时间:2023-10-12 16:09:10
序论:在您撰写风险控制和风险管理的区别时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
[关键词]内部控制风险管理COSO全面风险管理区别和联系
内部控制与风险管理理论的发展与演变过程
现代内部控制和风险管理理论的发展是一个逐步演变的过程,大致可以区分为内部控制制度、内部控制整体框架、风险管理框架三个阶段。
(一)内部控制制度阶段。1936年美国颁布了《独立公共会计师对财务报表的审查》,首次定义了内部控制:“内部稽核与控制制度是指为保证公司现金和其他资产的安全,检查账簿记录的准确性而采取的各种措施和方法”,此后美国审计程序委员会又经过了多次修改。1973年在美国审计程序公告55 号中,对内部控制制度的定义作了如下解释:“内部控制制度有两类:内部会计控制制度和内部管理控制制度,内部管理控制制度包括且不限于组织结构的计划,以及关于管理部门对事项核准的决策步骤上的程序与记录。会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。”
(二)内部控制整体框架阶段。1992年9月,COSO委员会提出了报告《内部控制——整体框架》。该框架指出“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”1996年底美国审计委员会认可了COSO的研究成果,并修改相应的审计公告内容。
(三)风险管理框架阶段。2004年COSO委员会《企业风险管理——整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”该框架拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。风险管理框架包括了要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
风险管理与内部控制关系研究回顾
在风险管理理论提出之后,理论界对内部控制与风险管理两者之间的关系进行了不断的研究。总体来说主要有以下三种观点:
(一)第一种观点认为内部控制包含风险管理。CICA(1998)将风险定义为,“一个事件或环境带来不利后果的可能性”,阐明了风险管理与控制的关系:“当您在抓住机会和管理风险时,您也正在实施控制”。巴塞尔委员会的《银行业组织内部控制系统框架》中指出,“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……。”这里显然是把风险管理的内容纳入到了内部控制框架中。加拿大注册会计师协会控制标准委员会(1999)认为,“控制应该包括风险的识别与减轻”,其中的风险不仅包括与实现特定目标相关的风险,而且还包括一般性的风险,如不能识别和利用机会,就不能使企业在面临未预料到事件以及不确定信息时保持灵活性或弹性。
(二)第二种观点认为风险管理包含内部控制。COSO委员会提出的《企业风险管理——整合框架》(2004)中明确指出,企业风险管理包含内部控制;内部控制是企业风险管理不可分割的一部分;内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。
(三)第三种观点认为内部控制就是风险管理。Blackburn(1999)认为,风险管理与内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。Laura F.Spira(2003)分析了内部控制是怎样变为风险管理的,并指出,“将内部控制定义为风险管理强调与战略制定的联系,刻画了内部控制作为组织支撑的特点,但是,它也掩盖了一个不争的事实:现在没有人真正明自内部控制系统是什么。”
基于COSO报告下的内部控制与风险管理比较
现论界对内部控制与风险管理的定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制与风险管理的定义。本文以COSO报告为基础对内部控制与风险管理的联系与区别进行研究。
(一)两者的定义与内涵。1992年的COSO《内部控制整合框架》将内部控制定义为,“受董事会、管理层及其他人员影响的,为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”它包括三个目标:与运营有关的目标,即确保企业的经营效率和效果;与财务报告有关的目标,即确保财务报告真实可靠;与法律法规的遵循有关的目标,即确保企业经营过程中遵守有关的法律法规。它由五个方面的要素组成:控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。
2004年的COSO《风险管理整合框架》将风险管理定义为,“由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定有企业各个层次的活动,旨在识别影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理保证的过程。”风险管理的目标有四个:报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个:内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。
(二)两者的比较
1、它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。
2、它们都明确是一个“过程”,不是某种静态的东西。其本身并不是一个结果,而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
3、它们都是为企业目标的实现提供合理的保证。设计合理、运行有效的内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。
4、风险管理的目标有四类,其中三类与内部控制相重合,即报告目标、经营目标和遵循性目标。但报告目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
5、风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险应对三个要素。在重合的要素中,内涵也有所扩展,例如内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权利与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
国内关于内部控制与全面风险管理的定义
(一)目前国内关于内部控制和全面风险管理的正式定义主要是财政部关于印发《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)的通知以及国务院国资委的《中央企业全面风险管理指引》中有相关的表述。
财政部关于内部控制规范的《通知》中对内部控制的定义是:是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:企业战略;经营的效率和效果;财务报告及管理信息的真实、可靠和完整;资产的安全完整;遵循国家法律法规和有关监管要求。
国资委《指引》中关于全面风险管理的定义是:指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
(二)、国内关于内部控制和全面风险管理与COSO框架的差异
总体上来说,国内关于内部控制和全面风险管理的内容基本参照或遵从了COSO委员会《内部控制管理框架》和《全面风险管理框架》,但结合国内的实际情况和一些前沿的研究成果,国内对于内部控制和全面风险管理在各自领域都有不同程度的调整、拓展和延伸。
1、目标纬度:财政部关于内部控制的定义相对COSO委员会对内部控制定义在实现目标上有所拓展,增加了企业战略目标和资产的安全完整目标。而在国资委全面风险管理的实现目标增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。”另外,其他四个目标也与COSO全面风险管理四个目标在表述上有所差异,使之更适应我国企业经营管理表述习惯或者更具体而易于理解。从这个角度来说,特别是内部控制实现目标的拓展使得其与全面风险管理实现目标差异不大。
2、要素纬度:财政部内部控制《通知》形式上借鉴了COSO 报告5要素框架,同时在内容上体现了风险管理8要素框架的实质;国资委全面风险管理《指引》中则没有明确指出是5要素还是8要素,但通过风险管理基本流程将全面风险管理的一些要素融合到流程中,从实质来说,也体现的是8要素的COSO全面风险管理框架。
国内关于内部控制与全面风险管理运用的一些误区
(一)把内部控制与全面风险管理体系的建设理解为建章立制。其实从COSO框架的定义中,我们可以看出它们都被明确为是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
(二)内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程,两者在内涵上也有一定重合,企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等,确定选择合适的管理体系和建设重点。比如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
(三)内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望,他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。
(四)内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进,与国内企业原有的管理体系和观点存在较多的差异和差距,目前这些理念和方法还更多的处于导入阶段,大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。
参考文献
[1] 盖地;试论内部控制与内部会计控制,中国成本研究会编;企业内部控制原理、经验与操作一企业内部控制高层研讨会文集;中国财政经济出版社,2002年版57一60.
[2]李凤鸣;《内部控制与风险防范》;经济科学出版社,1998年版.
[3]周兆生;C0SO企业风险管理框架(中文版);华融资产管理公司,2004.
[4]程新生;公司治理, 内部控制, 组织结构互动关系研究;会计研究, 2004年4期.
[5]张砚;内部控制历史发展的组织演化研究;会计研究, 2005年2期.
关键词:风险管理;内部控制
中图分类号:F830 文献标识码:A 文章编号:1674-7712 (2013) 24-0000-01
一、风险管理和内部控制的联系
美国全国虚假财务报告委员会下属的发起人委员会(COSO)1992年提的是“内部控制”,到了2004年是“风险管理”,其内容1992年时包括5个要素,2004年时包括8个要素,说明对风险管理和内部控制有一个认识过程。内部控制应是风险管理的基础和重要组成部分,它们是一体化的,不能分割的。
内部控制解决的是常规性风险,风险管理解决的是非常规性风险,内部控制解决的是“如何正确地做事”,而风险管理解决的是“如何做正确的事”,它们既有联系,又有区别,一个企业要成功,二者缺一不可。
二、风险管理和内部控制的区别
“企业风险管理”概念的提出,并不意味着对原“内部控制”概念的摒弃。内部控制是企业风险管理不可分割的一部分,企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中。企业风险管理涵盖了内部控制,是一个更为全面、广泛的概念。二者的区别主要包括以下方面:(1)企业风险管理涵盖了内部控制。企业风险管理除包括原内部控制的三个目标之外,还增加了战略目标;企业风险管理的八个要素除了包括原内部控制的全部五个要素之外,还增加了目标设定、事项识别和风险应对三个要素。(2)企业风险管理强调对风险的控制与应对。风险被定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),涵盖了信用、市场、战略、声誉、业务及财务等各种风险。风险管理包括风险计划、风险控制和风险应对。这三者共同构成一个完整的风险管理过程。其中,风险控制又分为外部控制和内部控制。内部控制是一种内部风险控制机制,内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下,所开展的各种控制活动。风险控制除了包括内部风险控制之外,还包括外部风险控制。(3)企业风险管理注重对风险的定量分析与管理。企业风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等新的概念与方法,因此,企业风险管理可以在基于概率统计的基础上,合理确保企业的发展战略与风险偏好相一致,从而帮助董事会和高级管理层实现企业风险管理的目标;而原来的内部控制只能在基于定性判断的基础上确保内部控制目标的实现。
三、目前企业风险管理工作存在的问题
(1)企业管理者及相关人员风险意识薄弱。加强企业环境控制与风险评估,是提高企业风险管理效率与效果的重中之重。而当前我国企业缺乏一种可以辨认、分析与管理风险的机制,往往出现为了追求高收益而盲目投资等风险。(2)现有风险管理机构不足以应对企业风险。我国企业风险管理机制设计较晚,现有的规章制度也是近几年开始施行,而企业面临的外部环境却变化很快。变化较快的经营环境使得风险管理机制的风险应对能力削弱,甚至失效。(3)风险管理机构组织建设不健全。国务院国有资产监督管理委员会的《中央企业全面风险管理指引》明确规定:企业应建立健全风险管理组织体系,主要包括规范公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。(4)风险管理机构缺乏真正独立性。作为企业内部审计的一部分,风险管理机构存在独立性不足的问题。尤其是中国大多数企业风险管理部门设立不完善、不系统,审计人员的职责不明确,企业风险责任归属不清晰,都造成了风险管理工作不可能起到真正的监督作用。
四、构建体现全面风险管理的内部控制新机制
(一)构建具有本企业特色的创新风险管理理念
将全面风险管理作为企业文化的一部分,全体员工在全面风险管理理念下共同努力。学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。
(二)构建切合实际的内部控制评价机制
传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来补。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。
(三)构建全新的内部控制组织体系原则
(1)全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,内部控制要遵循全面风险管理的原则,即:全员管理原则;全过程管理原则;全方位风险管理原则。(2)分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。(3)风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。(4)协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。
(四)构建符合内控要求的业务管理新制度
传统分散风险管理模式下,各职能部门制定了大量的所谓“全面”的制度,但制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。
参考文献:
摘 要 本文从国务院各部委颁布的内部控制规范和风险管理有关法规政策出发,通过对内部控制与风险管理的联系和区别进行比较,针对目前国有企业内部控制与风险管理的现状,分析其形成原因,并提出运用风险管理方法构建风险导向型内部控制体系的对策与建议。
关键词 国有企业 控制 规范 风险 机制
2008年由美国次贷危机引发的全球金融海啸,引起我国各行各业对企业内部控制与风险管理体系建设和评价达到了前所未有的重视程度。为有效控制企业风险,我国相继出台了一系列法规政策,2006年6月为促进中央企业内部控制建设和全面风险管理工作国资委出台了《中央企业全面风险管理指引》;财政部会同审计署等五部委2008年6月联合了《企业内部控制基本规范》,2010年4月再次了《企业内部控制配套指引》,共同构建了中国企业内部控制规范体系,对企业防范风险、控制舞弊、促进发展产生积极的推动作用。本文通过剖析内部控制与风险管理的联系和区别,针对目前国有企业内部控制与风险管理的现状,分析了其形成原因,并提出了运用风险管理方法构建风险导向型内部控制体系,形成“自我免疫机制”的对策与建议。
一、内部控制与风险管理的联系和区别
内部控制与风险管理是一对既相互联系又存在区别的概念。内部控制是指为合理保证企业经营管理合法合规、资产安全、财务信息真实完整,提高经营效率和效果,促进企业实现发展战略,由董事会、监事会、经理层和全体员工设计与实施的政策和程序,旨在实现控制目标的过程。风险管理是由企业董事会、经理层和全体员工共同参与的,应用于企业战略和内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。
两者相同点:(1)目标一致性,均为提高经营效率和效果、经营合法合规、财务报告可靠、资产安全、实现发展战略等5个目标,首要目标提高经营效率和效果,终极目标是实现发展战略;(2)都强调是全员参与的管理,是由企业董事会、管理层以及全体员工共同实施的,指出各方在内部控制或风险管理中都有相应的角色与职责;(3)也都是企业全方位的管理,明确是一个持续不断的“过程”,其本身并不是一个目标,而是实现目标的一种工具和手段,都是渗透于企业日常管理过程中的一系列行动,需作为一种常规运行的机制来建设;(4)都是为企业目标的实现提供合理保证,而不能提供百分之百绝对保证。
两者的差别主要体现在:(1)在报告目标的范围上风险管理有所扩展,将“财务报告的可靠性”发展为“报告的可靠性”,报告范围由“财务报告”扩展到“内部的和外部的”“财务的和非财务的”报告,涵盖了企业的所有报告;(2)在内容上风险管理更丰富,引入了风险管理文化、风险偏好、风险承受度以及风险应对策略等新概念;(3)两者侧重点不一样,风险管理更偏向过程的前端,更偏向于对影响目标实现因素的识别、分析、评估与应对,是一个更为独立的过程,而内部控制更加重视实施,嵌入到企业各业流程的具体业务活动中,融合在企业的各项规章制度之中。
可见,内部控制与风险管理既相辅相成、又各有侧重的现代管理元素,不存在包涵或被包涵关系,也无法完全替代,两者都是公司治理极为重要的组成部分。
二、目前我国国有企业内部控制与风险管理的现状
从目前总体情况来看,我国国有企业内部控制与风险管理建设工作还处于起步阶段,基本上都建立了自已的内部控制体系,也有一些风险管理策略,但其内部控制和风险管理的水平和效果尚不容乐观,实际执行中存在诸多问题,主要如下:
1.法人治理结构不完善,内部人控制现象严重。现阶段我国绝大多数国有企业虽然进行了公司制改造,但其法人治理结构普遍存在问题,设计不科学,股东会、董事会和监事会等核心机构形同虚设,审计委员会、风险管理委员会、董事、独立董事和监事会只是形式上挂个名,没有实际行使监督治理职责,导致董事不“懂事”、独董不“独立”、监事不“干事”。企业管理者集控制权、执行权和监督权于一身,内部人控制现象严重,自觉不自觉地凌驾于内部控制之上。
2.内部控制制度缺乏系统性,制度执行流于形式。绝大多数国有企业都建立了比较多的内部控制制度,其内容应有尽有,但制度间缺乏有效衔接,甚至存在“互相打架”现象。一些新开展业务领域,其风险容易发生的关键环节没有有效控制措施。制度执行流于形式,主要有3种情形:一是执行不到位,出现制度与实际执行“两层皮”现象,纸上写的、墙上挂的是一套,执行的是另一套;二是不愿意执行,因人员数量不足、水平不够、能力有限,以忙于具体工作业务为由没时间去执行;三是故意不执行,为谋求个人利益,先把水搅混,好从中摸鱼。
3.内部审计机构不健全,内外部监督未形成有效合力。有的没有设立内部审计部门,有的内部审计部门与财务或纪检合署办公,有的虽然单独设立了内部审计部门却形同虚设,不具备真正意义上审计的独立性,从而缺乏客观性,发现不了问题,或者发现了问题也不让追查,内部审计没有发挥其应有监督作用。企业、注册会计师和有关监督部门在在内部控制监督评价工作中,监督标准不一,各种监督职能交叉,各监督主体缺乏横向沟通,未能形成有效合力。
4.风险管理薄弱,缺乏有效风险管理体系。企业缺乏有效对已经面临的和即将面临的风险作出系统分析、整体评价和管理风险的机制,没有制订具体的风险控制点,也没有将风险控制点分解和责任控制到岗、到人;一旦盲目扩张出现了问题,采取“头痛医头,脚痛医脚”的“灭火式”风险管理模式,抗风险能力较差。更没有将企业风险管理与内部控制有机结合起来,建立风险导向型内部控制体系。
三、原因分析
导致上述问题的产生,既有大环境下法规政策和理论研究方面存在缺陷的深层次原因,也有企业本身对内部控和风险管理制重视不够、设计制度不足、执行和监督评价不到位等方面的个性原因:
1.我国内部控制和风险管理制的理论研究和实践工作仍处在摸索阶段,其理论研究基本上借鉴美国COSO《内部控制-整合框架》、《企业风险管理-整合框架》相关理论,与实际国情、行业特点结合不够。在《配套指引》出台之前,相关法规政策条例倾向于定性描述,缺乏具体标准,没有实务操作指引,为企业内部控制的实际执行和客观评价工作带来一定难度。企业董事长、总经理、监事由上级任命,且董事会成员和管理层成员高度重叠,企业内部人集控制权、执行权和监督权于一身,经营权得不到有效的监控,容易产生、等现象,进而影响内部控制的实施和健全。治理结构不完善是阻碍国有企业实现发展战略的根本性问题。
2.没有风险文化,缺乏风险意识。没有风险文化,企业的风险管理机制就失去了灵魂,缺乏风险意识,是企业最大的风险源。风险管理意识不足,一方面风险意识淡薄,投机心理、侥幸心理比较重,另一方面求稳心态较重,经营偏保守,注重规避风险,而不是管理风险,不能有效控制风险并利用其发展机会。
3.企业没有对内部控制制度进行测试评价,并根据测试评价结果及时修订。内部控制评价是推动企业内部控制机制建立健全的重要手段,内部控制制度在实行之前,一定要对其完整性、有效性、符合性进行评价,及时发现问题并进一步完善。然而,许多企业在内部控制制度制订过程中,并没有对内部控制制度的有效性进行测试,对内部控制制度符合性进行评价,更没有随着国家政策调整、经营业务拓展,对内部控制制度及时修订。这是导致企业内部控制缺陷产生的根源。
4.激励机制、约束机制缺位。长期以来,对企业员工和领导干部的考核,以目标利润、经营规模完成情况为主要依据,缺乏对内部控制和风险管理等相关指标的综合考察,激励约束机制缺位,直接造成企业制度没有执行力。
5.企业普遍缺乏专业的内部控制和风险管理人才。内部控制制度制订合不合理、能否有效执行、监督评价能否公正客观,都取决于人的素质水平。企业内部控制和风险管理是一项综合性较强的管理工作,对人员素质要求较高,特别是知识新、阅历广、综合型,而企业普遍缺乏这样的人才。
四、对策与建议
1.认真学习好、贯彻好内部控制规范。国有企业要认真学习企业内部控制基本规范及其配套指引,根据内部控制和风险管理相关法规政策条例,并结合企业自身实际情况,制订适合、适度、适用于本企业的《内部控制与风险管理手册》。这对于指导内部控制体系建设,促进各项经营管理活动进一步规范、有序运行,增强风险防范能力等,都有极其重要的意义。
2.完善法人法理结构,解决内部人控制问题,加强企业文化建设,优化内部控制环境。法人治理结构由企业股东会、董事会、监事会和经理层和全体员工组成,是内部控制环境的核心。规范各责任主体的职责权限,保证决策权、经营权和监督权制衡。董事会负责内部控制的健全和有效实施,经理层负责组织领导企业内部控制的日常运行,监事会负责对董事会建立与实施的内部控制进行监督。同时,企业应培育良好的企业精神、内部控制和风险管理文化,加强团队协作意识,为内部控制创造一个良好的环境。
3.构建企业、注册会计师和有关监管部门三位一体的内外部监督评价体系。国有企业应该建立由董事会领导下的审计委员会统一管理企业的内部审计工作,赋予审计委员会监督内部控制执行情况和自我评价情况、协调内部控制审计等方面的职能,授权内部审计机构监督评价职能,增强内部审计的独立性;注册会计师要严格按照内部控制规范的要求,将内部控制审计范围覆盖企业内部控制整体,而不仅仅局限于财务报告内部控制,也可以将内部控制与财务报表进行整合审计,提高审计效率;财政部等有关监管部门要加强对企业和注册会计师执行内部控制规范体系的监督检查,同时协调监管政策,规范监管口径,形成有效监管合力。
4.建立内部控制和风险管理长效机制。国有企业要建立对内部控制和风险管理的执行情况与管理层和全体员工的绩效考核挂钩制度,作为绩效考核的一个重要指标,通过利益约束驱使企业全体干部员工高度重视内部控制建设和风险管理。另外,要建立重大决策失误责任追究制,对造成风险损失的责任人进行责任追究,提高制度的威慑力和执行力。
5.运用风险管理方法构建风险导向型内部控制体系,形成“自我免疫机制”。国有企业应致力于建立风险导向型的内部控制体系,即围绕影响企业目标实现的不确定因素,进行风险识别、风险评估、风险应对,并针对各个风险点制定相应的风险控制点,区分关键控制点和非关键控制点,再根据企业的组织架构、职责分工,将风险控制点层层分解到岗、到人,从而构建出贯穿于整个企业业务流程的内部控制体系。并结合企业的风险偏好,制定相应的风险应对策略,从而指导企业内部控制体系的构建。可以有效防止错误和舞弊,提高效率,确保企业战略目标的实现。内部控制制度是风险评估和分析的产物,是企业进行有效内部控制的基础和依据,是风险管理的支点;风险管理是建立在内部控制基础上,而内部控制的实施经常运用风险管理的的方法。建立风险导向型内部控制体系,对现代企业来说,风险管理的有效性离不开权责利相制衡的体制保障。只有保证内部控制监管的独立性,明确高管层的责任,实现管理层与内审机构的相互监督,才能保证内部控制制度的有效执行,实现对风险的有效控制,形成“自我免疫机制”。
6.注重内部培养和外聘选拔,提高人员专业胜任能力。企业内部控制和风险管理是一项综合性较强的管理工作,对人员素质要求较高,首先要熟悉国家和行业法规政策、企业业务流程和内部控制制度,其次要讲政治、懂技术(计算机运用技术和审计技术)、善沟通、会理财,具备较强的发现问题、分析问题、解决问题能力和识别风险、评估风险、控制风险的能力。企业要注重内部培养和外聘选拔相结合,提高内部控制和风险管理人员专业胜任能力。
内部控制和风险管理的完善不是一朝一夕的,是现代企业管理永恒的主题。国有企业只有不断完善法人治理结构,持续优化风险导向型内部控制体系,通过制度规避风险、机制控制风险,责任降低风险,才能为风险管理奠定扎实基础,才能提高企业经营管理效率和效果,才能在当今激烈的国内外市场经济竞争中持续健康发展,从而实现发展战略目标。
参考文献:
一、内部控制与风险管理的关系
(一)内部控制与风险管理的融合
一直以来,内部控制与风险管理之间的博弈就没有停止过,目前主要形成两种观点:一种认为二者是两个完全不同的概念,相互之间不可以取代;另一种认为二者只是术语不同,其实基本没有区别。之所以产生对立观点,是因为相关学者对内部控制和风险管理的内涵与外延办公室不同,或将内部控制作为实现风险管理的步骤与手段,或将风险管理作为内部控制的组成。但无论是何种观点,目前风险管理与内部控制有一个趋同的倾向,也就是说它们在渐渐的融合之中。据IFAC的一项调查显示,全球超过600学者反馈表示,应加强内部控制与风险管理的一致性工作。我国相关法规条文也体现了融合的理念,如《企业内部控制基本规范》将内部控制作为一个较大的概念,风险管理被囊括其中,而《中央企业全面风险管理指引》又将风险管理作为一个较大的概念,内部控制是重要的实现手段。其实,无论是内部控制还是风险和管理,其作用都是为了防范企业风险,所以它们走向融合也是必然的。理论上讲,内部控制与风险管理融合具有一定科学性:①概念虽未形成共识,但实现目标过程的一致性得到人们的广泛认可;②目标一致,都是为了将风险控制在可控范围之内;③程序一致,虽然叫法有所不同,但程序的本质有高度的一致性;④方法互用,两者经常可以替换使用。
(二)内部控制与风险管理的协同
就拿监管机构来说,眼下已经形成了一个稳定的系统,现在又要将其融合在一起,肯定很难实现,这对于内部控制和风险管理领域的专家来讲,也是无法接受的。在实践之中,为了促进两者的融合,可以通过协同方法来实现。企业没必要为实现同一目标而制定两套手册或指南,也没必要建立一个内部控制部门,再加上一个风险管理部门,企业应该将其整合起来,同时将风险控制整合到公司治理、战略及运营之中。理顺各种关系,使两者相互促进、相互融合,形成一个良性循环,才能控制企业持续健康地向前发展。
二、基于风险管理的企业内部控制建设策略
(一)构建以“现金流量”为核心的内部控制模式
企业内部控制是一项复杂而系统的工程,涉及到企业所有的生产经营环节,寻找一个合理的切入点十分必要。资金作为企业赖以生存和发展的基础,是企业生命的源泉。生产经营其实是人力资源作用于物质资源的过程,在这个过程中货币体现了核心作用,所以货币也是危险等级最高的资源,能够安全有效地运行,也决定了风险评估中财务风险的高低。因此,加强“现金流”的内部控制可以促进主体正常组织资金活动,防范和控制资金风险,保证资金安全,提高资金使用效益,而建立和完善以现金流为核心的内部控制和风险管理体系可以为企业高速、持续的发展保驾护航。
(二)加强关键环节的风险控制
企业经营活动是由一系列的业务节点构成的,各个节点环环相扣构成了企业活动的整体。业务流程中实现节点的优化和风险因素的控制是提高风险管理能力的根本所在。业务流程的梳理及改革体现在内控上,设置关键控制点并选择相应的控制手段,以实现对操作行为的制衡。收集企业经营过程中的各种信息,进行风险评估与识别,对关键风险控制点进行严格把关,制定风险管理解决预案,从而保证内部控制的顺利进行。关键环节所涉及到的人员要进行严格的培训,提高风险管理意识,使其从思想上重视内部控制,重视内部风险管理,其意识对风险管理成败有直接影响。风险控制具有很强的系统性和联系性,各单位和部门要权责明确,加强沟通,保证企业运营系统高效运行。优化企业管理功能,实行精细化管理,据此分析企业的关键控制环节和风险点,编制企业的风险管理预案。
(三)建立风险预警体系
实践表明,只有把握风险管理先机,才能发挥风险管理的效用,只有及时、准确掌握经济动态信息,才能采取针对性的风险管理措施,取得应对风险的主动权。这就要求企业必须适应时展的要求,将先进的信息技术引入其中。一是建立完善、成熟的企业信息管理系统,实现对企业运营数据的收集、存储、处理和披露,利用先进的算法实现业务信息向会计信息的转化;二是从风险监控和预警角度出发,建立风险预警分析系统,利用科学、先进的计量模型,实现对企业偿债能力、运营能力、获利能力等状况的分析,预测企业的风险可能性及大小,随时做好应对风险的准备。企业要上下协同,提高风险应急能力,一旦触发风险信息就应该立即向上级汇报,立即组织攻关小组研究应对策略和组织实施,由被动变主动,尽可能避免风险发生,无法避免时尽可能将风险降到企业可接受范围之内,从而保证企业生产经营活动的维持和正常运转。
(四)提高员工内部控制意识,让其主动参与进去
【关键词】 内部控制 风险管理 问题 措施
随着全球经济一体化以及我国市场经济的快速发展,我国企业生产经营过程中所面临的风险也日益复杂化,企业内部和外部环境的变化给企业带来了严峻的挑战。我国企业应充分认识到风险管理和内部控制的重要性,建立完善的内部控制制度以及加强风险管理以提高企业的国际竞争力,实现企业健康、稳定的发展。
一、内部控制与风险管理概述
1、内控控制与风险管理的内涵
内部控制是指企业为了实现其经营目标,保护资产的安全性和完整性,保证会计信息资料的正确性和可靠性,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在企业内部采取的自我调整、约束、规划、评价和控制的一系列方法和措施的总称。内部控制要素主要包括控制环境、风险评估、控制活动、信息与沟通、监控等五个方面。
美国COSO将风险管理定义为,企业风险管理是由企业的董事会、管理当局和其他员工共同参与的一个过程,应用于企业战略的制订并贯穿于企业经营管理活动之中,旨在识别可能会影响企业的潜在事项,将风险控制在管理当局可接受的范围之内,为企业目标的实现提供合理保证。风险管理主要包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督等八个要素。
2、内部控制与风险管理的联系与区别
从内部控制和风险管理的组成要素来说,二者在控制环境、风险评估、控制活动、信息与沟通和监督等方面存在一定的联系,它们都是为保证企业的有序运行,实现企业的经济效益和经营的安全性而对企业各项经营活动进行有效的控制和预防。内部控制和风险管理二者相辅相成,紧密联系。风险管理的有效实施取决于信息的收集,而内部控制通过建立过程控制体系规范、控制各经营活动恰好为风险信息的收集提供了有效途径。风险管理主要是对各种风险因素进行识别、分析和评估,其目的是使风险得到控制从而以最低的成本实现最大的安全保障,这恰是内部控制的根本目的所在。
企业内部控制和风险管理之间也存在一定的区别,二者各有侧重点,风险防范范围也不同。内部控制侧重于企业财务方面和审计方面的控制,保证会计信息的真实性和资金的安全性,会计控制是核心,而风险管理则更关注特定业务中与战略选择和决策相关的风险和收益的比较。内部控制涉及企业各种经营活动的内部和外部风险,而风险管理则比较关注特定业务的战略评审,其目的是通过比较不同公司业务领域内的风险与报酬来使企业效益最大化。
二、企业内部控制和风险管理现存问题
1、风险管理意识不足,对内部控制的理解过于片面
目前许多企业对风险管理的认识不足,没有制定出足够有效的控制制度来防范企业所面临的各种风险,很多企业没有将风险管理的思想融入到企业的内部控制之中,风险评估不够深入,流于形式,或是缺乏对风险的定期复核和再评估,降低了企业适应环境变化和规避风险的能力。同时,目前大多数企业对内部控制的理解过于片面,过于重视传统意义的内部控制,忽视了对风险的控制和衡量,例如过于关注某些特定业务,而对外部经济、技术条件或其他重大不利事项缺少足够的控制,不能为企业创造一个良好的内外部发展空间。
2、风险管理组织结构不完善,尚未建立完备的内部控制机构
由于公司治理结构问题,我国大多数企业虽然已建立起相关制度,但却缺乏有效的监督执行,各部门之间工作职责、操作程序以及风险成本主体都不十分明确,风险管理组织结构不完善,这便导致了风险管理缺乏相应的约束力,各部门或相关人员之间相互推卸责任,风险管理无法真正有效执行,而一些企业虽然建立了相关的风险管理机构,但也由于缺乏专职的风险管理经理,使得企业风险管理始终以眼前利益、短期利益为主进行决策。另一方面,部门企业认为建立了相关的内部管理制度就是完善了企业的内部控制制度,也真正建立了风险监督评估机制,然而目前许多企业的内部控制制度只是形式主义,形同虚设,并没有真正地实施,大部分企业没有完备的内部控制机构,不能积极地进行风险管理工作。
3、内部控制和风险管理的信息与沟通能力不足
在信息方面,企业各层级都需要大量的信息以帮助识别、评估和应对风险。然而目前我国大多数企业存在对信息的挖掘深度和利用程度不足的现象,以至于相关信息不能发挥其应有的效用,或是信息没能很好地在企业内部之间共享。我国企业沟通方面最大的问题就是沟通不畅,沟通力度不够。在内部沟通方面,一些企业的信息的沟通需要经过多个层级,导致信息失真,而下级员工又不能积极向上级反应,致使风险管理决策缺乏足够依据,内部控制执行缺乏力度;在外部沟通方面主要表现为未能与相关利益者进行有效沟通,如投资者和监督者等,不能及时、准确掌握企业外部环境走势,内部控制信息披露不足。
4、内部控制与风险管理的监控机制不健全
我国大多数企业的内部监督机制和外部监控机制仍存在许多问题。在内部审计方面,我国很多企业对内部审计重视不够,对内部审计作用认识不足,这使得内部审计在我国企业中执行起来显得困难重重以至于内部审计对内部控制的再控制以及对企业风险管理的监督职责未能发挥出来。没有内部审计的监控,即使企业拥有设计再完美的风险管理办法也很难保证其能够严格执行并发挥风险控制的作用。外部监控体系,包括政府监控、社会监督等,在保证企业的内部控制和风险管理上的效力不足。例如,政府监控在很大程度上能保证企业内部控制的有效执行以及帮助企业防范、应对各类风险,然而,目前我国政府对企业内部控制信息,尤其是重大信息的披露要求不够,内部控制信息披露方面的法规制定相对滞后,只是形式化的敷衍,在这种情况下政府对内部控制的监督无从谈起,更不用说通过对内部控制的考察来监控企业的风险管理活动。而在社会监督方面,注册会计师的社会监督作用仍有待提高。注册会计师仅将对企业内部控制的测试和发表意见作为财务报表审计过程中的一项程序,并未进行专项审计,监控力度大大减弱,或是只关注企业内部控制设计的情况而忽视实际执行情况,不能真正发现企业内部控制和风险管理存在的问题。
三、改进企业内部控制和风险管理的措施
1、提高风险管理意识和应对风险的能力,建立风险管理型内部控制
风险管理的核心是对人的管理,包括职业操守、技术能力和激励等方面内容的管理,在这其中企业管理层应起带头作用,提高风险管理意识,加强对内部控制的认识,同时加强企业全体员工的思想教育和业务培训,不断提高员工的整体综合素质,使员工更具有责任感,明确风险管理和内部控制的重要性,逐步提高自身的思想认识和业务技能以提高企业应对风险的能力。企业应建立相应的绩效考核制度和激励制度,充分调动员工的积极性、发挥员工的责任心,让员工意识到自身有责任对企业面临的风险进行识别、分类,并追溯导致风险的各种因素,以采取相应的措施规避风险。另一方面,建立风险管理型内部控制,以风险为切入点对企业内部控制实施控制,强调通过制度、流程和财务等手段,管控运营、操作过程风险,重视在操作层面中的风险管理,将管理的模式与企业实际情况相结合,充分利用了现有资源,更好地发挥风险管理的积极作用,达到了风险管理和内部控制的要求。
2、完善企业内部控制和风险管理制度建设,建立风险管理控制体系
完善企业内部控制和风险管理制度,首先要建立产权明晰和管理科学的现代企业管理制度,实现政企分开,最大限度地调动企业管理者和经营者的积极性,建立相应的内部控制和风险管理部门,完善内控体系和风险评估体系,对企业经营风险、财务风险、市场风险和政策风险等进行全程监控,提高内部管控和风险管理的效率。其次,提高财务和审计人员的综合素质,增强其核算知识和风险预测能力,使相关人员有足够的能力和专业知识去识别、评估风险,同时将风险机制运用到风险管理中,企业员工公担风险,实现权责利三位一体,提高企业内部控制的有效性和风险管理水平。再次,要建立相关的风险管理控制体系,即对企业经营管理过程中内外部各种风险进行分析和评估,研究风险形成的原因及其影响程度以便制定有效的措施加以防范,例如重视资本运营的跟踪、监督,通过对财务报表和财务指标的分析,一旦发现异常变化就立即采取措施应对,把风险损失降到最低。
3、提高信息沟通能力
企业进行内部控制和风险管理时必须拥有足够的信息和流畅的沟通,企业只有提高其信息和沟通能力,充分挖掘和利用各种信息资源,其内部控制才能更好地防范和应对风险。企业可以通过两个方面来提高信息和沟通能力:一方面,构建和完善企业信息库,用以储藏和搜集各种信息,并仔细甄选质量高、有利用价值的信息,并对这些信息进行深入分析为决策活动提供有力支持证据;另一方面,沟通是创造良好内部控制环境和支持企业风险管理的关键环节,充分、有效的沟通应包括自上而下的沟通、自下而上的沟通和横向沟通,使企业各级、各部门人员能够知悉公司的战略、经营、财务等方面信息,以履行各自职责。同时,应加强企业与相关利益者之间的外部沟通,尤其是及时、准确地披露企业的财务信息和其他重要信息,以便充分了解企业所面临的形式和风险。
4、完善内部审计和外部监督制度,落实监控机制
强化企业内部审计和外部监控力度需要从两方面入手:一是充分发挥内部审计功能。企业应组建科学合理的内部审计机构,保证内审机构的独立性和权威性,充分发挥内审机构对企业内部控制和风险管理的作用;完善内部审计的内容和方法,使其满足现代企业管理的要求,尤其是企业应对风险的要求。二是提高外部监控效力。完善内部控制信息披露机制,明确内部信息披露的内容和形式,突出企业相关重大风险,使有关政府部门对企业内部控制和风险管理进行有力监控;加强注册会计师的社会监督作用,及时发现企业漏洞和舞弊现象,帮助企业进行纠正和改进。同时,借鉴国外先进经验加强对内部控制进行专项审计的强制要求,始终坚持风险导向审计模式,抓住企业真正风险点,有力监督企业内部控制的实际执行情况。
综上所述,企业必须建立符合自身发展需要的内部控制机制和风险管理体系,将二者进行有效的结合,通过对制度的规范和科学的管理来充分发挥企业内部控制和风险管理的作用,以提高企业整体竞争力和经济效益,实现企业健康、稳定发展的目标。
【参考文献】
[1] 王寅入:谈风险管理与内部控制的区别与联系[J].普华永道,2010(6).
关键词:房地产;开发;风险管理;项目管理
1、房地产项目风险管理的基本理论
1.1 房地产项目风险管理的概念
房地产项目风险管理是研究房地产开发过程中风险发生规律和风险控制技术的一门管理学科,各经济单位在风险辨识、风险估测和风险评价的基础上,根据具体情况优化组合各种风险管理技术,对房地产项目风险实施有效的控制和妥善处理风险所致后果,以期达到以最少的成本获得最大安全保障的目标。在决策时,能否达到上述期望目标,不仅取决于决策前的风险辨识、分析和评价是否全面正确,还取决于在实施控制方案过程中能否进行正确的效果评价,对控制方案不断修改,使其更加切合实际。这表明房地产风险管理方案的实施是一个动态过程,管理者必须根据实际情况随时辨识、分析和评价新风险,修改管理方案,这样才能达到以最少的成本实现最大安全保障的目标。
1.2 房地产项目风险管理的过程分析
房地产项目风险管理一般包括风险识别、风险分析、风险应对和风险控制等四个阶段,各环节紧密联系,其推行和开展按一定的程序周而复始、循环往复进行。
(1)风险识别是风险管理中最重要的步骤,只有全面、正确地识别房地产开发过程中面临的所有风险,才能有的放矢地针对风险进行分析,使风险管理建立在良好的基础之上。通过风险识别应尽可能全面地找出影响风险管理目标实现的所有风险因素,采用恰当的方法予以分类,逐一分析各风险因素产生的根源。风险识别的参与者应尽可能包括项目队伍、风险管理小组、来自公司其他部门的专家、客户、最终使用者、其他项目经理、项目相关方以及外界专家等。另外,项目风险识别并非一蹴而就的事情,应当自始至终反复进行。
(2)风险分析包括风险定性分析与风险定量分析,风险定性分析是确定风险发生的可能性及其后果的严重性,并按照风险对项目目标可能的影响进行风险排序,以明确特定风险的重要程度从而指导风险应对计划的制订,并帮助项目团队成员修正计划中出现的偏差。风险定量分析则是量化风险的出现概率及其影响,确定该风险的社会、经济意义以及处理的费用和效益分析。不仅量化分析每一个风险的概率及其对项目目标造成的后果,而且也分析项目总体风险的程度。通过对项目实施各阶段可能存在的风险进行尽可能详尽的分析,包括分析风险性质、风险发生的可能程度、风险发生对预期利润的影响程度,使项目可行性研究建立在风险分析的基础上,选择可靠性好、风险隐患少、风险程度低的项目管理方案。
(3)针对风险识别和分析的结果,为提升实现目标的机会,降低风险对目标的威胁,必须制订项目风险应对计划。风险应对计划必须与风险的严重程度、成功实现目标的费用有效性、项目成功的时间性与现实性相适应,同时也必须得到所有项目利益相关方的认可,并应由专人负责。项目一旦立项,项目管理者就应该紧密结合国家对房地产市场的监管政策,在城市规划、政策法规的约束条件下,研究房地产的供求现状及发展趋势,确定周密的产品方案和营销策略,围绕项目开发进度优化资源配置,统筹资金安排,使整个项目的实施有条不紊,进而达到预期目的。
(4)跟踪已识别的风险,监视残余风险,识别新出现的风险,修改风险管理计划,保证风险计划的实施,并评估风险减轻的效果是项目控制的主要任务。完善的控制体系和有效的实施,是防范风险和控制风险的可靠保证,同时也将成本管理与企业的整体经济效益直接联系起来,对减小财务风险的作用极其显著。一个好的风险控制系统可以在风险发生之前就提供给决策者有用的信息,并使之做出有效的决策,达到项目风险管理的目的。
在以上四个阶段中,项目管理者只有充分了解房地产项目的风险情况,对“易发险情”进行认真的分析和预测,并根据自身实力估算投资风险的承受能力,综合权衡房地产项目的收益和风险,制定各种风险的防范措施,达到风险小而收益高的目的,才是房地产项目管理的真正目的所在。下面结合该项目的案例,运用项目风险管理的基本理论来具体分析该项目开发中存在的风险及产生根源,对重要风险进行估计和评价,同时提出较为详细的风险管理措施。
2、工程实例:
我公司开发建设的湖州项目总建筑面积约45万m2,绿地率40%,是由别墅、高层、小高层组合的住宅小区。从规划设计上看,该项目强调不同建筑群体的统一性和完整性,规划设计方案既要能满足该建筑物的各项使用要求,同时又必须符合建筑间距,相邻建筑间的相协调。从规划布局上看,项目建设充分体现了现代感与自然文化气息的结合,建筑互相围合、各组团间贯穿公共绿地,即统一又形成每个单一的整体,构成气势非凡的空间效果。
2.1 项目各阶段的风险识别
在投资决策阶段,从各项政策方面来看,本项目具有得天独厚的优势;从社会环境与经济环境方面来看,由于国家总体经济形势的良好,风险因素也较少。但是由于国家相关部门对国有土地进行了彻底的清查,相继下发了关于房地产土地交易方面的各项文件,严格的土地政策使该项目在土地获取方面面临极大风险。
在土地的获取阶段,房地产开发所需巨额资金和融资是开发商最为关切和颇费心机的问题。我国房地产业资金大部分来自于金融机构的贷款,许多开发商利用贷款进行滚动操作,然后将楼盘以个人按揭贷款进行销售,最终将房地产风险转嫁到金融机构身上。由于房地产金融体系的内在脆弱性和资产价格的内在波动性,使得该项目也不可避免地具有筹资方面的风险。
在建设阶段,该项目也将面临着招标模式风险、承包合同风险、工期拖延风险、项目质量风险、开发成本风险及施工索赔风险等,但只要施工单位与开发商在房产开发市场具有良好的口碑和品牌效应,因此项目在招标模式、承包方式以及承包合同方面的风险因素也可控制在较小范围。
在租售阶段,该项目采用预售方式,在住宅具有稳定需求的市场条件下,有利于资金的快速回笼,因此这方面的风险因素较少。租售合同风险方面,重要的是销售价格定位,准确合理的销售价格能够比较快地为广大需求者所接受,从而为资金的快速回笼提供可能。
2.2 项目的风险分析
2.2.1 项目投资阶段风险的敏感性分析
通过对与利润有关的建安工程费、土地开发费、综合配套费用、住宅售价等敏感因素进行单变量敏感性分析。列出住宅售价因素变化而其他因素不变的情况下,建安工程费、土地开发费、配套费用相对固定的情况下,住宅售价因素对利润的影响比较关键,总结以上几个因素的变化与成本利润的关系,是正、负相关的关系。
2.2.2 项目土地获取阶段风险分析
项目在土地获取阶段的风险主要是融资风险,而该项目在融资方面依靠银行贷款,自身也需具有充足的自由资金,加大融资手段上的多元化,大大降低了融资风险。
2.3 项目的风险控制
(1)项目土地获取阶段筹资风险的控制措施。对筹资风险主要采用风险控制与风险自留,明确不应过度负债,项目开发前期对资金运作应有全过程通盘的考虑,留有余地并有资金补充应急计划项目;将短期负债与长期负债区别对待,尽量减少短期负债,以适应该项目开发生命周期长的特点;将房地产销售工作提前,用收入弥补资金不足,减少负债,并提前盈利等。
(2)对设计变更风险、设计方案不合理的风险控制。主要采用风险控制和风险转移,加强施工前施工图审查及设计交底,建立健全会审制度;采用监理制度,更好地规范各个单位的行为;严格设计变更审查制度等,以便对项目投资控制。
(3)对工期拖延的风险控制。主要采用风险转移,利用工程承包合同与工程监理合同将该部分风险转移到施工单位和监理单位,具体措施为:在工程承包合同中,严格制定相关工程工期条款,在该项条款中,明确指明工期拖延所造成的后果及相应承担的责任,将该部分风险转移到主体承包单位;聘请专业监理公司,在监理合同中同样设定相应工期条款,明确监理公司对工期拖延同样负有责任。
(4)对各种安全事故风险以及其他风险的控制。任何风险防范措施都是有“人”来发现并实施控制措施的,对该项目总体而言,首要的是建设一支业务优,能力强、熟悉市场的管理队伍。有了这样一支队伍,就能够从源头上减少和消除各种风险因素对房地产项目的影响。另外,进行风险控制管理要注意两个关键问题:一是风险控制目标的确定与分解,二是责任落实。当然,在有效地管理规划与控制风险时,还应注意工程项目风险控制的执行与反馈。这是对风险控制效率和效果评价与规避风险能力再提高的过程,检查风险管理方案的实施情况,对风险情况进行监控,用实践效果评价风险管理决策效果。要确定在条件变化时的风险处理方案,检查是否有被遗漏的风险,对新发现的风险因素应及时提出对策。
3、结语
对房地产项目风险的分析研究在国外是可行性研究中一项不可缺少的内容,特别是近二三十年来得到了迅速发展。要避免房地产项目管理的风险,必须对房地产项目管理过程中可能出现的种种风险和不确定性因素做出较为精确的定性和定量分析。目前,我国房地产业的发展规律、经营管理的实践还缺少理论研究和总结提高,许多项目管理者甚至各级政府在房地产项目的运作上还存在一定的盲目性和不科学性,对房地产业的风险更是缺乏深刻的认识,对房地产投资风险的全面论述也比较少。因此,房地产项目风险管理的理论研究和实践运作,不仅是房地产项目管理者面临的一个重要课题,而且是房地产业管理和政策制定部门所必须关注的内容。
参考文献:
[1]谭术魁.房地产项目管理[M].北京:机械工业出版社,2004.
关键词:医院;内部审计;风险控制
中图分类号:F239.66 文献标志码:A 文章编号:1673-291X(2009)06-0095-02
风险管理是指企业在日常的经营中,通过对风险的认识、衡量和分析,并以最小的成本达到最大安全保障的管理办法[1]。人们对内部审计基本认识还停留在针对医院的经济业务活动进行监控,查漏补缺、查错防弊,事后审计是审计主要形式。随着内部审计不断发展,审计已由账项审计、制度审计、管理审计逐步发展到对本单位风险管理和风险控制,并将其作为内部审计的重要领域,这一做法得到了国际内部审计职业界的普遍认可,1999年国际内部审计师协会把评价和改善组织的风险管理和控制的有效性作为内部审计的主要内容。本文将对医院内部审计在风险控制和管理方面作简要的阐述。
一、什么是风险、风险管理
(一)风险及风险因素
风险是在一定环境和限期内客观存在的,可能导致费用、损失与损害产生的不确定性。它具有客观性、普遍性、必然性、可识别性、可控性等特点。
风险因素,是指能够引起或增加风险事件发生机会或影响损失的因素。风险因素可分成三类:
1.物理因素,是指增加风险发生机会或损失严重程度的直接条件,在医院如购进不合格卫生材料、医疗仪器设备出现故障可能影响病人人身安全等。
2.道德因素,是指由于个人不诚实或不良企图,故意使风险事件发生或扩大已发生风险事件的损失程度的因素,如医德医风风险等。
3.心理因素,是指由于人们主观上的疏忽或过失而导致增加风险事件的机会或扩大了损失严重程度的因素,如医护人员因责任心不强,未能严格执行医疗操作规范等。
在医院面临的风险有医疗风险、经营决策风险、财务风险、管理风险、医德医风风险等。
风险可能导致医院名誉受损,经营陷入困境,发生财务损失等。
(二)风险管理
风险管理作为一种特殊的管理功能,它是为人类追求安全和幸福的目标,结合前人的经验和近代的科学成就而发展起来的一门新的管理科学。什么是风险管理,美国学者克里斯蒂认为风险管理是组织为控制偶然损失的风险,以保全所得能力和资产所做的一切努力;美国学者威廉斯和理查德・汉斯认为,风险管理是通过对风险的鉴定、衡量和控制,以最低的成本使风险所造成的损失控制在最低程度的管理方法;我国有学者认为,风险管理是医院通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。
从风险管理定义以上看出风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;风险管理是一种管理方法。
二、医院内部审计涉足风险控制和风险管理动因
从医院经营和管理要求,医院业务和管理行为一定要趋利避害,减少风险,稳健经营,医院内部审计涉足风险管理有重要原因:
(一)医院面临的风险日益增大
近年来,随着社会经济的发展,特别医院经营与国民经济联系越来越紧密,使医院经营环境变得日趋复杂,医疗市场竞争加剧、医疗体制改革不断深入,医院经营风险也大大增加。因此,减少医院面临的风险是组织实现经营目标的关键,也是医院的管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是医院的管理咨询师,因此,内部审计部门和内部审计人员参与医院的风险管理也是其角色定位需要。
(二)内部审计自身发展的需求
内部审计部门为了不断地发展,为了在医院中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对医院又十分重要的领域,医院高层管理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在医院中成为一个重要的角色,并将其在医院中的作用推向一个新水平。
(三)内部审计能够在风险管理中发挥独特的作用
1.客观、全局性的管理风险
风险在医院内部具有感染性、传递性、不对称性等特征,一个部门造成的风险或疏于风险管理带来的后果往往不局限该部门,可能会传递到其他部门,最终可能使整个医院陷入困境,如一个医疗责任事故,可能引起其他临床科室病人恐慌,造成对医务人员的不信任心理。还如采购部门为节约采购成本,过于强调价格而忽略质量,这种暗藏的风险会在临床应用中反映出来,最终给医院造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。
内部审计部门独立于业务管理部门,可以从全局出发、从客观的角度对风险进行识别,及时建议相关管理职能部门采取措施控制风险。
2.控制、指导医院的风险策略
内部审计部门处于医院决策层、业务和职能部门之间,内部审计人员能够充当医院长期风险策略与各种决策的协调人,从独立第三者角度调控、指导医院的风险管理策略。
3.内部审计部门的建议更易引起重视
在医院各职能部门如医务、护理、后勤基建、设备采购对各自部门风险都会有一定的管理措施,但它们在管理活动中毕竟视野和高度不够,存在本位主义,不一定能从医院全局角度去控制整体风险,内部审计部门独立于管理部门,其风险评估的意见直接供决策层参考。
(四)外部审计的影响
近年来,注册会计师的业务领域不断扩展,如风险评估,且逐渐成为主要业务之一,这内部审计产生重大影响。内部审计在单位内部风险管理方面拥有注册会计师无可比拟的优势,比如:内部审计对医院面临的风险更了解、对防范医院风险、实现医院目标有着更强烈的责任感、对医院业务活动流程更熟悉。但外部审计比内部审计有更专业的审计方法和高素质的审计人员,在基建工程等投资金额大、周期长的项目,应引入外部审计进行风险控制。
三、内部审计如何参与风险管理
其他部门与内部审计部门所进行的风险管理相比较,既有紧密的联系,又有区别。联系在于,两者目的是统一的,都是为了降低医院的风险;两者的区别在于在风险管理中的角色不同。正是上述的联系和区别,导致了内部审计进行的风险管理过程与一般风险管理过程具有相同点和不同点。
内部审计进行的风险管理是在一般部门进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:
(一)风险识别
所谓风险识别是指对医院所面临的、潜在的风险进行判断、归类和鉴定风险性质的过程,换言之,就是要确定医院正在或将要面临哪些风险。内部审计对原有的已识别风险是否充分进行评价,即医院所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。采用的方法包括决策分析、可行性分析、统计预测分析、投入产出分析、流程图分析、资产负债分析分析等。
(二)评价已有风险
风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计对已有的风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。采用的方法主要有:风险报酬法(又称调整标准贴现率法)、风险当量法、解析方法等。
(三)评估风险防范措施,提出改进意见
风险的防范措施是指为降低已识别风险所采取的措施,也称风险管理工具的选择。内部审计对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计应提出改进措施和建议,以强化医院的风险管理,降低风险损失。采用的方法有:损失控制、签订免除责任协议等。
综上所述,内部审计涉足风险管理领域有其客观必然性。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理的再监督,但这绝不意味着内部审计部门可以控制、管理所有的风险。内部审计介入风险管理是一个崭新的事物,对内部审计如何在风险管理中发挥作用是一个需要长期研究的课题。
