当前位置:首页->图片新闻
中国内部审计协会“现代企业风险管理”理论研讨论文综述
2005-10-21 09:38:41

课题承办单位  国家电网公司审计部副主任辛绪武
各位领导、同志们:
      我代表课题承办单位,将现代企业风险管理理论研讨课题的研究和论文评选情况向大会汇报如下:
      一、评选概况
      为鼓励广大内部审计工作者认真实践、深入研究、探索内部审计理论和实务操作的积极性,推动内部审计工作和学术研究工作的不断发展,针对当前国内外内审工作热点问题,内部审计协会就“现代企业风险管理”的研究课题向广大团体会员单位征集优秀论文。
      全国各会员单位对此次研讨活动都给予了大力支持,并积极地参与。协会收到论文共计153篇,经验交流材料4篇。论文经由专家、学者组成的评审小组初评,并报经中国内部审计协会学术委员会审定,共评出一等奖3篇、二等奖8篇、三等奖40篇、优秀奖93篇。
      论文的数量大大超过往年,体现了广大会员单位的参与热情。论文涉及行业广泛,包括金融证券、发电、电网、石油化工、煤炭钢铁、工业建筑、工程机械、航空航天、汽车制造、交通运输、邮政通信及电子科技等;其中有29篇是由会员单位的审计部门或专门成立的课题组集体进行研究所取得的成果。论文总的特点一是范围广、数量多、质量高;二是有较强的系统性和必要性;三是有较强的实践性和可行性。
       论文大都从企业风险及风险管理出发,或针对某些特定行业或特定项目的情况进行分析,提出相应的风险控制与防范措施;或纵览全局,探索整个企业的风险管理体系的建立健全。在此基础上探讨内部审计参与风险管理的可行性及必要性,寻求在建立健全企业风险管理体系的同时,为内部审计创造出更为广阔的发展空间。
        二、关于风险
        1、风险的概念
       论文对于“风险”的定义主要有以下几种:一是列举了美国经济学家弗兰克•奈特在1921年出版的《风险,不确定性和利润》中对风险做了经典的定义——风险(Risk)是“可测定的不确定性”。二是美国著名的风险问题专家A.H.威雷特认为,“风险是关于不愿发生的事件发生的不确定性之客观体现。”三是企业风险是指企业在进行生产经营过程中,由于不确定因素和经营失误的影响,而使企业遭受损失或损害的可能性。四是在一定环境和限期内风险是客观存在的,能导致费用、损失与损害的产生等等观点。
       此外,有的作者还强调:风险对于一个企业来说,它既是挑战,也更是机遇,关键是要看企业所制定的战略目标是否能够达到利润目标与相关风险之间的最佳平衡,并且在实现本企业目标过程中是否能有效地调度资源,实现企业价值的最大化。当前,由于新技术和互联网的广泛应用以及全球范围内日益激烈的竞争,企业在获得新的发展机遇的同时,也面临着更多的不确定性,单纯将风险作为遭受损失的可能性来理解,已无法适应现代企业风险管理需要。现代企业风险的完整定义应包含两个层面的内容:首先,风险是事件在未来发生的可能性及其后果的综合,包括风险因素、风险事故和风险损失等要素。其次,风险与机遇有如硬币的两面,二者在数量及性质上成正比例的辩证统一关系,机遇蕴涵于得到有效管理的风险之中。
      从企业风险内容的表现形式看,现代企业面临的主要风险通常表现为:市场经营风险、投资风险、财务风险、管理风险、技术风险、法律风险等等。
      不论如何定义,大家对风险有着高度的共识:概括地说,风险就是一种不确定性。它具有不确定性、客观性、普遍性、必然性、可识别性、可控性等特点。最本质特征是不确定性,风险无处不在,风险的判断具有主观性。
       2、风险的形成原因及其控制与防范
有的论文针对某些特定行业或特定项目的风险,在分析风险的形成原因的基础上,提出了相应的控制与防范措施。
       作者康平东在其《试论当前国有商业银行信用风险的成因及其防范措施》论文中,从当前我国国有商业银行信用风险的主要表现形式出发,分析了风险成因,指出金融是现代经济的核心,在全球贸易一体化的今天,国有商业银行应从内外加强防范意识,预防和化解金融风险。作者刘有政在棋《商业银行操作风险与内部控制》论文中,把商业银行操作风险表现形式,结合国有商业银行对操作风险认识上存在的问题,从内控管理的实际情况出发,提出了建立防范国有商业银行操作风险方法与对策。
       作者秦跃辉在其《浅议信息化条件下现代企业风险的防范措施》论文中,对信息化条件下现代企业风险的主要表现形式及成因进行了深入探讨,对常见的风险防范措施的适用性进行了分析,进而对不同情况下如何有效控制新的风险因素提出了较为独特的观点。
作者林行法、于晓彦在其《试论工程项目的风险控制》论文中,着眼于工程项目,从工程项目的设计、工程招标和合同管理、施工过程和竣工决算等四个方面谈了对工程项目的风险控制,并对每个过程中的具体控制环节进行了深入分析,进而对工程建设全过程如何有效控制风险提出了一些初步研究成果。
       这些论文提出的措施都具有较强的针对性和可操作性,但尚未能将其形成一个完整的体系,在具有广泛指导意义方面仍还有一定差距。仅有少数论文能结合实践设计出一整套框架、机制和管理对策。例如,张晓松在其《中央企业构建高风险投资业务管理风险防范体系初探》论文中,便结合了通用技术集团对高风险业务监管的实践,设计并详细阐述了中央企业高风险业务管理风险防范体系的基本框架以及如何建立健全公司治理结构、明确目标定位,建立以风险为核心的绩效考核机制、完善内控机制、有效的外部监管以及合理的风险管理对策。文章较好的体现了理论性与实践性的结合。
        三、关于企业风险管理
       1、企业风险管理的概念
有的认为:风险管理是指组织为达到其目标而确认和分析相关风险,对风险进行控制的过程。它是一个系统过程,包括风险识别、衡量和控制三个环节,目标在于控制和减少损失,提高有关单位或个人经济利益或社会效果。
       福建省电力有限公司审计部在其论文《现代企业风险管理研究》中提出:现代企业风险管理是指企业在经营过程中,识别、评估、分析各种可能造成潜在影响的风险事项,并在其风险偏好范围内进行控制和管理,从而为企业目标的实现提供合理保证的过程,具体表现为认真分析风险、有意识地承担风险、科学地管理风险、稳妥地获取风险收益。风险管理是一种持续行为,贯穿于企业经营的全过程,包括事前、事中、事后。其核心是将难以预计的未来事项的不确定性控制在可接受的范围内,并从中寻求有利于企业发展的机遇。同时,作者还提出风险管理理念,健全的企业风险管理理念可以归结为6C,即全面性、一致性、关联性、集权性、互通性、创新性。
       而有作者认为,全面风险管理是一种结构化的、训练有素的方法,帮助管理层理解和管理可能威胁公司成功的各种不确定性。全面风险管理起源于战略,但它的最终关注点在于阻碍企业成功的风险;它涵盖整个组织或实体,整合与管理企业层面风险的能力则是其主要的价值所在。
       2、企业风险管理的作用及意义
       绝大多数作者都认识到风险管理的重要性,指出风险管理使得利益相关者、董事们和高管们确信所有的风险都被识别和理解,而且宝贵的资源被用于紧迫的风险领域。它使得企业的管理由自发走向系统化与规范化,使企业从整体出发来管理风险。
       风险管理的意义在于其已成为公司治理的核心。公司治理这一制度安排所决定的企业目标、决策体系及收益分配等都围绕着不确定性即风险展开。企业对风险的控制和管理的有效性,直接决定着组织目标能否实现以及实现的程度。公司治理是组织应对风险的战略反应,其职责核心就是确保形成有效的风险管理方案并执行到位。因此公司治理中包含战略性的风险管理因素。
       风险管理为对风险进行全面、合理地处置提供了可能性,综合利用各种控制风险措施,在风险的处置上具有科学性和综合性,企业可以通过风险管理,以最小的耗费把风险损失减少到最低限度,达到最大的安全保障。风险管理可以提高企业的生产能力,保障其生产经营活动顺利进行,实现企业经营目标。今天,李三喜教授讲述了风险决定成败、全面风险管理目标的设定等都很重要,对我们很有启发。
        3、企业风险管理体系框架
        许多论文引用了COSO于2004年提出的《全面风险管理——整体框架》。COSO全面风险管理框架有三个维度,第一维度是企业目标,包含四层次,即战略目标、经营目标、报告目标及合规目标,强调企业风险偏好与其战略的匹配;第二维度是全面风险管理,包括内部环境、目标确定、事项辨认、风险评估、风险应对、控制活动、信息与沟通、监督八个要素,各要素相互作用,相互影响;第三维度是企业的阶层,包含企业、职能部门、业务部门、附属部门等四阶层,将企业的各利益相关者都纳入框架中,体现了企业内控与风险管理在为利益相关者创造价值中的重要性。
       福建省电力有限公司审计部在其论文《现代企业风险管理研究》中提出:完善的现代企业风险管理体系,应将风险管理视为闭环型的过程管理,包括风险识别、风险分析、风险应对、风险监控,四个环节依次顺序推进、循环往复。风险识别,即确定何种风险可能会对企业产生影响,并以明确的文档描述这些风险及其特性。一般而言,风险识别是一个反复进行的过程,应尽可能地全面识别企业可能面临的风险;风险分析,即评估已识别风险可能的后果及影响的过程。风险分析可以选择定性分析或定量分析方法,进一步确定已识别风险对企业的影响,并根据其影响对风险进行排序,确定关键风险项,并指导风险应对计划的制定;风险应对即针对企业面临的风险,开发、制定风险应对计划并组织必要的人力、物力资源着手实施,目的是有效控制风险,避免风险失控演变为危机;风险监控即在风险管理全过程中,跟踪已识别的风险,监控残余风险及识别新的风险,确保风险应对计划的执行,评估风险应对措施对减低风险的有效性,并形成风险监控报告。
       该论文以现代电网企业所面临的安全风险和经营风险为例,探讨了现代电网企业风险管理的指导思想及具体操作流程,形成了从识别到控制、包括风险研究及风险的事前、事中、事后管理环节在内的、较为完整规范的现代电网企业风险管理模型,具有较高的应用价值。
       作者汪量、李孝林、李歆在其论文《发挥内部审计作用,促进企业风险管理》中还介绍了IIA研究基金(2001)在“企业风险管理——趋势和最佳实践”一文中建立的企业风险管理框架。该框架包括评估风险、整合风险、探究风险和保持向前四个环节。在通过识别风险因素并对其进行排序、归类来评估风险的基础上,采用财务方法等整合风险,通过分析机会、制定计划等方法探究风险,从而保持并促进企业不断发展。
      究竟何种框架适合我国企业,还需要具体问题具体分析,需要继续在实践中总结经验教训,不断努力探索。
      4、企业风险管理现状与发展趋势
       目前,我国为数众多的企业中的风险管理基本上是一种被动式的管理,没有专门的人员或机构进行企业风险管理活动,每个人或部门往往只针对自己工作中的风险孤立地采取一定对策,缺乏系统性、全局性。
       许多论文强调要建立的企业风险管理体系,首先要树立风险意识,转变观念,提高认识,使企业中每个部门、每个员工都理解企业风险管理的价值,协调风险管理目标和政策,把风险管理融入日常的企业管理中,使风险管理成为人们一项自觉的管理行为。
       有论文分析指出:随着知识经济发展程度的加深,受其影响,现代企业风险管理体系从指导思想到具体制度建设上,出现了以下四个方面的发展趋势:一是由着眼于控制向关注环境转变;二是由回顾历史向着眼于未来转变;三是以零起点的风险预测取代评价;四是由关注经营风险向关注战略风险转变。
       企业需要经过一个循序渐进、不断完善的过程,从最初的简单风险管理达到全面风险管理的高级阶段。全面风险管理将风险管理视为企业追寻机遇过程中一个合理有序的流程,将商务风险管理行为与战略管理、业务计划制定过程结合在一起,使用一种复杂的、高度透明的、持之以恒的方法将战略、过程、人员、技术和知识联结在一起,以实现使整个企业的风险、收益、增长与资本得到充分优化的目标。
       四、关于内部审计与风险管理
       1、 内部审计参与风险管理的可行性与必要性
       内部审计与企业风险管理有着紧密的联系,内部审计应当也必须参与风险管理,这是所有参与评选的论文的基本一致观点。
       风险管理是公司治理的核心,内部审计作为公司治理的自我调控机制,作为内部控制的重要组成部分,是解决信息不对称的重要措施,与风险管理密不可分。而随着风险管理导向内部控制时代的来临,内部审计的工作重点也发生了变化,现代内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下,风险管理成为组织发展的关键,促使内部审计的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。
        由于其自身的特点,内部审计参与风险管理拥有一定的优势。内部审计部门和人员熟悉本单位情况,对企业面临的风险更了解;内部审计部门和人员是企业内部成员,其利益同企业发展、兴衰密切相关,对防范企业风险、实现企业目标有着更强烈的责任感;内部审计部门不同于其他部门,不从事企业具体业务,其职能独立于业务管理部门,可以跳出业务各环节的圈子,从全局出发、综合客观地对风险进行识别和评价,采取有效的风险控制措施。内部审计部门的独立性使其不同于其他风险管理部门,作为高层次的监督部门,其风险评估意见直接报告给董事会,足以引起管理当局的重视。内部审计的独立地位还便于其充当企业长期风险策略与各种政策的协调人,通过对长短期计划的调节,调控、指导企业的风险管理策略。
       2、内部审计在风险管理中的作用
       为了更加全面和深入地理解风险管理的本质,福建省电力有限公司审计部的论文《现代企业风险管理研究》对国内外企业,特别是世界知名企业,如大通曼哈顿银行、杜邦公司、微软公司及加洲联合石油公司所采用的较为完善的风险管理体系以及先进的风险管理操作方法进行了分析、比较、总结和提炼,从中得出结论——内部审计在成功的现代企业风险管理体系中发挥着至关重要的作用。
其作用主要有四个方面:一是检查与评价。即内部审计部门运用审计手段对企业风险管理体系的充分性和有效性进行评估;二是管理与协调。即内部审计利用自身优势,积极参与企业风险管理体系建设,对各种风险要素进行识别、分析、协调、管理,并提出控制风险的有效建议;三是顾问与咨询。即内部审计师以咨询顾问身份协助企业确定针对风险进行管理的方法和控制措施,并评价其合理性与有效性;四是报告与防范。即内部审计部门通过及时传递并督促落实风险审计的成果,使各类风险因素得到有效的控制和防范。
      内部审计可以从风险识别、风险衡量、风险防范、风险监控等四个阶段参与风险管理。内部审计部门与企业各级风险管理组织紧密配合,要参与对具体项目的事先、事中和事后三个阶段的全过程风险审查,开展企业全面风险管理。
此外,长沙市内部审计师协会课题组在其《内部审计在现代企业风险管理中的作用和方略》论文中,对内部审计参与企业风险管理的必要性、作用有较为全面、深刻的认识。论述清晰、论证有力,有丰富实例。提出的问题非常具有针对性,提出的方略具有一定的应用价值。
      3、风险管理审计的现状与未来
      西方国家内部审计在企业风险管理中发挥了重要作用。据美国的调查,二十世纪90年代,美国公用事业行业企业内部审计只有不到20%的时间用于财务审计,其余时间都转向了经营审计。而我国目前多数企业内部审计依然停留在财务审计阶段。内部审计工作范围局限于核实财会方面的交易,较少触及企业业务流程方面的风险管理,未能对企业风险管理承担起监督作用,内部审计职能的发挥受到了极大的限制。
      长沙市内部审计师协会课题组在其《内部审计在现代企业风险管理中的作用和方略》一文中指出:至今,我国企业内部审计参与风险管理的法律定位层次不高,尚无一部法律对内部审计在现代企业风险管理中的定位加以规范;外部环境尚未形成,企业缺乏风险意识,风险管理活动缺乏战略性、系统性;参与的方式还比较落后,侧重于企业经营管理风险的识别、估算和控制方面的审计,而对企业制度风险、法律风险等其他风险的评估、测试等方面的审查重视程度不够。
杨学东同志在其《论风险管理审计的若干关键问题》论文中,提出在企业中建立“双重控制机制”,即在组织制度中,将业务部门控制与内部审计控制纳入决策层控制之下,授权内部审计参与重大事项、知晓相关信息、检查重要风险事项的范围、内容等权利,以制度的形式赋予审计具有获取风险信息的资格。
      中国电子科技集团公司审计第三课题调研组在其《风险管理审计在物资招标采购中的运用与探讨》论文中,针对物资招标采购的整体闭环流程,详细阐述了相关风险的识别、评估和应对的思路与方法,指出要加强内部审计人员在招标过程中的监督作用。文章论据充分,具体、翔实,具有较强的指导意义。
       公司治理、内部控制及风险管理三个部分相互交汇。在新的内部审计模式下,内部审计从企业战略目标、战略管理的高度出发,参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系;评价并改进组织的治理程序,为组织的治理做贡献;同时继续原有的对控制的效率和效果的评价作用,促进控制的改善,帮助组织保持有效的控制。此时的内部审计人员通过对风险的把握,来评价公司治理及内部控制,并促进公司治理、内部控制的改善,从而实现对风险的掌握与驾驭。在风险管理这个统一的核心下,公司治理、内部审计及内部控制实现了一定程度的整合,为组织增加了价值。
       长沙市内部审计师协会课题组,在其《内部审计在现代企业风险管理中的作用和方略》一文中建议:国家应出台《内部审计师法》,对内部审计环境、内部审计管理体系以及内部审计师制定出相应的法律规范;建议在企业中构建董事会领导下的全面风险管理保障体系,在此体系中,审计委员会和审计工作部门紧密结合,强化与各职能机构通力合作,共同保障企业目标的实现。
这些设想都十分具有创新性,值得在今后实践中加以深化,不断推进风险管理控制方法在审计实践中的运用。

      通过课题研讨和论文评选,我们认为存在以下问题和不足。一是对内部控制与风险管理的定位问题的认识存在差异,有的作者认为内部控制是企业风险管理不可分割的一部分,而有的则认为风险管理是组织内部控制的基本组成部分;二是风险导向审计与风险管理审计概念界定不清;三是有的作者提出企业风险管理审计须从企业战略目标、战略管理的高度出发,关于企业风险管理及风险管理审计的实例研究偏少,在实际工作中的应用研究有待加强;三是少数文章存在一定的抄袭或生搬硬套现象等等。

      总之,此次研讨活动中各成员单位通过采用文献研究法、理论研究法、比较研究法、个案研究法等各种研究方法,对课题的各个方面、各个层次进行了深入而细致地研究,取得了比较满意的成果,这将对今后的内部审计工作必将起到积极的促进作用。
以上情况,如有不当之处,请各位领导、同志们批评指正。
      谢谢大家!