前言:中文期刊网精心挑选了企业内部风险管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业内部风险管理范文1
企业对外经营运作过程中,面临各种经营风险,包括因竞争对手的恶意竞争行为导致的风险、因合作伙伴履约资信问题导致的风险以及因经营环境变化导致的风险,如国家法律、政策的变化。
企业内部管理追其根源,均在于人力资源的掌控,因此我们通常将企业的内部管理风险概括为“人力资源风险管理”。
人力资源风险管理中最常见的几类问题,包括:黑单、泄露公司机密及商业秘密、虚报或假报帐目等。出现以上问题,究其根本,有三个层面的原因:
第一,目前我国社会信用体系不完善;
第二,公司内部管理制度存在缺陷,制度制订不足,特别是有些企业根本没有建立人力资源道德风险的防范和监督制度,公司管理层对公司制度执行不力,甚至参与有损公司利益的行为;
第三,员工职业素养有待提高,缺少必要的职业规范和素质或者道德水准、特别是尽职性不高。
因此,企业必须加强内部风险控制,建立并完善内部人力资源风险防范体系和危机处理机制,控制内部人力资源风险,从而保障企业商业安全。
企业增强风险控制能力,首先,必须建立事前防范保障机制。设立对应聘人员和重要岗位待聘人员的资质审核程序,全面、深入核实其背景资料,同时也可通过心理测试,获取一些其它途径无法得到的真实信息,比如应聘人员是否对企业隐瞒的、档案材料中无记载的重要背景信息,如是否有犯罪前科,是否有吸毒、同性恋和其它不良嗜好,是否加入非法组织,是否是国外间谍或竞争企业的商业间谍。
其次,建立事中预防监控机制。事中预防监控是事前防范的延伸。公司内部,要对在职人员,特别是重要岗位员工进行公开的定期、不定期考核或心理测试;加强对员工个人职业素养的培训与提高,完善新员工的培训机制和对在职员工的考核机制。公司外部,可聘请专业的调查公司对重点岗位员工的尽职状况进行定期保密调查。
最后,建立事后危机处理机制。公司内部要设立专门的危机管理部门,并不断健全和完善部门制度;公司外部,可聘请专业调查公司对在职人员、离职人员的职业去向进行追踪调查。
我们对不同阶段对风险控制的程度有一个大概的统计,基本上是:事前控制:100%,事中控制:85%,事后控制:15%。可见事前对风险和危机进行控制是最有效的。因此,企业加强风险控制,建立人力资源风险管理体系,其重点也在于建立事前的风险防范和事中风险监控机制。 总结以上风险控制方法,现阶段企业人力资源风险控制与管理应着眼于以下方面:
1、企业必须培养事前风险防范的意识,并建立相应的监督体制,以确保这种意识落实到现实的管理过程中;
企业内部风险管理范文2
[关键词] 内部控制 风险管理 内部审计
美国次贷危机引发的全球性金融危机,对我国的经济发展产生了强烈冲击,经济增长速度明显放缓,世界范围内的经济危机对我国实体经济的负面影响持续蔓延,市场环境变得更加动荡不安,经营风险加大,由此也引发了企业对如何加强风险管理的思考。
一、风险管理
风险表现为发生损失的可能性。风险管理就是企业识别、评估和应对各种经营风险的过程。企业的经营风险是不可避免的,企业应当结合不同发展阶段和业务拓展情况,积极进行风险管理,尽可能地降低风险,有效地减少可以避免的损失。
内部控制,是指为了合理保证企业财务报告的可靠性、经营的效率和效果、资产的安全以及对法律法规的遵守,由企业治理层、管理层和全体员工设计和执行的政策和程序。作为每个企业管理中非常重要的一环,良好的内部控制,是企业重要的风险管理手段之一,加强企业内部控制对提高企业经营管理水平、风险行为防范能力,确保企业战略目标得以实现具有重要意义。2009年公布的《中国上市公司2009年内部控制白皮书》统计结果表明:内部控制越好的公司投入资本回报率越高,内部控制的加强有助于提高投入资本回报率。
现阶段,由于我国的市场经济体制尚不完善,市场环境的不规范性较为突出,再加上许多企业正处于转型期,各种不确定因素加剧。因此,我国企业迫切需要完善其内部控制,有效地防范和应对企业面临的各种风险。
二、我国企业内部控制与风险管理的现状
1.管理层的内部控制观念薄弱,员工不参与风险管理
有些管理人员对内部控制的认识和理解上存在偏差,认为内部控制只是企业内部的各种规章制度的简单汇总。他们错误地认为内部控制只能起到日常管理员工的作用,对其在风险管理中的重要性认识不足。有的企业内部控制的可操作性不强,风险管理水平较低。他们通常只重视风险的应对,而轻视风险的预防,导致企业出现重大以外事件的可能性增大。殊不知有效地预防风险,比风险发生后再想办法去补救以及事后纠正更有利于降低企业的损失,而且事先防范风险比事后应对风险更容易掌握主动权。
有的企业没有树立全员参与风险管理的观念,认为风险管理只是企业治理层和管理层的事情,与一般的基层员工无关。没有让企业的一线员工参与风险管理,其后果通常是难以发现风险管理过程中的薄弱环节,防患于未然。让企业的每一位员工在工作时,都考虑风险因素,才能从源头上防范风险。
2.内部控制设计存在缺陷,风险管理机制不健全
传统的内部控制设计仅仅局限于对财务信息的真实性和可靠性的监督管理,对于财务风险以外的其他风险则往往不加以考虑。而合理的内部控制设计应全方位地考虑企业所面临的各种风险,如市场风险、金融风险、法律风险和投资风险等也应当包含在内。企业应该抓住经营管理过程中的所有关键控制点,根据实际情况设计相应的内部控制,而且要防止企业管理层可能出于欺诈目的或屈从于外部压力的因素(如时间或成本等)而凌驾与内部控制之上,内部控制可能会被规避,形同虚设。
3.缺乏有效的风险监管措施
保障制度的有效执行,需要有效的监督加以配合。有效地执行设计合理的内部控制,才能真正达到防范风险的目的。所以,对内部控制的监督是重要的风险管理措施之一。目前,我国许多企业忽视对内部控制的监督制度,尤其缺乏可以量化的风险管理制度。例如,内部审计是一种风险监督的重要措施。但由于内部审计工作不带有强制性,也不能对外出具具有法律效力的审计报告;所以,我国的内部审计工作长期以来一直得不到重视,很多企业不是没有建立内部审计制度,就是内部审计没有真正发挥其监督管理的作用。比如,从岗位设置看,目前企业大部分的内部审计部门,基本上与其他职能部门平行,大多数中小企业甚至还没有独立的内部审计部门。从已有岗位设置的企业来看,这种机制也往往会使内部审计机构及人员受集团利益因素制约、中国传统的人际关系的影响,无法独立、客观、真实、公正、深入地开展工作,做出的审计处理也往往因管理体制的制约,致使许多内部审计过程流于形式,工作也缺乏自身应有的地位和威信,使内部控制这样的有效机制,变成“内部人控制”的机制。
三、完善内部控制,加强风险管理
1.加强员工业务素质培训,提高员工业务能力
随着社会主义市场经济的发展和现代企业制度的建立和完善,企业面临着严峻的挑战。企业包括会计人员在内的现有员工的知识结构、业务能力和法制观念已不能满足需要。对于企业来讲,员工应具备良好职业道德、专业能力和职业技能,但是企业往往现有的员工并不能完全具备这些能力,提高员工风险意识和职业技能是企业应该补上的重要一课,企业要针对人员的现状,应采取多种措施加强员工教育培训,并注意内部控制管理模式,体现相关培训体系性和实效性。只有通过提升全体员工的职业意识和基本职业技能,提高全体员工理性对待企业和工作的能力,才能适应国家发展经济的需要,提高整个企业的团队职业形象和职业技能,进而提高企业的经济效益。
2.重视以风险管理为导向的企业文化建设
有些企业存在员工因为缺乏合理对待公司和工作的心态而带来的浮躁和动荡。建设以风险管理为导向的企业文化,其目标就是培育员工积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新的团队合作精神,树立现代管理理念,重视内部控制,强化风险意识。在加强员工业务素质培训的同时,还要开展诚信教育,增强其自我约束能力。努力建立以诚信为基础的企业文化,一方面可以保证企业的经营合法合规,另一方面可以防范由于员工的失德行为给企业带来不必要的损失。而且口碑好的企业文化还有助于提高企业的知名度,树立良好的社会形象,为企业带来创造无形的收益。
3.规范内部控制,加强风险管理
规范企业内部控制的是一项非常重要的工作,合理的内部控制制度可以体现的经营管理的各个环节。按照相互制约和牵制的原理,建立科学合理的内部控制,即合理设置管理机构和工作岗位,明确员工的权利和责任,才能保证企业日常经营活动的正常进行,同时让企业的风险管理制度化、程序化。但是管理人员在设计监督管理时,必须从人性化的角度考虑,防止管理制度设计过分苛刻,导致妨碍正常生产经营的情况发生。同时,针对某些存在特殊风险的事项或交易(如重大的投资支出等),还要建立相应的特别内部控制,以防其给企业造成重大损失。
企业应当制定有利于其可持续发展的人力资源政策,考核制度实行奖惩结合,让员工的薪酬与企业风险管理的绩效相结合,激励全体员工积极参与风险管理,设置全面风险内部控制组织体系,形成至上而下的全员风险管理和全过程的风险管理制度。
4.加强内部监管,纠正偏差
企业要以风险管理为中心,将风险管理流程贯穿于日常经营和管理各个阶段,建立一个以风险管理为核心的内部控制,对风险管理进行岗位责任制的识别、监督、分析和评价。加强对企业风险的监管,特别是针对企业发展战略、组织结构、经营活动、业务流程、关键工作岗位等发生重大调整或变化的情况下,对内部控制的某些方面进行的专项监督是非常必要的。努力构建与内部控制相结合的可量化的风险预警机制,事先制定风险管理解预案,对这样才可以全方位、全过程、进行风险管理,及时地发现、识别和评估风险,积极地进行风险应对,掌握经营的主动权。企业还应结合内部监督发现的实际情况,定期对内部控制的有效性进行自我评价,并及时纠正在监督检查过程中发现的内部控制缺陷,同时进行必要的整改。
企业应当保证内部审计机构设置、人员配备和工作的独立性。大力推行以风险为导向的内部审计方法,内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。如果企业能够充分发挥内部审计的作用,尤其应对关键控制点实施重点监管,可以达到事半功倍的效果。
四、结语
商场上许多成功的案例告诉我们:经营成功的企业离不开良好的内部控制状况与风险管理体制。面对当今变幻莫测的市场环境和激烈的市场竞争,企业面临的风险无处不在。可是,我国企业的内部控制和整体风险管理制度还明显落后于西方发达国家。在我国在加入WTO以后,企业更需要学会积极主动地承担风险和管理风险,把内部控制框架的建立与企业的风险管理相结合,不断完善企业的内部控制,建立起风险管理的壁垒,有效地防范风险,积极应对风险。
参考文献:
[1]王建和:我国企业内部控制与风险管理[J].中国西部科技.2005(6):21-22.
[2]杨光:浅议企业内部控制与风险管理[J].中国乡镇企业会计.2009(6)
[3]赵闽:企业内部控制与风险管理融合的路径选择[J].2008(7)
企业内部风险管理范文3
关键词:内部控制;风险管理;发展
中图分类号:F23文献标识码:A文章编号:1672-3198(2009)23-0195-02
1内部控制与风险管理的内在联系
1.1在风险导向内部控制的观念下,风险管理将成为组织发展的关键
随着风险管理导向内部控制时代的来临,内部控制的工作重点也发生了变化,现代内部控制除了关注传统的内审之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部控制的观念下,风险管理成为组织发展的关键,促使内部控制的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。由于内部控制的自身特点,其参与风险管理拥有一定的优势。内部控制机构和人员熟悉本单位情况,对企业面临的风险更了解;内部控制机构和人员是企业内部成员,其利益同企业发展、兴衰密切相关,对防范企业风险、实现企业目标有着更强烈的责任感;内部控制机构的独立性使其不同于其他风险管理部门,作为高层次的监督部门,其风险评估意见直接报告给董事会、审计委员会,足以引起管理当局的重视。内部控制的独立地位还便于其充当企业长期风险策略与各种政策的协调人,通过对长短期计划的调节,调控、指导企业的风险管理策略。在现代企业经营管理中,随着内外部环境的变化,各种风险因素增多,内部控制工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部控制也被赋予了更多的职责和使命。近年来,在美国发生的财务造假案导致了安然、世通等跨国大公司的破产,同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。在我国也曾出现“银广厦”、“蓝田股份”、“亿安科技”等坑害中小股民的事件。所有这些事件的发生,在全球引起了各方对民间审计机构诚信问题的探讨,同时也触动了人们对企业内部控制的进一步思索。企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤,它使股东的家产与企业的财产及企业的经济责任相互独立,股东的变换不再影响企业的信用能力,为股权交易扩大了范围并增加了流动性,从而降低了投资风险并促进了企业融资,造就了今天巨型的股份公司。
1.2风险管理是对内部控制的自然发展
内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama&Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。”COCO在解释广义的控制与风险时论述道:“‘领导’包括在面对不确定性时作出选择。‘风险’是指个人或组织在作出选择后遭受不利后果的可能性。风险正是机会的对应物。”显然,这些论述已经认识到企业的存在是为股东或利害相关者(针对非盈利性组织等)创造价值的,而价值创造不仅是被动的资产安全等,还应包括机会的利用。另外,对股东价值的威胁也不仅来自经营者会计舞弊等内部因素,还包括来自市场的风险等。
1.3技术的发展推动内部控制走向风险管理
技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
2内部控制与风险管理的外在联系
2.1它们都能为企业目标的实现提供合理的保证
风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
2.2风险管理与内部控制的组成要素有五个方面是重合的
(控制或内部)环境、风险评估、控制活动、信息与沟通、监督这五个方面都是风险管理与内部控制的组成要素。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(risk appetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
2.3风险管理提出了风险组合与整体风险管理(integrated risk management)的新观念
《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。
3从内部控制走向风险管理
有一种争论,即风险管理包含内部控制,或内部控制包含风险管理。笔者认为得出什么样的结论并不十分重要,最重要的是明确风险管理与内部控制之间有重合与联系的地方。谁的范围更大,可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同,例如,在内部控制发展的早期,市场上风险管理的工具与技术条件都不充分(如计算机系统、统计学理论、数量模型、对冲工具与保险等),这时内部控制包含(替代)风险管理功能是很自然的。即使在同一个时代,不同的行业各自的侧重点也可能不相同,例如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
笔者认为,在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,如财务报告的准确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。
尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
参考文献
[1]王光远,刘秋明.公司治理下的内部控制与审计[J].中国注册会计师,2006.
[2]周兆生.COSO企业风险管理框架(中文版)[R].华融资产管理公司,2007.
[3]朱荣恩,贺欣.内部控制框架的新发展-企业风险管理框架[J].审计研究,2003,(6).
企业内部风险管理范文4
关键词:企业;内部控制;风险管理;关系;研究
在现代企业管理中,内部控制和全面风险管理都是企业在经营过程中管控风险所必需的。美国全国反虚假财务报告委员会下属发起人委员会COSO(以下简称美国COSO委员会)确定的全面风险管理体系框架中明确地把内部控制作为一个子系统放在了全面风险管理体系框架内。两者在风险的管理上各有侧重,相互结合,互相融合,有效保障了企业防范风险,稳健经营,达成目标。下面我们就从他们各自的发展历程、管理目标、管理范围、关注侧重点、所采用的管理方法和所采取的措施等多方面去分析和理解他们两者的关系。
一、企业内部控制概念及发展历程
1.内部控制概念内部控制是将一系列具有控制功能的方法、程序、措施进行系统化和规范化后,以制度和流程形式形成的一个严密和比较完整的体系。企业内部控制是以防范和有效管控风险为目的,以一系列专业管理制度为基础,通过全方位梳理、识别关键控制点,以流程形式建立过程控制体系而形成的管理规范。在我国,企业内部控制的官方定义正式出现在财政部等五部委所的《企业内部控制基本规范》中,根据该项文件的指示,内部控制主要指的是由企业管理层以及企业员工通过内部控制手段实现控制目标的过程。而美国COSO对内部控制含义的界定与上述文件中的基本一致,不同处主要在于表述上的稍有差异,即将我国“旨在实现控制目标的过程”表述成了“提供合理保证的过程”。内部控制实质上是一种管理思路。要准确理解内部控制重点要关注以下几方面:一是内部控制是以一系列管理制度、规章为基础的;二是内部控制强调的是过程控制,主要是对企业或组织实体关键风险点控制的方法、流程、措施进行了系统化的规范和固化,形成管理规范,以达到对风险的管控;三是内部控制的目标是为了提高企业或组织实体的经营效率效果,可靠准确经营财务数据的获得和遵守法律法规的合规经营;四是内部控制须遵循全面性、重要性、制衡性、适应性和成本效益五大管理原则,并按照业务导向和管理简化原则进行水平提升;五是内部控制的主要内容包括企业内部控制环境、企业风险管理、活动控制、信息的收集与分析、内部监督的内容,不同类型的企业组成部门也有所不同,但内部控制均需要企业内部组织、各部门的协调、参与才能够保证内部控制工作顺利开展。2.内部控制发展历程内部控制有它自身的发展历程。上世纪40年代,在会计界首先提出了内部牵制的概念;到1949年,美国注册会计师协会AICPA的审计程序委员会(以下简称美国AICPA)下属的内部控制专门委员会通过组织多位学者共同研究,发表了对于指导内部控制工作具有重要作用的专题报告,即《内部控制,一种协调系统诸要素及其对管理部门和独立注册会计师的重要性》,世界范围内对内部控制出现了第一次官方解释。1958年,美国AICPA了29号《审计程序公告》,该报告中将内部控制工作内容进行了分类,即分为会计控制与管理控制,初步搭建了内部控制工作的体系。还在1988年《审计准则公告》中明确提出了“内部控制结构”的概念。直到1992年美国COSO委员会才完整提出内部控制整合架构。2002年7月,由于安然事件和世通舞弊案的影响,美国国会通过萨班斯法案(Sarbanes-Oxley法案),规定了上市公司必须做好内部控制管理工作,在进行上市审查时内控体系也成为一项必要且关键的审查内容,随后世界范围内纷纷效仿这一制度规定,加强对上市公司的内控制度考查,增加信息披露的规范与要求。在我国,2008年6月财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》,该文件的成为指导我国企业开展内控工作的基本依据,被广泛推行。文件内容包括总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则共七个章节的内容。
二、企业风险管理概念及发展历程
1.全面风险管理概念企业通过经营性活动赚取经济利益,任何交易都存在不同程度、不同类型的风险,对企业实现发展目标都具有影响。我们称之为风险。当然,风险有纯粹性和机会性,它有可能给企业带来损失,也有可能为企业带来盈利等机会。纯粹风险指的是只可能带来损失的风险类型,而同时可能带来损失也可能带来收益的风险叫做机会风险。当企业经营中面临市场准入放开、鼓励产品创新、政策法律解禁、经营环境变化后,会大大增加企业经营的风险性,经营成效也随之变化和波动,企业在为降低风险而采取措施的决策过程中,对收益与成本进行权衡与匹配,风险管理工作的意义在于帮助企业预判可能存在的损失,从而进行规避,降低决策失误的可能,促进经济效益的提升。风险管理的含义为企业风控部门通过科学有效的方法进行风险的判断和预防。在对经营活动中的风险进行识别、评估、测算、计量、评价的基础上,对经营活动中可能遇到的风险实施精准、有效控制,以降低或转移风险可能引致的损失和负面影响,尽可能在最小的代价和成本基础上,实现最大成效和安全保障的过程。风险管理并不是要完全消灭风险,风险与机会同在,拒绝风险等于拒绝财富。风险管理的意义就在于如何精明承担风险,以最小可承受的风险来获取更高的收益。国务院国有资产监督管理委员会曾《中央企业全面风险管理指引》,对全面风险管理一词的含义进行了官方的解释,即全面风险管理指的是企业基于经营需要以及工作基本流程,建立科学的风险管理制度,在员工间形成良好的风险管理文化,从而在各个部门间形成完整的风险管理体系,主要内容包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,以上工作内容形成了全面完整的风险管理模板,从而为企业风险控制流程提供了制度前提。风险管理基本流程则包括风险信息的收集、分析、应对措施执行以及工作改进,另外还包括风险管理的监督和约束。美国COSO委员会2004《全面风险管理——总体框架》,对全面风险管理的含义解释为由董事会、股东会等管理层依据经营决策需要而对过程中存在的潜在风险进行识别与管理的过程,由此保证决策目标能够顺利实现。要准确把握并理解全面风险管理的概念,我们需要从以下几点去认识:一是全面风险管理是过程的管理,涉及到企业的多方面,包括了企业风险管理目标、战略的确定、风险偏好的选择、风险的收集统计、风险的评估评价、风险管理方式选择、风险管理方法执行、风险的预防方案以及如何进一步加强对风险管理工作的监督与改进,这一过程是风险转移、降低和控制风险的一系列程序,是风险与机会的选择;二是全面风险管理的工作是全员的参与;三是该定义表明风险管理并非要完全消灭风险,也不是为了减轻和降低风险而不惜一切代价,而是要尽量减轻、降低风险,使风险可以承受,精明地在所承担的风险上获取最高收益。其实企业经营中风险总是无法彻底消除,为企业经营目标实现我们所能做的也只能做出合理的保证,而不是做绝对保证。可见,现在风险管理在传统的风险管理基础上发展到今天,早已经有了天壤之别,更强调了全面的风险管理。传统风险管理关注焦点主要专注于纯粹和灾难性风险。管理手段往往比较单一,主要采用保险和风险减免的控制手段。在管理方式和目标上只是就单个风险实施管理,并不与企业的战略目标相联系。管理理念更是被动地将风险管理作为成本中心,不设专门的部门而是由多个职能部门来管理。而全面风险管理是从企业和经营组织的发展战略层面去考虑,全面集中管控企业和经营组织中所有可能面临的风险因素和类别,既包括战略风险、法律风险、声誉风险,也同时涵盖交易风险、财务风险、执行风险等内容,配备有独立的风险控制工作体系,设有专门的委员会或首席风险官、风险管理专门部门来管理,从理念上已经积极主动将风险管理作为创造价值的中心。在管理目标上全面风险管理更是紧密结合企业和经营组织发展战略,依据风险偏好寻求风险优化,同时运用现代金融保险功能和内部控制等多种方法、手段,以达到企业和经营组织经营目标效益的最大化,实现所有利益方的共赢。另外,我们也可从英文“Risk,风险”单词上来探讨风险管理概念的两种解读,也颇有意思。第一种理解:R:代表收益(Return)、I:代表免疫力(Immunization)、S:代表风险管理系统(System)、K:代表风险管理技术和知识(Knowledge),即通过培养专业人才,运用管理系统,形成风险管控体系,加强管理,提高免疫力,实现风险与收益的平衡。第二种理解:R:代表监管(Regulation)、I:代表信息(Information)、S:代表风险管理系统(System)、K:代表关键风险点(Keypoints),即通过对信息、数据的挖掘和分析,找出关键风险点,运用管理系统进行管理,并且注意要加强运营过程中的监管和约束。综上所述,目前想要进一步完善全面风险管理工作,其核心就体现在全面性上,在于管理的全员参与和管理全部业务、全业务过程和全风险类别,以及在风险应对上更加系统化和多样化。因此,全面风险管理,可理解为是指经营单位和组织的董事会、经营管理层及全体员工共同参与,对经营活动中可能面临的各类风险进行准确识别、审慎评估、动态监控、及时应对的全程管理。2.全面风险管理发展历程风险管理起源于美国。虽然人类认识风险的历史几乎与人类的文明一样久远,但人们对风险进行管理的认识和运用并不久远。直到1930年在美国管理协会发起的一项保险问题会议上,美国宾夕法尼亚大学的所罗门·许布纳博士在此背景下提出了风险管理的概念和构成要素。美国宾夕法尼亚大学沃顿商学院的施耐德教授于1955年进一步对风险管理的含义进行了深刻阐述,及1956年《哈佛商业评论》上风险管理文章的出现,这篇名为《风险管理——成本控制的新名词》的文章,至此风险管理真正开始切入企业的管理,进入人们的视线。澳大利亚和新西兰于1995年共同制定了世界范围内第一个国家风险管理标准AS/NZS4360,该标准明确定义了风险管理的标准程序。随着人们对风险管理认识的不断深化、风险计量技术的不断进步,伴随各种风险的发生、反思与应对,2004年以美国COSO委员会《全面风险管理——整合框架》为起点标志,全面风险管理标准体系第一次正式建立,并被广泛采用,风险管理真正意义上正式步入到了全面风险管理阶段,并逐步完善与发展。特别是2008年世界金融危机的发生和带来的深远影响,以及巴塞尔协议的全面实施,全面风险管理首先在金融企业界全面推行,而后逐步延伸到其他工商企业,全面风险管理才更加深入人心并得以逐步深入。2006年国务院国有资产监督管理委员会了我国第一个全面风险管理指导性文件,即《中央企业全面风险管理指引》,这意味着我国自此拥有了指导企业开展全面风险管理工作的标志性规范,推动企业风控制度进入新的阶段,对于企业的现代化发展有着重要意义。
三、企业内部控制和全面风险管理的关系分析
当前理论界对于内部控制的范畴界定具有争议,例如部分学者认为内部控制包含了全面风险管理,一部分学者认为两者并不包含合并关系。也有人反过来认为,全面风险管理包含了内部控制。美国COSO委员会则认为两者联系紧密并正在融合。在我国,从相关部委对两者的重视态度上看,国资委更强调全面风险管理,财政部更强调内部控制。但我们在企业内部控制和全面风险管理的具体运用实践中,深切感受和认识到内部控制确实在全面风险管理过程中是完全必不可少的,是全面风险管理必要的组成部分及必须运用的管理手段和环节,所发挥的作用也是非常关键的。从二者管理目标和所依托的管理体系和相关制度、流程来讲,可以说全面风险管理是涵盖了内部控制的。而从目前国内外现代企业管理发展趋势和内部控制与全面风险管理自身完善发展中,看到二者也已交织和融合在一起,统一到了企业的全面风险管理体系中。1.内部控制和全面风险管理都因企业在经营发展中面临着各种风险的挑战和威胁而产生,他们有着一样存在的基础内部控制和全面风险管理产生都基于企业在经营过程中面临着诸多风险存在的客观性。内部控制的发展历程相较于全面风险管理而言更早,但是内部控制的理论和实务经验对于后续全面管理控制工作的开展具有重要的参考意义,全面风险管理可以认为是内部控制发展的升华版本。两者在企业的运用实施过程中,它们都会强调全员参与性,是由“企业董事会、管理层以及其他人员共同参与实施的”。另外,各职能和业务部门及各人员在内部控制或风险管理中都有相应明确的角色定位与职责分工,他们相互分工协作,相互独立牵制。2.内部控制的方案和流程在全面风险管理过程中具有重要意义,是全面风险取得有效成果的前提条件,只有采取科学合理的控制手段和方法才能控制到位内部控制工作顺利开展的前提是企业各部门对风险管理工作具备充分的积极性,并且把握流程中可能出现的各种风险类型,判断方案是否准确、执行手段是否落地,才能加强对经营风险的防控。完善的内控系统是必须和必要的。同时,我们还应看到,内部控制是很有效的风险管理方法,在全面风险管理的方方面面被广泛运用。此外,在企业管理实践中,为应对合规风险,满足国内外法律法规和监管要求,也需要构建有效的内控系统。因此,建设完善的内部控制体系,使之体系健全、统一、规范,是企业全面风险管理体系建立中所必要的组成部分。3.内部控制与全面风险管理从企业管控风险的根本性质和作用看,他们都归于和服务于企业对经营过程中风险的管理良好的内部控制和科学的全面风险管理,都对单位经营活动的效率和成效、资产安全、经营信息及时准确具有保障作用。在现代企业管理中,两者的结合运用,将更有助于帮助管理者实现经营目标和方针,保护企业经营资产安全、完整,防止资产流失,提高管理科学规范水平,更好满足现代企业管理的迫切需要。4.从内部控制与全面风险管理的管理范围、目标、关注焦点去分析,全面风险管理比内部控制更广泛、更全面首先,在管理范围上,内部控制是企业依靠和运用系统化的规范、规章、制度、形成采取的风险管理流程规范,以遏制与防范对经营目标实现中的不利风险和负面影响,保障和促进经营目标的实现。而全面风险管理则扩展到企业发展战略层来考虑风险的特征、偏好和管控,依照经营环境的可能变化,在事前制定经营目标时就注重和进行各种风险的分析、识别、存在可能,并运用专门的工具、方法、手段等,按照风险可测、可控和有效应对要求管控各种风险危机事件,明显包含了战略目标范畴。其次,内部控制的实施目标与全面风险管理有所不同。全面风险管理更注重的是风控体系的全面搭建,而内部控制目标主要包括经营管理的合法合规性控制,以及财务与信息披露的安全,并且保证所有财务报表的真实性与安全性。并通过过程控制来实现目标。内部控制强调在企业内部的控制,使内部人员职权清晰、相互牵制,以达到控制风险、抵御风险的能力;关注焦点主要专注于公司经营所有业务流程其过程控制措施的有效性。而全面风险管理则更加全面,其目标除内控的相关目标外,还要在如何及时地发现和识别风险,以及对发生风险的有效应对上下功夫,以有效防止和降低或者转移风险可能给企业经营带来损失和造成负面影响,保证所有风险的可测、可控、可承受。全面风险管理所关注焦点已包含企业战略、市场、信用、合规、财务、现金流、声誉风险等所有经营风险。5.从内部控制与全面风险管理所运用的管理方式和应对风险所采取的策略上看,内部控制已完全融合在全面风险管理中,全面风险管理已涵盖了内部控制内部控制所负责和做的相关工作、活动、内容,在全面风险管理的过程中及风险管理后的相关活动中都已包含,如对风险进行的分析评估和由此而实施的控制措施、信息反馈与沟通、监督纠错等工作。而全面风险管理则贯穿于整个管理过程。全面风险管理的工作、活动、内容、步骤比内部控制做的明显要全面、宽泛和复杂得多。当前全面风险管理的工作内容涉及企业经营管理的各个阶段,包括企业经营目标的构建与完善,以及经营策略的制定,风险管理文化的创建以及整体员工风险防范意识的提升,还包括风险管理模型、风险处置、风险报告程序等组成部分。在对风险所采取的应对策略上,内部控制主要通过业务流程控制和嵌入各项规章制度约束来应对。而风险管理的工作内容则不仅包括了风险信息收集与分析、风险判断、风险对策等内容,还包括风险偏好、风险计量、风险容忍度、风险指标体系、压力测试、情景分析等工作体系,所涉及的内容与方法十分广泛。有鉴于此,全面风险管理的架构体系的建立能够更加全面地帮助企业进行风险防范,并且对各方面的影响因素进行分析,从而帮助企业拓展业务范围,规避风险,降低工作成本,更好地提高经济效益,实现经营目标。两者在各有侧重、优势的深度融合中,最终保障企业的稳健经营,促成企业董事会和高级管理层经营目标的实现。
参考文献:
[1]李晓慧,何玉润,编著.内部控制与风险管理理论、实务、案例.中国人民大学出版社,2016:1-10.
[2]刘守伟.对企业全面风险管理的认识.铁路采购与物流,2010(8):21-22.
[3]孙海燕,张荣玉.内部控制与风险管理融合研究.管理学家,2010(9):99-100.
企业内部风险管理范文5
随着企业内部审计职能的转型,有些企业内部审计已经开始介入到企业的风险管理当中,有些企业也在无形中执行了企业风险管理的一些职能,它扩展了企业内部审计的范围,为企业管理工作发挥了良好的作用,并逐步将风险管理作为企业内部审计的主要内容之一。
一、企业风险和风险管理
(一)企业可能存在的风险
企业在运行过程中存在着大量的战略风险、经营管理风险和作业风险,它们很可能导致企业费用和损失的发生,制约企业的生存、发展和获利能力。风险的存在具有客观性和不确定性,可以被管理人员预测,并加以控制和规避。在风险的形成过程中,涉及风险因素、风险事故和风险损失三个方面。风险因素,是能够引起或增加风险事件发生机会或影响损失严重程度的因素。风险事故,是在风险管理中直接或间接造成损失的事故,它是损失发生的媒介。风险损失是因不确定性而导致企业经济价值的减少。风险因素引发风险事故,而风险事故导致风险损失的发生。产生风险损失的主要根源是企业缺乏风险管理意识,不能及时准确地识别风险因素,内部控制制度不健全。
(二)企业风险的管理
企业风险管理作为一种特殊的管理功能,是一门新的管理科学。风险管理是企业在对潜在风险的识别、评估和分析的基础上,对风险进行有效的控制、预防、回避,以降低企业风险损失的一种管理方法。风险管理是一个系统过程,它包括风险的识别、评估和控制三个环节。
二、企业内部审计机构有必要参与风险管理
1、当前企业面临的风险正日益增大。
随着市场经济的快速发展,企业经营环境、经营业务变得日趋复杂化、多样化。因企业管理不善,决策失误、信息缺乏、财务失败等内部原因,以及市场需求变化、技术设备更新、市场竞争加剧等外部原因产生的风险又使许多企业更是雪上加霜。减少和控制企业的风险是实现企业战略目标的关键要素之一,正在引起企业管理人员越来越多的重视。
2、企业内部审计参与风险管理是自身发展的要求。企业内部审计在企业中担当着重要的角色,他们更了解企业面临的风险因素,具有丰富的管理经验,有利于将内部审计的资源和成果与企业风险控制相结合,并可以减少企业内部机构的重复设置,参与风险管理已成为内部审计人员义不容辞的责任。
3、企业内部审计在风险管理中发挥重要的作用。
企业内部审计在风险管理中的作用主要有:
(1),能够客观全面的管理风险。
风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而是会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识和防范、控制需要从全局考虑,而各业务部门又很难做到这一点。
内部审计具有相对的独立性,受单位主要负责人的直接领导,这使得它们可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
(2)控制和指导企业的风险策略。
由于内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期实现的调节,内部审计人员可以调控和指导企业的风险管理策略。
(3)内部审计部门的建议更易引起企业领导的重视。
一些企业尽管设立了风险管理部门,但不具有独立性,其意见往往会屈服于管理当局的压力,这使得风险管理部门的作用受到一定程度的限制。而内部审计部门独立于其他管理部门,其风险评估的意见可以直接向董事会汇报,这样会加强管理当局对内部审计部门意见的重视程度。
三、企业内部审计参与风险管理的途径
企业内部审计的风险管理过程包括以下三个方面:
(一)风险的预测和识别
风险的预测和识别是指对企业所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程,确定企业正在或将要面临哪些风险。内部审计要对企业所面临的主要风险进行预测和识别,并找出未被识别的风险。采用的方法包括决策分析、可行性分析、因果分析和专家调查法等。
(二)对已经存在和将要发生的风险进行评估
企业的内部审计人员应用各种管理科学技术,采用定性和定量分析相结合的方式,预测风险的大小,找出主要的风险源,合理的评价风险可能产生的影响,以此为依据,对风险采取相应对策。常用的风险评估方法主要有:调查和专家打分法、风险报酬法及解析方法等。
(三)提出改进和防范的措施
风险的防范措施是指企业为降低已识别出的风险可能造成的损失所采取的措施。内部审计机构可以根据不同的情况,提出避免风险、接受风险、还是降低风险的具体措施和建议,以强化企业的风险管理,降低风险损失,并对有关部门所采取的风险防范措施进行监督和检查。
采用改进和防范措施主要有:避免风险、损失控制、分离风险单位、转移风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)和投保等。
企业内部风险管理范文6
摘 要 本文从国务院各部委颁布的内部控制规范和风险管理有关法规政策出发,通过对内部控制与风险管理的联系和区别进行比较,针对目前国有企业内部控制与风险管理的现状,分析其形成原因,并提出运用风险管理方法构建风险导向型内部控制体系的对策与建议。
关键词 国有企业 控制 规范 风险 机制
2008年由美国次贷危机引发的全球金融海啸,引起我国各行各业对企业内部控制与风险管理体系建设和评价达到了前所未有的重视程度。为有效控制企业风险,我国相继出台了一系列法规政策,2006年6月为促进中央企业内部控制建设和全面风险管理工作国资委出台了《中央企业全面风险管理指引》;财政部会同审计署等五部委2008年6月联合了《企业内部控制基本规范》,2010年4月再次了《企业内部控制配套指引》,共同构建了中国企业内部控制规范体系,对企业防范风险、控制舞弊、促进发展产生积极的推动作用。本文通过剖析内部控制与风险管理的联系和区别,针对目前国有企业内部控制与风险管理的现状,分析了其形成原因,并提出了运用风险管理方法构建风险导向型内部控制体系,形成“自我免疫机制”的对策与建议。
一、内部控制与风险管理的联系和区别
内部控制与风险管理是一对既相互联系又存在区别的概念。内部控制是指为合理保证企业经营管理合法合规、资产安全、财务信息真实完整,提高经营效率和效果,促进企业实现发展战略,由董事会、监事会、经理层和全体员工设计与实施的政策和程序,旨在实现控制目标的过程。风险管理是由企业董事会、经理层和全体员工共同参与的,应用于企业战略和内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。
两者相同点:(1)目标一致性,均为提高经营效率和效果、经营合法合规、财务报告可靠、资产安全、实现发展战略等5个目标,首要目标提高经营效率和效果,终极目标是实现发展战略;(2)都强调是全员参与的管理,是由企业董事会、管理层以及全体员工共同实施的,指出各方在内部控制或风险管理中都有相应的角色与职责;(3)也都是企业全方位的管理,明确是一个持续不断的“过程”,其本身并不是一个目标,而是实现目标的一种工具和手段,都是渗透于企业日常管理过程中的一系列行动,需作为一种常规运行的机制来建设;(4)都是为企业目标的实现提供合理保证,而不能提供百分之百绝对保证。
两者的差别主要体现在:(1)在报告目标的范围上风险管理有所扩展,将“财务报告的可靠性”发展为“报告的可靠性”,报告范围由“财务报告”扩展到“内部的和外部的”“财务的和非财务的”报告,涵盖了企业的所有报告;(2)在内容上风险管理更丰富,引入了风险管理文化、风险偏好、风险承受度以及风险应对策略等新概念;(3)两者侧重点不一样,风险管理更偏向过程的前端,更偏向于对影响目标实现因素的识别、分析、评估与应对,是一个更为独立的过程,而内部控制更加重视实施,嵌入到企业各业流程的具体业务活动中,融合在企业的各项规章制度之中。
可见,内部控制与风险管理既相辅相成、又各有侧重的现代管理元素,不存在包涵或被包涵关系,也无法完全替代,两者都是公司治理极为重要的组成部分。
二、目前我国国有企业内部控制与风险管理的现状
从目前总体情况来看,我国国有企业内部控制与风险管理建设工作还处于起步阶段,基本上都建立了自已的内部控制体系,也有一些风险管理策略,但其内部控制和风险管理的水平和效果尚不容乐观,实际执行中存在诸多问题,主要如下:
1.法人治理结构不完善,内部人控制现象严重。现阶段我国绝大多数国有企业虽然进行了公司制改造,但其法人治理结构普遍存在问题,设计不科学,股东会、董事会和监事会等核心机构形同虚设,审计委员会、风险管理委员会、董事、独立董事和监事会只是形式上挂个名,没有实际行使监督治理职责,导致董事不“懂事”、独董不“独立”、监事不“干事”。企业管理者集控制权、执行权和监督权于一身,内部人控制现象严重,自觉不自觉地凌驾于内部控制之上。
2.内部控制制度缺乏系统性,制度执行流于形式。绝大多数国有企业都建立了比较多的内部控制制度,其内容应有尽有,但制度间缺乏有效衔接,甚至存在“互相打架”现象。一些新开展业务领域,其风险容易发生的关键环节没有有效控制措施。制度执行流于形式,主要有3种情形:一是执行不到位,出现制度与实际执行“两层皮”现象,纸上写的、墙上挂的是一套,执行的是另一套;二是不愿意执行,因人员数量不足、水平不够、能力有限,以忙于具体工作业务为由没时间去执行;三是故意不执行,为谋求个人利益,先把水搅混,好从中摸鱼。
3.内部审计机构不健全,内外部监督未形成有效合力。有的没有设立内部审计部门,有的内部审计部门与财务或纪检合署办公,有的虽然单独设立了内部审计部门却形同虚设,不具备真正意义上审计的独立性,从而缺乏客观性,发现不了问题,或者发现了问题也不让追查,内部审计没有发挥其应有监督作用。企业、注册会计师和有关监督部门在在内部控制监督评价工作中,监督标准不一,各种监督职能交叉,各监督主体缺乏横向沟通,未能形成有效合力。
4.风险管理薄弱,缺乏有效风险管理体系。企业缺乏有效对已经面临的和即将面临的风险作出系统分析、整体评价和管理风险的机制,没有制订具体的风险控制点,也没有将风险控制点分解和责任控制到岗、到人;一旦盲目扩张出现了问题,采取“头痛医头,脚痛医脚”的“灭火式”风险管理模式,抗风险能力较差。更没有将企业风险管理与内部控制有机结合起来,建立风险导向型内部控制体系。
三、原因分析
导致上述问题的产生,既有大环境下法规政策和理论研究方面存在缺陷的深层次原因,也有企业本身对内部控和风险管理制重视不够、设计制度不足、执行和监督评价不到位等方面的个性原因:
1.我国内部控制和风险管理制的理论研究和实践工作仍处在摸索阶段,其理论研究基本上借鉴美国COSO《内部控制-整合框架》、《企业风险管理-整合框架》相关理论,与实际国情、行业特点结合不够。在《配套指引》出台之前,相关法规政策条例倾向于定性描述,缺乏具体标准,没有实务操作指引,为企业内部控制的实际执行和客观评价工作带来一定难度。企业董事长、总经理、监事由上级任命,且董事会成员和管理层成员高度重叠,企业内部人集控制权、执行权和监督权于一身,经营权得不到有效的监控,容易产生、等现象,进而影响内部控制的实施和健全。治理结构不完善是阻碍国有企业实现发展战略的根本性问题。
2.没有风险文化,缺乏风险意识。没有风险文化,企业的风险管理机制就失去了灵魂,缺乏风险意识,是企业最大的风险源。风险管理意识不足,一方面风险意识淡薄,投机心理、侥幸心理比较重,另一方面求稳心态较重,经营偏保守,注重规避风险,而不是管理风险,不能有效控制风险并利用其发展机会。
3.企业没有对内部控制制度进行测试评价,并根据测试评价结果及时修订。内部控制评价是推动企业内部控制机制建立健全的重要手段,内部控制制度在实行之前,一定要对其完整性、有效性、符合性进行评价,及时发现问题并进一步完善。然而,许多企业在内部控制制度制订过程中,并没有对内部控制制度的有效性进行测试,对内部控制制度符合性进行评价,更没有随着国家政策调整、经营业务拓展,对内部控制制度及时修订。这是导致企业内部控制缺陷产生的根源。
4.激励机制、约束机制缺位。长期以来,对企业员工和领导干部的考核,以目标利润、经营规模完成情况为主要依据,缺乏对内部控制和风险管理等相关指标的综合考察,激励约束机制缺位,直接造成企业制度没有执行力。
5.企业普遍缺乏专业的内部控制和风险管理人才。内部控制制度制订合不合理、能否有效执行、监督评价能否公正客观,都取决于人的素质水平。企业内部控制和风险管理是一项综合性较强的管理工作,对人员素质要求较高,特别是知识新、阅历广、综合型,而企业普遍缺乏这样的人才。
四、对策与建议
1.认真学习好、贯彻好内部控制规范。国有企业要认真学习企业内部控制基本规范及其配套指引,根据内部控制和风险管理相关法规政策条例,并结合企业自身实际情况,制订适合、适度、适用于本企业的《内部控制与风险管理手册》。这对于指导内部控制体系建设,促进各项经营管理活动进一步规范、有序运行,增强风险防范能力等,都有极其重要的意义。
2.完善法人法理结构,解决内部人控制问题,加强企业文化建设,优化内部控制环境。法人治理结构由企业股东会、董事会、监事会和经理层和全体员工组成,是内部控制环境的核心。规范各责任主体的职责权限,保证决策权、经营权和监督权制衡。董事会负责内部控制的健全和有效实施,经理层负责组织领导企业内部控制的日常运行,监事会负责对董事会建立与实施的内部控制进行监督。同时,企业应培育良好的企业精神、内部控制和风险管理文化,加强团队协作意识,为内部控制创造一个良好的环境。
3.构建企业、注册会计师和有关监管部门三位一体的内外部监督评价体系。国有企业应该建立由董事会领导下的审计委员会统一管理企业的内部审计工作,赋予审计委员会监督内部控制执行情况和自我评价情况、协调内部控制审计等方面的职能,授权内部审计机构监督评价职能,增强内部审计的独立性;注册会计师要严格按照内部控制规范的要求,将内部控制审计范围覆盖企业内部控制整体,而不仅仅局限于财务报告内部控制,也可以将内部控制与财务报表进行整合审计,提高审计效率;财政部等有关监管部门要加强对企业和注册会计师执行内部控制规范体系的监督检查,同时协调监管政策,规范监管口径,形成有效监管合力。
4.建立内部控制和风险管理长效机制。国有企业要建立对内部控制和风险管理的执行情况与管理层和全体员工的绩效考核挂钩制度,作为绩效考核的一个重要指标,通过利益约束驱使企业全体干部员工高度重视内部控制建设和风险管理。另外,要建立重大决策失误责任追究制,对造成风险损失的责任人进行责任追究,提高制度的威慑力和执行力。
5.运用风险管理方法构建风险导向型内部控制体系,形成“自我免疫机制”。国有企业应致力于建立风险导向型的内部控制体系,即围绕影响企业目标实现的不确定因素,进行风险识别、风险评估、风险应对,并针对各个风险点制定相应的风险控制点,区分关键控制点和非关键控制点,再根据企业的组织架构、职责分工,将风险控制点层层分解到岗、到人,从而构建出贯穿于整个企业业务流程的内部控制体系。并结合企业的风险偏好,制定相应的风险应对策略,从而指导企业内部控制体系的构建。可以有效防止错误和舞弊,提高效率,确保企业战略目标的实现。内部控制制度是风险评估和分析的产物,是企业进行有效内部控制的基础和依据,是风险管理的支点;风险管理是建立在内部控制基础上,而内部控制的实施经常运用风险管理的的方法。建立风险导向型内部控制体系,对现代企业来说,风险管理的有效性离不开权责利相制衡的体制保障。只有保证内部控制监管的独立性,明确高管层的责任,实现管理层与内审机构的相互监督,才能保证内部控制制度的有效执行,实现对风险的有效控制,形成“自我免疫机制”。
6.注重内部培养和外聘选拔,提高人员专业胜任能力。企业内部控制和风险管理是一项综合性较强的管理工作,对人员素质要求较高,首先要熟悉国家和行业法规政策、企业业务流程和内部控制制度,其次要讲政治、懂技术(计算机运用技术和审计技术)、善沟通、会理财,具备较强的发现问题、分析问题、解决问题能力和识别风险、评估风险、控制风险的能力。企业要注重内部培养和外聘选拔相结合,提高内部控制和风险管理人员专业胜任能力。
内部控制和风险管理的完善不是一朝一夕的,是现代企业管理永恒的主题。国有企业只有不断完善法人治理结构,持续优化风险导向型内部控制体系,通过制度规避风险、机制控制风险,责任降低风险,才能为风险管理奠定扎实基础,才能提高企业经营管理效率和效果,才能在当今激烈的国内外市场经济竞争中持续健康发展,从而实现发展战略目标。
参考文献:
