风险管理和内部控制体系(6篇)
风险管理和内部控制体系篇1
内部控制框架是企业实施内部控制的一个规范体系,它是企业达成目标的指导框架,该框架规范了内部控制的目标、概念以及实施程序等内容。我国内部控制的第一个行政条例就是在1997年5月颁布的《关于加强金融机构内部控制的指导原则》,在这之后,我国又于2000年7月颁布并实施了第一部要求内部控制的法律《会计法》,该法律体现了会计内部监督的理念,从2001年到2004年,我国财政部门相继颁布了10项内部会计控制规范,主要有《内部会计控制基本规范(试行)》以及《内部会计控制规范—资金(试行)》等,国有资产监督委员会在2006年的时候了《中央企业全民年风险管理指引》,该指引充分体现了风险管理的基本流程。我国的企业内部控制标准委员会(CICSC)于2006年7月正式确立,该委员会确立之后的第二年就了《企业内部控制规范—基本规范》,第一次提出了我国企业内部控制规范的整体框架。随后我国在2008年5月了《企业内部控制基本规范》,在2010年4月了《企业内部控制配套指引》这两大内部控制规范体系,就这样,我国企业内部控制体系结构就由此而生。它简要明了,结构合理、方法科学,正符合我国的企业内部控制标准委员会(CICSC)所倡导的基本规范体系。
2内部控制整体框架与企业风险管理整体框架
2.1内部控制整体框架
在1929年美国AAA(会计师协会)和FRB(联邦储备委员会)的《会计报表的验证》中,首次提到内部控制这一名词,1992年美国的COSO委员会提出的《内部控制—整体框架》中指出,内部控制是一个过程,一个由经理以上阶层和员工共同实施的过程,其主要的目的就是使企业达到运营效果,与此同时,要严格遵循相关的法律法规,并保证企业财务报告的可靠性。这就是COSO委员会认为的内部控制。在COSO委员会在1992年9月的《内部控制—整体框架》中,明确提出了支撑内部控制的框架五要素,分别是:控制环境、控制活动、信息与沟通、风险评估以及监督,这五元素共同构建了内部控制整体框架。各元素之间的关系是相互制约的。
2.2企业风险管理整体框架
企业风险管理是一个过程,它是渗透于企业各项活动中的行动,企业风险管理所涉及的人员是整个企业的员工,不分阶层,一个企业要想茁壮成长就必须要将风险管理过程应用在每个部门和每一位员工身上。企业风险管理既可以从企业的总体对其进行分析,也可以从单独的部门对企业有一定认识,企业风险管理框架的目标就是实现企业的目标。构成企业风险管理的八要素分别为:内部环境、目标制定、风险反应、风险评估、事项识别、信息和沟通、控制活动和监督。其中,需要注意的是风险反应,它主要分为四类:减少风险、共担风险、规避风险与接收风险四类,企业应对每一个重要的风险都要考虑相应的风险反应方案。
3从企业内部控制走向全面风险管理———3C全面风险管理框
在企业中实施企业全面风险管理是新时期下的环境所导致的,在我国企业的管理中,风险管理是一个相对薄弱的环节,近年来,由于我国企业的风险管理工作薄弱而引发的事件不再少数,所以,建立我国企业全面风险管理框架成为了我国企业发展的首要问题。我国在2004年由COSO委员会颁布了内部控制整体框架基础,这一框架的迎来了全面风险管理时代。2008年5月了《企业内部控制基本规范》,在这一规范中,能够明显看出,我国由原来的理论框架已经逐渐走向了风险管理,进一步完善了中国企业内部控制规范体系,在2010年4月,我国又相继了《企业内部控制配套指引》,并在2012年进一步完善了该条例,要求实行企业内部控制规范体系的企业,要对企业本身进行自我评估,并相应地作出自我评价报告,交由政府监管部门进行监督检查,这充分说明了我国企业正在从内部控制走向全面风险管理。我国企业要想提高市场竞争力,实现可持续发展,就要建立完善的企业内部控制体系,首先,管理者要树立风险管理理念,提高管理层的风险意识,对企业所涉及的风险要素进行分析,并制定相应的措施去应对,同时,还要加强道德与行为准则体系建设,适当地激励或是约束企业员工,建立一套具有操作性的行为规范和准则。除此之外,要明确企业的战略目标,需要注意的是,在设定战略目标的时候,要考虑企业自身能够承受的风险数量。在以上的基础上,借鉴国外企业风险管理的经验,将目标—风险—管理这三个体系结合在一起,构建3C全面风险管理框架。在3C全面风险管理框架下,具体要实现以下五个目标,分别是:保护企业不因灾害事件遭受损失;达到企业整体经营战略目标;保证信息沟通以及财务报告的可靠性;有效率的运营;遵守法律。3C全面风险管理初步分成三层,还可以根据企业的自身情况进行细分。
制定3C全面风险框架的目的就是将风险整合起来进行管理,有利于推动我国企业的进一步发展。以中国电信湖南公司为例,中国电信湖南公司构建全面风险管理,主要是为顺应国有资产出资人的要求和资本市场监管机构的要求,提出了企业全面风险管理的目标和要求,同时,也是为了促进企业内部经营管理的需要,随着中国电信这个大集团的不断发展,该公司面临的挑战越来越多,那么相对应的风险程度也就越来越高,所以,为了提高企业的经营管理效率,该公司决定实现全面风险管理。在整个管理的过程中,中国电信湖南公司完全按照国家的政策执行,并且不断进行体制机制的创新和改革,切实地推进五项集中管理,通过建立现代企业制度、实施主辅主附分离、建立集中统一的会计管理体系、加快推进战略转型和建立有效支撑公司战略的内部运营体系,加强内部控制,来满足了国有资本监督管理的要求。此外,中国电信湖南公司还要成立独立的风险管理部门,以此来确定整个企业的风险管理工作,同时,还成立了全面风险管理工作团队,将整体的风险管理策略传递到各个部门中并予以实施,总之,要将系统论的思想重新进行考量,并且切实地应用到电信企业全面风险管理中,以此提高公司的抗风险能力,保证公司全面风险管理水平能够上升,进一步促进了企业的可持续发展。全面风险管理是一个复杂的系统,从某种程度上说,企业风险管理包含了企业内部制度,同时,二者之间又形成了新的目标—战略目标,这是企业的最高目标。实际上,企业风险管理具有四个构成要素,分别是:目标设定、风险评估、风险应付和事项识别,它们成为了我国企业风险管理中最重要的组成部分。我国未来企业应该建立完善的内控制度,提高全面风险管理意识。企业为了适应当前千变万化的市场环境,应该将全面风险管理切实地应用到管理活动中,与此同时,企业要根据ISO的《风险管理原则与实施指南》加强风险管理,将风险管理带进新的发展阶段。
4结束语
风险管理和内部控制体系篇2
【关键词】内部控制;风险管理;公司治理;战略管理
受美国2002年出台的萨班斯——奥克斯利法案(以下简称sox法案)的影响,我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求,完善内部控制体系、完成内控评估报告。同时,随着经济全球化的深入,企业遭受产品市场、要素市场和金融市场的价格冲击越来越大,各类风险产生的扩张效应和联动效应越来越严重。因此,内部控制和风险管理成为现代企业重点关注的课题。
本文将在回顾内部控制和风险管理理论发展的基础上,探讨二者之间的关系,并结合宝钢在内控体系建设和风险管理方面的最佳实践,提出整合的风险管理框架设想,以期对我国企业的内控体系和风险管理体系建设提供借鉴。
一、内部控制、风险管理的理论发展及其关系
(一)内部控制理论的发展
20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后,美国coso委员会将“内部控制”定义为“一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障”。在coso委员会制定的内部控制框架中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
2002年,美国成立的上市公司会计监管委员会(简称pcaob)明确采用了coso内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了coso内控框架,有些国家和地区在参照该框架的基础上建立了自己的内控体系。
我国在2005年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国sox法案的要求,在理论体系上和coso内控框架一脉相承。
(二)风险管理理论的发展
企业风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《coso内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明,仅靠内部控制难以实现企业的最终目标。为此,coso于2004年9月出台了《coso企业全面风险管理整合框架》(简称erm),提出了由三个维度构成的风险管理整合框架。
我国国务院国资委于2006年《中央企业全面风险管理指引》(以下简称《指引》),标志着我国中央企业建立全面风险管理体系工作的启动。
(三)内控体系建设与全面风险管理工作的联系和作用
全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益,而这正是全面风险管理应该达到的基本状态。此外,内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用,具体体现在以下两个层面:
1.在理论框架层面,完整的内控体系包括依据coso内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是coso企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。
2.在推进工作的步骤层面,从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。
至于差异,从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看,内部控制仅是管理的一项职能,而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营;而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场、法律等领域。
二、宝钢在内控体系建设领域的实践
宝钢股份是宝钢集团的核心子公司。公司从2005年增资扩股后就着重于梳理内部流程,推广管理标准。2007年3月,由公司总经理担任组长的内控评审项目开始启动。
内控项目工作范围包括宝钢股份总部以及下属分子公司,资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份12大业务流程,梳理了各类大小流程300多个。在对12大流程风险控制点辨识的基础上,逐步建立宝钢股份上市公司内部控制体系,编制公司流程内控手册,形成公司全面的内控改进点报告,建立公司层面基本内控体系。并在前期工作的基础上,开展内控体系的自我评估工作,形成公司内控自我评估报告。
在项目实施过程中,公司组织了多场内控培训会,形成了全员内控的企业文化。同时,公司对发现的内控薄弱点狠抓落实整改,并对各单位的问题汇总报告进行整理;评审项目组还组织各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析,就同类问题开展自查自纠,以形成辐射效应。此外,宝钢股份还将内控评审项目和常规审计工作相结合,在内部审计工作中跟踪检查问题的整改情况。
三、宝钢在风险管理领域的实践
宝钢从2007年开始全力推进全面风险管理体系建设,这既是资本市场的要求,也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是:围绕宝钢的战略目标,在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面:
(一)以法人治理为基础,建设风险管理的组织体系
完善的法人治理是风险管理重要的内部环境,也是风险管理体系建设的起点和保障,而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业,在完善董事会试点的过程中优化董事会成员结构,建立外部董事制度,不断完善董事会运作机制,初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。
同时,宝钢按照国资委《指引》的要求,构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,公司明确了其各自相应的职责。第二道防线建设:总部层面成立由分管副总经理担任组长的“全面风险管理体系建设领导小组”,由系统运行改善部作为风险管理的综合管理部门,对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价,及时发现流程中存在的问题,提出内控完善的建议。
(二)与管控模式相结合,制定风险管理策略和流程
宝钢采取的是“战略控制型”的管控模式,即总部通过对策略性、全局性业务进行管控来确保战略意图的实现,对于具体执行性业务则授权给各子公司来执行,以确保整体运作效率和响应速度。
因此,宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点,通过推进风险管理文化建设、推动内控系统优化,确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施,建立并不断完善风险管理体系。各子公司则结合自身产业特征,从防范运营风险的角度出发,重点推进四项工作:1.建立风险管理的组织体系和工作机制;2.对重大风险进行识别和评估,形成重大风险清单,确定风险管理的重点领域;3.针对重大风险涉及的重要业务流程和重大事件,评估、完善内控体系,并落实为工作规范,制定管理制度,形成内控手册;4.针对可能发生重大突发事件的业务领域,建立预警机制,制定应急预案。
(三)建立了财务预警指标体系,使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警
在应急预案方面,在总部和子公司层面编制了一系列应急预案,提高宝钢处置突发事件、保障公共安全的能力,最大程度地预防和减少突发事件及其造成的损害。
四、整合的风险管理框架设想
通过长期的工作实践和思考分析,笔者认为:企业的风险管理工作需要和企业管理的多方面相结合,构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合,还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统如图1所示:
(一)风险管理系统应与公司治理系统进行整合
风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(iia)指出,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,高管和风险主管应当直接承担风险管理的责任,董事会则应积极参与增值型的风险管理活动,如在风险管理的过程中对管理层进行指导、授权和监督等活动。
(二)风险管理系统应与公司战略管理系统相整合
风险管理功能与公司战略管理功能相耦合,主要体现在图2所示的战略管理全过程中:
将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略,会引起不同的风险,也应采取不同的风险应对措施。因此,不同的战略模式将会导致在不同的领域配置风险管理的资源。
企业战略管理的最终目标是为了实现企业价值的持续增长,企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开,该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值,必须具有高效、快捷和质量可靠的业务流程,这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径,企业风险管理也应遵循这一路径而展开。
总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。
【主要参考文献】
[1]张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[j].会计研究,2005,(2).
[2]吴轶伦.内部控制自我评价[j].上海财经大学学报,2004,(4).
[3]吴轶伦.内部审计职能的发展与风险管理模式的建设[j].冶金财会,2006,(3).
[4]方红星.内部控制审计组织效率[j].会计研究,2002,(7).
[5]课题研究组.内部会计控制规范操作实务[m].中国商业出版社,2001.
[6]阎达五,宋建.双元控制主体构架下现代企业会计控制的新思考[j].会计研究,2000,(3).
[7]朱荣恩、贺欣.内部控制框架的新发展——企业风险管理框架[j].审计研究,2003,(6).
[8]金或日方,李若山,徐明磊.coso报告下的内部控制新发展[j].会计研究,2005,(2).
[9]严晖.风险导向内部审计整合框架研究[m].中国财政经济出版社,2004.
[10]宋夏云.现代风险导向审计模式的背景分析与理论创新[j].中国审计,2005.
[11]胡春元.审计风险研究[m].东北财经大学出版社,1997.
[12]吴轶伦.内部审计的风险管理模式[j].上海审计,2006,(1).
[13]郑石桥等.现代企业内部控制系统[m].立信会计出版社,2000.
[14]张国康等.内部控制制度[m].立信会计出版社,2003.
[15]课题组.现代企业内控制度:概念界定与设计思路[j].会计研究,2001,(11).
[16]arthura.thompson.jranda.j.stricklandш,段盛华等译,战略管理.中国财政经济出版社,2005.
[17]roberts.kaplananddavidp.norton,刘俊勇等译.战略地图.广东经济出版社,2005.
[18]larryf.konrath,auditing:ariskanalysisapproach,5thedition,south-western.
[19]paulj.sobel,auditor'sriskmanagementguide:integratingauditinganderm,aspenpublishers,inc.
风险管理和内部控制体系篇3
一、内部控制与风险管理关系辨析
内部控制思想和管理实践早在18世纪西方国家就已经出现,当时只是以账目核对和岗位分离为手段来保证账目正确,防范舞弊行为的发生。1945年,美国注册会计师协会的审计程序委员会在《内部控制:一种协调制度要素及其对管理当局和注册会计师的重要性》的报告中,首次将内部控制定义为:“为了保护财产的安全完整,检查会计资料的准确性和可靠性,提高企业的经营效率以及促进企业贯彻既定的经营方针,所设计的总体规划及所采用的与总体规划相适应的一切方法和措施。”1994年,COSO在《内部控制——整体框架》对内部控制定义的描述如下:内部控制是由董事会、管理层和员工共同设计并实施的,旨在为财务报告的可靠性、经营效率和效果、相关法律法规的遵循性等提供合理保证的过程。报告将内部控制划分为控制环境、风险评估、控制活动、信息与沟通和监控5个要素。这一内部控制的定义得到广泛的认同并沿用至今。内部控制本质上是组织的内部风险控制机制,它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力(丁友刚、胡兴国,2007)。
风险管理起源于20世纪30年代的美国,并从美国向世界范围内传播。20世纪中期,一些行业开始尝试着运用保险的方法进行风险管理。从20世纪后期开始,由于环境的不断变化,控制手段和措施的不断丰富,风险管理的外延和内涵也有了很大的扩展。随着对风险认识的不断提高,人们对风险管理也有了更深的理解和判断(董大胜,韩晓梅,2010)。2004年,在COSO出台的《企业风险管理——整合框架》中,对企业风险管理定义如下:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。风险管理包括八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。总的来讲,整合框架强调在整个企业范围内识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现,要求企业在战略制定阶段就应考虑风险因素。企业对风险的控制不仅面向过去,也要面向未来;企业的风险管理不仅贯穿于战术层面也贯穿于战略层面(谢志华,2007)。
关于内部控制与风险管理的关系,目前代表性的观点有三种:一是认为风险管理包含内部控制,COSO《企业风险管理——整合框架》(2004)中明确指出,风险管理包含内部控制,企业风险管理比内部控制范围广得多;二是认为内部控制包含风险管理,加拿大COCO报告(1995)认为,风险评估与风险管理是内部控制的关键要素;三是认为内部控制就是风险管理,风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,3E在变为同一事物(谢志华,2007)。总而言之,内部控制理论和风险管理研究的发展是紧密联系、息息相关的。董月超(2009)认为,两者的相同之处在于:对参与的主体要求相同,都对企业实现目标提供合理的保证,都强调要主动应对风险;两者的不同之处在于:目标体系不同、组成要素不同、产生效益的方式不同、风险管理的理念不同。内部控制属于企业管理范畴,而风险管理属于企业治理范畴,风险管理是对内部控制的继承与发展。丁友刚、胡兴国(2007)指出,内部控制本质上是组织的内部风险控制机制,它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力。
正因为有这样不同的认识,在企业管理的实践层面,许多企业在21世纪初轰轰烈烈地全面更新了内部控制体系之后,又于近几年全面推进风险管理,从组织结构改良开始,设立了独立的风险管理机构,建立风险管理体系,让那些刚刚开始尝试执行的内部控制制度戛然而止。笔者认为,内部控制与风险管理的直接载体都是企业的经营活动,内部控制与风险管理都以企业法人为边界,从这一点来说,不能将二者截然割裂开来。内部控制重心在企业的高管层之下(经营活动),风险管理的重心在高管层之上(战略设计、决策),内部控制主要关注不相容职务是否分离,风险管理主要关注经营目标实现过程中的不确定性。两者间的关系辨析固然重要,它有助于理清思路,找准内部控制与风险管理工作的侧重点。但是,更为关键的是:如何构建一个架构将两者有机融合、指导企业管理实践。“他山之石,可以攻玉”,日本自2003年成立“风险管理与内部控制研究委员会”以来,经过8年多的发展,积累了丰富的经验,形成了一套行之有效的办法,值得我们借鉴。
二、日本内部控制与风险管理政策研究
2001年美国安然事件之后,日本企业会计审议会于2005年初成立了内部控制专业委员会,并且于2007年2月颁布了《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定意见书》、《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》。准则在美国COSO委员会内部控制概念框架的基础上,结合日本企业的特点(资产的取得、使用及处分的手续繁杂,因而资产受到特别的关注),对内部控制的定义如下:内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。与COSO委员会颁布的三项目标不同,日本内部控制的定义在三个目标的基础上又增加了资产保全这一目标,强调内部控制是企业内部体制与流程,内部控制能为企业发展提供合理的保障(而不是完全的保障)。
(一)内部控制与风险管理两者间的关系
对于内部控制与风险管理间的关系,在2005年经济产业省所召开的《新风险时代的内部控制》的研讨会上,将风险管理划分为两种类型:与企业发展机会相关联的风险(是指与企业经营相关的战略层面的决策风险,具体包括进入新业务领域的风险、新产品开发的风险、资金运作相关的风险、设备投资相关的风险等);与企业业务活动相关联的风险(是指正确、高效的开展业务相关的战术风险,具体包括与财务报告相关的风险、与产品质量相关的风险、与信息系统相关的风险、与业务手续相关的风险、与物品、环境相关的风险等)。这两类风险共同影响企业持续的价值增值,都是企业全面风险管理的对象,但它们与内部控制间的关系却不尽相同。
对于“与企业业务活动相关联的风险”,可以通过内部控制流程直接进行防范,这需要建立合理的内部控制架构。管理层可以通过对内部控制体系的构建来管理“与业务活动相关联的风险”,并以此为基础,开展包括“与企业发展机会相关联的风险”在内的全面风险管理。风险类型与内部控制间的关系,如表1所示。
因此,从应对上述两类风险的角度而言,内部控制与风险管理间的关系表现为:内部控制是应对全面风险的前提,也就是说,内部控制为与业务相关联的各类风险进行恰当的风险管理活动提供了支撑。两者的关系可以进一步细化为三个方面:
1.风险评估是内部控制的构成部分
与风险管理相关的风险对策,大多数是在内部控制框架的基础上形成的。因此,开展风险管理所需的风险评估,由风险评估所形成的风险对策,对风险对策实施情况的评价是内部控制调整、运营情况评价的一部分。
2.风险评估的结果是内部控制进行持续改进的依据
内部控制不仅关乎“与业务活动开展相关联的风险”,而且必须在各种风险评价以及与风险评价相应的方法经验积累的基础上,对内部控制的框架、运行情况进行动态调整。管理层通过风险管理对风险进行评价提出相应方针政策,并在此基础上对内部控制的各个方面进行持续的改进。
3内部控制促进全面风险管理的完善
内部控制流程中所处理的“与业务活动开展相关联的风险”,必须及时地反馈给风险管理组织,并在全面风险管理活动中进行评估。
(二)内部控制与风险管理的—体化模式
风险管理与内部控制是市场经济环境下,企业的经营者为了响应各类企业利益相关者的需求、保证企业永续经营必不可少的管理手段。恰当的风险管理、完善的内部控制体系,有助于提高客户与投资者对企业的信任度,从而增加企业的价值。正因为如此,2003年,日本经济产业省在总结先进企业内部控制与风险管理成功经验的基础上,融合日本全面质量管理的成功经验,构建了“内部控制与风险管理的一体化模式”。该模式包括三方面内容:内部控制的PDCA循环,基于风险管理的内部控制评价流程,内部控制与风险管理整合架构。
1.内部控制的PDCA循环
PDCA循环又叫质量环或者戴明环,是管理学中的一个通用模型,是美国质量管理专家戴明博士首先提出的,它是全面质量管理所应遵循的科学程序。PDCA循环就是按照“计划—执行—检查—行动”的顺序进行质量管理、实现持续改善。从上世纪70年代全面质量管理在日本推广以来,极大地促进了日本经济的发展,质量意识深入人心,所以在内部控制体系构建环节,日本经济产业省也引入了PDCA循环(如图1所示)。
在内部控制体系构建的PDCA循环中,企业首先在对风险综合评价的基础上,把握经营活动的变化,对内部控制的架构进行适当的调整(Plan);运行内部控制程序(DO);通过内部控制的评价(Check),确认内部控制机能的有效性;明确内部控制的调整与改善的方向(Act)。其中,内部控制的评价与内部控制的调整、改善是内部控制PDCA循环的发动机。
2.基于风险分析的内部控制评价流程
内部控制评价是指内部控制制度、行为是否契合内部控制总体目标的达成,包括体系构建的完备性(规则、制度是否健全,内容是否合适)和运行状况的遵循性(在具体执行运行过程中,是否遵循既定的内部控制规则)。为了促进风险管理与内部控制间的有机整合,日本经济产业省在对先进企业风险管理经验总结的基础上,归纳并形成了基于风险分析的内部控制评价方法。该方法通过对企业风险进行分析,评价内部控制体系是否能够把握特定的经营活动的风险,并对这些风险进行及时地发现和有效地预防。
以采购活动的“预定工作”为例,由于存在着资金支出的购买活动,一般而言发生舞弊行为的可能性更大,所以存在降低发生舞弊风险的必要性,其内部控制评价流程如图2所示。内部控制评价的前提条件是对综合风险评价、对经营活动的把握,具体到购买活动时要考虑如何降低舞弊行为发生的风险。在“采购的预定流程中”,首先要确认内部控制的制度、规则的建设情况(主要确认采购申请填写人与订货负责人是否分离),如果内部控制制度本身不完善,要进行整改。在内部控制制度、规则完善的基础上(采购申请填写人与订货负责人在制度规定上实现了分离),进一步确认运行情况的遵循性(对运行情况的分析,主要关注运行过程是否按照制度与规则执行),如果存在执行不到位的,需要整改。
3.内部控制与风险管理整合架构
无论是“内部控制的PDCA循环”,还是“内部控制的评价流程”,都属于企业风险管理与内部控制工作的“单元要素”。如何将这些“单元要素”整合在统一的框架中,促进风险管理与内部控制的有机融合,日本经济产业省给出了一个通用性的“内部控制与风险管理的整合架构”,如图3所示。
内部控制与风险管理整合架构显示,健全的内部控制环境与通畅的信息传递渠道,是企业内部控制与风险管理整合架构的基础。在“金字塔式的组织中”,企业的各个层级通过PDCA循环,让风险管理与内部控制融入企业经营管理的各个方面。内部控制的评价基于风险分析,实施内部控制评价的人员要能够准确把握流程现状,并对作为控制对象的业务有一定程度理解。具体而言,采购的流程由采购部经理负责、制造流程由制造部经理负责,各个业务流程由其流程的负责人负责。但是,在实际工作中流程负责人(采购部经理或者制造部经理)不可能对每一个内部控制进行确认与评价,对于那些更为细化的环节(如采购流程中的“定货”、“验收”环节)要由下一层次的负责人(如作业层负责人)来评价。在内部控制的综合评价中,企业的各个层级不是独立的开展内部控制评价,而是通过“自下而上”的方式开展连贯式内部控制评价,即从作业层(车间负责人,团队负责人)到战术层(各部门经理)再到战略层(股东等)。在这些评价结果的基础上,最终形成综合评价。当发现企业某些业务流程出现问题时,根据问题的风险程度,决定内部控制的改善方案。
此外,在内部控制评价过程中,还要充分发挥内部审计部门的作用。内部审计部门作为独立的评价机构,对各个层级的内部控制评价的结果进行再评价,确保内部控制评价的客观性,促进内部控制体系完善,让企业的风险得到全面的控制。
三、启示
虽然《企业内部控制配套指引》的出台,标志着我国企业内部控制规范体系基本建成。但是,就我国企业管理实践来看内部控制与风险管理未能实现真正的融合,因此影响到内部控制作用的真正发挥。结合日本政府在促进本国企业构建“内部控制与风险管理一体化模式”方面的经验,笔者提出三点建议:
(1)建立统一协调的外部监管机构。为了促进企业实现全面风险管理,形成有效、柔性的内部控制体系,2003年5月,由日本经济产业省牵头,成立了“产(大型企业代表)学(部分高校与科研院所)官(政府机构)”为主体的“内部控制与风险管理”研究会,研究会经过多次研讨,最终形成了《新风险时代的内部控制》研究报告,该报告对企业的内部控制与风险管理工作的开展给出了一般性指导意见。目前,我国内部控制和风险管理的监管制度的制订,分属于不同的制度框架。内部控制的规范标准,是由财政部、证监会、审计署、银监会、保监会通过2010年4月26日联合的《企业内部控制配套指引》来确定的;风险管理的规范标准,是由国务院国有资产监督管理委员会通过2006年6月6日出台的《中央企业全面风险管理指引》来确定的。由于“政出多门”,缺乏一个统一的规则来协调各项“指引”的内容,这是导致目前我国企业管理实践不能将二者有机融合的重要原因之一。企业常常为了应付检查将同一件事情用两个规范来做,结果是“为了控制而控制”,既增加了企业的成本,又收不到应有的实效。因此,结合我国企业管理的实际情况,构建具有我国特色的内部控制与风险管理一体化模式,需要建立一个统一协调的外部监管机构。
风险管理和内部控制体系篇4
关键词:风险管理;内部控制;体系;建立
1.风险管理与内部控制的概念简述
1.1风险管理简而言之是指如何在一个有风险的环境里把风险减至最低的管理过程。
国资委的《中央企业全面风险管理指引》中关于全面风险管理的定义是:指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
1.2企业内部控制的概念
内部控制,其实质就是企业是为了保证经营活动的正常进行、资产的完整安全、会计信息数据的真实可靠等一系列经营目标的实现而对企业内部进行调整、约束、监督和评价的方法和措施的总称。企业内控的目的就是保证会计信息之准确可靠,防止操纵报表与欺诈,保护公司的财产安全,维护公司的名誉并避免经济损失等。
1.3风险管理和内部控制的联系
(1)二者都是由企业管理层以及其他管理人员共同实施的,强调全员参与,各部门在内部控制或风险管理中都有相应的角色与职能。(2)二者都是动态的过程,而非静态,都渗透于企业各项活动之中,其本身并不是一个结果,而是实现结果的一种方式。(3)二者都为企业目标的实现提供合理、合法的保证。(4)二者在控制环境、风险评估、控制活动、信息与沟通、监督机制上是一致的。
内部控制是企业风险管理的一种手段,是企业风险管理不可分割的一部分;健全的内部控制是企业风险管理的基础;内部控制也应该是以风险为主导的内部控制,而不是单纯制度、政策或表面程序。
2.建立以风险管理为主导的内控制度应考虑的因素
2.1明确内部控制的目标。内部控制目标,是决定内部控制运行方式和方向的关键,也是认识内部控制的出发点。以风险管理为主导,建立可操作性强、富有成效的内部控制,必须对内部控制的目标进行清晰定位。具体体现在:(1)信息的可靠性。企业的大量事项是靠有关行为人接受企业的委托而行使的,故在委托条件下,受托人必须向委托人报告受托事项的真实履行情况,防止受托人制造虚假信息,故保证信息的真实是风险控制的一个基本目标;(2)企业资产安全的保障。在企业经营管理过程中,各责任主体因工作关系必然会占用一部分资产,而这些财物因控制或管理不当,有可能被侵吞,或被转移或被租赁,或被挪用等。所以,保障资产的安全当是风险控制的又一目标;(3)企业内部各种制度的遵守。有效避免所属分层各责任主体可能违反这些制度,保证各责任主体的行为合乎规范是风险控制的目标之一;(4)经营的效率与效益。企业的目标是生存、发展,要实现这些,必须保证经营的效率与效益,以实现企业价值的最大化;(5)根据企业实际情况,制订的其他内控目标。
2.2明确内控对象及风险的控制范围。风险控制必须针对全员,而非只包括决策层,或普通员工。全员包括领导决策层、中间管理层和其他员工。风险控制亦包括企业的全部运行环节。在企业运行的各个环节、各个要素、各个主体之中企业的风险无处不在、无时不在。
2.3明确风险控制应抓好源头控制。风险控制必须从风险发生的原因进行识别和控制。风险控制可分为预防、发现和纠正三个环节,风险控制应该更多地关注源头控制和全程控制,而不是结果控制,即预防性控制措施应体现在内部控制的各个层面和各个具体控制关键节点上。在内部控制中强调关键控制点,实质上就是控制风险产生的源头。风险源头包括:(1)一开始签订合同带来的风险;(2)关联方直接加入如股东增加、增资扩股等带来的风险;(3)新拓展的业务带来的风险;(4)企业经营环境变化带来的风险;(5)其他风险。
3.以风险管理为主导的内部控制体系的建立
3.1加强内部控制环境建设,培育企业风险管理文化。(1)领导层积极参与本企业内部控制活动,并以内部考核的形式对各基层单位、个人予以奖惩兑现。(2)各层面管理人员在领导层的监督下,实事求是的组织实施,把成绩、问题集中展示。(3)建立正规的行为约束机制;(4)对各层面执行员工胜任能力做到心中有数,有合理的人力资源管理制度和具体办法,应当建立人员台帐和动态档案;(5)经营模式、管理权限和职责分工搭配得当、分工明确具体;(6)促进全体员工树立风险意识、风险预防意识、风险识别意识和风险救济意识。
3.2健全自我风险评价管理体系。(1)管理层首先应做好风险自我评估和控制,以避免决策失误。尽管很多风险的产生并不能被控制,但管理层应当首先确定可以承受的风险水平,然后识别这些风险并采取一定的应对和救济措施,以把风险控制在风险容忍度之内。(2)做好风险内控定期测评。企业应采取全员参与的自我测评方式,以各部门为责任主体,对内部控制执行情况进行自检,纳入考核机制。通过内控定期测评,使内部控制的各项工作得以落实,强化内控实际执行力。(3)做好新业务拓展的风险识别和预防并做好及时调整工作。新业务的推出可能伴随着新的风险,尤其对于关联方交易的出现,必须高度重视。为了有效控制风险,在新业务开展之前就应设计相应的风险识别控制程序,并根据环境和条件的变化适时作出相应调整。
3.3抓住关键节点,提高风险管控能力。制定各个环节的控制措施,抓住重要的控制节点,提高控制措施的针对性、有效性。及时消除工作中发现的管控缺陷,并立即改进,全面提升企业管理水平,形成内控促管理、管理推内控的有效机制。
3.4完善信息体系,建立信息沟通机制,畅通信息沟通渠道。信息系统与沟通是收集企业内部执行、管理和控制业务活动中所需要的信息的一个过程,包括收集和提供信息给关键部门人员,使之能够正确履行职责。那么信息的质量就直接影响到对经营活动做出正确决策、控制经营风险的能力。企业应注重信息的内部监督机制并保证其有效。可以采用监控或定期评价两种方法。具体包括:监督日常经营过程中的内部控制及人员;实施内部审计方法以及实施外部审计对内部审计相结合的方法,一旦发现不足及时改正;对监管部门提出的可行性建议及时回复。
3.5强化管理,建立监督联动机制;抓好职能部门对源头防治任务的具体落实。建立防范体系,发挥监督职能;通过改善和加强对监督人员的管理,建立高素质的监督队伍,从而有效防止和排除外部的干扰。(作者单位:胜利石油管理局胜中社区胜利交管中队)
参考文献:
[1]王晖郑宏涛.基于风险管理的内部控制研究.现代企业教育.2010年02月下期
风险管理和内部控制体系篇5
【关键词】财务;风险;依法治企;内控
一、风险管理的理念或策略
1.公司开展全面风险管理与内部控制工作,遵循以下原则:
(1)战略导向原则
以公司发展战略为导向,从公司战略目标出发,为保障公司战略目标的实现服务。
(2)全面性与重要性相结合的原则
全面风险管理与内部控制工作逐步覆盖公司所有的管理活动和业务流程,逐步实现公司全员、全方位参与,贯穿决策、执行和监督全过程,防范面临的各种风险;同时关注重要业务事项和高风险领域,以重大风险和重大决策、重要流程为重点,实施重点管理,加强风险管理和内部控制。
(3)风险管理与经营管理有效结合的原则
将全面风险管理与内部控制的方法和思路融入公司具体的管理活动和业务流程中,在各个管理领域和业务模块形成全面风险管理与内部控制工作的科学体系和有效机制,提高公司的经营管理水平。
(4)科学主导、持续改进的原则
开展全面风险管理以内部控制为基础,实施内部控制以风险管理为导向,以科学发展观为指导,根据公司内、外部经营环境的变化,不断改进、创新,持续增强公司的风险管理水平和管控能力。
2.风险管理的指标体系及目标值
(1)建立风险监控组织机构的单位达100%;
(2)利用风险信息系统开展风险监控的单位达100%;
(3)统一财务风险分类标准和管控标准范围达100%;
(4)风险管理与内部控制实施细则制定工作完成100%;
(5)风险管理报告质量分值达到国家电网公司要求。
二、防范全面风险依法从严治企措施
1.加强组织领导,明确建设目标
为加强风险防控体系建设的组织领导,成立了由总经理任主任、总会计师任副主任、各部门负责人为委员的风险管理委员会,负责领导风险防控体系的建设与实施工作,行使风险管理决策权;在供电、农电及非电企业建立相应的风险管理机构,形成省、市、县三级风险监控组织架构,为建设全方位风险防控体系提供了坚实的组织保障。同时,明确风险防控体系建设目标,即:引用先进的风险管理理念和方法,力争在公司内部形成“一种文化,两套机制,三项保障(即:培育一种积极进取、稳健经营的风险文化,建立风险决策和风险监控两项机制,健全组织、制度和技术三项保障)”,有效提升公司风险管理水平。
2.缜密制定方案,完善工作机制
围绕风险防控体系建设目标,公司深入调研,广泛征求意见,制定《全面风险管理与内部控制体系建设实施方案》,提出了“整体设计、前期试点、分步实施、整合运行”的工作思路,将风险防控体系建设分为基础准备、风险建设、深入实施、整合提升等四个阶段。同时,公司各部门指定专人负责风险管理,建立风险防控体系联络员制度,定期召开风险防控体系委员会和联络员会议,协调解决体系建设中存在的问题;根据各部门工作进展,定期编制季度工作简报,及时总结阶段性工作。
3.构建防控体系,防范全面风险
公司以信息平台建设为契机,将风险防控体系建设与各业务信息系统有机结合,推进全面风险管理体系建设。一是开展风险辨识评估调研,获得风险基础信息,确定公司面临的政策风险、社会形象风险、安全风险等重大风险,编报年度风险管理报告。二是以业务链为依托,梳理各专业管理流程,构建多维度的风险信息库,将风险、流程、责任部门、关键指标有机关联。三是强化内部体系建设,制定公司内部控制体系建设实施细化方案,明确工作目标和责任。
4.发挥监督合力,推进依法治企
坚持依法从严治企,构建由财务、审计、纪检等各部门组成的内控监督防线。一是加强业务部门沟通协作,重点发挥业务部门的监督合力,拓展稽核监督深度广度。二是利用在线稽核系统,对重点业务进行动态监控,利用审计成果,加大重点领域和薄弱环节的现场稽核,利用“联席会议机制”对稽核结果进行效能监察。三是建立稽核结果、内审外检、典型案例等信息共享平台,促进稽核成果转化应用。四是加大日常业务稽核力度,对成本、资金等重点领域进行专项稽核,做好事前、事中、事后的联合监督。五是推行公司抽查、省农电公司督查、市公司普查三级稽核方式,实现对县农电企业稽核的闭环管理。六是强化审计监督,开展“三指定”自查整改、“小金库”和工程建设领域专项治理等活动。
参考文献:
[1]翟志华.建立企业内部会计控制制度[J].资产与产权,2003(3)
风险管理和内部控制体系篇6
关键词:企业风险风险管理内部控制
在全球经济一体化的大背景下,企业间的国际竞争加剧,面临的风险也更加多样化。金融危机的发生导致很多企业成了金融危机时代的牺牲品。我国企业想要在激烈的竞争中生存并且健康发展,必须提高企业竞争力,从内部完善自己,加强企业管理,建立完善的内部控制制度,找到适合我国企业的内部控制和风险管理制度,识别和衡量企业面对的内外风险以提高企业的竞争能力,实现企业的价值已成为了企业当前最迫切的事情。
1.企业风险管理的基本内容
风险管理是研究风险发生规律和风险控制技术的一门新兴管理科学,是指风险管理单位通过风险识别、风险衡量、风险评估和风险决策管理等方式,对风险实施有效控制和妥善处理损失的过程。风险管理作为一门新兴学科,具有管理学的计划、组织、协调、指挥、控制等职能,同时又具有自身的独特功能。
COSO委员会在《企业风险管理框架》中也对风险管理做出了规定,它指出:全面风险管理是一个过程,这个过程受董事会、管理层和其他人员的影响,从企业战略制定开始贯穿至企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业既定的目标。”风险管理包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督八个互相影响的因素。
2.企业内部控制与风险管理的关系
2.1企业内部控制与风险管理要素有机融合
COSO的两个框架实现了内部控制5要素(应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督这五要素)与风险管理8要素(内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督八个互相影响的因素)的有机融合,通过强化内部控制环境,明确企业内部控制系统的层级制度和相应责任,增强企业全员应对风险的主体意识,促使管理层在充满风险的环境中更有效的运营。
2.2企业内部控制与风险管理两者目标趋同
COSO《内部控制―整合框架》提出了运营、财务、合规三个方面的内部控制目标,是由企业董事会、经理阶层和其他员工制定和实施的,为达到经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等三个目标。COSO《企业风险管理一一整合框架》在上述三类目标的基础上增加了战略目标。风险管理的目标由两个部分组成:损失发生前的风险管理目标和损失发生后的风险管理目标,前者的目标是避免或减少风险事故形成的机会,包括节约经营成本、减少忧虑心理;后者的目标是努力使损失的标的恢复到损失前的状态,包括维持企业的继续生存、生产服务的持续、稳定的收入、生产的持续增长、社会责任。二者有效结合,构成完整而系统的风险管理目标。
2.3风险是内部控制产生和发展的主要动力
现实生活中存在着很多的不确定性,不确定性是指经济行为者在事先不能准确地知道自己的某种决策的结果,或者说,只要经济行为者的一种决策的可能结果不只一种,就会产生不确定性,所以风险总归是存在的,需要对其进行控制。有效的内部控制对于在确保一定目标实现的方面所发挥的作用是不言而喻的。内部控制能够降低风险,并且应该随着风险的变化而变化,没有一种一成不变的内部控制体系能够应对所有的风险,风险的存在要求有与之相适应的内部控制。另外内部控制的存在还要有利于提高企业内部的管理效率,促进公司价值最大化目标的实现。
2.4内部控制是风险管理的必要环节和有效手段
2006年,国务院国资委颁布的《中央企业全面风险管理指引》中指出,风险管理的单个决策包括:风险承受、风险分担、风险规避、风险转移、风险降低、风险转换、风险对冲、风险补偿和风险控制等,同时也明确了两种风险管理方案:风险管理解决的外包方案和内部控制方案。其中风险降低是指采取适当的控制措施来降低风险,而风险分担是指借助他人的力量和控制措施将风险控制在企业能承受的范围之内。这两者都说明了内部控制是风险管理的有效手段。
内部控制主要是从风险控制的方式和手段说明风险管理的,风险管理就是从风险控制的目的来说明内部控制的。风险管理着重了对风险的分析、识别和应对。总之,风险管理应该是当前经济条件下对内部控制的完善和提升,从而更加丰富和拓展内部控制的内涵和外延。
3.当前我国企业风险管理存在的问题
3.1企业内部控制的基础控制环境不完善,使风险识别与评估受阻
对于控制环境的把握是实行内部控制的基础和前提,这对于企业制定战略目标和计划、组织业务经营活动和对风险进行识别都影响甚大。但是我国企业普遍存在着不重视内部控制环境的改善的问题,内部控制环境紊乱的现象严重。
3.2内部控制的机构体系不合理,公司治理结构不规范
许多企业的内部控制制度只是形式主义,形同虚设,并没有真正的实施,即使有实施,它所起的作用也不大,不能应对管理层凌驾于内部控制之上的风险,无法制约高层管理者。公司治理结构不规范,不能有效制衡管理层的强大权力,董事会没有或者不能负起监督管理层的责任,企业管控模式的不合理,无法有效控制企业风险,组织结构设计不合理,不能建立有效的内控和相互制衡的机制;此外企业还存在人情味太浓,内部人员之间缺少必要的沟通,信息反馈滞后等严重不合理的状况,需加强治理和改善。
3.3风险管理意识淡薄,管理水平低
企业面临的风险具有多样性,主要有市场风险,运营风险、信贷风险、法律风险、管制风险等等。目前,企业普遍存在缺乏风险管理意识的情况:第一没有风险事项的识别机制去识别风险,只是被动地等到风险出现以后才想着如何去补救和应对;片面追求发展速度,制定不切实际的目标或盲目扩展投资,使企业承受无谓的风险;第二没有适当的风险评估体系,无法知道面临的风险所能带来后果的严重程度,导致了企业面临更大的不确定性,而增加了实现企业价值最大化目标的难度;第三缺乏包含决策、管理和具体执行层在内的完整的风险管理组织。内部审计限于财务报表审计和经济责任审计,缺乏对风险管理情况的检查和监督;第四没有适当的风险应对机制,企业不会提前预测风险,也就不会有可能的应对措施来在第一时间进行解救困境,还只是停留在出现问题然后解决问题的事后弥补状态。
3.4缺乏风险管理体制
缺乏系统的风险管理体制,没有将风险管理的手段和内控程序融入到管理与业务的制度与流程中,无法识别影响企业达标的风险,进而无法对风险进行监控及管理。
4.改进内部控制,加强风险管理的措施
4.1加强对控制环境的关注度,提高控制效率
企业的经营目标是企业的价值最大化,所以经营过程中会受到成本效益原则的制约,不可能很全面地考虑到内部控制的各个方面,因此只能抓住关键的控制点才能建立有效的控制制度,所以就需要对经营业务活动中容易产生风险的环节以及其他对企业产生重大影响的环节加以控制,培养员工的风险管理意识并强化他们的责任意识,及时对内部控制制度的有效性做出评价。另外因为我们国家证券市场处于转轨阶段,大部分企业的股权结构异化,公司治理状况令人堪忧,没有真正得到实施,应该加强企业的公司治理的建设,建立经营管理层权力的相互制衡以及相互监督的体系,从根本上改善企业的内部控制环境,防止内部风险超越内部控制而对企业的内部控制造成不利影响。
4.2调整企业内部控制机构体系,加强企业治理层面的内部控制
对于管理层凌驾于内部控制之上的风险,我们应该将企业的内部控制进行细分,具体分为经营层面上的内部控制和治理层面上的内部控制,治理层面上的内部控制要能应对管理层凌驾于内部控制之上的风险,建立相应的权力制衡机制和互相监督的管理模式,给员工一定的监督和制约的权利,实现全面的监督,对公司的风险实施全面的控制,更好的贯彻落实内部控制制度。
4.3提高风险管理意识,完善企业的风险预警体系
从风险的视角看的内部控制其特征应该以风险评估为基础,企业应该从整体层面来分析风险的影响效果,选择策略来实现企业价值最大化的目标,企业面对的风险是变化的,企业应当及时掌握客观详细的信息,进行综合分析,取得应采取的针对性的策略,掌握应对风险的主动权,不要只是停留在出现问题才解决问题的时候弥补状态,要做到事前控制,事中控制,事后控制相结合,把风险带来的损失减低到最小,维护企业价值最大化的目标。
4.4建立风险管理型的内部控制体系,提高对风险的应对能力
企业建立风险管理型的内部控制体系,以风险作为切入点和核心实施企业的内部控制,有效指导和约束内部控制制度的制定和实施。在实践中,运用制度、流程和财务等手段,管理和控制业务层面上的运营风险和操作风险,将管理模式与企业的实际情况相结合,充分利用企业的现有资源,更好的发挥风险管理的作用并且健全了企业的内部控制。
参考文献:
[1]吴水澎.萨班斯法案、COSO风险管理综合框架及其启示[J].学术问题研究,2006,(2).
[2]谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究,2007,(10)
[3]赖章奎.内部控制与企业风险管理关系之探析[J].管理观察,2008,(13).
[4]李雅琴.基于风险管理的企业内部控制探析[J].会计之友,2009,(7).
[5]鲍建青.基于风险管理的内部控制研究[J].经济师,2009,(10)
[6]杜国栋.企业内部控制与风险管理解析[J].经济研究导论,2010,(2)
[7]侯微.基于风险管理视角的企业内部控制体系重构[J].工商管理,2010,(3)
[8]肖杰.基于我国企业内部控制改进的财务风险防范分析[J].赤峰学院报,2010,(4)
