第一篇:全面風險管理與內部控制的關系
全面風險管理與內部控制的關系
摘 要:內部控制是企業全面風險管理的基礎,同時內部控制也是全面風險管理不可或缺的重要組成部分。內部控制與全面風險管理之間既存在著聯系又有所不同,為了使企業能充分發揮內部控制和全面風險管理的作用,應該對兩者之間的關系有清楚的認識。本文主要介紹了全面風險管理和內部控制,以及二者之間的關系。
關鍵詞:全面風險管理;內部控制;關系
(一)內部控制
內部控制是指企業為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守,由治理層、管理層和其他人員設計和執行的政策和程序。關于內部控制的定義,COSO委員會經過相對較長時間的研究,于1992年發布了《內部控制——整體框架》,1994年形成正式文稿。《內部控制——整體框架》認為內部控制是為實現企業經營效率和效果、財務報告的可信性及相關法令的遵循等企業目標而提供合理保證的過程。內部控制的實施者為企業董事會、經理層和其他員工。內部控制是整個企業設計的系統,不是為了某個人或某個層級的人提出來的專門針對某個人或某個層級的人的制度。沒有人能脫離這一系統而獨立運作。管理層、董事會、內部審計和其他員工都應該對內部控制承擔責任。
內部控制目標有三點,一是財務報告的可靠性。企業決策層要想在瞬息萬變的市場競爭中有效地管理經營企業,就必須及時掌握各種信息,以確保決策的正確性,并可以通過控制手段盡量提高所獲信息的準確性和真實性。因此,建立內部控制系統可以提高會計信息的正確性和可靠性。二是經營的效果和效率。內部控制系統通過確定職責分工,嚴格各種手續、制度、工藝流程、審批程序、檢查監督手段等.可以有效地控制本單位生產和經營活動順利進行、防止出現偏差,糾正失誤和弊端,保證實現單位的經營目標。三是合規性。企業決策層不但要制定管理經營方針、政策、制度,而且要狠抓貫徹執行。內部控制則可以通過袱定辦法,審核批準,監督檢查等手段促使全體職工貫徹和執行既定的方針、政策和制度,同時,可以促使企業領導和有關人員執行國家的方針、政策.在遵守國家法規紀律的前提下認真貫徹企業的既定方針。
企業建立與實施有效的內部控制,應當包括下列要素:
一是內部環境。內部環境是企業實施內部控制的基礎,一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。
二是風險評估。風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險,合理確定風險應對策略。三是控制活動。控制活動是企業根據風險評估結果,采用相應的控制措施,將風險控制在可承受度之內。
四是信息與溝通。信息與溝通是企業及時、準確地收集、傳遞與內部控制相關的信息,確保信息在企業內部、企業與外部之間進行有效溝通。
五是內部監督。內部監督是企業對內部控制建立與實施情況進行監督檢查,評價內部控制的有效性,發現內部控制缺陷,應當及時加以改進。
(二)全面風險管理
所謂全面風險管理,是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。
2004年COSO委員會發布《企業風險管理——整合框架》。企業風險管理整合框架認為“企業風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。”該框架拓展了內部控制,更有力、更廣泛地關注于企業風險管理這一更加寬泛的領域。
全面風險管理框架包括了八個要素:
一是內部環境。管理當局確立關于風險的理念,并確定風險容量。所有企業的核心都是人(他們的個人品性,包括誠信、道德價值觀和勝任能力)以及經營所處的環境,內部環境為主體中的人們如何看待風險和著手控制風險確立了基礎。
二是目標設定。必須先有目標,管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取恰當的程序去設定目標,并保證選定的目標支持主體的使命并與其相銜接,以及與它的風險容量相適應。
三是事項識別。必須識別可能對主體產生影響的潛在事項,包括表示風險的事項和表示機會的事項,以及可能二者兼有的事項。機會被追溯到管理當局的戰略或目標制定過程。
四是風險評估。要對識別的風險進行分析,以便確定管理的依據。風險與可能被影響的目標相關聯。既要對固有風險進行評估,也要對剩余風險進行評估,評估要考慮到風險的可能性和影響。
五是風險應對。員工識別和評價可能的風險應對措施,包括回避、承擔、降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相適應。六是控制活動。制定和實施政策與程序以確保管理當局所選擇的風險應對策略得以有效實施。
七是信息與溝通。主體的各個層級都需要借助信息來識別、評估和應對風險。廣泛意義的有效溝通包括信息在主體中向下、平行和向上流動。
八是監控。整個企業風險管理處于監控之下,必要時還會進行修正。這種方式能夠動態地反應風險管理狀況,并使之根據條件的要求而變化。監控通過持續的管理活動、對企業風險管理的單獨評價或者兩者的結合來完成。
(三)全面風險管理與內部控制的關系
談到風險管理,則一定會提到企業內部控制。在實踐中有很多企業不能真正理解全面風險管理與內部控制的區別和聯系,要么將兩者完全隔離開來,要么只是簡單地將它們等同起來。其實,兩者之間既有區別又有聯系。
全面風險管理與內部控制的聯系:
一是全面風險管理涵蓋了內部控制。COSO框架中明確地指出全面風險管理體系框架包括內部控制,將之作為一個子系統。
二是內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理,對于企業所面臨的大部分運營風險,或者說對于在企業的所有業務流程之中的風險,內控系統是必要的、高效的和有效的風險管理方法。同時,維持充分的內控系統也是國內外許多法律法規的合規要求。因此,滿足內部控制系統的要求也是企業風險管理體系建立應該達到的基本狀態。
全面風險管理與內部控制的區別:
一是兩者的范疇不一致。內部控制僅是管理的一項職能,主要是通過事后和事中的控制來實現其目標,而全面風險管理則貫穿于管理過程的各個階段,覆蓋了各個不同的環節,更重要的是在事前就對風險有了一定的預見性的考慮。而且,全面風險管理所要達到的目標多于內部控制。
二是兩者的活動不一致。全面風險管理的一系列具體活動并不都是內部控制要做的。全面風險管理包含了選擇風險評估方法、制定風險管理目標、制定相關戰略、報告程序及聘用管理人員等多個環節,而內部控制主要負責的是風險管理過程中間及其以后的重要活動,例如對風險的評估和,對財務報告的評估,信息與交流活動的監督,對操作流程的不規范進行糾正等等。兩者最大的差別在于內部控制不負責企業經營目標的具體設立,而只是對目標的制定過程進行監控和評價,尤其是對目標制定中的風險進行評估。
三是兩者對風險的管理不一致。全面風險管理框架包括了風險偏好、風險對策、壓力測試、情景分析等概念和方法,因此,該框架在風險度量的基礎上,促使企業發展戰略向風險偏好靠攏,根據資金投入、經營風險與利潤回報之間的聯系,進行經濟資本分配,幫助管理層實現全面風險管理的目標。這些功能都是內部控制框架能力范圍之外的。
從目前企業的管理發展趨勢來看,企業的全面風險管理與內部控制管理已經交集密切,互相密不可分。通過上面的描述,我們可以看出,全面風險管理及內部控制實際上都是以保護企業的財產安全、保證企業的經營結果、實現企業的戰略目標為最終的目的。內部控制是全面風險管理的重要核心內容,而全面風險管理則在內部控制的基礎上升華擴散。概括的說,內部控制使得企業的日常經營管理流程更加規范、財務管理真正的有效實施,與此同時企業內部的規范性操作流程、財務管理控制也正是全面風險管理在企業實施的基本條件。
第二篇:淺析全面風險管理與內部控制的關系
淺析全面風險管理與內部控制的關系
一、內部控制和全面風險管理在COSO框架中的定義
現代理論界對內部控制的定義各不相同,但被普遍接受的定義是國際權威機構美國的COSO委員會對內部控制的定義。COSO于2004 年發布了《企業風險管理——整合框架》,在該框架的附錄C中指出,“內部控制被涵蓋在企業風險管理之內,是其不可分割的一部分”。
該組織認為:企業內部控制是由企業董事會、經理層以及其他員工共同實施的,為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。在COSO委員會的《內部控制管理框架》中,把內部控制活動分成五大組成部分,即:控制環境、風險評估、控制活動、信息與交流和監督評審。
在多年的管理實踐中,人們意識到一個企業內部不同部門或不同業務的風險,有的會相互疊加放大,有的則相互抵消減少。因此,風險的考慮不能僅僅從某項業務、某個部門的角度出發,必須根據風險組合的觀點,從貫穿整個企業的角度看風險,即要實行全面風險管理。
依據COSO委員會 2003年7月完成的《全面風險管理框架》定義:企業風險管理是一個過程,是由企業的董事會、管理層以及其他人員共同實施的,應用于戰略制定及企業各個層次的活動,旨在識別可能影響企業的各種潛在事件,并按照企業的風險偏好管理風險,為企業目標的實現提供合理的保證。該框架有三個維度,第一維是企業的目標;第二維是全面風險管理要素;第三維是企業的各個層級。第一維企業的目標有4個,即戰略目標、經營目標、報告目標和合規目標。第二維全面風險管理要素有8個,即內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監控。第三個維度是企業的各個層級,包括整個企業、各職能部門、各條業務線及下屬各子公司。《全面風險管理框架》三個維度的關系是:全面風險管理的8個要素都是為企業的四個目標服務的;企業各個層級都要堅持同樣的四個目標;每個層次都必須從以上8個方面進行風險管理。
二、內部控制與全面風險管理的聯系
1.全面風險管理涵蓋了內部控制。COSO2003年7月公布了全面風險管理框架的征求意見稿中明確地指出全面風險管理體系框架包括內控作為一個子系統。全面風險管理除包括內部控制的3個目標之外,還增加了戰略目標;全面風險管理的8個要素除了包括內部控制的全部5個要素之外,還增加了目標設定、事件識別和風險對策3個要素。從時間先后和內容上來看,全面風險管理是對內部控制的拓展和延伸。
2.內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理,對于企業所面臨的大部分運營風險,或者說對于在企業的所有業務流程之中的風險,內控系統是必要的、高效的和有效的風險管理方法。同時,維持充分的內控系統也是國內外許多法律法規的合規要求。因此,滿足內部控制系統的要求也是企業風險管理體系建立應該達到的基本狀態。
3.內部控制是風險管理的重要手段。內部控制是風險管理的重要手段體現在以下三個方面:第一,采用內部控制措施可以處理大部分風險。就一般工業企業而言,除采取保險等措施外,大部分風險都可以通過采取內部控制措施來解決,而這也正是我們所熟悉的,如內部牽制措施、預算控制、實物控制、運營分析等。如果主要通過外包方案或者外部的其他力量來解決風險,其比采用內部控制控制措施的成本會高很多。第二,可以采取內部控制和其他措施聯合解決的部分風險。內部控制措施可能只能在一定程度上解決某項具體風險,或者說僅采用內部控制措施還不能使風險保持在可以承受的范圍內,因此必須協同其他措施進行聯合管理,如外匯風險、被收購的風險、稅務風險等,以稅務風險為例,企業聘請中介機構代為申報納稅,或者由中介機構對企業稅務申報情況出具審核報告,從而減少稅務合規性風險。第三,對于完全采取內部控制以外惡其他措施解決的風險在實務中非常少見。
三、內部控制與全面風險管理的差異
1.兩者的范疇不一致。內部控制僅是管理的一項職能,主要是通過事后和過程的控制來實現其自身的目標;而全面風險管理則貫穿于管理過程的各個方面,控制的手段不僅體現在事中和事后的控制,更重要的是在事前制訂目標時就充分考慮了風險的存在。而且,在兩者所要達到的目標上,全面風險管理多于內部控制。
2.兩者的活動不一致。全面風險管理的一系列具體活動并不都是內部控制要做的。目前所提倡的全面風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內部控制所負責的是風險管理過程中間及其以后的重要活動,如對風險的評估和由此實施的控制活動、信息與交流活動和監督評審與缺陷的糾正等工作。兩者最明顯的差異在于內部控制不負責企業經營目標的具體設立,而只是對目標的制定過程進行評價,特別是對目標和戰略計劃制定當中的風險進行評估。
3.兩者對風險的定義不一致。在COSO委員會的全面風險管理框架中,把風險明確定義為“對企業的目標產生負面影響的事件發生的可能性”(將產生正面影響的事件視為機會),將風險與機會區分開來;而在COSO委員會的內部控制框架中,沒有區分風險和機會。
4.兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,因此,該框架在風險度量的基礎上,有利于企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前臺決策流程等,從而幫助董事會和高級管理層實現全面風險管理的4項目標。這些內容都是內部控制框架中沒有的,也是其所不能做到的。
四.與內部控制相比,全面風險管理在范圍與內容上的擴大
簡單地看,相對于內部控制框架而言,新的COSO報告新增加了一個觀念、一個目標、兩個概念和三個要素,即“風險組合觀”、“戰略目標”、“風險偏好”和“風險容忍度”的概念以及“目標制定”、“事項識別”和“風險反應”要素。對應風險管理的需要,新框架還要求企業設立一個新的部門——風險管理部。新的風險管理框架比起內部控制框架,無論在內容還是范圍上都有所擴大和提高,具體表現在:
1.提出一個新的觀念―風險組合觀
在單獨考慮如何實現企業各個目標的過程中,企業風險管理框架更看重風險因素。除單獨考慮各個風險因素之外,更有必要從總體的、組合的角度理解風險。企業風險管理要求企業管理者以風險組合的觀點看待風險,對相關的風險進行識別并采取措施使企業所承擔的風險在風險偏好的范圍內。對企業內每個單位而言,其風險可能落在該單位的風險容忍度范圍內,但從企業總體來看,總風險可以超過企業總體的風險偏好范圍。因此,應從企業總體的風險組合的觀點看待風險。
2.增加一類目標—戰略目標,并擴大了報告目標的范疇
內部控制框架將企業的目標分為三類――經營、財務報告和合法性目標。企業風險管理框架也包含三個類似的目標,但是其中只有兩個目標與內部控制框架中的定義相同,財務報告目標的界定則有所區別。內部控制框架中的財務報告目標只與公開披露的財務報表的可靠性相關,而企業風險管理框架中的報告目標的范圍有很大的擴展,該目標覆蓋了企業編制的所有報告,既包括內部報告,也包括外部報告;既包括企業內部管理者使用的報告,也包括向外部提供的報告;既包括法定報告,也包括向其他利益相關者年的非法定報告;既包括財務信息,也包括非財務信息。此外,企業風險管理框架比內部控制框架增加了一個目標——戰略目標。該目標的層次比其他三個目標更高。戰略目標來源于企業的任務或對未來的預期,經營、報告和合法目標都與其相關。企業的風險管理在應用于實現企業其他三類目標的過程中,也應用于企業的戰略制定階段。
3.針對風險度量提出兩個新概念—風險偏好和風險容忍度
風險管理框架是針對企業目標實現過程中所面臨的風險,對企業風險管理提出風險偏好和風險容忍度兩個概念。從廣義上看,風險偏好是指企業在實現其目標的過程中愿意接受的風險的數量。一般從定性的角度將風險偏好分為風險喜好、風險中性和風險厭惡三種類型。此外,企業也可以采用定量的方法對風險偏好進行衡量,反映企業的目標、收益與風險之間的關系并進行權衡。企業的風險偏好與企業的戰略直接相關,企業在制定戰略時,應考慮將該戰略的既定收益與企業的風險偏好結合起來。不同的戰略給企業帶來的風險也不同,在企業戰略制定階段就進行風險管理,就是要幫助企業的管理者在不同戰略間選擇與企業的風險偏好相一致的戰略。
風險偏好的概念是建立在風險容忍度概念基礎上的。風險容忍度是指在企業目標實現的過程中對差異的可接受程度,是企業在風險偏好的基礎上設定的對相關目標實現過程中所出現的差異的可容忍限度。在確定各目標的風險容忍度時,企業應考慮相關目標的重要性,并將其與企業風險偏好聯系起來。將風險控制在風險容忍度之內能夠在更大程度上保證企業的風險被控制在風險偏好的范圍內,也就能夠從更高程度上保證企業目標的實現。
4.增加了三個風險管理要素,對其他要素的分析更加深入,范圍上也有所擴大
企業風險管理框架新增了三個風險管理要素——“目標制定”、“事項識別”和“風險反應”。此外,針對企業將管理的重心移至風險管理,風險管理框架更加深入地闡述了其他要素的內涵,并擴大了相關要素的范圍。
(1)目標制定:在風險管理框架中,由于要針對不同的目標分析其相應的風險,因此目標的制定自然就成為風險管理流程的首要步驟,并將其確認為風險管理框架的一部分。
(2)事項識別:企業風險管理和內部控制框架都承認風險來自于企業內、外部各種因素,而且可能在企業的各個層面上出現,并且應根據對實現企業目標的潛在影響來確認風險。但是,企業風險管理框架深入探討了潛在事項的概念,認為潛在事項是指來自于企業內部和外部資源的,可能影響企業戰略的執行和目標的實現的一件或者一系列偶發事項。存在潛在的積極影響的事項代表機遇,而存在潛在負面影響的事項則稱為風險。企業風險管理框架采用一系列技術來識別有關事項并考慮有關事項的起因,對企業過去和未來的潛在事項以及事項的發生趨勢進行計量。
(3)風險反應:企業風險管理框架提出對風險的四種反應方案――規避、減少、共擔和接受風險。作為風險管理的一部分,管理者應比較不同反應方案的潛在影響,并且在接受的殘存風險應在企業風險容忍度范圍內的假設下,考慮風險反應方案的選擇。在個別和分組考慮風險的各反應方案后,企業管理者應從總體的角度考慮企業選擇的所有風險反應方案組合后對企業的總體影響。
(4)控制環境:在控制環境要素上,企業風險管理框架更直接、更廣泛地關注風險是如何影響企業的風險文化,無論是明確地還是無意地影響。企業的風險文化是企業員工共有的態度、價值、目標和行動的集合,它表明企業是如何認識風險的。
(5)風險評估:內部控制框架和企業風險管理框架都強調對風險的評估,評估特定風險發生的可能性和風險的潛在影響,但企業風險管理框架建議更加透徹地看待風險管理,即從固有風險和殘存風險的角度來看待風險,對風險影響的分析則采用簡單算術平均數、最差的情形下的估計值或者事項的分布等技術來分析。最好能夠找到與風險相關的目標一致的計量單位進行計量,將風險與相關的目標聯系起來。風險評估的時間基準應與企業的戰略和目標相一致,如果可能,時間基準也應與可觀測到的數據相一致。企業風險管理框架還要求注意相互關聯的風險,確定一件單一的事項如何為企業帶來多重的風險。
(6)信息和溝通:企業風險管理框架擴大了企業信息和溝通的構成內容,認為企業的信息應包括來自過去、現在和未來潛在事項的數據。歷史數據可以使企業將實際的經營成果與目標、計劃和預期相比較,以深入了解企業在過去不斷變化的市場條件下是如何經營的。現在狀況的數據可以向企業管理者提供更多重要的信息,而未來潛在事項的數據和潛在的影響因素可以幫助完成對信息的分析。企業的信息系統的基本職能應以時間序列的形式收集、捕捉數據,其收集數據的詳細程度則視企業風險識別、評估和反應的需要而定,并保證將風險維持在風險偏好的范圍內。此外,由于各管理層是企業風險管理(或者內部控制)的組成部分,并為企業的風險管理(或者內部控制)提供信息,因此,兩個框架對不同管理層的地位和責任都比較關注。但相對于內部控制框架,企業風險管理框架提出設立新的風險管理部門并規定了風險管理員的地位和職責,同時擴大了董事會的職責。
研1310 蔡燁路 132060461
第三篇:全面風險管理與內部控制工作實施辦法
xx公司
全面風險管理與內部控制工作實施辦法
(試 行)
第一章 總則
第一條 為規范公司全面風險管理與內部控制工作,制定本實施辦法。
第二條 本實施辦法所稱風險,指未來的不確定性對公司經營目標實現的影響,包括財務風險、法律風險、市場營銷風險、人力資源風險、信息風險、廉政風險、信訪維穩風險和其他風險。
第三條 本實施辦法所稱內部控制,是指公司管理層和全體員工按照既定的風險管理策略實施的、旨在保障風險控制目標實現的過程。
第二章 組織體系與職責分工
第四條 公司設立全面風險管理與內部控制委員會 主任:總經理 黨支部書記 成員:各部門主任
下設全面風險管理與內部控制辦公室,主任由綜合管理部主任兼任。
第五條 全面風險管理與內部控制委員會主要職責包括:
(一)審議批準公司風險管理與內部控制相關規章制度、實施辦法。
(二)批準公司全面風險管理與內部控制工作計劃。
(三)審定公司風險管理與內部控制目標、重大風險管理策略和內部控制措施。
(四)審定公司全面風險管理報告、風險管理與內部控制評價報告以及重大決策的專項風險評估報告。
(五)審定公司風險管理與內部控制手冊。
(六)審定公司風險管理與內部控制評價標準。
(七)審議公司其他重大風險管理與內部控制事項。第六條 公司全面風險管理與內部控制辦公室負責風險管理與內部控制日常組織與協調工作,主要職責包括:
(一)制定和完善公司風險管理與內部控制相關規章制度、實施辦法、管理手冊。
(二)組織公司各部門執行風險管理基本流程、建立完善內部控制體系并監督執行。
(三)組織開展公司全面風險管理報告的編報工作。
(四)指導、監督公司各部門全面風險管理與內部控制工作,對各部門全面風險管理與內部控制情況進行考核。
(五)組織開展與風險管理及內部控制有關的文化培育工作。
第七條 公司各部門是本專業風險管理與內部控制工作的管理部門和執行部門,主要職責包括:
(一)制定本部門風險管理與內部控制相關實施細則、辦法。
(二)開展本部門風險管理信息收集、風險評估、研究確定本部門風險管理策略、重大風險預警指標。
(三)更新本部門風險信息、內部控制信息、風險案例、預警指標等基礎數據。
(四)建立本部門內部控制體系并有效執行,編制本部門業務風險與內部控制手冊。
第八條 各部門指定一名專人負責本專業風險管理與內部控制工作,接受公司全面風險管理與內部控制辦公室的業務指導。
第九條 綜合管理部負責對風險管理與內部控制實施有效性進行監督。
第三章 風險信息收集、識別、評估
第十條 公司根據全面風險管理指標檢測體系的要求,建立健全客觀、全面、有效的風險信息收集機制。要以崗位為基礎,以業務流程為依托,動態收集風險初始信息,并對初始信息進行篩選、提煉、分類。風險信息收集包括以下內容:
(一)財務風險方面:收集增收節支,資金安全、償債能力等影響分公司預期收益的信息,分析這些信息是否可能給公司帶來財務結構不合理、償債能力降低等方面的財務風險。
(二)法律法規方面:收集與法人主體責任、重大合同履約、法律糾紛等信息,分析這些信息是否可能給公司帶來法律法規方面的風險。
(三)市場營銷風險方面:收集市場波動、政策變化、客戶信息變化等因素影響采購、銷售、收款方面的信息,分析這些信息是否可能給公司帶來市場營銷方面的風險。
(四)人力資源風險方面:收集勞動政策變化、人力資源規劃及勞動用工管理等方面的信息,分析這些信息是否可能給公司帶來人員結構不合理、隊伍不穩定等風險。
(五)信息風險方面:收集易造成信息失密、信息泄密等方面的信息,分析這些信息是否可能給公司帶來損失或不良影響的風險。
(六)廉政風險方面:收集干部員工遵守規章制度、廉潔從業規定等方面的信息,分析這些信息是否可能導致違法違紀,給公司帶來經濟損失或聲譽損害的風險。
(七)信訪維穩風險方面:收集公司與職工切身利益相關等方面的經營管理決策信息,分析這些信息能否引發信訪問題,或處臵信訪事件不及時、不妥當,導致給公司造成不利社會影響的風險。
第十一條 各部門至少每年開展一次風險信息收集、辨識工作,形成本專業風險信息,提交全面風險管理與內部控制辦公室匯總審核,并同步更新全面風險管理與內部控制信息系統相關信息。
第十二條 各部門應至少每年開展一次風險評估,評估結果提交本單位全面風險管理與內部控制辦公室,并同步更新全面風險管理相關信息。凡遇有重大問題決策等事項時,公司本部及各部門應按照“三重一大”事項決策的有關程序,由事項主辦部門牽頭組織實施風險評估,提出重大決策專項風險評估報告,制定風險管控措施,落實責任人員,并提出管理建議。管理層應充分考慮風險評估結論和管理建議,將其作為重大事項決策的參考依據。
第四章 業務風險防控辦法
第十三條 合同簽訂風險防控
采銷合同的談判和簽訂,嚴格按照公司xx相關要求執行。
(一)合同談判及簽訂風險點(1)合同談判程序不規范。
(2)對交易對象的資質審查不嚴格。(3)合同簽訂程序不規范。
(4)合同簽訂條款不齊全、不嚴格。(5)采購、銷售合同脫節。
(二)為最大限度的避免經營風險,應在對交易對象嚴格審查的基礎上簽訂xx購銷合同,把握經營活動的底線,確保一旦發生經濟糾紛時能爭取主動權,有針對性的開展風險防范,制定風險防控措施。
(1)嚴格遵守公司xx規定,保證合同洽談的嚴肅性、規范性。現場洽談過程中保證我方至少二人以上在場,做好文字記錄、影像記錄,以及歸檔工作,嚴防損害公司利益的行為發生;通過電話、微信或QQ等非現場方式洽談的,主談人應把洽談過程及初步結果告知輔談人,征求其意見,最終由輔談人擬出談判會議紀要經審核后雙方書面簽訂紀要。
(2)合同簽訂前要嚴格審查交易對象的各項資質,一般先審查“四證”,即營業執照、組織機構代碼證、稅務登記證、開戶許可證是否齊全、真實,各證照是否過期,在此基礎上通過全國企業信用信息公示系統查詢是否有不良記錄、商業信譽等,達到信用評級審批表相關要求后方可簽訂購銷合同。
(3)嚴格執行合同會簽制度,規范合同流程審批,分解權限,形成相互糾錯、相互制約,有效防控風險的運行機制。會簽過程如遇人員出差等無法現場會簽的,由合同經辦人將合同電子文檔發該人員,其同意后可跳至下一節點會簽,待該人員回公司后補簽,合同經辦人在該補簽人員欄填寫征求意見并簽名。
(4)xx購銷合同只有條款明確、齊備才能最大限度的降低經營風險,與公司發布的標準合同不一致的需經公司燃料領導小組研究同意后方可調整,重大調整的需書面征求省公司業務對口管理部門意見,一般涉及以下主要條款:質量指標、價格、運輸方式、運雜費的承擔、數質量驗收方式、交貨地點、結算方式、貨款支付方式及時間、貨權轉移及風險轉移時間、獎罰條款、違約責任、不可抗力、糾紛解決方式、合同有效期等,只有條款明確,有利于自身才能有效降低風險。
(5)嚴格落實以銷定進、以利定價的原則,采購銷售互相參照,互為銜接,防止采銷原則不一致造成虧損。
第十四條 采購流程風險防控
公司采購過程中應嚴格按照公司xx相關要求執行。
(一)xx采購流程風險點(1)供應商不按合同履約。(2)貨權單位與合同單位不一致。(3)xx數量爭議。(4)xx質量爭議。
(5)xx指標不符合,摻雜、以次充好。
(二)xx采購過程中實際結果和預期目標偏離的可能性很大,對潛在風險要提前防控,必須針對不同情況采取降低、規避、分擔和控制風險的措施,實現采購風險最小化。
(1)嚴格落實供應商保證金管理制度,防止供應商因自身原因不按合同履約,影響采購計劃的落實。新進供應商、注冊資本金偏少、發生過未按合同履約應適度提高保證金,具體幅度由公司燃料領導小組討論后確定。
(2)合同執行過程中遇合同單位與貨權單位不一致的情況,必須要求供應商將貨權轉移給我方,貨權轉讓單位在貨權轉移函上加蓋公章,法人簽字或法人授權代表簽字,否則不予結算,防止貨權糾紛。在取得貨物的實際控制權以前,嚴禁僅憑對方單位出具的貨權轉移證明支付xx貨款,防范“一貨多賣”等欺詐行為。
(3)xx數量驗收必須以雙方認可的第三方出具的法定衡重報告或水尺檢驗數據為準,現場人員加強監督,及時索取數量報告,做好數據對比分析,防止計量方式不合法供應商不認可及數量虧損。
(4)xx質量驗收必須以雙方認可的第三方按國家標準進行全程采制化,并以此出具的檢驗報告為準。
第十五條 銷售流程風險防控
銷售xx過程中應嚴格按照公司xx相關要求執行。
(一)xx銷售流程風險點
(1)裝港質量控制不嚴謹,摻配方案不可行。(2)承運船舶船期安排不妥當,船舶自身設計不規范。(3)裝卸港驗收數質量虧損。
(二)xx銷售過程中環節多,戰線長,要建立完備的監管驗收制度,實現過程可控、在控,規避經營風險。
第十六條 資金回付風險防控
資金收付應嚴格按照公司xx相關要求執行。
(一)資金收付流程風險點(1)賒銷預付管控不到位。
(2)付款賬號與開戶許可證賬號不一致。(3)用戶付款錯誤,支付銀行承兌不規范。
(二)在xx經營過程中,為了增加銷售量,擴大市場占有率,賒銷預付行為會越來越多,控制賒銷預付風險是我們必須面對的問題,對此要嚴格采購銷售信用評級制度,根據貿易商級別,嚴控預付和賒銷比例,防止壞賬、死賬情況的發生,及時催收回款,防止資金風險。
(1)嚴格按照公司要求建立用戶信用評級制度,按照公司收付款相關管理辦法規定的賒銷預付比例開展經營工作,要嚴格按照合同中對煤款收取的不同約定,催要對方預收款
或是對方收到發票后催要結算款,確保煤款及時收回。具備結算條件時,業務人員電話提醒用戶及時進入付款流程并辦理付款手續;貨款到期后一周如仍未回款,發一份《逾期催款函》,之后每隔一周發一份《逾期催款函》,三周仍未回款,則發一份《超期催款單》和《貨款往來對賬單》并要求對方回執,從第一筆逾期欠款之日起滿三個月的,需及時上報省公司相關部門并說明情況,另提供相關資料報請公司法律顧問與對方接洽,并出具律師函;逾期一年的,必須采取訴訟等硬性措施。
(2)付款賬號一般按照對方開戶許可證賬號支付,如發現賬號不一致,對方需出具付款說明并加蓋單位公章。
(3)需方應按照我方指定的收款賬號進行付款,業務人員應與需方及時溝通,付款前再次確定我方收款賬號,以免付錯賬號影響付款業務,如需方因其他原因不能按我方指定賬戶打款,說明原因后我方配合出具相關業務手續。
第十七條 員工思想動態風險措施
及時了解員工的思想動態,傾聽員工的心聲,了解員工在日常工作、學習、生活和個人發展中存在的問題,加強溝通、正面引導,提高員工思想素質,以人為本,為員工成長成才創造條件,構筑有效激勵機制,激發公司和諧活動。
第五章 附則
第十八條 本實施辦法由公司風險控制部負責解釋并監督執行。
第十九條 本實施辦法自發布之日起執行。
第四篇:內部控制與風險管理
內部控制與風險管理
摘要:企業的內部控制制度是企業管理現代化的必然產物,加強內部控制制度建設是建立現代企業制度的內在要求。有效的內部控制不僅能使企業的資源合理配置,提高勞動生產率,而且更能防范和發現企業內部和外部的欺詐行為。但是目前有相當一部分企業對建立內部會計控制制度不夠重視,導致會計信息失真,會計秩序混亂,違法違紀現象時常發生,以致管理失控,資產流失、經營失敗。因此,建立和完善企業內部會計控制策略是當前企業管理面臨的一個重要問題。內部控制的目標就是防范和控制風險,促進企業實現發展戰略,風險管理的目標也是促進企業實現發展戰略,風險管理的目標也是促進企業實現發展戰略,二者都要求將風險控制在可承受的范圍之內。因此,內部控制與風險管理二者不是對立的二者是協調統一的。而實際工作中,一些企業的內部控制和風險管理工作有不同機構負責。對此企業可以對有關機構和業務進行整合,從工作內容、目標、要求以及具體工作執行的方法、程序等方面,將內部控制建設和風險管理工作有機結合起來,避免職能交叉、資源浪費、重復勞動,降低企業管理成本,提高工作效率和效果。
關鍵詞:企業內部控制 風險管理
一、企業內部控制內涵概述所謂內部控制,是指一個單位為了實現其經營目標,保護資產的安全完整,保證會計信息資料的正確可靠,確保經營方針的貫徹執行,保證經營活動的經濟性、效率性和效果性而在單位內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手續與措施的總稱。那準確的說什么是企業的內部控制呢? 內部控制作為企業管理活動中的一種自我調整和制約的手段,從其形成至完善,大體經歷了內部牽制的采用—制約機制的建立—控制體系的形成三個階段。企業內部會計控制是企業為保證經營業務活動的有序進行而制定和實施的會計政策和程序,它的主要作用是確保資產的安全完整和會計信息的真實準確,以及確保國家有關法律法規和企業內部各項規章制度的貫徹執行,約束企業內部涉及會計工作的各項經濟業務活動及相關崗位,它由于管理目的與企業價值最大化目標保持高度一致而成為企業內控體系的核心組成部分。
二、如何理解企業的風險管理 企業風險管理是對企業內可能產生的各種風險進行識別、衡量、分析、評價,并適時采取及時有效的方法進行防范和控制,用最經濟合理的方法來綜合處理風險,以實現最大安全保障的一種科學管理方法。企業風險是指由于企業內外環境的不確定性、生產經營活動的復雜性和企業能力的有限性而導致企業的實際收益達不到預期收益,甚至導致企業生產經營活動失敗的可能性。有效地對各種風險進行管理有利于企業作出正確的決策、有利于保護企業資產的安全和完整、有利于實現企業的經營活動目標,對企業來說具有重要的意義。
三、關系概述:
1、內部控制包含風險管理
企業內部控制是以專業管理制度為基礎,以防范風險、有效監管為目的,通過全方位建立過程控制體系、描述關鍵控制點和以流程形式直觀表達生產經營業務過程而形成的管理規范。內部控制包括控制環境、風險評估、控制活動、信息與溝通、監控等五個相互聯系的要素。
風險管理又名危機管理,是指生產過程中,風險管理部門對可能遇到的各種風險因素進行識別、分析、評估,以最低成本實現最大的安全保障的過程(風險管理是一個過程,由風險的識別、量化、評價、控制、監督等過程組成)。
內部控制主要是在企業內部實施的一種管理,風險管理有些可以通過內部控制來規避,有些則是客觀不可控的。目前在我國,風險管理還是一個很寬泛的概念,內部控制則是從外部控制的角度去考慮的,相比風險管理更加精確。如果企業在不考慮內部控制的情況下談論
風險管理,那么風險管理就失去了意義,也很難找到有效避免風 險的著力點和切入點。因此,在內部控制的框架下去談風險管理、進而增強企業識別、防范風險的能力,能促使企業更好地發揮風險管理的能動性。
2、內部控制是實施風險管理的基礎
企業內部控制實際上就是實施風險管理前的環境凈化器。實施內部控制時,一定要將“控”做到極致,左右搖擺,兼顧太多的內部控制很難達到環境凈化器的作用。從某種意義上,內部控制建設就像是企業實施風險管理的一座橋梁,如果沒有這座橋,盲目開展風險管理,會使企業慢慢迷失前進的方向。
目前,內部控制在中國實施的時間還不長,很多企業都是“依葫蘆畫瓢”,還沒有真正領悟到內部控制和風險管理的真諦。如果企業在內部控制上認識不深的話,對實施風險管理將造成一定的阻礙。
無論是內部控制還是風險管理都需要歷史的積淀,需要時間的累積,需要形成一種傳統。或許這個過程將是糾結和痛苦的,但卻是必不可缺的。企業在經歷了這樣的累積,再感受內部控制和風險管理就將不一樣了。
3、技術及市場條件的新進展,推動了內部控制走向風險管理。在先進的信息技術條件下,會計記錄實現了電子控制、實時更新,使傳統的查錯與防弊的會計控制顯得過時。然而,風險往往是由交易或組織創新造成的,這些創新來源于新興的市場實踐,如安然公司將能源交易大量發展成類似金融衍生品的交易。另一方面,環境保護及消費者權益保護的加強,都強化了企業的社會責任,若一有不慎,企業就可能遭受來自商品市場或資本市場的懲罰,表現為企業的品牌價值或資本市場上的市值貶損。因此,企業需要一種日常運行的功能與結構來防范風險,包括遵守法律與法規,確保投資者對財務信息的信任以及保證經營效率等。因此,從維護與促進價值創造這一根本功能來看,風險管理與企業內部控制的目標是一致的,只是在新的技術與市場條件下,為了更有效地保護投資者利益,需要在內部控制的基礎上發展更主動、更全面的風險管理。
四、主要區別
第一,它們都是由“企業董事會、管理層以及其他人員共同實施的”,強調了全員參與的觀
點,指出各方在內部控制或風險管理中都有相應的角色與職責。
第二,它們都明確是一個“過程”,不能當作某種靜態的東西,如制度文件、技術模型等,也不是單獨或額外的活動,如檢查評估等,最好是內置于企業日常管理過程中,作為一種常規運行的機制來建設。
第三,它們都是為企業目標的實現提供合理的保證。風險管理的目標有四類,其中三類與
內部控制相重合,即報告類目標、經營類目標和遵循類目標。但報告類目標有所擴展,它不僅包括財務報告的準確性,還要求所有對內對外發布的非財務類報告準確可靠。另外,風險管理增加了戰略目標,即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果,而且介入了企業戰略(包括經營目標)制定過程。
第四,風險管理與內部控制的組成要素有五個方面是重合的,即(控制或內部)環境、風
險評估、控制活動、信息與溝通、監督。這些重合是由它們目標的多數重合及實現機制相似決定的。風險管理增加了目標設定、事件識別和風險對策三個要素。重合的要素中,內涵也有所擴展,例如,內部控制環境包括誠實正直品格及道德價值觀、員工素質與能力、董事會與審計委員會、管理哲學與經營風格、組織結構、權力與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內部環境”除包括上述七個方面外,還包括風險管理哲學、風險偏好(risk appetite)和風險文化三個新內容。在風險評估要素中,風險管理要求考慮內在風險與剩余風險,以期望值、最壞
情形值或概率分布度量風險,考慮時間偏好以及風險之間的關聯作用。在信息與溝通方面,風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理,規定了信息的深度與及時性等。
第五,風險管理提出了風險組合與整體風險管理(integrated risk management)的新觀念。
《企業風險管理框架》借用現代金融理論中的資產組合理論,提出了風險組合與整體管理的觀念,要求從企業層面上總體把握分散于企業各層次及各部門的風險暴露,以統籌考慮風險對策,防止分部門分散考慮與應對風險,如將風險割裂在技術、財務、信息科技、環境、安全、質量、審計等部門,并考慮到風險事件之間的交互影響,防止兩種傾向:一是部門的風險處于風險偏好可承受能力之內,但總體效果可能超出企業的承受限度,因為個別風險的影響并不總是相加的,有可能是相乘的;二是個別部門的風險暴露超過其限度,但總體風險水平還沒超出企業的承受范圍,因為事件的影響有時有抵消的效果。此時,還有進一步承受風險,爭取更高回報與成長的空間。按照風險組合與整體管理的觀點,需要統一考慮風險事件之間以及風險對策之間的交互影響,統籌制定風險管理方案。
五、如何正確處理企業內部控制與風險管理之間的關系
盡管風險管理與內部控制有內在的聯系,但現實中的或代表目前應用水平的內部控制與風險管理還有不少的差距。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較,例如,銀行業的授信管理或市場(價格)風險管理如匯率、利率風險等。典型的內部控制是指會計控制、審計活動等,一般局限于財務相關部門。它們的共同點都是低水平、小范圍,只局限于少數職能部門,并沒有滲透或應用于企業管理過程和整個經營系統,因此,有時看上去風險管理與內部控制還是相互獨立的兩件事。隨著內部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統一。
總之,企業單位制定內部控制制度的目的,在于保證組織機構經濟活動的正常運轉,保護企業資產的安全、完整與有效運用,提高經濟核算的正確性與可靠性,推動與考核企業單位各項方針、政策的貫徹執行,評價企業的經濟效益,提高企業經營管理水平。企業的內部控制制度是企業管理現代化的必然產物,加強內部控制制度建設是建立現代企業制度的內在要求。有效的內部控制不僅能使企業的資源合理配置,提高勞動生產率,而且更能防范和發現企業內部和外部的欺詐行為。但是目前有相當一部分企業對建立內部會計控制制度不夠重視,導致會計信息失真,會計秩序混亂,違法違紀現象時常發生,以致管理失控,資產流失、經營失敗。因此。建立和完善企業內部會計控制策略是當前企業管理面臨的一個重要問題。
加強實施內部控制能夠規范社會主義市場經濟秩序,確保國民經濟穩定、持續、健康地向前發展。有活力的內部控制制度應該是推動企業創新的制度,只有企業全體職工齊心協力,相互支持,相互激勵,企業內部會計控制才能發揮應有的作用。只有這樣,保護企業資產的安全、完整與有效運用,提高經濟核算的正確性與可靠性,推動與考核企業單位各項方針、政策的貫徹執行,增加企業的經濟效益,提高企業經營管理水平,降低投資風險。
參考文獻:胡杰武,萬里霜《企業風險管理》
《企業內部控制基本規范》一號文件
第五篇:風險管理與內部控制
風險管理與內部控制
一、CFO在企業內部控制與風險管理中的角色與使命
中國總會計師協會常務副會長董鋒認為,建立風險管理體系,設計好內部控制制度,首先,要把握好CEO與CFO的關系。CEO是企業行政負責人,是班長,CFO作為企業財務負責人,是領導班子成員;CEO是風險管理和內部控制第一責任人,CFO是風險管理和內部控制的具體執行人,因此國外有人比喻CEO是船長,CFO是舵手。其次,要完善公司的管理結構,明確CFO的職責和定位。總會計師在本單位風險管理與內部控制體系中應確定自己的責任、職權和地位的對稱與平衡,但這并非是為自己去爭權力、爭地位;CFO所管理的財務等部門應是一個完整的管控體系,CFO的影響力與控制力必須一桿到底。第三,CFO要自覺執行風險管理和內部控制,同時也要提醒和促使CEO執行。作為領導班子成員,CFO理所當然要全力支持CEO的工作,但在工作中如果發現領導班子成員特別是主要負責人違背企業風險管理與內部控制制度時,也要及時提醒,要有敢于干預的勇氣。
原江蘇省副省長吳瑞林強調,CFO要樹立以愛國主義為核心的民族精神和以改革開放為核心的時代精神;要提高自身的業務修養以適應新時代的要求;要發揮好生財聚財和用財管財這兩大職責;要從本輪金融危機中吸取經驗教訓,履行好內部控制和風險管理的職責。
二、正確認識風險管理和內部控制
內部控制與風險管理既有區別,又有聯系。南京審計學院副院長時現認為,對于同一個企業來說,內部控制與風險管理的直接載體都是企業的經營活動,內部控制與風險管理都以企業法人為邊界,從這點來說,不能將二者截然割裂開來。二者的區別主要表現在:內部控制的重心在企業高管層之下(經營活動),風險管理的重心在高管層之上(戰略設計、決策);內部控制主要關注不相容職務是否分離,風險管理主要關注經營目標實現過程中的不確定性;內部控制是風險管理的主要機制,但不是全部;當出現合謀舞弊時,內部控制往往無效,需要風險管理輔之。上海財經大學教授朱榮恩認為,內部控制與風險管理并非平行的關系,內部控制是風險管理的一個重要組成部分,而風險管理則是內部控制的發展和延續,是一個比內部控制更為寬泛的概念。
高級國際注冊內部控制師張玉指出,COSO的內部控制與企業風險管理兩個框架實現了內部控制五要素與風險管理八要素的有機結合,而我國財政部等五部委聯合發布的《企業內部控制基本規范》與國資委發布的《中央企業全面風險管理指引》并未能進行有效整合。對此,董鋒則認為,財政部等部委的規范與國資委的指引雖然沒有形成系統,但卻有著內在聯系,企業應結合自身實際深刻體會兩個規范的精神,將風險管理與內部控制結合統一,而不應搞兩套機制。
現階段很多企業認為風險管理是內部審計應該履行的職責,但時現認為,為保證獨立性與客觀性,企業在構建風險管理過程時,內部審計不應承擔原本屬于管理層的風險管理責任,而應就企業風險管理過程的有效性提供確認服務,即擔任監督者的角色。對于目前我國企業內部控制系統的設計形式,張玉將其總結為三種:外包給會計師事務所;企業自行設計;自行設計與外包相結合。第一種形式耗資巨大,導致合規性成本過高,而采用后兩種形式時,由于企業缺乏內部控制設計專業人才,內部控制系統的設計大多由內審人員牽頭負責,這導致了“運動員和裁判員角色不分”的問題,因此需要專業人士進行內部控制系統的設計,未來內部控制師這個職業將會得到快速發展。
南京大學會計與財務研究院副院長李心合指出,審計意義上的內部控制與CEO、CFO需要的內部控制有很大區別,而主要區別在立場與出發點上。審計師是站在財務報表可靠的角度,希望內部控制盡可能完備,以便將審計風險降到最小,但企業的目標是價值最大化,過于復雜的控制流程也會損害利潤創造。因此企業需要選擇好的出發點,優化內部控制體系,既不能過于簡單,也不能過于復雜。
三、加強和完善企業風險管理和內部控制建設
對于如何加強企業內部控制建設,朱榮恩認為,實施內部控制的難點主要體現在七個方面:一是正確認識內部控制五要素的內在聯系。二是正確理解內部控制的要素、目標及實施主體的關系。三是正確認識內部控制與風險管理的關系。四是正確認識內部控制與企業管理制度的關系。五是正確認識內部控制與外部環境。外部環境如股權
結構、干部管理制度和政府政策取向等因素都會直接或間接地影響我國企業實施內部控制的效果。六是正確認識內部控制需求內因不足的問題。由于內部控制的效益難以衡量、成本與效益不匹配等原因,部分企業的管理層認為只要企業不出事就可以了,只要達到法律法規的最低要求就行了,并沒有將內部控制作為企業管理的內在要求。七是正確認識IT平臺在內部控制中的應用。
江蘇高科技投資集團董事長徐錦榮介紹了其所在企業的風險管理及控制經驗。一是加強組織建設。集團董事會是風險管理的第一責任主體,董事會下設的審計與風險控制委員會具體負責風險管理工作。二是加強制度建設。把管理制度、業務流程再造作為風險管理的重要基石,建立符合創業風險投資特點的業務運作流程和與之配套的一系列管理制度和風險控制制度,目前已經形成了由制度、流程、關鍵控制點三個層次組成的制度體系。三是創立符合國情和創投業務特點的風險控制工具。建立風險管理信息系統,對所有項目的財務、管理信息進行定期的匯總、分析,動態監測項目運作情況。并實行定性和定量指標相結合,對投資項目定期進行ABC(正常、次級、警示)分級,及時采取風險防范措施。四是構建符合實際的風險管理評價機制。根據市場環境、金融工具、法律法規等因素的變化及發展情況,不斷調整和改善風險管理制度,并通過對業務流程關鍵控制點的及時介入,實行持續的檢驗測試,以確保制度執行充分有效。
徐州礦務局副總會計師張錦河介紹了徐礦集團在投資風險控制方面的教訓和經驗。以前徐礦集團曾因盲目多元化而導致公司經營管理的巨大失利,在總結教訓和經驗后建立了歸核化的投資戰略和投資風險控制模式,即在投資活動中圍繞煤炭產業這個“核”進行綜合開發,同時圍繞核心競爭力的形成與提高這個“核”進行風險控制。經過六年的實踐,徐礦集團的經濟效益和經營規模快速增長,逐漸步入良性發展的快車道。其風險控制的具體做法有:采取全面預算管理,將“物本管理”與“人本管理”相結合,不僅對集團公司投資所形成的項目、資產、資金進行管理,而且通過激勵與約束制度的建立,將個人價值與企業價值進行整合統一;通過集團制定統一的目標和戰略規劃與投資政策,規范集團內各成員單位的投資行為,以實現資源聚合效應與管理協同效應;圍繞提高集團公司核心競爭力這個目標,制定多元化標準,而不僅僅是單一的財務標準。
四、IT環境下內部控制體系的建設
與傳統意義上的內部控制體系建設相比,IT環境下的內部控制體系建設具有其獨到的特點,參會的企業詳細介紹了其各自的做法。
江蘇國信集團財務部總經理王家寶認為,集團管控應以資金集中管理為核心,而IT環境下企業開展資金集中管理應從四方面入手:一是構建資金集中管理組織和賬戶體系,協同管控、實現資金統一運作。二是設計資金集中管理的關鍵流程和制度,實行資金計劃流程管理、自動零余額的資金歸集上收、動態掌控資金流向的資金下撥、內部各成員單位之間的統一結算管理。三是通過網絡實時監控資金流量,動態平衡資金需求,統一調度資金。四是創新內部資金計息管理機制,充分調動成員單位參與集中管理的積極性。他進一步指出,資金集中管理首先要有一把手的推動,其次要設計出互利共贏的方案,最后還要有必要的技術、人員、相關部門的支持。
東風悅達起亞汽車股份有限公司總會計師生育新詳細介紹了其所在企業的內部控制體系,具體分為內部會計控制、生產管理控制和質量控制三大部分。內部會計控制主要包括現金收支業務控制、應收應付控制、固定資產控制、成本控制和投融資控制。生產管理控制主要包括開發采購控制、生產物流控制、銷售流程控制和人力資源控制。質量控制包括ISO9000、14000質量認證體系、部品質量控制、C-audit評審(整車質量評審)、質量成本控制和質量實名控制。在IT環境下,該公司從健全全面預算管理體系、整合ERP系統、強化內部稽核機制、狠抓作業、成本費用和管理標準化建設四個方面加強內部控制建設。生育新認為,實施ERP是企業適應市場競爭、強化核心競爭力的有力工具,而健全的內部控制才能使ERP的功能得到全面發揮,因此應大力建設IT系統,但IT系統的實施并不能取代管理和控制。
從企業的實踐中可以看出,IT能在多方面提升內部控制和風險管理水平,但朱榮恩認為,IT平臺僅僅是內部控制實施的一個硬件保障,而非必備條件,它只能代替內部控制中的溝通等某些環節,卻代替不了管理基礎和監控,更不能完全代替內部控制。
五、內部控制審計與風險管理審計
時現認為,隨著企業風險管理的推進,在內部審計中需要進行風險管理審計來評價并改善風險管理、控制和治理過程的效果。因此她提出了一種以風險為導向,對企業的風險管理進行審計的風險管理審計模式—審計客體和審計流程雙輪驅動的風險管理審計。首先,以風險為導向制定內部審計計劃;其次,基于風險矩陣圖實施審計;再次,進行數字化的風險測試與風險評價;最后,出具前瞻性的風險管理審計報告。與內部控制審計相比,風險管理審計更關注控制的結果,即風險是否得到了有效控制,而內部控制審計更關注控制的過程,即控制環境和控制活動。風險管理審計與內部控制審計并不是截然不同的,二者在整個審計系統框架中具有諸多相似之處,只是重點和審計角度在一定程度上有所不同而已,可以說,企業風險管理審計是企業內部控制審計的發展和延伸。
點擊咨詢 