使安全风险发生的概率和结果降低到可接受的范围,从而实现系统安全的动态平衡。传统的电子文件安全管理,一方面,绝大多数是针对电子文件载体本身的安全管理,采取的是往往单一的安全管理措施,对于电子文件的安全管理容易出现“头痛医头,脚痛医脚”的弊病,最终还是不能避免电子文件风险的发生。⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全,自然安全管理工作就不系统。另一方面,忽视整个电子文件保管环境的安全管理。电子文件保护的过程是一个复杂的过程,对于其自身及其所依赖信息环境的保护是一个系统性工程。从风险管理的角度讲,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。而这点是传统电子文件管理所被忽视的,传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。此外,值得注意的是,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的总结与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。从表面上看,这种方法也适合电子文件安全管理,但毕竟是以静态的眼光来分析风险,各个阶段的安全管理工作缺乏必要和有机的联系,没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑,很难应对日益复杂、严峻的电子文件安全问题。

(五)忽视了对安全风险、成本和效率的权衡

信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,找到安全风险、安全成本与效率之间平衡点,通过安全措施来控制风险,使残余风险降低到可接受的范围。安全风险、安全成本与效率的关系如下图所示:

安全风险、安全成本与效率关系示意图

从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。实际上,绝对的安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。正如一扇门配几把锁取决于门内放的东西的重要程度,锁越多,门的安全成本也就越高,而门的使用效率就越低。然而,当前的电子文件管理重安全,却忽视了对安全、成本和效益的综合权衡。很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。此外,由于我国一直以来强调以纵深防御体系设计作为安全管理的核心,这种防御体系强化安全管理的纵向层次和深度,侧重安全管理的宏观指导,但在指导安全管理的具体实践方面,缺乏科学依据和方法,无法对电子文件的安全风险进行度量,自然就无法权衡电子文件的安全、成本和效益,结果在实际的电子文件安全管理工作中,安全投入成了一个无底洞,安全管理成本经常是远远高于电子文件所带来的效益,最终安全管理失去原有的意义。

三、结论

传统的电子文件安全管理基本上还处于在一个局部的、静态的、少数人负责的、突击式、事后纠正的管理方式,导致的结果是不能从根本上避免降低各类风险,也不可能降低电子文件安全事故导致的综合损失。而基于风险管理的电子文件安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、动态、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全原则前提下合理选择控制方式以保护电子文件,使电子文件安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子文件的安全管理,因此,文件、档案管理部门应尽快建立自身的电子文件风险管理体系。

注释:

1、吴世忠:《信息风险管理动态与动态与趋向》,《计算机安全》2007年第4期。

2、冯惠玲:《论电子文件的风险管理》,《档案学通讯》2005年第3期。

全面风险管理论文篇(5)

一 引言

复杂多变的经济环境和关联性越来越强的风险因素使得企业全面风险管理(ERM)备受热捧。ERM同时兼顾了不同风险的综合效应,与企业价值最大化的目标相符合,与企业所有者利益相一致,是一种承担增加公司价值使命的新型风险管理体系和手段(李社环,2003,张琴、陈柳钦,2009)。它正迅速成为企业的最低标准,成为主导企业兴衰的关键因素(Stroh, 2005)。在这样的背景下,真正理解企业风险管理的内涵,掌握企业风险管理的发展规律,成为企业决胜未来的一堂必修课。这就要求我们必须从根本上理解ERM理论发展的来龙去脉。ERM主要有两个理论来源[②]:风险管理理论和内部控制理论。风险管理理论和内部控制理论发展至今已不再是彼此孤立的理论体系,而是你中有我,我中有你发展前景,相互糅合在一起,并最终不约而同地指向了同一个方向——ERM。

二 风险管理理论的发展

1930年美国管理协会的一次保险会议上最早提出了风险管理的概念,风险管理理论和实践自此而始。按照一般管理理论的发展历程,我们将风险管理理论的发展历程分为三个阶段:早期风险管理阶段、现代风险管理阶段和全面风险管理阶段。

(一)早期风险管理阶段

1952年3月马科维茨发表《资产组合的选择》一文提出了著名的均值——方差理论。他首次将统计学中期望与方差的概念引入资产组合问题的研究,提出用资产收益的期望来度量预期收益用资产收益的标准差来度量风险的思想,将风险定量化,为金融风险的研究开辟了一条全新的思路。同时,他首次引入了系统风险和非系统风险的概念,给出了在一定预期收益率水平下使投资风险达到最小化的最优投资组台计算方法,改变了过去常识或经验等定性的衡量风险的方法。与此同时,美国保险统计从业人员开发出了正式的资产/负债管理模式(ALM),用于估计和管理寿险公司中长期产品涉及的利率风险。ALM方法逐渐发展成为寿险公司、养老金、银行和衍生产品所用风险管理技术的基础。1963年Myer和Hedges的《企业风险管理》最早系统地对风险管理进行了研究。1964年Williams和Hans著成《风险管理与保险》一书,进一步全面、系统地对风险管理进行了研究,他们认为风险管理的目标是以最小成本实现损失最小化。在均值一方差模型的理论框架下,William Sharpe (1964)、Limner (1965)、Mossin(1966) 分别推导出了资本资产定价模型(CAPM)。根据CAPM模型,单种资产的总风险中只有其中的系统风险对资产的预期收益有贡献,投资者不会因资产具有的非系统性风险而得到任何附加的预期收益。迄今为止,西方国家的企业财务人员,金融界以及经济学界一直将CAPM作为处理风险同题的重要工具,将其大量运用于财务决策与风险管理等方面杂志铺。1975年Murton提出了多因素C A P M模型对传统C A P M模型予以修正,在市场因素的基础上引入了其他市场之外的因素进行分析。同时期风险管理理论的另一个重要发展就是期权定价理论,它为衍生产品设计理论引入风险管理之中以及对衍生产品的风险管理提出了理论与决策基础,具有十分重要的理论和实践意义。该时期风险管理的重要特点是专注于防范不利风险,风险管理的主要内容是信用风险和财务风险,保险是风险转移的基本方法。风险管理实务主要涉及设立信贷控制、投资与清算政策、审计程序以及保险范围。这些防卫性风险管理实务的目标是最小化损失。

(二)现代风险管理阶段

20世纪90年代兴起的以损失为基础的风险管理方法(Value at Risk,VaR)引领了风险管理的潮流。摩根大通将VaR定义为在既定头寸被冲销或重估前可能发生的市场价值最大损失的估计值。VaR的一个更通俗的定义是[③]:给定置信区间的一个持有期内的最坏的预期损失。VaR成功将风险标准化和数量化,因此在金融领域应用广泛发展前景,非金融机构也因此受益量多,VaR正逐渐成为风险管理领域的规范。而且,VaR目前仍在不断地被改进完善。1992年Kent D.Miller提出了整合风险管理,指出企业可以根据具体的风险状况对多种风险管理方式进行整合,强调风险研究范围的扩展。风险管理的目标由最初的以最小成本实现损失最小化转变为以最小成本获得最大的安全保障 ( Skipper, 1999)。之后在VaR缺陷的基础上发展起来的整体风险管理(Total Risk Management,TRM)综合考虑了影响风险管理的三个因素:价格、偏好、概率,谋求在三要素系统中达到风险管理上客观计量和主体偏好的均衡最优,使投资者承担其所愿意承担的风险从而获得最大的风险报酬。TRM为完整的企业风险管理开辟了新的道路。这一时期,另类风险转移(ART)不断涌现,传统的衍生产品和保险不再是公司风险转移需要的完全解决方案。此时,风险管理专注于管理业务和财务成果的波动性,管理方向从纯粹风险向投机风险转变,由保险型向经营型转变。同时,基德·皮博迪、巴林银行、埃克森、长期资本管理公司等明星企业的危机事件使得企业对营运风险管理的重视骤升。

(三)全面风险管理阶段

Zail et al.(1996),James(1996),Matten(2000)相继提出了经济资本框架(即风险资本框架)的主要内容,掀起了经济资本技术的发展热潮。经济资本技术将风险控制由被动转为主动的同时,在其理念下的EVA指标和RAROC指标将利润指标同风险指标统一起来,以实现风险调整收益最大化。经济资本技术凭借以往风险管理方法无法比拟的巨大优势被迅速推广应用于银行、保险、大型跨国企业的风险管理活动中。经济资本注重风险的模型化和定量计算,大大提高了风险管理的精密度。经济资本有效参与业务战略规划。在制定战略规划时,权衡业务发展与所面临的风险变化之间的平衡,提高业务发展规划制定的科学性,推动企业持续健康发展。

进入二十一世纪以来,日益复杂的国际金融环境促使企业深刻反思巴林银行、长期资本管理公司等金融业巨子在金融动荡中难逃浩劫的缘故。血的教训使得他们进一步深入考虑风险防范与管理问题。他们逐渐发现金融风险往往是以复合的形式存在,不同的金融风险之间往往具有相互联动性。风险管理不应该是对单个业务的单个风险进行管理,而应从整个系统的角度对所有风险进行综合管理。在这种背景下,全面风险管理(Enterprise Risk Management ,ERM)理论应运而生。2001年北美非寿险精算师协会(CAS)在一份报告中明确提出了全面企业风险管理(ERM)。在该报告中发展前景,CAS认为风险管理包括环境扫描、风险识别、风险分析、风险集成、风险评估、风险应对和风险监控7个紧密联系的步骤。2004年6月巴塞尔银行监管委员会了《巴塞尔新资本协议》(BASEL Ⅱ)。新资本协议首次提出了全面风险管理的概念,同时关注了信用风险、市场风险和操作风险[④],明确了主动控制风险的原则,鼓励全面风险管理模型的建立和使用,并把激励商业银行不断提高风险管理水平作为两大监管目标之一[⑤]。2004年9月,COSO委员会颁布了《全面风险管理——整合框架》报告。报告强调从整个组织的层面识别和管理风险的重要性,明确提出应该把风险管理提升到公司战略的高度,突出了风险管理的战略意义。Harrington和 Niehaus(2004)认为,风险管理的总体目标是通过风险成本最小化实现企业价值最大化;ABA则认为“商业银行风险管理的目标并不是人们通常误认为的风险最小化 ,而是风险与收益的优化” [⑥]。在这一阶段,企业风险管理以主动处理所有类型的风险为特征,以创造价值为管理导向(张维功,何建敏,丁德臣,2008),成为企业管理的进攻性武器。许多公司将ERM看作是一种衡量重大投资的工具,并最终将其转化为包括成本可容度、提高收益等指标在内的股东价值战略(Adams,Campbell,2005)。

三 内部控制理论的发展

关于内部控制的较早研究来自于审计领域杂志铺。1934年美国《证券交易法》首先提出“内部会计控制”的概念,开创了内部控制理论研究的先河。内部控制理论的发展经历了一个漫长的历史过程。它的发展可分为以下五个阶段[⑦]:

(一)以内部牵制为基础

1936年美国注册会计师协会《独立注册会计师对财务报告审查》的文告,首次提出审计师在制定审计程序时,应该考虑的一个重要因素是审查企业的内部牵制和控制。1939年10月美国注册会计师协会的审计程序委员会公布了《审计程序文告第1号》文件,在修改的标准化审计报告中首次增加了对内部控制审查的内容。在内部牵制阶段,账目间的相互核对是内部控制的主要内容,设定岗位分离是内部控制的主要方式。

(二)以内部会计和内部管理为基础

单一的内部牵制无法满足日益复杂的经济环境下的管理需求。1958年,美国注册会计师协会迈出了历史性的一步,将内部控制区分为两类:内部会计控制和内部管理控制。内部控制的内涵得以扩展到管理层面。在这段时期内发展前景,内部控制的重点是建立和健全规章制度,加强控制和管理活动。

(三)以控制环境、会计制度和控制程序为基础

会计体系的不断完善成为内部控制理论发展的一个重要推动力。日臻完善的会计制度被看作是内部控制的一种有效方式。系统、完整的政策程序成为规范的会计制度的有益补充。经济全球化日益开放的格局使企业面临着更为复杂的商业环境。巨大的内外压力下,控制环境理所当然的进入内部控制主体的视野。1987年,美国Treadway报告关注避免虚假财务报表和引导公司治理问题的学术讨论,它认为内部控制包含三个要素:控制环境、会计制度和控制程序。这一时期,内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序。

(四)以控制环境、风险评估、控制活动、信息沟通和监控为基础

二十世纪八十年代末期以来,随着政府干预逐渐减弱,审计人员处在一个非同寻常的弱势地位,企业的内部控制悄无声息地发生了巨大转变。两个重要的因素促成了这种变化:信息技术的发展和审计方法的改变。大型的关联数据库不断涌现,数据库存取和操作软件的成本不断降低,这意味着系统需要经常进行改良,信息的及时有效的沟通至关重要,传统的过程控制过时了,控制活动异常活跃起来。科学技术和审计的变化促使控制向组织层面转移,而且,最初政策和程序式的服从被风险语言所代替,在风险系统中,组织高层关注重要的风险。

1992年,Treadway报告的机构(COSO)了《内部控制——整体框架》,专门强调了公司治理中内部控制的关键作用。该报告包括了内部控制特点分析和其构建与评估的框架,它把内部控制定义为[⑧]:

一个受董事会、管理层、和其他个体影响,用于为以下目标的实现提供合理保证的过程:效力和运营效率;财务报告的可靠性;符合适用的法律法规。

1992年Cadbury 报告指出,董事会应该就财务报告和内部控制体系的效力做出声明,并且审计人员应该就此作出相应报告[⑨]。1994年Rutteman 报告借鉴了COSO对内部控制的定义但着重强调了与内部财务控制有关的部分。它把内部控制定义为:内部控制是为了提供以下合理保证:(1)防止资产未经许可下使用和处置;(2)保留相应的会计记录,维持商业和公共使用的财务信息的可靠性。这样,信息的沟通和监控被纳入了内部控制体系。同一年发展前景,COSO对1992年的《内部控制——整体框架》进行了增补,形成内部控制报告。1995年,加拿大特许会计师协会提出了COCO(Criteria of Control Framework)框架,它提出了控制的定义和一系列评价效力的分类标准。该框架从更高的层次上反映了内部控制和风险管理的关系,内部控制与组织目标的实现密切相关。

(五)以企业全面风险管理为基础

1998年Hampel报告首次把内部控制的注意力从财务报告问题上移开,开拓了内部控制新领域。1999年Turnbull报告走的更远。它是第一个强调公司治理中内部控制和企业风险管理关系的文件[⑩]。它认为公司的内部控制系统在风险管理中起着关键作用,对于实现企业的战略目标意义重大[11]。ICAEW在如何实施Turnbull报告要求方面走的更远,它将内部控制和风险管理完全结合起来。1999年加拿大特许会计师协会提出“内部控制应该包含风险的识别和应对”。Krogstad et al.诠释新IIA对内部审计的定义时提到:内部控制是帮助组织管理风险,提高公司的治理效率。2002年7月,美国国会通过了《萨班斯——奥克斯法案》,第一次对财务报告内部控制有效性提出了明确要求。

随后,在内部控制领域具有权威影响的COSO委员会于2004年9月颁布了《全面风险管理——整合框架》报告杂志铺。报告从内部控制的角度出发,研究了全面风险管理的过程以及实施的要点,是全面风险管理理念在运用上的重大突破。内部控制也由最初的“一点论”发展为当前的“八点论”——内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。这样内部控制框架经历了点——线——平面——三维——立体的发展过程,发展至今的《全面风险管理——整合框架》代表着国际上内部控制研究方面的最高水平,是内部控制理论研究历史性的突破。

至此,风险管理与内部控制的关系发生了巨大转变。风险管理与内部控制已不再是孤立的或是包含的关系,而是完全等价的(陈关亭,2009)。风险管理理论和内部控制理论成为ERM的两大理论来源。

四 ERM理论发展前景展望

ERM是企业风险管理理念和实务上的一次重大转型(韦军亮,陈漓高,王炜,2008),“是要以风险损失为分析基础转变为以企业价值为分析基础,化分离式的风险管理为整合式的风险管理,变单一的损失控制为综合性的价值创造”(卓志,2006)。ERM的特性从实践上契合了企业在风险交互影响和日益复杂的经济环境中更高层次的管理需求。另一方面发展前景,巴塞尔新资本协议(BaselⅡ)、国际财务报告标准(IFRS)、萨班斯法案(Sarbanes-Oxley)等法规法案的颁布和实施在理论层面上进一步促进了ERM理论的发展和推广。正如James Lam(2006)预测的那样,ERM将不断发展成为风险管理的行业标准。

尽管ERM是一种很受企业热捧的战略经营工具,但对很多公司来说,ERM能够得以成功实施的路依然很长[12]。造成这种结果的原因除了有来自企业操作层面的[13],还有来自理论体系层面的因素。这主要表现为ERM理论框架中有诸多尚待完善的部分。其中一个重要的体现就是ERM的界定问题至今国内外学术界仍然争论激烈[14],尚未达成共识。在ERM实施过程中,企业上下连什么是ERM都搞不清楚,这显然不利于ERM在企业的全面顺利实施。再加上ERM牵涉面极广,影响极大,ERM的推广和实施困难重重。实践和理论的需要将引导ERM的后续发展逐步解决这一问题。另一个重要的问题在于,目前ERM体系中缺乏一种行之有效的全面风险管理方法。令人欣慰的是,理论研究一直在继续。巴塞尔新资本协议对此给予了特别关注,协议指导并鼓励集市场风险、信用风险和其他多种风险于一体的各种新模型的创立,实现对全面风险的量化管理。

参考文献

全面风险管理论文篇(6)

一、引言

中国自2001年加入WTO以来,中国对外开放不断深入,从十六大召开后,中国企业进入了对外开放新阶段,纷纷加大了“走出去”的战略步伐。随着企业跨国经营和全球化进程的加快,企业面临的不确定因素加大,如一度被视为明星企业的中航油,2004年折戟狮城,损失5.5亿美元,折射出企业风险控制能力的薄弱,在企业界引起极大的震动。面对惨重的教训,企业的经营理念也悄然发生了转变,避免灭顶风险比获取超常收益更重要,这是企业界的共识。尤其在经历了2007年以来的史无前例的经济危机后现代企业管理论文,风险管理被受到前所未有的重视,然而企业在开展风险管理的过程中,发现不同版本的风险管理框架差异较大,如何选择适合企业自身的风险管理框架是摆在企业面前的实际问题,本文拟对目前国内外比较具有影响力的风险管理框架进行分析和比较,以期为企业实施全面风险管理提供帮助。

二、全面风险管理框架比较

目前国内外具有影响力的风险管理框架有美国COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月的《企业风险管理—整合框架》(以下简称COSO风险管理框架)。国际标准委员会于2009年颁布的《ISO/FDIS31000风险管理—原则和指引》(以下简称ISO31000),该风险管理标准是在2004年修订的澳大利亚/新西兰风险管理标准(AS/ NZS 4360)的基础上制定的。中国有国资委于2006年6月颁布了《中央企业全面风险管理指引》(国资发改革[2006]108号)(以下简称《指引》)。本文拟从风险和风险管理概念、风险管理流程、风险管理架构等内容对三个框架进行比较分析。

1.风险概念比较分析

COSO风险框架将风险定义为“风险是指一个事项将会发生并给目标实现带来负面影响的可能性”,而事项是源于内部或外部的影响目标实现的事故或事件,事项可能有正面或负面的影响,或两者兼而有之。从COSO对风险的定义可以看出,负面影响的事件为风险,正面的影响的事件为机会,强调风险的负面作用,并将目标明确分为战略目标、经营目标、报告目标和合规目标。这种分类方法有助于企业关注风险管理的不同侧面,满足企业增长和报酬以及监管者的要求。

《指引》认为企业风险是“指未来的不确定性对企业实现其经营目标的影响”,这里的影响包括正面的和负面的或者是两者兼有论文下载。并将风险明确指出对经营目标的影响。因此从风险的定义上可以看出,《指引》对企业风险的定义明确指出对经营目标的影响,经营目标是与经营战略相对应的目标,这可从《指引》后面提到的风险管理策略的制定要和经营战略相适应,经营战略是属于业务层面的战略,可以看出《指引》中企业风险更多指业务层面的风险而言的。

ISO31000将风险定义为“不确定性对目标的影响”。并指出影响是指实际与预期的偏差,可是正面的或负面的或两者兼有。并表明目标可以有不同方面,如财务、健康和安全以及环境目标,可以体现在不同的层次,如战略、运营、项目、产品和流程层面。从ISO31000对风险的定义描述可以看出ISO31000对风险的定义更加全面,兼顾了传统的财务、健康、安全以及环境风险,表明了风险的两面性,即正的作用和负的作用。

从以上比较来看,各风险管理框架对风险的定义基本上达成共识现代企业管理论文,即风险是不确定性对目标的影响,区别是目标的范围不一样和风险的两面性上。《指引》特指经营目标,COSO将目标分为战略目标、经营目标、报告目标和合规目标,ISO31000目标范围更加广范,可以指不同方面,也可以指不同层面。

2.风险管理概念比较分析

COSO 认为“企业风险管理是一个过程,它由一个企业的董事会、管理层和其他人员实施,应用于企业战略制定并一直贯穿到企业的各项活动中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证”。根据企业风险管理的定义可以发现COSO所指的企业风险管理覆盖的企业活动的范围包括战略制定活动。

《指引》认为全面风险管理,“指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。《指引》中的风险管理的总体目标,包括战略目标、经营目标、报告目标、合规目标和危机管理目标。与企业风险的定义相适应,风险管理的定义也是围绕经营目标的实现,而展开了一系列活动。

ISO31000认为风险管理指“对指导和控制组织有关风险的活动进行协调”,即所有跟风险有关的指导和控制活动都称为风险管理,涉及不同层面不同范围。

从以上比较分析可以看出,《指引》的风险管理覆盖的范围相对较窄,而COSO,强调风险管理不仅包括经营层面的活动而且包括战略制定活动。ISO31000的风险管理涉及任何与风险有关的指导和控制活动,涉及的程度和范围更加广范。

3.风险管理流程比较分析

COSO风险管理流程包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。COSO框架的风险管理流程始企业内部环境,并认为内部环境影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础。COSO将目标设定作为风险管理流程的一个关键要素,并明确指出目标设定是事项识别、风险评估和风险应对的前提条件。在识别和评估影响业绩的风险必要的措施来管理风险之前首先要设定目标。COSO区分四种类型的目标:战略目标、经营目标、报告目标和合规目标。

《指引》风险管理基本流程包括现代企业管理论文,收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。信息与沟通贯穿于整个流程中。《指引》并未在风险管理流程中提到目标的设定,但是从风险的定义、风险评估可看出其中暗含着目标设定的内容。

ISO31000风险管理基本流程包括沟通与协商、建立环境、风险评估、风险处理、监控与回顾,如图1所示论文下载。ISO31000将沟通与协商是整个风险管理流程的首要因素,旨在采用一种工作团队的工作方法,为风险管理建立一个适合的环境。通过与内外部利益相关者进行充分的沟通与协商有助于有效识别风险、不同领域的专业知识被用于风险分析、风险评估标准的建立、风险管理计划的执行和风险管理流程的变更等,确保整个风险管理过程中能充分理解和考虑利益相关者的利益。另外,ISO31000将环境建立作为风险管理流程的一个重要步骤,环境建立包括内外部环境的建立、风险管理流程环境的建立以及风险评估标准的建立。该步骤使风险管理活动与内外部环境相匹配,并在组织内建立了风险管理的组织基础和范围,如界定风险管理活动的目标和风险管理流程的责任、风险管理的范围、广度和深度以及风险评估的有效性和风险评估的标准等。

图1. ISO31000风险管理流程

从以上对各标准的风险管理流程来看,内容上基本相同,区别之处所反映的理念存在差异,COSO强调内部环境和目标设定,ISO31000强调沟通和协商以及环境的建立,《指引》强调信息收集,在整个风险管理流程中贯穿信息与沟通的内容。

4.风险管理架构比较分析

COSO风险管理架构保留了其内部控制框架的三个维度结构,即目标维、风险管理要素维和管理层级维,并在此基础上进行了拓展,目标由内部控制框架的3类扩展为4类,即除了经营目标、报告目标和合规目标外,增加了战略目标。风险管理要素由内部控制框架的5个扩展为8个,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。管理层级包括整个企业、职能部门、业务单位和分支机构4层。目标、要素和管理层级之间的关系为:各管理层级是风险管理主体,目标是企业努力实现的对象,风险管理要素是目标实现的步骤,企业的各个管理层级都要按照风险管理的8个要素为4个目标服务。

《指引》的全面风险管理框架包括总体目标、风险管理文化、风险管理流程和全面风险管理体系四个组成部分,其中风险管理体系由风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统构成。风险管理总体目标除包括COSO的四大目标外,还增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失”的应急管理目标。《指引》清晰提出风险管理的三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。但《指引》四个部分内在的逻辑关系表述的不是十分清晰。比如:建立全面风险管理体系是先建基本流程还是先建立体系没有界定清楚。风险管理基本流程中和风险管理体系中都有风险管理策略的内容现代企业管理论文,二者的内涵是否一致,并没有阐述清楚,风险理财措施属于风险管理工具或方法之一,它与组织职能体系、内部控制系统的内容不在一个管理层面上。对于全面风险管理体系中最重要的目标政策体系的没有突出。风险管理的目标政策对风险管理基本流程、风险管理体系和风险管理文化三个部分具有指导和引领的作用,但是在指引中没有独立章节表述,相关内容也不够详尽。

ISO31000风险管理架构定义为“为整个组织设计、实施、监控和检查与持续改进风险管理提供基础和组织安排的系列要素”。其中基础要素包括“管理风险的政策、目标、授权和承诺”。组织安排包括“计划、领导、职责、资源、流程和活动”。风险管理框架被植入到组织的整个战略和运营政策的制定和实践活动中。ISO31000风险管理框架如图2所示。

图2. ISO31000风险管理架构

ISO31000风险管理框架建立了风险管理原则、风险管理架构和风险管理流程之间的关系。如图3所示。风险管理原则为建立风险管理架构提供指导方针论文下载。风险管理架构中的管理政策,程序和活动,系统地应用到风险管理流程中,同时风险管理流程应在风险管理架构中通过风险管理计划,成为组织各个层面和活动的组成部分,并得到实施。从风险管理原则可以看出,ISO31000风险原则除了包括COSO和《指引》的风险管理理念外,还提出风险管理成为决策的组成部分,充分体现风险管理的重要性。价值的充分体现。

图3. 风险管理原则、风险管理架构和风险管理流程之间的关系图

三、比较分析结论与实施建议

根据全面风险管理的目标和覆盖范围,全面风险管理可以划分三个阶段,初级阶段、中级阶段和高级阶段。初级阶段主要关注经营目标,在企业内开始导入全面风险管理,风险管理的理念、方法和工具处于试用阶段,企业内部需要逐步形成统一的风险语言和广为接受的风险管理方法、措施、政策、职责分配以及风险管理流程和关键经营活动融合的过程,风险管理处于探索和价值逐步接受过程。风险管理中级阶段,风险管理逐步被接受,且提出了更高的要求,将风险管理提升到战略层面,和战略进行整合,保障战略目标的实现,发挥风险管理的价值创造和价值保持作用。风险管理高级阶段,风险管理应用于决策过程,为决策提供信息基础,并有机的与企业的内外环境、组织、文化和战略相融合现代企业管理论文,并随着内外部环境的变化而变更,成为企业的竞争力的重要来源。

从以上对各全面风险管理框架的概念、流程和架构的比较分析可以看出, ISO31000风险管理标准风险管理的范围和理念以及整个框架相对比较完善,适用于风险管理高级阶段。COSO风险框架将风险管理提升到战略层面,适用于风险管理中级阶段,但COSO风险框架仅提出了风险管理的要素和风险管理的目标,并未提出风险管理体系。《指引》适用于风险管理初级阶段。ISO31000风险管理标准解决了以上所有的问题,阐述清了风险管理原则、风险管理构架和风险管理流程之间的关系,为全面风险管理的实施扫清的障碍。

因此,中国中央企业在全面建设风险管理框架时,以《指引》为基础,充分参考与借鉴COSO的目标设定内容以及ISO31000的风险管理标准的内容,使风险管理流程和风险管理体系有机融为一体。同时应该指出《指引》的内容是适应中国企业风险管理实践而制定的风险管理框架,随着风险管理实践的开展,企业应提升风险管理的范围,即将战略制定活动和保障战略目标的实现纳入全面风险管理的范围。最后,在实践中充分贯彻ISO31000风险管理的思想和内容,使风险管理向更高的阶段迈进,从而不断提高企业自身的风险管理能力和增强企业的核心竞争力。

参考文献

全面风险管理论文篇(7)

企业从无到有、从小到大的发展过程,如同人的成长要经历幼年、青年、中年、老年等阶段一样,也要经历不同的阶段。在每一阶段上都具有不同的特征和遇到不同的困难。随着现代社会的发展,经济环境变得瞬息万变,市场竞争越来越激烈。与此同时,企业需要面对的问题越来越多,面临的风险也越来越大,这样就迫使企业必须花费更多的精力对付各种风险。

在市场经济中有许多失败的企业,他们的失败各有其因,但也有一些共同的原因,那就是不重视风险管理,对风险的控制力非常弱。本文研究的问题是面对永远在变化着的社会环境和经济环境,企业如何运用内部审计的理论、方法、程序分析自身风险管理现状,找出问题和不足,提出改进措施和建议,运用先进的风险管理理论对动态变化的风险进行管理,从而实现目标,使企业能够长期生存发展。

风险管理理论发展至今,不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解,于是产生了不同的理论派别。本文的理论框架主要来源于美国COSO委员会2004年9月制定的《企业风险管理——整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准-专业实务框架》。

一、公司简介

某集团有限公司是中国最大的肉制品生产企业之一,其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市,拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验,集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年,冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品,自2002年至2004年,其市场占有率连续三年位居中国大型零售商销售首位。

二、公司风险管理要素审计评价程序及结论

尽管某集团在香港联合交易所主板上市,但其实质还是一家中国民营企业,其并没有建立专门的风险管理组织机构、人员、系统,公司风险管理处于“凭感觉进行风险管理”的阶段,只是由管理层根据调查分析、经验总结,识别、列出公司面临的四大类十三种主要风险,并制定了一些防范措施。公司审计部作为监督检查部门,每年至少两次从集团层面对风险管理进行整体评价,并在每季度对分、子公司执行例行审计过程中,重点关注风险管理状况。以下试从集团公司层面,以《COSO风险管理——整合框架》(以下简称COSO框架)中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。

(一)内部环境

1.理论描述。内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。

2.审计评价程序。

(1)设计风险相关文化调查表对风险管理的内部环境进行调查;

(2)审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观。

3.审计评价结论。公司的风险管理理念属于风险偏好型,提倡抓住机会,大胆开拓。但对风险管理理念没有一个书面的说明性的陈述,这些理念存在于董事会及高级管理层的头脑中,通过收购决策、政策、行为准则、各种规章制度反映出来并加以强化。

(二)目标设定

1.理论描述。设定战略层次的目标,为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险,确定目标是有效的事项识别、风险评估和风险应对的前提。

2.审计评价程序。

(1)获取管理层对目标的书面陈述;

(2)通过访谈、询问,获取公司员工对公司目标的知晓、理解程度的信息;

(3)通过查阅管理层的述职报告,获取目标实现进展情况的信息。

3.审计评价结论。公司管理层对风险管理目标没有明确的书面陈述,公司员工对公司的目标知之甚少,经审计调查总结,目标如下:

战略目标:创中国第一肉食品品牌;

经营目标:顾客满意最大化,品牌价值最大化;

报告目标:财务报告真实、完整,符合《上市规则》要求;

合规目标:遵循国家、行业、企业的法律、法规、制度。

(三)事项识别

1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话,并确定它们是否代表机会,或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对。

2.审计评价程序。

(1)查阅行业有关资料,询问、访谈高层、中层、一般职工,审查风险识别是否充分、全面;

(2)审查风险识别过程资料,判断是否根据内外部环境的变化定期进行修正。

3.审计评价结论。公司管理层根据调查分析、经验总结,识别、列出公司面临的四大类(行业风险,业务风险,财务风险,合规风险)十三种主要风险:

(1)爆发动物疫情;

(2)突然而来的业务干扰;

(3)消费者口味及喜好的变化;

(4)产品质量出现问题而导致对人身的伤害;

(5)原材料价格波动;

(6)产品未能迎合市场需求;

(7)主要管理层的流失;

(8)其他实体误用、盗用本公司商号(商标);

(9)资金安全管理;

(10)资产安全管理;

(11)会计系统故障;

(12)违反《上市规则》;

(13)违反食品管理、环保法规有关法律规定。

经审计调查,公司管理层对风险识别较为充分,且计划每年分两次(期中和期末)对公司面临的风险进行全面的核查,若发现风险变化,即使进行调整,但未能严格实施。而对于机会,管理层没有进行专门识别。

(四)风险评估

1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估,并且通常采用定性和定量相结合的方法。

2.审计评价程序。获取管理层对风险进行定性评估的资料,评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估,由于缺乏相关的人才、技术、资料,尚未对风险进行过定量分析。公司管理层计划每年分两次(期中和期末)对公司面临的风险进行全面的核查和平谷,若发现风险变化,及使进行调整修正,但未能严格实施。

(五)风险应对

1.理论描述。在评估了相关的风险之后,管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。

2.审计评价程序。通过访谈、询问,了解管理层采取的风险应对策略及理由,评价其合理性。

3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施,从风险应对的角度看多为预防性措施,以降低风险发生的可能性,而没有采取购买保险等风险分担措施。

(六)控制活动

1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构。它们包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。

2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险,制定了防范措施,审计部门相应地制订了审计评价程序。

3.审计评价结论。经审计调查,公司管理层对于风险管理的控制活动要素较为重视,制定的风险防范措施较为全面、严密、可操作,大部分得到了严格有效执行,但也有部分单位未能严格执行风险防范措施。

(七)信息与沟通

1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息,以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。

2.审计评价程序。

(1)走访公司IT部和公司内部报刊编辑部,了解评价公司的信息系统的建设和运转情况。

(2)访问公司网站,观察其运转情况;

(3)使用公司的局域网、内部电话网,阅读公司内部报刊,评价其运转情况和功效发挥情况。

3.审计评价结论。公司设立了IT部,建立了较为完备、先进的信息管理系统,通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递,并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。

(八)监控

1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。

2.审计评价程序。

(1)审查内部定期(每天、每周、每月)上报的管理报表(报告),评价风险管理日常监控职能发挥情况;

(2)审查内部审计部门的审计计划、风险管理审计报告,评价其监控职能的发挥情况。

3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控;通过内部审计部门对公司所控制的所有单位、项目进行例行审计,报告中时常反映一些被审单位风险管理状况的信息,对风险管理的监控较为及时,但对公司总部层面的风险监控较为薄弱。

三、结语

企业要想在市场经济的大潮中基业长青,必须对面临的各种风险进行系统地、全面地管理,这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具,结合本企业具体实际情况,对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价,查找问题和不足,对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善,逐步建立企业风险管理系统,是解决风险管理问题的最佳实务。企业应当增强风险意识,逐步建立险管理系统,为企业保驾护航,这样企业才能在市场经济的大海中劈波斩浪,扬帆远航。

参考文献:

全面风险管理论文篇(8)

随着国际一体化、资本市场一体化的加快,资本市场给我们提供了巨大的商机,但与此同时也带来了许多之前没有遇见过的不确定性因素,企业将面对更为复杂的市场经济环境以及不断增加的风险因素,并且现代公司的经营权和所有权进行了分离,公司的核心价值得以扩大,企业的价值链得以延伸,职业经理人阶层这个新的特殊阶层的出现,都使得经营风险变得更加复杂更加突出,公司各个阶层之间出现分歧和冲突,公司股东、所有者以及高级管理层之间的利益关系变得更加复杂,公司的生存状况不容乐观。卡德伯利报告以及COSO委员会《内部控制———整合框架》报告的出台,标致着风险管理已经进入了现代风险管理时期,在这个时期风险管理理论和实践都取得了长足的进步。2002年以后风险管理进入全面风险管理阶段。20世纪末至21世纪初世界经济的复苏,一种新的造假行为应运而生。在接下来的时间里,网络泡沫不断扩大,新的经济政策遇到阻碍,美国的一些著名企业也连续发生财务造假事件。这些财务丑闻都对股东造成了巨大的影响,使他们遭受了巨额的损失,并且手段极其恶劣,使得企业财务和股票交易在美国公民心中的可信度急速下降。为了能够使投资者找回信心,使企业在大家心中重新树立形象,美国国会在2002年7月通过了萨班斯———奥克斯利法案(SOX)。以萨班斯———奥克斯利法案(SOX)的通过为标志,再加上2004年6月及9月《巴塞尔新资本协议》和COSO的《风险管理———整合框架》的颁布,风险管理已经进入了以实现公司的发展战略为目标,以风险的效益为价值取向的后现代风险管理阶段,即全面风险管理阶段。在此基础上COSO将风险管理理论体系进一步进行了完善和丰富,吸收了加拿大的CO-CO以及英国Turnbull的研究成果,并于2004年在结合之前《内部控制———整合框架》的基础上提出了全面风险管理的框架,即《企业风险管理———整合框架》(ERM)。

(二)企业全面风险管理的内涵目前,对于企业全面风险管理的概念众说纷纭,但究其内涵,2004年美国COSO委员会出台的《企业风险管理———整合框架》对企业全面风险管理概念的阐述,是目前国际上大家基本认同的观点。全面风险管理在制定企业经营目标时就考虑到了风险因素,整个体系也贯穿在企业的整个管理过程当中,涵盖了企业经营的方方面面。COSO所提倡的全面风险管理不仅包括对企业战略目标以及风险管理目标的设定,还包括企业经营的各个方面。如管理人员的聘用,风险评估方法的选择,预算的管理,以及出示报告的程序等等。对于企业的风险偏好、风险承受能力、压力测试等一些新的概念及方法也是由全面风险管理框架所引入的。所以,全面风险管理框架在识别风险,衡量风险的基础上,更能促进企业的战略目标和风险目标相一致,利益与风险相互联系,利用风险信息来进行决策等等,进而能够帮助企业创造更多的价值,帮助管理层实现全面风险管理的目标。COSO委员会出台的《企业风险管理———整合框架》是一个多维的立体的框架,它一共包含了3个维度。这种形象的表现形式使得控制和管理对象更容易理解,把复杂的问题简单化,从而起到解决管理和控制中所存在的问题。目标体系是整个框架的第一个维度,管理要素是全面风险管理框架的第二个维度,它由8个相互关联的要素构成,这些要素贯穿于企业经营管理的整个过程中。第三个维度(侧面维度)是主体单元,包括集团、部门、业务单元、分支机构4个层面。

二、我国商业银行全面风险管理存在的问题

国际上多次出现的金融危机和大银行倒闭事件,引起了世国各国对银行业风险监管的重视。同样,我国也毫不例外,特别是在亚洲金融风暴以后,我国银行监管部门加强了对银行业的风险监控,出台了一系列关于风险监管的指导性文件,如:《商业银行内部控制指引》、《商业银行资本充足率管理办法》、《商业银行市场风险管理指引》、《关于加大防范商业银行操作风险管理工作力度的通知等风险监管规章或规范性文件。建立有效的风险控制机制,已经成为我国商业银行面临的重大、紧迫任务。然而,我国银行业在实施全面风险管理的过程中仍然存在一些问题。

(一)风险管理文化的理念尚未建立风险管理文化是企业内部控制中的软因素,决定着企业风险管理的理念和意识。我国商业银行的风险管理起步较晚,因而风险管理文化氛围不浓,风险管理意识比较落后。但商业银行经营的外部环境无时无刻都在发生着变化,这就要求商业银行要将风险管理理念渗透到日常经营的每个环节和岗位,并逐渐内化为员工的工作态度和习惯,渗透于银行的整个经营活动当中,力求最大限度地发挥员工在风险管理方面的主动性、积极性和创造性,在整个银行体系内形成一种风险控制的文化氛围,形成一种风险防范的道德评价和职业环境。但是,虽然我国商业银行已经建立了相应的风险管理规章制度,但风险管理文化是一个长期培养的过程,它需要企业上下级的层层推进,要将风险管理的理念贯彻到每一个员工和工作的每一环节,只靠空洞的教条显然不够。我国商业银行没有将风险管理的理念贯彻到商业银行业务拓展和经营管理的全过程,往往把风险管理和风险控制看作是单纯风险管理相关部分的职责范围。

(二)风险管理的组织结构还不完善从世界银行风险管理的实践来看,在独立性和程序性原则方面,风险管理应该逐步独立于其业务发展部门和支持保障部门,审计部门完全独立于银行业务发展、综合管理和支持保障等部门,直接向银行决策层负责。这种风险管理组织结构的设置,能够保证银行风险管理事前授权审批、事中执行和事后审计监督的独立性,体现现代商业银行风险内部控制管理的程序性和独立性原则。但是,我国绝大多数商业银行还没有建立起独立经营、能够有效管理银行各种风险的管理体系和管理部门,银行风险管理缺乏有效的运行机制和组织保障。一是商业银行管理体制不健全、缺乏独立性,受外部环境的干扰较多;二是没有形成完善、科学、有效的岗位职责体系,各个部门职责不清、业务边界不明,各个业务部门各自为政、分头管理,要么出现业务管理的真空地带,要么出现业务的撞车现象,难以实现有效的风险监控;三是风险管理在组织结构方面尚有待优化,风险管理仍集中在信用风险领域,市场风险和操作风险还没有被纳入重要的管理领域;四是国内银行分支行普遍未设立综合风险管理部门,内部审计职能有待拓展。

(三)风险管理技术与方法落后现代商业银行的信用风险管理技术发展很快,与传统的信用风险管理主要依赖定性分析与主观判断截然不同。现代信用风险管理越来越注重定量分析,而且分类科学、量化准确,大量运用金融工程技术和数理统计模型。结合我国商业银行风险管理的实践来看,它们运用的方法比较落后,大多只进行定性分析,主要是运用经验分析的方法,主动性过强。另外,现代信用风险管理技术运用依赖的风险管理信息系统还没有建立,现代信用风险管理的人才还非常缺乏,大量科学、有效、先进的风险管理技术无法运用到日常的经营业务当中,无法建立资产组合管理模型,无法准确掌握风险的敞口,这直接影响了风险管理的科学决策。受技术与管理方法落后的影响,我国商业银行风险管理的工作重心主要集中于转化、清收、核销上,即资产风险事后的管理上,而在防范、控制等方面———即对资产风险的事前、事中控制所做的工作甚少,尤其是专门的风险监测和预警系统,对于早期风险的防范仍是一片空白。

(四)风险管理人才匮乏现代风险管理技术与方法的运用离不开专业的技术人才,这就要求风险管理员工必须接受过系统的教育和严格的专业训练,否则将很难理解业务和产品的风险性质,更难以采取适当的风险防范措施。然而,由于现代风险管理在我国起步较晚,大专院校还没有建立起完善的教育培训体系,学校教育与商业银行实践还没有形成有效的信息反馈机制,学生所掌握的知识与实践要求严重脱节,因而学校培养出的人才并不能满足现代风险管理的要求,从而使我国金融风险管理人才相当匮乏。

三、我国商业银行实施全面风险管理的有效途径

从上面的分析可知,我国商业银行要建立完善、有效的风险管理体系,必须从理念、体制、人才等几个方面着手。

(一)确立稳健经营的理念,构建先进风险管理文化随着时间的推移,风险管理由传统风险管理阶段进步到全面风险管理阶段,这不仅仅是企业在管理理念方面的进步,更是商业银行在风险管理文化上的进步。商业的环境因素在全面风险管理体系中得到了更大的重视,提出风险观的概念也是其鲜明的特点之一,主张银行的每一名员工都参与到风险管理的过程中来,上到高层管理者下至最普通的员工都要树立起风险的意识,要求在银行文化中要融合风险管理文化。风险管理文化对于推进风险管理的作用是至关重要的,应当使其扎根于商业银行日常经营业务活动之中,创造适当的合规文化以及风险文化。这样,银行的日常运作就可以把风险管理当做一个中心部分,每一名员工都能够参与到银行的全面风险管理过程中来,这样银行的全面风险管理才是高效和成功的。全面风险管理不仅是一种体系更应该是商业银行全体人员的一种风险理念,风险管理是银行所有员工的责任,并且在银行经营管理的每一个过程中都要有所体现。应该用风险管理文化来引导商业银行每一个员工的日常行为,全员加入其中,并且形成共同的整体的风险管理理念,每一名员工自觉遵守,这样商业银行才能打造出真正的风险管理文化。

全面风险管理论文篇(9)

企业从无到有、从小到大的发展过程,如同人的成长要经历幼年、青年、中年、老年等阶段一样,也要经历不同的阶段。在每一阶段上都具有不同的特征和遇到不同的困难。随着现代社会的发展,经济环境变得瞬息万变,市场竞争越来越激烈。与此同时,企业需要面对的问题越来越多,面临的风险也越来越大,这样就迫使企业必须花费更多的精力对付各种风险。

在市场经济中有许多失败的企业,他们的失败各有其因,但也有一些共同的原因,那就是不重视风险管理,对风险的控制力非常弱。本文研究的问题是面对永远在变化着的社会环境和经济环境,企业如何运用内部审计的理论、方法、程序分析自身风险管理现状,找出问题和不足,提出改进措施和建议,运用先进的风险管理理论对动态变化的风险进行管理,从而实现目标,使企业能够长期生存发展。

风险管理理论发展至今,不同的学科、不同的专业机构、团体、研究学者有不同的认识和理解,于是产生了不同的理论派别。本文的理论框架主要来源于美国coso委员会2004年9月制定的《企业风险管理——整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准-专业实务框架》。

一、公司简介

某集团有限公司是中国最大的肉制品生产企业之一,其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市,拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验,集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年,冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品,自2002年至2004年,其市场占有率连续三年位居中国大型零售商销售首位。

二、公司风险管理要素审计评价程序及结论

尽管某集团在香港联合交易所主板上市,但其实质还是一家中国民营企业,其并没有建立专门的风险管理组织机构、人员、系统,公司风险管理处于“凭感觉进行风险管理”的阶段,只是由管理层根据调查分析、经验总结,识别、列出公司面临的四大类十三种主要风险,并制定了一些防范措施。公司审计部作为监督检查部门,每年至少两次从集团层面对风险管理进行整体评价,并在每季度对分、子公司执行例行审计过程中,重点关注风险管理状况。以下试从集团公司层面,以《coso风险管理——整合框架》(以下简称coso框架)中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。

(一)内部环境

1.理论描述。内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。

2.审计评价程序。

(1)设计风险相关文化调查表对风险管理的内部环境进行调查;

(2)审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观。

3.审计评价结论。公司的风险管理理念属于风险偏好型,提倡抓住机会,大胆开拓。但对风险管理理念没有一个书面的说明性的陈述,这些理念存在于董事会及高级管理层的头脑中,通过收购决策、政策、行为准则、各种规章制度反映出来并加以强化。

(二)目标设定

1.理论描述。设定战略层次的目标,为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险,确定目标是有效的事项识别、风险评估和风险应对的前提。

2.审计评价程序。

(1)获取管理层对目标的书面陈述;

(2)通过访谈、询问,获取公司员工对公司目标的知晓、理解程度的信息;

(3)通过查阅管理层的述职报告,获取目标实现进展情况的信息。

3.审计评价结论。公司管理层对风险管理目标没有明确的书面陈述,公司员工对公司的目标知之甚少,经审计调查总结,目标如下:

战略目标:创中国第一肉食品品牌;

经营目标:顾客满意最大化,品牌价值最大化;

报告目标:财务报告真实、完整,符合《上市规则》要求;

合规目标:遵循国家、行业、企业的法律、法规、制度。

(三)事项识别

1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话,并确定它们是否代表机会,或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对。

2.审计评价程序。

(1)查阅行业有关资料,询问、访谈高层、中层、一般职工,审查风险识别是否充分、全面;

(2)审查风险识别过程资料,判断是否根据内外部环境的变化定期进行修正。

3.审计评价结论。公司管理层根据调查分析、经验总结,识别、列出公司面临的四大类(行业风险,业务风险,财务风险,合规风险)十三种主要风险:

(1)爆发动物疫情;

(2)突然而来的业务干扰;

(3)消费者口味及喜好的变化;

(4)产品质量出现问题而导致对人身的伤害;

(5)原材料价格波动;

(6)产品未能迎合市场需求;

(7)主要管理层的流失;

(8)其他实体误用、盗用本公司商号(商标);

(9)资金安全管理;

(10)资产安全管理;

(11)会计系统故障;

(12)违反《上市规则》;

(13)违反食品管理、环保法规有关法律规定。

经审计调查,公司管理层对风险识别较为充分,且计划每年分两次(期中和期末)对公司面临的风险进行全面的核查,若发现风险变化,即使进行调整,但未能严格实施。而对于机会,管理层没有进行专门识别。

(四)风险评估

1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估,并且通常采用定性和定量相结合的方法。

2.审计评价程序。获取管理层对风险进行定性评估的资料,评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。

3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估,由于缺乏相关的人才、技术、资料,尚未对风险进行过定量分析。公司管理层计划每年分两次(期中和期末)对公司面临的风险进行全面的核查和平谷,若发现风险变化,及使进行调整修正,但未能严格实施。

(五)风险应对

1.理论描述。在评估了相关的风险之后,管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。

2.审计评价程序。通过访谈、询问,了解管理层采取的风险应对策略及理由,评价其合理性。

3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施,从风险应对的角度看多为预防性措施,以降低风险发生的可能性,而没有采取购买保险等风险分担措施。

(六)控制活动

1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构。它们包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。

2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险,制定了防范措施,审计部门相应地制订了审计评价程序。

3.审计评价结论。经审计调查,公司管理层对于风险管理的控制活动要素较为重视,制定的风险防范措施较为全面、严密、可操作,大部分得到了严格有效执行,但也有部分单位未能严格执行风险防范措施。

(七)信息与沟通

1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息,以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。

2.审计评价程序。

(1)走访公司it部和公司内部报刊编辑部,了解评价公司的信息系统的建设和运转情况。

(2)访问公司网站,观察其运转情况;

(3)使用公司的局域网、内部电话网,阅读公司内部报刊,评价其运转情况和功效发挥情况。

3.审计评价结论。公司设立了it部,建立了较为完备、先进的信息管理系统,通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递,并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。

(八)监控

1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。

2.审计评价程序。

(1)审查内部定期(每天、每周、每月)上报的管理报表(报告),评价风险管理日常监控职能发挥情况;

(2)审查内部审计部门的审计计划、风险管理审计报告,评价其监控职能的发挥情况。

3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控;通过内部审计部门对公司所控制的所有单位、项目进行例行审计,报告中时常反映一些被审单位风险管理状况的信息,对风险管理的监控较为及时,但对公司总部层面的风险监控较为薄弱。

三、结语

企业要想在市场经济的大潮中基业长青,必须对面临的各种风险进行系统地、全面地管理,这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具,结合本企业具体实际情况,对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价,查找问题和不足,对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善,逐步建立企业风险管理系统,是解决风险管理问题的最佳实务。企业应当增强风险意识,逐步建立险管理系统,为企业保驾护航,这样企业才能在市场经济的大海中劈波斩浪,扬帆远航。

参考文献:

全面风险管理论文篇(10)

 

一、引言

随着安然、世通、帕马拉特以及“银广夏”事件的出现,风险导向审计作为一种重要的审计理念和方法,受到了国内外审计理论界和实务界的广为关注。近年来,国际金融形势复杂多变,公司面临的风险日益加剧,能否对风险进行有效的管理和控制,在一定程度上取决于完善的公司治理体系。而内部审计在公司治理中的特殊地位和重要作用,决定了其在风险导向审计方面的重要地位。无论是国际内部审计师协会,还是中国的内部审计准则都强调了内部审计在公司风险管理中的重要性。

从20世纪90年代中后期开始,国外学者开始关注风险导向内部审计理论的研究,国内学者陈毓圭(2004)在分析了国外职业界以及国际审计与鉴证准则理事会对风险导向审计方法改进的历史后,提出了传统的风险导向审计方法已经不能满足审计业务的需要,急需修改的观点。目前,西方内部审计理论与实践都已经进入了风险导向内部审计阶段。但是,在中国,风险导向内部审计在其框架和具体实施方法方面还存在着不少的争议和困难。

因此,本文将从相关文献的回顾入手,在了解风险导向内部审计的发展现状的基础上,对构建公司风险导向内部审计体系提出几点建议财务论文,以进一步完善风险导向内部审计的框架。

二、相关文献的回顾

进入21世纪以来,中国有很多学者开始关注风险导向内部审计方面的研究,严晖(2004)从管理学角度出发,认为战略管理理论的出现,促进了内部审计由管理导向迈向风险导向阶段。风险导向内部审计的发展深受以迈克尔·波特为代表的战略管理理论以及迈克尔·哈默及詹姆斯·钱皮的企业再造理论的影响。并从国际内部审计协会对风险、内部审计等相关概念的定义出发,构筑了风险导向内部审计理论结构框架。

王晓霞、孙坤、张宜霞(2004)通过从内部审计的定义,首席审计师的概念以及剩余风险3个方面比较分析了国际内部审计协会2001年版《内部审计实务标准》的新变化,指出了2001年版本始终贯穿着风险审计的主导思想,并在研究了风险管理的目标、原则、步骤的基础上,提出了风险导向的内部审计程序。

徐德(2005)立足于COSO委员会提出的《企业风险管理框架》,通过分析风险的特征以及多种分类模式,提出内部审计的开展要与经营风险管理的要求,与公司各级风险管理组织相配合,并且要全过程参与风险审查,进而研究了规避和减少风险的措施与决策,进一步丰富和发展了对内部审计的风险管理控制方法。

孟焰、潘秀丽(2006)分析了风险的实质和分类以及风险管理的内涵,认为对公司风险管理进行监督和评价是现代内部审计发展的结果,风险管理审计的目标取决于对公司内部审计的功能定位。在此基础上,明确了内部审计机构和人员对公司风险管理过程的审查和评价的目标和主要内容,并指出对公司风险管理的有效性进行审查和评价是现在公司内部审计的一个新的领域免费论文。

路媛媛、袁洋(2008)从COSO委员会提出的《企业风险管理框架》产生的背景和风险导向内部审计产生动因出发,阐述了风险导向内部审计的特点和风险导向内部审计与ERM的互动关系,指出公司内部审计参与企业风险管理的必要性,以及风险导向内部审计的发展现状,并且从4个方面提出了风险导向内部审计的实施措施。

邸丛枝、于富生(2009)梳理了国际和国内有关内部审计定义的发展历程,分析了内部审计和风险管理的关系,认为内部审计和风险管理是相辅相成的,内部审计是风险管理的重要组成部分,风险管理是内部审计确认和咨询的对象。并且从内部审计的目标、服务对象、职能、方法等6个方面入手,提出了基于风险管理的内部审计的框架。

国内学者们历年来的这些研究对风险导向内部审计在中国的实施和发展具有很大的推动作用,但是,从文献的梳理过程中可以看出,大部分文献比较重视对风险和风险管理的研究,比较关注风险导向审计目标、内容和程序的分析,很少有文献对风险管理和内部审计两者关系进行详细的分析,也很少出现对风险导向内部审计在实际运用中遇到的问题的探讨,以及对风险导向内部审计的实施措施的研究。

三、风险导向内部审计的发展现状

随着全球经济的快速发展,审计模式经历了账项基础审计、制度基础审计、风险基础审计和风险导向审计4个阶段的发展(胡春元,2009)。现代社会日益激烈的市场竞争和高度膨胀的经营风险,促进了风险导向审计的进一步发展。公司所处的经营环境的变化财务论文,经营风险的大大增加,同时,对公司内部审计的要求也越来越高。为了维持公司可持续发展,风险导向内部审计这种有效和灵活的审计模式便得到了广泛的运用。

(一)开展风险导向内部审计的意义

为了适合经济活动发展的需要,风险导向内部审计模式被广泛运用到公司的经营活动中去。风险导向内部审计不仅能全面关注公司的经营情况,充分识别公司所面临的风险,又能有效配置公司的资源,具有很大的现实意义。而传统内部审计模式只关注公司报表的错报风险,忽视了对公司经营环境与经营风险的评估,已不能满足公司的发展需要。

其次,风险导向内部审计能适应公司目标的多样化,它能对公司的这些目标进行风险评估,了解公司所面临的风险,从而提出防范措施和改进意见,使公司的经营风险降到最低。在事后,对这些风险进行后续评估,可以了解到防范措施的有效程度,有利于公司将来对这些风险进行规避。

作为公司重要组成部分的内部审计机构和内部审计人员,独立于公司的经营管理部分,而且非常了解公司的经营目标和经营流程。由他们开展风险导向内部审计工作,不仅可以随时随地对公司的经营活动展开审查,而且还可以深入到公司经营中极其细微的环节,及时了解公司日常管理中的缺陷,更有利于公司管理体系的完善,实现公司经营目标,增加公司价值。因此,风险导向内部审计在中国公司里有着广阔的应用前景。

(二)风险导向内部审计发展现状

早在2001年,国际内部审计协会就开始强调内部审计要参与工地风险管理过程,这对促进和推动风险导向内部审计的发展具有极大的现实意义。近年来,随着公司经营环境的扩大,经营内容的日趋复杂。面对复杂多变的经济活动,风险导向内部审计更加突出对风险的识别、计量和预测。由于内部审计部门和内部审计人员参与公司风险管理过程,对公司面临或者将要面临的各种经营风险更了解,就更有利于公司健康快速地发展,实现公司的经济效益。

目前,已经有不少公司在日常经营中推进了风险导向内部审计的应用,但还是出现了不少的困难。不同经营范围,不同规模的公司,其所推行的风险导向内部审计模式应是有差异的财务论文,其所负担的成本也是有差异的。因为不同的公司面临的经营风险是不同,其内部审计人员对经营风险的划分也是不同的,也就是说公司的风险管理体系是不同的,内部审计人员的专业胜任能力也是不同的,公司所能负担成本的能力也是不同的。

风险导向内部审计对公司内部审计机构和审计人员的专业胜任能力有很高的要求,即需要具备较高的风险识别能力和丰富的工作经验,而大多数公司的内部审计机构和内部审计人员很难充分识别公司所面临的风险,并对其进行防范。大多数内部审计机构和内部审计人员很难配合风险导向内部审计工作的开展,缺乏风险识别知识,不具备指导管理的意识。

另一方面,风险导向内部审计还处于发展阶段,缺少完善的理论体系的支撑,也没有配套的全面的运作模式。虽然很多公司已经大力推广风险导向内部审计的运用,但审计方法并没有跟上,还是停留在传统的审计方法上,也没有学习国际上有关风险导向内部审计的技术和方法,不能完全发挥风险导向内部审计的作用。

四、对在中国实行风险导向内部审计的政策建议

近几十年来,中国市场经济发生了巨大的变化,全球化进程的进一步加深推动了中国很多公司开始实施风险导向内部审计,以适应经济的发展和公司内部的需求。由于这种审计模式还处于发展阶段,且其与传统的审计模式在技术、方法等方面存在着很大的差异。因此,公司要全面实行风险导向内部审计要注意很多问题。

(一)全面推行风险导向内部审计模式,重视内部审计的独立性

公司应在全面推行风险导向内部审计模式的同时,重视内部审计机构和审计人员的独立性免费论文。独立性是对开展公司风险导向内部审计的最低要求。没有独立性,就没有任何审计质量可言。

内部审计机构和审计人员独立于公司经营管理部门之外开展审计工作,是风险导向内部审计的前提。只有在独立于公司其他部门的情况下开展风险导向内部审计工作,才能全面参与公司的日常运作,客观地对公司所面临的风险进行评估,这样,才能及时地发现公司管理体系的漏洞,有效地提出改善建议,降低公司的风险,完善公司的管理体系,提高公司的经济效益。

(二)加强对内部审计人员专业知识的培训,提高内部审计人员的专业胜任能力

内部审计人员是内部审计机构的重要组成部分,也是开展风险导向内部审计工作的主体,只有内部审计人员充分掌握专业知识和专业技能,才能满足风险导向审计对内部审计人员的要求,公司才能有效地开展风险导向内部审计工作。因此财务论文,公司应加强对内部审计人员的培训,提高他们的专业胜任能力。

风险导向内部审计不同于传统的审计模式,对风险识别和公司治理领域等相关知识有很高的要求。只有内部审计人员拥有较高的风险识别能力的情况下,才能有效地识别公司所面临的风险,及时提出防范措施。只有内部审计人员具备公司治理相关领域的知识的情况下,才能真正参与到公司日常运作中,发现公司管理体系的漏洞,及时提出整改意见。

(三)建立健全公司内部治理机制和风险管理体系

审计质量的高低不仅取决于审计的独立性和内部审计人员的专业胜任能力,还取决于公司内部治理机制和风险管理体系的完善程度。风险导向内部审计的开展主要是对公司所面临的所有风险进行评估,进而提出防范措施。因此,要有效地开展风险导向内部审计工作,就要建立健全公司内部治理机制和风险管理体系。

只有公司拥有比较健全的内部治理机制,才能明确每个审计人员的工作范围,有效地进行资源配置,降低公司的成本。只有公司拥有比较健全的风险管理体系,内部审计人员才能全面参与到公司的风险管理过程中去,及时地发现风险,提高公司价值。

风险导向内部审计是内部审计领域的进一步发展,国外对其理论研究与实践也处于初级阶段。中国公司开展风险导向内部审计比西方国家要晚很多,与西方发达国家还存在着一定的差距,在理论与实践中还有很多问题有待于进一步解决。但随着经济全球化的进一步发展,风险导向内部审计将会有更好的发展,其理论体系和实际应用将得到完善。

责任编辑:

参考文献

(1)蔡春、赵莎等:《现代风险导向审计论》,中国时代经济出版社,2006年。

(2)胡春元:《风险导向审计》,东北财经大学出版社,2009年。

(3)张坤、李嘉明、周和生等:《风险管理与内部审计》,北京工业出版社,2004年。

(4)陈毓圭:《对风险导向审计方法的由来及其发展的认识》,《会计研究》,2004年第2期。

(5)陈武朝:《内部审计有效性与持续性改进》,《审计研究》,2010年第3期。

(6)邸丛枝、于富生:《内部审计的新发展——基于风险管理的视角》,《财会通讯》,2009年第12期。

(7)高伟、李晓慧:《风险导向审计与独立审计准则的运用》,《审计研究》,2004年第3期。

(8)刘峰、许菲:《风险导向型审计·法律风险·审计质量──兼论“五大”在我国审计市场的行为》,《会计研究》,2002年第2期。

(9)黎志刚:《提高现代风险导向审计质量的对策》,《中国注册会计师》,2009年第8期。

(10)孟焰、潘秀丽:《企业风险管理审计研究》,《审计研究》,2006年第3期。

(11)严晖:《风险导向内部审计:背景分析与框架建构》,《财会通讯》,2004年第6期。

(12)王咏梅、吴建友:《现代风险导向审计发展及运用研究》,《审计研究》,2005年第6期。

(13)王晓霞、孙坤、张宜霞:《论风险导向的内部审计理论与实务》,《审计研究》,2004年第2期。

(14)汪月祥、杨文蔚:《金融危机下的风险导向审计对策》,《中国注册会计师》,2009年第11期。

(15)徐德:《论现代内部审计的风险管理控制方法》,《审计研究》,2005年第2期。

全面风险管理论文篇(11)

1风险管理理论的兴起,发展及现状

风险管理问题最先起源于第一次世界大战后的德国。1931年美国管理协会首先倡导风险管理,并在以后的若干年里,以学术会议及研究班等多种形式集中探讨和研究风险管理问题。风险管理问题逐渐得到了理论探讨和一些大企业的初步实践,但风险管理问题真正在美国工商企业中引起足够的重视并得到推广则始于50年代。1963年,美国出版的一本手册中刊载了《企业的风险管理》一文,引起欧美各国的普遍重视。此后,对风险管理的研究逐步趋向系统化,专门化,使风险管理成为企业管理中一门独立学科。风险管理协会的建立和风险管理教育的普及,表明风险管理已渗透到社会的各个领域。美国的风险与保险管理协会(RIMS)和美国风险与保险协会(ARIS)是美国最重要的两个风险管理协会。1978年日本风险管理协会(JRMS)成立。英国建立有工商企业风险管理与保险协会(AIRMIC)。风险管理方面的课程及论著数量大增。70年代中期,全美大多数大学工商管理学院均普遍开设风险管理课。美国还设立了ARM(AssociateinRiskManagement)证书,授予通过风险管理资格考试者。协会的活动为风险管理在工商企业界的推广、风险管理教育的普及和人才培养诸方面作出了突出的贡献,促进了全球性风险管理运动的发展。1983年在美国风险与保险管理协会年会上,云集纽约的各国专家学者,讨论并通过了“101条风险管理准则”,作为各国风险管理的一般原则。这标志着风险管理已达到一个新的水平。1986年10月在新加坡召开的风险管理国际学术讨论会表明,风险管理运动已经走向全球,成为全球范围的国际性运动。现在风险管理理论是风险全过程管理理论,也即是说整个的风险管理过程是一个闭环系统。随着风险处置计划的实施,风险会出现许多变化,这些变化的信息可及时反馈,风险预测和识别者就能及时地对新情况进行风险评估和分析,从而调整风险处置计划并实施新的风险处置计划,这样循环往复,保持风险管理过程的动态性就能达到风险管理的预期目的。其新的发展趋势是整和管理,即充分整和企业的资源来应对风险。世界项目管理大会把对项目的风险管理作为大会的四大主题之一,以及各种期刊上有关项目风险管理论文的不断增加,都表明人们已极为重视对项目风险管理理论的研究。在实践上,现已涌现出不少新一代面向项目的企业——项目型公司,国外甚至还出现了专门从事风险管理工作的所谓风险管理公司。但是,目前在我国还很少有专门从事企业风险管理的咨询机构。

2房地产投资项目进行风险管理的现实意义

房地产开发企业要想使运作的项目达到预期的目的,就应当对其进行系统的风险管理,建立自己的风险防范体系,这对企业自身的发展甚至推动行业的规范化都有重要的意义。

(1)有利于房地产企业风险管理水平的提高,有利于企业资源达到最优配置,减少风险带来的损失及不良后果,从而促进其追求利润最大化目的的实现。

(2)促使房地产开发企业从被动应对风险向主动管理过渡。

(3)促使房地产开发企业增强应对风险的意识。古人云:“思其所以危,则安矣;思其所以乱,则治矣;思其所以亡,则存矣。”其字里行间透视出强烈的风险意识观念。在当今这个风起云涌,变化莫测,竞争异常激烈的社会中,我们的房地产投资者更应树立风险意识。

(4)促使房地产开发企业丰富其应对风险的手段。通常的房地产投资项目风险管理手段单一,不成体系。如在可行性研究阶段的敏感性分析,建设阶段的保函保险等,各自为战,很少考虑之间的相关性、系统性。

(5)促使房地产开发企业建立健全房地产投资项目风险管理体系。通过计划、控制、监督等多种管理智能,利用多种技术手段,对项目风险进行识别、分析、评价以及根据评价结果采取正确的处理策略,从而构成完整的风险管理体系。在房地产开发行业竞争日益激烈的今天,国家加强了对房地产开发用地、融资、资本金等多方面政策的规范,房地产开发群雄逐鹿中原的局面不会很久了,有一大批开发企业将消亡。开发企业面对增多的不确定因素和加大的风险,必须有风险意识,建立风险管理制度,采取有效手段,才能在未来房地产开发行业占有一席之地。

参考文献

[1]李洪娟.房地产项目投资风险评价研究[D].河北工业大学,2014.