摘要：文章通过现代企业风险的危害进行分析，阐述现代企业风险管理的构成以及风险控制的方法，强调内部审计在现代企业风险管理中的作用。同时以我国商业银行的风险现状为例，对银行内部审计在风险性监管中如何发挥杠杆作用提出了建议。
关键词：风险管理 内部控制 内部审计 杠杆
 
犹如没有人愿意得病那样，没有任何企业愿意遭遇风险。然而在经济管理领域，风险不仅种类繁多和无所不在，而且几乎象病毒一样无法回避和防不胜防。风险是不可捉摸的，既可能发生在自己身上，也可能发生在竞争对手身上，还可能发生在全行业；风险又是难以判断的，风险既包含了导致失败的根源，同时又蕴藏着成功的种子，这两者往往让企业体验战略转折意义的“过山车”经历，优秀的企业会因此脱颖而出，平庸的企业却荡然无存，从某种意义上而言，风险是竞争命运最后迎头击下的重锤。
也许唯一能让企业游走于危机边缘的因应之道就是风险管理。
一、 现代企业风险与危机
古典经济学家在19世纪就提出了风险的概念,认为风险是经营活动的副产品;20世纪以来,风险定义可分为两类:狭义风险和广义风险。狭义风险是指损失的不确定性;广义风险不仅指损失的不确定性,还包括盈利的不确定性。风险与收益是共生的,获得收益就必须承担风险。然而从众多风险定义来看,人们倾向于狭义定义,这是因为与收益相比,人们更警惕损失。越来越复杂的环境与激烈竞争,使企业现在面临的风险比以往任何时期更大。因此,如何控制风险成为企业管理层必须考虑并掌握的问题。
事实上，风险与危机是形影不离的，没有爆发的危机称之为风险，失去控制的风险就是危机。
所谓风险，无非是特定条件下各种可能后果与预期后果之间的差异，尤其是某种损失发生的可能性。对于具有结构化视野的管理者而言，风险是由风险因素、风险事故和风险损失等要素组成。风险因素是引起或增加风险事故发生的机会或扩大损失幅度的条件，是风险事故发生的潜在原因。风险事故是指造成风险损失的偶发事件，是造成损害的直接原因。风险事故意味着风险的可能性转化成了现实性，只有通过风险事故的发生，才能导致损失。风险损失是风险事故所带来的物质上、行为上、关系上和心理上的实际和潜在的利益丧失。
危机就是风险事故，系指组织因内、外环境因素所引起的一种对组织生存具有立即且严重威胁性的情境或事件。风险是危机的母亲，在适当的诱因下（常常是意想不到的）风险从海底浮出水面的部分就是企业眼中看到的危机。
现代企业的运营与风险是一对并蒂莲。现代企业发展的初级阶段风险的管理一般处于次要的地位。现代企业走过发展的萌芽期，进入快速成长阶段，建立和完善风险管理体系便成为重要的工作。 
  现代企业的重大风险一般包括决策风险、财务风险和与运营风险。很多现代企业试图通过改善内控体系来防范风险的发生而未将风险管理看作一项系统的工程。 
现代企业的风险表现主要有以下：
在迅速扩张的过程中，造成财务与业务失控，无法进行风险预警、防范；
缺乏正确的业务流程的指导和风险管理体系的保障，影响管理层对于风险的识别和分析，以及采取相应的决策；
缺乏规范的法人治理结构设置，存在政企不分、职责不清等问题，使企业目标发生偏移；有规范的法人治理结构设置，但运作上存在内部人控制和大股东控制等问题； 
缺乏风险意识，没有积极、主动、系统地进行风险管理工作，风险的事前管理缺位、事中和事后管理具有一定的随意性； 
缺乏包含决策、管理和具体执行层在内的完整的风险管理组织； 
缺乏业务操作手册，导致各部门和岗位的人员对其工作职责和操作程序不清晰，造成部门和岗位间互相推委或业务上的疏漏，从而使现代企业较难控制业务，降低工作的效率和效果； 
对现代企业的主要业务缺乏风险识别、评估、管理和监控；内部审计工作限于财务报表审计和经济责任审计，缺乏对现代企业内控程序执行情况的检查和监督； 
缺乏对风险进行定期的复核和再评估，降低了企业适应环境变化，管理和规避风险的能力。
二、现代企业风险管理的构成及管理方法
(一)风险管理与内部控制的关系
内部控制最初的思想———内部牵制产生于古埃及的国库管理,目的是防范财产风险。内部控制的现代思想是企业组织规模扩大和资本大众化的产物,在其发展过程中,企业风险管理的思想始终贯穿在内。内部控制与风险管理的结合很早就引发了人们的关注,但对于两者关系的看法存在分歧。一种观点认为内部控制存在于协助企业进行风险管理的程序之中,是风险管理的方式之一。另一种观点是将风险管理纳入内部控制体系,认为控制包含了风险。
2003年7月ＣＯＳＯ委员会颁布了《企业风险管理框架(讨论稿)》,该讨论稿是在1992年ＣＯＳＯ委员会颁布的《内部控制—整体框架》基础上,吸收各方风险管理研究成果基础上提出。ＣＯＳＯ在其中明确说明,风险管理框架建立在内部控制框架基础上,内部控制是企业风险管理必不可少的一部分。在ＥＲＭ框架中,企业风险管理被定义为,企业风险管理是一个过程,这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业各项活动中,用于识别那些可能影响企业的事件并管理风险,使之在企业风险偏好之内,从而合理确保企业取得既定目标。而在《内部控制———整体框架》中对内部控制的描述是,内部控制是由企业董事会、经理层和其他员工实施的,为运营的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。从定义来看,都有以下关键词:(1)是一个过程;(2)受董事会、管理层和其他人员的影响;(3)被设计来提供合理保证。
(二)企业风险管理的其他构成部分
《企业风险管理框架(讨论稿)》和《内部控制———整体框架》相比,风险管理框架的范围更为广泛,是对内部控制框架的扩展,是一个主要针对风险的更为明确的概念。企业风险管理框架中涉及的八个要素,除了包括内部控制的五个要素———内部环境、风险评估、控制活动、信息与沟通和监控以外,还增加了目标设定和风险对策两个要素。内部控制要素之一风险评估在企业风险管理框架中被分为事件识别和风险评估。其它相同要素也有不同程度的扩展。
1.目标设定的新发展。内部控制框架将企业的目标分为经营、财务报告和合法性;企业风险管理框架也包含三个类似的目标,但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标覆盖了企业编制的所有报告。此外企业风险管理框架还增加一个目标———战略目标。该目标的层次比以上三个目标更高,不仅强调在整个企业范围内识别和管理风险的重要性,还强调应针对企业目标的实现,在企业战略制定阶段就考虑一系列备选方案的风险因素。战略目标的设定,需要董事会和管理层事先识别、评估相关信息。
2.事件识别的新发展。事件识别扩展了原有范围,提出潜在事件的概念,指出管理层需要识别那些影响企业战略和目标的潜在事件,并对其中带有负面影响的事件进行风险评估、选择对策。
3.风险对策的主要内容。风险对策是在评估了相关风险后,管理层需要考虑对那些带有负面影响的事件采取对策。对策的种类一般有规避、减少、分散和接受风险。作为风险管理的一部分,管理者应在企业风险容忍度范围内的假设下,比较不同方案的潜在影响,评估风险对策方案。在分别考虑了风险对策后,企业管理层应从总体角度考虑企业选择的所有风险对策方案组合对企业的总体影响。
从以上列举的三个要素的内容看,都涉及到识别、评估信息。这一过程仅在内部控制框架中是无法完成的,因为它是只能由人的职业判断完成。例如,在企业采购中货物运输发生意外,调度员了解到此信息后,应该立刻进行材料调拨或采取其它应急策略,保证企业顺利生产。采取怎样的应急措施是由该管理人员识别到风险并评估了风险对策后选择的,这个过程的顺利实施是因为人具有主观能动性,内部控制本身是不具备这种能力的。由此可知,企业进行风险管理,除了完善内部控制和掌握必要的技术以外,还需要管理者识别、评估风险信息的职业判断。
(三)企业风险管理与企业管理的关系。
企业风险管理属于企业管理的一部分,但并不是所有的管理活动都是风险管理。《企业风险管理框架(讨论稿)》中列举了四项不属于风险管理的管理活动,即确定战略、选择相应目标、业绩评价、选择并执行风险对策。根据风险评估,列出各种风险对策是属于风险管理的一部分;而选择特定的风险对策则不是,它应属于决策的职业判断。因此,对企业风险管理进行审计的范围不包括对决策系统进行审计。
（四）现代企业风险管理的方法
建立完善的风险管理体系一般要经过一个较长期和痛苦的过程，经常要涉及到管理结构的调整，权力结构的整合，作业流程和财务流程的重整。建立健全风险管理机制，企业领导层应重视以下环境建设：
1、理顺法人治理结构，建立规范的决策程序，形成规范、良好的治理环境。同时建立起专门的风险管理机构，提供风险管理的组织保证；
2、完善了公司风险管理体系，规范和加强了对风险的事前、事中和事后的管理，提高公司整体抗风险能力，使企业能够适应不断变化复杂的内外环境； 
3、有效识别、评价、监控、管理经营风险和财务风险，降低公司失败的可能性和业绩表现的不确定性； 
4、建立了合理的业务流程和内部控制制度，明确部门的职责、重要岗位的职责、部门之间的分工和协作关系，提高工作的效率和效果； 
5、根据业务流程明确信息的沟通途径，保证了信息的准确性、及时性和有效性； 
6、将风险管理和监控融合在具体的业务流程中，落实到每个部门、每个员工，实行全员的风险管理； 
7、明确内部审计组织架构和管理体制，完善内部审计流程和具体的操作手册；并确定内部审计在公司的重要地位，定期进行业务及管理稽查，完善和改进风险管理中的不足。
三、内部审计与现代企业风险管理中的关系
（一）公司治理的核心是风险管理。
公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开；风险直接影响目标的实现；而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度；治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。另外，从解释公司治理问题产生的经济学观点来看，无论是契约理论中提及的不完备契约，还是信息经济学中提及的信息不对称，以及代理理论中提及的代理问题，这些引发公司治理产生的因素究其实质都属于风险，都是使企业目标无法实现的各种潜在的、可能发生的事件。公司治理是组织应对风险的战略反应，其职责核心就是确保有效的风险管理方案的适当性，因此公司治理中包含一些战略性的风险管理的因素。例如：公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型；再如公司高层管理当局（CEO）在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。因此，风险管理是公司治理的核心。 
（二）内部审计作为内部控制的重要部分，与风险管理密不可分
　　1、内部控制与风险管理的联系日趋紧密。在决定内部控制政策，并在此基础上评估特定环境中内部控制的构成时，董事会应对诸多风险管理问题进行深入思考。比如：公司面临风险的性质和程度；公司可承受风险的程度和类型；风险发生的可能性；公司减少事故的能力及对已发生风险的影响；实施特殊风险控制的成本，以及从相关风险管理中获取的利益。执行风险控制政策是管理层的职责，在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并执行董事会所设计、运行的内部控制政策。 
 2、内部审计理论的新发展。顺应内部审计理论及实务的变化，国际内部审计师协会（IIA）在1999年对内部审计重新定义，即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善，帮助组织实现其目标。” 这一新定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。
　　3、风险管理是内部审计的主要职责。随着风险管理导向内部控制时代的来临，内部审计的工作重点也发生了变化，现代内部审计除了关注传统的内部控制之外，更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下，年度审计计划与公司最高层的风险战略连接在一起，内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致，使用风险管理原则改变审核过程。风险管理成为组织中的关键流程，促使内部审计的工作重点不仅是测试控制，而且包括确认风险及测试管理风险的方法。在风险导向的内部审计中，控制仍然重要，但分析、确认、揭示关键性的经营风险，才是内部审计的焦点。
（四）内部审计在风险管理中的作用
 内部审计作为内部控制的重要组成部分，其在风险管理中发挥不可替代的独特作用，主要有以下几方面：（1）能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而会传递到其他部门，最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑，而各业务部门又很难做到这一点。内部审计人员不从事具体业务活动，独立于业务管理部门，这使得他们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。（2）控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节，内部审计人员可以调控、指导企业的风险管理策略。（3）内部审计部门的建议更易引起重视。内部审计部门独立于管理部门，其风险评估的意见可以直接上报给董事会，这会加强管理当局对内部审计部门意见的重视程度。
鉴于内部审计在确保公司内部控制制度有效运转及管理和控制风险等方面的独特作用，纽约证券交易所于2002年8月1日明确规定所有上市公司必须设置和保持有效的内审机构，否则不得上市或将面临退市。内部审计师已被看作是与董事会、高级管理层、外部审计师构成有效公司治理的四大基石之一。内部审计师拥有的风险管理、内部控制的知识与技能，能帮助公司治理实现其核心目标：控制风险以促进组织目标实现。因此，在公司治理中，内部审计是组织内部不容忽视的一支力量。 
四、现代商业银行风险述略
银行和贷款者之间有着契约，贷款者到期必须连本带利归还银行。银行和储户之间也有契约，到期之时银行向储户还本付息。可是，银行两边的契约的“硬度”不一样。银行和贷款企业之间的契约比较“软”。企业还不出钱来，银行只能靠法律手段逼债，万一贷款收不回来，只好等这家企业破产之后多少拿回来一些。我国的银行和国有企业之间的关系就更软。国有企业还不出钱来而银行一筹莫展的事情已经司空见惯。可是银行和储户之间的关系就“硬”多了。除非银行破产，否则储户完全有权力拿回属于自己的资金。在某种意义上，银行把许多家企业经营风险集中到了自己身上。
目前我国商业银行主要面临以下几种风险：
 (1)信用风险：即交易对象无力履约的风险；
 (2)市场风险：是由于市场价格的变动，银行的表内和表外头寸所面临遭受损失的风险；
 (3)利率风险：指银行的财务状况在利率出现不利的波动时所面对的风险；
 (4)流动性风险：指银行无力为负债的减少或资产的增加提供融资，即当银行流动性不足时，它无法以合理的成本迅速增加负债或变现资产获得足够的资金，从而影响了其盈利水平的情况；
 (5)操作风险：主要在于内部控制及公司治理机制的失效；
 (6)法律风险：包括因不完善、不正确的法律意见、文件而造成同预计情况相比资产价值下降或负债加大的风险；
 (7)声誉风险：该风险产生于操作上的失误、违反有关法规和其他问题。
银行不能不发放信贷，可是，只要资金出了银行的大门就有收不回来的风险。从理论上来讲，绝对避免坏帐是不可能的。坏帐是银行经营的风险成本。在正常情况下，银行应当用自身的利润来冲销坏帐损失。只要银行能够保持资金的流动性，资金流通链就不会出现什么大麻烦。可是，如果银行的呆帐、坏帐越来越多，甚至资不抵债，总有一天这个问题会被揭露出来。一旦有一家银行失去了资金流动性，就会导发金融危机。
由于存在金融市场失灵的可能，一旦某个金融机构出现危机，即使政府出面干预也未必能够挽救这个机构破产(例如英国的巴林银行)。当大规模金融危机爆发之后，即使国际力量联合起来也未必能够制止危机的蔓延(例如墨西哥和东南亚的金融危机)。由于金融机构之间的债权、债务关系非常复杂，一家金融机构出现的危机会牵连到其他金融机构，例如，1974年英国由于房地产景气消失而出现银行业危机。日本在90年代由于泡沫经济崩溃而导致整个金融体系的危机。一家金融机构出现危机会损害公众对整个金融体制的信心，发生挤兑。例如，墨西哥和泰国金融危机。这种负的外部性在区域金融危机中表现得非常严重。
银行业务的本质决定了它需要承担各种类型的风险，因此了解这些风险并确保银行能妥善地计量和管理风险是银行监管的重头戏。
尽管我国近年来频频采取诸如向国有商业银行注资、关闭资不抵债的金融机构、加强银行监管等一系列措施，但高风险、低收益仍是国内银行业面临的最主要问题。
中国银监会研究局副局长杨再平在接受新华社记者专访时表示：“中国银行体系的总体风险近年来呈不断下降，但是由于历史和现实的多种原因，积聚的现实风险仍然较大，”这些风险主要表现为不良资产占比高，资本充足率明显偏低，市场风险逐步显现，操作风险上升较快等。
2004年，我国主要商业银行不良贷款余额减少3946亿元，下降4.56个百分点，已降至13.2%。但银行体系的不良贷款余额和比率仍处于高位，不仅已超过《巴塞尔协议》的要求，而且与国际先进银行不良贷款比率应保持在5%以下的要求相去甚远。
2004年，主要商业银行尽管实现了不良贷款率和不良贷款余额的“双降”，但若剔除政策性剥离因素和新增贷款稀释效果的影响，主要商业银行的不良贷款实际上是“不降反升”。
国内商业银行的资本充足率也明显偏低。到2004年底，中国131家商业银行有110家未达到资本充足率的要求。中国商业银行风险抵御能力与国际先进银行相比存在较大差距，而且，商业银行资本金的补充机制尚未完全建立，银行业资本充足率还有继续降低的趋势。
利率市场化的进一步加快，使商业银行面临的利率风险成倍增长，如果处理不好，将会影响商业银行的稳健经营。同时，国际金融市场汇率变动频繁，特别是日元、马克与美元汇率近年波动剧烈，直接影响外汇资产及负债的市场价值，使拥有大量外汇资产和经营外汇业务的商业银行面临高汇率风险。
2004年以来，一些商业银行对操作风险的识别与控制能力不能适应业务发展的问题比较突出，风险管理和内部控制薄弱，大案、要案频发，造成大量资金损失。专家认为，操作风险上升的原因与中国银行业金融机构内部控制及公司治理机制的失效有密切联系。
从盈利能力看，国内各银行与国际大银行相比水平明显偏低。其原因有二：资产质量差，银行大量资产以不良贷款的形式沉淀下来，可以用来盈利的资产很少；盈利渠道单一，中国的银行主要收入来源还是依靠传统的存贷利差，中间业务收入占比非常小。
目前，中国的各家银行市场定位大致相同，客户群体也基本趋同。在竞争中，各商业银行往往并不是靠创新具有特色的金融产品来争取客户，而是竞相放贷或给予大额授信，降低贷款条件，其结果是银行的风险大大增加。即使部分商业银行进行了金融创新，大多也停留在被动模仿和同质竞争阶段。
五、积极采取措施，提高银行内部审计在风险性监管中的杠杆作用
为了保证银行内部审计作用的发挥,巴塞尔银行监管委员会及许多国家的监管部门及银行都采取了相应的措施,风险性监管正在我国逐步实行,我国很多银行内部审计的独立性有了很大加强,但如发挥其在风险性监管中的杠杆作用,银行内部审计还急需发展。
1.确立内部审计在银行风险管理中的重要地位。风险管理已经被国内银行提上了重要位置,很多银行都设立了专门的风险管理部门,但内部审计尚没有在风险管理中发挥应有的作用。国外银行内部审计的职能不仅是监督,更重在评价与建设。但我国银行内部审计缺乏评价与建设职能。以一项制度的建立与执行为例,国外银行内部审计在其建立时就可以评价该制度的合理性,而我国银行内部审计只能在该项制度建立后,评价其执行是否合规。审计的层次低,因而在风险管理中作用小。所以当务之急是要通过提高内部审计在风险管理乃至整个银行中的地位,提高内部审计的目标定位,促进其作用的发挥。
2.拓展审计领域,充分发挥银行内部审计在风险管理中的作用。内部审计可以评估银行风险识别的充分性、风险衡量的恰当性及风险防范的有效性,并在此基础上提出相应的改进措施,从而发挥自己在风险管理中的重要作用。在当前市场竞争日趋激烈、市场需求日益复杂的情况下,银行面临的风险越来越大,风险管理的关键在于防范。事前、事中的风险评估已成为国外银行内部审计的重要内容,因为只有这样才能及早确认风险,最大限度地减少风险。但目前我国银行内部审计尚处在查错防弊、开展合规性审计阶段,局限于对经营部门及营业机构执行各项规章制度、开展各项业务情况的事后审计等,而对于相关决策部门经营战略确立的恰当性、规章制度制订的合理性、新产品新业务设计的完善性缺乏风险评估。例如很多银行往往是先有新产品、新业务,再有风险管理程序和控制方法。甚至是只有出了风险,银行才会制订相应的管理程序。审计的层次低,在风险管理中的作用十分有限。因而今后应积极拓展内部审计领域,强调事中及事前审计,要确保在经营战略的确立、规章制度的制订、新产品及新业务的设计过程中就有适当的风险管理程序和控制方法,使内部审计能够通过风险评估的结果、建议直接影响银行经营政策的制订,确保银行风险管理目标与业务发展目标的一致性,力求从源头上加强银行的风险管理,使银行真正做到“风险先行”。这种工作重心的前移,不但能使内部审计避免出现只重视细枝末节,忽略了主要风险的情况,而且有利于提升其在银行内部风险管理中的重要地位,充分发挥内部审计在风险管理中的作用。
　　3.严格区分内部审计部门与风险管理部门在风险管理中的权限与职责,保持内部审计的相对独立性。从国外的实践来看,随着银行内部审计在银行风险管理中的作用越来越大,银行管理层甚至银行内部审计人员常常会难以区分风险管理部门与内部审计部门的职责,易把银行内部审计部门变成风险管理措施的设计与执行者,从而使其丧失独立性。为了避免出现这种情况,在内部审计程序、审计委员会章程、公司治理等方面应严格区分银行内部审计与风险管理部门的业务范围。
4.提高内部审计自身的实力。在方法上,实行风险基础内部审计。风险基础内部审计扩大并重新定位审计的范围从重在监控转向重在评估。同过去的审计方式相比,风险基础内部审计更加关注企业的风险管理活动,不但可以保证充分的审计覆盖面,而且对每一个领域都会根据其风险评价结果有不同的审计频率与深度,增强对风险的控制作用。在风险管理成为银行与监管当局关心的首要问题时,风险基础内部审计的发展成为必然。在手段上,要充分利用计算机审计,发展非现场审计。在人员素质上,除了需具备会计、审计、计算机、法律的相关知识外,应迫切提高风险管理知识水平。
　　5.内部审计人员要恰当处理与监管者、银行管理层及注册会计师间的关系。内部审计具有服务内向性的特点,内部审计人员既要借助与监管当局的联系保持自己的独立性与权威性,更要与业务管理部门增进交流,加强理解。只有在得到管理部门理解与支持的基础上才能有效地发挥内部审计的杠杆作用。根据我国的现行规定,上市银行的财务报告需同时接受境内、境外会计师事务所审计,他们在审计方面有很多丰富的经验。内部审计在接受其监督的同时,应积极加强与其交流、合作,学习其先进的审计观念及方法,促进自身的发展。

责任编辑：虫虫