第一篇:《现代企业风险管理审计》读书笔记
《现代企业风险管理审计》
读书报告
正如《现代企业风险管理审计》所述,审计业界并非尚未认识到其面临风险的真正根源,目前需要做的是研究并实施如何在审计行为中识别,控制风险,并使该理念和模式体现在审计各阶段具体的审计程序中,而不是仅仅在审计计划阶段对固有风险进行简单的分析。要做到这一点,传统的审计理念和模式,由于其更多的是为了关注财务报表风险而关注报表和企业帐目,而不是从企业经营风险,管理层风险管理的角度来关注财务报表,因而无法实现审计风险控制的有效性,也使审计在为整个财富价值链中的价值无法进一步得到体现。传统的审计方法除了在理念存有不足外,还欠缺足够的可以用来识别现代企业经营风险及其控制的审计工具,模型和方法;而企业风险管理审计模式,正是从企业经营风险,风险管理角度分析审计风险,实施审计程序,从财务报表风险的源头——企业经营风险角度去关注财务报表风险,从而为风险降至可接受水平提供有效保障,并实现审计目标同整个商业社会的共同目标达到一致。
《现代企业风险管理审计》是CPA视角的中国第一部现代企业风险管理著作。《现代企业风险管理审计》借鉴国内外风险管理方面的知识,在风险审计的概念、目标、程序以及专业判断等方面有一定创新和突破;在具体风险的审计上,精心编制国内外企业典型案例,具有可操作性。并提出了企业风险管理审计模式,从企业经营风险,风险管理角度分析审计风险,实施审计程序,财务报表风险的源头——企业经营风险角度去关注财务报表风险,从而为风险降至可接受水平提供有效保障,并实现审计目标同整个商业社会的共同目标达到一致。书中提供了大量的风险管理审计工具,模型和方法以使新的审计理念可付诸实践。
一、《现代企业风险管理审计》强调内部审计在企业风险管理中角色和作用
《现代企业风险管理审计》第2页对内部审计在企业风险管理中角色和作用
引用了《内部审计实务标准》的观点认为,内部审计在企业风险管理中角色和作用有两个方面:一是协助风险估算程序;二是对风险管程序的评价,对风险管理的恰当程度作出保证。这一观点在书中多次出现,反复强调。作者则认为“内部审计师通过对主体企业风险管理的恰当性和有效性进行检查、评价、报告和提出改进建议,来协助管理当局和董事会或审计委员会。内部审计师协会的准则还强调内部审计的适当作用,清楚地指出内部审计师应该对他们所审计的活动持客观的态度。”
我认为内部审计在企业风险管理中应当保持客观的态度,通过评价、报告和提出改进建议,来协助管理当局和董事会或审计委员会;在评价企业风险管理的有效性方面起着关键性作用。而不赞同《内部审计实务标准》对内部审计角色和作用的观点,内部审计要保持客观,就需要相对独立,不能又当裁判又当运动员,不能直接参与企业风险管理的风险估算程序。同时内部审计的资源难以实现“对风险管程序的评价,对风险管理的恰当程度作出保证”的作用。特别是“作出保证”更是不现实的;如果作为理论上的追求,也是无意义的。能作出“保证”的观点只能误导管理当局和董事会或审计委员会赋予内部审计不恰当的地位和权限,占用更多的资源。正如作者在书第3页的表述:客观地讲,要求每一位审计师者成为风险管理等各个方面的专家是不现实的。
二、企业风险管理模型
《现代企业风险管理审计》大都采用了澳大利亚—新西兰联合委员会的风险管理模型。在读了卓继民所著《现代企业风险管理审计》后,作为CPA的我比较认同《现代企业风险管理审计》选用的风险管理模型,即《现代企业风险管理审计》第77页所述的原安达信咨询公司经营风险管理框架图。
三、含混的风险审计重要性概念
《现代企业风险管理审计》第121页提出的风险审计重要性概念。“风险审计重要性是指被审计单位所处的环境、管理和业务活动,风险识别、分析评估及风险处理方法的任何方面,若存在影响组织基本目标实现的潜在可能,审计师则可判定该风险是重要的,否则,则可判定为不重要或判定为保留风险或剩余风险。”这一概念可能是由审计重要性在风险审计中的运用。审计重要性是指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。我认为风险审计重要性概念是含混的,将“重要性”定义为“潜在可能”很难理解。我认为,风险审计重要性是指被审计单位潜在的可能负面影响目标实现的严重程度,这一程度可以通过估计损失额、发生概率和发生频率进行界定。
四、具体风险管理审计
原安达信将风险定义为,环境风险、过程风险和决策所需信息风险三大类,细分七十三种常见的风险。《现代企业风险管理审计》在第三篇介绍了风险审计的理论与专业判断、规划策略和审计框架,第四至八篇介绍了营销风险、产品开发与品牌创立风险、企业财务风险、企业组织风险和企业内部控制系统风险等5种具体风险的审计,其审计思路受束于前述所选用风险管理模型和第42页所述的风险适管理的前提与基础研究:
《现代企业风险管理审计》,在了解企业经营识别经营风险时,提供了一个整体框架用于了解企业风险管理行为的有效性,并且分析企业的情况和信息流程。使用的主要分析工具包括:(1)企业分析框架;(2)企业风险模型;(3)企业信息流程;(4)企业绩效评价分析;(5)企业整体风险管理有效性评价。在企业风险控制评价时,提供了一个完整的框架用于评估管理层如何对信息流程和特定估计的相关风险进行控制。使用的主要工具包括:(1)风险控制流程框架;
(2)风险控制标准及控制矩阵;(3)信息可信度测试;(4)风险控制识别;(5)评价风险控制的设计;(6)测试风险控制;(7)控制信赖与否之决策树。作为一名学习了五年会计的学生,还是比较容接受《现代企业风险管理审计》的观点,同时认为《现代企业风险管理审计》介绍的工具能够全面地了解企业经营、识别经营风险;评估管理层如何对信息流程和特定估计的相关风险进行控制,为确定和管理剩余风险的供了支持。
第二篇:企业风险管理和审计
摘 要
论文摘要:本篇论文通过先进的风险管理理念、理论、方法、技术以及国内部分学者关于风险管理的研究成果,以COSO2004年9月制定发布的《企业风险管理—整合框架》为理论基础,以某集团为案例研究对象,运用内部审计方法和程序对某集团风险管理要素进行审计分析和评价,对风险管理理论如何在集团企业实践运用进行了探索和研究,提出企业应逐步建立完善风险管理系统,为企业在市场经济的大潮中保驾护航。
论文关键词:企业风险管理;审计;案例研究
目录
1.企业风险理论………………………………………………………………………………………………………….(3)1.1企业风险管理定义„„„„„„„„„„„„„„„„„„„„„„„(3)1.2风险分类„„„„„„„„„„„„„„„„„„„„„„„(3)1.3风险管理的内容„„„„„„„„„„„„„„„„„„„„„„„(3)
2.风险管理审计………………………………………………………………………………………………….(4)2.1风险管理审计的目标„„„„„„„„„„„„„„„„„„(3)2.2风险管理审计的内容„„„„„„„„„„„„„„„„„(4)2.2风险管理审计的程序„„„„„„„„„„„„„„„„„(4)3.基于企业风险管理和审计的案例分析…………………………………………………………(4)3.1企业简介„„„„„„„„„„„„„„„„„„(5)3.2公司风险管理和审计评价程序及结论„„„„„„„„„„„„„„„(6)4.总结……………………………………………………………………………………………………………………………….(7)5.参考文献………………………………………………………………………………………………………………………..(9)6.谢辞…………………………………………………………………………………(10)
论企业风险管理要和审计
一、企业风险理论
(一)企业风险管理定义
(1)企业风险理论是对企业内可能产生的各种风险进行识别、衡量、分析、评价,并适时采取及时有效的方法进行防范和控制,用最经济合理的方法来综合处理风险,以实现最大安全保障的一种科学管理方法。
(2)企业风险是指由于企业内外环境的不确定性、生产经营活动的复杂性和企业能力的有限性而导致企业的实际收益达不到预期收益,甚至导致企业生产经营活动失败的可能性。
(二)风险分类
风险分类按照风险的来源不同,可以分为外部风险和内部风险。
(1)企业外部风险包括:顾客风险、竞争对手风险、政治环境风险、法律环境风险、经济环境风险等;
(2)企业内部风险包括:产品风险、营销风险、财务风险、人事风险、组织与管理风险等。
立足于企业的生产经营活动来进行企业风险评估,主要评估企业内部风险,兼顾企业外部风险。
(三)风险管理的意义
风险管理的意义有效地对各种风险进行管理有利于企业作出正确的决策、有利于保护企业资产的安全和完整、有利于实现企业的经营活动目标,对企业来说具有重要的意义。
(四)风险管理的内容
企业风险管理的内容包括企业风险识别、企业风险衡量和企业风险处理三个方面。
企业风险识别是风险分析和管理中的一项基础性工作,其主要任务是明确企业风险的存在,并找到主要的风险因素,为后面的风险度量和风险决策奠定基础。
在风险识别之后必须进行企业风险衡量,以便确定其对企业发展影响的严重性并采取相应的措施,它其实就是运用一定方法对风险发生的可能性或损失的范围与程度进行估计和衡量。
企业风险处理是针对不同类型、不同规模、不同概率的企业内外部风险,采取相应的对策、措施或方法,使风险损失对企业生产经营活动的影响降到最小限度。
二、风险管理审计
(一)风险管理审计的目标
风险管理审计是指胜任的专职机构和专业人员对组织内部风险管理程序、风险反应、管理制度及机制的合理性、有效性进行独立的审查和评价过程。风险管理审计的根本目的是最大限度地增加组织价值。
审计目标是回答“通过审计要证明什么”的理论问题,是审计行为的出发点,是审计工作的指南,也是审查和评价审计内容所期望达到的境地和最终结果。审计目标体系由总目标、一般目标和项目目标构建。
(二)风险管理审计的内容
审计内容是回答“审计什么”的问题。根据ERM框架中的要素,风险管理审计的内容主要包括:
1.风险管理程序的科学性和合理性,主要包括风险管理开发阶段所制订的风险管理框架结构的内容;风险管理试探阶段所实施风险管理框架结构的内容;风险管理回顾阶段所丰富并增强风险管理框架结构的内容;风险管理展开阶段所推广并实施风险管理框架的情况;风险管理支持阶段所需要提供的各种基础组织以及服务。
2.风险反应的周密性和可行性,主要包括风险反应计划的周密性(如有否考虑风险的可规避性、可转移性、可减少性、可接受性);风险应对策略的可行性(如是否采取了风险控制、风险自留、风险转移)。
3.风险管理制度的合法性和完善性,主要包括风险管理制度的合法性(如建立风险管理制度是否经过充分论证);风险管理体制的完善性(如考核评价体制和责任追究制度是否健全)。
4.风险管理机制的结构性和尽责性,主要包括高层管理人员和重要岗位业务人员的风险管理理念及对风险管理的重视程度;风险管理人员的结构和素质;全员风险管理的情况。
(三)风险管理审计的程序
1.审计规划阶段,包括选定被审计对象和制定风险管理审计计划。被审计对象选定工作包括识别被审计对象的策略、识别潜在被审计对象和排列被审计对象的顺序。制定风险管理审计计划包括制订财务风险管理、生产风险管理、市场风险管理、会计风险管理、人事风险管理和其他风险管理审计计划,确定风险管理审计的位置和背景。
2.审计测评阶段,包括风险的分析、评估和监控。(1)分析风险。审计人员应对风险迹象进行深入了解、描述和记录,并对风险的可能性和发生频率进行分类。风险可能性分析结果一般有“很少的”、“不太可能的”、“可能的”、“很可能”、“基本确定”等类别,风险发生频率分析结果一般可分为“高频率、高损害风险”,“高频率、低损害风险”,“低频率、低损害风险”,“低频率、高损害风险”等类别。(2)评估风险。审计人员应分析风险的成因及其影响,并确定风险程度及等级。风险程度一般分为“极高”、“高”、“中等”、“低”和“极低”等级别。风险概率用风险发生可能性的百分比表示,风险量=风险概率×风险损失量。(3)监控风险。审计人员应对可能发生的风险和损失进行跟踪检查。跟踪已识别风险的发展变化情况,包括在整个项目生命周期内,风险产生的条件和导致的后果变化,作出减缓风险的方案,调整风险管理计划。
3.审计报告阶段,包括汇总审计结果、出具审计报告和追加后续审计。(1)汇总审计结果,包括审计现状、标准、差异、原因和建议等部分。如审计建议中对损失大、概率大的灾难性的风险要避免;对损失小、概率大的风险,可采取措施来降低风险量;对损失大、概率小的风险,可通过保险或合同条款将责任转移;对损失小、概率小的风险,可采取积极手段来控制。(2)出具审计报告,包括标题、收件人、正文、附件、签章、报告日期等基本要素。审计报告正文部分主要内容有:审计目标、风险概况、审计依据、审计结论、审计评价和审计建议等。(3)追加后续审计。ERM是一个动态的过程,审计测试应与之相协调,追加后续审计显得重要。后续审计应将重点放在最严重的问题上,相关部门是否予以纠正,若不纠正,责任和原因到底在哪儿;对一般事项可仅限于询问和简短的讨论。
二、基于风险管理和审计的案例分析
(一)企业简介
某集团有限公司是世界上最大的制药企业之一,产品包括了处方药、疫苗、营养品、消费保健品、动物保健品等。集团总部设于美国,拥有多处制药开发基地及生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出世界先进药物。基于丰富的制药管理经验,创建于1849年,是世界领先的以研发为基础的生物医学和制药公司。每天,分布于90个国家的大约80,000名员工致力于探索、研发、生产和推广各种领先的处方药,为全球患者带来高质、安全的处方产品。2008年,公司年销售额为483亿美元,并投资75亿用于研发。
(二)公司风险管理和审计评价程序及结论
公司审计部作为监督检查部门,每年至少两次从集团层面对风险管理进行整体评价,并在每季度对分、子公司执行例行审计过程中,重点关注风险管理状况。以下试从集团公司层面,以《COSO风险管理——整合框架》(以下简称COSO框架)中所列八要素为线索对公司风险管理进行分析、设计审计评价程序、提出审计评价结论。
(一)内部环境
1.理论描述。内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。
2.审计评价程序。
(1)设计风险相关文化调查表对风险管理的内部环境进行调查;
(2)审查公司经营决策、管理方针政策、规章制度、行为准则等是否反映了公司的风险管理理念、诚信和道德价值观
3.审计评价结论。公司的风险管理理念属于风险偏好型,提倡抓住机会,大胆开拓。但对风险管理理念没有一个书面的说明性的陈述,这些理念存在于董事会及高级管理层的头脑中,通过收购决策、发布政策、行为准则、各种规章制度反映出来并加以强化。
(二)目标设定
1.理论描述。设定战略层次的目标,为经营、报告和合规目标奠定了基础。每一个主体都面临来自外部和内部的一系列风险,确定目标是有效的事项识别、风险评估和风险应对的前提。
2.审计评价程序。
(1)获取管理层对目标的书面陈述;
(2)通过访谈、询问,获取公司员工对公司目标的知晓、理解程度的信息;(3)通过查阅管理层的述职报告,获取目标实现进展情况的信息。3.审计评价结论。
经审计调查总结,目标如下: 积极履行企业社会责任,并努力在卫生健康产品的研究、开发和制造过程中确立其质量、安全和价值基准。实践我们真诚合作、社区精神、客户至上、革新创造、道德观念、领导人才、力争上游、尊重他人和追求品质等企业核心价值观,来衡量我们的发展。我们将全身心地投入卫生健康事业,努力致力于人民健康状况的改善。
(三)事项识别
1.理论描述。管理当局识别将会对主体产生影响的潜在事项——如果存在的话,并确定它们是否代表机会,或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对。
2.审计评价程序。
(1)查阅行业有关资料,询问、访谈高层、中层、一般职工,审查风险识别是否充分、全面;
(2)审查风险识别过程资料,判断是否根据内外部环境的变化定期进行修正。
3.审计评价结论。公司管理层根据调查分析、经验总结,识别、列出公司面临的四大类(行业风险,业务风险,财务风险,合规风险)十三种主要风险:
(1)新型病毒的产生和大范围疫情的爆发;(2)企业之间的不利竞争导致业务的干扰;(3)消费者对产品信任度和支持度的下降;
(4)产品质量出现问题而导致对人身的伤害;
(5)原材料价格波动;(6)产品未能迎合市场需求;(7)主要管理层的流失;
(8)其他实体误用、盗用本公司商号(商标);(9)资金安全管理;(10)资产安全管理;(11)会计系统故障;(12)违反《上市规则》;
(13)违反食品管理、环保法规有关法律规定。
经审计调查,公司管理层对风险识别较为充分,且计划每年分两次(期中和期末)对公司面临的风险进行全面的核查,若发现风险变化,即使进行调整,但未能严格实施。而对于机会,管理层没有进行专门识别。
(四)风险评估
1.理论描述。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估,并且通常采用定性和定量相结合的方法。
2.审计评价程序。获取管理层对风险进行定性评估的资料,评价其评估的合理准确性以及是否根据内外部环境的变化进行动态修正。
3.审计评价结论。公司管理层对识别出来的十三种风险根据多年的从业经验和过去的风险发生的记录进行了定性的评估,由于缺乏相关的人才、技术、资料,尚未对风险进行过定量分析。公司管理层计划每年分两次(期中和期末)对公司面临的风险进行全面的核查和平谷,若发现风险变化,及使进行调整修正,但未能严格实施。
(五)风险应对
1.理论描述。在评估了相关的风险之后,管理当局就要确定如何应对。应对包括风险回避、降低、分担和承受。在考虑应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。
2.审计评价程序。通过访谈、询问,了解管理层采取的风险应对策略及理由,评价其合理性。
3.审计评价结论。公司管理层对识别出来的重要风险制定了相应的防范措施,从风险应对的角度看多为预防性措施,以降低风险发生的可能性,而没有采取购买保险等风险分担措施。
(六)控制活动
1.理论描述。控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构。它们包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。
2.十三种风险审计评价程序。公司管理层针对识别出来的十三种风险,制定了防范措施,审计部门相应地制订了审计评价程序。
3.审计评价结论。经审计调查,公司管理层对于风险管理的控制活动要素较为重视,制定的风险防范措施较为全面、严密、可操作,大部分得到了严格有效执行,但也有部分单位未能严格执行风险防范措施。
(七)信息与沟通
1.理论描述。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息,以便为管理风险和作出与目标相关的知情的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。
2.审计评价程序。
(1)走访公司IT部和公司内部报刊编辑部,了解评价公司的信息系统的建设和运转情况。
(2)访问公司网站,观察其运转情况;
(3)使用公司的局域网、内部电话网,阅读公司内部报刊,评价其运转情况和功效发挥情况。
3.审计评价结论。公司设立了IT部,建立了较为完备、先进的信息管理系统,通过因特网、内部局域网、内部电话网、内部报刊等手段将信息以文字、声音、图片等形式进行传递,并制定各种级别的会议制度进行面对面的信息沟通。但没有建立专门的风险信息生成及传递通道。
(八)监控
1.理论描述。对企业风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中。
2.审计评价程序。
(1)审查内部定期(每天、每周、每月)上报的管理报表(报告),评价风险管理日常监控职能发挥情况;
(2)审查内部审计部门的审计计划、风险管理审计报告,评价其监控职能的发挥情况。
3.审计评价结论。公司管理层通过例行的控制活动、信息报告反馈系统对经营管理状况进行日常的监控;通过内部审计部门对公司所控制的所有单位、项目进行例行审计,报告中时常反映一些被审单位风险管理状况的信息,对风险管理的监控较为及时,但对公司总部层面的风险监控较为薄弱。
三、结语
企业要想在市场经济的大潮中基业长青,必须对面临的各种风险进行系统地、全面地管理,这已是不争的事实。借鉴先进的风险管理理念、理论、方法、工具,结合本企业具体实际情况,不断的创新。对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价,查找问题和不足,对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善,逐步完善企业风险管理系统,是解决风险管理问题的最佳实务。企业应当增强风险意识,逐步建立险管理系统,为企业保驾护航,这样企业才能在市场经济的大海中劈波斩浪,扬帆远航。
[1]王晓霞,《企业风险审计》,第一版,中国时代经济出版社,2005。
[2]江苏省电力公司、南京大学会计系,《风险管理审计评价》,第一版,中国财政经济出版社,2005。
[3]孙班军,郝建新,《风险管理案例分析与公司治理》,第一版,中国财政经济出版社,2006。
谢辞
此论文得以顺利的完成.首先,感谢我的指导老师xxx,他为我的论文提供了不少宝贵的意见,也为我论文的整理和修改提供了大量帮助.在此感谢他的付出!其次,我要感谢我的实习单位,是她给了我创意的来源.也谢谢她!最后,感谢支持和帮助我完成该论文的各位朋友们!谢谢大家!
第三篇:企业风险管理审计案例研究
某肉制品企业风险管理审计案例分析
工管5班
js0844549
黄薇
一、公司简介
某集团有限公司是中国最大的肉制品生产企业之一,其产品包括冷鲜肉、冷冻肉、以及以猪肉为主的低温肉制品、高温肉制品。集团总部设于中国江苏省南京市,拥有多处冷鲜肉、冷冻肉生产基地及深加工肉制品生产基地。集团拥有最先进的生产设备和工艺技术,以其独有的技术方法,研制出一系列符合消费者口味的优质产品。基于肉制品业务的经验,集团于1997年开展冷鲜肉和冷冻肉业务。2002、2003年,冷鲜肉、冷冻肉的市场占有率分别位列中国大陆第二名、第三名。低温肉制品,自2002年至2004年,其市场占有率连续三年位居中国大型零售商销售首位。对某集团而言,企业的迅速壮大是成功的标志,但更是企业所面临的挑战。作为一家迅速发展中的企业,集团深刻意识到专业化管理对于企业壮大的重要性。因此,集团时刻致力于强化企业的专业化管理,增强企业的核心竞争力。
二、某集团风险管理流程存在的问题及对策建议
(一)风险管理文化
1.存在的问题。某集团虽然在香港联合证券交易所上市,但其实质仍是一中国民营企业,该企业按照香港的《上市规则》建立了法人治理结构,建立健全了一系列“法治”的规章制度,但其“人治”的色彩非常浓厚。内部控制对高级管理层的约束力较弱。
2.对策建议。在风险管理方面,首先要做的工作是在全公司范围内自上而下进行一次风险管理的宣传、教育、培训,增强员工风险管理意识,董事和高级管理人员应在培育风险管理文化中起表率作用。重要管理及业务流程和风险控制点的管理人员和业务操作人员,应成为培育风险管理文化的骨干。与薪酬制度和人事制度相结合进行风险管理文化建设,增强各级管理人员特别是高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽视风险等行为的发生。加强员工法律素质教育,制定员工道德诚信准则,形成人人讲道德诚信、合法合规经营的风险管理文化。
(二)风险管理组织体系
1.存在的问题。在公司现有的组织结构里,没有专职的风险管理机构。董事会下既没有设风险管理委员会,也没有设审计委员会。风险管理职能由其他部门(如总经办、审计部、投资发展部)根据需要分散承担,由于风险管理职责不明确,缺少对各种风险的整合管理。
2.对策建议。董事会就全面风险管理工作的有效性对股东大会负责。在董事会下设风险管理委员会,整合现有风险管理资源。明确总经理对全面风险管理工作的有效性向董事会负责。总经理委托的高级管理人员负责主持全面风险管理的日常工作,成立风险管理部,负责组织协调全面风险管理日常工作,除一至两个专职人员外,其他人员可暂由其他部门派人兼任。内部审计部门在风险管理方面主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。
(三)风险识别、评估、排序
1.存在的问题。现在进行重点管理的十三种风险,还是一年前管理层通过讨论识别、评估确认的,一年来没有重新进行识别、评估、排序。而一年来公司内外部环境都发生了很大的变化,原来识别的风险范围是否充分、评估排序是否恰当,亟需进行重新审视。
2.对策建议。在进行风险管理宣传的同时,设计、发放调查问卷,发动公司所有员工对公司面临的风险和机会进行识别,对调查结果进行统计、分析、总结,筛选出主要风险后,在管理层范围内对这些风险进行打分,评估重要性后排序。而对于识别出来的机会,管理层要考虑如何加以充分利用。
(四)风险管理策略与方法
1.存在的问题。公司现有的针对十三种风险采取的防范措施几乎全部可归结为抑制与控制策略,以期降低损失发生的可能性、频率,缩小损失程度。这十三种风险范围之外的风险可以说是采取了风险接受策略。而对于风险规避策略、风险转移策略、风险利用策略则极少采用。在风险管理策略与方法的选择上显得比较保守,缺乏灵活性。而对于机会,则没有明确的策略进行利用。
2.对策建议。在对公司面临的风险进行重新识别、评估后,在风险规避、风险转移、风险抑制与控制、风险接受、风险利用等策略上灵活选择,可通过保险、契约、合同、金融工具等形式将风险转移出去。同时要对机会加以利用,并反映到战略目标、经营目标的制定上。
(五)风险管理监控与检查
1.存在的问题。公司目前没有专职人员对风险管理进行监控,对风险管理的监控依赖于对日常经营活动进行监控的日报、月报系统,而在日报、月报内容中并无专门对风险管理情况进行报告。内部审计系统在执行审计任务时,偏重于财务审计、舞弊审计、经营管理审计,而对于风险管理审计尚处于探索阶段,尚未全面开展风险管理专项审计。高级管理层则没有对风险管理进行专门的监控与检查。
2.对策建议。内部审计部门开展风险管理专项审计,研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。可结合例行审计、任期审计或专项审计工作一并开展风险管理审计;在日报、月报系统中增加对各单位风险管理状况自查报告的内容。高级管理层每年至少一次对风险管理状况进行评估。
(六)风险管理沟通与咨询
1.存在的问题。公司缺乏专业的高水平的风险管理师,缺少专门的风险管理沟通渠道,而沟通与咨询存在于风险管理的各个环节当中,这也是风险管理难以有效开展的重要原因。
2.对策建议。公司公开招聘风险管理师,或聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告,培训风险管理人员;在现有的信息系统中开辟专门的风险管理沟通渠道。
三、结语
企业要想在市场经济的大潮中基业长青,必须对面临的各种风险进行系统地、全面地管理,这已是不争的事实。借鉴西方先进的风险管理理念、理论、方法、工具,结合本企业具体实际情况,对内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个风险管理要素逐一进行分析和评价,查找问题和不足,对风险管理文化、风险管理组织体系、风险识别、评估、排序、风险管理策略与方法、风险管理监控与检查、风险管理沟通与咨询等关键的风险管理流程采取措施不断完善,逐步建立企业风险管理系统,是解决风险管理问题的最佳实务。企业应当增强风险意识,逐步建立风险管理系统,为企业保驾护航,这样企业才能在市场经济的大海中劈波斩浪,扬帆远航。
第四篇:试论现代商业银行风险审计
论文关键词:商业银行公司治理 风险管理 风险审计
论文摘要:银行是经营风险的企业,随着商业银行公司治理结构的调整和全面风险管理体系的建设,商业银行内部审计关注的重点也将逐渐转移到风险管理上来内部审计如何在商业银行风险管理中发挥作用?本文以商业银行风险管理为研究对象,以国内外最新审计理念为导向,重点阐述了风险审计的涵义及其特征,商业银行推行风险审计的意义与作用,以及实施风险审计面临问题和解决措施。
全面风险管理是从战略目标制定到目标实现的全过程风险管理,随着现代商业银行所承担风险的增加,商业银行内部审计关注的重点也逐渐转移到风险管理上来,当今风险审计作为一种新的审计理念,成为备受人们关注的热点。与其说银行是在经营货币的企业,不如说银行是经营风险,从风险管理中获取收益的企业。商业银行一直在利润与风险之间做着谨慎和侥幸的选择,防范和控制经营中的风险,实施全面风险管理战略,是商业银行面临的现实而紧迫的任务。作为现代商业银行的审计部门,如何由传统的合规性审计向风险预警和防范为目标的风险审计转变,合理配置有限的审计资源,提高审计效率与效益,有效发挥审计监督在防范和控制风险中的积极作用,已成为现代商业银行内部审计面临的焦点课题。
风险审计的涵义
风险审计,也称风险基础审计或者风险导向审计,它是在传统的账项基础和内部控制制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,综合分析、判断被审计单位的风险状况及其风险程度,从而把有限的审计资源集中到高风险的审计领域,针对不同风险程度采取相应的审计对策,重点对高风险点进行实质性测试,从而伎内部审计的剩余风险降至可接受的最低水平。与账项基础审计、内部控制制度基础审计相比,风险审计关注点在于对被审单位的风险评估,其审计重心向风险评估转移,更加关注的是企业的风险管理活动一一是否建立清晰的风险管理战略、完善的管理架构、全面的风险管理过程和良好的风险管理文化,最终实现风险管理效率和价值的最大化,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强了对风险的预防控制作用,风险审计方法的重点是识另q、预防与控制风险。因此,风险审计理论的核心是从分析审计风险入手,通过建立科学的审计风险分析模型,采取定性定量分析方法,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以确保审计质量。
商业银行实施风险审计方法的坝实重要牲
格林斯潘曾经说过:“银行的基本职能是预测、承担和管理风险。”风险审计的本质和根本目标是促进和保障商业银行业务的稳健发展,促进商业银行树立全面的风险管理理念,坚持发展与防范风险并重;适应市场和业务需要,不断完善风险管理手段,健全风险管理体制,培育风险管理文化,提高风险管理水平,促进业务发展,目标是优化资源配置,将风险控制在商业银行可以承担的范围内,实现风险调整后的收益最大化。[!--empirenews.page--]
(一)风险审计的理念和方法是商业银行实施全面风险管理的现实选择,进一步提升了内部审计的增值服务?风险是商业银行与生俱来的产物,存在于商业银行业务的每一个环节当中,商业银行提供金融服务的过程也是承担和控制风险的过程,因此,风险管理是商业银行永恒的主题。在现代金融领域中,能建立良好的风险管理架构和体系,对风险进行全面有效的管理,并以良好的风险定价策略实现价值增长,是影响商业银行核心竞争力的重要因素,也是实施风险审计的必然要求。国有商业银行上市后,要在提高全面风险管理能力的前提下保持持续的价值创造能力。
巴塞尔新资本协议和美国反舞弊财务报告委员会的发起组织委员会fCOSO)发布的《企业全面风险管理框架》将全面风险管理概括为对商业银行各个层次的业务单位和各种类型的风险进行统筹管理,这种管理要求将包含信用风险、市场风险、操作风险和其他风险的各种金融资产与资产组合,承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行全程的控制和管理。风险审计正是以全面评估风险为基础,从重要风险点上人手,在深入分析判断不同层面和业务单位风险状况的基础上,确定审计重点,对风险高的业务集中资源重点审计,通过评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施和建议,直接影响商业银行经营战略的制定,确保商业银行实现业务发展、风险控制和效益增长的有机统一[1][2][3]下一页(二)采用风险审计的理论和技术、是现代商业银行审计发展的目标和方向,实现增值型审计转型需要:当前国际内审发展已进入一个以风险管理和公司治理为标志的新的发展阶段,西方的绝大部分商业银行在内部审计均采用了风险审计的理论和技术。国际审计师协会主席捷奎林?瓦格娜曾提出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理的公司治理。”2003年国际内部审计协会对2001年新发布的《内部审计实务标准》(以下简称《标准》)修改后,在内容上也自始至终都贯穿着风险审计的主导思想。
一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监管过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。三是内部审计的工作重点要求内部审计参与风险管理。四是标准对审计计划、审计测试、审计结果发布、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,《标准》做出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受时就报告董事会加以解决的规定。这些规定和要求将内部审计的范围延伸到风险管理和公司治理,所以风险管理已经成为内部审计的主要工作。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发行了变化,现代内部审计突破了传统的监督、鉴证、评价职能的范围,更多地介入商业银行有效的风险管理机制和健全的公司治理结构领域。[!--empirenews.page--] 风睑审计在项代商业银行风睑管理中的作用
(一)风险审计有利于提高商业银行风险管理水平,促进风险文化建设。风险基础审计主动发现和控制各项风险,通过对商业银行业务部门进行风险评估,并按照次序排列风险,集中高风险的项目优先审计。前者试图阻止不期望的行为发生,这种事先的控制有助于阻止损失的发生;后者试图检查出不期望发生的行为,检查性的控带l目的是提供损失发生的证据。这两种类型的控制都是必要的内部控制系统,使商业银行的内控机制完善、管用。同时,风险审计关注的重点是业务过程中的每一个风险点,涉及所有员工和管理者,这样有助于形成商业银行风险文化,从而提高商业银行全面风险管理水平。
(二)风险审计有利于对风险事件的识别风险审计采用通用风险分析模板及方法,识别商业银行业务过程的风险和外部环境风险。风险审计人员运用某些分析方法,创造性地进行分析,判断管理层是否完全识别了企业的所有风险,若有遗漏的风险要提醒管理层加以考虑。
(三)风险审计有利于对风险的反应和控制。在风险反应活动中,商业银行要根据不同的风险决定要采取的策略和方法,决定是避免风险、接受风险、还是降低风险。如对有相对的风险回报的风险,商业银行可以考虑接受,但要采取控制措施,才能将风险降低到可以接受的水平,获得希望的回报。对于这部分风险,商业银行会采取减少风险、转移风险或分担风险的办法以降低商业银行承受的风险。风险审计人员的主要工作在于分析、评价风险回报的合理性、减少风险的措施的有效性、以及接受风险转移和风险分担的那一方的风险。
(四)风险审计有利于对风险信息沟通和风险管理系统的监控。在风险信息沟通活动中,商业银行的风险管理要将风险及时有效地传递给内部相关人员,以便及时采取相应的控制措施。风险审计人员可以通过评价报告系统证明风险信息被准确、及时地传递到相关人员,内部审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息。在监控活动中,商业银行要对风险管理进行持续监控,通过对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价,保证商业银行对风险管理是一直有效的。风险审计人员可以通过分析环境和风险变化,检查内部控制系统是否已更新,是否能控制新的风险。还可以通过后续审计管理层对审计中发现的问题及对意外事项的处理情况,检查新的控制措施是否有效,将分析结果和建议提供给管理层以便改进控制措施。
风险审计在捕国商业银行规划与存在问题
(一)风险基础审计的法制化、制度化规范化建设的道路还很漫长。一是商业银行内部制度调整工作量大,相关业务制度和操作流程也要进行相应调整;二是支持系统建设难度大,因长期需要具备相应功能的电子化系统作支持,要求商业银行改进现有业务系统,并开发建设风险评估系统,风险评估系统的建设包括业务流程、历史数据收集、参数选择等需要大量投资和时间准备。三是短期内风险审计人员素质难以提高。风险审计人员需要精通包括审计、会计财务、法律、逻辑学、信息学、系统论、管理学等专业知识,懂得运用经济、数理、计算机等专用分析手段来预知和减少风险,每位风险审计人员达到运用自如的水准尚需时日。[!--empirenews.page--]上一页[1][2][3]下一页(二)审计证据的较高要求增加风险审计取证的难度风险基础审计必须获取充足的、可靠的相关的证据以判断,而目前我国商业银行风险基础审计缺少可供遵循的标准和程序,且审计取证的渠道和方式多样,因此,审计人员一般都需要提高调查样本代表性和增大调查样本的方法,以增强对总体风险推断的准确性。
(三)风险审计技术手段落后,难以适应工作需要。计算机会计信息系统、信贷管理系统的广泛应用和发展,大大增强了审计的及时性,事后审计;逐步被实时审计所代替,这与针对经营全过程的风险基础审计不谋而合。在我国,商业银行审计人员大多数对计算机辅助审计不太熟悉,许多还停留在传统手工查账的基础上,在新技术面前还有些无所适从.审计手段落后,不但增加了审计难度,而且效率低、准确差,严重影响了审计作用的发挥,无法满足商业银行风险基础审计工作的需要
(四)协调配台欠缺,降低了审计结果的运用日常审计中很少利用纪检、人事及其他部门掌握的信息,审计结束后,除个别项目外一般也不与这些部门交换,致使审计成果在干部考核、任用、奖惩等方面没有发挥应有的作用,相应削弱了审计的威慑力。
我国商业银行发展和完善风险审计的对策
(一)正确认识风险基础审计在银行公司治理结构的重要作用,为风险审计的发展刨造良好的环境商业银行公司治理的核心问题是委托人(股东、投资者、管理者)如何激励和约束代理人(经理层)、积极有效地完成受托经营管理责任,以确保股东或投资者财富最大化。显然仅仅通过财务审计,委托人难以全面了解代理人是否有效履行其受托责任,而风险基础审计有利于减少信息不对称性,较为全面地提供委托人所需要的有关经营管理活动方面信息,大大遏制了“道德风险”的发生,增强了经营管理的透明度,从而达到控制和抑制“内部人控制”的目的,同时,通过风险审计可以有效地判断代理人的业绩和能力,评价代理人对受托人责任履行情况,促进代理人提高经营管理效率因此,风险审计是商业银行公司治理结构的重要组成部分,是完善公司治理结构的“四大基石”之一。
(二)抓紧制定风睑基蒯{计;,立则尽快完善评价标:停体系要吸收借鉴美国、英国、典等发达国家的先进经验,抓紧研究制定我国的风险基础审计准则,这是开展风险审计的当务之急。风险基础审计准则的制定要遵循“衔接”、“配套”、“务实”的原则,注意解决好前瞻与现实的矛盾,接轨与国情的矛盾。逐步探索和完善风险审计的评价标准体系,量化评价指标,为不同项目之间的比较提供依据
(三)认真搞好风险基础审计研究,探索先进审计技术方法。先进的审计技术和方法,是提高审计效率和质量的重要保证要通过传统方法与现代信息技术的结合,加大风险审计技术的研究力度,特别要注重探索完善审计抽样、内控测评、风险评估等方面的方法和技术产。在风险审计的方法和技术的研究中,要实行科研人员与实务人员、科研与调研、审计人员与项目工程人员相结合的办法开展,以增强实用性、指导性和前瞧性。[!--empirenews.page--](四)加强审计人员知识培训,适应风险审计工作需要。风险审计由于涉及面广,需要审计人员具有多方面的知识和技能。因此,要通过培训,使审计人员既熟练掌握审计业务知识以及计算机、信息技术等方面的知识,同时又了解和掌握工程技术、法律、经济管理等方面的知识。优化审计干部队伍结构,培养造就复合型审计人才,满足风险审计工作需要。
(五)风险基础审计成果运用,建立监督信息_也享机制..实行内部监督信息报送制度和反馈制度,扩大商业银行风险审计成果运用。审计前及时获取有关信息,增强审计的针对性,审计后将审计成果反馈给有关部门,作为对有关人员奖惩或任用的参考,以扩大审计成果运用必要时实行审计公示制度,起到“审计一家,警示一片,教育一方”的作用。
第五篇:风险管理读书笔记
《企业风险管理——整合框架》读书笔记
在当今复杂多变的全球风险环境下,了解企业面临的风险内在关联性并采取更为动态的策略进行风险管理已经成为企业面临的重要任务。COSO组织在1992年的《内部控制——整合框架》基础上,于2003年7月发布了《企业风险管理——整合框架》的征求意见稿。2004年9月,正式的最终文本得以发布。它涵盖和拓展了《内部控制——整合框架》,更加关注于企业风险的管理,内容更加丰富、视角更加宽泛。在企业面临的外部环境迅速变化的今天,更加彰显了《企业风险管理——整合框架》的前瞻性。而内部控制是企业风险管理不可分割的重要组成部分,尽管内部控制出台较早,但由于其已经被广泛应用和接受,企业风险管理虽然只引用了其部分内容,但仍然通过参考的方式将其予以融合。因此,企业风险管理框架是内部控制整合框架的发展和延伸。
一、企业风险管理的定义
企业风险管理处理影响价值创造或保持的风险和机会,定义如下:企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其限制在该主体的风险容量之内,并为主体目标的实现提供合理保证。
这个定义反映了几个基本概念。企业风险管理是:(1)一个过程,它持续地流动于主体之内;(2)由组织中各个层级的人员实施;(3)应用于战略制定;(4)贯穿于企业,在各个层级和单元应用,还包括采取主体层级的风险组合观;(5)旨在识别一旦发生将会影响企业的潜在事项,并把风险控制在风险容量以内;(6)能够向一个主体的管理当局和董事会提供合理保证;(7)力求实现一个或多个不同类型但相互交叉的目标。
这个定义抓住了对于公司和其他组织如何管理风险至关重要的关键概念,为不同组织形式、行业和部门的应用提供了基础。它直接关注特定主体既定目标的实现,并为界定企业风险管理的有效性提供了依据。因此,企业风险管理的定义比较宽泛。
二、企业风险管理的构成要素
企业风险管理包括八个相互关联的构成要素,它们来源于管理层经营企业的方式,并与管理过程整合在一起。
1.内部环境。内部环境是企业风险管理其他构成要素的基础,为其他要素提供约束和结构。内部环境本身由众多要素组成,包括企业的风险管理理念、它的风险容量、董事会的监督、企业中人员的诚信、道德价值观和胜任能力,以及管理层分配权力和职责、组织和开发其员工的方式。董事会是内部环境中的关键因素,他们不仅提供合理的建议、忠告和指导,而且要对管理当局进行监督和制衡。管理当局的态度和经营风格会影响到企业的风险偏好。
2.目标设定。目标设定是风险识别、风险评估和风险应对的前提。在管理层识别和评估实现目标的风险并采取行动来管理风险之前,首先必须先有目标(包括战略目标、经营目标、报告目标和合规目标),管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标,并保证选定的目标支持主体的使命并与其相衔接,以及与它的风险容量相适应。
3.事项识别。事项是源于内部或外部的影响战略实施或目标实现的事故或事件,事项可能带来正面或负面影响,或者两者兼而有之。带来负面影响的事项代表风险,它要求管理层予以评估和应对。带来正面影响的事项代表机会,管理层可以将其反馈到战略和目标设定过程之中。
4.风险评估。风险评估是评估风险对企业实现目标的影响程度或风险价值的,有定性与定量两种方法,定性方法包括问卷调查、集体讨论、专家咨询、政策分析、行业标杆比较、管理层访谈和调查研究等,定量方法包括统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等,COSO建议将定性和定量的方法相结合。要对识别的风险进行分析,以便确定管理的依据,风险有可能与被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
5.风险应对。风险应对包括风险回避、风险降低、风险分担和风险承受。在考虑应对的过程中,管理层评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。总之,管理当局应选择一系列措施使风险与主体的风险容限和风险容量相适应。
6.控制活动。控制活动是帮助确保管理层的风险应对得以实施的政策和程序,它贯穿于整个组织,遍及各个层级和各个职能机构,包括了一系列不同的活动,主要包括了批准、授权、验证、调节、经营业绩评价、资产安全以及职责分
离等,以确保管理当局所选择的风险应对策略得以有效实施。
7.信息与沟通。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息,提供管理风险和作出与目标相关的知情的决策所需的信息。有效的沟通会出现在组织中向上、平行和向下的流动,也包括和外部方面的有效沟通。企业必须有效识别、收集来源于企业内部和外部的经营信息,并以适当的方式与相关利益者进行有效沟通。
8.监控。对企业风险管理进行监控即需要随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、专门评价或者两者相结合来完成的。持续监控发生在管理活动的正常进程中,专门评估的范围和频率主要取决于对风险的评估和持续监控程序的有效性。
三、企业风险管理的职能与责任
企业风险管理由诸多方面实施,每一方面都有重要的职责。一个组织中的每个人都对企业风险管理负有一定的责任。首席执行官负有最终的责任,并且应该假设其拥有所有权。其他管理人员支持风险管理理念,促使符合其风险容量,并且在各自的职责范围内根据风险容限去管理风险。其他人员负责根据既定的指引和规程来实施企业风险管理。董事会对企业风险管理进行监督。外部方面经常提供对实现企业风险管理有用的信息,但是他们对主体企业风险管理的有效性并不承担责任。
总体而言,《企业风险管理-整合框架》是一个框架性的东西,可以适用于各类企业的风险管理工作。在实施风险管理时,企业应结合自身发展阶段和公司战略,并考虑其管理基础,制定出适合企业需要的企业风险管理体系。同时,并根据企业内外环境的变化,及时调整和修正公司的企业风险管理体系,使其充分发挥规范企业管理的作用,为企业的持续健康发展提供有力的保障。
点击咨询 