企业风险管理框架(精选12篇)
企业风险管理框架 篇1
一、企业风险管理框架的介绍
1. 企业风险管理框架的定义
企业风险管理框架是一个由企业的董事会、管理层和其他员工共同参与的, 应用于企业战略制订并贯穿于企业内部各个层次和部门的, 用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的, 为企业目标的实现提供合理保证的过程。这个定义直接关注企业目标的实现, 并且为衡量企业风险管理的有效性提供了基础。
2. 企业风险管理框架的构成要素
企业风险管理框架分为内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控8个相互关联的要素。这8个要素源于管理层经营企业的方式, 并与管理过程整合在一起, 贯穿在企业的管理过程之中。
(1) 内部环境
内部环境体现了整个企业的特征, 影响到企业员工的风险意识, 是其他所有企业风险管理构成要素的基础, 它对其他要素进行约束并且提供框架。企业的内部环境不仅影响企业战略和目标如何制订、经营活动如何组织以及对风险的识别、评估和应对, 还影响企业的控制活动、信息和沟通体系, 以及监控活动的设计和运行。
(2) 目标设定
任何企业都面临来自内部和外部的一系列风险, 设定目标是企业进行有效地事项识别、风险评估和风险应对的前提。根据企业设定的任务或期望, 管理层制订企业的战略目标, 选择战略目标并确定其他与之相关的目标在企业内进行层层分解和落实。其他相关目标是指除战略目标之外的其他三个目标, 即经营目标、报告目标、合规目标, 它们的制订应与企业战略相联系。
(3) 事项识别
不确定性的存在, 使得企业管理层需要识别影响企业战略实施成功和影响企业目标实现的潜在事项。潜在事项对企业可能有正面影响、负面影响或者两者同时影响。对企业带来负面影响的事项代表风险, 管理层应当进行评估和采取措施。具有正面影响的事项代表机会, 管理层应将其反馈到企业战略制订和目标设定过程之中, 以确保相关行动抓住机会。
(4) 风险评估
风险评估可以使管理层了解潜在的事项如何影响企业目标的实现。管理层应从两个方面对风险进行评估——风险发生的可能性和影响。首先, 应对企业的固有风险进行评估, 确定企业对固有风险的风险反应模式, 才能够确定对固有风险的管理措施。其次, 管理者应在对固有风险采取有关管理措施的基础上, 对企业的剩余风险进行评估。
(5) 风险应对
在评估了相关风险之后, 管理层应该决定如何应对风险。风险应对可以分为规避风险、降低风险、分担风险和承受风险四类。规避风险指采取措施退出会给企业带来风险的活动。降低风险指采取措施减少风险发生的可能性, 减少风险对企业的影响或两者同时减少。分担风险指通过转移风险或与他人共担风险, 减少风险发生的可能性或减少风险对企业的影响。承受风险则是不采取任何行动而接受可能发生的风险及其带来的影响。
(6) 控制活动
控制活动是确保管理层的风险应对方案得到正确执行的相关政策和程序。控制活动贯穿于整个组织, 遍及于企业的各个层面和各个职能部门, 具体包括批准、授权、验证、调节、确认、业绩评价、资产保全和职责明确, 通常包括两个要素:确定应该做什么样的政策和确定影响该政策的一系列程序。
(7) 信息与沟通
企业需要识别和记录有关企业管理的外部事项和内部事项的信息, 并将信息以适当的方式在规定的期限内传达到企业员工, 用于实施企业风险管理和其他任务。信息系统将企业内部产生的数据资料和外部事项、活动、状况等信息, 提供给企业风险管理决策使用。通过在组织内上、下级之间的信息传递, 产生有效沟通。
(8) 监控
对企业风险管理的监控是评估风险管理要素的运行, 以及一段时期的执行质量的过程。企业可以通过持续的监控活动、个别评价或者两者相结合来对风险管理进行监控。持续监控贯穿于企业正常的、反复的经营活动之中。持续监控被实时地执行, 动态地应对变化的情况, 并且植根于企业之中。个别评价则主要是根据评估风险的性质和程度, 以及持续的监控过程来确立。
3. 解读企业风险管理模型
企业目标是管理层力图实现的目的, 企业风险管理的构成要素则意味着需要何种条件来实现企业目标, 两者之间有着直接关系。这种关系可以通过一个三维矩阵 (图1) 体现出来。
矩阵顶部的方格体现了企业风险管理的四项目标:战略目标, 经营目标, 报告目标和合规目标。同以前的模型相比, 增加了一个全新的并且至关重要的战略目标。横向的8个方格代表了为实现企业的四个目标所需要的8个要素。从顶部到底部, 这8个组成要素以内部环境开始, 到监控结束, 他们之间具有明确的逻辑顺序联系。企业在确定目标、识别事项、评估风险、应对风险之前需要了解自身对风险的偏好来确定内部环境。剩下一侧的方格则概括了不同层次、不同水平的组织, 从企业整体层、职能部门层、经营单元层到附属子公司层。当然对于不同的企业规模和企业结构, 这个模型需要调整, 而且在中小企业中这个模型的应用可能会不太规范。
二、企业风险管理框架对内部控制整合架构的突破
1. 引入新的风险度量概念
针对企业目标实现过程中所面临的风险, 风险管理框架对企业风险管理框架提出风险偏好和风险容忍度两个概念。风险偏好是企业在实现其目标的过程中所愿意承受的广泛意义的风险的数量。企业的风险偏好在企业的战略制订和相关目标的选择中起到指向标的作用。企业在制定战略时, 应考虑将战略的既定收益与企业的风险偏好结合起来, 其目的在于帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。
风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是企业在目标实现的过程中对差异的可接受程度, 是企业在风险偏好的基础上设定的对相关目标实现的过程中所出现差异的可容忍限度。在确定各目标的风险容忍度的过程中时, 管理层应考虑相关目标的重要性, 并使风险偏好与风险容忍度相协调。
风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法。框架在风险度量的基础上有利于企业的发展战略与风险偏好相一致, 使经营增长、风险与收益回报相联系, 进行资本分配及利用风险信息支持业务决策流程。其目的在于帮助董事会和高级管理层, 实现全面风险管理的四项目标。
2. 拓展风险管理要素
企业风险管理框架新增了三个风险管理要素——将风险评估扩展为事项识别、风险评估和风险应对。这不是对风险评估进行简单细化, 而是意味着企业风险意识日益增强和积极主动地管理风险。也就意味着企业风险管理框架强调应对所有事件, 包括对正面事件和负面事件进行综合识别, 并且将其以适当的组合方式加以看待, 而后通过对固有风险和剩余风险的综合评价做出适当的风险应对措施。这样一方面可以减少经营偏差的发生及相关的成本和损失;另一方面有利于企业抓住机会, 及时调整策略, 以达到经营和盈利目标, 避免资源浪费。
企业风险管理框架的实施形成了清晰的风险管理流程:目标设定—事项识别—风险评估—风险应对—控制活动。而且这一流程处于企业内部环境提供的规则和结构的背景下, 借助于信息与沟通及监控的执行。针对企业将管理的重心移至风险管理, 风险管理框架更加深入地阐述了其他要素的内涵, 对其他要素的分析更加深入, 并扩大了相关要素的范围。
3. 提出全新的风险管理观念
企业风险管理需要管理者建立一种企业整体层面上的风险组合观。风险管理框架借用现代金融理论中的资产组合理论, 提出了风险组合与整体管理的观念, 要求企业管理层以风险组合的观点看待风险, 对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。在风险评估方面体现为, 要求各业务单位、职能部门、生产过程或相应的其他活动的各层管理者对其负责的部门或单位的风险应进行复合式评估。而企业高层管理者也应从企业整体层面上考虑相互关联的风险和企业的总风险。
对企业内每个组织而言, 其风险可能落在该组织的风险容忍度范围内。但从企业总体来看, 总风险可能超过企业总体的风险偏好范围。这就要求从企业层面上整体把握分散于企业各层次及各部门的风险, 以统一考虑风险对策, 防止分部门分散考虑应对风险, 统筹制定风险管理方案。因此, 企业应从总体的风险组合的观点看待风险。
4. 扩大内部控制的目标
针对内部控制整合架构对企业战略目标管理方面关注不够的缺陷, 企业风险管理框架在目标设定中增加了战略目标, 使企业在追求短期利益的同时, 从战略高度关注企业的长远目标和可持续发展目标。该目标的层次比其他三个目标更高。风险管理既应用于实现企业其他三类目标的过程中, 也应用于企业的战略制订阶段。特定的战略目标虽然可以通过不同的战略来实现, 然而不同的战略会给企业带来不同的风险。因此, 战略制订和风险偏好存在直接关系。在考虑达成战略目标的具体目标时, 管理层要鉴别与战略的相关风险, 并且要考虑对这些风险应对措施的运用。如果与某个战略的相关风险和企业风险偏好不一致, 那么企业的战略就应当修正, 从而使企业处于风险偏好之内。这就是风险管理整体框架与内部控制整体架构的区别, 也是风险管理整体框架与其他风险管理的重要区别。
此外, 风险管理整体框架中的财务报告目标范围有所扩大。风险管理整体框架将财务报告的可靠性发展为报告的可靠性。内部控制整体架构将财务报告的可靠性界定为:编制可靠的公开财务报告, 包括过期的和简要的财务报告, 以及从这些财务报告摘出的数据。风险管理整体框架则将报告拓展到:内部的和外部的报告、财务的和非财务的报告, 该目标涵盖了企业编制的所有报告。
5. 明确内部控制责任关系
企业风险管理框架中增加了风险经理角色。他与企业内其他管理者一起, 在各自的职责范围内建立并维护有效的风险管理框架。他也负有帮助其他管理人员在企业内向各个方向报告有关风险信息的职责。企业风险管理框架要求内部审计人员通过对管理者的风险管理过程的恰当性和有效性进行监控, 并提出建议来帮助管理者, 以咨询顾问的身份介入风险管理的过程。这也相应地促进了内部审计理论与实务的发展。
企业风险管理框架认为企业的每个成员都应对风险管理承担责任, 并进一步划分了责任主体的等级:董事会在风险管理中扮演更加重要的角色——总体责任, 并要求变得更加谨慎应对风险。企业风险管理的成功与否主要依赖于董事会, 因为董事会确立企业的风险偏好;在企业风险管理中, 执行总裁负有首要责任, 并应对所有风险负责, 其他经理人员则起支持作用;其他的企业人员负有按确立的指示和协议执行企业风险管理的责任。另外, 企业外部利益相关者如客户、供应商、商业伙伴、外部审计师、监督者和财务分析员经常提供影响企业风险管理的有用信息。虽然他们并不为企业风险管理负责, 但却是企业实施风险管理必须考虑的因素。理所当然, 正是因为风险管理框架有了许多新的突破, 它给风险管理工作提出了新的要求。
6. 丰富内部控制的内涵
在内部控制整合架构中内部控制被定义为一个受董事会、经理层和其他人员影响的过程, 提出内部控制是为了实现三个目标, 即:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。该定义明确了以下要点:内部控制是个受人影响的过程;内部控制过程的设计是为了提供实现内部控制目标的合理保证。这个定义比较宽泛, 从某些角度来说, 也存在片面性。
而企业风险管理框架则更加明确了对风险管理和资本保全概念的运用, 并将纠正错误的管理行为明确地列为控制活动之一。在内部控制整合架构所明确的要点基础上, 企业风险管理框架进一步明确了以下内容:内部控制应用于战略规划制订;内部控制贯穿在整个企业的所有层级和单位;内部控制的目的在于识别影响企业的事件并在企业的风险偏好范围内管理风险。由于风险管理框架提出了风险偏好、风险容忍度等概念, 使得企业风险管理的定义更加明确、具体, 同时又涵盖了内部控制所有合理的内容。风险管理框架其实是内部控制整合架构的一个发展, 并将取代内部控制整合架构。新框架从战略上以更系统、全面的理念来阐述内部控制, 框架中的风险管理概念不同于以往的风险管理概念, 它是一个被特定化的广义内部控制概念。
三、企业风险管理框架与公司治理
1. 企业风险管理框架将控制由事中及事后延伸到事前
企业风险管理框架以风险为框架的核心, 风险是企业目标无法实现的可能性, 也是一种障碍。公司治理的目标则是保证决策的有效性, 有效的决策必须基于对不确定性有准确的判断。而风险管理框架提供的多种针对风险的方法, 能够提高决策的有效性, 把控制由事中及事后延伸到决策前。
在过去风险管理往往是零散的和自下而上推动的, 而企业风险管理框架要求一个自上而下的方式。由于高层管理者对财务报告的缺陷负有责任, 他们对使用企业风险管理框架自上而下的管理风险, 并在持续的经营中取得更大的股东权益具有极大兴趣。管理层从会计错误中规避风险, 并从遵循企业风险管理框架中获得更大的收益。财务管理人员通过努力遵循内部控制条例和投资来加强风险管理。他们能够从一个复杂的、代价高昂的与强制性的过程中取得相当大的收益。高层管理者需要在企业中强有力的支持企业风险管理框架来灌输对风险管理的责任感。
以风险为导向考虑公司治理, 能提高治理效率。公司治理机制包括监督机制和激励机制, 以风险为导向判断监督的重点, 以及衡量业绩能够提高监督机制和激励机制的效益。在公司治理实务中, 风险管理的重要性日益突显。特别在大型的企业, 其面临的外部环境更为复杂, 为了防患于未然, 在公司治理实务中更加注重风险。风险管理框架将内部控制扩展到风险管理这一广义的控制领域, 体现了事前、事中及事后的全方位控制, 更好地适应了公司治理的需要。
2. 通过企业风险管理框架优化公司治理
企业风险管理框架在风险管理前加上企业, 其目的在于强调该风险管理框架是贯穿在整个公司的各个层次。企业风险管理框架维度之一是企业从上而下的各个层次:企业整体层、各职能部门层、经营单元层及附属公司层。企业风险管理框架并非凌驾于管理之上, 而是强调公司所有层次的介入, 构成一个完整的框架。公司治理要解决的基本问题是高级管理层的代理问题, 要保证公司增加利益相关者价值的目标和高级管理层的个人目标的一致性。董事会通过企业风险管理框架能够更好地监督高级管理层的行为与目标的一致性, 从而贯彻治理理念。公司治理要解决的基本问题还有下属管理人员及员工的代理问题, 要保证高级管理层管理哲学以及理念的贯彻。企业风险管理能够渗透到整个公司的各个层次, 控制风险、纠正偏差, 从而确保管理职能的正确作用。
企业风险管理框架是加强公司治理的一个重要推动力 (图2) 。公司治理的结构是由制度和程序的实施来保护不同股东的利益。这种理想的方式满足所有的利益相关者——股东、员工、客户、债权人和供应商——因为大家都有一个使企业持续经营成功的共同兴趣。治理良好的企业意识到满足利益相关者的利益, 对于维持企业的长远发展, 并使它随着时间的推移能够良好经营是至关重要的。企业风险管理框架贯穿于整个企业中, 使公司治理理念得以更好的执行, 公司管理职能得以有效发挥作用。良好的公司治理需要正确的承担风险, 具体包括两个内容:监控风险并确保它在正确的进程中实施;确保管理层能够全面的、广泛地了解如何管理这些风险。
参考文献
[1]The Committee of Sponsoring Organizations of the Treadway Commission, Internal Control——IntegratedF ramework, 1992
[2]The Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management——Integrated Framework, 2004
[3]高千亭:美国企业风险管理框架及对我国的启示[J].会计之友 (中旬刊) , 2007, (10) :78~79
[4]宋怡萱张翮:COSO企业风险管理整体框架解析[J].财会通讯 (学术版) , 2006, (3) :27~29
[5]谯培武:COSO的企业风险管理框架及对我国的启示[J].湖南税务高等专科学校学报, 2008, (4) :37~40
[6]金小英唐予华:COSO风险管理报告——内外部关系的解读和启示[J].上海立信会计学院学报, 2005, (6) :39~42
[7]柳立立:新COSO框架下的内部控制与风险管理[J].黑龙江对外经贸, 2006, (3) :119~120
[8]张桓:解读COSO新报告《企业风险管理—整体框架》[J].高等职业教育-天津职业大学学报, 2005, (4) :27~29
企业风险管理框架 篇2
企业卓越管理的框架与标准浅析
邓 成 华
起落华衰是自然事物的发展规律,也是企业发展的基本规律,但如何使企业的寿命能够更长久,如何能够让企业在”有生之年”能够更多的创造效益,这需要企业卓越的管理,那么什么是卓越的管理呢?青岛华安盛道管理咨询公司从协作客户构建高绩效组织的角度出发,经过研究认为可以从以下的方面进行评估和塑造。
一、企业卓越管理的效果型评价指标
作为一个管理卓越的现代企业,至少要在以下几个方面表现出其优秀与超乎寻常。
1、卓越的绩效表现performance excellence 具体表现在企业通过综合的组织绩效管理方法,使企业组织和员工个人得到进步和发展,提高组织的整体绩效和能力,为顾客和其他相关方创造价值,并使组织持续获得成功。
2、治理governance 指企业的发展运营过程中,其在组织工作中实行的管理和控制系统。包括如何批准战略方向,如何监视和评价高层领导绩效以及财务审计、风险管理、信息披露等各项活动。
3、成为学习标杆benchmarks 对于相似的企业经营与运作活动,其过程和结果代表企业组织所在行业的内部或外部最佳的运作实践和绩效,经常成为其他企业的学习标杆和效仿的榜样。
4、卓越的价值创造过程 value creation processes 为组织的顾客和组织的经营创造收益的过程。价值创造过程是组织运营最重要的过程,多数员工介入这些过程,通过这些过程产生组织的产品、服务,并给组织的股东和其他主要相关方带来实际的经营结果。在波特的价值链模型中生产、运输、销售等业务过程均称为核心的价值创造过程。价值创造过程是企业得以产出的根本。
5、高效的运营支持过程support processes 从波特价值链的角度,那些处于价值链辅助地位上的公司非核心业务,均称为支持过程。支持过程可以包括财务与统计、设备管理、法律服务、人力资源服务、公共关系和其他行政服务。这些过程虽然不能直接为顾客增加价值或创造价值,但为价值创造过程的实施起到保证、支持作用。企业组织的运营必须识别出全部的支持过程,必要时确定关键支持过程,并对其强化管理。
二、卓越企业管理的实现要素与方法
邓成华管理咨询工作室
对于上述提到的企业卓越管理的目标,华安盛道管理咨询公司的专家研究成果认为需要从以下的几个方面实现和达到。
1、领导
组织高层领导在价值观、发展方向、目标、对顾客及及其他相关方的关注、激励员工、创新和学习等方面的作为,以及组织的治理和履行社会责任的表现对卓越企业管理的实现起着至关重要的作用。领导在企业组织中发挥的作用主要体现在以下的方面。1)对组织的领导
企业高层领导必须合理确定组织发展方向、完善组织的治理以及岁组织绩效的评审。在对组织的领导过程中,高层领导要发挥如下的作用:
a)高层领导要确定和展开组织的价值观、长短期发展方向及绩效目标;要在绩效目标中均衡地考虑顾客及其他相关方的利益;要向全体员工、主要供方和合作伙伴沟通组织的价值观、发展方向和目标;要确保企业的有效沟通。
b)高层领导要创造有利于授权、主动参与、创新和快速反应的环境,促进组织学习和员工学习的环境,遵守法律法规的环境;要恪守诚信经营等道德规范,并影响组织的相关方。
2)对组织的治理
在领导方面,企业组织的治理是要致力于以下关键因素:
a)组织行为的管理责任,对于各类的组织行为,由谁对其承担责任; b)各个领导在财务方面的责任,财务的审批、审核等各项事宜的负担权限; c)对领导内、外部审计的独立性; d)股东及其他相关方利益的保护。3)对组织绩效的评审
在领导方面,组织应从以下方面来评审其绩效:
a)高层领导如何评审组织的绩效和能力;如何通过评审来评价组织的成就、竞争绩效以及长、短期目标的进展;如何通过评审来评价组织应变能力。b)高层领导是否定期评审的关键绩效指标及近期绩效评审的结果。
c)高层领导如何根据绩效评审结果确定并落实改进关键业务的优先次序,并识别创新的机会;适当时,如何将这些优先次序和创新的机会在供方和合作伙伴中实施,以确保组织的协调一致。
d)组织如何评价高层领导的绩效;如何运用组织绩效评审的结果改进高层领导及领导
邓成华管理咨询工作室
体系的有效性。
2、战略
管理卓越的企业组织在战略目标和战略规划的制定、战略过程的部署及对其进展情况的监督和修正方面都有自己独特的方法和技能。1)战略制定
管理卓越的企业组织在如何制定战略,确定战略目标,包括如何提高组织竞争地位、整体绩效,以及如何使组织在未来获得更大的成功等关键问题上要自成体系,自立系统,而且不能简单的照抄照搬别人的做法。
a)企业必须要有明确的战略制定过程、主要步骤,并且长、短期计划时间区间的设定、以及战略制定过程要与与长、短期计划时间区间相对应。
b)企业制定战略时要考虑以下关键因素,并收集和分析下列有关数据和信息: ——顾客和市场的需求、期望以及机会; ——竞争环境及竞争能力;
——影响产品、服务及运营方式的重要创新或变化; ——人力资源和其他资源方面的优势和劣势;
——资源重新配置到优先考虑的产品、服务或领域的机会; ——经济、社会、道德、法律法规以及其他方面的潜在风险; ——国内外经济形势的变化;
——组织特有的影响经营的因素,包括品牌、合作伙伴和供应链方面的需要、组织的优势和劣势等;
——可持续发展的要求和相关因素。
c)企业在制定战略时要确立好关键的战略目标和对应的时间表,并确保战略目标能够均衡地考虑长、短期的挑战和机遇以及所有相关方的需要。
d)管理卓越的企业必须要有一套完整的战略实施监控系统,并且能够及时的对战略中不合事宜的地方予以调整和修正。
2)战略部署
企业必须回答以下的问题,以将战略目标转化为战略规划的方式、组织的战略规划及相应的关键绩效测量方法和目标:
a)企业如何制定和展开战略规划以实现关键战略目标,包括主要的长、短期计划包括关键的人力资源计划,并确定在产品和服务、顾客和市场以及运营方面的关键变化;
邓成华管理咨询工作室
b)企业如何配置资源以确保战略规划的实施,如何保持战略规划所取得的关键结果;
c)企业的监测战略规划进展情况的关键绩效测量方法和目标,如何通过强化测量系统确保组织的协调一致性,以确保测量指标系统涵盖了所有关键战略部署领域和相关方。3)绩效预测
组织应根据所确定的关键绩效测量指标对绩效进行预测,并将所预测绩效与竞争者的预测绩效相比较,同时还要将其与主要的标杆、目标及以往绩效相比较。
3、顾客与市场
管理卓越的企业注重以市场客户为导向,拥有一套完整的确定顾客和市场需求、期望和偏好以及建立顾客关系的方法。在赢得、保持顾客,并使顾客满意、忠诚的关键因素方面有独特的做法和程序,并通过确定顾客和市场的需求、期望和偏好,以确保产品和服务不断符合需要并开发新产品和开拓新市场。一般企业对顾客与市场的管理方法都要包含以下方面的内容。
a)如何确定顾客群和细分市场,在这一过程中如何考虑竞争者的顾客及其他的潜在顾客。
b)如何了解关键顾客的需求和期望,以及这些需求和期望对于顾客购买决策的相对重要性。如何针对不同的顾客群采用不同的了解方法。如何使用当前和以往顾客的相关信息,并将这些信息用于产品和服务的设计、营销、过程改进和其他业务的开发。
c)如何使了解顾客需求和期望的方法适合战略规划及发展方向。
1)企业顾客关系的建立应从以下方面入手:
a)建立顾客关系以赢得顾客,满足并超越其期望,提高其满意度和忠诚度的方法和策略。
b)如何明确顾客查询信息、交易和投诉的主要接触的方式,确定关键顾客对接触方式的要求,并将这些要求传达到组织内有关的每一位员工和过程。
c)明确企业的投诉管理过程,确保投诉能够得到及时有效的的解决,如收集、整合和分析投诉信息,将其用于组织的改进,必要时,用于组织合作伙伴的改进。d)如何建立顾客关系的方法适合于组织的战略规划及发展方向。2)顾客满意的测量主要从以下方面开展:
a)测量方法如何因顾客群不同而异,要确保测量能够获得可用的信息,并且将顾客满意的信息用于改进活动。
邓成华管理咨询工作室
b)对顾客进行产品、服务质量跟踪,以及时获得可用的反馈信息。c)获取和使用可与竞争对手和(或)行业标杆相比较的顾客满意信息。d)使测量顾客满意的方法适合于战略规划及发展方向。
4、资源
企业的高层领导为确保战略规划和目标的实现,要为价值创造过程和支持过程进行有效的资源配置,包括人力资源及其他的财务、基础设施、相关方关系、技术、信息等。1)人力资源
企业应根据战略规划和目标,建立以人为本的人力资源开发和管理的工作系统、激励机制、员工培训与教育体系,以发挥和调动员工的潜能。
工作系统
a)工作的组织和管理
企业应对工作和职位进行有效的组织、管理,以促进组织内部的合作,以此调动员工的主动性、积极性并,促进组织的授权、创新,完善和发展组织的文化。
企业的工作系统还要包括听取和采纳员工、顾客的各种意见和建议的方法,并确保在不同的部门、职位和地区之间,能够实现有效的沟通和技能共享。b)员工绩效管理系统
企业应建立促进提高工作绩效的员工绩效管理系统(包括员工的绩效评价、薪酬和奖励等)。
员工的学习和发展
企业必须通过教育、培训和职业发展提高员工的整体素质和工作能力,以此促进整体目标的实现,并为提高绩效做出贡献。
a)员工的教育、培训
企业要在分析各种需求与员工现有能力的基础上,根据人力资源规划,制定员工的教育、培训计划,以此平衡满足组织长短期目标与员工的发展、培训与职业发展需求。
另外企业要针对不同的岗位和职位实施以增强追求卓越的意识、提高技能、实现顾客满意为核心的教育培训,鼓励和支持员工以多种方式实现与工作和职业发展、技能提高相关的学习目标。
b)员工的职业发展
为充分发挥员工的潜能和主动性,企业应当帮助员工实现学习和发展目标,对包括高层领导在内的所有员工的职业发展实施有效的管理。
邓成华管理咨询工作室
2)信息
组织应当配备获取、传递、分析和发布数据和信息的设施,并建立和运行信息管理系统,包括软、硬件系统,以有效的识别和开发信息源。3)技术
企业要对其拥有的技术进行评估,并与同行先进水平进行比较分析,为制定战略提供充分依据;要以国际先进技术为目标,积极开发、引进和采用适用的先进技术和先进标准,提高组织的技术创新能力;并制定技术开发与改造的目标和计划,论证方案,落实增强技术先进性、实用性所采取的措施。4)相关方关系
企业要建立与其战略实施相适应的相关方关系,特别注重与供方和合作伙伴建立良好的合作关系,推动和促进双向交流,共同提高过程的有效性和效率。
5、过程管理
1)价值创造过程
企业的价值创造过程包括价值目标的定位、主要产品、服务及经营中的价值创造实现过程,并分析这些过程对赢利能力和组织取得成功的贡献。
企业要确定价值创造过程的要求,并确保这些要求清晰并可测量,必要时在全部要求中确定主要要求。
在企业的组织设计中,要保证价值创造过程满足其主要要求。在价值创造过程的设计中应有效利用新技术和组织获得的有关信息。
企业要确定价值创造过程的主要绩效测量方法和指标。并在管理这些过程中,应用过程测量方法和使用相关方的信息,使价值创造过程整体成本最小化。2)支持过程
企业要清晰的界定并有效的管理为价值创造过程提供支持的过程。企业要认真识别并确定支持价值创造过程的主要过程,确定关键支持过程的要求。
企业要使支持过程的设计满足已识别的要求,设计支持过程时要充分考虑新技术和组织获得的信息。
企业要妥善实施支持过程,以确保满足设计的要求。要确定支持过程的主要绩效测量方法和指标,评价支持过程在运行中对价值创造过程支持的有效性和效率,评价时可运用过程测量方法以及适当使用相关方的信息。根据评价的结果,不断优化支持过程,减少波动,并使支持过程与价值创造过程的运行要求和发展方向保持一致。
邓成华管理咨询工作室
6、测量、分析与改进
测量分析与改进主要指企业选择、收集、分析和管理数据、信息和知识的方法,通过充分和灵活使用数据、信息和知识,改进组织绩效。1)企业的绩效测量主要包含以下方面:
a)组织如何选择、收集、整理数据和信息,监测日常运作及组织的绩效。
b)组织如何选择和有效的应用主要的对比数据和信息分析结果,支持组织的经营、战略决策与创新。
c)组织如何确保其绩效测量系统适应战略规划及发展方向,并确保对组织内外部的变化保持敏感性。
2)企业利用测量信息进行绩效分析包含的内容有以下方面
a)组织如何分析、评价组织绩效,以及如何在战略制定过程中开展绩效分析。b)组织如何将分析结果传递到各部门、各层次,为其决策提供有效的支持。3)信息和知识的管理
企业要确保员工、供方和合作伙伴以及顾客所需数据和信息的质量和可用性,并确保这些数据和信息易于获取,同时建立系统的积累和共享知识的方法。4)数据和信息获取
a)企业应建立获得和提供所需的数据和信息,并使员工、供方和合作伙伴及顾客在适当时易于获取这些数据和信息的渠道与方式。
b)企业要确保其软件和硬件的可靠性、安全性,易用性。
c)企业要配备获取数据和信息的设施,包括软件和硬件系统,以适应组织的战略规划和发展方向。
5)组织的知识管理
a)组织应当有效地管理组织的知识,收集和传递员工知识,并传递来自顾客、供方和合作伙伴的相关信息,确认和分享最佳实践。
b)组织要确保其数据、信息和知识的完整性、及时性、可靠性、安全性、准确性和保密性。
6)改进
企业应从以下方面对改进进行管理: a)明确其所有部门和层次的改进计划和目标。b)实施和测量改进活动。
邓成华管理咨询工作室
c)评价改进的成果。
改进方法的应用,企业应从以下方面应用改进的方法:
a)企业应当利用多种形式组织各层次员工开展各种改进项目或活动。
b)企业应正确和灵活应用统计技术和其他方法,充分利用数据、信息和知识,为组织各部门以及所有层次绩效的改进提供支持。
分析企业集团财务管理理论框架 篇3
企业集团是市场经济的必然产物。当管理上的协调比市场机制的协调能带来更高的生产力、较低的成本与较高的利润时,企业集团就会取代传统的小公司,将以前由若干小企业间通过市场进行的经营活动变为通过组织的重整而使企业交易内部化。这种交易内部化由于成员企业间交易的例行化而降低交易成本;由于产供销一体化而使集团在管理上确保无论从市场上获取信息,还是企业内部沟通信息,其信息成本都大大降低;一体化的协调与管理,使得商品流通过程比单一企业的多项交易更为顺畅,从而减少中间环节可能出现的梗阻与浪费,提高生产率。
企业集团从核心企业的经营范围角度可分为两种类型:一种是核心企业不从事实体资产经营活动的控股公司,核心企业只从事资本运作,即以较小的资本规模控制着大量的资本及资产资源,其下属的各级子公司都属于一级独立的投资主体或投资中心。控股公司面临的决策是产权的“买”还是“卖”,即当被购目标公司市值被低估时买进,交给职业经理去经营,并持续对这些公司予以关注。若立即出售所实现的净利得值,与继续持有这些公司可能分得的利润的总现值进行比较,以决定继续经营还是卖出。这类企业集团也叫控股集团。另一种类型是核心企业在对子公司控股的同时也进行生产经营活动,是一个兼具实体经营的资本运营中心,即龙头企业,围绕其龙头产品来选择组建成员公司,使他们为龙头企业的产品生产和建立营销网络而服务。这类企业集团也叫产业型企业集团。
目前,我国企业集团由于财务管理目标不明,致使财务管理体制不科学,财务失控等问题较为突出的。本文就企业集团如何构建财务管理理论框架进行探讨.
1 企业集团财务管理的目标定位
站在集团角度,财务管理的目标是集团资源综合配置效益最大化。它因不同的集团模式而分为两种基本形态。
(一)对控股集团而言,它意味着在如何降低投资风险的同时使投资组合效益最大。这里的投资组合效益是指按比例加权后的综合资本报酬率。因为控股型企业集团组建的动力来源于资本的衍生能力与增值要求,管理对象表面上表现为被控企业,但实质上是所投出的资本,因而其财务目标即体现为集团的综合资本报酬率最大化。从母公司管理角度,分三个阶段实现:
1、事前选择投资组合。控股公司在選择被控企业时,有其自身的标准,如行业的熟悉程度,必要的报酬率等,按标准选择投资企业本身就是一种事前运筹并提高投资组合效益的过程。
2、事中控制投资组合。控股母公司买进子公司后,如经营中发现所投资的领域不能达到预期目标,则或者售出其控制的股份,或者进行内部重整,财务行为的选择原则是提高投资组合的综合报酬率。
3、事后评价与调整投资组合。控股母公司的最大优势就在于其资本运作能力,他将企业作为一种“商品”,利用其管理上的优势观察市场对该“商品”的评价,当市场高估时卖出,低估时买进,调整投资组合并取得盈利。
(二)对于产业型企业集团,它意味着提高全部资产的综合报酬率。之所以选择提高综合资产报酬率而不是综合资本报酬率指标,是因为组建产业型企业集团的目的对外表现为产品市场占有率的提高,对内表现为产品的产供销一体化,节约交易成本,提高生产效率。产业型企业集团是以资产规模为依托,以技术为纽带组合起来的协作型集团,凭借集团资产实力来发挥规模效应和专业优势,综合资产报酬率更能体现集团资源综合配置效益。
2企业集团财务组织与财务体制
企业集团的财务管理组织与财务体制,不是由财务部门独立设计的,而应置于整体组织设计的范围,体现集权与分权思想,体现战略管理意图。
(一)企业集团财务组织。企业集团的财务管理范围应包括两个方面:一是企业集团总部自身的财务管理;二是企业集团总部对各子公司及其它关联企业的权益管理。因此,从职能角度看,必须明确集团财务管理应当涵盖以上两项基本内容。具体设置财务组织时,应考虑集团规模的大小。对于规模相对较小的企业集团,可将上述两项职能合二为一,由设置在总部的财务职能部门来承担;对于规模较大的企业集团,可在总部分别设置两个财务管理部门,一是主管总部的财务管理部,一是主管对子公司和关联企业进行投资与权益管理的投资管理部,两个部门各司其职,职责分明;对于规模很大的企业集团,除设置财务管理部和投资管理部外,还可考虑在集团内部设置信贷管理部,专门从事集团内部各成员企业的资金融通,它可以是一个部门,也可以是单独设立的结算中心或内部银行,规模更大的集团,这一部门还可以扩大为有法人地位的财务公司。从人事管理上,上述各部门都置于集团财务副总裁或集团财务总监的领导下。
(二)企业集团财务体制。它是结合集权或分权管理思想,并针对特定环境而确定的财务管理体制。它规定哪些财务决策行为与职责管理由总部行使,那些由子公司自行决策。因此,财务体制的安排是集团管理体制在财务管理上的体现,完善的财务体制应当体现决策权、执行权与监督权分离的原则,体现权责利对等原则,体现提高决策效率与综合协调能力的原则。
3企业集团财务战略与财务政策
财务战略是从长远角度对涉及财务决策事项所进行的规划与安排,它以企业战略为基础,是企业战略在财务上的具体化,同时对企业战略的实施直接起到全面支持的作用。
企业集团财务战略是一个完整的体系,它包括由企业集团总部制定并实施的总战略,也包括由子公司按照管理总部意图所制定和实施的分战略。从集团总部确定的总战略角度看,它至少应包括以下方面:(1)集团的未来投资方向与投资战略;(2)确定投资项目取舍的目标收益率标准;(3)集团整体的筹资战略,具体化为集团公司的资本结构战略;(4)集团整体的收益分配战略;(5)集团整体的资本市场战略与财务形象战略;(6)集团整体的资本运作战略,具体化为并购战略、分拆战略等。
企业集团财务政策是指集团本身在确定的集权或分权模式框架下,在集团总部财务战略指导下,所确定的集团财务运作与执行规则。具体包括:(1)资产管理政策;(2)母公司权益管理政策;(3)成本费用管理政策;(4)筹资管理政策;(5)子公司收益分配政策;(6)企业财务人事安排与管理政策等。
4企业集团预算管理
预算管理必须将主要精力用于研究业务环境的长期趋势,并将它与企业集团的长期发展战略结合起来。
在产业型企业集团,预算导向必须符合母公司的产业发展战略,预算应体现核心企业的资源规划功能;核心企业具有对其下属企业的预算控制权;资本分配以支持公司总部战略为主要标准而不是以财务可行性为主导。在控股型企业集团,控股企业对其下属公司的预算导向是目标型的,即目标或期望资本报酬率是子公司业绩预算目标的起点,目标控制与目标管理成为预算管理的主要特征;资本分配主要从财务上看各子公司能否达到母公司规定的最低资本报酬率。
5结束语
良好的理论对实践会产生推动作用,本文试图从理论层面上对财务管理体系进行构建,并希望能对企业集团财务管理实践有所帮助。
企业财务风险管理框架探讨 篇4
关键词:风险管理体系,集团企业,财务风险管理框架,财务风险
财务风险存在于任何一种类型的企业组织形式中, 经济形势时刻变化, 经济发展日新月异, 财务风险无论是在重要性还是在危险性上都相对较为突出, 重视财务风险是企业必须要首先考虑的, 因此如何控制财务风险被学者广泛论述和研究。集团企业的规模大, 层级体系多, 财务风险管理难度也相应增大。二十世纪初, 世界著名集团公司相继破产, 如香港百富勤投资集团、日本八百半公司、美国投行贝尔斯登, 集团企业内部和外部因素都有放大财务风险产生的可能性。同时, 美国次贷危机中雷曼兄弟及中国德隆集团的破产也足以让我们认识到集团企业所面临的财务风险。
一、集团企业财务风险管理框架的构建
健康的财务框架增加企业提高其面对风险处理的能力, 财务风险框架的建设应应遵循如下原则:
(一) 系统性原则
集团企业财务风险管理体系是一个系统, 财务管理强调其整体性, 其组成要素共同支撑其财务系统运行, 各组成要素是不可缺少、不可分割的。影响企业财务的各组成要素互相关联、共同作用, 所形成的一个有机整体。
(二) 环境分析起点原则
首先要阐明什么是环境, 前面提到要构建集团企业财务风险管理框架, 那么既然是框架它就存在边界, 边界之外的因素就是环境。环境分析是每个集团企业制定其战略目标前的必须课, 战略目标的的基础就是环境分析。本文所谈到的集团企业财务风险管理的目标服从集团企业战略目标, 两者具有一致性。
(三) 目标导向原则
目标导向原则是指我们在构建集团企业财务风险管理框架时, 以确立的目标为导向。我们应该以目标为导向确定集团企业财务风险管理的主体、活动和保障措施。集团企业财务风险管理是集团企业财务管理乃至战略管理的一部分。
(四) 具体问题具体分析原则
集团企业财务风险管理框架的构成要素依据企业环境变化而变化, 具体问题具体分析原则要求企业根据环境变化对框架构成要素进行重新评估、分析, 要求集团企业财务风险管理在实施目标的过程中要立足于国家现状, 依据国情, 而不是照抄照搬国外的制度、实施措施或框架结构, 并且有针对性的不断完善环境保护目标中出现问题。
二、集团企业财务风险管理框架的构建
本文的框架是具有内在一致性、按照一定逻辑组成的一系列要素的集合, 是解决相关问题的参照蓝图。COSO的内部控制框架和企业风险管理框架理论对实践具有指导意义, 但理论框架的落地需要实施框架来切实解决集团企业财务风险管理的实施问题。
集团企业财务风险管理框架的三层结构:
(一) 目标层。
目标是指导实施层依靠目标层进行指导, 也是其参考的的重要依据, 最终也是企业实践活动的最终归宿。集团企业的行动方向就是既定的目标, 对其行动成效的考评依据也是其目标是否实现, 无具体目标的行动没有任何实施价值, 没有目标的实施活动也不能为企业带来任何实际效果和提升多少效率。企业按照环境分析起点原则进行分析、制定目标, 选择其中切实可行的目标, 这就是目标层构成的要素。目标包括具体目标和战略目标, 不同结构层级责任主体的目标为具体目标, 战略目标则是企业层的整体、长期的目标。
(二) 管理层。
程序方法、责任主体以及保障体系等是管理层的组成要素, 目标层进行的实践活动具体体现在管理层。集团企业财务风险管理框架的核心部分就是管理层。基础层的支持和保障是管理层存在基石。目标层是管理层方向, 受制于目标层, 但其存在对目标层层级目标的实现起决定性作用。管理层是基础层和目标层之间连接的桥梁, 是基础层的现实表现和目标层的具体实践。
(三) 基础层。
基础层是整个过程的基准点, 即企业所开展的所有管理活动都是为了从目标的建立到目标的完成, 从实际出发所建立的基础层, 是构建整个框架的基础, 基础层体现了企业目前面临的显示情况和实际状态。管理层为基础层提供保障和支持, 同时基础层也限制和制约管理主体、保障体系和管理活动。
三、结语
集团企业财务风险无处不在, 财务管理复杂多变, 我们必须构建一个框架, 完善整个系统进而通过规范的体系进行综合治理。企业要达到有效、高效管理集团企业财务风险的效率和效果紧紧靠责任主体落实财务风险管理流程和实施程序方法很难完成, 我们通过构建目标层、管理层和基础层三个管理层次, 这其中又包括五个要素, 分别是责任主体、管理目标、保障体系、程序方法和管理基础。三个层次与五个要素是相互作用, 相互联系, 形成一套完整的管理系统, 从而预防企业财务风险。
参考文献
[1]王农跃.企业全而风险管理体系构建研究[D].河北工业大学博士论文, 2008.
[2]王洋.论我国企业风险管理框架的构建[J].长春大学学报, 2011.
[3]杨周南.论会计管理信息化的ISCA模型[J].会计研究, 2003.
[3]于富生, 张敏, 姜付秀, 任梦杰.公司治理影响公司财务风险吗[J].会计研究, 2008.
[4]张伯伦.垄断价格理论[M].大连:东北财经大学出版社, 2004.
[5]张敏慧.新形势下对企业集团财务风险管理的若干思考[J].会计之友, 2012.
企业风险管理框架 篇5
现代企业的人力资源管理中,任职管理已经开始扮演着越来越重要的角色,员工通过企业开辟的任职资格体系发展通道能够获得更大的发展空间与选择空间,将实现企业目标对员工核心能力的要求;同时,任职资格管理可提供人才战略与规划的依据,及时规范管理模式,通过一系列的保障措施使该体系有效运行起来,让符合职业标准的人才迅速进入合适的岗位,实现人尽其才,打通了各层级之间的职业通道,逐步积聚壮大的内部管理由功能型向过程型过渡,增强了企业市场竞争力。笔者认为在企业规范化管理的要求下,针对企业建立起一套能力与岗位匹配的任职体系关系到企业的人力管理体系能否走向科学化与系统化,因此在对私营企业的任职管理体系研究中,总结了构建任职管理体系的一般规律。企业在面对新的任职管理时,旧有的模块化人力资源管理,如招聘、继任计划、培训、选拔人才、绩效管理、薪酬(报酬)等都要针对任职管理体系有结构性的改变,任职资格管理针对人力管理模块提出了新的问题:
一是怎样选拔人才:如何利用任职资格选拔人才,人才与岗位的匹配程度如何?如何确立这种选拔人才的方式与方法?
二是组织的继认要求:组织中的岗位如何继任,如何继任?
三是职位的培训需求:如何利用职位的任职需求开发出该岗位的培训要求,要培训哪些内容?具体如何操作?
四是怎么判断候选人资格:在任职上如何判断员工是否符合该岗位,当需要晋升的时候又有哪些依据可以判断其适合晋升?晋升的方式又有哪些?
五是怎么评价员工:在绩效管理上过去是对员工工作结果的总结,现在是如何评价员工在该岗位上的贡献?
六是怎样回报:员工在企业中的表现如何体现在他的薪酬福利等回报中?
在构建任职体系管理之初,最先要的条件就必须对企业人力管理的主体结构进行变更与调整,传统的人力模块过去的中国企业一直在人力资源管理方面言必称“六大模块”。在企业人力资源的架构中都是以模块为企业的人力资源工作分类。事实上,看起来模块化的工作分类有利于人力资源专业化的工作,但长此以往形成了各大模块的独自发展,无法权衡到企业人力资源的整体协调,有时候某一个模块变得很强,其他模块就变得开始配合此模块,这对企业来说是非常不利的,企业人力资源管理因以人才发展为核心,而不是模块工作为核心。因此,为了摆脱这种困境,任职管理体系便是以职位管理与资格管理为核心,重新定义人力资源管理体系,将人力资源管理模块重新融合,根据市场需要整合成四个主要工作内容既任职聘用与调配、定级调薪、职位晋升选拔、技能提升培训(如图1)。
任职聘用与调配:改变了过去的招聘的模块,将招聘的具体工作明确到了岗位任职上,这样针对岗位面试管有了更加明确的人员与岗位的匹配,可以利用结构化或者非结构化的面试,寻找到求职者与该岗位的匹配程度。摆脱过去人为的、主观的选人模式。
定级调薪:将薪酬福利调整为定级调薪,对员工来说,任职资格的评定就意味者对其在企业中薪资级别的评定,员工可以根据任职表现达到一定匹配后可以进行调级与调薪,使得企业的调薪更加客观、明确也显得更加公平。
职位晋升与选拔:改变了过去传统的职位晋升,建立起各岗位的职位发展双通道,员工可根据自我发展的需要选择晋升,摆脱了过去只有管理层晋升而技术层无法晋升的尴尬局面,并且在人才的选拔上建立任职评估中心,针对人才晋升有了更加合理的、客观的评估系统,能较为全面的体现员工的价值,对人才的选拔与培养有着极大的影响。
技能培训提升:改变了过去传统的培训模式,以匹配岗位为基础的技能培训。过去的培训以员工想要什么培训就做什么培训为主,而任职资格体系下的培训而是该岗位需要员工哪些技能就培训哪些,并合理评估员工与该岗位的任职差距,做出合理的员工培训计划,有针对性的进行培养。这样既让培训有了明确的指导性、又让培训效果大大增强,使得培训变成员工工作中所必备的项目。
在任职管理体系建立上,企业需要根据实际情况对任职资格构建的进行了双向的定位:即岗位任职管理体系与员工任职标准体系。岗位任职管理体系构建分为三大框架:
职业发展通道:即建立企业职类、职群体系,将企业各岗位进行分类与归类,并根据企业发展的需要建立职级、职等体系;明确员工双通道发展等问题。
任职资格标准:以员工任职资格为基础,涵盖员工的工作经验、学习经验、核心素质等方面的内容,与企业任职岗位所匹配。
资格等级认证:以员工晋升、提拔以及技能提升等级为基础,对员工进行合理话的评估并列举员工的客观可依据的数据,实现员工能力可数据化。
通过上述的描述,我们可以清晰的梳理出一般企岗位任职管理体系的架构(如图2)。
员工任职标准体系,员工也分为三个结构:即基本条件、资格标准、参考项。这三项是企业任职资格标准体系中的关键因素,也是解决主体结构中提出的问题的关键点。任职资格是人与岗位的匹配,在员工的任职资格标准中,我们将人员基本条件、资格标准、参考项目列为任职评估的对象进行评估。首先,在基本条件中,员工的`学历、专业经验、现职状态(绩效)都对岗位有着影响,是任职评估的基础项,只有达到基础项才能表示员工在基本条件上满足该岗位的基本需求;其次在资格标准上,员工的工作行为是否可以变现出来,并明确对岗位的所要求的行为能否达到。另一方面技能上,对员工现有技能做出合理的评估,尤其是在专业化的岗位上技能的评估往往决定这员工是否适合这个岗位,从此两方面对员工的资格标准进行评估;最后的参考项中,考察的是员工的绩效、素质、品德。绩效是员工对工作结果最好的变现,也是最能评估其个人价值的,素质与品德要结合企业自身的企业文化特色,不能盲目,只有这样素质、品德的评估才具有意义,从侧面支持了企业文化的落地与执行(如图3)。
企业风险管理框架 篇6
关键词:COSO内部控制整合框架;网络风险控
信息技术的发展让企业经营环境发生了巨大的变化,越来越多的业务需要在互联网的环境中完成,从订单的生成,处理到收发货和结算,许多业务环节实现了网上操作,人工现场参与越来越少。互联网打破了时间和地域的限制,为企业创造了可观的价值。在受益于互联网的高效和便利的同时,企业也需a要时刻防范网络入侵和应对信息泄漏造成的损失和负面影响。因此企业的内部控制必须做出相应调整以适应网络时代的特点。
COSO内部控制整合框架为企业识别网络风险、管理网络风险和实施控制活动提供了有效的方法,指导企业从控制环境、风险评估、控制活动、信息和沟通、监督五个方面的内控要素来分析网络风险,构建具备安全性、警惕性和可恢复性的网络风险内控体系。
1 网络风险的控制环境
网络风险控制环境是一套标准、流程和结构,能够为组织实施网络风险内部控制提供基础。企业的董事会和管理层应将实现安全性、警惕性、可恢复的网络风险管理机制设定为网络风险管理的首要目标并确保其在企业内执行顺畅, 保证部署足够的资源来保护重要的信息系统,制定适当的措施应对网络风险。由于大多数管理层成员的网络和信息技术知识不足,在了解本企业网络风险概况和应对不断变化的网络风险事件时应积极寻求专业人士的帮助,充分认识信息技术对组织流程和目标的影响;在对企业的资源进行分配时,根据风险评估的结果设定风险承受水平,保证将足够的资源用于保护对实现企业目标至关重要的信息系统。
2 网络风险的评估
网络风险的评估是针对影响企业目标实现的网络风险进行的风险识别和风险评估活动,帮助企业根据风险的严重程度和发生的可能性制定相应的控制程序。面对内外部的网络风险,企业的风险评估可以通过评估其对实现组织目标存在的不利影响和事件发生的可能性这两方面来进行。
①目标识别:评估企业的网络风险首先要评估信息系统对企业实现目标的潜在影响确定其价值,通常影响越大价值越大。COSO整合框架提供了企业的五类关注点:即经营目标、外部财务报告目标、外部非财务报告目标、内部报告目标和合规目标。企业的管理层和重要利益相关方应引导风险评估过程,在业务和信息技术人员的高度配合下,根据企业目标确定需重点保护的关键信息系统,确定企业可接受的风险水平。②对确定的关键系统的风险进行全范围的识别和分析,评估网络风险的严重程度和可能性进而决定如何管理风险。在此过程中企业要重点关注容易遭受攻击的信息系统及可能发生的攻击行为,对这些行为建立预警机制。通过识别攻击者的行为和方式,所用的技术、工具和流程,企业可以更好的预测风险,修补潜在的网络漏洞,设计有效的控制措施,在攻击发生时减小或规避风险,以保证重要资产的安全。③网络风险评估是一个动态的持续的过程。内部的和外部的风险变化对内控体系可能造成重大影响。因此风险评估要预测这些变化并据此调整企业管理网络风险的相关控制。
3 网络风险的控制活动
网络风险的控制活动是指针对网络风险评估的结果,企业应当制定相应的政策和程序,将网络风险控制在可接受范围内。控制活动能防范、发现和应对网络风险,更有效的降低潜在的网络漏洞对实现企业目标的影响。企业可按层级建立多层控制防线,防止攻击者在击破第一道防线后继续侵入信息系统或可以减慢入侵者的入侵速度。
在多层控制防线中,可运用的方法包括:①预防性和发现性控制相结合:有效的预防性控制使攻击者无法进入企业内部信息系统或可以制造障碍延缓攻击者的攻击速度,企业可及时发现并尽早采取措施修补漏洞,可以评估潜在损失,进而完善现有措施以预防和发现未来可能发生的类似攻击。②信息技术一般控制:与其他业务控制相联系的信息技术一般控制会帮助预防和发现网络入侵,使企业面对入侵时具备快速反应和恢复能力。企业应制定在发生网络攻击时应得到通知的人员名单,使相关人员能快速采取进一步措施降低风险。
4 网络风险信息的形成和沟通
信息是企业决策的基础,包括内部信息和外部信息,贯穿于网络风险内控的各个环节。企业应将已经识别的相关高质量信息要求及相关风险分析和应对措施记录成正式的文档,保证流程和控制活动一致性,避免因人员的流动产生执行的偏差。信息的来源包括:①企业内部产生的数据,企业应具备从内部产生的大量数据中生成及时的、相关的、高质量的完整信息的能力,否则企业无法采取恰当的网络风险控制措施。②除了内部信息,企业也可从外部获得数据,包括:a同业组织信息:由于同行业中各个公司的信息系统的价值和运用的技术是相似的,企业可通过与同行业组织共享信息、共同预测网络事件发生趋势,网络攻击行为的方式等,帮助企业预防和发现网络风险事件;b获取政府等外部机构的数据;c外包服务供应商的数据:如果企业将部分业务或流程外包给其他机构,为实现共同的外包服务效益,可将双方相关信息共享。当一方出现影响另一方运营的风险事件,共享与该风险事件相关的信息可以增强双方的快速反应和恢复能力,帮助识别和控制网络风险。
企业信息的质量依赖于有效的数据治理。企业应明确责任和义务,遵循数据治理的相关原则,保护数据和信息避免未经授权的访问和修改,从而保证信息的质量。被识别的信息应能无障碍地传递到企业内部控制的各个环节,包括:①全体员工:自然人具有的一些社会特性,如信任他人、好奇心等使其成为网络风险内控链条上的最薄弱的环节,网络攻击者善于利用人的这些天性,通过发送邮件、赠送免费移动设备等方式,只要员工在企业网络中点击或使用了这些设备,攻击者就可以成功入侵。针对这些情况比较有效的办法是定期开展全员网络安全培训,提升全体员工对网络风险鉴别的能力和网络安全责任感,降低攻击者从普通员工入手开展网络攻击的可能性。培训可以采取专题讲座,例行培训,网络入侵热点问题培训、在企业范围内发布消息等形式,使网络安全信息及时有效地传递给每个员工。②网络风险监管责任人,包括企业的管理层成员、网络信息技术人员等。管理层成员的任务是选择、执行和部署内控,保证内控信息在企业内部共享。网络信息技术人员除在技术上保证信息系统的运行和安全外,还需生成和维护正式的网络控制文档。支持网络风险控制管理目标的正式文档是提升企业管理网络风险能力的有效渠道,也是企业评估控制设計和实施有效性的途径,是保护企业信息系统的有效有段。③董事会。董事会在网络风险控制体系中扮演着重要的角色:通过了解影响企业目标的网络趋势,认识网络风险,设定风险承受度,确定实施控制措施,明确对管理层所确立的风险应对流程和程序的期望。因为大部分董事会成员对于网络和信息技术的相关知识是有限的,网络技术人员或聘请外部专家利用相关信息技术框架和标准,将技术性很强的内容转换为即使是没有专业背景的人员也可以理解的内容就显得十分重要,只有概念清楚了,董事会和管理层才能实现有效沟通,才能保证董事会履行网络风险控制监督职责。董事会层面的沟通除定期进行的网络风险讨论外,也应建立对临时出现的重大网络风险事件与管理层的沟通渠道,董事会可依据管理层提供的相关高质量信息在进行外部沟通前做出迅速反应。④外部机构:包括所有者、客户、供应商、银行、政府机构和其它外部机构。从外部到企业内部的沟通能影响网络风险评估和控制活动;从内部到外部的沟通能向相关方传递与网络事件、活动相关的信息,或者其它可能影响外部相关主体与企业互动的情况。在这些沟通过程中,企业会获取有价值的信息。需要注意的是,企业要加强向外部提供信息的控制,积极的信息可以塑造良好的企业形象,是企业具备可恢复力的一种表现;反之不受控的信息会被其它组织利用,会对企业造成负面影响。由此可见风险管理的标准、制度和流程是多么重要。
5 网络风险相关控制设计及执行的监督
为了减少潜在网络风险,组织应对控制活动的设计和执行的有效性开展持续评估和单独评估,确保控制活动有效并持续进行。由于网络风险管理的专业性使然,在监督过程中专业人员的参与十分必要,企业也可聘请外部专家进行协助。对于有外包服务供应商的企业,监督活动还需要延伸到有共享数据的外包服务供应商的网络。对这方面的监督所需信息,企业可以直接从服务商处获取,如审计报告等,也可考虑其它途径,目标是确保供应商的网络具备安全性及警惕性。
监督活动的有效性能保证企业在面对可能影响其目标实现的网络风险发生变化时,能更好的部署内部控制,保证网络风险的变化是可控的、能预见的。
企业对监督活动中发现的问题应及时进行评估,并及时沟通缺陷,如有重大事项应向高级管理层和董事会报告。通过对问题的有效沟通,企业需要分析产生问题的根本原因并修正控制活动,这也是是实施有效的整改活动的前提。
互联网已渗透到现代生活的各个角落。信息技术的发展使企业时时刻刻地暴露于网络风险之中。如果用被动的方式管理网络风险,遭受网络攻击后产生的后果将非常严重,有可能导致企业经营萎缩甚至破产。技术的发展、企业的创新、黑客手段的成熟都使网络的风险管理变得越来越困难。企业应加强对网络风险管理的重视,适当增加投入,以COSO内部控制整合框架为指引,建立具备安全性、警惕性和可恢复性的信息系统,以实现网络风险内部控制的目标。
参考文献:
集团企业财务风险管理框架探究 篇7
集团企业可谓企业组织前进发展的一种模式, 由于其具有规模、协调等效应优越性, 近些年来特别趋向于主流企业组织发展模式。伴随网络化信息化技术发展, 集团企业将面临愈来愈复杂变幻的环境, 财务风险管理要愈加具有全局、整体和动态理念。可是集团企业也因为企业组织规模的相对扩大和组织层级的增加, 财务风险的传导性与财务风险的危害性变得愈来愈显著, 导致本身财务风险管理的难度加大。因而如何防止因企业规模扩张而逐步增加的财务风险则成了一个亟待化解的问题。以目标做导向, 借助规范的研析手段, 结合系统化等原则, 创建集团企业财务风险管理框架。同时对于集团企业财务风险管理框架以及管理要素实施系统分析研究。进而从宏观角度构建从上至下的风险管理系统, 为更好地推进集团企业财务风险管理工作, 探讨提出了一定的理论实践依据。
二、集团企业财务风险管理基本框架体系
集团企业出于调整资源、提高整体竞争力的要求, 以集团企业的总体战略为目标, 把关键财务事项决策权集中于集团企业母公司, 而赋予下属企业一定的自主经营权, 保证企业集团的战略实施同时加强集团企业母公司对重大风险之控制力。
(一) 集团企业财务风险管理是具备三级层次相融体系
集团企业是以母公司做核心构建的具备多层法人治理结构之组织体系。母公司主管制定集团企业内部财务管理体系, 监督与协调集团企业内部各企业的经营管理工作, 以达到集团企业利益的最大化。在集团企业内部构成了一个具备三级层次的财务风险管理系统结构, 也就是集团方面财务风险管理系统、集团下属企业方面财务风险管理系统与业务方面财务风险管理系统。
1. 母公司架构整个集团企业财务风险管理的战略、目标、策略以及对重要风险防范事项的决策;
2. 集团下属企业于母公司授权下执行本企业财务风险管理职能, 及时同母公司予以信息风险交流;
3. 业务机构在各企业授权下执行机构职责, 对业务具体运行风险予以实时监控, 及时同上级主管机构、所在企业或母公司联系, 针对风险事项因素予以及时的事中控制。集团企业内部构成了职能责任分明、权限各不相同、各自分工明确、互为协调的财务风险防护格局, 充分借助集团企业所有风险管理资源, 达到经营安稳同风险机会价值创造的互不失衡。
(二) 建立财务风险管理理论框架体系
在研究财务风险影响原因的基础上, 应当构建集团企业财务风险管理体系。集团企业财务风险的诱因是变幻复杂的, 集团企业财务风险管理有着本身的特殊性。在对集团企业财务风险影响的外部原因及内部原因分析基础上, 从企业财务风险管理三级层次角度全面具体地对财务风险识别、评价和控制的理论及方法等予以了解掌握基础上, 构建起集团企业财务风险管理理论框架系统。
(三) 建立财务风险集成管理框架结构体系
财务风险集成管理即围绕企业全面发展战略与财务管理目标的中心, 把集成思想创新用在财务风险管理实践当中, 综合利用各项管理办法与信息技术措施, 对财务风险采取集成管理, 实现有效防范与解决财务风险的目的。伴随网络技术与信息技术的进步, 企业定会面临愈来愈复杂变幻的环境。财务风险管理要更愈来愈具有全局理念、整体理念和动态理念。财务风险可谓企业风险管理的关键与重心。集团企业具备管理的协调性、一致规范性、利益互为依托性与母公司主导性的特征, 管理内在规定集团财务风险管理实行集成化。引鉴集成管理理论, 于集团方面、企业方面与业务方面针对风险理念、财务风险管理目标、财务风险管理过程与风险管理组织集成, 构建集团企业财务风险集成管理框架系统结构, 同时在这基础上构架了集成财务风险管理信息系统。传统的财务风险管理模式已无法满足现今风险管理集成化发展的需要, 财务风险集成管理可谓财务风险管理形式发展之必然趋势。
三、集团企业财务风险集成管理系统构成及要素
集团企业在我国国民经济方面的位置愈来愈突出, 社会影响力愈来愈大, 一旦集团企业发生财务危机, 定会给社会就业方面、金融方面以及经济发展方面带来一系列的消极影响, 集团企业风险管理愈来愈具有必要性与重要性。在西方发达国度, 风险管理受到极高的关注, 大部分公司均构建了相应的风险管理机构, 采取主动的防范风险管理对策。由此可以看出, 集团企业财务风险管理可谓风险管理的关键构成部分, 在风险管理当中具备关键的地位与作用。
(一) 集团企业财务风险集成管理系统构成
财务风险集成管理体系并非集团企业财务工作风险管理工作的集合, 而是凭借系统思想做指导开展财务风险防控整体框架的构筑。其融会于集团企业经营管理工作的整个过程, 用母公司与各下属企业的预计财务会计报表和经营规划等内部资料以及集团企业外部环境资料做依据, 综合运用系统方面、控制方面、财会方面、金融方面、企业管理方面、现代企业制度方面、市场营销方面等理论与计算机方面、信息方面、通信方面等技术, 针对财务风险实施全方位、整个过程、动、静态相融合的识别、比较、预警、防控与反馈。结合财务风险集成管理框架系统, 我们构架了集团企业财务风险集成管理系统。系统共包含五个子系统:组织系统;制度系统;信息系统;经营管理系统;系统维护。
(二) 集团企业财务风险集成管理要素
集团企业财务风险集成管理即围绕集团企业风险理念集成这个核心、用集团企业目标集成做目标导向、用集团企业风险管理过程集成做技术手段、用集团企业组织集成作保障。
1. 理念集成
财务风险理念集成即在集团企业总体战略指导下, 依托企业文化建设做手段, 让风险管理贯穿企业之整体战略、战术决策与经营工作中的一种树立全员风险意识的创新思维抑或理念的集成工作。
2. 目标集成
财务风险集成管理目标属于集成风险管理总目标的细化, 其是基于集团企业财务管理目标与集成风险管理目标的前提下, 把集团企业以及下属各企业财务风险管理工作贯穿于集团企业整个战略目标与战略管理工作中, 在集团企业整个战略引导下达到集团方面、企业方面与业务方面的集成风险管理目标。其可谓风险理念集成于财务风险管理阶段内的具体体现, 可谓财务风险理念集成同财务风险过程集成的连接纽带。
3. 风险管理过程集成
财务风险管理过程集成, 即把方法集成与集成管理信息体系, 综合应用在企业经营与财务工作各个环节的风险的识别集成管理过程、风险的评估集成管理过程、风险的预警集成管理过程、风险的决策集成管理过程、风险的应对集成管理过程、控制工作集成管理过程以及应对反馈集成管理过程。
4. 组织集成
集团企业风险管理工作的有效实行一定要构建满足其特性的风险管理组织。组织集成即基于集团企业内部制度集成与外部制度集成的前提条件下, 借助培养人力资源而构建高效率风险管理组织之综合机制, 其可谓财务风险集成管理之组织保证。内部制度集成即由集团方面、下属企业方面与业务方面之内部管理控制机制、风险控制机制与风险控制方向的配合一致, 为达到集团企业财务风险集成管理目标奠定内部制度基础。外部制度集成即集团企业风险控制运转的法律法规控制监督机制、监管机构控制监督机制和行业协会控制监督机制相融而成的风险外部监督机制。人力资源即风险集成管理当中最重要、最活跃的原因, 可谓财务风险集成管理之智力保证。风险管理组织即基于集团企业内部人力资源与内部制度的前提条件下构建起的风险管理机构, 其具备高度的独有权限, 负担同其相应的风险管理任务, 从集团企业的视角对风险实施管理。
四、结语
总之, 随着集团企业财务风险管理的研究进一步深入, 以及其日趋成为主流的企业组织模式, 所以, 深化探讨集团企业的财务风险管理, 具备现实方面的紧迫性和理论上的可行性。集团企业财务风险管理机构一定要把风险管理当成其主要的核心竞争力, 同时把其上移到发展战略之高度, 利用制定一整套防御风险的制度机制, 有效落实, 把风险控制到最低点。只有如此, 集团企业财务管理工作方能健康、稳定的发展。
参考文献
[1]张继德.郑丽娜集团企业财务风险管理框架探讨[J].会计研究, 2012 (12) .
[2]胡秀琴.集团企业财务风险管理体系的构建[D].北京邮电大学, 2012.
对企业税务风险管理框架的构想 篇8
一、我国企业税务风险管理制度缺陷分析
(一) 控制环境薄弱, 无力支撑内部控制框架。
内部环境是内部控制的首要因素, 包括法人治理、组织结构及权责分配、内部审计、人力资源政策和组织文化、领导人的经营风格和风险意识等。内部环境决定了一个组织的基调, 影响着组织成员的纳税遵从意识和对待税务风险的态度。一般内部控制的目标主要是防止企业“内部人”舞弊, 股东可以通过法人治理结构安排, 对内部人的行为从企业内部进行约束, 并为内部控制提供治理平台。而税务风险控制的目标主要是保证企业遵循税法, 自觉履行纳税义务。税务机关不能像股东一样向企业委派自己的代表, 只能依靠法律手段对纳税人的税务违法行为进行外部约束。缺乏内部治理平台, 决定了企业税务控制环境建设的艰巨性。
(二) 风险评估专业化程度低, 缺乏系统性。
风险评估的目的是建立风险识别和评价机制, 识别来自企业外部和内部的风险, 并对其加以评估, 以采取应对机制和策略的过程。税务风险是影响企业战略实现的关键因素, 因此, 税务风险评估对单位战略的制定和执行具有非常重要的指导意义。然而, 我国企业目前普遍没有设置专业化的税务管理部门, 税务管理通常依附于财务部门, 并由财务人员兼任。由于财务部门管理层次低, 不可能也没有能力从企业战略高度对税务活动进行规划和协调, 没有建立完善的风险信息收集、交换和沟通机制, 风险评估的系统性、科学性得不到保证。
(三) 控制层次低, 控制能力薄弱。
控制活动是根据风险评估结果, 采用相应的政策和措施, 将风险控制在可承受范围之内的活动, 控制活动由一系列不同的活动, 如授权批准、职责分工、预算管理等政策和程序构成。控制活动作用于组织的各个层级和业务单元, 控制的效率与其层次的高低直接相关, 控制层次越高, 效率越高;反之, 效率则越低, 越容易被规避。目前, 我国企业的内部控制活动大都是围绕财务活动安排的, 税务风险控制只是依附于财务控制, 很容易为其他业务部门所规避。例如, 受部门利益驱动, 销售部门为了扩大销售, 不按规定时间开具增值税发票;采购部门采购物资, 不按规定取得增值税发票。
(四) 组织结构模式落后, 信息沟通存在障碍。
信息与沟通系统是实施内部控制的必要条件, 它是内部控制系统的反馈机制, 控制系统借此进行系统改进。信息与沟通包括信息处理和信息沟通两个子要素, 前者负责信息的收集、加工和处理;后者负责将有用的信息传递给相应的部门, 用于风险识别和评价, 为风险应对提供信息支持。目前, 大部分企业领导出于集权考虑, 习惯采用传统的“科层制”组织结构模式管理企业, 信息处理和沟通都是通过纵向渠道进行的, 信息处理效率低、传递层次多, 信息失真现象严重, 各部门之间缺乏信息联系和交换, 不能有效帮助组织及时发现和应对风险。
(五) 内部审计服务不到位, 内部控制循环不完整。
对内部控制的监督和评价是内部控制不可或缺的要素之一, 它通过持续性的自我监督和评价, 改进自身缺陷, 使内部控制形成一个完整的循环。所以, 内部控制评价是保持内部控制与企业内外部环境协调一致的重要机制。这就需要内部审计对内部控制的完整性和有效性进行专门的评价, 并督促企业改进其控制缺陷。目前, 企业内部审计在财务监督过程中, 虽然也会涉及到内部控制的监督和评价, 但是这只是出于提高审计效率的需要。也就是说, 从内部审计视角看, 还没有把内部控制视为企业战略管理的手段, 尚没有对内部控制开展独立的评价, 对内部控制系统的改进和完善没有提供预期的帮助。
二、税务风险防控体系的基本架构
(一) 优化内部控制环境, 支持税务风险管理。
内部环境是企业税务风险管理的首要因素, 是风险管理其他要素发挥作用的基础, 从而成了内部控制框架的“短板”。也就是说, 内部控制整体质量取决于其中最薄弱的一个要素的质量。内部控制的这一特征说明了内部环境建设的先导性。
1. 优化法人治理结构, 为企业内部控制提供制度基础。
法人治理产生于两权分离, 其核心是控制权配置, 以达到所有者控制资源和经营者的目的, 这一特征决定了内部控制是组织治理结构的监控系统。由于内部控制是由组织的最高管理层建立并组织实施的, 其执行效力主要集中于组织的业务层面, 它并不能约束最高管理者的行为。也就是说, 法人治理属于基础性的控制手段, 内部控制只有以治理环境为平台才能发挥作用。
2. 设立专业的税务管理部门, 为税务风险管理提供组织保证。
企业税务部门负责制订和完善企业税务风险管理制度;参与企业战略规划和重大经营决策的税务影响分析, 提供税务风险管理建议;组织实施企业税务风险的识别、评估, 监测日常税务风险并采取应对措施;组织税务培训, 并向本企业其他部门提供税务咨询。
(二) 建立风险评估机制, 及时识别和应对风险。
价值链理论为税务风险管理提供了理论依据。税务风险管理本质上属于价值链中的质量保证活动, 它主要通过两个途径实现企业价值增值:一是通过介入式风险管理, 对影响企业战略实现的关键风险因素进行识别、评估和控制, 从而预防税务损失;二是通过流程式的税务监督, 对企业税务活动进行纠错以及对税务损失进行事后补救。
1. 以战略为导向, 识别税务风险。
以战略为导向意味着要提升税务风险的管理层次, 将税务风险纳入战略, 提升到企业决策层面, 以保证企业任何一项决策均要考虑税收利益因素。这就要求企业管理层运用税务思维考虑企业战略问题, 在战略目标设定时, 就要识别税务风险, 并且要在战略执行过程中, 根据组织内外部环境的变化对税务风险进行全过程管理;企业税务人员应深度参与企业的重大经营决策, 包括参与重大投资、并购与重组、重要合同签订等活动, 使企业战略和经营决策从一开始就考虑税务风险。
2. 以战略为导向, 评估税务风险。
风险评估是指通过对企业及其环境的了解, 识别组织战略面临的各种风险因素, 然后采用一定的评价方法, 评估各种风险的可能性和不利后果的严重性, 并按照风险的大小进行排序, 为风险应对提供依据。评估税务风险要坚持以战略为导向, 避免因短视行为而陷入“税务陷阱”, 因为暂时的税务损失, 可能是为了谋取长远的税务利益。
3. 根据风险评估结果, 采取适当的应对策略。
风险应对是指根据风险评估的结果, 对税务风险采取接受、回避、分散等控制策略。例如利用税务代理 (业务外包) 进行纳税申报, 以降低错报风险;放弃某些业务, 以规避税务法律风险等。应该注意的是, 在大多数情况下, 税务风险是不可规避的, 因为依法纳税没有可选择性, 不能以成本效益为原则去评估违法行为的可行性。税务风险评估的意义在于如何妥善安排控制资源, 提高控制资源利用效率, 而不是规避税收法律。
(三) 完善控制活动, 约束潜在风险。
1. 加强流程管理, 对税务风险进行全过程管理。
风险寓于流程, 一些业务流程会导致潜在的税务风险, 如混合销售、兼营业务等。因此, 有必要在税务分析的基础上对现有的流程进行重新规划和设计, 以建立起完备的业务流程, 使税务风险管理渗透到业务活动的各个层面和全过程。
2. 建立自动化控制方式, 提高控制的有效性。
人工控制的效率取决于控制者的业务素质和对控制的态度, 存在容易被规避的缺陷, 因此, 企业应尽可能利用自动化控制技术, 提高控制的效率。对于具有重复性、常规性的涉税事项, 如发票开具、税金计算等, 尽可能采用自动化控制方式, 但是, 对于特殊的涉税事项, 如收入确认、兼并重组等, 仍然有必要采用人工控制系统。
3. 根据税务风险特点, 建立分类控制制度。
我国税法具有鲜明的管理型特色, 征纳双方是管理与被管理的关系, 税务机关和人员具有一定的税收裁量权。这一特色主要起因于我国纳税人纳税意识普遍比较薄弱。在这种情况下, 采取正确的风险应对策略是十分重要的, 对于常规性涉税事项, 企业可以通过常规性控制系统予以控制, 对于特殊且重大的涉税事项, 必须要引入特殊的控制程序, 保证其税务处理方法得到税务机关的认可, 或者按照税务要求进行处理。
(四) 加强信息与沟通, 为风险管理提供信息支持。
信息与沟通是控制的基础, 良好的信息与沟通有助于组织及时、准确地收集、传递与内部控制相关的信息, 确保信息在企业内部、企业与外部之间进行有效沟通。
1. 改善组织结构, 提高系统信息传递能力。
内部控制出于风险管理的需要, 要求组织能够及时地获取风险信息以识别和应对风险。这就要求组织管理层级简单, 避免信息多次传递而失真;加大管理幅度, 通过横向协作和交流, 保证组织能够及时地获取和传递风险信息。所以, 内部控制必然要求扁平化组织结构与其相匹配。扁平化组织结构管理层次少, 可以降低信息耗散和沟通成本;它以任务为导向组建工作单元, 从而提高了信息横向沟通的效率。
2. 建立内部沟通机制, 寻求业务部门支持和配合。
企业的纳税义务产生于业务活动, 税务风险也产生于业务活动。所以, 加强信息沟通, 实现资源共享, 将有助于识别风险, 并争取业务部门的支持。例如, 增值税专用发票的销项税票是由销售部门开具的, 进项税票是由采购部门向其他企业索取的, 增值税发票开具时间是否符合要求, 进项税票是否能够抵扣, 取决于业务部门的工作质量是否符合增值税法的要求。因此, 企业的税务风险管理必须渗透到企业各个业务层面。企业税务风险部门可以利用调研报告、办公网络等渠道, 对各业务部门的涉税业务予以指导, 帮助业务部门丰富税法知识, 并提高涉税业务水平。
3. 建立外部沟通机制, 消除信息不对称现象。
税务争议的一个重要原因是信息不对称性的存在。为此, 企业应当加强与主管税务机关的沟通, 并争取就所有重大税务处理方法与税务机关达成共识。例如, 当企业因内部组织架构、会计政策发生重大变化时, 应当主动向税务机关备案;企业的税务筹划方案应当及时与税务局沟通;企业内部转移价格应当事先取得税务机关认可。通过“企税沟通”, 在企业与税务机关之间就“不确定性涉税事项”建立事前的协调机制, 以避免事后争议, 化解税务风险。
(五) 拓展审计服务职能, 强化内部控制监督。
企业风险管理框架 篇9
一、风险管理与内部控制
1. 风险与风险管理
风险是对企业的目标产生负面影响的事件发生的可能性,它正面的对应物是机会。风险管理是研究风险发生规律和风险控制技术的一门新兴管理学科,它是指各经济单位通过风险识别、风险估测、风险评价等阶段,并在此基础上优化组合各种风险管理技术,对风险实施有效的控制和妥善处理风险所致的后果,期望达到以最少的成本获得最大安全保障的目的。
2. 内部控制的内涵
广义地讲,一个企业的内部控制包括为保证企业正常经营所采取的一系列必要措施。在这个广义的定义之下,内部控制的职能不仅包括企业管理层用了授权与指挥进行购货、销售、生产等经营活动的各种方式、方法,也包括核算、审核、分析各种信息资料及报告的程序和步骤,还包括为对企业经济活动进行综合计划、控制和评价而制定或设置的各种规章制度。因此,内部控制贯穿于企业经营活动的各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。
内部控制和风险管理有一个共同的目的,就是维护投资者利益、保全企业资产,并创造新的价值。二者的目标一致,实现手段也有很多相似之处,它们同时出现让人们分不清各自的界限。1992年COSO在《内部控制一整体框架》中将风险评估作为内部控制的五个组成要素之一,在最新出台的《企业风险管理框架》中又进一步将内部控制扩展为风险管理,明确提出风险管理包含内部控制。2004年1月8日,我国有关方面举办了“商业银行风险管理与内部控制论坛”,这表明我国银行业也开始将内部控制与风险管理联系起来。
二、基于风险管理下的内部控制
基于风险管理下的内部控制明确了以下内容:是一个过程;被人影响;应用于战略制定;贯穿整个企业的所有层级和单位;旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;合理保证;为了实现各类目标。基于风险管理下的内部控制比起传统无论在内容还是范围上都有所扩大和提高,具体表现在提出一个新的观念——风险组合观。企业风险管理要求企业管理者以风险组合的观点看待风险, 对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言, 其风险可能落在该单位的风险容忍度范围内, 但从企业总体来看, 总风险可能超过企业总体的风险偏好范围。因此, 应从企业总体的风险组合的观点看待风险。并采取措施使企业所承担的风险在风险偏好范围, 总的来讲, 基于风险管理下的内控强调在整个企业范围内识别和管理风险的重要性, 此外, 根据风险管理的需要, 对企业目标进行重新的分类, 明确战略目标在风险管理中的地位。
在所有权与经营权高度分离的现代企业制度中,存在着职业经营者有可能不履行其受托责任而损害股东利益的风险。企业的有限责任形式也可能导致企业不惜损害债权人的利益而从事高风险的项目。诸如此类的风险无法由市场竞争自发约束或通过市场交易规避。唯一的途径是通过加强企业治理的责任制度,建立财务报告、内部控制、风险管理及审计制度等。
以投资业务内部控制为例,基于风险管理的投资业务内部控制设定以集团总体利益为先导的投资战略目标,通常是由母公司战略管理部门依据集团战略管理目标、风险偏好和企业集团风险容忍度等因素分解成的更为具体的目标。由于投资业务受风险因素的影响很大,因此为保证投资战略目标与企业集团的长远目标和风险偏好一致,企业应按照企业集团的战略管理目标和风险偏好等对投资战略目标进行精心的审阅。
此外,内部控制环境也是整个企业集团内部控制的基础。内部控制环境的特性最终会影响集团战略和目标的建立,会对风险的识别、评估和风险对策的实施产生变化,会改变控制活动的设计和执行的效果,会制约公司信息和沟通系统以及监控活动的实施。企业投资前首先应预测被投资行业的竞争程度,应选择没有极端垄断、竞争性又不很强的行业投资。其次必须预测本企业能够占有多大市场份额、市场需求大小,只有充分了解市场行情,才能防范市场风险。除了对项目进行主观可行性分析,还应该有先期的利润预测和现金流预测,在预测有困难的情况下,企业应该把行业中的类似项目集中起来,找到该项目系统风险的近似替代值,把该近似替代值作为该项目的风险测度。
三、我国企业投资业务中投资风险管理的内部控制的几点建议
1. 止损控制。
其目的就在于投资失误时把损失限定在较小的范围内。投资有很大的风险,万一发生风险,止损措施可以帮助我们把亏损控制在可以忍受的幅度之内,减少损失,不至于一败涂地。止损使得以较小代价博取较大利益成为可能。现实中无数血的事实表明,一次意外的投资错误足以致命,但止损能帮助投资者化险为夷。因此,在投资前考虑自身的风险承受能力,在自身风险承受范围内设定一个可以接受的损失程度,是投资实施的先决条件。对于企业集团来说,特别应该对无法实时监控的集团低层的投资操作进行更严格的止损控制。
2. 投资权限控制。
母公司对子公司的投资权限控制主要是针对子公司经营活动中重大决策行为进行控制,权限控制规定了子公司享有何种权限,即规定了子公司在多大程度和范围内可以做什么。因此在投资权限设置之后,关于投资权限的及时评价与调整关系到企业集团投资风险的大小。最后,经常对投资权限遵守情况进行监督检查,确保投资权合理利用,是对集团投资风险进行控制的关键。
3. 财务系统控制。
财务制度往往针对的是已发生的业务,对新业务的控制往往不够重视,因此应该对财务制度进行及时的更新,以降低企业集团新投资业务的风险,对投资业务真正达到从操作层面进行控制。
4. 预算控制。
预算控制是内部控制的重要方式。一般地说,预算控制是将企业的目标及其资源配置方式用数字作系统的阐述,并使之得以实现的企业内部活动或过程的总称。对投资业务进行预算控制有很多益处。首先可以协调子公司及其各职能部门的工作,协调企业集团内部的经济活动。其次预算控制使母子公司目标一致,确保了企业集团总目标的实现。但是预算控制也有缺陷。最大的问题是信息的不对称及滞后性,这就要求集团的信息传递系统能够迅速准确地发挥其应有的效应。
5. 项目控制。
通过项目可行性分析等方式对项目执行情况进行一系列有针对性的控制。投资项目的控制不仅体现在投资前的项目预测,也体现在后续投资的风险测度上。对项目的后续投资就不同,它可以建立在自己已有的前期投资的数据分析结果上,这样就比较准确可靠。后续投资的风险测度因而更加重要,成为投资风险管理必不可少的重要组成部分。通过对投资风险的分析、评价后,知道风险的大致分布情况,就可以针对风险情况,采取有效的策略对风险加以防范,以尽可能地减少甚至消除非系统风险,通常使用优势组合策略和分阶段投资策略,选择适合企业现阶段状况的投资项目,也使企业在逐渐扩大规模的基础上不断发展,从而避免一次投资所带来的不确定性。
6. 考核与激励。
考核与激励制度的设置关系密切,两者必须能够密切的配合才能达到对投资业务的控制目的。
7. 重要人事控制。
为了对投资项目进行控制,母公司可以对具体项目设定责任人进行全程控制与跟进,项目责任人的设置明确了投资责任,提高了控制的实效,灵活机动,是一种经常被采用的投资业务控制方法。
总的来讲,从企业总体层面上把握分散于企业各层次及各部门的风险并实施全面风险管理,在内部控制框架的基础上建立风险管理。基于风险管理下的内控强调在整个企业范围内识别和管理风险的重要性, 此外, 根据风险管理的需要, 对企业目标进行重新的分类, 明确战略目标在风险管理中的地位。
摘要:随着社会经济的持续发展, 企业内部控制也在不断发展变化, 并日益受到广泛的关注与重视。文中从风险管理的角度对企业内部控制的发展进行了探讨, 立足于对风险管理和内部控制内涵的理解, 在现有内部控制理论基础之上, 以风险管理论为导向进行内部控制资源配置和关键控制点设计等活动, 为内部控制相关目标的实现提供更多的保障。
关键词:风险管理,内部控制
参考文献
[1]朱荣恩贺欣:《内部控制框架的新发展--企业风险管理框架》, 审计研究, 2003.6
[2]陈铃:《关于我国内部控制规范建设的思考》, 会计研究, 2001.8
[3]杨书怀:《全面风险管理框架与内部控制整体框架的比较分析》, 财会通讯, 2005.11
[4]张恒:《基于风险管理下的内部控制》, 商场现代化, 2006.6
[5]初宜红刘晓红:《基于风险管理下的内部控制研究》, 价值工程, 2007.6
[6]沈银萱涂志:《基于公司治理的内部控制研究》, 北京机械工业学院学报, 2004.9
企业风险管理框架 篇10
任何有效管理制度的建立和实施, 必须有一个完善而健全的理论框架体系。从风险管理实践的发展历程来看, 从企业总体层面, 采用整合的方法来管理风险的活动始于二十世纪九十年代。与之相适应, 世界上不少专业团体与组织发布了各自的风险管理框架, 如欧洲风险管理联合会发布的风险管理标准、澳大利亚-新西兰的企业风险管理4360号标准、新巴塞尔资本协定下的风险管理框架等。由于制定主体、制定背景的不同, 这些风险管理框架的内容及侧重点均有所不同。但目前国内理论界仅对COSO于2004年发布的《企业风险管理框架》 (Enterprise Risk Management—Integrated Framework) 给予高度重视。比较各风险管理框架的异同, 将对丰富与促进我国的风险管理理论与实践有重要的意义。
一、国外主要的企业风险管理框架内容的比较
在国外, 除COSO的风险管理框架外, 在企业风险管理 (Enterprise Risk Management, 以下简写为ERM) 领域比较有影响的框架还有以下几个方面:
(一) 英国财务报告委员会提出的ERM框架
英国关于ERM的框架主要是英国财务报告委员会于2003年公布经修订的《公司治理综合守则》 (Combined Code on Corporate Governance) 、于2005年公布经修订的《内部监控:综合守则的董事指引》 (In-ternal Control—Revised Guidance for Directors on theCombined Code) 。其中《公司治理综合守则》虽未被明显标榜为ERM框架, 但“风险 (risk) ”一词在其中被提及100多次, 并认为董事会的职责是提供有效的控制框架, 目的是有效的评估与管理企业面临的风险。《内部监控:综合守则的董事指引》认为董事会应采用风险导向的内部控制来评估公司的风险管理和内部控制活动, 并对风险评估、控制环境及控制活动、信息与沟通、监控等四个要素进行审查;同时, 该指引还对与风险评估有关的内容提供了更为深入的指导, 成为英国上市公司必须遵循的规定。
(二) 南非ERM框架
2002年, 南非为重建国内资本市场对国内企业的信心, 提出了第二版The King Report on Corporate Governance for South Africa (King II Report) 。该报告共五部分, 其中之一为风险管理。并认为董事会应对企业的风险管理过程及效率负责, 董事会的职责在于确立风险战略、评估风险过程、评估风险的暴露、审查公司风险管理过程及公司面临的重大风险、负责公司对风险管理的披露。
(三) 欧洲风险管理协会联盟的ERM框架
2004年, 由风险管理协会、保险及风险经理联合会、全国公共领域风险管理论坛等机构组成的欧洲风险管理联合会 (Federation of European Risk Management Association) 发布了《风险管理标准》 (A Risk Management Standard) , 并视该标准为ERM的最佳实践。该标准认为, 企业的风险管理活动应与组织的战略目标相联系, 并包括风险评估 (可细分为风险分析、风险识别、风险描述、风险估计、风险评价) 、风险报告、决策、风险应对、未揭示风险报告及监控等过程。
(四) 澳大利亚-新西兰的“企业风险管理4360号标准”的EMR框架
2004年, 澳大利亚和新西兰联合组建了一个技术委员会;共同发布了两项关于EMR的文件:《风险管理》 (Risk Management) 和《风险管理指引》 (Risk Management Guidelines) 。这两项文件旨在对企业的风险鉴别、公司治理、遵循管理等领域提供指导, 并认为企业的风险管理应遵循如图1所示程序:
(五) 新巴塞尔资本协定下的EMR框架
新巴塞尔资本协定 (Basel II) , 是由国际清算银行下的巴塞尔银行监理委员会 (Basel Committee on Banking Supervision) 所促成, 内容针对1988年的旧巴塞尔资本协定 (Basel I) 做了大幅修改, 以期标准化国际上的风险控管制度, 提升国际金融服务的风险控管能力。Basel II提出了一个能对风险计量更敏感、并与当前市场状况相一致的新资本标准, 明确将市场风险和经营风险纳入风险资本的计算和监管框架, 并要求银行对风险资料进行更多的公开披露, 从而使市场约束机制成为监管的有益补充。Basel II以三大支柱概念为基础:最低资本要求、监管委员会、市场约束。
(六) 标准普尔公司的ERM框架
在对金融保险业的公司进行信用评级时, 标准普尔公司 (S&P) 已开始考虑评级对象的ERM活动。S&P对银行业的ERM活动评价内容包括评级对象的ERM政策、ERM基础和ERM方法。其中, ERM政策主要涉及风险文化、风险偏好、风险战略、风险监控及披露;ERM基础包括风险管理技术与培训;ERM方法是指资本配置、模型审查、风险评估方法。S&P对保险业的ERM活动评价则从风险管理文化、风险控制、战略风险管理等角度展开, 并将评级结果定为“弱”、“适当”、“强”、“很好”四个等级, 其中, “适当”意味着该公司的风险控制系统能有效的控制所有重大风险。
二、国外主要ERM框架共有的基本要素
如前所述, 虽然不同的专业团体和咨询公司认同不同的ERM框架, 但这些框架的基本构成要素都有相似之处, 但对这些基本要素的描述语言存在一些差异。
(一) 组织的环境——有效实施ERM的基础
组织的环境包括: (1) 公司高层领导的态度。高层领导的态度是有效风险管理的决定因素, 因为他们是ERM的最终责任者。董事会类似于“公司目前面临的最大风险是什么”“采用了哪些风险管理措施”的提问向CEO传递一种信号:公司经营易受风险影响, 希望公司能有有效的风险管理程序。CEO在决策中对风险的考虑也会向整个组织传递类似的信号。 (2) 风险管理哲学、风险文化、风险偏好。风险管理哲学是组织关于风险的信念, 和如何选择、引导活动并处理风险, 它反映组织从ERM所寻求的价值。风险偏好与企业的战略直接相关。风险文化是表现企业如何在日常活动中考虑风险的一套共用的看法、价值观和惯例, 风险文化来源于实体的风险哲学和风险偏好。 (3) 诚信和道德价值观。企业的战略和目标及其执行和完成的方式, 是以优先选择、价值判断和管理风格为基础的。管理部门的诚信和对价值观的承诺会影响优先选择和价值判断, 被认为是行为标准。诚信和道德价值是环境的核心要素, 影响着设计、管理和监管其它企业风险管理组成部分。 (4) ERM的范围和基础构造。
(二) ERM框架的基本构成要素
任何一个ERM框架的都包含以下基本要素:设定战略目标、鉴别风险、评估风险、应对风险、控制活动、沟通与监管。构建ERM框架的第一步是要明确组织的战略目标。战略目标反映了管理层的选择, 在考虑实现战略目标的措施时, 管理层要鉴别和战略选择相关的风险, 考虑相应的应对措施, 并且使所有员工对相关问题有深入的了解。鉴别风险的目的在于使管理层对影响企业成功实现战略、达到目标的能力的潜在事件进行识别。具有潜在负面影响的事件代表了风险, 要求管理层对其进行评价并做出反应。而具有潜在积极影响的事件可能抵消负面的影响或者代表了机会。管理层将机会引回到战略和目标设定过程。多种内部和外部的因素会引起事件的发生。管理层在识别这些潜在的事项时, 需要从整个企业范围内加以考虑。管理层在企业经营和风险接受度内考虑事项的相互关系。评估风险是对识别出的风险进行评估, 以形成一个决定如何对其实施管理的基础。管理层通常采用定量和定性相结合的方法从可能性和影响两个方面对风险进行评估。在风险评价的基础上, 管理层应决定采取相应的应对措施。应对措施包括风险规避、减轻、分担和接受。在考虑风险应对措施时, 管理层考虑成本效益关系, 根据企业期望的风险承受度, 选择一个可带来预期可能性和影响的应对措施。控制活动是为确保管理层的风险应对措施被执行而采取的政策和程序。控制活动在整个企业的各个部分、各个层面以及各个职能上发生, 包括一系列的活动———如批准、授权、审核、调整、经营业绩评价、资产安全以及职责分离。沟通与监管是风险管理的重要环节, 通过以某种形式和时间结构识别、掌握并交流信息, 可以使人们能够履行责任。同时, 整个企业风险管理必须得到监管, 而且要有必要的调整。这样, 该系统可以充满活力, 并在条件保证下转变。监管是通过持续的管理活动, 对企业风险管理过程的评价。
三、对我国企业风险管理的建议
(一) 构建适合企业自身特征的风险管理框架
为了有效的实施风险管理, 必须将风险管理的精神深植于企业的组织文化和员工的心中, 并透过一个强有力的风险管理框架, 将风险管理融入企业日常的作业程序中。建立ERM框架的核心是使管理者明确组织正面临怎样的风险、这些风险如何随经营环境的变化而变化、组织应承担什么水平的风险、应如何管理这些风险。但公司及其风险管理能力和需求, 会因行业及规模、企业文化及管理哲学而有很大的不同, 决定了尽管所有实体都需要每一个组成部分来维持对其活动的控制, 某一公司对企业风险管理框架的应用——包括所采用的工具和技巧, 以及企业风险管理的作用和职责的分配——与另一公司总会有很大的不同。一个良好的适合本企业的ERM框架应达成以下目标:第一, 将风险偏好与公司战略相联系;第二, 确保风险管理战略与组织的发展战略和股东的价值相一致;第三, 提供鉴别和评估风险的工具, 以利于鉴别和评估组织所面临的风险;第四, 提供对风险进行科学归类的工具, 利用风险最优化的概念, 以组合观为基础来探讨风险议题;第五, 将ERM与基本的经营活动相整合, 避免额外的成本支出。
(二) 注意风险管理框架各组成部分的相互联系
企业风险管理不是一个系列过程, 即一个组成部分只会对下一个产生影响。而是一个动态的过程、一个多元化的相互作用的过程, 几乎任何组成部分都能够并将会影响另一个。风险评估驱动风险应对, 影响控制活动, 激起重新考虑信息和交流或实体监管活动的需求。
(三) 注意成功实施ERM框架的关键因素
ERM框架的有效实施的标志是企业拥有管理风险所需要的信息、存在管理风险的共同的术语和标准、ERM与公司的战略规划过程完整地进行了整合、ERM的数据已在最大程度上被量化、ERM已被整合到各部门和经营单位、组织内每个人都知道他在ERM中的职责、组织能有效的追踪与遵从活动有关的成本、遵从活动已减少了不遵从的风险。因此, 成功实施ERM框架的关键因素包括:来自高层管理者的支持;组织内各职能部门及员工对执行ERM的认同;将ERM与组织的战略相整合, 从动态的、长远的角度来设置和调整组织的风险偏好、风险战略和相应的风险应对措施;增强信息的有效性, 及时将ERM的实施情况与利益相关者进行沟通, 即管理人员要通过提炼和加工等措施将从各种来源渠道取得的信息转化为可诉诸行动的信息, 并与相关的信息的使用者进行充分的交流。
参考文献
[1]张巧良, 王亚丽.国外企业成功实施风险管理的经验与启示[J].管理现代化, 2007, 12.
[2]张巧良, 陈俊.提升ERM能力的对策探讨[J].财会月刊 (综合版) , 2005, 11.
[3]陈俊.提升ERM能力的对策探讨[R].硕士论文, 未公开, 2005.
[4]IAM:Enterprise Risk Management:Frame-works, Elements, and Integration, 2006.
有价值的企业预算框架构建刍议 篇11
【关键词】有价值;企业预算;框架
为应对瞬息万变的市场环境,企业需要更认真地对待预算工作。传统的企业预算方法显然应对不了目前的环境,只有更科学、更具价值意义的企业预算,才能保证企业自身在市场中坚不可摧。
一、有价值的企业预算的内涵
有价值的企业预算就是以创造和增值企业的价值为核心的管理,通过企业的战略引导,对现有的财务、非采取资源以及将来的可控资源进行科学的量化、具体化安排。企业进行预算,不仅能对现有资源和将来可控资源进行科学合理的安排,而且能对预算期内不可见风险做出相应的防范。这既使得企业的资源得到合理的利用,也对风险做了科学性的防范与管控。保障了企业长期稳定的发展同时,又创造了新的价值,在满足了股东、债权人和员工、政府的利益诉求的情况下,还担起了更多的社会责任,为企业的科学和谐发展做好了有利的铺垫。
有价值的预算,就是能够从某种价值理念出发,结合市场信息导向,在企业内部形成一个有序的价值创造系统,可以适应市场变化,有效降低市场风险对自身造成的冲击。企业实行有价值的预算,可以优化其组织和业务的流程,便于引导各种资源发挥作用,这实际就是一种创造价值的过程。
二、有价值的企业预算的特征
1.以创造和增值价值为宗旨
企业的价值,一定是体现在顾客对产品和服务的认同与接受。顾客愿意为产品和服务支付价格,就是企业的生存之道。作为企业,只有将创造和增值价值作为宗旨,才能展开明确的预算目标、编制预算、控制执行和考核评价等。如此,将能不断壮大企业发展的实力,才能为企业培育有价值的资源。
2.战略性
在制定预算目标时,首先要从企业的整体战略出发。分析现处的外部环境,可以有效规避市场风险,为自身赢得良好的外部条件。此外,战略往往是具有长期性和前瞻性的,所以这也能保证企业的战略目标逐渐得到分解与落实,使目标更具有可操作性。
3.基于企业的价值活动分析
企业的存在就是要为顾客不断提供所需产品与服务,这是企业的根本价值所在。因此,要实现企业利益方的获利,就必须认真分析什么样的作业和活动才能不断满足顾客。通过实际的经验获得,找到满足顾客和创造价值的途径。通过分析,企业找到预算控制执行的突破口,就能够将有限的资源调配到具有更大价值的作业和活动中,实现价值最大化。
4.整合并优化企业资源
调动企业各层级管理和非管理人员,引导资源流往更利于创造和增值企业价值的方向。相较于传统的预算管理,有价值的预算是在完成价值分析和作业分析之后进行的资源整合,这更利于流程的简化和部门间的信息沟通,从而提高了企业信息流、资金流和物流等各系统的运作效率。
5.拓展了预算管理的范围与深度
有价值的企业预算,绝不仅仅只关注财务指标,更多的是关注企业的战略目标在这一年的完成情况。此外,还包括顾客需求、管理与业务流程、组织学习和人力资源等。全面关注企业的财务价值、客户价值和员工价值,是提高企业价值创造的关键因素。
6.动态性
市场环境是时刻都在变化的,它具有不稳定性和不可预见的特征。因此,企业的环境也随之而变化。有价值的预算就需要随时注意外部环境的变化,以免风险预估不足而造成企业的损失。同时,在预算运行中,需要及时对反馈信息做出回应。这比较有利于开展预算考评工作,对真正为企业做出贡献人员施以奖励和激励。
三、有价值的企业预算的框架
有价值的企业预算,始终都是坚持价值创造为核心思想的,努力实现企业价值的最大化。在满足了顾客需求的情况下,再满足企业利益方的需求。
有价值的企业预算要包括目标层面和运行层面,运行层面可以细分成3个阶段:预算编制阶段、预算执行控制阶段和预算考评阶段。在制定预算目标时,要综合指标选取和指标确定两方面考虑,结合企业的战略目标和自身现状,以及在行业领域中的位置,制定科学合理的、提升企业价值的预算目标。
1.预算编制就是在目标的引导下,实现企业组织结构的改造和优化,让它成为能及时响应顾客的组织。通过预算编制程序,选择具有价值创造理念的方法,保证预算表格体系的准确、详细,且具有多维度。
2.预算执行控制的首要任务是建立预警机制,运用合适的执行控制模式,时刻关注预算的调整和风险的管控,并及时反馈信息以便预算目标更好的完成。
3.预算考评是建立科学合理的考评原则和指标,对预算执行人员的成绩和预算工作进度进行考察,确定相应的奖惩制度,保证企业价值能够源源不断。
总之,有价值的企业预算就是需要时刻关注企业的作业与活动的创造和增值价值能力,对有利的资源和作业进行培植。它能为企业价值创造的提供优质的行动方案,并做出资源配置,其预算考核也不仅是以超支作为评价的指标。
四、结束语
企业要想实现利益最大化,发挥自身最大的价值,就只有改变传统理念,制定科学的预算办法。坚持有价值的企业预算,才能够提升企业应付市场环境的能力,也才能够保证自身在行业领域中的坚固地位。
参考文献:
[1]田永忠,张琦.建立基于价值链分析的预算管理框架——以有色金属企业为例[J].中国金属通报,2014,03:44-45.
[2]宋良荣,江红.基于经济增加值的企业全面预算管理研究[J].技术经济与管理研究,2014,01:59-63.
企业风险管理框架 篇12
早期基于风险管理的研究主要是以管理学相关理论为基础。企业作为一个持续经营的微观市场主体, 在日常营运中可能遭受到战略风险、经营风险、财务风险、不可抗力风险等诸多风险, 在防范风险的过程中, 企业管理的重要内容之一就体现为建立适时有效的风险预警、评估系统, 用以评价、估测各种风险的类型和程度, 并选取相应的控制措施。随着公司治理、内部控制研究的日益深入, 学者们逐渐将宏观管理的视角转向企业内部, 并结合内部审计再一次诠释企业风险管理的重要性。严晖 (2004) 系统地阐述了风险导向内部审计与内部控制、风险管理和公司治理之间相辅相成的关系;并分析公司治理与公司管理的关系, 考察内部控制演变过程与公司管理的关系, 重点研究COSO的最新研究成果ERM对公司治理和公司管理的影响。毛敏 (2004) 从内部审计与风险管理的互动关系上, 预测了内部审计工作重点不再是控制测试而是评估和管理风险。黄园园 (2005) 认为与企业风险管理的协调和整合是内部审计获得发展和增加价值的重要途径。刘霞 (2007) 认为, 对企业风险管理进行监督和评价是现代内部审计发展的结果。笔者认为, 企业风险管理是基于内部审计的基础上, 不断萌芽、发展的, 是内部审计的高级阶段, 企业风险管理框架是一个三维立体的由多变量共同决定的风险管理体系, 通过自身目标的履行, 要素的实施过程, 来预测并弱化控制风险;同时, 与企业内部的具体环境密切结合, 对内部审计职能的有效施行、内部审计人员的素质提出了更高的要求。
一、企业风险管理框架分析
企业风险管理的基础性前提是每一个主体的存在都是为其利益相关者提供价值。所有的主体都面临不确定性, 管理当局所面临的挑战就是在为增加利益相关者价值奋斗的同时, 要确定承受多大的不确定性。管理当局依据不确定性, 制定战略和目标, 力求实现增长和报酬目标以及相关的风险之间的最优平衡, 并且在追求所有主体的目标的过程中高效率和有效地调配资源, 以使价值得以最大化。通过COSO给出的企业风险管理的框架, 可知企业风险管理是一个过程, 持续地流动于主体之内;由组织中各个层级的人员实施;应用于战略制定;贯穿于企业, 在各个层级和单元应用, 还包括采取主体层级的风险组合观;旨在识别一旦发生将会影响主体的潜在事项, 并把风险控制在风险容量以内;能够向一个主体的管理当局和董事会提供合理保证;力求实现一个或多个不同类型但相互交叉的目标。
(一) 企业风险管理的目标
COSO报告将企业风险管理的目标归纳为:战略目标、经营目标、报告目标、合规目标。战略目标规划企业经营管理活动所必须长期坚持的有效愿景。经营目标涉及到企业经营的效果与效率, 包括业绩指标与盈利指标, 旨在提高企业有效及高效地利用资源的能力。报告目标关注企业报告的可靠性, 分为对内报告和对外报告, 涉及财务和非财务信息。合规目标是最基础的目标, 考察企业经营遵循相关的法律法规的情况。其中, 战略目标层次最高, 反映了管理者为努力实现利益相关者创造价值的目标而做出的选择。
(二) 企业风险管理的构成要素
企业风险管理包括八个互相关联的要素, 这些要素来自管理层经营企业的方式, 并和管理流程整合在一起。包括:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通及监控。宏观上, 内部环境是企业风险管理的基础, 为企业风险管理其他组成部分的顺利运行提供了平台。目标设定是全面风险管理的起点, 是其他要素的驱动力量。在目标设定的前提下, 对影响目标的风险进行事件识别, 进而对识别的事项进行风险评估, 风险评估驱动风险反应, 影响控制活动, 信息与沟通和监督贯穿于企业风险管理的整个过程, 并对各个组成要素进行修正。这样, 企业风险管理就成为了一个多元化、多方向的、不断重复、相互作用动态的过程。
(三) 企业风险管理框架评析
认定一个主体的企业风险管理是否“有效”, 除了目标制定上的正确性外, 还要判断其构成要素是否存在, 且有效运行。构成要素如果存在并且正常运行, 就可能没有重大缺陷, 而风险则可能已经被控制在主体的风险容量范围之内。如果确定企业风险管理在所有四类目标上都是有效的, 那么董事会和管理当局就可以合理保证了解主体, 并实现其战略和经营目标及主体报告的可靠性以及符合适用的法律和法规。
在ERM框架中, 内部审计人员在监督和评价内部控制及相关成果方面承担着重要任务, 必需协助管理层和董事会监督、评价、检查、报告和改革ERM的运行情况, 这对内部审计人员的能力提出了更高的要求。对内审人员而言, 最大的挑战是在ERM中扮演何种角色。但COSO报告认为内审人员不应对建立ERM体系承担主要责任。这可能使内审人员的职责从原来对CFO和内审委员会负责转变为对CFO、内审委员会和风险主管负责。从ERM框架中, 笔者发现, 其新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样, 在自己的职责范围内建立起风险管理外, 还要帮助其他经理人报告企业风险信息, 成为风险管理委员会的成员之一。可见, 风险管理框架的运用对管理层进行了重新配置, 加强了管理人员的风险意识, 深化了内部控制, 同时明确内部审计是风险管理的高层确认者、是对风险管理的再管理。
二、企业风险管理与内部审计的关系
对比COSO制定的ERM概念与IIA修定的内部审计定义, 不难发现, 企业风险管理框架主要应对潜在的事项, 将战略决策贯穿于整个企业实施的过程中, 将风险控制在企业偏好的容量限度内, 并为企业目标的实现提供合理的保证。因此, 风险管理框架下的内部审计关注的核心是企业在实现其自身目标下所经历的各类风险, 以及风险大小的测量、风险预警系统的设置情况。
(一) 风险管理框架下的内部审计应用效果分析
第一, 内部审计不同于单纯的财务审计及管理审计, 而是融风险管理、公司治理和内部控制的审查于一体, 更关注企业在整个治理过程中的决策风险和经营风险。第二, 内部审计的职能更加明确。西方业界的“外包化”理念迅速地传至中国, 通过外包, 企业可以利用民间审计的优势资源和较低的成本为企业服务, 这在一定程度上抢占了内部审计人员的业务。生存危机使内部审计部门必须努力寻求自身的存在路径, 为企业组织提供独特的增值服务。而在风险管理框架下, 企业雇员利用对企业具体经营模式的高度熟悉度及忠诚程度从民间审计CPA事务所手中夺得审核企业的权利, 凸显了其优势;通过咨询与鉴证服务, 内审人员制定出适合企业的专用审计方案, 帮助企业快速作出决策, 并提高决策的科学性、实用性, 使审计人员的职能更加明晰突出。第三, 内部审计拓展了风险管理的工作范围。传统审计所提供的保证服务通常是事后对某一领域或事项的评价, 而风险管理则是对可能影响组织的潜在事件的管理, 贯穿于事前、事中、事后并覆盖整个企业。这使内部审计逐渐形成了基于战略计划和风险评估而制定的, 向管理层提供确认和咨询的主动服务方式。风险管理框架下的内部审计为强化公司治理及健全内部控制提供了良好的沟通桥梁, 促进了公司治理与现代内部控制的协同与整合, 有利于企业内部受托责任委员会定期开展评价活动。
(二) 内部审计对风险管理框架的促进作用
内部审计在企业风险管理中的首要角色是监督者, 包括对风险流程的识别评估, 对最终产品流程报告的评估和对关键风险管理的预测。在企业风险管理框架中, 内审人员首先要针对企业所处行业的特点及企业自身的优势劣势进行SWOT分析, 制定出适合企业发展的战略计划, 然后识别出可能影响企业运营的事项。为识别这些事项, 必须对风险进行评估, 可运用“风险坐标图”进行评估。在风险坐标图上, 风险的类型和程度均予以标明, 通过风险坐标图, 可以指明在哪些领域、哪些关键业务上公司的风险比较大, 可能会产生不利影响。在明晰和估测风险后, 可利用一些模型、软件来测算风险的大小, 如果风险值在风险的容量内, 该方案就是可行的, 否则就需重新设计方案, 重新进行优化选择。
此外, 内部审计的成功实施还会对企业文化的积淀起着积极的促进作用。企业文化是一个企业在长期生产经营中倡导、积累, 经过筛选提炼成的, 是企业的灵魂和潜在的生产力, 是打造企业核心竞争力的战略举措。企业在不断应对风险的过程中, 通过制定的战略规划, 建立起企业风险管理文化, 而内部审计的职能则由单纯的监督检查的保护性职能向与咨询服务的建设性职能并重转变, 使企业的风险管理文化日趋成熟。
三、企业风险管理框架的构建
目前, 许多国内企业开始积极进行风险管理建设的尝试, 在一定程度上增强了企业抗风险的能力。但总体上, 国内企业对风险管理的意识还比较淡薄, 这客观上促使我国要在现有的关于企业内部控制及审计准则的基础上建立一套比较系统的、完善的中国企业风险管理框架, 来指引和规范当前企业的运营及长远发展。国资委2006年6月发布的《中央企业全面风险管理指引》正是为推进风险管理建设做出的有益尝试和重大突破。由于我国实行的是以公有制为主体, 多种所有制经济共同发展的社会主义市场经济体制, 国有经济、集体经济及混合所有制经济并存, 体制结构较为复杂。参照《中央企业全面风险管理指引》, 可以区分不同的经济体制, 分别进行风险管理框架的构建。
(一) 国有经济风险管理框架构建探讨
对于大型的国有经济, 实施风险管理框架的重点应从完善公司法人治理结构入手。一个良好的公司治理结构应当实现组织既定目标, 维护股东的权益;确保利益相关者的合法权益, 并且鼓励公司和利益相关者积极进行合作, 保证及时准确的披露与公司有关的任何重大问题, 包括财务状况、经营状况、所有权状况和公司治理状况的信息;确保董事会对公司的战略性指导和对管理人的有效监督, 并确保董事会对公司和股东负责。因此, 完善的公司治理应该保持良好的内部控制制度、内部审计制度, 双管齐下, 按照合规性和效益性原则, 全面建立风险管理框架体系。重点要以国有企业改革为契机, 建立现代企业制度, 完善法人治理结构, 强调国家作为出资者对企业的绝对控制权, 以资本控制为纽带加强董事会、监事会在风险管理框架中的地位, 建立健全管理机构, 厘清权责分派体系, 建立新型的激励约束机制。此外, 要重视现代网络信息技术运用和财务预警机制的建立。还要注重对整个企业组织文化的培养及员工的继续教育与培训工作。
(二) 中小企业风险管理框架构建探讨
中小企业的数量很多, 经济结构也较为复杂, 大部分中小企业为非国有企业。其面临的主要问题有组织机构职责不明、家族管理制普遍;决策机制灵活性较大、战略意识模糊;人员素质较低等。因此, 企业应从实施风险管理框架的最基础工作做起, 规范相应的公司法规, 厘清混乱的局面。按照合规经营的要求建立内部控制框架, 做到财产管理制度健全、会计信息真实, 在此基础上, 逐步按效益性要求建立风险管理框架。此外, 风险管理框架的建设与运行中需要大量高层管理者大力推动, 因此中小型企业更应引进人才, 注重培训, 提高企业人员素质, 特别是管理者的素质。
企业风险管理框架是一项综合性的、复杂的现代管理系统, 短期内很难达到满意效果, 需要在相当长的时期中不断摸索和实践。现在已经施行风险管理框架的企业, 如甲骨文公司、GOOGLE已经取得了较好的管理经营业绩。这也从一个方面说明了建立风险管理框架的重要意义。风险管理框架孕育于内部审计之中, 更是内部审计发展的高阶段, 在经历了时间和实践的检验后, 必将以蓬勃的势头广阔发展。
参考文献
[1]劳伦斯·索耶 (美) , 汤云为等译:《现代内部审计实务》, 中国商业出版社1990年版。
[2]方红星等译:《企业风险管理—整合框架》, 东北财经大学出版社2005年版。
[3]毛敏:《风险管理框架下内部审计职业化的发展策略》, 《财会通讯》 (学术版) 2004年第12期。
[4]严晖:《公司治理、公司管理与内部控制——对COSO企业风险管理框架 (ERM) 的分析》, 《财会通讯》 (学术版) 2005年第4期。
[5]黄园园:《内部审计与企业风险管理的协调和整合》, 《审计与经济研究》2005年第5期。
[6]刘霞:《关于企业风险管理框架的若干思考》, 《经济研究导刊》2007年第2期。