发布时间:2023-10-24 10:59:49
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的公司战略风险管理样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
在管理学中“案例”由于它能够有效地结合实际问题,因而在考试中更能检验考生对知识和能力的考核,于是,越来越得到各类管理类考试的认可,并逐渐流行起来。从近年全国注册会计师考试科目《公司战略与风险管理》所涉及的案例来看,案例比例越来越高,案例涉及的领域也越来越多。从国内外情况分析,涉及的案例有国内案例和国外案例;从领域和行业划分,有生产企业案例、销售企业案例、金融机构案例等;从案例的效果看有正面案例和反面案例等。视角不同,检验考生掌握知识和能力的要求也有所不同。但无论如何,这些案例的目的就是要在考生学习和掌握了《公司战略与风险管理》知识的基础上,通过案例的考核,让考生把所学的理论知识同案例试题――这种浅层次的“实践活动”结合起来。
从2009年全国注册会计师考试新增本科目以来,可以看到,《公司战略与风险管理》一直强调案例型试题的重要性,并在各类复习和应试中不断强调。这是由于案例型试题的特点所决定的,案例型试题有利于提高考生的思维能力、应变能力和创新能力。通过案例型试题,将理论与实践有机结合,不仅使考生加深了对基础理论知识的理解和认识,扩大了知识面,拓宽了思路,还从一定程度上检验了考生分析问题和解决问题的能力。因而,目前全国注册会计师考试科目《公司战略与风险管理》中案例型试题的比重和难度占有重要地位,希望能引起考生的注意。
案例型试题能引导考生去思考相关的原理,真正把理论与实务紧密结合起来,使考生更好地掌握公司战略与风险管理的专业知识并能学以致用。所以,大家在复习和回答案例型试题时,需要明确考核的知识和考核内容,这就要勤于思考、勤于实践。关注经济管理时事,很多案例是来源于政策制定和教材知识点的融合,这为案例试题提供了丰富的来源,很多案例试题的答案往往是《公司战略与风险管理》科目的理论知识与政策实践等方面的综合,这也为考生提供了一条复习的渠道和捷径。如果能把教材上的知识与实践结合起来做一些案例试题,一定能收到事半功倍的效果。当前在金融全球化和金融危机的背景下,《公司战略与风险管理》科目的案例型试题也伴随着注册会计师考试《公司战略与风险管理》这门课程的重要性而体现出来。这一点从历年的试题中可窥豹一斑。
客观地说,《公司战略与风险管理》这门课程涉及的内容是极为广泛的,涉及经济学、管理学、数学等学科体系,不仅包括经济政策、宏观调控、公司战略、风险管理等内容,还包括各类公司的经营管理、市场营销、资本流动和资本运营、业务创新(特别是各类金融衍生品)、人力资源管理、内部控制等内容。可见,《公司战略与风险管理》是一个集理论与实务的“大杂汇”课程体系,这个群组直接涉及到了企业管理、金融、数学、国际经济、财政、贸易、汇率、利率、人力资源、薪酬激励和内部控制等具体的知识点。《公司战略与风险管理》科目所具有的上述特点,就要求考生在复习应试中,要紧密联系目前的现实问题,运用所学的知识,提高考生分析问题、解决问题的能力。
二、《公司战略与风险管理》历年考试中案例型试题分析
案例型试题的重点是以培养考生观察、分析和处理问题的应变能力为主,在案例型试题的全过程中,考生通过组织考生开展研读案例,查找并分析背景资料、思考判断、反复思索、答题、校正等环节,训练、培养考生的逻辑思维和综合分析问题的能力,同时也要注意提高考生思考能力和表达能力。
从公司战略与风险管理的知识结构和知识体系等方面看,该课程呈现出比较明显的特点,如课程内容丰富,课程的知识综合性和关联性强,课程的内容更新速度快,热点、重点问题多等。面对公司战略与风险管理学的这些特点,需要在应试方法上注重培养考生分析问题和解决问题能力。要避免考生由于缺乏对于基本理论的完整接受和理解而导致的死记硬背和一知半解的学习方法,应当将基本理论讲得尽可能的清楚透彻,并多用案例进行具体分析,在课后习题练习与考试或考查中体现出对考生分析问题和解决问题能力的重视,从而提高课程的应试效果。
三、《公司战略与风险管理》案例型试题的考前准备
《公司战略与风险管理》课程内容庞杂,要达到寓基础理论于广泛而深入的讨论之中,以加深对理论的理解并能分析、解决实际问题,选择合适的案例是关键。很多案例型试题的目的是从以往的事件中获得启发而编制的试题。应试的过程实际上是对事件的再展示,分析事件的来龙去脉,并通过教材理论和知识点来回答问题。从应试实际看,如果没有专业知识的提高,单纯的案例也不行,二者必须兼备,否则,就失去了《公司战略与风险管理》案例型试题的真正意义。对考生而言,进行公司战略与风险管理课程案例型试题的考生必须有扎实的基本功及一定的应试经验。
对考生进行案例练习的主要目的是为了提高其应试技能,掌握所学知识。在案例型试题中有两个环节需要重视:其一,对教材知识点的掌握。考生应根据应试内容、应试目的练习一定的案例。其二,案例的应试与技巧。要从案例中总结知识和相关理论,对考试的全过程有一个完整的认识,以提高应试效果。
在公司战略与风险管理案例型试题中,应遵循相关性、典型性和正面引导的原则合理筛选案例。同时,案例型试题不能取代其他题型,在进行案例型试题时,应注重多种应试的互相配合。案例的选择一定要考虑到案例与公司战略与风险管理原理的相关性,案例不能脱离原理。案例一定要和所要应试的《公司战略与风险管理》教材的基本名词、基本原理和基础知识等相关,这是案例型试题的前提条件。
案例型试题的重点是以培养考生观察、分析和处理问题的应变能力为主,在案例型试题的全过程中,考生通过组织考生开展研读案例,查找并分析背景资料、思考判断、讨论交流、总结反思等环节,训练、培养考生的逻辑思维和综合分析问题的能力。因此,案例型试题要达到较好的应试目的,必须进行周密的计划、准备和安排,否则只能使这种有效的应试方法流于形式,难以获得案例型试题应有的效果。
考生要结合自己的实际与课程的特点,因地制宜,通过科学的复习方法,达到事半功倍的效果。鉴于全国注会考试选拔性的特点,其各科考试都要求全面客观地反映教材及其考试大纲的要求,要全面考核考生掌握知识的水平、分析问题的能力和作为注册会计师所具备的实际执业能力,因此,首先要明确注会考试中《公司战略与风险管理》科目的命题特点,结合往年考试情况分析,有以下几个方面的特点供参考:
(一)全面考核、重点突出,紧密围绕大纲要求从基本概念和基础知识出发。考虑到本科目作为全国注册会计师考试的实际情况。考生要注意难易程度的把握,重在掌握注册会计师所需的同《公司战略与风险管理》相关的基本知识和能力。从去年本科目试题的情况来看,它基本涵盖了考试大纲所确定的公司战略与风险管理这两个部分的考试范围,并且这两部分的内容比重大体适当(相对而言,公司战略的比重略微大一点)。试题对每一部分的重点掌握得当,较为突出地反映了公司战略、风险管理各部分的中心内容。这主要体现在对基本概念、名词术语等方面的命题上,侧重运用性的知识点考察,如对SWOT分析法的考察、内部控制的理解和运用、风险类型等等,他们占试题基础部分的比重较大,这一点从客观试题中看得非常明显。
(二)重视知识理解、实际应用及职业能力需要。同时联系实际这一点相对于基础知识的掌握运用而言,是较有难度的,它测试考生是否具有成为一名注册会计师的基本执业能力。而这些能力的形成和发挥是一个综合的过程,它既包括有无坚实的基础知识和灵活全面的掌握知识,更主要的是测试了考生具备运用基础知识判断问题、分析问题和解决问题的能力。这些试题的难度是递进的,它们一般体现在是否能具有从所提供的试题信息中识别相关信息并根据这些信息进而做出正确的判断和选择。这些试题猛一看,似乎是教材中的“原话”内容表述,但细细一看,似乎又是“陌生”的,它们略微高于教材。考生在复习中,要想培养一种发现问题,并按一定的工作程序解决问题的能力,就必须认认真真地掌握教材及其考试大纲中的要求。此外,要求考生能够以合适的角色并根据这一角色的要求,用简明扼要的方式提出建议、观点和意见,也是考察学生的一个能力。许多试题实际上是在考察考生是否懂得考生所掌握的相关知识以及应具备的职业道德和掌握相关的分析问题、解决问题的能力等。这在简答题、综合题中是较为明显的,这些试题要求考生经过所学知识的分析,具有一定的基础知识、实践经验、较强的分析判断和解决问题的能力,否则将很难准确、全面地发现存在的问题。
(三)掌握新知识、新内容,实现知识更新的需求坚持终身学习,有较强的知识更新能力是对注册会计师在市场经济条件下不因技术不断变革而落伍的基本素质要求之一。时代的要求给注册会计师及时更新知识提出了更高的要求和挑战,特别是相关领域所涉及的新知识,公司战略与风险管理是一门综合性强、涉及学科较多的课程,因此掌握并回答好本科目试题对考生而言,并非易事。本年度考试中对新知识、新内容理解和掌握程度的试题也占据了一定的比重,如结合金融危机、人民币和美元汇率等出的一些题目体现了这一特点,这些试题源于教材又高于教材。如果考生的运用教材知识的能力较强,对于上述问题的解答将会变得比较容易。另外,在本科目的考试中,还特别强调考察考生能否综合运用多种知识和技能去分析问题和解决问题。
二、掌握合理学习方法的建议
结合考试大纲要求和本年度的命题,可以看到本科目对于考生的知识能力可以分为由低到高的三个等级,由易到难分别是:专业知识能力、基本应用能力和综合运用能力。从本年度的试题构成来看,也体现了这样的安排。这三方面的能力和知识构成如同地核到地幔的向外扩展一样,三层圆代表知识核心、知识中层和知识的外层。如图1所示。笔者认为,这三种能力的测试中,较多的是第二种能力的测试,其次是第三种能力的测试,第一种能力的测试比重并不是很高。可以预见,随着以后注册会计师考试中《公司战略与风险管理》科目的成熟和完善,这个趋势还会加强。虽然从表面来看,《公司战略与风险管理课程》相对于其他注册会计师考试的课程而言似乎容易一些,但真正要掌握这门课程并非易事,其困难主要体现在实践和应用上。如何在实践中提升公司战略与风险管理的境界、意识和理念是十分重要的。为较好地掌握该门课程,建议采用学习方法如下:
(一)理解和掌握每章的基础理论知识考生在复习中要注意结合案例,来理解每章的相关知识和理论,并做到融会贯通。把知识点能够从不同的侧面、不同的角度进行堆积搭配,从不同的视角进行审视、分析和思考。长期下去,坚持不懈,相信考生对教材基本知识点的掌握一定会与日俱增,不断提高的。
(二)梳理和总结各章要点在通读教材的基础上,结合各章考试大纲要求及习题能够认真练习,要针对各章的知识点,对每章内容进行梳理、回顾和总结。
(三)重视案例
关键词:中外合资保险公司;银保渠道;个代业务渠道;团体业务渠道;经代渠道
一、发展态势概述
中外合资保险公司的竞争优势在于其强大品牌资源的辐射效应、成功的海外市场拓展经验、一流的资本运作水平、创新的产品设计开发能力、国际化的管理理念和高素质的人员队伍。然而,初进经济发展相对滞后、信息沟通相对闭塞的西部市场,面临着一系列展业困难。主要包括:本土客户资源缺乏、人脉网络薄弱、网点数量稀少和消费者对品牌认知度不足。
二、渠道销售分析及策略
1.银保渠道
(1)渠道分析
保险业综合数据显示,银保渠道已成为仅次于个代业务渠道的第二收入大户。中外合资保险公司通过投资入股银行的方式,以达到强强联合的营销方式屡见不鲜。通过结盟,充分利用银行的网点资源和储户资源,在获得大量的潜在客户前提下,为短期内打开市场局面起到了良好的广告宣传效果。
但目前银保合作模式中,银保客户经理难以直接向终端客户展业,银行客户经理和柜员虽然可以起到中间人沟通的作用,但同时也是一道屏障,即最终保单的签订将很大程度上取决于银行工作人员尽职推销和专业化服务的程度。银保部门对此无法控制和监督,同时也无法将本部门销售人员的专业咨询和推销直接作用于终端客户。另外,银行作为基金、银行内部理财产品、保险产品共同销售的平台,投资类银保产品将不可避免地与上述产品同台竞争。
(2)策略
①指派保险理财顾问在银行分支机构驻点。银行推荐符合一定标准的客户,顾问提供专业咨询,解答疑难问题,根据客户个人情况和要求量身定做保险组合方案,有效跨出现有销售单一产品的模式。
②银保部门除了随时把握同业产品的动态外,也应关注基金类产品,银行理财类产品的销售业绩,了解客户的需求,听取专业人士的意见,最大程度挖掘自身产品的卖点。
③在银行网站设立关于产品介绍的网页链接,银行网点内部设置标准化产品展台专区等方式扩大产品宣传。
2.个代业务渠道
(1)渠道分析
结合中国国情和保险业处于初级向中级转型的阶段来看,个代业务在未来很长一段时间仍然是保险销售中的重头戏。
中外合资保险公司个代业务的突出优势在于其先进的人管理中心、完善领先的培训系统和高素质的人队伍。但作为西部市场的一家新公司,展业过程中面临取信客户和树立品牌的问题,相应的营销策略将围绕信任度的建立和传达、尽职推销和公司品牌推广逐步展开。
(2)策略
①信任度的建立和传达
a.建立人资料信息系统,客户可通过拨打免费热线电话和查询公司网站核实人身份、了解人过去销售业绩和信誉度评分。人在与任何客户的初次见面中,必须主动、全面和清楚地向客户告知查询途径,并分发印有该项说明的卡片。
b.在人中搜集客户经常询问的投保问题,想客户之所想,制成印有公司标记“Q&A”卡片在初次接触中向客户分发。
c.推动CRM数据支持的管理系统,改善原有的“人――客户”的单纯接触模式,减少公司前后线业务的脱节。一方面人将潜在签单客户的信息及时回馈公司,另一方面公司主动致电客户询问对产品、保单中条款等有无疑问,对产品和服务有何种建议、对人的服务是否满意。
②尽职推销
a.使具有竞争力、灵活多样的薪酬体系得到进一步完善。除了现有的以保费收入作为佣金计算的标准外,通过与核保核赔部门紧密联系,将保单的“质量”因素也纳入人奖惩的考量范围。
b.深化培训课程,对人的专业素质进行定期考评,建立服务星级制度,加强人间的竞争。
c.打造成都保险业界符合国际标准的人队伍。
(3)团体业务渠道
①渠道分析
随着企业人才战略的进一步深化,作为对员工的“金手铐”,年金产品的需求正快速增加。相比中资企业产品设计经验少、创新能力弱的缺陷,中外合资保险公司在养老金产品的结构设计、产品种类、技术含量和配套服务、风险控制能力和海外市场运作中有丰富的实战经验。
②策略
a.依托中方股东的人脉资源和网络开展团险业务。应充分利用与中方股东本身、其下属企业、上下游合作企业的网络关系,多点出击,打开团险市场。
b.提供一揽子配套服务,如提供网上在线自助查询服务、定期提供健康咨询、健康知识宣传服务和理赔分析报告等。
c.密切关注企业年金多层次和多样化需求,兼顾价格优势,为企业量体裁衣,打造高品质保险产品。
(4)经代渠道
①渠道分析
总的看来,成都保险公司对采取与经纪公司,公司合作展业的模式持谨慎态度,仅有少于半数的公司于近两年开始涉足。这是由于我国保险经纪业正处于初级发展阶段,其面临的突出问题导致了该渠道业务发展极其缓慢。主要问题包括:社会大众对保险经纪的附加值不重视或不明了;保险经纪在财经体系中的社会和经济利益定位过低;专业人才、技术的取得与养成不易;缺乏完整的技术和专业性风险管理和保险的资讯系统。此外,在成都老牌外资保险与当地保险经纪公司的合作中,也曾发生费率纠缠不清,经纪公司卖单等不良事件,从而使得众多保险公司在选择经代渠道展业时顾虑重重。
然而在发达国家成熟的保险市场上,50%-60%的收入来自经代渠道。随着我国保险市场的全面开放和发展,今后保险市场的分工将进一步细化,由保险公司提品和客户服务,专业保险经代公司专营销售,不但有利于发挥各自的优势,而且更可为市民提供更全面、优质的服务,因此经代渠道将是今后寿险市场的主要营销手段。
中外合资保险公司拥有强大的产品开发能力和丰富的管理经验,但由于进入的时间较短,对西部市场消费者需求的把握在深度和准确性方面都还有所欠缺。虽然目前成都地区经纪公司的发展还欠成熟,但他们更了解市场,了解客户,有客户资源优势。与经纪公司的合作有利于保险公司更直接地了解客户需求,根据不同公司所掌握的客户资源的差异性,为客户提供更为个性化的服务。因此,公司可以开始在四川范围内选择符合其标准的经纪公司,采取有效的合作方式,最终双方达到资源互补和“双赢”的效果。
②策略
a.选择具有良好信誉、长期清晰的发展目标、认同企业文化的经纪公司作为培养对象,运用公司成熟的行销支援和行政支援经验对合作经纪公司加以辅导和支持,协助其做好销售服务工作,加速其进入良性发展轨道的步伐
b.采取对不同经纪公司的目标客户群体量身定做具有个性化要求的专属产品的合作策略
三、四川整体战略规划
1.市场情况分析
(1)在成都以外,自贡,攀枝花和内江位居四川地区保费收入的前三甲。成都和成都以外地区保费收入总和各占四川全部保费收入的四成和六成,显示出成都不可动摇的重点中支地位。
(2)人口密集,经济较活跃,大型工业企业较集中的地区成为竞争的绝对焦点。
对于初入四川市场的中外合资保险公司,缺乏全面作战的能力,主要体现在人力、财力、客户资源和品牌认知度等方面。成都作为其在西部发展的重点中支,现阶段将其做大做强是核心任务。不占有一定的市场规模,达不到较高的效益指标,一刻都不能放松和分散力量。原因有二,其一,中外合资保险公司在成都市场的发展正处于快速发展的上升期,投入产出的边际效益较大,做大做强可以较好的形成规模效益,进入良性循环,同时面对众多新主体的涌入而不易被击垮。其二,成都市场的基地作用和示范效应意味深远。
2.策略
全面风险管理体系在部分央企、国企及上市公司中已经推行了一段时间,一些集团公司在风险管理方面取得了一定的成果。但是,最近笔者与不少集团企业的风控部门负责人沟通时发现,他们公司的风险管理工作并不尽如人意,比较集中的现象是:全面风险管理体系运作不畅,风险管理职能很难发挥。
到底是哪方面出了问题呢?笔者仔细询问了这些企业的风险管理工作推进情况,发现他们具有一个共同特征:在进行全面风险管理体系建设时,公司缺乏系统、有效的集团管控分析,没有将集团管控与全面风险管理体系进行融合。由于集团企业在全面风险管理体系运作时,经常会遇到跨层级、跨地域、跨产业的风险管理问题,总部需要对子公司的风险管理模式进行系统设计。唯有首先开展集团管控分析,将集团管控融入全面风险管理体系,才能使体系运转流畅,风险管理职能才能得以有效发挥。
一、为什么集团企业在全面风险管理体系建设之前必须首先进行集团管控分析?
1.从集团企业的特点看,需要开展集团管控分析
企业集团具有多层次的组织结构,一般由紧密联合的核心层、半紧密联合层以及松散联合层组成。集团公司是企业集团的紧密联合层,是集团的实体部分,逐步实行资产、经营一体化;半紧密联合层的企业可以以资金或设备、技术、专利、商标等作价互相投资,并在集团统一经营下,按出资比例或协议规定享受利益并承担责任;松散联合层的企业在集团经营方针指导下,按章程、合同的规定享有权利,承担义务,并独立经营,各自承担民事责任。
通常来说,集团企业具有“规模大、层级长、产业多、区域分布广、组织机构复杂”等特征,管控难度大,需要进行系统的集团管控设计。
集团企业的这些特点,要求公司在开展全面风险管理体系建设前,首先开展集团管控分析,从更高的和全盘的角度考虑全面风险管理体系的建设。
2.管控模式对集团风险管理工作开展有很大影响,要求集团企业必须首先进行集团管控整体分析。
不同的管控模式,对集团公司开展风险管理工作有很大的影响。一般来说,财务型管控模式的集团公司对下属公司的风险管理工作采取更加放权的方式;而操作型管控模式的集团,对下属公司的风险管理工作采取较为集权的方式;战略型管控模式的集团公司,风险管理工作则介于财务型和操作型之间。因此,在全面风险管理体系建设之前,需要首先明确集团公司的管控模式,分析其对不同下属公司的集分权强度,为风险管理工作明确方向。
3.从风险的分层分类管理需要来看,必须首先开展集团管控分析。
开展风险管理工作,必须明确集团公司管哪些风险,管到什么程度;子公司或事业部管哪些风险,管到什么程度;基层单位管哪些风险,管到什么程度。只有明确各自的风险管理分工和权责,才能保障风险管理责任得到有效划分,风险管理工作得以有效开展。以战略管理为例,只有通过科学系统的集团管控设计,明确集团各层级在战略管理工作中的权责界面,才能有效地组织开展战略风险管理工作。
例如,某集团是大型石油企业,管控模式为战略管理型。集团总部负责集团战略的设计、评价和调整,下属单位负责战略的执行和汇报。因此,战略设计风险、战略评价风险就主要由该集团的总部负责管理,主要责任也由集团总部承担;战略执行风险则主要由下属单位管理,主要责任也归下属单位承担。通过有效的权责划分,集团的战略管理风险才能得以有效的控制。
二、集团企业的集团管控与风险管理工作应该如何衔接?
集团企业的集团管控与风险管理之间是决定和促进的关系。集团战略规划决定了风险管理规划;集团管控模式决定了集团对分子公司的纵向风险管理模式;集团总部的定位决定了集团总部的主责风险;集团总部的职能设置决定了总部的风险对应部门;集团权责界面决定了各层级单位在风险管理中的责任划分;管控运作机制则决定了总部对子公司的风险管理措施。良好的全面风险管理体系是促进集团管控目标落地的重要保障手段之一,也能促进集团管控体系的完善。
1.通过明确集团战略,确定风险管理规划。风险管理规划是集团战略规划的重要组成部分,因此,风险管理规划必须结合集团战略目标制定,在集团战略的引领下开展规划工作。否则集团风险管理规划就成了为规划而规划的无用工程。
2.通过明确集团管控模式,确定集团公司对子公司的风险管理模式。不同的集团管控模式下,集团对子公司的风险管理强度是不同的:财务型管控模式对子公司的风险管控较为分散,操作型管控模式对子公司的风险管控则较为集中,而战略型管控模式对子公司的风险管控则处于中间,具体强度的把握与集团管控的控制强度一致。因此,在设计集团对各分子公司的风险管理模式时,需充分结合集团管控模式。
3.通过明确总部定位,确定集团总部的主责风险。通常情况下,集团总部定位有:战略决策中心、风险管理中心、资本运作与产权管理中心、人力资源管理与服务中心、资源整合与共享中心、企业文化与品牌建设中心、信息系统支持中心、生产协调中心、资金管理中心、财务核算中心等。不同的集团总部定位,决定了集团总部的主责风险。例如,总部若定位于生产协调中心,则总部必须承担生产协调失误的风险,并对此负主要责任,而企业如果定位于资金管理中心,则总部必须对资金的调度和安排负有主要责任,对因资金管理不善带来的风险承担主要责任。
4.通过明确总部职能设置,确定总部主责风险的对应责任部门。总部职能部门的设置情况,对总部风险对应部门的划分有着重大影响。例如,总部可以设置专门的资产管理部,负责统筹管理集团的有形资产和无形资产,也可以将资产管理的职能放在财务资产部管理,但两种方式下,总部资产管理风险的主责部门发生了变化。同样,集团公司可以设置专门的风险管理部门,也可以将风险管理职能放在审计部门或企业管理部下,再或者放在法务部下(目前不少企业采取了这种方式),三种方式下,集团公司的风险管理的统筹部门是不一样的。
5.通过权责界面划分,确定总部与子公司的风险责任划分。权责界面划分,确定了总部管什么,管到什么程度程度,下属单位管什么,管到什么程度程度。合理的权责界面划分,有利于明确在企业管理过程中各部门的权力和责任,也有利于此间各部门风险管理专兼职人员应承担的责任和义务。
6.通过管控运作机制构建,实现对子公司风险的有效管控。管控运作机制主要有六大类:
(1)管控会议机制:经营管理层确立例会体制,研讨解决各类重大问题;
(2)管控报告机制:经常性的报告报表统一格式模版化,保障信息畅通;
(3)管控推模机制:建立推模团队运作机制,内部学习,PDCA循环改进;
(4)职能委派机制:将总部派往子公司的相关人员纳入管理范畴;
(5)业绩监控机制:设计子公司偏差分析与经营分析体系;
(6)风险预警机制:建立风险预警指标,通过对风险预警指标的管理,事前防范风险。
集团总部通过构建以上六大管控运作机制,实现对子公司经营管理以及风险的有效管控。
关键词:董事会;治理结构;风险管理;经济资本;作用
中图分类号:F832.33 文献标识码:A 文章编号:1003-9031(2008)09-0004-05
近年来,我国商业银行纷纷股改上市,资本实力显著增强,业务规模不断扩大,经营业绩大幅提升。银行业要保持持续稳定发展,唯一的出路就是扎扎实实地提高风险管理能力,从源头抓起,彻底转变公司治理结构,完善公司治理机制,特别要发挥好董事会的主导作用,本文讨论了董事会在风险管理中的战略定位,分析了董事会开展风险管理的基本条件,并进一步提出董事会风险管理的着力点。从根本上解决风险控制的源动力问题,使风险管理具备更好的战略性和长效性。
一、董事会在风险管理中的战略定位
(一)公司治理是风险管理的基础
银行的战略目标是实现风险调整后收益的最大化,而有效的风险管理正是实现风险与收益平衡的基本途径。对银行而言,公司治理和风险管理之间存在密切联系,两者相辅相成。公司治理是实现风险管理的前提和基础,是有效推进风险管理的制度保证;反过来,风险管理也是公司治理的重要内容与核心任务。公司治理与风险管理的关系是“形”与“神”的关系。我国商业银行的改革最终要实现从“形似”到“神似”,这既是一个持之以恒的过程,也是一个探索创新的过程。一方面,建立、健全公司治理结构不可能一劳永逸、一蹴而就,必须在动态的市场竞争中,敏锐地发现风险、把握风险、管理风险,并根据风险管理的要求,及时调整治理结构和治理机制。另一方面,在我国现行体制下完善公司治理,必须有足够的创新精神。无论欧美模式还是德日模式,都存在各自的优缺点,每种模式都需要在实践中不断完善。美国安然等一系列大公司所出现的问题,反映出欧美公司治理的弱点;日本银行业前几年出现的种种问题,也暴露出其公司治理上的内在缺陷,所以在借鉴国外经验和教训时,要特别重视结合我国的情况,形成具有中国特色的公司治理,实现银行发展的战略目标。[1]
在公司治理的基础上,银行的风险管理要取得实效,还必须从战略、体制和机制等三个基本途径入手,构建起从宏观到微观、从硬件到软件、从理念到操作的一整套风险管理的传导机制,而这一切追根溯源又都要以完善的公司治理为基础,如图1所示。
(二)董事会是公司治理的核心
公司治理包括公司治理结构和公司治理机制两个方面。公司治理结构由股东大会、董事会、监事会、管理层等治理主体组成。其中,股东大会由银行的投资人组成,是公司的最高权力机构;董事会受股东大会委托,在授权范围内对银行重大事项进行决策;管理层根据董事会决策进行具体实施;监事会负责对董事会和高管层的履职状况进行监督评价,上述要素主体之间协调配合、相互作用,构成了比较完整的公司治理机制。
公司治理是否成功关键在于董事会职能发挥得是否充分与得当。[2]一个公司的所有经营和管理活动都以决策为基础,如果董事会的决策不正确,犯了战略性和方向性的错误,那管理层执行得再好也是南辕北辙,监事会监督得再严也无济于事。
(三)董事会在风险管理中起主导作用
董事会作为股东代表,是银行风险管理的最终责任承担者。一旦银行的风险失控,董事会负有不可推卸的责任。统计显示,1990-2006年间倒闭的459家美国银行中,90%的倒闭是由于董事的消极被动或决策失误所致。其中,倒闭的336家存贷款机构不同程度上存在董事、疏于谨慎的问题。在安然事件中,董事会对内部的财务欺诈视而不见,因而遭到法律诉讼和舆论谴责。2007年,法国兴业银行交易员凯维埃尔违规操作导致近72亿美元的经济损失,险些酿成第二个巴林银行。事后调查显示,该行董事会长期漠视内控体系的漏洞,应对此类事件承担主要责任。
2003年以来,美国内部控制专门研究委员会发展机构(COSO)委员会和巴塞尔委员会在各自的指导文件中都强调发挥董事会风险管理职能的必要性。[3]新资本协议和全面风险管理框架,从不同角度描述了董事会推行风险管理的基本模式和总体要求,提出了设立战略委员会、风险管理委员会、审计委员会,由此构造多重风险防线体系,以确保经济资本的核心盾牌不被那些突发的不利事件击穿。与管理层相比,董事会在推进风险管理过程中应该表现出更突出的长期性、全局性、战略性和根本性特征。
(四)董事会在风险管理中的主要职责
为加强银行的风险管理,首先要界定董事会职责,这是一个“高屋建瓴”的步骤,可以保证决策层参与风险管理的规范性和有效性。[4]根据巴塞尔委员会《健全银行业的公司治理》的要求,董事会作为银行决策层,它在风险管理方面的职责应主要包括:定期审议并向股东大会提交银行的全面风险管理报告;确定银行风险管理的总体目标、风险偏好、风险容忍度,审定风险管理战略和基本政策;批准重大决策、重大风险、重大事件和重要业务流程的判断标准和内控机制;针对银行所面临的重大风险和内部管理状况,做出风险控制的重要决策;审议批准内外部审计部门提交的评估报告,并监督管理层落实整改;审定风险管理组织机构设置及其职责方案;聘任首席风险官和首席审计官等关键岗位人选;对管理层的风险管理能力和执行情况进行考核、评价和监督;督导银行风险管理文化的建设等。
二、董事会开展风险管理的基本条件
(一)提升董事会风险管理的理念和能力
首先,要提高董事会成员的风险管理意识和理念,使每位董事都明确董事会在风险管理中的职责和任务,提高其工作上的主动性和服从内部控制的自觉性。其次,对董事会成员进行系统的风险管理培训,使之熟悉风险管理的知识、技术和方法,提高决策水平和工作能力。第三,通过优化董事会结构或董事会成员构成来达到提高风险管理水平的目的。比如,引入风险管理专家作为董事会成员;在董事会内部设立风险管理委员会;也可以在管理层设立直属董事会的首席风险官(CRO),将风险管理的任务和责任进一步分解,并由CRO监督CEO及其他管理者的风险管理情况,董事会则通过对CRO进行监督来降低监督成本,提高风险管理的专业化水平和效率。
(二)建立一套完整、规范的董事会风险管理流程
建立董事会的风险管理流程,是商业银行完善内控体系的基本要求,主要应从三方面入手:一是建立董事会决策范围内重大事项的风险识别、评估、决策、应对和后评价等一条龙的管理程序,将其载入公司章程,使之制度化、规范化;二是对高管层的风险管理状况进行程序化的督导;三是严格执行董事会集体决策制度,这已经被证明是董事会风险管理的一种有效方式,国内外不少银行经营失败的根源就在于没有很好地贯彻这一制度。
(三)发挥董事会专门委员会的指导作用
随着金融体系的不断发展,银行经营和管理也越来越复杂,董事会许多重大议案,特别是风险管理议案的技术含量比以前有了很大提高。这些议案如果直接提交到董事会,由于会上时间有限,很难进行深入讨论,因而降低了决策质量和效率。所以有必要进一步发挥董事会专门委员会的作用。
目前,我国商业银行董事会的专业化建设还有待加强。从上市银行的信息披露中,很难发现董事会专门委员会的详细信息,说明上市银行对董事会专门委员会的作用认识还不够。董事会在银行内部控制和风险管理体系中的核心作用,只有通过不断增强其专业化来实现。实现“专业化”的主要途径之一就是设立专门委员会,通过专门委员会来协助董事会,甚至可以直接负责某一方面的工作。这种专业化制度将增强董事会监督银行运作的能力,并能提升董事会决策的质量。
商业银行风险管理可以由董事会下设的多个委员会共同承担。其中,风险管理委员会负责监督高级管理层关于信用、市场、操作等风险的控制情况,对风险管理状况进行完整的评估,提出改进风险管理和内部控制的指导意见。审计委员会侧重于事后监督评价,主要负责处理与财务报告及合规性有关的风险事项。与战略、市场、渠道、顾客、技术、供应链和其他运营事务有关的风险可由战略委员会和风险委员会共同负责。这三个委员会在风险管理过程中要充分协作配合,战略委员会重点负责事前风险控制,风险管理委员会重点负责事中控制,审计委员会主要负责事后控制;再加上关联交易委员会、提名委员会、薪酬委员会的协调配合,就可以在决策层形成一个比较全面的风险管理网络。
从发展趋势看,董事会应该让上述专门委员会负起更大的责任,逐步从单纯的议事机构转变为董事会授权下的决策议事机构。这些专门委员会也可以根据各自的专业特长,主动地提出议案,而不是被动地审核管理层提交的议案,进而提高在风险管理中的主动性和参与度。
(四)建立科学的董事会业绩评价体系和方法
银行要将董事会业绩评估作为公司治理的持续驱动力,通过实施科学而全面的业绩评估,及时发现董事会履职能力和履职效果方面的薄弱环节。科学的业绩评估体系有助于决策层协调风险与收益的平衡关系,促进董事会更加积极地推进风险管理工作,为股东创造更大价值。
对董事会的风险管理业绩考核可从董事会整体和董事个人两个层面进行。对于银行重大经营失误,若系董事会集体决策所致,应向董事会全体问责;若因个别董事不称职或违背内控原则而导致重大失误,则应当像更换行长一样,通过临时股东大会及时对其进行更换。业绩考核的具体方式可以采取自我警醒与外部考评相结合的机制。但不论是哪个层面或哪种方式,评价时都要注意不仅要看到董事会当期的、显性的业绩,还要充分体现业绩背后对应的长期的、潜在的风险。[5]
与业绩评价密切相关的一个问题是独立性。独立是董事会有效进行风险管理的前提,缺乏独立性将使得风险监督和业绩评价失去意义。目前,在我国商业银行公司治理中,董事会既要独立于管理层,也要独立于控股股东;独立董事更要发挥其特有的职能,在整个任期内始终保持独立性;董事会各专门委员会,特别是审计委员会和关联交易委员会,要在处理各方利益关系的过程中坚持专业化的判断和独立自主的决策。
(五)培育与发展战略相适应的风险管理文化
风险管理既是一门科学,又是一门艺术,但无论如何,它必须成为一种文化,融入到银行自身的“血液”中,才能真正发挥作用。[6]风险文化建设是董事会有效开展风险管理的前提条件。董事会应着眼于银行的长远发展,成为风险管理文化建设的倡导者和推动者。董事和高级管理人员应投入足够精力,强化全行的风险意识,督导各部门、各业务条线、各分支机构树立全方位风险理念,使风险管理成为银行的活灵魂。要通过广泛的风险教育,培养所有员工对风险的敏感度,将风险意识贯穿到所有人员的自觉行动中,将风险管理作为一个动态过程融入公司经营管理全过程,并将其提升到一个战略高度。
三、董事会推动风险管理的着力点
(一)制定风险战略,确立风险偏好和容忍度体系
风险偏好是银行对风险的基本态度,包括银行愿意承担何种风险,最多承担多少风险,以何种方式承担这些风险,是否准备承担新的风险,以及为了增加每一分盈利愿意多承担多少风险等等。风险偏好是战略性的,通常以定性描述为主。而风险容忍度是风险偏好的具体体现,是对风险偏好的进一步量化和细化。风险容忍度涵盖了信用风险、市场风险、操作风险、流动性风险等所有风险类别,通常包括一整套关键的控制指标,如目标资本覆盖率、VaR置信度、最低资本充足率、最低准入标准、授信集中度等。风险容忍度是在风险偏好基础上确定的,它是全面风险管理的逻辑起点,如图2。
董事会在确定风险战略和推动其实施过程中,应综合考虑以下因素。第一,风险战略必须与银行总体战略目标相一致。风险战略必须服从和服务于银行总体发展战略,为银行价值最大化目标服务。为此,其任务不仅仅在于管住风险,更在于通过对各种风险的管理促进银行的战略转型和价值创造。第二,风险战略需要根据银行所处的市场环境及自身发展阶段适当加以调整。风险战略应反映宏观形势、同业竞争形势的变化,与银行所处的发展阶段和自身能力特征相适应。第三,风险战略确定以后,董事会应指导管理层,将风险偏好和风险容忍度分解到各种类别的风险限额管理中去,并以此为依据将风险战略体现在银行的资本管理、业务拓展、资源配置等各个方面,使全面风险管理在全行得以推进和实施。
在上述过程中,建立风险容忍度体系是一个承上启下的关键环节。董事会风险管理委员会应根据银行整体发展战略,确立统一风险偏好,责成首席风险官研究、提交风险容忍度体系方案。董事会要从战略和专业的双重角度,审核风险容忍度体系的全面性、科学性和严谨性,并负责将审定后的容忍度体系切实应用于风险管理工作,使之发挥有效的引领作用。
图2 风险战略、风险偏好和风险容忍度
(二)完善风险治理架构,为全面风险管理提供体制保障
在风险战略确定之后,银行要通过公司治理架构,使风险战略由董事会传导到管理层,管理层再据此制定风险防范和内控措施,再传导到具体业务和经营层面,由此推动风险战略在全行贯彻落实。
1.风险治理的三道防线。从风险治理架构的横向看,董事会要构造多道防线组成的风险控制体系。该体系包括三道防线:第一道是前台业务部门,包括一线工作的营销人员、客户经理、产品经理和风险经理等,他们组成风险过滤网的最前端,是风险管理的基础力量;第二道防线是管理部门,包括信贷审批、贷后管理、预警监控、系统管理、政策研究、资产负债管理、法律合规等,这些综合管理部门形成了风险管理的中间力量;第三道防线是后台审计部门,包括内部审计和外部审计,它直接隶属于董事会,实施垂直化管理。
董事会的各专门委员会分别对口三道风险防线,其中战略委员会对应第一防线,风险管理委员会对应第二道防线,审计委员会对口第三防线,如此可将决策层与管理层的风险管理职能衔接在一起。
值得一提的是,审计是风险管理的最后一道闸门,也是董事会有效开展风险管理的着力点。董事会要通过垂直化管理机制,加强审计条线的建设。一方面,通过加强评价考核、激励约束和资源配置,充分发挥内部审计条线的管理监督职能;另一方面,要引入市场竞争机制,促使外部审计机构贯彻执行董事会的管理要求,充分发挥外部机构的财务监督职能。此外,通过强化审计功能,董事会还可以提高信息质量,防止因信息不对称而出现决策失误,进而增强董事会在风险管理中的权威性、客观性和严肃性。
2.风险治理的上层架构。从风险治理架构的纵向看,上层架构主要由董事会、高管层和监事会组成。董事会层面,重点是强化其决策职能,发挥专业委员会的作用来制定风险战略,核准高管层提交的风险政策和管理程序,并对管理层的风险管理活动进行监督。高管层负责实施董事会确定的各项战略、政策与制度,负责建立责权明确、报告线路清晰的组织结构,建立识别、计量和管理风险的程序,并实施健全有效的内部控制。监事会负责对董事会和高管层进行监督,保证银行的经营符合法律规定,减少道德风险和内部人控制。
3.风险治理的基层架构。风险治理的基层架构由各业务条线、各个分支机构组成。董事会的任务是在基层架构上建立起一个覆盖面广、相互联系、相互制约的控制体系,使上层架构确定的目标、政策、制度能在基层架构得到传达和落实。第一,风险管理条线要建立包括操作风险、市场风险、信用风险、资产负债、合规风险等在内的管理部门。第二,向营销条线派驻风险管理团队或专员,使之对风险管理部门直接汇报。第三,在分支机构中设立风险管理部门与岗位,并接受总行风险管理条线和分支机构的双重领导,实施矩阵式管理。第四,设立独立的审计监督部门,负责检查、评价风险管理和内部控制的健全性、有效性,审计部门直接向首席审计官和董事会审计委员会负责。
4.选聘首席风险官和首席审计官。鉴于风险管理的重要性和复杂性,我国商业银行应设专职的首席风险官和首席审计官,这是董事会有效加强风险管理的重要前提。根据国外银行的经验,首席风险官和首席审计官在高管序列中占据重要地位,其行政级别应不低于其他副行长。其中,首席风险官由行长提名,经董事会1/2票数通过后方可聘任。董事会选聘首席风险官,应当将其是否熟悉风险管理的技术方法及法律法规,是否诚信、敬业、守法,是否具备胜任能力作为判断标准。首席风险官直接向行长负责,但履行职责时应保持适当的独立性,应当定期向董事会及其风险管理委员会报告银行经营管理行为的合法合规性和风险管理状况。首席审计官由董事会或其下设的审计委员会提名,经董事会2/3票数通过方可聘任。首席审计官直接对董事会负责,主持全行内部审计和外部审计工作,履职过程中必须保持充分的独立性。
(三)构建内控传导机制,增强风险管理的可执行性
在制定风险战略和完善风险治理架构的基础上,董事会还要通过建设一系列传导机制,解决风险治理的上层架构与基层架构之间的联接问题,使全面风险管理的决策系统、执行系统、监督系统有机衔接起来,保证风险管理的战略、政策、程序在全行得到有效贯彻和执行。[7]当前,我国商业银行重点要从经济资本管理、激励约束和预警纠偏三方面来加强传导机制建设。
1.基于风险战略,建立经济资本管理机制。经济资本管理近年来在国际银行业得到广泛应用,它是银行内部优化资源配置、平衡风险与收益的核心机制。董事会所设定的风险偏好和风险容忍度,要落实到具体的资本计量上,并将资本在不同行业、产品、地区和客户等维度上进行交叉配置,以此体现银行的风险偏好,引导全行按照整体战略进行业务拓展、结构调整和战略转型。目前,对国内许多银行来讲,建设经济资本管理机制的重点是从计算信用风险的内部评级法入手,在加强信息系统建设、对业务数据进行积累和筛选的基础上,构建信用风险计量模型,计算预期损失和非预期损失。随着风险计量水平的提高,再逐步对市场风险和操作风险进行计量,并进行相应的经济资本配置,最终使资本覆盖所有风险类别。简单讲,经济资本管理机制的实施线路是:战略制定――风险计量――资本分配――业务发展和结构调整――评价考核――战略再调整。
2.强化激励约束机制的导向作用。激励约束机制是银行所有机制中最具有导向效应的机制。无论是国家法律规定,还是银行本身制定的各项政策、制度和措施,只有依靠一个正向的激励约束机制才能在银行内部进行有效传导并得到执行。一方面,银行在对各业务条线、分支机构进行绩效考核和激励时,要对风险因素和风险战略执行情况进行重点考核,并在薪酬激励中加以体现。其有效手段就是在经济资本计量的基础上,引入风险调整后资本收益率(RAROC)考核,不仅要考核当期收益,更要将银行获得收益所承担的风险成本和资本成本纳入考核,引导全行有效执行风险管理的各项政策和程序。另一方面,要强化对风险责任的追究。无论是决策层、执行层还是监督层乃至操作层都必须履行相应岗位所需承担的风险管理和内控职责。要形成一个从上至下的监控路线,加强内部审计的独立监督功能,对各层级履行风险管理和内控状况进行监督评价。对于不能有效履行职责、违规违纪、对银行产生风险的行为要依法进行问责。
3.围绕风险容忍度建立预警纠偏机制。董事会应重视风险管理的过程控制,除了经济资本管理机制和激励约束机制以外,还要建立风险预警与纠偏机制,以便对各类潜在风险做到及时发现、及时反馈、及时应对,保证董事会战略决策的执行效果不打折扣。[8]风险容忍度既是银行风险偏好的具体体现,也是各条线风险限额执行情况的汇总反映,起着承上启下的作用,可以作为董事会进行风险管理的战略工具和传递机制。管理层应定期向董事会报送风险容忍度的动态数据,分析评价总体风险状况和关键风险点。在必要时管理层要组织现场检查,核实数据背后的实际风险状况,根据容忍度执行数值,有针对性地进行风险排查。如果风险容忍度被突破或即将被突破,就表明风险管理出现了整体性问题,而不是局部问题。此时,管理层须立即向董事会报告,风险管理委员会要作出专业分析和明确指导,同时责成管理层采取行动,以控制风险态势的蔓延。围绕风险容忍度建立起上述预警纠偏机制,能够使董事会的风险管理由一种结果式的管理转变为过程性管理,使之不仅能够传达政策导向,还能风险动态进行敏锐的的预警和前期控制。
参考文献:
[1]李维安等.现代公司治理研究[M].北京:中国人民大学出版社,1996.
[2]王洪章,张乃忠.现代商业银行经营管理[M].大连:东北财经大学出版社,1995.
[3]武剑.内部评级理论方法与实务[M].北京:中国金融出版社,2005.
[4]丹尼斯・夫尔顿,杰弗里・佩罗夫著,黄亚钧译.现代产业组织[M].上海:上海人民出版社,上海三联书店,1998.
[5]钱颖一.转轨经济中的公司治理结构―内部人控制和银行的作用[M].北京:中国经济出版社,1995.
[6][美]斯蒂格利茨.经济学[M].北京:中国人民大学出版社,1997.
关键词:内部审计;风险管理框架;应用
中图分类号:F239文献标识码:A文章编号:1672-3198(2009)03-0237-02
1引言
2004年美国反虚假财务报告委员会(COSO)颁布了《企业风险管理——总体框架》中,企业风险管理的定义是,由董事会和管理层在制定战略及在整个企业中实施的、用于识别可能影响组织的潜在事件并根据风险偏好管理风险,为组织实现目标提供合理保证的过程。它强调企业风险管理和内部控制体系整合,使二者共同成为公司治理的强大工具。内部控制体系中核心环节之一的内部审计承担了监督、评价、检查、报告和改进等任务,是企业风险管理不可或缺的组成部分。
2004年国际内部审计师协会(IIA)内部审计的定义将风险管理和内部控制、公司治理列为内部审计的工作对象,明确要求内部审计参与风险管理和公司治理过程,IIA《标准》确定了风险审计的方向。
2风险管理框架下风险导向审计的应用前提
在风险管理框架下,要发挥风险导向审计的作用,必须以风险管理为基础,改变审计思路,改进审计流程和方法。
2.1以风险管理框架为理论框架
COSO提出的ERM框架首先增加了战略目标,将企业风险的关注点引向战略问题;其次,在内部控制五要素(内控环境、风险评估、内控活动、信息与沟通、监督)的基础上增加了目标设定、事件识别和风险评估三个要素,与原来的风险评估要素构成了一个完整的风险管理过程;最后,还强调风险管理覆盖所有层次,包括业务单元、子公司、分支机构和公司的整体层次等内部控制的全部领域。可见,ERM是一个整合公司治理和内部控制的框架,它关注包括公司治理领域和内部控制环节的一切风险。
IIA通过修改内部审计定义加速了它的发展并使其成为现代内部审计发展的趋势。它是传统审计的发展,赋予为企业的风险管理提供保证的重要任务,因此,应该让内部审计和风险管理框架直接联系,实现协同效应。IIA《标准》对风险审计的规范和指导,极力倡导内部审计在企业风险管理框架中发挥不可替代的重要作用,即内部审计要在风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。
2.2以风险管理目标为审计过程的行动指引
全球化、技术更新、资本重组、变化的市场、竞争和管制等因素使企业经营面临着很多不确定性,现代企业管理的战略目标是增加企业价值,同时承受相应的风险。不确定性是对价值的破坏或增进,风险与机会并存,管理层把机会反馈到战略或目标制订过程中,以便把握住适合的机会。
COSO对企业风险管理定下四大目标:战略目标——高层次目标,与使命相关联并支撑其使命;经营目标——有效和高效率地利用其资源;报告目标——报告的可靠性;合规目标——符合适用的法律和法规。在这些目标指引下,风险管理过程就是要合理保证管理层及时了解企业实现目标的程度。依据IIA对内部审计的定义,风险导向审计的总目标是对企业所面临的风险进行管理,对内部控制和治理过程进行评估,将评估的结果反馈给管理层,从而帮助企业实现目标。其目标基本一致。
COSO风险管理框架扩展了风险管理的广度和深度,提高了企业管理层控制风险的地位,也提高了风险评估在企业经营中的地位,企业目标分为经营效果和效率、财务报告可靠性和法律法规的遵守程度,内部控制目标提升到企业战略的层次。风险导向审计对企业风险的监控是指对风险管理要素的内容和运行及一段时期内执行质量的评估,要求在企业风险控制监督过程中取得实效,广泛收集有关经营决策和风险状况的信息,评估各个待审计项目的风险,进而确定审计风险控制策略。风险导向审计的焦点体现在分析、确认和解释关键性的经营风险,使审计和企业风险管理策略紧密联系。
2.3采用新型的审计思路
传统的内部审计沿袭“自下而上”、“由点到面”的审计思路,风险导向审计则要求审计人员对企业的战略管理进行分析,对企业风险做出合理的专业判断,运用“自上而下”的思路,确定审计的范围、重点、审计目标和相关审计程序,通过实质性测试的结果,结合重要性判断来判断整个企业的风险并最终形成审计意见。
2.4以企业战略为审计起点
企业经营战略指导企业未来的发展方向,内部审计要把握好企业战略和长远规划,才能充分发挥其服务职能,从战略分析入手,按照“战略分析——经营环节分析——剩余风险分析”的思路展开风险分析,确定实质性审计程序的性质、时间和范围。它使得审计人员从战略系统观角度对企业保持和加强风险管理体系的竞争优势进行分析评价,指导审计重点、范围、目标和程序,从系统上改进了审计方法,以适应新经济环境的要求。
2.5以风险识别为审计主线
风险导向审计以风险识别为起点,通过事前分析评估,提出应对风险的方案并辅之事后总结,完善风险管理制度,并检查风险控制的有效性,及时揭示和报告潜在风险,提出防范措施和改进建议。
所谓风险识别是指在风险发生前,运用各种方法系统地、连续地发现风险的过程,了解企业存在的各种风险因素及其可能带来的后果,将风险识别运用到审计中,审计人员可以针对不同的风险程度采取不同的实质性测试程序和相应的风险控制措施。风险识别方法有很多,如环境分析法、财务报表法、流程图法、情景分析法、决策分析法、动态分析法、头脑风暴法等,多种方法可在风险识别过程中结合运用。
2.6以风险评估为控制手段
在风险管理框架下,内部审计的一个重要职能是协助建立和完善企业风险管理制度,对执行情况的有效性进行检查,及时揭示和报告潜在风险,提出防范措施和改进意见,因此风险评估是风险导向审计的重要手段。它有利于帮我们确定合理的审计程序,揭示被审计单位财务、经营等方面风险,并重点考虑形成这些财务数据的业务经营及其他影响因素等方面,搜集充分、适当的审计证据。非财务因素如企业的战略优势在哪里,未来发展前景如何,管理方式与经营理念是否合理,主要竞争对手是谁,重要客户是谁,人力资源素质怎么样,面临的法律监管环境如何及内部控制制度等。
风险评估的核心是分析性复核的运用。所谓分析性复核,就是以财务资料与非财务资料之间的表面关系或可预测的关系,评估财务信息的合理性,分析被审计单位的重要比率,包括这些比率异动及与预期数的差异,目的是评价业务的总体合理性。在多元因素评估过程中,还要将现代管理方法运用到分析性程序中去,使风险因素不再独立,常用的分析方法有:战略分析、绩效分析、财务分析、会计分析及前景分析等。
3风险管理框架下内部风险导向审计的应用过程
风险管理是一个动态过程,风险管理框架下的内部审计也是一个动态过程,且贯穿于企业管理全过程。
3.1理解风险管理是一个动态过程
COSO对风险管理的定义是“风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”。从定义可以看出,风险管理渗透于企业经营活动全过程且反复相互影响,风险管理机制的运作是一个动态管理的过程,与经营管理活动交互存在。我们看到,风险和机会有时会互换,也是动态过程,如果把握不好,机会将变为风险,如果控制及时,风险也会转化为机会。风险管理就是帮助管理层有效处理不确定性,规避风险、把握机会,提高企业创造价值的能力,这也决定了风险管理是个动态过程。
风险管理要素由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等八个相互关联的要素构成。这些要素来源于企业经营方式,各个要素之间相互影响、互相作用。例如,风险评估促进风险应对,并影响控制活动,突出信息和沟通的重要性。因此,风险管理是多方向且反复的过程,不同要素之间相互影响。
3.2风险导向审计贯穿于企业管理全过程
风险导向审计最终目的是为了完善公司治理,协助管理层应对风险、把握机遇,提升企业价值。它以风险为出发点,由传统的事后评价变为全过程的动态反应,为管理层提供及时有用的信息,为公司治理相关措施的有用性给予反馈,并提出建议。所以,风险导向审计是将各项管理经营活动整合成一个完整、相互约束和自我改善的体系。它运用立体观察的理论来判断影响企业经营风险的各种因素,从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来评估企业的风险水平,把经营风险植入到本身的风险评价中去,并贯穿于内部审计的全过程。
我国学者黄园园提出,企业管理活动可以划分为战略管理、管理控制和作业活动三个层面,风险导向审计贯穿于企业管理的全过程,内部审计通过作业活动层面的风险导向审计和自我控制评价了解企业风险状况和管理薄弱环节,进而向战略管理层或管理控制层提出管理建议,在战略层做出决策后向管理控制层或作业活动层提供管理咨询,并在获得授权的情况下协调作业活动层的改进工作。
3.3风险导向审计在不同风险管理水平的作用过程
风险导向内部审计与传统内部审计的区别在于其遵循的逻辑顺序是“目标风险控制”,同时根据企业风险评估调整审计战略,确定审计重点,紧密关注高风险的领域,以提供更相关、更符合管理层和董事会需求的确证信息。
在不同风险管理水平下,风险导向审计所发挥的作用不同(如表1)。在风险暴露阶段,内部审计建立在审计风险评估的基础上,采用风险管理方法;在风险察觉阶段,内部审计建立在审计风险评估基础上,协助建立企业范围的风险管理方法;在风险确认阶段,内部审计使用管理层的风险评估结果,促进风险管理的战略和政策的实施;在风险管理阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计;在风险管理融合阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计。
当然,在不同风险阶段,企业风险管理水平是不断发展和变化的,在这种逻辑思路下,风险导向审计模式应根据不同的风险水平不断调整审计目标和重点,发挥不同的职能作用。
4结论与建议
4.1结论
在风险管理框架下风险导向审计的功能得到有效拓展,在促进风险管理、内部控制和公司治理方面都发挥了重要作用,成为企业风险管理体系的重要组成部分。因此,风险导向审计贯穿于企业管理全过程,必须突破传统观念,以企业风险管理框架为理论依据,改进审计流程和方法,与风险管理机制相融合,其审计模式在不同风险管理水平下应随之相应调整。
4.2建议
我国内部审计起步较晚,无论在理论研究还是实际应用,与西方内部审计存在较大差距。随着我国市场经济体制逐步完善和世界经济一体化,我国企业与西方企业面临着同样经营环境和风险,内部审计作为企业风险管理体系的重要环节,必将面临严峻的挑战。我们可以从以下三方面着手准备,为全面推广风险导向审计提供基础。
保险公司的风险管理是一个永恒的话题,保险公司围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立全面风险管理体系,可以起到防范和化解风险、保护资产的安全与完整、保证经营活动合法合规和企业经营战略有效实施等重要作用,因此,是否实施全面的风险管理是衡量保险企业经营管理水平高低的重要标志。
(一)保险国际化的趋势日益明显
在经济全球化的大背景下,保险国际化的趋势日益明显,一方面表现为客户保险需求的全球化,跨国公司基于其全球经营业务在世界范围内安排其风险管理与保险计划;另一方面表现为保险人通过国际间的保险资本运作、对冲机制、战略联盟等多种形式,满足巨灾保险、金融风险管理等迅速增长的需求,在国际范围内寻求新的生存和发展空间。20世纪60年代出现的真正意义下的自保公司,70年代由荷兰人首创并迅速风靡全球的银行保险,80年代人寿保险业出现的以万能寿险和变额寿险为代表的产品创新,90年代出现的保险风险证券化以及大量新型风险转移工具,特别是近年来,处于前锋地位的保险人、保险经纪人、政府保险机构及民间保险组织,如安联保险等,已经在综合风险管理(IntegrateRiskManagement)、非传统风险转移工具(AlternativeRiskTransfers)等新型保险产品和技术等方面进行了大量的创新,保险保障的范围已经大大突破了传统意义上的可保风险范畴,从而预示着未来保险业的革命性变化。
(二)保险资金面临的投资风险越来越大
随着金融市场的创新与融合,保险资金运用渠道的逐步拓宽,可投资品种逐步增加,从普通的债券投资发展到权益类投资、从国内市场拓展到境外市场,保险资金特别是寿险业资金面对的各种风险也越来越复杂。例如,寿险保单存续期一般都长达20至30年,相应的在资金运用中要考虑20-30年存续期的投资与之相匹配。投资于固定收益资产的寿险资金,对利率的变动非常敏感,市场利率的微小波动会导致资产价值的较大变动。据统计,到2006年8月,债券已经成为保险资产配置的最主要工具,投资规模已经达到8777亿元,其中,持有国债和金融债余额分别达到3674亿元和2416亿元,债券资产占保险资产运用的比重由2001年的28.4%上升到2006年的55.2%,保险公司持有的企业债、银行次级债、国债和金融债的余额分别占总余额的69.6%、45.5%、12.1%和11.6%。在央行上调利率、国债等债券收益率大幅下降的背景下,保险公司投资风险显然还在加大。投资效益低下直接影响到保险公司的偿付能力和经营的稳定性。据测算,1999年以前的保单会导致我国寿险业利差损每年增加约20亿元,到2004年底寿险业利差损总额超过720亿元,占到行业总资产的9%左右,即便各寿险公司将全部业务盈余都用于弥补利差损,也需要10年的化解时间。而权益类投资,包括金融衍生物投资风险巨大,给许多公司带来几亿、以至几十亿金额的损失,如德国哥达保险公司、克罗尼亚保险公司、汉诺威再保险股份公司、伦敦巴林银行等。因此加强资金运用风险管理,提高风险管理水平对资金运用是非常重要的。
(三)全面风险管理成为现代保险企业管理的基础和核心
随着金融保险市场的日趋深化和扩大,各保险机构之间的竞争也从原来的规模扩张逐渐转变为内部管理、业务创新等方面的竞争,从而导致了保险企业的经营理念的深刻变化,使全面风险管理成为现代保险企业管理的基础和核心。从世界范围来看,风险管理正在从传统的“点对点”式的管理走向全面的、一体化的管理。国际上比较有名的内控和风险管理模式有英国的Cadbury、美国的COSO和加拿大的COCO,特别是美国的COSO模式从理论到操作方法上阐述了一整套完整的全面企业风险管理框架。WilliamJ.Mc·Donoush所称,“内部控制将对投资者起到重要的保护作用,因为稳固的内部控制是抵御不当行为的头道防护线,是最为有效地威慑舞弊的防范措施”。2005年,保监会制定《寿险公司内部控制评价办法(试行)》。2006年,国资委制定了《中央企业全面风险管理指引》。这对于推动保险企业的全面风险管理的发展具有重要意义。
(四)我国保险业在风险管理方面存在许多不足之处
近几年来,国内保险业在快速发展的同时,在防范和化解经营风险和加强公司内部风险管理方面有了一些进展,但还是存在不少问题和不足,主要表现在三个方面:一是对全面风险管理的认识不到位,存在着严重的“竖井效应”。二是没有建立完整的风险管理框架。大多数保险公司的风险管理没有贯彻到公司的各项业务过程和各个操作环节,许多关键控制点形成所谓的控制盲点,还没有形成一个有效的多维、多视角、跨时点的风险监控体系。三是风险管理效果不尽如人意,出现了许多违纪违法的现象。因此,只有从我国保险公司的实际出发,引进、消化和吸收国际上先进的企业风险管理模式和风险管理技术,特别是应该使CO—SO框架成为保险公司完善公司内部控制的标准,构建全面风险管理体系,缩小我们在风险管理方面与国际上的差距,才能够增强保险业抵御风险的能力,使保险业稳定健康发展。
二、COSO企业风险管理框架的内涵
目前,国际风险管理领域存在诸多的企业内部控制和风险管理标准,但都与COSO框架紧密相关,COSO框架已成为企业全面风险管理的标准。因此,要完善保险公司的内部控制,加强风险管理,需要准确理解COSO界定的企业风险管理框架的内涵,以COSO框架为依据,建立保险公司风险管理框架和机制,取信于投资者,提高保险公司在公众中的美誉度。
早在1958年,美国注册会计师协会将“内部控制”区分为两类:内部会计控制和内部管理控制。1992年,COSO提出了内部控制整体框架,并在1994年进行了增补,指出:内控是为了实现经营的效果和效率;财会报告的可靠性;对现行法规的遵守三大目标的过程。2004年10月,COSO正式企业风险管理框架(以下简称ERM框架)。ERM框架在1992年报告的基础上吸收了各方面风险管理研究成果,并进行了扩展研究,提出了内部控制框架与企业的风险管理相结合的风险管理思路。
COSO对ERM框架的定义是,“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理的保证”。COSO的风险管理框架扩展了其内部控制框架,强调企业风险管理有三个维度,分别是目标、风险管理要素和管理层级。目标由内部控制框架的3个扩展为4个,即战略、经营、报告和合规。风险管理要素由内部控制框架的5个(内部环境、风险评估、控制活动、信息与沟通、监控)扩展为8个,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。管理层级包括整个企业、职能部门、业务单位和分支机构4层。各管理层级是风险管理主体,风险管理要素是必备条件,目标是企业努力实现的对象,企业的各个管理层级都要按照风险管理的8个要素为4个目标服务。
COSO于2001年起开始进行企业风险管理研究,强调风险管理框架必须和内部控制框架相一致,把内部控制目标和要素整合到企业全面风险管理过程中。因此,ERM框架是对内部控制框架的扩展和延伸,它涵盖了内部控制,并且比内部控制更完整、有效。首先,该框架扩展了内部控制框架,强调风险管理与企业战略目标相协调,并最终融人企业文化之中;其次,该框架更强调风险管理贯穿于企业运行过程的各个方面,涉及到企业的治理、管理和操作等所有层级,扩展了单纯的内部控制职能;最后,引入了风险组合、风险和机会的区分、风险应对、风险偏好、风险容量等风险管理理论新的研究成果。ERM框架是对传统风险管理和内部控制的重要发展,是一个具有清晰的文化理念、完整的架构体系、科学的控制流程、有效的技术和方法,能够覆盖企业各类风险,对企业风险进行全面管理。因此,应用该框架对于我国保险企业有效实施风险管理、遵循监管机构的风险控制和监管要求有着重要意义。
三、ERM框架在保险企业风险管理中的应用
全面风险管理是一种全新的管理理念和方法,我国保险业必须尽快转换长期以来固化的观念和思维定式,努力构建全面风险管理的新体系和新机制。ERM框架强调,认定一个主体的企业风险管理是否“有效”,是在对八个构成要素是否存在和有效运行进行评估的基础上所作的判断,如果构成要素存在并且正常运行,那么就可能没有重大缺陷,而风险则可能已经被控制在主体的风险容量范围之内。
(一)内部环境
保险企业的内部环境是整个风险控制框架的基础,包括主体的风险管理理念、风险容量、董事会的监督、主体中人的诚信、道德价值观和胜任能力,以及管理当局分配权利和职责、组织和开发其员工的方式。这其中包含了组织的基调,它影响组织中人员的风险意识,为主体的人员如何认识和对待风险设定了基础。
风险管理的顺利实施必须得到一个良好的组织体系的支持,ERM框架建议了基本的组织结构以及各结构层的职能和责任,同时框架也强调,主体的组织结构的适当性部分取决于它的规模和所从事活动的性质,因此保险企业要从自身实际情况出发,运用企业风险管理的思想,设计一个适合自身的组织框架。ERM框架关于组织结构的基本思路为:董事会通过选择管理当局在确定期望的诚信和道德价值观起着主要作用,同时,董事会在特定关键决策上的保留权力使其在制定战略、规划高层次目标以及广义资源配置方面发挥作用;管理当局直接负责对风险管理进行全面整合、统一协调;各部门责任明确、各司其职,如财务部进行财务计划与控制,精算部设计合理的费率以及充足准备金的提存,投资部控制投资损失风险和流动性风险,核赔部控制赔付率和维护公司信誉等等;设立专门的风险管理官员,跨子公司、业务、部门、职能机构来分析和评价公司的风险,研究潜在的风险因素和防范措施,为董事会和各部门提供风险报告及风险管理建议。
ERM框架还强调每个人在企业风险管理中的作用,明确指出:在企业中,不仅仅是董事会或者风险管理官员,其他人员,如内部审计师、财务官员以及组织中的每一个人都对企业风险管理负有一定的责任,都能够对其过程施加一定的影响,因而所有员工的职能与责任都应该被很好地界定和沟通。这有利于督促企业的所有员工重视企业风险管理和内部控制问题,把维护及改善企业的风险管控当作自己的事,而不是站在与管理阶层对立的角度,被动地执行各自的任务。
(二)目标设定
必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理框架要求管理当局采取适当的程序去设定目标,确保所选定的目标切合、支持该主体的使命,并且与它的风险容量相协调。
不同的企业由于战略不同而有不同的风险管理目标。对保险企业而言,如果其总目标是收益一定条件下的风险最小化,则保费收入、赔付支出、投资收益、公司收益等下一层的子目标就会与总目标有所不同,子目标的具体划分必须依据保险公司的战略进行。例如某保险公司的战略目标是,在未来经过10-15年的努力,建成“国内领先、国际一流的知识型、现代化非寿险公众公司”。这样的企业总目标对企业风险管理的要求会更高,因为它对风险管理水平与国际接轨的要求比较高。另一保险公司具体战略目标是:对市场具有明确的判断,能使企业在复杂的竞争环境中保持竞争力与盈利能力;降低运行风险;与国际接轨,将公司的管理标准化,国际化;进一步提高企业运行效率。这样的战略目标则偏向纯粹风险的管理。
(三)风险识别与风险评估
ERM框架中不仅仅把风险定义为损失的可能性,也把风险看作盈利的机会,其目的在于强调现代风险管理的主动精神和积极态度,这完全符合保险企业以风险换取收益的业务本质,也有利于提高保险公司的竞争力。因此,风险的识别更需要区分风险和机会,对风险予以评估和应对,将机会反馈到战略和目标制定过程中,平衡风险与收益。
风险评估是对识别出来的风险事件进行风险影响分析。一般从两个方面来评估:一是估计风险发生的可能性或概率,另一方面是估计如果风险发生所产生的后果。风险评估是企业制定和实施风险管理战略的依据。风险评估的方法有很多,并一直有新的方法被开发出来应用于风险管理实践。通常采用的是定性和定量相结合的方法。定性的方法主要有风险评级,即采取对风险发生的可能性和影响程度进行分级,如依据风险发生可能性和重要性程度划分为若干档次,并分别拟定相关的指标作为判断可能性和影响程度的依据。定量的方法有概率工具和非概率模型等,比较成熟的方法有VaR方法,历史模拟法、MonteCarlo模拟法、情景分析、RiskMetrics方法、GARCH模型等等。风险地图也是最常用而最有效的风险分析工具,在一个一维代表风险发生可能性,一维代表风险的影响程度的二维坐标中,根据在风险分析中得出的结果,即各种风险不同的可能性和影响程度,在该坐标系中标出其所在位置,这将直观显示出某一风险或多个风险的重要性程度,并以此决定进行风险控制的先后顺序及投放资源的大小。
(四)风险应对
风险应对是指管理当局采取回避、承受、降低或者分担风险等一系列行动,以便把风险控制在主体的风险容限(RiskTolerance)和风险容量以内。
1.传统风险管理方法。该方法主要侧重于企业自身资产负债管理。对于保险企业具体来讲,主要能采取的措施包括:(1)选择性承保。主要包括控制保单质量(主要从可保风险的审核和加强保险核保入乎)和控制保单过分集中的风险。(2)内部风险抑制。一是通过资产负债的组合配置来实现风险分散和风险对冲的目的;二是通过加强企业内部控制来有效控制风险,确保稳定经营,实现价值最大化。(3)自留风险及提存准备金。保险公司根据自身的风险水准(主要参考其自身资本实力、风险控制能力及风险偏好等因素)和经营方向的定位,确定一个企业自留风险限额并将其逐级分配到各具体业务部门。自留风险后,企业要做好补偿风险损失的财务安排,包括提存各种准备金和安排表外资本等。(4)再保险安排。
2.非传统风险转移方法方式(AlternativeRiskTransfer,简称ART方法)。该方法在传统风险管理的基础上,引入了资本市场进行风险转移。主要包括:(1)多险种多年期产品。该产品将几种不同的风险捆绑在一起,可以节省管理成本并通过时间分散成本。(2)有限风险再保险。有限风险再保险是一种风险转移和风险融资相结合的产物,主要特点是再保险承保人仅承担有限风险、保险合同多年期、再保险承保人与分出人共同分担损失和分享收益等。(3)保险风险证券化。可以通过创设并发行保险衍生产品,比如巨灾期货、巨灾期权、气候衍生品等,将保险企业承保的风险转移到资本市场,利用资本市场的强大融资能力来消化承保风险。(4)利用金融衍生工具。保险公司通过购入特定类型的保险期货、期权来分散、对冲风险。例如芝加哥交易所(CBOT)的巨灾风险损失指数的期货和期权交易。
在风险应对的过程中,管理当局还应该考虑一些事项。一是潜在应对的成本和收益。二是除了应付具体的风险之外,企业所面临的新的机会。企业在风险应对时不应该仅仅只是考虑降低已经识别出来的风险,同时还应该考虑给主体带来的新的机会。如保险风险证券化除了能分散保险企业的风险,同时也有给企业带来收益的可能性。
(五)控制活动
控制活动是帮助确保管理当局的风险应对得以实施的政策和程序,即在选定了风险应对后,确定用来帮助风险应对恰当、及时地实施的措施。控制活动贯穿于整个企业主体,包括了批准、授权、验证、调节、资产安全以及职责分离等一系列不同的活动。
(六)信息沟通
有效的沟通包括信息在主体中的向下、平行和向上的流动。公司不同部门风险管理职责不同,各部门职责也有交叉,任何一个部门不可能单独完成某一风险的管理。因此,保险公司在风险管理中,需要建立包括投资、精算、财务等各部门紧密合作的体系结构,同时要有完善的信息系统和信息沟通规则。沟通方式可以采取备忘录、电子邮件、公告板、网络等等,在沟通过程中还应该注重信息的即时性以及信息的质量。另一方面,公司内部与公司外部也应该建立起有效的沟通,例如与客户之间,与同类公司之间。
(七)监控
监控指对企业风险管理进行监督,必要时加以修正,可以通过持续的管理活动、个别评价或两者结合来完成。
持续的管理活动主要来自经常性的管理活动,例如部门管理人员定期的经营报告、内部审计等,当然也包括监管机构的外部监管。
个别评价则通常作为辅助,它提供了一个考察持续监控程序的有效性的机会。保险企业可以根据自身情况来决定评价的范围以及频率,选择合适的评价人员。评价可以通过核对清单等方法,通过通行业对比等方式来进行,当然也可以选择专门的评估机构来全方位评估企业的风险管理。
如此建立起的多方位、立体化的风险管理监控体系,将为保险公司规范经营、防范化解风险筑起一道坚固屏障。
COSO的企业风险管理框架基于风险管理的多维的、立体的、连续的特征,强调保险公司全面深入地理解控制和控制对象,分析解决管理控制中存在的复杂问题,将公司的负债、投资、利率和其他的风险作为一个整体来管理,在风险管理和股东价值最大化(ShareholderValueMaximization)之间建立了直接的联系,为保险公司的风险管理提供了一个严密可行的管理框架。
[参考文献]
[1]李建伟,杨琳.我国保险业的风险与对策[R].国务院发展研究中心调查研究报告,2004年第163号.
[2]美国COSO制定.企业风险管理——整合框架[M].东北财经大学出版社,2005.
[3]孙蓉,彭雪梅.中国保险业风险管理战略研究——基于金融混业风险管理战略研究[M].中国金融出版社,2006.
[4]Trieschmann,Gustavson,Hoyt:RiskManagementandInsurance[M],11thed,South-WesternCollegePublishing,2001.
[5]卢卫卫.走近COSO(三)——如何评估风险[J].深交所,2005,(10).
[6]李宁.内部控制整体框架理论的突破及其启示[J].金融与经济,2006,(5).
关键词:内部审计;风险管理
每个组织的存在都有其目标,在实现目标的过程中,存在着影响目标实现的不确定性因素。企业管理层的一项重要职责就是要建立一个良好的风险管理体系,来识别、评价和控制风险,为企业目标的实现提供合理的保证。内部审计在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性,提出改进意见,帮助企业改进风险管理与控制体系,从而为企业增加价值。
1企业风险管理体系简介
企业风险管理(EnterpriseRiskManagement,简写为ERM)的实质是企业有效利用各种资源,以战略的方式管理风险,使企业在多变的环境下以稳健的方式运作,从而获得增加价值的机会。在全球竞争激烈的市场中,任何企业都处于动荡多变的环境之中。企业面临的风险越来越多,风险引发的损失规模也越来越大,这些都促使企业对风险管理给予高度的关注。要对风险管理过程的充分性和有效性进行评价,首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求,建立风险管理体系包括相互关联的八个风险管理要素,各要素贯穿在企业管理过程中,为实现企业目标提供保证。
(1)内控环境。主要是在企业中树立风险管理理念,营造一种风险管理文化,包括建立企业的风险文化,制定明晰的战略、目标,明确企业的风险责任人和利益相关者,使用统一的风险语言,为其他风险管理要素打下基础。
(2)目标制定。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。
(3)事项识别。下列事情可能给组织带来风险:因使用不正确、不及时、不完整、不可靠的资料而导致决策错误;记录有错误、会计核算资料不真实、不完整;资产保护不当;顾客不满意,组织信誉受损;执行组织决策、计划、程序不力,或有违法违规行为;不经济地获取或无效地利用资源;没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。
(4)风险评估。评估风险是ERM执行中关键的步骤之一。在评估风险的过程中要注意选择合适的评估技术,评估风险事件发生的可能性和频繁度,风险事件的潜在影响及其成本的高低,最后绘制一张风险地图。评估风险事件的方法有很多,如定量方法、定性方法,企业可以根据自身的具体情况来制定自己的评估方法。
(5)风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险,企
业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。
(6)控制活动。控制措施就是在接受风险的情况下,评估因接受风险所带来的额外费用和保险费用,评估因控制带来的管理成本和回报。在降低风险的情况下,明确所需的控制活动,评估这些控制活动所带来的成本费用。控制活动还包括评估目前组织、程序、系统和反馈系统管理风险的能力。最后通过控制行为,调险地图。风险发生的可能性和频率是很难改变的,最有效的就是通过对风险管理成本的控制,将风险尽量降低到企业可承受范围以内。
(7)信息和沟通。信息系统应当有效地追踪企业当前正在发生的事件以及已经避免的事件。同时企业还要保证有及时的关于企业各个层面的ERM报告。在风险活动中发生的成本费用和控制活动。其次要沟通ERM的有效性和成本费用。保证在企业中有定期的ERM报告,尤其是包括员工的责任义务完成状况以及对ERM的检查情况,CRO和其他重要的执行官要对ERM的有效性和成本加以测量和存档,同时明确向董事会和执行官报告的责任和途径。
(8)监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式,来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。风险不是静态的,风险的数量和可能性会随内外部环境的变化而变化,持续的监控对有效地管理风险是最基本的。通过持续的监控可以使企业明确在下一步的风险管理中应当改进的问题。通过这个环节可以明确ERM可以给企业带来的利益与价值,了解风险评估的正确性,为下一次的评估提供经验教训,明确风险回应决策的有效性,同时还有助于控制成本费用。
从以上八个风险管理要素可以看出,企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。转贴
2内部审计在风险管理中的作用
根据《内部审计实务标准》对内部审计的定义:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。所以在风险管理中,内部审计可以发挥以下作用:
(1)内部审计人员熟悉公司业务并能够随时深入到生产经营的全过程去了解掌握具体情况,收集大量的第一手资料,从中发现存在风险的隐患问题,进行风险分析,提请管理层注意风险管理和控制等的相关建议。
(2)内部审计通过咨询服务方式积极协助公司进行风险管理过程的建立。风险管理是一个复杂的系统工程,在一个组织内部应当明确职责分工,各司其职。董事会负责制定战略目标,高层领导各负责一个方面的风险管理责任,其他管理人员由管理层分配一部分工作,操作人员负责日常监控,而内部审计人员则负责定期评价和保证工作。内部审计师可以促进、协助风险管理过程的建立,但不负风险管理的责任。
(3)内部审计通过将风险管理评价作为审计工作的重点,以检查、评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。
①评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势,确定是否可能存在影响企业发展的风险;检查公司的经营战略,了解公司能够接受的风险水平;与相关管理层讨论部门的目标、存在的风险,以及管理层采取的降低风险和加强控制的活动,并评价其有效性;评价风险监控报告制度是否恰当;评价风险管理结果报告的充分性和及时性;评价管理层对风险的分析是否全面,为防止风险而采取的措施是否完善,建议是否有效;对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确,以及其他审计技术;评估与风险管理有关的管理薄弱环节,并与管理层、董事会、审计委员会讨论。如果他们接受的风险水平与公司风险管理战略不一致,应进行报告。
②评价管理层选择的风险管理方式的适当性。由于各个公司的文化氛围、管理理念和工作目标不同,风险管理的实施也有很大差别。每个公司应根据自身活动来设计风险管理过程。一般说来,规模大的、在市场筹资的公司必须用正式的定量风险管理方法;规模小的、业务不太复杂的,则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。
(4)内部审计应积极持续地支持并参与风险管理过程,对风险管理过程进行管理和协调。在现代企业制度下,公司全面建立了风险管理过程,内部审计因此能够担负起风险管理的职能。首先,内部审计从评价各部门的内部控制制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,做出相关评价。其次,内部审计可以深入到企业管理的极细微的环节上查找问题,分析其合理性。内部审计人员更多的是以风险发生可能性大小为依据,深入到经营管理的各个过程,查找并防范风险。再次,内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范宏观决策带来的风险。
3将企业风险管理融入内部审计程序
在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致,使这两项工作产生协同增效的作用。
(1)在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划,确定审计项目。
(2)确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。
(3)编制审计方案时,通过风险因素分析来确定审计业务工作重点;在审计实施过程中,通过评价内部控制制度,查找其中的疏漏和薄弱环节;在更新审计范围与计划的内容时,要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时,应该能够反映出风险的重大性与发生的可能性。
(4)在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议。
