前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业风险管理与内部控制范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
要对风险进行有效的管理,必须基于企业目标,对风险进行分析和评估,进而采取积极、全面的内部控制措施。
一、风险的评估:风险管理的起点
1、风险类别。风险往往被多数人作为经营中的一项负面因素,是应当回避或消除的危险事项,这是有失偏颇的,是混淆了风险和危险的概念。风险中不仅有危险,也孕含着机会。风险是随着企业经营倾向、经营方式、管理内容等的变化而在可能的损失或收益区间浮动的函数。见下图:
在这里我们是按效用对风险进行了分类。风险是长期存在的,不总是能够消除的,风险必须与机会进行权衡。所谓纯风险,是指只会产生恶性结果而不会产生收益的风险,如经营管理人员违规侵占公司财产、恶意歪曲财务信息等,是“坏的风险”;战术性风险是指企业为达到经营目标,对经营和财务杠杆程度、技术选择等进行的权衡,是“不确定的风险”;战略性风险则是由于政策、环境及产生趋势发生重大变化或革新,在经营中面临的重大机会选择。
显然,上述三种风险最终产生收益或损失的效用是不同的,在评估时应予区分。
国际内审协会从经营实务角度,列出了企业经营中的9个重要的风险点,分别是:管理层能力、管理层道德观、系统性变化、组织规模、资产流动性、变革、复杂程度、快速增长、制度健全性。这些风险点较好地概括了企业在不同层面的关键性挑战。
在不同企业战略目标之下,上述各项风险因素的重要程度可通过下表的星号简单反映:
注:*表示重要,**表示非常重要
管理层道德观、制度健全性属纯风险因素,与企业发展目标无关。其他几项战术性或战略性等变动风险因素则与经营取向密切相关。总体来讲,变动风险程度是与企业发展的速度、规模及变革激烈程度呈正相关的。同时,收益的预期也是与风险程度正相关的。评估风险,必然要求将企业各层面的风险因素归类,纳入整体的风险管理框架之内,然后对照企业的经营目标,逐项进行风险识别。
2、对风险的评估。在完成风险归类后,应依次进行下列风险评估:
(1)企业是否建立了明确并上下一致的发展目标。如果企业或组织尚未建立明确的目标,或虽然有目标但是未能自上而下地贯彻,内部愿景不一致,这本身就是企业面临的最大的风险。这意味着企业内部必然缺乏有效的风险管理系统。
(2)风险环境。对于纯风险层面,主要是指外部监管环境、法律政策环境、公司监察审计工作力度等。在通常情况下,外部监管环境越严格,相关政策要求越清晰,内部纯风险程度越低。但是在目前情况下也出现了许多反例。以财务管理规定为例,相关规定对各行业的成本、费用明细项目作了细致的规定,如某项成本的控制比例、某项费用的计提限制等等。这些规定虽然明确,也是监管的重点,在执行中绝大多数企业也看似遵从了这些要求,但是实际上却形成了较大的财务风险,即真实性风险。当实际业务经营中的需求无法在真实性财务环境下满足苛刻的政策要求时,必然会产生“合规”的虚假信息。目前监管层已经注意到这一现象,如最新出台的《金融企业财务规则》就对监管的范围和重点作了很大的调整,重新对监管者和市场化环境下的经营者重新定位,这对于企业降低财务风险是积极的。
战术性风险面临的外部风险非常广泛,以财务类风险为例,在以快速扩张为目标的企业中,筹资活动及筹资风险是战术性风险的重要内容,此时资本市场的资金成本、国家的货币政策、政府对行业发展的态度、以及资本市场的发展水平等等,都是影响战术决策的重要外部条件。而战略性风险,由于其本身就是依存重大外因在产生的机会,因而与重大政策性推动和支持、重大科技进步和新的巨大的市场需求的出现相关联。在对风险与机会的评估时,必然要全面考虑上述因素。
3、风险评估。从管理的每一层组织开始,结合外部环境风险因素,自下而上地进行。以前述9类风险点为基础,逐层细化,逐项分析每个风险环节。
对每个风险环节的分析,都应当以公司及本部门的关键目标为导向,开展主动的、定向性的思考,并且在必要时对风险程度进行量化描述。
(1)在进行风险评估时应当回答的问题。需要分析的核心问题是:存在哪些可能会妨碍本部门实现其关键业务目标的障碍因素(直接障碍)?要克服这些障碍,需要完成一些必要的工作和程序,而什么因素会阻碍这些工作和程序的完成和实现呢(间接障碍)?这些风险中,哪一个最可能发生(最大风险概率因子)?哪些风险将对本部门实现其预定目标的能力产生最重大的影响(最大风险程度因子)?有什么有效的控制机制可以减少这些风险及其影响(内部控制措施)?
(2)风险的量化描述。风险评估应当采用定性与定量相结合的方法。定量评估应当统一制定各风险的度量单位和风险度量模型,确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。通过量化描述,对每个风险在既往的发生概率及其影响进行精确描述,了解风险概率和程度,作为下一步内部控制措施的依据。
例如,会计部门在对某个项目的检查中出现的会计风险(风险a、b、c、d)进行如下描述:
其中重要性项目:1为稍有影响,2为比较重要,3为非常严重;频率项目:1为偶然存在(0.5%以下),极少发生(0.5-1%);较少发生(1%-5%以下);经常发生(5%-30%);总是发生(30%-100%)
分析结果是,对abcd四个项目,会计部门存在较高的风险,特别是a、b两个非常重要的项目差错率较高,而重要性程度较高的d项目差错率极高,显示该部门某一类业务的管理和控制中存在较大的风险隐患。
二、内部控制:风险管理的支点
即便我们对风险作出详尽而确切的评估,如果没有严密的内部控制及其有效执行,就无法对风险进行持续有效地管理。
风险评估是风险管理的起点,而内控制度的建立和执行是风险管理的支点。我认为,内部控制是管理者为有效减少和控制内外部各类风险及影响,确保企业决策和运作的科学合理,确保企业安全,达到企业预期目标而采取的计划、监督和行动。
根据美国“反虚假财务报告委员会”下设的专门从事内部控制研究的“发起组织委员会”(即COSO)的一体化控制理论,内部控制包括五大部分内容:控制环境、风险评估、控制行动、信息与交流和监督评审。笔者认为,控制环境本身是风险评估的重要内容,除风险评估这一风险控制的起点之外,内部控制工作的核心是三个方面,即内部控制制度、控制行为、和对内部控制的监督管理。
1、内部控制制度。内部控制制度是风险评估和分析的产物,是企业进行有效内部控制的基础和依据。
(1)内部控制制度的制定者。内部控制制度不应是由某一个专门的内控或风险管理部门制定的,也不应是自上而下制定的,相反,它应当是以企业目标为导向,由具体的业务操作部门、管理部门在风险识别和评估的基础上,由下而上制定形成的。内控制度的制定者应当是风险的识别评估者、内控制度的执行者和风险责任的主要承担者。
(2)内部控制制度的分类。根据风险的分类,内部控制制度也应该分为针对纯风险的合法合规安全性内部控制制度、针对战术或战略性风险的经营决策内部控制制度。
安全性内部控制制度主要包括财务安全性内部控制制度、信息安全性内部控制制度等。这里主要探讨财务安全性内部控制制度。其内容主要包括:审批和资格审查制度、授权制度、对帐及检查制度、资产安全规定、岗位分离和制约制度等等。
经营决策内部控制制度的主要目的是确保企业各类决策的有效性和科学性。当前企业的规模越来越大,内部分工十分细致,部门职能划分也很明确,这种情况下,如果没有系统的决策内部控制制度,很容易陷入各自为政、各自从自己利益出发的“盲人摸象”似的决策风险中。事实上,这种情况目前十分普遍,尤其是在战术层面的大量日常决策中。
比如,营销部门策划了一个促销活动,并作了详细预算。由于该活动未纳入年初的预算,且金额较大,所以提交公司预算委员会审批。这时,对于预算监控部门来讲,是否审批这笔预算的关键,往往是公司整体预算能否得以控制,如果答案是肯定的,那么这笔预算很可能被通过。而对于营销部门来说,这次活动很可能只是一次积极的尝试而已。而对于更为重要的因素,即这次促销活动能够为企业达成其经营目标产生多少贡献,则未必被各方给予充分的重视。
如果常规性决策行为经常脱离企业的总体目标,则说明经营决策内部控制制度失效。因此,必须建立以总体目标为指导的决策控制制度。这一制度的核心,是对经营目标直接负有责任的部门对直接影响经营目标的事项负责。
在上例中,如果对经营效益直接负有责任的事业部参与决策的制定,或负责预算控制的部门承担利润监控中心的职责,控制的有效性将会大大加强。这就是为什么高效的大型企业都倾向于采取划分事业部模式或利润中心模式管理的原因。如下图,对企业核心目标直接负责的部门A或B,应当参与对其收入或成本可能产生较大影响的决策过程。
内部控制制度的范围不仅是维持组织的正常运行,也涵盖了组织设计本身。一般来讲,对于重大战略性风险的决策,企业往往都会充分重视,但对于大量常规决策,却往往忽略了制度建设的重要性,而这恰是企业高效运行的关键。
2、控制行为。内部控制决不仅仅是企业中某个部门的责任,它应当贯穿到企业每个部门和员工的日常行为中。控制行为应当基于完善的控制制度,并且由各部门、各员工共同执行。就是说,控制行为应当是以“共同控制”为其核心的。
有力的控制行为来源于风险意识的建立。应当把对风险的敏感和不断认识发展成企业文化的一部分。在员工中提倡风险意识,把简单告诉员工应该怎样做和不应该怎样做,转变为对员工的风险教育,使员工对各个业务环节形成自然的风险评估习惯,这是避免机械性错误和管理低级失效的重要方式。
控制行为的几项要点:①员工应当很清楚地说明企业的目标、部门的目标是什么,必须对其岗位所负担的工作中的主要风险有清析的了解;②除了风险培训之外,企业必须给员工设立一个及时而畅通的反映其遇到新的风险进而及时处理的渠道,并有一个互相沟通的平台。③员工在职责范围内减少风险的表现应当作为年度工作业绩考核中的一个重要指标。④各部门都专设风险检查人员,即新的风险的发现人员,彻底调查每一项不正常的事项,并进行深入沟通和研究。
“细节决定成败”。控制行为关注的是每一个细节。科学的风险评估和合理的内控制度,都需要风险意识强、高度负责的员工的逐项实施,也需要管理者不断的予以关注。但这也还是不够的。真正完善的内控系统应当是确保企业随时处理出现的不利情况、随时依照正确的程序作出相对合理的决策,从而提高企业效率,增强企业对外部的反应能力和生存能力。对于内部控制而言,由于每一个控制主体具有特定的立场和视角,因此它很难作到自我完善、自我监控,还需要一个独立的监控系统。
3、对内部控制的监督管理。要确保内控的长期有效性,除了制定完善的内控制度外,必须建立强大而独立的内控监督机制。这项任务通常是由公司内部审计部门承担的。对内控的监管,主要是通过对企业内部实施广泛、严格、制度化的检查、稽核、审计和调查,了解掌握企业内部控制的各主体是否出现缺位,内部控制流程是否得到有效的执行,内部控制流程是否能够很好地适应外部环境的发展变化,其效率能否得到提高,内控环境的变化情况和企业的风险管理状况等,提出完善内部控制的建议措施,并监督这些措施的落实和贯彻。
正如Minhael Hammer所说,内审机构应当将自己看成是公司的一项资源。在帮助管理当局达到预期控制目标的过程中发挥作用。内部审计师的使命将从简单的“我们实施审计”向“我们创建一些程序,以期达到组织成功所需要的内部控制水平。”
很显然,对内部控制的监督管理是一项重要而且繁重的工作。涉及面广,而且非常重要,但内部审计部门一方面力量不足,另一方面往往缺乏独立性,难以独立承担内控监管的完整责任。因此,目前国内已有许多企业建立了风险管理委员会,综合协调各方力量加强内控制度的建设和监督,进而加强企业的风险管理工作。
三、建立系统化的风险管理和内部控制体制
【关键词】企业 内部控制 风险管理 问题 反思
企业风险的管理是在企业目标的基础上,实施的分析风险和测评风险,再通过积极有效的措施进行内部控制。内部控制机制的主要作用就是在内部控制主体所设立的行为规范上,进行内部控制主体行为的调整,能够使企业顺利进行各项经济活动,使企业内部在经济交易中产生的不同行为得到限制和激励,从而使交易的成本大大节省。由此可见,企业加强风险管理和内部控制对促进企业的发展具有重要的意义。
一、企业风险管理和内部控制中存在的问题
(一)风险管理意识淡薄,不能很好地预测风险
企业目前所面临的风险主要包括市场风险、运营风险、法律法规风险等。运营风险在所有的风险中是最重要的一个。企业要建立一个能够辨别风险和控制管理风险机制,且高风险的范围要明确,从而加强管理。可这种机制正是我国企业所缺少的,管理风险的意识相当淡薄,没有辨认风险、评估风险的相应机制。
(二)风险的有效防范措施力度不够
风险和收益在有效资本市场的条件中是成正比关系的,风险低则收益低,风险高则回报必丰厚。可从内部控制的层面来讲,企业在辨认和分析过风险之后,理应通过一些积极又有创新意义的管理风险的措施,使企业能够接受这样的风险。不少企业为了获得更高的经济效益,冒着风险进行违法运营,让股东承担负债风险和公司破产的风险,造成了风险资产的不断增加,也加大了经营的风险和财务的风险,结果损害了公司和股东的利益。
(三)内部控制的制度没有执行力,缺少机制的评价
我国有不少企业把内部控制的制度都贴在墙上或写于纸上,没有切实的执行力,也很少有企业进行评价其内部控制的制度,大多数都是走于形式。此外,长时间以来,企业管理者考核的根据主要是以利润为主,其方式也非常单一,鲜有内部控制的综合评价。
二、加强企业风险管理和内部控制的对策
(一)健全内部控制组织机构,注重内部审计工作
为了提高内部控制制度的执行力,就要不断完善内部控制制度的组织结构,把内部审计机构的工作提升。内部审计机构的地位,企业要有明确的说明,赋予审计机构部门一定的权威性和独立性,使企业的审计部门成为企业内部控制制度执行的主要监督机构,且赋予各监督部门进行考核评价其控制制度的执行效果,这样,才能切实有效地执行企业内部的控制制度。
(二)强化内部控制执行部门的防范风险意识
在加强内部审计监管的同时,也要提高每个执行部门自身的防范风险的意识,执行部门必须根据规定的具体制度进行执行,避免出现由于执行力度不够、把关不紧而导致的经办部门和个人为一己之利而给企业带来整体利益谋私的行为风险。尤其是在信息化的今天,企业的外部环境更是千变万化,企业如果对内部网络数据的风险控制不予以重视,那么就有可能导致企业内部人员出现道德风险或者是系统性的风险,从而造成泄露商业数据的风险。所以,执行内部控制的工作人员一定要把泄露商业信息的风险意识加强,以此杜绝为企业带来巨大的损失。
(三)风险评估要做好,内部控制制度要健全
企业有效进行内部控制的基础的根据就是企业风险的评估。企业要按照实际工作情况,根据内部控制制度的标准依法建立与企业实际情况相符且有较强操作性的科学合理的制度,要做好风险的评估以及内部控制制度的完善就要从制定制度、执行制度、评估制度和改善制度等方面入手。如果企业的风险评估能够做好,再依照实际情况进行设立内部控制制度和有关程序,这样在很大程度上能使人为带来的风险和制度上风险等得到有效防范。
(四)企业各部门间的执行要相互配合,取得内部控制制度的高效执行
各个部门的工作程序对企业来说都非常重要,尤其是作为内部控制制度的每个执行部门和个人,要把整体利益作为出发点,内部控制决不能把部门利益和个人利益当作自己工作的出发点,每个执行部门之间的信息要及时沟通,信息要及时共享,这样更有利于工作的相互配合,能够快速发现存在的问题,一起分析解决,以避免管理不足,从而使企业整体效益得到提升,企业内部控制的程序也能很好的协作,更加高效地使企业内部的控制制度得以执行,把内部控制制度的意义发挥至极致。
(五)设立内部控制执行的考核与监督激励的机制
在建立健全了内部的控制制度之后,最重要的问题还是各部门的执行和个人的执行,所以,企业在根据国家法律和企业有关规定的制度运营的同时,也要设立对应的考核机制以及激励机制,直接影响到执行人员的工作业绩,从而使风险防范意识能力得以提高。内部控制制度能够安全可靠地运行,其可靠的考核机制和工作激励是重要的保障。
(六)通过市场杠杆的途径来使企业风险管理水平提高
在企业进行风险管理时,要把市场杠杆所带来的积极作用发挥至极致,对于企业风险的控制、转移均可以通过期货、保险等一些金融手段来实现,但要注意的是操作必须安全规范,同时,还要及时建立健全各种措施策略,以此使风险的发生比率大大降低。比如,为了对付多种不同的且无法事先预测的自然灾难,就可以采用购买商业保险的方法进行应对,在风险管理中,其作用是十分明显的。
【关键词】信息系统;内部审计;风险管理
当前,SAP系统在油田全面实施。审计活动要在以前单纯面向财务与会计部门之外更多地发挥作用,必然要求审计人员要将复杂的财务数据与具体的业务相联系,与生产、营销、采购、信息技术和经营等部门相联系,运用系统化、规范化的方法,找到生产经营过程中的薄弱点,最终为企业增加价值并提高企业的运做效率,实现企业的生产经营目标。如何适应审计对象信息化所发生的变化,内部审计如何参与风险管理,本文将对此问题进行探讨。
一、风险管理
风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。根据以上风险管理的定义,我们可以得出以下几点认识:(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;(3)风险管理是一种管理方法;(4)风险管理是一种特殊的管理功能。
二、ERP环境下内部审计参与风险管理的动因
ERP环境下内部审计之所以涉足风险管理领域,主要有以下几个原因:
1、对审计质量产生了重大影响
ERP环境下审计面临的固有风险、控制风险和检查风险均发生了显著变化,审计风险中检查风险发生的变化对审计工作影响最为深刻。表现为:①对SAP系统缺乏足够理解。当信息系统成为审计对象的一部分时,为了评估风险,内审人员必须对信息系统有足够的理解,但是,对大多数内审人员而言是一件困难的事情。另外审计人员在理解信息系统时需要一定的时间、文档资料、外部技术咨询、人力资源等,但在审计过程中,这些资源往往很难获得。②技术不成熟。内审人员采用计算机技术辅助审计以降低审计风险,但其本身就引入了风险,尤其是没有经过严格测试的技术。例如,审计人员自己编写的程序,往往没有经过认真的测试就投入使用。很多应用的审计软件也存在缺陷。例如,在导入数据时丢失记录,数据处理结果错误。③对技术的依赖性。由于信息技术的使用确实能够有效地提高审计质量和效率,审计人员很容易对技术产生过分的依赖。例如,期望通过电子数据分析来发现所有审计线索,忽略其他审计方法,如调查询问、实物盘点、函证、现场观察等。过分依赖信息技术可能导致检查效率减低,取证范围变得狭窄,以至于审计证据的充分性得不到保证。
2、内部审计自身发展的要求
内部审计部门为了不断地发展,为了在企业中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。面对SAP系统的全面应用,内部审计参与风险管理,正是审计对象信息化的迫切要求及深化审计工作的必然选择。
三、ERP环境下内部审计如何参与风险管理
(一)强化内部审计部门自身管理
1、在评价ERP环境下企业风险的基础上合理安排审计资源。内部审计部门积极开展以风险评估为基础的审计,根据企业不同业务、以及风险大小分配审计资源,例如可以建立ERP环境下业务类型网络,在该网络中,可以集定业务方面的有专长的审计人员,以更好地理解各种风险,审计工作结束后,仍然存在资源配置问题。内部审计并不仅仅只做合规性审计,如果在审计报告递交后没有人执行,内部审计没有促进任何变化的发生,那么内部审计就没有起到其应有的作用。由于内部审计的一个重要作用是促进变化,既要告诉被审计单位问题出在哪,以及这些问题可能给企业带来的影响,还要提出解决问题的建议,并为了确保问题得到正确、及时解决,还要在审计结束后进行合理的资源配置,派出合适人选对该审计项目进行跟踪,并对高风险的领域提供持续的有价值的建议和监督。对审计项目的后续跟踪,并不意味着内部审计有失独立和客观。相反,如果内部审计部门能够监控被审计的全过程,并可能在跟踪的过程中发现新的问题,以便使审计部门进一步研究问题的所在。
2、不断更新内部审计的方法。实施ERP后,企业安全将面临更大的挑战,内部审计部门除了运用传统审计方法外,还应借助信息技术开展信息系统审计。主要内容是:一是对整体计算机控制环境审计。主要包括:检测网络与系统的安全性、检测是否有入侵行为、评估系统风险控制点,对系统设备、操作系统、无线网络、防火墙等方面的审计。二是对应用系统控制审计。包括:数据源和验证控制,输入环节控制,处理环节控制,输出环节控制,边界控制等。三是应用中石化开发的SAP审计查证系统进行计算机辅助审计。
3、培训专门的信息系统审计人员。内审人员的职业技能及职业判断能力将直接影响审计风险的评估和控制,并决定审计质量。无论从内审人员个人的职业发展,还是专业胜任角度考虑,都必须定期的、有计划的对审计人员开展培训,审计人员也应自觉不断的更新知识和技能,保持自己的专业竞争力。在信息系统环境下,除了一般审计人员要掌握一定的计算机知识之外,还应有一批专门的计算机信息系统审计人员。审计与计算机毕竟是两个不同的专业,要求每一名审计人员了解计算机信息系统的每一个细节是不现实的,也不符合社会分工的发展趋势,油田内部审计机构也应随着对计算机信息系统审计工作的不断深入,逐步建立起专门的信息系统审计部门,信息系统审计人员的加入,将使审计队伍的构成更加丰富,也将大大提高我们的审计质量和整体审计能力。
(二)内部审计实施风险管理的原则与步骤
ERP环境下内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:1、评估风险识别的充分性。所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业在实施ERP后正在或将要面临哪些风险。内部审计部门和人员要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。2、评价已有风险衡量的恰当性。风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计部门和人员要对已有的风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。3、评估风险防范措施的充分性,并提出改进措施。风险的防范措施是指为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。内部审计部门和内部审计人员对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,以强化企业的风险管理,降低风险损失。
四、ERP环境下参与风险管理要注意的几个问题
1、充分认识到,当前条件下ERP系统建设中还存在着比较突出的风险控制问题。目前,油田企业对信息系统的掌握和认识还不那么全面,加上对信息系统下的风险控制的作用还认识不够。许多企业引进ERP系统的目的就是提高业务运做效率和管理控制。由此带来两方面的问题:①传统的管理控制在信息系统环境下没有被合理更新。②信息系统下典型的技术控制还没有具体的实施程序。如安全程序变更、灾难防御等。
2、对内审人员应用计算机技术参与风险管理,要加强控制
【关键词】企业全面风险管理,内部控制,理念
随着我国经济全球化、市场化的不断深入,企业面临的不确定因素愈来愈多,很多企业把注意力引向了全面风险控制与内部控制机制方面的设立,但只有少部分内部治理结构健全的企业设立了有效的风险监控职能,大部分企业仍存在较为严重的风险管控缺陷的问题。如何建立、完善企业内控制度已成为众多企业亟待解决的治理问题。
一、企业内部控制发展
内部控制是组织运营和管理活动发展到一定阶段的产物,是科学管理的必然要求。它是在内部牵制的基础上,由企业管理人员在经营管理实践中创造并由审计人员理论总结而逐步完善的自我监督和自行调整体系。内部控制从内部控制理论与实践的发展大体上经历了内部牵制、内部控制系统、内部控制结构、内部控制整合框架和全面风险管理等五个不同的阶段。
1、内部牵制阶段。内部牵制阶段指的是20世纪以前内部控制的基本思想和初级形式。内部牵制以查错防弊,保护的财产安全为目的,针对控制对象以职务分离、账目核对等方法发挥分权牵制、实物牵制、机械牵制和簿记牵制的职能。
2、内部控制系统阶段。这一阶段从时间上看大致为20世纪40年代至80年代。在注册会计师行业的推动下,内部控制由早期的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制系统,完成了实践塑造和理论完善的两大使命,适应了这一时期资本主义经济快速发展、所有权与经营权进一步分离的特点。
3、内部控制结构阶段。20 世纪80年代至90年代初,内部控制的发展进入内部控制结构阶段。在这一阶段,控制环境作为一项生根内容被纳入内部控制结构之中。控制环境反映组织的各个利益关系主体对内部控制的态度、看法和行为;是对建立、加强或削弱特定政策和程序效率发生影响的各种因素。具体包括: 管理者的思想和经营作风;企业组织结构;审计委员会发挥的职能;确定职权和责任的方法;管理者监控和检查工作时所用的控制方法;人事工作方针及其执行、影响本企业业务的各种外部关系。
4、内部控制整合框架阶段。1992 年9 月, 美国反虚假财务报告委员会的主办组织委员会( COSO) 在的报告《内部控制: 整合框架》 中提出了内部控制的三项目标和五大要素, 标志着内部控制进入一个新的发展阶段。其目标包括合理地确保经营的效率和有效性、财务报告的可靠性、对适用法规的遵循。内部控制要素包括: 控制环境、 风险评估、控制活动、信息与沟通和监控。
5、全面风险管理阶段。这一阶段的标志是2003年7月美国COSO颁布的企业风险管理框架的讨论稿。企业风险管理是受企业董事会、管理层和其他员工影响的,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,为企业目标的达成而提供合理保证的过程。
二、企业全面风险管理发展
企业风险管理框架是在内部控制与企业的风险管理相结合的基础上,结合《萨班斯一奥克斯法案》在报告方面的要求研究得到的。风险管理框架是建立在内部控制框架的基础上,内部控制是企业风险管理必不可少的一部分,但风险管理框架的范围比内部控制框架的范围更为广泛,是对内部控制框架的扩展,是一个主要针对风险的更为明确的概念。
相对于企业内部控制制度,企业全面风险管理框架的创新在于:在目标上:提出来企业战略管理目标,为风险管理应贯穿战略目标的制定、分解和执行过程,为战略目标的实现提供合理保证; 在内容上控制要素构成为内部环境、目标制定、事项识别、风险评估、风险反映、控制活动、信息和沟通、监控;在概念上提出来风险偏好和风险容忍度。
三、 全面风险管理与内部控制的关系
1、 全面风险管理与内部控制的区别
(1)管理范围不同。
全面风险管理的管理范围要大于内部控制。内部控制是一种管理职能,主要作用于事中与事后的控制,而全面风险管理则是贯穿于整个过程的各个环节,尤其是在事前就有了一定的预见性的风险考虑。
(2)具体业务流程不同。
全面风险管理涉及制定风险管理目标和战略、选择风险评估方法、聘用管理人员以及报告程序等环节,而内部控制不涉及到企业经营目标的设立,只是对目标制定的过程进行控制。负责如对报告的评估、对信息交流的监督、对错误的纠正等等。
(3)风险管理不同。
全面风险管理框架引入了风险偏好、风险预警、风险对策等方法概念,因此,在风险度量的基础上,该框架可促使企业发展战略向风险偏好靠拢。根据投入、风险、回报之间的联系,合理进行资本分配。这些功能都是内部控制框架能力范围之外的。
2、联系
通过了解内部控制的五大发展阶段可知,随着企业管理者的治理理念的改变,全面风险管理在内部控制的基础上发展和完善。内部控制作为企业的重要的组织制度,为实现企业的管理目标而提供了保障。有效的内部控制保证企业营运有效、财务可靠,使企业风险值降到最小,保证企业的可持续发展。
全面风险管理产生于战略决策之中,贯穿于企业的各个环节,为企业持续发展提供保障。全面风险管理包括三个方面:一是企业的风险管理目标。包括经营目标、战略目标、报告目标和合规目标;二是全面风险管理要素。主要有目标设定、内部环境、事件分析、风险评估、风险对策、信息交流、控制监督;三是企业的各个层级的设置与风险管理职责。包括企业整体、各职能部门、各业务线和企业下属各子公司,以及各个层级的风险控制职责。
关键词:企业内部控制风险管理
一、企业内部控制与风险管理运行中存在的问题
(一)内部控制没有注重对环境的控制
在企业中的管理过程中,企业的管理者在对内部控制管理的过程中往往会忽视对环境的控制,以至于由于企业的一些外部环境影响了企业的内部控制。同时,企业的内部控制不仅涉及到企业的日常管理,同时还是提高企业竞争力的基本保障。而在一些企业中,企业的管理者往往会把企业的内部控制划分到企业的会计部门,在管理的过程中没有整体的考虑到企业的各个因素,以至于在内部控制管理无法正常的运行。
(二)内部控制无法应对高于内部控制的风险
由于企业的内部控制得不到有效的管理,在企业今后的运行中,无法应对高于企业内部控制的风险,由此给企业带来巨大的经济损失。其主要原因是在企业的内部控制中,主要针对企业的管理者以及企业的员工进行控制,而针对企业的高层管理者却缺乏一定的束缚力,以至于企业的高层管理者在对企业进行管理的过程中出现工作疏忽,从而给企业带来风险。
(三)企业风险管理水平较低
在企业的管理过程中,企业的整体风险管理水平较低,同时管理手段落后。主要包括以下三个方面的内容:首先,企业的风险管理得不到企业管理者的重视。在企业管理的过程中,往往是重收益轻管理,在管理的过程中,往往只顾眼前利益,从而忽略了企业今后的生存发展。其次,风险管理人员的专业水平没能达到相应的要求。在对风险预测以及防范的过程中,由于管理人员对风险的预测意识弱,从而不能正确的预测以及防范风险。最后,企业的风险管理手段落后。在对风险管理的过程中,无法正确的对风险进行识别、评估以及应对等。
(四)没有一套完善的风险管理信息系统
在大多数的企业风险管理中,都没有建立起完善的风险管理信息系统。同时在风险管理的决策上也缺乏一定的依据。因此在对风险的防范以及预测中,不能及时的掌握相关数据及信息,从而大大降低了企业风险的防范水平,以至于在今后的企业竞争中企业处于被动的状况,在影响企业正常运行的同时还给企业来带巨大的经济损失。
二、企业内部控制与风险管理的改进措施
综上所述,企业的内部控制与风险管理对企业的日常运行以及企业今后的市场竞争有着重要作用,不仅能使企业在今后的发展中有效的避免因风险带来的损失,还能在一定程度上促进企业的生产发展。针对企业内部控制与风险管理中存在的一些问题,提出以下几种改进措施:
(一)完善风险控制机制
在企业的生产经营中,完善的经营控制机制是防范经营风险的关键所在,与企业的风险管理是相辅相成、相互制约的。因此,在完善风险控制机制的过程中,首先应完善经营控制机制。主要包括以下三个方面的内容;首先,要建立起经营风险的全过程控制机制。从而使企业在经营的过程中能及时的对风险有所防范,从而能及时的避免风险。其次,建立和完善经营风险预警机制。在企业经营的过程中,能及时的避免企业的资金受到损失。最后,实行全员风险管理,健全风险控制的动力机制。实行全员管理,将风险机制引入企业的内部,从而使企业的全体员工能共同承担风险责任。
(二)建立科学的内控制度体系
在加强企业的内部控制时,首先要建立起科学的内控制度体系。科学的内控制度体系,不仅能束缚企业的全体员工,同时在管理的过程中运用科学的方法,使内控管理更为规范。在建立科学的内控制度体系时,就需要企业的管理者能提高内控管理意识,加强内控管理制度。在制定的同时还要充分的考虑时展以及企业的实际状况。
(三)推行内部控制评价制度
在加强企业内部控制的同时,也应在企业内部推行内部控制的评价制度。使企业的员工能清楚的了解企业的内部控制管理,同时能及时的提出不同的管理方案以及内部控制中存在的问题,在一定程度上能集思广益,从而使企业的内部控制管理得到完善。同时,也加强了企业员工的责任观,增强了企业的凝聚力。
(四)强化内控制度考核,推行有效的激励机制
检验内内部控制管理的最有效方法就是对内控制度的考核,通过一定的考核,找出管理中存在的不足,以便及时的改进,从而及时的避免因管理上的缺陷给企业带来损失。同时,在强化考核的过程中,也要推行有效的激励机制,对于能及时完成内部控制工作的员工,要给予一定的奖励,反之,要给予严厉的惩罚。
三、总结
综上所述,在企业今后的生存发展中,企业的内部控制与风险管理将起着决定性作用,不仅关系着企业能否在今后的竞争中立足,同时还关系着企业的正常营运。因此就需要企业的管理者注重对企业的内部控制与风险管理,使企业能在今后的发展中能更好的预测风险,从而做到有效的抵御风险,为企业今后的发展奠定结实的基础。
参考文献:
[1]丁友刚,胡兴国.内部控制、风险控制与风险管理――基于组织目标的概念解说与思想演进[J]. 会计研究, 2007,(12)