緒論：寫作既是個人情感的抒發(fā)，也是對學術真理的探索，歡迎閱讀由發(fā)表云整理的11篇風險管理主要程序范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

(一)系統(tǒng)性原則

系統(tǒng)論強調(diào)整體性原則，企業(yè)財務風險管理是一個系統(tǒng)，系統(tǒng)是由各組成要素相互聯(lián)系、相互作用所形成的一個有機整體，系統(tǒng)的各組成要素是不可缺少、不可分割的;系統(tǒng)論強調(diào)目的性原則，企業(yè)財務風險管理系統(tǒng)通過系統(tǒng)功能的發(fā)揮而實現(xiàn)財務風險管理的目標，而系統(tǒng)功能的發(fā)揮又與系統(tǒng)的組成及結構有很大關系;系統(tǒng)論強調(diào)整體優(yōu)化原則，企業(yè)財務風險管理系統(tǒng)整體性能是否最優(yōu)會受到該系統(tǒng)組成管理要素及要素間關系變化的影響，若想發(fā)揮系統(tǒng)的最優(yōu)性能，就需要根據(jù)環(huán)境的變化不斷調(diào)整系統(tǒng)組成管理要素及管理要素間的關系，從而達到優(yōu)化企業(yè)財務風險管理系統(tǒng)整體性能的目的。

(二)環(huán)境分析起點原則

構建集團企業(yè)財務風險管理框架，它就有邊界，邊界外面就是環(huán)境。任何活動的實施都是在一定環(huán)境下進行的，集團企業(yè)財務風險管理活動具有主動適應環(huán)境并受環(huán)境影響的雙重特性。管理的目標受集團企業(yè)戰(zhàn)略目標統(tǒng)馭，制定集團企業(yè)戰(zhàn)略目標是在環(huán)境分析的基礎上進行的。因此，只有進行環(huán)境分析，才能知曉集團企業(yè)財務風險管理所面臨的迫切形勢，以及所面臨的優(yōu)勢和劣勢，然后利用環(huán)境造成的機會，回避環(huán)境造成的威脅，發(fā)揮自身優(yōu)勢，回避自身劣勢。所以，確立集團企業(yè)財務風險管理目標時，必須以環(huán)境分析為起點。

(三)目標導向原則

目標是集團企業(yè)財務風險管理的方向、也是評價管理效果的依據(jù)。我們應該以目標為導向確定集團企業(yè)財務風險管理的主體、活動和保障措施。當然集團企業(yè)財務風險管理的實施目標和集團企業(yè)戰(zhàn)略目標應保持一致，這是由環(huán)境分析的結果確定的。集團企業(yè)財務風險管理是集團企業(yè)財務管理乃至戰(zhàn)略管理的一部分，隨著環(huán)境的不斷變化，集團企業(yè)財務風險管理處于不同發(fā)展階段，可能會面臨不同的問題，因此需要以集團企業(yè)財務管理為目標，保持兩者目標的一致性。

(四)具體問題具體分析原則

具體問題具體分析原則是指我們在構建集團企業(yè)財務風險管理框架時，在確定集團企業(yè)財務風險管理的主體、活動和保障措施，以實現(xiàn)集團企業(yè)財務風險管理目標時，要立足于我國的現(xiàn)狀，根據(jù)我國國情，而不是一味地照抄照搬國外的做法。當然，我們構建的集團企業(yè)財務風險管理框架可以隨著環(huán)境而變化、調(diào)整、優(yōu)化，是適應環(huán)境的。具體問題具體分析原則要求我們能夠根據(jù)環(huán)境變化及時改變集團企業(yè)財務風險管理框架的構成要素，針對環(huán)境保護目標中出現(xiàn)的新的問題不斷完善模式。目前，集團企業(yè)財務風險管理面臨的環(huán)境發(fā)生著非常迅速、異常巨大的變化，這對我們構建集團企業(yè)財務風險管理框架提出了新的要求，即要根據(jù)環(huán)境變化及時調(diào)整層次和目標，明確主體、完善活動、健全保障體系、優(yōu)化實施基礎，合理保證集團企業(yè)財務風險管理的效率和效果，實現(xiàn)集團企業(yè)財務風險管理的整體目標。

二、集團企業(yè)財務風險管理框架的構建

(一)集團企業(yè)財務風險管理框架的三層結構

1.目標層。目標是任何實踐活動的最終歸宿，也是指導實施層的重要依據(jù)。目標是實施主體的方向和考評依據(jù)，沒有目標的行為是沒有任何意義的，沒有目標的實施活動也不會實現(xiàn)預想的效果和效率。因此，目標層的目標要素就是按照環(huán)境分析起點原則分析、制定、選擇的切實可行的目標。集團企業(yè)財務風險管理的目標包括戰(zhàn)略目標和具體目標，集團企業(yè)財務風險管理框架的戰(zhàn)略目標是集團企業(yè)層面的長期的、整體的目標，具體目標是不同層次責任主體的具體目標。

2.管理層。管理層是集團企業(yè)財務風險管理框架的核心部分，是目標層訴諸于實踐的具體表現(xiàn)。管理層包括責任主體、程序方法和保障體系等要素。管理層以目標層為導向受到目標層的制約，同時又對目標層層級目標的實現(xiàn)起決定作用。管理層更離不開基礎層的支持和保障。因此，管理層是連接目標層和基礎層的橋梁，它是目標層的具體實踐和基礎層的現(xiàn)實表現(xiàn)。

3.基礎層。從目標的建立到為完成目標所開展的管理活動，基礎層都是這個過程的基點。它立足于實際，詳細分析目前面臨的現(xiàn)狀和實情，是整個框架構建的基礎。管理層的管理主體、管理活動和保障體系受基礎層的約束和限制，同時基礎層又為管理層提供支持和保障。

(二)集團企業(yè)財務風險管理框架的要素分析

1.管理目標。管理目標是企業(yè)通過財務風險管理達到的目標，是我們構建集團企業(yè)財務風險管理框架的根本出發(fā)點和核心。我們在構建集團企業(yè)財務風險管理框架時就必須從管理目標出發(fā)。在集團企業(yè)財務風險管理框架中管理目標屬于目標層的要素。管理目標是在對集團企業(yè)的宏觀、微觀環(huán)境進行SWOT分析后得出的戰(zhàn)略選擇基礎上進行戰(zhàn)略評價，在確定企業(yè)戰(zhàn)略目標的基礎上，考慮了企業(yè)使命和風險承受度后制定的。當然，目標應該從上向下層層分解，每一層管理主體都負有與其權責相對應的目標、指標和考核標準。

2.責任主體。責任主體是集團企業(yè)財務風險管理的核心力量，其中，股東大會是公司的最高權力機構，站在所有者角度，通過有效管理所有者的財權，對集團企業(yè)財務風險進行管理;董事會是集團企業(yè)的經(jīng)營決策機構，從財務管理的角度看，同樣是經(jīng)營者財務監(jiān)督體系的核心和最高層。董事會從行政者的角度，通過全方位負責財務決策有效性，對企業(yè)財務風險進行管理;監(jiān)事會是公司的司法者，在財務風險管理領域，監(jiān)事會應當全面了解集團企業(yè)財務風險管理現(xiàn)狀，跟蹤監(jiān)督董事會和高級管理層為完善內(nèi)部控制所做的相關工作，檢查和研究日常經(jīng)營活動中是否存在違反既定財務風險管理政策和原則的行為;總經(jīng)理及其集體是公司經(jīng)營管理最高執(zhí)行層。從日常財務監(jiān)督的組織、管理和實施過程看，總經(jīng)理及其集體的主要職責是負責執(zhí)行財務風險控制政策，制定財務風險控制的程序和操作規(guī)程，及時了解財務風險水平及其控制情況，并確保集團企業(yè)具備足夠的人力、物力、恰當?shù)慕M織結構、管理信息系統(tǒng)以及技術水平，來有效地識別、度量、控制財務風險，并定期或者不定期評價財務風險控制的效果和效率;部門主要包括財務風險控制部門、財務控制部門、內(nèi)部審計部門等。企業(yè)所有崗位能夠?qū)嵤┗蛘邊⑴c財務風險管理的人，都是財務風險管理的責任主體，通過各自職責的履行情況，對企業(yè)財務風險進行管理。企業(yè)所有崗位都是財務風險管理的責任主體;之所以把子公司單獨列為一個責任主體，是因為集團企業(yè)所屬的子公司往往也存在背離母公司的傾向，從而使母公司面臨失控，導致財務風險。

3.程序方法。程序方法是企業(yè)財務風險管理的基本程序和方法，是責任主體所表現(xiàn)的行為集合，表現(xiàn)為責任主體進行財務風險管理的行為舉動，同時也是控制系統(tǒng)主要監(jiān)督、控制的內(nèi)容，包括規(guī)范的財務風險管理基本流程。集團企業(yè)財務風險管理的程序方法至少應該包括:風險識別、風險度量、風險應對和管理評價等。集團企業(yè)財務風險管理目標實現(xiàn)的效果和效率是由責任主體實施程序方法的效果和效率決定的，必須加強責任主體實施程序方法的引導、控制和評價，以便使集團企業(yè)財務風險管理朝著有利于管理目標去組織、貫徹和實施。

篇（2）

 

企業(yè)從無到有、從小到大的發(fā)展過程，如同人的成長要經(jīng)歷幼年、青年、中年、老年等階段一樣，也要經(jīng)歷不同的階段。在每一階段上都具有不同的特征和遇到不同的困難。隨著現(xiàn)代社會的發(fā)展，經(jīng)濟環(huán)境變得瞬息萬變，市場競爭越來越激烈。與此同時，企業(yè)需要面對的問題越來越多，面臨的風險也越來越大，這樣就迫使企業(yè)必須花費更多的精力對付各種風險。 

在市場經(jīng)濟中有許多失敗的企業(yè)，他們的失敗各有其因，但也有一些共同的原因，那就是不重視風險管理，對風險的控制力非常弱。本文研究的問題是面對永遠在變化著的社會環(huán)境和經(jīng)濟環(huán)境，企業(yè)如何運用內(nèi)部審計的理論、方法、程序分析自身風險管理現(xiàn)狀，找出問題和不足，提出改進措施和建議，運用先進的風險管理理論對動態(tài)變化的風險進行管理，從而實現(xiàn)目標，使企業(yè)能夠長期生存發(fā)展。 

風險管理理論發(fā)展至今，不同的學科、不同的專業(yè)機構、團體、研究學者有不同的認識和理解，于是產(chǎn)生了不同的理論派別。本文的理論框架主要來源于美國coso委員會2004年9月制定的《企業(yè)風險管理——整合框架》、國際內(nèi)部審計師協(xié)會2004年1月修訂的《內(nèi)部審計實務標準－專業(yè)實務框架》。 

 

一、公司簡介 

 

某集團有限公司是中國最大的肉制品生產(chǎn)企業(yè)之一，其產(chǎn)品包括冷鮮肉、冷凍肉、以及以豬肉為主的低溫肉制品、高溫肉制品。集團總部設于中國江蘇省南京市，擁有多處冷鮮肉、冷凍肉生產(chǎn)基地及深加工肉制品生產(chǎn)基地。集團擁有最先進的生產(chǎn)設備和工藝技術，以其獨有的技術方法，研制出一系列符合消費者口味的優(yōu)質(zhì)產(chǎn)品。基于肉制品業(yè)務的經(jīng)驗，集團于1997年開展冷鮮肉和冷凍肉業(yè)務。2002、2003年，冷鮮肉、冷凍肉的市場占有率分別位列中國大陸第二名、第三名。低溫肉制品，自2002年至2004年，其市場占有率連續(xù)三年位居中國大型零售商銷售首位。 

 

二、公司風險管理要素審計評價程序及結論 

 

盡管某集團在香港聯(lián)合交易所主板上市，但其實質(zhì)還是一家中國民營企業(yè)，其并沒有建立專門的風險管理組織機構、人員、系統(tǒng)，公司風險管理處于“憑感覺進行風險管理”的階段，只是由管理層根據(jù)調(diào)查分析、經(jīng)驗總結，識別、列出公司面臨的四大類十三種主要風險，并制定了一些防范措施。公司審計部作為監(jiān)督檢查部門，每年至少兩次從集團層面對風險管理進行整體評價，并在每季度對分、子公司執(zhí)行例行審計過程中，重點關注風險管理狀況。以下試從集團公司層面，以《coso風險管理——整合框架》（以下簡稱coso框架）中所列八要素為線索對公司風險管理進行分析、設計審計評價程序、提出審計評價結論。 

（一）內(nèi)部環(huán)境 

1.理論描述。內(nèi)部環(huán)境包含組織的基調(diào)，它影響組織中人員的風險意識，是企業(yè)風險管理所有其他構成要素的基礎，為其他要素提供約束和結構。 

2.審計評價程序。 

（1）設計風險相關文化調(diào)查表對風險管理的內(nèi)部環(huán)境進行調(diào)查； 

（2）審查公司經(jīng)營決策、管理方針政策、規(guī)章制度、行為準則等是否反映了公司的風險管理理念、誠信和道德價值觀。 

3.審計評價結論。公司的風險管理理念屬于風險偏好型，提倡抓住機會，大膽開拓。但對風險管理理念沒有一個書面的說明性的陳述，這些理念存在于董事會及高級管理層的頭腦中，通過收購決策、政策、行為準則、各種規(guī)章制度反映出來并加以強化。 

（二）目標設定 

1.理論描述。設定戰(zhàn)略層次的目標，為經(jīng)營、報告和合規(guī)目標奠定了基礎。每一個主體都面臨來自外部和內(nèi)部的一系列風險，確定目標是有效的事項識別、風險評估和風險應對的前提。 

2.審計評價程序。 

（1）獲取管理層對目標的書面陳述； 

（2）通過訪談、詢問，獲取公司員工對公司目標的知曉、理解程度的信息； 

（3）通過查閱管理層的述職報告，獲取目標實現(xiàn)進展情況的信息。 

3.審計評價結論。公司管理層對風險管理目標沒有明確的書面陳述，公司員工對公司的目標知之甚少，經(jīng)審計調(diào)查總結，目標如下： 

戰(zhàn)略目標：創(chuàng)中國第一肉食品品牌； 

經(jīng)營目標：顧客滿意最大化，品牌價值最大化； 

報告目標：財務報告真實、完整，符合《上市規(guī)則》要求； 

合規(guī)目標：遵循國家、行業(yè)、企業(yè)的法律、法規(guī)、制度。 

（三）事項識別 

1.理論描述。管理當局識別將會對主體產(chǎn)生影響的潛在事項——如果存在的話，并確定它們是否代表機會，或者是否會對主體成功地實施戰(zhàn)略和實現(xiàn)目標的能力產(chǎn)生負面影響。帶來負面影響的事項代表風險，它要求管理當局予以評估和應對。 

2.審計評價程序。 

（1）查閱行業(yè)有關資料，詢問、訪談高層、中層、一般職工，審查風險識別是否充分、全面； 

（2）審查風險識別過程資料，判斷是否根據(jù)內(nèi)外部環(huán)境的變化定期進行修正。 

3.審計評價結論。公司管理層根據(jù)調(diào)查分析、經(jīng)驗總結，識別、列出公司面臨的四大類（行業(yè)風險，業(yè)務風險，財務風險，合規(guī)風險）十三種主要風險： 

（1）爆發(fā)動物疫情； 

（2）突然而來的業(yè)務干擾； 

（3）消費者口味及喜好的變化； 

（4）產(chǎn)品質(zhì)量出現(xiàn)問題而導致對人身的傷害； 

（5）原材料價格波動； 

（6）產(chǎn)品未能迎合市場需求； 

（7）主要管理層的流失； 

（8）其他實體誤用、盜用本公司商號（商標）； 

（9）資金安全管理； 

（10）資產(chǎn)安全管理； 

（11）會計系統(tǒng)故障； 

（12）違反《上市規(guī)則》； 

（13）違反食品管理、環(huán)保法規(guī)有關法律規(guī)定。

經(jīng)審計調(diào)查，公司管理層對風險識別較為充分，且計劃每年分兩次（期中和期末）對公司面臨的風險進行全面的核查，若發(fā)現(xiàn)風險變化，即使進行調(diào)整，但未能嚴格實施。而對于機會，管理層沒有進行專門識別。 

（四）風險評估 

1.理論描述。風險評估使主體能夠考慮潛在事項影響目標實現(xiàn)的程度。管理當局從兩個角度——可能性和影響——對事項進行評估，并且通常采用定性和定量相結合的方法。 

2.審計評價程序。獲取管理層對風險進行定性評估的資料，評價其評估的合理準確性以及是否根據(jù)內(nèi)外部環(huán)境的變化進行動態(tài)修正。 

3.審計評價結論。公司管理層對識別出來的十三種風險根據(jù)多年的從業(yè)經(jīng)驗和過去的風險發(fā)生的記錄進行了定性的評估，由于缺乏相關的人才、技術、資料，尚未對風險進行過定量分析。公司管理層計劃每年分兩次（期中和期末）對公司面臨的風險進行全面的核查和平谷，若發(fā)現(xiàn)風險變化，及使進行調(diào)整修正，但未能嚴格實施。 

（五）風險應對 

1.理論描述。在評估了相關的風險之后，管理當局就要確定如何應對。應對包括風險回避、降低、分擔和承受。在考慮應對的過程中，管理當局評估對風險的可能性和影響的效果，以及成本效益，選擇能夠使剩余風險處于期望的風險容限以內(nèi)的應對。 

2.審計評價程序。通過訪談、詢問，了解管理層采取的風險應對策略及理由，評價其合理性。 

3.審計評價結論。公司管理層對識別出來的重要風險制定了相應的防范措施，從風險應對的角度看多為預防性措施，以降低風險發(fā)生的可能性，而沒有采取購買保險等風險分擔措施。 

（六）控制活動 

1.理論描述。控制活動是幫助確保管理當局的風險應對得以實施的政策和程序。控制活動的發(fā)生貫穿于整個組織，遍及各個層級和各個職能機構。它們包括一系列不同的活動，例如批準、授權、驗證、調(diào)節(jié)、經(jīng)營業(yè)績評價、資產(chǎn)安全以及職責分離。 

2.十三種風險審計評價程序。公司管理層針對識別出來的十三種風險，制定了防范措施，審計部門相應地制訂了審計評價程序。 

3.審計評價結論。經(jīng)審計調(diào)查，公司管理層對于風險管理的控制活動要素較為重視，制定的風險防范措施較為全面、嚴密、可操作，大部分得到了嚴格有效執(zhí)行，但也有部分單位未能嚴格執(zhí)行風險防范措施。 

（七）信息與溝通 

1.理論描述。有關的信息以保證人們能履行其職責的形式和時機予以識別、獲取和溝通。信息系統(tǒng)利用內(nèi)部生成的數(shù)據(jù)和來自外部渠道的信息，以便為管理風險和作出與目標相關的知情的決策提供信息。有效的溝通會出現(xiàn)在組織中向下、平行和向上的流動。 

2.審計評價程序。 

（1）走訪公司it部和公司內(nèi)部報刊編輯部，了解評價公司的信息系統(tǒng)的建設和運轉(zhuǎn)情況。 

（2）訪問公司網(wǎng)站，觀察其運轉(zhuǎn)情況； 

（3）使用公司的局域網(wǎng)、內(nèi)部電話網(wǎng)，閱讀公司內(nèi)部報刊，評價其運轉(zhuǎn)情況和功效發(fā)揮情況。 

3.審計評價結論。公司設立了it部，建立了較為完備、先進的信息管理系統(tǒng)，通過因特網(wǎng)、內(nèi)部局域網(wǎng)、內(nèi)部電話網(wǎng)、內(nèi)部報刊等手段將信息以文字、聲音、圖片等形式進行傳遞，并制定各種級別的會議制度進行面對面的信息溝通。但沒有建立專門的風險信息生成及傳遞通道。 

（八）監(jiān)控 

1.理論描述。對企業(yè)風險管理進行監(jiān)控——隨時對其構成要素的存在和運行進行評估。這些是通過持續(xù)的監(jiān)控活動、個別評價或者兩者相結合來完成的。持續(xù)監(jiān)控發(fā)生在管理活動的正常進程中。 

2.審計評價程序。 

（1）審查內(nèi)部定期（每天、每周、每月）上報的管理報表（報告），評價風險管理日常監(jiān)控職能發(fā)揮情況； 

（2）審查內(nèi)部審計部門的審計計劃、風險管理審計報告，評價其監(jiān)控職能的發(fā)揮情況。 

3.審計評價結論。公司管理層通過例行的控制活動、信息報告反饋系統(tǒng)對經(jīng)營管理狀況進行日常的監(jiān)控；通過內(nèi)部審計部門對公司所控制的所有單位、項目進行例行審計，報告中時常反映一些被審單位風險管理狀況的信息，對風險管理的監(jiān)控較為及時，但對公司總部層面的風險監(jiān)控較為薄弱。 

 

三、結語 

 

企業(yè)要想在市場經(jīng)濟的大潮中基業(yè)長青，必須對面臨的各種風險進行系統(tǒng)地、全面地管理，這已是不爭的事實。借鑒西方先進的風險管理理念、理論、方法、工具，結合本企業(yè)具體實際情況，對內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控八個風險管理要素逐一進行分析和評價，查找問題和不足，對風險管理文化、風險管理組織體系、風險識別、評估、排序、風險管理策略與方法、風險管理監(jiān)控與檢查、風險管理溝通與咨詢等關鍵的風險管理流程采取措施不斷完善，逐步建立企業(yè)風險管理系統(tǒng)，是解決風險管理問題的最佳實務。企業(yè)應當增強風險意識，逐步建立險管理系統(tǒng)，為企業(yè)保駕護航，這樣企業(yè)才能在市場經(jīng)濟的大海中劈波斬浪，遠航。 

 

參考文獻： 

篇（3）

關鍵詞:ERM;內(nèi)部審計;基于ERM內(nèi)部審計

Key words: The ERM;internal audit;ERM-based internal audit

中圖分類號:F239 文獻標識碼:A文章編號:1006-4311(2010)16-0039-03

1內(nèi)部審計發(fā)展歷程簡介

1.1 控制基礎審計最初的內(nèi)部審計可以概括為控制基礎審計(Control-based Audit),其包括盛行于二十世紀八十年代前的傳統(tǒng)審計活動。其典型特征是獨立外部審計的延伸,在很長一段時間里,企業(yè)利用其對財務報表及披露的公允性進行評估并發(fā)表看法。該審計主要依賴于實質(zhì)性測試和合理的保證來證實賬戶余額的正確表述。控制基礎審計主要包括三個部分:一是證實是否與相關法律、規(guī)章、政策、原則等相一致,稱之為符合性審計;二是吸收了外部獨立審計的方法來測試和證實賬戶余額,稱之為財務審計;三是對企業(yè)內(nèi)部控制程序設計及運行的有效性進行測試,稱為內(nèi)部控制測試。

1.2 流程基礎審計流程基礎(process-based)審計通常稱之為“營運”(Operational)審計,盛行于二十世紀八十年代。此時企業(yè)經(jīng)營環(huán)境日趨復雜,各種管理思想應運而生,具有代表性的流程再造理論得到極大的推廣,這就要求企業(yè)管理者關注企業(yè)的業(yè)務流程以適應市場變化。在此情況下,內(nèi)部審計部門積極嘗試采用新的審計方法來關注企業(yè)的業(yè)務流程并對其加以評價,通過向管理者提供有價值的信息來協(xié)助管理者進行管理。流程基礎審計主要以企業(yè)最佳實務流程作為評價標準,通過了解企業(yè)具體營運目標并研究出完成此目標的最佳實務流程,采用詢問,觀察等方式評價企業(yè)當前業(yè)務流程并把其與最優(yōu)業(yè)務流程進行對比,評估出兩者的差距及由此而產(chǎn)生的影響,據(jù)此形成審計意見并提交給管理部門。

1.3 風險基礎內(nèi)部審計在二十世紀九十年代,風險(Risk-based)基礎審計開始流行。在此時期,企業(yè)所面臨的競爭環(huán)境日趨惡化,技術革新的周期也大大縮短,這給企業(yè)的經(jīng)營管理活動帶來了極大的影響,企業(yè)目標能否實現(xiàn)具有了相當大的不確定性,企業(yè)所面臨的風險成為利益相關者所共同關注的焦點。同時隨著大型公眾會計師事務所積極向企業(yè)提供咨詢和內(nèi)部審計服務,內(nèi)部審計需要采用新的方法來提供更高的集中度和價值,以此證實內(nèi)部審計存在的價值。風險基礎審計應運而生。風險基礎審計通過對企業(yè)經(jīng)營環(huán)境的了解,識別出企業(yè)所面臨的主要風險,采用控制測試和實質(zhì)性分析程序?qū)ζ髽I(yè)控制風險的程序進行評價,判斷企業(yè)當前實施的控制風險的策略和程序能否把企業(yè)風險降低到可接受水平以內(nèi),以及是否有效并據(jù)此形成審計建議,向管理者提出可行的改善措施。

1.4 風險管理基礎審計在二十世紀九十年代后期,ERM(本文第三部分有相關介紹)開始成為企業(yè)全面管理風險的方法。審計部門采用的風險基礎審計方法所關注的風險同時體現(xiàn)在ERM過程中。然而ERM具有風險基礎審計方法所沒有的功能。所以為對企業(yè)的風險管理活動進行審計,勢必需要對審計方法進行改進,以此滿足審計活動的需要。風險管理基礎審計基本形成。風險管理基礎審計重點在于識別當前風險管理有效性與期望有效性之間的差距,借助對企業(yè)經(jīng)營環(huán)境及其目標的了解,識別出影響目標達成的風險,理解風險容忍度,識別績效與風險衡量方法,并對風險進行評估,同時了解管理人員如何在風險容忍限度內(nèi)進行風險管理活動,并對風險管理活動的有效性進行評估,據(jù)此形成審計建議。此時的風險管理基礎審計是以企業(yè)的風險管理活動為審計對象,將內(nèi)部審計業(yè)務嵌入到企業(yè)實施的全面風險管理的框架中,對機構的種種風險管理程序和結果進行鑒定和評價,幫助企業(yè)實現(xiàn)其目標。由此可以得出風險管理基礎審計被緊緊束縛于企業(yè)風險管理活動之中,其所能適用領域也將受到企業(yè)風險管理領域的限制。

2采用基于ERM內(nèi)部審計方法的必要性

為了打破企業(yè)風險管理領域的限制,將ERM框架中風險分析思路拓展到內(nèi)部審計所適用的其他領域,本文提出基于ERM內(nèi)部審計方法,其定義如下:基于REM內(nèi)部審計方法是以企業(yè)風險為核心,運用COSO框架中系統(tǒng)的、規(guī)范的風險管理方法,識別并評估風險,據(jù)此確定審計對象,開展審計活動,并對其進行評價和提出改進建議,協(xié)助管理人員實現(xiàn)企業(yè)的目標。以下兩個方面促使內(nèi)審人員實施基于ERM內(nèi)部審計方法:第一,現(xiàn)行的內(nèi)部審計方法,不適用于已實施ERM的企業(yè)。ERM是20世紀90年代以來國際上興起的一種新的風險管理模式。在Deloitte(2007)的調(diào)查中顯示,35%的受訪企業(yè)已建立起了完整的ERM項目,另外1/3正在建設之中,其余9%正在考慮建設。在國內(nèi),2006年6月國務院國有資產(chǎn)監(jiān)督管理委員會也已下發(fā)《中央企業(yè)全面風險管理指引》,要求由履行出資人職責的國有企業(yè)貫徹執(zhí)行。渤海銀行、建設銀行、工商銀行、交通銀行和中國銀行等也已先后啟動了ERM項目。在這種情況下,結合IIA(Institute of Internal Auditors, 后文簡稱IIA,即內(nèi)部審計師協(xié)會)有關內(nèi)部審計的最新定義(下文有相關介紹),內(nèi)部審計需要對企業(yè)實施的ERM項目進行評價,并能夠適時提出改進建議,提供增值服務,以協(xié)助管理層實現(xiàn)企業(yè)目標。COSO委員會提出的ERM框架中,其風險管理程序揭示了審計業(yè)務的分析性思路,故可將其納入到內(nèi)部審計中來,幫助內(nèi)審人員提供增值服務。采用基于ERM內(nèi)部審計方法既能滿足評價企業(yè)實施的ERM需求,又可將其運用到內(nèi)部控制和治理程序的評價中去。同時,并不是所有的企業(yè)都實施了ERM項目,在這些企業(yè)中基于ERM內(nèi)部審計方法亦可對其內(nèi)部審計人員提供指導,強化其服務能力。第二,內(nèi)部審計自身發(fā)展的需要。IIA在1999年對內(nèi)部審計進行了重新定義:內(nèi)部審計是旨在增加組織價值和改善組織營運的獨立、客觀的確認與咨詢活動。它通過系統(tǒng)化、規(guī)范化的方法來評價和改善風險管理、內(nèi)部控制和治理程序的效果,以幫助實現(xiàn)組織目標。由以上定義可以得出,內(nèi)部審計主要通過獨立、客觀的確認和咨詢兩類活動向企業(yè)提供服務,以此來增加企業(yè)的價值。同時該定義認為,控制的唯一目的是為了幫助組織管理風險、促進有效的治理。同時由于內(nèi)部審計方法對內(nèi)部審計職能的更好實現(xiàn)起著至關重要的作用,所以為滿足此種要求,成功的履行其被賦予的受托責任包括內(nèi)部受托責任和外部受托責任,充分體現(xiàn)內(nèi)部審計存在的價值,內(nèi)部審計應當與時俱進,改善其審計方法,來滿足不同審計領域的需求。

3基于ERM內(nèi)部審計方法實施步驟

2004年9月,美國國家財務報告舞弊委員會(National Commission On Fraudulent Financial Reporting,Treadway Commission)所發(fā)起的內(nèi)部控制研究發(fā)起組織(Committee of Sponsoring Organization,COSO)了《企業(yè)風險管理框架》(Enterprise Risk Management -integrated framework),該風險管理框架理論是目前為止最完備的并具有廣泛適用性的風險管理理論,受到世界各國理論界和實務界的廣泛關注。在此情況下,本文借助COSO委員會提出的企業(yè)風險管理理論框架,使之與內(nèi)部審計方法進行融合,提出基于ERM內(nèi)部審計方法。希望其能夠彌補風險管理基礎審計方法不足。同時也希望內(nèi)部審計人員借此能夠更好地實現(xiàn)其價值增值目標,提升內(nèi)部審計的地位。COSO委員會提出的ERM從目標、層次和構成要素等三個維度構造了一個包容性很強的框架,其可以通過一個三維矩陣以立方體的形式表示出來如圖1所示。

第一維度,也就是對企業(yè)風險管理目標的劃分。新COSO報告將企業(yè)風險管理的目標歸為戰(zhàn)略目標、經(jīng)營目標、報告目標、合規(guī)目標四類。對主體目標的這種分類可以使企業(yè)的管理者和董事會關注企業(yè)的不同側(cè)面。第二維度,也就是企業(yè)風險管理的要素。為了實現(xiàn)風險管理的有效性,需要以下八個方面的要素支持:內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通和監(jiān)控。各要素相互關聯(lián),貫穿在企業(yè)風險管理的過程之中。第三個維度,是實施企業(yè)風險管理的層次問題。ERM可以根據(jù)企業(yè)的不同需求在子公司,業(yè)務單元,分部,主體層次上分別予以實施。本文根據(jù)COSO的企業(yè)風險管理框架結合內(nèi)部審計本身已有的內(nèi)部審計測試方法構建基于ERM內(nèi)部審計模型:其主要可分為四個部分:

第一,重點審計對象的確定。內(nèi)部審計部門本身就是企業(yè)內(nèi)部的一個組織,其主動規(guī)劃審計項目并進行實施是其應盡的職責,這就使得內(nèi)部審計面臨著審計項目的選擇問題,如何才能確定出重點審計對象,對內(nèi)部審計活動來說具有重要的意義。他直接決定了內(nèi)部審計活動的成敗。在確定內(nèi)部審計的重點審計對象時,可以通過以下幾個步驟:步驟一:環(huán)境分析。企業(yè)所處的環(huán)境對企業(yè)的生產(chǎn)經(jīng)營活動以及企業(yè)的經(jīng)營目標最終能否實現(xiàn)有著至關重要的影響。對企業(yè)所處的內(nèi)外部環(huán)境的了解及分析,是開展審計活動的第一步。企業(yè)的外部環(huán)境主要包括:行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其它外部因素。內(nèi)部環(huán)境主要包括:企業(yè)的經(jīng)營模式、組織結構與風險偏好等。可以采用觀察、詢問以及檢查等方式來加深對企業(yè)環(huán)境的了解,從而可以宏觀上把握企業(yè)所面臨的各種風險。步驟二:目標設定。在對企業(yè)環(huán)境進行分析之后,審計師應當明確此次審計的目的,同時了解審計對象即程序運行的目的以及與程序相關的績效評價指標并同時評價兩者的設定是否合理,為隨后的風險識別打下基礎。審計目的可能源于以下幾種情況:進行此次審計是基于管理者的要求,對正在實施的某一程序的有效性進行評價;基于年度審計計劃來審查企業(yè)的固有風險;企業(yè)環(huán)境發(fā)生變化,為應對這一變化管理層對相關程序進行重新設計,要求審計人員評價這一新程序是否能夠有效地應對環(huán)境的變化;企業(yè)發(fā)生舞弊案件,管理層要求內(nèi)審人員就所涉及的相關程序進行評估,查出程序的漏洞等。進行審計的動因并不局限以上的幾種情況,要求內(nèi)審人員根據(jù)企業(yè)的具體情形進行判斷。進行風險識別和評估的前提是應明確程序的主要目的以及與其相關的主要績效評價指標。步驟三:風險識別。必須識別出可能會對程序目標實現(xiàn)產(chǎn)生影響的內(nèi)外部潛在事件以及促使?jié)撛谑马棸l(fā)生的主要動因。COSO委員會頒布的ERM框架中對事項做了如下描述:事項可能會帶來負面的影響,也可能會帶來正面的影響,抑或二者兼而有之。帶來負面影響的事項代表風險,它會妨礙價值創(chuàng)造或者破壞現(xiàn)有價值。帶來正面影響的事項可能會抵消負面影響,或者說代表機會。機會是一個事項將會發(fā)生并對目標――支持價值創(chuàng)造或保持――的實現(xiàn)產(chǎn)生正面影響的可能性。其建議管理當局把機會反饋到戰(zhàn)略或目標制訂過程中,以便制訂計劃去抓住機會。故此,我們所說的事項僅指給企業(yè)帶來負面影響的風險。在此過程中為識別出企業(yè)所有影響程序目標實現(xiàn)的風險以及主要動因,最好能夠和程序的相關人員以及所涉及的管理人員進行討論,采用頭腦風暴法,對所涉及的事項進行逐一分析,以期達到最優(yōu)的結果。例如,提出以下問題,要求參與者發(fā)表自己的看法。①在外界環(huán)境發(fā)生變化時,該程序能否迅速做出恰當?shù)姆磻?②與該程序相關的文件記錄是否存在缺陷?③該程序在實施過程中有什么意想不到的事情發(fā)生?④執(zhí)行該程序的人員是否能夠勝任此項工作?等等,通過提問和討論直到找到影響程序目標實現(xiàn)的所有潛在的風險及相關的主要動因。審計人員收集到所需的相關資料后對識別的風險進行定義,采用COSO委員會ERM框架下的風險組合觀,把類似的風險加以歸類,集中應對。此過程中得出的風險定義以及風險組合應當與管理者對風險的認識相一致或應取得管理者的認可,從而取得兩者對風險的共同語言。這樣可以加強內(nèi)審人員與管理者之間的溝通,從而有利于完成兩者的受托責任,實現(xiàn)企業(yè)的目標。步驟四:風險評估。對識別出的風險進行評估,主要涉及到風險的兩個方面:風險發(fā)生的可能性及影響。通過考慮風險的可能性和影響來對其加以分析,并以此作為決定審計的方向。新COSO框架在風險評估的過程中把風險分為固有風險和剩余風險。而我們在此過程中主要關注與企業(yè)相關的固有風險。企業(yè)風險評估的方法有多種,主要分為定量分析和定性分析兩種。企業(yè)無須對所有的風險采用同樣一種評估方法,可根據(jù)不同的風險目標確定相應的風險評估方法,達到成本最低情況下的效益最大化目的。我們在此建議一種方法:九格圖法,并簡單加以論述。九格圖如圖2。首先,我們分別把風險發(fā)生的可能性和影響分為低,中,高三個檔次。其次,內(nèi)審人員應和相關的管理者和程序的執(zhí)行人員進行討論確定低,中,高的具體分界線是多少。在此過程中涉及了相當大的主觀判斷,不同的審計人員對此判斷可能是不同的,但應取得管理層的認可,即雙方達成共識。例如,對于可能性的劃分:25%以下為低,25%至50%之間為中,50%以上為高。再次,將識別的風險在與管理者和程序執(zhí)行人員進行充分的討論的情況下,依次填入以上表格。此過程可以通過對風險的兩屬性進行打分來完成。最后,在取得管理層對風險的容忍度的充分理解的情況下,評價識別的風險并進行從高到低的排序。例如,填入1,2,3,4表格中的風險視為低風險。填入5,6,7表格中的風險視為中等風險。填入8,9表格中的風險視為高風險。此過程中對管理層風險容忍度的理解和對風險的排序可以幫助以下的審計活動如,判定審計的具體方向、分配審計資源以及評價審計結果等。

第二,實施測試程序。在重點審計對象確定出來以后,就是具體實施審計測試程序,收集審計證據(jù),為進行評價建議打下基礎。審計測試程序具體可以包括控制測試和實質(zhì)性程序測試,兩者可以分別或結合使用,可根據(jù)不同的情況具體進行選擇。在此過程中,內(nèi)審人員需要判斷企業(yè)程序設計和運行的有效性,就其是否能夠?qū)⑵髽I(yè)固有風險降低到可接受的水平與管理人員和程序執(zhí)行人員進行有效的溝通,據(jù)此評估出其剩余風險并識別出當前實施的程序與理想程序之間的差距所在,并做出相關記錄。

第三,評價測試結果,提出改進建議。當收集到充分的、適當?shù)膶徲嬜C據(jù)之后,就可以對其進行評價。此階段,通過分析所收集的證據(jù),并與相關管理人員進行有效溝通,就當前實施的審計程序與理想審計程序之間的差距提出改進建議。并將其以恰當?shù)母袷教峤唤o適當?shù)墓芾砣藛T,以便其能夠被采納并得以實施。

第四,實施監(jiān)控。當建議被管理人員所采納后,其能否如實地被管理人員所實施,關系到內(nèi)部審計所做出的努力是否能夠被體現(xiàn)出來。因此,需要內(nèi)審人員對其實施的過程進行監(jiān)控。此過程可以采用實時或定點檢查等方法來確保改進建議得以恰當?shù)膶嵤亩髽I(yè)的經(jīng)營管理活動得以真正改善。內(nèi)部審計的價值最終被體現(xiàn)出來。

4結論

在企業(yè)經(jīng)營管理活動面臨極大“不確定”性的今天,內(nèi)部審計被寄予了極高的厚望。內(nèi)部審計能否在此情況下滿足利益相關者的需求,體現(xiàn)出其價值,對其形象及其地位的建立顯得尤為重要。本文通過對內(nèi)部審計方法發(fā)展歷程的論述,結合當今內(nèi)部審計所面臨的環(huán)境,提出基于ERM內(nèi)部審計方法,旨在豐富內(nèi)部審計人員在進行審計活動時的方法的選擇,而不是對以前審計方法的取代,從而能夠使其按不同的審計目標及不同的審計需選擇恰當?shù)膶徲嫹椒?能夠高效地完成其價值增值的目標,為企業(yè)目標的實現(xiàn)提供支持。

參考文獻:

[1]保羅?J?索貝爾.審計人員風險管理指南:審計與企業(yè)風險管理的結合[M].北京:中信出版社,2004.

篇（4）

1、公司成立負責風險管控的專業(yè)部門（如風險管理委員會），明確風險管理委員會及各專業(yè)委員會，風險管控部、各渠道部門，后援部門和資源部門等在風險管理工作中的角色及工作職責，通過不斷修訂和完善風險管理制度、流程、加強分公司風險管理體系建設，保證風險管理目標的實現(xiàn)。

2、公司各部門結合部門的風險類別，建立并完善相應的內(nèi)部控制制度，實現(xiàn)風險管理的制度化，標準化，推動分公司風險管理制度建設。各部門要通過對日常業(yè)務進行風險監(jiān)控，收集風險管理信息，對風險點提出整改建議并及時報送風險管控部。依據(jù)風險管控部下發(fā)的風險管理建議書完成整改。

4、公司明確將風險管理納入各部門日常經(jīng)營的各個環(huán)節(jié)，各部門負責人為本部門風險管理第一責任人，對于違反相關內(nèi)容的部門和個人，依據(jù)公司下發(fā)的規(guī)定結合自身的實際情況，給予追究和處罰。

二、公司各部門有效配合風險管理工作

1、風險管控部牽頭組織，定期收集整理各部門上報的各類風險信息，以及外部監(jiān)管信息，通過分析匯總，由公司風險管理委員會審批后發(fā)放至各部門遵照執(zhí)行。該部在年度風險識別和評估的基礎上，對“內(nèi)險分類標準”、“內(nèi)險識別和評估方法”不斷進行補充和完善，建立公司風險管理庫。制定年度計劃，組織開展風險排查和制度執(zhí)行檢查工作，對各部門、各機構的風險管理和內(nèi)控合規(guī)效果進行評估，對需要整改的事項下達風險管理建議書。風險管控部年中、年末組織召開風險管控工作建議，總結公司風險管控工作開展情況，并提出改進建議上報風險管理委員會。

2、人力資源部負責建立績效考核制度，對各級管理人員的考核，薪酬、獎懲、晉升等決定與風險管理和內(nèi)控合規(guī)成效相掛鉤。配合風險管控部每月定期組織開展風險排查和內(nèi)部審計檢查工作，對檢查中發(fā)現(xiàn)的各級人員的違規(guī)情況報備人力資源部，人力資源部記入人員檔案并納入各層級績效考核。

3、計劃財務部根據(jù)下發(fā)的會計制度進行日常會計處理；依據(jù)預算體系，完成預算的編制、執(zhí)行、調(diào)整、分析與考核的工作；建立財產(chǎn)日常管理制度和定期清查制度，確保財產(chǎn)安全，配合風險管控部進行財務數(shù)據(jù)相關調(diào)查。

4、銷售管理工作由營銷業(yè)務部，培訓部、銀行業(yè)務部、團體業(yè)務部、健康保險部、保費部、財富管理業(yè)務部、各機構共同完成，主要負責建立并保持書面程序，對銷售人員的甄選、簽約、薪酬、考核、檔案、品質(zhì)管理、宣傳材料管理等進行控制；定期對銷售人員進行專業(yè)培訓和職業(yè)道德教育，建立銷售人員失信懲戒機制；對于銷售過程中已識別的風險，建立并保持控制程序；執(zhí)行公司的風險管理制度。

5、運營管理部和法人運營部主要負責核保核賠，單證管理及保全管理，建立明確有核保，核賠標準，實施權責明確、分級授權，相互制約，規(guī)范操作的承保理賠管理機制；明確核保核賠人員的適任條件，定期對核保核賠人員進行培訓，確保核保核培人員具有專業(yè)操守并勤勉盡職；對單證的印刷、保管、領用、作廢和核銷及檔案的保管實施控制。

6、客戶服務部主要負責客戶的咨詢投訴管理、客戶的回訪、客戶服務及柜面管理。建立并保持咨詢投訴處理程序，對咨詢投訴處理中發(fā)現(xiàn)的問題進行核實、分析、反饋、進行整改和跟蹤監(jiān)督，并對公司業(yè)務品質(zhì)管理進行原則確定、統(tǒng)一管理；建立并實施業(yè)務操作標準和服務質(zhì)量標準，對柜面活動的服務質(zhì)量進行規(guī)范管理，并建立客戶服務質(zhì)量考評機制；按照有關規(guī)定確定客戶回訪范圍和內(nèi)容，對客戶反饋信息進行分析整改并定期跟蹤。

7、信息技術部主要負責信息安全管理、建立信息安全管理體系、對硬件、操作系統(tǒng)，應用程序和操作環(huán)境實施控制，確保信息的完整性，安全性和可用性；出入計算機機房有嚴格的審批程序和出入記錄；對系統(tǒng)數(shù)據(jù)資料采取加密措施，建立健全網(wǎng)絡管理系統(tǒng)，對網(wǎng)絡安全，故障、性能、配置等進行有效管理；對完絡設備，操作系統(tǒng)，數(shù)據(jù)庫系統(tǒng)，應用程序等設置必要的日志。

8、辦公室主要負責行政管理，負責建立并保持書面程序，對公司的印鑒，合同檔案，職場管理，招標投標、文件、品牌宣傳、固定資產(chǎn)及物料管理等環(huán)節(jié)進行控制，定期對固定資產(chǎn)及物料進行清查，保證財產(chǎn)的安全，對工作當中已經(jīng)識別出的風險保持控制。

9、企劃部主要根據(jù)公司的戰(zhàn)略規(guī)劃，統(tǒng)一制定分支機構組織設置，職責權限，建立健全分支機構管控制度，實現(xiàn)對分支機構的全面、動態(tài)、有效管理、包含公司經(jīng)營目標，經(jīng)營計劃的督導追蹤、分支機新設、撤銷、變更、晉級等業(yè)務。

篇（5）

風險管理作為現(xiàn)代企業(yè)管理的一項重要內(nèi)容，越來越受到企業(yè)的重視。而內(nèi)部審計作為檢查監(jiān)督和服務機構，必然會參與到企業(yè)風險管理當中。但是，內(nèi)部審計應當如何參與到企業(yè)風險管理當中。扮演什么樣的角色，起到什么作用，這是我們首先要明確地，只有明確了這一前提，才能充分發(fā)揮內(nèi)部審計應有的作用。

2004年，國際內(nèi)部審計協(xié)會(IIA)聯(lián)合英國內(nèi)部審計協(xié)會和愛爾蘭分會共同發(fā)表了一份《關于內(nèi)部審計在企業(yè)風險管理中作用的意見書》(以下簡稱《意見書》)，該《意見書》指出企業(yè)的首席審計師在決定內(nèi)部審計在企業(yè)風險管理當中扮演的角色和作用時，應當考慮的主要因素是內(nèi)部審計所從事的活動是否會威脅到內(nèi)部審計的獨立性和客觀性，能否促進企業(yè)的風險管理和控制程序的完善。基于這一思想，IIA對內(nèi)部審計在企業(yè)風險管理中的作用提出了明確意見。以下是筆者對《意見書》闡述的解讀，并結合實際情況，對內(nèi)部審計在風險管理中的作用進行的分析。

一、堅持檢查與評價的核JC舴用

IIA《意見書》明確提出，內(nèi)部審計在風險管理過程中的核心作用包括：監(jiān)督企業(yè)風險管理過程的有效實施；保證企業(yè)風險得到正確的評價；評價風險控制程序的有效性；分析關鍵風險的記錄：檢查關鍵風險管理的效果。這五點歸納起來的核心思想就是檢查與評價。

一些企業(yè)提出內(nèi)部審計應當從查錯糾弊的傳統(tǒng)角色中轉(zhuǎn)變?yōu)楣芾碜稍兎铡＿@種提法理論上是正確的，只是目前的客觀條件還不具備，所以暫時無法實現(xiàn)。按照IIA的建議，內(nèi)部審計能夠在多大程度上為企業(yè)的管理提供咨詢服務，依賴于企業(yè)內(nèi)、外部環(huán)境和資源，比如，企業(yè)是否依法設立了內(nèi)部審計委員會，審計委員會是否能發(fā)揮其應有的作用；內(nèi)部審計是否具有獨立性和客觀性；企業(yè)預算是否給予內(nèi)部審計充足的份額；內(nèi)部審計人員自身的知識和技術水平能否有效的完成對風險的識別、劃分和評估等等。大部分企業(yè)的實際情況是，審計委員會雖然已經(jīng)建立，但基本沒履行應盡的責任；內(nèi)部審計機構健全，但還是作為企業(yè)的一個職能部門受單位主要負責人領導，無法確保審計的獨立性和客觀性，這也是內(nèi)部審計和外部審計的最大不同；還有內(nèi)部審計在組織中所受到的重視程度不夠，審計預算經(jīng)費不足，審計人員自身的素質(zhì)和能力有待提高等等，在諸多主、客觀條件根本不具備的情況下，內(nèi)部審計要達到全面開展管理咨詢服務是不現(xiàn)實的。在這種情況下。檢查與評價仍然是目前內(nèi)部審計在企業(yè)風險管理過程中應當承擔的主要責任，也是當前內(nèi)部審計的工作中心。

二、加強指導和建議的保障作用

IIA《意見書》指出內(nèi)部審計圍繞企業(yè)風險管理有效運行應當提供的保障作用包括：倡導建立企業(yè)風險管理；推動風險管理戰(zhàn)略獲得董事會的批準；協(xié)助企業(yè)進行風險識別與評價；指導管理層應對風險；協(xié)調(diào)企業(yè)風險管理活動的開展；統(tǒng)一風險報告；促進企業(yè)經(jīng)營管理框架的保持和發(fā)展。這些都是內(nèi)部審計為企業(yè)風險管理有效運行而提供的指導和建議活動，為企業(yè)風險管理的有效實施提供的保障作用。

目前。雖然許多企業(yè)強調(diào)風險管理，但真正建立了風險管理體系的卻非常少，而且，風險管理體系的建立也不是一蹴而就的，是逐步完善起來的，隨著企業(yè)經(jīng)營環(huán)境的改變，還要不斷更新的。內(nèi)部審計作為企業(yè)內(nèi)部的職能部門，屬于組織的一部分，對于其他職能部門的業(yè)務流程比較熟悉，同時，由于內(nèi)部審計并不直接參與企業(yè)的經(jīng)營管理活動，對企業(yè)的經(jīng)營和管理風險并不承擔直接責任，這使得內(nèi)部審計具有相對的獨立性，內(nèi)部審計可以利用這種優(yōu)勢，從全局的角度，客觀的對企業(yè)風險管理進行指導和建議，保障企業(yè)風險管理程序的順利實施。

內(nèi)部審計如何充分發(fā)揮保障作用，一是對尚未建立風險管理系統(tǒng)的企業(yè)，積極向管理層提出建立風險管理體系；二是通過咨詢指導的方式，積極協(xié)助企業(yè)管理層完善風險管理系統(tǒng)；三是運用諸如風險導向?qū)徲嫛T審計等先進的審計方法和技術對企業(yè)面臨的風險和控制情況進行分析，及時提出完善風險管理體系的建議：四是通過開展專項審計調(diào)查，對直接參與風險管理的職能部門的管理情況進行審計。對存在的風險因素進行批露，并提出相關的建議。

三、內(nèi)部審計在企業(yè)風險管理中不應當從事的活動

篇（6）

關鍵詞 完善 稅收 風險 管理機制 措施

一、明確稅收風險管理基本流程

從分析、歸集各類涉稅信息著手，將風險管理劃分為風險識別、風險評定、風險應對三個階段。風險識別階段，一般通過分年度、季度對各類信息收集和特征歸納，運用推理統(tǒng)計、數(shù)據(jù)分析等方法，對照稅收風險管理指標體系和特征庫，針對不同角度和領域，找到稅收風險點，對識別出的風險點進行定性分析。風險評定階段，對識別出的風險點，通過人機結合的方式，對納稅人的風險級別進行統(tǒng)一的、基礎性的評定。稅收風險大小以稅收風險積分表示，以稅收風險發(fā)生概率和風險發(fā)生造成稅款流失的嚴重程度即強度為主要評價因素，通過設立風險評定項目分值和風險強度系數(shù)，計算風險積分，按季對納稅人進行風險等級劃分，分為一至五個等級，五級最高，一級最低。風險應對階段，針對不同風險等級的納稅人，采取差別化的管理和服務。各業(yè)務科室、基層局各職能部門可以直接參與到具體的風險應對工作中，形成縱向各層級、橫向各部門的聯(lián)動互動、協(xié)調(diào)協(xié)同的風險應對工作機制，確保稅收風險管理取得實效。

二、強化稅收分析

稅收風險管理中，風險控制標準的制定和執(zhí)行成為風險管理體制有效運轉(zhuǎn)的重要保證。而加強對稅收風險點的識別和定位，對稅收風險點進行詳細分析則是有效識別和定位稅收風險，構建合理稅收風險管理系統(tǒng)的重要基礎工作。高質(zhì)量的分析工作可以不斷提高各級稅收管理層的稅收風險預警能力。提高稅收風險管理的針對性和指向性。按照國家稅務總局的要求，稅收分析可以細分為經(jīng)濟稅源分析、政策效應分析、管理風險分析和預測預警分析。其核心內(nèi)容是依托信息平臺，根據(jù)內(nèi)外部數(shù)據(jù)來源，對稅源企業(yè)進行分類分級，明確各級稅源監(jiān)控的。標準、范圍及要求，按照風險級別排序，采取有針對性的稅源監(jiān)控措施，合理地配置稅收管理資源，提高稅源管理的針對性和有效性。

三、健全稅收管理機制，建立專業(yè)化的風險控管運行機制

按照稅收風險管理的程序要求，各級稅務機關，特別是各級管理層，通過轉(zhuǎn)變管理職能，逐步建立滿足風險管理體系建設需要的各類運行機制，主要包括：風險管理戰(zhàn)略規(guī)劃管理機制、風險信息情報采集交換機制、風險信息分析識別管理機制、風險等級估算排序管理機制、風險應對策略選擇管理機制、風險應對措施實施管理機制、風險管理全程監(jiān)控評估機制等。

建立稅收風險管理規(guī)劃目標管理機制。承擔稅收風險戰(zhàn)略規(guī)劃管理的稅務機關，通過建立部門聯(lián)席會議，形成稅收風險管理戰(zhàn)略規(guī)劃管理工作機制，承擔系統(tǒng)風險管理的規(guī)劃管理工作，對規(guī)劃期風險管理的工作目標、階段重點、方針策略、主要措施、實施步驟等作出系統(tǒng)性安排。對規(guī)劃期風險管理工作開展情況進行全程跟蹤監(jiān)控；在規(guī)劃期末，對作出及時的總結評估，為風險管理體系持續(xù)改進、持續(xù)完善，為未來稅收風險戰(zhàn)略管理的規(guī)劃安排提供改進建議。

篇（7）

企業(yè)風險管理體系簡介

要對風險管理過程的充分性和有效性進行評價，首先要對風險管理體系有一個初步的了解。根據(jù)美國COSO委員會《企業(yè)風險管理框架》的要求，建立風險管理體系包括相互關聯(lián)的八個風險管理要素，各要素貫穿在企業(yè)管理過程中，為實現(xiàn)企業(yè)目標提供保證。

第一是內(nèi)控環(huán)境。主要是在企業(yè)中樹立風險管理理念，營造一種風險管理文化，為其他風險管理要素打下基礎。

第二是目標制定。管理者必須首先確定企業(yè)的目標，才能夠確定對目標的實現(xiàn)有潛在影響的事項。根據(jù)企業(yè)確定的任務或預期，管理者制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關的目標并在企業(yè)內(nèi)層層分解和落實。

第三是事項識別。下列事情可能給組織帶來風險：因使用不正確、不及時、不完整、不可靠的資料而導致決策錯誤；記錄有錯誤、會計核算資料不真實、不完整；資產(chǎn)保護不當；顧客不滿意，組織信譽受損；執(zhí)行組織決策、計劃、程序不力，或有違法違規(guī)行為；不經(jīng)濟地獲取或無效地利用資源；沒有完成組織的任務和目標。需要企業(yè)的管理者對其進行識別、評估和反應。

第四是風險評估。風險評估可以使管理者了解潛在事項如何影響企業(yè)目標的實現(xiàn)。管理者應從兩個方面對風險進行評估-風險發(fā)生的可能性和影響。對于風險的評估應從企業(yè)戰(zhàn)略和目標的角度進行。

第五是風險反應。風險反應可以分為規(guī)避風險、減少風險、共擔風險和接受風險四類。對于每一個重要的風險，企業(yè)都應考慮所有的風險反應方案。有效的風險管理要求管理者選擇可以使企業(yè)風險發(fā)生的可能性和影響都在風險容忍度之內(nèi)的風險反應方案。

第六是控制活動。控制活動是幫助保證風險反應方案得到正確執(zhí)行的相關政策和程序。控制活動存在于企業(yè)的各個部分、各個層面和各個部門，通常包括兩個要素：確定應該做什么的政策和影響該政策的一系列程序。

第七是信息和溝通。來自于企業(yè)內(nèi)部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業(yè)的員工能夠執(zhí)行各自的職責。

第八是監(jiān)控。對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內(nèi)容和運行以及執(zhí)行質(zhì)量的一個過程。企業(yè)可以通過持續(xù)監(jiān)控和個別評估兩種方式，來保證企業(yè)的風險管理在企業(yè)內(nèi)務管理層面和各部門持續(xù)得到執(zhí)行。

從以上八個風險管理要素可以看出，企業(yè)風險管理是一個過程。是一個由企業(yè)的董事會、管理層和其他員工共同參與的，應用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的，用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內(nèi)管理風險的，為企業(yè)目標的實現(xiàn)提供合理保證的過程。

內(nèi)部審計在風險管理中的作用

根據(jù)《內(nèi)部審計實務標準》對內(nèi)部審計的定義：內(nèi)部審計是一種獨立、客觀的保證與咨詢活動，目的是為機構增加價值并提高機構的運作效率。它采用系統(tǒng)化規(guī)范化的方法來對風險管理、控制及治理程序進行評估和改善，從而幫助機構實現(xiàn)其目標。所以在風險管理中，內(nèi)部審計要發(fā)揮兩方面的作用：

第一是對風險管理過程的充分性和有效性進行評價，主要從以下幾個方面進行評價：1.評價企業(yè)戰(zhàn)略目標的制定是否是在分析組織和行業(yè)的發(fā)展情況和趨勢、企業(yè)的優(yōu)勢和劣勢、外部的機會和威脅的基礎上結合企業(yè)風險偏好來制訂；2.與相關管理層討論部門的目標，看分解到各部門的目標是否對戰(zhàn)略目標提供足夠的支持；3.評價管理層對風險的識別和評估是否準確；4.分析控制措施是否完善，是否可以使企業(yè)風險發(fā)生的可能性和影響都落在風險容忍度之內(nèi)；5.風險監(jiān)控是否持續(xù)得到執(zhí)行，監(jiān)控報告制度是否恰當，風險管理報告是否充分、及時。

第二是以咨詢顧問身份協(xié)助機構確定、評價并實施針對風險管理的方法和控制措施。內(nèi)部審計在該方面的作用包括：1.進行控制和風險評估培訓。使風險意識貫穿于整個企業(yè)的各個層面，并且使每名員工能夠有效識別風險并提出有效控制措施，實施企業(yè)全員、全過程、全方位、全天候的風險管理。2.召開控制和風險評估專題討論會。針對重大風險隱患，要集合企業(yè)內(nèi)外部的專家進行專題研討。審計人員既是組織者，又是參與者，同時也是學習者。3.開發(fā)自我評估工具。對風險管理進行深入研究，利用現(xiàn)代技術開發(fā)適合本企業(yè)的評估工具

將企業(yè)風險管理融入內(nèi)部審計程序

在風險管理中，內(nèi)部審計部門主要是對風險管理部門和其他相關部門所進行的風險管理進行再監(jiān)督。因此內(nèi)部審計程序與機構的風險管理之間應該協(xié)調(diào)一致，使這兩項工作產(chǎn)生協(xié)同增效的作用。

1.在編制審計計劃時，應該在對可能影響機構的風險進行評估的基礎上，制定內(nèi)部審計部門的審計計劃，確定審計項目。

2.確定審計范圍時，要考慮并反映整個公司的戰(zhàn)略性計劃目標，并每年對審計范圍進行一次評估，以反映機構的最新戰(zhàn)略和方針。

篇（8）

概括來說,校企合作的風險具有以下特征:第一,客觀性。客觀環(huán)境的復雜性、社會的發(fā)展性和學校與企業(yè)等主體認識的局限性,決定了校企合作的風險是不以人的意志為轉(zhuǎn)移的客觀存在。決定校企合作風險的許多因素都是相對于風險主體而獨立存在的,并且在一定條件下使得風險由可能轉(zhuǎn)化為現(xiàn)實。對校企合作風險的管理應以承認其客觀性為基本前提,從而加強對風險因素的系統(tǒng)性管理,統(tǒng)籌兼顧,以最大化地消除風險。第二,不確定性。源于校企合作雙方內(nèi)部或外部的某一事件的發(fā)生具有可能性即不確定性,該事件會影響校企合作目標的達成程度,既可能產(chǎn)生積極影響,也可能產(chǎn)生消極影響,或兩者兼有。這種不確定性往往是復雜的、多元化的,使得風險主體無法準確預期自身和外界環(huán)境的未來以及校企合作的成效。第三,相對性。校企合作風險的大小是針對風險承受能力不同的風險主體而言的。對不同的校企雙方來說,完全相同的風險因素產(chǎn)生的風險大小可能是完全不相同的。

因此,校企雙方應具體地結合自身狀況和客觀環(huán)境綜合分析,完善管理策略和應對機制,這是進行校企合作風險管理的基礎。第四,對稱性。風險和收益對于校企合作主體來說同時存在,一般來說,所面臨的風險越高,所要求的風險補償即收益就越高。承擔風險是取得收益的必要代價,所得收益是對承擔風險的補償。在校企合作中,應把握適度原則,只有適當?shù)娘L險對校企合作才最有利,它有助于激發(fā)校企雙方潛能,使雙方在各展所長中進行優(yōu)勢互補,在風險管理中獲得最大收益。風險過高或過低對校企合作都是不利的,低風險通常意味著低回報,對校企雙方,尤其是以逐利為目的的企業(yè)來說,動力的缺乏容易導致合作停滯不前、難以維系;雖然高風險往往伴隨著高收益,但也蘊含著更大的不確定性和不穩(wěn)定因素,一旦風險由可能變成現(xiàn)實,不僅會導致校企合作的破裂,還可能會對校企合作的雙方帶來重大不利影響。

二、校企合作風險的主要類型及成因分析

1.信用風險

信用風險又稱違約風險,是指由于校企合作的雙方或一方未能履行合作協(xié)議所規(guī)定的義務或信用質(zhì)量發(fā)生變化,從而給校企合作雙方或一方帶來損失的可能性。對大多數(shù)高校和企業(yè)來說,信用風險幾乎存在于所有的校企合作中,而企業(yè)是引發(fā)信用風險的主要方面。從投入產(chǎn)出比來看,人才培養(yǎng)需要長期投資教育,投資周期較長、成本較高,而教育效果的時滯現(xiàn)象,使得企業(yè)的短期內(nèi)投入遠大于產(chǎn)出。此外,企業(yè)的逐利性導致其比較注重短期既得利益,故而多數(shù)企業(yè)在合作的過程中,基于自身利益的考量,為達到短期利潤最大化的目的不惜以降低校企合作質(zhì)量為代價。

2.產(chǎn)權爭議風險

由校企合作雙方在投入方式上的差異及投入的難以量化導致的在產(chǎn)權保護和產(chǎn)權歸屬上產(chǎn)生沖突的風險[2]。在校企合作前期,產(chǎn)權爭議主要受到利益預期、外部環(huán)境等因素的影響,中期主要的影響因素是內(nèi)部環(huán)境、成本控制等,后期的主要影響因素是產(chǎn)權的歸屬和利潤的分配。同時,合作協(xié)議模糊不明及合作前期準備工作不充分,也是產(chǎn)權爭議產(chǎn)生的重要原因。一旦發(fā)生爭議,校企雙方?jīng)]有明確可依的合作協(xié)議和事前的相關文件、解決方案等,使得分歧難以化解,甚或矛盾加劇乃至訴諸法律。

3.共同利益風險

在校企合作的中,由于雙方的共同利益得不到滿足而引發(fā)的風險,常與信用風險交織并發(fā)。資源依賴理論認為,組織是一個開放的系統(tǒng),沒有任何組織賴以生存和發(fā)展的資源是能夠自給自足的[3]。共同利益是校企合作的基礎,只有校企雙方的需求都能在一定程度得到滿足,其合作才能延續(xù)和發(fā)展。一般來說,企業(yè)希望在校企合作中滿足下述幾方面的需求:未來穩(wěn)定的企業(yè)用工來源、技術支持、員工培訓、引進先進的技術、合作科研開發(fā)和贏得社會聲譽等[4]。而學校在校企合作中,希望通過與企業(yè)共同建立實訓基地和引進企業(yè)高級人才來校講學等途徑,解決學生的實習問題,加強教師專業(yè)能力發(fā)展,推進人才培養(yǎng)模式的創(chuàng)新和課程體系的完善等。在合作中,如果雙方的需求無法滿足,則合作將難以維系,風險就極易發(fā)生。

4.操作風險

操作風險潛藏于校企合作制度、內(nèi)部程序等各個方面,風險發(fā)生概率極高,因此應該加以重視。大多數(shù)校企合作普遍存在合作協(xié)議空洞模糊的問題,對合作所必須的具體實施細則和內(nèi)部程序的制定不重視,對參與人員的職責分配、校企雙方利益分配的界定不明確,對合作期間的成效反饋機制、參與人員管理機制和風險監(jiān)控機制的建立不完善,校企合作缺乏系統(tǒng)的管理,呈現(xiàn)表面化、功利化的態(tài)勢。而良好的校企合作的建立需要合理完善的程序指引和制度規(guī)范,這其中涉及如何協(xié)調(diào)校企之間的利益分配、如何保證主要參與者積極履行職責、如何激發(fā)企業(yè)參與校企合作的能動性等。

5.學生安全風險

學生在校企合作過程中出現(xiàn)傷亡事故引發(fā)的風險,這類風險發(fā)生概率雖小,而一旦發(fā)生,尤其是死亡事故的發(fā)生,校企雙方的態(tài)度會出現(xiàn)很大轉(zhuǎn)變,通常會由積極主動變得冷漠推諉,給校企合作帶來沉重打擊。之所以出現(xiàn)這種情況,一方面在于校企雙方缺乏安全意識,對學生缺少安全教育和安全管理;另一方面在于校企合作雙方責任劃分不明確,且缺乏風險規(guī)避、風險轉(zhuǎn)移等風險管理機制。

三、校企合作風險管理程序

1.確定風險管理目標

目標是行動的綱領,校企合作風險管理的第一步就是要明確目標,這是校企合作的出發(fā)點和歸宿。校企雙方通過合作來滿足自己的利益需求,因此,制定目標時應先考慮雙方的利益訴求,然后在雙方利益盡可能最大化的基礎上尋求平衡點。校企合作的目標往往是多元化的,包括維持合作的長期存在,創(chuàng)造校企雙方的雙贏局面,最小化校企合作的風險代價,防止可能造成的學生傷亡事故等。風險管理目標是一切風險管理決策和行動的核心依據(jù),它使得風險管理計劃成為一個整體問題,其中涉及的每一項具體工作都是這個整體中的有機組成部分。

2.識別并評估風險

識別并評估風險是校企合作風險管理工作中非常重要的一項工作,風險管理工作的成效如何主要取決于對風險的識別和評估。校企雙方應各自抽調(diào)出熟悉校企合作項目情況的專家、高級管理人員等組成風險管理委員會,對校企合作所面臨的具體風險進行有效識別,并利用歷史損失信息和數(shù)理統(tǒng)計方法對所識別的風險進行量化評估。風險評估包括評估潛在損失頻率和潛在損失程度兩個方面,主要用于對風險的定級。用潛在損失頻率對風險加以定級,特別是在無法取得精確資料的情況下,可以對損失頻率進行粗略估計,分為幾乎不會發(fā)生、不大可能發(fā)生、頻率適中、肯定發(fā)生四個等級。在校企合作中,因此更多的是用潛在損失程度進行定級,由于損失程度往往是影響校企雙方回報的關鍵性因素,主要分為三個等級,致命風險、嚴重風險和一般風險。對校企合作風險的有效識別和合理評估,有利于管理者全面掌握風險信息,并為風險管理后續(xù)工作的進行奠定基礎。

3.制定并實施風險管理計劃

在風險評估工作結束后,風險管理委員會必須選擇最適當?shù)膽獙︼L險的方法或綜合方案,制定風險管理計劃,其核心在于面臨不同的風險應采用不同的可行性方法。當風險是內(nèi)生時,即校企合作面臨的是可控風險,委員會應及時排查合作漏洞,通過明晰合作雙方的責任和義務,細化合作內(nèi)部程序來規(guī)避操作風險。當風險不可控時,利用合作協(xié)議轉(zhuǎn)移并分散風險便成為委員會風險管理的合理選擇,其實質(zhì)就是風險的補償措施。即當風險事故一旦發(fā)生,將損失的一部分轉(zhuǎn)移到合作雙方以外的第三方身上。例如,為實習學生購買意外傷害保險,將風險轉(zhuǎn)移給保險公司。風險管理計劃只有付諸實踐,才能產(chǎn)生應有的成效。因此,計劃的實施是風險管理中必不可少的環(huán)節(jié),這依賴于風險管理委員會和校企雙方工作人員的密切配合、及時溝通和信息共享,這樣才能將風險管理落到實處,促進合作目標的達成,否則風險管理只能停留于表面、流于形式。

篇（9）

1風險管理與內(nèi)部控制架構

西方商業(yè)銀行都建立了全面風險管理框架，對各類業(yè)務、各種風險進行管理和控制，并根據(jù)各自的業(yè)務特點和管理需要，對風險進行分類。如摩根大通銀行將風險主要劃分為信用風險、市場風險、操作和經(jīng)營風險、流動性風險、權益風險，按照風險種類進行管理和控制。

在風險控制結構的設計上，主要考慮要保證銀行能夠形成強勢的、信息充分的風險文化，使銀行在進行經(jīng)營決策時，能夠在風險與回報之間進行平衡，進而實現(xiàn)股東回報最大化。因此，風險控制的要點是要保證銀行的經(jīng)營行為要與對風險的承受能力保持一致，避免造成過大的風險壓力。

在組織架構上，實行層級管理，分為3個層面。首先是董事會及其下屬的風險管理委員會(風險政策委員會)，其職責主要是從宏觀層面上設定銀行的風險管理政策、方針，批準風險管理政策、進行風險限額授權、對管理層的風險管理工作進行評價等，而不涉及具體業(yè)務的風險管理工作。其次是高級行政管理層，負責建立操作流程、風險限額、風險準備的提留等。再次是具體執(zhí)行層面，由專門的風險管理部門負責對具體業(yè)務風險的管理、授信業(yè)務的審批、檢驗風險管理程序是否合理。

蒙特利爾銀行自董事會到各級管理部門均建立了不同層次的風險管理委員會，包括董事會所轄風險審核委員會、行長所轄部門風險委員會、風險管理委員會及資本管理委員會等。董事會及管理層負責審核風險管理的政策及規(guī)定，風險管理委員會及審計委員會負責處理大額業(yè)務或特殊業(yè)務、制定信貸政策及風險管理框架等；專業(yè)化的風險管理小組負責處理特定行業(yè)、部門或產(chǎn)品的風險；專一的小組負責貸款的清理及回收。信貸員正式上崗之前必須經(jīng)過一系列的業(yè)務知識和技能的培訓，并經(jīng)過嚴格的資格認定；對待特殊風險問題，需聘請咨詢專家提供支持；資產(chǎn)組合管理人員通過引入信息管理系統(tǒng)，及時利用外部各種渠道掌握客戶的全面信息。審計部門每季度對銀行的內(nèi)部控制狀況進行評價，并將評價結論向董事會的審計小組進行匯報。

蒙特利爾銀行很強調(diào)風險管理專家的作用，在銀行的風險管理部門和前臺經(jīng)營部門中都設有風險專家，風險管理專家的能力和經(jīng)驗有助于強化風險管理的作用，提升紀律化、高效的風險管理程序的價值；為評估和接受風險建立風險管理標準；在決策過程中采用有效的模型，以作出合理商業(yè)判斷。

摩根大通銀行的最高決策機構是董事會，在董事會下設有風險政策委員會，負責所有風險的管理。風險政策委員會下設立了執(zhí)行委員會。執(zhí)行委員會的職責有兩項，一是負責戰(zhàn)略指引，二是負責內(nèi)部評價。執(zhí)行委員會下設立了資本委員會和風險管理委員會。資本委員會的職責有以下6項：(1)提出資本比率的目標建議并負責監(jiān)控該比率；(2)提出資本分配的建議；(3)監(jiān)控公司及母公司的流動性，批準抵押品及流動性計劃政策；(4)評價公司的資本充足性及債務水平；(5)為資本充足性和流動性的討論提供一個論壇；(6)從潛在流動性風險的角度評價特殊目的實體的風險敞口。風險管理委員會的職責有以下6項：(1)提供全面、直接的風險描述及風險偏好；(2)評價并批準公司政策和風險戰(zhàn)略：以保證銀行的風險管理和監(jiān)控能夠準確反映經(jīng)營授權、經(jīng)營行為、合法性及是否滿足監(jiān)管要求等；(3)批準集合限額和授權以控制風險；(4)監(jiān)控重要風險敞口、頭寸集中度、資產(chǎn)流動性、重要頭寸及交易的風險限額，對壓力情況給予特別關注；(5)評價折扣的充足性并批準損耗；(6)提供風險討論的論壇。

紐約銀行風險政策部門的層級劃分及職責是：最高一級是高級風險政策官，負責監(jiān)控整個銀行的市場風險、信用風險、操作風險；其下設立分別負責信用風險、市場風險、操作風險的高級官員；然后是高級國際業(yè)務風險官；最后是地區(qū)信貸官，分別負責歐洲、亞洲及其它地區(qū)風險控制。

2信貸風險控制方法

2．1摩根大通銀行風險經(jīng)理制度

摩根大通銀行在總行設首席風險經(jīng)理，曲副行長或副行長級高級管理人員擔任，負責全行各種風險的控制和管理，監(jiān)控各種可能對全行業(yè)務發(fā)展有重大影響的“重大風險”。在首席風險經(jīng)理領導之下，每個信貸業(yè)務部門都有信貸風險的專門管理人員——信貸高級風險經(jīng)理，他們都由首席信貸官主管。在首席信貸官之下有3個高級信貸官，其中2人分別負責國際或國內(nèi)的批發(fā)業(yè)務，另1人負責零售業(yè)務。在3個高級信貸經(jīng)理之下，還有區(qū)域風險經(jīng)理，分成幾個地區(qū)，例如亞太地區(qū)、歐洲地區(qū)等。或者按產(chǎn)品分，如資本市場、信用卡等。在區(qū)域風險經(jīng)理之下，每個部門還有信貸風險管理人員，他們在技能、分析、管理方面比較有優(yōu)勢，所以能從事這項工作。在業(yè)務部門內(nèi)，風險管理人員有最高審批權，即他們對其各自所負責管轄的區(qū)域或產(chǎn)品領域內(nèi)的信貸額度有最終的審批決策權。這里還有一個原則，即每個信貸風險管理人員有兩個上司，一個是較高級的信貸執(zhí)行官員，一個是本部門的負責人。這種方法使高級信貸人員能夠參與信貸管理，他們不僅說行與不行，還要說出理由。

2．2信貸業(yè)務雙簽制度

摩根大通銀行根據(jù)不同部門、不同級別有關人員的能力和業(yè)務需求，給予不同的信貸業(yè)務決策審批權限。風險較高的業(yè)務需要高級管理人員審批，風險特別高的還要更高一級的官員批準。但不管誰批．至少需要2個或2個以上的簽字人。蒙特利爾銀行除客戶管理部門授權之內(nèi)的業(yè)務、風險較低的業(yè)務及特定的小額業(yè)務之外，銀行發(fā)放貸款時，除信貸經(jīng)營部門(客戶管理部)批準同意外，還需要得到信貸監(jiān)控部門的同意。如果兩個部門意見不統(tǒng)一或超權限的項目均要分別報上一級主管部門。

2．3小額信用風險的控制

由于零售業(yè)務單筆規(guī)模小但筆數(shù)多，違約率高但單筆違約損失小的特點，其風險主要表現(xiàn)為系統(tǒng)風險。根據(jù)這一特點，蒙特利爾銀行針對零售業(yè)務采用了自動審批貸款系統(tǒng)，只要將客戶資料輸入．系統(tǒng)即可以判斷是否應該給予該客戶以信用支持，以及可以給予多少信用額度。該系統(tǒng)還和社會信用系統(tǒng)相連接，可以直接得到該客戶的信用資料。自動審批貸款系統(tǒng)的采用，在控制系統(tǒng)風險的前提下，極大地節(jié)約了人力成本。

3風險管理程序和風險管理模型

嚴格的風險管理程序和有效的風險管理模型是風險管理中非常重要的手段。銀行通過使用這些程序和模型，保證了整個銀行系統(tǒng)對風險管理的一致性和有效性。程序是銀行的操作規(guī)范，一旦制定以后，就要求各部門和分支機構嚴格按程序操作。這種程序是對經(jīng)營和管理行為的約束，銀行工作人員只要遵守這些程序，就會得到程序給予的保護。銀行審計部門每隔一定時間就會對這些程序進行評價。 模型在銀行中使用的范圍很廣，從非常簡單的交易，到復雜的貸款組合管理和資本管理。銀行的經(jīng)營部門使用這些模型，來指導戰(zhàn)略決策，用于制定每天貸款、交易、承銷、投資和操作決策。在風險計量方面，也開發(fā)了有效的模型。銀行使用這些模型來計量各類風險敞口(包括信用風險、市場風險、流動性和融資風險、操作風險)。蒙特利爾銀行以在險資本方法計量銀行整體風險。

模型的廣泛采用，依賴于銀行內(nèi)部有效的審查能力。依據(jù)已經(jīng)建立起來的程序，模型必須先由風險管理人員獨立進行測試和評價，以保證其完整性不因經(jīng)營環(huán)境和使用者的改變而改變。這樣的程序?qū)δＰ偷倪m用性和假設前提的合理性提供了獨立的證明。在模型采用之前進行檢查，保證了輸出結果的正確。對模型的測試和評價，還包括輸出結果的敏感性。對模型和假設前提，根據(jù)情況進行更新。評價的日程安排取決于評價的復雜性和評價對財務的潛在影響。

4管理政策

信貸管理政策、風險管理政策等是指導銀行日常風險管理、經(jīng)營活動的原則。紐約銀行和蒙特利爾銀行按照營業(yè)單位(或產(chǎn)品線)制定信貸政策，由于這些政策的執(zhí)行涉及到整個銀行的利益，因此，在蒙特利爾銀行，這些政策由風險主管向董事會提出。在蒙特利爾銀行，每個信貸經(jīng)營部門還要制定貸款指南，要得到風險管理部門同意。

5風險回報觀念與經(jīng)營管理

風險回報的觀念在銀行日常經(jīng)營管理中得到了充分的體現(xiàn)，這一觀念貫穿于銀行的資本管理、戰(zhàn)略管理、產(chǎn)品定價等各方面。在資本管理上，引入了經(jīng)濟資本、在險資本等概念。其核心思想是，各種銀行業(yè)務都承擔了不同程度的風險，因而需要不同數(shù)額的資本來作保障。在險資本是依據(jù)風險進行資本管理的基礎，可以具體計量出為支持某種產(chǎn)品線的活動所需的資本及資本的潛在成本，以此對該產(chǎn)品線的表現(xiàn)進行綜合評價，并對各類產(chǎn)品線的表現(xiàn)進行比較。

在戰(zhàn)略管理上，強調(diào)銀行最后承擔的風險必須與銀行股東回報最大化的目標相一致。因此，基于上述資本管理的基礎，可以對各種客戶戰(zhàn)略、產(chǎn)品戰(zhàn)略進行比較，進而作出選擇，確定銀行經(jīng)營戰(zhàn)略，調(diào)整日常經(jīng)營。在產(chǎn)品定價方面，按照高風險高回報、低風險低回報的原則，具體確定每一筆業(yè)務的價格。

6內(nèi)部風險等級評定

內(nèi)部風險等級評定是商業(yè)銀行內(nèi)部風險管理的重要手段，對客戶和產(chǎn)品都要進行內(nèi)部風險等級評定。對產(chǎn)品的評級建立在客戶評級的基礎上，有時對產(chǎn)品的評級會高于客戶評級，但不會低于對客戶的評級。銀行通過對產(chǎn)品評級，來確定這筆業(yè)務應得的回報，評級較高的業(yè)務，只需要較少的資本保證，可以定價較低，反之，則定價較高。

紐約銀行的內(nèi)部風險等級分為18級，基本上分別與穆迪的評級、標準普爾的評級一一對應。蒙特利爾銀行客戶風險級別從0到80，摩根大通銀行的信用評級分為10個等級。3家銀行內(nèi)部風險等級的認定程序稍有不同。紐約銀行和摩根大通銀行內(nèi)部風險評級工作由前臺部門的人員提出評級結果，但要得到后臺風險管理部門的認可。由于銀行都實行全面風險管理，后臺人員會對前臺人員的風險分析進行輔導，前臺和后臺人員對風險有著共識。如果風險管理人員認為評級結果有問題，可以提出不同意見，但要提出充足的理由。蒙特利爾銀行由客戶管理部門根據(jù)特定的模型對客戶進行風險評級，風險管理部門需經(jīng)常對客戶評級進行抽樣調(diào)查，確定評級是否合理。對客戶的信用評級實行年審制，對每筆不良貸款實行季審并采取必要的準備金或沖銷措施。

篇（10）

美林證券的組織架構可以分成四個部分，即最高決策管理、內(nèi)部管理、業(yè)務管理和區(qū)域管理。這里只分析美林較為重要的決策管理和內(nèi)部管理。

決策管理美林證券的最高決策管理層主要包括董事會和執(zhí)行管理委員會。董事會下設董事會辦公室、審計委員會、薪酬委員會等，主要負責公司的發(fā)展規(guī)劃、戰(zhàn)略管理和重大投資決策，對公司內(nèi)部管理進行審計監(jiān)督等。同時，它在全球范圍內(nèi)監(jiān)管美林與公司和機構客戶的關系，并加強引導以確保公司動員整體資源來滿足這些客戶的多樣化需求。

執(zhí)行管理委員會主要負責公司的具體政策和管理程序的制定，公司各種決策的執(zhí)行以及總體業(yè)務的策劃、協(xié)調(diào)及統(tǒng)籌管理等。該委員會包括董事長辦公室和總裁辦公室的行政管理者，以及負責營銷企劃、技術服務、風險控制、全球業(yè)務、財務監(jiān)管等方面的高級主管。

內(nèi)部管理美林公司的內(nèi)部管理是按照職能來劃分部門的，其重點是實行有效的監(jiān)管和激勵。監(jiān)管主要是通過財務稽核、法律督察和風險控制來實現(xiàn)，分別由財務部、稽核部、法律部和風險管理部等負責；激勵主要是通過人力資源管理來實現(xiàn)，由專設的人力資源部負責。內(nèi)部管理部門直接由執(zhí)行管理委員會領導，同時他們與董事會下設的審計委員會、薪酬委員會等保持經(jīng)常性的聯(lián)系和溝通，以便董事會可以有效地履行監(jiān)管職責。

美林的這一組織模式既不同于傳統(tǒng)的直線型、職能型架構，也不同于按照職能、產(chǎn)品劃分的簡單的矩陣型組織架構。總體來說，美林的組織模式屬于一種多維立體型網(wǎng)絡架構。

美林的這種組織架構具有以下主要特點：

一是內(nèi)部管理強調(diào)監(jiān)管和風險控制。作為一家跨國集團，美林在全球范圍內(nèi)開展投資銀行業(yè)務，需要承擔很大的政策風險和市場風險。為了協(xié)助各營運部門管理和控制風險，美林集團無論是在組織架構中的部門設置，還是在政策制定、業(yè)務拓展方面都強調(diào)應加強財務監(jiān)管、風險識別、風險測量、風險評估和風險控制，在進行成本收益分析的前提下，盡力保證公司資產(chǎn)的穩(wěn)健運營，提高資產(chǎn)的營運質(zhì)量。

二是決策管理強調(diào)集中統(tǒng)一。美林集團的組織架構中包含了極具特色的委員會管理模式，這一模式作為集中統(tǒng)一管理的主要形式正在被越來越廣泛地采用。一般來說，設立執(zhí)行管理委員會的優(yōu)勢主要有兩方面：一方面，在集團決策中可以采用集體智慧進行審議和判斷；另一方面，有利于各部門之間、計劃和政策之間的相互協(xié)調(diào)。

三是多維立體型的網(wǎng)絡組織架構獨具特色。在美林的組織模式中，按照職能劃分部門的內(nèi)部管理、按照客戶需求劃分部門的業(yè)務管理以及地區(qū)營運總監(jiān)負責制的區(qū)域管理這三個系統(tǒng)相互有機地結合成為一個整體，并由決策層的執(zhí)行管理委員會集中統(tǒng)一協(xié)調(diào)。所有的重要決策，均通過執(zhí)行管理委員會沿著這三個方向推進，最終付諸實施。這種多維立體型的網(wǎng)絡組織架構將多元化的專業(yè)分工與集中統(tǒng)一協(xié)調(diào)的優(yōu)勢融為一體，是美林組織架構的最大特色。

風險管理哲學

風險承擔是美林證券核心業(yè)務中不可分割的組成部分。美林在從事各項業(yè)務活動時，面臨著各種不同風險，包括市場風險、信用風險、流動性風險、程序風險以及其他風險，需要全面地管理和控制這幾類風險。

美林集團認為，業(yè)務的主要風險并非來自金融產(chǎn)品本身，而是來自管理上的共誤，比如違規(guī)運作和缺乏監(jiān)管。十多年前，美林集團總結了一套風險管理理念，盡管風險管理的方法和策略一再改變，但是風險管理的基本理念卻一直維持延續(xù)下來。

這些基本理念包括六項原則：在任何風險管理程序中，最可靠的途徑和工具是經(jīng)驗、判斷、溝通和聯(lián)系；加強公司內(nèi)部風險監(jiān)管，強化紀律和風險意識；有關投資的決定必須以清楚、簡要的方式作出，并傳達到下屬；風險管理部門必須考慮可能出現(xiàn)的意外情況并確定風險限額，找出潛在問題和不足之處；風險管理程序的執(zhí)行必須靈活，以適應不斷變化的環(huán)境；風險管理的主要目標是將承受損失的可能性降至最低，這樣的損失通常是由意外事件所引起，大部分風險管理的統(tǒng)計模型無法預計。

公司風險管理委員會（Corporate Risk Management，CRM）確保這些風險在整個公司范圍內(nèi)得到明確的定義、監(jiān)控和管理。為此，公司風險管理委員會建立了一套風險管理程序，具體來說包括以下幾個方面：

建立一個正式的風險管理架構，明確定義風險監(jiān)控程序和它的組成部分；董事會下設審計委員會對風險管理過程進行經(jīng)常性審查；制定明確定義的風險管理政策與程序，并得到最適合的高級分析工具的支持；在業(yè)務部門、執(zhí)行部門和風險管理部門間保持嚴格的責任、控制和監(jiān)控隔離的同時，促進它們之間的交流與合作；明確定義和表達各個業(yè)務層次的風險承受能力，并且經(jīng)常審視以確保其與公司的業(yè)務戰(zhàn)略、資本結構、現(xiàn)實和預期的市場狀況相符合。

風險管理組織結構

為了在基層交易部門強化風險管理機制，美林公司制定了風險控制策略和操作規(guī)程，要求相關的區(qū)域機構和單位在識別、評價和控制風險時予以遵循。這些風險控制策略和操作規(guī)程的實施由許多部門共同完成，包括全球風險管理部、信貸部以及其他風險控制部門如財務部、審計部、經(jīng)營部、法律部和紀檢部等。

在風險管理的組織結構上，除了各部門自己承擔其職責范圍內(nèi)的風險管理責任外，美林公司還成立了由風險管理部、信貸部和有關高級管理人員組成的風險控制委員會和儲備委員會，監(jiān)察整個風險管理機制的運行。風險控制委員會和風險管理部對所有機構交易活動進行風險監(jiān)控。其中風險管理委員會除了向董事會及其財務委員會報告工作外，在運作上獨立于美林集團的其他營運部門；儲備委員會監(jiān)察與資產(chǎn)和財務有關的風險事務，由財務總監(jiān)主持，負責檢討和批準美林集團的儲備金水平及儲備金處理方法。

美林證券風險管理部門的組織結構是按照不同的地區(qū)及產(chǎn)品來劃分的，以確保風險管理人員可以直接監(jiān)察單項交易。風險管理部門的主要職責是：定期與高級交易經(jīng)理會商、商討有關風險；制定風險控制及指引，以協(xié)助交易部門對沖；制定和監(jiān)督所有交易限額；同其他部門的代表一起負責審批新產(chǎn)品、新業(yè)務的開發(fā)事項；在承接有關股票、高收益產(chǎn)品、新興市場包銷、物業(yè)融資以及過渡性貸款等業(yè)務之前，必須事先取得風險管理及其他控制部門的批準，風險管理部有權要求削減個別交易的風險限額，甚至有權否決交易。

風險框架

篇（11）

一、在系統(tǒng)風險評估的基礎上制定審計計劃

在審計工作的序列行為和程序中，醞釀、制定審計計劃是第一步也是決定后續(xù)階段性質(zhì)和內(nèi)容的關鍵步驟。在風險導向?qū)徲嫻ぷ髦校L險要素在審計計劃階段便表露出來，具體表現(xiàn)如下：

（一）準備階段強化風險評估

過去，基于計劃經(jīng)濟體制的作風遺留，審計項目的設定、審計區(qū)域的確定及審計頻率的規(guī)劃等都由上級單位或相關部門通過行政指令確定。隨著風險管理理念的滲入及普及，風險評估成為審計領域的一個重要法寶。對于企業(yè)組織而言，審計計劃協(xié)調(diào)風險管理部門及各主體業(yè)務部門定期系統(tǒng)開展風險評估活動，利用專業(yè)素養(yǎng)進行風險排序，出具風險圖譜，列出重大風險區(qū)域，管理層據(jù)此對組織風險有了比較充分而全面的了解后，確定重點審計區(qū)域，指導確定宏觀的審計計劃。對于特定審計項目而言，專項或微觀的風險評估為具體項目的啟動提供支撐，也為項目計劃的編制提供框架，讓審計工作一開始就帶著強化風險要素的氣氛。

（二）編制計劃階段以風險評估情況為根據(jù)

確定重點審計區(qū)域及范圍后，后續(xù)工作是針對重點區(qū)域和范圍進行審計立項。對此，在宏觀方面講，各審計項目需要投入的資源多寡要以其風險情況為依據(jù)，盡量實現(xiàn)資源的最優(yōu)配置；在微觀方面來說，具體的審計項目規(guī)劃具體審計程序，也要以微觀領域的風險排序和對比進行適當安排，充分體現(xiàn)與風險狀況的分布及程度等均保持高度的一致性。

（三）評價階段以風險涵蓋度為標準

審計計劃的制定不是一成不變的，而需要在持續(xù)的評價中保持更新的靈活性。對此，一個重要的問題是審計評價標準，以前上級指令及相關部門的建議便是必須遵循的原則，在風險管理境遇下的如今這種評價標準直接指向?qū)M織目標的影響和作用程度，據(jù)此延伸到關注風險涵蓋度這個概念上。具體而言就是，審計計劃涵蓋的關鍵風險范圍越廣，其資源配置分布情況與風險狀況一致性越高，審計計劃的編制水平就相對高。

二、以風險防控為旨歸實施審計程序

審計計劃關注風險要素只是一個開端，更關鍵的階段是審計程序執(zhí)行階段。對此，風險導向?qū)徲嫻ぷ魍瑯右劳酗L險要素，以風險防控為旨歸，具體表現(xiàn)為下幾點：

（一）審計關注的重點是組織的風險管理框架的存在和完善與否

在傳統(tǒng)審計形態(tài)下，審計人員關注的對象多是組織財務合規(guī)方面的內(nèi)容，稍微出色的審計項目也注意到了績效的內(nèi)容。不過，這些都沒抓住組織發(fā)展的關鍵點，只能看到確認一時的問題，而不能在宏觀及長遠意義上為組織提供幫助。在風險管理的境遇下，審計關注的重點對象從具體瑣碎事務提升到風險管理層面，重點關注組織構建完善風險管控框架的情況，主要有三個維度，一是否構建；二是構建得完善程度，三是發(fā)揮效用的情況。

（二）審計審核的重點內(nèi)容是關鍵風險點防控的有效性和適度性

因為重點關注內(nèi)容轉(zhuǎn)向組織風險管理情況，所以審核工作的具體內(nèi)容也同以此為重心，對風險點和風險防控措施進行分析，制定出審計目標、風險防控失敗后果及具體審計程序，編制《風險認定與審計目標對應關系表》、《審計目標與審計程序?qū)P系表》，重點關注審計目標、各風險點、風險防控失敗后果、風險防控措施及具體審計程序等系列事宜，對防控失誤事項進行分析分類，查找風險防范措施設計和執(zhí)行有效性方面的不足，評估界定風險防控失誤事項的性質(zhì)，并判斷分析風險防控失誤對企業(yè)造成的影響。

（三）審計跟蹤檢查的重點整改內(nèi)容是管控措施的出具情況及效果

審計工作的完成并不等于終結，還有審計跟蹤檢查工作。審計跟蹤的對象就是審計程序中的具體發(fā)現(xiàn)，確切說就是對風險管控失控方面的應對情況，具體而言是關注兩個方面，一是相關負責組織是否出具了有針對性的應對舉措，二是所出具應對舉措的具體效果，根據(jù)這兩方面的情況確認相關信息。

三、以管控建議為重點編制審計報告及相關文件

審計程序完成后，需要向董事會等管理層出具評估報告，也就是編制審計報告及相關文件。在這個階段，風險導向?qū)徲嫻ぷ鞯拈_展同樣強化風險要素的中心地位。

（一）從報告內(nèi)容上說，審計報告重點介紹組織風險管理及評估的狀況

基于事務前后的一致性和連貫性，審計報告的來源是審計程序的過程和發(fā)現(xiàn)，重點同樣在于確認風險管理框架的完善性及發(fā)揮作用的效度、風險評估的結果及關鍵風險點防控措施及失控情況，以風險要素及狀況為主線向管理層及治理層提供全面準確的參考信息。

（二）從報告目的上說，審計報告的出具是為了推動組織風險管理工作的持續(xù)開展