探析企业风险及管理控制框架

文/周小红

探析企业风险及管理控制框架

文/周小红

随着我国经济的高速发展，特别是与国际化接轨的特殊时期，经济的微观主体—-企业也迅速发展和扩张。企业发展的同时，风险也不可避免地随着发展的规模和速度的加快而日益严峻。因此我们势必要建立有效的企业风险管理体系来防范和应对风险，把风险降低到企业可承担的范围内。本文旨在引入风险管理框架论理论，这是比内部控制更全面、更系统。

企业风险；原因；管理框架

一、风险管理的形成和发展

风险管理起源于企业的内部控制，源于美国上个世纪30年代，美国证券交易委员会SEC的成立实现了会计和审计事务的标准化。1949年美国注册会计师协会AICPA出版了第一部审计学意义上的专著《内部控制----协作体系及其对管理层和独立公共会计师的重要性。1979年颁布了《美国上市公司反海外贪污腐败法案》FCPASEC《管理层对内部控制的报告书》，第一次在建立内控体系中把内部控制法制化。1985年美国AICPAAA FEIIIAIMA联合创建“反虚假财务报告委员会”，两年后成立“反虚假财务报告委员会”下属发起人委员会，COSO委员会，1992年发布了《内部控制整合框架》，形成了现代内部控制最具权威性的框架。2001年安然事件及其后的世通等会计丑闻，催生了2002年7月30日的《萨班斯——奥克斯利法案》，加大了公司主要管理者的法律责任、高管收入、内部审计委员会、外部审计、信息披露等方面的监管。2004年9月COSO委员会发布了《企业风险管理整合框架》，这是标致着企业从内部控制发展到风险管理整合框架层面的里程碑。

二、风险的相关概念及主要表现形式

(一)相关概念

风险：是指未来事项的不确定程度。风险价值(VAR)：在特定概率水平(置信度)下，在给定期间可能发生的最大损失。风险管理：是一个持续流动的过程，是一个全员参与的过程，是由主体的董事会、管理层和其他人员实施的；它从战略制订开始，贯穿企业各方面。它旨在识别可能影响主体的事项，依据风险偏好来管理风险，以使风险在该主体的风险可接受范围之内。并为主体目标的实现提供合理保证。

(二)企业风险的主要类型

1.战略风险。与战略、政治、经济、监管和全球市场条件有关的风险；包括声誉风险、领导力风险、品牌风险、以及不断变化的客户需求。

2.营运风险。与组织的人力资源、业务流程、技术、业务连续性、渠道效果、客户满意度、健康与安全、环境、产品、服务、失效、效率、生产能力和变革整合相关的风险。

3.财务风险。因外币、利率和商品期货的波动而产生的风险；包括信用风险、流动性风险和市场风险。

4.灾害风险。可保风险，如自然灾害风险、各种可保责任险、有形资产的损失、恐怖活动。

三、风险管理整合框架的构成

风险管理框架，包括了四个层面、四个目标和八个要素，其中：

(一)四个层面为：企业整体层、分支机构层、业务单位层、子公司层面

四个目标为：

1.战略目标 企业建立内控体系时是以风险管理为基础，这个风险不仅反映了运营同样反映了战略层面。企业战略制定上的正确，会降低企业的整体风险水平。因此，企业在制定战略时要考虑企业与整体的风险承受能力。

2.营运目标 营运目标是保证资产负债表中，资产利用的有效性。如果资产利用是低效的，将导致财务报表资产的价值贬损，诱发管理层在报表上作假的动机。

3.财务报告目标 最根本的目的是防止和纠正财务报告的错报、漏报。

4.合规性目标 企业在整个运营过程中要建立起一整套内控体系来保证企业的运营符合法律、法规规范。

(二)八个基本要素

1.内部环境 内部环境是风险管理的基础，风险管理的推进和实施必须要得到董事会和最高层的认可。高层的风险管理理念、偏好、诚信和道德价值观以及所处的经营环境都极大地影响组织的文化、战略和经营风格。

2.目标设定 管理层采取适当的程序设定战略、营运、财务报告、法律遵循的目标，去制定在每个时间段具体要实现什么。

3.事件确认 围绕上述4个目标，企业在未来运行中，针对每个目标的实现，可能遇到的风险，评价自身的优势、缺陷、挑战如何去实现这些目标。

4.风险评估 分析影响实现前述4个目标潜在的风险危机，去评估危机产生的可能性概率、发生后对组织的影响多大。

5.风险应对 对发生的可能性和影响程度不同的危机风险，采取不同的应对方法。

6.信息与沟通 整个风险管理体系建立过程中，用规范的流程来帮助组织实现上、下、纵、横的有效沟通。

7.监控 是风险管理有效实施的支持手段。通过持续的管理活动、个别评价或者两者结合来进行。

四、重点基本要素的具体实施

风险管理整合框架中首先应进行风险识别，通过相关的风险识别技术来识别影响目标实现的内、外部事项，区分风险和机会。

其次风险评估，主要是评估风险的可能性和影响、区分固有风险和剩余风险。固有风险是指没有建立任何内控体系和管控体系的状态下，企业正常运营所面临的风险。

然后是风险应对，结合风险产生的影响和可能性以及行动的成本和效益来决定风险反应策略，将剩余风险控制在风险容限和风险容量范围内。

五、结语

企业风险管理整合框架，它是一种管理所有风险和机会而非简单的财务风险和机会的方法，是真正的整体性、集成式、前瞻性及流程导向型的方法、旨在积极或消极影响企业目标实现的不确定性，创造、保护和提高股东或利益相关者的价值；能协调风险偏好与组织战略相一致；提升风险反应决策；减少营运意外与损失；确认并管理多重风险与跨企业风险；更好地抓住机会和改善资本利用。

[1]美国COSO委员会.《内部控制整合框架》.2004.

[2]美国.《萨班斯—奥克斯利法案》.2002.

作者单位：(四川省宜宾市财政局)