风险管理框架下的监控职能,本文主要内容关键词为:风险管理论文,职能论文,框架论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
风险管理是当今理论研究和企业实践中的热点问题。日益激烈的竞争环境加剧了企业面临的风险,越来越多的企业开始注重通过构建和运行风险管理机制,应对各种风险。而不断变化的环境随时会对企业现有的风险管理机制提出挑战,曾经有效的风险应对措施可能会变得毫无作用。监控作为风险管理的一部分,一方面会持续和定期的评价企业风险管理运行的效果,另一方面会检查企业现有的风险管理机制是否持续有效,以便改进和完善。从内部控制整体框架到风险管理整合框架,监控始终占有非常重要地位,监控的内涵和过程也在不断丰富和完善。本文以COSO企业风险管理整合框架为背景,以企业风险管理八要素之一的监控职能为角度,对监控的职能、分类和报告进行梳理、整合和充实,以便为企业全面、及时和完整地开展监控工作提供借鉴。
一、监控职能的演变
内部控制的发展经历了内部牵制理论阶段、内部控制系统理论阶段、内部控制结构理论阶段、内部控制整体框架理论阶段,最后发展到企业风险管理阶段。20世纪90年代以前,内部控制结构中没有涉及到监控。1992年9月COSO委员会开创性的提出了内部控制整体框架的概念,将内部控制分为控制环境、风险评估、控制活动、信息和沟通、监督五要素。第一次正式在内部控制框架中引入了“监督”,此时监控限于对内部控制的监督,它是由适当的人员,在适当、及时的基础上,评估控制的设计和运行情况的过程。
2004年10月该委员会颁布的新COSO报告《企业风险管理——整合框架》(Enterprise Risk Management,简称ERM)将企业风险管理分为八个要素,分别为内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控,将监控的职能定义为:随时对风险管理各构成要素的存在和运行进行全面评估,并报告风险管理的缺陷。
在ERM的背景下,2006年6月我国国资委颁布的《中央企业全面风险管理指引》中提出的风险管理五项基本流程中的最后一项流程即为风险管理的监督与改进。至此,监控职能从无到有,从监控内部控制发展到监控风险管理。
在企业风险管理框架下,监控的职能不再局限于对内部控制的设计和运行进行监督,而是以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对内部环境的把握、风险信息的收集、事项识别、风险评估、风险应对、控制活动、信息系统与沟通渠道进行监督和评价,对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时对风险管理加以改进,对监控结果及时报告。
二、监控的分类
1.按监控的主体分类
按监控的主体分类,监控可以分为风险管理机制各层级的自我监控和内部审计部门或者外部专业机构的评价。
风险管理部门的自我监控由负责一个特定单元或职能机构的人员对与其活动相关的风险管理工作的有效性进行自我评价和监督。要求这些单元或职能机构从自身目标出发参考更高级目标进行分析,集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷,并提出改进方案,并向上一级提交。自我监控的开展小到一个业务流程或职能部门,大到分部直至总部,各开展单位定期将自我监控结果层层上报,风险管理职能部门对自我监督结果进行汇总并上报董事会。
内部审计部门或者外部专业机构的评价是指企业的内部审计部门在审计委员会的支持下对风险管理工作进行监控,或者审计委员会通过聘请具有相当资质的外部专业机构对企业的风险管理机制进行评价,在这种情况下,内部审计部门应给予积极的配合。其监控内容相对于前者较为宏观,详细评价往往采用抽样的方法,包括了解组织和行业的发展情况和趋势,把握企业自身的发展情况和优势,检查对战略风险的把握是否准确;弄清企业组织结构和业务流程,检查各层级风险管理目标的设定是否合理;抽样检查风险初始信息的收集是否全面;抽样检查风险的识别是否及时;抽样检查风险评估是否合理;抽样检查风险应对技术的选择是否合理;监督并评价内部控制的设计与执行;评价风险应对方案的实施效果;检查风险信息是否准确;评价风险监控报告制度是否恰当;评估与风险管理有关的管理薄弱环节,并与管理层、董事会、审计委员会讨论等。
前者是风险管理机制内部的自我监控,后者是独立风险管理职能部门的外部监控。两者有不同的实施主体、不同的立场和不同的报告渠道。前者由业务单元、职能部门、各分部、风险管理职能部门进行自查,并上报董事会。后者是对前者的再监控或评价,向董事会独立客观的发表意见并提供中肯的建议,两者缺一不可。
2.按监控的时间分类
按监控的时间分类,监控活动可以分为持续监控和个别评价,两者也可结合起来进行。
持续监控是指贯穿于企业正常经营活动与常规管理工作中的监控企业风险管理的有效性的活动,包括定期的检查活动、变量分析、压力测试以及比较、调节和其他的常规活动。个别评价是指采用一个全新的观点直接关注整个企业或单个项目的风险管理的有效性的评价活动。个别评价提供了一个考察持续监控程序有效性的机会。
三、COSO报告下的监控报告
1.报告的分类
监控报告分为正式报告和非正式报告。正式报告是指由风险管理职能部门提交风险管理委员会的工作报告以及由董事会下设的审计委员会支持的内部审计或外部专业机构出具风险管理评价报告。非正式报告是指在出具正式报告过程中的监控或评价信息的载体,如业务单位或职能部门向上级提交的自查报告。非正式报告由上级为下级规定报告规范。具体程度各不相同,通常在组织中的层级越低内容就越详细。非正式报告规范有一定的灵活性,但必须保证其可靠性。
2.监控报告的内容与格式
正式报告内容必须包括工作现状、缺陷和提出建议三部分。格式要求规范,最好有固定的格式。定期报告内容比较固定,专项监控的内容比较灵活,如应董事会审计委员会的要求对某些重大缺陷、重大风险的管理工作进行的专项评价。
3.监控报告路线
自我监控的报告路线一般是:业务单位或职能部门对自身的风险管理工作进行自我检查,上报上一级管理层;各层级逐级上报直至各部门首席主管,并由其汇总向风险管理部门上交。风险管理职能部门从整体上结合自身工作撰写正式的工作报告,并定期送交董事会下设的风险管理委员会及首席执行官;之后由风险管理职能部门与风险管理委员会向内部审计部门和董事会下设的审计委员会出具评价和建议报告。
内部审计部门或外部专业技术机构进行的监控,由其直接提供给董事会或内部审计委员会。并会同风险管理职能部门及高层管理人员进行学习和讨论。
4.反馈报告
监控报告的主要目的在于报告企业风险管理工作的缺点和薄弱环节,并提供建议,其作用是促使风险管理机制的各层级、各部门、各单元根据监控结果改进风险管理工作,企业必须对后续改进工作进行跟踪,跟踪的结果就是形成反馈报告。反馈报告有利于促进监控报告中的建议的执行,也可以有效检验建议的合理性。企业可以通过书面报告、会议讨论等形式进行反馈,并形成档案文件。
监控是一个完整、持续的过程。有效的监控不但能够推动企业的风险管理工作的有效执行,还能使企业应对不断变化的风险环境。
标签:风险管理论文; 内部控制论文; 中央企业全面风险管理指引论文; 企业内部控制评价指引论文; 企业内部控制与风险管理论文; 风险评价论文; 内部控制缺陷论文; 审计委员会论文; 董事会论文; 内部审计论文;