1.国家税务法律的不健全
目前,国家颁布的税务法律还不健全,税务法律的有关内容还存在瑕疵。在依据相关法律条文的规范下,企业制定符合本企业特点的财务制度和税务处理制度,并开展正常的生产经营活动。但是有关的国家法律制度还存在很多问题。比如,在2009年,国家税务总局颁布的有关企业税务风险的《大企业税务风险管理指引(试行)》,该文件中存在很多问题,比如,文件的内容很呆板,实际操作性不强,该文件给出了具体的税务风险管理的原则和岗位职责,也包括具体的监督和改进机制以及信息管理的内容。但是每一个企业的行业性质、经营特点、企业规模不一样,在笼统的制度规定下,进行实际的税务风险管理与控制是不可行的。
2.企业税务风险控制力度不强
在企业的税务风险管理控制中,还有一些企业没有组建专门的风险管理部门,没有具体的税务风险管理与控制的人员开展工作,税务风险的管理更是无从谈起。当真正发生税务纠纷事件时,企业的领导者不知道从哪里可以发现税务风险,更别说找到税务风险发生的原因和如何降低风险,这也给税务风险的善后工作制造了困难。目前,税务风险的控制主要是定性的指标,可信度不强,说服力较弱,因此,应该建立一个系统的全面的税务风险控制的定量指标。目前,企业还不存在反映企业全面税务信息的报表,企业相关的税务信息大都是在财务报表中找到,财务报表中一般会有营业税金及附加、应交税费和所得税费用等会计科目,但是这些会计信息的反映一般比较笼统,不具体不详细,不能达到税务风险管理的要求。因此,企业可以考虑建立完善的税务量化指标,从而加强对税务风险的管理与控制。
3.企业税务风险管理人才不足
目前,我国的税务风险管理的研究起步较晚,大多是借鉴国外的研究经验,适合我国国情的税务风险管理控制的理论研究还很不成熟,税务风险管理的人才更是少之又少。随着税务风险案例的不断涌现,现在的企业管理层已经注意到税务风险管理控制对企业发展的重要性,有些企业在税务风险管理与控制上已经投入大量的资金和人力,但是这是一个漫长的过程,现在缺乏拥有税务风险管理的专业人才,尤其是在税务筹划和风险控制方面。另外,有的企业设置了税务风险管理的专门的岗位,但是这些职位的岗位要求很高,有的企业招聘不到具备专业资格的人才,从而出现这些职位形同虚设的现象。
二、企业完善税务风险管理控制的对策
1.增强对税务风险管理控制的重视
在实际的企业经营中,税务风险是客观存在的,企业管理人员必须加强对税务风险的重视。管理者应该增加税务风险的管理意识,防范风险的发生,只有增强风险防范的意识,提高警惕,才能及时的发现风险,并提出解决问题的对策。企业在增强风险防范意识和及时处理税务风险外,还应该不断提高企业的财务管理水平,完善财务管理制度。企业的领导者应该做好宣传工作,不仅要求财务人员重视税务风险,还要要求其他职员重视提高税务风险的意识。尤其是房地产行业更应该加大重视,规模大、利润高的房地产行业涉及8个税种,包括金额较大的土地增值税。2014年税收专项检查大幕已经拉开。在往年的税收专项检查的数据统计中,房地产行业成了查补税款的“大户”,有些年份甚至占到全部查补税款数额的一半。
2.不断完善税务法律制度
为了有效的管理和控制企业的税务风险,相关政府部门应该建立符合单位经营特点和业务规模的税务风险管理法律制度。目前,正在实行的是2009年的大企业税务风险管理指引(试行),随后有地方的海南省国税局以提高税法遵从度为目标引导帮助大企业建立完善税务风险内控机制,以及广东省茂名市地税局三措施提升大企业防范税务风险能力等地方性的政策指引。但是,这些税务风险法律制度,不能满足不同类型和不同规模的企业防范税务风险的要求。另外,企业应该依据相关税收法律制度,不断完善企业内部税务风险管理控制的信息沟通机制,及时地传输税务风险信息。
3.增强税务风险的控制力度
企业应该进最大可能控制风险,最大化降低损失。在税务风险发生前做好风险防范措施;当企业面对税务风险时,应该及时地找到风险发生的原因,找到应对风险的方案。增强税务风险控制强度时,首先是确立企业税务风险管理目标,健全税务风险防范机制,将企业税务风险管理控制作为企业风险管理和内部控制制度的重要组成部分,具体可以采用税源监控、纳税评估的开展、进行税务检查等一系列工作,并客观处理税务风险,针对不同等级风险实施不同的、实用的风险管理应对方案。企业可以采取资金储备的方式应对税务风险,在风险发生时,利用储备资金应对资金紧张的压力,同时,企业也可以提高银行信用,这样才能保证及时的筹集到资金。
4.培养高素质的税务风险管理控制人才
现在,在高校的课程中已经出现了税务筹划方面的课程,但是,讲授课程的教师一般是做理论研究的学者,并没有实际的税务处理经验,税务风险的管理与控制的经验更是欠缺,并且课程讲授的对象主要是高校的学生,受众面较窄,税务风险管理的人才输出数量较少,不能满足众多企业的需求。另外,税务风险管理的工作要求高,需要改专业人员必须具备财务和税务方面的专业知识,同时还应该具备税务风险识别、管理、控制方面的知识。税务风险管理人才还应该具有敏锐的观察力,及时的学习和了解最新的财税政策,并将其运用到实际的税务风险管理控制的工作中去。
三、结语
法律风险是企业经营发展过程中不可回避,也难以避免的一个问题。在多元化的社会环境之下,企业所面临的法律风险是多样化的,这也就为企业法律风险管理带来了巨大的难度。从实际来看,企业法律风险的具体表现主要体现在以下几点。
1.1违规风险
违规风险是指企业所发生的行为违背了现行法律法规,所需要承担的法律后果。从实际来看,企业违规风险主要表现在:
(1)企业设立风险。如企业设立不符合法律规定,并存在不规范运行等问题。
(2)并购风险。随着企业的发展需求,企业在实施并购的行为中,由于并购涉及的法律面广,且程序比较复杂,这就增加了法律风险的可能性。
(3)用工风险。企业与职工签订劳动合同,既是自我保护的一种形式,也是确保职工合法权利的有力举措。但是,由于用工行为不规范,在违约、辞职等方面,存在违反法律的问题较多。
1.2违约风险
违约风险是指企业在经营发展中,不按交易的约定履约,进而需要承担相应的法律责任。对于现代企业而言,违约风险比较频发,其是影响企业发展的重要因素。具体而言,企业违约风险主要表现为:企业在合同订立、转让以及生效、履行中,由于某些因素导致企业难以履行约定,造成违约风险的出现。
1.3侵权风险
在法治社会,侵权行为的发生对于企业的发展影响较大。如企业在发展中发生环境污染等侵权事件,或企业在发展过程中侵犯知识产权等。
1.4不当行为风险
企业在发展的过程中,出于对利益的追求,进而在经营发展过程中采取不当行为,谋求自身的利益,由此所带来的法律风险并存。一方面,企业法律意识淡薄,在相关行为的发生过程中,缺乏对所做行为的正确认识。如在涉外反倾销中,缺乏应对的积极性。另一方面,在经营发展的过程中,企业缺乏自我保护,且对外部法律环境不是十分了解,进而在法律问题的处理等方面比较缺乏。
2企业法律风险管理的现状
现代企业改革发展的重要着力点在于可持续发展战略的有效实施,这就强调法律风险管理的狠抓落实。但是,从实际情况来看,现代企业法律风险管理仍存在诸多的问题与不足,如企业法律风险管理缺乏重视、管理机构职能不完善等现实问题,在很大程度上制约了现代企业可持续发展的战略步伐。
2.1法律风险管理落实不到位,管理机构职能不完善
当前,不少企业尚未建立专门的法律机构,未使法律风险管理得到有效落实。一方面,所建立的法律部门缺乏独立职能的体现,受制于企业部门的管理或影响;另一方面,管理机构缺乏完备的规章制度,法律风险管理更多的是一时之风,缺乏长效工作机制的构建。因此,企业法律风险管理缺乏足够的重视,流于形式下的管理状态,无益于企业法律风险管理作用的有效体现。
2.2法律风险意识不强,合同风险偏高
企业法律风险意识的提高,是防范法律风险的重要基础。而不少企业缺乏法律风险意识,在主观能动性上缺乏行为的支撑。首先,企业合同法律意识薄弱,在合同行为的过程中,规范程度不高、内容漏洞百出,潜在的风险明显增加;其次,企业缺乏有效的合同审查论证,尤其是违约责任条款的落实,是合同风险偏高的重要因素。在实际中,一些企业在合同签订的过程中,前期的调研论证工作不足、签约行为草率等,都在很大程度上增加了企业经营发展的风险,不利于企业可持续发展战略的实施。
2.3法律风险管理缺乏重视,相应的投入不足
法律风险的发生,一方面影响了企业正常的经营发展;另一方面不利于企业品牌的构建。因此,注重法律风险管理的实施,是企业不可或缺的重要管理内容。但是,企业领导层缺乏对法律风险管理重要性的认识,管理工作缺乏实质性构建。首先,专业人才缺乏,不利于法律风险管理的落实;其次,缺乏资金的投入,尤其是在管理人员的教育培训等方面,缺乏相应的制度构建。
3强化企业法律风险管理的应对措施
法律风险管理的强化,关键在于如何夯实其实施的内外环境,并逐步建立完善的法律风险防范机制,健全监督体系,从本质上优化企业法律风险管理。那么,具体而言,强化企业法律风险管理,应切实做好以下几个方面的工作。
3.1强化法律风险管理意识,夯实实施的内外环境
良好的意识形态,是提高法律风险管理实施效率的重要保障。一方面,企业管理层要认识到法律风险管理的重要性,并作为企业内部管理控制的重要内容,狠抓落实;另一方面,企业管理层要提高文化素质,尤其是在法律知识、风险防范等方面,要提高相应的防范意识,确保企业可持续发展。因此,首先,夯实法律风险管理在企业内部控制管理中的重要地位,并建立相应的工作机制,确保法律风险管理落实到位;其次,企业要营造良好的氛围,扩大宣传力度,提高企业上下参与其中的积极主动性;最后,企业管理层要强化法律知识学习,提高法律知识水平,将企业经营管理、法律纠纷处理等纳入法制化轨道。
3.2建立完善的法律风险防范机制,严格法律把关
现代企业要适应市场经济发展的需求,逐步建立完善的、专门的法律防范管理机构,切实将法律风险管理纳入新的发展轨道。这就需要:
(1)强化人才培养与引进,建立一支高素质、专业化的法律管理队伍;
(2)推进以总法律顾问制度为核心的法律顾问制度建设,全方位完善企业法律风险防范机制;
(3)立足企业发展改革的需求,严把企业决策、知识产权等方面的法律风险,确保企业可持续发展;
(4)坚持事前防范、事中控制的工作原则,确保工作落实到位。
3.3建立动态监督体系,提高法律风险管理的有效性
2.施工企业工程项目管理中面临的风险及应对策略
2.1投标风险及应对策略
2.1.1风险分析。目前建筑行业的竞争越来越厉害,企业总是千方百计希望拿到项目,为项目的投标做很多的准备工作,一个企业如果拿不到工程项目,就无利可谈,为投标而付出的人财物也只能由投标企业买单;如果低价中标或招标文件中有对承包企业不利的条款,或投标报价时计算失误,漏计项目,取费不当,或由于其他原因造成经营管理失败而亏损,再加上投标市场上的不规范操作和不正常因素,都会给施工企业带来巨大的风险,这就需要施工企业有预防投标风险的应对策略。
2.1.2应对策略。首先施工企业在投标前要做好信息搜集工作,并对这些信息进行有效的分析,包括竞争对手的实力分析,企业自身实力分析和对所投标项目的盈利能力分析,从而来决定企业是否要进行投标;其次在企业决定投标的前提下,企业要认真的做好投标报价工作。现在《建设工程工程量清单计价规范》在建设工程中全面推行,它是由施工企业结合自身的生产效率、消耗量水平和管理能力与已储备的本企业报价资料,考虑适度的风险进行投标报价,一旦报价确认,是不能轻易改变的。这种工程承包形式的单价风险全部由施工企业承担,而在现有条件下,这种工程报价的一次性风险较大。所以企业一定要由企业自身的企业定额,投标报价还要由专业的造价管理人员来编制,以防出现计算失误,漏计项目等风险,并且编制过程中要对市场价格的变动做合理的预测,防止出现取费不当的风险。
2.2合同履行风险及应对策略
2.2.1风险分析。目前国内建筑市场的恶性竞争导致施工企业工程利润长期在低水平运行,并且许多工程尤其是重大工程都采取造价包死的计价方式,而且合同一般都约定,造价一次包死,履约中不做任何调整,但这种承包方式往往没有同时对履约过程中的材料设备价格上涨的风险设定相应条款,也不设定施工过程中采购或准备材料设备的工程预付款,且发包人拖欠工程款的情况相当严重,而施工企业由于项目现场管理不到位,签证资料不完善导致工期延误或者出现工程质量问题而引发业主提出高额索赔,最终导致施工单位倒赔钱的案例屡见不鲜。所以施工企业应该加强施工合同管理,有效规避合同履行风险。
2.2.2应对策略。首先施工企业在签订合同时应该认真地研究合同的各项条款,尤其是不能放弃优先受偿权,这是保证企业在完工后顺利取得工程款的有效合法的途径;其次在施工过程中对于各种变更做到勤签证,为索赔工作打下基础。面对现在建筑企业的恶性竞争,“低中标、勤签证、高结算”已经成为建筑行业的黄金定律。企业在施工过程中要做到:(1)工地(地盘)会议记录和有关工程的来往信件妥善保管;(2)搜集各种施工进度表,包括业主代表和分包编制的进度表;(3)妥善保存施工备忘录(日记);(4)做好业主、设计方和监理方的口头指示记录,及时以书面形式报告业主、设计方和监理方,并予以承认。将他们的书面指示按年月日顺序编号存档。(5)收集记录每天的气象报告和实际气候情况;(6)整理保存工人和雇员的工资与薪金单据、材料物资购买单据,按年月日编号归档;(7)完整的工程会计资料,包括工卡,人工分配表、注销工资薪金支票、材料购买定货单、收讫发票、收款票据、账目及有关图表、财务信件、经会计师核证的财务决算表等;(8)所有的合同标书文件、合约图纸、修改增加图纸、计划工程进度表、人工日报表、材料设备进场报表及账单(工程付款单)等需归类保存入档。为索赔工作做充分的准备工作[3];再次企业应该要求把涨价的风险和业主一起分摊,涨价幅度在一定范围内时由施工企业自身承担,而超过这个幅度时就应该由双方一起分担。近年来建筑材料和设备大幅涨价,其中钢材上涨幅度高的已达50%,由此产生的全部市场风险由建筑企业承担的做法显示公平,施工企业应该避免这种不合理的条款。
2.3法律风险及应对策略
2.3.1风险分析。施工企业的法律风险主要是法律不完善和法律执行中所形成的风险。现行法律在维护公平和约束建筑市场的两大主题的权利、义务方面存在着缺陷,而且即使有法可依,有法不依的现象也广泛存在,这样必然导致承包商依法行事后,其利益得不到依法保护,而且这种风险是承包商在正常情况下不可预防的。工程建设行业法制建设的步伐,与整个行业市场化的进程还有很大差距,而这种差距给企业在发展上所带来的风险也是企业必须高度关注的。
2.3.2应对策略。施工企业在签订合同前,对相关的法律做详细的研究或聘请专业的法律人员参与到施工管理的全过程,并且对本行业的法律进行认真的分析,利用对自己有利的法律条款来维护本企业的利益。
2.4信誉风险及应对策略
2.4.1风险分析。企业因多种原因,如工程质量引发事故、安全事故、亡人事故、;劳资纠纷和债务纠纷等被公众媒体曝光,使企业公信力和无形资产严重受损,影响企业营销活动。
2.4.2应对策略。首先施工企业要做详细的施工计划,制定安全防范措施,安排固定的人员对施工现场的安全进行管理;其次对可能出现的事故进行全面的投保。并且在出现事故时要积极的处理事故,而不能逃避,以避免施工企业信誉的丧失。
3.施工企业工程项目风险管理工程项目建设需要耗费大量的人力、物力和财力。工程项目风险管理直接影响企业的经济效益,通过有效的风险管理,企业可以对自己的资金、物资等资源做出更加合理的安排,从而提高其经济效益。如果企业忽视风险管理或风险管理不善,则会增加发生意外损失的可能,扩大意外损失的后果。与西方企业和国内其他先进行业相比,我国施工企业在风险管理上存在不小的差距,我国承包企业对风险管理知识、风险管理的方法不熟悉,风险管理法规和制度不健全,工程担保和工程保险体制发育迟缓,既是产生经济风险的原因,也是对风险管理乏力的表现。施工企业目前的风险管理状况已不能适应市场环境发展变化的需要,因此加强完善风险管理是施工企业面临的一项紧迫任务。
3.1要提高风险意识,把风险管理纳入企业的经营管理中。提高风险意识是施工企业进行风险管理的首要工作,他要求企业管理人员应充分认识到企业经营管理过程中可能遇到的风险,并把风险管理纳入日常的经营管理工作中去,把风险管理融入到经营管理的每个环节,尤其对系统性风险有清醒地认识和管理措施[4]。
3.2认真确定风险管理目标。对施工企业来说,风险管理的目标主要就是降低安全事故、质量事故发生的可能性和减少风险中的损失,结合企业实际开展事前防范和事后补救,事前要以最经济的方法预防潜在损失或以较少的风险成本投入,获得最大的安全保障及利益。事后要能尽快部分或全部恢复生产,尽可能减轻或消除不良影响[4]。
3.3成立适应企业发展需要的风险管理组织。有条件的施工企业应建立相应的风险管理机构,暂不具备条件的也应设专人进行风险管理,风险管理机构及人员不仅要熟悉企业本身的业务而且要掌握先进的风险管理理论和方法。企业不仅要充分利用内部的风险管理人员,也要充分考虑外部风险管理公司咨询专家的意见[4]。
3.4选用适当的风险管理办法和处理风险的手段。企业要以系统思维的方法去解决企业风险管理问题,从整体上和全局上分析研究,不仅要研究分析各要素之间的相互联系,从系统整体的角度优化系统。当前处理风险的主要手段包括:风险回避、风险保留、风险转移、防损与减损、购买保险等[2],在转嫁风险的多种手段中,参加保险不是唯一的途径,但它是简便易行的选择[4]。
3.5创建高效的风险管理信息系统。风险的产生来源于信息的不完全,不对称,因此要搞好风险管理就必须有话整个信息流程,创建高效的风险管理信息系统,运用这个系统可以在第一时间把相关信息传给信息需求者。施工企业可以用现代计算机网络技术,特别是企业局域网络来建立风险信息管理系统[4]。从总体上看,我国的工程项目风险管理水平与发达国家之间存在较大的差距,影响着我国工程项目管理水平的提高,施工企业应参照国际惯例,结合我国国情,尽快建立起适合我国国情和便于参与国际竞争的全面风险管理机制。
参考文献
[1]邓铁军.工程风险管理[M].北京:人民交通出版社,2004
[2]顾孟迪,雷鹏.风险管理[M].北京:清华大学出版社,2005
[3]林盛发.论工程变更后索赔风险的应对措施[J].北京:中国纺织出版社,2003
[4]刘学强.防微杜渐正当时-现代施工企业风险管理分析[J].施工企业管理,2006年第九期
[5]韩立君,袁大祥.施工企业面临的风险及对策分析[J].科技情报开发与经济,2006年第五期
风险作为客观存在,要求人们考察研究风险时,要从决策角度认识到风险与人们有目的活动、行动方案选择及事物的未来变化有关。风险的形成过程和风险的客观性、损失性、不确定性特征共同构成风险形成机制分析和风险管理的基础。
人们一般对风险持厌恶态度,都想减小风险损失,追求风险与收益的均衡优化。风险管理的提出与发展与企业发展状况、社会背景密不可分。风险管理作为一门管理学科,首先在美国应运而生,之后传到西欧、亚洲、拉丁美洲。美国大多数企业都设置专职部门进行风险管理,许多大学的工商管理学院都开设风险管理课程。风险管理作为一门科学与艺术,既需要定性分析,又需要定量估计;既要求理性,又要求人性;不但需要多学科理论指导,还需要多种方法支持。
源于风险意识的风险管理主要包括风险分析、风险评价与风险控制三大部份。根据风险形成的过程,风险分析需要进行风险辨识、风险估计。风险估计需要进行频率分析与后果分析,而后果分析又包括情景分析与损失分析。通过风险分析,可得到特定系统所有风险的风险估计,对此再参照相应的风险标准及可接受性,判断系统的风险是否可接受,是否采取安全措施,这就是风险评价。风险分析与风险评价总称为风险评估。为进行风险定量化估算,要进行定量风险评估(QuantitativeRiskAssessment—QRA)。在风险评估的基础上,针对风险状况采取相应的措施与对策方案,以控制、抑制、降低风险,即风险控制。风险管理不仅要定性分析风险因素、风险事故及损失状况,而且要尽可能基于风险标准及可接受性对风险进行定量评价。对于以盈利为目的的工业企业也希望将风险损失价值化并给出货币衡量标准。风险管理就是风险分析、风险评价、风险控制三者密切相联的动态过程,见图1。
2、风险管理的组织实施与基本流程
为有效实施风险管理,企业应由专门的组织及相关人员按一定程序组织实施风险管理工作。据《幸福》杂志对美国500多家大公司的调查知,84%的公司由中层以上的经理人员负责风险管理。风险管理的趋势是董事会下属设立风险管理委员会全面负责公司风险管理,组织实施的流程是:①制定风险管理规划;②风险辩识;③风险评估;④风险管理策略方案选择;⑤风险管理策略实施;⑥风险管理策略实施评价。
3、电力企业定量风险评估(QRA)
电力企业QRA的建立与发展从内部来看,不仅已有可靠性分析、安全分析、质量管理、项目管理等各专业分析作基础,从外部而言有电力用户、政府与社会公众、咨询机构等众多相关主体的关注。电力企业QRA对企业的作用主要体现在:通过QRA有利于企业将风险水平控制在规定标准的风险水平之内,并符合最低合理可行原则;通过开展QRA可帮助企业全面识别风险,并按轻重缓急排序,以有助于管理者将精力、财力、物力集中于风险控制的重要紧急领域,使风险管理决策更为合理、效果更好、成本最小;通过对各种风险控制方案或安全改进措施进行QRA,使决策者对方案措施进行优劣选择,为公司提出决策支持。电力企业的风险将对其它企业和主体带来连带影响,并产生放大效应,电力系统安全、可靠、高效、优质是各行各业和政府管理部门共同的愿望。电力企业实施QRA具有现实意义。
3.1电力企业QHA的基本框架模式
电力企业QRA是指在工业系统QRA的基础上,考虑电力系统的技术经济特点及运行规律,结合电力体制改革及电力市场化进程而以概率模型表征的全面风险管理理论方法。为便于实施风险管理,保证风险评估质量,满足风险评估过程各阶段的不同要求,构建如图3所示的适用于电力企业QRA的基本框架模式。在具体实施时,允许依实际情况而有所改变。
3.2电力企业QRA的主要工作内容
(1)确定目标及范围。包括风险管理的目的与意义,待分析系统的设备配置、工作流程、资金、人员、管
理、信息、地区、人文环境等,即确定QRA实现目标和实施条件等。
(2)风险辨识。即找出待评价系统中所有潜在的风险因素,并进行初步分析,通过安全检查看系统是否达到规范要求。风险辩识的基本途径有历史事故统计分析、安全检查表分析、风险与可操作性研究(HZOPS)、故障模式与影响分析(FMEA)、故障模式影响及危急分析(FMECA)、故障树分析(ETA)、事故树分析(ETA)、风险分析调查表、保单检视表、资产风险暴露分析表、财务报表、流程图、现场检查表、风险趋势估计表等。为配合保险公司对出险事项的处理,可采用从下至上的归纳法、从上至下的演绎法及两者综合运用。针对特定风险,可选用基于系统平面布置的区域分析、隐含事件分析、德尔菲法及基于事故树分析的风险事故网络法等。风险辩识不只局限于系统硬件,还应考虑人为因素、组织制度等系统软件。风险综合集成是指对所有风险按其特性类型分门别类加以汇总整理。因电力工业特点及电力市场化改革特点,把电力系统风险按厂网分开的行业结构进行分类。
对于发电企业而言,主要有电源规划风险、报价竞价上网风险、供求平衡风险、市场力抑制风险、备用容量风险、信用风险、法律风险、项目风险、中介机构风险等。对于电网企业而言,主要有电网规划风险、电网融资风险、购电电价风险、电力交易转移风险、辅助服务风险、成本分摊风险、输电阻塞风险、输电能力风险、备用率风险、电力监管风险等。另外,电力企业还将面临电力可靠性、安全性、稳定性风险及电能质量风险等。
风险综合集成后的初步风险分析是对已辩识出的风险进行初步分析评估,确定风险的等级或水平。风险水平低的可忽略不计或仅作定性评估,风险水平高的要在定性分析基础上,进行定量评估。
(3)频率分析。即确定风险可能发生的频率,其方法主要有历史数据统计分析、故障树分析与失效理论模型分析。历史数据统计分析是根据有关事故的历史数据预测今后可能发生的频率。因此要建立
风险数据库,既作为QRA的基础,又作为风险决策的依据。故障树分析作为一种自上而下的逻辑分析法,把可能发生的事故或系统失效(顶事件)与基本部件的失效联系起来,根据基本部件的失效概率计算出顶事件的发生概率。失效理论模型分析是在历史数据与专家经验的基础上,采用某种失效理论模型来计算风险发生频率。
(4)风险测定估计。根据风险特性及类型,运用一定的数学工具测定或估计风险大小。常用方法主要有主观估计法、客观估计法、期望值法、数学模型法、随机模拟法和马尔可夫模型法等。
(5)后果分析。即分析特定风险在某种环境作用下可能导致的各种事故后果及损失。其方法主要有情景分析与损失分析。情景分析通过事件树模型分析特定风险在环境作用下可能导致的各种事故后果。损失分析是分析特定后果对其它事物的影响及利益损失并归结为某种风险指标。
(6)风险标准及可接受性。风险标准及可接受性应遵循最低合理可行(ALARP)原则。ALARP原则是指任何系统都存在风险,而且风险水平越低,即风险程度越小要进一步减少风险越困难,其成本会呈指数曲线上升。也就是说,风险改进措施投资的边际效益递减,最终趋于零,甚至为负值。因此,必须在风险水平与成本间折衷考虑。如果电力企业定量风险评估所得风险水平在不可接受线之上,则该风险被拒绝,如果风险水平在可接受线之下,则该风险可接受,无需采取风险改进措施;如风险水平在不可接受线与可接受线之间,即落人ALARP区(可容忍区),这时要进行风险改进措施投资成本风险分析或风险成本收益分析。
分析结果如果证明进一步增加风险改进投资对电力企业的风险水平减小贡献不大,则该风险是可接受的,即允许该风险存在,以节省投资成本。ALARP原则的经济学解释类似投入要素的边际收益递减规律一样,风险与风险措施投入间的风险曲线也呈边际收益递减规律。3.3电力企业QRA常用方法
根据电力企业QRA的工作内容和实现要求,结合电力企业本身特点,电力企业QRA常用的方法主要有:安全检查表即实施安全检查的项目明细表;故障模式与影响分析技术和故障模式影响分析与致命度分析(FMEACA)技术;风险与可操作性研究技术;事件树分析技术;基于概率影响图技术、人工智能、专家系统、可靠性工程技术期望值法、风险主观、客观估计法、模糊评估法等。
4、结语
电力企业QRA是一项涵盖并以安全工程、可靠性工程、风险分析等为基础的综合研究,在不断总结过去的基础上,通过广泛而深入的调查、精湛而详细的分析、理论联系实际的科学探索而逐渐形成,可以指导现在和预测未来。根据电力企业的行业特点,电力企业QRA不仅已有良好的技术物质基础,而且电力QRA发展必大有用武之地。
一、导言
中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景,该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件,也给我们提出了一个相同的问题:我们的企业到底出了什么问题?就在此时,国际著名的反虚假财务报告委员会(即Treaday委员会)于2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象,废除了沿用很久的企业内部控制报告,颁布了一个概念全新的COSO报告:即《企业风险管理——总体框架》(EnterpriseRiskManagement,简称ERM)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上、还是在要素方面,均有相当大的突破。
在如此赞誉之下的新内部控制框架,它出台的背景与动机又是什么?其具体内容究竟是什么?它能为我国企业内部控制的改善带来什么意义?这是我们需要分析的内容。
二、COSO委员会新报告《企业风险管理——总体框架》解读
内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段(储稀梁,2004)。由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、国际内部审计师协会(IIA)和管理会计师协会(IMA)五大学会共同组成的Treadway委员会,于1992年发表,并于1994年修订的《内部控制——整体框架》报告,标志着内部控制理论与实践进入了整体框架的新阶段,并被世界上许多企业所采用。尽管如此,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合(朱荣恩,贺欣,2003)。2004年10月份的企业风险管理(EnterpriseRiskManagement,ERM)框架就是在1992年报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes—OxleyAct)的相关要求扩展研究得到的。与传统内部控制内容相比,新框架有了较多的变化。这些变化主要包括如下几个方面:
(一)企业风险管理对内部控制内涵的发展
1992年COSO报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点:(1)是一个过程;(2)受人为影响;(3)为了达到三个目标;(4)合理保证。
这个定义尽管非常宽,但从某种角度来说,又比较模糊,存在某些片面性。故原COSO报告1992年出版后不久,就有声音批评该报告缺乏保障资产的概念。例如美国审计总署(GAO)认为,这个文件对于内部控制的重要性的强调还不够,它丧失了提高内部控制监督和评估的机会。美国前总审计长查尔斯。鲍雪(CharlesBowsher)曾经说:“对有效控制的最大需求可能是在信贷组合领域。……一份没有丝毫谈及信贷组合的有关内部控制的财务报告是没有任何用处的。”(CraigJamesL,1993)但当时的COSO主席罗伯特。L.梅(RobertL.May)则认为,保障资产的考虑更适合作为一种经营控制(StevenJRoot,2004)。由于美国审计总署的影响巨大(例如可能使银行等认为COSO报告与其无关),如果COSO报告不根据其要求进行修改的话,从一开始就可能面临被抛弃的命运。最后妥协的结果是,在1994年修订后的报告上,提出了“保障资产的内部控制”的概念,即“预防未经授权的获得、使用或处理资产,…”。可见,这一概念是非常勉强地运用在内部控制框架中。而新的ERM框架非常明确了对保护资产概念的运用。
新报告认为“保护资产”或者“保护资源”是一个广义的概念,资产或资源的损失可能由于偷盗、浪费、无效率或错误的商业决策等。因此,广义的“保护资产”目标范围集中为特定的报告目标,使得保护资产适用于所有未经授权的获得、使用、处置资产。
又如,内部控制与管理活动有什么区别?在原报告中并不清晰。有些对错误纠正的管理行为,并不包括在原有COSO报告的内部控制活动之中。而新的ERM框架已经将纠正错误的管理行为明确地列为控制活动之一。
ERM框架对内部控制的定义明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。对比原来的定义,ERM概念要细化的多。由于新CO.SO报告提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体。同时,ERM又涵盖了内部控制所有合理的内容。
(二)企业风险管理对内部控制目标的发展
在1994年《内部控制——整体框架》中,内部控制有三个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表的,包括中期和简要财务报表,以及从这些财务报表中摘出的数据,如利润分配数据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”,该目标涵盖了企业的所有报告。
除此之外,新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
(三)企业风险管理对内部控制要素的发展
1994年COSO报告《内部控制——整体框架》中,提出了五个要素:控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行深化和拓展,将其演变为八个要素。例如,ERM框架引入风险偏好和风险文化,将原有的“控制环境”扩展为“内部环境”。又如,虽然内部控制整体框架和ERM框架都强调对风险的评估,但风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析(朱荣恩,贺欣,2003)。再如,由于原报告仅提出三个目标,因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息。而新的报告包括了与组织的各个阶层、各类目标相关的信息,这就对管理层将巨量的信息处理和精炼成可控的信息(actionableinformation)提出了挑战。
原COSO报告仅提出风险识别,但是并没有区分风险和机会。ERM框架则将风险定义为“可能有负面影响的事项”,并且引入了风险偏好、风险容忍度等概念,将原有的风险评估这一要素,发展为目标设定、事项识别、风险评估和风险反应四个要素,使得原有的内控五要素发展为风险管理八要素。
(四)相关角色和任务的变化
新老COSO报告都将组织的董事会、管理层和内部审计和其他职员看成是相关责任人。在内部控制框架和ERM框架中,董事会都提供管理、指引和核查。虽然董事主要提供监督,但是也提供指导以及批准战略、一些特殊交易和政策。董事会既是内部控制的重要因素,也是企业风险管理重要因素。ERM框架使董事会在企业风险管理方面扮演更加重要的角色——负总体责任,并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会,董事会需要批准组织的风险偏好。以前,当公司出现丑闻时,很多人问:“管理层怎么让这发生的”?现在,恐怕要问:“董事会怎么让这发生的”?(DanaRhermanson,2003)在新报告中,CEO必需识别目标和战略方案,并且将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标,并与企业的总体目标相联系(GeorgeMatyjewiczetal,2004)。一旦设定了目标,管理层就需要识别风险和影响风险的事项、评估风险并采取控制措施。
在ERM框架中,内部审计人员在监督和评价成果方面承担重要任务。他们必需协助管理层和董事会监督、评价、检查、报告和改革ERM.对于内审人员来说,最大的挑战是在ERM中扮演何种角色?很多内审人员可能被要求提供ERM的教育和训练,甚至“处理企业风险管理过程”。但是,新报告认为:内审人员并不对建立ERM体系承担主要责任。还有文章提醒内审人员不要行使不匹配的职能。(w.R.Kinveg,2003)内审人员职责的另一个变化是从原来对CFO和内审委员会负责,现在可能要对CFO、内审委员会和风险主管(riskofficer,CFO)负责。
在ERM框架中,新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样,在自己的职责范围内建立起风险管理外,还要帮助其他经理人报告企业风险信息,并可能是风险管理委员会的成员之一。
三、以反虚假财务报告委员会的《企业风险管理——总体框架》来解读中航油事件
中国航油(新加坡)股份有限公司是中国航空油料集团公司的海外控股公司。经国家有关部门批准,新加坡公司在取得中国航油集团公司授权后,自2003年开始做油品套期保值业务。在此期间,新加坡公司总裁陈久霖擅自扩大业务范围,从2003开始从事石油衍生品期权交易,同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外,签订了合同。陈久霖买了“看跌”期权,赌注每桶38美元,没想到国际油价一路攀升——2004年10月以后,新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同,中航油需向交易对方(银行和金融机构)支付保证金,每桶油价每上涨1美元,中航油新加坡公司要向这些银行支付5000万美元的保证金,其结果导致中航油现金流量枯竭,实际损失和潜在损失总计约5.54亿美元。(许俊,2004)
事实上,陈久霖这种石油期权投机交易,其股东方中航油集团公司是明令禁止的。国务院1998年8月1日《国务院关于进一步整顿和规范期货市场的通知》、2001年10月11日证监会的《国有企业境外期货套期保值业务管理制度指导意见》都明确规定了取得境外期货业务许可证的企业,在境外市场只能进行套期保值,不能进行投机业务。1999年6月2日国务院的《期货交易管理暂行条例》,也规定了国有企业的期货交易仅限于从事套期保值业务(且命令禁止场外交易),并要求期货交易总量应当与其同期现货交易量总量相适应。
然而,中航油从事以上交易时,一直未向中国航油集团公司报告,而且中国航油集团也没有发现。直到保证金支付问题难以解决、经营难以为继的情况下,新加坡公司才向中国航油集团公司紧急报告。即便如此,中航油公司也没有向集团公司说明实情。而且为了掩饰公司的违法行为,中航油开始向上级公司提供假账,2004年6月,中航油就已经在石油期货交易上面临3580万美元的潜在亏损。但公司仍然一意孤行,继续追加了错误方向“做空”资金,但在财务账面上没有任何显示。由于陈久霖在场外进行交易,集团通过正常的财务报表没有发现陈久霖的秘密,新加坡当地的监督机构也没有发现其有违规现象,因此,才使得中航油事件从一个并不很大的失误开始,酿成为石破天惊的大案、要案。根据上述中航油事件,我们对比ERM框架,认为有如下几个方面非常值得关注:
(一)关注企业风险比关注企业细节控制更为重要
ERM框架最大的变化,就是将企业内部控制更名为企业风险管理,这一变化是有特殊意义的。事实上,包括中航油公司在内,几乎所有的公司都有一大套管理制度。这些制度大到包括对外投资、小到包括差旅费报销等,应有尽有。因此,企业董事会与管理层认为,这些制度的贯彻与执行,就是内部控制的所有内容。其实,企业的管理资源是有限的、控制也是需要成本的。如果将企业主要精力放在所有细小的、或微不足道的控制上,往往会舍本求目,如有些企业在差旅费报销的规定上,长达数十页,极其繁琐,表面上控制得很好,但浪费了许多管理资源,还会忽视企业重大风险。所以,ERM框架要求董事会与管理层将精力主要放在可能产生重大风险环节上,而不是所有细小环节上,将风险管理作为内部控制的最主要内容,这是一个革命性的变化。事实上,中航油公司曾在2003年被新加坡证券监督部门列为最具透明的企业,说明该企业确实在细节方面的内部控制做得非常周到。但是,从事后暴露出的结果来看,恰恰是在经营风险管理上出了问题。所以,ERM框架要求董事会将主要精力放在风险管理上,而不是所有细节的控制上,是非常值得关注的变化。
(二)执行ERM框架比设计内部控制框架更为重要
应该说,任何一个公司都或多或少存在一定的内部控制,否则,公司是无法正常运行的。事实上,中航油公司本身也有一整套内部控制制度,为了追求制度的完美,他们还聘请了国际四大会计
借鉴意义
《企业风险管理——总体框架》对我国其他企业也有很多可供借鉴的地方。如近来发生的伊利股份、创维数码、四川长虹等失败案例或重大事件,或多或少都与企业风险管理缺失有关:2004年12月17日,内蒙古自治区检察院对内蒙古伊利实业股份公司董事长郑俊怀等5名高管人员的经济问题正式进行立案调查,其主要原因是郑俊怀等人在2000年和2001年间未经董事会同意,先后挪用1590万元和1400万元,分别给了呼和浩特华世商贸有限公司和启元有限责任公司用于经营。事后得知:华世商贸公司是伊利公司的第五大股东,它是由郑俊怀、杨桂琴等人以亲属名义注册的私人企业;而启元公司企业法人就是董事长郑俊怀。无独有偶,2004年11月30日,创维数码董事局主席黄宏生,无视公司外部股东利益,绕开现有的董事会,私自将上市公司款项打人自己创办的企业,因此涉嫌盗取公司资金4800多万元,被香港廉政公署拘捕。而老牌上市公司四川长虹则折戟国际市场——因其合作伙伴美国APEx家电进口公司拖欠4.6亿美元巨款而遭受巨大坏账损失,也使得舆论评价四川长虹风光不再。在该案例中,虽然APEX公司是长虹在美国最大的合作伙伴,但是在确定信用政策时,长虹考虑坏账风险的策略是令人难以理解的。因为,长虹是在A:PEX公司拖欠国内多家公司的巨额欠款情况下,还与其签订了巨额赊销合同,如果长虹有合理的内部控制制度,这些情况或许不会发生。
上述案例的发生,或是董事会功能缺失、或是有内部控制制度但在实际业务中没有得到应有执行、或是根本就没有制度。因此,认真学习ERM框架中的所有内容,并将其与企业经济业务紧密结合起来,我们认为对我国企业内部控制制度的重新调整,有一定借鉴意义,也为我们在当前环境下如何建立起一套适合中国国情的内部控制措施,提供了一个新的理论基础。例如,新框架要求,以后再发生类似高级管理人员舞弊问题时,不是问总经理在哪儿?而是要问董事会在哪儿?因此,发挥董事会在内部控制方面的作用是新框架中的一个重要内容。另外,企业风险管理要求高级管理人员将企业风险、而不是所有细节作为控制的主要对象,是新框架中又一主要变化。因此,我们应当关注COSO报告中有关ERM的新发展,这对我们建立一个科学的企业现代制度是大有裨益的。
主要参考文献
储稀梁2004.COSO内部控制整体框架:背景、内容、理论贡献与启示,金融会计,6.
刘明辉2004.加拿大规范企业内部控制的实践与特点。中国审计,6
许俊2004.探密中航油事件:监督缺位下的巨额国有资产流失。转引自/zh_cn/finance/11009723/20041203/11994126.html.
朱荣恩、贺欣2003.内部控制框架的新发展——企业风险管理框架。审计研究,6.
Anonymous.1999.COSOreleaseslandmarkstudyonfraudulentfinancialreporting.FinancialExecutive.Morristown:Vol.15,Iss.3.
Anonymous.Dec2004.EnterpriseRiskManagement:NewERMModelIsEssentialtoFinancialReportingControls.IOMA''''sReportonFinancialAnalysis,Planning&Repotting.NewYork:Vol.04,Iss.12
Scott,October2004,COSOERMReleased,InternalAuditor
Benson,Tony.1975.CHANGINGNEEDSOFINDUSTRY.Accountancy.London:FEB.Vol.86,Iss.978;p.66.
ChristopherEMandel.Dec15,2003.COSOgivesagoodstarttoimplementERM.BusinessInsurance.Chicago:。Vol.37,Iss.50;p.12.
Craig,JamesL.1993,Acallforleadership.TheCPAJournal,ABI/INFORMGlobal;4thpg.6.
DanaRHermanson,Nov/Dec2003.THEIMPLICATIONSOFCOSOSPROPOSEDERMFRAMEWORK,InternalAuditing;ABI/INFORMGlobal,p41-43.
DavidWood,ScottRandall.Nov15,2004.ImplementingERMrequiresintegratedapproach.Oil&GasJournal.Tulsa:。Vol.102,Iss.43;p.28.
DeniseMEnglish;DianeKSchooley;MaryFAlien,Mar/Apr2004;19,2.THEPCAOB$INTERNALCONTROLPRACTICES:ACOSO-BASEDREVIEW,InternalAuditing;;ABI/INFORMGlobal,pg.37.
EllenMHeffes.May2002.COSOStudiesEnterpriseRisks,FinancialExecutive.Morristown:Vol.18,Iss.3;p.16.
EnterpriseRiskManagement-IntegratedFramework,.
FrankCMinter,Feb2002;83,8;DoyourememberCOSO?StrategicFinance;ABI/INFORMGlobal,p.8~9.
GeorgeMatyjewicz,JamesRDArcangelo.Oct2004BeyondSarbanes-Oxley.TheInternalAuditor.AhamonteSprings:Vol.61,Iss.5;p.67-71.
Kelley,ThomasP;Bowsher,CharlesA,Jul1994;TheCOSOreport:AnewaddendumresultsinGAOendorsement,JournalofAccountancy;ABI/INFORMGlobal,pg.18.
LarryWhite.Nov2004.ManagementAccountantsandEnterpriseRiskManagement.StrategicFinance.Montvale:Vol.86,Iss.5;p.6~7.
MichaelBradford.Aug4,2003.FrameworkoffersguidanceonERM;
1.1有效风险管理特征
总结国内外风险管理标准的核心内涵和先进企业的实践经验,有效的风险管理应满足以下基本特征:①有共同的风险语言,并有统一的政策和标准指导ERM实施;②整个组织的风险管理责任经过系统设置,并合理分配到每个员工;③有合适的组织、人员、流程、方法,及时预警识别、评估和应对风险;④有完整的ERM保障机制,实现ERM的动态运转和持续提升;⑤所有的风险都经系统性分析,始终在企业的风险承受范围内实现最优化管理;⑥对重大风险制定了针对性的应对策略及控制方案,并因风险变化而及时调整;⑦ERM融入的日常业务及管理流程中,流程的效率和效果得到统一;⑧在关注风险负面影响的同时,充分利用风险的积极作用;⑨为实现经营目标而将对风险和回报的分析贯穿于具体决策的全过程;⑩风险事件的发生得到及时、有效处理,最大程度减轻企业价值损失;风险管理文化成为企业文化的一部分,并得到全体成员的自觉维护;风险管理成效作为组织绩效考核的重要组成。
1.2国内核电企业全面风险管理水平
国内外主要的ERM标准虽然在形式、内容和侧重点上有所差异,但其管理的主要目标趋向统一,管理的实质趋同。管理只能借鉴,而不能完全复制。基于“核”和“电”的行业特性,我国核电行业ERM探索了符合自身的风险管理道路。中国广核集团在2006年就启动了全面风险管理工作,建立了较完备的ERM体系,并且通过信息化手段较好地落实了ERM工作。中国核工业集团公司的全面风险管理工作始于2007年,核电成员单位作为第一批试点,经过几年的实践和累积,有了一些发展,例如:中核三门核电有限公司的风险管理信息已经能够反映持续管理的效果,并在与业务深度融合方面颇有成绩;中核海南核电有限公司的风险管理结合核安全质保领域,借鉴经验反馈做法,已能做到用信息化手段跟踪部分风险。总体上,核电企业的全面风险管理工作取得长足进步的同时,仍然在风险评估基础、风险管理组织运转、风险管理工作标准、风险的整合管理、重大风险的系统管理、风险管理技术应用、风险管理人才等方面存在普遍问题。
2核电企业的全面风险管理分析
以下基于秦山地区的核电企业的全面风险管理工作具体情况,从企业整体层面介绍全面风险管理开展的主要工作,总结经验和体会。
2.1建立风险管理体系,规划风险管理框架
2008年,中国核工业集团公司开展风险管理试点;2009年,当时的秦山核电有限公司、核电秦山联营有限公司、秦山第三核电有限公司分别完成了风险管理体系建设和全面风险评估;2010~2011年,完成风险评估后,继续开展重大风险监控以及专项评估、风险解决方案落实、风险管理监督检查等工作。对于风险管理,不能仅仅只了解企业的风险管理发展情况,如果能够针对行业和企业情况,有针对性地建立风险管理规划,并筹划企业未来几个月或者几年中的成长步骤,效果会更好;同时,在设计企业自身的风险管理规划时,一定要让企业的最高管理者参与进来,并承担领导责任,否则ERM就不可能发挥作用。
2.2风险分级管理,持续进行监控
风险分级管理有利于管理资源的合理分配。对于风险级别为高的风险,各责任部门制定了风险解决方案和相应的执行计划,落实风险的管控措施。2006~2011年,秦山核电有限公司、核电秦山联营有限公司、秦山第三核电有限公司对外部环境的反应得当,较好地控制了重大风险事件的发生。2011年,在日本福岛核电站事故发生后,秦山核电有限公司内部进行风险排查,对照福岛事故发生原因,分析风险点和应对措施,新增中风险5项,分别为水淹风险、氢爆风险、放射性释放风险、外部突发事件舆情应对不足、停止核电新项目审批等。2011年,核电秦山联营有限公司的扩建项目相关工作陆续进入尾声,相关业务阶段发生变化,导致业务流程或风险源变动,所有变动对风险的影响均为风险等级降低,因此,只剩下“投资总额超出概算”这个高风险。2011年,秦山第三核电有限公司各处室在落实总经理部对风险管理成果“管用、有效、解决实际问题”期望的基础上,制定重大(重要)风险解决方案,并对财务领域风险进行专项评估,风险相关行动项录入系统进行跟踪。
2.3关注重大风险,合理分配资源
重大风险一般包括评估出的高风险;目前虽受控,但一旦发生影响程度极高的风险(如核安全环保风险)和管理改进迫切的风险,一般由专业人员、管理层从公司整体战略角度、风险偏好程度和风险的本质特征等方面考虑,最终确定重大风险。从秦山地区的3家企业—秦山核电有限公司、核电秦山联营有限公司、秦山第三核电有限公司对全面风险管理工作的实践以及高中低风险的评估结果来看:公司风险偏好是保守还是积极、各业务保障资源是否充分、管理层管理的侧重点不同、企业面临的环境政策的不同以及运营电厂与在建电厂不同的特点,这些因素会直接反映到重大风险的数量以及内容的不同,管理层通常会按照确定的公司级别重大风险合理的分配管理资源。
2.4重视风险评估,合理制定方法
风险评估方法是评估思路的体现。风险评估的方法很多,定性方法可采用问卷调查、集体讨论、访谈、专家咨询、情景分析、政策分析、行业标杆比较、调查研究等,定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。具体工作中,常将定性与定量方法相结合。评估成果有风险列表、风险图谱、重大风险模型以及风险事件案例库等。2012年,中核核电运行管理有限公司(简称中核运行)实施了实体化运作后的第一次全面风险评估,由于中核运行的前身即为秦山地区的3家核电企业:秦山核电有限公司、核电秦山联营有限公司和秦山第三核电有限公司,所以其风险管理工作是具有延续性的,但在风险评估时,充分考虑了作为一家整合不久还处于改革过渡期的企业的实际工作情况和特点,设计的评估方法与以往进行了改进。首先,基于目前公司五年规划等工作尚未完成,风险辨识的起点为业务部门职能和目标出发识别风险,保证风险的不遗漏;风险分析阶段,增加了关键因素、风险属性分析,同时对于影响类型进行了进一步划分,有利于风险改进措施的制定,对于风险评价更加客观;风险评价阶段,增加管理改进迫切性这个评价维度,因目前处于流程再造时期,很多基础工作都需要设计和开展,因此,在沿用以前可能性和影响程度2个维度上,增加改进迫切性,使资源合理分配。总的来说,改善后的方法更适用现状,同时更侧重后续的管控。
2.5结合实际情况,做好风险分析
根据评估结果,中核运行将风险分为7类:战略、运营、市场、财务、法律、核安全环保和工程建设风险。战略风险中,战略管理风险和改革风险等级升高。运营风险中,与生产相关的风险,关系到机组的安全经济稳定运行,还应予以持续关注;其他与公司经营相关的风险等级升高,关注度增加,例如,人力资源风险、稳定风险、文件体系建设风险、流程管理风险和社会舆情风险等。市场风险中,除竞争风险、行业风险外,原来识别的主要风险点由于权责分离已转移至秦山地区的业主公司或有了不同的内涵。财务风险中,需给予特别关注且影响程度较高的风险为资产管理、预算管理风险。法律风险中,应特别关注合同风险和合规风险,同时,劳资合同转换的过程中,个体法律纠纷和诉讼事件也应给以特别关注。核安全环保风险的变化不大,原有控制体系发挥作用有效。需关注的是由于福岛核事故的影响,以及安全整改措施的落实,其中会新增部分风险点,同时风险源的识别因素会增加。工程建设风险外部因素风险源影响较大,风险的控制措施较为被动。
除此之外,对于具体的风险分析,在风险源、关键成因、现有控制措施以及风险事件方面还会有以下变化:(1)由于公司转入实体化运作,与原有模式的过渡衔接时间较短,流程多需要重新建立,因此风险源分析多指向设计缺陷。(2)改革作为重大事项,其过渡期的固有风险,例如:流程效率、职工薪酬、职业通道、员工思想等,使目前诸多风险的关键成因指向决策机制。(3)改革中未知因素增多,现有控制措施偏紧,管控政策收紧,例如预算下达与执行、授权体系、人事变动等决策偏保守型控制。(4)改革中,风险不可控程度增加,带来诸多新增风险,风险事件发生增多。
3建议
针对核电企业现状,对下阶段全面风险管理工作提出以下建议:(1)适时开展企业战略的专项风险管理,强调对外部宏观环境风险的敏感性并及时调整风险应对。核电企业距离市场并不遥远,而外部宏观政策环境对于核电企业的影响也非常大,风险管理部门应关注外部宏观环境的变化,学会对风险的面对和管理。(2)在制度中明确必须进行风险评估的工作。包括“三重一大”、高风险业务、重大改革以及重大海外投资并购等,需要通过制度明确附有专项风险评估报告以及风险管理职能部门出具的程序性合规审核结论。善于运用风险的计量和量化分析,执行风险集中、分层和分类管理。(3)推进风险管理的信息化建设。信息化是风险管理与日常经营管理能够深度结合的重要手段,应该利用信息化手段将风险管理固化于业务流程,并与日常经营管理融为一体,同时建立完善的风险预警指标系统以及重大风险备有应急预案,从战略决策层面到具体业务层面都严格执行风险管理流程。(4)风险管理信息的再利用。应该充分利用工作例会的渠道,建立适时风险分析、提示、报告和通报机制,确保与重大风险管控相关的报告能及时直接送达企业最高决策层和经营层。
4结束语
关键词:内部审计;风险管理
每个组织的存在都有其目标,在实现目标的过程中,存在着影响目标实现的不确定性因素。企业管理层的一项重要职责就是要建立一个良好的风险管理体系,来识别、评价和控制风险,为企业目标的实现提供合理的保证。内部审计在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性,提出改进意见,帮助企业改进风险管理与控制体系,从而为企业增加价值。
1企业风险管理体系简介
企业风险管理(EnterpriseRiskManagement,简写为ERM)的实质是企业有效利用各种资源,以战略的方式管理风险,使企业在多变的环境下以稳健的方式运作,从而获得增加价值的机会。在全球竞争激烈的市场中,任何企业都处于动荡多变的环境之中。企业面临的风险越来越多,风险引发的损失规模也越来越大,这些都促使企业对风险管理给予高度的关注。要对风险管理过程的充分性和有效性进行评价,首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求,建立风险管理体系包括相互关联的八个风险管理要素,各要素贯穿在企业管理过程中,为实现企业目标提供保证。
(1)内控环境。主要是在企业中树立风险管理理念,营造一种风险管理文化,包括建立企业的风险文化,制定明晰的战略、目标,明确企业的风险责任人和利益相关者,使用统一的风险语言,为其他风险管理要素打下基础。
(2)目标制定。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实。
(3)事项识别。下列事情可能给组织带来风险:因使用不正确、不及时、不完整、不可靠的资料而导致决策错误;记录有错误、会计核算资料不真实、不完整;资产保护不当;顾客不满意,组织信誉受损;执行组织决策、计划、程序不力,或有违法违规行为;不经济地获取或无效地利用资源;没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。
(4)风险评估。评估风险是ERM执行中关键的步骤之一。在评估风险的过程中要注意选择合适的评估技术,评估风险事件发生的可能性和频繁度,风险事件的潜在影响及其成本的高低,最后绘制一张风险地图。评估风险事件的方法有很多,如定量方法、定性方法,企业可以根据自身的具体情况来制定自己的评估方法。
(5)风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险,企
业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。
(6)控制活动。控制措施就是在接受风险的情况下,评估因接受风险所带来的额外费用和保险费用,评估因控制带来的管理成本和回报。在降低风险的情况下,明确所需的控制活动,评估这些控制活动所带来的成本费用。控制活动还包括评估目前组织、程序、系统和反馈系统管理风险的能力。最后通过控制行为,调整风险地图。风险发生的可能性和频率是很难改变的,最有效的就是通过对风险管理成本的控制,将风险尽量降低到企业可承受范围以内。
(7)信息和沟通。信息系统应当有效地追踪企业当前正在发生的事件以及已经避免的事件。同时企业还要保证有及时的关于企业各个层面的ERM报告。在风险活动中发生的成本费用和控制活动。其次要沟通ERM的有效性和成本费用。保证在企业中有定期的ERM报告,尤其是包括员工的责任义务完成状况以及对ERM的检查情况,CRO和其他重要的执行官要对ERM的有效性和成本加以测量和存档,同时明确向董事会和执行官报告的责任和途径。
(8)监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式,来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。风险不是静态的,风险的数量和可能性会随内外部环境的变化而变化,持续的监控对有效地管理风险是最基本的。通过持续的监控可以使企业明确在下一步的风险管理中应当改进的问题。通过这个环节可以明确ERM可以给企业带来的利益与价值,了解风险评估的正确性,为下一次的评估提供经验教训,明确风险回应决策的有效性,同时还有助于控制成本费用。
从以上八个风险管理要素可以看出,企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。转贴
2内部审计在风险管理中的作用
根据《内部审计实务标准》对内部审计的定义:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。所以在风险管理中,内部审计可以发挥以下作用:
(1)内部审计人员熟悉公司业务并能够随时深入到生产经营的全过程去了解掌握具体情况,收集大量的第一手资料,从中发现存在风险的隐患问题,进行风险分析,提请管理层注意风险管理和控制等的相关建议。
(2)内部审计通过咨询服务方式积极协助公司进行风险管理过程的建立。风险管理是一个复杂的系统工程,在一个组织内部应当明确职责分工,各司其职。董事会负责制定战略目标,高层领导各负责一个方面的风险管理责任,其他管理人员由管理层分配一部分工作,操作人员负责日常监控,而内部审计人员则负责定期评价和保证工作。内部审计师可以促进、协助风险管理过程的建立,但不负风险管理的责任。
(3)内部审计通过将风险管理评价作为审计工作的重点,以检查、评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。
①评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势,确定是否可能存在影响企业发展的风险;检查公司的经营战略,了解公司能够接受的风险水平;与相关管理层讨论部门的目标、存在的风险,以及管理层采取的降低风险和加强控制的活动,并评价其有效性;评价风险监控报告制度是否恰当;评价风险管理结果报告的充分性和及时性;评价管理层对风险的分析是否全面,为防止风险而采取的措施是否完善,建议是否有效;对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确,以及其他审计技术;评估与风险管理有关的管理薄弱环节,并与管理层、董事会、审计委员会讨论。如果他们接受的风险水平与公司风险管理战略不一致,应进行报告。
②评价管理层选择的风险管理方式的适当性。由于各个公司的文化氛围、管理理念和工作目标不同,风险管理的实施也有很大差别。每个公司应根据自身活动来设计风险管理过程。一般说来,规模大的、在市场筹资的公司必须用正式的定量风险管理方法;规模小的、业务不太复杂的,则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。
(4)内部审计应积极持续地支持并参与风险管理过程,对风险管理过程进行管理和协调。在现代企业制度下,公司全面建立了风险管理过程,内部审计因此能够担负起风险管理的职能。首先,内部审计从评价各部门的内部控制制度入手,在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞,识别并防范风险,做出相关评价。其次,内部审计可以深入到企业管理的极细微的环节上查找问题,分析其合理性。内部审计人员更多的是以风险发生可能性大小为依据,深入到经营管理的各个过程,查找并防范风险。再次,内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险,而且各管理部门还有共同承担的综合风险,内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范宏观决策带来的风险。
3将企业风险管理融入内部审计程序
在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致,使这两项工作产生协同增效的作用。
(1)在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划,确定审计项目。
(2)确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。
(3)编制审计方案时,通过风险因素分析来确定审计业务工作重点;在审计实施过程中,通过评价内部控制制度,查找其中的疏漏和薄弱环节;在更新审计范围与计划的内容时,要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时,应该能够反映出风险的重大性与发生的可能性。
(4)在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议。
