英國及澳大利亞新西蘭的企業(yè)風險管理準則及其啟示

1、英國及澳大利亞新西蘭的企業(yè)風險管理準則及其啟示劉笑霞/李明輝【專題名稱】工業(yè)企業(yè)管理【專 題 號】f31【復(fù)印期號】2008年02期【原文出處】科技管理研究(廣州)2007年10期第140143頁【作者簡介】劉笑霞，廈門大學(xué)會計系政府與非盈利組織方向博士生。（廈門361005）；李明輝，南京大學(xué)會計系副教授，管理學(xué)（會計學(xué)）博士，應(yīng)用經(jīng)濟學(xué)博士后。（南京210093）【內(nèi)容提要】近年來，包括英國、澳大利亞、新西蘭等在內(nèi)的國家和有關(guān)組織紛紛發(fā)布風險管理準則，以指導(dǎo)企業(yè)建立健全風險管理。這些準則均認為風險管理是一個持續(xù)性、系統(tǒng)化、與企業(yè)經(jīng)營活動緊密結(jié)合的過程，并強調(diào)全體員工對風險管理均負有責任。目

2、前，我國尚缺乏系統(tǒng)建立企業(yè)風險管理基本框架、適合于一般企業(yè)的風險管理準則，應(yīng)借鑒國外相關(guān)經(jīng)驗，及時制訂風險管理規(guī)范，以便為企業(yè)風險管理提供指南?！娟P(guān) 鍵 詞】風險管理/準則/整體化風險管理    文章編號：1000-7695(2007)10-0140-04    企業(yè)總是處于不確定性當中，這些不確定性既代表機會，也代表風險。對于企業(yè)而言，能否有效地識別并管理面臨的風險，關(guān)乎到企業(yè)的生死存亡，因此，企業(yè)風險管理成為各國監(jiān)管部門和企業(yè)普遍關(guān)注的問題。尤其是進入20世紀90年代以后，許多國家以及有關(guān)國際組織紛紛加大了對風

3、險管理和內(nèi)部控制的研究，并發(fā)布了一系列的文告，就風險管理及與之緊密相關(guān)的內(nèi)部控制問題做出規(guī)定，以指導(dǎo)和幫助企業(yè)建立和完善風險管理和內(nèi)部控制，如：英國的turnbull報告及airmi/alarm/irm風險管理準則，美國coso1992年發(fā)布并于1994年增補的內(nèi)部控制整體框架(internal control-integrated framework)以及2004年9月發(fā)布的企業(yè)風險管理整體框架(enterprise risk management-integrated framework)，澳大利亞和新西蘭于1995年聯(lián)合發(fā)布的as/nzs 4360風險管理準則，加拿大標準協(xié)會(canad

4、ian standards association)于1997年10月發(fā)布的風險管理：決策者指南(risk management: guideline for decision-makers, can/csa-q850-97)，日本發(fā)布的建立并應(yīng)用風險管理系統(tǒng)的指南(jisq 2001: guidelines for development and implementation of risk management system)，南非風險管理協(xié)會 (the institute of risk management)2003年發(fā)布的企業(yè)風險管理實務(wù)準則(code of practice for

5、 enterprise risk management)，等等。本文擬對英國及澳大利亞新西蘭的企業(yè)風險管理準則加以介紹，以期為建立我國的風險內(nèi)部控制規(guī)范提供借鑒。    1as/nzs 4360風險管理準則    澳大利亞和新西蘭聯(lián)合準則委員會ob-007(joint standards australia/standards new zealand committee)于1995年發(fā)布了風險管理準則(australian/new zealand standard for risk management 4360)

6、，作為建立管理環(huán)境、識別、分析、評估、處理、監(jiān)督和交流風險的一般框架。該準則被認為是世界上第一個風險管理準則，并先后于1999、2004年進行了兩次修訂。    as/nzs 4360指出，風險管理要求對風險進行管理，以便在實現(xiàn)獲利機會和最小化損失之間取得最優(yōu)的平衡。風險管理要求建立恰當?shù)幕A(chǔ)制度和文化，并應(yīng)用邏輯的、系統(tǒng)的方法建立管理環(huán)境、識別、分析、評估、處理、監(jiān)督和交流與任何作業(yè)、功能或程序相關(guān)的風險，從而使組織損失最小化、獲益最大化。as/nzs 4360認為，風險管理的目標包括：(1)為決策和計劃建立一個更加自信而嚴格的基礎(chǔ)；(2)更好地識別機

7、會和危險；(3)從不確定性和變動性當中獲得價值；(4)積極而不是消極反應(yīng)式地管理風險；(5)更有較地分配和使用資源；(6)加強事故管理、降低損失和風險成本，包括商業(yè)保險溢價；(7)提高利益相關(guān)者的信心和信任；(8)提高對相關(guān)規(guī)章的遵循；(9)實現(xiàn)更好的公司治理。    風險管理過程主要包括7個要素：溝通和咨詢、建立風險管理環(huán)境、識別風險、分析風險、評估風險、處理風險、監(jiān)控和復(fù)核（見圖1）。    2英國的企業(yè)風險管理準則    2.1turnbull報告  

8、;  1999年9月，英格蘭和威爾士特許會計師協(xié)會 (icaew)發(fā)布了內(nèi)部控制：董事會遵循聯(lián)合準則的指南(internal control: guidance for directors on the combined code)，即turnbull報告，旨在為公司董事會實施聯(lián)合準則(the combined code)中關(guān)于內(nèi)部控制的相關(guān)要求提供指南。2005年 10月，英國財務(wù)報告理事會(financial reporting council)下屬的turnbull報告復(fù)核小組(turnbull review group)提出了修訂后的turnbull報告(inter

9、nal control: revised guidance for directors on the combined code)，并規(guī)定自2006年1月1日起執(zhí)行。    該報告最大的特點是將內(nèi)部控制和風險管理相提并論。該報告指出，公司內(nèi)部控制系統(tǒng)對于管理那些會對企業(yè)經(jīng)營目標的實現(xiàn)產(chǎn)生重要影響的風險具有重要意義，良好的內(nèi)部控制系統(tǒng)有助于保護股東投資和公司資產(chǎn)的安全。有效的財務(wù)控制，包括保持恰當?shù)臅嬘涗?，是?nèi)部控制的重要要素。它們有助于保證公司不必要地暴露于可避免的財務(wù)風險之下，并保證公司內(nèi)部所使用的和對外提供的財務(wù)信息是可靠的；它們也有助于保障資產(chǎn)的

10、安全完整，包括防止和發(fā)現(xiàn)舞弊。turnbull報告認為，由于公司的目標、內(nèi)部組織和經(jīng)營環(huán)境不斷地變化，相應(yīng)地，公司面臨的風險也不斷地變化，因此，良好的內(nèi)部控制系統(tǒng)決定于全面、定期的對公司所暴露的風險的性質(zhì)和范圍進行評估。值得指出的是，turnbull報告認為，由于盈利有一部分本身就是風險報酬，因此，內(nèi)部控制的目的是幫助恰當?shù)毓芾砗涂刂骑L險而不是消除它。此外，與傳統(tǒng)方法過于強調(diào)風險識別而對風險管理強調(diào)不夠不同的是，turnbull報告關(guān)注那些會對企業(yè)目標實現(xiàn)產(chǎn)生影響的重大風險。因此，turnbull報告建立在董事會采用風險基礎(chǔ)方法以建立良好內(nèi)部控制系統(tǒng)并復(fù)核其有效性的基礎(chǔ)上。 

11、0;  除引言和附錄外，turnbull報告的基本內(nèi)容包括三部分：        (1)建立良好的內(nèi)部控制系統(tǒng)。1)董事會應(yīng)對公司的內(nèi)部控制系統(tǒng)負責。董事會應(yīng)當建立恰當?shù)膬?nèi)部控制政策并尋求正式的保證，以使其自身對內(nèi)部控制有效地發(fā)揮作用而感到滿意。董事會應(yīng)當進一步保證內(nèi)部控制系統(tǒng)根據(jù)其批準的方式有效地管理風險。在決定關(guān)于內(nèi)部控制的政策并根據(jù)公司的特定環(huán)境評價良好內(nèi)部控制的組成時，董事會應(yīng)當考慮以下因素：公司面臨的風險的性質(zhì)和范圍；公司承擔的、認為可接受的風險的范圍和種類；風險成為現(xiàn)實的可能性；公司

12、降低那些會成為現(xiàn)實的風險的發(fā)生率及其影響的能力；執(zhí)行特定的控制成本與通過該控制管理相關(guān)風險所獲得的效益。2)執(zhí)行董事會關(guān)于風險和控制的政策是管理層的職責。在履行其責任時，管理層應(yīng)當識別并評估公司所面臨的風險并按照董事會相關(guān)政策設(shè)計、執(zhí)行、監(jiān)督適當?shù)膬?nèi)部控制系統(tǒng)。turnbull報告對內(nèi)部控制的要素和目標的論述與coso(1992)基本一致。    (2)復(fù)核內(nèi)部控制的有效性。對內(nèi)部控制進行持續(xù)監(jiān)督是良好內(nèi)部控制系統(tǒng)的本質(zhì)因素，復(fù)核內(nèi)部控制的有效性是董事會責任的本質(zhì)內(nèi)容。管理層對董事會負有監(jiān)督內(nèi)部控制系統(tǒng)并向董事會保證內(nèi)部控制的有效運行的責任，其提供給董事

13、會的報告應(yīng)當包括對重大風險及內(nèi)部控制管理這些風險有效性的評估，任何識別出來的重大控制失誤或缺陷都應(yīng)當在報告中予以討論，包括已經(jīng)或即將對公司產(chǎn)生的影響，以及采取的糾正措施。管理層與董事會在關(guān)于風險和控制問題上的開放交流相當重要。在年度內(nèi)復(fù)核管理層提交的報告時，董事會應(yīng)當考慮重大的風險是什么，并評價它們是如何被識別、評估和管理的；評價管理重大風險的相關(guān)內(nèi)部控制系統(tǒng)的有效性，尤其是被報告的內(nèi)部控制的重大失誤或缺陷；考慮是否迅速采取必要的措施避免重大失誤或缺陷；考慮現(xiàn)有的發(fā)現(xiàn)是否表明需要更廣泛地監(jiān)督內(nèi)部控制系統(tǒng)。此外，董事會還需要每年對內(nèi)部控制進行評估，以便對外報告內(nèi)部控制情況。董事會對內(nèi)部控制的年度

14、評估尤其應(yīng)當考慮：自上一年度評估以來重大風險的性質(zhì)和范圍的變化，以及公司應(yīng)對其經(jīng)營和外部環(huán)境變化的能力；管理層對風險和內(nèi)部控制系統(tǒng)持續(xù)性監(jiān)督的范圍和質(zhì)量，以及內(nèi)部審計機構(gòu)和其他提供者的工作；將監(jiān)督的結(jié)果交流給董事會或其委員會以便建立對公司內(nèi)部控制狀態(tài)和管理風險有效性的總體評價的范圍和頻率；在本期識別的重大控制失誤或缺陷的發(fā)生率以及它們導(dǎo)致的未預(yù)見后果的范圍，或有事項（過去或?qū)恚矩攧?wù)業(yè)績或財務(wù)狀況造成的重大影響；公司對外報告過程的有效性。    (3)董事會對外報告內(nèi)部控制信息。年度報告和報表應(yīng)當包含有意義的、高水平的、董事會認為幫助股東理解公司風

15、險管理過程和內(nèi)部控制系統(tǒng)所需信息，并不得有誤導(dǎo)性。    由此可見，turnbull報告將風險管理和內(nèi)部控制緊密地聯(lián)系在一起，要求公司董事會從管理風險的角度來設(shè)計、評估和報告內(nèi)部控制。為了推動turnbull報告的實施，icaew發(fā)布了題為應(yīng)用turnbull的指南。該指南就如何應(yīng)用 turnbull報告建立內(nèi)部控制系統(tǒng)，以便有效地管理風險做出了較為詳細的闡述。    2.2airmi/alarm/irm風險管理準則    2002年9月30日，由英國三個主要的風險管理組織：

16、風險管理協(xié)會、保險和風險經(jīng)理協(xié)會、公共部門風險管理論壇組成的小組提出了一份風險管理準則(the uk airmi/alarm/irm 2002 risk management standard)。該準則指出，風險管理是任何組織戰(zhàn)略管理的中心，是組織以一定方式處理其活動相關(guān)的風險，以便從每項活動及所有活動的組合當中獲取持續(xù)性利益的過程。良好風險管理的核心是識別并處理風險，其目標是使組織所有活動的可持續(xù)價值最大化。    該準則將風險管理過程劃分為以下五個步驟（見圖2）：    (1)確定組織戰(zhàn)略目標 

17、60;  風險管理通過支持組織的戰(zhàn)略目標來為組織及其利益相關(guān)者提供保護并增加價值，其具體作用包括：為組織提供一個框架從而使未來的活動具有一致性并處于受控制的狀態(tài)；通過廣泛的、整體的理解經(jīng)營活動、變動性以及項目的機會和危險來改進決策、計劃和優(yōu)先次序的確定；促進在組織內(nèi)更加有效地使用和配置資本和資源；減少經(jīng)營中非必要領(lǐng)域的開發(fā)；保護并提高資產(chǎn)和公司形象；建立并支持員工和組織的知識基礎(chǔ)；使組織的經(jīng)營效率最優(yōu)化。    (2)風險評估    風險評估是指包括風險分析和風險評價的總體過程。 &#

18、160;  1)風險分析。風險分析包括風險識別、風險描述和風險估計。風險識別，即界定機構(gòu)對不確定性情況的暴露程度。風險識別技術(shù)有：專家獻計獻策、問卷、企業(yè)研究（觀察企業(yè)經(jīng)營過程并描述影響這些過程的內(nèi)外部因素）、行業(yè)比較、場景分析、風險評估討論會、事故調(diào)查、審計與檢查、風險與可行性研究(hazop)。風險描述，即采用結(jié)構(gòu)化的格式 （如表格）來展示識別出來的風險。風險估計，即采用量化、半量化或定性的方法來估計風險發(fā)生的可能性以及可能的后果。        該準則指出，風險分析方法與技術(shù)很多，有些是針

19、對好的風險、有些是針對壞的風險，而有些則可適用于兩者：(1)針對有利風險的分析方法有：市場調(diào)查、預(yù)測、測試性營銷、研發(fā)、經(jīng)營影響分析。(2)針對雙面風險的分析方法：依存建模；優(yōu)勢、弱勢、機會與危險(swot)分析；事件樹分析；經(jīng)營持續(xù)性籌劃；經(jīng)營、政治、經(jīng)濟、社會、技術(shù)分析(bpest)；實物期權(quán)建模；風險與不確定性條件決策；統(tǒng)計推斷；計量集中趨勢與分散度；政治、經(jīng)濟、社會、技術(shù)、法律環(huán)境分析(pestle)。(3)針對不利性風險的分析方法有：威脅分析、失誤樹分析、失誤模型與影響分析(fmea)。    2)風險評價。風險評價即將估計的風險與事先確定的標

20、準相比較。    (3)風險報告與交流    風險報告包括內(nèi)部報告和對外報告兩方面。一方面，組織當中不同層次需要不同的來自于風險管理過程的信息，因此，組織內(nèi)部應(yīng)當提供關(guān)于風險管理的內(nèi)部報告以便滿足內(nèi)部有關(guān)團體的信息需求。具體而言，組織內(nèi)部風險管理信息需求的主體包括：    1)董事會。董事會應(yīng)當知道組織所面臨的最重大的風險；知道風險對股東價值偏離預(yù)期業(yè)績范圍的可能影響；保證組織上下有恰當?shù)娘L險意識水平；知道組織將如何管理危機；知道利益相關(guān)者對組織保持信心的重要性；知道在適當?shù)?/p>

21、情況下如何與投資大眾進行溝通；確信風險管理過程有效地運行；公布一個清晰的、包含風險管理哲學(xué)和責任的風險管理政策。    2)經(jīng)營單元(business units)。經(jīng)營單元應(yīng)當知道處于其責任范圍內(nèi)的風險、這些風險對其他單位的可能影響以及其他單位對本單位的可能后果；建立業(yè)績指標以使其能夠監(jiān)督關(guān)鍵的業(yè)務(wù)和財務(wù)活動、達成目標的進度并識別需要干預(yù)的發(fā)展 （如預(yù)測和預(yù)算）；建立能夠以恰當?shù)念l率傳遞關(guān)于預(yù)算和預(yù)測變動性的信息以便采取行動的系統(tǒng)；系統(tǒng)并及時地向高層管理者報告任何察覺的新風險或現(xiàn)有控制措施存在的問題。    3)

22、員工。員工應(yīng)當理解其對單個風險的受托責任；理解他們能夠如何不斷地改進風險管理；理解風險管理和風險意識是組織文化的關(guān)鍵部分；系統(tǒng)并及時地向高層管理者報告任何察覺的新風險或現(xiàn)有控制措施的問題。    另一方面，公司應(yīng)當定期向利益相關(guān)者報告其風險管理政策以及實現(xiàn)其目標的有效性，組織應(yīng)當明確地說明關(guān)于風險管理的正式安排并使利益相關(guān)者能夠了解。正式的報告應(yīng)當提供以下信息：控制方法，尤其是管理層對風險管理的責任；用以識別風險的過程以及他們?nèi)绾螒?yīng)用于風險管理系統(tǒng)；用以管理重大風險的基本控制系統(tǒng)、監(jiān)督和復(fù)核系統(tǒng)，任何該系統(tǒng)未涉及的重大缺陷以及系統(tǒng)本身的重大缺陷，都應(yīng)當與

23、處理這些缺陷的步驟一起報告。    (4)風險處理    風險處理是指選擇并實施用以調(diào)整風險對策的過程。風險處理的主要手段是風險控制與抑減，此外還包括風險規(guī)避、轉(zhuǎn)嫁、風險融資等。風險融資是指為風險的財務(wù)后果獲取資金的機制（如保險）。風險處理機制至少應(yīng)當保證組織經(jīng)營的效率和有效性、有效的內(nèi)部控制、遵循相關(guān)法律法規(guī)。    (5)監(jiān)督和復(fù)核    該準則指出，有效的風險管理需要建立報告及復(fù)核架構(gòu)，以保證風險被有效地識別、評估并采取了恰當?shù)目?/p>

24、制和應(yīng)對措施，主體應(yīng)當定期審計政策和準則的遵循情況、準則的執(zhí)行情況以發(fā)現(xiàn)改進的機會；應(yīng)當識別組織及環(huán)境的變化，并對系統(tǒng)作出適當?shù)男拚＝M織的風險管理政策應(yīng)當確定其風險偏好及風險管理的方法，并確定組織上下各部門及人員對風險管理的責任。該準則還對董事會、經(jīng)營單元、風險管理機構(gòu)以及內(nèi)部審計部門對風險管理的職責作了具體闡述。    3有關(guān)準則的特點及對我國的啟示    通過以上分析可以看出，英國以及澳大利亞新西蘭的企業(yè)風險管理準則具有以下特點：    (1)將風險管理與組織目標緊密相

25、連。有關(guān)準則均認為，有效的風險管理有助于降低風險損失從而提高企業(yè)價值，因此，建立有效的風險管理過程是實現(xiàn)企業(yè)目標的重要保證。    (2)將風險管理與內(nèi)部控制聯(lián)系在一起。有關(guān)準則均強調(diào)，內(nèi)部控制是風險管理的重要手段，董事會應(yīng)當建立并維持有效的內(nèi)部控制系統(tǒng)以實現(xiàn)風險管理。    (3)強調(diào)風險管理是一個包含風險識別、計量和應(yīng)對的系統(tǒng)化過程。風險識別、計量、應(yīng)對和控制活動是一個緊密的整體，企業(yè)必須識別面臨的潛在風險，并評估其對企業(yè)的影響，從而采取相應(yīng)的措施來應(yīng)對風險。在風險識別和分析、評估的技術(shù)上，均強調(diào)應(yīng)當結(jié)合采用定

26、量技術(shù)和定性技術(shù)。另外，人們越來越認識到，風險是無法絕對消除的，因此，風險管理的目標是將其控制在主體的風險偏好以內(nèi)，而不是消除風險。反映到風險應(yīng)對策略上，相關(guān)的風險管理準則大都強調(diào)風險的應(yīng)對措施包括回避、抑減（降低）、轉(zhuǎn)嫁（分攤）、接受，應(yīng)當根據(jù)風險發(fā)生的可能性、對主體的影響以及主體自身的風險容量選擇適當?shù)膽?yīng)對措施。    (4)強調(diào)風險管理應(yīng)當融入企業(yè)日常經(jīng)營活動中，并貫穿于企業(yè)的各個層次、所有的經(jīng)營活動。風險管理針對的是企業(yè)經(jīng)營活動中對企業(yè)目標實現(xiàn)產(chǎn)生影響的風險事項，因此，風險管理必須與企業(yè)的經(jīng)營活動緊密地結(jié)合在一起。經(jīng)營活動中處處體現(xiàn)風險管理的理念

27、與做法，這不僅有助于及時識別企業(yè)所面臨的風險事項，也有助于降低風險管理成本、提高風險管理效率。    (5)強調(diào)控制環(huán)境的作用。公司的高層基調(diào)(tone of the top)、管理層的管理哲學(xué)、董事會和相關(guān)委員會、員工的勝任能力對于有效的風險管理具有重要作用，如果沒有一個良好的、注重風險管理的內(nèi)部環(huán)境，風險管理很難取得成功，因此，國外相關(guān)風險管理準則均強調(diào)控制環(huán)境的重要作用。    (6)強調(diào)全員參與。全員管理是現(xiàn)代風險管理的重要特征。盡管相關(guān)準則均強調(diào)董事會、管理層以及風險管理部門在風險管理中的重要作用，但都意

28、識到，風險管理不僅僅是風險管理部門的事，而且需要靠全體員工來落實，所有員工都會影響到風險管理的效果，企業(yè)應(yīng)當使所有員工了解自己在風險管理中的作用。    (7)強調(diào)信息與溝通。信息和溝通對于良好的風險管理和內(nèi)部控制相當重要，下層要了解公司的風險管理戰(zhàn)略和政策、措施，并有順暢的向上溝通風險管理和內(nèi)部控制情況的渠道；上層要及時向員工及外部了解企業(yè)面臨的重大風險及其管理情況。    (8)強調(diào)定期對風險管理過程和內(nèi)部控制進行評估，并對發(fā)現(xiàn)的缺陷和不足加以報告。風險管理是一個持續(xù)的、動態(tài)的過程，企業(yè)的內(nèi)、外部環(huán)境在不斷地變化，這決定原先的控制未必有效，因此，必須定期對風險管理過程和內(nèi)部控制的有效性進行評估，以找出其缺陷和不足并及時采取補救措施。    (9)強調(diào)風險管理和內(nèi)部控制信息的對外披露。向外部使用者報告風險管理和內(nèi)部控制信息，是董事會和管理層受托責任的要求。通過信息披露，外部投資者可以對企業(yè)面臨的機會和風險以及企業(yè)風險控制的業(yè)績作出評價，從而做出相關(guān)決策；對董事會和管理層來講，對外披露風險管理和內(nèi)部控制相關(guān)的信息，可以促使企業(yè)完善相關(guān)制度以加強風險控制。    4