易仁萍副会长在全国现代企业风险管理理论研讨暨经验交流会上的讲话

各位领导、专家、同志们：

    今天，我们相聚在素有“浪漫之都”美誉的、美丽的海滨城市大连，共同对全国现代企业风险管理这一专题进行理论研讨和经验交流。这次会议是在中央五中全会胜利闭幕、神舟六号载人飞船成功发射、中华人民共和国第十届运动会胜利开幕的大好形势下如开的。这次会议由课题组长单位国家电网公司审计部承办，得到了东北电网公司、大连市电力培训中心等单位的大力支持。国家电网公司欧阳胜英总审计师亲临会议指导并讲话，东北电网公司赵文斌主任也做了热情洋溢的讲话，使代表们对国家电网在国民经济建设的重要地位及所做出的贡献有所了解，对美丽的大连有了美好的概念。在此，我代表中国内部审计协会和各位与会代表，对国家电网公司的领导和有关同志对会议给予人力、物力、财力上的大力支持和为会议提供的热情服务、周到安排表示衷心的感谢！同时，对前来参加会议的各位领导、专家和同志们表示热烈的欢迎！

    几年来，中国内部审计协会每年都选定2至3个研讨课题，发动广大内部审计人员开展自下而上的理论研讨和经验交流活动。截至目前，已研讨交流了经济责任审计、购销比价审计、内控评审、风险审计等12个课题。上个月，我们刚在石家庄召开了“舞弊的防范与检查”的研讨会，也取得了较好的效果。实践证明，对内部审计发展中的热点问题开展理论研讨和经验交流活动，为广大内部审计人员提供一个彼此交流、相互学习、经验分享的平台，对提高内部审计人员素质、促进内部审计发展有着积极的意义。 

     这次我们研讨的专题－－风险管理是当前经济社会的一个热点话题，也是国内外内部审计界一直都非常关注的一个重点问题。国际内部审计师协会在近几年召开的年度国际大会上都安排了对风险管理进行研讨和交流的内容。中国内部审计协会在经过充分调研和论证的基础上，将现代企业风险管理列为2005年的研讨课题之一。从这次会议收到153篇论文和4篇经验材料可以看出，广大会员单位对研究和探讨现代企业风险管理有着较高的热情，并给予了的高度重视，积极开展了广泛的研讨交流活动，按照要求进行了论文的评选和推荐。 

    从上报的论文来看，主要呈现了以下三个特点：一是范围广、数量多、质量高。这次会议有31个省区市和28个国有大中型企业报来了论文和经验交流材料，涉及了电力电网、航空航天、电信邮政、金融保险、石油石化、电子科技、工程机械、煤炭钢铁、交通运输等行业。尽管研究的课题是一致的，但论文作者结合本行业和本单位的工作，借鉴国际上风险管理的做法和有关理论，采取调查研究、案例分析、统计分析等方法，从不同的角度对“现代企业风险管理”进行了详细解析，论文呈现出了较高的水平。二是系统性、全面性、理论性。这次会议所收到的论文，主要反映了现代企业风险管理的定义、特征、种类及形成原因；加强风险管理的必要性；如何发挥内部审计在风险管理中的积极作用；COSO委员会颁布的《企业风险管理框架》；我国构建企业风险防范体系的设想等方面的内容，从理论和实践等方面全面系统地对现代企业风险管理进行了研究。值得提出的是，福建省电力公司审计部组成课题组对“现代企业风险管理”进行了全面的探讨，提出了构建现代电网企业风险管理体系的设想，这种方式对提高我国内部审计理论研究水平起到了积极作用。三是总结经验、注重时效、立足可行。这次论文的显著特点是论文作者充分吸收了国际上有关现代企业风险管理的先进理念，认真分析了中航油等企业发生的事件，在总结自身工作经验的同时，提出了构建企业风险管理框架的设想，具有较强地可行性。 

    风险是指对目标的实现产生影响的可能事件，是由后果与可能性二者加以衡量的。在企业界，有一种被广泛认同的观点，没有风险也就无所谓企业的经营，企业的经营又必须规避风险，这是一对矛盾的对抗，也就是说做任何事情都是机遇和风险同在。然而也正是通过这种时刻存在的矛盾对抗，企业才能发展、壮大。毋庸置疑，在经济全球一体化、国与国之间经济交流和贸易往来日益频繁的大环境下，任何一个企业都不可能处在一个世外桃源的环境中生存，所有企业都会随时遇到各种各样的风险，经济体制的变革、经济的发展波动、市场供求的变化、消费潮流的转变等等，能够准确地预见这些风险，并能科学地管理这些风险，把风险控制在组织可以接受的水平之下，对于企业经营来说是至关重要的。近一年来，国内企业界接连发生了中航油、长虹、中储棉、伊利乳业等一系列令人瞩目的事件，再一次为企业的经营管事者敲响了警钟。一个完整有效的风险管理系统和风险管理程序，可以最大限度地帮助企业的管理层随时从容不迫地应对各种风险，使企业更好地得以生存和发展。而缺乏这样一个有效的风险管理机制，对于企业来说无疑伴虎而眠。下面，我想结合国际上的先进理念和方法，就加强风险管理谈三点看法，供大家参考。 

    一、借鉴国际先进的方式、方法，构建适合企业自身特点的风险管理模式 
    目前，国际上理论比较成熟又得到普遍认可的是COSO委员会发布的《企业风险管理框架》。COSO委员会从2001年起开始进行企业风险管理框架的研究，于2003年7月完成了《企业风险管理框架》（草案）（以下简称框架），在公开向业界征求意见后，于2004年底正式发布。 

      框架指出，“企业风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。”框架有三个维度，第一维是企业的目标，即战略、经营、报告和合规4个目标；第二维是全面风险管理要素，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控8个要素；第三维是企业的各个层级，包括整个企业、各职能部门、各条业务线及下属各子公司。三个维度的关系是，全面风险管理的8个要素都是为企业的4个目标服务的；企业各个层级都要坚持同样的4个目标；每个层次都必须从8个要素方面进行风险管理。该框架适合各种类型的企业或机构的风险管理。 

       目前，COSO在国际上已经开始得到了广泛应用。2004年3月9日，美国上市公司会计监管委员会发布的第二号审计准则“与财务报表审计相关的财务会计报告内部控制审计”就提出将COSO作为内部控制的标准。国内一些企业也开始从COSO的框架中吸收合理的内核来完善内部控制，一些金融机构开始运用COSO框架来做内部控制评审。 

      现代企业正面临一个国际化的舞台，内部控制、风险管理框架的设计应吸收国际上的成熟理论和作法，但由于不同的企业，文化和经营环境等方面都存着差异，因此，企业应根据自身的特点和实际的工作需要，构建适合企业自身的风险管理模式。 

    二、内部审计在现代企业风险管理中应发挥积极的作用 

      内部审计不仅能参与企业风险管理，对风险管理的有效性和适当性进行审计，而且能促进和帮助企业加强风险管理，在企业风险管理中发挥积极的作用。 

   （一）内部审计能够客观的评价企业风险管理系统，提出改进措施和建议，降低风险损失。内部审计独立于各业务职能部门，这使得它可以从全局出发、从客观的角度对风险进行识别和评价，及时建议管理部门采取措施控制风险，减少风险损失。 

    首先，内部审计能对风险管理过程的有效性和充分性进行评价。这主要体现在以下两个方面：一方面可以对内部控制系统的健全性、科学性和执行情况进行测试评价；另一方面能评价风险管理主要目标的完成情况和管理层选择的风险管理方式的适当性。 

    其次，内部审计能协助内部机构确定、评价、实施风险管理的方法和措施。如：针对管理中存在的漏洞，提出解决办法，建立良好的控制制度；对风险管理进行深入研究，利用现代技术开发适合本企业的评估工具等。

  （二）内部审计能够参与企业事前、事中、事后的全过程风险审查，从而全过程控制和管理企业风险。现代企业风险存在于管理的各个环节，风险管理是一个复杂的系统工程，内部审计自身的发展变化使之具备了事前介入、事中监控、事后评价全程的条件和参与企业风险审查的能力，从而能够全过程的控制和管理企业风险。 

    对风险的关注是国际内部审计的新发展，国际内部审计师协会在1999年对内部审计定义作出第七次修改，新的内部审计定义是：“内部审计是一种独立的、客观的确认和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制和治理过程的效果,帮助组织实现其目标。”这一新定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。 

    内部审计在对风险管理活动实施定期审计时，要注意抓好五个方面的内容：  一是应评估并认定组织的严重风险；二是应认定组织的风险管理是否着眼于主要目标，并用充足的证据认定风险管理目标是否得以实现，进而从总体上对风险管理的充分性发表意见；三是应认定风险管理措施是否符合本组织的文化、管理风格和工作目标；四是应研究、评价风险管理方法的参考资料和背景信息，借此评价有关管理层所实施的风险管理是否适当、是否达到了本行业风险管理的先进水平；五是如果管理层尚未对某些重要风险采取管理措施，应提请其注意并提出对这些风险应如何管理的建议。 

    为此，我国内部审计机构和内部审计人员应把风险管理作为内部审计的一项重要内容，通过检查、评价、报告风险管理过程的充分性和有效性提出改进建议，促进和帮助企业加强风险管理。 

    三、需注意的几个问题 

    （一）争取最高管理层的支持。实施企业风险管理模式的必要条件是，整个过程必须得到最高管理层的鼎立支持。尽管技术上的准备和实施程序非常重要，但是，如果离开最高管理层始终如一的支持，有效的风险管理模式的建立是根本无法实现的。同时，必须强调最高管理层绝不能只把新的风险管理模式的实施视为下属的职责，而必须努力参与到实施过程中去。 

    （二）高度重视风险识别工作。在当前的经营环境下，企业要想高效地管理风险，首先必须高度重视风险识别工作，尽最大努力，识别出企业面临的所有风险。一般可以采取以下两种方法：一种是风险管理部门通过与业务部门面对面的交流，可以直接掌握企业面临的风险；另一种则是让业务部门自我评估所面临的风险，并设计出管理这些风险的初步策略。此外，还有现场分析法、集体讨论法等等。企业一旦确定了风险识别方法，就应将风险识别视为一个动态化和连续不断的过程。 

    （三）重视风险的分级、度量工作。这次我们参加芝加哥IIA年会，共11个会场，88个专题报告。其中风险审计也是最受关注的话题，论坛提出：“编制以风险为基础的审计计划，确定有效的审计范围”。专家们认为，任何组织的资源都是有限的，应把有限的审计资源用于满足急需的目标。在当今动态发展的商业社会中，编制静态审计计划的时代已经过去。内部审计必须通过将工作重点确定在公司所面临的最大风险、需揭露的事项和最严峻的挑战领域，促使公司收益的最大化。编制以风险为基础的审计计划，可以使内部审计师实现上述要求。精心设计、全面分析风险和优先排序的过程，能使内部审计师制定有效的年度计划和多年计划，保证整个组织适当的审计范围。由此可见，风险应按照重要性、严重性或者对本企业影响程度的大小进行分级。它可以协助管理者了解两件事，一是可以直观表示某种风险的重要程度，二是有助于管理者制定风险管理战略，合理分配资源。同时，企业要想知道所拥有的各类资源是否得到了有效的运用，唯一的方法就是对风险进行度量。风险度量可以帮助企业确切掌握某种风险的重要程度。如风险价值法主要用来度量发生的可能性超过1%的潜在经济损失的数额，风险收益法可以把收益和风险的关系，以及预期收益和达到这种收益水平可能性的关系直观展现出来，这些方法之间存在紧密联系。企业在风险管理过程中，应综合其优缺点，并根据企业实际，开发符合组织需要的、易于管理人员理解的风险度量方法和风险管理语言，以准确度量财务风险和非财务风险，协助管理人员制定出有助于实现企业价值最大化的经营决策。 

    同志们，这次现代企业风险管理研讨活动，课题组长单位国家电网公司审计部组成的评审小组对收到的153篇论文进行了初评，中国内部审计协会学术委员会对论文的评选进行了最终审定，这次会议共评出一等奖4篇，二等奖8篇，三等奖40篇。会上，将安排部分优秀论文和经验材料做大会交流，有关专家还将就风险管理的题目做学术报告。这为我们与会者提供了一个难得的学习机会，希望同志们在会议期间广泛进行交流，力争多有收获。同时，也希望广大内部审计人员继续努力，积极参与内部审计理论研究活动，为提高我国内部审计理论和实践水平做出应有的贡献。 

    借此机会，我代表中国内部审计协会向在论文中对协会今后工作提出意见和建议的作者，表示衷心的感谢。有鞭策才有进步，在今后的工作中，中国内部审计协会一定按照“服务”为主的方针，积极创新工作方式，做好各项工作，为推动和促进我国内部审计事业的发展而努力奋斗。 

      最后，预祝研讨暨经验交流会圆满成功! 
                 谢谢大家！