CPA教材战略2024-06-风险与风险管理概述

第六章风险与风险管理概述

风险的概念与人类开始思考如何生存与发展的时代是共生的。聚焦到企业层面,企业对风险的态度,从最开始的恐惧、逃避、抗争,转变到现在的理解、接受和应用。风险管理研究的主题是不确定性,而不确定性正是企业面临的主要挑战,更是机遇来源。风险和机遇总是相伴而生,管理风险与把握机遇的核心目标是一致的,即实现企业的价值。企业具有较强的风险管理能力,意味着企业可以作出更明智的决策、实现更好的目标、创造更大的价值,从而形成企业可持续发展的核心竞争力。从本章开始,介绍风险与风险管理的基本理论,企业风险管理流程、体系与方法,企业面对的主要风险及其应对措施。

第一节风险的概念及风险的婴素

一、风险的概念

人类社会从形成开始就一直面临各种风险的侵害和困扰。因此,人类对风险的意识和应对自古就有。《逸周书·卷三》中提到”天有四殃,水旱饥荒,其至无时”,即指出人类要时刻提防水旱饥荒。公元前1700年开始,在长江从事货运的商人们把一批货物分别装载在儿条船上,也是通过分散风险降低损失。

19世纪,西方古典经济学派提出了风险的概念,此后,许多学者对风险概念作出了不同解释。1921年,弗兰克·奈特(FrankKnight)对风险和不确定性进行区分,指出”风险和不确定性根本是两码事,然而人们却从来没有对它们进行过明确的区分。究其原因,'风险'在一般情况下是可以最化的,而在某些特殊的情况下又不能量化。在不同的环境中,风险或不确定性会造成截然不同的后果。可以预测的不确定性(我们将其称作风险')与不可预测的不确定性有着本质的差异。所以,不可预测的不确定性就不能称之为'风险"。奈特强调的是对主观胧断的风险和客观量化的风险进行区分。

美国学者威特雷(WhitleyAH)认为,风险是客观存在的现象;风险的本质特征是不确定性;风险事件是人们主观所不愿意发生的。威廉姆斯(Williams,CArthur)和汉斯(Heins,RichardM)在1964年合著的《风险管理与保险》一书中阐述了如下观点:风险是在给定情况下和特定时间内,那些可能发生的结果间的差异。如果只有一个结果发生,则差异为零,风险为零;如果有多种可能结果,则有风险,且差异越大,风险越大。风险的不确定性具有两面性,即结果可能是好的,也可能是坏的。

曾担任特许金融分析师(CFA)协会风险管理主管的沃尔特V小哈斯莱特(WalterVHaslettJr)在总结风险概念的不同定义时指出,实际上人们在作出每个决策时都蕴含着风险。在现代投资组合理论中,当我们寻求给定风险水平上的最大回报时,风险和回报就是两个必需的输入条件。这可以进一步简化为一个假设,即提供高回报的资产所承担的风险要高于提供低回报的资产的风险。在这个过程中,假定风险是已知和可整化的。标准差、方差和波动幅度提供了对风险进行量化的简单和可见的数据。

曾担任特许金融分析师(CFA)协会风险管理主管的沃尔特V小哈斯莱特(WalterVHaslettJr)在总结风险概念的不同定义时指出,实际上人们在作出每个决策时都蕴含着风险。在现代投资组合理论中,当我们寻求给定风险水平上的最大回报时,风险和回报就是两个必需的输入条件。这可以进一步简化为一个假设,即提供高回报的资产所承担的风险要高于提供低回报的资产的风险。在这个过程中,假定风险是已知和可整化的。标准差、方差和波动幅度提供了对风险进行量化的简单和可见的数据。

美国反舞弊财务报告委员会发起组织委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO)1992年发布的《企业内部控制一􀇕整合框架》(InternalControl-IntegratedFramework)(以下简称《coso框架》)认为风险是任何可能影响目标实现的负面因素。所有企业,无论规模、结构和行业性质,都面临着诸多来自内部和外部的风险,影响既定目标的实现。2004年,美国coso发布的《企业风险管理——整合框架》[EnterpriseRiskManagement—IntegratedFramework,ERM(2004)]指出,所有主体都面临不确定性,管理层所面临的挑战就是在为增加利益相关者价值而奋斗的同时,要确定承受多大的不确定性。不确定性可能减少或者增加价值,因而它既代表风险,也代表机会。2017年,美国coso发布《企业风险管理—一与战略和绩效的整合》[EnterpriseRiskManagement一IntegratingwithStrategyandPerformance,ERM(2017)],更新了风险的内涵和外延,认为风险是事项发生并影响实现战略和经营目标的可能性。其中,事项不仅是常规事务,而且包含更广泛的内容,如企业治理和运营架构、地缘政治、社会影响及合同谈判等。

国际标准化组织发布的ISO31000对风险的界定为:风险是不确定性对目标的影响。其中的”影响”是实际与期待的偏差,包括积极的影响、消极的影响,或两者兼而有之。目标可以有不同方面,如财务、健康安全、环境目标等,可以体现在战略、组织结构、项目、产品和过程等不同层次。风险通常以潜在事件和后果或它们的组合来描述。不确定性是指对事件可能性及其后果的认知,以及理解所需信息的缺乏或不完整的状态。

国务院国有资产监督管理委员会2006年发布的《中央企业全面风险管理指引》将企业风险定义为”未来的不确定性对企业实现其经营目标的影响”,并以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有”带来损失”一种可能性)和机会风险("带来损失”和”盈利”的可能性并存)。

基于上述讨论,风险至少包括以下四个方面的内涵:

(1)企业风险与企业战略和绩效相关。风险是影响企业实现战略目标的各种因素和事项,企业经营中战略目标不同,企业面临的风险也就不同。

(2)风险是一系列可能发生的结果,而不能简单地理解为最有可能的结果。由于风险的可能结果不是单一的,而是一系列的,所以理解和评估风险时,”范围”这个概念对应了众多的不确定性。

(3)风险既具有客观性,又具有主观性。风险是事件本身的不确定性,是在一定具体情况下的风险,可以由人的主观判断来选择不同的风险。

(4)风险往往与机遇并存。基于风险事件的不确定性,风险的结果可以是正面的,也可以是负面的。大多数人只关注风险不利的一面,如风险带来的竞争失败、经营中断、法律诉讼、商业欺诈、无益开支、资产损失、决策失误等,因而害怕风险,但风险不一定是坏事,在许多情况下,风险孕育着机遇,有风险是机遇存在的基础,即创造价值的机遇,因此必须学会把握风险可能带来的机遇。

二、风险的要素

为了更深入地理解风险,有必要考察风险的要素,即风险因素、风险事件(事故)、风险后果。

(一)风险因素

风险因素是指促使某一风险事件发生,或增加其发生的可能性的原因或条件。它是风险事件发生的潜在原因,是造成风险后果的内在或间接原因。例如,易燃易爆材料的存储、工作人员的疏忽、消防设备的失效是导致建筑物火灾的重要因素;酒后驾车、汽车刹车系统失灵可能造成车祸等。

风险因素根据其性质,可以分为有形风险因素和无形风险因素。

有形风险因素是指直接影响事物物理功能的物质风险因素,也称为实质性风险因素,如水源或空气污染是损害人们健康的有形风险因素;汽车刹车系统失灵是引起车祸的有形风险因素。

无形风险因素是指影响物质损失的可能性和程度的非物质因素,它可以进一步分为道德风险因索和心理风险因素。道德风险因素是与人的品德修养相关的无形因素,即由于个人不诚实、不正当或不轨企图促使风险事件发生或提高已发生风险事件的损失程度的原因和条件,如欺诈、抢劫、盗窃、贪污等。心理风险因素是与人的心理状态相关的无形因素,即由于人们主观上的过失或疏忽,而增加风险事件发生的概率,或提高风险事故的损失程度的原因和条件。例如,司机在驾驶过程中由于注意力分散增加了车祸发生的可能性;居民外出忘记锁门增加了盗窃发生的可能性等。

(二)风险事件(事故)

风险事件是指造成损失的偶发事故。风险一般只是一种潜在的危险,它只有通过风险事件的发生才能导致损失,即风险事件的发生使潜在的危险转化为现实的损失。从这个意义上来说,风险事件是导致损失的直接原因,是风险与损失的媒介物。风险事件发生的根源主要有自然力作用、社会经济变动、人的行为等。火灾、洪水、地震、车祸、核泄漏、疾病、股市崩盘等都是导致财产损失的风险事件。

(三)风险后果

根据现代风险管理理论,风险后果是指对目标产生的影响。后果可能是确定的或不确定的,可能对目标产生正面或负面、直接或间接的影响。正面影响是指能促进企业目标实现,负面影响即风险损失。损失是指非故意的、非预期的、非计划的经济价值的减少。可见,风险管理中的损失包括两个方面的内容:一是非故意的、非预期的和非计划的;二是经济价值(即能以货币衡量的价值)的减少,两者缺一不可。如折旧和捐赠虽然有经济价值的减少,但不含有第一个方面的内容;又如某人因受到惊吓而精神失常,虽然包括第一个方面的内容,但不属于经济价值减少的情况,因此均不能称其为损失。损失可分为直接损失和间接损失两种类型。直接损失是指风险事件导致的财产损毁和人身伤害,这类损失又称为实质损失;间接损失则是指由直接损失引起的其他损失,即派生损失,包括额外费用损失、收入损失、责任损失以及声誉损失等。间接损失有时会大于直接损失。

风险因素、风险事件和风险后果是共同构成风险的统一体。它们之间相互依存、相互作用,风险因素引起风险事件发生或增加其发生的概率;风险事件的发生造成风险后果;风险后果的发生使风险因素和风险事件得以呈现或暴露,使风险最终形成。

第二节风险管理曲概念、特征、目标和职能

一、风险管理的概念

风险管理(RiskManagement)是指在一个风险确定的环境中把风险降至最低程度的管理过程;是具体的组织(风险管理单位)通过识别风险、分析风险、评价风险和进行风险决策管理等方式,对风险进行有效控制与妥善处理,把风险可能造成的不良影响降至最低的管理过程;是选择最有效的方式,主动地、有目的地、有计划地应对风险,通过战略制定和实施抓住机遇来保持和创造价值,通过最小成本获得最大可能的收益及安全保证的一种管理方案。也就是说,风险管理的过程就是控制潜在风险、降低组织成本、维护组织利益的过程。因此,风险管理的本质就是通过有效的技术手段去控制风险事件所带来的不利影响,从而将组织可能蒙受的损失降到最低,并致力于为组织保待和创造更大的价值。

风险管理具有管理学上的计划、组织、协调、指挥、反馈、控制等功能和职能,其独特内涵主要体现为以下几个方面。

(一)风险管理的决策主体是风险管理单位

风险管理的决策主体是风险管理单位,既可以是个人、家庭和企业,也可以是政府、事业单位、社会团体等,还可以是国际组织等。不论风险管理单位的所有制性质、组织结构有何不同,风险管理所依据的管理理念、管理技术和管理方法等都是相同的,都是寻求以最小的成本来获得最佳的应对风险方案。但是,不容忽视的是,风险管理单位不同,风险管理的侧重点也会有所不同。个人、家庭的风险管理是对人身风险、家庭财产风险和责任风险的管理。企业的风险管理主要是对企业战略风险、市场风险、运营风险、财务风险、法律合规风险的管理;政府的风险管理则以维护政府机构业务活动和人民福扯为出发点,是对整个社会生命、财产和责任风险的管理。风险管理单位进行风险管理有利于减少社会资源的浪费,有利于社会资源的优化配置。

(二)风险管理的核心是降低损失并致力于创造价值

风险管理的核心是在风险事件发生前防患于未然,预见将来可能发生的损失,或者在风险事件发生后,采取一些减少损失、保待和创造价值的方法。从风险管理流程看,风险管理的每个环节都是为了降低损失。风险识别是为了减少风险事故的发生;风险分析和风险评价是为了预测风险事件可能造成的损失,预先做好减少损失的安排;风险应对是为了降低已经发生的风险事故所造成的损失,并抓住机遇来保持和创造价值。

(三)风险管理的对象可以是纯粹风险,也可以是投机风险

传统的风险管理理论认为,风险管理的对象是纯粹风险,而不包括投机风险,即投机风险不在风险管理的范畴之内。纯粹风险是指只有损失机会而无获利可能的风险。纯粹风险的发生,对当事人而言必有损失。投机风险是指那些既存在损失可能性,又存在获利可能性的风险。例如,市场行情的变化,对某一企业造成损失,但可能对另一企业是有利的。对某企业而言,市场的此种变化将招致损失,而彼种变化可能带来好处。再比如,战争的发生,可能对大多数企业造成损失,但可能为军火生产企业以及其他资源型企业带来巨大订单从而形成巨额收益。

(四)风险管理过程是决策和控制的过程

风险识别、风险分析和风险评价是为了认识、评价风险管理单位的风险状况,解决风险管理中的各种问题,最终作出风险管理决策。从这一角度来看,风险管理过程实际上是一个管理决策和控制的过程,其本质是通过合理和科学的管理决策为组织实现价值保持和创造。

二、风险管理的特征

作为企业战略管理的重要组成部分,风险管理具有如下特征。

(一)客观性

风险不以人的意志为转移,是独立于人的主观意识之外的客观存在,人们只能在一定的时间和空间内改变风险存在和发生的条件,降低风险发生的频率和损失程度。但是,从总体上说,风险是不可能彻底消除的。

(二)战略性

尽管风险管理渗透到企业各项活动中,存在于企业管理者对企业的日常管理当中,但它主要运用于企业战略管理层面,站在战略层面管理企业层面风险,降低风险损失的期望值,这是风险管理的价值所在。

(三)可行性

对风险进行管理的可行性主要源于风险成本间的替代性。风险损失成本与风险管理成本之间在一定程度上存在替代关系,即在成本有效的情况下,风险管理成本越大,风险损失成本可能越低;风险管理成本越小,风险损失成本可能越高。这一特点反映了风险的可控性质,即可预期、可减少、可分散、可转移。风险的客观存在决定了风险成本的必然发生,风险成本的多少与风险大小呈正相关关系,风险虽然不可完全避免,但防范与控制风险是可能的,分散和转移风险成本也是可能的。在风险发生之前或发生时,采用专门的技术和方法,可以避免或减少风险损失成本,增加风险收益。

(四)系统性

全面风险管理必须拥有一套系统的、规范的方法,建立健全全面风险管理体系,包括风险管理的组织职能体系、风险管理策略、风险理财措施、内部控制系统和风险管理信息系统,从而为实现风险管理的总体目标提供合理的保证。风险管理的系统性体现在:

1.全面性。

风险管理是一项全面性的管理。风险管理的具体内容反映了风险管理单位对风险因素、风险源和损失不确定性的理解、衡量和管理决策。如果风险管理单位对风险的认识、处理缺乏全面性,只处理某一方面的隐患,而不考虑其他方面的隐患,其风险管理就存在失败的可能。

2.广泛性。

风险管理是涉及许多领域的管理。风险的复杂性和普遍性决定了风险管理的范围是十分广泛的,风险管理学是涉及多门学科的交叉学科。例如,实物资产风险管理、无形资产风险管理、责任风险管理、金融资产风险管理、人力资本风险管理等,涉及会计、法律、金融、人力资源管理等多门学科,这些都使风险管理研究的范围非常广泛。

3.全员性。

企业全面风险管理是一个由企业治理层、管理层和所有员工参与,旨在把风险控制在风险容量以内,增进企业价值的过程。企业风险管理本身并不是一个结果,而是实现结果的一种方式。在这个过程中,只有将风险意识转化为全体员工的共同认识和自觉行动,才能确保风险管理目标的实现。

(五)专业性

企业较强的风险管理能力,意味着企业可以作出更明智的决策、实现更好的目标、创造更大的价值,这就要求风险管理的专业人才实施专业化管理,从而有助于形成企业可持续发展的核心竞争力。

(六)二重性

企业全面风险管理的商业使命在于:①损失最小化管理;@不确定性管理;@绩效最优化管理。当风险损失不能避免时,尽批减少损失至最小化;风险损失可能发生可能不发生时,设法降低风险发生的可能;风险预示着机会时,化风险为增进企业价值的机会。全面风险管理既要管理纯粹的风险,也要管理投机风险。

三、风险管理的目标

风险管理目标的确立,是风险识别、风险分析、风险评价和风险应对的前提。风险管理目标的设置应符合以下原则:

(1)一致性原则,即风险管理目标与企业总体战略目标一致;

(2)现实性原则,即风险管理目标要具有客观可能性;

(3)明晰性原则,即风险管理的目标明确,在有效地实施后能够进行效果评价;

(4)层次性原则,即根据层级、主次、职能等,将风险管理目标进行有效的划分,权责相应,提升风险管理的效果。

在不同的经济和社会环境、不同的经营理念和不同的风险管理方案下,风险管理单位制定的风险管理目标也是不同的。依据目标的层次,风险管理的目标可分为基本目标、直接目标、核心目标及支撑目标等。

(一)基本目标

风险管理的基本目标是企业与组织及成员的生存和发展,即企业和组织在面临风险和意外事故的情形下能够维持生存和发展。风险管理目标的制定首先要确保企业遵守有关法律法规和规章,使企业和组织能够在面临损失的情况下得到持续发展。

(二)直接目标

1.保证组织的各项活动恢复正常运转。

风险事故的出现会给企业带来程度不同的损失和危害,实施风险管理应该有助于企业迅速恢复正常运转。

2.尽快实现企业持续稳定的收益。

一方面,可以通过经济补偿使生产经营得以及时恢复,尽最大可能保证企业经营的稳定性;另一方面,可以使企业尽快恢复到风险事件前的水平,并促使其尽快实现持续增长的计划。

(三)核心目标

确保风险管理与总体战略目标相匹配。通过全面系统的风险管理,确保将风险控制在与总体战略目标相适应且可承受的范围内,实现企业价值最大化。影响企业总体战略目标和价值创造的不确定因素有很多,对这些不确定因素进行充分的评估,做好风险的防范与控制,对保障企业战略目标与价值创造的实现有重要意义。

(四)支撑目标

加强企业文化建设。主要通过强化风险管理意识、构建风险管理组织、完善风险管理制度和风险管理流程等活动,使风险管理融入企业文化,促进企业建立与现代经济社会发展相适应的企业文化价值体系,以保障企业的可持续发展。

四、风险管理的职能

(一)计划职能

风险管理的计划职能是指通过对企业风险的识别、分析、评价和选择风险应对的手段,设计管理方案,并制订风险应对的实施计划。风险应对预算的编制则是在风险处理手段选定后,计算合理的、必要的风险应对费用,并编制风险应对费用预算方案。

(二)组织职能

风险管理的组织职能是根据风险管理计划,对风险管理单位的活动及其生产要索进行的分派和组合。风险管理的组织职能意味着创造为达到风险管理目标和实现风险应对计划所必需的人、财、物的结合。

(三)指导职能

风险管理的指导职能是对风险应对计划进行解释、判断,传达计划方案,交流信息和指挥活动,也就是组织该机构的成员去实现风险管理计划。

(四)控制职能

风险管理的控制职能是指对风险应对计划执行情况的检查、监督、分析和评价,也就是根据事先设计的标准,对计划的执行情况进行测定、评价和分析,对计划与实际不符之处予以纠正。控制职能的范围包括:风险的识别是否准确全面、风险的估测是否有误、风险应对技术的选择是否奏效、风险应对技术的组合是否最佳、控制风险的技术能否防止或减少风险的发生、制定的预算能否保障计划内的风险事故发生后得到及时补偿等。

第三节风险管理理论曲演进和风险管理实践的发展

一、风险管理理论的演进

(一)传统风险管理思想(20世纪30年代前)

风险管理意识自人类社会产生即已形成。风险管理思想萌芽于20世纪初期。1901年,美国学者威雷特在其博士论文《风险与保险的经济理论》中首次对风险作出定义:风险是关于不愿发生事件发生的不确定性之客观体现,由此将风险引入学术研究。1916年,亨利·法约尔在其著作《工业管理和一般管理》中明确指出,企业活动可以分为六组:技术活动、商业活动、财务活动、安全活动、会计活动和管理活动,正式将安全管理思想引入企业经营领域。

在第一次世界大战时期及战后的德国,恶性通货膨胀严重威胁到企业的生存,企业风险管理理论受到重视,莱特纳于1915年发表著作《企业风险论》,对当时德国以保护企业为目的的风险政策以及该政策对风险的控制、分散、转移、回避和抵消,作出理论分析和阐述。1921年,马歇尔在《企业管理》一书中提出了”风险负担管理”的观点,认为可以通过风险转移和风险排除应对风险。

1929年发生的美国经济危机,导致大最银行和企业破产,经济发生严重倒退,掀起了风险管理的研究热潮。1931年,美国管理协会率先倡导开展对企业风险管理的研究,并在以后若干年里,以学术会议及研究班等多种形式集中研究和探讨风险管理问题。1932年,美国儿家大公司成立纽约保险经纪协会,定期讨论有关风险管理的理论与实践。

根据传统风险管理思想,风险管理的对象主要是不利风险,目的是减少不利风险对企业经营和可持续发展的影响,风险管理的主要策略是风险回避和风险转移,保险是最主要的风险管理工具。

(二)现代风险管理理论(20世纪30年代初-20世纪90年代末)

在企业的风险管理理论演进过程中,内部控制理论在20世纪30年代初开始崭露头角,成为现代风险管理的代表性理论,对企业风险管理的发展起到里程碑式的作用。随着公司制企业特别是股份公司的不断发展,组织规模和内部结构日趋复杂,管理难度不断增大,为了保护资产安全,提高经营效率和效果,企业开始建立以授权机制、职责分工、双重控制等为主要手段的内部牵制措施,与此同时,逐步形成了现代内部控制理论的雏形。

内部控制理论发展初期以对内部会计控制的研究为主,认为内部会计控制是一种将企业的计划与在商业中的运用综合起来进行协调的制度,企业制定适宜的内部会计控制制度可以有效地预防预期之外或是错误的操作所带来的损失,亦可以对管理决策中所运用到的会计数据的客观真实性及准确性进行核验,并对企业的整体运营效率进行一定程度的提升。由于当时在企业中,主要由审计人员履行内部控制职能,审计成为内部控制的最初形式,审计理论成为当时内部控制理论的基础和主要内容。

第二次世界大战后,企业经营管理活动H益复杂化,单纯依靠审计逐渐无法满足企业对于风险管理的需求,内部控制的范围越来越广,手段越来越多样化,于是,对内部控制的研究领域从过去主要限于企业的内部牵制和内部会计控制,扩展到企业组织结构、岗位职责、人员分工和业务处理流程等。继美国注册会计师协会(AmericanInstituteofCertifiedPublicAccountants,AICPA)于1949年提出内部控制概念后,1953年其下属的审计程序委员会发布了《审计程序公告第19号》,在公告中首次把内部控制概念划分为内部会计控制和内部管理控制。其中,内部会计控制主要是针对会计记录系统和企业资产保护、会计数据检查等实施的控制,内部管理控制则主要是针对经营决策、组织规则和管理效率提升等实施的控制。1958年、1963年和1972年,美国注册会计师协会下属的审计程序委员会、审计准则委员会,在承袭内部会计控制和内部管理控制两分法的基础上,先后三次发布了有关内部控制范围、审计准则和程序的公告,其中对内部会计控制和内部管理控制的程序、方法、规则等”内部控制系统”作出更加充分的阐述和说明,从而使内部控制理论得到进一步发展,形成了一个相对独立化、系统化的体系。

进入20世纪80年代,经济的迅速发展和”滞胀”的出现,促使西方国家对内部控制的研究不断深化。1988年,美国注册会计师协会发布《审计准则公告第55号》,该公告首次以”内部控制结构”概念代替”内部控制系统”概念,明确”企业内部控制结构包括为企业实现特定目标提供合理保证而建立的各种政策和程序”,指出内部控制结构由控制环境、会计系统和控制程序三个要素组成,其中控制环境是指对有效建立和实施特定政策与程序有重大影响的各种因素,包括管理层的理念和经营风格、组织结构、董事会及其下属委员会、职权和责任的分配、管理层监控和检查工作所采用的控制方法(如经营计划、预算、预测、内部审计、人力资源政策与实务等);会计系统是指为确认、归类、分析记录和编报各项经济业务,明确资产与负债的经营责任而规定的各种方法。控制程序是指企业为保证目标的实现而建立的政策和程序,包括经济业务和事项的适当授权、人员的职责分工、账簿和凭证的设置及其记录与使用、资产及记录的限制接触、己经登记的业务及其记录与复核。

内部控制结构概念的提出是内部控制理论的一次重大发展,它的主要贡献体现在三个方面:

第一,首次将控制环境纳入内部控制的范畴,使之成为内部控制的一个组成部分。

第二,强调了人在内部控制中的主导作用,尤其是董事会、管理层及其他员工对内部控制的态度和行为,是内部控制体系得以有效建立和运行的基础和保障。

第三,强调会计控制和管理控制的相互联系,把会计控制和管理控制作为统一的要素来表述。

20世纪90年代,内部控制理论的发展进入一个新的阶段。1992年9月,美国coso发布了《coso框架》,进一步明确了内部控制的定义:”内部控制是由主体的董事会、管理层和其他员工实施的,旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等H标的实现提供合理保证的过程。”这个定义揭示了内部控制的一些基本内涵:

第一,内部控制是一个过程,它是实现目标的手段,而非目标本身。

第二,内部控制是由人来实施的,涉及组织各个层级人员的活动。

第三,内部控制可以为主体目标的实现提供合理的保证,但不能提供绝对的保证。

第四,内部控制目标包括经营目标、财务报告目标和合规目标等多个彼此独立又相互交叉的目标,因此,内部控制不只限于会计控制或管理控制。

coso框架还明确了内部控制的内容包括控制环境、风险评估、控制活动、信息与沟通和监督五个相互关联的要素。这五个要素与内部控制的目标之间存在直接的关系,每个要素都贯穿并服务于所有内部控制目标。此外,五个要素之间相互补充、彼此支撑,共同构成一个健全、有效的内部控制系统,其中,控制环境是实施内部控制的基础,风险评估是内部控制的重要前提,控制活动是内部控制的具体措施,信息与沟通和监督是内部控制的必要条件,监督是内部控制的保证手段。

coso框架是内部控制理论研究的重大突破,它创造性地将内部控制发展为立体框架模式,使内部控制的研究进入一个更系统、更全面、更动态化的阶段。因此该框架的内容后来被多国纳入政策和法规之中。

国内对风险管理的系统研究始于20世纪80年代后期。一些企业引进了风险管理和安全系统工程管理的理论,运用风险管理的经验识别、衡量和估计风险,取得了较好的效果,推动了风险管理理论研究。为适应经济发展的要求,我国高等院校普遍开设了风险管理课程。

(三)当代风险管理理论(20世纪90年代末至今)

20世纪90年代末,在经济全球化的发展趋势下,国际金融和工商业发展愈加迅猛,新经济形势下企业面对的风险也愈发复杂多样化,经济变动下造成损失的已不再是单一的风险而是多种风险交织共同作用的结果。适应环境的急剧变化,对风险管理的研究逐渐突破传统的风险管理模式,基于风险组合的全新观点,从贯穿整个企业组织架构和各项业务的角度,更加综合地看待和分析风险。于是,全面风险管理思想和理论开始产生并形成,其标志是:

1.北美非寿险精算师协会(CasualtyActuarialSociety,CAS)。

CAS确立了适用于各种类型的组织、行业和部门的风险管理标准,并随之成为世界各国和众多企业广为接受的标准规范。

2001年,CAS在一份报告中,明确提出了全面风险管理的概念,并对基于系统观点的风险管理思想进行了较为深入的研究。CAS将全面风险管理定义为对各种来源的风险进行评价、控制、研发、融资、监测的过程,任何行业的企业都可以通过这一过程提升短期或长期利益相关者的价值。这一概念不仅明确了风险管理的价值取向,而且首次将风险管理措施扩展到”研发”“融资”。CAS把风险分为外部风险、金融风险、运营风险和战略风险四种类型,指出风险管理包括环境扫描、风险识别、风险分析、风险集成、风险评估、风险管理和风险监控七个紧密联系的步骤,体现了风险管理理念的最新成果。

2.巴塞尔银行监管委员会推出《巴塞尔新资本协议》。

2004年6月26日,巴塞尔银行监管委员会正式发布了《巴塞尔新资本协议》(新巴塞尔协议或巴塞尔协议II)。与1988年的《巴塞尔资本协议》相比,其主要改进和更新是:

第一,首次提出全面风险管理的理念,而不再只关注信用风险。新资本协议将银行面临的风险分为信用风险、市场风险和其他风险(包括利率风险、操作风险、法律和声誉风险),几乎艇括了银行所面临的一切风险。

第二,提出银行风险监管的三大支柱,即资本充足率、监管当局的监督检查和市场纪律,而不再只限于监管资本充足率。

第三,提出了提高监管资本的风险敏感度、激励商业银行不断提高风险管理水平两大监管目标。

第四,明确了监管资本、经济资本和财会资本的概念,允许商业银行主动进行资本套利。

第五,提出主动控制风险原则。

第六,提出对风险进行量化管理。在信用风险方面,提出了标准法和内部评级法。在操作风险方面,提出了基本指标法、标准法、标准法的替代法、高级法等。

3.美国coso发布的《企业风险管理整合框架》。

在内部控制整体框架理论的基础上,经过十余年的发展和完善,如何将内部控制整体框架的建设与企业的风险管理相结合,成为理论界关注的焦点。为适应这一需求,美国coso在普遍征集对内部控制整体框架修改意见的前提下,结合美国《萨班斯—奥克斯利法案》在报告方面的要求和企业主动风险控制的要求,在2004年发布了《企业风险管理整合框架》,该框架指出:”全面风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能影响主体的潜在事项、管理风险,以使其在该主体的风险容晕之内,并为主体目标的实现提供合理保证。”由此可见,该框架拓展了内部控制的内涵,正式提出了全面风险管理的基本概念和框架体系。

4.美国coso发布的《企业风险管理—一整合战略和绩效》。

ERM(2004)在数十年的实践中暴露出一些问题,如对风险管理和内部控制的划分界限不够清晰。此外,在ERM(2004)发布后的十几年里,市场、经济环境都发生了巨大变化,新型风险层出不穷。在此背景下,美国coso在2014年首次启动了对风险管理框架的修订工作,并于2017年9月发布了《企业风险管理一一与战略和绩效的整合》,该框架与ERM(2004)相比,主要发展与变化有:

第一,首次采用”要素+原则”的框架结构,其中包含五大要素和二十项原则。

第二,凝炼、简化了风险管理的含义,指出风险管理是组织在创造、保持和实现价值的过程中,结合战略制定和执行,赖以进行管理风险的文化、能力和实践。

第三,强调了风险与价值之间的关系,指出企业风险管理不再侧重于将风险降低到可接受的水平,而是侧重于创造、保持和实现价值。

第四,重新定位了企业风险管理,强调将风险管理融入企业的所有业务流程,从战略目标的设定到经营目标的形成,再到执行过程中绩效的完成,始终贯彻风险管理的原则与要求。

第五,加强了企业风险管理与绩效的联系,探讨了企业风险管理工作如何识别、评估影响绩效的各种风险。

第六,明确将风险管理纳入企业决策过程,尤其是战略目标的选择、经营目标和绩效目标的设定以及资源分配计划的制订等。

总之,ERM(2017)以崭新的视角、思路与框架,首次提出或强调了企业风险管理与企业战略、价值、绩效以及企业所有业务流程的关联性、统一性、相容性,实现了风险管理思想和理论的又一次飞跃。

二、风险管理实践的发展

与风险管理理论的产生、形成和发展相互适应,相互推动,风险管理实践的发展也经历了传统风险管理实践、现代风险管理实践和当代风险管理实践三个阶段。

(一)传统风险管理实践阶段

1.萌芽阶段。

企业风险管理实践是伴随工业革命的开始而萌生的。工业革命的爆发和工业文明的产生与发展,促进了生产力的高度发展,促进了社会财富的急剧增加。但是,与之相伴的是巨大的财产损失和人员伤亡事故的增加。这不仅影响到企业的经营和发展,也影响到员工的生命安全。1906年,美国钢铁公司董事长BH凯里从公司多次发生的事故中吸取教训,提出了”安全第一”的经营理念,并将公司原来”质批第一、产量第二”的经营方针改为”安全第一、质量第二、产量第三”。这一改变震动了美国实业界,并且促进了众多实践成果的产生,例如1912年芝加哥行政管理部门出台了有关企业安全管理的法律草案。

2.形成阶段。

1929年,美国发生的经济危机导致工厂倒闭、工人失业和社会财富遭受巨大损失,人们开始思考如何采取有效的措施来减少或者消除风险事故给人类带来的种种灾难性后果,采取科学的方法控制和处理风险。1931年,美国管理协会明确了对企业风险进行管理的重要意义,并设立保险部门作为美国管理协会的独立机构。1932年,企业风险管理人员共同组成了纽约投保人协会(InsuranceBuyersofNewYork),彼此交换风险管理的信息,研究风险管理的技术和方法。1938年以后,美国企业对风险管理开始采用科学的方法,并逐步积累了丰富的经验,风险管理开始成为企业的一种管理活动。同时,一些重大损失事件使许多公司高层决策者认识到风险管理的重要性,因而在企业中设立风险管理岗位,指定专人即”全职风险管理人”,负责管理风险。

3.发展阶段。

1948年,美国钢铁工人工会与厂方就养老金和团体人身保险等问题进行谈判,由于厂方不接受工会提出的条件,钢铁工人罢工长达半年。1953年8月12日,美国通用汽车公司在密歇根州的一家汽车变速箱工厂因火灾而损失惨重。通用汽车公司的巨灾事件是这一阶段与风险管理直接相关的事件。1956年,《哈佛经济评论》发表了拉塞尔·格拉尔(RBGallagher)的论文《风险管理——成本控制的新时期》,风险管理作为一种管理职能和管理活动开始得到推广。1962年,美国管理协会出版了关于风险管理的专著《风险管理之崛起》,进一步推动了风险管理实践的发展。

20世纪六七十年代,美国一些主要大学的工商管理学院都开设了风险管理课程,将风险管理的教育和培训贯穿于经济管理课程之中。从这些学院的毕业的学生进入企业管理部门后,将风险管理的理论知识运用于管理的各个领域,极大地促进了风险管理实践的发展。20世纪70年代初期,风险管理理念开始传入亚洲、欧洲、拉丁美洲,风险管理实务在许多国家、地区的企业中得到重视并广泛开展。

(二)现代风险管理实践阶段

20世纪70年代中后期,基于美国”水门事件”的调查结果,立法者和监管团体开始对风险管理问题予以高度重视,美国国会于1977年通过了《反海外贿赂法案》(ForeignConuptPracticesAct,FCPA),明确规定企业管理层需要加强内部会计控制,禁止向外国政府官员行贿。该法案从法律层面推动了风险管理实践深入发展。

1978年,美国注册会计师协会下属的柯恩委员会(CohenCommission)提出报告,建议公司管理层在披露财务报表时,提交一份关于内控系统的报告,同时建议外部独立审计师对管理者内控报告提出审计报告。1980年后,内部控制审计的职业标准逐渐成型,并得到了监管者和立法者的认可。

20世纪80年代初,美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年,在美国召开的风险和保险管理协会年会上,世界各国专家学者云集纽约,共同讨论并通过了《101条风险管理准则》,这是风险管理进入现代风险管理实践阶段的一项重要成果和体现。

1985年,美国注册会计师协会、美国会计学会(AmericanAccountingAssociation,AAA)、财务经理人协会(FinancialExecutiveInstitute,FEI)、国际内部审计师协会(InstituteofInternalAuditors,IIA)和全美会计师协会(NationalAssociationofAccountants,NAA)等职业团体联合创建了反舞弊财务报告全国委员会(NationalonFraudulentFinancialReporting,NFFR,又称"Treadway委员会"),旨在探讨财务报告中舞弊产生的原因,并寻找解决之道。两年后,在该委员会的提议下,又成立了coso。此后,该委员会通过制定和发布企业风险管理框架指引,有力地推进了风险管理实践的发展。

(三)当代风险管理实践阶段

1.风险管理标准化实施阶段。

20世纪未,风险管理的标准化引起了国际社会的广泛关注,许多国家试图通过规范化、标准化的风险管理手段加强风险管理的绩效。澳大利亚、英国、加拿大、奥地利等国家在一般性风险管理标准、风险管理技术等领域及医疗器械、航天系统、软件、项目管理等许多领域都制定了相应的风险管理标准,并形成了一定的风险管理标准体系,如英国的特恩布尔指南和美国的coso框架。

国际标准化组织(InternationalOrganizationforStandardization,ISO)于1998年成立了1S0/TMB(TheTechnicalManagementBoard,技术管理局)风险管理术语工作组,历时四年制定了《ISO/IECGuide73:风险管理术语在标准中的使用指南》(IEC即InternationalElectrotechnicalCommission,国际电工委员会),并在2009年推出新版本的《ISOGuide73:风险管理术语》,旨在促进风险管理术语的规范使用,为风险管理行为的实施提供指导,促进ISO和IEC的成员在风险管理上的相互交流和沟通理解。2009年,ISO相继推出《ISO31000:风险管理实施原则与指南》《ISO31010:风险管理一风险评估技术》,前者为不同规模、类型的组织实施风险管理提供最高层次的规范性文件,为现存的风险管理标准提供支撑;后者提供了风险评估时的技术选择指南。

2018年2月,国际标准化组织(ISO)修订并发布了《ISO31000:风险管理指南》。该指南内容更为简洁,聚焦组织的价值创造、维护和实现,强调了风险管理对于决策支持的重要性,更加注重风险管理的整合,同时强化了高层领导者在风险管理中的角色和职责。2018年版本标准主要由原则、框架和流程三部分构成:原则是指价值创造和保护的总原则;框架是指领导力与承诺,即领导层职责的重要性;流程为风险记录和报告,包括风险识别、风险分析、风险评价和风险应对等。该指南提供了组织管理风险的标准,适用于任何类型的组织、组织的整个生命周期,以及包括各层级决策在内的各项组织活动。

2019年,国际标准化组织(ISO)修订并发布了《ISO/IEC31010:风险管理一风险评估技术》,主要修订内容为:一是提供了有关规划、实施、验证和确认风险管理技术使用过程的更多详细信息;二是增加了风险评估技术应用的数量和范围。

我国是国际标准化组织ISO常任理事国,制定风险管理相关的国家标准时参考了ISO国际标准,包括《GB/T24353-2009:风险管理原则与实施指南》《GB/T27921-2011:风险管理风险评估技术》《GB/T23694-2013:风险管理术语》。

前述coso于2004年发布的《企业风险管理—一一整合框架》和于2017年发布的《企业风险管理一与战略和绩效的整合》,作为企业建立风险管理体系框架的两个重要指引,也确立了适用于各种类型的组织、行业和部门的风险管理标准,并随之成为世界各国和众多企业广为接受的标准规范。

2015年1月,美国coso发布《网络时代的内部控制》自皮书,报告认为随着高科技信息技术催生的组织运营环境和模式的变革,组织必须管理无法规避的网络风险,并建议以安全的、警惕的、灵活的态度管理网络风险,有针对性地采取防控措施,以增强企业信心。企业可以参照信息安全和网络风险管理的相关法规和国际标准,建立控制活动,评价其充分性,以合理保证企业信息的安全性和可恢复性。相关国际标准主要有ISO27000系列标准(信息安全管理系列国际标准)和信息及相关技术的控制目标(ControlledObjectivesforInformationandRelatedTechnology,COBIT)。

ISO27000系列标准包括ISO27000(原理与术语)、ISO27001(信息安全管理体系一要求)、ISO27002(信息技术—安全技术—信息安全管理实践规范)、ISO27003(信息安全管理体系——实施指南)、ISO27004(信息安全管理体系——指标与测量)、ISO27005(信息安全管理体系一风险管理)、ISO27006(信息安全管理体系——认证机构的认可要求)和ISO27007(信息技术—安全技术—信息安全管理体系审核员指南)。

COBIT是美国信息系统审计和控制联合会制定的信息系统审计和评价标准,从数据、应用系统、技术、设备、人员等方面构建了信息系统审计和评价的架构。COBIT指出,信息系统的控制目标包括有效性、高效性、机密性、完整性、可用性、合规性和信息可靠性。COBIT能够促进企业战略与信息技术战略之间的互动,形成持续改进的良性循环机制,为企业的信息技术审计提供了具有一定参考价值的解决方案。

2.全面风险管理实施阶段。

伴随许多国家、企业风险管理标准化的实施,全面风险管理也逐渐兴起并成为风险管理的主流。

前面巳述,CAS于2001年在一份报告中明确提出了全面风险管理的概念,并对基于系统观点的风险管理进行了较为深入的研究;美国coso于2004年发布的《企业风险管理一整合框架》和于2017年发布的《企业风险管理一与战略和绩效的整合》,对全面风险管理的框架和内容做了详细规定,引领企业全面风险管理的实施。

2006年6月,我国国务院国有资产监督管理委员会印发《中央企业全面风险管理指引》(国资发改革(2006)108号),要求中央企业根据自身实际情况开展全面风险管理工作。《中央企业全面风险管理指引》是我国第一个权威性的风险管理框架,标志着我国的风险管理理论和实践进入一个新的历史阶段,对于中央企业建立健全风险管理长效机制,防止国有资产流失,促进企业持续、健康、稳定发展,保护投资者利益,都具有积极的意义。

2008年5月,我国财政部会同证监会、审计署、原银监会、原保监会制定并印发了《企业内部控制基本规范》(以下简称《基本规范》),自2009年7月1日起在上市公司范围内施行,并鼓励非上市的大中型企业执行。2010年4月26日,财政部、证监会、审计署、原银监会及原保监会联合发布了《企业内部控制配套指引》(以下简称《配套指引》),其中包括《企业内部控制应用指引》(以下简称《应用指引》汃《企业内部控制评价指引》(以下简称《评价指引》)和《企业内部控制审计指引》(以下简称《审计指引》儿《基本规范》《应用指引》《评价指引》和《审计指引》四个类别构成一个相辅相成的整体,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本形成。

为推动行业企业有效实施企业内部控制规范体系,进一步提高行业企业经营管理水平和风险防范能力,财政部于2013年和2014年分别印发了《石油石化行业内部控制操作指南》(财会(2013]31号)和《电力行业内部控制操作指南》(财会(2014J31号)。内部控制操作指南属于参考性文件,并非强制性要求,目的是指导不同规模、不同产业链中的行业企业开展企业内部控制体系的建立、实施、评价与改进工作。行业企业应根据内外部环境、发展阶段、业务规模等因素,建立符合企业实际的内控操作手册。相关行业可以根据本行业特点参考执行上述指南。

《基本规范》及其《配套指引》对我国大中型企业,特别是上市公司和中央企业加强内部控制建设发挥了重要的推动作用。然而,我国小企业数量众多,且类型多样、差别显著,小企业按照企业内部控制规范体系的有关要求,开展内部控制建设存在适用性不强、实施成本高等问题。2017年6月29日,为引导和推动小企业加强内部控制建设,提升经营管理水平和风险防范能力,促进小企业健康可持续发展,根据《中华人民共和国会计法》《中华人民共和国公司法》等法律法规及《企业内部控制基本规范》,财政部制定了《小企业内部控制规范(试行)》(财会(2017]21号)。《小企业内部控制规范(试行)》主要定位于符合工业和信息化部等四部委印发的《中小企业划型标准规定》(工信部联企业(2011J300号)的非上市小企业,是广大非上市小企业开展内部控制建设的指南和参考性标准,由小企业自愿选择采用。

此外,国务院国资委下发了一系列针对中央企业的内部控制规范性文件,旨在防范化解中央企业重大风险,充分发挥内部控制对企业的强根固本作用。2012年5月7日,国务院国资委和财政部联合发布了《关于加快构建中央企业内部控制体系有关事项的通知》(国资发评价(2012]68号),要求中央企业扎实开展管理提升活动,确保2013年全面完成集团内部控制体系的建设与实施工作,穷实基础管理工作。具体内控建设要求包括:(1)建立规范的公司治理结构和议事规则,明确各类治理主体的权利运行机制。(2)全面梳理各类各项业务流程,查找经营管理风险点,评估风险影响程度,编制分类风险与缺陷清单,明确关键控制节点和控制要求,实施业务流程再造,编制内部控制管理手册,促进业务处理规范化和标准化。(3)加强重点流程与特殊业务的内部控制。(4)结合内部控制目标,梳理完善管理制度体系,并根据业务发展要求和外部经营环境变化,持续检验和评估管理制度的有效性,建立动态调整与改进机制,防止出现制度缺失和流程缺陷。(5)推进内部控制体系建设同信息化建设的融合对接。确保内控有效执行的措施包括:(1)落实内部控制执行责任制,将内部控制建设与执行效果纳入绩效考核体系,同时建立主要负责人承诺制,明确企业主要负责人对内部控制有效执行负总责,带头执行内部控制。(2)逐级进行责任分解。(3)建立重大风险信息沟通与报告路径、责任与处理机制,确保内部控制重大风险信息顺畅沟通和及时应对。(4)加强内部控制H常监督检查,建立专职机构或牵头部门具体实施,内部控制与监督评价(审计)相分离。

2019年10月19日,国务院国资委印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》(国资发监督规(2019J101号),要求以风险管理为导向,以合规管理监督为重点,严格落实各项规章制度,将风险管理和合规管理要求嵌入业务流程,加强信息化管控、加大企业监督评价力度、加强出资人监督,实现”强内控、防风险、促合规”的目标,明确”强监管、严问责”,切实全面提升内控体系的有效性。

同年12月31日,国务院国资委印发《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》(国资发监督规(2019J44号),该文件对中央企业在组织领导、制度建设、风险防控、信息化管控、监督检查、工作报告方面提出了原则性要求。2020年IO月29日,国务院国资委印发《关于做好2021年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督(2020J307号),进一步拓宽了中央企业内控体系建设的范围,新增强调强化境外管控,加强境外企业内控体系建设,提高国际化经营抗风险能力的相关内容,对中央企业的内控体系建设提出更高层次要求。

2022年1月7日,国务院国资委印发《关于做好2022年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督(2021J299号)(以下简称《通知》),充分总结过去两年内控体系建设短板经验,对中央企业的内控体系机制、风险管理评估和监测预警、内控制度标准化建设、内控执行专项整治、境外管控、信息化管控、监督检查评价等方面的要求更高、更细致。《通知》要求,对新兴业务、高风险业务以及风险事件频发的领域每半年至少要自评价一次,集团要制订年度监督评价方案,加强对子企业内控有效性的监督评价,在2022年底前完成第一轮集团监督评价”三年全覆盖”,对于集团监督评价”零缺陷”的企业,国务院国资委将纳入内控体系有效性评价重点抽查范围。

2023年3月,国务院国资委印发《关于做好2023年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督(2023J8号)(以下简称《通知》九《通知》要求:(1)进一步完善党的领导融入公司治理的运行机制,加强党委(党组)对内控管理工作的全面领导,对企业内控与风险管理工作,以及存在的重大内控缺陷和风险隐患等情况,要定期向党委(党组)报告并抄送企业纪检监察机构。(2)落实董事会对内控体系的监管责任,明确审计与风险管理等专门委员会推进内控体系建设与监督工作的职责,董事会要定期听取和审议内控职能部门工作情况报告。(3)充分发挥内控职能部门统筹推动、组织协调、监督落实的作用,有效开展完善制度、强化执行、监督评价、整改落实等内控管理工作,切实提升内控体系规范化、法治化、专业化水平。

财政部、国务院国资委及相关行政管理或监管部门制定、颁布、下达的一系列”指引”“规范”“指南”和”通知”,适应宏观环境、产业环境、市场环境的变化以及企业发展的内在要求,及时、适时地为各类企业牢固树立全面风险管理理念、建立健全全面风险管理体系、采用科学化和规范化的风险管理措施和手段,指明了方向和途径,提出了原则和要求。

End

posted @ 2024-05-16 09:02  BIT祝威  阅读(25)  评论(0编辑  收藏  举报