内控合规与风险管理篇1
关键词:企业内部控制合同风险机制
限于管理理论、意识控制等方面的原因,部分企业合同的管理仍存在着诸多问题。因此,合理运用内部控制理论,加强对合同的监督管理势在必行。
1合同管理存在的主要问题
①合同归口管理不到位,权责分配和职责分工不明确。合同管理实际运行中,法律事务管理部门、业务部门、相关职能部门之间缺乏有效的沟通机制,无任何部门或个人能掌握合同总体情况。②合同样式不符合要求,要素表述不清晰。在合同样式方面,有正式书面的格式合同,也有简单的传真件;在要素描述上有些条款缺少关键表述,有的对会签意见大而化之等等。③合同动态管理如会签、授权、履行监控程序缺失。许多企业在合同静态管理、谈判等前期阶段能够高度重视,但对合同签订之后的合同履行阶段,则往往存在重视不足、管理不到位等情况。④合同执行后验收、评价工作缺失。企业往往缺少对年度合同履行的总体情况和重大合同履行的具体情况分析评估,对分析评估中发现合同履行中存在的不足,没有及时采取有效措施加以改进。
2企业内部控制理论与合同管理风险辨识
2.1指引第16号指出企业合同管理至少应当关注下列风险。①未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈,可能导致企业合法权益受到侵害。②合同未全面履行或监控不当,可能导致企业诉讼失败、经济利益受损。③合同纠纷处理不当,可能损害企业利益、信誉和形象。
2.2从企业合同管理环节上至少应当关注下列风险。①合同准备阶段,包括合同策划、调查、初步确定商业对象、要约、谈判及拟订合同文本等程序。②合同签署阶段,包括征求法律顾问意见,按照权限分部门审核、会签,签署合同文本等。③合同履行阶段,包括合同履行,跟踪监督,变更或终止、纠纷的处理等程序。对合同履行情况及实施情况进行,及时反馈合同履行情况的最新进展,确保合同各方能够完全、全面的履行合同。④合同履约后管理阶段,包括合同履约情况总体评价、风险防控、归档保管等程序。建立合同履约后评价与考核评比奖惩制度,把履约效果与奖惩挂钩,把存在的问题不足与风险管控结合,推动合同管理pDCa机制不断完善,不断提高公司对外经营的竞争力与诚信度。
2.3基于内部控制理论的合同管理风险辨识。①内控观念的局限性。受内部审计环境影响,部分企业一直将企业的内部控制过多的理解为企业的内部审计和财务管理。但对企业运营联系最密切的合同管理与法律风险控制缺少足够重视。②内控流程设计的局限性。部分企业或合同承办部门认为企业内部控制流程的设计增加了企业的运营成本、影响经营效率,对于效益的改观没有太多帮助。③法人治理结构不规范。目前很多企业虽然在形式上建立了法人治理结构,但远未达到内部权利制衡的效果。合同管理流程被架空,内部控制干扰因素过多,内控流于形式,甚至成为违规的遮羞布。
3内部控制基本理论下的合同管理与风险防控
3.1企业内部控制理论。企业内部控制理论的发展大致分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。20世纪,内部控制活动大部分集中在制度的设计和审计方面。如美国相继成立了全国舞弊性财务报告委员会和专门研究内部控制问题的委员会。
3.2内部控制五要素与合同管理。①控制环境。任何企业管理的核心都是企业中的人及其活动,而人又是构成环境的最重要要素。明确组织中的每一个人都对内部控制负有责任,这种组织思想有利于将企业的所有员工团结一致,使其主动地维护及改善企业的内部控制。②风险评估。企业必须建立可辨认、分析和管理相关风险的机制,对经济活动中各层级所面临的风险加以管控。③信息与沟通。围绕合同管理内外部环境的变化,必须建立与合同管理控制活动相关的信息与沟通系统。通过信息的交换与分析,对监督、控制进行调整,使企业内部控制越来越趋于完善。④内部监督。在成本与效益原则下,企业合同管理控制过程必须施以恰当的监督,通过监督考核机制对违规现象加以修正。
3.3合同管理环节的风险防控。①合同准备。签约主体风险防控。签约主体合格是合同得以有效成立的前提条件之一,签约主体风险的结果是合同无效或被撤销。②合同谈判。合同谈判风险防控。谈判是双方在平等、自愿、公平原则下,磋商合同内容和条款,明确双方的权利义务的过程。③文本起草。合同形式风险防控。合同形式可以分为书面形式、口头形式和其他形式,是合同当事人意思表示的载体,应符合法律或有关部委审查备案的要求。如《合同法》规定,对借款合同、建设合同等应采用书面形式。④合同订立。合同订立前有关部门必须对文本进行审查会签。合同文本审核是合同签署的关键环节,其风险主要有是否违反国家有关政策法规,合同主要条款存在重大误解,审查人员的职业技能与操守,审查意见或建议是否被采纳。⑤合同生效。合同生效风险防控。经审核后的合同签订稿必须由企业法定代表人或被授权人签署,加盖企业公章后生效。其风险主要表现在:企业内部授权委托制度不健全,签署权限不明确而造成越权签订;合同印章管理不当,随意加盖合同印章。合同签署后被篡改等。主要管控措施:企业应当建立合同签订授权制度、专用章使用与保管制度。采取恰当措施,防止已签署的合同被篡改。⑥合同履行。合同订立后,企业应诚实守信的履行合同约定,并按交易习惯履行通知、协助、保密等义务。该环节的主要风险是当事人没有恰当地履行合同中约定的义务。⑦合同变更(解除)。合同变更(解除)风险。其风险主要表现在:变更双方意见不一致导致合同无法继续履行,合同变更签证不规范,涉及合同变更协商的书面协议未作为合同的组成部分等。主要管控措施:合同变更程序上应参照新订立合同按权限履行审批手续,明确合同承办部门对合同履行情况及效果的信息通报。⑧合同争议。合同争议是一方或双方对合同条款履行提出质疑并要求予以解决处理。在发生纠纷时,双方应采取有效措施防止纠纷的扩大和发展,首先通过和解或者调解解决争议,尽可能避免诉讼。当事人不愿和解、调解或者和解、调解不成的,可以根据合同约定申请仲裁或向人民法院提讼。⑨合同终止。合同终止指合同当事人双方在合同关系建立以后,因一定的法律事实的出现,使合同确立的权利义务关系消灭。合同履行的终止并不消灭当事人因此所应承担的返还财产、赔偿损失等责任,以及以后合同义务的履行。值得关注的还有合同终止后有关质保金与售后服务的继续履行。⑩合同后评价。合同后评价是对合同管理各个过程一个整体的、综合性的评定,通过评价有助于分析、总结企业合同管理中的经验和不足,推动合同管理水平的提升。企业应当建立合同后评价与责任追究制度,对分析评估中发现合同履行中存在的不足,应当及时采取有效措施加以改进,对合同订立、履行过程中出现的违法违规行为,应当追究有关机构或人员的责任。{11}合同归档。合同归档保管是完善合同管理的重要环节,通过对合同资料的编号、统计、分类、归档和借阅进行管理,保证合同资料(包括招投标文件、补充协议、合同文本、审查会签单、监控视频材料等)的完整性,避免合同资料缺失或被泄密、滥用。主要防控措施:明确合同管理人员职责,规范合同资料归档范围、借阅审批、归还手续等有关要求。
4结束语
合同作为企业承担独立民事责任、履行权利义务的重要依据,是企业管理活动的重要载体,也是企业风险管理的主要内容。企业需要运用内部控制理论对合同法律风险进行分析与控制,并建立一系列制度体系和机制保障,促进合同管理的作用得到有效发挥。当然,内部控制并不是要消除任何的可能性,也不存在完美无缺的内部控制。只有这样,才能正确认识基于内控规范下的合同管理与风险防控工作,不断提高经营管理水平和经济效益,促进企业的事业不断健康发展。
参考文献:
[1]朱锦余.合同风险管理与内部控制――理论・实务・案例(企业内部控制与风险)[m].大连出版社,2010.
内控合规与风险管理篇2
一、《指引》、《基本规范》、CoSo新旧报告主要内容比较
《指引》、《基本规范》、CoSo新旧报告的主要内容见表1所示。
第一,定义上的比较分析。从定义上看,四者都强调了内部控制或风险管理是一个过程,而且是一个持续改进的过程,是实现目的的手段而非目的本身;都是为企业目标的实现提供“合理而非绝对”的保证。参与主体方面,《基本规范》与CoSo两报告都要求“企业董事会、管理层以及其他人员共同实施”,这既明确了参与主体,也强调了“全员控制”。而《指引》在全面风险管理定义中虽未直接指明主体,但《指引》第四十二条指出:企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。可以看出,《指引》中的全面风险管理也是“全员性”的,董事会、管理高层、各职能部门、企业员工均要全员参与。
第二,目标上的比较分析。《指引》中未涉及企业目标,但提出了风险管理的五个总体目标:确保将风险控制在与总体目标相适应并可承受的范围内;确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;确保企业遵守有关法律法规;确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
《基本规范》提出了由五个目标构成的完整目标体系,其中战略目标是内部控制最终的目的和最根本的目标。CoSo新报告在原来三目标的基础上增加了战略目标,这意味着风险管理不仅仅应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。另外,CoSo新报告还将报告拓展到“内部的和外部的”“财务的和非财务的报告”,该目标涵盖了企业的所有报告。
第三,要素上的比较分析。《指引》没有直接引入要素概念,仅从全面风险管理内容看,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统五个方面。《基本规范》的五要素是借鉴CoSo旧报告的五要素,并根据我国实际情况作了一些调整。如《基本规范》将控制环境和监督要素限定为内部环境和内部监督,突出了内部控制的“内部”特征;在风险评估引入了风险承受度,明确了风险识别、风险分析、风险应对策略;把控制活动界定为控制措施,并提出了具体的控制措施,更具可操作性;在信息与沟通要素中加入了反舞弊机制。当然,我国《基本规范》中存在着要素划分不够清晰的问题,如将内部审计作为内部环境的构成部分,而又规定内部审计在内部监督中的职责权限,同一个内容出现在了两个不同的要素之中。与此类似,机构设置、治理结构、权责分配和人力资源政策也同时具有内部环境和控制活动的特征。CoSo新报告在原有旧报告的基础上新增了三个风险管理要素――目标设定、事项识别和风险应对。另外,CoSo新报告对相关要素的内涵进行了扩展。
第四,风险管理理念上的比较分析。在风险管理理念上,CoSo旧报告中的内部控制强调的是对单个风险或业务单元的风险进行管理,而《指引》和《基本规范》都有风险组合观的思想,其中,《指引》还明确界定了风险偏好的概念,并定义了风险承受度。
CoSo新报告明确提出了风险组合观,要求企业管理者以风险组合的观点看待风险、从企业整体层面上总体把握风险。针对企业目标实现过程中所面临的风险,CoSo新报告对企业风险管理提出了风险偏好和风险容忍度两个概念。
可见,我国《基本规范》科学地界定了内部控制的内涵,准确定位了内部控制的目标,统筹构建了内部控制的要素,同时也吸收了CoSo新报告的精神实质,在一定程度上强调了内部控制与风险管理的统一,在所有重大方面基本与美国CoSo报告保持一致,同时在某些地方也体现了中国特色。从内部控制与风险管理整合的角度看,《基本规范》与《指引》有很强的关联性,而相关概念和规范内容又不尽相同,两者未进行有效的统一协调,因此势必会增加国有企业实施《指引》和《基本规范》的难度和成本,影响企业实施效果。而美国CoSo成功地将内部控制融入到企业风险管理之中,新报告基本涵盖了旧报告的所有合理内容。
二、我国内部控制体系建设建议
第一,积极借鉴外部经验。欧美国家,特别是美国,无论是在内部控制理论上,还是在内部控制规范化建设方面,都比我国起步要早,已经研究和制定出了一系列的规范。因此,学习和借鉴国外先进的内部控制规范是我国内控建设过程中的一个必要阶段。但我国企业在法治意识、制度基础、风险理念、经营风格等方面与欧美企业存在较大差异,因此照抄照搬的内控规范可能不适合我国国情。我国的内部控制规范比较接近于美国模式,即采用的是规则导向型的内部控制。但是,美国模式有一个前提,即:如果通过内部控制的评价和报告暴露出管理层不能履行对内部控制的责任,那么管理层会受到董事会、市场和监管部门的惩罚。但是,我国对管理层的责任追究机制远没有美国有效,因此这个前提在我国目前的情况下还没法成立,如果直接效仿美国模式,将很难看到基本规范实施的效果。所以,我国的内部控制规范可以适当采取原则导向和规则导向相结合的方式,以原则为基础,以规则为指导。
第二,加快内部控制规范创新。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点,提供的仅仅是个原则性的框架,这就造成我国企业在具体实施的过程中面临难题――企业应当如何结合自身情况实施内部控制?所以,我国应进一步制定保护基本规范顺利实施的细则,包括企业如何有效地执行规范、如何准确评价本企业内部控制状况、中介机构如何客观评价内部控制的有效性并出具审计报告等。另外,对于《基本规范》中存在的某些问题,如:要素划分不够清晰,对内部控制整体的关注不够等,应进一步得到规范。
第三,对内部控制和风险管理进行整合。虽然新颁布的《基本规范》与《指引》有很强的关联性,但两者未进行有效的统一协调,这一问题有待迫切解决。正是因为有风险才需要控制,控制的最终目的是为了降低风险,所以,应尽快将内部控制与风险管理进行有效整合,以减少企业实施成本和监管成本。
内控合规与风险管理篇3
关键词:企业全面风险管理内部控制体系
一、全面风险管理和内部控制概念
(一)全面风险管理的概念
全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。
(二)内部控制的概念
内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。
(二)管控范围相互包含
从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。
(三)管控视角侧重不同
从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。
(四)管控目的存在差异
从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。
综上所述,能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素,进行准确全面的度量和评估,建立初始信息框架,是全面风险管理工作流程起始点,因此,要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上,提出各种应对措施及方法,内部控制措施其必要性与风险系数呈正相关的关系,并依据风险内容制定控制机制与实施,企业在生产运营管理中,通过使用具体的内部控制措施的有效工具,对各类风险进行控制、评估,从而监控管理潜在的各类风险爆发隐患。
三、企业内部控制体系实施
随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。
建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SoX内控体系到全面风险管理内控体系演进的过程。
(一)基于财务报告相关基础的SoX内控体系
初步建立以《萨班斯》财务报告为基础的一套内控体系,主要关注内控组织和制度的建设,完成体系的搭建,内外部审计中,均顺利过关,遵循工作总体有效,主要建设效果如下。
1.搭建内部控制体系组织架构和体系
内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。
按照内部控制建设目标和原则,通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设,完善了基本的内部控制设计,业务流程范围覆盖了企业所有业务部门,形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点,形成内部控制手册和矩阵。
2.梳理规范业务操作
梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。
3.提升风险管理意识
通过结合基于财务报告相关的内控建设初步的风险管理体系,深化了内控的管理细度,实现了将与财务报告相关的内控要求融入日常工作,与业务运营融合,提升了业务执行效率与效果,增强了风险管理意识。
4.内部控制落实
企业通过部门层面内控常态化管理项目的实施,将公司层面的控制落实到部门层面,控制的执行更加明确,转换部门角色,把部门由受控主体转变为控制的主体,形成部门内控闭环管理体系,实现部门内部控制的建立、执行、测试及跟进闭环管理,将控制真正融入到日常工作之中,避免内控管理与生产管理“两张皮”。同时,建立并完善内部信息沟通渠道即内控月报制度,内控月报涵盖了各部门日常工作中涉及的相关内控工作,实现与公司内控职能管理部门财务部的有效沟通。
5.加强内控执行监督
为加强对内控业务执行的监督力度与执行效果,设置考核体系和评价体系,企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式,以加强业务部门对内控管理工作的重视程度;在日常监督检查方面,采取了部门层面内控闭环管理体系,通过明确各部门内控自测要求,促进业务部门开展自测,并与内外部审计等检查实行有效衔接,主动发现风险,从而达到关注重点、聚焦实质的目标,将内控风险管理工作和业务管理工作有机的结合在一起。
(二)以风险为导向、面向业务运营的全面内控体系
开展企业层面的风险评估,编制全面风险评估报告,全面优化SoX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。
1.搭建业务框架
内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。
2.增设关键控制,注重前后评估
一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。
根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。
3.合并同质控制
通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。
4.梳理标准规范
考虑系统维护量增加,效率降低,以及未来的可扩展性,兼顾控制基线要求,适当强化部分控制,为不断增多的系统提供统一、标准的控制规范,统一了各信息系统的整体控制要求。此外,通过梳理与财务报告相关性系统,考虑其是否产生计费话单或生成财务数据,是否传输或存储财务数据,对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴,而是纳入日常管理流程。
5.实施内控系统固化
伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。
(三)以全面风险管理为视角的内控体系
遵循CoSoii框架的全面风险管控体系,组织开展重大风险管控项目试点,促进风险管理工作与业务的深度融合,主要关注风险评估和风险应对,实现向全面风险管理过渡,不断完善其风险体系和内控体系建设,构建与以全面风险管理视角的内控体系,其主要建设效果如下。
1.深化风险文化
作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。
2.构建风险体系
企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。
全面风险管理工作从上述六类风险角度出发,营造企业自身文化;梳理公司各业务和内外部环节存在的风险,健全风险防范制度,构建风险防范体系。通过与利益相关方的沟通,提升公司形象,加强公司的廉政建设。
首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。
其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。
再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。
最后,加强利益相关方沟通管理和需求回应,全面提升社会形象。
企业通过上述措施制订执行全面风险管理工作计划,明确责任,评估各项风险发生的可能性和发生后对公司的影响程度,并对风险的重要性程度排序,确定公司面临的各种风险,细化落实相关计划与措施,定期开展回顾总结,监督执行情况、提出改进建议,完善风险管理的闭环管理机制,将风险管理的工作要求与业务运营管理相融合,切实做好日常的风险管理控制。
3.提升管理水平
通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。
4.关注重点风险,内控业务对标
随着企业管理日益精细化,相关内控要求与业务制度也在持续优化更新。在生产经营过程中,运用正向、逆向思维,梳理内部控制制度和业务管理制度,内控制度设计覆盖业务管理全过程,关注重点高风险和舞弊领域,业务制度是内控制度执行依据,内控制度是将业务制度中与内控相关条款归纳、整合。基于此,从内控合规角度出发,查找设计不合规或两者不一致的内容,进而完善内控要求与业务制度,实现全部内控业务流程对标,并将此项工作纳入内控常态化管理工作范围,不断完善内控体系。
上述内控体系特点为,建立企业统一的、标准化的内控手册和矩阵;控制点要求落实到具体部门和责任人,确保有效落地执行;内控管理执行部门和风险管理监督部门各司其职,相互制衡;全面覆盖涉及企业所有业务单元,涵盖生产、市场和管理等各业务线条;采用风险评估的方法,以风险为导向,关注关键环节风险管控;将内控与业务活动的紧密融合,避免“两张皮”;利用信息化手段固化内控要求,充分发挥信息系统优势。
四、未来全面风险管理内控体系的实施建议
(一)将企业风控管理和战略管理结合在一起
战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。
为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。
(二)全员参与自主风控
全面风险管理是长期性工作,涉及企业生产和管理整个过程,需要全员上下共同参与实施,也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求,评估企业关键性业务的状态,避免业务执行和风控执行信息不对称;实行自主动态风控管理,使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求,从而不断提升全员风险管控意识,做好重大风险自主评估;增强内控与业务融合度,确保关键业务自主内控合规;深化内控管理信息化的建设,实现内控要求系统自动控制;推动审计发现问题整改复查,发挥审计检察闭环监督价值。
(三)强化风险监控预警,有效完善内控体系
企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。
五、结束语
内控合规与风险管理篇4
关键词:内部控制法规内部控制与风险管理整合体系建设
我国内部控制建设工作已经如火如荼的开展了几年,笔者结合在企业和咨询公司的工作经验,针对企业对于内部控制法规和体系建设的疑问,对我国内部控制法规的现状进行解读和比较,以及如何应用这些法规体系,建设内部控制和风险管理体系的整合。
一、我国内部控制法规的现状
(一)我国内部控制法规的多样化
我国内部控制法规存在多样化,一是颁发的机构不同,二是法规的内容针对性不同,三是法规适用的主体不同。
在《企业内部控制基本规范》和《企业内部控制配套指引》未出台前,都是各监管部门自行制定的,并且有些对内部控制的要求并不是以单独的法规的形式体现,而在融合在其他法规中。《企业内部控制基本规范》和《企业内部控制配套指引》是由五部委共同出台的,对我国企业内部控制建设有了统一的规定和执行要求,以后所有与内部控制建设和执行有关的法规规章都依据两项法规执行。
毕竟我国企业行业、类型、经营管理等存在多样化,《企业内部控制基本规范》和《企业内部控制配套指引》规定的内容不能面面俱到,加之不同的监管法规的存在,企业在建设和企业内部控制时,除了依据最基本的《企业内部控制基本规范》和《企业内部控制配套指引》,也要执行与企业相关的监管部门的规定,才能确保企业内部控制建设的全面性和重要性。
(二)风险管理法规现状
对于风险管理的要求,除国资委出台《中央企业全面风险管理指引》专门的风险管理的法规外,其他法规对风险管理要求都是也体现在与内部控制相关的法规体系里。因此,对于企业在建设内部控制和风险管理整合的体系时,需要借鉴国资委出台《中央企业全面风险管理指引》,在对风险信息收集、识别、评估、应对等进行遵循和参与。
因此,我国内部控制法规包含多种类型,一是对对所有企业都适用,二是针对上市公司和金融机构;颁布的监管机构包括了财政部、国资委、银监会、保监会、证监会、审计署、中国人民银行、深交所、上市所。
二、内部控制与风险管理的整合应对
(一)内部控制与风险管理的关系
我国内部控制建设融合了风险管理和内部控制两种理念。
内部控制和风险管理不是独立两个体系,内部控制的基础是基于对企业风险的识别,内部控制建设的目的是防范和控制风险;风险管理体系的建立是依赖于内部控制体系的建设,所以两者相互协调、统一的整体,其最终的目的都是促进企业实现发展战略目标。
基于风险管理为基础的内部控制整合体系,是企业内部控制建设和实施的方向,规范和指引各种类型企业的内部控制建设。
(二)内部控制与风险管理整合体系
内部控制与风险管理整合的步骤如下:
第一步:组建风险及内部管理架构
确认企业风险管理及内部控制管理的目标、原则,组建风险及内部管理(以下简称“风控”)架构,明确治理层、管理层的管理层级、权限、职责,以及具体风控实施的部门、职能、人员构成、任职要求、汇报层级等,要保证风控部门的权威性和一定条件的参与权、处置建议权。
第二步:风险信息收集及整理
企业治理层确认企业风险管理目标,明确风险管理的重点和原则。
由风控部门牵头,各职能部门、业务部门共同参与,以风险管理目标为基础,对企业所面临的各种风险进行收集,之后进行信息的整理、筛选和汇总工作,形成的风险信息因素要有普遍性、针对性、行业特性。
在此基础上,共同讨论形成企业的经营管理活动的初步业务循环。
第三步:风险评估及分析
由风控部门,或由风控部门牵头,业务骨干参与组成风险评估小组,对企业经营管理活动,按循环、部门对业务流程进行梳理,明确企业目前重要的业务经营单元有哪些,这些业务经营单元由哪些业务流程构成。
流程梳理后,企业将从风险管理的角度分别对每个流程进行分析,同时结合整理后的风险信息因素进行对比,这些流程中目前是否存在风险,存在哪些类别的风险,风险在什么情况下会发生,风险对企业的影响是否在企业承受范围之内,目前企业针对该风险的防控措施有哪些,是否还有效运转,实施了这些防控措施后风险的影响是否有所降低,经有效防控后的风险影响是否符合企业目前的风险偏好和企业目前的承受范围内等。
在此基础上,对企业的业务流程进行重新的界定和划分,循环划分的详细程度,依据业务管理的精细化程度不同而定,以达到企业经营管理活动的全面性、重要性和成本效益的原则。
第四步:缺陷的确认与整改
风控部门在评估检查后风险,对企业目前确实已经发生且存在的,编制缺陷汇总,包括可能产生的风险及形成原因、可能造成的风险损失、重要性程度、责任部门等,与缺陷发生的部门讨论确认,按审批权限审批后,下发整改执行。
第五步:制定风险应对方案
在上一步骤基础上,结合企业的风险偏好,确认针对风险的控制措施。
第六步:编写风险数据库
企业风控部门组织各部门编写风险数据库,依据划分的流程,说明企业可能会面临的风险、所属的循环、风险可能产生的后果、风险影响的程度、风险的应对政策、风险的责任部门等。
企业在风险数据库编写的要结合风险信息收集和评估的内容,有针对性进行编写,不是风险信息的内容越多越好,而是要体现企业所处的内外部环境、发展周期、经营规模、人员状况等。
企业风险数据库,要定期进行重新的识别、评估,进行更新,以符合企业的状况。
第七步:编写内部控制体系文件
企业在风险和流程梳理完成后,依据识别出的风险、企业的风险应对策略,对现有的控制活动的控制措施进行修改或完善,以达到规避风险的目的,控制措施的体现载体为企业风险和内部控制管理体系文件。
企业修改或完善内部控制体系文件时,首先要对现有的评估的风险与现有体系文件中规定的控制措施进行一一核对,找出体系文件存在遗漏、不完整、不规范之处,在此基础上进行完善。
企业在编写内部控制体系文件时,要结合《企业内部控制基本规范》五要素的要求,并且企业在编写内部控制体系文件时,要结合国家的相关法律法规的要求和监督部门特殊要求。
第八步:编写评价文件
企业编写评价文件,主要是为了内部监督部门对风险和内部控制管理实施情况进行评价。
编写的依据是企业完善后的内部控制体系文件,针对每一项业务活动、控制措施,制定评价的方法、频率、文件抽查名称、抽查的数量、缺陷定义的依据等。
评价手册的编写,要使实施评价活动的人员,在实施评价活动过程有依有据,填写的评价手册底稿内容,要能如实反应企业的存在的问题,所以评价手册的编写的要素要完整,格式要简练,操作性强。
第九步:实施评价活动
企业在实施评价活动之前,要先确认评价的重点、评价的频率。
企业对风险的承受度、企业经营管理的复杂程度、人力资源素质、实施成本,决定企业实施评价的频率,企业至少每年要实施一次评价活动。
实施评价活动的频率,也与每次进行评价的内容相关,如果企业在一个年度内,进行数次的评价活动,考虑成本的原则,每次可以选择不同的重点内容进行评价,如果每年度只进行一次评价活动,就是进行全面性的评价活动。
第十步:编写评价报告
内控合规与风险管理篇5
关键字:公司治理;内部控制;风险管理
一、公司治理、内部控制、风险管理的含义
狭义上,公司治理主要是指公司的股东,董事及经理层之间的关系;广义上,公司治理还包括公司与利益相关者(如员工、客户、供应商、债权人、社会公众)之间的关系,及有关法律、法规等。从经济学的角度看,公司治理起源于所有权和经营权的分离,其实质是解决因所有权与
内部控制是指一个单位的各级管理层,为了保护其经济资源的安全、完整,确保经济和会计信息的正_可靠,协调经济行为,控制经济活动,利用单位内部分工而产生的相互制约,相互联系的关系,形成一系列具有控制职能的方法、措施、程序,并予以规范化,系统化,使之成为一个严密的、较为完整的体系。
风险管理是指如何在项目或者企业一个肯定有风险的环境里把风险可能造成的不良影响减至最低的管理过程。
二、公司治理、内部控制、风险管理的关系
(一)公司治理与内部控制的区别与联系
1、公司治理与内部控制的区别
(1)构成内容不同。从狭义的角度看,公司治理是指有关公司董事会的功能、结构和股东权利等方面的制度安排,著名学者吴敬琏认为,狭义的公司治理是由股东大会、董事会和高层管理人员组成的组织结构。从广义的角度看,公司治理是指有关公司控制权或剩余索取权分配的一整套法律、文化和制度安排。
(2)结构不同。公司治理结构也分为狭义的公司治理结构和广义的公司治理结构。狭义的公司治理结构也称内部治理结构,是指公司的所有者与经营者和员工之间建立的权利与利益的分配与制衡关系及规制决策体系。
(3)采用的方法不同。公司治理是协调企业与所有利益相关者之间利益关系的制度安排,通常采用规则、守则、指南、制度和程序进行公司治理。与公司治理采用的方法不同,内部控制除使用制度、原则之外,更多的是采用具体方法。
(4)控制的侧重点不同。公司治理注重于对企业整体的把握,控制侧重于董事会、监事会、高级经理层的权责设置、有效运作和战略管理方面,内部控制侧重于公司战略的实施以及经营活动的效率、效果方面。
2、公司治理与内部控制的联系
从管理学的角度看,公司治理与内部控制的目的相同,都是为了控制企业风险。企业风险尽管按照不同的分类标准存在多种多样的风险,但从企业管理的角度看,企业风险一般包括公司治理风险(包括战略风险)、经营风险、财务风险、其他风险。其中公司治理风险属于公司治理的对象,经营风险、财务风险属于管理控制的对象。公司治理通过强化公司内部组织的功能与有效运作,实现事前、事中的监督,有效地避免了公司治理风险。内部控制通过内部环境、目标设定、事项识别、风险评估、风险反应、控制活动等程序,保证了企业战略目标和经营目标的实现。公司治理与内部控制的协调配合有效地控制了企业风险。
(二)内部控制与风险管理的区别与联系
1、内部控制与风险管理的区别
(1)活动范围不同。风险管理的范围更广。首先,它比内部控制增加了战略目标。其次,目前所提倡的风险管理包含了风险管理目标设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设定,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
(2)范畴不同。风险管理贯穿于事前预测、事中控制和事后整改,而内部控制仅通过事中控制和事后整改以实现目标。内部控制只是管理的一项职能,是企业整体管理的有机组成部分。
(3)对风险的对策不同。风险管理框架引入了风险管理哲学、风险偏好等新内容,在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持前台决策流程等,这些内容都是内部控制框架中没有的。
2、内部控制与风险管理的联系
(1)它们都明确是一个“过程”,不是静态的结果,而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固定的。
(2)它们都是为企业目标的实现提供合理的保证。
(3)它们都由企业的董事会、管理层和其他人员实施,都受人的影响。
(4)全面风险管理有四大目标,其中经营目标、报告目标、合规目标与内部控制的目标相重合。
三、企业风险管理整合框架下公司治理、内部控制、风险管理整合
(一)管理范围的协调
风险管理整合框架下的内部控制是站在企业战略层面分析、评估和管理风险,是把对企业监督控制从细节控制提升到战略层面及公司治理层面。风险管理不仅仅关注内控建立,最主要的是关注内部控制运行与评价,从企业所有内外风险的角度为公司治理层、管理层持续改进内部控制设计和运行提供思路,风险管理比内部控制的范围要广泛得多。
(二)前动与后动的平衡
在风险管理整合框架下的内部控制既包括提前预测和评估各种现存和潜在风险,从企业整体战略的角度确定相应的内控应对措施来管理风险,达到控制的效果,又包括在问题或事件发生后采取后动反应,积极采取修复性和补救性的行为。显然,在未发生风险负面影响前即采取措施,更能够根据事件或风险的性质,降低风险的损失,降低成本,提高整体管理效率。
(三)治理、风险、控制的整合
依照风险管理的整体控制思维,扩展内部控制的内涵和外延,将治理、风险和控制作为一个整体为组织目标的实现提供保证。这一整合的过程将克服原本内部控制实施过程中内部控制与管理脱节的问题,整个组织风险管理的过程也是内部控制实施的过程,内控不再被人为地从企业整个流程中分离出来,提高了内部控制与组织的整合性和全员参与性。
内控合规与风险管理篇6
【关键词】内部控制风险管理关系
一、引言
1985年美国为了遏制日益猖獗的会计舞弊活动,成立了一个反财务舞弊委员会(treadway委员会),调查导致会计舞弊活动的原因,并提出了解决方案。该方案强调了内部控制的重要性,建议要求所有的上市公司都应该在其年报中提供内部控制报告。报告内容包括承认管理当局对财务报告和内部控制负有责任,并讨论这些责任的履行情况。在treadway委员会结束其使命之后,该委员会的五个发起组织联合成立了一个新的委员会——CoSo(theCommitteeofSponsoringorganizationsofthetreadwayCommittee)。CoSo继续研究并于1992年了一份关于内部控制的纲领性文件,即《内部控制—整体框架》。2001年年底以来,美国爆发了以安然、世通、施乐等公司财务舞弊案为代表的会计丑闻,重创了美国资本市场及经济,同时也集中暴露了美国公司在内部控制上存在的问题,由此导致美国通过了《萨班斯—奥克斯利法》。此次立法代表着资本市场制度的一次大的进步,也使人们对内部控制的重要性有了更深刻的认识。我国的《企业内部控制基本规范》于2008年由财政部、证监会、审计署、银监会、保监会联合制定,对加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益起到指导作用。
二、内部控制与风险管理的比较
内部控制与风险管理有着密切的联系。CoSo认为,内部控制是风险管理的一部分。因此,该委员会在《内部控制—整体框架》的基础上,又于2004年出台了最新报告——《企业风险管理框架》。《企业风险管理框架》继承并包含了《内部控制—整体框架》的主体内容,同时扩展了三个要素,增加了一个目标,更新了一些观念,旨在为各国的企业风险管理提供一个统一术语与概念体系的全面的应用指南。
1、CoSo对内部控制与风险管理的定义及其组成要素
内部控制:企业内部控制是由企业董事会、管理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。
风险管理:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。它有八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。
2、从CoSo的两份报告来看,企业风险管理与内部控制的相似或不同之处
第一,它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。
第二,它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
第三,它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略制定过程。
第四,风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
第五,风险管理提出了风险组合与整体风险管理的新观念。《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。
三、内部控制与风险管理的内在联系
企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤,它使股东的家产与企业的财产及企业的经济责任相互独立,股东的变换不再影响企业的信用能力,为股权交易扩大了范围并增加了流动性,从而降低了投资风险并促进了企业融资,造就了今天巨型的股份公司。
为了使股权交易与股东变换不影响企业经营的连续性,也为了使资本与经营能力实现更优的组合,企业的所有权与经营权在现代企业中高度分离开来,由此也带来了新的风险,即职业经营者有可能不履行其受托责任而损害股东的利益。另外,有限责任也有可能诱使企业从事风险过高的项目而损害债权人利益。因为在有限责任下,潜在的收益主要由企业(股东)获得,而失败即破产的风险则主要由债权人承担。上述风险不是市场化的,可以由市场竞争自发约束或市场交易提供避险,如产品质量或自然灾害等,而是机制问题,属于组织或交易中的问题,需要规则与制度进行规范。这些制度包括企业治理中的责任制度,如财务报告、内部控制及审计等。
内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama、Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。CoSo在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。”
技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
四、从内部控制走向风险管理
有一种争论,即风险管理包含内部控制,或内部控制包含风险管理。笔者认为得出什么样的结论并不十分重要,最重要的是明确风险管理与内部控制之间有重合与联系的地方。谁的范围更大,可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同。即使在同一个时代,不同的行业各自的侧重点也可能不相同。
在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,如财务报告的准确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。
尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
【参考文献】
[1]阎达五、杨有红:内部控制框架的构建[J].会计研究,2001(2).
[2]程新生:公司治理、内部控制、组织结构互动关系研究[J].会计研究,2004(4).
[3]张砚、杨雄胜:内部控制理论研究的回顾与展望[J].审计研究,2007(1).
内控合规与风险管理篇7
关键词:内部控制、风险管理、内部控制评价
中图分类号:o23文献标识码:a
一、内部控制及内控评价的发展趋势
21世纪以来,随着经济全球化的深入,企业面临的外部环境趋于复杂多变,企业的经营面临更大的风险。为了应对外部环境的变化,各个发达国家的企业都在加强风险管理和内部控制,内部控制与风险管理趋于融合。为了更好适应国内外形势的变化,不断提高风险管控能力,开展内部控制和风险管理也成为国有企业发展的内在需求。自从2008年《企业内部控制基本规范》以来,上市公司以及大中型国有企业都逐步建立了内部控制体系。我国企业面临走向市场、走向世界,迫切需要进一步完善风险导向型的内部控制体系建设,使得内部控制可以防范风险,提升企业价值。内部控制保持有效,就必须随着企业的发展变化进行动态调整,而内部控制评价正是促使管理型内控体系持续优化完善,保持有效运转的机制。企业开展内部控制是为了控制风险,提升管理效率的需要。内部控制要保持有效,必须随着企业的发展变化进行动态调整,而内部控制评价正是促使管理型内控体系持续优化完善,保持有效运转的机制。
二、基于内部管理的风险导向型内控评价体系
对企业而言,内部控制的最高或者说终极目标,就是促进企业健康、协调、可持续发展,实现企业的发展战略。内部控制的框架体系应该为公司战略服务,为实现战略目标提供支持。内部控制规范体系是一个企业内部控制应有的基本管理要求,在规范的基础上进行风险控制才是最有效率和效果的。风险管理与内部控制作为企业管理的两大工具,各自经历了理论体系的创新和实务操作的发展。内部控制由传统的内部控制制度逐步发展为以风险为导向的内部控制整合框架,风险管理也由分散的财务、经营和战略风险管理逐步发展为整合风险管理。实践证明,内部控制的有效实施有赖于风险管理的技术方法,而风险管理离开了内部控制作为手段支撑也流于形式。我国的企业内部控制规范体系将内部控制与风险管理融为一体。内部控制评价是对企业内部控制有效性进行评价,内部控制是否有效关键是看内部控制能否真正防控风险,能否促进企业战略目标的实现。现在有相当部分企业只是立足于合规型内控,真正跟业务融合仍有一定的距离。企业可以从合规型内控开始,以外部监管要求为对标,发现合规差异,改进管理。但是外部监管要求是最基础的、普适的、通用性的,企业不能永远停留在合规型内控。合规型的内部控制体系难于实现对企业风险的管控,不能满足提高经营的效率和促进实现企业发展战略方面的实际需要。面对新的经济形势与外部环境,企业的内部控制要与风险管理融合,并逐步地将内部控制体系与企业自身管理模式、管理特点和已有的管理制度和程序相结合,推动合规型内部控制向风险导向兼管理型内部控制转型,建立以风险管理为主线,基于内部管理视角的内部控制评价体系。
具体来说,企业应下工夫梳理、摆正内部控制与风险管理的关系,需要独立运行的部分则独立运行,能够结合的地方尽量统筹运作,从而走上既有机融合又自成体系的和谐发展之道。首先是机构整合一致,成立内部控制与风险管理合署办公的领导小组及办公室,统一组织开展两项工作,从源头上确保两者不分割、共发展。其次是统筹运作,凡是两者有交集的地方,如可控风险的识别、评估与管控等,应统筹考虑,并依托日常专业管理,将内部控制与风险管理有机融合起来。最后是形成完整体系,对于两者无交集的部分(如不可控风险的管控、重大风险的预警或者内控长效运行机制的顶层设计等),企业可独立运行,并将独立运行部分与统筹运作部分贯通起来,形成完整的内部控制体系和风险管理体系。
内部控制体系包括评价组织、评价程序、评价方法、评价模型、内控缺陷认定和整改以及评价报告。内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行,企业应结合《企业内部控制基本规范》、各项应用指引以及本企业的内部控制制度,确定具体评价内容,对内部控制设计和运行情况进行全面评价。建立评价模型是建立评价体系的重点,企业应当以内部控制五要素为基础,建立内部控制核心指标体系以及评价标准,对五要素进行层层分解、展开,进一步细化。
风险导向型的内控评价体系,其评价模型应该结合企业的实际情况。企业所处的发展阶段差异非常大,不同行业、不同成长阶段,不同规模,不同所有制的企业,企业的风险不一样,风险不一样,内控上存在的缺陷表现形式不一样,控制重点和控制的方式也存在很大的差异。如集团企业更多关心战略风险、管控风险,投资风险,资金风险等,而单体企业更关心市场风险、生产风险、质量安全风险等。
基于管理视角的内部控制评价体系还要紧密结合企业的其他管理活动状况,企业内部控制在执行中是否有效,能否实现风险控制与企业的业务、集团管控模式、企业生产和质量控制、用人机制和激励放权措施等都有关系。影响内部控制的效率可能是系统问题,因此在内部控制评价过程中,要评价内部控制与业务活动以及其他管理活动的融合情况,从而评价内部控制的有效性。要实现集团内部控制与集团管控、全面预算管理、绩效管理等管理活动的有机融合,才能真正建立管理型的内部控制体系,实现内部控制的目标。
风险导向兼顾管理导向型的内部控制评价体系是将全面风险管理与内部控制有机结合,以内部控制五要素为基础,以风险管理为主线,基于内部管理视角的内部控制评价体系。一方面,全面风险管理与内部控制有机结合,使企业更好地面对当前国内外不断变化的形势,增强企业抵御风险的能力。另一方面,内部控制与企业的业务有机融合,内部控制与企业的各项管理活动实现对接,使得内部控制在风险控制和提升管理效率中发挥作用。风险导向兼顾管理型内部控制评价体系为更加全面的识别企业现阶段存在的问题以及未来面临的战略风险、变革风险提供了明晰的思路,是新形势下内部控制发展的必然要求,是内部控制有效运行的重要保障。
小结
内部控制的建立是一项系统工程,需要管理者和全体员工的共同努力,企业要根据自身发展的实际情况,坚持循序渐进的原则,采取先进的风险管理理念和科学的风险管理方法,不断完善内部控制制度。企业内部控制要以风险管理为导向,以内部控制为手段,以流程梳理为基础,以关键控制活动为重点,以重大风险报告、预警与应急机制为支撑,结合自身管理的实际情况,促进内部控制与风险管理的有效融合,并通过内控评价体系发现并克服内控缺陷,实现内控的持续改善。通过建立基于内部管理视角,以风险管理为主线的内部控制评价体系,引导企业内部控制工作逐步转变为基于内部管理的风险导向型内部控制。
参考文献:
内控合规与风险管理篇8
关键词:税务风险含义成因管理
中图分类号:F810.42文献标识码:a
文章编号:1004-4914(2012)04-195-02
税收作为一种经济调控杠杆,几乎嵌入了企业经济行为的各个环节。随着市场经济发展和贸易全球化,企业面临的商务和税务环境日益复杂多变,税务风险越来越成为企业风险管理中一个不容忽视的风险。税务风险如果处理不当,将使企业经营和声誉遭受损害。如国美、苏宁、创维、娃哈哈、中国平安等诸多国内知名企业就曾因为税务风险防控不利而深陷税务麻烦中。因此,加强企业税务风险管理,恰当有效地控制和防范税务风险已经成为企业面临的一个非常现实而迫切问题。
2009年5月,国家税务总局印发了《大企业税务风险管理指引(试行)》(国税发[2009]90号)(以下简称《指引》)。这是针对大企业税务风险管理的第一个指导性文件,《指引》就企业税务风险管理的制度与目标、税务风险管理组织、税务风险识别和评估、税务风险应对策略和内部控制、信息与沟通、监督和改进等问题进行了明确。旨在引导大企业合理控制税务风险,防范税务违法行为,依法履行纳税义务,避免因未遵循税收法规可能遭受的法律制裁、财务损失或声誉损害。笔者认为,《指引》虽然是对大企业而言,但所有企业都存在税务风险,都应正确识别、评估,有效地防范和控制税务风险,为企业营造安全的税务环境。
一、企业税务风险的含义及成因分析
1.企业税务风险的含义。企业税务风险是指企业涉税行为未能正确有效遵守税收法规以及因未能充分利用税收政策或者税务风险规避措施运用不当而导致企业未来利益的可能损失。主要包括两方面:一方面是由于企业涉税行为不符合税收法律法规的规定,应纳税而未纳税、少纳税,从而面临补税、罚款、加收滞纳金、刑罚处罚以及声誉损害等风险;另一方面是企业经营行为适用税法不准确,没有用足用活有关税收政策,多缴纳了税款,承担了不必要的税收负担。此次的《指引》针对的税务风险主要是前者,但作为纳税人,从自身利益最大化角度考虑,在进行税务风险管理时也应考虑后者。
2.企业税务风险产生的主要原因。(1)企业内部管理制度。科学完善、有效运作的内部管理制度体系是防范企业税务风险的基础。这些内部管理制度包括企业制定的财务管理制度、投资及担保制度、业绩考核及激励制度、物资采购管理制度、企业内控制度等等。如果企业缺乏完善系统的内部管理制度,就很难从源头上控制和防范税务风险。(2)企业税务人员的业务素质。我国的税收法律法规体系非常庞杂,而且税法规定和会计制度之间客观上存在着差异,如果企业税务人员由于专业知识的欠缺,对相关税收法规理解出现偏差,就很有可能出现工作失误,给企业带来税务风险。(3)企业进行税收筹划产生的风险。税收筹划是纳税人在税收法规允许的范围内,根据企业管理需要对生产经营活动所适用的税收政策实行差别选择,从而使自身税负得以延缓或减轻的一种行为。税收筹划是根据当前环境进行的事前筹划,筹划效果具有不确定性。企业经营的内外部环境及其他因素发生变化都有可能给企业带来税务风险。(4)税收行政执法不规范以及法规变化的影响。现行税收行政法规赋予税务机关过多的自由裁量权,有时税务机关内不同执法人员对同一涉税事项的理解和处理也不一致。另一方面,为了适应经济发展的需要,税收法规频繁调整和更新,临时性规章过多,使税收政策缺乏稳定性,加上目前税企间未建立畅通有效的信息传递途径,纳税人无法及时准确掌握新规定并据以调整自己的涉税行为,从而给企业带来税务风险。
二、建立健全企业风险管理组织体系
1.规范公司法人治理结构,形成高效运转、有效制衡的监督管理机制。规范完善的法人治理结构是保证企业税务风险内部控制体系有效运行的前提和基础,是实施风险内部控制的制度环境。董事会负责确定企业税务风险管理总体目标、风险承受程度,批准风险管理策略和重大风险管理解决方案及税务风险管理监督评价审计报告。首席财务官(或总会计师)主持企业的税务风险管理工作,负责组织领导企业税务风险内部控制体系的日常运行。
2.结合企业自身业务特点和税务风险管理原则及要求,设置税务管理机构和岗位,明确各岗位的职责和权限。企业应在综合考虑自身业务特点、税务风险理念和文化对企业涉税行为的影响、税务风险管理原则及要求等因素的基础上,按照科学、精简、高效、透明、制衡的原则,合理设置税务管理机构和岗位,明确各岗位的职责权限,将权利与责任落实到各责任人。
3.建立科学有效的职责分工和制衡机制,确保企业税务管理的不相容岗位相互分离、相互制约和监督。企业在确定职权和岗位分工过程中,应当体现不相容岗位相互分离的要求,保证不相容岗位相互牵制,避免出现权责分配不合理,职能交叉或缺失现象。税务管理的不相容岗位主要包括:税务规划的起草与审批;税务资料的准备与审查;税务申报表的填报与审批;税款缴纳划转凭证的填报与审批;发票领购、保管与发票印鉴的保管;税务风险事项的处置与事后检查等。
4.建立有效的税务绩效考评和奖惩机制。企业应建立有效的税务绩效考评和激励约束机制,将相关职能部门和关键岗位业务人员实施税务风险内部控制的情况纳入考评激励机制,保证企业税务风险管理体系的有效进行。
三、企业税务风险识别和评估
1.分析企业产生税务风险的内部因素。企业内部税务风险因素包括:企业经营理念和发展战略;组织架构、经营模式和业务流程;税务风险管理机制的设计和执行;管理层及关键岗位人员的纳税意识;企业对待税务筹划合法性合理性的理解;对待税务风险的态度;内部控制制度的设计和执行,税务管理部门设置和人员配备;税务管理人员的业务素质和职业道德;财务状况和经营成果;部门间的权责划分与相互制衡,对管理层的业绩考核指标;企业的信息管理状况;信息沟通情况;监督机制的有效性等。分析企业的内部税务风险因素,有利于企业从高管态度、员工素质、企业组织结构、技术投入与应用、经营成果、财务状况、内部制度等微观方面识别企业自身可能存在的税务风险。
2.分析企业产生税务风险的外部因素。企业外部税务风险因素包括:经济形势和产业政策;市场竞争和融资环境;适用的法律法规和监管要求;税收法规或地方性法规的完整性和适用性;上级或股东的越权或违规调配资源行为;行业惯例等。对企业外部税务风险因素的分析和识别,有利于企业从宏观经济形势、市场竞争、产业政策、行业惯例、法律法规规定、意外灾害等方面分析企业所处大环境下可能遇到的税务风险。
3.确定风险识别和评估的重点模块。在全面识别和评估税务风险的基础上,企业应重点关注重大交易和决策中的税务问题;经营过程及供应链的税务问题;税务会计和财务报告反映;税务申报和税款缴纳;税务争议和协商等模块的税务风险识别和评估。
4.细化风险识别。企业通过全面、系统、持续地收集内部和外部相关信息,查找企业经营活动及其业务流程中的税务风险,并将风险识别任务细化,对于组织结构复杂的企业,可根据需要设立税务管理部门或岗位。总分机构,在分支机构设立税务部门或者税务管理岗位;对于集团型企业,可在地区性总部、产品事业部或下属企业内部分别设立税务部门或者税务管理岗位。组织结构复杂或集团型的企业,由于经营地域广,涉税事项复杂,管理流程较长,不容易发现下属单位的个别风险,通过细化风险识别,可以使企业更好地识别实际经营中存在的税务风险。
5.实行风险的动态识别,建立经验数据库。结合企业不同发展阶段和业务拓展情况,建立系统、有效、动态的税务风险识别体系,时刻注意识别和评估原有风险的变化情况以及新产生的税务风险,以便及时调整风险应对策略。该体系可由企业税务部门协同相关职能部门实施,也可聘请外部具有相关资质和专业能力的中介机构协助实施。该体系的实施可以帮助企业决策者进行税务风险的比较与汇总,从而为以后的税务风险识别建立经验数据库。
四、企业税务风险控制和应对
1.制定风险控制流程,设置风险控制点。税务风险是企业整体风险的一部分。税务风险管理,在一定程度上是对现有企业风险管理体系和内部控制规范的补充和发展。企业应遵循成本效益原则,在整体管理控制体系内,制定税务风险应对策略,合理设计税务风险管理的流程及控制方法。根据风险产生的原因和条件从组织机构、职权分配、业务流程、信息沟通和检查监督等多方面建立税务风险控制点,根据风险的不同特征采取人工控制机制或自动化控制机制,根据风险发生的规律和重大程度建立预防性控制和发现性控制机制。针对重大税务风险所涉及的管理职责与业务流程,制定覆盖各环节的全流程控制措施;对其他风险所涉及的业务流程,合理设置关键控制环节,采取相应的控制措施。
2.重点关注企业重大事项,跟踪监控风险。企业重大事项主要包括企业战略规划、重大并购或重组、改变经营模式、重大对外投融资、签订重要合同或协议、内部交易定价政策等。这些事项关乎企业的兴衰存亡,不允许存在过高的风险。在重大决策制定前,企业税务管理机构要进行税务影响分析和规划、税务尽职调查和相关税务合规性复核;在重大事项决策制定中,税务管理机构要参与具体决策的制定并提供专业性意见;在项目实施过程中要和项目实施部门保持沟通,动态监控,及时评估、分析税务风险的变化情况以及对企业的影响程度。
3.规划税务风险应对策略。企业将查找出的经营活动及其业务流程中的税务风险与可能被影响的目标相关联,评估分析风险发生的可能性和条件及对实现企业税务风险管理目标的影响程度,确定风险管理的优先顺序,结合企业风险承受程度,权衡成本效益关系,合理制定企业风险管理应对策略。按照税务风险发生的可能性及其对企业造成影响的大小,可以将企业税务风险应对策略划分为避免、转移、小心管理或承担等。对于发生机率较大且影响程度超出公司风险承受程度的税务风险,企业应当采取避免的策略,放弃或者停止与该风险相关的业务活动以避免和减轻损失;对于影响程度较低、发生可能性较大的风险,可以采取转移的策略。借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内;对于影响程度较高、发生的可能性较小的风险应当小心管理,力求将风险控制在合理范围内;对于影响程度和发生可能性都较低的风险,可以选择承担的策略,不采取控制措施降低风险或者减轻损失。企业应当综合运用避免、转移、小心管理或承担等风险应对策略,实现对风险的有效控制。
4.规范、健全企业内部管理制度。科学完善、有效运作的企业内部管理制度能从源头上防范税务风险。企业应对现有的其他内部控制制度和管理制度及流程进行审阅、梳理、完善,然后将税务风险管理制度与企业内部控制制度和管理制度结合起来,通过制度的融合使用,形成协同效应,全面有效地防控税务风险。
五、信息管理系统和沟通机制
建立税务风险管理的信息与沟通制度,明确税务相关信息的收集、处理和传递程序,确保企业内部、企业各业务部门与公司治理层和管理层、企业与税务机关和其他外部相关单位的有效沟通和反馈。建立问题事项报告制度,发现问题及时报告并采取应对措施。
根据业务特点和成本效益原则,将信息技术应用于税务风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的企业内通用信息处理系统(如Sap),减少税务管理过程中的人为因素,使税务信息能够及时、准确、有效地传递到企业生产经营的各领域中,防患于未然。
利用信息技术手段,将重复性、规律性的事项固化为标准化的操作和流程,进行自动控制;将税务申报纳入信息系统管理,利用报表软件进行自动申报;建立税务日历,自动提醒相关责任人完成涉税业务,并跟踪和监控工作完成情况;建立企业法律法规数据库,收集并定期更新企业适用的税收和其他相关法律法规,确保企业财务会计系统的设置、更改与法律法规的要求同步,保证会计信息的输出能够反映法律法规的最新变化。
六、监督和改进机制
建立税务风险管理体系监督检查的常效机制,通过内部审计和有效的外部鉴证,定期对企业税务风险管理体系的有效性进行自我评价,发现税务风险管理体系的缺陷及时反馈并落实改进措施。
企业税务部门应定期回顾和反省企业现有税务风险管理制度、流程的有效性、必要性、充分性,不断优化改进税务风险管理制度和流程,避免繁复无效的控制制度产生和监控成本的上升,确保税务管理和风险控制工作有序运行。
税务风险管理体系的建立和完善,将大大提高企业税务风险管理水平,使企业能恰当有效地控制和防范税务风险,为企业营造安全的税务环境,提升企业竞争力,促进企业实现持续健康发展的目标。
参考文献:
1.许鲁才,张晓.试论企业税务风险管理.企业导报,2009(5)
2.盖地.企业税务风险管理:风险识别与防控.财务与会计,2009(16)
3.梁骏.建立企业税务风险管理体系正当时.广东经济,2010(6)
4.大企业税务风险管理指引(试行).国税发[2009]90号
内控合规与风险管理篇9
【关键词】银行操作风险合规机制建设
合规经营是银行的生命,也是银行持续发展的保证。管控好操作风险则是银行合规建设的关键。与国外的银行业相比,我国银行由于长期以来对合规、操作以及声誉等风险的认识程度不够,导致银行操作风险管理不能够真正落实到实际工作中,有些银行甚至出现了许多违规操作和违规经营的问题,根源就在于银行内部的合规风险管理机制不完善。所以,我国银行业应当高度重视操作风险的管控,构建有效的合规风险管理机制,抓住银行合规机制建设的关键,从而促进银行健康稳定的发展。
一、银行操作风险管理的现状及分析
由于我国银行体制、机制、理念等各种因素的影响,现阶段银行的操作风险管理依然存在许多的薄弱环节,导致银行操作风险管理体制存在漏洞。
1、操作风险管理体系不健全
有些银行对操作风险的普遍性、长期性以及顽固性缺乏一定的认识,非常容易把一些操作风险情况当做是偶然、局部发生的,存在一定的侥幸心理,致使银行管理人员对操作风险的重视程度不够,银行内部缺乏一些重要的操作风险管理机制,没有严格遵循银行内部控制准则,对于风险管理职能没有专门的部门监管,仅仅由各个业务管理部门负责,存在管理职能上的交叉、管理目标的冲突以及管理流程紊乱等情况,折旧导致银行缺乏统一的操作风险管理战略和政策,银行的管理者也不能清楚地了解到银行面临的操作风险整体状况,操作风险管理机制形同虚设根本落实不到工作中。
2、银行内部管理人员对操作风险认识不够
首先银行管理者在银行内部管理与未来的发展关系上存在一定的认识误区,没有将风险管理与加快发展联系起来。其次由于受传统的东方文化沉淀影响,银行在风险管理制度的执行时操作人员,从上不从制,从师不从制,从习惯不从制,使一些风险管理制度无法得到有效的落实。最后是对操作风险认识太片面。有的银行管理者将操作风险仅仅理解为“操作中”的风险和“操作性”的风险,有的则将操作风险等同于金融犯罪等情况,在对操作风险认识上的不同及局限就导致管理者对操作风险管理的不全面、不系统。
3、操作风险的责任配置错位
近年来,在我国银行实施绩效分配机制改革的过程中,大多数都突出了对银行内部中高级管理人员的正向激励,但对银行基层机构以及一线员工确实激励不足。这种“收入分配上移、风险责任下移”的分配激励机制不但导致银行基层员工的严重不满,同时也挫伤了基层员工积极工作、规范操作的自觉性。另外,银行内部不合理的人力资源配置也严重影响到基层员工合规操作的积极性。近几年的减员增效改革中,各级管理银行作为政策的实际执行者,只是进行各个网点的撤并以及对基层人员进行减员分流,但对于本部的改革却没有见到成效。这种错位的风险责任配置不仅造成基层机构不能按风险控制制度定岗定员,还导致了银行学习培训以及轮岗休假制度顺利进行,再一点程度上提高了操作风险发生的概率。
4、金融创新和电子化建设带来的风险
一方面,许多银行为了抢占并扩大市场的份额,不断地推出许多新的金融产品、新的业务以及新的服务举措,但是在现阶段产品、业务和服务复杂程度不断提高的情况下,如果没有相应配套的内控制度的及时跟进,就非常容易引发新的操作风险;另一方面,在银行业务电子化、自动化程度不断提高的情况下,使银行在各个银行地区的经营以及各项产品的经营越来越紧密地联系在一起,但是,如果银行现代化系统建设滞后就会导致总行不能对各个分支行进行准确到位的内部监控,如果银行的电子化处理系统出现了问题,就会导致严重的、甚至是灾难性的后果。
二、加强合规机制建设,防控银行操作风险
银行是一种具有特殊经营风险的行业,银行在一定程度上是因为承担风险而生存和发展,可以说,银行是处理风险的机器,风险也是银行永恒的主题。现阶段,随着市场经济的快速发展以及银行内部体制的深化改革,银行面临的同业间的竞争压力越来越大,要想加强银行内控体制的完善以及银行合规机制的建设,实现银行快速稳定发展,就必须加大对银行操作风险的防控力度,切实推进银行合规文化的建设。
1、切实增强操作风险防范以及合规机制建设意识
一方面,要想保证银行操作风险管理系统的完善,首先就必须正确认识操作风险,加强银行管理者对操作风险的重视,只有正确认识到操作风险管理对银行的重要性,才能保证操作风险管理系统的建立与完善,使操作风险管理系统真正得到落实,发挥出应有的作用。另一方面,也要提升对银行合规建设的认识,持续开展银行合规学习培训。通过银行内部中层管理人员合规机制认识的提高、合规建设意识的树立以及合规执行水平的提高,来不断培养银行内部员工的合规优先、主动合规、全员合规的合规建设文化,使合规建设机制的核心价值观成为银行全体员工的行为准则。
2、建立严密的内部控制环境
任何操作风险可以说都是人的行为造成的,而人的行为主要就是受到制度道德约束以及文化熏陶。所以,要从根本上控制和避免操作风险的发生,形成操作风险防范的长效管理机制,就必须抓好银行风险管理制度、文化以及人三个关键要素,加强银行对操作风险管理的文化认同,建立起系统化、制度化的内部控制环境。首先要建立严密的内控环境,并对银行的内部控制进行全面的检测评价,按照制度化、规范化、精细化的要求,加强银行的内控建设,构建全面、规范、有效的风险管理以及内控体系,对银行各业务层面的关键风险点实施有效过程监督控制。从内部控制的建设入手,对银行现有的内控制度进行一定的清理整合,对银行业务和风险管理流程进行梳理、整合、规范,以及对岗位职责体系进行细化。
3、进行信息化管理,完善操作风险预警机制
银行的法人在推进银行内部机构管理的同时,还应该全面加强管理信息系统的建设,借助各类现代化实时监控系统加强对银行潜在风险、可疑交易以及违规行为的揭示、控制功能,并加强对各类监测信息共享和过滤的分析评价,对可疑行为以及潜在的风险进行现场检查、监管,从而及时排除操作风险隐患,保证银行业务的安全进行。当前,银行必须要加快将操作风险点细化、量化,将操作的风险点逐一分解落实到银行各个岗位、各个员工,建立完善操作风险数据的识别、登记、报告制度,对各级机构以及业务部门严格按风险控制指标进行监测和控制。同时,还要成立专门的操作风险管理机构,规范操作风险业务流程,形成一套科学、规范、完整的操作风险监控体系。
4、全面提高风险管理人员综合素质
银行风险管理人员的素质对操作风险的控制也会产生重要的作用,高素质管理人员是银行防范操作风险最主要的力量。所以,银行要定期组织管理人员进行学习和培训,不断提高管理人员的职业专业技能、风险管理能力、计算机操作及运用的能力,及时对专业知识进行更新,不断提高管理对对操作风险的认识以及控制能力,保证管理人员能够从容应对银行面临的各种操作风险;另外,银行还要对管理人员进行分阶段的考核,实施管理人员竞争上岗,优胜劣汰的制度,从而提高风险操控管理人员的综合素质,加强对银行操作风险的有效控制。
5、推进银行人性化管理,完善人员的激励约束机制
首先,银行要坚持“以人为本”的基本管理理念,将银行风险管理员工的个人价值利益与银行企业的发展目标相结合,使银行的风险管理人员对未来工作的发展前景充满信心,从而不断提高风险管理工作员工的工作主动性和积极性,有效提高银行操作风险管理工作的完成。其次,银行管理者还要制定一定的奖惩制度,对那些严格遵守银行内部规章制度以及及时消除银行操作风险隐患的工作人员给予一定的奖励;同样,对于操作风险管理人员中疏于管理、监督不到位、执行力度不够等现象,也要追究其相应的责任,给予一定的批评教育或者惩处,从而端正风险管理人员的工作态度,不断引导风险管理员工自觉遵守银行的的规章制度。最后,银行管理者还要根据银行的实际情况,相应地减少银行内部的行政管理人员,不断充实银行内部的基层员工队伍,使银行内部的基层岗位轮换制度和强制休假制度得到切实有效的落实,从而在银行内部建立起一套适合银行自身的科学有效的人员配置体系。
三、结语
总而言之,银行操作风险管理机制的建立完善,对于弥补银行法人治理结构中合规风险控制缺陷、增强银行经营规章制度的可执行性都具有极为重要的意义,并且还有利于银行真正落实全面的风险管理,提高银行内部控制体系的有效性,加强银行合规机制的有效建设。所以银行管理者应当立足于银行自身实际情况,采取必要的措施,尽可能的避免银行操作风险的发生,从而保证银行在新的经济环境下能够健康而稳定地发展。
【参考文献】
[1]万杰、苗文龙:国内外商业银行操作风险现状比较及成因分析[J].国际金融研究,2005(7).
[2]曾宪彬:加强商业银行合规文化建设的思考[J].现代金融,2009(7).
[3]程普:浅谈基层商业银行操作风险的成因及防范[J].青海金融,2008(9).
内控合规与风险管理篇10
abstract:Foralongtime,mostoftheshippingcompanies'managementsystemwasestablishedandconductedbasedoniSmcode,iSpS,iSo9001etc.inChina,whichwillinevitablyleadtothatpayingmoreattentiontoshipsafetymanagementbutnotattachingimportancetoriskcontrolforoperation.Rootedintheheartsofthepeoplewithriskmanagementandinternalcontrolsystem,majorityoftheshippingcompanieshavetore-inspectthemselves.accordingtothissituation,onthebasisofdeepanalysisofcompatibilityandcomplementarityofenterprise-wideriskmanagement,internalcontrolandintegratedmanagementsystem,thelogicalrelationshipbetweenthethreepartsisillustratedandfusionruleisputforward—enterprise-wideriskmanagementshouldbesupportedbyinternalcontrolsystemandtheinternalcontrolsystemrequirestheintegratedmanagementsystemfortheexecutionoftheplacement.accordingly,integratedframeworkofenterprise-wideriskmanagementandinternalcontrolisestablishedonthisbasis.
关键词:全面风险管理;内部控制;综合管理体系;管理融合
Keywords:enterprise-wideriskmanagement;internalcontrol;integratedmanagementsystem;managementintegration
中图分类号:F550文献标识码:a文章编号:1006-4311(2013)29-0163-04
0引言
2008年国际金融危机对航运业造成了非同一般的冲击,使得航运企业不得不重新审视自己的管理,如何更有效的应对市场风险成为摆在航运企业面前的一道最大难题。于是,在政府行政力量的推动下,很多大型航运企业纷纷于近期开始构建各自的风险管理和内部控制体系。但是,由于大部分航运企业长期以来都是基于iSm规则(国际船舶安全营运和防止污染管理规则)、iSpS(国际船舶和港口设施保安规则)、iSo9001、iSo14001和iSo18001建立和实施管理体系的(基于某些航运企业长期以来形成的习惯,本文称之为综合管理体系),因此现在都将面临一个管理思路转型的问题,即新建立的风险管理和内部控制体系如何与原管理体系共存,是新的管理体系覆盖旧的管理体系,还是二者并行运作。而目前实际操作中,绝大多数航运企业的解决思路是采用并行的管理模式,成立新的风险管理和内部控制部门,与原有的体系管理部门并行运作。但这样一来,实践操作与风险管理和内部控制就容易脱离,影响航运企业管理体系的整体有效性发挥,而且存在管理成本过高、管理效率太低的问题。因此,探索航运企业管理体系的融合以实现整体有效性的发挥具有重要的现实意义。本文将通过研究综合管理体系、内部控制体系和全面风险管理体系三者之间在内容上、结构上所具有的独特的相融、交叉和互补特点,探索三者的融合思路,并在此基础上构建航运企业的一体化管理体系。
1融合的必要性
①内部控制自身要素——活动过程控制只是一个简单框架,缺乏一套可供企业员工执行的、具体的操作手段,在其实际运作过程中需要寻求综合管理体系的实践支撑,以获得内控执行的操作点和着落点。②成本与效率要求三者融合。如果把风险管理、内部控制和综合管理体系整合在一起,建立和实施整合型管理体系,那么企业就没有必要同时设立风险管理部、内部控制部和体系管理室,设一个风险控制部就足够了。这样,一个部门、一班人马、一套文件实施监管与审核,统一协调,管理成本更低,管理效率效果会更佳。③概念内涵的一致性、实践的有效性要求三者融合。三者的根本目的都是为了控制风险,保证企业可持续发展目标的实现,能否融合运作将成为航运企业风险控制成败的关键。
2航运企业内部控制与综合管理体系的融合
对于大型航运企业来说,个人认为以《企业内部控制基本规范》为基础框架进行整合更适合于管理实践,有两个方面的原因。
一方面,内控体系有一个很大的优点,它规定了这样的一个流程:从业务发生的起点出发,通过绘制流程图,规范部门、岗位职责,建立风险数据库,绘制风险控制矩阵,使管理者、操作者明确业务过程中存在哪些风险,应该如何控制风险,而综合管理体系只是将流程、风险及其控制措施在管理文件中进行描述,结构上不如内控体系清晰。
另一方面,内部控制和全面风险管理在基本原则上用“推定有罪”代替了iSo9000质量管理所用的“推定无罪”,即内部控制评价和审计时遵循的是没有证据说明控制有效就判定无效;而iSo质量管理体系内审和认证时遵循的是没有证据说明控制无效就判定有效。这就需要重新建立以风险为导向的管理体系,要将“怎么做就怎么写,怎么写就怎么做”、“能做到才写”、“先做成熟了再写”,这样一套以“持续改进建立有效性”为核心的原有的iSo9000质量管理体系建立理念转换为事前就预见并防范风险、完成系统的顶层设计并制定好上下贯通的符合《企业内部控制基本规范》要求的内部控制管理体系,以“风险导向、持续监控、不断优化、执行有效”为核心的现代整合管理体系建立理念。
综合管理体系是航运企业在不同时期,基于不同目标、按照不同标准建立起来的,其在航运企业的管理中涉及到两大块:一是安全生产与污染风险,二是面对整个复杂的经营环境,航运企业为提高自身管理素质、管理质量,增强服务竞争实力,并符合环境、职业健康安全标准而必须达到的要求。但是综合管理体系缺乏对业务流程风险的总体把握,其关注的风险更像是某一特定危险情况发生的可能性及其后果的组合,比如海盗威胁、环境污染、人身伤害等,它将流程、风险及其控制措施统一在管理文件中进行描述,缺乏对具体业务流程中风险的分析和评估,导致控制在针对业务流程风险方面有所欠缺,而这些问题都可以在内部控制体系中得到解决。
企业所建立的内部控制应当是与企业经营活动相结合的,而这个结合点最突出的地方就是活动控制。企业的管理、要求、方针及目标都需要在规范、细化后由员工去系统性执行,以产生最佳的执行效果,这个执行效果才是我们所要的活动控制。内部控制在其自身要素——控制活动中,也提到程序,提到控制措施,但是更像是一个框架,一个抽象的概念。事实上,由于不同企业面临着不同的风险特点,内部控制不可能也没必要列出对所有风险的具体控制方案,比如说内部控制提到通过授权审批明确岗位权限和责任,通过全面预算管理进行预算控制,但这里边缺少一个更具体的,更具实践性的标准或者程序来规范和细化整个控制过程,而这个标准或程序就需要企业根据其自身的特点和所面临的内外部环境来具体制定。对于航运企业来说,综合管理体系就可以很好的解决这个问题。
可见,内部控制与综合管理体系在内容上是互补的,相互支持的:内部控制中的活动控制所缺乏的具体、细化、规范管理可以在综合管理体系这块得到支撑,而通过借鉴内部控制的作法可以绘制综合管理体系的业务流程图,建立风险控制数据库,使综合管理体系的执行更有效。
内部控制与综合管理体系融合很重要的一点就是,应当对内部工作流程中的重点风险进行梳理,并细化到部门。我们以船舶安全运营管理为例,根据企业安全生产的目标,通过流程梳理可以将其细分为三级风险,如表1所示。一级风险可以定为运营风险,下设执行风险、自然灾害风险等二级风险,然后自然灾害风险下面又可以再划分为海啸风险、灾害风险、台风风险等,最后海啸风险里边又包括遇到海啸后如何应对以及海啸预警机制是否健全这两个风险点。那么海务/机务监督室就可以通过对这两个风险点进行分析,制定一整套具体的安全风险内部控制措施及方案,以达到控制海啸风险的目的。由于内部控制中关于控制措施及方案怎么执行是一个抽象的概念,导致的问题就是执行效果参差不齐。对此,我们提出的解决方案就是通过综合管理体系中包含了整个iSm规则的一系列程序文件、工作职责、工作标准、操作须知和应急预案来规范、细化安全风险管理,从事前防范、事中监控、事后处置的角度出发,使得风险控制活动执行更加的严谨有效,同时这也保证了内部控制达到一个更佳的目标效果。
内部控制与综合管理体系融合的另一方面是可以通过采用内部控制的分析方法,将综合管理体系中的流程、风险等用图表列示出来,使之更直接,更便于操作,更易于控制。比如将综合管理体系中的船舶安保控制程序用流程表的方式表现出来,如表2所示。
综上所述,内部控制与综合管理体系两者之间相互协调、相互补充、相互衔接、相互促进。综合管理体系为内部控制的活动控制提供支持,反过来,内部控制可以为综合管理体系的实施提供更好的风险控制思路和方法。因此,以内控为抓手,并强化综合管理体系是航运企业能够持续经营发展的根本保证,将两者融合可以极大促进管理效率的提高。
3航运企业全面风险管理与内控的一体化
3.1融合思路航运企业在实现自身战略目标的过程中,总会遇到各种各样的风险,因此有必要采取内控措施来控制风险。如果没有风险,控制就是多余的。内部控制的实质是对风险的控制,是以风险为导向的控制,风险是内部控制的出发点,也是内部控制的落脚点。建立内部控制需要引入风险管理概念,关注重点风险,并对风险进行全过程控制。因此风险管理与内部控制的内在逻辑关系是目标——风险——风险控制。
可见,风险管理与内部控制并没有实质性的区别,两者之间是相互影响,相互补充,相互促进,共同提高的关系。对于航运企业来讲,应该可以用一体化的观念推进风险管理和内控建设。总的来说就是全面风险管理体系的建设应该与内部控制有机结合,以风险管理为导向,以内部控制为手段,以流程梳理为基础,以关键控制活动为重点,以重大风险报告、预警与应急机制为支撑,结合自身管理的实际情况,促进内部控制与风险管理的有效融合,建立科学的全面风险管理体系。
总之,全面风险管理与内控融合是一个趋势,内部控制是全面风险管理的关键环节和实际操作核心。航运企业全面风险管理与内部控制制度建设要协同进行,要把全面风险管理的各项要求渗透到企业管理的各个领域,融入到企业的整个业务流程中。
3.2全面融合与内部控制相比,全面风险管理的范围更广,更全面。对于航运企业来说,由于经营风险较大,可以以全面风险管理为主导将二者有机融合。一般说来,航运企业面临的风险可以细化为三个等级。举例来说,战略风险、财务风险、运营风险、市场风险等为一级风险,然后根据企业的风险偏好、风险选择,一级风险可以细分为几个二级风险,比如,市场风险中的运价波动风险又分为Coa合同经营、期租经营、即期经营等二级风险。接下来,二级风险又可以继续细化为几个三级风险,比如Coa合同中的履约风险,法律合同风险等。
三个风险级别的逻辑关系如下:航运企业面对复杂的市场状况,在市场风险分析的基础上,根据自己的风险偏好、风险决策,决定Coa合同经营、期租经营、即期经营在自身业务中的比例,这是全面风险概念范畴,涉及到选择的概念。即选择Coa合同经营或者期租经营相当于规避了运价波动风险,付出的代价就是如果合同期内运价上涨将带来机会损失;选择即期经营相当于选择承受运价波动风险。当经营策略决定下来后,比如选择Coa合同经营,还存在一个风险自留的问题,因为Coa合同经营本身就存在风险,像法律合同风险、信用风险等。那么自留风险如何通过内部控制手段降低到最小,这是内部控制概念范畴,这就涉及到签订合同时怎么做,细节怎么处理的问题,必要时还应制定一些规章制度、工作流程或者工作标准,而工作标准就又涉及到综合管理体系的范畴了。可见,全面风险管理、内部控制、综合管理体系三者的概念框架是可以融合在一起的,结构上相互支持,内容上相互补充,通过运作的融合来促进效率的提高。图1为三者的逻辑关系图。
应注意的是,虽然我们一直在提全面风险管理,但并不是企业所面临的全部风险都是全面风险管理的范畴。比如战略风险、财务风险,它们存在一个风险战略决策的问题,属于全面风险管理概念,而像运营的质量安全部分,航运企业所面临的安全风险是常规型的,日常经营中本身就必须做好各项风险防范,不存在策略选择的问题,可以算是内部控制的概念,只需要内部控制加上综合管理体系的运作就足够了。因此,根据航运企业的不同风险分类和特点,全面风险管理范畴与内控范畴有些是相融的,有些是交叉互补的,还有一些则是单独采用内控的概念就足够了。这样,通过将风险划分为一级风险、二级风险、三级风险这样一个概念上的重塑,我们就可以在实践上将全面风险管理与内部控制之间的关系有机融合起来,具体联系起来。
此外,企业在建立和实施内部控制体系时本身就存在风险,比如制度不完善风险、不合理风险、控制成本过高风险以及与现行管理制度不兼容甚至冲突风险,这些风险应该归入全面风险管理的内容范畴。虽然说内部控制的自身要素——内部监督要求企业应当对内部控制的有效性进行自我评价,出具自我评价报告,以利于监督改进。但是这毕竟属于事中、事后控制。我们不能指望每次都是在发生问题、发现缺陷以后再进行制度改进,毕竟这样的管理成本太高、管理效率太低。虽然制度缺陷不可避免,但是应用全面风险管理的思路,在事前进行制度设计时就充分考虑了风险的存在,那么将会极大的将制度风险控制在一个较低的水平上。最后,作为内部控制第三道防线的公司各级内部审计,应当执行以风险为导向的内部审计。内部审计作为内部控制五要素之一“内部监督”的主要内容,在对内部控制有效性进行评价的同时,还应对全面风险管理工作的有效性进行评价,对全面风险管理、内部控制和综合管理体系的整体运作效果进行评价,使之成为三者整体融合和协调运作有效性的重要监督机制。
总之,航运企业全面风险管理必须有内部控制作为支撑,内部控制需要综合管理体系作为执行的着落点。二者只有充分融合,才能在企业管理中发挥最大作用,为企业经营目标的实现提供最大的保障。
4结论
①通过研究综合管理体系、内部控制体系和全面风险管理体系三者之间在内容、结构上所具有的独特的相融、交叉和互补特点,创新性的提出三者的融合思路——全面风险管理必须有内部控制体系来做支撑,内部控制需要综合管理体系作执行的着落点,并在此基础上构建航运企业的一体化管理体系。②本文所提出的航运企业一体化管理体系不仅仅只是全面风险管理与内部控制的融合,更是整个航运企业管理体系的大融合。融合后的管理体系实现了“从事后协调处理向事前风险评估转变,从各自为政向整体统一规划上下贯通转变”,进一步将风险管理融入日常业务运营和专项企业管理,扎实提升了航运企业的全面风险管控能力,成为航运企业创建世界一流企业的有效保障。
参考文献:
[1]CoSo,internalControl:integratedFramework[R],america,1992.
[2]CoSo,enterpriseRiskmanagement:integratedFramework[R].america,2004.
[3]国际标准化组织.iSo31000:200险管理——原则和指南[S].2009.
[4]国际标准化组织,iSo9001:2008质量管理体系要求[S].2008.
[5]m.G.Kavussanos,i.Visvikis,andm.Goulielmou.aninvestigationoftheuseofriskmanagementandshippingderivativesthecaseofGreece[J],internationalJournaloftransportecinomics,2007,2.