第一篇:COSO企業內控風險管理模式
COSO企業內控風險管理模式
前言
10年前,COSO發布了《內部控制----整合框架》來幫助企業界和其他實體評價和加強他們的內部控制制度。從那時起該框架被結合并入成千上萬企業的政策、規則和規定,并被企業用于更好地控制他們的活動,朝著實現既定目標的方向前進。
近年來,關注的重點和焦點是風險管理,人們越來越清楚地認識到健全的框架對于有效地識別、評價和管理風險是很有必要。在2001年,COSO提議了一個項目,并聘用普華永道會計事務所開發能方便管理部門用于評價和改進本組織企業風險管理的框架。
框架開發的整個期間出現了一系列具有高度標志性的企業丑聞和失敗案例,使投資者、公司人員和其他利益相關者蒙受了巨大損失。災難的后果是要求用新的法律法規和上市標準來加強公司治理和風險管理。人們越來越多地認識到提供關鍵的原則和概念,共同語言和明確方向與指南的企業風險管理框架的必要性。COSO認為,企業風險管理----一體化框架填補了這種需要,并希望該框架能被公司、其他組織和所有的利益相關者及團體廣泛接受。
在美國的發展結果是出臺了《2002年的薩班斯----奧克斯利法案》,其他國家也頒布了或正在考慮類似的立法。這類法律擴展了對公營公司維護內部控制制度的長期有效要求,要求管理層予以證實和獨立審計師測試這些制度有效性。持續要求測試時間的《內部控制----整合框架》適用于滿足報告要求的更廣泛的公認標準。
《企業風險管理----整合框架》擴展了內部控制,提供了一種更健全的和廣泛的焦點在企業風險管理更寬廣的題目。它的目的不是取代內部控制框架,而是將內部控制框架合并在一起,公司可以決定審查企業風險管理框架,以滿足內部控制的需要和朝著更完備風險管理過程發展。
管理層所面臨的最嚴峻挑戰是決定本實體準備接受多大的風險,因為風險也可以經過奮斗而創造價值。本報告將更好地鼓勵企業迎接這種挑戰。
執行總結
企業風險管理的根本前提是每一實體存在的目的是為其利益相關者提供價值。所有的實體都面臨不確定性,對管理層的挑戰是確定能接受多大的不確定性,因為不確定性也可以促進增加利益相關者的價值。不確定性同時體現為風險機會,具有流失或增加價值的潛力。企業風險管理鼓勵管理層有效地處理不確定性和相關的風險和機會,增強創造價值的能力。
當管理層制定的戰略目標能力求達到增長和利潤目標與相關風險之間的最佳平衡,并在追求本實體目標的過程中有效地調度資源時,價值能達到最大化。企業風險管理包括:
● 連成一線的風險偏好與戰略----管理層考慮本實體的風險偏好,在評估戰略可選擇方案時,制定相關目標,開發管理相關風險的機制。
● 增強風險反饋決策----企業風險管理提供了森嚴的識別和挑選可選擇的風險反饋----即風險回避、降低、分攤和接受的制度。
● 減少經營意外事故和損失----各實體應獲得增強的能力來識別潛在事件和建立反饋,減少意外事故和相關成本或損失。
● 識別和管理多樣化的和交叉的企業風險----每一企業都將面臨影響本組織不同方面的無數風險因素,企業風險管理能促進對相互關聯的影響做出有效反應,對多樣化的風險做出綜合的反應。
● 抓住機會----通過全面考慮潛在的事件,管理層被定位于識別和正面積極地抓住機會。
● 改進資本配置----獲得健全的風險信息,允許管理層有效地評估總體資本需要,增強資本分配。
這些企業風險管理中內在的能力有助于管理層實現本實體的績效和盈利能力目標,防止資源損失。企業風險管理有助于保證有效的報告和遵守法律法規,避免本實體的聲譽受到損害和相關的后果。總之,企業風險管理有助于一個實體達到它想要實現的目標,避免前進過程中的陷阱和意外事故。
事件----風險與機會
事件可以有負面影響、正面影響,或二者兼而有之。負面影響的事件表現為能阻礙價值創造或侵蝕現存價值的風險。正面影響的事件可以抵消負面影響或體現為機會。機會是一個事件將發生并積極影響目標實現、支持價值創造或保護價值的可能性。管理層將機會引導向其戰略或目標制定過程,制定抓住機會的計劃。
規定了企業風險管理
企業風險管理處理影響價值創造或保值的風險和機會。其定義如下:
“企業風險管理是一個過程,受到一個實體的董事會、管理層和其他人員的影響,適用于戰略制定和在整個企業設計識別可能影響本實體的潛在事件,在風險偏好范圍內管理風險,提供與實現實體目標有關的合理保證。”
該定義反映出一些基本的概念。企業風險管理是:
● 一個過程,持續并貫穿一個實體;
● 受到一個組織每一層級人員的影響;
● 適用于戰略制定;
● 適用于整個企業每一層次和單位,包括所采納的實體總體層次風險業務責任觀點;
● 設計識別可能影響本實體的潛在事件,如果它們發生的話,在風險偏好范圍內管理風險,● 能夠為一個實體的管理層和董事會提供合理保證;
● 在一個或更多獨立的但重疊的分類中加速目標的實現。
該定義的目標廣闊。它抓住公司和其他組織如何管理風險的關鍵基本概念,為整個組織、行業和部門提供適用的依據。它把焦點直接放在實現由某一方面特定實體制定的目標,為定義企業風險管理的效果提供依據。
目標的實現
在實體既定使命和遠景規劃的條件下,管理層確定戰略目標,選擇戰略和制定將整個企業連接成一線的目標。這種加速實現實體目標的企業風險管理框架,可陳述為四類:
● 戰略----高層目標,連接和支持其使命;
● 經營----有效率和效果地使用其資源;
● 報告----報告的可靠性;
● 合規----遵守適用的法律法規。
這種實體目標的分類準許把重點放在企業風險管理的各別方面。這些性質截然不同但重疊的分類----某一特別的目標可以分成幾個分類,強調不同的實體需要并可能對不同的執行部門負直接責任。這種分類同樣準許從每一目標分類之間區別可以預期的結果。同樣也描述了一些實體使用的保護資源的另一分類。
因為與報告可靠性和遵守法律法規相關的目標在實體的控制范圍內,企業風險管理可以預期為實現這些目標提供合理的保證。然而戰略目標和經營目標的實現易遭受實體控制范圍之外的外部事件的影響,因此,企業風險管理可以提供合理的保證,使管理層認識這些目標和董事會意識到其監督作用,及時地促進整個實體朝著實現目標前進。
企業風險管理的組成部分
企業風險管理包括八個相關組成部分。這些組成部分來自管理層經營企業的方式,并與管理過程相結合。這些組成部分是:
● 內部環境----內部環境包括一個組織的基調,制定作為整個實體的人們如何審視和重視風險的依據,包括風險管理哲學和風險偏好、正直性和道德價值以及他們經營的環境。
● 目標設定----在管理部門能夠識別影響其業績的潛在事件之前,必須存在有目標。企業風險管理保證管理部門制定目標的過程到位,選定的目標支持和本實體的使命聯成一體,并與風險偏好相一致。
● 事件識別----必須識別影響一個實體實現目標的內部和外部事件,區別風險和機會。機會開辟了反饋管理部門戰略或目標制定過程的渠道。
● 風險評估----要分析風險,考慮可能性和影響,作為決定如何管理風險的依據。在固有的和有后效的基礎上評估風險。● 風險反饋----管理部門選擇風險反饋----即避免、接受、降低或分攤風險,開發一系列行動,使風險與實體的風險承受能力和風險偏好聯成一體。
● 控制活動----政策和程序的制定有助于保證有效地執行風險反饋。
● 信息與溝通----以一種能夠促進人們履行其職責的形式和時間框架來識別、捕捉和溝通相關風險。有效的溝通同樣發生在更廣泛的意義上,即在實體內從上到下、相互交叉和自下而上的溝通。● 監控----對企業風險管理的整體進行監控并根據需要進行修改。通過持續的管理活動,分別評估,或二者同時進行來實現監控。企業風險管理不是一個嚴格的系列過程,一個部分只影響下一個部分。它又是一種多方向的重復的過程,在這一過程中幾乎所有的任何部分都可能會影響另一個部分。
目標與組成部分的關系
在一個實體奮力實現的目標和體現實現目標所必須的企業風險管理組成部分之間存在一種直接的關系。這種關系被描述為立體結構中的三維矩陣模型。
四種目標分類----戰略、經營、報告和合法----由縱向欄目所代表,八個組成部分橫向排列,一個實體的單位由第三個層面所代表。這種描繪勾畫出整個企業風險管理重點的能力,或通過目標分類、組成部分、實體單位或任何子集合說明整個企業風險管理。
效果
確定一個實體的企業風險管理是否“有效”是對八個組成部分的表現以及是否有效運行進行評估的一種判斷。這些組成部分同樣可作為有效的企業風險管理的標準。因為這幾個組成部分的存在及適當運行不可能產生重大的缺陷,風險需要也已控制在一個實體的風險偏好之內。
當確定企業風險管理在四類目標的每一類中都是有效的,相應地也就為董事會和管理層提供合理的保證,使他們了解整個實體戰略和經營目標正在實現的程度和整個實體的報告是可靠的并遵守適用的法律法規。
八個組成部分在每一個實體的運行并不是完全相同的。例如,在中小型實體中的應用可能不那么正式,結構不那么完整。不過,小的實體仍然可以有有效的企業風險管理,只要每一個組成部分都存在并適當運行。
局限性
在企業風險管理提供重要好處的同時,也存在著局限性。在上述討論的因素之外,局限性來自在決策制定過程中人的判斷可能出現錯誤,反饋風險的決策,制定控制需要考慮相關成本和效益,因為人類的失誤,例如簡單的錯誤或過失可能會造成計劃的失敗,控制可以防止兩個人或更多人勾結串通事件的發生,但管理部門有能力否決企業風險管理決策。這些局限性會妨礙董事會和管理層對本實體目標實現所具有絕對的保證。
圍繞內部控制
內部控制是企業風險管理的一個組成部分。本企業風險管理框架圍繞內部控制,為管理部門形成一個更健全的概念論和工具。在《內部控制----整合框架》中對內部控制進行了定義和描述。因為此框架已經經受了時間的考驗,并成為現行法律法規和規則的依據,文件保留了內部控制的定義和框架。在本框架中只有《內部控制----整合框架》原文部分是復制的,該框架的整體作為關聯部分已結合到本框架中。
作用與職責
在實體中的每一個人對企業風險管理都負有一定的責任,首席執行官是最終的負責人,應該承擔所有責任。其他管理人員支持本實體的風險管理哲學,促進遵守風險偏好,在職責和風險承受能力相一致的范圍內管理風險。風險職員、財務人員、內部審計師和其他人員通常有重要的支持職責。其他的實體人員負責按照既定的指令和會議記錄執行風險管理。董事會對企業風險管理提供重要的監督,知道并贊成本實體的風險偏好。一些外部參與者,例如客戶、賣主、企業合伙人、外部審計師、監管人員和財務分析家常常提供對實現企業風險管理有用的信息,但他們并不對其效果負責任,他們也不是本實體企業風險管理的一部分。本報告的組織
本報告分為兩卷。第一卷包括本框架和《執行總結》。該框架規定了企業風險管理,描述了原則和概念,為企業和其他組織內部各級管理部門評估和增強企業風險管理的效果提供了方向。執行總結是指導首席執行官和其他高級執行人員、董事會成員和監管人員的一種高層次的檢查。第二卷,《應用技術》提供了說明在采用本框架要素中有用的技術。
本報告的使用
作為本報告結果可能采取的建議行動取決于涉及的各當事方的地位和作用:
● 董事會----董事會應與高級管理層討論本實體企業風險管理框架的狀況,提供必要的監督。董事會應該保證知道絕大多數重大風險和管理層正在采取的行動,以及如何保證有效的企業風險管理。董事會應該考慮從內部審計師、外部審計師和其他人那里尋找輸入信號。
● 高級管理層----此次的研究建議首席執行官評價本組織的企業風險管理能力。在另一種方法中,首席執行官將經營單位的負責人和主要職能負責人聚集在一起討論企業風險管理能力和效果的初步評價。不管采取什么形式,初步評價應該確定在哪里需要和如何進行范圍更廣和更深入的評估。
● 其他實體人士----管理人員和其他人士應該考慮他們是如何根據本框架執行他們的職責,與更高級的人員討論加強企業風險管理的想法。內部審計師應該考慮企業風險管理重點方面的廣度。● 監管人員----本框架可以促進分享企業風險管理,包括能做的事及其局限性的看法。監管人員對他們監督的實體不管是根據規則或指南,還是進行檢查,在確定預期值方面可以參考本框架。● 專業人士的組織----規則制定和提供財務管理、審計和相關專題指南的其他專業人士組織應該考慮根據本框架制定他們的準則和指南。消除在概念和專業術語方面的多樣化程度,使所有參與者都受益。
● 教育者----本框架可以作為學術研究和分析的題目,以觀察未來可以 采取哪些強化措施。根據這一假定,本報告可成為公認的理解的共同基礎,其概念和術語應能發現其進入大學課程的渠道。
作為共同理解的基礎,所有的參與者將能夠用共同的語言說話和進行更有效的溝通。企業的執行人員將定位在對照準則評價其公司的企業風險管理的過程,并強化這一過程,使本企業朝著既定的目標前進。進一步的研究可以發揮超出既定基礎的杠桿作用。立法人員和監管人員將能夠增強對企業風險管理的理解,包括其好處和局限性。隨著所有的參與者都使用共同的企業風險管理框架,這些好處將得到實現。
內部環境包括一個組織的基調,制定作為整個實體的人們如何審視和重視風險的依據,包括風險管理哲學和風險偏好、正直性和道德價值以及他們經營的環境。
● 目標設定----在管理部門能夠識別影響其業績的潛在事件之前,必須存在有目標。企業風險管理保證管理部門制定目標的過程到位,選定的目標支持和本實體的使命聯成一體,并與風險偏好相一致。● 事件識別----必須識別影響一個實體實現目標的內部和外部事件,區別風險和機會。機會開辟了反饋管理部門戰略或目標制定過程的渠道。
● 風險評估----要分析風險,考慮可能性和影響,作為決定如何管理風險的依據。在固有的和有后效的基礎上評估風險。
● 風險反饋----管理部門選擇風險反饋----即避免、接受、降低或分攤風險,開發一系列行動,使風險與實體的風險承受能力和風險偏好聯成一體。
● 控制活動----政策和程序的制定有助于保證有效地執行風險反饋。
● 信息與溝通----以一種能夠促進人們履行其職責的形式和時間框架來識別、捕捉和溝通相關風險。有效的溝通同樣發生在更廣泛的意義上,即在實體內從上到下、相互交叉和自下而上的溝通。● 監控----對企業風險管理的整體進行監控并根據需要進行修改。通過持續的管理活動,分別評估,或二者同時進行來實現監控。
企業風險管理不是一個嚴格的系列過程,一個部分只影響下一個部分。它又是一種多方向的重復的過程,在這一過程中幾乎所有的任何部分都可能會影響另一個部分。
目標與組成部分的關系
在一個實體奮力實現的目標和體現實現目標所必須的企業風險管理組成部分之間存在一種直接的關系。這種關系被描述為立體結構中的三維矩陣模型。
四種目標分類----戰略、經營、報告和合法----由縱向欄目所代表,八個組成部分橫向排列,一個實體的單位由第三個層面所代表。這種描繪勾畫出整個企業風險管理重點的能力,或通過目標分類、組成部分、實體單位或任何子集合說明整個企業風險管理。
效果
確定一個實體的企業風險管理是否“有效”是對八個組成部分的表現以及是否有效運行進行評估的一種判斷。這些組成部分同樣可作為有效的企業風險管理的標準。因為這幾個組成部分的存在及適當運行不可能產生重大的缺陷,風險需要也已控制在一個實體的風險偏好之內。
當確定企業風險管理在四類目標的每一類中都是有效的,相應地也就為董事會和管理層提供合理的保證,使他們了解整個實體戰略和經營目標正在實現的程度和整個實體的報告是可靠的并遵守適用的法律法規。
八個組成部分在每一個實體的運行并不是完全相同的。例如,在中小型實體中的應用可能不那么正式,結構不那么完整。不過,小的實體仍然可以有有效的企業風險管理,只要每一個組成部分都存在并適當運行。
局限性
在企業風險管理提供重要好處的同時,也存在著局限性。在上述討論的因素之外,局限性來自在決策制定過程中人的判斷可能出現錯誤,反饋風險的決策,制定控制需要考慮相關成本和效益,因為人類的失誤,例如簡單的錯誤或過失可能會造成計劃的失敗,控制可以防止兩個人或更多人勾結串通事件的發生,但管理部門有能力否決企業風險管理決策。這些局限性會妨礙董事會和管理層對本實體目標實現所具有絕對的保證。圍繞內部控制
內部控制是企業風險管理的一個組成部分。本企業風險管理框架圍繞內部控制,為管理部門形成一個更健全的概念論和工具。在《內部控制----整合框架》中對內部控制進行了定義和描述。因為此框架已經經受了時間的考驗,并成為現行法律法規和規則的依據,文件保留了內部控制的定義和框架。在本框架中只有《內部控制----整合框架》原文部分是復制的,該框架的整體作為關聯部分已結合到本框架中。
作用與職責
在實體中的每一個人對企業風險管理都負有一定的責任,首席執行官是最終的負責人,應該承擔所有責任。其他管理人員支持本實體的風險管理哲學,促進遵守風險偏好,在職責和風險承受能力相一致的范圍內管理風險。風險職員、財務人員、內部審計師和其他人員通常有重要的支持職責。其他的實體人員負責按照既定的指令和會議記錄執行風險管理。董事會對企業風險管理提供重要的監督,知道并贊成本實體的風險偏好。一些外部參與者,例如客戶、賣主、企業合伙人、外部審計師、監管人員和財務分析家常常提供對實現企業風險管理有用的信息,但他們并不對其效果負責任,他們也不是本實體企業風險管理的一部分。
本報告的組織
本報告分為兩卷。第一卷包括本框架和《執行總結》。該框架規定了企業風險管理,描述了原則和概念,為企業和其他組織內部各級管理部門評估和增強企業風險管理的效果提供了方向。執行總結是指導首席執行官和其他高級執行人員、董事會成員和監管人員的一種高層次的檢查。第二卷,《應用技術》提供了說明在采用本框架要素中有用的技術。
本報告的使用
作為本報告結果可能采取的建議行動取決于涉及的各當事方的地位和作用:
● 董事會----董事會應與高級管理層討論本實體企業風險管理框架的狀況,提供必要的監督。董事會應該保證知道絕大多數重大風險和管理層正在采取的行動,以及如何保證有效的企業風險管理。董事會應該考慮從內部審計師、外部審計師和其他人那里尋找輸入信號。
● 高級管理層----此次的研究建議首席執行官評價本組織的企業風險管理能力。在另一種方法中,首席執行官將經營單位的負責人和主要職能負責人聚集在一起討論企業風險管理能力和效果的初步評價。不管采取什么形式,初步評價應該確定在哪里需要和如何進行范圍更廣和更深入的評估。
● 其他實體人士----管理人員和其他人士應該考慮他們是如何根據本框架執行他們的職責,與更高級的人員討論加強企業風險管理的想法。內部審計師應該考慮企業風險管理重點方面的廣度。● 監管人員----本框架可以促進分享企業風險管理,包括能做的事及其局限性的看法。監管人員對他們監督的實體不管是根據規則或指南,還是進行檢查,在確定預期值方面可以參考本框架。● 專業人士的組織----規則制定和提供財務管理、審計和相關專題指南的其他專業人士組織應該考慮根據本框架制定他們的準則和指南。消除在概念和專業術語方面的多樣化程度,使所有參與者都受益。
● 教育者----本框架可以作為學術研究和分析的題目,以觀察未來可以 采取哪些強化措施。根據這一假定,本報告可成為公認的理解的共同基礎,其概念和術語應能發現其進入大學課程的渠道。
作為共同理解的基礎,所有的參與者將能夠用共同的語言說話和進行更有效的溝通。企業的執行人員將定位在對照準則評價其公司的企業風險管理的過程,并強化這一過程,使本企業朝著既定的目標前進。進一步的研究可以發揮超出既定基礎的杠桿作用。立法人員和監管人員將能夠增強對企業風險管理的理解,包括其好處和局限性。隨著所有的參與者都使用共同的企業風險管理框架,這些好處將得到實現。
第二篇:風險與內控卓越管理模式
十大卓越管理模式
風險與內控卓越管理模式
冰凍三尺,非一日之寒
安然公司曾是美國最大的天然氣采購商及出售商,在2000年《財富》世界500強排名第16位,2001年12月2日公司宣布破產,以其破產前498億美元的資產規模成為美國歷史上最大的破產案;此后不久,美國零售巨頭之一,與沃爾瑪幾乎平起平坐的凱馬特公司也宣布破產;2002年4月德國最大的影視傳媒集團基爾希集團傳告破產;此前有兩家歐洲著名的媒體集團ISL和英國獨立電視臺倒閉。
從國內情況看,伴隨著企業“跳躍式”的超常發展,一些“快起快倒”的企業不斷出現:巨人集團、三株集團、瀛海威網絡、紅高粱快餐、愛多VCD、亞細亞商場、秦池白酒、銀廣廈、藍田股份。。。
面對眾多的破產事件,人們再一次感到企業在風險面前的蒼白無力。事實上,任何風險的產生和突發都必須經歷一個蘊藏、生成、演化、臨近、顯現和作用的過程。“冰凍三尺,非一日之寒”,大部分企業的“快起快倒”實際上是各種風險因素日積月累的結果,只不過人們缺乏對風險的認識與防范,忽視了風險背后積累已久的問題。著名咨詢顧問史蒂文.芬克(Steven Fink)在他的《危機管理》一書中指出,企業主管“都應當像認識到死亡和納稅難以避免一樣,必須為危機做好計劃:知道自己準備好之后的力量,才能與命運周旋”。由于危機都有一個逐步顯現、惡化的過程,因此具有一定的先兆性和可預測性。為防范和規避危機,企業有必要建立和完善危機預警機制(系統),通過對經營全過程進行跟蹤、監控,及早發現和預測危機的信號,一旦發現有某種異常征兆就著手進行應變防范,這樣就可以未雨綢繆,最大限度避免或減少危機的破壞作用,這對于促進企業的健康發展具有重大的現實意義。卓越的風險管控,防危杜漸
卓越的內控管理模式,應當涵蓋COSO內部控制整體框架中的五要素:內部環境、風險評估、控制活動、信息與溝通、內部監督。內部環境:
是企業實施內部控制的基礎,決定了企業在道德標準、價值導向、品質方向的基調,往往受高層管理者的直接影響,并影響員工的控制意識和行為方式。具體包括:治理結構、機構設置以及權責分配、內部審計、人力資源政策、企業文化等。風險評估:
識別、分析相關風險,以求有效地管理風險以實現既定目標。相對于既定目標,風險無處不在,其來源可能是企業內部或者外部。企業要是要清楚地了解風險可能帶來影響的嚴重程度,并設定企業能夠承受的風險承受程度,采取適當手段把風險降低承受范圍內。控制活動:
企業根據風險評估的結果,采用相應的控制措施,將風險控制在可承受范圍內。控制活動是落實風險評估結果的基本手段,是整個內部控制體系中最為關鍵的組成部分。控制活動體現在整個企業的不同層次和不同部門中,貫穿于企業所有的運營活動中。信息與溝通:
企業及時、準確地收集、傳遞與內部控制相關的信息,確保信息在企業內部、企業與外部之間進行有效溝通。有效的溝通要求信息的自上而下、橫向及自下而上的傳遞。內控評價:
企業對內部控制建設實施情況進行監控檢查,這是確保內部控制體系正常運轉的基本手段。監督包括日常評價和專項評價。評價的手段一般是內部控制的檢查(測試)和評價,當發現內部控制存在缺陷時,針對缺陷提出整改方案,盡快落實改進。內控分析:
企業在生產經營過程中需要不斷的對內控系統進行測評,并將測評結果展示出來,以便企業管理層根據風險的情況及時調整應對策略,各個管理部門也可以根據內控測評的缺陷進行整改;HR部門可以根據內控的部門測評情況,對部門進行績效考核。核心應用
控制環境
在“控制環境”模塊中提供對于風險管理文化及相關制度的管理功能。
通過HR系統提供組織人力的規劃、職位能力素質要求/任職資格、職位描述功能,進行組織結構的管理、人員的配置及職位責任及權力的定義。風險評估
結合目標管理系統,設定戰略目標。
通過風險管理模塊提供風險管理目標的設定,并與戰略目標與KPI 關聯,并建立相關的風險指標,以便對日常的業務進行風險的預警。提供風險矩陣平臺,系統預設常用風險,支持用戶自定義其他風險類型。控制活動
控制活動是內控的關鍵,貫穿在K/3 ERP的各個模塊和流程當中。包括:系統控制參數、權限設置、預算控制、流程控制、信用控制、價格控制等。
支持將系統的所有控制點輸出報告,幫助企業內控管理者從整體把握控制情況,利于管理者判斷內控力度、效果以及改進方向。信息與溝通
提供豐富的溝通渠道:支持消息、郵件、短信方式查詢控制過程和結果信息。支持企業建立舉報投訴機制,設置舉報專線。滿足內控規范的需要。內控評價
提供詳細豐富的審計線索以及豐富的內控報告,便于內審部門準確判斷內控體系有效性。內控分析
風險分析:風險控制效果分析表、風險坐標圖、風險發生概率分析和風險影響程度分析; 流程評價分析:流程承擔風險分析、流程評價分析和流程控制點分析。部門內控考核分析:內控考核排名分析 客戶價值
戰略規劃、業務計劃、財務預算和業績評價的整合; 戰略層、經營層、作業層三層組織機構協調流程的整合; 財務活動和業務活動互為支持的整合;
計劃體系、目標體系、指標體系、報表體系和績效考核體系從“出題”、“解題”到“評分”的整合; 預算從制定、調整到考核評價周而復始的整合; 業務流、資金流、信息流和人力資源流的整合。
第三篇:COSO內部控制與企業風險管理
COSO內部控制與企業風險管理
1985年,由美國注冊會計師協會(AICPA)、美國會計協會(AAA)、財務經理人協會(FEI)、內部審計師協會(IIA)、管理會計師協會(IMA)聯合創建了反虛假財務報告委員會(通常稱Treadway委員會),旨在探討財務報告中的舞弊產生的原因,并尋找解決之道。兩年后,基于該委員會的建議,其贊助機構成立COSO(Committee of Sponsoring Organization,COSO)委員會,專門研究內部控制問題。1992年9月,COSO委員會發布《內部控制整合框架》(COSO-IC),簡稱COSO報告,1994年進行了增補。這些成果馬上得到了美國審計署(GAO)的認可,美國注冊會計師協會(AICPA)也全面接受其內容并于1995年發布了《審計準則公告第78號》。由于COSO報告提出的內部控制理論和體系集內部控制理論和實踐發展之大成,成為現代內部控制最具有權威性的框架,因此在業內倍受推崇,在美國及全球得到廣泛推廣和應用。
→在《COSO內部控制整合框架》中,內部控制定義為 :由一個企業的董事會、管理層和其他人員實現的過程,旨在為下列目標提供合理保證:(1)財務報告的可靠性;(2)經營的效果和效率;(3)符合適用的法律和法規。《COSO內部控制整合框架》把內部控制劃分為五個相互關聯的要素,分別是(1)控制環境;(2)風險評估;(3)控制活動;(4)信息與溝通;(5)監控。每個要素均承載三個目標:(1)經營目標;(2)財務報告目標;(3)合規性目標。
→自1992年美國COSO委員會發布《COSO內部控制整合框架》以來,該框架已在全球獲得廣泛的認可和應用,但理論界和實務界一直不斷對其提出一些改進建議,強調內部控制整合框架的建立應與企業風險管理相結合。2002年頒布的薩班斯法案也要求上市公司全面關注風險,加強風險管理,在客觀上也推動了內部控制整體框架的進一步發展。與此同時,COSO委員會也意識到《內部控制整合框架》自身也存一些問題,如過分注重財務報告,而沒有從企業全局與戰略的高度來關注企業風險。正是基于這種內部和外部的雙重因素,新框架必須出臺以適應發展需求。
→2003年7月,美國COSO委員根據薩班斯法案的相關要求,頒布了“企業風險管理整合框架”的討論稿(Draft),該討論稿是在《內部控制整合框架》的基礎上進行了擴展而得來的,2004年9月正式頒布了《企業風險管理整合框架》(COSO-ERM),標志COSO委員會最新的內部控制研究成果面世。
→COSO企業風險管理的定義 :“企業風險管理是一個過程,受企業董事會、管理層和其他員工的影響,包括內部控制及其在戰略和整個公司的應用,旨在為實現經營的效率和效果、財務報告的可靠性以及法規的遵循提供合理保證。”COSO-ERM框架是一個指導性的理論框架,為公司的董事會提供了有關企業所面臨的重要風險,以及如何進行風險管理方面的重要信息。企業風險管理本身是一個由企業董事會、管理層、和其他員工共同參與的,應用于企業戰略制定和企業內部各個層次與部門的,用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內進行多層面,流程化的企業風險管理過程,它為企業目標實現提供合理保證。
→在內部控制整合框架五個要素的基礎上,COSO企業風險管理的構成要素增加到八個:(1)內部環境;(2)目標設定:(3)事項識別;(4)風險評估;(5)風險應對;(6)控制活動;(7)信息與溝通;(8)監控。八個要素相互關聯,貫穿于企業風險管理的過程中
COSO是全國虛假財務報告委員會下屬的發起人委員會(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文縮寫。根據薩班斯法案第404節條款以及美國證券交易委員會(SEC)的相應實施標準,要求公眾公司的管理層評估和報告公司最近的財務報告的內部控制的有效性。2004年3月9日,PCAOB發布了其第2號審計標準:“與財務報表審計相關的針對財務報告的內部控制的審計”,并于6月18日經SEC批準。SEC對該標準的認同等于從另外一個側面承認了1992年COSO公布的《內部控制—綜合框架》(也稱“COSO內部控制框架”)。這也表明COSO框架已正式成為美國上市公司內部控制框架的參照性標準。
1992年Treadway委員會經過多年研究,針對公司行政總裁、其他高級執行官、董事、立法部門和監管部門的內部控制進行高度概括,發布《內部控制一整體框架》(Interna Control-Integrated Framework)報告,即通稱的COSO報告。該報告第一部分是概括;第二部分是定義框架,完整定義內部控制,描述它的組成部分,為公司管理層、董事會和其他人員提供評價其內部控制系統的規則;第三部分是對外部團體的報告;是為報告編制報表中的內部控制的團體提供指南的補充文件;第四部分是評價工具,提供用以評價內部控制系統的有用材料。
COSO報告提出內部控制是用以促進效率,減少資產損失風險,幫助保證財務報告的可靠性和對法律法規的遵從。COSO報告認為內部控制有如下目標:經營的效率和效果(基本經濟目標,包括績效、利潤目標和資源、安全),財務報告的可靠性(與對外公布的財務報表編制相關的,包括中期報告、合并財務報表中選取的數據的可靠性)和符合相應的法律法規。
[編輯本段] COSO報告中內部控制的組成
1.控制環境(Control environment)
它包括組織人員的誠實、倫理價值和能力;管理層哲學和經營模式;管理層分配權限和責任、組織、發展員工的方式;董事會提供的關注和方向。控制環境影響員工的管理意識,是其他部分的基礎。
2.風險評估(risk assessment)
是確認和分析實現目標過程中的相關風險,是形成管理何種風險的依據。它隨經濟、行業、監管和經營條件而不斷變化,需建立一套機制來辨認和處理相應的風險。
3.控制活動(control activities)
是幫助執行管理指令的政策和程序。它貫穿整個組織、各種層次和功能,包括各種活動如批準、授權、證實、調整、經營績效評價、資產保護和職責分離等。
4.信息和交流(information and communication)
信息系統產生各種報告,包括經營、財務、守規等方面,使得對經營的控制成為可能。處理的信息包括內部生成的數據,也包括可用于經營決策的外部事件、活動、狀況的信息和外部報告。所有人員都要理解自己在控制系統中所處的位置,以及相互的關系;必須認真對待控制賦予自己的責任,同時也必須同外部團體如客戶、供貨商、監管機構和股東進行有效的溝通。
5.監控(monitoring)
監控在經營過程中進行,通過對正常的管理和控制活動以及員工執行職責過程中的活動進行監控,來評價系統運作的質量。不同評價的范圍和步驟取決于風險的評估和執行中的監控程序的有效性。對于內部控制的缺陷要及時向上級報告,嚴重的問題要報告到管理層高層和董事會。
[編輯本段] COSO報告中內部控制的職責
(l)管理層:CEO最終負責整個控制系統。對大公司,CEO可把權限分配給高級經理,并評價其控制活動,然后,高級經理具體制定控制的程序和人員責任;對小公司,一切可更為直接,由最高經理具體執行。
(2)董事會:管理層對董事會負責,由董事會設計治理結構,指導監管的進行。有效的董事會應掌握有效的上下溝通渠道,設立財務、內部審計等職能,防止管理層超越控制,有意歪曲事實來掩蓋管理的缺陷。
(3)內部審計師:內審對評價控制系統的有效性具有重要作用,對公司的治理結構行使者監管的職能。
(4)內部其他人員:明確各自的職責,提供系統所需的信息,實現相應的控制;對經營中出現的問題,對不合法、違規行為有責任與上級溝通。
(5)外部人員。公司的外部人員也有助于控制目標的實現,如外部審計可提供客觀獨立的評價,通過財務報表審計直接向管理階層提供有用信息;另如法律部門、監管部門、客戶、其他往來單位、財務分析師、信用評級公司、新聞媒體等也都有助于內部控制的有效執行。
[編輯本段] COSO報告的現實意義
COSO報告是在美國金融風險加劇,財務欺詐抬頭,社會各界對內部控制和獨立審計師寄予厚望的“危難”時刻,由五個職業會計團體聯合并潛心研究近4年左右的時間才誕生的。COSO報告中蘊涵了許多嶄新的理念和思想。這些理念和思想,不僅對過去,而且對現在甚至未來的企業管理、財會工作和獨立審計都有著重要影響。主要有以下幾個方面:
1.準確定位內部控制基本目標。COSO報告指出內部控制本身不是目的,而是實現目標的手段。內部控制目標是幫助企業奔向經營目標、完成使命和減少經營過程中的風險。用中國話來說就是為企業的經營和管理工作“保駕護航”。
2.提出三類目標、五項構成要素概念。COSO把內部控制細分為經營效率與效果、財務報告可靠和遵紀守法三類子目標和控制環境、風險評估、控制活動、信息與溝通和監測活動五項構成要素。這些概念的提出,為評價內部控制系統提供了一套完整的標準,使COSO報告在理論和實際應用兩個方面都較原來的內部控制學說有一個質的飛躍。
3.提出內部控制是“過程”,并由控制環境、風險評估、控制活動、信息與溝通和監測活動五項要素構成。五項控制要素不是內部控制過程中先后順序上的一道道工序,而是一個多方向交叉的多維的反復的過程。COSO報告突出了內部控制過程中的復雜性和各控制要素之間有機的多維的聯系與影響。
4.強調“人”的重要性。COSO報告指出人和環境是推動企業發展的引擎。內部控制是由人來設計和實施的,企業中的每位員工都受內部控制的影響,并通過自身的工作影響著他人的工作和整個內部控制系統。所以,要求所有員工都應清楚他們在企業、在內部控制系統中的位置和角色,并協調一致,才能推進內部控制的有效運轉。
5.認識到董事會在內部控制中的作用。COSO認為董事會與公司內部控制之間是有聯系的,企業中一些行為需要董事會批準或授權。一個客觀、能動和富有調查精神的董事會,能夠及時發現并修正公司經理班子逾越內部控制的行爐。
6.強調內部控制系統系是“內置于”(built in)企業經營和管理過程中的一項基礎設施(infrastructure),與管理活動的計劃、執行和監控職能交織融合在一起,不是后天添加物(built on)。同時內控系統應有應對不斷變化的客觀世界的機制。
[編輯本段] COSO報告的局限性
COSO報告是以職業會計師為主體隊伍的研究成果,應用的現實特別是面對美國財務危機的現狀,顯示COSO報告在控制能力上的差距。COSO報告中主要值得商榷的問題有:
1.沒有充分認識到董事會對內部控制系統的至關重要性。雖然COSO報告把董事會與內部控制聯系起來,但它的這種聯系僅僅局限于企業有一些事情需要董事會審批或授權,基本上把內部控制限定在CEO之下,而對董事會更為重要的作用和董事會與CEO之間的聯系和制衡關注不夠。這好比設計一幢大廈,只看到了地上部分,忽視了地下基礎。
2.COSO提倡的反映內部控制運行狀態的“管理報告”的信息含量和可信性值得懷疑。首先,從正常邏輯上考慮,如果一個企業的內部控制存在問題,企業能夠如實地公示社會嗎?第二,管理報告對內部控制的評價只是基于某一時點狀況而言的。根據COSO報告,企業不需披露在此時點之前存在的但已被發現和更正的內部控制缺陷。第三,報告的范圍僅限于與財務報告有關的內部控制,而財務報告只是經營結果的反映。筆者認為內部控制系統的評估和持續監測是絕對必需的,但COSO建議的這種評估和披露方式容易誤導投資者。
3.COSO報告中的“合理保證”、“成本效益”等詞語,基本上是從會計上直接移植過來的,對于規避注冊會計師法律責任是有好處的。但對社會用戶來說,增添了許多猜疑和無奈。到底什么算是“合理保證”,如何做到“成本效益配比”,在實踐中恐怕很難說清楚。內部控制評價應通過提高評價標準和評價過程的客觀性和透明度增加科學性。
4.把企業經營和管理中一些重要職能排斥在內部控制觸角之外。COSO一方面指出內部控制與管理各功能(計劃、執行和監控)交織在一起,是內置于企業經營活動之中的。另一方面卻把目標設定、戰略規劃、核心競爭力培育、風險評估和管理等重要經營和管理活動排斥在內部控制系統之外。
5.基本目標與分類子目標之間存在差異。根據COSO報告,內部控制基本目標是促使企業實現經營目標,并減少經營過程中的風險,其中既涉及了企業生存,也關注了企業發展。發展和戰略規劃問題是企業所有問題的根本。而三類子目標,基本上都屬于維持企業當期經營的范疇,著眼點在于企業生存,沒有站在企業戰略高度關注未來發展。另外,COSO報告將內部控制基本目標細分為三類特定目標的方法值得商榷。這種分類方法的缺陷在其與GAO就保護資產安全內部控制之討論中,就表現出來了。COSO認為,保護資產安全內部控制屬于經營效果效率目標的范疇,已經包括在經營效果效率內部控制之中,而GAO認為保護資產安全內部控制涉及到資產價值真實性的問題,對財務報告可靠性有重大影響,應該包括在財務報告內部控制之中。COSO也在報告中承認三類目標有時是重疊的。
6.評價內部控制有效性標準過于主觀。根據COSO報告,內部控制有效性有賴于對內部控制三類目標或五個控制要素的實現程度。但評價標準基本上都是主觀判斷。其實,一個企業內部控制是否有效完全可以通過它客觀的市場業績體現出來,例如企業市場價值,客戶滿意度,持續獲利能力增長情況等。
7.內部控制系統中會計與審計的色彩太重,考慮企業現存的和微觀的或規避風險的事情多,與業務平臺和業務拓展關系不大,防范風險也是被動的,缺乏能動性。所以,至今還有許多公司認為內部控制只是財務主管和財會人員的事情。
[編輯本段] COSO報告對我國企業的啟示
企業是多重契約關系的組合,而股東會與董事會、董事會與經理班子之間的委托代理關系是其中最基本的契約關系,因此企業內部控制中的“內部”就應從組建法人治理結構開始。建立健全董事會功能是企業最根本的內部控制。“安然”、“施樂”和“世通”特大財務欺詐案件都直接與董事會功能失效和內部人控制泛濫有關。同時,由于企業與外部關系人的經濟聯系和契約關系,在現代企業中發揮著越來越重要的作用,企業內部控制中的“內部”有時還要延伸至企業法律邊界以外,將獨立審計師、供應商資源、客戶信用與需求和政府監管納入企業內部控制系統。“控制”與“反控制”是一對永恒的矛盾,企業內部控制的目的是追求企業持續“得到控制”,確保企業各類契約關系持續而有序地運行,確保企業有一個好的戰略目標和管理團隊,并按照既定目標持續高效地發展和增值,為企業各類契約當事人發現并創造價值。企業內部控制是企業與生俱來的,它內置于企業經營和管理過程之中,并與之緊密聯系、水乳交融,是同一事物的不同層面,不可割舍。
企業內部控制應是一個能動的駕御、監測和推動系統,它不僅要關心企業的現實生存,更應關注企業的未來發展;不但重視企業微觀,同時也關心企業宏觀;不只是簡單的規避風險,更著眼于科學風險管理,重視通過業務發展減低風險;不僅要重視現行會計上已確認和計量的資產,更要關注人力資本、管理團隊、核心競爭力、研發能力、客戶資源、企業文化和品牌與商譽等軟性資產在企業發展和控制活動中的重要作用,即在內部控制上要引入“全面資產”概念;不僅注重企業經理班子之下的內部控制,而且特別強調公司治理結構建設,強調企業法律邊界以外可能對企業生存與發展有重大影響的各類要素。
第四篇:企業納稅風險管理模式
企業納稅風險管理模式
企業納稅風險管理模式是指企業通過何種方式對企業納稅風險進行管理。目前企業進行納稅風險管理的主要形式有三種:
一是企業內部專設有稅務管理機構,由專職專業的人員負責企業納稅風險管理工作,該形式適用于稅收問題較為復雜的大型企業。企業鑒于現代稅制的復雜性、企業規模大小以及納稅業務的繁雜程度,建立起企業納稅風險管理機構或專職崗位。規模較大、納稅業務較繁雜的企業可以在財務部下設由若干個專職人員組成的稅務科,負責企業納稅風險及其他納稅事務的管理工作。中小型企業可在財務部內設專職崗位,負責企業納稅風險及其他納稅事務的管理工作。本環節工作目標是建立與企業實際情況相適應的企業納稅風險管理機構或專職崗位。本環節工作要點是:(1)財務部門提出設崗請求報告;(2)管理層研究決定;(3)鑒于風險與報酬相容的原則,人事及財務部門聯合制定崗位責任制及考核要求;(4)人事及財務部門聯合考察、確定人選;(5)對上崗人員進行企業文化、經營及財稅狀況、企業管理制度等背景知識進行持續的、動態的相關培訓;(6)上崗人員正式上崗。
二是企業內部稅務管理人員與外聘的稅務專家一起共同負責企業納稅風險管理工作,該形式比較適用于稅收問題較為復雜的大、中型企業。企業內部人員無法解決的納稅事宜,可外聘一些稅務專家來共同解決涉稅風險問題,其因在于有些風險是內部因素引起,而有些納稅風險是外部不可控的因素引起的,其中最為重要的是稅收立法與其相關的稅收執法與稅收司法等不公正的因素引起的納稅風險,諸如此類的納稅風險是需要通過“院外壓力”的形式來化解涉稅風險,有時可能還會涉及到尋租行為。因此,外聘的稅務專家組成成員的身份也顯得特別重要,如聘請一些退休的業務比較精干的稅務官員、理論與實務能力較強的高等院校教師以及注冊會計師、注冊稅務師與律師等。
三是企業委托外部的稅務專家負責企業納稅風險管理工作,該形式適用于各種類型的企業。有些特定的業務可以實行外包形式給一些專業的機構或專業人士來解決,這不需要增加平時的固定成本,只是從防范納稅風險的收益中支付一定比例的報酬給外部稅務專家或機構就行,這也是西方發達國家的通行做法。
總之,防范納稅風險最重要的還是企業的高管人員,特別是法人得有這種風險意識,進而才能從機制與制度上防范這種風險的發生,避免后來可能引起的不必要的財務損失。
第五篇:企業風險內控和風險管理
一、風險內控基本知識和理念――3個“五”濃縮風險內控的核心內容 1、五大目標-合規、真實、效益、戰略、安全 2、五大原則-全面、重要、制衡、適應、成本 3、五大要素-環境、評估、管控、信息、監督
二、企業風險內控實施的必要條件及風險內控的局限性 1、順利實施企業內控的四項必要條件 1)組織保障 2)制度健全 3)執行效果 4)有效監督
2、風險內控的局限性
三、風險內控發展的三個階段 1、萌芽期--內部牽制
2、發展期--內部會計控制與內部管理控制 3、成熟期--風險內控結構和風險內控整體架構
四、風險內控與全面風險管理 1、法人治理結構
2、COSO企業風險內控基本框架 3、ERM2004全面風險管理
4、ISO31000風險管理原則和方針(國際標準)
五、我國企業的風險內控現狀及原因分析 1、我國內控現狀: 2、原因分析:
六、企業的內控之惑
1、量化之惑-缺少量化工具
2、流程之惑-標準化流程缺失(標準流程圖)3、違規之惑-有章不循 4、舞弊之惑-集體違規
5、報告之惑-理念誤導制度錯誤
6、動態之惑-風險處于動態變化之中,風險管理的有效性應當隨時驗證
七、管理者必備的三種風險控制利器
利器1:讀懂財務報表-管理者每天五分鐘閱讀財務報表,讓舞弊行為無處藏身 利器2:科學指揮-管理者管理過程中要求風險管理(財務)部提供必要的數據支持 利器3:鎖定重大風險-鎖定公司最重要的十大風險并確保對其控制的有效性
八、企業管理者風險內控的五招必殺技 第一招:風險轉移 第二招:風險規避 第三招:風險分散 第四招:風險對沖 第五招:風險承擔
九、企業風險內控的基本思路和流程 1、風險內控方案的制定 2、風險內控方案的執行 3、風險內控方案的評價 4、風險內控方案的改進
十、企業風險內控的10種方法
1、組織規劃法
2、授權批準法
3、全面預算法
4、會計控制法
5、財產保全法
6、人力資源法
7、風險防范法
8、內部報告法
9、管理信息系統挖控制法
10、內部審計控制法
十一、企業管理者在企業內控過程中應當處理好的幾個關系 1、處理好控與被控的關系
2、處理好風險內控與內部監督的關系
3、處理好風險內控制度與會計道德自律的關系 4、處理好風險內控效果與控制成本的關系 5、處理好風險內控層次與工作效率的關系
十二、世界500強風險管理經驗分享
聯合能源公司(ALLIANT ENERGY)是怎么做的 1、專業負責企業風險的團隊
2、風險和戰略副總裁是這個流程的執行負責人 3、自下而上的風險問卷調查
4、對風險取得全面了解并應用定量的評估 5、結果被編制成表格并進行優先排序 6、團隊將識別出20到25個關鍵風險,在副總裁或更高級別的管理層面上確定監督和風險應對措施的權責
7、建立月度、季度和報告機制
8、每次與董事會開會,我們都會審閱公司的風險域,特別關注新的風險和重大的變更 公司的戰略及風險副總裁每年與董事會就風險域大約進行8次討論 9、最重要的風險評估方法是面談
10、風險管理成為聯合能源決策工具的一部分
點擊咨詢 