内部控制的风险评估概述篇1

关键词科技评估风险投资风险管理

1科技评估

1.1科技评估的概念

2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的，遵循一定的原则、程序和标准，运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲，科技评估是对与科学技术活动有关的行为，根据委托者的明确目的，由专门的机构和人员依据大量的客观事实和数据，按照专门的规范、程序，遵循适用的原则和标准，运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。

1.2科技评估的范畴

科技评估的范畴主要是职能性评估和经营性评估两大方面，职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断，为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断，为他们对被评事物的决策、判断提供参考依据。在市场经济条件下，科技评估作为一种咨询活动，不应仅仅只为政府决策服务，还应深入到市场中的各类科技活动之中，接受非政府机构委托的评估任务，如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。

1.3科技评估的分类

科技评估可从不同角度分类。从评估时间上，可分为事先评估、事中评估、事后评估和跟踪评估四类。事先评估是在某项科技活动实施前所进行的评估，主要包括实施该项活动必要性和可行性两方面内容。它常常带有预测的性质，但不同于一般的预测分析；事中评估是在科技活动实施过程中进行的监督性评估，着重检验是否按照预定的目标、计划执行，对前面工作的进展与预期效果进行比较，并对未来进行预估，以发现问题，调整或修正目标与策略；事后评估是科技活动完成后进行的评估。另外，从评估空间上，可分为国家评估和地方评估；从评估规模上，可分为宏观评估、中观评估和微观评估；从评估方法上分，可分为定性评估、定量评估及定性与定量相结合的评估；从评估形式上，可分为通信评估、会议评估、调查评估、专访评估和组合评估等。

1.4科技评估的方法

评估方法有广义和狭义两种概念，广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法，狭义概念特指评估分析与综合的方法。

科技评估可选用的方法多种多样，关键是要依据不同对象，有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。

2风险投资的风险管理

风险管理是通过对风险的识别、衡量和控制，以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。风险投资的风险管理的出发点和归宿，都是企图运用系统的、综合的现代科学管理方法，有效地扩大投资活动的有利因素，控制和抑制不利因素，达到以最小的成本，安全、可靠地实现风险投资利益的最大化。

2.1风险识别

风险识别是风险管理的第一步，是指对企业面临的，以及潜在的风险加以判断、归类和鉴定风险性质的过程。存在于企业自身周围的风险多种多样、错综复杂，无论是潜在的，还是实际存在的，是静态的，还是动态的，是企业内部的，还是与企业相关联的外部的，所有这些风险在一定时期和某一特定条件下是否客观存在，存在的条件是什么，以及损害发生的可能性等，都是在风险识别阶段应予以回答的问题。在风险投资中，风险一般可以分为两类：系统风险和非系统风险。系统风险是由公司之外的各种因素引起的，如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险，是不能通过多角化投资而分散的，因此又称作不可分散风险或市场风险。重要的系统风险有政治风险、法律法规风险和政策风险等。非系统风险也被称作可分散风险，它是由公司本身的商业活动和财务活动带来的，如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等，其可以通过多角化投资组合而分散，是公司特有的风险。重要的非系统风险有决策风险、财务风险、信用风险、完工风险和市场风险。作为风险投资者，其关心的往往只是项目的系统风险，因非系统风险完全可以通过合理的投资组合而得到分散。

2.2风险衡量

风险衡量对已经识别的风险进行分析评估，以确定其损害程度的过程。风险衡量的方法分为定性风险评价方法和定量风险评价方法两大类，定性风险评价方法又可分为主观评价法和客观评价法，传统的主观评价法主要有观察法、资产负债表透视法和事件推测法等。现代的主观风险评价方法致力于将传统主观方法涉及到的因素综合在一起，并且设法将传统上的主观方法的定性分析特征转向定量分析上，由此而将主观分析扩展到能够同时完成综合评价风险因素与测量风险临界值的双重任务。现代客观风险评价法中，最具代表性的是“z记分”方法。作为一种综合评价风险企业风险的方法，“z记分”方法首先挑选出一组决定企业风险大小的最重要的财务和非财务的数据比率，然后根据这些比率在预先显示或预测风险企业经营失败方面的能力大小给予不同的加权，最后将这些加权数值进行加总，就得到一个风险企业的综合风险分数值，将其对比临界值就可知企业风险的危急程度。定量风险评价方法主要有风险图法、决策树法等。

2.3风险控制

风险控制是指在对风险进行全面的分析之后，实施各种风险控制工具，力图在风险发生之前消除各种隐患，减少损失产生的原因及实质性因素，将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。

3科技评估与风险投资的风险管理

科技评估与风险管理既有联系也有区别，科技评估作为一种专业化判断活动，在介入风险投资的风险管理后，其任务便是对风险进行识别和衡量，其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见，在风险投资的风险管理中，科技评估实质是风险的识别和衡量的过程，而风险管理还包括了风险控制的实施过程，这样科技评估就可以作为风险管理一个组成部分，实现两者的有机结合，促进共同发展。科技评估与风险投资的风险管理的关系如附图所示：

3.1科技评估是提高风险投资管理效率的重要手段

科技评估经过近十年的发展，已有一整套较为完备的评估规范和技术方法，在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟，同时，由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估，对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段，国家还未出台较为完备的有关风险投资事业的行政法规，风险投资机构的风险管理机制还很不健全，对风险管理人才培训的投入和重视程度还远远不够，因此，将科技评估运用到风险投资的风险管理中将能充分发挥其作用，提高管理效率。

3.2科技评估方法是衡量风险投资风险的有效工具

定量和定性方法相结合是科技评估方法应用的基本思路，这与现代风险评价所采取的方法既有相近又有其独到之处，科技评估中最常用的方法是多指标综合评估方法，它是在对多个影响因素进行分析研究之后，设计一套相应的评估指标体系，并对每一个评估指标都制定具体的标准和统一的计算方法，使其能对金额、人数等可计量的指标进行定量评估，同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。

3.3科技评估是推动风险投资管理创新的动力

引入评估机制，使风险投资机构的投资选择与投资决策相分离，使得风险投资管理更为透明化，也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作，将能使风险投资机构的管理层能更客观地认识到投资风险，从而可集中精力于投资决策，通过管理体制的创新，保证投资的科学性和安全性，也提高了投资成功率。

3.4科技评估参与风险投资管理是其自身发展的需要

科技评估工作现阶段主要是为各级科技行政管理部门，主要是国家和省、市科技管理部门服务，而且大部分科技评估机构是由科技管理部门所属的有关单位，如软科学研究机构、科技咨询机构、科技情报机构等部门产生，但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等，在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而，评估水平难以提高。因此，科技评估机构作为一种社会中介服务机构，和各类资产评估机构一样，应逐步社会化和多元化，如参与到风险投资管理的咨询工作中，只有社会化、多元化，才能充分引进竞争机制，优胜劣汰，提高评估水平，促进科技评估事业的发展。

3.5科技评估促进风险投资实现动态管理

风险投资从进入到退出的全过程中，无时无处不存在着风险，实施某项投资决策前需要进行深入分析以确定各种存在风险的影响程度；进行投资后，还应深入到所投资的企业进行跟踪调查分析，对企业生产经营、财务状况，市场竞争状况，企业的发展趋势与步骤等，经常进行科学的、系统的分析与判断，发现潜在的风险，及时采取有效措施，杜绝它的发生或降低它的危害；风险投资退出后，还要对风险投资的效果进行测评，总结经验与教训，作为今后投资决策的参考。可见，风险投资的风险管理是一个动态的过程，实现管理目标需要实施一系列的评估，科技评估的事前、事中和事后评估能够满足这一要求，促进风险管理动态管理。

参考文献

1国家科技评估中心编.科技评估规范，科技评估概论[m].北京：中国物价出版社，2001

2杜沔.关于风险投资中的风险控制工具的探讨[j].中国科技产业，2001(7)

内部控制的风险评估概述篇2

摘要：基于风险导向的内部控制监督体系是指将风险管理融入内部控制监督体系，并不是取代内部监控体系，这样既是对原有内部监控体系的改革，也是企业跨出传统管理方式重要的一步。本文将就基于风险导向的企业内部控制监督体系的研究提出自己的看法。

关键词：概述；现状；关键点；构建方法

一、内部控制制度与风险管理概述

1.内部控制制度

内部控制制度是企业为了保护其资产的安全性，提高经营管理效率，防止企业员工营私舞弊的一种相互联系、相互制约的管理制度和方法。内部控制有助于企业对于生产经营控制环境、重大决策及风险评估等方面的监督控制,促使企业的生产经营步入一个新台阶，并且合理化和正规化了企业的生产经营流程，避免了一定错误的发生。

2.风险管理

风险管理是一种在一定存在风险的环境下把风险降到最低的管理过程，其中包括对风险的分析、评估及应变策略。最完善的风险管理就是对风险程度不同的事情进行排序，对于最急风险最大的事情优先处理，这样能有效降低风险带来的损失。

3.基于风险导向的企业内部控制监督体系基于风险导向的企业内部控制监督体系就是企业提高风险意识，以最大避免一切风险为核心来建立企业的内部控制监督体系，这样能使企业在面临风险的情况下通过内部监控阻止风险的发生或者降低风险带来的损失。

二、企业内部控制监督体系现状

(一)企业内部监控没有良好的环境

现在大部分管理者对于企业的内部控制监督体系的重视度还不够高，导致企业内部员工有章不循、执法不严，使得整个企业的气氛偏离创造企业最高价值的经营理念。部分管理者对于企业的内部控制监督体系的认识度也不够高，仅仅将内部监控的范围局限于管理控制、内部审计和会计控制上，未考虑到风险评估和控制环境等因素。

（二）内部控制监督制度尚未健全

现在很多企业的内部控制监督制度存在内容不完整、设计不合理的问题，有的企业甚至只有内部监控的操作，没有完全的内部监控系统，对于重大风险的事前控制尚未落实。

（三）治理结构不科学

内部监控体系的执行离不开良好的法人治理结构，但是在现代企业所有权与经营权分离、管理职能分解、管理范围和层次增多的情况下就应该有一个规范的法人治理结构，以加强内部监控，保障企业所有者、债权人等的利益。

（四）内部监控体系尚未融合风险管理机制

在迅速发展的市场经济的催促下，很多企业在内部监控体系建设中把关注点都投入在如何保证收益上，还尚未树立风险管理的意识，管理者与员工缺乏对风险管理的培训，所以导致企业的风险系数增大，最终导致无法拯救的错误与损失。

（五）尚未完善内部监控报告制度

即使是企业具有优良的法人结构和健全的内部控制监督体系，但是如果没有完善的报告制度，对于内部监控活动中应该反馈却没有反馈，应该分析却没有分析的问题，企业也很难做到可持续发展和利益最大化。

三、构建基于风险导向的企业内部控制监督体系的关键点

（一）基于风险管理和风险导向

企业内部监控体系在建立时必须考虑风险管理，以风险管理为导向来控制及抵御生产经营中的风险，结合风险评估的风险分析的结果，将内部监控重点放在风险控制方面，使内部监控达到最好的效果。

（二）成本效益

在企业资源有限、不能无节制投入资源的情况下，成本效益原则就是要求企业在构建基于风险导向的内部监控体系时要权衡实施成本和预期收益，在企业中实现低成本收获高成效，保证内部监控的效果。

（三）权变

此关键原则就是企业的内部监控体系要根据所处条件随机变化，尽量根据现有情况设定最适合企业自身的内部监控模式。这将要求企业对内部监控体系随时做出相应调整，市场变化应当引起企业重视。

四、如何构建基于风险导向的企业内部控制监督体系

(一)完善企业内部监控环境

要想为企业内部监控创造良好的环境，首先管理者应当树立起风险管理的意识，并在宣传企业文化时尽量将基于风险导向的内部控制监督作为其组成内容。企业在执行基于风险导向的内部控制监督体系时应施行适当的激励机制，发现问题并及时纠正的应当给予奖励，否则要收到惩罚，这样能促进给予风险导向的内部控制监督体系的有效执行。

(二)完善企业治理结构企业在强化监事会的监督职能时，必须从提高其成员的业务经验和知识水平，以保证监事会能充分利用得到的信息，另外也可以借鉴外国的成功经验，确保监事会的独立性和决断性。企业也应该完善董事会的建设，减少内部个人控制现象，加大小股东的权利，使董事会充分发挥其投票决策作用。企业还应明确各部门监督权限，明确其责任，避免各监督部门的职能冲突，以确保每个监督环节的有效进行。

（三）建立基于风险导向的内部控制监督机制

企业在生产经营过程中不能够对所有控制都进行监督，应该充分考虑后期可能面临的各种风险，在考虑风险评估的基础之上，企业所设定的监督程序应该为自身提供充分有效的信息，以保证应对重大风险的控制监督有效进行。企业应该先合理确定风险管理目标，再在此基础上进行风险评估，最好能根据企业的具体情况建立相应的风险评估机构，来降低风险带来损失的概率。

（四）增强基于风险导向的内部审计功能

企业要想增强内部审计功能，首要目标就是保证其独立性，包括审计人员的公平性与客观性，以保证审计人员能够在本部门独立工作，在审计工作时能客观地对其进行评价。其次就是要不断增强审计人员的素质，强化其专业知识和业务技能，还要增强其风险意识和风险管理能力。

五、总结

总之，企业只有不断完善内部控制监督体系，树立风险意识，增强风险管理，在风险评估基础上设定内部监控体系，保证监控效果，对于发现的问题能及时处理，对于重大风险能有对策来应对，这样企业就能不断发展，实现利益最大化，提升企业价值。

参考文献：

[1]吴志华,刘丽琴.构筑坚实的内部控制评价基础—评COSO内部控制监督检查指南(意见稿)[J].会计之友，2008，(5).

[2]董美霞.全面内部控制评价体系述评[J].财会通讯，2008(12).

内部控制的风险评估概述篇3

（陕西华燕航空仪表有限公司，陕西汉中723102）

摘要：在体制上全面风险管理与内部控制分别由国务院国资委和财政部提出，并在国有企业中广泛实施，全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的。但由于分别有同的国家部分主抓，从而形成了在企业内部也会又不同的单位和人员来分别从事全面风险管理和内部控制管理，造成了企业内部机构设置繁冗、业务交叉重复等现象。因此研究全面风险管理与内部控制相融合非常必要。

关键词：全面风险管理；内部控制；融合

中图分类号：F275文献标志码：A文章编号：1000-8772（2015）10-0179-02

收稿日期：2015-03-20

作者简介：曹江涛（1976-）男，汉，陕西咸阳人，大学，会计师，陕西华燕航空仪表有限公司企业管理部部长，研究方向：企业管理。

全面风险管理是国务院国资委提出并推行的。全面风险管理是通过一定的方式识别出企业所有的风险，然后依据一定的标准对识别出的风险进行排序，寻找出企业应当重点关注的风险，再根据风险的属性采取相应的应对方案予以防范风险。其中绝大多数风险都是要依靠应对方案对风险进行控制，预防其发生或者将其控制在最小范围。

内部控制是财政部提出并推行的。内部控制是依据一定的标准对企业的流程进行审理，找出缺陷然后改进缺陷，以防止风险的发生。

可以看出全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的，但是在管理推进过程中，全面风险管理与内部控制形成了各自的体系，并在企业中并行开展。这样的做法在初期对于推动该两项项管理活动有很大帮助，但是也造成了企业内部机构设置繁冗、业务交叉重复、推诿扯皮、资源浪费等问题的出现。因此，研究风险管理与内部控制的融合具有很现实的价值。

一、组织体系的融合

全面风险管理与内部控制在组织体系设计上无论是层级还是职能都基本一致，所以便于融合。

全面风险管理的组织机构设置为三级，分别是风险管理委员会、风险管理办公室和部门风险管理小组（风险管理员）。其中，风险管理委员会是顶层决策机构，风险管理办公室是组织推进管理单位，部门风险管理小组是具体执行单位。

内部控制组织结构设置也分为三级，分别是企业级的内部控制领导小组、内部控制管理办公室和各部门内部控制管理员，其职能分别是决策、归口管理和实施。

因此，组织机构的融合可以采取合并方式，以全面风险管理组织机构为主，风险管理办公室在管理人员上要兼顾内部控制管理的专业人员。

二、管理语言的融合统一

在两个体系融合过程中建立统一的风险控制语言非常重要，有利于管理中信息的传递和管理行为的一致性，避免概念含糊不清导致的管理混乱。统一语言的原则是既可以保证语言的一致，也要保证两个体系的全面融合，避免融合过程中失去内控的对风险管理的辅助优势。

需要统一的语言首要的是对风险的名称定义方式，全面风险管理与内部控制对风险名称的定义办法完全不同。在全面风险管理中，对具体风险事件的名称没有统一规范，均采取描述的方式表达，描述规则是风险事件的“表现+影响”。例如：“应收账款超过诉讼时效导致无法收回”就是对应收账款风险中的一项具体风险事件的描述。对二级风险名称定义是按照业务类别定义的。例如财务风险可分为应收账款风险、现金管理风险、现金流风险等等。对一级风险名称的定义一般是按照风险的属性定义的。例如：战略风险、财务风险、市场风险、运营风险、法律风险等等。

在内部控制管理中，仅有缺陷的概念，而没有风险的概念，但缺陷导致的结果就是风险。内部控制对缺陷的分类是与流程级别对应的，也就是说一级流程缺陷、二级流程缺陷的名称定义方式是“流程名称+缺陷”。例如采购缺陷、采购付款缺陷等。缺陷所导致的风险也没有统一的命名方法，与风险管理一样是采用“表现+影响”的描述方法。

通过上述分析我们发现，对于具体风险事件的命名方法全面风险管理与内部控制管理基本是一样的。对于二级、一级风险（或者缺陷），全面风险管理与内部控制管理命名方法虽然不同，但全面风险管理一、二级风险包含了内部控制管理的一、二级缺陷，因此，在体系融合过程中，可以统一管理语言，即不再使用缺陷的概念，而统一使用全面风险管理的风险概念。

三、风险识别方法的融合

全面风险管理中，风险识别方法有初始信息识别法、分类识别法、头脑风暴识别法、流程分析识别法、价值链分析识别法等。通过这些方法的综合运用，识别出各业务单元、重要业务活动和重要业务流程中的风险。

内部控制识别缺陷（即风险）是通过对业务流程进行实际观察和穿行测试的方法，测试流程是否可以满足控制目标的方式来查找流程缺陷。内部控制识别缺陷的方法确定性很强，因此，该识别方法可以直接融入风险识别中来，为了管理中的语言统一，我们可以把内部控制的这种识别风险的方法命名为流程识别法。

这样的融合既满足了内部控制对风险的识别，也充实了全面风险管理对风险的识别方法。

除此之外内部控制还有通过不相容职务的识别来查找风险的方法。这个方法可以被风险管理借鉴，也作为风险识别的一个方法。

四、风险分析方法的融合

全面风险管理的风险分析就是在识别出风险的基础上，对风险发生的原因、风险发生的可能性以及风险发生后的影响进行甄别与描述。这一过程与内部控制基本是一致的。

内部控制在查找出缺陷的基础上也要对缺陷可能导致的风险进行分析与评价。两者的分析方法没有本质区别，因此完全可以合并融合。

五、评价标准的融合

在全面风险管理中，通过风险识别、风险分析后，依据事前制定的风险评估标准，对风险进行评估。评估是通过对风险发生的可能性和风险发生后的影响程度分别打分（1-5份），然后将这两个分值相乘所得的积作为对某一风险的评估值。而内部控制管理中，通过识别缺陷、分析缺陷后，依据事先制定的标准，根据缺陷的风险发生后的影响，分为重大缺陷、重要缺陷和一般缺陷。由于内部控制对于缺陷的评价仅限于影响程度层面，而且影响程度的评价与风险影响程度的评价维度基本一致，因此，可以将内部控制对缺陷的评价标准纳入风险评估标准中的风险发生后的影响程度这一维度中，并根据企业的实际情况对风险评估标准进行适当修改，以便可以充分反映出内部控制评价的要求。这样就可以实现全面风险管理与内部控制的评价标准的融合。

六、风险应对方案的融合

在全面风险管理中，对风险评估结束后，根据风险评估值的大小排序，企业选择其中重大、重要风险进行重点管控。对重大、重要风险的管控是通过制定相应的风险应对方案来实现的。应对方案包括制度、流程保障以及针对风险特性所制定的一系列措施。

在内部控制管理中，对缺陷评价后，无论缺陷重要与否，都应当制定措施、完善流程以达到最大限度地控制风险发生。

内部控制所采用的通过对流程梳理完善以达到控制风险的方法，其实也是全面风险管理中的重要方法之一，可以完全融入全面风险管理之中，即在风险应对方案中要求必须对相应的控制流程进行分析评估，对有缺陷的流程进行完善，以确保有效控制风险的发生。

七、体系的融合

所谓体系的融合就是要把现在的两个管理体系有机地融合在一起，包括组织体系、管理方法、管理语言、评价标准等，统一为一项管理，并能兼顾原来两个体系各自的优点。

通过对上述六个方面的分析，可以看出在全面风险管理与内部控制体系融合中采用吸收融合法可以满足原来两个体系的管控功能，即以风险管理体系为主，通过统一评价标准、统一语言、合并组织体系、融合识别方法、融合分析方法、融合评价方法和融合应对方案等措施，丰富和完善全面风险管理体系，取消内部控制管理体系。重点在评价标准修订、识别风险环节和风险应对环节充分吸收和兼顾内部控制管理的方式、方法，就能使原来的两个体系有机融合。

融合后对体系运行情况的审计评价，则由原来对两个体系的评价改为对一个体系的评价，评价方法不变。

八、融合前后的流程示意图对比

九、结语

内部控制的风险评估概述篇4

关键词：内部控制；整体框架

中图分类号：F27文献标识码：A

内部控制历来是包括企业在内的所有组织和机构正常运转的制度基础，内部控制是企业各项管理工作的基础，是企业持续健康发展的保证。管理实践证明，企业的一切管理工作，都是从建立和健全内部控制开始的，企业的一切活动都无法游离于内部控制之外。管理实践还证明，得控制则强，失控制则弱，无控制则乱，在我国加入世界贸易组织及世界经济全球化的大背景下，要求各单位逐步建立符合国际全球化要求的内部管理体系，其基础就是建立现代化的内部控制系统。

一、内部控制的概念

内部控制概念的形成是一个逐步演进的过程，可分为四个阶段：最初的控制形式是内部牵制。这种古老的思想发源于古埃及的国库管理制度，其理论基础是假设两个人或两个部门无意识地犯同样错误的可能性是很小的，以及假设两个人或两个部门有意识地串通舞弊的可能性是很小的。直到20世纪初，企业管理思想依然继承了这种以业务授权、职责分工、双重记录、定期核对等内部牵制的基本思想。20世纪四十年代至七十年代初，内部制度在牵制思想与古典管理思想相结合的基础上，突破了内部牵制仅限于对会计进行控制的局面，还包括了提高经营销路，检查既定方针的遵守情况，这一阶段产生了“制度两分法”(划分会计控制和管理控制)。1988年美国注册会计师协会首次提出了内部控制结构的概念，即“为了合理保证实现公司的具体目标而建立的一系列政策和程序”，该协会还把控制结构划分为控制环境、会计制度、控制程序三个要素，进而突出了“环境”因素的重要影响。1922年美国反对虚假财务报告委员会的赞助组织委员会(COSO)，提出了内部控制整体框架概念，即内部控制应包括相应联系的五个整体要素，即控制环境、风险评估、内部控制活动、信息交流、监督，从此以风险和环境为基础的审计方法日趋成熟。

内部控制概念演变的四个阶段如图1所示。(图1)

二、内部控制构成要素的相互关系

在COCO框架中，内部控制由控制环境、风险评估、控制活动、信息交流和监督五个相关要素组成。它来源于管理层经营企业方式，并且与管理过程结合在一起。

(一)控制环境。控制环境是其内部控制组成要素的基础，是所有控制方式与方法赖以生存与运行的环境。它对于塑造企业文化、提供纪律约束机制和影响员工控制意识有重要作用。影响控制环境的因素有四个方面：企业人员的操作、价值观及能力；管理阶层的管理哲学和经营风险；管理阶层的授权方式及组织人事管理制度；最高当局及董事会对单位管理关注的焦点及指引的方向等。

(二)风险评估。每个单位均应评估来自外部和内部的不同风险。评估风险的先决条件是制定目标，各不同阶层的目标必须保持一致性。风险评估是指辨认并分析影响目标达成的各种不确定因素。风险评估是决定应如何管理的基础。由于经济、业务、主管机关和营运环境不断变化，风险也因变化而来，因此辨认并处理这些风险自然就有必要。

(三)控制活动。控制活动指确保管理阶层指令实现的各种政策和程序。单位各阶层和各种职能均掺有不同的控制活动，如核准、授权、调节、审核营业绩效、保证资产安全、职能分工，等等。由于单位性瓜规模、组织方式等不同，其控制也有所不同。

(四)信息交流。信息交流要求必须识别、获取潜在的信息，并以一定的方式使员工能够在履行他们的职责的期限内进行交流。信息系统产生报告，报告中包含经营、财务有关的信息，它使管理和控制企业成为可能。它们处理的不仅是内部产生的信息，还有有关外部事件、活动的信息以及必要通知企业决策层的情况和外部报告。有效的沟通也必须发生在一个更加广泛的意义上，自上而下、横向、自下而上在组织内流动。单位所有员工必须自最高管理阶层开始，清楚接获须谨慎承担控制责任的各种信息，了解自己在内部控制中所扮演的角色，以及每个人的活动对他人工作的影响，单位必须有向上沟通重要信息的方法，也应有向顾客、供应商、政府主管机关和股东等进行沟通的方式。

(五)监督。监督是一种随着时间的经过而评估内控制度执行质量的过程。这个过程是通过持续监督、个别评估及综合监督来完成的。持续监督发生在经营过程中，包括例行管理和监督活动，以及职工为履行其职务所采取的行为。个别评估的范围和频率取决于风险的评估和持续监督程序的有效性。持续监督和个别评估一起进行，称为综合监督。内控缺陷应向上汇报，而且重大事件要报告给最高管理层或董事会。

上述五个要素相互关联和配合，形成一个整合系统。这个系统可对改变的环境做出动态反应。内部控制与企业的经营活动缠绕在一起，应为企业基本的目标而存在。如果把控制嵌入企业的基础结构并成为企业的一个重要组成部分，那么内部控制就非常有效，也只有嵌入经营活动的控制，才能帮助单位提高管理水平和管理质量，才能避免不必要的成本，才能对改变的环境做出快速反应。

三、内部控制的局限性

从一般意义上来说，内部控制能够帮助企业实现绩效和利润目标，防止资源损失。然而，内部控制并非绝对有效，内部控制无论设计与运行多么完善都无法消除其本身所固有的局限性。

(一)成本收益制约。一个内控系统所寻求的保证水平有必要根据制度耗费的成本来决定。一般来说，控制程序的成本不能超过风险或错误可能造成的损失和浪费，否则，内控措施就不符合经济法。因此没有一种内控是完美无缺的。

(二)串通舞弊。不相容职务的分离可以为避免单独的一个人从事不合规行为提供一定的保证。但是，两名或更多的人员合伙可以逃避这种控制。对此，则有再好的控制措施也无能为力。

(三)人为错误。内控发挥作用的关键在于执行人员准确的操作。然而，人们执行控制职责是不可能始终正确无误的，执行控制人员因为生理和心理因素都会影响内控正常功能的发挥。

(四)管理越权。管理越权一般表现为挪用或者错误陈述。挪用主要指资产的违规转移和隐瞒。高层管理人员一旦越权挪用，则任何内控程序都难以防范。错误陈述指管理部门或主要管理者弄虚作假，故意错报财务状况、经营成果等。当企业出现企政不分、行政干预导致公司董事会、监事会等形同虚设，丧失控制职能时，这类错误陈述也就无法防止。长期以来，我国不少企业发生的重大舞弊等情况即由管理越权所造成。

内部控制的风险评估概述篇5

【关键词】内部控制；博弈分析；评价方法

一、内部控制与风险管理的融合

1992年，美国COSO委员会(CommitteeofSponsoringOrganizationsofTheTreadwayCommission)提出报告《内部控制―整体框架》，1994年对其进行了增补。该框架认为：为了实现内部控制的有效性，需要下列五个方面的要素支持：控制环境(Controlenvironment)、风险评估(Riskassessment)、控制活动(Controlactivities)、信息与交流(InformationandCommunication)和监测(Monitoring)。自COSO报告以来，内部控制框架被世界上许多企业采用，在此基础上，理论界和实务界纷纷对内部控制提出一些改进建议，强调内部控制框架的建立应与企业的风险管理相结合。2004年4月COSO委员会颁布了《企业风险管理整体框架》，对内部控制框架进行扩展，继承并包含了《内部控制一整体框架》的主体内容，旨在为各国的企业风险管理提供一个统一术语与概念体系的全面的应用指南。

为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，我国于2007年3月，由财政部牵头、六部委共同组成的企业内部控制标准委员会研究制定的企业内部控制规范征求意见稿问世，在业界引起了强烈的反响，学者们关注目光主要集中在内部控制规范与体系、全面风险管理，以及内部控制与风险管理的融合问题上。2008年5月，《企业内部控制基本规范》正式印发，将于2009年7月1日起在上市公司范围内施行，并鼓励非上市的大中型企业执行。COSO报告对我国内部控制体系构建具有重要的指示作用，对其借鉴主要体现在：在形式上借鉴了COSO报告5要素框架，在内容上体现了风险管理8要素框架的实质。

在内部控制与风险管理关系问题上，我国大部分学者认为，风险管理是内部控制的有机组成部分，加强内部控制是防范企业风险的有效途径。有学者进一步指出，内部控制旨在风险管理，它对风险管理起着重要作用，COSO企业风险管理的关键点就是管理层应采用以风险管理为基础的内部控制，并进行内部控制有效评价。

不少学者主张将内部控制与风险管理有机融合在一起。其中，有学者认为，企业风险管理与内部控制是一个程序，它不是静态的，而是处于不断的调整和变化之中，以适应组织环境的变化。内部控制只有与风险管理相融合，才能实现最佳效果。从制度经济学角度看，内部控制作为一种内部制度安排，具有特定的功能，主要表现在降低企业内部的交易成本、补充企业不完备契约。对于内部控制的核心问题，即什么是促进和推动内部控制发展的本质属性和最终动力，笔者认为，降低企业的经营风险是内部控制发展和推进的本质。

二、基于风险管理的内部控制博弈分析

企业是一系列（不完全）契约（合同）的有机组合，是人们之间交易产权的一种方式。由于现实世界的复杂性、经济人的有限理性和机会主义的影响，这组契约通常又是不完备的，使人们之间交易产权存在较大风险，风险管理内部控制就是为了在取得低交易成本收益的同时弥补企业契约的不完备性、降低风险而建立在企业内部的一个风险监管机制。

（一）参与者

博弈双方为相对于离企业“较近”的企业的经营者（主要是董事会和经理层）；另一方是相对于离企业“较远”的要素投入主体（主要是股东和债权人）在这两方的博弈中，双方均为理性人，也就是说在做出决策时考虑自己的收益和成本，期望自己的收益最大化。

（二）基本假设

假设1：经营者的策略（寻租，不寻租）。寻租，经营者在内部控制风险监管机制不能有效实施时攫取额外租金；不寻租，在内部控制风险监管机制有效实施时正常的寻利行为。

假设2：要素投入主体（实施内部控制风险监管，不实施内部控制风险监管）。实施的内部控制风险监管，要素投入主体投入人力物力实施内部控制风险监管机制使其起作用；不实施内部控制风险监管，要素投入主体没有投入人力物力导致内部控制风险监管机制不起作用。

假设3：企业总体经济利益为I，经营者正常经营所获得的经济利益为A，要素主体实施内部控制风险监管机制所投入的成本为B（并假设，只要投入内部控制风险监管机制，就能控制寻租行为的发生），要素主体没有投入内部控制风险监管机制所发生的损失为C，而经营者为自己谋取的寻租利益为D，实施内部控制风险监管机制发现寻租行为对经营者的惩罚为E（并假设，只要实施内部控制风险监管机制经营者的寻租行为就一定能被发现）。博弈的收益矩阵如表1所示

（三）博弈分析

假设用P表示经营者在内部控制风险监管不能有效实施时的寻租概率，用θ表示要素投入者实施内部控制风险监管的概率。当经营者正常寻利行为的概率为1-P，经营者在内部控制风险监管不能有效实施时的非常寻租行为的概率为P时,要素投入主体选择投入人力物力致使内部控制风险监管有效实施(θ=1)和选择不投入人力物力致使内部控制风险监管不能有效实施(θ=0)的期望收益分别为：

E(θ=1)=(I-A-B-C+E)×P+(I-A-B)×（1-P）

=EP-CP+I-A-B①

E(θ=0)=(I-A-C)×P+(I-A)×（1-P）

=I-A-CP②

当E(θ=1)=E(θ=0)时，P=B/E③

当要素投入主体选择投入要致使内部控制风险监管有效实施的概率为θ，经营者在内部控制有效实施时选择正常寻利行为(P=1)和在内部控制风险监管不能有效实施时选择非常寻租行为(P=0)的期望收益分别为:

E(P=1)=(A+D-E)×θ+(A+D)×(1-θ)=A+D-Eθ④

E(P=0)=A×θ+A(1-θ)=A⑤

当E(P=1)=E(P=0)时，θ=D/E⑥

由③可知，当经营者在内部控制风险监管不能有效实施时的寻租概率等于B/E时，要素投入主体选择投入要素致使内部控制风险监管有效实施所获得的期望经济利益等于选择不投入要素致使内部控制风险监管不能有效实施所能获得的期望经济利益。当经营者在内部控制风险监管不能有效实施时的非常寻租行为的概率小于B/E时，则要素投入主体选择投入人力物力致使内部控制风险监管有效实施的期望收益就会小于选择不投入人力物力致使其不能有效实施的期望收益,因此,要素投入主体最优选择就是不投入要素从而致使内部控制风险监管不能有效实施；同样，当经营者在内部控制风险监管不能有效实施时的寻租概率大于B/E时，对应的要素投入主体选择投入要素致使内部控制风险监管有效实施的期望收益就会大于选择不投入要素致使其不能有效实施的期望收益，因此，要素投入主体必定会选择投入要素使内部控制风险监管能有效实施。

由⑥可知，要素投入主体选择监督投入要素致使内部控制风险监管有效实施的概率等于D/E时，经营者选择寻利和寻租所获得的收益是相等的；当要素投入主体选择监督投入要素致使内部控制风险监管有效实施的概率小于D/E时，经营者选择寻租的期望收益大于选择寻利的期望收益，因此，经营者将有可能冒险选择寻租；当要素投入主体选择监督投入要素致使内部控制风险监管有效实施的概率大于D/E时，经营者选择寻租行为的期望收益小于选择寻利的期望收益，因此，经营者必定会选择寻利。

将③⑥结合可知，在给定各个博弈方基本假设的前提下，要素投入主体会选择D/E的概率选择投入要素有效实施内部控制风险监管，而经营者以B/E的概率选择寻租。显然，实施内部控制风险监管发现寻租行为对经营者的惩罚E与经营者选择寻租的概率成反比，惩罚E越大，经营者选择寻租的可能性越小；并且，实施内部控制风险监管发现寻租行为对经营者的惩罚E与要素投入主体选择投入要致使内部控制风险监管有效实施的概率成反比，惩罚力度越大，要素投入主体就不必要花费更多的要素投入内部控制风险监管。因此，要素投入者可以通过加大惩罚力度来加强对经营者的风险监管。

三、基于风险管理内部控制机制的评价方法

加大惩罚力度对预防经营者的寻租行为有一定的作用，但是，对于企业控制风险的根本还是要在企业内部建立一套完整的内部控制监管机制。传统的内部控制的评估方法有调查表、文字描述、流程图等，但这些方法的缺点已明显暴露。近年来以风险为导向的现代内部控制评价方法不断涌现，主要方法有标杆比较法、风险矩阵法、控制自我评估法等。

（一）传统的内部控制机制评价方法

传统内部控制机制评价方法主要描述和分析内部控制机制的恰当性和有效性，以及在完成所指派职责时的执行效果。其对内部控制的测试与评价所遵循的逻辑顺序是“控制风险评价控制目的是否实现”，可见，更多的是一种事后的反馈，在确认内部控制薄弱环节之后，提供信息以帮助管理层增强和完善内部控制。这种事后的评价是一种“亡羊补牢”式的滞后的方法，而不是“未雨绸缪”预防式的方法，这些方法无法根据企业目标考察风险，也未能根据风险安排相应的措施以控制风险，因此，已越来越不能适应现代管理的需要。

（二）基于风险管理的现代内部控制评价方法

现代内部控制的测试与评价遵循的逻辑顺序是“目标风险控制”，同时将根据企业风险评估调整审计战略，确定审计重点，紧密关注高风险的领域，以提供更相关、更符合管理层和董事会需求的确证信息，从而保证要素投入主体的利益。基于此，以下介绍几种以风险为导向的现代内部控制机制评价方法。

1.标杆比较法

标杆比较法(benchmark)就是将本企业各项活动与从事该项活动最佳者进行比较，从而提出行动方法，以弥补自身的不足。（美国ALLTEL公司运用了此种办法进行内部控制）它一般分为以下两个步骤：

首先，企业需要建立或确认自身所在行业的最佳实务。

其次，了解企业风险管理整体框架实际情况并将其与最佳实务进行对比，用定量或定性方式评估差距。

2.风险控制矩阵

风险控制矩阵(RiskandControlMatrix,RCM)是审计人员根据企业经营目标、风险与控制之间的联系，为确保审计建议能针对重要的风险而建立的一张工作表，如表2。

风险控制矩阵是差距分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。

3.控制自我评价法

内部控制自我评价(ControlSelf-assessment，CSA)是近年来产生的一种新的内部控制评价方法，体现了内部控制评价的新观念控制自我评估。控制自我评价法是在1987年由加拿大海湾资源有限公司首先采用的，是一种来检查和评估内部控制有效性的新方法，是由组织成员在内部审计机构的推进和协助下评估组织活动的风险和控制的过程。

CSA强调内部控制系统既不是内部审计工作的责任，也不仅仅是高级管理层应关心的问题，相反，应该把它看成是所有雇员共同的责任。控制自我评估体现了应该最先询问那些参与了风险评估过程以及执行了整个控制过程的人，它所包含的不断改善与现代的全面质量管理概念非常匹配，与整体协作的概念及群体学习的模式也有相通之处，因而在今天的商业社会中存在着巨大的潜能。

内部控制理论的研究与实践发展到今天，国家政府对内部控制管理的法规在不断改进，其指导性意义显而易见。在实务中，企业内部控制机制的各种评价方法也在不断改进与更新，力求更大程度地促进企业发展，保证要素投入主体的经济利益。内部控制的发展和更新，将更好地强化我国企业内部管理和有效要素投入者的利益，更好地评价经营者经营的有效性和管理水平。

【参考文献】

[1]赵斌.从内部控制到风险管理.中国电力企业管理，2008，（1）.

[2]林荣.企业内部控制自我评价浅议.沿海企业与科技，2007，（12）.

[3]张淑慧.基于风险管理的内部控制评估方法探讨.重庆工商大学学报，2008，（4）.

[4]孙斌.风险导向的企业内部控制评价程序.现代商业，2008，（21）.

[5]郭群，吴惠吟.风险导向内部控制评价模式研究.广东商学院学报，2002，（2）.

[6]陈元芳.我国近代内部控制制度的发展与演变.学习月刊，2008，（6）.

[7]高岩芳.企业风险管理――内部控制的战略性考虑.管理，2007，（11）.

[8]何芹.内部控制评价的比较分析.财会通讯，2005，（11）.

内部控制的风险评估概述篇6

关键词：国际总承包项目费用风险蒙特卡洛模拟技术

一、总承包项目生命周期的风险管理目标

风险管理通过支持项目目标(费用、进度、HSE、质量等)，为项目和其他利益相关方提供合理保障并增加价值。在项目生命周期的不同阶段，风险管理侧重各有不同。为规避工程承包风险，从投标报价、合同谈判获得项目开始，到总承包项目执行结束，风险管理重点以及目标分别为：

投标报价阶段(含合同谈判)：风险管理的重点是筛选高层风险、制定风险应对计划、预留储备。

项目实施阶段(含项目策划与执行)：风险管理的重点是确保关键风险的重点管理，支持风险应对策略的规划和实施，满足项目目标，监控、报告风险并支持项目重大变更等决策。

二、建立费用风险储备金制度

为达到以上风险管理目标，首先要建立费用风险储备金。长期以来，国内投资项目习惯用固定费率的方式估算投资项目的不可预见费，也就是在基准成本(不含预备费的估算值)的基础上，根据各行业定额以及经验，考虑一定的百分比，作为项目的不可预见费。这样估算的风险储备不能确切地反映特定项目，尤其是国际总承包项目的风险状态，并且难以达到量化、细化管理的目的。应用系统的风险识别、评估方法确定工程项目的潜在风险，在此基础上通过蒙特卡罗模拟(MonteCarlo)技术计算风险储备，较一般采用的固定费率估算风险储备金的方法更加科学合理，在项目前期的投标报价阶段，有助于为业主和投标者之间进行有效的风险分担，确定更加合理可行的投标价格，在合同成立以后的项目策划和执行阶段，有利于量化、细化、分级的项目风险管控。

采用蒙特卡洛模拟技术进行定量风险分析，将各项不确定性和风险换算为对整个项目费用、进度目标产生的潜在影响。模拟时，根据每项变量的概率分布函数(如最小值、最可能值、最大值的三角/点连续分布)，任意选取随机数，经过多次叠加，计算费用/工期目标的实现概率，以及既定置信度下的项目费用/工期。费用风险量化分析(建立费用风险储备)的具体过程可分解为：

1.估算项目基准费用

估算不含预备费的项目费用，该费用应被分解到CBS(costbreakdownstructure，费用分解结构)的各专业，如动设备、静设备、管道、电气、仪表等。

2.识别项目可能面临的风险

识别项目面临的重大风险，并尽可能确保各风险事件之间、风险的影响相互独立。

3.评估风险事件发生的概率及其影响

评估风险事件发生的概率以及风险事件对各专业费用的影响，确定影响区间的概率分布类型。工程项目一般采用最大值、最可能值、最小值的三角/点分布，该分布比较直观并且容易被工程技术和管理人员理解。

4.模拟运算

通过蒙特卡罗模拟运算，获得项目费用的概率分布及累计概率分布。

5.确定费用风险储备

以不含预备费的基准成本费用分解结构为基础，通过加载具体的风险事件，模拟分析项目在此基准成本下完成的概率，以及在既定置信度下所需的费用预算水平。既定置信度下的费用预算水平与基准费用之间的差值，即为项目费用风险储备。

一般为两类风险预留储备，一类是已知风险，指能够识别具体风险事件、判断其发生概率以及对费用的影响；另一类是未知风险，包括难以对概率和影响作出具体判断和现阶段难以识别的风险。国际工程公司的一般做法是，第一类风险储备(riskre-serve)，经公司风险管理委员会审核后，授权项目经理进行管理；第二类管理储备(managementre-serve)，由公司风险管理委员会直接掌控。

通过上述方法和步骤定量分析费用风险，不仅能够建立费用风险储备，并且能够在风险和CBS分析层级(如专业级)进行风险储备金的分解，从而为项目执行过程的风险管理和费用控制提供量化、细化管理的平台。在项目执行过程中，通过监控风险储备金的消耗，达到控制项目成本的目的，一定程度上提高项目组应对风险的压力，对项目管理具有积极意义。

三、国际总承包项目费用风险量化管理运用实践

伊朗ESFAHAN炼厂产品项目EP总承包工程是伊朗国家石油公司对现有的伊斯法罕炼油厂进行去瓶颈改扩建项目，目的是提高汽油和其他产品的质量。项目总投资约25亿欧元，整个改造项目由来自韩国、伊朗和中国的六家工程承包商分工完成，中国石化工程建设公司(SEI)承担其中的重油催化裂化及丙烯回收两套装置的工程设计和采购服务总承包合同。2008年2月，在Es-fahan项目投标报价阶段，通过风险分析确定项目采购活动所需的风险储备金；2008年9月，合同生效后，又通过风险再评估，进一步调整、分解风险储备金，为执行阶段的风险管理和费用控制打下细化管理的基础。

(一)投标报价阶段风险量化分析与应对

根据标书要求，Esfahan项目按E、P、C分阶段报价。风险管理从采购报价开始参与，结合正在执行的伊朗SHAZANDARAK炼厂扩能和产品升级项目EPC总承包工程经验，识别、筛选影响采购的重大风险16项，通过专家调查并借鉴Arak项目风险应对经验和教训，量化评估Esfahan项目采购报价所需的费用风险储备。

1.专家调查法集中评估意见

由于风险管理是对未来不确定事件作出的分析和决策，为尽量减少个人主观判断带来的决策偏差，专家调查法(德尔菲技术)被广泛应用于风险管理领域。

根据Arak项目风险识别和评估情况，我们首先筛选出影响采购的重大风险，分发给Esfahan项目主要管理和技术人员，由其对风险发生的可能性(P)以及对费用的影响(I)进行首轮评估，并且对风险适用性以及是否需要增加其他风险事件进行判断；汇总第一轮评估结果并澄清后，反馈给项目管理高层，由其和风险团队共同作出风险发生可能性及其影响的最终评估，制定应对方案，对应对后风险的P和I再次评估，并确定风险置信度(风险承受度)；最终，由风险工程师根据项目基准费用、各项风险P/I评估数据进行蒙特卡洛模拟，比照确定的置信度，计算所需的风险储备，提出报价、合同谈判以及风险

应对策略。

2.蒙特卡洛模拟计算风险储备

Esfahan项目管理高层确定的风险置信度是80％，在此置信概率下，模拟出的费用预算是3.25亿欧元，或者说有80％的把握判断该项目费用能够控制在3.25亿欧元以内。

由于Esfahan项目和Arak项目业主均为伊朗石油部下属的国有石油公司，遵照同样的合同条款和执行模式，根据Arak项目合同执行情况，综合考虑业主能够接受的合同条件和承包商能够实施的应对方案及其成本，选取应对后仍需的风险储备加应对所需成本提出最终的商务报价。对照项目基准费用2.84亿欧元，考虑风险以及适当的风险应对和利润后，报价调整为3.3亿欧元，风险储备和利润约占基准费用的16％。

3.敏感性分析

从模拟分析的风险敏感度排序来看，“设备、材料价格的异常波动及货源不足”是项目面临的最主要风险，其敏感度系数为84％；其次为“制裁/禁运带来的供货风险”、“基础设计信息不完全造成的设计偏差”、“承包商不能及时对供货商开出信用证”以及“业主延迟付款带来的现金流风险”等，敏感度系数均在10％到12％之间。据此，“设备、材料价格的异常波动以及货源不足”需在合同谈判过程中和业主充分沟通，通过调价公式将部分涨价风险转移给业主，不能转移部分在报价中体现。合同执行过程中，若能选择合适的时机下定单购买，合理监控该风险，威胁可转变为项目盈利。

汇率波动是执行国际EPC项目面临的典型风险。SEI与伊朗签订的EPC合同为欧元定价合同，在当时(2008年2月)的国际汇率形势下，项目组认为欧元合同最大程度的规避了美元贬值风险。但在支出方面，由于是全球采购，可能会是欧元、美元、日元、人民币等多种支付形式，部分当地采购还会支付当地币一里亚尔，因此，EPC承包商仍然面临一定程度的汇率风险。但欧元对当地币的升值，对EPC承包商来说是一个机会风险，管控得好，可转变为项目盈利。

4.风险事件与风险应对策略

详见表1。

(二)项目策划阶段费用风险量化分析与调整

经过合同谈判，风险在业主和承包商之间得以合理分配，±5％区间外的主要基础材料价格波动、进口关税、关键的超长周期设备采购等责任和风险由业主承担，免除承包商的IPG，合同价格确定为3.3亿欧元，合同形式最终确定为EP总承包。

2008年9月，业主签发主信用证，Esfahan项目EP合同生效，工期42个月。经过3个月的项目策划，对项目面临的风险进行了重新评估，进一步调整确定项目控制估算价(项目基准费用)和风险储备金，并将风险储备金进一步分解到CBS各专业和各风险项下。风险再评估时主要考虑和对如下因素进行调整：

1.部分风险已经通过合同谈判转移给业主或规避；

2.受次贷危机影响，项目面临的国际政治、经济形势与投标报价阶段发生了较大变化，尤其是设备、材料价格已经由2008年9月份的最高点开始回落，以及欧元兑美元发生一定程度的贬值；

3.投标报价阶段未考虑到的EP合同模式下采购与施工的界面风险；

4.根据采购部门对当地币种、欧元货币的采购规划，对风险影响，尤其是汇率风险进一步细分评估其影响；

5.费用控制部门调整了CBS以及控制估算价；

6.项目策划与执行阶段，公司和项目管理高层一致同意把置信度提高到90％，希望有更大的把握按照既定目标完成项目；

7.以前述的合同条件为基础，以残余风险以及次生风险的风险应对前、后所需的储备，模拟实施公司与项目分级储备管理与决策机制，探索、实践国际先进的管理理念。

另外，由于在报价阶段，业主标书限定了42个月的工期，项目组报价策略是把延期风险转变为费用罚款补偿或增加。合同生效后的项目策划过程，项目组首先明确定义了风险影响的项目直接目标是费用还是进度，分类进行管理。对于直接影响费用的风险，估算其对费用的直接影响，制定应对措施，模拟计算和预留费用风险储备，执行过程中持续监控储备消耗和风险状态。对于直接影响进度的风险，评估其对项目任务/活动的直接影响，制定应对措施，模拟计算按期完工的概率和进度偏差，筛选关键活动和关键风险，优化进度计划，满足合同要求；如确属于外部的承包商责任范围以外的风险，通过风险分析支持项目延期申请等重大决策。

1.风险再评估与模拟计算

根据上述调整因素，经过奉献再评估，直接影响项目费用目标的风险有11条(见表3)。以调整后的项目控制估算价2.72亿欧元为基础进行定量分析，假定实施风险应对措施，在90％置信度下，模拟运算的风险应对后的费用预算水平为2.82亿欧元，亦即尚需要风险储备金997万欧元。项目执行过程中，这部分风险储备由项目经理进行日常管控。

风险应对前(2.89亿欧元)与应对后(2.82亿欧元)的预算差值部分677万欧元，由公司风险管理委员会管控。

2.风险储备分解

为了确保风险储备消耗在执行层面的监控，需要对风险储备金，尤其是项目经理掌握的风险储备金，按照风险和CBS专业进行分解。

基于项目策划阶段的风险评估，静设备、配管、工艺设备、运费、换热设备可能是未来消耗风险储备的五大专业，需要在项目执行过程中进行重点监控。

根据项目策划阶段的风险评估，PM-002“汇率异常波动”、PM-003“制裁/禁运带来的供货风险”以及PM-005“未知风险”上升为排序前三位的风险事件，占用82％的风险储备，需要在项目执行过程中进行重点管控，尤其是对汇率风险。

3.风险应对计划

基于投标报价阶段制定的风险应对策略，在项目策划阶段对风险应对计划进一步细化，包括应对执行计划、执行人、执行时间等，以便在项目实施过程中，监控应对计划的执行情况以及效果。对于新识别的风险，补充制定应对策略，如采购与施工界面风险P-006“卸货延误及货品损坏”，应对策略要求采购组提前制定详细的卸货程序、与业主讨论并明确采购与现场施工的交接界面。

(三)项目执阶段费用风险管理

由于客观世界的多变性、主观认知能力的有限性和滞后性，风险无时、无处不在。预留、分解风险储备，制定风险应对策略和计划，是项目成功的基础，但不是全部，关键还要在项目执行过程中对风险进行持续跟踪、监控和评估。项目执行阶段的风险管理具体分解为：

1.持续识别、评估新风险，制定对其的风险应对计划。

2.持续跟踪“待观察清单”中的低风险，监测风险应对措施实施后的次生风险和残余风险。

3.审查风险应对计划的执行，并评估其降低风险的有效性。具体通过风险应对责任人定期向项目经理和风险经理报告风险应对计划的有效性、未曾预料到的后果，以及为减轻风险所需采取的纠正行动，以支持风险应对策略的选择、风险储备的消耗和实施、采取纠正行动或重新规划项目等重大决策；

4.监控风险储备的消耗，对比分析剩余风险量(根据定期组织的项目风险识别及再评估，模拟计算剩余项目活动所需的风险储备)和剩余风险储备(项目策划过程预留的风险储备扣除已消耗的风险储备)，从而判断项目风险水平是否可控。

四、结语