探析企業風險及管理控制框架

文/周小紅

探析企業風險及管理控制框架

文/周小紅

隨著我國經濟的高速發展，特別是與國際化接軌的特殊時期，經濟的微觀主體—-企業也迅速發展和擴張。企業發展的同時，風險也不可避免地隨著發展的規模和速度的加快而日益嚴峻。因此我們勢必要建立有效的企業風險管理體系來防范和應對風險，把風險降低到企業可承擔的范圍內。本文旨在引入風險管理框架論理論，這是比內部控制更全面、更系統。

企業風險；原因；管理框架

一、風險管理的形成和發展

風險管理起源于企業的內部控制，源于美國上個世紀30年代，美國證券交易委員會SEC的成立實現了會計和審計事務的標準化。1949年美國注冊會計師協會AICPA出版了第一部審計學意義上的專著《內部控制----協作體系及其對管理層和獨立公共會計師的重要性。1979年頒布了《美國上市公司反海外貪污腐敗法案》FCPASEC《管理層對內部控制的報告書》，第一次在建立內控體系中把內部控制法制化。1985年美國AICPAAA FEIIIAIMA聯合創建“反虛假財務報告委員會”，兩年后成立“反虛假財務報告委員會”下屬發起人委員會，COSO委員會，1992年發布了《內部控制整合框架》，形成了現代內部控制最具權威性的框架。2001年安然事件及其后的世通等會計丑聞，催生了2002年7月30日的《薩班斯——奧克斯利法案》，加大了公司主要管理者的法律責任、高管收入、內部審計委員會、外部審計、信息披露等方面的監管。2004年9月COSO委員會發布了《企業風險管理整合框架》，這是標致著企業從內部控制發展到風險管理整合框架層面的里程碑。

二、風險的相關概念及主要表現形式

(一)相關概念

風險：是指未來事項的不確定程度。風險價值(VAR)：在特定概率水平(置信度)下，在給定期間可能發生的最大損失。風險管理：是一個持續流動的過程，是一個全員參與的過程，是由主體的董事會、管理層和其他人員實施的；它從戰略制訂開始，貫穿企業各方面。它旨在識別可能影響主體的事項，依據風險偏好來管理風險，以使風險在該主體的風險可接受范圍之內。并為主體目標的實現提供合理保證。

(二)企業風險的主要類型

1.戰略風險。與戰略、政治、經濟、監管和全球市場條件有關的風險；包括聲譽風險、領導力風險、品牌風險、以及不斷變化的客戶需求。

2.營運風險。與組織的人力資源、業務流程、技術、業務連續性、渠道效果、客戶滿意度、健康與安全、環境、產品、服務、失效、效率、生產能力和變革整合相關的風險。

3.財務風險。因外幣、利率和商品期貨的波動而產生的風險；包括信用風險、流動性風險和市場風險。

4.災害風險。可保風險，如自然災害風險、各種可保責任險、有形資產的損失、恐怖活動。

三、風險管理整合框架的構成

風險管理框架，包括了四個層面、四個目標和八個要素，其中：

(一)四個層面為：企業整體層、分支機構層、業務單位層、子公司層面

四個目標為：

1.戰略目標 企業建立內控體系時是以風險管理為基礎，這個風險不僅反映了運營同樣反映了戰略層面。企業戰略制定上的正確，會降低企業的整體風險水平。因此，企業在制定戰略時要考慮企業與整體的風險承受能力。

2.營運目標 營運目標是保證資產負債表中，資產利用的有效性。如果資產利用是低效的，將導致財務報表資產的價值貶損，誘發管理層在報表上作假的動機。

3.財務報告目標 最根本的目的是防止和糾正財務報告的錯報、漏報。

4.合規性目標 企業在整個運營過程中要建立起一整套內控體系來保證企業的運營符合法律、法規規范。

(二)八個基本要素

1.內部環境 內部環境是風險管理的基礎，風險管理的推進和實施必須要得到董事會和最高層的認可。高層的風險管理理念、偏好、誠信和道德價值觀以及所處的經營環境都極大地影響組織的文化、戰略和經營風格。

2.目標設定 管理層采取適當的程序設定戰略、營運、財務報告、法律遵循的目標，去制定在每個時間段具體要實現什么。

3.事件確認 圍繞上述4個目標，企業在未來運行中，針對每個目標的實現，可能遇到的風險，評價自身的優勢、缺陷、挑戰如何去實現這些目標。

4.風險評估 分析影響實現前述4個目標潛在的風險危機，去評估危機產生的可能性概率、發生后對組織的影響多大。

5.風險應對 對發生的可能性和影響程度不同的危機風險，采取不同的應對方法。

6.信息與溝通 整個風險管理體系建立過程中，用規范的流程來幫助組織實現上、下、縱、橫的有效溝通。

7.監控 是風險管理有效實施的支持手段。通過持續的管理活動、個別評價或者兩者結合來進行。

四、重點基本要素的具體實施

風險管理整合框架中首先應進行風險識別，通過相關的風險識別技術來識別影響目標實現的內、外部事項，區分風險和機會。

其次風險評估，主要是評估風險的可能性和影響、區分固有風險和剩余風險。固有風險是指沒有建立任何內控體系和管控體系的狀態下，企業正常運營所面臨的風險。

然后是風險應對，結合風險產生的影響和可能性以及行動的成本和效益來決定風險反應策略，將剩余風險控制在風險容限和風險容量范圍內。

五、結語

企業風險管理整合框架，它是一種管理所有風險和機會而非簡單的財務風險和機會的方法，是真正的整體性、集成式、前瞻性及流程導向型的方法、旨在積極或消極影響企業目標實現的不確定性，創造、保護和提高股東或利益相關者的價值；能協調風險偏好與組織戰略相一致；提升風險反應決策；減少營運意外與損失；確認并管理多重風險與跨企業風險；更好地抓住機會和改善資本利用。

[1]美國COSO委員會.《內部控制整合框架》.2004.

[2]美國.《薩班斯—奧克斯利法案》.2002.

作者單位：(四川省宜賓市財政局)