论文部分内容阅读
摘 要: 2004年9月,COSO委员会正式发布了《企业风险管理——整体框架》。根据COSO的阐述,企业全面风险管理有四种目标和八个构成要素。ERM框架对风险管理构成要素的全新阐述,使得内部审计可以从审计最相关的角度参与企业的风险管理过程,对内部审计在风险管理过程中的目标设定、风险评估、风险应对、监控四要素进行分析,以期内部审计能够更积极持续地支持并参与风险管理过程,对风险管理过程进行监督与评价,使内部审计促进企业风险管理的完善得到落实。
关键词: 风险管理;风险导向内部审计;ERM框架
1 企业风险管理的目标和构成要素
2004年9月,COSO 委员会正式发布了《企业风险管理-整体框架》(简称ERM )。文中对企业风险管理定义如下:企业风险管理是一個过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯彻于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。
根据COSO的阐述,企业全面风险管理有四种类型的目标-战略、经营、报告、合规,包括八个构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。本文根据ERM框架,从目标设定、风险评估、风险应对、监控四个最相关的要素进行分析,完善内部审计在促进企业风险管理的作用。
2 目标设定
目标设定是风险事项识别、风险评估和设定风险管理战略的基础。企业风险管理战略,指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险降低、风险转移、风险自留等风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
风险降低策略是通过采用某些形式的进程或控制措施,达到降低风险的影响和或发生的频率的目的。风险降低有两方面的含义:一是降低风险发生的概率;二是一旦风险事件发生尽量降低其损失。
风险转移是指借用合同、协议、出售、分包、保险、套期保值等多种外部手段,在风险事件发生时将损失的一部分或全部转移到项目以外的第三方身上。
风险自留是由企业自己承担风险事故所致损失的风险管理技术。
企业风险管理策略,影响审计计划的制定及审计技术的采用。在制定审计计划过程中,审计人员必须理解企业对关键风险所采用的风险管理策略,找出最有效的审计关注点,根据不同的风险管理策略选择不同的审计范围和审计技术。
3 风险评估
风险评估使内部审计人员能够考虑潜在事项影响目标实现的程度。内部审计人员对企业风险的评估应从可能性和影响程度两个方面进行,单独或分类考察潜在事项的正面和负面影响,并且通常采用定性和定量相结合的方法。
3.1 定量分析
定量分析方法是对已被识别的风险进行量化估计, 通过公式:审计风险=固有风险×剩余风险,计算出风险值。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个主体所面临的风险;企业的风险控制活动会影响此类风险发生的可能性。剩余风险是在管理当局的风险应对后残余的风险,反映的是管理当局用来减轻固有风险的预定措施得以有效实施后仍然存在的风险。
剩余风险是风险导向审计需要关注的重点领域。较高的剩余风险很可能意味着较差的控制环境,它一般显示出较高的控制风险,或指向某项认定错报风险。对剩余风险的审计主要目的是将剩余风险降低至可接受水平,具体步骤如下:一了解管理当局确定可以接受的剩余风险水平, 二确认业务活动领域的剩余风险并进行优先排序,将主要审计资源分配到高风险领域,三在审计过程中发现企业未对某些重要风险采取管理措施时,审计师应同管理层沟通,向企业提出管理建议,协助企业预防或检查将来可能的错误。
3.2 定性分析
定量评价所需的数据难以获得时,应采用定性方法。不同背景、经验、职位的人对同一风险的判断可能不同。比如,上级主管出于整体考虑,认为某部门经营风险很高,而该部门负责人则认为风险已在控制范围之内。因此采用定性方法需要充分考虑相关部门或人员的意见, 以提高评估结果的客观性。内部审计人员处于特殊的独立地位, 可以从客观的角度分析风险的假设条件, 对风险进行评价, 提出专业意见。
4 风险应对
(1)风险应对措施的有效性,最直接的表现就是看在采取了该应对措施后能否将风险控制在组织可以接受的范围内。内部审计人员需要对剩余风险水平进行评估,确定剩余风险水平是否在组织可接受的范围内,如果已将风险降低到该范围内,那么该风险应对措施是有效的;否则是无效的。
(2)采取的风险应对措施是否适合本企业的经营、管理特点。除了风险应对措施是否有效之外,风险应对措施还应当强调适当性。
(3)成本效益的衡量与考核。风险管理是有成本的,风险应对措施是否适当还应当衡量其成本效益性。成本效益原则是内部审计与风险管理都必须要遵守的基本原则之一。
5 监控——后续审计与监督
企业风险管理是个不断变化的过程。因此,不可避免会发生人员变动,企业架构变化等。这些又导致风险对策不再使用、风险控制失效或企业目标变化,进一步导致审计风险的变化。面对这些变化,内部审计需要确保企业全面风险管理的有效运行,就需要进一步强化持续监控的重要性。
5.1 及时沟通信息,确保风险处置时效
沟通应贯穿整个审计过程。在审计实施前,内部审计人员应就审计报告的提交日期、各审计阶段的进度安排、应提供的资料、人力和物力协助、重要审计程序的执行日期等方面与被审计单位充分沟通,避免产生一些矛盾;在审计实施过程中,对审计发现的问题及提出的建议,审计人员要与被审单位或个人进行商谈;在审计报告发出前,不仅要征求被审计单位的意见,还应考虑相关部门的意见。
5.2 重视后续审计,避免风险
由于种种原因,被审计单位有可能表面上认可审计结果,并没有采取实质性的改进措施。如果关键的行动建议在目标期限前未得到贯彻执行,不仅无法进行有效的风险管理,也会动摇内部审计在企业中的威信和存在价值,因为审计发现及建议未给企业带来实质性的改进。所以,后续审计与监督是保障关键行动建议通过适当方式得到执行的重要步骤。
参考文献
[1]张宜霞.企业风险管理——应用技术[M].东北财经大学出版社,200,6:3-100.
[2]金小英,唐予华.企业风险管理——整体框架的历史衍进[J].广东经济管理学院学报, 2005,(8):36-39.
[3]杨爱群.风险导向内部审计在企业风险管理中的应用探讨[J].商场现代化,2007,(2).
[4]杨思东.内部审计在风险管理中的作用[J].现代审计与经济,2007,(6).
[5]蒋政.将风险导向审计理念引入内部审计领域的思考[J].胜利油田职工大学学报.2007,(6).
[6]白慧.内部审计在企业风险管理中的作用[J].河北理工大学学报,2007,(9).
关键词: 风险管理;风险导向内部审计;ERM框架
1 企业风险管理的目标和构成要素
2004年9月,COSO 委员会正式发布了《企业风险管理-整体框架》(简称ERM )。文中对企业风险管理定义如下:企业风险管理是一個过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯彻于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。
根据COSO的阐述,企业全面风险管理有四种类型的目标-战略、经营、报告、合规,包括八个构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。本文根据ERM框架,从目标设定、风险评估、风险应对、监控四个最相关的要素进行分析,完善内部审计在促进企业风险管理的作用。
2 目标设定
目标设定是风险事项识别、风险评估和设定风险管理战略的基础。企业风险管理战略,指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险降低、风险转移、风险自留等风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
风险降低策略是通过采用某些形式的进程或控制措施,达到降低风险的影响和或发生的频率的目的。风险降低有两方面的含义:一是降低风险发生的概率;二是一旦风险事件发生尽量降低其损失。
风险转移是指借用合同、协议、出售、分包、保险、套期保值等多种外部手段,在风险事件发生时将损失的一部分或全部转移到项目以外的第三方身上。
风险自留是由企业自己承担风险事故所致损失的风险管理技术。
企业风险管理策略,影响审计计划的制定及审计技术的采用。在制定审计计划过程中,审计人员必须理解企业对关键风险所采用的风险管理策略,找出最有效的审计关注点,根据不同的风险管理策略选择不同的审计范围和审计技术。
3 风险评估
风险评估使内部审计人员能够考虑潜在事项影响目标实现的程度。内部审计人员对企业风险的评估应从可能性和影响程度两个方面进行,单独或分类考察潜在事项的正面和负面影响,并且通常采用定性和定量相结合的方法。
3.1 定量分析
定量分析方法是对已被识别的风险进行量化估计, 通过公式:审计风险=固有风险×剩余风险,计算出风险值。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个主体所面临的风险;企业的风险控制活动会影响此类风险发生的可能性。剩余风险是在管理当局的风险应对后残余的风险,反映的是管理当局用来减轻固有风险的预定措施得以有效实施后仍然存在的风险。
剩余风险是风险导向审计需要关注的重点领域。较高的剩余风险很可能意味着较差的控制环境,它一般显示出较高的控制风险,或指向某项认定错报风险。对剩余风险的审计主要目的是将剩余风险降低至可接受水平,具体步骤如下:一了解管理当局确定可以接受的剩余风险水平, 二确认业务活动领域的剩余风险并进行优先排序,将主要审计资源分配到高风险领域,三在审计过程中发现企业未对某些重要风险采取管理措施时,审计师应同管理层沟通,向企业提出管理建议,协助企业预防或检查将来可能的错误。
3.2 定性分析
定量评价所需的数据难以获得时,应采用定性方法。不同背景、经验、职位的人对同一风险的判断可能不同。比如,上级主管出于整体考虑,认为某部门经营风险很高,而该部门负责人则认为风险已在控制范围之内。因此采用定性方法需要充分考虑相关部门或人员的意见, 以提高评估结果的客观性。内部审计人员处于特殊的独立地位, 可以从客观的角度分析风险的假设条件, 对风险进行评价, 提出专业意见。
4 风险应对
(1)风险应对措施的有效性,最直接的表现就是看在采取了该应对措施后能否将风险控制在组织可以接受的范围内。内部审计人员需要对剩余风险水平进行评估,确定剩余风险水平是否在组织可接受的范围内,如果已将风险降低到该范围内,那么该风险应对措施是有效的;否则是无效的。
(2)采取的风险应对措施是否适合本企业的经营、管理特点。除了风险应对措施是否有效之外,风险应对措施还应当强调适当性。
(3)成本效益的衡量与考核。风险管理是有成本的,风险应对措施是否适当还应当衡量其成本效益性。成本效益原则是内部审计与风险管理都必须要遵守的基本原则之一。
5 监控——后续审计与监督
企业风险管理是个不断变化的过程。因此,不可避免会发生人员变动,企业架构变化等。这些又导致风险对策不再使用、风险控制失效或企业目标变化,进一步导致审计风险的变化。面对这些变化,内部审计需要确保企业全面风险管理的有效运行,就需要进一步强化持续监控的重要性。
5.1 及时沟通信息,确保风险处置时效
沟通应贯穿整个审计过程。在审计实施前,内部审计人员应就审计报告的提交日期、各审计阶段的进度安排、应提供的资料、人力和物力协助、重要审计程序的执行日期等方面与被审计单位充分沟通,避免产生一些矛盾;在审计实施过程中,对审计发现的问题及提出的建议,审计人员要与被审单位或个人进行商谈;在审计报告发出前,不仅要征求被审计单位的意见,还应考虑相关部门的意见。
5.2 重视后续审计,避免风险
由于种种原因,被审计单位有可能表面上认可审计结果,并没有采取实质性的改进措施。如果关键的行动建议在目标期限前未得到贯彻执行,不仅无法进行有效的风险管理,也会动摇内部审计在企业中的威信和存在价值,因为审计发现及建议未给企业带来实质性的改进。所以,后续审计与监督是保障关键行动建议通过适当方式得到执行的重要步骤。
参考文献
[1]张宜霞.企业风险管理——应用技术[M].东北财经大学出版社,200,6:3-100.
[2]金小英,唐予华.企业风险管理——整体框架的历史衍进[J].广东经济管理学院学报, 2005,(8):36-39.
[3]杨爱群.风险导向内部审计在企业风险管理中的应用探讨[J].商场现代化,2007,(2).
[4]杨思东.内部审计在风险管理中的作用[J].现代审计与经济,2007,(6).
[5]蒋政.将风险导向审计理念引入内部审计领域的思考[J].胜利油田职工大学学报.2007,(6).
[6]白慧.内部审计在企业风险管理中的作用[J].河北理工大学学报,2007,(9).