第一篇:论企业战略风险与内部控制的关系
论企业战略风险与内部控制的关系
2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象以及企业面临的激烈的市场环境,COSO在1992年《内部控制——整合框架》的基础上,又颁布了一个概念全新的COSO报告——《企业风险管理——整合框架》。该整合框架中除了经营目标和合法性目标与内部控制整体框架相似以外,提出了一类新的目标——战略目标。因此,不管是战略执行的内在要求还是内部控制的发展方向,战略与内部控制的有机结合是其发展的必然趋势。
一、战略、风险、内部控制的关系:
战略的执行视角
1.战略与风险:如影随形
风险就像战略的幽灵一样,如影随形,从某种意义上说,风险是战略的自然属性。格里·约翰逊、凯万·斯科尔斯认为,战略是一个组织长期发展方向和范围,它通过在不断变化的环境中调整资源配置来取得竞争优势,从而实现利益相关者的期望。从中可以看出,战略是诞生于风险之中的。风险有两个特征:一是风险的不确定性;二是风险会给人们带来损失。战略一方面能降低企业发展过程中的不确定性,但又要合理承担一部分风险。
2.风险与内部控制:战略目标的合理保证
企业的内部控制通过识别和管理风险为战略目标的实现提供合理保证,风险因素体现在内部控制各个要素之中:(1)内部环境,是其他所有风险管理要素的基础,是风险的源泉;(2)目标制定,是管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层层分解和落实,是风险容量的确定;
(3)事项识别,是对风险的甄别;(4)风险评估,是对风险的度量;(5)风险反应可以分为规避风险、减少风险、共担风险和接受风险四类,是应对风险的策略;(6)控制活动,是帮助保证风险反应方案得到正确执行的相关政策和程序,是对风险的控制;(7)信息和沟通,是风险控制的保障;(8)监控,是指评估风险管理要素的内容和运行以及一段时期执行质量的一个过程。
可以看出,风险管理是贯穿内部控制的核心主线,内部控制就是控制风险,控制风险就是风险管理。
3.战略与内部控制:相见恨晚
影响战略制订和执行的因素很多,贝尔德(Baird)和汤马斯(Thomas)提出战略风险可能性模型指出,战略风险包括:(1)宏观环境风险;(2)行业风险;(3)组织风险;(4)战略问题风险;(5)决策制定者风险。
但是,企业内部制度也是影响战略有效实现的关键。企业确定战略目标时,既要考虑现有的资源和能力基础。同时还要超越现有条件,这样就需要具备强大的战略执行力。
二、战略、风险、内部控制:整合模型
如前所述,战略与内部控制整合的基础是风险。整合模型应是一个以战略为轴心,将战略层层分解到组织的各个部门、各个业务流程,以风险控制为主要内容,将各层次影响战略实现的风险因素作为控制对象,合理保证战略目标的实现的内部控制体系,如图1所示。
可以将该整合模型称为战略导向内部控制模型,该模型的特点是以控制对象是战略为中心轴的风险控制,重点是控制体系之间的战略协同与协调。
战略导向内部控制是以战略为中心轴,来协调企业内部管理各个部门和环节。将战略分解到不同层次,再分析各个战略层级的目标实施过程中的风险,通过对这些风险的控制来实现内部控制的目标。这里的风险是以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。战略导向内部控制提出的初衷就是解决内部控制体系之间的隔阂,使内部控制之间相互协调,形成一个有机的整体。而传统的内部控制最大的缺点就是缺乏相互之间的协调,各控制系统之间缺乏联系、比较凌乱。将战略引入到内部控制框架为内部控制的发展提供了新的生命力,以战略中心轴为基础为内部控制的协调提供了根本上的途径
第二篇:全面风险管理与内部控制的关系
全面风险管理与内部控制的关系
摘 要:内部控制是企业全面风险管理的基础,同时内部控制也是全面风险管理不可或缺的重要组成部分。内部控制与全面风险管理之间既存在着联系又有所不同,为了使企业能充分发挥内部控制和全面风险管理的作用,应该对两者之间的关系有清楚的认识。本文主要介绍了全面风险管理和内部控制,以及二者之间的关系。
关键词:全面风险管理;内部控制;关系
(一)内部控制
内部控制是指企业为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。关于内部控制的定义,COSO委员会经过相对较长时间的研究,于1992年发布了《内部控制——整体框架》,1994年形成正式文稿。《内部控制——整体框架》认为内部控制是为实现企业经营效率和效果、财务报告的可信性及相关法令的遵循等企业目标而提供合理保证的过程。内部控制的实施者为企业董事会、经理层和其他员工。内部控制是整个企业设计的系统,不是为了某个人或某个层级的人提出来的专门针对某个人或某个层级的人的制度。没有人能脱离这一系统而独立运作。管理层、董事会、内部审计和其他员工都应该对内部控制承担责任。
内部控制目标有三点,一是财务报告的可靠性。企业决策层要想在瞬息万变的市场竞争中有效地管理经营企业,就必须及时掌握各种信息,以确保决策的正确性,并可以通过控制手段尽量提高所获信息的准确性和真实性。因此,建立内部控制系统可以提高会计信息的正确性和可靠性。二是经营的效果和效率。内部控制系统通过确定职责分工,严格各种手续、制度、工艺流程、审批程序、检查监督手段等.可以有效地控制本单位生产和经营活动顺利进行、防止出现偏差,纠正失误和弊端,保证实现单位的经营目标。三是合规性。企业决策层不但要制定管理经营方针、政策、制度,而且要狠抓贯彻执行。内部控制则可以通过袱定办法,审核批准,监督检查等手段促使全体职工贯彻和执行既定的方针、政策和制度,同时,可以促使企业领导和有关人员执行国家的方针、政策.在遵守国家法规纪律的前提下认真贯彻企业的既定方针。
企业建立与实施有效的内部控制,应当包括下列要素:
一是内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
二是风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。三是控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
四是信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
五是内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
(二)全面风险管理
所谓全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
2004年COSO委员会发布《企业风险管理——整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”该框架拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。
全面风险管理框架包括了八个要素:
一是内部环境。管理当局确立关于风险的理念,并确定风险容量。所有企业的核心都是人(他们的个人品性,包括诚信、道德价值观和胜任能力)以及经营所处的环境,内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。
二是目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标,并保证选定的目标支持主体的使命并与其相衔接,以及与它的风险容量相适应。
三是事项识别。必须识别可能对主体产生影响的潜在事项,包括表示风险的事项和表示机会的事项,以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程。
四是风险评估。要对识别的风险进行分析,以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
五是风险应对。员工识别和评价可能的风险应对措施,包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应。六是控制活动。制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。
七是信息与沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动。
八是监控。整个企业风险管理处于监控之下,必要时还会进行修正。这种方式能够动态地反应风险管理状况,并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。
(三)全面风险管理与内部控制的关系
谈到风险管理,则一定会提到企业内部控制。在实践中有很多企业不能真正理解全面风险管理与内部控制的区别和联系,要么将两者完全隔离开来,要么只是简单地将它们等同起来。其实,两者之间既有区别又有联系。
全面风险管理与内部控制的联系:
一是全面风险管理涵盖了内部控制。COSO框架中明确地指出全面风险管理体系框架包括内部控制,将之作为一个子系统。
二是内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是国内外许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
全面风险管理与内部控制的区别:
一是两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和事中的控制来实现其目标,而全面风险管理则贯穿于管理过程的各个阶段,覆盖了各个不同的环节,更重要的是在事前就对风险有了一定的预见性的考虑。而且,全面风险管理所要达到的目标多于内部控制。
二是两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。全面风险管理包含了选择风险评估方法、制定风险管理目标、制定相关战略、报告程序及聘用管理人员等多个环节,而内部控制主要负责的是风险管理过程中间及其以后的重要活动,例如对风险的评估和,对财务报告的评估,信息与交流活动的监督,对操作流程的不规范进行纠正等等。两者最大的差别在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行监控和评价,尤其是对目标制定中的风险进行评估。
三是两者对风险的管理不一致。全面风险管理框架包括了风险偏好、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,促使企业发展战略向风险偏好靠拢,根据资金投入、经营风险与利润回报之间的联系,进行经济资本分配,帮助管理层实现全面风险管理的目标。这些功能都是内部控制框架能力范围之外的。
从目前企业的管理发展趋势来看,企业的全面风险管理与内部控制管理已经交集密切,互相密不可分。通过上面的描述,我们可以看出,全面风险管理及内部控制实际上都是以保护企业的财产安全、保证企业的经营结果、实现企业的战略目标为最终的目的。内部控制是全面风险管理的重要核心内容,而全面风险管理则在内部控制的基础上升华扩散。概括的说,内部控制使得企业的日常经营管理流程更加规范、财务管理真正的有效实施,与此同时企业内部的规范性操作流程、财务管理控制也正是全面风险管理在企业实施的基本条件。
第三篇:浅析全面风险管理与内部控制的关系
浅析全面风险管理与内部控制的关系
一、内部控制和全面风险管理在COSO框架中的定义
现代理论界对内部控制的定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制的定义。COSO于2004 年发布了《企业风险管理——整合框架》,在该框架的附录C中指出,“内部控制被涵盖在企业风险管理之内,是其不可分割的一部分”。
该组织认为:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。在COSO委员会的《内部控制管理框架》中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
在多年的管理实践中,人们意识到一个企业内部不同部门或不同业务的风险,有的会相互叠加放大,有的则相互抵消减少。因此,风险的考虑不能仅仅从某项业务、某个部门的角度出发,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。
依据COSO委员会 2003年7月完成的《全面风险管理框架》定义:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。该框架有三个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有4个,即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的各个层级,包括整个企业、各职能部门、各条业务线及下属各子公司。《全面风险管理框架》三个维度的关系是:全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。
二、内部控制与全面风险管理的联系
1.全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素。从时间先后和内容上来看,全面风险管理是对内部控制的拓展和延伸。
2.内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是国内外许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
3.内部控制是风险管理的重要手段。内部控制是风险管理的重要手段体现在以下三个方面:第一,采用内部控制措施可以处理大部分风险。就一般工业企业而言,除采取保险等措施外,大部分风险都可以通过采取内部控制措施来解决,而这也正是我们所熟悉的,如内部牵制措施、预算控制、实物控制、运营分析等。如果主要通过外包方案或者外部的其他力量来解决风险,其比采用内部控制控制措施的成本会高很多。第二,可以采取内部控制和其他措施联合解决的部分风险。内部控制措施可能只能在一定程度上解决某项具体风险,或者说仅采用内部控制措施还不能使风险保持在可以承受的范围内,因此必须协同其他措施进行联合管理,如外汇风险、被收购的风险、税务风险等,以税务风险为例,企业聘请中介机构代为申报纳税,或者由中介机构对企业税务申报情况出具审核报告,从而减少税务合规性风险。第三,对于完全采取内部控制以外恶其他措施解决的风险在实务中非常少见。
三、内部控制与全面风险管理的差异
1.两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
2.两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
3.两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在COSO委员会的内部控制框架中,没有区分风险和机会。
4.两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。
四.与内部控制相比,全面风险管理在范围与内容上的扩大
简单地看,相对于内部控制框架而言,新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素,即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要,新框架还要求企业设立一个新的部门——风险管理部。新的风险管理框架比起内部控制框架,无论在内容还是范围上都有所扩大和提高,具体表现在:
1.提出一个新的观念―风险组合观
在单独考虑如何实现企业各个目标的过程中,企业风险管理框架更看重风险因素。除单独考虑各个风险因素之外,更有必要从总体的、组合的角度理解风险。企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可以超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。
2.增加一类目标—战略目标,并扩大了报告目标的范畴
内部控制框架将企业的目标分为三类――经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标,但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告,既包括内部报告,也包括外部报告;既包括企业内部管理者使用的报告,也包括向外部提供的报告;既包括法定报告,也包括向其他利益相关者年的非法定报告;既包括财务信息,也包括非财务信息。此外,企业风险管理框架比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。战略目标来源于企业的任务或对未来的预期,经营、报告和合法目标都与其相关。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
3.针对风险度量提出两个新概念—风险偏好和风险容忍度
风险管理框架是针对企业目标实现过程中所面临的风险,对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看,风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。一般从定性的角度将风险偏好分为风险喜好、风险中性和风险厌恶三种类型。此外,企业也可以采用定量的方法对风险偏好进行衡量,反映企业的目标、收益与风险之间的关系并进行权衡。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来。不同的战略给企业带来的风险也不同,在企业战略制定阶段就进行风险管理,就是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。
风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现的过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。将风险控制在风险容忍度之内能够在更大程度上保证企业的风险被控制在风险偏好的范围内,也就能够从更高程度上保证企业目标的实现。
4.增加了三个风险管理要素,对其他要素的分析更加深入,范围上也有所扩大
企业风险管理框架新增了三个风险管理要素——“目标制定”、“事项识别”和“风险反应”。此外,针对企业将管理的重心移至风险管理,风险管理框架更加深入地阐述了其他要素的内涵,并扩大了相关要素的范围。
(1)目标制定:在风险管理框架中,由于要针对不同的目标分析其相应的风险,因此目标的制定自然就成为风险管理流程的首要步骤,并将其确认为风险管理框架的一部分。
(2)事项识别:企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素,而且可能在企业的各个层面上出现,并且应根据对实现企业目标的潜在影响来确认风险。但是,企业风险管理框架深入探讨了潜在事项的概念,认为潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标的实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇,而存在潜在负面影响的事项则称为风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及事项的发生趋势进行计量。
(3)风险反应:企业风险管理框架提出对风险的四种反应方案――规避、减少、共担和接受风险。作为风险管理的一部分,管理者应比较不同反应方案的潜在影响,并且在接受的残存风险应在企业风险容忍度范围内的假设下,考虑风险反应方案的选择。在个别和分组考虑风险的各反应方案后,企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。
(4)控制环境:在控制环境要素上,企业风险管理框架更直接、更广泛地关注风险是如何影响企业的风险文化,无论是明确地还是无意地影响。企业的风险文化是企业员工共有的态度、价值、目标和行动的集合,它表明企业是如何认识风险的。
(5)风险评估:内部控制框架和企业风险管理框架都强调对风险的评估,评估特定风险发生的可能性和风险的潜在影响,但企业风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差的情形下的估计值或者事项的分布等技术来分析。最好能够找到与风险相关的目标一致的计量单位进行计量,将风险与相关的目标联系起来。风险评估的时间基准应与企业的战略和目标相一致,如果可能,时间基准也应与可观测到的数据相一致。企业风险管理框架还要求注意相互关联的风险,确定一件单一的事项如何为企业带来多重的风险。
(6)信息和沟通:企业风险管理框架扩大了企业信息和沟通的构成内容,认为企业的信息应包括来自过去、现在和未来潜在事项的数据。历史数据可以使企业将实际的经营成果与目标、计划和预期相比较,以深入了解企业在过去不断变化的市场条件下是如何经营的。现在状况的数据可以向企业管理者提供更多重要的信息,而未来潜在事项的数据和潜在的影响因素可以帮助完成对信息的分析。企业的信息系统的基本职能应以时间序列的形式收集、捕捉数据,其收集数据的详细程度则视企业风险识别、评估和反应的需要而定,并保证将风险维持在风险偏好的范围内。此外,由于各管理层是企业风险管理(或者内部控制)的组成部分,并为企业的风险管理(或者内部控制)提供信息,因此,两个框架对不同管理层的地位和责任都比较关注。但相对于内部控制框架,企业风险管理框架提出设立新的风险管理部门并规定了风险管理员的地位和职责,同时扩大了董事会的职责。
研1310 蔡烨路 132060461
第四篇:论银行内部审计风险与控制
论银行内部审计风险与控制
随着我国金融业参与国际金融业程度的不断提高,现代管理技术和理念不断被引入我国银行内部管理活动中,内部审计(以下简称“内审”)开始成为银行整体内部管理工作的重要一环。内审部门在银行管理中的作用日渐突出,与此相应的就是内部审计的风险也越来越引起有关各方的关注。
一、金融机构内审风险的表现形式
1.违规操作风险,即没有遵守上级行的操作规程和有关规定实施审计活动而引起的所谓上诉风险。形成原因部分属于制度体制层面,部分属于内审技术层面。目前阶段,银行系统均就内审方面制定了若干规定,大多是以“制度”、“操作规程”、“办法”等形式存在,这些规章制度是内审部门行使职责时必须要遵守的,但实际工作中受诸多情况的影响,存在不自觉的实际偏差,这些偏差使内审部门“执法”行为的“合法性”受到质疑。如在现场审计活动中,应该就查出的问题征求被审计单位有关人员的意见,但有些内审人员却忽视了这点,由此带来了被审计单位最后并不认可这种问题的存在,或上级行虽然下发内审结论,但被审计单位又提出复议要求等。
2.取证不当风险,即所取得的审计证据不充分或者是不恰当而形成的风险。这是在现场审计工作中普遍存在的一种内审风险,一般都是属于技术层面的原因造成的。按照现行内审操作一般规定,对查出的问题必须要有证据予以证明,即内审不仅仅是查出问题,更重要的是要有证据证明这是个问题,即查证问题。对查出的问题如果不取得足够的证据予以说明,容易引起这样两个后果,一是没证据下结论,不符合内审的一般操作规定,从而转化为违规操作风险;二是没证据就下结论使内审结论没有说服力。同时也不利于各级领导进一步思考这一违规问题。同时,由于没在现场及时取得相关证据,为少部分人篡改证据留下隐患。
3.查证不实风险,即对重要的审计事项查证不实、揭露不力而形成的风险。无论是商业银行,还是中央银行,内审风险在查证不实方面具有明显的银行业特点。银行内审主要是审计检查银行的业务,尤其是侧重检查潜在风险程度高的业务,由于银行业务的行业特征,若干业务的风险识别具有较高的难度。如联行业务,随着近几年银行联行资金被盗或挪用案件的不断发生,有关各方对内审监督的力度和作用提出了质疑,并且认为内审部门应该在联行资金安全方面负有一定的责任。但公平而论,就目前银行内审部门来说,单纯从事后检查的角度要确保银行联行资金的安全,确实是勉为其难。但是,无论是本行管理层,还是一般员工,对本行内部发生的案件,尤其是业务方面的案件,总是要问内审部门查没查过确是不争的事实。
4.定性不准风险,即引用法律规定、业务规章不当或者是定性措辞不尽规范而导致的风险。这是目前普遍存在的一种内审风险,也是制约内审工作整体水平发挥的主要风险形式。定性不准包括三种可能:一是定性错误,内审人员对查出问题的判断完全是错误的,如在对贷款进行分类时,没有依据借款人的主营业务收入判断借款人的还款能力,而是依据贷款的担保对象或抵押物的保证程度来判断其被归还的可能,将本来应该划分为次级的贷款,划分为正常,就属于定性错误;二是夸大错误的程度,如对主管会计行长定期检查制度执行情况的检查,从有关各方得到的信息是主管行长第三季度进行了检查,有检查书面材料,但在相关登记簿上没有行长的签名,定性为登记簿记录不全比较准确,而定性为主管行长没有认真执行定期检查制度,就属于夸大错误事实;三是缩小错误程度,检查发现某支行将贷款利息收入部分退还原借款人,应该定性为截留利润而定性为低于国家规定利率发放贷款,就属于缩小了错误的程度。
二、防范内审风险的措施
1.加强内控建设,降低控制风险。由于控制风险的存在,加大了内审风险的总体水平。因此,首先从降低控制风险入手就成为防范内审风险的首要选择。控制风险的存在形式决定必须从加强内控建设开始防范控制风险。
一是要弄清楚内审部门在本行内控建设中的地位或作用,银行的内控建设是一个宠大的系统工程,内审是重要组成部分,专门的监督职责使内审部门在整个单位的内控建设中处于较为特殊的地位,内审部门既是全行内控的一环,同时又较其他业务部门处于相对独立的地位。从内审可以行使“管理咨询职能”的角度,内审部门在整个内控建设中可以发挥规划、咨询、协调、督促的作用。二是银行的内控建设一定要突出防范和控制风险的特点,银行属于高风险行业,风险对银行来说是最大的威胁,因此银行内控建设涉及到的所有内控要素,都要从这个方面考虑,只有在充分控制好可能的风险的前提下,银行才能够考虑盈利和发展。内审部门在内控建设方面的作用也要强调这点。三是内审部门要加大对内控要素的监督评价力度,不但要在一般性的业务活动中突出对内控要素的监督,而且要制定专门的内控要素监督评价办法,把对内控要素的监督评价纳入内控建设的整体框架之内,以通过科学有力的内控监督活动,促进全行内控建设总体水平的提高,达到降低控制风险的目的。
2.强化内审自身建设,降低技术因素造成的检查风险。虽然内审部门可以通过督促全行的内控建设,达到降低控制风险,进而达到降低内审风险的目的,但结果如何不是内审部门可以控制的。内审部门能够控制的和对降低内审风险最有意义的还是在内审部门自身。
(1)加强内审部门自身的制度建设。各家银行总行内审部门应该认真考虑,把内审部门自身制度建设纳入全行内控建设整体框架中思考,按照内控制度的基本要素检查、规范和完善内审部门的各项规章制度。建立健全内审专业各项内部管理制度,把内审部门应该承担的责任以制度的形式固定下来,分监督对象或专业制定内审操作规程,进一步明确内审操作规程在内审检查活动中的重要性。
(2)尽快识别和界定内审监督检查的重点。内审监督活动既不是业务部门的即时复核,也不是事后监督。一般情况下,内审部门不可能对所有的监督领域和所有的内容进行全面的监督,也不可能在第一时间对这些业务内容实施监督,尽管从审计种类上存在全面审计或跟踪审计,但这仅仅是相对的。因此,从节约内审资源、提高内审效率和效果的角度考虑,就是必须找出内审部门必须要监督的内容,即我们通常说的检查重点。这项工作应该由各家银行总行内审部门负责,分别不同类别的行处和业务种类,集中业务专家,按照业务流程逐项分析判断内审监督的关键点。
(3)树立项目管理理念,加强现场内审管理。从我们对银行内审项目档案的检查分析来看,属于事故性项目的(体现出一定的内审风险特征)一般与现场操作有关。许多基于内审人员技术成分造成的检查风险,可以通过加强现场操作来予以防范。另外,从多家银行的内审操作规程分析,在银行内部已经开始把内审查处活动当作一个项目来对待。随之而来的就是按照项目操作要素组织实施内审项目,主要包括以下内容:一是科学计划项目安排,有针对性地选择内审人员,确定现场实施的时间、具体检查的重点和抽样比例等;二是明确现场项目操作管理岗位责任制,组长、主审人、小组长和其他成员分别代表不同的岗位,每个岗位的责、权、利都要通过一定形式予以确立,现场需要做的就是通过一定的组织形式坚决落实这些规定;三是确立项目整体操作的概念,从发出内审通知书到进入现场、调阅资料、抽取样本、实施检查、记录底稿、起草事实确认书、撰写初步意见、形成内审报告等所有的内审行为,均是围绕一个整体,即高质量地完成本次内审任务,任何一个环节的失误或偏差都有可能加大检查风险。
(4)建立健全必要的内审评价标准和指标体系。银行内审作为本行内部的一项管理监督行为,必须坚持统一的标准和尺度,即确立适合本行的内审行业标准,这对充分发挥内审的“管理咨询”作用是必要的。哪些内审项目需要确立统一的评价标准,以及应该确立怎样的标准和指标,这些都是内审部门要研究和思
考的问题。行长离任审计(稽核)作为对领导干部的一种监督形式,按要求需要对行长领导干部进行评价,如何进行评价就需要确定统一的标准和相应的指标;上面也分析到了对内控进行监督评价,从纵横比较的角度分析,也应该确定评价标准和指标体系。
(5)加强内审人员素质训练。从审计员水平决定审计工作水平的角度,加强内审人员素质训练是防范内审风险的措施之一。如何训练是重点。首先必须确保内审人员拥有基本的文化素养,这可以从内审人员优化和鼓励在职学习提高来解决,这是训练的基础。其次是确立各自银行内审工作的职业文化和现代审计工作理念。只有拥有具有显著行业特点的内审职业文化,才能为培养合格的内审从业人员打下牢固的职业素养基础。现代审计工作理念,可以引导内审人员确立开放式的思维模式,从管理学的角度认识内审活动,在坚持审计学基础理论地位的同时,借鉴管理学的理论指导内审检查活动。再次就是教授内审人员基本的审计技术知识。实践证明,看似非常简单的一般审计技术知识,在内审人员中还是有一定障碍的。最后就是培养提高内审人员的分析、判断、总结问题的能力,通过现场实践、集中案例讲解,在“学习——实践——学习”中提高内审人员这样的能力。
第五篇:内部控制与风险管理
企业内部风险控制与财务管理
一、企业的风险管理与内部控制
企业的风险管理从本质上也应当是以内部控制为前提,是以内部的风险为主要对象的进行的有效和适当的管理。现代企业面临的激烈的市场竞争和恶劣的生存环境。各种经济活动都伴有风险的存在,会产生不同的结果。企业(组织)的终极目标就是利益的最大化,企业始终生存在成本和利润之间。从影响这些要素发生风险的原因,主要是外部的市场环境风险和内部特有风险.外部风险如:政治环境、宏观经济环境、自然灾害和意外等企业外部的风险,也称为系统风险。内部风险包括组织治理结构、内部控制缺陷、管理者的素质经营特点等形成的经营风险——企业生产经营过程的不确定性;财务风险——企业举借债务给财务成果带来的不确定性;法律风险——作为经济活动的平等民事主体之间法律行为活动的诉讼风险等,也称为非系统风险。
对于前者是每个企业所共同面临的风险,是企业自身无法预见和控制的。因此,企业风险管理的理想途径应当首先是完善防范企业财务风险和经营风险管理体系,包括:法人治理结构、风险管理组织、财务运营和公司运营的政策与程序、内部审计系统等。加强对内部风险的识别和把握,以内部各种可能发生偏离目标的不确定因素为控制点,建立起风险管理机制和体系,来应对内部风险,并进而对企业整体风险进行管理。
根据调查,企业面临的外部风险和内部风险大至有以下18种重要的风险因素: ⑴ 单位内控系统的有效性决定了风险的大小; ⑵ 管理者的能力大小,决定风险的大小;
(3)管理者的正直度,正直的管理者可以保障职责的完成和风险的减小;(4)单位的规模。单位规模大潜在的风险就高;(5)会计系统的变动,变动后的信息系统风险很高,(6)经营业务的复杂程度,越复杂,出错的几率越大;(7)要职人员的变动,会增加或至少带来不确定性;(8)经营环境恶化,会促使管理人员不顾一切歪曲业绩;(9)资产流动性,流动性大,发生损失的机会就越大; ⑽ 企业快速增长,在生产费用控制方面的风险会增加; ⑾ 信息化程度,若无严格的分工,会带来失控; ⑿ 审计的间距,频繁审计能降低风险;
⒀ 管理者的目标压力,压力大会不择手段,生产费用不宜控制;
⒁ 政府法规的范围,约束的程度越高,违法机会就越高,公司面临的风险就大; ⒂ 员工士气,低的地方就是问题所在,风险所在的地方; ⒃ 独立的审计计划;
⒄ 公开程度。增加透明度可降低风险; ⒅ 距总部的距离。
从以上可以看出企业面临的最直接和频繁的来自于企业内部的管理风险,而这些风险是企业能够并且应该可以预见、识别和控制的。
二、企业的财务管理与风险控制
(一)何谓企业财务管理与财务管理风险
财务管理是企业管理的一个组成部分,它是根据财经法规制度,按照财务管理的原则,在一定的整体目标下,关于资产的购置(投资),资本的融通(筹资)和经营中现金流量(营运资金),以及利润分配的管理。简单的说,财务管理是组织企业财务活动,处理财务关系的一项经济管理工作。财务管理风险是指企业财务活动中因存在不确定性或不可控因素,在一定时期内使企业财务收益与预期收益发生偏离,从而蒙受损失的可能性。
(二)财务管理风险控制
财务管理风险控制,即控制企业财务管理方面面临的各种风险,深入理解财务管理风险,分析财务风险形成的根源及不同财务风险形成的具体原因,完善企业资本运营风险防范体系、建立有效的内部控制体系以及精确的财务分析制度,从筹资、投资、经营与收益分配四个方面控制财务风险,从而有效地控制财务风险。
三、我国企业财务风险控制现状
(一)经验决策和主观决策现象严重。
很多企业决策者对企业财务决策风险的认识不足,普遍存在经验决策和主观决策的现象,由于盲目投资导致企业投资损失巨大。在固定资产投资决策过程中,很多企业事前对投资项目的可行性没有进行充分系统的分析和研究,另外为决策所提供的信息也存在缺失和不真实,加上决策者决策能力良莠不齐等原因,使得企业在进行投资决策时,经验决策和主观决策往往起到了决定作用,从而导致投资决策失误,影响了企业的经营秩序,从而给企业带来了较大的财务风险。
(二)企业财务风险管理制度存在诸多缺陷。
我国企业产生财务风险的一个重要因素就是由于企业财务风险管理制度不完善,进而导致了企业内部财务关系的混乱。目前许多企业的预算管理系统不完备,企业的市场监控机制存在诸多不健全的地方,财务的内部控制制度不成熟,企业的成本控制制度不完善,企业的资金管理控制制度失效,信息传输系统滞后和不准确,日常先进管理制度不完备。企业与内部各部门之间及企业与上级企业之间,在资金管理及使用、利益分配等方面存在权责不明、管理混乱的现象,以至于造成资金使用效率低下,资金流失严重,资金的安全性、完整性无法得到保障。
(三)防范企业财务风险的方法比较匮乏。
主要表现在不能合理利用财务杠杆,企业财务风险综合防范手段不够完善,前者是有的企业不顾财务风险去追求融资财务效应,有的企业则是走向了另一个极端,也就是轻视财务杠杆,推崇零负债;后者主要表现在企业财务预警模型的缺陷,突出的特点是几乎所有的财务模型都集中在寻找最佳的公开财务指标来预测财务危机,但是这个模型存在诸多缺陷,即稳定性不够,采用不同的样本得到的预警模型存在显著的差异,而且同一模型的适用范围在很大程度上受到限制。且财务预警模型的运用主要是集中在上市公司,而对一些容易破产的私营企业和民营企业研究较少。
四、企业面临的财务风险类型及成因
1、财务风险的类型
财务风险以资本运动环节的存在形态分析,可划分为筹资风险、投资风险,经营风险和收益分配风险四种风险类别。筹资风险是到期无法偿还本金和偿付资本成本的可能性;投资风险是无法取得期望投资报酬的可能性:经营风险是无法卖出产品并收回企业所垫支本金的可能性;收益分配风险,是由于收益取得和分配而对企业价值产生影响的可能性。
2、财务风险的形成原因
(1)筹资风险的成因。筹资风险,即指狭义的财务风险,即到期无法偿还本金和偿付资本成本的可能性。虽然企业筹资风险只存在于有负债的企业,但就现代企业的发展模式而言,任何企业的经营活动都会或多或少的产生筹资风险,筹资风险是所有财务风险的起点。(2)投资风险的成因。投资风险即由于不确定因素的存在而无法取得期望投资报酬的可能性。投资风险有投资结构风险、投资项目风险与投资组合风险。
(3)资金回收风险的成因。资金回帐风险,即指企业投入的本金经过生产经营过程之后,不能回到起点的风险。资金回收风险产生的原因也分为外因和内因。外因指宏观经济的影响。目前说明此问题的最好的例子就是美国的金融海啸。内因指企业的营销政策、信用政策等因素。
(4)收益分配风险的成因。收益分酝风险,即收益取得和分配对企业价值产生影响的可能性。收益分配风险是所有财务风险的释放。收益确认和收益分配行为是收益分配风险产生的两个方面。收益确认的风险指由于收益确认不当而带来收益超分配的可能性。
五、加强企业财务风险控制的原则
企业财务风险控制是企业整个经营管理系统的重要核心内容。企业在制定和实施财务风险控制策略的过程中必须遵循和利用企业管理的基本原则以及风险控制本身所要求的其他原则,这些原则主要包括以下几个方面:
(一)符合企业总目标的原则。
企业财务风险控制作为企业整体经营管理活动的一部分,其风险控制目标和策略的制定应该而且必须符合企业发展总目标的要求。对于企业局部或部门经营活动出现的风险制定和实施风险控制策略时,要考虑控制局部风险可能对企业整体风险防范与控制目标的影响,不能因片面追求局部利益或部门利益而损害企业的整体利益。企业局部风险控制策略的制定应以整体风险控制目标为指导思想。
(二)风险防范与风险处理相结合的原则。
风险防范与风险处理相结合是企业财务风险控制总体目标本身所要求的。企业利益主体在认识和掌握财务风险本质的基础上,能够采取一定的策略措施以避免某些风险损失的发生。但由于风险控制主体自身能力的限制和外部环境的复杂多变,企业某些风险损失的发生在所难免。这就需要企业采取一定的策略措施进行风险损失的处理。只有风险控制策略与风险处理策略相结合,才能达到风险控制的最佳效果。
(三)长短期利益相结合的原则。
企业财务风险控制主体应认真分析风险的性质及其可能造成损失的严重性,在企业因采取风险控制措施致使风险成本增加而减少的近期利益与企业长远利益安全保障程度的提高之间做出权衡,以防因贪小而失大。
(四)动态适应性原则。企业自身成长过程及外部环境的动态变化使得企业在不同的发展阶段面临不同的风险引发因素,如在企业初创阶段其风险因素更多地体现为技术的不确定,在企业稳步发展阶段,其风险因素则可能更多地体现为管理方面的因素等。所以企业财务风险控制策略的制定和实施应注意其动态适应性。
(五)成本效益比较的原则。
以最小的成本获得最大的安全保障是企业财务风险控制的内在要求,如果规避风险获得的收益未能弥补为防范与控制风险所投入的费用,则企业就失去了控制风险的必要。因此企业经营者必须以科学的态度和战略的眼光开展企业的风险控制活动。
六、完善企业财务风险控制的措施
(一)提高企业决策者的财务风险意识。
企业财务风险意识,是企业在进行财务活动时对市场可能出现的消极情况的一种自我防范意识。企业财务风险意识很大程度上取决于企业管理者和员工对风险的态度。企业应该确立正确的财务风险管理理念,积极提高员工的财务风险意识,提供有利于培养员工财务风险管理意识的环境,对企业的领导和全体员工进行广泛的风险意识教育,确立正确的财务风险管理的观念,防止好大喜功、不顾成本和不看市场的盲目管理行为。
(二)努力完善企业财务风险管理制度。
企业建立严谨的财务风险管理制度是防范财务风险不可缺少的重要措施,一个企业没有明确的财务风险管理制度,就没有明确的财务风险管理目标和方向,在财务管理中必然是效率低下。建立和强化企业内控机制,可以通过提高财务风险认识,强化资金管理,提高资金的使用效率,加强财产控制即对存货和应收账款的管理。
(三)建立健全资本预算体系。
在现金管理方面,企业应建立资本预算体系,实行预算控制,对企业的现金实行预算控制管理。企业现金流量预算的编制,是财务管理工作中重要一环,准确的现金流量预算,可以为企业提供预警信号,使企业经营者能够及早采取措施防范财务风险。为能准确编制现金流量预算,企业应该将各具体目标加以汇总,将预期现金收支的状况,以周、月、季、半年及一年为期,建立滚动式现金流量预算。
(四)建立健全内部审计控制制度,实行内部监督责任制。
内部审计是在一个单位内部对各种经营活动与控制系统所进行的独立评价,它由独立于被审部门的内部审计机构或内部审计人员来完成,是为了检查单位内部各项既定的政策、程序是否贯彻、建立的标准是否遵循、资源的利用是否合理有效以及企业的目标是否达到。内部审计既是内部控制的不可或缺的重要组成部分,又是实现内部控制目标的重要手段,内审制度的完善是健全内部控制制度的重要内容。同时,实行内部监督责任制,内部监督系统实行一把手负责,并将审查结果向企业董事会或最高管理当局报,可以有效避免渎职、不作为情况,切实保证内部监督的及时、准确、到位。
(五)企业必须重视对内部财务控制制度管理人员的选用。
设计得再完善的内部财务控制制度也需要称职的人员来执行,企业的用人政策直接影响着企业能否吸收有较高能力的人员来执行控制制度,所以,必须重视对内部财务控制制度管理人员的选用和培训,提高人员的素质,定期进行考证,奖优罚劣。具体讲,除领导本身应以身作则起表率作用外,还应做好以下几点工作:第一,要及时掌握企业内部会计人员思想行为状况。内部业务人员、会计人员违法违纪,必然有其动机,因此企业领导及部门负责人要定期对重点岗位人员的思想和行为进行分析,掌握可能使有关人员犯罪的外因,以便采取措施加以防范和控制。第二,对企业人员进行职业道德教育和业务培训。职业道德教育要从正反两方面加强对会计人员的法纪政纪、反腐倡廉等方面的教育,增强会计人员自我约束能力;加强对会计人员的继续教育,减少会计业务处理的技术错误。
(六)建立良好的信息化系统,提高企业内部财务控制效果。
一个良好的信息沟通系统可以使企业及时掌握营运状况,提供内容全面、及时、正确的信息,并在有关部门和人员之间进行沟通,同时避免人为因素对内部财务控制效果的影响。中国烟草行业正处在像以产权为纽带的现代企业转变之中,烟草行业的各类生产要素与经营资源开始了新一轮的重组,跨地域的集团化、资产一体化管理成为了烟草工业企业集团的主旋律。对于带有明显的计划经济和专卖体制下的特点的卷烟工业企业,必须建立一个有着统一的财务制度、核算标准和信息系统的集团财务信息系统,以现代企业集团的以业务流程为导向的管理思想为指导方针,通过信息化手段来实现财务管理上的事前计划、事中控制和事后分析,才能适应烟草工业企业的集中化、扁平化的发展趋势的需要。
(七)提高财务风险防范的技术方法盒财务风险预警机制。
提高财务风险防范的技术方法主要包括:分散法,即通过企业之间联营、多种经营及对外投资多元化等方式分散财务风险;回避法,即企业在选择理财方案时,应综合评价各种方案可能产生的财务风险,在保证财务管理目标实现的前提下,选择风险较小的方案,以达到回避财务风险的目的;转移法,即企业通过某些手段将部分或全部财务风险转移给他人承担的方法;降低法,即企业面对客观存在的财务风险,努力采取措施降低财务风险的方式。另外,企业应建立适合自身特点的财务风险预警机制,该系统不仅应包括流动比率、速动比率、资产负债率等财务指标,还应包括企业经营中一系列诸如产品合格率、市场占有率等指标,对财务管理实施全过程监控,一旦发现某种异常征兆应着手应变,以避免和减少风险损失。
![下载论企业战略风险与内部控制的关系[优秀范文5篇]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 