全面风险管控评价审计研究
2019-09-10李家卫周剑虹王世荣鲍德华
李家卫 周剑虹 王世荣 鲍德华
[摘要]全面风险管控评价审计是基于全面风险管控发展而提出的一种审计形式。本文研究了全面风险管控评价审计标准的确立、模型的建立、运行的效果等,阐明了施工企业建立全面风险管控评价审计的必要性。
[关键词]施工企业 风险管控 评价审计 大数据
为企业决策层定期提供风险管控结果,是全面风险管控评价审计与全面风险管控体系相互关联的核心功能。全面风险管控评价审计作为一种独立、客观的评价活动,以全面风险管控体系为载体,运用其独有的特性和评价标准,结合企业大数据平台抓取功能,主导企业全面风险管控评价审计工作的开展;而全面风险管控体系以全面风险管控评价审计为工具,通过检查、揭示、评价和建议功能,不断修订和完善全面风险管控体系的执行制度和操作流程,以保证整体体系功能的先进性。
一、全面风险管控评价审计的内涵与特征
全面风险管控评价审计是在传统审计的基础上,将审计对象扩展到整个企业内控及过程风险管理,在国有企业规范建立和运行企业全面风险管控体系后,为解决体系持续运行后的评价问题,借助企业大数据平台发展而来的、与企业风险导向审计相适应的一种审计方式。主要内容包括:一是全面识别企业风险。通过不间断地对企业全面风险管控体系进行检查,系统识别企业已有风险、未来潜在风险、全面风险管控体系的运行风险和执行漏洞。二是评价和控制企业风险。全方位了解并系统分析企业风险,评价企业全面风险管控体系的执行情况及风险管控效果,根据揭示的问题和风险针对性来制订应对方案,以达到控制企业风险的目标。三是管控企业剩余风险。全面风险管控评价审计根据评价结果找到企业控制不力的地方,提出相应的管理办法和改进措施,将剩余风险转化为可控的企业风险。四是改进和完善企业内控体系。通过检查工作,不断揭示和评价企业面临的风险和问题,并予以及时修正,建立完善明晰、井然有序的内控秩序,从而达到增强企业抵御风险能力、提升企业运营效率的目的。从实践情况来看,全面风险管控评价审计更加符合现代企业风险管控的要求,也是传统审计向管理审计转型的最好印证。
全面风险管控评价审计不仅具有传统风险导向审计的特点,还具有四个新特征:一是评价审计标准的全面性。通过对企业内控和全面风险管控体系的检查和评价,在企业各个经营管理环节全面渗透风险管理理念,并根据各业务子系统不同的特点对应建立相适应的评价标准。二是评价审计流程的统一性。在建立评价审计标准的基础上,制定规范统一的操作流程,更利于内部审计持续方便快捷地掌控企业风险。三是评价审计管控的及时性。评价审计标准的全面性及操作流程的统一性,使全面风险管控评价审计能够更加顺畅执行,通过企业大数据平台数据的实时更新,能够更加及时地发现企业重大风险和管理漏洞。四是评价审计结论的准确性。全面风险管控评价审计以其高度集成的大数据平台,全面的评价标准及规范统一的执行流程取代传统审计模式,规避了人为因素的影响及单一数据来源误差可能造成的审计结论错误风险,使审计结论更加精准可靠,支撑依据更加充分并具有说服力。
二、施工企业全面风险管控评价审计体系的设计
以中建三局集团有限公司的全面风险管控评价审计体系为例,对企业全面风险管控评价审计体系的建立过程及成效进行阐述。
(一)建立企业全面风险管控评价审计工作机构
企业全面风险管控评价审计体系涉及的部门及企业层级多,服务对象为企业的风险管理决策层即高层领导者,运行数据及结果也成为企业运营的核心和机密,因此,一般应成立企业全面风险管控评价审计委员会,由企业主要领导担任组长,相关分管领导担任副组长,总部相关业务部门人员为领导小组成员。委员会的职责是重点研究解决企业运营过程中及未来潜在风险的预防和管控,定期开展全面风险管控体系检查和评价工作,以例会的形式定期通报委员会运行状况及风险管控情况,保障委员会人员到位、工作到位、责任到位,有序推动全面风险管控评价审计工作的开展。企业全面风险管控评价审计工作领导机构如圖1所示。
(二)进行施工企业风险识别及分类
企业风险识别是指企业生产经营过程中风险事故发生前,运用各种方法系统,识别所面临的各种风险,分析风险事故发生的潜在原因;目的是在识别风险的基础上对风险进行定量分析和描述。
施工企业面临的风险(如图2所示)主要分为两大类:一是外部风险。随着国际国内形势复杂多变、全球经济增长疲弱、国际金融市场剧烈动荡,国内财政政策由积极走向紧缩,由投资拉动改为控制通胀影响,国内建筑市场大规模投资“急刹车”,施工企业的生存和发展也面临前所未有的压力与挑战,面临政治风险、经济风险、市场风险、法律风险、环境风险等诸多风险,施工企业建立适合自身发展的风险管控评价体系迫在眉睫。二是内部风险。施工企业体制改革滞后,旧体制遗留问题多,增加了各类内部风险,如管理相对粗放,资源配置不充分,存在管理风险;企业转型升级涉及企业并购及管理问题等,导致战略风险;用人机制不灵活,缺乏人性化管理,存在人事风险;制度设计制定缺乏科学性,基层管理者对企业制度的贯彻执行不到位,制度执行力差,存在制度风险;面临多种不确定因素,风险预测、评估和困难应对,抗风险能力差,存在控制风险;基础设施建设市场竞争激烈,招标中存在恶性竞争、低价中标现象,增大了企业运营风险;工程项目多、分布范围广、施工时间长,垫资施工现象严重,工程拖欠款回收困难,导致部分项目失控,增大了财务风险和工程合同风险等。
(三)确立施工企业全面风险管控评价审计标准
评价标准是评价活动方案的核心部分。在查清楚施工企业全面风险管控面临的问题及风险种类后,应着手建立全面风险管控评价审计标准,推动全面风险管控评价审计体系的建立和运行,如图3所示。
中建三局全面风险管控评价审计通过企业大数据平台提取各业务子系统相关数据进行比对分析后,主要对企业的政治风险、经济风险、战略风险、财务风险、市场风险、法律风险、环境风险、技术风险、生产风险、人事风险、工程建设合同风险等具体风险因素分业务子系统进行归纳,并给予分配相应风险权重,依次为企划系统(10%)、市场营销系统(10%)、商务管理系统(25%)、工程技术系统(15%)、财务系统(20%)、合约法务系统(15%)、人力资源系统(5%)七个系统,业务子系统风险总权重可根据企业运营环境的变化经过专业团队评估后随时进行调整。
1.企划系统(10%)。评价的主要内容包括:公司法人治理结构;决策议事原则、战略规划管理、企业策划与研究、对外并购重组、组织机构管理、授权管理等。
2.市场营销系统(10%)。评价的主要内容包括:建筑行业市场信息、国家宏观经济政策、企业资质管理、投标管理、建造合同管理、营销统计与分析等。
3.商务管理系统(25%)。评价的主要内容包括:项目目标责任管理、项目成本管理、项目商务策划管理、工程结算管理等。
4.工程技术系统(15%)。评价的主要内容包
括:履约及协调管理、生产计划与统计、工程质量管理、环境管理与运行控制、生产资源管理、安全生产管理、工程验收管理等。
5.财务系统(20%)。评价的主要内容包括:预算管理、资金管理、金融业务管理、资产与清欠管理、税务管理、会计核算与稽核管理、财务信息管理等。
6.合约法务系统(15%)。评价的主要内容包括:客户资信管理、合约风险管理、项目法务管理、案件纠纷管理、知识产权管理、商标管理、法务宣传与合规管理等。
7.人力资源系统(5%)。评价的主要内容包括:人力资源规划、人才引进与配置、人才发展、员工关系管理、企业涉密管理等。
通过对企业运营过程中的各类风险进行分解,落实到各业务子系统,由各业务子系统对系统内可能存在的风险点进行分析,对应确立各业务子系统风险因素及对风险形成的影响程度,最终确立影响企业运营的关键风险因素,并分析关键风险因素特性。针对风险特性建立企业风险因素定量、定性评价标准,通过评价标准对各业务系统风险及企业整体运营风险进行记录、计量和分析,进而为风险决策层风险决策和措施制定提供关键支撑依据。
(四)建立施工企业全面风险管控评价审计模型
由于企业内部结构、建设工程本身的动态性及外界环境的复杂性,在构造问题的结构与变量的相互关系时,分析方法和模拟方法均起不到预期的指导作用,风险因素间的影响关系及引起的后果均得不到确切连续性表示,因此,建立一个通过各类风险数据定性、定量进行风险趋势分析预判的动态风险管控评价审计模型,无疑是现代企业的“定海神针”。
从性质上分析,可计量风险属于技术性风险,是常规性、不可避免的风险,包括财务风险、生产风险、技术风险等;非计量风险属于非技术性风险,发生概率较小,是非常规性风险,包括政治风险、环境风险、战略风险、市场风险、人事风险等。经济风险、工程建设合同风险包含多种难以界定的变量因素,从性质上分析,属于非技术性风险,但国家经济政策及工程合同中包含大量可计量的规则条款。因此,对经济风险、建设工程合同风险分析既有定量分析又有定性分析。
施工企业全面风险管控评价审计模型的建立分三步:
第一步:确立各业务子系统风险因素及评价标准。由各业务子系统对企业运营过程中的政治风险、经济风险、战略风险、财务风险、市场风险、法律风险、环境风险、技术风险、生产风险、人事风险、工程建设合同风险等进行归纳、分析与评价,确立本系统内影响企业运营的关键风险因素并分析关键风险因素特性,针对风险特性确定风险因素定量、定性评价标准。
第二步:建立各业务子系统风险管控评价审计子模型。由各业务子系统对本系统内的风险因素进行归纳、分析与筛选,选择重点风险因素赋予一定权重,确定定量、定性评价标准并进行评价,对应建立各业务子系统风险管控评价审计子模型。同时,根据评价结果对各业务子系统风险进行分级,对重大风险因素进行描述,详述风险化解方案。业务子系统风险管控评价审计子模型如表1所示。
第三步:建立企业全面风险管控评价审计总模型。根据各业务子系统风险因素在企业运行过程中的影响程度,赋予各业务子系统风险管控评价审计子模型相应的权重并进行评价,根据评价结果对企业运营过程中的总体风险进行预判。同时,依托企业大数据处理平台实时提取的各业务子系统最新数据,结合各业务子系统风险管控评价审计子模型风险因素变化情况及风险等级变动情况,实时调整各业务子系统风险管控评价审计子模型所占权重并给出相应的风险预警提醒(根据风险程度给出风险红色、黄色、橙色预警,风险预警等级可根据企业风险控制级次需求自行设置)。同时,有针对性地提前进行风险策划,制定相应风险化解措施,指导企业有序降低运营风险,进而达到企业有效管控风险的目的。
企业运营过程中,可根据外部环境对非可计量风险因素的影响程度及企业不同时期的风险偏好,对各业务子系统风险管控评价审计子模型的权重进行动态调整,结合企业对风险的管控模式,制定企业风险管控月度、季度、年度评价机制,定期更新企業风险数据库。施工企业全面风险管控评价审计总模型如表2所示。
三、全面风险管控评价审计实践分析
(一)全面风险管控评价审计的步骤
1.揭示风险隐患。中建三局建立的全面风险管控评价审计模型建立运行之初,正值房地产大规模投资开发阶段,企业规模年均呈两位数增长。而公司在开展全面风险管控评价审计中,运用大数据处理平台对三级分支机构近三年运行数据进行抓取比对分析,发现两大风险:一是经营风险,新承接民用住宅占比70%以上,任务结构单一,且民营房地产公司开发项目居多;二是财务风险,分支机构现金净流量存在异常。在分析国家宏观经济政策及地方政府土地财政运行模式修正相关技术参数后,全面风险管控评价审计模型根据评价标准对各项运营指标进行评价分析判断,揭示了三类风险:一是经营风险,企业现有营销制度与风险管控要求不匹配,且企业主业结构单一,施工类营业收入占企业收入的绝对比重高;二是财务风险,未来五年企业将面临流动资金短缺、项目大综材料断供、外部坏账等重大风险;三是项目风险,因流动资金短缺导致部分项目停工。由于这一结论与当时企业正值高速发展、房地产市场发展形势一片大好的情况完全相反,因此引起了企业高层领导的高度重视。专家组对企业外围环境、内部管理各关键环节等进行调研后,揭示了企业存在的外部风险和内部风险。外部风险包括:未来五至八年,企业受房建市场饱和度影响,业主开发速度放缓,国家宏观经济政策调控,产能过剩以及国家产业结构调整,银行信贷系统性风险。内部风险包括:业主资信恶化,工程固定成本增加,工程款回收困难,工程将面临大面积停工或半停工状态,项目潜亏及坏账风险急速攀升,人才流失成常态。
2.评价风险程度。2017年,针对项目商务、财务、履约、法务、人力资源5大类17个方面(工期、质量、安全、效益、成本控制、过程确权、分包结算、竣工项目结算时效、资金回收、债务偿还、净现金流、业主资信、合同条件、优先受偿权、关键岗位人员任职情况、岗位人员持证、劳动用工及岗位不相容分离)的风险因素,企业开展了全面风险管控评价审计,筛选出四级及以上风险项目272个,并对项目截至2016年12月31日的風险状况进行了延续评价。对比项目初始风险评级结果,272个项目中,风险等级上升的项目145个,占比53.31%;风险等级下降的项目44个;未发生变化的项目83个。272个项目中,最终评定为一级风险的项目54个,预计风险金额56.86亿元,与项目初始风险等级相比,项目个数及风险合同额占比分别上升17.39%、21.34%;评定为二级风险的项目42个,预计风险金额9.43亿元,项目个数及风险合同额占比分别下降12.50%、36.16%,二级风险项目整体风险趋势上升19.43%;评定为三级风险的项目101个,预计风险金额18.96亿元,项目个数及风险合同额占比分别上升17.44%、26.14%,三级风险项目整体风险趋势上升19.76%;评定为四级风险的项目48个,预计风险金额7.39亿元,项目个数及风险合同额占比分别下降25%、11.32%,四级风险项目整体风险趋势上升22.71%。
3.提供应对策略。通过对企业全面风险管控体系的定期评价,结合企业大数据处理平台的数据比对差异分析及企业专家团队的实地市场调研,针对企业战略规划、内部控制、资金管理等方面,企业全面风险管控评价审计委员会最终列出具体的风险防控建议:一是修订企业市场营销项目承接标准及审批权限,限制无底线承接带来的未知风险。二是成立企业金融业务部,创新企业融资模式,保障企业运行流动资金的供给。三是成立企业基础设施事业部,探索基础设施领域投融资模式。四是正式运行海外事业部,适时注册海外公司,开拓海外市场。五是以企业并购形式尽快取得设计板块、道路桥梁、隧道铁路等领域的施工资质,逐步填补企业各类施工资质的空白,实现企业在建筑领域的设计、施工、投融资全产业链发展。针对上述项目风险等级及风险总量变动情况,企业全面风险管控评价审计委员会给出4大类11个方面的具体管控建议,针对风险根源提出3项制度的修订意见,内容涉及18个业务子项审批流程及审批权的完善和优化。
(二)全面风险管控评价审计的实践效用
1.防范和降低企业风险。通过运行全面风险管控评价审计体系,积极开展风险评估,识别关键风险和关键控制点,对关键控制点进行有效性测试,及时评价关键风险,分析内控体系中的薄弱环节,可以准确发现潜在风险,预警相关业务系统制定有针对性的预防措施,将风险控制关口前移,有效防范和降低企业运营风险。
2.完善企业管理制度。通过运行全面风险管控评价审计模型,及时对现有各项管理制度进行检验、修订和补充。中建三局通过全面风险管控评价审计,围绕企业发展战略、管控模式、内控现状、潜在风险等,补充建立和修订了多项有效的风险管理和内控制度,如《中建三局市场营销管理办法》《中建三局项目目标责任管理考核兑现管理办法》《中建三局审计项目质量评价标准》《中建三局内部审计整改工作管理办法》等,及时梳理优化各业务系统管理流程,各业务系统间相关业务流程得以全面对接,确保重大风险在业务流程管理过程中得到有效控制。
3.提高企业经济效益。通过运行全面风险管控评价审计得出的审计意见和建议,采取及时有效的风险应对措施,完善管理制度,优化管理流程,不仅能直接降低风险损失,更能降低企业运营成本,提高运营效率,促进企业经济效益的提升。
4.增强企业竞争实力。全面风险管控评价审计通过对企业战略规划风险进行有效预测,对企业运营过程中可能遇到的风险进行检查,对已经存在的风险进行评价和控制,为企业领导层风险决策提供有力的决策依据。通过对企业管理制度的不断规范、对企业管理流程的不断优化、对企业员工风险意识的不断强化、对企业运营风险的有效控制和评价,不断提升企业控制重大风险、防止重大风险事件、避免重大风险损失的能力,使企业抗风险能力和整体竞争实力大大提高。
5.提升员工队伍整体素质。全面风险管控评价审计是一个全方位的评价体系,涉及企业运营的各个业务子系统。通过全员参与风险治理,间接实现对企业风险管控评价体系的解读和分解。通过对管理架构和业务流程的不断优化、更新,倒逼员工对企业管理制度进行不断学习和巩固,强化企业员工风险管理意识和风险管理责任,实现员工队伍整体素质的不断提升。
(作者单位:中建三局集团有限公司,邮政编码:100097,电子邮箱:hbiia@hbiia.com)
主要参考文献
高立法,虞旭清.企业全面风险管理实务[M].北京:经济管理出版社, 2009
李彦春,张媛媛.内部审计应如何参与企业全面风险管理[J].财务与会计, 2011(6)
彭志国,刘琳.企业内部控制与全面风险管理[M].北京:中国时代经济出版社, 2008