内部控制八大要素分析(企业为例)
一、八大要素为:
1.内部控制环境
企业内部环境是影响、制约组织内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。主要包括了:治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
董事会是内部环境的重要组成部分,对其他内部环境要素有重要的影响。企业的管理者也是内部环境的一部分,其职责是建立企业风险管理理念,确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和相关的初步行动结合起来。
举例:执行信用政策的基础(人,权责):如内审部门独立和权力、财务部门权力、信用政策相关员工的能力和道德,激励与约束惩罚政策等
2.目标制定
目标设定是指企业在确立其使命及愿景规划的前提下,制定企业的战略目标,选择战略并设定相关的经营目标、报告目标、资源目标和合规目标,并根据所设定的目标合理确定主体整体风险承受能力和具体业务层次上可接受的风险水平。
举例:分解目标,经营目标,利润=收入-费用——增源节流,收入,费用继续细化分解。
3.事项识别
不确定性的存在,使得企业的管理者需要对这些事项进行识别。事项是源于内部或外部的影响目标实现的事故或事件,对企业可能有正面的影响(机会)、负面的影响(风险)或者两者兼而有之。组织应当在充分调研和科学分析的基础上,准确识别影响主题目标实现的内部和外部事项,区分风险与机会。
举例:影响增源节流的因素(风险,如市场环境等)—促销(竞争市场)—赊销(两难)
4.风险评估
组织应当针对易识别的风险因素,从两个方面对风险进行评估——风险发生的可能性和影响程度,并根据实际情况,针对不同的风险类别确定科学合理的定性、定量分析标准。
风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。对于风险的评估应从企业战略和目标的角度进行。首先,应对企业的固有风险进行评估,确定对固有风险的风险反应模式能够确定对固有风险的管理措施。其次,企业应在对固有风险采取有关管理措施的基础上,对企业的残存风险进行评估。
举例:量化分析应收账款多与少的风险。
5.风险反应
组织应当根据风险评估情况,结合风险成因、整体风险承受能力和具体业务层次上可接受的风险水平,确定风险应对策略。
风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险,企业都应考虑所有的风险反应方案。选定某一风险反应方案后,管理者应在残存风险的基础上重新评估风险,即从企业总体的角度、或者组合风险的角度重新计量风险。各部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。
举例:综合应用四种措施,平衡销量与坏账
6.控制活动
控制活动是指制订和执行政策与程序以帮助确保风险应对得以有效实施。控制活动的制定要结合主体具体的业务和事项的特点与要求。
控制活动主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计信息系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
举例:适度的信用政策:客户,额度,期限,现金折扣等
7.信息和沟通
信息与沟通是指及时、准确、完美地手机与主体经营管理相关的各种信息,并使这些信息以适当的方式在主题有关层级间进行传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的手机机制和组织内部与外部有关方面的沟通机制等。
举例:财务部门与销售部门
8.监控(监控)
监控是评估风险管理要素的内容和运行以及一段时期的执行质量,形成书面报告并作出相应处理的过程,是实施内部控制的重要保障。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。
对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。适当的记录通常会使风险管理的监控更为有效果和有效率。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时,他们应考虑为企业风险管理设计一套记录模式并保持有关的记录。
举例:内审部门内部审计等
二、联系:
企业内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应,还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。
目标制定是是想识别、风险评估和风险应对的前提。
识别的机会可以在企业战略或目标制定的过程中加以考虑,以确定有关行动抓住机遇。识别的风险则应在风险的评估和反应阶段予以考虑。
风险评估可以使管理者了解潜在事项如何影响企业目标的实现。
控制活动是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是事实内部控制的具体方式。
信息与沟通和监控则贯穿始终,为其他要素的实现提供桥梁和调整途径。
点击咨询