時間:2023-06-14 09:35:02
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇企業風險與合規范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
一、全面風險管理工作開展情況
(一)基本概念
全面風險管理工作,是我國根據西方國家的現代風險管理思想演化而來。2006年國務院國資委印發了《中央企業全面風險管理指引》。這使我國的全面風險管理實踐工作達到了一個新的階段。該項工作的理念為:戰略性、全員化、專業化、二重性、系統化。目標是:緊密聯系企業戰略為實現戰略,尋求風險優化措施。
(二)工作實施過程
工作過程包括以下幾個步驟:收集風險管理初始信息;進行風險評估;制定風險評估;制定風險管理策略;提出和實施風險管理解決方案;風險管理的監督與改進。
(三)形成的企業成果
最終要形成了五大系統,風險管理策略、風險管理措施、組織職能體系、內控系統、信息系統。但是目前沒有哪家企業建立完善了信息管理系統。完成年度企業風險分析報告,形成崗位風險手冊。
(四)實際工作中的問題
測試風險技術方法的很難得到正確的使用,測試風險工具的使用員工素質有很大關系,風險的辨識存在很大主觀性,風險的收集很難全面。
如果從高層集團公司開始向底層企業推進,時間過于漫長,短期很難看到效益,這樣往往導致管理層積極性不高,使得工作停留在表面。
當構建完成全面風險管理形成體系,會年度形成全面風險的報告,最高層和各級員關注不同的風險,還要根據企業的風險偏好,制定風險策略,重新修訂文件,工程量浩大,耗費人力。
二、內部控制規范企業目前執行情況
(一)基本概念
從2001年中國企業內部會計控制規范開始,國內的內部控制工作開始起步。2006年受國務院委托,財政部、國資委、證監會、審計署、銀監會、保監會聯合成立了企業內部控制委員會。2008年6月財政部牽頭制定印發了《企業內部控制基本規范》,2010年4月聯合下發了《企業內部控制指引》(包括應用指引、評價指引、審計指引)。形成了我國基本內部控制規范體系。
內部控制目標五方面:保證經營合法合規、資產安全、財務報告相關信息真實完整,提高經營效率、促進發展戰略。
達到內部控制基本要素(手段)為:內部環境、風險評估、控制活動、信息溝通、內部監督。
(二)如何在企業推行
企業按照應用指引,在18各方面,進行梳理,整改,根據指引,結合自身需要,在各個層級、可以同時開展梳理,在制定出自己各個經營方面符合內控精神的制度。
(三)形成的企業成果
形成了一系列的內部控制基本規章制度、內部控制組織體系,內控的崗位手冊。
(四)實際工作需要注意的問題
內部控制必須與業務相結合,梳理各項業務制度,找到業務流程與內控精神的契合,不是簡單地生拉硬套,需要很強專業素質和研究精神。
內控也提到了每年的要用風險管理的技術方法,測試制度是否達到了內控要求。內控制度是需要不斷地完善地,但是持續、無盡的工作也使企業員工疲于應付。
三、全面預算管理工作的管理思路
(一)基本概念
國內學者結合財務收支計劃管理、企業內部市場理念、成本控制等方面,提出了全面預算管理體系理論。以利潤考核,資金收支考核為目的,成本控制為重點,達到提高企業效益的目的,保證企業戰略實施。以經營預算、投資預算為基礎,資金預算控制為手段,最后形成預算管理的體系。
(二)企業中的實施過程
首先建立預算的上報審批體系,保證權威性,保證預算的執行力;基礎崗位各項業務制定基礎定額,根據業務流程,制定出成本控制,采購控制、投資控制、收入控制的預算表,最終體反應為財務數字;資金預算是預算體系中的重點,通過資金合理運用保證預算的合理性;設計預算報表體系,由各業務板塊或各子公司填報,匯總經營的各項費用,收入、投資支出、損失等項目,審批修后形成預算體系,匯總出的企業經營成果預算。根據預算結果制定考核目標,制定獎懲措施。
(三)在實際工作需要注意問題
預算的審批是關鍵,沒有一個強有力、知識豐富、專業過硬的的審批組織,很難應付企業中各部門預算的多種影響因素;設計各項業務預算表格,需要很強的專業能力,也是很大的工程量;業務預算的定額管理是重點。怎么合理的確定定額定耗,是需要多次試驗或是經驗的判斷。
四、三者關系如何,如何在工作相互利用成果
(一)風險與內控和全面預算工作的關系
全面風險管理主要是方法論,內控規范偏重于條文,制度、規則。兩者出發點也不同,內控是站在監督者的角度,主要為了企業的報告真實、控制企業中出現經營舞弊風險;風險管理是在企業發展戰略角度的控制風險。但是最后兩者都形成了一套完善的體系,兩套體系都是相對完整的。
筆者認為:從企業出發,兩項工作的目的都是加強風險控制,是企業管理的基礎工作。內控制度是更加具體,使企業的管理有章可循的。只有將兩項工作的做扎實,才能在此基礎上完善企業的全面預算管理,或者其他ERP等資源管理系統。
全面預算工作是以成本控制為目的,提高企業盈利水平。是在企業的規范運營之上的,管理會計的應用。將兩項工作完善固化在全面預算工作,優化業務業務,控制風險,最終降低成本,實現效益。如果沒有內部控制規范建設,預算是沒有任何意義的,只有在流程、責任清晰,崗位責任明晰的情況下,企業才可以更放心的使用成本對標、利潤考核、內部市場等管理手段,提高企業的效率。不能否認的是科學技術創新是企業發展核心競爭力。
(二)整合三種工作、減少投入管理成本,達到管理目的
首先完善公司治理結構、梳理基礎崗位設置。以內控應用指引為基礎框架,以風險的技術方法,測試部門設置是否涵蓋主要的風險。保證公司戰略實現的治理結構,形成能夠控制運營風險的崗位設置。其中包含預算的管理體系、審批體系建立。
按照內控各項業務指引梳理各項經營業務流程(可以在各級子公司同時展開),以風險管理的技術手段測試漏洞,形成各項業務流程圖,崗位手冊。建立崗位手冊,既是內控手冊,也是風險管理崗位手冊。全面風險管理思路和方法的用于檢驗、測試保證制度的長期有效性。這也是一個不間斷的過程,需要根據市場、生產等情況制定定期檢測的制度。
根據崗位性質、崗位流程、生產流程工藝,定制各種產品的消耗定額,完成全面預算工作的定額基礎。這種工作需要各工種專家或工作能手確定,保證正確性、權威性。
設計業務收入支出的各種表格(包含生產經營所有環節),使各業務部門,規范填報,滿足業務特性。注意表格內容的形式與財務核算一致性。
管理層匯總預算表格(投資預算,資金預算,經營預算)形成預算報表體系。預算審批體系要對各業務部門的預算進行審批,發回后執行。各業務部門在執行時,與財務核算一同控制。根據年月度預算考核財務決算,資金預算控制資金使用。
預算的審批是需要專業的技術和數據基礎。根據往年的定額和一定的增長系數,通過計算得出的審批結果。
根據優化后的業務流程,預算定額,成本分配等計算方式,實施信息化或者改進信息化。
五、結束語
三種方法自成體系,不可能完全融合?;A管理工作是三種管理理念的切合點。也是三種管理體系的基礎。做好了共同的基礎,三種體系才可以互相借鑒,包容。
參考文獻:
[1]國務院國有資產監督管理委員會.中央企業全面風險管理指引.(國資發改革[2006]108號)
中圖分類號:F270 文獻標識碼:A
作為全球第二大經濟體,我國的國際地位及影響力大幅提升,中國因素受到很多國家的歡迎,這為我們“走出去”提供了難得的歷史機遇。如果我們在合規經營方面行為不當,影響的不僅僅是一個企業的品牌或聲譽,而是中國企業、中國品牌及整個國家的形象和聲譽。而一個國家的國際形象好壞,在國際商務活動中的聲譽如何,直接影響到國際社會對本國的接納程度,關系到本國的國際競爭力和國家的核心利益。因此,我們要將合規經營上升到國家層面、政治層面去考慮,上升到能否實現強國夢的戰略高度去考慮。
一、中國基建企業面臨的國際合規環境
目前,中國基建企業面臨的境外經營合規風險越來越大。主要原因是全球反腐力度在加強,具體體現在國際組織和一些國家政府機構正在加大反對商業賄賂的力度。美國、英國等許多國家都先后出臺了各自的反腐敗法,聯合國及其他國際機構紛紛簽署反腐敗公約,并加大聯合執法的力度。
從1996年開始,世界銀行正式實施反腐敗戰略,這主要源自于時任世界銀行行長的詹姆斯 ? 沃爾芬森在年會上發表的《腐敗的毒瘤》這一具有里程碑意義的講話。世界銀行反腐敗戰略實施后,在世行貸款項目中被世行確定為有腐敗欺詐行為的承包商、制造商和咨詢者將被列入黑名單,在世行貸款項目中永遠或一段時間內不能中標。2010年4月,非洲開發銀行、亞洲開發銀行、歐洲復興開發銀行、世界銀行集團、美洲開發銀行共同簽署的聯合執行制裁決議,形成集體執法行動。
在美國和國際組織推動反商業腐敗的同時,很多國家先后出臺了各自的反商業腐敗法。在各國政府反海外腐敗的法規中,美國的《反海外腐敗法》力度最大,威懾力最強??鐕驹谥袊姆种C構也被嚴格監控,在美國公開的資料上,就有將近20家跨國公司在中國因違反美國的《反海外腐敗法》而被懲罰過。即便有些違規看起來并不算“嚴重”。
因商業賄賂被美國法律追究的跨國公司往往被處以重金罰款,當事人甚至受到刑事處罰。與此同時,公司聲譽嚴重受損。以德國西門子公司為例,由于在一些發展中國家通過行賄獲取訂單,而被美國和德國行政當局處罰16億美元,以公司監事會主席(相當于我國企業董事長)為首的20余名高級管理人員被解除職務,有的還被追究法律責任。
強化合規經營,反對商業賄賂正在成為一種潮流。為減少合規風險,很多跨國公司都在強化合規經營,遏制商業賄賂。不少公司設立專門的合規專員,完善合規管理制度,加強培訓,預防、檢查公司運行流程中的違規現象,積極處理違規事件。
目前,中國政府已經加入了《聯合國反腐敗公約》《亞太地區反腐敗行動計劃》《國際商務交易中打擊勒索和賄賂行為準則》。作為成員國的中國企業,必然要順應全球合規治理加強的大趨勢,履行公約所規定的義務,積極預防和應對商業賄賂,樹立和維護國家形象。
二、中國企業建立境外合規風險管理體系的意義
(一)維護國家形象的需要
跨國企業雖然具有國際性,并且遵循基本的商業邏輯行事,但在以國家為主體的當代世界中,讓人產生的第一印象還是其國家形象。如果中國企業在“走出去”的時候能夠塑造一個遵規、親和、友善、負責的中國形象,就會減少許多沖突和困境。因此,建立合規體系并使其有效運行,是使企業所有商業活動始終保持合法合規的基本保障。
(二)文化融入的需要
在國際市場上,我國基建企業在技術方面的差距并不大,但在管理和文化層面還有很大差距。因此,建設先進的企業文化,轉變思想觀念、改變思維方式,成為我們參與國際競爭的關鍵因素。
在合規經營、反對腐敗成為主流價值觀的大背景下,我們首先要創新的就是合規文化。要把文化理念轉變為行為,需要通過建立系統的制度,將合規要求融入具體的工作流程及崗位中,持之以恒地嚴格執行。將表面的合規管理逐漸變成習慣,形成一種嚴謹的行為方式。通過合規制度的建立與執行,合規文化的培育,將管理文化由任意型、粗放型向信譽型、集約型轉變。
中國文化比較強調變通、靈活,有時候這是優點,有時候就容易出問題。企業要想真正融入國際大家庭、實現做強做優,就必須對我們的行為方式和道德文化進行認真反思和總結,學會遵守國際游戲規則,才有可能自立于世界大企業之林。
(三)市場競爭的需要
隨著中國企業的發展壯大,一部分中國企業已處于發展變革的重要階段。在這個階段中,一是面臨更多、更復雜的合規風險,二是在合規要求更嚴格的環境下參與市場競爭是未來的發展趨勢,這就決定我們只有走合規經營之路,才能防范合規風險,才能在世界范圍內和發達國家跨國公司競爭。
(四)防范政治風險的需要
在和平時期,國家之間的競爭主要體現在經濟領域的競爭,而經濟領域的競爭則突出表現在大企業之間的競爭。
在世界格局中占主導地位的美國和西方國家,用冷戰思維遏制中國的崛起。在國際市場上,作為后起之秀的中國企業,一舉一動都備受關注,一旦出現失誤就會被無限放大,削弱我們的市場競爭力,遏制我們的發展壯大。
西方國家冷戰思維的特點之一就是尋找中國企業與西方企業的差異,并在中國企業的軟肋上大做文章,突出中國企業的弊端,從“軟實力”上削弱我們的競爭力,破壞國際形象,從而阻撓我們走向國際市場。
三、基建企業合規管理體系建設的主要內容
根據某大型基建企業在境外合規管理方面的探索與實踐,總結出企業境外合規管理體系建設的主要內容。
合規管理體系的構建,以組織體系和制度體系的建立為保障,以員工行為合規為基點,強化七大高風險領域的管控,建立三大機制,設置五道防線,并通過合規風險的動態識別、定期溝通、及時應對,有效防范合規風險的發生。
(一)構建合規風險管理制度體系和組織體系
建立完善的合規風險管理制度體系和明確的組織體系是開展合規管理工作的重要前提和基礎。企業要在深入調研的基礎上,參照美國反腐敗法等法律規定及世界銀行等有關國際組織的合規要求,借鑒國際最佳合規管理實踐,對自身合規管理現狀、海外業務特點及市場環境進行細致分析,找出現有合規管理工作與有關要求的差距,構建權責分明的合規風險管理組織機構和合規風險管理制度體系,為企業合規風險管控提供保障。
(二)以員工行為合規為基點,打造合規經營基石
員工行為合規是合規風險管理的前提和基礎,企業應立足員工行為合規這個基點,積極推動全員、全過程的合規風險管理工作。
為保證企業合規要求得到全面落實,要加強對員工的培訓和考核,一是對員工進行合規制度,尤其是員工行為準則的培訓,確保員工知曉企業對員工合規行為準則的具體要求;二是要求企業及所屬單位有關領導和高風險員工簽署合規聲明,承諾遵守相關法律法規和其他要求;三是對員工進行合規操守考核,將考核結果按適當權重納入個人或部門的年度績效考核中。如果出現員工違規行為,將視嚴重程度按勞動合同管理辦法等規章制度規定,進行警告、記過、降職、撤職、解除勞動合同等處分。
(三)強化高風險領域管控,有針對性地開展合規管理工作
企業應通過深入調研與全面對標,在識別、評價管理及業務流程中的內部風險及相關外部風險的基礎上,確定第三方聘用、采購、投標、合同、業務招待、捐贈與贊助、業務付款等高風險領域,并從防范合規風險的角度,參照最佳實踐,對合規管理要求、合規管理職責、運行機制及流程進行梳理、補充和完善。
一是應強化第三方聘用合規。通過第三方協助企業開展市場開發工作,是我國基建企業進入新的市場領域或業務領域通常采用的一種方式。
二是強化業務采購合規。在采購招標前,合規官應對招標項目立項審批流程進行復核、審閱,對項目外包的必要性進行獨立審查;編制招標文件期間,合規官應對潛在投標人及審批過程進行復核、審閱,對其合規性進行獨立審查;評標期間,合規官應對評標小組的評審過程進行復核、審閱,對招標過程有無違反招標程序進行監督檢查。
三是強化業務投標合規。合規官要審查投標工作人員是否與招標人或其他競標方有利害關系;受理投標過程中對投標合規性的質疑與舉報。要對項目投標是否有第三方合作伙伴參與、項目是否與政府或國際組織有關、招標人的誠信背景等內容進行合規資格審查,對投標項目的合規風險進行評估、分級,并制定相應的風險管控策略。
四是強化業務合同合規。企業應設立合同管理機構,配置工作人員。在現有法律審查的基礎上,對擬簽訂合同增設合規性審查程序,以對法律風險以外的其他合規風險進行預防與控制。合規官要對合同約定的業務內容是否與實際情況一致進行合規性審查。根據審核結果,合規官判斷合同中的潛在合規風險,提出防范措施及修改意見,并告知合同承辦人。
五是強化業務招待合規。業務招待必須符合相關法律法規和其他要求。業務招待主要遵循以下基本原則:禮品與款待不得成為獲得不正當利益的途徑;禮品與款待不得是現金或現金等價物;禮品與款待的場合、對象、頻率、價值、接受者的職位和社會地位不得造成不道德、不誠實或不恰當的印象;禮品與款待的費用必須合理,且用于合法的業務目的;業務所在國法律和習俗允許等。如果禮品與款待不符合上述原則,如在3個月內出現兩次以上向同一接受方提供超出象征性價值的禮品,禮品是現金或現金等價物,款待與正常業務活動的開展沒有直接關系,或有任何娛樂成分等高風險事項,應依據審批權限事先經過合規官審核并獲得有關人員的批準。
(四)建立三大機制,助推合規管理工作持續開展
合規風險管理的三大機制是支撐合規風險管理體系正常運行、保證合規風險管理工作得以有效持續開展的重要基礎。
1.建立合規風險分級管理機制。對合規風險進行分級管理,規定各級合規審批權限,所有審批事項須經至少兩個及以上的人員進行審核和審批。
2.建立合規監督機制。合規官對第三方聘用、采購、投標、捐贈與贊助、業務付款等高風險事項進行合規審查;組織合規官對合規交叉(如跨地區、跨單位)進行審查;受理違反或疑似違反企業合規制度和流程、法律法規和其他要求的內外部投訴和舉報,對違規事件組織監察等有關部門進行調查。
3.建立合規工作傳達與溝通機制。定期將合規工作計劃傳達至所屬單位及各個部門,并部署相關合規管理工作。每年初,合規部門應協同企業文化、人力資源等有關部門制訂合規工作宣貫計劃,及時有效地向員工和業務合作伙伴傳達合規工作計劃、合規制度和流程等內容。
(五)設置合規風險五道防線,做好事前預防
1.明確員工合規要求,建立防范合規風險的第一道防線
企業在簽訂勞動合同時,要求員工簽署合規聲明,明確員工合規要求;招聘中高級管理人員等高風險崗位員工時,要開展合規背景調查,從源頭上規避合規風險。通過合規教育培訓,進一步增強員工合規風險認識。建立員工合規操守考核制,將考核結果納入年度績效考核,強化員工合規意識及合規義務的履行。
2.開展管理部門合規審批,建立防范合規風險的第二道防線
在規范業務合規經營行為時,除了合規部門、合規官對業務事項進行審批外,企業應要求管理部門針對特定事項發表意見,審核、審批業務事項。涉及金額較大或風險較大的,上級企業的管理部門還要進行審核、審批,加大防范合規風險的力度,為防范合規風險構建一道新的防線。
3.設置合規官,建立防范合規風險的第三道防線
企業應將合規官作為合規管理的關鍵要素之一。在日常工作中,合規官對第三方聘用、采購招標、投標、合同管理、業務招待、業務付款等審批事項中的高風險環節進行合規審查并嚴格把關。合規官還要受理違反合規管理的內外部投訴和舉報,對違規事件組織調查等。
4.構建合規交叉審查,建立防范合規風險的第四道防線
企業應每年抽調合規官對所屬單位、海外公司、辦事處進行合規交叉(如跨地區、跨單位)審查。在審查過程中,合規官不僅要對合規管理流程的執行情況進行審查,也要對合規官的培訓和履職情況進行審查。合規審查工作完成后,應出具書面的合規審查報告,送首席合規官審閱簽字。
5.設立海外合規舉報、投訴渠道,建立防范合規風險的第五道防線
企業應設立反商業賄賂的舉報、投訴電話,建立違規違紀及調查取證制度,發揮內部員工、外部相關利益者和紀檢監察部門在業務合規排查中的作用。
從20世紀90年代初開始,國內掀起了多元化經營浪潮,海爾、中信等國內知名企業迅速崛起。從發展實際來看,大多數企業實施多元化經營戰略的主要動機有兩個:一是進攻型的,到新的領域去獲取更多的利潤;二是防御型的,將部分資源配置在不同領域以規避風險。因此,多元化經營如何實現同等收益下風險最小化或同等風險下收益最大化,就成為企業迫切需要解決的問題。
一、投資組合與企業多元化經營理論分析
1.投資組合
(1)投資組合概述。投資者在進行投資時,并不把其所有資金都投資于一種證券,而是同時持有多種證券,即投資組合。投資組合的有效性建立在對不同證券投資風險與收益分析的基礎上,實現風險不變收益提高或收益相同風險較低的目標。
(2)投資組合風險分類。①可分散風險。某些因素對單個證券造成經濟損失的可能性,如個別公司工人罷工,公司在市場競爭中的失敗等。這種風險可以通過證券持有的多樣化來抵消。②不可分散風險。是由于某些因素給市場上所有的證券都帶來經濟損失的可能性,如宏觀經濟狀況的變化、國家稅法的變化、國家財政政策和貨幣政策的變化都會使股票報酬發生變動。這些風險不能通過投資組合分散掉。
2.企業多元化經營
(1)多元化經營概述。多元化經營是當整個產業趨于成熟以及競爭成本過高的情況下,企業考慮既有事業范圍之外的成長,是企業進入與自己原有經營業務相關或不相關的新的產業或經營領域,以充實系列產品結構或者豐富產品組合結構的經營模式。
(2)多元化分類。①水平多元化。企業利用現有市場,向水平方向擴展生產經營領域,進行產品、市場的復合開發,從而達到規模經濟的目的。②垂直一體化。企業進入生產經營活動或產品的上游或下游產業,形成一條龍式的生產經營態勢,以節約交易成本提高企業整體的盈利水平。③同心多元化。企業利用現有技術、特長經驗及資源等,以同一圓心擴展業務。同心多元化的相關性佳,協同效應強,有較大的獲利性和較低的風險性。④混合多元化。企業進入與現有經營領域不相關的新領域,在與現有技術、市場、產品無關的領域中尋找成長機會?;旌投嘣南嚓P性差,協同效應弱,企業難以管理多種不同業務,無法獲得戰略匹配帶來的優勢。
3.多元化經營與投資組合對比分析
(1)投資行為對比。證券投資是通過虛擬資本的投資介入新的行業與市場,投資者根據自身對風險的厭惡程度,選擇多種證券進行組合;多元化經營則是企業進行的實業投資,是通過介入不同的業務領域,實現行業經營的多元化。
(2)投資目的對比。證券投資的主要目的就是獲得投資收益,因此,證券投資決策的目標是投資收益最大而風險最小。多元化經營目的是為了企業的持續成長,是通過跨行業投資,實現行業互補,從而規避經營中的風險。其中:
①不可分散風險。市場上所有的證券由于宏觀環境影響可能造成損失;多元化經營中同樣容易受宏觀經濟不景氣的打擊,造成整個企業虧損甚至倒閉。
②可分散風險。由于各種不確定性因素的存在,單個證券投資是存在風險的,在不同情況下,證券投資可能會得到不同的投資收益,進行投資組合可以規避單項投資帶來的風險,從而實現收益的最優化。企業多元化經營將資源分散到不同產品或行業經營中,避免經營范圍單一造成企業過于依賴某一市場,使企業在遭受某一產品或經營領域的挫折時,通過在其它產品或行業的經營成功而彌補虧損,從而提高企業的抗風險能力,并盡量減少風險損失。多元化進入技術、機構、職能活動或銷售渠道能夠共享的經營領域,可以由于范圍經濟而使成本降低。
二、企業多元化經營風險規避模型設計
在分析了投資組合與多元化經營的相似之處后,基于投資組合中業已成熟的理論,把相關變量重新定義并引入新的影響因子。該模型運用于企業的多元化經營的實踐中,指導企業如何通過最優化的跨行業組合,有效降低經營風險以實現企業的持續成長。
1.企業多元化經營模型假設條件
(1)競爭市場是有效的。各行業的行情反映了其內在經濟價值,每個經營者都掌握充分的行業信息,了解各個行業的期望收益率及其方差。
(2)經營者投資某個行業的目標是在給定風險下收益最大,或者在給定收益水平下風險最低,即經營者都是厭惡風險的。
(3)行業經營者以期望收益率以及收益率的方差作為選擇經營方案的依據。如果要他們選擇風險方差較高的方案,都要求有額外的投資收益率作為補償。
(4)各行業的收益率之間有一定的相關性。它們之間的相關程度可以用相關系數或者收益率之間的協方差來表示。
2.企業多元化經營模型變量說明
(1)多元化經營投資的概率(Ei)。第i個行業在多元化經營中所占的投資比例,其投資組合的概率之和為1。
(2)多元化經營的期望報酬率()。各個行業的期望報酬率以其投資比重為權數計算出來的加權平均數。假定在經營中通過不同行業組合,收益率達到預定目標,即。
(3)多元化經營的方差。方差越大,表明多元化經營組合的投資收益的不穩定性越大,相應的投資風險也就越高,反之則越小。影響標準離差的因素包括,經營者所處的市場競爭環境,市場中各行業競爭的激烈程度,經營者預期的收益及概率等。
(4)多元化經營的行業間的協方差(σij)。是反映多元化經營中行業間相關程度的指標,即行業間的互補情況。隨著企業多元化經營中包括行業數量的增加,單個行業的標準差對整個企業多元化經營總體的標準差造成的影響越來越小,而各個行業之間協方差造成的影響越來越大。當企業多元化經營中包括行業數量的增加時,單個行業的標準差對整個企業多元化經營總體的標準差造成的影響程度趨向于零。這就意味著通過跨行業的經營,可以使隱含在單個行業中的風險得以分散,從而降低多元化經營的總體風險。
(5)行業進入壁壘影響因子(F)。進入壁壘是在一種產業中,原有企業相對于潛在進入企業的優勢。
3.企業多元化經營均值――方差模型
(1)企業經營n個行業的期望報酬率為:
――多元化經營的期望報酬率
Ei――第i個行業在多元化經營中所占的比重
Ki――第i個行業的期望報酬率
n――多元化經營的行業總數
(2)多元化投資n個行業的風險用組合的方差表示為:
――多元化經營的方差
σij――第i j兩個行業的協方差
Ei――第i個行業在多元化經營中的比重
Ej――第j個行業在多元化經營中的比重
(3)行業進入壁壘影響因子
行業進入壁壘=F{結構性進入壁壘,行為性進入壁壘,政策性壁壘}
結構性壁壘=f{規模經濟,資本量門檻,絕對成本優勢,產品差異化}
(4)多元化經營的優化組合模型
①在一定的預期收益率下,行業組合的方差越小越好。
②在組合一定風險的情況下,行業組合的收益率越大越好。
三、結束語
多元化經營是企業實現持續成長可采用的發展模式之一,證券投資組合相關知識給了多元化有益的借鑒。本模型說明,只要行業間不具有完全的正相關關系,多元化經營的風險就一定小于單個行業經營風險的加權平均值。因此,降低風險的有效途徑是選擇相關程度較低的行業進行多元化經營。
本世紀初以來,以不確定性為基本研究對象的企業風險管理(Enterprise Risk Management,ERM)理論逐漸進入我國實業界和研究者的視野。2006年6月,國務院國有資產監督管理委員會頒布實施了《中央企業全面風險管理指引》(下稱《指引》),該《指引》的頒行,可以看成是企業風險管理理論在我國大規模本土化的開始。
一、企業風險管理理論概要及在我國的規范化實施
1.企業風險管理(ERM)理論的一般框架。企業風險管理作為一種全新管理理念或管理框架的最終形成,是由美國發起人組織委員會(Committee of Sponsoring Organizations of the Treadway Commission,COSO)在2004年9月提出的,標志文書是《企業風險管理――整合框架》(Enterprise Risk Management Integrated Framework,下稱《整合框架》),這個框架是迄今為至企業風險管理最完善、最成熟的理論概括。COSO認為,企業風險管理是經由企業當局廣泛參與,對企業面臨的不確定性進行多要點掌控,以實現組織目標的過程。
《整合框架》提出了企業風險管理的8個核心要素,即,目標設定、內部環境、事件識別、風險評估、風險回應、信息溝通、控制活動和持續監督,這8個要素組成了一個有機體系。企業風險管理有4個目標,即,戰略目標、經營目標、報告目標和合規目標。理想的ERM框架是通過對不確定性的管理增加股東價值,以共同的語言和要素安排,落實企業的上述4項目標。企業風險管理的要素與目標之間是一種緊密的支持與保證關系。
2.企業風險管理在我國中央企業的初步實踐。在《整合框架》的背景下,2006年6月國資委根據《中a華人民共和國公司法》、《企業國有資產監督管理暫行條例》等法律法規,制定頒布了《中央企業全面風險管理指引》,對中央企業實施風險管理的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理信息系統等進行了系統規范,成為中央企業風險管理的權威指導文書。之后,一些省市區也出臺了很多相關文件,對《指引》的實際操作進行具體化?!吨敢匪Q企業風險,包括純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存),具體分為戰略風險、財務風險、市場風險、運營風險、法律風險等。
《指引》對企業風險管理的目標、流程描述,與《整合框架》中的描述大體相同。它將企業風險管理的目標設定為五個方面:一是將風險控制在與總體目標相適應并可承受的范圍內;二是確保企業內外部實現真實、可靠的信息溝通;三是遵守法律法規;四是通過企業制度安排降低實現經營目標的不確定性;五是建立針對重大風險發生后的危機處理計劃。這五個方面的目標,分別對應著《整合框架》提出的4個目標。它將企業風險管理流程區劃為收集初始信息、進行風險評估、制定管理策略、提出實施解決方案和監督改進等5個階段,分別對應著《整合框架》中的企業風險管理8大基本要素。
二、企業風險管理理論本土化過程中應注意的問題
1.找到切合實際的本土化切入點
一方面,通過對《指引》的解讀可知,與國資委以往出臺的文件有很大不同是,過去國資委頒行的大多數文件都是在對企業大量實踐經驗進行分析總結的基礎之上形成的,是一個從實踐到理論,再從理論回到實踐的過程。而《指引》則正好相反,它來自于成熟的理論,而且主要是國外的成熟理論,先于國內企業的管理實踐。另一方面,每一個中央企業都有其特殊的行業特點、既有體制、歷史傳承、文化特色和企業員工隊伍、管理當局的素質水平等,這決定了不同的企業在實施風險管理時應有不同的切入點或突破口,不能好高騖遠,要從各自的實際出發,找準影響各自企業主要經營管理領域的不確定性來源,有針對性地進行企業風險管理實踐。
2.建立起具有可操作組織規范
企業風險管理理論和《指引》都是針對企業所面臨的時時處處都存在的各類風險提出的,都只是一個理論框架和方向指引,沒有統一具體的模式。它要求企業圍繞總體經營目標,通過在企業各個管理環節和經營過程中執行風險管理的基本流程,營造風險管理的氛圍,建設風險管理體系,等等??梢姡瑹o論企業風險管理理論還是《指引》,都沒有為中央企業的現實經營管理給出一個具體的、可以搬來即用的藥方,所以,將企業風險管理理論和《指引》具體化為每一個中央企業中看得見、摸得著的具體組織結構和規章制度,是當前我國中央企業需要下大力氣去做的事情。
3.培育良好的氣氛和合格主體
一般講,一個良好的適合于特定企業的ERM氛圍,應該至少包括以下幾個方面內容:一是將企業的風險偏好與企業戰略有機聯系;二是能夠保證企業的風險管理戰略、企業的發展戰略與企業的股東價值保持一致;三是可以提供鑒別和評估風險的工具,并有強大的企業輿論支持這些工具使用;四是企業各層面有統一的風險語言,和暢通的溝通管道。任何一個ERM框架都是在一定的氛圍中由具體的企業成員最終實施的,沒有良好的企業風險管理氛圍,得不到企業各層面人員的支持,再好的企業風險管理框架和《指引》都會流于口號和形式。
參考文獻:
本世紀初以來,以不確定性為基本研究對象的企業風險管理(EnterpriseRiskManagement,ERM)理論逐漸進入我國實業界和研究者的視野。2006年6月,國務院國有資產監督管理委員會頒布實施了《中央企業全面風險管理指引》(下稱《指引》),該《指引》的頒行,可以看成是企業風險管理理論在我國大規模本土化的開始。
一、企業風險管理理論概要及在我國的規范化實施
1.企業風險管理(ERM)理論的一般框架。企業風險管理作為一種全新管理理念或管理框架的最終形成,是由美國發起人組織委員會(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO)在2004年9月提出的,標志文書是《企業風險管理——整合框架》(EnterpriseRiskManagementIntegratedFramework,下稱《整合框架》),這個框架是迄今為至企業風險管理最完善、最成熟的理論概括。COSO認為,企業風險管理是經由企業當局廣泛參與,對企業面臨的不確定性進行多要點掌控,以實現組織目標的過程。
《整合框架》提出了企業風險管理的8個核心要素,即,目標設定、內部環境、事件識別、風險評估、風險回應、信息溝通、控制活動和持續監督,這8個要素組成了一個有機體系。企業風險管理有4個目標,即,戰略目標、經營目標、報告目標和合規目標。理想的ERM框架是通過對不確定性的管理增加股東價值,以共同的語言和要素安排,落實企業的上述4項目標。企業風險管理的要素與目標之間是一種緊密的支持與保證關系。
2.企業風險管理在我國中央企業的初步實踐。在《整合框架》的背景下,2006年6月國資委根據《中a華人民共和國公司法》、《企業國有資產監督管理暫行條例》等法律法規,制定頒布了《中央企業全面風險管理指引》,對中央企業實施風險管理的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理信息系統等進行了系統規范,成為中央企業風險管理的權威指導文書。之后,一些省市區也出臺了很多相關文件,對《指引》的實際操作進行具體化?!吨敢匪Q企業風險,包括純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存),具體分為戰略風險、財務風險、市場風險、運營風險、法律風險等。
《指引》對企業風險管理的目標、流程描述,與《整合框架》中的描述大體相同。它將企業風險管理的目標設定為五個方面:一是將風險控制在與總體目標相適應并可承受的范圍內;二是確保企業內外部實現真實、可靠的信息溝通;三是遵守法律法規;四是通過企業制度安排降低實現經營目標的不確定性;五是建立針對重大風險發生后的危機處理計劃。這五個方面的目標,分別對應著《整合框架》提出的4個目標。它將企業風險管理流程區劃為收集初始信息、進行風險評估、制定管理策略、提出實施解決方案和監督改進等5個階段,分別對應著《整合框架》中的企業風險管理8大基本要素。
二、企業風險管理理論本土化過程中應注意的問題
1.找到切合實際的本土化切入點
一方面,通過對《指引》的解讀可知,與國資委以往出臺的文件有很大不同是,過去國資委頒行的大多數文件都是在對企業大量實踐經驗進行分析總結的基礎之上形成的,是一個從實踐到理論,再從理論回到實踐的過程。而《指引》則正好相反,它來自于成熟的理論,而且主要是國外的成熟理論,先于國內企業的管理實踐。另一方面,每一個中央企業都有其特殊的行業特點、既有體制、歷史傳承、文化特色和企業員工隊伍、管理當局的素質水平等,這決定了不同的企業在實施風險管理時應有不同的切入點或突破口,不能好高騖遠,要從各自的實際出發,找準影響各自企業主要經營管理領域的不確定性來源,有針對性地進行企業風險管理實踐。
2.建立起具有可操作組織規范
企業風險管理理論和《指引》都是針對企業所面臨的時時處處都存在的各類風險提出的,都只是一個理論框架和方向指引,沒有統一具體的模式。它要求企業圍繞總體經營目標,通過在企業各個管理環節和經營過程中執行風險管理的基本流程,營造風險管理的氛圍,建設風險管理體系,等等??梢姡瑹o論企業風險管理理論還是《指引》,都沒有為中央企業的現實經營管理給出一個具體的、可以搬來即用的藥方,所以,將企業風險管理理論和《指引》具體化為每一個中央企業中看得見、摸得著的具體組織結構和規章制度,是當前我國中央企業需要下大力氣去做的事情。
3.培育良好的氣氛和合格主體
一般講,一個良好的適合于特定企業的ERM氛圍,應該至少包括以下幾個方面內容:一是將企業的風險偏好與企業戰略有機聯系;二是能夠保證企業的風險管理戰略、企業的發展戰略與企業的股東價值保持一致;三是可以提供鑒別和評估風險的工具,并有強大的企業輿論支持這些工具使用;四是企業各層面有統一的風險語言,和暢通的溝通管道。任何一個ERM框架都是在一定的氛圍中由具體的企業成員最終實施的,沒有良好的企業風險管理氛圍,得不到企業各層面人員的支持,再好的企業風險管理框架和《指引》都會流于口號和形式。
參考文獻:
一、企業風險管理框架分析
企業風險管理的基礎性前提是每一個主體的存在都是為其利益相關者提供價值。所有的主體都面臨不確定性,管理當局所面臨的挑戰就是在為增加利益相關者價值奮斗的同時,要確定承受多大的不確定性。管理當局依據不確定性,制定戰略和目標,力求實現增長和報酬目標以及相關的風險之間的最優平衡,并且在追求所有主體的目標的過程中高效率和有效地調配資源,以使價值得以最大化。通過COSO給出的企業風險管理的框架,可知企業風險管理是一個過程,持續地流動于主體之內;由組織中各個層級的人員實施;應用于戰略制定;貫穿于企業,在各個層級和單元應用,還包括采取主體層級的風險組合觀;旨在識別一旦發生將會影響主體的潛在事項,并把風險控制在風險容量以內;能夠向一個主體的管理當局和董事會提供合理保證;力求實現一個或多個不同類型但相互交叉的目標。
(一)企業風險管理的目標COSO報告將企業風險管理的目標歸納為:戰略目標、經營目標、報告目標、合規目標。戰略目標規劃企業經營管理活動所必須長期堅持的有效愿景。經營目標涉及到企業經營的效果與效率,包括業績指標與盈利指標,旨在提高企業有效及高效地利用資源的能力。報告目標關注企業報告的可靠性,分為對內報告和對外報告,涉及財務和非財務信息。合規目標是最基礎的目標,考察企業經營遵循相關的法律法規的情況。其中,戰略目標層次最高,反映了管理者為努力實現利益相關者創造價值的目標而做出的選擇。
(二)企業風險管理的構成要素企業風險管理包括八個互相關聯的要素,這些要素來自管理層經營企業的方式,并和管理流程整合在一起。包括:內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通及監控。宏觀上,內部環境是企業風險管理的基礎,為企業風險管理其他組成部分的順利運行提供了平臺。目標設定是全面風險管理的起點,是其他要素的驅動力量。在目標設定的前提下,對影響目標的風險進行事件識別,進而對識別的事項進行風險評佑,風險評估驅動風險反應,影響控制活動,信息與溝通和監督貫穿于企業風險管理的整個過程,并對各個組成要素進行修正。這樣,企業風險管理就成為了一個多元化、多方向的、不斷重復、相互作用動態的過程。
(三)企業風險管理框架評析認定一個主體的企業風險管理是否“有效”,除了目標制定上的正確性外,還要判斷其構成要素是否存在,且有效運行。構成要素如果存在并且正常運行,就可能沒有重大缺陷,而風險則可能已經被控制在主體的風險容量范圍之內。如果確定企業風險管理在所有四類目標上都是有效的,那么董事會和管理當局就可以合理保證了解主體,并實現其戰略和經營目標及主體報告的可靠性以及符合適用的法律和法規。
在ERM框架中,內部審計人員在監督和評價內部控制及相關成果方面承擔著重要任務,必需協助管理層和董事會監督、評價、檢查、報告和改革ERM的運行情況,這對內部審計人員的能力提出了更高的要求。對內審人員而言,最大的挑戰是在ERM中扮演何種角色。但COSO報告認為內審人員不應對建立ERM體系承擔主要責任。這可能使內審人員的職責從原來對CFO和內審委員會負責轉變為對CFO、內審委員會和風險主管負責。從ENM框架中,筆者發現,其新增加了一個角色――風險主管或風險經理。風險主管除了需要和其他管理人員一樣,在自己的職責范圍內建立起風險管理外,還要幫助其他經理人報告企業風險信息,成為風險管理委員會的成員之一??梢姡L險管理框架的運用對管理層進行了重新配置,加強了管理人員的風險意識,深化了內部控制,同時明確內部審計是風險管理的高層確認者、是對風險管理的再管理。
二、企業風險管理與內部審計的關系
對比COSO制定的ERM概念與IIA修定的內部審計定義,不難發現,企業風險管理框架主要應對潛在的事項,將戰略決策貫穿于整個企業實施的過程中,將風險控制在企業偏好的容量限度內,并為企業目標的實現提供合理的保證。因此,風險管理框架下的內部審計關注的核心是企業在實現其自身目標下所經歷的各類風險,以及風險大小的測量、風險預警系統的設置情況。
(一)風險管理框架下的內部審計應用效果分析第一,內部審計不同于單純的財務審計及管理審計,而是融風險管理。公司治理和內部控制的審查于一體,更關注企業在整個治理過程中的決策風險和經營風險。第二,內部審計的職能更加明確。西方業界的“外包化”理念迅速地傳至中國,通過外包,企業可以利用民間審計的優勢資源和較低的成本為企業服務,這在一定程度上搶占了內部審計人員的業務。生存危機使內部審計部門必須努力尋求自身的存在路徑,為企業組織提供獨特的增值服務。而在風險管理框架下,企業雇員利用對企業具體經營模式的高度熟悉度及忠誠程度從民間審計CPA事務所手中奪得審核企業的權利,凸顯了其優勢i通過咨詢與鑒證服務,內審人員制定出適合企業的專用審計方案,幫助企業快速作出決策,并提高決策的科學性、實用性,使審計人員的職能更加
明晰突出。第三,內部審計拓展了風險管理的工作范圍。傳統審計所提供的保證服務通常是事后對某一領域或事項的評價;而風險管理則是對可能影響組織的潛在事件的管理,貫穿于事前、事中、事后并覆蓋整個企業。這使內部審計逐漸形成了基于戰略計劃和風險評估而制定的,向管理層提供確認和咨詢的主動服務方式。風險管理框架下的內部審計為強化公司治理及健全內部控制提供了良好的溝通橋梁,促進了公司治理與現代內部控制的協同與整合,有利于企業內部受托責任委員會定期開展評價活動。
(二)內部審計對風險管理框架的促進作用內部審計在企業風險管理中的首要角色是監督者,包括對風險流程的識別評估,對最終產品流程報告的評估和對關鍵風險管理的預測。在企業風險管理框架中,內審人員首先要針對企業所處行業的特點及企業自身的優勢劣勢進行SWOT分析,制定出適合企業發展的戰略計劃,然后識別出可能影響企業運營的事項。為識別這些事項,必須對風險進行評估??蛇\用“風險坐標圖”進行評估。在風險坐標圖上,風險的類型和程度均予以標明,通過風險坐標圖,可以指明在哪些領域、哪些關鍵業務上公司的風險比較大,可能會產生不利影響。在明晰和估測風險后,可利用一些模型、軟件來測算風險的大小,如果風險值在風險的容量內,該方案就是可行的,否則就需重新設計方案,重新進行優化選擇。
此外,內部審計的成功實施還會對企業文化的積淀起著積極的促進作用。企業文化是一個企業在長期生產經營中倡導、積累,經過篩選提煉成的,是企業的靈魂和潛在的生產力,是打造企業核心競爭力的戰略舉措。企業在不斷應對風險的過程中,通過制定的戰略規劃,建立起企業風險管理文化,而內部審計的職能則由單純的監督檢查的保護性職能向與咨詢服務的建設性職能并重轉變,使企業的風險管理文化日趨成熟。
三、企業風險管理框架的構建
目前,許多國內企業開始積極進行風險管理建設的嘗試,在一定程度上增強了企業抗風險的能力。但總體上,國內企業對風險管理的意識還比較淡薄,這客觀上促使我國要在現有的關于企業內部控制及審計準則的基礎上建立一套比較系統的、完善的中國企業風險管理框架,來指引和規范當前企業的運營及長遠發展。國資委2006年6月的《中央企業全面風險管理指引》正是為推進風險管理建設做出的有益嘗試和重大突破。由于我國實行的是以公有制為主體,多種所有制經濟共同發展的社會主義市場經濟體制。國有經濟、集體經濟及混合所有制經濟并存,體制結構較為復雜。參照《中央企業全面風險管理指引》,可以區分不同的經濟體制,分別進行風險管理框架的構建。
風險是指預期結果的不確定性。風險不僅包括負面效應的不確定性,會給企業帶來損失,即“危險”,還包括正面效應的不確定性,給企業增加價值,即“機會”。由于風險具有不確定性,于是人們重點關注的焦點便集中在風險管理上。這時,需要一個強有力的框架以便有效地識別、評估和控制風險。企業風險管理整合框架涵蓋了內部控制整合框架,并且拓展了內部控制整合框架,但是它沒有立即取代內部控制整合框架。ERM框架中對企業風險管理的定義如下:企業風險管理是由一個主體的董事會、管理當局和其他人員實施的,應用于戰略制訂并貫穿于企業之中,它是一個過程,目的是識別可能會對主體產生影響的潛在事項,把其控制在該主體的風險容量內,為主體目標的實現提供保障。本框架將主體的目標分為四類:戰略目標——最高層次的目標、經營目標——包括資源運用的效果和效率、報告目標——報告的可靠性與合規目標。與內部控制框架相比,ERM提出了新的目標——戰略目標,并把它放在最高層次上,這就是說企業風險管理的內容與范圍上升到了戰略高度。同時首次提出了總體層面上的風險組合觀,也就是說管理者確定戰略目標時,要保持戰略與風險偏好的一致,選擇與企業風險偏好一致的戰略,從風險組合的觀點看待風險。在組成要素上,ERM新增了3個要素,ERM框架主要由內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監督八個要素組成。企業風險管理是一個動態的過程,ERM框架明確提出了風險管理流程:立足于企業內部環境,制定相應的目標,識別相關事項,并進行風險評估,對評估的風險進行反應并控制,整個風險管理過程全部處在監控中,借助信息與溝通實現。
2.國內內部控制的動向
近年來,由于內控不到位而導致企業、公眾損失的案例時有發生:中航油陳久霖案,利用金融衍生工具投機,造成國有資產流失;南方航空副總裁委托理財機構操縱自己公司股票,最終資不抵債,破產重組;由于運營風險管理失控導致的三鹿毒奶粉事件;中信泰富簽訂杠桿式外匯合約導致企業巨虧事件;國美電器黃光裕案、四川長虹等案例的出現是國內企業管理機構下定決心完善內控的重要原因。2010年4月26日,財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制應用指引第1號——組織架構》等18項應用指引、《企業內部控制評價指引》和《企業內部控制審計指引》,連同2008年5月的《企業內部控制基本規范》,這些政策法規的制定,構建了企業內控規范體系。
關鍵詞:
風險管理;內部審計;風險管理審計
中圖分類號:F239文獻標識碼:A文章編號:16723198(2009)22018102
1 我國風險管理審計準則出臺的背景
如今的西方多數大中型企業均已實施了不同程度的風險管理。根據德勤2003 年的調查, 80%以上的世界性金融機構已設立了風險管理師(CRO) 工作職位, CRO 職位比例居首位的為南美洲金融機構, 已達95%, 居末位的為亞洲金融機構, 僅為29%。在目前歐美的部分金融機構中CRO 的職位職能仍然由企業的風險管理委員會行使。普華永道2004 年對全球1 400 位CEO 進行了調查,其中70%的CEO 將發展與提高企業的整體化風險管理能力提高到他們當前工作內容的首位。調查還顯示38%CEO 認為, 企業已經建立了行之有效的企業整體化風險管理體系, 另有46%的CEO表示將在1- 3 年內建立與發展企業整體化風險管理體系。
為了適應企業界的這種變化,更好地實現組織價值的增值。國際內部審計師協會(IIA)1999年6月對內部審計進行第五次定義。修訂后的定義擴大了內部審計的范圍,將它的工作目標延伸到包括風險管理、控制與治理程序,強調了內部審計對組織的重要貢獻,標志著內部審計開始進入了風險管理審計階段。風險管理審計反映了內部審計動態發展的基本趨勢和變革傾向。
相比之下,我國企業的風險管理水平還處在初級階段, 雖然近年來取得了長足的進步, 但就總體而言, 與飛速發展的客觀經濟形勢仍不相適應, 呈滯后狀態。近年來國內外上市公司出現的誠信危機, 有力地推動了我國企業風險管理的進程。企業管理當局已經意識到現在的社會也是一個風險全球化的社會。因此迫切需要建立起一套適合我國企業進行風險管理的指導框架。2006年6月國務院國有資產監督管理委員會頒布實施了《中央企業全面風險管理指引》(下稱《指引》),該指引的頒行,可以看成是企業風險管理理論在我國大規模本土化的開始。
隨著經濟形勢發展及我國內部審計自身發展的需要,我國內審也開始重視風險管理內部審計。2005年中國內部審計協會頒布了《內部審計具體準則第16號風險管理審計》(下稱:風險管理審計準則),該準則的出臺為我國內部審計人員對組織內部風險管理狀況進行審查和評價提供了規范指導。
2 我國風險管理審計準則的內容及局限性
風險管理審計準則第2條對風險管理做了如下定義:是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證;第6條則描述了風險管理包括的主要階段:風險識別、風險評估以及風險應對;在該準則的第4條中,還特別強調:風險管理是組織內部控制的基本組成部分,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一。
首先,可以看出該準則所稱的“風險管理”是從狹義上理解的風險管理,即風險管理活動的具體實施過程:風險識別、評估及應對。而廣義的風險管理不僅包括上述的具體實施過程,還包括其他起輔助作用的要素:內部環境、控制活動以及監督。按目前狹義前提下制定的準則去執行,風險管理審計就會忽略這些起輔助作用的要素,以至發現不了組織風險管理活動中可能存在的潛在問題。中航油案例就是一個很好的例證。
中國航油(新加坡)股份有限公司(下稱中航油新加坡公司)曾聘請國際著名的安永會計師事務所為其編制《風險管理手冊》,設有專門的風險管理委員會及軟件監測系統,實施交易員、風險控制委員會、審計部、總裁、董事會層層上報,交叉控制,按照《風險管理手冊》的規定,任何導致50萬美元以上損失的交易將自動平倉。中航油新加坡公司共有10位交易員,損失的最大限額應是500萬(10×50萬=500萬)。但是中航油新加坡公司的衍生品交易最終虧損額高達5.5億美元,以至申請破產保護。中航油事件的核心問題并不在于市場云波詭秘,而是在于該公司從表面上看似乎已實施了風險管理的流程:風險識別、風險評估、風險應對;但缺少對風險管理系統中的其他輔助要素的合理關注,最終導致企業整體風險管理失敗。這一案例也再次說明:風險管理不僅僅只包括風險識別、評估及應對,更包括內部環境、控制活動、信息和溝通以及監控;風險管理系統的有效運轉依賴于各要素的通力協作,對風險管理不應停留于狹義上的理解;風險管理審計準則應指導內部審計人員從廣義上理解風險管理的涵義,全盤考慮風險管理的構成要素及其運作方式,及時有效地發現企業風險管理實踐中存在的短板。
其次,對風險管理審計的認識依賴于企業進行風險管理實踐時所采取的企業風險管理框架或風險模型(用來反映風險管理過程和內容的程序圖)。企業風險管理作為一種全新管理理念或管理框架的最終形成,是由美國發起人組織委員會(Committee of Sponsoring Organizations of the Treadway Commission,下稱COSO委員會)在2004年9月提出的《企業風險管理――整合框架》(Enterprise Risk Management Integrated Framework,下稱《ERM整合框架》)。這個框架是迄今為至企業風險管理最完善、最成熟的理論概括。國內中央企業在進行風險管理則是在《指引》的指導下并結合自身的實際情況開展的?!吨敢穼ζ髽I風險管理的目標、流程描述,與《ERM整合框架》中的描述大體相同。它將企業風險管理的目標設定為五個方面:一是將風險控制在與總體目標相適應并可承受的范圍內;二是確保企業內外部實現真實、可靠的信息溝通;三是遵守法律法規;四是通過企業制度安排降低實現經營目標的不確定性;五是建立針對重大風險發生后的危機處理計劃。這五個方面的目標,分別對應著《整合框架》提出的4個目標。它將企業風險管理流程區劃為收集初始信息、進行風險評估、制定管理策略、提出實施解決方案和監督改進等5個階段.分別對應著《整合框架》中的企業風險管理8大基本要素。所以風險管理審計準則中的風險管理概念要采納《ERM整合框架》中廣義的風險管理觀點而非其1992年的《內部控制整體框架》中狹義的觀點。
3 運用風險管理審計準則存在的制約因素
3.1 有關風險管理審計的法規及準則尚不完善
風險管理審計是從西方國家引入我國的,相關的法規及準則還不夠健全和完備。我國內部審計準則正處于跟國際內部審計準則接軌的階段當中,關于風險管理審計最主要的法規是2005年5月開始實施的風險管理審計準則,只是就風險識別、風險評估、風險應對進行風險管理審計作了原則性的規定,比較抽象,缺乏對風險管理審計操作的具體指導。其他有關風險管理審計的法規也比較缺乏。
3.2 企業管理觀念落后,風險意識不足
隨著企業外部經營環境的復雜化,領導層風險意識大大增強,認識到進行風險管理的重要性并著手建立自身的風險管理體系,但水平較低;同時尚未意識到內部審計機構開展風險管理審計的重大意義。在這樣的風險管理觀念里,很難有效進行風險管理,降低和避免風險帶來的損失只能成為空談。
3.3 內部審計在組織中的地位不合理
內部審計在組織中的地位影響其開展風險管理審計的效果。目前由于內審部門組織地位不合理,風險管理審計的開展變得異常艱難。有些企業將內部審計部門只設置在總經理層級之下,與其他職能部門同一級別。但企業總經理和以上的高層的職權高于內部審計部門,與內部審計部門的權力相抵觸,這樣在開展風險管理審計過程中,一旦高層發生舞弊或者重大決策失誤就不易發現和解決,這樣的情況下所進行的風險管理審計工作不僅難以保持內審人員的獨立性與客觀性,還存在著重大的審計風險,無法保證風險管理審計的質量,最終可能導致企業陷入危機。
3.4 內審人員知識結構單一、缺乏綜合知識
風險管理工作的復雜性決定了內部審計人員知識的全面性,決定了內部審計人員必須具備復合型人才的素質,不僅要具備會計、審計專業知識,還要熟悉企業經營環境和生產經營過程,具備管理學、金融、計算機技術、工程制造、法律等多方面知識。我國內部審計人員專業結構中,會計、審計專業占絕對統治地位,而其他專業的工作人員在內部審計人員結構中所占的比例相對較小。知識結構單一不能適應風險管理審計對知識綜合性的需求,風險管理審計難以開展。
4 有效開展風險管理審計的對策與建議
基于以上分析筆者認為,要實現有效的風險管理審計,要做到如下幾點:
4.1 豐富與完善風險管理審計準則的內容
對風險管理審計準則中的風險管理概念的理解就必須建立在廣義的基礎之上,即采納COSO委員會2004年的《ERM整合框架》中的廣義風險管理概念。鑒于內部控制與風險管理二者密不可分的聯系,在現行的準則體系下可以協調內部控制審計準則與風險管理審計準則之間的關系,以使風險管理審計準則能得以更有效的實施。
4.2 加速推進國內企業的風險管理實踐
企業風險管理理論和《指引》都是針對企業所面臨的各類風險提出的,都只是一個理論框架和方向指引,沒有統一具體的模式,在企業風險管理理論本土化的過程中應找到符合國內企業實際的切入點。每一個企業都有其特殊的行業特點,既有體制、歷史傳承、文化特色和企業員工隊伍、管理當局的素質水平等。這決定了不同的企業在實施風險管理時應有不同的切入點或突破口,不能好高驁遠,要從各自的實際出發,找準影響各自企業主要經營管理領域的不確定性來源,有針對性地進行企業風險管理實踐。
4.3 全面提高審計人員素質
首先,要改變審計人員專業結構的不合理,培養高水平復合型的人才。其次,要加強培訓,強化審計人員的邏輯思維和綜合分析能力,提高審計人員運用數理統計模型、金融工程等先進方法進行風險管理分析的能力。
參考文獻
一、內部審計概述
(一)內部審計的概念
所謂內部審計,是在組織內部建立,并為管理部門服務的一種具有獨立檢查、監督及評價的活動。在企業內部所設的本文由收集整理二級審計機構或部門以及審計人員,其可檢查、監督與評價內部牽制制度的充分性與有效性,還可遵循國家的法律法規,檢查、監督和評價會計及相關信息的真實性與合法性,并依照審計特有的專業技術及方法,監督評價企業資產的安全性與完整性以及企業自身經營業績的好壞與經營是否合規。保持相對獨立性地對本組織的財務活動、經營效益和各項管理活動進行的審計活動。內部審計是現代企業制度進一步完善的產物。
(二)內部審計與外部審計的聯系與區別
1、聯系:內部審計與外部審計的共同點是都掌握基本的財務審計技術,可能相互借鑒審計結果。
2、區別:一是不同的獨立性。內部審計與外部審計的目標不同和服務對象不同,所以兩者的獨立性也不相同。二是不同的審計目標。外部審計的目標是對財報的合法性與公允性作出評價,而內部審計的目的是評價和改善風險管理、控制和公司治理流程的有效性,幫助企業實現其目標。三是關注不同的重點領域。外部審計主要側重點是會計信息的質量和合規性,而內部審計是對經濟活動的合法合規與經營效率等進行關注。四是不同業務范圍。 外部審計是對財務報表、內部控制、鑒證、盡職調查等的審計業務,而內部審計則是以企業的經濟活動為基礎,并拓展到以管理領域為主的一種審計活動。六是不同的審計標準。法定的獨立審計準則級相關的法律法規是外部審計標準。而非法定的公認方針與程序是內部審計的標準。六是不同的專業勝任能力要求。和外部審計相比,由于內部審計是幫助企業實現其目標,改善機構的運作并增加其價值,所以內部審計對審計工作的管理知識水平有一定的要求,要求內部審計人員具備一定的管理知識與水平。
二、內部審計的角色定位
(一)內部審計的職能
內部審計職能指的是反映出內部審計的本質其本身固有的內在功能,其職能為實現審計目標服務,并隨著審計目標的變化而變化。其主要包括檢查、評價、簽證、建
設等職能。
首先是檢查職能:主要包括檢查企業各項業務與經濟活動是否合法合規、企業經濟活動資料是否真實可靠以及企業內部各種經濟活動的經濟有效性
其次是鑒證職能。指的是鑒定與證明被審計單位的財務狀況、經濟活動及經營成果,并作出審計結論。為了保證報表的質量,簽證是在檢查的基礎上進行。
再次是評價職能。內部審計評價必須要具備一套先進的、客觀的及具有可比性的標準與評價指標體系。主要是對單位的計劃、決策方案、預算等的可行性與合理性進行的評價、對企業經濟活動是否遵循既定的決策與目標所進行的評價以及對企業內控與管理責任制度等是否完備、合理及有效的評價。
最后是建設職能。所謂的建設職能指的是對企業在管理上的優點給予肯定,同時指出其不足,并提出合理化建議,協助企業經營管理者提高經濟管理活動的效率與效果。
(二)內部審計在現代企業風險管理中的積極作用
首先,內部審計能從戰略高度調控企業風險管理體系
內部審計在現代企業中占有特殊地位,現代企業要求建立隸屬于董事會的審計委員會,主要是為了讓其能從戰略高度對企業的風險管理體系進行調控。審計委員會是對董事會負責的監督監督者的部門,是現代企業董事會的二級機構,其是站在企業治理的高度對其內部審計監控體系進行全面的規劃與評價。
其次,內部審計能客觀評價企業風險管理體系,提出有效措施,降低風險損失
內部審計獨立于各業務職能部門,其不直接從事生產與經營業務活動。這就使審計部門得可站在全局高度、客觀的識別與評價風險,對企業進行整體內部控制設計的有效性評估,及時發現內部控制缺陷,協助內部機構確定、評價并實施針對風險管理的方法及措施,并及時的為企業管理部門提出有效的改進措施,控制風險,加強管理,減少風險所帶來的損失。
2科技企業風險投資項目存在的問題
2.1風險投資主體過于單一
當前,我國科技企業風險投資項目的投資主體主要依賴政府,科研機構與企業自身,且政府作為投資主體的風險投資項目占絕大多數,而高??蒲袡C構與企業作為投資的主體的情況較少,而甚少是通過民間資金募集,我國范圍內有關科技企業風險投資項目的社會資金募集機制尚未建立。在科技企業風險投資項目中,雖然大部分項目都是政府作為投資主體,但是對于科技企業而言,政府投資的資金規模不大,且投資的科技領域有一定的政策傾向,風險投資項目資金都具有較強的流向性,顯然這樣的投資模式必然導致我國科技企業風險投資項目的投資主體單一化,難以通過社會其他渠道募集到投資資金,這就會阻礙我國科技企業風險投資項目的發展,而另一方面,由于風險投資項目的投資主體過于單一化且大多投資主體為政府或者國企事業單位,這就會是科技企業風險投資項目的資金運作權集中在政府層面,由政府等單一作為投資主體的風險投資項目也會因為運作權的高度集中產生道德風險。
2.2風險投資項目中的信息不對稱
古典經濟學中,充分、完全的信息是一個假定的前提,但是隨著社會經濟的快速發展,信息經濟學的橫空出世打破了這一假定,著名的經濟學家詹姆斯·莫利斯把信息的非對稱性引入了經濟學中,這就大大拓寬了經濟學研究的范圍與領域,而信息的不對稱是普遍存在于現實的經濟活動之中的,由于信息的不對稱引發了“道德風險”與“逆向選擇”等諸多問題,這些大大降低了經濟運行的效率,而從這一方面來看,在科技企業風險投資項目中,信息的不對稱會給投資項目帶來一定的風險。由于科技企業與風險資本的持有者之間的信息不對稱,這就導致兩者之間產生決策上的偏差,不能共同促使資金的有效利用,促使企業風險投資活動的健康發展,這就客觀要求二者之間必須建立有效的、能起到良好的激勵和約束作用的融資機制來確保信息的充分披露,以保證科技企業的經營活動不損害風險資本家的利益,并更好地將兩者的利益集合起來。風險投資在投資過程要直接參與到被投資企業的具體運作中去,風險投資者要積極地參與到科技企業的管理工作中去,對企業風險投資項目進行管理與監督,保證投資的有合理性與有效性。
2.3風險投資專業人員匱乏
在科技企業風險投資項目的運營與管理中,企業不但需要具有較強金融管理能力的風險投資人才,更需要會技術、懂管理的專業科技人才,尤其是具有高技術的科學家、工程師等專業技術人員。這些人才具有很強的專業技術知識,同時具有豐富的科技研發經驗,他們能夠準確地分析當前科技企業開展項目的商業價值與技術價值,預測當前項目未來的發展前途,使風險投資資金與項目進行有效結合,進而提高企業風險投資的有效性,為企業創造豐厚利潤。但是就目前而言,我國科技企業風險投資項目的缺乏這樣的專業人才,這就導致科技企業風險投資發展緩慢。在這種情況下,一些科技企業雖然完成風險投資項目的前期工作,但是隨著項目發展的不斷深入,由于風險投資人才與高技術核心人才的匱乏,科技企業風險投資項目的發展就會出現一些本可以避免的問題與風險,而這些勢必會導致效率下降,最終影響整個項目的運行,甚至也會導致科技企業風險投資項目的失敗。
2.4政策引導力度欠佳
從我國科技企業風險投資的支援體系上看,由于我國風險投資起步較晚,尤其是針對科技企業的風險投資的引導,缺乏強有力的政策扶持與相應的法律法規,而且政府對科技企業風險投資項目的扶植也僅限于部分領域,扶植具有較強的政策傾向性,而且就目前而言,我國長期實行科研經費由行政主管部門分配管理體制或者政府財政部門逐級分配的管理體制,科研成果商品化程度較低,而且關于科技企業風險投資的法律法規不完善,對科技企業風險投資缺乏明確的發展計劃、規范化的管理方、有效的激勵、嚴格的監督作用,這就很難促進我國科技企業風險投資項目的發展。
3降低科技企業風險投資項目風險措施
3.1培養多元化的風險投資主體
科技企業風險投資項目資金短缺是其在發展過程中遇到的主要問題之一,而風險投資資金的短缺在很大程度上是由于風險投資主體較少引起的,所以發展科技企業風險投資項目,就必須引入更多的風險資本,培養多元化的風險投資主體。當前科技企業發展風險投資項目的主要任務是建立科技企業風險投資運營機制,用良好的機制吸引更多的社會投資主體,逐步提高風險投資的資金量,增加科技企業風險投資項目資金的有效供給,從而構建多元化的風險投資機構。在構建的過程中,要從我國科技企業的實際出發,根據當前我國科技企業的基本情況,創建符合我國科技企業風險投資模式,使科技與資本完美結合。這不但有利于扶持我國科技企業風險投資事業的發展,也能拓寬新的合作渠道,幫助企業產品順利進入市場。與此同時,要逐步創立風險投資公司,以高新技術項目、企業生產銷售條件以及銀行貸款聯合創辦高新技術風險投資公司,風險投資公司可以從成功企業的股份升值中較快地收回風險投資,用成功項目的收益來彌補失敗項目的損失,形成資金的良性循環和合理運用。
3.2建立發達的信息溝通渠道
在風險投資過程中,如果各個風險投資公司之間缺少必要的溝通和聯系,每個風險投資項目從確定到運作到最終退出都是風險投資公司獨自進行信息的收集、分析和處理,那么不僅投資成本偏高,而且投資決策也很難做到客觀公正。因此,除風險投資公司建立健全自己的信息網絡即專家庫之外,企業根據實際需要,由政府或行業協會牽頭,企業參與,組織和建立暢通、便捷、高效的信息溝通渠道,通過局域網或者是互聯網等方式聯接,使科技企業能夠及時掌握國內外最新專利、技術等技術市場的行情信息,并獲取風險投資資金的信息,保證科技企業風險投資項目的資金需求量,這樣既可以為相關的風險投資者提供適合的風險投資項目,也可以為科技企業的創業者提供更多的資金來源渠道,進而保證科技企業風險投資項目資金的充裕,為企業創造更大的經濟價值。
3.3積極培養復合型風險投資人才
在風險投資項目過程中,對風險投資項目的運行不但需要熟練掌握高新技術,且具有創新精神、敢于冒險、富有進取精神的技術人員,更需要具有金融知識并有較強風險意識的風險投資管理者。就目前來看,我國科技企業風險投資項目的相關復合型風險投資人才較少,而近年來科技企業風險投資項目與日俱增,所以復合型投資人才難以滿足當前風險投資項目的發展。我國科技企業在發展其風險項目的同時應當積極培養復合型的風險投資人才。一方面科技企業可以通過與科研機構或相關高校合作,開設相關風險人才培養專業,以此滿足市場對相關復合型風險投資人才的需求。另一方面加強對國內外風險投資人才的學習力度,積極學習國內外先進的風險投資項目管理經驗,以此提高大慶復合型投資人才的質量。
2風控管理體系建立目標與企業需求
為滿足外部監管和管控要求,結合企業多元化戰略等特點,對企業全面內控及風險管理水平和能力進行診斷和優化,加強內部管理水平,防范企業風險,圍繞企業戰略經營目標,建立覆蓋企業各業務、各部門的風險識別、評估及應對機制,培養和建立企業內部的風險管控專業化人才隊伍,加強企業合法合規經營。風險管理信息化控制要求企業流程規范、制度完善,對企業一些風險采取風險預警及采用風險應對措施,行業內部提出建立《全面風險和內部控制風控管理體系》的理念。2009年,集團公司成立風險審計內控部門,下屬單位也相繼成立風控審計部門,目的為了建立更好的企業,防止出現企業戰略與經營層面的一些風險,借助國外的經營管理思想,提出風險和內控理念。在企業經營發展中會面臨各種各樣的風險,如在戰略層面企業需要投資一個新的企業,需要評估整個市場的定位,評估戰略風險、實施結果風險、企業資金流風險,決策層面的風險、流程方面的風險、生產過程中進度風險、質量風險等等,這些風險都是企業所需要面臨的,怎樣規避這些風險以及采取應對措施,盡量減少對企業的損失是建立風控體系的目標。當然也存在利好的風險,如果對這類風險應對得當,對企業的發展反而是有利的。全面風險管理體系建設目標是建設以風險管理為導向、以內部控制和內部審計為手段的風控體系,并通過信息化將風控體系與各價值鏈活動和管理活動有機融合,提升企業運營管控水平,保證企業戰略經營目標落地。
3風控管理體系建設總體思路
傳統企業建立風控體系是以部門級需求為主、以企業風控主管部門為主,獨立完成各類風險評估,建立部門級風控體系,僅僅是風控審計部門的一個風險評估工作平臺,并未達到企業級防控目標,提升不了企業戰略高度。企業風險有戰略經營層面風險、資金風險、庫存風險、生產風險、IT風險、服務風險、交付風險等滲透在各個業務流程中,只有各個業務部門知道各個業務的風險發生點,所有風險的監控需要各業務部門協調,由企業級風險控制部門統管,組成企業級風控團隊,提高企業風險管控能力。為了滿足企業的經營發展,需從部門級風控需求上升至企業級風控需求,驅動企業戰略目標,使企業業務流程化,組織績效最大化,建立基于端對端流程的業務協作和信息共享,面向企業級需求總體設計和規劃企業風險控制管理體系。
控管理體系的建設方法
做好企業的風控管理,實際上是對企業IT系統的治理和改造過程,將風控點滲透到企業信息系統中,找到風險點在何處,分析哪些風險是對企業影響最大的,哪些風險是業務層面的,由公司風控管理部門協調管理。風控體系建設目標分為體系建設和IT建設兩部分。首先企業應明確風險是企業全部門的事情,要培養企業員工風控意識,沒有風控意識,企業制度不完善,業務流程不規范甚至沒有業務流程,都將影響企業的經營戰略。風險管理文化要貫穿至企業各業務和流程中,完善企業各類制度、規范流程,梳理出各類風險點,企業就有了風險體系和風險管理文化,基于風控體系企業的合規性IT建設就有良好的基礎了。從體系優化到IT系統固化:風險監控預警與內部控制系統采用一套流程、不同視角的設計理念,可在企業戰略管理、科研生產等各項活動中,對各類風險進行識別、評估、應對和分析,通過數據集成提供實時動態的風險監控預警。發揮IT技術對風控體系在各業務系滲透作用,力促營造依法合規、科學規范、風清氣正的運營氛圍,保障企業的持續發展。
5風控管理體系的藍圖設計、方案設計
圍繞企業戰略流程的嵌入式管控體系,梳理出各業務風險點。風險監控值、目標值、閥值和實際值都來源于業務。根據企業發展階段,通過風控系統風險數據的準確性得到保證,風險指標的合理性、監控預警模型和算法得到規范,實現企業風險智能監控;企業領導層所關注的各個層面的風險展示界面清晰、快捷;企業風險點明確;風險評估、預警準確及時;為決策及管理層提供風控主題,使風控企業內閉環流轉,提高工作效率。經過大量的閉環運行,企業預警模型才能逐步完善,基于模型創建風險指標,才能實現企業風險的智能監控。風控體系建設藍圖設計使風險-內控-審計有機結合,在各項業務活動中管控風險。風控體系的建設從企業戰略目標出發,梳理業務架構,考慮影響戰略目標實現的各風險領域,在此基礎上設計支撐戰略目標實現的內控管理流程及具體控制措施。風控體系的建設應將企業已有的應用系統與風控系統集成設計。企業風控體系的建設,實際也是對企業IT系統的治理和改造,將風險點滲透到各個相關系統業務點,通過風控系統也業務系統關聯,達到風控目標。全面風險管理框架是:風險管理體系-風險管理文化-風險管理組織職能體系-內部控制系統-風險管理信息系統-風險管理績效考核。風險管理體系———風險管理文化是企業文化的一個重要部分,風險管理文化的建設應融入企業文化建設全過程,將風險管理意識轉化為員工的共同認識和自覺行動,促進企業建立系統、規范、高效的風險管理機制。風險管理文化需在企業內部形成共同的風險語言,在各個層面營造風險管理文化氛圍。風險管理文化建設應與薪酬制度和人事制度相結合,有利于增強各級管理人員特別是高級管理人員風險意識。建立重要管理及業務流程、風險控制點的管理人員和業務操作人員崗前風險管理培訓制度。采取多種途經和形式,加強對風險管理理念、知識、流程、管控核心內容的培訓,培養風險管理人才,培育風險管理文化。風險管理體系———風險管理組織職能體系第一道防線,有關職能部門和業務單位。提出這道防線,最大好處是把風險管理的手段和內控程序融入到了企業的各業務單位的工作與流程中,防止風險管理與各業務單位的工作脫節,搞“兩張皮”。第二道防線,專職風險管理職能部門和董事會下設的風險管理委員會。在進入全面風險管理階段,設立這道防線,有利于統一組織領導,統一策略與標準,共享人力資源。第三道防線,審計委員會、內部審計部門。風險管理體系———內部控制系統從企業戰略出發,以風險為導向,通過評估、改善與提升、監督的方法維護公司內部控制系統的有效運作,實現內部控制的五個目標:合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。風險管理體系———風險管理信息系統:風險管理信息系統需包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。風險管理體系———風險管理績效考核,各有關部門和業務單位應定期對風險管理工作進行自查和檢驗,及時發現缺陷并改進,其檢查、檢驗報告應及時報送企業風險管理職能部門;企業風險管理職能部門應定期對各部門和業務單位風險管理工作實施情況和有效性進行檢查和檢驗,對風險管理策略進行評估,對跨部門和業務單位的風險管理解決方案進行評價,提出調整或改進建議,出具評價和建議報告,及時報送企業總經理或其委托分管風險管理工作的高級管理人員;建立內控考核評價制度,把各業務單位風險管理執行情況與績效薪酬掛鉤。