构建企业全面风险管理框架_会计审计论文

摘要：在不断进步、创新的科学技术的要求下，在世界经济国际化、金融全球化的影响下，市场的竞争越来越激烈，并充满了瞬息万变，在这样的环境下，无论是在人力资源管理方面、财务方面，还是在法律方面、内部控制方面都充满了风险，也就是说，企业身处于一个风险重重的环境之中。因而，风险管理在企业的发展中占据着举足轻重的地位，对企业的存亡起着一定的决定作用。在本文中，笔者首先对企业全面风险管理的内涵进行了简要介绍，然后对我国企业实施全面风险管理的必要性进行了分析，最后提出了构建全面风险管理框架的措施。

关键词：企业全面风险管理内涵必要性措施
一、企业全面风险管理的内涵
有人认为，所谓全面风险管理，指的是在董事会、管理层和其他人员的影响下的，贯穿在企业的全部经营管理活动中的确保企业既定目标得以实现的保证潜在于企业内部影响企业正常运作的风险被规范在企业的风险偏好之内的过程。这个定义是于2003年7月在《企业全面风险管理框架》（美国COSO、普华永道）报告中首次提出的。
还有人认为，所谓全面风险管理，为了保证企业风险管理的总体目标的实现从而提供的一种过程和方法。在这一过程中，以企业的总体经营目标为导向，以将风险管理的基本流程执行和贯彻到企业管理的各个环节和经营过程中为手段，以以企业管理中的风险管理策略、财务管理中的风险理财为措施、企业组织结构中的组织职能体系的风险管理、风险管理信息系统、内部控制系统为内容的全面风险管理体系的建立为途径。这一定义是于2006年6月《中央企业全面风险管理指引》（中国国务院国资委）中提出的。
综上所述，在全面风险管理中，作为一个持续改进和不断提高的庞大的、系统的动态东城，以风险管理的长效机制为途径从而使风险能够得到有效的控制和化解是其最终目标。
二、在现代企业中构建全面风险管理框架的必要性分析
1.应瞬息万变的外部风险环境的要求
在瞬息万变的市场环境中，企业发展的健康型、持续性、稳定性的保持必须以企业风险管理体系的建立健全、企业风险防范能力的提高为前提。目前，在日趋激烈的企业外部风险环境变化的要求之下，为了防止在内部因素和外部因素的不断变化的影响下导致企业面临重大风险并遭受损失，必须使企业的风险管理逐步得到加强，并不断地使存在于企业对经营战略目标的事项方面的不确定性得到降低。同时，在现代企业的经营管理水平中，企业的风险管理水平也是一个重要的衡量标准。
2.应国际上和国内各个企业中所发生的重大风险的经验吸取的要求
美国众多全球知名公司，例如雷曼兄弟公司、房利美和房地美公司等在2008年美国次贷危机的威胁之下纷纷落难，这不仅是美国国家应该关注的，还是整个经济界应该关注的，更是全世界应该关注的。近几年，在我国，我国企业中的重大危机也频繁发生，并造成了难以预计的损失。就其原因，经营风险和财务风险普遍存在于企业的资金链管理、供应链管理、安全生产过程，等等企业的整个经营管理过程之中。这些我们可以从我国中航油新加坡投资衍生品事件、三鹿事件、华源股份事件，等等一系列事件中了解到。因而，在这一桩桩、一件件案例中，我们必须吸取经验教训，必须对在我国企业中构建全面风险管理的框架。
3.应客观的战略目标的发展与实现的要求
存进风险防范能力、内部控制能力的不断提高，对企业经营管理的各个环节的潜在风险的充分分析，从而使潜在的风险有效地规避措施被指定出，使企业资源整合、成本节约、效能最大化得以实现，是有效地实施企业战略的前提基础。在企业的全面风险管理中，企业的日常业务运营的过程中贯穿了风险管理，不但有效地控制了影响企业战略目标实现的风险因素，更重要的是能够使企业经营的稳健性得到了保障。
4.应监管机构在全面风险管理方面的提升要求（包括国际监管机构和国内监管机构）
在本世纪初，对企业的内部控制系统的各项要求在《SOX法案》（美）以及《奥克斯利法案》（美）中进行了明确规定。其中，《奥克斯利法案》的颁布使理论界和实务界的关注焦点全部集中在全面风险管理之上，所以我们说，《奥克斯利法案》是第一步强制性的规定企业在内部控制工作中开展全面风险管理的法律条文。在这两本法案的带领之下，关于对企业内部控制监管加强的政策被各国政策陆续出台，甚至在一些国家中，企业内部控制已经成为法律的一个重要的组成部分。
在我国，为了使我国企业的内部控制得到规范和加强，从而使企业全面风险管理的建设得到推动和加强，从而使我国企业的风险防范能力不断得到提高，保证我国企业发展的持续性、健康性、稳定性。2006年6月6日，国务院国有资产尖端管理委员会出台了《中央企业全面风险管理指引》；2006年6月5日，上海证券交易所出台了《上海证券交易所上市公司内部控制指引》；2006年9月28日，深圳证券交易所出台了《深圳交易所上市公司内部控制指引》；2008年5月22日，财政部、证监会、审计署、银监会、保监会共同出台了《企业内部控制基本规范》。
5.应企业不断对其价值进行提升的要求
企业的价值在对可能发生的风险事件的识别、评估、对策的制定等等风险管理使企业的经营损失不断减少的过程中得到了提升，虽然这种提升是间接的。在全面风险管理中，结合风险与一体的将风险管理纳入竞争优势体系的管理方式取代了以往的仅仅对风险防范的方式，在这种全新的风险管理方式之中，企业价值的提升上升到了一个战略性的水平之上，也就是说企业价值的提升进行了横向和纵向的扩展。在全面风险管理框架下，企业的核心竞争力在不断地认识危机的过程中得到增强，使企业战略的实施得到了有效地保证。
三、如何构建全面风险管理框架
1.使风险意识在企业所有员工的意识中得到树立，从而使现代风险管理理念不断得到提高。
众所周知，意识是行为的基础。所以，在风险管理中，整个风险管理建立于风险意识的基础之上。对风险的识别和管理是造成风险损失还是形成风险机遇的关键所在。将风险和给予纳入到全方位的风险管理体系是现代风险管理理念的一个显著特点。虽然，对风险进行防范、化解是企业进行全面风险管理体系建设的目的，但不是唯一目的，对利润和价值的创造也是建立全面风险管理体系的重要目的之一。在现代市场经济中，风险存在于企业经营管理的各个环节、各个方面之中，而企业所面临的最大风险便是企业没有对机会的把握。所以，在全面风险管理策略的适当选择和实施后，企业对各种风险的发生、状况、发展的控制、抓住机遇的有效性、及时性才能得以保证，从而促进企业发展的健康性、持续性。
风险管理理念的树立应该是企业整体、员工全体的义务，并非是某个人、某个部门的责任，这是树立和提高风险管理理念的重要前提，因而，在进行风险管理的过程中，必须以企业的生产经营为线索，将风险管理贯穿到每一个环节之中。为了保证每个层级的管理者、员工与风险责任与其工作岗位之间的关系进行正确的认识和理解，企业在进行战略目标的制定时，必须将风险管理纳入到体系之中，以部门协调、人事制度和权责利等制度性安排为手段，使企业对多变的市场环境的适应性不断地得到增强，并将风险管理与企业的激励考核机制练习起来。
2.不断使全面风险管理的责任框架得到明确，从而使企业的全面风险管理组织体系得以建立
第一、设立以总经理为主任或组长的风险管理委员会或者全面风险管理领导小组。
第二、使风险管理专职部门得到建立，从而使相关职能部门练习的风险管理职责得到确认，也就是说对企业全面风险管理职能部门进行明确。
第三、对有关职能部门，例如内部审计部门、法律事务部门，包括直属单位、子公司等在内的业务单位的组织领导机构和职责进行完善。
建立第一道在战略层面上的风险管理防线，组成部门为各有关职能部门、业务单位、全资控股子企业；第二道在管控层面上的风险管理防线，组成部门为风险管理职能部门、风险管理委员会或者称之为全面风险管理领导小组（此部门直属于集团公司）；第三道在业务层面上的风险管理防线，组成部门为内部审计部门、公司审计委员会。这三道防线是密切联系不可分割的。需要注意的是为了实现全面风险管理的总目标，必须在企业的各项业务和操作环节的全过程中将这三道防线不断深入，并在全体员工所参与的风险管理活动中将这三道防线渗透进去。
3.对风险管理的初始信息进行收集，从而使风险事件库得以建立
对战略方面、财务方面、市场方面、运营方面、法律方面，不管是本企业还是国内同行业或者是国外企业所经历过、面临着的风险案例、事件进行持续不断地、广泛地收集、整理、分析。于此同时，以企业确定重大风险损失事件为依据，对企业发生的重大风险损失事件进行分类，并整理分析风险的过程、结果、原因等与风险有关的各方面的因素，并分析整理应对风险的方法措施，从而筛选、提炼、对比、分类、组合所收集的相关初始信息，为风险评估的有效性奠定坚实的基础。
4.构建全面的风险管理流程，将风险管理融入日常管理
企业应构建全面的风险管理基本流程。首先，应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程采用定性与定量方法相结合方法进行评估（风险辨识、风险分析、风险评价），特别是对企业的重大风险（包括纯粹风险和机会风险）进行评估，明确风险类别、产生原因、涉及的主要所属企业、涉及的重要流程、风险发生后可能给企业带来的影响等。其次，应制定重大风险管理策略与解决方案。在风险管理策略上，要明确企业对每一项重大风险的风险偏好、风险承受度及据此确定的风险预警指标等；在风险解决方案方面，应明确风险事件发生前、中、后拟采取的具体应对措施，所使用的风险管理工具，以及如何抓住重大风险中的机会等。再次，应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。
大型企业还应将风险管理融入企业日常管理。在做好基础管理的前提下，适应市场变化，将风险管理系统化、科学化。特别是要将风险管理融入企业日常管理，不能将风险管理和企业日常管理形成两张皮。
5.加强企业内部控制系统建设，编制《内部控制手册》
内部控制是企业全面风险管理必不可少的一部分。大型企业应围绕风险管理策略目标，针对企业战略、投融资、市场运营、财务、内部审计、法律事务、质量、安全生产、环境保护等各项业务管理及其重要业务流程，根据风险管理策略，通过执行风险管理基本流程制定各项规章制度、程序和措施，建立完善的内部控制系统。
在内控体系建设上，大型企业应根据财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》要求制订《内部控制手册》。并制定企业建设内部控制系统的工作计划。同时，应强调标准化和集中化管理，加强集团公司的主导作用，由集团公司自上而下建立公司的内控政策与程序，形成集团统一的内控标准和手册，并要求整个集团内的分、子公司都要照章执行。另外，还应明确集团公司及下属单位在内部控制中的职责定位，建立起上下衔接的内部控制体系。
参考文献：
[1]周放生：《中央企业全面风险管理指引》解读（一）[J].国有资产管理，2006，（11）.
[2]国务院国资委.中央企业全面风险管理指引.国资发改革〔2006〕108号文，2006-6.
[3]方红星王宏译：企业风险管理——整合框架[M].美国COSO制定发布，东北财经大学出版社，2005.
[4]华小宁：整合进行时——企业全面风险管理路线图[M].复旦大学出版社，2007.
[5]张琴陈柳钦：企业全面风险管理（ERM）理论梳理和框架构建[J].当代经济管理，2009，（07）.
[6]张维功何建敏丁德臣：企业全面风险管理研究综述[J].软科学，2008，（12）.