IIA定义:识别、评估、管理和控制潜在事件或情况的过程,目的是为实现组织的既定目标提供合理保证。
风险管理是管理层的一项主要职责,是经营管理过程中的核心内容。对组织来说,存在众多的可能导致损失发生的不确定因素,包括市场的风险、财产损失的风险和竞争力减弱的风险等。
企业风险管理的首要业务目标是:保护和提高股价,以满足股东价值最大化。
一、风险管理框架
COSO是一个由包括IIA在内的众多组织组成的联盟。
COSO ERM(COSO的企业风险管理框架),定义企业风险管理是一个在企业内不断运转的过程,受董事会、管理层和其他人员的影响,从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件和管理风险,使之在企业的风险偏好(可接受水平)之内,以合理确保企业既定的目标得以实现。
认真地分析风险因素、有意识地承担风险、科学地管理风险、稳妥地获取风险收益。【理想状态】
事前、事中、事后,其核心是将难以预计的未来可能带来损失的不确定性控制在公司可以接受的合理范围内,力求从中寻找到有利于企业发展的最佳机遇。
内部风险控制框架关注的是某个过程的风险,而风险管理框架提出的是用于评估贯穿整个组织或企业的风险工具。
二、风险管理技术
以最小的成本获取最大的保障。
1、回避风险,也称避免风险。前提在于企业能够准确认识企业自身条件和外部形势,以及客观存在的风险属性和大小。
2、预防风险,也称控制风险。采取预防措施,以降低损失发生的可能性及损失程度。现时成本与潜在损失。
3、保留风险,也称自留风险。指自己理性或非理性地主动承担风险,以内部资源来弥补损失。一般适用于对付发生概率小且损失程度低的风险。
4、转移风险,也称分担风险。通过某种安排,把自己面临的风险全部或部分转移给另一方。
三、以风险为基础制订计划
风险评估,评价覆盖组织的治理、运营和信息系统控制的适当性和效果。扩大到财务和运营信息的可靠性和完整性、经营的效果和效率、资产的安全防护以及法律、规章和合同的遵循性。
四、内部审计在风险中的作用
评价:1、组织战略目标的实现;2、财务与运营信息的可靠性与完整性;3、运营和程序的效率与效果;4、资产的安全;5、对法律、法规、政策、程序及合同的遵循情况。
(1)内部审计在风险管理中的角色
风险管理过程,战略方向的确定是由董事会或委员会负责;风险的归属可以由管理高层分配;对剩余风险的接受可以由执行管理层决定;持续的确认、评价、减缓和监测活动可以由操作层人员分配决定;定期评价和保证工作由内部审计部门负责。
内部审计师更为前瞻性的角色是通过咨询的方式改进组织的基本流程,对传统的确认活动予以补充。但不能承担风险责任人的角色。
(2)尚未建立风险管理的情形
内部审计师可以促进风险管理过程的建立或使建立成为可能,但不应该“拥有”已确认的风险或负责对这些风险的管理。内部审计部门在建立风险管理过程之中和之后所承担的责任,也要在章程中规定。
网友评论