時間:2023-09-15 17:13:17
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇風險管理和內控范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
關鍵詞:風險管理;內部控制
中圖分類號:F830 文獻標識碼:A 文章編號:1674-7712 (2013) 24-0000-01
一、風險管理和內部控制的聯系
美國全國虛假財務報告委員會下屬的發起人委員會(COSO)1992年提的是“內部控制”,到了2004年是“風險管理”,其內容1992年時包括5個要素,2004年時包括8個要素,說明對風險管理和內部控制有一個認識過程。內部控制應是風險管理的基礎和重要組成部分,它們是一體化的,不能分割的。
內部控制解決的是常規性風險,風險管理解決的是非常規性風險,內部控制解決的是“如何正確地做事”,而風險管理解決的是“如何做正確的事”,它們既有聯系,又有區別,一個企業要成功,二者缺一不可。
二、風險管理和內部控制的區別
“企業風險管理”概念的提出,并不意味著對原“內部控制”概念的摒棄。內部控制是企業風險管理不可分割的一部分,企業風險管理框架并未取代內部控制,而是將內部控制框架整體納入其中。企業風險管理涵蓋了內部控制,是一個更為全面、廣泛的概念。二者的區別主要包括以下方面:(1)企業風險管理涵蓋了內部控制。企業風險管理除包括原內部控制的三個目標之外,還增加了戰略目標;企業風險管理的八個要素除了包括原內部控制的全部五個要素之外,還增加了目標設定、事項識別和風險應對三個要素。(2)企業風險管理強調對風險的控制與應對。風險被定義為“對企業的目標產生負面影響的事件發生的可能性”(將產生正面影響的事件視為機會),涵蓋了信用、市場、戰略、聲譽、業務及財務等各種風險。風險管理包括風險計劃、風險控制和風險應對。這三者共同構成一個完整的風險管理過程。其中,風險控制又分為外部控制和內部控制。內部控制是一種內部風險控制機制,內部控制不同于風險管理。風險管理的首要工作是風險計劃。風險控制是在風險計劃既定的前提下,所開展的各種控制活動。風險控制除了包括內部風險控制之外,還包括外部風險控制。(3)企業風險管理注重對風險的定量分析與管理。企業風險管理引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等新的概念與方法,因此,企業風險管理可以在基于概率統計的基礎上,合理確保企業的發展戰略與風險偏好相一致,從而幫助董事會和高級管理層實現企業風險管理的目標;而原來的內部控制只能在基于定性判斷的基礎上確保內部控制目標的實現。
三、目前企業風險管理工作存在的問題
(1)企業管理者及相關人員風險意識薄弱。加強企業環境控制與風險評估,是提高企業風險管理效率與效果的重中之重。而當前我國企業缺乏一種可以辨認、分析與管理風險的機制,往往出現為了追求高收益而盲目投資等風險。(2)現有風險管理機構不足以應對企業風險。我國企業風險管理機制設計較晚,現有的規章制度也是近幾年開始施行,而企業面臨的外部環境卻變化很快。變化較快的經營環境使得風險管理機制的風險應對能力削弱,甚至失效。(3)風險管理機構組織建設不健全。國務院國有資產監督管理委員會的《中央企業全面風險管理指引》明確規定:企業應建立健全風險管理組織體系,主要包括規范公司法人治理結構,風險管理職能部門、內部審計部門和法律事務部門以及其他有關職能部門、業務單位的組織領導機構及其職責。(4)風險管理機構缺乏真正獨立性。作為企業內部審計的一部分,風險管理機構存在獨立性不足的問題。尤其是中國大多數企業風險管理部門設立不完善、不系統,審計人員的職責不明確,企業風險責任歸屬不清晰,都造成了風險管理工作不可能起到真正的監督作用。
四、構建體現全面風險管理的內部控制新機制
(一)構建具有本企業特色的創新風險管理理念
將全面風險管理作為企業文化的一部分,全體員工在全面風險管理理念下共同努力。學習和借鑒其他企業風險管理的技術和經驗,積極探索適合本企業的內部控制管理新方法,創造一種優良的風險管理文化,改善內部環境,全面風險管理體系才能得到發展。
(二)構建切合實際的內部控制評價機制
傳統模式下,由于缺乏統一的風險管理決策,各職能部門成為風險管理的權威,嚴重缺乏對各項崗位職責的主動跟蹤評價系統,往往是出了事故才來補。因此,企業應根據自身的實際情況,通過確定風險控制環節,落實各部門的崗位管理職責,并對各部門的控制狀況進行定期檢查、評價和考核,強化風險管理責任,提高全員風險防范的意識和能力,從而有效地推進全面風險管理,實現從風險部門的防范轉向全企業、全員防范,將內部控制管理由個人行為提升到企業的整體行為,使企業的內控管理水平不斷提高。
(三)構建全新的內部控制組織體系原則
(1)全面風險管理原則。實施全面風險管理的關鍵在于構建完善的內部控制系統,內部控制要遵循全面風險管理的原則,即:全員管理原則;全過程管理原則;全方位風險管理原則。(2)分層管理原則。即將風險管理的決策、管理、操作職能分別賦予不同層次的機構,形成金字塔型的組織架構。(3)風險管理關口前移原則。將風險的日常監控職能直接設置到業務經營部門內,使風險管理更貼近市場,有利于及時發現風險、控制風險,體現風險管理與業務管理平行作業的特征。(4)協調與效率原則。要保證部門之間權責劃分明確、清晰,便于操作;保證部門之間的信息溝通方便、快捷,準確無誤,保證企業經營管理系統的高效運作。
(四)構建符合內控要求的業務管理新制度
傳統分散風險管理模式下,各職能部門制定了大量的所謂“全面”的制度,但制度運行的有效性較差。究其原因,最主要是制度的制定缺乏系統科學的規劃。因此,要在符合內部控制要求的前提下,全面梳理現有規章制度,進一步完善供銷業務、財會業務、中間業務等各項業務的管理制度,建立起面向企業、覆蓋所有業務品種和涉及業務全過程的內控管理體系,實現業務發展和風險管理的同步。基層單位要加強對規章制度執行和風險控制情況的自查,形成定期檢查的長效制度。內審部門要充分發揮審計的幫促作用,促使企業逐步建立起業務管理服從規章制度、業務考核服從統一標準的管理新制度。
參考文獻:
【關鍵詞】 內部控制 風險管理 問題 措施
隨著全球經濟一體化以及我國市場經濟的快速發展,我國企業生產經營過程中所面臨的風險也日益復雜化,企業內部和外部環境的變化給企業帶來了嚴峻的挑戰。我國企業應充分認識到風險管理和內部控制的重要性,建立完善的內部控制制度以及加強風險管理以提高企業的國際競爭力,實現企業健康、穩定的發展。
一、內部控制與風險管理概述
1、內控控制與風險管理的內涵
內部控制是指企業為了實現其經營目標,保護資產的安全性和完整性,保證會計信息資料的正確性和可靠性,確保經營方針的貫徹執行,保證經營活動的經濟性、效率性和效果性而在企業內部采取的自我調整、約束、規劃、評價和控制的一系列方法和措施的總稱。內部控制要素主要包括控制環境、風險評估、控制活動、信息與溝通、監控等五個方面。
美國COSO將風險管理定義為,企業風險管理是由企業的董事會、管理當局和其他員工共同參與的一個過程,應用于企業戰略的制訂并貫穿于企業經營管理活動之中,旨在識別可能會影響企業的潛在事項,將風險控制在管理當局可接受的范圍之內,為企業目標的實現提供合理保證。風險管理主要包括內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督等八個要素。
2、內部控制與風險管理的聯系與區別
從內部控制和風險管理的組成要素來說,二者在控制環境、風險評估、控制活動、信息與溝通和監督等方面存在一定的聯系,它們都是為保證企業的有序運行,實現企業的經濟效益和經營的安全性而對企業各項經營活動進行有效的控制和預防。內部控制和風險管理二者相輔相成,緊密聯系。風險管理的有效實施取決于信息的收集,而內部控制通過建立過程控制體系規范、控制各經營活動恰好為風險信息的收集提供了有效途徑。風險管理主要是對各種風險因素進行識別、分析和評估,其目的是使風險得到控制從而以最低的成本實現最大的安全保障,這恰是內部控制的根本目的所在。
企業內部控制和風險管理之間也存在一定的區別,二者各有側重點,風險防范范圍也不同。內部控制側重于企業財務方面和審計方面的控制,保證會計信息的真實性和資金的安全性,會計控制是核心,而風險管理則更關注特定業務中與戰略選擇和決策相關的風險和收益的比較。內部控制涉及企業各種經營活動的內部和外部風險,而風險管理則比較關注特定業務的戰略評審,其目的是通過比較不同公司業務領域內的風險與報酬來使企業效益最大化。
二、企業內部控制和風險管理現存問題
1、風險管理意識不足,對內部控制的理解過于片面
目前許多企業對風險管理的認識不足,沒有制定出足夠有效的控制制度來防范企業所面臨的各種風險,很多企業沒有將風險管理的思想融入到企業的內部控制之中,風險評估不夠深入,流于形式,或是缺乏對風險的定期復核和再評估,降低了企業適應環境變化和規避風險的能力。同時,目前大多數企業對內部控制的理解過于片面,過于重視傳統意義的內部控制,忽視了對風險的控制和衡量,例如過于關注某些特定業務,而對外部經濟、技術條件或其他重大不利事項缺少足夠的控制,不能為企業創造一個良好的內外部發展空間。
2、風險管理組織結構不完善,尚未建立完備的內部控制機構
由于公司治理結構問題,我國大多數企業雖然已建立起相關制度,但卻缺乏有效的監督執行,各部門之間工作職責、操作程序以及風險成本主體都不十分明確,風險管理組織結構不完善,這便導致了風險管理缺乏相應的約束力,各部門或相關人員之間相互推卸責任,風險管理無法真正有效執行,而一些企業雖然建立了相關的風險管理機構,但也由于缺乏專職的風險管理經理,使得企業風險管理始終以眼前利益、短期利益為主進行決策。另一方面,部門企業認為建立了相關的內部管理制度就是完善了企業的內部控制制度,也真正建立了風險監督評估機制,然而目前許多企業的內部控制制度只是形式主義,形同虛設,并沒有真正地實施,大部分企業沒有完備的內部控制機構,不能積極地進行風險管理工作。
3、內部控制和風險管理的信息與溝通能力不足
在信息方面,企業各層級都需要大量的信息以幫助識別、評估和應對風險。然而目前我國大多數企業存在對信息的挖掘深度和利用程度不足的現象,以至于相關信息不能發揮其應有的效用,或是信息沒能很好地在企業內部之間共享。我國企業溝通方面最大的問題就是溝通不暢,溝通力度不夠。在內部溝通方面,一些企業的信息的溝通需要經過多個層級,導致信息失真,而下級員工又不能積極向上級反應,致使風險管理決策缺乏足夠依據,內部控制執行缺乏力度;在外部溝通方面主要表現為未能與相關利益者進行有效溝通,如投資者和監督者等,不能及時、準確掌握企業外部環境走勢,內部控制信息披露不足。
4、內部控制與風險管理的監控機制不健全
我國大多數企業的內部監督機制和外部監控機制仍存在許多問題。在內部審計方面,我國很多企業對內部審計重視不夠,對內部審計作用認識不足,這使得內部審計在我國企業中執行起來顯得困難重重以至于內部審計對內部控制的再控制以及對企業風險管理的監督職責未能發揮出來。沒有內部審計的監控,即使企業擁有設計再完美的風險管理辦法也很難保證其能夠嚴格執行并發揮風險控制的作用。外部監控體系,包括政府監控、社會監督等,在保證企業的內部控制和風險管理上的效力不足。例如,政府監控在很大程度上能保證企業內部控制的有效執行以及幫助企業防范、應對各類風險,然而,目前我國政府對企業內部控制信息,尤其是重大信息的披露要求不夠,內部控制信息披露方面的法規制定相對滯后,只是形式化的敷衍,在這種情況下政府對內部控制的監督無從談起,更不用說通過對內部控制的考察來監控企業的風險管理活動。而在社會監督方面,注冊會計師的社會監督作用仍有待提高。注冊會計師僅將對企業內部控制的測試和發表意見作為財務報表審計過程中的一項程序,并未進行專項審計,監控力度大大減弱,或是只關注企業內部控制設計的情況而忽視實際執行情況,不能真正發現企業內部控制和風險管理存在的問題。
三、改進企業內部控制和風險管理的措施
1、提高風險管理意識和應對風險的能力,建立風險管理型內部控制
風險管理的核心是對人的管理,包括職業操守、技術能力和激勵等方面內容的管理,在這其中企業管理層應起帶頭作用,提高風險管理意識,加強對內部控制的認識,同時加強企業全體員工的思想教育和業務培訓,不斷提高員工的整體綜合素質,使員工更具有責任感,明確風險管理和內部控制的重要性,逐步提高自身的思想認識和業務技能以提高企業應對風險的能力。企業應建立相應的績效考核制度和激勵制度,充分調動員工的積極性、發揮員工的責任心,讓員工意識到自身有責任對企業面臨的風險進行識別、分類,并追溯導致風險的各種因素,以采取相應的措施規避風險。另一方面,建立風險管理型內部控制,以風險為切入點對企業內部控制實施控制,強調通過制度、流程和財務等手段,管控運營、操作過程風險,重視在操作層面中的風險管理,將管理的模式與企業實際情況相結合,充分利用了現有資源,更好地發揮風險管理的積極作用,達到了風險管理和內部控制的要求。
2、完善企業內部控制和風險管理制度建設,建立風險管理控制體系
完善企業內部控制和風險管理制度,首先要建立產權明晰和管理科學的現代企業管理制度,實現政企分開,最大限度地調動企業管理者和經營者的積極性,建立相應的內部控制和風險管理部門,完善內控體系和風險評估體系,對企業經營風險、財務風險、市場風險和政策風險等進行全程監控,提高內部管控和風險管理的效率。其次,提高財務和審計人員的綜合素質,增強其核算知識和風險預測能力,使相關人員有足夠的能力和專業知識去識別、評估風險,同時將風險機制運用到風險管理中,企業員工公擔風險,實現權責利三位一體,提高企業內部控制的有效性和風險管理水平。再次,要建立相關的風險管理控制體系,即對企業經營管理過程中內外部各種風險進行分析和評估,研究風險形成的原因及其影響程度以便制定有效的措施加以防范,例如重視資本運營的跟蹤、監督,通過對財務報表和財務指標的分析,一旦發現異常變化就立即采取措施應對,把風險損失降到最低。
3、提高信息溝通能力
企業進行內部控制和風險管理時必須擁有足夠的信息和流暢的溝通,企業只有提高其信息和溝通能力,充分挖掘和利用各種信息資源,其內部控制才能更好地防范和應對風險。企業可以通過兩個方面來提高信息和溝通能力:一方面,構建和完善企業信息庫,用以儲藏和搜集各種信息,并仔細甄選質量高、有利用價值的信息,并對這些信息進行深入分析為決策活動提供有力支持證據;另一方面,溝通是創造良好內部控制環境和支持企業風險管理的關鍵環節,充分、有效的溝通應包括自上而下的溝通、自下而上的溝通和橫向溝通,使企業各級、各部門人員能夠知悉公司的戰略、經營、財務等方面信息,以履行各自職責。同時,應加強企業與相關利益者之間的外部溝通,尤其是及時、準確地披露企業的財務信息和其他重要信息,以便充分了解企業所面臨的形式和風險。
4、完善內部審計和外部監督制度,落實監控機制
強化企業內部審計和外部監控力度需要從兩方面入手:一是充分發揮內部審計功能。企業應組建科學合理的內部審計機構,保證內審機構的獨立性和權威性,充分發揮內審機構對企業內部控制和風險管理的作用;完善內部審計的內容和方法,使其滿足現代企業管理的要求,尤其是企業應對風險的要求。二是提高外部監控效力。完善內部控制信息披露機制,明確內部信息披露的內容和形式,突出企業相關重大風險,使有關政府部門對企業內部控制和風險管理進行有力監控;加強注冊會計師的社會監督作用,及時發現企業漏洞和舞弊現象,幫助企業進行糾正和改進。同時,借鑒國外先進經驗加強對內部控制進行專項審計的強制要求,始終堅持風險導向審計模式,抓住企業真正風險點,有力監督企業內部控制的實際執行情況。
綜上所述,企業必須建立符合自身發展需要的內部控制機制和風險管理體系,將二者進行有效的結合,通過對制度的規范和科學的管理來充分發揮企業內部控制和風險管理的作用,以提高企業整體競爭力和經濟效益,實現企業健康、穩定發展的目標。
【參考文獻】
[1] 王寅入:談風險管理與內部控制的區別與聯系[J].普華永道,2010(6).
關鍵詞:全面風險管理;內部控制;一體化
隨著我國經濟規模的不斷壯大,企業如何可持續發展,如何健康發展越來越為政府和經營者關注。進入新世紀以來發生的一些經營失敗案例和問題,遠的如安然、中航油、巴林銀行事件,近的如雷曼兄弟、三鹿奶粉事件以及陷入困境的無錫尚德等,其失敗的一個共同的、重要的原因,就是風險管理、內部控制出了問題。
為指導中央企業開展全面風險管理工作,2006年6月國務院國資委頒布了《中央企業全面風險管理指引》(以下簡稱《指引》)。為加強和規范企業內部控制,2008年5月財政部制定了《企業內部控制基本規范》(以下簡稱《規范》)。為加快中央企業構建內部控制體系,2012年5月,國資委、財政部下發了《關于加快構建中央企業內部控制體系有關事項的通知》。一系列指引、規范文件的下發,體現了國家對企業、尤其對中央企業內部控制和全面風險管理的高度重視和迫切要求。
自《指引》、《規范》頒布以來,不少企業尤其是中央企業先后開展了全面風險管理體系、內部控制系統的建設和完善工作。可以預見,將來會有更多的企業重視并開展這項工作。
要做好全面風險管理和內控體系建設工作,正確認識和處理全面風險管理與內部控制的關系很重要。
一、全面風險管理與內部控制的關系
1.全面風險管理與內部控制概念
所謂內部控制,是指一個單位為了實現其經營目標,保護資產的安全完整,保證會計信息資料的正確可靠,確保經營方針的貫徹執行,保證經營活動的經濟性、效率性和效果性而在單位內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手續與措施的總稱。
所謂全面風險管理,是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。
2.全面風險管理與內部控制的關系
對于兩者的關系,目前理論界主要有以下三種觀點:
(1)內部控制包含風險管理。例如CICA(1998)的風險闡述、巴塞爾委員會的《銀行業組織內部控制系統框架》中的風險管理要求等。
(2)風險管理包含內部控制。例如COSO委員會的《企業風險管理——整合框架》(2004)就指出“企業風險管理包含內部控制”、英國Turnbull委員會(2005)也認為“內部控制應當被管理者看作是范圍更廣的風險管理的必要組成部分”。
(3)內部控制就是風險管理。例如Blackburn(1999)認為“風險管理與內部控制僅是人為的分離”等。
本文同意以上第二種觀點,以發展的眼光看,也認可第三種觀點。
①管理實務支持
管理實務操作上,以國家的《企業內部控制基本規范》和《中央企業全面風險管理指引》進行比較,兩者有大量的相同或相似之處。
從目標分析,內部控制目標包括合法合規性、資產安全性、報告可靠性、經營有效性、支持企業發展戰略五項。全面風險管理目標包括與企業總體目標適應性、信息溝通(含報告)可靠性、合法合規性、經營有效性、避免遭受重大損失五項。除合法合規性、經營有效性、信息可靠性外,企業總體目標適應性與支持企業發展戰略表述不同,實質是一致的;避免遭受重大損失包括資產安全性。應該說內部控制和全面風險管理主要目標是一致的。
從管理要素分析,內部控制包括內部環境、風險評估、控制活動、信息與溝通、內部監督五項,全面風險管理包括信息收集、風險評估、管理策略、解決方案、監督與改進、組織體系、信息系統、風險文化八項。具體分析兩者管理范疇和業務過程,我們大致能得出風險評估、解決方案對應控制活動、組織體系與風險文化對應內部環境、信息系統對應信息與溝通、監督與改進對應內部監督的關系。應該說全面風險管理幾乎包含了內部控制的所有管理要素。
全面風險管理和內部控制的對象都是風險(包括風險收益),目標也是一致的,管理范疇和過程也有諸多相同或相似之處,因此全面風險管理和內部控制一體化建設是有客觀基礎的。
②演進趨勢支持
從演進趨勢上分析,全面風險管理是對內控的系統總結和提升。
內部控制是企業經濟活動中一種自發的內部安全和效率需求,是企業及其他經濟組織為達到經營目標的必由之路,從最初保護財產安全、防弊堵漏發展到如今的支持企業發展戰略。伴隨著經濟活動日趨復雜,內部控制活動也逐漸由簡單到復雜,并從企業內部向外部延伸。例如三鹿奶粉問題,不僅涉及內部控制,實際上也涉及外部供應鏈的風險管理了。
全面風險管理是一個較新的概念,和內控相對,是一種自覺的行為,是經濟活動發展到一定的高度的產物。人們在經營活動中逐漸認識到企業不能僅僅從某項業務、某個部門的角度考慮風險,必須從整個企業的高度認識風險和實施控制,做好頂層設計和系統化設計,即實行全面風險管理。例如企業內部不同部門不同業務的風險,有的可能相互疊加放大,有的可能相互抵消減少,這就涉及風險統籌;例如風險的大小不一樣,管理要求就不同,這涉及到風險量化;例如不同經營時期,企業風險種類、管理特點是不一樣的,這涉及到風險動態管理;還有風險預測、決策管理等等。如果說內部控制活動是紡紗的過程,全面風險管理則是一個從紡紗到織布的整個過程,是對內控的系統總結和完善提升。
另外,雖然全面風險管理與內部控制的隸屬關系目前尚無明確答案,但業界主流看法認可隨著內部控制或風險管理的不斷完善,兩者的交叉、融合、統一將是大趨勢,這也為我們一體化建設帶來信心。
二、全面風險管理與內控一體化效果
1.管理完整性更好。全面風險管理是從上而下的風險管理,系統性和結構化程度高;內部控制是自下而上的風險控制,業務支撐能力和操作性更強。兩者一體化建設,可以互為補充、互相配合,上支撐了企業目標,下又兼顧了具體業務的管控實際。
2.管理效率更高。在一體化思路下,工作領導、方案設計、資源調度都是統一的,一般不會出現指揮混亂、接口復雜、流程沖突、問題推諉的現象,將會大大提高建設和運維效率。特別是在日常風險管理工作中,統一的、結構化的系統將會帶來發現、決策、行動和反饋效率的立體提升。
3.綜合管理成本更低。大多數企業特別是大企業在長期經營活動中一般已形成一套基本適合自身需要的內控系統。一體化建設能有效利用企業已擁有的內控資源,減少重復投入。運行期也僅需支撐一套系統的開支,顯然會低于兩套獨立系統的運作成本。
4.責任主體更明確。一體化管理的主體只有一個,責、權、利歸于一體,在系統建設、運維過程中不會出現爭權和責任不清的問題。
三、全面風險管理與內控一體化建設工作應注意的幾個問題
為保證全面風險管理與內控一體化建設效果,在相關工作中應該注意以下一些問題:
1.建設思路上,一開始就要確立全面風險管理和內控一體化建設思路,這樣才能統一思想,明確方向,凝聚力量,避免走彎路、走錯路。
2.工作方式上,要充分利用企業現有內控資源為全面風險管理或內控體系建設所用,形成合力,這是體系建設工作取得成效的關鍵。開展全面風險管理或內控體系建設,應該是對現有內控資源的整合、補充、規范和領導,而不是另起爐灶,各行其是。
3.實施準備上,做好企業現行內控情況評價,全面、客觀了解現行內控工作范圍、流程、執行情況,并根據全面風險管理的需要梳理內控活動存在的問題,分析、提出改進思路。為下一步一體化實施打下基礎。
4.業務安排上,可根據“能責相當”的原則進行分工。對內控已覆蓋且運轉良好的領域和環節,如風險評估、解決方案、控制活動、內部監督等方面繼續發揮原內控作用,并根據全面風險管理的要求予以適應性改造。在信息收集、管理策略、組織體系、信息系統、風險文化等方面根據全面風險管理的要求開展工作,逐步建立、健全風險系統。總體上,全面風險管理應注重宏觀和指導性,內控更應注重微觀和操作性。
5.組織管理上,合理設置管理機構,并確保工作力量。不少人認為,財務部門很多業務涉及內控工作,經驗豐富,作為企業全面風險管理的牽頭部門較好。當然如果以更好地從全局角度組織開展工作為中心,由戰略、規劃或企管部門牽頭也是可以考慮的。另外審計部門作為全面風險管理工作的內部評價部門,應保持相對獨立性,盡量避免參與全面風險管理的日常執行活動。要確保工作力量,一是要設置專職歸口部門,至少應在指定部門下配備專職崗位,明確職責。二是要整合企業原有的內控工作力量,組成一個統一領導的風險工作組織。三要保障人員專業能力,各部門風險管理人員應選擇了解業務、管理能力強的骨干員工,并保持相對穩定。
6.日常運作上,要充分將風險管理工作溶入到具體業務中去,避免出現“兩張皮”現象,這也是一體化運行中的難點。由于不少企業內控活動開展已久,制度配套、流程接口、日常執行、監督跟蹤、報告反饋比較成熟,已形成良好的業務環境。因此在全面風險管理體系運行初期或兩者一體化建設不暢的情況下,受原業務環境及慣性思維影響,極易出現實際工作繼續按原內控思路運行,而對于全面風險管理所需做的工作和要求,則可能抱著應付與完成任務的態度,導致相關活動不能真正發揮作用,久而久之被邊緣化。如何從管理氛圍、制度配套、流程整合、考核引導等方面著手,將全面風險管理工作真正溶入到具體業務中去,是我們要不斷深入探索和解決的重要問題,這將關系到全面風險管理能否在企業中生根、成長、壯大。
四、結束語
全球經濟一體化、以網絡為代表的新科技不斷應用、金融業的迅猛發展、人的創新能力不斷釋放的今天,企業管理廣度、深度、難度均發生了深刻變化,企業風險也非往日可比。據普華永道《2011年中國企業長期激勵調研報告》數據,目前中國中小企業的平均壽命僅2.5年,集團企業的平均壽命也僅7~8年。另稍留意我們就能發現,證券市場上由盛轉衰的公司也是數不勝數的。怎樣才能避免這樣的命運?怎樣才能創建百年基業?顯然,建立健全全面風險管理和內控體系是必備條件之一了。
參考文獻:
[1]錢 黎 汪子林 張 偉:淺論內部控制與風險管理的區別和聯系[J].現代經濟信息,2009(9).
[2]樊行健 付 潔:企業風險管理與內部控制[J]會計之友,2007(10).
摘 要 日益復雜的經濟環境、經營環境使企業內部控制和風險管理的重要性不斷凸顯,只有充分發揮其職能,進行事前風險辨識,控制和規避企業可能存在的各種風險,才能使企業規范、快速發展。
關鍵詞 內部控制 風險管理 重要性
內部控制是指一個單位為了實現其經營目標,保護資產的安全完整,保證會計信息資料的正確可靠,確保經營方針的貫徹執行,保證經營活動的經濟性、效率性而在單位內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手續與措施的總稱。而風險管理是指如何在一個肯定有風險的環境里把風險減至最低的管理過程。內部控制是風險管理的必要環節,風險管理涵蓋了內部控制,風險管理貫穿于管理過程的各個方面,控制的手段不僅包括事中和事后控制,更為重要的是,全面風險管理在事前制定目標時就充分考慮了風險的存在。
從經營需求講,企業經營者肯定會想方設法發展企業,但從穩健方向來說,還有一個風險管理的需求。樹立防范意識,建立保障機制、強化內部控制,是保證企業安全的一個基礎,而保證企業安全機制能有效運行才是關鍵。
歸根結底內部控制、風險管理可以提煉八個字,一個是說你做的,一個是做你說的,“說你做的”是指說了什么事情要公開;“做你說的 ”則是指規定制度、承諾的事情一定要做到。如果能做到這八個字,在一個企業里面內控意識就形成了。這其中最重要的是執行力問題。流程和制度無論多么完善,如果不能得到執行,就會無濟于事。有些流程雖然不是很規范,但只要員工做到了,也同樣可以取得好效果。如何提高內部控制和風險管理的執行力就成了最關鍵的問題,筆者從以下方面做了初步的探索。
一、加強事前、事中風險管控
古時扁鵲三兄弟都精通醫術,但扁鵲名氣最大,就能說扁鵲的醫術最好嗎,其實不然,扁鵲自己分析的非常正確,他說:“長兄治病,是治在病情還未發作之前,一般人由于不知曉他能把病灶鏟除在發病之前,因此他的名氣始終傳不出去;中兄治病,是治在病情的初期,人們便認為他只能治一些小病,他的名聲只能在附近鄉里傳播;而我治病,都是治在病情嚴重之時,人們看到我通過穿經脈、動筋骨、敷大藥能把病治好,都以為我醫術高明,名氣就這樣傳播開了。”
不僅僅是扁鵲,在公司里其實也存在著同樣的情況。我們在公司里充當著扁鵲三兄弟的角色,然而很多時候我們在問題發生時都把像扁鵲一樣能在事后拍板的人當成大救星,將希望寄托在他們身上,但是,我們何不做好事前、事中的控制呢?
事后控制,其實就是一種糾正措施,是一種“亡羊補牢”式的控制方法,雖然問題得到了暫時性的解決,但也有了“丟羊”的損失。事前、事中控制則是在生產過程中利用各種有效的信息,將問題解決在萌芽狀態,預防大問題的發生。
管理如同治病一樣,治標不能忘記固本。治標只在事后控制,而治本則注重事前控制。現實管理中,人們熱衷于事后控制,頭痛醫頭,腳痛醫腳,對那些能在事后控制的將才,人們大加贊賞,員工服氣,領導認可。而對那些針對苗頭,防微杜漸,通過事前的及時控制,過程的有效管理,讓問題消滅在萌芽狀態的默默無聞者,卻不能引起大家的重視。以至于員工的積極性不高,因為在他們看來,他們在生產中控制的再好,工作的再仔細也沒有人去注意他們,所以加強對事前控制的關注,不僅僅是對保證產品質量的一項措施,更是對員工工作的一種肯定。俗話說:“預防重于治療”,“防范勝于救災”,問題的預防者優于問題的解決者,因此我們要多一些事前、事中控制,少一些事后控制。
二、加強關鍵控制點的風險管控
在企業活動較為復雜的情況下,企業內部控制不可能面面俱到,因此,企業必須充分發揮內部審計風險導向功能,識別并關注主要風險來源和主要風險控制點,以提高內部控制的效率,針對業務流程中的每一個環節、每一個步驟,認真細致的進行分析,根據不確定性的大小、危害性的嚴重程度等,明確關鍵的業務、關鍵的程序、關鍵的人員和崗位等,從而確定關鍵的風險控制點,然后根據關鍵風險控制點制定有效的控制措施,集中精力管控住關鍵風險。
對待各類問題,不能“眉毛胡子一把抓”,要分清“人參”與“草根”的區別,選用“挖人參”與“拔草根”不同的方法。對那些高風險點,要深挖透查。
比如項目管理的關鍵控制點:一是項目決策階段,包括可行性研究報告的準確性,程序的合規性等;二是項目實施階段,包括投資項目的審批手續、招投標、建設工期、工程質量、資金支付、竣工驗收等環節的及時性、合規性。在項目的實際運行過程中,所有的這些因素都可能產生變化,而這些變化將可能使原定的目標受到干擾甚至不能實現。任何的工程項目中都存在著風險,風險會造成工程項目實施的失控現象,如工期延長、成本增加、計劃修改、工程質量不達標、工程建成后產品銷售達不到預期等,這些都會造成經濟效益的降低,甚至項目的失敗。正是由于風險會造成很大的傷害,在現代項目管理中,風險管理已成為必不可少的重要一環,良好的風險管理能獲得巨大的經濟效果,同時它有助于企業競爭力的提高,素質和管理水平的提高。項目風險是時刻存在的,只有緊抓這些風險的關鍵控制點,然后在項目參加者之間進行合理的分配,使每一個參加者都承擔一定的風險責任,他才有對項目管理和控制的積極性和創造性,對產生的不同風險采取相應的風險對策,才能進行良好的風險控制,才能有項目的高效益。
風險管理的精要是將未知風險變成可控風險,關鍵是通過管理將很多相互影響的因素統籌好,根據企業的目標去作風險分析,把一些主要風險明確下來,然后找到相應的控制手段、管理手段,最終將風險控制在想要的區域里面。
三、強化風險管理是企業生存底線的認知
風險管理是企業生存底線,無論怎么強調也不過分,無論是內部管理需要還是外部監督需要,都使得內部風險管理顯得日益重要。應該說,內控的目的不是消除風險,也不是降低風險,而是將其控制在我們可承擔的風險范圍內,為企業經營目標的實現提供合理保證。
風險管理可以分為三個階段,第一階段是問題反映型,來了問題救火式的反應。第二階段是規范操作型,是已有制度和流程,但缺少戰略指導方針下的風險管理。比較完善的是第三階段體系完善型,就是整個公司的風險管理和內部控制是在公司的統一戰略指導之下,通過完善的體系和流程和日常的工作來預防和控制風險。無論風險管理也好,內部控制也好,最主要的還是預防,而不是等著風險來了,再采取措施。
翻一翻許多企業的歷史,會發現這樣一種情況:在某個區間段恰恰資金短缺,這時剛好有一筆資金幫助企業渡過了難關。假如那筆錢不在那個區間出現的話,那么今天那個企業很可能已經不存在了,內部控制和風險管理的目的,就是盡量避免這種情況發生。企業應該在加強企業內部控制方面苦練基本功,不斷提升核心競爭力,以應對嚴峻的經濟挑戰。
建立全員風險管理文化成為企業防范風險體系的重要組成部分,為了有效識別、計量和檢測風險,企業通常設有風險管理部門,但風險管理絕不僅僅是風險管理部門的職責,無論是董事會、高管層還是業務部門,每個人在從事崗位工作時,都必須深刻理解可能潛在的風險因素,并主動預防。
四、構建全新的內部控制組織體系原則
1、全面風險管理原則,即:全員管理原則,實現對全體員工強化風險意識,做到“橫到邊,縱到底”,將風險意識,印在腦海里,落實到行動上;全過程管理原則,對企業的發展、業務操作的全過程實行風險控制;全方位風險管理原則,不但要包括業務風險,還要包括投資風險、信用風險、合同風險等。
2、分層管理原則。即將風險管理的決策、管理、操作職能分別賦予不同層次的機構,形成金字塔型的組織架構。
3、風險管理關口前移原則。將風險的日常監控職能直接設置到業務經營部門內,使風險管理更貼近市場,有利于及時發現風險、控制風險,體現風險管理與業務管理平行作業的特征。
關鍵詞:房地產;企業;內部控制;制度建設;風險管理
中圖分類號:F235.91文獻標識碼:A文章編號:16723198(2009)23003302
1內部控制和風險管理的概念和聯系
1.1內部控制與風險管理的定義
現論界對此定義各不相同,但被普遍接受的定義是國際權威機構美國的COSO委員會對內部控制的定義。該組織認為:企業內部控制是由企業董事會、經理層以及其他員工共同實施的,為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程,即:控制環境、風險評估、控制活動、信息與交流和監督評審。
另外,依據COSO委員會關于風險管理的定義為:企業風險管理是一個過程,是由企業的董事會、管理層以及其他人員共同實施的,應用于戰略制定及企業各個層次的活動,旨在識別可能影響企業的各種潛在事件,并按照企業的風險偏好管理風險,為企業目標的實現提供合理的保證。該框架有三個維度:第一維是企業的目標;第二維是全面風險管理要素;第三維是企業的各個層級。
1.2內部控制與風險管理的聯系
(1)風險管理涵蓋了內部控制。風險管理除包括內部控制外,還增加了戰略目標;而風險管理的要素除了包括內部控制的全部要素之外,還增加了目標設定、事件識別和風險對策等要素。從時間先后和內容上來看,全面風險管理是對內部控制的拓展和延伸。
(2)內部控制是風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理,對于企業所面臨的大部分運營風險,或者說對于在企業的所有業務流程之中的風險,內控系統是必要的、高效的和有效的風險管理方法。滿足內部控制系統的要求也是企業風險管理體系建立應該達到的基本狀態。
2內部控制制度建設和風險管理中存在的問題
2.1房地產企業內部控制制度建設認識不足、不夠健全、不夠合理
由于內部控制不能直接產生經濟價值,間接效益也需要較長的周期才能看出,許多房地產企業把精力主要放在房地產商品的開發和銷售商。有的房地產企業片面地理解為內部控制系統就是成本控制、會計控制或內部牽制制度等。有的認為加強內部控制,束縛了自己的手腳,影響辦事效率,容易制造內部矛盾等。在制度建設上,有些企業只具有某些基本的內部控制操作,還沒有形成一個完整的制度系統,如財務控制的評價制度尚未建立,經濟合同的管理制度不健全。有的企業偏重于事后控制而忽視事前的預防控制,從而影響了內部控制的執行還有些企業在設計內部控制時沒有考慮到自身的規模、業務性質等實際情況,生搬硬套,造成企業的內部控制不切實際,偏離控制重心。
2.2房地產企業普遍缺失風險管理的專門研究和處置
(1)沒有專門的人員或機構進行企業風險管理活動,每個人或部門往往只針對自己工作中的風險獨立地采取一定對策,缺乏系統性、全局性。更有一些企業根本就沒有風險及風險管理概念及意識,沒有積極主動、系統地進行風險管理工作,風險的事前管理缺位、事中和事后管理具有一定的隨意性。
(2)企業的風險管理基本上是一種被動式管理,常見的現象是保險公司業務人員上門請求企業購買保險。由于缺乏風險意識,企業往往不會主動地對企業主要業務進行風險識別、評估、管理和監控,認為只要買了保險便萬事大吉。
(3)企業中的風險管理活動往往是瞬時或間斷性的,意識到了就進行管理,事后則“好了傷疤忘了疼”。
(4)缺乏對風險進行定期的復核和評估,降低了企業適應環境變化和規避風險的能力。
3房地產企業實施內部控制制度建設和風險管理的重要性
從嚴管理企業,實現管理創新,使傳統的管理模式向現代企業管理過渡,加強內部控制制度是建立現代企業制度的內在要求,也是現代企業最重要、最關鍵、最基本的一項管理方式。完整而又嚴密的內部控制制度可以完善房地產企業的經營管理體制,建立-套完整的規章制度,能夠增強控制能力,加強內部控制,提高經營管理水平和企業素質。同時,也可以監督各種經濟活動嚴格按照計劃的要求進行,保證各項計劃的完成和經營目標的實現。可以杜絕經營管理中的各種風險,預防潛在危機的發生,減少和避免各種不必要的風險損失。特別是房地產企業開發中所要面臨的政策風險、市場風險、經營風險、資金鏈風險、人事風險。等等,除此之外,一些普通企業可能遇到的風險,諸如債務風險、經濟合同風險、信譽風險等風險也能夠及時作出預警和防范,從而把不確定的風險變為規律研究利用,以保證企業的穩定運營,并盡量減少風險發生的可能性和一旦發生所可能造成的破壞,進一步強化企業內部控制。
4構建內部控制與風險管理體系的過程
內部控制和風險管理的構建都是一個系統工程,基本涉及了企業管理的方方面面,因此實踐中企業往往根據自身的特點先搭建一個合理的體系框架并在此基礎上選擇某一目標或某一層面作為主線深入下去建立一個局域內部控制或風險管理體系,然后再在企業全局推廣。一般來說,我們將其分為以下四個步驟:
第一步:確定內控體系/風險管理體系建設的目標和依據:確定項目組織架構、項目管理制度和詳細的工作計劃;梳理、明晰企業的中長期戰略發展目標,為從戰略高度建立內控體系/風險管理體系打下基礎;應當確定其需要遵循的相關法律法規;確定體系需要實現的目標等。
第二步:各業務層面分析:綜合運用各種調研手段和現狀描述方法清晰表述出業務現狀,并進行研究分析,歸納總結出內部控制/風險管理存在的問題點。層面的劃分需要根據目標要求和企業特點。
第三步:差距分析:結合當前國際和國內標準進行分析評價,發現差距,提出補充、修正或完善的方向。
第四步:內部控制/風險管理體系建設:以前幾步工作成果為依據,搭建內部控制/風險管理框架體系;以某個目標或某個業務層面為主線,進行內部控制/風險管理體系的建設。
5完善房地產企業內部控制制度建設和風險管理的措施
5.1相關原則
(1)合法性原則。房地產企業必須以國家有關的法律法規為準繩,其相關制度的制定必須限制在法律法規的框架內。堅持合法性原則應該是制度建設和風險管理的前提條件,在合法的基礎上提高其有效性。
(2)全面性原則。房地產企業是一個系統,其內容涉及單位的各個部門、生產經營的各個環節。系統全面原則要求,在符合內部控制要素要求的前提下,業務流程的設計必須能夠覆蓋企業經營管理的各個環節,并將業務流程中的關鍵控制點落實到決策、執行、監督等各環節,不得留有制度上的空白或遺漏。
(3)審慎性原則。內部控制的核心是有效防范各種風險。由于房地產企業經營的特點,為了使各種風險控制在許可的范圍內,建立內部控制制度建設必須以審慎經營、化解風險為出發點。要充分考慮企業經營和業務各環節可能存在的風險,并設立適當的操作程序和控制步驟來避免和減少風險。
(4)前瞻性原則。內部控制制度的制定應當具有前瞻性,并與房地產企業的風險管理的需要相適應,應隨著企業經營戰略、經營方針及內部管理需求等內部環境的改變進行適時的調整與完善。
5.2當前深化房地產企業內部控制制度建設和風險管理的認識和實踐
(1)完善房地產企業的內部控制環境。首先要加大宣傳力度,提高管理者的內部控制意識。確保企業的每個崗位及人員,每項業務或環節都能按規定的制度辦理,真正將內部控制制度的建設作為一項長期任務來抓。其次要充分發揮房地產企業董事會的作用,只有當董事會擁有技術、才能和智慧,并能進行適當的管理時,才能適當履行其監控、引導和監督的責任。另外要加強企業文化建設,正直誠實的品行、高度的敬業精神對企業的內部控制會產生積極的影響。建立公司統一的價值觀和道德標準,并制定員工行為準則,認真考慮企業的社會責任,合法、公平、公正地處理企業與利益相關各方的關系。
(2)構筑嚴密的控防體系。房地產企業內部控制體系的建立,首先是在企業經營全過程中建立以防為主的監控防線。有關人員在從事業務時,必須明確業務處理權限和應承擔的責任,禁止一個人獨立處理業務的全過程。其次是要設立事后監督,即在會計部門常規性的會計核算的基礎上,對其各個崗位、各項業務進行日常性和周期性的核查,建立以“堵”為主的監控防線。最后是成立一個直接歸董事會管理并獨立于被審計部門的審計委員會。審計委員會通過內部常規稽核、離任審計、落實舉報、監督審查企業的會計報表等手段業務,對會計部門實施內部控制。
(3)加強房地產企業的信息溝通。房地產企業都應當建立自己的信息系統,保證信息的搜集、儲存、加工、輸出和使用等各個環節的正常運行,滿足企業的信息需求。優良的信息系統要能保證信息提供的完整性,企業應當運用計算機、網絡等多種先進的手段來構建企業的信息系統。同時,企業的信息系統應能保證信息提供的準確性,減少信息傳遞過程中有意和無意的錯漏。
(4)構建風險管理控制框架和流程。對于集團式的大型房地產公司來說,就需要考慮建立基于企業管理體系下的風險管理系統。在組織上設立專門的風險管理崗位,并設計風險管理流程,流程范圍覆蓋項目相關的各個部門。在這個風險控制框架中,風險的等級要從成本、進度等指標上設置不同的組織等級進行處理,這要和組織不同的權限等級結合。風險存在于項目的整個生命周期,在制度上,要制定風險管理流程,落實到崗位、并做好風險預算。保證風險發生時,能有一系列的既定動作進行。不確定事件的發生會對項目目標產生風險,往往也伴隨有機會產生,同一事件,不同的組織采用了不同的行動,產生的效果就會不同。成熟的開發商能透過風險看到機會,但有些開發商卻被風險擋在了殿堂之外。
參考文獻
[1]唐來全.內部控制與風險管理概念剖析[J].財會通訊(理財版),2006,(08).
[2]宋培華.試論企業內部控制的問題及對策[J].集團經濟研究,2006,(12).
[3]陳軍.淺析房地產企業風險管理[J].錦聯世界,2008,(07).
一、風險管理與內控體系概述及相互關系
1.風險管理的概述
風險管理又稱危機管理,是指在經濟活動中如何在某個客觀存在的風險環境里,把風險降到最低。以期達到,以低風險的代價而取得最大經濟回報的管理過程。風險管理包括:風險評估、風險識別以及對風險的應變策略等等。
2.內控體系的概述
內部控制體系是指公司為合理保證其經濟活動中獲取最大經濟效益、會計信息的真實、可靠性、國家法律、法規的遵循性,而在其內部設置的自我檢查、自行審計的自律系統。內控體系貫穿于公司經濟活動的全過程,對公司的采購、生產、營銷、核算等各個階段、各個層級進行全員、全程、全覆蓋的監控,力求做到監控過程無死角。
3.兩者相互關系的簡要概述
兩者的聯系在于風險管理涵蓋了內部控制,COSO體系中明確地指出風險管理體系的框架結構包括內控體系,內部體系是風險管理的必要環節。而兩者的范疇、活動、對策的不一致又構成了兩者的區別所在。因此說,風險管理與內控體系之間的關系是相互輔助的。
二、集團公司內控體系和風險管理存在的問題
1.管理者及領導層內控體系和風險管理的觀念不強
集團公司管理者或是領導層的重視程度與否,對內控體系的風險管理起著至關重要的作用。有些公司的領導對于內控體系和風險管理缺乏足夠的認識,覺得可有可無。有的是經驗主義盛行,對風險管理缺乏敏銳的認知,缺乏對內控體系和風險管理的認識和學習。在管理中還憑經驗,延用幾十年前的管理模式、理念,從而難以駕馭當今復雜而多變的市場,使得在競爭中失去了先機。因此,管理者或是領導層的觀念問題,在某種意義上決定了內控體系和風險管理的成敗。
2.缺乏相應的人才
目前,我國集團公司內部控制體系的咨詢與評價,主要是由注冊會計師來進行。由于,我國集團公司的內控體系及風險管理現在仍然處于起步階段,公司內部能夠適應該項工作的人才相對缺乏。然而,內控體系和風險管理工作不僅僅需要一些頂尖的人才,還需要全員、全崗位共同來完成。由于目前我國集團公司內部員工的綜合素質與水平參差不齊,也就使得風險管理和內控體系在實施過程中增加了很大的難度。
3.相關的配套制度不足或是制度貫徹不力
當前,我國集團公司內部關于內控體系和風險管理的制度或多或少的都會有些。但往往一些相應的配套制度、策略難免流于形式,更有甚者是“形式重于實質”,形成整體的制度有,但是缺乏具體的操作細則,使得集團公司內部的各個子公司及各個部門執行起來有種“盲人摸象”的感覺,即不知從何做起,使得內控體系和風險管理成為空談。另外,有些集團公司對內控體系和風險管理制度的設計也是非常重要,相關制度倒也是健全,但是執行起來未必按照制度操作,或是公司內審部門執行相應內控及風險管理的職能時偏軟,使得內控體系和風險管理在執行中起不到應有的作用。
4.信息化建設不能適應內控體系和風險管理的要求
目前,我國集團公司內部的信息化建設程度還是具備一定規模的。不論是從預算管理信息化建設到ERP管理系統及OA辦公系統的應用還是走在一般中小企業前列的。然而,筆者卻認為,目前信息建設進程還遠遠達不到內控制體系和風險管理的要求。信息化建設只是停留在“單機版”的狀態,沒有形成“網絡版”。即內控體系和風險管理的信息化管理只是某個區域,或部門,各個部門或是集團子公司之間各自為戰的能力較強,而如果是協同作戰的能力較弱。但內控體系和風險管理卻是要求整個集團、全員參與,以期達到對風險管理的全面防范,因此說,集團公司的信息化建設的進程還有待加強。
三、集團公司內控體系和風險管理存在問題的策略
1.樹立領導層面先進的內控體系和風險管理理念
集團公司的領導層面樹立風險管理的理念,對于集團公司經營風險是至關重要的。公司領導層在日常經營活動中,應該重視對內控體系及風險管理的學習。要與時俱進的關注來自各方面的經營風險,不能犯經驗主義。最終,不僅要做到在領導層面樹立內控體系和風險管理理念,還應該將該理念深入到每個員工的心中,做到全員控制風險。
2.公司應該積極引進及培養內控體系方面人才
再好的制度,也需要人來執行。內控體系是一個較為復雜的內部管理制度,在選人,用人上要選那些,業務水平高、責任心強的員工來擔任。另外,內控體系管理中涉及財務部門的層面相對較高,當今復雜多變的市場經濟情況下,對財務人員的要求也在提高。財務人員要改變以前那種只是制單、記賬的工作,要將財務工作真正地與企業的內控體系及風險管理相結合。因此對于財務部門員工的聘用也是至關重要的,財務人員要具有較高的綜合素質,首先,要聘用一些人品正、有敬業精神的人來擔任。其次,財務人員應是經過系統的財經知識培訓,并且具備一定的從業資格和技術職稱,最好是具有注冊會計師的執業資格。最后,財務人員應該嚴格遵守公司的內控體系制度,要敢于同增加公司經營風險,違背公司內控體系制度的問題說不。
3.建立健全內控體系的相關機制且加大制度的執行力度
加強集團公司內控體系中的風險管理,首要問題是要建立健全相應的制度。所謂“無規矩不成方圓,沒五音難正六律”,可以看出,有法可依是如此的重要。集團公司應該結合公司自身情況的同時,借鑒國際、國內先進的內控體系管理制度,制訂切實可行的內控體系制度來防范各類風險。同時,也要注意到只建立相應的制度也還是遠遠不夠的,還應該加強制度的執行力。要在日常經營管理中,對內控體系制度執行的監控,引入獎懲措施,從而實現“獎勤罰懶”。通過加大內控體系制度的執行力,來約束集團公司內部各部門直至每個員工,從而起到對風險的控制及規避作用。
4.加強內控體系中的信息化建設
要構建以風險管理為核心的內部控制,首先就要明白風險的含義。對于企業而言,風險就是指在某一特定環境下的某一特定時間段會對企業的利益造成不利影響的可能性。這種可能性的來源可以是企業的外部,包括社會環境、市場環境、國際環境、法律制度、競爭對手、供應商和客戶,也可能來源于企業內部的技術、人員、財務和管理。無論這種可能性來源于企業的內部還是外部,都可能對企業的持續經營帶來負面的影響。
風險導向的內部控制就是以風險識別和評估為基礎,繼而建立和實施內部控制的過程,以降低企業的經營風險實現企業的戰略目標。風險導向的內部控制要求企業的所有者和經營者將企業的主要精力放在應該重點關注的風險環節上,而不是關注企業管理的所有細節。
2、為什么要建立以風險管理為核心的內部控制體系
在討論為什么要建立風險管理為核心內部控制體系前,我們先來看兩個小案例。
案例一:巴林銀行事件
英國巴林銀行曾是全球最早的商業銀行之一。但是1992年到1994年期間,其新加坡分行的一位期貨交易員在對沖交易中形成了巨額的虧損。但是由于這位交易員同時是巴林銀行新加坡分行的結算員,這使他有機會偽造相關財務文件隱瞞了交易損失。同時巴林銀行的高層不重視財務報告,連續幾年時間都沒有發現資產負債表中的損失記錄,最終導致這家擁有超過200年歷史的銀行于1995年被收購。
案例二:中航油事件
2003年中航油新加坡公司總裁擅自從事母公司明令禁止的石油衍生品期貨交易,在發生損失后,又欺瞞母公司,最終導致5.5億美元的巨額損失,公司也不得不申請破產。雖然中航油新加坡公司有著完善的公司治理結構和風險防范體系,但是在高管越權和舞弊發生的情況下,公司也只能是轟然倒塌。
通過這兩個小案例我們可以發現為什么要在企業中建立風險管理為核心內部控制體系:
第一、風險意識對于企業實現經營目標有著至關重要的作用。對于企業來說,其經營活動始終處于一個面臨各種威脅的外部環境中,這個外部環境包括:市場、法律、技術、競爭對手、供應商、客戶等,任何一個外部環境因素的變化都有可能對企業的經營帶來風險,影響企業經營目標的實現。因此企業不僅要對風險進行科學的評估和控制,還應該提高公司上下特別是公司高層管理人員的風險意識。使公司上下員工都能積極主動地為公司識別面臨的主要風險,認真地思考自身負責領域的風險和可能產生的后果,并上傳下達發現的風險,引起相關人員的注意和重視。在企業面臨的風險面前,任何疏忽大意都有可能導致企業遭受巨大的損失。就如中航油事件,如果其新加坡公司的高管人員有足夠的風險意識,那么也就不會擅自越權進行母公司禁止的交易。
第二、內部控制必須以風險為導向。在巴林銀行的案例中,如果其高層能提前從財務報表中發現風險信號,那么也就有可能為公司挽回損失。內部控制體系作為企業應對風險的重要工具,在企業架構中的作用日益明顯。但是企業在經營過程中面對的各種事項復雜多變,針對各種事項采取的應對措施也各不相同,如果是一些高風險的事項,卻采用一般性的控制措施,那么也就無法起到加強控制降低風險的目的。因此企業內部控制體系在建立和實施的過程中必須以風險為導向,通過識別風險、評估風險的過程找到合理的風險應對措施,從而達到有效的內部控制。
第三、風險管理為核心的內部控制體系對于企業是不可或缺的。前面的兩個小案例究其根源都與其內部控制的缺失有著根本性的聯系。如巴林銀行,其權責劃分機制有著重大問題,導致交易員兼任結算員,使其有機會進行舞弊。而中航油高層的越權行為使其越過了公司的內部控制體系,導致高風險的業務得不到及時的控制,最終造成了巨大的損失。對于企業來說,內部控制的缺失有兩個層面。一個層面是企業在經營管理過程中缺少相應的規章制度,造成經營活動的隨意性和松散的控制環境,整個企業處于“無法可依”的局面。另一個層面則是企業擁有完善的內部控制制度,但是卻執行不到位,導致內控制度形同虛設,企業上下形成了對規章制度的漠視,出現“有法不依”的情況。無論是哪種層面的內部控制缺失,其對于企業的危害都遠遠超過了單一環節上的內部控制失效。因此為了避免內部控制的缺失,就必須在企業內部建立健全風險導向的內部控制體系,在內控的實施過程中也要加強執行,保證內部制度的有效實施,使內部控制能貫穿于企業的所有業務活動中。
3、電力企業的風險識別
對于很多企業建立風險管理為核心的內控控制,具有很大的共同點。但是對于我們電力企業而言,特殊性就凸顯出來。首先我們電力企業整個生產經營涵蓋建設、生產和運營等多個環節,涉及的范圍廣,各種風險之間相互關聯、錯綜復雜。分別是:
第一、自然環境風險
主要指氣候條件、自然災害以及其他自然環境變化等因素對電力企業的影響。如氣候冷暖變化可以直接影響電網負荷和用電量;地震、雪災、洪水等自然災害可能造成電網輸電線路中斷。
第二、經濟財務風險
從外部來說,經濟發展形勢、國民經濟增長速度、金融市場利率波動以及國家對電力企業的投資貸款變動等等諸多因素都可能影響電力需求發生變化,從而影響電力企業的生產。從內部來說,電力企業的資金結構是否合理、企業的盈利能力、資金流動情況和利潤分配方式等等都可能給電力企業帶來經濟財務風險。
第三、政策法規風險
國家對電力企業建設、生產、發展、運營、環保等方面的宏觀法律和政策的制定都會直接影響電力企業的發展。
第四、科學技術風險
由于新能源、新技術的開發應用,如核技術、風力、水力可再生能源技術研發、施工及設備的技術解決,技術指標和技術規程研究制定等等諸多問題都會形成技術風險。
第五、用戶需求風險
用戶的用電需求影響電力企業的成本投入,決定電源和電網建設項目的投資建設。
第六、電價風險
電力是一種特殊的商品,價格直接關系到電網企業的經濟效益。電力行業開放 競爭性的發電市場,電網企業面對的發電企業的購電價格是由市場決定的,而面對用戶的銷售電價是由政府決定的,這樣會給電網企業帶來電力價格上的風險。用戶的用電性質和需求也會給電網公司的供電成本帶來風險,執行多種電價類型等等都會給電網企業的運營帶來風險。
4、電力企業內部控制與風險管理的現狀
第一、企業內部內控意識不強,全員參與風險管理積極性太低
很多企業的管理人員在對內部控制的認識上存在很大的偏差,總是簡單的認為企業內部控制就只是簡單的企業內部的各種規章制度,把內部控制的作用理解成在日常工作中對員工的管理,沒有認識到風險管理的重要性。另外,大部分企業沒有形成全員共同參與風險管理的觀念,錯誤的把風險管理當作是管理層所需要做的事情,而和基層職工沒有關系。在這樣的錯誤觀念引導下,企業的一線員工沒有機會參與到企業的風險管理當中,導致的直接后果就是在風險管理的過程中不能及時發現一些薄弱環節,更難以做到防患于未然。
第二、企業的風險管理和內部控制聯系太少
在實際情況中,企業由于風險問題而導致嚴重損失的現象時有發生,造成這一現象的原因不是企業沒有相應的內部控制體系以及風險控制制度,而是企業根本就沒有將這些制度執行好。另外,企業從業人員的職業素質參差不齊,某些管理者無視企業制度等等,這些問題都需要通過不斷改進公司治理結構以及不斷強化外部監管來予以解決。
第三、風險控制人才匱乏
電力企業風險控制工作,人才是堅強防線。一切工作安排,最終都要由個人去執行落實。電力企業風險控制有很強的專業性和技術性,負責人要有豐富的風險控制知識及經驗技能,對企業管理具備一套整體認識,又不缺乏對各個細小環節的了解。專業人才的養成周期較長,所以培養人才也是電力企業以后管理的重點。
第四、突發事件應急管理體系不健全
風險是客觀存在的,難以預知,健全的應急機制很關鍵。然而部分企業風險防范措施規范缺乏,預防策劃也得不到認真落實。再者,已有的應急管理體系或許已經不適應現有改革的發展方向,亟待待改進。如預警狀態標準不明確,應急狀態下各單位職責分工混亂,應急預案的可操作性也有待加強。
5、電力企業要建立以風險管理為核心的內部控制措施
第一、建立有效的經營風險控制機制
經營風險控制機制是指在經營風險管理中所形成的互相聯系、互相制約的功能體系。構建完善的經營控制機制是防范經營風險的關鍵所在。首先,建立起經營風險的全過程控制機制。其次,實行全員風險管理,健全風險控制的動力機制。實行全員風險管理,將風險,將風險機制引入企業內部,使管理者、職工、企業共同承擔風險責任,做到權、責、利三位一體。最后建立和完善經營風險預警機制。規避資本營運和資金管理風險最為有效的是建立經營預警系統,加強經營危機管理。
第二、建立完善的內部控制體系
電力企業應該根據自身的實際情況,建立完善的內部控制體系。首先,建立有效的監督防范機制。電力企業應本著“未雨綢繆,防范于未然”的態度,逐步建立涵蓋企業投資、運營全過程的監督防范機制,重點監控企業財務管理容易出現問題的環節;其次,嚴格進行事中監督。嚴格按照電力企業內部控制的相關規定進行常規性會計核算,在此基礎上采用定期核查和隨機抽查相結合的方式,對電力企業會計部門的各項業務和各部門進行監督,并將監督結果反饋給財務部門留檔,以便以后核查;最后,完善事后檢查機制。電力企業應該成立管理委員會,由企業管理者牽頭,挑選一批專業素質過硬、責任心強、職業道德高尚、客觀公正的人員定期對內部控制制度的執行情況進行考核,保證內部控制工作質量。
第三、內部控制與風險管理統籌兼顧
風險管理和內部控制作為企業管理的兩大工具。內部控制可以將企業發展戰略、管理理念、控制要求融入公司治理、企業文化、崗位授權、制度規范和業務流程,通過風險評估、風險預警、信息溝通、流程監控、有效性評價、缺陷改進等控制活動,推動企業管理從單一制度管理向體系化管理轉變、從傳統管理向風險管理轉變、從事后監督向過程監督轉變、從職能條塊化管理向全流程管理轉變,實現企業管理水平全面提升。
第四、培養電力企業風險管控人才
企業風險管控的工作繁瑣困難,但對企業的長遠發展意義重大。扎實的專業基礎,豐富的工作經驗,良好的心理素質以及一定的奉獻精神是企業風險管控人才的必要條件。電力企業應結合時代特點和企業需要培養或招聘專向型人才,在企業內普及風險防控教育,增強全體員工的風險防控意識,充分發揮風險防控人才在企業風險控制實踐中的作用。此外,企業還要革新薪資激勵機制,引進優秀人才,壯大團隊力量;健全選拔制度,提拔公司內部有責任心、有上進心、有實力、有業績的員工,培養企業自己的骨干力量。內外一起抓,打造電力企業風險控制的中堅力量。
第六、完善電網突發事件應急管理體系
首先,加強系統規劃建設。電網建設與電源建設密不可分,協調發展。從電源規劃、建設、運行和管理等各個環節著手,加強本地電網與大電網的聯系,優化電源布局,保證供電安全。其次,建設強大的監控、調度系統。充分利用各種信息渠道,及時掌握各種災害數據,做好災前準備,實現對災害的預警和恢復控制。再次,應急預案必須具備可操作性、差異性和標準化三個要求,提高突發事件處理、應變的能力。
企業對外經營運作過程中,面臨各種經營風險,包括因競爭對手的惡意競爭行為導致的風險、因合作伙伴履約資信問題導致的風險以及因經營環境變化導致的風險,如國家法律、政策的變化。
企業內部管理追其根源,均在于人力資源的掌控,因此我們通常將企業的內部管理風險概括為“人力資源風險管理”。
人力資源風險管理中最常見的幾類問題,包括:黑單、泄露公司機密及商業秘密、虛報或假報帳目等。出現以上問題,究其根本,有三個層面的原因:
第一,目前我國社會信用體系不完善;
第二,公司內部管理制度存在缺陷,制度制訂不足,特別是有些企業根本沒有建立人力資源道德風險的防范和監督制度,公司管理層對公司制度執行不力,甚至參與有損公司利益的行為;
第三,員工職業素養有待提高,缺少必要的職業規范和素質或者道德水準、特別是盡職性不高。
因此,企業必須加強內部風險控制,建立并完善內部人力資源風險防范體系和危機處理機制,控制內部人力資源風險,從而保障企業商業安全。
企業增強風險控制能力,首先,必須建立事前防范保障機制。設立對應聘人員和重要崗位待聘人員的資質審核程序,全面、深入核實其背景資料,同時也可通過心理測試,獲取一些其它途徑無法得到的真實信息,比如應聘人員是否對企業隱瞞的、檔案材料中無記載的重要背景信息,如是否有犯罪前科,是否有吸毒、同性戀和其它不良嗜好,是否加入非法組織,是否是國外間諜或競爭企業的商業間諜。
其次,建立事中預防監控機制。事中預防監控是事前防范的延伸。公司內部,要對在職人員,特別是重要崗位員工進行公開的定期、不定期考核或心理測試;加強對員工個人職業素養的培訓與提高,完善新員工的培訓機制和對在職員工的考核機制。公司外部,可聘請專業的調查公司對重點崗位員工的盡職狀況進行定期保密調查。
最后,建立事后危機處理機制。公司內部要設立專門的危機管理部門,并不斷健全和完善部門制度;公司外部,可聘請專業調查公司對在職人員、離職人員的職業去向進行追蹤調查。
我們對不同階段對風險控制的程度有一個大概的統計,基本上是:事前控制:100%,事中控制:85%,事后控制:15%。可見事前對風險和危機進行控制是最有效的。因此,企業加強風險控制,建立人力資源風險管理體系,其重點也在于建立事前的風險防范和事中風險監控機制。 總結以上風險控制方法,現階段企業人力資源風險控制與管理應著眼于以下方面:
1、企業必須培養事前風險防范的意識,并建立相應的監督體制,以確保這種意識落實到現實的管理過程中;
關鍵詞:內部控制;風險管理;薩班斯法案;COSO框架
一、內部控制的內涵、基本原則
1.內部控制的內涵、側重點
(1)內部控制的內涵。內部控制是指企業的內部管理控制系統,包括為保證企業正常經營所采取的一系列必要的措施。內部控制貫穿于企業經營活動的各個方面,只要存在企業經濟活動和經營管理,就需要有相應的內部控制。
(2)內部控制的側重點。要加強企業內部控制,提高內部控制的水平,需從以下側重點抓起。
①內部控制具有一定的目的性,為達到某種或某些目標而實施。
②內部控制是為達到某個或某些目標而進行的過程,且是一種動態的過程,是使企業的經營依循既定的目標前進的過程。它本身是一種手段而非一種目的。
③內部控制與企業經營活動相互交織,為企業基本的經營活動而存在。
④內部控制深受企業內部和外部環境的影響,環境影響企業控制目標的制定與實施。
⑤企業中的每一名員工既是控制的主體又是控制的客體,既對其所負責的作業實施控制,又受到他人的控制和監督。
⑥所有的內部控制都是針對“人”而設立和實施的,企業內部會形成一種控制精神和控制觀念,直接影響到企業的控制效率和效果。
2.內部控制的基本原則
了解及堅持內部控制的基本原則,有利于企業組織內部加強內部控制、降低企業非系統風險,從而促進企業安全運行。內部控制的基本原則包括:
(1)內部控制應涵蓋企業內部的各項經濟業務、各個部門和各個崗位。
(2)內部控制應當符合國家有關法律法規和本企業的實際情況,任何部門和個人都不得擁有超越內部控制的權力。
(3)內部控制應當保證企業內部機構、崗位及其職責權限的合理設置和分工,堅持不相容職務相互分離,確保不同機構和崗位之間權責分明、相互制約、相互監督。
(4)內部控制應當正確處理成本與效益的關系,保證以合理的控制成本達到最佳的控制效果。
二、依托COSO理論構建內部控制整體框架
1.COSO理論框架內容
2003年7月,美國COSO委員根據薩班斯法案的相關要求,頒布了“企業風險管理整合框架”的討論稿(Draft), 2004年9月正式頒布了《企業風險管理整合框架》(COSO-ERM),標志COSO委員會最新的內部控制研究成果面世。
COSO企業風險管理的定義 :“企業風險管理是一個過程,受企業董事會、管理層和其他員工的影響,包括內部控制及其在戰略和整個公司的應用,旨在為實現經營的效率和效果、財務報告的可靠性以及法規的遵循提供合理保證。”COSO-ERM框架是一個指導性的理論框架,為公司的董事會提供了有關企業所面臨的重要風險,以及如何進行風險管理方面的重要信息。
2.構建內部控制整體框架
(1)企業風險管理的目標體系。新COSO報告將企業風險管理的目標歸為戰略目標、經營目標、報告目標、合規目標四類。戰略目標,與企業的使命相一致,企業所有的經營管理活動必須長期有效的支持該使命;經營目標,與企業經營的效果與效率相關,包括業績指標與盈利指標,旨在使企業能夠有效及高效地使用資源;報告目標,該目標關注企業報告的可靠性,分為對內報告和對外報告,涉及財務和非財務信息;合規目標,是最基礎的目標,指企業經營是否遵循相關的法律法規。
(2)企業風險管理的要素構成。在內部控制整合框架五個要素的基礎上, COSO企業風險管理的構成要素增加到八個:①內部環境;②目標設定:③事項識別;④風險評估;⑤風險應對;⑥控制活動;⑦信息與溝通;⑧監控。八個要素相互關聯,貫穿于企業風險管理的過程中。
(3)企業風險管理目標與要素的聯系。目標是指一個主體力圖實現什么,企業風險管理的構成要素則意味著需要什么來實現它們,二者之間有著直接的關系。此外,新COSO報告還強調在整個企業范圍內實行風險管理。這種關系可以通過一個三維矩陣以立方體的形式表示出來。
3.COSO框架理論對中國的啟示
(1)成立風險管理標準委員會,形成多元民主的制定機制。
(2)建立以風險為導向的“中國企業內部控制框架”,向構建“中國企業風險管理框架”自然過渡。
(3)各界根據風險管理框架,制定或修訂各自的風險管理規范。如果“中國企業風險管理框架”能夠及時推出,各部門、系統據其修訂或制定相應的風險管理文件是解決問題的最理想方案。
三、薩班斯法案對我國內部控制的借鑒
1.我國內部控制現狀
(1)企業內部控制環境急需建設。我國企業內部控制普遍存在一下問題:內部控制意識淡薄;人員素質較低;組織機構設置不合理;企業制度不健全;沒有形成法制制約的大環境,還沒有真正形成有法可依、執法必嚴、違法必究的大環境。
(2)控制不力。在我國企業中,財務與會計合署辦公、會計人員素質較低、責權不對等、風險控制意識較弱、監督不強、信息交流不暢通等問題普遍存在,今后要特別注意開發與引進先進的企業財務與管理軟件,逐步建立高質量的企業信息溝通系統。國內也有不少由于內部控制缺失導致經營風險的案例,比如亞細亞、中航油、中儲棉、國儲銅等事件,折射出了我國企業內部控制嚴重缺失,風險管理水平低下,監管缺位等管理上的弊端,給企業和國家造成了重大損失。
2.管理者責任
法案突出了內部管理者的法律責任,一旦出了問題,管理者不但要在經濟上受到處罰,而且要追究刑事責任。建議我國也應界定管理當局的責任。管理層必須承擔公司內部控制有效性的責任,并運用恰當的控制標準(如COSO標準)來評價公司內部控制的有效性,對形成的評估結果有足夠的證據支持,同時簽署一份關于公司內部控制有效性的書面申明。
3.建立管理者定期評價內部控制機制
(1)健全法律法規,對內部控制有效性進行強制性規定。近年來,財政部、證監會等國家監管部門陸續在2001年和2008年了我國《內部會計控制規范》、《企業內部控制基本規范》等相關法規,對于加強我國企業內部控制和風險管理起到了規范和指導作用。今后,還應在遵循以上法規和加強企業內部控制過程中,不斷總結經驗、分析教訓產生的原因,學習其他國家相關法律法規的先進之處,逐步改進和健全我國加強內部控制和防范企業經營風險的法規體系,促進企業健康發展。
(2)制定科學規范的評價標準。由于缺乏一套完整的內部控制體系,造成內部控制有效性評價流于形式。因此,投入一定的人力、物力、財力,盡早建立一套完整的、公認的內部控制標準,使內部控制評價有章可循是必要的。
(3)統一內部控制規范的內容。目前我國理論與實務界沒有對內部控制的內容形成一致的意見。我國內部控制的內容范圍與COSO報告相比,還有相當的距離。有關內部控制規范的內容主要集中在會計領域,內部控制貫穿于整個生產經營全過程,企業的環境、文化理念、經營哲學等控制環境與風險因素都應納入企業內部控制的范圍來予以考慮。
四、企業風險管理理論基礎及與內部控制的關系
1.企業風險管理理論基礎
(1)戰略管理理論。戰略管理包含四個關鍵流程:戰略分析;戰略選擇;現代企業風險管理框架研究戰略實施;戰略評價和調整。企業在實行戰略管理的過程中,風險始終伴隨其中,其成功實施需要風險管理的密切配合。兩者是有機結合,相互交融的。
(2)系統論。系統論的觀點和方法為我們建立風險管理系統結構提供了理論依據。風險管理由內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控八個要素構成并相互影響的動態的過程,在企業的生產經營管理中發揮著重要作用,是一個系統,與其他系統一樣具有整體性、聯系性、層次性、目的性、環境適應性、動態性的特征。
2.企業風險管理與內部控制的關系
內部控制是風險管理的基礎和本質要求,風險管理是內部控制的自然延伸與升華,二者現階段是相互交叉融合的,只是在不同行業、不同時期、企業的不同層次,企業對內部控制和風險管理的強調各有側重。
(1)行業本身特性。從事金融業的企業一般都非常強調風險管理的重要性,對風險管理的需求也就更迫切,因而以風險管理主導內部控制可能更方便。對于其它一般性制造企業等來說,為了符合信息披露中內部控制報告的要求,企業以內部控制系統為主導、兼顧風險管理可能更適合。
(2)企業所處的生命周期。在初創期,企業高管層一般更加重視內部控制的強化。在成長期,企業面臨的經營風險與市場風險也越來越大,以風險管理主導內部控制的管理模式可能更利于企業的發展。企業進入了成熟期,此時企業一般會努力健全組織體系與制度體系,在內部控制上會加大力度。在衰退期,企業的規模大但包袱沉重,內部控制成了企業高管層無法逃避的現實問題。
(3)企業內部不同層次。從企業的戰略風險依次到經營風險、財務風險,最后到財務報告,風險管理與內部控制的相對重要性各有不同。在戰略風險方面,風險管理發揮主導作用,內部控制起到配合作用。到財務報告層次,內部控制發揮主導作用,風險管理起到配合作用,但隨著市場條件的日益成熟,技術的不斷進步,法律及監管實踐的發展,內部控制必然走向風險管理。
五、美國紐約銀行加強內部控制和風險管理結合的成功案例
美國紐約銀行的風險管理與監控活動是由董事會及其下設的審計與檢查委員會及風險委員會的授權開始。這兩個委員會定期審查銀行風險暴露情況、風險政策及風險管理活動,而風險政策主管除了負責日常監督及政策授權外,并與審計主管、合規主管共同維系風險管理結構的有效運作,已完成以下的階段性目標:
1.確保銀行風險經過適當辨識、監督、報告及評價。
2.闡明銀行承受的風險種類與風險單位數,并傳達至具體負責單位。
3.維持風險管理組織的獨立性。
4.促進風險管理文化的健全和對風險調整績效的重視。
美國紐約銀行內控系統的設計用來鞏固銀行財務、業務環境、市場操作、法規遵循等的健全,并有內部稽核監督及測試其余財務報告系統整體的有效性;而銀行風險的處理程序可確保政策能一致地被執行。銀行獨立的操作風險管理架構,建立在強健的風險管理文化之上,并分為以下三個層次:
(1)風險委員會:其任務包括對銀行操作風險策略的監督及核準,該委員會并定期開會討論關鍵風險一體機操作風險提案,同時也對風險管理系統的有效性提出審核。
(2)操作風險管理部門:負責發展風險政策及評估、監督、衡量風險的工具。此外,促進風險管理效率及創造改善風險管理控制功能的動機也是操作風險管理部門的重要任務。
(3)各級業務部門管理人員:負責維持業務內有效內控系統的正常運作,并維持銀行風險布局與銀行所訂立的政策一致。
文獻綜述:
[1]財政部、證監會、審計署、銀監會、保監會.《企業內部控制基本規范》,2008-6-28
[2]財政部.《內部會計控制規范――基本規范(試行)》,2001-6-22.
[3]財政部.《內部會計控制規范――貨幣資金(試行)》,2001-6-22.
[4]COSO.方紅星 王宏譯:企業風險管理整合框架「M.大連:東北財經大學出版社,2005.
