内控主要管控风险点篇1
关键词:企业全面风险管理内部控制体系
一、全面风险管理和内部控制概念
(一)全面风险管理的概念
全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。
(二)内部控制的概念
内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。
(二)管控范围相互包含
从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。
(三)管控视角侧重不同
从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。
(四)管控目的存在差异
从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。
综上所述,能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素,进行准确全面的度量和评估,建立初始信息框架,是全面风险管理工作流程起始点,因此,要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上,提出各种应对措施及方法,内部控制措施其必要性与风险系数呈正相关的关系,并依据风险内容制定控制机制与实施,企业在生产运营管理中,通过使用具体的内部控制措施的有效工具,对各类风险进行控制、评估,从而监控管理潜在的各类风险爆发隐患。
三、企业内部控制体系实施
随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。
建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SoX内控体系到全面风险管理内控体系演进的过程。
(一)基于财务报告相关基础的SoX内控体系
初步建立以《萨班斯》财务报告为基础的一套内控体系,主要关注内控组织和制度的建设,完成体系的搭建,内外部审计中,均顺利过关,遵循工作总体有效,主要建设效果如下。
1.搭建内部控制体系组织架构和体系
内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。
按照内部控制建设目标和原则,通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设,完善了基本的内部控制设计,业务流程范围覆盖了企业所有业务部门,形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点,形成内部控制手册和矩阵。
2.梳理规范业务操作
梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。
3.提升风险管理意识
通过结合基于财务报告相关的内控建设初步的风险管理体系,深化了内控的管理细度,实现了将与财务报告相关的内控要求融入日常工作,与业务运营融合,提升了业务执行效率与效果,增强了风险管理意识。
4.内部控制落实
企业通过部门层面内控常态化管理项目的实施,将公司层面的控制落实到部门层面,控制的执行更加明确,转换部门角色,把部门由受控主体转变为控制的主体,形成部门内控闭环管理体系,实现部门内部控制的建立、执行、测试及跟进闭环管理,将控制真正融入到日常工作之中,避免内控管理与生产管理“两张皮”。同时,建立并完善内部信息沟通渠道即内控月报制度,内控月报涵盖了各部门日常工作中涉及的相关内控工作,实现与公司内控职能管理部门财务部的有效沟通。
5.加强内控执行监督
为加强对内控业务执行的监督力度与执行效果,设置考核体系和评价体系,企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式,以加强业务部门对内控管理工作的重视程度;在日常监督检查方面,采取了部门层面内控闭环管理体系,通过明确各部门内控自测要求,促进业务部门开展自测,并与内外部审计等检查实行有效衔接,主动发现风险,从而达到关注重点、聚焦实质的目标,将内控风险管理工作和业务管理工作有机的结合在一起。
(二)以风险为导向、面向业务运营的全面内控体系
开展企业层面的风险评估,编制全面风险评估报告,全面优化SoX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。
1.搭建业务框架
内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。
2.增设关键控制,注重前后评估
一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。
根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。
3.合并同质控制
通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。
4.梳理标准规范
考虑系统维护量增加,效率降低,以及未来的可扩展性,兼顾控制基线要求,适当强化部分控制,为不断增多的系统提供统一、标准的控制规范,统一了各信息系统的整体控制要求。此外,通过梳理与财务报告相关性系统,考虑其是否产生计费话单或生成财务数据,是否传输或存储财务数据,对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴,而是纳入日常管理流程。
5.实施内控系统固化
伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。
(三)以全面风险管理为视角的内控体系
遵循CoSoii框架的全面风险管控体系,组织开展重大风险管控项目试点,促进风险管理工作与业务的深度融合,主要关注风险评估和风险应对,实现向全面风险管理过渡,不断完善其风险体系和内控体系建设,构建与以全面风险管理视角的内控体系,其主要建设效果如下。
1.深化风险文化
作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。
2.构建风险体系
企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。
全面风险管理工作从上述六类风险角度出发,营造企业自身文化;梳理公司各业务和内外部环节存在的风险,健全风险防范制度,构建风险防范体系。通过与利益相关方的沟通,提升公司形象,加强公司的廉政建设。
首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。
其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。
再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。
最后,加强利益相关方沟通管理和需求回应,全面提升社会形象。
企业通过上述措施制订执行全面风险管理工作计划,明确责任,评估各项风险发生的可能性和发生后对公司的影响程度,并对风险的重要性程度排序,确定公司面临的各种风险,细化落实相关计划与措施,定期开展回顾总结,监督执行情况、提出改进建议,完善风险管理的闭环管理机制,将风险管理的工作要求与业务运营管理相融合,切实做好日常的风险管理控制。
3.提升管理水平
通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。
4.关注重点风险,内控业务对标
随着企业管理日益精细化,相关内控要求与业务制度也在持续优化更新。在生产经营过程中,运用正向、逆向思维,梳理内部控制制度和业务管理制度,内控制度设计覆盖业务管理全过程,关注重点高风险和舞弊领域,业务制度是内控制度执行依据,内控制度是将业务制度中与内控相关条款归纳、整合。基于此,从内控合规角度出发,查找设计不合规或两者不一致的内容,进而完善内控要求与业务制度,实现全部内控业务流程对标,并将此项工作纳入内控常态化管理工作范围,不断完善内控体系。
上述内控体系特点为,建立企业统一的、标准化的内控手册和矩阵;控制点要求落实到具体部门和责任人,确保有效落地执行;内控管理执行部门和风险管理监督部门各司其职,相互制衡;全面覆盖涉及企业所有业务单元,涵盖生产、市场和管理等各业务线条;采用风险评估的方法,以风险为导向,关注关键环节风险管控;将内控与业务活动的紧密融合,避免“两张皮”;利用信息化手段固化内控要求,充分发挥信息系统优势。
四、未来全面风险管理内控体系的实施建议
(一)将企业风控管理和战略管理结合在一起
战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。
为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。
(二)全员参与自主风控
全面风险管理是长期性工作,涉及企业生产和管理整个过程,需要全员上下共同参与实施,也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求,评估企业关键性业务的状态,避免业务执行和风控执行信息不对称;实行自主动态风控管理,使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求,从而不断提升全员风险管控意识,做好重大风险自主评估;增强内控与业务融合度,确保关键业务自主内控合规;深化内控管理信息化的建设,实现内控要求系统自动控制;推动审计发现问题整改复查,发挥审计检察闭环监督价值。
(三)强化风险监控预警,有效完善内控体系
企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。
五、结束语
内控主要管控风险点篇2
关键词:内部控制风险管理关系
随着经济的不断发展,公司制企业犹如雨后春笋般涌现在市场上,因而市场竞争也越来越激烈,这就导致了公司的经营和财务风险不断增加,致使企业面临倒闭的危险。企业要想快速健康的发展就必须进行有效的风险防范,规避风险的有效措施就是进行内部控制与风险管理。如果企业内部控制与风险管理所解决的问题不一致就会增加企业控制的成本,如果两者所解决的问题是一致的就没有必要制定两种控制规范。由此看来研究企业内部控制与风险管理之间的关系对于建立有效的企业控制体系和完善现代企业制度有着深刻的意义。本文主要从以下几个方面阐述企业内部控制与风险管理之间的关系,并提出了自己的见解。
一、企业内部控制与风险管理的关系分析
(一)风险管理包含内部控制
企业内部控制是目前企业内部进行风险管理的一项重要方法,企业进行风险管理的主要目的是有效减少企业经营不善所带来的损失,有效规避企业的各项风险从而保证企业又快又好的发展。风险管理主要由八项要素组成:内部环境、事件识别、目标设定、风险评估、风险对策、控制活动、信息与沟通以及监督。而内部控制主要由五项要素组成:控制环境、风险评估、控制活动、信息与沟通、监督。由此可以看出内部控制包含在风险管理之中。企业进行风险管理能有效的预测风险、发现风险,从而降低风险所带来的影响。内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序,主要是通过目标制定过程和事后的控制来实现其自身的目标,不必设立企业的具体经营目标,只需评价目标的制定过程,是企业进行风险管理的一项重要职能。与此同时,内部控制以企业风险为主要制定依据,在某些情况下甚至完全依靠企业风险来制定。所以,企业内部控制对于风险管理发挥有着重要作用,应该被企业管理者看作是企业风险管理的一个重要组成方面。当然企业内部控制更是企业风险管理的基石,作为风险管理的一部分,如果企业缺少内部控制就不能进行有效的风险管理,从而导致企业不能健康稳步的发展。
(二)内部控制等同于风险管理
内部控制与风险管理之间还存在着一种观点,即内部控制就是风险管理。企业内部控制所使用的风险控制方式包含了风险控制的目的,如果企业内部控制没有指定其实施的目标那么其实现方式与手段也就显得毫无意义。企业进行风险管理需要必要的风险控制的方式和手段,如果缺少必要的控制方式与手段,其风险管理的目的也无法实现。由此看来,企业内部控制与风险管理的目的是一致的,理论上其风险控制系统没有差异,内部控制是风险管理外延的扩展,其在发展的过程中逐渐变为同一事物。企业内部控制是在财产不安全和信息不真实的基础上所产生的,企业风险的产生大多是企业进行决策的失误,内部控制从自身而言,就是风险控制,进而控制风险以求达到企业风险的管理的目的。
(三)企业内部控制与风险管理互为前提
企业进行风险管理的目的不仅仅是规避风险,而是要事先预测企业承受风险的能力,企业只有将风险控制在所能承受的范围内才能保证企业的良好发展。从逻辑的角度来推理,企业的风险是来源于对未来收益的不确定性,因而企业进行有效的经营管理就是有效的对风险进行控制,企业风险控制就是企业风险管理。企业进行风险管理的目的就是实现企业利益的最大化,使收益达成企业的目标。从一定程度上讲,只有把企业风险降到最低才能实现企业利益的最大化。但是进行任何风险控制都会产生成本,这就导致了企业经营成本的增加,需要企业管理者在风险控制成本与风险控制效益之间做出权衡,尽可能的减少企业经营的成本。总之,企业的设立始终与风险相伴,而风险是否发生则与企业的决策有着重大关系,从这个意义出发,企业内部控制与风险管理互为前提,都属于企业管理的范畴,两者的目的都是为了进行有效的风险控制从而实现企业利益的最大化。
二、企业内部控制与风险管理的关系是异是同
对于企业控制与风险管理,对二者的关系有各种不同的看法,一般都认为二者是密不可分的,互相联系的。笔者也认为,尽管二者在字面意思上存在差异,但企业内部控制与风险管理是相辅相成的,缺一不可,就其实质而言是相同的。从历史的演变来看,两者具有同一性。无论是企业内部控制还是风险管理,其实际要达到的目的,也都是有效避免企业在经营过程中所存在的风险,例如,企业性质由自然人企业向公司制企业过渡,其风险控制也由内部控制发展为风险管理。此外,CoSo内部控制标准的名称为“企业风险管理框架”,也将内部控制与风险管理紧密的结合在一起。实践证明,企业的风险是不能完全消除的,只能使用一些有效的管理措施进行防范,而且,企业必须具备承担一定风险的能力,不然在竞争激烈的市场中无法生存下去。
三、结束语
企业内部控制与风险管理的关系是紧密相连的,它们之间的关系存在着以下三种观点:第一种观点是风险管理包含内部控制,第二种观点是等同关系,第三种观点是互为前提关系。既然两者的关系如此密切甚至完全等同,这就要求企业管理者充分认识到这两者的作用,以内部控制为方法构成一个企业风险管理的有机整体,从而实现企业利益的最大化。
参考文献:
[1]谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究,2007
[2]丁友刚,胡兴国.内部控制、风险控制与风险管理――基于组织目标的概念解说与思想演进[J].会计研究,2007
内控主要管控风险点篇3
一、内部控制体系设计的基本问题
现代企业风险控制的特点是全员参与风险控制,董事会、管理层、内部控制、财务、工程建设、物资采购等部门以及企业中每一位员工均对有效的风险控制负有责任。上述部门与所有员工共同构成了企业内部控制体系,内部控制体系主要就是解决上述主体之间在风险防范问题上的权责分配问题。
具体而言,内部控制体系的设计主要解决以下两方面的问题:(1)相关主体在风险控制中的地位与作用的确定,主要解决董事会、各层次经理、内部控制部门及其他员工在风险管理过程中权责的划分问题;(2)各主体之间的关系,其中,内部控制体系的建立,是需要着重考虑的问题。对于第一个问题,CoSo委员会《内部控制整合框架》已经进行了较为成熟的研究,因此,本文将针对第二个问题进行初步探讨。
二、国外企业内部控制体系概述
在全球范围内,构建系统的内部控制体系已经成为一种趋势,大量跨国企业在这方面已经取得了一定成就。具体来说,国外企业内部控制体系的构建有以下三个要点:
(一)根据企业自身实际选择适当的控制体系
在不同企业乃至同一企业不同分子公司之间,因为行业性质、发展阶段等因素的影响,企业风险内部控制体系各不相同。如金融类企业大多以资金管理为核心构建内部控制体系,重点对票据、对账单、存贷款进行审核与管理;而房地产类企业或在建扩建的企业大多以工程项目为核心构建内部控制体系,重点对项目决策、概预算编制、竣工决算等进行严格控制。各类企业应根据自身的规模、业务特点、风险领域等选择适当的内部控制体系(包括架构的长度和宽度)。
(二)建立规范的报告线
科学的内部控制体系最为显著的一个特征便是具有清晰、明确的报告线,各个部门、员工都应当明确自身在风险控制当中的职责以及自身的汇报对象。如此一来,各部门、员工便可以较为从容地应对各类突发状况,有条不紊地进行风险控制。
(三)风险控制部门必须能够与业务部门保持良好的沟通
在控制体系的设计上,应将风险控制融入到企业的每一项具体业务活动当中。各类公司的内部控制体系尽管有所差异,但都强调风险控制与日常生产经营相结合,根据企业经营活动中所面临的风险特点科学地构建、调整控制体系。
三、对我国内部控制体系中几个问题的思考
随着企业环境不确定性的日益提高,投资者、监管机构对企业风险控制的要求日渐提高,我国企业也越来越关注风险控制问题,并开始在企业内部设置独立的部门或专门的人员来负责风险控制工作。国务院国有资产监督管理委员会于2006年6月6日的《中央企业全面风险管理指引》第42条明确规定:“企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责”。不少企业对此尚存有一些错误认识或疑虑。以下,笔者将结合其他企业风险控制体系的相关理论和实践,就我国企业内部控制体系构建的几个具体问题加以初步探讨。
(一)我国内部控制体系构建的几个具体问题
1、独立风险控制机构的设置
目前,西方许多金融控股公司、跨国公司以及大型上市公司,均设立独立的风险控制机构,专门负责风险控制事务。实际上,独立的风险控制机构已成为西方企业风险控制体系的核心。实践表明,设立专门的风险控制机构对于加强风险控制、降低风险控制成本、促进企业风险控制的信息沟通具有积极的意义。我国企业应当考虑根据自己的情况,决定是否建立以及如何建立适合自身的风险控制部门。在独立风险控制机构的设置上,具体应考虑以下几个问题:
(1)独立风险控制机构在组织中的位置。独立风险控制机构在组织中的位置、其应向谁报告,是内部控制体系的核心问题。因为独立风险控制机构的位置决定了其权威性以及职责范围,并会对风险控制的成本、组织内部风险信息沟通产生影响,进而影响到企业风险控制的有效性。因此,独立风险控制机构究竟是对董事会、总裁、总经理或者其他部门负责,是我国企业在建立风险控制机构时必须要考虑的一个重要问题。
内控主要管控风险点篇4
【关键词】风险管理;内部控制;财务保障措施
一、国内外关于风险管理及内部控制的理论背景
(一)国外关于风险管理与内部控制的理论与实践
风险管理与内部控制是两个既有区别又有联系的概念,在实践中难以完全隔离,并且随着时代的发展逐步产生、发展和完善。
在20世纪30年代,美国企业为应对经营中的危机,许多大中型企业在内部设立了保险管理部门,负责安排企业的各种保险项目。可见,当时的内部控制和风险管理主要依赖保险手段。
1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究,发表了题为《内部控制,协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,第一次对内部控制作了权威性的定义。1955年,美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。
20世纪70年代中期,基于美国“水门事件”调查结果,立法者和监管团体开始对内部控制问题给予高度重视。为了制止美国公司向外国政府官员行贿,美国国会于1977年通过了“国外腐败实务法案(1977)”。该法案除了反腐败条款外,还包含了要求公司管理层加强会计内部控制的条款,该法案成为美国在公司内部控制方面的第一个法案。1978年,美国执业会计协会下的柯恩委员会(CohenCommission)建议,一是公司管理层在披露财务报表时,提交一份关于内控系统的报告;二是外部独立审计师对管理者内控报告提出审计报告。1980年后,内部控制审计的职业标准逐渐成形,逐渐得到监管者和立法者的认可。
20世纪80年代以后,随着企业面临风险的复杂多样和风险成本的增加,法国从美国引进了内部控制和风险管理体系,日本也开始了风险管理研究。此后20年,美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会通过了“101条风险管理准则”,这是风险管理走向实践化的一个重要文件。1992年9月,美国CoSo委员会了《企业内部控制――整合框架》。此后,这份框架被纳入政策和法规之中,并被各国数千家企业用来为实现既定目标对所采取的行动以更好的控制。1995年由澳大利亚和新西兰联合制定的aS/nZS4360明确定义了风险管理的标准程序,这就是通常说的澳新eRm标准,标志着第一个国家风险管理标准的诞生。
多年来,人们在风险管理实践中逐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。然而,尽管很多企业意识到全面风险管理的重要性,但是对全面风险管理的理解仍存在较大分歧,已经实施了全面风险管理的企业则更少。美国安然公司倒闭案和世通公司财务欺诈案,促使企业的风险管理问题受到全社会的关注。2002年7月,美国国会通过萨班斯法案(Sarbanes-oxley),要求所有在美国上市的公司必须建立和完善内控体系。该法案被称为是美国自1934年以来最重要的公司法案,在其影响下,世界各国纷纷出台类似的方案,加强公司治理和内部控制规范,加大信息披露的要求,加强企业全面风险管理。2004年9月,CoSo《企业风险管理――整合框架》(enterpriseRiskmanagement-integratedFramework),该框架拓展了内部控制,更加关注于企业全面风险管理这一更为广泛的领域,并成为了世界各国和众多企业广为接受的标准规范。
(二)我国关于风险管理与内部控制的理论与实践
到目前为止,世界上已有30多个国家和地区,包括所有资本发达国家和地区及一些发展中国家如马来西亚,都发表了对企业的监管条例和公司治理准则。在各国的法律框架下,企业有效的风险管理不再是企业的自发行为,而成为了企业经营的合规要求。中国在这方面的研究始于20世纪80年代。一些学者将风险管理和安全系统工程理论引入中国,在少数企业中试用并取得比较满意的效果。但中国大部分企业缺乏对风险管理的认识,也没有建立专门的风险管理机构并进行制度建设。
我国系统的内控制度建设是在颁布了《会计法》之后。1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求,财政部随即连续制定了《内部会计控制规范――基本规范》等7项内部会计控制规范。从更广泛的管理意义上来说,内部控制和风险管理真正形成法规,是受美国2002年安然事件、世通公司财务欺诈案及随后美国的萨班斯法案的影响。2006年经国务院批准,成立了企业内部控制标准委员会。同年6月6日,国资委了《中央企业全面风险管理指引》,这是我国第一个全面风险管理的指导性文件,意味着中国走上了风险管理的中心舞台。2008年6月28日,财政部、证监会、审计署、银监会、保监会等五部门联合了《企业内部控制基本规范》,并自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。《规范》的,标志着我国企业内部控制规范体系建设取得重大突破,有业内人士和媒体甚至称之为中国版的“萨班斯法案”。
二、风险管理与内部控制的有效整合
(一)风险管理理论
本文中的风险是对公司既定战略目标产生影响事项发生的不确定性。风险分为公司层面风险和业务层面风险两种。公司层面风险是指属于公司层面整体关注的,影响公司全局和公司整体目标实现方面的风险;业务层面风险是指产生于各具体业务活动,影响具体业务活动目标实现方面的风险。
风险管理,指为了合理保证企业战略目标的实现,将企业整体风险控制在偏好之内,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,以对重大风险的管理和重要流程的内部控制为重点,凭借信息化平台,采用与风险管理策略相适应的组合技术或工具所进行的准备、实施、报告、监督和改进的动态连续不断的过程。企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行业务管理的基本流程,培育良好的内部控制环境,在运行过程中不断识别、查找风险,分析风险成因,对风险进行评价,为实现企业管理的总体目标提供合理保证。由风险管理决策层和经营层确定风险管理策略;由风险管理执行层完成对公司层面风险的分解和管控。
(二)内部控制理论
本文所研究的内部控制是指公司为实现财务管理目标,保障严格遵循国家有关法律法规和有关部门监管的要求,确保财务信息真实可靠,保护国有资产安全和完整,保证公司整体战略目标实现,提高公司财务运营的经济性、效率性和效果性而制定和实施相关政策、程序的过程。控制措施是指根据风险识别和分析结果,确保公司内部控制目标得以实现的方法和手段,其贯穿于经营活动的全部过程,包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,并受企业董事会、管理阶层及其他人员的影响。
(三)风险管理与内部控制的辩证统一
在内部控制体系中,内部控制是手段,风险管理是前提;风险管理是实质,内部控制是延伸,是实现企业经营目标的保障。同时,开展内控工作,一定要从风险管理的角度出发,因为内控工作的实质就是对风险实施控制,内控不能完全与企业的风险管理脱节。
认识内控在目标、手段、应用范围、风险对象方面的局限,有利于更好地使用内控,更有效地管理风险;有利于内控与其它管理手段的结合,认识内控的风险管理本质;还有利于扩大内控的应用范围,将内控的原则应用于其他的领域。
(四)财务内部控制与全面内部控制的关系
企业全面内控包括管理控制、业务控制和财务控制三部分,财务内部控制是企业全面内控的重要组成部分,受企业内控要素的直接影响,属于企业全面内控体系的支撑子体系。但是,作为能够全面反映企业经济业务活动情况的财务管理环节,财务内部控制又具有其相对的独立性,企业内部控制体系的建立可以从财务内部控制入手,逐步推开。
三、电力企业财务内部控制体系建设的主要内容
电力企业内部控制体系架构的总体思路由实施目标、指导思想、基本思路、实施重点、实施步骤等五个方面构成。
(一)实施目标
1.合理保证公司经营管理合法合规;
2.确保将经济风险控制在公司可承受的范围内;
3.确保公司财务报告及相关信息真实完整;
4.确保公司规章制度和各项决策部署得以贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,促进公司实现发展战略;
5.确保建立针对各项重大风险发生后的危机处理计划,保护公司不因灾害性风险或人为失误而遭受重大经济损失。
(二)指导思想
以科学发展观为指导,紧紧围绕建设“一强三优”现代公司战略目标,通过实施内部控制的基本流程,培育良好的风险管理文化,建立健全基于财务风险管理的财务内部控制管理体系。
(三)基本思路
在已有的内部控制制度的基础上,对现行业务流程进行梳理,分析评价公司的内部控制即全面风险管理的现状,完成风险识别、分析、评价,建立风险数据库,提出风险策略,制定风险对策,对内部控制制度进行优化和改进,包括:对现有内部控制中的空白部分进行补充;对现有内部控制中存在缺陷的部分进行完善;实现内部控制的规范化和标准化,保证内部控制的可操作性。
(四)实施重点
1.风险评估。在梳理业务流程和确定流程目标的基础上,识别影响流程目标实现的相关风险,分析形成原因,对风险发生的可能性和影响程度进行评价,锁定各项业务流动中的重要风险。
2.控制设计。根据风险识别和评价的结果,选择风险策略,制定风险对策,完善公司相应控制措施,优化业务流程,实现对风险的有效控制。在工作中,重点突出对重要风险的关键控制设计。
3.与政治安全风险管理的结合。经济风险往往与政治风险相伴相生,查找经济风险点的同时关注政治安全风险点,结合电力企业开展的政治安全风险管理工作,充分交流沟通,发挥协同作用。
4.与信息系统的融合。结合电力企业目前开展的eRp系统咨询,将风险管理的理念与方法融入信息系统,将关键控制措施通过eRp系统固化在流程中,依托信息系统实现有效控制。
(五)实施步骤
财务内控体系建设工作分四个阶段进行。
第一阶段为项目启动阶段。这个阶段应明确项目实施的任务和重点;成立内控工作组织机构,确定成员,并对成员进行内部培训;根据内控建设任务编制访谈提纲和访谈名单,并实施访谈;发放调查问卷,总结分析问卷调查结果。
第二阶段为现状梳理阶段。重点为:收集并整理分析内部控制相关资料;编制网省公司本部业务流程目录;编制网省公司本部现行业务流程图;编制试点所属分子公司业务流程目录;编制试点所属分子公司现行业务流程图。
第三阶段为评价阶段。主要为:对网省公司本部现有业务流程进行初步风险控制分析;对网省公司本部现有业务流程内部控制状况进行测试,评价内部控制状况;对试点所属分子公司现有业务流程进行初步风险控制分析;对试点所属分子公司现有业务流程内部控制状况进行测试,评价内部控制状况;编制内部控制评价报告。
第四阶段为完善阶段。主要为:系统识别、分析、评价各项风险、确定风险应对策略;补充完善控制措施,对现有业务流程进行优化;编制风险监控与风险预警体系文件;编制电力企业财务内部控制相关制度;编制电力企业财务内控管理手册。
四、财务内部控制体系保障措施
财务内部控制管理模式涵盖了电力企业价值链的核心环节,监控了各类经济业务环节的风险状况并给出管理策略。在新管理模式的推行过程中,还必须设计与之匹配的保障体系,通过必要的保障机制,在整个电力企业中灌输风险管理思想,引入风险管理理念,运用风险管理工具,实施控制措施,以辅助新的管理模式的顺利实施。
(一)财务内部控制组织保障
在现有财务部机构设置的基础上,进一步完善综合部职责,同时,明确财务部对下属单位内部控制监督管理职责。综合处设置内部控制岗位,对财务风险评估及预警、内控测试及评价、内控监督及改进提出工作计划,讨论批准后组织实施;对公司财务风险管理和财务内部控制工作担负组织管理责任,对各分(子)电力企业内部控制工作实施监督和指导;负责电力企业财务内部控制手册的更新等工作。
(二)财务内部控制绩效考核体系
为了充分发挥基于风险管理的财务内部控制管理模式的保障和促进作用,除了引入自我检查、自我改进的方法和机制外,纳入考核体系尤其重要。建立财务内部控制自我评估体系,明确评价范围、测试方法、评价标准等内容,并将评价结果与绩效考核挂钩,在考评总分中要占一定分值,其直接影响考核结果。同时,根据动态管理的原则,适时调整评价内容和标准。通过全员考核加强员工风险意识,使员工自觉主动识别风险源。
(三)财务内部控制文化建设
电力企业承担着重要的社会责任,同时还需完成国有资产保值、增值的主要目标,在此前提下,电力企业应采取审慎且保守的风险文化,风险管理理念横向和纵向渗透。风险管理和内部控制是电力企业自上而下的流程管理,通过文化渗透的方式,使每一个财务人员都能充分认识到自身的风险管理责任,履行全面风险管理工作职责,自觉防范和控制风险。
1.风险无处不在,风险管理全员参与;
2.风险既是威胁,也是机会,防止过分畏惧风险而放弃发展创新的动力;
3.加快科学技术应用研究,解放生产力,并承担相应风险;
4.目标的实现源于对风险的有效管理和持续的改进;
5.提倡科学辨识、主动揭示、及时报告风险的“透明”文化。
电力企业应致力于塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理融入企业经营管理的活动之中,大力提高风险管理水平,逐步使电力企业成为关爱员工、勇于承担社会责任、业绩卓著、广受尊敬的输配电企业。
内控主要管控风险点篇5
关键词:风险管理;内部控制;油田企业
中图分类号:F270.7文献标识码:a文章编号:1001-828X(2014)011-000-01
油田企业由于受其生命周期长,涉及面广,一次性投资额大,且其成本具有不确定性等因素影响,因此完善油田企业的内部控制体系意义巨大。胜利油田某采油厂以系统节点精细管理为依托,以内部控制与专业管理结合为基础,将全面风险管理贯穿于生产经营的各个环节,不断规范全面风险管理基本流程,培育风险管理文化,积极构建“体系健全、运行有效、效果良好”的全面风险管理体系,确保油田企业在发展过程中各项措施能够落实到位。
一、构建风险管理组织体系,营造风险管理环境
首先,公司层面,在内控管理委员会和系统节点组织运行体系的基础上成立了以企业负责人为组长的风险管理委员会,全面负责企业风险管理体系建设、风险管理策略、风险管理程序等事项,确定企业全面风险管理的总体目标:围绕生产经营总体目标,依托系统节点,以构建全面风险管理为导向的内控控制体系为切入点,全面梳理各类风险,构筑风险管理防线,尽可能地降低各类风险,提高经济运行质量。其次,横向上,以系统节点各专业系统为基础,按专业分工成立了勘探开发、安全环保、设备管理、电力管理、作业管理、材料管理、生产运行、财务资产管理、法律风险管理、廉洁风险管理等17个风险管理专业子系统。纵向上,企业内部二、三、四级单位也相应成立了全面风险管理机构,明确相应的风险管理职责,分专业、分层级负责各自的风险防控工作;第三,分不同层面利用网络等多种媒介,积极倡导风险管理理念,增强全体干部职工风险防范意识,按照规范流程运作,从上到下营造了良好的全面风险管理氛围。
二、梳理节点风险点,明确风险防控目标
全面风险管理的关键是找准风险点,识别风险因素,评估分类并制定相应的对策加以防控。首先,在采油厂已建立的“三个层级、四个体系”的系统节点基础上,分18个专业系统从不同层面的重点和关键环节入手,对已设置的63个一级节点、184个二级节点、539个三级节点进行了梳理和分析,重点分析了可能存在的风险因素,并制定相应的对策,形成了分系统到节点的风险管理网络。其次,针对梳理出来的风险点和分公司风险清单进行了认真比对,按照重要程序和风险系数确定了油气勘探、成本管理、投资管理、HSe管理、资金管理、物资采购、法律事务、资产管理、税务管理、制度管理等十九项重要业务为采油厂一级风险管理重点,针对19项主要业务相关的重点环节和岗位进行了风险问题排查和评估,找出了可能存在的风险因素,合理设置内控权限,重点加以防控。财务资产管理系统分成本、预算、资金、资产管理等岗位进行了风险因素排查,编制了岗位风险排查表,明确了涉险职责、业务环节、风险表现、主要产生原因、风险等级以及防控措施。
三、强化内部制度体系建设,落实风险防控责任
倡导风险管理理念,在修订采油厂新版内控手册的过程中,将“三重一大”制度融入采油厂《内控手册》,进一步细化权限分工,同时制定符合企业的《全面风险管理办法》等,明确风险防范职责,为全面风险管理工作提供了有力保障;其次,以系统节点为基础,分系统和专业全面梳理采油厂在用的内部管理制度,结合管理实际,规范预算管理、修理费管理等多项业务流程,降低风险;第三,分财务管理、计划投资、物资管理等系统建立重点部门和关键岗位风险防控目标责任制度,明确相应的风险点、防范目标和责任,如财务资产管理系统建立了财务科长、财务主办、预算管理、成本管理、资金管理、基建投资管理等岗位风险防控目标责任制度,明确了相应岗位的风险防控目标、风险点、责任和防控措施,初步形成以风险管理为中心,以业务流程为手段、以经营管理风险、财务风险、法律风险为主的风险防控制度体系。
四、强化业务流程过程防控,降低各类风险发生
全面风险管理要围绕采油厂战略目标及经营管理目标,要求全体员工共同参与,通过执行风险管理流程,实施有效风险防控的过程。这个过程必须贯穿于采油厂的各种管理和经营活动之中,才能收到实效。为有效降低各类生产经营风险,采油厂立足各项业务流程强化过程防控。首先,以系统节点和“指标提升年”活动等为契机,通过优化、完善指标管理和运行机制,将全面风险管理与内控管理、标准化管理、专业化管理、过程化管理有机结合起来,多项工作配套联动,突出重点环节,规范运作,互相促进。如通过系统节点管理,将全面风险管理与内控的月季度穿行测试、精品目标流程培育等活动结合起来,使全面风险管理真正融入到生产经营活动中,提高防控实际效果。其次,在业务层面围绕“财务预审批、计划投资决策、物资采购管理、货币资金支付、关联交易结算”五条主线,从项目立项、预算安排、市场准入、质量监督等方面入手,重点把好“招投标、合同签订、结算付款”等关键环节和“价格、质量”两个重要节点。第三,积极完善采油厂风险库,确保各节点风险更新及时、应对措施得当,为风险管理目标提供合理依据。
五、培育全面风险管理文化,提高职工防范意识
内控主要管控风险点篇6
【摘要】监狱作为国家刑罚执行机关,其反腐倡廉惩防体系建设是党和国家制度建设的有机组成部分,是社会主义政治文明的重要内容,是党在新时期的一项重要工作。把加强监狱廉政风险防控机制建设,作为构建监狱反腐倡廉惩防体系的核心内容和根本途径,是监狱系统在社会主义市场经济条件下深入开展党风廉政建设和反腐败斗争的战略性选择。
【关键词】监狱廉政风险防控
【正文】
近年来,根据中央关于推进廉政风险防控机制建设的精神和省监狱管理局的安排部署,我们晋城监狱以构建廉政风险防控机制促进党风廉政建设为目的,加强廉政教育,强化风险意识,认真排查风险,建立廉政档案,实行风险预警,制定防控措施,加强组织领导,明确工作职责,健全完善制度,严格考核追究,在构建廉政风险防控机制方面不遗余力地进行探索实践,初步形成了具有监狱特色的“以廉政风险排查为基点、以权力运行监督为重心、以三务公开为平台、以制度落实为抓手、以问责追究为标志”的廉政风险防控机制。我们的体会是:
一、强化廉政风险意识,认真开展风险排查,是构建廉政风险防控机制的前提
廉政风险是指党员干部和国家公职人员在行使公共权力中发生腐败行为的可能性以及腐败行为带来的严重后果。廉政风险防控机制是由领导班子、职能科室、各中层单位及其工作人员共同参与,以积极防范为目标,以强化管理为手段,通过明确权责分配、规范权力运行程序、强化风险管理、加强信息化建设、健全规章制度,使部门权力运行实现分权制衡、流程制约、风险管理、信息化运行,从而在内部行政管理各项权力运行中,形成内在制约力的管理机制。
监狱作为国家刑罚执行机关,在社会主义市场经济大潮的冲击下,无可避免地经受着巨大的风险与考验,因制度机制不完善、岗位职责不明确、业务流程不科学,而导致出现行政权力不规范运行、党员民警不能廉洁执法的可能性明显增大。20__年8月,监狱党委明确提出了“牢固树立‘不查风险是最大的风险’的风险意识,牢固树立‘不防控风险就是最大失职’的责任意识”的工作理念,成立了晋城监狱廉政风险防控管理工作领导组,由党委书记、监狱长任组长,其他党委成员任副组长,领导组下设办公室,各支部建立了以党支部书记(各行政单位建立以主要负责人)为第一责任人的廉政风险防控管理工作组织机构,并结合本支部工作实际,制定具体的实施方案,召开动员会进行安排部署,充分利用会议、广播、电视、报纸、网络等形式,广泛宣传推进廉政风险防控管理工作的重要意义、主要内容和工作措施,使广大干部群众了解此项工作,从而提高了干部群众积极参与、认真监督的自觉性和主动性,确保了廉政风险防控管理工作扎实推进。
风险排查,是构成防控机制的最基本要素,也是下一步采取防控措施的重要前提,其目的主要在于明确风险范围和风险点。根据省监狱管理局“全面开展、重点突出、扎实推进、务求实效”的总体要求,我们制定了《晋城监狱廉政风险防控管理工作具体实施办法》,紧紧抓住“找、防、控”三个环节,从重点领域、重点科室、重点环节入手,围绕查找在思想道德、岗位职责、工作流程、制度机制和外部环境等方面可能发生腐败行为的风险点,明确各级责任,认真查找风险,主要开展了以下工作:一是围绕监狱民警执法执纪等五个重点部位查找岗位风险:①理想观念动摇,放松世界观的改造,放松法律法规、制度的学习,导致廉洁自律意识淡薄。②执法不公,知法犯法,利用职务之便对罪犯及其家属出现吃、拿、卡、要等现象;对罪犯管理简单、粗暴,存在体罚和虐待罪犯现象;从事与人民警察身份不相符的各类活动。③利用职务之便对罪犯减刑、假释、监外执行、保外就医等工作把关不严,导致执法不公的现象。④罪犯教育管理利用罪犯学员政治、文化、技术考试等成绩不及格,影响罪犯年终考核这一情况来谋取私利。⑤与罪犯界限不清,违规违纪“捎买带”,与犯属拉拉扯扯搞权钱、财物交易。以上五个方面被确定为民警执法执纪所防控的重点部位和重点岗位。二是围绕监狱企业生产
销售、采购、财务等重点环节查找岗位风险:①工程建设。监狱大小工程项目多,投资额度有大有小,在工程设计、招标、质量及结算等环节容易发生资金浪费、串标虚标、工程造假、决算不实等问题。②物质购销。监狱物质购销量大、涉及的供应商和采购商多,在招标、合同、质量、验收等环节容易发生泄漏标底、以次充好高买低卖等问题。③财务资金管理。在预算、审核、票据、结算、现金管理等环节可能发生的挪用公款、假公济私、把关不严、设立“小金库”等问题。这三个环节被确定为生产销售、采购、财务等所防控的重点岗位和重点领域。三是围绕规范权力运行查找业务流程风险:①围绕“三重一大”党委班子成员之间相互沟通,主要以落实重大事项决策、重要干部任免、重大项目投资决策、大额度资金使用等制度为重点。②从科室与科室之间、岗位与岗位之间衔接点这一环节实行适度分工,相互监督,相互配合,确保不同科室和岗位之间权责分明,防止从权力运行等环节可能发生违反程序、暗箱操作等问题,确保行政权力运行的公开、规范。
在监狱廉政风险防控领导组的领导下,经过风险排查,各党支部和科室领导精心布置全体干警分析排查廉政岗位风险,按照不同的岗位认真查找廉政风险点,使全监民警进一步增强了廉政风险意识、岗位风险意识、执法执纪意识和自律意识,充分认识到了排查岗位风险的重要性和防范风险的必要性。
二、划分风险类型,评定风险等级,是构建廉政风险防控机制的基础
廉政风险防控涉及面广,划分风险类型的目的在于明确风险防控的主要方向。由于风险因素复杂,如果从内容和性质上分类,显然难以做到,也不便把握。为使防控方向指向明确,划分简易,尽可能地顾及全面,着重从工作的外延上进行分类查找,我们以基层党支部为单位,定期开展廉政风险点排查。各党支部每季开展一次廉政风险排查,监狱每半年开展一次廉政风险排查,通过各支部自查、服务对象举报、群众反映、民主测评、日常监管等渠道,及时发现掌握各种风险因素和征兆性、苗头性问题,确定重点部门、重点岗位的腐败风险点,对排查出的廉政风险点认真填写《晋城监狱岗位职责风险点和防控措施一览表》,经单位领导和支部书记审核,将风险点登记汇总并公示广泛征求意见,通过召开座谈会、单位内部相互点评、对外公示、下发征求意见函等形式,多渠道、多层次广泛征求群众的意见,并认真梳理,吸收借鉴。各党支部每季召开一次廉政风险防控形势分析会,对查找出的风险点进行认真分析评估,分析风险点发生的规律和内因,评估其可能造成的不良影响和危害,对查找出的风险点按照危害程度划分为a级、b级、c级三个等级,界定每个工作岗位风险“警戒线”,并依据分析、评估结果,有针对性地制定相应风险防范措施,根据风险发生的几率大小和一旦发生可能造成的危害程度高低,将单位风险和岗位(个人)风险划分等级,搞好风险等级的评定和划分。各支部建立一般民警廉政风险档案,监狱纪委建立副科以上人员廉政风险档案,工作岗位发生变化三十日内由本人申请进行更新,实行动态管理,各党支部对党风廉政责任目标任务更加明确,为廉政风险防控工作的全面开展奠定了坚实的基础。
三、实行廉政风险预警,科学制定防控措施,是构建廉政风险防控机制的关键
从事物发展的逻辑顺序上看,风险防控包括“防”和“控”两个不同概念,是同一个工作方向上的两个阶段。“防”是立足把工作做在风险未发生之前,类似“扎篱笆”,“防”的工作做好了,是风险防控的理想境界。“控”是把工作做在风险尚未转化为腐败之前,把问题解决在萌芽状态,隐患。我们通过采取防控措施,使风险防控机制充分发挥事前防范、有效监控、及时化解的功能作用,根据风险因素的共同属性、风险类别的差异以及风险形成过程,分别采取基础防控、分类防控、预警防控的办法,形成了基础防控、分类防控、预警防控“三位一体”的防控体系。
基础防控重在“防”:其主要内容是抓好教育、制度、监督等常规工作,整合反腐倡廉各要素资源,切实打牢防控廉政风险的坚实基础。我们制定并实施廉政风险防范管理教育计划制度,将廉政风险防范管理作为党委中心组学习和各支部党员民警廉政教育的重要内容,每季至少开展一次党风党纪党性及法律法规学习教育活动,坚持开展经常性的廉政风险防范管理教育,利用正反两方面典型开展党纪政纪、法律法规专题学习教育,增强党员民警的法纪意识、风险意识和依法行政意识,教育和引导党员民警珍惜工作岗位,秉公办事,爱岗敬业,防止不廉行为的发生。监狱纪委对各党支部学习教育情况每季度进行一次抽查,确保学习教育内容落实到位,并作为全年党风廉政建设工作考核的主要依据。
分类防控重在“分”:围绕排查确定的各类风险和重要风险点,有针对性地采取防控措施,提高防控效果。针对单位风险,主要监控领导班子议事决策过程,同时针对单位主管业务的特点,抓住工作流程中权力行使的关键环节,采取严密的防控措施;针对岗位(个人)风险,重点研究加强各科室及各单位主要领导岗位廉政风险防控措施,细化“三重一大”等重要问题的决策权和执行权制度,用制度制约自由裁量权过大、暗箱操作的问题;针对专项风险,认真研究一个领域或系统存在的共性问题,结合工作实际,制定全过程全方位防控措施,对所涉及单位明确防控责任,形成防控合力。
预警防控重在“控”:特点是注重时效性,是廉政风险防控过程中一项贯穿始终的动态监测防控措施。首先要建立廉政风险信息系统,广泛收集预警信息,对廉政风险实施动态监控。其次一旦发现风险苗头、倾向性问题,及时发出风险预警,运用相关处置措施,认真纠正存在问题,及时化解廉政风险。我们采取各党支部确定一名廉政风险信息员以及监狱聘请人大代表、政法机关代表、服刑人员亲属及民警职工代表担任义务执法监督员等形式,及时收集整理廉政风险信息,每季报送一次廉政信息,对本单位潜在的主要风险点进行分析检查,并采取通过各党支部进行廉政风险排查、通过问卷调查访问服务对象、通过案件检查及内部审计、通过举报投诉、通过参加民主生活会和述职述廉等活动收集信息等多种形式开展廉政风险信息日常收集工作,不断拓宽信息收集渠道,及时有效地处置廉政风险信息。建立和实行廉政风险处置结果回告制度,各责任单位接到预警后,根据廉政风险等级和预警通知书要求,在规定时限内对廉政风险进行剖析,制定整改方案和防控措施,并有针对性地采取相应的处置措施,及时化解腐败风险,同时形成书面报告。监狱纪委负责对廉政风险防控措施的落实情况跟踪监控,对未在规定时间内整改或整改不力的,下发整改通知书,督促责任单位在规定时间内整改落实,同时与责任单位负责人或责任人诫勉谈话。对在规定时间仍未整改、错误继续蔓延构成违纪违法行为的,及时上报党委并按照有关规定进行组织处理或立案查处。
四、强化制度建设,形成长效机制,是构建廉政风险防控机制的保障
防控机制建设强调以权力运行为主线,通过内部控制,使重点科室、重点岗位、重大事项、重要环节的权力运行都有章可循、有律可依,保证权力运行不出轨、干部队伍不出事。我们以提高制度的执行力和责任的落实度为重点,建立了晋城监狱《廉政风险点定期分析评价制度》、《廉政风险防范管理教育制度》、《廉政风险防范管理决策制度》、《廉政风险防范管理执行制度》、《廉政风险防范管理监督制度》、《廉政风险预警制度》、《廉政风险信息收集制度》、《廉政风险信息处置制度》、《领导干部个人重大事项报告制度》、《领导干部家庭廉洁承诺制度》等十项廉政风险防控制度,使全监各科室以及各中层单位之间,由于分工和责任的不同而相互约束和牵制,形成内在的制约力,引导各个行为主体的互动,使对权力制约的要求与监管、内部管理的各种制度规范相适应、相融合,形成有效制约、全程监控、高效运行、超前防范的长效管理机制。
首先形成了坚强的领导体制和有效的工作机制。我监党委把廉政风险防控工作列入重要日程安排,与落实党风廉政建设责任制结合起来,确定监狱党委书记(监狱长)是开展廉政风险防控工作的第一责任人,把加强和改进党的思想建设、强化监狱执法、规范企业管理作为重要工作来抓,形成了由一把手负总责、各科室、单位负责人为主体、纪检监察机关全面监督、内外监控、多方联动、上下协同的领导体制和工作机制。
内控主要管控风险点篇7
关键词:财务风险;内部控制;机制;层次分析法
中图分类号:F230文献标志码:a文章编号:1673-291X(2013)03-0110-04
引言
金融危机的爆发使企业的风险管理,尤其是财务风险管理成为人们关注的焦点。企业在生产经营过程中面临巨大的财务风险。首先,企业经营活动中必不可少地要涉及到资产的流动和周转,对于权限设置、合同审批、应收款项等问题,一旦把握不好就会导致财务风险的发生,给企业带来巨大的经济损失。其次,随着经济全球化趋势的不断加强,企业面对的市场环境较为复杂,有些企业甚至需要同时面对国内和国际两个市场。因此,除了常见的财务风险外,企业还面临国际商务欺诈、结算方式、汇率折算、国际贸易壁垒等国际财务风险,这些风险贯穿于企业的整个业务流程中,稍有不慎,就会给企业带来巨大的损失。总之,现代市场经济条件下,企业面临极其复杂的生存环境,任何企业都无法获取支撑自身成长壮大的所有信息,这决定了企业财务活动必然存在不确定性。
目前,中国多数企业尚未将财务风险管理纳入日常经营管理范畴内,企业财务风险仍然普遍存在,尤其是近年来,市场中还不断出现民企老板“逃债跑路”,乃至一些较为优质的企业因资金链断裂而崩塌倒闭。而造成这一现象的根源之一,在于作为财务风险预警与防范的“利器”——企业内部控制机制未能发挥作用。全球四大会计师事务所之一的德勤公司从2007年开始每年都对中国上市公司内控实施状况进行调查并调查报告。2010年7月,德勤了《2010年中国上市公司内部控制调查分析报告》。研究报告显示,国内上市公司对内部控制的重视程度正在逐年提升,有58%的企业已在之前披露了内部控制自我评定及审计意见。但从目前已披露的相关评定来看,上市公司离达到监管层标准还有很多工作要做,特别在风险识别、风险评估系统建设等方面有待加强。此外,相当部分的上市公司内部控制机制的实施遇到障碍;半数以上管理层缺乏风险防范意识;缺乏内控管理长效机制。如果中国最优秀的上市公司群体整体的内部控制机制尚不尽如人意,那么,中国企业整体水平则可以说令人堪忧。
有鉴于此,本文结合笔者的实际工作,试图提出一个基于财务风险的内部控制框架,以期用完善的内控工具,有效地实施对企业财务风险的评估与防范。
一、内部控制与财务风险防范的机理分析
(一)内部控制与财务风险的关系
学术方面,探讨内部控制与财务风险关系的研究文献并不多。国外方面,有学者认为当财务信息不准确、不及时和不完整时就存在风险,这种情况很可能是组织内部控制不足造成的。有学者提出内部控制是组织内部用于目标的组织设计和程序,它可以减少财务风险的发生。国内方面,黄秋菊(1994)提出了企业内部控制与财务风险有一定的相关性。何庆光等(2004)指出企业内部控制包括企业管理控制与企业会计控制两方面,并提出了实施内部控制的目的是通过对风险的管理,化解企业的各种风险。鄂秀丽、吕长江(2008)运用统计学的方法证明了在不同时间、不同法规政策背景下,企业内部控制对财务风险预警指标或财务风险的影响是不同的。袁晓波(2010)利用上交所制造业上市公司2008年的年报数据,通过分组检验和总体检验从实证的角度证实了内部控制对财务风险的影响,指出企业加强内部控制的构建和实施,可以在一定程度上降低其财务风险。总的来说,现有研究普遍支持内部控制对财务风险具有正向影响。
实践方面,风险管理包含内部控制在美国的CoSo的最新报告中得到明示:风险管理包含内部控制,内部控制是风险管理不可分割的一部分。英国tumbull委员会也认为,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。在中国,2008年6月,财政部、证监会、审计署、银监会、保监会五部委联合了《企业内部控制基本规范》,确定企业内部控制由内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素构成。从要素构成来看,将内部控制与中国企业所处的具体环境、相关法律法规、经营管理实践紧密联系。其中将风险评估要素定义为:“是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。”风险评估主要包括目标设定、风险识别、风险分析和风险应对。对风险评估要素的分解,实质上对应的就是eRm的风险评估、风险应对策略与企业的具体要素的分解,即目标制定、事项识别、风险评估、风险反映。由此可见,虽然中国的内控基本规范并没有照搬照抄以CoSo报告为代表的国外内部控制框架,但整体上凸显了财务风险控制的重要性。
(二)内部控制与财务风险的相互作用机理
1.从各自的概念内涵来看,财务风险管理是内部控制的核心理念。企业财务风险管理是指在财务风险识别和度量的基础之上,管理者针对企业所存在的财务风险因素有目的地施加作用,即选择适当的风险管理策略,从而达到降低风险的不确定性和减少损失的目的。财务风险管理一般分为事前管理、事中管理和事后管理。企业内部控制是以风险管理制度为基础,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。可见,企业内部控制的实施是以风险防范为主要目的。完善的内部控制要求必须能够适时反映企业面临的各种内部和外部的风险因素,并且采用准确的风险识别方法进行风险识别,找出哪些风险会对经营产生重大影响,从而有针对性地进行风险控制,同时,还要求针对不断变化的风险进行准确评估。可见,财务风险管理是内部控制的核心理念,也是内部控制有效实施的必然要求。内部控制的主要目的就是进行风险防范和风险监控,二者密切相关。
2.从两者的运作机制来看,财务预警系统的建立是内部控制中最关键的环节。控制活动是针对关键的财务风险控制点而制定和设计的,因此,企业在制定控制活动时主要就是寻找关键控制点。内部控制活动随着现代管理手段的发展也越来越复杂,按其目的划分,主要可以归为前馈控制、同期控制和反馈控制三大类。但是在控制中,前馈控制是主要的,其他两种控制是次要的。这就是事后控制不如事中控制,事中控制不如事前控制。所以,要实现企业财务风险的有效控制应先对企业内部控制进行评价,建立完善的体系从而达到事先控制财务风险的目的,避免给企业带来损失。财务风险的事先防范的主要工具是财务预警系统,而后者是指采用及时的数据化管理方式,通过全面分析企业内部经营、外部环境各种资料,以财务指标数据形式将企业面临的潜在危险预先告知经营者,同时寻找财务状况恶化的原因和企业财务管理体系中隐藏的问题,并明确告知企业经营者解决问题的有效措施。作为企业财务管理的一张疏而不漏的“安全网”,财务风险预警系统能有效地识别、防范财务风险。同时,财务预警系统的建立是内部控制中最关键的环节,对于预测风险意义重大。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。企业应当根据风险分析和评估的结果,抽取影响企业财务风险的核心价值指标,鉴别风险控制的关键环节,确定良好的控制活动,采取有效的控制措施。财务预警系统主要包括如下几个组成部分:财务信息收集与传递、财务预警分析的组织机制、财务风险分析机制、财务风险处理机制。其中,财务信息收集—传递机制是基础,财务预警分析的组织机构是主体,财务风险分析和财务风险处理是核心和关键。
二、基于财务风险的内部控制框架构建
(一)建立基于财务风险的内控评价指标体系
一般来说,衡量企业财务风险的变量主要有两类:一类是以市场数据为基础,如股票收益的波动、贝塔系数等一类是以会计数据为基础。由于中国证券市场还不完善,投资者具有较强的投机因素,以市场数据为基础的风险衡量方法并不适合。随着中国会计准则与国际接轨、会计信息真实性的提高,以会计数据为基础衡量企业财务风险更合理。通过会计数据衡量企业财务风险,主要是通过建立多元线性函数公式,运用多种财务指标加权汇总产生的总判别分来预测财务风险。然而,这种方法对上市公司较为合适,对于非上市企业,由于执行会计政策方面具有更大的灵活性以及记账与核算的不规范性普遍存在,因而财务数据质量较低,也缺乏可比性,因而,本文建立的指标体系主要是参照五部委2008年6月颁布的《企业内部控制基本规范》以及2010年4月26日的《企业内部控制配套指引》,并结合中国制造企业的财务风险特点而设立的。
同时,需要说明的是,由于不同类型的企业财务风险的侧重点各不相同,制造业一般是由研发、产品和生产过程的设计、生产、营销、客户服务等作业链构成,最能反映企业生产经营过程的特点,因而本文拟定的指标体系主要是基于制造业的特点。
首先将内部控制指标体系划分为5个一级指标(ui,i=1,2,3,4,5),然后在每个一级指标内部设置出具体的二级指标(uij),即本文的基于财务风险的内部控制框架指标体系主要由上述二个层次构成,具体(见下页表1)。
(二)基于aHp方法的指标权重的确定
1.指标权重设置的方法选择。指标设定出来后,剩下的工作最主要的就是确定各个指标的权重了。指标权重的初次评判,可请公司高管及外部专家独自作出评估。如何将各人的评估结果进行综合,得出一个权重值,则一般有两种方法:一是用简单的算术平均法;二是用较为复杂的层次分析法(以下简称“aHp”)。aHp分析法是一种定量与定性相结合的多目标决策分析方法,其核心是将决策者的经验判断予以量化,从而为决策者提供定量形式的决策依据。在对企业的内部控制进行评估时,由于目标结构复杂且缺乏必要数据,该方法最为实用。
2.运用aHp方法来确定各指标的权重。具体步骤如下:(1)构造判断矩阵。判断矩阵的构造,主要是为了实现对指标间重要性的比较和分析。矩阵表示同一层次各个指标相对重要性的判断值,由若干位专家判定。(2)对各指标权重系数进行计算。aHp方法的信息基础是判断矩阵,利用排序原理,求得矩阵排序矢量,可计算各指标权重系数。
3.确定评价因素的评价值。在此将一个企业内部控制情况分为优秀、较好、一般、较差、差等五个等级,企业财务风险和内部控制成反比例线性关系,所以将企业财务风险水平也分为大、较大、一般、较小、小五个等级。为了更准确地评价,本处将所有情况以1~10分等额标识,分值越高表示级别越好,即优秀(9~10)、较好(7~8)、一般(5~6)、较差(3~4)、差(1~2)。由评价者据此对每一项二级指标进行打分,所有评价值的加权平均分即二级指标的最终评分。各同类①二级指标的最终评分分别乘以所确定的各自权重后加总则为其所属一级指标的得分。以此类推,各一级指标的得分分别乘以所确定的各自权重后加总则为该公司整体内控水平的得分。根据该得分的所处得分区间则可以确定该公司的内部控制等级,从而最终也可以得出该公司的财务风险水平。
三、a公司内控体系运作绩效分析
a公司的核心业务是高端照明节能产品研发推广、城市照明节能系统管理与服务、大型高端照明工程,属中国优秀的专业照明机构。a公司在节能型产品研发领域拥有非常丰富的研发和应用经验,承担国家863计划重大科研课题,拥有国内顶级水平的专家以及电气驱动系统、光学设计、结构设计领域的资深专业技术人员。a公司发展迅速,业务规模持续膨胀,为满足业务的扩展速度,其设立了多家或基于不同的细分产业,或基于不同的经营地域的分、子公司,股权关系变得复杂,管理幅度加大、管理层级延伸,因而财务风险随之加大。
结束语
本模型的指标设定以上市公司的相关指引作为指导,充分考虑了财务风险因素。因素权重集的确定采用了层次分析法,降低了传统权数确定过程中的主观随意性成分。该方法建立在分层次、单目标、单准则两两对比判断基础上,最易区别优劣高低,并容易检验,避免了繁杂计算的错误。在各级指标的得分计算汇总了各类人员的意见,较全面地反映了评价对象的优劣程度,因而评价结果具有较好的客观性,评价者可通过该方法发现企业内部控制中的薄弱环节,为加强环节管理提供科学依据,为科学、合理地评价企业财务风险提供了依据,也为定量评价开辟了新的方法,具有一定的推广价值。
参考文献:
[1]袁晓波.内部控制与财务风险——来自中国沪市制造业上市公司的经验证据[J].经济与管理研究,2010,(5):60-68.
[2]丁友刚,胡兴国.内部控制、风险控制与风险管理[J].会计研究,2007,(12):51-54.
[3]林钟高,郑军,等.内部控制与企业价值研究[J].财经研究,2007,(4):132-143.
[4]朱荣.企业财务风险评价与控制研究[m].大连:东北财经大学出版社,2008.
内控主要管控风险点篇8
一、内部控制与风险管理的关系
风险,通常的理解是对实现企业目标可能发生的不利条件或事件。风险的概念在许多经营管理著作中被扩大化,甚至涵盖了管理中绝大部分的问题和困难而内控的概念也常常被扩大而接近管理的概念,特别是内控中广泛地运用着风险管理中的一些概念,如:风险评估、风险控制点等等。给人造成一种错觉:风险管理可以通过内部控制实现,内部控制也是在进行风险管理。那么,是否应该将两者合并考虑呢?我个人认为,这是十分有害的。诚然,风险和内控应该结合,但应主要是分析方法的相互借鉴和具体措施的部分重合。如果只讲结合,不进行原则上的划分,就变成了混淆。混淆的后果一方面是不能真正体现内控和风险的本质,从而模糊了两者的目标,难以明确各自的解决途径,给管理的效率、效果和决策的正确性带来困难二是内控既没有解决所有风险的不利后果,风险管理又难以真正落实到某一具体业务或管理部门,成为它的责任。于是,企业不能有效得对需要风险管理的风险进行专门的研究和管理。
从风险的概念上,很难将其与内控的内容进行划分,那么,我们可以从风险的性质上将其与内控的内容进行划分,也就是将所有妨碍目标实现的内部、外部的困难、问题,按照其发生的确定性划分为:常规性的、非常规性的和混合性的三类,即确定条件下发生的、不确定条件下发生的和混合条件下发生的三类。
据此,我们就可以分别进行不同的管理:
一是将常规性事件纳入内控;
二是对非常规事件,在内控范围内,只需要设计针对非常规性事件的处理原则,在一定程度上降低风险带来的影响。例如在企业中可能发生财务危机、意外事故、危害公众事件等,为此我们需要设计非常规事件或危机处理原则。对此类不确定性事件,就需要风险管理,应对危机,以弥补内部控制的不足。
三是对企业经营活动中,大量存在的既不是常规又不是非常规的混合性事件,应尽可能将其完全或在一定程度上转化为常规事件,从而纳入内部控制。这就需要凭知识和经验,在内控中充分考虑预防、制约混合性事件发生,以及解决混合性事件后果的措施。其中最重要是预防条款,防危机于未然。
因此,风险的不确定性既预示着机遇,又可能影响竞争能力、融资能力、外部形象等。而内控预示着稳定、有效的运行,强调的是评估经营管理活动中突出的、相对稳定的风险,将其转化为控制点,并实施必要的控制活动。
划分内部控制和风险管理,对加强经营管理的针对性及提高经营管理的效率很有帮助。我们通过把经营中具有一定持续性、稳定性的内部、外部困难和问题纳入内控系统,将相对重要、不确定性强一些的问题作为关键的控制点,以点面结合的方式控制经营始终为管理目标服务;通过把经营中具有突发性、不确定性的内部、外部困难和问题纳入风险管理系统,用风险分析、评估和特定业务领域的特定方法,支持决策始终为管理目标服务。
二、如何利用内控系统规避风险
总的说来,就是运用风险评估方法,认识和分析企业整体目标及各活动层目标,以及影响这些目标实现的内在和外在因素,发生的概率及可能的后果,并采取相应的控制措施,实现企业目标。具体分析如下:
规避风险首先研究风险包括哪些内容。通常风险主要分为三类:一是战争、自然灾害、经济衰退、通货膨胀、高利率等,是不可分散的市场风险;二是市场需求、成本过高、技术发展、竞争、信誉、法规政令、信息系统中断、外部环境变化等经营管理风险;三是筹资、投资等财务风险。
按照上述风险的性质分类,比较利于辨识和分析风险的过程,但要尽可能将风险纳入内控系统内化解,还需要将可能产生这些风险的主观行为和客观条件内化为企业内部的受控行为和受控环节,然后通过风险预警、风险识别、风险评估、风险报告等措施,对风险进行全面防范和控制。例如,对存在市场需求、技术发展、竞争等经营管理风险,影响经营目标实现的重大项目,建立一套完整的市场调研、测试评估、竞争应对机制,就能凭借内控规避风险,或保证风险决策的正确性。当然,这种方法主要对财务风险和部分经营风险比较有效,因为它们不是对全部企业都产生影响的宏观风险,而是可以通过企业微观经营而规避、降低的风险。
日常经营中需要受控的风险行为很多,比如:引起财务风险的筹资、投资活动;引起法律风险的合同行为等等。对风险防范控制应作为内控中的一项基础性、经常性工作,一方面应对实施带有风险性质行为的部门或岗位,专门做好风险的识别、规避和控制;另一方面直接对这些行为进行控制,如:事先可研或评估、事中权限限制或实时跟踪、事后考核和监督,以及出现的负面后果时的应对措施和预案。
日常经营中需要受控的风险环节也很多,内部控制特别应该把风险较大的关键控制点设定在以下位置:①资金点。包括企业的筹资、投资活动,资金调度、使用、分配活动等;②成本费用支出点;③权力使用点。
因此,建立内控就是充分考虑风险后设定一种管理的标准,进行风险管理就是对偏离标准的管理。内控制度设计得越符合实际,企业风险越小。内控常作为衡量组织风险的基础。
但是,合理而有效的内部控制系统,最理想也只是实现了科学而全面的管理。它仍然只能为实现经营目标提供合理的保证,而不是绝对的保证。例如,对于重要信息的异地备份,既是内部控制中信息安全性的要求,也是风险管理中规避风险的必要措施。国际著名投资银行摩根士坦利,正是严格遵循了这一基本要求,其虽置身于世贸大厦88层之高,但在“9・11”事件中,其所有客户的重要资料并未随世贸大厦的轰然倒塌而被埋葬。但是,上述内部控制措施只能防范日常经营中可能的风险,风险发生后的一切措施和决策就是风险管理的重要内容。
因此,内部控制不等于风险管理,两者不能完全替代。前者是针对日常经营的管理,是实现经营目标的系统保障,只能一定程度上防范风险后者是针对风险发生的管理,是实现经营目标的特殊程序,可以承担、分散、转嫁、化解风险。
清晰了内部控制和风险管理的关系,内部审计就可以根据不同的目标,采用不同的程序,运用不同的方法,两线并行开展工作:针对内部控制的内控审计和针对风险管理的专项审计。
[参考文献]
[1]1997年财政部由中国注册会计师协会制定《独立审计具体准则第9号一内部控制与审计风险》。
内控主要管控风险点篇9
摘要:高校财务负债率不断攀升、基建腐败屡禁不止的主要原因就是高校内部的财务风险控制措施不到位,本文以内部管理与内部控制之间的关系为切入点,阐述基于风险管理的内部控制体系的现状,并且就高校财务内部存在的风险,提出具体的内部控制对策。
关键词:风险管理内部控制完善
0引言
随着高校规模的不断扩大,高校在获得良好发展机遇的同时,它们也面临着巨大的发展风险,比如高校的财务风险日益增高、基建腐败问题日益严重以及教育质量风险日益突出,对于这些需要高校认真对待及时采取各种内部控制措施,防范与规避内部风险。
1风险管理与内部控制的概述
1.1风险管理的概述
风险管理属于动态过程,到目前为止我们还没有统一的风险管理概念,基于本文的研究出发点,笔者将其定义为:风险管理存在于高校战略制定的全过程,通过识别可能影响高校发展的潜在事件并且将风险控制在高校可以控制的范围内,风险管理需要高校的每个成员共同参与,通过风险管理为高校的健康发展提供合理的管理方法。
1.2内部控制的概述
根据《企业内部控制基本规范》,内部控制是指由企业的管理者与企业的员工共同实施的以实现企业的经营目标、保护企业资产的完整以及会计信息资料的可靠,而在企业内部进行的一系列措施与手段。
2风险管理与内部控制的关系
对于二者之间的关系到目前为止还没有达成一致的观点,主要存在三种观点:一是风险管理属于内部控制的一部分;二是风险管理包含内部控制;三是风险管理与内部控制没有本质的区别,他们都是服务于统一对象的。结合笔者多年的工作经验,风险管理与内部控制之间虽然不能画等号,但是它们之间存在某种关联:
2.1风险管理与内部控制区别
首先二者的目的不同,风险管理的目的就是提高单位员工的风险意识,促使员工在工作中能够及时的发现风险、预测风险以及应对风险,通过有效的管理将风险控制在最小范围内。而内部控制是单位为了实现某种目的而采取的政策与手段等,属于事后过程控制,具有企业管理职能范畴。其次范围不同。风险管理不仅针对企业内部的风险,还需要考虑企业外部环境的风险,具有广泛的对象,而内部控制主要是针对企业内部的环境而制定的风险控制措施,二者相比风险管理的范围相对更大。最后方法不同。风险管理主要是通过对风险的评估实现对风险的定量评估,而内部控制主要采取定性的方法,对内部控制设计和运行的有效性进行衡量,因此风险管理较内部控制更加精准。
2.2风险管理与内部控制的内在联系
首先它们二者之间相互制约。内部控制实施的目的就是降低风险,实现风险管理的目标,而风险管理则是内部控制的动力,风险管理工作的实施必须要依靠内部控制措施实施,内部控制措施是风险管理工作的载体,因此二者之间具有相互促进、相互制约的关系;其次二者需要协同增效。对于单位内部的风险如果单独依靠某一方面都不能很好地规避市场风险,必须要求二者协同作业,以高校基建腐败案为例,如果高校没有风险管理意识,那么其既不能准确的制定出具有防范性质的内部控制措施,导致在产生既定事实后才能进行弥补,造成了国有资产的流失;最后二者在实践中具有融合发展趋势。在具体的实践工作中我们已经看不出单独的风险管理措施或者内部控制措施,而是基于工作的需要它们之间已经融为一体,相互交叉。
3基于风险管理的内部控制现状
基于风险管理的内部控制虽然经过多年的发展,其已经具有了比较成熟的制度,但是由于我国高校实施内部控制制度的时间比较晚,其在具体的应用过程中还存在不少的问题:
3.1内部控制环境不理想
首先高校内部控制意识薄弱。我国高校虽然已经实施了自主化经营管理模式,但是由于高校的财务主要由我国公共财政给予拨付的方式,为此高校不需要考虑资金的使用效率的问题,高校长期的行政化色彩管理导致高校内部控制的意识比较薄弱,比如高校在使用资金时不会过多的考虑资金的使用效率问题、而且高校在扩建基础设施时也存在过大的财务风险问题,高校为了扩大基础设施它们选择向银行机构贷款的方式,据有关数据统计,高校向银行部门信贷的风险已经超出了高校的财务支付能力;其次高校的管理者对内部控制的认识不够。当期高校的管理者将主要精力放在学校的基建工程上,高校的管理者为了扩大规模,他们会采取各种融资渠道,但是他们不考虑高校的财务风险,甚至一些高校管理者将个人的意识凌驾于高校的内部控制制度之上。
3.2没有建立完善的风险管理体制
首先高校没有建立独立的风险管理机构。随着高校规模的不断扩大,高校的负债风险、基建腐败风险等严重影响高校的健康发展,面对日益复杂的高校发展环境,需要高校部门建立相对独立的风险管理部门,通过风险管理部门对高校的内部风险进行科学的预测与评估,但是通过对高校机构部门的结构分析,大部分的高校没有建立独立的风险管理部门,而是将高校的内部风险管理工作划分为高校的财务管理人员,这样的职能划分容易造成风险管理效率的低下。其次没有对风险进行全面评估。不可否认高校对内部风险的控制措施越来越严格、越来越完善,但是高校在进行风险评估时存在一些漏洞,高校重视高校固定资产、流动资金的风险评估,比如高校的负债比、高校的资金预算等,但是却忽视了对学术资产的风险评估。
3.3内部控制监督机制不健全
内部控制属于动态过程,需要高校不断根据最新的变化做出相应的调整,但是由于我国现有法律制度的不完善导致很多高校在进行内部信息披露时他们只重视披露的形式,而不重视披露信息的内容,结果导致内部控制赋予形式化。同时一些高校管理者为了隐蔽自己的违法行为或者为了实现自己的私利,他们选择不公开高校内部信息的方式,可以说造成此种现象的主要原因就是高校的内部控制监督机制不健全而造成的,高校的内部监督机制没有发挥应有的作用。
4从风险角度完善企业内部控制的建议
4.1建立风险导向型的内部控制
基于高校内部控制所存在的问题,要建立以风险为导向的内部控制制度,以高校的内部风险为切入点,从整体上控制高校的内部风险,强化高校的业务流程、财务工作以及规章制度等:首先要明确高校的战略目标。高校要建立明确的战略管理目标,也就是高校的发展战略要切实符合高校的实际发展需要,不能将目标的制定脱离高校的实际,比如高校在扩建学校规模时一定要将高校的学生量、教师团队以及当地的经济发展水平相结合,不能为了扩建学校规模而盲目的进行资金融资等,造成高校的负债率超出自身发展水平的能力。其次高校要建立项目管理责任制,将高校的项目具体责任到人,通过明确责任约束每个高校工作者的行为,提高他们的风险意识,让每个高校工作者在从事管理活动时都能够将风险意识纳入到工作的每个环节。最后高校制定的内部控制措施要紧紧围绕高校风险管理为基础,通过完善的内部控制措施避免高校风险的扩大。
4.2设立风险管理委员会,加大内部控制监督力度
基于高校内部控制执行力的不够,高校要设立风险管理委员会,通过风险管理委员会加强对内部控制执行力的监督:一是高校要构建独立的风险管理部门,将风险管理部门与高校的财务管理部门相分离,尤其是保障风险管理人员的独立身份,同时要提高该部门的地位,由高校的主要管理者直接领导。二是高校要构建一批具有专业风险管理素养的团队。对内部控制工作的监督需要懂风险管理知识的人才担任,只有这样才能保证发现以及解决高校内部控制工作中所存在的问题,也只有这样才能准确的判断高校所面临的各种风险。三是高校要建立完善的内部监督机制。高校的管理者要重视内部控制工作,强化内部控制的效果,高校的财务工作者要切实履行其职责,提高高校财务工作水平,财务监督部门也要认真监督高校的经济活动。
4.3构建先进的风险管理信息预警系统
高校所面临的风险是不断地变化的,不同的风险因素都会影响高校的发展,因此需要构建针对高校动态风险信息收集、存储以及处理的自动化信息预警系统。一是建立覆盖高校全过程的风险管理系统,将高校运营过程中的各种信息转化为会计信息,通过与会计信息的整合,实现风险信息的自动化处理。二是构建高校风险管理流程的预警分析系统。高校的经营活动包含的因素比较多,比如高校的资产处理、基建工程、科研成果转化以及教学活动,这些活动都可能构成影响高校内部控制的因素,因此高校要强化每个活动环节,提高风险反映灵敏度,一旦出现风险隐患的可能,就要及时的对风险进行评估与警报,以便高校及时采取措施降低风险发生的可能性或者将风险影响降到最小范围。
4.4强化高校内部控制文化,加大内部控制的实施力度
高校要构筑优秀的内部控制文化制度,营造良好的内部控制氛围。
高校应树立起风险管理的价值理念,并把这种理念应用于内部控制的具体日常活动当中,使员工在工作中主动地发现和预防风险,从而降低风险的影响程度。同时要认真开展内部控制培训教育工作,建立统一有效的内部控制评价考核标准,并对内部控制实行严格的奖惩措施。
参考文献:
[1]王晖,郑宏涛.基于风险管理的内部控制研究[J].现代企业教育,2010(02).
内控主要管控风险点篇10
1、公司治理的概念。公司治理,从狭义的角度进行理解,是指所有者主要是股东对经营者的一种监督与制衡机制。即通过一种制度安排,来合理地配置所有者与经营者之间的权利与责任关系。若从广义角度进行理解,是指包含法律、文化等在内的有关企业控制权和剩余索取权分配的一整套制度安排,其决定企业目标的实现。
从主要功能上来说,公司治理的范围可以包括:股东、董事会——决策者;管理阶层——执行者;审计人员(包括内部审计人员及外部审计人员)——监督者;其他利益关系人(例如:顾客、供应商、债权人及员工等)——影响者等。从这个角度来讲,内部审计人员应该在公司治理中占有一席之地。因为沟通公司治理各功能主体的重要工具就是会计信息系统。因此,会计信息系统本身是公司治理结构的组成部分,而且会计信息更严重地制约和影响着公司治理结构中其他制度安排效用的高低。会计信息系统提供的会计信息的真实可靠是内外部激励机制正常运行的前提条件,而有效的审计监督制度是确保这一前提条件实现的关键。外部审计对公司财务报表进行审计,并对其公允性发表审计意见,从而起到增强会计信息可信性的作用。而内部审计处于公司内部,对于公司内部控制、管理经营活动、风险管理都有透彻深入的了解,与外部审计人员相比,内部审计对公司治理发挥的作用在层面上更为深入,在范围上更为广泛。
2、公司治理的核心是风险管理。在上述公司治理定义中,我们可以看到,公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开;风险直接影响目标的实现;而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度;治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。另外,从解释公司治理问题产生的经济学观点来看,无论是契约理论中提及的不完备契约,还是信息经济学中提及的信息不对称,以及理论中提及的问题,这些引发公司治理产生的因素究其实质都属于风险,都是使企业目标无法实现的各种潜在的、可能发生的事件。公司治理是组织应对风险的战略反应,其职责核心就是确保有效的风险管理方案的适当性,因此公司治理中包含一些战略性的风险管理的因素。例如:公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型;再如公司高层管理当局(Ceo)在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。因此,风险管理是公司治理的核心。
二、风险管理的概念
风险管理是指识别风险并设计控制风险的方法,其核心是将没有预计到的未来事项的影响控制在最低程度。对风险管理,首先,要求在组织中发现那些高风险暴露的领域,对高风险暴露点的识别要通过对组织的分析进行,这种分析既包括审计人员客观的测试,也包括主观的判断。其次,将分析的结果与认为可接受的风险水平相比较。最后,实施必要的变革,使组织的风险暴露水平与其所设定的目标相一致。风险管理所涉及的范围是十分广泛的,包括投资风险管理、外汇风险管理、利率风险管理、商品价格风险管理等。
三、内部审计作为内部控制的重要部分,与风险管理密不可分
1、内部控制与风险管理的联系日趋紧密。在决定内部控制政策,并在此基础上评估特定环境中内部控制的构成时,董事会应对诸多风险管理问题进行深入思考。比如:公司面临风险的性质和程度;公司可承受风险的程度和类型;风险发生的可能性;公司减少事故的能力及对已发生风险的影响;实施特殊风险控制的成本,以及从相关风险管理中获取的利益。执行风险控制政策是管理层的职责,在履行其职责的过程中,管理层应确认、评价公司所面临的风险,并执行董事会所设计、运行的内部控制政策。
2、内部审计理论的新发展。顺应内部审计理论及实务的变化,国际内部审计师协会(iia)在1999年对内部审计重新定义,即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。”
这一新定义将内部审计的范围延伸到风险管理和公司治理,认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。
3、风险管理是内部审计的主要职责。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发生了变化,现代内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下,年度审计计划与公司最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,使用风险管理原则改变审核过程。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。在风险导向的内部审计中,控制仍然重要,但分析、确认、揭示关键性的经营风险,才是内部审计的焦点。
内部审计作为内部控制的重要组成部分,其在风险管理中发挥不可替代的独特作用,主要有以下几方面:(1)能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计人员不从事具体业务活动,独立于业务管理部门,这使得他们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。(2)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节,内部审计人员可以调控、指导企业的风险管理策略。(3)内部审计部门的建议更易引起重视。内部审计部门独立于管理部门,其风险评估的意见可以直接上报给董事会,这会加强管理当局对内部审计部门意见的重视程度。
四、在风险管理目标下,公司治理与内部审计的整合
美国一个专门研究内部控制的发起人企业委员会(CoSo)于2001年起着手进行企业风险管理研究,并力图建立一个类似于内部控制框架的、具有理论与实践意义的风险管理框架,其在为企业风险管理研究项目制定的目标中明确指出:风险管理框架必须和内部控制框架相协调,把控制目标的建立嵌入到某种形式的风险管理过程中去。而在内部控制方面,将领域扩展到控制环境等“软控制”要素上时,就决定了公司治理与内部控制的相互交汇。在CoSo报告的内部控制定义中,特别提出“内部控制过程受组织的董事会、管理层和其他人员影响”,由此可见“软控制”因素对组织内部控制的影响是深远的。而内部控制对公司治理的影响也是巨大的。内部控制为组织的经营目标、财务目标及遵循性目标的实现提供合理保证,同样为公司治理机制的运行提供了保障。良好的内部控制有助于完善契约,减轻信息不对称的影响,并对人形成一定的控制约束,因此从一定程度上说,内部控制与公司治理的相关内容可以整合一致。而作为内部控制重要组成部分的内部审计,也不可避免地在风险管理的基础上,与公司治理的目标交汇。
在新的内部审计范式下,内部审计参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系;评价并改进组织的治理程序,为组织的治理做贡献;同时继续原有的对控制效率和效果的评价作用,帮助组织保持有效的控制。此时的内部审计人员是风险专家,通过对风险的把握来评价公司治理及内部控制,并促进公司治理和内部控制的改善,从而实现对风险的掌握与驾驭。在风险管理这一统一的核心下,公司治理与内部控制实现了一定程度的整合,为组织增加了价值;同样,在风险管理这一统一的核心下,内部审计与公司治理实现了整合。在公司治理中,内部审计发挥着越来越重要的作用。
鉴于内部审计在确保公司内部控制制度有效运转及管理和控制风险等方面的独特作用,
纽约证券交易所于2002年8月1日明确规定所有上市公司必须设置和保持有效的内审机构,否则不得上市或将面临退市。内部审计师已被看作是与董事会、高级管理层、外部审计师构成有效公司治理的四大基石之一。内部审计师拥有的风险管理、内部控制的知识与技能,能帮助公司治理实现其核心目标:控制风险以促进组织目标实现。因此,在公司治理中,内部审计是组织内部不容忽视的一支力量。
目前,我国内部审计一般尚未与公司治理相结合,成为公司治理的有机部分,对风险管理也不够关注。为此,要逐步完善企业法人治理结构,明确企业外部和内部的委托关系,培养管理者的竞争意识和风险意识,形成内部审计的需求市场,为内部审计的发展创造良好的环境。同时,要顺应内部审计科学发展的客观规律,在实践中有意识地推动风险导向内部审计的发展。从强调确认和测试控制的完整性,逐步转向强调确认和测试风险是否得到有效管理;从传统的强调关注风险因素,逐步转向关注前景规划。内部审计的建议应不再仅是强化控制、提高控制效率和效果,而应该包括规避风险、转移风险和控制风险,通过风险管理的有效化,评价并改进组织的治理程序,提高公司整体的管理效率和效果
内容摘要:本文结合我办几年来的审计实践,以风险基础审计理论为依据,从实证的角度对环境审计的固有风险、控制风险和检查风险的水平分别进行了评价。对现行的投资体制、财政体制、资金拨付体制、项目管理体制、地方利益驱动和法制观念进行了研究论证,表明环境审计具有较高的固有风险;农业农村工作的现状,普遍对经济活动和资金运行缺乏有效的管理和监督,控制风险处于较高水平;受审计人员专业知识缺陷和审计成本效益的影响,项目总体状况和经济社会效益难以评价,有些检查风险不易控制;由此得出环境审计具有高风险的结论。接下来从审计技术和质量控制的角度,对降低环境审计风险的艰巨性进行了简单阐述。最后介绍了我办实施环境审计中加强项目管理、探索有效的审计技术与方法、依法审计规避风险、切实发挥国家审计的权威性和威慑力的一些做法,以此降低环境审计风险,提高环境审计质量。关键词:环境审计风险评估对策