一、企業風險與企業風險管理的定義
(一)企業風險
首先,風險產生于不確定性因素的存在,如果企業運行的內外環境是確定的,則不存在企業風險。其次,企業運行環境的不確定性帶來了企業運行結果的不確定性。一般來說,我們更注重企業的運行結果,對預期結果的實現與否及可實現程度的大小成為了衡量企業風險大小的現實標準。因此,可以認為,企業風險則是企業運行結果偏離期望結果的可能性。筆者認為,企業目標是企業期望達到的一種結果狀態,但由于相關因素的持續不斷的變化,企業目標的實現存在不確定性。因此,企業風險可以描述為企業目標不能得以實現的可能性。
(二)企業風險管理
COSO于2004年頒布的《企業風險管理框架》中指出“企業風險管理是一個過程,它由董事會、管理當局和其他人員執行,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在風險容量之內,并為主體目標的實現提供合理保證。”
我國內部審計協會2005年發布的內部審計具體準則16號——《企業風險管理審計》中指出“風險管理,是對影響組織目標實現的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現提供合理保證。”
從上述對風險管理的解釋可以看出,企業風險管理的最終目標是為企業目標的實現提供合理的保證。
二、供電企業面臨的主要風險
(一)外部風險
1.國家法律、法規及政策的變化。電力行業是關系國計民生的行業,其經營狀況受國家政策和宏觀調控的影響很大,比如電價的調整、國家產業政策的調整等,都對供電企業的經營產生了直接影響。
2.經濟環境的變化。經濟環境是供電企業經營的外在氛圍,經濟的增長、投資的增加、資本的流動等因素都直接影響了供電企業目標的實現。
3.訴訟風險。隨著人們的法律意識越來越強,國家的法律體系越來越健全,供電企業面臨的訴訟風險也日漸增加。
4.自然災害及意外損失。如:惡劣天氣造成的線路或設備故障。
(二)內部風險
1.資產管理風險。供電企業資產總額中,通常固定資產的比重較大,這些固定資產具有價值大、數量多、分布廣等特點,資產管理的難度大。例如很多的線路、設備是在空曠的室外,人力無法時刻監管,丟失嚴重。
2.客戶信用風險。電能是供銷同時完成的,客戶基本上是先用電后繳費,也就是說供電企業其實是在進行大額賒銷,因此形成呆壞賬的風險很大。
3.資金運作風險。包括對外投資、借款,提供擔保,進行抵押、質押等。
4.安全管理風險。電力行業是一個高危行業,也正因此,電力行業的操作規程也特別多,尤其是安全管理方面。
5.內控制度缺失或失效形成的風險。內控制度是風險防范的重要手段,如果在關鍵的控制點沒有設置必要的控制,或者設置的內控制度起不到應有的作用,必然會給企業帶來巨大的風險。
三、將內部控制評價作為供電企業實現向風險管理審計轉變的基礎
(一)內部控制評價與風險管理審計的關系
1.企業制定各種內部控制制度的目的是防范可能發生的風險,因此內部控制是企業風險管理的手段和內容之一。
2.從審計方法的演變上看,風險管理審計是內部控制審計發展到一定階段的產物,因此,內部控制評價是風險管理審計的基礎性內容。
3.從審計目的上看,二者具有一致性。無論是風險管理審計還是內部控制評價,最終的目的都是為了審查和評價審計對象(內部控制或者風險管理)的適當性和有效性,提出改進建議,促進企業目標的實現。
(二)目前供電企業進行內部控制評價需要做的主要工作
1.內部控制的健全性評價。內審人員需通過對企業主要業務流程的梳理,形成完整的業務流程資料,并標示出關鍵控制點,對照每一個關鍵控制點,看企業是否有相應的控制制度。通過這種比對,來評價內部控制的健全性。
2.內部控制的有效性評價。內審人員通過穿行測試等方法來確定內控制度是否被有效執行,如果未被有效執行,要分析原因是什么,是制度本身缺乏可執行性,還是執行人的問題;如果內控制度被有效執行了,要看執行的結果是否達到了最初設置的目的。
3.內部控制的合理性評價。筆者認為內部控制的合理性評價主要是看內控制度是否符合成本—效益原則。對一個企業來說,內控制度必不可少的,但也并非越多越好。目前供電企業金字塔式的組織結構,雖有利于管理指令的上傳下達,但不利于部門間的橫向溝通,很易形成“多頭管理”,對同一個控制點,出現多個控制制度,且制度間有的相互沖突抵觸,使執行者無所適從,最終使內控制度流于形式。
4.適時改變審計統計報表內容。目前供電企業內部審計統計報表對審計業績的反映主要通過增收節支、查出違規違紀金額、查出損失浪費金額等指標來體現,帶有明顯的政府審計色彩,不適應內部審計職能轉變的要求,也不能準確全面地反映內部審計在內部控制、風險管理中發揮的作用和取得成效,所以,供電企業應適時對報表格式和內容進行調整,以促進內部審計向企業風險管理審計的轉變。
(三)內部審計人員在進行內部控制評價時,應充分考慮內部控制的限制性因素,做出合理的評價
筆者認為內部控制的限制性因素主要有:
1.內部控制的設置和運行受制于成本效益原則。
2.內部控制一般僅針對常規業務活動而設置。
3.即使是設置完善的內部控制,也可能因有關人員的疏忽、誤解和判斷錯誤而失效。
4.內部控制可能因有關人員相互勾結、內外串通而失效。
5.內部控制可能因執行人員濫用職權或屈從于外部壓力而失效。
6.內部控制可能因經營環境、業務性質的改變而削弱或失效。
