关键词:信用贷款风险商业银行
在实践中由于各个商业银行所采取的组织架构和业务运作理念各不相同,有的属于所谓的流程银行,也有的属于部门银行,因此他们的风险控制体系也略有不同。但总体而言,设立在总行的风险控制中心以及设立在各业务单元中的风险管理部门是风险控制体系必备的要素,而这两部分与个人信用贷款业务的风险控制密切相关,加强个人信用贷款业务相关的风险控制体系正是从这两个部门入手。
1、专职专能,加强合作
业务部门内部的风险控制部的职责通常是制定业务相关的风险控制政策、统筹业务内的风险管理、采取风险控制措施、进行汇总风险计量分析并向总行汇报。在西方银行,个人信用贷款业务内部的风险控制部是业务运作的前沿指挥部,是其他各部门在实际业务开展过程中的交流平台和监督者。风险控制部门作为个人信用贷款业务进行具体风险控制的主体,必须以构建以风险控制部为核心,其他各部门围绕风险控制部展开平等合作。个人信用贷款业务是通过各相关部间相互协调、环环相扣而最终完成的,因此必须建立相互协作同时又相互监督的部门间合作关系。
在个人信用贷款业务的开展过程中,各部门应该以风险控制部为合作平台,以内部环境风险控制为一致的目标,定期进行关于内部环境风险控制的会议。在会议上各部门对于风险相关的问题具有同等的话语权,共同商定该业务的目标收益率和可承受的风险系数并运用第四章中的风险收益优化决策模型进行各贷款类型的权重分配。
2、合理规划,控制流程
风险控制部必须联合其他各部规划好规范、合理的业务运作流程。规范、合理的业务运作流程与流程中的风险控制机制之间的关系正如地基与建筑物的关系。正如没有稳定安全的地基作为基础就不可能有漂亮的建筑物树立起来,对于个人信用贷款业务来说,没有规范、合理的业务运作流程就不可能有完备的风险控制机制以此为基础进行建立。因此,要做到提高业务效率,降低面临的风险,最关键的是建立规范、合理的业务运作流程。与其它商业贷款相类似,个人信用贷款的业务运作流程主要分为营销、贷前、贷中、和贷后四个个阶段,共六大流程,流程总图。
风险控制部必须在业务运作流程之上制定业务风险控制节点并在每个风险控制点至少安排一个风险控制岗进行风险监控。
3、强化信息管理,构建数据系统
对于个人信用贷款业务,其业务运作的特点之一就是业务量大而单笔贷款的额度一般较少。风险控制部在个人信用贷款业务运作过程中,必须推行业务内各部门运用现代化的信贷信息管理系统进行数据处理,利用计算机实现半自动审批和辅助决策,并实现该业务的全面电子化管理。此外,风险控制部还必须定期对个人信用贷款业务的信息管理系统定期进行更新、维护和检测,从而确保该信息管理系统处于最优运作状态,不会由于信息泄露、信息丢失或者系统延时等情况造成不必要的损失。从风险管理的角度来看,个人信用贷款信息管理系统能从整体上提高上述各内部环境风险控制措施的执行效率,从而起到防范个人信用贷款业务中系统性风险的作用。主要体现在以下三点:首先,由于个人信用贷款信息管理系统的信息共享,确保了信息的实时性,提高了组织架构内各部门的合作效率以及业务信息在业务运作流程中各阶段间的流转效率。其次,由于个人信用贷款信息管理系统可实现系统自动审批,能够大量减少人工核对信息以及基本逻辑判断所占用的时间,在把简单业务操作的错误率降至最低的同时相对增加了业务员进行人工业务分析的时间,从而把贷中审批阶段的风险控制节点发挥最大作用。再次,通过个人信用贷款信息管理系统可以起到规范个人信用贷款业务流程的作用。个人信用贷款业务流程由于各个环节之间的紧密相扣,当把流程中的各环节都设置在信息管理系统内部进行流转时,信息管理系统以其流程优化决策以及权限控制的优势可对整个业务流程进行有效的规范管理。
参考文献
[1]黄宪.商业银行全面风险管理体系及其在我国的构建[J].中国软科学,2009;2
在炼化企业实施内控与风险管理过程中,完善了重大决策、投资、财务、采购、销售等高风险领域的重大风险控制,制定了有效的防控措施和应对预案,真正把风险管理与企业的关键业务环节紧密结合起来,建立适合炼化企业业务特点的风险量化分析和监测预警机制,从而提高了炼化企业对风险的预警能力、反应速度和应对水平。
2炼化企业内控与风险管理现状研究
根据炼化企业内控与风险管理的特点,从5个方面对其现状进行分析。
(1)炼化企业基本完成内控与风险管理体系建设。在内控与风险管理体系建设过程中,炼化企业不仅借鉴了国际先进的管理经验,还创造性地建立了完善的内控体系框架,形成了系统的内部控制规范,实现了炼化企业内控体系建设、运行和维护的统一标准和行动准则。实现了与国际先进管理方法的融合,促进了经营管理的系统化、程序化和规范化。
(2)炼化企业内控与风险管理水平不断提高。借鉴国际大企业风险管理实践,研究建立企业风险评估方法。以财务报告为切入点,对炼化企业主要业务领域的风险进行了评估。结合内外部形势变化和企业经营管理实际,持续开展重大风险评估,完善风险管理策略和解决方案,健全了全面风险管理报告编制工作机制。随同业务流程梳理,全面评估经营风险,建立经营风险数据库,实现从财务报告风险评估向经营风险评估的拓展。
(3)炼化企业创新运用流程管理方法,实现岗位职责、风险控制与业务流程有机结合。炼化企业制定了业务流程管理制度,建立企业统一的业务流程架构,涵盖炼化企业全部业务领域,实现了业务流程的标准化和规范化。企业还建立了业务流程管理信息系统,形成了规范的业务流程数据库,实现流程管理信息化、控制测试信息化。炼化企业通过开展业务流程梳理,明确管理职责,识别并有效控制风险,形成覆盖经营管理全过程的业务流程管理规范。
(4)炼化企业建立健全了内控监督机制,提升了内控与风险管理的执行力。讲流程、讲规范、讲控制成为企业各级管理人员的广泛共识。炼化企业已经形成了内控与风险管理体系审计测试、考核评价、持续改进的良性循环,使企业的各项业务都用相关制度、规范来检查要求,促进了内控与风险管理体系的持续有效执行。
(5)炼化企业通过实施内控与风险管理体系提高了全员的风险意识,丰富了企业文化。通过强化内控与风险管理的宣传培训,提高了全员对内控与风险管理重要性和必要性的认识,树立了风险无处不在、风险无时不在、风险管理责任重大的风险管理理念,形成了以守法意识、诚信意识为重点的风险管理文化,丰富了企业文化内涵。
3结束语
(1)炼化企业要继续深化风险管理,完善企业各层次的风险评估。定期组织评估企业面临的风险,确定重大风险管理策略和解决方案,建立完善的风险事件库和风险数据库。围绕企业的发展目标,在已有内控与风险管理的基础上,开展涵盖经营管理各领域的业务活动风险评估。
(2)炼化企业要深入推进流程管理工作。建立科学、完善、符合炼化业务发展的流程架构和分类、分级标准。加快建立战略发展、核心业务和管理支持的业务流程与控制规范,形成合理规范的业务流程。运用流程管理系统建立起适应信息化发展的业务流程数据标准,促进流程执行力的提升。
【关键词】商业银行 业务集中处理模式 操作风险
随着金融全球化发展,国内商业银行竞争日益激烈,部分商业银行借鉴国际经验,着手探索推进柜面业务集中处理的运营模式,以提高业务处理效率,满足“以客户为中心”的功能转型。操作风险是由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险,在推进业务集中处理过程中必然伴随着各类操作风险的变化和转移,如何监测、控制与评估操作风险成为有效实施业务集中处理模式的重要环节。文章通过分析业务集中处理模式的主要特点,与传统业务处理模式进行比较,探索商业银行推进实施业务集中处理模式可能面临的重要操作风险冲击,提出加强业务集中处理操作风险管理的具体建议。
一、业务集中处理模式描述及其主要特点
我国商业银行传统的柜面业务处理由各营业网点前台人员分别受理并操作,对于需要复核、授权的业务再由网点相应人员进行后续操作,这种分散处理模式存在效率低、风险点分散、风险控制难度大的特点。业务集中处理模式是指银行依托科技手段,建立统一的业务集中处理平台,将前台受理上传的凭证资料影像信息切割成碎片,由后台采取跨网点、跨地区集中核算方式实现业务集中处理的一种业务处理模式。与传统业务处理模式相比,业务集中处理模式具有以下主要特点:
(一)业务处理区域分层管理、处理流程归一化
在业务集中处理模式下,主要形成“前台分散受理,后台集中处理”的分层管理,营业网点前台受理业务后,只负责对客户提交凭证的真实性和业务依据进行审核,具体账务处理则由后台(下称作业中心)操作,作业中心对业务的合规性、业务依据的完整性进行负责。因此,传统处理模式操作分散、交接环节较多,各网点把握的操作流程可能存在差异;而业务集中处理模式实行分区管理,有利于形成规模化效应,统一操作流程,提高业务处理效率。
(二)业务办理依据电子化,流程控制系统化
在业务集中处理模式下,客户提交的凭证需由前台即时传递到作业中心,因此需要依托影像传递、数据传输等系统来实现,即前台审核凭证后通过系统将相关影像和数据传递至作业中心。作业中心依托集中处理平台,由不同人员分别对随机反馈的业务碎片进行补录,系统自动碰对再配对合并成完整信息,这一过程彻底打破了传统模式的“一手完成”、人工复核或授权限制,实现了事中系统控制,能有效降低人工干扰因素。
(三)业务处理标准和业务凭证的统一化
在业务集中处理模式下,账务处理由作业中心统一操作,由于需要将原本分散处理的业务传递到同一平台,同一笔业务也要被分割成不同碎片随机交由人工处理,最终再由系统进行配对整合,这一过程本身决定了需要统一的业务处理标准和业务凭证。
(四)集中业务品种的限制性
商业银行日常柜面业务可粗略作如下分类:涉及现金的业务,仅提交相关票据、凭证等的业务,以及客户通过网上银行发起但需要银行人工处理的业务。业务集中处理的一个关键环节在于信息如何传递到作业中心,对于票据、凭证类和网上银行等信息,可通过系统进行有效处理,但对于涉及现金收付清点、核对的人工操作环节,则难以通过系统分割和传递,由此推想,业务集中处理模式对于涉及现金类的业务集中存在较大限制性。
二、某商业银行业务集中处理实施情况
(一)推进业务集中处理现状
某商业银行自推行业务集中处理试点取得成效后,2010年开始实行全面推进。在网点集中方面,截至2011年初,实行业务集中处理的网点占全行网点总量的80%以上;在集中业务量方面,多项业务品种的集中处理业务量占业务总量的60%以上;在业务处理效率方面,截至2011年初,平均每笔业务处理时间达到2.5分钟,较传统模式有较大提升;在集中业务品种方面,基本是本外币票据汇款转账业务、个人客户信息登记、网上银行人工处理等;在人员配置方面,网点柜面复核人员有一定节省,而作业中心人员组建仍需结合业务开展情况不断充实;全行操作风险监控人员配置暂时没有大变化。
(二)阶段性推行效果
根据该行业务集中处理推行情况可看出,业务集中处理模式有利于业务量较多、营业网点分布广泛的综合性商业银行,随着业务集中程度提升,其规模化效应也逐步显现,业务处理效率可随之提高。另一方面,反映出推进业务集中处理牵涉到系统建设、制度流程、人力资源等因素,需要一个持续过程;该行集中的业务品种暂时未包括现金类业务;业务集中处理后操作风险重要环节突出,业务处理更多通过集中处理平台传递,银行的监控方式与风险控制措施也尚待改善。
三、推进业务集中处理模式的关键操作风险
(一)流程管理失败风险
在流程管理中,制度建设与业务流程设置为首要,而在推行业务集中处理的过程中,必然涉及到相应规章制度、业务流程的修改更新,这一环节可能存在的操作风险有以下几种。一是制度制订不完善、不及时,业务流程设置不流畅造成风险隐患;二是在制度与流程更替过程中可能产生的操作风险;还有一种是实施新制度、新流程后由于管理因素造成的风险。
(二)业务中断和系统失败风险
由于业务集中处理的各环节必须依托科技系统进行信息传递与业务操作,随着业务集中程度的提高,银行日常业务处理的正常运行更多地取决于系统的平稳运营,若相关系统中断或存在疏漏,而手工处理难以补救,则很可能造成业务停顿,对银行影响巨大。
(三)前台业务处理真实性风险
根据业务集中处理要求,前台柜员受理凭证后,通过影像系统或数据信息系统将相关原始数据传递到作业中心,作业中心主要凭借系统反馈信息进行后续账务处理。此时对业务依据的真实性要求变得非常重要,若缺乏有效措施确保原始单据的真实性、有效性,则很可能为内外部欺诈提供可能,
(四)集中处理环节风险
实行业务集中处理后,主要账务处理由作业中心负责,换言之是将传统业务处理模式的主要操作风险集中到后台,作业中心各岗位操作环节也随之成为操作风险高发环节,作业中心人员是否按制度要求执行、是否按标准流程操作、是否存在工作疏忽或操作失误等,都是关键操作风险管理的重要区域。
(五)风险控制措施与集中处理模式不匹配形成的风险
如上述案例所述,实行业务集中处理模式后,操作风险在前台与后台之间进行了重新分布,但同时部分业务的集中又存在一定现实困难,需要继续按传统模式处理,此时若不能合理分配风险监控资源、制定有效风险控制措施,则可能出现监控虚位的情况,存在极大操作风险。
四、加强业务集中处理操作风险管理的建议
(一)完善制度建设和流程设置
为防范推进业务集中处理模式过程中,由于制度更新或流程重新设置不衔接而产生的操作风险,商业银行应在前期进行充分调研探讨,对各阶段潜在的操作风险进行识别、评估,在此基础上预建立一套较完整的规章制度和操作手册,通过试点行的反复实地验证进行修改,最后达到设定标准的方进行全面培训实施。在整个过程中,应不断加强对试点行各项操作风险指标的监测和评估,积极收集一线操作人员反馈的建议;全面实施后,也要建立定期监测评估制度,根据业务发展适时更新相应制度和操作流程,防范操作风险隐患,形成良性循环。
(二)运用科技手段,牢固系统建设
业务集中处理模式涉及到网络传输和信息系统等科技系统,为防范系统失败风险,商业银行应加强计算机安全防护建设,提高应用系统的稳定性能和抗灾能力,建立系统备份,加强数据安全管理,制定重要数据查询、存储、销毁等环节的控制措施。
(三)针对关键风险环节,完善操作风险监控体系
1.确保原始凭证真实性
鉴于业务集中处理前后台信息传递的特点,商业银行应采取措施加强源头真实性审核,除加强业务人员培训,树立风险防范意识,提高制度执行力外,还可以在营业网点建立影像上传复核制度,对重要业务的上传凭证真实性进行相互复核,作业中心凭借已复核的影像信息进行业务操作,其次还可以在作业中心建立监控录像回放系统,对存有疑问的信息通过调阅录像进行核实。
2.加强业务集中处理环节操作风险监控
首先要深化作业中心业务人员培训,使其熟悉各操作流程和操作标准,同时对作业中心处理环节进行科学分割,设置专业岗位,实现专业化分工、流水线作业模式,各岗位相互制约、相互控制,降低操作失误,提高操作风险防范能力。
3.健全业务操作风险监控体系
合理配置风险控制资源,依托操作风险监管系统,通过建立监测模型对操作风险进行量化管理,对识别出的风险点进行分级管理,如根据风险系数、风险控制难度、可能造成损失的大小等指标对风险点进行分级,按照由易至难分别由营业网点、管辖部门、省市级管理部门、甚至总行直接进行风险管理、评估和控制,形成各层次、全方位的操作风险管理体系。
(四)建立应急预案体制
在科技经济高速发展的时代,外部经营环境瞬息万变,商业银行应做好应对和处置突发事件的准备,最大限度地预防和减少突发事件造成的风险损失,预先制定一套相对完整、可行性强的业务集中处理应急预案制度,明确当面对突发事件时的工作原则、应急处置组织体系、应急程序、应急保障等方面内容,并加强日常应急演练,提高风险防控能力。
参考文献
[1]徐学锋.商业银行操作风险管理新论[M].北京:中国金融出版社,2009.
[2]肖艺,李海文,李彦.商业银行会计业务处理模式变迁的操作风险及其防范[J].金融论坛,2009,(6).
[3]陈冲,王晓琳,卢峰.加强商业银行会计业务集中处理模式管理的思考[J].金融会计,2009,(2).
摘 要为了适应市场化、国际化快速发展新形势,实现公司“规模化、标准化、国际化”战略,特别是中国核电上市后资本市场上带来的新风险。因此,作为其子公司的海南核电有限公司(以下简称海南核电)要想在这样的经济潮流中生存、竞争、发展,就必须提高自身的竞争能力,从而建立健全企业内部控制制度。
关键词内部控制 风险管理 流程优化
一、前言
本文立足于海南核电实际管理现状,运用内部控制的基本原理和流程管理理论对海南核电管理现状进行分析,发现内部控制关键业务流程存在的问题以及产生的原因。据此提出以风险管理为导向,流程管理为载体,优化海南核电内部控制关键业务流程的方案。并以海南核电关键业务流程优化的模型设计为突破口,运用“目标-风险-控制”的流程操作方法查找控制缺陷,辨识和评估影响目标实现的各种风险,进行风险和控制措施的嫁接,实现 “目标―风险―控制”的对应。实现海南核电内部控制目标从查错防弊向全面促进企业经营目的实现的转变,最终达到提升海南核电经营效率与效果目标,使公司战略目标“平稳落地”的目的。
二、海南核电内部控制关键业务流程现状调研
为了全面了解内部控制在海南核电的实现程度,分析和评估海南核电业务流程的设计有效性和执行有效性,2015年5月,海南核电成立了专门的调研小组,制定了调研计划,开展了内部控制关键业务流程的调研工作。
调研小组确定的具体调研方法和调研过程如下:
(一)通过对海南核电的行业和经营历史研究,初步设计海南核电面临的内外重大风险清单以及重大风险所对应的内部控制业务流程框架。
调研小组查阅了核电行业的相关资料,并且对行业产业链以及行业核心价值区域进行了分析,利用网络、资料库以及相关企业调研等方式对国家产业政策、市场需求、竞争对手等进行了调研。并且结合海南核电的战略目标、机构设置、历史运营数据分析等,初步确定了38项公司层面所面临的内外部风险,设计了相对应的38个内部控制业务流程。
海南核电流程体系框架设计的理念是以价值创造链条和职责分工为主线,按照海南核电主要经营活动内容,依据各自对海南核电发展战略的重要程度设计为三个层面:第一个层面是保证海南核电可持续发展以及国有资产保值、增值业务的关键业务流程,第二个层面是主要业务的管理流程,第三个层面是支持性流程。
(二)高层和中层管理团队访谈。调研小组选择了公司主管领导、各部门负责人等中高层管理团队作为调研对象,进行了现场访谈。通过中高层访谈,了解高层管理团队对海南核电所面临的重大、重要风险的判断,以及目前海南核电内部控制水平的认识,并最终确定了包括战略风险、运营风险、市场风险、财务风险以及法律风险等五类95项子风险。
调研小组选择了海南核电生产经营直接相关的25个职能部门核心骨干人员作为调研对象,拟定了访谈提纲,并进行了多场次的现场访谈,形成访谈记录。了解核心执行团队对其所负责海南核电管理职责范围内以及相关领域的重大风险,以及重大风险所对应的管控流程的判断,拟定了海南核电内部控制业务流程框架,明确了风险的控制措施和业务流程的控制目标。
三、海南核电内部控制关键业务流程优化设计
按照海南核电基于流程管理构建内部控制体系设计思路,对关键业务流程进行深入的分析,找出流程中每个阶段的问题,运用目标-风险-控制分析方法“植入”内部控制要素:包括识别目标体系,识别风险体系,设计风险应对策略,匹配现有的控制措施,根据控制评估结果,设计有效的优化建议,评估实施结果,修正优化方案,进行新一轮的流程分析。
四、海南核电内部控制关键业务流程优化的实施过程
(一)进行业务梳理规划,形成流程目录。海南核电通过业务梳理,将业务活动划分为公司治理、战略管理、投资管理、固定资产管理、人力资源管理、生产经营管理、财务管理等类型,在此基础上,通过层层细分,形成流程目录。如图1.
图1 海南核电流程目录(局部)
(二)对关键业务流程进行评估,发现缺陷。例如对海南核电固定资产盘点流程进行评估,发现该现状流程存在缺陷。该流程的评估主要从两个方面进行:一是能否满足内部控制的要求,即能否有效地防范流程面临的风险,确保控制目标的实现;二是能否确保流程具备应有的效率。通过评估发现流程存在的缺陷,为流程的优化指明方向。
(三)固定资产盘点流程优化建议。根据固定资产盘点现状流程存在的控制缺陷,对该流程进行优化的建议如下:
建议海南核电根据新的固定资产管理调整方案,以业务管理流程为基础,以业务风险为导向,以业务风险控制为目标,对于公司总部的固定资产建立合理的管理原则和操作程序,并且建立起总部对下属子公司的固定资产相关的管理原则。
从资产管理的业务风险来说,主要是资产的安全风险、成本风险、效率风险以及帐实不一致风险。上述风险的管控目标主要通过固定资产的取得(计划、申请决策、比价/招标、签约、验收)、登记(实物台帐、财务台帐、标签、卡片)与领用、转移(调配、借用、出租等)、维护(定期检修、大修、计量检定、技术改造等)、折旧、盘点清查、处置、对账等环节管理。因此,相关业务管理制度和操作规范应该针对这些风险性环节,制定相应的制度和管理规范,并且设计标准的控制文档。
五、海南核电体系建设实施效果评价
公司通过开展内部控制工作,建立了“以流程为基础、以风险为导向、以责任为重点、以控制为手段、以制度为保障”的经营理念,体现自身特色的内部控制体系。
(一)反映了“运行与成本中心”管理模式。公司通过内部控制逐步规范和完善授权以及具体业务权责界面划分,同时对公司重要业务事项的授权体系进行全面梳理,为逐步实现作为集团公司“运行与成本中心”管理模式的落地实施提供有效支撑。
(二)以实现核产业全价值链管理为愿景。公司通过内部控制对各项业务流程进行优化管理,实现公司内部处室、上级主管部门、外部协作单位之间各项业务的衔接;通过对各类制度的全面梳理,逐步实现制度体系的完整性。通过内部控制的不断完善,逐步实现公司核产业全价值链管理。
关键词:内控体系建设;内控评价;风险管理
中图分类号:F23
文献标识码:A
文章编号:1672-3198(2013)24-0110-03
凡事以理论为基,尊重客观事实,科学实践创新,可以少走弯路,取得事半功倍效果,促进目标顺利实现。内部控制体系建设亦不例外。借鉴和吸收国际内部控制领域的理论知识、实务经验,可以为企业董事会、监事会、经理层及各层级全体员工提供可参照借鉴的内部控制体系建设中流程设计、文档管理、指标体系及其评估工具,减少企业自行探索研究花费大量的研发成本,节约时间少走弯路,有利于顺利推进内控体系建设工作。促进企业切实建立起既能提升管理水平、提高公司价值,又能满足外部监管要求的内控体系,实现为企业防范风险、保护资产安全、提高经营的效率和效果、增强财务报告及相关信息的真实可靠性,为企业合法、合规经营管理和实现发展战略提供合理保证的目标。
内控体系建设是一项系统性、长期性、涉及面广泛的复杂工程。它渗透了企业整个组织的一系列活动,包括公司治理和机构设置、发展战略管理、人力资源管理、资产和财务管理、采购和销售管理、预算合同管理和财务报告等诸多领域,涵盖知识面非常广泛。所以,只有在构建内控体系时以先进内控理论为指引,认真学习内部控制相关法规、指引,并深刻领会内部控制的精髓,掌握其核心内容和精神实质,从自身实际出发,坚持理论指导实践,才能避免体系僵化、教条,实现与日常生产经营管理的充分融合。
1 内部控制体系构建理论基础
过去,内部控制建设是企业的内部行为,企业是否建立内部控制制度、是否真正执行、是否有效,都无须接受外部监管机构和独立审计机构的检查监督。现在,从内部控制体系设计开发、运行维护、信息沟通及内部监控,到对外报送、披露报告均应遵从国家政策、法规、规范要求和公认的内部控制框架。目前,我国企业内控规范体系框架是政府相关部委、机构,本着立足我国实际、借鉴国际惯例而搭建,主要包括《中央企业全面风险管理指引》、《企业内部控制基本规范》及《企业内部控制配套指引》,包括《应用指引》、《评价指引》和《审计指引》。上述政策、法规、规范为企业内部控制体系建设提供了理论支持。
2 内部控制体系建设的基本内容
凡事欲速则不达,何况企业内控体系建设是一项系统工程,涉及面广,更需要周密计划、详细安排、扎实推进,需要在综合考虑自身资源水平后,选择恰当的建设方法。无论哪种方法,都是为实现管理制度化、制度流程化、流程规范化的目标和将风险控制在可承受范围内。都是在对企业管理现状分析的基础上,识别公司内部控制的薄弱环节和这些薄弱环节对公司影响的程度,并根据评估结果有针对性地开展内部控制建设。内控体系建设可分别从公司层面和流程层面两个层面展开,最终实现公司层面风险全流程管理目标。整个构建工作围绕“目标——风险——控制”对应关系,可以概括为搭建流程体系框架与梳理业务流程、建制度框架与制度流程化、流程层面风险评估与控制措施有效性评价、公司层面重大风险识别与风险要素评估、风险管理策略与整体解决方案、管理建议报告与内部控制手册六个步骤。
2.1 搭建流程体系框架与梳理业务流程
深入了解公司的业务内容、风险特征、管理战略等,收集风险管理初始信息,搭建适合的流程体系框架,该框架以管理职能、业务板块为纵轴,以重要性水平为横轴,形成三级流程体系,以流程体系框架为基础,梳理业务流程,编制流程体系文件,为全面识别和评估流程层面业务风险打下基础。本步骤具体工作包括:搭建全面、立体的流程体系框架;梳理业务流程,编制流程体系文件;通过流程体系文件,揭示经营管理工作的现状。
2.2 建立制度框架与制度流程化
按照《风险管理指引》、《基本规范》及《配套指引》的要求,全面清理和评审企业内控制度——企业规章制度。根据企业内部机构设置及职责权限界定和实际业务活动管理关系,理顺各项规章制度的逻辑关系,清除重复的、存在矛盾冲突的和已部分或全部失效的规章制度,找出管理制度空白,全面完善制度建设,实现管理制度化,为制度流程化奠定坚实的基础。
有了健全的制度基础,将业务事项用流程固化下来,即“制度流程化”。主要是用一种简明、易于理解的图形语言描绘流程中的所有活动及其角色分工,直观地表达业务活动间的相互关系及信息的流向,通过流程图直观地分析出流程中存在的关键问题及原因,并清晰地表述出流程化的方向及改进的关键点,促进企业有效地开展培训和指导每位员工按流程进行规范操作。流程图再配以详细的流程描述,对流程中每一步骤、每一控制及文档进行陈述,把流程的转入、流转、转出或结束说明清楚。该步骤的主要工作包括:基于公司管理需求、业务范围和内容,梳理并审阅体系建设过程中涉及的规章制度;梳理并搭建《公司制度体系框架》;识别制度体系中的结构型缺陷;实现制度流程一体化管理。
2.3 流程层面风险评估与控制措施有效性评价
围绕重要业务领域和关键职能部门,基于已搭建和梳理的流程体系,识别和评估流程层面业务风险,评估现有控制措施的有效性,针对控制缺陷提出切实可行的改进建议,进行管理和业务流程全面优化,并在优化的基础之上进行固化,从而加强规范性操作,提升工作效率和效果。具体工作包括:编制专业化的流程体系文件(专业部分);从实际经营管理活动出发,根据对流程控制目标的影响程度和概率,识别流程层面的管理和业务风险(而不是依靠经验进行分解),建立流程层面风险数据库;进行流程层面风险评估,并建立流程层面业务风险的评估机制、标准和程序;评价现有风险控制措施的有效性,识别流程层面控制缺陷,针对已识别的剩余风险进行控制措施设计,提出改进建议,进行业务流程优化。
2.4 公司层面重大风险识别与风险要素评估
为有效确定公司层面各风险对公司整体目标所带来的影响,便于公司有针对性对各风险采取有效措施,合理、恰当配置公司资源,节约人、财、物等各项成本,在识别公司层面风险数据库的基础上,需要对公司层面风险进行进一步的评估,评估每个风险发生的可能性和对目标实现的影响程度。
公司层面风险评估过程中,公司要注意紧密结合自身的具体实际情况,采用适当评估技术,运用定性与定量相结合的方法,为公司层面风险应对提供依据。通过风险评估后,确定风险所处等级,选择恰当的风险应对策略。具体工作包括:开展问卷调查,结合行业特点收集企业战略、管理信息、业务数据、历史资料、外部环境等相关材料,识别公司层面风险,建立公司层面风险数据库;结合定量和定性分析,分别从发生可能性和影响重大性两个方面进行公司层面风险评估,对风险进行排序,评定重大、重要风险,绘制风险地图。
2.5 风险管理策略与整体解决方案
结合公司层面重大风险和流程层面业务风险的风险类型、风险分布和相互之间的关联,评估重大风险的现有管理策略,对不完善的部分进行调整和补充;针对公司层面重大风险,结合现有管理资源和管理需求,制定整体解决方案。具体工作包括:评估重大风险的现有管理策略;对现有风险管理策略进行合理的调整和补充;根据风险管理策略,并且关注重大风险的全流程化管理方针,制定重大风险整体解决方案;根据管理资源配置和管理需求,设计并制定解决方案的实施办法和程序;编制《公司XX年度全面风险管理报告》。
2.6 管理建议报告与内部控制手册
总结内控体系建设过程中发现的缺陷,提出建设性改进建议和意见,帮助进一步推进流程优化和管理提升。比如:针对现有内部控制制度内容不明细、操作性不强,制度缺失或已失效;关键或重要控制点匹配的既有控制措施不力,存在重大风险隐患;职能职责界定模糊,不相容职权分离等等情况,逐一提出改进建议,汇总编写《公司全面风险管理与内部控制管理建议报告》。
编制《内部控制手册》作为企业建立、执行、评价及维护内控与风险管理体系的指导和依据。主要以内部控制五要素为主线,对各要素关注要点进行分析,阐述企业采取的相应控制策略(措施)。对完善企业内部控制制度,进一步规范企业内部各个管理层次相关业务流程,分解和落实责任,控制企业风险,提高经营效益与效率,合理保证财务报告及相关信息真实完整、经营活动的合法合规,确保企业资产安全高效运行,促进发展战略实现具有较强的现实意义。
3 内部控制有效性评价
内部控制有效性评价,主要指公司在按照内部控制“五要素”构建了内部控制规范体系框架基础上,参照《基本规范》以及《内部控制应用指引》中18项指引对企业管理的要求,实施与标准的比对工作,从组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理等方面查找公司薄弱环节,完善公司内部控制体系。
内部评价工作不仅要体现全面性,突出重点同样重要,如何把握内控评价的重点呢?首先要对公司层面风险进行识别,识别主要基于与公司各职能部门的负责人和业务操作人员进行充分调研的结果,结合行业常见风险,并且考虑国务院国资委以及财政部等政府部门有关风险评估的相关要求,从战略、财务、市场、运营及法律五个领域来进行识别,形成公司风险数据库。然后对风险数据库中列示风险从发生的可能性和重要程度两个维度进行评估,识别出公司面临的重大风险。公司层面重大风险采取分解落实方法,将其与流程层面风险进行对应,通过流程层面风险应对策略来降低公司层面风险。与公司重大风险防控相关的业务流程,在内控评价中应予以重点关注,以某公司为例。
某公司识别出公司面临的十大重大风险。按照“风险发生的可能性”及“风险发生后对公司的影响程度”两个维度,将公司当前面临的重大重要风险绘制成风险坐标图,如下图所示。
那么与施工安全与质量管理、外部劳务使用管理、业务合作伙伴、价格波动、工程项目管理、投资管理、合同管理、应收账款管理、企业声誉及分子公司管理控相关的业务流程与控制要点应该是内控评价予以关注的重点。
4 内控体系建设中需关注的问题
现阶段,在我国企业绝大多数人对建立与实施内控体系认识不足,甚至存在错误的理解。主要表现有:对企业内控体系建设的实质和作用认识不清;集团各层级部分领导对内控体系建设的重视、参与程度不高;各相关业务单位和部门部分人员参与、配合程度不够等。认为内部控制只是应付外部监管的需要,而并非真正能防范风险和提升企业管理水平;认为内部控制是一项额外的负担,并非自己的本职工作;认为内部控制体系与公司既有管理体系是“两张皮”等等。因此,要将内部控制真正融入到企业日常经营管理,深入每个工作岗位,得到广大员工认可、理解并有效执行,必须从强化集团全员内控意识和思想认识方面着手,需要不断加强宣传培训,增强员工内控意识;需要从管理体制、机制以及落实各级权利责任方面入手,建立内部控制长效机制,使用内部控制真正为企业经营管理服务。
参考文献
[1]财政部会计司.企业内部控制规范讲解[S].2010.
[2]国资委.中央企业全面风险管理指引[S].2006.
[3]胡为民.内部控制与企业风险管理实务操作指南[M].北京:电子工业出版社,2009.
[4]赵立新,程绪兰,胡为民.上市公司内部控制实务[M].北京:电子工业出版社,2010.
[5]杨清香.公司治理下的内部审计管窥[J].财会月刊,2010,(8):76-77.
[6]徐伟.试论风险导向内控体系建设在我国的应用[J].审计研究,2010,(4):64-67.
关键词:内部控制;风险管理;标准流程
一、内部控制体系建设背景及必要性
2012年5月,围绕中央企业管理提升年活动,国资委下发了《关于加快构建中央企业内部控制体系有关事项的通知》(国资发评价〔2012〕68号),明确要求各中央企业在2013年底前建立覆盖全集团规范的内部控制体系,并从2014年起每年向国资委报送内部控制评价报告。国资委将定期组织监督检查,对存在重大控制缺陷的企业将给予扣分或降级处理。
2011年,中央企业所属102家境内外同时上市公司按照《企业内部控制基本规范》及配套指引,已初步完成内部控制建设实施工作。目前,各中央企业正在按照国资委要求积极推动内部控制体系建设。电网企业需要建立贯通总部、省、市、县的公司级流程管控体系,强调业务价值链和跨专业协同管理,集中体现集团战略、经营理念和管控要求,有效打通各业务流程壁垒,调整优化业务流程管理界面,提高运营效率与效益。
二、电网企业内部控制体系建设与实施方案
(一)深化全面风险管理,建立全方位风险防控体系。首先,全面梳理企业经营风险,构建四级风险分类体系。围绕公司战略目标,识别可能影响战略目标实现的潜在风险,构建全面覆盖公司各类业务的风险体系,纳入风险分类体系管理。其次,建设规范的公司级风险信息库,实现风险与流程、制度、职责联动管理。公司层风险要明确风险应对措施、责任部门和参照制度;业务层风险要通过业务流程关键控制点的控制措施与控制要求,有效防控各类业务风险。再次,将日常风险与专项风险管理相结合,建立全面风险管理长效机制。对常规性、全面性的日常风险管理工作,定期开展信息收集、风险评估、风险应对、风险报告和监督改进等工作;对重大项目管理、重要事项决策、高风险业务管理等特定事项,在特定时期内开展专题性风险管理工作,开展专项风险评估、报告编制、后评估等工作。
(二)统一内控标准流程,提升业务管理标准化水平。首先,统一内部控制标准。集中体现企业管控要求,在全面梳理公司风险基础上,集中对电网投资、财务、营销、工程、科研、信息、物资、合同等经营类和管控类业务实施内部控制建设,根据公司集团化管控和专业管理要求,制定标准化的控制措施和控制要求,明确控制方式、控制频率等信息。其次,统一业务管理流程。综合考虑风险防控、业务运行效率效果等因素,推进业务流程步骤标准化,基于实际业务流程整合提炼形成相对优化的业务流程,推进业务操作标准化,对每个业务流程环节,统一规范输入输出信息、重要工作文档、工作表单等关联信息;推进岗位职责标准化,依据不相容职责、岗位职责最小化等原则确定完成既定业务所需配置的标准岗位,明确每个标准岗位职责。
(三)推进业务横纵协同,创建跨业务、跨层级内控体系。在内部控制建设中,应大胆尝试和重点推进业务横向协同,纵向贯通,努力消除“管理壁垒”与“流程梗阻”。一是推进业务横向协同管理。为强化业务高效协同,实现业务横向有效衔接,建立跨部门、跨专业的磋商机制和集中会审机制,深入开展跨业务流程衔接工作。二是推进专业纵向一体化管理。由顶层各专业部门自上而下组织开展专业内控建设,参与基层单位流程设计和管控标准建立,推动纵向一体化管理,集中反映管控要求,有效确保企业经营理念和控制要求一贯到底、有效执行。三是构建横向融合、纵向贯通端到端的内控流程体系。基于业务协同管理和专业一体化管理需求,依据“业务价值链”和“流程生命周期”管理理念,优化完善业务流程框架,明确跨专业流程接口,建立一套具有电网特色、覆盖各层级、各专业端到端的四级流程框架体系,全景展示电网公司各专业衔接关系和业务逻辑脉络,建立风险、流程、控制、职责、制度的内在联系。
(四)全面开展内控评价,建立常态化评价改进机制。一是要统一内部控制评价规范,统一内部控制评价测试程序、抽样规则及缺陷认定标准,保证评价结果的可比性;统一制定与关键控制点相匹配的评价程序,明确控制测试方法、程序和要点及预防风险的应对措施。二是要实施内部控制自评与年度评价。定期对各单位内部控制有效性开展自我评价,年度终了,对期中评价缺陷整改情况进行再测试,并对内部控制进行全面评价,确保公司内控整体有效。三是建立定期联合评审机制,综合考虑业务更新或需求变化等因素,定期收集风险、流程、岗位、制度等变动信息,建立内控规范与其他管理体系联动工作机制,日常更新、维护、审批和责任实现联动调整。四是实施内控执行责任考核。将内部控制执行情况纳入年度企业负责人业绩考核和全员绩效考核体系,与干部员工履职评估结果挂钩。
三、内部控制体系建设预期效果
通过加强内控体系建设,有助于对人财物等关键资源实施集约化管理,推行核心业务专业化管理。一方面,专业管控趋向流程化、标准化。通过建立跨业务、跨层级端到端的内控流程体系,明确业务间管理界面、信息标准、管控要求,将有效打通管理壁垒,同步推进内控标准、流程标准和岗位标准,将控制责任细化到岗位,规范工作程序、审批手续,有效控制各项经营活动顺利开展,防止出现偏差,及时纠正失误,有利于公司发展战略、管理理念、控制要求的逐级贯彻执行。另一方面,内部控制与日常管理实现有效融合。通过采取不相容职责分离、分级授权、业务系统等控制措施和评价检查等监督手段,明确了内控流程的风险点和关键控制点,配套制定风险防范措施和有效性评价程序,实现内部控制对欺诈、舞弊和非法行为的事前防止、事中发现和事后纠正,充分体现了源头控制和主动控制的理念,不断推进内部控制与日常管理的有机融合,提升公司风险防控水平。
参考文献:
[1]张艳.基于风险管理的企业内部控制研究管理学研究[J].管理学研究.2013(11)
Abstract: The supply chain structure of power enterprises which involve material intensive management is introduced. The risk of this kind of intensive supply chain is identified and analyzed. Through an example of a power grid enterprise, this paper introduces the whole process of risk identification and evaluation, and puts forward the coping strategies to manage the supply chain risk. The results show that among the risks of the intensive supply chain of electric power enterprises, the management risk is dominant, followed by effective risk. The significant risks are mainly concentrated in the tendering and procurement management, procurement contract management as well as demand planning management. Furthermore, the proportion of significant risk in the tendering and procurement management, as well as procurement contract management and the demand planning management is rather high.
Key words: electric power enterprise; supply chain risk; material intensive management
0 引 言
随着经济全球化的发展,企业在市场竞争中将面对各种各样的风险,如何有效地进行风险管理已成为所有企业共同关心的一项十分重要的工作[1]。电力企业作为一个涉及公用利益和公共安全的企业,尤其需要重视风险管理[2]。
电力物资是支撑电力行业的物质基础,在电网安全、平稳、高效运行中起着重要的作用。同时,电力物资具有种类繁多、技术要求复杂、质量和安全性要求高、专业性强、供应链复杂程度高等特点。电网物资供应链属于风险厌恶型供应链,需要对其风险进行评估,进而提出风险防控的措施[3]。
另一方面,近年来,电力企业物资管理模式逐渐从松散、粗放型管理向集约、精益化管理转变,实行物资集约化管理[4]。因此对物力集约化供应链进行风险防控,对保证电力企业物?Y管理水平、保障电网安全、平稳、高效运行具有十分重要的意义。
本文基于物力集约化供应链,结合电力物资的特点以及电力企业的生产实践,对电力企业的物力集约化供应链的风险进行识别,提出供应链风险的防控措施。
1 物力集约化供应链架构
物力集约化是指从生产物资的采购到各个生产环节,从管理物资的筹备到各个使用环节,应用标准化、信息化手段,做到统一管理和全程管控,以达到规范物资管理、优化资源配置的目标。
物力集约化供应链架构如图1所示。该供应链架构包括需求计划、采购、合同、仓储、配送、废旧物资处置、质量监督、供应商管理、应急物资这九项关键业务。通过对九大业务进行全过程闭环管理,强化各环节的业务衔接和管理成果关联互动,实现物资供应链全过程的集约化。
在物力集约化供应链模式下,物资管理各个环节环环相扣,彼此依赖,相互影响,其中任何一个环节出现问题都可能波及其他环节,影响企业整个供应链体系的正常运作。
2 物力集约化供应链的风险识别与评估
2.1 风险识别
(1)风险识别的步骤方法
对物力集约化供应链风险的识别路径,如图2所示,包括:第一步,基于供应链业务流程,对供应链9大关键业务各流程进行梳理,识别风险相关业务;第二步,梳理并识别业务内的风险相关流程;第三步,针对风险相关流程,梳理并分析流程内风险涉及的步骤及节点;第四步,针对流程每个阶段及具体节点识别风险点,即产生风险的具体业务行为或方式。
(2)分析风险原因
根据鱼骨图的原理,对可能会产生的风险事故进行原因分析,得出可能导致风险产生的全部风险因素[2]。通过对某个风险点各风险因素进行综合分析与比较,从中识别出导致风险产生的关键风险因素。具体分析过程包含以下几方面,如图3所示。
(3)分析风险影响
依据风险产生损失的传导路径,对风险影响进行分析。具体分析过程包含以下几方面,如图4所示。
第一步,针对物资业务中导致风险产生的某个具体业务行为,分析该业务行为对本业务环节产生的不良影响。
第二步,分析风险行为对下游业务环节产生的不良影响。
第三步,依据风险行为对本业务环节及下游业务环节产生的不良影响,对其导致的风险损失进行分析与界定。
(4)风险分类
根据上述分析的结果,结合风险所属流程环节的业务特点,可将电力企业物力集约化供应链的风险划分为外部和内部两个维度。外部风险包括法律风险和舆情风险;内部风险包括廉洁风险、效率风险和管理风险。
2.2 风险评估模型
风险评估实际上就是估算、衡量风险,由风险管理人运用科学的方法,对其掌握的统计资料、风险信息及风险的性质进行系统分析和研究,并在此基础上运用数量化的方法,对风险发生的概率和风险发生后造成的损失进行估计和预测,最终确定风险水平,为决策是否采取措施应对风险提供支撑[5]。
风险评估包括以下两个方面:①评估风险的概率:通过资料积累和观察,发现造成损失的规律性。②评估风险的强度:假设风险发生,导致企业的直接损失和间接损失,对于容易造成直接损失并且损失规模和程度大的风险应重点防范。
风险评估模型以风险值量化理论为基础,通过风险发生的可能性与风险造成的损失度两个维度计算风险值。具体公式如下:
Risk=P×L (1)
式中:Risk代表风险大小,P代表风险发生的可能性,L代表风险造成的损失度。
可能性用风险发生的概率或者频率来进行评估,根据同类风险在企业发生的历史数据进行估测,依据发生频率划分为5个等级,如表1所示。
结合电网行业的特殊性,风险损失包括:经济损失S
。经济损失指因风险造成的财产损毁、引起和牵连的其他损失,包括失去的在正常情况下可以获得的利益和为恢复正常的管理活动或者挽回损失所造成的各种开支、费用等;人员损失指因风险造成自然人的生命、健康、身体受到侵害,造成伤害、残疾、死亡及精神损害,或者由于人员违规行为造成的行政处罚;效率损失指因风险造成的施工项目进程、效益、目标等受到的损害;舆情损失指因风险造成企业在社会公众中的美誉度、知名度与忠诚度受到损害。
对损失度采用分级评价方法,分为极小、较小、中等、较大、严重5个等级,最终形成损失度评价表如表2所示。
因此,电网物资供应链风险评估模型为:
其中:S为第i个风险的损失度评价分值i=1,2,3,4。
3 某电网企业供应链风险分析实例
根据该企业9大业务,共识别出风险点112个,风险点分布如下:需求计划管理风险点共10个,占比9%;招标采购管理风险点共34个,占比34%;采购合同管理风险点共19个,占比17%;仓储物资管理风险点共11个,占比10%;产品质量监督管理风险点共7个,占比6%;供应商关系管理风险点共9个,占比8%;应急物资管理风险点共4个,占比4%;物资配送管理风险点共5个,占比4%;废旧物资管理共13个,占比12%。
依据风险分类方法,将这112个风险点按照法律、舆情、廉洁、效率、管理进行分类,如表3所示。可以看出,在物力集约化供应链中,风险中占比最多的是管理风险,其次是效率风险。廉洁风险占比最少,涉及风险点较少,共涉及招标采购管理、采购合同管理、供应商关系管理以及废旧物资管理4大业务领域。
通过风险值评估结果,112个风险点中重大风险47个,占比42%;中等风险51个,占比46%;一般风险14个,占比13%,如表4所示。
从表4中可以看出,重大风险主要集中在招标采购管理、采购合同管理以及需求计划管理3大业务中,其中招标采购管理风险占重大风险总数的49%,其次是采购合同管理,占比23%;需求计划管理风险占比17%。中等风?U在供应链9大业务中分布相对平均。一般风险以仓储物资管理、产品质量监督管理以及废旧物资管理为主。
表5为各业务风险点在各风险等级的分布情况。可以看出,需求计划管理、招标采购管理以及采购合同管理风险中重大风险占比明显高于该业务其它等级风险,其中需求计划管理风险中重大风险占比73%,中等风险占比27%;招标采购管理重大风险占该业务全部风险总数的70%,中等风险占比30%;采购合同管理重大风险占比61%。中等风险占比33%。供应商关系管理、应急物资管理、物资配送管理以及废旧物资管理这4大业务风险以中等风险为主,其中供应商关系管理风险中中等风险占比67%,物资配送管理业务中等风险占比60%,废旧物资管理中等风险占比71%,应急物资管理全部风险皆为中等风险。仓储物资管理和产品质量监督管理两大业务中没有重大风险,全部风险点都分布在中等风险以及一般风险两个等级。
4 风险应对
根据上述的分析结果,提出如下应对措施:
(1)预防与监控
机制防范:在电力企业现有物资管理体制下,健全各单位内部管理制度、明确部门管理职责,设置科学的工作流程及操作程序。
技术防范:开发电力企业物力集约化信息系统,涵盖物资管理9大关键业务,运用信息平台固化操作流程,规范操作程序。
教育防范:定期不定期开展物资领域从业人员的法律法规、业务技能知识教育培训,提高从业人员的廉洁责任意识,规范管理行为。
(2)监督检查
物资管理体系监督检查,内容包括:电力企业下设的物资管理相关机构设置是否合理,人员配置是否合理,是否明晰了管理职责及其内容;制度体系是否科学、是否覆盖物资管理全业务;法律法规及企业相关制度、办法的培训是否到位。
物资管理业务流程监督检查:对物资供应链中的计划、采购、合同、仓储、配送、供应商管理、产品质量监督、专家管理及废旧物资处置等业务流程中各项管理要求的执行情况进行全面的监督检查。
投诉信访:按照“有诉必查、查必查清、澄清事实、有责必究、有信必复”的原则办理投诉信访的登记、办理、结案存档及答复。
物资监察问题处理与考核:针对物资监察过程中发现的问题,由监察单位或者监察小组提出相应的书面监察报告。业务监察部门根据问题情况,可以书面告知被监察对象,在一定范围予以通报,下达监察建议书,提出行政处理建议意见,责成被监察对象对存在的问题及时整改并完善相应防范措施。对重大违法、违纪问题及时移交相关单位、部门处理。对物资监察暴露出来的问题,按企业相关规定纳入考核。
5 结 论
[论文摘要]现代风险导向审计是以被审单位的经营风险为出发点,将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,也并未考虑IT带来的影响。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。
现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估财务报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注IT环境下如何将风险因素与认定层次可能发生的错误相联系。在IT环境下,业务流程及其支持流程——IT流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于IT相关风险的控制情况。因此,有必要改进IT环境下的审计风险判断方法。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。
一、流程对审计风险判断具有重要意义
流程的概念很多,ISO/IEC 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的管理方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。
有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O’Donnell E和Jr Joseph J Schultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。
二、IT环境下基于流程的审计风险判断方法
为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计
过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于IT环境。因此借鉴自上而下的审计方法,将流程作为IT风险判断的中间环节,改进了的IT环境下的审计风险判断方法具体实施步骤如下:
1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在IT环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)IT利益群体的风险及对IT利益群体控制的有效性,如IT治理;(2)企业层面的IT控制,如与IT相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。
4.确定与IT功能相对应的应用系统的范围。详细列出与这些IT功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如Email程序、传真软件、设计软件等。
然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。
7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。
通过上述7个步骤,审计人员可以将IT环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。
参考文献
