公司整体风险管理评价体系设计
——基于内部审计视角的研究

●江苏省无锡供电公司 朱永彦

公司整体风险管理评价体系设计
——基于内部审计视角的研究

●江苏省无锡供电公司 朱永彦

本文从管理整合的角度考察电网企业各层面、各业务的风险，运用内部审计参与风险管理的独特优势和职能，在风险管理目标体系的指导下，识别公司风险、提炼风险管控点、设定评价指标，以此构建了电网企业的整体风险管理评价体系。

风险管理 内部审计 风险管理评价

引言

企业风险管理构成现代经济组织的核心管理职能之一，并成为未来企业核心竞争力的重要组成部分。风险管理评价作为风险管理有效实现的重要保障，其重要性不言而喻。但从实践来看，主要存在两大不足：一是在操作实践上，往往缺乏统一、整体性的统领机制，各项工作的开展无法形成合力，甚至造成了目标冲突、交叉和重复。因此，有必要构建一个风险管理评价系统，以保证全公司范围内风险管理制度制定和制度执行的有效性。二是在归口管理上，较多企业将风险管理、内控等归口于财务部门，但财务部门负责此项工作容易陷入财务视野的束缚或局限于流程、制度等；相对而言，由内审部门负责风险管理评价工作，一方面更加全面和系统，能够覆盖公司整体各个业务领域，另一方面也能与原有的各项审计工作较好地整合与衔接。

基于此，本文从内部审计视角，对建立电网企业整体的风险管理评价体系进行探讨。

一、理论回顾与实务框架

（一）整体风险管理框架。进入21世纪,随着全球一体化的发展及企业外部环境变化不确定性的增加,传统的风险评价与应对理论已不适应多变的外部环境。COSO在《内部风险一体化框架》的基础上，又提出了企业整体风险管理。该报告指出企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

英国政府与中国建设银行均应用了整体风险管理的方法，即通过有效利用各种资源，以整体战略的方式管理风险，为组织目标的实现提供合理的保证。

（二）内审视角的风险管理评价。根据IIA（国际内部审计师协会）2001年版《内部审计实务标准》，内部审计工作被定位成是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价，进而提高它们的效率并帮助机构实现目标。《审计署关于内部审计工作的规定》把风险管理作为内部审计的重要领域直接写入了内部审计的定义。

当前，在电力体制改革过程中，随着风险的加剧，企业高层和各职能部门都必须从风险管理角度去安排公司战略、实施各项业务，其中内审部门的职责便是尽早建立“风险导向”或“风险基础”的审计程序和方法体系，从而实现对企业所面临的各类风险及相应风险管理水平进行系统、全面地评价。

二、电网企业实行整体风险管理评价的必要性

（一）企业特征决定了要实施整体风险管理评价。电力行业具有天然垄断性，具有输配供一体化的经营特点，发电、输配电以及售电业务是瞬间完成的，在管理上具有天然不可分割性，不可孤立地进行单个业务的风险管理。另一方面，电力企业是资本密集型企业，其日常经营包括投资、建设、生产、运营等多个环节，各单元之间联系紧密、不可随意划分，并且各环节涉及的风险范围广，各风险之间相互关联、错综复杂。因此，电力企业的风险管理评价需要从一个整体视角通盘考虑、全局谋划。

（二）集中化管理模式要求实施整体风险管理评价。近年来，随着国家电网公司“三集五大”体系的全面推进，各项集约化管理措施在较大程度上提高了集团的统一化、标准化水平，实现了业务权限和管理决策权力的高度集中。但是同时，集约化措施在提高了合规性水平、产生规模经济的基础上，也使得相应的风险前所未有的集中。在此背景下，电网企业的风险管理必须从公司全局出发进行统筹考虑，相应地也必须实施整体风险管理评价体系。

三、电网企业整体风险管理内审评价体系

（一）风险管理内审评价整体框架。本文构建风险管理评价体系的主要思路如下：

1.识别公司整体风险。识别和分析公司整体、各部门以及各项业务所涉及的风险类型、分布层面、形成原因等。

2.构建公司风险管理目标体系。根据关注的风险，分析风险管理的总目标及各单项风险的管理目标。

3.确定风险管控点。在流程梳理的基础上，确定各层面的主要风险点，并相应确定管控内容。

4.设定风险管理评价指标。该研究基于内部审计视角，从风险管控点出发，设计出若干评价要点，建立评价指标。

以此构成了公司整体风险管理评价框架，其中第四项是该框架的核心部分，如图1所示：

图1整体框架

（二）公司整体风险识别。电网企业在投资、建设、运营等多个方面均承担着巨大而又复杂的压力和风险，需要发挥内部审计的监督、鉴证职能，仔细识别和辨认企业整体、各部门以及各项业务所涉及的风险，分析各项风险的分布层面、形成原因及可控制程度，并据此绘制电网企业风险图谱。

图2 电网企业风险图谱

根据本文研究内容，从风险管理评价的角度选择以上14类风险（图中阴影部分）作为研究对象，它们对于公司经营的效率、效益以及合法性等都有着更为直接的影响。

（三）风险管理目标体系构建。根据以上14类风险，构建电网企业风险管理目标体系。该项研究从风险管理总目标出发，进一步延伸至各单项风险的管理目标。总目标和各单项目标共同形成完整的目标体系，引领着风险管理评价工作的开展。

图3 风险管理目标体系

（四）风险管控点的确定。风险管理目标最终落实到具体的风险管理活动，根据风险管理制度及执行是否实现预期目标，需要系统梳理电网企业各层次、各类别的业务流程，形成风险点及管控内容。

风险管控点选择的依据一是在岗位责任转移的环节设置，二是在业务流、命令控制流、信息流交汇处设置。根据以上原则，风险管控点设计至少包含以下六种类型（见表1）：

表1风险管控点设计类型

（五）内审视角评价指标体系设定。内审部门依据前文确定的风险管控点及控制内容对实际业务的执行情况进行评价。在实际执行中，审计人员立足于各单项风险管理目标的实现，针对各个风险管控点设计出若干项具体评价要点，并给出相应评价方法和可能的评价结果。

由于风险管理评价分为两种类型，即基于风险管理综合结果的评价和针对风险管理流程的评价，因此风险管理评价指标分为两大类：

1.风险管理综合结果评价指标。它是一系列针对风险管理工作或过程的结果进行评价的指标的总称。风险管理结果评价指标具体包括定性和定量的指标两种，通过对结果的评价以便及时发现企业风险管理中存在的问题。

2.风险管理流程评价指标。它是一系列直接针对风险管理工作或过程进行评价的指标的总称。风险管理过程的质量，包括风险识别、风险度量、风险预警和风险控制的质量，它直接决定了风险管理的结果。风险管理流程评估可以从风险管理制度评价和风险管理制度执行评价两方面着手。

第一，风险管理制度评价指标。该评估指标主要针对各类风险管理制度中的缺陷，包括完整性缺陷和有效性缺陷两类进行评价，从而为风险管理制度的改善提供依据。

第二，风险管理制度执行评价指标。该评价指标则针对各项风险管理制度的具体执行情况进行评价，以便发现执行层面存在的问题。

（六）风险管理本身与内审视角评价的互动。内审视角的风险管理评价是充分利用审计专业技能和优势实现更为细致和具体的风险管理评价工作。风险管理评价推动了风险管理活动的改进和优化，从长期看，它能定期或不定期地推动风险管理活动的有效开展。所以说，内审视角的风险管理评价和风险管理活动交织运作，能够共同促进企业风险管理工作的发展和企业经营绩效的提高。两者的互动关系如下图。

图4 风险管理评价和风险管理活动的互动

四、小结

本研究构建的整体风险管理评价系统覆盖了公司各层面、各部门以及各业务类型，以全局化、一体化、前瞻性的方法去评价和管理风险，突破了传统风险管理评价模式，适应电网企业的环境和特点。另外，该体系构建从现代内部审计的职能出发，通过对风险管理制度和活动实施审计评价，实现对企业整体风险的有效控制和防范。■

1.高学余、吴婧婷.2009.内部审计与风险管理的融合［J］.国际商务财会，3。

2.李兆华、杨晨岚.2011.风险管理视角下的内部审计新视野［J］.经济研究导刊，23。

3.[美]R.E.麦格尔.1985.风险分析概论［M］.石油工业出版社, 12。

4.[美]小阿瑟.威廉姆斯、理查德.M.汉斯.1990.风险管理与保险［M］.中国商业出版社，11。

5.孟焰、潘秀丽.2006.企业风险管理审计研究［J］.审计研究，3。

6.申景奇.2007.现代企业风险管理的理性选择——整体风险管理［J］.中国管理信息化，12。

7.吴水澎、陈汉文.2000.企业内部控制理论的发展与启示［J］.会计研究，5。

8.谢荣、吴建友.2004.现代风险导向审计理论研究与实务发展［J］.会计研究，4。

9.张振川.2004.现代企业风险价值管理问题探讨［J］.会计研究，3。

10.周立.2001.金融工程与风险管理［M］.中国金融出版社，8。