对风险管理及风险管理审计的认识和理解,本文主要内容关键词为:风险管理论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、对风险的认识和理解
关于风险的定义有许多,各不相同。对风险的不同定义主要是基于对风险的认识和理解的不同,如中国《现代汉语词典》关于风险的定义是:可能发生的危险。亚洲风险与危机管理协会对风险的定义是:在特定条件下,给定期间内可能发生结果与期望结果之间的负差异。美国学者海恩斯所著的《经济中的风险》将风险定义为:损害或损失发生的可能性。这三种对风险的定义都强调风险是损失,忽视了风险带来的利益。试想,如果风险中没有利益,谁愿意去冒风险呢?我国有句古语“不入虎穴,焉得虎子”,说明了风险的实质。若入虎穴取虎子,其结果有三种可能:其一,入了虎穴得了虎子——获得收益:其二,入了虎穴被虎吃掉——造成损失;其三,入了虎穴未得虎子也未被虎吃掉——无收益也无损失。三种可能都与入穴时间、所持工具、穴内环境等风险转化条件有关。而要不要冒着生命危险进入虎穴取虎子,则与冒险者风险偏好、投入价值的预期收益等有关。由此,引出风险的第二类定义:国际风险标准化委员会在其发布的《风险管理原则与实施指南2007》指出:风险是不确定性对目标的影响。2006年6月6日国资委发布《中央企业全面风险管理指引》关于风险的定义是:指未来的不确定性对企业实现其经营目标的影响。它以能否为企业带来盈利等机会为标准,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。IIA(国际内部审计师协会)发布的《内部审计实务标准》关于风险的定义:风险是指可能对目标的实现产生影响的事件发生的不确定性。这三种定义大同小异,都表明风险既包含挑战(损失),也包含机遇(利益)。
二、对风险管理的认识和理解
对风险管理定义,前IIA主席伍顿安德森认为,企业风险管理就是通过确认、识别、管理和控制组织潜在的情况和事件,为实现组织目标而提供适当保证的程序。美国反虚假委员会COS02004年版《企业风险管理——整体框架》认为,风险管理是一个流程,在一个实体进行战略决策和执行决策的过程中,由董事会、管理层和其他人员实施,旨在识别可能影响实体的潜在事件进行管理,以使其处于该实体的风险容量之内,并为实体目标的实现提供合理保证。中国内部审计协会发布的第16号内部审计具体准则认为,风险管理是对组织目标实现的各种不确定性事件进行识别与评估并采取应对措施将其控制在可接受范围内的过程。三种风险管理定义的内涵应从以下四个方面把握:第一,风险管理是一个流程,是降低和控制风险的一系列程序,涉及对风险管理目标的确定、风险的识别与评价、风险管理方法的选择、风险管理方案的实施以及对风险管理计划持续不断地检查和修正的一个过程,强调风险管理的持续性。第二,风险管理不仅是风险管理委员会或者管理层的职责,还需要所有员工参与,体现风险管理的全员性。第三,风险管理的目的并不是不惜一切代价降低风险,而是尽量使风险减低至可以接受的容量范围内,体现风险与收益平衡的观点。第四,风险是无法彻底消除的,风险管理仅仅是对经营目标的实现做出合理而非绝对的保证,体现风险是客观存在的观点。
三、对风险管理五大理念的认识和理解
第一个理念:风险管理要以股东价值最大化为导向。风险管理是以企业整体利益最大化为原则。这一理念不仅体现在风险管理的目的是减少损失、控制风险、增加股东价值,还体现在判断风险的标准上,即对损失最大的风险进行优先管理。
第二个理念:风险管理要树立平衡的理念。风险管理不能控制不足,也不能控制过度,要做好两个平衡:一是风险控制与效果平衡,风险控制不能束缚企业追求利润最大化;二是风险控制与经营效率平衡,风险控制不能影响企业运营效率,风险控制的边际成本要与边际效益相联系,只有风险控制带来的价值大于因控制而增加的成本,风险控制才为有效。风险控制过度容易导致企业运营效率不高,反之控制不足容易导致风险事件的产生。
第三个理念:风险管理中应引入风险脆弱性概念。风险脆弱性是指风险因素发生的可能性减去采取相应控制手段后还会发生的程度,也称剩余风险。脆弱性越大,说明风险因素的可控程度越低,风险就越大;反之,脆弱性越小,说明风险因素的可控制程度越大,风险就越小。这个概念的实质是风险判断标准问题。我国风险判断标准主要有两条:一是风险因素发生影响性,二是风险因素发生的可能性。美国风险判断标准主要有三条:一是风险因素发生影响性;二是风险因素发生的可能性;三是风险脆弱性(可能性—降低可能性)。我国和美国的风险判断标准大同小异,相同性表现在风险因素发生影响性、风险因素发生可能性,不同表现在风险脆弱性。差异的实质是风险管理的理念、方法的不同,主要表现在:一是理念不同。美国风险管理理念是风险是可控的,控制可以减少风险或降低风险程度。二是对重大风险的确认不同。我国将风险因素中影响大、发生可能性高列为重大风险因素,美国认为,尽管风险因素影响大、发生可能性高,但只要控制有效,也不列为重大风险。三是对风险因素识别不同。美国的风险识别,不仅识别风险因素的影响性、发生的可能性,还要识别控制风险措施的健全性和有效性。四是风险管理审计内容不同。美国风险管理审计不仅要评价风险管理活动,还要评价风险管理体制、机制的健全性和有效性。
第四个理念:风险就是速度。风险的反应速度是人的反应速度与事物的变化速度之比。事物变化的速度越快,人们的反应速度越慢,风险就越高,相反风险就越低。
第五个理念:风险管理是保持企业持续发展的重要途径。风险管理的实质是面向未来,对影响企业持续性发展的不确定因素进行管理,控制和减少不确定性对企业持续性影响,避免企业出现颠覆性事件,断送企业的持续发展。
四、对风险管理七项原则的认识和理解
第一项原则:全面性原则。全面性原则主要体现在对风险的识别上。要对风险做出正确的评估,必须全面了解各种风险发生及可能导致后果的详细状况,了解各种风险事件存在和可能发生的概率以及损失的严重程度,风险事故产生而导致的其他问题。
第二项原则:重要性原则。重要性原则主要体现在:一是在重大风险的识别上,要重点关注高层重要人物、重要部门的风险识别,因为他们更加了解企业存在的主要风险。二是在重大风险管理上要按照风险对价值影响大小排序对重大风险优先管理。三是应用重要资源集中对重大风险进行管理。
第三项原则:嵌入性原则。嵌入性原则主要体现在企业应将风险管理与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。只有把风险控制嵌入企业管理业务流程中,才能以流程为基础,落实内部控制,提高过程控制能力和人员执行力,提升风险管理的有效性。
第四项原则:持续性原则。持续性原则主要体现在风险识别的持续性、风险评估的持续性和风险控制的持续性上。事物是运动的,环境是变化的,风险也会随着条件的变化而变化,因此,风险管理必须体现持续性原则,不断改善风险管理。
第五项原则:系统性原则。系统性原则主要体现在风险因素的相关性及风险方案的整体性上。风险管理的内容及措施涉及企业生产经营的各方面,既要符合企业的长期战略,又要注重短期经营目标,同时还要考虑各风险因素相互影响、相互作用,从总体上系统把握。
第六项原则:控制与效率效果平衡原则。控制与效率效果平衡原则主要体现在风险控制不能过度,也不能失控。
第七个原则:风险共识原则。风险共识原则主要体现在要形成上下共同认可的风险管理文化,只有在全体人员形成风险共识的情况下,才能有效地对风险进行全员性自觉管理。
五、对风险管理审计框架的认识和理解
风险管理审计框架包括开展风险管理审计的程序和内容等。风险管理审计以风险因素优先为原则(以风险为导向),即审计计划的制订应该根据风险因素的特征、性质、程度进行初步判断,然后确定审计对象,合理配置审计资源,将审计资源集中在重要性风险的测评和审核上。风险管理审计框架如图1所示。其中,对审计对象的确定可以采用三种方法:一是系统确认法。经过系统的风险分析,根据重要性原则确定风险程度并按从高到低进行选择。二是嘎吱车轮法。由董事局、管理当局、国家法规、外部审计(政府或社会审计)等要求或提出急需关注和处理的问题。三是审计对象根据管理需要自行提出的审计要求。对风险管理审计测试主要包括风险识别、分析、测量,对风险管理控制措施的合理性、有效性以及实际损失处理的适当性进行评价。风险管理审计报告应能使管理层充分理解风险程度,应特别提出风险活动对于实现目标的关键性影响和后果,并对改善风险管理提出建议。由于风险管理是一个系统、连续的过程,风险管理审计的监控和评价也应与之协调,所以,后续审计更显得重要和必不可少。
图1 风险管理审计框架
标签:风险管理论文; 风险因素论文; 中央企业全面风险管理指引论文; 管理审计论文; 企业内部控制与风险管理论文; 审计计划论文; 管理控制论文; 风险控制论文; 审计流程论文; 审计方法论文; 审计目标论文; 审计准则论文;