会员登录
会员注册
ISO9000强调的是业务流程管理,企业的部门服从与业务流程的要求,以满足客户要求和风险控制为最低标准。从流程的规划、执行、监督和改善的各个环节中,风险控制都是重要的一环。
风险管理的要素
企业风险管理包括八个相互关联的要素,各要素贯穿在企业的管理过程之中。根据管理者经营的方式,分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等。
1. 内部环境
企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。企业管理者是内部环境的重要部分,其职责是建立企业风险管理理念,确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的初步行动结合起来。
2. 目标制定
根据企业确定的任务或发展方向,管理者制定企业的战略目标,选择战略方案并确定其他与之相关的目标,在企业内层层分解和落实。
3. 事项识别
有时,管理者不能确切地知道某一潜在事项是否会发生、何时发生及造成的结果,使得企业的管理者需要对这些事项进行识别。
4. 风险评估
风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估——风险发生的可能性和影响。风险评估应从企业的发展战略角度进行。
5. 风险反应
风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险,企业都应考虑所有的风险反应方案。选定某一风险反应方案后,管理者应在残存风险的基础上重新评估风险,即从企业总体的角度,或者从组合风险的角度,重新计量风险。
6. 控制活动
控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业为实现其商业目标而执行过程的一部分。
7. 信息和沟通
来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通,包括企业内自上而下、自下而上以及横向的沟通。
8. 监控
对企业风险管理的监控,是指评估风险管理要素的内容和运行中执行质量的一个过程。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。
内部审核日趋重要
随着公司治理力度和风险防范意识的加强,整合提升管理水平,内部质量管理体系审核必然会成为组织内部控制的一种重要方式,正如惠普所倡导的“穿透式”审计,将业务流程审核、IT信息系统审核与财务审计紧密融合,将传统财务审计转变为现代风险审计,成为企业控制风险、规范业务流程的重要方式,内部审核的重要性必然会越来越受到重视。