基于《企业风险管理
——与战略和绩效的整合》(ERM 2017)的风险管理持续审计评价模型
张晓东,邬奕强
(国网上海市电力公司,上海 200122)
[摘 要] 风险管理审计评价是针对企业风险管理设计与运行的有效性进行评价。本文以美国反虚假财务报告委员会下属的发起人委员会(以下简称COSO)的2017新版《企业风险管理——与战略和绩效的整合》(ERM 2017)的要素、原则等为基础,建立了“目标层+要素层+指标层+评价层”的风险管理评价架构,提出了公司风险管理评价的方式方法,建立了风险管理评价模型。
[关键词] ERM 2017;风险管理;评价模型
0 引言
2018年,审计署正式将风险管理列入内部审计职责范围。风险管理审计是针对企业风险管理设计与运行的有效性进行审计,是参与企业全面风险管理的重要手段。孟焰和潘秀丽(2006)认为企业风险管理的有效性主要取决于风险管理的监督和评价,风险管理的审查和评价是内部审计的新领域。刘李福和邓菊香(2014)认为,风险管理审计更注重对企业风险管理及其效率的评价,是现代审计的重要发展方向。风险管理审计评价是企业风险管理的最后的环节,是实现企业风险管理闭环运行的关键。在实践中,黄庆惠等(2016)基于ERM框架,提出了持续审计为导向的内部控制审计模式;卢俊峰(2018)遵循ERM框架,构建了基层央行风险管理审计评价框架,建立了风险管理审计评价模型。但是,上述企业风险管理实践多是基于COSO 2004版ERM框架开展的,ERM 2017在当前企业风险管理实践中应用不足。本文在总结了公司风险管理持续审计实践的基础上,基于COSO 2017版ERM框架,提出企业风险管理评价的方式方法,建立风险管理审计评价模型。
1 风险管理的内涵
2004年,COSO结合《内部控制整合框架》和《萨班斯—奥克斯利法案》,颁布了《企业风险管理整合框架》(ERM),首次将内部控制与风险管理结合。ERM对风险管理的定义为:企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证,并将风险管理分为内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督8个要素。
随着企业经营环境发生了巨大变化,COSO于2017年正式发布新版《企业风险管理——与战略和业绩的整合》(ERM 2017)。ERM 2017将风险管理定义为“组织在创造、保持和实现价值的过程中,结合战略制定和执行,赖以进行管理风险的文化、能力和实践”。ERM 2017将原有的8个要素整合成为5个要素,即治理和文化,战略和目标的设定,绩效,审阅与修订,信息、沟通与报告,并明确提出20项原则。
ERM 2017在风险管理的定义、框架、要素、原则等方面变化明显,厘清了风险管理与内部控制框架的边界,从使命、愿景和核心价值观出发,强调风险与价值的关系(即风险不再都是“负面”的,风险也意味着机会),为企业开展全面风险管理实践提供了理论依据。
2 风险管理审计方式方法
在风险管理审计时,首先要开展符合性测试,确认各关键点风险管理措施是否存在,并得到贯彻执行,根据测试部位可信赖程度的分析,找出风险管理的薄弱点和失控点,同时确认审计重点,从而决定实质性测试的范围、重点和方法等。如果在初步了解、调查后发现组织风险管理制度缺失或非常薄弱,或没有得到遵守,则可直接进入实质性测试,同时必须扩大实质性测试的范围。
然后推荐系统将这些标签视作属性,将用户与数据视为欧几里得空间中的不同向量想,系统计算出各个向量的距离,这个距离就从数值上反应了内容与用户的相似度了。这个算法的优点是能够比较好的解决冷启动问题,也不会被流行度所限制,因为算法本身是直接根据内容来进行检索。而它的 缺点是过度专业化,需要较高的产品知识与庞大的数据构造分类器。基于内容的推荐算法会一直根据标签给用户推荐与他们密切相关的内容,而使得推荐失去了原本的多样性。
图1 公司风险管理持续审计过程
3 公司风险管理持续审计工作流程
废活性炭的再生工艺核心原理是通过再生反应恢复活性炭的活性,其中温度控制是保障活性炭性能恢复的关键。我们设定 700℃、750℃、800℃、850℃和 900℃五个温度测点进行再生实验。首先,将废活性炭进行简单的清洗祛除其表面杂质,经过磁选工艺后进入料仓备用。然后进行水炭比检测,保障进入后续环节的活性炭水分比例达到最佳状态,再启动负压装置对活性炭进行除异味处理,待所有杂质和废气完全析出后进入活化区进行处理。
学生通过网络教学平台,依据教师发布的课前导学案进行自主学习。基础好的学生可以直接进行在线测试,带着问题去学习;基础差的学生可以重复观看教学视频后进行在线测试。学生在观看视频和在线测试环节中,随时可以在教师发起的在线讨论活动中提出自己对新知识的疑问,学生可以相互解答这些疑问。
4 公司风险管理持续审计评价体系
通过向风险管理专家发放问卷,对每组指标与上一层级的指标间的重要程度进行打分,即如果指标与若干个次级指标有联系,通过次级指标的两两比较,得到次级指标相对于上一层级指标的重要性,采用1-9的标度,构造两两比较判断矩阵。
5 公司风险管理审计评价模型
上述模型中,为保证风险管理评价结果的合理性,在确定各要素所对应的评价指标后,对各指标的权重分配也需通过科学的方法来确定。本文采用模糊判断矩阵法、层次分析法,计算各要素及指标的权重(见表1)。
式中,EV为公司风险管理评价值;Ei为第i个要素的评价值;Wi为第i个要素的权重值。
将风险管理审计与持续审计理论、技术和模型相结合,公司围绕风险管理的关键环节确定风险管理审计主题,根据各个主题特点,由公司审计部统一组织,各级审计部门分层实施。公司风险管理持续审计工作流程包括主题确定,数据获取,模型搭建,疑点核实,问题整改,工作报告和成果应用等。
没有完善的程序,检察机关就可能既要面对对“检察优势”的忧虑又要面对对监督效果不彰的质疑。前文的论述主要是对民事诉讼法律监督程序的方向性预测。整合现有制度、以最小社会成本发挥法律监督作用的程序细节尚待思考。可以预见的是,制度的整合与过程的透明,将是程序设计的重心。
在上述风险管理评价指标体系的基础上,根据相关次级指标的权重值以及评价实施阶段对相关次级指标评分进行计算,获得指标评价值;根据指标权重计算出各要素评价值,进而计算出风险管理评价值。具体的审计模型如下:
公司风险管理持续审计的工作过程如下:由审计部统筹制定风险管理持续审计范围和审计主题;各级审计部门根据持续审计主题,明确风险管理审计关键要素和指标,成立审计工作组;审计组搭建自动审计程序,利用数字化审计平台,结合数据挖掘、持续监控和风险评估等方法,查找经营管理中存在疑点和风险,判定疑点风险水平,下发疑点核实工单;被审计单位进行疑点的核查和反馈,并提供说明和佐证材料;公司审计部下达审计意见,各级审计部门负责具体的问题整改工作,提出整改计划和方案;被审计单位向上级单位提交整改报告,上级单位对问题整改情况进行跟踪督导;各级审计部门定期向公司审计部报送风险管理持续审计工作报告。
表1 基于ERM 2017的风险管理评价指标及权重
5.1 指标权重赋值
本文以ERM 2017的要素、原则为基础,建立“目标层+要素层+指标层+评价层”的风险管理审计评价架构(如表1),目标层是实现公司发展战略和经营目标。要素层包括治理与文化,战略和目标,绩效,审阅与修订,信息、沟通与报告5个要素。指标层是针对要素层各个要素的进一步细分,以绩效为例,绩效是在风险偏好的背景下,识别风险,并按照严重程度和发生可能性排序,选择风险应对措施,并采取风险组合的视角,包括风险识别、风险评估、风险排序、风险应对、风险组合5个指标。指标层可进一步分为次级指标,以风险排序为例,可分为风险发生的可能性和影响的严重程度2个次级指标。
在此基础上,结合连续与间歇模拟方法和嵌入式审计模块技术等持续审计方法和技术,应用关联规则、分类、聚类、预测分析法等数据挖掘技术以及大数据集成和管理技术,在数字化审计平台开展风险管理持续审计(如图1所示)。例如,在工程管理中,常存在“未批先建”的情况,通过数字化审计平台的模型实验室,建立审计程序自动查找已领料的工程项目,并比对相关可研批复或核准信息,若领料时间早于批复、核准时间的,作为审计疑点输出。
运用几何平均法,计算判断矩阵每一行指标的乘积,并计算该乘积的5次方根,求得特征向量,并对向量Wi规范化。计算判断矩阵的最大特征根和一致性指标,得到平均随机一致性指标。如果该值小于0.1,说明矩阵具有满意的一致性,可以确定该层指标的权重。
5.2 风险管理评价值计算
根据上述企业风险管理评价指标体系,运用专家意见法进行评分,对每个次级指标,评估小组进行讨论确定分值,结合层次分析法所确定的要素权重,采用加权平均法,计算企业风险管理评价值。
从本质上看,大数据也被称之为,“第三次浪潮的华彩乐章”。因此,我国也在5-10年大数据发展过程中,提出了具体的发展目标与发展任务。所谓的大数据就是在规模超出传统数据库的过程中,就可以利用对应的工具进行捕捉、储存、管理、分析数据等的主要内容探究。除此之外,大数据还展现了智能化的发展特点,可以在针对相关的内容进行行为与结果分析的时候,还可以针对其主要内容进行延伸,最终实现有效的功能性预测[2]。
根据计算出的企业风险管理评价值,将公司风险管理水平等级由低至高分为不同等级,如简单级、规范级、优秀级等,并根据5个要素评价值,绘制的企业内部控制和风险管理审计评价蛛网图,对企业风险管理进行综合评价。
6 结论
当前,公司已建立了基于大数据、云计算的数字化审计平台,形成平台支撑的风险管理持续审计新局面。本文总结了公司开展风险管理持续审计的方式方法和实践,以ERM 2017的要素、原则等为基础,建立了“目标层+要素层+指标层+评价层”的风险管理评价架构,提出了企业风险管理评价的方式方法,建立了企业风险管理评价模型。
主要参考文献
[1]黄庆惠,何黎萍,刘辉成,等.以持续审计为导向的内部控制审计模式探讨[J].中国内部审计,2016 (7):20-27.
[2]孟焰, 潘秀丽.企业风险管理审计研究[J].审计研究, 2006(3): 61-63.
[3]舒伟,左锐,陈颖,等.COSO 风险管理框架的新发展及其启示[J].西安财经学院学报,2018,31(5):41-47.
[4]刘李福,邓菊香.风险管控与风险管理审计:研究评述与框架[J].中国内部审计,2014(5):24-27.
[5]卢俊峰.基层央行风险管理审计评价研究[J].中国内部审计,2018(11):30-36.
doi: 10.3969/j.issn.1673 - 0194.2019.17.007
[中图分类号] F239
[文献标识码] A
[文章编号] 1673-0194(2019)17-0017-03
[收稿日期] 2019-05-20
标签:ERM论文; 2017论文; 风险管理论文; 评价模型论文; 国网上海市电力公司论文;