前言:中文期刊网精心挑选了风险管理和风险控制的区别范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
风险管理和风险控制的区别范文1
一、内部控制与风险管理的关系
(一)内部控制与风险管理的融合
一直以来,内部控制与风险管理之间的博弈就没有停止过,目前主要形成两种观点:一种认为二者是两个完全不同的概念,相互之间不可以取代;另一种认为二者只是术语不同,其实基本没有区别。之所以产生对立观点,是因为相关学者对内部控制和风险管理的内涵与外延办公室不同,或将内部控制作为实现风险管理的步骤与手段,或将风险管理作为内部控制的组成。但无论是何种观点,目前风险管理与内部控制有一个趋同的倾向,也就是说它们在渐渐的融合之中。据IFAC的一项调查显示,全球超过600学者反馈表示,应加强内部控制与风险管理的一致性工作。我国相关法规条文也体现了融合的理念,如《企业内部控制基本规范》将内部控制作为一个较大的概念,风险管理被囊括其中,而《中央企业全面风险管理指引》又将风险管理作为一个较大的概念,内部控制是重要的实现手段。其实,无论是内部控制还是风险和管理,其作用都是为了防范企业风险,所以它们走向融合也是必然的。理论上讲,内部控制与风险管理融合具有一定科学性:①概念虽未形成共识,但实现目标过程的一致性得到人们的广泛认可;②目标一致,都是为了将风险控制在可控范围之内;③程序一致,虽然叫法有所不同,但程序的本质有高度的一致性;④方法互用,两者经常可以替换使用。
(二)内部控制与风险管理的协同
就拿监管机构来说,眼下已经形成了一个稳定的系统,现在又要将其融合在一起,肯定很难实现,这对于内部控制和风险管理领域的专家来讲,也是无法接受的。在实践之中,为了促进两者的融合,可以通过协同方法来实现。企业没必要为实现同一目标而制定两套手册或指南,也没必要建立一个内部控制部门,再加上一个风险管理部门,企业应该将其整合起来,同时将风险控制整合到公司治理、战略及运营之中。理顺各种关系,使两者相互促进、相互融合,形成一个良性循环,才能控制企业持续健康地向前发展。
二、基于风险管理的企业内部控制建设策略
(一)构建以“现金流量”为核心的内部控制模式
企业内部控制是一项复杂而系统的工程,涉及到企业所有的生产经营环节,寻找一个合理的切入点十分必要。资金作为企业赖以生存和发展的基础,是企业生命的源泉。生产经营其实是人力资源作用于物质资源的过程,在这个过程中货币体现了核心作用,所以货币也是危险等级最高的资源,能够安全有效地运行,也决定了风险评估中财务风险的高低。因此,加强“现金流”的内部控制可以促进主体正常组织资金活动,防范和控制资金风险,保证资金安全,提高资金使用效益,而建立和完善以现金流为核心的内部控制和风险管理体系可以为企业高速、持续的发展保驾护航。
(二)加强关键环节的风险控制
企业经营活动是由一系列的业务节点构成的,各个节点环环相扣构成了企业活动的整体。业务流程中实现节点的优化和风险因素的控制是提高风险管理能力的根本所在。业务流程的梳理及改革体现在内控上,设置关键控制点并选择相应的控制手段,以实现对操作行为的制衡。收集企业经营过程中的各种信息,进行风险评估与识别,对关键风险控制点进行严格把关,制定风险管理解决预案,从而保证内部控制的顺利进行。关键环节所涉及到的人员要进行严格的培训,提高风险管理意识,使其从思想上重视内部控制,重视内部风险管理,其意识对风险管理成败有直接影响。风险控制具有很强的系统性和联系性,各单位和部门要权责明确,加强沟通,保证企业运营系统高效运行。优化企业管理功能,实行精细化管理,据此分析企业的关键控制环节和风险点,编制企业的风险管理预案。
(三)建立风险预警体系
实践表明,只有把握风险管理先机,才能发挥风险管理的效用,只有及时、准确掌握经济动态信息,才能采取针对性的风险管理措施,取得应对风险的主动权。这就要求企业必须适应时展的要求,将先进的信息技术引入其中。一是建立完善、成熟的企业信息管理系统,实现对企业运营数据的收集、存储、处理和披露,利用先进的算法实现业务信息向会计信息的转化;二是从风险监控和预警角度出发,建立风险预警分析系统,利用科学、先进的计量模型,实现对企业偿债能力、运营能力、获利能力等状况的分析,预测企业的风险可能性及大小,随时做好应对风险的准备。企业要上下协同,提高风险应急能力,一旦触发风险信息就应该立即向上级汇报,立即组织攻关小组研究应对策略和组织实施,由被动变主动,尽可能避免风险发生,无法避免时尽可能将风险降到企业可接受范围之内,从而保证企业生产经营活动的维持和正常运转。
(四)提高员工内部控制意识,让其主动参与进去
风险管理和风险控制的区别范文2
Abstract: Construction project will appear many unpredictable problems which directly affect the contractor's earnings. Some risks are difficult to control, but once appear, we should promptly control and transfer them.
关键词:工程项目;风险;控制;转移
Key words: engineering project;risk;control;transfer
中图分类号:TU7文献标识码:A文章编号:1006-4311(2010)13-0099-01
0引言
解决工程项目在营建过程中,从承包商角度来看,存在着建设周期长,投资数额大,工作和工序繁多的特点。因此,在施工中,这些因素制约着承包商未来获取收益的多寡。
1承包商面临的风险
工程承包,既是一项商务活动,又是一项工程施工活动。它必然受到工程所在地的自然环境、社会环境和相关人为因素的影响。工程承包是一项风险较大的工程施工活动。工程承包风险,是指工程实施结果相对于预期的结果的变动程度,即承包商预期收益的变动程度。工程承包风险的起因是由许多不确定因素造成的。要想获取目标预期利润,必须正确地考虑工程承包风险。从有关统计资料来看,承包商在标价中风险费用所占比例都比较低,这是因为承包商对众多的风险因素采取了积极的管理措施,如风险责任的转移、分担、保险等控制风险事故发生或降低风险损失的措施。所以,承包商要想达到顺利实施工程和盈利的目的,对工程承包风险的正确分析、控制与管理就显得极为重要。对于承包商而言,重要的风险因素主要有:a.劳力、设备和材料的取得;b.劳力和设备的生产率;c.不合格的材料;d.劳工纠纷;e.安全;f.通货膨胀(总价合同);g.承包商的工作能力;h.变更指令的谈判;i.工程质量;j.合同延误;k.财务控制能力;l.工程实际数量。这些风险因素涉及的特点有:1)不平衡或巨额的现金流;2)特殊的质量或技术要求;3)重要的法律或合同要求;4)重要或敏感的外部环境。一旦项目涉及以上特点时,就有必要进行风险的分析及有关管理工作。
2风险控制与风险转移
承包商在进行传统的风险控制时,一般按照施工过程的延续,把控制过程分成若干阶段,分析各阶段潜在的风险因素,从而制定出相应的对策。从表面上看,以往的方法也是利用阶段控制理论,但始终是以静态的眼光来看待风险和分析风险,各个阶段之间的风险管理工作缺乏必要和有机的联系,没有把各阶段的工作、工序和风险因素统一起来进行综合考虑。是简单的针对性强却缺乏弹性的简单的解决方法。非动态管理形成的后果,实际上是一个组织和管理程序的问题,这就涉及到风险管理体制和风险控制策略问题。现实中的风险大多是异常的、不可预见的风险因素,因此,利用传统方法往往使许多风险得不到有效的控制。这主要是由于承包商缺乏有效的风险管理体制造成的。有效的承包商风险管理体制,要求企业建立风险管理部门,利用阶段管理和系统规划,在施工的各个时期进行监督控制和决策。这里可以借用鞭子运动时出现的鞭梢效应来加以说明。用经济学的语言来描述,就是将单一的决策问题多阶段化用以回避风险、提高决策效率,即整个过程可以按时间、空间或人为地划分为若干相互联系的阶段,每个阶段都需要作出决策,目标是使整个过程的活动效果最好。作为整个过程的最优策略具有这样的性质:不论过去的状态和决策如何,相对于前面的决策所形成的状态而言,余下的逐决策必须构成最优策略。简言之,一个最优策略的子策略总是最优的。面临的风险发生了迁移,进入到新的风险控制循环,即形成了风险的“迁移效应”。我们可以用风险图的形式来说明。风险图与施工用的网络图有本质的区别。施工用网络图的箭线是具体的工作,而风险图的箭线则是可选择的策略方案与相应风险带来的后果。一旦风险变成现实,易被过去各阶段的工作所影响和束缚,极易矫枉过正,使风险进一步加大,从而增加了成本。
3承包商风险控制体制的改进和相应措施
承包商风险控制体制在工程管理中是极为重要的。这主要应从以下几个方面入手:①企业制度创新和建立风险控制秩序。企业的管理制度和组织形式的合理性是风险控制的基础,工程承包企业必须建立灵活务实的制度形式。一般而言,承包风险的发生除了不可抗力之外,主要原因就是承包企业制度不健全和工作秩序混乱造成的。适用的组织形式应以矩阵式项目经理制为主体,设立相应的风险管理部门,但管理跨度和管理层次不宜太多,应与公司发展规模相适应。此外,建立内部风险保护基金,以降低承包商运营风险,提高总体收益。②在组织上建立以风险部门和风险经理为主体的监督机制。参照国外成熟的风险控制经验,在承包商实施营建过程中建立风险部门,并设立风险经理。另外风险经理的工作可以延展到公司运营的整个过程,既可以延伸到单个项目投标报价前期准备和控制和实施工作,也可以围绕整个公司把握建筑市场脉搏进行阶段性管理。阶段性风险管理是针对项目的前期经营招标、中期实施、后期总结和处理三个阶段,进行的有效控制和根据相应风险决策而实行的动态前瞻式管理。它主要利用风险的“鞭梢效应”对风险的“迁移性”进行反馈式动态规划控制。③明确风险责任主体,加强目标管理。承包风险管理的关键点,在于确立风险责任主体及相关的责任、权利和义务。首先,定岗、定责,即确定岗位的数量及相应的任务和责任,但岗位和责任的确定又是灵活的,根据工程项目的进展或需要相应的变化。其次,利用管理环的PDCA (Plan,Do,Check, Action)和5W1H (What,When,Where,Who,Why,How)方法进行目标管理。④确定最优资本结构。承包商资本结构,是指负债和权益及形成资产的比例关系,即相应的人、资金、材料、设备机械和施工技术方法的资本存在形式。确定最优的资本结构形式,利用财务杠杆和经营杠杆,对于承包商获取最满意利润具有决定性的意义。除了以上几个方面,承包商还应积极寻求回避风险的新办法,利用国际上有效的风险回避和管理手段,以降低公司运营成本。此外,对于现有承包市场的调适和开拓新的市场,也不容忽视。新市场的建立一般是以新的施工技术和新型建造材料的推广为契机,所以,承包商要充分利用新技术、新材料和新工艺带来的机遇,开拓新市场,从而引导需求。
风险管理和风险控制的区别范文3
关键词:税务风险税务风险管理;风险识别;风险控制
1税务风险概述
国际上比较通行的税收风险管理中税务风险指税收遵从风险。所谓税收遵从风险指的就是实施税收监督与管理时,由于提高税收遵从而产生的负面性影响,这种影响具有可能性与不确定性。税收风险产生的主要原因是相关纳税主体故意不交纳税款、忘记缴纳税款或对税款缴纳相关规定一无所知。从这个角度分析,税收风险指纳税人对税法的遵从度,不涉及税务机关对税法的遵从,涵盖面较窄。税收涉及征纳双方,税法遵从也应来自两个方面,一方面纳税人对税法的遵从,纳税人不遵从税法会带来税收流失;另一方面税务机关、税务人员不遵从税法也一定会带来税收流失。也就是说,税法遵从包括两个方面,既包括纳税遵从,也包括征税遵从(税务机关执法方面的遵从)。研究和界定税务风险的概念,应该结合我国的国情,并充分考虑其他客观因素,如社会法制环境、国家相关政策、法规与制度、社会经济水平等,上述因素都属于宏观因素。但本文主要从实践层面,从税务机关执法方面的风险因素来界定。通过详细研究分析之后,我们认为税务风险指的就是在税收征管过程中,影响税务遵从的可能性。
2税务风险管理
现代税收管理体制要求税务管理充分结合风险管理与税务管理两门学科。在税收管理过程中,应根据实际状况引进风险管理理念,规避税收风险,维护国家及人民的利益。此外,还应合理配置管理资源,实施积极主动管理,规范税收执法和行政行为,最大限度地防范税收收入流失,规避税务风险。
2.1税务风险管理定义
税务风险管理是指税务风险的管理者,对其存在的潜在风险进行综合分析评估,采取措施和方法,消灭或减少潜在风险发生的可能性,把潜在风险事件发生时造成的损失降到最低程度。
2.2税务风险管理的常用方法
税务风险管理和风险管理的常用方法基本一致,针对税务风险的特点,在管理方法的使用上有一定的区别和侧重。2.2.1风险识别的方法(1)风险损失清单法。例如梳理风险岗位和风险点,编制成风险手册,从而实行有侧重的分类管理。(2)流程图法。以一般纳税人资格认定工作为例,根据工作流程将其分解成具体的工作环节,即资料受理与初审、实地调查、分局长复审、税政人员核实、税政科长复核、分管局长审批。(3)风险因素预先分析法。例如针对钢铁经营行业专项纳税评估的风险管理。在进行纳税评估之前,通过典型调查、案例审阅等多种形式,广泛收集和整理有关资料,了解该行业税收管理过程中存在的风险因素,研究对其进行风险控制的方法和条件,以提高税收管理质量和工作效果。(4)事故树法。以税务机关对偷税案件的分析和管理为例,事故树结构如表1所示。2.2.2风险评估的方法(1)风险度评价法。例如风险等级模型的分析与应用。通过归纳分析方式得出最大税务风险点,概括税收风险管理体系当中的可量化风险,并将其转化成数据模式从而完成对税务风险高低的估算。(2)蒙特卡罗方法。此方法在税务风险管理中的应用主要集中在对纳税人申报信息进行风险分析和评估方面。计算出行业增值税应税销售额变动率水平,根据统计学的标准差和离散系数计算出增值税应税销售额变动率预警指标。通过对此指标的分析,反映纳税人经营状况的波动情况,若销售额在短时间内有突增现象,则纳税人存在虚开发票的疑点,系统将自动予以预警。(3)矩阵图评价法。以澳大利亚税务局使用的遵从风险后果评价矩阵为例。澳大利亚税务局不仅考虑到了目前影响其实现工作目标的风险,还考虑到了今后对该部门实现工作目标的能力有不利影响的风险,如表2所示。
2.3风险控制的方法
风险管理和风险控制的区别范文4
关键词:内部控制风险管理风险导向
中图分类号:F270.7 文献标识码:A
文章编号:1004-4914(2010)09-020-02
在1992年《企业内部控制――整体框架》报告的基础之上,结合《萨班斯――奥克斯利法案》(Sarbanes―Oxley Act,以下简称萨奥法案)的相关要求进行扩展研究,美国科索委员会COSO在2004年正式《企业风险管理――整体框架》,指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更广泛的管理概念和工具。”该框架对内部控制的内涵进行了扩展:监督成为企业风险管理的要素之一,对企业风险管理进行监督以确定企业风险的运行是否有效,监督对象在目标、方法、内容等方面进行了扩展,但仍然遵循了内部控制监督的基本原则和方法。COSO委员会于2009年1月了《监督内部控制系统的指南》(Guidance 0n Monitoring InternalControl Syslems,以下简称监督指南)。该指南以风险导向为核心理念,以将监督有效地植入公司的持续控制过程为根本目标,从而能最小化内部控制失败,并提高决策所需信息的可靠性,它在实质上推动了内部控制监督要素的应用性发展。我国自2009年7月1日起施行《企业内部控制基本规范》,也强调了风险管理。
但是,很多研究结果表明,当前的内部控制框架有一定的局限性,尤其是对风险管理的强调不够,使企业的内部控制与风险管理无法有机结合,所以应该加强基于风险管理的内控。
一、内部控制和风险管理基本理论
1.内部控制理论。内部控制是指被审计单位为了保证业务活动的有 效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督。
内部控制理论是内部控制框架和标准制定的基础,在整个内部控制体系中起基础性作用。在我国,吴水澎,邵贤弟,陈汉文(2000)、杨雄胜(2005,2006)、潘琰,郑仙萍(2008)、毛新述,杨有红(2009)等从不同的视角对内部控制理论进行了探讨。谢志华探讨了内部控制的本质和结构,陈关亭讨论了企业内部控制的假说。
2.风险管理理论。(1)风险的概念。人们在特定客观条件下和特定时期内,对于某一事件或行为产生的预期结果与实际结果之间的差异程度就是风险。这种差异程度在本质上体现了预期主体之间的价值调整。(2)风险的特征。风险的主要特征包括:风险是客观存在的,风险是相对且可以变化的,风险是可以预测的,风险在一定程度上是可以控制的,风险损失与风险价值的对立统一性。(3)风险管理理论。风险管理是企业在识别风险、分析风险、衡量风险的基础上寻求有效控制风险的途径,并用最经济合理的方法来处置风险,以实现最大安全保障的科学管理方法。
企业风险管理的目标是通过对企业的风险进行控制和管理,尽可能使得某一风险事件或行为造成的损失比预期小,创造的价值比预期大,即风险溢价最大化。设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。企业风险管理目的在于企业同标的实现,保证股东财富的最大化。
二、内部控制、风险管理之间的关系
内部控制与风险管理并非平行的关系,应该说内部控制是风险管理的一个重要组成部分,而风险管理则是内部控制的发展和延续。内控主要是针对常规性风险,风险管理主要针对非常规性风险。
理论界和实务界对内部控制与风险管理的关系观点不一,目前具有代表性的三种观点是:内部控制包括风险管理;内部控制就是风险管理;风险管理包括内部控制。
1.内部控制包括风险管理。COCO的报告认为,风险识别、风险评估、风险应对、风险监控是企业内部控制的关键要素。CICA(1998)阐明了风险管理和内部控制之间的关系,即内部控制包括风险管理。
2.内部控制就是风险管理。Blackhum(1999)认为风险管理与内部控制仅仅是人为的分离,在现实的经营活动中,两者是相同内容的不同表达形式而已;Matthew Leitch(2004)认为,理论上风险管理系统和内部控制系统没有实质上的区别,随着这两个概念的内涵不断外延,两者正趋同一致,即内部控制就是风险管理。陈关亭(2005)认为风险管理与内部控制并不是包含关系,而是完全等价的。
3.风险管理包括内部控制。美国科索委员会COSO于2004年正式的ERM--IF表明了内部控制是风险管理不可分割的一部分。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。2009年的《监督内部控制系统的指南》也体现出了类似理念。通过分析,笔者倾向于第三种观点,认为风险管理的范围大于内部控制,且二者逐渐在融合。原因主要在于:(1)按风险管理和内部控制的发展进程来看,内部控制早于风险管理;(2)COSO于2004年9月正式颁布的ERM--IF指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更为广泛的管理概念和工具。”所以,在当前大力提倡建立完善的内部控制的大环境下,必须要基于风险管理来开展。
根据上述分析,企业风险管理和内部控制融合关系框架如图l所示。从图中我们可以看出:内部控制、风险管理之间的关系非常密切。因此,必须把这两者融入企业日常的经营管理之中,充分考虑在实现企业战略目标过程中的风险,并针对风险采取有效的措施加强内控控制。
企业实现管理目标的前提是防范风险,防范风险的内在机制在于内部控制。目前,我国内部控制制度及实施情况仍然比较落后,还存在着许多问题。
1.风险管理与内控脱节。一些企业由于风险问题而损失严重,甚至倒闭,不是因为没有内部控制体系、风险控制制度,而是根本就未有力执行,公司治理控制没有很好地发挥作用,治理层风险意识单薄,人员职业道德偏低,从而未起到强有力的制衡作用,导致管理层无视企业的制度,按自己的意图肆意妄为。这有待于通过改善公司治理结构、强化外部监管来强制企业按制度办事,并针对违规行为制定严厉的惩戒措施来逐渐改善,使得风险管理与企业的内部控制有机结合。
2.企业缺乏良好的风险管理及控制环境。我国企业对风险管理的重视程度不够,普遍缺乏足够的风险意识和风险管理文化,企业及高管很少具备进行风险管理所需要的科学知识结构,企业存在的环境是风险管理的基础,为其他要素提供合理的氛围。在实践中,内部环境受企业历史
和文化的影响,具体包括企业员工的道德观和胜任能力、员工的培训、管理者的管理风格和经营哲学、企业文化等。在风险管理过程中,治理层、高管层和基层必须保持高度的风险意识和遵守业务工作流程,因为在风险面前,任何一个疏于坚持原则的行为或判断,都很可能导致控制失败,给企业带来巨大的损失。我国很多企业发生风险管理失败的重要原因之一是缺乏高度的风险意识和坚定的原则操守,这很大程度上是由于缺乏关注风险管理的企业文化等内部环境。制度规范、市场等企业生存的外部环境也是影响风险管理和内控实施的重要因素。
3.监督机构不健全,独立性不强。要确保内部控制制度被切实地执行且执行的效果良好,必须有良好的监督约束机制。内部审计机构在其间发挥着重要的内部监督作用。为此,审计署颁布了《关于内部审计工作的规定》,批准公布了《内部审计准则》,以加强内部审计在内控中的监督作用。由于内部审计机构的独立性及监督能力受到管理体制、外部干预等多种因素的影响,所能发挥的监督作用有限。许多企业的内部审计部门形同虚设,不独立于企业的其他部门,不具有监督所应有的权利和地位,内部审计人员的素质参差不齐,有些企业的内部审计人员甚至不具备最基本的财会知识,因此,行使监督职能时就会力不从心,不少企业的内部审计仅仅流于形式,大多数不能发挥其应有的作用。
4.缺乏有效的风险评估体系。目前我国企业内部控制评价主观性大、评价标准不统一、风险评估体系不完善,没有形成一套有效的风险评估体系对风险进行评估。对风险的识别和衡量更多的是依赖经验,模型分析和量化分析较少,找不到关键控制点,这导致企业风险管理及控制徒有虚名,给企业运营带来严重后果。
5.信息和沟通渠道不畅通。企业的各个部门,以及企业与外部不能进行有效沟通,不能及时获取有用信息会妨碍风险管理和控制。尤其是在当前信息化和网络化快速发展的时代,会导致很多信息的流失,这都会导致风险管理和控制措施不能有效地实施。
四、完善我国企业内部控制的措施
1.强化风险管理在我国企业内部控制中的核心地位。随着我国制度和规范的健全,我国企业的内部控制不是缺乏制度和政策。而是缺乏让制度得以执行到底的风险措施或流程。工作流程的根本任务就是将技术和人有效运作在企业组织之中,从而推进企业的技术性(技术、标准、程序、结构等)和社会性(行为规范、企业文化、激励和约束机制等)发挥整体绩效的功能。企业在制定工作流程时可以将企业的制度和执行人有效地衔接起来,从而增加工作的价值,提高工作效率,并能减少错误降低风险。所以,在当前必须要强化风险管理,否则有效的内控也难以实现。
2.完善良好的企业风险管理和内部控制环境。企业环境通常包括企业文化、治理结构、人事政策、权利和责任的分配、外部影响等,其中企业文化是核心竞争力的核心要素。完善企业环境可以从以下方面努力:(1)建立健全组织结构。组织结构提供了企业活动的筹划、执行、控制以及跟踪检查的框架,它包括权责范围以及管理层次。各组织机构的人员配备要注意职责划分。(2)加强人力资源管理。培养风险管理专业人才队伍;提高每个员工的风险控制责任感和敏感度,尤其是高管层;大力培养员工的职业道德和职业操守。企业内外经济环境和社会环境发生变化时,企业文化也应该不断的完善、调整和升华,从而适应新的环境、条件和组织目标,保证企业文化充满生机和活力。
3.健全企业风险导向下的内控监督机构。有效实施内控,要做到有效监督。监督要以风险为导向,把焦点放在评估那些应对重大风险的控制。监督应该要建立在对企业目标风险的分析以及对控制如何能够或不能够应对或减轻这些风险的理解基础上,在整个监督流程中需要始终贯穿风险导向原则。健全企业的内部审计监督机构要做到:1.进一步提高内部审计的独立性,保证审计的客观性和公正性;2.推进审计内容由财务审计向管理审计转变,管理审计可以优化企业的管理流程和提高企业的内部控制水平;3.审计时点要重视事前和事中审计而非仅仅事后审计,做到对整个过程进行审计,真正做到防范风险;4.严格执行审计决定。审计决定是对具体审计项目的总结,在经过企业领导批准后应及时送达被审计单位执行,被审计单位应严格执行。这样内部审计监督机构可以及时、准确、客观地发现和反映项目投资、业务合作、资产处置、财务状况分析等环节中存在的问题,更重要的是能提出具有可行性的审计意见和建议,为解决问题提供决策依据。
4.完善企业的风险评估体系,建立风险动态评估机制。控制和风险的概念紧密相关’风险评估是进行内部控制的依据。完善企业风险评估体系应遵守的原则是:定性与定量相结合原则、成本收益原则、重要性原则、全面性原则、有效反馈原则和灵活使用原则。风险评估主要报告筹资风险、投资风险、信用风险、合同风险。企业应在立足于自身情况的同时,构建恰当的评估模型,按照一定的风险评估过程进行评估,基本过程如图2。
风险评估体系确立了企业各种行为的边界,明确了什么可以做,什么不可以做。如果发现有越界行为,要能及时发现并对其进行控制,把损失降至最低。而且,在评估过程中要做到根据具体的情况,实时评估,建立动态评估机制以此反映不断变化的新情况。
5.建立广泛、全面的信息和沟通系统框架(1)信息系统。信息系统处理企业内部信息和外部信息。通过管理信息系统,企业内部的员工能够清楚地了解内部控制制度,知道其所承担的责任,并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。一个良好的信息系统+应有助于提高内部控制的效率和效果。企业应按控制系统的需要识别使用者的信息需要,在此基础上收集、加工和处理信息,并将这些信息及时、准确地传递。(2)沟通。企业的信息系统提供有效信息给适当的人员,通过沟通,使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。
风险管理和风险控制的区别范文5
关键词:内部审计 风险管理 角色定 位途 径措施
一、问题提出
由于各种不确定性因素,企业面临着各种风险,能否对风险进行有效的管理和控制,是企业能否生存发展的关键。企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价。我国从2005年施行的内部审计具体准则第16号―《风险管理审计》中更是强调了内部审计人员对风险管理进行审查和评价的职责。然而,我国内部审计在风险管理中应用的现状却并不令人乐观。根据调查存在以下问题:(1)内部审计人员对风险及风险管理不甚了解。28.05%的被调查内部审计人员认为风险不会影响企业价值,7.32%的被调查内部审计人员竟认为风险会增加企业价值。内部审计人员对风险的不了解,限制了内部审计对风险和风险管理的关注,制约了内部审计在风险管理中的应用。另外,内部审计人员缺乏风险管理知识,对于风险管理的先进理论―全面风险管理不甚熟悉。8.54%的被调查的内部审计人员没听说过“全面风险管理”,只有3.66%的被调查的内部审计人员熟悉“全面风险管理”。缺乏先进的风险管理理论,又从何谈起协助管理人员进行风险管理。(2)内部审计的独立性不足。内部审计部门只有独立于其它职能部门,才能独立、客观、公正地发挥其职能。62.32%的被调查单位的内部审计部门都是独立设置的,这在一定程度上保证了内部审计的独立性。但同时也应注意到内部审计的独立性还不足。56.53%的被调查单位的内部审计隶属于行政正职或分管副职,而只有19.82%的被调查单位的内部审计隶属于董事会、监事会或者审计委员会等层次比较高的部门。内部审计独立性的不足,影响了内部审计在风险管理中应有作用的发挥。(3)内部审计人员结构不合理。我国内部审计的人员结构比较单一,绝大部分是会计、审计人员。在被调查的内部审计人员中,48.43%出身于会计专业,27.99%出身于审计专业,只有10.13%出身于管理专业,以及0.74%出身于计算机专业。人员结构不合理,使得内部审计难以履行监控风险管理的职能,更别说为风险管理提供咨询服务。(4)内部审计范围狭小。内部审计人员结构的不合理,导致了内部审计范围的狭小。在被调查单位中,69.57%经常进行财务收支审计,66.67%经常进行经济效益审计,72.46%经常进行经济责任审计,只有7,25%曾经开展过风险管理审计,没有一家单位对风险管理经常进行审计。(5)内部审计方法落后。内部审计在开展审计业务时,使用的审计方法比较落后。66.67%的被调查单位采用账项基础内部审计24.64%的被调查单位采用控制基础内部审计,只有8.69%采用风险基础内部审计。审计方法的落后严重制约着内部审计在风险管理中的应用。
二、我国企业内部审计风险管理的意义及定位
(一)企业内部审计风险管理的意义主要体现在以下方面:(1)有利于进一步改进公司治理。不同的经济学观点对公司治理问题具有不同的解释,但无论是契约理论提及的不完备契约,还是信息经济学提及的信息不对称,或是委托理论提出的问题,其实质都属于风险问题,都是使企业目标元法实现的各种可能性事件。而针对这些可能性事件的管理,即风险管理,可以被认为是公司治理的核心。而从内部审计来看,通过加强对风险管理的评估和咨询,为审计委员会、董事会提供真实有力的报告证据,使股东和潜在利益相关者获得尽可能充分的信息。这自然增加了内部审计的服务职能一改进公司治理。因此,内部审计与风险管理的有效结合必将进一步改进公司治理,提高企业管理效率。(2)内部审计自身生存和发展的渴求。内部审计对风险管理的介入,使内部审计在企业中成为一个特别重要的角色,也将其在企业中的作用推向了一个新水平。同时,内部审计采用关注风险的审计方法,其报告更容易被接受,管理部门也更容易理解内部审计存在的价值,它可以帮助内部审计渡过正在影响整个职业的价值危机(Value Crisis)。正因为如此,IIA才一直积极倡导内部审计参与风险管理,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。(3)内部审计参与风险管理的独特优势。内部审计部门处于企业董事会的下属位置,是不直接参与经营活动的高层次监督部门,因而在企业风险管理中具有独特的优势。第一,能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门由于其局限性很难做到这一点。但内部审计部门不从事具体业务活动,独立于业务管理部门,这使得它们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。第二,控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。其通过对长期计划与短期现实的调节,可以调控、指导企业的风险管理策略。第三,内部审计部门的建议更易引起重视。尽管许多大型企业设有风险管理部门,但它属于管理部门的一个职能部门,向总经理负责和报告,不具有独立性,其意见有时会屈服于管理当局的压力。例如其风险管理部门对某投资项目分析后发现风险太大不适合投资,而总经理好大喜功,他会力促项目的实施,这使得风险管理部门的作用受到限制。而内部审计部门独立于管理部门,其风险评估的意见可以直接报告给董事会,这自然会加强管理当局对内部审计部门意见的重视程度。(4)能保证审计目标与企业目标相契合。传统内部审计通常采用“控制-风险÷目标”的路线,即直接测试内部控制,考虑内部控制是否有效,而风险的太小仅用于表明控制的薄弱与健全环节,从而实现防弊或兴利的目标。其结果是不断向管理层建议增加控制点或加强控制,随着时间的推移,控制点会越来越多,审计业务越来越繁琐缓慢,甚至出现多余控制阻碍各项程序正常运转的情况,因而无法与企业目标直接相关联,导致内部审计无法证明其价值所在。内部审4t@与风险管理后,采取的是“目标一风险_控制”的路线,首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险,确定审计风险水平和审计重点,提出风险防范和控制建议,最后通过后续审计,测定风险是否得到有效防范和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险。内部审计的咨询职能充分体现内部审计的能动性及增值目标,并且将事后的反馈
扩展到内部控制建立前及实施时的协助与促进,帮助管理层对风险管理进行持续改进与完善,保证审计目标与企业目标相契合。
(二)内部审计风险管理的定位 coso报告指出企业风险管理有四个目标(实现战略、高效运作、客观报告、遵守法规)、八个要素(内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动),在企业的四个层次开展(企业级、部门级、事业单位级、分公司级)。内部审计在这一框架中作为监控活动存在,即由内审机构对企业风险管理进行独立评估。内部审计师协会(IIA)在2004年9月的《内部审计在企业风险管理中的角色》意见书也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键商业风险被正确管理及内控系统有效运转。因此,内部审计在企业风险管理框架中首要角色是监督者,包括对风险管理流程的评估和保证服务、对风险评估准确性的保证服务、对关键风险报告的评估和对关键风险管理的评估。按IIA的标准,内部审计的服务种类可以划分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生而来的。除了作为监督者所提供的保证服务外,内部审计还可提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动、加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者角色。内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥很大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化成监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。(图1)说明了组织风险管理水平和报告关系对内部审计角色定位的影响。为保证独立性和客观性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、质询和支持,但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动。内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外,在实践中,应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责,就应认为与此有关领域的审计客观性受到了损害,内部审计不能就其负责协调和指导的风险管理事项提供保证服务。
三、我国企业内部审计风险管理的思考
(一)内部审计参与风险管理的具体途径 与一般的防范、控制管理部门的风险管理相比,内部审计部门所进行的风险管理,既与其有紧密的联系又有较大的区别。“紧密联系”表现在,两者的目的是统一的,都是为了降低企业的风险;区别在于它们在风险管理中的角色不同。正是由于上述的联系和区别,决定了内部审计部门的风险管理主要是履行以下再监督责任:(1)评估风险的“三性”特征。一是评估风险识别的充分性。有效的风险防范体系要求企业广泛、持续地收集与本企业风险和风险管理相关的内外部信息,包括历史数据和未来预测,以达到识别风险的目的。为了及时地获取资料,并保证资料的真实可靠,企业应当把收集初始信息的职责落实到各有关职能部门和业务单位。内部审计部门应实施相关审计程序,对企业部门和单位风险识别程序进行评价,重点关注企业面临的内外部风险是否已得到充分、适当的确认。二是评价已有风险衡量的恰当性。内部审计部门应当对已有风险衡量进行评价,并重点关注风险发生的可能性和风险对企业目标的影响程度。同时,内部审计部门应当充分了解已有风险衡量的方法,应对管理层所采用的风险评估方法的适当性和有效性进行审查。内部审计部门对管理层所采用的风险评估方法进行审查应重点考虑以下因素:已识别的风险的特征;相关历史数据的充分性与可靠性;管理层进行风险评估的技术能力;成本效益的衡量等。三是评估风险防范措施的充分性。内部审计部门应当实施适当的审计程序,对风险防范措施进行审查,内容包括:采取风险防范措施之后的剩余风险水平是否在组织可以接受的范围之内;采取的风险防范措施是否适合本组织的经营、管理特点;风险防范措施是否有效涵盖重大风险等。(2)对企业风险管理结果进行评价。根据企业外部经营环境和内部管理环节的变化,及时提出改进意见。内部审计部门对企业风险管理结果的评价内容是企业风险管理目标的完成情况,具体包括:企业阶段性风险控制目标与实际结果的相符程度,确认两者之间的重大差异,并加以分析;从上述分析的结果出发,持续评估公司既定的风险防范体系的完备性;与相关管理层定期讨论部门的目标及其存在的风险,以及管理层采取的降低风险、加强控制的措施,并评价其有效性;评价风险监控报告制度是否恰当;评价风险管理结果报告的充分眭和及时性;评价管理层对风险的分析是否有效;对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确;评估与风险管理有关的管理薄弱环节等。(3)将企业风险管理融入内部审计程序。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此,内部审计部门应将日常审计工作与企业的风险管理协调一致,将风险管理纳入日常审计范围。包括:在编制审计计划时,应在对企业风险进行评估的基础上,制定内部审计部门的审CtCt划,确定审计项目;确定审计范围时,要考虑企业的战略性风险计划目标,并每年对审计范围进行一次评估,以涵盖企业最新战略所面临的风险;编制审计方案时,应通过风险因素分析来确定审计业务工作重点;在审计实施过程中,应通过评价内控制度,验证风险控制的有效程度;在选择检测风险的技术与方法时,应如实反映风险的重大性与发生的可能性;在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议;在追踪审计时,应将风险确定为决定追踪审计范围的重要因素。
风险管理和风险控制的区别范文6
文 白万纲
内部控制与风险管理是相互联系而又有区别的。从总体来说,内部控制是风险管理的初级阶段。在目标、内容等方面进行延展和扩充后,内部控制发展成为企业全面风险管理。
内部控制的含义与发展
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。其目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内部控制的整体描述可以通过图1表示。
内部控制从产生发展到现在,共经历了四个阶段。第一阶段,萌芽期——内部牵制,公元前3600年—20世纪初期以前:第二阶段,发展期——内部控制制度,至20世纪70年代;第三阶段,过渡期——内部控制结构,20世纪80年代至90年代;第四阶段,成熟期——内部控制整体架构,20世纪90年代至今。
在不同的发展阶段,内部控制也经历了不同的进化过程。首先,是简单的内部牵制,主要是通过一些简单的内部控制活动来杜绝个别事务上的舞弊,形成制衡.驱除私利放大;其次,是建立制度化的内部控制,主要是通过建立制度,以制度代替人,以制度中的制衡和互相印证,以管理和财务的关系来制衡;再次,是建立内部控制结构,主要是通过建立内部控制环境和控制程序,构建一个政策与程序环境;最后,是建设动态的、可以自我进化的内控体系,主要是以风险管理作为内控不断改善的驱动力:以风险为引擎来驱动内控体系不断地提升,形成一个PDCA式形成与上升。
内部控制尽管可以帮助企业防范舞弊、堵塞漏洞、应对内部管理风险,但是其缺陷也是显而易见的。首先,内部控制的主要工作范围是企业内部。对于企业外部的各种不确定性因素,内部控制往往显得力不从心。其次,内部控制主要是以业务循环及其中的关键控制点为对象的,控制和管理的范围相对于企业管理而言过于狭窄。
可见,单凭内部控制是无法帮助企业应对各种内外部挑战的。因此,企业需要一个比内部控制更为高级、更为全面的管理系统。
企业全面风险管理时代的到来
企业的发展需要应对内部和外部的所有不确定性。而内部控制自身的局限性无法帮助企业防范和控制所有的内外部风险。由此,逐步发展出了企业全面风险管理的理念。
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
企业开展全面风险管理要努力实现以下风险管理总体目标。一是确保将风险控制在与总体目标相适应并可承受的范围内;二是确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告:三是确保遵守有关法律法规,确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;四是确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
全面风险管理的五个层次。一是发现和处理问题:在风险还没有露出或者刚刚冒头的时候,就直接找准导火索并将它给掐灭。在对待风险的态度上,能堵则堵。采用堵的方法,处理的过程往往是较短的,风险的影响、解决的成本也将是较小的。
二是锁定和化解风险:堵不了,就用力量去扑灭它,但同时也不要忘了疏导。 。
三是预见与控制风险:就风险而言,事先能够预防,远比风险发生后再去解决它,更节省成本、降低风险。所以,为自己构筑一道“防火墙”或者是让自己穿上一件“避弹衣”,就是应对风险的上上之策。
四是驾驭风险:风险的影响不仅是坏的,也可能是好的,企业集团在风险评估和各类控制活动时,除了分析集团的风险,更应关注风险背后的机遇。
五是超越战略管理进入风险管理层次:企业把应对风险的能力当作是个竞争优势的来源。踏着风险前行,做风险的弄潮儿,在与风险博弈中把竞争对手甩在后边。
从内部控制升级到企业全面风险管理
华彩认为,内部控制和风险管理是既有区别又有联系的。从整体来说,内部控制是风险管理的重要基础,风险管理是内部控制发展的必然结果,即企业全面风险管理是内部控制的升级版本。
风险管理的体系是在内部控制体系基础上建立起来的。内部控制的体系主要着重于对流程的管理和控制。这点可以从财政部早些年的几个内部控制应用指引的内容看出来。当时的内部控制应用指引全部是以业务循环为基本框架的。所有对内部控制关键控制点的设置、内部控制活动的安排,都是以流程为基础的。即使发展到今天,不管是在实践中还是在理论研究上,流程化控制仍然是内部控制的主要内容。相比之下,全面风险管理体系则比内部控制体系大得多。全面风险管理体系不但涉及流程控制,而且包括企业风险战略、公司法人治理结构建设、组织保障体系、风险理财等很多内容。也就是说,全面风险管理体系已经从内部控制单的流程控制扩展为 个囊括从企业战略到业务活动、从组织结构到职责分工、从业务管理到风险理财等各个方面的、立体的、全方位的企业管理体系。
风险管理的要素包括了内部控制的全部要素。内部控制的要素主要有五个:控制环境、风险评估、控制活动、信息与沟通、监督。而风险管理的要素则是八个:控制环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、持续监督。全面风险管理则是通过执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系。如此看来,内部控制与全面风险管理可谓是一脉相承。
