王正午

随着经济全球化和信息化程度的加深，企业经营环境变得日趋复杂，风险不断增加,来自各方面的风险时刻威胁着企业目标的实现。因此，企业必须不断增强应对风险的能力，掌握主动权，将风险的影响控制在可承受的范围内，减少对企业目标的影响，促进目标的实现。要掌控企业风险必须树立风险意识，强化风险管理，这是现代企业管理的重点。

随着《中央企业全面风险管理指引》的实施和《企业内部控制基本规范》以及配套指引的推进，企业对于防范可能发生的风险与损失以及发生风险后如何采取补救措施，比以往任何时候都更加重视，有些大型企业在实务中建立了企业风险管控体系，将风险作为企业内部控制要素之一，但是风险管理实务在我国属起步阶段，仍是新课题。以内部控制为主要内容、拥有相对独立地位的内部审计，在促进企业改善经营、提高效率和增加价值的审计工作中，介入了企业管理所有领域，掌握企业管理各个环节的真实内容，参与企业的风险管理有独特的优势。为适应管理需要，也为拓展自身发展空间，水电企业内部审计有必要参与风险管理，并在其中担当重要角色。

一、水电企业面临的风险

（一）战略投资风险

一是战略规划不科学，未能抢占优质资源点，项目资源缺乏或不科学，决策不当，造成项目开发失败；建设过程管控不严带来质量隐患、造价失控和投产后留有重大隐患等风险；设计、运行水平有限导致项目失败或达不到预期技术经济指标，投资回报不能实现的风险；行政许可审批时限长的风险；库区移民和生态环保政策变动导致成本上升的风险；未预见到的复杂地质风险。

（二）财务风险

一是电费回收困难及电价上升慢，收入达不到预期及现金流不足的风险；二是水电项目建设周期长、投资大带来资产负债率过高，来水波动大导致现金流不足，还货风险；三是财务控制方法有限带来成本、资金支付等控制风险；四是成本上升，盈利空间压缩的风险。

（三）市场风险

经济下行影响上网电量的风险；网厂分开竞价上网的推行，电量、电价不确定性的风险；受电网送出的制约，电量供应下降的风险。

（四）经营管理风险

一是设备改造投入不足，技术落后，安全事故频发的风险；二是经营者能力不足，影响企业生存与发展的风险，小团体利益威胁整体利益的风险；三是员工道德品质、业务素质不足，难以适应复杂经营环境，无法认同企业战略目标和管理决策，影响目标实现的风险；四是遭遇地震、洪水、山体滑坡等自然灾害及人为破坏导致资产毁损的风险。

（五）法律政策风险

一是国家新法律、政策出台带来的风险；二是集体企业关联交易合规性风险；三是与库区及电站周边居民的矛盾带来的风险；对外签订大额采购合同和用工合同审核不严的风险。

所有这些风险，时刻威胁着水电企业的生存与发展。因此，加强水电企业风险管理，避免重大风险损失发生，尤为重要。

二、水电企业内部审计开展风险管理审计的必然性

风险管理审计是内部审计以风险管理框架为依据，以威胁企业目标实现的风险为起点，对企业风险管理系统的适当性和有效性进行确认评价，其目的旨在通过内部审计，使风险处于企业可承受的范围内，是对风险管理部门或其他相关业务部门所进行风险管理的再监督。水电企业内部审计开展工程投资等各项审计，渗透到企业生产经营管理的各个领域。同时，内部审计为谋求自身发展，有拓展职业空间的需要。所有这些都显示，内部审计参与企业风险管理已成为重要力量和必要环节。

（一）内部审计开展风险管理审计有其独特的优势

一是相对于外部审计，内部审计更适应参与企业风险管理。内部审计始终围绕企业增加价值开展工作，与企业的生存发展息息相关。同时，它熟悉企业生产经营过程、业务特点和管理漏洞，更能有针对性地检查内控体系是否有效执行，及时提出防范风险的建议，从而达到有效控制风险和规避风险的目标。二是内部审计不参与企业具体业务活动，有能力从全局出发、客观地对风险进行识别，公正地评价，及时建议管理层采取措施控制风险。风险评价意见可直接报告最高管理层，信息及时上达。三是内部审计要求通过系统化、规范化的方法评价风险管理与内部控制机制，专业化的审计技术有其风险管理方式方法的优势。

（二）内部审计自身发展的需要

内部审计自身职业发展的需要使得其必须寻求差异化的服务项目。内部审计在为企业提供独特的增值服务中，总是不断寻找新的对企业十分重要的服务领域。企业经理人员对风险管理的空前重视，为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入，将会使其在企业中成为一个重要的角色，并将企业风险管理推向一个新水平。

（三）内部审计开展风险管理审计是防范审计风险的有力手段

风险导向审计方法在现代独立审计业界普遍流行并得到重视，是因为这种方法可以有效控制审计风险。它以审计风险评估为基础，哪里可能产生较大的审计风险，就往哪里投入较多的审计资源，进行详细的审计检查，使审计结果减少虚假错漏的风险。内部审计参与风险管理也有助于其在反映问题的方向和准确性方面防范审计风险。因为企业的风险是客观存在的，通过审计如不能准确地反映企业的风险，事后企业的风险暴露造成损失，内部审计会因失查而遭受损害，这是审计的风险所在。再者，企业的风险和审计的风险是密切相关的，关注和化解了企业风险会合理减少审计风险。

三、水电企业内部审计如何有效地开展企业风险管理审计

（一）推动企业建立风险管理

内部审计在企业尚未建立风险管理过程中，应积极向管理层提出建立风险管理的相关建议，通过咨询服务的方式协助企业建立风险管理系统。包括参与制定风险战略，指导风险评估和风险分析，协调实施风险管理措施等。内部审计在这方面的作用包括：一是进行控制和风险评估的培训。使风险意识贯穿于企业的各个层面，并使企业的每位员工都能识别风险并提出有效控制措施，实施企业全员、全过程、全方面的风险管理。二是召开控制和风险评估主题讨论会。针对重大风险隐患，要集合企业内外的专家进行专题讨论，审计人员既是组织者，又是参加者，更是学习者。三是开发自我评估工具。对风险管理进行深入研究，利用现代技术开发适合水电企业的风险评估工具。

（二）评价、确认风险识别的充分性、风险衡量的恰当性和风险应对措施的充分性

由于风险的潜伏性、隐蔽性和表现多样性，企业往往不容易将其全部识别出来，决策时顾此失彼的情况时有发生，导致企业的目标难以实现。内部审计应该对风险识别过程进行审查和评价，关注企业内外部重要风险是否得到充分、适当的确认；有必要运用专门的方法，把管理者忽视的重要风险一一找出来，认真分析风险对企业目标实现的影响程度，提醒管理者拿出办法，控制风险。

企业风险评估中重点关注两个因素：一是风险发生的可能性，是指影响组织目标实现的不确定事件发生的可能性。这种可能性可以用定性的方法表示，也可以用定量的方法表示。二是风险对组织目标实现产生影响的严重程度，是指不确定事件发生时对组织目标带来的影响程度。风险的影响程度可以用定量和定性的方法表示，定量一般用金额来估计风险所带来的后果；定性可以用后果严重、中等、不严重来描述。定量的方式比较准确，也容易汇总，但并非适用于所有情况；定性方式相对简单，但是比较粗略，主观。内部审计在评价风险是否被充分识别的基础上，应当对风险的评估方法和结果的恰当性做出相应的评价、确认，对不恰当的衡量可予更正。在对风险评估方法进行审查和评价时，内部审计还应考虑以下因素：一是已识别风险的特征，二是相关历史数据的充分性和可靠性，三是管理层进行风险评估的技术能力，四是成本效益的考量。

在充分识别和恰当评估风险的基础上，企业应对风险采取必要控制措施。应对措施主要有：①风险规避，不承担相关风险;②风险承受;③风险降低，包括风险预防和风险抑制等措施;④风险分担，包括业务分包和购买保险等措施。内部审计在评价风险应对措施时应考虑如下因素：一是采取的风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内。二是采取的风险应对措施是否适合本企业的业务和经营管理特点。三是风险应对措施是否符合成本效益原则。

（三）将风险管理的理念融入到具体审计项目中

近年来，企业经营规模越来越大，面临的风险越来越多，这就要求内部审计将风险管理理念运用到具体的审计项目中，及时识别、评估风险，提出防范和控制风险的建议，增强企业风险防控能力。在具体审计工作中，内部审计应积极探索以影响企业目标实现的风险为出发点，基于风险评估，确定审计范围、编制审计计划和审计方案，实施审计项目，在常规审计过程中提升风险的识别、分析、评估技术方法和手段，将风险管理的理念融入到具体审计项目中。一方面，应加大对风险的识别和关注，积极推动内控评审；另一方面，应根据风险因素的特征、性质、影响程度确定审计对象，合理配置审计资源，将审计资源集中在重要性风险的测评和审核上。例如任期经济责任审计项目中，要重点关注企业战略、市场、财务、运营及法律等领域的风险。

内部审计参与风险管理，要检查内部控制程序的合理性、有效性，重点关注工程项目的招投标、合同、财务管理等重要业务和高风险领域。一旦发现内部控制缺陷，立即预警及时纠正。通过持续监控与评价、达到控制风险的目标，确保企业目标的实现。

四、健全风险管控体系，创造良好的风险管理审计环境

（一）健全适应内部审计开展风险管理审计的组织体系

一是完善内部审计领导决策机制，加强内部审计工作的监督、评价，大力推动内部审计参与风险管理工作。二是应加强内部审计机制，确保内部审计机构设置、人员配备和工作的独立性，维护内部审计权威性，对于发现的重大缺陷可直接报告最高决策层，完善管控体系。三是要落实各职能业务部门在风险管控中的职能，明确各个部门、各个岗位的风险防范职责，保证部门之间权责明确、清晰，便于操作；保证信息及时、准确地在各部门间传递。四是建立全员、全过程、全面的风险管控制度，确保风险管理目标和要求落实到水电企业的各项业务流程和各环节中去，实现全员风险管理。五是培育风险管理文化和员工风险管理意识。

（二）建立健全风险管理规章制度

开展风险管理审计是对业务部门风险管理有效性的再监督和评价。因此，必须建立满足风险管理确认、评价的标准，有必要建立满足风险管理要求的各项管理制度，水电企业应全面梳理现有规章制度，进一步完善企业战略、规划、运营等管理制度。整合业务流程，建立起战略风险、财务风险、市场风险、运营风险和法律风险等防范制度，使得开展风险管理审计有据可依。同时内部审计也要在促使企业各业务职能部门建立、完善业务管理制度和标准等方面提供指导、咨询服务。

（三）大力提升内部审计人员开展风险管理审计的能力

开展风险管理审计是内部审计新领域，审计人员不仅要掌握必需的审计业务理论和技能，还必须精通风险管理技术和方法，熟悉现代管理信息技术和先进的企业管理手段。这就需要培训审计人员风险管理知识、技能，提高风险管理能力，打造一支与风险管理相适应的水电企业内部审计人才队伍。

总之，随着国家“十二五”规划的实施，水电企业作为安全、清洁能源供应者，正迎来快速发展的机遇，风险管理显得异常重要。水电企业各级管理、决策层需要充分发挥内部审计在风险管控上的作用，利用风险管理审计成果，达到控制、防范风险的目的，最终实现企业战略目标。

[1]董大胜，韩冬梅，《风险基础内部审计》.

[2]国资发改2006］108号，《中央企业全面风险管理指引》.

[3]财政部五部委等，《企业内部控制基本规范》及配套指引.