第一篇:COSO内部控制与企业风险管理整合框架的比较
COSO内部控制与企业风险管理整合框架的比较
企业风险管理整合框架在内部控制整合框架的基础上增加了一个新观念,一个战略目标,两个概念和三个要素。即风险组合观,战略目标,风险偏好、风险容限的概念以及目标设定、事项识别、风险应对要素。
(1)在内部控制郑和框架的基础上,企业风险管理框架引入了风险组合观。对企业内部而言,其风险可能落在该单位的风险容限范围内,但从企业总体来看,总风险可能会超过企业总体的风险偏好范围。因此企业风险管理要求以风险组合观看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。
(2)内部控制整合框架将企业的目标分成三类,即经营目标、报告目标、合规性目标。其中经营目标、合规性目标与风险管理框架相同,但报告目标有所不同。企业风险管理整合框架中,报告被大大地拓展为企业所编制的所有报告,包括对内、对外的报告,而且内容不仅包含更加广泛的财务信息,而且包含非财务信息。
另外,企业风险管理整合框架增加一大目标,即战略目标,它处于比其他目标更高的层次。战略目标来自一个企业的使命或愿景,因而经营目标、报告目标和合规性目标必须与其相协调。
(3)企业风险管理构架引入风险偏好和风险容限两个概念。风险偏好是指企业在追求愿景的过程中所原意承受的广泛意义的风险数量,它在战略制定和相关目标选择时起到风向标的所用。风险容限是指在企业目标实现过程中所能接受的偏离程度。在确定各目标的风险容限时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来,将风险控制在风险可接受程度的最大范围内,以保证企业能在更高的层次上实现企业目标。
(4)企业风险整合框架在内部控制整合框架的基础上新增了三个风险管理要素:目标设定、事项识别、风险应对,它们将企业的管理中心更多地移向风险管理。同时,在内部环境中,强调了董事会的风险管理理念。因此,企业风险管理郑和框架拓展了COSO的风险评估要素。
(5)其他要素在风险管理整合框架中的扩展
在控制活动要素中,企业风险管理整合框架明确指出,在某些情况下,控制活动本身也起到风险应对的作用。
在信息与沟通要素中,企业风险管理整合框架扩大了企业信息和沟通的构成内容,认为企业的信息应包括来自过去、现在和未来潜在事项的数据。
在职能与责任描述中,企业风险管理整合框架要求企业设立新的部门,即风险管理部门,并描述了风险管理官的职能与责任,扩充了董事会的职能。
以下表格为内部控制整合框架与企业风险管理整合框架的比较:
采购人员为了私人利益在采购中没有进行比价管理,而是选择有回扣的供应商,这往往造成采购材料质量得不到保证,或者价格高于市场平均价,企业利益受损。因此,有效控制采购人员收受回扣时是企业在采购环节应着重注意的事项。
上述控制采购人员收受回扣,体现了以下几个方面的内部控制环节:
1、职工素质控制。对采购人员的法制教育和道德教育,尤其是职业道德教育,应该是企业经常性的工作。文中所提到的具体方法值得提倡。
2、岗位责任和岗位轮换制度。公司与采购员分别签订违约金巨大的廉政合同,明文规定,如果采购人员收受回扣,经查明,则处以几倍甚至几十倍的罚款,以这样的形式能够使采购人员对回扣忘而却步。另外,采购人员要定期轮换,防止一个人长期联系某些供应商或者长期采购同一货物,减少舞弊的可能性。
3、公司开放、透明采购渠道,建立供应商资料系统,实施比价管理。只有这样,才能使采购环节的询价与确定供应商的职务分离更加有意义,公司采购能有更多的选择,也使得公司能够以更低的价格购入更优质的货物、固定资产等。同时,透明采购渠道,也使得采购人员能够无形中受到供应商的监督,不敢轻易收受回扣。
4、加强监督体系。好的内部控制体系应该具有强有力的监督体系。有专人负责对采购人员的采购行为进行监督,定期抽查采购人员的采购价格,与其他供应商相比较。同时也应关注采购人员所采购物资的质量。
上述几个方面的内部控制环节做好了,采购人员收受回扣的现象就会得到很大程度的遏制。
从表面看,上述失控情形是企业因求货心切、因受骗上当而造成的直接经济损失;而从内控角度分析,是由于企业控制意识缺失、工作粗枝大叶等产生的管理失控。在不了解供货方信用状况与否以及有无货物供应的情况下就盲目预付款项(定金),这样的企业与管理现状确实是很容易上当受骗的,教训十分深刻。
如何加强采购环节中预付款的内部控制,至少应当关注以下几个方面
(一)应当建立严格的订货控制制度 订货是整个进货过程的核心,通过订货程序控制,有助于控制企业整个进货过程。而一个人主观武断说了算,无视订货程序控制的企业,很容易导致舞弊或损失产生。
通常,订货控制应主要考虑以下几个方面的重要环节:
1.慎重选择供货单位,必要时派人到供货单位调查其设备状况、技术水平和产品质量; 2.审核供货单位的供货条件,其中包括价格、运费、运货能力、以及维修服务能力等; 3.调查了解有关供货单位的信誉和财务状况等。
企业只有在充分考虑上述因素后,采购部门才可以择定供货单位,签订合同或发出订货单。
(二)应当建立严格的合同审核制度
上述案例中预付一半定金的合同并不符合合同管理的要求,无效的合同在缺乏内部控制的企业中却通行无阻,实在令人担忧。
企业采购部门在办理付款业务时,应当对采购合同协议约定的付款条件以及采购发票、结算凭证、检验报告、计量报告和验收证明等相关凭证的真实性、完整性、合法性及合规性进行严格审核,并提交付款申请,财务部门依据合同协议、发票等对付款申请进行复核后,提交企业相关权限的机构或人员进行审批,办理付款。
财务部门应根据生产进度计划、采购计划、请购单、采购合同以及经批准的预付款项,才能办理预付款的支付手续。财会部门应当参与商定对供应商付款的条件,尤其要认真审查预付款的合同,必要时聘请法律顾问审查。如果是分期预付款项的,应严格分期支付手续。
(三)应当建立与健全后续检查制度
采购部门在发出订货单并办妥预付款手续以后,供应单位是否能按订货单所定的条件交货,需采购部门经常关注。采购人员在必要时可到供货单位查看产品的生产进度和检查质量,以保证供货单位按条件发货。同时,采购人员还应掌握本企业的生产进度,以确保供货单位的交货能够满足本企业的生产需要。采购部门对所进行的后续检查工作应做记录,以全面掌握材料的供应情况。
(四)应当建立与健全及时报告制度
采购人员或其他相关人员一旦发现供应单位有异常情况或有上当受骗的迹象,就应当及时报告上级主管部门,并及时处理,以尽量减少或挽回损失。
应当看到,加强采购与付款环节的控制应当深入、具体、细致、周到,并注重实效。
预算管理三大管理目标:第一,资金配置。将公司的管理资金进行合理的规划,根据各业务部门的业务预算进行各种资源的分配,保证各个部门的业务能保证各个部门的业务能够顺利地开展和实施。
第二,控制费用。各部门的业务支出必须严格控制在预算标准和限额之内,保证各种费用的支出与业务的相关性,严禁任何与业务无关的或超出业务量需求的支出,降低公司总体的费用成本。
第三,提高管理效率。通过预算管理,加强公司的内部控制、促进业务流程的规范与完善,提高企业的经营管理水平。
第二篇:COSO内部控制与企业风险管理
COSO内部控制与企业风险管理
1985年,由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务报告委员会(通常称Treadway委员会),旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。两年后,基于该委员会的建议,其赞助机构成立COSO(Committee of Sponsoring Organization,COSO)委员会,专门研究内部控制问题。1992年9月,COSO委员会发布《内部控制整合框架》(COSO-IC),简称COSO报告,1994年进行了增补。这些成果马上得到了美国审计署(GAO)的认可,美国注册会计师协会(AICPA)也全面接受其内容并于1995年发布了《审计准则公告第78号》。由于COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成,成为现代内部控制最具有权威性的框架,因此在业内倍受推崇,在美国及全球得到广泛推广和应用。
→在《COSO内部控制整合框架》中,内部控制定义为 :由一个企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:(1)财务报告的可靠性;(2)经营的效果和效率;(3)符合适用的法律和法规。《COSO内部控制整合框架》把内部控制划分为五个相互关联的要素,分别是(1)控制环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)监控。每个要素均承载三个目标:(1)经营目标;(2)财务报告目标;(3)合规性目标。
→自1992年美国COSO委员会发布《COSO内部控制整合框架》以来,该框架已在全球获得广泛的认可和应用,但理论界和实务界一直不断对其提出一些改进建议,强调内部控制整合框架的建立应与企业风险管理相结合。2002年颁布的萨班斯法案也要求上市公司全面关注风险,加强风险管理,在客观上也推动了内部控制整体框架的进一步发展。与此同时,COSO委员会也意识到《内部控制整合框架》自身也存一些问题,如过分注重财务报告,而没有从企业全局与战略的高度来关注企业风险。正是基于这种内部和外部的双重因素,新框架必须出台以适应发展需求。
→2003年7月,美国COSO委员根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft),该讨论稿是在《内部控制整合框架》的基础上进行了扩展而得来的,2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM),标志COSO委员会最新的内部控制研究成果面世。
→COSO企业风险管理的定义 :“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。企业风险管理本身是一个由企业董事会、管理层、和其他员工共同参与的,应用于企业战略制定和企业内部各个层次与部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面,流程化的企业风险管理过程,它为企业目标实现提供合理保证。
→在内部控制整合框架五个要素的基础上,COSO企业风险管理的构成要素增加到八个:(1)内部环境;(2)目标设定:(3)事项识别;(4)风险评估;(5)风险应对;(6)控制活动;(7)信息与沟通;(8)监控。八个要素相互关联,贯穿于企业风险管理的过程中
COSO是全国虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文缩写。根据萨班斯法案第404节条款以及美国证券交易委员会(SEC)的相应实施标准,要求公众公司的管理层评估和报告公司最近的财务报告的内部控制的有效性。2004年3月9日,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》(也称“COSO内部控制框架”)。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。
1992年Treadway委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》(Interna Control-Integrated Framework)报告,即通称的COSO报告。该报告第一部分是概括;第二部分是定义框架,完整定义内部控制,描述它的组成部分,为公司管理层、董事会和其他人员提供评价其内部控制系统的规则;第三部分是对外部团体的报告;是为报告编制报表中的内部控制的团体提供指南的补充文件;第四部分是评价工具,提供用以评价内部控制系统的有用材料。
COSO报告提出内部控制是用以促进效率,减少资产损失风险,帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标:经营的效率和效果(基本经济目标,包括绩效、利润目标和资源、安全),财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和符合相应的法律法规。
[编辑本段] COSO报告中内部控制的组成
1.控制环境(Control environment)
它包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。控制环境影响员工的管理意识,是其他部分的基础。
2.风险评估(risk assessment)
是确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。
3.控制活动(control activities)
是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。
4.信息和交流(information and communication)
信息系统产生各种报告,包括经营、财务、守规等方面,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。
5.监控(monitoring)
监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。
[编辑本段] COSO报告中内部控制的职责
(l)管理层:CEO最终负责整个控制系统。对大公司,CEO可把权限分配给高级经理,并评价其控制活动,然后,高级经理具体制定控制的程序和人员责任;对小公司,一切可更为直接,由最高经理具体执行。
(2)董事会:管理层对董事会负责,由董事会设计治理结构,指导监管的进行。有效的董事会应掌握有效的上下沟通渠道,设立财务、内部审计等职能,防止管理层超越控制,有意歪曲事实来掩盖管理的缺陷。
(3)内部审计师:内审对评价控制系统的有效性具有重要作用,对公司的治理结构行使者监管的职能。
(4)内部其他人员:明确各自的职责,提供系统所需的信息,实现相应的控制;对经营中出现的问题,对不合法、违规行为有责任与上级沟通。
(5)外部人员。公司的外部人员也有助于控制目标的实现,如外部审计可提供客观独立的评价,通过财务报表审计直接向管理阶层提供有用信息;另如法律部门、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。
[编辑本段] COSO报告的现实意义
COSO报告是在美国金融风险加剧,财务欺诈抬头,社会各界对内部控制和独立审计师寄予厚望的“危难”时刻,由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。COSO报告中蕴涵了许多崭新的理念和思想。这些理念和思想,不仅对过去,而且对现在甚至未来的企业管理、财会工作和独立审计都有着重要影响。主要有以下几个方面:
1.准确定位内部控制基本目标。COSO报告指出内部控制本身不是目的,而是实现目标的手段。内部控制目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。用中国话来说就是为企业的经营和管理工作“保驾护航”。
2.提出三类目标、五项构成要素概念。COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概念的提出,为评价内部控制系统提供了一套完整的标准,使COSO报告在理论和实际应用两个方面都较原来的内部控制学说有一个质的飞跃。
3.提出内部控制是“过程”,并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素构成。五项控制要素不是内部控制过程中先后顺序上的一道道工序,而是一个多方向交叉的多维的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。
4.强调“人”的重要性。COSO报告指出人和环境是推动企业发展的引擎。内部控制是由人来设计和实施的,企业中的每位员工都受内部控制的影响,并通过自身的工作影响着他人的工作和整个内部控制系统。所以,要求所有员工都应清楚他们在企业、在内部控制系统中的位置和角色,并协调一致,才能推进内部控制的有效运转。
5.认识到董事会在内部控制中的作用。COSO认为董事会与公司内部控制之间是有联系的,企业中一些行为需要董事会批准或授权。一个客观、能动和富有调查精神的董事会,能够及时发现并修正公司经理班子逾越内部控制的行炉。
6.强调内部控制系统系是“内置于”(built in)企业经营和管理过程中的一项基础设施(infrastructure),与管理活动的计划、执行和监控职能交织融合在一起,不是后天添加物(built on)。同时内控系统应有应对不断变化的客观世界的机制。
[编辑本段] COSO报告的局限性
COSO报告是以职业会计师为主体队伍的研究成果,应用的现实特别是面对美国财务危机的现状,显示COSO报告在控制能力上的差距。COSO报告中主要值得商榷的问题有:
1.没有充分认识到董事会对内部控制系统的至关重要性。虽然COSO报告把董事会与内部控制联系起来,但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权,基本上把内部控制限定在CEO之下,而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。这好比设计一幢大厦,只看到了地上部分,忽视了地下基础。
2.COSO提倡的反映内部控制运行状态的“管理报告”的信息含量和可信性值得怀疑。首先,从正常逻辑上考虑,如果一个企业的内部控制存在问题,企业能够如实地公示社会吗?第二,管理报告对内部控制的评价只是基于某一时点状况而言的。根据COSO报告,企业不需披露在此时点之前存在的但已被发现和更正的内部控制缺陷。第三,报告的范围仅限于与财务报告有关的内部控制,而财务报告只是经营结果的反映。笔者认为内部控制系统的评估和持续监测是绝对必需的,但COSO建议的这种评估和披露方式容易误导投资者。
3.COSO报告中的“合理保证”、“成本效益”等词语,基本上是从会计上直接移植过来的,对于规避注册会计师法律责任是有好处的。但对社会用户来说,增添了许多猜疑和无奈。到底什么算是“合理保证”,如何做到“成本效益配比”,在实践中恐怕很难说清楚。内部控制评价应通过提高评价标准和评价过程的客观性和透明度增加科学性。
4.把企业经营和管理中一些重要职能排斥在内部控制触角之外。COSO一方面指出内部控制与管理各功能(计划、执行和监控)交织在一起,是内置于企业经营活动之中的。另一方面却把目标设定、战略规划、核心竞争力培育、风险评估和管理等重要经营和管理活动排斥在内部控制系统之外。
5.基本目标与分类子目标之间存在差异。根据COSO报告,内部控制基本目标是促使企业实现经营目标,并减少经营过程中的风险,其中既涉及了企业生存,也关注了企业发展。发展和战略规划问题是企业所有问题的根本。而三类子目标,基本上都属于维持企业当期经营的范畴,着眼点在于企业生存,没有站在企业战略高度关注未来发展。另外,COSO报告将内部控制基本目标细分为三类特定目标的方法值得商榷。这种分类方法的缺陷在其与GAO就保护资产安全内部控制之讨论中,就表现出来了。COSO认为,保护资产安全内部控制属于经营效果效率目标的范畴,已经包括在经营效果效率内部控制之中,而GAO认为保护资产安全内部控制涉及到资产价值真实性的问题,对财务报告可靠性有重大影响,应该包括在财务报告内部控制之中。COSO也在报告中承认三类目标有时是重叠的。
6.评价内部控制有效性标准过于主观。根据COSO报告,内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程度。但评价标准基本上都是主观判断。其实,一个企业内部控制是否有效完全可以通过它客观的市场业绩体现出来,例如企业市场价值,客户满意度,持续获利能力增长情况等。
7.内部控制系统中会计与审计的色彩太重,考虑企业现存的和微观的或规避风险的事情多,与业务平台和业务拓展关系不大,防范风险也是被动的,缺乏能动性。所以,至今还有许多公司认为内部控制只是财务主管和财会人员的事情。
[编辑本段] COSO报告对我国企业的启示
企业是多重契约关系的组合,而股东会与董事会、董事会与经理班子之间的委托代理关系是其中最基本的契约关系,因此企业内部控制中的“内部”就应从组建法人治理结构开始。建立健全董事会功能是企业最根本的内部控制。“安然”、“施乐”和“世通”特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。同时,由于企业与外部关系人的经济联系和契约关系,在现代企业中发挥着越来越重要的作用,企业内部控制中的“内部”有时还要延伸至企业法律边界以外,将独立审计师、供应商资源、客户信用与需求和政府监管纳入企业内部控制系统。“控制”与“反控制”是一对永恒的矛盾,企业内部控制的目的是追求企业持续“得到控制”,确保企业各类契约关系持续而有序地运行,确保企业有一个好的战略目标和管理团队,并按照既定目标持续高效地发展和增值,为企业各类契约当事人发现并创造价值。企业内部控制是企业与生俱来的,它内置于企业经营和管理过程之中,并与之紧密联系、水乳交融,是同一事物的不同层面,不可割舍。
企业内部控制应是一个能动的驾御、监测和推动系统,它不仅要关心企业的现实生存,更应关注企业的未来发展;不但重视企业微观,同时也关心企业宏观;不只是简单的规避风险,更着眼于科学风险管理,重视通过业务发展减低风险;不仅要重视现行会计上已确认和计量的资产,更要关注人力资本、管理团队、核心竞争力、研发能力、客户资源、企业文化和品牌与商誉等软性资产在企业发展和控制活动中的重要作用,即在内部控制上要引入“全面资产”概念;不仅注重企业经理班子之下的内部控制,而且特别强调公司治理结构建设,强调企业法律边界以外可能对企业生存与发展有重大影响的各类要素。
第三篇:COSO内部控制要素
COSO内部控制要素
COSO是指美国反对虚假财务报告委员会所属的内部控制专门研究委员会——发起机构委员会(COSO)。它包括美国注册会计师协会,内部审计师协会,财务经理协会,美国会计学会,管理会计协会。标准名称:《内部控制-整体框架》 标准组织:发起组织委员会COSO 隶属机构:美国国会的反对虚假财务报告委员会(NCFR)
标准作用:研究导致虚假财务报告的偶发因素,并为上市公司及其独立审计师,为SEC(美国证券交易委员会)和其他监管机构以及教育机构提供建议 形成时间:形成于1985年,报告1992年发布
COSO报告:1992年COSO委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》报告,即通称的COSO报告。
根据COSO内控框架,公司层面的内部控制由以下五个部分组成: 1.控制环境 2.风险评估 3.控制活动 4.信息与沟通 5.监控
为了实现内部控制的有效性,需要下列五个方面的要素支持:(五要素)–控制环境
任何企业的核心是企业中的人及其活动。人的活动在环境中进行,人的品性包括操守、价值观和能力等,它们是构成环境的重要要素之一,又与环境相互影响、相互作用。环境要素是推动企业发展的引擎,也是其他要素的核心。–风险评估
企业必须制定目标,该目标必须和生产、营销、财务等作业相结合。为此,企业也必须设立可辨认、分析和管理相关风险的机制,以了解自己所面临的风险,并适时加以处理。–控制活动
企业必须制定控制政策及程序,并予以执行,以帮助管理当局保证其控制目标的实现,其用以辨认并用以处理风险所必须采取的行动业已有效落实。–信息与交流
围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。– 监测 整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。监控是一个评价内部控制运行组织的过程。
2004年9月,COSO委员会顺应风险管理与内部控制相融合的趋势,吸收了风险管理的研究成果,结合《萨班斯——奥克斯莱法案》,正式颁布《企业风险管理整体框》。组成要素:内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控。
内部控制整体框架由控制环境、风险评估、控制活动、信息和沟通和监控五个要素组成。
企业风险管理整体框架对这五个要素进行深化和拓展,演变为内部环境、目标设定、事件识别,风险评估、风险应对、控制活动、信息与沟通和监控八个要素,并首次提出了清晰的风险管理流程:
1)目标制定——事项识别——风险评估——风险反应——控制活动。2)以企业内部环境为基础,借助信息与沟通进行,并处于监控之下。
COSO于2013年5月14日发布《2013年内部控制--整体框架》,整体框架的17项原则:
本框架确立了十七项原则代表了与每个控制要素相关的基本概念。因为这些原则直接从控制要素中提炼,一个组织可以直接应用全部这些原则来实施内部控制。
这些原则都可以应用于运营、报告和遵循三类目标。这些每个控制要素内的原则如下:
控制环境
1、组织对正直和道德等价值观做出承诺。
2、董事会独立于管理层,并对内部控制的推进与成效加以监督控制。
3、管理层围绕其目标,在治理层监督下,建立健全组织架构、汇报条线、合理的授权与责任等机制。
4、组织对吸引、开发和保留与认同组织目标的人才做出承诺。
5、组织根据其目标,使员工各自担负起内部控制的相关责任。风险评估
6、就识别和评估与其目标相关的风险,组织做出清晰的目标设定。
7、组织对影响其目标实现的风险进行全范围的识别和分析,并以此为基础来决定风险应如何进行管理。
8、组织在风险评估过程中,考虑潜在的舞弊行为。
9、组织识别和评估对内部控制体系可能造成较大影响的改变。控制活动
10、组织选择并开展控制活动,将风险对其目标实现的影响降到可接受水平。
11、对(信息)技术,组织选择并开展一般控制以支持其目标的实现。
12、组织通过合理的政策制度和保证这些政策制度切实执行的流程程序,来实施控制活动。
信息与沟通
13、组织获取或生成,并使用相关、有质量的信息来支持内部控制发挥作用。
14、组织在其内部沟通传递包括内部控制的目标和责任在内的必要信息以支持内部控制发挥作用。
15、组织与外部相关方就影响内部控制发挥作用的事宜进行沟通。监督活动
16、组织选择、推动并实施持续且(或)独立的评估以确认内部控制的要素是存在且正常运转的。
17、组织在相应的时间范围内,评价内部控制的缺陷,并视情况与那些应采取正确行动的相关方(如:高级管理层,董事会)沟通。
第四篇:内部控制与风险管理
内部控制与风险管理
摘要:企业的内部控制制度是企业管理现代化的必然产物,加强内部控制制度建设是建立现代企业制度的内在要求。有效的内部控制不仅能使企业的资源合理配置,提高劳动生产率,而且更能防范和发现企业内部和外部的欺诈行为。但是目前有相当一部分企业对建立内部会计控制制度不够重视,导致会计信息失真,会计秩序混乱,违法违纪现象时常发生,以致管理失控,资产流失、经营失败。因此,建立和完善企业内部会计控制策略是当前企业管理面临的一个重要问题。内部控制的目标就是防范和控制风险,促进企业实现发展战略,风险管理的目标也是促进企业实现发展战略,风险管理的目标也是促进企业实现发展战略,二者都要求将风险控制在可承受的范围之内。因此,内部控制与风险管理二者不是对立的二者是协调统一的。而实际工作中,一些企业的内部控制和风险管理工作有不同机构负责。对此企业可以对有关机构和业务进行整合,从工作内容、目标、要求以及具体工作执行的方法、程序等方面,将内部控制建设和风险管理工作有机结合起来,避免职能交叉、资源浪费、重复劳动,降低企业管理成本,提高工作效率和效果。
关键词:企业内部控制 风险管理
一、企业内部控制内涵概述所谓内部控制,是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。那准确的说什么是企业的内部控制呢? 内部控制作为企业管理活动中的一种自我调整和制约的手段,从其形成至完善,大体经历了内部牵制的采用—制约机制的建立—控制体系的形成三个阶段。企业内部会计控制是企业为保证经营业务活动的有序进行而制定和实施的会计政策和程序,它的主要作用是确保资产的安全完整和会计信息的真实准确,以及确保国家有关法律法规和企业内部各项规章制度的贯彻执行,约束企业内部涉及会计工作的各项经济业务活动及相关岗位,它由于管理目的与企业价值最大化目标保持高度一致而成为企业内控体系的核心组成部分。
二、如何理解企业的风险管理 企业风险管理是对企业内可能产生的各种风险进行识别、衡量、分析、评价,并适时采取及时有效的方法进行防范和控制,用最经济合理的方法来综合处理风险,以实现最大安全保障的一种科学管理方法。企业风险是指由于企业内外环境的不确定性、生产经营活动的复杂性和企业能力的有限性而导致企业的实际收益达不到预期收益,甚至导致企业生产经营活动失败的可能性。有效地对各种风险进行管理有利于企业作出正确的决策、有利于保护企业资产的安全和完整、有利于实现企业的经营活动目标,对企业来说具有重要的意义。
三、关系概述:
1、内部控制包含风险管理
企业内部控制是以专业管理制度为基础,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。
风险管理又名危机管理,是指生产过程中,风险管理部门对可能遇到的各种风险因素进行识别、分析、评估,以最低成本实现最大的安全保障的过程(风险管理是一个过程,由风险的识别、量化、评价、控制、监督等过程组成)。
内部控制主要是在企业内部实施的一种管理,风险管理有些可以通过内部控制来规避,有些则是客观不可控的。目前在我国,风险管理还是一个很宽泛的概念,内部控制则是从外部控制的角度去考虑的,相比风险管理更加精确。如果企业在不考虑内部控制的情况下谈论
风险管理,那么风险管理就失去了意义,也很难找到有效避免风 险的着力点和切入点。因此,在内部控制的框架下去谈风险管理、进而增强企业识别、防范风险的能力,能促使企业更好地发挥风险管理的能动性。
2、内部控制是实施风险管理的基础
企业内部控制实际上就是实施风险管理前的环境净化器。实施内部控制时,一定要将“控”做到极致,左右摇摆,兼顾太多的内部控制很难达到环境净化器的作用。从某种意义上,内部控制建设就像是企业实施风险管理的一座桥梁,如果没有这座桥,盲目开展风险管理,会使企业慢慢迷失前进的方向。
目前,内部控制在中国实施的时间还不长,很多企业都是“依葫芦画瓢”,还没有真正领悟到内部控制和风险管理的真谛。如果企业在内部控制上认识不深的话,对实施风险管理将造成一定的阻碍。
无论是内部控制还是风险管理都需要历史的积淀,需要时间的累积,需要形成一种传统。或许这个过程将是纠结和痛苦的,但却是必不可缺的。企业在经历了这样的累积,再感受内部控制和风险管理就将不一样了。
3、技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
四、主要区别
第一,它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观
点,指出各方在内部控制或风险管理中都有相应的角色与职责。
第二,它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
第三,它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类,其中三类与
内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
第四,风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风
险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(risk appetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏
情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
第五,风险管理提出了风险组合与整体风险管理(integrated risk management)的新观念。
《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。
五、如何正确处理企业内部控制与风险管理之间的关系
尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
总之,企业单位制定内部控制制度的目的,在于保证组织机构经济活动的正常运转,保护企业资产的安全、完整与有效运用,提高经济核算的正确性与可靠性,推动与考核企业单位各项方针、政策的贯彻执行,评价企业的经济效益,提高企业经营管理水平。企业的内部控制制度是企业管理现代化的必然产物,加强内部控制制度建设是建立现代企业制度的内在要求。有效的内部控制不仅能使企业的资源合理配置,提高劳动生产率,而且更能防范和发现企业内部和外部的欺诈行为。但是目前有相当一部分企业对建立内部会计控制制度不够重视,导致会计信息失真,会计秩序混乱,违法违纪现象时常发生,以致管理失控,资产流失、经营失败。因此。建立和完善企业内部会计控制策略是当前企业管理面临的一个重要问题。
加强实施内部控制能够规范社会主义市场经济秩序,确保国民经济稳定、持续、健康地向前发展。有活力的内部控制制度应该是推动企业创新的制度,只有企业全体职工齐心协力,相互支持,相互激励,企业内部会计控制才能发挥应有的作用。只有这样,保护企业资产的安全、完整与有效运用,提高经济核算的正确性与可靠性,推动与考核企业单位各项方针、政策的贯彻执行,增加企业的经济效益,提高企业经营管理水平,降低投资风险。
参考文献:胡杰武,万里霜《企业风险管理》
《企业内部控制基本规范》一号文件
第五篇:风险管理与内部控制
风险管理与内部控制
一、CFO在企业内部控制与风险管理中的角色与使命
中国总会计师协会常务副会长董锋认为,建立风险管理体系,设计好内部控制制度,首先,要把握好CEO与CFO的关系。CEO是企业行政负责人,是班长,CFO作为企业财务负责人,是领导班子成员;CEO是风险管理和内部控制第一责任人,CFO是风险管理和内部控制的具体执行人,因此国外有人比喻CEO是船长,CFO是舵手。其次,要完善公司的管理结构,明确CFO的职责和定位。总会计师在本单位风险管理与内部控制体系中应确定自己的责任、职权和地位的对称与平衡,但这并非是为自己去争权力、争地位;CFO所管理的财务等部门应是一个完整的管控体系,CFO的影响力与控制力必须一杆到底。第三,CFO要自觉执行风险管理和内部控制,同时也要提醒和促使CEO执行。作为领导班子成员,CFO理所当然要全力支持CEO的工作,但在工作中如果发现领导班子成员特别是主要负责人违背企业风险管理与内部控制制度时,也要及时提醒,要有敢于干预的勇气。
原江苏省副省长吴瑞林强调,CFO要树立以爱国主义为核心的民族精神和以改革开放为核心的时代精神;要提高自身的业务修养以适应新时代的要求;要发挥好生财聚财和用财管财这两大职责;要从本轮金融危机中吸取经验教训,履行好内部控制和风险管理的职责。
二、正确认识风险管理和内部控制
内部控制与风险管理既有区别,又有联系。南京审计学院副院长时现认为,对于同一个企业来说,内部控制与风险管理的直接载体都是企业的经营活动,内部控制与风险管理都以企业法人为边界,从这点来说,不能将二者截然割裂开来。二者的区别主要表现在:内部控制的重心在企业高管层之下(经营活动),风险管理的重心在高管层之上(战略设计、决策);内部控制主要关注不相容职务是否分离,风险管理主要关注经营目标实现过程中的不确定性;内部控制是风险管理的主要机制,但不是全部;当出现合谋舞弊时,内部控制往往无效,需要风险管理辅之。上海财经大学教授朱荣恩认为,内部控制与风险管理并非平行的关系,内部控制是风险管理的一个重要组成部分,而风险管理则是内部控制的发展和延续,是一个比内部控制更为宽泛的概念。
高级国际注册内部控制师张玉指出,COSO的内部控制与企业风险管理两个框架实现了内部控制五要素与风险管理八要素的有机结合,而我国财政部等五部委联合发布的《企业内部控制基本规范》与国资委发布的《中央企业全面风险管理指引》并未能进行有效整合。对此,董锋则认为,财政部等部委的规范与国资委的指引虽然没有形成系统,但却有着内在联系,企业应结合自身实际深刻体会两个规范的精神,将风险管理与内部控制结合统一,而不应搞两套机制。
现阶段很多企业认为风险管理是内部审计应该履行的职责,但时现认为,为保证独立性与客观性,企业在构建风险管理过程时,内部审计不应承担原本属于管理层的风险管理责任,而应就企业风险管理过程的有效性提供确认服务,即担任监督者的角色。对于目前我国企业内部控制系统的设计形式,张玉将其总结为三种:外包给会计师事务所;企业自行设计;自行设计与外包相结合。第一种形式耗资巨大,导致合规性成本过高,而采用后两种形式时,由于企业缺乏内部控制设计专业人才,内部控制系统的设计大多由内审人员牵头负责,这导致了“运动员和裁判员角色不分”的问题,因此需要专业人士进行内部控制系统的设计,未来内部控制师这个职业将会得到快速发展。
南京大学会计与财务研究院副院长李心合指出,审计意义上的内部控制与CEO、CFO需要的内部控制有很大区别,而主要区别在立场与出发点上。审计师是站在财务报表可靠的角度,希望内部控制尽可能完备,以便将审计风险降到最小,但企业的目标是价值最大化,过于复杂的控制流程也会损害利润创造。因此企业需要选择好的出发点,优化内部控制体系,既不能过于简单,也不能过于复杂。
三、加强和完善企业风险管理和内部控制建设
对于如何加强企业内部控制建设,朱荣恩认为,实施内部控制的难点主要体现在七个方面:一是正确认识内部控制五要素的内在联系。二是正确理解内部控制的要素、目标及实施主体的关系。三是正确认识内部控制与风险管理的关系。四是正确认识内部控制与企业管理制度的关系。五是正确认识内部控制与外部环境。外部环境如股权
结构、干部管理制度和政府政策取向等因素都会直接或间接地影响我国企业实施内部控制的效果。六是正确认识内部控制需求内因不足的问题。由于内部控制的效益难以衡量、成本与效益不匹配等原因,部分企业的管理层认为只要企业不出事就可以了,只要达到法律法规的最低要求就行了,并没有将内部控制作为企业管理的内在要求。七是正确认识IT平台在内部控制中的应用。
江苏高科技投资集团董事长徐锦荣介绍了其所在企业的风险管理及控制经验。一是加强组织建设。集团董事会是风险管理的第一责任主体,董事会下设的审计与风险控制委员会具体负责风险管理工作。二是加强制度建设。把管理制度、业务流程再造作为风险管理的重要基石,建立符合创业风险投资特点的业务运作流程和与之配套的一系列管理制度和风险控制制度,目前已经形成了由制度、流程、关键控制点三个层次组成的制度体系。三是创立符合国情和创投业务特点的风险控制工具。建立风险管理信息系统,对所有项目的财务、管理信息进行定期的汇总、分析,动态监测项目运作情况。并实行定性和定量指标相结合,对投资项目定期进行ABC(正常、次级、警示)分级,及时采取风险防范措施。四是构建符合实际的风险管理评价机制。根据市场环境、金融工具、法律法规等因素的变化及发展情况,不断调整和改善风险管理制度,并通过对业务流程关键控制点的及时介入,实行持续的检验测试,以确保制度执行充分有效。
徐州矿务局副总会计师张锦河介绍了徐矿集团在投资风险控制方面的教训和经验。以前徐矿集团曾因盲目多元化而导致公司经营管理的巨大失利,在总结教训和经验后建立了归核化的投资战略和投资风险控制模式,即在投资活动中围绕煤炭产业这个“核”进行综合开发,同时围绕核心竞争力的形成与提高这个“核”进行风险控制。经过六年的实践,徐矿集团的经济效益和经营规模快速增长,逐渐步入良性发展的快车道。其风险控制的具体做法有:采取全面预算管理,将“物本管理”与“人本管理”相结合,不仅对集团公司投资所形成的项目、资产、资金进行管理,而且通过激励与约束制度的建立,将个人价值与企业价值进行整合统一;通过集团制定统一的目标和战略规划与投资政策,规范集团内各成员单位的投资行为,以实现资源聚合效应与管理协同效应;围绕提高集团公司核心竞争力这个目标,制定多元化标准,而不仅仅是单一的财务标准。
四、IT环境下内部控制体系的建设
与传统意义上的内部控制体系建设相比,IT环境下的内部控制体系建设具有其独到的特点,参会的企业详细介绍了其各自的做法。
江苏国信集团财务部总经理王家宝认为,集团管控应以资金集中管理为核心,而IT环境下企业开展资金集中管理应从四方面入手:一是构建资金集中管理组织和账户体系,协同管控、实现资金统一运作。二是设计资金集中管理的关键流程和制度,实行资金计划流程管理、自动零余额的资金归集上收、动态掌控资金流向的资金下拨、内部各成员单位之间的统一结算管理。三是通过网络实时监控资金流量,动态平衡资金需求,统一调度资金。四是创新内部资金计息管理机制,充分调动成员单位参与集中管理的积极性。他进一步指出,资金集中管理首先要有一把手的推动,其次要设计出互利共赢的方案,最后还要有必要的技术、人员、相关部门的支持。
东风悦达起亚汽车股份有限公司总会计师生育新详细介绍了其所在企业的内部控制体系,具体分为内部会计控制、生产管理控制和质量控制三大部分。内部会计控制主要包括现金收支业务控制、应收应付控制、固定资产控制、成本控制和投融资控制。生产管理控制主要包括开发采购控制、生产物流控制、销售流程控制和人力资源控制。质量控制包括ISO9000、14000质量认证体系、部品质量控制、C-audit评审(整车质量评审)、质量成本控制和质量实名控制。在IT环境下,该公司从健全全面预算管理体系、整合ERP系统、强化内部稽核机制、狠抓作业、成本费用和管理标准化建设四个方面加强内部控制建设。生育新认为,实施ERP是企业适应市场竞争、强化核心竞争力的有力工具,而健全的内部控制才能使ERP的功能得到全面发挥,因此应大力建设IT系统,但IT系统的实施并不能取代管理和控制。
从企业的实践中可以看出,IT能在多方面提升内部控制和风险管理水平,但朱荣恩认为,IT平台仅仅是内部控制实施的一个硬件保障,而非必备条件,它只能代替内部控制中的沟通等某些环节,却代替不了管理基础和监控,更不能完全代替内部控制。
五、内部控制审计与风险管理审计
时现认为,随着企业风险管理的推进,在内部审计中需要进行风险管理审计来评价并改善风险管理、控制和治理过程的效果。因此她提出了一种以风险为导向,对企业的风险管理进行审计的风险管理审计模式—审计客体和审计流程双轮驱动的风险管理审计。首先,以风险为导向制定内部审计计划;其次,基于风险矩阵图实施审计;再次,进行数字化的风险测试与风险评价;最后,出具前瞻性的风险管理审计报告。与内部控制审计相比,风险管理审计更关注控制的结果,即风险是否得到了有效控制,而内部控制审计更关注控制的过程,即控制环境和控制活动。风险管理审计与内部控制审计并不是截然不同的,二者在整个审计系统框架中具有诸多相似之处,只是重点和审计角度在一定程度上有所不同而已,可以说,企业风险管理审计是企业内部控制审计的发展和延伸。
点击咨询 