我国企业风险管理现状分析.kdh

CO-OPERATIVE ECONOMY &SCIENCE

从 1988年美国注册公共会计师发布的第 55号《审计注册说明书》中的内部控制框架的三要素,到 1992年美国防止虚假财务报告委员会下属的发起人委员会(简称 COSO 发布的《内部控制整体框架》报告中的五要素, 再到 COSO2004年《企业风险管理框架》 (简称 ERM 提出的八要素, 内部控制理论得到不断的完善和发展。研究内部控制理论的角度也从内部控制转移到企业风险管理角度, 这是值得我们关注的一处微妙变化。

所谓企业风险, 人们通常理解为企业在发展过程中出现意外的、非正常的情况, 从而造成损失的可能性, 是能够影响一个或多个目标的不确定性。概括地说, 风险

的基本性质有三个:一是客观性; 二是多样性; 三是不确定性。风险的这些性质,给

我们进行风险管理带来极大的困难。但这也正是我们可以积极地进行风险管理的出发点。

一、我国企业风险管理现状

(一风险意识淡薄。目前, 我国有很大部分企业缺乏风险管理意识, 没有积极

地进行风险管理工作。主要表现在两个方面:一是企业中的风险管理活动往往是暂时的或者间断性的,意识到了就进行管理, 事后则放在一边, 置之不理; 二是企业缺

乏对风险进行定期复核和再评估, 降低了企业适应环境变化、管理和规避风险的

能力。获取最大利润的根本目标致使有些企业只顾眼前利益, 而忽视某些行为决策对企业未来发展产生的不利影响, 往往对项目风险不能进行系统全面地分析, 从而

导致企业蒙受巨大损失。

(二企业风险管理组织结构不完善。我国大多数企业存在较为严重的结构问题, 导致各个部门和岗位的人员对工作职责和操作程序不清晰, 风险承担的主体不

明确,因而很难形成独立的风险管理部

门, 并且没有专门的人员进行企业风险管

理。即便是成立了相应的风险管理部门, 但也没有专职的风险经理, 风险承担的主体也不明确, 各个部门或者岗位间互相推卸责任, 使其风险管理缺乏约束, 从而无

力承担起独立的、具有权威性的、有效管理企业风险的职责, 使得我国企业的风险管理始终停留在以眼前利益为目的的决

策层次上。

(三企业风险管理与内部控制脱离。

企业管理层未能将企业风险管理与内部

控制有机结合起来, 形成突出风险管理而更为有效的内部控制系统。①企业风险管理的意识薄弱, 普遍没有储备进行风险评估与风险管理所必需的数据与信息; ②企业主动以减损防损为目的而安排风险转

移的行为不多; ③由于法律在对企业安全管理方面未将风险的评估列入其中, 也就较为缺乏企业有关部门就风险进行科学

评估的实践; ④在战略方面, 企业往往存

在过度性的冒险赌博, 由于不懂得科学的

风险评估的意义与技能, 造成了我国企业

往往承担了不该承担的风险, 而同时又把

本应该抓住的机会当成风险而被拒绝在

外; ⑤在经营方面跟着感觉走, 决策上随

意主观、缺乏科学性, 存在经营理念上的

短期行为。风险的这些性质, 使得我们必

须通过实际方法, 来实现最全面的风险损

失共担, 从而对风险事故所造成损失的后

果加以控制。这正是现代风险管理的重要

依据和理论基础, 它对于企业内部进行风

险管理都具有深刻的意义。

二、完善我国企业内部控制评价制度

(一提升风险管理理念。 1992年的

COSO 报告将“控制环境” 要素列为内部

控制的五要素之首, 2004年的 ERM 框架则把“控制环境” 进一步扩大到“内部环境” 。将“控制环境” (内部环境要素明确为内部控制的基础, 就在于把公司治理看作内部控制要素所含的内容, 表明内部控制首先要以体现公司治理的本质并实现其目标为起点。由此可以看出, 美国的内部控制正向公司治理和管理实践转变。我国财政部颁布的《基本规范》仍停留在会计、审计导向上, 这套规范既没有“控

制环境” 的内容, 也没有强调风险管理的价值。应将我国的内部控制规范在理论与方法上从会计、审计的范畴中超脱出来, 建设公司治理和管理导向的内部控制, 以满足企业的内在需求。

(二拓展内部控制目标。美国 ERM 框架的内部控制目标包括战略目标、经营目标、报告目标、合规性目标四个方面, 而我国内部控制目标仅局限于报告目标和合规性目标。我国应拓展内部控制的目标, 由报告目标、合规性目标向战略目标和经营目标扩展, 以调动企业对内部控制建设的关注和需求。

(三丰富内部控制责任主体。 2006年 2月新颁布的《独立审计准则第1211号——

—了解被审计单位及其环境并评估重大错报风险》已将内部控制的责任主体向上扩展到治理层 (董事会 , 向下扩展到其他员工。应将这种理念运用到我国内部控制基本规范中,丰富内部控制责任主体, 由单一主体向多元主体发展。

(四建立科学的内部控制规范体系。对于我国目前内部控制规范中存在的各种缺陷, 有关部门应加快对内部控制规范的修订, 甚至重新制定。考虑到我国实际情况, 可以建立内部控制基本规范和具体规范两个层次:基本规范应是一套类似于

我国企业风险管理现状分析□ 文 /翟萧

管理 /制度

44

《合作经济与科技》 2008年 4月号下 (总第 343期

CO-OPERATIVE ECONOMY &SCIENCE

美国 COSO 报告那样的概念性的制度框架, 具有强制力; 具体规范可以是具有可操作性的规则, 应是参照性的。有关部门应将内部控制规范建设提到日程上, 建

立一套科学的内部控制规范体系, 为企业内部控制的自我评估和外部审计师的内部控制审计提供评价依据。

(五发展内部控制独立审计业务 , 强化对企业内部控制的外部评价。目前, 我国注册会计师接受委托执行的内部控制制度审核业务, 参照的是中国注册会计师协会印发的《内部控制审核指导意见》 , 发表的是审核意见。建议将外部审计师对内部控制的评价确定为一项独立的强制性的审计业务, 并研究制定内部控制审计准则, 强化外部的内部控制审计制度, 促使企业管理层对内部控制的落实和运行。三、完善现代企业风险管理体系应重点考虑的因素

(一制定和协调企业风险文化。企业风险文化是企业文化的一方面, 是企业在

日常经营管理活动中如何对待风险、风险

偏好以及风险容忍度的一套共同的观点、

价值和实务。风险文化是企业进行风险管

理是否成功的关键之一,企业的风险偏

好、风险可容忍度与企业的战略直接相

关, 企业在制定战略时应考虑将该战略的

既定收益与企业的风险偏好结合起来, 这

就要求企业管理者在不同战略间协调选

择与企业风险偏好相一致的战略, 同时考

虑相关目标的重要性, 并结合企业风险偏

好确定目标风险的可容忍度, 一旦确定了

风险偏好和风险容忍度, 企业全体人员都