英国及澳大利亚/新西兰的企业风险管理准则及其启示,本文主要内容关键词为:新西兰论文,澳大利亚论文,英国论文,风险管理论文,启示论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
文章编号:1000-7695(2007)10-0140-04
企业总是处于不确定性当中,这些不确定性既代表机会,也代表风险。对于企业而言,能否有效地识别并管理面临的风险,关乎到企业的生死存亡,因此,企业风险管理成为各国监管部门和企业普遍关注的问题。尤其是进入20世纪90年代以后,许多国家以及有关国际组织纷纷加大了对风险管理和内部控制的研究,并发布了一系列的文告,就风险管理及与之紧密相关的内部控制问题做出规定,以指导和帮助企业建立和完善风险管理和内部控制,如:英国的Turnbull报告及AIRMI/ALARM/IRM风险管理准则,美国COSO1992年发布并于1994年增补的《内部控制——整体框架》(Internal Control-Integrated Framework)以及2004年9月发布的《企业风险管理——整体框架》(Enterprise Risk Management-Integrated Framework),澳大利亚和新西兰于1995年联合发布的AS/NZS 4360风险管理准则,加拿大标准协会(Canadian Standards Association)于1997年10月发布的《风险管理:决策者指南》(Risk Management:Guideline for Decision-Makers,CAN/CSA-Q850-97),日本发布的《建立并应用风险管理系统的指南》(JISQ 2001:Guidelines for development and implementation of risk management system),南非风险管理协会 (The Institute of Risk Management)2003年发布的《企业风险管理实务准则》(Code of Practice for Enterprise Risk Management),等等。本文拟对英国及澳大利亚/新西兰的企业风险管理准则加以介绍,以期为建立我国的风险内部控制规范提供借鉴。
1 AS/NZS 4360风险管理准则
澳大利亚和新西兰联合准则委员会OB-007(Joint Standards Australia/Standards New Zealand Committee)于1995年发布了风险管理准则(Australian/New Zealand Standard for Risk Management 4360),作为建立管理环境、识别、分析、评估、处理、监督和交流风险的一般框架。该准则被认为是世界上第一个风险管理准则,并先后于1999、2004年进行了两次修订。
AS/NZS 4360指出,风险管理要求对风险进行管理,以便在实现获利机会和最小化损失之间取得最优的平衡。风险管理要求建立恰当的基础制度和文化,并应用逻辑的、系统的方法建立管理环境、识别、分析、评估、处理、监督和交流与任何作业、功能或程序相关的风险,从而使组织损失最小化、获益最大化。AS/NZS 4360认为,风险管理的目标包括:(1)为决策和计划建立一个更加自信而严格的基础;(2)更好地识别机会和危险;(3)从不确定性和变动性当中获得价值;(4)积极而不是消极反应式地管理风险;(5)更有较地分配和使用资源;(6)加强事故管理、降低损失和风险成本,包括商业保险溢价;(7)提高利益相关者的信心和信任;(8)提高对相关规章的遵循;(9)实现更好的公司治理。
风险管理过程主要包括7个要素:沟通和咨询、建立风险管理环境、识别风险、分析风险、评估风险、处理风险、监控和复核(见图1)。
2 英国的企业风险管理准则
2.1 Turnbull报告
1999年9月,英格兰和威尔士特许会计师协会 (ICAEW)发布了《内部控制:董事会遵循联合准则的指南》(Internal Control:Guidance for Directors on the Combined Code),即Turnbull报告,旨在为公司董事会实施联合准则(the Combined Code)中关于内部控制的相关要求提供指南。2005年 10月,英国财务报告理事会(Financial Reporting Council)下属的Turnbull报告复核小组(Turnbull Review Group)提出了修订后的Turnbull报告(Internal Control:Revised Guidance for Directors on the Combined Code),并规定自2006年1月1日起执行。
该报告最大的特点是将内部控制和风险管理相提并论。该报告指出,公司内部控制系统对于管理那些会对企业经营目标的实现产生重要影响的风险具有重要意义,良好的内部控制系统有助于保护股东投资和公司资产的安全。有效的财务控制,包括保持恰当的会计记录,是内部控制的重要要素。它们有助于保证公司不必要地暴露于可避免的财务风险之下,并保证公司内部所使用的和对外提供的财务信息是可靠的;它们也有助于保障资产的安全完整,包括防止和发现舞弊。Turnbull报告认为,由于公司的目标、内部组织和经营环境不断地变化,相应地,公司面临的风险也不断地变化,因此,良好的内部控制系统决定于全面、定期的对公司所暴露的风险的性质和范围进行评估。值得指出的是,Turnbull报告认为,由于盈利有一部分本身就是风险报酬,因此,内部控制的目的是帮助恰当地管理和控制风险而不是消除它。此外,与传统方法过于强调风险识别而对风险管理强调不够不同的是,Turnbull报告关注那些会对企业目标实现产生影响的重大风险。因此,Turnbull报告建立在董事会采用风险基础方法以建立良好内部控制系统并复核其有效性的基础上。
除引言和附录外,Turnbull报告的基本内容包括三部分:
(1)建立良好的内部控制系统。1)董事会应对公司的内部控制系统负责。董事会应当建立恰当的内部控制政策并寻求正式的保证,以使其自身对内部控制有效地发挥作用而感到满意。董事会应当进一步保证内部控制系统根据其批准的方式有效地管理风险。在决定关于内部控制的政策并根据公司的特定环境评价良好内部控制的组成时,董事会应当考虑以下因素:公司面临的风险的性质和范围;公司承担的、认为可接受的风险的范围和种类;风险成为现实的可能性;公司降低那些会成为现实的风险的发生率及其影响的能力;执行特定的控制成本与通过该控制管理相关风险所获得的效益。2)执行董事会关于风险和控制的政策是管理层的职责。在履行其责任时,管理层应当识别并评估公司所面临的风险并按照董事会相关政策设计、执行、监督适当的内部控制系统。Turnbull报告对内部控制的要素和目标的论述与COSO(1992)基本一致。
(2)复核内部控制的有效性。对内部控制进行持续监督是良好内部控制系统的本质因素,复核内部控制的有效性是董事会责任的本质内容。管理层对董事会负有监督内部控制系统并向董事会保证内部控制的有效运行的责任,其提供给董事会的报告应当包括对重大风险及内部控制管理这些风险有效性的评估,任何识别出来的重大控制失误或缺陷都应当在报告中予以讨论,包括已经或即将对公司产生的影响,以及采取的纠正措施。管理层与董事会在关于风险和控制问题上的开放交流相当重要。在年度内复核管理层提交的报告时,董事会应当考虑重大的风险是什么,并评价它们是如何被识别、评估和管理的;评价管理重大风险的相关内部控制系统的有效性,尤其是被报告的内部控制的重大失误或缺陷;考虑是否迅速采取必要的措施避免重大失误或缺陷;考虑现有的发现是否表明需要更广泛地监督内部控制系统。此外,董事会还需要每年对内部控制进行评估,以便对外报告内部控制情况。董事会对内部控制的年度评估尤其应当考虑:自上一年度评估以来重大风险的性质和范围的变化,以及公司应对其经营和外部环境变化的能力;管理层对风险和内部控制系统持续性监督的范围和质量,以及内部审计机构和其他提供者的工作;将监督的结果交流给董事会或其委员会以便建立对公司内部控制状态和管理风险有效性的总体评价的范围和频率;在本期识别的重大控制失误或缺陷的发生率以及它们导致的未预见后果的范围,或有事项(过去或将来)对公司财务业绩或财务状况造成的重大影响;公司对外报告过程的有效性。
(3)董事会对外报告内部控制信息。年度报告和报表应当包含有意义的、高水平的、董事会认为帮助股东理解公司风险管理过程和内部控制系统所需信息,并不得有误导性。
由此可见,Turnbull报告将风险管理和内部控制紧密地联系在一起,要求公司董事会从管理风险的角度来设计、评估和报告内部控制。为了推动Turnbull报告的实施,ICAEW发布了题为《应用Turnbull》的指南。该指南就如何应用 Turnbull报告建立内部控制系统,以便有效地管理风险做出了较为详细的阐述。
2.2 AIRMI/ALARM/IRM风险管理准则
2002年9月30日,由英国三个主要的风险管理组织:风险管理协会、保险和风险经理协会、公共部门风险管理论坛组成的小组提出了一份风险管理准则(the UK AIRMI/ALARM/IRM 2002 risk management standard)。该准则指出,风险管理是任何组织战略管理的中心,是组织以一定方式处理其活动相关的风险,以便从每项活动及所有活动的组合当中获取持续性利益的过程。良好风险管理的核心是识别并处理风险,其目标是使组织所有活动的可持续价值最大化。
该准则将风险管理过程划分为以下五个步骤(见图2):
(1)确定组织战略目标
风险管理通过支持组织的战略目标来为组织及其利益相关者提供保护并增加价值,其具体作用包括:为组织提供一个框架从而使未来的活动具有一致性并处于受控制的状态;通过广泛的、整体的理解经营活动、变动性以及项目的机会和危险来改进决策、计划和优先次序的确定;促进在组织内更加有效地使用和配置资本和资源;减少经营中非必要领域的开发;保护并提高资产和公司形象;建立并支持员工和组织的知识基础;使组织的经营效率最优化。
(2)风险评估
风险评估是指包括风险分析和风险评价的总体过程。
1)风险分析。风险分析包括风险识别、风险描述和风险估计。风险识别,即界定机构对不确定性情况的暴露程度。风险识别技术有:专家献计献策、问卷、企业研究(观察企业经营过程并描述影响这些过程的内外部因素)、行业比较、场景分析、风险评估讨论会、事故调查、审计与检查、风险与可行性研究(HAZOP)。风险描述,即采用结构化的格式 (如表格)来展示识别出来的风险。风险估计,即采用量化、半量化或定性的方法来估计风险发生的可能性以及可能的后果。
该准则指出,风险分析方法与技术很多,有些是针对好的风险、有些是针对坏的风险,而有些则可适用于两者:(1)针对有利风险的分析方法有:市场调查、预测、测试性营销、研发、经营影响分析。(2)针对双面风险的分析方法:依存建模;优势、弱势、机会与危险(SWOT)分析;事件树分析;经营持续性筹划;经营、政治、经济、社会、技术分析(BPEST);实物期权建模;风险与不确定性条件决策;统计推断;计量集中趋势与分散度;政治、经济、社会、技术、法律环境分析(PESTLE)。(3)针对不利性风险的分析方法有:威胁分析、失误树分析、失误模型与影响分析(FMEA)。
2)风险评价。风险评价即将估计的风险与事先确定的标准相比较。
(3)风险报告与交流
风险报告包括内部报告和对外报告两方面。一方面,组织当中不同层次需要不同的来自于风险管理过程的信息,因此,组织内部应当提供关于风险管理的内部报告以便满足内部有关团体的信息需求。具体而言,组织内部风险管理信息需求的主体包括:
1)董事会。董事会应当知道组织所面临的最重大的风险;知道风险对股东价值偏离预期业绩范围的可能影响;保证组织上下有恰当的风险意识水平;知道组织将如何管理危机;知道利益相关者对组织保持信心的重要性;知道在适当的情况下如何与投资大众进行沟通;确信风险管理过程有效地运行;公布一个清晰的、包含风险管理哲学和责任的风险管理政策。
2)经营单元(Business Units)。经营单元应当知道处于其责任范围内的风险、这些风险对其他单位的可能影响以及其他单位对本单位的可能后果;建立业绩指标以使其能够监督关键的业务和财务活动、达成目标的进度并识别需要干预的发展 (如预测和预算);建立能够以恰当的频率传递关于预算和预测变动性的信息以便采取行动的系统;系统并及时地向高层管理者报告任何察觉的新风险或现有控制措施存在的问题。
3)员工。员工应当理解其对单个风险的受托责任;理解他们能够如何不断地改进风险管理;理解风险管理和风险意识是组织文化的关键部分;系统并及时地向高层管理者报告任何察觉的新风险或现有控制措施的问题。
另一方面,公司应当定期向利益相关者报告其风险管理政策以及实现其目标的有效性,组织应当明确地说明关于风险管理的正式安排并使利益相关者能够了解。正式的报告应当提供以下信息:控制方法,尤其是管理层对风险管理的责任;用以识别风险的过程以及他们如何应用于风险管理系统;用以管理重大风险的基本控制系统、监督和复核系统,任何该系统未涉及的重大缺陷以及系统本身的重大缺陷,都应当与处理这些缺陷的步骤一起报告。
(4)风险处理
风险处理是指选择并实施用以调整风险对策的过程。风险处理的主要手段是风险控制与抑减,此外还包括风险规避、转嫁、风险融资等。风险融资是指为风险的财务后果获取资金的机制(如保险)。风险处理机制至少应当保证组织经营的效率和有效性、有效的内部控制、遵循相关法律法规。
(5)监督和复核
该准则指出,有效的风险管理需要建立报告及复核架构,以保证风险被有效地识别、评估并采取了恰当的控制和应对措施,主体应当定期审计政策和准则的遵循情况、准则的执行情况以发现改进的机会;应当识别组织及环境的变化,并对系统作出适当的修正。组织的风险管理政策应当确定其风险偏好及风险管理的方法,并确定组织上下各部门及人员对风险管理的责任。该准则还对董事会、经营单元、风险管理机构以及内部审计部门对风险管理的职责作了具体阐述。
3 有关准则的特点及对我国的启示
通过以上分析可以看出,英国以及澳大利亚/新西兰的企业风险管理准则具有以下特点:
(1)将风险管理与组织目标紧密相连。有关准则均认为,有效的风险管理有助于降低风险损失从而提高企业价值,因此,建立有效的风险管理过程是实现企业目标的重要保证。
(2)将风险管理与内部控制联系在一起。有关准则均强调,内部控制是风险管理的重要手段,董事会应当建立并维持有效的内部控制系统以实现风险管理。
(3)强调风险管理是一个包含风险识别、计量和应对的系统化过程。风险识别、计量、应对和控制活动是一个紧密的整体,企业必须识别面临的潜在风险,并评估其对企业的影响,从而采取相应的措施来应对风险。在风险识别和分析、评估的技术上,均强调应当结合采用定量技术和定性技术。另外,人们越来越认识到,风险是无法绝对消除的,因此,风险管理的目标是将其控制在主体的风险偏好以内,而不是消除风险。反映到风险应对策略上,相关的风险管理准则大都强调风险的应对措施包括回避、抑减(降低)、转嫁(分摊)、接受,应当根据风险发生的可能性、对主体的影响以及主体自身的风险容量选择适当的应对措施。
(4)强调风险管理应当融入企业日常经营活动中,并贯穿于企业的各个层次、所有的经营活动。风险管理针对的是企业经营活动中对企业目标实现产生影响的风险事项,因此,风险管理必须与企业的经营活动紧密地结合在一起。经营活动中处处体现风险管理的理念与做法,这不仅有助于及时识别企业所面临的风险事项,也有助于降低风险管理成本、提高风险管理效率。
(5)强调控制环境的作用。公司的高层基调(tone of the top)、管理层的管理哲学、董事会和相关委员会、员工的胜任能力对于有效的风险管理具有重要作用,如果没有一个良好的、注重风险管理的内部环境,风险管理很难取得成功,因此,国外相关风险管理准则均强调控制环境的重要作用。
(6)强调全员参与。全员管理是现代风险管理的重要特征。尽管相关准则均强调董事会、管理层以及风险管理部门在风险管理中的重要作用,但都意识到,风险管理不仅仅是风险管理部门的事,而且需要靠全体员工来落实,所有员工都会影响到风险管理的效果,企业应当使所有员工了解自己在风险管理中的作用。
(7)强调信息与沟通。信息和沟通对于良好的风险管理和内部控制相当重要,下层要了解公司的风险管理战略和政策、措施,并有顺畅的向上沟通风险管理和内部控制情况的渠道;上层要及时向员工及外部了解企业面临的重大风险及其管理情况。
(8)强调定期对风险管理过程和内部控制进行评估,并对发现的缺陷和不足加以报告。风险管理是一个持续的、动态的过程,企业的内、外部环境在不断地变化,这决定原先的控制未必有效,因此,必须定期对风险管理过程和内部控制的有效性进行评估,以找出其缺陷和不足并及时采取补救措施。
(9)强调风险管理和内部控制信息的对外披露。向外部使用者报告风险管理和内部控制信息,是董事会和管理层受托责任的要求。通过信息披露,外部投资者可以对企业面临的机会和风险以及企业风险控制的业绩作出评价,从而做出相关决策;对董事会和管理层来讲,对外披露风险管理和内部控制相关的信息,可以促使企业完善相关制度以加强风险控制。
4 结束语
近年来,西方国家纷纷制定风险管理准则,以帮助和指导企业建立健全风险管理框架。从我国企业风险管理的现状来看,企业普遍缺乏风险管理的意识以及整体化风险管理的理念,在风险识别、评估、报告和应对方面也都存在许多错误认识,如中航油等许多企业的失败均表明了这一点。面对日益复杂的经营环境,企业必须加强风险管理。就政府监管部门而言,应当及时制定企业风险管理指引,以促进企业建立相关风险管理制度。中国银监会已先后发布了《商业银行集团客户授信业务风险管理指引》(2003年10月23日)、《商业银行房地产贷款风险管理指引》(2004年9月2日)、《商业银行个人理财业务风险管理指引》(2004年9月29日)、《商业银行市场风险管理指引》(2004年12月29日)等一系列风险管理指引。然而,这些指引仅针对商业银行某一方面的风险,包括国务院国资委于2006年6月发布的《中央企业全面风险管理指引》也不够具体。因此,我国尚缺乏一个建立起风险管理的基本框架、可以指导一般企业风险管理实务的指南,有必要借鉴西方相关风险管理准则,并结合企业的实际,制定我国的风险管理规范,以便为企业风险管理提供指导。
标签:风险管理论文; 内部控制论文; 中央企业全面风险管理指引论文; 企业内部控制审计指引论文; 企业内部控制与风险管理论文; 经营风险论文; 管理控制论文; 企业经营论文; 内部控制缺陷论文; 相关性分析论文; 有效市场论文; 董事会论文;