關鍵詞:企業風險管理;內部控制;內部審計
一、企業風險管理框架的提出
2004年,美國Treadway委員會下屬贊助委員會(COSO)在內部控制框架概念的基礎上,提出了企業風險管理(Enterprise Risk Management,ERM)的概念,使內部控制的研究發展到一個新的階段。COSO這樣定義企業風險管理,企業風險管理是一個過程,受企業董事會、管理當局和其他員工的影響,包括內部控制及其在戰略和整個公司的應用.旨在爲實現經營的效率和效果、財務報告的可靠性以及現行法規的遵循提供合理保證。COSO認爲,ERM爲公司董事會提供了有關企業所面臨的重要風險,以及如何進行風險管理方面的資訊,並進一步提出企業風險管理由內部環境、目標設定、事件辨別、風險評估、風險反應、控制活動、資訊和交流以及監督等8個方面組成。
1.內部環境(Internal Environment)。企業的內部環境是其他所有風險管理要素的基礎,爲其他要素提供規則和結構,也爲ERM的其他組成因素提供了框架。其中特別是管理當局的風險偏好,決定了公司對可能出現的預料之外的事件的態度,管理當局和董事會必須明確戰略及其執行過程中的風險和回報。
2.目標設定(Objective Setting)。即管理層必須基於目標來識別成功的潛在因素。根據企業確定的任務或預期,管理者制定企業的戰略目標,選擇戰略並確定其他與之相關的目標並在企業內層層分解和落實。其中,其他相關目標是指除戰略目標之外的其他目標,其制定應與企業的戰略相聯繫。管理者必須首先確定企業的目標。才能夠確定對目標的實現有潛在影響的事項,而企業風險管理就是提供給企業管理者一個適當的過程,既能夠幫助制定企業的目標,又能夠將目標與企業的任務或預期聯繫在一起,並且保證制定的目標與企業的風險偏好相一致。
3.事件辨別(Event Identification)。在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上,企業風險管理要求辨別可能對實現公司目標產生負面影響的所有重要情況或事件,事件辨別的基礎是將可能的風險與環境進行對比。這一步要求綜合運用各種專業知識,儘可能地瞭解企業當前或將來的.環境和經營情況。
4.風險評估(Risk Assessment)。一般用可能性(概率)和影響結果兩個維度度量風險,前者是一定的負面影響事件發生的可能性;後者是假設事件發生,對經營、財務報告以及戰略產生影響的可能結果,潛在影響一般以對經營、數量、金錢損失以及戰略目標可能造成的損失進行計算。風險評估的過程中根據不同的情況,採用定性、定量以及相結合的方法,若可以獲取充足的數據,一般採用定量的評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數據,則一般採取定性的評估方法。
5.風險反應(Risk Response)。企業對每一個重要的風險及其對應的回報進行評價和平衡,結果取決於成本效益分析以及企業的風險偏好。而平衡的反應包括接受、規避或緩和這些風險,後者又包括風險分離、風險轉換或者減少(包括透過控制活動)等形式。風險反應是企業風險管理的整體重要組成部分。
6.控制活動(Control Activities)。控制活動是管理當局設計的政策和程序,爲執行特定的風險緩和反應提供合理保證。控制活動包括在整個組織中使用的批准、授權、註銷、確認、觀察、查證以及對經營業績複覈、資產安全、職責分離等方法。