第一节 风险管理的不同视角
一、风险管理的社会责任视角
(一)企业社会责任实践的发展历程
企业社会责任理论源自西方发达国家,但与西方人相比,东方人更加注重社会各参与主体的伦理道德。在中国,人们深受孔孟儒家文化的影响,不论是以经营票号闻名天下的晋商在经营过程中所形成的以“重商立业的人生观、诚信义利的价值观、艰苦奋斗的创业精神、同舟共济的协调思想”为代表的晋商文化精髓,还是徽商中“讲道义、重诚信、行善缘”的经营信条与理念,在现在看来都是企业社会责任理念的缘起与体现。
随着西方“企业社会责任”这一专业术语的提出与理论发展,我国也出现了许多关于企业社会责任实践要求的体系与规范性标准,同时以此为基础的企业社会责任实践活动也出现了逐渐增加的趋势。
首先,以我国政府监管部门及非政府组织为主体出台的企业社会责任要求或倡导性文件逐渐增加。
其次,近年来,党和国家领导人在许多场合多次强调了企业社会责任的重要性。值得一提的是,2013年11月9日至12日在北京举行的中国共产党第十八届中央委员会第三次全体会议,审议通过了《中共中央关于全面深化改革若干重大问题的决定》,该决定将企业“承担社会责任”列为“推动国有企业完善现代企业制度”“深化国有企业改革”的主要举措之一,这也是我国首次将“企业社会责任”列入中央会议的决定里。这在一定程度上反映了我国政府和领导人在确定我国实现改革开放的经济增长目标以来,对企业承担与履行社会责任的关注与重视。
再次,在政府部门和其他组织的倡导与要求下,到目前为止,我国企业对其社会责任报告的发布与披露呈现了逐步上升的趋势。
最后,为了推动我国企业社会责任理论的研究与实践发展,2008年2月,中国社会科学院经济学部成立了企业社会责任研究中心(CASSCSR,下文简称中心)。该中心以形成“中国特色、世界一流社会责任智库”为目标、以“积极践行研究者、推进者和观察者的责任”为己任。同时,该中心也是我国企业社会责任领域的国家级研究机构与最高学术理论研究平台。到目前为止,该中心在中国企业社会责任理论研究、推动实践等方面取得了卓越的成就,如在理论研究方面,已组织出版了相关的“文库”,形成了《中国企业社会责任报告编写指南》等;在实践推进方面,该中心主要通过传播教育、跟踪和评价等方式进行。
(二)企业社会责任的内容
企业社会责任包括经济责任、法律责任、伦理道德责任和其他社会责任,如表2-1所示。
表2-1 企业社会责任的内容
此外,企业在经营过程中应合理、科学地履行社会责任,完全不履行或不合理履行责任则会给企业带来风险,本书称此风险为企业社会责任风险。具体而言,企业社会责任风险是指在经营过程中,因不能履行或不合理履行其企业社会责任而引起的未能实现或满足其利益相关方的利益、目标,从而对公司的盈利能力提升、风险管理目标实现及可持续发展造成的不利影响。
二、风险管理的内部审计视角
(一)内部审计在企业风险管理中的作用
作为企业高层管理者控制手段的内部审计,在企业管理尤其是风险管理、内部控制等领域的作用日益突出,成为关系企业兴衰成败的重要因素。从定义上看,一方面,风险管理已发展成为内部审计的一项重要内容,内部审计的范围已经从传统的财务审计延伸到了风险管理和公司治理的层次。另一方面,内部审计由于相对独立,因而,对于风险管理、控制及治理过程有效性的评价和改善而言,其发挥的作用是企业其他部门所无法替代的。
2004年9月,美国“反对虚假财务报告委员会”(COSO)下属的发起机构委员会在《内部控制整合框架》的基础上,正式颁布了《企业风险管理整合框架》,这也是目前国际上较为公认的企业风险模型。本书选取这一框架作为理论基础,阐述内部审计在企业风险管理中的作用。
内部审计在企业风险管理中的作用主要体现为模型的最后一项要素:监控。企业风险管理是一个持续动态的过程,这也就要求相关人员动态监督和控制企业风险管理的运行是否有效,以便企业及时采取适当措施。前已述及,企业在监督和控制过程中主要通过提供保证和咨询服务来对企业的风险管理进行监控,这一监督和控制作用贯穿风险管理的各个环节。在内部环境中,内部审计明确管理者和董事会的风险偏好,并对高层管理人员的观念、知识和经验与组织战略目标的一致性做出评价;在目标设定中,内部审计人员根据前一阶段明确的风险偏好来确定风险容忍度,列出风险因素清单,将目标、战略与风险相联系,使目标与企业的风险偏好和风险可接受程度相协调;在事项识别时,内部审计人员的工作主要是识别企业所面临的内外部风险,追溯和鉴别所有重要的风险源等。
(二)内部审计角度下我国企业风险管理的现状及不足
近年来,应监管部门的政策要求,同时受制于外部竞争环境与企业自身发展的内部需求,我国企业普遍加强了风险管理的力度,风险管理水平有了一定程度的提升,具体表现为风险评估手段开始由定性逐步走向定量技术,风险管理视角由早期的运营风险提升到企业整体层次的战略风险等。
1. 基于内部审计的企业内部环境现状及不足
(1)正式的风险偏好声明缺失。内部审计人员在风险管理内部环境中应明确管理者和董事会的风险偏好。正式、经批准的风险偏好声明是企业风险管理计划的主要指引文件,表明了企业所能承受的风险级别,因而对企业管理层的决策提供指导方向。德勤2010年调查统计结果显示,约1/3的被调查企业没有完成风险偏好的定性或定量定义,这将直接影响企业后续目标设定程序,从而影响整个企业的生产运营情况。
(2)内部审计职能弱化。2010年对企业内部审计实效性的调查结果显示,43.3%的人员在对企业内部审计的独立性评估中选择了“一般”或“很差”。可见,我国企业内部审计的独立性较差,未发挥实质意义。究其原因,主要有以下几点。
第一,由于资金及人事约束,我国内部审计机构一般依附于公司管理层,故而不能客观、有效地开展工作;第二,由于企业管理层的不重视,内部审计人员的专业技能及综合素质与内部审计的要求相去甚远。内部审计人员难以正确识别风险,这将造成企业内部控制的弱化。事实上,我国很多企业并未设置独立的内审部门。调查结果显示,66%的内部审计部门是与其他部门设置在一起的。这种机构设置虽然表面上节省了开支,但实际上,内部审计部门不能独立地开展工作,反而影响了工作效率与工作效果。内部审计部门的独立性越是不强,审计监督的职权范围也就越窄,此时的内部审计部门就无法对企业整体经营活动进行全过程、多层次的监督和协调。
(3)内部审计职责认识不清。在对我国企业内部审计和风险管理状况的调查中发现,被调查企业的内部审计职责主要是对法律、规则、政策和程序的遵从(占87%),财务或与财务相关的审计活动(占95%)和评估内部控制(占58%)。由此可以看出,内部审计技术还停留在简单的账证、账表核对及对会计资料的常规审查上。这种只注重检查过去的记录和内部控制系统过去的运行情况而不关注企业未来风险的内部审计并没有发挥其最大的优势,也未实现其宗旨,同时使那些被忽视的风险悄然侵入企业各业务过程,危害企业的生存。
此外,基于内部审计的内部环境还存在着内部审计的宗旨模糊、内部审计范围狭窄等问题。
2. 基于内部审计的目标设定现状及不足
在目标设定中,内部审计人员根据前一阶段明确的风险偏好来确定风险容忍度,列出风险因素清单,将目标、战略与风险相联系,使目标与企业的风险偏好和风险可接受程度相协调。
许多企业不具备完整的全集团的风险清单。这里需要指出的是,建立一套完整的全集团风险清单并不容易,因为在建制过程中要投入相当多的人力、时间,更重要的是要有高级管理层的支持。德勤调查数据表明,建立了完整风险清单的企业不到20%。虽然完整风险清单的建立代价较大,但如果不具备完整的风险清单,那么企业在后续的风险管理中工作量和难度都会比较大,不确定性也会随之增加。
评估与未来价值创造有关的风险。德勤的调查结果显示,有近60%的企业非常注重或比较注重评估与未来价值创造有关的风险。这主要是因为在当前的市场环境中,市场发展迅速,各行业结构尚未稳定,企业对于新兴市场开拓、兼并收购等活动较为重视,在风险管理上偏向于“进攻性管理”,即较为重视机会风险。
3. 基于内部审计的事项识别现状及不足
在事项识别时,内部审计人员的工作主要是识别企业所面临的内外部风险,追溯和鉴别所有重要的风险源。另外,内部审计人员还应关注对积极事项及其风险的识别。风险识别是对风险的定性研究,是进行风险评估、风险应对的基础。
许多企业不能直接获取高质量的风险信息。风险信息的收集是企业风险管理的重要内容,直接关系着后续风险识别、风险评估与风险应对等相关的信息。这些相关信息若存在质量不高、反馈速度不及时等现象,将直接影响企业风险管理效果与效率。德勤调查结果显示,可完整获取高质量风险信息的企业不到一成,这无疑将直接影响企业后续风险管理的效率和效果。这也在一定程度上显示出我国企业风险管理体系存在的弊端,大部分企业仅具备风险管理的流程,而不注重实施的效果。
许多企业并未完全识别重大风险。德勤在这一问题的调查中发现,接近一半的企业表示已经识别了大部分或完全识别了重大风险,但对于未曾发生过或极少发生的极端风险事件,如全球金融风暴等,目前很少考虑。另外,数据显示,35%的被调查企业认为自身在识别风险方面还存在不足,这主要是由于内部人员经验与能力的局限,对于风险识别的方法和工具不熟悉或意识不到位造成的。
4. 基于内部审计的风险评估现状及不足
风险评估阶段,内部审计人员一方面需要对事先假定的标准、风险计算方法进行分析评价,保证风险评估结果的可靠性;另一方面,采取定性与定量相结合的方法,确定每个风险要素的影响大小,从风险发生的可能性和影响两方面进行评估。这里需要注意的是,内部审计人员还应考虑风险间的相互作用。风险评估是风险应对的基础。
针对风险评估环节的调查显示,由于管理者内部控制意识薄弱,关注于企业业务范围的盲目扩张而普遍忽视内部控制评估体系的建立,因而没有制定风险评估机制的企业高达30%,机制尚未健全的企业占13.3%。德勤在2010年调查统计数据中也显示,针对重大且会相互影响的风险,企业尚未意识到其重要性的比例相当高。但大多数企业表示,已开始考虑此问题,但苦于缺乏相关的分析技术与手段。风险评估机制的缺乏直接影响着企业规避风险的能力,不利于企业的可持续发展。