企业风险管理构成现代经济组织的核心管理职能之一,并成为未来企业核心竞争力的重要组成部分。风险管理评价作为风险管理有效实现的重要保障,其重要性不言而喻。但从实践来看,主要存在两大不足:一是在操作实践上,往往缺乏统一、整体性的统领机制,各项工作的开展无法形成合力,甚至造成了目标冲突、交叉和重复。因此,有必要构建一个风险管理评价系统,以保证全公司范围内风险管理制度制定和制度执行的有效性。二是在归口管理上,较多企业将风险管理、内控等归口于财务部门,但财务部门负责此项工作容易陷入财务视野的束缚或局限于流程、制度等;相对而言,由内审部门负责风险管理评价工作,一方面更加全面和系统,能够覆盖公司整体各个业务领域,另一方面也能与原有的各项审计工作较好地整合与衔接。 基于此,本文从内部审计视角,对建立电网企业整体的风险管理评价体系进行探讨。 一、理论回顾与实务框架 (一)整体风险管理框架。进入21世纪,随着全球一体化的发展及企业外部环境变化不确定性的增加,传统的风险评价与应对理论已不适应多变的外部环境。COSO在《内部风险一体化框架》的基础上,又提出了企业整体风险管理。该报告指出企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。 英国政府与中国建设银行均应用了整体风险管理的方法,即通过有效利用各种资源,以整体战略的方式管理风险,为组织目标的实现提供合理的保证。 (二)内审视角的风险管理评价。根据IIA(国际内部审计师协会)2001年版《内部审计实务标准》,内部审计工作被定位成是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价,进而提高它们的效率并帮助机构实现目标。《审计署关于内部审计工作的规定》把风险管理作为内部审计的重要领域直接写入了内部审计的定义。 当前,在电力体制改革过程中,随着风险的加剧,企业高层和各职能部门都必须从风险管理角度去安排公司战略、实施各项业务,其中内审部门的职责便是尽早建立“风险导向”或“风险基础”的审计程序和方法体系,从而实现对企业所面临的各类风险及相应风险管理水平进行系统、全面地评价。 二、电网企业实行整体风险管理评价的必要性 (一)企业特征决定了要实施整体风险管理评价。电力行业具有天然垄断性,具有输配供一体化的经营特点,发电、输配电以及售电业务是瞬间完成的,在管理上具有天然不可分割性,不可孤立地进行单个业务的风险管理。另一方面,电力企业是资本密集型企业,其日常经营包括投资、建设、生产、运营等多个环节,各单元之间联系紧密、不可随意划分,并且各环节涉及的风险范围广,各风险之间相互关联、错综复杂。因此,电力企业的风险管理评价需要从一个整体视角通盘考虑、全局谋划。 (二)集中化管理模式要求实施整体风险管理评价。近年来,随着国家电网公司“三集五大”体系的全面推进,各项集约化管理措施在较大程度上提高了集团的统一化、标准化水平,实现了业务权限和管理决策权力的高度集中。但是同时,集约化措施在提高了合规性水平、产生规模经济的基础上,也使得相应的风险前所未有的集中。在此背景下,电网企业的风险管理必须从公司全局出发进行统筹考虑,相应地也必须实施整体风险管理评价体系。 三、电网企业整体风险管理内审评价体系 (一)风险管理内审评价整体框架。本文构建风险管理评价体系的主要思路如下: 1.识别公司整体风险。识别和分析公司整体、各部门以及各项业务所涉及的风险类型、分布层面、形成原因等。 2.构建公司风险管理目标体系。根据关注的风险,分析风险管理的总目标及各单项风险的管理目标。 3.确定风险管控点。在流程梳理的基础上,确定各层面的主要风险点,并相应确定管控内容。 4.设定风险管理评价指标。该研究基于内部审计视角,从风险管控点出发,设计出若干评价要点,建立评价指标。 以此构成了公司整体风险管理评价框架,其中第四项是该框架的核心部分,如图1所示:
(二)公司整体风险识别。电网企业在投资、建设、运营等多个方面均承担着巨大而又复杂的压力和风险,需要发挥内部审计的监督、鉴证职能,仔细识别和辨认企业整体、各部门以及各项业务所涉及的风险,分析各项风险的分布层面、形成原因及可控制程度,并据此绘制电网企业风险图谱。 根据本文研究内容,从风险管理评价的角度选择以上14类风险(图中阴影部分)作为研究对象,它们对于公司经营的效率、效益以及合法性等都有着更为直接的影响。
(三)风险管理目标体系构建。根据以上14类风险,构建电网企业风险管理目标体系。该项研究从风险管理总目标出发,进一步延伸至各单项风险的管理目标。总目标和各单项目标共同形成完整的目标体系,引领着风险管理评价工作的开展。