浅谈企业风险管理及其审计
【摘要】企业风险管理可以帮助管理层有效应对不确定性并处理与之相随的风险和机会,增强其创造价值的能力。
本文主要讨论企业风险管理的概念和要素及其审计的目标、内容和程序。
【关键词】内部控制;企业风险管理;风险审计 一、企业风险管理 (一)企业风险管理概念 根据《企业风险管理框架》(简称ERM框架),“企业风险管理是一个过程。
这个过程受董事会、管理层和其他人员的影响。
这个过程从组织战略制定一直贯穿到组织的各项活动中,用于识别那些可能影响组织的潜在事件并管理风险,使之在组织的风险偏好之内,从而合理确保组织取得既定的目标。
”ERM框架有三个维度,第一维是组织的目标,包括战略目标、经营目标、报告目标和合规目标;第二维是企业风险管理要素,包括内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和交流、监控;第三维是组织的各个层级,包括整个组织、各职能部门、各条业务线及下属各子公司。
ERM三个维度的关系是,企业风险管理的八个要素都是为组织的四个目标服务的;组织各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。
企业风险管理定义直接关注组织目标的实现,并且为衡量组织风险管理的有效性提供了基础。
该定义强调:风险管理本身并不是一个结果,而是实现结果的一种方式;决定一个组织的风险管理是否有效是基于对风险管理要素设计和执行是否正确的评估基础上的一个主观判断;该过程应应用于组织内部每个层次和部门,可以从一个组织的总体来认识,也可以从一个单独的部门或多个部门的角度来认识;该过程是用来识别可能对组织造成潜在影响的事项并在风险偏好的范围内管理风险。
内部环境包含组织基调,是组织员工如何看待风险、对待风险的基础,包括风险管理理念、风险偏好、正直和道德价值观及工作环境,是其他所有风险管理要素的基础,为其他要素提供规则和结构。
管理当局是内部环境的重要组成部分,对其他内部环境要素有重要的影响,其职责是建立组织风险管理理念,确定组织的风险偏好,营造组织的风险文化,并将风险管理和相关的初步行动结合起来。
2.目标制定。
组织先制定使命,在此背景下,管理层制定战略和目标,并把目标逐层分解为战略目标(高层次目标,和组织使命方向一致,并支持使命)、运营目标(有效且高效地使用资源)、报告目标(报告的可靠性)和合规目标(遵循适用的法律法规)。
企业风险管理框架就是为实现组织目标服务,确保管理层参与目标制定流程,确保所选择的目标不仅和组织使命方向一致,支持组织的使命,而且能够保证制定的目标与组织的风险偏好相一致。
事项既可能带来消极后果,也可能带来积极后果,或者带来混合后果。
积极后果的事项会抵消消极影响,或者带来机会(所谓机会,就是事项如果发生,能促进目标的实现,能支持价值创造或价值的保存)。
因此,管理者应识别影响组织目标实现的内外事项,分清风险和机会。
企业风险管理能够改善对交叉影响的有效反应,并能为各种风险提供统一的风险反应对策。
4.风险评估。
识别和分析风险,考虑可能性和后果,在此基础上决定应如何管理风险。
管理者应从两个方面对风险进行评估——风险发生的可能性和影响。
风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。
风险反应是管理层选择风险反应方式并制定一套措施把风险控制在组织的风险容忍度和风险偏好之内。
风险反应可以分为规避风险、减少风险、共担风险、接受风险和利用风险。
减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。