内部控制与企业风险管理范文
时间:2024-03-06 16:22:39
引言:寻求写作上的突破?我们特意为您精选了12篇内部控制与企业风险管理范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
篇1
内部控制是指企业为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误和舞弊,保证会计资料及相关资料的真实、合法、完整而制定和实施的政策与程序。美国在2002年7月颁布了《萨班斯――奥克斯利》(SOX)法案。SOX404条款要求公司在报送的财务报告中,对公司的内部控制架构和它的有效性进行评估,所有的上市公司的内部控制制度都要达到SOX404条款规定的标准要求。可见,内部控制制度对防范企业风险的重要性。
良好的内部控制可以合理保证企业合规经营、财务会计信息的真实可靠和企业经营效率的提高,而合规经营、真实的财务报告和有效率的经营也正是企业风险管理所应该达到的基本状态。从这个角度出发,内部控制是风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理。相反,如果没有良好的内部控制,则往往会导致各种错误和舞弊的产生,甚至造成企业的破产倒闭。从国内的巨人集团衰败、银广厦案到国外的巴林银行倒闭、安然事件等无不是由于其内部控制缺损或失效所致。因此,内部控制是防范企业风险事件发生的一种长效机制。
二、保证内部控制有效性必须注意以下问题
内部控制按其控制的目的不同,可分为管理控制和会计控制。前者以提高企业经营效益和工作效率,保证经营方针、决策的贯彻执行以及经营目标的实现为目的;后者则是以保护企业财产物资的安全、确保会计信息的真实与完整以及财务活动的合法性为目的。两者相互联系、相互影响,有些控制措施可以用于会计控制,也可用于管理控制。内部控制在企业管理实务中的表现通常是制度或工作流程,其有效性取决于两个方面:一是制度的完善与合理;二是制度的执行情况。具体来说要保证内控制度有效必须重点做好以下几个方面的问题。
1.随着企业发展和内外部环境的变化,与时俱进,不断完善内部控制制度,适应企业运作的实际情况,既要避免制度管理上的盲点又要避免一些不必要环节和控制点,影响企业的运营效率和制度执行的自觉性。企业内控制度的完善在于对关键风险控制点的有效掌控。事实上,包括像世通、安然在内,几乎所有大公司都有一整套风险管理制度。这些制度涵盖了从对外投资到差旅费报销等所有环节,应有尽有。其实,企业的管理资源是有限的,控制需要耗费大量成本。如果企业将主要精力放在所有琐碎细小的控制点上,显然就有些舍本逐末了。
2.营造良好企业制度文化氛围,形成遵守制度和按工作流程办事的自觉性,创造良好的内部控制环境。对于一个企业而言,内部控制最大的困难不在于设计一套制度,而在于如何保证制度的执行。内部控制的真正意义和价值就在于执行。世通、安然、中石油新加坡公司破产案无不说明公司的风险来自于内控制度的失效和形同虚设。这些公司在内部控制制度都比较完善,有些还是请专门的中介机构设计和制定。因此,公司内部控制制度的根本就是授权和监督,公司所有人的权限都是在这个组织中被授予的,并要得到有效监督。任何人都不能凌驾于制度之上,否则制度只能是一纸空文,对企业风险的防范毫无作用。只有当企业中的每一个员工目标明确,观念趋同,内部控制才更有实效。良好的企业文化氛围能为内部控制程序的执行创造良好的人文环境。
3.以人为本抓好管理控制。管理控制的范围很广,包括企业内部除了会计控制之外的所有控制,如企业发展战略、组织结构、人事管理、安全和质量管理、部门间的关系协调和企业负责人及高层管理决策及行为等方面的控制,但重点是与人的行为紧密相关的组织结构、人事管理控制等。
三、构建企业风险管理及预警体系,做好企业风险的预警及防范工作
内部控制虽然可以防范企业风险,并构成风险管理的必要环节,但内部控制不能代替风险管理,因此,企业必须结合企业实际构建风险管理及预警机构,加强风险管理。只有这样,当企业风险产生并威胁到企业的生存和发展时,才能及时化解风险。每个企业因其规模、所处行业等的不同其相应风险因素和防控手段都会不同,因此风险管理应因企而治,但总体来说应按照风险管理的基本程序作好风险识别、风险评估和风险控制,按照内部环境、目标制定、风险识别、风险评估、风险应对、控制活动、信息和沟通、监控等要素构建风险管理的基本框架。
1.要结合企业实际制定风险管理总体目标。
2.明确风险控制责任,健全风险管理组织机构。
3.建立健全风险分析评估、预警、处置工作流程。要能够很好地防范企业经营风险,必须按照风险级别建立一套有效的企业风险管理制度和流程。
参考文献:
[1]汤敏茅于轼:现代经济学前沿专题[M].北京:商务印书馆,2002
篇2
一、企业风险管理的必要性
近年来,很多企业缺乏风险意识,没有实施实质性的风险管理,忽略对风险的防范与控制,导致企业破产事件时有发生,如新疆德隆集团、四川长虹集团、科龙集团、中航油(新加坡分公司)等,严重的风险损失致使很多企业开始关注全面的风险管理。
企业风险管理是管理者对企业发展中存在的和潜在的风险进行辨识、评估以及权衡风险危害的行为等,并对所识别出的风险及时采用有效方法进行防范及控制。内部控制的目标是对企业存在的风险进行及时防范及控制,有效监督并保证企业的发展。从本质上讲,企业内部控制与风险管理存在着必然的联系:内部控制其实是风险管理的手段之一, 内部控制的实施建立在企业风险管理基础之上,并随着风险管理的需要而不断发展。但因为内部控制与风险管理具有不同的内涵和外延,所以两者不能相互替代、缺一不可。所以风险管理与内部控制有效结合,会更加准确地发现企业面临的风险,做出及时的防范与应对措施,将风险损失减到最低限度,稳定企业的经营环境,保证企业利润目标的实现,对企业发展起到保驾护航的作用。
二、企业风险管理的架构和模式
考虑到现阶段我国的企业发展条件和宏观环境,本文认为构建企业风险管理框架应注意以下几个方面:
(一)全面风险管理的目标应顺应企业发展面临的环境变化
企业的风险管理是建立在企业整体业务发展与经营基础上,需要与企业的研发技术、管理方法及战略目标相结合。所以企业风险管理整体框架的建立首先应明确风险管理要达到的目标,是否与企业发展目标紧密相连,分析企业面临的内外部环境,并将风险管理要达到的效果细化成具体的管理任务,在全企业范围内明确宣布风险目标和计划,要求全部业务人员和管理人员共同参与,并制定完善的制度体系,约束其职责行为,保证风险管理工作的落实。
(二)内部控制制度与企业风险管理体系密切结合
内部控制是加强风险管理的手段之一,是更具系统性、独立性的管理工作。内部控制组织结构的设计需要充分满足企业全面风险管理的要求。风险管理也应该与之互补,尽可能地利用内部控制发现的问题和维护的企业管理环境,采用更科学、合理的方法评估、预测业务风险、财务风险的严重程度,以节约人力、物力,提高管理效率。
三、目前企业风险管理的现状及分析
企业风险管理是一个循序渐进、不断完善的过程,是企业在不断探索的一个合理有序的流程,试图将经营风险管理行为与战略管理、业务计划制定过程结合在一起,以期整个企业的风险、收益、增长与资本得到充分优化。虽然我国企业一直在研究、完善风险管理,并取得显著的成绩,但是仍存在很多需要改进的地方。
(一)负责风险管理的职能结构有待进一步完善
我国很多企业也在做风险管理,但大多数是将风险防控的任务分配到不同部门,由其分工完成,而没有专业的风险管理组织或者专职负责人来来实现企业的风险管理和内部控制。分散式的风险管理容易导致功能交叉、分工混乱,管理责任与权利不明确,各部门工作缺乏积极性,没有有效的沟通,无法实现信息资源的共享,风险管理与内部控制不能及时发现问题,对企业风险防范与控制的作用微弱。
(二)风险管理具体目标尚待细化,制度缺乏约束力
目前我国企业风险管理整体水平较低,风险管理没有充分发挥应有的作用,很大程度上是因为企业对风险管理没有给予足够的重视,通过内部控制加强风险管理的意识薄弱。只是笼统地制定了企业风险防范将要达到的效果和希望,没有对该抽象的目标进一步界定,具体到各部门的实质性工作时,往往就成了形式上的东西,因为缺乏具体任务指标或完成效果的检验标准,很多风险防范及应对工作无法落实。简单的风险管理制度内容不全面,执行力匮乏,对员工的约束力较弱。
(三)内部控制制度执行不力,评价监督效果微弱
内部控制是在风险管理中更直接、更具体的一项工作。但很多企业并没有正确理解内部控制与风险管理的密切关系,过分地强调各部门将风险损失压倒最低,却忽略了具有明显管理效果的内部控制。有些企业仅限于将国家要求的内部控制制度制定出来,写成纸质的文件供检查,而没有相应地建立有效的内部控制执行流程、业绩评价等机制,使内控制度流于形式,无法应对企业面临的风险。或者将精力过多的集中于利用严格的内部控制流程发现问题、指出错误,没有同时将评价与激励制度跟进,整个管理的优势得不到发挥,不足没有改进,不利于企业的长期可持续发展。
(四)风险管理手段比较单一,无法有效地降低风险损失
我国企业风险管理水平整体较低的一个原因是风险管理手段比较单一、落后。首先表现为很多企业进行风险管理的目的过于肤浅,对内部控制与风险管理存在着不少误区,出于当期获得尽可能多的利润的经营理念,采取的防范与控制风险的措施都是眼前的、短期的。其次,很多风险管理手段是模仿先进企业集团或国外公司,采取了与本企业经营业务性质和发展条件相差很大的管理方法,适应性不强直接影响了管理的效率。再次,风险管理具有很强的专业性和技术性,很多企业的财务人员尚并不具备分析数据模型、推测市场环境变化,评估经营风险的能力,依靠的往往是经验性质的主观判断,在准确性与科学性上有待考究。
四、企业做好风险管理的建议
(一)健全组织机构,保证风险管理工作的权威性
风险管理是涉及企业所有业务和部门的一项长期工程,必须由企业的最高职能机构牵头,负责风险管理工作的推广与落实。首先就应该建立董事会或股东大会管理下的风险管理组织架构,明确风险管理在企业各项工作中的地位和权威性,领导企业做好制度建设,使风险管理有章可循。然后,经由具体负责的职能部门或财务部风险管理员,将风险管理的总体要求进行细化,坚持全员参与管理原则,要求落实到风险管理的执行层面,实现风险管理的横向延伸和纵向管理,监控企业的所有部门和业务,杜绝风险隐患。
(二)风险管理目标具体化,建立有企业特色的风险管理机制
第一,要对企业内部管理层进行风险管理的思想观念教育,纠正错误的认识,真正理解风险管理的必要性,使管理层将风险防范意识融入管理工作全过程,并用其指导基层工作的开展。第二,要根据本企业所面临的行业发展环境和具备的个体条件,研究如何将风险管理的目标具体化,细分为可衡量的任务指标,下发到企业的基层员工,营造良好的风险管理文化氛围,使这种防范意识成为员工自觉的行为约束。第三,完善考核评价制度。可以将风险管理体系的建设与薪酬制度相结合,利用内部控制制度中绩效考核的结果,评价风险管理任务指标的落实,改善企业内部环境,使风险管理真正发挥作用,保证企业经营管理系统的高效运作。
(三)找到风险管理与内部控制的切合点,发挥内部控制的优势
内部控制制度在很多大型企业集团都得到顺利开展,并取得不错的效果。中石化集团就对内部控制制度做了很好的规划,首先制定内部控制手册,通过制度的形式增强内部控制的约束力,并明确内部控制业务流程、实施细则,包括采购业务流程、生产成本管理业务流程、销售业务流程、资金管理业务流程、信息管理业务流程、监督与检查等,使内部控制更具有可操作性和参考性,不同的业务部门和基层人员可以根据自己的所属职责做出正确的行为。企业可以在分析面临的内外部环境和条件的前提下,将风险划分为:业务风险、经营风险、财务风险与合规风险,有针对性地制定常规的防范和应对措施,设计风险管理解决预案。然后结合内部控制的重点和难点,对企业流程进行梳理与改造,辨识关键控制环节和风险控制点,规范突发事件的处理流程,以及时将意外风险与损失降到最低。
(四)改进风险管理手段,强化风险预警功能
风险管理依靠的是硬件设施的保证和人力资源的专业性。第一,企业应该为风险管理建立或引用先进的软件系统,通过信息系统的铺设,部门之间可以方便地进行信息交流与共享,实现企业运营数据和信息收集、存储、处理、报告和信息披露的自动化,及时地掌握各个环节的变化与需要,尽可能反映真实、准确的经济动态信息,做出正确的应对措施。第二,要求具体负责的人员必须掌握风险分析的数据模型,能够熟练运用计算机技术分析统计数据,得到所需要的信息。并同时时刻更新自己的专业知识体系,通过培训或业务学习等方式,提高自己的财务分析与风险预测能力,综合运用现代风险管理技术,如模型计量、信用风险管理等方法,保证经验值的取值合理、可靠,准确预测企业发生各种风险的可能性及其大小,为企业提供有价值的财务信息。
参考文献:
篇3
风险原是指在实现目标的过程中,可能出现的阻碍目标实现或者影响目标进程的危险。企业风险管理指的是企业对企业内部可能出现的各种风险的预测、识别、判断、分析等,并对不同的风险进行合理预防和科学应对的管理体系,旨在尽最大可能地降低风险出现的概率以及减小遭遇风险时的各项损失。企业风险管理的内容主要包括对潜在风险的前期预测,在企业正常运行过程中对风险进行防范,在风险出现时有科学而迅速的应对措施。对企业风险管理具有较大影响的因素有风险管理策略的科学性和准确性,风险管理策略实施的执行力等。
1.2企业内部控制的内容及目的
企业经营的目的是为了有效而持续地获得利润,而企业的内部控制则是针对企业内部运营的各项事宜的规划与管理,从而达到对内部运营、企业发展的相对控制。企业内部控制的内容主要包括对企业操作程序和操作手段合法性的监督,对企业生产流程的合理性的规划,对企业运行高效化的引导和促进,对企业财务可靠性的确保等等。企业内部控制的主要目的是以决策层、领导层以及其他人员以实现企业经营目的为目标,在企业的正常运转中实施确保目标实现的策略和措施,确保企业具有合法而有效的运营程序。
1.3企业风险管理与内部控制的关系
企业的风险管理与内部控制都是为了企业更好地发展而存在的,两者既有共同的领域与目标,又有各自的职责所在。近年来,随着全面风险管理的行业标准的推进和实施,两者在一定范围内存在着相互融合的发展趋势。然而风险管理与内部控制仍然存在许多的不同之处,对于风险管理来说,在实行全面风险管理之后,其主要包含了风险对策、事件识别、目标设定、过程监督、信息沟通、控制活动、风险评估、环境控制这八个方面,风险管理内容涉及企业管理的方方面面。对于企业的内部控制来说,内部控制同样也是企业风险管理的一个重要手段,其采取措施和应用策略的主要依据来自于企业的风险管理,但内部控制不仅仅针对于企业风险,涉及方面还包括企业所能把握的机会。
2现阶段我国企业风险管理与内部控制存在的问题
2.1企业管理与控制策略缺乏创新性
在我国加入世界贸易组织以来,国内企业的经营市场不再仅仅局限于本国内部,而是获得了更多走进国际市场的机会,同时受全球政治经济一体化的影响,我国企业在走出国门的同时,更多的外资企业入驻中国。我国企业面临着越来越多的挑战和更为复杂危险的风险因素,而企业在风险管理与内部控制方面却仍然处于较为传统的落后状态,改革进程也并不十分理想,应对风险的能力较差。面对纷繁复杂的世界局势,企业管理与控制策略缺乏能够有效突破的创新,对风险的应对方式显得过于保守,这对于把握时代机遇来说显得有些捉襟见肘,对企业良好快速的发展造成一定的阻碍。
2.2企业在相关制度体系方面不完善
企业的制度决定着相关政策的执行标准,在我国企业的风险管理与内部控制中,虽然在行业内部已经出台了相关的行业标准,但就具体的企业来说,企业在相关制度体系方面的建设还并不完善。企业所实施的内部控制策略的科学依据有待考究,风险评估标准的灵敏度和准确度有待提高。企业在正常运营过程中,对风险评估体系的不完善,将会导致企业遭遇风险的几率增加,在面对风险时的机动应对流程没有得到科学合理的制定,将会造成企业在遭遇风险时的损失增加,因此,尽快建立完善的制度体系对企业风险的控制是十分必要的。
2.3企业机构设置不能满足相关策略的实施要求
企业策略的应用与实施,离不开具体机构的执行。在我国企业的机构设置中,对于风险管理和内部控制相关的机构设置不能充分发挥企业全面风险管理与内部控制的作用。企业的风险管理和内部控制决定着企业的发展甚至存亡,决策权往往在决策管理层,有些企业在全力制衡方面存在很大的问题,导致决策权力失衡,有关政策的实施无法得到保障,即使再科学合理的措施策略也无法发挥其作用,这对于企业发展将造成极大的阻碍。
3企业风险管理与内部控制实施策略应用
3.1提高管理团队的认识和创新意识
面对全球化的竞争市场,我国企业的管理团队在规避风险的同时,也应当最大可能地把握住机遇。在以往所爆发的全球化的经济危机中,暴露出了很多企业在风险管理与内部控制中存在的问题,也督促着企业的决策层、管理层应当提高自身对于风险管理与内部控制的认识。企业应当加强管理团队的建设,吸引优秀人才的加入为团队带来新的管理思路,同时加强相关人员的培训和学习工作,提升团队整体的专业素质以及对风险准确而敏感的认识,提高管理方面在实施策略上的创新突破,努力构建一个全面的风险管理体系和完善合理的内部控制程序,提高企业的风险防范和应对能力。
3.2建立完善合理的管理控制机制
合理完善的管理控制体系应当包括企业在日常运转中对风险的科学评估,以风险评估为依据,在内部控制程序中对内部生产、财务等方面的运行方式进行调整,尽量规避风险发生的可能。在企业不幸遭遇风险时,有科学的应对预案,有优良的管理制定具有针对性的补救方案,企业从决策层、管理层,到基层员工,都能做到有章法可依,有序应对风险,控制风险危害的扩散,尽量挽回企业损失。
3.3完善企业机构设置促进相关策略的实施和应用
完善的企业机构设置是相关制度和策略执行力的保障。企业的机构设置在上市企业应当以董事会为核心,在一般企业应当以决策层为核心,来进行风险管理与内部控制的战略部署,并且设置具有一定权利的企业机构来保障相关政策和策略的实施。风险识别、评估和应对是企业风险管理的重点,应当设置专门机构来承担这项任务,专业业务也应交于专业团队来进行。对于内部控制对风险管理结果的反馈,也应由专门的机构在做企业运行方案的调整和相关政策的制定。尽量保证不同职能部门的专业性和独立性。
篇4
一、COSO的内部控制整体框架和风险管理整体框架
(一)《内部控制——整体框架》关于风险管理的论述
1992年,COSO了其研究报告《内部控制——整体框架》,并于1994年进行了增补修订。在该报告中,COSO(1992)指出,企业必须了解它所面临的风险,并加以处理。企业必须制定目标,而目标又必须与销售、生产、营销、财务等活动相结合,如此企业才能很好地运作。企业还必须建立识别、分析和管理相关风险的机制。
COSO(1992)提出了内部控制的五个要素,其中之一便是风险评估。COSO(1992)指出,每一个主体都面临着各种来源于内部和外部的风险,这些风险必须加以评估。风险评估的前提之一是建立目标,不同层次的目标应当相互联系并保持内部一致。风险评估是指识别、分析与实现目标相关的风险,它是决定这些风险应如何管理的基础。由于经济、行业、管制和经营条件会不断发生变化,应当建立相应的机制以识别并处理与这些变化相关的特定风险。COSO(1992)指出,须从企业整体和作业两个层次来识别风险。企业整体层次的风险可能由外部或内部因素而产生。外部因素如:科技发展、顾客的需求或预期改变、竞争、新颁布的法律法规、天然灾害、经济环境改变;内部因素如:信息系统处理的中断、员工的品质、经理人的责任改变、企业活动的性质以及员工可接近企业资产的程度、董事会或监事会不够坚定或无效。
(二)风险管理的新发展:《企业风险管理——整体框架》
2004年,COSO了其研究报告《企业风险管理——整体框架》。风险管理整体框架(ERM)是在内部控制整体框架基础上发展而来的。COSO(2004)指出,风险管理框架不想也没有替代内部控制框架,但它将内部控制框架整合在内,采用这一框架,企业既可以满足内部控制的需要,也可以建立一个完整的风险管理过程。
1.风险管理的目标
COSO(2004)认为,主体的目标包括四个:
(1)战略目标,是高水平的目标,它应与组织的使命一致并支持该使命;
(2)经营目标,组织应当有效率和效果地使用资源;
(3)报告目标,组织应当提供可靠的报告;
(4)遵循目标(合规性目标),即组织应当遵循相关的法律规章。
企业风险管理实际就是为实现上述目标提供合理的保证。
2.风险管理的内容
企业风险管理包含以下方面的内容(作用):
(1)协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时,应考虑组织的风险偏好。
(2)改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略(包括规避、降低、分担与接受风险)中做出选择。
(3)减少经营意外与损失。提高组织识别潜在事项并做出反应,减少意外事项及相关的成本或损失的能力。
(4)识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险,企业风险管理应当有助于对相关关联的影响作出有效的反应,并对多企业的风险作出整体性反应。
(5)抓住机会。通过考虑所有的潜在事项,管理层应当能够识别并实现机会。
(6)改善资本的配置。在获得关于风险的信息后,管理层可以有效地评估总体资本需求并改进资本的配置。
企业风险管理的上述作用,有助于管理层实现组织的经营和盈利目标,并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循,并有助于避免组织声誉的损害及相关不良后果。总之,企业风险管理有助于企业向其所期望的方向发展,避免在发展的过程中遭遇陷阱和意外。
3.风险管理的要素
企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法,并与管理过程合成一个整体。这些要素包括:
(1)内部环境。内部环境包含了组织的风格,它确定了组织人员如何看待和处理风险的基础,是其它要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。
(2)目标设定。在管理层辨别影响其目标实现的潜在事项之前,必须有目标。企业风险管理要求管理层设定目标,选择的目标需要能够支持组织的使命并与组织使命相一致,并与其风险偏好相一致。
(3)事项识别。即识别那些影响组织目标实现的内外部事项,并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。
(4)风险评估。必须对风险加以分析,考虑其发生的可能性以及影响,并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。
(5)风险应对。管理层应在不同的风险应对(包括回避、接受、降低、分担风险)中做出选择,从而采取一系列与组织的风险容忍度(risk tolerances)和风险偏好相一致的行动。
(6)控制活动。应建立相关的政策和程序,以确保风险应对策略得到有效的执行。控制活动通常包括两个要素:确定应从事何种活动的政策、执行政策的程序。
(7)信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息并加以传递沟通,从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上,包括向下、向上以及平行交互沟通。
(8)监控。整个企业风险管理都应当加以监控并根据需要做出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。
对于这八个要素,COSO(2004)指出,企业风险管理不是一个严格的序列过程,即一个要素仅影响下一个要素,而且是一个多方向的、相互影响的过程,任何要素都可以并且确实影响其它的要素。
4.风险管理目标与风险管理要素的关系
COSO(2004)认为,目标是主体要实现什么,企业风险管理的要素则意味着需要什么来实现它们,因此,风险管理的目标与要素之间存在密切的直接联系。这样,企业目标、风险管理要素与企业各个层级之间就形成一个三维立体图。
二、美国风险管理准则对我国的启示
从以上COSO风险管理准则内容和要求上,可以看出存在以下特点:
(一)将风险管理与内部控制联系在一起。内部控制是风险管理的重要手段,董事会应当建立并维持有效的内部控制系统以实现风险管理。
(二)均强调风险管理是一个包含风险识别、计量和应对的系统化过程。风险识别、计量、应对和控制活动是一个紧密的整体,企业必须识别面临的潜在风险,并评估其对企业的影响,从而采取相应的措施来应对风险。在风险识别和分析、评估的技术上,均强调应当结合采用定量技术和定性技术。另外,人们越来越认识到,风险是无法绝对消除的,因此,风险管理的目标是将其控制在主体的风险偏好以内,而不是消除风险。反映到风险应对策略上,相关的风险管理准则大都强调风险的应对措施包括回避、抑减(降低)、转嫁(分摊)、接受,应当根据风险发生的可能性、对主体的影响以及主体自身的风险容量选择适当的应对措施。 (三)强调风险管理应当融入到企业日常经营活动中,并贯穿于企业的各个层次、所有的经营活动。风险管理针对的是企业经营活动中对企业目标实现产生影响的风险事项,因此,风险管理必须与企业的经营活动紧密地结合在一起,在经营活动中处处体现风险管理的理念与做法,这不仅有助于及时识别企业所面临的风险事项,也有助于降低风险管理成本、提高风险管理效率。
(四)强调控制环境的作用。公司的高层基调、管理层的管理哲学、董事会和相关委员会、员工的胜任能力对于有效的风险管理具有重要作用,如果没有一个良好的、注重风险管理的内部环境,风险管理很难取得成功。
(五)强调全员参与。全员管理是现代风险管理的重要特征,风险管理不仅仅是风险管理部门的事,而且需要靠企业的全体员工来落实,所有员工都会影响到企业风险管理的效果,企业应当使所有员工了解自己在风险管理中的作用。
(六)强调信息与沟通。信息和沟通对于良好的风险管理和内部控制相当重要,下层要了解公司的风险管理战略和政策、措施,并有顺畅的向上沟通风险管理和内部控制情况的渠道,上层要及时向员工及外部了解企业面临的重大风险及其管理情况。
篇5
关键词 企业 风险管理 内部控制
一、企业风险管理与内部控制的关系
(一)从企业风险管理的定义看
国际内审协会给企业风险管理下的定义是:“企业风险管理是指发现和了解企业组织中各个方面隐含的风险,以实现企业战略愿景为目标,对风险进行研究,采取积极合理的控制行动,减少经营失败的可能,降低经营不确定性。”这个定义中有两个关键要素,一是认为风险是与企业的目标紧密相关的,企业经营和发展的目标对风险的产生及对它的分析和判断产生直接影响,二是对风险管理必须通过有效的、系统的控制,严格地说是通过内部控制,才能得以化解。
(二)从企业风险管理的途径看
企业风险管理的途径必须基于企业目标,对风险进行分析和评估,进而采取积极、全面的内部控制措施。内部控制制度的功能就是通过设定内部控制主体的行为规则、调整内部控制主体的行为规范,以促使企业的各种经济活动能够顺利地进行,激励与约束企业内部经济交易中的各种行为,减少不确定性,节约交易成本。
通过上面的分析,我们得出企业风险管理与内部控制的关系是紧密相关的,企业的风险管理很大程度上取决于本企业的内部控制制度的完善与否,制定和完善内部控制制度是企业规避风险、堵塞漏洞及提高经营效益和管理水平必须和重要的途径。
二、我国企业内部控制现状与存在的问题
(一)风险管理意识薄弱,对风险评估不足
当前企业面临的风险主要有市场风险、信贷风险、营运风险、法律风险、管制风险等。在众多风险中,最主要的风险是营运风险。企业应当建立可以辨认、分析和管理风险的机制,并确认高风险领域,以加强管理。但我国企业缺乏的就是这种机制,对于风险的管理十分薄弱,缺乏有效的风险识别、评价和反应机制。
(二)缺乏有效的风险防范措施
虽然在有效资本市场的条件下,风险和收益是成正比的,低风险必然造成低收益,高风险必然带来高回报。但是从内部控制的角度看,企业应在认知和分析风险后,采取积极、创新的风险管理措施,把风险控制在企业可接受的范围内。一些企业为了追求高收益,过度冒险,违规经营,敞开风险防范的大门,将负债风险和破产风险交由股东承担,致使风险资产加大,经营风险和财务风险增加,最终导致公司和股东的利益受到损害。
(三)内部控制制度执行不力,评价机制缺乏
许多企业的内部控制制度是挂在墙上、写在纸上的制度,实际执行情况可想而知。企业内部控制制度执行情况评价、报告等也鲜有实施,没有建立有效的内部控制定期有效性评价的机制,大部分内控制度流于形式。另外,长期以来,对企业管理者业绩考核以利润为主要依据,评价方式单一,很少对其内部控制综合评价。
三、企业建立和完善内部控制制度的对策措施
(一)做好风险评估,完善内控制度
内部控制制度是企业风险评估和分析的产物,切实做好对企业风险进行评估,是企业进行有效内部控制的基础和依据。企业要针对每实际情况,按照国家的法律法规和有关内部控制制度的规范来进行设计和制定符合企业实际情况、可操作性强的科学的制度,从制度设计、制度执行、制度评价和制度改进等程序来做好风险评估和内部控制制度的完善工作。通过做好对企业风险进行评估,针对实际情况设计内部控制程序和制度,可以最大限度地防范人为的风险和制度的风险、堵塞企业运作环节中存在的经营或管理上的漏洞。
(二)完善内控组织结构,重视内部审计工作
完善内部控制制度的组织结构,提升内部审计机构的作为,重视内部审计工作,是杜绝职责不清、内控制度执行不力重要措施。企业应明确内部审计机构的地位,授予审计机构部门的相对独立性和权威性,把企业的内部审计部门作为企业执行内部控制制度的重要监督机构和推进内部控制制度可靠实行的重要组织,并授权其监督各部门的控制制度实行的执行效果和考核评价。内部审计机构的地位的提升和和职能的发挥,是企业内部控制制度能得以有效执行的关键工作。
(三)提高内控执行部门的风险防范意识
除了加强内部审计进行监管以外,各执行部门本身也应该提高风险防范意识,执行部门务必执依照制度规定的具体制度来执行,杜绝和防范执行不力、把关不严造成的经办部门和个人谋取私利损坏企业整体利益的谋私行为的风险。特别是当今信息时代,企业外环境变得更加复杂多变,如果企业不够重视企业网络数据的风险控制和防范意识,则有可能造成企业内部人员的道德风险或系统性风险带来商业数据泄密的风险。因此,企业执行内控制度的人员必须提高防范商业信息泄密的风险意识,以避免给企业造成不可估量的损失。
(四)协同企业内部各工作部门的执行,高效执行内控制度
企业是一个利益整体,每个部门的工作环节非常重要,特别是内部控制制度的各执行部门、个人必须做到以整体利益作为出发点,内部控制不能以部门或个人利益作为工作出发点,要打破条块分割,缺少整体效益的弊端,各执行部门之间应加强信息共享、信息沟通,便于互相协作、互相促进,及时发现问题,共同商讨对策,以堵塞管理漏洞,提高企业整体效益,做到协调企业内部控制流程,全面可靠地执行企业内部控制制度,真正发挥内部控制制度的作用。
(五)制定内控执行的考核和监督激励机制
企业制定了完善的内部控制制度后,最关键的是企业内部各执行部门或个人严格执行的问题,因此,企业除了按照国家法律法规及企业相关制度的规定进行经营业务外,还需要建立相应的工作激励机制和考核机制,与执行人员的工作业绩评价挂钩,提高规避风险的意识和能力。制定切实可靠的工作激励和考核机制,是实现内部控制制度得以顺利可靠实行的重要制度保证。
参考文献:
篇6
风险管理的特征:客观性/普遍性/偶然性/可测性/可变性
风险的类型:环境风险/经营风险/财务风险
企业做大个人的管理能力显得非常渺小,只有通过科学的控制才有效。
风险可以事先管理,企业时时刻刻承担着风险如同人的一生活着就有风险都可能得病。
二内部控制的定义:内部控制是一个过程,皆在保证财务报告的准确性,可靠性。
内部控制整体架构:控制环境/风险评估/控制活动/信息沟通/监督
内部控制遵循的原则:全面性原则/重要性原则/制衡性原则/适应性原则/成本效益原则
内部控制五要素a内部环境(治理结构/机构设置/责权分配/内部审计/人力资源/企业文化)
b风险评估(不相容岗位设置:会计与出纳分开,管物与管账分开,采购谈判价格与供应商分开,责权分离。授权审批控制即所有人都有审批权,会计系统控制即财务报表的真实性,财产保护控制即企业资产盘点,预算控制即全面预算管理)
c内部监督(分为日常监督与专项监督)
d信息与沟通(各种信息的收集方式与渠道,电子信息的应用,部门之间的沟通与协调)
三企业各类风险:a货币资金风险:货币资金即企业现金与银行现金,货币资金的安全必须岗位不相容才能保证,公司主营业务收入好说明公司持续稳定,货币资金应日清或第三人清查或审计清查。对企业预留印鉴专人保管严禁一人保管全部印鉴,经授权人签字后使用印鉴,现金和银行存款的控制:库存现金限额制度/规定现金开支范围/专人定期核对银行帐/定期不定期盘点
b应收账款风险:客户到期不付款或无能力付款,前期要正确评估客户的资信程度,如同银行贷款程序,千万别把业务员培养成只会卖货不会收钱的业务员,商务谈判能力决定着应收款。应收账款的监督应每季或半年做应收账款的信用等级风险评估(有表格),应收账款的增长率不能高于主营业务增长率(否则公司吃老本倒闭),超过4年的坏账应放入计提坏账会使企业净资产优良。应收账款如何摊销?账龄法:一年以内提2-5%,二年以内提10-20%,三年以内提30-50%,四年以内提50-80-100%
c预收款的内部风险控制:责任分工与授权,销售与发货控制,收款控制。
d存货风险管理:价格变动风险,产品过时风险,自然损失风险在管理上要设立安全库存量,销售人员要了解库存结构努力销售应有库存来降低采购降低库存,不得有同一部门或一人办理采购与付款业务的全过程。采购业务的不相容岗位:请购(技术后勤)与审批(部门主管),询价与确定供应商,采购验收与相关会计记录等,库房保管员要建立收发存明细台账记录物质出入库相信情况。
e资产结构风险:一个企业的实力表现在1总资产2年销售收入3企业员工,企业资产不是越大越好是越合理越好,变现能力越强越好,财务总监要考虑公司现金流与总资产的合理,出纳应每天给刘会现金余额表,销售部每星期报现金汇款计划。企业要把降低费用作为获利的一个根本永远。
f投资风险评估:风险来源表,风险的分类和分组对项目管理其他方面的要求
内部控制环境五要素:治理结构,机构设置,责权分配,内部审计,人力资源政策,企业文化。
内部控制制度设置:a人事制度控制:建立劳动合同,针对不同级别的管理人员建立不同级别的考核制度,形成规范,系统考核体系评价员工据此奖励任用,建立公司骨干员工队伍,有针对性培养,建立内部薪酬体系(薪酬总额与业绩指标挂钩办法,基本工资发放,高级管理人员年薪管理办法)。
篇7
中图分类号:F713.50文献标志码:A文章编号:1673-291X(2009)29-0192-03
企业内部控制的完善和执行情况日益成为人们关注的议题。在国内,“中航油”、“银广厦”等多起舞弊案件都是与企业内部控制的缺失有关。德勤华永会计师事务所有限公司最新《中国上市公司内部控制调查分析报告》的调查结果显示,大多数企业在内部控制实施方面仍然存在一定的盲目性。中国上市公司约58.82%的企业为应对金融危机而指定了专门的部门落实风险管理和内控工作,但是,仅有23.53%的企业将内控工作的重点从书面制度转变为具体实施;仅约17.65%的企业进行了内部控制评价。可见,内部控制问题已成为上市公司的软肋。2008年6月28日财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》,该规范融合了COSO 风险管理的先进经验,又具有中国的特色,被世人赞誉其为“中国版的萨班斯法案”。那么,基本规范是否能解决上市公司的问题成为了时下理论界、实务界关注的焦点。
一、企业内部控制规范与COSO企业风险管理的不同
(一)内涵、目标不同
2008年6月28日财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》,为中国企业首次构建了一个企业内部控制的标准框架。它所指的内部控制,是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:(1)企业战略;(2)经营的效率和效果;(3)财务报告及管理信息的真实、可靠和完整;(4)资产的安全完整;(5)遵循国家法律法规和有关监管要求。
2004年9月,COSO委员会在内部控制框架概念的基础上,提出了企业风险管理(Enterprise Risk Management,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO在ERM框架报告中指出企业风险管理是一个过程,它是由一个主体的董事会、管理当局和其他人员实现的,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险已使其在该主体的风险容量之内,为主体目标的实现提供合理保证。ERM框架对内部控制明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。ERM框架提出,要力求实现四类目标:战略目标、经营目标、报告目标和合规目标。
(二)基本要素不同
1.企业内部控制规范考虑以下基本要素:
(1)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(2)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(3)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(4)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。
(5)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告,提出有针对性的改进措施等。
2.COSO企业风险管理包括八个相互关联的构成要素。它们来源于管理当局经营企业的方式,并与管理过程整合在一起。这些构成要素是:
(1)内部环境。内部环境其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
(2)目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。
(3)事项识别。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,管理层必须识别影响主体目标实现的内部和外部事项,区分风险和机会。
(4)风险评估。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
(5)风险应对。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
(6)控制活动。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。制订和执行政策与程序以帮助确保风险应对得以有效实施。
(7)信息与沟通。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。
(8)监控。企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。
(三)管理人员对实现企业目标的职责
1.企业内部控制基本规范对管理人员的职责规定如下:
(1)企业董事会应当充分认识自身对企业内部控制所承担的责任,加强对本企业内部控制建立和实施情况的指导和监督;
(2)董事长(或者法定代表人、代表企业行使职权的主要负责人,以下简称董事长)对本企业内部控制的建立健全和有效实施负责;
(3)经理(或者总裁、厂长,以下简称经理)根据法定职权、企业章程和董事会的授权,负责组织领导本企业内部控制的日常运行;
(4)总会计师(或者财务总监、分管财务会计工作的负责人,以下简称总会计师)在董事长和经理的领导下,主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。
2.COSO企业风险管理将各级人员的职责分成三个层次:
(1)董事会,监控企业风险管理,获知并批准企业设定的风险偏好,与企业高层管理人员讨论企业风险管理的状态,获知企业所面临的重大风险、管理层拟采取的行动以及管理层确保风险管理有效性的方式,董事会还要从内部审计人员、外部审计人员和其他人员那里获取相关信息;
(2)高层管理人员,首席执行官或总裁应对ERM 负总责,各部门经理应认同企业的风险管理理念,按企业设定的风险偏好和风险容忍度管理本部门事务。首席执行官或总裁集各部门经理对企业风险管理的能力和有效性进行初步评估,以决定是否有必要对其继续进行更深入的评价;
(3)企业基层职员,有责任按照企业已确立的指令和协议实施风险管理。
二、企业内部控制基本规范的贡献
从基本规范与COSO风险管理的比较,可以看出基本规范既吸收了COSO报告的精华,又具有一定的中国特色:
1.提高了内部控制规范的地位。新规范既有类似萨班斯法案的强制力,又有与科索报告一样对内控实务的示范作用;既对中国企业建立内控制度提出了强制性要求,又为千差万别的中国企业建立健全内控制度提供了基本框架;既吸收了内控的国际先进理念,又充分体现了中国内部控制的现实环境要求。有专家认为,这一规范的出台,是中国企业按国际化标准严格自律的宣言书,更是中国企业参与国际竞争,逐步接受并自觉遵循市场经济游戏规则,不断完善企业制度、细化管理的内在要求。世人赞誉其为“中国版的萨班斯法案”。
2.统一了我国企业内部控制规范。在美国,COSO框架是美国企业以及在美国上市的外国公司的内部控制建设的标准,而在我国,长期以来内部控制规范正出多门,现实中,至少存在包括证监会、财政部、国资委、人民银行、证券交易所等部门或主管单位的关于内部控制或风险管理的规范文件。尽管有关监管部门在实际中采用了COSO的标准,但都比较局限。2008年6月28日财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》是广泛征求各监管部门意见基础制定的,统一了我国企业内部控制规范的标准,使企业可在统一的框架内建立有效的内部控制监督体系,同时为外部监管公司内部治理的设计、实施、监督、评估等奠定了基础。
3.科学界定内部控制的内涵,强调“全员控制”。基本规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,是一种全面、全员、全过程控制的理念。
4.准确定位内部控制的目标。旧规范的目标定位,基本上是处于内部控制目标层次的最低级,只包括:保证会计资料真实、完整;保护单位资产的安全、完整;确保国家有关法律法规和单位规章制度的贯彻执行。基本规范前瞻性提出企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略。本次的修订既强调了COSO全面风险管理的四大目标,又增加了对资产的安全完整的要求。这充分体现我国顺应国际内部控制和风险管理日益融合的趋势。
5.统筹构建内部控制的要素。旧规范的范围过于狭窄,主要集中于会计领域。《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。而本次修订的基本规范有机融合COSO全面风险管理的做法,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。
6.明确界定各控制主体职责。内部控制的有效执行有赖于全员参与,而只有企业内每个人均清楚地知道自己所拥有的责任和权力,才能认真履行自己的职责,提高内部控制的执行力度。新规范所界定的内部控制主体有四层:一是董事会,二是监事会,三是经理层,四是全体员工。董事会是加强企业内部控制的第一责任人;监事会负有对董事、经理执行公司职务时违反法律、法规或者公司章程的行为进行监督的权利,在监督投资者决策行为的同时切实履行监督投资者对经营者的监管职能的落实情况;经理层直接对企业的经营管理活动负责,尤其是企业总经理(首席执行官)承担重要责任;全体员工在实现内部控制中承担相应职责并发挥积极作用。
7.创新了体系。除基本规范之外,财政部还起草了17项具体规范,并将继续起草若干具体规范和应用指南;与此同时,还将研究、制定评价标准和配套实施办法,形成全方位、立体性推进内控体系建设的局面。我国的企业内控体系,将是一个层次分明、内容完整、衔接有序、整体互动的有机统一体。
8.强化了内部风险管理。旧规范只是强调通过风险预警、风险识别、风险评估、风险分析、风险报告等措施,对财务风险和经营风险进行全面防范和控制,而基本规范更强化了在目标设定环节就要考虑风险因素,这一条和COSO的风险管理是吻合的。
9.提出了切实可行的内部控制实施机制。基本规范建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。这充分体现了基本规范在实施过程中适当的引入了信息机制和声誉机制、强化检查监督机制,落实内控责任主体和严格问责和实施严厉的奖惩机制的特点。
三、企业内部控制基本规范实施的难点
企业内部控制规范在执行中还存在很多困难:
1.基本规范的要素中没有体现事项识别的重要性
事项可能会带来负面影响,也可能带来正面影响,带来正面影响往往意味着机会,而机会对于企业目标的实现是有重要作用的。基本规范只强调了风险的识别,而对于机会则没有关注。
篇8
一、企业内部控制与风险管理关系阐述
(一)企业内部控制管理本质
企业内部控制管理大体上是根据企业目前的专业管理机制以及策略,同时主要是以风险管控、风险预防、风险监督、风险评估等这几个方面为主的工作,再借由多维度多层次的管控方式进行生产以及经营中各种类型业务的规范化的管理模式。从管理视角出发,企业内部控制在定义上来说有点像是风险管理的下属子系统;但是从管理范围来看,企业内部控制管理作为企业全面风险管理的重要环节,其完全可以作为企业在进行风险管控时最重要的构成部分。企业内部控制管理的过程中是从内部环境为视角出发的,内部控制管理的机构设置有诸如企业内部审计、企业人力资源政策以及内部奖惩制度等等;而对企业的风险进行管控时,就更需要企业内部控制的管控方式进行更为科学与合理化的目标确定,严格根据企业风险评估体系,争取做到企业内部控制的最优化结果。
(二)企业风险管理的含义
任何目标在达到的过程中必然面临各种各样的风险。企业更是不必说的。企业风险管理是指企业各级管理层在完成企业战略目标的过程中,对企业所面临的各种潜在风险以及企业当下管理模式存在的各类风险进行有效管理与控制。只要是背离或是阻碍企业共同目标的因素与风险,在企业实施风险管控的时候都应该给予治理与规避,这样才能保证企业的战略目标得以实现。风险管理中风险是最主要的工作范围,而这其中信息化程度也是影响着整个风险评估与判别的重要影响环节,这也是现代企业注重信息化的原因;企业进行内部控制与检测时,在风险评估以及风险管控方面还是需要根据企业的实际需求,布置相应的内部检测,同时也要针对企业的日常内部监控,一旦在某个企业的内部控制管理出现问题,企业就可以针对该环节进行分析,分析出是政策、机制还是相关实施措施的问题并进行调整,这样可以使得企业在进行风险管控时不仅避免了风险还不断的健全风险管理制度。
二、我国企业内部控制存在的风险缺陷
(一)我国企业风险控制体系不成熟
(1)我国企业对风险全面评估不够重视。企业经营风险的诞生以及企业管理者的风险偏好这些很大程度上取决于企业是否具有完善的内部控制体系。健全的风险界定以及成熟的风险评估体系是企业内部控制体系有效发挥作用的重要前提,但是我国企业管理者并没有重视对风险管理机制的研究,这就自然形成了不成熟的风险控制体系。(2)我国企业未设置单独的风险管控部门。当下的时代是信息时代,企业所面临的风险种类大大增加,企业生产经营的风险波及程度也逐渐加深,从中可以看出设置专门的风险管控部门是十分有必要的;由于我国企业在风险管控这方面的意识薄弱,并没有设置单独的风险管控部门,甚至有些企业连最基本的风险识别与风险预警系统都没有。
(二)企业风险管控意识不够强烈
目前随着经济全球化的进程,我国同世界各国的经济联系更为紧密,越来越多的企业进军到国际这个大舞台之上,在国际市场中进行更为激烈的市场竞争,同时也有诸多企业涌向国内。在上述背景下国内企业面临的压力逐渐增大,尤其是在国内许多企业仍是缺乏风险意识,许多企业管理者所重视的风险也仅仅是在财务风险单方面,由此可见我国企业的风险管控意识薄弱的程度;我国企业普遍在乎的是公司盈利,在风险管控方面实在是无法关心,这样就极易造成我国企业在经济全球化的冲击下无法面临巨大的挑战与机遇,相反,国外因为经济的发达,许多企业早已重视这方面的问题。
(三)企业公司管理结构不够完善
企业的内部管控要想有效的运行就必须保证企业拥有着完善的治理结构,这是给企业内部管控造就最基本的实施环境。企业内部控制管理的主要实施者当然是企业的经营管理层,但是如果企业的权利设置以及制衡体系之中存在着结构性的问题,则企业的内部控制就无法有效的实施,企业治理结构中作为企业风险与内部管控的核心――董事会,该核心是要对企业的风险管理与内部控制担负主要责任的,而在我国中董事会存在着职权交错的问题,在实质上是对公司治理结构不利的,容易造成职权混乱的局面,自然企业就无法有效的运行内部控制机制以及风险管控。
三、企业基于内部控制下的风险管控策略
(一)逐步强化企业风险管控体系以及内部监督机制的建立
(1)对企业风险类别进行明确的区分,这是为了企业能采取相对应的科学的措施来进行风险管控。企业在分类风险时可以从业务活动方面与企业整个方面两个维度进行分析。通常来看,企业的整体风险主要是由内部与外部构成的,内部因素有组织、经营、财务、战略等等风险;而外部就是宏观与不可抗力因素,诸如法律政策、自然天灾、市场技术等等风险。而从业务活动层面来看主要取决于企业所处的行业环境来进行分析,企业所处的行业环境不同其所面临的风险也不尽相同。企业应根据自身特点明确自身的风险种类。(2)建立完善的内部监督机制。完善的内部监督机制自然包裹各个风险指标的检测等等,尤其是要建立风险导向的审计机制。企业的审计机制可以处于相对客观且独立的审查机构,能更加从公正的角度来对企业内部与风险管控作出评估与监督活动;充分引进相关的审计人才,这样他们才能利用自身的专业优势提升企业风险管理以及内部控制的水平。
(二)增强企业内部风险与内部管控的理念
优秀的企业管理理念才能对企业战略目标的实现有所帮助。良好的风险管理理念是企业有效实施内部控制管控的基本环境条件,同时也是企业增强风险管理意识的基础条件。增强该理念的方式是通过企业的日常经营活动中不断将该理念融入到业务活动层面,这样既能对企业战略目标的实现产生积极影响,同时也将企业的整体价值观更进一步的升华;同时企业管理者必须加强对该方面的学习,企业也可以加强之间风险管理的理念,这样才能碰撞出更精彩的理念;企业定期请相关的学者教授主持讲座,召集职工进行风险与内部管控的理念学习,这样能提升整个企业的风险与内部管控的氛围。这样企业管理者在进行风险与内部管控时能将对策更有效的实施。
(三)加强健全企业治理结构
科学的企业治理结构应当涵盖内部监督与反馈系统、谨慎的业务执行流程等等,只有企业的治理结构不会产生混落,才能为管理措施提供稳定的环境。企业要充分重视独立董事的功能,要发挥出独立董事在内部控制中心的核心监督位置;企业要增加独立董事在董事中的所占比例,要将独立董事的收入与承担的风险进行挂钩,这样才能让独立董事明白自身应该作出应该做的贡献。另外,企业经营中的特别事项应该设立专门的风险管理委员会,企业在发展过程中碰到的问题不能总是常规问题,总有部门非常规问题,这就需要这个特别的委员会对该类事件进行有效快速针对性的处理,风险管理委员会的主要目的就是预防与处理各种风险的出现。
四、结束语
本文先分析企业内部控制以及风险管理的本质,着重针对企业在企业内部控制下的风险管理过程中所遇到的问题提出了相关的策略。从中可以看出企业内部控制与风险管理之间存在紧密的联系,这两者相辅相成,缺一不可,希望我国企业能重视这两者之间的关系,希望本文能对相关人士有所启迪。
参考文献:
[1]王洪丽.企业内部控制与风险管理关联分析[J].财会通讯,2014(17).
[2]陈冬梅.基于风险管理的企业内部控制研究-以贵州茅台酒公司为例[D].河北:河北科技师范学院,2015.
篇9
在现代企业管理中,内部控制和全面风险管理都是企业在经营过程中管控风险所必需的。美国全国反虚假财务报告委员会下属发起人委员会COSO(以下简称美国COSO委员会)确定的全面风险管理体系框架中明确地把内部控制作为一个子系统放在了全面风险管理体系框架内。两者在风险的管理上各有侧重,相互结合,互相融合,有效保障了企业防范风险,稳健经营,达成目标。下面我们就从他们各自的发展历程、管理目标、管理范围、关注侧重点、所采用的管理方法和所采取的措施等多方面去分析和理解他们两者的关系。
一、企业内部控制概念及发展历程
1.内部控制概念内部控制是将一系列具有控制功能的方法、程序、措施进行系统化和规范化后,以制度和流程形式形成的一个严密和比较完整的体系。企业内部控制是以防范和有效管控风险为目的,以一系列专业管理制度为基础,通过全方位梳理、识别关键控制点,以流程形式建立过程控制体系而形成的管理规范。在我国,企业内部控制的官方定义正式出现在财政部等五部委所的《企业内部控制基本规范》中,根据该项文件的指示,内部控制主要指的是由企业管理层以及企业员工通过内部控制手段实现控制目标的过程。而美国COSO对内部控制含义的界定与上述文件中的基本一致,不同处主要在于表述上的稍有差异,即将我国“旨在实现控制目标的过程”表述成了“提供合理保证的过程”。内部控制实质上是一种管理思路。要准确理解内部控制重点要关注以下几方面:一是内部控制是以一系列管理制度、规章为基础的;二是内部控制强调的是过程控制,主要是对企业或组织实体关键风险点控制的方法、流程、措施进行了系统化的规范和固化,形成管理规范,以达到对风险的管控;三是内部控制的目标是为了提高企业或组织实体的经营效率效果,可靠准确经营财务数据的获得和遵守法律法规的合规经营;四是内部控制须遵循全面性、重要性、制衡性、适应性和成本效益五大管理原则,并按照业务导向和管理简化原则进行水平提升;五是内部控制的主要内容包括企业内部控制环境、企业风险管理、活动控制、信息的收集与分析、内部监督的内容,不同类型的企业组成部门也有所不同,但内部控制均需要企业内部组织、各部门的协调、参与才能够保证内部控制工作顺利开展。2.内部控制发展历程内部控制有它自身的发展历程。上世纪40年代,在会计界首先提出了内部牵制的概念;到1949年,美国注册会计师协会AICPA的审计程序委员会(以下简称美国AICPA)下属的内部控制专门委员会通过组织多位学者共同研究,发表了对于指导内部控制工作具有重要作用的专题报告,即《内部控制,一种协调系统诸要素及其对管理部门和独立注册会计师的重要性》,世界范围内对内部控制出现了第一次官方解释。1958年,美国AICPA了29号《审计程序公告》,该报告中将内部控制工作内容进行了分类,即分为会计控制与管理控制,初步搭建了内部控制工作的体系。还在1988年《审计准则公告》中明确提出了“内部控制结构”的概念。直到1992年美国COSO委员会才完整提出内部控制整合架构。2002年7月,由于安然事件和世通舞弊案的影响,美国国会通过萨班斯法案(Sarbanes-Oxley法案),规定了上市公司必须做好内部控制管理工作,在进行上市审查时内控体系也成为一项必要且关键的审查内容,随后世界范围内纷纷效仿这一制度规定,加强对上市公司的内控制度考查,增加信息披露的规范与要求。在我国,2008年6月财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》,该文件的成为指导我国企业开展内控工作的基本依据,被广泛推行。文件内容包括总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则共七个章节的内容。
二、企业风险管理概念及发展历程
1.全面风险管理概念企业通过经营性活动赚取经济利益,任何交易都存在不同程度、不同类型的风险,对企业实现发展目标都具有影响。我们称之为风险。当然,风险有纯粹性和机会性,它有可能给企业带来损失,也有可能为企业带来盈利等机会。纯粹风险指的是只可能带来损失的风险类型,而同时可能带来损失也可能带来收益的风险叫做机会风险。当企业经营中面临市场准入放开、鼓励产品创新、政策法律解禁、经营环境变化后,会大大增加企业经营的风险性,经营成效也随之变化和波动,企业在为降低风险而采取措施的决策过程中,对收益与成本进行权衡与匹配,风险管理工作的意义在于帮助企业预判可能存在的损失,从而进行规避,降低决策失误的可能,促进经济效益的提升。风险管理的含义为企业风控部门通过科学有效的方法进行风险的判断和预防。在对经营活动中的风险进行识别、评估、测算、计量、评价的基础上,对经营活动中可能遇到的风险实施精准、有效控制,以降低或转移风险可能引致的损失和负面影响,尽可能在最小的代价和成本基础上,实现最大成效和安全保障的过程。风险管理并不是要完全消灭风险,风险与机会同在,拒绝风险等于拒绝财富。风险管理的意义就在于如何精明承担风险,以最小可承受的风险来获取更高的收益。国务院国有资产监督管理委员会曾《中央企业全面风险管理指引》,对全面风险管理一词的含义进行了官方的解释,即全面风险管理指的是企业基于经营需要以及工作基本流程,建立科学的风险管理制度,在员工间形成良好的风险管理文化,从而在各个部门间形成完整的风险管理体系,主要内容包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,以上工作内容形成了全面完整的风险管理模板,从而为企业风险控制流程提供了制度前提。风险管理基本流程则包括风险信息的收集、分析、应对措施执行以及工作改进,另外还包括风险管理的监督和约束。美国COSO委员会2004《全面风险管理——总体框架》,对全面风险管理的含义解释为由董事会、股东会等管理层依据经营决策需要而对过程中存在的潜在风险进行识别与管理的过程,由此保证决策目标能够顺利实现。要准确把握并理解全面风险管理的概念,我们需要从以下几点去认识:一是全面风险管理是过程的管理,涉及到企业的多方面,包括了企业风险管理目标、战略的确定、风险偏好的选择、风险的收集统计、风险的评估评价、风险管理方式选择、风险管理方法执行、风险的预防方案以及如何进一步加强对风险管理工作的监督与改进,这一过程是风险转移、降低和控制风险的一系列程序,是风险与机会的选择;二是全面风险管理的工作是全员的参与;三是该定义表明风险管理并非要完全消灭风险,也不是为了减轻和降低风险而不惜一切代价,而是要尽量减轻、降低风险,使风险可以承受,精明地在所承担的风险上获取最高收益。其实企业经营中风险总是无法彻底消除,为企业经营目标实现我们所能做的也只能做出合理的保证,而不是做绝对保证。可见,现在风险管理在传统的风险管理基础上发展到今天,早已经有了天壤之别,更强调了全面的风险管理。传统风险管理关注焦点主要专注于纯粹和灾难性风险。管理手段往往比较单一,主要采用保险和风险减免的控制手段。在管理方式和目标上只是就单个风险实施管理,并不与企业的战略目标相联系。管理理念更是被动地将风险管理作为成本中心,不设专门的部门而是由多个职能部门来管理。而全面风险管理是从企业和经营组织的发展战略层面去考虑,全面集中管控企业和经营组织中所有可能面临的风险因素和类别,既包括战略风险、法律风险、声誉风险,也同时涵盖交易风险、财务风险、执行风险等内容,配备有独立的风险控制工作体系,设有专门的委员会或首席风险官、风险管理专门部门来管理,从理念上已经积极主动将风险管理作为创造价值的中心。在管理目标上全面风险管理更是紧密结合企业和经营组织发展战略,依据风险偏好寻求风险优化,同时运用现代金融保险功能和内部控制等多种方法、手段,以达到企业和经营组织经营目标效益的最大化,实现所有利益方的共赢。另外,我们也可从英文“Risk,风险”单词上来探讨风险管理概念的两种解读,也颇有意思。第一种理解:R:代表收益(Return)、I:代表免疫力(Immunization)、S:代表风险管理系统(System)、K:代表风险管理技术和知识(Knowledge),即通过培养专业人才,运用管理系统,形成风险管控体系,加强管理,提高免疫力,实现风险与收益的平衡。第二种理解:R:代表监管(Regulation)、I:代表信息(Information)、S:代表风险管理系统(System)、K:代表关键风险点(Keypoints),即通过对信息、数据的挖掘和分析,找出关键风险点,运用管理系统进行管理,并且注意要加强运营过程中的监管和约束。综上所述,目前想要进一步完善全面风险管理工作,其核心就体现在全面性上,在于管理的全员参与和管理全部业务、全业务过程和全风险类别,以及在风险应对上更加系统化和多样化。因此,全面风险管理,可理解为是指经营单位和组织的董事会、经营管理层及全体员工共同参与,对经营活动中可能面临的各类风险进行准确识别、审慎评估、动态监控、及时应对的全程管理。2.全面风险管理发展历程风险管理起源于美国。虽然人类认识风险的历史几乎与人类的文明一样久远,但人们对风险进行管理的认识和运用并不久远。直到1930年在美国管理协会发起的一项保险问题会议上,美国宾夕法尼亚大学的所罗门·许布纳博士在此背景下提出了风险管理的概念和构成要素。美国宾夕法尼亚大学沃顿商学院的施耐德教授于1955年进一步对风险管理的含义进行了深刻阐述,及1956年《哈佛商业评论》上风险管理文章的出现,这篇名为《风险管理——成本控制的新名词》的文章,至此风险管理真正开始切入企业的管理,进入人们的视线。澳大利亚和新西兰于1995年共同制定了世界范围内第一个国家风险管理标准AS/NZS4360,该标准明确定义了风险管理的标准程序。随着人们对风险管理认识的不断深化、风险计量技术的不断进步,伴随各种风险的发生、反思与应对,2004年以美国COSO委员会《全面风险管理——整合框架》为起点标志,全面风险管理标准体系第一次正式建立,并被广泛采用,风险管理真正意义上正式步入到了全面风险管理阶段,并逐步完善与发展。特别是2008年世界金融危机的发生和带来的深远影响,以及巴塞尔协议的全面实施,全面风险管理首先在金融企业界全面推行,而后逐步延伸到其他工商企业,全面风险管理才更加深入人心并得以逐步深入。2006年国务院国有资产监督管理委员会了我国第一个全面风险管理指导性文件,即《中央企业全面风险管理指引》,这意味着我国自此拥有了指导企业开展全面风险管理工作的标志性规范,推动企业风控制度进入新的阶段,对于企业的现代化发展有着重要意义。
三、企业内部控制和全面风险管理的关系分析
当前理论界对于内部控制的范畴界定具有争议,例如部分学者认为内部控制包含了全面风险管理,一部分学者认为两者并不包含合并关系。也有人反过来认为,全面风险管理包含了内部控制。美国COSO委员会则认为两者联系紧密并正在融合。在我国,从相关部委对两者的重视态度上看,国资委更强调全面风险管理,财政部更强调内部控制。但我们在企业内部控制和全面风险管理的具体运用实践中,深切感受和认识到内部控制确实在全面风险管理过程中是完全必不可少的,是全面风险管理必要的组成部分及必须运用的管理手段和环节,所发挥的作用也是非常关键的。从二者管理目标和所依托的管理体系和相关制度、流程来讲,可以说全面风险管理是涵盖了内部控制的。而从目前国内外现代企业管理发展趋势和内部控制与全面风险管理自身完善发展中,看到二者也已交织和融合在一起,统一到了企业的全面风险管理体系中。1.内部控制和全面风险管理都因企业在经营发展中面临着各种风险的挑战和威胁而产生,他们有着一样存在的基础内部控制和全面风险管理产生都基于企业在经营过程中面临着诸多风险存在的客观性。内部控制的发展历程相较于全面风险管理而言更早,但是内部控制的理论和实务经验对于后续全面管理控制工作的开展具有重要的参考意义,全面风险管理可以认为是内部控制发展的升华版本。两者在企业的运用实施过程中,它们都会强调全员参与性,是由“企业董事会、管理层以及其他人员共同参与实施的”。另外,各职能和业务部门及各人员在内部控制或风险管理中都有相应明确的角色定位与职责分工,他们相互分工协作,相互独立牵制。2.内部控制的方案和流程在全面风险管理过程中具有重要意义,是全面风险取得有效成果的前提条件,只有采取科学合理的控制手段和方法才能控制到位内部控制工作顺利开展的前提是企业各部门对风险管理工作具备充分的积极性,并且把握流程中可能出现的各种风险类型,判断方案是否准确、执行手段是否落地,才能加强对经营风险的防控。完善的内控系统是必须和必要的。同时,我们还应看到,内部控制是很有效的风险管理方法,在全面风险管理的方方面面被广泛运用。此外,在企业管理实践中,为应对合规风险,满足国内外法律法规和监管要求,也需要构建有效的内控系统。因此,建设完善的内部控制体系,使之体系健全、统一、规范,是企业全面风险管理体系建立中所必要的组成部分。3.内部控制与全面风险管理从企业管控风险的根本性质和作用看,他们都归于和服务于企业对经营过程中风险的管理良好的内部控制和科学的全面风险管理,都对单位经营活动的效率和成效、资产安全、经营信息及时准确具有保障作用。在现代企业管理中,两者的结合运用,将更有助于帮助管理者实现经营目标和方针,保护企业经营资产安全、完整,防止资产流失,提高管理科学规范水平,更好满足现代企业管理的迫切需要。4.从内部控制与全面风险管理的管理范围、目标、关注焦点去分析,全面风险管理比内部控制更广泛、更全面首先,在管理范围上,内部控制是企业依靠和运用系统化的规范、规章、制度、形成采取的风险管理流程规范,以遏制与防范对经营目标实现中的不利风险和负面影响,保障和促进经营目标的实现。而全面风险管理则扩展到企业发展战略层来考虑风险的特征、偏好和管控,依照经营环境的可能变化,在事前制定经营目标时就注重和进行各种风险的分析、识别、存在可能,并运用专门的工具、方法、手段等,按照风险可测、可控和有效应对要求管控各种风险危机事件,明显包含了战略目标范畴。其次,内部控制的实施目标与全面风险管理有所不同。全面风险管理更注重的是风控体系的全面搭建,而内部控制目标主要包括经营管理的合法合规性控制,以及财务与信息披露的安全,并且保证所有财务报表的真实性与安全性。并通过过程控制来实现目标。内部控制强调在企业内部的控制,使内部人员职权清晰、相互牵制,以达到控制风险、抵御风险的能力;关注焦点主要专注于公司经营所有业务流程其过程控制措施的有效性。而全面风险管理则更加全面,其目标除内控的相关目标外,还要在如何及时地发现和识别风险,以及对发生风险的有效应对上下功夫,以有效防止和降低或者转移风险可能给企业经营带来损失和造成负面影响,保证所有风险的可测、可控、可承受。全面风险管理所关注焦点已包含企业战略、市场、信用、合规、财务、现金流、声誉风险等所有经营风险。5.从内部控制与全面风险管理所运用的管理方式和应对风险所采取的策略上看,内部控制已完全融合在全面风险管理中,全面风险管理已涵盖了内部控制内部控制所负责和做的相关工作、活动、内容,在全面风险管理的过程中及风险管理后的相关活动中都已包含,如对风险进行的分析评估和由此而实施的控制措施、信息反馈与沟通、监督纠错等工作。而全面风险管理则贯穿于整个管理过程。全面风险管理的工作、活动、内容、步骤比内部控制做的明显要全面、宽泛和复杂得多。当前全面风险管理的工作内容涉及企业经营管理的各个阶段,包括企业经营目标的构建与完善,以及经营策略的制定,风险管理文化的创建以及整体员工风险防范意识的提升,还包括风险管理模型、风险处置、风险报告程序等组成部分。在对风险所采取的应对策略上,内部控制主要通过业务流程控制和嵌入各项规章制度约束来应对。而风险管理的工作内容则不仅包括了风险信息收集与分析、风险判断、风险对策等内容,还包括风险偏好、风险计量、风险容忍度、风险指标体系、压力测试、情景分析等工作体系,所涉及的内容与方法十分广泛。有鉴于此,全面风险管理的架构体系的建立能够更加全面地帮助企业进行风险防范,并且对各方面的影响因素进行分析,从而帮助企业拓展业务范围,规避风险,降低工作成本,更好地提高经济效益,实现经营目标。两者在各有侧重、优势的深度融合中,最终保障企业的稳健经营,促成企业董事会和高级管理层经营目标的实现。
参考文献:
[1]李晓慧,何玉润,编著.内部控制与风险管理理论、实务、案例.中国人民大学出版社,2016:1-10.
[2]刘守伟.对企业全面风险管理的认识.铁路采购与物流,2010(8):21-22.
篇10
(一)企业内部控制含义 企业内部控制主要是依存企业现有的专业管理制度和策略,以风险管控、风险预防、风险监管等方面的工作为主要工作目的,借助全方位多层次的管控方式,按照描述关键控制点方式、过程监控体系方式、流程监管方式等来从直观和间接的角度对生产和经营过程中的各类业务所进行的规范式管理模式。从管理角度来看,企业内部控制主要在定义上隶属于风险管理的子系统,从管理范畴来看,作为全面风险管理的重要阶段之一,企业内部管控也可以作为企业风险管理在整体实施时的重要组成部分。在企业内部控制过程中,主要需要从内部环境即企业内部管控的机构设置、企业内部审计、企业文化、企业人力资源政策以及企业的社会责任和企业的治理结构等方面来进行分层管理和专业化的管控。相对企业风险评估来说,企业的内部管控方式更需要进行目标的合理化确定,按照企业的风险评估流程和结果,针对企业在风险评估过程中所出现的各类风险以及企业在风险监管时得出的结论,企业在内部控制时可以更加明晰自身的管控承受范围和找到相应的管控措施。
(二)企业风险管理内涵 企业风险管理主要是由企业的董事局、企业的管理层以及企业内部其他具有此权限的人员在共同确定统一的目标时,按照战略制定的要求以及围绕该要求而产生的从各个层面来进行运作的活动,此类活动存在的意义在于识别各类具有潜在风险或者就企业目前的管理过程来分析而存在的各类风险,所进行评估,任何违背或者阻碍企业共同目标的因素或者风险,在企业进行风险管理的过程中均予以规避或治理,以保障企业的整体目标得以顺利进行。
在企业进行管控的过程中,风险作为其工作的主要范围,信息的沟通及时化是企业进行风险评估和判断的重要因素,这也是企业在内部控制时从信息化角度来完成企业的内部信息疏导、企业各方面信息的有效传递、企业信息流通的及时性和稳定性等方面工作的主要原因之一,在企业进行内部管理和监控时,对于风险评估和风险管控本身的行为来说,同样也需要按照企业的实际需要,进行相应的内部监督,包括日常内部监督和具有专业性的专项检查,一旦发现企业的内部控制缺陷包括政策、措施等方面以及针对风险进行评估时出现的各类人为和非人为的可以进一步诱导企业内部控制中风险性质变化或者量变等问题发生的直接因素,均可以在核查的同时加以改进。
二、从内部架构角度看企业内部控制与风险管理
(一)企业内部控制与风险产生之间关系的介质 企业风险产生主要原因就是在于企业发展 “目标”的存在性,目标是公司取得长驱发展的主要动力,同样目标的存在也同样引发了各种风险的出现见(图2)。目标作为风险产生的主要原因有:首先,目标作为风险的出现的主要原因来自于人的主观能动性与客观活动之间的差别,在客观的活动过程中,当人的主观能动性与客观环境之间的差异化成为不确定因素时,风险就会同时出现。其次,因为目标需要建立在一个较高层次的基础之上,在当前企业发展高度结构化的模式下,任何一类子目标的发展都需要下一个阶层子目标的支撑,因此这些子目标之间需要以重叠性和排斥性进行系统化排列,尤其是在不同的目标之间更需要进一步的相互补充,由此,一旦层叠性逐渐出现任何关联间隙,就会导致风险因素的出现。最后由于在企业的内部和外部的管理中存在着诸多的目标,因此在不同的目标进行次第互补时,就必然出现衔接方面的安全隐患,如果各个目标之间的衔接性存在问题,或者衔接的联系性不够完整,就极易造成衔接之间的空白期,这些空白期自然会造成风险性的出现。
(二)企业内部控制与风险管理的专业化促进 目标产生的主要原因在于企业的发展需要,企业内部控制与风险产生之间产生关系的介质更在于对目标的实现。强化企业的内部管理活动,将企业的多样化发展目标统一到同一个发展层面上来,企业发展过程中的各项风险维度则会相应的维持在一个企业可以管理和可以控制的范围内。这也是企业在内部管理和内部控制时,出现各类风险的主要原因。
此外,从企业管理的角度来看,企业的风险控制和企业的风险管理,需要在专业化角度进行细化,以审计为例比如当同一个或者不同账号出现账户交易时,一旦账户交易中存在着内部或者外部因素而导致的漏报和错报问题时,内部管控和内部管理就自然会在出现相应的专业管理需要的同时出现专业管理的风险,以审计为例(见图3),审计的过程中所出现的漏报、错报等问题时,对于此类问题的纠正或者对此类问题的管理过程中,对于出现的问题或者存在的风险隐患,就自然应该划归到相应的管理层面来进行分析,如因为财务报表的疏漏而导致风险的产生就需要划归到财务方面来解决,因为企业的管理失衡所出现的风险问题或者由于各项制度的不完整性而存在的问题,需要按照不同问题出现的源头进行分门别类的风险评估及措施应对。但是无论基于哪种,从企业发展的角度来看,都会引发企业风险的出现,并需要通过内部控制而耗费企业运营成本。
篇11
随着我国经济全球化、市场化的不断深入,企业面临的不确定因素愈来愈多,很多企业把注意力引向了全面风险控制与内部控制机制方面的设立,但只有少部分内部治理结构健全的企业设立了有效的风险监控职能,大部分企业仍存在较为严重的风险管控缺陷的问题。如何建立、完善企业内控制度已成为众多企业亟待解决的治理问题。
一、企业内部控制发展
内部控制是组织运营和管理活动发展到一定阶段的产物,是科学管理的必然要求。它是在内部牵制的基础上,由企业管理人员在经营管理实践中创造并由审计人员理论总结而逐步完善的自我监督和自行调整体系。内部控制从内部控制理论与实践的发展大体上经历了内部牵制、内部控制系统、内部控制结构、内部控制整合框架和全面风险管理等五个不同的阶段。
1、内部牵制阶段。内部牵制阶段指的是20世纪以前内部控制的基本思想和初级形式。内部牵制以查错防弊,保护的财产安全为目的,针对控制对象以职务分离、账目核对等方法发挥分权牵制、实物牵制、机械牵制和簿记牵制的职能。
2、内部控制系统阶段。这一阶段从时间上看大致为20世纪40年代至80年代。在注册会计师行业的推动下,内部控制由早期的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制系统,完成了实践塑造和理论完善的两大使命,适应了这一时期资本主义经济快速发展、所有权与经营权进一步分离的特点。
3、内部控制结构阶段。20 世纪80年代至90年代初,内部控制的发展进入内部控制结构阶段。在这一阶段,控制环境作为一项生根内容被纳入内部控制结构之中。控制环境反映组织的各个利益关系主体对内部控制的态度、看法和行为;是对建立、加强或削弱特定政策和程序效率发生影响的各种因素。具体包括: 管理者的思想和经营作风;企业组织结构;审计委员会发挥的职能;确定职权和责任的方法;管理者监控和检查工作时所用的控制方法;人事工作方针及其执行、影响本企业业务的各种外部关系。
4、内部控制整合框架阶段。1992 年9 月, 美国反虚假财务报告委员会的主办组织委员会( COSO) 在的报告《内部控制: 整合框架》 中提出了内部控制的三项目标和五大要素, 标志着内部控制进入一个新的发展阶段。其目标包括合理地确保经营的效率和有效性、财务报告的可靠性、对适用法规的遵循。内部控制要素包括: 控制环境、 风险评估、控制活动、信息与沟通和监控。
5、全面风险管理阶段。这一阶段的标志是2003年7月美国COSO颁布的企业风险管理框架的讨论稿。企业风险管理是受企业董事会、管理层和其他员工影响的,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,为企业目标的达成而提供合理保证的过程。
二、企业全面风险管理发展
企业风险管理框架是在内部控制与企业的风险管理相结合的基础上,结合《萨班斯一奥克斯法案》在报告方面的要求研究得到的。风险管理框架是建立在内部控制框架的基础上,内部控制是企业风险管理必不可少的一部分,但风险管理框架的范围比内部控制框架的范围更为广泛,是对内部控制框架的扩展,是一个主要针对风险的更为明确的概念。
相对于企业内部控制制度,企业全面风险管理框架的创新在于:在目标上:提出来企业战略管理目标,为风险管理应贯穿战略目标的制定、分解和执行过程,为战略目标的实现提供合理保证; 在内容上控制要素构成为内部环境、目标制定、事项识别、风险评估、风险反映、控制活动、信息和沟通、监控;在概念上提出来风险偏好和风险容忍度。
三、 全面风险管理与内部控制的关系
1、 全面风险管理与内部控制的区别
(1)管理范围不同。
全面风险管理的管理范围要大于内部控制。内部控制是一种管理职能,主要作用于事中与事后的控制,而全面风险管理则是贯穿于整个过程的各个环节,尤其是在事前就有了一定的预见性的风险考虑。
(2)具体业务流程不同。
全面风险管理涉及制定风险管理目标和战略、选择风险评估方法、聘用管理人员以及报告程序等环节,而内部控制不涉及到企业经营目标的设立,只是对目标制定的过程进行控制。负责如对报告的评估、对信息交流的监督、对错误的纠正等等。
(3)风险管理不同。
全面风险管理框架引入了风险偏好、风险预警、风险对策等方法概念,因此,在风险度量的基础上,该框架可促使企业发展战略向风险偏好靠拢。根据投入、风险、回报之间的联系,合理进行资本分配。这些功能都是内部控制框架能力范围之外的。
2、联系
通过了解内部控制的五大发展阶段可知,随着企业管理者的治理理念的改变,全面风险管理在内部控制的基础上发展和完善。内部控制作为企业的重要的组织制度,为实现企业的管理目标而提供了保障。有效的内部控制保证企业营运有效、财务可靠,使企业风险值降到最小,保证企业的可持续发展。
篇12
一、引言
伴随着经济的不断飞速发展,近年来,上市公司由于内部控制的漏洞及执行不力,导致企业产生经营风险,造成经营管理出现问题,遭受严重经济损失甚至破产的事件屡屡频发。为此,2006年国资委出台了《中央企业全面风险管理指引》,同年,上交所和深交所分别颁布了《上市公司内部控制制度指引》,意味着国家对企业的风险管理的重视程度提到了新的高度,从原来的局部风险管理扩充到了全面风险管理,并为内部控制制度的建立健全搭建了基本框架。2008年6月,为了进一步加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,由五部委(财政部、审计署、证监会、银监会、保监会)联合了我国首部《企业内部控制基本规范》。历时两年的实践后,2010年4月五部委又联合了《企业内部控制配套指引》。这部被业内称为中国版的“萨班斯—奥克斯利法案”的规范及其指引的,标志着结合我国企业实际情况,融合国际先进理念及经验的中国企业内部控制规范体系基本建成。
二、内部控制与风险管理的基本分析
(一)风险管理的概念
企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。国资委在《指引》中关于全面风险管理的定义是:指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
(二)内部控制的概念
五部委在《基本规范》中对内部控制的定义是:由企业董事会、监事会、经理层、和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内部控制系统,指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。
(三)内部控制与风险管理的关系
1.内部控制与风险管理的联系
风险管理涵盖了内部控制,全面风险管理贯穿于企业管理的全过程,内部控制是实现风险管理的手段之一,它包含在全面风险管理的架构中,是风险管理的一个子系统。内部控制是实施风险管理的必要环节,内部控制系统的制定来源于对企业风险的识别及管理,企业在运营过程中面临的种种风险,内部控制系统是必要的、有效的管理方法。因此,两者在企业管理中是紧密相连的。
2.内部控制与风险管理的区别
两者的范畴不一致,内部控制是一种管理职能,通过过程控制及事后纠错改进来实现目的,风险管理则更多是事前对既定目标的风险进行防范,贯穿于企业管理的方方面面,范围及深度比内部控制更宽、更广。两者对风险防治手段不同,内部控制与风险管理的目的,均是为防范企业风险,提高管理水平。但风险管理中引入了风险偏好、风险容忍度、风险对策、风险分析等方法,这些内容在内部控制中是不涉及的。
随着内部控制在风险管理中的不断实践与发展,两者将会逐渐的朝着相互融合,相互交叉的趋势发展,已经成为公司治理中的必不可少的重要组成部分。
三、现行企业在内部控制方面存在的问题
纵观国内近几年因内部控制不力导致企业出现经营风险的企业,大多是在思想上对风险管理懈怠的,在行动上是应对风险的内部控制措施不到位或执行不力造成的。
如澳柯玛资金危机事件。2004年4月14日,G澳柯玛(600336)重大事项公告,公司接到青岛市国资委《关于澳柯玛集团公司占用上市公司资金处置事项的决定》,青岛市政府将采取措施化解澳柯玛集团面临的困难,澳柯玛危机事件浮出水面。澳柯玛集团为实现企业的迅速扩张,利用其大股东的优势,挪用上市子公司(澳柯玛股份有限公司)19.47亿元的资金,进行了多元化非关联性投资,投资领域包括家用电器,海洋生物、房地产、金融投资等,由于投资失误,导致资金链断裂、背负巨额债务,形成多元化困局,由于引发了澳柯玛资金危机事件的爆发。
再如*ST大地公司涉诉事件,绿大地公司因其委托的中准会计师事务所对其2010年度财务报告出具无法表示意见的审计报告,按深交所的相关规定,公司股票交易于2011年5月4日开市起实施退市风险警示(*ST),证监会对其进行调查。2011年8月17日公司又因涉嫌欺诈发行股票罪、违规披露重要信息罪、伪造金融票证罪、故意销毁会计凭证罪,被检查机关提起公诉,由此,公司涉诉事件正式公开化。
还有如华源集团的信用危机事件、中航油的金融衍生工具投机事件,均与内部控制失效密切相关,经过对以上事件的认真分析,可以看出现行企业在内部控制方面存在的问题:
