论文部分内容阅读
【摘 要】 经过不断发展和演进,内部控制先后经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架和风险管理整合框架等阶段。特别是2007年下半年金融危机爆发后,人们对内部控制和风险管理的认识得到进一步提升,两者融合的趋势日益明显。在COSO风险管理整合框架的基础上,德勤国际会计公司借助现代信息技术,提出风险智能管理框架的新思想,并尝试在其客户中推广和应用,取得良好的实践效果。文章在回顾内部控制发展历程的同时,重点介绍德勤国际会计公司的风险智能管理框架,以期为企业实施内部控制和风险管理提供借鉴。
【关键词】 内部控制; 风险管理; COSO报告; 风险智能管理框架
企业在生产经营活动中经常面临影响目标实现的各种不确定性因素(即风险),针对各种风险,需要实施内部控制,以确保企业目标的实现。内部控制和风险管理是非常重要的管理术语,是促进企业实现战略目标和经营计划,使之良好运行的必要因素。经过不断发展,内部控制和风险管理经历了由低级到高级的演进变化,两者整合及智能化管理的趋势日益明显。
一、内部控制的产生与发展
内部控制源于早期的内部牵制,内部牵制是以提供有效的组织和经营,并防止错误和其他非法业务的发生,以不相容职务分离和账目核对为基础的制度设计,包括实物牵制、机械牵制、体制牵制、簿记牵制等。内部牵制的机理基于两个设想:一是两个或两个以上的人或部门无意识地犯同样错误的机会是很小的;二是两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。内部牵制是内部控制的萌芽阶段。
1949年,美国注册会计师协会(AICPA)审计程序委员会首次提出了内部控制制度,认为内部控制制度是企业所制定的旨在保护资产安全、保证会计信息可靠、提高企业经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。后来,该程序委员会又将内部控制划分为内部会计控制和内部管理控制两类。会计控制由所有与保护资产安全、保证会计信息可靠性有关的组织计划、方法和程序构成,包括授权与批准制度;记账、编制财务报表、保管财物等职务的分离;财产的实物控制;内部审计等。管理控制由所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行等有关的组织计划、方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接关系,如统计分析、经营报告、雇员培训和质量控制等。独立审计师应主要检查会计控制。管理控制通常只对财务记录产生间接的影响,因此,审计人员可不对其作评价。
1988年,AICPA发布了《第55号审计准则公告:财务报表审计中对内部控制结构的考虑》,以“内部控制结构”取代了原有的“内部控制制度”。内部控制结构是指为合理保证企业特定目标的实现而建立的各种政策和程序,包括控制环境、会计系统和控制程序。控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素,如管理者的思想和经营作风、企业组织结构、董事会及其所属委员会(特别是审计委员会)发挥的职能等。会计系统规定各项交易及事项的分析、归类、记录和编报的方法等。控制程序是管理当局所制定的用以保证达到一定目标的措施和方法,如授权审批、不相容职务分离、内部稽核等。
二、从内部控制结构到内部控制框架
1992年之前,人们对内部控制存在着多种解释。从审计视角看,内部控制是保证财务报告可靠性的手段和方法;从管理者视角看,内部控制是保证企业效率效果目标实现的管理控制;从股东和其他利益相关者的角度看,内部控制是为解决代理人的道德风险与逆向选择问题而建立的一套监督和制衡制度,即公司治理(张先治等,2011)。为整合多种内部控制概念和解释,1992年,美国“反虚假报告委员会”专门成立了COSO委员会。经过研究,COSO委员会发布了专题报告《内部控制:整体框架》,将内部控制定义为:由企业董事会、经理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。整体框架认为内部控制是由目标层面、要素层面和结构层面构成的三维度整体框架。目标层面包括财务报告目标、经营目标及合规性目标三个方面;要素层面包括控制环境、风险评估、控制活动、信息与沟通、监督五要素;结构层面包括各业务单位和业务活动。如图1所示。
内部控制整体框架相比以前的发展而言,有以下进步:
1.强调内部控制是一个过程,是为实现组织目标而实施控制活动的过程,是一个多维度的整体框架,而不仅是文件化的流程和制度。
2.内部控制的主体是全体员工,而不仅仅是经理层的控制,更不等于会计控制,上至董事会、经理层,下至普通员工,各部门、各岗位都是风险控制的主体。董事会对内部控制的建立健全和有效性负责。
3.内部控制的目标不仅仅是预防差错和舞弊,也不仅仅是为财务报告的可靠性,还包括经营目标及合规性目标,预防差错和发现舞弊包含于这三个目标之内。
4.内部控制只能提供一种合理保证,员工串通、管理层凌驾、职业判断、成本效益等可能使控制活动失效。
5.控制活动的对象是风险,而不是普通员工,员工是实施控制活动的主体。
COSO的内部控制整体框架获得了广泛认可,美国公共监督委员会(Public Oversight Board,POB)不仅特地为这个报告发表了推荐公告,还建议美国证券交易委员会(Securities and Exchange Commission,SEC)要求上市公司在公司年报中进行内部控制有效性评价,并把该框架设定为评价内部控制有效性的标准。SEC没有采纳将该框架作为内部控制强制性标准的建议,主要原因如下:一是COSO委员会主要由财务、会计、审计领域的人员组成,代表性不够,在平衡各利益相关方的利益关系上缺少权威性;二是该框架明显偏向会计、审计视角,内部控制目标过分强调财务报告的可靠性,管理层和其他利益相关方不太愿意接受这一点;三是该框架对内部控制的有效性缺少清晰的判断标准。 三、从内部控制框架到风险管理整合框架
2004年9月,COSO委员会根据SOX法案要求,修订了原报告内容,发布了《企业风险管理——整合框架》(EnterpriseRisk Management:Integrated Framework,
ERM)。ERM认为风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略管理和整个公司活动中的应用,旨在为实现经营的效率和效果、公司报告的可靠性及法规的遵循提供合理保证。如图2所示,风险是对实现目标可能产生影响的各种不确定性因素,可能形成实际结果与预期目标的差异。内部控制是对影响企业目标的众多不确定因素进行辨别和评估,实施相应的控制活动,以管理和控制这些风险,从而为企业目标的实现提供合理保证的过程。ERM涵盖了先前的内部控制整体框架,认为内部控制是实现风险管理的手段,是企业风险管理的重要内容,两者应融为一体,整合为一个完整框架。
如图3所示,ERM具备完整的三维度结构,目标层面包括战略目标、经营目标、合规性目标和报告目标;要素层面包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督八要素;结构层面包括企业整体、业务活动、分支机构和子公司四个方面。
ERM在内部控制整体框架的基础上增加了战略目标和目标设定、事项识别、风险应对三个要素,从而形成一个三维度的整合框架。在目标层面,ERM认为风险管理的最高目标是帮助企业实现发展战略,促进企业可持续发展。另外,在报告目标方面,ERM也拓展了范围,由财务报告目标扩大到促进公司整个报告可靠性的提高;在要素层面,ERM突出了风险评估和应对的重要性,从目标设定、事项识别、风险评估和风险应对四个方面完善了风险管理流程,并定义了风险偏好和风险容忍度两个概念;在结构层面,ERM认为风险管理活动贯穿于企业上下和业务始终,上至公司战略和经营计划,下至业务单元和职务岗位,是一种全面风险管理,涉及企业整体、业务单元、附属企业和子公司四个层面,需要依靠企业管理系统整体推进。
四、从风险管理整合框架到风险智能管理框架
在经济全球化背景下,企业生产经营活动的复杂化使得企业风险层出不穷,风险管理变得日益复杂,单靠人工管理风险已变得力不从心。在COSO风险管理整合框架的基础上,德勤国际会计公司借助现代信息技术,提出风险智能管理框架的新思维。在风险智能管理框架下,人们对风险及风险管理的认识相比传统的理念发生了很多变化,如图4所示。传统的风险管理认为风险是需要控制的不利因素,风险管理是一项狭窄的独立管理职能,主要集中在低层次的业务层面和职务岗位方面,以财务控制为主,重点是防范差错和舞弊,注重风险管理流程和制度,由专职的内部职能部门去完成。而风险智能管理则将风险管理与企业目标及价值创造联系起来,认为风险管理是一项全面系统的企业管理职能,是由特定要素构成的完整框架。风险智能管理不仅有科学的管理流程、实用的管理技术、先进的风险衡量工具,还特别注重人力资源、企业文化、正直诚信、核心价值观等软环境的建设和培育。风险智能管理不仅能降低企业目标实现的不确定性,而且能够为企业减少损失,增加价值创造。如图5所示,风险智能管理框架的实施有三个层次九项核心原则。
(一)风险治理
1.董事会对风险治理负责,设计、实施并维护有效的风险管理机制。
2.公司上下对于风险管理有统一的认识,包括价值维护和价值创造。
3.公司清晰地定义了有关风险管理的重要角色、职责和授权。
4.公司上下应用统一的风险管理框架,该框架符合适当的标准。
5.监督是确保风险管理机制有效运行的关键。公司治理层对风险管理进行适当的监督,高层基调至关重要。
(二)风险架构及监督
1.管理层负责风险架构的设计和实施,风险架构涉及人员、流程和技术三个方面,统一的风险框架应用于公司所有部门和业务单元。
2.内部审计部、合规部等职能部门应对公司风险管理的有效性进行监督和报告。
(三)风险归属
1.风险包括治理风险、战略风险、经营风险、合规性风险和财务报告风险。各部门不仅对自身的业绩负责,同时对风险框架内自身应负担的风险负责。董事会对战略风险和重大风险负责;经理层对日常经营风险负责;普通员工对岗位操作风险负责。
2.风险管理流程包括目标设定、风险识别、风险分析、风险应对、设计和执行控制活动、监督并确保控制活动有效等。职能部门,例如财务部、审计部、合规部等应对业务部门的风险管理提供相应支持。
风险智能管理框架还强调企业在发展战略和资源配置层面的风险考量,并关注风险管控的持续改进。发展战略是指企业在战略管理中应嵌入风险因素,包括战略规划风险和战略实施风险,特别是要关注重大风险的控制。企业关键决策应进行风险评估,企业要善于从风险管控中寻求发展机会和价值创造空间。董事、监事和高管人员应强调风险管控的重要性,并与企业文化、核心价值观等相互配合,使企业上下形成统一的思想认识。企业应将风险管控策略全面融入企业目标、战略规划和经营计划,并配置相应的资源。资源配置是指企业应定期或不定期评估风险,根据评估结果合理配置风险管控资源,包括资金、人力、技术、外包等,对于重大风险应配置充足的管控资源。持续改进是指企业应不断地采取措施以提高风险管理的效率和有效性,其过程包括协调(确保公司内部使用共同的风险管控语言)、同步化(在整个组织内部采取协调一致的行动)及合理化(消除无效或重复性的作业)等。
五、德勤国际会计公司的风险智能成熟度模型
德勤国际会计公司按照风险智能管理框架的三个层次九项原则,依据企业风险管理水平的不同设计了风险智能成熟度模型,用于评估客户的风险管理水平。如图6所示,该模型将企业的风险管理水平由低到高分为五个级别,即无意识型、松散型、自上而下型、系统型及风险智能型。 1.无意识型。该类企业的风险管理水平最低,风险管理具有偶然性和无序性;主要依靠个人的风险意识、能力和知识进行。
2.松散型。这类企业没有意识到各项风险的内在联系;风险管理很少和公司战略相联系;缺少监督体系;对不利事件缺少系统的应对方案或仅由专家就事论事地作出反应;仅对少数风险建立相互独立的机制。
3.自上而下型。这类企业确立了风险管理的相关政策和授权体系,并在内部进行有效的传达;能够定期进行风险评估;关键风险与董事会沟通;风险分析基本是定性的,风险衡量技术落后;成立专门的职能部门管理风险;风险管理多是被动进行的。
4.系统型。这类企业内部有协调一致的风险管理活动;明确了风险容忍度;能够站在企业整体层面进行风险监督、评价和报告;注重内部岗位培训和风险培训;对于不利事件有系统的反应机制;相关信息能够快速进行内部沟通;能够有意识地主动管理风险。
5.风险智能型。风险智能管理的企业能够将风险纳入决策流程;建立了科学的风险预警指标体系;风险管理与部门及岗位的绩效考评和激励机制相联系;设置风险模型,经常进行情景分析;建立了与行业最佳实践对比的动态指标体系;基于战略目标和可持续发展的高度全方位进行风险管理;大量依靠信息技术实施风险管理;董事会和管理层对整个风险管理流程有全面了解。
2012年3月,由德勤国际会计公司和清华大学经济管理学院共同举办的“风险智能榜2011年度中国优秀企业”评选活动揭晓,中石油、中海油、中国铝业、中国移动、大唐国际、上海汽车等25家公司榜上有名。评选由专家评审委员会按风险智能成熟度模型对参选企业进行统计评分,该项活动已举办两届,这是第二届。对照入选企业的评选条件,笔者经过梳理总结了入选企业的风险管理具有一些共同特征,如表1所示。
【主要参考文献】
[1] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(2).
[2] 董月超.从COSO框架报告看内部控制与风险管理的异同[J].审计研究,2009(4).
[3] 韩洪灵,郭燕敏,陈汉文.内部控制监督要素之应用性发展——基于风险导向的理论模型及其借鉴[J].会计研究,2009(8).
[4] 刘玉廷,朱海林,王宏.中国内部控制改革与发展[M].北京:经济科学出版社,2010.
[5] 谢志华.内部控制:本质与结构[J].会计研究,2009(12).
[6] 张先治,戴文涛.中国企业内部控制评价系统研究[J].审计研究,2011(1).
[7] 钟玮,唐海秀.内部控制系统要素功能耦合与动态演进[J].审计研究,2010(4).
[8] 中华人民共和国财政部.企业内部控制规范[M].中国财政经济出版社,2010.
[9] Bedard,Jean C.;Graham,Lynford.Detection and Severity Classifications of Sarbanes-Oxley Section 404 Internal Control Deficiencies. Accounting Review, Apr2011, Vol. 86 (3).
[10] COSO.Enterprise Risk Management—Integrated Frame-work.AICPA Publisher,2004.
[11] COSO.Effective Enterprise Risk Oversight:The Role of the Board of Directors.http://www.coso.orgdocumentsCOSO BoardsER M4pager-FINALRELEASEVERSION82409_001.pdf,2012-10-08.
[12] COSO.2010.Developing Key Risk Indicators to Strengthen Enterprise Risk Management. http://www.coso.org/documents/COSOKRIPaperFull-FINALforWebPostingDec110_000.pdf,2012-09-26.
[13] Norman T. Sheehan.A risk-based approach to strategy execution. Journal of Business Strategy,2010 Vol.31(5).
【关键词】 内部控制; 风险管理; COSO报告; 风险智能管理框架
企业在生产经营活动中经常面临影响目标实现的各种不确定性因素(即风险),针对各种风险,需要实施内部控制,以确保企业目标的实现。内部控制和风险管理是非常重要的管理术语,是促进企业实现战略目标和经营计划,使之良好运行的必要因素。经过不断发展,内部控制和风险管理经历了由低级到高级的演进变化,两者整合及智能化管理的趋势日益明显。
一、内部控制的产生与发展
内部控制源于早期的内部牵制,内部牵制是以提供有效的组织和经营,并防止错误和其他非法业务的发生,以不相容职务分离和账目核对为基础的制度设计,包括实物牵制、机械牵制、体制牵制、簿记牵制等。内部牵制的机理基于两个设想:一是两个或两个以上的人或部门无意识地犯同样错误的机会是很小的;二是两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。内部牵制是内部控制的萌芽阶段。
1949年,美国注册会计师协会(AICPA)审计程序委员会首次提出了内部控制制度,认为内部控制制度是企业所制定的旨在保护资产安全、保证会计信息可靠、提高企业经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。后来,该程序委员会又将内部控制划分为内部会计控制和内部管理控制两类。会计控制由所有与保护资产安全、保证会计信息可靠性有关的组织计划、方法和程序构成,包括授权与批准制度;记账、编制财务报表、保管财物等职务的分离;财产的实物控制;内部审计等。管理控制由所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行等有关的组织计划、方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接关系,如统计分析、经营报告、雇员培训和质量控制等。独立审计师应主要检查会计控制。管理控制通常只对财务记录产生间接的影响,因此,审计人员可不对其作评价。
1988年,AICPA发布了《第55号审计准则公告:财务报表审计中对内部控制结构的考虑》,以“内部控制结构”取代了原有的“内部控制制度”。内部控制结构是指为合理保证企业特定目标的实现而建立的各种政策和程序,包括控制环境、会计系统和控制程序。控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素,如管理者的思想和经营作风、企业组织结构、董事会及其所属委员会(特别是审计委员会)发挥的职能等。会计系统规定各项交易及事项的分析、归类、记录和编报的方法等。控制程序是管理当局所制定的用以保证达到一定目标的措施和方法,如授权审批、不相容职务分离、内部稽核等。
二、从内部控制结构到内部控制框架
1992年之前,人们对内部控制存在着多种解释。从审计视角看,内部控制是保证财务报告可靠性的手段和方法;从管理者视角看,内部控制是保证企业效率效果目标实现的管理控制;从股东和其他利益相关者的角度看,内部控制是为解决代理人的道德风险与逆向选择问题而建立的一套监督和制衡制度,即公司治理(张先治等,2011)。为整合多种内部控制概念和解释,1992年,美国“反虚假报告委员会”专门成立了COSO委员会。经过研究,COSO委员会发布了专题报告《内部控制:整体框架》,将内部控制定义为:由企业董事会、经理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。整体框架认为内部控制是由目标层面、要素层面和结构层面构成的三维度整体框架。目标层面包括财务报告目标、经营目标及合规性目标三个方面;要素层面包括控制环境、风险评估、控制活动、信息与沟通、监督五要素;结构层面包括各业务单位和业务活动。如图1所示。
内部控制整体框架相比以前的发展而言,有以下进步:
1.强调内部控制是一个过程,是为实现组织目标而实施控制活动的过程,是一个多维度的整体框架,而不仅是文件化的流程和制度。
2.内部控制的主体是全体员工,而不仅仅是经理层的控制,更不等于会计控制,上至董事会、经理层,下至普通员工,各部门、各岗位都是风险控制的主体。董事会对内部控制的建立健全和有效性负责。
3.内部控制的目标不仅仅是预防差错和舞弊,也不仅仅是为财务报告的可靠性,还包括经营目标及合规性目标,预防差错和发现舞弊包含于这三个目标之内。
4.内部控制只能提供一种合理保证,员工串通、管理层凌驾、职业判断、成本效益等可能使控制活动失效。
5.控制活动的对象是风险,而不是普通员工,员工是实施控制活动的主体。
COSO的内部控制整体框架获得了广泛认可,美国公共监督委员会(Public Oversight Board,POB)不仅特地为这个报告发表了推荐公告,还建议美国证券交易委员会(Securities and Exchange Commission,SEC)要求上市公司在公司年报中进行内部控制有效性评价,并把该框架设定为评价内部控制有效性的标准。SEC没有采纳将该框架作为内部控制强制性标准的建议,主要原因如下:一是COSO委员会主要由财务、会计、审计领域的人员组成,代表性不够,在平衡各利益相关方的利益关系上缺少权威性;二是该框架明显偏向会计、审计视角,内部控制目标过分强调财务报告的可靠性,管理层和其他利益相关方不太愿意接受这一点;三是该框架对内部控制的有效性缺少清晰的判断标准。 三、从内部控制框架到风险管理整合框架
2004年9月,COSO委员会根据SOX法案要求,修订了原报告内容,发布了《企业风险管理——整合框架》(EnterpriseRisk Management:Integrated Framework,
ERM)。ERM认为风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略管理和整个公司活动中的应用,旨在为实现经营的效率和效果、公司报告的可靠性及法规的遵循提供合理保证。如图2所示,风险是对实现目标可能产生影响的各种不确定性因素,可能形成实际结果与预期目标的差异。内部控制是对影响企业目标的众多不确定因素进行辨别和评估,实施相应的控制活动,以管理和控制这些风险,从而为企业目标的实现提供合理保证的过程。ERM涵盖了先前的内部控制整体框架,认为内部控制是实现风险管理的手段,是企业风险管理的重要内容,两者应融为一体,整合为一个完整框架。
如图3所示,ERM具备完整的三维度结构,目标层面包括战略目标、经营目标、合规性目标和报告目标;要素层面包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督八要素;结构层面包括企业整体、业务活动、分支机构和子公司四个方面。
ERM在内部控制整体框架的基础上增加了战略目标和目标设定、事项识别、风险应对三个要素,从而形成一个三维度的整合框架。在目标层面,ERM认为风险管理的最高目标是帮助企业实现发展战略,促进企业可持续发展。另外,在报告目标方面,ERM也拓展了范围,由财务报告目标扩大到促进公司整个报告可靠性的提高;在要素层面,ERM突出了风险评估和应对的重要性,从目标设定、事项识别、风险评估和风险应对四个方面完善了风险管理流程,并定义了风险偏好和风险容忍度两个概念;在结构层面,ERM认为风险管理活动贯穿于企业上下和业务始终,上至公司战略和经营计划,下至业务单元和职务岗位,是一种全面风险管理,涉及企业整体、业务单元、附属企业和子公司四个层面,需要依靠企业管理系统整体推进。
四、从风险管理整合框架到风险智能管理框架
在经济全球化背景下,企业生产经营活动的复杂化使得企业风险层出不穷,风险管理变得日益复杂,单靠人工管理风险已变得力不从心。在COSO风险管理整合框架的基础上,德勤国际会计公司借助现代信息技术,提出风险智能管理框架的新思维。在风险智能管理框架下,人们对风险及风险管理的认识相比传统的理念发生了很多变化,如图4所示。传统的风险管理认为风险是需要控制的不利因素,风险管理是一项狭窄的独立管理职能,主要集中在低层次的业务层面和职务岗位方面,以财务控制为主,重点是防范差错和舞弊,注重风险管理流程和制度,由专职的内部职能部门去完成。而风险智能管理则将风险管理与企业目标及价值创造联系起来,认为风险管理是一项全面系统的企业管理职能,是由特定要素构成的完整框架。风险智能管理不仅有科学的管理流程、实用的管理技术、先进的风险衡量工具,还特别注重人力资源、企业文化、正直诚信、核心价值观等软环境的建设和培育。风险智能管理不仅能降低企业目标实现的不确定性,而且能够为企业减少损失,增加价值创造。如图5所示,风险智能管理框架的实施有三个层次九项核心原则。
(一)风险治理
1.董事会对风险治理负责,设计、实施并维护有效的风险管理机制。
2.公司上下对于风险管理有统一的认识,包括价值维护和价值创造。
3.公司清晰地定义了有关风险管理的重要角色、职责和授权。
4.公司上下应用统一的风险管理框架,该框架符合适当的标准。
5.监督是确保风险管理机制有效运行的关键。公司治理层对风险管理进行适当的监督,高层基调至关重要。
(二)风险架构及监督
1.管理层负责风险架构的设计和实施,风险架构涉及人员、流程和技术三个方面,统一的风险框架应用于公司所有部门和业务单元。
2.内部审计部、合规部等职能部门应对公司风险管理的有效性进行监督和报告。
(三)风险归属
1.风险包括治理风险、战略风险、经营风险、合规性风险和财务报告风险。各部门不仅对自身的业绩负责,同时对风险框架内自身应负担的风险负责。董事会对战略风险和重大风险负责;经理层对日常经营风险负责;普通员工对岗位操作风险负责。
2.风险管理流程包括目标设定、风险识别、风险分析、风险应对、设计和执行控制活动、监督并确保控制活动有效等。职能部门,例如财务部、审计部、合规部等应对业务部门的风险管理提供相应支持。
风险智能管理框架还强调企业在发展战略和资源配置层面的风险考量,并关注风险管控的持续改进。发展战略是指企业在战略管理中应嵌入风险因素,包括战略规划风险和战略实施风险,特别是要关注重大风险的控制。企业关键决策应进行风险评估,企业要善于从风险管控中寻求发展机会和价值创造空间。董事、监事和高管人员应强调风险管控的重要性,并与企业文化、核心价值观等相互配合,使企业上下形成统一的思想认识。企业应将风险管控策略全面融入企业目标、战略规划和经营计划,并配置相应的资源。资源配置是指企业应定期或不定期评估风险,根据评估结果合理配置风险管控资源,包括资金、人力、技术、外包等,对于重大风险应配置充足的管控资源。持续改进是指企业应不断地采取措施以提高风险管理的效率和有效性,其过程包括协调(确保公司内部使用共同的风险管控语言)、同步化(在整个组织内部采取协调一致的行动)及合理化(消除无效或重复性的作业)等。
五、德勤国际会计公司的风险智能成熟度模型
德勤国际会计公司按照风险智能管理框架的三个层次九项原则,依据企业风险管理水平的不同设计了风险智能成熟度模型,用于评估客户的风险管理水平。如图6所示,该模型将企业的风险管理水平由低到高分为五个级别,即无意识型、松散型、自上而下型、系统型及风险智能型。 1.无意识型。该类企业的风险管理水平最低,风险管理具有偶然性和无序性;主要依靠个人的风险意识、能力和知识进行。
2.松散型。这类企业没有意识到各项风险的内在联系;风险管理很少和公司战略相联系;缺少监督体系;对不利事件缺少系统的应对方案或仅由专家就事论事地作出反应;仅对少数风险建立相互独立的机制。
3.自上而下型。这类企业确立了风险管理的相关政策和授权体系,并在内部进行有效的传达;能够定期进行风险评估;关键风险与董事会沟通;风险分析基本是定性的,风险衡量技术落后;成立专门的职能部门管理风险;风险管理多是被动进行的。
4.系统型。这类企业内部有协调一致的风险管理活动;明确了风险容忍度;能够站在企业整体层面进行风险监督、评价和报告;注重内部岗位培训和风险培训;对于不利事件有系统的反应机制;相关信息能够快速进行内部沟通;能够有意识地主动管理风险。
5.风险智能型。风险智能管理的企业能够将风险纳入决策流程;建立了科学的风险预警指标体系;风险管理与部门及岗位的绩效考评和激励机制相联系;设置风险模型,经常进行情景分析;建立了与行业最佳实践对比的动态指标体系;基于战略目标和可持续发展的高度全方位进行风险管理;大量依靠信息技术实施风险管理;董事会和管理层对整个风险管理流程有全面了解。
2012年3月,由德勤国际会计公司和清华大学经济管理学院共同举办的“风险智能榜2011年度中国优秀企业”评选活动揭晓,中石油、中海油、中国铝业、中国移动、大唐国际、上海汽车等25家公司榜上有名。评选由专家评审委员会按风险智能成熟度模型对参选企业进行统计评分,该项活动已举办两届,这是第二届。对照入选企业的评选条件,笔者经过梳理总结了入选企业的风险管理具有一些共同特征,如表1所示。
【主要参考文献】
[1] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(2).
[2] 董月超.从COSO框架报告看内部控制与风险管理的异同[J].审计研究,2009(4).
[3] 韩洪灵,郭燕敏,陈汉文.内部控制监督要素之应用性发展——基于风险导向的理论模型及其借鉴[J].会计研究,2009(8).
[4] 刘玉廷,朱海林,王宏.中国内部控制改革与发展[M].北京:经济科学出版社,2010.
[5] 谢志华.内部控制:本质与结构[J].会计研究,2009(12).
[6] 张先治,戴文涛.中国企业内部控制评价系统研究[J].审计研究,2011(1).
[7] 钟玮,唐海秀.内部控制系统要素功能耦合与动态演进[J].审计研究,2010(4).
[8] 中华人民共和国财政部.企业内部控制规范[M].中国财政经济出版社,2010.
[9] Bedard,Jean C.;Graham,Lynford.Detection and Severity Classifications of Sarbanes-Oxley Section 404 Internal Control Deficiencies. Accounting Review, Apr2011, Vol. 86 (3).
[10] COSO.Enterprise Risk Management—Integrated Frame-work.AICPA Publisher,2004.
[11] COSO.Effective Enterprise Risk Oversight:The Role of the Board of Directors.http://www.coso.orgdocumentsCOSO BoardsER M4pager-FINALRELEASEVERSION82409_001.pdf,2012-10-08.
[12] COSO.2010.Developing Key Risk Indicators to Strengthen Enterprise Risk Management. http://www.coso.org/documents/COSOKRIPaperFull-FINALforWebPostingDec110_000.pdf,2012-09-26.
[13] Norman T. Sheehan.A risk-based approach to strategy execution. Journal of Business Strategy,2010 Vol.31(5).