内部控制风险分类
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇内部控制风险分类范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
内部控制风险分类范文第1篇
1.基于内部控制的集团企业全面风险管理的基本内涵内部控制与风险管理是基于内部控制的集团企业全面风险管理体系对立统一的两面,其基本内涵为:以集团企业战略目标为指导,将风险管理和内部控制纳入统一的一体化管理框架。首先,以风险为导向,在“全面风险管理”层次上对内部控制进行思考与定位,在全面评估风险的基础上,分析、设计、构建“风险导向的内部控制体系”;然后,以内部控制为平台,通过内部控制活动,在集团企业的风险偏好范围内管控风险,最终将风险控制在可接受的范围内,为企业战略目标的实现提供合理保证。总之,基于内部控制的集团企业全面风险管理,通过内部控制为全面风险管理找到着力点和切入点,能够有效避免风险管理和内部控制的分离,防止风险管理流于形式,以促进全面风险管理机制在集团企业内部有效运转。
2.基于内部控制的集团企业全面风险管理的主要内容根据coso《企业风险管理-整合框架》[2],财政部等五部委《企业内部控制基本规范》的基本要求,国资委《中央企业全面风险管理指引》的基本内容为依据,参考《上海证卷交易所上市公司内部控制指引》、香港联交所的《公司管治常规法则》、英美等国家的管治守的基本要求,立足集团企业的实际情况,以集团企业战略目标为指引,构建以内部控制为基础的全面风险管理的体系,主要内容包括:全面风险管理目标、风险导向的内部控制体系、风险管控、风险管理考评、风险管理报告与风险预警六个方面。在实际操作过程中,基于内部控制的集团企业全面风险管理的主要内容一般通过编制《基于内部控制的集团企业全面风险管理手册》来体现,以其作为集团企业开展全面风险管理工作的操作性文件。
二、基于内部控制的集团企业全面风险管理的运行机制
以内部控制为基础的全面风险管理的运行机制主要包括设立全面风险管理目标、构建风险导向的内部控制体系、实施风险管控、开展全面风险管理考评、明确全面风险管理预警体系和建立全面风险管理报告体系等。
1.设立全面风险管理目标基于内部控制的集团企业全面风险管理应该始终围绕支持集团企业战略目标的实现而开展工作,使风险管控与集团企业战略目标相适应,并将风险控制在集团企业可承受的范围内,为确保集团企业战略目标的实现提供合理保障,以实现“最大限度的企业价值”。因此,需要在集团企业战略目标的指引下,设立全面风险管理目标。第一,进行集团企业环境分析。采用“SWOT”和“PEST”分析法,全面分析集团企业所处的内外部环境,并形成环境分析报告。第二,制定集团企业风险管理方针。基于环境分析报告,制定集团企业对各种重大风险和重要风险领域的风险管理方针。第三,设定集团企业战略目标。为了保证集团企业建立科学、合理战略目标,将集团企业战略与风险管理有机结合起来,将风险偏好与集团企业战略相联系。在集团企业战略目标设定过程中,需要充分考量各种风险的影响,使集团企业战略目标与风险管理方针相吻合,保证集团企业战略目标与其风险偏好相一致,确保集团企业发展战略、风险管理方针与价值创造相一致。因此,在制定集团企业战略时,一方面使集团企业发展战略符合既定的风险管理方针,另一方面,通过风险管理为促进集团企业战略目标的实现提供合理保障。第四,制定集团企业运营目标。以集团企业风险管理方针和战略目标为依据,设定运营目标,据此确定三年或五年滚动经营计划。在运营目标的设定和经营计划编制过程中,要充分考量各种运营风险,并使运营目标、经营计划与风险管理方针和战略目标相容。第五,建立集团企业全面风险管理目标体系。根据运营目标,制定集团企业全面风险管理总目标以及分子公司、各部门和业务单位的具体风险管理目标,形成集团企业全面风险管理目标体系。
2.构建风险导向的内部控制体系内部控制要以风险为导向,分析、设计和实施内部控制活动,旨在全面降低和管控集团企业风险。(1)开展内部控制现状诊断评价以集团企业全面风险管理目标体系为指导,以《企业内部控制基本规范》、《企业内部控制应用指引》为依据,以“行业最佳实践”为标杆,从“内部环境、风险管理、控制活动、信息与沟通、内部监督”五个方面,采用问卷调查、访谈、制度审核、流程测试等方法,了解集团企业业务运作、经营管理现状,分析评估内部控制事项是否符合相关的内部控制要求,是否符合集团企业制定的全面风险管理方针,诊断内控薄弱环节,评价内控有效性[3]。通过以上诊断以及评价,揭示风险管理的主要问题,确定基于内部控制的集团企业全面风险管理体系建设的重点。例如,2013年,JZ能源集团按照上述诊断评价方法,对“投资、融资、担保、销售、采购”五个重要业务环节,共设置了446个检查点,全面剖析经营管理及内部控制现状,查找不足。通过内部控制现状诊断评价发现五个重要业务环节的总体完善度为64.57%,属于中等;检查点的执行有效率为85.20%,结果良好;制度的总体合规率为75.78%,属于中等。由此可知,其内部控制还存在缺陷,需要强化内部控制体系建设和提升内部控制执行力。(2)建立风险识别分类框架结合集团企业生产、经营与管理现状、实际业务板块特点、外部环境以及内部条件,运用访谈、研讨、资料研究、发放调查问卷、审阅所有重要的管理制度以及制度与流程相结合的形式,建立风险识别分类框架,规范风险描述语言,统一对风险的认识和理解,并明确各类风险的责任管理部门。例如,2013年JZ能源集团按照上述方法,从“战略、法律、运营、财务、市场、投资”方面建立了风险识别分类框架,见图1。(3)进行风险辨识根据风险识别分类框架,对各类风险进行分类细化,辨识出集团企业需要关注的风险事件,形成集团企业风险事件库,找出各风险的关键影响因素,揭示风险发生的内外部原因、暴露状态以及潜在的不利后果,明确各项风险管控的关键责任部门与个人,对接集团企业的有关业务流程、管理流程和制度,确定关键业务流程、管理流程的风险事项。例如,JZ能源集团企业根据上述风险辨识流程与方法,初步建立了包含137条风险事件的风险事件库,形成了集团企业总部层面风险库,涵盖了集团企业内外部的主要风险表现。总部层面风险库的一级风险目录6个,分别为“战略风险、投资风险、市场风险、财务风险、运营风险、法律风险”。一级风险目录下又分为39个二级风险子类别,其中战略类风险8个,风险事件18条;市场类风险7个,事件36条;财务类风险7个,风险事件21条;运营类风险8个;风险事件20条,法律类风险5个,风险事件33条;投资类风险3个,风险事件9条。该集团企业风险整体分类框架见图1。(4)进行风险评估针对辨识出的风险事件,从风险发生的可能性和风险发生对战略目标、经营管理目标的影响程度两个纬度进行风险评估,确定其风险水平,找出面临的重大风险、重要风险、中等风险和低风险,确定各项风险的重要性排序和管控重点,绘制风险坐标图。据此,JZ能源集团通过风险评估,明确了2013年的重大风险和重要风险—9个重大风险和3个重要风险。9个重大风险分别为:战略类—资源获取风险、分子公司管控风险、产业政策风险;市场类—销售管理风险、采购风险;财务类—融资风险、担保风险;运营类—安全管理风险;投资类—产(股)权类投资风险。3个重要风险分别为:投资类—固定资产投资风险;运营类—环境保护风险、信息系统风险。JZ能源集团企业2013年重大、重要风险见图2。(5)制定风险管控策略根据风险评估结果,制定集团企业总部层面的风险管控策略,明确每一类(项)重大风险的风险偏好、风险承受度。一般来说,重大风险的风险偏好是集团企业愿意承担风险的重大决策,应该由董事会决定。风险承受度就是集团企业风险偏好的边界,即能够承担的风险水平。例如,2013年SH能源集团确定:安全管理风险偏好为:不能发生铁路颠覆、电力事故、瓦斯爆炸,港口淤泥等任何安全事故,确保安全运行;安全管理风险的风险承受度为:力争达到原煤生产百万吨零死亡率的目标,力争安全生产创出历史最好水平。(6)构建风险导向的内部控制环境风险导向的控制环境包括全面风险管理组织体系、全面风险管理信息系统、全面风险管理文化和全面风险管理制度体系。通过建立完善的风险导向的内部控制环境,塑造全面风险管理文化,进而培养员工的全面风险意识,形成人岗匹配、授权有度、运行有序、监控到位的内控环境。第一,建立权责清晰的全面风险管理组织体系。全面风险管理组织体系是有效实施全面风险管理的组织保障。主要包括规范的法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他职能部门、业务单位的风险管理组织领导机构及其职责。通过合理的组织结构设计和职能安排,将全面风险管理责任落实到每个部门和岗位,明确界定每个部门和岗位的职责并进行有效地传达沟通。JZ能源集团的全面风险管理组织体系见图3。第二,搭建畅通的全面风险管理信息系统。基于内部控制的集团企业全面风险管理体系必须设置全面风险管理信息系统,以便建立起顺畅的内外部风险信息传递与沟通机制,将风险管理相关的所有资讯集成到全面风险管理信息系统中,使相关个人、部门能及时获得履行风险管理相关职责所需的资讯。主要包括风险数据信息的采集、存储、加工、统计、评估、图谱分析、监控、预警、应对等功能。第三,塑造先进的全面风险管理文化。全面风险管理文化是风险管理的世界观与方法论,是基于内部控制的集团企业全面风险管理体系的灵魂。因此,必须以塑造先进的全面风险管理文化为先导。把全面风险管理文化融入企业文化建设和全面风险管理的全过程,建立具有风险意识的企业文化,统一风险语言,培育员工的风险意识,营造风险管理氛围,使风险管理理念贯穿于从战略目标设定到日常运营的各项活动中,固化在员工的行为之中。第四,建立执行有力的风险管理制度体系。鼓励大家藐视各种规章制度是安然破产倒闭的重要原因之一。有效的全面风险管控必须建立完善的执行有力的制度体系,以此来规范每一个员工的行为。全面风险管理制度体系就是要在集团企业的各项管理制度中嵌入风险管控的制度条文。这些制度主要包括公司治理、战略计划、技术管理、财务管理、采购管理、物资管理、人力资源、法律管理、安全环保、行政管理、销售管理、内部控制、信息技术和工程管理等制度。
3.实施风险管控主要从以下几个方面实施风险管控:一是梳理集团企业的重要业务流程、管理流程,进行流程描述,分析流程所涉及的主要风险点和潜在的隐患,同时确定各种风险涉及的责任部门与岗位。例如JZ能源集团风险管理涉及的责任部门,见图4。二是确定重要业务流程、管理流程的关键控制点,针对关键控制点,明确风险控制工具、控制方法、控制程序与措施、控制活动及其检验方法。三是编制《集团企业岗位风险管控手册》,明确每个岗位的风险管理职责和权限等,促进全面风险管理机制在集团企业内部得到有效实施,切实强化日常风险管理,使全面风险管理真正落到实处。
4.开展全面风险管理考评人们只会做你考评的事情,不会做你提倡的事情。要有效地执行基于内部控制的集团企业全面风险管理体系,需要制定《集团全面风险管理工作考评办法》,明确考评的组织机构、范围对象、内容标准、方法程序,对集团企业各个层面的重大和重要风险事项及管理流程、业务流程的管控效果进行考评,评价其有效性[5]。如果考评结果不满足所确定的全面风险管理目标,要按照PDCA循环及时检讨内部控制体系,分析风险管控缺陷,并对全面风险管理体系加以完善和改进,开始新一轮以内部控制为基础的全面风险管理循环,还需要考察全面风险管理目标的合理性,以不断完善集团企业全面风险管理。
5.建立全面风险管理预警体系要有效地执行基于内部控制的集团企业全面风险管理体系,要制定《集团风险监控预警工作指引》,建立风险监控预警指标体系,制定风险监控预警应对策略,利用全面风险管理信息系统,通过连续观测各项预警指标,将数据导入预警模型,计算其综合风险分值,并获取相应的预警信号。按照一定的风险转换矩阵,综合判断各种风险预警等级,分别给出正常、蓝色、橙色和红色预警信号。例如,2013年JZ能源集团全面风险监控预警指标体系,具体如表1所示。
6.建立全面风险管理报告体系全面风险管理报告体系是集团企业利益相关者之间实现风险信息充分沟通的有效保障,健全的基于内部控制的集团企业全面风险管理体系,必须建立规范的风险管理报告体系,全面风险管理报告体系的核心就是要根据利益相关者的信息需求,建立满足风险管理目标要求的风险管理工作报告机制,包括风险管理工作汇报的内容、形式及程序、报告负责人、报告周期、覆盖范围、报告内容、形式、程序及报告分送名单等。全面风险管理报告体系不仅包括风险管理流程中应形成的各种类型的风险管理报告及其内容要求,还要建立这些报告如何在集团企业利益相关者之间、风险管理各职能机构之间传递的风险管理报告机制。
内部控制风险分类范文第2篇
【关键词】内部控制;评价;披露
一、引言
1999年修订的《会计法》第一次以法律的形式对建立健全的内部控制提出原则要求,自此之后我国在内控制度上开始着手建设。2002年的安然事件的同公司财务欺诈案后,美国随即颁布了《萨班斯—奥克斯利法案(Sarbanes—Oxley Act 2002 USA),而在2008年6月28日,我国在财政部、证监会、审计署、银监会和保监会联合了《企业内部控制基本规范》的基础上,又联合了《企业内部控制配套指引》。中国版的“SOX”法案将我国的内部控制管理推到了一个高水平上。然而中国学者对于内部控制的研究目前多是集中在自我评价报告的披露问题上,对内控缺陷的关注度较低。内部控制缺陷是内部控制自我评价报告中的核心信息之一,如果存在重大缺陷,则不能得出内部控制有效的结论。因此可见,对于内部控制缺陷的研究是很有必要的。
本文研究的思路为:针对上市公司披露的自我评价报告中的内控缺陷问题进行数据统计,分别归纳出披露内控缺陷的公司以及未披露内控缺陷的公司,从总体上分析上市公司内部控制缺陷的披露情况。再根据COSO报告的五要素将出现的内部控制披露缺陷具体分类整理,探究其成因。
二、内部控制缺陷披露的总体情况分析
本文选取沪市主板A股347家上市公司2011年内部控制自我评价报告为样本,逐一审查每一家公司的报告。内部控制缺陷信息主要集中在自我评价报告中“存在的问题”、“改进与对策”、“进一步完善的措施”、“内部控制有效性的自我评估”等部分。内部控制缺陷披露情况如表1所示。
(一)本文选取的347家沪市上市公司均在披露了内部控制自我评价报告。其披露率为100%,总体来说还是比较可观的。
(二)2011年沪市上市公司披露内控缺陷的公司只有81家,占所有公司的23.34%。不到四分之一的披露比率可能的导致原因如下:在选取审核的上市公司时,注册会计师可能更偏向于一些问题不明显的公司。而内部控制存在比较严重问题的公司,要么选择不聘请注册会计师对其进行评价,要么注册会计师为了不必要的责任见而躲之。正是这样不正确的认识造成了目前这种披露不完全的情况。监管部门可以出台强制性的政策或者加强对企业以及注册会计师的正确领导对目前情况进行改善。
(三)承认存在一般缺陷的公司有75家,占81家披露内控缺陷公司总数的97.53%。反观承认存在重大内控缺陷的公司只有2家,分别是中恒集团(600252)、黑牡丹(600510),仅仅占到81家公司中的2.47%。由此可见,即使上市公司敢于披露自己的内部控制缺陷,但是很可能存在避重就轻的嫌疑。企业对于可能存在的内部控制问题在一定程度上存在隐瞒,削弱等情况。相对于公司长远的发展而言,一时的遮蔽大众视野避免市场对公司利润造成的损失,是不可取的。“大事化小”的原则只会对上市公司的健康成长造成很严重的问题。
(四)未披露内控缺陷的公司数量达到了266家,占347家中的76.66%。这并不意味着这266家公司的内部控制都是没有问题的,其中,语言难以辨认的公司有6家占到266家中的2.26%;仅提到未来整改方案的公司有18家,占到266家中的6.76%。可见,在目前内控缺陷认定标准下,未披露内控缺陷的公司可能出于公众影响的原因,对可能存在的内部控制缺陷问题的信息披露存在敷衍和粉饰的行为。有关监管部门可以着重加大对于语言难以辨认以及仅提到未来整改方案的公司进行审慎调查。
三、基于COSO报告的细化分析
前文对沪市主板上市公司内部控制缺陷披露的总体情况进行分析。内部控制缺陷按照不同的标准有不同的分类方法,本文遵循COSO报告中的内部控制五要素,对2011年我国沪市主板上市公司披露的内部控制缺陷类型进行分析,以发现我国上市公司中内部控制缺陷的分布。统计结果如表2所示。
从表2可以看到对于存在内部控制问题的公司所存在的内部控制问题进行的分类和统计的情况。由此可以大致的得出中国企业内部控制评价制度要点的基本框架。从表中可以看到内部控制的五大基本要素上,出现问题的案例数量分别是80、32、57、19、21。显然,我们应该综合的考虑个问题之间的关系,从而深入的对每一个问题的产生进行分析。
(一)控制环境
控制环境是企业实施内部控制的基础、关键。其他四各要素正是建立在控制环境的基础上而发展的。在样本中有80家公司的控制环境存在缺陷。其中所占比例最高的是公司治理结构不完善,主要表现为:内部控制系统不完善“股东大会的制度、功能缺失;董事会机制不健全,不能对企业重大事项审议、审批;独立董事形式化,无法发挥保护股东利益、与经理层相互制衡的作用;有关企业内部文化建设等问题等。如首商股份(600723)指出公司部分内部控制制度条款、内部治理和组织结构、以及个别管理人员素质出现问题。而其他上市公司提到的控制环境的问题还有诸如组织结构的不健全、经理层控制的问题、以及员工控制的问题。
内部控制风险分类范文第3篇
要对风险进行有效的管理,必须基于企业目标,对风险进行分析和评估,进而采取积极、全面的内部控制措施。
一、风险的评估:风险管理的起点
1、风险类别。风险往往被多数人作为经营中的一项负面因素,是应当回避或消除的危险事项,这是有失偏颇的,是混淆了风险和危险的概念。风险中不仅有危险,也孕含着机会。风险是随着企业经营倾向、经营方式、管理内容等的变化而在可能的损失或收益区间浮动的函数。见下图:
在这里我们是按效用对风险进行了分类。风险是长期存在的,不总是能够消除的,风险必须与机会进行权衡。所谓纯风险,是指只会产生恶性结果而不会产生收益的风险,如经营管理人员违规侵占公司财产、恶意歪曲财务信息等,是“坏的风险”;战术性风险是指企业为达到经营目标,对经营和财务杠杆程度、技术选择等进行的权衡,是“不确定的风险”;战略性风险则是由于政策、环境及产生趋势发生重大变化或革新,在经营中面临的重大机会选择。
显然,上述三种风险最终产生收益或损失的效用是不同的,在评估时应予区分。
国际内审协会从经营实务角度,列出了企业经营中的9个重要的风险点,分别是:管理层能力、管理层道德观、系统性变化、组织规模、资产流动性、变革、复杂程度、快速增长、制度健全性。这些风险点较好地概括了企业在不同层面的关键性挑战。
在不同企业战略目标之下,上述各项风险因素的重要程度可通过下表的星号简单反映:
注:*表示重要,**表示非常重要
管理层道德观、制度健全性属纯风险因素,与企业发展目标无关。其他几项战术性或战略性等变动风险因素则与经营取向密切相关。总体来讲,变动风险程度是与企业发展的速度、规模及变革激烈程度呈正相关的。同时,收益的预期也是与风险程度正相关的。评估风险,必然要求将企业各层面的风险因素归类,纳入整体的风险管理框架之内,然后对照企业的经营目标,逐项进行风险识别。
2、对风险的评估。在完成风险归类后,应依次进行下列风险评估:
(1)企业是否建立了明确并上下一致的发展目标。如果企业或组织尚未建立明确的目标,或虽然有目标但是未能自上而下地贯彻,内部愿景不一致,这本身就是企业面临的最大的风险。这意味着企业内部必然缺乏有效的风险管理系统。
(2)风险环境。对于纯风险层面,主要是指外部监管环境、法律政策环境、公司监察审计工作力度等。在通常情况下,外部监管环境越严格,相关政策要求越清晰,内部纯风险程度越低。但是在目前情况下也出现了许多反例。以财务管理规定为例,相关规定对各行业的成本、费用明细项目作了细致的规定,如某项成本的控制比例、某项费用的计提限制等等。这些规定虽然明确,也是监管的重点,在执行中绝大多数企业也看似遵从了这些要求,但是实际上却形成了较大的财务风险,即真实性风险。当实际业务经营中的需求无法在真实性财务环境下满足苛刻的政策要求时,必然会产生“合规”的虚假信息。目前监管层已经注意到这一现象,如最新出台的《金融企业财务规则》就对监管的范围和重点作了很大的调整,重新对监管者和市场化环境下的经营者重新定位,这对于企业降低财务风险是积极的。
战术性风险面临的外部风险非常广泛,以财务类风险为例,在以快速扩张为目标的企业中,筹资活动及筹资风险是战术性风险的重要内容,此时资本市场的资金成本、国家的货币政策、政府对行业发展的态度、以及资本市场的发展水平等等,都是影响战术决策的重要外部条件。而战略性风险,由于其本身就是依存重大外因在产生的机会,因而与重大政策性推动和支持、重大科技进步和新的巨大的市场需求的出现相关联。在对风险与机会的评估时,必然要全面考虑上述因素。
3、风险评估。从管理的每一层组织开始,结合外部环境风险因素,自下而上地进行。以前述9类风险点为基础,逐层细化,逐项分析每个风险环节。
对每个风险环节的分析,都应当以公司及本部门的关键目标为导向,开展主动的、定向性的思考,并且在必要时对风险程度进行量化描述。
(1)在进行风险评估时应当回答的问题。需要分析的核心问题是:存在哪些可能会妨碍本部门实现其关键业务目标的障碍因素(直接障碍)?要克服这些障碍,需要完成一些必要的工作和程序,而什么因素会阻碍这些工作和程序的完成和实现呢(间接障碍)?这些风险中,哪一个最可能发生(最大风险概率因子)?哪些风险将对本部门实现其预定目标的能力产生最重大的影响(最大风险程度因子)?有什么有效的控制机制可以减少这些风险及其影响(内部控制措施)?
(2)风险的量化描述。风险评估应当采用定性与定量相结合的方法。定量评估应当统一制定各风险的度量单位和风险度量模型,确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。通过量化描述,对每个风险在既往的发生概率及其影响进行精确描述,了解风险概率和程度,作为下一步内部控制措施的依据。
例如,会计部门在对某个项目的检查中出现的会计风险(风险a、b、c、d)进行如下描述:
其中重要性项目:1为稍有影响,2为比较重要,3为非常严重;频率项目:1为偶然存在(0.5%以下),极少发生(0.5-1%);较少发生(1%-5%以下);经常发生(5%-30%);总是发生(30%-100%)
分析结果是,对abcd四个项目,会计部门存在较高的风险,特别是a、b两个非常重要的项目差错率较高,而重要性程度较高的d项目差错率极高,显示该部门某一类业务的管理和控制中存在较大的风险隐患。
二、内部控制:风险管理的支点
即便我们对风险作出详尽而确切的评估,如果没有严密的内部控制及其有效执行,就无法对风险进行持续有效地管理。
风险评估是风险管理的起点,而内控制度的建立和执行是风险管理的支点。我认为,内部控制是管理者为有效减少和控制内外部各类风险及影响,确保企业决策和运作的科学合理,确保企业安全,达到企业预期目标而采取的计划、监督和行动。
根据美国“反虚假财务报告委员会”下设的专门从事内部控制研究的“发起组织委员会”(即COSO)的一体化控制理论,内部控制包括五大部分内容:控制环境、风险评估、控制行动、信息与交流和监督评审。笔者认为,控制环境本身是风险评估的重要内容,除风险评估这一风险控制的起点之外,内部控制工作的核心是三个方面,即内部控制制度、控制行为、和对内部控制的监督管理。
1、内部控制制度。内部控制制度是风险评估和分析的产物,是企业进行有效内部控制的基础和依据。
(1)内部控制制度的制定者。内部控制制度不应是由某一个专门的内控或风险管理部门制定的,也不应是自上而下制定的,相反,它应当是以企业目标为导向,由具体的业务操作部门、管理部门在风险识别和评估的基础上,由下而上制定形成的。内控制度的制定者应当是风险的识别评估者、内控制度的执行者和风险责任的主要承担者。
(2)内部控制制度的分类。根据风险的分类,内部控制制度也应该分为针对纯风险的合法合规安全性内部控制制度、针对战术或战略性风险的经营决策内部控制制度。
安全性内部控制制度主要包括财务安全性内部控制制度、信息安全性内部控制制度等。这里主要探讨财务安全性内部控制制度。其内容主要包括:审批和资格审查制度、授权制度、对帐及检查制度、资产安全规定、岗位分离和制约制度等等。
经营决策内部控制制度的主要目的是确保企业各类决策的有效性和科学性。当前企业的规模越来越大,内部分工十分细致,部门职能划分也很明确,这种情况下,如果没有系统的决策内部控制制度,很容易陷入各自为政、各自从自己利益出发的“盲人摸象”似的决策风险中。事实上,这种情况目前十分普遍,尤其是在战术层面的大量日常决策中。
比如,营销部门策划了一个促销活动,并作了详细预算。由于该活动未纳入年初的预算,且金额较大,所以提交公司预算委员会审批。这时,对于预算监控部门来讲,是否审批这笔预算的关键,往往是公司整体预算能否得以控制,如果答案是肯定的,那么这笔预算很可能被通过。而对于营销部门来说,这次活动很可能只是一次积极的尝试而已。而对于更为重要的因素,即这次促销活动能够为企业达成其经营目标产生多少贡献,则未必被各方给予充分的重视。
如果常规性决策行为经常脱离企业的总体目标,则说明经营决策内部控制制度失效。因此,必须建立以总体目标为指导的决策控制制度。这一制度的核心,是对经营目标直接负有责任的部门对直接影响经营目标的事项负责。
在上例中,如果对经营效益直接负有责任的事业部参与决策的制定,或负责预算控制的部门承担利润监控中心的职责,控制的有效性将会大大加强。这就是为什么高效的大型企业都倾向于采取划分事业部模式或利润中心模式管理的原因。如下图,对企业核心目标直接负责的部门A或B,应当参与对其收入或成本可能产生较大影响的决策过程。
内部控制制度的范围不仅是维持组织的正常运行,也涵盖了组织设计本身。一般来讲,对于重大战略性风险的决策,企业往往都会充分重视,但对于大量常规决策,却往往忽略了制度建设的重要性,而这恰是企业高效运行的关键。
2、控制行为。内部控制决不仅仅是企业中某个部门的责任,它应当贯穿到企业每个部门和员工的日常行为中。控制行为应当基于完善的控制制度,并且由各部门、各员工共同执行。就是说,控制行为应当是以“共同控制”为其核心的。
有力的控制行为来源于风险意识的建立。应当把对风险的敏感和不断认识发展成企业文化的一部分。在员工中提倡风险意识,把简单告诉员工应该怎样做和不应该怎样做,转变为对员工的风险教育,使员工对各个业务环节形成自然的风险评估习惯,这是避免机械性错误和管理低级失效的重要方式。
控制行为的几项要点:①员工应当很清楚地说明企业的目标、部门的目标是什么,必须对其岗位所负担的工作中的主要风险有清析的了解;②除了风险培训之外,企业必须给员工设立一个及时而畅通的反映其遇到新的风险进而及时处理的渠道,并有一个互相沟通的平台。③员工在职责范围内减少风险的表现应当作为年度工作业绩考核中的一个重要指标。④各部门都专设风险检查人员,即新的风险的发现人员,彻底调查每一项不正常的事项,并进行深入沟通和研究。
“细节决定成败”。控制行为关注的是每一个细节。科学的风险评估和合理的内控制度,都需要风险意识强、高度负责的员工的逐项实施,也需要管理者不断的予以关注。但这也还是不够的。真正完善的内控系统应当是确保企业随时处理出现的不利情况、随时依照正确的程序作出相对合理的决策,从而提高企业效率,增强企业对外部的反应能力和生存能力。对于内部控制而言,由于每一个控制主体具有特定的立场和视角,因此它很难作到自我完善、自我监控,还需要一个独立的监控系统。
3、对内部控制的监督管理。要确保内控的长期有效性,除了制定完善的内控制度外,必须建立强大而独立的内控监督机制。这项任务通常是由公司内部审计部门承担的。对内控的监管,主要是通过对企业内部实施广泛、严格、制度化的检查、稽核、审计和调查,了解掌握企业内部控制的各主体是否出现缺位,内部控制流程是否得到有效的执行,内部控制流程是否能够很好地适应外部环境的发展变化,其效率能否得到提高,内控环境的变化情况和企业的风险管理状况等,提出完善内部控制的建议措施,并监督这些措施的落实和贯彻。
正如Minhael Hammer所说,内审机构应当将自己看成是公司的一项资源。在帮助管理当局达到预期控制目标的过程中发挥作用。内部审计师的使命将从简单的“我们实施审计”向“我们创建一些程序,以期达到组织成功所需要的内部控制水平。”
很显然,对内部控制的监督管理是一项重要而且繁重的工作。涉及面广,而且非常重要,但内部审计部门一方面力量不足,另一方面往往缺乏独立性,难以独立承担内控监管的完整责任。因此,目前国内已有许多企业建立了风险管理委员会,综合协调各方力量加强内控制度的建设和监督,进而加强企业的风险管理工作。
三、建立系统化的风险管理和内部控制体制
内部控制风险分类范文第4篇
关键词:企业内部控制;风险管理机制;探析
中图分类号:C29 文献标识码:A
一、企业风险管理结构及功能
风险就是损失的不确定性,这个损失主要是指对人、企业和政府等经济主体的生存权益活着财产权益产生不利影响的事故。故而风险具有客观性、普遍性、随机性、损失性和可变性这五种特性。
风险的客观性指的是风险是不会因企业或人的主观意志而转移,是客观存在的事实,而且它只能降低不能彻底被消除。
普遍性是指风险是普遍存在于社会的各种各样的危机,是随时随地都有可能发生的损失和风险。风险本身就是事件的不确定性,这就显示了风险的随机性。它具体地表现在空间、时间以及损失程度的随机性。同样的企业同样的风险,不同时间点结果就是随机的不一样的,有时候一个未知条件的改动就会结果就会截然不同。
损失性是指风险的出现时会有一定的发生损失的可能的,如果风险存在不会对企业有任何的损失的话,也没必要对风险进行研究。正是因为风险会带来不确定的损失小至资金的损失大至人员伤亡、企业破产,才促使了人们寻求降低风险的方法。
风险的可变性是指风险并不是一成不变的,随着时间和空间的转移,包括风险遭遇者的不同的应对方式,风险是有可能转化为企业盈利或是发展的机会,就像世界上任何事物都是处于变动与变化之中,相互之间的联系和制约势必引起风险的转变。例如经济、科技和管理理念的发展,都使得风险因素发生变化。
企业风险管理主要包括调险偏好和战略,加强风险应对策略,降低经营性意外和损失,识别和管理多重和跨企业的风险以及抓住机遇这五个方面。它不仅能提高识别、评估风险,确定与潜在增长及目标实现有关的可接受的风险水平的能力,成为企业防御风险的机制,还能够利用风险可变特性,将风险转变为商机的可行性工具。
二、基于内部控制的企业风险管理重要性与流程
如果没有风险管理,风险识别和控制的风向标,也许企业可能都不知道自己经历过风险或是会遇到风险,当然也就不知道这风将会带来的是怎样的暴风骤雨,而企业是会经历住风雨的洗刷而成长还是在风雨的摧残中倒塌都是未知数;风险往往意味着运营过程中更多的困难和成本同时收益还会受到影响,所以企业需要对所面临的风险进行评估之后确定应对风险的方式方法以及确定在风险过程中的成本支出和获得收益效果。
企业进行风险管理的流程一般分为六个阶段:营造风险管理环境、风险识别、风险评估、风险反应、控制活动及信息与沟通。为了保证风险六个阶段的正常运行,企业往往还会对风险管理进行监控。根据这七个步骤建立起风险管控的运作流程,如下图1所示:
图1风险管理流程
虽然风险的出现对企业大多数情况下是会有不良的影响,但是通过风险管理的方法,一些将风险管理运用好的企业,会因为善于识别风险应对风险从风险中获得收益,而不仅仅是更多的支出、运营的暂缓或是企业的倒闭。最有名的化危机为商机的例子就是“强生”泰诺胶囊的中毒事件,对“强生”而言本应是灭顶之灾的危机,而“强生”在当天就设置了“800'”热线来处理顾客铺天盖地的质询,不到一周的时间内就自己做消费者研究调查,并将泰诺胶囊改为不易做手脚的泰诺药片…这种种的“强生”对该事件的坦诚和保护顾客的行为使得“强生”转危机为商机,扩大了“强生”的品牌效应,取得了更多的顾客信任。所以现在有很多观点认为风险不仅仅是危机有时也是一种机会,而企业对这些风险的不确定性的把握直接导致了风险事件本身对企业而言是危机还是机会。类似这样因内部控制风险而导致企业出现危机的事例很多,对企业潜在内部控制风险的了解和区分,有利于企业内部控制和风险管理部门对不同的风险展开不同的识别和评估方法,还可以根据其性质的不同实施不同的管理措施,使得企业的内部控制和风险管理更加具有针对性,提高企业内部控制风险管理的有效性。
三、企业内部控制风险的平估—内部控制审计
(一)内部控制审计概述。内部控制审计是立足于企业的内部控制制度的审计,它通过对企业内部控制制度的审查、分析测试和评价来确定内部控制制度的可信程度,从而判断企业内部控制有效性的一种现代审计方法。从某种层面上说,内部控制审计是内部控制的再控制,也是企业依靠内部控制制度改善运营管理、增加经济效益的有力保障。
内部控制审计的目标是审查内部控制的健全性、合理性和有效性,查找企业现行内部控制的漏洞。它审查的重点是内部控制制度的各个控制环节,发现内部控制中的薄弱环节,找出问题发生的根源,同时扩大检查范围以确认是否造成严重的错误或舞弊,并提出改进意见。同时,它还需要关注到经营层面的管理秩序是否规范严密有序、各控制点是否有相互制衡相互监督的分权情况,在寻找到失控点和漏洞之后还需要找出导致这些发生的内部控制制度弊端和问题症结所在,使管理层有的放矢地改进内部控制制度,从而减少内部控制风险,提高企业内部控制管理水平。
内部控制审计也经历了三个阶段,从最初的财务审计到内部审计到现在的更为具体细致的分类审计。在其发展的第三个阶段就出现了很多针对性强的内部审计,本文引用的内部控制审计也是其中的一种,例如对于内部控制风险方面的内部控制审计的主要从四个方面来对内部控制进行审查:(1)控制环境是否运行正常。(2)组织风险管理机制是否健全和有效。(3)控制活动是否适当、合法、有效。(4)组织获取及处理信息是否正确和及时。
(二)内部控制审计如何监督内部控制风险。内部控制审计实际是风险控制过程,上表中将内部控制审计步骤与风险管控结合起来起来,显示了内部控制审计如何对内部控制风险进行评估和审查。在实际操作中,内部控制审计人员需要在对前期相关报告和工作底稿的了解下查阅相关内部控制文件,检查内部控制生成的文件,观察被审计对象的业务活动和内部控制的运行情况,再酌情选择具有代表性的交易和事项进行“穿行测试1"。
内部控制审计在监督过程中,需要确认哪些内部控制环节存在内部控制风险,还需要评价内部控制的可依赖程度。若内部控制有效运行,则内部控制风险为低,仅需要对各项账户余额和交易进行实质性测试;若内部控制没有全部被执行,就要对内部控制风险评估水平和可靠性重新进行调整,同时需要扩大实质性审计的范围;针对存在内部控制风险的缺陷处,需要确定实质性测试的时间、范围和程序;最后还需对被审计对象提出改进建议。
在内部控制审计过程中,可以运用询问法、观察法、证据检查法、重复执行法等审计方法对内部控制进行评价和测试。
四、企业内部控制风险管理体系
通过以上对企业内部控制、风险管理和内部控制审计的描述可以看出三者并不是单独存在于企业中,它们之间具有的难以划清的联系,从公司治理层面上看是相辅相成、互为补充的。也就是说,可以利用三者的特性建立一个内部控制风险的管理体系,在这三者的基础上,完成内部控制风险的合理管控。
结束语
企业有效开展风险管理能够为企业提供一个安全的经营与管理环境,能够直接的保障企业的经营目标顺利的实现,同时也能够促进好企业在经营效益上的提高。无论是从理论上还是从实践上的角度上看,大胆的创新、探索性的并且恰当的运用风险的管理的理论和方法,已经成为了一个企业家们关注的热点,这对于创造更好的经济效益、加强安全保障、提升好企业的管理水平,具有十分重要的意义
参考文献
[1]黄翠竹.中国上市公司内部治理审计研究[D].辽宁大学,2010
内部控制风险分类范文第5篇
现如今的企业面临着日益复杂的经营环境和激烈的市场竞争,因此企业的财务风险问题也逐渐凸显,并成为影响企业经营以及成长性的重要因素之一。现代企业的管理,将内部控制体系与财务风险管理将结合对企业进行管理尤为重要。我国的企业在财务风险管理过程中,还存在着一些问题,因此讨论基于内部控制视角加强企业财务风险管理的对策建议具有现实意义。
关键词:
财务风险管理;企业内部控制;对策建议
一、内部控制在财务风险管理上的应用
企业在财务风险管理实践中,对财务风险的识别、分析和评估是重要的组成内容。同时,对财务风险的识别管理,可充分利用企业的内部控制机制,财务风险是内部控制加以控制的众多风险中的一种。企业要提高财务风险管理的效率,需要完善内部控制体系,并将财务风险管理过程与内部控制充分结合,使两者能够发挥出更好的作用。
二、基于内部控制视角企业财务风险管理过程中存在的问题
1.企业财务风险管理过程中风险意识不强,内部控制体系薄弱。
在日益复杂多变的企业经营环境中,目前不少企业在财务风险管理过程存在的一个较普遍的问题是相关人员的风险意识不强,并且企业的内部控制体系建设较为薄弱,没能实现其本应发挥的控制作用,因为内部控制体系建设不完善,没能对企业的日常经营活动以及发展战略目标发挥其控制作用,增加了企业重大财务风险事件发生的概率。比如某集团企业因为内部控制体系薄弱未能突出企业的财务风险意识,导致企业长期投资机制失控,大量存在低效投资、盲目投资和过度投资,从而引起集团的财务危机。由该案例可见,企业风险意识的缺失导致了投资决策的盲目低效,企业没能将现代风险管理机制、内部控制体系与企业的实际经营情况相结合,使企业财务风险暴露。
2.企业的财务风险管理过程与内部控制脱节,未能对风险进行有效的识别。
企业的财务风险管理过程中一个非常重要的基础是能对各类财务风险进行及时有效的识别、度量和分类评价,由此,企业才能在快速的反应时间内采取措施手段对风险开展防范和控制过程。但企业容易出现的问题是,因为内部控制体系与财务风险管理的脱节,导致企业对财务风险的识别机制失效。比如中航油曾经在期权投资交易中发生上亿元的亏损,集团的风险委员会以及内部控制制度汇编明确要求了超过500万美元的损失需要向董事会上报,但如此巨大的亏损额并没有及时采取止损措施,因为相关负责人对制度规范的要求视而不见,没有将实情报告给董事会。因此如果企业的内部控制没有实现其应有的控制效力,与企业的财务风险管理过程完全脱节,就不能对企业运营过程出现的风险进行识别和度量,企业也就无法及时采取有效措施加以防范,将导致风险管理机制失效。
3.企业的财务风险管理过程缺乏有效的财务风险预警及防范机制。
部分企业出现流动性风险,爆发财务危机的原因在于,企业的财务报表体系以及偿债能力等考核指标尚未全面反映企业的资金周转和资产质量等信息,因此,从这些财务信息里面能够提取有限的企业已有债务的风险程度,但对于新发生的债务风险的预警机制作用是非常有限的。企业在财务风险管理过程缺乏有效的财务风险预警机制,在新的风险发生之后难以形成针对性的有效防御,最终导致对这些新增风险的预警能力和应对能力较为不足,从而影响了企业财务风险管理的效率。
4.企业的财务风险管理过程缺乏有力的内部监督,降低了财务风险管理的效率。
在企业的财务风险管理过程中,一方面要注重保障对企业经济活动的会计确认和记录计量的高效进行,另一方面,为保证财务信息的真实性完整性以及财务风险管理的有效性,企业还需在财务风险管理过程中实施有力的内部监督,否则会降低财务风险管理的效率。有关企业对财务活动缺乏有力的内部监督,主要表现在以下几个方面,一是内部监督的独立性没有得到保障,这会影响对企业的经济活动进行会计记录的真实性,从而使内部控制难以实现其作用。二是财务管理部门的监督职能没有得到有力履行,放纵企业经营过程中存在的违规行为,情节较为严重的比如通过虚开增值税发票、伪造购销合同来虚增营业收入,对不相容岗位没有实现严格分离等管理不规范之处。
三、基于内部控制视角加强企业财务风险管理的对策建议
1.企业需加强内部控制体系建设,提高财务风险管理过程中的风险意识。
随着企业面临的经营环境日益复杂化,市场经济深化以及全球经济一体化进程的加深,企业需要提升其财务风险意识,将现代风险管理机制、内部控制体系与企业的实际经营情况相结合,以保证企业的健康持续发展以及完善的经营管理。企业可通过建立健全其内部控制体系,加强内部控制体系在企业的日常经营活动中的控制作用,对企业运行的各环节加以规范约束。比如在企业的投资决策过程中,通过完善的内部控制体系来规范企业投资项目的决策机制,使企业投资负责人能够充分了解市场的复杂变化以及投资项目的未来前景,提高企业资金的配置效率,将投资资金转移到效率最高的项目之上,通过提高相关负责人的财务风险意识,彻底避免低效投资、盲目投资和过度投资的现象。
2.企业需加强财务风险管理过程与内部控制两者的结合,对风险进行有效的识别。
企业需要使其内部控制实现应有的控制效力,使内部控制与企业的财务风险管理过程很好的结合起来,才能对企业运营过程出现的风险进行识别和度量,企业才能及时采取有效措施加以防范,从而加强风险管理机制的作用。具体来说,首先可通过加强内部控制体系对企业各个环节的控制力度,使相关工作人员和工作流程操作规范,减小风险产生的可能性,内部控制可针对企业的关键风险点对潜在风险起到良好的识别控制作用。其次,内部控制制度完善之后,对风险的识别和控制需要通过与企业的管理实务相结合才能发挥其实际效果,内部控制的制度设计不能只是摆设,内部控制体系与财务风险管理的相融结合,才能对各类财务风险进行及时有效的识别、度量和分类评价。
3.企业需通过多种财务风险管理工具的运用,来加强财务风险预警及防范机制。
为避免企业出现流动性风险,爆发财务危机,需要企业在财务风险管理工作中增强其对新发生的财务风险的预警机制及防范机制作用。首先,企业在财务风险管理过程中,可通过对内部控制关键点的科学设置,利用内部控制体系来增强对财务风险的预警机制,如在资金预算等方面加强管理。其次,可通过内部控制规范对多种财务风险管理工具的运用,来加强财务风险预警及防范机制,合理运用远期合同、期货等财务风险管理工具对企业资产进行保值或避险,在新的风险发生之后及时形成针对性的有效防御,增加对这些新增风险的预警能力和应对能力,从而提高企业财务风险管理的效率。
4.加强企业在财务风险管理过程中的内部监督,提高财务风险管理的效率。
要提高企业在财务风险管理过程中的管理效率,需要加强企业在财务风险管理过程中的内部监督,一方面保障内部监督的独立性,使内部控制能够顺利实现其对企业的会计活动的约束作用;另一方面,促进财务管理部门履行其监督职能,严格规范并防治企业经营过程中存在的违规行为,对不相容岗位实现严格的分离设置,同时对违规操作,如通过虚开增值税发票、伪造购销合同来虚增营业收入等行为,进行严厉的惩治。企业对财务活动实现有力的内部监督,来提高财务风险管理的效率。
四、结语
综上所述,要提高企业在财务风险管理过程中的管理效率,需要提升企业的财务风险意识,将现代风险管理机制、内部控制体系与企业的实际经营情况相结合,以保证企业的健康持续发展以及完善的经营管理;需要企业对运营过程出现的风险进行识别和度量,企业才能及时采取有效措施加以防范,从而加强风险管理机制的作用;需要企业在财务风险管理工作中增强其对新发生的财务风险的预警机制及防范机制作用;需要加强企业在财务风险管理过程中的内部监督,保障内部监督的独立性,促进财务管理部门履行其监督职能,来提高财务风险管理的效率。
作者:马菊芬 罗艳 单位:四川省成都畅通机车车辆技术开发有限公司财务部 四川省成都市蜀都公证处
参考文献:
