风险管理和内控范文,- 新浪彩票 2024-10-28 运动健康 103℃ 0 关键词:风险管理;内部控制 中图分类号:F830 文献标识码:A 文章编号:1674-7712 (2013) 24-0000-01 一、风险管理和内部控制的联系 美国全国虚假财务报告委员会下属的发起人委员会(COSO)1992年提的是“内部控制”,到了2004年是“风险管理”,其内容1992年时包括5个要素,2004年时包括8个要素,说明对风险管理和内部控制有一个认识过程。内部控制应是风险管理的基础和重要组成部分,它们是一体化的,不能分割的。 内部控制解决的是常规性风险,风险管理解决的是非常规性风险,内部控制解决的是“如何正确地做事”,而风险管理解决的是“如何做正确的事”,它们既有联系,又有区别,一个企业要成功,二者缺一不可。 二、风险管理和内部控制的区别 “企业风险管理”概念的提出,并不意味着对原“内部控制”概念的摒弃。内部控制是企业风险管理不可分割的一部分,企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中。企业风险管理涵盖了内部控制,是一个更为全面、广泛的概念。二者的区别主要包括以下方面:(1)企业风险管理涵盖了内部控制。企业风险管理除包括原内部控制的三个目标之外,还增加了战略目标;企业风险管理的八个要素除了包括原内部控制的全部五个要素之外,还增加了目标设定、事项识别和风险应对三个要素。(2)企业风险管理强调对风险的控制与应对。风险被定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),涵盖了信用、市场、战略、声誉、业务及财务等各种风险。风险管理包括风险计划、风险控制和风险应对。这三者共同构成一个完整的风险管理过程。其中,风险控制又分为外部控制和内部控制。内部控制是一种内部风险控制机制,内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下,所开展的各种控制活动。风险控制除了包括内部风险控制之外,还包括外部风险控制。(3)企业风险管理注重对风险的定量分析与管理。企业风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等新的概念与方法,因此,企业风险管理可以在基于概率统计的基础上,合理确保企业的发展战略与风险偏好相一致,从而帮助董事会和高级管理层实现企业风险管理的目标;而原来的内部控制只能在基于定性判断的基础上确保内部控制目标的实现。 三、目前企业风险管理工作存在的问题 (1)企业管理者及相关人员风险意识薄弱。加强企业环境控制与风险评估,是提高企业风险管理效率与效果的重中之重。而当前我国企业缺乏一种可以辨认、分析与管理风险的机制,往往出现为了追求高收益而盲目投资等风险。(2)现有风险管理机构不足以应对企业风险。我国企业风险管理机制设计较晚,现有的规章制度也是近几年开始施行,而企业面临的外部环境却变化很快。变化较快的经营环境使得风险管理机制的风险应对能力削弱,甚至失效。(3)风险管理机构组织建设不健全。国务院国有资产监督管理委员会的《中央企业全面风险管理指引》明确规定:企业应建立健全风险管理组织体系,主要包括规范公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。(4)风险管理机构缺乏真正独立性。作为企业内部审计的一部分,风险管理机构存在独立性不足的问题。尤其是中国大多数企业风险管理部门设立不完善、不系统,审计人员的职责不明确,企业风险责任归属不清晰,都造成了风险管理工作不可能起到真正的监督作用。 四、构建体现全面风险管理的内部控制新机制 (一)构建具有本企业特色的创新风险管理理念 将全面风险管理作为企业文化的一部分,全体员工在全面风险管理理念下共同努力。学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。 (二)构建切合实际的内部控制评价机制 传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来补。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。 (三)构建全新的内部控制组织体系原则 (1)全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,内部控制要遵循全面风险管理的原则,即:全员管理原则;全过程管理原则;全方位风险管理原则。(2)分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。(3)风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。(4)协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。 (四)构建符合内控要求的业务管理新制度 传统分散风险管理模式下,各职能部门制定了大量的所谓“全面”的制度,但制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。 参考文献: 摘 要 日益复杂的经济环境、经营环境使企业内部控制和风险管理的重要性不断凸显,只有充分发挥其职能,进行事前风险辨识,控制和规避企业可能存在的各种风险,才能使企业规范、快速发展。 关键词 内部控制 风险管理 重要性 内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。而风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。内部控制是风险管理的必要环节,风险管理涵盖了内部控制,风险管理贯穿于管理过程的各个方面,控制的手段不仅包括事中和事后控制,更为重要的是,全面风险管理在事前制定目标时就充分考虑了风险的存在。 从经营需求讲,企业经营者肯定会想方设法发展企业,但从稳健方向来说,还有一个风险管理的需求。树立防范意识,建立保障机制、强化内部控制,是保证企业安全的一个基础,而保证企业安全机制能有效运行才是关键。 归根结底内部控制、风险管理可以提炼八个字,一个是说你做的,一个是做你说的,“说你做的”是指说了什么事情要公开;“做你说的 ”则是指规定制度、承诺的事情一定要做到。如果能做到这八个字,在一个企业里面内控意识就形成了。这其中最重要的是执行力问题。流程和制度无论多么完善,如果不能得到执行,就会无济于事。有些流程虽然不是很规范,但只要员工做到了,也同样可以取得好效果。如何提高内部控制和风险管理的执行力就成了最关键的问题,笔者从以下方面做了初步的探索。 一、加强事前、事中风险管控 古时扁鹊三兄弟都精通医术,但扁鹊名气最大,就能说扁鹊的医术最好吗,其实不然,扁鹊自己分析的非常正确,他说:“长兄治病,是治在病情还未发作之前,一般人由于不知晓他能把病灶铲除在发病之前,因此他的名气始终传不出去;中兄治病,是治在病情的初期,人们便认为他只能治一些小病,他的名声只能在附近乡里传播;而我治病,都是治在病情严重之时,人们看到我通过穿经脉、动筋骨、敷大药能把病治好,都以为我医术高明,名气就这样传播开了。” 不仅仅是扁鹊,在公司里其实也存在着同样的情况。我们在公司里充当着扁鹊三兄弟的角色,然而很多时候我们在问题发生时都把像扁鹊一样能在事后拍板的人当成大救星,将希望寄托在他们身上,但是,我们何不做好事前、事中的控制呢? 事后控制,其实就是一种纠正措施,是一种“亡羊补牢”式的控制方法,虽然问题得到了暂时性的解决,但也有了“丢羊”的损失。事前、事中控制则是在生产过程中利用各种有效的信息,将问题解决在萌芽状态,预防大问题的发生。 管理如同治病一样,治标不能忘记固本。治标只在事后控制,而治本则注重事前控制。现实管理中,人们热衷于事后控制,头痛医头,脚痛医脚,对那些能在事后控制的将才,人们大加赞赏,员工服气,领导认可。而对那些针对苗头,防微杜渐,通过事前的及时控制,过程的有效管理,让问题消灭在萌芽状态的默默无闻者,却不能引起大家的重视。以至于员工的积极性不高,因为在他们看来,他们在生产中控制的再好,工作的再仔细也没有人去注意他们,所以加强对事前控制的关注,不仅仅是对保证产品质量的一项措施,更是对员工工作的一种肯定。俗话说:“预防重于治疗”,“防范胜于救灾”,问题的预防者优于问题的解决者,因此我们要多一些事前、事中控制,少一些事后控制。 二、加强关键控制点的风险管控 在企业活动较为复杂的情况下,企业内部控制不可能面面俱到,因此,企业必须充分发挥内部审计风险导向功能,识别并关注主要风险来源和主要风险控制点,以提高内部控制的效率,针对业务流程中的每一个环节、每一个步骤,认真细致的进行分析,根据不确定性的大小、危害性的严重程度等,明确关键的业务、关键的程序、关键的人员和岗位等,从而确定关键的风险控制点,然后根据关键风险控制点制定有效的控制措施,集中精力管控住关键风险。 对待各类问题,不能“眉毛胡子一把抓”,要分清“人参”与“草根”的区别,选用“挖人参”与“拔草根”不同的方法。对那些高风险点,要深挖透查。 比如项目管理的关键控制点:一是项目决策阶段,包括可行性研究报告的准确性,程序的合规性等;二是项目实施阶段,包括投资项目的审批手续、招投标、建设工期、工程质量、资金支付、竣工验收等环节的及时性、合规性。在项目的实际运行过程中,所有的这些因素都可能产生变化,而这些变化将可能使原定的目标受到干扰甚至不能实现。任何的工程项目中都存在着风险,风险会造成工程项目实施的失控现象,如工期延长、成本增加、计划修改、工程质量不达标、工程建成后产品销售达不到预期等,这些都会造成经济效益的降低,甚至项目的失败。正是由于风险会造成很大的伤害,在现代项目管理中,风险管理已成为必不可少的重要一环,良好的风险管理能获得巨大的经济效果,同时它有助于企业竞争力的提高,素质和管理水平的提高。项目风险是时刻存在的,只有紧抓这些风险的关键控制点,然后在项目参加者之间进行合理的分配,使每一个参加者都承担一定的风险责任,他才有对项目管理和控制的积极性和创造性,对产生的不同风险采取相应的风险对策,才能进行良好的风险控制,才能有项目的高效益。 风险管理的精要是将未知风险变成可控风险,关键是通过管理将很多相互影响的因素统筹好,根据企业的目标去作风险分析,把一些主要风险明确下来,然后找到相应的控制手段、管理手段,最终将风险控制在想要的区域里面。 三、强化风险管理是企业生存底线的认知 风险管理是企业生存底线,无论怎么强调也不过分,无论是内部管理需要还是外部监督需要,都使得内部风险管理显得日益重要。应该说,内控的目的不是消除风险,也不是降低风险,而是将其控制在我们可承担的风险范围内,为企业经营目标的实现提供合理保证。 风险管理可以分为三个阶段,第一阶段是问题反映型,来了问题救火式的反应。第二阶段是规范操作型,是已有制度和流程,但缺少战略指导方针下的风险管理。比较完善的是第三阶段体系完善型,就是整个公司的风险管理和内部控制是在公司的统一战略指导之下,通过完善的体系和流程和日常的工作来预防和控制风险。无论风险管理也好,内部控制也好,最主要的还是预防,而不是等着风险来了,再采取措施。 翻一翻许多企业的历史,会发现这样一种情况:在某个区间段恰恰资金短缺,这时刚好有一笔资金帮助企业渡过了难关。假如那笔钱不在那个区间出现的话,那么今天那个企业很可能已经不存在了,内部控制和风险管理的目的,就是尽量避免这种情况发生。企业应该在加强企业内部控制方面苦练基本功,不断提升核心竞争力,以应对严峻的经济挑战。 建立全员风险管理文化成为企业防范风险体系的重要组成部分,为了有效识别、计量和检测风险,企业通常设有风险管理部门,但风险管理绝不仅仅是风险管理部门的职责,无论是董事会、高管层还是业务部门,每个人在从事岗位工作时,都必须深刻理解可能潜在的风险因素,并主动预防。 四、构建全新的内部控制组织体系原则 1、全面风险管理原则,即:全员管理原则,实现对全体员工强化风险意识,做到“横到边,纵到底”,将风险意识,印在脑海里,落实到行动上;全过程管理原则,对企业的发展、业务操作的全过程实行风险控制;全方位风险管理原则,不但要包括业务风险,还要包括投资风险、信用风险、合同风险等。 2、分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。 3、风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。 要构建以风险管理为核心的内部控制,首先就要明白风险的含义。对于企业而言,风险就是指在某一特定环境下的某一特定时间段会对企业的利益造成不利影响的可能性。这种可能性的来源可以是企业的外部,包括社会环境、市场环境、国际环境、法律制度、竞争对手、供应商和客户,也可能来源于企业内部的技术、人员、财务和管理。无论这种可能性来源于企业的内部还是外部,都可能对企业的持续经营带来负面的影响。 风险导向的内部控制就是以风险识别和评估为基础,继而建立和实施内部控制的过程,以降低企业的经营风险实现企业的战略目标。风险导向的内部控制要求企业的所有者和经营者将企业的主要精力放在应该重点关注的风险环节上,而不是关注企业管理的所有细节。 2、为什么要建立以风险管理为核心的内部控制体系 在讨论为什么要建立风险管理为核心内部控制体系前,我们先来看两个小案例。 案例一:巴林银行事件 英国巴林银行曾是全球最早的商业银行之一。但是1992年到1994年期间,其新加坡分行的一位期货交易员在对冲交易中形成了巨额的亏损。但是由于这位交易员同时是巴林银行新加坡分行的结算员,这使他有机会伪造相关财务文件隐瞒了交易损失。同时巴林银行的高层不重视财务报告,连续几年时间都没有发现资产负债表中的损失记录,最终导致这家拥有超过200年历史的银行于1995年被收购。 案例二:中航油事件 2003年中航油新加坡公司总裁擅自从事母公司明令禁止的石油衍生品期货交易,在发生损失后,又欺瞒母公司,最终导致5.5亿美元的巨额损失,公司也不得不申请破产。虽然中航油新加坡公司有着完善的公司治理结构和风险防范体系,但是在高管越权和舞弊发生的情况下,公司也只能是轰然倒塌。 通过这两个小案例我们可以发现为什么要在企业中建立风险管理为核心内部控制体系: 第一、风险意识对于企业实现经营目标有着至关重要的作用。对于企业来说,其经营活动始终处于一个面临各种威胁的外部环境中,这个外部环境包括:市场、法律、技术、竞争对手、供应商、客户等,任何一个外部环境因素的变化都有可能对企业的经营带来风险,影响企业经营目标的实现。因此企业不仅要对风险进行科学的评估和控制,还应该提高公司上下特别是公司高层管理人员的风险意识。使公司上下员工都能积极主动地为公司识别面临的主要风险,认真地思考自身负责领域的风险和可能产生的后果,并上传下达发现的风险,引起相关人员的注意和重视。在企业面临的风险面前,任何疏忽大意都有可能导致企业遭受巨大的损失。就如中航油事件,如果其新加坡公司的高管人员有足够的风险意识,那么也就不会擅自越权进行母公司禁止的交易。 第二、内部控制必须以风险为导向。在巴林银行的案例中,如果其高层能提前从财务报表中发现风险信号,那么也就有可能为公司挽回损失。内部控制体系作为企业应对风险的重要工具,在企业架构中的作用日益明显。但是企业在经营过程中面对的各种事项复杂多变,针对各种事项采取的应对措施也各不相同,如果是一些高风险的事项,却采用一般性的控制措施,那么也就无法起到加强控制降低风险的目的。因此企业内部控制体系在建立和实施的过程中必须以风险为导向,通过识别风险、评估风险的过程找到合理的风险应对措施,从而达到有效的内部控制。 第三、风险管理为核心的内部控制体系对于企业是不可或缺的。前面的两个小案例究其根源都与其内部控制的缺失有着根本性的联系。如巴林银行,其权责划分机制有着重大问题,导致交易员兼任结算员,使其有机会进行舞弊。而中航油高层的越权行为使其越过了公司的内部控制体系,导致高风险的业务得不到及时的控制,最终造成了巨大的损失。对于企业来说,内部控制的缺失有两个层面。一个层面是企业在经营管理过程中缺少相应的规章制度,造成经营活动的随意性和松散的控制环境,整个企业处于“无法可依”的局面。另一个层面则是企业拥有完善的内部控制制度,但是却执行不到位,导致内控制度形同虚设,企业上下形成了对规章制度的漠视,出现“有法不依”的情况。无论是哪种层面的内部控制缺失,其对于企业的危害都远远超过了单一环节上的内部控制失效。因此为了避免内部控制的缺失,就必须在企业内部建立健全风险导向的内部控制体系,在内控的实施过程中也要加强执行,保证内部制度的有效实施,使内部控制能贯穿于企业的所有业务活动中。 3、电力企业的风险识别 对于很多企业建立风险管理为核心的内控控制,具有很大的共同点。但是对于我们电力企业而言,特殊性就凸显出来。首先我们电力企业整个生产经营涵盖建设、生产和运营等多个环节,涉及的范围广,各种风险之间相互关联、错综复杂。分别是: 第一、自然环境风险 主要指气候条件、自然灾害以及其他自然环境变化等因素对电力企业的影响。如气候冷暖变化可以直接影响电网负荷和用电量;地震、雪灾、洪水等自然灾害可能造成电网输电线路中断。 第二、经济财务风险 从外部来说,经济发展形势、国民经济增长速度、金融市场利率波动以及国家对电力企业的投资贷款变动等等诸多因素都可能影响电力需求发生变化,从而影响电力企业的生产。从内部来说,电力企业的资金结构是否合理、企业的盈利能力、资金流动情况和利润分配方式等等都可能给电力企业带来经济财务风险。 第三、政策法规风险 国家对电力企业建设、生产、发展、运营、环保等方面的宏观法律和政策的制定都会直接影响电力企业的发展。 第四、科学技术风险 由于新能源、新技术的开发应用,如核技术、风力、水力可再生能源技术研发、施工及设备的技术解决,技术指标和技术规程研究制定等等诸多问题都会形成技术风险。 第五、用户需求风险 用户的用电需求影响电力企业的成本投入,决定电源和电网建设项目的投资建设。 第六、电价风险 电力是一种特殊的商品,价格直接关系到电网企业的经济效益。电力行业开放 竞争性的发电市场,电网企业面对的发电企业的购电价格是由市场决定的,而面对用户的销售电价是由政府决定的,这样会给电网企业带来电力价格上的风险。用户的用电性质和需求也会给电网公司的供电成本带来风险,执行多种电价类型等等都会给电网企业的运营带来风险。 4、电力企业内部控制与风险管理的现状 第一、企业内部内控意识不强,全员参与风险管理积极性太低 很多企业的管理人员在对内部控制的认识上存在很大的偏差,总是简单的认为企业内部控制就只是简单的企业内部的各种规章制度,把内部控制的作用理解成在日常工作中对员工的管理,没有认识到风险管理的重要性。另外,大部分企业没有形成全员共同参与风险管理的观念,错误的把风险管理当作是管理层所需要做的事情,而和基层职工没有关系。在这样的错误观念引导下,企业的一线员工没有机会参与到企业的风险管理当中,导致的直接后果就是在风险管理的过程中不能及时发现一些薄弱环节,更难以做到防患于未然。 第二、企业的风险管理和内部控制联系太少 在实际情况中,企业由于风险问题而导致严重损失的现象时有发生,造成这一现象的原因不是企业没有相应的内部控制体系以及风险控制制度,而是企业根本就没有将这些制度执行好。另外,企业从业人员的职业素质参差不齐,某些管理者无视企业制度等等,这些问题都需要通过不断改进公司治理结构以及不断强化外部监管来予以解决。 第三、风险控制人才匮乏 电力企业风险控制工作,人才是坚强防线。一切工作安排,最终都要由个人去执行落实。电力企业风险控制有很强的专业性和技术性,负责人要有丰富的风险控制知识及经验技能,对企业管理具备一套整体认识,又不缺乏对各个细小环节的了解。专业人才的养成周期较长,所以培养人才也是电力企业以后管理的重点。 第四、突发事件应急管理体系不健全 风险是客观存在的,难以预知,健全的应急机制很关键。然而部分企业风险防范措施规范缺乏,预防策划也得不到认真落实。再者,已有的应急管理体系或许已经不适应现有改革的发展方向,亟待待改进。如预警状态标准不明确,应急状态下各单位职责分工混乱,应急预案的可操作性也有待加强。 5、电力企业要建立以风险管理为核心的内部控制措施 第一、建立有效的经营风险控制机制 经营风险控制机制是指在经营风险管理中所形成的互相联系、互相制约的功能体系。构建完善的经营控制机制是防范经营风险的关键所在。首先,建立起经营风险的全过程控制机制。其次,实行全员风险管理,健全风险控制的动力机制。实行全员风险管理,将风险,将风险机制引入企业内部,使管理者、职工、企业共同承担风险责任,做到权、责、利三位一体。最后建立和完善经营风险预警机制。规避资本营运和资金管理风险最为有效的是建立经营预警系统,加强经营危机管理。 第二、建立完善的内部控制体系 电力企业应该根据自身的实际情况,建立完善的内部控制体系。首先,建立有效的监督防范机制。电力企业应本着“未雨绸缪,防范于未然”的态度,逐步建立涵盖企业投资、运营全过程的监督防范机制,重点监控企业财务管理容易出现问题的环节;其次,严格进行事中监督。严格按照电力企业内部控制的相关规定进行常规性会计核算,在此基础上采用定期核查和随机抽查相结合的方式,对电力企业会计部门的各项业务和各部门进行监督,并将监督结果反馈给财务部门留档,以便以后核查;最后,完善事后检查机制。电力企业应该成立管理委员会,由企业管理者牵头,挑选一批专业素质过硬、责任心强、职业道德高尚、客观公正的人员定期对内部控制制度的执行情况进行考核,保证内部控制工作质量。 第三、内部控制与风险管理统筹兼顾 风险管理和内部控制作为企业管理的两大工具。内部控制可以将企业发展战略、管理理念、控制要求融入公司治理、企业文化、岗位授权、制度规范和业务流程,通过风险评估、风险预警、信息沟通、流程监控、有效性评价、缺陷改进等控制活动,推动企业管理从单一制度管理向体系化管理转变、从传统管理向风险管理转变、从事后监督向过程监督转变、从职能条块化管理向全流程管理转变,实现企业管理水平全面提升。 第四、培养电力企业风险管控人才 企业风险管控的工作繁琐困难,但对企业的长远发展意义重大。扎实的专业基础,丰富的工作经验,良好的心理素质以及一定的奉献精神是企业风险管控人才的必要条件。电力企业应结合时代特点和企业需要培养或招聘专向型人才,在企业内普及风险防控教育,增强全体员工的风险防控意识,充分发挥风险防控人才在企业风险控制实践中的作用。此外,企业还要革新薪资激励机制,引进优秀人才,壮大团队力量;健全选拔制度,提拔公司内部有责任心、有上进心、有实力、有业绩的员工,培养企业自己的骨干力量。内外一起抓,打造电力企业风险控制的中坚力量。 第六、完善电网突发事件应急管理体系 首先,加强系统规划建设。电网建设与电源建设密不可分,协调发展。从电源规划、建设、运行和管理等各个环节着手,加强本地电网与大电网的联系,优化电源布局,保证供电安全。其次,建设强大的监控、调度系统。充分利用各种信息渠道,及时掌握各种灾害数据,做好灾前准备,实现对灾害的预警和恢复控制。再次,应急预案必须具备可操作性、差异性和标准化三个要求,提高突发事件处理、应变的能力。 关键词:内部控制;风险管理;现状和方案 中图分类号:F270 文献识别码:A 文章编号:1001-828X(2016)027-0000-01 虽然企业内部控制和风险管理相关指引在我国大部分企业已经得到了广泛应用和推广,但现实中还存在许多不足,在中国企业全面参与国际竞争的同时,企业加快建立国际趋同的相关体系显得尤为重要,只有这样我们企业在做大的同时才会做的更强,做到真正的立于世界东方之林。 一、我国企业内部控制和风险管理的目前现状 关于企业内部控制和风险管理存在“两级分化”现象比较严重,我国企业尤为突出;即大企业内部控制制度和风险管理程序复杂繁琐,有些企业制度设计的过于臃肿,已经严重影响企业的效率和效果,而小企业则相反缺乏相关流程和管理制度制约着企业的发展,所以企业建立健全与企业发展相匹配的制度是发展过程中的重要环节。 二、企业内部控制中存在的问题 1.控制环境方面。目前,企业内部控制环境存在以下问题:首先,公司治理结构不规范。改革国有企业,虽然正式成立了法人治理结构,但远未达到内部权力制衡的效果。二是组织结构是不合理的。一些国有企业仍然使用旧的模式的经济体制。这套制度没注意企业组织的合理性,企业普遍存在机构臃肿,管理水平,效率低的问题。 2.责任控制,会计人员素质较低。根据中国的1200万会计人员的相关统计数据,接受大学教育是低于10%,在相对优质国有企业和县级企业在600万会计人员,大专以上学历的只有18.21%,占8.45只%的资格,会计人员的素质可以看到不高。 二,责任不公平。权利,义务和责任是责任和控制的基本原则。其次,责任是不公平的。权利,义务和责任是责任和控制的基本原则。在实践中,会计师的目标是明确的,按照限制核算的功能;身份不明确,位置是不正确的;责任,权利,利益严重偏离,从而导致会计进行报复,并得到保护;这些谁打算从事伪造账目的关注,并且屡禁不止。 三、加快落实企业内部控制相关具体细则 设计、执行和维护必要的内部控制是企业管理层的义务也是其重要的责任,而内部控制评价是由企业董事会和管理层来实施的,而企业内部控制的审计则分为内审和外审,符合相关条件不但要建立自己的内审部门还应当聘请会计师事务所进行外部审计,同时企业还需要建立健全主要业务内部控制制度、内部控制评价制度、内部控制审计制度: 1.加强企业主要业务内部控制制度的建设,根据企业的性质划分,不同类型的企业对相关指引要求的可能不同,但大部分企业应当根据财政部、证监会、审计署、银监会联合了企业内部控制配套指引建立健全以下18号应用指引:组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研发业务、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统,在建立该项控制时应重点关注其主要风险,以及内部控制的要求和措施。 2.内部控制评价应围绕基本规范提及的内部控制五个要素,即内部环境、风险评估、控制活动、信息沟通、内部监督,以及基本规范及应用指引中的内容,在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面的评价。 3.内部控制审计,企业在此阶段应当做好准备工作,加强内部控制管理,安排时间与资源执行有关额规定,如果企业内部资源未能配合进行内部控制的设计、实施和评估工作,可以聘请专业人员或会计师事务所提供有关的咨询服务。 四、建立与企业管理目标相匹配的风险管理策略 1.企业应当建立健全风险管理目标,确保将风险控制在与企业总体目标相适应并可承受的范围内,确保企业内外部尤其是企业与股东之间实现真实、可靠的信息沟通,为确保符合有关法律,法规,以确保相关的规章制度,并实现业务目标和实施重大措施的实施,确保管理和运营的有效性,提高经营活动的效率和效果,减少不确定性在实现业务目标,确保企业准备应对危机管理计划,以防止灾害风险或人为错误后企业的重大风险和损失惨重 2.风险管理战略,企业应根据自身条件和外部环境,围绕企业发展战略,确定风险偏好,风险承受能力,风险管理有效性的标准,选择风险承担,风险规避,风险转换,风险对冲,风险补偿,风险控制和其他适当的风险管理工具和确定总体风险策略。 3.风险管理原则和要求:与公司的整体风险管理战略相一致;随着公司面临匹配的风险的性质;选择风险管理工具,以考虑其合规性要求,运营,包括法律和监管环境,对企业的熟悉程度,风险管理工具的风险特征,不同的风险管理方法可能适用同样的风险。 4.企业管理层需要强调理论与实际并重原则,着重企业的效率和效果,不应光侧重理论或者只偏重人为主观判断。 五、总结 随着我国经济总量的不断攀升,企业竞争日趋激烈,对企业符合法律法规乃至高效率经营提出更高的要求,从而企业应尽快建立匹配自己政策和程序,使其在竞争中获得更好的发展,在建立健全相关制度的过程中很重要的环节就是人才建设,无论从内部控制和风险管理的设计、执行还是维护的角度来看都离不开人的因素,故无论是大企业还是小企业都应重视人才战略,更好的促使企业文化的健全,从而达到企业快速且良性运转和发展。 参考文献: 关键词:内控管理 风险管理 融合策略 一、企业内控管理与风险管理融合基础 运营目标与战略目标是以风险管理为导向的内控管理体系的两大核心目标。其中现代企业置于各项经营业务环节全面挖掘各种风险因素,之后立于风险因素之上制定运营目标与战略目标。 构建基于风险管理的内控体系。为充分发挥内控管理方法高效性职能,进一步加强现代企业内控管理,需要构建完善的内控管理体系,加强现代企业会计信息的内控管理同样至关重要,即会计信息的真实性、完整性、有用性直接关系到现代企业各项决策的高效性、正确性,所以要求现代企业依照科学合理性、真实全面性原则编制会计报表,规范相关凭证填写行为,落实好相关凭证保管工作,以促进现代企业持续稳定发展。 内部监督与审计是内控管理的重要组成部分。计划经济体制下,现代企业内部监督侧重于事后结果监督,忽略了事前监督与事中监督的重要性,以致内部监督未能够达到预期目标。所以应转变这一监督模式,切实着眼于现代企业各项业务环节开展内部监督活动。 二、内部控制与风险管理的相关性 (一)内部控制与风险管理均具有过程性 内部控制实质上是一个以实现改善组织经营管理,提高组织经济效益为目的的过程,其并不属于目标本身,而是为达到某种目标的一种手段。通常情况下,组织内部控制由风险评估、内部环境、控制活动、内部监督及信息与沟通五大要素构成。风险管理实质上是一个采取有效措施将风险控制在最低水平的过程,通过开展风险管理既有助于保证企业资产的完整性、完全性,又大大促进了企业经营活动目标的实现。实际上,无论是内部控制还是风险管理,均不只是某个部门或某个人的工作,需将其全面贯穿于企业各项经营活动中,并要求企业各部门、各岗位及各职工积极参与进来,共同开展内部控制与风险管理。 (二)内部控制与风险管理具备相同的手段 实践表明,内部控制与风险管理均可采用风险评估方式予以实现。COSO报告指出,风险评估指的是对目标实现过程中出现的风险予以确认与分析,其作为内部控制的一部分,主要用于辨识与处理相关风险。内部控制背景下,企业通常按照辨识――分析――管理――控制的过程开展风险评估活动;而风险管理背景下,企业最先明确组织目标,之后围绕组织目标立于固有与剩余基础之上开展风险评估活动,然后准确了解相应风险对实现组织目标所产生的不利影响,从而采取有效应对措施予以矫正。 (三)内部控制与风险管理具有相同的目的 提供合理的保证既是内部控制的核心目的,又是风险管理的核心目的。对于内部控制而言,因受成本限制、人为错误等诸多不稳定性因素的影响,以致所提供合理的保证仅能够面向企业董事会与管理层。归纳而言,内部控制的根本目的并非解决已发生的风险,而是预防风险事件的发生。对于风险管理而言,其实质上是挖掘影响企业目标实现的各类风险因素并采取有效手段予以管理,以此将风险事件消除在萌芽状态。由此可见,内部控制与风险管理均为企业实现经营目标起着重要的推动作用。 (四)内部控制与风险管理受到相同内外部因素的影响 在企业中,内部控制政策、制度需要由各成员结合企业实际状况进行编制与实施,同时,内部控制政策、制度又反作用于企业成员,并作为规范企业成员业务活动行为的重要依据,所以内部控制受企业成员的影响与作用。另外,企业各类风险事件的发生均与“人”存在密切联系,而风险管理的执行也只有在“人”参与的情况下才能够得以实现,因此风险管理同样受企业成员的影响与作用。 三、内部控制与风险管理的区别 (一)内部控制与风险管理侧重点有所不同 企业内部控制以制度机制为侧重点,即通过制定、完善、实施相关制度机制以达到规避风险的目标,从而促使企业各项业务活动顺利有序开展。而风险管理以交易为侧重点,即以市场交易的方式达到规避风险的目标。 实际上,企业内部控制以会计控制为切入点,注重增强会计信息的准确性、决策有用性与资金的完整性、完全性,通常情况下,内部控制仅限于财务部门,未能够涉及到企业管理环节,而风险管理全面贯穿于各个经营管理环节,可见风险管理涵盖内部控制,内部控制可作为风险管理的基础。 (二)内部控制与风险管理涉及的风险存在不同的范围 COSO报告指出,内部控制并非只是控制企业内部风险,而是涵盖了企业生产经营过程中可能出现的所有风险,包括内部风险与外部风险。而风险管理有所不同,巴塞尔委员会指出,风险管理注重实现对特定业务的战略评审,以对同一行业不同企业间的风险、收益比较分析促使本企业实现经济效益最大化。 四、企业内控管理与风险管理融合策略 (一)完善内部控制规范体系 强化组织领导,夯实内部控制基础。董事会负责内部控制的建立健全和有效实施,监事会对董事会建立与实施内部控制进行监督,经理层负责组织领导企业内部控制的日常运行,全体员工广泛参与内部控制的具体实施。企业的内部控制部门应结合实际,制定内部控制体系建设的阶段目标,围绕内部控制的五个要素扎实开展工作,深入宣传、认真执行、严格监督、严肃考核,保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,规避生产经营风险。随着实施工作的不断深入,企业应当加强内部控制全员、全面、全过程管理,进一步推动管理创新,不断提升管理水平,有效防控经营风险,保证实现价值目标,最终促进企业实现发展战略。 (二)调整优化企业治理结构,为实现内部控制评价科学合理性提供保障 企业治理结构与内部控制及其评价工作相互影响,其中企业内部控制及其评价既以企业治理结构为基础,又以企业治理结构为依据。所以调整优化企业治理结构对实现内部控制评价科学合理性至关重要。 (三)加大内部控制自我评价力度 就西方国家而言,其上市企业内部控制工作倾向于控制自我评价状态,即要求上市企业落实好内部控制执行监督评价工作,及时发现内部控制执行过程中存在的不足之处,及时采取有效措施予以纠正,以保证内部控制工作高效正常开展。另一方面,内部控制自我评价呈现下述特征:一是注重对业务实施效果的控制;二是始终围绕结构化的方法开展内部控制评价工作;三是多个部门共同承担内部控制评价职责。上市企业通过开展内部控制自我评价工作,不仅有助于规范企业业务经营程序及内部审计程序;而且还有效控制了企业资金风险与经营风险,为企业达到可持续发展战略目标提供强大的驱动力。 (四)全面预算管理业务流程 企业全面预算管理由三部分构成,包括预算编制、预算执行及预算考核等。对于预算编制而言,其作为全面预算管理业务活动的基础,主要以理清预算管理思路、明确预算管理目标等工作为切入点;对于预算执行而言,其作为全面预算管理业务活动的关键,最大程度上影响着全面预算管理质量,其主要以事前预测、事中控制及事后监督调整为切入点;对于预算考核而言,其作为全面预算管理业务活动的保障,全面贯穿整个预算管理业务流程。通过考核能够及时发现预算管理业务流程中存在的不足之处,之后有针对性的执行有效措施予以纠正,以确保全面预算管理业务活动高效有序开展。 参考文献: [1]企业内控管理中的信息化建设和政府监管部门的作用[J].中国总会计师,2012(6). [2]何九妹.从法约尔的五职能理论浅谈内控管理的范围[J].会计之友(上旬刊),2010(9). [3]董月超.从COSO框架报告看内控管理与风险管理的异同[J].审计研究,2009(4). [4]宋绍清,张瑶.基于公司治理视角的内部控制信息披露影响因素分析――来自中国A股市场的经验证据[J].财会通讯(学术版),2008(10). [5]缪艳娟.英美内部控制监管制度差异探缘及其启示[J].商业经济与管理,2008(12). [6]高智斌.浅析如何加强上市公司风险管控[J].现代商业,2010(33). 【关键词】风险管理;核心;内部控制 一、风险管理与内部控制的关系探究 风险管理是一个相对抽象的概念,在不同的环境下、不同的领域中,它所具有的内涵和表现出来的外延是有所差别的。从其共性来看,风险管理的对象都是各种潜在的风险因素,通过对其进行识别、评估、控制、管理来最终减少风险出现的可能性。而内部控制则是一个相对专业的概念,它是现代企业管理体系中的一项重要制度,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。对于内部控制与风险管理的关系,我们认为,二者其实是一种包含与被包含的关系。在企业管理中提到风险管理,我们认为它必须依附于内部控制而存在,也就是说,如果脱离了内部控制来谈论风险管理将毫无意义。所以在现代企业的管理理论中,风险管理存在于内部控制这一个大的体系中。有了内部控制,才会有风险管理,各项风险管理工作的开展也才会有意义。 二、企业风险管理的内控机制现状分析 第一,风险管理的意识淡薄。现代企业制度的建立在我国本身起步较晚,所以一些现代化的管理模式和管理理论在我国还被认为是一些新鲜事物,特别是对于一些中小企业而言,用现代企业的管理制度来提升自己的竞争力还处于探索与学习阶段,这就决定了我国现代企业管理的整体水平不会太高。具体到内控工作上,最突出的表现就是大多数企业只是从形式上重视了内控制度的建设,认为构建了相关的平台,有了相关的规章制度就意味着内控工作已经完成,已经能够在企业的运营中发挥其应有的价值。对于什么是风险管理,风险管理在内控工作中有着怎样的作用,处于怎样的位置,并没有得到正确的认识。大部分企业对风险意识缺乏正确的认识,没有风险防范的基本觉悟。形式上虽然确定了各项管理制度,但是并不能够发挥其应用的风险防范价值。第二,以风险管理为核心的组织架构尚未确立。归根结底,现代企业制度最为核心和关键的问题仍旧是公司治理结构的问题,公司治理结构决定了各项职能承担的主体以及各项工作的具体实施情况。组织架构的价值就在于将一项系统的工作通过科学的分配将具体的权责落实到每一个具体的岗位或是员工身上,风险管理工作的开展同样必须依赖于这种专业完善的组织架构的建立。但是从当前企业运行的现状来看,部门、岗位之间的权责区分不明确,没有明确的监督主体和具体的责任承担方式,没有针对风险管理的专门组织架构,部门与岗位之间的界限模糊,使得风险管理工作无法开展。第三,风险管理与内部控制并没有很好的联系起来。在上文中我们已经提到,要做好企业的内部控制工作并不是一件容易的事情,每一个企业要根据自身的实际情况来选择合适的突破口。将风险管理作为内控工作的切入口,是我们在考量众多企业现实情况的基础上做出的具有通用价值的选择,以风险管理为核心,就是在内控制度的几个要素中确立一个中心,所有的工作都是围绕这一个中心而展开。但是当前风险管理与内控工作并没有很好的联系起来,这种疏漏表现在多方面,从管理者的角度来看,并没有明确将风险管理作为内控工作开展的核心;从战略的制定与实施的角度来看,由于没有重视风险管理各项战略规划存在激进与冒险的情况,加大了企业未来承担风险的概率。 三、以风险管理为核心的内控工作分析 企业重视内部控制工作有着重要的现实意义,它的一个重要价值就在于通过对财务、运营、经营等工作的细化分析和控制来尽可能的减少有可能出现的各种潜在风险。从这个角度来看,内部控制与风险管理本身的价值取向是趋同的。建立以风险管理为核心的企业内部控制体系,需要做好以下几方面的工作: 第一,构建以风险管理为核心的全新内控体系。针对当前企业内控工作开展的现状,要想使风险管理在整个内控工作中得到重视,首先必须构建一套以风险管理为核心的全新的内控体系,只有为风险管理创造一个有序的外部环境,这项工作才能得以顺利的开展进行。具体来说,风险管理应该具体的落实到每一项工作中,包括员工的管理、发展战略的制定、运营模式等。在企业中设立专门的风险管理机构,由其作为涉及到风险管理事务的主要执行机构和决策机构,赋予其专有的权利以及相对独立的地位,来保证这项工作更好的开展进行。第二,确定合理的目标。风险管理工作的开展,一个重要的前提就是企业的发展必须有明确的目标,只有有了目标,我们才能判断在达成这一目标的过程中,企业需要经历怎样的发展途径,以及需要面临怎样的风险,也就是我们通常所说的风险识别。如果一个企业的发展都没有明确的目标,那么也就谈不上风险识别。要使得风险识别具有保护企业发展的价值,还必须保证企业所确立的目标是合理的,任何夸大、不切实际的目标都是对企业资源的一种浪费,在这种情况下进行的风险识别也不能发挥丝毫的作用。只有完成了风险识别,我们才能进行下一步的风险评估以及控制,并且将企业的风险管理纳入一个动态的控制体系中,根据目标的调整和变化,来调险识别与控制,减少企业面临的各种潜在风险。第三,加强人力资源的管理建设。无论是企业的内控工作还是风险管理,其根本仍旧处理的是企业与员工的关系、员工与员工之间的关系,简而言之就是人力资源的管理。将风险管理的意识带入到人力资源的建设工作中,就是要加强对个体员工的管理。以风险管理为中心的人力资源建设,其实就是要提高企业内部每一个员工对风险的识别能力和防范能力,在企业中不仅会出现一些宏观事物所导致的风险,而且也会出现由于个人道德水平和价值观念所产生的道德风险,这些风险内容同样是企业进行内部控制应该关注和重视的问题。要通过提高员工的综合素质,尽量减少个体道德风险对企业带来的负面影响,用健全的鼓励、激励机制在企业内部打造积极向上的工作氛围,这也是企业内控工作应该具备的效果之一。第四,制定相应的风险评估机制。风险评估可以使企业考虑潜在事件如何影响目标的完成,管理层可以从两个方面对事件进行评估:可能性和影响性。可能性表明的是事件将会发生的概率,而影响表明的是如果事件发生,其结果如何。一般可以利用过去事件的详细资料,根据各个企业的实际情况,结合上级部门的要求,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对各单位、各部门的控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。第五,构建符合内部控制要求的业务管理新制度。要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善财会业务、中间业务等各项业务管理制度,整合业务操作流程,建立起完善的风险防范体制,构筑起面向全部门、覆盖所有业务品种和涉及业务全过程的内部控制管理体系,实现业务发展和风险管理的同步。业务主管部门要加强规章制度的完善和业务流程的再造,加大业务条线自律监管的力度。内审部门要充分发挥审计的帮促作用,促使全部门逐步建立起业务管理服从规章制度、业务操作服从处理流程、业务考核服从统一标准的管理新制度。 参 考 文 献 [1]张丽珍.浅谈企业风险管理框架下我国企业的内部控制[J].商场现代化.2010(32) [2]张敬梅.加强内部控制降低企业经营风险[J].现代商业.2008(9) [3]管仁强.浅析民营企业内部控制存在的问题与对策[J].现代商业.2011(5) [4]熊汉兰.浅论企业内部控制[J].企业导报.2009(2):77 【关键词】管理学 内部控制 风险管理 一、美国内部控制与风险管理的融合 在美国,COSO报告中内部控制的手段主要体现在事前控制上。在不考虑其他条件的情况下,企业采取的控制措施越强,其所面临风险的可能性以及所可能遭受的损失则越小。所以企业的管理者经常使用风险评估手段识别和分析企业面临的风险并不断完善内部控制的具体环节,从而将经营管理风险于事前控制在最小程度。 而在全面风险管理(ERM)框架中,与内部控制一样,企业风险管理被定义为一个过程。ERM指出,风险管理是渗透于企业各项活动中的一系列行动,贯穿于管理过程的各个方面。风险管理不只是某个人或者某个部门的事,而是贯穿到整个企业、整个员工,贯穿到业务的每一个环节,有赖于高管人员到基层员工各层次人员的相互配合。 二、英国内部控制与风险管理的融合 在英国,有关内部控制的理论研究主要见于《卡德伯利报告》、《拉特曼报告》、《哈姆佩尔报告》以及《特恩布尔报告》。其中:《卡德伯利报告》和《拉特曼报告》认为,内部控制的对象限于对企业的财务控制,企业实施内部控制的主要功能在于保护企业资产的安全、保持正确的财务会计记录以及确保公司内部使用和向外部提供的财务信息的可靠性。 而《哈姆佩尔报告》认为企业实施内部控制的目的,除了保持财务会计记录的真实准确、保护企业的资产安全以及各项信息的可靠性外,还应该充分重视董事在内部控制中的作用。该报告认为企业风险评估和反映、财务管理、遵守法律法规、保护资产安全以及使舞弊风险最小化等也是极其重要的,企业内部控制的实施离不开董事等高级管理人员对企业经营的各方面进行复核。 《特恩布尔报告》在理解内部控制活动范围时,将内部控制与风险管理合为一体,认为内部控制与风险管理的概念涵义基本一致,认为公司经营管理和内部控制组织的环境处于不断变化之中,而企业所面临的风险也是不断变化的,内部控制的目的就是帮助企业正确地分析评估、管理和控制风险。因此,该报告认为对公司所面临风险进行全面分析评估,是一个健全的内部控制必不可少的内容。 三、我国内部控制与风险管理的融合 在我国,审计署党组成员、总审计师孙宝厚先生曾在“融合之道——内部控制和风险管理高峰论坛》上真言不讳的讲:“内部控制、内部审计是风险管理的重要组成部分。”他认为:内部控制中的审计活动一定意义上讲就是要防范和减少错弊或者损失的发生。因此,企业审计在针对企业可能遇到的内外部风险(如经营风险、市场风险、法律风险、政治风险、信用风险、技术更新风险等)的预防控制方面具有较大的局限性。尤其是企业的内部审计活动,在内部控制以及风险管理控制上的作用主要是局限于财务和内部的操作风险方面;至于外部的、长远的其他方面的风险,审计活动算是鞭长莫及。所以,企业就需要考虑另外一种能够同时应对外部的、长远风险的管理角色。 此外,加拿大CICA的控制委员会对内部控制与风险管理关系的认识也逐步从对立走向融合,认为“控制应包括对风险的确认和规避”。当前,加拿大的学者逐渐认识到将内部控制和风险管理的二者加以隔离的分析方法的不足,控制的过程本身即是对风险的评估确认以及合理规避。CICA控制委员会认为在企业管理中,只有将内部控制与风险管理二者加以结合,才能发挥最佳的企业管理效果。例如,Blackburn(1999)就认为“风险管理与内部控制仅是人为的分离,而在现实的商业行为中,他们是一体化的”。 从以上分析可以看出,内部控制和风险管理相融合的理论演变,恰恰使得有关内部控制的定义变得清晰,使内部控制的内容跳出传统的内部财务控制的限制,扩展到了企业的战略制定等所有价值创造领域,标志着风险导向型内部控制时代的开始。 参考文献: [1]许开端.企业内部控制系统设计之我[J].会计师.2010(1). [2]李星辰.内部会计控制与公司治理结构[J].华北科技学院学报.2003,(3). [3张景安.风险投资中的风险控制[J].中国内部审计,2007. [4]王光远.公司治理下的内部控制与审计——英国的经验与启示[J].中国注册会计师,2003. [关键词] 内部控制全面风险管理有效实施 一、内部控制定义 内部控制是由企业董事会/监事会、管理层和全体员工共同实施的、旨在合理保证企业战略、经营的效率和效果、财务报告及管理信息的真实可靠和完整、资产的安全完整、遵循国家法律法规和有关监管要求的一系列控制活动。内部控制以实现公司发展战略为目标,提高经济效益为中心,防范和控制经营风险为目的,规范公司各种业务流程为内容,建立并实施的一整套责任体系。内控建设是公司可持续发展的战略要求,内控建设是实现公司经营目标,提高运营效率的重要保证。 二、我国企业内部控制实施的现状及原因分析 2008年5月,财政部、审计署等部委联合了《企业内部控制基本规范》(以下简称《基本规范》),自2009年7月1日起在上市公司范围内实行,并鼓励非上市的大中型企业实行。随后,我国又颁布了六个具体规范,内部会计控制制度体系初步形成。以上规范自开始实施以来,从制度源头上为企业内部会计控制的建设提供了保障,对企业会计信息质量的改善起到了积极作用。但综观我国企业的内部控制现状却不乐观,在内部控制制度的设计、实施和监督等环节,主要存在以下问题。 (一)企业内控制度设计不完善 为保证内部控制体系的构建有序推进,我国在国务院国资委《中央企业全面风险管理指引》的要求下制订了《内部控制体系建设指导意见》,确定了构建基于全面风险管理的内部控制体系遵循的四项原则,即坚持短期目标与长期目标结合的原则;坚持运营效率与企业效益结合的原则;坚持国际先进经验与公司实践结合的原则;坚持全员参与与分级负责结合的原则。 目前,大部分企业管理者内部控制意识不强,对内部控制建设不够重视。具体体现为:少数企业未建立内控制度;部分企业虽然建立了内控制度,但内控制度设计不科学、不系统、不完善,只对企业经营活动中的某项或某几项业务中的部分关键点进行控制,或者虽然制定了与财务报告相关的内控控制制度,但设计过于简单或流于形式,未能遵循科学的构建原则,与实际脱钩。在当前职能制组织架构居多的企业管理模式下,企业内部的管理形成条块分割,这样不健全的内控制度设计没有渗透到公司的各项业务过程和各个操作环节,没有覆盖到所有的部门和岗位,未能实现立体交叉、多角度、全方位的风险预防监控,内部控制建设不成体系,对实际工作缺乏指导性和操作性。 (二)企业内控制度实施不到位 目前,部分企业虽建立健全了内部控制,但执行不力,形同虚设。 1.由于内部控制环境缺失及管理体制等原因,很多企业高层管理人员或对经济活动进行越权干预的现象比较严重,岗位设置及权限、审批程序等重要控制环节与企业内部控制制度相背离,造成内部会计控制制度失效,进而导致舞弊行为发生、会计信息失真。 2.风险控制责任不落实。具体表现在内控流程中关键风险点的控制责任不够明晰,影响内控制度的执行。 3.内控制度建设只有少数人参与,与“内控建设涉及到公司经营活动的全过程,是一项系统工程,需要每个员工的参与”的内部控制要求相差甚远。特别是部分员工完全未参与,包括内控流程的建立完善和执行,不利于流程的完善和有效执行,无法达到内控目的。 4.内控制度培训不到位,部分员工对内部控制的基本概念、必要性、内控目的和自己在内控建设中的角色并不很清楚,风险意识淡薄,制约了企业内部控制的建设,使内部控制流于形式。 (三)内外部审计的监督作用发挥有限 1.在内部控制的监督过程中,内部审计既是控制活动的一部分,又是对内部控制的再控制,扮演着十分重要的角色,但多数企业的内部审计未能履行其应有职能。首先,内部审计独立性不够。其次,内部审计职能未将内部控制评审作为其重点工作来抓,过分强调“查错纠弊”,忽视“防错防弊”职能,未能发挥其加强企业内部管理的作用。再次,内部审计人员素质参差不齐,内部审计工作得不到必要的重视和支持,力量薄弱,阻碍了内部审计监督作用的发挥。 2.外部审计以财务报告审计为主,开展内部控制有效性审计有限,政府及其他监管机构尚未建立完善的对企业内部控制的监督机制。以上外部因素制约了对企业内部控制的监督。 三、有效实施基于全面风险管理内部控制的具体措施 内控建设是建立和完善现代企业制度的必然要求,是贯穿于企业经营管理活动的全过程。管理实践证明,企业一切管理工作,都是从建立和健全内控控制开始的;企业的一切决策,都应统驭在完善的内部控制体系之下;企业的一切活动,都无法游离于内部控制之外,得控则强、失控则弱、无控则乱。从成功企业的实践看,企业的竞争优势不仅仅在于人才、资源、核心技术,而最前提、最持久的关键优势是制度。而内部控制历来是包括企业在内的所有组织和机构正常运转的制度基础,因此,强化内部控制和风险防范意识,建立有效地基于全面风险管理的内部控制制度并强化执行,全过程和全方位管控企业经营活动,对提升价值,提高企业竞争力有着十分重要的意义。 根据上述现状及分析,要实施基于全面风险管理内部控制,保证内部控制作用的发挥,必须为其实施提供良好的内、外部环境,从内控制度设计层面和企业执行层面做好以下工作。 (一)营造良好的内部控制环境。企业各级领导思想上应高度重视内部控制建设,强化风险管控意识,推动内控建设 1.思想决定行动。企业各级领导要充分认识到加强内控建设的重要性和紧迫性,在思想上牢固树立风险管理意识,紧紧围绕公司发展战略和经营目标,以强化管理、有效控制、防范和规避风险为目标,从公司经营管理活动的各环节入手,查找存在的问题和风险,建立健全内控制度,优化业务管理流程,提高公司整体经营管理水平。 2.建立完善的公司治理结构、科学的运营管理体系,促进内部控制制度的建立健全和有效执行。 3.倡导以人为本的企业文化,实现“软控制”。内部控制作用发挥的关键,在于能否将其变为企业内部需要。无论在内部会计控制制度的制定环节,还是执行环节,都能变“要我控制”为“我要控制”,从而达到内部会计控制的最佳效果。 (二)应落实风险控制责任 内控建设涉及到企业经营活动的全过程,是一项系统工程,需要企业所有员工的积极参与。在优化流程、确定风险控制点的基础上,将各业务流程中的风险控制点、控制标准和控制措施,落实到每一个部门、每一个工作岗位上,使每一位员工都有风险控制的责任和控制目标,并认真履行其职责,促进内控制度的实施。 (三)加强对各级领导及员工的内控制度及流程培训 提升员工素质和职业道德,使大家了解内部控制的真正意义及各自在内控建设中的职责,熟悉各岗位相关的内控流程,强化内控意识和风险防范意识,以高度的责任心主动参与内部控制。 (四)充分发挥内外部审计的监督作用 为确保内部控制制度切实执行并取得良好效果,就必须对其施以恰当的监督。企业内部最主要的监督评价方式就是内部审计,为此,企业当务之急是确立内部审计在监督、检查内部控制工作中的独立地位,并且实现内部审计由事后监督职能向事前、事中监督职能的转变,对企业实行日常持续监督和专项审计监督相结合,并将监督、评价结果及时反馈,协助企业不断完善内部控制制度并监督执行,以保证内部会计控制制度的有效实施。同时,企业应重视外部监督力量(如注册会计师)对企业内部控制审计的监督评价结果,与内部审计形成有效的监督合力,以确保企业内部控制全面有效。 (五)企业内部应强化内部控制执行情况的监督检查和考核 根据内外部审计及其他监督机构的审计监督结果,以考核手段督促各级企业建立健全企业内部控制制度,严格执行内控制度及业务流程,杜绝形式主义,提高内部控制执行效果。 (六)内控建设应常抓不懈 企业的内控建设是一项长期的工作。各级企业要把加强内控建设作为公司的一项长期任务和基础性工作,长抓不懈,不断发现问题,完善制度,优化流程,建立风险控制的动态管理机制,为企业的持续、健康、有效发展奠定坚实的基础。 参考文献: [1]财政部.内部会计控制规范――基本规范(试行) 关键词:企业 全面风险管理 内部控制 体系 一、全面风险管理和内部控制概念 (一)全面风险管理的概念 全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。 根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。 (二)内部控制的概念 内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。 笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。 二、全面风险管理和内部控制的关系 全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。 (一)管控实施主体一致 从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。 笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。 二、全面风险管理和内部控制的关系 全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。 (一)管控实施主体一致 从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。 (二)管控范围相互包含 从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。 (三)管控视角侧重不同 从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。 (四)管控目的存在差异 从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。 综上所述,能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素,进行准确全面的度量和评估,建立初始信息框架,是全面风险管理工作流程起始点,因此,要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上,提出各种应对措施及方法,内部控制措施其必要性与风险系数呈正相关的关系,并依据风险内容制定控制机制与实施,企业在生产运营管理中,通过使用具体的内部控制措施的有效工具,对各类风险进行控制、评估,从而监控管理潜在的各类风险爆发隐患。 三、企业内部控制体系实施 随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。 建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。 (一)基于财务报告相关基础的SOX内控体系 初步建立以《萨班斯》财务报告为基础的一套内控体系,主要关注内控组织和制度的建设,完成体系的搭建,内外部审计中,均顺利过关,遵循工作总体有效,主要建设效果如下。 1.搭建内部控制体系组织架构和体系 内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。 按照内部控制建设目标和原则,通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设,完善了基本的内部控制设计,业务流程范围覆盖了企业所有业务部门,形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点,形成内部控制手册和矩阵。 2.梳理规范业务操作 梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。 3.提升风险管理意识 通过结合基于财务报告相关的内控建设初步的风险管理体系,深化了内控的管理细度,实现了将与财务报告相关的内控要求融入日常工作,与业务运营融合,提升了业务执行效率与效果,增强了风险管理意识。 4.内部控制落实 企业通过部门层面内控常态化管理项目的实施,将公司层面的控制落实到部门层面,控制的执行更加明确,转换部门角色,把部门由受控主体转变为控制的主体,形成部门内控闭环管理体系,实现部门内部控制的建立、执行、测试及跟进闭环管理,将控制真正融入到日常工作之中,避免内控管理与生产管理“两张皮”。同时,建立并完善内部信息沟通渠道即内控月报制度,内控月报涵盖了各部门日常工作中涉及的相关内控工作,实现与公司内控职能管理部门财务部的有效沟通。 5.加强内控执行监督 为加强对内控业务执行的监督力度与执行效果,设置考核体系和评价体系,企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式,以加强业务部门对内控管理工作的重视程度;在日常监督检查方面,采取了部门层面内控闭环管理体系,通过明确各部门内控自测要求,促进业务部门开展自测,并与内外部审计等检查实行有效衔接,主动发现风险,从而达到关注重点、聚焦实质的目标,将内控风险管理工作和业务管理工作有机的结合在一起。 (二)以风险为导向、面向业务运营的全面内控体系 开展企业层面的风险评估,编制全面风险评估报告,全面优化SOX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。 1.搭建业务框架 内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。 2.增设关键控制,注重前后评估 一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。 根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。 3.合并同质控制 通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。 4.梳理标准规范 考虑系统维护量增加,效率降低,以及未来的可扩展性,兼顾控制基线要求,适当强化部分控制,为不断增多的系统提供统一、标准的控制规范,统一了各信息系统的整体控制要求。此外,通过梳理与财务报告相关性系统,考虑其是否产生计费话单或生成财务数据,是否传输或存储财务数据,对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴,而是纳入日常管理流程。 5.实施内控系统固化 伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。 (三)以全面风险管理为视角的内控体系 遵循COSOII框架的全面风险管控体系,组织开展重大风险管控项目试点,促进风险管理工作与业务的深度融合,主要关注风险评估和风险应对,实现向全面风险管理过渡,不断完善其风险体系和内控体系建设,构建与以全面风险管理视角的内控体系,其主要建设效果如下。 1.深化风险文化 作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。 2.构建风险体系 企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。 全面风险管理工作从上述六类风险角度出发,营造企业自身文化;梳理公司各业务和内外部环节存在的风险,健全风险防范制度,构建风险防范体系。通过与利益相关方的沟通,提升公司形象,加强公司的廉政建设。 首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。 其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。 再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。 最后,加强利益相关方沟通管理和需求回应,全面提升社会形象。 企业通过上述措施制订执行全面风险管理工作计划,明确责任,评估各项风险发生的可能性和发生后对公司的影响程度,并对风险的重要性程度排序,确定公司面临的各种风险,细化落实相关计划与措施,定期开展回顾总结,监督执行情况、提出改进建议,完善风险管理的闭环管理机制,将风险管理的工作要求与业务运营管理相融合,切实做好日常的风险管理控制。 3.提升管理水平 通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。 4.关注重点风险,内控业务对标 随着企业管理日益精细化,相关内控要求与业务制度也在持续优化更新。在生产经营过程中,运用正向、逆向思维,梳理内部控制制度和业务管理制度,内控制度设计覆盖业务管理全过程,关注重点高风险和舞弊领域,业务制度是内控制度执行依据,内控制度是将业务制度中与内控相关条款归纳、整合。基于此,从内控合规角度出发,查找设计不合规或两者不一致的内容,进而完善内控要求与业务制度,实现全部内控业务流程对标,并将此项工作纳入内控常态化管理工作范围,不断完善内控体系。 上述内控体系特点为,建立企业统一的、标准化的内控手册和矩阵;控制点要求落实到具体部门和责任人,确保有效落地执行;内控管理执行部门和风险管理监督部门各司其职,相互制衡;全面覆盖涉及企业所有业务单元,涵盖生产、市场和管理等各业务线条;采用风险评估的方法,以风险为导向,关注关键环节风险管控;将内控与业务活动的紧密融合,避免“两张皮”;利用信息化手段固化内控要求,充分发挥信息系统优势。 四、未来全面风险管理内控体系的实施建议 (一)将企业风控管理和战略管理结合在一起 战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。 为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。 (二)全员参与自主风控 全面风险管理是长期性工作,涉及企业生产和管理整个过程,需要全员上下共同参与实施,也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求,评估企业关键性业务的状态,避免业务执行和风控执行信息不对称;实行自主动态风控管理,使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求,从而不断提升全员风险管控意识,做好重大风险自主评估;增强内控与业务融合度,确保关键业务自主内控合规;深化内控管理信息化的建设,实现内控要求系统自动控制;推动审计发现问题整改复查,发挥审计检察闭环监督价值。 (三)强化风险监控预警,有效完善内控体系 企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。 五、结束语 构筑国内商业银行风险管理组织体系的原则及思路 建立风险管理组织体系的原则分层管理原则,即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构:集中与分散相结合原则,即对风险管理的决策和宏观管理层面进行集中统一,统一风险管理政策、制度、程序,而对风险管理的微观操作层面实行分散化管理:风险管理关口前移原则,将风险的日常监控单位直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征:兼顾先进性与现实性原则,建立风险管理组织体系时,既要借鉴国际主流商业银行的先进经验,同时也应考虑到国内商业银行当前的现实情况,确保所设计的组织体系是切实可行的。 构筑国内商业银行风险管理组织体系的主要思路 首先,要建立相对集中统一的风险管理组织体系。强化风险管理决策部门对风险管理政策、制度、程序的集中统一决策职能:加强对各类风险的统一管理职能,构筑风险管理决策部门的强大支持平台;在各业务经营管理部门内设置风险管理决策部门的派出机构,负责对本部门经营管理中所涉及的各类风险进行日常监测、评估和管理,并向风险管理决策部门报告。 其次,要实行矩阵式报告线路,加强决策管理层对操作层的管理和监督。各业务单元(部门)内设的风险管理决策部门的派出机构对风险管理决策部门报告风险信息,并接受其领导、检查和监督,同时向本业务单元(部门)负责人汇报。下级行的风险管理部门对本级行领导负责,同时向上级行风险管理部门报告风险信息,并接受其业务指导、检查和监督。这种矩阵式报告路线设计,为今后体制改革进一步深化、逐步实现垂直管理铺平了道路。 根据商业银行自身风险偏好确定全面风险管理战略 建立与业务发展协调的风险管理战略应使风险管理战略和业务发展战略相适应,建立风险可承受范围内的发展目标。应防止片面追求高速的发展数字或不切实际的发展指标,要最终使业务发展具有可持续发展、均衡发展、协调发展的特征。 建立受资本约束的风险管理战略资本资源对业务扩张具有硬约束,应实施严格的资本约束风险管理战略,防止由于规模盲目扩张导致风险资产急剧增加以及非预期损失没有相应资本覆盖而造成银行风险不断积累,甚至资不抵债的局面出现。要严格按照监管当局和新巴塞尔协议要求,在确保资本充足率的前提下,转变经营思想,从以往只注重规模扩张转变为注重投入产出实际效益的衡量上来,加大对资本回报率等指标为核心内容的考核力度,把有限的资源向重点业务和效益好的业务倾斜,确保银行业务发展与资本的补充速度、可能性及成本相匹配。 建立有效覆盖损失的风险管理战略应严格控制和消化银行因承担风险而面临的潜在损失,其中预期损失必须以审慎的拨备计提形式被计入银行经营成本,非预期损失必须由经济资本来覆盖。该战略要通过强化拨备工作管理和尽快实施经济资本考核管理体系来实现。 建立相配套的风险管理机制 建立风险报告制度 风险报告制度是实施全面风险管理的一项基础工作,可使决策者和各级管理人员及时掌握经营管理中的风险信息,以便迅速有效采取措施防范和化解经营风险,确保各项业务按照既定的目标健康发展。风险报告线路采取纵向报送与横向报送相结合的矩阵式结构,即本级行各报告单位向上级行的对口部门报送风险报告的同时,也必须向本级行风险管理部门传送风险报告。 建立风险管理考评制度完善风险管理工作中的考核评价办法,是促进国内商业银行各级行完成各项工作目标的重要手段。对各级机构的风险管理工作动态考评制度,并将考评结果作为确定或调整当期或下一期风险限额、法人授权权限大小、财务资源分配的依据,可以为风险管理提供有效的激励。 建立风险限额管理制度风险限额管理是对国内商业银行面临的各类风险进行量化、汇总、分解、控制的过程。实行风险限额管理,可以促进国内商业银行由过去单一的、感性的、定性的风险管理,逐步转变到总体的、理性的和定量与定性相结合的风险管理;可以为国内商业银行制定明确、统一的风险管理政策,使各级风险管理人员、业务人员明确各自的风险管理目标,保证各业务部门的风险度符合全行的风险承受程度,是商业银行进行风险管理的基本手段和方法。目前,部分国内商业银行已在部分业务领域中使用了限额管理,同时五级分类等也为限额管理提供了一定的数据。 建立风险经理制度风险经理制是通过对风险管理人员进行等级化管理,提高风险管理工作人员的素质,从而为全面风险管理提供基础保障。建议按序列设置资深风险经理、高级风险经理、中级风险经理、初级风险经理四类若干等级,并在相关业务部门设置若干风险经理。 夯实管理基础,强化过程管理,健全有效的内控体系 建立全面、合理、有效的内部控制制度体系。是国内商业银行全面风险管理的基石。也是国内商业银行管理和控制各类风险。特别是操作性风险的重要手段针对国内商业银行当前注重结果管理、忽视过程管理、基础管理水平较低、内控体系不健全等问题,建议采取“标本兼治、双管齐下”的方针,重视过程控制,在抓紧完善内控政策建设的同时,积极开展内控机制的基础建设。笔者认为,研究和推进内控体系建设工作,通过按照中国银行监督委员会《商业银行内控评价办法》(银监[2005]9号令)构建内控体系工作,可为国内商业银行提供一个基础管理平台系统,该平台对夯实国内商业银行的管理基础、强化过程管理和内控制度建设等具有积极作用。 内控体系的建立将对国内商业银行提高基础管理水平提供强有力的支撑国内商业银行传统管理注重的是对结果的管理,而内控体系建设强调的是对经营活动的过程管理与控制,国外商业银行的实践证明,只有强化基础,注重过程,才能提高商业银行的基础管理水平。内控体系建设工作从基本制度的梳理整合入手,注重的就是过程的风险控制和基础管理。所以,按照银监[2005]9号令构造内部控制体系的过程,同时也是夯实国内商业银行管理基础的过程。这种以过程风险控制与内控管理为中心的管理模式,将促进国内商业银行从最薄弱的方面和环节加强内部管理,消除管理制度上的短线制约因素,从而提升整体管理水平。 上一篇 遵义澳门路如缤三彩女装(避风塘皮皮虾澳门好彩),全面的最新解答-2024/10/10_152.E 下一篇 揭秘新澳历史开奖宝典,预测未来幸运数字,老师最新诗意解释落实-2024/10/10_83.T 相关推荐 8个月男婴“蛋蛋”内惊现螺丝钉?医生一个细节看出问题 凤台退伍老兵帮助1991人,33年后重返第二故乡续写两地情 英国王加冕仪式耗资不菲引争议 民众质疑资金使用 听泉赏宝撞脸镇墓兽事件 历史与现代的奇妙对话 江西省会昌县看守所辅警刘涛涉嫌严重职务违法,主动投案 央视评苏州马拉松遭参赛者薅羊毛 规则意识淡薄引关注
关键词:风险管理;内部控制 中图分类号:F830 文献标识码:A 文章编号:1674-7712 (2013) 24-0000-01 一、风险管理和内部控制的联系 美国全国虚假财务报告委员会下属的发起人委员会(COSO)1992年提的是“内部控制”,到了2004年是“风险管理”,其内容1992年时包括5个要素,2004年时包括8个要素,说明对风险管理和内部控制有一个认识过程。内部控制应是风险管理的基础和重要组成部分,它们是一体化的,不能分割的。 内部控制解决的是常规性风险,风险管理解决的是非常规性风险,内部控制解决的是“如何正确地做事”,而风险管理解决的是“如何做正确的事”,它们既有联系,又有区别,一个企业要成功,二者缺一不可。 二、风险管理和内部控制的区别 “企业风险管理”概念的提出,并不意味着对原“内部控制”概念的摒弃。内部控制是企业风险管理不可分割的一部分,企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中。企业风险管理涵盖了内部控制,是一个更为全面、广泛的概念。二者的区别主要包括以下方面:(1)企业风险管理涵盖了内部控制。企业风险管理除包括原内部控制的三个目标之外,还增加了战略目标;企业风险管理的八个要素除了包括原内部控制的全部五个要素之外,还增加了目标设定、事项识别和风险应对三个要素。(2)企业风险管理强调对风险的控制与应对。风险被定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),涵盖了信用、市场、战略、声誉、业务及财务等各种风险。风险管理包括风险计划、风险控制和风险应对。这三者共同构成一个完整的风险管理过程。其中,风险控制又分为外部控制和内部控制。内部控制是一种内部风险控制机制,内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下,所开展的各种控制活动。风险控制除了包括内部风险控制之外,还包括外部风险控制。(3)企业风险管理注重对风险的定量分析与管理。企业风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等新的概念与方法,因此,企业风险管理可以在基于概率统计的基础上,合理确保企业的发展战略与风险偏好相一致,从而帮助董事会和高级管理层实现企业风险管理的目标;而原来的内部控制只能在基于定性判断的基础上确保内部控制目标的实现。 三、目前企业风险管理工作存在的问题 (1)企业管理者及相关人员风险意识薄弱。加强企业环境控制与风险评估,是提高企业风险管理效率与效果的重中之重。而当前我国企业缺乏一种可以辨认、分析与管理风险的机制,往往出现为了追求高收益而盲目投资等风险。(2)现有风险管理机构不足以应对企业风险。我国企业风险管理机制设计较晚,现有的规章制度也是近几年开始施行,而企业面临的外部环境却变化很快。变化较快的经营环境使得风险管理机制的风险应对能力削弱,甚至失效。(3)风险管理机构组织建设不健全。国务院国有资产监督管理委员会的《中央企业全面风险管理指引》明确规定:企业应建立健全风险管理组织体系,主要包括规范公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。(4)风险管理机构缺乏真正独立性。作为企业内部审计的一部分,风险管理机构存在独立性不足的问题。尤其是中国大多数企业风险管理部门设立不完善、不系统,审计人员的职责不明确,企业风险责任归属不清晰,都造成了风险管理工作不可能起到真正的监督作用。 四、构建体现全面风险管理的内部控制新机制 (一)构建具有本企业特色的创新风险管理理念 将全面风险管理作为企业文化的一部分,全体员工在全面风险管理理念下共同努力。学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。 (二)构建切合实际的内部控制评价机制 传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来补。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。 (三)构建全新的内部控制组织体系原则 (1)全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,内部控制要遵循全面风险管理的原则,即:全员管理原则;全过程管理原则;全方位风险管理原则。(2)分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。(3)风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。(4)协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。 (四)构建符合内控要求的业务管理新制度 传统分散风险管理模式下,各职能部门制定了大量的所谓“全面”的制度,但制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。 参考文献: 摘 要 日益复杂的经济环境、经营环境使企业内部控制和风险管理的重要性不断凸显,只有充分发挥其职能,进行事前风险辨识,控制和规避企业可能存在的各种风险,才能使企业规范、快速发展。 关键词 内部控制 风险管理 重要性 内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。而风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。内部控制是风险管理的必要环节,风险管理涵盖了内部控制,风险管理贯穿于管理过程的各个方面,控制的手段不仅包括事中和事后控制,更为重要的是,全面风险管理在事前制定目标时就充分考虑了风险的存在。 从经营需求讲,企业经营者肯定会想方设法发展企业,但从稳健方向来说,还有一个风险管理的需求。树立防范意识,建立保障机制、强化内部控制,是保证企业安全的一个基础,而保证企业安全机制能有效运行才是关键。 归根结底内部控制、风险管理可以提炼八个字,一个是说你做的,一个是做你说的,“说你做的”是指说了什么事情要公开;“做你说的 ”则是指规定制度、承诺的事情一定要做到。如果能做到这八个字,在一个企业里面内控意识就形成了。这其中最重要的是执行力问题。流程和制度无论多么完善,如果不能得到执行,就会无济于事。有些流程虽然不是很规范,但只要员工做到了,也同样可以取得好效果。如何提高内部控制和风险管理的执行力就成了最关键的问题,笔者从以下方面做了初步的探索。 一、加强事前、事中风险管控 古时扁鹊三兄弟都精通医术,但扁鹊名气最大,就能说扁鹊的医术最好吗,其实不然,扁鹊自己分析的非常正确,他说:“长兄治病,是治在病情还未发作之前,一般人由于不知晓他能把病灶铲除在发病之前,因此他的名气始终传不出去;中兄治病,是治在病情的初期,人们便认为他只能治一些小病,他的名声只能在附近乡里传播;而我治病,都是治在病情严重之时,人们看到我通过穿经脉、动筋骨、敷大药能把病治好,都以为我医术高明,名气就这样传播开了。” 不仅仅是扁鹊,在公司里其实也存在着同样的情况。我们在公司里充当着扁鹊三兄弟的角色,然而很多时候我们在问题发生时都把像扁鹊一样能在事后拍板的人当成大救星,将希望寄托在他们身上,但是,我们何不做好事前、事中的控制呢? 事后控制,其实就是一种纠正措施,是一种“亡羊补牢”式的控制方法,虽然问题得到了暂时性的解决,但也有了“丢羊”的损失。事前、事中控制则是在生产过程中利用各种有效的信息,将问题解决在萌芽状态,预防大问题的发生。 管理如同治病一样,治标不能忘记固本。治标只在事后控制,而治本则注重事前控制。现实管理中,人们热衷于事后控制,头痛医头,脚痛医脚,对那些能在事后控制的将才,人们大加赞赏,员工服气,领导认可。而对那些针对苗头,防微杜渐,通过事前的及时控制,过程的有效管理,让问题消灭在萌芽状态的默默无闻者,却不能引起大家的重视。以至于员工的积极性不高,因为在他们看来,他们在生产中控制的再好,工作的再仔细也没有人去注意他们,所以加强对事前控制的关注,不仅仅是对保证产品质量的一项措施,更是对员工工作的一种肯定。俗话说:“预防重于治疗”,“防范胜于救灾”,问题的预防者优于问题的解决者,因此我们要多一些事前、事中控制,少一些事后控制。 二、加强关键控制点的风险管控 在企业活动较为复杂的情况下,企业内部控制不可能面面俱到,因此,企业必须充分发挥内部审计风险导向功能,识别并关注主要风险来源和主要风险控制点,以提高内部控制的效率,针对业务流程中的每一个环节、每一个步骤,认真细致的进行分析,根据不确定性的大小、危害性的严重程度等,明确关键的业务、关键的程序、关键的人员和岗位等,从而确定关键的风险控制点,然后根据关键风险控制点制定有效的控制措施,集中精力管控住关键风险。 对待各类问题,不能“眉毛胡子一把抓”,要分清“人参”与“草根”的区别,选用“挖人参”与“拔草根”不同的方法。对那些高风险点,要深挖透查。 比如项目管理的关键控制点:一是项目决策阶段,包括可行性研究报告的准确性,程序的合规性等;二是项目实施阶段,包括投资项目的审批手续、招投标、建设工期、工程质量、资金支付、竣工验收等环节的及时性、合规性。在项目的实际运行过程中,所有的这些因素都可能产生变化,而这些变化将可能使原定的目标受到干扰甚至不能实现。任何的工程项目中都存在着风险,风险会造成工程项目实施的失控现象,如工期延长、成本增加、计划修改、工程质量不达标、工程建成后产品销售达不到预期等,这些都会造成经济效益的降低,甚至项目的失败。正是由于风险会造成很大的伤害,在现代项目管理中,风险管理已成为必不可少的重要一环,良好的风险管理能获得巨大的经济效果,同时它有助于企业竞争力的提高,素质和管理水平的提高。项目风险是时刻存在的,只有紧抓这些风险的关键控制点,然后在项目参加者之间进行合理的分配,使每一个参加者都承担一定的风险责任,他才有对项目管理和控制的积极性和创造性,对产生的不同风险采取相应的风险对策,才能进行良好的风险控制,才能有项目的高效益。 风险管理的精要是将未知风险变成可控风险,关键是通过管理将很多相互影响的因素统筹好,根据企业的目标去作风险分析,把一些主要风险明确下来,然后找到相应的控制手段、管理手段,最终将风险控制在想要的区域里面。 三、强化风险管理是企业生存底线的认知 风险管理是企业生存底线,无论怎么强调也不过分,无论是内部管理需要还是外部监督需要,都使得内部风险管理显得日益重要。应该说,内控的目的不是消除风险,也不是降低风险,而是将其控制在我们可承担的风险范围内,为企业经营目标的实现提供合理保证。 风险管理可以分为三个阶段,第一阶段是问题反映型,来了问题救火式的反应。第二阶段是规范操作型,是已有制度和流程,但缺少战略指导方针下的风险管理。比较完善的是第三阶段体系完善型,就是整个公司的风险管理和内部控制是在公司的统一战略指导之下,通过完善的体系和流程和日常的工作来预防和控制风险。无论风险管理也好,内部控制也好,最主要的还是预防,而不是等着风险来了,再采取措施。 翻一翻许多企业的历史,会发现这样一种情况:在某个区间段恰恰资金短缺,这时刚好有一笔资金帮助企业渡过了难关。假如那笔钱不在那个区间出现的话,那么今天那个企业很可能已经不存在了,内部控制和风险管理的目的,就是尽量避免这种情况发生。企业应该在加强企业内部控制方面苦练基本功,不断提升核心竞争力,以应对严峻的经济挑战。 建立全员风险管理文化成为企业防范风险体系的重要组成部分,为了有效识别、计量和检测风险,企业通常设有风险管理部门,但风险管理绝不仅仅是风险管理部门的职责,无论是董事会、高管层还是业务部门,每个人在从事岗位工作时,都必须深刻理解可能潜在的风险因素,并主动预防。 四、构建全新的内部控制组织体系原则 1、全面风险管理原则,即:全员管理原则,实现对全体员工强化风险意识,做到“横到边,纵到底”,将风险意识,印在脑海里,落实到行动上;全过程管理原则,对企业的发展、业务操作的全过程实行风险控制;全方位风险管理原则,不但要包括业务风险,还要包括投资风险、信用风险、合同风险等。 2、分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。 3、风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。 要构建以风险管理为核心的内部控制,首先就要明白风险的含义。对于企业而言,风险就是指在某一特定环境下的某一特定时间段会对企业的利益造成不利影响的可能性。这种可能性的来源可以是企业的外部,包括社会环境、市场环境、国际环境、法律制度、竞争对手、供应商和客户,也可能来源于企业内部的技术、人员、财务和管理。无论这种可能性来源于企业的内部还是外部,都可能对企业的持续经营带来负面的影响。 风险导向的内部控制就是以风险识别和评估为基础,继而建立和实施内部控制的过程,以降低企业的经营风险实现企业的战略目标。风险导向的内部控制要求企业的所有者和经营者将企业的主要精力放在应该重点关注的风险环节上,而不是关注企业管理的所有细节。 2、为什么要建立以风险管理为核心的内部控制体系 在讨论为什么要建立风险管理为核心内部控制体系前,我们先来看两个小案例。 案例一:巴林银行事件 英国巴林银行曾是全球最早的商业银行之一。但是1992年到1994年期间,其新加坡分行的一位期货交易员在对冲交易中形成了巨额的亏损。但是由于这位交易员同时是巴林银行新加坡分行的结算员,这使他有机会伪造相关财务文件隐瞒了交易损失。同时巴林银行的高层不重视财务报告,连续几年时间都没有发现资产负债表中的损失记录,最终导致这家拥有超过200年历史的银行于1995年被收购。 案例二:中航油事件 2003年中航油新加坡公司总裁擅自从事母公司明令禁止的石油衍生品期货交易,在发生损失后,又欺瞒母公司,最终导致5.5亿美元的巨额损失,公司也不得不申请破产。虽然中航油新加坡公司有着完善的公司治理结构和风险防范体系,但是在高管越权和舞弊发生的情况下,公司也只能是轰然倒塌。 通过这两个小案例我们可以发现为什么要在企业中建立风险管理为核心内部控制体系: 第一、风险意识对于企业实现经营目标有着至关重要的作用。对于企业来说,其经营活动始终处于一个面临各种威胁的外部环境中,这个外部环境包括:市场、法律、技术、竞争对手、供应商、客户等,任何一个外部环境因素的变化都有可能对企业的经营带来风险,影响企业经营目标的实现。因此企业不仅要对风险进行科学的评估和控制,还应该提高公司上下特别是公司高层管理人员的风险意识。使公司上下员工都能积极主动地为公司识别面临的主要风险,认真地思考自身负责领域的风险和可能产生的后果,并上传下达发现的风险,引起相关人员的注意和重视。在企业面临的风险面前,任何疏忽大意都有可能导致企业遭受巨大的损失。就如中航油事件,如果其新加坡公司的高管人员有足够的风险意识,那么也就不会擅自越权进行母公司禁止的交易。 第二、内部控制必须以风险为导向。在巴林银行的案例中,如果其高层能提前从财务报表中发现风险信号,那么也就有可能为公司挽回损失。内部控制体系作为企业应对风险的重要工具,在企业架构中的作用日益明显。但是企业在经营过程中面对的各种事项复杂多变,针对各种事项采取的应对措施也各不相同,如果是一些高风险的事项,却采用一般性的控制措施,那么也就无法起到加强控制降低风险的目的。因此企业内部控制体系在建立和实施的过程中必须以风险为导向,通过识别风险、评估风险的过程找到合理的风险应对措施,从而达到有效的内部控制。 第三、风险管理为核心的内部控制体系对于企业是不可或缺的。前面的两个小案例究其根源都与其内部控制的缺失有着根本性的联系。如巴林银行,其权责划分机制有着重大问题,导致交易员兼任结算员,使其有机会进行舞弊。而中航油高层的越权行为使其越过了公司的内部控制体系,导致高风险的业务得不到及时的控制,最终造成了巨大的损失。对于企业来说,内部控制的缺失有两个层面。一个层面是企业在经营管理过程中缺少相应的规章制度,造成经营活动的随意性和松散的控制环境,整个企业处于“无法可依”的局面。另一个层面则是企业拥有完善的内部控制制度,但是却执行不到位,导致内控制度形同虚设,企业上下形成了对规章制度的漠视,出现“有法不依”的情况。无论是哪种层面的内部控制缺失,其对于企业的危害都远远超过了单一环节上的内部控制失效。因此为了避免内部控制的缺失,就必须在企业内部建立健全风险导向的内部控制体系,在内控的实施过程中也要加强执行,保证内部制度的有效实施,使内部控制能贯穿于企业的所有业务活动中。 3、电力企业的风险识别 对于很多企业建立风险管理为核心的内控控制,具有很大的共同点。但是对于我们电力企业而言,特殊性就凸显出来。首先我们电力企业整个生产经营涵盖建设、生产和运营等多个环节,涉及的范围广,各种风险之间相互关联、错综复杂。分别是: 第一、自然环境风险 主要指气候条件、自然灾害以及其他自然环境变化等因素对电力企业的影响。如气候冷暖变化可以直接影响电网负荷和用电量;地震、雪灾、洪水等自然灾害可能造成电网输电线路中断。 第二、经济财务风险 从外部来说,经济发展形势、国民经济增长速度、金融市场利率波动以及国家对电力企业的投资贷款变动等等诸多因素都可能影响电力需求发生变化,从而影响电力企业的生产。从内部来说,电力企业的资金结构是否合理、企业的盈利能力、资金流动情况和利润分配方式等等都可能给电力企业带来经济财务风险。 第三、政策法规风险 国家对电力企业建设、生产、发展、运营、环保等方面的宏观法律和政策的制定都会直接影响电力企业的发展。 第四、科学技术风险 由于新能源、新技术的开发应用,如核技术、风力、水力可再生能源技术研发、施工及设备的技术解决,技术指标和技术规程研究制定等等诸多问题都会形成技术风险。 第五、用户需求风险 用户的用电需求影响电力企业的成本投入,决定电源和电网建设项目的投资建设。 第六、电价风险 电力是一种特殊的商品,价格直接关系到电网企业的经济效益。电力行业开放 竞争性的发电市场,电网企业面对的发电企业的购电价格是由市场决定的,而面对用户的销售电价是由政府决定的,这样会给电网企业带来电力价格上的风险。用户的用电性质和需求也会给电网公司的供电成本带来风险,执行多种电价类型等等都会给电网企业的运营带来风险。 4、电力企业内部控制与风险管理的现状 第一、企业内部内控意识不强,全员参与风险管理积极性太低 很多企业的管理人员在对内部控制的认识上存在很大的偏差,总是简单的认为企业内部控制就只是简单的企业内部的各种规章制度,把内部控制的作用理解成在日常工作中对员工的管理,没有认识到风险管理的重要性。另外,大部分企业没有形成全员共同参与风险管理的观念,错误的把风险管理当作是管理层所需要做的事情,而和基层职工没有关系。在这样的错误观念引导下,企业的一线员工没有机会参与到企业的风险管理当中,导致的直接后果就是在风险管理的过程中不能及时发现一些薄弱环节,更难以做到防患于未然。 第二、企业的风险管理和内部控制联系太少 在实际情况中,企业由于风险问题而导致严重损失的现象时有发生,造成这一现象的原因不是企业没有相应的内部控制体系以及风险控制制度,而是企业根本就没有将这些制度执行好。另外,企业从业人员的职业素质参差不齐,某些管理者无视企业制度等等,这些问题都需要通过不断改进公司治理结构以及不断强化外部监管来予以解决。 第三、风险控制人才匮乏 电力企业风险控制工作,人才是坚强防线。一切工作安排,最终都要由个人去执行落实。电力企业风险控制有很强的专业性和技术性,负责人要有丰富的风险控制知识及经验技能,对企业管理具备一套整体认识,又不缺乏对各个细小环节的了解。专业人才的养成周期较长,所以培养人才也是电力企业以后管理的重点。 第四、突发事件应急管理体系不健全 风险是客观存在的,难以预知,健全的应急机制很关键。然而部分企业风险防范措施规范缺乏,预防策划也得不到认真落实。再者,已有的应急管理体系或许已经不适应现有改革的发展方向,亟待待改进。如预警状态标准不明确,应急状态下各单位职责分工混乱,应急预案的可操作性也有待加强。 5、电力企业要建立以风险管理为核心的内部控制措施 第一、建立有效的经营风险控制机制 经营风险控制机制是指在经营风险管理中所形成的互相联系、互相制约的功能体系。构建完善的经营控制机制是防范经营风险的关键所在。首先,建立起经营风险的全过程控制机制。其次,实行全员风险管理,健全风险控制的动力机制。实行全员风险管理,将风险,将风险机制引入企业内部,使管理者、职工、企业共同承担风险责任,做到权、责、利三位一体。最后建立和完善经营风险预警机制。规避资本营运和资金管理风险最为有效的是建立经营预警系统,加强经营危机管理。 第二、建立完善的内部控制体系 电力企业应该根据自身的实际情况,建立完善的内部控制体系。首先,建立有效的监督防范机制。电力企业应本着“未雨绸缪,防范于未然”的态度,逐步建立涵盖企业投资、运营全过程的监督防范机制,重点监控企业财务管理容易出现问题的环节;其次,严格进行事中监督。严格按照电力企业内部控制的相关规定进行常规性会计核算,在此基础上采用定期核查和随机抽查相结合的方式,对电力企业会计部门的各项业务和各部门进行监督,并将监督结果反馈给财务部门留档,以便以后核查;最后,完善事后检查机制。电力企业应该成立管理委员会,由企业管理者牵头,挑选一批专业素质过硬、责任心强、职业道德高尚、客观公正的人员定期对内部控制制度的执行情况进行考核,保证内部控制工作质量。 第三、内部控制与风险管理统筹兼顾 风险管理和内部控制作为企业管理的两大工具。内部控制可以将企业发展战略、管理理念、控制要求融入公司治理、企业文化、岗位授权、制度规范和业务流程,通过风险评估、风险预警、信息沟通、流程监控、有效性评价、缺陷改进等控制活动,推动企业管理从单一制度管理向体系化管理转变、从传统管理向风险管理转变、从事后监督向过程监督转变、从职能条块化管理向全流程管理转变,实现企业管理水平全面提升。 第四、培养电力企业风险管控人才 企业风险管控的工作繁琐困难,但对企业的长远发展意义重大。扎实的专业基础,丰富的工作经验,良好的心理素质以及一定的奉献精神是企业风险管控人才的必要条件。电力企业应结合时代特点和企业需要培养或招聘专向型人才,在企业内普及风险防控教育,增强全体员工的风险防控意识,充分发挥风险防控人才在企业风险控制实践中的作用。此外,企业还要革新薪资激励机制,引进优秀人才,壮大团队力量;健全选拔制度,提拔公司内部有责任心、有上进心、有实力、有业绩的员工,培养企业自己的骨干力量。内外一起抓,打造电力企业风险控制的中坚力量。 第六、完善电网突发事件应急管理体系 首先,加强系统规划建设。电网建设与电源建设密不可分,协调发展。从电源规划、建设、运行和管理等各个环节着手,加强本地电网与大电网的联系,优化电源布局,保证供电安全。其次,建设强大的监控、调度系统。充分利用各种信息渠道,及时掌握各种灾害数据,做好灾前准备,实现对灾害的预警和恢复控制。再次,应急预案必须具备可操作性、差异性和标准化三个要求,提高突发事件处理、应变的能力。 关键词:内部控制;风险管理;现状和方案 中图分类号:F270 文献识别码:A 文章编号:1001-828X(2016)027-0000-01 虽然企业内部控制和风险管理相关指引在我国大部分企业已经得到了广泛应用和推广,但现实中还存在许多不足,在中国企业全面参与国际竞争的同时,企业加快建立国际趋同的相关体系显得尤为重要,只有这样我们企业在做大的同时才会做的更强,做到真正的立于世界东方之林。 一、我国企业内部控制和风险管理的目前现状 关于企业内部控制和风险管理存在“两级分化”现象比较严重,我国企业尤为突出;即大企业内部控制制度和风险管理程序复杂繁琐,有些企业制度设计的过于臃肿,已经严重影响企业的效率和效果,而小企业则相反缺乏相关流程和管理制度制约着企业的发展,所以企业建立健全与企业发展相匹配的制度是发展过程中的重要环节。 二、企业内部控制中存在的问题 1.控制环境方面。目前,企业内部控制环境存在以下问题:首先,公司治理结构不规范。改革国有企业,虽然正式成立了法人治理结构,但远未达到内部权力制衡的效果。二是组织结构是不合理的。一些国有企业仍然使用旧的模式的经济体制。这套制度没注意企业组织的合理性,企业普遍存在机构臃肿,管理水平,效率低的问题。 2.责任控制,会计人员素质较低。根据中国的1200万会计人员的相关统计数据,接受大学教育是低于10%,在相对优质国有企业和县级企业在600万会计人员,大专以上学历的只有18.21%,占8.45只%的资格,会计人员的素质可以看到不高。 二,责任不公平。权利,义务和责任是责任和控制的基本原则。其次,责任是不公平的。权利,义务和责任是责任和控制的基本原则。在实践中,会计师的目标是明确的,按照限制核算的功能;身份不明确,位置是不正确的;责任,权利,利益严重偏离,从而导致会计进行报复,并得到保护;这些谁打算从事伪造账目的关注,并且屡禁不止。 三、加快落实企业内部控制相关具体细则 设计、执行和维护必要的内部控制是企业管理层的义务也是其重要的责任,而内部控制评价是由企业董事会和管理层来实施的,而企业内部控制的审计则分为内审和外审,符合相关条件不但要建立自己的内审部门还应当聘请会计师事务所进行外部审计,同时企业还需要建立健全主要业务内部控制制度、内部控制评价制度、内部控制审计制度: 1.加强企业主要业务内部控制制度的建设,根据企业的性质划分,不同类型的企业对相关指引要求的可能不同,但大部分企业应当根据财政部、证监会、审计署、银监会联合了企业内部控制配套指引建立健全以下18号应用指引:组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研发业务、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统,在建立该项控制时应重点关注其主要风险,以及内部控制的要求和措施。 2.内部控制评价应围绕基本规范提及的内部控制五个要素,即内部环境、风险评估、控制活动、信息沟通、内部监督,以及基本规范及应用指引中的内容,在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面的评价。 3.内部控制审计,企业在此阶段应当做好准备工作,加强内部控制管理,安排时间与资源执行有关额规定,如果企业内部资源未能配合进行内部控制的设计、实施和评估工作,可以聘请专业人员或会计师事务所提供有关的咨询服务。 四、建立与企业管理目标相匹配的风险管理策略 1.企业应当建立健全风险管理目标,确保将风险控制在与企业总体目标相适应并可承受的范围内,确保企业内外部尤其是企业与股东之间实现真实、可靠的信息沟通,为确保符合有关法律,法规,以确保相关的规章制度,并实现业务目标和实施重大措施的实施,确保管理和运营的有效性,提高经营活动的效率和效果,减少不确定性在实现业务目标,确保企业准备应对危机管理计划,以防止灾害风险或人为错误后企业的重大风险和损失惨重 2.风险管理战略,企业应根据自身条件和外部环境,围绕企业发展战略,确定风险偏好,风险承受能力,风险管理有效性的标准,选择风险承担,风险规避,风险转换,风险对冲,风险补偿,风险控制和其他适当的风险管理工具和确定总体风险策略。 3.风险管理原则和要求:与公司的整体风险管理战略相一致;随着公司面临匹配的风险的性质;选择风险管理工具,以考虑其合规性要求,运营,包括法律和监管环境,对企业的熟悉程度,风险管理工具的风险特征,不同的风险管理方法可能适用同样的风险。 4.企业管理层需要强调理论与实际并重原则,着重企业的效率和效果,不应光侧重理论或者只偏重人为主观判断。 五、总结 随着我国经济总量的不断攀升,企业竞争日趋激烈,对企业符合法律法规乃至高效率经营提出更高的要求,从而企业应尽快建立匹配自己政策和程序,使其在竞争中获得更好的发展,在建立健全相关制度的过程中很重要的环节就是人才建设,无论从内部控制和风险管理的设计、执行还是维护的角度来看都离不开人的因素,故无论是大企业还是小企业都应重视人才战略,更好的促使企业文化的健全,从而达到企业快速且良性运转和发展。 参考文献: 关键词:内控管理 风险管理 融合策略 一、企业内控管理与风险管理融合基础 运营目标与战略目标是以风险管理为导向的内控管理体系的两大核心目标。其中现代企业置于各项经营业务环节全面挖掘各种风险因素,之后立于风险因素之上制定运营目标与战略目标。 构建基于风险管理的内控体系。为充分发挥内控管理方法高效性职能,进一步加强现代企业内控管理,需要构建完善的内控管理体系,加强现代企业会计信息的内控管理同样至关重要,即会计信息的真实性、完整性、有用性直接关系到现代企业各项决策的高效性、正确性,所以要求现代企业依照科学合理性、真实全面性原则编制会计报表,规范相关凭证填写行为,落实好相关凭证保管工作,以促进现代企业持续稳定发展。 内部监督与审计是内控管理的重要组成部分。计划经济体制下,现代企业内部监督侧重于事后结果监督,忽略了事前监督与事中监督的重要性,以致内部监督未能够达到预期目标。所以应转变这一监督模式,切实着眼于现代企业各项业务环节开展内部监督活动。 二、内部控制与风险管理的相关性 (一)内部控制与风险管理均具有过程性 内部控制实质上是一个以实现改善组织经营管理,提高组织经济效益为目的的过程,其并不属于目标本身,而是为达到某种目标的一种手段。通常情况下,组织内部控制由风险评估、内部环境、控制活动、内部监督及信息与沟通五大要素构成。风险管理实质上是一个采取有效措施将风险控制在最低水平的过程,通过开展风险管理既有助于保证企业资产的完整性、完全性,又大大促进了企业经营活动目标的实现。实际上,无论是内部控制还是风险管理,均不只是某个部门或某个人的工作,需将其全面贯穿于企业各项经营活动中,并要求企业各部门、各岗位及各职工积极参与进来,共同开展内部控制与风险管理。 (二)内部控制与风险管理具备相同的手段 实践表明,内部控制与风险管理均可采用风险评估方式予以实现。COSO报告指出,风险评估指的是对目标实现过程中出现的风险予以确认与分析,其作为内部控制的一部分,主要用于辨识与处理相关风险。内部控制背景下,企业通常按照辨识――分析――管理――控制的过程开展风险评估活动;而风险管理背景下,企业最先明确组织目标,之后围绕组织目标立于固有与剩余基础之上开展风险评估活动,然后准确了解相应风险对实现组织目标所产生的不利影响,从而采取有效应对措施予以矫正。 (三)内部控制与风险管理具有相同的目的 提供合理的保证既是内部控制的核心目的,又是风险管理的核心目的。对于内部控制而言,因受成本限制、人为错误等诸多不稳定性因素的影响,以致所提供合理的保证仅能够面向企业董事会与管理层。归纳而言,内部控制的根本目的并非解决已发生的风险,而是预防风险事件的发生。对于风险管理而言,其实质上是挖掘影响企业目标实现的各类风险因素并采取有效手段予以管理,以此将风险事件消除在萌芽状态。由此可见,内部控制与风险管理均为企业实现经营目标起着重要的推动作用。 (四)内部控制与风险管理受到相同内外部因素的影响 在企业中,内部控制政策、制度需要由各成员结合企业实际状况进行编制与实施,同时,内部控制政策、制度又反作用于企业成员,并作为规范企业成员业务活动行为的重要依据,所以内部控制受企业成员的影响与作用。另外,企业各类风险事件的发生均与“人”存在密切联系,而风险管理的执行也只有在“人”参与的情况下才能够得以实现,因此风险管理同样受企业成员的影响与作用。 三、内部控制与风险管理的区别 (一)内部控制与风险管理侧重点有所不同 企业内部控制以制度机制为侧重点,即通过制定、完善、实施相关制度机制以达到规避风险的目标,从而促使企业各项业务活动顺利有序开展。而风险管理以交易为侧重点,即以市场交易的方式达到规避风险的目标。 实际上,企业内部控制以会计控制为切入点,注重增强会计信息的准确性、决策有用性与资金的完整性、完全性,通常情况下,内部控制仅限于财务部门,未能够涉及到企业管理环节,而风险管理全面贯穿于各个经营管理环节,可见风险管理涵盖内部控制,内部控制可作为风险管理的基础。 (二)内部控制与风险管理涉及的风险存在不同的范围 COSO报告指出,内部控制并非只是控制企业内部风险,而是涵盖了企业生产经营过程中可能出现的所有风险,包括内部风险与外部风险。而风险管理有所不同,巴塞尔委员会指出,风险管理注重实现对特定业务的战略评审,以对同一行业不同企业间的风险、收益比较分析促使本企业实现经济效益最大化。 四、企业内控管理与风险管理融合策略 (一)完善内部控制规范体系 强化组织领导,夯实内部控制基础。董事会负责内部控制的建立健全和有效实施,监事会对董事会建立与实施内部控制进行监督,经理层负责组织领导企业内部控制的日常运行,全体员工广泛参与内部控制的具体实施。企业的内部控制部门应结合实际,制定内部控制体系建设的阶段目标,围绕内部控制的五个要素扎实开展工作,深入宣传、认真执行、严格监督、严肃考核,保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,规避生产经营风险。随着实施工作的不断深入,企业应当加强内部控制全员、全面、全过程管理,进一步推动管理创新,不断提升管理水平,有效防控经营风险,保证实现价值目标,最终促进企业实现发展战略。 (二)调整优化企业治理结构,为实现内部控制评价科学合理性提供保障 企业治理结构与内部控制及其评价工作相互影响,其中企业内部控制及其评价既以企业治理结构为基础,又以企业治理结构为依据。所以调整优化企业治理结构对实现内部控制评价科学合理性至关重要。 (三)加大内部控制自我评价力度 就西方国家而言,其上市企业内部控制工作倾向于控制自我评价状态,即要求上市企业落实好内部控制执行监督评价工作,及时发现内部控制执行过程中存在的不足之处,及时采取有效措施予以纠正,以保证内部控制工作高效正常开展。另一方面,内部控制自我评价呈现下述特征:一是注重对业务实施效果的控制;二是始终围绕结构化的方法开展内部控制评价工作;三是多个部门共同承担内部控制评价职责。上市企业通过开展内部控制自我评价工作,不仅有助于规范企业业务经营程序及内部审计程序;而且还有效控制了企业资金风险与经营风险,为企业达到可持续发展战略目标提供强大的驱动力。 (四)全面预算管理业务流程 企业全面预算管理由三部分构成,包括预算编制、预算执行及预算考核等。对于预算编制而言,其作为全面预算管理业务活动的基础,主要以理清预算管理思路、明确预算管理目标等工作为切入点;对于预算执行而言,其作为全面预算管理业务活动的关键,最大程度上影响着全面预算管理质量,其主要以事前预测、事中控制及事后监督调整为切入点;对于预算考核而言,其作为全面预算管理业务活动的保障,全面贯穿整个预算管理业务流程。通过考核能够及时发现预算管理业务流程中存在的不足之处,之后有针对性的执行有效措施予以纠正,以确保全面预算管理业务活动高效有序开展。 参考文献: [1]企业内控管理中的信息化建设和政府监管部门的作用[J].中国总会计师,2012(6). [2]何九妹.从法约尔的五职能理论浅谈内控管理的范围[J].会计之友(上旬刊),2010(9). [3]董月超.从COSO框架报告看内控管理与风险管理的异同[J].审计研究,2009(4). [4]宋绍清,张瑶.基于公司治理视角的内部控制信息披露影响因素分析――来自中国A股市场的经验证据[J].财会通讯(学术版),2008(10). [5]缪艳娟.英美内部控制监管制度差异探缘及其启示[J].商业经济与管理,2008(12). [6]高智斌.浅析如何加强上市公司风险管控[J].现代商业,2010(33). 【关键词】风险管理;核心;内部控制 一、风险管理与内部控制的关系探究 风险管理是一个相对抽象的概念,在不同的环境下、不同的领域中,它所具有的内涵和表现出来的外延是有所差别的。从其共性来看,风险管理的对象都是各种潜在的风险因素,通过对其进行识别、评估、控制、管理来最终减少风险出现的可能性。而内部控制则是一个相对专业的概念,它是现代企业管理体系中的一项重要制度,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。对于内部控制与风险管理的关系,我们认为,二者其实是一种包含与被包含的关系。在企业管理中提到风险管理,我们认为它必须依附于内部控制而存在,也就是说,如果脱离了内部控制来谈论风险管理将毫无意义。所以在现代企业的管理理论中,风险管理存在于内部控制这一个大的体系中。有了内部控制,才会有风险管理,各项风险管理工作的开展也才会有意义。 二、企业风险管理的内控机制现状分析 第一,风险管理的意识淡薄。现代企业制度的建立在我国本身起步较晚,所以一些现代化的管理模式和管理理论在我国还被认为是一些新鲜事物,特别是对于一些中小企业而言,用现代企业的管理制度来提升自己的竞争力还处于探索与学习阶段,这就决定了我国现代企业管理的整体水平不会太高。具体到内控工作上,最突出的表现就是大多数企业只是从形式上重视了内控制度的建设,认为构建了相关的平台,有了相关的规章制度就意味着内控工作已经完成,已经能够在企业的运营中发挥其应有的价值。对于什么是风险管理,风险管理在内控工作中有着怎样的作用,处于怎样的位置,并没有得到正确的认识。大部分企业对风险意识缺乏正确的认识,没有风险防范的基本觉悟。形式上虽然确定了各项管理制度,但是并不能够发挥其应用的风险防范价值。第二,以风险管理为核心的组织架构尚未确立。归根结底,现代企业制度最为核心和关键的问题仍旧是公司治理结构的问题,公司治理结构决定了各项职能承担的主体以及各项工作的具体实施情况。组织架构的价值就在于将一项系统的工作通过科学的分配将具体的权责落实到每一个具体的岗位或是员工身上,风险管理工作的开展同样必须依赖于这种专业完善的组织架构的建立。但是从当前企业运行的现状来看,部门、岗位之间的权责区分不明确,没有明确的监督主体和具体的责任承担方式,没有针对风险管理的专门组织架构,部门与岗位之间的界限模糊,使得风险管理工作无法开展。第三,风险管理与内部控制并没有很好的联系起来。在上文中我们已经提到,要做好企业的内部控制工作并不是一件容易的事情,每一个企业要根据自身的实际情况来选择合适的突破口。将风险管理作为内控工作的切入口,是我们在考量众多企业现实情况的基础上做出的具有通用价值的选择,以风险管理为核心,就是在内控制度的几个要素中确立一个中心,所有的工作都是围绕这一个中心而展开。但是当前风险管理与内控工作并没有很好的联系起来,这种疏漏表现在多方面,从管理者的角度来看,并没有明确将风险管理作为内控工作开展的核心;从战略的制定与实施的角度来看,由于没有重视风险管理各项战略规划存在激进与冒险的情况,加大了企业未来承担风险的概率。 三、以风险管理为核心的内控工作分析 企业重视内部控制工作有着重要的现实意义,它的一个重要价值就在于通过对财务、运营、经营等工作的细化分析和控制来尽可能的减少有可能出现的各种潜在风险。从这个角度来看,内部控制与风险管理本身的价值取向是趋同的。建立以风险管理为核心的企业内部控制体系,需要做好以下几方面的工作: 第一,构建以风险管理为核心的全新内控体系。针对当前企业内控工作开展的现状,要想使风险管理在整个内控工作中得到重视,首先必须构建一套以风险管理为核心的全新的内控体系,只有为风险管理创造一个有序的外部环境,这项工作才能得以顺利的开展进行。具体来说,风险管理应该具体的落实到每一项工作中,包括员工的管理、发展战略的制定、运营模式等。在企业中设立专门的风险管理机构,由其作为涉及到风险管理事务的主要执行机构和决策机构,赋予其专有的权利以及相对独立的地位,来保证这项工作更好的开展进行。第二,确定合理的目标。风险管理工作的开展,一个重要的前提就是企业的发展必须有明确的目标,只有有了目标,我们才能判断在达成这一目标的过程中,企业需要经历怎样的发展途径,以及需要面临怎样的风险,也就是我们通常所说的风险识别。如果一个企业的发展都没有明确的目标,那么也就谈不上风险识别。要使得风险识别具有保护企业发展的价值,还必须保证企业所确立的目标是合理的,任何夸大、不切实际的目标都是对企业资源的一种浪费,在这种情况下进行的风险识别也不能发挥丝毫的作用。只有完成了风险识别,我们才能进行下一步的风险评估以及控制,并且将企业的风险管理纳入一个动态的控制体系中,根据目标的调整和变化,来调险识别与控制,减少企业面临的各种潜在风险。第三,加强人力资源的管理建设。无论是企业的内控工作还是风险管理,其根本仍旧处理的是企业与员工的关系、员工与员工之间的关系,简而言之就是人力资源的管理。将风险管理的意识带入到人力资源的建设工作中,就是要加强对个体员工的管理。以风险管理为中心的人力资源建设,其实就是要提高企业内部每一个员工对风险的识别能力和防范能力,在企业中不仅会出现一些宏观事物所导致的风险,而且也会出现由于个人道德水平和价值观念所产生的道德风险,这些风险内容同样是企业进行内部控制应该关注和重视的问题。要通过提高员工的综合素质,尽量减少个体道德风险对企业带来的负面影响,用健全的鼓励、激励机制在企业内部打造积极向上的工作氛围,这也是企业内控工作应该具备的效果之一。第四,制定相应的风险评估机制。风险评估可以使企业考虑潜在事件如何影响目标的完成,管理层可以从两个方面对事件进行评估:可能性和影响性。可能性表明的是事件将会发生的概率,而影响表明的是如果事件发生,其结果如何。一般可以利用过去事件的详细资料,根据各个企业的实际情况,结合上级部门的要求,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对各单位、各部门的控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。第五,构建符合内部控制要求的业务管理新制度。要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善财会业务、中间业务等各项业务管理制度,整合业务操作流程,建立起完善的风险防范体制,构筑起面向全部门、覆盖所有业务品种和涉及业务全过程的内部控制管理体系,实现业务发展和风险管理的同步。业务主管部门要加强规章制度的完善和业务流程的再造,加大业务条线自律监管的力度。内审部门要充分发挥审计的帮促作用,促使全部门逐步建立起业务管理服从规章制度、业务操作服从处理流程、业务考核服从统一标准的管理新制度。 参 考 文 献 [1]张丽珍.浅谈企业风险管理框架下我国企业的内部控制[J].商场现代化.2010(32) [2]张敬梅.加强内部控制降低企业经营风险[J].现代商业.2008(9) [3]管仁强.浅析民营企业内部控制存在的问题与对策[J].现代商业.2011(5) [4]熊汉兰.浅论企业内部控制[J].企业导报.2009(2):77 【关键词】管理学 内部控制 风险管理 一、美国内部控制与风险管理的融合 在美国,COSO报告中内部控制的手段主要体现在事前控制上。在不考虑其他条件的情况下,企业采取的控制措施越强,其所面临风险的可能性以及所可能遭受的损失则越小。所以企业的管理者经常使用风险评估手段识别和分析企业面临的风险并不断完善内部控制的具体环节,从而将经营管理风险于事前控制在最小程度。 而在全面风险管理(ERM)框架中,与内部控制一样,企业风险管理被定义为一个过程。ERM指出,风险管理是渗透于企业各项活动中的一系列行动,贯穿于管理过程的各个方面。风险管理不只是某个人或者某个部门的事,而是贯穿到整个企业、整个员工,贯穿到业务的每一个环节,有赖于高管人员到基层员工各层次人员的相互配合。 二、英国内部控制与风险管理的融合 在英国,有关内部控制的理论研究主要见于《卡德伯利报告》、《拉特曼报告》、《哈姆佩尔报告》以及《特恩布尔报告》。其中:《卡德伯利报告》和《拉特曼报告》认为,内部控制的对象限于对企业的财务控制,企业实施内部控制的主要功能在于保护企业资产的安全、保持正确的财务会计记录以及确保公司内部使用和向外部提供的财务信息的可靠性。 而《哈姆佩尔报告》认为企业实施内部控制的目的,除了保持财务会计记录的真实准确、保护企业的资产安全以及各项信息的可靠性外,还应该充分重视董事在内部控制中的作用。该报告认为企业风险评估和反映、财务管理、遵守法律法规、保护资产安全以及使舞弊风险最小化等也是极其重要的,企业内部控制的实施离不开董事等高级管理人员对企业经营的各方面进行复核。 《特恩布尔报告》在理解内部控制活动范围时,将内部控制与风险管理合为一体,认为内部控制与风险管理的概念涵义基本一致,认为公司经营管理和内部控制组织的环境处于不断变化之中,而企业所面临的风险也是不断变化的,内部控制的目的就是帮助企业正确地分析评估、管理和控制风险。因此,该报告认为对公司所面临风险进行全面分析评估,是一个健全的内部控制必不可少的内容。 三、我国内部控制与风险管理的融合 在我国,审计署党组成员、总审计师孙宝厚先生曾在“融合之道——内部控制和风险管理高峰论坛》上真言不讳的讲:“内部控制、内部审计是风险管理的重要组成部分。”他认为:内部控制中的审计活动一定意义上讲就是要防范和减少错弊或者损失的发生。因此,企业审计在针对企业可能遇到的内外部风险(如经营风险、市场风险、法律风险、政治风险、信用风险、技术更新风险等)的预防控制方面具有较大的局限性。尤其是企业的内部审计活动,在内部控制以及风险管理控制上的作用主要是局限于财务和内部的操作风险方面;至于外部的、长远的其他方面的风险,审计活动算是鞭长莫及。所以,企业就需要考虑另外一种能够同时应对外部的、长远风险的管理角色。 此外,加拿大CICA的控制委员会对内部控制与风险管理关系的认识也逐步从对立走向融合,认为“控制应包括对风险的确认和规避”。当前,加拿大的学者逐渐认识到将内部控制和风险管理的二者加以隔离的分析方法的不足,控制的过程本身即是对风险的评估确认以及合理规避。CICA控制委员会认为在企业管理中,只有将内部控制与风险管理二者加以结合,才能发挥最佳的企业管理效果。例如,Blackburn(1999)就认为“风险管理与内部控制仅是人为的分离,而在现实的商业行为中,他们是一体化的”。 从以上分析可以看出,内部控制和风险管理相融合的理论演变,恰恰使得有关内部控制的定义变得清晰,使内部控制的内容跳出传统的内部财务控制的限制,扩展到了企业的战略制定等所有价值创造领域,标志着风险导向型内部控制时代的开始。 参考文献: [1]许开端.企业内部控制系统设计之我[J].会计师.2010(1). [2]李星辰.内部会计控制与公司治理结构[J].华北科技学院学报.2003,(3). [3张景安.风险投资中的风险控制[J].中国内部审计,2007. [4]王光远.公司治理下的内部控制与审计——英国的经验与启示[J].中国注册会计师,2003. [关键词] 内部控制全面风险管理有效实施 一、内部控制定义 内部控制是由企业董事会/监事会、管理层和全体员工共同实施的、旨在合理保证企业战略、经营的效率和效果、财务报告及管理信息的真实可靠和完整、资产的安全完整、遵循国家法律法规和有关监管要求的一系列控制活动。内部控制以实现公司发展战略为目标,提高经济效益为中心,防范和控制经营风险为目的,规范公司各种业务流程为内容,建立并实施的一整套责任体系。内控建设是公司可持续发展的战略要求,内控建设是实现公司经营目标,提高运营效率的重要保证。 二、我国企业内部控制实施的现状及原因分析 2008年5月,财政部、审计署等部委联合了《企业内部控制基本规范》(以下简称《基本规范》),自2009年7月1日起在上市公司范围内实行,并鼓励非上市的大中型企业实行。随后,我国又颁布了六个具体规范,内部会计控制制度体系初步形成。以上规范自开始实施以来,从制度源头上为企业内部会计控制的建设提供了保障,对企业会计信息质量的改善起到了积极作用。但综观我国企业的内部控制现状却不乐观,在内部控制制度的设计、实施和监督等环节,主要存在以下问题。 (一)企业内控制度设计不完善 为保证内部控制体系的构建有序推进,我国在国务院国资委《中央企业全面风险管理指引》的要求下制订了《内部控制体系建设指导意见》,确定了构建基于全面风险管理的内部控制体系遵循的四项原则,即坚持短期目标与长期目标结合的原则;坚持运营效率与企业效益结合的原则;坚持国际先进经验与公司实践结合的原则;坚持全员参与与分级负责结合的原则。 目前,大部分企业管理者内部控制意识不强,对内部控制建设不够重视。具体体现为:少数企业未建立内控制度;部分企业虽然建立了内控制度,但内控制度设计不科学、不系统、不完善,只对企业经营活动中的某项或某几项业务中的部分关键点进行控制,或者虽然制定了与财务报告相关的内控控制制度,但设计过于简单或流于形式,未能遵循科学的构建原则,与实际脱钩。在当前职能制组织架构居多的企业管理模式下,企业内部的管理形成条块分割,这样不健全的内控制度设计没有渗透到公司的各项业务过程和各个操作环节,没有覆盖到所有的部门和岗位,未能实现立体交叉、多角度、全方位的风险预防监控,内部控制建设不成体系,对实际工作缺乏指导性和操作性。 (二)企业内控制度实施不到位 目前,部分企业虽建立健全了内部控制,但执行不力,形同虚设。 1.由于内部控制环境缺失及管理体制等原因,很多企业高层管理人员或对经济活动进行越权干预的现象比较严重,岗位设置及权限、审批程序等重要控制环节与企业内部控制制度相背离,造成内部会计控制制度失效,进而导致舞弊行为发生、会计信息失真。 2.风险控制责任不落实。具体表现在内控流程中关键风险点的控制责任不够明晰,影响内控制度的执行。 3.内控制度建设只有少数人参与,与“内控建设涉及到公司经营活动的全过程,是一项系统工程,需要每个员工的参与”的内部控制要求相差甚远。特别是部分员工完全未参与,包括内控流程的建立完善和执行,不利于流程的完善和有效执行,无法达到内控目的。 4.内控制度培训不到位,部分员工对内部控制的基本概念、必要性、内控目的和自己在内控建设中的角色并不很清楚,风险意识淡薄,制约了企业内部控制的建设,使内部控制流于形式。 (三)内外部审计的监督作用发挥有限 1.在内部控制的监督过程中,内部审计既是控制活动的一部分,又是对内部控制的再控制,扮演着十分重要的角色,但多数企业的内部审计未能履行其应有职能。首先,内部审计独立性不够。其次,内部审计职能未将内部控制评审作为其重点工作来抓,过分强调“查错纠弊”,忽视“防错防弊”职能,未能发挥其加强企业内部管理的作用。再次,内部审计人员素质参差不齐,内部审计工作得不到必要的重视和支持,力量薄弱,阻碍了内部审计监督作用的发挥。 2.外部审计以财务报告审计为主,开展内部控制有效性审计有限,政府及其他监管机构尚未建立完善的对企业内部控制的监督机制。以上外部因素制约了对企业内部控制的监督。 三、有效实施基于全面风险管理内部控制的具体措施 内控建设是建立和完善现代企业制度的必然要求,是贯穿于企业经营管理活动的全过程。管理实践证明,企业一切管理工作,都是从建立和健全内控控制开始的;企业的一切决策,都应统驭在完善的内部控制体系之下;企业的一切活动,都无法游离于内部控制之外,得控则强、失控则弱、无控则乱。从成功企业的实践看,企业的竞争优势不仅仅在于人才、资源、核心技术,而最前提、最持久的关键优势是制度。而内部控制历来是包括企业在内的所有组织和机构正常运转的制度基础,因此,强化内部控制和风险防范意识,建立有效地基于全面风险管理的内部控制制度并强化执行,全过程和全方位管控企业经营活动,对提升价值,提高企业竞争力有着十分重要的意义。 根据上述现状及分析,要实施基于全面风险管理内部控制,保证内部控制作用的发挥,必须为其实施提供良好的内、外部环境,从内控制度设计层面和企业执行层面做好以下工作。 (一)营造良好的内部控制环境。企业各级领导思想上应高度重视内部控制建设,强化风险管控意识,推动内控建设 1.思想决定行动。企业各级领导要充分认识到加强内控建设的重要性和紧迫性,在思想上牢固树立风险管理意识,紧紧围绕公司发展战略和经营目标,以强化管理、有效控制、防范和规避风险为目标,从公司经营管理活动的各环节入手,查找存在的问题和风险,建立健全内控制度,优化业务管理流程,提高公司整体经营管理水平。 2.建立完善的公司治理结构、科学的运营管理体系,促进内部控制制度的建立健全和有效执行。 3.倡导以人为本的企业文化,实现“软控制”。内部控制作用发挥的关键,在于能否将其变为企业内部需要。无论在内部会计控制制度的制定环节,还是执行环节,都能变“要我控制”为“我要控制”,从而达到内部会计控制的最佳效果。 (二)应落实风险控制责任 内控建设涉及到企业经营活动的全过程,是一项系统工程,需要企业所有员工的积极参与。在优化流程、确定风险控制点的基础上,将各业务流程中的风险控制点、控制标准和控制措施,落实到每一个部门、每一个工作岗位上,使每一位员工都有风险控制的责任和控制目标,并认真履行其职责,促进内控制度的实施。 (三)加强对各级领导及员工的内控制度及流程培训 提升员工素质和职业道德,使大家了解内部控制的真正意义及各自在内控建设中的职责,熟悉各岗位相关的内控流程,强化内控意识和风险防范意识,以高度的责任心主动参与内部控制。 (四)充分发挥内外部审计的监督作用 为确保内部控制制度切实执行并取得良好效果,就必须对其施以恰当的监督。企业内部最主要的监督评价方式就是内部审计,为此,企业当务之急是确立内部审计在监督、检查内部控制工作中的独立地位,并且实现内部审计由事后监督职能向事前、事中监督职能的转变,对企业实行日常持续监督和专项审计监督相结合,并将监督、评价结果及时反馈,协助企业不断完善内部控制制度并监督执行,以保证内部会计控制制度的有效实施。同时,企业应重视外部监督力量(如注册会计师)对企业内部控制审计的监督评价结果,与内部审计形成有效的监督合力,以确保企业内部控制全面有效。 (五)企业内部应强化内部控制执行情况的监督检查和考核 根据内外部审计及其他监督机构的审计监督结果,以考核手段督促各级企业建立健全企业内部控制制度,严格执行内控制度及业务流程,杜绝形式主义,提高内部控制执行效果。 (六)内控建设应常抓不懈 企业的内控建设是一项长期的工作。各级企业要把加强内控建设作为公司的一项长期任务和基础性工作,长抓不懈,不断发现问题,完善制度,优化流程,建立风险控制的动态管理机制,为企业的持续、健康、有效发展奠定坚实的基础。 参考文献: [1]财政部.内部会计控制规范――基本规范(试行) 关键词:企业 全面风险管理 内部控制 体系 一、全面风险管理和内部控制概念 (一)全面风险管理的概念 全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。 根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。 (二)内部控制的概念 内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。 笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。 二、全面风险管理和内部控制的关系 全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。 (一)管控实施主体一致 从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。 笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。 二、全面风险管理和内部控制的关系 全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。 (一)管控实施主体一致 从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。 (二)管控范围相互包含 从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。 (三)管控视角侧重不同 从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。 (四)管控目的存在差异 从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。 综上所述,能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素,进行准确全面的度量和评估,建立初始信息框架,是全面风险管理工作流程起始点,因此,要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上,提出各种应对措施及方法,内部控制措施其必要性与风险系数呈正相关的关系,并依据风险内容制定控制机制与实施,企业在生产运营管理中,通过使用具体的内部控制措施的有效工具,对各类风险进行控制、评估,从而监控管理潜在的各类风险爆发隐患。 三、企业内部控制体系实施 随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。 建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。 (一)基于财务报告相关基础的SOX内控体系 初步建立以《萨班斯》财务报告为基础的一套内控体系,主要关注内控组织和制度的建设,完成体系的搭建,内外部审计中,均顺利过关,遵循工作总体有效,主要建设效果如下。 1.搭建内部控制体系组织架构和体系 内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。 按照内部控制建设目标和原则,通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设,完善了基本的内部控制设计,业务流程范围覆盖了企业所有业务部门,形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点,形成内部控制手册和矩阵。 2.梳理规范业务操作 梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。 3.提升风险管理意识 通过结合基于财务报告相关的内控建设初步的风险管理体系,深化了内控的管理细度,实现了将与财务报告相关的内控要求融入日常工作,与业务运营融合,提升了业务执行效率与效果,增强了风险管理意识。 4.内部控制落实 企业通过部门层面内控常态化管理项目的实施,将公司层面的控制落实到部门层面,控制的执行更加明确,转换部门角色,把部门由受控主体转变为控制的主体,形成部门内控闭环管理体系,实现部门内部控制的建立、执行、测试及跟进闭环管理,将控制真正融入到日常工作之中,避免内控管理与生产管理“两张皮”。同时,建立并完善内部信息沟通渠道即内控月报制度,内控月报涵盖了各部门日常工作中涉及的相关内控工作,实现与公司内控职能管理部门财务部的有效沟通。 5.加强内控执行监督 为加强对内控业务执行的监督力度与执行效果,设置考核体系和评价体系,企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式,以加强业务部门对内控管理工作的重视程度;在日常监督检查方面,采取了部门层面内控闭环管理体系,通过明确各部门内控自测要求,促进业务部门开展自测,并与内外部审计等检查实行有效衔接,主动发现风险,从而达到关注重点、聚焦实质的目标,将内控风险管理工作和业务管理工作有机的结合在一起。 (二)以风险为导向、面向业务运营的全面内控体系 开展企业层面的风险评估,编制全面风险评估报告,全面优化SOX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。 1.搭建业务框架 内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。 2.增设关键控制,注重前后评估 一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。 根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。 3.合并同质控制 通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。 4.梳理标准规范 考虑系统维护量增加,效率降低,以及未来的可扩展性,兼顾控制基线要求,适当强化部分控制,为不断增多的系统提供统一、标准的控制规范,统一了各信息系统的整体控制要求。此外,通过梳理与财务报告相关性系统,考虑其是否产生计费话单或生成财务数据,是否传输或存储财务数据,对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴,而是纳入日常管理流程。 5.实施内控系统固化 伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。 (三)以全面风险管理为视角的内控体系 遵循COSOII框架的全面风险管控体系,组织开展重大风险管控项目试点,促进风险管理工作与业务的深度融合,主要关注风险评估和风险应对,实现向全面风险管理过渡,不断完善其风险体系和内控体系建设,构建与以全面风险管理视角的内控体系,其主要建设效果如下。 1.深化风险文化 作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。 2.构建风险体系 企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。 全面风险管理工作从上述六类风险角度出发,营造企业自身文化;梳理公司各业务和内外部环节存在的风险,健全风险防范制度,构建风险防范体系。通过与利益相关方的沟通,提升公司形象,加强公司的廉政建设。 首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。 其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。 再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。 最后,加强利益相关方沟通管理和需求回应,全面提升社会形象。 企业通过上述措施制订执行全面风险管理工作计划,明确责任,评估各项风险发生的可能性和发生后对公司的影响程度,并对风险的重要性程度排序,确定公司面临的各种风险,细化落实相关计划与措施,定期开展回顾总结,监督执行情况、提出改进建议,完善风险管理的闭环管理机制,将风险管理的工作要求与业务运营管理相融合,切实做好日常的风险管理控制。 3.提升管理水平 通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。 4.关注重点风险,内控业务对标 随着企业管理日益精细化,相关内控要求与业务制度也在持续优化更新。在生产经营过程中,运用正向、逆向思维,梳理内部控制制度和业务管理制度,内控制度设计覆盖业务管理全过程,关注重点高风险和舞弊领域,业务制度是内控制度执行依据,内控制度是将业务制度中与内控相关条款归纳、整合。基于此,从内控合规角度出发,查找设计不合规或两者不一致的内容,进而完善内控要求与业务制度,实现全部内控业务流程对标,并将此项工作纳入内控常态化管理工作范围,不断完善内控体系。 上述内控体系特点为,建立企业统一的、标准化的内控手册和矩阵;控制点要求落实到具体部门和责任人,确保有效落地执行;内控管理执行部门和风险管理监督部门各司其职,相互制衡;全面覆盖涉及企业所有业务单元,涵盖生产、市场和管理等各业务线条;采用风险评估的方法,以风险为导向,关注关键环节风险管控;将内控与业务活动的紧密融合,避免“两张皮”;利用信息化手段固化内控要求,充分发挥信息系统优势。 四、未来全面风险管理内控体系的实施建议 (一)将企业风控管理和战略管理结合在一起 战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。 为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。 (二)全员参与自主风控 全面风险管理是长期性工作,涉及企业生产和管理整个过程,需要全员上下共同参与实施,也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求,评估企业关键性业务的状态,避免业务执行和风控执行信息不对称;实行自主动态风控管理,使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求,从而不断提升全员风险管控意识,做好重大风险自主评估;增强内控与业务融合度,确保关键业务自主内控合规;深化内控管理信息化的建设,实现内控要求系统自动控制;推动审计发现问题整改复查,发挥审计检察闭环监督价值。 (三)强化风险监控预警,有效完善内控体系 企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。 五、结束语 构筑国内商业银行风险管理组织体系的原则及思路 建立风险管理组织体系的原则分层管理原则,即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构:集中与分散相结合原则,即对风险管理的决策和宏观管理层面进行集中统一,统一风险管理政策、制度、程序,而对风险管理的微观操作层面实行分散化管理:风险管理关口前移原则,将风险的日常监控单位直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征:兼顾先进性与现实性原则,建立风险管理组织体系时,既要借鉴国际主流商业银行的先进经验,同时也应考虑到国内商业银行当前的现实情况,确保所设计的组织体系是切实可行的。 构筑国内商业银行风险管理组织体系的主要思路 首先,要建立相对集中统一的风险管理组织体系。强化风险管理决策部门对风险管理政策、制度、程序的集中统一决策职能:加强对各类风险的统一管理职能,构筑风险管理决策部门的强大支持平台;在各业务经营管理部门内设置风险管理决策部门的派出机构,负责对本部门经营管理中所涉及的各类风险进行日常监测、评估和管理,并向风险管理决策部门报告。 其次,要实行矩阵式报告线路,加强决策管理层对操作层的管理和监督。各业务单元(部门)内设的风险管理决策部门的派出机构对风险管理决策部门报告风险信息,并接受其领导、检查和监督,同时向本业务单元(部门)负责人汇报。下级行的风险管理部门对本级行领导负责,同时向上级行风险管理部门报告风险信息,并接受其业务指导、检查和监督。这种矩阵式报告路线设计,为今后体制改革进一步深化、逐步实现垂直管理铺平了道路。 根据商业银行自身风险偏好确定全面风险管理战略 建立与业务发展协调的风险管理战略应使风险管理战略和业务发展战略相适应,建立风险可承受范围内的发展目标。应防止片面追求高速的发展数字或不切实际的发展指标,要最终使业务发展具有可持续发展、均衡发展、协调发展的特征。 建立受资本约束的风险管理战略资本资源对业务扩张具有硬约束,应实施严格的资本约束风险管理战略,防止由于规模盲目扩张导致风险资产急剧增加以及非预期损失没有相应资本覆盖而造成银行风险不断积累,甚至资不抵债的局面出现。要严格按照监管当局和新巴塞尔协议要求,在确保资本充足率的前提下,转变经营思想,从以往只注重规模扩张转变为注重投入产出实际效益的衡量上来,加大对资本回报率等指标为核心内容的考核力度,把有限的资源向重点业务和效益好的业务倾斜,确保银行业务发展与资本的补充速度、可能性及成本相匹配。 建立有效覆盖损失的风险管理战略应严格控制和消化银行因承担风险而面临的潜在损失,其中预期损失必须以审慎的拨备计提形式被计入银行经营成本,非预期损失必须由经济资本来覆盖。该战略要通过强化拨备工作管理和尽快实施经济资本考核管理体系来实现。 建立相配套的风险管理机制 建立风险报告制度 风险报告制度是实施全面风险管理的一项基础工作,可使决策者和各级管理人员及时掌握经营管理中的风险信息,以便迅速有效采取措施防范和化解经营风险,确保各项业务按照既定的目标健康发展。风险报告线路采取纵向报送与横向报送相结合的矩阵式结构,即本级行各报告单位向上级行的对口部门报送风险报告的同时,也必须向本级行风险管理部门传送风险报告。 建立风险管理考评制度完善风险管理工作中的考核评价办法,是促进国内商业银行各级行完成各项工作目标的重要手段。对各级机构的风险管理工作动态考评制度,并将考评结果作为确定或调整当期或下一期风险限额、法人授权权限大小、财务资源分配的依据,可以为风险管理提供有效的激励。 建立风险限额管理制度风险限额管理是对国内商业银行面临的各类风险进行量化、汇总、分解、控制的过程。实行风险限额管理,可以促进国内商业银行由过去单一的、感性的、定性的风险管理,逐步转变到总体的、理性的和定量与定性相结合的风险管理;可以为国内商业银行制定明确、统一的风险管理政策,使各级风险管理人员、业务人员明确各自的风险管理目标,保证各业务部门的风险度符合全行的风险承受程度,是商业银行进行风险管理的基本手段和方法。目前,部分国内商业银行已在部分业务领域中使用了限额管理,同时五级分类等也为限额管理提供了一定的数据。 建立风险经理制度风险经理制是通过对风险管理人员进行等级化管理,提高风险管理工作人员的素质,从而为全面风险管理提供基础保障。建议按序列设置资深风险经理、高级风险经理、中级风险经理、初级风险经理四类若干等级,并在相关业务部门设置若干风险经理。 夯实管理基础,强化过程管理,健全有效的内控体系 建立全面、合理、有效的内部控制制度体系。是国内商业银行全面风险管理的基石。也是国内商业银行管理和控制各类风险。特别是操作性风险的重要手段针对国内商业银行当前注重结果管理、忽视过程管理、基础管理水平较低、内控体系不健全等问题,建议采取“标本兼治、双管齐下”的方针,重视过程控制,在抓紧完善内控政策建设的同时,积极开展内控机制的基础建设。笔者认为,研究和推进内控体系建设工作,通过按照中国银行监督委员会《商业银行内控评价办法》(银监[2005]9号令)构建内控体系工作,可为国内商业银行提供一个基础管理平台系统,该平台对夯实国内商业银行的管理基础、强化过程管理和内控制度建设等具有积极作用。 内控体系的建立将对国内商业银行提高基础管理水平提供强有力的支撑国内商业银行传统管理注重的是对结果的管理,而内控体系建设强调的是对经营活动的过程管理与控制,国外商业银行的实践证明,只有强化基础,注重过程,才能提高商业银行的基础管理水平。内控体系建设工作从基本制度的梳理整合入手,注重的就是过程的风险控制和基础管理。所以,按照银监[2005]9号令构造内部控制体系的过程,同时也是夯实国内商业银行管理基础的过程。这种以过程风险控制与内控管理为中心的管理模式,将促进国内商业银行从最薄弱的方面和环节加强内部管理,消除管理制度上的短线制约因素,从而提升整体管理水平。
