前言:中文期刊网精心挑选了企业风险与合规范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业风险与合规范文1
一、人力资本投资的特点
人力资本的形成源于人力资本投资。人力资本投资既有与其它资本投资形式所共有的资本投资特性,又有着自己的独特性。这种独特性主要表现为:
(一)投资主体的多元性
在现代社会中,不同国家和地区的公共支出中都有很大一部分是对教育、健康设施或服务的支出,这使政府理所当然地成为一个投资主体。如果再考虑企业,人力资本的投资主体必然具有多元性的特征。
(二)投资客体的不确定性
人力资本的投资客体是人。由于人力资本与其承载者不可分离,因此,相对于物质资本而言,人力资本效能的发挥更具有不确定性,所有影响人类行为的因素都有可能影响人力资本效能的发挥。
(三)投资行为的长期性
人力资本投资属于一种周期较长的投资。投资周期长本身就意味着不确定因素增多,使投资的风险加大。短期看来,较好的投资项目有可能经不起时间的考验。除去一般性的市场风险外,还有来自投资客体的风险。
(四)投资收益的间接性
人力资本投资的直接结果是人力资本存量的增加,它必须通过与物质资本存量的有机结合,才能产生经济与社会效益。因此,人力资本投资并不直接作用于生产过程,也不直接生产物质财富,投资收益也不能通过物质生产过程直接反映出来。而且,人力资本投资的收益不是全部以使用价值的形式体现出来的,有相当一部分表现在非经济方面。投资收益的间接性与投资主体的多元性并存,使建立明晰的人力资本产权结构成为困难,有可能加剧投资风险。
二、人力资本投资风险的类型
(一)道德风险
这种风险是由投资主体的多元性和投资者与收益者的不一致性引发的。人是有主体意识的,不同的人具有不同的价值取向和个人目标。因此,当人力资本外流时,作为凝结在劳动者体内的知识、技能及其表现出来的能力的人力资本与其具有不可剥离的特性,从而使投资者遭受损失。从某种意义上来说,这种投资风险就是道德风险。
(二)中断风险
这种风险是由投资的不连续性引发的。人力资本投资的连续性体现为在生命历程的各阶段上都要进行人力资本的投资。一个人在完成一定的正规教育之后,即进入社会从事生产劳动,需要接受各种在职培训,退出劳动过程还要参与多种继续教育,不能因为处于生命历程中的某个阶段而中断人力资本投资,中断即是人力资本的贬值。
(三)产出风险
这种风险是由投资的长期性引发的。同样的人力资本投资。其回报往往差异很大,这与物质资本投资结果有着根本不同。人力资本投资是渐进性分阶段进行,而且属于一种周期较长的投资。投资周期长本身就意味着不确定因素增多,使投资的市场风险加大。
(四)折旧风险
这种风险是由投资效益的滞后性引发的。随着科技的发展,商品价值中来自直接劳动的部分成为从属要素,相反,商品价值的高低却主要取决于科学技术的进步及其在生产中的运用。因此,科技进步导致的人力资本投资风险的损失是惊人的。
三、人力资本投资风险的规避
从人力资本投资的特点出发,并结合不同的风险类型,减少人力资本的投资风险应考虑以下几方面:
(一)通过划分人力资本的投资领域,减少由于投资主体的多元化所引起的风险
尽管人力资本投资收益具有间接性和不易精确计量的特点,但是我们可以根据投资目的不同,通过对投资领域的划分,在最大程度上使人力资本的产权得以明晰,从而化解由于投资主体的多元性可能引发的在未来利益分配中的矛盾,以减少投资风险。企业作为盈利性组织,进行人力资本投资的主要目的是通过对员工知识的更新来不断提高企业的生产能力,从而实现利润最大化。因此,企业的投资对象主要是企业内部的员工,投资的领域是能够为企业带来收益的、企业发展所需要的专业性劳动技能。由于人力资本是存在于人体之内、与人不可分割的。因此,人力资本的承载者也就成为人力资本的天然所有者,也理应成为最主要的投资主体和风险承担者,这也是使产权关系简单化的根本途径。
(二)通过对企业外部和内部环境的把握与调整,减少投资客体的不确定性带来的风险
1 把握外部环境变化趋势,降低投资行为的盲目性
企业要仔细研究国家政治倾向和政府的产业政策,制定企业中长期的人力资本投资计划,保证企业在未来政策环境变化中对人力资本在数量和质量上的要求,使企业和个人得到长远发展。与此同时,企业也要加强市场调查研究,预测企业产品的市场需求量、价格水平等不确定因素,确定企业对人力资本投资不足影响企业正常生产的风险。
2 优化内部环境,降低投资载体的流动性
(1)建立或完善考评激励机制,调动投资客体的积极性。投资主体必须根据员工需求的多样性、层次性制定或完善科学合理的、全方位的考评及激励机制。首先,让绩效考核思想深入员工,让员工明白考核是实事求是地发现员工的长处、短处,以使其扬长避短,不断改进。其次,建立完整的绩效管理体系。企业在进行绩效考核时,应该建立一套关于绩效考核的管理流程,使其成为解决绩效考核的依据。再次,考核要有个性化。个性化就是根据每个员工的不同工作环境:结合公司的发展远景,而实施的不同的考核方式和考核目的。
(2)加强企业文化建设,增强企业的凝聚力。通过文化建设使员工与企业目标、价值观和企业精神相一致,从而尽量缩小企业与员工之间在人力资本投资方面的分歧,进而使投资收益能达到最大化。企业文化的形成是一个长期的过程,一旦形成之后,则会对企业的持续稳定发展奠定基础,使企业做到“事业留人,感情留人。政策留人”。通过企业文化建设,可以增强劳动者对企业价值观的认同,从而减少人力资本投资风险。
(3)利用法律武器来维护企业的权益。企业在化解人力资本投资风险时,应善于利用法律武器来维护自身权益。对一些一次性投资额较大的、培训学习时间较长的员工可同他们签订法律合同。来保证企业的权益。另外,一个人在企业工作,企业本身也为员工提供了一个学习实践的场所和机会,即“干中学”,这样会使个人的人力资本得到增值,所以企业和个人应共同分享人力资本增值的收益,企业就有理由要求员工服务一定年限才能离开,只有这样,企业才愿意加大对员工的培训力度,提高人力资本的含量。
企业风险与合规范文2
1.企业风险管理(ERM)理论的一般框架。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO)在2004年9月提出的,标志文书是《企业风险管理——整合框架》(EnterpriseRiskManagementIntegratedFramework,下称《整合框架》),这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。COSO认为,企业风险管理是经由企业当局广泛参与,对企业面临的不确定性进行多要点掌控,以实现组织目标的过程。
《整合框架》提出了企业风险管理的8个核心要素,即,目标设定、内部环境、事件识别、风险评估、风险回应、信息沟通、控制活动和持续监督,这8个要素组成了一个有机体系。企业风险管理有4个目标,即,战略目标、经营目标、报告目标和合规目标。理想的ERM框架是通过对不确定性的管理增加股东价值,以共同的语言和要素安排,落实企业的上述4项目标。企业风险管理的要素与目标之间是一种紧密的支持与保证关系。
2.企业风险管理在我国中央企业的初步实践。在《整合框架》的背景下,2006年6月国资委根据《中a华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规,制定颁布了《中央企业全面风险管理指引》,对中央企业实施风险管理的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等进行了系统规范,成为中央企业风险管理的权威指导文书。之后,一些省市区也出台了很多相关文件,对《指引》的实际操作进行具体化。《指引》所称企业风险,包括纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存),具体分为战略风险、财务风险、市场风险、运营风险、法律风险等。
《指引》对企业风险管理的目标、流程描述,与《整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段,分别对应着《整合框架》中的企业风险管理8大基本要素。
二、企业风险管理理论本土化过程中应注意的问题
1.找到切合实际的本土化切入点
一方面,通过对《指引》的解读可知,与国资委以往出台的文件有很大不同是,过去国资委颁行的大多数文件都是在对企业大量实践经验进行分析总结的基础之上形成的,是一个从实践到理论,再从理论回到实践的过程。而《指引》则正好相反,它来自于成熟的理论,而且主要是国外的成熟理论,先于国内企业的管理实践。另一方面,每一个中央企业都有其特殊的行业特点、既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等,这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骛远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
2.建立起具有可操作组织规范
企业风险管理理论和《指引》都是针对企业所面临的时时处处都存在的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式。它要求企业围绕总体经营目标,通过在企业各个管理环节和经营过程中执行风险管理的基本流程,营造风险管理的氛围,建设风险管理体系,等等。可见,无论企业风险管理理论还是《指引》,都没有为中央企业的现实经营管理给出一个具体的、可以搬来即用的药方,所以,将企业风险管理理论和《指引》具体化为每一个中央企业中看得见、摸得着的具体组织结构和规章制度,是当前我国中央企业需要下大力气去做的事情。
3.培育良好的气氛和合格主体
一般讲,一个良好的适合于特定企业的ERM氛围,应该至少包括以下几个方面内容:一是将企业的风险偏好与企业战略有机联系;二是能够保证企业的风险管理战略、企业的发展战略与企业的股东价值保持一致;三是可以提供鉴别和评估风险的工具,并有强大的企业舆论支持这些工具使用;四是企业各层面有统一的风险语言,和畅通的沟通管道。任何一个ERM框架都是在一定的氛围中由具体的企业成员最终实施的,没有良好的企业风险管理氛围,得不到企业各层面人员的支持,再好的企业风险管理框架和《指引》都会流于口号和形式。
参考文献:
[1]滕青:我国企业风险管理框架构建[J].经济管理,2007,(3):45~48
[2]陈颖杰赵阳:谈企业整体风险管理[J].商业经济研究,2007,(28):44~45
[3]张东毅:浅谈国有企业风险管理[J],山东煤炭管理干部学院党报,2007,(3):11~12
企业风险与合规范文3
关键词:内部控制法规 内部控制与风险管理整合 体系建设
我国内部控制建设工作已经如火如荼的开展了几年,笔者结合在企业和咨询公司的工作经验,针对企业对于内部控制法规和体系建设的疑问,对我国内部控制法规的现状进行解读和比较,以及如何应用这些法规体系,建设内部控制和风险管理体系的整合。
一、我国内部控制法规的现状
(一) 我国内部控制法规的多样化
我国内部控制法规存在多样化,一是颁发的机构不同,二是法规的内容针对性不同,三是法规适用的主体不同。
在《企业内部控制基本规范》和《企业内部控制配套指引》未出台前,都是各监管部门自行制定的,并且有些对内部控制的要求并不是以单独的法规的形式体现,而在融合在其他法规中。《企业内部控制基本规范》和《企业内部控制配套指引》是由五部委共同出台的,对我国企业内部控制建设有了统一的规定和执行要求,以后所有与内部控制建设和执行有关的法规规章都依据两项法规执行。
毕竟我国企业行业、类型、经营管理等存在多样化,《企业内部控制基本规范》和《企业内部控制配套指引》规定的内容不能面面俱到,加之不同的监管法规的存在,企业在建设和企业内部控制时,除了依据最基本的《企业内部控制基本规范》和《企业内部控制配套指引》,也要执行与企业相关的监管部门的规定,才能确保企业内部控制建设的全面性和重要性。
(二) 风险管理法规现状
对于风险管理的要求,除国资委出台《中央企业全面风险管理指引》专门的风险管理的法规外,其他法规对风险管理要求都是也体现在与内部控制相关的法规体系里。因此,对于企业在建设内部控制和风险管理整合的体系时,需要借鉴国资委出台《中央企业全面风险管理指引》,在对风险信息收集、识别、评估、应对等进行遵循和参与。
因此,我国内部控制法规包含多种类型,一是对对所有企业都适用,二是针对上市公司和金融机构;颁布的监管机构包括了财政部、国资委、银监会、保监会、证监会、审计署、中国人民银行、深交所、上市所。
二、内部控制与风险管理的整合应对
(一)内部控制与风险管理的关系
我国内部控制建设融合了风险管理和内部控制两种理念。
内部控制和风险管理不是独立两个体系,内部控制的基础是基于对企业风险的识别,内部控制建设的目的是防范和控制风险;风险管理体系的建立是依赖于内部控制体系的建设,所以两者相互协调、统一的整体,其最终的目的都是促进企业实现发展战略目标。
基于风险管理为基础的内部控制整合体系,是企业内部控制建设和实施的方向,规范和指引各种类型企业的内部控制建设。
(二)内部控制与风险管理整合体系
内部控制与风险管理整合的步骤如下:
第一步:组建风险及内部管理架构
确认企业风险管理及内部控制管理的目标、原则,组建风险及内部管理(以下简称“风控”)架构,明确治理层、管理层的管理层级、权限、职责,以及具体风控实施的部门、职能、人员构成、任职要求、汇报层级等,要保证风控部门的权威性和一定条件的参与权、处置建议权。
第二步:风险信息收集及整理
企业治理层确认企业风险管理目标,明确风险管理的重点和原则。
由风控部门牵头,各职能部门、业务部门共同参与,以风险管理目标为基础,对企业所面临的各种风险进行收集,之后进行信息的整理、筛选和汇总工作,形成的风险信息因素要有普遍性、针对性、行业特性。
在此基础上,共同讨论形成企业的经营管理活动的初步业务循环。
第三步:风险评估及分析
由风控部门,或由风控部门牵头,业务骨干参与组成风险评估小组,对企业经营管理活动,按循环、部门对业务流程进行梳理,明确企业目前重要的业务经营单元有哪些,这些业务经营单元由哪些业务流程构成。
流程梳理后,企业将从风险管理的角度分别对每个流程进行分析,同时结合整理后的风险信息因素进行对比,这些流程中目前是否存在风险,存在哪些类别的风险,风险在什么情况下会发生,风险对企业的影响是否在企业承受范围之内,目前企业针对该风险的防控措施有哪些,是否还有效运转,实施了这些防控措施后风险的影响是否有所降低,经有效防控后的风险影响是否符合企业目前的风险偏好和企业目前的承受范围内等。
在此基础上,对企业的业务流程进行重新的界定和划分,循环划分的详细程度,依据业务管理的精细化程度不同而定,以达到企业经营管理活动的全面性、重要性和成本效益的原则。
第四步:缺陷的确认与整改
风控部门在评估检查后风险,对企业目前确实已经发生且存在的,编制缺陷汇总,包括可能产生的风险及形成原因、可能造成的风险损失、重要性程度、责任部门等,与缺陷发生的部门讨论确认,按审批权限审批后,下发整改执行。
第五步:制定风险应对方案
在上一步骤基础上,结合企业的风险偏好,确认针对风险的控制措施。
第六步:编写风险数据库
企业风控部门组织各部门编写风险数据库,依据划分的流程,说明企业可能会面临的风险、所属的循环、风险可能产生的后果、风险影响的程度、风险的应对政策、风险的责任部门等。
企业在风险数据库编写的要结合风险信息收集和评估的内容,有针对性进行编写,不是风险信息的内容越多越好,而是要体现企业所处的内外部环境、发展周期、经营规模、人员状况等。
企业风险数据库,要定期进行重新的识别、评估,进行更新,以符合企业的状况。
第七步:编写内部控制体系文件
企业在风险和流程梳理完成后,依据识别出的风险、企业的风险应对策略,对现有的控制活动的控制措施进行修改或完善,以达到规避风险的目的,控制措施的体现载体为企业风险和内部控制管理体系文件。
企业修改或完善内部控制体系文件时,首先要对现有的评估的风险与现有体系文件中规定的控制措施进行一一核对,找出体系文件存在遗漏、不完整、不规范之处,在此基础上进行完善。
企业在编写内部控制体系文件时,要结合《企业内部控制基本规范》五要素的要求,并且企业在编写内部控制体系文件时,要结合国家的相关法律法规的要求和监督部门特殊要求。
第八步:编写评价文件
企业编写评价文件,主要是为了内部监督部门对风险和内部控制管理实施情况进行评价。
编写的依据是企业完善后的内部控制体系文件,针对每一项业务活动、控制措施,制定评价的方法、频率、文件抽查名称、抽查的数量、缺陷定义的依据等。
评价手册的编写,要使实施评价活动的人员,在实施评价活动过程有依有据,填写的评价手册底稿内容,要能如实反应企业的存在的问题,所以评价手册的编写的要素要完整,格式要简练,操作性强。
第九步:实施评价活动
企业在实施评价活动之前,要先确认评价的重点、评价的频率。
企业对风险的承受度、企业经营管理的复杂程度、人力资源素质、实施成本,决定企业实施评价的频率,企业至少每年要实施一次评价活动。
实施评价活动的频率,也与每次进行评价的内容相关,如果企业在一个年度内,进行数次的评价活动,考虑成本的原则,每次可以选择不同的重点内容进行评价,如果每年度只进行一次评价活动,就是进行全面性的评价活动。
第十步:编写评价报告
企业风险与合规范文4
关键词:风险管理 内部审计 风险管理审计
一、我国风险管理审计运用的现状分析
(一)相关法规及准则尚不健全
企业风险管理审计是从欧美国家引入我国的,作为一个新生事物,在法规准则及政策的建设方面尚不健全和完备。目前,我国内部审计准则正处于与国际接轨磨合的阶段,风险管理审计主要法规则还是2005年5月份开始颁布实施的《内部审计具体准则第16号—风险管理审计》。该文件首次对风险管理审计做出了一些规定,主要由总则、一般原则、风险管理的审查与评价和附则四个部分组成,但仅仅对风险识别、风险评估、风险应对进行风险管理审计作了原则性的规定,比较抽象,缺乏对风险管理审计操作性的具体指导,企业的操作实务中仍无章可循,其他有关风险管理审计的法律法规政策还比较缺乏,没有形成一个完备的法律体系。
正是缺乏相关法规及准则方面的法律保障及指导支持,目前我国企业界能够开展风险管理审计工作的还是少数,风险管理审计的良性发展非常不利,对于风险管理审计的顺利开展也起不到很好的规范、约束和保障作用,束缚了审计人员风险管理审计的开展工作。
(二)审计模式落后,审计方法简单
目前我国不少企业还处于传统的审计理念和模式中,企业更多的是出于保护公司财产和察觉舞弊行为的目的而关注财务报表和企业帐目,而不是从企业的经营风险和管理层风险管理的角度来关注财务报表,因而审计风险不能得到有效控制,也使风险审计在给企业带来潜在经济效益的价值链中的价值无法进一步得到体现。在信息高度发展的时代,谁能占有顾客、市场、供应商、技术等有关信息的先机,谁就能在竞争的环境中争取有利地位,而在欧美国家企业采用计算机辅助审计的技术己经比较普遍,例如ACL,Caseware,Idea,Compass 3等等,且在风险模型选择上也有多样性,如AS/NZE4360模型、1997年COSO内部控制—整合框架的“目标—风险—控制”模型、IIA研究基金的企业风险管理框架、杜邦“沸腾壶”模型等等。可见我国审计模式落后,审计方法简单,最终导致企业不能恰当地预测风险、识别风险、评估风险和应对风险,使风险管理审计工作受到制约,进而影响企业目标的顺利实现。
(三)企业管理观念落后,风险意识淡薄
当前企业的经营环境日益复杂,企业管理者风险意识大大加强,但尚未意识到开展风险管理审计的意义所在。有些企业管理者对审计工作的认识还仅仅停留在发现企业现存错误和不规范的行为的层次上,未意识到风险管理审计的开展能促进风险管理的进行,更能系统全面的分析与评价风险,从而判断风险的性质,找到更合理的风险防范措施,以降低风险的发生,避免风险造成的损失。有些企业管理者甚至只顾眼前利益,忽视了长远利益,没有投放相应的人力、财力、物力进行风险管理审计工作,最终导致企业不能及时的发现和预测风险,造成了不可挽回的损失甚至是致命的打击。正是由于企业的管理者缺乏成熟的风险管理理念及科学的风险管理策略,阻碍了风险管理审计工作的顺利开展。
二、我国风险管理审计的有效对策
(一)完善风险管理审计法规及准则
完善的风险管理审计法规准则是企业风险管理审计高效执行的有力保障,是保护投资者合法权益的重要法律依据。当务之急是加快风险管理审计在实务操作方面的建设。我国可以参考COSO委员会2004年的《企业风险管理—— 整合框架》(ERM)、国际审计准则和中国注册会计师审计准则,依托《内部审计具体准则第16号— —风险管理审计》,针对经济运行过程中出现的新情况新问题,明确规定风险管理审计的内容、审计程序、审计方法、审计标准、审计报告,为风险管理审计的顺利开展提供指导,铺平道路。目前我国有一些企业采取IT治理风险管理审计,而对此可供参考的准则只有:2006年注册会计师协会颁布的“中国注册会计师鉴证业务具体准则第1663号——电子商务对财务报告的影响”;财政部2007年3月颁布的“企业内部控制具体规范(征求意见稿)——计算机信息系统”。我国可以加强这方面的立法,规范风险审计工作,保证其顺利开展。
(二)确立风险管理审计模式,优化审计方法
企业风险管理审计是以企业风险经营与风险管理为出发点,从财务报表的源头去分析审计风险,实施审计程序,这种审计模式满足了企业进行全面风险管理的要求,有助于应对内外部不断变化的环境。企业可以借鉴内部审计程序的九个步骤:选择被审计者、制定审计计划、初步调查、审查内部控制、扩大性测试、形成审计发现和审计建议、提出审计报告、进行后续审计、最终评价来等程序进行风险管理审计。同时,内审部门应该借鉴发达国家经验,结合企业实际情况,不断探索有效的审计技术,开发新的审计软件,优化审计方法,改进计算机审计系统,以提高风险管理审计的效率。
(三)提高企业风险意识,融入企业文化
企业文化作为是企业在长期的实践活动中所形成的具有本组织特色的文化,它是企业的无形资产,把风险管理的理念、意识和制度在企业内散播和培养起来,融入到企业文化之中,而上升到文化境界层次,风险管理就成为企业管理层和员工共同关心、随时关心的问题,不但可以为企业的全体员工提供一种原则的指导,而且可以使企业的风险管理工作达到事半功倍的效果。
参考文献:
[1]黄震,孙小鸿.风险管理审计及其免疫系统功能探析[J],山东社会科学,2010年12期
企业风险与合规范文5
[关键词] 企业风险管理 内部控制 平衡计分卡
一、建立有效的内部控制体系是防范企业风险有效途径
内部控制是指企业为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误和舞弊,保证会计资料及相关资料的真实、合法、完整而制定和实施的政策与程序。美国在2002年7月颁布了《萨班斯――奥克斯利》(SOX)法案。SOX404条款要求公司在报送的财务报告中,对公司的内部控制架构和它的有效性进行评估,所有的上市公司的内部控制制度都要达到SOX404条款规定的标准要求。可见,内部控制制度对防范企业风险的重要性。
良好的内部控制可以合理保证企业合规经营、财务会计信息的真实可靠和企业经营效率的提高,而合规经营、真实的财务报告和有效率的经营也正是企业风险管理所应该达到的基本状态。从这个角度出发,内部控制是风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理。相反,如果没有良好的内部控制,则往往会导致各种错误和舞弊的产生,甚至造成企业的破产倒闭。从国内的巨人集团衰败、银广厦案到国外的巴林银行倒闭、安然事件等无不是由于其内部控制缺损或失效所致。因此,内部控制是防范企业风险事件发生的一种长效机制。
二、保证内部控制有效性必须注意以下问题
内部控制按其控制的目的不同,可分为管理控制和会计控制。前者以提高企业经营效益和工作效率,保证经营方针、决策的贯彻执行以及经营目标的实现为目的;后者则是以保护企业财产物资的安全、确保会计信息的真实与完整以及财务活动的合法性为目的。两者相互联系、相互影响,有些控制措施可以用于会计控制,也可用于管理控制。内部控制在企业管理实务中的表现通常是制度或工作流程,其有效性取决于两个方面:一是制度的完善与合理;二是制度的执行情况。具体来说要保证内控制度有效必须重点做好以下几个方面的问题。
1.随着企业发展和内外部环境的变化,与时俱进,不断完善内部控制制度,适应企业运作的实际情况,既要避免制度管理上的盲点又要避免一些不必要环节和控制点,影响企业的运营效率和制度执行的自觉性。企业内控制度的完善在于对关键风险控制点的有效掌控。事实上,包括像世通、安然在内,几乎所有大公司都有一整套风险管理制度。这些制度涵盖了从对外投资到差旅费报销等所有环节,应有尽有。其实,企业的管理资源是有限的,控制需要耗费大量成本。如果企业将主要精力放在所有琐碎细小的控制点上,显然就有些舍本逐末了。
2.营造良好企业制度文化氛围,形成遵守制度和按工作流程办事的自觉性,创造良好的内部控制环境。对于一个企业而言,内部控制最大的困难不在于设计一套制度,而在于如何保证制度的执行。内部控制的真正意义和价值就在于执行。世通、安然、中石油新加坡公司破产案无不说明公司的风险来自于内控制度的失效和形同虚设。这些公司在内部控制制度都比较完善,有些还是请专门的中介机构设计和制定。因此,公司内部控制制度的根本就是授权和监督,公司所有人的权限都是在这个组织中被授予的,并要得到有效监督。任何人都不能凌驾于制度之上,否则制度只能是一纸空文,对企业风险的防范毫无作用。只有当企业中的每一个员工目标明确,观念趋同,内部控制才更有实效。良好的企业文化氛围能为内部控制程序的执行创造良好的人文环境。
3.以人为本抓好管理控制。管理控制的范围很广,包括企业内部除了会计控制之外的所有控制,如企业发展战略、组织结构、人事管理、安全和质量管理、部门间的关系协调和企业负责人及高层管理决策及行为等方面的控制,但重点是与人的行为紧密相关的组织结构、人事管理控制等。
三、构建企业风险管理及预警体系,做好企业风险的预警及防范工作
内部控制虽然可以防范企业风险,并构成风险管理的必要环节,但内部控制不能代替风险管理,因此,企业必须结合企业实际构建风险管理及预警机构,加强风险管理。只有这样,当企业风险产生并威胁到企业的生存和发展时,才能及时化解风险。每个企业因其规模、所处行业等的不同其相应风险因素和防控手段都会不同,因此风险管理应因企而治,但总体来说应按照风险管理的基本程序作好风险识别、风险评估和风险控制,按照内部环境、目标制定、风险识别、风险评估、风险应对、控制活动、信息和沟通、监控等要素构建风险管理的基本框架。
1.要结合企业实际制定风险管理总体目标。
2.明确风险控制责任,健全风险管理组织机构。
3.建立健全风险分析评估、预警、处置工作流程。要能够很好地防范企业经营风险,必须按照风险级别建立一套有效的企业风险管理制度和流程。
参考文献:
[1]汤敏茅于轼:现代经济学前沿专题[M].北京:商务印书馆,2002
[2]张连起:内部控制:一个棘手的任务[J].财务与会计,2004,(6)
企业风险与合规范文6
关键词:内部控制 风险管理 ERM框架 IC-IF框架
一、内部控制的定义
那么什么是内部控制?理论界存在各种观点,1949年,美国会计师协会的审计程序委员会在《内部控制:一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”
1992年,美国“反对虚假财务报告委员会”下属的由美国会计学会、注册会计师协会、国际内部审计人员协会、财务经理协会和管理会计学会等组织参与的发起组织委员会(COSO)报告《内部控制――整体框架》(即“COSO报告”)。该报告将内部控制定义为:是受企业董事会、管理当局和其他职员的影响,目的在于取得经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程。
我国1997年开始实施的《独立审计具体准则第九号――内部控制与审计风险》的定义是:“内部控制是被审计单位为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。”
上述三个定义具有几个共同特点:一是都将内部控制解释为一种政策或程序(过程);二是都在定义中说明了内部控制的目标;三是都是从审计的角度做出的定义。
二、内部控制理论发展过程
内部控制理论的发展是一个逐步演变的过程,大致可以区分为内部牵制、内部控制制度、内部控制结构、内部控制整体框架、风险管理框架五个阶段。
第一,内部牵制阶段。
相互核对是此阶段内部控制的主要内容,设定岗位分离是内控的主要方式,这在漫长的几千年内被认为是一种最实用的控制方法。
第二,内部控制制度阶段。
内部控制制度有两类:内部会计控制制度和内部管理控制制度,内部管理控制制度包括,不仅限于组织结构的计划,以及关于管理部门对事项核准的决策步骤上的程序与记录。会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。
第三,内部控制结构阶段。
内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,内部控制由三个要素组成:内控环境、会计制度和控制程序。
第四,内部控制整体框架阶段。
1992年9月,COSO委员会提出了报告《内部控制――整体框架》(1994年进行了增补),该框架指出“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”
第五,风险管理框架阶段。
2004年9月《企业风险管理――整合框架》正式文本。企业风险管理整合框架认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项。管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”该框架拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。
三、关于内部控制和风险管理的研究报告
COSO的研究报告《内部控制整体框架》和《企业风险管理整体框架》是美国上市的公司需要重点研究的对象。
1992年《内部控制一整体框架》(Internal Control-Integrated Framework以下简称为“IC-IF”框架)报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”?它认为,内部控制系统是由以下五要素组成:
内控环境――内控环境是企业的基调、氛围,直接影响企业员工的控制意识。
风险评估――风险评估是识别、分析相关风险以实现既定目标,是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险,影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险,并适时加以管理。
内控活动――内控活动指那些有助于管理层决策顺利实施的政策和程序,是针对风险采取的控制措施。
信息与沟通――是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递,以便员工履行职责。信息不仅包括内部产生的信息,还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。
监督――是对内部控制系统有效性进行评估的过程,可以通过持续性监督、独立评估或两者的结合来实现对内控系统的监督。
2002年萨班斯一奥克斯利法案频布后,COSO于2004年了《企业风险管理整体框架》(以下简称EBM框架)。ERM框架是IC-IF框架的更新补充。ERM框架对内部控制的定义明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;㈣合理保证;(7)为了实现各类目标。对比原来的定义,ERM概念要细化的多。
在内部控制整合框架五个要素的基础上,COSO企业风险管理的构成要素增加到八个:(1)内部环境;(2)目标设定:(3)事项识别;(4)风险评估;(5)风险应对;(6)控制活动;(7)信息与沟通;(8)监控。八个要素相互关联,贯穿于企业风险管理的过程中。
COSO企业风险管理的定义:“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架。为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。
ERM框架重视的是企业风险管理,IC-IF框架中内部控制则是企业风险管理中不可分割的一部分。COSO在《企业风险管理框架》前言中指出,企业风险管理框架是建立在内部控制整体框架基础之上的,对企业风险管理内容的关注更加广泛与深入。ERM并非替代IC-IF,而是包容了IC-IF,在内控的有关概念上,两者保持了一致与连贯。企业风险管理框架不仅可以满足企业加强内部控制的需求,也能促进企业建立更为全面的风险管理体系。
