风险控制和风险管理的区别范文
时间:2023-08-31 17:03:37
导语:如何才能写好一篇风险控制和风险管理的区别,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:风险管理;内部控制
中图分类号:F830 文献标识码:A 文章编号:1674-7712 (2013) 24-0000-01
一、风险管理和内部控制的联系
美国全国虚假财务报告委员会下属的发起人委员会(COSO)1992年提的是“内部控制”,到了2004年是“风险管理”,其内容1992年时包括5个要素,2004年时包括8个要素,说明对风险管理和内部控制有一个认识过程。内部控制应是风险管理的基础和重要组成部分,它们是一体化的,不能分割的。
内部控制解决的是常规性风险,风险管理解决的是非常规性风险,内部控制解决的是“如何正确地做事”,而风险管理解决的是“如何做正确的事”,它们既有联系,又有区别,一个企业要成功,二者缺一不可。
二、风险管理和内部控制的区别
“企业风险管理”概念的提出,并不意味着对原“内部控制”概念的摒弃。内部控制是企业风险管理不可分割的一部分,企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中。企业风险管理涵盖了内部控制,是一个更为全面、广泛的概念。二者的区别主要包括以下方面:(1)企业风险管理涵盖了内部控制。企业风险管理除包括原内部控制的三个目标之外,还增加了战略目标;企业风险管理的八个要素除了包括原内部控制的全部五个要素之外,还增加了目标设定、事项识别和风险应对三个要素。(2)企业风险管理强调对风险的控制与应对。风险被定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),涵盖了信用、市场、战略、声誉、业务及财务等各种风险。风险管理包括风险计划、风险控制和风险应对。这三者共同构成一个完整的风险管理过程。其中,风险控制又分为外部控制和内部控制。内部控制是一种内部风险控制机制,内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下,所开展的各种控制活动。风险控制除了包括内部风险控制之外,还包括外部风险控制。(3)企业风险管理注重对风险的定量分析与管理。企业风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等新的概念与方法,因此,企业风险管理可以在基于概率统计的基础上,合理确保企业的发展战略与风险偏好相一致,从而帮助董事会和高级管理层实现企业风险管理的目标;而原来的内部控制只能在基于定性判断的基础上确保内部控制目标的实现。
三、目前企业风险管理工作存在的问题
(1)企业管理者及相关人员风险意识薄弱。加强企业环境控制与风险评估,是提高企业风险管理效率与效果的重中之重。而当前我国企业缺乏一种可以辨认、分析与管理风险的机制,往往出现为了追求高收益而盲目投资等风险。(2)现有风险管理机构不足以应对企业风险。我国企业风险管理机制设计较晚,现有的规章制度也是近几年开始施行,而企业面临的外部环境却变化很快。变化较快的经营环境使得风险管理机制的风险应对能力削弱,甚至失效。(3)风险管理机构组织建设不健全。国务院国有资产监督管理委员会的《中央企业全面风险管理指引》明确规定:企业应建立健全风险管理组织体系,主要包括规范公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。(4)风险管理机构缺乏真正独立性。作为企业内部审计的一部分,风险管理机构存在独立性不足的问题。尤其是中国大多数企业风险管理部门设立不完善、不系统,审计人员的职责不明确,企业风险责任归属不清晰,都造成了风险管理工作不可能起到真正的监督作用。
四、构建体现全面风险管理的内部控制新机制
(一)构建具有本企业特色的创新风险管理理念
将全面风险管理作为企业文化的一部分,全体员工在全面风险管理理念下共同努力。学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。
(二)构建切合实际的内部控制评价机制
传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来补。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。
(三)构建全新的内部控制组织体系原则
(1)全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,内部控制要遵循全面风险管理的原则,即:全员管理原则;全过程管理原则;全方位风险管理原则。(2)分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。(3)风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。(4)协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。
(四)构建符合内控要求的业务管理新制度
传统分散风险管理模式下,各职能部门制定了大量的所谓“全面”的制度,但制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。
参考文献:
篇2
【关键词】COSO,内部控制,风险管理,关系
随着当今市场经济的发展和经济全球化,更加剧了企业的竞争,从而加大了企业风险的形成。企业要想立于不败之地,必须借助于内部控制和风险管理。通过内控来防范化解内部的风险,通过风险控制来防范外部条件的变化对企业造成的威胁。
一、内部控制的内涵
内部控制的概念是在实践中逐步产生、发展和完善起来的。企业内部控制作为一项复杂的企业运作保障机制,其有效性则直接关系到企业经济效益的提高、企业资产的安全完整性和会计信息质量的改善等重大问题。因此,美国COSO 委员会在其《 内部控制一整体框架》 的报告中指出:“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程” 。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。COSO 报告提出的这个由“三个目标”和“五个要素”组成的内部控制的整体框架,是迄今为止被国际社会所普遍认可的最具权威性的内部控制定义。企业内部控制是企业的一种系统管理工程,它是通过一整套详细、具体的操作规范来约束企业各个环节、部门人员的经济行为,是一种规范的操作系统。
企业内部控制是衡量现代企业管理的重要标志。企业内部控制制度则是企业中最高的规范制度,企业内部的任何人都无权凌驾于内部控制制度之上,执行中的一视同仁、公平合理是内部控制制度得以贯彻执行的生命线。企业的内部控制制度就是企业经营运转的基本规矩,是检查管理者、各部门员工工作质量的尺度,也是衡量企业经济效益和管理水平的标准。由此可见,加强和完善企业内部控制制度是企业管理的客观需要。
二、风险管理的内涵
风险是指可能对目标的实现产生影响的事件发生的不确定性。风险管理就是采取一定的措施对风险进行检测评价,使风险降到可以接受的程度,并将其控制在某一可以接受的水平上。
企业风险管理是企业在实现未来战略目标的过程中,试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程,以确保和促进组织的整体利益的实现。到目前为止,COSO-ERM框架理论是最完备的并具有广泛适用性的风险管理理论。
根据该框架,全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。该框架认为企业风险管理应由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等8个要素构成,同时风险管理是由风险识别、风险评估、风险对策、风险监测等一系列环节组成的一个循环流程。
三、企业内部控制与风险管理的关系
在实践管理中,不能简单地将企业内部控制与风险管理等同起来,二者既有内在联系又有一定的区别,因此,我们要辩证地看待它们之间的相互关系和影响。
1、全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素。同时,也反映了两者在目标及组成要素方面有相同之处。两者都可以概括为力求公司股东价值最大化为目标,在组成要素上,有五个方面是重合的,这种目标和要素的一致性决定了内部控制和风险管理的原则、出发点与归宿点的相似性。
2、企业内控识别、控制风险的原理一致,都要由经营管理者实施。在分辨企业经营中存在的所有直接和间接的风险、确认各种风险的重要程度以及制订风险控制的策略、具体措施等方面,使用的理论基本上是相同的。内部控制的大部分工作都是经营管理部门的重要职责。同时,只有经营者将风险管理放在适当的高度,风险管理才能真正发挥作用。
3、企业风险管理是对内部控制的拓展和延伸。伴随着技术和经济的快速发展,使得内部控制走向企业风险管理。并且,企业风险管理是企业自身生存发展的需要。可以说,完善内部控制可以保证风险管理的效果,加强风险管理可以提高内部控制的地位。
4、企业内部控制的动力源自风险防范,是企业风险管理的必要环节,是实际操作的核心。内部控制的完整性、准确性和有效性直接决定企业风险管理的效果。企业开展风险管理工作应与内部控制相结合,把风险管理的要求渗透到企业各领域,带入到业务流程中。通过实施内部控制,我们可以达到完善治理结构,规范权力运行,强化监督制约,保证企业的资产安全,从而促进企业战略目标的实现。
5、企业内部控制并不等于企业风险管理。合理有效的内部控制只能提供合理而不是绝对保证,内部控制只能防范风险,不能转嫁、承担、化解或分散风险。在风险识别和评估基础上所建立的内部控制,只能规避经营管理活动中经常发生的错误和风险,但不能解决风险管理中企业所面临的所有风险。
从以上分析可以看出,内部控制和风险管理是密不可分的,完善内部控制可以保证风险管理的效果,加强风险管理可以提高内部控制的地位。实践证明,内部控制的有效实施有赖于风险管理的技术方法,而风险管理离开了内部控制作为手段支撑也将流于形式。我们只有发挥好企业内部控制与风险管理的协同作用,将内部控制与风险管理融为一体,才能更好地为企业发展保驾护航。
参考文献:
[1]李风鸣.内部控制学[M].北京大学出版社,2002.
篇3
关键词:高校;风险清单;风险管理;内部控制
一、高校内部控制与风险管理的关系
1.高校内部控制和风险管理的定义高校内部控制是其内部治理的重要组成部分,由内部环境、风险分析和评估、控制活动、信息与沟通、内部监督等活动构成,表现为与业务、财务相融合的组织管理结构、制度、程序和措施等,是高校为履行职责、实现目标、应对风险而实施的管理活动。高校的内控目标包括确保各项资金的安全运行,提高资金的使用效益,保障各项活动合法合规、资产安全完整、财务报告及相关信息真实完整,有效预防和防范舞弊腐败,办学服务效率和效果能得到提高。高校风险管理是指高校为实现相应的发展目标而面临不确定性,通过目标设定、识别风险和评估等风险管理活动,将风险控制在可接受的范围内,有利于提升管理和治理水平,同时减少对高校产生不利影响,从而提升管理水平,减少能对单位产生影响的不确定性因素。根据高校各个部门的职能和权力运行特点来看,风险多数集中在基建、资产管理、招聘、招生、科研等重点环节。2.高校内部控制和风险管理的关系高校内控和风险管理都是高校管理人员将经济业务作为对象,以期将学校战略与规划落到实处,而实施的一系列动态并且灵活的治理过程的集合。高校的风险管理包括内部控制,内部控制以风险管理为出发点,其控制目标、控制活动等依据内外部环境的变化而进行相应变化。高校内控与风险管理的目标和职能有很大的相关性,比如控制环境、控制活动以及风险评估等都是两者的相同内容。除此之外,高校风险管理包括风险反馈、目标制定等环节,内控是风险管理过程中的重要环节,而风险管理同时又覆盖了内部控制,贯穿于整个管理过程。所以,风险管理和内部控制工作一般是同时进行的,两者在运行过程中是统一并协同的。简而言之,风险管理是内部控制的延伸,内部控制的本质和核心就是风险控制。内部控制以风险管理为出发点,内部控制的发展是一个渐进的过程,内部控制的核心始终是风险管理,其目标、内容随着内部和外部环境的变化而变化,其本质就是风险控制。因此,高校的风险管理包括内部控制,是高校内部控制的延伸。风险意识和内控制度管理为完善高校控制系统提供了坚实基础,也是防范风险和高校风险管理的基础。高校的风险管理考虑的是整体的风险,而内部控制是单纯风险的防范和控制。风险管理涵盖了高校各个层面的发展战略,其目标不仅是为了保护资产和经营活动的平稳运行,还包括积极利用机会,寻求更好的发展机会。在内部控制和风险管理相互融合的框架体系中,内部控制的目的主要是为了控制整体的、全面的风险。内部控制侧重在控制手段上,风险管理侧重在控制目标和风险控制上,两者相互扩展和完善,最后建立一个完整的框架,实现控制风险的目标。两者在内容和形式上的区别和侧重,表明了有效整合的必要性。
二、高校内部控制与风险管理存在的问题
1.财务风险内控制度不健全风险内部控制体系是高校财务内部控制实施的关键。有效的工作体系是高校正常运营的保障,制度保障需要学校内部各部门积极配合。目前,高等院校在财务风险内控制度存在明显不足,仍存在局限性和片面性,无法形成系统化、规范化、可操作的制度框架。而且,高校没有制定完善的财务内控制度,且高校偿债风险防范制度不健全,必然降低高校财务风险应对能力。2.财务流程不规范财务流程规范化是制度落实的关键环节,虽然在高校的财务管理过程中,有关部门都相继出台了许多管理办法,但仍缺乏完善的财务业务流程。近年来一些高校内部也制定了相关流程,仍缺乏具体化的管控措施,办理程序及责任不清晰,大大影响执行效果。在组织控制活动方面,高校对关键岗位风险点的把握不够,缺乏对各个经济业务环节进行流程化管理。3.风险评估机制缺失随着高校的经营模式多样化,高校的招生、教学、科研以及基本建设等环节的财务风险不断增长。且近年来,高校资金来源逐渐呈多元化、复杂化趋势,高校面临的财务风险及考验越来越多。多数高校长期受事业单位机制影响,财务风险管控意识不足,未能积极有效地制定和落实财务风险评估机制,缺少对经济业务活动的风险监测和应对方案,导致应对业务和财务风险的能力不足。4.监督机制不完善高校的监管主要以内部监管为主,内部监管主要依靠纪检和审计两个部门,同时由于两部门业务及人力资源限制,难以做到监督工作全面化。且两部门的分工也容易造成内部财务管理监管的真空地带。审计部门一般只是对采购项目、基础项目建设、三公经费等重点内容进行审查,内控的监督及风险管理的范围受到限制,从而导致内控的监督和管理措施落实不到位。
三、嵌入风险清单管理的高校内控建设优化机制
风险清单是指组织根据自身战略、业务特点和风险管理要求,以表单形式进行风险识别、风险分析、风险应对、风险报告和沟通等管理活动的工具方法。其目标是使组织从整体上了解自身风险概况和存在的重大风险,明晰各相关部门的风险管理责任,规范风险管理流程,并为构建风险预警和风险考评机制奠定基础。从单位层面和业务层面以风险清单为工具方法,按照应用环境创建、目标设定、风险识别、风险分析、风险应对、风险报告和沟通、评价与优化的程序,通过风险管理基本框架的构建,来优化高校内控建设,使其符合高校特点的同时具有更强的可操作性。其中风险识别、风险分析、风险应对为关键环节。在风险识别环节,首先,查找可能影响高校正常运行的要素,如业务流程、规章制度、信息系统、人员素质等;其次,对查找出的要素进行深入的风险分析活动,判别是否存在风险;最后,梳理风险点,建立全面的风险清单。在风险分析环节,锁定识别出的单位和业务层面的关键风险点,对风险发生的可能性和风险后果的严重程度进行深入分析。风险发生的可能性分为高、中、低三个级别,“高”代表会影响高校的正常教学、科研等活动,对运营造成一定程度的影响;“中”代表能够进行正常的教学、科研等活动,但会对财务活动造成一定程度的影响;“低”代表对财务活动造成的影响较小。风险发生对目标实现的影响程度可分为高、中、低三个级别,“高”代表常常会发生,“中”代表某些情况下会发生,“低”代表极少情况下会发生。结合这两个标准,对各个风险点的总体风险度和风险等级进行分析和判断。在确定风险等级后,根据风险的大小确定相应的风险应对措施。确定为高等级的风险,需要进一步分析各个风险产生的原因,采取有效的控制措施将其降低至可承受范围内,并在后续的活动中持续关注该风险点的发展和动态;确定为中等级的风险,需要保持目前采取的控制措施,同时定期重新评估和分析风险;确定为低等级的风险,需要加强并坚持日常控制措施。
四、嵌入风险清单管理的高校内控建设优化措施
1.改善高校内部控制环境,增强风险防范意识高校风险管理是一个循序渐进的过程,成功与否主要在于高校管理人员和员工能否认知到风险管理重要性。高校管理人员必须充分认识到内部控制和风险管理的重要性,并且在制度体系构建上足够重视,落实责任,进而全面推行风险管理和岗位责任相融合,全员、全过程、全方位提高内控管理水平。特别是增强教职工风险意识,使大家在高校日常经营活动中认识到自己在风险管理中的职责,实现对风险的精准预测和有效控制,从根源上确保高校各项活动的有序推进。高校的内部控制环境,包括人员道德观念、能力素质、组织架构、人事制度及管理理念等,是高校风险管理的基础。一方面,需要重视人员的能力和素质培训,提高业务水平和能力,进一步提高财会人员的综合素质,加强沟通,创造和谐向上的工作氛围。另一方面,不断完善人事管理等有关制度,在人员聘用、培训、晋升等环节强化道德价值操守和风险管理意识,创造良好的管理控制环境,有利于促进高校自身的安全和稳定发展。2.健全财务内部控制制度,建设高校风险管理和预警体系高校应当基于自身需求,建立完善的内控制度,规范和控制经济业务活动,防范财务风险。高校管理层需要根据自身的办学特点和风险状况,对财务内控制度不断进行梳理并修订。同时对财务业务的主要流程和环节进行优化,加强制度建设,逐步建立起全面、系统的财务内控制度。另一方面,高校可以设立专门的内控管理部门,从总体上规划各项内部管理工作,从而确保有效发挥其功能和作用。以风险管理为导向的内部控制,最为关键的是风险防范。建立健全风险预警体系是高校内部控制与风险管理工作的重要举措。首先,构建全员、全面、全过程的风险管理体系,将财务风险预警不仅运用到高校投融资等工作中,还要落实到高校教学、科研、招生、就业等各个方面。其次,结合高校自身特点,不断收集并分析各种影响风险发生的信息,对高校发展与运营过程中存在的潜在风险因素进行动态追踪,实现事前、事中、事后的全过程监控,建立起动态的风险预警体制机制。最后,不断优化风险分析评估制度,完善高校风险预警机制,建立风险管理的长效机制,提高风险管理的效率与效果。3.多方位梳理完善业务财务流程,加强内部信息沟通高校在业务财务的规范化管理方面,要覆盖所有的业务财务流程,精细把控各个环节流程。利用流程化管理手段,将业务的各个处理流程细化,再分解到归口部门,以明确各个部门岗位的职责权限。同时为了有效提升内控制度的执行力,规范权力的运行,利用内部授权审批制度来实现制衡。随着风险管理和财务内控的积极推进,高校在对财务业务流程进行调整时,还需要考虑自身情况,重点关注借款、日常报销、绩效奖励、差旅费的审批流程、基础建设款项的审批、经费划拨审批,及一些其他特殊业务的处理流程。不断建立完善通畅的沟通机制,加强内部信息交流,特别是注重跨级沟通,实现上下级之间的平等双向沟通。具体可以通过以下手段来建立健全信息沟通机制:第一,建立内部开放式的信息系统,使员工能够第一时间反映相关情况,管理人员能够及时做出处理和反馈,从而为各级职能和教学部门提供有效参考;第二,建立投诉和投诉人保护制度,同时应给予适当的奖励;第三,成立内部小组,完善内部监督机制,定期召开通报会,分析错弊风险。同时,财务部门相关负责人应定期向学校管理层汇报工作开展情况,贯彻落实《高等学校财务制度》中的要求,从而将财务风险降到最低。4.强化内部监督机制,建立科学的内部控制评价机制运行有效的内部控制体系的建设和实施,离不开健全有效的内部监督机制。与此同时,监督和评价的结果也可以改进风险管理。因此,内控监管和评价制度的完善就成为关键。其中的首要工作是基于学校发展规划设立内控整体目标,把风险管理理念与高校业务活动进行融合,将内控目标、风险管理以及管理机制融合为一体,深入剖析流程,让高校各项工作更规范。另外,还需要通过自我评价、定期评估等方式对各个部门和岗位落实已分解职责的情况进行检查与评价,使高校内部控制能够接地气,能够真落实,能够有实效。高校通过内部、外部监督相结合的方式,依靠内部审计、纪检等进行常规和专项监察,同时借助外部审计机构、公众监督等,对学校的经济业务活动进行系统全面的审查。风险管理机构的设立是风险管理工作实施的基础,需要不断对风险管理机构、内控评价和监管制度进行优化和完善。深入调研学校的真实情况,制定高校内部控制整体目标,有效融合风险管理与高校业务活动,将风险管理、内控目标以及内部管理机制融为一体。同时,加强风险管理评估,根据实际情况,细分落实部门和岗位职责,检查评价控制情况。在高校的管理过程中实施全过程控制,实现内部控制与风险管理的有效融合。
五、结语
在高校的内部控制与风险管理工作中,运用风险清单的管理方法,将这两种工作结合在一起,通过对风险的规划、识别与评价,将内部控制与风险管理融合,从而更好地预防、规避和控制风险。同时,不断更新风险管理理念,树立风险管理意识,构建完善的风险预警体系和内部控制监督制度。在此基础上,将风险管理贯穿到高校教学科研、财务收支、业务管理、经营活动等各个领域,从而提高风险管理工作的质量和风险防范能力,规范高校的经济活动,促进高校的可持续和高质量发展。
参考文献
1.财政部关于全面推进行政事业单位内部控制建设的指导意见(财会〔2015〕24号).
2.管理会计应用指引第702号――风险清单(财会〔2018〕38号).
3.黄韬.高校财务管理内部控制的探讨.中央财经大学学报,2015(S2).
4.欧阳瑞聪.财务风险管控视角下的高校内部控制.财会学习,2017(02).
篇4
关键词:建设工程项目 风险管理 审计
开展建设工程项目风险管理审计既是落实国资委关于“中央企业开展全面风险管理指引”精神的需要,也是建设工程项目安全运行的内在要求,其意义无疑是十分重大的。但建设工程项目风险管理审计是一个全新的审计课题,涉及了多个学科领域的内容,在广泛意义上,风险无处不在,但如果把建设工程项目风险管理审计搞成一个包罗万象的工作,或者演变成其它的专项审计,就失去了它本来的意义。在目前状况下,开展该项审计的一个十分重要的工作就是要理顺审计头绪,明确审计的内容和程序,因为这个问题不搞清楚,建设工程项目风险管理审计难免会荒腔走板,或者主次颠倒。
一、建设工程项目风险管理审计的内容与对象
(一)关于审计内容
建设工程项目包括了从规划、立项、设计、招投标、合同、施工、物资采购,以及竣工验收等一系列重要过程,是否每一个过程的风险问题都纳入审计的内容,或者说都作为重点审计内容,这要对项目本身情况、工程项目各个阶段的风险特征,以及风险管理审计的内在要求等方面进行认真的分析。首先,就广泛意义而言,工程项目的规划、立项这二个阶段的风险无疑是工程项目最大的风险之一,但是,这些风险不但受更高层次的发展规划和投资战略决策的约束,而且受国家宏观经济政策的制约,项目规划和立项的风险是经济发展过程中所必须面临的风险,它不由项目本身的建设或施工过程来决定,因此规划和立项本身不构成建设工程项目风险管理内部审计的内容,而是构成审计过程中需要关注的影响因子。其次,项目设计阶段对工程项目产生的主要风险是项目的设计标准问题,它影到项目的防灾抗灾能力和投资收益能力,而设计标准又主要受项目规划(地方经济发展有联系)和立项的约束,因此,项目设计标准也不构成项目风险管理审计的主要内容,但是否按标准进行设计是审计关心的主要问题。另外,项目设计在整个建设施工过程中具有较强的动态特征,所以涉及到项目设计变更和设计过程中的不确定性是审计的重要内容。
根据前面的分析,这里可以对建设工程项目风险作如下定义:它是指建设工程项目从设计、招投标、合同、物资采购、施工、竣工验收等这一系列过程中,由于未来的不确定性对项目的质量、工期、事故责任体系和防灾体系的安全目标的影响以及由此引起的法律责任。这个定义包含了下列几个要点:第一,有限时期;风险发生在项目从设计到竣工验收整个建设施工期间,它不包括项目规划、立项和交付使用这三个阶段。第二,包括了纯粹风险和机会风险;在大部份的文献中,把风险定义为损失的不确定性,排除了机会风险,这与国资委的关于风险的定义有很大出入。第三,强调的是不确定性;对于确定性的损失或收益,就不能再当成风险问题。第四,约束目标的有限性;一方面,每个工程项目从不同的视角出发会有不同的目标,另一方面,对于一个建设工程项目,风险无处不在,无时不在,上述定义将风险约束于建设工程项目的质量、工期、事故责任和防灾四个基本目标,尽管这四个目标之间会有一定的因果关系和交叉关系,但这样定义仍然是有意义的,它不仅反映了建设工程项目自身的特征,也使风险管理审计目标更趋明确。第五,重视法律责任所产生的风险问题;法律责任贯穿了整个工程项目的建设周期。
(二)关于审计对象
首先,要分清风险管理与风险管理审计的区别,也就是说审计的对象是风险还是风险的管理。由于审计本身就具有管理职能,如果不能准确区分风险管理与风险管理审计,难免会使工作重复低效乃至于d俎代疱。按照国资委在“中央企业全面风险管理指引”的第十条要求,具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。由此可以看出,风险管理是内部审计部门自身承担的工作之一。内部审计部门从事风险管理,区别在于内部审计是对风险管理的职能部门和业务单位所从事的风险管理工作进行监督和评价,或者说内部审计更强调的是,对这些职能部门和业务单位的风险管理工作中的不确定性进行管理,从这个意义上说,风险管理审计是风险管理的风险管理。因此,风险管理与风险管理审计是同一管理过程在不同层次上的反映。
其次,要注意建设工程项目风险管理审计与建设工程项目审计的区别。建设工程项目审计是对工程项目管理全过程经济活动的真实性、合法性和效益性进行监督、评价和审核;它强调的是真实性、合法性和效益性问题,关注的对象是项目建设过程的中各项经济活动。而建设工程项目风险管理审计强调的是管理活动的充分性、存在性和有效性问题,关注对象是各项经济活动不确定性的管理,以及管理的不确定性问题,它要回答两个问题:一是对项目的不确定性问题是否进行了管理、管理是否充分;二是该项管理自身存在的不确定性是否会导致管理无效。
根据前面的分析,可以作出如下定义:建设工程项目风险管理审计是对建设工程项目从设计到竣工验收整个过程中,以保障项目的质量安全、工期安全、事故责任安全和防灾能力安全为目标,对各种经济活动的不确定性问题管理的存在性、充分性,以及由于该管理活动的不确定性而产生的管理的有效性问题进行监督、评价和审核。
二、建设工程项目安全风险控制与内部审计目标
建设工程项目具有投资大、建设周期长、专业性强、风险影响面广等特点,涉及土建、安装、信息化与通讯、调试等子项目,对这类项目进行风险管理是一个十分复杂的系统工程,因此,对内部审计而言,要想通过审计及时并准确地发现风险管理中存在的问题,提出有价值的建议和意见,而在审计过程中又要避免将风险管理审计脱变为一般意义上的审计,这将对内部审计人员提出十分严峻的挑战,从这个意义上说,必须要明确二个问题:第一是项目风险管理的审计目标;第二是项目风险管理的审计框架。
安全是建设工程项目风险管理的中心目标,从风险管理的角度看,安全目标约束于下列三个子目标:一是由质量和工期引起的建设项目投资安全风险;二是由施工过程中引起的事故责任安全风险;三是由自然灾害引起的防灾安全风险。这里,各种政治、经济和社会因素导致的风险、立项和设计导致的风险并没有被包括在安全目标的约束条件中,这是因为,政治、经济和社会风险必然会通过质量和工期等途径的传导,从而引起投资安全风险;又如前面所述,立项与设计风险它本身不由项目建设施工过程来决定,因此这些风险因素如果被纳入到风险管理的安全目约束条件中,有可能使风险管理审计演变成包罗一切的审计,进而造成了什么都审,但什么都没有审好的情形。
受投资安全风险、事故责任安全风险和防灾安全风险约束的工程项目安全风险是建设工程项目风险管理的内在要求,这也是风险管理审计区别于建设工程项目其它审计的最基本的逻辑关系。因而,围绕安全这个中心目标,紧紧抓做项目建设过程中的风险和风险管理不确定性这两个基本内容,建设工程项目内部审计目标必然是:内部审计人员要围绕工程项目的投资安全、事故责任安全和防灾安全这个中心,通过对职能部门和业务单位风险管理活动的存在性、充分性和有效性进行监督、评价和审核,及时、准确地向企业管理当局报告有关信息,适时地对从设计到竣工验收全过程各个环节的风险管理措施和控制缺陷提出建设性的意见和改进措施,协助管理人员更有效地管理和控制各种风险,并帮助企业相关部门和单位有效地担当起责任。
三、建设工程项目风险管理内部审计框架
目前,对于建设工程项目风险管理,审计什么,如何审计等等,这些问题往往与项目的常规审计和风险管理职能交织在一起,如果不能很好的设计其审计框架,难免将使建设工程项目审计失去其本来的价值。因此,在设计其审计框架时要遵循下面的指导思想:
第一,建设工程项目风险管理审计要体现综合性管理审计的性质,既要反映L险管理的本质要求,还要突出建设工程项目的内在特征,同时还要突出重点,有所为,有所不为。
第二,要以便于审计人员实际操作为基本设计目标。
第三,要为企业建立全面风险管理体系提供导向服务。
从前面的定义分析中可以看出,建设工程项目风险管理审计包括二个最基本的要求,一是对职能部门和各业务单位的风险管理活动的存在性、充分性进行监督、评价和审核,它主要考察这些部门和单位对待风险的态度;二是职能部门和业务单位的管理活动本身也具有不确定性,这种不确定性可能会导致一个构建良好的风险管理体系失效,必须对风险管理活动自身的风险进行监督、评价和审核,它主要考察这些部门和单位管理风险的能力。
通过对相关文献的研究和前面提出的三个指导思想,本文将审计框架设计成由目标、项目流程和风险管理构成的一个三维结构模型,每一个维度由若干个审计元素构成:
目标维(Z轴)是一组由四个审计元素构成的集合:
{质量安全,工期安全,事故责任安全,防灾安全};
项目维(Y轴)是由建设施工流程的六个审计元素构成的集合:
{设计,招投标,合同,施工,物资采购,竣工验收};
风险管理维(X轴)是由风险管理的七个审计元素构成的集合:
{环境,风险识别,风险评估,风险处置,信息沟通,内部控制,监督改进};
从上面的结构模型可以看出,各个审计元素在空间坐标系中构成了一个复杂的审计网络,网络中的每一个结点都构成了一个审计对象,为了便于实际运用,将三维结构模型划分为审计模块、审计单元和审计点三个层次:
审计模块。目标维中的四个审计元素(安全子目标)构成了四个审计模块:质量安全模块,工期安全模块,事故责任安全模块,防灾安全模块。
审计单元。审计单元是审计模块的基本构成单位,它是项目维和风险管理维中两两元素构成的一个集合。这样,每一审计模块下面都有6×7=42个审计单元,全部四个审计模块共包括了4×42=168个审计单元。如{招投标,风险评估}、{物资采购,风险评估}就是各个审计模块其中的二个审计单元。
审计点。项目维和风险管理维中的各个审计元素,都可以再分解为若干个作业点和控制点,它们的两两组合就是审计点,如在{招投标,风险评估}这个单元中,招投标又是由标底、开标、评标、定标等一系列作业点组成;而风险评估也是可能是由形成多个控制点,如专家评估、业务部门评估及审计评估等,作业点与控制点两两对应就构成了一系列审计点。审计点是审计框架的最小单位和审计模块(单元)的基本单位。
项目风险管理审计框架的价值在于,首先,它从项目安全的角度明晰了审计目标;其次,它通过对建设周期和风险约束状态的分析,为项目风险管理审计界定了明确的审计范围;第三,它从建设项目的三个维度出发,把项目风险管理审计划分为三个清晰的层次,为审计人员厘清审计思路、找准审计要点提供了可供依据的审计路径;最后,这一框架为风险管理职能部门和业务单位绘制了一张全面的风险控制图,使风险管理人员在最大程度上避免不必要的重大疏忽和遗漏。
四、工程项目风险管理审计的思路与路径
前面构建的项目风险管理审计框架由4大审计模块、168个审计单元、以及成千上万个审计点构成,要对每个审计单元和每个审计点都进行审计既无可能,也无必要,特别是像大型基础设施如电网建设这种类型的工程项目通常集成了多个不同专业的子项目,通常会包括土建工程、安装工程、信息工程、调试等子项目,使电网建设工程项目风险管理审计工作更趋复杂。同时必须看到,项目风险管理审计具有综合性审计的性质,但它不是全能审计,项目风险管理审计应当遵循它内在的要求和逻辑关系。因此,如何运用审计框架,提高审计效率是个必须要解决好的问题,这需要在框架的基础上设计审计的思路和路径:
首先,根据审计的时间点来决定项目风险审计框架的运用,并编制审计方案。由于建设工程项目的建设周期长,在不同时间段上的风险形式与特c具有较大的差异。事前审计、事中审计和事后审计要根据不同阶段的风险状况,对框架中的审计模块、单元及审计点进行筛选,抓做主要矛盾并在审计方案上要区别开来。
其次,要对项目风险进行预估。风险预估考验审计人员的专业判断能力,风险管理审计的专业判断需要根据风险管理审计的重要性问题,依照风险管理原则、方法,按风险管理目标的要求,运用专业方法对机构风险的范围、识别、评析、管理和处理方法等方面进行查证与鉴别,对风险管理及处理方法的合理性和有效性作出评价,捕捉风险征兆。缺乏风险预估的情况下筛选审计框架中的内容可能会导致重大审计风险的出现。在风险预估之前,审计人员要做好知识和信息二个准备,知识准备包括审计专业知识和工程专业知识,信息准备包括各种历史档案和前期审计调查内容等。
第三,要对风险进行分级分类处理。在风险预估后紧接着要根据风险管理的目标和要求对风险进行分级分类,风险分级可用风险发生的频率和危害程度为主要指标,将风险分为若干个等级;风险分类比较复杂一些,选取的指标不同,分类的差异很大,一般可按风险处置方式分类,如分为自留风险,规避风险、转移风险等;也可以项目的分部工程或单位工程把风险分为土建工程风险、安装工程风险、信息工程风险等。风险分类指标的选取无一定之规,但要紧扣目标。
风险进行分级分类的重要作用之一是在控制审计风险的同时,能够将审计框架中的审计数目最大程度地缩减下来。
第四,在运用项目风险管理审计框架时,可采取“自上而下”或“自下而上”的审计路径进行,所谓“自上而下”的审计路径,是指根据风险预估和分级分类后,先确定主要的审计模块,然后向下进一步确定审计单元和审计点;反之就是“自下而上”的审计路径。两种不同的审计路径反映了两种不同的审计思想,前者重视不同风险的相互作用,审计思想重在“面”上的控制,后者则关注重大的和关键的风险点,审计思想重在“点”上的控制。
最后,撰写审计报告要围绕项目安全这个中心,从风险管理职能部门和业务单位对待风险的态度和管理风险的能力这两个方面开展监督和评价,实际上,风险管理的存在性和充分性反映的是一个态度问题,而有效性反映了能力问题。
五、风险处置的审计
风险处置是风险管理流程其中的一个重要环节,由于我国开展风险管理的时间不长,企业在开展风险管理时更多的注意内部控制问题,或者把风险管理等同于内部控制,因此内部审计的重心往往也在内部控制方面,虽然出现这种情况可以追溯到相当多的合理成份,但如果不重视风险处置环节的审计,则风险管理审计与其它的常规审计就会出现趋同现象,浪费了审计资源,从这个意义上说,风险处置的审计是风险管理审计的主要内容。国资委的《中央企业全面风险管理指引》第二十六条,具体提出了风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等七个措施。这里将建设工程项目风险处置措施归为风险规避、风险自留和工程保险三个类型,内部审计人员要对这三种类型要作出如下评价:
第一,对采取某类风险处置措施的依据作出评价;
第二,对采用某类风险处置措施的具体方式作出评价;
第三、对采用某类风险处置措施的影响作出评价。
由于信息不对称,保险公司在承保工程项目风险的意愿受到很大的制约,可能会造成保险合同不公平现象,在可能的情况下,由保险经纪公司承揽工程保险中介服务的情况会成为常态,因此,将保险经纪服务也要纳入审计的范围。另一方面,风险管理的内部审计报告能很好地起到信息沟通作用,也为保险人和被保险对象之间搭建相对公平的平台。
上面关于建设工程项目风险管理审计是从它的一般属性上展开论述的,具体到不同的项目,其风险点的重要性排列会有差别,风险管理的目标也不尽相同,因此在审计的程序和方法上要有所区别,但其基本的审计框架是可以相互套用的,有一点需要注意的是,对某些工程项目,如电力工程项目、水利工程项目等,一旦出现风险事件发生,则有可能就是社会风险事件,理所当然地要提高风险管理目标的约束条件,在项目风险管理审计框架中的目标模块就要有相应的调整。
在审计实践中,往往遇到的情况是十分复杂的,在一个项目的风险管理审计前,对各种可能的情况事先作出估计,同时制订周密完整的审计方案和计划是审计工作成功的重要保证。
参考文献:
[1]国资委“中央企业全面风险管理指引”,2006年发
[2]美国coso制定.企业风险管理――整合框架[M].东北财经大学出版社,2005
[3]卓继民.现代企业风险管理审计[M].中国时代经济出版社,2005
[4]谭丽丽.固定资产投资控制与内部审计[M].中国计划出版社,2002
[5]蔡春,赵莎.现代风险导向审计论[M]中国时代经济出版社,2006
篇5
【关键词】水利工程;风险管理;全面
中图分类号: TV 文献标识码: A 文章编号:
水利工程的建设特点是工程规模大、投资额度大、建设工期长、影响因素多,在建设过程中不可避免地面临着自然灾害风险和社会风险,如台风、洪水、地震、海潮、地质灾害、战争、原材料、技术失误、判断错误等。因此,在工程建设的同时开展工程质量管理、投资控制和风险分析是现代水利工程建设管理的重要内容[1]。水利工程风险分析是指根据工程实际特点,针对不同建设阶段,研究评价各风险因素,确定风险级别,建立预警系统,采取风险防范和控制措施,以降低风险损失。因此为确保工程建设健康、有序地进行,开展水利工程项目风险评估和风险分析的研究就显得十分必要。
一、风险管理与水利工程风险管理理论
风险意识自古就有,现代的风险管理意识往往是在二战催发的,强调的主要是个人或组织在未来遇到伤害的可能性。水利工程风险管理而言,根据风险发生的不确定性特点,它涉及到不同社会主体之间的默契合作,指的则是在整个水利工程项目施工的全过程中,涉及到风险识别、预警,风险衡量、风险评估的整个流程,强调的水利工程风险主要是人为性的风险,涉及到水利单位纵向部门之间权责明,横向部门之间协调合作等问题,从而达到规避风险、减少损失的目的[2]。
由于水利工程工作的专业性特征,这一切都是为预控不确定风险做准备的,由于水利工程周期长,不确定因素多,与其他行业相比,这就更具突出性。水利工程项目风险的变化一般是很复杂的,监管难度大,寻租空间较大。水利项目工程风险处处显现,因此,水利风险管理的过程包括目标的确定、风险的识别、风险的评估、风险防范方案的决策、方案计划的实施、检查和评估反馈这几道程序落实的过程[3]。它要求鉴别风险的来源、范围、特征,本着防患于未然的要求,对于水利工程项目的风险防范决策,应关注风险源的确认,根据危险程度而确认风险发生次序,评估的基本前提是风险的分析。风险管理应用于水利工程项目管理的必要性在于对风险实施有效的控制和妥善处理风险所致损失的后果,有利于减少风险发生的频率和不确定性。针对己经识别出的风险,按照科学的程序予以评估,利于节约成本,减少损失,从而更加利于构建成本节约、风险弱化的长效机制。
二、水利工程风险的影响
由于水利工程的风险性很大,存在诸多的不确定因素,也很难对其进行科学的预测,因此对经济环境也会产生巨大的影响。主要表现在四个方面:
1、人员的伤亡,因为对员工的安全性不重视,安全设施不齐全以及工程负责人的责任意识差等。
2、耗费大量的人力财力物力,大多数工程都偷工减料,采用最差的原材料,缩短工期,只注重一时半会的使用,而忽略了工程的长期使用价值,这样就使得不停的要对工程进行维修,从而提高了其建设成本。而国外的水利工程,重视其长期的使用价值,很多都用了一个世纪以后仍然很好,这也是中国人在工程建设也外国人最大的区别。
3、环境污染严重,整天的工程建设,排放很多的粉尘和烟尘,污染了空气。废水的大量排放,水污染严重。
4、生态环境破坏严重,水利工程减少了河流的多样性,从而降低了生物群的多样性。
三、全面风险管理
水利工程项目的全面风险管理就是工程全寿命周期的风险管理,包括全过程、全要素、全风险、全团队的风险管理, 全过程风险管理是对水利工程建设的全过程(如立项阶段、勘测设计阶段、招投标阶段、施工建设阶段、运营阶段等)存在的风险因素进行管理和控制[4]。对于各过程中被评估为Ⅰ级的严重风险,考虑采取风险转移、风险控制、风险分散等措施降低风险发生的概率及其发生后的危害;对于Ⅱ级一般风险,则根据风险投资与效益的比例关系,考虑采取风险自留、风险规避或风险控制等措施降低风险危害;对于III级轻微风险,考虑风险自留、风险利用等控制措施。全要素风险管理是对影响工程项目风险的工期因素、质量因素、造价因素实现全方位风险管理。由于这3个因素是相互影响和相互转化的,因此要分析和预测工程项目中这3个要素变动与发展的趋势,还要控制这3个要素的变动,从而达到全面风险管理的目标。
全风险风险管理:一是分析、识别和确定工程的风险性事件;二是控制风险事件的发生和发展的过程,进行监测和跟踪;三是控制全风险的管理储备。根据专家给定的权重采用模糊综合评定法进行风险的量化或定性分析,实现全风险管理。全团队风险管理是指参与项目建设的利益主体包括项目法人或业主、设计院、监理工程师、造价工程师、承包商或分包商等共同实行风险管理。有时这些利益主体之间的各自利益会发生冲突,这就要求在工程项目的风险管理中,全面协调各个利益主体之间的利益与关系,将不同主体联合在一起构成一个全面合作的团队,并通过这个团队的共同努力,实行全团队风险管理。
结论:
水利工程的建设特点是工程规模大、投资额度大、建设工期长、影响因素多,在建设过程中隐藏着巨大的风险。因此,在工程建设的同时开展工程质量管理、投资控制和风险管理是现代水利工程建设管理的重要内容。水利工程风险管理是指根据工程实际特点,针对不同建设阶段,研究评价各风险因素,确定风险级别,建立预警系统,采取风险防范和控制措施,以降低风险损失、保证工程建设顺利进行。
参考文献:
[1]王山立.工程风险及其应对策略[J].露天采矿技术,2005,(3):47-48.
[2]孙 斌,宋吉荣.工程风险分析决策可靠性分析[J].四川建筑,2005,(4):150-151.
篇6
1 风险投资后管理概念辨析
投资后管理的概念在20世纪80年代被首次提出,针对风险投资的过程开展有效的管理,可以降低投资者的风险,保证其预期效益。风险投资过程涉及筹资和投资两个基本过程,投资后管理活动的开展通常是投资者与被投资风险企业之间的管理活动,因此在研究风险投资后管理的概念时,应当分别从投资者和被投资的风险企业两个角度出发。
从投资者的角度对风险投资后管理概念的研究,指的是风险投资协议签订以后,从风险资金拨给风险企业开始,直到风险资金退出风险企业的这一段时间内,风险投资者需要参与到风险企业的董事会,对风险企业的行为进行全程监控,并且给予相应的风险管理建议,从而达到投资效益的增值。从这个角度来说,风险投资后管理的内容,除了风险企业的管理行为以外,应当包括从签订协议生效起,一切与风险投资相关的活动。广义上的风险投资后管理涵盖的内容十分广泛,除了现金以外的其他管理活动都可以纳入其中,通过投资者的风险投资后管理,可以为风险企业的风险管理活动提供更多帮助,帮助风险企业更有效地抵御风险。
从被投资的风险企业的角度对风险投资后管理的研究,是狭义上的投资后管理,指的是风险投资者针对风险企业提供了各种管理活动的支持,如管理人员的培训、为风险企业提供的增值服务等,意在帮助风险企业快速成长,达到投资增值的目的。风险投资后管理是风险管理活动的重要组成部分,通过有效的投资后管理可以向风险企业提供更多理论支持和资本支持,对风险企业起到一定的激励作用,有利于促进风险投资效益的提升。
2 风险投资后管理的特点
2.1 投资后管理的主体是风险投资者
风险投资后管理的开展,主要是从投资者的角度对风险企业进行全面的监控和管理,因此其管理的主体是风险投资者,这与普通企业风险管理以企业管理者为主体的形式有所不同,这也是风险投资后管理区别于其他风险管理的主要特点。
2.2 管理的核心在于战略和策略
在投资后管理活动中,风险投资者会参与到风险企业的董事会中并且占有重要的地位,对风险企业的发展战略和策略的制定有着决定性的影响。通过风险投资者的参与,可以给予风险企业在市场、产品等方面更多的帮助,促进风险企业的健康发展。通常情况下,风险投资者不会参与到风险企业日常的管理活动中。
2.3 间接的管理方式
风险投资者在参与风险企业的管理活动时,往往只参加高层的管理活动,参与到风险企业发展战略和策略的管理中,只是通过自身的知识与经验为风险企业提供间接的管理建议,却不直接参与到风险企业的基层管理活动中。
2.4 投资后管理的直接目的在于实现效益增值
风险投资者与风险企业签订投资协议之后,二者之间便建立起一荣俱荣、一损俱损的密切关系,所以风险投资者往往都会积极地参与到风险企业的管理活中,帮助风险企业创造更好的发展道路,其根本目的在于实现资本效益增值。
3 风险投资后管理的内容
3.1 帮助风险企业寻找重要的高层管理人员
通常情况下,风险企业的首席执行官的选拔和培养需要风险投资者的参与,他们不会直接参与到人员的挑选过程中,但是会提出一些参考意见,以期帮助风险企业找到合适的管理者。
3.2 参与风险企业经营战略和计划的制订
为了有效地促进风险投资后管理的效益,需要提高风险企业自身在风险管理方面的能力,所以风险投资者自身的优势会影响风险企业的行业选择和市场定位,而且对风险企业经营战略和计划的制订都有着重要的影响。风险投资者可以根据风险企业的发展状况提出建议或者思路,帮助风险企业提升自身的风险管理能力。
3.3 帮助风险企业筹集后续资金
风险投资者在资本市场往往已经具有一定的筹资能力,可以为风险企业后续资金的筹集提供更多的帮助。为了实现有效地组合投资,风险投资家会利用其本身在投资行业中的地位和作用,与其他风险投资者进行联合投资,或者是在风险企业成长的过程中不断为其获取更多后续资金的筹集机会,以此促进风险企业的健康发展。另外,风险投资者与银行、保险公司等金融机构大多有密切的联系,因此可以为风险企业发行债券或者上市提供更多有利的帮助,可以使风险企业获得更多的资金来源,实现风险企业的资金源源不断地加入。
3.4 帮助风险企业拓宽供应商渠道
风险投资者不仅可以帮助风险企业挑选合适的高层管理者,打开市场,而且可以为风险企业提供更多供应商的发展渠道,可以为风险企业的生产和经营提供更多的帮助。在风险企业发展的初期,往往会遇到供应商紧缺的现象,而导致企业的正常生产受到影响,而风险投资者可以为风险企业提供更多应当怎样与供应商合作、怎样选择合适的供应商等信息,并且可以依靠自身在相关领域的地位,打消供应商的顾虑,从而促进风险企业的发展。
4 风险投资后管理分类模式及其构建
4.1 管理参与型
管理参与型投资后管理指的是风险投资者参与到风险企业的管理和活动中,对风险企业的管理经营方式进行必要的监管,有利于促进风险企业管理效率的提升。风险投资者参与到风险企业的管理活动中,目的在于降低风险,帮助风险企业提高风险控制能力,而管理参与的内容包括了影响风险企业管理效益的全部内容。管理参与型投资后管理可以降低风险、实现增值的主要原因在于,风险投资者作为投资后管理的主体,其本身具有很强的专业性。风险投资者的形成,大多具有多年金融机构的从业经验,并且具有较强的金融投资的能力,对于金融、创业等行业有独到的见解,并且接受过全面的管理培训和学习,因此他们可以参与到风险企业的管理活动中,并且为风险企业发展战略的制定提供更多可参考的建议,帮助风险企业认识到自身在风险管理方面的缺陷,从而采取有效的预防措施,将风险降到最低。管理参与型投资后管理的主要内容包括:风险投资者帮助企业制定科学的发展战略和经营计划,为风险企业的风险管理工作提出科学的建议,并且提供知识和经验的协助,帮助风险企业提高其自身的运营水平,满足风险企业运行的后续筹资需求等。
4.2 风险控制型
风险控制型投资后管理指的是风险投资者为了降低道德风险而对风险企业的运作情况进行必要的监控,以此来达到控制风险的目的。道德风险的形成,主要是由于风险投资者与风险企业之间的利益目标发生不一致,而且二者之间在信息的公开程度方面存在不对等,所以需要通过必要的风险控制对其进行治理。风险投资者采取的风险控制措施,可以降低信息不对等的程度以及其带来的不利影响,比如获取风险企业的管理信息、关于风险投资能力的通过及数据、对风险企业的投资进行全程监控等,可以有效地降低风险企业的成本。风险控制型投资后管理的控制内容,主要是风险企业的发展计划和战略,在风险企业运营的过程中,风险投资者拥有的控制权利可以有效地降低道德风险的出现概率,并且可以实现对风险企业的全面监控,包括对风险企业的投资决策、重大人动、财务状况、生产设备以及相关的营销方案等。另外,风险投资者也可以通过协议条款、分阶段监控、派驻董事等形式对风险企业实施必要的风险控制,在必要的情况下,风险投资者可以对风险企业的领导层进行任命和解聘,解决风险企业绩效下降和风险增加的问题。
4.3 网络运作型
网络运作型投资后管理主要有三种运作形式,即价值链网络运作型、风险企业组合网络运作型和风险投资者网络运作型。价值链网络运作型指的是借助社会的力量,将越来越多的风险投资者吸引到风险企业的投资中,一方面可以帮助风险企业投资者的队伍壮大,另一方面则可以帮助风险企业寻求更合适的供应商和客户,可以在风险投资者和风险企业之间建立起价值链的关系。对于风险企业来说,获得风险投资者提供的社会资源,对其稳定的运营与发展是至关重要的,尤其是在风险企业发展的早期,这些社会资源可以帮助风险企业增强实力,稳定市场地位。风险企业组合网络运作型指的是风险投资者会选择一个时间段,同时选择多个风险企业进行投资,而这些风险企业通常是集中在某个行业或者是相近的行业,可以形成较高的关联性,有利于创造更大的企业价值。风险投资者网络运作型主要是针对某些投资金额巨大、投资风险较高的风险企业,需要由多个风险投资者进行联合,或者是风险投资者与其他风险投资机构联合,可以形成更有力的风险控制体系。风险投资者网络运作的模式需要投入更多的风险控制费用,同时也可以为风险企业创造更大的价值。
篇7
关键词:内部审计;风险管理框架;应用
中图分类号:F239文献标识码:A文章编号:1672-3198(2009)03-0237-02
1引言
2004年美国反虚假财务报告委员会(COSO)颁布了《企业风险管理——总体框架》中,企业风险管理的定义是,由董事会和管理层在制定战略及在整个企业中实施的、用于识别可能影响组织的潜在事件并根据风险偏好管理风险,为组织实现目标提供合理保证的过程。它强调企业风险管理和内部控制体系整合,使二者共同成为公司治理的强大工具。内部控制体系中核心环节之一的内部审计承担了监督、评价、检查、报告和改进等任务,是企业风险管理不可或缺的组成部分。
2004年国际内部审计师协会(IIA)内部审计的定义将风险管理和内部控制、公司治理列为内部审计的工作对象,明确要求内部审计参与风险管理和公司治理过程,IIA《标准》确定了风险审计的方向。
2风险管理框架下风险导向审计的应用前提
在风险管理框架下,要发挥风险导向审计的作用,必须以风险管理为基础,改变审计思路,改进审计流程和方法。
2.1以风险管理框架为理论框架
COSO提出的ERM框架首先增加了战略目标,将企业风险的关注点引向战略问题;其次,在内部控制五要素(内控环境、风险评估、内控活动、信息与沟通、监督)的基础上增加了目标设定、事件识别和风险评估三个要素,与原来的风险评估要素构成了一个完整的风险管理过程;最后,还强调风险管理覆盖所有层次,包括业务单元、子公司、分支机构和公司的整体层次等内部控制的全部领域。可见,ERM是一个整合公司治理和内部控制的框架,它关注包括公司治理领域和内部控制环节的一切风险。
IIA通过修改内部审计定义加速了它的发展并使其成为现代内部审计发展的趋势。它是传统审计的发展,赋予为企业的风险管理提供保证的重要任务,因此,应该让内部审计和风险管理框架直接联系,实现协同效应。IIA《标准》对风险审计的规范和指导,极力倡导内部审计在企业风险管理框架中发挥不可替代的重要作用,即内部审计要在风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。
2.2以风险管理目标为审计过程的行动指引
全球化、技术更新、资本重组、变化的市场、竞争和管制等因素使企业经营面临着很多不确定性,现代企业管理的战略目标是增加企业价值,同时承受相应的风险。不确定性是对价值的破坏或增进,风险与机会并存,管理层把机会反馈到战略或目标制订过程中,以便把握住适合的机会。
COSO对企业风险管理定下四大目标:战略目标——高层次目标,与使命相关联并支撑其使命;经营目标——有效和高效率地利用其资源;报告目标——报告的可靠性;合规目标——符合适用的法律和法规。在这些目标指引下,风险管理过程就是要合理保证管理层及时了解企业实现目标的程度。依据IIA对内部审计的定义,风险导向审计的总目标是对企业所面临的风险进行管理,对内部控制和治理过程进行评估,将评估的结果反馈给管理层,从而帮助企业实现目标。其目标基本一致。
COSO风险管理框架扩展了风险管理的广度和深度,提高了企业管理层控制风险的地位,也提高了风险评估在企业经营中的地位,企业目标分为经营效果和效率、财务报告可靠性和法律法规的遵守程度,内部控制目标提升到企业战略的层次。风险导向审计对企业风险的监控是指对风险管理要素的内容和运行及一段时期内执行质量的评估,要求在企业风险控制监督过程中取得实效,广泛收集有关经营决策和风险状况的信息,评估各个待审计项目的风险,进而确定审计风险控制策略。风险导向审计的焦点体现在分析、确认和解释关键性的经营风险,使审计和企业风险管理策略紧密联系。
2.3采用新型的审计思路
传统的内部审计沿袭“自下而上”、“由点到面”的审计思路,风险导向审计则要求审计人员对企业的战略管理进行分析,对企业风险做出合理的专业判断,运用“自上而下”的思路,确定审计的范围、重点、审计目标和相关审计程序,通过实质性测试的结果,结合重要性判断来判断整个企业的风险并最终形成审计意见。
2.4以企业战略为审计起点
企业经营战略指导企业未来的发展方向,内部审计要把握好企业战略和长远规划,才能充分发挥其服务职能,从战略分析入手,按照“战略分析——经营环节分析——剩余风险分析”的思路展开风险分析,确定实质性审计程序的性质、时间和范围。它使得审计人员从战略系统观角度对企业保持和加强风险管理体系的竞争优势进行分析评价,指导审计重点、范围、目标和程序,从系统上改进了审计方法,以适应新经济环境的要求。
2.5以风险识别为审计主线
风险导向审计以风险识别为起点,通过事前分析评估,提出应对风险的方案并辅之事后总结,完善风险管理制度,并检查风险控制的有效性,及时揭示和报告潜在风险,提出防范措施和改进建议。
所谓风险识别是指在风险发生前,运用各种方法系统地、连续地发现风险的过程,了解企业存在的各种风险因素及其可能带来的后果,将风险识别运用到审计中,审计人员可以针对不同的风险程度采取不同的实质性测试程序和相应的风险控制措施。风险识别方法有很多,如环境分析法、财务报表法、流程图法、情景分析法、决策分析法、动态分析法、头脑风暴法等,多种方法可在风险识别过程中结合运用。
2.6以风险评估为控制手段
在风险管理框架下,内部审计的一个重要职能是协助建立和完善企业风险管理制度,对执行情况的有效性进行检查,及时揭示和报告潜在风险,提出防范措施和改进意见,因此风险评估是风险导向审计的重要手段。它有利于帮我们确定合理的审计程序,揭示被审计单位财务、经营等方面风险,并重点考虑形成这些财务数据的业务经营及其他影响因素等方面,搜集充分、适当的审计证据。非财务因素如企业的战略优势在哪里,未来发展前景如何,管理方式与经营理念是否合理,主要竞争对手是谁,重要客户是谁,人力资源素质怎么样,面临的法律监管环境如何及内部控制制度等。
风险评估的核心是分析性复核的运用。所谓分析性复核,就是以财务资料与非财务资料之间的表面关系或可预测的关系,评估财务信息的合理性,分析被审计单位的重要比率,包括这些比率异动及与预期数的差异,目的是评价业务的总体合理性。在多元因素评估过程中,还要将现代管理方法运用到分析性程序中去,使风险因素不再独立,常用的分析方法有:战略分析、绩效分析、财务分析、会计分析及前景分析等。
3风险管理框架下内部风险导向审计的应用过程
风险管理是一个动态过程,风险管理框架下的内部审计也是一个动态过程,且贯穿于企业管理全过程。
3.1理解风险管理是一个动态过程
COSO对风险管理的定义是“风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”。从定义可以看出,风险管理渗透于企业经营活动全过程且反复相互影响,风险管理机制的运作是一个动态管理的过程,与经营管理活动交互存在。我们看到,风险和机会有时会互换,也是动态过程,如果把握不好,机会将变为风险,如果控制及时,风险也会转化为机会。风险管理就是帮助管理层有效处理不确定性,规避风险、把握机会,提高企业创造价值的能力,这也决定了风险管理是个动态过程。
风险管理要素由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等八个相互关联的要素构成。这些要素来源于企业经营方式,各个要素之间相互影响、互相作用。例如,风险评估促进风险应对,并影响控制活动,突出信息和沟通的重要性。因此,风险管理是多方向且反复的过程,不同要素之间相互影响。
3.2风险导向审计贯穿于企业管理全过程
风险导向审计最终目的是为了完善公司治理,协助管理层应对风险、把握机遇,提升企业价值。它以风险为出发点,由传统的事后评价变为全过程的动态反应,为管理层提供及时有用的信息,为公司治理相关措施的有用性给予反馈,并提出建议。所以,风险导向审计是将各项管理经营活动整合成一个完整、相互约束和自我改善的体系。它运用立体观察的理论来判断影响企业经营风险的各种因素,从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来评估企业的风险水平,把经营风险植入到本身的风险评价中去,并贯穿于内部审计的全过程。
我国学者黄园园提出,企业管理活动可以划分为战略管理、管理控制和作业活动三个层面,风险导向审计贯穿于企业管理的全过程,内部审计通过作业活动层面的风险导向审计和自我控制评价了解企业风险状况和管理薄弱环节,进而向战略管理层或管理控制层提出管理建议,在战略层做出决策后向管理控制层或作业活动层提供管理咨询,并在获得授权的情况下协调作业活动层的改进工作。
3.3风险导向审计在不同风险管理水平的作用过程
风险导向内部审计与传统内部审计的区别在于其遵循的逻辑顺序是“目标风险控制”,同时根据企业风险评估调整审计战略,确定审计重点,紧密关注高风险的领域,以提供更相关、更符合管理层和董事会需求的确证信息。
在不同风险管理水平下,风险导向审计所发挥的作用不同(如表1)。在风险暴露阶段,内部审计建立在审计风险评估的基础上,采用风险管理方法;在风险察觉阶段,内部审计建立在审计风险评估基础上,协助建立企业范围的风险管理方法;在风险确认阶段,内部审计使用管理层的风险评估结果,促进风险管理的战略和政策的实施;在风险管理阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计;在风险管理融合阶段,内部审计建立在管理层的风险评估基础上,对风险管理过程进行审计。
当然,在不同风险阶段,企业风险管理水平是不断发展和变化的,在这种逻辑思路下,风险导向审计模式应根据不同的风险水平不断调整审计目标和重点,发挥不同的职能作用。
4结论与建议
4.1结论
在风险管理框架下风险导向审计的功能得到有效拓展,在促进风险管理、内部控制和公司治理方面都发挥了重要作用,成为企业风险管理体系的重要组成部分。因此,风险导向审计贯穿于企业管理全过程,必须突破传统观念,以企业风险管理框架为理论依据,改进审计流程和方法,与风险管理机制相融合,其审计模式在不同风险管理水平下应随之相应调整。
4.2建议
我国内部审计起步较晚,无论在理论研究还是实际应用,与西方内部审计存在较大差距。随着我国市场经济体制逐步完善和世界经济一体化,我国企业与西方企业面临着同样经营环境和风险,内部审计作为企业风险管理体系的重要环节,必将面临严峻的挑战。我们可以从以下三方面着手准备,为全面推广风险导向审计提供基础。
篇8
关键词:风险管理;内部控制;异同分析
风险,通常是指未来结果的不确定性,而这种不确定性又分为两种:一种是正面的,可能给企业带来收益,称之为风险收益;另一种是负面的,可能给企业带来损失,称之为风险损失。在企业的发展过程中,风险过度积累,就会使风险损失的概率增大,最终导致风险损失悲剧的发生。风险的存在是必然的,企业要想从根本上避免危机,就必须建立和完善风险战略,健全企业内部控制治理结构,树立科学风险发展观,坚持在风险收益的长期平衡中,实现可持续发展。在此过程中,就会涉及到内部控制的问题。而在我国,企业的内部控制与风险管理依然存在许多不足,在管理工作实践中,对于内部控制与风险管理的认识,存在各种分歧。
1 内部控制与风险管理概念的界定
1.1 内部控制的概念
所谓内部控制是指经济单位和各个组织在经济活动中建立的相互制约的业务组织形式和职责分工制度。一个单位为了实现其经营目标,达到经营管理活动的效率和效果,保证会计信息资料的正确性、可靠性,保护资产的安全性、完整性,确保有关法律法规和制度的实行,确保经营方针的贯彻落实,保证经营活动的效率、效益和效果,在单位经营活动中所采取的一系列方法、手续和措施,都属于内部控制。内部控制是加强经济管理的内在需要,为经济管理而产生,并在经济的发展过程中得到发展和完善。最初的内部控制主要是为保护财产的安全和完整,确保会计资料与会计信息的正确和可靠,其工作重点是在于钱物的分管,并严格工作手续,同时加强复核,从而达到控制的目的。随着商品经济的发展和生产规模的扩大,经济活动日趋复杂化,逐步发展成现代的内部控制系统。
1.2 风险管理的概念
所谓风险管理是指,如何在一个肯定有风险的环境里把风险危害减至最低的管理过程。风险管理是通过风险识别、风险估计、风险驾驭和风险监控等一系列风险活动来防范风险的一种管理工作。风险管理当中包括了对风险的度量、评估、应变及策略。理想的风险管理是一连串排好优先次序的,使当中的可以引致最大损失及最可能发生的事情得以优先处理。在现实情况中,优化的过程往往很难决定,因为风险和风险发生的可能性通常并不一致,所以要权衡两者的比重,以便做出最合适的决策。风险是由某种不利因素的产生并可能造成实际损失的发生,从而降低实现目标的效率的可能性甚至导致组织目标无法实现。
2 内部控制和风险管理的联系
风险的客观存在性是内部控制产生和发展的原动力,风险管理是内部控制的进一步升华,内部控制是风险管理的重要手段,它们在诸多方面有共同或相似之处,这两者的存在,常常使企业混淆不清。究其原因,是由于内部控制和风险管理两者本身存在着许多联系和共同之处。本文借鉴COSO的观点对其共同点进行分析。
2.1 两者的基础
内部控制和风险管理都是为风险而存在的,它们产生的基础都是企业发展过程中风险的客观存在性。在两者的实施过程中,它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责,分工协作,既独立,又牵制,权责分明。
2.2 两者的目标
内部控制和风险管理都为抵御和控制风险,为实现企业目标而存在。通过这两者的工作,使企业增强应对风险的能力,使企业得以持续发展,健康发展。通过分析对比可知,在风险管理的四类目标中,其中三类与内部控制目标是相吻合的,即它们的报告类目标、经营类目标和遵循类目标是相同的。只是风险管理的报告类目标相对来说有所扩展,它不但包括要求财务报告的准确,还要求所有对内和对外的非财务报告也要准确可靠。此外,风险管理不仅在于确保经营的效率与效果,而且存在于企业战略(包括经营目标)的制定过程。
2.3 两者的作用
良好的内部控制和科学的风险管理,都对单位经营活动的效率性和效果性、资产的安全性、经营信息和财务报告的可靠性具有保障作用。企业管理工作中对两者的运用,具有许多共同的作用:第一,有助于帮助管理者实现经营方针和目标。第二,有助于保护单位各项资产的安全和完整,防止资产流失。第三,有助于提高企业管理的科学性,满足现代企业管理的迫切要求,适应企业经营管理体制的需要。
3 内部控制与风险管理的区别
3.1 两者的范畴
内部控制从概念形成到框架确立始终都是围绕着会计与审计这个核心,并作为会计与审计工作的客观基础或条件而存在与发展的。内部控制通常依靠运用专门手段、工具及方法,防范与遏制非我与损我,保护与促进自我与益我的系统化制度,属于管理范畴。而风险管理,则是依照经济环境的变化,为应对大型风险甚至危机事件的普遍存在和发生发展的管理理论。风险管理是更具针对性、细节化的管理方法和手段,它更突出“风险”的识别和应对, 可以用于单独的事件、项目,也可以作为企业单位的长远发展战略。相对于内部控制来说,风险管理还具有战略目标的范畴。
3.2 两者的活动
内部控制是以专业管理制度为基础,实施的遵循性控制活动,无法防范管理层的非理性风险凌驾于管理制度以上的决策风险。在内部控制过程中,内部控制侧重于企业内部管理的细节,即企业董事会、管理层通过对企业内部组织的协调,使内部各组织达到牵制的效果,使各部门各职员形成牵制与监督,职权分明。而风险管理工作,注重防范和控制风险可能给企业造成损失和危害,同时把机会风险视为企业的特殊资源,通过对其管理,为企业创造价值,促进经营目标的实现。风险管理的活动通常更宽泛,既可以针对某一事件某一项目进行特别管理,也可以从大局、长远发展目标出发,对企业发展进行风险控制,进行风险管理。可以说,内部控制服务于风险管理,内部控制存在于风险管理活动之中。
3.3 两者的性质
从根本来说,内部控制与风险管理的性质是一样的,他们都服务于企业对风险的管理。但从微观来说,内部控制是企业内部采取的风险管理流程规范,仅仅是管理的一项职能,只是对目标的制定过程进行评价,主要是通过事后和过程的控制来实现其自身的目标。内部控制更多的是强调对内部的控制,使内部人员职权分明,职权牵制,以达到控制风险,提高对风险的抵抗力。而风险管理的目的是要及时地发现风险、预测风险以及防止风险可能造成的不良影响,并设法把这种不良影响控制在最低的程度上。风险管理,除了对内部风险的控制外,还从远景出发,从制度上、宏观上为企业的安全和发展提供理论依据,形成企业特定的风险文化风险战略。这种风险管理理论,更多的是为企业管理高层服务。
4 构建现代企业内部控制和风险管理体系,防范和化解企业风险
有效的管理体系,能够使企业各项经营管理活动有效的进行,在认识了内部控制和风险管理的基础上,树立风险意识,构建现代的企业内部控制和风险管理体系,对防范和化解企业面临的风险,具有重要作用。
4.1 建立合理的组织机构
管理的主体是人,建立合理的科学的组织机构、完善的控制环境,是实施内部控制制度和风险管理的关键。没有科学合理的内部控制组织机构,就不可能有效的运行内部控制。必须科学设置内部机构,构建符合风险管理理念。任何科学的理论决策都是广大人民集体的智慧结晶,没有科学完善的组织机构,使企业各部门各自为战,就难以发挥集体智慧的作用。建立合理的机构组织,使各组织合理发挥在各自岗位的作用,职权分明,有利于保证企业目标的实现。
4.2 建立一个有效的风险预警系统
建立有效的风险预警系统,增强企业风险适应能力。当今企业间的竞争日益激烈,企业风险不断提高,风险影响着每个企业的生存和发展。企业必须建立有效的风险预警机制,预测未来可能的风险,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险,结合风险承受度,权衡风险与收益,确定风险应对策略,进行风险转移、风险规避等,以有效地防范和控制风险。
4.3 建立内控监督机构,加强内控队伍建设
建立内控监督机构, 加强内控队伍建设,提高高层领导者的管理水平。内控监督机构应当对每个岗位每个部门以及每项业务都要实施全面监督和反馈, 实现与行政管理交叉控制, 加强内部监控。内部控制的特点要求必须被监督,因为监督能够随着时间的推移而评估制度执行的质量,只有施行切实可靠的监控,发挥监控的作用,才能及时发现和解决内部控制过程中出现的问题,才能使风险管理切实得到落实,使企业长久而稳定的发展。
4.4 改进内部控制与风险管理框架
企业在管理工作中,首先要借鉴COSO框架, 引用外国先进思想先进理论,结合我国实际情况,改进企业内部控制和风险管理。其次,企业应加大对内部控制环境的关注度。良好内部控制环境的关键是治理结构的完善,同时高层管理者应增强内部控制和风险防范意识, 注重企业文化建设, 充分发挥内部审计在企业风险管理中的作用, 灵活运用各种管理控制方法。最后,是合理运用内部控制和风险管理。在企业的管理工作中,不能为管理而管理,不要按部就班,应根据企业的实际情况实际规模,对内部控制与风险管理的侧重有所区别,对内部控制与风险管理的具体工作和投入,应根据企业发展的具体阶段具体情况进行合理运用,突出重点。
4.5 强化风险意识
一些企业的内部控制之所以失效, 很大程度上缘于缺乏良好的内部控制环境,风险管理意识淡薄。对于高层管理者,如总经理、执行董事,缺乏制约能力,而企业往往会因为缺乏对公司高层管理的有效控制和监管而带来风险。企业应自上而下地树立风险管理意识,强化风险管理,改变过去重收益、轻风险的落后观念。
参考文献:
[1] 张坤.风险管理与内部审计[M].北京:化学工业出版,2011.
[2] 叶陈刚,郑君彦.企业风险评估与控制[M].机械工业出版社,2009.
[3] 王如燕.内部控制理论与实务[M].中国时代出版社,2008.
[4] 刘伟华.风险管理[M].中信出版社,2002.
[5] 郭晓莉.以风险管理为导向的企业内部控制[J].国际商务财会,2010(7).
[6] 李岩.企业内部控制与风险管理辨析[J].合作经济与科技,2010(17).
[7] 赖章奎.内部控制与企业风险管理关系之探析[J].管理观察,2008(13).
[8] 宋常,丁卫.企业风险管理与内部控制关系探微[J].学术交流,2007(2).
[9] 周兆生. COSO 企业风险管理框架(中文版)[R].华融资产管理公司,2007.
篇9
关键词:内部审计 现代企业 风险管理
中图分类号:F239.45 文献标识码:A
文章编号:1004-4914(2010)08-256-02
随着经济全球化及国际化程度的加深,企业经营环境日趋复杂,经营风险大为增加。企业、行业之间的竞争日益加剧,如何防范风险,加强风险管理,已成为企业经营者面临的重要课题,建立和完善风险管理体系已成为企业生存发展的重要而紧迫的任务。作为内部审计,由于其在企业董事会及其审计委员会和加强企业内部控制的特殊性,在风险管理、内部控制以及公司治理、组织运营中的地位与作用日趋突出,成为关系企业成败兴衰的重要因素。内部审计具有相对独立性,更能从企业全局角度,清醒识别与评估风险,比外部审计更能切实地提出防范风险的有效建议。本文从内部审计参与企业全面风险管理的几个方面进行探讨。
一、内部审计参与企业风险管理定位概述
1.内部审计是组织内部的一种独立客观的监督和评价活动,通过审查和评价经营活动及内部控制的适当性、合法性和有效性,来促进组织目标的实现。
2.风险管理是对影响到策略或目标达成的风险进行辨识、分析,并作出应对和决定愿意接受的风险程度。企业风险管理是一个过程,决定一个企业的风险管理是否有效,是基于对风险管理要素设计和执行是否正确地评估基础上的主观判断。企业的风险管理要有效,其设计必须包括所有的要素并得到执行。
3.企业对于风险的管理应该从总体上来考虑。风险管理部门是企业的专职部门,隶属于管理部门,独立性不够强,而现代企业中的内部审计部门独立于管理部门,可以更独立地对风险进行评估,并将建议直接报送董事会,所以提出的建议会更有权威性。因此内部审计随着我国企业风险管理规范的逐步完善,参与企业风险管理已经成为趋势,二者的有效融合使企业能够有效地应对不确定性以及由此带来的风险和机会,增强企业创造价值能力。
二、内部审计参与企业风险管理的现状
当前,内审部门的作用还仅仅停留在查错防弊,集中在财务领域中,未有效深入到管理和经营领域,只强调确认和测试控制完整性,而不重视强调确认和测试风险是否得到有效管理。审计建议侧重于强化控制、提高控制效率和效果,很少涉及规避风险、转移风险和控制风险,内部审计无法做到通过有效的风险管理,提高企业整体管理效率和效果。
企业对企业风险管理的认识,不全面,不深入,没有形成较系统的风险管理体系和科学的风险管理策略。管理层对风险管理工作的滞后和不正确的认识严重影响了企业的长远发展和战略目标的实现。
风险管理机制需要内部审计参与到管理及经营中,进行全面、及时的接触、交流和沟通,有效开展风险管理审计。
三、内部审计参与企业风险管理的发展趋势
1.内部审计部门自身发展的需要。由股东投资形成的企业资产的受托责任,向来就是重要的审计问题。对出资人负责必然导致企业风险的大小成为所要关注的重要信息,对风险管理进行审计成了必不可少的内容。
内部审计通过参与风险管理,可以全面评估企业的机会和风险,甚至可以在董事会允许的情况下制定风险管理战略,这样就会使内部审计部门从传统的被动服务方式向主动服务方式转变,进而使内部审计部门成为企业中的一个重要的角色。
由于内部审计部门更熟悉本企业的企业文化、发展战略、内控情况、经营管理手段、各部门的职责与权限等,对于参与风险管理、实现企业目标会有更强烈的责任感,这些差异会弥补其在经验上的不足。因此,内部审计部门更适合参与本企业的风险管理。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。
2.现代企业内部控制建设的需要。随着经济全球化及国际化程度的加深,企业面临的经营风险大大增加。减少企业面临的风险是组织实现目标的关键。没有良好的激励、约束机制,没有健全的公司治理结构,不仅使企业生存危机加重,也会使审计风险增大。内部审计作为企业内置的一个职能部门,必然应当成为企业风险管理的有效组成部分,风险管理审计会从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全,关键的控制点、执行是否有效,控制薄弱环节的治理和改进措施的可行性等提出认定,评价风险管理与控制对企业目标实现的影响程度。
四、内部审计参与企业风险管理的作用分析
1.检查与评价。内部审计可以通过运用风险管理方法,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层或审计委员会提供帮助。其中包括确定风险领域,评价风险控制程序的有效性,检查风险管理过程的效果。
2.管理与协调。内部审计能够客观地从全局的角度管理风险,能从组织的利益和实际出发,清醒地识别和评价风险,提出防范风险的有效建议。内部审计可以凭着其对组织全面而深入的了解,对风险管理过程进行管理和协调,促进被审计部门经营和管理的改善,赢得他们的信任和尊重。
3.顾问与咨询。由于内部审计人员对本组织的情况最为熟悉,对其提供咨询有独特的优势。内部审计可以通过发现评估并运用风险管理的方法,帮助组织解决风险问题,通过咨询积极协助企业风险管理过程的建立或使风险管理过程的建立成为可能。内部审计可以在改善管理层的风险管理流程的效果和效率方面,协助管理层和审计委员会进行检查、评价、报告和提出建议。管理层和董事会对于本组织的风险管理和控制流程负责。
4.报告与防范。审计发现如何传递,审计成果如何利用,舞弊风险如何防范,所有这一切将直接关系到内部审计在风险管理监督体系中的价值和作用。内部审计在风险控制和改进组织机构的效果方面要发挥其领导作用。一方面,内部审计要与相关部门进行沟通,对风险管理过程的充分性和有效性进行检查、评价并报告,对重大的审计发现要按清晰传递的线路进行报告,对监督检查结果的落实情况要进行跟踪并报告,使风险及时得到控制和防范;另一方面,内部审计可以通过评估相关控制的充分性和有效性来协助防止舞弊,可以利用其自身的优势在倡导良好的道德文明建设方面发挥更大的作用。
五、内部审计参与企业风险管理的流程
风险环境分析。通过评价企业的发展战略、经营计划以及宏观经济政策的变化和行业政策的变化等到影响企业的经营风险、财务风险,内部审计人员作出风险分析,并进一步考虑企业的风险管理措施能否适应形势,同时将分析的结果报送相关部门。
风险确认。风险确认就是在各种风险发生之前对这些风险的类型及发生的原因作出判断,以便实现对风险的估价和处理。内部审计部门不仅要明确企业内外部环境中存在什么样的风险,还要找出这些风险的原因。要区别不同情形,不仅关注企业内部风险,还要充分考虑企业外部风险。比如:财务和经营信息的不真实、不完整;各种规章制度及标准执行不到位;资产流失、浪费;影响企业的战略重组等,这些都要经过仔细甄别,按照风险水平得到有序确认。
风险评估。风险评估就是对已识别的风险事件进行定性分析或定量分析,来评价某一事件发生的可能性以及产生的影响。很多情形下的风险是不容易计量的,它可以采用概率和统计的方法进行风险估价,也需要主观判断不同结果发生的可能性,这就要求审计人员需要利用自己的经验,从客观的角度分析评价风险,进而提出专业的意见。
风险控制。风险控制就是使风险降低到企业可以接受的程度,当风险发生时,不至于影响企业正常的生产经营。企业可以根据不同的风险来选择要采取的策略和方法,决定应该避免风险、接受风险还是降低风险。内部审计人员可以通过评价风险回报的合理性以及减少风险的有效性,来测试企业风险控制程序的有效性,并提出建议和改进措施,将风险降低至可以接受的水平。
风险监控。环境的变化会导致风险的变动,企业通过对内部控制系统运行的监控以及风险处理结果的评价,对风险管理进行持续的监控,保证风险管理的持续有效。内部审计人员通过对新的环境和风险的分析,来评价企业内部控制制度是否适应新的风险。
信息沟通。内部审计部门还需要将风险管理的相关信息及时告知管理层和相关部门及组织,通过信息的传递,可以使董事会和审计委员会等监督者了解风险管理的情况,使内部相关部门意识到存在的问题以及改进的方法,使外部相关利益主体对企业的风险管理产生信任。
六、内部审计参与企业风险管理的具体思路
1.明确内部审计的定位。实践中,企业应当将内部审计部门参与风险管理写入内部审计的章程,以正式的书面文件来进行规定,并得到企业高层的批准,就会使内部审计部门有了一个崭新的定位,新的定位有利于内部审计部门参与企业风险管理,进而提供独立的建议和评价。
2.营造良好的风险管理审计环境。要想有一个良好的风险管理审计环境,首先要求建立健全风险管理审计制度体系。制度体系的健全和完善,是降低审计风险的关键。企业应树立全面风险管理的新理念,根据自身情况制定符合自身特点的风险管理评价标准体系,规范管理部门、经营部门业务流程责任人的监督行为,在实际运用中还应进一步改进、深化风险管理审计的内容,并随着企业内外环境的变化而作出相应调整,持续不断地保证营造良好的风险管理审计环境。
3.内部审计应向风险导向内部审计方向发展。根据国际内部审计协会对内部审计的最新定义,内部审计是通过评估和改善组织的风险管理和控制的效果,为组织增加价值、促进其实现目标的。传统的控制导向的内部审计已经远远不能满足需要,现代内部审计除了关注传统的内部控制之外,更关注有效的风险管理机制和健全的公司治理结构。在风险导向为基础的内部审计观念下,年度审计计划与管理最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,分析、确认、揭示关键性的经营风险,成为内部审计的焦点。通过实现从“控制导向型”向“风险导向型”的转变,特别关注企业重大风险并且控制薄弱的领域,以此来加强风险管理与内部控制。进一步通过对风险的把握来评价企业风险管理和内部控制,提高整体管理效率和效果。
4.增强审计风险意识,建立健全审计内控管理制度。加强审计风险理论体系的研究,强化审计风险教育,增强审计风险意识。首先,审计机构和审计人员主观上必须高度树立风险意识,审计计划的安排要以风险导向为基础,要以满足审计质量要求为前提。其次,要建立健全审计内控管理制度。良好的审计内控管理制度是降低审计风险的有效保证。审计内控应贯穿企业风险管理审计的全过程,即从风险管理审计立项到审计终结,形成一个比较全面的审计质量保障体系,从制度上规范审计主体的行为。出台具体的风险管理审计操作规定,指导审计人员规范操作。实行审计资料承诺制、审计复核稽查制和审计责任追究制等到内控管理制度,尽力规避审计风险。此外,内部审计还应借鉴当前国际上先进的内部控制研究的经验,对机构的内部控制进行有效监督,不断改善企业的内部控制制度,为企业开展风险管理奠定良好的基础。
5.创新风险审计技术和方法。先进的审计技术和方法的运用,有利于提高审计效率,保证审计质量。针对企业风险管理审计有别于常规的财务收支审计,因此要加大审计技术方法的创新力度,建立与风险管理审计相适应的现代审计技术和方法体系,强化以电子计算机技术为核心的现代技术与方法在风险管理审计中的应用,以审计方法的高技术含量达到提高审计质量、防范与降低审计风险的目的。
6.培养、造就一批胜任审计工作的审计人员。审计人员的审计工作扩展到风险管理审计,审计范围拓宽了,风险管理工作的复杂性决定了内部审计人员知识的全面性。所以,企业开展风险管理审计在很大程度上取决于审计人员职业道德素质的高低,具有良好素质和技能的审计人员能够较好地完成审计任务,降低审计风险。审计人员应当强化风险意识,保持较高的职业道德水准,树立严谨踏实的工作作风,以确保审计质量;审计人员还要定期接受培训,只有不断更新知识,提高分析、判断、解决问题的能力,才能保证审计工作质量和审计工作效率。
参考文献:
1.王晓霞.企业风险审计.中国时代经济出版社,2005
2.罗秀然.企业内部审计职能探究.审计文汇,2006(9)
3.孟英姿.内部审计在企业风险管理中的角色定位.集团经济研究,2006(9Z)
4.刘秀梅.浅议单位内部审计与风险管理.商业会计.2006(5)
5.王亚琴.内部审计参与企业风险管理研究.当代经理人,2006(11)
6.松岩.强化内部审计,完善公司治理.财会通讯,2004(10)
篇10
【关键词】 风险管理; 内部控制; 财务保障措施
一、国内外关于风险管理及内部控制的理论背景
(一)国外关于风险管理与内部控制的理论与实践
风险管理与内部控制是两个既有区别又有联系的概念,在实践中难以完全隔离,并且随着时代的发展逐步产生、发展和完善。
在20世纪30年代,美国企业为应对经营中的危机,许多大中型企业在内部设立了保险管理部门,负责安排企业的各种保险项目。可见,当时的内部控制和风险管理主要依赖保险手段。
1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究,发表了题为《内部控制,协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,第一次对内部控制作了权威性的定义。1955年,美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。
20世纪70年代中期,基于美国“水门事件”调查结果,立法者和监管团体开始对内部控制问题给予高度重视。为了制止美国公司向外国政府官员行贿,美国国会于1977年通过了“国外腐败实务法案(1977)”。该法案除了反腐败条款外,还包含了要求公司管理层加强会计内部控制的条款,该法案成为美国在公司内部控制方面的第一个法案。1978年,美国执业会计协会下的柯恩委员会(Cohen Commission)建议,一是公司管理层在披露财务报表时,提交一份关于内控系统的报告;二是外部独立审计师对管理者内控报告提出审计报告。1980年后,内部控制审计的职业标准逐渐成形,逐渐得到监管者和立法者的认可。
20世纪80年代以后,随着企业面临风险的复杂多样和风险成本的增加,法国从美国引进了内部控制和风险管理体系,日本也开始了风险管理研究。此后20年,美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会通过了“101条风险管理准则”,这是风险管理走向实践化的一个重要文件。1992年9月,美国COSO委员会了《企业内部控制――整合框架》。此后,这份框架被纳入政策和法规之中,并被各国数千家企业用来为实现既定目标对所采取的行动以更好的控制。1995年由澳大利亚和新西兰联合制定的AS/NZS 4360明确定义了风险管理的标准程序,这就是通常说的澳新ERM标准,标志着第一个国家风险管理标准的诞生。
多年来,人们在风险管理实践中逐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。然而,尽管很多企业意识到全面风险管理的重要性,但是对全面风险管理的理解仍存在较大分歧,已经实施了全面风险管理的企业则更少。美国安然公司倒闭案和世通公司财务欺诈案,促使企业的风险管理问题受到全社会的关注。2002年7月,美国国会通过萨班斯法案(Sarbanes-Oxley),要求所有在美国上市的公司必须建立和完善内控体系。该法案被称为是美国自1934年以来最重要的公司法案,在其影响下,世界各国纷纷出台类似的方案,加强公司治理和内部控制规范,加大信息披露的要求,加强企业全面风险管理。2004年9月,COSO《企业风险管理――整合框架》(Enterprise Risk Management-Integrated Framework),该框架拓展了内部控制,更加关注于企业全面风险管理这一更为广泛的领域,并成为了世界各国和众多企业广为接受的标准规范。
(二)我国关于风险管理与内部控制的理论与实践
到目前为止,世界上已有30多个国家和地区,包括所有资本发达国家和地区及一些发展中国家如马来西亚,都发表了对企业的监管条例和公司治理准则。在各国的法律框架下,企业有效的风险管理不再是企业的自发行为,而成为了企业经营的合规要求。中国在这方面的研究始于20世纪80年代。一些学者将风险管理和安全系统工程理论引入中国,在少数企业中试用并取得比较满意的效果。但中国大部分企业缺乏对风险管理的认识,也没有建立专门的风险管理机构并进行制度建设。
我国系统的内控制度建设是在颁布了《会计法》之后。1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求,财政部随即连续制定了《内部会计控制规范――基本规范》等7项内部会计控制规范。从更广泛的管理意义上来说,内部控制和风险管理真正形成法规,是受美国2002年安然事件、世通公司财务欺诈案及随后美国的萨班斯法案的影响。2006年经国务院批准,成立了企业内部控制标准委员会。同年6月6日,国资委了《中央企业全面风险管理指引》,这是我国第一个全面风险管理的指导性文件,意味着中国走上了风险管理的中心舞台。2008年6月28日,财政部、证监会、审计署、银监会、保监会等五部门联合了《企业内部控制基本规范》,并自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。《规范》的,标志着我国企业内部控制规范体系建设取得重大突破,有业内人士和媒体甚至称之为中国版的“萨班斯法案”。
二、风险管理与内部控制的有效整合
(一)风险管理理论
本文中的风险是对公司既定战略目标产生影响事项发生的不确定性。风险分为公司层面风险和业务层面风险两种。公司层面风险是指属于公司层面整体关注的,影响公司全局和公司整体目标实现方面的风险;业务层面风险是指产生于各具体业务活动,影响具体业务活动目标实现方面的风险。
风险管理,指为了合理保证企业战略目标的实现,将企业整体风险控制在偏好之内,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,以对重大风险的管理和重要流程的内部控制为重点,凭借信息化平台,采用与风险管理策略相适应的组合技术或工具所进行的准备、实施、报告、监督和改进的动态连续不断的过程。企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行业务管理的基本流程,培育良好的内部控制环境,在运行过程中不断识别、查找风险,分析风险成因,对风险进行评价,为实现企业管理的总体目标提供合理保证。由风险管理决策层和经营层确定风险管理策略;由风险管理执行层完成对公司层面风险的分解和管控。
(二)内部控制理论
本文所研究的内部控制是指公司为实现财务管理目标,保障严格遵循国家有关法律法规和有关部门监管的要求,确保财务信息真实可靠,保护国有资产安全和完整,保证公司整体战略目标实现,提高公司财务运营的经济性、效率性和效果性而制定和实施相关政策、程序的过程。控制措施是指根据风险识别和分析结果,确保公司内部控制目标得以实现的方法和手段,其贯穿于经营活动的全部过程,包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,并受企业董事会、管理阶层及其他人员的影响。
(三)风险管理与内部控制的辩证统一
在内部控制体系中,内部控制是手段,风险管理是前提;风险管理是实质,内部控制是延伸,是实现企业经营目标的保障。同时,开展内控工作,一定要从风险管理的角度出发,因为内控工作的实质就是对风险实施控制,内控不能完全与企业的风险管理脱节。
认识内控在目标、手段、应用范围、风险对象方面的局限,有利于更好地使用内控,更有效地管理风险;有利于内控与其它管理手段的结合,认识内控的风险管理本质;还有利于扩大内控的应用范围,将内控的原则应用于其他的领域。
(四)财务内部控制与全面内部控制的关系
企业全面内控包括管理控制、业务控制和财务控制三部分,财务内部控制是企业全面内控的重要组成部分,受企业内控要素的直接影响,属于企业全面内控体系的支撑子体系。但是,作为能够全面反映企业经济业务活动情况的财务管理环节,财务内部控制又具有其相对的独立性,企业内部控制体系的建立可以从财务内部控制入手,逐步推开。
三、电力企业财务内部控制体系建设的主要内容
电力企业内部控制体系架构的总体思路由实施目标、指导思想、基本思路、实施重点、实施步骤等五个方面构成。
(一)实施目标
1.合理保证公司经营管理合法合规;
2.确保将经济风险控制在公司可承受的范围内;
3.确保公司财务报告及相关信息真实完整;
4.确保公司规章制度和各项决策部署得以贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,促进公司实现发展战略;
5.确保建立针对各项重大风险发生后的危机处理计划,保护公司不因灾害性风险或人为失误而遭受重大经济损失。
(二)指导思想
以科学发展观为指导,紧紧围绕建设“一强三优”现代公司战略目标,通过实施内部控制的基本流程,培育良好的风险管理文化,建立健全基于财务风险管理的财务内部控制管理体系。
(三)基本思路
在已有的内部控制制度的基础上,对现行业务流程进行梳理,分析评价公司的内部控制即全面风险管理的现状,完成风险识别、分析、评价,建立风险数据库,提出风险策略,制定风险对策,对内部控制制度进行优化和改进,包括:对现有内部控制中的空白部分进行补充;对现有内部控制中存在缺陷的部分进行完善;实现内部控制的规范化和标准化,保证内部控制的可操作性。
(四)实施重点
1.风险评估。在梳理业务流程和确定流程目标的基础上,识别影响流程目标实现的相关风险,分析形成原因,对风险发生的可能性和影响程度进行评价,锁定各项业务流动中的重要风险。
2.控制设计。根据风险识别和评价的结果,选择风险策略,制定风险对策,完善公司相应控制措施,优化业务流程,实现对风险的有效控制。在工作中,重点突出对重要风险的关键控制设计。
3.与政治安全风险管理的结合。经济风险往往与政治风险相伴相生,查找经济风险点的同时关注政治安全风险点,结合电力企业开展的政治安全风险管理工作,充分交流沟通,发挥协同作用。
4.与信息系统的融合。结合电力企业目前开展的ERP系统咨询,将风险管理的理念与方法融入信息系统,将关键控制措施通过ERP系统固化在流程中,依托信息系统实现有效控制。
(五)实施步骤
财务内控体系建设工作分四个阶段进行。
第一阶段为项目启动阶段。这个阶段应明确项目实施的任务和重点;成立内控工作组织机构,确定成员,并对成员进行内部培训;根据内控建设任务编制访谈提纲和访谈名单,并实施访谈;发放调查问卷,总结分析问卷调查结果。
第二阶段为现状梳理阶段。重点为:收集并整理分析内部控制相关资料;编制网省公司本部业务流程目录;编制网省公司本部现行业务流程图;编制试点所属分子公司业务流程目录;编制试点所属分子公司现行业务流程图。
第三阶段为评价阶段。主要为:对网省公司本部现有业务流程进行初步风险控制分析;对网省公司本部现有业务流程内部控制状况进行测试,评价内部控制状况;对试点所属分子公司现有业务流程进行初步风险控制分析;对试点所属分子公司现有业务流程内部控制状况进行测试,评价内部控制状况;编制内部控制评价报告。
第四阶段为完善阶段。主要为:系统识别、分析、评价各项风险、确定风险应对策略;补充完善控制措施,对现有业务流程进行优化;编制风险监控与风险预警体系文件;编制电力企业财务内部控制相关制度;编制电力企业财务内控管理手册。
四、财务内部控制体系保障措施
财务内部控制管理模式涵盖了电力企业价值链的核心环节,监控了各类经济业务环节的风险状况并给出管理策略。在新管理模式的推行过程中,还必须设计与之匹配的保障体系,通过必要的保障机制,在整个电力企业中灌输风险管理思想,引入风险管理理念,运用风险管理工具,实施控制措施,以辅助新的管理模式的顺利实施。
(一)财务内部控制组织保障
在现有财务部机构设置的基础上,进一步完善综合部职责,同时,明确财务部对下属单位内部控制监督管理职责。综合处设置内部控制岗位,对财务风险评估及预警、内控测试及评价、内控监督及改进提出工作计划,讨论批准后组织实施;对公司财务风险管理和财务内部控制工作担负组织管理责任,对各分(子)电力企业内部控制工作实施监督和指导;负责电力企业财务内部控制手册的更新等工作。
(二)财务内部控制绩效考核体系
为了充分发挥基于风险管理的财务内部控制管理模式的保障和促进作用,除了引入自我检查、自我改进的方法和机制外,纳入考核体系尤其重要。建立财务内部控制自我评估体系,明确评价范围、测试方法、评价标准等内容,并将评价结果与绩效考核挂钩,在考评总分中要占一定分值,其直接影响考核结果。同时,根据动态管理的原则,适时调整评价内容和标准。通过全员考核加强员工风险意识,使员工自觉主动识别风险源。
(三)财务内部控制文化建设
电力企业承担着重要的社会责任,同时还需完成国有资产保值、增值的主要目标,在此前提下,电力企业应采取审慎且保守的风险文化,风险管理理念横向和纵向渗透。风险管理和内部控制是电力企业自上而下的流程管理,通过文化渗透的方式,使每一个财务人员都能充分认识到自身的风险管理责任,履行全面风险管理工作职责,自觉防范和控制风险。
1.风险无处不在,风险管理全员参与;
2.风险既是威胁,也是机会,防止过分畏惧风险而放弃发展创新的动力;
3.加快科学技术应用研究,解放生产力,并承担相应风险;
4.目标的实现源于对风险的有效管理和持续的改进;
5.提倡科学辨识、主动揭示、及时报告风险的“透明”文化。
电力企业应致力于塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理融入企业经营管理的活动之中,大力提高风险管理水平,逐步使电力企业成为关爱员工、勇于承担社会责任、业绩卓著、广受尊敬的输配电企业。