前言:中文期刊網精心挑選了企業內部風險管理范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
企業內部風險管理范文1
企業對外經營運作過程中,面臨各種經營風險,包括因競爭對手的惡意競爭行為導致的風險、因合作伙伴履約資信問題導致的風險以及因經營環境變化導致的風險,如國家法律、政策的變化。
企業內部管理追其根源,均在于人力資源的掌控,因此我們通常將企業的內部管理風險概括為“人力資源風險管理”。
人力資源風險管理中最常見的幾類問題,包括:黑單、泄露公司機密及商業秘密、虛報或假報帳目等。出現以上問題,究其根本,有三個層面的原因:
第一,目前我國社會信用體系不完善;
第二,公司內部管理制度存在缺陷,制度制訂不足,特別是有些企業根本沒有建立人力資源道德風險的防范和監督制度,公司管理層對公司制度執行不力,甚至參與有損公司利益的行為;
第三,員工職業素養有待提高,缺少必要的職業規范和素質或者道德水準、特別是盡職性不高。
因此,企業必須加強內部風險控制,建立并完善內部人力資源風險防范體系和危機處理機制,控制內部人力資源風險,從而保障企業商業安全。
企業增強風險控制能力,首先,必須建立事前防范保障機制。設立對應聘人員和重要崗位待聘人員的資質審核程序,全面、深入核實其背景資料,同時也可通過心理測試,獲取一些其它途徑無法得到的真實信息,比如應聘人員是否對企業隱瞞的、檔案材料中無記載的重要背景信息,如是否有犯罪前科,是否有吸毒、同性戀和其它不良嗜好,是否加入非法組織,是否是國外間諜或競爭企業的商業間諜。
其次,建立事中預防監控機制。事中預防監控是事前防范的延伸。公司內部,要對在職人員,特別是重要崗位員工進行公開的定期、不定期考核或心理測試;加強對員工個人職業素養的培訓與提高,完善新員工的培訓機制和對在職員工的考核機制。公司外部,可聘請專業的調查公司對重點崗位員工的盡職狀況進行定期保密調查。
最后,建立事后危機處理機制。公司內部要設立專門的危機管理部門,并不斷健全和完善部門制度;公司外部,可聘請專業調查公司對在職人員、離職人員的職業去向進行追蹤調查。
我們對不同階段對風險控制的程度有一個大概的統計,基本上是:事前控制:100%,事中控制:85%,事后控制:15%。可見事前對風險和危機進行控制是最有效的。因此,企業加強風險控制,建立人力資源風險管理體系,其重點也在于建立事前的風險防范和事中風險監控機制。 總結以上風險控制方法,現階段企業人力資源風險控制與管理應著眼于以下方面:
1、企業必須培養事前風險防范的意識,并建立相應的監督體制,以確保這種意識落實到現實的管理過程中;
企業內部風險管理范文2
[關鍵詞] 內部控制 風險管理 內部審計
美國次貸危機引發的全球性金融危機,對我國的經濟發展產生了強烈沖擊,經濟增長速度明顯放緩,世界范圍內的經濟危機對我國實體經濟的負面影響持續蔓延,市場環境變得更加動蕩不安,經營風險加大,由此也引發了企業對如何加強風險管理的思考。
一、風險管理
風險表現為發生損失的可能性。風險管理就是企業識別、評估和應對各種經營風險的過程。企業的經營風險是不可避免的,企業應當結合不同發展階段和業務拓展情況,積極進行風險管理,盡可能地降低風險,有效地減少可以避免的損失。
內部控制,是指為了合理保證企業財務報告的可靠性、經營的效率和效果、資產的安全以及對法律法規的遵守,由企業治理層、管理層和全體員工設計和執行的政策和程序。作為每個企業管理中非常重要的一環,良好的內部控制,是企業重要的風險管理手段之一,加強企業內部控制對提高企業經營管理水平、風險行為防范能力,確保企業戰略目標得以實現具有重要意義。2009年公布的《中國上市公司2009年內部控制白皮書》統計結果表明:內部控制越好的公司投入資本回報率越高,內部控制的加強有助于提高投入資本回報率。
現階段,由于我國的市場經濟體制尚不完善,市場環境的不規范性較為突出,再加上許多企業正處于轉型期,各種不確定因素加劇。因此,我國企業迫切需要完善其內部控制,有效地防范和應對企業面臨的各種風險。
二、我國企業內部控制與風險管理的現狀
1.管理層的內部控制觀念薄弱,員工不參與風險管理
有些管理人員對內部控制的認識和理解上存在偏差,認為內部控制只是企業內部的各種規章制度的簡單匯總。他們錯誤地認為內部控制只能起到日常管理員工的作用,對其在風險管理中的重要性認識不足。有的企業內部控制的可操作性不強,風險管理水平較低。他們通常只重視風險的應對,而輕視風險的預防,導致企業出現重大以外事件的可能性增大。殊不知有效地預防風險,比風險發生后再想辦法去補救以及事后糾正更有利于降低企業的損失,而且事先防范風險比事后應對風險更容易掌握主動權。
有的企業沒有樹立全員參與風險管理的觀念,認為風險管理只是企業治理層和管理層的事情,與一般的基層員工無關。沒有讓企業的一線員工參與風險管理,其后果通常是難以發現風險管理過程中的薄弱環節,防患于未然。讓企業的每一位員工在工作時,都考慮風險因素,才能從源頭上防范風險。
2.內部控制設計存在缺陷,風險管理機制不健全
傳統的內部控制設計僅僅局限于對財務信息的真實性和可靠性的監督管理,對于財務風險以外的其他風險則往往不加以考慮。而合理的內部控制設計應全方位地考慮企業所面臨的各種風險,如市場風險、金融風險、法律風險和投資風險等也應當包含在內。企業應該抓住經營管理過程中的所有關鍵控制點,根據實際情況設計相應的內部控制,而且要防止企業管理層可能出于欺詐目的或屈從于外部壓力的因素(如時間或成本等)而凌駕與內部控制之上,內部控制可能會被規避,形同虛設。
3.缺乏有效的風險監管措施
保障制度的有效執行,需要有效的監督加以配合。有效地執行設計合理的內部控制,才能真正達到防范風險的目的。所以,對內部控制的監督是重要的風險管理措施之一。目前,我國許多企業忽視對內部控制的監督制度,尤其缺乏可以量化的風險管理制度。例如,內部審計是一種風險監督的重要措施。但由于內部審計工作不帶有強制性,也不能對外出具具有法律效力的審計報告;所以,我國的內部審計工作長期以來一直得不到重視,很多企業不是沒有建立內部審計制度,就是內部審計沒有真正發揮其監督管理的作用。比如,從崗位設置看,目前企業大部分的內部審計部門,基本上與其他職能部門平行,大多數中小企業甚至還沒有獨立的內部審計部門。從已有崗位設置的企業來看,這種機制也往往會使內部審計機構及人員受集團利益因素制約、中國傳統的人際關系的影響,無法獨立、客觀、真實、公正、深入地開展工作,做出的審計處理也往往因管理體制的制約,致使許多內部審計過程流于形式,工作也缺乏自身應有的地位和威信,使內部控制這樣的有效機制,變成“內部人控制”的機制。
三、完善內部控制,加強風險管理
1.加強員工業務素質培訓,提高員工業務能力
隨著社會主義市場經濟的發展和現代企業制度的建立和完善,企業面臨著嚴峻的挑戰。企業包括會計人員在內的現有員工的知識結構、業務能力和法制觀念已不能滿足需要。對于企業來講,員工應具備良好職業道德、專業能力和職業技能,但是企業往往現有的員工并不能完全具備這些能力,提高員工風險意識和職業技能是企業應該補上的重要一課,企業要針對人員的現狀,應采取多種措施加強員工教育培訓,并注意內部控制管理模式,體現相關培訓體系性和實效性。只有通過提升全體員工的職業意識和基本職業技能,提高全體員工理性對待企業和工作的能力,才能適應國家發展經濟的需要,提高整個企業的團隊職業形象和職業技能,進而提高企業的經濟效益。
2.重視以風險管理為導向的企業文化建設
有些企業存在員工因為缺乏合理對待公司和工作的心態而帶來的浮躁和動蕩。建設以風險管理為導向的企業文化,其目標就是培育員工積極向上的價值觀和社會責任感,倡導誠實守信、愛崗敬業、開拓創新的團隊合作精神,樹立現代管理理念,重視內部控制,強化風險意識。在加強員工業務素質培訓的同時,還要開展誠信教育,增強其自我約束能力。努力建立以誠信為基礎的企業文化,一方面可以保證企業的經營合法合規,另一方面可以防范由于員工的失德行為給企業帶來不必要的損失。而且口碑好的企業文化還有助于提高企業的知名度,樹立良好的社會形象,為企業帶來創造無形的收益。
3.規范內部控制,加強風險管理
規范企業內部控制的是一項非常重要的工作,合理的內部控制制度可以體現的經營管理的各個環節。按照相互制約和牽制的原理,建立科學合理的內部控制,即合理設置管理機構和工作崗位,明確員工的權利和責任,才能保證企業日常經營活動的正常進行,同時讓企業的風險管理制度化、程序化。但是管理人員在設計監督管理時,必須從人性化的角度考慮,防止管理制度設計過分苛刻,導致妨礙正常生產經營的情況發生。同時,針對某些存在特殊風險的事項或交易(如重大的投資支出等),還要建立相應的特別內部控制,以防其給企業造成重大損失。
企業應當制定有利于其可持續發展的人力資源政策,考核制度實行獎懲結合,讓員工的薪酬與企業風險管理的績效相結合,激勵全體員工積極參與風險管理,設置全面風險內部控制組織體系,形成至上而下的全員風險管理和全過程的風險管理制度。
4.加強內部監管,糾正偏差
企業要以風險管理為中心,將風險管理流程貫穿于日常經營和管理各個階段,建立一個以風險管理為核心的內部控制,對風險管理進行崗位責任制的識別、監督、分析和評價。加強對企業風險的監管,特別是針對企業發展戰略、組織結構、經營活動、業務流程、關鍵工作崗位等發生重大調整或變化的情況下,對內部控制的某些方面進行的專項監督是非常必要的。努力構建與內部控制相結合的可量化的風險預警機制,事先制定風險管理解預案,對這樣才可以全方位、全過程、進行風險管理,及時地發現、識別和評估風險,積極地進行風險應對,掌握經營的主動權。企業還應結合內部監督發現的實際情況,定期對內部控制的有效性進行自我評價,并及時糾正在監督檢查過程中發現的內部控制缺陷,同時進行必要的整改。
企業應當保證內部審計機構設置、人員配備和工作的獨立性。大力推行以風險為導向的內部審計方法,內部審計機構應當結合內部審計監督,對內部控制的有效性進行監督檢查。如果企業能夠充分發揮內部審計的作用,尤其應對關鍵控制點實施重點監管,可以達到事半功倍的效果。
四、結語
商場上許多成功的案例告訴我們:經營成功的企業離不開良好的內部控制狀況與風險管理體制。面對當今變幻莫測的市場環境和激烈的市場競爭,企業面臨的風險無處不在。可是,我國企業的內部控制和整體風險管理制度還明顯落后于西方發達國家。在我國在加入WTO以后,企業更需要學會積極主動地承擔風險和管理風險,把內部控制框架的建立與企業的風險管理相結合,不斷完善企業的內部控制,建立起風險管理的壁壘,有效地防范風險,積極應對風險。
參考文獻:
[1]王建和:我國企業內部控制與風險管理[J].中國西部科技.2005(6):21-22.
[2]楊光:淺議企業內部控制與風險管理[J].中國鄉鎮企業會計.2009(6)
[3]趙閩:企業內部控制與風險管理融合的路徑選擇[J].2008(7)
企業內部風險管理范文3
關鍵詞:內部控制;風險管理;發展
中圖分類號:F23文獻標識碼:A文章編號:1672-3198(2009)23-0195-02
1內部控制與風險管理的內在聯系
1.1在風險導向內部控制的觀念下,風險管理將成為組織發展的關鍵
隨著風險管理導向內部控制時代的來臨,內部控制的工作重點也發生了變化,現代內部控制除了關注傳統的內審之外,更加關注有效的風險管理機制和健全的公司治理結構。在風險導向內部控制的觀念下,風險管理成為組織發展的關鍵,促使內部控制的工作重點不僅是測試控制,而且包括確認風險及測試管理風險的方法。由于內部控制的自身特點,其參與風險管理擁有一定的優勢。內部控制機構和人員熟悉本單位情況,對企業面臨的風險更了解;內部控制機構和人員是企業內部成員,其利益同企業發展、興衰密切相關,對防范企業風險、實現企業目標有著更強烈的責任感;內部控制機構的獨立性使其不同于其他風險管理部門,作為高層次的監督部門,其風險評估意見直接報告給董事會、審計委員會,足以引起管理當局的重視。內部控制的獨立地位還便于其充當企業長期風險策略與各種政策的協調人,通過對長短期計劃的調節,調控、指導企業的風險管理策略。在現代企業經營管理中,隨著內外部環境的變化,各種風險因素增多,內部控制工作在改進風險管理和完善企業治理機構等方面將發揮更加積極作用,同時,內部控制也被賦予了更多的職責和使命。近年來,在美國發生的財務造假案導致了安然、世通等跨國大公司的破產,同時也導致了安達信這樣一個有著90多年歷史的世界級會計師事務所退出了歷史舞臺。在我國也曾出現“銀廣廈”、“藍田股份”、“億安科技”等坑害中小股民的事件。所有這些事件的發生,在全球引起了各方對民間審計機構誠信問題的探討,同時也觸動了人們對企業內部控制的進一步思索。企業制度的發展演進與風險相關。有限責任制度的確立是企業組織從業主制或合伙制走向現代股份公司制的關鍵步驟,它使股東的家產與企業的財產及企業的經濟責任相互獨立,股東的變換不再影響企業的信用能力,為股權交易擴大了范圍并增加了流動性,從而降低了投資風險并促進了企業融資,造就了今天巨型的股份公司。
1.2風險管理是對內部控制的自然發展
內部控制或風險管理的根本作用都是維護投資者利益、保全企業資產,并創造新的價值。Fama&Jensen(1983)分析了所有權與經營權分離下董事會的內部控制職能;Jensen(1993)進一步分析了美國公司董事會在內部控制方面失效的表現與原因。從理論上說,企業的內部控制是企業制度的組成部分,是在企業經營權與所有權分離的條件下對投資者利益的保護機制。其目的就是保證會計信息的準確可靠,防止經營層操縱報表與欺詐,保護公司的財產安全,遵守法律以維護公司的名譽以及避免招致經濟損失等。內部控制的歷史起源更早,其要求更為基本,更容易或適合上升到立法層次。企業風險管理則是在新的技術與市場條件下對內部控制的自然擴展。COSO在《企業風險管理框架》中談到風險管理的意義時是這樣論述的:“企業風險管理應用于戰略制定與組織的各層次活動中。它使管理者在面對不確定性時能夠識別、評估和管理風險,發揮創造與保持價值的作用。風險管理能夠使風險偏好與戰略保持一致,將風險與增長及回報統籌考慮,促進應對風險的決策,減小經營風險與損失,識別與管理企業交叉風險,為多種風險提供整體的對策,捕捉機遇以及使資本的利用合理化。”COCO在解釋廣義的控制與風險時論述道:“‘領導’包括在面對不確定性時作出選擇。‘風險’是指個人或組織在作出選擇后遭受不利后果的可能性。風險正是機會的對應物。”顯然,這些論述已經認識到企業的存在是為股東或利害相關者(針對非盈利性組織等)創造價值的,而價值創造不僅是被動的資產安全等,還應包括機會的利用。另外,對股東價值的威脅也不僅來自經營者會計舞弊等內部因素,還包括來自市場的風險等。
1.3技術的發展推動內部控制走向風險管理
技術及市場條件的新進展,推動了內部控制走向風險管理。在先進的信息技術條件下,會計記錄實現了電子控制、實時更新,使傳統的查錯與防弊的會計控制顯得過時。然而,風險往往是由交易或組織創新造成的,這些創新來源于新興的市場實踐,如安然公司將能源交易大量發展成類似金融衍生品的交易。另一方面,環境保護及消費者權益保護的加強,都強化了企業的社會責任,若一有不慎,企業就可能遭受來自商品市場或資本市場的懲罰,表現為企業的品牌價值或資本市場上的市值貶損。因此,企業需要一種日常運行的功能與結構來防范風險,包括遵守法律與法規,確保投資者對財務信息的信任以及保證經營效率等。因此,從維護與促進價值創造這一根本功能來看,風險管理與企業內部控制的目標是一致的,只是在新的技術與市場條件下,為了更有效地保護投資者利益,需要在內部控制的基礎上發展更主動、更全面的風險管理。
2內部控制與風險管理的外在聯系
2.1它們都能為企業目標的實現提供合理的保證
風險管理的目標有四類,其中三類與內部控制相重合,即報告類目標、經營類目標和遵循類目標。但報告類目標有所擴展,它不僅包括財務報告的準確性,還要求所有對內對外的非財務類報告準確可靠。另外,風險管理增加了戰略目標,即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果,而且介入了企業戰略(包括經營目標)制定過程。
2.2風險管理與內部控制的組成要素有五個方面是重合的
(控制或內部)環境、風險評估、控制活動、信息與溝通、監督這五個方面都是風險管理與內部控制的組成要素。這些重合是由它們目標的多數重合及實現機制相似決定的。風險管理增加了目標設定、事件識別和風險對策三個要素。重合的要素中,內涵也有所擴展,例如,內部控制環境包括誠實正直品格及道德價值觀、員工素質與能力、董事會與審計委員會、管理哲學與經營風格、組織結構、權力與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內部環境”除包括上述七個方面外,還包括風險管理哲學、風險偏好(risk appetite)和風險文化三個新內容。在風險評估要素中,風險管理要求考慮內在風險與剩余風險,以期望值、最壞情形值或概率分布度量風險,考慮時間偏好以及風險之間的關聯作用。在信息與溝通方面,風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理,規定了信息的深度與及時性等。
2.3風險管理提出了風險組合與整體風險管理(integrated risk management)的新觀念
《企業風險管理框架》借用現代金融理論中的資產組合理論,提出了風險組合與整體管理的觀念,要求從企業層面上總體把握分散于企業各層次及各部門的風險暴露,以統籌考慮風險對策,防止分部門分散考慮與應對風險,如將風險割裂在技術、財務、信息科技、環境、安全、質量、審計等部門,并考慮到風險事件之間的交互影響,防止兩種傾向:一是部門的風險處于風險偏好可承受能力之內,但總體效果可能超出企業的承受限度,因為個別風險的影響并不總是相加的,有可能是相乘的;二是個別部門的風險暴露超過其限度,但總體風險水平還沒超出企業的承受范圍,因為事件的影響有時有抵消的效果。此時,還有進一步承受風險,爭取更高回報與成長的空間。按照風險組合與整體管理的觀點,需要統一考慮風險事件之間以及風險對策之間的交互影響,統籌制定風險管理方案。
3從內部控制走向風險管理
有一種爭論,即風險管理包含內部控制,或內部控制包含風險管理。筆者認為得出什么樣的結論并不十分重要,最重要的是明確風險管理與內部控制之間有重合與聯系的地方。誰的范圍更大,可能要隨著時間、技術、市場條件、法律以及監管實踐的發展而不同,例如,在內部控制發展的早期,市場上風險管理的工具與技術條件都不充分(如計算機系統、統計學理論、數量模型、對沖工具與保險等),這時內部控制包含(替代)風險管理功能是很自然的。即使在同一個時代,不同的行業各自的側重點也可能不相同,例如,在監管嚴格的金融業或涉及人民生命健康的制藥與醫療行業,風險管理的迫切性更強,企業以風險管理主導內部控制可能更方便。而在另一些企業,為了符合信息披露中內部控制報告的要求,企業以內部控制系統為主導、兼顧風險管理可能更適合。
筆者認為,在實際的經營過程中,風險管理與內部控制是密不可分的。在規則制定或立法過程中,需要考慮的是范圍與管制的強度,范圍越大,管制的要求就會越弱。對于其核心問題,如財務報告的準確可靠,最適合以立法的形式來約束,而其他更寬泛的內容則可能更適合于規則及指南。在企業內部的不同層次,風險管理與內部控制的主導性相對次序也可能不同,例如,從企業的戰略風險依次到經營風險、財務風險,最后到財務報告,風險管理與內部控制的相對重要性應該各有不同。在戰略風險方面,風險管理應該發揮主導作用,內部控制起到配合作用。這一角色逐步逆轉,到財務報告層次,應該是內部控制發揮主導作用,風險管理起到配合作用。
盡管風險管理與內部控制有內在的聯系,但現實中的或代表目前應用水平的內部控制與風險管理還有不少的差距。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較,例如,銀行業的授信管理或市場(價格)風險管理如匯率、利率風險等。典型的內部控制是指會計控制、審計活動等,一般局限于財務相關部門。它們的共同點都是低水平、小范圍,只局限于少數職能部門,并沒有滲透或應用于企業管理過程和整個經營系統,因此,有時看上去風險管理與內部控制還是相互獨立的兩件事。隨著內部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統一。
參考文獻
[1]王光遠,劉秋明.公司治理下的內部控制與審計[J].中國注冊會計師,2006.
[2]周兆生.COSO企業風險管理框架(中文版)[R].華融資產管理公司,2007.
[3]朱榮恩,賀欣.內部控制框架的新發展-企業風險管理框架[J].審計研究,2003,(6).
企業內部風險管理范文4
關鍵詞:企業;內部控制;風險管理;關系;研究
在現代企業管理中,內部控制和全面風險管理都是企業在經營過程中管控風險所必需的。美國全國反虛假財務報告委員會下屬發起人委員會COSO(以下簡稱美國COSO委員會)確定的全面風險管理體系框架中明確地把內部控制作為一個子系統放在了全面風險管理體系框架內。兩者在風險的管理上各有側重,相互結合,互相融合,有效保障了企業防范風險,穩健經營,達成目標。下面我們就從他們各自的發展歷程、管理目標、管理范圍、關注側重點、所采用的管理方法和所采取的措施等多方面去分析和理解他們兩者的關系。
一、企業內部控制概念及發展歷程
1.內部控制概念內部控制是將一系列具有控制功能的方法、程序、措施進行系統化和規范化后,以制度和流程形式形成的一個嚴密和比較完整的體系。企業內部控制是以防范和有效管控風險為目的,以一系列專業管理制度為基礎,通過全方位梳理、識別關鍵控制點,以流程形式建立過程控制體系而形成的管理規范。在我國,企業內部控制的官方定義正式出現在財政部等五部委所的《企業內部控制基本規范》中,根據該項文件的指示,內部控制主要指的是由企業管理層以及企業員工通過內部控制手段實現控制目標的過程。而美國COSO對內部控制含義的界定與上述文件中的基本一致,不同處主要在于表述上的稍有差異,即將我國“旨在實現控制目標的過程”表述成了“提供合理保證的過程”。內部控制實質上是一種管理思路。要準確理解內部控制重點要關注以下幾方面:一是內部控制是以一系列管理制度、規章為基礎的;二是內部控制強調的是過程控制,主要是對企業或組織實體關鍵風險點控制的方法、流程、措施進行了系統化的規范和固化,形成管理規范,以達到對風險的管控;三是內部控制的目標是為了提高企業或組織實體的經營效率效果,可靠準確經營財務數據的獲得和遵守法律法規的合規經營;四是內部控制須遵循全面性、重要性、制衡性、適應性和成本效益五大管理原則,并按照業務導向和管理簡化原則進行水平提升;五是內部控制的主要內容包括企業內部控制環境、企業風險管理、活動控制、信息的收集與分析、內部監督的內容,不同類型的企業組成部門也有所不同,但內部控制均需要企業內部組織、各部門的協調、參與才能夠保證內部控制工作順利開展。2.內部控制發展歷程內部控制有它自身的發展歷程。上世紀40年代,在會計界首先提出了內部牽制的概念;到1949年,美國注冊會計師協會AICPA的審計程序委員會(以下簡稱美國AICPA)下屬的內部控制專門委員會通過組織多位學者共同研究,發表了對于指導內部控制工作具有重要作用的專題報告,即《內部控制,一種協調系統諸要素及其對管理部門和獨立注冊會計師的重要性》,世界范圍內對內部控制出現了第一次官方解釋。1958年,美國AICPA了29號《審計程序公告》,該報告中將內部控制工作內容進行了分類,即分為會計控制與管理控制,初步搭建了內部控制工作的體系。還在1988年《審計準則公告》中明確提出了“內部控制結構”的概念。直到1992年美國COSO委員會才完整提出內部控制整合架構。2002年7月,由于安然事件和世通舞弊案的影響,美國國會通過薩班斯法案(Sarbanes-Oxley法案),規定了上市公司必須做好內部控制管理工作,在進行上市審查時內控體系也成為一項必要且關鍵的審查內容,隨后世界范圍內紛紛效仿這一制度規定,加強對上市公司的內控制度考查,增加信息披露的規范與要求。在我國,2008年6月財政部、證監會、審計署、銀監會、保監會聯合了《企業內部控制基本規范》,該文件的成為指導我國企業開展內控工作的基本依據,被廣泛推行。文件內容包括總則、內部環境、風險評估、控制活動、信息與溝通、內部監督和附則共七個章節的內容。
二、企業風險管理概念及發展歷程
1.全面風險管理概念企業通過經營性活動賺取經濟利益,任何交易都存在不同程度、不同類型的風險,對企業實現發展目標都具有影響。我們稱之為風險。當然,風險有純粹性和機會性,它有可能給企業帶來損失,也有可能為企業帶來盈利等機會。純粹風險指的是只可能帶來損失的風險類型,而同時可能帶來損失也可能帶來收益的風險叫做機會風險。當企業經營中面臨市場準入放開、鼓勵產品創新、政策法律解禁、經營環境變化后,會大大增加企業經營的風險性,經營成效也隨之變化和波動,企業在為降低風險而采取措施的決策過程中,對收益與成本進行權衡與匹配,風險管理工作的意義在于幫助企業預判可能存在的損失,從而進行規避,降低決策失誤的可能,促進經濟效益的提升。風險管理的含義為企業風控部門通過科學有效的方法進行風險的判斷和預防。在對經營活動中的風險進行識別、評估、測算、計量、評價的基礎上,對經營活動中可能遇到的風險實施精準、有效控制,以降低或轉移風險可能引致的損失和負面影響,盡可能在最小的代價和成本基礎上,實現最大成效和安全保障的過程。風險管理并不是要完全消滅風險,風險與機會同在,拒絕風險等于拒絕財富。風險管理的意義就在于如何精明承擔風險,以最小可承受的風險來獲取更高的收益。國務院國有資產監督管理委員會曾《中央企業全面風險管理指引》,對全面風險管理一詞的含義進行了官方的解釋,即全面風險管理指的是企業基于經營需要以及工作基本流程,建立科學的風險管理制度,在員工間形成良好的風險管理文化,從而在各個部門間形成完整的風險管理體系,主要內容包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,以上工作內容形成了全面完整的風險管理模板,從而為企業風險控制流程提供了制度前提。風險管理基本流程則包括風險信息的收集、分析、應對措施執行以及工作改進,另外還包括風險管理的監督和約束。美國COSO委員會2004《全面風險管理——總體框架》,對全面風險管理的含義解釋為由董事會、股東會等管理層依據經營決策需要而對過程中存在的潛在風險進行識別與管理的過程,由此保證決策目標能夠順利實現。要準確把握并理解全面風險管理的概念,我們需要從以下幾點去認識:一是全面風險管理是過程的管理,涉及到企業的多方面,包括了企業風險管理目標、戰略的確定、風險偏好的選擇、風險的收集統計、風險的評估評價、風險管理方式選擇、風險管理方法執行、風險的預防方案以及如何進一步加強對風險管理工作的監督與改進,這一過程是風險轉移、降低和控制風險的一系列程序,是風險與機會的選擇;二是全面風險管理的工作是全員的參與;三是該定義表明風險管理并非要完全消滅風險,也不是為了減輕和降低風險而不惜一切代價,而是要盡量減輕、降低風險,使風險可以承受,精明地在所承擔的風險上獲取最高收益。其實企業經營中風險總是無法徹底消除,為企業經營目標實現我們所能做的也只能做出合理的保證,而不是做絕對保證。可見,現在風險管理在傳統的風險管理基礎上發展到今天,早已經有了天壤之別,更強調了全面的風險管理。傳統風險管理關注焦點主要專注于純粹和災難性風險。管理手段往往比較單一,主要采用保險和風險減免的控制手段。在管理方式和目標上只是就單個風險實施管理,并不與企業的戰略目標相聯系。管理理念更是被動地將風險管理作為成本中心,不設專門的部門而是由多個職能部門來管理。而全面風險管理是從企業和經營組織的發展戰略層面去考慮,全面集中管控企業和經營組織中所有可能面臨的風險因素和類別,既包括戰略風險、法律風險、聲譽風險,也同時涵蓋交易風險、財務風險、執行風險等內容,配備有獨立的風險控制工作體系,設有專門的委員會或首席風險官、風險管理專門部門來管理,從理念上已經積極主動將風險管理作為創造價值的中心。在管理目標上全面風險管理更是緊密結合企業和經營組織發展戰略,依據風險偏好尋求風險優化,同時運用現代金融保險功能和內部控制等多種方法、手段,以達到企業和經營組織經營目標效益的最大化,實現所有利益方的共贏。另外,我們也可從英文“Risk,風險”單詞上來探討風險管理概念的兩種解讀,也頗有意思。第一種理解:R:代表收益(Return)、I:代表免疫力(Immunization)、S:代表風險管理系統(System)、K:代表風險管理技術和知識(Knowledge),即通過培養專業人才,運用管理系統,形成風險管控體系,加強管理,提高免疫力,實現風險與收益的平衡。第二種理解:R:代表監管(Regulation)、I:代表信息(Information)、S:代表風險管理系統(System)、K:代表關鍵風險點(Keypoints),即通過對信息、數據的挖掘和分析,找出關鍵風險點,運用管理系統進行管理,并且注意要加強運營過程中的監管和約束。綜上所述,目前想要進一步完善全面風險管理工作,其核心就體現在全面性上,在于管理的全員參與和管理全部業務、全業務過程和全風險類別,以及在風險應對上更加系統化和多樣化。因此,全面風險管理,可理解為是指經營單位和組織的董事會、經營管理層及全體員工共同參與,對經營活動中可能面臨的各類風險進行準確識別、審慎評估、動態監控、及時應對的全程管理。2.全面風險管理發展歷程風險管理起源于美國。雖然人類認識風險的歷史幾乎與人類的文明一樣久遠,但人們對風險進行管理的認識和運用并不久遠。直到1930年在美國管理協會發起的一項保險問題會議上,美國賓夕法尼亞大學的所羅門·許布納博士在此背景下提出了風險管理的概念和構成要素。美國賓夕法尼亞大學沃頓商學院的施耐德教授于1955年進一步對風險管理的含義進行了深刻闡述,及1956年《哈佛商業評論》上風險管理文章的出現,這篇名為《風險管理——成本控制的新名詞》的文章,至此風險管理真正開始切入企業的管理,進入人們的視線。澳大利亞和新西蘭于1995年共同制定了世界范圍內第一個國家風險管理標準AS/NZS4360,該標準明確定義了風險管理的標準程序。隨著人們對風險管理認識的不斷深化、風險計量技術的不斷進步,伴隨各種風險的發生、反思與應對,2004年以美國COSO委員會《全面風險管理——整合框架》為起點標志,全面風險管理標準體系第一次正式建立,并被廣泛采用,風險管理真正意義上正式步入到了全面風險管理階段,并逐步完善與發展。特別是2008年世界金融危機的發生和帶來的深遠影響,以及巴塞爾協議的全面實施,全面風險管理首先在金融企業界全面推行,而后逐步延伸到其他工商企業,全面風險管理才更加深入人心并得以逐步深入。2006年國務院國有資產監督管理委員會了我國第一個全面風險管理指導性文件,即《中央企業全面風險管理指引》,這意味著我國自此擁有了指導企業開展全面風險管理工作的標志性規范,推動企業風控制度進入新的階段,對于企業的現代化發展有著重要意義。
三、企業內部控制和全面風險管理的關系分析
當前理論界對于內部控制的范疇界定具有爭議,例如部分學者認為內部控制包含了全面風險管理,一部分學者認為兩者并不包含合并關系。也有人反過來認為,全面風險管理包含了內部控制。美國COSO委員會則認為兩者聯系緊密并正在融合。在我國,從相關部委對兩者的重視態度上看,國資委更強調全面風險管理,財政部更強調內部控制。但我們在企業內部控制和全面風險管理的具體運用實踐中,深切感受和認識到內部控制確實在全面風險管理過程中是完全必不可少的,是全面風險管理必要的組成部分及必須運用的管理手段和環節,所發揮的作用也是非常關鍵的。從二者管理目標和所依托的管理體系和相關制度、流程來講,可以說全面風險管理是涵蓋了內部控制的。而從目前國內外現代企業管理發展趨勢和內部控制與全面風險管理自身完善發展中,看到二者也已交織和融合在一起,統一到了企業的全面風險管理體系中。1.內部控制和全面風險管理都因企業在經營發展中面臨著各種風險的挑戰和威脅而產生,他們有著一樣存在的基礎內部控制和全面風險管理產生都基于企業在經營過程中面臨著諸多風險存在的客觀性。內部控制的發展歷程相較于全面風險管理而言更早,但是內部控制的理論和實務經驗對于后續全面管理控制工作的開展具有重要的參考意義,全面風險管理可以認為是內部控制發展的升華版本。兩者在企業的運用實施過程中,它們都會強調全員參與性,是由“企業董事會、管理層以及其他人員共同參與實施的”。另外,各職能和業務部門及各人員在內部控制或風險管理中都有相應明確的角色定位與職責分工,他們相互分工協作,相互獨立牽制。2.內部控制的方案和流程在全面風險管理過程中具有重要意義,是全面風險取得有效成果的前提條件,只有采取科學合理的控制手段和方法才能控制到位內部控制工作順利開展的前提是企業各部門對風險管理工作具備充分的積極性,并且把握流程中可能出現的各種風險類型,判斷方案是否準確、執行手段是否落地,才能加強對經營風險的防控。完善的內控系統是必須和必要的。同時,我們還應看到,內部控制是很有效的風險管理方法,在全面風險管理的方方面面被廣泛運用。此外,在企業管理實踐中,為應對合規風險,滿足國內外法律法規和監管要求,也需要構建有效的內控系統。因此,建設完善的內部控制體系,使之體系健全、統一、規范,是企業全面風險管理體系建立中所必要的組成部分。3.內部控制與全面風險管理從企業管控風險的根本性質和作用看,他們都歸于和服務于企業對經營過程中風險的管理良好的內部控制和科學的全面風險管理,都對單位經營活動的效率和成效、資產安全、經營信息及時準確具有保障作用。在現代企業管理中,兩者的結合運用,將更有助于幫助管理者實現經營目標和方針,保護企業經營資產安全、完整,防止資產流失,提高管理科學規范水平,更好滿足現代企業管理的迫切需要。4.從內部控制與全面風險管理的管理范圍、目標、關注焦點去分析,全面風險管理比內部控制更廣泛、更全面首先,在管理范圍上,內部控制是企業依靠和運用系統化的規范、規章、制度、形成采取的風險管理流程規范,以遏制與防范對經營目標實現中的不利風險和負面影響,保障和促進經營目標的實現。而全面風險管理則擴展到企業發展戰略層來考慮風險的特征、偏好和管控,依照經營環境的可能變化,在事前制定經營目標時就注重和進行各種風險的分析、識別、存在可能,并運用專門的工具、方法、手段等,按照風險可測、可控和有效應對要求管控各種風險危機事件,明顯包含了戰略目標范疇。其次,內部控制的實施目標與全面風險管理有所不同。全面風險管理更注重的是風控體系的全面搭建,而內部控制目標主要包括經營管理的合法合規性控制,以及財務與信息披露的安全,并且保證所有財務報表的真實性與安全性。并通過過程控制來實現目標。內部控制強調在企業內部的控制,使內部人員職權清晰、相互牽制,以達到控制風險、抵御風險的能力;關注焦點主要專注于公司經營所有業務流程其過程控制措施的有效性。而全面風險管理則更加全面,其目標除內控的相關目標外,還要在如何及時地發現和識別風險,以及對發生風險的有效應對上下功夫,以有效防止和降低或者轉移風險可能給企業經營帶來損失和造成負面影響,保證所有風險的可測、可控、可承受。全面風險管理所關注焦點已包含企業戰略、市場、信用、合規、財務、現金流、聲譽風險等所有經營風險。5.從內部控制與全面風險管理所運用的管理方式和應對風險所采取的策略上看,內部控制已完全融合在全面風險管理中,全面風險管理已涵蓋了內部控制內部控制所負責和做的相關工作、活動、內容,在全面風險管理的過程中及風險管理后的相關活動中都已包含,如對風險進行的分析評估和由此而實施的控制措施、信息反饋與溝通、監督糾錯等工作。而全面風險管理則貫穿于整個管理過程。全面風險管理的工作、活動、內容、步驟比內部控制做的明顯要全面、寬泛和復雜得多。當前全面風險管理的工作內容涉及企業經營管理的各個階段,包括企業經營目標的構建與完善,以及經營策略的制定,風險管理文化的創建以及整體員工風險防范意識的提升,還包括風險管理模型、風險處置、風險報告程序等組成部分。在對風險所采取的應對策略上,內部控制主要通過業務流程控制和嵌入各項規章制度約束來應對。而風險管理的工作內容則不僅包括了風險信息收集與分析、風險判斷、風險對策等內容,還包括風險偏好、風險計量、風險容忍度、風險指標體系、壓力測試、情景分析等工作體系,所涉及的內容與方法十分廣泛。有鑒于此,全面風險管理的架構體系的建立能夠更加全面地幫助企業進行風險防范,并且對各方面的影響因素進行分析,從而幫助企業拓展業務范圍,規避風險,降低工作成本,更好地提高經濟效益,實現經營目標。兩者在各有側重、優勢的深度融合中,最終保障企業的穩健經營,促成企業董事會和高級管理層經營目標的實現。
參考文獻:
[1]李曉慧,何玉潤,編著.內部控制與風險管理理論、實務、案例.中國人民大學出版社,2016:1-10.
[2]劉守偉.對企業全面風險管理的認識.鐵路采購與物流,2010(8):21-22.
[3]孫海燕,張榮玉.內部控制與風險管理融合研究.管理學家,2010(9):99-100.
企業內部風險管理范文5
隨著企業內部審計職能的轉型,有些企業內部審計已經開始介入到企業的風險管理當中,有些企業也在無形中執行了企業風險管理的一些職能,它擴展了企業內部審計的范圍,為企業管理工作發揮了良好的作用,并逐步將風險管理作為企業內部審計的主要內容之一。
一、企業風險和風險管理
(一)企業可能存在的風險
企業在運行過程中存在著大量的戰略風險、經營管理風險和作業風險,它們很可能導致企業費用和損失的發生,制約企業的生存、發展和獲利能力。風險的存在具有客觀性和不確定性,可以被管理人員預測,并加以控制和規避。在風險的形成過程中,涉及風險因素、風險事故和風險損失三個方面。風險因素,是能夠引起或增加風險事件發生機會或影響損失嚴重程度的因素。風險事故,是在風險管理中直接或間接造成損失的事故,它是損失發生的媒介。風險損失是因不確定性而導致企業經濟價值的減少。風險因素引發風險事故,而風險事故導致風險損失的發生。產生風險損失的主要根源是企業缺乏風險管理意識,不能及時準確地識別風險因素,內部控制制度不健全。
(二)企業風險的管理
企業風險管理作為一種特殊的管理功能,是一門新的管理科學。風險管理是企業在對潛在風險的識別、評估和分析的基礎上,對風險進行有效的控制、預防、回避,以降低企業風險損失的一種管理方法。風險管理是一個系統過程,它包括風險的識別、評估和控制三個環節。
二、企業內部審計機構有必要參與風險管理
1、當前企業面臨的風險正日益增大。
隨著市場經濟的快速發展,企業經營環境、經營業務變得日趨復雜化、多樣化。因企業管理不善,決策失誤、信息缺乏、財務失敗等內部原因,以及市場需求變化、技術設備更新、市場競爭加劇等外部原因產生的風險又使許多企業更是雪上加霜。減少和控制企業的風險是實現企業戰略目標的關鍵要素之一,正在引起企業管理人員越來越多的重視。
2、企業內部審計參與風險管理是自身發展的要求。企業內部審計在企業中擔當著重要的角色,他們更了解企業面臨的風險因素,具有豐富的管理經驗,有利于將內部審計的資源和成果與企業風險控制相結合,并可以減少企業內部機構的重復設置,參與風險管理已成為內部審計人員義不容辭的責任。
3、企業內部審計在風險管理中發揮重要的作用。
企業內部審計在風險管理中的作用主要有:
(1),能夠客觀全面的管理風險。
風險在企業內部具有感染性、傳遞性、不對稱性等特征,即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔,而是會傳遞到其他部門,最終可能使整個企業陷入困境。因此對風險的認識和防范、控制需要從全局考慮,而各業務部門又很難做到這一點。
內部審計具有相對的獨立性,受單位主要負責人的直接領導,這使得它們可以從全局出發,從客觀的角度對風險進行識別,及時建議管理部門采取措施控制風險。
(2)控制和指導企業的風險策略。
由于內部審計部門處于企業的董事會、總經理和各職能部門之間的位置,內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期實現的調節,內部審計人員可以調控和指導企業的風險管理策略。
(3)內部審計部門的建議更易引起企業領導的重視。
一些企業盡管設立了風險管理部門,但不具有獨立性,其意見往往會屈服于管理當局的壓力,這使得風險管理部門的作用受到一定程度的限制。而內部審計部門獨立于其他管理部門,其風險評估的意見可以直接向董事會匯報,這樣會加強管理當局對內部審計部門意見的重視程度。
三、企業內部審計參與風險管理的途徑
企業內部審計的風險管理過程包括以下三個方面:
(一)風險的預測和識別
風險的預測和識別是指對企業所面臨的以及潛在的風險加以判斷、歸類和鑒定風險性質的過程,確定企業正在或將要面臨哪些風險。內部審計要對企業所面臨的主要風險進行預測和識別,并找出未被識別的風險。采用的方法包括決策分析、可行性分析、因果分析和專家調查法等。
(二)對已經存在和將要發生的風險進行評估
企業的內部審計人員應用各種管理科學技術,采用定性和定量分析相結合的方式,預測風險的大小,找出主要的風險源,合理的評價風險可能產生的影響,以此為依據,對風險采取相應對策。常用的風險評估方法主要有:調查和專家打分法、風險報酬法及解析方法等。
(三)提出改進和防范的措施
風險的防范措施是指企業為降低已識別出的風險可能造成的損失所采取的措施。內部審計機構可以根據不同的情況,提出避免風險、接受風險、還是降低風險的具體措施和建議,以強化企業的風險管理,降低風險損失,并對有關部門所采取的風險防范措施進行監督和檢查。
采用改進和防范措施主要有:避免風險、損失控制、分離風險單位、轉移風險(包括轉移風險源、簽訂免除責任協議、利用合同中的轉移責任條款)和投保等。
企業內部風險管理范文6
摘 要 本文從國務院各部委頒布的內部控制規范和風險管理有關法規政策出發,通過對內部控制與風險管理的聯系和區別進行比較,針對目前國有企業內部控制與風險管理的現狀,分析其形成原因,并提出運用風險管理方法構建風險導向型內部控制體系的對策與建議。
關鍵詞 國有企業 控制 規范 風險 機制
2008年由美國次貸危機引發的全球金融海嘯,引起我國各行各業對企業內部控制與風險管理體系建設和評價達到了前所未有的重視程度。為有效控制企業風險,我國相繼出臺了一系列法規政策,2006年6月為促進中央企業內部控制建設和全面風險管理工作國資委出臺了《中央企業全面風險管理指引》;財政部會同審計署等五部委2008年6月聯合了《企業內部控制基本規范》,2010年4月再次了《企業內部控制配套指引》,共同構建了中國企業內部控制規范體系,對企業防范風險、控制舞弊、促進發展產生積極的推動作用。本文通過剖析內部控制與風險管理的聯系和區別,針對目前國有企業內部控制與風險管理的現狀,分析了其形成原因,并提出了運用風險管理方法構建風險導向型內部控制體系,形成“自我免疫機制”的對策與建議。
一、內部控制與風險管理的聯系和區別
內部控制與風險管理是一對既相互聯系又存在區別的概念。內部控制是指為合理保證企業經營管理合法合規、資產安全、財務信息真實完整,提高經營效率和效果,促進企業實現發展戰略,由董事會、監事會、經理層和全體員工設計與實施的政策和程序,旨在實現控制目標的過程。風險管理是由企業董事會、經理層和全體員工共同參與的,應用于企業戰略和內部各個層次和部門的,用于識別可能對企業造成潛在影響的事項并在風險偏好范圍內管理風險的,為企業目標的實現提供合理保證的過程。
兩者相同點:(1)目標一致性,均為提高經營效率和效果、經營合法合規、財務報告可靠、資產安全、實現發展戰略等5個目標,首要目標提高經營效率和效果,終極目標是實現發展戰略;(2)都強調是全員參與的管理,是由企業董事會、管理層以及全體員工共同實施的,指出各方在內部控制或風險管理中都有相應的角色與職責;(3)也都是企業全方位的管理,明確是一個持續不斷的“過程”,其本身并不是一個目標,而是實現目標的一種工具和手段,都是滲透于企業日常管理過程中的一系列行動,需作為一種常規運行的機制來建設;(4)都是為企業目標的實現提供合理保證,而不能提供百分之百絕對保證。
兩者的差別主要體現在:(1)在報告目標的范圍上風險管理有所擴展,將“財務報告的可靠性”發展為“報告的可靠性”,報告范圍由“財務報告”擴展到“內部的和外部的”“財務的和非財務的”報告,涵蓋了企業的所有報告;(2)在內容上風險管理更豐富,引入了風險管理文化、風險偏好、風險承受度以及風險應對策略等新概念;(3)兩者側重點不一樣,風險管理更偏向過程的前端,更偏向于對影響目標實現因素的識別、分析、評估與應對,是一個更為獨立的過程,而內部控制更加重視實施,嵌入到企業各業流程的具體業務活動中,融合在企業的各項規章制度之中。
可見,內部控制與風險管理既相輔相成、又各有側重的現代管理元素,不存在包涵或被包涵關系,也無法完全替代,兩者都是公司治理極為重要的組成部分。
二、目前我國國有企業內部控制與風險管理的現狀
從目前總體情況來看,我國國有企業內部控制與風險管理建設工作還處于起步階段,基本上都建立了自已的內部控制體系,也有一些風險管理策略,但其內部控制和風險管理的水平和效果尚不容樂觀,實際執行中存在諸多問題,主要如下:
1.法人治理結構不完善,內部人控制現象嚴重。現階段我國絕大多數國有企業雖然進行了公司制改造,但其法人治理結構普遍存在問題,設計不科學,股東會、董事會和監事會等核心機構形同虛設,審計委員會、風險管理委員會、董事、獨立董事和監事會只是形式上掛個名,沒有實際行使監督治理職責,導致董事不“懂事”、獨董不“獨立”、監事不“干事”。企業管理者集控制權、執行權和監督權于一身,內部人控制現象嚴重,自覺不自覺地凌駕于內部控制之上。
2.內部控制制度缺乏系統性,制度執行流于形式。絕大多數國有企業都建立了比較多的內部控制制度,其內容應有盡有,但制度間缺乏有效銜接,甚至存在“互相打架”現象。一些新開展業務領域,其風險容易發生的關鍵環節沒有有效控制措施。制度執行流于形式,主要有3種情形:一是執行不到位,出現制度與實際執行“兩層皮”現象,紙上寫的、墻上掛的是一套,執行的是另一套;二是不愿意執行,因人員數量不足、水平不夠、能力有限,以忙于具體工作業務為由沒時間去執行;三是故意不執行,為謀求個人利益,先把水攪混,好從中摸魚。
3.內部審計機構不健全,內外部監督未形成有效合力。有的沒有設立內部審計部門,有的內部審計部門與財務或紀檢合署辦公,有的雖然單獨設立了內部審計部門卻形同虛設,不具備真正意義上審計的獨立性,從而缺乏客觀性,發現不了問題,或者發現了問題也不讓追查,內部審計沒有發揮其應有監督作用。企業、注冊會計師和有關監督部門在在內部控制監督評價工作中,監督標準不一,各種監督職能交叉,各監督主體缺乏橫向溝通,未能形成有效合力。
4.風險管理薄弱,缺乏有效風險管理體系。企業缺乏有效對已經面臨的和即將面臨的風險作出系統分析、整體評價和管理風險的機制,沒有制訂具體的風險控制點,也沒有將風險控制點分解和責任控制到崗、到人;一旦盲目擴張出現了問題,采取“頭痛醫頭,腳痛醫腳”的“滅火式”風險管理模式,抗風險能力較差。更沒有將企業風險管理與內部控制有機結合起來,建立風險導向型內部控制體系。
三、原因分析
導致上述問題的產生,既有大環境下法規政策和理論研究方面存在缺陷的深層次原因,也有企業本身對內部控和風險管理制重視不夠、設計制度不足、執行和監督評價不到位等方面的個性原因:
1.我國內部控制和風險管理制的理論研究和實踐工作仍處在摸索階段,其理論研究基本上借鑒美國COSO《內部控制-整合框架》、《企業風險管理-整合框架》相關理論,與實際國情、行業特點結合不夠。在《配套指引》出臺之前,相關法規政策條例傾向于定性描述,缺乏具體標準,沒有實務操作指引,為企業內部控制的實際執行和客觀評價工作帶來一定難度。企業董事長、總經理、監事由上級任命,且董事會成員和管理層成員高度重疊,企業內部人集控制權、執行權和監督權于一身,經營權得不到有效的監控,容易產生、等現象,進而影響內部控制的實施和健全。治理結構不完善是阻礙國有企業實現發展戰略的根本性問題。
2.沒有風險文化,缺乏風險意識。沒有風險文化,企業的風險管理機制就失去了靈魂,缺乏風險意識,是企業最大的風險源。風險管理意識不足,一方面風險意識淡薄,投機心理、僥幸心理比較重,另一方面求穩心態較重,經營偏保守,注重規避風險,而不是管理風險,不能有效控制風險并利用其發展機會。
3.企業沒有對內部控制制度進行測試評價,并根據測試評價結果及時修訂。內部控制評價是推動企業內部控制機制建立健全的重要手段,內部控制制度在實行之前,一定要對其完整性、有效性、符合性進行評價,及時發現問題并進一步完善。然而,許多企業在內部控制制度制訂過程中,并沒有對內部控制制度的有效性進行測試,對內部控制制度符合性進行評價,更沒有隨著國家政策調整、經營業務拓展,對內部控制制度及時修訂。這是導致企業內部控制缺陷產生的根源。
4.激勵機制、約束機制缺位。長期以來,對企業員工和領導干部的考核,以目標利潤、經營規模完成情況為主要依據,缺乏對內部控制和風險管理等相關指標的綜合考察,激勵約束機制缺位,直接造成企業制度沒有執行力。
5.企業普遍缺乏專業的內部控制和風險管理人才。內部控制制度制訂合不合理、能否有效執行、監督評價能否公正客觀,都取決于人的素質水平。企業內部控制和風險管理是一項綜合性較強的管理工作,對人員素質要求較高,特別是知識新、閱歷廣、綜合型,而企業普遍缺乏這樣的人才。
四、對策與建議
1.認真學習好、貫徹好內部控制規范。國有企業要認真學習企業內部控制基本規范及其配套指引,根據內部控制和風險管理相關法規政策條例,并結合企業自身實際情況,制訂適合、適度、適用于本企業的《內部控制與風險管理手冊》。這對于指導內部控制體系建設,促進各項經營管理活動進一步規范、有序運行,增強風險防范能力等,都有極其重要的意義。
2.完善法人法理結構,解決內部人控制問題,加強企業文化建設,優化內部控制環境。法人治理結構由企業股東會、董事會、監事會和經理層和全體員工組成,是內部控制環境的核心。規范各責任主體的職責權限,保證決策權、經營權和監督權制衡。董事會負責內部控制的健全和有效實施,經理層負責組織領導企業內部控制的日常運行,監事會負責對董事會建立與實施的內部控制進行監督。同時,企業應培育良好的企業精神、內部控制和風險管理文化,加強團隊協作意識,為內部控制創造一個良好的環境。
3.構建企業、注冊會計師和有關監管部門三位一體的內外部監督評價體系。國有企業應該建立由董事會領導下的審計委員會統一管理企業的內部審計工作,賦予審計委員會監督內部控制執行情況和自我評價情況、協調內部控制審計等方面的職能,授權內部審計機構監督評價職能,增強內部審計的獨立性;注冊會計師要嚴格按照內部控制規范的要求,將內部控制審計范圍覆蓋企業內部控制整體,而不僅僅局限于財務報告內部控制,也可以將內部控制與財務報表進行整合審計,提高審計效率;財政部等有關監管部門要加強對企業和注冊會計師執行內部控制規范體系的監督檢查,同時協調監管政策,規范監管口徑,形成有效監管合力。
4.建立內部控制和風險管理長效機制。國有企業要建立對內部控制和風險管理的執行情況與管理層和全體員工的績效考核掛鉤制度,作為績效考核的一個重要指標,通過利益約束驅使企業全體干部員工高度重視內部控制建設和風險管理。另外,要建立重大決策失誤責任追究制,對造成風險損失的責任人進行責任追究,提高制度的威懾力和執行力。
5.運用風險管理方法構建風險導向型內部控制體系,形成“自我免疫機制”。國有企業應致力于建立風險導向型的內部控制體系,即圍繞影響企業目標實現的不確定因素,進行風險識別、風險評估、風險應對,并針對各個風險點制定相應的風險控制點,區分關鍵控制點和非關鍵控制點,再根據企業的組織架構、職責分工,將風險控制點層層分解到崗、到人,從而構建出貫穿于整個企業業務流程的內部控制體系。并結合企業的風險偏好,制定相應的風險應對策略,從而指導企業內部控制體系的構建。可以有效防止錯誤和舞弊,提高效率,確保企業戰略目標的實現。內部控制制度是風險評估和分析的產物,是企業進行有效內部控制的基礎和依據,是風險管理的支點;風險管理是建立在內部控制基礎上,而內部控制的實施經常運用風險管理的的方法。建立風險導向型內部控制體系,對現代企業來說,風險管理的有效性離不開權責利相制衡的體制保障。只有保證內部控制監管的獨立性,明確高管層的責任,實現管理層與內審機構的相互監督,才能保證內部控制制度的有效執行,實現對風險的有效控制,形成“自我免疫機制”。
6.注重內部培養和外聘選拔,提高人員專業勝任能力。企業內部控制和風險管理是一項綜合性較強的管理工作,對人員素質要求較高,首先要熟悉國家和行業法規政策、企業業務流程和內部控制制度,其次要講政治、懂技術(計算機運用技術和審計技術)、善溝通、會理財,具備較強的發現問題、分析問題、解決問題能力和識別風險、評估風險、控制風險的能力。企業要注重內部培養和外聘選拔相結合,提高內部控制和風險管理人員專業勝任能力。
內部控制和風險管理的完善不是一朝一夕的,是現代企業管理永恒的主題。國有企業只有不斷完善法人治理結構,持續優化風險導向型內部控制體系,通過制度規避風險、機制控制風險,責任降低風險,才能為風險管理奠定扎實基礎,才能提高企業經營管理效率和效果,才能在當今激烈的國內外市場經濟競爭中持續健康發展,從而實現發展戰略目標。
參考文獻:
