购物车(0)
风险控制和风险管理的区别模板(10篇)
时间:2023-09-05 16:30:32
导言:作为写作爱好者,不可错过为您精心挑选的10篇风险控制和风险管理的区别,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
篇1
中图分类号:F830 文献标识码:A 文章编号:1674-7712 (2013) 24-0000-01
一、风险管理和内部控制的联系
美国全国虚假财务报告委员会下属的发起人委员会(COSO)1992年提的是“内部控制”,到了2004年是“风险管理”,其内容1992年时包括5个要素,2004年时包括8个要素,说明对风险管理和内部控制有一个认识过程。内部控制应是风险管理的基础和重要组成部分,它们是一体化的,不能分割的。
内部控制解决的是常规性风险,风险管理解决的是非常规性风险,内部控制解决的是“如何正确地做事”,而风险管理解决的是“如何做正确的事”,它们既有联系,又有区别,一个企业要成功,二者缺一不可。
二、风险管理和内部控制的区别
“企业风险管理”概念的提出,并不意味着对原“内部控制”概念的摒弃。内部控制是企业风险管理不可分割的一部分,企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中。企业风险管理涵盖了内部控制,是一个更为全面、广泛的概念。二者的区别主要包括以下方面:(1)企业风险管理涵盖了内部控制。企业风险管理除包括原内部控制的三个目标之外,还增加了战略目标;企业风险管理的八个要素除了包括原内部控制的全部五个要素之外,还增加了目标设定、事项识别和风险应对三个要素。(2)企业风险管理强调对风险的控制与应对。风险被定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),涵盖了信用、市场、战略、声誉、业务及财务等各种风险。风险管理包括风险计划、风险控制和风险应对。这三者共同构成一个完整的风险管理过程。其中,风险控制又分为外部控制和内部控制。内部控制是一种内部风险控制机制,内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下,所开展的各种控制活动。风险控制除了包括内部风险控制之外,还包括外部风险控制。(3)企业风险管理注重对风险的定量分析与管理。企业风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等新的概念与方法,因此,企业风险管理可以在基于概率统计的基础上,合理确保企业的发展战略与风险偏好相一致,从而帮助董事会和高级管理层实现企业风险管理的目标;而原来的内部控制只能在基于定性判断的基础上确保内部控制目标的实现。
三、目前企业风险管理工作存在的问题
(1)企业管理者及相关人员风险意识薄弱。加强企业环境控制与风险评估,是提高企业风险管理效率与效果的重中之重。而当前我国企业缺乏一种可以辨认、分析与管理风险的机制,往往出现为了追求高收益而盲目投资等风险。(2)现有风险管理机构不足以应对企业风险。我国企业风险管理机制设计较晚,现有的规章制度也是近几年开始施行,而企业面临的外部环境却变化很快。变化较快的经营环境使得风险管理机制的风险应对能力削弱,甚至失效。(3)风险管理机构组织建设不健全。国务院国有资产监督管理委员会的《中央企业全面风险管理指引》明确规定:企业应建立健全风险管理组织体系,主要包括规范公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。(4)风险管理机构缺乏真正独立性。作为企业内部审计的一部分,风险管理机构存在独立性不足的问题。尤其是中国大多数企业风险管理部门设立不完善、不系统,审计人员的职责不明确,企业风险责任归属不清晰,都造成了风险管理工作不可能起到真正的监督作用。
四、构建体现全面风险管理的内部控制新机制
(一)构建具有本企业特色的创新风险管理理念
将全面风险管理作为企业文化的一部分,全体员工在全面风险管理理念下共同努力。学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。
(二)构建切合实际的内部控制评价机制
传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来补。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。
(三)构建全新的内部控制组织体系原则
(1)全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,内部控制要遵循全面风险管理的原则,即:全员管理原则;全过程管理原则;全方位风险管理原则。(2)分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。(3)风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。(4)协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。
(四)构建符合内控要求的业务管理新制度
传统分散风险管理模式下,各职能部门制定了大量的所谓“全面”的制度,但制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。
篇2
中图分类号:F239.66 文献标志码:A 文章编号:1673-291X(2009)06-0095-02
风险管理是指企业在日常的经营中,通过对风险的认识、衡量和分析,并以最小的成本达到最大安全保障的管理办法[1]。人们对内部审计基本认识还停留在针对医院的经济业务活动进行监控,查漏补缺、查错防弊,事后审计是审计主要形式。随着内部审计不断发展,审计已由账项审计、制度审计、管理审计逐步发展到对本单位风险管理和风险控制,并将其作为内部审计的重要领域,这一做法得到了国际内部审计职业界的普遍认可,1999年国际内部审计师协会把评价和改善组织的风险管理和控制的有效性作为内部审计的主要内容。本文将对医院内部审计在风险控制和管理方面作简要的阐述。
一、什么是风险、风险管理
(一)风险及风险因素
风险是在一定环境和限期内客观存在的,可能导致费用、损失与损害产生的不确定性。它具有客观性、普遍性、必然性、可识别性、可控性等特点。
风险因素,是指能够引起或增加风险事件发生机会或影响损失的因素。风险因素可分成三类:
1.物理因素,是指增加风险发生机会或损失严重程度的直接条件,在医院如购进不合格卫生材料、医疗仪器设备出现故障可能影响病人人身安全等。
2.道德因素,是指由于个人不诚实或不良企图,故意使风险事件发生或扩大已发生风险事件的损失程度的因素,如医德医风风险等。
3.心理因素,是指由于人们主观上的疏忽或过失而导致增加风险事件的机会或扩大了损失严重程度的因素,如医护人员因责任心不强,未能严格执行医疗操作规范等。
在医院面临的风险有医疗风险、经营决策风险、财务风险、管理风险、医德医风风险等。
风险可能导致医院名誉受损,经营陷入困境,发生财务损失等。
(二)风险管理
风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的科学成就而发展起来的一门新的管理科学。什么是风险管理,美国学者克里斯蒂认为风险管理是组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;美国学者威廉斯和理查德・汉斯认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理方法;我国有学者认为,风险管理是医院通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。
从风险管理定义以上看出风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;风险管理是一种管理方法。
二、医院内部审计涉足风险控制和风险管理动因
从医院经营和管理要求,医院业务和管理行为一定要趋利避害,减少风险,稳健经营,医院内部审计涉足风险管理有重要原因:
(一)医院面临的风险日益增大
近年来,随着社会经济的发展,特别医院经营与国民经济联系越来越紧密,使医院经营环境变得日趋复杂,医疗市场竞争加剧、医疗体制改革不断深入,医院经营风险也大大增加。因此,减少医院面临的风险是组织实现经营目标的关键,也是医院的管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是医院的管理咨询师,因此,内部审计部门和内部审计人员参与医院的风险管理也是其角色定位需要。
(二)内部审计自身发展的需求
内部审计部门为了不断地发展,为了在医院中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对医院又十分重要的领域,医院高层管理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在医院中成为一个重要的角色,并将其在医院中的作用推向一个新水平。
(三)内部审计能够在风险管理中发挥独特的作用
1.客观、全局性的管理风险
风险在医院内部具有感染性、传递性、不对称性等特征,一个部门造成的风险或疏于风险管理带来的后果往往不局限该部门,可能会传递到其他部门,最终可能使整个医院陷入困境,如一个医疗责任事故,可能引起其他临床科室病人恐慌,造成对医务人员的不信任心理。还如采购部门为节约采购成本,过于强调价格而忽略质量,这种暗藏的风险会在临床应用中反映出来,最终给医院造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。
内部审计部门独立于业务管理部门,可以从全局出发、从客观的角度对风险进行识别,及时建议相关管理职能部门采取措施控制风险。
2.控制、指导医院的风险策略
内部审计部门处于医院决策层、业务和职能部门之间,内部审计人员能够充当医院长期风险策略与各种决策的协调人,从独立第三者角度调控、指导医院的风险管理策略。
3.内部审计部门的建议更易引起重视
在医院各职能部门如医务、护理、后勤基建、设备采购对各自部门风险都会有一定的管理措施,但它们在管理活动中毕竟视野和高度不够,存在本位主义,不一定能从医院全局角度去控制整体风险,内部审计部门独立于管理部门,其风险评估的意见直接供决策层参考。
(四)外部审计的影响
近年来,注册会计师的业务领域不断扩展,如风险评估,且逐渐成为主要业务之一,这内部审计产生重大影响。内部审计在单位内部风险管理方面拥有注册会计师无可比拟的优势,比如:内部审计对医院面临的风险更了解、对防范医院风险、实现医院目标有着更强烈的责任感、对医院业务活动流程更熟悉。但外部审计比内部审计有更专业的审计方法和高素质的审计人员,在基建工程等投资金额大、周期长的项目,应引入外部审计进行风险控制。
三、内部审计如何参与风险管理
其他部门与内部审计部门所进行的风险管理相比较,既有紧密的联系,又有区别。联系在于,两者目的是统一的,都是为了降低医院的风险;两者的区别在于在风险管理中的角色不同。正是上述的联系和区别,导致了内部审计进行的风险管理过程与一般风险管理过程具有相同点和不同点。
内部审计进行的风险管理是在一般部门进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:
(一)风险识别
所谓风险识别是指对医院所面临的、潜在的风险进行判断、归类和鉴定风险性质的过程,换言之,就是要确定医院正在或将要面临哪些风险。内部审计对原有的已识别风险是否充分进行评价,即医院所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析分析等。
(二)评价已有风险
风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计对已有的风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。采用的方法主要有:风险报酬法(又称调整标准贴现率法)、风险当量法、解析方法等。
(三)评估风险防范措施,提出改进意见
风险的防范措施是指为降低已识别风险所采取的措施,也称风险管理工具的选择。内部审计对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计应提出改进措施和建议,以强化医院的风险管理,降低风险损失。采用的方法有:损失控制、签订免除责任协议等。
篇3
风险管理是指企业在日常的经营中,通过对风险的认识、衡量和分析,并以最小的成本达到最大安全保障的管理办法[1]。人们对内部审计基本认识还停留在针对医院的经济业务活动进行监控,查漏补缺、查错防弊,事后审计是审计主要形式。随着内部审计不断发展,审计已由账项审计、制度审计、管理审计逐步发展到对本单位风险管理和风险控制,并将其作为内部审计的重要领域,这一做法得到了国际内部审计职业界的普遍认可,1999年国际内部审计师协会把评价和改善组织的风险管理和控制的有效性作为内部审计的主要内容。本文将对医院内部审计在风险控制和管理方面作简要的阐述。
一、什么是风险、风险管理
(一)风险及风险因素
风险是在一定环境和限期内客观存在的,可能导致费用、损失与损害产生的不确定性。它具有客观性、普遍性、必然性、可识别性、可控性等特点。
风险因素,是指能够引起或增加风险事件发生机会或影响损失的因素。风险因素可分成三类:
1.物理因素,是指增加风险发生机会或损失严重程度的直接条件,在医院如购进不合格卫生材料、医疗仪器设备出现故障可能影响病人人身安全等。
2.道德因素,是指由于个人不诚实或不良企图,故意使风险事件发生或扩大已发生风险事件的损失程度的因素,如医德医风风险等。
3.心理因素,是指由于人们主观上的疏忽或过失而导致增加风险事件的机会或扩大了损失严重程度的因素,如医护人员因责任心不强,未能严格执行医疗操作规范等。
在医院面临的风险有医疗风险、经营决策风险、财务风险、管理风险、医德医风风险等。
风险可能导致医院名誉受损,经营陷入困境,发生财务损失等。
(二)风险管理
风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的科学成就而发展起来的一门新的管理科学。什么是风险管理,美国学者克里斯蒂认为风险管理是组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;美国学者威廉斯和理查德·汉斯认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理方法;我国有学者认为,风险管理是医院通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。
从风险管理定义以上看出风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;风险管理是一种管理方法。
二、医院内部审计涉足风险控制和风险管理动因
从医院经营和管理要求,医院业务和管理行为一定要趋利避害,减少风险,稳健经营,医院内部审计涉足风险管理有重要原因:
(一)医院面临的风险日益增大
近年来,随着社会经济的发展,特别医院经营与国民经济联系越来越紧密,使医院经营环境变得日趋复杂,医疗市场竞争加剧、医疗体制改革不断深入,医院经营风险也大大增加。因此,减少医院面临的风险是组织实现经营目标的关键,也是医院的管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是医院的管理咨询师,因此,内部审计部门和内部审计人员参与医院的风险管理也是其角色定位需要。
(二)内部审计自身发展的需求
内部审计部门为了不断地发展,为了在医院中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对医院又十分重要的领域,医院高层管理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在医院中成为一个重要的角色,并将其在医院中的作用推向一个新水平。
(三)内部审计能够在风险管理中发挥独特的作用
1.客观、全局性的管理风险
风险在医院内部具有感染性、传递性、不对称性等特征,一个部门造成的风险或疏于风险管理带来的后果往往不局限该部门,可能会传递到其他部门,最终可能使整个医院陷入困境,如一个医疗责任事故,可能引起其他临床科室病人恐慌,造成对医务人员的不信任心理。还如采购部门为节约采购成本,过于强调价格而忽略质量,这种暗藏的风险会在临床应用中反映出来,最终给医院造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。
内部审计部门独立于业务管理部门,可以从全局出发、从客观的角度对风险进行识别,及时建议相关管理职能部门采取措施控制风险。
.控制、指导医院的风险策略
内部审计部门处于医院决策层、业务和职能部门之间,内部审计人员能够充当医院长期风险策略与各种决策的协调人,从独立第三者角度调控、指导医院的风险管理策略。
3.内部审计部门的建议更易引起重视
在医院各职能部门如医务、护理、后勤基建、设备采购对各自部门风险都会有一定的管理措施,但它们在管理
(四)外部审计的影响
近年来,注册会计师的业务领域不断扩展,如风险评估,且逐渐成为主要业务之一,这内部审计产生重大影响。内部审计在单位内部风险管理方面拥有注册会计师无可比拟的优势,比如:内部审计对医院面临的风险更了解、对防范医院风险、实现医院目标有着更强烈的责任感、对医院业务活动流程更熟悉。但外部审计比内部审计有更专业的审计方法和高素质的审计人员,在基建工程等投资金额大、周期长的项目,应引入外部审计进行风险控制。
三、内部审计如何参与风险管理
其他部门与内部审计部门所进行的风险管理相比较,既有紧密的联系,又有区别。联系在于,两者目的是统一的,都是为了降低医院的风险;两者的区别在于在风险管理中的角色不同。正是上述的联系和区别,导致了内部审计进行的风险管理过程与一般风险管理过程具有相同点和不同点。
内部审计进行的风险管理是在一般部门进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:
(一)风险识别
所谓风险识别是指对医院所面临的、潜在的风险进行判断、归类和鉴定风险性质的过程,换言之,就是要确定医院正在或将要面临哪些风险。内部审计对原有的已识别风险是否充分进行评价,即医院所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析分析等。
(二)评价已有风险
风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计对已有的风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。采用的方法主要有:风险报酬法(又称调整标准贴现率法)、风险当量法、解析方法等。
(三)评估风险防范措施,提出改进意见
风险的防范措施是指为降低已识别风险所采取的措施,也称风险管理工具的选择。内部审计对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计应提出改进措施和建议,以强化医院的风险管理,降低风险损失。采用的方法有:损失控制、签订免除责任协议等。
篇4
随着当今市场经济的发展和经济全球化,更加剧了企业的竞争,从而加大了企业风险的形成。企业要想立于不败之地,必须借助于内部控制和风险管理。通过内控来防范化解内部的风险,通过风险控制来防范外部条件的变化对企业造成的威胁。
一、内部控制的内涵
内部控制的概念是在实践中逐步产生、发展和完善起来的。企业内部控制作为一项复杂的企业运作保障机制,其有效性则直接关系到企业经济效益的提高、企业资产的安全完整性和会计信息质量的改善等重大问题。因此,美国COSO 委员会在其《 内部控制一整体框架》 的报告中指出:“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程” 。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。COSO 报告提出的这个由“三个目标”和“五个要素”组成的内部控制的整体框架,是迄今为止被国际社会所普遍认可的最具权威性的内部控制定义。企业内部控制是企业的一种系统管理工程,它是通过一整套详细、具体的操作规范来约束企业各个环节、部门人员的经济行为,是一种规范的操作系统。
企业内部控制是衡量现代企业管理的重要标志。企业内部控制制度则是企业中最高的规范制度,企业内部的任何人都无权凌驾于内部控制制度之上,执行中的一视同仁、公平合理是内部控制制度得以贯彻执行的生命线。企业的内部控制制度就是企业经营运转的基本规矩,是检查管理者、各部门员工工作质量的尺度,也是衡量企业经济效益和管理水平的标准。由此可见,加强和完善企业内部控制制度是企业管理的客观需要。
二、风险管理的内涵
风险是指可能对目标的实现产生影响的事件发生的不确定性。风险管理就是采取一定的措施对风险进行检测评价,使风险降到可以接受的程度,并将其控制在某一可以接受的水平上。
企业风险管理是企业在实现未来战略目标的过程中,试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程,以确保和促进组织的整体利益的实现。到目前为止,COSO-ERM框架理论是最完备的并具有广泛适用性的风险管理理论。
根据该框架,全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。该框架认为企业风险管理应由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等8个要素构成,同时风险管理是由风险识别、风险评估、风险对策、风险监测等一系列环节组成的一个循环流程。
三、企业内部控制与风险管理的关系
在实践管理中,不能简单地将企业内部控制与风险管理等同起来,二者既有内在联系又有一定的区别,因此,我们要辩证地看待它们之间的相互关系和影响。
1、全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素。同时,也反映了两者在目标及组成要素方面有相同之处。两者都可以概括为力求公司股东价值最大化为目标,在组成要素上,有五个方面是重合的,这种目标和要素的一致性决定了内部控制和风险管理的原则、出发点与归宿点的相似性。
2、企业内控识别、控制风险的原理一致,都要由经营管理者实施。在分辨企业经营中存在的所有直接和间接的风险、确认各种风险的重要程度以及制订风险控制的策略、具体措施等方面,使用的理论基本上是相同的。内部控制的大部分工作都是经营管理部门的重要职责。同时,只有经营者将风险管理放在适当的高度,风险管理才能真正发挥作用。
3、企业风险管理是对内部控制的拓展和延伸。伴随着技术和经济的快速发展,使得内部控制走向企业风险管理。并且,企业风险管理是企业自身生存发展的需要。可以说,完善内部控制可以保证风险管理的效果,加强风险管理可以提高内部控制的地位。
4、企业内部控制的动力源自风险防范,是企业风险管理的必要环节,是实际操作的核心。内部控制的完整性、准确性和有效性直接决定企业风险管理的效果。企业开展风险管理工作应与内部控制相结合,把风险管理的要求渗透到企业各领域,带入到业务流程中。通过实施内部控制,我们可以达到完善治理结构,规范权力运行,强化监督制约,保证企业的资产安全,从而促进企业战略目标的实现。
5、企业内部控制并不等于企业风险管理。合理有效的内部控制只能提供合理而不是绝对保证,内部控制只能防范风险,不能转嫁、承担、化解或分散风险。在风险识别和评估基础上所建立的内部控制,只能规避经营管理活动中经常发生的错误和风险,但不能解决风险管理中企业所面临的所有风险。
从以上分析可以看出,内部控制和风险管理是密不可分的,完善内部控制可以保证风险管理的效果,加强风险管理可以提高内部控制的地位。实践证明,内部控制的有效实施有赖于风险管理的技术方法,而风险管理离开了内部控制作为手段支撑也将流于形式。我们只有发挥好企业内部控制与风险管理的协同作用,将内部控制与风险管理融为一体,才能更好地为企业发展保驾护航。
参考文献:
篇5
关键词:房地产项目风险管理 风险分析
Abstract: This article through to the real estate development projects in the implementation of risk management, from the developer's interpretation of development projects in the whole process risk analysis, evaluation and control.
Key words: real estate project risk management risk analysis
房地产开发是由房地产开发公司通过土地买卖和改造、房屋建设、房屋租售等一系列过程取得收益,从而达到自己的社会和经济目的的活动。在活动的全过程中,各种不确定因素至始至终伴随全程,这些不确定因素就是风险。
房地产项目的特性不同于其他行业,它具有不可移动性、高投人性和投资过程的长期性,这些特性决定了它本身的特殊性,使得房地产商在开发项目的不同时期在管理上面临着多种困难和风险。
房地产商至始至终都要认真对待这些困难和风险,充分考虑房地产开发市场中存在的这些不确定性因素,如只单纯看到房地产行业赚钱,就倾其所有把大笔资金投入进来,一旦这些潜在不确定因素发生就会给投资者带来灾难性的后果。如某开发商前期投入了巨额资金,工程全面开工,但没有进行有效的资金风险管理,遭遇2008年“全球金融危机”,资金链断裂,整个企业像“多米诺”骨牌倒塌一样发生连锁反应,企业倒闭,房地产项目无法运作只能易主。因此对房地产项目中的不确定因素即风险进行全面系统的管理是一项不可忽视的重要工作。
一、房地产项目风险管理的意义
房地产开发项目的风险管理体系的建立,有利于更自觉、更系统的管理项目开发中的风险,有目的的确立风险管理目标,有效地进行风险识别、分析和控制,对风险进行全面、系统化的管理,使企业综合管理效力得到极大提高;有利于房地产开发企业增强风险管理意识,强化风险管理措施,变目前企业被动式管理模式为主动型的风险管理;有利于房地产开发企业项目管理水平的提高,积累更多的管理经验,增加项目开发的成功系数。
二、房地产开发项目风险和风险管理
房地产开发项目风险是指在项目开发的全过程中,开发项目的预期收益受不确定因素的影响,预期值上下浮动,与未来实际情况发生偏移的程度。
房地产项目风险管理是研究房地产开发过程中风险发生规律和风险控制技术的一门管理学科。房地产开发商通过运用这一管理手段,优化组合各种风险管理技术,进行风险识别、风险估计、风险评价和风险决策,既在客观上做到未雨绸缪,或在风险无法避免时能寻求切实可行的补偿措施,从而有效地减少意外损失,或进而使有些风险能转化成有利于房地产开发商并为我所用,
房地产项目风险管理是一个连续不断的过程,可以在项目周期的任何一个阶段进行,对不同的项目风险因素进行控制的方法会有所差异,但是无论是什么项目,有一点是共同的,即越是在项目的早期进行风险分析和风险管理的效果就越好。在决策时,期望达到既定目标,然而是否能达到,不仅取决与决策前风险识别、风险估计以及风险评价是否全面正确,而且还取决于实施控制方案不断修改使其风险控制方案更加切合实际,这表明房地产开发项目风险管理方案的实施是一个动态的过程,管理者必须根据实际情况随时辨识、分析和评价项目发生的新风险,修改风险管理方案,这样才能达到以较低的成本最大程度的减少风险获得最大收益和最高的安全保障。
房地产项目主体涉及开发商、设计单位、承包商、供应商和监理单位等多家单位,是项目运作中不可或缺的实体,但风险管理主体是房地产开发商。房地产风险管理的基本内容方法和程序的核心在于选择最佳风险管理技术组合。房地产开发项目的管理目标在于以最少的成本实现最大的收益。
三、项目各阶段的风险及分析
1、在投资决策阶段风险及分析
投资决策阶段是房地产开发过程中一个最重要的环节,本阶段的任务是通过对国家、地区和地方的政治、经济和社会发展趋势的研究综合考虑市场供应需求等经济环境制定自己的房地产开发策略以确定房地产开发经营的区域、类型、时机,即决定在何时、何地开发何种房地产。本项目在这方面主要考虑国家和地方有关方面的政策,如土地政策、住房政策、税收政策、金融政策、环保政策以及市场供求情况。因国家各种相关政策的出台和到位使其除土地以外的风险因素较小,但土地受国家宏观调控政策的影响,土地方面的风险是存在的。
2、在土地获取阶段的风险及分析
如有的地方,各种城市配套设施不完备,道路、水、电等都不通,周边原有建筑物未拆迁,因此购地后一直不具备开工条件。从土地的自然属性方面看,该区地下管网错综复杂,水文地质条件差,对项目的开发产生严重的影响,土地获取风险明显存在。
筹资风险方面,我国房地产业资金大部分来自于金融机构的贷款,当投资中借贷比例很高时,筹资风险也越高。该项目也不可避免的具有筹资风险。
3、在建设阶段风险及分析
建设阶段是进行单体与群体建筑物的建造。与所有房地产开发项目在建设阶段的风险一样,有的项目也面临着招标模式风险、承包方式风险和施工索赔等风险。
承包方式为直接承包,且多家施工单位同时开工,开发商现场组织协调工作量增多风险增大,同时也增加了施工索赔的隐形风险。
4、在销售阶段风险及分析
在建项目在销售阶段面临如下风险:销售时机风险、租售合同风险、自然灾害风险、意外事故风险。
该阶段的主要风险是销售价格定位,如何能较快的为广大需求者所接受,从而为房地产商资金的快速回笼提供可能。
四、主要风险评估
1、资金筹措风险评估
一般项目通常开发商自有资金仅占开发项目总投资金额的20%0 - 35%。如某项目总建筑面积175000平方米,建设总成本为33250万元,自有资金21950万元,占建设总成本的66%,远远超过了人民银行121号文件规定的房地产公司自有资金不低于30%的底线,融资方面风险较小。
2、项目销售阶段风险评估
在销售阶段主要决定该项目的价格定位风险,该风险可以利用盈亏平衡点分析,
五、项目的风险规划
风险控制的各种手段;
在风险控制的各种手段中,主要有风险回避、风险控制、风险转移、风险自留、风险分散、风险利用。
1.对筹资风险主要采用风险控制与风险自留。
(1)明确不应过度负债,开发前期对资金运作全盘考虑,并有资金补充应急计划。
(2)将短期负债与长期负债区别对待,尽量减少短期负债。
2.对设计变更风险、设计方案不合理风险规划主要采用风险控制和风险转移。
(1)建立健全设计交底与施工图会审制度
(2)采用监理制度对设计的全过程跟踪监督
(3)严格设计变更审查制度,对项目运行过程做好投资控制。
3.对工期拖延的风险规划主要采用风险转移
(1)在工程承包合同中,严格制定工期条款,明确工期拖延所造成的后果及相应承担的责任,将该部分风险转移到主体承包单位。
(2)聘请专业监理公司,在监理合同中同样设定相应工期条款,明确监理公司对工期拖延同样负有责任。
4.对各种安全事故风险以及其它风险采取风险控制
(1)制定编制风险管理计划书,对涉及结构安全以及关键控制点作出详细的计划安排,并下发给具体实施部门,严格按照计划书上的要求开展工作。
(2)现场监督。(1)对各种原材料、构配件、设备的进厂检验严格把关。(2)对停检点、必检点、重要隐蔽工程的验收实施监督,监督到位率应达到100 %。(3)对主要分项、分部工程、单位工程的验收实施监督。(4)坚持现场巡检,重大质量问题发质量通报,并限期整改。(5)检查监理公司的人员、检验设备配备情况,现场监督情况,要求定期上报监理周报和监理月报。
(3)采购物资必须到信誉度高、质量稳定合格的供货公司。
(4)聘请专业监理公司进行施工全过程控制,包含投资控制、进度控制和质量控制。
(5)开工前要收集该地域地下埋藏物诸如通信、供电、给水、排水、燃气等地下管线和坟墓等的资料。
(6)选择口碑好的专业地质勘探公司对该地块进行全方位地质勘探。
(7)成本实现动态控制。项目施工的每一阶段,做到事前控制、事中控制、事后分析等工作。
篇6
[中图分类号]F323.2 [文献标识码]A [文章编号]1005-6432(2009)02-0026-02
风险表现为损失的不确定性。物流是一种风险很高的行业。物流园区投资大、建设周期长、综合程度高的特点,决定了物流园区是物流行业中风险程度相对集中的领域。目前,物流风险管理研究开始受到企业和社会的重视,但是,具体到物流行业中的物流园区风险管理研究还几乎无人问津。本文将在物流风险管理和工程项目风险管理的基础上,对物流园区风险管理进行尝试性研究。
1 物流园区三阶段工作内容划分
在第十二次中国物流专家论坛上,上海西北综合物流园区推进办公室王大明主任把物流园区的主要工作分为两个阶段:一是起步建设阶段(搭台期),二是运营管理阶段(经营期)。起步建设阶段,其实包括两个重要阶段,一是规划论证阶段,二是施工建设阶段。各个阶段,工作重点是不一样的。掌握各阶段的主要工作,将方便于进行各阶段的风险因素分析。在此,将物流园区按规划、建设和营运三个阶段划分,各阶段主要工作如表1所示。
2 物流园区的风险管理模型
根据风险管理流程模型,可以将物流园区风险管理流程归纳为三个核心步骤,即风险因素识别、风险评估和风险控制。其中,风险因素识别是指明确潜在的不良事件,即产生风险的来源,是风险管理的基础;风险评估是判断不良事件发生的可能性及不良事件的后果,是风险管理的定量分析;风险控制一方面是通过风险评价,即选择实施风险控制的最佳措施,另一方面是付诸行动,并对控制结果进行反馈。
3 物流园区的风险因素识别
风险因素识别的方法有多种。物流园区风险因素识别方法主要是在工程项目风险因素识别的表上作业法的基础上,进行局部改良形成的。物流园区风险因素识别表上作业法,就是在物流园区风险类识别风险的基础上,分阶段将各风险类在各个层次上进行有机组合,通过风险登记和列表的方法对风险因素进行区别与归类。
3.1风险因素分类
风险因素是指引起或增加风险事故发生的机会或扩大损失幅度的条件,是风险事故发生的潜在原因。风险因素的分类标准有很多。按环境要素进行分类,包括政治风险、法律风险、经济风险、自然风险和社会风险,加表2所示。
根据风险因素与项目的相互关系,可以将风险因素类别分为内部风险和外部风险。内部风险是指风险来自系统内部,并在系统内部发生作用;外部风险来自系统外部,通过系统的外部界面对系统的全局或局部发生影响。
根据风险因素的不确定性,可以将风险因素类别分为可控制风险和不可控制风险。可控制风险是指风险因素产生后有成熟的或可供借鉴的响应措施,风险负面影响在可控的范围内。不可控制风险是指风险因素产生后没有成熟的或可供借鉴的响应措施,风险负面影响在不可控的范围内。
3.2物流园区风险因素识别模型
以物流园区施工建设阶段为例,风险因素组合登记表各项限的风险因素分布:①资金短缺,标书有误,合同条款不完善,劳力纠纷;②技术方案有误,施工组织设计不合理,设备缺陷,设备故障,设备操作失误,施工场地变化,工程返工;③项目计划调整;施工技术水平低下,设计变更,施工场地变化;④协调不善,赔偿冲突,环境保护,投入不足,环境保护,技术失败:⑤操作规程不完善,操作不规范,安全保卫制度不健全。合同管理不善,工作人员失职;⑥经济滑波,汇率波动,通货膨胀,税率变化;⑦材料质量不合格,后勤供应缺陷;⑧技术法规变化,后勤供应缺陷;⑨法规变化;⑩地震,天气变化,暴雨洪水,泥石流,塌方,雷电,火灾,强风等。
通过对物流园区各阶段的风险分析,形成阶段性风险因素识别表上作业,有利于各阶段识别结果的比较,动态地掌握物流园区各阶段的风险状况,实施风险动态管理。同时,该方法也有利于分析人员和决策人员更加直观、准确地制定各项风险因素的响应措施,对应地形成风险响应措施表,用于风险控制的各个环节和全过程。
4 物流园区的风险控制
4.1物流园区规划论证阶段风险控制
从表3可知,在物流园区规划论证阶段,突出的是外部的政治风险、内部的技术风险和外部的社会风险。外部的政治风险主要表现在物流园区的政策的不确定性。内部的技术风险主要表现为物流园区规划方案和可行性分析报告的科学合理程度。外部的社会风险主要表现为土地批租与土地使用者的关系紧张程度。
针对三大风险,应该组织专班人员,研究相关政策,利用外部智力资源,科学评估风险程度,合理规划,小心论证,谨慎处理各个层面的问题。
4.2物流园区施工建设阶段风险控制
篇7
一、高校内部控制与风险管理的关系
1.高校内部控制和风险管理的定义高校内部控制是其内部治理的重要组成部分,由内部环境、风险分析和评估、控制活动、信息与沟通、内部监督等活动构成,表现为与业务、财务相融合的组织管理结构、制度、程序和措施等,是高校为履行职责、实现目标、应对风险而实施的管理活动。高校的内控目标包括确保各项资金的安全运行,提高资金的使用效益,保障各项活动合法合规、资产安全完整、财务报告及相关信息真实完整,有效预防和防范舞弊腐败,办学服务效率和效果能得到提高。高校风险管理是指高校为实现相应的发展目标而面临不确定性,通过目标设定、识别风险和评估等风险管理活动,将风险控制在可接受的范围内,有利于提升管理和治理水平,同时减少对高校产生不利影响,从而提升管理水平,减少能对单位产生影响的不确定性因素。根据高校各个部门的职能和权力运行特点来看,风险多数集中在基建、资产管理、招聘、招生、科研等重点环节。2.高校内部控制和风险管理的关系高校内控和风险管理都是高校管理人员将经济业务作为对象,以期将学校战略与规划落到实处,而实施的一系列动态并且灵活的治理过程的集合。高校的风险管理包括内部控制,内部控制以风险管理为出发点,其控制目标、控制活动等依据内外部环境的变化而进行相应变化。高校内控与风险管理的目标和职能有很大的相关性,比如控制环境、控制活动以及风险评估等都是两者的相同内容。除此之外,高校风险管理包括风险反馈、目标制定等环节,内控是风险管理过程中的重要环节,而风险管理同时又覆盖了内部控制,贯穿于整个管理过程。所以,风险管理和内部控制工作一般是同时进行的,两者在运行过程中是统一并协同的。简而言之,风险管理是内部控制的延伸,内部控制的本质和核心就是风险控制。内部控制以风险管理为出发点,内部控制的发展是一个渐进的过程,内部控制的核心始终是风险管理,其目标、内容随着内部和外部环境的变化而变化,其本质就是风险控制。因此,高校的风险管理包括内部控制,是高校内部控制的延伸。风险意识和内控制度管理为完善高校控制系统提供了坚实基础,也是防范风险和高校风险管理的基础。高校的风险管理考虑的是整体的风险,而内部控制是单纯风险的防范和控制。风险管理涵盖了高校各个层面的发展战略,其目标不仅是为了保护资产和经营活动的平稳运行,还包括积极利用机会,寻求更好的发展机会。在内部控制和风险管理相互融合的框架体系中,内部控制的目的主要是为了控制整体的、全面的风险。内部控制侧重在控制手段上,风险管理侧重在控制目标和风险控制上,两者相互扩展和完善,最后建立一个完整的框架,实现控制风险的目标。两者在内容和形式上的区别和侧重,表明了有效整合的必要性。
二、高校内部控制与风险管理存在的问题
1.财务风险内控制度不健全风险内部控制体系是高校财务内部控制实施的关键。有效的工作体系是高校正常运营的保障,制度保障需要学校内部各部门积极配合。目前,高等院校在财务风险内控制度存在明显不足,仍存在局限性和片面性,无法形成系统化、规范化、可操作的制度框架。而且,高校没有制定完善的财务内控制度,且高校偿债风险防范制度不健全,必然降低高校财务风险应对能力。2.财务流程不规范财务流程规范化是制度落实的关键环节,虽然在高校的财务管理过程中,有关部门都相继出台了许多管理办法,但仍缺乏完善的财务业务流程。近年来一些高校内部也制定了相关流程,仍缺乏具体化的管控措施,办理程序及责任不清晰,大大影响执行效果。在组织控制活动方面,高校对关键岗位风险点的把握不够,缺乏对各个经济业务环节进行流程化管理。3.风险评估机制缺失随着高校的经营模式多样化,高校的招生、教学、科研以及基本建设等环节的财务风险不断增长。且近年来,高校资金来源逐渐呈多元化、复杂化趋势,高校面临的财务风险及考验越来越多。多数高校长期受事业单位机制影响,财务风险管控意识不足,未能积极有效地制定和落实财务风险评估机制,缺少对经济业务活动的风险监测和应对方案,导致应对业务和财务风险的能力不足。4.监督机制不完善高校的监管主要以内部监管为主,内部监管主要依靠纪检和审计两个部门,同时由于两部门业务及人力资源限制,难以做到监督工作全面化。且两部门的分工也容易造成内部财务管理监管的真空地带。审计部门一般只是对采购项目、基础项目建设、三公经费等重点内容进行审查,内控的监督及风险管理的范围受到限制,从而导致内控的监督和管理措施落实不到位。
三、嵌入风险清单管理的高校内控建设优化机制
风险清单是指组织根据自身战略、业务特点和风险管理要求,以表单形式进行风险识别、风险分析、风险应对、风险报告和沟通等管理活动的工具方法。其目标是使组织从整体上了解自身风险概况和存在的重大风险,明晰各相关部门的风险管理责任,规范风险管理流程,并为构建风险预警和风险考评机制奠定基础。从单位层面和业务层面以风险清单为工具方法,按照应用环境创建、目标设定、风险识别、风险分析、风险应对、风险报告和沟通、评价与优化的程序,通过风险管理基本框架的构建,来优化高校内控建设,使其符合高校特点的同时具有更强的可操作性。其中风险识别、风险分析、风险应对为关键环节。在风险识别环节,首先,查找可能影响高校正常运行的要素,如业务流程、规章制度、信息系统、人员素质等;其次,对查找出的要素进行深入的风险分析活动,判别是否存在风险;最后,梳理风险点,建立全面的风险清单。在风险分析环节,锁定识别出的单位和业务层面的关键风险点,对风险发生的可能性和风险后果的严重程度进行深入分析。风险发生的可能性分为高、中、低三个级别,“高”代表会影响高校的正常教学、科研等活动,对运营造成一定程度的影响;“中”代表能够进行正常的教学、科研等活动,但会对财务活动造成一定程度的影响;“低”代表对财务活动造成的影响较小。风险发生对目标实现的影响程度可分为高、中、低三个级别,“高”代表常常会发生,“中”代表某些情况下会发生,“低”代表极少情况下会发生。结合这两个标准,对各个风险点的总体风险度和风险等级进行分析和判断。在确定风险等级后,根据风险的大小确定相应的风险应对措施。确定为高等级的风险,需要进一步分析各个风险产生的原因,采取有效的控制措施将其降低至可承受范围内,并在后续的活动中持续关注该风险点的发展和动态;确定为中等级的风险,需要保持目前采取的控制措施,同时定期重新评估和分析风险;确定为低等级的风险,需要加强并坚持日常控制措施。
四、嵌入风险清单管理的高校内控建设优化措施
1.改善高校内部控制环境,增强风险防范意识高校风险管理是一个循序渐进的过程,成功与否主要在于高校管理人员和员工能否认知到风险管理重要性。高校管理人员必须充分认识到内部控制和风险管理的重要性,并且在制度体系构建上足够重视,落实责任,进而全面推行风险管理和岗位责任相融合,全员、全过程、全方位提高内控管理水平。特别是增强教职工风险意识,使大家在高校日常经营活动中认识到自己在风险管理中的职责,实现对风险的精准预测和有效控制,从根源上确保高校各项活动的有序推进。高校的内部控制环境,包括人员道德观念、能力素质、组织架构、人事制度及管理理念等,是高校风险管理的基础。一方面,需要重视人员的能力和素质培训,提高业务水平和能力,进一步提高财会人员的综合素质,加强沟通,创造和谐向上的工作氛围。另一方面,不断完善人事管理等有关制度,在人员聘用、培训、晋升等环节强化道德价值操守和风险管理意识,创造良好的管理控制环境,有利于促进高校自身的安全和稳定发展。2.健全财务内部控制制度,建设高校风险管理和预警体系高校应当基于自身需求,建立完善的内控制度,规范和控制经济业务活动,防范财务风险。高校管理层需要根据自身的办学特点和风险状况,对财务内控制度不断进行梳理并修订。同时对财务业务的主要流程和环节进行优化,加强制度建设,逐步建立起全面、系统的财务内控制度。另一方面,高校可以设立专门的内控管理部门,从总体上规划各项内部管理工作,从而确保有效发挥其功能和作用。以风险管理为导向的内部控制,最为关键的是风险防范。建立健全风险预警体系是高校内部控制与风险管理工作的重要举措。首先,构建全员、全面、全过程的风险管理体系,将财务风险预警不仅运用到高校投融资等工作中,还要落实到高校教学、科研、招生、就业等各个方面。其次,结合高校自身特点,不断收集并分析各种影响风险发生的信息,对高校发展与运营过程中存在的潜在风险因素进行动态追踪,实现事前、事中、事后的全过程监控,建立起动态的风险预警体制机制。最后,不断优化风险分析评估制度,完善高校风险预警机制,建立风险管理的长效机制,提高风险管理的效率与效果。3.多方位梳理完善业务财务流程,加强内部信息沟通高校在业务财务的规范化管理方面,要覆盖所有的业务财务流程,精细把控各个环节流程。利用流程化管理手段,将业务的各个处理流程细化,再分解到归口部门,以明确各个部门岗位的职责权限。同时为了有效提升内控制度的执行力,规范权力的运行,利用内部授权审批制度来实现制衡。随着风险管理和财务内控的积极推进,高校在对财务业务流程进行调整时,还需要考虑自身情况,重点关注借款、日常报销、绩效奖励、差旅费的审批流程、基础建设款项的审批、经费划拨审批,及一些其他特殊业务的处理流程。不断建立完善通畅的沟通机制,加强内部信息交流,特别是注重跨级沟通,实现上下级之间的平等双向沟通。具体可以通过以下手段来建立健全信息沟通机制:第一,建立内部开放式的信息系统,使员工能够第一时间反映相关情况,管理人员能够及时做出处理和反馈,从而为各级职能和教学部门提供有效参考;第二,建立投诉和投诉人保护制度,同时应给予适当的奖励;第三,成立内部小组,完善内部监督机制,定期召开通报会,分析错弊风险。同时,财务部门相关负责人应定期向学校管理层汇报工作开展情况,贯彻落实《高等学校财务制度》中的要求,从而将财务风险降到最低。4.强化内部监督机制,建立科学的内部控制评价机制运行有效的内部控制体系的建设和实施,离不开健全有效的内部监督机制。与此同时,监督和评价的结果也可以改进风险管理。因此,内控监管和评价制度的完善就成为关键。其中的首要工作是基于学校发展规划设立内控整体目标,把风险管理理念与高校业务活动进行融合,将内控目标、风险管理以及管理机制融合为一体,深入剖析流程,让高校各项工作更规范。另外,还需要通过自我评价、定期评估等方式对各个部门和岗位落实已分解职责的情况进行检查与评价,使高校内部控制能够接地气,能够真落实,能够有实效。高校通过内部、外部监督相结合的方式,依靠内部审计、纪检等进行常规和专项监察,同时借助外部审计机构、公众监督等,对学校的经济业务活动进行系统全面的审查。风险管理机构的设立是风险管理工作实施的基础,需要不断对风险管理机构、内控评价和监管制度进行优化和完善。深入调研学校的真实情况,制定高校内部控制整体目标,有效融合风险管理与高校业务活动,将风险管理、内控目标以及内部管理机制融为一体。同时,加强风险管理评估,根据实际情况,细分落实部门和岗位职责,检查评价控制情况。在高校的管理过程中实施全过程控制,实现内部控制与风险管理的有效融合。
五、结语
在高校的内部控制与风险管理工作中,运用风险清单的管理方法,将这两种工作结合在一起,通过对风险的规划、识别与评价,将内部控制与风险管理融合,从而更好地预防、规避和控制风险。同时,不断更新风险管理理念,树立风险管理意识,构建完善的风险预警体系和内部控制监督制度。在此基础上,将风险管理贯穿到高校教学科研、财务收支、业务管理、经营活动等各个领域,从而提高风险管理工作的质量和风险防范能力,规范高校的经济活动,促进高校的可持续和高质量发展。
参考文献
1.财政部关于全面推进行政事业单位内部控制建设的指导意见(财会〔2015〕24号).
2.管理会计应用指引第702号――风险清单(财会〔2018〕38号).
3.黄韬.高校财务管理内部控制的探讨.中央财经大学学报,2015(S2).
篇8
一、 前言
操作风险是银行面临的基础风险之一,在国内外金融发展史中,未能妥善控制操作风险,而遭致重大损失的事件不胜枚举。从199年英国巴林银行倒闭,到2008年法国兴业银行由于交易员违规操作损失49亿欧元,操作风险已逐渐成为全球银行业面临的最大风险之一。国内商业银行近几年来也发生了多起由操作风险引起的银行大案,2003年中国农业银行内外勾结骗贷4969万元,200年中国银行的高山案造成近3亿元损失,2006年中国银行发生43亿元的票据诈骗案,这些生动的案件表明国内商业银行在管理操作风险方面还比较欠缺,商业银行对操作风险的内部控制尚待加强。
从我国商业银行操作风险的表现形式看,人员因素和内部流程是导致商业操作风险损失的主因,这与巴塞尔委员会对全球业绩良好的大银行进行操作风险数据调查的结果有着根本性区别,这也反映出我国商业银行内部控制的薄弱或内部控制制度执行不力。《商业银行内部控制指引》要求内部控制涵盖操作风险管理,内部控制制度、监管体系的薄弱与不完善才导致上述银行要案频发。
二、 商业银行操作风险与内部控制的关系
(一) 操作风险与内部控制的定义
根据巴塞尔委员会在2004年6月正式颁布的巴塞尔新资本协议第64段所给的定义,以及2007年中国银监会《操作风险管理指引》中的定义,本文将操作风险定义为由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。中国人民银行在2002年9月公布的《商业银行内部控制指引》中指出,内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法对风险进行事前防范、事中控制和事后评价的动态过程和机制。
(二)操作风险与内部控制关系研究的理论基础
解释商业银行操作风险存在的理论有很多种,但最具有解释力的是委托理论。在现代企业制度中,资产所有者和公司最高决策者(董事会或总经理)之间就存在这种关系。关系可以存在于一切组织,一切合作性活动中,存在于企业的每一个管理层级上。委托关系的实质是委托人不得不为人的行为承担风险,而这又来自信息的不对称和契约的不完备性,因此委托理论分析的是不对称信息下的激励问题。
在信息不对称和不完备契约条件下,委托人和人间的利益冲突会产生人“道德风险”,酿成“内部人控制”,引发委托型操作风险。而委托理论视角下的内部控制则是由企业各层管理人员共同执行的,相邻层级之间存在着控制与被控制的关系,其中不同层级的管理者由于其委托人处于不同层次,受托责任的大小也不同,因而掌握着不同的控制权力并承担相应的责任。
(三)内部控制与操作风险管理的关系分析
内部控制的最终目标是要实现商业银行安全稳健地运行。一个有效的内部控制意味着银行具有很强的风险防范和控制能力,风险案件很少或几乎不发生;反之,则是银行内部控制失灵的结果和表现。内部控制与操作风险管理是两个既有相同之处,又有明显区别的范畴。尽管两者的基本原则相同,在管理的内容上也存在许多重叠,但两者的重点、对象和目标是不同的。
就强调的重点而言,操作风险强调“区别”管理,区分出可承担的风险、可转移的风险,并采取不同的管理手段;内控机制强调控制机制建设,包括建立内部控制政策和程序并保证它们在银行内部被严格执行。在管理对象方面,操作风险管理的对象是内部事件和外部事件,内控机制的对象是银行内部组织架构中的各个组成部分。比如,从董事会到高级管理层、中级管理层甚至普通员工,从银行的后台、到前台,从产品的研发部门到产品的风险管理部门、营销部门等。在管理的目标方面,操作风险管理的目标是单一的,即风险最小化或盈利最大化,而内控机制的目标是多重的,既要遵守国家的法律法规、金融监管规章和银行内部的规章制度,也要保证自身的发展战略和经营目标的全面实施和实现;既要保证风险管理体系的有效性,又要保证业务记录、财务信息及其他管理信息的及时性、完整性和真实性。
内部控制与操作风险管理的相关性表现在以下几个方面。
1控制操作风险有助于内部控制实现其目标。商业银行内部控制具有经营目标、财务报告目标与遵循目标3大目标,而操作风险管理则要测量操作风险以配置经济资本,以及分析操作风险的成因并加以防范。内部控制是操作风险管理的必要环节,通过保证合法经营,为实现商业银行操作风险管理目标提供合理保障;反之,测量并防范操作风险,可以帮助实现商业银行内部控制的三大目标。因此,内部控制与操作风险管理的目的具有一致性。
2操作风险的防范主要依赖完善的内部控制。巴塞尔银行监管委员会1997年《有效银行监管的核心原则》中提出,“最重大的操作风险在于内部控制和公司治理机制的失效”。可见操作风险的防范主要依赖完善的内部控制。商业银行的内部控制应当是一个由不同要素、不同运行环节组成的有机体。从要素体系来看,内部控制必须包括内部控制环境、风险识别和评估、内部控制措施、信息交流和反馈、监督纠正与评价大要素。其中任一要素的缺失都会导致内部控制的失灵,要素的不健全也会造成内部控制的低效和无效。从运行体系看,内部控制是一个由决策、建设与管理、执行与操作、监督与评价、持续改进个环节组成的有机系统。该系统有效运行的充分必要条件是每个环节的顺利运转,任一环节的失灵必然回造成操作风险大案要案的发生。
3内部控制是银行管理操作风险的基础。银行的操作风险主要源于内部控制不完善和失误,这是操作风险区别于信用风险和市场风险的最重要的方面。如果要降低和消除银行的操作风险,关键是要从银行内部控制入手,克服这些不完善和失误的地方。巴塞尔银行监管委员会认为资本约束并不是控制操作风险的最好办法,对付操作风险的第一道防线是严格的内控机制。对于外部因素导致的操作风险,因为外部事件是银行不可控制的,因而除了采用保险等风险缓释手段进行规避外别无他法。而由内部因素导致导致的操作风险却是银行可以防范的,通过加强内控建设,完善银行的业务流程、人事安排和会计系统,并强化法规执行控制,就能在相当程度上避免内部失误和违规操作,从而防范操作风险。
从巴塞尔新资本协议中对操作风险的定义可以看出,操作风险主要分为内部程序风险(流程风险)、人员风险、系统风险和外部事件风险这四大类风险,而对这四类风险内部控制中都可以找到相应制度机制能对风险进行相应控制。如流程风险,内部控制可以通过授权控制、职责分离制度等对其进行控制;对人员风险,内部控制中强调建立科学、有效的激励约束机制,培育良好的企业精神和内部控制环境,创造全体员工充分了解且能履行职责的环境;对系统风险,内部控制中有专门针对计算机信系统的内部控制制度;对外部事件风险,则有建立应急制度的规定,在一定程度上对此类风险进行防范和控制。所以从操作风险的定义看,内部控制与其存在着密切的联系,下面对操作风险的特征进行更深入的分析,探讨内部控制和操作风险之间的关系。
4内部控制能更好地应对操作风险的特征。
首先是内生性。操作风险内生于银行的业务操作,且大多与银行独特的内部风险管理环境有关,这为内部控制在操作风险管理中发挥重要作用奠定了基础。
其次是人为性。巴塞尔新资本协议中分类的七种操作风险中有六种与人相关。人为因索在引发操作风险的因素中占有直接的、重要的地位,绝大多数的操作风险更多的可以归因于有意(道德风险)或无意的人为操作失误。最后是广泛性。内部控制视角下我国商业银行操作风险研究从覆盖范围看,操作风险实际上几乎覆盖了银行经营管理所有方面的风险。
内部控制是操作风险管理实践的现实选择。当前银行为管理操作风险而从事的活动包括许多方面和形式,如改善公司治理、审计稽核、合规检查、项目管理、I新技术应用和I安全、业务持续计划、保险、业务外包、提取资本金、风险定价等等。这些管理操作风险的活动和方法从风险管理策略的角度可以分为两大类:风险规避和风险承担,风险承担又可进一步分为三类:内部控制、风险转移和风险吸收。不同类型的风险应当选择不同的管理方法:对于应视为管理重点的高频低损型操作风险,主要应通过改善流程、制定相关业务程序等内部控制控制的方法对其进行管理,也可以通过风险吸收的方式,如提取准备金并将成本计入产品定价中、提取风险资本金等;对低频高损型操作风险,可以通过内部控制中制定完善的紧急预案或业务持续计划的方法降低风险损失,也可以采用风险转移的方法,如将此类业务外包给专业技术公司或进行保险等;对低频低损型操作风险,可以通过内部控制对其进行管理,也可以进行风险吸收;对发生频率高,造成损失又大的操作风险,银行往往采取风险规避的方式,即拒绝开展此项高风险业务或者关闭已开展的业务。
三、加强内部控制以防范操作风险的对策
商业银行操作风险控制是一项长期的任务,需要相关人员的共同努力。针对商业银行的实际情况,借鉴国外的先进经验,对银行的操作风险控制应采取以下主要对策。
(一)建立和完善商业银行组织机构
首先,机构设置要合法科学商业银行股份制改造以后面临的首要任务就是要建立两级、四权分离的现代公司组织机构,并从公司价值最大化的角度考虑,加强利益相关者的共同治理,不断完善商业银行的公司治理结构、委托结构、股东治理结构和经理人制度。其次,规章制度要严密高效、相互制约;再次,成立资产管理委员会、贷款审查委员会、保密工作领导小组、内审委员会等组织,形成稽核部门对内审委员会负责,内审委员会对法人负责的制度。
(二)完善商业银行的内部控制制度
首先,理清现有各项规章制度,查找制度层面上的空白点和执行层面上的薄弱环节,进一步增强制度的可操作性,加大对重要业务风险点岗位的内部控制,不断健全财务信贷稽核等部门的规章制度,制定其操作流程岗位职责等规则,使员工有章可循有法可依。其次,制定合理的激励考核制度,形成良好的文化导向。银行的考核指标除了现有的数量指标和速度指标外,还应加入质量指标和风险控制指标,对风险控制做得好的员工和部门进行精神上和物质上的双重奖励,形成一种正确的激励导向来引导员工的行为取向,提高员工防范操作风险的主动性把强制性的内部控制转化为员工自觉的风险防范行为,更好地防范和控制操作风险。最后,强化责任追究制度要构建严格的内控问责与惩戒制度将具体责任落实到具体岗位,然后按照岗位进行责任认定与追究对因违规而引发操作风险给商业银行带来损失的员工要严惩不贷。
(三)加快经营管理体制改革,创建良好的内部控制环境。
完善法人治理结构,按照现代企业制度的要求,使商业银行成为真正自主经营、自负盈亏、自我发展、自我约束的法人实体和市场主体。建立符合国际标准的财务会计制度和信息披露制度,构建科学的经营管理体制,构造先进的人力资源管理和激励约束机制,实现经营管理信息化,为内部控制的建立与健全奠定良好的基础。加强各种制度建设,包括建立健全内部审计制度、内部控制制度、人事制度、风险管理制度等。建立健全操作风险的评估机制,利用审计监督手段控制操作风险,保持风险控制的独立性。
(四)建立完善的内部稽核系统和操作风险控制流程
要加强内部稽核监管部门的独立性和直属性,将稽核部门置于董事会的直接领导下,每一级的稽核部门和稽核人员都由上级稽核部门直接领导,形成一种独立的垂直领导体系,同时要做到稽核人员的人事工资福利等与所在行完全脱钩,割断稽核人员与所在行的利益关系,使稽核部门在处理与被稽核监督对象的关系上处于比较独立的地位。建立标准化的操作风险控制流程是加强内部控制确保制度落实的基础,商业银行应结合操作风险的特点确定一套完整统一的操作风险管理框架,涵盖操作风险的识别、评估缓释监测和报告等方面。
参考文献:
篇9
企业参与市场经济面临的风险是多方面的,包括投资风险、市场风险、经营风险、财务风险、法律风险等。要进行企业法律风险管理,就要从企业面临的众多风险中甄别哪些属于法律风险。
无论是在企业风险管理领域还是在法律事务领域,企业法律风险都是一个经常被提及的概念。然而,不同领域的学者对法律风险概念的理解和表述却不尽相同。有人侧重于从制度层面来理解法律风险,认为它是由于未能认识到法律效力,或对法律效力的认识存在偏差或者在法律效力不确定的情况下开展经营活动而使企业的利益或目标与法律规定不一致而产生的风险。有人倾向于从法律风险外延来概括,认为法律风险包括但不限于因监管措施和解决民商争议而支付的罚款、罚金或者惩罚性赔偿所导致的风险。还有人从企业成立和运营的目的出发,将法律风险归为商业风险的一种,强调法律风险是指企业所承担因发生潜在经济损失或其他损害的风险。
从上述各种观点可以看出,对企业法律风险的定义基本上是从风险诱因和风险后果两个方面来进行。在风险后果方面,各家观点基本一致,即认为法律风险是一种给企业造成损失或带来不利后果的可能性。在风险诱因方面,虽然各家观点差异较大,但多数都不够全面。因此,笔者认为:企业法律风险是指企业在生产经营管理过程中,由于外部法律环境发生变化,或由于包括企业自身在内的各种主体未按照法律规定或合同约定行使权利、履行义务,而对企业造成负面法律后果的可能性。
企业法律风险的特征
1. 企业法律风险发生原因具有确定性
这是企业法律风险区别于其他企业风险的一个最根本的特征。 无论哪一种企业法律风险,其产生原因归根结底都是基于法律规定或合同约定。例如,企业违反法律规定或合同约定、 侵权、 怠于行使法律赋予的权利等行为,都是确定性的违反了法律规定或合同约定,否则不能直接导致法律风险的发生。
2. 企业法律风险发生结果具有强制性
企业的生产经营活动如果违反法律法规,或者侵害其他企业、单位或者个人的合法权益,势必要承担相应的民事责任、行政责任甚至是刑事责任等法律责任。法律责任具有强制性,不受企业或其他任何因素的影响。
3. 企业法律风险发生领域具有广泛性
企业所有经营活动都离不开规范的调整,企业任何经营行为都必须遵守法律的规定。企业与政府、 企业与企业、 企业与消费者以及企业内部的关系,都要通过相应的法律法规来规范和调整。因此,企业法律风险存在于企业生产经营各个环节之中,贯穿于企业存续的始终。
4. 企业法律风险发生结果的可预见性
企业法律风险因违反法律的规定或合同的约定而产生,然而法律规定或合同约定最基本的功能就是给当事人明确规定应该做什么、不应该做什么以及相应的法律后果。因此,企业法律风险是可以事前预见的,即可以通过对法律规定或合同约定的解读而预先判断并加以预防的。
企业法律风险管理体系的构建
法律风险管理产生于企业内部控制系统中,但又具有相对独立的体系。基于法律风险的特征,结合企业法律风险管理体系的实践工作,法律风险管理可以概括划分为法律风险的识别、法律风险的评价、法律风险的控制、法律风险的测评四个部分,这四个部分循序相连,共同构成一个动态循环的管理体系。
1. 企业法律风险的识别
风险管理的主旨不在于消除风险,因为那样只会把获得回报的机会浪费掉,风险管理所需要做的应该是对风险进行管理,主动选择那些能够带来收益的风险。根据法律法规本身的特点和作用,法律风险识别的内容应当是以法律风险的核心要素作为识别重点,结合企业的实际状况,把企业可能涉及的法律风险,包括风险成因、企业经营活动涉及到的法律法规、可能面临的法律风险和后果、相关的案例、涉及的法律主体责任等信息识别出来。将这些风险要素按照一定的逻辑关系,构建一个相对完整和系统的法律风险基础数据库。
法律风险管理工作是一项经验管理,但是基于一定的历史数据资料的管理。企业法律风险点的积累是需要有经验的法务人员长期研究和总结。仅从法律法规当中总结归纳风险点,不客观也不现实。应当是随着经验和实际情况的积累,逐渐补充和丰富法律风险点。因此,对企业以往遇到的情况进行分析是至关重要的。对于未来风险的防范我们可以也可以从同类企业中遇到的情况进行分析、总结,加入到对目标企业的风险管理中。
2. 企业法律风险的评价
对企业法律风险的评价,分为定性分析、定量分析和定序分析三个层次。一是法律风险的定性分析,主要是分析法律风险的属性和类别。法律风险的属性包括民事法律风险、行政法律风险和刑事法律风险等。法律风险的类别包括违约风险、侵权风险、违规风险、怠于行使权利的风险等。二是法律风险的定量分析,主要是通过一定的计算方法,对法律风险进行量化分析,评估风险发生的可能性。即对风险发生概率和风险的损失度进行综合评估和判定。三是法律风险的定序分析,在定性和定量分析基础上,将对企业有重大影响的风险进行甄别、排序和分级,确定重大风险。
定序分析方法对于企业排列法律风险点,找出哪些是应当优先解决的法律风险,哪些是可以忽略不计的风险有着重要的意义。因为企业面临的风险往往较多,对每一个风险都专门进行管理是不现实的。因此,企业有必要将重要的、对企业有重大影响的风险进行筛选、甄别,按重要性排出法律风险清单。
3. 企业法律风险控制
法律风险控制是指企业对评估出的法律风险从战略层面到具体风险解决方案的制定和实施的一系列过程。制定和实施法律风险控制方案包括以下工作流程。一是强化风险管理的组织职能。合理设置法律风险管理的组织机构和人员配置,明确风险管理部门和人员的职责,建立起批准、授权制度、考核方法、奖惩制度等。强化风险管理部门和人员在企业决策中的咨询作用。二是优化风险管理的各类制度、流程和文本。将法律风险管理与企业经营管理有机地整合在一起,使企业日常工作的制度、流程、文本同时成为应对法律风险的防线,实现企业合法权益的最大化、法律风险的最小化。三是适当分配风险管理的资源配置。企业需根据法律风险管理计划,制定可行的方法,为法律风险管理分配适当的资源。设立或调整与风险控制相关的组织机构、人员、增加资金投入等。同时,法律风险管理人员需要具备特定经验和能力。为提高法律风险管理的收益水平,根据企业内部条件和管理需求可引入信息管理系统,提高信息沟通和管理的效率。
4. 法律风险的测评
篇10
开展建设工程项目风险管理审计既是落实国资委关于“中央企业开展全面风险管理指引”精神的需要,也是建设工程项目安全运行的内在要求,其意义无疑是十分重大的。但建设工程项目风险管理审计是一个全新的审计课题,涉及了多个学科领域的内容,在广泛意义上,风险无处不在,但如果把建设工程项目风险管理审计搞成一个包罗万象的工作,或者演变成其它的专项审计,就失去了它本来的意义。在目前状况下,开展该项审计的一个十分重要的工作就是要理顺审计头绪,明确审计的内容和程序,因为这个问题不搞清楚,建设工程项目风险管理审计难免会荒腔走板,或者主次颠倒。
一、建设工程项目风险管理审计的内容与对象
(一)关于审计内容
建设工程项目包括了从规划、立项、设计、招投标、合同、施工、物资采购,以及竣工验收等一系列重要过程,是否每一个过程的风险问题都纳入审计的内容,或者说都作为重点审计内容,这要对项目本身情况、工程项目各个阶段的风险特征,以及风险管理审计的内在要求等方面进行认真的分析。首先,就广泛意义而言,工程项目的规划、立项这二个阶段的风险无疑是工程项目最大的风险之一,但是,这些风险不但受更高层次的发展规划和投资战略决策的约束,而且受国家宏观经济政策的制约,项目规划和立项的风险是经济发展过程中所必须面临的风险,它不由项目本身的建设或施工过程来决定,因此规划和立项本身不构成建设工程项目风险管理内部审计的内容,而是构成审计过程中需要关注的影响因子。其次,项目设计阶段对工程项目产生的主要风险是项目的设计标准问题,它影到项目的防灾抗灾能力和投资收益能力,而设计标准又主要受项目规划(地方经济发展有联系)和立项的约束,因此,项目设计标准也不构成项目风险管理审计的主要内容,但是否按标准进行设计是审计关心的主要问题。另外,项目设计在整个建设施工过程中具有较强的动态特征,所以涉及到项目设计变更和设计过程中的不确定性是审计的重要内容。
根据前面的分析,这里可以对建设工程项目风险作如下定义:它是指建设工程项目从设计、招投标、合同、物资采购、施工、竣工验收等这一系列过程中,由于未来的不确定性对项目的质量、工期、事故责任体系和防灾体系的安全目标的影响以及由此引起的法律责任。这个定义包含了下列几个要点:第一,有限时期;风险发生在项目从设计到竣工验收整个建设施工期间,它不包括项目规划、立项和交付使用这三个阶段。第二,包括了纯粹风险和机会风险;在大部份的文献中,把风险定义为损失的不确定性,排除了机会风险,这与国资委的关于风险的定义有很大出入。第三,强调的是不确定性;对于确定性的损失或收益,就不能再当成风险问题。第四,约束目标的有限性;一方面,每个工程项目从不同的视角出发会有不同的目标,另一方面,对于一个建设工程项目,风险无处不在,无时不在,上述定义将风险约束于建设工程项目的质量、工期、事故责任和防灾四个基本目标,尽管这四个目标之间会有一定的因果关系和交叉关系,但这样定义仍然是有意义的,它不仅反映了建设工程项目自身的特征,也使风险管理审计目标更趋明确。第五,重视法律责任所产生的风险问题;法律责任贯穿了整个工程项目的建设周期。
(二)关于审计对象
首先,要分清风险管理与风险管理审计的区别,也就是说审计的对象是风险还是风险的管理。由于审计本身就具有管理职能,如果不能准确区分风险管理与风险管理审计,难免会使工作重复低效乃至于d俎代疱。按照国资委在“中央企业全面风险管理指引”的第十条要求,具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。由此可以看出,风险管理是内部审计部门自身承担的工作之一。内部审计部门从事风险管理,区别在于内部审计是对风险管理的职能部门和业务单位所从事的风险管理工作进行监督和评价,或者说内部审计更强调的是,对这些职能部门和业务单位的风险管理工作中的不确定性进行管理,从这个意义上说,风险管理审计是风险管理的风险管理。因此,风险管理与风险管理审计是同一管理过程在不同层次上的反映。
其次,要注意建设工程项目风险管理审计与建设工程项目审计的区别。建设工程项目审计是对工程项目管理全过程经济活动的真实性、合法性和效益性进行监督、评价和审核;它强调的是真实性、合法性和效益性问题,关注的对象是项目建设过程的中各项经济活动。而建设工程项目风险管理审计强调的是管理活动的充分性、存在性和有效性问题,关注对象是各项经济活动不确定性的管理,以及管理的不确定性问题,它要回答两个问题:一是对项目的不确定性问题是否进行了管理、管理是否充分;二是该项管理自身存在的不确定性是否会导致管理无效。
根据前面的分析,可以作出如下定义:建设工程项目风险管理审计是对建设工程项目从设计到竣工验收整个过程中,以保障项目的质量安全、工期安全、事故责任安全和防灾能力安全为目标,对各种经济活动的不确定性问题管理的存在性、充分性,以及由于该管理活动的不确定性而产生的管理的有效性问题进行监督、评价和审核。
二、建设工程项目安全风险控制与内部审计目标
建设工程项目具有投资大、建设周期长、专业性强、风险影响面广等特点,涉及土建、安装、信息化与通讯、调试等子项目,对这类项目进行风险管理是一个十分复杂的系统工程,因此,对内部审计而言,要想通过审计及时并准确地发现风险管理中存在的问题,提出有价值的建议和意见,而在审计过程中又要避免将风险管理审计脱变为一般意义上的审计,这将对内部审计人员提出十分严峻的挑战,从这个意义上说,必须要明确二个问题:第一是项目风险管理的审计目标;第二是项目风险管理的审计框架。
安全是建设工程项目风险管理的中心目标,从风险管理的角度看,安全目标约束于下列三个子目标:一是由质量和工期引起的建设项目投资安全风险;二是由施工过程中引起的事故责任安全风险;三是由自然灾害引起的防灾安全风险。这里,各种政治、经济和社会因素导致的风险、立项和设计导致的风险并没有被包括在安全目标的约束条件中,这是因为,政治、经济和社会风险必然会通过质量和工期等途径的传导,从而引起投资安全风险;又如前面所述,立项与设计风险它本身不由项目建设施工过程来决定,因此这些风险因素如果被纳入到风险管理的安全目约束条件中,有可能使风险管理审计演变成包罗一切的审计,进而造成了什么都审,但什么都没有审好的情形。
受投资安全风险、事故责任安全风险和防灾安全风险约束的工程项目安全风险是建设工程项目风险管理的内在要求,这也是风险管理审计区别于建设工程项目其它审计的最基本的逻辑关系。因而,围绕安全这个中心目标,紧紧抓做项目建设过程中的风险和风险管理不确定性这两个基本内容,建设工程项目内部审计目标必然是:内部审计人员要围绕工程项目的投资安全、事故责任安全和防灾安全这个中心,通过对职能部门和业务单位风险管理活动的存在性、充分性和有效性进行监督、评价和审核,及时、准确地向企业管理当局报告有关信息,适时地对从设计到竣工验收全过程各个环节的风险管理措施和控制缺陷提出建设性的意见和改进措施,协助管理人员更有效地管理和控制各种风险,并帮助企业相关部门和单位有效地担当起责任。
三、建设工程项目风险管理内部审计框架
目前,对于建设工程项目风险管理,审计什么,如何审计等等,这些问题往往与项目的常规审计和风险管理职能交织在一起,如果不能很好的设计其审计框架,难免将使建设工程项目审计失去其本来的价值。因此,在设计其审计框架时要遵循下面的指导思想:
第一,建设工程项目风险管理审计要体现综合性管理审计的性质,既要反映L险管理的本质要求,还要突出建设工程项目的内在特征,同时还要突出重点,有所为,有所不为。
第二,要以便于审计人员实际操作为基本设计目标。
第三,要为企业建立全面风险管理体系提供导向服务。
从前面的定义分析中可以看出,建设工程项目风险管理审计包括二个最基本的要求,一是对职能部门和各业务单位的风险管理活动的存在性、充分性进行监督、评价和审核,它主要考察这些部门和单位对待风险的态度;二是职能部门和业务单位的管理活动本身也具有不确定性,这种不确定性可能会导致一个构建良好的风险管理体系失效,必须对风险管理活动自身的风险进行监督、评价和审核,它主要考察这些部门和单位管理风险的能力。
通过对相关文献的研究和前面提出的三个指导思想,本文将审计框架设计成由目标、项目流程和风险管理构成的一个三维结构模型,每一个维度由若干个审计元素构成:
目标维(Z轴)是一组由四个审计元素构成的集合:
{质量安全,工期安全,事故责任安全,防灾安全};
项目维(Y轴)是由建设施工流程的六个审计元素构成的集合:
{设计,招投标,合同,施工,物资采购,竣工验收};
风险管理维(X轴)是由风险管理的七个审计元素构成的集合:
{环境,风险识别,风险评估,风险处置,信息沟通,内部控制,监督改进};
从上面的结构模型可以看出,各个审计元素在空间坐标系中构成了一个复杂的审计网络,网络中的每一个结点都构成了一个审计对象,为了便于实际运用,将三维结构模型划分为审计模块、审计单元和审计点三个层次:
审计模块。目标维中的四个审计元素(安全子目标)构成了四个审计模块:质量安全模块,工期安全模块,事故责任安全模块,防灾安全模块。
审计单元。审计单元是审计模块的基本构成单位,它是项目维和风险管理维中两两元素构成的一个集合。这样,每一审计模块下面都有6×7=42个审计单元,全部四个审计模块共包括了4×42=168个审计单元。如{招投标,风险评估}、{物资采购,风险评估}就是各个审计模块其中的二个审计单元。
审计点。项目维和风险管理维中的各个审计元素,都可以再分解为若干个作业点和控制点,它们的两两组合就是审计点,如在{招投标,风险评估}这个单元中,招投标又是由标底、开标、评标、定标等一系列作业点组成;而风险评估也是可能是由形成多个控制点,如专家评估、业务部门评估及审计评估等,作业点与控制点两两对应就构成了一系列审计点。审计点是审计框架的最小单位和审计模块(单元)的基本单位。
项目风险管理审计框架的价值在于,首先,它从项目安全的角度明晰了审计目标;其次,它通过对建设周期和风险约束状态的分析,为项目风险管理审计界定了明确的审计范围;第三,它从建设项目的三个维度出发,把项目风险管理审计划分为三个清晰的层次,为审计人员厘清审计思路、找准审计要点提供了可供依据的审计路径;最后,这一框架为风险管理职能部门和业务单位绘制了一张全面的风险控制图,使风险管理人员在最大程度上避免不必要的重大疏忽和遗漏。
四、工程项目风险管理审计的思路与路径
前面构建的项目风险管理审计框架由4大审计模块、168个审计单元、以及成千上万个审计点构成,要对每个审计单元和每个审计点都进行审计既无可能,也无必要,特别是像大型基础设施如电网建设这种类型的工程项目通常集成了多个不同专业的子项目,通常会包括土建工程、安装工程、信息工程、调试等子项目,使电网建设工程项目风险管理审计工作更趋复杂。同时必须看到,项目风险管理审计具有综合性审计的性质,但它不是全能审计,项目风险管理审计应当遵循它内在的要求和逻辑关系。因此,如何运用审计框架,提高审计效率是个必须要解决好的问题,这需要在框架的基础上设计审计的思路和路径:
首先,根据审计的时间点来决定项目风险审计框架的运用,并编制审计方案。由于建设工程项目的建设周期长,在不同时间段上的风险形式与特c具有较大的差异。事前审计、事中审计和事后审计要根据不同阶段的风险状况,对框架中的审计模块、单元及审计点进行筛选,抓做主要矛盾并在审计方案上要区别开来。
其次,要对项目风险进行预估。风险预估考验审计人员的专业判断能力,风险管理审计的专业判断需要根据风险管理审计的重要性问题,依照风险管理原则、方法,按风险管理目标的要求,运用专业方法对机构风险的范围、识别、评析、管理和处理方法等方面进行查证与鉴别,对风险管理及处理方法的合理性和有效性作出评价,捕捉风险征兆。缺乏风险预估的情况下筛选审计框架中的内容可能会导致重大审计风险的出现。在风险预估之前,审计人员要做好知识和信息二个准备,知识准备包括审计专业知识和工程专业知识,信息准备包括各种历史档案和前期审计调查内容等。
第三,要对风险进行分级分类处理。在风险预估后紧接着要根据风险管理的目标和要求对风险进行分级分类,风险分级可用风险发生的频率和危害程度为主要指标,将风险分为若干个等级;风险分类比较复杂一些,选取的指标不同,分类的差异很大,一般可按风险处置方式分类,如分为自留风险,规避风险、转移风险等;也可以项目的分部工程或单位工程把风险分为土建工程风险、安装工程风险、信息工程风险等。风险分类指标的选取无一定之规,但要紧扣目标。
风险进行分级分类的重要作用之一是在控制审计风险的同时,能够将审计框架中的审计数目最大程度地缩减下来。
第四,在运用项目风险管理审计框架时,可采取“自上而下”或“自下而上”的审计路径进行,所谓“自上而下”的审计路径,是指根据风险预估和分级分类后,先确定主要的审计模块,然后向下进一步确定审计单元和审计点;反之就是“自下而上”的审计路径。两种不同的审计路径反映了两种不同的审计思想,前者重视不同风险的相互作用,审计思想重在“面”上的控制,后者则关注重大的和关键的风险点,审计思想重在“点”上的控制。
最后,撰写审计报告要围绕项目安全这个中心,从风险管理职能部门和业务单位对待风险的态度和管理风险的能力这两个方面开展监督和评价,实际上,风险管理的存在性和充分性反映的是一个态度问题,而有效性反映了能力问题。
五、风险处置的审计
风险处置是风险管理流程其中的一个重要环节,由于我国开展风险管理的时间不长,企业在开展风险管理时更多的注意内部控制问题,或者把风险管理等同于内部控制,因此内部审计的重心往往也在内部控制方面,虽然出现这种情况可以追溯到相当多的合理成份,但如果不重视风险处置环节的审计,则风险管理审计与其它的常规审计就会出现趋同现象,浪费了审计资源,从这个意义上说,风险处置的审计是风险管理审计的主要内容。国资委的《中央企业全面风险管理指引》第二十六条,具体提出了风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等七个措施。这里将建设工程项目风险处置措施归为风险规避、风险自留和工程保险三个类型,内部审计人员要对这三种类型要作出如下评价:
第一,对采取某类风险处置措施的依据作出评价;
第二,对采用某类风险处置措施的具体方式作出评价;
第三、对采用某类风险处置措施的影响作出评价。
由于信息不对称,保险公司在承保工程项目风险的意愿受到很大的制约,可能会造成保险合同不公平现象,在可能的情况下,由保险经纪公司承揽工程保险中介服务的情况会成为常态,因此,将保险经纪服务也要纳入审计的范围。另一方面,风险管理的内部审计报告能很好地起到信息沟通作用,也为保险人和被保险对象之间搭建相对公平的平台。
上面关于建设工程项目风险管理审计是从它的一般属性上展开论述的,具体到不同的项目,其风险点的重要性排列会有差别,风险管理的目标也不尽相同,因此在审计的程序和方法上要有所区别,但其基本的审计框架是可以相互套用的,有一点需要注意的是,对某些工程项目,如电力工程项目、水利工程项目等,一旦出现风险事件发生,则有可能就是社会风险事件,理所当然地要提高风险管理目标的约束条件,在项目风险管理审计框架中的目标模块就要有相应的调整。
在审计实践中,往往遇到的情况是十分复杂的,在一个项目的风险管理审计前,对各种可能的情况事先作出估计,同时制订周密完整的审计方案和计划是审计工作成功的重要保证。
参考文献:
[1]国资委“中央企业全面风险管理指引”,2006年发
[2]美国coso制定.企业风险管理――整合框架[M].东北财经大学出版社,2005
[3]卓继民.现代企业风险管理审计[M].中国时代经济出版社,2005
[4]谭丽丽.固定资产投资控制与内部审计[M].中国计划出版社,2002
