對風險管理及風險管理審計的認識和理解

一、對風險的認識和理解關于風險的定義有許多，各不相同。對風險的不同定義主要是基于對風險的認識和理解的不同，如中國《現(xiàn)代漢語詞典》關于風險的定義是：可能發(fā)生的危險。亞洲風險與危機管理協(xié)會對風險的定義是：在特定條件下，給定期間內(nèi)可能發(fā)生結(jié)果與期望結(jié)果之間的負差異。美國學者海恩斯所著的《經(jīng)濟中的風險》將風險定義為：損害或損失發(fā)生的可能性。這三種對風險的定義都強調(diào)風險是損失，忽視了風險帶來的利益。試想，如果風險中沒有利益，誰愿意去冒風險呢？我國有句古語“不入虎穴，焉得虎子”，說明了風險的實質(zhì)。若入虎穴取虎子，其結(jié)果有三種可能：其一，入了虎穴得了虎子——獲得收益：其二，入了虎穴被虎吃掉——造成損失；其三，入了虎穴未得虎子也未被虎吃掉——無收益也無損失。三種可能都與入穴時間、所持工具、穴內(nèi)環(huán)境等風險轉(zhuǎn)化條件有關。而要不要冒著生命危險進入虎穴取虎子，則與冒險者風險偏好、投入價值的預期收益等有關。由此，引出風險的第二類定義：國際風險標準化委員會在其發(fā)布的《風險管理原則與實施指南2007》指出：風險是不確定性對目標的影響。2006年6月6日國資委發(fā)布《中央企業(yè)全面風險管理指引》關于風險的定義是：指未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響。它以能否為企業(yè)帶來盈利等機會為標準，將風險分為純粹風險（只有帶來損失一種可能性）和機會風險（帶來損失和盈利的可能性并存）。IIA（國際內(nèi)部審計師協(xié)會）發(fā)布的《內(nèi)部審計實務標準》關于風險的定義：風險是指可能對目標的實現(xiàn)產(chǎn)生影響的事件發(fā)生的不確定性。這三種定義大同小異，都表明風險既包含挑戰(zhàn)（損失），也包含機遇（利益）。二、對風險管理的認識和理解對風險管理定義，前IIA主席伍頓安德森認為，企業(yè)風險管理就是通過確認、識別、管理和控制組織潛在的情況和事件，為實現(xiàn)組織目標而提供適當保證的程序。美國反虛假委員會COS02004年版《企業(yè)風險管理——整體框架》認為，風險管理是一個流程，在一個實體進行戰(zhàn)略決策和執(zhí)行決策的過程中，由董事會、管理層和其他人員實施，旨在識別可能影響實體的潛在事件進行管理，以使其處于該實體的風險容量之內(nèi)，并為實體目標的實現(xiàn)提供合理保證。中國內(nèi)部審計協(xié)會發(fā)布的第16號內(nèi)部審計具體準則認為，風險管理是對組織目標實現(xiàn)的各種不確定性事件進行識別與評估并采取應對措施將其控制在可接受范圍內(nèi)的過程。三種風險管理定義的內(nèi)涵應從以下四個方面把握：第一，風險管理是一個流程，是降低和控制風險的一系列程序，涉及對風險管理目標的確定、風險的識別與評價、風險管理方法的選擇、風險管理方案的實施以及對風險管理計劃持續(xù)不斷地檢查和修正的一個過程，強調(diào)風險管理的持續(xù)性。第二，風險管理不僅是風險管理委員會或者管理層的職責，還需要所有員工參與，體現(xiàn)風險管理的全員性。第三，風險管理的目的并不是不惜一切代價降低風險，而是盡量使風險減低至可以接受的容量范圍內(nèi)，體現(xiàn)風險與收益平衡的觀點。第四，風險是無法徹底消除的，風險管理僅僅是對經(jīng)營目標的實現(xiàn)做出合理而非絕對的保證，體現(xiàn)風險是客觀存在的觀點。三、對風險管理五大理念的認識和理解第一個理念：風險管理要以股東價值最大化為導向。風險管理是以企業(yè)整體利益最大化為原則。這一理念不僅體現(xiàn)在風險管理的目的是減少損失、控制風險、增加股東價值，還體現(xiàn)在判斷風險的標準上，即對損失最大的風險進行優(yōu)先管理。第二個理念：風險管理要樹立平衡的理念。風險管理不能控制不足，也不能控制過度，要做好兩個平衡：一是風險控制與效果平衡，風險控制不能束縛企業(yè)追求利潤最大化；二是風險控制與經(jīng)營效率平衡，風險控制不能影響企業(yè)運營效率，風險控制的邊際成本要與邊際效益相聯(lián)系，只有風險控制帶來的價值大于因控制而增加的成本，風險控制才為有效。風險控制過度容易導致企業(yè)運營效率不高，反之控制不足容易導致風險事件的產(chǎn)生。第三個理念：風險管理中應引入風險脆弱性概念。風險脆弱性是指風險因素發(fā)生的可能性減去采取相應控制手段后還會發(fā)生的程度，也稱剩余風險。脆弱性越大，說明風險因素的可控程度越低，風險就越大；反之，脆弱性越小，說明風險因素的可控制程度越大，風險就越小。這個概念的實質(zhì)是風險判斷標準問題。我國風險判斷標準主要有兩條：一是風險因素發(fā)生影響性，二是風險因素發(fā)生的可能性。美國風險判斷標準主要有三條：一是風險因素發(fā)生影響性；二是風險因素發(fā)生的可能性；三是風險脆弱性（可能性—降低可能性）。我國和美國的風險判斷標準大同小異，相同性表現(xiàn)在風險因素發(fā)生影響性、風險因素發(fā)生可能性，不同表現(xiàn)在風險脆弱性。差異的實質(zhì)是風險管理的理念、方法的不同，主要表現(xiàn)在：一是理念不同。美國風險管理理念是風險是可控的，控制可以減少風險或降低風險程度。二是對重大風險的確認不同。我國將風險因素中影響大、發(fā)生可能性高列為重大風險因素，美國認為，盡管風險因素影響大、發(fā)生可能性高，但只要控制有效，也不列為重大風險。三是對風險因素識別不同。美國的風險識別，不僅識別風險因素的影響性、發(fā)生的可能性，還要識別控制風險措施的健全性和有效性。四是風險管理審計內(nèi)容不同。美國風險管理審計不僅要評價風險管理活動，還要評價風險管理體制、機制的健全性和有效性。第四個理念：風險就是速度。風險的反應速度是人的反應速度與事物的變化速度之比。事物變化的速度越快，人們的反應速度越慢，風險就越高，相反風險就越低。第五個理念：風險管理是保持企業(yè)持續(xù)發(fā)展的重要途徑。風險管理的實質(zhì)是面向未來，對影響企業(yè)持續(xù)性發(fā)展的不確定因素進行管理，控制和減少不確定性對企業(yè)持續(xù)性影響，避免企業(yè)出現(xiàn)顛覆性事件，斷送企業(yè)的持續(xù)發(fā)展。四、對風險管理七項原則的認識和理解第一項原則：全面性原則。全面性原則主要體現(xiàn)在對風險的識別上。要對風險做出正確的評估，必須全面了解各種風險發(fā)生及可能導致后果的詳細狀況，了解各種風險事件存在和可能發(fā)生的概率以及損失的嚴重程度，風險事故產(chǎn)生而導致的其他問題。第二項原則：重要性原則。重要性原則主要體現(xiàn)在：一是在重大風險的識別上，要重點關注高層重要人物、重要部門的風險識別，因為他們更加了解企業(yè)存在的主要風險。二是在重大風險管理上要按照風險對價值影響大小排序?qū)χ卮箫L險優(yōu)先管理。三是應用重要資源集中對重大風險進行管理。第三項原則：嵌入性原則。嵌入性原則主要體現(xiàn)在企業(yè)應將風險管理與其他管理工作緊密結(jié)合，把風險管理的各項要求融入企業(yè)管理和業(yè)務流程中。只有把風險控制嵌入企業(yè)管理業(yè)務流程中，才能以流程為基礎，落實內(nèi)部控制，提高過程控制能力和人員執(zhí)行力，提升風險管理的有效性。第四項原則：持續(xù)性原則。持續(xù)性原則主要體現(xiàn)在風險識別的持續(xù)性、風險評估的持續(xù)性和風險控制的持續(xù)性上。事物是運動的，環(huán)境是變化的，風險也會隨著條件的變化而變化，因此，風險管理必須體現(xiàn)持續(xù)性原則，不斷改善風險管理。第五項原則：系統(tǒng)性原則。系統(tǒng)性原則主要體現(xiàn)在風險因素的相關性及風險方案的整體性上。風險管理的內(nèi)容及措施涉及企業(yè)生產(chǎn)經(jīng)營的各方面，既要符合企業(yè)的長期戰(zhàn)略，又要注重短期經(jīng)營目標，同時還要考慮各風險因素相互影響、相互作用，從總體上系統(tǒng)把握。第六項原則：控制與效率效果平衡原則?？刂婆c效率效果平衡原則主要體現(xiàn)在風險控制不能過度，也不能失控。第七個原則：風險共識原則。風險共識原則主要體現(xiàn)在要形成上下共同認可的風險管理文化，只有在全體人員形成風險共識的情況下，才能有效地對風險進行全員性自覺管理。五、對風險管理審計框架的認識和理解風險管理審計框架包括開展風險管理審計的程序和內(nèi)容等。風險管理審計以風險因素優(yōu)先為原則（以風險為導向），即審計計劃的制訂應該根據(jù)風險因素的特征、性質(zhì)、程度進行初步判斷，然后確定審計對象，合理配置審計資源，將審計資源集中在重要性風險的測評和審核上。風險管理審計框架如圖1所示。其中，對審計對象的確定可以采用三種方法：一是系統(tǒng)確認法。經(jīng)過系統(tǒng)的風險分析，根據(jù)重要性原則確定風險程度并按從高到低進行選擇。二是嘎吱車輪法。由董事局、管理當局、國家法規(guī)、外部審計（政府或社會審計）等要求或提出急需關注和處理的問題。三是審計對象根據(jù)管理需要自行提出的審計要求。對風險管理審計測試主要包括風險識別、分析