引论:我们为您整理了13篇内部控制与企业风险管理范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
内部控制是指企业为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误和舞弊,保证会计资料及相关资料的真实、合法、完整而制定和实施的政策与程序。美国在2002年7月颁布了《萨班斯――奥克斯利》(SOX)法案。SOX404条款要求公司在报送的财务报告中,对公司的内部控制架构和它的有效性进行评估,所有的上市公司的内部控制制度都要达到SOX404条款规定的标准要求。可见,内部控制制度对防范企业风险的重要性。
良好的内部控制可以合理保证企业合规经营、财务会计信息的真实可靠和企业经营效率的提高,而合规经营、真实的财务报告和有效率的经营也正是企业风险管理所应该达到的基本状态。从这个角度出发,内部控制是风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理。相反,如果没有良好的内部控制,则往往会导致各种错误和舞弊的产生,甚至造成企业的破产倒闭。从国内的巨人集团衰败、银广厦案到国外的巴林银行倒闭、安然事件等无不是由于其内部控制缺损或失效所致。因此,内部控制是防范企业风险事件发生的一种长效机制。
二、保证内部控制有效性必须注意以下问题
内部控制按其控制的目的不同,可分为管理控制和会计控制。前者以提高企业经营效益和工作效率,保证经营方针、决策的贯彻执行以及经营目标的实现为目的;后者则是以保护企业财产物资的安全、确保会计信息的真实与完整以及财务活动的合法性为目的。两者相互联系、相互影响,有些控制措施可以用于会计控制,也可用于管理控制。内部控制在企业管理实务中的表现通常是制度或工作流程,其有效性取决于两个方面:一是制度的完善与合理;二是制度的执行情况。具体来说要保证内控制度有效必须重点做好以下几个方面的问题。
1.随着企业发展和内外部环境的变化,与时俱进,不断完善内部控制制度,适应企业运作的实际情况,既要避免制度管理上的盲点又要避免一些不必要环节和控制点,影响企业的运营效率和制度执行的自觉性。企业内控制度的完善在于对关键风险控制点的有效掌控。事实上,包括像世通、安然在内,几乎所有大公司都有一整套风险管理制度。这些制度涵盖了从对外投资到差旅费报销等所有环节,应有尽有。其实,企业的管理资源是有限的,控制需要耗费大量成本。如果企业将主要精力放在所有琐碎细小的控制点上,显然就有些舍本逐末了。
2.营造良好企业制度文化氛围,形成遵守制度和按工作流程办事的自觉性,创造良好的内部控制环境。对于一个企业而言,内部控制最大的困难不在于设计一套制度,而在于如何保证制度的执行。内部控制的真正意义和价值就在于执行。世通、安然、中石油新加坡公司破产案无不说明公司的风险来自于内控制度的失效和形同虚设。这些公司在内部控制制度都比较完善,有些还是请专门的中介机构设计和制定。因此,公司内部控制制度的根本就是授权和监督,公司所有人的权限都是在这个组织中被授予的,并要得到有效监督。任何人都不能凌驾于制度之上,否则制度只能是一纸空文,对企业风险的防范毫无作用。只有当企业中的每一个员工目标明确,观念趋同,内部控制才更有实效。良好的企业文化氛围能为内部控制程序的执行创造良好的人文环境。
3.以人为本抓好管理控制。管理控制的范围很广,包括企业内部除了会计控制之外的所有控制,如企业发展战略、组织结构、人事管理、安全和质量管理、部门间的关系协调和企业负责人及高层管理决策及行为等方面的控制,但重点是与人的行为紧密相关的组织结构、人事管理控制等。
三、构建企业风险管理及预警体系,做好企业风险的预警及防范工作
内部控制虽然可以防范企业风险,并构成风险管理的必要环节,但内部控制不能代替风险管理,因此,企业必须结合企业实际构建风险管理及预警机构,加强风险管理。只有这样,当企业风险产生并威胁到企业的生存和发展时,才能及时化解风险。每个企业因其规模、所处行业等的不同其相应风险因素和防控手段都会不同,因此风险管理应因企而治,但总体来说应按照风险管理的基本程序作好风险识别、风险评估和风险控制,按照内部环境、目标制定、风险识别、风险评估、风险应对、控制活动、信息和沟通、监控等要素构建风险管理的基本框架。
1.要结合企业实际制定风险管理总体目标。
2.明确风险控制责任,健全风险管理组织机构。
3.建立健全风险分析评估、预警、处置工作流程。要能够很好地防范企业经营风险,必须按照风险级别建立一套有效的企业风险管理制度和流程。
参考文献:
[1]汤敏茅于轼:现代经济学前沿专题[M].北京:商务印书馆,2002
篇2
1、风险类别。风险往往被多数人作为经营中的一项负面因素,是应当回避或消除的危险事项,这是有失偏颇的,是混淆了风险和危险的概念。风险中不仅有危险,也孕含着机会。风险是随着企业经营倾向、经营方式、管理内容等的变化而在可能的损失或收益区间浮动的函数。见下图:
在这里我们是按效用对风险进行了分类。风险是长期存在的,不总是能够消除的,风险必须与机会进行权衡。所谓纯风险,是指只会产生恶性结果而不会产生收益的风险,如经营管理人员违规侵占公司财产、恶意歪曲财务信息等,是“坏的风险”;战术性风险是指企业为达到经营目标,对经营和财务杠杆程度、技术选择等进行的权衡,是“不确定的风险”;战略性风险则是由于政策、环境及产生趋势发生重大变化或革新,在经营中面临的重大机会选择。
显然,上述三种风险最终产生收益或损失的效用是不同的,在评估时应予区分。
国际内审协会从经营实务角度,列出了企业经营中的9个重要的风险点,分别是:管理层能力、管理层道德观、系统性变化、组织规模、资产流动性、变革、复杂程度、快速增长、制度健全性。这些风险点较好地概括了企业在不同层面的关键性挑战。
在不同企业战略目标之下,上述各项风险因素的重要程度可通过下表的星号简单反映:
注:*表示重要,**表示非常重要
管理层道德观、制度健全性属纯风险因素,与企业发展目标无关。其他几项战术性或战略性等变动风险因素则与经营取向密切相关。总体来讲,变动风险程度是与企业发展的速度、规模及变革激烈程度呈正相关的。同时,收益的预期也是与风险程度正相关的。评估风险,必然要求将企业各层面的风险因素归类,纳入整体的风险管理框架之内,然后对照企业的经营目标,逐项进行风险识别。
2、对风险的评估。在完成风险归类后,应依次进行下列风险评估:
(1)企业是否建立了明确并上下一致的发展目标。如果企业或组织尚未建立明确的目标,或虽然有目标但是未能自上而下地贯彻,内部愿景不一致,这本身就是企业面临的最大的风险。这意味着企业内部必然缺乏有效的风险管理系统。
(2)风险环境。对于纯风险层面,主要是指外部监管环境、法律政策环境、公司监察审计工作力度等。在通常情况下,外部监管环境越严格,相关政策要求越清晰,内部纯风险程度越低。但是在目前情况下也出现了许多反例。以财务管理规定为例,相关规定对各行业的成本、费用明细项目作了细致的规定,如某项成本的控制比例、某项费用的计提限制等等。这些规定虽然明确,也是监管的重点,在执行中绝大多数企业也看似遵从了这些要求,但是实际上却形成了较大的财务风险,即真实性风险。当实际业务经营中的需求无法在真实性财务环境下满足苛刻的政策要求时,必然会产生“合规”的虚假信息。目前监管层已经注意到这一现象,如最新出台的《金融企业财务规则》就对监管的范围和重点作了很大的调整,重新对监管者和市场化环境下的经营者重新定位,这对于企业降低财务风险是积极的。
战术性风险面临的外部风险非常广泛,以财务类风险为例,在以快速扩张为目标的企业中,筹资活动及筹资风险是战术性风险的重要内容,此时资本市场的资金成本、国家的货币政策、政府对行业发展的态度、以及资本市场的发展水平等等,都是影响战术决策的重要外部条件。而战略性风险,由于其本身就是依存重大外因在产生的机会,因而与重大政策性推动和支持、重大科技进步和新的巨大的市场需求的出现相关联。在对风险与机会的评估时,必然要全面考虑上述因素。
3、风险评估。从管理的每一层组织开始,结合外部环境风险因素,自下而上地进行。以前述9类风险点为基础,逐层细化,逐项分析每个风险环节。
对每个风险环节的分析,都应当以公司及本部门的关键目标为导向,开展主动的、定向性的思考,并且在必要时对风险程度进行量化描述。
(1)在进行风险评估时应当回答的问题。需要分析的核心问题是:存在哪些可能会妨碍本部门实现其关键业务目标的障碍因素(直接障碍)?要克服这些障碍,需要完成一些必要的工作和程序,而什么因素会阻碍这些工作和程序的完成和实现呢(间接障碍)?这些风险中,哪一个最可能发生(最大风险概率因子)?哪些风险将对本部门实现其预定目标的能力产生最重大的影响(最大风险程度因子)?有什么有效的控制机制可以减少这些风险及其影响(内部控制措施)?
(2)风险的量化描述。风险评估应当采用定性与定量相结合的方法。定量评估应当统一制定各风险的度量单位和风险度量模型,确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。通过量化描述,对每个风险在既往的发生概率及其影响进行精确描述,了解风险概率和程度,作为下一步内部控制措施的依据。
例如,会计部门在对某个项目的检查中出现的会计风险(风险a、b、c、d)进行如下描述:
其中重要性项目:1为稍有影响,2为比较重要,3为非常严重;频率项目:1为偶然存在(0.5%以下),极少发生(0.5-1%);较少发生(1%-5%以下);经常发生(5%-30%);总是发生(30%-100%)
分析结果是,对abcd四个项目,会计部门存在较高的风险,特别是a、b两个非常重要的项目差错率较高,而重要性程度较高的d项目差错率极高,显示该部门某一类业务的管理和控制中存在较大的风险隐患。
二、内部控制:风险管理的支点
即便我们对风险作出详尽而确切的评估,如果没有严密的内部控制及其有效执行,就无法对风险进行持续有效地管理。
风险评估是风险管理的起点,而内控制度的建立和执行是风险管理的支点。我认为,内部控制是管理者为有效减少和控制内外部各类风险及影响,确保企业决策和运作的科学合理,确保企业安全,达到企业预期目标而采取的计划、监督和行动。
根据美国“反虚假财务报告委员会”下设的专门从事内部控制研究的“发起组织委员会”(即COSO)的一体化控制理论,内部控制包括五大部分内容:控制环境、风险评估、控制行动、信息与交流和监督评审。笔者认为,控制环境本身是风险评估的重要内容,除风险评估这一风险控制的起点之外,内部控制工作的核心是三个方面,即内部控制制度、控制行为、和对内部控制的监督管理。
1、内部控制制度。内部控制制度是风险评估和分析的产物,是企业进行有效内部控制的基础和依据。
(1)内部控制制度的制定者。内部控制制度不应是由某一个专门的内控或风险管理部门制定的,也不应是自上而下制定的,相反,它应当是以企业目标为导向,由具体的业务操作部门、管理部门在风险识别和评估的基础上,由下而上制定形成的。内控制度的制定者应当是风险的识别评估者、内控制度的执行者和风险责任的主要承担者。
(2)内部控制制度的分类。根据风险的分类,内部控制制度也应该分为针对纯风险的合法合规安全性内部控制制度、针对战术或战略性风险的经营决策内部控制制度。
安全性内部控制制度主要包括财务安全性内部控制制度、信息安全性内部控制制度等。这里主要探讨财务安全性内部控制制度。其内容主要包括:审批和资格审查制度、授权制度、对帐及检查制度、资产安全规定、岗位分离和制约制度等等。
经营决策内部控制制度的主要目的是确保企业各类决策的有效性和科学性。当前企业的规模越来越大,内部分工十分细致,部门职能划分也很明确,这种情况下,如果没有系统的决策内部控制制度,很容易陷入各自为政、各自从自己利益出发的“盲人摸象”似的决策风险中。事实上,这种情况目前十分普遍,尤其是在战术层面的大量日常决策中。
比如,营销部门策划了一个促销活动,并作了详细预算。由于该活动未纳入年初的预算,且金额较大,所以提交公司预算委员会审批。这时,对于预算监控部门来讲,是否审批这笔预算的关键,往往是公司整体预算能否得以控制,如果答案是肯定的,那么这笔预算很可能被通过。而对于营销部门来说,这次活动很可能只是一次积极的尝试而已。而对于更为重要的因素,即这次促销活动能够为企业达成其经营目标产生多少贡献,则未必被各方给予充分的重视。
如果常规性决策行为经常脱离企业的总体目标,则说明经营决策内部控制制度失效。因此,必须建立以总体目标为指导的决策控制制度。这一制度的核心,是对经营目标直接负有责任的部门对直接影响经营目标的事项负责。
在上例中,如果对经营效益直接负有责任的事业部参与决策的制定,或负责预算控制的部门承担利润监控中心的职责,控制的有效性将会大大加强。这就是为什么高效的大型企业都倾向于采取划分事业部模式或利润中心模式管理的原因。如下图,对企业核心目标直接负责的部门A或B,应当参与对其收入或成本可能产生较大影响的决策过程。
内部控制制度的范围不仅是维持组织的正常运行,也涵盖了组织设计本身。一般来讲,对于重大战略性风险的决策,企业往往都会充分重视,但对于大量常规决策,却往往忽略了制度建设的重要性,而这恰是企业高效运行的关键。
2、控制行为。内部控制决不仅仅是企业中某个部门的责任,它应当贯穿到企业每个部门和员工的日常行为中。控制行为应当基于完善的控制制度,并且由各部门、各员工共同执行。就是说,控制行为应当是以“共同控制”为其核心的。
有力的控制行为来源于风险意识的建立。应当把对风险的敏感和不断认识发展成企业文化的一部分。在员工中提倡风险意识,把简单告诉员工应该怎样做和不应该怎样做,转变为对员工的风险教育,使员工对各个业务环节形成自然的风险评估习惯,这是避免机械性错误和管理低级失效的重要方式。
控制行为的几项要点:①员工应当很清楚地说明企业的目标、部门的目标是什么,必须对其岗位所负担的工作中的主要风险有清析的了解;②除了风险培训之外,企业必须给员工设立一个及时而畅通的反映其遇到新的风险进而及时处理的渠道,并有一个互相沟通的平台。③员工在职责范围内减少风险的表现应当作为年度工作业绩考核中的一个重要指标。④各部门都专设风险检查人员,即新的风险的发现人员,彻底调查每一项不正常的事项,并进行深入沟通和研究。
“细节决定成败”。控制行为关注的是每一个细节。科学的风险评估和合理的内控制度,都需要风险意识强、高度负责的员工的逐项实施,也需要管理者不断的予以关注。但这也还是不够的。真正完善的内控系统应当是确保企业随时处理出现的不利情况、随时依照正确的程序作出相对合理的决策,从而提高企业效率,增强企业对外部的反应能力和生存能力。对于内部控制而言,由于每一个控制主体具有特定的立场和视角,因此它很难作到自我完善、自我监控,还需要一个独立的监控系统。
3、对内部控制的监督管理。要确保内控的长期有效性,除了制定完善的内控制度外,必须建立强大而独立的内控监督机制。这项任务通常是由公司内部审计部门承担的。对内控的监管,主要是通过对企业内部实施广泛、严格、制度化的检查、稽核、审计和调查,了解掌握企业内部控制的各主体是否出现缺位,内部控制流程是否得到有效的执行,内部控制流程是否能够很好地适应外部环境的发展变化,其效率能否得到提高,内控环境的变化情况和企业的风险管理状况等,提出完善内部控制的建议措施,并监督这些措施的落实和贯彻。
正如Minhael Hammer所说,内审机构应当将自己看成是公司的一项资源。在帮助管理当局达到预期控制目标的过程中发挥作用。内部审计师的使命将从简单的“我们实施审计”向“我们创建一些程序,以期达到组织成功所需要的内部控制水平。”
很显然,对内部控制的监督管理是一项重要而且繁重的工作。涉及面广,而且非常重要,但内部审计部门一方面力量不足,另一方面往往缺乏独立性,难以独立承担内控监管的完整责任。因此,目前国内已有许多企业建立了风险管理委员会,综合协调各方力量加强内控制度的建设和监督,进而加强企业的风险管理工作。
篇3
(一)企业的风险防范内部控制观念意识淡薄
目前,我国有很大一部分企业缺乏风险管理意识,主要表现在两个方面:一是企业的风险管理和内控活动往往为暂时性或者间断性的,并未建立完备的风险管理体系,领导意识到了就管理一下,事后则将其放在一边,置之不理。二是企业缺乏对风险的定期复核和再评估,降低了企业适应环境变化、管理和规避风险的能力。同时企业以获取最大利润为根本目标,致使很多企业管理者只顾眼前利益,忽视某些决策对企业未来发展产生的不利影响,常常对项目风险不能进行系统全面地分析,致使企业蒙受巨大损失。
(二)企业风险管理组织结构不完善
我国大多数企业存在较为严重的结构问题,导致各个部门和岗位的人员对工作职责和操作程序不清晰,风险承担的主体不明确,因而很难形成独立的风险管理部门,并且没有专门的人员进行企业风险管理。即便一些企业成立了相应的风险管理部门,但没有专职的管理人员,风险承担的主体不明确,各个部门或者岗位间互相推卸责任,使风险管理缺乏约束,从而无力承担起独立的、具有权威性的、有效管理企业风险的职责,使得我国大部分企业的风险管理制度始终停留在以企业眼前利益为目的的决策层面上。
(三)企业普遍存在“重”静态、“轻”动态的风险管理误区
企业静态的风险管理主要是指企业管理层对于财务风险等方面的管理,目前大多数企业都比较重视这方面工作,基本都建立了月度经营财务分析、季度经营财务分析等这种企业静态评价达标控制制度。
企业动态的风险管理主要是对企业的人力资本的风险管理。我国大多企业在快速发展中都会凸现人才供应脱节的情况,由此所引发同业间互挖墙角的现象非常严重。很多企业在人才引进过程中,并未考虑人才素质、业务品质与队伍结构,更不用说考虑竞争主体间队伍建设的稳定性了,这就会造成企业管理矛盾重重。因此动态地人员风险管理也理应成为我国企业风险管理的重要目标之一。
(四)企业风险内控管理系统不健全
我国很多企业领导尚未认识到企业风险内控机制的重要性,一味的将工作重心放在企业产品开发和营销上,忽视了企业风险内控管理对企业发展的重要意义,导致了企业内部控制部分失效或完全失效,究其原因主要存在以下几个方面:1.企业主要组织机构与人员设置不健全,并未按照财政部所的《内部会计控制规范》要求,实施贯彻不相容职务相互分离、相互制约的原则。2.企业会计核算与审计监督等控制职能没有充分发挥其效用,给企业财务从业人员提供了可乘之机。3.企业在决策与授权管理层面控制不力,很多关乎企业运行与发展的重大决策并未完全执行严格的审批程序导致集团的战略无法得到顺利执行,对权属企业管理失控、集团缺乏聚合力,无法发挥集团的整体优势是最大的风险。4.由于管理者对风险意识不够,使企业风险预警机制滞后,并不能发挥其识别、测评、控制风险的能力,甚至有的企业没有相应的预警机制。
二、完善我国企业风险管理与内部控制机制的建议
(一)完善企业风险管理制度
完善企业风险管理制度应从以下3点入手:
1.建立完善的风险识别体系
风险管理首当其冲就需要建立风险识别,只有全面了解各种风险后,才可以预测与评价危险可能造成的危害,从而采取有效的手段来应对风险。常用的风险识别方法有:生产流程分析法与财务表格分析法。
2.建立完备的风险预测体系
风险预测实际上就是分析、衡量风险,由风险管理部门运用科学的方法,对其掌握的统计资料、风险信息及风险的性质进行系统分析与研究,进而确定各项风险发生的概率与强度,为下一步企业选择适当的风险处理方法提供依据。
3.建立系统的风险处理机制
风险处理,即企业在完成风险识别、风险预测的基础上,采取适当的方法规避、消除或转移风险,以达到最大限度降低企业风险的目的。常见的方法有:避免风险(消极躲避风险);预防风险(采取措施消除或者减少风险发生的因素);转移风险(在危险发生前,通过采取出售、转让、保险等方法,将风险转移出去)。
(二)加强整个企业内部控制管理意识
在经营管理过程中,企业需要大力推介与广泛宣传内部控制管理规范,改变人们过去对内部控制管理的错误观念。这就需要对企业领导层、管理层进行内控管理知识方面的培训,在普通职工中普及内控规范的知识。从而使企业中的每个人都认识到,内部控制规范包括企业经营管理各个环节的控制活动与过程,同时它是一项有目标的系统性工程。只有提高企业内部人员对内部控制规范的深刻理解,才能营造一个良好的内部控制氛围,从而促进其有效建设和实施。
(三)加强企业的人力资源建设
再好的制度与机制都需要人来发起、制定与执行,因此加强人力资源的建设是做好企业风险管理与内控工作必不可少的一部分。加强人力资源的建设的具体措施为:
1.企业建立完备的人才引进、培养与储备机制来不断优化企业人才结构与提升整个企业从业人员的综合素质。
2.企业建立适当的激励机制,来充分调动企业从业人员的工作积极性,提高他们的工作效率,同时也有利于增强企业的凝聚力,加强企业队伍的稳定性。
企业要深入研究目前内控制度与风险管理环节的不足,进一步加强制度的建设与实施,强化企业的人才战略,通过对制度的规范与人性化的管理来充分发挥企业风险管理与内部控制的效用,为企业的发展保驾护航。
主要参考文献:
[1]吕笑.如何建立企业内部控制制度[J].国际商务财会,2010(9).
篇4
(一)《内部控制——整体框架》关于风险管理的论述
1992年,COSO了其研究报告《内部控制——整体框架》,并于1994年进行了增补修订。在该报告中,COSO(1992)指出,企业必须了解它所面临的风险,并加以处理。企业必须制定目标,而目标又必须与销售、生产、营销、财务等活动相结合,如此企业才能很好地运作。企业还必须建立识别、分析和管理相关风险的机制。
COSO(1992)提出了内部控制的五个要素,其中之一便是风险评估。COSO(1992)指出,每一个主体都面临着各种来源于内部和外部的风险,这些风险必须加以评估。风险评估的前提之一是建立目标,不同层次的目标应当相互联系并保持内部一致。风险评估是指识别、分析与实现目标相关的风险,它是决定这些风险应如何管理的基础。由于经济、行业、管制和经营条件会不断发生变化,应当建立相应的机制以识别并处理与这些变化相关的特定风险。COSO(1992)指出,须从企业整体和作业两个层次来识别风险。企业整体层次的风险可能由外部或内部因素而产生。外部因素如:科技发展、顾客的需求或预期改变、竞争、新颁布的法律法规、天然灾害、经济环境改变;内部因素如:信息系统处理的中断、员工的品质、经理人的责任改变、企业活动的性质以及员工可接近企业资产的程度、董事会或监事会不够坚定或无效。
(二)风险管理的新发展:《企业风险管理——整体框架》
2004年,COSO了其研究报告《企业风险管理——整体框架》。风险管理整体框架(ERM)是在内部控制整体框架基础上发展而来的。COSO(2004)指出,风险管理框架不想也没有替代内部控制框架,但它将内部控制框架整合在内,采用这一框架,企业既可以满足内部控制的需要,也可以建立一个完整的风险管理过程。
1.风险管理的目标
COSO(2004)认为,主体的目标包括四个:
(1)战略目标,是高水平的目标,它应与组织的使命一致并支持该使命;
(2)经营目标,组织应当有效率和效果地使用资源;
(3)报告目标,组织应当提供可靠的报告;
(4)遵循目标(合规性目标),即组织应当遵循相关的法律规章。
企业风险管理实际就是为实现上述目标提供合理的保证。
2.风险管理的内容
企业风险管理包含以下方面的内容(作用):
(1)协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时,应考虑组织的风险偏好。
(2)改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略(包括规避、降低、分担与接受风险)中做出选择。
(3)减少经营意外与损失。提高组织识别潜在事项并做出反应,减少意外事项及相关的成本或损失的能力。
(4)识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险,企业风险管理应当有助于对相关关联的影响作出有效的反应,并对多企业的风险作出整体性反应。
(5)抓住机会。通过考虑所有的潜在事项,管理层应当能够识别并实现机会。
(6)改善资本的配置。在获得关于风险的信息后,管理层可以有效地评估总体资本需求并改进资本的配置。
企业风险管理的上述作用,有助于管理层实现组织的经营和盈利目标,并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循,并有助于避免组织声誉的损害及相关不良后果。总之,企业风险管理有助于企业向其所期望的方向发展,避免在发展的过程中遭遇陷阱和意外。
3.风险管理的要素
企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法,并与管理过程合成一个整体。这些要素包括:
(1)内部环境。内部环境包含了组织的风格,它确定了组织人员如何看待和处理风险的基础,是其它要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。
(2)目标设定。在管理层辨别影响其目标实现的潜在事项之前,必须有目标。企业风险管理要求管理层设定目标,选择的目标需要能够支持组织的使命并与组织使命相一致,并与其风险偏好相一致。
(3)事项识别。即识别那些影响组织目标实现的内外部事项,并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。
(4)风险评估。必须对风险加以分析,考虑其发生的可能性以及影响,并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。
(5)风险应对。管理层应在不同的风险应对(包括回避、接受、降低、分担风险)中做出选择,从而采取一系列与组织的风险容忍度(risk tolerances)和风险偏好相一致的行动。
(6)控制活动。应建立相关的政策和程序,以确保风险应对策略得到有效的执行。控制活动通常包括两个要素:确定应从事何种活动的政策、执行政策的程序。
(7)信息与沟通。应当按照特定的格式和时间框架来识别、捕捉相关信息并加以传递沟通,从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上,包括向下、向上以及平行交互沟通。
(8)监控。整个企业风险管理都应当加以监控并根据需要做出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。
对于这八个要素,COSO(2004)指出,企业风险管理不是一个严格的序列过程,即一个要素仅影响下一个要素,而且是一个多方向的、相互影响的过程,任何要素都可以并且确实影响其它的要素。
4.风险管理目标与风险管理要素的关系
COSO(2004)认为,目标是主体要实现什么,企业风险管理的要素则意味着需要什么来实现它们,因此,风险管理的目标与要素之间存在密切的直接联系。这样,企业目标、风险管理要素与企业各个层级之间就形成一个三维立体图。
二、美国风险管理准则对我国的启示
从以上COSO风险管理准则内容和要求上,可以看出存在以下特点:
(一)将风险管理与内部控制联系在一起。内部控制是风险管理的重要手段,董事会应当建立并维持有效的内部控制系统以实现风险管理。
(二)均强调风险管理是一个包含风险识别、计量和应对的系统化过程。风险识别、计量、应对和控制活动是一个紧密的整体,企业必须识别面临的潜在风险,并评估其对企业的影响,从而采取相应的措施来应对风险。在风险识别和分析、评估的技术上,均强调应当结合采用定量技术和定性技术。另外,人们越来越认识到,风险是无法绝对消除的,因此,风险管理的目标是将其控制在主体的风险偏好以内,而不是消除风险。反映到风险应对策略上,相关的风险管理准则大都强调风险的应对措施包括回避、抑减(降低)、转嫁(分摊)、接受,应当根据风险发生的可能性、对主体的影响以及主体自身的风险容量选择适当的应对措施。 (三)强调风险管理应当融入到企业日常经营活动中,并贯穿于企业的各个层次、所有的经营活动。风险管理针对的是企业经营活动中对企业目标实现产生影响的风险事项,因此,风险管理必须与企业的经营活动紧密地结合在一起,在经营活动中处处体现风险管理的理念与做法,这不仅有助于及时识别企业所面临的风险事项,也有助于降低风险管理成本、提高风险管理效率。
(四)强调控制环境的作用。公司的高层基调、管理层的管理哲学、董事会和相关委员会、员工的胜任能力对于有效的风险管理具有重要作用,如果没有一个良好的、注重风险管理的内部环境,风险管理很难取得成功。
(五)强调全员参与。全员管理是现代风险管理的重要特征,风险管理不仅仅是风险管理部门的事,而且需要靠企业的全体员工来落实,所有员工都会影响到企业风险管理的效果,企业应当使所有员工了解自己在风险管理中的作用。
(六)强调信息与沟通。信息和沟通对于良好的风险管理和内部控制相当重要,下层要了解公司的风险管理战略和政策、措施,并有顺畅的向上沟通风险管理和内部控制情况的渠道,上层要及时向员工及外部了解企业面临的重大风险及其管理情况。
篇5
一、企业风险管理和内部控制中存在的问题
(一)风险管理意识淡薄,不能很好地预测风险
企业目前所面临的风险主要包括市场风险、运营风险、法律法规风险等。运营风险在所有的风险中是最重要的一个。企业要建立一个能够辨别风险和控制管理风险机制,且高风险的范围要明确,从而加强管理。可这种机制正是我国企业所缺少的,管理风险的意识相当淡薄,没有辨认风险、评估风险的相应机制。
(二)风险的有效防范措施力度不够
风险和收益在有效资本市场的条件中是成正比关系的,风险低则收益低,风险高则回报必丰厚。可从内部控制的层面来讲,企业在辨认和分析过风险之后,理应通过一些积极又有创新意义的管理风险的措施,使企业能够接受这样的风险。不少企业为了获得更高的经济效益,冒着风险进行违法运营,让股东承担负债风险和公司破产的风险,造成了风险资产的不断增加,也加大了经营的风险和财务的风险,结果损害了公司和股东的利益。
(三)内部控制的制度没有执行力,缺少机制的评价
我国有不少企业把内部控制的制度都贴在墙上或写于纸上,没有切实的执行力,也很少有企业进行评价其内部控制的制度,大多数都是走于形式。此外,长时间以来,企业管理者考核的根据主要是以利润为主,其方式也非常单一,鲜有内部控制的综合评价。
二、加强企业风险管理和内部控制的对策
(一)健全内部控制组织机构,注重内部审计工作
为了提高内部控制制度的执行力,就要不断完善内部控制制度的组织结构,把内部审计机构的工作提升。内部审计机构的地位,企业要有明确的说明,赋予审计机构部门一定的权威性和独立性,使企业的审计部门成为企业内部控制制度执行的主要监督机构,且赋予各监督部门进行考核评价其控制制度的执行效果,这样,才能切实有效地执行企业内部的控制制度。
(二)强化内部控制执行部门的防范风险意识
在加强内部审计监管的同时,也要提高每个执行部门自身的防范风险的意识,执行部门必须根据规定的具体制度进行执行,避免出现由于执行力度不够、把关不紧而导致的经办部门和个人为一己之利而给企业带来整体利益谋私的行为风险。尤其是在信息化的今天,企业的外部环境更是千变万化,企业如果对内部网络数据的风险控制不予以重视,那么就有可能导致企业内部人员出现道德风险或者是系统性的风险,从而造成泄露商业数据的风险。所以,执行内部控制的工作人员一定要把泄露商业信息的风险意识加强,以此杜绝为企业带来巨大的损失。
(三)风险评估要做好,内部控制制度要健全
企业有效进行内部控制的基础的根据就是企业风险的评估。企业要按照实际工作情况,根据内部控制制度的标准依法建立与企业实际情况相符且有较强操作性的科学合理的制度,要做好风险的评估以及内部控制制度的完善就要从制定制度、执行制度、评估制度和改善制度等方面入手。如果企业的风险评估能够做好,再依照实际情况进行设立内部控制制度和有关程序,这样在很大程度上能使人为带来的风险和制度上风险等得到有效防范。
(四)企业各部门间的执行要相互配合,取得内部控制制度的高效执行
各个部门的工作程序对企业来说都非常重要,尤其是作为内部控制制度的每个执行部门和个人,要把整体利益作为出发点,内部控制决不能把部门利益和个人利益当作自己工作的出发点,每个执行部门之间的信息要及时沟通,信息要及时共享,这样更有利于工作的相互配合,能够快速发现存在的问题,一起分析解决,以避免管理不足,从而使企业整体效益得到提升,企业内部控制的程序也能很好的协作,更加高效地使企业内部的控制制度得以执行,把内部控制制度的意义发挥至极致。
(五)设立内部控制执行的考核与监督激励的机制
在建立健全了内部的控制制度之后,最重要的问题还是各部门的执行和个人的执行,所以,企业在根据国家法律和企业有关规定的制度运营的同时,也要设立对应的考核机制以及激励机制,直接影响到执行人员的工作业绩,从而使风险防范意识能力得以提高。内部控制制度能够安全可靠地运行,其可靠的考核机制和工作激励是重要的保障。
(六)通过市场杠杆的途径来使企业风险管理水平提高
篇6
近两年来电子发票开始普及,这虽然给国家税务人员和财务开票人员减轻了负担,但电子发票可重复自行打印的特性,同时也给企业税务审查带来了麻烦,那就是重复打印报销问题,对于业务量庞大的单位,此类问题尤为显著。
2完善招标企业风险管理和内部控制的相关对策
2.1全方位完善风险管理内控制度,切实提高执行力度
招标开标完善企业OA流程,让专家费单据有痕迹可以追溯,即使财务一再给业务人员强调专家费等单据严禁重复报销,财务人员也依然要抱着怀疑的态度,对业务多的部门报销的每张专家费单子进行登记,并对每张单子通过核对OA流程及其招标公告文件,杜绝重复报销问题。针对模仿专家签字问题,要求报销时专家费发放表必须后附专家签到表,针对发放金额不实问题,要求业务部门专家费发放表除专家本人签字外,全部机打,并且一旦发现金额数字整体错位的情形一律退回,不予报销。因此,招标企业应结合自身状况,制定并不断优化适合公司发展的风险管理和内控制度,同时设置针对性的检查考核指标,定期对内控的执行情况检查考核,确保公司内控制度能够执行到位。此外,为了让内控的效果发挥至极致,还应设立评价与激励机制,以此促进企业长远利益与管理层利益达成一致,助推内控目的的实现。同时,招标企业还应构建适合自身的风险防范体系,对风险进行评估管理,尽可能将风险降低至可接受的低水平。企业在做好内控管理防范的同时,还应自觉地接受监督部门的监管,做好风险防范体系的构建工作,并加强内部控制制度的完善。
2.2严格审核业务部门提交的OA流程,联查记账软件数
据及网银数据,以杜绝标书费漏缴及重复退款问题首先,要求业务部门所有业务都要走OA流程,以实现管理部门特别是财务部门对业务流程的监控。其次,应对重复退款的风险,一方面,企业可以通过增加财务人员实现快速退款和及时记账;另一方面,如果不加人,对于业务量特别大,有条件的招标企业可以考虑联系财务记账软件,银行,以及OA系统开发商三方合作,打通接口,实现网银来款退款自动记账功能,以及记账信息自动传送OA的功能,一旦实现,将极大程度减少不必要的重复劳动,提高风险管控的效率和准确性。
2.3建立电子发票备案登记簿制度
财务稽核人员对每个部门单独建立一份电子发票备查表,设置发票的几个关键识别要素:发票号,发票金额,开票单位,开票时间,报销人等。业务部门报销含电子发票的报销单,必先一同报送登记好的电子登记表,业务部门自己同样留存一份本部门的登记表,实现双审核全员参与,有效避免电子发票的重复问题。
篇7
企业内部控制的完善和执行情况日益成为人们关注的议题。在国内,“中航油”、“银广厦”等多起舞弊案件都是与企业内部控制的缺失有关。德勤华永会计师事务所有限公司最新《中国上市公司内部控制调查分析报告》的调查结果显示,大多数企业在内部控制实施方面仍然存在一定的盲目性。中国上市公司约58.82%的企业为应对金融危机而指定了专门的部门落实风险管理和内控工作,但是,仅有23.53%的企业将内控工作的重点从书面制度转变为具体实施;仅约17.65%的企业进行了内部控制评价。可见,内部控制问题已成为上市公司的软肋。2008年6月28日财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》,该规范融合了COSO 风险管理的先进经验,又具有中国的特色,被世人赞誉其为“中国版的萨班斯法案”。那么,基本规范是否能解决上市公司的问题成为了时下理论界、实务界关注的焦点。
一、企业内部控制规范与COSO企业风险管理的不同
(一)内涵、目标不同
2008年6月28日财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》,为中国企业首次构建了一个企业内部控制的标准框架。它所指的内部控制,是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:(1)企业战略;(2)经营的效率和效果;(3)财务报告及管理信息的真实、可靠和完整;(4)资产的安全完整;(5)遵循国家法律法规和有关监管要求。
2004年9月,COSO委员会在内部控制框架概念的基础上,提出了企业风险管理(Enterprise Risk Management,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO在ERM框架报告中指出企业风险管理是一个过程,它是由一个主体的董事会、管理当局和其他人员实现的,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险已使其在该主体的风险容量之内,为主体目标的实现提供合理保证。ERM框架对内部控制明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。ERM框架提出,要力求实现四类目标:战略目标、经营目标、报告目标和合规目标。
(二)基本要素不同
1.企业内部控制规范考虑以下基本要素:
(1)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(2)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(3)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(4)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。
(5)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告,提出有针对性的改进措施等。
2.COSO企业风险管理包括八个相互关联的构成要素。它们来源于管理当局经营企业的方式,并与管理过程整合在一起。这些构成要素是:
(1)内部环境。内部环境其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
(2)目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。
(3)事项识别。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,管理层必须识别影响主体目标实现的内部和外部事项,区分风险和机会。
(4)风险评估。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
(5)风险应对。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
(6)控制活动。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。制订和执行政策与程序以帮助确保风险应对得以有效实施。
(7)信息与沟通。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。
(8)监控。企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。
(三)管理人员对实现企业目标的职责
1.企业内部控制基本规范对管理人员的职责规定如下:
(1)企业董事会应当充分认识自身对企业内部控制所承担的责任,加强对本企业内部控制建立和实施情况的指导和监督;
(2)董事长(或者法定代表人、代表企业行使职权的主要负责人,以下简称董事长)对本企业内部控制的建立健全和有效实施负责;
(3)经理(或者总裁、厂长,以下简称经理)根据法定职权、企业章程和董事会的授权,负责组织领导本企业内部控制的日常运行;
(4)总会计师(或者财务总监、分管财务会计工作的负责人,以下简称总会计师)在董事长和经理的领导下,主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。
2.COSO企业风险管理将各级人员的职责分成三个层次:
(1)董事会,监控企业风险管理,获知并批准企业设定的风险偏好,与企业高层管理人员讨论企业风险管理的状态,获知企业所面临的重大风险、管理层拟采取的行动以及管理层确保风险管理有效性的方式,董事会还要从内部审计人员、外部审计人员和其他人员那里获取相关信息;
(2)高层管理人员,首席执行官或总裁应对ERM 负总责,各部门经理应认同企业的风险管理理念,按企业设定的风险偏好和风险容忍度管理本部门事务。首席执行官或总裁集各部门经理对企业风险管理的能力和有效性进行初步评估,以决定是否有必要对其继续进行更深入的评价;
(3)企业基层职员,有责任按照企业已确立的指令和协议实施风险管理。
二、企业内部控制基本规范的贡献
从基本规范与COSO风险管理的比较,可以看出基本规范既吸收了COSO报告的精华,又具有一定的中国特色:
1.提高了内部控制规范的地位。新规范既有类似萨班斯法案的强制力,又有与科索报告一样对内控实务的示范作用;既对中国企业建立内控制度提出了强制性要求,又为千差万别的中国企业建立健全内控制度提供了基本框架;既吸收了内控的国际先进理念,又充分体现了中国内部控制的现实环境要求。有专家认为,这一规范的出台,是中国企业按国际化标准严格自律的宣言书,更是中国企业参与国际竞争,逐步接受并自觉遵循市场经济游戏规则,不断完善企业制度、细化管理的内在要求。世人赞誉其为“中国版的萨班斯法案”。
2.统一了我国企业内部控制规范。在美国,COSO框架是美国企业以及在美国上市的外国公司的内部控制建设的标准,而在我国,长期以来内部控制规范正出多门,现实中,至少存在包括证监会、财政部、国资委、人民银行、证券交易所等部门或主管单位的关于内部控制或风险管理的规范文件。尽管有关监管部门在实际中采用了COSO的标准,但都比较局限。2008年6月28日财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》是广泛征求各监管部门意见基础制定的,统一了我国企业内部控制规范的标准,使企业可在统一的框架内建立有效的内部控制监督体系,同时为外部监管公司内部治理的设计、实施、监督、评估等奠定了基础。
3.科学界定内部控制的内涵,强调“全员控制”。基本规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,是一种全面、全员、全过程控制的理念。
4.准确定位内部控制的目标。旧规范的目标定位,基本上是处于内部控制目标层次的最低级,只包括:保证会计资料真实、完整;保护单位资产的安全、完整;确保国家有关法律法规和单位规章制度的贯彻执行。基本规范前瞻性提出企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略。本次的修订既强调了COSO全面风险管理的四大目标,又增加了对资产的安全完整的要求。这充分体现我国顺应国际内部控制和风险管理日益融合的趋势。
5.统筹构建内部控制的要素。旧规范的范围过于狭窄,主要集中于会计领域。《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。而本次修订的基本规范有机融合COSO全面风险管理的做法,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。
6.明确界定各控制主体职责。内部控制的有效执行有赖于全员参与,而只有企业内每个人均清楚地知道自己所拥有的责任和权力,才能认真履行自己的职责,提高内部控制的执行力度。新规范所界定的内部控制主体有四层:一是董事会,二是监事会,三是经理层,四是全体员工。董事会是加强企业内部控制的第一责任人;监事会负有对董事、经理执行公司职务时违反法律、法规或者公司章程的行为进行监督的权利,在监督投资者决策行为的同时切实履行监督投资者对经营者的监管职能的落实情况;经理层直接对企业的经营管理活动负责,尤其是企业总经理(首席执行官)承担重要责任;全体员工在实现内部控制中承担相应职责并发挥积极作用。
7.创新了体系。除基本规范之外,财政部还起草了17项具体规范,并将继续起草若干具体规范和应用指南;与此同时,还将研究、制定评价标准和配套实施办法,形成全方位、立体性推进内控体系建设的局面。我国的企业内控体系,将是一个层次分明、内容完整、衔接有序、整体互动的有机统一体。
8.强化了内部风险管理。旧规范只是强调通过风险预警、风险识别、风险评估、风险分析、风险报告等措施,对财务风险和经营风险进行全面防范和控制,而基本规范更强化了在目标设定环节就要考虑风险因素,这一条和COSO的风险管理是吻合的。
9.提出了切实可行的内部控制实施机制。基本规范建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。这充分体现了基本规范在实施过程中适当的引入了信息机制和声誉机制、强化检查监督机制,落实内控责任主体和严格问责和实施严厉的奖惩机制的特点。
三、企业内部控制基本规范实施的难点
企业内部控制规范在执行中还存在很多困难:
1.基本规范的要素中没有体现事项识别的重要性
事项可能会带来负面影响,也可能带来正面影响,带来正面影响往往意味着机会,而机会对于企业目标的实现是有重要作用的。基本规范只强调了风险的识别,而对于机会则没有关注。
篇8
一、风险管理
风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。根据以上风险管理的定义,我们可以得出以下几点认识:(1)风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;(2)风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;(3)风险管理是一种管理方法;(4)风险管理是一种特殊的管理功能。
二、ERP环境下内部审计参与风险管理的动因
ERP环境下内部审计之所以涉足风险管理领域,主要有以下几个原因:
1、对审计质量产生了重大影响
ERP环境下审计面临的固有风险、控制风险和检查风险均发生了显著变化,审计风险中检查风险发生的变化对审计工作影响最为深刻。表现为:①对SAP系统缺乏足够理解。当信息系统成为审计对象的一部分时,为了评估风险,内审人员必须对信息系统有足够的理解,但是,对大多数内审人员而言是一件困难的事情。另外审计人员在理解信息系统时需要一定的时间、文档资料、外部技术咨询、人力资源等,但在审计过程中,这些资源往往很难获得。②技术不成熟。内审人员采用计算机技术辅助审计以降低审计风险,但其本身就引入了风险,尤其是没有经过严格测试的技术。例如,审计人员自己编写的程序,往往没有经过认真的测试就投入使用。很多应用的审计软件也存在缺陷。例如,在导入数据时丢失记录,数据处理结果错误。③对技术的依赖性。由于信息技术的使用确实能够有效地提高审计质量和效率,审计人员很容易对技术产生过分的依赖。例如,期望通过电子数据分析来发现所有审计线索,忽略其他审计方法,如调查询问、实物盘点、函证、现场观察等。过分依赖信息技术可能导致检查效率减低,取证范围变得狭窄,以至于审计证据的充分性得不到保证。
2、内部审计自身发展的要求
内部审计部门为了不断地发展,为了在企业中担当更重要的角色和发挥更重要的作用,总是不断寻找新的对企业又十分重要的领域,企业经理人员对风险的空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要的角色,并将其在企业中的作用推向一个新水平。面对SAP系统的全面应用,内部审计参与风险管理,正是审计对象信息化的迫切要求及深化审计工作的必然选择。
三、ERP环境下内部审计如何参与风险管理
(一)强化内部审计部门自身管理
1、在评价ERP环境下企业风险的基础上合理安排审计资源。内部审计部门积极开展以风险评估为基础的审计,根据企业不同业务、以及风险大小分配审计资源,例如可以建立ERP环境下业务类型网络,在该网络中,可以集定业务方面的有专长的审计人员,以更好地理解各种风险,审计工作结束后,仍然存在资源配置问题。内部审计并不仅仅只做合规性审计,如果在审计报告递交后没有人执行,内部审计没有促进任何变化的发生,那么内部审计就没有起到其应有的作用。由于内部审计的一个重要作用是促进变化,既要告诉被审计单位问题出在哪,以及这些问题可能给企业带来的影响,还要提出解决问题的建议,并为了确保问题得到正确、及时解决,还要在审计结束后进行合理的资源配置,派出合适人选对该审计项目进行跟踪,并对高风险的领域提供持续的有价值的建议和监督。对审计项目的后续跟踪,并不意味着内部审计有失独立和客观。相反,如果内部审计部门能够监控被审计的全过程,并可能在跟踪的过程中发现新的问题,以便使审计部门进一步研究问题的所在。
2、不断更新内部审计的方法。实施ERP后,企业安全将面临更大的挑战,内部审计部门除了运用传统审计方法外,还应借助信息技术开展信息系统审计。主要内容是:一是对整体计算机控制环境审计。主要包括:检测网络与系统的安全性、检测是否有入侵行为、评估系统风险控制点,对系统设备、操作系统、无线网络、防火墙等方面的审计。二是对应用系统控制审计。包括:数据源和验证控制,输入环节控制,处理环节控制,输出环节控制,边界控制等。三是应用中石化开发的SAP审计查证系统进行计算机辅助审计。
3、培训专门的信息系统审计人员。内审人员的职业技能及职业判断能力将直接影响审计风险的评估和控制,并决定审计质量。无论从内审人员个人的职业发展,还是专业胜任角度考虑,都必须定期的、有计划的对审计人员开展培训,审计人员也应自觉不断的更新知识和技能,保持自己的专业竞争力。在信息系统环境下,除了一般审计人员要掌握一定的计算机知识之外,还应有一批专门的计算机信息系统审计人员。审计与计算机毕竟是两个不同的专业,要求每一名审计人员了解计算机信息系统的每一个细节是不现实的,也不符合社会分工的发展趋势,油田内部审计机构也应随着对计算机信息系统审计工作的不断深入,逐步建立起专门的信息系统审计部门,信息系统审计人员的加入,将使审计队伍的构成更加丰富,也将大大提高我们的审计质量和整体审计能力。
(二)内部审计实施风险管理的原则与步骤
ERP环境下内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:1、评估风险识别的充分性。所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程,换言之,就是要确定企业在实施ERP后正在或将要面临哪些风险。内部审计部门和人员要对原有的已识别风险是否充分进行评价,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的主要风险。2、评价已有风险衡量的恰当性。风险衡量是指应用各种管理科学技术,采用定性与定量相结合的方式,最终定量估计风险大小,找出主要的风险源,并评价风险的可能影响,以便以此为依据,对风险采取相应对策。内部审计部门和人员要对已有的风险的衡量结果进行再检验,以确定其是否恰当,对不恰当的估计予以更正。3、评估风险防范措施的充分性,并提出改进措施。风险的防范措施是指为降低已识别出并已衡量的风险所采取的措施,也称风险管理工具的选择。内部审计部门和内部审计人员对有关部门针对风险所采取的防范措施进行检查,检查其是否充分、得当。对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,以强化企业的风险管理,降低风险损失。
四、ERP环境下参与风险管理要注意的几个问题
1、充分认识到,当前条件下ERP系统建设中还存在着比较突出的风险控制问题。目前,油田企业对信息系统的掌握和认识还不那么全面,加上对信息系统下的风险控制的作用还认识不够。许多企业引进ERP系统的目的就是提高业务运做效率和管理控制。由此带来两方面的问题:①传统的管理控制在信息系统环境下没有被合理更新。②信息系统下典型的技术控制还没有具体的实施程序。如安全程序变更、灾难防御等。
篇9
一、内部控制的内涵
内部控制的概念是在实践中逐步产生、发展和完善起来的。企业内部控制作为一项复杂的企业运作保障机制,其有效性则直接关系到企业经济效益的提高、企业资产的安全完整性和会计信息质量的改善等重大问题。因此,美国COSO 委员会在其《 内部控制一整体框架》 的报告中指出:“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程” 。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。COSO 报告提出的这个由“三个目标”和“五个要素”组成的内部控制的整体框架,是迄今为止被国际社会所普遍认可的最具权威性的内部控制定义。企业内部控制是企业的一种系统管理工程,它是通过一整套详细、具体的操作规范来约束企业各个环节、部门人员的经济行为,是一种规范的操作系统。
企业内部控制是衡量现代企业管理的重要标志。企业内部控制制度则是企业中最高的规范制度,企业内部的任何人都无权凌驾于内部控制制度之上,执行中的一视同仁、公平合理是内部控制制度得以贯彻执行的生命线。企业的内部控制制度就是企业经营运转的基本规矩,是检查管理者、各部门员工工作质量的尺度,也是衡量企业经济效益和管理水平的标准。由此可见,加强和完善企业内部控制制度是企业管理的客观需要。
二、风险管理的内涵
风险是指可能对目标的实现产生影响的事件发生的不确定性。风险管理就是采取一定的措施对风险进行检测评价,使风险降到可以接受的程度,并将其控制在某一可以接受的水平上。
企业风险管理是企业在实现未来战略目标的过程中,试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程,以确保和促进组织的整体利益的实现。到目前为止,COSO-ERM框架理论是最完备的并具有广泛适用性的风险管理理论。
根据该框架,全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。该框架认为企业风险管理应由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等8个要素构成,同时风险管理是由风险识别、风险评估、风险对策、风险监测等一系列环节组成的一个循环流程。
三、企业内部控制与风险管理的关系
在实践管理中,不能简单地将企业内部控制与风险管理等同起来,二者既有内在联系又有一定的区别,因此,我们要辩证地看待它们之间的相互关系和影响。
1、全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素。同时,也反映了两者在目标及组成要素方面有相同之处。两者都可以概括为力求公司股东价值最大化为目标,在组成要素上,有五个方面是重合的,这种目标和要素的一致性决定了内部控制和风险管理的原则、出发点与归宿点的相似性。
2、企业内控识别、控制风险的原理一致,都要由经营管理者实施。在分辨企业经营中存在的所有直接和间接的风险、确认各种风险的重要程度以及制订风险控制的策略、具体措施等方面,使用的理论基本上是相同的。内部控制的大部分工作都是经营管理部门的重要职责。同时,只有经营者将风险管理放在适当的高度,风险管理才能真正发挥作用。
3、企业风险管理是对内部控制的拓展和延伸。伴随着技术和经济的快速发展,使得内部控制走向企业风险管理。并且,企业风险管理是企业自身生存发展的需要。可以说,完善内部控制可以保证风险管理的效果,加强风险管理可以提高内部控制的地位。
4、企业内部控制的动力源自风险防范,是企业风险管理的必要环节,是实际操作的核心。内部控制的完整性、准确性和有效性直接决定企业风险管理的效果。企业开展风险管理工作应与内部控制相结合,把风险管理的要求渗透到企业各领域,带入到业务流程中。通过实施内部控制,我们可以达到完善治理结构,规范权力运行,强化监督制约,保证企业的资产安全,从而促进企业战略目标的实现。
5、企业内部控制并不等于企业风险管理。合理有效的内部控制只能提供合理而不是绝对保证,内部控制只能防范风险,不能转嫁、承担、化解或分散风险。在风险识别和评估基础上所建立的内部控制,只能规避经营管理活动中经常发生的错误和风险,但不能解决风险管理中企业所面临的所有风险。
从以上分析可以看出,内部控制和风险管理是密不可分的,完善内部控制可以保证风险管理的效果,加强风险管理可以提高内部控制的地位。实践证明,内部控制的有效实施有赖于风险管理的技术方法,而风险管理离开了内部控制作为手段支撑也将流于形式。我们只有发挥好企业内部控制与风险管理的协同作用,将内部控制与风险管理融为一体,才能更好地为企业发展保驾护航。
参考文献:
篇10
(二)企业风险管理内涵 企业风险管理主要是由企业的董事局、企业的管理层以及企业内部其他具有此权限的人员在共同确定统一的目标时,按照战略制定的要求以及围绕该要求而产生的从各个层面来进行运作的活动,此类活动存在的意义在于识别各类具有潜在风险或者就企业目前的管理过程来分析而存在的各类风险,所进行评估,任何违背或者阻碍企业共同目标的因素或者风险,在企业进行风险管理的过程中均予以规避或治理,以保障企业的整体目标得以顺利进行。
在企业进行管控的过程中,风险作为其工作的主要范围,信息的沟通及时化是企业进行风险评估和判断的重要因素,这也是企业在内部控制时从信息化角度来完成企业的内部信息疏导、企业各方面信息的有效传递、企业信息流通的及时性和稳定性等方面工作的主要原因之一,在企业进行内部管理和监控时,对于风险评估和风险管控本身的行为来说,同样也需要按照企业的实际需要,进行相应的内部监督,包括日常内部监督和具有专业性的专项检查,一旦发现企业的内部控制缺陷包括政策、措施等方面以及针对风险进行评估时出现的各类人为和非人为的可以进一步诱导企业内部控制中风险性质变化或者量变等问题发生的直接因素,均可以在核查的同时加以改进。
二、从内部架构角度看企业内部控制与风险管理
(一)企业内部控制与风险产生之间关系的介质 企业风险产生主要原因就是在于企业发展 “目标”的存在性,目标是公司取得长驱发展的主要动力,同样目标的存在也同样引发了各种风险的出现见(图2)。目标作为风险产生的主要原因有:首先,目标作为风险的出现的主要原因来自于人的主观能动性与客观活动之间的差别,在客观的活动过程中,当人的主观能动性与客观环境之间的差异化成为不确定因素时,风险就会同时出现。其次,因为目标需要建立在一个较高层次的基础之上,在当前企业发展高度结构化的模式下,任何一类子目标的发展都需要下一个阶层子目标的支撑,因此这些子目标之间需要以重叠性和排斥性进行系统化排列,尤其是在不同的目标之间更需要进一步的相互补充,由此,一旦层叠性逐渐出现任何关联间隙,就会导致风险因素的出现。最后由于在企业的内部和外部的管理中存在着诸多的目标,因此在不同的目标进行次第互补时,就必然出现衔接方面的安全隐患,如果各个目标之间的衔接性存在问题,或者衔接的联系性不够完整,就极易造成衔接之间的空白期,这些空白期自然会造成风险性的出现。
(二)企业内部控制与风险管理的专业化促进 目标产生的主要原因在于企业的发展需要,企业内部控制与风险产生之间产生关系的介质更在于对目标的实现。强化企业的内部管理活动,将企业的多样化发展目标统一到同一个发展层面上来,企业发展过程中的各项风险维度则会相应的维持在一个企业可以管理和可以控制的范围内。这也是企业在内部管理和内部控制时,出现各类风险的主要原因。
此外,从企业管理的角度来看,企业的风险控制和企业的风险管理,需要在专业化角度进行细化,以审计为例比如当同一个或者不同账号出现账户交易时,一旦账户交易中存在着内部或者外部因素而导致的漏报和错报问题时,内部管控和内部管理就自然会在出现相应的专业管理需要的同时出现专业管理的风险,以审计为例(见图3),审计的过程中所出现的漏报、错报等问题时,对于此类问题的纠正或者对此类问题的管理过程中,对于出现的问题或者存在的风险隐患,就自然应该划归到相应的管理层面来进行分析,如因为财务报表的疏漏而导致风险的产生就需要划归到财务方面来解决,因为企业的管理失衡所出现的风险问题或者由于各项制度的不完整性而存在的问题,需要按照不同问题出现的源头进行分门别类的风险评估及措施应对。但是无论基于哪种,从企业发展的角度来看,都会引发企业风险的出现,并需要通过内部控制而耗费企业运营成本。
篇11
一、外贸企业核心业务和关键风险
外贸企业是指专门从事对外贸易(进出口)的企业,在国家规定的注册地,这些企业对产品和服务有合法的进出口经营权。它的业务往来重点在国外,通过市场调研,把国外商品进口到国内来销售,或者收购国内商品销售到国外,从中赚取差价。外贸企业的核心业务主要由出口和进口两部分组成,简称进出口业务。笔者认为,外贸企业风险是指外贸企业作为一个社会经济主体,在存续期间内受所面临的政治、经济、社会和技术等环境因素的影响,其真实业绩与企业目标发生偏离的可能性。关于外贸企业风险,现有文献的梳理如表1所示。
由此可见,外贸企业面临的风险主要包括两大类,一是经营风险,二是财务风险。
(一)经营风险。经营风险是指外贸企业经营目标无法实现的可能性。经营风险的极端形式是经营失败。从广义上分析,外贸企业经营风险包括:(1)战略层面风险。是指外贸企业在战略制定和实施过程中,其战略目标无法实现的可能性,包括政治风险、贸易壁垒风险、政策风险、投资风险和自然灾害风险等。(2)经营环节风险。即狭义上的经营风险,它是指外贸企业经营环节目标无法实现的可能性,包括信用风险、结算风险、汇率风险、利率风险、法律风险和道德风险等。
(二)财务风险。董峰(1996)认为,外贸企业财务风险按其财务活动的基本内容来划分,可分为筹资风险、汇率风险、投资风险、资金回收风险与收益分配风险。朱威(2005)认为,我国外贸企业财务风险主要包括筹资决策风险、投资决策风险、股利决策风险、外汇风险(交易风险、折算风险、经济风险)、衍生金融工具风险、企业重组风险等。吴晓庆(2010)认为,外贸业务财务风险主要包括信用风险、外汇风险、结算风险、现金流风险、反倾销风险。葛维璐(2012)认为,外贸企业面临的财务风险主要有信用风险、汇率风险、流动性风险、非关税壁垒风险。张小宇、王庆敏(2016)认为,中小外贸企业财务风险包括信用风险、融资风险、流动资金不足风险、汇率风险等。笔者认为,从狭义上理解,外贸企业财务风险是指外贸企业由于负债融资而形成的风险,或称资不抵债风险。而从广义理解,外贸企业财务风险是指外贸企业财务管理目标无法实现的可能性,它包括资不抵债风险、坏账风险、流动性风险和现金流风险等。 除此之外,外贸企业风险还可以区分为系统风险(市场风险)和非系统风险(企业特有风险)。外贸企业风险的存在往往会给外贸企业各项目标的实现带来很大的不确定性。因此,如何基于内部控制有效性视角,加强外贸企业风险管理的理论与实务研究非常重要。
二、外贸企业内部控制的目标和要素
(一)外贸企业内部控制的涵义和目标。关于内部控制理念的演变,经历了内部牵制(20世纪40年代以前)、内部控制制度(20世纪40―70年代)、内部控制结构(1988―1991年)、内部控制――整体框架(1992年至今)等阶段(宋夏云,2003)。1992年,美国反欺诈财务报告全国委员会下属发起机构委员会(COSO)了“内部控制――整体框架”,并指出:企业内部控制是指由企业董事会、管理层和其他员工实施的,旨在为达成以下目标而提供合理保证的过程:(1)财务报告的可靠(可靠性);(2)经营的效率、效果(效率效果性);(3)法律和法规的遵循(合规性)。我国《企业内部控制基本规范》(2008)指出,企业内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现以下目标的过程:(1)企I经营管理的合法合规;(2)资产的安全;(3)财务报告及相关信息的真实完整;(4)提高经营效率、效果;(5)促进企业实现发展战略。
外贸企业内部控制目标是指外贸企业内部控制机制运行的预期效果或理想状态,是构建外贸企业内部控制框架的逻辑起点。笔者认为,外贸企业内部控制可以定义为受外贸企业治理层、管理层和其他员工的影响,旨在实现以下目标而提供合理保证的一种过程:(1)外贸企业财务报告等经济信息的真实、完整;(2)外贸企业战略和经营活动的效率、效果;(3)外贸企业财务收支活动的合法、合规;(4)外贸企业各项资产的安全;(5)促进外贸企业实现其发展战略。它们相互联系、相互影响,共同构成一个完整的外贸企业内部控制的目标体系。
(二)外贸企业内部控制的要素。COSO(1992 & 2013)指出,企业内部控制的要素包括内部环境、风险评估、控制活动、信息与沟通,以及监控。我国《企业内部控制基本规范》(2008)指出,企业内部控制的要素包括内部环境、风险评估、控制活动、信息与沟通、内部监督。以下笔者分别对其进行讨论。
1.内部环境。内部环境设定了外贸企业实施内部控制的基调,直接影响到企业治理层、管理层和其他员工对外贸企业内部控制的功能定位。良好的内部环境是内部控制机制有效运行的基础。外贸企业内部环境包括治理结构与权责分配、管理层的理念和经营风格、治理层对内部控制的重视程度、对诚信和道德价值观的沟通与落实、对专业胜任能力的强调以及企业人力资源政策与实务等。
2.风险评估。风险评估是指外贸企业选用定量和定性指标,在风险预警模型构建和优化基础上,对外贸企业所面临的战略层面风险、经营环节风险和财务风险进行有效识别和科学评估,并及时外贸企业风险的预警信息。即风险评估过程的作用是识别、评估和管理影响外贸企业经营目标实现的各种不确定因素。
3.控制活动。控制活动是指外贸企业根据风险评估结果,采取有针对性和灵活性的措施和方法,努力将外贸企业风险降低至可接受的范围之内。控制活动有助于合理保证外贸企业治理层和管理层提出的风险管控指令得到充分执行,其内容包括授权、职责分离、业绩评价、信息处理和实物控制等。
4.信息与沟通。信息与沟通是外贸企业及时、准确地收集、整理、加工、汇总和传递与企业内部控制及风险管理有关的信息,确保各种控制指令在企业内外部之间进行有效传播和沟通。其中与外贸企业财务报告等信息可靠、相关的信息系统通常包括以下职能:(1)识别与记录所有的有效交易;(2)及时、详细地描述交易;(3)恰当地计量交易;(4)正确确定交易生成的会计期间;(5)在财务报表中恰当地列报交易的结果等。
5.内部监督。内部监督是对外贸企业内部控制制度的建立与实施情况实施监督检查,评价内部控制机制运行的有效性。外贸企业可以授权内部审计机构等职能部门对内部控制的设计和执行进行专门的评价,找出内部控制机制运行的优势和缺陷,并提出补救建议。
三、基于内部控制有效性视角的外贸企业风险的控制对策
(一)优化内部环境。外贸企业内部环境直接影响到内部控制机制运行的有效性以及企业战略目标、经营环节目标和财务管理目标的实现程度。外贸企业风险管理的核心环节包括风险识别、风险评估和风险应对。理想的风险管理模式,需要外贸企业按照风险发生的轻重缓急进行有效排序。例如,对于战略层面的风险,外贸企业治理层和管理层应该高度关注,一旦决策失误,其前景堪忧。对于经营环节风险和财务风险,企业管理层应该高度重视内部环境的优化,采取合理的措施和方法,及时找出关键风险因素,按照风险程度高低进行正确处理。笔者认为,内部环境属于外贸企业内部控制的核心要素,是内部控制机制有效运行的关键影响因素。因此,外贸企业应该采取必要的措施,不断优化内部环境,其内容包括治理结构与权责分配、治理层对内部环境的重视、管理层的理念和经营风格、对诚信和道德价值观的沟通与落实、对专业胜任能力的强调、人力资源政策与实务等,并确保外贸企业内部控制机制得到有效运行,进而合理控制其风险。
(二)加强风险评估。在日趋激烈的国内外市场竞争环境下,我国外贸企业风险不断凸现,时刻威胁着外贸企业的安全。对于战略层面风险,应该引起外贸企业治理层和管理层的共同关注。外贸企业可以采用PEST分析法、SWOT分析法和Porter五力分析法,对外贸企业的战略及其潜在的风险进行诊断与分析;对于经营环节风险,外贸企业各个职能部门可以采用定量指标和定性指标相结合的方法,通过构建不同经营环节的风险预警模型,对其风险进行评估和应对;对于财务风险,外贸企业可以采用财务指标为主、非财务指标为辅的评估模式,在指标选取和指标赋权基础上,合理构建企业财务风险预警模型,对外贸企业财务风险进行动态、精准评估。笔者认为,风险评估是外贸企业内部控制和风险管理的核心环节,是外贸企业风险有效应对的关键。在条件允许情形下,外贸企业可以成立专门的风险管控机构,对外贸企业所面临的各种风险进行动态评估,及时提交高质量的风险预警报告,以最大可能减少外贸企业的损失。
(三)健全控制活动。控制活动是指外贸企业对其风险进行正确识别和评估后,制定科学的风险应对政策、程序、机制和措施,对其风险进行有效应对,其最终目的在于将外贸企业风险降低至可以接受的水平。例如,对于外贸企业的系统风险,企业治理层和管理层应该事前评估和科学应对。对于系统风险或市场风险,必须承受的,坚决承受,不能承受的,可以选择放弃,或者退出战略;而对于外贸企业的非系统风险或企业特有风险,外贸企业管理层可以考虑事先设定一个合理的风险承受水平,选择风险分担或者风险转移策略。笔者认为,控制活动属于外贸企业风险应对的重要机制,其关键要素包括授权、职责分离、业绩评价、信息处理、实物控制等。为了有效降低外贸企业风险,企业可以考虑建立以下控制机制:(1)对于重大投资活动,应该由企业治理层和管理层共同做出科学、民主的决策;对于企业的日常经营活动,可以由企业管理层进行自主决策;(2)对于企业各项业务活动,外贸企业应坚持责分离的原则,尽量避免出现失误,甚至欺诈行为;(3)为了避免出现人才流失、业务流失等风险,外贸企业可以建立科学的员工激励机制。外贸企业可以适时构建合理可行的业绩评价体系,对外贸企业业务人员进行定期考核,做到赏罚分明,并努力留住人才;(4)对于外贸企业,尤其是外贸上市公司财务报表等信息披露,其管理层应该承担应有的法律责任;(5)外贸企业应该建立、健全实物资产的有限接触制度,以确保外贸企业重要资产的安全、完整。
(四)强化信息与沟通。良好的信息与沟通机制是外贸企业内部控制机制有效运行的重要条件。在外贸企业的风险管理中,企业治理层、管理层和其他员工应该精诚团结,共同肩负着各自的职责。为了有效识别、评估和应对外贸企业风险,企业应该强化信息与沟通过程,做到企业各个层次的人员都能清晰地认识到自己肩负的责任,包括对战略层面目标、经营环节目标、财务管理目标及其潜在的风险进行有效识别,了解与认识外贸企业内部控制各个构成要素及其相应的功能,并能够积极参与到企业内部控制与风险管理活动中。在企业风险管理中,尤其需要外贸企业治理层、管理层和其他员工清晰地认识与理解企业风险控制活动的目的、机制、模式和方法,而如何强化外贸企业的信息与沟通能力,是实现企业风险控制目标的关键。
(五)完善内部监督。企业风险管理是一个持续发展的动态过程,企业战略层面目标、经营环节目标、财务管理目标及其风险都会随着环境的变化而调整,这要求外贸企业的治理层和管理层及时监控企业风险管理的运行状况。内部监督是内部控制的必要环节,外贸企业应设置独立的机构,配备专门人员,科学、有效地评估内部控制机制的运行状况,及时发现和报告内部控制机制运行的重大缺陷,督促相关职能部门及时修补。外贸企业的内部监督包括主管部门的监督、外部审计的监督和内部审计的监督。其中内部审计监督在整个内部控制系统中发挥着基石作用。内部审计可以合理保证外贸企业遵循国家的政策与法规、财务报告的真实性、企业投资和经营管理活动的效率效果性,以及企业战略目标、经营环节目标和财务管理目标的实现程度等。正因为如此,外贸企业应当不断拓展和强化内部审计职能,增强其独立性,提升专业胜任能力,督促外贸企业优化内部控制的运行机制,以合理保证外贸企业的健康、高效发展。X
参考文献:
[1]胡通海.试论外贸企业经营风险类型及内部控制的建立[J].国际商务财会,2013,(10).
[2]刘永泽,张亮.我国政府部门内部控制框架体系的构建研究[J].会计研究,2012,(1).
[3]钱剑婉.外贸企业风险控制与全面预算管理研究[J].国际商务财会,2010,(2).
[4]宋夏云.刍议内部控制的运作机制[J].审计与理财,2003,(9).
[5]吴晓庆.我国企业外贸业务的财务风险管理研究[D].郑州大学硕士学位论文,2010.
[6]徐芳.外贸企业内部控制与风险管理――基于宁波地区的研究[D].宁波大学硕士学位论文,2009.
[7]徐珂.基于企业财务视角的外贸经营风险防范研究[D].东华大学硕士学位论文,2007.
[8]袁玉霞,张璐,王霞.外贸企业风险管理与控制[J].国际商务财会,2010,(10).
篇12
首先,风险管理包括了内部控制。风险管理不仅仅只有内部控制这个内容,还存在着战略目标。而风险管理中的要素不仅仅是内部控制中的所有要素,还包括对目标的设定、对风险的对策以及对事件的识别等,如果从内容以及时间先后顺序方面来看,风险管理是内部控制工作的外在延伸。其次,风险管理中内部控制是关键环节。只有企业对风险加以认识并进行管理才能有效的达到内部控制的目的。针对企业中存在的运营风险以及业务流程中的风险进行内部控制系统是十分具有必要性的,不仅如此,这种风险管理方法效率较高且十分有效。建立的企业风险管理体系必须要保证其状态能够满足内部控制系统的基本需求。最后,风险管理和内部控制都是在企业管理中必须引起重视的方式,两者之间相辅相成,共同致力于企业科学管理模式的构建,并保证企业能够稳定快速发展。
二、房地产企业中内部控制与风险管理中存在的问题
(一)企业内部对风险管理和内部控制的认识存在着偏差
如果企业管理者对内部控制和风险管理认识不够,将会对企业发展带来重要影响。企业内部风险管控是一种管理制度,其本身并不会对经济效益带来直接影响,只有企业各部门加强内部控制和风险管理才能保证企业的经济价值能充分实现。部分企业管理人员认为所谓企业内部控制,其实就是对多种规章制度加以汇总,而对于在企业风险管理中内部控制的应用价值却并没有意识到。
(二)企业风险管理和内部控制没有全面的内容
目前,我国很多房地产企业对于风险管理和内部控制在内容上还不够全面。部分企业对财务工作的管理和控制较为重视,但是却没有在风险管理体系以及内部控制制度中引入经过梳理和完善的企业经营管理活动中的全部重要业务。在房地产开发企业中,因为其不仅开放周期很长,而且需要一次性投入大量的成本,另外很容易受到政策的影响。如果房地产开发企业中存在着风险管理和内部控制在内容上不足的情况,一旦存在突发问题,企业发展将会面临着重大的打击。
(三)企业风险管理和内部控制没有健全的监督机制
在对企业风险管理和风险控制进行督查中,内部审计是较为重要且有效的一种方式,然而很多房地产开放商企业其内部审计工作还不够实际,没有充分适应市场,采用的方式还是过去的财务审计。部分房地产企业还停留在向运营管理审计的发展过程中。这种传统阶段下的内部审计无论是设计阶段还是实施阶段,都不具有系统性。尤其是部分企业其内审人员还没有专业的素质,针对内审人员还缺乏培训和考核机制。因为企业风险管理和内部控制存在着监督机制不健全的情况,没有有针对性的对企业内部发展实情进行全面管理和监督。
三、房地产企业内部控制和风险管理采取的措施
(一)要认识到管控工作的重点,对房地产企业中开发价值链以及企业内部控制环境建设的风险控制重点进行明确
要想保证建立的企业内部控制制度健全,就要知道风险管理和内部控制的重点所在。首先是组织管控体系的建设。按照内控规范,企业内部环境包括机构设置权责分配、治理结构、人力资源、企业文化以及内部审计。企业要想实施内部控制,就要注意到内部环境,这五个内控环境因素中,组织机构设置。权责分配以及项目管理模式最容易存在问题,从而影响到企业全局发展。目前房地产企业发展速度不断扩大、开发规模区域不断激增,保证建立的组织管控体系权责明确、定位清晰、激励有效、风险受控才是内控风险管理体系建立的重点。其次,企业需要通过人才来运转,如果人才存在风险会影响到企业,所以在建设内控风险体系中要以人力资源体系为根本,企业只有充分吸引优秀员工并激励员工发挥价值,才能有效的控制风险。最后,按照房地产企业价值链特征,对开发价值链前段项目规划设计与定位策划阶段的风险控制和识别着重关注、
(二)对管控方法进行优化,做好房地产企业风险评估识别工作
房地产企业属于一个对资源进行整合利用的企业,企业的很多业务和管理活动都会存在一定的逻辑,从而建立起一套流程,对流程的各个环节重点研究、调查和分析,可以对风险进行有效识别和标注,从而采取风险管理体系以及内控制度的措施来对风险进行防范。我国目前房地产市场不景气,房地产投资降低,销售面积及销售额开始大幅度下滑,房地产市场正在大力调整,从而合理的控制房价。因此,房地产企业要按照市场发展规律,对每项投资和工作的风险要采取全面评估。在对房地产投资前,要通过风险管控部门和审计委员会的有效审核,有效评估房地产工作中的财务风险、政策风险、市场风险和经营风险,深入研究重点环节。另外,在参与过程中,要对风险预警机制进行建立,监督和跟踪运作资本,如果存在异常情况,要及时撤回投资金额,如果无法撤资,要采取措施将风险最低化。
(三)对管控机制进行构建
篇13
2.1内部控制整体框架
在1929年美国AAA(会计师协会)和FRB(联邦储备委员会)的《会计报表的验证》中,首次提到内部控制这一名词,1992年美国的COSO委员会提出的《内部控制—整体框架》中指出,内部控制是一个过程,一个由经理以上阶层和员工共同实施的过程,其主要的目的就是使企业达到运营效果,与此同时,要严格遵循相关的法律法规,并保证企业财务报告的可靠性。这就是COSO委员会认为的内部控制。在COSO委员会在1992年9月的《内部控制—整体框架》中,明确提出了支撑内部控制的框架五要素,分别是:控制环境、控制活动、信息与沟通、风险评估以及监督,这五元素共同构建了内部控制整体框架。各元素之间的关系是相互制约的。
2.2企业风险管理整体框架
企业风险管理是一个过程,它是渗透于企业各项活动中的行动,企业风险管理所涉及的人员是整个企业的员工,不分阶层,一个企业要想茁壮成长就必须要将风险管理过程应用在每个部门和每一位员工身上。企业风险管理既可以从企业的总体对其进行分析,也可以从单独的部门对企业有一定认识,企业风险管理框架的目标就是实现企业的目标。构成企业风险管理的八要素分别为:内部环境、目标制定、风险反应、风险评估、事项识别、信息和沟通、控制活动和监督。其中,需要注意的是风险反应,它主要分为四类:减少风险、共担风险、规避风险与接收风险四类,企业应对每一个重要的风险都要考虑相应的风险反应方案。
3从企业内部控制走向全面风险管理———3C全面风险管理框
在企业中实施企业全面风险管理是新时期下的环境所导致的,在我国企业的管理中,风险管理是一个相对薄弱的环节,近年来,由于我国企业的风险管理工作薄弱而引发的事件不再少数,所以,建立我国企业全面风险管理框架成为了我国企业发展的首要问题。我国在2004年由COSO委员会颁布了内部控制整体框架基础,这一框架的迎来了全面风险管理时代。2008年5月了《企业内部控制基本规范》,在这一规范中,能够明显看出,我国由原来的理论框架已经逐渐走向了风险管理,进一步完善了中国企业内部控制规范体系,在2010年4月,我国又相继了《企业内部控制配套指引》,并在2012年进一步完善了该条例,要求实行企业内部控制规范体系的企业,要对企业本身进行自我评估,并相应地作出自我评价报告,交由政府监管部门进行监督检查,这充分说明了我国企业正在从内部控制走向全面风险管理。我国企业要想提高市场竞争力,实现可持续发展,就要建立完善的企业内部控制体系,首先,管理者要树立风险管理理念,提高管理层的风险意识,对企业所涉及的风险要素进行分析,并制定相应的措施去应对,同时,还要加强道德与行为准则体系建设,适当地激励或是约束企业员工,建立一套具有操作性的行为规范和准则。除此之外,要明确企业的战略目标,需要注意的是,在设定战略目标的时候,要考虑企业自身能够承受的风险数量。在以上的基础上,借鉴国外企业风险管理的经验,将目标—风险—管理这三个体系结合在一起,构建3C全面风险管理框架。在3C全面风险管理框架下,具体要实现以下五个目标,分别是:保护企业不因灾害事件遭受损失;达到企业整体经营战略目标;保证信息沟通以及财务报告的可靠性;有效率的运营;遵守法律。3C全面风险管理初步分成三层,还可以根据企业的自身情况进行细分。
制定3C全面风险框架的目的就是将风险整合起来进行管理,有利于推动我国企业的进一步发展。以中国电信湖南公司为例,中国电信湖南公司构建全面风险管理,主要是为顺应国有资产出资人的要求和资本市场监管机构的要求,提出了企业全面风险管理的目标和要求,同时,也是为了促进企业内部经营管理的需要,随着中国电信这个大集团的不断发展,该公司面临的挑战越来越多,那么相对应的风险程度也就越来越高,所以,为了提高企业的经营管理效率,该公司决定实现全面风险管理。在整个管理的过程中,中国电信湖南公司完全按照国家的政策执行,并且不断进行体制机制的创新和改革,切实地推进五项集中管理,通过建立现代企业制度、实施主辅主附分离、建立集中统一的会计管理体系、加快推进战略转型和建立有效支撑公司战略的内部运营体系,加强内部控制,来满足了国有资本监督管理的要求。此外,中国电信湖南公司还要成立独立的风险管理部门,以此来确定整个企业的风险管理工作,同时,还成立了全面风险管理工作团队,将整体的风险管理策略传递到各个部门中并予以实施,总之,要将系统论的思想重新进行考量,并且切实地应用到电信企业全面风险管理中,以此提高公司的抗风险能力,保证公司全面风险管理水平能够上升,进一步促进了企业的可持续发展。全面风险管理是一个复杂的系统,从某种程度上说,企业风险管理包含了企业内部制度,同时,二者之间又形成了新的目标—战略目标,这是企业的最高目标。实际上,企业风险管理具有四个构成要素,分别是:目标设定、风险评估、风险应付和事项识别,它们成为了我国企业风险管理中最重要的组成部分。我国未来企业应该建立完善的内控制度,提高全面风险管理意识。企业为了适应当前千变万化的市场环境,应该将全面风险管理切实地应用到管理活动中,与此同时,企业要根据ISO的《风险管理原则与实施指南》加强风险管理,将风险管理带进新的发展阶段。