企業風險評估報告大全11篇
時間:2022-08-11 09:33:42緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇企業風險評估報告范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
為配合《通知》要求,中國安全生產科學研究院(以下簡稱“中國安科院”)在廣州、哈爾濱、天津等地開展了城市風險評估工作,查找城市風險源、加強風險源頭治理,協助政府監管部門有的放矢地進行安全生產監管工作。
風險總體情況
2015年11月―2016年10月,經過近一年的調研,天津市濱海新區率先完成了城市風險評估工作,最終形成了《濱海新區城市安全風險評估報告》(以下簡稱《評估報告》)、《濱海新區城市安全風險電子地圖》《濱海新區安全發展示范城市創建規劃》《濱海新區創建安全發展示范城市實施方案》等成果。針對評估提出的問題和建議,濱海新區進行梳理,研究制定了《濱海新區城市安全風險評估報告涉及問題整治方案》,提出了19項問題、38條建議措施,并已針對部分項目開展了整治工作,預計將于2017年底完成全部整治。
自天津港“8?12”特別重大火災爆炸事故(以下簡稱“‘8?12’事故”)發生后,濱海新區痛定思痛,及時啟動風險評估。2015年11月,濱海新區政府與中國安科院簽訂了合作協議,共同成立了“濱海新區城市安全風險評估和城市安全規劃工作領導小組”,有效推進城市安全風險評估的各項工作。
中國安科院組織7個調研組先后開展了9批次現場調研和3批次函件調研,涉及濱海新區轄區內的21個部門、18個街道(鄉鎮)、7個功能區、6個重點區域、天津港及大型中央企業。
通過收集濱海新區2010―2015年的事故統計資料,對其安全生產整體情況、不同行業領域、不同區域的安全生產情況進行了分析。
2010―2015年,濱海新區共發生各類生產安全事故768起,死亡1 061人,其中包括1起特別重大事故,即“8?12”事故。自2010年以來,各類事故起數總體呈下降趨勢,2015年較2010年下降11.41%,死亡人數上升72.97%。
從事故行業類型來看,2010年以來,交通運輸業死亡203人、占比59.01%,制造業死亡58人、占比16.86%,建筑業死亡55人、占比15.99%。即使不考慮“8?12”事故,上述三個行業依然是濱海新區生產安全事故多發的關鍵。
根據生產安全事故統計分析結果,調研組開始了現場調研評估工作。調研組將濱海新區城市安全風險劃分為危險化學品工業風險單元、危險品運輸風險單元、城市人員密集場所單元、城市其他風險單元進行評價,并將風險分級為一級特別高風險源、二級高風險源。
一級特別高風險源為個人風險或社會風險超出個人或社會容許標準的風險源,二級高風險源為一級以外構成危險化學品重大危險源的風險源。最終確認濱海新區存在一級特別高風險源企業30家,二級高風險源1 382家。
風險評估方法
以危險化學品工業風險單元評估工作為例。危險化學品工業風險源主要指危險化學品企業和涉及危險化學品的工業企業,主要包括危險化學品生產企業、危險化學品儲存企業、涉氯企業、煙花爆竹倉庫、加油站等目標。
通過查看資料及現場調研,發現濱海新區共有上述目標企業511家,在開發區、中塘鎮、大港街、天津港地區的上述企業數量最多,共占全區企業數量的40.7%。風險評估辨識一級特別高風險企業17家,二級高風險企業120家,分別占全區的56.7%、8.68%。
調研發現,在危險化學品工業風險單元內,濱海新區的涉氨企業存在一級特別高風險源最多,為12家,占全部涉氨企業的17.4%,且其中8家位于寨上街。其他一級特別高風險源分別為危化品生產企業1家,位于大沽街;危化品經營企業1家,位于茶淀街;涉氯企業1家,位于塘沽街;煙花爆竹倉庫2家,位于茶淀街和中塘鎮。
從危化工業風險源潛在生命損失來看,塘沽街最高,占全區的19.73%,主要來源于天津塘沽中法供水有限公司新村水廠,由于其附近有河華里、長春里、福建里、碧海鴻庭等住宅區,一旦發生事故,最嚴重的可能導致7 000人死亡。
對以濱海新區轄區內企業為端點的危險貨物運輸規模進行統計,結果顯示,濱海新區道路危險貨物運輸量約為3 148.39萬 t(過路的有2 000多萬 t)。按類別分,易燃液體、易燃氣體和易燃固體道路運輸量最大,占總道路危險貨物運輸量的84.16%;按區域分,天津港、臨港經濟區、海濱街等區域危險貨物道路運輸量最大,占總道路危險貨物運輸量的68.60%。
危險貨物跨省際、跨區域的長距離運輸主要選擇高速公路,且原則上應該避免穿過人員密集場所。在濱海新區范圍內,共有南北走向的海濱高速和長深高速及東西走向的京津高速、京津塘高速、京濱高速。
其中,海濱高速沿途經過南港危貨運輸集中區、臨港危貨運輸集中區、天津港區、天津港南疆港^四大危貨運輸集中區,沿途還有很多零星企業分布。海濱高速在危貨運輸的過程中發揮了重要作用,承載的危貨運輸量十分巨大。
但海濱高速在南疆港區北側越過海河后,途經住宅小區、體育場館、商貿中心等人員密集場所,在臨港經濟區南側路西途經天津塘沽機場(農用),且距離海濱大道的最小距離小于40 m,在到達這些目標前沒有其他通路可以對這些集中區的危險貨物進行分流,運輸風險較大。當運輸自來水廠用液氯鋼瓶達到10 t時,其最大中毒半徑可達到152 m。
結合火災高危單位、火災消防重點單位情況,在人員密集場所共辨識梳理出一級特別高風險13處,二級高風險1 262處。其中海濱街、大港街、開發區和塘沽街4個區域火災潛在生命損失在全區處于較高水平,均超過1人/年。濱海街和大港街具有最高的個人事故死亡風險值和較多的人口數量;開發區雖然其個人風險值較低,但人口數量最多;塘沽街則是二者都處于較高水平。
問題與對策
城市風險評估結果表明,天津市濱海新區作為環渤海經濟帶和京津冀城市群的交匯點,人口規模和經濟總量較大,生產經營單位眾多,城市運行壓力巨大,安全基礎比較薄弱,正處于生產安全事故易發多發的高峰期,面臨安全生產整體形勢復雜、安全生產監管體制機制不到位、風險源管控仍需加強等3大類19項問題。
從調研過程中可以看出,當地中央企業、大型地方企業以及天津港集團在發展過程中存在大量企業辦社會現象,由企業代行部分街道、政府的職能;目前行政管理職能正逐步向街鎮移交,但由于政府人力、財力和監管水平的局限,移交過程緩慢,出現大量監管空白。
濱海新區部分區域還沒有按照化工園區的模式管理,“化工圍城”和“城圍化工”的問題仍在不斷發生并逐漸凸顯。
大型易燃液體儲罐、危險貨物碼頭堆場、危險化學品管道、液氨液氯儲罐等危險化學品生產、儲存設施數量大且相對集中,發生重大事故的風險較高,企業分布范圍廣,缺乏針對危險化學品事故的專業應急裝備儲備庫。
濱海新區危險貨物道路運輸量大,其安全管理涉及的環節多、部門多,各企業各單位的責任職責交叉,還不能實現危險貨物運輸信息采集的統一標準和集中平臺。部門間信息不能互聯互通,在實際監管中遇到信息掌握不全,監督執法手段缺乏,缺少危險化學品卸載基地和專業的滯留危險化學品運輸車輛停車場,難以采取合理措施實施有效安全監管等。
針對上述問題,《評估報告》中提出了38條建議。
如:建議研究制定并落實天津港政企分離方案,落實天津港安全監管職責,加強天津港、海關、公安、市場監管等部門信息共享和部門聯動配合,嚴格落實天津港區域內企業的安全監督管理,杜絕超范圍、超量等違法違規經營,并嚴格港口危險貨物堆場的安全準入條件。
針對濱海新區涉氨冷凍企業多的特點,建議推動全區涉氯企業開展安全設施強化和工藝升級改造工作,組織專家專題研究論證,為液氨裝置加裝緊急切斷裝置等安全設施、設備的可行性,減少液氨、液氯等有毒氣體的使用,降低安全風險。
篇(2)
2煤炭企業財務風險管理存在的問題
煤炭企業財務風險管理中主要的問題有:第一,財務風險意識淡薄或者不正確。在實際發展建設過程中,企業的財務風險是客觀存在的,任何企業的發展建設不可能不存在財務風險。但是,部分企業對財務風險的認識不正確,他們片面地以為可以徹底清除企業中的財務風險;部分企業對財務風險管理和控制工作的重要性認識不足,不僅缺乏財務管理意識,不正確的財務管理方式也在一定程度上阻礙了企業財務管理水平的提升;第二,財務管理投資不科學,企業存在較大的風險;第三,企業財務管理過程中資本結構不合理,負債資金比例較高;第四,企業財務管理系統很難滿足不同環境喜愛財務管理工作的實際需求。
3控制財務風險,全面提高煤炭企業管理控制水平的措施
控制財務風險,全面提高煤炭企業管控水平要求企業從貨幣資金運營風險的控制、擔保風險的控制、債權債務充足風險的控制以及資產處置的風險控制等方面出發,不斷強化煤炭企業風險管控水平。
3.1貨幣資金運營的風險管控措施
貨幣資金運用風險控制要求企業從以下兩方面著手:第一,強化結構性存款風險控制。企業要結合實際發展狀況,在明確結構性存款的意向之后,應該在第一時間內將結構性存款的相關事項與有關部門匯報;煤炭企業還應該對結構性存款風險進行深入研究,對可能出現的風險進行分析和評價,力求形成精準度較高的評估報告;第二,煤炭企業還應該注重委托貸款及其他短期投資風險業務風險控制。首先,煤炭企業相關部門應該確定運營資金的實際使用方向,將貨幣資金可能使用的項目上報;相關部門應該集合煤炭企業發展的實際狀況,制定可行性較高的調研報告;煤炭企業應該對承擔事項進行分析和研討,對可能存在的風險進行分析,并采取有效預防措施。
3.2擔保風險的管控措施
擔保風險的管控是提高煤炭企業風險管控水平的重要手段。第一,煤炭企業應該及時申請擔保的項目,并制定擔保項目的限制條件;擔保項目負責人必須滿足借款和貸款的要求,無論是借款還是貸款都應該符合國家法律規范要求;第二,煤炭企業還應該結合自身的經濟實力和發展基礎,預測可能出現風險的項目,并采取有效應對措施;第三,煤炭企業應該對擔保單位的經營、擔保業務和貸款狀況進行審核;第四,煤炭企業的法律部門和相關崗位負責任人應該對擔保項目的合同、對應的主合同等進行審核,為全面提高煤炭企業財務風險管控水平打下堅實的基礎。
3.3債權債務重組風險管控措施
首先,煤炭企業應該向財務風險控制部門提交債權債務重組事項;其次,財務風險管控部門應該對煤炭企業的財務風險進行準確地評估,制定評估報告,并以此作為后期決策的依據;最后,債權債務重組風險管控還要求煤炭企業準確記錄所有的借款條款明細,并對該數據進行相關處理,進而提高企業的財務風險管控水平。
3.4資產處置風險的管控措施
首先,煤炭企業應該向保管部門提出風險管控申請,表明申請的原因和后期處理意見,并上交審核文件;其次,煤炭企業資產管理部門應該高度重視財務風險文件的審查工作,相關部門不僅要深入現場了解實際狀況,還應該將上報的項目進行審批;再次,煤炭企業財務風險管控部門還應該對項目進行風險評估,編制風險評估報告,作為后期的決策依據;最后,煤炭企業財務風險管控部門還應該履行相關的責任追究制度,進一步完善資產處置風險管控制度。
篇(3)
企業經營環境的不斷變化,在成長發展和經營管理過程中的種種不適應都可能導致企業風險的發生。因此。企業必須根據自身特點、不同時期風險的不同狀態,抓住重要環節和主要風險。圍繞總體經營目標推行企業風險管理。同時,企業面臨的風險不斷增多,組織機構的重整愈加頻繁。對內部審計在參與風險管理、完善治理結構以及加強內部控制等方面的需求也日益高漲。內部審計部門順應時勢,在越來越多的領域發揮著積極的審查、評價和促進作用,工作目標從過去的查錯糾弊變為主動地幫助企業增加價值。此時,風險導向內部審計概念的提出滿足了現代企業對內部審計在風險管理、內部控制和公司治理方面的更高要求。而在風險管理實踐中,一個機構健全的企業除設置內部審計部門外,往往還專門組建了一個由風險管理專業人員構成的部門,即風險管理職能部門。由于內部審計部門和風險管理職能部門都要關注企業所面臨的風險,卻又在企業推行風險管理實踐中扮演不同的角色,故兩部門在開展各自業務時工作職責雖有不同,但必然會有一定的交叉和聯系。文章首先對風險導向內部審計在企業風險管理中的作用進行剖析,在此基礎上,就內部審計部門在開展風險導向審計業務時如何與風險管理職能部門進行協調與聯系進行探討。
一、風險導向內部審計和企業風險管理的概念
風險導向審計是把風險為導向的思想運用到內部審計領域,即內部審計人員在審計全過程中自始至終地關注風險,根據風險大小選擇項目,以降低風險為導向,開展內部控制制度的符合性測試、實質性測試,并進行監督檢查和評價,最終提出建設性意見和建議的審計方法。
而在企業風險管理方面,根據2004年9月頒布的ERM框架,“企業風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。”
二、實務中風險導向內部審計與企業風險管理的聯系
風險導向內部審計既是基于降低內部審計人員的審計風險,同時又是為了降低企業經營風險、進行風險管理的一種有效工具。而企業開展風險管理目的也是全面識別企業風險并及時采取有效控制手段。兩者有著十分緊密的聯系,下面首先理清風險導向內部審計在企業風險管理中的作用。
(一)幫助企業直接有效地防范與規避風險
風險導向內部審計立足于對審計風險進行系統的分析和評價,并以此作為出發點,制定審計策略和與企業狀況相適應的多樣化審計計劃,將風險考慮貫穿于整個審計過程。在風險導向內部審計實施過程中,內部審計人員首先對企業的經營戰略進行分析。確定戰略風險和重大交易;之后通過定量和定性結合的方法,進而評價企業風險管理中風險衡量的準確性:最后通過專門程序,審查企業職能部門采取的措施是否已將風險控制在可接受的范圍內。對于不同類型的風險,向決策層建議采取風險回避、風險轉移、風險降低等不同的策略和措施,從而幫助企業直接有效規避和防范風險。
(二)促進企業不斷完善風險管理制度
風險導向內部審計是一種系統、規范的方法,對企業的風險管理體系及其運作進行監督和評價。通過定量與定性相結合的方法,就改進管理控制風險向決策層提出具體可行的建議和措施,并對企業生產、經營、管理的體制和機制提出調整,將這些建議和措施系統化、規范化,最終形成企業新的規章制度,進而周而復始地循環,使企業風險管理制度不斷完善。
(三)為企業強化和規范風險管理運行機制提供重要支持
風險導向內部審計是企業風險管理運行機制的重要一環。一方面,風險導向內部審計的特定內容和方法有助于全面地識別風險,強化和規范企業風險管理。另一方面,風險導向內部審計關注會計報告的重大錯報風險,對企業所處的宏觀經濟社會環境和行業環境、企業戰略目標進行深入地了解和綜合評估,落實實質性測試的范圍和重點,這些都為企業強化和規范風險管理運行機制提供了重要的支持。
企業風險管理職能部門的主要責任是對整個風險管理過程進行認定,并評價其充分性與有效性,向管理層報告并提出管理建議,以此來保證風險管理的有效性。反過來,內部審計也是內部控制或者整個風險管理過程中不可或缺的重要組成部分。它既是內部控制的一種特殊形式,也是實現內部控制目標的重要手段。現實中的一些企業,董事會往往下設審計委員會、風險管理委員會,企業內部審計部門對審計委員會負責,風險管理職能部門對風險管理委員會負責。企業其他職能部門及各業務單位在全面風險管理工作中,同時接受風險管理職能部門和內部審計部門的組織、協調、指導和監督。
企業的風險管理職能部門所開展的風險管理實踐可簡要概括為四個步驟:第一步是風險識別;第二步是風險評估;第三步是風險應對;第四步是風險監察。而內部審計部門在開展風險導向審計業務時,相應的也要經過風險識別、評估、應對和監察階段。其聯系如圖1所示。下面就各個階段分別論述兩部門的內在聯系。
1 風險識別與評估階段
根據ERM框架要求,企業風險管理職能部門在風險管理工作中,首先要識別出所有可能發生并對企業目標實現產生不利影響的重要情況;之后對風險發生的可能性及相對重大程度進行評估。而內部審計部門在開展風險導向內部審計業務時,首先要實施風險評估程序,通過分析性程序初步確定企業的風險,建立風險評估框架,對重要性做出初步判斷并編制出整個審計計劃;之后根據量化的風險水平確定審計項目的優先順序,合理分配內部審計資源,目的是將有限的資源集中于高風險的領域,找出風險存在的根本原因,以尋求最好的解決方案。因此,內部審計人員為減少工作冗余,避免工作重復,可以先對風險管理職能部門的風險識別與評估報告的有效性和充分性進行審查和評價,并結合自身工作特點,有選擇地加以利用。
2 風險應對階段
在經過對企業風險的識別和評估后,企業風險管理職能部門都要對風險與收益進行權衡。當風險超出了企業的風險偏好,企業不能接受且無法經濟有效地加以抑制,則須放棄該項目或計劃,
從而避免風險帶來的負面影響。對于大部分風險,需要企業采取一定的行動,轉移或分散風險,以達到企業可接受的水平。為此。企業風險管理職能部門需要對風險進行控制。即將不可接受的“固有風險轉化為可接受的“剩余風險”。而在內部審計部門開展風險導向內部審計業務時,內部審計人員通常要根據風險評估結果,設計與評估的重大錯報風險相關聯的、進一步的審計程序,開展控制測試與實質性測試,評估控制活動的有效性,使風險得以管理。由此可見,兩部門都要在識別與評估風險之后,對重大風險及時做出回應,只是關注點和工作任務有所不同。風險管理職能部門需要根據企業總體目標,衡量風險的成本與收益,運用風險管理方法針對已評估的關鍵性風險予以控制。而風險導向內部審計要求內部審計人員運用審計抽樣等技術,更加關注內部控制的測試與各個交易循環的實質性測試。
3 風險監察階段
企業的生存發展是處在一個不斷變化的競爭環境中的,故其所面臨的風險也會不斷變化,隨時可能會有新的風險出現,也可能預期的風險會消失。根據ERM框架,風險管理職能部門要對風險進行監察,并根據風險變化情況及時采取相應策略進行風險管理。而在開展風險導向審計業務時,出具最終審計報告之后,內部審計人員還要進行后續的風險監控。一是為檢查風險管理的效果,通常要開展跟蹤審計活動,對需要管理層或風險管理職能部門馬上采取糾正措施的事項進行適當的監督,以保證實現業務目標。降低組織風險;二是要對審計業務開始時所進行的風險評估結果持續關注,根據企業不斷變化的內、外部環境隨時進行調整,以幫助日后制定審計計劃,確定審計重點。可見,兩部門在風險監察階段,都要對企業所面臨的風險進行不斷地監督。在實務操作中,兩部門可以針對各自的工作側重點,相互配合,緊密合作。
三、實務中風險導向審計業務與企業風險管理的協調
通過分析實務中內部審計部門在開展風險導向內部審計業務時與企業風險管理職能部門的聯系,可知,無論是風險導向內部審計業務,還是風險管理部門進行風險管理實踐,其根本目標都是為降低企業風險,維護企業利益,為企業的總體戰略目標而服務。因此,內部審計部門在開展風險導向審計業務時需注意與風險管理職能部門及時協調、相互配合,最終形成合力,共同為企業服務。
(一)加強部門間合作,有效減少工作冗余
風險導向內部審計之所以要將審計資源集中于高風險的審計領域,對高風險點進行詳細的實質性測試,原因在于審計資源是有限的,必須要將其優先使用在高風險領域,這也是它的本質要求。而企業風險管理職能部門的主要職責就是識別企業所面臨的各種風險,并運用不同的風險管理策略開展風險控制活動,故內部審計部門在開展風險導向審計業務時,應充分考慮與風險管理部門的合作,積極應用風險管理部門的工作成果和專業意見,注意與其協調。以提高審計業務工作效率、完善審計工作成果。例如,風險管理部門每年組織開展的風險識別和評估可以幫助管理層識別想要實現組織目標所應關注的領域,在開展風險導向審計時,可以對此類信息有選擇地加以利用,從而確認高風險領域,進而確定審計重點。此外,風險導向內部審計和企業風險管理根本目標都是要將企業所面臨的風險降到最低,維護企業合法利益,故在很多時候,對某些重大風險領域,部門間應加強合作、聯合調查。內部審計部門根據風險管理部門提供的風險評估報告進行進一步地分析復核,通過采取控制測試和實質性測試等程序來最終確定風險大小以及所帶來的損失;之后。風險管理部門再根據內部審計部門最終出具的審計報告針對風險因素采取相應的措施。這樣可以更加有針對性地對風險進行控制,從而將其降低到企業可接受的水平。
(二)要注意結合本部門工作特點對所取得的資料進行分析復核
雖然已經說明內部審計部門在開展風險導向內部審計業務時可以積極應用風險管理職能部門的專業成果,如其每年的風險評估報告,但必須強調的是,內部審計部門在應用其工作成果時必須要對其進行分析復核。對資料有選擇地使用。因為風險導向內部審計最本質的要求是內部審計人員對企業的高風險領域進行識別和分析,進而采取有效的控制,而企業的風險多種多樣,且隨時隨刻變化,風險管理職能部門有時難免由于某些原因導致其未能準確地識別企業的某一高風險點。這時如果內部審計部門在開展風險導向審計業務時也沒有對其關注,即企業的風險識別出現了“盲點”,則很可能對企業的發展產生極大的沖擊。這樣,內部審計部門所開展的風險導向審計業務也就沒能充分發揮其審計監督的作用。因此,在開展風險導向審計業務時,提倡借鑒風險導向職能部門的工作成果,減少工作冗余,但內部審計人員一定要對其工作成果進行再審查、再評估。
(三)分清職責,到位不越位
首先需要認清風險管理是管理層一項主要職責,通常由企業的風險管理職能部門具體負責實施,而對組織的風險管理過程進行評估和報告才是內部審計部門的工作內容。在企業風險管理框架下,內部審計是對風險管理的再管理,即內部審計人員并不參與風險管理的建立和運行過程,而是在企業已有風險管理的基礎上實施再監督,以促進風險管理過程的建立健全或使風險管理的有效性成為可能,但是。不應該“擁有”已確認的風險或負責對這些風險的管理。風險管理的建立和運行過程應由管理層下設置的風險管理部具體負責,而內部審計在這一框架中應作為“監控活動”的角色而存在。此外,IIA在2004年發表的《內部審計在企業風險管理中的角色》意見書中也認為內部審計關于企業風險管理的核心角色是就組織風險管理的有效性向董事會提供客觀保證。以幫助確信關鍵企業風險被正確管理及內部控制系統有效運行。因此,內部審計在企業風險管理框架中首要角色是監督者。包括對風險管理流程的評估和保證服務,對風險評估準確性的保證服務,而不是風險管理的創建者或實施者。在開展風險導向內部審計中,內部審計人員一定要在協調、合作的同時分清職責,到位不越位。
(四)交流溝通,促進雙方共同進步
內部審計部門所開展的審計業務幾乎都是以風險為導向。將有限的審計資源集中到高風險領域,而企業的風險管理職能部門又對企業的風險因素進行專業化的識別、評估、控制和監察。因此,及時建立兩個部門之間的交流、溝通機制,促進雙方共同進步。可以更加有效地為企業總體戰略目標服務。在具體實施過程中,兩部門可以通過開展集中討論會、建立風險信息庫等方式進行相互交流。而且。兩部門工作所需的知識結構也存在互補關系,可以互相學習。內部審計人員通過學習風險管理知識,可以更加專業地識別和評估企業風險因素,從而更有側重地設計審計程序;而風險管理部門學習審計知識,也能夠了解風險導向審計工作的重點。從而相互配合,減少重復工作,確保風險管理活動的經濟性和有效性。
[參考文獻]
[1]吳容,風險導向整合型內部審計模式探究[J],中國內部審計,2009(9)
[2]王學龍,郝斯佳,論風險導向型內部審計在企業風險管理中的作用[J],中國內部審計,2010(2)
篇(4)
中圖分類號:TP311 文獻標識碼:A 文章編號:1672-3791(2012)12(c)-0110-02
長期以來,電力企業始終堅持“安全第一、預防為主、綜合治理”的方針,著力提升安全生產管理水平,安全生產總體平穩。但是,在安全稽查過程中發現的屢禁不止的違章行為表明,在“電網、作業、班組”三方面仍然存在較多安全風險隱患,安全生產管理仍然存在不少薄弱環節,離標準化、精益化的要求還有不小的差距,安全發展的基礎仍然不夠扎實。具體體現在以下方面。
(1)生產計劃主要通過生產MIS進行管理,存在工作量大、臨時變動大,未能與安全風險管控有效結合,計劃的剛性管理欠缺。
(2)未建立統一的評估標準,評估人的主觀影響較大,到崗到位計劃,只能根據工作量的大小來判斷,依據較單一,同時也不能進行全面統計分析。
(3)近年來,隨著經濟發展勢頭迅猛,作業現場點多面廣,檢修技改任務繁重。然而,保證體系和監督體系的人員不可能對全部現場進行督導和檢查,作業現場的危險點預控措施落實情況不能很好的得到監控。
(4)班組安全生產的基礎較薄弱,用工機制較多,人員安全意識、技能水平參差不齊,作業違章難以根除。班組安全生產承載力的分析,僅停留于某個周期內是否存在違章、是否受到過處分和班組的安全活動開展情況上,不能充分發現班組安全生產管理和過程中存在的危險因素。
為解決上述問題,上虞市供電局建立了基于PMS的作業項目安全生產風險管控系統,該系統建立了完善的風險評估庫,評估人只要通過選擇評估要素進行評估,評估分和風險等級由系統自動生成。系統在對風險評估過程進行規范的同時,還通過對班組的安全承載能力分析實現了檢修計劃的閉環管理,相關的風險管控措施被嚴格地規范在業務流程中,極大地提高了檢修計劃管理的效率和水平,以管理創新推動了安全生產水平的提升。
1 系統功能
1.1 風險評估庫
風險評估庫包括電網風險評估庫、變電檢修風險評估庫、線路檢修風險評估庫、操作風險評估庫、班組風險評估庫等。每個風險評估庫包括評價因素、評估項目、評估要素三個層次,風險評估庫的設置遵循最大風險法則。風險等級用星級表示,從一星到五星,以分值衡量,星級越高,風險越大。在系統中,可對各風險評估庫的星級評定標準進行管理,同時也可設置各個星級的同進同出、到崗到位的管理要求,以便在生成風險評估報告時,根據評估的星級生成同進同出、到崗到位的要求。對評估項目,可設置相關信息供風險評估時參考,可顯示的信息包括設備臺帳信息、缺陷和隱患、檢修相關信息等。對評估要素,可設置自動判斷的條件,這些條件來源于設備臺帳、缺陷、隱患和檢修相關信息,在進行風險評估時,系統將對評估要素進行自動判斷。電網風險評估庫內容如(表1)所示。
1.2 作業項目風險評估
在進行作業項目風險評估之前,生產班組需要進行作業項目三維風險辨識。為提高生產班組作業風險辨識的針對性,系統在生產班組進行作業項目三維風險辨識前,提供以下輔助:(1)根據作業設備從設備環境風險庫中搜索與該作業相關的風險事件。(2)根據作業班組從班組風險庫中搜索相關班組及人員素質風險。(3)根據作業內容從風險辨識范本庫中搜索相關的風險辨識范本。(4)班組可根據類別等關鍵字搜索風險事件、班組風險、風險辨識范本。
班組導出打印所有相關的作業風險,進行現場踏勘,對風險事件、班組風險、風險辨識范本中的內容進行確認并評估風險等級。對于風險事件,其風險等級直接來自作業安全庫LEC評估的結果,對于班組及人員素質風險和根據風險辨識范本辨識的動態風險,生產班組需要進行PR評估。工區或班組基于作業項目風險評估標準進行評估,對每項評估項目進行打分或者選擇評估選項,系統自動根據評分規則計算作業項目的評估分和風險等級。同時,系統為作業項目風險評估提供以下支持:(1)基于作業項目風險評估標準庫中的評估判據,對評估項目的得分進行自動計算或自動選擇評估選項,如自動查找與作業項目相關的風險事件并計算得分,并且在此基礎上,評估人可對風險事件庫進行搜索,選擇相關的風險事件,系統根據計分規則計算得分。(2)顯示關聯信息供評估人參考,如設備臺帳、檢修計劃、班組及人員等相關信息。(3)系統根據評估結果自動生成風險評估報告,生產控制措施卡,指導作業班組的現場作業,現場作業完成后必須將安全措施執行情況反饋到系統中,完成閉環。
風險評估界面如圖1所示。
1.3 安全承載能力分析
系統基于作業班組及人員安全承載能力評估標準和評估流程,實現作業班組、班組人員安全承載能力評估的閉環管理,同時實現作業班組、人員安全承載能力可量化的指標,為作業項目風險評估、安全承載能力分析和生成控制措施卡提供輔助支持。
安全承載能力分析界面如圖2所示:
1.4 查詢統計
通過系統,各部門可方便地對風險事件、班組風險、風險評估標準、風險辨識范本、作業項目風險評估、風險預警進行查詢。同時,系統基于多維在線分析技術,實現對風險事件、班組風險、作業項目風險的全面統計分析,統計分析結果以表格、圖表等形式展現。
2 系統實現
2.1 系統架構
本系統基于J2EE技術架構,用戶無需安裝客戶端即可使用系統的所有功能,在極大程度上降低了系統的維護和管理成本。
系統實現了組件化設計理念,采用瀏覽器+中間件+應用服務器+數據庫服務器的多層結構,顯示邏輯、業務處理邏輯和數據訪問邏輯分開,擁有完備的安全控制結構和通用的數據訪問結構,運行穩定,性能較高,易于維護并具有良好的可擴展性和安全性。
2.2 流程引擎
為保證系統流程穩定、高效的流轉,本系統實現了符合WFMC標準的通用工作流平臺,實現所有業務流程的定義、驅動、監控的集中管理:(1)流程引擎支持圖形化實現復雜業務邏輯,提供圖形化流程組織結構,支持各種角色、關系、相對關系等功能,具有良好的易用性和擴展性;(2)系統管理器提供各種異常管理功能,比如重新激活停滯流程,重新指派,提供各種協同功能,支持流程動態功能,比如客戶端支持指派、重新提交流程等:(3)工作流平臺提供多層次的流程監控功能,流程參與人員、管理員可以圖形化的形式直觀地監控流程的狀態和進度。(4)管理員可方便對地流程異常進行監控、干預。(5)高度可擴展及集成能力,支持圖形化配置即可集成各種應用系統,支持包括客戶端定制、表單定制、集成第三方系統等接口,流程規則、表單、步驟條件等均可調用XML、Web services等。
3 系統應用情況
經過1年的研究和開發,作業項目安全風險管控系統在2012年10月開始在上虞市供電局上線運行,同時根據用戶的需求,系統功能不斷得到改善和加強。通過本系統的實施和應用,上虞市供電局建立了完善的風險評估庫和風險事件庫,提高了風險評估的科學性、客觀性;系統結合PMS生產計劃,實現生產任務和班組人員安全承載能力的匹配和優化;構建了完善的風險管控體系,實現與電力企業安全管理相關制度的充分結合,充分發揮風險評估結果對安全生產管理和現場作業的指導作用。
4 結語
綜上所述,上虞市供電局作業項目安全風險管控系統是一個全面、綜合的作業項目安全風險評估和風險管控信息化解決方案,不僅為電網風險評估、作業風險評估、班組安全承載能力分析提供全面的智能化、信息化支持,實現科學、實時、準確的安全風險評估,同時PMS生產計劃與安全風險管控有效結合,不斷夯實了安全生產基礎,提升了安全生產管理水平,真正實現了安全生產的可控、能控、在控。
參考文獻
[1] 國家電網公司.供電企業安全風險評估規范[M].北京:中國電力出版社,2008.
篇(5)
中圖分類號:F239.45 文獻標志碼:A 文章編號:1673-291X(2014)02-0193-03
風險導向內部審計是企業進行風險管理的一種有效工具,其目標是在全面評估企業風險的基礎上,通過對風險進行事前評估與控制,對風險處于何種狀態做出準確判斷,為控制風險提供依據。與傳統的審計模式相比,現代風險導向內部審計更注重從宏觀上把握審計風險,審計工作重心從實施階段前移到計劃階段,關注的核心從內部控制轉向風險,在審計的全過程自始至終都關注風險,依據風險選擇項目,識別風險,測試管理者降低風險的方法,并以風險為中心出具審計報告,協助企業進行風險管理。審計方法從以審計測試為中心轉移到以系統化的風險評估為中心,即計劃階段對風險進行評估,實施階段對相關風險進行持續監控和報告,報告階段提出風險管理建議。2007年新審計準則要求全面實施風險導向審計,故本文對我國企業如何實施風險導向內部審計提出幾點建議,與大家探討。
一、建立全流程風險管控機制
建立審計戰略計劃、審計項目計劃和具體審計項目實施的全流程風險管控機制。
一是年度風險導向戰略計劃的制訂。年度風險導向戰略計劃要與企業目標相契合,建立在對公司重要領域的認定、風險自我評估的基礎上,以重大風險和重要風險為導向,明確審計重點,確定年度審計項目。在充分調研的基礎上,組織相關部門進行風險自我評估,識別各自存在的風險,排列風險次序,出具風險自我評估結果,以此為依據,確定本年度審計關注點,編制年度審計計劃。風險導向內部審計中,風險評估貫穿于年度審計計劃、項目計劃、執行審計、總結發現和報告的各個階段,企業要根據風險評估結果和以前年度審計情況,合理分配審計資源,將審計資源重點放在高風險領域。
二是建立風險管控標準,有效識別風險。就是按統一的標準梳理各業務環節的流程,審計部門牽頭,各業務單元的內控負責人統一對采購與應付、生產循環、銷售與應收、存貨與倉儲、營銷管理等業務循環的流程圖和業務流程的風險點進行全面梳理,對應將風險點、控制措施嵌入到流程中,建立清晰的業務流程圖、明確的崗位控制標準和風險防范控制措施。
三是業務流程測試和風險評估。風險評估通過實施不同的測試程序識別審計風險,包括企業整體層面控制評估、信息系統一般控制評估、流程層面控制評估、控制測試以及實質性測試等。建立業務循環各個節點的穿行測試標準,指導各單位業務人員開展業務流程的穿行測試,通過全流程的穿行測試驗證各業務層面風險受控情況,運用自審、互審和復審相結合的方法,推進全員、全流程的風險自我審計。
四是出具風險評估報告及風險地圖。審計部出具企業各業務單元的風險評估報告和完整的風險地圖,建立企業審計風險資源庫,為相關部門提供風險關注和控制優化的依據。
風險管控機制將風險管理流程與審計基本程序有機融合,更多地從全流程的角度對企業進行全面風險評估。企業要根據自身的具體情況設計風險管理流程、風險評估項目和評估標準,并根據風險環境的不斷變化及時調險評價標準,以適應管理需要。而且,風險管控是一個持續、循環的管理過程,不能將風險管理審計作為一次性的專項審計項目,在風險管控執行過程中,要不斷地關注風險,針對問題制定有效的控制措施。
二、以風險為導向,優化具體審計項目實施程序
以固定資產投資風險導向內部審計為例。固定資產投資項目投資額大、建設周期長,管理環節復雜,管理風險和審計風險都較高,采用風險導向固定資產投資審計,識別和評估重大管理風險和關鍵控制節點,全面審計,突出重點,可以有效提高審計效率,降低審計風險。其審計程序如下:
一是制訂固定資產投資風險導向項目審計計劃。風險導向項目審計計劃是對具體審計項目實施全過程審計所作的綜合安排,需要明確審計目的、審計范圍、審計方法和審計程序、項目風險評估、關鍵風險點、項目組人員分工、時間安排以及其他事項等。固定資產投資審計目標要與企業固定資產投資目標相聯系,審計范圍包括選定經營單位、選定業務及流程、相關信息系統測試范圍、測試時間范圍等。
二是業務經營單位初步評估和關鍵風險識別。審計人員要掌握固定資產投資項目整體情況,注重從宏觀層面了解固定資產投資項目的基本情況,獲取背景信息,包括行業狀況、監管環境、建設模式、建設目標等信息,對固定資產投資項目面臨的風險進行分析,識別和評估固定資產投資項目系統風險和關鍵風險。
三是業務流程分析。在全面評估固定資產投資風險基礎上,從投資項目風險入手,進一步了解流程,更新識別的風險,對高風險項目和資金重點監控,從整體上把握審計重點。
四是評估流程有效性和流程重大風險。在了解固定資產投資項目業務流程的基礎上,運用分析性程序,分析關鍵流程,評估固定資產投資項目重大風險,分析對目標產生影響的風險以及風險控制,測試實際的控制能否切實管理這些風險,這是風險導向審計關注的重點。
五是根據風險評估結果,確定項目審計范圍和審計重點,制定相應的審計策略。具體是設計審計步驟,根據審計步驟進行審計抽樣并對樣本進行監督,實施實質性測試等審計程序。在審計實施過程中,要根據審計實施情況對項目方案進行重新評估,擴大審計范圍或增加審計程序,實施進一步測試以修訂審計方案,保證審計質量。
杜邦“沸騰壺”審計抽樣模型就是一種常用的審計抽樣方法。它以審計項目風險為對象,建立風險識別模型,對每一類風險進行排序,將其劃分為不同的級別,即高風險、敏感風險、適中風險、低風險,直觀地反映風險與審計面的關系。杜邦“沸騰壺”模型說明,在風險因素中,風險結構一般是高風險占10%,敏感風險占30%,適中風險占40%,低風險占20%。風險審計規劃在審計資源配置時,要依據風險水平高低配置審計資源,對不同級別的風險因素需實行差異化審計。高風險因素要進行詳細審計,對于處于敏感風險性質的風險因素一般抽樣50%進行重點審計,對于適中風險因素一般抽樣 25%,而對于低風險的風險因素只需要抽樣10%進行一般審計。風險級別越高,配置的審計資源越多,根據風險評估結果,將主要的審計資源分配在高風險領域,有的放矢,提高審計效率。
六是根據對流程設計有效性測試結果得出審計結論,出具審計報告,提出管理建議。
三、建立以審計調查法為基礎的風險評估機制
風險評估機制包括風險識別、風險評估、風險模型的建立及風險評估結果分析等。對確定的審計項目進行風險評估,主要是通過對業務流程的梳理,找出流程關鍵控制點,并選擇科學的風險評估方法對控制點進行風險分析,以準確識別和正確評價風險。以審計調查法為基礎的風險評估方法,能清晰揭示風險的高發區域和風險變化趨勢,操作性強,評估結果具有很強的說服力。即選取一定比例的被審單位實施風險典型調查,采用審計調查法對風險發生頻率和嚴重程度進行分析和預測,對風險進行分級分類管理,根據風險水平確定審計重點。步驟如下:一是確定評估范圍。評估范圍與審計范圍相關,對風險評估結果的運用有直接影響。二是風險評估數據的采集。采集近幾年的相關風險數據,這些數據可以是以往風險管理審計、綜合性審計及專項審計的相關資料和數據等。三是對風險評估基礎數據進行整理和加工。內部審計人員依據原始資料和專業判斷對一些定性資料進行量化處理,確定各組風險數據的影響程度級別,據此對項目風險進行評估。四是進行風險評估和預測。根據事先界定的評估范圍,分別對審計項目各類風險、各類子風險的概率和影響程度進行評估,對所采集的一定期間的風險數據,采用審計調查法分析歷史數據,尋找各風險的變化趨勢和集中趨勢,建立能描述各風險變量未來變化態勢的模型,運用數學方法對各類風險的主要變量——風險概率和影響程度進行風險變動趨勢分析及預測,求出風險預估值,并運用政策分析法,整理和分析可能影響各類風險變量的政策因素,對固定資產投資風險預測值進行修正和完善,確定風險估測值浮動區間。五是風險評估結果的分析和利用。根據風險分布情況,布局安排審計資源,對風險多發區域進行重點審計。風險評估結果可以應用于企業的風險管理,包括:將風險評估結果與企業事先確定的風險管理策略(如各類風險的承受度等)進行對比,并分別采取不同的風險應對措施;協助企業建立風險預警機制,對達到風險預警線的風險發出預警信號,采取相應的風險控制措施;對風險發展趨勢進行預測,幫助企業規避和防范風險。
四、建立風險自我評估和預警機制
建立風險預警機制,對風險進行實時監控,可以有效管理和預防重大風險。風險預警機制前移風險管理關口,使風險管理重點由事后監督向事前預防、事中控制轉移,防患于未然。企業可以根據風險評估結果,針對風險高發區域建立預警機制,完善風險預警指標體系,如利用DCCS法、盈虧臨界點法及財務比率法等有效捕捉企業風險征兆,對異常情況提前發出預警,幫助管理層完善風險管理程序,控制風險。在風險導向內部審計中,使用風險自我評估(RSA)法,可以有效提升風險預警效率。風險自我評估是指內部審計要監督:(1)風險環境分析的恰當性。主要是對企業固有風險和控制風險進行評估,分析風險性質和影響程度的變化以及控制措施是否能與環境變化相符,并在審計報告中反映分析結果。(2)風險事件識別的充分性。(3)風險評估的恰當性。風險評估要從風險發生的可能性和影響性兩方面對已識別的風險事件進行定量分析和定性分析。(4)風險度以及風險預報合理性。主要是審核風險度的計算方法是否科學合理,是否反映企業實際風險水平。綜合分析企業的內外部環境,審核風險預報的根據及預報的級別是否合理。(5)風險控制措施的有效性。主要是對業務控制程序進行測試,檢查是否有效,是否能夠控制風險,并對檢查發現的問題提出改進措施和建議,幫助企業管理風險,降低風險損失。(6)風險信息溝通的有效性。內部審計人員要從風險識別、評估信息的獲得,風險警報的及時發出等方面評估風險信息是否被準確及時地傳達給所有相關人員,讓管理層了解風險是否被有效管理。風險信息溝通評估也可以提高外界對企業風險管理的信任度。
此外,企業應建立風險審計信息系統,完善審計資源數據庫,積極推進審計手段創新,加強內部審計隊伍建設,合理配備審計項目組成員,有效提高內部審計效率和質量,提升風險導向審計的價值增值功能。
篇(6)
中圖分類號:F273 文獻標識碼:A 文章編號:1672-3791(2014)10(c)-0133-02
盤錦供電公司認真貫徹國家電網公司安全風險管理要求,充分吸取國內外先進風險管理經驗,在電力生產實際中開展了從安全風險工作探索,目標、理念明確,工作思路清晰,效果明顯。下面總結一下該公司開展的風險管理工作。
1 安全風險管理的目標
1.1 理念
能夠控制所有風險。
1.2 基本原則
注重實效、實事求是、以人為本、穩步推進。
1.3 工作思路
分層次、分專業、理流程、抓培訓、建機制、搞落實。
1.4 工作目標
逐步建立基于閉環管理的安全風險管理體系,把安全管理由嚴格監督階段轉變成自主管理階段,實現安全“三控”目標,即能控、可控、在控。
2 安全風險管理的內容
2.1 結構體系
(1)安全風險管理體系、事故調查體系、應急管理體系,這三個工作體系屬于安全管理體系,安全風險管理體系只是其中一個。監督體系、責任體系、保證體系這三個組織體系是三個工作體系的執行主體,其管理對象是企業、電網、作業活動等。(2)分層次風險防控機制的建立。不同管理層次根據各自工作特點、管理職責負責和控制不同級別的安全風險,一步一步落實好安全責任。供電企業的主要目標是讓員工安全意識和風險防范能力得到提高,供電中斷、設備損壞、人身傷亡等是其重點防控的事故風險。其作業安全風險包括各個階段的作業過程中的人身傷害、誤操作、違章等。(3)分專業風險防控機制的建立。根據各部門的工作特點和管理職責,形成各專業既合作又分工的安全風險防控機制,同時發揮安全監督體系與保證體系兩者的作用。公司安監部帶頭制定安全風險管理整體方案,同時制訂實施方案的計劃,積極組織宣貫培訓,評估風險,讓風險防控措施能夠全面落實;按照“誰主管,誰負責”原則,各部門識別、分析、防控自己范圍內的各類安全風險的工作(電網、設備、人等),認真履行自己的義務和職責。
2.2 安全風險管理的組織機構
(1)成立安全風險管理工作領導組。由行政正職任組長,分管副職任副組長,安全管理、生產管理、人力資源、教育培訓和生產單位負責人為成員,其主要職責是:對安全風險管理工作進行部署和開展;對安全風險管理實施方案和工作計劃審閱評定;確保人、財、物要投入到安全風險管理中;審定公司安全風險評估報告;布置風險控制對策及處理措施;評價、考核各單位安全風險管理工作開展情況。(2)成立生產安全風險管理工作組。由分管生產的副職任組長,安全、生產部門人員人副組長,相關部門負責人及專責人員為成員,負責風險管理工作的組織協調、檢查指導、評價考核等日常管理。公司安監部牽頭,負責組織風險管理工作的實施;各相關部門履行日常管理及風險管理制度所明確的職責。其工作職責是:安全風險實施方案和工作計劃的制定;安全風險管理工作的檢查和指導;安全風險管理規范與方法的完善;開展風險管理知識和應用方法的培訓;審核各生產單位的風險管理上報材料;負責公司風險信息的統計、管理;開展風險評估工作;制定風險控制對策、風險處理措施;總結、改進安全風險管理工作。風險管理工作組下設變電、輸電與配電、調度與二次三個專業組,各專業組職責是:審核各專業作業活動的風險分析結果;開展各專業作業活動的風險評估工作;計算各專業的作業活動風險度、固有風險度;編制評估報告,分析薄弱環節和變化趨勢,提出處理措施。(3)各生產工區、所成立安全風險管理相應組織,其相應工作職責是:組織開展本單位安全風險管理工作;開展安全風險教育培訓工作;開展作業活動風險分析工作;編制相應規范;開展靜態危險因素辨識、風險評價和風險控制工作;負責本單位風險信息的統計、管理;編制本單位風險評估報告。
2.3 安全風險管理的基本流程
(1)主要工作內容。安全性評價、運行方式分析、事故隱患排查治理、作業安全風險管理、安全檢查等是公司級安全風險管理的主要工作。
(2)基本流程。風險識別(分析)、風險預警、風險控制(整改、治理)、檢查與改進等是安全風險管理的基本流程。實現PDCA循環的不斷完善的工作機制,包括:制定工作計劃和實施方案(Plan),嚴格執行工作計劃和方案(Do),監督和糾正實施過程中的偏差(Check),總結前面工作,根據總結制定相應的完善措施,使下一輪工作得到改進(Action)。
(3)安全性評價。一般以2~3年為周期,按照“制定評價計劃、開展自評價、組織專家查評、實施整改方案”過程,建立閉環動態管理工作機制,實現安全性評價工作的持續改進和提高。
(4)治理和排查隱患。要治理和排查不同領域、不同專業的隱患,就要依據“全面覆蓋、全程閉環”和“誰主管、誰負責”的原則;事故隱患等級的確定首先要預評估,再評估,最后核定;隱患閉環管理的進行要遵循“發現、評估、報告、治理、驗收、銷號”的步驟;建立公司總部、網省公司、地市公司三級事故隱患排查治理工作機制,要遵循“落實責任、統一領導、分類指導、分級管理、全員參與”要求。
(5)運行方式分析。年度方式分析應全面評估本年度電網運行情況、安全穩定措施落實情況及其實施效果,分析預測次年電網安全運行面臨的風險和生產運行實際需求,提出電網建設、技術改造等措施建議,指導次年電網規劃、建設、生產和運行,提高電網安全工作的系統性、針對性和有效性。
(6)安全檢查。按照“自查、互查、督查相結合”以及“邊檢查、邊整改”原則,組織開展常規(季節性)安全檢查和專項安全檢查(督查);按照“制定檢查大綱、組織實施檢查、通報檢查情況、督促落實整改”環節,實施安全檢查的閉環管理。
(7)作業安全風險管理。本部門作業風險管理和控制要策劃好、落實好,就必須遵循“誰組織、誰負責”的原則。這項工作的任務很重,比如要認真審核工作計劃、制定有效的措施、詳細分析承載力、協調好重大事項、準確評估風險等。安監部門負責生產作業風險開展和執行情況的監督和檢查。
計劃編制風險管控:生產計劃編制貫徹狀態檢修、綜合檢修的基本要求,嚴格計劃管理,避免重復停電,減少操作次數,保證檢修質量,提高安全可靠水平。分管生產領導牽頭組織召開好運行方式分析會、檢修計劃協調會和停電計劃平衡會,保證工作安排合理有序。下達的計劃中應注明主要風險,并制定相應的防范措施和預案。
管理和控制作業組織風險:要嚴格按照月計劃和周計劃完成安排的任務,合理調配人、材、物,全面分析速度、質量、安全和時間的關系,合理安排每日的工作,安全順利完成工作。安排人員要認真分析班組承載力,給每個部門安排的作業量要合理。各工作負責人能夠按時且高質量地完成其任務,技術操作員的技術能力要達到工作需要,管理人員要按時上崗。組織統一辦理停電手續,保證動態風險預警措施落實到位,做好與其他配合單位(包括外協單位)的聯系工作。材料設備、機械、備件備品、作業機具、車輛、安全工器具等資源要配備齊全,以滿足現場工作的資源調配。仔細勘察現場,準確填寫現場勘察單,對停電范圍、作業現場的條件或環境、保留的帶電部位、其他作業風險都要全面掌握。制定科學嚴謹的方案。制訂的作業指導書和施工“三措”要針對現場勘察情況,而且還要具有可操作性。有的項目作業非常危險,程序復雜,難度很大,此類項目作業要經過本單位總工程師(分管生產領導)批準后,才能根據現場情況執行。施工設計交底。由施工單位組織,在管理單位專業工程師的指導下,主要介紹施工中遇到的問題和經常性犯錯誤的部位,要使施工人員明白該怎么做、規范上是如何規定的,明確工作任務和范圍、技術和安全措施、作業風險及其處理措施。
管理和控制現場實施風險:經過交底,作業前作業人員完全掌握方案。有的作業項目很危險,復雜程度高,難度大,作業前一定要勘察現場,認真填寫現場勘察單,對作業內容、條件及注意事項要牢記。操作票制度要嚴格執行。只有經過審批手續,解鎖操作才能執行,并且執行過程中要有專人監護。保證操作票、工作票與接地線編號一致。遵照工作票的要求,相應的工作人員要給帶電設備四周(即工作地點)圍上柵欄,隔開帶電設備和停電設備,且要把安全警示標示牌豎在醒目的地方。工作票制度要嚴格執行,就要對工作票、二次安全措施票、動火工作票與事故應急搶修單正確使用。開工會由上級組織召開,組織要把工作內容、帶電部位、人員分工、危險點、現場安全措施等全部交底。檢測施工機械、作業機具、安全工器具,合格后,專業作業人員和專業設備操作人員方可持證上崗。總工作協調人要協調好各專業的工作,使多班組配合有序、高效,保證作業順利進行;設立專職監護人員負責交叉、復雜、有觸電危險或者地段危險等風險較大的工作。
3 安全風險管理取得的實效
盤錦供電公司堅持“安全第一、預防為主、綜合治理”的安全生產工作方針,深入貫徹國家電網公司和遼寧省電力有限公司的各項工作部署,不斷夯實安全生產管理工作基礎,落實安全責任,強化安全風險管控,實現安全生產整體工作水平的持續提升。截至2013年12月31日,盤錦供電公司連續安全生產4315天,實現第10個安全年。創造歷史最高紀錄,并在全省地市公司中名列前茅。
4 結語
盤錦供電公司在電力生產實踐中全面貫徹“安全第一,預防為主,綜合治理”的方針,通過安全風險管控的一系列有效探索,充分證明風險管理是安全管理的實質,制定安全預控機制是風險管理的核心,預防風險失控、維持安全狀態是風險管理的目的,最終確保安全“可控、能控、在控”。
參考文獻
[1] 安全管理工作基本規范(試行)[M].北京:中國電力出版社,2011.
篇(7)
中圖分類號:F270 文獻標識碼:A 文章編號:1004-5937(2016)08-0072-02
一、引言
企業風險管理是我國近年來較為熱門的話題,尤其在現階段國內經濟下行壓力加大、外部環境存在較大不確定性等諸多困難下,加強全面風險管理工作顯得尤為迫切。研究成果表明,風險管理可以通過降低盈利和股價的波動性、減少額外的資本支出、增加資本效率和發揮風險管理策略的協同效應等方式來增加公司價值[1]。作為中國企業的佼佼者,上市公司集中了我國的優勢企業和優質資產,是我國經濟建設的主力軍,在國民經濟發展中發揮著中流砥柱的作用。風險貫穿于企業經營決策的全過程之中,如果上市公司風險大量積聚、顯化及蔓延,不但會導致公司價值毀損,影響資本市場的健康發展,甚至還會危害到整個國民經濟的穩定發展。盡管目前不少上市公司已經啟動風險管理工作,然而,現有風險管理多是基于內控規范基礎上的合規化的風險管理,還沒有達到以企業價值最大化為目標的風險管控。由此,本文針對2007―2013年上市公司披露的《風險管理制度》中存在的不足進行分析,探討如何完善上市公司全面風險管理制度建設,從而提高風險管理的有效性。
二、已披露上市公司《風險管理制度》概況
國務院國資委2006年開始在央企試點全面風險管理,2010年全面推行。自2007年以來,上市公司也開始關注和重視風險管理工作,制定了諸如《全面風險管理制度(辦法)》《內部控制及全面風險管理辦法》《風險評估管理制度(方法)》等規章制度(以下統一簡稱“風險管理制度”)。截至2013底,有74家上市公司自發對外披露了《風險管理制度》,其中有19家上市公司披露了《全面風險管理辦法》,年份分布情況見表1。鑒于現階段上市公司公布風險管理相關信息仍屬于企業自發行為,目前披露風險管理制度的上市公司數量很少,但可喜的是呈逐年遞增趨勢,說明上市公司已從制度層面入手提高企業整體風險管理水平和效率。但從近四年披露的總家數占總樣本的比例(87.8%),可以看出,我國當前上市公司風險管理制度的建立時間比較短,加上建立全面風險管理體系的企業只約占樣本的25.6%,說明我國上市公司整體上處于風險管理的初級階段。
在風險管理制度制定權上,為體現公司風險管理的戰略性、整合性和全局性,一般是由董事會來制定風險管理制度并向股東大會負責。從樣本可以發現,在披露了風險管理制度的74家上市公司中,有48家公司(占65%)是由董事會制定的,有15家公司(占20%)注明是由董事會下屬的審計委員會制定的,說明董事會在風險管理中的重要地位,是企業風險管理管理的決策領導機構。
鑒于金融行業的特殊性,樣本中的6家金融企業將予以剔除。
三、已披露上市公司《風險管理制度》重點內容解析
(一)風險管理組織架構體系
有效進行風險管理的前提是擁有一個職責清晰的風險管理組織架構體系[2]。風險管理是一個系統工程,需由主體內的一個有機的組織來實施并執行各自的職責,才能實現風險管理的目標。風險管理組織架構體系主要是明確風險管理相關部門、崗位及其相應的職責。從68家樣本公司中,發現有33家上市公司采用的“三層級”的風險管理組織架構:各職能部門和業務為單位風險管理第一道防線;內部審計部門和董事會下設的審計委員會為風險管理第二道防線;董事會及股東大會為風險管理第三道防線。只有云煤能源一家公司設立“五層級”的風險管理體系:董事會為第一層級,全面風險管理委員會為第二層級,風險管理部門為第三層級,各職能部門為第四層級,各子、分公司為第五層級。風險管理體系設置的層級越多,職責劃分越明確,越有利于風險管理工作的細化,但也可能會使得風險信息傳遞及風險處理的效率降低等等。
進一步分析發現,樣本公司中有24家只說明公司各部門的風險管理職責,忽略了風險管理決策機構和核心管理機構的職責,7家公司沒有涉及風險管理各層級的職責,這顯然不利于企業對風險管理的具體實施和風險績效考核。
(二)風險管理流程
風險管理流程是確保風險管理制度行之有效的重要基礎。從風險管理流程與方式來看,68家樣本公司存在一定的差異。其中,大多數公司借鑒了《中央企業全面風險管理指引》(以下簡稱《指引》)中風險管理流程的五個環節:收集風險管理初始信息;進行風險評估;制定風險管理策略;提出和實施風險管理解決方案;風險管理的監督與改進。有的公司設置了四個流程環節,是將風險管理策略納入風險評估環節,如德賽電池、江南高纖、久立特材等;長春一東只設立了風險評估與應對兩個流程。而出版傳媒在其風險管理制度中介紹了籌資、采購等六項風險控制的重點,沒有從整體上設立風險管理流程。整體來看,風險管理流程在形式上已初具雛形,但仔細研讀每份風險制度后發現,很多公司對風險管理流程的內容是直接引用《指引》中相關指導,并沒有根據公司自身特征對流程進一步強化和細化,在風險管理應對措施方面缺乏針對性,往往達不到事前控制的目標。
(三)危機與重大風險事件的應對
近年來,上市公司雖然整體實力明顯增強,但重大風險事件時有發生,如投融資風險、生產安全風險等,給企業和股東帶來巨大損失。重大風險的信息反饋、溝通機制有利于董事會有效及時地獲取風險管理信息,從而提高企業風險預警能力。然而,在68家樣本公司風險管理制度中,單獨制定危機及重大突發風險事件應對處理程序的公司只有7家,通常由公司審計(法務或監察)部在接到公司其他部門或分、子公司的突發風險報告后,組織評價突發事件的影響,制定風險應對方案。重大風險應對措施都是常規性的管理改善,并沒有很好地針對風險的特點,制定相應解決方案。
(四)風險管理輔助系統
風險管理制度的順利實施需要相關輔助系統的配備與支持,如風險管理信息系統的建設、風險管理文化的形成、考核制度明確獎懲措施。很多公司風險管理文化還遠遠沒有形成,大部分人員認為風險管理僅僅是形象工程,并沒有將風險管理理念完全領會,最終導致諸多“低級風險”。沒有考慮風險管理在實施過程中需要其他相關輔助系統的支持,這將不利于風險管理有效性的發揮。
四、完善上市公司風險管理制度的對策建議
(一)戰略層面構建風險管理體系,厘清風險管理部門職責定位
風險管理是企業戰略管理的重要組成部分,需要企業決策層給予充分的重視,應當由最高層自上而下從戰略上把控,從全局觀看待和處理企業面臨的風險問題。為避免風險管理流于形式,有條件的企業可以考慮設立風險管理專職機構,作為傳遞、溝通風險信息和及時指令的平臺和窗口,實現公司層面對風險控制的常規化和實時性。其次,風險管理是一個系統工程,需由主體內的一個有機的組織來實施并執行各自的職責,才能實現風險管理的目標。但是,對于風險管理的組織構成層級及范圍沒有統一的標準,同時,各個企業大小不等、規模不一,風險管理組織也會有較大的區別,但明確風險管理部門的職責定位和工作要求是成功實施風險管理的重要基礎。為保證風險管理體系運行順暢,風險管理職能部門的定位應與現有業務流程相融合。
(二)建立專項風險評估制度,動態監控重大風險管理
風險管理流程的制定尤其是應對措施需要結合公司自身情況,加強針對性,達到事前控制的目標。在根據風險評估的結果確定重大風險后,沒有規定如何對重大風險預防、監控及動態管理。由此,企業要進一步健全風險評估機制,董事會負責督導企業進一步完善風險評估常態化機制,企業高風險業務以及重大海外投資并購等重要事項應建立專項風險評估制度,在提交決策機構審議的重要事項議案中必須附有充分揭示風險和應對措施的專項風險評估報告,風險管理職能部門要堅持對上述重要事項的風險評估進行程序性、合規性審核。另外,要逐步建立健全重大風險監測預警指標體系,實現對重大風險管理全過程的動態監控,確保重大風險可控。
(三)實施年度風險管理報告制度,加強價值與風險信息披露
雖然上市公司沒有強制性實施《指引》,很大程度上只是“參照執行”,但要想進一步深入推動,可以鼓勵開展風險管理的年度報告制度,將《指引》的相關要求細化到報告要求中去,推動和引導企業開展全面風險管理。另外,推動建立上市公司價值與風險管理信息披露制度,將價值管理和風險管理情況及時向社會公眾披露,接受股東的監督和評價。
(四)注重風險管理輔助系統支持,培養全員風險管理意識
上市公司應當把風險管理工作建成一項長效機制,做到主動防范和預警風險,為企業的長遠發展保駕護航。這就需要不斷加強相關制度建設,如風險信息化管理,重大風險公開、風險管理考核、風險管理獎懲制度,真正落實全面風險管理工作。由于風險管理涉及各個部門、各個崗位、各個業務模塊、各個管理流程,屬于全員管理,需要全體員工都參與進來,如此,就需要公司具備風險管理的文化,這是一個長期而持續的建設過程。
篇(8)
商業保險公司在多年的經營過程中,積累了一些中小企業風險的管理數據,通過數據的應用分析,在為中小企業提供相關保險服務的同時,可以為其提供在生產經營、企業管理、資金調配和運用的過程中的各種風險管理服務,幫助其借鑒行業內好的風險防范經驗,降低其生產經營風險。
(二)提供豐富的保險產品與風險補償
商業保險公司擁有豐富的風險管理、控制等方面的技術與經驗,是專門從事風險管理的企業,在其經營以各種風險保障為目的的銷售及服務過程中,可以提供多款不同標的、不同保障的保險產品。從這一點上來說,保險公司完全可以針對不同的行業和企業設計不同的風險評估報告和保險建議書,為中小企業設計相關的風險管控技術系統,降低中小企業經營生產管理中存在的風險,銷售不同組合的產品,多層次多角度地滿足他們的需要。
(三)提升信用水平,獲得融資保障
中小企業通過購買保險產品,獲得保險保障,可以通過提高其風險管控能力,提升其信用水平,使其生產經營活動順利有效開展,為社會穩定起到積極作用。同時中小企業通過與商業保險公司的合作,能夠大大改善其融資條件,提高其融資能力,獲得資本市場的有力支持。
二、新形勢下商業保險對中小企業經營影響的對策
為深化保險行業自身的改革,服務國家的全面深化改革戰略,必須加快發展現代保險服務業。在“新國十條”出臺的大環境下,為中小企業提供保險服務的保險公司迎來了巨大的發展契機。當前,商業保險公司可以提供的較為成熟的保險產品與服務主要有四大類:企業財產保障類、員工福利類、融資保障類、責任保障類。本文將以化工行業為例,探討新形勢下商業保險對中小企業經營的影響及其解決的對策與建議。
(一)中小企業保險需求與產品方案———以化工行業為例
根據對100家化工企業的調研數據進行分析,發現化工行業的風險較為集中,且保險需求也接近,通過對化工行業中小企業風險分析和保險產品提供安排,可以幫助中小型化工企業在生產經營過程中規避相關風險,也為其在社會責任承擔與員工福利解決方案中提供有效支撐。
(二)對策與建議
面對新國十條給保險業帶來的機遇,保險公司應針對不同中小企業的需求,在已有成熟保險產品的基礎上,開發創新更利于企業適應市場發展的新產品,發揮有力的保障作用。
1.強化管控,科學厘定承保條件保險公司拓展中小企業財產保險業務前必須首先了解中小企業的風險狀況和保險需求,通過對中小企業風險和保險的基礎數據進行收集、整理和分析,建立中小企業風險數據庫,運用精算手段建立中小企業風險評估模型,對不同地區、不同行業和不同資產規模的中小企業的風險做出評估,同時結合多種因素,如投保的險種和保額、企業信用等,確定所適用的保險條款、保險費率和承保以及免賠的條件,使保險公司的銷售人員有章可循,從而提升保險公司整體的風險識別和開拓業務能力。
篇(9)
中圖分類號:C93文獻標識碼: A
風險管理(Risk Management,RM)最早是由美國學者威廉斯和漢斯提出的。他們在其著作《Risk Management and Insurance(1964)》中指出,風險管理是通過對風險識別、衡量和控制而以最小的成本是風險所致損失達到最低程度的管理方法。
傳統的企業風險管理,管理對象局限于單個風險或各組織相關風險,在管理標準、政策、模式和手段等缺乏全企業范圍內的一致性,在各項業務活動中是隔絕的。參與的部門也局限于財務部門、安全管理部門、紀律監察部門等有限部門,而且往往不是經營行為的第一行為人。在現代市場經濟環境日益復雜,企業面臨風險越來越多的情況下,傳統企業風險管理模式下出現重大以外風險事項的可能性在不斷增大。
如今,越來越多的企業主動開展整體風險管理,進行風險管理體系建設,在企業運作過程中,通過對風險確認和評估,采用合理的經濟和技術手段對風險加以控制,或已將其提升公司治理及制定公司戰略相結合,我們認為這些都是優秀的風險智能型企業的顯著體現。但是整體風險管理的流程和措施寫進規章制度里,并對員工加強企業風險管理的宣傳和要求,但是這些是否能切實讓風險管理的狀態和正確的思考方式深入日常管理?本文從風險管理九個方面,闡述如何確保整體風險管理充分發揮其風險保障作用。
統一的風險定義
一個整體風險管理良好的企業,應該是在公司治理層面就設定了企業整體的風險治理基調,董事會應當支持和強調這一基調,并倡導風險文化,自上而下形成對風險統一的定義。企業認識到風險并非只有負面的影響,若能抓住機遇,創造實現戰略目標的程序,抵消不利影響,創造有利機會,也可能會產生積極的影響。
企業內部通過定期執行風險評價的核心流程,逐步建立起明確的風險庫。各個部門和員工在確定崗位職責中已考慮或能基本包含了風險管理因素,所有的部門及崗位設置均與風險管理理念匹配,且每個員工理解并參照執行。
建立風險管理框架
運用統一而且在業界領先的風險管理框架(如《企業風險管理-整合框架》、國資委《全面風險管理指引》,ISO31000風險管理原則和指引等)有助于企業沿著較為成熟的方式開展風險管理工作,因此應用統一的風險管理框架也是現代企業整體風險管理的特征,運用適當標準支持的統一的風險管理框架應貫穿于整個組織,以管理風險。
三、風險管理主要角色和職責
在治理層面科學地分配風險管理職責是企業風險管理工作能口順利開展的基礎之一。適當的風險管理組織,包括:風險管理委員會,由聯合部門組成的風險管理領導小組及執行小組,或指定由審計部、風控部等負責風險管理的歸口工作,并明確定義了風險管理的角色、職責和權限,以維護完善的治理結構,促進公司戰略的有效實施。
四、治理層的風險管理職責
治理層(董事會及下屬各專業委員會)應對公司風險管理實務保持適當的透明度和清晰度,以履行其風險管理職責。
同時,清晰治理層的議事規則及決策程序,也是避免發生越權及舞弊的重要手段。企業的重大決策由集體論證后決策,重大決策通過集體論證有利于全面地、辯證地、細致地分析問題,可避免出現獨斷或越權審批的情況。
董事會應該負責評估公司風險容忍度以及現行的風險管理的恰當性,而未成立董事會的大型國有企業,則由黨政聯席會議作為最高決策機構履行該職責。
五、管理層的風險管理職責
管理層需要對風險管理計劃的設計、實施以及維護其有效性承擔主要責任。管理層及風險管理的執行小組負責編制風險評估報告,并針對風險管理評估報告中所反應的問題,進行改進。公司應采取風險管理會議或編制風險管理報告的形式,確定工作改進計劃及行動方案。
六、風險歸口管理部門的職責
風險管理的歸口部門應在管理層的領導下,定期執行風險評估核心流程,從風險影響程度、發生的可能性等不同評估維度開展風險評級,對重要、重大風險制定應對策略并執行。同時風控部門或審計部門等風險管理歸口部門應針對公司的內部控制與風險管理進行自我評估,并形成專項評估報告。
為形成管理閉環,公司應采取一定的措施實現對風險管理的實施情況進行考核及監督。
七、業務部門的風險管理職責
業務部門應負責其經營業績,以及在公司建立的風險管理框架中實施風險管理,是發現風險、評估風險以及應對風險的過程中的重要組成部分。
公司風險管理框架的建立離不開業務部門的支持及自上而下良好的溝通機制。各業務部門應該積極開展與國內外同行、先進企業的溝通學習等,通過了解行業標桿提升自身能力。
公司各業務部門應根據公司的經營目標、工作流程以及相關法律制度的變化情況,結合風險管理的內容,修訂內部政策及程序,定期更新并修訂相關制度。
八、職能支撐部門的風險管理職責
職能支撐部門(如財務部門/人力部門/法律部門/信息管理部門等)對主營業務提供支撐,能夠在組織實施風險管理的過程中向業務部門提供支持,形成一個全員風險管理的能力和氛圍。職能支撐部門對本部門日常運營中的風險承擔責任,同時對與其職能相關聯的業務風險也有監控責任,能對各業務部門制定的風險應對的政策、程序和控制,從橫向層面提出參與意見,或與業務部門共同制定風險應對的各項政策和程序。
篇(10)
黨的以來,我國實行對外開放政策,大量引進外資和國外的先進技術設備,使國內的生產力水平迅速提高,促進了經濟的發展和科技進步,縮小了我國與世界上科技先進國家的差距,為加速四個現代化建設的進程起到了積極的作用。但是,這些引進的項目中無形資產為主的項目不足20%,我們應當更新投資觀念,改變引進技術的結構,形成以無形資產投資為主的局面。同時,無論是企業界、科技界還是政府部門,也應該加大對無形資產的開發研究力度,促進國民經濟的快速發展。但是,無形資產提供未來收益的不確定性、壟斷性、交易中所有權與使用權的可分離性等特點,決定了無形資產的投資與有形資產相比具有一定的復雜性,同時也存在著一定的風險,特別是在無形資產的評估方面存在一些風險。
一、無形資產的評估風險
篇(11)
中圖分類號:F239.2 文獻標識碼:A 文章編號:1001—6260(2012)04—0149—07
中國內部審計協會一直致力于建立一套以內部控制和風險管理為導向的內部審計準則體系。但是,由于內部控制與風險管理之間的關系還沒有理順,這直接導致風險導向審計中的風險定位問題存在較大爭議。正因為如此,中國內部審計準則中與內部控制和風險管理相關的各審計準則之間的關系也有待進一步明確,譬如:第5號準則《內部控制審計》與第16號準則《風險管理審計》之間是何關系;第12號《遵循性審計》、第21號《內部審計的控制自我評估法》、第25號《經濟性審計》、第26號《效果性審計》和第27號《效率性審計》等準則之間及其與第5號、第16號準則之間是何關系。在實務中,內部審計人員也產生了一些困惑:內部控制審計和風險管理審計究竟有何不同?風險導向審計與全面風險管理之間是何關系?因此,有必要在中國內部審計協會修訂內部審計準則之際,對這些問題進行探討①。
一、內部控制與風險管理之間的關系
在2003年6月實施的第5號準則《內部控制審計》中,中國內部審計協會提出,內部控制涵蓋風險管理,風險管理是內部控制的五要素之一,并專門制訂了《風險管理審計》準則。EOSO(2004)認為風險管理涵蓋內部控制,其表述是:“內部控制是企業風險管理不可分割的一部分。”謝志華(2007)認為風險管理與內部控制雖表述不同,但涵義相同。
那么,二者之間究竟是何關系?問題的關鍵在于認清內部控制的本質。COSO(1992)指出:“內部控制是一個由企業董事會、管理層和其他員工實施的,為經營的效率效果、財務報告的可靠性、相關法律法規的遵循性等目標的實現提供合理保證的過程。”這種將內部控制理解為“一個過程”的做法被2008年5月中國財政部、證監會、審計署、銀監會、保監會等五部委(下稱“五部委”)的《企業內部控制基本規范》(下稱《基本規范》)所采用。但是,“一個過程”的提法只是說明了一個事實,即內部控制是與企業的經營管理活動交織在一起而發揮作用的過程,它并沒有給內部控制定性。COSO(1992)對“一個過程”有如下解釋:“組織中各單位或各職能部門內部或跨單位或職能部門所實施的經營過程,都是通過計劃、執行和監控等基本的管理過程來加以管理的。內部控制是這些過程的一部分,并與它們整合在一起。內部控制能讓這些管理過程發揮作用,并對其實施和持續的關聯性進行監控。內部控制是一個管理工具,而不是管理的替代品。”從中可以看出,COSO是結合管理過程來論述內部控制過程的,它認為內部控制是管理過程的一部分,是其中履行監控職能的管理工具。
那么,如何理解作為管理工具的內部控制呢?我們需要從管理的職能談起。法約爾(1982)認為,管理有計劃、組織、指揮、協調和控制等五大職能,他指出:“在一個企業里,控制就是要證實一下是否各項工作都與已定計劃相吻合,是否與下達的指示及已定原則相吻合。控制的目的在于指出工作中的缺點和錯誤,以便加以糾正并避免重犯。”美國著名管理學家Robbins(1994)在法約爾五職能說的基礎上提出了管理四職能說,即:計劃、組織、領導、控制等職能。他認為,控制職能是指監控計劃執行、比較分析偏差、糾正錯誤,確保計劃順利實施。可以看出,COSO對內部控制的解釋與管理學中對“控制”的解釋并無不同,都指出要保證計劃的實施,都提及要對偏差進行監控。這樣看來,COSO所講的內部控制就是管理學中的“控制”。
法約爾(1982)在論述“控制”職能時,就使用了“內部控制”的提法,他說:“這里,我只討論管理問題,所以就不談兩個企業之間的控制問題了……我著重談一下企業內部控制,這種控制的目的是專門為了有助于各部門的工作的順利進行,而總的來講也有助于企業運營的順利進行”(法約爾,1982)。可見,法約爾認為在一個企業內部討論管理中的控制問題,可以用“內部控制”的提法。
以上分析足以證明內部控制就是控制。應該說,我們之所以稱“控制”為“內部控制”是相對于外部監管而言的,強調的是企業自身應該重視對其經營管理活動的有效監控。以COSO為代表所開展的內部控制研究豐富和發展了“控制”理論,使我們更深入地了解“控制”在管理過程中發揮作用的方式和內在機理。但內部控制并不是一個獨立于“控制”之外的,或與“控制”并列的一個新事物,它就是“控制”。因此,內部控制的本質就是管理職能中的控制職能。
既然內部控制只是一項管理職能,那么只要是管理活動,它就應該涵蓋內部控制,因此,COSO(2004)認為風險管理涵蓋內部控制是有道理的。自然,內部控制就不可能涵蓋風險管理。在中國的《內部控制審計》準則中,將風險管理作為內部控制的一個要素值得商榷。COSO(1992)和中國《基本規范》認為內部控制由五要素構成,即控制環境(內部環境)、風險評估、控制活動、信息與溝通和監控。其中,都用到“風險評估”的提法。而COSO(2004)認為,內部控制由八要素構成,將風險評估要素細化為“目標設定”、“事項識別”、“風險評估”和“風險應對”等四個要素。但是,無論是五要素觀還是八要素觀,都沒有使用“風險管理”的提法。COSO(2004)的標題就是《企業風險管理——整合框架》,其認為,在內部控制的要素中用“風險管理”的提法容易產生歧義,不如用“風險評估”好。
內部控制職能論也可以解釋謝志華(2007)關于內部控制與風險管理涵義相同的觀點。企業是一個風險組織,不冒風險的企業是不存在的。企業為達成自身目標,要采取有效措施防范和化解其所面臨的各類風險。因此,可以認為,企業管理就是風險管理,或是“全面風險管理”。企業在“全面風險管理”之中,要綜合運用計劃、組織、領導和控制職能。如果側重于強調控制職能在“全面風險管理”中的重要性,則可以將企業管理稱之為“內部控制”。這樣看來,內部控制和風險管理是同義語。用內部控制,是從管理職能上來講的,側重于強調控制職能的發揮;講風險管理則是從控制的對象上來講的,側重于強調風險控制的重要性。通俗來講,內部控制,控制的是風險,風險管理,管理的也是風險,二者涵義相同。
二、風險導向審計中的“風險”定位
在風險導向審計方法引入中國后,理論界圍繞風險導向審計中的風險定位問題進行了討論:陳毓圭(2004)認為是經營控制風險(含企業的經營戰略及其業務流程);謝榮等(2004)認為是企業戰略風險及相關經營環節風險(統稱經營風險);王澤霞(2004)認為是管理舞弊風險;許莉(2005)認為是指被審計單位的“重大錯報風險”;趙德武等(2006)認為是治理系統風險(含公司治理和內部控制)。評述這些觀點的立場有三個:一是將企業管理等同于風險管理;二是將內部控制等同于風險管理;三是要區分風險評估的對象和結果。風險導向審計中“風險”定位之爭的焦點是審計人員在評估審計風險時,所評估的對象究竟應該是什么。至于評估審計風險后,得出評估對象“重大錯報風險”的情況如何則是評估的結果,不能將“對象”與“結果”混淆。基于上述立場,可以將理論界對風險的不同定位統一于“企業全面風險”之中。具體分析如下:
1.經營風險就是企業全面風險
陳毓圭(2004)和謝榮等(2004)所述的經營控制風險和經營風險,實質上就是企業全面風險。他們將風險評估的對象定位為“企業的經營戰略及其業務流程”和“企業戰略風險及相關經營環節”。從中可以看出,都涵蓋了企業戰略層面和經營層面的風險,這就是“企業全面風險”。但是,用“經營風險”的提法容易產生歧義,以為僅指企業經營層面的風險,而不包括戰略層面的風險,不如用“企業全面風險”好。并且,用“企業全面風險”還可以與“企業全面風險管理”直接對接。這在國資委《中央企業全面風險管理指引》、國際標準化組織《ISO 31000風險管理——原則與指南》、中國標準化委員會國家標準《GB/T 24353—200險管理——原則與實施指南》的背景下,顯得更為必要。企業要實施“全面風險管理”,相應地,審計人員風險評估的對象就應該是“企業全面風險”,從而使得審計部門和審計人員在“企業全面風險管理”中發揮應有的作用。
2.管理舞弊風險是企業全面風險的一部分
王澤霞(2004)將風險評估的對象定位為管理舞弊風險。這一觀點主要針對管理層財務報表舞弊提出,試圖通過重點評估管理舞弊風險來降低審計風險,這一做法只能算是權宜之計。試想,如果迫于法律和監管的壓力,管理層不敢進行財務報表舞弊了,那么,管理舞弊導向審計也就沒有存在的理由了。從內部審計的角度看,審計的目標不僅僅是“防弊”的問題,而是“防弊、興利、增值”三大目標。顯然,王澤霞(2004)對風險評估的對象界定過窄。按照五部委(2008)《基本規范》中的規定,企業全面風險應該包括:戰略風險、合規風險、資產安全風險、財務報告風險、經營風險等。按大類就是兩類,即戰略層面的風險和經營層面的風險。管理舞弊風險只是合規風險中的一個方面。將風險評估的對象定位為管理舞弊風險只能算是一種審計策略,只是注冊會計師在管理層舞弊比較嚴重的情況下,在審計實務中運用的一種審計方法,不宜將其作為風險導向審計中的“風險”定位。
3.重大錯報風險的提法混淆了風險評估的對象和結果
許莉(2005)認為,風險導向審計中的風險,無論是所謂傳統的還是現代的,都是指被審計單位可能帶來審計風險的風險,在現代風險導向審計中就是指被審計單位的“重大錯報風險”。這一提法混淆了風險評估的對象和結果。是否存在重大錯報風險是審計人員通過風險評估后進行職業判斷的結果。將一個職業判斷的結果作為風險導向審計“風險”的定位顯然不妥。現代風險導向審計與傳統風險導向審計的區分并不在于審計風險模型用“審計風險=重大錯報風險×檢查風險”取代了“審計風險=固有風險×控制風險×檢查風險”,而是強調了“自上而下”和“風險導向”的原則,強調既要有“森林”也要有“樹木”。不能就報表而審計報表,要站在企業全面風險管理的視角來看報表。作為風險評估的結果,“重大錯報風險”的提法可以運用于注冊會計師財務報表審計中。但是站在內部審計的視角,就不僅僅是錯報的風險問題,而是企業全面風險的問題。在第17號準則《重要性與審計風險》第十七條中就有規定:“審計風險包括兩方面內容:一是重大差異或缺陷風險。是指被審計單位經營活動及內部控制中存在重大差異或缺陷的可能性;——是檢查風險。是指審計人員未能通過審計測試發現重大差異或缺陷的可能性。”這里的“重大差異和缺陷風險”可以對應于注冊會計師審計風險中的“重大錯報風險”,它也是內部審計人員風險評估后的結果。雖然內、外部審計在風險評估的結果上用詞不同,但是風險評估的對象都是“企業全面風險”。基于此,建議將第17號準則中的“重大差異或缺陷風險。是指被審計單位經營活動及內部控制中存在重大差異或缺陷的可能性”表述改為“重大差異或缺陷風險。是指被審計單位全面風險管理中存在重大差異或缺陷的可能性”。
4.治理系統風險就是企業全面風險
趙德武等(2006)認為是治理系統風險(含公司治理和內部控制),并指出公司治理是針對企業高層管理人員,而內部控制針對的是企業中低層人員。根據內部控制職能論,公司治理也需要運用控制職能,不可能只是對企業中低層人員的管理才需要內部控制,只要是管理就需要控制。撇開此點不論,趙德武等(2006)的治理系統風險也涵蓋了企業全面風險,企業全員參與并受控。一般而言,公司治理主要涉及公司高層管理,那么,可以認為企業管理涵蓋公司治理。但事實上,企業管理與公司治理的邊界并不清晰,在早期企業中,或者在現代小企業中,一般就叫企業管理,而很少稱之為公司治理。只是自1932年伯利和米恩斯發表《現代公司與私有財產》提出“所有權和控制權分離”的命題以來,理論界才逐漸有了公司治理之說,公司治理才逐漸從企業管理中分離出來。但是公司治理從本質上講仍是企業管理,管理的職能仍然適用于公司治理之中。如果把公司治理泛化,使其包括中低層人員參與的日常管理,則公司治理可以等同于企業管理。趙德武等(2006)采取的正是這一做法,而企業管理就是風險管理。因此,治理系統風險就是企業全面風險。
基于以上認識,風險導向審計中的風險應該定位為“企業全面風險”。相應地,就內部審計而言,風險導向審計是指內部審計部門和人員為有效履行其在風險管理中的職責,基于對企業全面風險的評估,針對重大差異或缺陷風險,制訂和實施的一整套審計方法。
三、風險導向審計與全面風險管理的關系
1999年6月,國際內部審計師協會理事會批準了關于內部審計的新定義:“內部審計是一種獨立、客觀的保證與咨詢活動,旨在增加價值和改善組織的運營。它通過應用系統的、規范的方法,來評價和改善風險管理、控制及治理過程的效果,幫助組織實現其目標。”與此同時,《國際內部審計專業實務框架》(IPPF),并于2001年正式實施。新的框架在內容上全面體現了風險導向審計的思想,內部審計進入風險導向審計階段。2004年9月,COSO《企業風險管理——整合框架》,將其1992年、1994年修訂的內部控制框架發展為企業風險管理框架,強調了全面風險管理的重要性。國際內部審計師協會立即做出反應,于當月29日,以立場公告(Position Statement)的形式《內部審計在全面風險管理中的作用》報告,明確指出:內部審計在企業風險管理中的核心作用在于,客觀地保證董事會在企業風險管理活動的作用得以有效發揮,為保證關鍵經營風險被恰當地為管理提供幫助,并保證內部控制系統有效運行。具體包括:為企業風險管理過程提供保證;為正確識別風險提供保證;評估風險管理過程;評估關鍵風險報告和評價關鍵風險的管理。
中國內部審計協會從2005年底以來,力推內部審計從“以真實性、合規性為導向的財務審計為主”向“以財務審計與內部控制和風險管理為導向的管理審計并重”的方向全面轉型。內部審計應在企業風險管理中發揮作用,為企業提供增值服務,這已日益成為中國內部審計理論界和實務界的共識。
那么,內部審計該如何有效發揮其在企業全面風險管理中的作用呢?如前所述,風險導向審計中的風險應該被定位為“企業全面風險”,這就為內部審計發揮其應有作用找到了切人點,也為風險導向審計與全面風險管理之間的聯系建立了內在基礎。風險導向審計與全面風險管理存在的聯系和區別表現為:
1.二者之間的聯系
企業全面風險管理的對象是企業全面風險,而風險導向審計中所評估的風險就是企業全面風險。企業推行全面風險管理是基礎,而風險導向審計是保障。風險導向審計通過對企業全面風險的評估,提出進一步改進措施,為全面風險管理的有效實施出謀劃策。同時,內部審計部門也可以通過對企業全面風險的評估合理分配審計資源,將審計的重點放在風險較大的領域,從而更好地提供增值服務。
2.二者之間的區別
(1)實施主體不同。全面風險管理是在企業董事會的戰略決策和領導下,為實現企業戰略和經營目標,由企業管理層組織實施、全員參與的經營管理工作。風險導向審計是在企業董事會的領導下,由內部審計部門組織實施的對企業全面風險管理工作的有效性進行監控的工作。
(2)內涵不同。全面風險管理是一個管理過程,而風險導向審計是一套審計方法。
(3)風險導向審計既以全面風險管理為基礎,又具有相對獨立性。風險導向審計中的風險評估對象是企業的全面風險。企業管理越規范,開展全面風險管理的水平越高,相應地,內部審計部門開展風險導向審計的基礎也越好,對風險的評估會更為準確,審計工作更為有效。但是這并不意味著企業不開展全面風險管理,內部審計部門就無法開展風險導向審計工作。企業管理就是風險管理。因此,無論企業是否推行命名為“全面風險管理”的管理舉措,事實上都是在進行風險管理,只不過推行“全面風險管理”會使得企業管理工作更加規范,更能全面識別和防范企業面臨的各類風險。風險導向審計作為一種審計方法,不依賴企業是否推行全面風險管理制度而獨立存在,這一方法的優點主要有:一是有利于合理配置審計資源;二是能為企業提供增值服務。當然,歸根結底是第二點,因為只有通過風險評估找到“重大差異或缺陷風險”,才能合理配置審計資源,才能指出企業風險管理中存在的問題,并提出改進建議,從而為企業提供增值服務。內部審計提供增值服務的對象是企業的管理層,提供增值服務的水平如何體現的是內部審計人員的專業勝任能力。如果企業風險管理水平較差,內部審計人員將會很容易指出企業管理中存在的問題,從而實現自身價值;反之,則對內部審計人員提出了挑戰,很有可能難以提出有建設性的意見。這就說明,風險導向審計方法運用的關鍵在于內部審計人員對企業全面風險管理的認識,而不在于企業推行全面風險管理的實際情況如何。每一個內部審計人員都應該形成一個對所在企業規范的全面風險管理的總體把握,這是開展風險評估的基準線。在此線之下的,就存在差異和缺陷,需要改進。當然,這條線如何定,體現了內部審計人員的專業勝任能力,因此,風險導向審計方法的實施給內部審計人員帶來了挑戰,其必須具有全面評估企業風險管理狀況的水平。這樣看來,風險導向審計方法中,內部審計人員對企業風險進行評估時,企業風險管理的標準自存在于內部審計人員心中,并隨著企業規模的擴大和業務范圍的拓展而改變;其標準只能比企業現行的全面風險管理水平更高,至少不能低,這樣才能提供增值服務。因此,風險導向審計具有相對獨立性。
(4)二者對風險的評估結果不完全相同。如表1所示,二者對風險的評估結果有四種組合。二者都評價為高,說明這是一個高風險的領域,管理部門和審計部門均認為需要投入更多的資源進行管理和審計。二者都評價為低,說明這是一個低風險的領域,管理部門和審計部門均認為不需要投入更多的資源進行管理和審計。在呈現高低組合的情況下,若風險導向審計評價為高,全面風險管理評價為低,有兩種可能:一種是管理人員水平低,應該識別的重大風險沒有識別出來;另一種是審計人員水平低,本無風險卻認為有重大風險。若風險導向審計評價為低,全面風險管理評價為高,則一種解釋與前同;另一種解釋是,確實是高風險的領域,但通過管理部門的風險管理,風險降低了,審計人員認為風險管理有效,將其評價為低風險的領域。
風險導向審計與全面風險管理之間錯綜復雜的關系,使得人們產生了理解上的歧義,有必要對此加以分析。上述研究結論為進一步提出風險管理相關內部審計準則的修訂建議打下了堅實的基礎。
四、風險管理相關內部審計準則的修訂建議
由于現行內部審計準則是以內部控制和風險管理為導向的,所以整個準則體系,從《內部審計基本準則》到《內部審計具體準則》和《內部審計實務公告》,都與風險管理相關。但是,限于篇幅,本文僅探討其中與風險管理直接相關的幾個具體準則,包括:第5號《內部控制審計》、第12號《遵循性審計》、第16號《風險管理審計》、第21號《內部審計的控制自我評估法》、第25號《經濟性審計》、第26號《效果性審計》和第27號《效率性審計》等準則。
這些準則可以分為兩個層次:一是總體層,包括第5號《內部控制審計》、第16號《風險管理審計》和第21號《內部審計的控制自我評估法》;二是具體層,包括第12號《遵循性審計》、第25號《經濟性審計》、第26號《效果性審計》和第27號《效率性審計》。
1.總體層次風險管理內部審計準則修訂的建議
首先,第5號《內部控制審計》和第16號《風險管理審計》這兩個準則可以合二為一,因為內部控制與風險管理涵義相同,所以不需要分別制訂兩個準則,可以用一個準則來涵蓋這兩個準則所包括的內容。也可以考慮為新修訂的《內部控制審計》準則制訂一個《風險評估》實務公告,將現行《風險管理審計》準則中的內容涵蓋在內。
其次,第21號《內部審計的控制自我評估法》與新修訂的《內部控制審計》準則之間的關系要理順。《薩班斯法案》頒布以后,美國上市公司管理層內部控制自我評估和會計師事務所的內部控制審計成為法定要求。依《薩班斯法案》成立的美國上市公司會計監管委員會(PCAOB)先后制訂了第2號和第5號審計準則來規范會計師事務所對內部控制的審計。2007年6月的取代第2號審計準則的第5號審計準則命名為《與財務報表審計相結合的財務報告內部控制審計》。同年,美國證交會(SEC)《管理層財務報告內部控制指引》,對上市公司管理層內部控制自我評估進行規范。中國財政部等五部委為加強內部控制監管,也于2010年4月了《企業內部控制配套指引》(含《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》)。
PCAOB第5號審計準則和中國五部委《企業內部控制審計指引》,都是內部控制審計準則,是站在注冊會計師審計的立場做出的規范。而SEC《管理層財務報告內部控制指引》則是對管理層內部控制自我評估的規范。與之對應的是中國五部委的《企業內部控制評價指引》,這一指引的正是為了規范審計部門開展內部控制自我評估工作。那么,在中國監管當局已經內部控制相關規范的背景下,第5號準則《內部控制審計》該如何修訂?第21號準則《內部審計的控制自我評估法》該如何定位?
在中國五部委《企業內部控制配套指引》后,按要求必須執行的公司,其審計部門每年都要對內部控制進行自我評估,其董事會要據此出具內部控制自我評估報告。內部審計部門進行自我評估的標準就是《企業內部控制評價指引》。因此,中國內部審計協會對第5號準則《內部控制審計》修訂時,有必要吸收和借鑒《企業內部控制評價指引》的規定,以便于內部審計人員同時遵循這兩個規范的要求。而第21號準則《內部審計的控制自我評估法》則是規范企業內部管理人員進行內部控制自我評估的準則。評估的主體是企業內部管理人員,內部審計部門主要扮演組織者和咨詢專家的角色,所以在標題中不宜突出內部審計的作用。建議將題目改為《內部控制的自我評估》,以示與《內部控制審計》準則相區別。同時,在行文中,要避免出現內部控制審計的說法。若有,相關條文也應該直接與《內部控制審計》準則銜接,不宜再行做出規定。
2.具體層次風險管理內部審計準則修訂的建議
具體層次風險管理內部審計準則修訂主要是要理順它們與新修訂的《內部控制審計》準則之間的層次關系。從層次關系來看,它們與新修訂的《內部控制審計》準則之間是主從關系,《內部控制審計》準則居于主導地位,具體層次風險管理審計準則居于從屬地位,其相關規定不能逾越《內部控制審計》準則。同時要明確,第12號《遵循性審計》準則是為了防范企業全面風險管理中的合規風險;第25號《經濟性審計》、第26號《效果性審計》和第27號《效率性審計》準則是為了防范企業全面風險管理中的經營風險。也就是說,“3E”審計并非游離于《內部控制審計》準則之外,它是《內部控制審計》準則的延伸,是對《內部控制審計》準則中為防范經營的效率與效果風險和合規風險而開展的相關審計工作的具體規范。審計人員在年度內部控制自我評估時,應該運用具體層次風險管理審計準則的要求,全面評估企業風險管理中存在的問題。而在日常審計工作中,則可以就某一部門、某一業務、某一流程、某一項目分別運用《遵循性審計》、《經濟性審計》、《效果性審計》和《效率性審計》等準則進行專項審計。
這樣看來,新修訂的總體層次的風險管理內部審計準則有兩個,即《內部控制審計》和《內部控制的自我評估》;具體層次的準則有四個,分別是《經濟性審計》、《效率性審計》、《效果性審計》和《遵循性審計》。同時,建議從總體層次到具體層次連續編號,或借鑒中國注冊會計師審計準則的編號方式進行分類分層編號。此外,還可以制訂幾個相關的實務公告,如《風險評估》、《內部控制的自我評估》等。
參考文獻:
伯利,米恩斯.2005.現代公司與私有財產[M].甘華鳴,羅銳韌,蔡如海,等,譯.北京:商務印書館.
財政部,證監會,審計署,銀監會,保監會.2008.企業內部控制基本規范[S].
陳毓圭.2004.對風險導向審計方法的由來及其發展的認識[J].會計研究(2):58—63.
法約爾.1982.工業管理與一般管理[M].周安華,林宗錦,展學仲,等,譯.北京:中國社會科學出版社.
劉玉廷.2010.全面提升企業經營管理水平的重要舉措:《企業內部控制配套指引》解讀[J].會計研究(5):3—16.
王澤霞.2005.論風險導向審計發展創新:管理舞弊導向審計[J].會計研究(12):49—54.
謝榮,吳建友.2004.現代風險導向審計理論研究與實務發展[J].會計研究(4):47—51.
