●江蘇省無錫供電公司 朱永彥

公司整體風險管理評價體系設(shè)計
——基于內(nèi)部審計視角的研究

●江蘇省無錫供電公司 朱永彥

本文從管理整合的角度考察電網(wǎng)企業(yè)各層面、各業(yè)務(wù)的風險，運用內(nèi)部審計參與風險管理的獨特優(yōu)勢和職能，在風險管理目標體系的指導下，識別公司風險、提煉風險管控點、設(shè)定評價指標，以此構(gòu)建了電網(wǎng)企業(yè)的整體風險管理評價體系。

風險管理 內(nèi)部審計 風險管理評價

引言

企業(yè)風險管理構(gòu)成現(xiàn)代經(jīng)濟組織的核心管理職能之一，并成為未來企業(yè)核心競爭力的重要組成部分。風險管理評價作為風險管理有效實現(xiàn)的重要保障，其重要性不言而喻。但從實踐來看，主要存在兩大不足：一是在操作實踐上，往往缺乏統(tǒng)一、整體性的統(tǒng)領(lǐng)機制，各項工作的開展無法形成合力，甚至造成了目標沖突、交叉和重復。因此，有必要構(gòu)建一個風險管理評價系統(tǒng)，以保證全公司范圍內(nèi)風險管理制度制定和制度執(zhí)行的有效性。二是在歸口管理上，較多企業(yè)將風險管理、內(nèi)控等歸口于財務(wù)部門，但財務(wù)部門負責此項工作容易陷入財務(wù)視野的束縛或局限于流程、制度等；相對而言，由內(nèi)審部門負責風險管理評價工作，一方面更加全面和系統(tǒng)，能夠覆蓋公司整體各個業(yè)務(wù)領(lǐng)域，另一方面也能與原有的各項審計工作較好地整合與銜接。

基于此，本文從內(nèi)部審計視角，對建立電網(wǎng)企業(yè)整體的風險管理評價體系進行探討。

一、理論回顧與實務(wù)框架

（一）整體風險管理框架。進入21世紀,隨著全球一體化的發(fā)展及企業(yè)外部環(huán)境變化不確定性的增加,傳統(tǒng)的風險評價與應(yīng)對理論已不適應(yīng)多變的外部環(huán)境。COSO在《內(nèi)部風險一體化框架》的基礎(chǔ)上，又提出了企業(yè)整體風險管理。該報告指出企業(yè)風險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的，應(yīng)用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的，用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內(nèi)管理風險的，為企業(yè)目標的實現(xiàn)提供合理保證的過程。

英國政府與中國建設(shè)銀行均應(yīng)用了整體風險管理的方法，即通過有效利用各種資源，以整體戰(zhàn)略的方式管理風險，為組織目標的實現(xiàn)提供合理的保證。

（二）內(nèi)審視角的風險管理評價。根據(jù)IIA（國際內(nèi)部審計師協(xié)會）2001年版《內(nèi)部審計實務(wù)標準》，內(nèi)部審計工作被定位成是采用一種系統(tǒng)化、規(guī)范化的方法來對機構(gòu)的風險管理、控制及監(jiān)督過程進行評價，進而提高它們的效率并幫助機構(gòu)實現(xiàn)目標。《審計署關(guān)于內(nèi)部審計工作的規(guī)定》把風險管理作為內(nèi)部審計的重要領(lǐng)域直接寫入了內(nèi)部審計的定義。

當前，在電力體制改革過程中，隨著風險的加劇，企業(yè)高層和各職能部門都必須從風險管理角度去安排公司戰(zhàn)略、實施各項業(yè)務(wù)，其中內(nèi)審部門的職責便是盡早建立“風險導向”或“風險基礎(chǔ)”的審計程序和方法體系，從而實現(xiàn)對企業(yè)所面臨的各類風險及相應(yīng)風險管理水平進行系統(tǒng)、全面地評價。

二、電網(wǎng)企業(yè)實行整體風險管理評價的必要性

（一）企業(yè)特征決定了要實施整體風險管理評價。電力行業(yè)具有天然壟斷性，具有輸配供一體化的經(jīng)營特點，發(fā)電、輸配電以及售電業(yè)務(wù)是瞬間完成的，在管理上具有天然不可分割性，不可孤立地進行單個業(yè)務(wù)的風險管理。另一方面，電力企業(yè)是資本密集型企業(yè)，其日常經(jīng)營包括投資、建設(shè)、生產(chǎn)、運營等多個環(huán)節(jié)，各單元之間聯(lián)系緊密、不可隨意劃分，并且各環(huán)節(jié)涉及的風險范圍廣，各風險之間相互關(guān)聯(lián)、錯綜復雜。因此，電力企業(yè)的風險管理評價需要從一個整體視角通盤考慮、全局謀劃。

（二）集中化管理模式要求實施整體風險管理評價。近年來，隨著國家電網(wǎng)公司“三集五大”體系的全面推進，各項集約化管理措施在較大程度上提高了集團的統(tǒng)一化、標準化水平，實現(xiàn)了業(yè)務(wù)權(quán)限和管理決策權(quán)力的高度集中。但是同時，集約化措施在提高了合規(guī)性水平、產(chǎn)生規(guī)模經(jīng)濟的基礎(chǔ)上，也使得相應(yīng)的風險前所未有的集中。在此背景下，電網(wǎng)企業(yè)的風險管理必須從公司全局出發(fā)進行統(tǒng)籌考慮，相應(yīng)地也必須實施整體風險管理評價體系。

三、電網(wǎng)企業(yè)整體風險管理內(nèi)審評價體系

（一）風險管理內(nèi)審評價整體框架。本文構(gòu)建風險管理評價體系的主要思路如下：

1.識別公司整體風險。識別和分析公司整體、各部門以及各項業(yè)務(wù)所涉及的風險類型、分布層面、形成原因等。

2.構(gòu)建公司風險管理目標體系。根據(jù)關(guān)注的風險，分析風險管理的總目標及各單項風險的管理目標。

3.確定風險管控點。在流程梳理的基礎(chǔ)上，確定各層面的主要風險點，并相應(yīng)確定管控內(nèi)容。

4.設(shè)定風險管理評價指標。該研究基于內(nèi)部審計視角，從風險管控點出發(fā)，設(shè)計出若干評價要點，建立評價指標。

以此構(gòu)成了公司整體風險管理評價框架，其中第四項是該框架的核心部分，如圖1所示：

圖1整體框架

（二）公司整體風險識別。電網(wǎng)企業(yè)在投資、建設(shè)、運營等多個方面均承擔著巨大而又復雜的壓力和風險，需要發(fā)揮內(nèi)部審計的監(jiān)督、鑒證職能，仔細識別和辨認企業(yè)整體、各部門以及各項業(yè)務(wù)所涉及的風險，分析各項風險的分布層面、形成原因及可控制程度，并據(jù)此繪制電網(wǎng)企業(yè)風險圖譜。

圖2 電網(wǎng)企業(yè)風險圖譜

根據(jù)本文研究內(nèi)容，從風險管理評價的角度選擇以上14類風險（圖中陰影部分）作為研究對象，它們對于公司經(jīng)營的效率、效益以及合法性等都有著更為直接的影響。

（三）風險管理目標體系構(gòu)建。根據(jù)以上14類風險，構(gòu)建電網(wǎng)企業(yè)風險管理目標體系。該項研究從風險管理總目標出發(fā)，進一步延伸至各單項風險的管理目標?？偰繕撕透鲉雾椖繕斯餐纬赏暾哪繕梭w系，引領(lǐng)著風險管理評價工作的開展。

圖3 風險管理目標體系

（四）風險管控點的確定。風險管理目標最終落實到具體的風險管理活動，根據(jù)風險管理制度及執(zhí)行是否實現(xiàn)預(yù)期目標，需要系統(tǒng)梳理電網(wǎng)企業(yè)各層次、各類別的業(yè)務(wù)流程，形成風險點及管控內(nèi)容。

風險管控點選擇的依據(jù)一是在崗位責任轉(zhuǎn)移的環(huán)節(jié)設(shè)置，二是在業(yè)務(wù)流、命令控制流、信息流交匯處設(shè)置。根據(jù)以上原則，風險管控點設(shè)計至少包含以下六種類型（見表1）：

表1風險管控點設(shè)計類型

（五）內(nèi)審視角評價指標體系設(shè)定。內(nèi)審部門依據(jù)前文確定的風險管控點及控制內(nèi)容對實際業(yè)務(wù)的執(zhí)行情況進行評價。在實際執(zhí)行中，審計人員立足于各單項風險管理目標的實現(xiàn)，針對各個風險管控點設(shè)計出若干項具體評價要點，并給出相應(yīng)評價方法和可能的評價結(jié)果。

由于風險管理評價分為兩種類型，即基于風險管理綜合結(jié)果的評價和針對風險管理流程的評價，因此風險管理評價指標分為兩大類：

1.風險管理綜合結(jié)果評價指標。它是一系列針對風險管理工作或過程的結(jié)果進行評價的指標的總稱。風險管理結(jié)果評價指標具體包括定性和定量的指標兩種，通過對結(jié)果的評價以便及時發(fā)現(xiàn)企業(yè)風險管理中存在的問題。

2.風險管理流程評價指標。它是一系列直接針對風險管理工作或過程進行評價的指標的總稱。風險管理過程的質(zhì)量，包括風險識別、風險度量、風險預(yù)警和風險控制的質(zhì)量，它直接決定了風險管理的結(jié)果。風險管理流程評估可以從風險管理制度評價和風險管理制度執(zhí)行評價兩方面著手。

第一，風險管理制度評價指標。該評估指標主要針對各類風險管理制度中的缺陷，包括完整性缺陷和有效性缺陷兩類進行評價，從而為風險管理制度的改善提供依據(jù)。

第二，風險管理制度執(zhí)行評價指標。該評價指標則針對各項風險管理制度的具體執(zhí)行情況進行評價，以便發(fā)現(xiàn)執(zhí)行層面存在的問題。

（六）風險管理本身與內(nèi)審視角評價的互動。內(nèi)審視角的風險管理評價是充分利用審計專業(yè)技能和優(yōu)勢實現(xiàn)更為細致和具體的風險管理評價工作。風險管理評價推動了風險管理活動的改進和優(yōu)化，從長期看，它能定期或不定期地推動風險管理活動的有效開展。所以說，內(nèi)審視角的風險管理評價和風險管理活動交織運作，能夠共同促進企業(yè)風險管理工作的發(fā)展和企業(yè)經(jīng)營績效的提高。兩者的互動關(guān)系如下圖。

圖4 風險管理評價和風險管理活動的互動

四、小結(jié)

本研究構(gòu)建的整體風險管理評價系統(tǒng)覆蓋了公司各層面、各部門以及各業(yè)務(wù)類型，以全局化、一體化、前瞻性的方法去評價和管理風險，突破了傳統(tǒng)風險管理評價模式，適應(yīng)電網(wǎng)企業(yè)的環(huán)境和特點。另外，該體系構(gòu)建從現(xiàn)代內(nèi)部審計的職能出發(fā)，通過對風險管理制度和活動實施審計評價，實現(xiàn)對企業(yè)整體風險的有效控制和防范?！?/p>

1.高學余、吳婧婷.2009.內(nèi)部審計與風險管理的融合［J］.國際商務(wù)財會，3。

2.李兆華、楊晨嵐.2011.風險管理視角下的內(nèi)部審計新視野［J］.經(jīng)濟研究導刊，23。

3.[美]R.E.麥格爾.1985.風險分析概論［M］.石油工業(yè)出版社, 12。

4.[美]小阿瑟.威廉姆斯、理查德.M.漢斯.1990.風險管理與保險［M］.中國商業(yè)出版社，11。

5.孟焰、潘秀麗.2006.企業(yè)風險管理審計研究［J］.審計研究，3。

6.申景奇.2007.現(xiàn)代企業(yè)風險管理的理性選擇——整體風險管理［J］.中國管理信息化，12。

7.吳水澎、陳漢文.2000.企業(yè)內(nèi)部控制理論的發(fā)展與啟示［J］.會計研究，5。

8.謝榮、吳建友.2004.現(xiàn)代風險導向?qū)徲嬂碚撗芯颗c實務(wù)發(fā)展［J］.會計研究，4。

9.張振川.2004.現(xiàn)代企業(yè)風險價值管理問題探討［J］.會計研究，3。

10.周立.2001.金融工程與風險管理［M］.中國金融出版社，8。