第一篇:关于开展全面风险管理(内部控制)工作的请示
关于开展全面风险管理(内部控制)工作的请示
公司领导:
近来境内外证券监管机构要求上市公司董事会将内部控制工作纳入工作职责,建立、不断完善全面风险管理和内部控制制度。国内大型中央企业及上市公司设立专门部门,梳理、完善业务流程,制定内部控制手册;聘请审计机构审计内部控制工作。全面风险管理(内部控制)事项必要成为公司运营中的日常工作中的重要一部分。公司的风险管理能力也必将成为公司竞争力的重要组成部分。法律事务中心就全面风险管理(内部控制)事宜请示如下:
一、开展全面风险管理(内部控制)工作的必要性
(一)主流趋势
2002年美国通过《萨班斯法案》后,世界各国证券监管机构均修改相关监管规则,要求上市公司强化内部控制,保障财务报告的准确、有效。
2006年国资委颁布了《中央企业全面风险管理指引》,鼓励、推动中央企业监理全面风险管理体系,把控企业全面经营风险,实现企业稳步长期发展。2008年财政部、证监会等五部委发布《企业控制基本规范》及各项指引。2011年证监会要求全面启动上市公司内部控制工作,并要求上市公司公布内部控制自评报告和审计报告。
中国境内绝大部分大中型企业均设立风险管理或内部控制专业部门和专业人员,从事全面风险管理和内部控制工作。全面风险管理及内部控制不仅成为主流企业的必备工作内容,更成为主流企业董事会的重要职责。
(二)行业要求
随着经济形势的走低,家电零售业的竞争也来也激烈。
做好全面风险管理和内部控制工作有利于控制运营风险,避免战略、经营失误。
(三)企业内部管理需要
二、开展全面风险管理(内部控制)工作的意义
开展全面风险管理(内部控制)工作不仅越来越具有必要性,更对企业实现战略目标,实现经营成果和业绩,保障资产安全和合法合规具有现实意义。
(一)保证股东、投资者、董事会深入掌控公司运营风险,保障战略目标实现
通过开展全面风险管理和内部控制工作,专门负责部门每年形成全面风险管理报告、内部控制评价报告。股东及董事会可通过审阅风险管理报告及内部控制评价报告,深入掌控公司运营风险。
全面风险管理和内部控制工作,有利于及时发现、防范、应对企业经营中的各类风险;有利于优化运营中的各种流程,形成标杆做法,保障战略目标顺利实现。
全面风险管理和内部控制工作,把风险管理纳入企业战略执行的层面之上,将企业成长与风险相联,设置与企业成长及回报目标相一致的风险承受度,从而使企业将战略目标的波动控制在一定的范围内,支持企业战略目标实现并随时调整战略目标,保障企业稳健经营。
(二)避免重大损失,保障资产安全
建立全面风险管理及内部控制体系后,将实现对企业经营中重大风险的量化评估和实时监控。全面风险管理体系帮助企业建立重大风险评估,重大事件应对,重大决策制定,重大信息报告和披露以及重大流程内部控制的机制,从而避免企业遭受重大损失。
(三)应对外部机构监管要求,保障经营合法合规
证券交易所及监管机构对于上市公司的监管日趋严厉。上市公司对于全面风险管理的全面性及有效性的长期维持必然是监管机构关注的重点。通过建立和维持风险管理、内部控制体系,是应对外部机构监管的必要工作内容。
(四)提升声誉,稳固行业标杆企业地位
完善的全面风险管理、内部控制体系必将引来同行业其他企业的效仿,从而有益于公司良好声誉的传播,继续稳固家电零售行业标杆企业地位。
三、开展全面风险管理(内部控制)工作的建议
(一)建立全面风险管理(内部控制)的组织架构
在公司董事会层面高度重视全面风险管理(内部控制),设立专门委员会,领导公司全面风险管理工作。
设立专门部门,指定专门人员负责全面风险管理和内部控制工作,受董事会专门委员会领导,执行专门委员会决议,向专门委员会报告。
(二)制定全面风险管理(内部控制)工作计划
设立专门部门,组织制定全面风险管理和内部控制工作计划,稳步启动、推进全面风险管理和内部控制工作,逐步形成工作成果。
(三)将全面风险管理(内部控制)纳入管理层绩效考核
法律事务中心二〇一二年九月
第二篇:全面风险管理与内部控制工作实施办法
xx公司
全面风险管理与内部控制工作实施办法
(试 行)
第一章 总则
第一条 为规范公司全面风险管理与内部控制工作,制定本实施办法。
第二条 本实施办法所称风险,指未来的不确定性对公司经营目标实现的影响,包括财务风险、法律风险、市场营销风险、人力资源风险、信息风险、廉政风险、信访维稳风险和其他风险。
第三条 本实施办法所称内部控制,是指公司管理层和全体员工按照既定的风险管理策略实施的、旨在保障风险控制目标实现的过程。
第二章 组织体系与职责分工
第四条 公司设立全面风险管理与内部控制委员会 主任:总经理 党支部书记 成员:各部门主任
下设全面风险管理与内部控制办公室,主任由综合管理部主任兼任。
第五条 全面风险管理与内部控制委员会主要职责包括:
(一)审议批准公司风险管理与内部控制相关规章制度、实施办法。
(二)批准公司全面风险管理与内部控制工作计划。
(三)审定公司风险管理与内部控制目标、重大风险管理策略和内部控制措施。
(四)审定公司全面风险管理报告、风险管理与内部控制评价报告以及重大决策的专项风险评估报告。
(五)审定公司风险管理与内部控制手册。
(六)审定公司风险管理与内部控制评价标准。
(七)审议公司其他重大风险管理与内部控制事项。第六条 公司全面风险管理与内部控制办公室负责风险管理与内部控制日常组织与协调工作,主要职责包括:
(一)制定和完善公司风险管理与内部控制相关规章制度、实施办法、管理手册。
(二)组织公司各部门执行风险管理基本流程、建立完善内部控制体系并监督执行。
(三)组织开展公司全面风险管理报告的编报工作。
(四)指导、监督公司各部门全面风险管理与内部控制工作,对各部门全面风险管理与内部控制情况进行考核。
(五)组织开展与风险管理及内部控制有关的文化培育工作。
第七条 公司各部门是本专业风险管理与内部控制工作的管理部门和执行部门,主要职责包括:
(一)制定本部门风险管理与内部控制相关实施细则、办法。
(二)开展本部门风险管理信息收集、风险评估、研究确定本部门风险管理策略、重大风险预警指标。
(三)更新本部门风险信息、内部控制信息、风险案例、预警指标等基础数据。
(四)建立本部门内部控制体系并有效执行,编制本部门业务风险与内部控制手册。
第八条 各部门指定一名专人负责本专业风险管理与内部控制工作,接受公司全面风险管理与内部控制办公室的业务指导。
第九条 综合管理部负责对风险管理与内部控制实施有效性进行监督。
第三章 风险信息收集、识别、评估
第十条 公司根据全面风险管理指标检测体系的要求,建立健全客观、全面、有效的风险信息收集机制。要以岗位为基础,以业务流程为依托,动态收集风险初始信息,并对初始信息进行筛选、提炼、分类。风险信息收集包括以下内容:
(一)财务风险方面:收集增收节支,资金安全、偿债能力等影响分公司预期收益的信息,分析这些信息是否可能给公司带来财务结构不合理、偿债能力降低等方面的财务风险。
(二)法律法规方面:收集与法人主体责任、重大合同履约、法律纠纷等信息,分析这些信息是否可能给公司带来法律法规方面的风险。
(三)市场营销风险方面:收集市场波动、政策变化、客户信息变化等因素影响采购、销售、收款方面的信息,分析这些信息是否可能给公司带来市场营销方面的风险。
(四)人力资源风险方面:收集劳动政策变化、人力资源规划及劳动用工管理等方面的信息,分析这些信息是否可能给公司带来人员结构不合理、队伍不稳定等风险。
(五)信息风险方面:收集易造成信息失密、信息泄密等方面的信息,分析这些信息是否可能给公司带来损失或不良影响的风险。
(六)廉政风险方面:收集干部员工遵守规章制度、廉洁从业规定等方面的信息,分析这些信息是否可能导致违法违纪,给公司带来经济损失或声誉损害的风险。
(七)信访维稳风险方面:收集公司与职工切身利益相关等方面的经营管理决策信息,分析这些信息能否引发信访问题,或处臵信访事件不及时、不妥当,导致给公司造成不利社会影响的风险。
第十一条 各部门至少每年开展一次风险信息收集、辨识工作,形成本专业风险信息,提交全面风险管理与内部控制办公室汇总审核,并同步更新全面风险管理与内部控制信息系统相关信息。
第十二条 各部门应至少每年开展一次风险评估,评估结果提交本单位全面风险管理与内部控制办公室,并同步更新全面风险管理相关信息。凡遇有重大问题决策等事项时,公司本部及各部门应按照“三重一大”事项决策的有关程序,由事项主办部门牵头组织实施风险评估,提出重大决策专项风险评估报告,制定风险管控措施,落实责任人员,并提出管理建议。管理层应充分考虑风险评估结论和管理建议,将其作为重大事项决策的参考依据。
第四章 业务风险防控办法
第十三条 合同签订风险防控
采销合同的谈判和签订,严格按照公司xx相关要求执行。
(一)合同谈判及签订风险点(1)合同谈判程序不规范。
(2)对交易对象的资质审查不严格。(3)合同签订程序不规范。
(4)合同签订条款不齐全、不严格。(5)采购、销售合同脱节。
(二)为最大限度的避免经营风险,应在对交易对象严格审查的基础上签订xx购销合同,把握经营活动的底线,确保一旦发生经济纠纷时能争取主动权,有针对性的开展风险防范,制定风险防控措施。
(1)严格遵守公司xx规定,保证合同洽谈的严肃性、规范性。现场洽谈过程中保证我方至少二人以上在场,做好文字记录、影像记录,以及归档工作,严防损害公司利益的行为发生;通过电话、微信或QQ等非现场方式洽谈的,主谈人应把洽谈过程及初步结果告知辅谈人,征求其意见,最终由辅谈人拟出谈判会议纪要经审核后双方书面签订纪要。
(2)合同签订前要严格审查交易对象的各项资质,一般先审查“四证”,即营业执照、组织机构代码证、税务登记证、开户许可证是否齐全、真实,各证照是否过期,在此基础上通过全国企业信用信息公示系统查询是否有不良记录、商业信誉等,达到信用评级审批表相关要求后方可签订购销合同。
(3)严格执行合同会签制度,规范合同流程审批,分解权限,形成相互纠错、相互制约,有效防控风险的运行机制。会签过程如遇人员出差等无法现场会签的,由合同经办人将合同电子文档发该人员,其同意后可跳至下一节点会签,待该人员回公司后补签,合同经办人在该补签人员栏填写征求意见并签名。
(4)xx购销合同只有条款明确、齐备才能最大限度的降低经营风险,与公司发布的标准合同不一致的需经公司燃料领导小组研究同意后方可调整,重大调整的需书面征求省公司业务对口管理部门意见,一般涉及以下主要条款:质量指标、价格、运输方式、运杂费的承担、数质量验收方式、交货地点、结算方式、货款支付方式及时间、货权转移及风险转移时间、奖罚条款、违约责任、不可抗力、纠纷解决方式、合同有效期等,只有条款明确,有利于自身才能有效降低风险。
(5)严格落实以销定进、以利定价的原则,采购销售互相参照,互为衔接,防止采销原则不一致造成亏损。
第十四条 采购流程风险防控
公司采购过程中应严格按照公司xx相关要求执行。
(一)xx采购流程风险点(1)供应商不按合同履约。(2)货权单位与合同单位不一致。(3)xx数量争议。(4)xx质量争议。
(5)xx指标不符合,掺杂、以次充好。
(二)xx采购过程中实际结果和预期目标偏离的可能性很大,对潜在风险要提前防控,必须针对不同情况采取降低、规避、分担和控制风险的措施,实现采购风险最小化。
(1)严格落实供应商保证金管理制度,防止供应商因自身原因不按合同履约,影响采购计划的落实。新进供应商、注册资本金偏少、发生过未按合同履约应适度提高保证金,具体幅度由公司燃料领导小组讨论后确定。
(2)合同执行过程中遇合同单位与货权单位不一致的情况,必须要求供应商将货权转移给我方,货权转让单位在货权转移函上加盖公章,法人签字或法人授权代表签字,否则不予结算,防止货权纠纷。在取得货物的实际控制权以前,严禁仅凭对方单位出具的货权转移证明支付xx货款,防范“一货多卖”等欺诈行为。
(3)xx数量验收必须以双方认可的第三方出具的法定衡重报告或水尺检验数据为准,现场人员加强监督,及时索取数量报告,做好数据对比分析,防止计量方式不合法供应商不认可及数量亏损。
(4)xx质量验收必须以双方认可的第三方按国家标准进行全程采制化,并以此出具的检验报告为准。
第十五条 销售流程风险防控
销售xx过程中应严格按照公司xx相关要求执行。
(一)xx销售流程风险点
(1)装港质量控制不严谨,掺配方案不可行。(2)承运船舶船期安排不妥当,船舶自身设计不规范。(3)装卸港验收数质量亏损。
(二)xx销售过程中环节多,战线长,要建立完备的监管验收制度,实现过程可控、在控,规避经营风险。
第十六条 资金回付风险防控
资金收付应严格按照公司xx相关要求执行。
(一)资金收付流程风险点(1)赊销预付管控不到位。
(2)付款账号与开户许可证账号不一致。(3)用户付款错误,支付银行承兑不规范。
(二)在xx经营过程中,为了增加销售量,扩大市场占有率,赊销预付行为会越来越多,控制赊销预付风险是我们必须面对的问题,对此要严格采购销售信用评级制度,根据贸易商级别,严控预付和赊销比例,防止坏账、死账情况的发生,及时催收回款,防止资金风险。
(1)严格按照公司要求建立用户信用评级制度,按照公司收付款相关管理办法规定的赊销预付比例开展经营工作,要严格按照合同中对煤款收取的不同约定,催要对方预收款
或是对方收到发票后催要结算款,确保煤款及时收回。具备结算条件时,业务人员电话提醒用户及时进入付款流程并办理付款手续;货款到期后一周如仍未回款,发一份《逾期催款函》,之后每隔一周发一份《逾期催款函》,三周仍未回款,则发一份《超期催款单》和《货款往来对账单》并要求对方回执,从第一笔逾期欠款之日起满三个月的,需及时上报省公司相关部门并说明情况,另提供相关资料报请公司法律顾问与对方接洽,并出具律师函;逾期一年的,必须采取诉讼等硬性措施。
(2)付款账号一般按照对方开户许可证账号支付,如发现账号不一致,对方需出具付款说明并加盖单位公章。
(3)需方应按照我方指定的收款账号进行付款,业务人员应与需方及时沟通,付款前再次确定我方收款账号,以免付错账号影响付款业务,如需方因其他原因不能按我方指定账户打款,说明原因后我方配合出具相关业务手续。
第十七条 员工思想动态风险措施
及时了解员工的思想动态,倾听员工的心声,了解员工在日常工作、学习、生活和个人发展中存在的问题,加强沟通、正面引导,提高员工思想素质,以人为本,为员工成长成才创造条件,构筑有效激励机制,激发公司和谐活动。
第五章 附则
第十八条 本实施办法由公司风险控制部负责解释并监督执行。
第十九条 本实施办法自发布之日起执行。
第三篇:全面风险管理与内部控制的关系
全面风险管理与内部控制的关系
摘 要:内部控制是企业全面风险管理的基础,同时内部控制也是全面风险管理不可或缺的重要组成部分。内部控制与全面风险管理之间既存在着联系又有所不同,为了使企业能充分发挥内部控制和全面风险管理的作用,应该对两者之间的关系有清楚的认识。本文主要介绍了全面风险管理和内部控制,以及二者之间的关系。
关键词:全面风险管理;内部控制;关系
(一)内部控制
内部控制是指企业为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。关于内部控制的定义,COSO委员会经过相对较长时间的研究,于1992年发布了《内部控制——整体框架》,1994年形成正式文稿。《内部控制——整体框架》认为内部控制是为实现企业经营效率和效果、财务报告的可信性及相关法令的遵循等企业目标而提供合理保证的过程。内部控制的实施者为企业董事会、经理层和其他员工。内部控制是整个企业设计的系统,不是为了某个人或某个层级的人提出来的专门针对某个人或某个层级的人的制度。没有人能脱离这一系统而独立运作。管理层、董事会、内部审计和其他员工都应该对内部控制承担责任。
内部控制目标有三点,一是财务报告的可靠性。企业决策层要想在瞬息万变的市场竞争中有效地管理经营企业,就必须及时掌握各种信息,以确保决策的正确性,并可以通过控制手段尽量提高所获信息的准确性和真实性。因此,建立内部控制系统可以提高会计信息的正确性和可靠性。二是经营的效果和效率。内部控制系统通过确定职责分工,严格各种手续、制度、工艺流程、审批程序、检查监督手段等.可以有效地控制本单位生产和经营活动顺利进行、防止出现偏差,纠正失误和弊端,保证实现单位的经营目标。三是合规性。企业决策层不但要制定管理经营方针、政策、制度,而且要狠抓贯彻执行。内部控制则可以通过袱定办法,审核批准,监督检查等手段促使全体职工贯彻和执行既定的方针、政策和制度,同时,可以促使企业领导和有关人员执行国家的方针、政策.在遵守国家法规纪律的前提下认真贯彻企业的既定方针。
企业建立与实施有效的内部控制,应当包括下列要素:
一是内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
二是风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。三是控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
四是信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
五是内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
(二)全面风险管理
所谓全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
2004年COSO委员会发布《企业风险管理——整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”该框架拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。
全面风险管理框架包括了八个要素:
一是内部环境。管理当局确立关于风险的理念,并确定风险容量。所有企业的核心都是人(他们的个人品性,包括诚信、道德价值观和胜任能力)以及经营所处的环境,内部环境为主体中的人们如何看待风险和着手控制风险确立了基础。
二是目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标,并保证选定的目标支持主体的使命并与其相衔接,以及与它的风险容量相适应。
三是事项识别。必须识别可能对主体产生影响的潜在事项,包括表示风险的事项和表示机会的事项,以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程。
四是风险评估。要对识别的风险进行分析,以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
五是风险应对。员工识别和评价可能的风险应对措施,包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应。六是控制活动。制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。
七是信息与沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动。
八是监控。整个企业风险管理处于监控之下,必要时还会进行修正。这种方式能够动态地反应风险管理状况,并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。
(三)全面风险管理与内部控制的关系
谈到风险管理,则一定会提到企业内部控制。在实践中有很多企业不能真正理解全面风险管理与内部控制的区别和联系,要么将两者完全隔离开来,要么只是简单地将它们等同起来。其实,两者之间既有区别又有联系。
全面风险管理与内部控制的联系:
一是全面风险管理涵盖了内部控制。COSO框架中明确地指出全面风险管理体系框架包括内部控制,将之作为一个子系统。
二是内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是国内外许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
全面风险管理与内部控制的区别:
一是两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和事中的控制来实现其目标,而全面风险管理则贯穿于管理过程的各个阶段,覆盖了各个不同的环节,更重要的是在事前就对风险有了一定的预见性的考虑。而且,全面风险管理所要达到的目标多于内部控制。
二是两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。全面风险管理包含了选择风险评估方法、制定风险管理目标、制定相关战略、报告程序及聘用管理人员等多个环节,而内部控制主要负责的是风险管理过程中间及其以后的重要活动,例如对风险的评估和,对财务报告的评估,信息与交流活动的监督,对操作流程的不规范进行纠正等等。两者最大的差别在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行监控和评价,尤其是对目标制定中的风险进行评估。
三是两者对风险的管理不一致。全面风险管理框架包括了风险偏好、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,促使企业发展战略向风险偏好靠拢,根据资金投入、经营风险与利润回报之间的联系,进行经济资本分配,帮助管理层实现全面风险管理的目标。这些功能都是内部控制框架能力范围之外的。
从目前企业的管理发展趋势来看,企业的全面风险管理与内部控制管理已经交集密切,互相密不可分。通过上面的描述,我们可以看出,全面风险管理及内部控制实际上都是以保护企业的财产安全、保证企业的经营结果、实现企业的战略目标为最终的目的。内部控制是全面风险管理的重要核心内容,而全面风险管理则在内部控制的基础上升华扩散。概括的说,内部控制使得企业的日常经营管理流程更加规范、财务管理真正的有效实施,与此同时企业内部的规范性操作流程、财务管理控制也正是全面风险管理在企业实施的基本条件。
第四篇:浅析全面风险管理与内部控制的关系
浅析全面风险管理与内部控制的关系
一、内部控制和全面风险管理在COSO框架中的定义
现代理论界对内部控制的定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制的定义。COSO于2004 年发布了《企业风险管理——整合框架》,在该框架的附录C中指出,“内部控制被涵盖在企业风险管理之内,是其不可分割的一部分”。
该组织认为:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。在COSO委员会的《内部控制管理框架》中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
在多年的管理实践中,人们意识到一个企业内部不同部门或不同业务的风险,有的会相互叠加放大,有的则相互抵消减少。因此,风险的考虑不能仅仅从某项业务、某个部门的角度出发,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。
依据COSO委员会 2003年7月完成的《全面风险管理框架》定义:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。该框架有三个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有4个,即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的各个层级,包括整个企业、各职能部门、各条业务线及下属各子公司。《全面风险管理框架》三个维度的关系是:全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。
二、内部控制与全面风险管理的联系
1.全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素。从时间先后和内容上来看,全面风险管理是对内部控制的拓展和延伸。
2.内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是国内外许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
3.内部控制是风险管理的重要手段。内部控制是风险管理的重要手段体现在以下三个方面:第一,采用内部控制措施可以处理大部分风险。就一般工业企业而言,除采取保险等措施外,大部分风险都可以通过采取内部控制措施来解决,而这也正是我们所熟悉的,如内部牵制措施、预算控制、实物控制、运营分析等。如果主要通过外包方案或者外部的其他力量来解决风险,其比采用内部控制控制措施的成本会高很多。第二,可以采取内部控制和其他措施联合解决的部分风险。内部控制措施可能只能在一定程度上解决某项具体风险,或者说仅采用内部控制措施还不能使风险保持在可以承受的范围内,因此必须协同其他措施进行联合管理,如外汇风险、被收购的风险、税务风险等,以税务风险为例,企业聘请中介机构代为申报纳税,或者由中介机构对企业税务申报情况出具审核报告,从而减少税务合规性风险。第三,对于完全采取内部控制以外恶其他措施解决的风险在实务中非常少见。
三、内部控制与全面风险管理的差异
1.两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
2.两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
3.两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在COSO委员会的内部控制框架中,没有区分风险和机会。
4.两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。
四.与内部控制相比,全面风险管理在范围与内容上的扩大
简单地看,相对于内部控制框架而言,新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素,即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要,新框架还要求企业设立一个新的部门——风险管理部。新的风险管理框架比起内部控制框架,无论在内容还是范围上都有所扩大和提高,具体表现在:
1.提出一个新的观念―风险组合观
在单独考虑如何实现企业各个目标的过程中,企业风险管理框架更看重风险因素。除单独考虑各个风险因素之外,更有必要从总体的、组合的角度理解风险。企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可以超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。
2.增加一类目标—战略目标,并扩大了报告目标的范畴
内部控制框架将企业的目标分为三类――经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标,但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告,既包括内部报告,也包括外部报告;既包括企业内部管理者使用的报告,也包括向外部提供的报告;既包括法定报告,也包括向其他利益相关者年的非法定报告;既包括财务信息,也包括非财务信息。此外,企业风险管理框架比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。战略目标来源于企业的任务或对未来的预期,经营、报告和合法目标都与其相关。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
3.针对风险度量提出两个新概念—风险偏好和风险容忍度
风险管理框架是针对企业目标实现过程中所面临的风险,对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看,风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。一般从定性的角度将风险偏好分为风险喜好、风险中性和风险厌恶三种类型。此外,企业也可以采用定量的方法对风险偏好进行衡量,反映企业的目标、收益与风险之间的关系并进行权衡。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来。不同的战略给企业带来的风险也不同,在企业战略制定阶段就进行风险管理,就是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。
风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现的过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。将风险控制在风险容忍度之内能够在更大程度上保证企业的风险被控制在风险偏好的范围内,也就能够从更高程度上保证企业目标的实现。
4.增加了三个风险管理要素,对其他要素的分析更加深入,范围上也有所扩大
企业风险管理框架新增了三个风险管理要素——“目标制定”、“事项识别”和“风险反应”。此外,针对企业将管理的重心移至风险管理,风险管理框架更加深入地阐述了其他要素的内涵,并扩大了相关要素的范围。
(1)目标制定:在风险管理框架中,由于要针对不同的目标分析其相应的风险,因此目标的制定自然就成为风险管理流程的首要步骤,并将其确认为风险管理框架的一部分。
(2)事项识别:企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素,而且可能在企业的各个层面上出现,并且应根据对实现企业目标的潜在影响来确认风险。但是,企业风险管理框架深入探讨了潜在事项的概念,认为潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标的实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇,而存在潜在负面影响的事项则称为风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及事项的发生趋势进行计量。
(3)风险反应:企业风险管理框架提出对风险的四种反应方案――规避、减少、共担和接受风险。作为风险管理的一部分,管理者应比较不同反应方案的潜在影响,并且在接受的残存风险应在企业风险容忍度范围内的假设下,考虑风险反应方案的选择。在个别和分组考虑风险的各反应方案后,企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。
(4)控制环境:在控制环境要素上,企业风险管理框架更直接、更广泛地关注风险是如何影响企业的风险文化,无论是明确地还是无意地影响。企业的风险文化是企业员工共有的态度、价值、目标和行动的集合,它表明企业是如何认识风险的。
(5)风险评估:内部控制框架和企业风险管理框架都强调对风险的评估,评估特定风险发生的可能性和风险的潜在影响,但企业风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差的情形下的估计值或者事项的分布等技术来分析。最好能够找到与风险相关的目标一致的计量单位进行计量,将风险与相关的目标联系起来。风险评估的时间基准应与企业的战略和目标相一致,如果可能,时间基准也应与可观测到的数据相一致。企业风险管理框架还要求注意相互关联的风险,确定一件单一的事项如何为企业带来多重的风险。
(6)信息和沟通:企业风险管理框架扩大了企业信息和沟通的构成内容,认为企业的信息应包括来自过去、现在和未来潜在事项的数据。历史数据可以使企业将实际的经营成果与目标、计划和预期相比较,以深入了解企业在过去不断变化的市场条件下是如何经营的。现在状况的数据可以向企业管理者提供更多重要的信息,而未来潜在事项的数据和潜在的影响因素可以帮助完成对信息的分析。企业的信息系统的基本职能应以时间序列的形式收集、捕捉数据,其收集数据的详细程度则视企业风险识别、评估和反应的需要而定,并保证将风险维持在风险偏好的范围内。此外,由于各管理层是企业风险管理(或者内部控制)的组成部分,并为企业的风险管理(或者内部控制)提供信息,因此,两个框架对不同管理层的地位和责任都比较关注。但相对于内部控制框架,企业风险管理框架提出设立新的风险管理部门并规定了风险管理员的地位和职责,同时扩大了董事会的职责。
研1310 蔡烨路 132060461
第五篇:国库内部控制全面风险管理研究论文范文
一、国库信息化建设趋势
国库信息化建设是我国国库发展与改革的方向与必然趋势,在电子信息技术时代背景下,国库业务与管理只有与先进的电子信息技术手段相结合,才能充分发挥国库会计管理职能,拓展国库信息功能,实现国库统计信息的决策有用目标,提升国库在国家预算执行中的重要地位。以“3T”为核心的国库信息化系统框架的建立,是国库顺应信息化发展对传统国库业务流程及会计管理进行变革的重大举措,其本质是国库会计业务与电子信息技术相融合的动态发展过程,促进了传统国库向现代国库的转变。国库业务信息化不仅是将计算机、网络、通信等先进的电子信息技术引入国库工作,并与传统的国库工作相融合,在业务核算及账务处理等方面发挥作用,它还包含更深刻的内容,国库信息化建设具有以下显著特征:以计算机、网络及通讯等现代电子信息技术为技术手段;以实现国库业务的信息化管理为目标;依据国库业务发展目标,按信息管理原理与电子信息技术重组国库业务流程;国库信息的提供能及时很好的满足用户的需求;国库业务信息的传输空间范围进一步拓宽;国库信息数据的表现形式更加多样化。国库信息化建设的核心是电子信息技术在国库业务中的综合运用和对国库管理决策的支持,国库信息化是国库从内控理念、组织结构、管理方式、管理手段等方面与国库信息化建设的要求相匹配的过程。国库信息化的主要目标是利用电子信息技术变革预算执行组织框架、规范国库业务流程、实现国库数据集成化处理,以完善国库内部控制体系,提升国库管理水平和服务能力。在信息化环境下,国库内部控制不仅仅局限于业务操作的单个环节,而是将上升到国库管理活动的全过程,其内涵和目标得到进一步扩展。
二、信息化背景下国库内部控制存在的问题
虽然随着国库风险防控意识的增强以及内控制度的不断完善,国库已经形成一套层层布防、多位一体的内部控制体系。但与国库信息化带来的风险相比,现有的内部控制体系仍存在一定的问题,主要表现在:
(一)国库内部控制环境
1.内部控制意识较为薄弱。内控意识是国库内部控制的基础性因素,是保证内控制度有效执行、国库人员自觉遵循的文化保障。但目前国库人员的内控意识仍处于初级阶段,特别是部分国库管理人员将内部控制简单理解为规章制度的汇总,认为开展内部控制就是制定各类规章制度,恰恰忽视了内部控制的本质其实是一种业务运作过程中环环相扣、相互制约的机制。
2.人力资源瓶颈约束及绩效考核困境。由于国库业务及资金运行的特殊性,国库工作对岗位设置及人员配备具有刚性需求,内部牵制不允许存在不合理兼岗,人员瓶颈比较突出,中心支库层面,由于人民银行机构设置限制,大部分中心支库普遍采用一机多库做法,同时经理市级和区级财政国库业务,虽然近年来不断补充人员力量,但相较其他专业部门仍处业务量饱和状态;县支库层面,人员老化、配备不足、学历水平低情况突出,个别甚至无法满足正常业务岗位需求。同时,目前约束过度和激励不足的问题在国库专业普遍存在,造成干的越多错的越多的不平等状态,影响了国库业务人员积极性的发挥。
(二)国库内部控制活动
1.“制度规范”模式为基础的规范体系灵活性不足。国库会计作为预算会计的分支,一直采取“制度规范”而不是准则规范的形式,对科目设置及使用、核算流程及方法、报表编制进行详细具体的规范。在实践中,这一模式却存在一个固有不足,即所有的会计事项都要在现有制度中进行规定,一旦会计环境发生变化,出现新的问题,某个方面的规定便不再适用,内控制度就会失效。在国库制度建设实践中,以“制度规范”模式为基础的规范体系弊端仍旧明显,制度滞后和制度真空问题客观存在,而要求制度建设随着各项基本业务和会计环境的变化随时更新不仅是不现实的,更不符合成本效益原则。
2.以静态的事后监控手段为主,难以实现动态及时监督。目前,对国库业务进行实地业务检查仍是国库内部控制体系中对业务过程进行监控的主要手段。这一手段是对一个时间段内所发生的业务进行抽查,这属于事后监督的范畴,对业务差错及问题的处理也是事后处置,缺乏对国库业务整体链条中存在的风险进行事前预防性的监督检查,也不能做到业务处理流程的动态的实时的日常监控,降低了风险识别、风险提示和风险防范的效果。
3.监督控制手段落后,监督效率与业务信息化水平不匹配。随着各项国库业务系统的推广,国库业务处理信息化水平越来越高,与此相对应的,国库监督检查还处于手工翻阅原始资料阶段,国库监管的计算机应用水平远远落后于国库业务系统,进一步影响了监督控制作用的发挥。另外,随着国库信息化建设的深入推进,国库业务系统应用水平显著提升,传统的监督控制手段难以适应新形势下国库监管的需要,更无法实现内部控制要求的监控作用。
(三)国库内部控制评价
1.没有进行事项识别,国库风险揭示不足或揭示过度现象同时存在。事项是源于内部或外部的影响战略实施或目标实现的事故或时间。作为国库风险管理的一部分,认识、发现和了解各类内外部因素以及由这些因素引发的事项的类别非常重要。事项有显性和隐性之分,所产生的影响效用也不尽相同。为避免忽略相关事项,需要把识别事项发生的可能性和评估事项产生的影响区分开来,后者属于风险评估的范畴。目前的国库内部控制体系中,没有明确的事项识别过程和环节,而是直接对风险进行识别与评估,风险揭示不足或过度同时存在。
2.风险评估简单,评估手段落后。国库内部控制及监督长期以来以内部风险监控为主要方面,因此通常将风险评估的重点用来防范操作风险和管理风险。但是随着国库业务信息化的发展以及国库关联业务系统建设,内部控制环境发生了巨大变化,既有自身存在的操作风险、管理风险等,也有外部关联系统及业务带来的风险。而且,由于服务对象需求的推动,国库创新业务种类不断增加,针对新业务的风险评估也尚未开展,这些都对国库风险管理提出更大的挑战。
三、基于全面风险管理的国库内部控制体系再造
(一)国际主流内部控制理论及发展-COSO理论
随着组织治理结构的完善及信息技术的发展,20世纪90年代以后,内部控制成为管理科学化的重要标志。1992年,美国会计学会、注册会计师协会等组织成立了研究内部控制问题的COSO委员会,并发布了《内部控制———整体框架》即COSO报告,对内部控制五要素进行划分:控制环境、风险评估、控制活动、信息与沟通、监控。提出:1.强化风险管理意识,指出任何性质的组织,任何层级都存在各类风险。各类管理人员必须密切关注自身面临的风险,及时采取措施进行风险控制。2.将内部控制视作是一个系统的动态的过程,这一过程是发现问题、解决问题、发现新问题、解决新问题的循环往复不断优惠的过程。3.强调内部控制的过程与组织的经营管理过程高度统一、相互结合。4.明确组织中的每一个人都对内部控制负有责任。
(二)国库内部控制发展新趋势
随着内部控制理论与实践的持续发展,信息化环境下国库内部控制应立足于全面风险管理的内部控制体系构建:发展的趋势应是基于:
1.内部控制贯穿于国库业务操作和管理的全过程,这一过程中所有的的参与者都是内部控制系统中不可或缺的一个环节,根据业务岗位不同对相应内部控制环节的有效性负责。
2.内部控制真正发挥其作用,需要良好的国库内部控制环境,需要国库人员从根本上理解和接受内控思想,并转化成自觉的行为准则。
3.确保岗位设置、业务流程设计符合内部控制的基本要求,才能做到既保证业务处理顺畅,又能做到相互监督、相互制约。
4.国库信息化建设的全面铺开,为提高内部控制手段和水平、降低成本、提升内部控制有效程度奠定了基础。
5.国库内部控制不仅仅是事后控制,而是贯穿于国库业务和管理活动各流程、各环节、全过程。
6.国库内控要强调风险意识,强化对国库风险的识别、评估以及采取风险控制活动。
7.信息化环境下国库内部控制实质上是一个信息运动的过程,通过信息互动引导国库资金、业务操作按照预定方向运行,实现组织目标。
8.国库内部控制建设必须在一定成本约束下进行。
(三)国库内部控制体系再造
1.通过国库文化建设塑造良好的国库内控环境。国库文化具有较强的伴生性,是与国库管理实践紧密结合在一起的,并被全体国库人员认可接受并遵循的价值标准、思维方式、行为规范的总称,也是国库文化、人员素质和制度体系的复合体。国库部门应高度重视国库文化建设,通过完善奖惩制度、加强业务培训等形式,引导国库人员树立正确的价值观,塑造积极健康的国库内控环境。
2.实施全面风险管理。首先,对国库风险事项进行识别,对国库风险种类、特征以及影响进行专业识别,对风险事项收到的内外部因素进行甄别判断。其次,科学开展国库风险评估,使国库主题能够充分考虑潜在的风险事项产生的影响。再次,进一步完善风险应对措施。风险应对是指国库制定风险防控措施的过程,其目的是降低国库风险,并对风险进行有力的控制。
3.科学开展国库内部控制活动。控制活动是指为确保国库资金安全,国库开展风险管理而采取的相应政策和程序。国库内部控制活动贯穿于整个国库业务环节和流程,遍及各级次和各核算主体。控制活动与国库工作的各个岗位、各个流程、各个环节相结合,包括一系列不同的业务活动,例如授权、审核、检查、岗位制约等。
4.畅通国库内控信息的交流沟通。畅通信息沟通交流渠道,保证所有国库员工能够及时获取、传递、交换和反馈内部控制与风险管理的相关信息,并对信息进行处理,在满足信息安全性和保密性的前提下,满足总库、分支库、岗位和相关人员的信息需求,保证国库内外信息交流渠道畅通。畅通的信息交流与沟通既有利于信息化环境下的国库内部控制建设,国库信息化也为内控信息交流沟通提供了信息技术支持。
5.加强国库内部控制有效性的监控。监控是指国库内外部监督部门,对国库内部控制活动的有效性、合规性等进行日常监督,对内控体系进行持续改进的过程。国库内部控制是个持续改进的过程,这要求国库部门不断的对内部控制的目标、政策、程序及制度体系进行调整和完善,提高内部控制的有效性合规性。
点击咨询 