全面风险管理与内控十篇

时间:2023-09-08 17:31:04

全面风险管理与内控

全面风险管理与内控篇1

关键词:内部控制 全面风险管理 关系

一、全面风险管理与内部控制在概念上的界定

(一)风险管理的定义

风险是指由于某种不利的因素产生并极有可能给经营主体造成实际损失,导致组织目标不能实现的可能性。全面风险管理是对风险进行检测评估,通过对测评结果的分析,采取相应解决措施,从而避免或降低风险的一种管理手段。风险管理的最终目的是保证企业目标的实现。

(二)内部控制的定义

内部控制是指一个机构内管理层、董事会和其他各方面进行的目的在于加强风险管理、保障既定目标实现的行为,是一种企业内部活动,它是通过组织机构、组织制度和组织指令来完成的。公认的内部控制目标有三项,一是财务报告的可靠性、二是经营的效果和效率、三是合规性。同时企业内控应具备五个要素:信息与交流、风险评估、控制环境、监控、控制活动。

二、内部控制和全面风险管理的关系

(一)内部控制和全面风险管理之间的区别

首先,涉及的范围不同。内部控制主要的作用发挥在事中及事后控制,是一种管理职能。而全面风险管理则是贯穿于整个企业的生产经营活动中,覆盖了各个不同的环节,在管理范围上应该说是要大于内部控制。另外,全面风险管理在风险考虑上带有很强的预见性,起到了事前控制的作用。

其次,二者的执行方式不同。全面风险管理包含了选择风险评估方法、制定风险管理目标、制定相关战略、报告程序及聘用管理人员等多个环节。这其中的很多管理活动都是不需要内部控制来完成的,内部控制更多的是倾向于对企业经营流程的事中和事后进行控制,其中包括对信息交流进行监督、对不规范的操作流程纠正、对财务报告的评估等。企业的经营目标与战略目标是全面风险管理的作用范围,这点是内部控制不涉及的,内部控制主要是对目标的制定过程进行监控,这是两个体系最大的区别。

最后,二者对于风险的管理不同。全面风险管理体系包括风险预警、风险偏好、风险对策等方法及概念,所以全面风险管理体系能够对企业的战略目标和发展方向进行指引,根据企业的经营风险、资金投入、利润回报之间的关系来进行合理的资源分配。而内部控制体系不涉及此类功能。

(二)企业内部控制与企业全面风险管理之间的联系

内部控制从本质上讲是从属于全面风险管理的,它来源于实际工作并需要在实际工作中完善。内部控制为实现企业管理目标提供了保证。进行有效的内控可以保证企业财务可靠、营运有效、企业资产安全、降低企业风险,保证企业的良性发展。

全面风险管理贯穿于企业的各个环节,产生于战略决策之中,在企业日常经营中进行实践,为企业的良性发展奠定基石。一般来讲企业的全面风险管理应该包括三个方面:一是企业内部各个组织单元的设置及相应的风险管理职责。包括企业整体、各业务口、各个项目团队及各个层级的风险控制职责;二是企业的相关风险管理目标。包括企业的战略目标、生产经营目标、报告目标及合规目标;三是全面风险管理的要素。主要有进行事件分析、建立内部环境、合理的风险评估、抵御风险的措施等。

通过上面的描述,我们可以看出,全面风险管理及内部控制实际上都是以保护企业的财产安全、保证企业的经营结果、实现企业的战略目标为最终的目的。内部控制是全面风险管理的重要核心内容,而全面风险管理则在内部控制的基础上升华扩散。概括的说,内部控制使得企业的日常经营管理流程更加规范、财务管理真正的有效实施,与此同时企业内部的规范性操作流程、财务管理控制也正是全面风险管理在企业实施的基本条件。从目前企业的管理发展趋势来看,企业的全面风险管理与内部控制管理已经交集密切,互相密不可分。

三、全面风险管理及内部控制在企业实施应关注的问题

(一)企业内控与全面风险管理并不是相互独立的

全面风险管理的实施和内控制度的建设对企业同等重要,但二者之间并非互相独立。企业对两个体系建设构造时应该考虑自身发展程度、企业性质、客观环境等因素。在资源有限的情况下,如果企业在市场中的经营风险较大,那么企业应把构建体系的重点放在全面风险管理上,以全面风险管理为方向来主导内部控制,反之如果企业的经营风险较小则可以把重点放在内部控制上,兼顾全面风险管理的实施。

(二)全面风险管理和内控的有效实施必须有好的控制环境

企业的内部环境好坏对企业内控和风险管理的实施效果有着直接影响。控制环境主要包括企业员工的综合素质、企业文化、管理思路、明确的权责划分、目标达成的相应奖罚机制等,这些都是保证企业全面风险及内控在企业有效实施的基本前提。如果企业对控制环境没有给予关注,很可能导致全面风险管理与内控实施的失败。

(三)内控与全面风险管理并非一成不变

无论是全面风险管理还是内部控制,都具有一定是时效性的,并不是说企业已经建立起了相关体系就可以一劳永逸了,内部环境及外部环境无时无刻都在变化,这些环境因素的每一次变化都在冲击着企业的体系架构,所以企业应该结合环境因素变化,在实际工作中不断的对体系修正、检查、完善。

(四)企业实施内部控制必须有严格的监督措施

制度的执行过程中离不开严格的监督,没有严格的监督任何体系制度在企业都无法真正有效的实施,监督使得制度在企业实际工作中真正的落实。但如果企业缺乏有效的监督,指标达成情况也没有严格的考核制度,那么所有的体系制度都被挂在了墙上,没有人真正关注执行,最终将出现全面风险管理与内控失控的局面。

(五)风险评估要做到准确真实

企业的风险评估方式和方法的选择极为重要,企业应该对有可能出现的风险进行科学合理的评估,并且通过分析制定一系列解决措施,如果企业内部评估失准、方式方法不当,就将直接导致企业决策失误,给企业造成无法挽回的经济损失。

参考文献:

全面风险管理与内控篇2

【关键词】内部控制 全面 风险管理

一、内部控制与全面风险管理的内涵

(一)内部控制的内涵

1992年9月,《内部控制—整合框架》出台,在内部牵制和内部控制结构两个阶段后,创新性地提出内部控制的新定义。内部控制是由主体的董事会、管理层、其他人员共同遵守执行,力图实现经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规三大目标的一种控制手段。相较于之前两个阶段,整合框架更加具体细化,明确了内部控制的意义、目标、要素,但对风险的强调不足,存在一定的局限性。

(二)风险管理的内涵

2004年9月,COSO了《企业全面风险管理—整合框架》,首次对全面风险管理给出了明确的定义。该框架指出:全面风险管理是一个过程,它由全员参与实施,应用于战略制定且贯穿在流程始末,目的是识别潜在事项、把控风险容量,为目标实现提供合理保证。它将内部控制上升到风险管理的高度来认识,拓展范围,加强两者的联系。

二、内部控制与全面风险管理之间的联系

(一)要求“三全性”

无论是内部控制还是风险管理,始终围绕“全员参与、全面覆盖、全程控制”三方面来规范企业管理,任何一个方面的缺失都会对企业造成致命性打击。全员参与即是“积极参与主动负责”,是对于人员基本素质的要求;全面覆盖是指“涵盖企业所有事项,包含各个层级环节,实现多重目标控制”,是对业务范围的界定;全程控制强调“事前、事中、事后三种控制环环相扣,逐步递进,彼此配合”,是对运营流程的规范。

(二)强调过程性

从上文两者的定义中我们可以发现,两个框架最终落脚点分别是内部活动与管理手段,都是企业在长期时段上持续的活动流程,而不是固定静止在某一时点上。两者强调的是企业是否为了自身长远发展而有效实施了风险管理或者内部控制的各个环节,而不局限于考察某一片刻的企业治理与监督状况,将两者作为企业日常运营的基本制度,规范企业日常运营,为实现企业长远稳定发展的战略目标服务。

(三)根本目的一致

企业在把握发展机遇的同时必须重视对风险点的预先甄别,不能被动地等待风险的应对,对风险的敏感度与防控能力决定了企业收益成本的相对大小;另外,由于股份有限公司的出现,“委托—”问题一直是公司管理的重点。如何有效降低道德风险与逆向选择,使所有者与经营者间信息透明化、企业与社会公众间信息真实可靠,切实保护各方尤其是社会公众的利益成为公司的首要目标。

(四)含有相同的五种要素

ERM框架与内部控制的构成要素基本相同,都包括环境、风险评估、控制活动、监督、信息与沟通五方面。只是ERM框架将风险评估进行了具体深化,强调对风险的预先识别、大小衡量、应对策略,将风险意识贯穿到整个流程中,使两种体系的结合更加紧密。总的看来,内部控制是全面风险管理的一部分,两种体系的方向是大致相同的。

(五)都只能为主体目标实现提供合理保证

“经营效率提高、经营管理合法、财务报告真实完整”是风险管理与内部控制的三个共同目标。由于两种体系自身的局限性,企业采取两种体系只能为目标实现提供合理保证,而不是绝对保证。成本效益原则的约束、特殊非日常业务的监管难度大、企业员工素质不高、内部传统舞弊、管理者越权以及制度无法适应环境的高速变化等现实问题共同构成了企业主体目标实现道路上的多重障碍,仅仅依靠两种体系来制约企业的运营显然微不足道。

三、区别

(一)涵盖内容的广度不同

全面风险管理实际上涵盖了内部控制的大部分内容。内部控制包含的内容较为狭窄,而全面风险管理涉及的方面更为广泛,包括理财、组织职能、策略制定、信息系统和内部控制系统等。两者作用的环节也有差别。全面风险管理在企业生产经营中起到承上启下的作用,贯穿始末,其中强调“目标制定,时间识别,风险分析,风险应对”,加强了事前的对风险的预测。而内部控制主要是事中和事后的控制,具体到企业则是制定流程,表现为制定各项规章制度和设计各种账册表单,仅仅是管理的一种职能。

(二)目标设定不同

全面风险增加了战略目标,并扩大了报告目标的范畴。ERM框架指出,企业风险管理应贯穿于战略目标的制定、分解和执行过程,为战略目标的实现提供合理保证。报告范畴扩大是指,内部控制中的财务报告目标只与公开披露的财务报表的可靠性有关,而ERM框架中的财务报告范围覆盖了企业编制的所有报告。

(三)应对风险的策略不同

两种体系对于风险都有相应的应对措施,但是风险意识的强弱不同,采取策略的思维顺序不同。内部控制并不刻意强调风险意识,更倾向于被动接受风险,因此采取的是先识别后控制的顺序型策略,方法较为狭窄,对风险的控制程度弱。而全面风险管理则区分了机会和风险,强调要主动识别风险,通过风险的组合、分散、转化及弱化等一系列策略使得风险造成的损失降到最低,采取了多向发展的全面型策略,方法形式多样,风险防范效果更好。

四、结论

对现代企业而言,具体全面的管理制度和监督流程是必不可少的。风险管理与内部控制看似相互独立,实则联系紧密、互为补充。企业决不能将两者混为一谈,但也不能全然分离。管理当局应当意识到任何一种单独的体系都有其固有局限性,单纯将一种体系作为公司长远发展的推动力是远远不够的,即便是运用多种体系也不能绝对保证企业的长期有效运营。现阶段,企业应当充分运用已有的两种体系,针对公司治理结构框架、内部机构设置、人员组成形式等特点有侧重地应用内部控制和全面风险管理制度,将两种制度的效能发挥到最大,从进而实现企业的长期战略目标和短期经营目标。

参考文献

[1]张燕.企业内部控制与全面风险管理[J].山西焦煤科技,2007(12).

[2]应荣凤.企业内部控制与全面风险管理探析[J].经营管理者,2008(17)

全面风险管理与内控篇3

关键词:县级供电企业;财务管理;风险防控

中图分类号:F27 文献标志码:A 文章编号:1673-291X(2016)29-0013-02

引言

县级供电企业承担着县域经济发展中的重要能源供给任务,履行着保障更安全、更经济、更清洁、可持续的电力供应的基本使命。财务管理是企业管理的重要组成部分,是企业可持续发展的关键。对于县级供电企业而言,在依法、合规经营的同时,财务管理过程中还存在许多亟待完善的问题。如何在县级供电企业财务集约化管理进程中不断加强财务管理的原动力、渗透力和执行力,构建统一的财务内控体系,抓好预算管理、资产管理、稽核管理、从业人力资源保障等因素,夯实财务工作基础,是县级供电企业当前迫切需要解决的问题。

一、县级供电企业财务管理中存在的主要问题

从目前的现状来看,许多县级供电企业财务内控机制仍相对薄弱,针对资产、资金和成本核算等财务活动中的风险防控认识不到位,内控机制不健全,管理粗枝大叶,没有足够的监督和控制手段,财务内控机制建设距离目前企业管理提升的要求差距仍较大,给企业经营带来一定的风险。主要表现在以下几方面。

1.全面预算管理未有效落地。主要表现在:一是预算编制环节缺少有力的控制制度,科学性较差,编制不严谨,随意性较大;二是业务预算与财务预算的有机结合紧密度不够,在项目的确定、定额标准的建立等方面有待协同;三是侧重执行结果的考核,而缺乏预算执行过程的分析与预控;四是针对预算考核指标的考核体系有待细化完善,引导作用尚未充分发挥。

2.资产管理较全寿命周期管理要求差距较大。县级供电企业资产类型多样性、分布范围广、权属关系复杂,同时由于管理能力的限制和资源的有限性,资产管理基础仍薄弱,管理流程尚待统一规范,不良资产、低效和无效投资亟待清理,工程前期规划、项目立项、成本管理、资金支付、竣工决算编制等管理流程亟须规范。

3.财务稽核管理有待进一步提高。县级供电企业财务稽核管理较为薄弱,稽核规则、稽核事项、稽核流程等方面还需要进一步提高稽核质量。目前,因财务人员工作力量相对薄弱,兼岗现象较为普遍,对各项稽核工作的开展形成了较大制约,尚未建立风险监督常态机制。

4.财务人力资源配置有待进一步优化。各县级供电企业普遍存在财务人员学历、会计职称过低的现象,甚至大多老会计人员还是“半路出家”,财务集约化形势下业务应对都相对吃力;对于财务风险认识更是重视不够,缺乏应有的风险意识,从而客观导致部分县级供电企业在财务管理制度建设与执行、会计核算水平、会计信息处理、上报数据准确性等方面存在问题,财务工作基础还需要进一步夯实。

二、加强县级供电企业内控机制建设的必要性

在县级供电企业施行全面风险管理,加强内控机制建设是实现国有企业资本保值增值的非常有效的管理手段。县级供电企业要想达到资本增值率最大化,就必须建立与完善企业经济活动相匹配的财务核算、监督等内部控制制度,有效防控经营风险。

1.从外部环境来讲,是经济形势产生变革和外部监管力度加大的因势利导。经济发展进入“新常态”,电力改革加速推进,将给电网企业带来重要而深远影响。尤其是输配电价改革,公司效益增长方式将发生根本转变,传统的经营行为和工作模式需要调整,部分专业传统的粗放式管理方法已经与“新常态”不相适应。总体看,公司既要加大投入、加快发展,又要稳健经营、规避风险,就必须持续强化内控体系,强化一体运营能力,提高运营效率与效益,切实增强公司盈利能力。本届国家电网公司监事会的主要任务就体现在以问题和风险为导向,以防止国有资产流失,确保国有资产保值增值为主线,进一步突出监督重点,围绕“三重一大” 事项,加强对企业内部控制体系及其有效性的监督。

2.从内部环境来讲,是依法治企的内在需要和管理提升的客观要求。在开放的市场经济环境下,成本核算、电费回收等财务风险无处不在,时时威胁着企业的生存和发展,稍有不慎便前功尽弃。这一现实迫切要求企业尽快建立行之有效的内部控制体系,通过控制程序和对程序的有效执行,提高自身管理的能力和水平,以积极、和谐的企业形象服务社会,以便在激烈的市场竞争中立于不败之地。近年来,公司通过建章立制、严抓严管,依法治企水平不断提升,保障了企业持续健康发展。但从内外部检查情况看,部分单位的“出血点”、“发热点”尚未根治,“习惯性违章”屡禁不止。加强县级供电企业内部控制建设,有利于加强对法律、法规的有效遵循,防范各类风险的发生。应尽快建立健全企业内部控制体系,通过全面辨识、评估、分析、防范、应对、控制和化解风险,有效规避财务风险对企业经济效益和生存发展的危害,消除企业运转中的隐患。需要持之以恒地进行内控评价、查缺补漏、协同共治,用实际行动保障改革发展、规范经营行为,实现依法理财、依法经营。

全面风险管理与内控篇4

关键词:风险管理;内部控制

中图分类号:F830 文献标识码:A 文章编号:1674-7712 (2013) 24-0000-01

一、风险管理和内部控制的联系

美国全国虚假财务报告委员会下属的发起人委员会(COSO)1992年提的是“内部控制”,到了2004年是“风险管理”,其内容1992年时包括5个要素,2004年时包括8个要素,说明对风险管理和内部控制有一个认识过程。内部控制应是风险管理的基础和重要组成部分,它们是一体化的,不能分割的。

内部控制解决的是常规性风险,风险管理解决的是非常规性风险,内部控制解决的是“如何正确地做事”,而风险管理解决的是“如何做正确的事”,它们既有联系,又有区别,一个企业要成功,二者缺一不可。

二、风险管理和内部控制的区别

“企业风险管理”概念的提出,并不意味着对原“内部控制”概念的摒弃。内部控制是企业风险管理不可分割的一部分,企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中。企业风险管理涵盖了内部控制,是一个更为全面、广泛的概念。二者的区别主要包括以下方面:(1)企业风险管理涵盖了内部控制。企业风险管理除包括原内部控制的三个目标之外,还增加了战略目标;企业风险管理的八个要素除了包括原内部控制的全部五个要素之外,还增加了目标设定、事项识别和风险应对三个要素。(2)企业风险管理强调对风险的控制与应对。风险被定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),涵盖了信用、市场、战略、声誉、业务及财务等各种风险。风险管理包括风险计划、风险控制和风险应对。这三者共同构成一个完整的风险管理过程。其中,风险控制又分为外部控制和内部控制。内部控制是一种内部风险控制机制,内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下,所开展的各种控制活动。风险控制除了包括内部风险控制之外,还包括外部风险控制。(3)企业风险管理注重对风险的定量分析与管理。企业风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等新的概念与方法,因此,企业风险管理可以在基于概率统计的基础上,合理确保企业的发展战略与风险偏好相一致,从而帮助董事会和高级管理层实现企业风险管理的目标;而原来的内部控制只能在基于定性判断的基础上确保内部控制目标的实现。

三、目前企业风险管理工作存在的问题

(1)企业管理者及相关人员风险意识薄弱。加强企业环境控制与风险评估,是提高企业风险管理效率与效果的重中之重。而当前我国企业缺乏一种可以辨认、分析与管理风险的机制,往往出现为了追求高收益而盲目投资等风险。(2)现有风险管理机构不足以应对企业风险。我国企业风险管理机制设计较晚,现有的规章制度也是近几年开始施行,而企业面临的外部环境却变化很快。变化较快的经营环境使得风险管理机制的风险应对能力削弱,甚至失效。(3)风险管理机构组织建设不健全。国务院国有资产监督管理委员会的《中央企业全面风险管理指引》明确规定:企业应建立健全风险管理组织体系,主要包括规范公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。(4)风险管理机构缺乏真正独立性。作为企业内部审计的一部分,风险管理机构存在独立性不足的问题。尤其是中国大多数企业风险管理部门设立不完善、不系统,审计人员的职责不明确,企业风险责任归属不清晰,都造成了风险管理工作不可能起到真正的监督作用。

四、构建体现全面风险管理的内部控制新机制

(一)构建具有本企业特色的创新风险管理理念

将全面风险管理作为企业文化的一部分,全体员工在全面风险管理理念下共同努力。学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。

(二)构建切合实际的内部控制评价机制

传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来补。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。

(三)构建全新的内部控制组织体系原则

(1)全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,内部控制要遵循全面风险管理的原则,即:全员管理原则;全过程管理原则;全方位风险管理原则。(2)分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。(3)风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。(4)协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。

(四)构建符合内控要求的业务管理新制度

传统分散风险管理模式下,各职能部门制定了大量的所谓“全面”的制度,但制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。

参考文献:

全面风险管理与内控篇5

    论文关键词:中小股份制商业银行;风险管理;内部控制

    一、内部控制和全面风险管理概念的界定

    (一)内部控制的内涵

    COSO于1992年《内部控制——整合框架》中将内部控制定义为由一个企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;法律法规的遵循性。内部控制应具备的五个要素:内部控制环境;风险识别与评估;内部控制措施;信息交流与反馈;监督、评价与纠正。

    (二)全面风险管理的内涵

    COSO《全面风险管理框架》(2004)中的定义是:全面风险管理(ERM)是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,从而确保企业取得既定的目标。

    (三)内部控制与风险管理的内在联系

    1.内部控制与全面风险管理存在一定的差异:两者的范畴不一致;两者的活动不一致;两者对风险的对策不一致。

    2.内部控制与全面风险管理紧密相关:内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理;全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的3个目标之外,还增加了战略目标,全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素;内部控制与全面风险管理工作应当由企业同一套组织机构和人员来完成,企业不能为之设置两套工作小组。为此,企业在组织机构设置、人员权责分配中,应充分考试专业管理、内部控制、以及风险管理这三大类职责相辅相成,它们应当是每个关键岗位职责的有机组成部分。

    虽然内部控制和全面风险管理的出发点和具体目标并不完全相同,但两者在概念内涵上具有内在的一致性,在保障企业总体可持续发展目标实现的过程中,两者的根本目标和作用是一致的。因此,二者应当实现有机融合,全面风险管理架构的构建与实施要建立在内部控制建设现有成果的基础之上。

    二、我国中小商业银行实施全面风险管理的必要性和重要性

    (一)金融机构面临的风险因素多样化

    金融机构面临的风险因素多样化,主要包括信用风险、市场风险、操作风险、流动性风险、声誉风险、法律风险、战略风险和国家风险。各银行都会因风险控制措施不当而发生损失,有的案例损失金额巨大,中小商业银行相对而言其抗风险能力不足,更易由损失引发系统性风险;

    (二)中小商业银行内部控制体系存在较多弊端

    各级负责人横向权力过大,为操作风险的发生提供了空间;大部分银行未设立独立的专业化部门承担操作风险管理和分配资本职责;操作风险管理现行的管理方法和手段落后,难以反映本行操作风险的总体水平和分布结构,与国际上要求以资本约束为核心的操作风险管理差距不小。

    (三)忽略了风险之间的联动性

    目前单独、割裂的处理各类风险,忽略了风险之间的联动性。

    三、国内银行业全面风险管理实施现状

    (一)工商银行、中国银行等一些大型商业银行建立了全面风险管理治理结构

    如工商银行2004年引入COSO ERM框架的理念,按照现代金融企业的治理标准,建立了由股东大会、董事会、监事会和高级管理层组成的全面风险管理治理架构,制定相关授权方案,形成权力机构、决策机构、监督机构和高级管理层之间各司其职、相互协调、有效制衡的运作机制。重新调整风险管理委员会,并于2006年7月设立了首席风险官职位,为全面风险管理工作开展提供了制度保障。

    (二)部分银行全面风险管理的实施规划已经形成并在逐步推进

    农业银行在制定新资本协议实施规划的基础上,制定实施新资本协议的时间表、步骤和措施,在2009年底前建成内部评级初级法体系,2013年底前建成内部评级高级法体系。工商银行全面推进风险计量技术的研发,加大数据集中与系统建设力度,从公司治理、方法论、基础数据、制度政策、IT系统等方面不断深化新资本协议的实施工作,风险治理结构日益完善,风险计量水平逐步与国际接轨,风险管理的前瞻性、科学性得以显着提高。

    四、构建中小商业银行全面风险管理组织架构建议

    结合国内外商业银行全面风险管理组织架构建设经验,以中小股份制商业银行普遍实行总分行制的行政制度为基础,笔者提出要按照“集中管控、矩阵分布、全面覆盖、全员参与”的目标要求,建立总分支三级联动风险管理机制,以集中职能的风险管理部为特点,以风险总监为纽带,以分布于各业务条线的风险经理为基础的架构与职能分工。

全面风险管理与内控篇6

【关键词】 风险管理; 内部控制; 财务保障措施

一、国内外关于风险管理及内部控制的理论背景

(一)国外关于风险管理与内部控制的理论与实践

风险管理与内部控制是两个既有区别又有联系的概念,在实践中难以完全隔离,并且随着时代的发展逐步产生、发展和完善。

在20世纪30年代,美国企业为应对经营中的危机,许多大中型企业在内部设立了保险管理部门,负责安排企业的各种保险项目。可见,当时的内部控制和风险管理主要依赖保险手段。

1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究,发表了题为《内部控制,协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,第一次对内部控制作了权威性的定义。1955年,美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。

20世纪70年代中期,基于美国“水门事件”调查结果,立法者和监管团体开始对内部控制问题给予高度重视。为了制止美国公司向外国政府官员行贿,美国国会于1977年通过了“国外腐败实务法案(1977)”。该法案除了反腐败条款外,还包含了要求公司管理层加强会计内部控制的条款,该法案成为美国在公司内部控制方面的第一个法案。1978年,美国执业会计协会下的柯恩委员会(Cohen Commission)建议,一是公司管理层在披露财务报表时,提交一份关于内控系统的报告;二是外部独立审计师对管理者内控报告提出审计报告。1980年后,内部控制审计的职业标准逐渐成形,逐渐得到监管者和立法者的认可。

20世纪80年代以后,随着企业面临风险的复杂多样和风险成本的增加,法国从美国引进了内部控制和风险管理体系,日本也开始了风险管理研究。此后20年,美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会通过了“101条风险管理准则”,这是风险管理走向实践化的一个重要文件。1992年9月,美国COSO委员会了《企业内部控制――整合框架》。此后,这份框架被纳入政策和法规之中,并被各国数千家企业用来为实现既定目标对所采取的行动以更好的控制。1995年由澳大利亚和新西兰联合制定的AS/NZS 4360明确定义了风险管理的标准程序,这就是通常说的澳新ERM标准,标志着第一个国家风险管理标准的诞生。

多年来,人们在风险管理实践中逐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。然而,尽管很多企业意识到全面风险管理的重要性,但是对全面风险管理的理解仍存在较大分歧,已经实施了全面风险管理的企业则更少。美国安然公司倒闭案和世通公司财务欺诈案,促使企业的风险管理问题受到全社会的关注。2002年7月,美国国会通过萨班斯法案(Sarbanes-Oxley),要求所有在美国上市的公司必须建立和完善内控体系。该法案被称为是美国自1934年以来最重要的公司法案,在其影响下,世界各国纷纷出台类似的方案,加强公司治理和内部控制规范,加大信息披露的要求,加强企业全面风险管理。2004年9月,COSO《企业风险管理――整合框架》(Enterprise Risk Management-Integrated Framework),该框架拓展了内部控制,更加关注于企业全面风险管理这一更为广泛的领域,并成为了世界各国和众多企业广为接受的标准规范。

(二)我国关于风险管理与内部控制的理论与实践

到目前为止,世界上已有30多个国家和地区,包括所有资本发达国家和地区及一些发展中国家如马来西亚,都发表了对企业的监管条例和公司治理准则。在各国的法律框架下,企业有效的风险管理不再是企业的自发行为,而成为了企业经营的合规要求。中国在这方面的研究始于20世纪80年代。一些学者将风险管理和安全系统工程理论引入中国,在少数企业中试用并取得比较满意的效果。但中国大部分企业缺乏对风险管理的认识,也没有建立专门的风险管理机构并进行制度建设。

我国系统的内控制度建设是在颁布了《会计法》之后。1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求,财政部随即连续制定了《内部会计控制规范――基本规范》等7项内部会计控制规范。从更广泛的管理意义上来说,内部控制和风险管理真正形成法规,是受美国2002年安然事件、世通公司财务欺诈案及随后美国的萨班斯法案的影响。2006年经国务院批准,成立了企业内部控制标准委员会。同年6月6日,国资委了《中央企业全面风险管理指引》,这是我国第一个全面风险管理的指导性文件,意味着中国走上了风险管理的中心舞台。2008年6月28日,财政部、证监会、审计署、银监会、保监会等五部门联合了《企业内部控制基本规范》,并自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。《规范》的,标志着我国企业内部控制规范体系建设取得重大突破,有业内人士和媒体甚至称之为中国版的“萨班斯法案”。

二、风险管理与内部控制的有效整合

(一)风险管理理论

本文中的风险是对公司既定战略目标产生影响事项发生的不确定性。风险分为公司层面风险和业务层面风险两种。公司层面风险是指属于公司层面整体关注的,影响公司全局和公司整体目标实现方面的风险;业务层面风险是指产生于各具体业务活动,影响具体业务活动目标实现方面的风险。

风险管理,指为了合理保证企业战略目标的实现,将企业整体风险控制在偏好之内,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,以对重大风险的管理和重要流程的内部控制为重点,凭借信息化平台,采用与风险管理策略相适应的组合技术或工具所进行的准备、实施、报告、监督和改进的动态连续不断的过程。企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行业务管理的基本流程,培育良好的内部控制环境,在运行过程中不断识别、查找风险,分析风险成因,对风险进行评价,为实现企业管理的总体目标提供合理保证。由风险管理决策层和经营层确定风险管理策略;由风险管理执行层完成对公司层面风险的分解和管控。

(二)内部控制理论

本文所研究的内部控制是指公司为实现财务管理目标,保障严格遵循国家有关法律法规和有关部门监管的要求,确保财务信息真实可靠,保护国有资产安全和完整,保证公司整体战略目标实现,提高公司财务运营的经济性、效率性和效果性而制定和实施相关政策、程序的过程。控制措施是指根据风险识别和分析结果,确保公司内部控制目标得以实现的方法和手段,其贯穿于经营活动的全部过程,包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,并受企业董事会、管理阶层及其他人员的影响。

(三)风险管理与内部控制的辩证统一

在内部控制体系中,内部控制是手段,风险管理是前提;风险管理是实质,内部控制是延伸,是实现企业经营目标的保障。同时,开展内控工作,一定要从风险管理的角度出发,因为内控工作的实质就是对风险实施控制,内控不能完全与企业的风险管理脱节。

认识内控在目标、手段、应用范围、风险对象方面的局限,有利于更好地使用内控,更有效地管理风险;有利于内控与其它管理手段的结合,认识内控的风险管理本质;还有利于扩大内控的应用范围,将内控的原则应用于其他的领域。

(四)财务内部控制与全面内部控制的关系

企业全面内控包括管理控制、业务控制和财务控制三部分,财务内部控制是企业全面内控的重要组成部分,受企业内控要素的直接影响,属于企业全面内控体系的支撑子体系。但是,作为能够全面反映企业经济业务活动情况的财务管理环节,财务内部控制又具有其相对的独立性,企业内部控制体系的建立可以从财务内部控制入手,逐步推开。

三、电力企业财务内部控制体系建设的主要内容

电力企业内部控制体系架构的总体思路由实施目标、指导思想、基本思路、实施重点、实施步骤等五个方面构成。

(一)实施目标

1.合理保证公司经营管理合法合规;

2.确保将经济风险控制在公司可承受的范围内;

3.确保公司财务报告及相关信息真实完整;

4.确保公司规章制度和各项决策部署得以贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,促进公司实现发展战略;

5.确保建立针对各项重大风险发生后的危机处理计划,保护公司不因灾害性风险或人为失误而遭受重大经济损失。

(二)指导思想

以科学发展观为指导,紧紧围绕建设“一强三优”现代公司战略目标,通过实施内部控制的基本流程,培育良好的风险管理文化,建立健全基于财务风险管理的财务内部控制管理体系。

(三)基本思路

在已有的内部控制制度的基础上,对现行业务流程进行梳理,分析评价公司的内部控制即全面风险管理的现状,完成风险识别、分析、评价,建立风险数据库,提出风险策略,制定风险对策,对内部控制制度进行优化和改进,包括:对现有内部控制中的空白部分进行补充;对现有内部控制中存在缺陷的部分进行完善;实现内部控制的规范化和标准化,保证内部控制的可操作性。

(四)实施重点

1.风险评估。在梳理业务流程和确定流程目标的基础上,识别影响流程目标实现的相关风险,分析形成原因,对风险发生的可能性和影响程度进行评价,锁定各项业务流动中的重要风险。

2.控制设计。根据风险识别和评价的结果,选择风险策略,制定风险对策,完善公司相应控制措施,优化业务流程,实现对风险的有效控制。在工作中,重点突出对重要风险的关键控制设计。

3.与政治安全风险管理的结合。经济风险往往与政治风险相伴相生,查找经济风险点的同时关注政治安全风险点,结合电力企业开展的政治安全风险管理工作,充分交流沟通,发挥协同作用。

4.与信息系统的融合。结合电力企业目前开展的ERP系统咨询,将风险管理的理念与方法融入信息系统,将关键控制措施通过ERP系统固化在流程中,依托信息系统实现有效控制。

(五)实施步骤

财务内控体系建设工作分四个阶段进行。

第一阶段为项目启动阶段。这个阶段应明确项目实施的任务和重点;成立内控工作组织机构,确定成员,并对成员进行内部培训;根据内控建设任务编制访谈提纲和访谈名单,并实施访谈;发放调查问卷,总结分析问卷调查结果。

第二阶段为现状梳理阶段。重点为:收集并整理分析内部控制相关资料;编制网省公司本部业务流程目录;编制网省公司本部现行业务流程图;编制试点所属分子公司业务流程目录;编制试点所属分子公司现行业务流程图。

第三阶段为评价阶段。主要为:对网省公司本部现有业务流程进行初步风险控制分析;对网省公司本部现有业务流程内部控制状况进行测试,评价内部控制状况;对试点所属分子公司现有业务流程进行初步风险控制分析;对试点所属分子公司现有业务流程内部控制状况进行测试,评价内部控制状况;编制内部控制评价报告。

第四阶段为完善阶段。主要为:系统识别、分析、评价各项风险、确定风险应对策略;补充完善控制措施,对现有业务流程进行优化;编制风险监控与风险预警体系文件;编制电力企业财务内部控制相关制度;编制电力企业财务内控管理手册。

四、财务内部控制体系保障措施

财务内部控制管理模式涵盖了电力企业价值链的核心环节,监控了各类经济业务环节的风险状况并给出管理策略。在新管理模式的推行过程中,还必须设计与之匹配的保障体系,通过必要的保障机制,在整个电力企业中灌输风险管理思想,引入风险管理理念,运用风险管理工具,实施控制措施,以辅助新的管理模式的顺利实施。

(一)财务内部控制组织保障

在现有财务部机构设置的基础上,进一步完善综合部职责,同时,明确财务部对下属单位内部控制监督管理职责。综合处设置内部控制岗位,对财务风险评估及预警、内控测试及评价、内控监督及改进提出工作计划,讨论批准后组织实施;对公司财务风险管理和财务内部控制工作担负组织管理责任,对各分(子)电力企业内部控制工作实施监督和指导;负责电力企业财务内部控制手册的更新等工作。

(二)财务内部控制绩效考核体系

为了充分发挥基于风险管理的财务内部控制管理模式的保障和促进作用,除了引入自我检查、自我改进的方法和机制外,纳入考核体系尤其重要。建立财务内部控制自我评估体系,明确评价范围、测试方法、评价标准等内容,并将评价结果与绩效考核挂钩,在考评总分中要占一定分值,其直接影响考核结果。同时,根据动态管理的原则,适时调整评价内容和标准。通过全员考核加强员工风险意识,使员工自觉主动识别风险源。

(三)财务内部控制文化建设

电力企业承担着重要的社会责任,同时还需完成国有资产保值、增值的主要目标,在此前提下,电力企业应采取审慎且保守的风险文化,风险管理理念横向和纵向渗透。风险管理和内部控制是电力企业自上而下的流程管理,通过文化渗透的方式,使每一个财务人员都能充分认识到自身的风险管理责任,履行全面风险管理工作职责,自觉防范和控制风险。

1.风险无处不在,风险管理全员参与;

2.风险既是威胁,也是机会,防止过分畏惧风险而放弃发展创新的动力;

3.加快科学技术应用研究,解放生产力,并承担相应风险;

4.目标的实现源于对风险的有效管理和持续的改进;

5.提倡科学辨识、主动揭示、及时报告风险的“透明”文化。

电力企业应致力于塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险管理融入企业经营管理的活动之中,大力提高风险管理水平,逐步使电力企业成为关爱员工、勇于承担社会责任、业绩卓著、广受尊敬的输配电企业。

全面风险管理与内控篇7

关键词:内部审计 内部控制 风险管理 统筹结合

从国际内部审计发展的历程来看,企业内部审计呈现三大发展趋势,一是开拓风险管理新领域,二是深入介入内部控制,三是推动更有效的企业治理。当今世界先进企业也普遍采用以“内部监控”为特征的企业治理模式,在此背景下,内部审计与内控建设、风险管理必须相互结合,统筹发展,才能真正促进企业治理有效运行。

一、科学认识三者的职能作用

(一)内部审计的职能作用

内部审计是一项独立、客观的鉴证和咨询服务活动,其目标在于增加价值并改进经营,定位于企业内部的管理过程,主要为管理层服务,突出服务的内向性特点。主要审查各项内部控制是否健全、有效,会计及相关信息是否真实、合法、完整,对经营绩效以及经营合规性进行检查、监督和评价,对企业治理、风险管理以及内部控制提供咨询服务。其作用突出表现为:保证企业内部约束机制的建立健全,企业的健康发展;防范经营风险和财务风险;为企业领导层提供决策依据。

(二)内部控制的职能作用

内部控制是一系列方法、手续与措施总称,是企业为了实现经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性。内部控制通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。主要作用有:保证国家的方针、政策和法规在企业内部的贯彻实施;保证会计信息的真实性和准确性;有效的防范企业经营风险;维护财产和资源的安全完整;促进企业的有效经营。

(三)风险管理的职能作用

全面风险管理是一个过程,它由一个企业的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,用于识别那些可能影响主体的潜在事件,管理风险以促使其在该主体的风险偏好之内,为企业目标的实现提供合理的保证。企业全面风险管理在协助组织管理风险从而实现目标方面具有重要作用,具体表现为:在董事会层面综合报告不同的风险;提高对主要风险及其广泛影响的认识;对重要事项集中管理;减少意外或危机;在组织内部更加关注用正确的方法做正确的事情;对将要采取的行动增加变更的可能性;具备为获取更高回报而承担更大风险的能力;更有依据的风险承受和决策。

二、正确处理三者之间的相互关系

(一)内部审计与内部控制的关系

内部审计是内部控制的重要组成部分,在内部控制中属于环境控制要素,执行监督评价活动,协助单位管理者监督内部控制政策和程序的有效性,促成好的控制环境的建立,并为改进内部控制提供建设性意见。内部审计在内部控制中发挥不可替代的独特作用,没有内部审计的评价、监督,就不能形成良好的企业内部控制制度。

内部审计又是对内部控制的控制。内部审计在会计控制之外,代表管理层对整个企业内部控制制度的健全性、有效性及其遵循情况等进行评价,具有其他任何部门和控制所无法代替的重要作用。目前,内部审计范围已从传统的财务收支审计扩展到经营管理的各方面。内部审计促进内部控制,通过分析问题产生的原因和影响,协助单位上层管理者完善内部控制,促进内部控制的健全,维护内部控制的建设。

(二)内部审计与风险管理的关系

内部审计定义中包含有风险管理的内容,风险管理赋予了内部审计在企业中新的地位和作用,两者目标都是消除风险、增加价值,逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。大部分企业制定风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。

内部审计部门在风险管理方面,主要负责开展监督与评价,并出具监督评价审计报告。内部审计参与企业全面风险管理是有前提条件的:应当明确管理层对风险管理的职责;审计人员职责的性质应当写入内部审计章程并由审计委员会审批通过;内部审计不应当代表管理层管理任何风险;内部审计应当提供建议并支持管理层作决定,而不是他们自行做出风险管理决定。内部审计不能同时为其所负责的风险管理框架的任何一部分提供客观确认。

(三)内部控制与风险管理的关系

内部控制与全面风险管理是紧密相关的。内部控制与风险管理的本质目标是一致的,其本质都是为了增加组织的价值而服务的。内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。

从内部控制和风险管理的差异来讲,内部控制是风险管理的青少年期,风险管理是内部控制的成年版。全面风险管理则贯穿于管理过程的各个方面,而内部控制仅是管理的一项职能;全面风险管理的一系列具体活动并不都是内部控制要做的,例如企业目标设定;两者对风险的定义不一致,全面风险管理把风险明确定义为负面影响的事件发生的可能性,内部控制没有区分风险和机会;内部控制中没有提及对风险的对策。

三、加强三者之间统筹结合与实施的措施

(一)树立“统筹融合思想”

风险管理、内部控制与内部审计必须紧密融合,统筹建设,形成了一个良性系统循环:风险管理为起点,内部控制做过程,内部审计评结果,结果再反馈给风险管理,才能真正发挥企业运营体系和监督体系的高效。建立三道防线:内部控制系统第一道控制防线在各业务运营部门,第二道防线在企业层面的风险管理部门,第三道防线是内部审计部门。

(二)建立健全企业“综合控制治理机制”,打造统筹结合平台

由企业董事会建立内控与全面风险管理专门委员会,统筹协调风险管理、内部控制及内部审计工作,各业务主管部门之间权责划分明确、清晰,部门之间的信息沟通方便、快捷,准确无误,运作高效,形成一个“综合控制治理机制”,切实发挥风险管理、内部控制及内部审计“三道防线”的作用,构筑起全方位、立体交叉的监督控制体系。

(三)严格执行“两个规定”、“两个评价”,确立统筹实施依据

一是严格按照国资委《中央企业全面风险管理指引》和中国内部审计准则中《风险管理审计准则》的要求,在企业风险管理文件中规定内部审计的监督评价职责,审计部门每年对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会内控与全面风险管理委员会,也可结合年度审计、任期审计或专项审计工作一并开展;二是严格按照国资委《关于加快构建中央企业内部控制体系有关事项的通知》(国资发评价〔2012〕68号)和中国内部审计准则中《内部控制审计准则》的要求,在企业内控制度文件中规定内部审计监督评价职责,审计部门做好对企业内部控制的年度自我评价工作,加强对重点子企业、基层子企业和关键业务流程内部控制有效性的检查评价。

(四)做好“两个传递”、“两个反馈”,打通实务结合路径

风险管理部门要定期将风险评估结果信息传递给审计部门,以供内部审计进行年度审计项目立项时参考使用,加强对重点风险领域、事项的审计监督;也要将风险评估结果信息传递给内部控制管理部门,以供内控部门确定关键控制环节、风险点,加强内控体系建设。审计部门要将年度审计发现问题情况及风险管理监督评价结果反馈给风险管理部门,以供其对风险清单重新进行确认、完善、更新;也要将年度审计发现问题情况及内部控制自我评价结果反馈给内部控制管理部门,已便于继续改进、提升。

(五)加强“两级”组织队伍建设,做好人力资源保障,促进“统筹结合”落地生根

对于内部控制与风险管理建设,建议在企业层级所对应的职能部门成立专门处室,设置内控主管和风管主管岗位,负责顶层策划与组织建设工作;在所属单位或生产单元层级对应的职能部门设置内控科室和风险管理科室,配置内控经理和风管经理,负责内控与风险管理工作,确保内部控制与风险管理工作在一线工作中贯彻落实。对内部控制与风险管理监督评价工作,建议在企业层级审计部,设置内控与风险评价处室,配备专职审计评价人员,负责制定监督评价相关制度,建立监督评价网络体系,实施企业层级内控与风险管理监督评价工作。

参考文献:

[1]石静,张瑜.现阶段企业内部控制与内部审计的依存关系之思考[J].科技信息(科学教研);2008年23期

全面风险管理与内控篇8

【关键词】国有企业;内部控制规范;全面风险管理;控制环境

一、引言

一直以来,内部控制都是会计和审计行业研究的重点,也是近年来企业管理关心的热门话题,其作为运行管理机制的重要组成部分,相关管理问题越来越被社会各界人士重视。但是,由于人们对内部控制认识的不统一,造成企业内部控制规范建设同时产生一定的风险,也可以说在当前企业管理中全面风险管理仍是相对薄弱的环节之一,如何构建科学的内部控制体系,防范企业风险、提高企业经营管理水平,规避企业风险产生成为当前企业发展中亟待解决的重点,文章从实际出发分析了国有企业全面风险管理与内控规范建设要点。

二、全面风险管理概述

全面风险管理是一个全新的管理专业概念,在目前主要应用在企业日常管理中,通过各部门生产经营和执行管理过程中可能出现的风险问题进行优化,通过优秀企业文化、健全内部控制制度、全面风险管理体系的方式实现企业持续稳定发展。在具体工作中,全面风险管理包含了风险管理策略、风险管理措施、风险管理职能等内容,旨在实现风险管理总体目标,保证企业的持续稳定发展。就把全面风险管理而言,其实质就是针对企业经营管理风险进行管理的过程,具体包含了五个关键环节,具体如图1所示。在开展全面风险管理的整个过程中,企业管理人员需要正确、科学地识别和收集企业各种风险信息的真实性和潜在影响,通过合理的方法制定管理策略,进而有计划地进行应对。在国有企业全面风险管理制定环节中,每个关键环节都是不容忽视的,都需要在具体工作中进行深化和细分。比如在风险评估环节,为了保证评估结果的准确科学,对其流程可进一步细化,具体如图2所示。由图2可知,在进行上述风险管理的时候,企业管理层需要自上而下设置相应的组织管理机构,并且根据业务性质和风险发生的种类有计划地配备风险管理工作人员。

三、内部控制概述

通常来说,企业内部控制存在两方面含义,一方面是对偏离预定计划的情况进行检查和纠正,当企业经营管理中存在实际与计划不符的时候,领导的责任就是立即对企业具体经营状况和管理方式进行调整,分析产生不符现象的原因,确定责任和归属。第二层含义就是对偏离计划的行为进行纠正,也就是根据检查结果,针对产生差异的原因和责任归属,提出科学有效的纠正方法,及时予以纠正、调整或者追究相关当事人的责任,确保企业活动处于既定计划之内,保证企业的稳定发展。1.内部控制的基本目标内部控制的基本目标主要包含了保证企业经营合法合规、确保企业资产安全、提高企业财务信息整体性和准确性、提升企业经营效率的同时促进企业持续稳定发展。在内部控制工作中,要想实现这些目标,就必须要优化内部环境、科学运用风险评估、监督管理活动、及时进行信息沟通和内部监管。2.内部控制的实施国有企业在经营中按照现行内部控制和管理规定,在相关法律法规的基础上对企业经营管理活动进行梳理、调整,结合企业实际和自身发展需要,在各个部门、各个层级同时展开梳理,制定科学合理的内部控制制度。通过这些方法形成一系列基本规章制度和保障体系,并且以员工手册的形式发放给基层员工,保证所有工作人员都能够遵守相关规定和制度。

四、从实践角度分析全面风险管理与内控规范建设的必要性

从内部控制与全面风险管理的基本概念可以得出,虽然两者出发点和具体目标不尽相同,但是两者的概念方面存在明显的一致性,都是为了企业持续稳定发展服务的,因此不能将其视为独立的管理体系,而需要将其有机融合在一起。从实践的角度出发,两者融合的必要性包含了以下方面。1.构建目标的角度分析无论是内部控制还是全面风险管理,其最终目的都是实现企业可持续发展的,两者根本目标是一致的,也即是两者在开展和应用的时候都是以维护投资者利益为基础,保全企业资产、创新企业价值为核心的,因此构成了两者之间融合构建的基础。2.管理效率的角度分析从管理效率的角度进行分析,内部控制和全面风险管理工作都是由财务部门工作人员协助完成的,因此在管理的时候需要注意财务人员专业知识的掌握程度。另外,特别需要注意的是,在全面风险管理和内部控制工作开展中,不能采用两套管理小组。为此,在企业组织机构设置、人员权责分配方面,必须要将两者要求融合在一起,充分考虑内部控制、风险管理的职责分配要求,让执行人员的岗位职责至少符合企业发展及三大类要求,也就是专业管理、内部控制和风险管理方面的要求。3.管理的角度分析从管理的角度进行分析,为了保证企业管理工作的有效落实,必须要将全面风险管理和内部控制有机融合在一起。可以说,内部控制规范的建立与风险管理是相辅相成的,正是因为企业管理中存在着各种各样的不同风险问题,才需要内部控制规范作为保障依据;在全面风险管理的时候,则需要重视企业管理流程和规范,科学防范企业风险的发生,实现企业经营目标的科学有效。因此,在企业开展管理工作的时候,管理职能执行过程中需要两者的有机融合,一旦两者出现各行其是的现象,很容易引起管理权限混乱、降低管理效率,最终导致企业经营混乱。

五、全面风险管理与内控规范建设相互共用成果

1.全面风险管理与内控规范建设的关系全面风险管理在企业经营管理中重点强调方法,而内控规范建设的融入重点在于制度和规则。两者在共用的过程中存在着明显的差别,出发点也存在很大的差异。内部控制工作是站在监督者的角度,主要是为了保证企业各项管理工作的科学有效落实而采取的监督和控制制度制定行为。而风险管理则基于企业整体发展战略的角度进行风险控制的,但是两者在具体应用的时候都是通过科学的规划和管理措施,形成完善、科学的管理体系。从国有企业经营管理的角度出发,两者的目的都是加强企业管理,降低风险的发生,为企业决策提供参考。在具体应用的时候,内部控制更加的具体,其强调有章可循,是通过各项制度来优化工作人员的工作行为的过程。而全面风险管理是通过纠正工作人员行为来实现规避风险发生的现象。为此,只有将两者密切融合,才能更好地发挥企业全面预算管理作用,实现企业持续稳定发展。2.减少企业管理成本通过全面风险管理和内部控制规范建设,科学完善企业治理结构、梳理企业的基础岗位。在具体工作中,利用内部控制规范为基础框架,以风险管理相关方法为核心,测试企业各部门经营管理工作中是否存在风险,针对其中存在的风险问题进行评估,有计划地制定风险应对和处理措施,并形成相应的规避制度,其中包含了全面风险管理体系、内部控制规范制度以及审批体系等。按照国有企业内控各项业务规范的指导,及时梳理企业业务流程,以风险管理为技术指标及时发现管理漏洞,并进行规避和纠正。在具体操作中,采用设置岗位手册、员工手册的方式来让基层员工了解内部控制的相关要求,保证企业工作人员能够在了解内部管理规范和风险管理的基础上,自觉遵守和落实。另外,根据岗位性质、岗位流程以及企业管理策略,制定出各种产品的消耗定额,完成科学的风险管控流程,进而保证内控规范建设的科学性、准确性和权威性。3.全面风险管理与内控规范建设要点(1)指导思想围绕国有企业整体发展战略,通过企业管理各环节、各部门在执行管理流程中存在的问题,有计划、有目的地开展全面风险管理与内控规范建设,培养良好的风险管理文化和抗风险意识,建立健全内部控制体系,实现最终规避风险的目标。在国有企业相关领导的支持下,建立健全全面风险管理与内控规范体系,让企业经营符合国家相关法律法规,依法保障企业国有资产保值增值。(2)构建方案首先,利用企业内部外部信息,通过辨识、分析和评价企业面临的内外部风险因素制定科学的风险应对和管理策略,确定风险管理环节所需要的人力物力和财力,然后科学进行资源配置;根据资源配置模式制定行之有效的风险管理制度和内部控制制度,采用风险事件发生前、中、后全方位管控。通过建立健全内部控制规范措施形成全过程、全方位跟踪和监督目的,根据风险监督结果对风险管理、内部控制工作进行评价,指出其中不足和需要改进的地方。其次,取得成果。国有企业开展全面风险管理与内控规范建设,为企业的持续稳定发展打下了坚实的基础,也取得了如下工作成果。建立了科学的风险信息库、风险评估报告、风险管理策略、内部控制制度、风险考核方法等。最后,通过全面风险管理和内部控制规范建设,使得国有企业风险控制与整体发展战略相适应,并处于可承受范围内;保证了企业内外部信息的真实可靠,传递合理;确保了企业经营的合法性、合规性和科学性;减少了因重大风险而引起的企业社会经济损失。

六、结语

总之,全面风险管理、内部控制制度是国有企业落实现代管理观念的重要举措,也是社会经济发展的必然产物。由于两者都属于动态行为,因此在具体应用的时候经常会受到企业内外因素的干扰而发生异变,而将两者融合开展,能有效发挥彼此作用,实现优势互补,使其更符合国有企业经济发展的实际需求。

参考文献

[1]文幸.国有企业全面风险管理探析[J].中小企业管理与科技,2020(31):2.

[2]樊玉雯.国有控股股东如何通过全面风险管理体系建设 促进信托公司稳健发展[J].国有资产管理,2020(08):4.

[3]方漪,刘新华,周运强,等.航天军工企业固定资产投资建设全过程监督管理探索与实践[J].财务与会计,2020(15):5.

[4]居仁君.建筑工程质量管理的有效实践要点分析[J].房地产导刊,2020(05):148.

[5]钟李芬.从内控五要素看国有企业货币资金内控建设——以L市国有企业货币资金内控建设为例[J].现代商业,2020(07):2.

全面风险管理与内控篇9

一、内部控制与风险管理关系辨析

内部控制思想和管理实践早在18世纪西方国家就已经出现,当时只是以账目核对和岗位分离为手段来保证账目正确,防范舞弊行为的发生。1945年,美国注册会计师协会的审计程序委员会在《内部控制:一种协调制度要素及其对管理当局和注册会计师的重要性》的报告中,首次将内部控制定义为:“为了保护财产的安全完整,检查会计资料的准确性和可靠性,提高企业的经营效率以及促进企业贯彻既定的经营方针,所设计的总体规划及所采用的与总体规划相适应的一切方法和措施。”1994年,COSO在《内部控制——整体框架》对内部控制定义的描述如下:内部控制是由董事会、管理层和员工共同设计并实施的,旨在为财务报告的可靠性、经营效率和效果、相关法律法规的遵循性等提供合理保证的过程。报告将内部控制划分为控制环境、风险评估、控制活动、信息与沟通和监控5个要素。这一内部控制的定义得到广泛的认同并沿用至今。内部控制本质上是组织的内部风险控制机制,它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力(丁友刚、胡兴国,2007)。

风险管理起源于20世纪30年代的美国,并从美国向世界范围内传播。20世纪中期,一些行业开始尝试着运用保险的方法进行风险管理。从20世纪后期开始,由于环境的不断变化,控制手段和措施的不断丰富,风险管理的外延和内涵也有了很大的扩展。随着对风险认识的不断提高,人们对风险管理也有了更深的理解和判断(董大胜,韩晓梅,2010)。2004年,在COSO出台的《企业风险管理——整合框架》中,对企业风险管理定义如下:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。风险管理包括八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。总的来讲,整合框架强调在整个企业范围内识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现,要求企业在战略制定阶段就应考虑风险因素。企业对风险的控制不仅面向过去,也要面向未来;企业的风险管理不仅贯穿于战术层面也贯穿于战略层面(谢志华,2007)。

关于内部控制与风险管理的关系,目前代表性的观点有三种:一是认为风险管理包含内部控制,COSO《企业风险管理——整合框架》(2004)中明确指出,风险管理包含内部控制,企业风险管理比内部控制范围广得多;二是认为内部控制包含风险管理,加拿大COCO报告(1995)认为,风险评估与风险管理是内部控制的关键要素;三是认为内部控制就是风险管理,风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,3E在变为同一事物(谢志华,2007)。总而言之,内部控制理论和风险管理研究的发展是紧密联系、息息相关的。董月超(2009)认为,两者的相同之处在于:对参与的主体要求相同,都对企业实现目标提供合理的保证,都强调要主动应对风险;两者的不同之处在于:目标体系不同、组成要素不同、产生效益的方式不同、风险管理的理念不同。内部控制属于企业管理范畴,而风险管理属于企业治理范畴,风险管理是对内部控制的继承与发展。丁友刚、胡兴国(2007)指出,内部控制本质上是组织的内部风险控制机制,它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力。

正因为有这样不同的认识,在企业管理的实践层面,许多企业在21世纪初轰轰烈烈地全面更新了内部控制体系之后,又于近几年全面推进风险管理,从组织结构改良开始,设立了独立的风险管理机构,建立风险管理体系,让那些刚刚开始尝试执行的内部控制制度戛然而止。笔者认为,内部控制与风险管理的直接载体都是企业的经营活动,内部控制与风险管理都以企业法人为边界,从这一点来说,不能将二者截然割裂开来。内部控制重心在企业的高管层之下(经营活动),风险管理的重心在高管层之上(战略设计、决策),内部控制主要关注不相容职务是否分离,风险管理主要关注经营目标实现过程中的不确定性。两者间的关系辨析固然重要,它有助于理清思路,找准内部控制与风险管理工作的侧重点。但是,更为关键的是:如何构建一个架构将两者有机融合、指导企业管理实践。“他山之石,可以攻玉”,日本自2003年成立“风险管理与内部控制研究委员会”以来,经过8年多的发展,积累了丰富的经验,形成了一套行之有效的办法,值得我们借鉴。

二、日本内部控制与风险管理政策研究

2001年美国安然事件之后,日本企业会计审议会于2005年初成立了内部控制专业委员会,并且于2007年2月颁布了《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定意见书》、《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》。准则在美国COSO委员会内部控制概念框架的基础上,结合日本企业的特点(资产的取得、使用及处分的手续繁杂,因而资产受到特别的关注),对内部控制的定义如下:内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。与COSO委员会颁布的三项目标不同,日本内部控制的定义在三个目标的基础上又增加了资产保全这一目标,强调内部控制是企业内部体制与流程,内部控制能为企业发展提供合理的保障(而不是完全的保障)。

(一)内部控制与风险管理两者间的关系

对于内部控制与风险管理间的关系,在2005年经济产业省所召开的《新风险时代的内部控制》的研讨会上,将风险管理划分为两种类型:与企业发展机会相关联的风险(是指与企业经营相关的战略层面的决策风险,具体包括进入新业务领域的风险、新产品开发的风险、资金运作相关的风险、设备投资相关的风险等);与企业业务活动相关联的风险(是指正确、高效的开展业务相关的战术风险,具体包括与财务报告相关的风险、与产品质量相关的风险、与信息系统相关的风险、与业务手续相关的风险、与物品、环境相关的风险等)。这两类风险共同影响企业持续的价值增值,都是企业全面风险管理的对象,但它们与内部控制间的关系却不尽相同。

对于“与企业业务活动相关联的风险”,可以通过内部控制流程直接进行防范,这需要建立合理的内部控制架构。管理层可以通过对内部控制体系的构建来管理“与业务活动相关联的风险”,并以此为基础,开展包括“与企业发展机会相关联的风险”在内的全面风险管理。风险类型与内部控制间的关系,如表1所示。

因此,从应对上述两类风险的角度而言,内部控制与风险管理间的关系表现为:内部控制是应对全面风险的前提,也就是说,内部控制为与业务相关联的各类风险进行恰当的风险管理活动提供了支撑。两者的关系可以进一步细化为三个方面:

1.风险评估是内部控制的构成部分

与风险管理相关的风险对策,大多数是在内部控制框架的基础上形成的。因此,开展风险管理所需的风险评估,由风险评估所形成的风险对策,对风险对策实施情况的评价是内部控制调整、运营情况评价的一部分。

2.风险评估的结果是内部控制进行持续改进的依据

内部控制不仅关乎“与业务活动开展相关联的风险”,而且必须在各种风险评价以及与风险评价相应的方法经验积累的基础上,对内部控制的框架、运行情况进行动态调整。管理层通过风险管理对风险进行评价提出相应方针政策,并在此基础上对内部控制的各个方面进行持续的改进。

3内部控制促进全面风险管理的完善

内部控制流程中所处理的“与业务活动开展相关联的风险”,必须及时地反馈给风险管理组织,并在全面风险管理活动中进行评估。

(二)内部控制与风险管理的—体化模式

风险管理与内部控制是市场经济环境下,企业的经营者为了响应各类企业利益相关者的需求、保证企业永续经营必不可少的管理手段。恰当的风险管理、完善的内部控制体系,有助于提高客户与投资者对企业的信任度,从而增加企业的价值。正因为如此,2003年,日本经济产业省在总结先进企业内部控制与风险管理成功经验的基础上,融合日本全面质量管理的成功经验,构建了“内部控制与风险管理的一体化模式”。该模式包括三方面内容:内部控制的PDCA循环,基于风险管理的内部控制评价流程,内部控制与风险管理整合架构。

1.内部控制的PDCA循环

PDCA循环又叫质量环或者戴明环,是管理学中的一个通用模型,是美国质量管理专家戴明博士首先提出的,它是全面质量管理所应遵循的科学程序。PDCA循环就是按照“计划—执行—检查—行动”的顺序进行质量管理、实现持续改善。从上世纪70年代全面质量管理在日本推广以来,极大地促进了日本经济的发展,质量意识深入人心,所以在内部控制体系构建环节,日本经济产业省也引入了PDCA循环(如图1所示)。

在内部控制体系构建的PDCA循环中,企业首先在对风险综合评价的基础上,把握经营活动的变化,对内部控制的架构进行适当的调整(Plan);运行内部控制程序(DO);通过内部控制的评价(Check),确认内部控制机能的有效性;明确内部控制的调整与改善的方向(Act)。其中,内部控制的评价与内部控制的调整、改善是内部控制PDCA循环的发动机。

2.基于风险分析的内部控制评价流程

内部控制评价是指内部控制制度、行为是否契合内部控制总体目标的达成,包括体系构建的完备性(规则、制度是否健全,内容是否合适)和运行状况的遵循性(在具体执行运行过程中,是否遵循既定的内部控制规则)。为了促进风险管理与内部控制间的有机整合,日本经济产业省在对先进企业风险管理经验总结的基础上,归纳并形成了基于风险分析的内部控制评价方法。该方法通过对企业风险进行分析,评价内部控制体系是否能够把握特定的经营活动的风险,并对这些风险进行及时地发现和有效地预防。

以采购活动的“预定工作”为例,由于存在着资金支出的购买活动,一般而言发生舞弊行为的可能性更大,所以存在降低发生舞弊风险的必要性,其内部控制评价流程如图2所示。内部控制评价的前提条件是对综合风险评价、对经营活动的把握,具体到购买活动时要考虑如何降低舞弊行为发生的风险。在“采购的预定流程中”,首先要确认内部控制的制度、规则的建设情况(主要确认采购申请填写人与订货负责人是否分离),如果内部控制制度本身不完善,要进行整改。在内部控制制度、规则完善的基础上(采购申请填写人与订货负责人在制度规定上实现了分离),进一步确认运行情况的遵循性(对运行情况的分析,主要关注运行过程是否按照制度与规则执行),如果存在执行不到位的,需要整改。

3.内部控制与风险管理整合架构

无论是“内部控制的PDCA循环”,还是“内部控制的评价流程”,都属于企业风险管理与内部控制工作的“单元要素”。如何将这些“单元要素”整合在统一的框架中,促进风险管理与内部控制的有机融合,日本经济产业省给出了一个通用性的“内部控制与风险管理的整合架构”,如图3所示。

内部控制与风险管理整合架构显示,健全的内部控制环境与通畅的信息传递渠道,是企业内部控制与风险管理整合架构的基础。在“金字塔式的组织中”,企业的各个层级通过PDCA循环,让风险管理与内部控制融入企业经营管理的各个方面。内部控制的评价基于风险分析,实施内部控制评价的人员要能够准确把握流程现状,并对作为控制对象的业务有一定程度理解。具体而言,采购的流程由采购部经理负责、制造流程由制造部经理负责,各个业务流程由其流程的负责人负责。但是,在实际工作中流程负责人(采购部经理或者制造部经理)不可能对每一个内部控制进行确认与评价,对于那些更为细化的环节(如采购流程中的“定货”、“验收”环节)要由下一层次的负责人(如作业层负责人)来评价。在内部控制的综合评价中,企业的各个层级不是独立的开展内部控制评价,而是通过“自下而上”的方式开展连贯式内部控制评价,即从作业层(车间负责人,团队负责人)到战术层(各部门经理)再到战略层(股东等)。在这些评价结果的基础上,最终形成综合评价。当发现企业某些业务流程出现问题时,根据问题的风险程度,决定内部控制的改善方案。

此外,在内部控制评价过程中,还要充分发挥内部审计部门的作用。内部审计部门作为独立的评价机构,对各个层级的内部控制评价的结果进行再评价,确保内部控制评价的客观性,促进内部控制体系完善,让企业的风险得到全面的控制。

三、启示

虽然《企业内部控制配套指引》的出台,标志着我国企业内部控制规范体系基本建成。但是,就我国企业管理实践来看内部控制与风险管理未能实现真正的融合,因此影响到内部控制作用的真正发挥。结合日本政府在促进本国企业构建“内部控制与风险管理一体化模式”方面的经验,笔者提出三点建议:

(1)建立统一协调的外部监管机构。为了促进企业实现全面风险管理,形成有效、柔性的内部控制体系,2003年5月,由日本经济产业省牵头,成立了“产(大型企业代表)学(部分高校与科研院所)官(政府机构)”为主体的“内部控制与风险管理”研究会,研究会经过多次研讨,最终形成了《新风险时代的内部控制》研究报告,该报告对企业的内部控制与风险管理工作的开展给出了一般性指导意见。目前,我国内部控制和风险管理的监管制度的制订,分属于不同的制度框架。内部控制的规范标准,是由财政部、证监会、审计署、银监会、保监会通过2010年4月26日联合的《企业内部控制配套指引》来确定的;风险管理的规范标准,是由国务院国有资产监督管理委员会通过2006年6月6日出台的《中央企业全面风险管理指引》来确定的。由于“政出多门”,缺乏一个统一的规则来协调各项“指引”的内容,这是导致目前我国企业管理实践不能将二者有机融合的重要原因之一。企业常常为了应付检查将同一件事情用两个规范来做,结果是“为了控制而控制”,既增加了企业的成本,又收不到应有的实效。因此,结合我国企业管理的实际情况,构建具有我国特色的内部控制与风险管理一体化模式,需要建立一个统一协调的外部监管机构。

全面风险管理与内控篇10

关键词 企业内部控制 风险管理 风险管理能力 对策研究

中图分类号:F275 文献标识码:A

2007年美国次贷危机的爆发使全球陷入严重的经济恐慌之中,此次金融危机造成一大批金融机构相继倒闭,金融市场剧烈动荡,股市急剧下挫,民众的投资和消费信心遭受重创。自2008年10月份以来,分布于我国长江三角洲和珠江三角洲的中小企业也受到有史以来最严重的经济冲击。在目前形势下,一些国家在金融危机中受到的重创仍然没有消除,甚至愈演愈烈。世界经济明显的下行趋势,以及国际经济环境中的不确定、不稳定因素的增多,使我们不得不思考寻找企业抵御风险的措施和方法,加强和完善企业内部控制与风险管理已迫在眉睫。

一、企业内部控制与风险管理理论的合理解读

(一)内部控制理论。

内部控制理论是伴随着企业内控实践经验的积累而逐步发展起来的。内部控制理论的发展先后经历了内部牵制、内部控制制度、内部控制结构与内部控制整体框架等四个不同的阶段。就目前来看,内部控制的权威定义来自于1992年COSO(The Commit-tee of Spons oring Organizations of the Treadway Committee)颁布的《内部控制―――整体框架》报告,该报告认为内部控制是由企业的董事会、管理层、和其他成员实施的,为营运的效率、效果、财务报告的可靠性以及法律规章的遵循性提供合理保证的过程。它是由控制环境、风险评估、控制程序、信息与沟通和监督五大要素组成的。

(二)风险管理理论。

风险管理是一门新兴的管理学科,其涉及到的行业和领域比较广泛,尤其是在企业界,有关风险管理的理论研究受到了极大的关注,风险管理的具体实践也得到了一些落实。关于对风险管理的理解可以从表层和深层的两个角度分析。从表层上讲,风险管理是对生产活动或行为中的风险进行管理;从更深层次上讲,风险管理是指风险管理负责人通过风险识别、风险评价和风险量化等风险分析活动,对风险进行规划、控制、监督,从而增大应对威胁的机会,以成功的完成并实现总目标。对风险管理的研究目前已经形成两大学说,一种是美国学说,一种是英国学说。美国学者把风险管理的对象局限于纯粹风险,在概念上侧重风险处理。英国COSO在1992年颁布了《企业整合框架》,该框架认为企业风险管理是一个过程,该过程由企业董事会、管理层和其他员工共同参与,应用于战略制定,贯穿于企业各层级和部门,为识别影响企业的潜在事项和风险而设计,为企业目标的实现提供合理保证。

二、内部控制与风险管理的关系分析

(一)内部控制与风险管理的关系研究回顾。

结合国际上对内部控制与风险管理的权威定义,以及国内外学者对内部控制与风险管理关系的研究总结出三种代表性观点:

1、风险管理包括内部控制。

COSO在2004年出台的《企业风险管理――整体框架》中明确指出企业风险管理包括内部控制。企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中,风险管理包含的八要素涵盖了内部控制整体框架的五要素,由此说明内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。

2、内部控制包括风险管理。

COSO在《内部控制――整体框架》报告中将风险评估作为企业内部控制的一个组成要素,实际上就是将风险管理包含在内部控制的范围之内。英国FSA在《综合准则》(The Combined Code,1998)中关于内部控制的规定也第一次以官方文件的形式明确将风险管理包含在内部控制之中。

(二)内部控制与风险管理逐渐走向融合。

1、理论上相互融合。

COSO在1994年将《内部控制―――整体框架》修改为《企业风险管理―――整体框架》,其根本原因在于内部控制的出发点与最终目的就是为了控制和管理风险。虽然内部控制的目标与控制层次不断提升,但风险控制与管理始终是其核心,从字面理解上可知内部控制就是控制风险,控制风险就是风险管理。所以内部控制和风险管理是控制风险的两种不同语义表达形式。风险管理无疑是内部控制在新形势下的自然升华,它是更主动、更全面的内部控制。

2、实践中相互融合。

在风险导向内部控制的观念下,风险管理成为企业生存并且发展壮大的关键环节,内部控制的工作重点也由制定单纯的内部控制制度转变为寻求测试管理风险和确认风险的方法,内部控制工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部控制也被赋予了更多的职责和使命。尤其是近年来在美国发生的财务造假案导致了安然、世通等跨国大公司的破产,同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。这些事件的发生,在全球引起了各方对民间审计机构诚信问题的探讨,同时也触动了人们对企业内部控制的进一步思索。无一不认为企业内部控制制度的发展演进与企业面临的风险相关,风险管理涉及的层次更深更广,内部控制将逐渐走向风险管理。

三、我国内部控制与风险管理的现状分析

(一)内部控制和风险管理责任主体单一。

就目前来讲,很多企业的内部控制和风险管理制度往往都是由经理层制定的,使经理层成为唯一的责任主体,其目的是为了更好的服务于高层管理者控制企业的资产和业务,控制中层管理者和企业员工的行为,而对于高层管理者(如总经理、执行董事)则缺乏制约控制能力。在这种情况下往往将为企业带来经营风险并导致经营失败。内部控制和风险管理的主体应该是一条自上而下的链条,因此,有必要让企业所有的利益相关者,尤其是公司的股东和董事会认识到内部控制、风险管理的重要性和紧迫性,从而加强对内部控制的制定和实施。

(二)风险管理意识有待提高,风险管理理念没有得到推广。

企业经营者和管理者的风险意识在现阶段比较淡薄,风险管理作为一种职能和理念尚未融入到我国企业的管理过程当中,因此企业管理层对于风险管理的重要性认识还不到位,风险管理手段相对落后。在项目决策和公司治理方面,对风险评估、信用等级评定缺乏有效的评定标准,缺乏专业风险管理及监控体系,制定不出有效的风险管理方案。尽管有一些风险管理措施,但仅局限于口头上或者制度上,或者实施力度不强,风险管理水平较低。

(三)内部控制固有的局限性还未引起足够的重视。

无论是理论界还是实务界往往将企业倒闭、破产或不能正常经营归因于企业的内部控制制度存在缺陷,这虽然没有错,但忽视了内部控制失效的另一个重要原因,即内部控制固有的局限性。COSO报告在阐述内部控制的四大局限时提到:内部控制既不能解决管理阶层人员素质问题也不能左右政府政策或经营环境。因此对于凌驾于传统内部控制之上的风险,传统的内部控制很难解决。

(四)企业缺少适当的风险管理机制。

我国企业中只有银行、保险、证券公司等金融机构比较注重风险管理,并且因为金融行业的风险性较大,所以许多金融机构也按照国家相关法规的要求建立了自身的风险管理机制,但是至于我国其他企业则很少具备自身的风险管理机制,并且也缺乏对普通企业如何建立风险防范机制的相关研究。COSO在《企业风险管理一总体框架》这一报告中认为风险管理作为企业内部控制不可缺少的一个要素,它不单是简单被动地应对各种风险,而是积极地通过对风险的识别、分析、控制这一风险管理过程来帮助企业合理有效地规避风险危害以及利用风险机会。因此,我国企业应充分重视风险管理机制的必要性和重要性,有关机构也应加强对普通企业建立风险管理机制的研究工作。

四、培养企业内部控制与风险管理能力的对策

(一)完善公司治理与内部控制环境。

由于我国市场经济尚处于发展阶段,证券市场也处于新兴加转轨阶段,股权结构异化,股权文化缺失,公司治理形备而实不至。因此应加强公司治理建设,利用董事会、监事会、股东相互制衡的方式来解决企业高层人员“一人独大”而带来的风险。将公司经营层面的内部控制与公司治理层面的内部控制结合起来,从根本上改善内部控制环境,实现对公司风险的全面控制。

(二)建设有效的风险管理体系。

就目前来看,我国绝大多数企业对内部控制的重要性认识不足,内控结构很不完善,控制效率低下,风险意识淡薄,从而导致我国企业的内部控制在总体上存在着内部控制环境恶劣、控制活动薄弱、信息流通不畅和对内部控制的监控不力等问题。因此我国企业必须注重风险管理体系的建设,在该体系中应重点包括控制战略风险、控制经营风险、控制财务风险等预防和处理措施。风险管理体系的建立将使企业内部控制制度更加健全,而健全的内部控制制度又可以有效地防止和降低风险可能带来的各种损失,促进效益最大化,提高企业的市场竞争力。

(三)实施动态的过程管理,控制经营活动风险。

1、实施全面预算管理。

企业应该设立预算管理机构,聘请专业人员编制预算并且严格预算的执行与监督,合理的进行预算分析和评估,从而达到预防风险、控制风险、强化风险管理的目的。

2、实施资金集中管理。

建立高效的筹资、融资系统,加强资金使用管理及外汇风险的管理来降低和规避风险。

(四)强调全员参与,高度关注内部控制与风险管理。

首先,企业要高度重视对控制环境的建设,完善法人治理结构,建立权力制衡机制;管理层要重视内部风险控制的成效,不断提高整个员工的综合素质,重点培育和加强全员风险管理意识,通过培训帮助员工建立系统的全面风险管理理论,使员工充分意识到风险管理的重要性,并使他们增强对风险的敏感度,摆正风险管理和企业发展的关系,同时建立风险控制制度和奖惩制度,帮助员工了解自身工作的责任;其次,树立企业风险管理文化,通过各种途径将风险控制文化传递给每一个员工,使风险管理理念渗透到每个部门、每个岗位和每个工作环节。建立从董事会到部门到员工严密、畅通的信息网络,设立良好的信息与沟通系统,形成以部门为单位的风险责任中心,确定部门风险控制目标并落实到责任人;最后,培育风险管理的综合型人才,引入竞争机制,合理配置企业人力资源,在注重加强员工的业务素质教育的同时,加强员工守法意识和职业道德教育。

(作者:广东商学院会计学院2009级研究生,研究方向:财务会计理论与实务)

参考文献:

[1]COSO制定.方红星,王宏译.企业风险管理――整合框架.东北财经大学出版社,2005.

[2]谢志华.内部控制、公司治理、风险管理:关系与整合.会计研究,2007.10。