引論:我們為您整理了13篇內部控制與企業風險管理范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
內部控制是指企業為了保證業務活動的有效進行,保護資產的安全和完整,防止、發現、糾正錯誤和舞弊,保證會計資料及相關資料的真實、合法、完整而制定和實施的政策與程序。美國在2002年7月頒布了《薩班斯――奧克斯利》(SOX)法案。SOX404條款要求公司在報送的財務報告中,對公司的內部控制架構和它的有效性進行評估,所有的上市公司的內部控制制度都要達到SOX404條款規定的標準要求。可見,內部控制制度對防范企業風險的重要性。
良好的內部控制可以合理保證企業合規經營、財務會計信息的真實可靠和企業經營效率的提高,而合規經營、真實的財務報告和有效率的經營也正是企業風險管理所應該達到的基本狀態。從這個角度出發,內部控制是風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理。相反,如果沒有良好的內部控制,則往往會導致各種錯誤和舞弊的產生,甚至造成企業的破產倒閉。從國內的巨人集團衰敗、銀廣廈案到國外的巴林銀行倒閉、安然事件等無不是由于其內部控制缺損或失效所致。因此,內部控制是防范企業風險事件發生的一種長效機制。
二、保證內部控制有效性必須注意以下問題
內部控制按其控制的目的不同,可分為管理控制和會計控制。前者以提高企業經營效益和工作效率,保證經營方針、決策的貫徹執行以及經營目標的實現為目的;后者則是以保護企業財產物資的安全、確保會計信息的真實與完整以及財務活動的合法性為目的。兩者相互聯系、相互影響,有些控制措施可以用于會計控制,也可用于管理控制。內部控制在企業管理實務中的表現通常是制度或工作流程,其有效性取決于兩個方面:一是制度的完善與合理;二是制度的執行情況。具體來說要保證內控制度有效必須重點做好以下幾個方面的問題。
1.隨著企業發展和內外部環境的變化,與時俱進,不斷完善內部控制制度,適應企業運作的實際情況,既要避免制度管理上的盲點又要避免一些不必要環節和控制點,影響企業的運營效率和制度執行的自覺性。企業內控制度的完善在于對關鍵風險控制點的有效掌控。事實上,包括像世通、安然在內,幾乎所有大公司都有一整套風險管理制度。這些制度涵蓋了從對外投資到差旅費報銷等所有環節,應有盡有。其實,企業的管理資源是有限的,控制需要耗費大量成本。如果企業將主要精力放在所有瑣碎細小的控制點上,顯然就有些舍本逐末了。
2.營造良好企業制度文化氛圍,形成遵守制度和按工作流程辦事的自覺性,創造良好的內部控制環境。對于一個企業而言,內部控制最大的困難不在于設計一套制度,而在于如何保證制度的執行。內部控制的真正意義和價值就在于執行。世通、安然、中石油新加坡公司破產案無不說明公司的風險來自于內控制度的失效和形同虛設。這些公司在內部控制制度都比較完善,有些還是請專門的中介機構設計和制定。因此,公司內部控制制度的根本就是授權和監督,公司所有人的權限都是在這個組織中被授予的,并要得到有效監督。任何人都不能凌駕于制度之上,否則制度只能是一紙空文,對企業風險的防范毫無作用。只有當企業中的每一個員工目標明確,觀念趨同,內部控制才更有實效。良好的企業文化氛圍能為內部控制程序的執行創造良好的人文環境。
3.以人為本抓好管理控制。管理控制的范圍很廣,包括企業內部除了會計控制之外的所有控制,如企業發展戰略、組織結構、人事管理、安全和質量管理、部門間的關系協調和企業負責人及高層管理決策及行為等方面的控制,但重點是與人的行為緊密相關的組織結構、人事管理控制等。
三、構建企業風險管理及預警體系,做好企業風險的預警及防范工作
內部控制雖然可以防范企業風險,并構成風險管理的必要環節,但內部控制不能代替風險管理,因此,企業必須結合企業實際構建風險管理及預警機構,加強風險管理。只有這樣,當企業風險產生并威脅到企業的生存和發展時,才能及時化解風險。每個企業因其規模、所處行業等的不同其相應風險因素和防控手段都會不同,因此風險管理應因企而治,但總體來說應按照風險管理的基本程序作好風險識別、風險評估和風險控制,按照內部環境、目標制定、風險識別、風險評估、風險應對、控制活動、信息和溝通、監控等要素構建風險管理的基本框架。
1.要結合企業實際制定風險管理總體目標。
2.明確風險控制責任,健全風險管理組織機構。
3.建立健全風險分析評估、預警、處置工作流程。要能夠很好地防范企業經營風險,必須按照風險級別建立一套有效的企業風險管理制度和流程。
參考文獻:
[1]湯敏茅于軾:現代經濟學前沿專題[M].北京:商務印書館,2002
篇2
1、風險類別。風險往往被多數人作為經營中的一項負面因素,是應當回避或消除的危險事項,這是有失偏頗的,是混淆了風險和危險的概念。風險中不僅有危險,也孕含著機會。風險是隨著企業經營傾向、經營方式、管理內容等的變化而在可能的損失或收益區間浮動的函數。見下圖:
在這里我們是按效用對風險進行了分類。風險是長期存在的,不總是能夠消除的,風險必須與機會進行權衡。所謂純風險,是指只會產生惡性結果而不會產生收益的風險,如經營管理人員違規侵占公司財產、惡意歪曲財務信息等,是“壞的風險”;戰術性風險是指企業為達到經營目標,對經營和財務杠桿程度、技術選擇等進行的權衡,是“不確定的風險”;戰略性風險則是由于政策、環境及產生趨勢發生重大變化或革新,在經營中面臨的重大機會選擇。
顯然,上述三種風險最終產生收益或損失的效用是不同的,在評估時應予區分。
國際內審協會從經營實務角度,列出了企業經營中的9個重要的風險點,分別是:管理層能力、管理層道德觀、系統性變化、組織規模、資產流動性、變革、復雜程度、快速增長、制度健全性。這些風險點較好地概括了企業在不同層面的關鍵性挑戰。
在不同企業戰略目標之下,上述各項風險因素的重要程度可通過下表的星號簡單反映:
注:*表示重要,**表示非常重要
管理層道德觀、制度健全性屬純風險因素,與企業發展目標無關。其他幾項戰術性或戰略性等變動風險因素則與經營取向密切相關。總體來講,變動風險程度是與企業發展的速度、規模及變革激烈程度呈正相關的。同時,收益的預期也是與風險程度正相關的。評估風險,必然要求將企業各層面的風險因素歸類,納入整體的風險管理框架之內,然后對照企業的經營目標,逐項進行風險識別。
2、對風險的評估。在完成風險歸類后,應依次進行下列風險評估:
(1)企業是否建立了明確并上下一致的發展目標。如果企業或組織尚未建立明確的目標,或雖然有目標但是未能自上而下地貫徹,內部愿景不一致,這本身就是企業面臨的最大的風險。這意味著企業內部必然缺乏有效的風險管理系統。
(2)風險環境。對于純風險層面,主要是指外部監管環境、法律政策環境、公司監察審計工作力度等。在通常情況下,外部監管環境越嚴格,相關政策要求越清晰,內部純風險程度越低。但是在目前情況下也出現了許多反例。以財務管理規定為例,相關規定對各行業的成本、費用明細項目作了細致的規定,如某項成本的控制比例、某項費用的計提限制等等。這些規定雖然明確,也是監管的重點,在執行中絕大多數企業也看似遵從了這些要求,但是實際上卻形成了較大的財務風險,即真實性風險。當實際業務經營中的需求無法在真實性財務環境下滿足苛刻的政策要求時,必然會產生“合規”的虛假信息。目前監管層已經注意到這一現象,如最新出臺的《金融企業財務規則》就對監管的范圍和重點作了很大的調整,重新對監管者和市場化環境下的經營者重新定位,這對于企業降低財務風險是積極的。
戰術性風險面臨的外部風險非常廣泛,以財務類風險為例,在以快速擴張為目標的企業中,籌資活動及籌資風險是戰術性風險的重要內容,此時資本市場的資金成本、國家的貨幣政策、政府對行業發展的態度、以及資本市場的發展水平等等,都是影響戰術決策的重要外部條件。而戰略性風險,由于其本身就是依存重大外因在產生的機會,因而與重大政策性推動和支持、重大科技進步和新的巨大的市場需求的出現相關聯。在對風險與機會的評估時,必然要全面考慮上述因素。
3、風險評估。從管理的每一層組織開始,結合外部環境風險因素,自下而上地進行。以前述9類風險點為基礎,逐層細化,逐項分析每個風險環節。
對每個風險環節的分析,都應當以公司及本部門的關鍵目標為導向,開展主動的、定向性的思考,并且在必要時對風險程度進行量化描述。
(1)在進行風險評估時應當回答的問題。需要分析的核心問題是:存在哪些可能會妨礙本部門實現其關鍵業務目標的障礙因素(直接障礙)?要克服這些障礙,需要完成一些必要的工作和程序,而什么因素會阻礙這些工作和程序的完成和實現呢(間接障礙)?這些風險中,哪一個最可能發生(最大風險概率因子)?哪些風險將對本部門實現其預定目標的能力產生最重大的影響(最大風險程度因子)?有什么有效的控制機制可以減少這些風險及其影響(內部控制措施)?
(2)風險的量化描述。風險評估應當采用定性與定量相結合的方法。定量評估應當統一制定各風險的度量單位和風險度量模型,確保評估的假設前提、參數、數據來源和評估程序的合理性和準確性。通過量化描述,對每個風險在既往的發生概率及其影響進行精確描述,了解風險概率和程度,作為下一步內部控制措施的依據。
例如,會計部門在對某個項目的檢查中出現的會計風險(風險a、b、c、d)進行如下描述:
其中重要性項目:1為稍有影響,2為比較重要,3為非常嚴重;頻率項目:1為偶然存在(0.5%以下),極少發生(0.5-1%);較少發生(1%-5%以下);經常發生(5%-30%);總是發生(30%-100%)
分析結果是,對abcd四個項目,會計部門存在較高的風險,特別是a、b兩個非常重要的項目差錯率較高,而重要性程度較高的d項目差錯率極高,顯示該部門某一類業務的管理和控制中存在較大的風險隱患。
二、內部控制:風險管理的支點
即便我們對風險作出詳盡而確切的評估,如果沒有嚴密的內部控制及其有效執行,就無法對風險進行持續有效地管理。
風險評估是風險管理的起點,而內控制度的建立和執行是風險管理的支點。我認為,內部控制是管理者為有效減少和控制內外部各類風險及影響,確保企業決策和運作的科學合理,確保企業安全,達到企業預期目標而采取的計劃、監督和行動。
根據美國“反虛假財務報告委員會”下設的專門從事內部控制研究的“發起組織委員會”(即COSO)的一體化控制理論,內部控制包括五大部分內容:控制環境、風險評估、控制行動、信息與交流和監督評審。筆者認為,控制環境本身是風險評估的重要內容,除風險評估這一風險控制的起點之外,內部控制工作的核心是三個方面,即內部控制制度、控制行為、和對內部控制的監督管理。
1、內部控制制度。內部控制制度是風險評估和分析的產物,是企業進行有效內部控制的基礎和依據。
(1)內部控制制度的制定者。內部控制制度不應是由某一個專門的內控或風險管理部門制定的,也不應是自上而下制定的,相反,它應當是以企業目標為導向,由具體的業務操作部門、管理部門在風險識別和評估的基礎上,由下而上制定形成的。內控制度的制定者應當是風險的識別評估者、內控制度的執行者和風險責任的主要承擔者。
(2)內部控制制度的分類。根據風險的分類,內部控制制度也應該分為針對純風險的合法合規安全性內部控制制度、針對戰術或戰略性風險的經營決策內部控制制度。
安全性內部控制制度主要包括財務安全性內部控制制度、信息安全性內部控制制度等。這里主要探討財務安全性內部控制制度。其內容主要包括:審批和資格審查制度、授權制度、對帳及檢查制度、資產安全規定、崗位分離和制約制度等等。
經營決策內部控制制度的主要目的是確保企業各類決策的有效性和科學性。當前企業的規模越來越大,內部分工十分細致,部門職能劃分也很明確,這種情況下,如果沒有系統的決策內部控制制度,很容易陷入各自為政、各自從自己利益出發的“盲人摸象”似的決策風險中。事實上,這種情況目前十分普遍,尤其是在戰術層面的大量日常決策中。
比如,營銷部門策劃了一個促銷活動,并作了詳細預算。由于該活動未納入年初的預算,且金額較大,所以提交公司預算委員會審批。這時,對于預算監控部門來講,是否審批這筆預算的關鍵,往往是公司整體預算能否得以控制,如果答案是肯定的,那么這筆預算很可能被通過。而對于營銷部門來說,這次活動很可能只是一次積極的嘗試而已。而對于更為重要的因素,即這次促銷活動能夠為企業達成其經營目標產生多少貢獻,則未必被各方給予充分的重視。
如果常規性決策行為經常脫離企業的總體目標,則說明經營決策內部控制制度失效。因此,必須建立以總體目標為指導的決策控制制度。這一制度的核心,是對經營目標直接負有責任的部門對直接影響經營目標的事項負責。
在上例中,如果對經營效益直接負有責任的事業部參與決策的制定,或負責預算控制的部門承擔利潤監控中心的職責,控制的有效性將會大大加強。這就是為什么高效的大型企業都傾向于采取劃分事業部模式或利潤中心模式管理的原因。如下圖,對企業核心目標直接負責的部門A或B,應當參與對其收入或成本可能產生較大影響的決策過程。
內部控制制度的范圍不僅是維持組織的正常運行,也涵蓋了組織設計本身。一般來講,對于重大戰略性風險的決策,企業往往都會充分重視,但對于大量常規決策,卻往往忽略了制度建設的重要性,而這恰是企業高效運行的關鍵。
2、控制行為。內部控制決不僅僅是企業中某個部門的責任,它應當貫穿到企業每個部門和員工的日常行為中。控制行為應當基于完善的控制制度,并且由各部門、各員工共同執行。就是說,控制行為應當是以“共同控制”為其核心的。
有力的控制行為來源于風險意識的建立。應當把對風險的敏感和不斷認識發展成企業文化的一部分。在員工中提倡風險意識,把簡單告訴員工應該怎樣做和不應該怎樣做,轉變為對員工的風險教育,使員工對各個業務環節形成自然的風險評估習慣,這是避免機械性錯誤和管理低級失效的重要方式。
控制行為的幾項要點:①員工應當很清楚地說明企業的目標、部門的目標是什么,必須對其崗位所負擔的工作中的主要風險有清析的了解;②除了風險培訓之外,企業必須給員工設立一個及時而暢通的反映其遇到新的風險進而及時處理的渠道,并有一個互相溝通的平臺。③員工在職責范圍內減少風險的表現應當作為年度工作業績考核中的一個重要指標。④各部門都專設風險檢查人員,即新的風險的發現人員,徹底調查每一項不正常的事項,并進行深入溝通和研究。
“細節決定成敗”。控制行為關注的是每一個細節。科學的風險評估和合理的內控制度,都需要風險意識強、高度負責的員工的逐項實施,也需要管理者不斷的予以關注。但這也還是不夠的。真正完善的內控系統應當是確保企業隨時處理出現的不利情況、隨時依照正確的程序作出相對合理的決策,從而提高企業效率,增強企業對外部的反應能力和生存能力。對于內部控制而言,由于每一個控制主體具有特定的立場和視角,因此它很難作到自我完善、自我監控,還需要一個獨立的監控系統。
3、對內部控制的監督管理。要確保內控的長期有效性,除了制定完善的內控制度外,必須建立強大而獨立的內控監督機制。這項任務通常是由公司內部審計部門承擔的。對內控的監管,主要是通過對企業內部實施廣泛、嚴格、制度化的檢查、稽核、審計和調查,了解掌握企業內部控制的各主體是否出現缺位,內部控制流程是否得到有效的執行,內部控制流程是否能夠很好地適應外部環境的發展變化,其效率能否得到提高,內控環境的變化情況和企業的風險管理狀況等,提出完善內部控制的建議措施,并監督這些措施的落實和貫徹。
正如Minhael Hammer所說,內審機構應當將自己看成是公司的一項資源。在幫助管理當局達到預期控制目標的過程中發揮作用。內部審計師的使命將從簡單的“我們實施審計”向“我們創建一些程序,以期達到組織成功所需要的內部控制水平。”
很顯然,對內部控制的監督管理是一項重要而且繁重的工作。涉及面廣,而且非常重要,但內部審計部門一方面力量不足,另一方面往往缺乏獨立性,難以獨立承擔內控監管的完整責任。因此,目前國內已有許多企業建立了風險管理委員會,綜合協調各方力量加強內控制度的建設和監督,進而加強企業的風險管理工作。
篇3
(一)企業的風險防范內部控制觀念意識淡薄
目前,我國有很大一部分企業缺乏風險管理意識,主要表現在兩個方面:一是企業的風險管理和內控活動往往為暫時性或者間斷性的,并未建立完備的風險管理體系,領導意識到了就管理一下,事后則將其放在一邊,置之不理。二是企業缺乏對風險的定期復核和再評估,降低了企業適應環境變化、管理和規避風險的能力。同時企業以獲取最大利潤為根本目標,致使很多企業管理者只顧眼前利益,忽視某些決策對企業未來發展產生的不利影響,常常對項目風險不能進行系統全面地分析,致使企業蒙受巨大損失。
(二)企業風險管理組織結構不完善
我國大多數企業存在較為嚴重的結構問題,導致各個部門和崗位的人員對工作職責和操作程序不清晰,風險承擔的主體不明確,因而很難形成獨立的風險管理部門,并且沒有專門的人員進行企業風險管理。即便一些企業成立了相應的風險管理部門,但沒有專職的管理人員,風險承擔的主體不明確,各個部門或者崗位間互相推卸責任,使風險管理缺乏約束,從而無力承擔起獨立的、具有權威性的、有效管理企業風險的職責,使得我國大部分企業的風險管理制度始終停留在以企業眼前利益為目的的決策層面上。
(三)企業普遍存在“重”靜態、“輕”動態的風險管理誤區
企業靜態的風險管理主要是指企業管理層對于財務風險等方面的管理,目前大多數企業都比較重視這方面工作,基本都建立了月度經營財務分析、季度經營財務分析等這種企業靜態評價達標控制制度。
企業動態的風險管理主要是對企業的人力資本的風險管理。我國大多企業在快速發展中都會凸現人才供應脫節的情況,由此所引發同業間互挖墻角的現象非常嚴重。很多企業在人才引進過程中,并未考慮人才素質、業務品質與隊伍結構,更不用說考慮競爭主體間隊伍建設的穩定性了,這就會造成企業管理矛盾重重。因此動態地人員風險管理也理應成為我國企業風險管理的重要目標之一。
(四)企業風險內控管理系統不健全
我國很多企業領導尚未認識到企業風險內控機制的重要性,一味的將工作重心放在企業產品開發和營銷上,忽視了企業風險內控管理對企業發展的重要意義,導致了企業內部控制部分失效或完全失效,究其原因主要存在以下幾個方面:1.企業主要組織機構與人員設置不健全,并未按照財政部所的《內部會計控制規范》要求,實施貫徹不相容職務相互分離、相互制約的原則。2.企業會計核算與審計監督等控制職能沒有充分發揮其效用,給企業財務從業人員提供了可乘之機。3.企業在決策與授權管理層面控制不力,很多關乎企業運行與發展的重大決策并未完全執行嚴格的審批程序導致集團的戰略無法得到順利執行,對權屬企業管理失控、集團缺乏聚合力,無法發揮集團的整體優勢是最大的風險。4.由于管理者對風險意識不夠,使企業風險預警機制滯后,并不能發揮其識別、測評、控制風險的能力,甚至有的企業沒有相應的預警機制。
二、完善我國企業風險管理與內部控制機制的建議
(一)完善企業風險管理制度
完善企業風險管理制度應從以下3點入手:
1.建立完善的風險識別體系
風險管理首當其沖就需要建立風險識別,只有全面了解各種風險后,才可以預測與評價危險可能造成的危害,從而采取有效的手段來應對風險。常用的風險識別方法有:生產流程分析法與財務表格分析法。
2.建立完備的風險預測體系
風險預測實際上就是分析、衡量風險,由風險管理部門運用科學的方法,對其掌握的統計資料、風險信息及風險的性質進行系統分析與研究,進而確定各項風險發生的概率與強度,為下一步企業選擇適當的風險處理方法提供依據。
3.建立系統的風險處理機制
風險處理,即企業在完成風險識別、風險預測的基礎上,采取適當的方法規避、消除或轉移風險,以達到最大限度降低企業風險的目的。常見的方法有:避免風險(消極躲避風險);預防風險(采取措施消除或者減少風險發生的因素);轉移風險(在危險發生前,通過采取出售、轉讓、保險等方法,將風險轉移出去)。
(二)加強整個企業內部控制管理意識
在經營管理過程中,企業需要大力推介與廣泛宣傳內部控制管理規范,改變人們過去對內部控制管理的錯誤觀念。這就需要對企業領導層、管理層進行內控管理知識方面的培訓,在普通職工中普及內控規范的知識。從而使企業中的每個人都認識到,內部控制規范包括企業經營管理各個環節的控制活動與過程,同時它是一項有目標的系統性工程。只有提高企業內部人員對內部控制規范的深刻理解,才能營造一個良好的內部控制氛圍,從而促進其有效建設和實施。
(三)加強企業的人力資源建設
再好的制度與機制都需要人來發起、制定與執行,因此加強人力資源的建設是做好企業風險管理與內控工作必不可少的一部分。加強人力資源的建設的具體措施為:
1.企業建立完備的人才引進、培養與儲備機制來不斷優化企業人才結構與提升整個企業從業人員的綜合素質。
2.企業建立適當的激勵機制,來充分調動企業從業人員的工作積極性,提高他們的工作效率,同時也有利于增強企業的凝聚力,加強企業隊伍的穩定性。
企業要深入研究目前內控制度與風險管理環節的不足,進一步加強制度的建設與實施,強化企業的人才戰略,通過對制度的規范與人性化的管理來充分發揮企業風險管理與內部控制的效用,為企業的發展保駕護航。
主要參考文獻:
[1]呂笑.如何建立企業內部控制制度[J].國際商務財會,2010(9).
篇4
(一)《內部控制——整體框架》關于風險管理的論述
1992年,COSO了其研究報告《內部控制——整體框架》,并于1994年進行了增補修訂。在該報告中,COSO(1992)指出,企業必須了解它所面臨的風險,并加以處理。企業必須制定目標,而目標又必須與銷售、生產、營銷、財務等活動相結合,如此企業才能很好地運作。企業還必須建立識別、分析和管理相關風險的機制。
COSO(1992)提出了內部控制的五個要素,其中之一便是風險評估。COSO(1992)指出,每一個主體都面臨著各種來源于內部和外部的風險,這些風險必須加以評估。風險評估的前提之一是建立目標,不同層次的目標應當相互聯系并保持內部一致。風險評估是指識別、分析與實現目標相關的風險,它是決定這些風險應如何管理的基礎。由于經濟、行業、管制和經營條件會不斷發生變化,應當建立相應的機制以識別并處理與這些變化相關的特定風險。COSO(1992)指出,須從企業整體和作業兩個層次來識別風險。企業整體層次的風險可能由外部或內部因素而產生。外部因素如:科技發展、顧客的需求或預期改變、競爭、新頒布的法律法規、天然災害、經濟環境改變;內部因素如:信息系統處理的中斷、員工的品質、經理人的責任改變、企業活動的性質以及員工可接近企業資產的程度、董事會或監事會不夠堅定或無效。
(二)風險管理的新發展:《企業風險管理——整體框架》
2004年,COSO了其研究報告《企業風險管理——整體框架》。風險管理整體框架(ERM)是在內部控制整體框架基礎上發展而來的。COSO(2004)指出,風險管理框架不想也沒有替代內部控制框架,但它將內部控制框架整合在內,采用這一框架,企業既可以滿足內部控制的需要,也可以建立一個完整的風險管理過程。
1.風險管理的目標
COSO(2004)認為,主體的目標包括四個:
(1)戰略目標,是高水平的目標,它應與組織的使命一致并支持該使命;
(2)經營目標,組織應當有效率和效果地使用資源;
(3)報告目標,組織應當提供可靠的報告;
(4)遵循目標(合規性目標),即組織應當遵循相關的法律規章。
企業風險管理實際就是為實現上述目標提供合理的保證。
2.風險管理的內容
企業風險管理包含以下方面的內容(作用):
(1)協調風險偏好和戰略。管理層在評估不同的戰略、確定相關目標、建立相關風險的管理機制時,應考慮組織的風險偏好。
(2)改進風險反應決策。企業風險管理要求識別并在不同的風險應對策略(包括規避、降低、分擔與接受風險)中做出選擇。
(3)減少經營意外與損失。提高組織識別潛在事項并做出反應,減少意外事項及相關的成本或損失的能力。
(4)識別并管理多個企業之間以及企業內部的風險。每一個企業都面臨無數的、會影響組織不同方面的風險,企業風險管理應當有助于對相關關聯的影響作出有效的反應,并對多企業的風險作出整體性反應。
(5)抓住機會。通過考慮所有的潛在事項,管理層應當能夠識別并實現機會。
(6)改善資本的配置。在獲得關于風險的信息后,管理層可以有效地評估總體資本需求并改進資本的配置。
企業風險管理的上述作用,有助于管理層實現組織的經營和盈利目標,并防止資源損失。企業風險管理有助于保證提供有效的財務報告和對法律規章的遵循,并有助于避免組織聲譽的損害及相關不良后果。總之,企業風險管理有助于企業向其所期望的方向發展,避免在發展的過程中遭遇陷阱和意外。
3.風險管理的要素
企業風險管理包含八個相互關聯的要素。這些要素來源于管理層管理企業的方法,并與管理過程合成一個整體。這些要素包括:
(1)內部環境。內部環境包含了組織的風格,它確定了組織人員如何看待和處理風險的基礎,是其它要素的基礎。內部環境具體包括風險管理哲學、風險偏好、董事會、誠實度和道德價值觀、組織結構、勝任能力、人力資源政策與實務、權責分配。
(2)目標設定。在管理層辨別影響其目標實現的潛在事項之前,必須有目標。企業風險管理要求管理層設定目標,選擇的目標需要能夠支持組織的使命并與組織使命相一致,并與其風險偏好相一致。
(3)事項識別。即識別那些影響組織目標實現的內外部事項,并區分為風險和機會。機會將被考慮進管理層的戰略或目標設定過程中。
(4)風險評估。必須對風險加以分析,考慮其發生的可能性以及影響,并作為確定這些風險應如何加以管理的基礎。應當對固有風險和殘存風險加以評估。
(5)風險應對。管理層應在不同的風險應對(包括回避、接受、降低、分擔風險)中做出選擇,從而采取一系列與組織的風險容忍度(risk tolerances)和風險偏好相一致的行動。
(6)控制活動。應建立相關的政策和程序,以確保風險應對策略得到有效的執行。控制活動通常包括兩個要素:確定應從事何種活動的政策、執行政策的程序。
(7)信息與溝通。應當按照特定的格式和時間框架來識別、捕捉相關信息并加以傳遞溝通,從而使人們可以履行其職責。有效的溝通存在于較廣泛的意義上,包括向下、向上以及平行交互溝通。
(8)監控。整個企業風險管理都應當加以監控并根據需要做出調整。監督可以通過持續性的管理活動、單獨評價或者二者同時來實現。
對于這八個要素,COSO(2004)指出,企業風險管理不是一個嚴格的序列過程,即一個要素僅影響下一個要素,而且是一個多方向的、相互影響的過程,任何要素都可以并且確實影響其它的要素。
4.風險管理目標與風險管理要素的關系
COSO(2004)認為,目標是主體要實現什么,企業風險管理的要素則意味著需要什么來實現它們,因此,風險管理的目標與要素之間存在密切的直接聯系。這樣,企業目標、風險管理要素與企業各個層級之間就形成一個三維立體圖。
二、美國風險管理準則對我國的啟示
從以上COSO風險管理準則內容和要求上,可以看出存在以下特點:
(一)將風險管理與內部控制聯系在一起。內部控制是風險管理的重要手段,董事會應當建立并維持有效的內部控制系統以實現風險管理。
(二)均強調風險管理是一個包含風險識別、計量和應對的系統化過程。風險識別、計量、應對和控制活動是一個緊密的整體,企業必須識別面臨的潛在風險,并評估其對企業的影響,從而采取相應的措施來應對風險。在風險識別和分析、評估的技術上,均強調應當結合采用定量技術和定性技術。另外,人們越來越認識到,風險是無法絕對消除的,因此,風險管理的目標是將其控制在主體的風險偏好以內,而不是消除風險。反映到風險應對策略上,相關的風險管理準則大都強調風險的應對措施包括回避、抑減(降低)、轉嫁(分攤)、接受,應當根據風險發生的可能性、對主體的影響以及主體自身的風險容量選擇適當的應對措施。 (三)強調風險管理應當融入到企業日常經營活動中,并貫穿于企業的各個層次、所有的經營活動。風險管理針對的是企業經營活動中對企業目標實現產生影響的風險事項,因此,風險管理必須與企業的經營活動緊密地結合在一起,在經營活動中處處體現風險管理的理念與做法,這不僅有助于及時識別企業所面臨的風險事項,也有助于降低風險管理成本、提高風險管理效率。
(四)強調控制環境的作用。公司的高層基調、管理層的管理哲學、董事會和相關委員會、員工的勝任能力對于有效的風險管理具有重要作用,如果沒有一個良好的、注重風險管理的內部環境,風險管理很難取得成功。
(五)強調全員參與。全員管理是現代風險管理的重要特征,風險管理不僅僅是風險管理部門的事,而且需要靠企業的全體員工來落實,所有員工都會影響到企業風險管理的效果,企業應當使所有員工了解自己在風險管理中的作用。
(六)強調信息與溝通。信息和溝通對于良好的風險管理和內部控制相當重要,下層要了解公司的風險管理戰略和政策、措施,并有順暢的向上溝通風險管理和內部控制情況的渠道,上層要及時向員工及外部了解企業面臨的重大風險及其管理情況。
篇5
一、企業風險管理和內部控制中存在的問題
(一)風險管理意識淡薄,不能很好地預測風險
企業目前所面臨的風險主要包括市場風險、運營風險、法律法規風險等。運營風險在所有的風險中是最重要的一個。企業要建立一個能夠辨別風險和控制管理風險機制,且高風險的范圍要明確,從而加強管理。可這種機制正是我國企業所缺少的,管理風險的意識相當淡薄,沒有辨認風險、評估風險的相應機制。
(二)風險的有效防范措施力度不夠
風險和收益在有效資本市場的條件中是成正比關系的,風險低則收益低,風險高則回報必豐厚。可從內部控制的層面來講,企業在辨認和分析過風險之后,理應通過一些積極又有創新意義的管理風險的措施,使企業能夠接受這樣的風險。不少企業為了獲得更高的經濟效益,冒著風險進行違法運營,讓股東承擔負債風險和公司破產的風險,造成了風險資產的不斷增加,也加大了經營的風險和財務的風險,結果損害了公司和股東的利益。
(三)內部控制的制度沒有執行力,缺少機制的評價
我國有不少企業把內部控制的制度都貼在墻上或寫于紙上,沒有切實的執行力,也很少有企業進行評價其內部控制的制度,大多數都是走于形式。此外,長時間以來,企業管理者考核的根據主要是以利潤為主,其方式也非常單一,鮮有內部控制的綜合評價。
二、加強企業風險管理和內部控制的對策
(一)健全內部控制組織機構,注重內部審計工作
為了提高內部控制制度的執行力,就要不斷完善內部控制制度的組織結構,把內部審計機構的工作提升。內部審計機構的地位,企業要有明確的說明,賦予審計機構部門一定的權威性和獨立性,使企業的審計部門成為企業內部控制制度執行的主要監督機構,且賦予各監督部門進行考核評價其控制制度的執行效果,這樣,才能切實有效地執行企業內部的控制制度。
(二)強化內部控制執行部門的防范風險意識
在加強內部審計監管的同時,也要提高每個執行部門自身的防范風險的意識,執行部門必須根據規定的具體制度進行執行,避免出現由于執行力度不夠、把關不緊而導致的經辦部門和個人為一己之利而給企業帶來整體利益謀私的行為風險。尤其是在信息化的今天,企業的外部環境更是千變萬化,企業如果對內部網絡數據的風險控制不予以重視,那么就有可能導致企業內部人員出現道德風險或者是系統性的風險,從而造成泄露商業數據的風險。所以,執行內部控制的工作人員一定要把泄露商業信息的風險意識加強,以此杜絕為企業帶來巨大的損失。
(三)風險評估要做好,內部控制制度要健全
企業有效進行內部控制的基礎的根據就是企業風險的評估。企業要按照實際工作情況,根據內部控制制度的標準依法建立與企業實際情況相符且有較強操作性的科學合理的制度,要做好風險的評估以及內部控制制度的完善就要從制定制度、執行制度、評估制度和改善制度等方面入手。如果企業的風險評估能夠做好,再依照實際情況進行設立內部控制制度和有關程序,這樣在很大程度上能使人為帶來的風險和制度上風險等得到有效防范。
(四)企業各部門間的執行要相互配合,取得內部控制制度的高效執行
各個部門的工作程序對企業來說都非常重要,尤其是作為內部控制制度的每個執行部門和個人,要把整體利益作為出發點,內部控制決不能把部門利益和個人利益當作自己工作的出發點,每個執行部門之間的信息要及時溝通,信息要及時共享,這樣更有利于工作的相互配合,能夠快速發現存在的問題,一起分析解決,以避免管理不足,從而使企業整體效益得到提升,企業內部控制的程序也能很好的協作,更加高效地使企業內部的控制制度得以執行,把內部控制制度的意義發揮至極致。
(五)設立內部控制執行的考核與監督激勵的機制
在建立健全了內部的控制制度之后,最重要的問題還是各部門的執行和個人的執行,所以,企業在根據國家法律和企業有關規定的制度運營的同時,也要設立對應的考核機制以及激勵機制,直接影響到執行人員的工作業績,從而使風險防范意識能力得以提高。內部控制制度能夠安全可靠地運行,其可靠的考核機制和工作激勵是重要的保障。
(六)通過市場杠桿的途徑來使企業風險管理水平提高
篇6
近兩年來電子發票開始普及,這雖然給國家稅務人員和財務開票人員減輕了負擔,但電子發票可重復自行打印的特性,同時也給企業稅務審查帶來了麻煩,那就是重復打印報銷問題,對于業務量龐大的單位,此類問題尤為顯著。
2完善招標企業風險管理和內部控制的相關對策
2.1全方位完善風險管理內控制度,切實提高執行力度
招標開標完善企業OA流程,讓專家費單據有痕跡可以追溯,即使財務一再給業務人員強調專家費等單據嚴禁重復報銷,財務人員也依然要抱著懷疑的態度,對業務多的部門報銷的每張專家費單子進行登記,并對每張單子通過核對OA流程及其招標公告文件,杜絕重復報銷問題。針對模仿專家簽字問題,要求報銷時專家費發放表必須后附專家簽到表,針對發放金額不實問題,要求業務部門專家費發放表除專家本人簽字外,全部機打,并且一旦發現金額數字整體錯位的情形一律退回,不予報銷。因此,招標企業應結合自身狀況,制定并不斷優化適合公司發展的風險管理和內控制度,同時設置針對性的檢查考核指標,定期對內控的執行情況檢查考核,確保公司內控制度能夠執行到位。此外,為了讓內控的效果發揮至極致,還應設立評價與激勵機制,以此促進企業長遠利益與管理層利益達成一致,助推內控目的的實現。同時,招標企業還應構建適合自身的風險防范體系,對風險進行評估管理,盡可能將風險降低至可接受的低水平。企業在做好內控管理防范的同時,還應自覺地接受監督部門的監管,做好風險防范體系的構建工作,并加強內部控制制度的完善。
2.2嚴格審核業務部門提交的OA流程,聯查記賬軟件數
據及網銀數據,以杜絕標書費漏繳及重復退款問題首先,要求業務部門所有業務都要走OA流程,以實現管理部門特別是財務部門對業務流程的監控。其次,應對重復退款的風險,一方面,企業可以通過增加財務人員實現快速退款和及時記賬;另一方面,如果不加人,對于業務量特別大,有條件的招標企業可以考慮聯系財務記賬軟件,銀行,以及OA系統開發商三方合作,打通接口,實現網銀來款退款自動記賬功能,以及記賬信息自動傳送OA的功能,一旦實現,將極大程度減少不必要的重復勞動,提高風險管控的效率和準確性。
2.3建立電子發票備案登記簿制度
財務稽核人員對每個部門單獨建立一份電子發票備查表,設置發票的幾個關鍵識別要素:發票號,發票金額,開票單位,開票時間,報銷人等。業務部門報銷含電子發票的報銷單,必先一同報送登記好的電子登記表,業務部門自己同樣留存一份本部門的登記表,實現雙審核全員參與,有效避免電子發票的重復問題。
篇7
企業內部控制的完善和執行情況日益成為人們關注的議題。在國內,“中航油”、“銀廣廈”等多起舞弊案件都是與企業內部控制的缺失有關。德勤華永會計師事務所有限公司最新《中國上市公司內部控制調查分析報告》的調查結果顯示,大多數企業在內部控制實施方面仍然存在一定的盲目性。中國上市公司約58.82%的企業為應對金融危機而指定了專門的部門落實風險管理和內控工作,但是,僅有23.53%的企業將內控工作的重點從書面制度轉變為具體實施;僅約17.65%的企業進行了內部控制評價。可見,內部控制問題已成為上市公司的軟肋。2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合了《企業內部控制基本規范》,該規范融合了COSO 風險管理的先進經驗,又具有中國的特色,被世人贊譽其為“中國版的薩班斯法案”。那么,基本規范是否能解決上市公司的問題成為了時下理論界、實務界關注的焦點。
一、企業內部控制規范與COSO企業風險管理的不同
(一)內涵、目標不同
2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合的《企業內部控制基本規范》,為中國企業首次構建了一個企業內部控制的標準框架。它所指的內部控制,是指由企業董事會(或者由企業章程規定的經理、廠長辦公會等類似的決策、治理機構,以下簡稱董事會)、管理層和全體員工共同實施的、旨在合理保證實現以下基本目標的一系列控制活動:(1)企業戰略;(2)經營的效率和效果;(3)財務報告及管理信息的真實、可靠和完整;(4)資產的安全完整;(5)遵循國家法律法規和有關監管要求。
2004年9月,COSO委員會在內部控制框架概念的基礎上,提出了企業風險管理(Enterprise Risk Management,ERM)的概念,使內部控制的研究發展到一個新的階段。COSO在ERM框架報告中指出企業風險管理是一個過程,它是由一個主體的董事會、管理當局和其他人員實現的,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險已使其在該主體的風險容量之內,為主體目標的實現提供合理保證。ERM框架對內部控制明確了以下內容:(1)是一個過程;(2)被人影響;(3)應用于戰略制定;(4)貫穿整個企業的所有層級和單位;(5)旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險;(6)合理保證;(7)為了實現各類目標。ERM框架提出,要力求實現四類目標:戰略目標、經營目標、報告目標和合規目標。
(二)基本要素不同
1.企業內部控制規范考慮以下基本要素:
(1)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
(2)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(3)控制措施。控制措施是根據風險評估結果、結合風險應對策略所采取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批準控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
(4)信息與溝通。信息與溝通是及時、準確、完整地收集與企業經營管理相關的各種信息,并使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。信息與溝通主要包括信息的收集機制及在企業內部和與企業外部有關方面的溝通機制等。
(5)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告并作出相應處理的過程,是實施內部控制的重要保證。監督檢查主要包括對建立并執行內部控制的整體情況進行持續性監督檢查,對內部控制的某一方面或者某些方面進行專項監督檢查,以及提交相應的檢查報告,提出有針對性的改進措施等。
2.COSO企業風險管理包括八個相互關聯的構成要素。它們來源于管理當局經營企業的方式,并與管理過程整合在一起。這些構成要素是:
(1)內部環境。內部環境其他所有風險管理要素的基礎,為其他要素提供規則和結構,也為ERM的其他組成因素提供了框架。其別是管理當局的風險偏好,決定了公司對可能出現的預料之外的事件的態度,管理當局和董事會必須明確戰略及其執行過程中的風險和回報。
(2)目標設定。必須先有目標,管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取適當的程序去設定目標,確保所選定的目標支持和切合該主體的使命,并且與它的風險容量相符。
(3)事項識別。在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上,管理層必須識別影響主體目標實現的內部和外部事項,區分風險和機會。
(4)風險評估。一般用可能性(概率)和影響結果兩個維度度量風險,前者是一定的負面影響事件發生的可能性;后者是假設事件發生,對經營、財務報告以及戰略產生影響的可能結果,風險評估的過程中根據不同的情況,采用定性、定量以及相結合的方法,若可以獲取充足的數據,一般采用定量的評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數據,則一般采取定性的評估方法。
(5)風險應對。企業對每一個重要的風險及其對應的回報進行評價和平衡,結果取決于成本效益分析以及企業的風險偏好。而平衡的反應包括接受、規避或緩和這些風險,后者又包括風險分離、風險轉換或者減少(包括通過控制活動)等形式。風險反應是企業風險管理的整體重要組成部分。
(6)控制活動。控制活動是管理當局設計的政策和程序,為執行特定的風險緩和反應提供合理保證。控制活動包括在整個組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業績復核、資產安全、職責分離等方法。制訂和執行政策與程序以幫助確保風險應對得以有效實施。
(7)信息與溝通。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息,與財務信息一樣,風險信息必須以一定的形式和框架進行交流,使員工、管理層以及董事履行各自的責任。風險評估的信息系統可以產生定期或“例外基礎”的報告,報告使用趨勢指標、業績矩陣及運營或財務成果的形式,這些報告能夠引導出及時的決策。在公司層次,必須對各種數據和信息流進行加工,形成關于公司風險組合輪廓的統一觀點,以利于交流。
(8)監控。企業風險管理并不是一個嚴格的順次過程,一個構成要素并不是僅僅影響接下來的那個構成要素。它是一個多方向的、反復的過程,在這個過程中幾乎每一個構成要素都能夠、也的確會影響其他構成要素。
(三)管理人員對實現企業目標的職責
1.企業內部控制基本規范對管理人員的職責規定如下:
(1)企業董事會應當充分認識自身對企業內部控制所承擔的責任,加強對本企業內部控制建立和實施情況的指導和監督;
(2)董事長(或者法定代表人、代表企業行使職權的主要負責人,以下簡稱董事長)對本企業內部控制的建立健全和有效實施負責;
(3)經理(或者總裁、廠長,以下簡稱經理)根據法定職權、企業章程和董事會的授權,負責組織領導本企業內部控制的日常運行;
(4)總會計師(或者財務總監、分管財務會計工作的負責人,以下簡稱總會計師)在董事長和經理的領導下,主要負責與財務報告的真實可靠、資產的安全完整密切相關的內部控制的建立健全與有效執行。
2.COSO企業風險管理將各級人員的職責分成三個層次:
(1)董事會,監控企業風險管理,獲知并批準企業設定的風險偏好,與企業高層管理人員討論企業風險管理的狀態,獲知企業所面臨的重大風險、管理層擬采取的行動以及管理層確保風險管理有效性的方式,董事會還要從內部審計人員、外部審計人員和其他人員那里獲取相關信息;
(2)高層管理人員,首席執行官或總裁應對ERM 負總責,各部門經理應認同企業的風險管理理念,按企業設定的風險偏好和風險容忍度管理本部門事務。首席執行官或總裁集各部門經理對企業風險管理的能力和有效性進行初步評估,以決定是否有必要對其繼續進行更深入的評價;
(3)企業基層職員,有責任按照企業已確立的指令和協議實施風險管理。
二、企業內部控制基本規范的貢獻
從基本規范與COSO風險管理的比較,可以看出基本規范既吸收了COSO報告的精華,又具有一定的中國特色:
1.提高了內部控制規范的地位。新規范既有類似薩班斯法案的強制力,又有與科索報告一樣對內控實務的示范作用;既對中國企業建立內控制度提出了強制性要求,又為千差萬別的中國企業建立健全內控制度提供了基本框架;既吸收了內控的國際先進理念,又充分體現了中國內部控制的現實環境要求。有專家認為,這一規范的出臺,是中國企業按國際化標準嚴格自律的宣言書,更是中國企業參與國際競爭,逐步接受并自覺遵循市場經濟游戲規則,不斷完善企業制度、細化管理的內在要求。世人贊譽其為“中國版的薩班斯法案”。
2.統一了我國企業內部控制規范。在美國,COSO框架是美國企業以及在美國上市的外國公司的內部控制建設的標準,而在我國,長期以來內部控制規范正出多門,現實中,至少存在包括證監會、財政部、國資委、人民銀行、證券交易所等部門或主管單位的關于內部控制或風險管理的規范文件。盡管有關監管部門在實際中采用了COSO的標準,但都比較局限。2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合的《企業內部控制基本規范》是廣泛征求各監管部門意見基礎制定的,統一了我國企業內部控制規范的標準,使企業可在統一的框架內建立有效的內部控制監督體系,同時為外部監管公司內部治理的設計、實施、監督、評估等奠定了基礎。
3.科學界定內部控制的內涵,強調“全員控制”。基本規范強調內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程,是一種全面、全員、全過程控制的理念。
4.準確定位內部控制的目標。舊規范的目標定位,基本上是處于內部控制目標層次的最低級,只包括:保證會計資料真實、完整;保護單位資產的安全、完整;確保國家有關法律法規和單位規章制度的貫徹執行。基本規范前瞻性提出企業在保證經營管理合法合規、資產安全、財務報告及相關信息真實完整、提高經營效率和效果的基礎上,著力促進企業實現發展戰略。本次的修訂既強調了COSO全面風險管理的四大目標,又增加了對資產的安全完整的要求。這充分體現我國順應國際內部控制和風險管理日益融合的趨勢。
5.統籌構建內部控制的要素。舊規范的范圍過于狹窄,主要集中于會計領域。《會計法》、《內部會計控制規范》等法律法規主要是從會計控制的角度來規范內部控制;獨立審計準則中的定位也是著重于企業的會計責任方面。而本次修訂的基本規范有機融合COSO全面風險管理的做法,構建了以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證,相互聯系、相互促進的五要素內部控制框架。
6.明確界定各控制主體職責。內部控制的有效執行有賴于全員參與,而只有企業內每個人均清楚地知道自己所擁有的責任和權力,才能認真履行自己的職責,提高內部控制的執行力度。新規范所界定的內部控制主體有四層:一是董事會,二是監事會,三是經理層,四是全體員工。董事會是加強企業內部控制的第一責任人;監事會負有對董事、經理執行公司職務時違反法律、法規或者公司章程的行為進行監督的權利,在監督投資者決策行為的同時切實履行監督投資者對經營者的監管職能的落實情況;經理層直接對企業的經營管理活動負責,尤其是企業總經理(首席執行官)承擔重要責任;全體員工在實現內部控制中承擔相應職責并發揮積極作用。
7.創新了體系。除基本規范之外,財政部還起草了17項具體規范,并將繼續起草若干具體規范和應用指南;與此同時,還將研究、制定評價標準和配套實施辦法,形成全方位、立體性推進內控體系建設的局面。我國的企業內控體系,將是一個層次分明、內容完整、銜接有序、整體互動的有機統一體。
8.強化了內部風險管理。舊規范只是強調通過風險預警、風險識別、風險評估、風險分析、風險報告等措施,對財務風險和經營風險進行全面防范和控制,而基本規范更強化了在目標設定環節就要考慮風險因素,這一條和COSO的風險管理是吻合的。
9.提出了切實可行的內部控制實施機制。基本規范建立了以企業為主體、以政府監管為促進、以中介機構審計為重要組成部分的內部控制實施機制,要求企業實行內部控制自我評價制度,并將各責任單位和全體員工實施內部控制的情況納入績效考評體系;國務院有關監管部門有權對企業建立并實施內部控制的情況進行監督檢查;明確企業可以依法委托會計師事務所對本企業內部控制的有效性進行審計,出具審計報告。這充分體現了基本規范在實施過程中適當的引入了信息機制和聲譽機制、強化檢查監督機制,落實內控責任主體和嚴格問責和實施嚴厲的獎懲機制的特點。
三、企業內部控制基本規范實施的難點
企業內部控制規范在執行中還存在很多困難:
1.基本規范的要素中沒有體現事項識別的重要性
事項可能會帶來負面影響,也可能帶來正面影響,帶來正面影響往往意味著機會,而機會對于企業目標的實現是有重要作用的。基本規范只強調了風險的識別,而對于機會則沒有關注。
篇8
一、風險管理
風險管理是企業通過對潛在意外或損失的識別、衡量和分析,并在此基礎上進行有效的控制,用經濟合理的方法處理風險,以實現最大的安全保障的科學管理方法。根據以上風險管理的定義,我們可以得出以下幾點認識:(1)風險管理是一個系統過程,包括風險的識別、衡量和控制等環節;(2)風險管理的目標在于控制和減少損失,提高有關單位或個人的經濟利益或社會效果;(3)風險管理是一種管理方法;(4)風險管理是一種特殊的管理功能。
二、ERP環境下內部審計參與風險管理的動因
ERP環境下內部審計之所以涉足風險管理領域,主要有以下幾個原因:
1、對審計質量產生了重大影響
ERP環境下審計面臨的固有風險、控制風險和檢查風險均發生了顯著變化,審計風險中檢查風險發生的變化對審計工作影響最為深刻。表現為:①對SAP系統缺乏足夠理解。當信息系統成為審計對象的一部分時,為了評估風險,內審人員必須對信息系統有足夠的理解,但是,對大多數內審人員而言是一件困難的事情。另外審計人員在理解信息系統時需要一定的時間、文檔資料、外部技術咨詢、人力資源等,但在審計過程中,這些資源往往很難獲得。②技術不成熟。內審人員采用計算機技術輔助審計以降低審計風險,但其本身就引入了風險,尤其是沒有經過嚴格測試的技術。例如,審計人員自己編寫的程序,往往沒有經過認真的測試就投入使用。很多應用的審計軟件也存在缺陷。例如,在導入數據時丟失記錄,數據處理結果錯誤。③對技術的依賴性。由于信息技術的使用確實能夠有效地提高審計質量和效率,審計人員很容易對技術產生過分的依賴。例如,期望通過電子數據分析來發現所有審計線索,忽略其他審計方法,如調查詢問、實物盤點、函證、現場觀察等。過分依賴信息技術可能導致檢查效率減低,取證范圍變得狹窄,以至于審計證據的充分性得不到保證。
2、內部審計自身發展的要求
內部審計部門為了不斷地發展,為了在企業中擔當更重要的角色和發揮更重要的作用,總是不斷尋找新的對企業又十分重要的領域,企業經理人員對風險的空前重視,為內部審計發展提供了一個絕好的機會。內部審計對風險管理的介入,將會使內部審計在企業中成為一個重要的角色,并將其在企業中的作用推向一個新水平。面對SAP系統的全面應用,內部審計參與風險管理,正是審計對象信息化的迫切要求及深化審計工作的必然選擇。
三、ERP環境下內部審計如何參與風險管理
(一)強化內部審計部門自身管理
1、在評價ERP環境下企業風險的基礎上合理安排審計資源。內部審計部門積極開展以風險評估為基礎的審計,根據企業不同業務、以及風險大小分配審計資源,例如可以建立ERP環境下業務類型網絡,在該網絡中,可以集定業務方面的有專長的審計人員,以更好地理解各種風險,審計工作結束后,仍然存在資源配置問題。內部審計并不僅僅只做合規性審計,如果在審計報告遞交后沒有人執行,內部審計沒有促進任何變化的發生,那么內部審計就沒有起到其應有的作用。由于內部審計的一個重要作用是促進變化,既要告訴被審計單位問題出在哪,以及這些問題可能給企業帶來的影響,還要提出解決問題的建議,并為了確保問題得到正確、及時解決,還要在審計結束后進行合理的資源配置,派出合適人選對該審計項目進行跟蹤,并對高風險的領域提供持續的有價值的建議和監督。對審計項目的后續跟蹤,并不意味著內部審計有失獨立和客觀。相反,如果內部審計部門能夠監控被審計的全過程,并可能在跟蹤的過程中發現新的問題,以便使審計部門進一步研究問題的所在。
2、不斷更新內部審計的方法。實施ERP后,企業安全將面臨更大的挑戰,內部審計部門除了運用傳統審計方法外,還應借助信息技術開展信息系統審計。主要內容是:一是對整體計算機控制環境審計。主要包括:檢測網絡與系統的安全性、檢測是否有入侵行為、評估系統風險控制點,對系統設備、操作系統、無線網絡、防火墻等方面的審計。二是對應用系統控制審計。包括:數據源和驗證控制,輸入環節控制,處理環節控制,輸出環節控制,邊界控制等。三是應用中石化開發的SAP審計查證系統進行計算機輔助審計。
3、培訓專門的信息系統審計人員。內審人員的職業技能及職業判斷能力將直接影響審計風險的評估和控制,并決定審計質量。無論從內審人員個人的職業發展,還是專業勝任角度考慮,都必須定期的、有計劃的對審計人員開展培訓,審計人員也應自覺不斷的更新知識和技能,保持自己的專業競爭力。在信息系統環境下,除了一般審計人員要掌握一定的計算機知識之外,還應有一批專門的計算機信息系統審計人員。審計與計算機畢竟是兩個不同的專業,要求每一名審計人員了解計算機信息系統的每一個細節是不現實的,也不符合社會分工的發展趨勢,油田內部審計機構也應隨著對計算機信息系統審計工作的不斷深入,逐步建立起專門的信息系統審計部門,信息系統審計人員的加入,將使審計隊伍的構成更加豐富,也將大大提高我們的審計質量和整體審計能力。
(二)內部審計實施風險管理的原則與步驟
ERP環境下內部審計部門所進行的風險管理是在一般部門所進行的風險管理基礎上的再監督,其風險管理過程應包括三個方面:1、評估風險識別的充分性。所謂風險識別是指對企業所面臨的、以及潛在的風險加以判斷、歸類和鑒定風險性質的過程,換言之,就是要確定企業在實施ERP后正在或將要面臨哪些風險。內部審計部門和人員要對原有的已識別風險是否充分進行評價,即企業所面臨的主要風險是否均已被識別出來,并找出未被識別的主要風險。2、評價已有風險衡量的恰當性。風險衡量是指應用各種管理科學技術,采用定性與定量相結合的方式,最終定量估計風險大小,找出主要的風險源,并評價風險的可能影響,以便以此為依據,對風險采取相應對策。內部審計部門和人員要對已有的風險的衡量結果進行再檢驗,以確定其是否恰當,對不恰當的估計予以更正。3、評估風險防范措施的充分性,并提出改進措施。風險的防范措施是指為降低已識別出并已衡量的風險所采取的措施,也稱風險管理工具的選擇。內部審計部門和內部審計人員對有關部門針對風險所采取的防范措施進行檢查,檢查其是否充分、得當。對于風險缺乏充分的控制措施的情況,內部審計部門和內部審計人員應提出改進措施和建議,以強化企業的風險管理,降低風險損失。
四、ERP環境下參與風險管理要注意的幾個問題
1、充分認識到,當前條件下ERP系統建設中還存在著比較突出的風險控制問題。目前,油田企業對信息系統的掌握和認識還不那么全面,加上對信息系統下的風險控制的作用還認識不夠。許多企業引進ERP系統的目的就是提高業務運做效率和管理控制。由此帶來兩方面的問題:①傳統的管理控制在信息系統環境下沒有被合理更新。②信息系統下典型的技術控制還沒有具體的實施程序。如安全程序變更、災難防御等。
篇9
一、內部控制的內涵
內部控制的概念是在實踐中逐步產生、發展和完善起來的。企業內部控制作為一項復雜的企業運作保障機制,其有效性則直接關系到企業經濟效益的提高、企業資產的安全完整性和會計信息質量的改善等重大問題。因此,美國COSO 委員會在其《 內部控制一整體框架》 的報告中指出:“內部控制是由企業董事會、經理當局以及其他員工為達到財務報告的可靠性、經營活動的效率和效果、相關法律法規的遵循等三個目標而提供合理保證的過程” 。內部控制包括控制環境、風險評估、控制活動、信息與溝通、監控等五個相互聯系的要素。COSO 報告提出的這個由“三個目標”和“五個要素”組成的內部控制的整體框架,是迄今為止被國際社會所普遍認可的最具權威性的內部控制定義。企業內部控制是企業的一種系統管理工程,它是通過一整套詳細、具體的操作規范來約束企業各個環節、部門人員的經濟行為,是一種規范的操作系統。
企業內部控制是衡量現代企業管理的重要標志。企業內部控制制度則是企業中最高的規范制度,企業內部的任何人都無權凌駕于內部控制制度之上,執行中的一視同仁、公平合理是內部控制制度得以貫徹執行的生命線。企業的內部控制制度就是企業經營運轉的基本規矩,是檢查管理者、各部門員工工作質量的尺度,也是衡量企業經濟效益和管理水平的標準。由此可見,加強和完善企業內部控制制度是企業管理的客觀需要。
二、風險管理的內涵
風險是指可能對目標的實現產生影響的事件發生的不確定性。風險管理就是采取一定的措施對風險進行檢測評價,使風險降到可以接受的程度,并將其控制在某一可以接受的水平上。
企業風險管理是企業在實現未來戰略目標的過程中,試圖將各類不確定因素產生的結果控制在預期可接受范圍內的方法和過程,以確保和促進組織的整體利益的實現。到目前為止,COSO-ERM框架理論是最完備的并具有廣泛適用性的風險管理理論。
根據該框架,全面風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從企業戰略制定一直貫穿到企業的各項活動中,用于識別那些可能影響企業的潛在事件并管理風險,使之在企業的風險偏好之內,從而合理確保企業取得既定的目標。該框架認為企業風險管理應由內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通以及監控等8個要素構成,同時風險管理是由風險識別、風險評估、風險對策、風險監測等一系列環節組成的一個循環流程。
三、企業內部控制與風險管理的關系
在實踐管理中,不能簡單地將企業內部控制與風險管理等同起來,二者既有內在聯系又有一定的區別,因此,我們要辯證地看待它們之間的相互關系和影響。
1、全面風險管理涵蓋了內部控制。從COSO委員會的全面風險管理框架和內部控制框架可以看出,全面風險管理除包括內部控制的3個目標之外,還增加了戰略目標;全面風險管理的8個要素除了包括內部控制的全部5個要素之外,還增加了目標設定、事件識別和風險對策3個要素。同時,也反映了兩者在目標及組成要素方面有相同之處。兩者都可以概括為力求公司股東價值最大化為目標,在組成要素上,有五個方面是重合的,這種目標和要素的一致性決定了內部控制和風險管理的原則、出發點與歸宿點的相似性。
2、企業內控識別、控制風險的原理一致,都要由經營管理者實施。在分辨企業經營中存在的所有直接和間接的風險、確認各種風險的重要程度以及制訂風險控制的策略、具體措施等方面,使用的理論基本上是相同的。內部控制的大部分工作都是經營管理部門的重要職責。同時,只有經營者將風險管理放在適當的高度,風險管理才能真正發揮作用。
3、企業風險管理是對內部控制的拓展和延伸。伴隨著技術和經濟的快速發展,使得內部控制走向企業風險管理。并且,企業風險管理是企業自身生存發展的需要。可以說,完善內部控制可以保證風險管理的效果,加強風險管理可以提高內部控制的地位。
4、企業內部控制的動力源自風險防范,是企業風險管理的必要環節,是實際操作的核心。內部控制的完整性、準確性和有效性直接決定企業風險管理的效果。企業開展風險管理工作應與內部控制相結合,把風險管理的要求滲透到企業各領域,帶入到業務流程中。通過實施內部控制,我們可以達到完善治理結構,規范權力運行,強化監督制約,保證企業的資產安全,從而促進企業戰略目標的實現。
5、企業內部控制并不等于企業風險管理。合理有效的內部控制只能提供合理而不是絕對保證,內部控制只能防范風險,不能轉嫁、承擔、化解或分散風險。在風險識別和評估基礎上所建立的內部控制,只能規避經營管理活動中經常發生的錯誤和風險,但不能解決風險管理中企業所面臨的所有風險。
從以上分析可以看出,內部控制和風險管理是密不可分的,完善內部控制可以保證風險管理的效果,加強風險管理可以提高內部控制的地位。實踐證明,內部控制的有效實施有賴于風險管理的技術方法,而風險管理離開了內部控制作為手段支撐也將流于形式。我們只有發揮好企業內部控制與風險管理的協同作用,將內部控制與風險管理融為一體,才能更好地為企業發展保駕護航。
參考文獻:
篇10
(二)企業風險管理內涵 企業風險管理主要是由企業的董事局、企業的管理層以及企業內部其他具有此權限的人員在共同確定統一的目標時,按照戰略制定的要求以及圍繞該要求而產生的從各個層面來進行運作的活動,此類活動存在的意義在于識別各類具有潛在風險或者就企業目前的管理過程來分析而存在的各類風險,所進行評估,任何違背或者阻礙企業共同目標的因素或者風險,在企業進行風險管理的過程中均予以規避或治理,以保障企業的整體目標得以順利進行。
在企業進行管控的過程中,風險作為其工作的主要范圍,信息的溝通及時化是企業進行風險評估和判斷的重要因素,這也是企業在內部控制時從信息化角度來完成企業的內部信息疏導、企業各方面信息的有效傳遞、企業信息流通的及時性和穩定性等方面工作的主要原因之一,在企業進行內部管理和監控時,對于風險評估和風險管控本身的行為來說,同樣也需要按照企業的實際需要,進行相應的內部監督,包括日常內部監督和具有專業性的專項檢查,一旦發現企業的內部控制缺陷包括政策、措施等方面以及針對風險進行評估時出現的各類人為和非人為的可以進一步誘導企業內部控制中風險性質變化或者量變等問題發生的直接因素,均可以在核查的同時加以改進。
二、從內部架構角度看企業內部控制與風險管理
(一)企業內部控制與風險產生之間關系的介質 企業風險產生主要原因就是在于企業發展 “目標”的存在性,目標是公司取得長驅發展的主要動力,同樣目標的存在也同樣引發了各種風險的出現見(圖2)。目標作為風險產生的主要原因有:首先,目標作為風險的出現的主要原因來自于人的主觀能動性與客觀活動之間的差別,在客觀的活動過程中,當人的主觀能動性與客觀環境之間的差異化成為不確定因素時,風險就會同時出現。其次,因為目標需要建立在一個較高層次的基礎之上,在當前企業發展高度結構化的模式下,任何一類子目標的發展都需要下一個階層子目標的支撐,因此這些子目標之間需要以重疊性和排斥性進行系統化排列,尤其是在不同的目標之間更需要進一步的相互補充,由此,一旦層疊性逐漸出現任何關聯間隙,就會導致風險因素的出現。最后由于在企業的內部和外部的管理中存在著諸多的目標,因此在不同的目標進行次第互補時,就必然出現銜接方面的安全隱患,如果各個目標之間的銜接性存在問題,或者銜接的聯系性不夠完整,就極易造成銜接之間的空白期,這些空白期自然會造成風險性的出現。
(二)企業內部控制與風險管理的專業化促進 目標產生的主要原因在于企業的發展需要,企業內部控制與風險產生之間產生關系的介質更在于對目標的實現。強化企業的內部管理活動,將企業的多樣化發展目標統一到同一個發展層面上來,企業發展過程中的各項風險維度則會相應的維持在一個企業可以管理和可以控制的范圍內。這也是企業在內部管理和內部控制時,出現各類風險的主要原因。
此外,從企業管理的角度來看,企業的風險控制和企業的風險管理,需要在專業化角度進行細化,以審計為例比如當同一個或者不同賬號出現賬戶交易時,一旦賬戶交易中存在著內部或者外部因素而導致的漏報和錯報問題時,內部管控和內部管理就自然會在出現相應的專業管理需要的同時出現專業管理的風險,以審計為例(見圖3),審計的過程中所出現的漏報、錯報等問題時,對于此類問題的糾正或者對此類問題的管理過程中,對于出現的問題或者存在的風險隱患,就自然應該劃歸到相應的管理層面來進行分析,如因為財務報表的疏漏而導致風險的產生就需要劃歸到財務方面來解決,因為企業的管理失衡所出現的風險問題或者由于各項制度的不完整性而存在的問題,需要按照不同問題出現的源頭進行分門別類的風險評估及措施應對。但是無論基于哪種,從企業發展的角度來看,都會引發企業風險的出現,并需要通過內部控制而耗費企業運營成本。
篇11
一、外貿企業核心業務和關鍵風險
外貿企業是指專門從事對外貿易(進出口)的企業,在國家規定的注冊地,這些企業對產品和服務有合法的進出口經營權。它的業務往來重點在國外,通過市場調研,把國外商品進口到國內來銷售,或者收購國內商品銷售到國外,從中賺取差價。外貿企業的核心業務主要由出口和進口兩部分組成,簡稱進出口業務。筆者認為,外貿企業風險是指外貿企業作為一個社會經濟主體,在存續期間內受所面臨的政治、經濟、社會和技術等環境因素的影響,其真實業績與企業目標發生偏離的可能性。關于外貿企業風險,現有文獻的梳理如表1所示。
由此可見,外貿企業面臨的風險主要包括兩大類,一是經營風險,二是財務風險。
(一)經營風險。經營風險是指外貿企業經營目標無法實現的可能性。經營風險的極端形式是經營失敗。從廣義上分析,外貿企業經營風險包括:(1)戰略層面風險。是指外貿企業在戰略制定和實施過程中,其戰略目標無法實現的可能性,包括政治風險、貿易壁壘風險、政策風險、投資風險和自然災害風險等。(2)經營環節風險。即狹義上的經營風險,它是指外貿企業經營環節目標無法實現的可能性,包括信用風險、結算風險、匯率風險、利率風險、法律風險和道德風險等。
(二)財務風險。董峰(1996)認為,外貿企業財務風險按其財務活動的基本內容來劃分,可分為籌資風險、匯率風險、投資風險、資金回收風險與收益分配風險。朱威(2005)認為,我國外貿企業財務風險主要包括籌資決策風險、投資決策風險、股利決策風險、外匯風險(交易風險、折算風險、經濟風險)、衍生金融工具風險、企業重組風險等。吳曉慶(2010)認為,外貿業務財務風險主要包括信用風險、外匯風險、結算風險、現金流風險、反傾銷風險。葛維璐(2012)認為,外貿企業面臨的財務風險主要有信用風險、匯率風險、流動性風險、非關稅壁壘風險。張小宇、王慶敏(2016)認為,中小外貿企業財務風險包括信用風險、融資風險、流動資金不足風險、匯率風險等。筆者認為,從狹義上理解,外貿企業財務風險是指外貿企業由于負債融資而形成的風險,或稱資不抵債風險。而從廣義理解,外貿企業財務風險是指外貿企業財務管理目標無法實現的可能性,它包括資不抵債風險、壞賬風險、流動性風險和現金流風險等。 除此之外,外貿企業風險還可以區分為系統風險(市場風險)和非系統風險(企業特有風險)。外貿企業風險的存在往往會給外貿企業各項目標的實現帶來很大的不確定性。因此,如何基于內部控制有效性視角,加強外貿企業風險管理的理論與實務研究非常重要。
二、外貿企業內部控制的目標和要素
(一)外貿企業內部控制的涵義和目標。關于內部控制理念的演變,經歷了內部牽制(20世紀40年代以前)、內部控制制度(20世紀40―70年代)、內部控制結構(1988―1991年)、內部控制――整體框架(1992年至今)等階段(宋夏云,2003)。1992年,美國反欺詐財務報告全國委員會下屬發起機構委員會(COSO)了“內部控制――整體框架”,并指出:企業內部控制是指由企業董事會、管理層和其他員工實施的,旨在為達成以下目標而提供合理保證的過程:(1)財務報告的可靠(可靠性);(2)經營的效率、效果(效率效果性);(3)法律和法規的遵循(合規性)。我國《企業內部控制基本規范》(2008)指出,企業內部控制是由企業董事會、監事會、經理層和全體員工實施的,旨在實現以下目標的過程:(1)企I經營管理的合法合規;(2)資產的安全;(3)財務報告及相關信息的真實完整;(4)提高經營效率、效果;(5)促進企業實現發展戰略。
外貿企業內部控制目標是指外貿企業內部控制機制運行的預期效果或理想狀態,是構建外貿企業內部控制框架的邏輯起點。筆者認為,外貿企業內部控制可以定義為受外貿企業治理層、管理層和其他員工的影響,旨在實現以下目標而提供合理保證的一種過程:(1)外貿企業財務報告等經濟信息的真實、完整;(2)外貿企業戰略和經營活動的效率、效果;(3)外貿企業財務收支活動的合法、合規;(4)外貿企業各項資產的安全;(5)促進外貿企業實現其發展戰略。它們相互聯系、相互影響,共同構成一個完整的外貿企業內部控制的目標體系。
(二)外貿企業內部控制的要素。COSO(1992 & 2013)指出,企業內部控制的要素包括內部環境、風險評估、控制活動、信息與溝通,以及監控。我國《企業內部控制基本規范》(2008)指出,企業內部控制的要素包括內部環境、風險評估、控制活動、信息與溝通、內部監督。以下筆者分別對其進行討論。
1.內部環境。內部環境設定了外貿企業實施內部控制的基調,直接影響到企業治理層、管理層和其他員工對外貿企業內部控制的功能定位。良好的內部環境是內部控制機制有效運行的基礎。外貿企業內部環境包括治理結構與權責分配、管理層的理念和經營風格、治理層對內部控制的重視程度、對誠信和道德價值觀的溝通與落實、對專業勝任能力的強調以及企業人力資源政策與實務等。
2.風險評估。風險評估是指外貿企業選用定量和定性指標,在風險預警模型構建和優化基礎上,對外貿企業所面臨的戰略層面風險、經營環節風險和財務風險進行有效識別和科學評估,并及時外貿企業風險的預警信息。即風險評估過程的作用是識別、評估和管理影響外貿企業經營目標實現的各種不確定因素。
3.控制活動。控制活動是指外貿企業根據風險評估結果,采取有針對性和靈活性的措施和方法,努力將外貿企業風險降低至可接受的范圍之內。控制活動有助于合理保證外貿企業治理層和管理層提出的風險管控指令得到充分執行,其內容包括授權、職責分離、業績評價、信息處理和實物控制等。
4.信息與溝通。信息與溝通是外貿企業及時、準確地收集、整理、加工、匯總和傳遞與企業內部控制及風險管理有關的信息,確保各種控制指令在企業內外部之間進行有效傳播和溝通。其中與外貿企業財務報告等信息可靠、相關的信息系統通常包括以下職能:(1)識別與記錄所有的有效交易;(2)及時、詳細地描述交易;(3)恰當地計量交易;(4)正確確定交易生成的會計期間;(5)在財務報表中恰當地列報交易的結果等。
5.內部監督。內部監督是對外貿企業內部控制制度的建立與實施情況實施監督檢查,評價內部控制機制運行的有效性。外貿企業可以授權內部審計機構等職能部門對內部控制的設計和執行進行專門的評價,找出內部控制機制運行的優勢和缺陷,并提出補救建議。
三、基于內部控制有效性視角的外貿企業風險的控制對策
(一)優化內部環境。外貿企業內部環境直接影響到內部控制機制運行的有效性以及企業戰略目標、經營環節目標和財務管理目標的實現程度。外貿企業風險管理的核心環節包括風險識別、風險評估和風險應對。理想的風險管理模式,需要外貿企業按照風險發生的輕重緩急進行有效排序。例如,對于戰略層面的風險,外貿企業治理層和管理層應該高度關注,一旦決策失誤,其前景堪憂。對于經營環節風險和財務風險,企業管理層應該高度重視內部環境的優化,采取合理的措施和方法,及時找出關鍵風險因素,按照風險程度高低進行正確處理。筆者認為,內部環境屬于外貿企業內部控制的核心要素,是內部控制機制有效運行的關鍵影響因素。因此,外貿企業應該采取必要的措施,不斷優化內部環境,其內容包括治理結構與權責分配、治理層對內部環境的重視、管理層的理念和經營風格、對誠信和道德價值觀的溝通與落實、對專業勝任能力的強調、人力資源政策與實務等,并確保外貿企業內部控制機制得到有效運行,進而合理控制其風險。
(二)加強風險評估。在日趨激烈的國內外市場競爭環境下,我國外貿企業風險不斷凸現,時刻威脅著外貿企業的安全。對于戰略層面風險,應該引起外貿企業治理層和管理層的共同關注。外貿企業可以采用PEST分析法、SWOT分析法和Porter五力分析法,對外貿企業的戰略及其潛在的風險進行診斷與分析;對于經營環節風險,外貿企業各個職能部門可以采用定量指標和定性指標相結合的方法,通過構建不同經營環節的風險預警模型,對其風險進行評估和應對;對于財務風險,外貿企業可以采用財務指標為主、非財務指標為輔的評估模式,在指標選取和指標賦權基礎上,合理構建企業財務風險預警模型,對外貿企業財務風險進行動態、精準評估。筆者認為,風險評估是外貿企業內部控制和風險管理的核心環節,是外貿企業風險有效應對的關鍵。在條件允許情形下,外貿企業可以成立專門的風險管控機構,對外貿企業所面臨的各種風險進行動態評估,及時提交高質量的風險預警報告,以最大可能減少外貿企業的損失。
(三)健全控制活動。控制活動是指外貿企業對其風險進行正確識別和評估后,制定科學的風險應對政策、程序、機制和措施,對其風險進行有效應對,其最終目的在于將外貿企業風險降低至可以接受的水平。例如,對于外貿企業的系統風險,企業治理層和管理層應該事前評估和科學應對。對于系統風險或市場風險,必須承受的,堅決承受,不能承受的,可以選擇放棄,或者退出戰略;而對于外貿企業的非系統風險或企業特有風險,外貿企業管理層可以考慮事先設定一個合理的風險承受水平,選擇風險分擔或者風險轉移策略。筆者認為,控制活動屬于外貿企業風險應對的重要機制,其關鍵要素包括授權、職責分離、業績評價、信息處理、實物控制等。為了有效降低外貿企業風險,企業可以考慮建立以下控制機制:(1)對于重大投資活動,應該由企業治理層和管理層共同做出科學、民主的決策;對于企業的日常經營活動,可以由企業管理層進行自主決策;(2)對于企業各項業務活動,外貿企業應堅持責分離的原則,盡量避免出現失誤,甚至欺詐行為;(3)為了避免出現人才流失、業務流失等風險,外貿企業可以建立科學的員工激勵機制。外貿企業可以適時構建合理可行的業績評價體系,對外貿企業業務人員進行定期考核,做到賞罰分明,并努力留住人才;(4)對于外貿企業,尤其是外貿上市公司財務報表等信息披露,其管理層應該承擔應有的法律責任;(5)外貿企業應該建立、健全實物資產的有限接觸制度,以確保外貿企業重要資產的安全、完整。
(四)強化信息與溝通。良好的信息與溝通機制是外貿企業內部控制機制有效運行的重要條件。在外貿企業的風險管理中,企業治理層、管理層和其他員工應該精誠團結,共同肩負著各自的職責。為了有效識別、評估和應對外貿企業風險,企業應該強化信息與溝通過程,做到企業各個層次的人員都能清晰地認識到自己肩負的責任,包括對戰略層面目標、經營環節目標、財務管理目標及其潛在的風險進行有效識別,了解與認識外貿企業內部控制各個構成要素及其相應的功能,并能夠積極參與到企業內部控制與風險管理活動中。在企業風險管理中,尤其需要外貿企業治理層、管理層和其他員工清晰地認識與理解企業風險控制活動的目的、機制、模式和方法,而如何強化外貿企業的信息與溝通能力,是實現企業風險控制目標的關鍵。
(五)完善內部監督。企業風險管理是一個持續發展的動態過程,企業戰略層面目標、經營環節目標、財務管理目標及其風險都會隨著環境的變化而調整,這要求外貿企業的治理層和管理層及時監控企業風險管理的運行狀況。內部監督是內部控制的必要環節,外貿企業應設置獨立的機構,配備專門人員,科學、有效地評估內部控制機制的運行狀況,及時發現和報告內部控制機制運行的重大缺陷,督促相關職能部門及時修補。外貿企業的內部監督包括主管部門的監督、外部審計的監督和內部審計的監督。其中內部審計監督在整個內部控制系統中發揮著基石作用。內部審計可以合理保證外貿企業遵循國家的政策與法規、財務報告的真實性、企業投資和經營管理活動的效率效果性,以及企業戰略目標、經營環節目標和財務管理目標的實現程度等。正因為如此,外貿企業應當不斷拓展和強化內部審計職能,增強其獨立性,提升專業勝任能力,督促外貿企業優化內部控制的運行機制,以合理保證外貿企業的健康、高效發展。X
參考文獻:
[1]胡通海.試論外貿企業經營風險類型及內部控制的建立[J].國際商務財會,2013,(10).
[2]劉永澤,張亮.我國政府部門內部控制框架體系的構建研究[J].會計研究,2012,(1).
[3]錢劍婉.外貿企業風險控制與全面預算管理研究[J].國際商務財會,2010,(2).
[4]宋夏云.芻議內部控制的運作機制[J].審計與理財,2003,(9).
[5]吳曉慶.我國企業外貿業務的財務風險管理研究[D].鄭州大學碩士學位論文,2010.
[6]徐芳.外貿企業內部控制與風險管理――基于寧波地區的研究[D].寧波大學碩士學位論文,2009.
[7]徐珂.基于企業財務視角的外貿經營風險防范研究[D].東華大學碩士學位論文,2007.
[8]袁玉霞,張璐,王霞.外貿企業風險管理與控制[J].國際商務財會,2010,(10).
篇12
首先,風險管理包括了內部控制。風險管理不僅僅只有內部控制這個內容,還存在著戰略目標。而風險管理中的要素不僅僅是內部控制中的所有要素,還包括對目標的設定、對風險的對策以及對事件的識別等,如果從內容以及時間先后順序方面來看,風險管理是內部控制工作的外在延伸。其次,風險管理中內部控制是關鍵環節。只有企業對風險加以認識并進行管理才能有效的達到內部控制的目的。針對企業中存在的運營風險以及業務流程中的風險進行內部控制系統是十分具有必要性的,不僅如此,這種風險管理方法效率較高且十分有效。建立的企業風險管理體系必須要保證其狀態能夠滿足內部控制系統的基本需求。最后,風險管理和內部控制都是在企業管理中必須引起重視的方式,兩者之間相輔相成,共同致力于企業科學管理模式的構建,并保證企業能夠穩定快速發展。
二、房地產企業中內部控制與風險管理中存在的問題
(一)企業內部對風險管理和內部控制的認識存在著偏差
如果企業管理者對內部控制和風險管理認識不夠,將會對企業發展帶來重要影響。企業內部風險管控是一種管理制度,其本身并不會對經濟效益帶來直接影響,只有企業各部門加強內部控制和風險管理才能保證企業的經濟價值能充分實現。部分企業管理人員認為所謂企業內部控制,其實就是對多種規章制度加以匯總,而對于在企業風險管理中內部控制的應用價值卻并沒有意識到。
(二)企業風險管理和內部控制沒有全面的內容
目前,我國很多房地產企業對于風險管理和內部控制在內容上還不夠全面。部分企業對財務工作的管理和控制較為重視,但是卻沒有在風險管理體系以及內部控制制度中引入經過梳理和完善的企業經營管理活動中的全部重要業務。在房地產開發企業中,因為其不僅開放周期很長,而且需要一次性投入大量的成本,另外很容易受到政策的影響。如果房地產開發企業中存在著風險管理和內部控制在內容上不足的情況,一旦存在突發問題,企業發展將會面臨著重大的打擊。
(三)企業風險管理和內部控制沒有健全的監督機制
在對企業風險管理和風險控制進行督查中,內部審計是較為重要且有效的一種方式,然而很多房地產開放商企業其內部審計工作還不夠實際,沒有充分適應市場,采用的方式還是過去的財務審計。部分房地產企業還停留在向運營管理審計的發展過程中。這種傳統階段下的內部審計無論是設計階段還是實施階段,都不具有系統性。尤其是部分企業其內審人員還沒有專業的素質,針對內審人員還缺乏培訓和考核機制。因為企業風險管理和內部控制存在著監督機制不健全的情況,沒有有針對性的對企業內部發展實情進行全面管理和監督。
三、房地產企業內部控制和風險管理采取的措施
(一)要認識到管控工作的重點,對房地產企業中開發價值鏈以及企業內部控制環境建設的風險控制重點進行明確
要想保證建立的企業內部控制制度健全,就要知道風險管理和內部控制的重點所在。首先是組織管控體系的建設。按照內控規范,企業內部環境包括機構設置權責分配、治理結構、人力資源、企業文化以及內部審計。企業要想實施內部控制,就要注意到內部環境,這五個內控環境因素中,組織機構設置。權責分配以及項目管理模式最容易存在問題,從而影響到企業全局發展。目前房地產企業發展速度不斷擴大、開發規模區域不斷激增,保證建立的組織管控體系權責明確、定位清晰、激勵有效、風險受控才是內控風險管理體系建立的重點。其次,企業需要通過人才來運轉,如果人才存在風險會影響到企業,所以在建設內控風險體系中要以人力資源體系為根本,企業只有充分吸引優秀員工并激勵員工發揮價值,才能有效的控制風險。最后,按照房地產企業價值鏈特征,對開發價值鏈前段項目規劃設計與定位策劃階段的風險控制和識別著重關注、
(二)對管控方法進行優化,做好房地產企業風險評估識別工作
房地產企業屬于一個對資源進行整合利用的企業,企業的很多業務和管理活動都會存在一定的邏輯,從而建立起一套流程,對流程的各個環節重點研究、調查和分析,可以對風險進行有效識別和標注,從而采取風險管理體系以及內控制度的措施來對風險進行防范。我國目前房地產市場不景氣,房地產投資降低,銷售面積及銷售額開始大幅度下滑,房地產市場正在大力調整,從而合理的控制房價。因此,房地產企業要按照市場發展規律,對每項投資和工作的風險要采取全面評估。在對房地產投資前,要通過風險管控部門和審計委員會的有效審核,有效評估房地產工作中的財務風險、政策風險、市場風險和經營風險,深入研究重點環節。另外,在參與過程中,要對風險預警機制進行建立,監督和跟蹤運作資本,如果存在異常情況,要及時撤回投資金額,如果無法撤資,要采取措施將風險最低化。
(三)對管控機制進行構建
篇13
2.1內部控制整體框架
在1929年美國AAA(會計師協會)和FRB(聯邦儲備委員會)的《會計報表的驗證》中,首次提到內部控制這一名詞,1992年美國的COSO委員會提出的《內部控制—整體框架》中指出,內部控制是一個過程,一個由經理以上階層和員工共同實施的過程,其主要的目的就是使企業達到運營效果,與此同時,要嚴格遵循相關的法律法規,并保證企業財務報告的可靠性。這就是COSO委員會認為的內部控制。在COSO委員會在1992年9月的《內部控制—整體框架》中,明確提出了支撐內部控制的框架五要素,分別是:控制環境、控制活動、信息與溝通、風險評估以及監督,這五元素共同構建了內部控制整體框架。各元素之間的關系是相互制約的。
2.2企業風險管理整體框架
企業風險管理是一個過程,它是滲透于企業各項活動中的行動,企業風險管理所涉及的人員是整個企業的員工,不分階層,一個企業要想茁壯成長就必須要將風險管理過程應用在每個部門和每一位員工身上。企業風險管理既可以從企業的總體對其進行分析,也可以從單獨的部門對企業有一定認識,企業風險管理框架的目標就是實現企業的目標。構成企業風險管理的八要素分別為:內部環境、目標制定、風險反應、風險評估、事項識別、信息和溝通、控制活動和監督。其中,需要注意的是風險反應,它主要分為四類:減少風險、共擔風險、規避風險與接收風險四類,企業應對每一個重要的風險都要考慮相應的風險反應方案。
3從企業內部控制走向全面風險管理———3C全面風險管理框
在企業中實施企業全面風險管理是新時期下的環境所導致的,在我國企業的管理中,風險管理是一個相對薄弱的環節,近年來,由于我國企業的風險管理工作薄弱而引發的事件不再少數,所以,建立我國企業全面風險管理框架成為了我國企業發展的首要問題。我國在2004年由COSO委員會頒布了內部控制整體框架基礎,這一框架的迎來了全面風險管理時代。2008年5月了《企業內部控制基本規范》,在這一規范中,能夠明顯看出,我國由原來的理論框架已經逐漸走向了風險管理,進一步完善了中國企業內部控制規范體系,在2010年4月,我國又相繼了《企業內部控制配套指引》,并在2012年進一步完善了該條例,要求實行企業內部控制規范體系的企業,要對企業本身進行自我評估,并相應地作出自我評價報告,交由政府監管部門進行監督檢查,這充分說明了我國企業正在從內部控制走向全面風險管理。我國企業要想提高市場競爭力,實現可持續發展,就要建立完善的企業內部控制體系,首先,管理者要樹立風險管理理念,提高管理層的風險意識,對企業所涉及的風險要素進行分析,并制定相應的措施去應對,同時,還要加強道德與行為準則體系建設,適當地激勵或是約束企業員工,建立一套具有操作性的行為規范和準則。除此之外,要明確企業的戰略目標,需要注意的是,在設定戰略目標的時候,要考慮企業自身能夠承受的風險數量。在以上的基礎上,借鑒國外企業風險管理的經驗,將目標—風險—管理這三個體系結合在一起,構建3C全面風險管理框架。在3C全面風險管理框架下,具體要實現以下五個目標,分別是:保護企業不因災害事件遭受損失;達到企業整體經營戰略目標;保證信息溝通以及財務報告的可靠性;有效率的運營;遵守法律。3C全面風險管理初步分成三層,還可以根據企業的自身情況進行細分。
制定3C全面風險框架的目的就是將風險整合起來進行管理,有利于推動我國企業的進一步發展。以中國電信湖南公司為例,中國電信湖南公司構建全面風險管理,主要是為順應國有資產出資人的要求和資本市場監管機構的要求,提出了企業全面風險管理的目標和要求,同時,也是為了促進企業內部經營管理的需要,隨著中國電信這個大集團的不斷發展,該公司面臨的挑戰越來越多,那么相對應的風險程度也就越來越高,所以,為了提高企業的經營管理效率,該公司決定實現全面風險管理。在整個管理的過程中,中國電信湖南公司完全按照國家的政策執行,并且不斷進行體制機制的創新和改革,切實地推進五項集中管理,通過建立現代企業制度、實施主輔主附分離、建立集中統一的會計管理體系、加快推進戰略轉型和建立有效支撐公司戰略的內部運營體系,加強內部控制,來滿足了國有資本監督管理的要求。此外,中國電信湖南公司還要成立獨立的風險管理部門,以此來確定整個企業的風險管理工作,同時,還成立了全面風險管理工作團隊,將整體的風險管理策略傳遞到各個部門中并予以實施,總之,要將系統論的思想重新進行考量,并且切實地應用到電信企業全面風險管理中,以此提高公司的抗風險能力,保證公司全面風險管理水平能夠上升,進一步促進了企業的可持續發展。全面風險管理是一個復雜的系統,從某種程度上說,企業風險管理包含了企業內部制度,同時,二者之間又形成了新的目標—戰略目標,這是企業的最高目標。實際上,企業風險管理具有四個構成要素,分別是:目標設定、風險評估、風險應付和事項識別,它們成為了我國企業風險管理中最重要的組成部分。我國未來企業應該建立完善的內控制度,提高全面風險管理意識。企業為了適應當前千變萬化的市場環境,應該將全面風險管理切實地應用到管理活動中,與此同時,企業要根據ISO的《風險管理原則與實施指南》加強風險管理,將風險管理帶進新的發展階段。
