Dec. 2007, Vol, 3, No.12 (Serial No.31) 现代会计与审计 Journal of Modern Accounting and Auditing, ISSN1548-6583, USA
44
风险管理审计:一个重要的制度安排?
李晓慧
(中央财经大学会计学院,北京 100081)
摘 要:为了使内部控制、公司治理,以及风险管理在动态中不断适应企业的发展,促使企业内生出
减少财务舞弊以及公司治理失效的内部控制和风险管理机制,本文引入了风险管理审计制度。这种制度通过评价、鉴证、咨询和报告来促使企业形成自我纠正、自我完善、不断提升的公司治理循环,也有利于提高公司的治理效率。
关键词:风险管理审计;制度安排;公司治理
一、引言
在资本市场,人们总是疑虑为什么一些企业会乐此不疲地粉饰财务报表。也许人们已经寻找出不同的理由以及相应的改善措施,但究其根本在于公司缺乏盈利能力。当一个企业缺乏盈利能力时,为了避免向市场报告“坏信息”或规避资本市场的监管,公司有强烈动机不报告亏损,尤其在连续亏损时,公司必然会铤而走险地利用会计手段进行“清洗”(Haw, et al,1998;陆建桥,1999;沈振宇等,2004;李远鹏等,2005)。反之,如果企业盈利能力强,就没有必要粉饰财务报表。正是基于这些研究,目前会计理论界和实务界都着力研究企业内部控制、公司治理以及整个企业的风险管理,以期从公司内部形成减少舞弊的控制机制,以减少风险,这种研究思路和解决问题的角度无疑是正确的。但在一个动态发展的企业中经常会看到,即便是一些企业聘请国际“四大”设计了完善的内部控制和全面的风险管理,也会面临着设计不合理(主要是与企业现实不符)、运行无效的尴尬1;即便是公司治理结构设计的再完美,大股东和管理层合谋舞弊以及严重的内部人控制也很猖狂,如何解决这些问题呢?这需要企业有一个自我纠正、自我完善、不断提升的制度,才能从根本上解决问题,为此,我们在公司治理中引进风险管理审计制度。
二、风险管理审计的内涵
从现代企业全面风险管理的角度看,风险管理审计是审计人员根据企业全面风险管理的方针和政策,采用系统化、规范化的方法,测试企业风险管理系统、各业务循环及相关部门的风险识别、分析、评价、管理及处理等,并对企业的全面风险管理进行动态评价的一个过程,以保证和预警,进而提高企业风险管理的效率,帮助企业实现其战略目标。
从这个定义出发,我们可以确定风险管理审计内涵包括如下几点:
?本文是“中财121人才工程博士发展基金”项目(项目编号:GBG0606)阶段性成果之一,感谢财政部全国会计学术带头人后备人才培训项目的支持,感谢东北财经大学张宜霞老师的意见。
【作者简介】李晓慧,女,河南南召人,经济学博士,中央财经大学会计学院教授、副院长;研究方向:现代审计理论与方法、内部控制与风险管理、资本市场会计与审计问题研究。
1中航油的风险管理体系出自安永会计师事务所之手,《风险管理手册》与其他国际石油公司基本一致,但仍然无法阻止企业由最初判断失误造成580万元亏损扩大到5.5亿美元,这说明中国企业现在内部控制的最大、最迫切的问题不是设计出最好、最超前的内部控制,而是如何保证最常规的内部控制能够有效运行。
1. 风险管理审计的目标是在确定企业基本经营目标、风险、绩效指标和风险承受能力的基础上,评价风险管理活动,并将企业风险控制在可接受范围内,以增加企业价值或改进企业运行效率。风险管理审计目标与企业经营目标是一致的,比一般审计目标范围要大。如一般的财务审计目标是对财务报表的合法性、公允性发表意见,企业内部控制审核目标是对内部控制的有效性发表意见,但风险管理审计的目标可具体细分为对风险管理政策设计的适当性;执行的有效性和风险损失处理的合理性发表意见,该意见尽量避免集中在遵循要求上,而是实质地评估企业的风险偏好以及期望差距,提出缩短差距的具体措施和意见,以求把企业的风险控制在可接受的范围内,为实现企业价值增值和改进企业运行效率的终极目标服务。
2. 风险管理审计的对象是企业全面的风险管理活动。企业的全面风险管理活动包括企业的风险管理信息系统和内部控制系统2,为此,风险管理审计也包括对财务报表重大错报和内部控制缺陷的查证、评价与沟通。但区别于财务报表审计和企业内部控制审核的关键点是:风险管理审计还需要针对企业战略层面的风险予以查证、评估并提出应对措施。
3. 风险管理审计职能体现在鉴证和咨询活动上。其鉴证职能与一般的审计一样,旨在客观地获取和评价与经济活动和经济事项的认定有关的证据,以确认这些认定与既定标准之间的适合程度。其咨询的职能具有“增值性”,根本区别于一般财务报表审计,要求审计人员针对企业风险管理中存在的问题,提出具有针对性(specific)、可测量性(measurable)、可实施性(actionable)、责任到人(responsibility)、及时性(timely)3的评价意见和改善建议,协助管理层更有效地进行风险管理活动,减少或降低阻碍企业战略目标实现的任何障碍。
4. 风险管理审计采用的方法具有系统性、规范性,主要包括:了解管理当局在战略上、运营上和价值上的目标;识别和评估阻碍企业达到上述目标的关键经营风险;理解管理当局对于相关风险的承受度;评估风险管理活动,并将其降低至可接受风险水平。这些方法在风险基础/导向审计中也运用,但风险管理审计在运用这些方法时,主要利用数量模型来量化风险、对风险进行排序,以便为公司提出具有针对性的精细分类的风险管理策略并提出改善意见,而风险基础/导向审计在运用这些方法时,侧重于定性评价内部控制及其控制风险,目的是为了找到公司内部控制不能防范的剩余风险,以确定下一步对剩余风险予以查证的实质性程序的性质、时间和范围。
5. 风险管理审计的重心在于识别目前风险管理有效性水平与期望水平之间的差距,以评价和改进风险管理的有效性。
为此,风险管理审计属于凸现咨询活动的企业内部审计4的一种,它是审计人员执行内部控制评价和管理审计的合理拓展,即站在战略层面和风险管理全过程的角度,对企业风险管理进行审计。现实中,企业根据需要,在进行风险管理审计的同时,也可以从某种专门的需要出发,安排内部控制评价或管理审计。
三、风险管理审计是一种制度安排
1. 正如注册会计师审计是企业外部治理的一种制度安排一样,风险管理审计也作为企业内部治理的一种制度安排而存在。
在现代企业中,公司治理是基于企业所有权与经营权相分离后而引发的有关委托代理关系及“内部人控制”等问题而被逐步提出的,人们希望公司治理通过一系列制度安排有效运行而形成治理循环,为公司
2 2006年6月国务院国有资产监督管理委员会颁布的《中央企业全面风险管理指引》(国资发改[2006]108号)规定健全的全面风险管理体系,包括风险管理策略、风险理财措施、风险管理组织职能体系、风险管理信息系统和内部控制系统。
3 2004年9月国际内部审计师协会(IIA)发布的《全面风险管理中内部审计角色》的职位说明书中提出的SMART(specific, measurable, actionable, responsibility, timely)标准。
4 Bailey等认为,咨询活动显得有些新颖,但它所囊括的许多活动实际上早已成为内部审计工作的一部分。
45
不断培育和提升增值能力提供保障。如图1,企业的外部治理在运行时,市场这个“看不见的手”将会发挥作用:资金在资本市场中由低效益领域流向高效益领域;经理人在经理市场会因企业业绩变化而提升经理人价值,或被赶出经理市场(如利用收购、兼并等);产品的适销对路或积压会把企业推向大发展或濒临破产;劳动力也会追逐利益而流动,但这些市场的敏感反应必然借助于注册会计师的审计,“年度审计是公司治理的一个基石……审计提供了外部的客观的审查,该过程中需要准备和提供财务报表”5,注册会计师审计担负着过滤会计信息风险、合理保证会计信息质量、降低会计信息识别成本的责任,被利益相关者视为重要的利益保障机制(程新生,2005),从而有利于提高公司的透明度,减少外部治理运行中的信息不对称而引发的一系列后果(逆向选择和道德风险)。企业的内部治理运行时,配置和行使控制权、监督和评价董事会、经理层和职工以及设计和实施激励机制等制度至关重要,但更为重要的是这些制度如何被执行。众所周知,制度执行的关键在于评价,评价的关键又在于咨询,风险管理审计在公司内部治理中就承担了咨询的职责,即从企业发展战略的视角评价、鉴证企业全面风险管理,并站在战略高度,具体到企业运营中各个流程和环节,并提出具有建设性的建议。这不仅有利于企业形成“自上而下”和“自下而上”相协调的制度执行机制,也能够促使企业形成自我纠正、自我完善、不断提升的内部治理机制。
图1 企业的内外治理制衡机制
2. 相对于内部控制和风险管理的“监督”要素,风险管理审计成为内部控制和风险管理运行中内生和外生相协调的制度安排。
如图2公司内部治理框架所示,企业的内部控制和风险管理是企业治理层的工具,但却根植在企业经营管理的每一个流程和环节当中,属于公司治理机制的核心。
对于一个现代化企业来讲,无论按照“内部控制整体框架(Internal Control——Integrated Framework)”(COSO框架)或是“全面风险管理整合框架(Enterprise Risk Management)”(COSO-ERM框架)来构建自身的内部控制和风险管理框架,框架本身都内生存在“监督”环节6。监督是对内部控制和风险管理系统
5 Cadbury Report, 1992, 36, para.5.1。
6 COSO框架的“五要素”包括“内控环境、风险评估、内控活动、信息与沟通和监督”COSO-ERM框架的“八要素”包括46
有效性进行评估的过程,可以通过持续性监督、独立评估或两者的结合来实现。内部控制和风险管理内生要素中“监督”如果仅仅限于自我评估,则无论是否是持续的,都可能会出现“不识庐山真面目,只缘身在此山中”的情况,因此,需要特设的一个制度安排——风险管理审计,由直接隶属于董事会(可以通过审计委员会,但最终是对董事会负责)的审计部门组织实施,以落实内部控制和风险管理的各个环节的自我评价为基础的专门的审计活动,并且利用咨询意见,在战略层面上为董事会提供发现、防范并纠正自身战略风险的意见。为此,在公司内部治理框架中,风险管理审计成为内部控制和风险管理运行中的内生和外生相协调的制度安排,其内生性表现在风险管理审计本身是内部控制和风险管理中“监督”环节所要求的独立评估部分;其外生性体现在风险管理审计是特设的制度安排(强调直接隶属于审计委员会的内部审计部门实施)来保证内部控制和风险管理在不断修正中有效运行;其内生和外生相协调表现在内部审计部门在实施风险管理审计中,必须以企业内部控制和风险管理的自我持续评估为基础,但要站在战略高度,把握全面风险,来对整个公司内部治理的全过程以及各个层面(治理层和控制层)实施监督。
图2 公司内部治理框架
四、引进风险管理审计后的协调
在整个公司治理中引进风险管理审计后,需要协调以下关系:
(一)公司治理与风险管理审计的关系
研究图2所示公司内部治理中相关方在企业全面风险管理中的地位和职责,包括:
1. 董事会
董事会对企业的风险管理负有监督职责,监事会下设风险管理委员会,作为企业风险管理的最高决策机构,其主要是通过以下方式实现其职责:了解和评估主要利益方不断变化的需求和期望;了解管理者在企业内部建立有效风险管理的程度、获知并认可企业的风险偏好;为管理层提供公司治理目标和风险承受水平方面给予连续的指导、权限和监督;接收或评估由管理层提供的,关于根据其确定的风险承受水平管
“内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控”。
47
理企业效果的信息。
2. 管理层
企业的首席执行官对企业的风险管理最终负责,企业高层确定风险管理的基调,从而影响企业内部员工的操守和价值观。企业管理层应当确保公司治理能够体现在公司的运营中:接受由董事会提供的连续指导,确保正确的风险管理活动得以实行、以便在风险承受限度内管理企业;重新评价风险承受水平,确保它们在符合董事会的风险承受水平的同时继续反映企业的需要;向风险所有者授权,使他们有能力控制风险并对企业的变化作出反应;接收和评估由风险所有者提供的在风险承受水平内企业管理绩效的信息;向董事会传递整个企业在风险承受水平内企业管理绩效的信息。
3. 风险所有者
各个部门和岗位的责任人均是风险所有者,他们在各自的职责范围内建立并维护有效的风险管理。首席风险管理师承担了监督风险管理进度,并帮助其他风险所有者在企业内向上、向下和横向报告有关风险信息的职责,也可以成为企业风险管理委员会的一员。一旦通过企业风险管理流程被授予风险管理的权限,每个风险所有者应当在企业总体公司治理目标下进行日常决策。这一权力与一定的责任相匹配:理解公司不断变化的风险组合以及董事会和高级经理确定的风险承受水平,确保风险管理活动与公司确定的风险承受水平相一致;重新评价风险管理活动的设计是否能继续提供合理的保证;评估各种能力是否能继续与实施风险管理活动相匹配;监督风险管理活动,确保其有效运行并取得预期的结果;为高级经理提供在风险承受水平内企业管理绩效的信息。
4. 审计部门
在现实经济生活中,公司内部治理结构设计容易,但运行难,这不仅需要董事会、高级经理和风险所有者之间的良好沟通,更需要对公司内部治理进行独立的鉴证活动,以确保风险管理活动是有效的,并且沟通是准确的,这就需要引入风险管理审计制度,以保证公司内部治理高效运行。其关键的活动有:评估风险管理活动的设计是否有效;判断风险管理活动是否按设计的运作;评估风险所有者对管理层就风险管理绩效的声明是否准确;评估由管理层提供给董事会的信息是否完整而准确;监督风险承受水平是否由董事会和管理层及时向下传递;识别由集中化的风险管理流程尚不能覆盖到的风险领域。这些独立的鉴证活动为利益方、董事会和经理提供了信心,也促进了公司治理有序、高效地运作。
从以上分析可见,公司治理与风险管理审计是密不可分的,一方面,公司治理是实施风险管理审计的制度环境,是促使风险管理审计有效开展,并保证风险管理审计功能发挥的前提和基础。另一方面,风险管理审计是公司内部治理趋于健全完善的一种制度保证,这种制度具有如下功能:
(1)评价。风险管理审计是针对公司内部治理的关键环节(单独或整体),如识别风险、计量风险、风险排序以及风险管理等予以评价,以明确风险预警信号、关键风险点以及风险管理和应对策略等是否切实可行,企业整体风险管理流程设计是否合理,运行是否有效。
(2)鉴证。风险管理审计拓展了传统的财务审计仅仅鉴定和证明受托人履行财务责任的情况,对受托人履行管理责任情况,即业务活动和管理业绩也予以鉴定和证明。
(3)咨询。风险管理审计不仅要对企业风险管理活动予以评价,还要针对企业风险管理中存在的问题,提出具有针对性(specific)、可测量性(measurable)、可实施性(actionable)、责任到人(responsibility)、及时性(timely)7的评价意见和改善建议,协助管理层更有效地进行风险管理活动,减少或降低阻碍企业战略目标实现的任何障碍。
(4)报告或沟通。在公司治理中,向董事会报告的机制是保障企业有效和高效运行的政策、方法、
7 2004年9月国际内部审计师协会(IIA)发布的《全面风险管理中内部审计角色》的职位说明书中提出的SMART (specific, measurable, actionable, responsibility, timely)标准。
48
程序、技术手段的总称。内部审计部门应每年至少向管理层和董事会提交一次审计报告,当企业出现重大风险事项时,内部审计部门应及时向董事会报告,并在风险管理审计中随时与管理层和风险所有者进行沟通。
正是依赖于风险管理审计的评价、鉴证、咨询和报告的功能,公司内部治理才在不断修正中形成向管理层提供全面的指导、权限和监督的动态循环,有利于公司治理效率的提高。
(二)内部控制与风险管理审计的关系
企业风险管理理论是从内部控制理论不断演进发展而来的,以下通过分析国际上内部控制沿革中几个权威报告,来把握企业风险管理与内部控制的关系。
1. 美国COSO报告
1985年,为应对财务报表舞弊的频繁发生,美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FBI)、国际内部审计人员协会(IIA)和管理会计师协会(IMA)五个职业协会提供资助成立“全美反舞弊性财务报告委员会(National Commission on Fraudulent Reporting)”,但人们普遍称之为“特雷德威(Treadway)委员会”,后来该委员会转变为“发起组织委员会”(Committee of Sponsoring Organizations of the Treadway Committee)即COSO。该委员会在调查中发现,在其研究样本中,将近50%的财务舞弊事件可以全部或部分归咎于内部控制失败。该委员会同时认为,应该建立一个统一的、可操作的内部控制框架。1992年2月,COSO委员会公布了“内部控制框架”,提出内部控制五要素论,由于该报告没有把保障资产作为控制部分,招致以美国审计总署为代表的批评。1994年,该委员会公布了“内部控制整体框架(Internal Control——Integrated Framework)”(COSO框架),COSO内部控制框架认为,“内部控制是由企业董事会、经理阶层以及其他员工实施的,为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现提供合理保证的过程”,这较之1992年内控框架,补充了一个目标,即资产保护。2000年,安然、世通会计舞弊案暴露了公司内部控制存在缺陷,因而2002年美国国会通过萨班斯法案,萨班斯法案强调上市公司不但要有内部控制,CEO和CFO要对与财务相关的内控控制做出声明,而且还要向投资者证明这个控制是有效的(要求注册会计师对公司的内部控制做出鉴证),一旦出现问题,CEO和CFO 将为此承担最高至500万美元的罚款和上至20年的监禁刑事责任。为应对政策界的要求和实务界的变化,2004年8月美国COSO正式公布了“全面风险管理整合框架(Enterprise Risk Management)”(COSO-ERM 框架),指出“风险管理是由企业董事会、经理阶层以及其他员工实施,应用于企业战略制定并贯穿于整个企业,识别可能影响公司的潜在事项,将风险管理在一定范围内,为实现企业战略目标提供合理保证的一个过程”。相对于COSO框架来讲,COSO-ERM框架凸现了“风险”观念,增加了:(1)风险组合观;(2)战略目标;(3)两个概念:风险偏好和风险容忍度;(4)三个要素:目标制定、事项识别和风险反应。
2. 英国的科恩布尔报告
1997年英国银行监管当局鉴于1995年2月巴林银行倒闭的教训,提出了强化内部控制、风险管理、内部审计功能的建议。1999年,Turnbull委员会8将伦敦证券交易所指定的卡特伯里(Cadbury)、格林伯里(Greenbury)以及哈姆佩尔(Hampel)委员会有关公司治理的报告9并在一起,形成了一系列原则性的要求,即“科恩布尔报告”(Turnbull Report)——《内部控制:综合准则董事指南》。该报告要求企业的管理者承担起建立合理的内部控制系统、审核内部控制有效性、向股东报告有关发现的职责;对控制系统的审核应
8英国注册会计师协会(ICEAW)和伦敦证券交易所(LSE)共同成立的。
9卡特伯里报告对公司治理的以下四个方面提出了改进建议:(1)在向股东评价和报告公司绩效方面,董事的责任;(2)董事会审计委员会建立和运行方面;(3)审计人员的主要责任;(4)股东、董事会和审计人员之间的关系。格林伯里报告旨在提供一种平衡董事的薪酬和绩效的工具。哈姆佩尔报告旨在调整股东和利益相关者之间的平衡。
49
覆盖所有的控制,包括经营性、合规性控制以及风险管理;同时,执行风险控制政策是管理层的职责,并进一步确认内部控制在风险管理方面是有效的。这不仅引起了英国公司治理界对内部控制性质的重新定义,将内部控制对准了风险管理,也为公司及董事会提供了具体的、颇具可行性的内部控制指引。Turnbull 委员会2004年对该报告进行了彻底的审核,2005年颁布了新的版本,更加强调了风险的概念。
3. 加拿大CoCo报告
1994年12月,加拿大多伦多证券交易所发布Ray报告,要求公司报告内部控制的适当性。1995年11月加拿大特许会计师协会(CICA)的标准委员会公布了更为明细的指南,即CoCo报告。
CoCo报告倾向于使用“控制”一词,这比COSO报告使用的“内部控制”的概念更为广泛,如CoCo 报告把目标确定、战略规划、风险管理和纠错行动看作是“控制”概念的组成部分。另外,CoCo报告制定了用于评价各项内部控制目标的20条具体标准。该报告整合的风险管理是从公司战略、计划到一线运营、人力资源和业务流程系统程序。其框架包括:(1)总体流程有:目标——确定风险领域——风险评估——风险应对——学习;(2)具体流程有:确定问题,设置背景——评估风险领域——风险计量(风险程序、可能性、影响)——排列风险——设置期望结果——建立选择方案——选择决策——实施策略——监控、评估和调整。
由此可见,内部控制和风险管理有区别,如风险管理的理论和实务要比内部控制宽泛得多,但两者本质上存在协调性:即内部控制既是风险管理的主要构成部分,又是实现风险管理的手段(如对于属于影响小但经常发生的风险,企业多采用完善内部控制来减少风险的风险管理策略);无论风险管理增加了什么创新的观念和术语,都保留和发展了内部控制的核心理念;最为重要的是,企业追求内生增值的途径必然要求内部控制拓展到从战略层面、凸现关注企业风险的企业全面风险管理。为此,引入风险管理审计对内部控制的意义在于:能够运用专业人员(内部审计人员)持续地识别出内部控制的差距,并提出完善和提高内部控制效率的具体措施;能够鉴证管理层向董事会报告的内部控制履行情况,能够为董事会核准修正内部控制提供咨询服务,从而促使内部控制在不断修正、全面沟通中充分发挥应有的职能。当然,一个内部控制设计完善和执行有效的企业,其风险管理审计的风险也会随之而降低。
(三)注册会计师审计与风险管理审计的关系
在现代经济中,企业内外治理的高效运行需要透明、及时、客观的信息作为决策依据,这需要安排风险管理审计制度和注册会计师审计制度,风险管理审计和注册会计师审计的关系,也就表现在企业内外治理的协调上。
1. 当企业风险管理审计能够为公司内部治理有效运行提供保证时,企业始终处于不断自我完善和提升中,注册会计师的审计会为企业“锦上添花”,鉴证其报表的合法性和公允性,不仅降低了注册会计师审计风险,企业也会因注册会计师的年报审计而提升其声誉。
2. 当企业风险管理审计不能够为公司内部治理有效运行提供保证时,企业内部控制会因没有能力过滤企业经营风险,企业经营风险会没有阻碍地和控制风险一起加大企业财务报表风险,注册会计师审计风险增大。在这个过程中,如果注册会计师审计能够独立、客观地揭示出企业财务报表虚假,企业外部市场环境将更加恶化,市场选择将把企业推向更加艰难的境地;如果注册会计师审计不能够独立、客观地揭示出企业财务报表虚假,企业外部治理制衡机制将会因信息不对称而混乱,这反过来会加大企业的风险,这实质上揭示了如果企业内部缺乏识别和防范财务报表舞弊的内在机制,单靠企业外部的监督和治理,企业风险反而会增大。
相应,企业内外治理机制的协调也体现在风险管理审计和注册会计师审计的协调上,风险管理审计为注册会计师审计提供了了解、评价和管理风险的基础资料,注册会计师审计从外部鉴证了风险管理审计的效率。有时,企业的风险管理审计也会委托给注册会计师来提供。
50
五、结束语
针对企业出现财务舞弊以及管理层与大股东合谋造假、严重的内部人控制等问题,引入了风险管理审计,目的在于实践“制度的关键在于执行,执行的关键在于评价,评价的关键在于咨询”的公司治理命题。对应于注册会计师审计、对应于内部控制和风险管理的“监督”要素,风险管理审计是适应于企业内外公司治理制衡、内部控制和风险管理运行的内生性和外生性相协调的一种制度安排,这种制度安排通过评价、鉴证、咨询和报告职能来促使企业形成自我纠正、自我完善、不断提升的公司治理循环,有利于提高公司治理的效率。当然,在论述中涉及到内部控制、风险管理、公司治理、注册会计师审计以及风险管理审计关系的描述,尚有待于实证研究的跟进。
参考文献:
[1] 美国COSO. 企业风险管理——整合框架[S]. 2004.
[2] 英国IRM(风险管理学会),AIRMIC(保险与风险管理师协会),ALARM(全国公共部门风险管理论坛). 风险管理准则[S]. 2002.
[3] 澳大利亚,新西兰,AS/NZS 4360,风险管理准则[S]. 2004.
[4] 加拿大,CAN/CSA-Q850-97,风险管理指南[S]. 1997.
[5] 王晓霞. 企业风险审计[M]. 北京:中国时代经济出版社,2005.
[6] 卓继民. 现代企业风险管理审计[M]. 北京:中国财政经济出版社,2005.
[7] 中国内部审计协会. 内部审计在治理、风险和控制中的作用[S]. 北京:中国财政经济出版社,2004.
[8] 吉尔?所罗门,阿瑞斯?所罗门. 公司治理与问责制[S]. 大连:东北财经大学出版社,2006.
[9] Maijoor, S. (2000). The internal control explosion. International Journal of Auditing, 4, 101-109.
[10] Blokdijk, J. H. (2004). Test of control in the audit risk model: Effective? Efficient? International Journal of Auditing, 8, 67-78.
[11] ACCA. (2000). Turnbull, internal control and wider aspects of risk(commissioned by the Association of Chartered Certified Accountants’Social and Environmental Committee). London: Certified Accountants Educational Trust.
[12] Adams, C.A. (2002). Internal organizational factors influencing corporate social and ethical reporting: Beyond current theorizing. Accounting Auditing & Accountability, 15(2), 223-250.
Risk management auditing: An important system arrangement
LI Xiao-hui
Abstract: In order to make internal control, corporate governance and risk management adapt to the development of enterprises, as well as to inspire the enterprise to form a perfect internal control and risk management system, which can reduce finance frauds and corporate governance failures, this paper introduces risk management auditing. This system arrangement can help the enterprise come into a self-correcting, self-consummating, and upgrading corporate governance circulation. Furthermore, it can improve the efficiency of corporate governance through the functions of evaluation, certification, consultation and reporting.
Key words: risk management auditing; system arrangement; corporate governance
(责任编辑:Lucifer, Canny)
51
目录 第一章总则 (2) 第二章组织体系与职责分工 (3) 第三章风险辨识 (5) 第四章风险分析 (6) 第五章解决方案 (7) 第六章风险评估报告 (10) 第七章报告与预警 (11) 第八章风险与危机的处理 (11) 第九章监督与考核 (13) 第十章风险管控文化 (14) 第十一章附则 (14)
第一部分风险管控制度 第一章总则 第一条为建立规范、有效的风险控制体系,提高风险防范能力, 增强公司竞争力,保证公司安全、稳健、持续发展,提高经营管理水平,依据国家有关法律、法规,结合公司实际,制定本管理制度。 第二条本制度所称风险,是指未来的不确定性对公司实现其经营目标的影响,按类型可分为战略风险、财务风险、市场风险、运营风险、法律风险等。 第三条本制度所称风险管控,指公司围绕总体经营目标,通过在公司管理的各个环节和经营过程中执行风险管控的基本流程,培育良好的风险管控文化,建立健全全面风险管控体系(包括风险管控策略、风险管控措施、风险管控的组织职能体系、风险管控信息系统和内部控制系统),从而为实现风险管控的总体目标提供合理保证的过程和方法。 第四条公司开展风险管控力求实现以下风险管控总体目标: (一)确保将风险控制在与总体目标相适应并可承受的范围内; (二)确保内外部,尤其是公司与股东间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告; (三)确保遵守有关法律、法规及医药行业相关规定; (四)确保公司有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性; (五)确保公司建立针对各项重大风险发生后的危机处理计划,保护公司不因灾害性风险或人为失误而遭受重大损失。 第五条风险管控工作遵循以下原则: (一)全面性原则。风险控制应当贯穿决策、执行和监督全过程,覆盖公司及其所属单位的各种业务和事项。 (二)重要性原则。风险控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
全面风险管理体系建设的审计(大纲) (上海蓝草咨询) 一、风险管理治理架构的审计 风险治理与风险管理的关系。 全面风险管理组织架构的评价。 二、高级管理层、业务管理部门、风险管理部门履职审计 各部门管理人员能否将本部门风险工作与全面风险管理关联的评估。 审计案例:从管理部门的工作计划和总结入手,结合访谈,评价管理部门对条线风险管理的履职有效性。 对各类管理部门和业务部门(营业网点)风险管理履职审计重点。 三、风险管理制度的审计 制度的完备性、有效性,策略、偏好、限额的规定及评估。 审计案例:从制度清单入手,评价银行制度健全性和制度建设能力。 高级管理层的风险偏好及对风险限额的接受程度,对银行风险管理的影响评估。是否将高级管理层的意见转化为制度的评估。 四、风险管理制度执行机制的审计 从高层到普通员工,对制度权威性的认识评价。
管理部门和普通员工在制度执行的主动性评价。 审计案例:从大额贷款的审批评价某银行贷审委工作的有效性。 审计案例:透过现金调拨的具体流程,评价现金管理制度的执行。 五、相互制衡机制的审计 评估各类业务和部门间的边界是否清晰,评估上下机构间、横向部门间、各类人员间,是否建立了有效的相互制衡制约的机制。 案例:从某行员工信息的维护流程,评估该行在员工管理方面的重大隐患。 六、沟通机制的审计 风险管理为主题的沟通机制是否畅通。行领导是否为员工搭建良好的风险管理沟通交流平台。 各类机构和管理部门例会制度是否健全,例会工作内容对风险沟通机制的影响。单位(或部门)主管怎样通过例会平台鼓励风险管理事项的充分沟通。 报告途径是否畅通。 七、问责机制建设的审计 问责和考核机制的建立情况评估。 考核有效性评估。考核的维度分析评估。 八、信息系统和数据质量控制机制
北京股权交易中心 推荐机构会员申请机构 内部控制和风险控制制度及运作情况说明 一、内部控制制度及运作情况说明 (此处内控制度需要结合开展北京四板市场业务进行说明)
上图为我公司开展推荐企业客户挂牌新四板业务的总体流程图,具体为: 1.公司会根据北京四板特点,分析客户群体,针对客户群体的特点,指定推广渠道,一般包括活动营销、网络广告、老客户挖掘和校友推荐。 2.意向挂牌企业我公司提出推荐申请,我公司按流程要求客户提供相关申请材料,包括但不限于该企业经营证件复印件、租金合同复印件、近两年财务报表、股权架构介绍书。 3.通过实地的尽职调查,充分了解企业的经营状况,并分析企业特点。通过和企业高管沟通,了解企业发展理念和发展方向。然后形成详细的调查报告,上报风险部进行审查。 4.对于风险部审查通过的企业,按我公司规定进行签约,拟定挂牌方案。 5.我公司将该企业的挂牌方案及相关资料提交到北京股权交易中心进行审核。 6.北京股权交易中心审核通过后,该企业正式完成挂牌工作。 7. 对于已挂牌企业,我公司会组织定期的培训辅导工
作,以便企业完成自身股权结构的优化和调整,为吸引投资人和将来的并购重组打下坚实的基础。 二、风险控制制度及运作情况说明 北京四板挂牌的企业和新三板挂牌一样,目的是协助企业规范运营,从资本市场合理融资,做大做强,为了有效控制风险,金立德从外部(客户)和内部(自身流程)两方面完善风险控制制度 (一)客户选择 遵循以下原则:优先选择行业前景较好、技术水平较高、团队优秀、财务规范、税务风险低的企业。 (1)行业风险: 我公司认为行业的选择至关重要,选择长期趋势看好的新兴产业,在企业高速成长期前进入,以分享企业发展最为迅速的阶段,这类产业和投资标的即使短期投资成本有点高,长期趋势看仍然具有较好的投资收益。 根据我公司目前的规划部署,会将重点放在符合北京市城市中心职能发展方向的三个产业,分别是新能源、新材料和文化创意产业。 (2)技术风险 考虑到国内非常缺乏优秀的技术,技术风险的把握最难,需要团队有相应行业的经验和人脉,通过内部专家和外部专家综合分析企业的技术成熟度和国际竞争力。
如何开展风险管理体系审计 现代内部审计理论倡导以风险为导向。风险管理审计的提出已经好些年了,但实际工作中,又有多少审计部门会开展风险管理审计呢? 现代企业大多已经建立了风险管理机制,并且越来越依照COSO的企业风险管理整合框架来不断地完善。在市场不确定情况下,风险管理的好坏决定了企业生存和发展的时间。同时,各个专业领域的风险管理理论也越来越复杂,运用的数学知识和信息技术也越来越高级。企业内部审计不仅要及时发现具体经济事项存在的问题,还要以点带面,发现风险管理体系和机制中存在的缺陷。 因为风险管理涉及的范围广,涉及的专业知识多,内部审计部门往往先从风险管理体系下手,对其健全性和有效性进行评价。很多企业的监管机构或主管机构对企业的风险管理都提出过指导性意见,参考这些指导性意见,内部审计部门可以建立对风险管理的审计评价体系,而且内部审计部门可能还会被要求对其所在企业的风险管理进行评价。 一、风险管理体系审计的内容 2017年9月COSO新版《全球风险管理框架》,其中一个变化是五大要素的名称有所变化,原先的“风险治理
和文化、风险、战略和目标设定、执行中的风险、风险信息、沟通和报告、监控风险管理效果”改为了“治理和文化、战略和目标设定、绩效、审阅和修订、信息、沟通和报告”。既然是风险管理的五大要素,新版里的五大要素里竟然没有“风险”二字,其中肯定有它的道理,就跟国际内部审计协会定义内部审计那样,把“监督和评价”改为了“确认和咨询”。内部审计要想对风险管理体系做出评价,就要了解风险管理体系的内容是什么。 还有些审计部门把风险管理体系分为八大要素:治理环境、目标设定、风险识别、风险评估、风险应对、控制活动、信息与沟通、监控。这也是比较清晰的,适用本企业实际就好。 二、风险管理体系审计评价标准 这里的评价标准有两个,一个是监管或主管机构的指导意见,一个是所谓的同行行业相似企业的最佳实践。监管或主管机构的指导意见可参考性比较强,有的行业尤其是金融行业的监管机构指导意见也更加详细。内部审计部门往往依照监管或主管机构的指导意见构建自己的评价方法体系。有些发表的偏理论的文章所说的“双标分析法对风险管理体系进行审计评价,如何获取同行的最佳实践并且予以量化是很难实现的,况且同行业里各个企业的风
风险控制管理办法 第一章总则 第一条为保障公司股权投资业务的安全运作和管理,加强公司内部风险管理,规范投资行为,提高风险防范能力,有效防范和控制投资项目运作风险,根据《证券公司直接投资业务试点指引》等法律法规和公司制度的相关规定,特制定本办法。 第二条股权投资业务是指使用自有资金对境内企业进行的股权投资类业务。 第三条风险控制原则 公司的风险控制应严格遵循以下原则: (1)全面性原则:风险控制制度应覆盖股权投资业务的各项工作和各级人员,并渗透到决策、执行、监督、反馈等各个环节; (2)审慎性原则:内部风险控制的核心是有效防范各种风险,公司部门组织的构成、内部管理制度的建立要以防范风险、审慎经营为出发点; (3)独立性原则:风险控制工作应保持高度的独立性和权威性,并贯彻到业务的各具体环节; (4)有效性原则:风险控制制度应当符合国家法律法规和监管部门的规章,具有高度的权威性,成为所有员工严格遵守的行动指南;执行风险管理制度不能存在任何例外,任何员工不得拥有超越制度或违反规章的权力;
(5)适时性原则:应随着国家法律法规、政策制度的变化,公司经营战略、经营方针、风险管理理念等内部环境的改变,以及公司业务的发展,及时对风险控制制度进行相应修改和完善; (6)防火墙原则:公司与关联公司之间在业务、人员、机构、办公场所、资金、账户、经营管理等方面严格分离、相互独立,严格防范因风险传递及利益冲突给公司带来的风险。 第二章风险控制组织体系 第四条风险控制组织体系 公司应根据股权投资业务流程和风险特征,将风险控制工作纳入公司的风险控制体系之中。公司的风险控制体系共分为五个层次:董事会、董事会下设的风险控制委员会、投资决策委员会、风险控制部、业务部。 第五条各层级的风险控制职责 董事会职责:(1)审议批准风险控制委员会的基本制度,决定风险控制委员会的人员组成,听取风险控制委员会的报告;(2)审议单笔投资额超过公司资产总额30%,或者单一投资股权超过被投资公司总股本40%的股权投资项目;(3)决定公司内部风险管理机构的设置;
合规经营与风险控制管理制度 第一章总则 第一条为进一步规范公司治理结构,加强公司合规风险管理,增强自我约束能力,实现持续发展,制定本制度。 第二条本制度所称的合规,是指公司及其工作人员的经营管理和执业行为符合法律、行政法规、规章及其他规范性文件、行业规范和自律规则、公司内部规章制度,以及社会公认并普遍遵守的职业道德和行为准则(以下统称“法律、法规和准则”) 本制度所称的合规管理,是指公司建立合规组织架构、制定和执行合规制度,培育合规文化、防范和应对合规风险的行为。 本制度所称的合规风险,是指因公司及其工作人员的经营管理或执业行为违反法律、法规和准则而使公司受到法律制裁、被采取监管措施、遭受财产损失或者声誉损失的风险。 第三条合规风险管理是公司进行全面风险管理的一项核心内容,也是实施有效内部控制的一项基础性工作。合规管理应当覆盖公司所有业务、各个部门和分支机构、全体工作人员,贯穿决策、执行、监督、反馈等各个环节。
第四条公司建立健全合规风险管理制度,完善合规风险管理组织架构,明确合规风险管理责任,构建合规风险管理体系,有效识别并积极主动防范化解合规风险,确保公司稳健运营。 第五条公司设立合规总监,合规总监作为公司的合规负责人,是公司的高级管理人员,对公司及其员工的经营管理和执业行为的合法合规性进行审查、监督和检查。 合规总监分管法规风控部,独立履行合规管理职责。 公司设立法规风控部为公司合规管理部门,行使合规管理职能,同时行使风险监管职能。 法规风控部门独立于公司其他部门。 第六条公司各内部控制部门建立分工协作的关系,共同防范公司经营管理过程中的各类风险。 第七条合规人人有责,公司倡导和培育良好的合规文化,并将合规文化建设作为公司文化建设的一个重要组成部分。 合规从高层做起,公司董事、监事和高级管理人员的言行应与公司的宗旨和价值观念相一致。董事会和高级管理人员应在公司倡导并推行诚实守信的道德准则和价值观,努力培育员工的合规意识,推行主动
2017年度全面风险管理报告 【最新资料,WORD文档,可编辑修改】 2015年度全面风险管理报告 一、2011年度企业全面风险管理工作回顾 (一)企业全面风险管理工作计划完成情况 在上年开展企业全面风险管理工作基础上,进一步加强公司全面风险管理体系的建设,制订了公司全面风险管理制度和办法,公司根据上市要求和集团公司关于加强内部控制要求以及公司实际需要成立了审计部,审计部为全面风险管理的专职部门。按照集团公司要求,
结合公司的经营运作、岗位设置等实际情况,在全公司范围内对各部门积极开展全面风险管理的各项工作,各部门查找提出自身存在的风险点,并对其加以识别,再组织各部门领导汇总、归纳、整理出公司风险点,对其进行识别、评估,经过对风险成因分析,找出策略和解决方案。并将各类风险管理责任落实到相应部门及个人。编制了风险管理网络图,把公司所有风险点纳入到管理体系中。明确公司全面风险管理职责分工,相关问题由部门提出,专职部门提出审核意见,报总经理办公会讨论,进一步细化了各层级和各部门的职责分工。 从全年全面风险管理工作计划执行情况来看都较好的完成了目标任务,全年没有出现一般以上的风险因素,全面完成了公司经济效益和预算目标任务。 (二)企业重大风险管理情况 2011年公司全年整体运行良好,公司在不影响正常生产经营的前提下,采取多种措施,加大管理力度,出台一系列政策、办法、措施,有针对性的解决,把问题消灭在萌芽状态,坚决杜绝各类事故、问题的发生,通过对重大、重要风险辨识、评估,采取应对措施,对防止风险、稳定质量、提高效率、减少损失、增加效益,促进公司又好又快发展起到了积极作用。全年没有发生重大风险事故。 (三)重大风险管理解决方案的监督检查情况 通过对重大风险管理解决方案的实施情况进行监督,并对风险管理有效性进行检验。公司每年根据公司实际生产经营中存在的风险种类根据类别、轻重来重新划分等级或重点,有针对性的加以重点控制和管理,根据新发生风险的可能性采取措施,进行监督检查落实,以
***********公司风险管理审计办法 编号:TS-KP-XS-** 版本: 2013 编制:审计部 批准:董事会 2013年**月**日 ****************公司部控制体系
风险管理审计办法 目录:共九章 第一章总则 第二章风险管理审计的目标 第三章风险管理审计的思路 第四章风险管理审计的主要分类 第五章风险管理审计须遵循的原则 第六章风险管理审计的程序 第七章制定风险管理审计方案的主要容第八章风险管理审计取证的评价标准第九章审计报告 第一节整理审计发现的要求 第二节风险管理审计报告的容 第十章附则
第一章总则 第一条为了规部审计人员对公司全面风险管理的审查与评价行为,根据中国部审计协会《部审计具体准则第16号——风险管理审计》、公司部控制体系文件、《企业部审计制度》特制定本办法。 第二条本办法所称风险管理险审计又称风险审计或风险导向审计。风险管理审计(或风险审计)是指公司部审计机构根据公司全面风险管理的目标和政策,采用一种系统化、规化的方法对公司风险管理过程中的风险评估、风险应对和风险控制活动进行评价和测试,以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷,进而提高公司风险管理的效率和效果,保障企业战略目标的实现。 第三条本办法所称风险管理,是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受围的过程。风险管理旨在为公司目标的实现提供合理保证。 第四条本办法所称全面风险管理,是指公司围绕总体经营目标,通过在公司管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理风气,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。 第四条本办法适用******(以下简称“公司”)及所属各分公司、全资子公司的部审计工作,控股子公司的部审计部门参照执行。
运营风险管理控制制度(总6 页) -CAL-FENGHAI.-(YICAI)-Company One1 -CAL-本页仅作为文档封面,使用请直接删除
深圳盈富通投资管理有限公司 运营风险管理控制制度 第一章总则 第一条为保证公司规范、稳健的运作,牢固树立合法合规经营的理念和风险控制优先的意识,培养从业人员的合规与风险意识,营造合规经营的制度文化环境,保证公司及其从业人员诚实信用、勤勉尽责、恪尽职守,防范和控制公司经营及业务开展过程中的各类风险,根据《中华人民共和国证券投资基金法》、《私募投资基金监督管理暂行办法》、《私募投资基金管理人内部控制指引》等法律法规、规范性法律文件及相关监管要求制定本制度。 第二条本制度所称风险,是指对实现公司经营目标可能产生负面影响的不确定因素。 第三条本制度所称风险管理,是指围绕公司经目标,对日常经营和业务开展过程中的风险进行识别、评估、监测和控制的基本过程。 第二章基本原则 第四条风险管理应贯穿事前防范、事中监督、事后检查弥补的指导思想。 第五条风险管理的具体目标是: (一)确保公司的经营与业务开展严格遵守国家有关法律法规规章,监管机关的相关规定和公司各项规章制度。 (二)确保公司各项业务活动的健康运行和管理资产的安全完整。(三)在合理控制风险的基础上实现公司的长期可持续发展。(四)确保股东及客户的合法权益不受侵犯,维护公司的信誉及良
好形象。 第六条风险管理的基本原则: (一)全面管理与重点监控相统一的原则。建立覆盖所有业务流程和操作环节,能够对风险进行持续监控、定期评估和及时预警的全面风险管理体系,同时根据公司实际有针对性地实施重点风险监控,及时发现、防范和化解对公司经营有重要影响的风险。 (二)独立集中与分工协作相统一的原则。建立全面评估和集中管理风险的机制,保证风险管理的独立性和客观性,同时强化业务部门的风险管理主体职责,在保证风险管理职能部门与业务部门分工明确、密切协作的基础上,使业务发展与风险管理平行推进,实现对风险的过程控制。 (三)充分有效与成本控制相统一的原则。建立与自身经营目标、业务规模、资本实力、管理能力和风险状况相适应的风险管理体系,同时合理权衡风险管理成本与效益的关系,合理配置风险管理资源,实现适当成本下的有效风险管理。 第七条公司设有两道风控防线: (一)前台业务团队:对客户和公司负责,基于客户偏好、监管合规、内部风险偏好等要求主动设定和调整业务的行为,为风险控制负主要责任。 (二)风险管理职能部门:合规风控部门与业务部门相互独立,全面评估、监控与报告风险,审核关键业务,检视公司内控体系并推动内控流程与机制的优化,参与风险的处理,推动风险管理系统建设,对第一道防线实行独立监督与制衡。 第三章组织结构与职责分工
风险管理部规章制度 【篇一:某公司风险管理部工作职责和岗位分工】 风险管理部工作职责、权限和工作规范 一、部门职责 (一)业务审批和流程管理 1、参与贸易事项的予审批; 2、参与贸易合同的审批; 3、参与套期保值业务的审批; 4、对业务部门遵守公司业务流程的情况进行监督. (二)存货风险管理 1、不定期地现场核查存货; 2、跟踪存货减值并提出处置建议。 (三)授信管理和重要事项调查 1、对拟授信的客户进行调查和走访; 2、对新业务的客户进行信用和履约能力调查和评估; 3、对服务商(物流、仓储)进行信用和履约能力调查和评估; 4、对重大业务亏损、货款预期不能收回和合同履行中出现的其他重大业务过失的进行调查。 (四)货物保险管理 负责运输商品和库存商品的保险管理工作,包括: 1、制定和完善公司财产保险管理制度,监督财产保险管理制度的执行; 2、预选保险公司和保险经纪公司,负责与保险公司和保险经纪 公司签订长期服务合同; 3、保险业务的安排和保险索赔工作; 4、向保险公司和保险经纪公司的进行业务咨询; 5、指导下属公司的财产保险工作。 (五)制定和完善公司风险管理制度 1、制定和完善公司风险管理制度; 2、检查风险管理制度的执行情况。 (六)指导下属企业的风险管理工作 (七)负责公司法律风险管理和法律纠纷的处理 二、部门权限 (一)业务审批
1、有权要求业务部门对报送审批的业务和合同说明情况,补报资料。 2、对不符合要求的业务和合同有权提出意见,对于不按照风险管理 部意见操作的业务和起草的合同,有权提出否决意见。对于风险管 理部提出否决意见的业务和合同,任何人员和部门均无权执行和签 订合同。 3、对于套期保值方案有权提出意见,对于未按照套期保值方案操作 的业务,有权提出否决意见。 (二)存货风险管理 1、有权根据实际情况自行决定对存货进行现场核查。 2、对存货进行现场核查时,有权要求公司有关业务部门和职能部门 派员协助。 3、有权要求公司有关部门提供存货的有关数据和资料。 4、有权对存货管理的安全性提出意见。 (三)授信管理和重要事项调查 1、风险管理部对重要事项进行调查时,有权要求有关部门和人员应 当予以协助,有权要求有关部门和人员提供所有相关资料和如实反 映情况。 2、有权根据公司与仓储和物流企业的合作情况、企业的资信状况, 对仓储、物流企业的选择使用提出意见。 3、有权根据合同履行情况,定期评价有关客户资信。风险管理部对 客户的信用评价应当作为公司有关部门的业务决策参考。 4、对重大业务亏损、货款预期不能收回和合同履行中出现的其他重 大业务过失的进行调查后,有权提出处理意见。 5、因重大业务亏损、货款预期不能收回和合同履行中出现的其他重 大业务过失给公司造成损失,并已经查实责任的,应当作为有关部 门和人员奖惩、聘免的依据。 (四)货物保险管理 1、除保险公司和保险经纪公司的选择、以及重大保险事故的索赔之外,有权自行安排货物保险的各项管理工作。 2、有权指导货物的投保操作工作; 3、有权要求下属公司提供财产投保情况的数据和资料。 (五)制定和完善公司风险管理制度 1、有权调查公司风险管理制度的执行情况,被调查的部门和人员应 当予以配合。 2、有权完善自己权限范围内的各项风险管理制度。
银行风险管理审计
[摘要]风险管理审计是对传统审计方式的突破和创新,是融风险管理、审计为一体的新兴审计模式,本文对银行风险的界定及类型、银行风险管理审计存在的问题以及银行风险管理审计的优势等问题进行了阐述。[关键词]风险管理审计内部审计问题优势风险管理起源于20世纪60、70年代,20世纪80年代在金融、保险、制造业等行业的大企业有了发展,从风险管理内容的规范性来看当属银行和保险业。风险管理审计是在20世纪末2l世纪初,随着风险管理导向内部控制时代的来临,风险管理成为内部审计关注的重点。它不仅关注传统的内部控制,更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测评控制,而且包括确认风险及测试管理风险的方法,风险管理审计是内部审计发展的新阶段。一、银行风险的界定及类型1.银行风险的界定关于银行风险现有两种说法。一是指商业银行在经营中由于各种不确定因素而招致经济损失的可能性。二是指在货币经营和信用活动中,由于各种事先无法预料的不确定因素的影响,使银行的实际收益与预期收益发生背离,有蒙受经济损失或获得额外收益的双重机会和可能。本人同意第二个观点。银行风险存在于银行价值
链的每一个环节,可以说,银行自成立之日起就是在风险管理的过程中谋取收益的。对银行风险的正确理解须注意以下几点:(1)银行风险不等于银行损失。风险指的是发生不利或有利事件的可能性;而损失是消耗或丧失的东西,是原来不确定事件形成的一种事实。两者的着眼点不同,风险着眼于未来,损失着眼于现在和过去。(2)风险既是一种挑战又是一种机遇,它具有双重性。(3)它包含多层次风险内容且有动态性的范畴。多层次的风险包括法律风险、政策风险、决策风险和操作风险等。(4)商业银行风险更多的是经济运行中风险的反映,与经济主体的行为目标、决策方式和经济环境相联系,并不单纯是银行自身的问题。 2.银行风险的类型我国银监会制定并于2005年2月1日起实施的《商业银行内部控制评价试行办法》指出,商业银行的主要风险包括信用风险、市场风险(含利率风险)、操作风险、流动性风险、法律风险以及声誉风险等。从实践来看,对于银行影响比较大的风险主要有四种:信用风险、操作风险、市场风险和流动性风险。二、内部审计在风险管理中的定位、职责与作用内部审计是一种独立、客观的确认与咨询活动,它通过应用系统的、规范的方法,评价并改善风险、控制和治理过程的效果,帮助组织实现其目标。由于其自身的特点,内部审计参与风险管理拥有一定的优势。内部审计部门和人员熟悉本单位情况,对单位面临的风险更了解;内
运营风险管理办法 第一章总则 第一条为了防范、控制和化解公司在复杂多变的经营环境中,随时可能发生或出现的风险与危机, 保证公司战略目标的实现和公司经营的持续、稳定、健康发展,根据《公司法》、《企业内 部控制基本规范》、《中小企业板上市公司内部审计工作指引》和其他有关法律法规,结合 公司实际情况,特制订本办法。 第二条本办法适用于公司各部门及各子公司的风险管理工作。 第三条本办法所称风险,是指在公司未来发展过程中,各种不确定性对公司实现其战略及经营目标 的影响。 第四条本办法中所称全面风险管理,是指公司围绕战略目标,通过在管理的各环节和经营过程中 执行风险管理的基本流程,培育良好的风险管理文化,建立健全风险管理体系,为实现风 险管理的总体目标提供保证的过程和方法。 第二章风险管理的目标、原则与框架 第五条公司风险管理的总体目标: (一)保证经营的合法合规及公司内部规章制度的贯彻执行; (二)保证将风险控制在与总体目标相适应并可承受的范围内; (三)确保公司建立针对各项重大风险发生后的危机处理计划,保护公司不因灾害性风险或人为失误而 遭受重大损失; (四)保证公司内外部,尤其是公司与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可 靠的财务报告; (五)形成良好的风险管理文化,使全体员工强化风险管理意识。 第六条公司风险管理应当遵循全面、重要、合理、制衡、独立的原则,确保风险管理的有效性。(一)全面性:风险管理应当做到事前、事中、事后控制相统一;覆盖公司的所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节,确保不存在风险管理的空白或漏洞。 (二)重要性。风险管理应当在全面风险管理的基础上,关注重要业务事项和高风险领域。 (三)合理性:风险管理应当符合国家有关法律法规的有关规定,与公司经营规模、业务范围、风险状 况及公司所处的环境相适应,以合理的成本实现风险管理目标。 (四)制衡性:风险管理应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监
操作风险审计管理规定 第一条为加强公司操作风险管理,发挥内部审计在案件防控中的作用,根据《北京银监局关于印发〈关于提高操作风险内部审计工作有效性的指导意见〉的通知》(大银监发[2007]426号文件)等相关要求及公司《审计工作管理规定》制定本规定。 第二条本规定所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件给公司造成损失的风险。 第三条操作风险审计遵循以下原则: (一)独立性原则。审计部独立开展操作风险审计,不受其他部门和人员等外在因素的影响和干扰。 (二)统一性原则。审计部对操作风险审计实行统一管理,保证操作风险审计工作的一致性。 (三)有效性原则。公司应保证操作风险审计的有效性,以提高对公司各项业务操作风险的防控能力。 第四条操作风险审计目标 保证公司操作风险政策、规定、要求的贯彻、执行;审查、评价并改善系统内操作风险的管理;提升操作风险管控能力,提高案件堵截率,降低案件发生率,促进公司业务的健康发展。 第五条审计机构设置及职责 公司设立审计部,独立开展操作风险内部审计工作,向董事会、审计委员会报告工作,在操作风险管理方面的主要职责为: (一)监督公司操作风险管理政策、制度的制定、执行情况; (二)监督风险管理部门履职情况; (三)开展操作风险审计,促进各部门加强操作风险管理。 (四)对公司贯彻落实监管部门有关案件防控要求情况进行监督。 第六条操作风险审计主要内容 (一)公司操作风险管理相关政策、制度、流程制定情况; (二)风险管理部门履职情况; (三)轮岗、强制休假、离任审计等制度执行情况; (四)不兼容岗位分离、对账等操作风险防范措施执行情况; (五)其他与操作风险管理有关的情况。 第七条操作风险审计在风险评估基础上确定审计重点和频率。轮岗、强制休假、离任审计及对账等情况应每季度审计一次。其他相关情况至少每半年审计一次。 第八条操作风险审计程序及后续处理按照《审计工作管理规定》执行。 第九条审计部应按季向管理层及审计委员会汇报操作风险内部审计工作情况。 第十条审计部应就以下事项向监管部门报告或备案:
上海蓬赢资产管理有限公司 运营风险控制制度 第一章目标和原则 第一条 公司制定本制度旨在保护特定客户资产委托人的合法权益,促进公司特定 客户资产业务的规范发展,有效防范和化解风险,防范利益输送及其他有损害 特定资产客户利益的行为。 公司特定资产风险控制的总体目标是:保证公司特定资产运作严格遵守国 家有关法律法规和资产管理合同规定;确保特定资产的稳健运行和受托财产的 安全完整,防范和化解风险,防范可能存在的利益输送行为,确保公平对待公 司所管理的各类资产。 第二条 特定资产管理内部控制应当遵循的原则: 合法性原则 公司应在合法合规的前提下签署资产管理合同,忠实履行合同义务,特定 客户资产管理运作应与资产管理合同和委托人的收益目标和风险承受度相一致,充分依据资产管理合同规定构建投资组合。 健全性原则 风险控制必须覆盖特定客户资产管理的各个环节和各级人员,渗透到决策、执行、监督、反馈等各个经营环节。 独立性原则
公司设风险控制委员会、督察长和监察稽核部,各风险控制机构和人员具 有并保持高度的独立性和权威性,负责对公司各部门风险控制工作进行监察和 稽核。 防火墙原则 特定资产管理部应与公司各机构、部门和岗位保持相对独立,公司自有资 产与私募基金、特定客户资产等各类不同资产的运作应当严格分离,分别独立 运作。 公平原则 公司应当恪守职责、履行诚实信用、谨慎勤勉的义务,杜绝利益输送行为,通过完善相关制度、流程,在公平的基础上使特定客户资产的投资管理可以充 分利用公司既有的行政、系统、研究资源,同时防范公司其他资产向特定客户 资产输送利益,保证公平对待各类投资者。 第二章公司内控风险控制架构与流程 第三条 公司设风险控制委员会。风险控制委员会的主要职责是根据公司相关制度 规定,对公司经营管理的全过程进行风险控制。风险控制委员会由公司执行董事、特定资产管理部经理、风控合规部总督导、投资研究部经理、市场部经理 组成,风控合规部总督导任风险控制委员会主任。 风险控制委员会负责制定公司内控制度并执行;对公司运作中存在的风险 问题和隐患进行研究并作出控制决策;负责听取各部门风险情况汇报,对潜在 的风险问题提出解决建议,并部署相关的风险解决方案。 第四条 公司设督察长。督察长负责组织指导公司监察稽核工作。督察长履行职责 的范围,应当涵盖基金及公司运作的所有业务环节。督察长对执行董事负责,
XXX有限公司 风险控制管理制度 第一章总则 第一条为保障XXX有限公司(下称“公司”)期货投资运营的安全运作和管理,加强公司及所管理期货投资的内部风险管理,规范期货运营和投资行为,提高风险防范能力,有效防范与控制期货运营和投资项目运作风险,根据《中华人民共和国证券法》、《XXX管理办法》、《XXX监督管理暂行办法》和《公司法》等法律法规及《公司章程》的有关规定,由合规风控部起草,经风险控制委员会和总经理审核,并由执行董事批准,特制定本制度。 第二条本办法所称风险控制,是指对期货的各种投资风险进行识别、评估,并在期货金投资中实施动态风险监控,提出解决方案。 第三条风险控制原则 (一)全面性原则:风险控制制度应覆盖期货投资业务的各项工作和各级人员,并渗透到资金募集、投资研究、投资运作、决策、执行、运营保障、监督、反馈、信息披露等各个环节,确保不存在内部控制的空白或漏洞; (二)审慎性原则:内部风险控制的核心是有效防范各种风险,公司部门组织的构成、内部管理制度的建立要以防范风险、审慎经营为出发点; (三)独立性原则:风险控制工作应保持高度的独立性和权威性,并贯彻到基金运营和业务的各具体环节; (四)相互制约原则:公司部门和岗位的设置应当权责分明、相互牵制;前台业务运作与后台管理支持适当分离。 (五)执行有效原则:风险控制制度应当符合国家法律法规和监管部门的规章,具有高度的权威性,成为所有员工严格遵守的行动指南;执行风险管理制度不能存在任何例外,任何员工不得拥有超越制度或违反规章的权力; (六)适时性原则:应随着国家法律法规、政策制度的变化,公司经营战略、经营方针、风险管理理念等内部环境的改变,以及公司业务的发展,及时对风险控制制度进行相应修改和完善;
关于对XX银行 科技信息风险管理进行专项审计的报告(模板) 为有效防范、控制、化解利用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进XXX农村信用社安全、持续、稳健发展,根据《商业银行内部控制指引》、《商业银行信息科技风险管理指引》和有关信息系统管理的法规、XXX联社审计部根据市审计中心审计工作的安排,对本联社的科技信息风险管理进行了专项审计,现将审计情况报告如下: 一、基本情况 略。 二、审计依据 银监会《商业银行信息科技风险管理指引》、银监会《商业银行数据中心监管指引》及省联社信息科技相关制度和本联社信息科技相关管理文件。 三、组织架构、制度建设及管理情况 1、信息科技治理组织架构 (1)县联社董事会下设科技信息安全管理委员会,信息安全管理委员会下设应急处理领导小组。 科技管理委员会负责统一规划全社的信息化建设,指导和监督科技部门的各项工作,审议全社计算机网络的设计方案、软件项目招标、设备招标和统一采购及日常管理中重大问题的研究和建议。
信息系统应急处理领导小组负责组织制定全辖应急处置的实施细则,统一组织、协调、指导、检查全辖应急处置的管理;负责全辖信息系统突发事件的应急指挥、组织协调和过程控制 (2)成立了科技部,加强了科技运维信息治理。 (3)科技风险审计工作由联社稽核审计部完成。 2、信息科技管理制度 (1)安全管理 对安全管理活动中的各类管理内容,依据省联社相关制度建立安全管理制度,制定了由安全策略、管理制度、操作规程等构成的全面的信息安全管理。安全管理制度审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订,并有修订记录 (2)事件管理 制订了安全事件报告和处置管理制度—《信息安全事件管理制度》明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责,并根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对安全事件进行等级划分,制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置方法等,并对发现的安全弱点和可疑事件有《异常情况上报规定》(3)应急处理 建立较为完善的信息系统应急恢复策略《河北省农村信用社联合社计算机信息系统应急处理方案》,对各业务信息
***********公司 风险管理审计办法 编号:TS-KP-XS-** 版本: 2013 编制:审计部 批准:董事会 2013年**月**日 ****************公司内部控制体系
风险管理审计办法 目录:共九章 第一章总则 第二章风险管理审计的目标 第三章风险管理审计的思路 第四章风险管理审计的主要分类 第五章风险管理审计须遵循的原则 第六章风险管理审计的程序 第七章制定风险管理审计方案的主要内容第八章风险管理审计取证的评价标准 第九章审计报告 第一节整理审计发现的要求 第二节风险管理审计报告的内容 第十章附则
第一章总则 第一条为了规范内部审计人员对公司全面风险管理的审查与评价行为,根据中国内部审计协会《内部审计具体准则第16号——风险管理审计》、公司内部控制体系文件、《企业内部审计制度》特制定本办法。 第二条本办法所称风险管理险审计又称风险审计或风险导向审计。风险管理审计(或风险审计)是指公司内部审计机构根据公司全面风险管理的目标和政策,采用一种系统化、规范化的方法对公司风险管理过程中的风险评估、风险应对和风险控制活动进行评价和测试,以识别、预警和纠正公司在实施风险管理过程中可能存在的不适或缺陷,进而提高公司风险管理的效率和效果,保障企业战略目标的实现。 第三条本办法所称风险管理,是指一套由董事会和经营管理层共同设立、与企业战略相结合的管理流程。它的功能是对影响公司目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为公司目标的实现提供合理保证。 第四条本办法所称全面风险管理,是指公司围绕总体经营目标,通过在公司管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理风气,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。 第四条本办法适用******有限公司(以下简称“公司”)及所属各分公司、全资子公司的内部审计工作,控股子公司的内部审计部门参照执行。 第二章风险管理审计的目标 第五条风险管理审计的总体目标是依据公司战略目标和风险管理政策,评价公司是如何通过实施风险管理从而实现企业各类管理目标的,进而评价公司风
运营风险管理控制制度 __________________ 投资管理有限公司 运营风险管理控制制度 第一章总则 第一条为保证公司规范、稳健的运作,牢固树立合法合规经营的理念和风险控制优先的意识,培养从业人员的合规与风险意识,营造合规经营的制度文化环境,保证公司及其从业人员诚实信用、勤勉尽责、恪尽职守,防范和控制公司经营及业务开展过程中的各类风险,根据《中华人民共和国证券投资基金法》、《私募投资基金监督管理暂行办法》、《私募投资基金管理人内部控制指引》等法律法规、规范性法律文件及相关监管要求制定本制度。 第二条本制度所称风险,是指对实现公司经营目标可能产生负面影响的不确定因素。 第三条本制度所称风险管理,是指围绕公司经目标,对日常经营和业务开展过程中的风险 进行识别、评估、监测和控制的基本过程。 第二章基本原则 第四条风险管理应贯穿事前防范、事中监督、事后检查弥补的指导思想。 第五条风险管理的具体目标是: 1、确保公司的经营与业务开展严格遵守国家有关法律法规规章,监管机关的相关规定和公司各项规章制度。 2、确保公司各项业务活动的健康运行和管理资产的安全完整。 3、在合理控制风险的基础上实现公司的长期可持续发展。 4、确保股东及客户的合法权益不受侵犯,维护公司的信誉及良好形象。 第六条风险管理的基本原则: 1、全面管理与重点监控相统一的原则。建立覆盖所有业务流程和操作环节,能够对风险进 行持续监控、定期评估和及时预警的全面风险管理体系,同时根据公司实际有针对性地实施 重点风险监控,及时发现、防范和化解对公司经营有重要影响的风险。 2、独立集中与分工协作相统一的原则。建立全面评估和集中管理风险的机制,保证风险管 理的独立性和客观性,同时强化业务部门的风险管理主体职责,在保证风险管理职能部门与 业务部门分工明确、密切协作的基础上,使业务发展与风险管理平行推进,实现对风险的过程控制。 3、充分有效与成本控制相统一的原则。建立与自身经营目标、业务规模、资本实力、管理 能力和风险状况相适应的风险管理体系,同时合理权衡风险管理成本与效益的关系,合理配置风险管理资源,实现适当成本下的有效风险管理。
浅谈风险管理审计的应用实践 袁 园 (湖南新五丰股份有限公司 审计部,湖南 长沙 410005) [摘要]在风险管理审计中,应建立内部审计信息平台,广泛收集风险因素,确定风险管理审计重点和要点。对 被审计单位风险管理的测试,应按照《中央企业全面风险管理指引》的要求,明确需要测试的内容,建立相应的测试标准,评价被审计对象风险管理范围和风险评估标准的合理性,评价被审计单位的风险识别、风险分析、风险评价功能,评价被审计单位的风险管理措施和风险监管系统的功能,评价被审计单位的风险预警功能,以判断被审计单位的风险预警系统的合理性与有效性。 [关键词]风险管理;审计;应用实践[中图分类号]F239.4 [文献标识码]B [收稿日期]2012-11-12 随着当今技术经济的飞速发展,企业面临的风险日趋多样化,与之相对应,企业管理层也越来越重视风险管理,我国于2006年6月,由国资委出台《中央企业全面风险管理指引》,旨在推进与强化大型国有企业的风险管理制度建设。内部审计将促进企业的风险管理作为自身的主要职责,但是,如何在风险管理流程中,履行监控和评价的控制职能,大多数企业的内部审计人员仍然处于摸索阶段。 一、内部审计在风险管理中的作用及流程简述 风险管理是企业的决策层及经营层的职责,内部审计只对企业的风险管理程序的健全性及执行的有效性进行测试及评估,对制度、程序、应对措施的不足进行风险提示。 内部审计在风险管理中的作用表现在三个方面,一是鉴别风险;二是区分可控制的风险;三是指出缺乏控制或过度控制的区域并提出建议。 内部审计了解被审计对象面临的风险,是进行风险鉴别的起点。企业面临的风险,基本上可以划分为系统风险和特有风险,系统风险是指在市场经济条件下,同一行业所共同面对的风险,一般与人文、地理、法律、法规、财政政策、 技术进步等宏观因素有关,企业无法改变也无可避免,只能通过内部调整来加以适应;特有风险,是指某一单个企业因自身特点所面临的独有风险,按实体内容包括营销风险、财务风险、产品开发风险、组织机构风险、内部控制风险等。 内部审计应针对审计对象广泛收集风险因素,进行筛选和分析,得出影响企业经营目标实现的重大不确定因素,视为企业应该予以管理的风险,做为评价企业风险管理范围的恰当性的主要参考指标。 内部审计人员应将审计独立分析的结果与企业已经关注并实施管理的风险进行比对,根据风险审计的重要性理论,参照企业风险管理方 针、政策,按风险管理目标的要求,运用专业方法对审计对象风险范围、 识别、评析、管理等方面进行查证和鉴别,对风险管理及处理方法的合理性和有效性做出评价。 二、风险管理审计的具体应用 (一)建立内部审计信息平台,广泛收集风险因素掌握丰富的信息资源是准确把握风险管理审计重点的前提条件。我们的作法是针对公司总部及下属分、子公司,以审计对象为单元,建立审计信息平台,按季度定期收集相关风险信息,信息平台由四部分构成:一是基本信息栏。组织形式、 主导产品及特点、行业背景、政策影响、经营理念、发展战略等;二是历史审计信息栏。历年的审计范围及方法、审计发现的问题及整改情况、内部控制评价结论、历次审计提示的风险等;三是当前信息栏。经营信息(收入、成本、费用、资产、负债等);绩效评价信息(财务效益状况、资产营运状况、发展能力、营销能力)等;四是风险管理信息栏。战略风险对企业的影响(宏观经济运行、行业状况、国家产业政策趋势及变化、技术及创新、市场需求、 上下游客户关系、竞争对手情况及差距等);市场风险信息(产品价格及供需、主要客户的信用、能源及原材料供应关系、税收利率汇率的变化等);运营风险信息(新产品开发、市场开发与营销、管理层专业背景及经营能力、专业技术人员结构等)、法律与道德方面的风险信息(影响企业的新法律和政策、员工的道德及操守、重大法律纠纷及诉讼情况、知识产权情况)等。 审计信息平台动态更新,在实施风险审计前,审计人员可以充分了解及预测被审计单位经营过程中的风险因素,为实施现场审计筛选审计重点及要点打下坚实的基础。 (二)确定风险管理审计重点和要点1.基本风险因素分析 (1)主要经营者的管理能力及道德水平。对管理能力 第2012年第12期(总第411期) 商业经济 SHANGYE JINGJI No.12,2012Total No.411 [文章编号]1009-6043 (2012)12-0098-0298--