时间:2023-08-30 16:46:09
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险管理的基本流程,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
论文关键词:风险,全面风险管理,风险管理框架
一、引言
中国自2001年加入WTO以来,中国对外开放不断深入,从十六大召开后,中国企业进入了对外开放新阶段,纷纷加大了“走出去”的战略步伐。随着企业跨国经营和全球化进程的加快,企业面临的不确定因素加大,如一度被视为明星企业的中航油,2004年折戟狮城,损失5.5亿美元,折射出企业风险控制能力的薄弱,在企业界引起极大的震动。面对惨重的教训,企业的经营理念也悄然发生了转变,避免灭顶风险比获取超常收益更重要,这是企业界的共识。尤其在经历了2007年以来的史无前例的经济危机后现代企业管理论文,风险管理被受到前所未有的重视,然而企业在开展风险管理的过程中,发现不同版本的风险管理框架差异较大,如何选择适合企业自身的风险管理框架是摆在企业面前的实际问题,本文拟对目前国内外比较具有影响力的风险管理框架进行分析和比较,以期为企业实施全面风险管理提供帮助。
二、全面风险管理框架比较
目前国内外具有影响力的风险管理框架有美国COSO(Committee of Sponsoring Organizations of the Treadway Commission)于2004年9月的《企业风险管理—整合框架》(以下简称COSO风险管理框架)。国际标准委员会于2009年颁布的《ISO/FDIS31000风险管理—原则和指引》(以下简称ISO31000),该风险管理标准是在2004年修订的澳大利亚/新西兰风险管理标准(AS/ NZS 4360)的基础上制定的。中国有国资委于2006年6月颁布了《中央企业全面风险管理指引》(国资发改革[2006]108号)(以下简称《指引》)。本文拟从风险和风险管理概念、风险管理流程、风险管理架构等内容对三个框架进行比较分析。
1.风险概念比较分析
COSO风险框架将风险定义为“风险是指一个事项将会发生并给目标实现带来负面影响的可能性”,而事项是源于内部或外部的影响目标实现的事故或事件,事项可能有正面或负面的影响,或两者兼而有之。从COSO对风险的定义可以看出,负面影响的事件为风险,正面的影响的事件为机会,强调风险的负面作用,并将目标明确分为战略目标、经营目标、报告目标和合规目标。这种分类方法有助于企业关注风险管理的不同侧面,满足企业增长和报酬以及监管者的要求。
《指引》认为企业风险是“指未来的不确定性对企业实现其经营目标的影响”,这里的影响包括正面的和负面的或者是两者兼有论文下载。并将风险明确指出对经营目标的影响。因此从风险的定义上可以看出,《指引》对企业风险的定义明确指出对经营目标的影响,经营目标是与经营战略相对应的目标,这可从《指引》后面提到的风险管理策略的制定要和经营战略相适应,经营战略是属于业务层面的战略,可以看出《指引》中企业风险更多指业务层面的风险而言的。
ISO31000将风险定义为“不确定性对目标的影响”。并指出影响是指实际与预期的偏差,可是正面的或负面的或两者兼有。并表明目标可以有不同方面,如财务、健康和安全以及环境目标,可以体现在不同的层次,如战略、运营、项目、产品和流程层面。从ISO31000对风险的定义描述可以看出ISO31000对风险的定义更加全面,兼顾了传统的财务、健康、安全以及环境风险,表明了风险的两面性,即正的作用和负的作用。
从以上比较来看,各风险管理框架对风险的定义基本上达成共识现代企业管理论文,即风险是不确定性对目标的影响,区别是目标的范围不一样和风险的两面性上。《指引》特指经营目标,COSO将目标分为战略目标、经营目标、报告目标和合规目标,ISO31000目标范围更加广范,可以指不同方面,也可以指不同层面。
2.风险管理概念比较分析
COSO 认为“企业风险管理是一个过程,它由一个企业的董事会、管理层和其他人员实施,应用于企业战略制定并一直贯穿到企业的各项活动中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为企业目标的实现提供合理保证”。根据企业风险管理的定义可以发现COSO所指的企业风险管理覆盖的企业活动的范围包括战略制定活动。
《指引》认为全面风险管理,“指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。《指引》中的风险管理的总体目标,包括战略目标、经营目标、报告目标、合规目标和危机管理目标。与企业风险的定义相适应,风险管理的定义也是围绕经营目标的实现,而展开了一系列活动。
ISO31000认为风险管理指“对指导和控制组织有关风险的活动进行协调”,即所有跟风险有关的指导和控制活动都称为风险管理,涉及不同层面不同范围。
从以上比较分析可以看出,《指引》的风险管理覆盖的范围相对较窄,而COSO,强调风险管理不仅包括经营层面的活动而且包括战略制定活动。ISO31000的风险管理涉及任何与风险有关的指导和控制活动,涉及的程度和范围更加广范。
3.风险管理流程比较分析
COSO风险管理流程包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。COSO框架的风险管理流程始企业内部环境,并认为内部环境影响组织中人员的风险意识,是企业风险管理所有其他构成要素的基础。COSO将目标设定作为风险管理流程的一个关键要素,并明确指出目标设定是事项识别、风险评估和风险应对的前提条件。在识别和评估影响业绩的风险必要的措施来管理风险之前首先要设定目标。COSO区分四种类型的目标:战略目标、经营目标、报告目标和合规目标。
《指引》风险管理基本流程包括现代企业管理论文,收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。信息与沟通贯穿于整个流程中。《指引》并未在风险管理流程中提到目标的设定,但是从风险的定义、风险评估可看出其中暗含着目标设定的内容。
ISO31000风险管理基本流程包括沟通与协商、建立环境、风险评估、风险处理、监控与回顾,如图1所示论文下载。ISO31000将沟通与协商是整个风险管理流程的首要因素,旨在采用一种工作团队的工作方法,为风险管理建立一个适合的环境。通过与内外部利益相关者进行充分的沟通与协商有助于有效识别风险、不同领域的专业知识被用于风险分析、风险评估标准的建立、风险管理计划的执行和风险管理流程的变更等,确保整个风险管理过程中能充分理解和考虑利益相关者的利益。另外,ISO31000将环境建立作为风险管理流程的一个重要步骤,环境建立包括内外部环境的建立、风险管理流程环境的建立以及风险评估标准的建立。该步骤使风险管理活动与内外部环境相匹配,并在组织内建立了风险管理的组织基础和范围,如界定风险管理活动的目标和风险管理流程的责任、风险管理的范围、广度和深度以及风险评估的有效性和风险评估的标准等。
图1. ISO31000风险管理流程
从以上对各标准的风险管理流程来看,内容上基本相同,区别之处所反映的理念存在差异,COSO强调内部环境和目标设定,ISO31000强调沟通和协商以及环境的建立,《指引》强调信息收集,在整个风险管理流程中贯穿信息与沟通的内容。
4.风险管理架构比较分析
COSO风险管理架构保留了其内部控制框架的三个维度结构,即目标维、风险管理要素维和管理层级维,并在此基础上进行了拓展,目标由内部控制框架的3类扩展为4类,即除了经营目标、报告目标和合规目标外,增加了战略目标。风险管理要素由内部控制框架的5个扩展为8个,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。管理层级包括整个企业、职能部门、业务单位和分支机构4层。目标、要素和管理层级之间的关系为:各管理层级是风险管理主体,目标是企业努力实现的对象,风险管理要素是目标实现的步骤,企业的各个管理层级都要按照风险管理的8个要素为4个目标服务。
《指引》的全面风险管理框架包括总体目标、风险管理文化、风险管理流程和全面风险管理体系四个组成部分,其中风险管理体系由风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统构成。风险管理总体目标除包括COSO的四大目标外,还增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失”的应急管理目标。《指引》清晰提出风险管理的三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。但《指引》四个部分内在的逻辑关系表述的不是十分清晰。比如:建立全面风险管理体系是先建基本流程还是先建立体系没有界定清楚。风险管理基本流程中和风险管理体系中都有风险管理策略的内容现代企业管理论文,二者的内涵是否一致,并没有阐述清楚,风险理财措施属于风险管理工具或方法之一,它与组织职能体系、内部控制系统的内容不在一个管理层面上。对于全面风险管理体系中最重要的目标政策体系的没有突出。风险管理的目标政策对风险管理基本流程、风险管理体系和风险管理文化三个部分具有指导和引领的作用,但是在指引中没有独立章节表述,相关内容也不够详尽。
ISO31000风险管理架构定义为“为整个组织设计、实施、监控和检查与持续改进风险管理提供基础和组织安排的系列要素”。其中基础要素包括“管理风险的政策、目标、授权和承诺”。组织安排包括“计划、领导、职责、资源、流程和活动”。风险管理框架被植入到组织的整个战略和运营政策的制定和实践活动中。ISO31000风险管理框架如图2所示。
图2. ISO31000风险管理架构
ISO31000风险管理框架建立了风险管理原则、风险管理架构和风险管理流程之间的关系。如图3所示。风险管理原则为建立风险管理架构提供指导方针论文下载。风险管理架构中的管理政策,程序和活动,系统地应用到风险管理流程中,同时风险管理流程应在风险管理架构中通过风险管理计划,成为组织各个层面和活动的组成部分,并得到实施。从风险管理原则可以看出,ISO31000风险原则除了包括COSO和《指引》的风险管理理念外,还提出风险管理成为决策的组成部分,充分体现风险管理的重要性。价值的充分体现。
图3. 风险管理原则、风险管理架构和风险管理流程之间的关系图
三、比较分析结论与实施建议
根据全面风险管理的目标和覆盖范围,全面风险管理可以划分三个阶段,初级阶段、中级阶段和高级阶段。初级阶段主要关注经营目标,在企业内开始导入全面风险管理,风险管理的理念、方法和工具处于试用阶段,企业内部需要逐步形成统一的风险语言和广为接受的风险管理方法、措施、政策、职责分配以及风险管理流程和关键经营活动融合的过程,风险管理处于探索和价值逐步接受过程。风险管理中级阶段,风险管理逐步被接受,且提出了更高的要求,将风险管理提升到战略层面,和战略进行整合,保障战略目标的实现,发挥风险管理的价值创造和价值保持作用。风险管理高级阶段,风险管理应用于决策过程,为决策提供信息基础,并有机的与企业的内外环境、组织、文化和战略相融合现代企业管理论文,并随着内外部环境的变化而变更,成为企业的竞争力的重要来源。
从以上对各全面风险管理框架的概念、流程和架构的比较分析可以看出, ISO31000风险管理标准风险管理的范围和理念以及整个框架相对比较完善,适用于风险管理高级阶段。COSO风险框架将风险管理提升到战略层面,适用于风险管理中级阶段,但COSO风险框架仅提出了风险管理的要素和风险管理的目标,并未提出风险管理体系。《指引》适用于风险管理初级阶段。ISO31000风险管理标准解决了以上所有的问题,阐述清了风险管理原则、风险管理构架和风险管理流程之间的关系,为全面风险管理的实施扫清的障碍。
因此,中国中央企业在全面建设风险管理框架时,以《指引》为基础,充分参考与借鉴COSO的目标设定内容以及ISO31000的风险管理标准的内容,使风险管理流程和风险管理体系有机融为一体。同时应该指出《指引》的内容是适应中国企业风险管理实践而制定的风险管理框架,随着风险管理实践的开展,企业应提升风险管理的范围,即将战略制定活动和保障战略目标的实现纳入全面风险管理的范围。最后,在实践中充分贯彻ISO31000风险管理的思想和内容,使风险管理向更高的阶段迈进,从而不断提高企业自身的风险管理能力和增强企业的核心竞争力。
参考文献:
[1](美)COSO,方红星,王宏译.企业风险管理—整合框架[M] ,大连:东北财经大学出版社,2007.
[2]国有资产管理委员会.中央企业全面风险管理指引(国资发改革[2006]108号)
一、有关《国家电网公司安全风险管理体系实施指导意见》的概述
《实施指导意见》共5章25条,包括总则;教育培训;作业安全风险管理;企业安全风险管理;电网安全风险管理;阐述了国家电网公司安全风险管理体系建设的基本原则;强调了开展安全风险管理教育培训的重要性及主要内容;说明了作业层、企业层、网省公司及总部层开展风险管理的基本流程和内容。这标志着国家电网公司关于安全风险管理体系建设的一些重要问题,如基本原则、体系内容、工作机制、重点要求等,有了一个比较系统、科学的阐述,和实事求是的定位,对于公司各单位立足实际,正确理解和开展安全风险管理工作,具有指导作用。《实施指导意见》基本原则和思路可以概括为24个字6句话:“坚定方向、理清思路、分清层次、分清专业、弄懂会用、持续改进”。
二、电力市场稳定性与风险管理措施
1、首先我们要坚定风险管理的发展方向。我们知道,安全管理的实质是风险管理,我们现阶段在公司系统中开展安全风险管理,实施危险源辨识、风险分析、风险评估、风险控制,逐步建立基于闭环过程管理的安全风险管理体系,这个体系的建立既是现代企业安全管理发展的必然方向,也是我们实现安全“可控、能控、在控”的客观要求。通过大力开展宣传动员和教育培训,使各级人员弄懂学会风险管理的基本知识,理解风险管理的意义、作用、内容和流程,供电公司各项工作,我感到抓的特别紧也特别实,我们现在搞宣传培训,实际就是在做这项工作,通过学习和培训来提高我们自身安全风险分析能力和安全管理控制水平。
2、理清风险管理的工作思路。在这方面,我们要坚持“以人为本、实事求是、注重实效、稳步推进”的基本原则,还要贯彻“分专业、分层次、抓培训、理流程、建机制、抓落实”的工作思路,(为此我们要)高度重视安全风险管理教育培训工作,奠定安全风险管理的良好基础。
3、建立分层次的风险防控体系。按照各自管理职责和工作特点,不同管理层次负责控制不同程度和类型的安全风险,逐级落实安全责任。一各部门有各部门管理的安全风险,班组长有班组长管理的安全风险,员工也即直接操作者邮资机的安全责任,逐级落实安全,责任具体来说,在工作中要掌握好一个首要任务和一个目标,首要任务就是供电企业以防止电网大面积停电事故作为首要任务,重点防控大面积停电风险;目标是无论供电企业也好、还是基建施工单位都要以提高员工安全意识和风险防范能力为目标,重点防控人身伤亡、设备损坏、供电中断事故风险;基层班组、工区、个人重点控制作业过程中的违章、误操作、人身伤害等各类作业安全风险。
4、建立分专业的风险防控体系。就是要发挥安全生产“三个组织体系”的共同作用。三个体系——安全保证体系、安全监督体系、安全责任体系,通过发挥三个组织体系的共同作用)形成专业配合并各负其责的安全风险防控机制。各级安监部门牵头制定安全风险管理总体方案和工作计划,组织开展宣传培训和风险评估,监督落实风险防控措施;那么,调度、生产、营销、基建等部门要按照“谁主管,谁负责”原则,负责管理范围内的电网、供电、人身、设备等各类安全风险的辨识、分析和防控工作,落实各自职责和义务。前面是分层次管理,这条是分专业防控。
5、弄懂学会风险管理的基本方法。要弄懂学会风险管理的基本方法作为每位员工来讲我们就要加强理论学习,正确理解安全风管理工作。因为它是对以往安全工作和现有安全管理手段的总结、提炼、延伸,是突出预防为主、实施过程控制、改进管理绩效的科学手段。通过学习并结合日常安全工作实际,学会并自觉运用风险管理的方法,达到发现危害、控制风险、预防事故、保障安全的目的。作业中存在的危险源是可以预控的。一般来说作业中存在的危险源可以分为两大类:一类是显现的危险源,通过现场考察或认真预知就可以发现。例如:正因为人们知道电气作业会有触电危险,所以事先戴好绝缘手套、穿好绝缘鞋,与带电体保持一定的安全距离。登杆作业前,人们也会预感到存在的坠落危险,因此,上杆之后,小心地挂好安全带。另一类是潜在的危险,因此,这就需要进行科学地辨识预控。潜在的危险也是一种客观存在的事务,只要是客观存在的事物,人们就有能力去认识它和控制它,这就需要我们加强安全理论学习,弄懂学会风险管理的基本方法。
6、建立持续改进的工作机制。应该建立一个怎样的风险管理工作的机制?建立完善有效的安全风险管理体系,关键在于持之以恒、常抓不懈、不断改进。认真组织制定各阶段工作计划和实施方案,严格按照计划和方案开展工作,注重加强过程监督和偏差纠正,在总结提炼的基础上,采取切实有效措施,实现下一轮工作的持续改进,这样才能不断提高企业安全管理水平。我们还要有条不紊地推进安全风险评估管理工作。
三、电力市场稳定性与风险管理结论
我们根据《实施指导意见》开展好安全风险管理体系建设,从坚定风险管理的发展方向、理清风险管理的工作思路、建立分层次的风险防控体系、建立分专业的风险防控体系、弄懂学会风险管理的基本方法、建立持续改进的工作机制等几个方面浅析了电力市场稳定性与风险管理的措施。加强理论学习,正确理解安全风管理工作,《实施指导意见》指导下学会并自觉运用风险管理的方法。
关键词:商业银行 全面风险管理 工作原则 基本架构
中图分类号:F830.33 文献标识码:A
文章编号:1004-4914(2013)04-210-01
商业银行是经营风险较大的特殊企业,随着对风险的认知和把握能力的不断提高,在稳定、发展和盈利动机的激励下,对风险管理的需求也不断提升。建立和完善全面的风险管理体系已经成为商业银行急需解决的重大课题。
一、全面风险管理的内涵及现状
全面风险管理,包括信用风险、市场风险、操作风险在内的风险管理体系,是对各种风险、各业务品种、流程各环节实施全面风险管理,具体有:市场风险、信用风险、流动性风险、业务操作风险、法律约束风险、会计财务风险、信息资讯风险、经营策略风险等。商业银行现行的风险管理存在许多的不足。
第一,内部控制体系存在弊端。大部分银行未设立独立的专业化部门承担风险管理,更多的是依靠非独立专业部门负责或由各个专业内部控制。在全行范围内,往往没有形成针对风险的统一的政策标准,各职能部门之间缺少必要的沟通协调,操作风险管理处于分散、割裂状态。第二,商业银行现行的风险管理方法和手段落后。目前商业银行的风险管理尚处于初级管理阶段,主要依赖专家管理,主要手段是质量控制,还没有建立起风险管理系统。商业银行目前所采取的风险管理手段和方法基本上难以反映本行风险管理的总体水平和分布结构,与国际上风险管理要求差距不小。第三,风险管理的基础数据匮乏。根据新巴塞尔协议,用于计算监管资本的内部操作风险计量法,必须是建立在对内部损失数据至少5年的观察基础上。可是国内商业银行目前很少有建立损失事件数据库,大多缺乏损失和风险方面的历史数据。风险管理需要信息系统强有力的支持,但是我国商业银行信息系统建设严重滞后。另外,由于社会诚信机制不健全,行业数据和公共外部数据的真实性无法准确判断,也影响到风险计量和管理决策。
二、全面风险管理工作原则
全面风险管理,建立有效平衡风险与内控运行机制,促进各项业务持续健康发展。全面风险管理总的原则是:以最小的成本获得最大的保障,注重事前管理,用数量化衡量风险程度、预设最坏的愿境、模拟各种情景评估,做好应对性管理。
全面风险管理必须对风险进行风险识别、风险评价、风险控制,以减少风险负面影响。就目前商业银行的现状而言,风险管理应遵循以下基本原则。
1.风险管理部门垂直管理原则。为保持风险管理的相对独立性,按照战略导向,建立适应现实金融生态、适合业务发展、有利于价值创造。垂直化的风险管理组织架构:下级风险管理机构对上级风险管理机构负责,上级风险管理机构负责对下级风险管理机构的业务运行组织、指导和工作布置,进行绩效评价,加强对风险管理工作的集中领导,强化风险管理政策、制度标准、风险监控和信贷审批的统一管理,增强风险管理的独立性和有效性。
2.整体联动与相互制衡原则。按照客户导向优化业务流程,建立风险管理融入业务流程的平行作业机制,加强前、中、后台的整体联动和有效制衡,促进有效经营。
3.人员专业化管理原则。建立对信用、市场、操作风险的专业管理模式,细化风险管理岗位设置,建立专业化的风险管理队伍,运用精细化的风险计量技术和分析工具,提高风险管理的专业化和精细化水平。
4.权责利匹配原则。在确保风险管理权威性和独立性并实施垂直化管理的风险组织的前提下,完善风险管理与各项风险决策行为的责任制度,明晰各级风险管理机构和人员的权力和责任,清晰界定各种风险与相关部门和机构的工作关系,建立与风险管理相配套的激励约束机制。
三、全面风险管理的基本构架
目前,我国商业银行的治理结构和经营机制改革正在向纵深发展,借鉴国际银行业风险管理的实践经验,构建风险管理架构。
1.搭建独立的垂直的风险管理体系,实施集中管理的风险治理组织结构。一是设立独立的自成体系的操作风险与信贷风险管理部门。如单独指定某个部门承担起管理责任。在基层单位机关部门必须设立兼职风险管理人员,做到独立分析判断、管理决策。二是实行垂直化的风险控制作业流程。三是明晰各部门兼职风险管理人员在风险管理中的定位和职责,确立其管理边界。
2.建立风险管理指标考核体系,对基层机构进行量化考核。建立经济资本约束和绩效考评机制,强化经济资本约束力。通过风险资本的计量与分配,运用风险管理调整资本收益率,将可能发生的损失量化为成本。贯彻风险和收益并重的全面平衡发展的理念,促进全行关心防范操作风险。其次对基层单位设置风险量化的考核指标体系,以期达到持续监测逐渐减少风险,直至消除风险。
3.建立统一的风险管理政策。商业银行要制定和执行统一明确的风险管理政策,做到既符合国家规则,又符合本行特点的风险事件分类标准;结合本行自身经营特点、业务规模、内外部资料,确定各业务品种的操作流程;确定风险计量和资本分配的方法,确定各项业务品种应对操作风险的应急措施,对操作风险成功和失败的案例进行分析和补救。
4.提高操作风险管理技术。慎重研究和选择新巴塞尔协议所建议的三种计量方法,积极做好数据收集和系统设计,逐步开发适合本行特点的内部风险计量模型。整合信贷管理系统、客户信息系统、资金管理系统等业务系统的信息。借助先进的IT技术,建立操作风险与信贷风险、市场风险的历史数据库,为测量风险、分配资本和设计模型打下数据基础。
5.建设风险管理文化。商业银行必须建设符合本行特点的风险管理文化。银行高层应首先提高对风险控制的认识程度,把风险管理工作作为核心工作来抓。在全行内推行风险管理的理念,把风险管理作为关系银行可持续发展的重要工作来抓。着重提高基层单位的风险防范意识,将风险管理落实到每一名员工的岗位职责与业绩考评中。
参考文献:
1.章彰.商业银行信用风险管理[j].金融经济,2002(3)
2.圣文.商业银行信贷风险研究[j].金融经济,2004(4)
3.董谭玖.我国商业银行信贷风险管理研究[j].金融经济,2005(3)
关键词:税务人员 执法风险 管理
一、税务人员执法风险管理的理论基础及现实意义
(一)税务人员执法风险防范的理论基础
1、法治理论。孟德斯鸠说:“一切有权力的人都容易滥用权力,这是万古不易的一条经验。有权力的人们使用权力一直到遇有界线的地方才休止”。税收法治的核心功能是“控权”,即要求税收行政执法工作必须有效控制权力滥用,切实防范行政执法风险,才能实现法治的根本目的。在20__年全国税务系统依法治税工作会议上,国家税务总局党组科学、系统地概括了新时期依法治税思想的理论内涵,并提出了“内外并举、重在治内、以内促外”的指导方针,其中强调指出,“重在治内”关键在于依法治权、依法治官,其实质就是要严格约束税收执法权力的运用,确保权力与责任的一致性,从而在源头上遏制执法随意性,有效防范执法风险。
2、风险管理理论。风险,是指未来的不确定性对主体实现其既定目标的影响。风险管理起源于二十世纪五十年代的美国,其间历经纯粹风险(生产安全)管理-财务风险管理-全部风险管理的渐进演进过程。进入二十一世纪,风险管理领域出现了整体化风险管理趋势,并在一些大型企业中开始应用。这是一种将企业所面临的所有风险(如战略风险、财务风险、市场风险、运营风险、法律风险等)统一考虑的综合性的企业风险管理理念。
目前世界上颁布生效的整体化(全面)风险管理框架有十多个,其中描述的风险管理理念、过程和方法等大体一致。根据国务院国有资产监督管理委员会20__年的《中央企业全面风险管理指引》,全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。其总体目标是帮助风险管理主体全面系统地辨识、衡量、排序并处理所面临可导致其偏离既定目标的风险。《指引》将风险管理框架概括为一个基本流程、一个体系。
基本流程包括收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进五个步骤。这五个步骤形成一个严密的闭合流程:收集风险管理初始信息是风险评估的基础和起点;风险评估包括风险辨识、风险分析和风险评价三个部分;通过制定风险管理策略,确立风险管理的目标,并建立起相应的管理原则和机制;通过制定和实施风险管理解决方案,建立一整套管理风险的方法和手段并应用到实际工作中;通过持续的监督与改进使整个流程顺畅运转。
一个体系指风险策略、组织与职能、内部控制、风险管理信息系统和风险管理文化五个模块。风险管理策略,指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转换、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。组织与职能则确定相关职能部门履行全面风险管理的职责,与其它部门一起形成风险管理组织体系,将风险管理责任落实到每一个岗位。内部控制包括保证风险得到有效控制的完整的内部控制体系和完善的内部控制制度,对风险做到提前预防、适时管理和及时反馈。风险管理信息系统包括信息的采集、存储、加工、分析、测试、传递、报告、披露等,解决了风险管理决策所需信息以及决策效率的问题。风险管理文化促进企业风险管理水平、员工风险管理素质的提升,保障企业风险管理目标的实现。这几部分相互影响、相互支撑,构成了企业风险管理的整体框架。
(二)税务人员执法风险防范的现实意义
近年来,随着税收征管的科学化、精细化、规范化逐步深入,税收执法的手段也日益深化和完善,同时也加大了税收执法的风险。特别是工作在第一线的基层税务干部,面对复杂的征纳关系,繁多的执法环节,日益完善的税收法律、法规、规章,加之风险防范意识不强,从而导致执法风险连年增加,涉税案件也呈上升趋势,其中税务干部被追究法律责任的案件占有很大比例。
面对这一严峻形势,各级税务机关通过建立税收执法检查、税收执法责任制等多项制度,初步形成了税务人员执法行为风险管理机制,执法风险在很大程度上得到有效的控制。但认真审视我们现有的风险管理机制,不难发现以下问题:
1、风险管理意识相对不足。税收执法检查、税收执法责任制等基本上属于事后监控,对执法风险缺乏系统地、定时地事前尤其是事中的风险控制,不能从根本上防范重大风险以及其所带来的损失。
2、监控管理链的脱节。在制度
设计中,注重了责任的分解,将绝大多数责任风险都由基层一线干部承担,而忽视了对领导层以及税务机关本身应承担风险责任的落实,因而形成监控管理链的脱节。
3、风险管理缺乏充分的信息支持。以往所采取的控制方式主要以人工为主或人机结合,对于具体风险,缺乏量化和信息化的数据支持,不能从数据分析应用的视角建立必要的风险预警、评估及控制机制,使得目前我们的风险控制能力偏低。
税收执法风险实质上是一种法律风险。因此,在税务人员税收执法风险防范工作中,借鉴全面风险管理理论,建立以事前、事中监控为重点的执法风险管理机制,既是严格依法治税、提高税收征管质量、深化税收征管改革的客观需求,又是提高税务干部自身风险防范意识,保障干部敢于执法、公正执法、安全执法的现实需要,这对税务部门不断提高依法行政水平和构建社会主义和谐社会的能力,将起到有力的支撑和保障作用。
二、税务人员执法风险管理体系的组成
完整的执法风险管理体系由风险管理策略、风险管理组织职能、风险内部控制制度、风险管理信息系统、风险管理文化五部分构成。
(一)执法风险管理策略
1、避免。包括主动放弃或撤销、改变行政执法行为等方式。对适用法律法规错误、程序违法等违法行政引发的风险,可以采取主动放弃或撤销的方式。因纳税人对税务执法行为不理解或不配合等引发的风险,应采取主动改变执法行为的方式。如,税务机关在查封、扣押等强制执行措施时,因实施查扣行为遭到纳税人的暴力阻挠,现场税务执法人员应立即中止查扣,及时请求公安机关予以协助。
2、预防。是指在风险发生前,为了消除和减少可能引起的风险而积极采取阻止、延缓、减轻的措施。在认真分析引发风险因素的基础上,对税收执法行为指向的对象、后果进行综合分析,随时对引起风险的各种因素变化情况加以了解,采取有效防范措施,在日常执法过程中参照有关风险指标对执法行为进行预警控制,尽力消除引起风险的各类因素的存在和发展。
3、控制。是指风险发生时为降低风险带来的不利影响而采取的积极有效措施。要正确识别风险及风险的影响程度,合理、合法制止风险的扩大,以减少风险带来的负面影响。如,税务机关错误地扣押了纳税人的商品、货物或其他财产侵犯其合法权益的,要主动承认工作的失误并承担国家赔偿责任、及时对直接责任人酌情作出行政处理。
(二)执法风险管理组织职能
风险管理组织职能主要是解决执法风险管理“谁来做”和“做什么”的问题。风险管理职能部门承担着风险评估、汇总风险信息、落实风险管理责任、风险管理制度建设、维护更新风险信息库等职责,在风险管理中起着不可替代的作用。按照分层管理原则,在市局、职能科室与基层执法部门分别成立税收执法风险评价工作领导小组;按照分类管理原则,由各职能科室根据职责分工分别承担不同类别执法风险的管理工作;根据集中管理原则,由处于超然地位的纪检监察部门负责全局执法风险的监督检查工作。
(三)执法风险内部控制制度
尽管内部控制理论最先也最多应用于企业组织,但内部控制的一些基本理念和方法仍然是值得税务机关借鉴的。因为税务机关的内部管理与企业管理虽有不同,但本质上都属于组织管理。有效的内控可以保证明确授权,对风险做到提前预防、适时管理和及时反馈,能保证执法行为的效率和效果,保证信息的准确性。税务人员执法风险内部控制制度主要包括以下内容:
内部环境。根据国家有关法律法规,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
风险评估。采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险,合理确定风险应对策略。
控制活动。结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。
信息与沟通。建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。
内部监督。规范内部监督的程序、方法和要求,对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
(四)执法风险管理信息系统
风险管理信息系统为执法风险管理的全过程提供及时、准确的信息,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等各项功能。
应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据,未经批准,不得更改。
风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试;能够实时反映重大风险和重要业务流程的监控状态;能够对超过风险预警上限的重大风险实施信息预警。
风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享,既能满足单项业务风险管理的要求,也能满足整体和跨职能部门、业务单位的风险管理综合要求。
(五)执法风险管理文化
将执法风险管理文化建设融入税务文化建设全过程,采取多种途经和形式,加强对风险管理理念、知识、流程、管控核心内容的培训,培养风险管理人才,培育风险管理文化,将风险管理意识转化为执法人员的共同认识和自觉行动,牢固树立风险无处不在、风险无时不在等意识和理念,促进税务机关建立系统、规范、高效的风险管理机制。
三、税务人员执法风险管理基本流程
建设执法风险管理体系只是完成了进行风险管理硬件设施的筹备,而要完成对执法风险的管理,还要在此基础上执行执法风险管理的基本流程。该局建立的税务人员执法风险评价流程是:
(一)建设并不断完善风险"信息库"
主要以省级“大集中”软件及青岛市局征管查询系统为依托,建立综合业务处理平台,通过信息技术将涉及存在执法风险的各种特定信息整合到一个工作平台中去,围绕提高征管查工作质量和工作效率,按照数据采集管理、数据分析管理、数据核实管理、落实过错问题管理设置四大功能模块,通过信息平台下达具体的工作事项、嫌疑过错执法数据和考核标准,形成面向操作层、管理监控层、决策支持层的全方位执法风险综合信息系统。
(二)风险评估及风险解决方案
1、风险识别。税收执法风险点按照税务登记管理、发票管理、申报征收、税收管理、税务稽查等执法环节进行归集,建立税务人员税收执法风险评价指标体系(共编列60个风险点指标),明确具体执法风险点、风险表现、政策依据、数据分析方法、评价期间、评价时点、评价部门及人员。
2、风险分析。分析和描述风险发生的可能性、风险发生的条件、风险产生的影响等,包括对风险产生原因的分析和对风险产生结果的分析,统一分析的判定标准。根据影响程度轻重和所依据的不同法律、法规以及执法所产生不良后果的处理手段,税收执法风险可以划分为高级、中级、低级三个类别。
3、风险评价及风险解决方,!案。采取执法人员自我评价、部门评价、市局评价的三级评价模式,对执法行为层层审核把关,分级落实考核责任,确保执法“零风险”。具体的评价流程如下图: (三)风险管理的监督与改进
经过自我评价、部门评价、综合评价发现有过错且能立即改正的,不纳入目标管理考核;对于无法改正的按照有关考核办法考核,对
违反《青岛市地方税务局税收执法权和行政管理权监督制约办法》及有关规定的严重执法过错,按规定追究相关人员责任。
市局税收执法风险评价小组对本期执法风险评价结果进行综合考评并在全局予以通报。通报的内容主要包括本期全部税务人员执法基本情况、存在的问题及原因分析、责任追究以及下一步的整改措施等方面。
四、税务人员执法风险管理应注意的问题
胶南市地税局在建立完整的税收执法风险管理体系方面进行了积极、有效的探索,基本实现了对执法行为进行事前预警、事中控制的目标。结合实际工作中存在的问题,我们认为还应当在以下几个方面加以关注:
一是开展执法风险管理工作应当重点关注高级别风险的管理和重要流程的内部控制。
二是开展执法风险管理工作应与其他税收管理工作紧密结合,把风险管理的各项要求融入税收管理和业务流程中。风险管理体系不是凌驾于现有管理体系之上的,而是对现有管理体系的提炼总结和提高。
三是应注重建立具有风险意识的税务文化,促进风险管理水平的提高以及执法人员风险管理素质的提升,保障风险管理目标的实现。
1.工作流程落实过程中存在的风险
目前我国铁路逐渐向高速化、高铁化发展,在铁路建设过程中,各种各样的新设备和新技术相继投入使用,管理的安全性也有了较大提升,相关的管理部门也基本掌握了铁路生产的规律,安全工作的管理也逐渐向流程化发展,但是依然存在一些安全管理问题:一是相关的安全管理规章制度和现场的实际情况不吻合,有安全管理保障滞后和缺失的情况出现。二是现场安全管理工作和规定的标准不符合,管理比较随意。三是在作业生产过程中,管理人员无法按照规定的作业标准和技术要求完成生产。四是气候的变化和施工的环境对作业人员与管理人员的行为习惯和思维方式造成了一定的影响,并会因此产生不必要的风险。五是在作业过程中,没有按照相关的规定标准进行施工。
2.在现场管理过程中存在的风险
在铁路供电班组作业的过程中,因为电力调度安排、铁路行车调度安排、立体化条件的限制、电力作业的管理等管理内容对安全的要求比较严格,因此在管理过程中,相关的管理人员要树立更高的管理要求和管理标准。供电班组在现场管理过程中,主要存在以下几个方面的风险:一是在现场管理过程中,工作环境非常乱。二是相关的管理人员在思想方面存在一定的问题。三是没有对施工过程中的施工现场进行安全检查,考核作业不到位。四是在进行作业的过程中,未制定具体的施工计划和施工方法,当遇到突发事件时,无法及时的进行处理。五是经常会出现违章作业的情况。六是在进行特种作业时,没有对相关的作业人员进行全面的安全教育培训。
二、铁路供电班组安全风险管理的有效措施
为了保证企业生产的经济性和安全性,在对铁路供电班组存在的安全风险进行全面的衡量、识别和预测后,就需要使用行之有效的方法来对风险进行处理。
1.建立科学合理的风险管理制度
班组管理要根据铁路的实际情况,建设科学合理的风险管理制度,对安全管理制度和风险源头之间存在的差距进行对比,进一步完善和修订对风险源进行预防与控制的管理制度。在制定风险管理制度的过程中,需要考虑以下几个方面的问题:一是整治生产流程。在对设备运行、日常巡检、设备维修、设备生产、应急处理的方法、施工配合等工作进行管理的过程中,要按照规范、严格的作业标准对施工程序进行控制。二是整改管理制度。要根据安全管理的基本责任和基本职能,建设科学合理的管理岗位工作流程、领导岗位工作流程、技术岗位工作流程等基本流程标准,要建设出可以包含所有员工在内的工作流程系统和工作标准。三是整改作业的实行准则。为了可以保证在作业过程中,所有环节都有基本的管理标准,所有程序都有参考依据,保证生产有序、规范的进行开展,要制定详细的一次作业和日常工作的执行流程与执行标准。
2.对风险出现的原因进行预判
在对风险进行管理的过程中,为了防止出现不必要的隐患和意外,要使用合理的方法对风险进行判断和分析,并根据实际情况对风险进行及时的控制。在管理时,要按照作业标准化、管理规范化、设备标准化的准则进行管理,要根据不同的时间段、不同的作业环境找到风险存在的主要原因,要根据实际的风险等级,选择合理的控制措施和预防措施。通过对风险进行预控管理,可以有效地保证供电班组生产的安全性。
3.落实安全风险管理责任在管理过程中,执行是一个非常重要的管理内容,任何制度离开执行都是空谈。在制定风险管理责任的过程中,首先要对风险进行评估,把风险项目作为管理的基础,详细划分出具体的管理责任,并根据不同的部门对责任进行逐级划分,对各个班组的责任、部门的责任以及责任专员进行明确,当出现危险情况后,根据出现的风险级别及时进行处理,通过使用这种风险管理责任落实的方法,可以对管理效率进行有效的提升。通过明确的分工,让每一个职员都知道自己所应该承担的责任,使得安全风险管理工作更加的标准化、细节化和规范化,以确保每一个风险源的管理都可以及时的进行落实,保证制度的顺利执行。
4.深化安全管理检查效果很多管理人员在管理过程中,容易形成习惯性的行为和心理,在对风险进行判断时,经常会在不考虑现场实际情况的情况下,对班组进行管理,存在非常大的安全隐患。为了保证安全管理的效果,在管理过程中,班组管理人员要根据实际情况,对管理的安全性进行调整。其中主要需要注意以下几个方面的问题:
(1)在对电力班组进行管理的过程中,要根据不同的地域情况,针对性地进行指导和检查,对安全管理过程中遇到的倾向性问题和关键性问题进行解决,从根本上对隐患进行消除,确保班组运行的安全性。
(2)在遇到雨雪、大风天气时,要针对性地对班组风险进行查找和治理。
(3)使用不定期检查或者随时抽查的方法来取代固定式的管理与检查方法,对职工人员和管理人员的固定思维进行消除,以此来保证管理的有效性。
三、结论
保证药品的产品质量符合规定,达到药品生产管理的最终目的。在药品生产过程中,多种风险因素都有可能影响产品质量,而风险管理的内涵正是通过收集、识别风险因素、评估影响因素的风险级别、制定针对性的风险控制措施预防和规避、减少风险因子对药品生产质量的影响和可能造成的损失。另外,风险管理对生产过程也具有监控、监督作用,从而确保生产过程的安全性、可控性。
2实施药品生产风险管理的重要性
风险管理是药品生产企业质量管控系统自我完善机制的一个重要措施。通过对药品生产过程进行风险管理,可明确风险因素及其风险级别,增强药品生产的规范性和应对风险能力,降低药品生产中人员、设备、物料、环境等风险因子对产品质量的影响,同时规避和减少可能由相关风险为企业造成的经济、名誉等损失,而系统性、针对性的管理也能监督生产过程、及时排除质量隐患,因此药品生产中实施风险管理具有重要意义。
3药品生产风险管理现存问题
3.1管理者的风险管理意识不足:
部分药企的生产管理人员对风险管理的基本程序、内涵、重要性认识不足,往往存在风险意识不足、管理片面的情况。举例来说,多数药企的风险管理往往更注重风险监控、风险应对,往往不能有效识别风险因子和安全隐患、不能对风险级别进行正确评估,同时缺乏对员工开展针对性的风险管理知识培训,削弱了风险管理的系统性、前瞻性、可控性。另外,由于缺乏应对级别,应对手段相对单一,影响了风险管理的效果。
3.2对物料供应商的风险管理缺乏重视:
制药企业的风险管理更多地关注内部管理,如人员操作规范性、设备设施完好性、质量体系保障能力、环境符合性等等,而对物料供应商提供的物料、内包材等关键原辅材料的风险管控不足,体现在缺少对物料、内包材供应商资质进行严格的评估、认定,部分原材料缺少针对性的检测验收方法等,这些都是可能造成药品质量隐患的风险。
3.3风险管理缺乏灵活性:
部分药企虽然制定了风险管理制度,但风险应对措施的制定多依据现有的规章制度、缺乏深入调研,同时风险识别、风险评估中的评级方法相对单一、风险指标一成不变,这也导致生产风险管理缺乏变通性、灵活性,不利于发现、识别新的隐患、风险因素,也不利于在工艺流程改变的情况下对相同的风险指标进行评级。
4药品生产风险管理创新举措
4.1强化生产管理者、一线工人的生产风险意识:
风险管理,需要全员、全过程、全方位的支持与参与,而不是孤立的个体行为。要以讲座、例会等形式对生产管理者、一线工人进行生产风险管理培训,包括风险管理概念、风险管理在药品生产管理中的重要性、风险管理的基本流程、实践和应用等知识,对管理者还应组织进行出国考察、参与企业管理层交流,从而强化全体生产人员的风险管理意识。
4.2建立完整的生产风险管理体系:
将风险管理范围扩展至物料采购、检验、生产全过程,成品贮存、发运等各个环节(尤其是产品制作的关键工序、成品包装的风险管理),同时制定管理制度,完善风险管理链条,保证风险识别、风险评估、风险应对、风险监控四个环节均能正常运行,并采用信息化管理,及早发现风险因子、安全隐患并进行及时处理。
4.3实时更新风险管理制度:
当工艺流程、生产条件等发生改变时,应及时更新风险管理制度中的要求和标准,并由责任人员完成风险管理的再评估,并向生产管理者报告、组织审核,探讨应对、防范措施,通过上述手段可增强风险管理的灵活性和适用性。
5结语
关键词:风险管理构成要素
美国COSO委员会于2004年9月颁布了《企业风险管理—整合框架》(以下简称《框架》),旨在为各国的企业风险管理提供一个统一术语与概念体系的应用指南。为了帮助中央企业建立健全风险管理长效机制,增强企业竞争力,促进企业持续、健康、稳定发展,防止国有资产流失,提高投资者回报水平,保护投资者利益,国务院国有资产管理委员会借鉴发达国家企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法,以及国内有关内部控制机制建设方面的规定,于2006年6月颁布了《中央企业全面风险管理指引》(以下简称《指引》)。本文着重分析《框架》和《指引》的区别,以期对我国企业的风险管理有所借鉴。
企业风险管理的定义比较
在《框架》中企业风险管理的定义如下:企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。
《指引》中的全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险管理的组织职能体系、风险管理信息系统和内部控制系统等,从而为实现风险管理的总体目标提供合理保证的过程和方法。
企业风险管理的目标比较
《框架》将主体的目标分成四类,即与高层次的目的相关的战略目标;与利用主体资源的有效性和效率相关的经营目标;与主体报告的可靠性相关的报告目标;与主体符合适用的法律和法规的合规目标。
《指引》将风险管理的目标分成五类,除了涉及以上四类目标之外,还提到另一个目标,即确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
企业风险管理的构成要素比较
在《框架》中,企业风险管理包括八个相互关联的构成要素,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。在《指引》中,风险管理的基本流程包括五个方面的工作,即收集风险管理初始信息、进行风险评估、制定管理策略、提出和实施风险管理解决方案、风险管理的监督与改进,也就是企业风险管理的五个构成要素。尽管两者对风险管理组成部分的称谓不同,但是其内涵还是有很多相同的地方的。本文仅分析两者的不同点。
《框架》认为内部环境是企业风险管理其他构成要素的基础,为其他要素提供约束和结构。它影响着战略和目标如何制订,经营活动如何组织以及如何识别、评估风险并采取行动。它主要包括主体的风险管理理念、风险容量、董事会的监督,主体中人员的诚信、道德价值观和胜任能力,以及管理当局分配权力和职责的方式。《指引》认为,风险管理初始信息是良好的风险管理的基础,详细列举了企业管理战略、财务、市场、法律四类常规风险所需的重要基础信息,还特别强调企业应注重针对这四类风险广泛收集导致企业危机的国内外案例。
《框架》认为,目标设定是事项识别、风险评估和风险应对的前提。在管理当局识别和评估实现目标的风险,并采取行动来管理风险之前,首先必须有目标。而《指引》所称的风险管理基本流程中并不包括目标设定这一构成要素。
《框架》中的事项识别是指管理当局识别将会对主体产生影响的潜在事项,并确定它们是代表机会还是风险,或者两者兼而有之。事项通常并不是孤立地发生的,因此管理当局在事项识别过程中应该明白事项彼此之间的关系。通过评估这种关系,确定风险管理活动的最优指向。《指引》中的风险辨识相当于事项识别,而这里所称的风险辨识只是指查找企业各业务单元、各项重要经营活动及重要业务流程中有无风险,有哪些风险。
在《框架》中,管理当局将企业风险分为固有风险和剩余风险。而《指引》将风险分为战略风险、财务风险、市场风险、运营风险和法律风险等;或者以能否为企业带来盈利等机会为标志,将风险分为纯粹风险和机会风险。
《框架》将风险应对分为四种类型,即回避、降低、分担和承受。在《指引》中,对战略、财务、运营和法律风险采取风险承担、风险规避、风险转换、风险控制、风险转移、风险对冲、风险补偿等方法。
与《指引》不同的是,《框架》还提出了管理层应从一个企业全局或者组合的观点来考虑风险,决定企业的风险观是否适应于与其目标相对应的整个风险容量。
企业风险管理组织体系的构成比较
《框架》指出企业风险管理由诸多方面实施,包括董事会(直接地或通过其下属委员会)、管理当局、内部审计师和其他人员。外部方面也可能会提供对主体的企业风险管理活动有用的信息,例如外部审计师、立法者、客户、商业伙伴、外包服务提供者、债券评级机构等。
《指引》指出企业风险管理组织体系主要包括规范的公司法人治理结构,风险管理职能部门,内部审计部门的法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责,而没有包括外部方面的人员或机构。
企业风险管理信息沟通渠道比较
《指引》指出,企业应建立贯穿于整个风险管理基本流程,连接各上下级、各部门和业务单位的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整。
《框架》对沟通的阐述则更加全面,突出了沟通的重要性。对于那些将要报告的信息,必须有畅通的沟通渠道和清晰的倾听意愿。如果正常的沟通渠道不起作用,就需要单独的沟通途径来充当自动防故障机制。它还指出最关键的沟通渠道位于高层管理当局和董事会之间。沟通的具体方式包括政策手册、备忘录、电子邮件、公告板通知、网络等。
对目标、构成要素、主体内各个单元的关系比较
在《框架》中,目标、构成要素、主体内的各个单元可以通过一个三维矩阵以立方体的形式表示出来。这三个维度的关系是:企业风险管理的八个要素是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。这种表示方式既能够从整体上关注一个主体的企业风险管理,也可以从目标类别、构成要素或主体单元的角度,乃至其中的任何一个分项的角度去加以认识。而《指引》中则没有体现这种关系。《指引》指出,企业开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业风险管理和业务流程中。
另外,《指引》和《框架》对违反诚信准则行为的态度不同。《指引》指出,对违反道德诚信准则的行为,企业应严肃查处。而《框架》还指出,应形成鼓励员工报告所怀疑的违反行为的机制,以及针对知情而不报告违反行为的员工的惩戒措施。同时,高层管理当局的行为和他们所作的表率对道德准则遵守也相当重要。
参考文献
1.美国COSO制定,方红星译.企业风险管理—整合框架[M].东北财经大学出版社,2005
随着金融技术的日趋复杂化以及金融创新的日益频繁,银行活动及其操作风险特征变得更加复杂多变,国外的巴林银行倒闭、日本大和银行国债事件、法国兴业银行事件,以及国内的中国银行“森豪公寓按揭贷款”、农业银行管库员盗窃巨额库款案等,都与没有严格执行制度密切相关,操作风险管理成为银行风险管理的重要内容。2004年6月巴塞尔委员会了《新资本协议》,将操作风险纳入资本监管范畴。2005年2月,针对国内部分银行机构制度不健全、制度执行不严、违规查处不力、内部控制薄弱并导致大案、要案屡有发生的实际,银监会下发了《关于加大防范操作风险工作力度的通知》(简称十三条)。2007年5月14日,银监会了《商业银行操作风险管理指引》,至此,结合国内实际,银监会通过推进五级分类制度强化银行信用风险监管,并在先后《商业银行市场风险管理指引》和《商业银行合规风险管理指引》后,对金融机构所面临的信用风险、市场风险和操作风险三大风险监管已经形成一套完整法规。本次《操作风险管理指引》的,对进一步加强银行风险监管,提高识别、控制操作风险的能力和风险管理水平,建立操作风险管理长效机制,提升银行业的整体国际竞争力,防范银行业大、要案的发生和促进银行业稳健运行,必将产生极其重大的影响。
二、我国银行业操作风险管理的现状
(一)操作风险的定义
一般意义上讲,操作风险,指因操作流程不完善、人为过失、系统故障或外来因素所造成的经济损失,广泛存在于银行经营管理的各个领域,是银行经营管理面临的基础风险之一。商业银行日常工作中,典型的操作风险事件包括内部欺诈,外部欺诈,雇佣合同以及工作状况带来的风险事件,客户、产品以及商业行为带来的风险事件,有形资产的损失,经营中断或系统出错,涉及执行、交割以及交易过程管理的风险事件。
操作风险事件难以在事前充分预期,并往往来源于制度、系统缺陷和人员舞弊行为,具有较强的内生性,即使建立相对完善的内控制度和监督检查机制,也难以充分预计未来持续期内的所有变动因素并彻底杜绝内部舞弊所造成的违法犯罪行为。
(二)操作风险管理滞后于发展。在全球经济一体化、社会与经济环境快速发展、商业银行全球化和综合化经营的趋势下,金融创新层出不穷。金融产品、服务的复杂性提高, 各项业务超常规发展,操作风险的类型不断演变。在认识不到位、风险管理手段不足的情况下,发生操作风险和造成损失的可能性增加。
(三)操作风险管理尚处于起始阶段。长期以来,我国商业银行偏重信用风险和市场风险管理, 未设立独立的专业部门承担操作风险管理的职责,而是由非独立专业部门牵头负责或由各专业条线内部控制,没有形成针对操作风险的统一的政策标准,有章不循,违章操作的现象时有发生。对操作风险管理主要采取定性管理、质量控制,尚未建立起操作风险管理系统。在建立按新巴塞尔协议计量监管资本操作风险的损失事件数据库、开发和运用操作风险的资本分配模型、定量计算操作风险等方面,与国际先进商业银行以资本约束为核心的操作风险管理存在差距。
三、内审部门对防范操作风险所担负的责任
银监会的《商业银行操作风险管理指引》第十一条规定:商业银行的内审部门不直接负责或参与其他部门的操作风险管理,但应定期检查评估本行的操作风险管理体系运作情况,监督操作风险管理政策的执行情况,对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估,并向董事会报告操作风险管理体系运行效果的评估情况。笔者认为上述规定应包括以下几层涵义:
(一)内部审计部门作为风险防范的第三道防线,对操作风险管理框架,以及框架在银行的建立和执行情况进行审计、监督和评价。
(二)内部审计部门对操作风险管理政策和流程的充分性和有效性进行评价。
(三)内部审计部门应当制定具体的实施办法,并合理配置审计资源,对操作风险管理政策执行情况进行评价,评价的频率根据操作风险大小和重要性等因素来确定。内部审计部门应当对重大策略改变、管理架构变动等影响操作风险管理政策的事件给予关注。
(四)内部审计部门应当将审计结果及时上报高管层,同时提供给风险管理部门。操作风险管理职能部门和相关业务部门应根据审计管理建议,按照成本收益匹配原则,对操作风险管理采取相应的改进优化措施,以保证操作风险管理机制的有效性和不断完善。
四、银行内部审计部门在操作风险管理工作中应发挥的作用
操作风险管理是当前银行风险管理的重大问题,与国外商业银行相比,国内银行在管理思想、技术、方式、水平等方面存在明显差距。同时,与信用风险和市场风险相比,操作风险又具有明显的特点:即操作风险大多是银行可控范围内的内生风险,并往往属于人的风险。如何结合操作风险的特点和银监会、国内银行的职责定位,进行系统化的操作风险管理,不仅对银行各级机构和部门是个严峻挑战,对内审部门也是一个重要课题。内部审计承担着健全与完善内控的职责,在开展操作风险管理时如何发挥作用,笔者认为目前应着重关注以下方面。
(一)关注操作风险管理架构及部门职责划分。组织架构及职责划分是风险管理的基础,是制定、完善、传导操作风险管理政策或方法的途径,是建立与各商业银行业务性质、规模和复杂程度相适应的操作风险管理体系的前提。审计人员在工作中,应按银监会相关文件规定,关注各级机构和部门有无指定牵头部门负责全行操作风险管理?各机构操作风险管理体系如何构建?职责是否清晰?分工是否重叠或适当?实施情况如何等等,为评价被审计对象的操作风险管理状况作好准备。
(二)关注被审对象操作风险管理流程的健全性和有效性。各经营机构应建立操作风险管理的清晰流程,包括对操作风险识别、评估、控制/缓释、监测、报告等环节,这是操作风险管理的制度基础。在开展审计评价时,审计人员应关注各级机构如何开展操作风险的识别与评估工作,确立了哪些关键控制环节点?日常操作风险的检查监测怎样开展?发现隐患如何报告?对于影响程度较大的操作风险事件损失或损失发生频率较多的产品,是否及时进行操作风险重检?损失是否得到及时报告等等,从而对被审计对象的操作风险管理水平状况作出合理评价。
(三)从内控检查与评价入手开展操作风险管理。落实规章制度是开展操作风险管理最直接和有效的手段。在开展工作时,内部审计应加强对关键业务环节执行情况的检查入手,从关键岗位员工的定期轮岗制度、强制休假制度、不相容岗位和职能分离情况、授权制度及对操作风险管理奖惩机制等方面展开监督检查,这些基本制度的执行情况对防范操作风险发挥着决定性作用。通过进一步加大内部控制的检查与评价力度,为防范操作风险管理发挥基础作用。
(四)提出完善内控及业务系统的方法与建议。按照多米诺骨牌理论,人员道德并不直接导致操作风险,规则及流程缺陷与人的缺陷结合才导致操作风险。完善流程和规则,纠正人的错误行为是防范风险最有效的手段。因此,内部审计应当经常检修工作流程和规则,提出消除业务系统缺陷的建议和措施,将改进与完善内部控制作为参与操作风险管理的基本方法,并纳入日常工作目标管理,如此才能较好担负起操作风险管理的职责。
(五)关注从业人员行为的监督及管理过程。《商业银行操作风险管理指引》第十七条指出:“对重要岗位或敏感环节员工八小时内外行为要进行规范;建立基层员工署名揭发违法违规问题的激励和保护制度是防范操作风险的重要措施。” 血的教训表明:情节重大且性质恶劣的操作风险(尤其内部员工欺诈与道德风险)往往与银行疏于关注员工行为相关。内审部门应当充分重视这项规定要求,要结合审计活动的开展,收集适当证据判断管理层是否采取措施认真执行了这一规定,督促管理层加强员工行为监管,为防范操作风险打下基础。
(六)加强对新流程、新产品的操作风险识别及评估。新流程与新产品不确定性因素较多,各级机构和部门在实施推广前,应当确保对新产品、新流程及新系统的操作风险的充分识别和评估。内部审计也应积极参与其中,并且,在新流程和新产品推出后,内部审计要继续跟踪了解对经营管理目标可能产生不良影响的关键风险点,对缺乏控制或控制不足的业务流程提出完善建议,对控制过度并导致服务效率低下的情况提出优化方案,促进业务健康发展。
(七)严格追究制度,强化责任意识。在审计活动中,应按照权责对等原则,从决策、监督、管理和经办四个层面,清晰界定各层级、各业务条线(部门)和岗位的操作风险责任。对因制度缺陷、监测检查不到位、管理不善、执行不力等操作风险引发的损失事件或给建设银行声誉带来不良影响的行为,审计部门应按照分工负责的要求,提出追究责任人责任的意见或建议,督促各个方面增强责任感,更加有效地履行职责。
1.1持续改进思想的发展
风险管理是项目管理的主要部分,其目的是追求积极活动的最大化和不利活动的最小化。自上个世纪90年代中期以来,持续改进思想被引入到项目风险管理,这离不开国际标准化组织的ISO9000标准和美国CarnegieMellon大学软件工程研究所(SEI)的能力成熟度模型(CMM)的贡献。这二者对于项目管理不仅体现在标准方面,更体现管理思想和原则方面的意义,比如ISO9000提出管理的八项原则,CMM提出5个层次的持续改进。它们都着眼于质量和过程管理。但是它们的基础各不相同,前者是确定一个质量体系的最低要求,而CMM强调持续的过程改进。尽管ISO/DIS9000:2000版也增加了持续改进原则,但仍属于单一层次的标准,而CMM模型分成5个等级,适用范围也更加广泛。CMM把管理内容定义为若干关键过程任务,并设立了初始化、可重复性管理工作、识别组织基本能力的管理工作、确立企业竞争力管理工作、通过持续改进方法提高企业竞争力和管理能力。目前来看,引入持续改进的项目风险管理的基本原则,在ISO/DIS9000:2000的基础上,充分利用CMM持续改进方面的优势,建立起一套规范化并且能够持续改进的过程和质量管理循环,不断提高风险管理的质量和效率。
1.2面向持续改进的项目风险管理的优点
持续风险管理流程主要是来源于卡耐基梅隆大学软件工程研究所的“持续风险管理指南”(CRM),在项目风险管理领域被称为项目风险能力成熟度模型(RMMM),这个框架基于成熟程度、文化和组织的其他相关属性,由一系列与项目有关风险的流程、方法和工具组成,并为风险管理提供了一个主动管理的合理环境。它主要针对:一是对可能会出现错误(风险)的部分持续评估。二是决定哪类风险最主要,并且进行重要程度描述。三是实施处理风险的战略。
这种基于过程的方法与传统的基于事件风险管理方法显著不同。后者所要实施的策略要等到风险事件发生,然后再有所反应,接下来再采取措施来阻止它再次发生。相反,持续改进的风险管理具有以下优点:一是能够在问题发生前预防。二是改进产品质量。三是使得资源更好地被利用。四是增进团队合作。五是为投资决策设立预期目标,并且提供解决方案。
2、基于持续改进的风险管理能力成熟度模型
2.1风险管理能力成熟度模型
与项目管理的其他知识域不同,风险管理贯穿于项目管理的始终,风险管理程序属于与项目管理程序相互交叉的双维度结构。同时,项目生命周期阶段形成了项目风险管理的第3个维度,这3个维度构成了项目风险管理成熟度模型(RMMM)。RMMM是项目管理成熟度模型(PMMM)的子集,RMMM在SEI中也被称作CRM.尽管PMMM的研究起源于欧洲,但是其核心仍然是CMM.CMM模型主要通过项目生命周期,设置可以持续改进的关键管理流程域(KPA)来进行项目管理。CMM目前已应用到多个研究和实践领域,比如面向系统开发的SD—CMM,面向系统工程的SE—CMM,面向项目团队的P—CMM等等。但是不可否认,国际项目管理协会(IPMA)和PMI对PMMM开发作了很多研究工作并取得了很大成果,并且已经得到了产业界的认可。
2.2项目风险管理成熟度模型的层次
PMMM的主要优点在于可以为不同的项目或者公司定制用以测评成熟度各层次的方法。同样,RMMM(CRM)也为项目定义测评风险管理成熟度提供了高效的方法,其特征是可定制的,其核心是围绕项目生命周期阶段所进行的持续改进,即风险流程改进(RPI)。应该注意到,流程改进是过程,而不是目标。RMMM(CRM),采用CMM的1至5级来描述项目风险及相关流程,因为CMM是一切成熟度模型的基础和根本,可以说是元模型。RMMM(CRM)包括5个层次:
第1层次为通用术语。组织第一次认识到风险管理的重要性,并且学习风险管理知识、语言和术语。第2层次为通用过程。组织运用风险管理,开发相应的可重复利用的通用风险管理过程和方法。第3层次为方法集成。把所有风险管理方法集成为单一方法,可以最好地实现风险管理协同效应和过程控制。第4层次为基准比较。确定风险管理基准点与比较的指标和内容,基准比较必须连续进行,改进风险管理构成及执行方法,并增强竞争优势。第5层次为持续改进。组织评估通过风险管理基准比较获得的信息,然后决定是否能改进单一方法。
2.3持续风险改进通用风险域
RMMM(CRM)根据项目生命周期,利用工作分解结构图(WBS)设立不同的可用于持续改进的通用风险域。比如考虑到建设项目为系统运营就绪的基础设施、硬件和软件、建造、进度和成本、每个项目的合同样本等等。一般说来,大型工程项目可用一个3层的风险识别流程描述出来:
(1)全局风险域(这些潜在风险影响项目整体并且会导致全程项目成本/进度全部策略的改变或者再评估)。
(2)项目风险域(这些潜在风险影响每一个基本项目并且对实现项目目标有潜在影响或者要求项目范围或者个别合同水平上变化以及它与其他项目界面关系上)。
(3)个别合同风险域(这些风险对个别合同中的域有潜在影响,而且具体到特别合同上,直接影响成本、进度和具体合同的效率)。
3、项目风险管理持续改进的功能与步骤
3.1项目风险管理持续改进的功能
尽管RMMM(CRM)有5个层次,但是所有工作不是必须被依次鱼贯地完成,而是可以重叠进行的,这主要取决于项目组愿意承担的风险大小。从这个意义上来说,RMMM是柔性的,适应性很强,能够与传统风险管理程序、风险管理知识域紧密结合。在实施中风险应该用重要程度来计划,这依赖于项目、管理者和个体的目标和限制条件。这意味着,虽然一个风险管理模型不能适用于所有情况,但是可以通过RMMM的持续改进与风险管理程序、风险知识域的适应性组合、动态调整,就能够适应各种复杂情况,并提供合理的风险管理程序与功能。通常,项目风险管理持续改进的功能主要有:
(1)识别。在风险成为问题前,搜寻并定位风险。
(2)分析。通过系统化分类、估计和理解以降低不确定性并提供计划和行动框架的流程,把风险转换成决策信息。
(3)计划。把风险信息转化为决策和适当的消减行动(现在与未来)以及实施。
(4)跟踪。通过项目生命周期来监控风险指标和风险消减计划。
(5)控制。纠正与计划执行的偏差。
(6)沟通。贯穿所有以上提供信息和反馈的功能给所有项目相关利益人。
关于风险活动以及当前和新产生风险在这些功能实现的过程中,要考虑到不同的相关利益人和管理层次的差异,特别是相关利益人应该理解风险管理是如何适应整体项目管理流程的。这些流程之间以及与其他项目管理知识域之间交互作用,并要求不同阶段不同项目团队成员参与到持续改进的项目风险管理中来。所以说,面向持续改进的风险管理必须因项目管理阶段不同、主体间差异而有所不同,贯穿于项目管理始终。持续改进的风险管理,应该通过相关利益人和项目组在不同层次上的不同的职责、指标和风险的分配来实施,具体如下:一是风险经理。检查、批准和提供与风险计划和行动有关的资金。二是用户识别风险。三是项目经理。识别风险并设计风险管理和行动计划,跟踪、沟通与风险管理计划对应的项目绩效。四是项目经理。识别风险并且设计消减风险选择方法。五是项目组成员识别风险。
3.2持续风险管理的步骤
持续改进过程的步骤是一种基于PDCA循环的系统化问题解决方法,改进通常是阶段性的,要观察每个阶段各个过程的整体效果,而不是分散进行。不然的话,分散优化会降低整个项目的效率。具体的步骤如下:
(1)识别项目风险流程改进机会。这一阶段的目标是选择适当的项目风险流程用于改进。例如,工程实施中土地使用权获取、建筑设计、融资分析的关键环节和过程,对整个项目前期工作的效果和目标影响重大,因此作为关键的风险流程用于改进。
(2)评价需改进的风险流程。这一阶段目标是选择有挑战性的问题及确定改进的指标。重点就是把需改进的项目风险流程的具体指标细化,并确定改进的具体目标。
(3)分析项目实施中存在的问题。这一阶段目标是识别目前风险管理中存在的原因,充分利用有关工具和方法找出原因。
(4)采取措施。计划并采取适当措施改正不规范的做法,针对风险管理工作流程进行改正,以达到目的,消除存在的问题。
(5)确认改进的结果。评价采取的风险管理措施是否达到了目标。
(6)改进方法标准化。这一阶段主要目标就是确保项目风险管理的水平得到维持,要确保已经改进的工作效果通过制定的管理流程图、程序、制度、标准等已成为日常工作的一部分,并可以把这一阶段的规范化管理成果推广到其他过程或部门。
(7)为下一阶段或未来项目进行计划。主要针对遗留问题制定计划并评价其效果,通过学习其他部门的经验为下阶段工作和未来项目提供规范化管理的知识。
4、项目风险管理流程改进的价值
4.1风险管理流程改进的目标
持续改进是RMMM(CRM)的核心,因此,风险流程改进业务(RPI)是降低项目风险和成本的基础。一般的项目经理只是相信看得见的投资收益,而不是采纳RPI及所能带来的非显而易见的收益。传统的风险流程改进计划目标是通过很高的风险管理成本,从而取得项目高绩效和高可靠性。现行的风险资源型管理方法,是把风险当作获取收益的资源,通过风险预算的低成本,取得项目的中等绩效和中等可靠性。但是利用风险预算,来弥补流程环境的不足是不能获得期望收益的。相反,虽然RPI没有较明显的满意投资收益,但是用定量方法仍然是能够度量成本和收益。这是由于RPI能够形成良好的风险流程,可以降低与不良流程相关的风险。RPI是可以用CMM第2层次的工作来实施,并且最终能够实现低成本、高绩效、高可靠性的目标。
4.2风险管理流程改进的成本
RPI的成本是决定项目成本和收益的重要方面。RPI成本模型主要包括:风险流程基础设施成本,风险流程改进实施成本,风险流程改进技术路线成本和风险流程评估成本。
这些直接和间接的成本和收益均包括定性和定量两个方面。定性成本被归因于与生产低劣产品相关的现存不合理流程的成本。这可能导致客户不满意或者丧失未来商机,这些成本如客户满意度下降、瑕疵纠正成本、返工成本,以及由于违约而导致的业务损失成本等。利用有效的风险评估方法能够把定性因素转换为定量成本,这可以通过评估不同因素相关风险,然后为每一项分配风险预算来实现。风险预算是规避风险的成本乘以风险发生概率。要建立RPI投资的成本收益模型的一种方法是,定义关键指标以期能够跟踪和度量项目。这些关键指标以关键质量指标(KQI)形式出现,与TQM项目所定义的部分指标相一致。还可以体现为关键性能指标(KPI),与项目经理和职员的设想一致。其他指标能够体现为项目健康指标(PHI),与项目规划阶段的相一致,而且易于在项目跟踪活动中被定期检查。
4.3项目风险管理流程改进的价值
风险流程改进价值包括建立合理风险流程的直接结果以及改进产品质量和客户满意度的结果。有关可定量化价值包括:增加生产力、降低产品周期、降低开发与维护成本等。不可定量化价值包括:改进客户服务水平、适应需求,以及降低维护的努力。这些定性化价值可以通过特定方法来转换成定量价值。在实施RPI过程中,应当建立统一的成本价值模型。利用可以为不同组织所使用的统一模型,可以很方便用于结果和价值比较,也可以为企业建立一个可能的标杆或基准(Benchmark)。这个模型的另外一个价值是提供一个度量RPI努力的基准。通常,流程改进要至少经历一个完整的RPI周期,平均需要18~36个月。但是目前没有通用或标准模型来进行RPI的收益成本验证,因为处理定量化的部分较容易,但处理RPI定性化成本和收益方面很难。为了证明RPI的成本收益,对项目风险域改进的潜在收益需要利用风险评估方法定性并定量化,如利用项目风险分析管理模(PRAM)。
PRAM现在已经被很多欧洲公司用于识别、分析和减低与系统集成项目有关的风险。PRAM风险管理模型可以应用于对关键流程持续的风险识别和叠代工作,该方法核心概念是风险预算,它通过把预算价值加在潜在的RPI收益上,来度量RMMM(CRM)的风险管理的价值和效果。
总之,随ISO9000:2000和CMM的大规模应用,以及工程项目复杂性的增加,对RMMM或者CRM的需求也将逐渐增加。因此,要想提高项目运转效率和可靠性,有效地降低风险,应通过持续改进的方法对项目风险进行管理。
参考文献:
「1凯西。施瓦贝尔。IT项目管理「M.北京:机械工业出版社,2002:390.
「2parisonofThreeApproachestoProjectRiskManagement「R.PMIMelbourneChapter.BroadleafCapitalInternationalPtyLtd,2000.
「3Aninternationalguidetobestbusinesspractice:RiskManagement「S.StandardsAustrlia,1999.
「4AS/NZS4360(1999)「R——RiskManagement.
关键词:电力企业,风险管理,定量风险评估
0、引言
电力作为高风险产业,不仅源于其公用事业属性,以及技术资金密集、供求瞬时平衡、生产运行连续等特征,同时电力项目投资额巨大、建设周期长、沉没成本高,而且,随着电力体制改革和电力市场建设进程的深入,市场主体越来越多,电力交易关系复杂,不同主体之间协调困难,电力行业规划建设、生产经营的不确定性加大、电力市场风险增加。根据“十一五”期间电力体制改革的任务,面对我国电力市场化发展的现状,增强风险意识,树立风险观念,加强风险管理将是电力企业的重要任务。本文在阐述了企业风险管理基本框架流程及其主要内容的基础上,提出电力企业定量风险评估的主要内容及方法,以期推动电力系统风险管理工作的开展。
1、风险管理的主要内容
风险作为客观存在,要求人们考察研究风险时,要从决策角度认识到风险与人们有目的活动、行动方案选择及事物的未来变化有关。风险的形成过程和风险的客观性、损失性、不确定性特征共同构成风险形成机制分析和风险管理的基础。
人们一般对风险持厌恶态度,都想减小风险损失,追求风险与收益的均衡优化。风险管理的提出与发展与企业发展状况、社会背景密不可分。风险管理作为一门管理学科,首先在美国应运而生,之后传到西欧、亚洲、拉丁美洲。美国大多数企业都设置专职部门进行风险管理,许多大学的工商管理学院都开设风险管理课程。风险管理作为一门科学与艺术,既需要定性分析,又需要定量估计;既要求理性,又要求人性;不但需要多学科理论指导,还需要多种方法支持。
源于风险意识的风险管理主要包括风险分析、风险评价与风险控制三大部份。根据风险形成的过程,风险分析需要进行风险辨识、风险估计。风险估计需要进行频率分析与后果分析,而后果分析又包括情景分析与损失分析。通过风险分析,可得到特定系统所有风险的风险估计,对此再参照相应的风险标准及可接受性,判断系统的风险是否可接受,是否采取安全措施,这就是风险评价。风险分析与风险评价总称为风险评估。为进行风险定量化估算,要进行定量风险评估(QuantitativeRiskAssessment—QRA)。在风险评估的基础上,针对风险状况采取相应的措施与对策方案,以控制、抑制、降低风险,即风险控制。风险管理不仅要定性分析风险因素、风险事故及损失状况,而且要尽可能基于风险标准及可接受性对风险进行定量评价。对于以盈利为目的的工业企业也希望将风险损失价值化并给出货币衡量标准。风险管理就是风险分析、风险评价、风险控制三者密切相联的动态过程,见图1。
2、风险管理的组织实施与基本流程
为有效实施风险管理,企业应由专门的组织及相关人员按一定程序组织实施风险管理工作。据《幸福》杂志对美国500多家大公司的调查知,84%的公司由中层以上的经理人员负责风险管理。风险管理的趋势是董事会下属设立风险管理委员会全面负责公司风险管理,组织实施的流程是:①制定风险管理规划;②风险辩识;③风险评估;④风险管理策略方案选择;⑤风险管理策略实施;⑥风险管理策略实施评价。
3、电力企业定量风险评估(QRA)
电力企业QRA的建立与发展从内部来看,不仅已有可靠性分析、安全分析、质量管理、项目管理等各专业分析作基础,从外部而言有电力用户、政府与社会公众、咨询机构等众多相关主体的关注。电力企业QRA对企业的作用主要体现在:通过QRA有利于企业将风险水平控制在规定标准的风险水平之内,并符合最低合理可行原则;通过开展QRA可帮助企业全面识别风险,并按轻重缓急排序,以有助于管理者将精力、财力、物力集中于风险控制的重要紧急领域,使风险管理决策更为合理、效果更好、成本最小;通过对各种风险控制方案或安全改进措施进行QRA,使决策者对方案措施进行优劣选择,为公司提出决策支持。电力企业的风险将对其它企业和主体带来连带影响,并产生放大效应,电力系统安全、可靠、高效、优质是各行各业和政府管理部门共同的愿望。电力企业实施QRA具有现实意义。
3.1电力企业QHA的基本框架模式
电力企业QRA是指在工业系统QRA的基础上,考虑电力系统的技术经济特点及运行规律,结合电力体制改革及电力市场化进程而以概率模型表征的全面风险管理理论方法。为便于实施风险管理,保证风险评估质量,满足风险评估过程各阶段的不同要求,构建如图3所示的适用于电力企业QRA的基本框架模式。在具体实施时,允许依实际情况而有所改变。
3.2电力企业QRA的主要工作内容
(1)确定目标及范围。包括风险管理的目的与意义,待分析系统的设备配置、工作流程、资金、人员、管理、信息、地区、人文环境等,即确定QRA实现目标和实施条件等。
(2)风险辨识。即找出待评价系统中所有潜在的风险因素,并进行初步分析,通过安全检查看系统是否达到规范要求。风险辩识的基本途径有历史事故统计分析、安全检查表分析、风险与可操作性研究(HZOPS)、故障模式与影响分析(FMEA)、故障模式影响及危急分析(FMECA)、故障树分析(ETA)、事故树分析(ETA)、风险分析调查表、保单检视表、资产风险暴露分析表、财务报表、流程图、现场检查表、风险趋势估计表等。为配合保险公司对出险事项的处理,可采用从下至上的归纳法、从上至下的演绎法及两者综合运用。针对特定风险,可选用基于系统平面布置的区域分析、隐含事件分析、德尔菲法及基于事故树分析的风险事故网络法等。风险辩识不只局限于系统硬件,还应考虑人为因素、组织制度等系统软件。风险综合集成是指对所有风险按其特性类型分门别类加以汇总整理。因电力工业特点及电力市场化改革特点,把电力系统风险按厂网分开的行业结构进行分类。
对于发电企业而言,主要有电源规划风险、报价竞价上网风险、供求平衡风险、市场力抑制风险、备用容量风险、信用风险、法律风险、项目风险、中介机构风险等。对于电网企业而言,主要有电网规划风险、电网融资风险、购电电价风险、电力交易转移风险、辅助服务风险、成本分摊风险、输电阻塞风险、输电能力风险、备用率风险、电力监管风险等。另外,电力企业还将面临电力可靠性、安全性、稳定性风险及电能质量风险等。
风险综合集成后的初步风险分析是对已辩识出的风险进行初步分析评估,确定风险的等级或水平。风险水平低的可忽略不计或仅作定性评估,风险水平高的要在定性分析基础上,进行定量评估。
(3)频率分析。即确定风险可能发生的频率,其方法主要有历史数据统计分析、故障树分析与失效理论模型分析。历史数据统计分析是根据有关事故的历史数据预测今后可能发生的频率。因此要建立风险数据库,既作为QRA的基础,又作为风险决策的依据。故障树分析作为一种自上而下的逻辑分析法,把可能发生的事故或系统失效(顶事件)与基本部件的失效联系起来,根据基本部件的失效概率计算出顶事件的发生概率。失效理论模型分析是在历史数据与专家经验的基础上,采用某种失效理论模型来计算风险发生频率。
(4)风险测定估计。根据风险特性及类型,运用一定的数学工具测定或估计风险大小。常用方法主要有主观估计法、客观估计法、期望值法、数学模型法、随机模拟法和马尔可夫模型法等。
(5)后果分析。即分析特定风险在某种环境作用下可能导致的各种事故后果及损失。其方法主要有情景分析与损失分析。情景分析通过事件树模型分析特定风险在环境作用下可能导致的各种事故后果。损失分析是分析特定后果对其它事物的影响及利益损失并归结为某种风险指标。
(6)风险标准及可接受性。风险标准及可接受性应遵循最低合理可行(ALARP)原则。ALARP原则是指任何系统都存在风险,而且风险水平越低,即风险程度越小要进一步减少风险越困难,其成本会呈指数曲线上升。也就是说,风险改进措施投资的边际效益递减,最终趋于零,甚至为负值。因此,必须在风险水平与成本间折衷考虑。如果电力企业定量风险评估所得风险水平在不可接受线之上,则该风险被拒绝,如果风险水平在可接受线之下,则该风险可接受,无需采取风险改进措施;如风险水平在不可接受线与可接受线之间,即落人ALARP区(可容忍区),这时要进行风险改进措施投资成本风险分析或风险成本收益分析。
分析结果如果证明进一步增加风险改进投资对电力企业的风险水平减小贡献不大,则该风险是可接受的,即允许该风险存在,以节省投资成本。ALARP原则的经济学解释类似投入要素的边际收益递减规律一样,风险与风险措施投入间的风险曲线也呈边际收益递减规律。
3.3电力企业QRA常用方法
根据电力企业QRA的工作内容和实现要求,结合电力企业本身特点,电力企业QRA常用的方法主要有:安全检查表即实施安全检查的项目明细表;故障模式与影响分析技术和故障模式影响分析与致命度分析(FMEACA)技术;风险与可操作性研究技术;事件树分析技术;基于概率影响图技术、人工智能、专家系统、可靠性工程技术期望值法、风险主观、客观估计法、模糊评估法等。
关键词:电力企业,风险管理,定量风险评估
引言
电力作为高风险产业,不仅源于其公用事业属性,以及技术资金密集、供求瞬时平衡、生产运行连续等特征,同时电力项目投资额巨大、建设周期长、沉没成本高,而且,随着电力体制改革和电力市场建设进程的深入,市场主体越来越多,电力交易关系复杂,不同主体之间协调困难,电力行业规划建设、生产经营的不确定性加大、电力市场风险增加。根据“十一五”期间电力体制改革的任务,面对我国电力市场化发展的现状,增强风险意识,树立风险观念,加强风险管理将是电力企业的重要任务。本文在阐述了企业风险管理基本框架流程及其主要内容的基础上,提出电力企业定量风险评估的主要内容及方法,以期推动电力系统风险管理工作的开展。
一、风险管理的主要内容
风险作为客观存在,要求人们考察研究风险时,要从决策角度认识到风险与人们有目的活动、行动方案选择及事物的未来变化有关。风险的形成过程和风险的客观性、损失性、不确定性特征共同构成风险形成机制分析和风险管理的基础。
人们一般对风险持厌恶态度,都想减小风险损失,追求风险与收益的均衡优化。风险管理的提出与发展与企业发展状况、社会背景密不可分。风险管理作为一门管理学科,首先在美国应运而生,之后传到西欧、亚洲、拉丁美洲。美国大多数企业都设置专职部门进行风险管理,许多大学的工商管理学院都开设风险管理课程。风险管理作为一门科学与艺术,既需要定性分析,又需要定量估计;既要求理性,又要求人性;不但需要多学科理论指导,还需要多种方法支持。
源于风险意识的风险管理主要包括风险分析、风险评价与风险控制三大部份。根据风险形成的过程,风险分析需要进行风险辨识、风险估计。风险估计需要进行频率分析与后果分析,而后果分析又包括情景分析与损失分析。通过风险分析,可得到特定系统所有风险的风险估计,对此再参照相应的风险标准及可接受性,判断系统的风险是否可接受,是否采取安全措施,这就是风险评价。风险分析与风险评价总称为风险评估。为进行风险定量化估算,要进行定量风险评估(QuantitativeRiskAssessment—QRA)。在风险评估的基础上,针对风险状况采取相应的措施与对策方案,以控制、抑制、降低风险,即风险控制。风险管理不仅要定性分析风险因素、风险事故及损失状况,而且要尽可能基于风险标准及可接受性对风险进行定量评价。对于以盈利为目的的工业企业也希望将风险损失价值化并给出货币衡量标准。风险管理就是风险分析、风险评价、风险控制三者密切相联的动态过程。
二、风险管理的组织实施与基本流程
为有效实施风险管理,企业应由专门的组织及相关人员按一定程序组织实施风险管理工作。据《幸福》杂志对美国500多家大公司的调查知,84%的公司由中层以上的经理人员负责风险管理。风险管理的趋势是董事会下属设立风险管理委员会全面负责公司风险管理,组织实施的流程是:①制定风险管理规划;②风险辩识;③风险评估;④风险管理策略方案选择;⑤风险管理策略实施;⑥风险管理策略实施评价。
三、电力企业定量风险评估(QRA)
电力企业QRA的建立与发展从内部来看,不仅已有可靠性分析、安全分析、质量管理、项目管理等各专业分析作基础,从外部而言有电力用户、政府与社会公众、咨询机构等众多相关主体的关注。电力企业QRA对企业的作用主要体现在:通过QRA有利于企业将风险水平控制在规定标准的风险水平之内,并符合最低合理可行原则;通过开展QRA可帮助企业全面识别风险,并按轻重缓急排序,以有助于管理者将精力、财力、物力集中于风险控制的重要紧急领域,使风险管理决策更为合理、效果更好、成本最小;通过对各种风险控制方案或安全改进措施进行QRA,使决策者对方案措施进行优劣选择,为公司提出决策支持。电力企业的风险将对其它企业和主体带来连带影响,并产生放大效应,电力系统安全、可靠、高效、优质是各行各业和政府管理部门共同的愿望。电力企业实施QRA具有现实意义。
3.1电力企业QHA的基本框架模式
电力企业QRA是指在工业系统QRA的基础上,考虑电力系统的技术经济特点及运行规律,结合电力体制改革及电力市场化进程而以概率模型表征的全面风险管理理论方法。为便于实施风险管理,保证风险评估质量,满足风险评估过程各阶段的不同要求,构建如图3所示的适用于电力企业QRA的基本框架模式。在具体实施时,允许依实际情况而有所改变。
3.2电力企业QRA的主要工作内容
(1)确定目标及范围。包括风险管理的目的与意义,待分析系统的设备配置、工作流程、资金、人员、管理、信息、地区、人文环境等,即确定QRA实现目标和实施条件等。
(2)风险辨识。即找出待评价系统中所有潜在的风险因素,并进行初步分析,通过安全检查看系统是否达到规范要求。风险辩识的基本途径有历史事故统计分析、安全检查表分析、风险与可操作性研究(HZOPS)、故障模式与影响分析(FMEA)、故障模式影响及危急分析(FMECA)、故障树分析(ETA)、事故树分析(ETA)、风险分析调查表、保单检视表、资产风险暴露分析表、财务报表、流程图、现场检查表、风险趋势估计表等。为配合保险公司对出险事项的处理,可采用从下至上的归纳法、从上至下的演绎法及两者综合运用。针对特定风险,可选用基于系统平面布置的区域分析、隐含事件分析、德尔菲法及基于事故树分析的风险事故网络法等。风险辩识不只局限于系统硬件,还应考虑人为因素、组织制度等系统软件。风险综合集成是指对所有风险按其特性类型分门别类加以汇总整理。因电力工业特点及电力市场化改革特点,把电力系统风险按厂网分开的行业结构进行分类。
对于发电企业而言,主要有电源规划风险、报价竞价上网风险、供求平衡风险、市场力抑制风险、备用容量风险、信用风险、法律风险、项目风险、中介机构风险等。对于电网企业而言,主要有电网规划风险、电网融资风险、购电电价风险、电力交易转移风险、辅助服务风险、成本分摊风险、输电阻塞风险、输电能力风险、备用率风险、电力监管风险等。另外,电力企业还将面临电力可靠性、安全性、稳定性风险及电能质量风险等。
风险综合集成后的初步风险分析是对已辩识出的风险进行初步分析评估,确定风险的等级或水平。风险水平低的可忽略不计或仅作定性评估,风险水平高的要在定性分析基础上,进行定量评估。
(3)频率分析。即确定风险可能发生的频率,其方法主要有历史数据统计分析、故障树分析与失效理论模型分析。历史数据统计分析是根据有关事故的历史数据预测今后可能发生的频率。因此要建立
风险数据库,既作为QRA的基础,又作为风险决策的依据。故障树分析作为一种自上而下的逻辑分析法,把可能发生的事故或系统失效(顶事件)与基本部件的失效联系起来,根据基本部件的失效概率计算出顶事件的发生概率。失效理论模型分析是在历史数据与专家经验的基础上,采用某种失效理论模型来计算风险发生频率。
(4)风险测定估计。根据风险特性及类型,运用一定的数学工具测定或估计风险大小。常用方法主要有主观估计法、客观估计法、期望值法、数学模型法、随机模拟法和马尔可夫模型法等。
(5)后果分析。即分析特定风险在某种环境作用下可能导致的各种事故后果及损失。其方法主要有情景分析与损失分析。情景分析通过事件树模型分析特定风险在环境作用下可能导致的各种事故后果。损失分析是分析特定后果对其它事物的影响及利益损失并归结为某种风险指标。
(6)风险标准及可接受性。风险标准及可接受性应遵循最低合理可行(ALARP)原则。ALARP原则是指任何系统都存在风险,而且风险水平越低,即风险程度越小要进一步减少风险越困难,其成本会呈指数曲线上升。也就是说,风险改进措施投资的边际效益递减,最终趋于零,甚至为负值。因此,必须在风险水平与成本间折衷考虑。如果电力企业定量风险评估所得风险水平在不可接受线之上,则该风险被拒绝,如果风险水平在可接受线之下,则该风险可接受,无需采取风险改进措施;如风险水平在不可接受线与可接受线之间,即落人ALARP区(可容忍区),这时要进行风险改进措施投资成本风险分析或风险成本收益分析。
分析结果如果证明进一步增加风险改进投资对电力企业的风险水平减小贡献不大,则该风险是可接受的,即允许该风险存在,以节省投资成本。ALARP原则的经济学解释类似投入要素的边际收益递减规律一样,风险与风险措施投入间的风险曲线也呈边际收益递减规律。
3.3电力企业QRA常用方法
根据电力企业QRA的工作内容和实现要求,结合电力企业本身特点,电力企业QRA常用的方法主要有:安全检查表即实施安全检查的项目明细表;故障模式与影响分析技术和故障模式影响分析与致命度分析(FMEACA)技术;风险与可操作性研究技术;事件树分析技术;基于概率影响图技术、人工智能、专家系统、可靠性工程技术期望值法、风险主观、客观估计法、模糊评估法等。
一、内部控制与风险管理关系辨析
内部控制思想和管理实践早在18世纪西方国家就已经出现,当时只是以账目核对和岗位分离为手段来保证账目正确,防范舞弊行为的发生。1945年,美国注册会计师协会的审计程序委员会在《内部控制:一种协调制度要素及其对管理当局和注册会计师的重要性》的报告中,首次将内部控制定义为:“为了保护财产的安全完整,检查会计资料的准确性和可靠性,提高企业的经营效率以及促进企业贯彻既定的经营方针,所设计的总体规划及所采用的与总体规划相适应的一切方法和措施。”1994年,COSO在《内部控制——整体框架》对内部控制定义的描述如下:内部控制是由董事会、管理层和员工共同设计并实施的,旨在为财务报告的可靠性、经营效率和效果、相关法律法规的遵循性等提供合理保证的过程。报告将内部控制划分为控制环境、风险评估、控制活动、信息与沟通和监控5个要素。这一内部控制的定义得到广泛的认同并沿用至今。内部控制本质上是组织的内部风险控制机制,它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力(丁友刚、胡兴国,2007)。
风险管理起源于20世纪30年代的美国,并从美国向世界范围内传播。20世纪中期,一些行业开始尝试着运用保险的方法进行风险管理。从20世纪后期开始,由于环境的不断变化,控制手段和措施的不断丰富,风险管理的外延和内涵也有了很大的扩展。随着对风险认识的不断提高,人们对风险管理也有了更深的理解和判断(董大胜,韩晓梅,2010)。2004年,在COSO出台的《企业风险管理——整合框架》中,对企业风险管理定义如下:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。风险管理包括八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。总的来讲,整合框架强调在整个企业范围内识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现,要求企业在战略制定阶段就应考虑风险因素。企业对风险的控制不仅面向过去,也要面向未来;企业的风险管理不仅贯穿于战术层面也贯穿于战略层面(谢志华,2007)。
关于内部控制与风险管理的关系,目前代表性的观点有三种:一是认为风险管理包含内部控制,COSO《企业风险管理——整合框架》(2004)中明确指出,风险管理包含内部控制,企业风险管理比内部控制范围广得多;二是认为内部控制包含风险管理,加拿大COCO报告(1995)认为,风险评估与风险管理是内部控制的关键要素;三是认为内部控制就是风险管理,风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,3E在变为同一事物(谢志华,2007)。总而言之,内部控制理论和风险管理研究的发展是紧密联系、息息相关的。董月超(2009)认为,两者的相同之处在于:对参与的主体要求相同,都对企业实现目标提供合理的保证,都强调要主动应对风险;两者的不同之处在于:目标体系不同、组成要素不同、产生效益的方式不同、风险管理的理念不同。内部控制属于企业管理范畴,而风险管理属于企业治理范畴,风险管理是对内部控制的继承与发展。丁友刚、胡兴国(2007)指出,内部控制本质上是组织的内部风险控制机制,它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力。
正因为有这样不同的认识,在企业管理的实践层面,许多企业在21世纪初轰轰烈烈地全面更新了内部控制体系之后,又于近几年全面推进风险管理,从组织结构改良开始,设立了独立的风险管理机构,建立风险管理体系,让那些刚刚开始尝试执行的内部控制制度戛然而止。笔者认为,内部控制与风险管理的直接载体都是企业的经营活动,内部控制与风险管理都以企业法人为边界,从这一点来说,不能将二者截然割裂开来。内部控制重心在企业的高管层之下(经营活动),风险管理的重心在高管层之上(战略设计、决策),内部控制主要关注不相容职务是否分离,风险管理主要关注经营目标实现过程中的不确定性。两者间的关系辨析固然重要,它有助于理清思路,找准内部控制与风险管理工作的侧重点。但是,更为关键的是:如何构建一个架构将两者有机融合、指导企业管理实践。“他山之石,可以攻玉”,日本自2003年成立“风险管理与内部控制研究委员会”以来,经过8年多的发展,积累了丰富的经验,形成了一套行之有效的办法,值得我们借鉴。
二、日本内部控制与风险管理政策研究
2001年美国安然事件之后,日本企业会计审议会于2005年初成立了内部控制专业委员会,并且于2007年2月颁布了《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定意见书》、《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》。准则在美国COSO委员会内部控制概念框架的基础上,结合日本企业的特点(资产的取得、使用及处分的手续繁杂,因而资产受到特别的关注),对内部控制的定义如下:内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。与COSO委员会颁布的三项目标不同,日本内部控制的定义在三个目标的基础上又增加了资产保全这一目标,强调内部控制是企业内部体制与流程,内部控制能为企业发展提供合理的保障(而不是完全的保障)。
(一)内部控制与风险管理两者间的关系
对于内部控制与风险管理间的关系,在2005年经济产业省所召开的《新风险时代的内部控制》的研讨会上,将风险管理划分为两种类型:与企业发展机会相关联的风险(是指与企业经营相关的战略层面的决策风险,具体包括进入新业务领域的风险、新产品开发的风险、资金运作相关的风险、设备投资相关的风险等);与企业业务活动相关联的风险(是指正确、高效的开展业务相关的战术风险,具体包括与财务报告相关的风险、与产品质量相关的风险、与信息系统相关的风险、与业务手续相关的风险、与物品、环境相关的风险等)。这两类风险共同影响企业持续的价值增值,都是企业全面风险管理的对象,但它们与内部控制间的关系却不尽相同。
对于“与企业业务活动相关联的风险”,可以通过内部控制流程直接进行防范,这需要建立合理的内部控制架构。管理层可以通过对内部控制体系的构建来管理“与业务活动相关联的风险”,并以此为基础,开展包括“与企业发展机会相关联的风险”在内的全面风险管理。风险类型与内部控制间的关系,如表1所示。
因此,从应对上述两类风险的角度而言,内部控制与风险管理间的关系表现为:内部控制是应对全面风险的前提,也就是说,内部控制为与业务相关联的各类风险进行恰当的风险管理活动提供了支撑。两者的关系可以进一步细化为三个方面:
1.风险评估是内部控制的构成部分
与风险管理相关的风险对策,大多数是在内部控制框架的基础上形成的。因此,开展风险管理所需的风险评估,由风险评估所形成的风险对策,对风险对策实施情况的评价是内部控制调整、运营情况评价的一部分。
2.风险评估的结果是内部控制进行持续改进的依据
内部控制不仅关乎“与业务活动开展相关联的风险”,而且必须在各种风险评价以及与风险评价相应的方法经验积累的基础上,对内部控制的框架、运行情况进行动态调整。管理层通过风险管理对风险进行评价提出相应方针政策,并在此基础上对内部控制的各个方面进行持续的改进。
3内部控制促进全面风险管理的完善
内部控制流程中所处理的“与业务活动开展相关联的风险”,必须及时地反馈给风险管理组织,并在全面风险管理活动中进行评估。
(二)内部控制与风险管理的—体化模式
风险管理与内部控制是市场经济环境下,企业的经营者为了响应各类企业利益相关者的需求、保证企业永续经营必不可少的管理手段。恰当的风险管理、完善的内部控制体系,有助于提高客户与投资者对企业的信任度,从而增加企业的价值。正因为如此,2003年,日本经济产业省在总结先进企业内部控制与风险管理成功经验的基础上,融合日本全面质量管理的成功经验,构建了“内部控制与风险管理的一体化模式”。该模式包括三方面内容:内部控制的PDCA循环,基于风险管理的内部控制评价流程,内部控制与风险管理整合架构。
1.内部控制的PDCA循环
PDCA循环又叫质量环或者戴明环,是管理学中的一个通用模型,是美国质量管理专家戴明博士首先提出的,它是全面质量管理所应遵循的科学程序。PDCA循环就是按照“计划—执行—检查—行动”的顺序进行质量管理、实现持续改善。从上世纪70年代全面质量管理在日本推广以来,极大地促进了日本经济的发展,质量意识深入人心,所以在内部控制体系构建环节,日本经济产业省也引入了PDCA循环(如图1所示)。
在内部控制体系构建的PDCA循环中,企业首先在对风险综合评价的基础上,把握经营活动的变化,对内部控制的架构进行适当的调整(Plan);运行内部控制程序(DO);通过内部控制的评价(Check),确认内部控制机能的有效性;明确内部控制的调整与改善的方向(Act)。其中,内部控制的评价与内部控制的调整、改善是内部控制PDCA循环的发动机。
2.基于风险分析的内部控制评价流程
内部控制评价是指内部控制制度、行为是否契合内部控制总体目标的达成,包括体系构建的完备性(规则、制度是否健全,内容是否合适)和运行状况的遵循性(在具体执行运行过程中,是否遵循既定的内部控制规则)。为了促进风险管理与内部控制间的有机整合,日本经济产业省在对先进企业风险管理经验总结的基础上,归纳并形成了基于风险分析的内部控制评价方法。该方法通过对企业风险进行分析,评价内部控制体系是否能够把握特定的经营活动的风险,并对这些风险进行及时地发现和有效地预防。
以采购活动的“预定工作”为例,由于存在着资金支出的购买活动,一般而言发生舞弊行为的可能性更大,所以存在降低发生舞弊风险的必要性,其内部控制评价流程如图2所示。内部控制评价的前提条件是对综合风险评价、对经营活动的把握,具体到购买活动时要考虑如何降低舞弊行为发生的风险。在“采购的预定流程中”,首先要确认内部控制的制度、规则的建设情况(主要确认采购申请填写人与订货负责人是否分离),如果内部控制制度本身不完善,要进行整改。在内部控制制度、规则完善的基础上(采购申请填写人与订货负责人在制度规定上实现了分离),进一步确认运行情况的遵循性(对运行情况的分析,主要关注运行过程是否按照制度与规则执行),如果存在执行不到位的,需要整改。
3.内部控制与风险管理整合架构
无论是“内部控制的PDCA循环”,还是“内部控制的评价流程”,都属于企业风险管理与内部控制工作的“单元要素”。如何将这些“单元要素”整合在统一的框架中,促进风险管理与内部控制的有机融合,日本经济产业省给出了一个通用性的“内部控制与风险管理的整合架构”,如图3所示。
内部控制与风险管理整合架构显示,健全的内部控制环境与通畅的信息传递渠道,是企业内部控制与风险管理整合架构的基础。在“金字塔式的组织中”,企业的各个层级通过PDCA循环,让风险管理与内部控制融入企业经营管理的各个方面。内部控制的评价基于风险分析,实施内部控制评价的人员要能够准确把握流程现状,并对作为控制对象的业务有一定程度理解。具体而言,采购的流程由采购部经理负责、制造流程由制造部经理负责,各个业务流程由其流程的负责人负责。但是,在实际工作中流程负责人(采购部经理或者制造部经理)不可能对每一个内部控制进行确认与评价,对于那些更为细化的环节(如采购流程中的“定货”、“验收”环节)要由下一层次的负责人(如作业层负责人)来评价。在内部控制的综合评价中,企业的各个层级不是独立的开展内部控制评价,而是通过“自下而上”的方式开展连贯式内部控制评价,即从作业层(车间负责人,团队负责人)到战术层(各部门经理)再到战略层(股东等)。在这些评价结果的基础上,最终形成综合评价。当发现企业某些业务流程出现问题时,根据问题的风险程度,决定内部控制的改善方案。
此外,在内部控制评价过程中,还要充分发挥内部审计部门的作用。内部审计部门作为独立的评价机构,对各个层级的内部控制评价的结果进行再评价,确保内部控制评价的客观性,促进内部控制体系完善,让企业的风险得到全面的控制。
三、启示
虽然《企业内部控制配套指引》的出台,标志着我国企业内部控制规范体系基本建成。但是,就我国企业管理实践来看内部控制与风险管理未能实现真正的融合,因此影响到内部控制作用的真正发挥。结合日本政府在促进本国企业构建“内部控制与风险管理一体化模式”方面的经验,笔者提出三点建议:
(1)建立统一协调的外部监管机构。为了促进企业实现全面风险管理,形成有效、柔性的内部控制体系,2003年5月,由日本经济产业省牵头,成立了“产(大型企业代表)学(部分高校与科研院所)官(政府机构)”为主体的“内部控制与风险管理”研究会,研究会经过多次研讨,最终形成了《新风险时代的内部控制》研究报告,该报告对企业的内部控制与风险管理工作的开展给出了一般性指导意见。目前,我国内部控制和风险管理的监管制度的制订,分属于不同的制度框架。内部控制的规范标准,是由财政部、证监会、审计署、银监会、保监会通过2010年4月26日联合的《企业内部控制配套指引》来确定的;风险管理的规范标准,是由国务院国有资产监督管理委员会通过2006年6月6日出台的《中央企业全面风险管理指引》来确定的。由于“政出多门”,缺乏一个统一的规则来协调各项“指引”的内容,这是导致目前我国企业管理实践不能将二者有机融合的重要原因之一。企业常常为了应付检查将同一件事情用两个规范来做,结果是“为了控制而控制”,既增加了企业的成本,又收不到应有的实效。因此,结合我国企业管理的实际情况,构建具有我国特色的内部控制与风险管理一体化模式,需要建立一个统一协调的外部监管机构。
