时间:2023-08-31 16:08:22
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇风险控制和风险管理的区别,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】 内部控制 风险管理 问题 措施
随着全球经济一体化以及我国市场经济的快速发展,我国企业生产经营过程中所面临的风险也日益复杂化,企业内部和外部环境的变化给企业带来了严峻的挑战。我国企业应充分认识到风险管理和内部控制的重要性,建立完善的内部控制制度以及加强风险管理以提高企业的国际竞争力,实现企业健康、稳定的发展。
一、内部控制与风险管理概述
1、内控控制与风险管理的内涵
内部控制是指企业为了实现其经营目标,保护资产的安全性和完整性,保证会计信息资料的正确性和可靠性,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在企业内部采取的自我调整、约束、规划、评价和控制的一系列方法和措施的总称。内部控制要素主要包括控制环境、风险评估、控制活动、信息与沟通、监控等五个方面。
美国COSO将风险管理定义为,企业风险管理是由企业的董事会、管理当局和其他员工共同参与的一个过程,应用于企业战略的制订并贯穿于企业经营管理活动之中,旨在识别可能会影响企业的潜在事项,将风险控制在管理当局可接受的范围之内,为企业目标的实现提供合理保证。风险管理主要包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督等八个要素。
2、内部控制与风险管理的联系与区别
从内部控制和风险管理的组成要素来说,二者在控制环境、风险评估、控制活动、信息与沟通和监督等方面存在一定的联系,它们都是为保证企业的有序运行,实现企业的经济效益和经营的安全性而对企业各项经营活动进行有效的控制和预防。内部控制和风险管理二者相辅相成,紧密联系。风险管理的有效实施取决于信息的收集,而内部控制通过建立过程控制体系规范、控制各经营活动恰好为风险信息的收集提供了有效途径。风险管理主要是对各种风险因素进行识别、分析和评估,其目的是使风险得到控制从而以最低的成本实现最大的安全保障,这恰是内部控制的根本目的所在。
企业内部控制和风险管理之间也存在一定的区别,二者各有侧重点,风险防范范围也不同。内部控制侧重于企业财务方面和审计方面的控制,保证会计信息的真实性和资金的安全性,会计控制是核心,而风险管理则更关注特定业务中与战略选择和决策相关的风险和收益的比较。内部控制涉及企业各种经营活动的内部和外部风险,而风险管理则比较关注特定业务的战略评审,其目的是通过比较不同公司业务领域内的风险与报酬来使企业效益最大化。
二、企业内部控制和风险管理现存问题
1、风险管理意识不足,对内部控制的理解过于片面
目前许多企业对风险管理的认识不足,没有制定出足够有效的控制制度来防范企业所面临的各种风险,很多企业没有将风险管理的思想融入到企业的内部控制之中,风险评估不够深入,流于形式,或是缺乏对风险的定期复核和再评估,降低了企业适应环境变化和规避风险的能力。同时,目前大多数企业对内部控制的理解过于片面,过于重视传统意义的内部控制,忽视了对风险的控制和衡量,例如过于关注某些特定业务,而对外部经济、技术条件或其他重大不利事项缺少足够的控制,不能为企业创造一个良好的内外部发展空间。
2、风险管理组织结构不完善,尚未建立完备的内部控制机构
由于公司治理结构问题,我国大多数企业虽然已建立起相关制度,但却缺乏有效的监督执行,各部门之间工作职责、操作程序以及风险成本主体都不十分明确,风险管理组织结构不完善,这便导致了风险管理缺乏相应的约束力,各部门或相关人员之间相互推卸责任,风险管理无法真正有效执行,而一些企业虽然建立了相关的风险管理机构,但也由于缺乏专职的风险管理经理,使得企业风险管理始终以眼前利益、短期利益为主进行决策。另一方面,部门企业认为建立了相关的内部管理制度就是完善了企业的内部控制制度,也真正建立了风险监督评估机制,然而目前许多企业的内部控制制度只是形式主义,形同虚设,并没有真正地实施,大部分企业没有完备的内部控制机构,不能积极地进行风险管理工作。
3、内部控制和风险管理的信息与沟通能力不足
在信息方面,企业各层级都需要大量的信息以帮助识别、评估和应对风险。然而目前我国大多数企业存在对信息的挖掘深度和利用程度不足的现象,以至于相关信息不能发挥其应有的效用,或是信息没能很好地在企业内部之间共享。我国企业沟通方面最大的问题就是沟通不畅,沟通力度不够。在内部沟通方面,一些企业的信息的沟通需要经过多个层级,导致信息失真,而下级员工又不能积极向上级反应,致使风险管理决策缺乏足够依据,内部控制执行缺乏力度;在外部沟通方面主要表现为未能与相关利益者进行有效沟通,如投资者和监督者等,不能及时、准确掌握企业外部环境走势,内部控制信息披露不足。
4、内部控制与风险管理的监控机制不健全
我国大多数企业的内部监督机制和外部监控机制仍存在许多问题。在内部审计方面,我国很多企业对内部审计重视不够,对内部审计作用认识不足,这使得内部审计在我国企业中执行起来显得困难重重以至于内部审计对内部控制的再控制以及对企业风险管理的监督职责未能发挥出来。没有内部审计的监控,即使企业拥有设计再完美的风险管理办法也很难保证其能够严格执行并发挥风险控制的作用。外部监控体系,包括政府监控、社会监督等,在保证企业的内部控制和风险管理上的效力不足。例如,政府监控在很大程度上能保证企业内部控制的有效执行以及帮助企业防范、应对各类风险,然而,目前我国政府对企业内部控制信息,尤其是重大信息的披露要求不够,内部控制信息披露方面的法规制定相对滞后,只是形式化的敷衍,在这种情况下政府对内部控制的监督无从谈起,更不用说通过对内部控制的考察来监控企业的风险管理活动。而在社会监督方面,注册会计师的社会监督作用仍有待提高。注册会计师仅将对企业内部控制的测试和发表意见作为财务报表审计过程中的一项程序,并未进行专项审计,监控力度大大减弱,或是只关注企业内部控制设计的情况而忽视实际执行情况,不能真正发现企业内部控制和风险管理存在的问题。
三、改进企业内部控制和风险管理的措施
1、提高风险管理意识和应对风险的能力,建立风险管理型内部控制
风险管理的核心是对人的管理,包括职业操守、技术能力和激励等方面内容的管理,在这其中企业管理层应起带头作用,提高风险管理意识,加强对内部控制的认识,同时加强企业全体员工的思想教育和业务培训,不断提高员工的整体综合素质,使员工更具有责任感,明确风险管理和内部控制的重要性,逐步提高自身的思想认识和业务技能以提高企业应对风险的能力。企业应建立相应的绩效考核制度和激励制度,充分调动员工的积极性、发挥员工的责任心,让员工意识到自身有责任对企业面临的风险进行识别、分类,并追溯导致风险的各种因素,以采取相应的措施规避风险。另一方面,建立风险管理型内部控制,以风险为切入点对企业内部控制实施控制,强调通过制度、流程和财务等手段,管控运营、操作过程风险,重视在操作层面中的风险管理,将管理的模式与企业实际情况相结合,充分利用了现有资源,更好地发挥风险管理的积极作用,达到了风险管理和内部控制的要求。
2、完善企业内部控制和风险管理制度建设,建立风险管理控制体系
完善企业内部控制和风险管理制度,首先要建立产权明晰和管理科学的现代企业管理制度,实现政企分开,最大限度地调动企业管理者和经营者的积极性,建立相应的内部控制和风险管理部门,完善内控体系和风险评估体系,对企业经营风险、财务风险、市场风险和政策风险等进行全程监控,提高内部管控和风险管理的效率。其次,提高财务和审计人员的综合素质,增强其核算知识和风险预测能力,使相关人员有足够的能力和专业知识去识别、评估风险,同时将风险机制运用到风险管理中,企业员工公担风险,实现权责利三位一体,提高企业内部控制的有效性和风险管理水平。再次,要建立相关的风险管理控制体系,即对企业经营管理过程中内外部各种风险进行分析和评估,研究风险形成的原因及其影响程度以便制定有效的措施加以防范,例如重视资本运营的跟踪、监督,通过对财务报表和财务指标的分析,一旦发现异常变化就立即采取措施应对,把风险损失降到最低。
3、提高信息沟通能力
企业进行内部控制和风险管理时必须拥有足够的信息和流畅的沟通,企业只有提高其信息和沟通能力,充分挖掘和利用各种信息资源,其内部控制才能更好地防范和应对风险。企业可以通过两个方面来提高信息和沟通能力:一方面,构建和完善企业信息库,用以储藏和搜集各种信息,并仔细甄选质量高、有利用价值的信息,并对这些信息进行深入分析为决策活动提供有力支持证据;另一方面,沟通是创造良好内部控制环境和支持企业风险管理的关键环节,充分、有效的沟通应包括自上而下的沟通、自下而上的沟通和横向沟通,使企业各级、各部门人员能够知悉公司的战略、经营、财务等方面信息,以履行各自职责。同时,应加强企业与相关利益者之间的外部沟通,尤其是及时、准确地披露企业的财务信息和其他重要信息,以便充分了解企业所面临的形式和风险。
4、完善内部审计和外部监督制度,落实监控机制
强化企业内部审计和外部监控力度需要从两方面入手:一是充分发挥内部审计功能。企业应组建科学合理的内部审计机构,保证内审机构的独立性和权威性,充分发挥内审机构对企业内部控制和风险管理的作用;完善内部审计的内容和方法,使其满足现代企业管理的要求,尤其是企业应对风险的要求。二是提高外部监控效力。完善内部控制信息披露机制,明确内部信息披露的内容和形式,突出企业相关重大风险,使有关政府部门对企业内部控制和风险管理进行有力监控;加强注册会计师的社会监督作用,及时发现企业漏洞和舞弊现象,帮助企业进行纠正和改进。同时,借鉴国外先进经验加强对内部控制进行专项审计的强制要求,始终坚持风险导向审计模式,抓住企业真正风险点,有力监督企业内部控制的实际执行情况。
综上所述,企业必须建立符合自身发展需要的内部控制机制和风险管理体系,将二者进行有效的结合,通过对制度的规范和科学的管理来充分发挥企业内部控制和风险管理的作用,以提高企业整体竞争力和经济效益,实现企业健康、稳定发展的目标。
【参考文献】
[1] 王寅入:谈风险管理与内部控制的区别与联系[J].普华永道,2010(6).
关键词:风险 风险管理 内部审计 风险管理审计 风险导向审计
一、风险及风险的分类
国际标准化组织将风险定义为不确定性对目标的影响。这种影响可能是正面的使组织获得收益的因数,也可能是负面的导致组织损失发生的因数。狭义的企业风险则是指企业经营过程中客观存在的有碍于组织目标实现的威胁因数。
根据风险的来源不同,可以将企业风险分为企业内部风险和企业外部风险,也可以分类为环境风险、决策风险和过程风险。
中国国资委的《中央企业全面风险管理指引》将企业风险划分为五大类:市场风险、战略风险、运营风险、财务风险、法律风险。因此对企业来说,相对来说比较难以掌控。
二、风险管理与内部控制、内部审计之间的关系
从风险管理的定义可以看出,风险管理既是一种管理方法,也是一项系统工程,需要全员参与并包括风险识别、评估和控制等环节;风险管理的目标不是完全彻底的消除风险,而是通过各种手段,如风险避免、风险控制、风险转嫁、风险保留与承担、风险保险等,将风险控制在企业可以接受的范围之内。
美国企业风险管理与内部控制、内部审计之间的关系,可以概括为三句话:风险管理与内部控制、内部审计分别实施,紧密结合;内部控制是风险管理的一种措施或手段;内部审计是以经营管理中的重大风险或内部控制中的薄弱环节为目标,以风险评估结果为导向实施的检查行为,是基于风险评估结果展开的。有效的风险管理一般具有七个特征:
(一)风险管理是管理者的职责
风险管理必须由管理层实施并贯穿于日常决策和企业所有经济业务。
(二)风险管理必须涉及所有部门并涵盖所有业务
通常情况是,企业各部门各司其职,业务管理方面相互隔离,缺乏统一联系。风险管理要求企业打破部门和业务之间的相互分割,建立统一的风险管理框架,并在确定的框架下制定相关流程、制度,协调实施风险管理。
(三)风险管理要分类进行
企业应根据各自的业务和管理特点,确定各自的风险类别,根据风险的轻重缓急程度,制定相应管控措施。
(四)风险管理强调对薄弱环节的管理
通常情况是,经营管理的薄弱环节是企业管理不到位、风险较高的环节,薄弱环节的风险累积有可能对企业造成实质性的损害和危机。
(五)风险管理要考虑风险的联系和交互作用
单个负面事件会引发一系列事件的连锁发生,从而带来非常严重的负面效应。“屋漏偏逢连夜雨,船迟又遇打头风”说的就是这种情形;
(六)风险管理应该融入并成为企业文化
企业文化是生产力,是推动企业持续、健康发展和提升竞争力的强大精神动力。企业风险管理只有融入并成为企业文化,才能具有长久的生命力,成为企业的一项长效机制。企业管理层应在各种场合不断宣讲风险管理理念和制度,使企业真正做到未雨绸缪,居安思危。
(七)风险管理不仅要重视规避风险,还要注重创造价值
风险不仅会造成损失,同时也能带来收益。企业管理层在选择规避风险的同时,不应一味的躲避风险,应善于从现有的风险中发现为企业创造价值的机会。从风险中发现能为企业创造增加价值的机会,是许多成功的企业管理者不断创造企业神话,带领企业从成功走向辉煌的必由之路。
三、内部审计在企业风险管理中的独特优势
(一)内部审计在风险识别和评估过程中的优势
内部审计作为企业有效治理、风险管理和内部控制不可或缺的一部分,参与风险管理既是内部审计职业发展的要求,也是企业发展的需要。企业相关职能部门如人力资源、合同管理部门等,只能对其所管理的领域或经济事项的某一阶段的固有风险进行识别和管理,内部审计部门的优势在于,首先,内部审计不仅可以涉及企业的组织结构、工作流程和经营战略等领域,而且可以监控经济业务管理的整个过程;其次,内部审计不仅重视会计信息,而且重视经济信息、产业信息和财务信息等。内部审计的独特地位和专业知识使其可以通过对所掌握的企业经营过程中所表现出来的各个方面的风险进行汇总、归纳、综合分析和提升,发现企业内部存在的共性问题、体制和机制层面的缺陷和风险,进而从根本上解释和评估风险管理措施,提高风险管理的有效性。
(二)内部审计在风险信息沟通和风险管理系统监控中的优势
由于企业职能部门和内部组织直接参与企业内部经营和风险管理,出于对单位和部门自身利益的考虑,企业职能部门和内部组织有可能不会将其所掌握的所有风险毫无保留的上报到董事会和管理层,进而由于信息沟通不畅造成过程控制风险。内部审计部门直接向董事会或总经理负责的机制决定了内部审计部门不存在像职能部门和内部组织那样的小团体利益,因而可以在其职责范围内,较好的完成其他管理部门不能完成的风险监控和风险信息沟通职能。
四、内部审计在企业风险管理中的作用
在企业风险管理框架下,内部审计是风险管理的函数,是对风险管理的再管理。内部审计参与风险管理的途径有两种:即风险管理审计和风险导向审计。两者既各有区别相互依存。内部审计部门在全面深刻地了解被审计单位的剩余风险的基础上,重点关注妨碍组织目标实现的高风险领域,合理设计进一步实质性审计程序的范围、重点和方法,并合理分配审计资源,提出改进措施和建议,做到既能保持审计效果,又能提高审计效率。两者的联系在于都是以企业内部控制中的风险管理为审计对象,在两者的相互关系中,风险管理审计是风险导向审计的基础,详尽而精准的风险管理审计为风险导向审计指明了审计方向,明确了审计重点,是成功风险导向审计的必要条件。同时,风险导向审计是对风险管理审计的进一步延伸,在风险管理审计的基础上,风险导向审计对企业剩余风险较大的领域进行重点审计,提出进一步减少或降低风险的措施和建议,提高企业风险管理水平,为企业目标的实现提供合理保证。
内部审计部门可以从以下方面开展风险管理审计:
(一)分析风险环境,识别风险事件
风险环境是指是指妨碍组织经营目标实现的经营环境,既包括法律、政治和经济等外部风险环境,也包括企业的风险偏好与风险文化、诚信与道德价值、管理理念与经营风格、组织结构与权责划分等内部风险环境。内部审计部门通过对经营环境及其变化的详细分析,观察同行业内其他企业的经营状况及整个市场的经营风险水平,加上内部审计人员独特的专业知识和技术,可以独立的推断企业存在的潜在重大风险,并比较全面客观地判断企业的固有风险以及剩余风险。
(二)评估风险级别
风险管理通常要求采用风险评级和计分的方法进行风险评估,并根据量化的风险水平对风险进行排序。内部审计人员需要从客观的角度分析风险的假设条件、计算方法的适当性来评价风险。对一些难以客观量化的风险,内部审计人员则需要凭借职业判断,采用主观估计判断风险发生的可能性。
内部审计对风险的评估不仅要看概率,而且要看影响程度。如果只关注概率,低概率的事件有可能会被忽略。但低概率风险暗含的突发因素可能会在某种情况下发生相互联系的、不断演变的连带反应,使事件变得越来越严重。
(三)评估风险控制的有效性
对于经过识别和评估后的风险,企业都要经过风险与收益的权衡,作出接受、规避或分散风险的决策。当风险超过企业的风险偏好,企业不能接受或无法经济有效的加以抑制,为避免风险带来的负面影响,企业有可能采取放弃该项目或计划的做法。对于大部分风险,企业需要采取一定的控制行动,将不可接受的固有风险转化为可接受的剩余风险。
内部审计部门需要采取各种方法,如分析性复核和详细测试程序,对企业采取的风险控制及管理活动进行分析,评估企业风险回避的合理性、减少风险措施的有效性,是否出现了新的风险等。分析时应考虑:组织内是否对风险达成共识;影响组织保值增值的主要风险是否被识别;风险分析是否围绕可能性和影响程度、弱点、发展速度与相互依存等;不同的情况是否被评估和进行了负荷测试;是否着手影响因素分析并制定应急计划;风险评估及降低风险计划及步骤;与谁沟通、沟通周期及沟通的有效性;剩余风险是否在可接受水平;是否有审批高风险决定的政策、程序并遵照执行;董事会和执行管理层是否对风险管理活动满意等。
(四)风险信息沟通
一、全面风险管理的内涵及特征
COSO委员会将全面风险管理定义为全面风险管理是一个过程,这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定开始贯穿到企业的各项活动中,用于识别那些可能影响到企业潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。我国也引入了全面风险管理方法,在2006年6月时,国家资产管理委员会出台了《中央企业全面风险管理指引》,将全面风险管理定义为,企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
具体来说,全面风险管理相对于传统风险管理而言,有如下特征:
1.就目标而言,传统风险管理仅仅是为了消极地回避风险;而全面风险管理是公司战略目标的重要保障,利用多种手段管理风险。
2.就管理主体而言,传统风险管理主要是指财务部门的财务风险控制;而全面风险管理强调公司的全体员工的共同参与,各个部门的协调配合。
3.就管理客体而言,传统风险管理仅仅关注单一的风险个体,而全面风险管理从总体上综合考虑一系列风险集合,如信用风险、市场风险、操作风险等。
二、网络环境下保险公司全面风险管理的实施流程
(一)制定全面风险管理目标
任何一个管理方案,都需要首先明确目标。同样,将全面风险管理的目标与企业的战略结合起来,是实施全面风险管理的起点。
一般来说,全面风险管理的目标涉及两个方面:一是损失控制目标,这与传统风险管理无异,主要是涉及保险最基本的经济补偿职能,要实现日常稳定经营;二是价值创造目标,与传统风险管理相区别的是,全面风险管理寻求风险优化,即在充分的风险分析的基础上,公司将资产分配到风险较小、收益较高的领域,从而实现资源的优化配置,实现企业资产的保值增值,故在制定全面风险管理的目标时,需要考虑到公司价值创造的目标。
(二)确立自身的风险偏好
对于全面风险管理的目标来说,保险公司除了控制传统的经济补偿风险,还涉及到价值创造的目标,而后者更是区别于传统风险管理的根本特征。保险公司需要通过对风险的全面管理,实现企业价值的最大化,因此,有必要确立自身的风险态度。
风险偏好类型大致可以分为三种:风险厌恶型、风险中立型、风险喜好型,保险公司需要根据自身的风险偏好适时调整自身的全面风险管理策略。比如,一个保险公司若是属于风险喜好型,则可能采取较为激进的策略。在设置风险偏好的时候,企业需要综合考虑自身的资产状况、经营目标、经济形势等多种综合因素。
(三)实施全面风险管理
这一流程涉及到具体的实践操作,与传统风险管理一样,包括:风险识别、风险分析、风险管理、绩效评估四大步骤。
1.全面风险识别
风险识别是指风险管理人员通过大量来源可靠的信息资料进行系统了解和分析,认清经济单位存在的各种风险因素,进而确定经济单位所面临的风险及其性质,并把握其发展趋势。这个阶段是实施全面风险管理的基础性工作,强调全面性的风险识别,即综合考虑企业当前面临的所有风险,进行全面的认识,列出风险清单。
2.全面风险分析
风险分析涉及到定性分析和定量分析两个方面,定性分析要求保险公司认清所面临的风险的本质和内在逻辑联系;定量分析则需要保险公司建立起一套统一的测量模型,该模型需要综合考虑信用风险、市场风险、操作风险的内在联系,将多种风险因素都纳入模型测度之中。
3.全面风险管理
这个步骤要求风险管理者在风险识别和风险分析的基础上,从多种可选的风险管理方案进行研究并选择其中最合理的方案,并加以贯彻实施。这个步骤需要站在全面的高度上综合考虑和度量风险之间的逻辑关系,并将价值创造的目标放在首位,实现公司内部资源的优化配置,达到风险优化的目的,在风险控制的基础上,实现企业价值的最大化。
4.全面风险管理绩效评价
保险公司需要定期对风险管理的绩效进行跟踪评估,并对此进行适时的调整,以符合企业的战略目标和监管要求。
三、保险公司在全面风险管理时代下的对策
(一)完善保险公司的组织架构体系
按照保监会的要求,设立风险管理部门,履行风险管理执行职能,对上负责贯彻董事会的风险管理决策,制定具体的全面风险管理政策;对下记录并检测各个业务单位的风险活动,并进行动态调整,使得日常业务操作符合风险管理目标。从而,为全面风险管理提供组织保障。
(二)加强风险管理人才的储备
目前,保险业的专业性高素质人才还远远跟不上国际水平,而风险管理这项工作对从业人员的专业素质要求极高,因此保险业迫切需要建立一批高素质的人才队伍。对此,一方面需要构建专业的内部培养体系,积极招聘和培养高素质的风险管理人才;另一方面还要实施开放的引进人才策略,从外部引进专业的人才,带来先进的风险管理经验。为全面风险管理工作的开展奠定坚实的人力资源基础。
(三)借鉴国外先进经验,具体问题具体分析
目前,我国保险行业还不成熟,因此需要怀着开放的态度,吸收借鉴国外保险公司先进的保险理念,同时还要做到具体问题具体分析,不能照搬移植,要建立起一套适合自身发展的全面风险管理策略,从而促进行业自身的发展。
二十一世纪是全面风险管理的时代,只有建立全面风险管理体系,才能够应对当前错综发杂的金融风险环境,增强保险公司的经营能力,促使保险行业的稳定健康发展。
参考文献
[1]张健.基于制度设计与措施选择论保险公司全面风险管理[J].保险研究,2008,4.
【关键词】风险管理 风险识别 风险沟通 风险控制
当前我国经济高速发展,产业结构调整工作也已步入攻坚阶段,国家连续出台减税、支持中小企业经营发展等相关政策,这一系列举措被中小企业充分利用,抓住有利时机,拓宽经营渠道,降低制造成本,提高企业经营效益。但是在世界经济变幻莫测的今天,如何做好经营风险控制,适应世界经济发展趋势,利用好国家出台的有利政策,是中小企业乃至大型国企所不能回避的问题。
近年来,企业风险管理已经普及到大中小企业,在各企业均建立有风险管理机构,设立专门风险管理人员、风险管理顾问等,风险管理机构与企业的计划、财务、审计等部门一样,已经成为企业中的一个重要职能部门,共同为实现企业的经营目标而努力。
企业风险管理包括内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素,贯穿在企业的管理过程之中。一个成功的企业风险管理系统与公司政策、发展战略、资源管理、组织架构、操作程序及营运上各项关键参数所发展而成。
企业风险管理的内容包括企业风险识别、企业风险衡量和企业风险处理三个方面。
(1)企业风险识别是风险分析和管理中的一项基础性工作,其主要任务是明确企业风险的存在,并找到主要的风险因素,为后面的风险度量和风险决策奠定基础。
(2)在风险识别之后必须进行企业风险衡量,以便确定其对企业发展影响的严重性并采取相应的措施,它其实就是运用一定方法对风险发生的可能性或损失的范围与程度进行估计和衡量。
风险管理作为当前企业经营不能回避的问题,已经被广大企业接受和重视。它的存在让企业在市场经济发展的大潮中更具备竞争力,其重要性不言而喻。
对于我国企业而言,风险管理不仅仅是监管部门和独立审计行业外在要求,更应该体现为企业自身的需求。虽然在企业经营中,没有专门的风险管控学科,但实际上,它贯穿于企业生产经营管理的各个环节和全部内容之中,也可以说,企业风险管控就是企业生产经营管理的全过程和全部内容。
企业风险管理作为企业经营工作中的重要环节,加强对风险涉及面的掌控力度,对企业存在的经营风险进行客观评估预防,并针对风险评估的结果提出风险管理的对策,为降低企业经营风险,增加企业价值发挥重要作用。风险管理在企业经营工作中的作用表现在:
(1)帮助企业建立动态的自我运行、自我完善、自我提升的风险管理平台,形成风险管理长效机制,从根本上提升企业风险管理水平。
(2)达到与企业整体经营战略相结合的风险最优化。把风险管理纳入企业战略执行的层面之上,将企业成长与风险相联,设置与企业成长及回报目标相一致的风险承受度,从而使企业将战略目标的波动控制在一定的范围内,支持企业战略目标实现并随时调整战略目标,保障企业稳健经营。
(3)使所有利益相关人了解企业风险现状,保障各利益相关人共同利益最大化。通过加强企业风险管理工作,对董事会、风险管理委员会、审计委员会、经理层、风险管理职能部门、内部审计部门等机构在企业管理中的的职责作出进一步的划分和界定,将风险责任落实在公司各个层面,保证了风险管理的公允性和有效性,促使企业各利益相关人利益最大化。
(4)避免企业重大损失。通过对企业重大风险的量化评估和实时监控,风险管理帮助企业建立重大风险评估,重大事件应对,重大决策制定,重大信息报告和披露以及重大流程内部控制的机制,从根本上避免企业遭受重大损失。
(5)提升企业具体风险管理解决方案的效果。企业风险管理体系提出了企业建立风险管理的整体框架,在此框架下,企业可以根据自身管理的水平和阶段,针对具体风险,灵活地制定风险解决方案。通过体系框架下的风险策略、风险组织职能、风险信息系统、金融工具以及内控等多种管理手段,提高具体风险的管理效率和效果。
企业全面风险管理是一项十分重要的工作,关系到国有资产保值增值和企业持续、健康、稳定发展。企业应本着从实际出发,务求实效的原则,积极完善内部控制流程,尽快建立全面风险管理体系,制定开展全面风险管理的总体规划;可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作,建立单项或多项内部控制子系统。通过积累经验,培养人才,逐步建立健全全面风险管理体系。
Abstract: Construction project will appear many unpredictable problems which directly affect the contractor's earnings. Some risks are difficult to control, but once appear, we should promptly control and transfer them.
关键词:工程项目;风险;控制;转移
Key words: engineering project;risk;control;transfer
中图分类号:TU7文献标识码:A文章编号:1006-4311(2010)13-0099-01
0引言
解决工程项目在营建过程中,从承包商角度来看,存在着建设周期长,投资数额大,工作和工序繁多的特点。因此,在施工中,这些因素制约着承包商未来获取收益的多寡。
1承包商面临的风险
工程承包,既是一项商务活动,又是一项工程施工活动。它必然受到工程所在地的自然环境、社会环境和相关人为因素的影响。工程承包是一项风险较大的工程施工活动。工程承包风险,是指工程实施结果相对于预期的结果的变动程度,即承包商预期收益的变动程度。工程承包风险的起因是由许多不确定因素造成的。要想获取目标预期利润,必须正确地考虑工程承包风险。从有关统计资料来看,承包商在标价中风险费用所占比例都比较低,这是因为承包商对众多的风险因素采取了积极的管理措施,如风险责任的转移、分担、保险等控制风险事故发生或降低风险损失的措施。所以,承包商要想达到顺利实施工程和盈利的目的,对工程承包风险的正确分析、控制与管理就显得极为重要。对于承包商而言,重要的风险因素主要有:a.劳力、设备和材料的取得;b.劳力和设备的生产率;c.不合格的材料;d.劳工纠纷;e.安全;f.通货膨胀(总价合同);g.承包商的工作能力;h.变更指令的谈判;i.工程质量;j.合同延误;k.财务控制能力;l.工程实际数量。这些风险因素涉及的特点有:1)不平衡或巨额的现金流;2)特殊的质量或技术要求;3)重要的法律或合同要求;4)重要或敏感的外部环境。一旦项目涉及以上特点时,就有必要进行风险的分析及有关管理工作。
2风险控制与风险转移
承包商在进行传统的风险控制时,一般按照施工过程的延续,把控制过程分成若干阶段,分析各阶段潜在的风险因素,从而制定出相应的对策。从表面上看,以往的方法也是利用阶段控制理论,但始终是以静态的眼光来看待风险和分析风险,各个阶段之间的风险管理工作缺乏必要和有机的联系,没有把各阶段的工作、工序和风险因素统一起来进行综合考虑。是简单的针对性强却缺乏弹性的简单的解决方法。非动态管理形成的后果,实际上是一个组织和管理程序的问题,这就涉及到风险管理体制和风险控制策略问题。现实中的风险大多是异常的、不可预见的风险因素,因此,利用传统方法往往使许多风险得不到有效的控制。这主要是由于承包商缺乏有效的风险管理体制造成的。有效的承包商风险管理体制,要求企业建立风险管理部门,利用阶段管理和系统规划,在施工的各个时期进行监督控制和决策。这里可以借用鞭子运动时出现的鞭梢效应来加以说明。用经济学的语言来描述,就是将单一的决策问题多阶段化用以回避风险、提高决策效率,即整个过程可以按时间、空间或人为地划分为若干相互联系的阶段,每个阶段都需要作出决策,目标是使整个过程的活动效果最好。作为整个过程的最优策略具有这样的性质:不论过去的状态和决策如何,相对于前面的决策所形成的状态而言,余下的逐决策必须构成最优策略。简言之,一个最优策略的子策略总是最优的。面临的风险发生了迁移,进入到新的风险控制循环,即形成了风险的“迁移效应”。我们可以用风险图的形式来说明。风险图与施工用的网络图有本质的区别。施工用网络图的箭线是具体的工作,而风险图的箭线则是可选择的策略方案与相应风险带来的后果。一旦风险变成现实,易被过去各阶段的工作所影响和束缚,极易矫枉过正,使风险进一步加大,从而增加了成本。
3承包商风险控制体制的改进和相应措施
承包商风险控制体制在工程管理中是极为重要的。这主要应从以下几个方面入手:①企业制度创新和建立风险控制秩序。企业的管理制度和组织形式的合理性是风险控制的基础,工程承包企业必须建立灵活务实的制度形式。一般而言,承包风险的发生除了不可抗力之外,主要原因就是承包企业制度不健全和工作秩序混乱造成的。适用的组织形式应以矩阵式项目经理制为主体,设立相应的风险管理部门,但管理跨度和管理层次不宜太多,应与公司发展规模相适应。此外,建立内部风险保护基金,以降低承包商运营风险,提高总体收益。②在组织上建立以风险部门和风险经理为主体的监督机制。参照国外成熟的风险控制经验,在承包商实施营建过程中建立风险部门,并设立风险经理。另外风险经理的工作可以延展到公司运营的整个过程,既可以延伸到单个项目投标报价前期准备和控制和实施工作,也可以围绕整个公司把握建筑市场脉搏进行阶段性管理。阶段性风险管理是针对项目的前期经营招标、中期实施、后期总结和处理三个阶段,进行的有效控制和根据相应风险决策而实行的动态前瞻式管理。它主要利用风险的“鞭梢效应”对风险的“迁移性”进行反馈式动态规划控制。③明确风险责任主体,加强目标管理。承包风险管理的关键点,在于确立风险责任主体及相关的责任、权利和义务。首先,定岗、定责,即确定岗位的数量及相应的任务和责任,但岗位和责任的确定又是灵活的,根据工程项目的进展或需要相应的变化。其次,利用管理环的PDCA (Plan,Do,Check, Action)和5W1H (What,When,Where,Who,Why,How)方法进行目标管理。④确定最优资本结构。承包商资本结构,是指负债和权益及形成资产的比例关系,即相应的人、资金、材料、设备机械和施工技术方法的资本存在形式。确定最优的资本结构形式,利用财务杠杆和经营杠杆,对于承包商获取最满意利润具有决定性的意义。除了以上几个方面,承包商还应积极寻求回避风险的新办法,利用国际上有效的风险回避和管理手段,以降低公司运营成本。此外,对于现有承包市场的调适和开拓新的市场,也不容忽视。新市场的建立一般是以新的施工技术和新型建造材料的推广为契机,所以,承包商要充分利用新技术、新材料和新工艺带来的机遇,开拓新市场,从而引导需求。
关键词:内部审计 风险管理 角色定 位途 径措施
一、问题提出
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。我国从2005年施行的内部审计具体准则第16号―《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。然而,我国内部审计在风险管理中应用的现状却并不令人乐观。根据调查存在以下问题:(1)内部审计人员对风险及风险管理不甚了解。28.05%的被调查内部审计人员认为风险不会影响企业价值,7.32%的被调查内部审计人员竟认为风险会增加企业价值。内部审计人员对风险的不了解,限制了内部审计对风险和风险管理的关注,制约了内部审计在风险管理中的应用。另外,内部审计人员缺乏风险管理知识,对于风险管理的先进理论―全面风险管理不甚熟悉。8.54%的被调查的内部审计人员没听说过“全面风险管理”,只有3.66%的被调查的内部审计人员熟悉“全面风险管理”。缺乏先进的风险管理理论,又从何谈起协助管理人员进行风险管理。(2)内部审计的独立性不足。内部审计部门只有独立于其它职能部门,才能独立、客观、公正地发挥其职能。62.32%的被调查单位的内部审计部门都是独立设置的,这在一定程度上保证了内部审计的独立性。但同时也应注意到内部审计的独立性还不足。56.53%的被调查单位的内部审计隶属于行政正职或分管副职,而只有19.82%的被调查单位的内部审计隶属于董事会、监事会或者审计委员会等层次比较高的部门。内部审计独立性的不足,影响了内部审计在风险管理中应有作用的发挥。(3)内部审计人员结构不合理。我国内部审计的人员结构比较单一,绝大部分是会计、审计人员。在被调查的内部审计人员中,48.43%出身于会计专业,27.99%出身于审计专业,只有10.13%出身于管理专业,以及0.74%出身于计算机专业。人员结构不合理,使得内部审计难以履行监控风险管理的职能,更别说为风险管理提供咨询服务。(4)内部审计范围狭小。内部审计人员结构的不合理,导致了内部审计范围的狭小。在被调查单位中,69.57%经常进行财务收支审计,66.67%经常进行经济效益审计,72.46%经常进行经济责任审计,只有7,25%曾经开展过风险管理审计,没有一家单位对风险管理经常进行审计。(5)内部审计方法落后。内部审计在开展审计业务时,使用的审计方法比较落后。66.67%的被调查单位采用账项基础内部审计24.64%的被调查单位采用控制基础内部审计,只有8.69%采用风险基础内部审计。审计方法的落后严重制约着内部审计在风险管理中的应用。
二、我国企业内部审计风险管理的意义及定位
(一)企业内部审计风险管理的意义主要体现在以下方面:(1)有利于进一步改进公司治理。不同的经济学观点对公司治理问题具有不同的解释,但无论是契约理论提及的不完备契约,还是信息经济学提及的信息不对称,或是委托理论提出的问题,其实质都属于风险问题,都是使企业目标元法实现的各种可能性事件。而针对这些可能性事件的管理,即风险管理,可以被认为是公司治理的核心。而从内部审计来看,通过加强对风险管理的评估和咨询,为审计委员会、董事会提供真实有力的报告证据,使股东和潜在利益相关者获得尽可能充分的信息。这自然增加了内部审计的服务职能一改进公司治理。因此,内部审计与风险管理的有效结合必将进一步改进公司治理,提高企业管理效率。(2)内部审计自身生存和发展的渴求。内部审计对风险管理的介入,使内部审计在企业中成为一个特别重要的角色,也将其在企业中的作用推向了一个新水平。同时,内部审计采用关注风险的审计方法,其报告更容易被接受,管理部门也更容易理解内部审计存在的价值,它可以帮助内部审计渡过正在影响整个职业的价值危机(Value Crisis)。正因为如此,IIA才一直积极倡导内部审计参与风险管理,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。(3)内部审计参与风险管理的独特优势。内部审计部门处于企业董事会的下属位置,是不直接参与经营活动的高层次监督部门,因而在企业风险管理中具有独特的优势。第一,能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门由于其局限性很难做到这一点。但内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。第二,控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。其通过对长期计划与短期现实的调节,可以调控、指导企业的风险管理策略。第三,内部审计部门的建议更易引起重视。尽管许多大型企业设有风险管理部门,但它属于管理部门的一个职能部门,向总经理负责和报告,不具有独立性,其意见有时会屈服于管理当局的压力。例如其风险管理部门对某投资项目分析后发现风险太大不适合投资,而总经理好大喜功,他会力促项目的实施,这使得风险管理部门的作用受到限制。而内部审计部门独立于管理部门,其风险评估的意见可以直接报告给董事会,这自然会加强管理当局对内部审计部门意见的重视程度。(4)能保证审计目标与企业目标相契合。传统内部审计通常采用“控制-风险÷目标”的路线,即直接测试内部控制,考虑内部控制是否有效,而风险的太小仅用于表明控制的薄弱与健全环节,从而实现防弊或兴利的目标。其结果是不断向管理层建议增加控制点或加强控制,随着时间的推移,控制点会越来越多,审计业务越来越繁琐缓慢,甚至出现多余控制阻碍各项程序正常运转的情况,因而无法与企业目标直接相关联,导致内部审计无法证明其价值所在。内部审4t@与风险管理后,采取的是“目标一风险_控制”的路线,首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险,确定审计风险水平和审计重点,提出风险防范和控制建议,最后通过后续审计,测定风险是否得到有效防范和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险。内部审计的咨询职能充分体现内部审计的能动性及增值目标,并且将事后的反馈
扩展到内部控制建立前及实施时的协助与促进,帮助管理层对风险管理进行持续改进与完善,保证审计目标与企业目标相契合。
(二)内部审计风险管理的定位 coso报告指出企业风险管理有四个目标(实现战略、高效运作、客观报告、遵守法规)、八个要素(内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动),在企业的四个层次开展(企业级、部门级、事业单位级、分公司级)。内部审计在这一框架中作为监控活动存在,即由内审机构对企业风险管理进行独立评估。内部审计师协会(IIA)在2004年9月的《内部审计在企业风险管理中的角色》意见书也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键商业风险被正确管理及内控系统有效运转。因此,内部审计在企业风险管理框架中首要角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者角色。内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥很大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化成监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。(图1)说明了组织风险管理水平和报告关系对内部审计角色定位的影响。为保证独立性和客观性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、质询和支持,但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动。内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外,在实践中,应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责,就应认为与此有关领域的审计客观性受到了损害,内部审计不能就其负责协调和指导的风险管理事项提供保证服务。
三、我国企业内部审计风险管理的思考
(一)内部审计参与风险管理的具体途径 与一般的防范、控制管理部门的风险管理相比,内部审计部门所进行的风险管理,既与其有紧密的联系又有较大的区别。“紧密联系”表现在,两者的目的是统一的,都是为了降低企业的风险;区别在于它们在风险管理中的角色不同。正是由于上述的联系和区别,决定了内部审计部门的风险管理主要是履行以下再监督责任:(1)评估风险的“三性”特征。一是评估风险识别的充分性。有效的风险防范体系要求企业广泛、持续地收集与本企业风险和风险管理相关的内外部信息,包括历史数据和未来预测,以达到识别风险的目的。为了及时地获取资料,并保证资料的真实可靠,企业应当把收集初始信息的职责落实到各有关职能部门和业务单位。内部审计部门应实施相关审计程序,对企业部门和单位风险识别程序进行评价,重点关注企业面临的内外部风险是否已得到充分、适当的确认。二是评价已有风险衡量的恰当性。内部审计部门应当对已有风险衡量进行评价,并重点关注风险发生的可能性和风险对企业目标的影响程度。同时,内部审计部门应当充分了解已有风险衡量的方法,应对管理层所采用的风险评估方法的适当性和有效性进行审查。内部审计部门对管理层所采用的风险评估方法进行审查应重点考虑以下因素:已识别的风险的特征;相关历史数据的充分性与可靠性;管理层进行风险评估的技术能力;成本效益的衡量等。三是评估风险防范措施的充分性。内部审计部门应当实施适当的审计程序,对风险防范措施进行审查,内容包括:采取风险防范措施之后的剩余风险水平是否在组织可以接受的范围之内;采取的风险防范措施是否适合本组织的经营、管理特点;风险防范措施是否有效涵盖重大风险等。(2)对企业风险管理结果进行评价。根据企业外部经营环境和内部管理环节的变化,及时提出改进意见。内部审计部门对企业风险管理结果的评价内容是企业风险管理目标的完成情况,具体包括:企业阶段性风险控制目标与实际结果的相符程度,确认两者之间的重大差异,并加以分析;从上述分析的结果出发,持续评估公司既定的风险防范体系的完备性;与相关管理层定期讨论部门的目标及其存在的风险,以及管理层采取的降低风险、加强控制的措施,并评价其有效性;评价风险监控报告制度是否恰当;评价风险管理结果报告的充分眭和及时性;评价管理层对风险的分析是否有效;对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确;评估与风险管理有关的管理薄弱环节等。(3)将企业风险管理融入内部审计程序。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此,内部审计部门应将日常审计工作与企业的风险管理协调一致,将风险管理纳入日常审计范围。包括:在编制审计计划时,应在对企业风险进行评估的基础上,制定内部审计部门的审CtCt划,确定审计项目;确定审计范围时,要考虑企业的战略性风险计划目标,并每年对审计范围进行一次评估,以涵盖企业最新战略所面临的风险;编制审计方案时,应通过风险因素分析来确定审计业务工作重点;在审计实施过程中,应通过评价内控制度,验证风险控制的有效程度;在选择检测风险的技术与方法时,应如实反映风险的重大性与发生的可能性;在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议;在追踪审计时,应将风险确定为决定追踪审计范围的重要因素。
人民银行主要会计核算业务分散在营业、国库和货币金银等部门,其中90%以上的会计核算业务在营业和国库部门。目前,依托集中核算系统的建设,核算模式已从或正从分散核算向全国集中核算转变,风险管理手段日益从“人防”向“技防”迈进。
1、中央银行会计核算数据集中系统(ACS)计划于2013年5月试运行,2014年全国推广。主要核算准备金存款、缴存款、再贷款、再贴现及财务收支等业务。系统以数据集中化、流程科学化、管理信息化、服务综合化和监督过程化为目标,从会计核算处理的角度,运用信息化手段,实施刚性控制和管理,实现风险管理的程序化硬约束,把风险管理贯穿于会计核算的各个操作环节。具体做法:业务流程前后台分离,前台扫描上传凭证影像,影像要素切片,随机并发处理,后台集中数据录入;业务授权管理,事前权限分配,风险业务实时监督,重要业务重点监督,强化过程控制。
2、国库会计数据集中系统(TCBS)。2008年7月建成,目前已推广至全国13个省(区、市)。主要核算国库资金收入、支出、退库、更正、国债等业务。系统以防范国库资金风险为核心,确立一记双讫、原子交易、事项驱动等业务处理规则,强化系统和人工操作的安全控制,减少业务处理环节的人工干预。具体包括:重要要素(收款人名称账号、收款银行行号、金额等)第三人审核制;重要参数设置分级管理制,即影响系统的重要参数或用户由上级核算主体有权限人员进行设置和审批;用户管理由系统管理员设置维护、国库部门负责人或会计主管确认生效的双签制度。
3、货币金银管理信息系统。是人民银行第一个实行全国数据集中处理方式的业务应用系统,2005年5月试运行,2006年2月正式运行。会计核算子系统为其重要组成部分,主要核算人民币发行基金调拨、商业银行存取款、发行基金清分、残损人民币复点和销毁等业务。单式记账,专设科目,独立核算,分级管理。会计核算子系统账务处理结果与其他子系统相应信息相互牵制实现核对匹配。
人民银行会计核算监督检查主要由三个层面构成:一是营业、国库、货币金银等核算部门的事前、事中监督。核算部门的监督以事前防范和事中控制为目标,核算业务发生前,通过受理业务时的柜面监督审核外来凭证等的真实性、合规性和准确性。核算业务处理过程中,采取复核、审批、认证等方式确保核算业务安全、有序进行。二是事后监督部门对核算业务的事后监督。事后监督是会计核算的延伸,在规定时间内对营业、国库、货币金银会计核算进行全面复审和检验,并及时反馈监督结果和督促整改。事后监督部门独立于核算部门,直接对本行行长负责,监督工作具有一定的独立性和权威性。三是会计财务、支付结算、国库、货币金银和内审等部门开展的会计核算现场检查。检查定期或不定期开展,有上级行检查、本级行跨部门检查和内部分管行长或部门主管检查。检查以确保核算资金安全为重点,通过面对面对账、重要单证账实核对和会计核算规范化检查等手段,对会计核算风险进行事后防控。
二、人民银行会计核算风险管理存在的问题
目前人民银行的会计核算风险管理属于“分散控制与分散监督”模式,“分散控制”指会计核算过程控制分散于营业、国库、货币金银等多个核算部门,“分散监督”指会计核算结果控制分散于事后监督、内审及相关业务主管部门。该模式在提升人民银行会计核算质量,防范会计核算风险方面起到了一定的作用,但同时存在以下问题:
(一)风险管理组织体系不够健全,风险评估待完善。
一是在会计核算风险管理组织机构的具体设置上,缺乏一个集中统一的风险管理部门。会计财务部门虽负有全行会计管理的职责,但同级国库、货币金银和支付结算等部门会计核算管理与监督主要由上级对口部门负责,事后监督部门未实行条线管理。多个部门各自为政,职责交叉,风险管理资源共享度低,容易形成重复监督及监督真空。二是在会计核算风险评估方面,尚无一套完善的风险评估机制。风险评估方式单一,缺少定性和定量相结合的评估方法,对会计核算风险的识别、监测、评价和反馈未能统一规范。三是在会计核算风险管理信息建设方面,没有建立风险管理信息数据库。风险管理相关的资料数据不够全面和连贯,且多以简单方式存储于不同部门,信息利用率低,监督资源浪费。
(二)缺乏统一的综合业务系统,风险管理难度大。
当前人民银行的会计核算模式为“纵向集中与横向分散”相结合,营业、国库、货币金银等业务条线会计核算都趋向全国数据集中,但三大业务集中核算系统却相互独立,互不关联。系统间相关信息由于缺乏数据接口,不便统一整合,核算勾稽关系难以核验,风险管理时效性滞后。如货币金银管理信息系统的发行基金出入库发生额、余额与中央银行会计集中核算系统的发行基金往来科目相关信息的核对,多通过货币金银部门和营业部门在业务发生的次日以登记簿形式确认,一旦出现问题,难以补救。同时,一个系统需对应一套岗位,且岗位设置应符合内控制约、分离的要求。但以人民银行目前的核算业务量,基层行尤其是县支行部分刚性岗位业务不饱和,在核算人员有限的情况下,容易形成违规兼岗,产生业务“一手清”等现象,风险防控难度大。
(三)监督手段滞后于核算手段,易形成监督风险。
同会计核算电子化快速发展现状相比,事后监督手段的发展远落后于核算手段。尽管人民银行总行建设中的中央银行会计核算数据集中系统开发了相应的监督子系统,但仅能解决营业部门的会计核算监督。大部分事后监督业务尤其是占比达80%以上的国库核算事后监督业务,仍使用手工监督方式,还停留在凭证清单逐笔核验,报表账户逐项勾对上,算盘、计算器并用。简单重复的手工全面复审不仅效率低下,也大大增加了监督风险。同时,各业务主管部门和内审部门的现场检查也以手工传统操作为主,效率不高,监督力量弱化,检查效果有待提升。
三、商业银行会计核算风险管理机制的启发与借鉴
目前,国内商业银行会计核算风险管理机制较先进,实践中也取得了比较成熟的经验,在管理体制、监督理念、监督手段和监督资源应用等方面均有值得吸收借鉴之处。由于工商银行和中国银行的总、分、支行三级机构设置模式与人民银行接近,所以选取工商银行福建省分行和中国银行福建省分行加以比较分析。
(一)管理体制方面。
采用“垂直管理,分级监督”模式,总行设立专门机构负责会计核算风险管理,分行相应设立监督部门。工商银行于2010年底全面实现由省分行运营风险监控中心集中监督的模式。总行运营管理部是会计核算风险管理的主管部门,负责规范核算标准和流程,建立风险评价体系,根据省分行运营监控中心的风险识别、风险评估、质量管理、流程分析等能力对其进行考核。省分行运营监控中心负责运营风险管理的具体执行工作,根据监督结果对二级分行、支行进行核算质量考核。中国银行管理体制与工商银行相似,但集中监督职责由省级和二级分行承担。总行的运营总部负责会计核算风险管理。省分行和二级分行设立运营控制部负责重要业务授权、银企对账和事后监督等。目前一个地市级以上城市设立一个运营控制部,但运营控制正向省分行集中方面发展。
(二)风险管理理念方面。
树立风险为本的监督理念,并将此理念融入监督系统建设,落实到日常监督工作中,改人海战术式的全面复核模式为依靠监督模型识别风险事件的数据分析模式,由粗放型监督管理转变为集约化监督管理。工商银行的风险导向监督无论理念上还是实践中都相对先进。以总行统一开发的业务运营风险管理系统为平台,以风险事件管理为重点,集监测、质检、履职、风险评估等功能于一体,实行风险导向和流程导向的监督。基于数据分析的监督模型为识别风险的主要方式,根据对象的风险程度,运用不同的监督流程,实施风险分类分层分级管理,投入不同的监督资源。中国银行以省分行自行开发的凭证影像系统为平台,根据集中监控模块的监控数据分析,区分不同对象的风险等级,采取重点监控、人工选择监控、集中预警等方式监督。
(三)监督手段方面。
综合业务系统和监督系统均已建成使用,监督手段先进。工商银行和中国银行在监督手段上的共同特点:一是集中核算、集中监督。会计核算实现全国数据集中,涵盖网点柜面,网上银行、手机银行等电子银行以及ATM、POS等商业银行各条线核算业务。核算监督覆盖面广,集中程度高,涉及核心业务系统的全部业务,未来将延伸至电子银行、信贷等系统。二是运用OCR(OpticalCharacterRecognition,光学字符识别)图像识别技术实现无纸化监督。纸质凭证由网点扫描生成影像,建立凭证影像数据库。OCR识别影像信息与综合业务系统导入核算数据自动匹配,匹配不成功的剔出人工审核再处理,以保证凭证影像的完整性和核算处理的准确性,同时为后续以风险为导向的监督和分析奠定基础。三是建立风险监督模型。通过深入分析客户的交易对手、交易金额和交易频率等交易习惯,设计智能化的风险识别监督模型,实行风险评估和风险控制,实现风险区别对待,分级管理。
(四)监督资源运用方面。
监督结果与风险管理有机结合,通过对监督资源的综合加工,强化风险预警,促进制度完善,推动流程优化,实现对监督结果的深层次运用。工商银行实行风险事件管理数据深加工,评估、分析和管理监督数据,定期提交风险评估报告。实施风险分级管理,风险深层揭示,区别会计核算风险程度,分别向同级相关部门和二级分行、支行反馈。同时,强化风险事件关键驱动因素的收集功能,为实施风险防控提供决策依据。属制度因素驱动的风险,通过完善相关业务制度解决;属系统因素驱动的风险,通过优化业务系统功能排除;属流程因素驱动的风险,通过调整业务流程防范。有效发挥监督资源在风险管理中的作用。中国银行根据综合加工的监督资源,对辖属支行进行风险控制评价及综合考核,并定期向相关部门通报监督情况。
四、COSO风险管理框架视角下完善人民银行会计核算风险管理机制的思考
2004年,美国COSO(TheCommitteeofSponsoringOrganization,全国虚假报告委员会下属的发起人委员会)对沿用了近10年的《企业内部控制——整体框架》(简称COSO报告)进行完善,出台了《企业风险管理——整体框架》(简称ERM),在原来COSO报告五要素的基础上细化和强调了风险管理要素,对风险管理进行全新定义:企业风险管理是一个动态过程,受企业董事会、管理层和其他人员的影响,应用于企业的战略及各个方面,旨在确定影响企业的潜在重大事件,将企业的风险控制在可接受的程度内,从而为实现企业战略、运营、报告和合法目标提供合理保证。COSO风险管理框架提出了内部环境、目标制定、事项识别、风险评估、风险分析、控制活动、信息和沟通、监控8个相互关联的风险管理要素。目前,国内商业银行大多根据COSO风险管理框架开展风险评估和风险管理活动。COSO风险管理框架同样适用于人民银行会计核算风险管理。基于COSO风险管理框架视角,借鉴商业银行先进的会计核算风险管理模式,建议从以下四个方面完善人民银行会计核算风险管理机制。
(一)着力构建风险管理组织体系。
COSO风险管理框架提出要将单位战略和风险管理战略紧密结合,并要求设立风险管理部,以构建良好的风险管理内部环境并制定明确的风险管理目标。针对现行人民银行会计核算风险管理组织体系,建议:一是成立风险管理委员会。由会计财务司牵头,支付结算、国库、货币金银、外管等部门参与,风险管理委员会作为会计核算风险管理的决策机构,负责指导、组织实施人民银行会计核算风险管理工作。同时,风险管理委员会应成立专业风险评估小组,由各专业具备丰富业务知识和工作经验的人员组成,梳理人民银行核算业务风险点,并结合历年发生的资金案件进行深入分析,开展风险识别和评估,确定风险模型,并根据核算业务发展变化情况适时调整。二是设立资金风险管理部。在事后监督中心的基础上组建资金风险管理部,可以省会中支、营业管理部为单位,或以大区行为单位设立。赋予资金风险管理部具体执行会计核算风险管理的职责。负责运行、维护资金风险监控系统,将人民银行所有会计核算业务纳入监督范围。风险管理部的设立将大大降低当前基层人民银行会计核算监督成本,提高监督效率,并真正发挥监控资金风险、保障资金安全的作用。
(二)探索建立风险导向型监督模式。
事项识别、风险评估和风险分析是COSO风险管理框架提出的风险管理要素的组成部分,这也是建立人民银行会计核算风险导向型监督模式的关键。只有科学合理的风险识别和风险分析,才能准确判断风险管理状况,进而采取有效措施实施风险控制,实行风险导向监督。1、风险识别。人民银行会计核算问题根据其对资金安全的影响程度,可分为事故类风险、核算差错类风险和规范性差错类风险。2、风险评估。在对人民银行会计核算风险识别的基础上,应对各类风险实施评估。首先,对三类风险按严重程度再进行细分,如事故类风险可分为资金损失、经济纠纷、声誉受损等。其次,根据细分后的风险项目,科学确定各项目风险权重,综合运用定性与定量相结合的方法,计算出风险评估的综合分值,构建风险评估模型。风险评估模型可不断补充完善,以适应风险变化的要求。第三,依据风险评估模型,以数据分析的方式管理风险,运用不同的监督流程,实行风险导向的监督。
(三)加快建设综合业务系统和资金风险监控系统。
COSO风险管理框架要求以先进的风险管理技术为支撑。建设功能强大的综合业务系统和与之匹配的资金风险监控系统是完善风险管理机制的重要手段。一是功能设置上,整合现有横向分散的核算系统,构建以中央银行会计集中核算系统为核心,以国库、货币金银、外汇和财务等核算系统为子系统的综合业务系统,实现人民银行会计核算数据全行大集中。二是核算模式上,实行前后台分离,前台设在各级分支机构,负责受理各项核算业务,并输入相应数据信息,确保原始信息的合规性和准确性;后台可根据业务量情况,在全国集中设立若干个业务处理中心,通过OCR图像识别技术接收前台受理的业务,集中摆放账户,集中处理账务,保证账务信息的及时性和完整性。三是风险防控上,建设资金风险监控子系统。在对会计核算风险进行识别、评估的基础上,建立风险评估模型,通过与综合业务系统共享核算信息,一方面,运用风险监控子系统对核算风险实施刚性控制和管理,实现业务制度和管理规定的硬约束,另一方面,通过对风险监控子系统的参数化管理,对综合业务系统核算数据进行定性、定量分析,对不同的核算业务实行有针对性的监督,提升风险管理效能。
(四)有效运用风险管理资源。
关键词:风险管理;国库业务风险管理审计;实践;改进
中图分类号:F812.2 文献标识码:A 文章编号:1003-9031(2010)07-0084-05DOI:10.3969/j.issn.1003-9031.2010.07.19
一、引言
随着财税、金融体制改革的不断深入,财政收支规模的不断增大,以及国库部门全面推行新的会计核算体系,国库业务内容、业务环节不断增加,业务处理手续不断发生变化,尤其是国库加入现代化支付系统,信息化步伐加快后,国库资金风险防范日益突出。如何有效防控风险,发挥内审在风险管理中的作用,成为中国人民银行内审部门必须思考的课题。2009年中国人民银行海口中心支行(以下简称“海口中支”)为切实落实总行“推进风险管理审计,促进内审工作转型”的工作要求,适应国库的改革发展和业务创新需求,积极探索,运用风险导向审计模式,尝试开展了国库业务风险管理审计试点,取得良好效果。
二、国库业务风险管理审计的主要做法
(一)按照内部控制构成要素及风险管理流程确定审计内容
风险管理是组织内部控制的基本组成部分,对风险管理审计和评价是内部控制审计的基本内容之一。中国人民银行海口中支在借鉴2005年5月施行的《内部审计具体准则第16号――风险管理审计》、COSO委员会2004年9月制定的《企业风险管理――整合框架》、国际内部审计师协会2004年1月修订的《内部审计实务标准――专业实务框架》的基础上,研究确定了国库业务风险管理审计内容,包括内控环境、目标设定、风险识别、风险评估、控制活动、风险应对、信息和沟通、监控与检查项,国库业务风险管理审计涵盖了COSO《风险管理整合框架》的所有八要素[1]。
(二)根据识别和分析风险,设计业务风险清单
风险清单是审计测试的操作依据。中国人民银行海口中支在2008年修订的《风险量化分类及控制措施一览表》基础上,对国库业务流程进行再分析,对风险再确认,对新上线的TCBS系统业务流程图重新进行描绘,构建风险清单。
1.建立国库业务风险量化分类表。采用“归集―监测―诊断”法,对国库业务活动中的现实风险和潜在风险因素进行分类,正确识别风险项目,构成国库业务风险量化分类一览表(见表1),包括业务风险类别、风险点、风险隐患、规范化控制等要素,此表最终按照国库16大类风险要素梳理其风险点和风险隐患。
2.建立风险等级分类表。应用模糊的定量分析方法,建立简易的风险评估标准体系―风险等级分类表(见表2)。根据国库业务风险的严重性和可能性对风险进行识别及评级,分别用高、中、低风险描述,动态了解业务风险变化情况。
3.确定国库业务风险关键控制项。按照国库业务流程,借用风险分析“蝴蝶结”模型(Bowtie理论),构建国库业务结构关系图(见图1),以梳理国库风险事件为核心,全方位查找国库业务的重点领域风险源。共查找国库预算收入的收纳、划分、报解核算,国库资金拨款,国库收入更正,资金支付清算(包括大小额支付往来、TCBS系统、查询查复、暂收暂付),国库资金退库,国债兑付等六大国库业务类型,以及会计基础、账务组织、重要事项审批、对账管理、重要空白凭证、有价单证和印章、密押密钥管理、核算系统管理内部监督等八项关键控制项,以确定重要领域流程测试[1]。
4.判明国库部门风险管理目标所面临的内外部风险。运用SWOT分析法,对国库部门所面临的内外部风险因素进行分析评价,借以确定剩余风险(见表3)[1]。
(三)建立定量评价标准开展定量测评
定量评价标准是开展风险管理审计必不可少技术要件,其功能在于用数据和事实说话,为内审人员的测评分析提供翔实依据。
1.编制量化评价标准表。基于平衡计分卡(BSC)设计国库业务风险管理审计评价表,此表包括8个方面审计内容的评价项目、评价指标、评价标准、规定分值、审计结果、权重等要素,是审计评价内容的总结。评价项目分值采取百分制,风险点的评分以扣分计算,标准评分以量化分类设定的标准分值为主,同时兼顾定性判断和抽样判断,包括调查问卷和测试题进行风险管理认知度测评等。以控制环境审计量化评价表为例(见表4)。
2.控制检查。首先,设定抽样检查标准。抽样样本取决于被审计项目的风险程度、业务频次、重要性等。根据业务频次确定的抽样量标准是:平均每年发生1次的业务或事项,应抽取1个样本(即全年);平均每季度发生1次的,应抽取4个样本;平均每月发生1次的,应抽取12个样本;平均每周发生1次的,应至少抽取12个样本;平均每日发生1次的,应至少抽取40个样本;平均每日发生多次的,应至少抽取40个样本。根据风险程度确定的抽样量标准则主要参照杜邦(DU PONT)“沸腾壶”风险审计模型,其样本抽查量为:一类风险抽样为100%;二类风险抽样为50%;三类风险抽样为25%;其他风险抽样10%[2]。通过抽样统计、比率计算等数理方法对量化指标值进行计算和分析。
其次,明确评价步骤。第一步,针对量化评价表列明的评价指标(风险点),检查测评打分;第二步,计算出分类别的分值,填列量化评价表;第三步,利用层次分析法(AHP)设计出十六大类风险指标及相对权重在内的参数体系,确定一类风险权重70%、二类风险权重20%、三类权重10%,根据评价权重计算总得分;第四步,根据测评总分确定风险管理A、B、C、D四个等级评价标准。
再次,实施现场控制测试和实质性测试。根据国库业务风险清单、审计评价表等,实施控制测试和实质性测试。控制测试:一是检查国库部门是否建立健全有关规章制度和内控制约机制,是否落实岗位责任制,是否明确岗位职责,岗位设置是否遵循相互制约、合理兼岗原则,制度规程是否涵盖国库业务运行和管理活动的关键环节;二是检查是否严格执行各项内控制度并留有规范完整的记录。实质性测试(用抽样审计法):主要是对有关账簿、报表、凭证、登记簿、日志等资料所反映的会计核算、国库业务活动和事项进行审计,重点对高风险等级的风险点和风险领域进行检查。(见表6、7)。
3.提出审计意见或风险建议。对检查出的风险进行分析,针对每个所区别出的关键风险所存在的风险管理缺口提出具体控制建议,明确具体的风险应对措施,制定风险应对方案,将风险控制在组织可接受或可控的范围内。
三、风险管理审计实践的体会与改进
(一)转变现有的审计模式和工作理念是开展风险管理审计的关键
以往中国人民银行内审方法主要是以制度基础审计为主,工作成果往往更多是罗列被审计单位在检查中存在的问题,反映问题的着眼点主要是针对组织现有的控制制度,很少上升至从风险管理的角度进行整体评价。推行风险管理审计模式,就必须冲破这种传统的审计模式和审计思路、方法的束缚。中国人民银行海口中支此次审计过程,结合了风险导向审计和风险管理审计两种方式进行。在构建风险清单和具体的控制检查评估阶段,这两种方式均能结合运用。即首先在对国库业务进行风险量化分析和评估的基础上,对重要环节风险控制的有效性实施符合性测试;根据符合性测试结果,确定风险控制的可依赖度,以此确定实质性测试的范围及抽样比例;实质性测试过程中,遇到审计事项测试结果与预期不符的,通过扩大样本抽样量或及时调整审计计划,进一步判断风险隐患的大小或是否形成实质性的业务风险,进而提出建设性意见和建议。
(二)提高内审人员的素质,是开展风险管理审计的前提
内部审计具体准则第16号第七条要求内部审计机构或人员充分了解组织的风险管理过程,审查和评价其适当性和有效性。这就要求内审人员要有较强的发现风险、识别风险的能力,如果不能及时发现和识别风险,就无法评价和改善风险。就目前来看,基层央行的内审人员的素质还很难达到上述要求。因此,要做好内审转型的各项准备,一是要加大学习与培训力度,制定长远的培训计划,加强后续教育和培训工作,培育一批充满创新活力的学习型内部审计团队与审计通才,以学促审;二是要加强审计能力建设即依法审计能力、提高自身建设和管理能力。提倡能力建设,从内审流程上来讲,就是要提高策划内审项目能力,制定内审方案能力,审计敏锐性能力和破解项目能力,调查取证能力,撰写内审报告能力等,以技提审;三是要引入竞争机制,建立职业准入和退出机制以及职业晋级制度,确立CIA资格认证在央行的内部地位,推行有利于内审人员潜能开发的激励、考核机制,增强内部审计肌体的新陈代谢功能,以改带审。
(三)根据业务特点建立风险清单和评价标准,是开展风险管理审计的技术保证
目标分解及事前评估阶段建立风险清单和评价标准是非常重要的任务,它的标准性和规范性也确定了其将具有较大的实用价值,必须做实做细。但是根据国库业务部门的业务特点设计的风险清单是动态的,计算分值时是以实际检查的风险点为计算标准的,风险程度的认定也不是绝对的。如本文案例中介绍的控制环境评价标准并不能涵盖所有的检查事项,且应根据风险环境以及业务流程变化及时调险评价标准,这些都需要与被检查单位共同研究找出并共同认可的评估标准和量化标准。
参考文献:
关键词:全面风险管理;内部控制机制;创新
全面风险管理作为一个全新的理念,将企业管理推向一个崭新的管理平台。全面风险管理如何正确实施,企业如何在推行全面风险管理中不断完善内部控制体系的建设,以更好的防范和控制风险,成为企业面临的全新课题。
一、全面风险管理与内部控制的关系
(一)全面风险管理与内部控制的相关性
企业内部控制是全面风险管理的一部分,是在实践中逐步产生、发展和完善起来的。COSO将内部控制定义为:“内部控制是受企业董事会、管理层和其他职员共同作用,为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”我国审计准则对内部控制的概念做出如下规定:“内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。”
全面风险管理起源于战略决策,落实于经营运作,辅助以资金、财务及其它相关控制,为企业持续快速发展保驾护航。全面风险管理受董事会、管理层和其他人员的影响,从企业战略制定一直贯穿到企业的各项活动中,使之在企业的风险偏好之内,合理确保企业取得既定的目标。全面风险管理包括三个方面,第一是企业的目标;第二是全面风险管理要素;第三是企业的各个层级。全面风险管理目标包括战略目标、经营目标、报告目标和合规目标。全面风险管理要素有内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。企业的各个层级包括整个企业、各职能部门、各条业务线及下属各子公司。
因此,由两者的定义可以看出,企业内部控制或全面风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值,即内部控制是全面风险管理的必要环节,全面风险管理是对内部控制的自然扩展。总体上来说,内部控制是为了实现经济组织的管理目标而提供的一种合理保障,良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益。而合规经营、真实的财务报告和有效益的经营也正是企业全面风险管理应该达到的基本状态。
(二)内部控制不等于全面风险管理
内部控制只能防范风险,不能转嫁、承担、化解或分散风险。即使建立了合理而有效的内部控制系统,科学而全面的管理仍是必不可少的,不能将它们二者混为一谈。对于企业经营活动中发生概率较大,且企业能够承担控制成本的风险,要力求通过企业自身的控制系统,并依托以财务管理为中心的企业管理体系予以控制。对于发生概率较小,或控制成本较大的风险,则应在加强管理、增强自身素质的基础上,降低风险对企业的影响程度。
二、企业建立全面风险管理体系的必要性
(一)中国企业风险管理面临的许多问题需要我们建立健全全面风险管理体系。比如缺乏正确的风险理念、有待于从战略高度认识风险管理的必要性、缺乏系统性风险管理手段、全面风险管理还未渗透到组织和流程的各个层面等。
(二)国内外大公司各类重大风险事件频发为我们敲响了必须建立全面风险管理体系的警钟。如果企业未建立风险管理机制或企业的风险管理失效,将会在某种程度上毁灭股东价值甚至社会价值。将会面临丢失客户、丧失信誉、丢失合作伙伴、营业中断或直接导致破产等风险,国内外许多著名的企业已为我们敲晌了警钟。例如因运营风险而破产的巴林银行、因战略风险而倒闭的日本八百伴公司、风险管理失效的中航油新加坡有限公司等。
三、构建体现全面风险管理的内部控制新机制
(一)构建符合内部控制要求的业务管理新制度
传统分散风险管理模式下,为了保证各项业务的顺利开展和防范各类风险,各职能部门制定了大量的所谓“全面”的制度。但很多制度刚一制定出来,就失去了实际意义,成为了墙上贴的制度和书本上写着的制度,制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,整合各项业务操作环节,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。
(二)构建具有本企业特色的创新风险管理理念
企业所面临的风险是无法完全避免的,但风险是一定能被控制在最小范围中的。企业的风险控制是企业各位员工的共同责任,而并非管理层单方面的责任。设立企业管理控制制度并非是在企业内对权力进行分配。设计有效的组织架构,使管理层能方便地随时监控业务发展,并促进公司内部信息的交流和共享。在组织中贯彻高层领导对于企业管理控制的正确观念和风格,不断地对组织控制架构和企业管理控制系统的运作加以监督和改善。
(三)建立全新的内部控制治理机制
内部控制在协助管理层防止资源流失, 保证信息的可靠性和系统整体恰当运转方面是必不可少的。组织内部控制系统的设计、维护和监测的职责, 首先是, 而且最重要的是由董事会执行的。在很多组织内部, 这一职责是由审计委员会负责的。仅仅建立内部控制系统是不够的。内部控制系统需要不断的监管以保证组织达到其既定目标。因此, 除非建立一个有效的监管系统, 否则我们不能确保内部控制系统的有效性。监管程序的作用是给董事会一种 “合理的保证”, 即内部控制正在向既定目标前进。因此,在现有的产权制度下,可在企业总部设立风险管理委员会,作为内部控制管理的主要决策机构,同时设立审计委员会,并将其明确为风险管理的监督、评价部门。两个委员会相互配合,共同实现风险管理的各项新要求。
(四)构建切合实际的内部控制评价机制
通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对各单位、各部门的控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险,进一步实现从风险部门的防范转向企业、全员防范,将内部控制管理由个人行为和操作行为提升到整个单位的整体行为,推进企业的内控管理水平不断上新台阶。
参考文献:
[1] 闫金萍.论现代企业内部控制机制[J].现代管理科学,2007,(1)92―94.
[2] 陈晓更.论企业建立全面风险管理体系的必要性[J].会计之友,2008,(9)30―31.
[3] 张庆龙.内部审计价值[M]. 北京:中国时代经济出版社,2006.
论文关键词:风险管理系统
一、引言
1.1BOT的概念
BOT是英文Build-Operate-Transfer的缩写,翻译为“建设-运营-转让”。BOT实质上基础设施投资、建设和经营的一种方式,以政府和私人机构之间达成协议为前提,由政府向私人机构颁布特许,允许其在一定时期内筹集资金建设某一基础设施并管理和经营该设施及其相应的产品与服务。政府对该机构提供的公共产品或服务的数量和价格可以有所限制,但保证私人资本具有获取利润的机会。整个过程中的风险由政府和私人机构分担。当特许期限结束时,私人机构按约定将该设施移交给政府部门,转由政府指定部门经营和管理。
1.2BOT的特点
从BOT的概念中我们可以看出,BOT具有市场机制和政府干预相结合的特色,这表现在以下两个方面:。
一方面,BOT能够保持市场机制发挥作用。BOT项目的大部分经济行为都在市场上进行,政府以招标方式确定项目公司的做法本身也包含了竞争机制。作为可靠的市场主体的私人机构是BOT模式的行为主体,在特许期内对所建工程项目具有完备的产权。这样,承担BOT项目的私人机构在BOT项目的实施过程中的行为完全符合“经济人”假设。
另一方面,BOT为政府干预提供了有效的途径,这就是和私人机构达成的有关BOT的协议。尽管BOT协议的执行全部由项目公司负责,但政府自始至终都拥有对该项目的控制权。在立项、招标、谈判三个阶段,政府的意愿起着决定性的作用。在履约阶段,政府又具有监督检查的权力,项目经营中价格的制订也受到政府的约束,政府还可以通过通用的BOT法来约束BOT项目公司的行为。
1.3实施BOT的步骤
1.项目发起方成立项目专设公司(项目公司),专设公司同东道国政府或有关政府部门达成项目特许协议。
2.项目公司与建设承包商签署建设合同,并得到建筑商和设备供应商的保险公司的担保。专设公司与项目运营承包商签署项目经营协议。
3.项目公司与商业银行签订贷款协议或与出口信贷银行签订买方信贷协议。
4.进入经营阶段后,项目公司把项目收入转移给一个担保信托。担保信托再把这部分收入用于偿还银行贷款。
二、BOT风险
BOT项目中的风险是指在BOT项目中的特许、建设、运营、移交四个阶段里损失发生的不确定性,是一种潜在的危险因素;风险识别是指对在BOT项目融资中尚未发生的、潜在的各种风险进行系统地、连续地认识和归类,并分析产生风险事件的原因;风险管理是指BOT项目融资中的参与各方对风险进行识别、分析并在此基础上有效地处置风险,以最低成本实现最大安全保障的科学管理方法。
以项目发起人和项目公司对风险能否控制为标准,可将风险划分为系统外风险和系统风险,我们通过树型结构图可以看出项目所面对的风险是相当复杂的,见图1:
图1风险划分
从图1可以清晰地看出,一个企业在实施项目时所面对的风险之多,由此有必要建立一种全新的系统来对风险进行管理。
三、BOT风险管理
风险管理包括风险识别、风险分析、风险评估和风险控制等内容,任何BOT项目,万无一失的情况是不存在的,事实情况是风险无处不在、无时不有。对风险加以识别的目的,在于在风险识别的基础上,按一般的风险分担原则确定风险由最有能力承担的一方承担,并通过对此风险的管理,达到控制、预防风险的目标,从而使BOT项目顺利实施。可见,风险识别是前提,风险评估是重点,风险控制是目的和归宿,而风险管理是基础,贯穿于整个过程。它们之间的关系可以用图2进行说明。
图2关系图
四、风险系统的整体结构设计
现在我们从一个企业的角度出发,来搭建企业的BOT风险管理系统,首先就是要做系统的整体结构设计。风险系统的整体结构设计是由数据库模块、风险的识别与评价模块及风险控制模块三部分组成的,它们之间的结构关系可以用下图说明,见图3:
图3风险系统
4.1数据库模块
数据库模块由两部分组成:专家系统库和风险控制库。
4.1.1专家系统库
1.概念:专家系统是一个具有智能特点的计算机程序,它的智能化主要表现为能够在特定的领域内模仿人类专家思维来求解复杂问题。因此,专家系统必须包含领域专家的大量知识,拥有类似人类专家思维的推理能力,并能用这些知识来解决实际问题。专家系统的基本结构如图4所示,其中箭头方向为数据流动的方向。专家系统通常由人机交互界面、知识库、推理机、解释器、综合数据库、知识获取等6个部分构成。
图4专家系统结构图
知识库用来存放专家提供的知识。专家系统的问题求解过程是通过知识库中的知识来模拟专家的思维方式的,因此,知识库是专家系统质量是否优越的关键所在,即知识库中知识的质量和数量决定着专家系统的质量水平。一般来说,专家系统中的知识库与专家系统程序是相互独立的,用户可以通过改变、完善知识库中的知识内容来提高专家系统的性能。
推理机针对当前问题的条件或已知信息,反复匹配知识库中的规则,获得新的结论,以得到问题求解结果。
在这里,推理方式可以有正向和反向推理两种。正向推理是从前提条件匹配到结论,反向推理则先假设一个结论成立,看它的条件有没有得到满足。由此可见,推理机就如同专家解决问题的思维方式,知识库就是通过推理机来实现其价值的。
人机界面是系统与用户进行交流时的界面。通过该界面,用户输入基本信息、回答系统提出的相关问题,并输出推理结果及相关的解释等。
综合数据库专门用于存储推理过程中所需的原始数据、中间结果和最终结论,往往是作为暂时的存储区。
解释器能够根据用户的提问,对结论、求解过程做出说明,因而使专家系统更具有人情味。
知识获取是专家系统知识库是否优越的关键,也是专家系统设计的“瓶颈”问题,通过知识获取,可以扩充和修改知识库中的内容,也可以实现自动学习功能。
2.工作流程:用户通过人机界面回答系统的提问,推理机将用户输入的信息与知识库中各个规则的条件进行匹配,并把被匹配规则的结论存放到综合数据库中。最后,专家系统将得出最终结论呈现给用户。
4.1.2风险控制库
风险控制库包含两个子库:风险控制过程子库和风险控制结果子库,它们的结构如图5所示:
图5风险消减数据库结构
有效性与可行性分析表:分析控制措施的可行性与有效性。
成本分析表:对控制措施进行成本与收益分析。
人员责任分配表:安排适当的人员进行措施的落实。
维护需求表:监督措施的顺利实施。
控制措施评价表:对控制措施的结果进行评价。
控制结果表:描述采取控制措施以后的对企业造成的结果进行分析。
4.2风险的识别与评估模块
4.2.1风险的识别
风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业正在或将要面临哪些风险。
4.2.2风险评估
在风险评估之前,必须准确定义风险的主要元素及其相互关系。
资产:对组织有价值的任何东西。
威胁:对组织或系统产生危害的有害事件的潜在原因。
薄弱点:是一个资产或资产组能够被威胁利用的弱点。
风险评估:识别信息安全风险并确认其大小的过程。
风险评估的流程图如图6所示,
图6风险评估的流程图
图6中,风险的计算是按以下公式计算的,风险(R)是以资产(A)、威胁(T)、薄弱点(V)、和已有安全措施(C)为自变量的一个函数。即:
R=F(A,T,V,C).........................................................................................公式1
在实践过程中,一般通过
R=F(P,I)............................................................................................................公式2
来测量风险,其中P为威胁利用薄弱点对资产或资产组产生影响的潜在可能性,I为威胁利用薄弱点对资产或资产组可能造成的影响。公式中的P或I的值相对便于评估,而且在P和I的评估过程中都必须考虑资产、威胁、薄弱点和已有控制这四个因素,所以说公式2以便于测量的方式最大限度地体现了公式1的函数关系。
4.3风险的控制模块
风险控制涉及到确定风险控制策略、风险和安全控制措施的优先级选定、制定安全计划并实施控制措施等活动。要控制风险,就必须实施合理措施,忽略或容忍风险显然是不可接受的。在组织选择并实施风险评估结果中推荐的措施之前,首先要明确自己的风险控制策
略。
就应对风险的途径来说,有以下几种选择:
1)降低风险—实施有效控制,将风险降低到可接受的程度,实际上就是力图减小威胁发生的可能性和带来的影响。
2)规避风险—有时候,组织可以选择放弃某些可能引来风险的业务或资产,以此规避风险。
3)转嫁风险—将风险全部或者部分地转移到其他责任方。
4)接受风险—在实施了其他风险应对措施之后,对于残留的风险,组织可以选择接受。
所以,企业在面对风险时,可以选择以上措施来应对,但有一点需要明确,面对许多已识别的风险,组织很难对所有的风险一视同仁。风险大小、严重程度、紧迫性、所需资源总是有所区别的,故企业应该对所有风险设置优先级,如果是严重影响了企业生存的,应该放到最前面,同时,在资源提供和相关支持上也要优先给予。当然,因为各个企业的环境和现实状况不同,这就决定了在选择风险控制策略上的多样性。应对风险,最好的方法就是将合适的技术、恰当的风险控制策略,以及非技术性措施有机结合起来,这样才能达到较好的效果。风险控制的流程图如图7所示,
图7风险控制的流程图
七、总结
本文站在一个企业的角度来建立应对BOT风险的管理系统,从系统的整体结构设计到具体的功能实现,具有一定的现实意义,当然了,本文只是提供一个理论的框架,具体到一些功能算法的实现,比如数据库的逻辑设计及物理设计,以及运用算法(比如C或C++程序设计)来实现风险的评估,即优先级的确认等,没有给出相应的结构图和编程算法,但是本文却给出了这么一种整体的框架结构图,在当今BOT日益被广泛运用,却失败案例比比皆是的时代,无疑给带来一缕清新的阳光,应该说是对企业,特别是这些已建立信息系统平台的企业或是那些打算搭建自己的信息系统平台的企业无疑具有一定的指导意义。
当然了,因为BOT项目的实施设计到很多的利益相关方,还可以从政府的角度来考虑搭建适合政府部门的风险管理系统,抑或是适合其他相关方的风险管理系统,本文都具有一定的借鉴作用。回顾本文,依此类推,可能所有的风险管理系统基本流程都是一样的,如图8所示,但涉及到具体的细节可能不一样,总是因具体情况而异的。
图8风险管理流程
参考文献
1 沈建明.项目风险管理[M],北京:机械工业出版社,2003:71,80
2 马兰.基于BOT融资模式的工程项目风险管理研究[D],2005:10
3 李红亮.BOT项目融资的风险管理研究[D],长沙:湖南大学,2005:13
4 沈健明. 项目风险管理[M].北京:机械工业出版社,2004:11-15
5 璐顾. 项目融资风险管理研究[D].武汉:武汉大学,2005
6 郭捷.工程项目风险分析与BT模式风险管理实证研究[D].天津:天津大学,2004:54
7 张鹏.项目融资风险管理[D].武汉:武汉大学,2005:29
8 陶履彬,李永盛,冯紫良等.工程风险分析理论与实践[M].上海:同济大学出版社.2006:18
9 杨亚岐.BOT项目融资的风险管理研究[D].秦皇岛;燕山大学,2005:24
10 姚亮,周晶.BOT项目风险及来源分析[J].东南大学学报.2002(t0)
11 武涛.高速公路BOT项目投资风险研究[J].交通企业管理.2007(7)
12 郑永生,赵吉柱.公路BOT项目融资模式的风险分析及防范[J].集团经济研究.2007,(230):179.180
13 David Baccarini,Richard Archer.The risk ranking of projects:a methodology[J].International Journal of Project Management.2001,(19):139·145
关键词: 保险资金 运用 风险管理与控制
一、引言
保险公司资金运用的问题是我国保险理论界近几年来一直都在研究的重要课题,但是从现有的文献和论著的研究成果来看,对保险资金运用的分析主要集中于保险公司资金运用现状和存在的问题以及扩大我国投资渠道等方面,而对于保险公司资金运用从风险管理的视角进行分析研究的还比较少。当前,我国保险公司资金运用面临着多方面的压力,譬如保费收入递增的压力、产品创新的压力、行业竞争的压力以及适当财务结构的压力等,这些压力都迫使保险公司越来越重视资金的运用,期望通过保险资产业务取得良好的投资收益,来缓解这些压力。但是,我们还应该看到在保险资金的运用中,面临着各种各样的风险,这些风险不仅包括有一般性资金运用的风险,还包括有基于保险资金自身特殊属性而产生的区别于其他资金运用的风险。面对这些风险,保险资金的运用如何实现预期的目标,如何分散风险、选择投资工具、如何进行投资组合、投资策略如何制定,采取什么样的内部和外部风险控制方法就显得更为重要了。增强保险公司的风险管理能力,完善保险公司资金运用风险管理体系,提高资金收益率并有效地防范风险,是目前中国保险业面临的紧迫任务。
二、保险资金的资产配置
保险资金在直接进入资本市场后可以在更多的投资品种间进行资金配置,但在具体配置资产时,保险公司既要充分考虑保险资金的负债性质和期限结构因素、各类投资品种是否符合保险资金流动性、安全性和盈利性管理的要求,还要考虑监管层对最低偿付能力的要求。因此在分析保险资金的资产配置时应特别注意如下方面的问题。
第一,寿险和非寿险资金期限的差异将导致不同的投资选择。财险公司的资金来源主要由未决赔款准备金和未到期责任准备金构成,期限大都在1-2年;而寿险公司的资金来源主要由人身险责任准备金构成,期限可以长达20-30年。由于各类保险准备金均为保险公司的负债,因此在将这类资金进行投资时风险控制相当重要,而资金期限结构上的差别将导致财险公司更注重投资品种的流动性,寿险公司更注重投资品种的安全性和盈利性,由此产生不同的投资选择。
第二,国内保险市场快速增长产生的新增保费足以解决保险公司流动性需求。从保险公司现金流量角度看,基于对我国保险市场正处于一个快速增长时期的判断,每年不断增长的保费收入将能够满足当年保险赔付和给付的资金需求以及营运费用的支出需要,而以各类准备金形式存在的保险资金需要寻找安全的增值空间,以应对保险金未来集中给付的高峰。
第三,保险资金对风险的承受能力和对收益的要求从理论上分析,与社保基金和QFII基金相比,保险资金对风险的承受能力和对盈利的要求处于它们两者之间,在进行资产配置的过程中会综合考虑银行存款、企业债券、基金、流通股股票、可转债等不同投资品种间的平衡。随着投连险、分红险和万能保险等新型寿险产品销售份额的不断增长,保险资金直接进入股票市场的规模将在很大程度上取决于广大投保人和保险人对股票市场运行周期的判断,保险资金的风险承受能力也将相应提高。
第四,保险资金的盈利模式将呈现多元化趋势。在投资品种的选择上,保险资金可介入的品种除了常规的流通A股、可转债之外,还将介入非流通股的投资,随着国内资本市场的不断发展和投资品种的不断丰富,可供保险资金选择的余地仍将不断扩大。目前有关保险资产管理公司管理规定的相继出台,有关保险资产管理公司业务范围的规定将成为这部法规的核心要点。
三、保险公司对资金运用风险的管理控制
目前,我国保险资金运用主要有三种模式:一是成立独立的资产管理公司;二是委托专业机构运作;三是在保险公司内设资金运用部门。不论是采用哪种模式,保险公司都是资金运用的决策者和风险承担者,也是进行风险防范的第一道防线。为保证资金的运作安全,应有效的安排组织结构、内控制度、管理系统与和风险预警体系。
1、建立健全分工明确的组织架构
保险公司资金运用涉及的机构和部门包括董事会、总经理室、风险管理、内部审计、风险监督等诸多机构和部门。这些机构和部门职责分工不一样,其协调运作是做出科学投资决策的机制保障。如董事会的职责有负责制定资金运用的总体政策,设定投资策略和投资目标,选择投资模式,决定重大的投资交易,审查投资的组合,审定投资效益评估办法等,总经理室的职责是根据董事会决定的总体政策,负责研究制定具体的经营规定和操作程序,包括多种投资组合的数量和质量比例、制定风险管理人员守则和职责、风险管理评估办法等,内部审计的职责是直接向董事会负责,独立对所有的投资活动进行审计,及时发现并纠正公司内部控制和运营制度存在的问题,风险管理部门的职责是分析市场情况和风险要素变化,对存在的风险进行评估和控制,研究化解风险的措施,风险监督部门的职责是通过现场和非现场检查,及时、全面、详细地了解资金运用单位和部门对董事会的投资策略、目标达成与实施过程,投资人员的从业资格和整体素质以及胜任工作情况等。
2、制定严密的内控制度
资金运用的决策、管理、监督和操作程序复杂,环节多,涉及面广,人员多,风险大。所以有必要沿着控制风险这条主线,制定严密的内部控制制度。一方面,这些制度必须涵盖所有的投资领域、投资品种、投资工具及运作的每个环节和岗位;另一方面,使每个人能清楚自己的职责权限和工作流程,做到令行禁止,确保所有的投资活动都得到有效的监督、符合既定的程序,保证公司董事会制定的投资策略和目标顺利实现。
3、建立资金运用信息管理系统
信息管理是一种重要的风险管理工具。公司要有发达的信息网络,对外要与国内外各个资本、债券、货币市场连接,让有关人员随时了解市场变化情况;对内要与董事、总经理室成员、风险管理、审计、监督、财务、业务部门联接,在系统中及时录入各种业务发生情况。这些信息要足以为决策者提供第一手决策依据,为管理者提供及时详实的分析数据,为监督者提供全面的全科目资料,为投资操作者提供信息平台,同时真实记录交易情况,使准确信息在公司各个机构和部门之间充分交流。
关键词:内部审计;风险管理;参与;原因;作用
近些年,随着资本市场国际一体化的发展,企业面临的竞争也日趋激烈,为了适应高风险的外部环境,企业的内部结构和组织规模也都在发生变化。因此,为了现代企业的生存和发展,必须改善和加强风险管理。对于一个以电力销售为主的企业来说,要想在经济全球化的今天生存和发展下去,内部审计部门必须充分发挥风险管理的独特作用。
一、内部审计参与风险管理的原因
(一)企业内外部环境发生变化,面临的风险加大
在市场化竞争愈演愈烈的今天,企业受限于宏观经济形势、产业政策调整等多重影响,外部经营环境日益复杂。因企业的组织规模、机构设置、流程设计等诸多因素与目前的形势不适合,企业的内部经营风险也与日俱增。对于电力企业来说,为实现经济效益与社会效益同步发展,如何降低公司所面临的风险,使国有资产保值甚至增值就成了其关键所在。因此,作为相对独立的内部审计部门和内部审计人员也就必须参与企业的风险管理。
(二)内部审计参与风险管理具有较强的优势
内部审计既是一个独立的部门又与其他部门有着密切的联系,有别于外部审计。内部审计全程参与企业的管理,可以从事前、事中、事后三个阶段分别进行风险预警、风险控制和风险评估,而独立性较强的外审部门往往只能在事后进行结果性风险评价。内部审计一方面对企业所在的环境较为熟悉,明晰企业的战略目标,深知企业的技术标准和管理流程,能充分运用企业现有的技术手段,对风险的预警、控制和评价更为直观;另一方面它的地位相对独立,提出的审计意见更能引起企业管理层的认可和重视。
二、内部审计参与企业风险管理的作用
《内部审计实务标准》对内部审计做出了明确定义:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。
(一)风险管理角度更高、更全面
通常认为,风险具有客观性、普遍性、损失性、不确定性和可变性五种特征。一个企业从生产环节开始,从产品的设计、原材料的采购、商品的生产,再到销售环节的营销、销售、货币资金的回笼,无时无刻不存在风险。而且由于风险具有可变性,一种隐藏的风险往往可能在不同环节暴露出来,最终给企业造成巨大的损失。目前,电力企业的风险现状不容乐观。首先,电力企业作为国家重要能源部门,其关注的社会效益有时大于企业经济效益。其次,受地方政府发展经济影响,短期行为较多,投入产出不成正比。最后,随着国家产业政策调整和经济发展方式的转变,销售端受国家定价控制影响,成本端受电煤价格不断上涨影响,企业无法根据自身的投资行为、成本压力来合理确定自身的盈利能力和水平,电费回收难度加大。因此,复杂的电力营销风险在一定程度上极有可能转化成财务风险。综上所述,控制风险要站在全局的角度去考虑,而单一的业务部门又很难做到这一点。
(二)风险评价更充分、更客观
风险管理的首要环节是对风险的识别。首先,内部审计可以凭借其相对独立的身份和地位,不参与企业具体经营业务活动,又不对产生的问题承担直接的管理责任。它可以作为“局外人”,看清组织和行业的发展趋势、企业自身的优势和不足、外部环境的机会与威胁,立足于全局开展工作,更好地实施风险识别预警。其次,它作为一个综合性部门,审计范围覆盖企业全盘,掌握的信息丰富多样,更容易从中发现存在的风险隐患问题并进行风险分析,找出管理漏洞并制定应对策略等。再次,内部审计人员长期服务于各自企业本身,与企业战略目标一致,企业利益与其自身利益又息息相关,从风险管理的效果和建立风险防控体系长效机制角度来看,他们更具责任感。
(三)风险控制更合理、更有效
风险是一种潜在的可能的损失。风险导向审计作为当今主流的审计方法,越来越受到重视。而内部审计的职能也由传统的企业内部控制向风险管理转变。有效的风险管理可以减少和防止企业的损失,增加企业的价值。内部审计参与风险管理可以依据组织所处的环境,纵观全局,从组织规模、机构设置、经营战略、政策法规、监督方式等方面检查各项程序控制的有效性。对于风险的评估,内部审计可以有效评价风险评估的合理性、评估方法的科学性、报告的及时性等。内部审计参与风险控制活动,可以依托自身独立于业务部门的优势,更好地检查控制相关经济业务活动、职责分离是否适当、授权审批是否恰当、凭证和记录是否充分、信息沟通是否顺畅、单据传递是否及时、内部核查程序是否合理等。
(四)能够引起高层管理者的重视
尽管有些企业也有风险管理部门,但它作为企业的一个职能部门往往受到高层的压力影响,独立性受限,难以发出自己的声音。而内部审计作为董事会及其审计委员会和最高管理层实施控制的手段,在企业管理尤其是风险管理、内部控制、组织运营及公司治理等方面地位突出。董事会领导直接管理集团的内部审计部门,有任何的评估意见可以直接与董事会的领导汇报,使管理人员更加重视审计部门的意见,更彻底地实施所提意见
三、内部审计如何参与风险管理
内部审计参与风险管理与一般风险管理部门进行的风险管理相比既有联系又有区别。风险管理都是为了控制并降低企业的潜在风险,这是它们的本质联系。而双方所处的地位不同,决定了他们在风险管理中扮演的角色也不相同。正是因为这种差异的存在,内部审计在参与风险管理的过程中应更有针对性。
(一)高度契合于企业战略目标
第一,为了能使企业的核心利益与战略目标保持高度统一,内部审计部门要有针对性地组织技能培训、技术投资和资源配置。第二,根据企业的战略目标来设定部门的评价标准和工作重心。在评价内部审计对象时,应充分理解公司的战略目标,把审计对象的工作与公司的战略目标是否一致作为评判的第一标准。第三,企业的战略目标是内部审计工作的风向标,做好内部审计工作,把握公司战略方向,才能使公司长远发展。内部审计还可以根据研究子公司的业务情况、财务状况及内部控制制度来为公司发展过程中遇到的难题提供解决方向,保证下属公司的发展方向与集团的战略目标相统一
(二)立足于流程梳理优化
内部审计人员应摒弃传统的审计习惯,不要将过多的时间和精力花费在简单的翻阅账本,被企业固有的工作流程和措施策略所束缚,而是要从中发现业务状况、公司内部资源的开发利用、质量控制、商品采购、营运和服务等各个方面是否有可以改进的地方。所以,在现代审计中,必须转变观念,把风险管理作为内部审计的首要任务。内部审计工作重心必须立足于企业内控制度和流程梳理优化上。有效的内部管理和业务流程是企业实现战略目标、降低风险的强有力的保证。如果在制度标准和业务流程设计上存在缺陷,这对一个企业来说是致命的错误。内部审计应结合实际,对流程梳理优化提出意见,这样就能使解决问题的方法更有针对性和可操作性。
(三)充分利用企业技术手段
随着时代和科技的发展,现代企业对内部审计有着更为重要的要求,包括企业的投资、采购、生产环节,也要注重经营、销售方面,这其中就产生了大量的审计数据。内部审计人员过去广泛依赖的盘存、观察、函证、查阅、询问、统计抽样等传统方法已经无法适应现代审计的需要,必须充分利用企业技术手段,以信息化建设为基础,通过多维数据分析,及时、准确地发现企业内部控制和生产经营管理中存在的问题。企业要充分利用集团局域网等现代通信技术,实现财务、业务、人力资源等部门的集中管理,建立信息数据库和服务库,利用多媒体网络的方便快捷,及时查询各被审单位的数据系统,对经营管理进行实时监控,使审计情况能够及时高效地完成,不要等到出现大问题才发现,由被动转为主动,提高企业审计部门的工作效率,使审计工作更加准确、高效、及时。
(四)注重实效,保证质量
首先,内部审计不能只是停留在监督管理、反映问题的层面,而是要具有及时发现问题的能力,并且要有应对措施,为企业日常的经营和运作处理问题,提出有效的方案、对策。其次,要根据企业目前的发展制定相关战略措施,提出合理化的审计报告。发现问题,提出意见和建议后,要及时监督有关部门的整改落实情况,确保问题能够得到正确、及时的解决,真正实现改中求进,进中求好。要把企业风险管理同内部审计日常工作相结合,增强风险意识,引入先进的风险审计方法和手段,立足于做好常规审计,着眼于推进重点审计。对企业发生的重大投资、工程建设和企业负责人的经济责任审计要予以重点关注。优化资源配置,对高风险领域和部门要指派专人跟进,持续审计。假如审计部门能够深入了解所查公司的经营活动,从中发现不足,就能及时探究问题产生的原因及解决之道,降低风险。
综上,在市场经济多元化的今天,市场竞争愈演愈烈,企业健康、高效地发展成为永恒的主题。现代企业组织形式多种多样,无论是股东会、董事会、监事会都不能完全满足企业的管理需求。企业自身的内部控制和规范化管理依然是影响企业持续发展的原动力。如何能更好地做到这一点,内部审计参与风险管理是一种趋势和方向。内部审计需要充分发挥内部监督和风险管控职能,实时反映、评价企业经营的风险情况,提高企业的经营管理水平。
参考文献:
[1]张坤,李嘉明,周和生.风险管理与内部审计[M].北京:化学工业出版社,2004.
[2]夏丹宁.推进风险管理审计的思路[J].中国内部审计,2004(12).
[3]林英杰.中德内部审计制度比较[J].中国内部审计,2005(03).
[4]姜晓丽,侯佳,曹宁宁.从风险管理谈公司治理与内部审计的整合[J].中国内部审计,2005(04).
