导语:如何才能写好一篇企业内控和风险管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
【关键词】内部控制风险管理问题措施
一、内部控制与风险管理概述
内部控制是指企业为了实现其经营目标,保护资产的安全性和完整性,保证会计信息资料的正确性和可靠性,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在企业内部采取的自我调整、约束、规划、评价和控制的一系列方法和措施的总称。内部控制要素主要包括控制环境、风险评估、控制活动、信息与沟通、监控等五个方面。
美国COSO将风险管理定义为,企业风险管理是由企业的董事会、管理当局和其他员工共同参与的一个过程,应用于企业战略的制订并贯穿于企业经营管理活动之中,旨在识别可能会影响企业的潜在事项,将风险控制在管理当局可接受的范围之内,为企业目标的实现提供合理保证。风险管理主要包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督等八个要素。
2、内部控制与风险管理的联系与区别
从内部控制和风险管理的组成要素来说,二者在控制环境、风险评估、控制活动、信息与沟通和监督等方面存在一定的联系,它们都是为保证企业的有序运行,实现企业的经济效益和经营的安全性而对企业各项经营活动进行有效的控制和预防。内部控制和风险管理二者相辅相成,紧密联系。风险管理的有效实施取决于信息的收集,而内部控制通过建立过程控制体系规范、控制各经营活动恰好为风险信息的收集提供了有效途径。风险管理主要是对各种风险因素进行识别、分析和评估,其目的是使风险得到控制从而以最低的成本实现最大的安全保障,这恰是内部控制的根本目的所在。
二、企业内部控制和风险管理现存问题
1、风险管理意识不足,对内部控制的理解过于片面
2、风险管理组织结构不完善,尚未建立完备的内部控制机构
3、内部控制和风险管理的信息与沟通能力不足
4、内部控制与风险管理的监控机制不健全
三、改进企业内部控制和风险管理的措施
1、提高风险管理意识和应对风险的能力,建立风险管理型内部控制
风险管理的核心是对人的管理,包括职业操守、技术能力和激励等方面内容的管理,在这其中企业管理层应起带头作用,提高风险管理意识,加强对内部控制的认识,同时加强企业全体员工的思想教育和业务培训,不断提高员工的整体综合素质,使员工更具有责任感,明确风险管理和内部控制的重要性,逐步提高自身的思想认识和业务技能以提高企业应对风险的能力。企业应建立相应的绩效考核制度和激励制度,充分调动员工的积极性、发挥员工的责任心,让员工意识到自身有责任对企业面临的风险进行识别、分类,并追溯导致风险的各种因素,以采取相应的措施规避风险。另一方面,建立风险管理型内部控制,以风险为切入点对企业内部控制实施控制,强调通过制度、流程和财务等手段,管控运营、操作过程风险,重视在操作层面中的风险管理,将管理的模式与企业实际情况相结合,充分利用了现有资源,更好地发挥风险管理的积极作用,达到了风险管理和内部控制的要求。
2、完善企业内部控制和风险管理制度建设,建立风险管理控制体系
3、提高信息沟通能力
4、完善内部审计和外部监督制度,落实监控机制
综上所述,企业必须建立符合自身发展需要的内部控制机制和风险管理体系,将二者进行有效的结合,通过对制度的规范和科学的管理来充分发挥企业内部控制和风险管理的作用,以提高企业整体竞争力和经济效益,实现企业健康、稳定发展的目标。
【参考文献】
[1]王寅入:谈风险管理与内部控制的区别与联系[J].普华永道,2010(6).
摘要日益复杂的经济环境、经营环境使企业内部控制和风险管理的重要性不断凸显,只有充分发挥其职能,进行事前风险辨识,控制和规避企业可能存在的各种风险,才能使企业规范、快速发展。
关键词内部控制风险管理重要性
内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。而风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。内部控制是风险管理的必要环节,风险管理涵盖了内部控制,风险管理贯穿于管理过程的各个方面,控制的手段不仅包括事中和事后控制,更为重要的是,全面风险管理在事前制定目标时就充分考虑了风险的存在。
从经营需求讲,企业经营者肯定会想方设法发展企业,但从稳健方向来说,还有一个风险管理的需求。树立防范意识,建立保障机制、强化内部控制,是保证企业安全的一个基础,而保证企业安全机制能有效运行才是关键。
归根结底内部控制、风险管理可以提炼八个字,一个是说你做的,一个是做你说的,“说你做的”是指说了什么事情要公开;“做你说的”则是指规定制度、承诺的事情一定要做到。如果能做到这八个字,在一个企业里面内控意识就形成了。这其中最重要的是执行力问题。流程和制度无论多么完善,如果不能得到执行,就会无济于事。有些流程虽然不是很规范,但只要员工做到了,也同样可以取得好效果。如何提高内部控制和风险管理的执行力就成了最关键的问题,笔者从以下方面做了初步的探索。
一、加强事前、事中风险管控
古时扁鹊三兄弟都精通医术,但扁鹊名气最大,就能说扁鹊的医术最好吗,其实不然,扁鹊自己分析的非常正确,他说:“长兄治病,是治在病情还未发作之前,一般人由于不知晓他能把病灶铲除在发病之前,因此他的名气始终传不出去;中兄治病,是治在病情的初期,人们便认为他只能治一些小病,他的名声只能在附近乡里传播;而我治病,都是治在病情严重之时,人们看到我通过穿经脉、动筋骨、敷大药能把病治好,都以为我医术高明,名气就这样传播开了。”
不仅仅是扁鹊,在公司里其实也存在着同样的情况。我们在公司里充当着扁鹊三兄弟的角色,然而很多时候我们在问题发生时都把像扁鹊一样能在事后拍板的人当成大救星,将希望寄托在他们身上,但是,我们何不做好事前、事中的控制呢?
事后控制,其实就是一种纠正措施,是一种“亡羊补牢”式的控制方法,虽然问题得到了暂时性的解决,但也有了“丢羊”的损失。事前、事中控制则是在生产过程中利用各种有效的信息,将问题解决在萌芽状态,预防大问题的发生。
二、加强关键控制点的风险管控
对待各类问题,不能“眉毛胡子一把抓”,要分清“人参”与“草根”的区别,选用“挖人参”与“拔草根”不同的方法。对那些高风险点,要深挖透查。
比如项目管理的关键控制点:一是项目决策阶段,包括可行性研究报告的准确性,程序的合规性等;二是项目实施阶段,包括投资项目的审批手续、招投标、建设工期、工程质量、资金支付、竣工验收等环节的及时性、合规性。在项目的实际运行过程中,所有的这些因素都可能产生变化,而这些变化将可能使原定的目标受到干扰甚至不能实现。任何的工程项目中都存在着风险,风险会造成工程项目实施的失控现象,如工期延长、成本增加、计划修改、工程质量不达标、工程建成后产品销售达不到预期等,这些都会造成经济效益的降低,甚至项目的失败。正是由于风险会造成很大的伤害,在现代项目管理中,风险管理已成为必不可少的重要一环,良好的风险管理能获得巨大的经济效果,同时它有助于企业竞争力的提高,素质和管理水平的提高。项目风险是时刻存在的,只有紧抓这些风险的关键控制点,然后在项目参加者之间进行合理的分配,使每一个参加者都承担一定的风险责任,他才有对项目管理和控制的积极性和创造性,对产生的不同风险采取相应的风险对策,才能进行良好的风险控制,才能有项目的高效益。
风险管理的精要是将未知风险变成可控风险,关键是通过管理将很多相互影响的因素统筹好,根据企业的目标去作风险分析,把一些主要风险明确下来,然后找到相应的控制手段、管理手段,最终将风险控制在想要的区域里面。
三、强化风险管理是企业生存底线的认知
风险管理是企业生存底线,无论怎么强调也不过分,无论是内部管理需要还是外部监督需要,都使得内部风险管理显得日益重要。应该说,内控的目的不是消除风险,也不是降低风险,而是将其控制在我们可承担的风险范围内,为企业经营目标的实现提供合理保证。
风险管理可以分为三个阶段,第一阶段是问题反映型,来了问题救火式的反应。第二阶段是规范操作型,是已有制度和流程,但缺少战略指导方针下的风险管理。比较完善的是第三阶段体系完善型,就是整个公司的风险管理和内部控制是在公司的统一战略指导之下,通过完善的体系和流程和日常的工作来预防和控制风险。无论风险管理也好,内部控制也好,最主要的还是预防,而不是等着风险来了,再采取措施。
翻一翻许多企业的历史,会发现这样一种情况:在某个区间段恰恰资金短缺,这时刚好有一笔资金帮助企业渡过了难关。假如那笔钱不在那个区间出现的话,那么今天那个企业很可能已经不存在了,内部控制和风险管理的目的,就是尽量避免这种情况发生。企业应该在加强企业内部控制方面苦练基本功,不断提升核心竞争力,以应对严峻的经济挑战。
建立全员风险管理文化成为企业防范风险体系的重要组成部分,为了有效识别、计量和检测风险,企业通常设有风险管理部门,但风险管理绝不仅仅是风险管理部门的职责,无论是董事会、高管层还是业务部门,每个人在从事岗位工作时,都必须深刻理解可能潜在的风险因素,并主动预防。
四、构建全新的内部控制组织体系原则
1、全面风险管理原则,即:全员管理原则,实现对全体员工强化风险意识,做到“横到边,纵到底”,将风险意识,印在脑海里,落实到行动上;全过程管理原则,对企业的发展、业务操作的全过程实行风险控制;全方位风险管理原则,不但要包括业务风险,还要包括投资风险、信用风险、合同风险等。
2、分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。
3、风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。
关键词内部控制风险管理整合
中图分类号:F272.7文献标识码:A
COSO分别于1992年和2004年先后了两个内部控制框架,后者被命名为《风险管理——整合框架》,不但与原《内部控制——整合框架》名称不一,并将风险管理理念和方法导入其中。尽管我国2008年的《企业内部控制基本规范》采用了前者的形式和后者的思想,但是与我国企业的习惯认识产生了冲突。如何认识内部控制与风险管理的联系和区别,并对二者进行整合是当前会计理论界和实务界需要进一步思考的。
一、风险管理与内部控制关系综述
一般认为,企业内部控制是为了保护资产安全、提高企业经营效率和效果、保证财务信息真实性和可靠性所建立的一套自我管理和自我约束的管理制度或机制。但是,COSO于2004年重新提出的《企业风险管理——整合框架》强调了内部控制是风险管理不可分割的一部分,同时又指出了风险管理框架并没有打算取代在的内部控制框架。但并没有说清楚内部控制与风险管理究竟是一种什么样的关系。而且既然不准备替代内部控制框架,那么提出风险管理框架的用意又是什么。其实,长期以来,理论界和实务界对内部控制与风险管理之间的关系始终没有达到一致意见。概括而言,主要有以下三种观点:
(一)内部控制包含风险管理。
巴塞尔银行业监管委员会的《银行业组织内部控制系统框架》主张把风险管理内容纳入到内部控制框架之中。例如该框架指出:“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平。确保管理层采取必要的步骤去识别、计量、监督以及控制这类风险。”。另外,加拿大注册会计师协会控制标准委员会也认为:控制应该包括风险的识别与减轻。
(二)风险管理包含内部控制。
2004年,OSO委员会提出的《企业风险管理——整合框架》明确指出:内部控制是企业风险管理不可分割的一部分;内部控制是风险管理的一种方式。2005年,英国特恩而尔委员会也认为:公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。
(三)内部控制就是风险管理。
国内外也有不少学者认为,风险管理系统与内部控制系统没有差异。这两个概念的外延变得越来越广,正在变为同一事物。风险管理与内部控制仅仅是人为的分离,而在现实的商业行为中,二者其实是一体化的。将内部控制定义为风险管理只是为了强调控制与战略制定的联系,刻画了内部控制作为组织支撑的特征。
二、内部控制与风险管理比较
1、风险管理包含内部控制,是内部控制的改进版
内部控制是生产规模化和资本社会化的产物,是基于委托关系的,其目标是保证会计信息的真实和资产安全;而风险管理则是经济全球化的产物,是对内部控制的拓展和延伸,其目标是提高企业对外部市场的反应能力,提升企业战略的适应性。因此,内部控制与风险管理的融合是必然的。2004年COSO委员会的《企业风险管理——整合框架》通过控制目标和控制要素的安排,将内部控制全面纳入到了风险管理框架之下,从而实现了内部控制与风险管理的全面融合。融合后,风险管理目标多了一个战略目标,这一目标正是内部控制升华到风险管理的核心体现。另外,为了强调风险的重要性,风险管理框架另外增加了事件识别、目标设定和风险对策三个要素。由此可以看出,内部控制实际上是包容在风险管理框架之中的。
2、风险管理以内部控制为工具。
风险管理是以内部控制为基础的,必须得到内部控制的支持,才能实现风险控制的目标。内部控制受风险管理驱动,反过来为企业实现管理目标而提供有效的保证。完善的内部控制是当今世界大多数国家的法定要求,是现代企业建立风险管理体制应达到的基本状态。
(二)内部控制与风险管理的差异。
1、内部控制与风险管理控制的对象不同。
内部控制是企业实现目标采取的政策和程序,仅仅是一项管理职能,侧重于事后和过程的控制。因而与风险管理相比,内部控制相对滞后,如控制活动、信息与沟通、对控制的监督等要素都属于事后性质的,这就决定了内部控制不能解决所有风险问题。而风险管理活动相对比较主动,通过战略目标的设定和事项识别,将内部控制提前到企业战略制定过程,使风险管理具有了前瞻性,被赋予了战略管理功能,提升了企业风险管理的地位和能力。
2、内部控制与风险管理对风险的认识不同。
3、内部控制与风险管理对风险管理的范围不同。
4、内部控制与风险管理采取的风险管理策略不同。
随着金融衍生工具的出现和市场竞争的加剧,企业存在多重风险,而且风险存在叠加,有的风险相互抵消减少。因此,风险管理提出了对风险进行组合管理的概念,企业不能只从某个部门或某项业务去考虑风险,而应当从组织整体角度考虑风险问题。
三、内部控制与风险管理的整合
内部控制应与企业的风险管理的融合,是企业风险管理的客观要求。
(一)设立风险管理委员会,提高内部控制的层次。
我国大多数企业之所以仍然将内部控制视为企业日常管理的工具,而将其定位于风险管理,关键是企业风险意识不强,而风险意识不强的原因是无人对风险承担责任。如果在企业组织结构中建立独立的、专业的风险管理团队,不但有助于对内部控制进行专业化的管理,增强其独立性,而且有助于创造一个独立承担风险管理责任的主体,从而激发企业领导层的风险责任意识。
(二)在内部控制框架中导入风险理念。
内部控制与风险管理是不可分割的整体,风险是二者联系的桥梁,这就要求在企业内部控制的各个层面、各项业务流程和各个控制环节注入风险管理政策和程序。企业风险管理部门,应当按照风险管理的要求,加强对内部控制的监督,定期和不定期地对风险管理活动的有效性作出评价,并提出整改意见。
(三)明确董事对企业风险管理的责任。
企业风险管理部门只是风险管理的直接责任人,董事会才是风险管理的最终责任人。为此,企业应当建立多层次的风险责任体系,以各司其职,各负其责任。将董事会的责任定位于风险管理的顶层设计层次,高级管理层的责任则主要定位于风险管理的执行层次,专职的风险管理部门的责任则定位于风险管理的组织层次,各部门经理则对本部门的运作风险管理负责。值得一提的是,董事会不但负责风险管理的顶层设计,而且对风险管理承担最终责任,董事会必须对对违反风险管理的各种行为,都应当严加追究,无论其是否造成损失。
(四)完善企业风险管理的内部环境。
COSO《风险管理——整合框架》将原《内部控制——整体框架》中的“控制环境”要素修改为“内部环境”要素,旨在要求提高整体风险意识而不仅仅是与控制政策和程序有关的风险意识,要求企业加强风险文化建设、树立适当的风险偏好、正确地识别风险和机会,以风险为导向加强人力资源管理,培养员工的诚实性和道德观,以提高企业整体的风险管理素质。
四、结束语
风险管理是一个比内部控制更加宽泛的概念,险管理与内部控制的融合是内部控制和风险管理成熟的标志。内部控制与风险管理的融合,强调了内部控制与企业战略之间的联系,使内部控制从狭隘的财务控制拓展到战略管理层面,要求内部控制参与企业价值创造的全过程。内部控制与风险管理的融合说明了传统的内部控制为企业风险管理构筑的防火墙已经难以抵挡市场瞬息万变的变化带来的风险,需要更全面的风险管理以适应市场经济的发展。
(作者单位:平顶山市建设工程标准定额管理站)
参考文献:
[1]张军.基于风险管理视角下的内部控制探讨.内蒙古财经学院学报(综合版),2011(02).
摘要随着电力体制改革的不断深入和“一强三优”现代电网公司的发展战略,电力企业的经营环境发生了翻天覆地的变化。面对快速发展的市场经济,打破垄断的电力企业将会进一步走向市场,参与竞争。面对新形势,如何采取有效措施,寻求企业效益最大化,对电力企业提出了新的挑战。财务管理作为供电企业的管理核心,如何科学规范的对其管理成为整个企业和谐稳定发展的基本保证。
关键词企业财务管理内控机制风险防范
一、供电企业财务内控目前存在的问题
当前内控在供电企业中尚没有获得足够的重视,没有获得健康的发展。其主要存在的问题有如下几点:第一,财务运营方案不完善,绩效考核准则不规范。第二,监督管理力度不够,容易出现以公挤私,制造假账等现象。第三,财务管理混乱,公司经营还存在一些薄弱环节,会计基础工作不够扎实,财务收支得不到及时规整,这些问题的出现都说明供电企业的内部财务管理机制不够严谨,企业内控机制急需变革整顿。
二、强化企业内控机制,对企业财务监管到位
要想提高企业的市场竞争力,强化企业内控机制,严格落实企业的财务监管是必不可少的前提保障。
1.要建立科学规范的企业财务体系,严把会计关
2.健全财务约束体系,使企业财务程序规范化
3.重视预算,重点提升企业资产预算及调控的能力
预算管理是企业财务管理必不可少的重要程序,对企业资产进行预算有利于优化资产配置,有利于推进各个项目工作细致化,精确化。
要想强化预算在企业工作程序中的地位,就一定要建设规范健全的考核机制,这样会促进企业财务管理发挥实效。预算考核要将结果与过程相联系,将年度考核与日常考核相挂钩,保障业务与企业发展的双向平行。同时要根据具体情况,切实发挥考核结果的激励性效果,调动广大企业员工的工作热情。
4.对企业资金实行集约化管理,强化资金运作效率
要实现供电企业财务内控的效率,实行集约化管理是行之有效的方式方法。首先要建立起一套行之有效的资金管理规章准则,作为企业财务运营的日常行为规范。同时要针对企业财务经常会遇到的一些财务问题进行专项化处理,出台专门化的行动举措,例如要有资金的回收责任制、催收电费等方面的针对性策略。提高企业资金回转的效率。同时也要对企业内部现存的资金投入挖掘经历,充分发挥各项资金的运用效率,减少企业信贷额。对于企业财务的各笔款项都要做到心中有数,进行细致的核实考查,并及时出台相应的整理办法。
三、创设外部环境督促企业财务管理
四、结语
[1]蒋文武.探析企业内控机制定位及完善对策.财经界(学术).2010(24).
关键词:企业;内部控制;风险管理;机制
企业内部控制是为了保证经营效益而对企业人、财、物等工作进行监管的活动。风险管理是企业通过对风险的控制,降低不良影响的管理过程。内部控制和风险管理是企业管理的重要内容,当前的企业管理中存在着许多制约企业发展的问题,进一步加强企业的内部控制和风险管理,能够增强企业的竞争力,实现企业的管理目标。
一、企业内部控制与风险管理的概述
1.企业内部控制和风险管理的关系。外部关系,企业内部控制和风险管理在环境、信息和沟通、控制活动、风险评估、监督这几个组成要素方面都是相同的,这说明两者之间的目标和实现机制是相似的。企业的内部控制和风险管理都能够为企业目标的实现作出保证。内部关系,风险管理是企业内部控制的延伸,现代技术的发展推动了以风险为导向的内部控制的发展,风险管理成为了企业管理的重要内容,内部控制逐渐向风险管理发展。
2.企业内部控制和风险管理的作用。企业的内部控制和风险管理是在长期的实践过程中产生的,是管理经济风险的重要手段。时代的进步,经济的发展,给企业管理提出了新的要求,传统的企业内部控制和风险管理已经不再适应社会发展的需要,因此,为了促进企业的进一步发展,建立先进的企业内部控制和风险管理制度刻不容缓。要结合企业发展的现状,制度符合企业实际的制度,降低因制度缺少来给企业带来的风险和损失。企业内部控制的作用有三个方面。首先,预防作用,通过内部审计加强对于工作的监督,提高工作人员的工作效率,可以及早发现问题、解决问题,减少经济损失,保证资料的可靠性、真实性和完整性。其次,促进作用,实施企业的内部控制,要熟知企业的生产经营情况,采取科学合理的措施,挖掘企业的潜力,改善企业的管理,减少企业的生产成本,促进企业经济效益的提升。最后,评价鉴证作用,通过内部控制和风险管理提高企业的管理水平,以便能够客观、公正的评价各部门的生产经营活动,为进一步的发展做出正确的指示。
二、企业内部控制风险管理机制建立的原则
内部环境、信息交流、风险评估、内控措施、内部监督是企业内部控制落实的重要条件,这些条件的设立要遵循以下原则。
1.内部机制的独立性原则。内部控制制度建立的基本原则就是保证机构的独立性,很多企业的监事会由于受到各方制约,导致工作难以开展,最终流于形式。内部控制制度的建立没有确定监事会机构的独立性,缺乏有效的监督,内部审计无法实现,不能达到企业目标[6]。因此,必要坚持内部机制的独立性原则。
2.内部机制的利益性原则。企业发展的根本目的就是利益的获取。因此,要在建立企业内部机制时,预先评估潜在的风险,对这些风险进行准确的识别。将内部控制落实到企业的每个环节,企业的风险控制不能仅限于风险为零的环境,要充分考虑从成本到适应程度的整个过程,减少资源的浪费[7]。
三、企业内部控制风险管理机制存在的问题
企业是我国重要的经济组织形式,是支撑我国经济发展的一大力量,其社会形象会受到风险管理和企业内部控制的影响,为了让企业得到更好的发展,积极的面对内部控制存在的问题十分重要。
1.内部监督力度不够。虽然一些企业已经制定了内部控制规范,但是因为没有形成系统的内部控制框架,导致可操作性不强。企业内部管理分散,缺乏信息交流,不能形成良好的监督机制,内部审计作为很多企业的监督评审部门,往往只是审查会计账目,对于其他的职能有所忽略,在形式上也缺乏独立性[8]。不完善的企业监管机制,给企业带来了很大的安全隐患。
2.内部分工不明确、企业内控意识淡薄。随着社会发展的要求,企业的经营范围更加多样化和复杂化,组织规模的扩大带来了很大问题,最为严重的为内部分工不明确,法人治理结构不完善。许多领导的管理理念仍旧停留在行政领导的角色上,在实际运行中发挥的作用较弱。职责不清、权限失控使得管理任务更加的艰巨,严重影响了企业的发展,
4.风险意识差,企业内部控制依然薄弱。随着“引进来”和“走出去”战略的实施,我国的企业不仅要承担国内市场的竞争,还要面对国际市场的压力,企业竞争越发激烈化,面临的风险也更加复杂[9]。然而现在的大多数企业风险管理意识淡薄,没有有效的风险控制机制,工作人员的风险意识关系到能否搞好内控工作。为避免错误的决策,要加强风险意识。
四、企业内部控制风险管理机制管理的对策
1.制定科学严谨的内部控制制度,加强内控监督评估。效益是内部控制制度实施应该坚持的第一原则,只有控制成本大于实施成本才是有利的。企业应该从信息沟通、监控活动、风险评估等方面完善内部控制制度,通过网络化信息沟通制度的建立,及时反馈信息,让员工了解自己的职责。建立风险管理系统可以做到提前预警和控制。加强企业的内部审计,一方面,保证内部审计具有独立性。只有保证独立性,才能更好的发挥本身的职能,提高审计效果,增强权威性,因此,要严禁其他部门人员对于审计工作的干预。另一方面,建立以风险为导向的审计制度,内部审计的目的就是及时纠正错误,提高企业效益和运行效率。因此,降低企业风险是内部审计的主要方向,审计人员要不断发挥自身优势,提高企业风险管理的水平,降低损失,增加企业的经济效益。
2.充分发挥职能部门的作用。要确保内控工作的有序进行,就要充分发挥绩效考核部门的职能,要将企业内部控制工作进行细分,明确划分权力和责任,采取责任到人的方式,避免相互推诿现象的发生。另外,为了确保内部控制工作的贯彻,对各职能部门进行约束和监督,将内部控制建设加入部门考核,通过工资奖金等方式,与个人利益挂钩,提高员工工作的积极性。
3.创新管理方法,完善治理结构。随着科学技术的发展和电子产品的普及,企业内控也出现了新的手段和形式,如,密码校验、指纹识别等。要加强信息系统的建立,发挥科技在信息技术中的作用,充分的利用这些科学手段,提升企业内控的效果。采用集约型的管理形式,实现智能化、价值化、网络化和集成化的管理。完善企业法人的治理结构,根据法律设置经理层、监事会、股东会和董事会,并依据公司的规章制度,正确处理他们之间的关系。法人治理结构是以企业内控和风险管理为基础的,因此,要定期召开会议,分析风险问题及防范措施,提高风险控制水平。
4.增强内部控制和风险管理意识,明确内部控制目标。要想建立积极有效的内部控制制度,就要加强企业管理层对于企业内控的重视,不搞形式、不走过场,脚踏实地的发挥内部控制的作用。企业的风险管理影响着企业利益的获取和目标的实现。增强内部控制和风险管理意识,首先,要加强企业法人的主体意识,从企业的切身利益出发,明确内控目标。其次,良好的企业文化有利于将企业发展目标与个人的价值追求相结合,改变职工的工作态度,提高工作的积极性。另外,要加强对于企业内控重要性的认知,让内控制度符合内控的基本原则。最后,加强对风险的评估、识别,找到合理的应对措施,加强风险控制意识。
5.用共同的价值观统一全体员工的思想。行业共同的价值观为“国家利益至上、消费者利益至上”。企业员工要明确实施企业内控是贯彻落实国家方针、政策的一种手段,为了确保企业的持续健康发展,保障消费者的切身利益,要明确行业共同的价值观。要开展职业道德教育,提高员工的思想觉悟。以共同的价值观来引导企业内部控制的快速发展。6.完善企业风险管理体系。一方面,风险管理的第一任务就是要准确的识别企业的风险。因此,要提高识别企业运营过程中的出现各类风险的能力,正确的区分风险和机遇,在防御的同时,抓住企业发展的机会。另一方面,提高战略目标的准确性是风险管理体系的重要内容,因此,要细分风险事项,从企业内部选择不同的划分方法。
五、结语
综上所述,我国的企业竞争压力大,在运行过程中存在一些潜在的风险,加强企业内部控制和风险管理十分重要。企业只有加强企业的内部控制,才能更好的降低企业成本,提高资金利用率,确保资金安全,防范各种风险。要以“全面性、制衡性、重要性、适应性、成本效益”等原则为依据,完善企业的内部控制和风险管理制度,提高管理水平,推动企业向稳定健康的方向发展。
作者:张新男单位:大连银行计财部
[1]李佳.论企业内部控制的风险管理机制[J].中国市场,2015,(16):178-179.
[2]胡建云.论企业内部控制的风险管理机制[J].时代金融(下旬),2015,(12):75.
[3]韩晓.论企业内部控制的风险管理机制探究[J].财经界,2015,(27):159.
[4]张亚亮,贺春红.论企业内部控制的风险管理机制[J].城市建设理论研究(电子版),2015,(20):2647.
[5]李占国.论企业内部控制的风险管理机制[J].城市建设理论研究,2014,(14).
[6]杨华.论企业内部控制的风险管理机制[J].行政事业资产与财务,2015,(17):49-50.
[7]葛岩.论企业内部控制的风险管理机制[J].城市建设理论研究,2014,(14).
企业内控机制的强化,风险管理系统的逐步健全,已经成为当代企业管理的一个首要部分。企业内部控制的实施,已经取得初步成效,在企业内部的公司治理逐步完善,防范了市场风险,但在实践过程中,也存在一些薄弱环节。本文在探讨企业内控体制的基础之上,进一步剖析了内部控制的现状与产生的问题,并基于风险管理的视角得出一些改良的方案。
1企业内部控制的演进
在第20世纪40年代的内部控制理论的前身,在第20世纪70年代获得了长足的发展,并逐步形成了一个基于企业层面的内控理论结构。但直到第20世纪90年代的整体内部控制理论,它才真正的被企业所熟悉和使用。在第20世纪90年代,国际金融机构面临前所未有的挑战。如1997年亚洲金融危机,让全世界意识到内部控制的重要性。
2004年,COSO委员会继在《内部控制整体框架》的观点上公布了《企业风险管理整合框架》,由此引发了关于风险与内部控制关系的探究。当前,对于两者的关连一直没有统一的观念,但主导的观点基本上都认为风险管理是内控的延伸。谢志华(2007)认为,内控和风险管理都是基于企业存在的风险而产生的,都是为了进行风险的节制,建议将内部控制与风险管理两者融合为一种统一的理论观念。丁友刚等(2007)提出,内部控制是一种控制机制,意在控制各种风险,并且该机制融入到企业综合风险管理框架之中。内部控制是一个全体员工全程介入的进程,风险管理也如此。内部控制和风险管理的施行主体是相通的,过程是相通的,最终目标还是相通的。管理风险的过程也是实施内控的过程,是协调统一、相辅相成的。
2企业内部控制存在的问题及表现
企业内部控制的施行可以高速运转企业管理机制的强化,推动企业稳定发展。但在实践过程中,内部控制影响风险管理并受其影响。这就决定了我们在分析企业内部控制存在问题时,必须就风险管理系统对企业内部控制的影响分析。其中存在的主要问题有。
2.1内部控制的认识和理解存在偏差
企业内控机制是一种自律体系,将不可避免地被内部控制概念所影响。在实际工作中,一般认为,内部控制整体汇总各种工作制度和业务规则条例,有了规则制度,也有了内部控制。这种对内部控制的观点就是规则条例,内部控制的固有的意义被真实地忽视,但忽视内控是一种机制,是控制的动态运行的事务的过程中,联锁互制的监测作用。这种过失反映了企业内部控制轨制建设过程中,建设只重视内控规制,而轻忽内部控制的实施,以及根据环境的变化对系统的改造。因此,管理者可以采取的补救方法,将精力耗费在处理种种已产生的问题上面,而内控计划的合规性和实施效果往往缺乏高效的测度。当然,企业的发展离不开基本规则,然而,一些规章制度并不是内部控制的全部,更不能取代内部控制机制。这种认识上的偏差是我国企业并没有建立起完善的内部控制体系的重要原因。
2.2内部控制制度不健全
一个明显的问题,内部控制自身的不完善及系统内的互相脱离,详细体现在如下两个方面。
一是内部控制制度牵制乏力。一些企业内部控制制度不仅是在各部门之间相互分裂,有的甚至是相互冲突的。企业内部之间不能很好地实现相互牵制,内部联系脱节。
二是没有做到内控先行。激烈的市场竞争,产品创新层出不穷,但企业缺乏讨论和详细规划在业务展开前,仅仅作原则性规定,在组织的各个层次,并根据不同的市场环境和不同的利益驱使,致使在同一企业,同一业务,操作方式都有所不同。这是不利于企业的管理,更不利于节制各类风险,提高管理和监督成本。
2.3内部控制没有与风险控制系统有机结合
企业内控的难点就是风险控制,也是企业内部控制系统的一个明显柔弱的关键。部分企业虽然成立风险管理部门,但职能仅限于资料的收集和传输,没有与其管理职能相对应的权力。在企业谋划中受到利益驱使,重视经营,轻视管理,自我防范认识较差,自我管制机制还没有完全建全,结果是内部治理跟不上业务发展的需要,内控先行尚未在新业务开发过程中施行,没有充分评估风险,也就是没有有机地控制内部控制与企业本身的风险,不利于企业更好地长远发展。
2.4风险管理系统不完善
我国企业信息管理起步较晚,数据基础管理工作极度缺乏,在风险管理过程中对数据管理存在很大问题。主要包括企业有用数据缺少内在连续性,数据的真实度很低,容易受人为因素影响等。数据的不真实导致风险的评估缺乏可信性,没有在内部控制的基础上实现全面风险管理。
3企业内部控制存在问题的原因
3.1企业风险控制意识短缺
在全球经济、政治一体化的进程中,我国和世界经济联络更加紧密,越来越多的海内企业要跨出国门,加入到国际竞争中去,必定会有很多外资企业奔入国内市场,参加到国内市场竞争中。在当前背景下,国内企业所面对的竞争压力越来越大,各类不确定成分也在逐步增加,企业所面对的各类风险更为错综复杂。但是,海内很多企业风险意识仍旧很柔弱。据数据报道,国内企业管理者所关心的风险大部分停留在财务风险方面,对风险管理与风险控制的认识还很薄弱,从而致使整体企业内部控制失效。
3.2尚未建立全面的风险评估管理体系
波及的业务,增加了一个范围广泛的能力的风险,公司治理与风险管理能力薄弱,缺乏合理的公司治理,缺乏驾驭风险管理与内部控制的专业管理人才,企业风险管理主要处在风险识别与风险评估的阶段,风险应对能力较差,而且在进行内部控制的设计和执行中,对具体业务层面的各项风险考虑较多,但对企业面临的整体风险缺乏整体思考。所以说,企业尚未建成全面的风险评价管理体系,从而导致内控失效。
3.3企业公司治理结构不完善
确保企业内部控制机制施展和激励企业内部控制高效运转的前提和根本条件,同时也是企业可以执行内控制度的环境保证就是完整的公司治理体系。企业内控的主体是企业经营管理层,若是缺乏完整的公司治理模式,企业职权设立和权力均衡系统存在弊端的话,企业内部控制就易失效。对全部控制情况形成有害影响的是组织构造的缺失,企业内在功能低下,业务管理部门人事管理出现交叉,在内部控制实施中易出现责任推卸、职责混乱的现象。
3.4企业内部控制缺乏有效的监督
因为审计规制沿用传统很多,内部审计部门很难对内控制度策划的合理性和有效运转进行连续高效的监视,而且在审计过程当中觉察的问题并没有完成真实的责任落实,在绩效评价机制中没有和领导的考核提升相互挂钩,震慑力很小。所以,为了保证企业管理系统能够进行并生产性能良好,企业内部控制机制要能适应于经营情况不断变革而对应产生的各类新环境,就必须对企业内部控制进行持续监督,从而保证企业在事后监督与事前监督两者的有益结合。
4完善企业内部控制机制的对策
对企业内部控制存在的问题以及产生的原因进行分析表明,风险管理影响企业内部控制。针对如何更好的实现企业内部控制与风险管理的有机结合,主要可以从以下几个方面加以完善:
4.1企业内部推广宣传风险管理理念
培养精良的风险管理认识是实施内部控制机制的紧要环节,是风险管理体系存在的基本条件。企业风险管理理念的宣传是企业制定战略机制的根本工作,而内部控制机制的组建和风险管理理念的宣传又同属于一个体系,两者是互相独立的。大力推广风险管理理念是构建良好企业内部环境的第一要义,企业内部环境的重要组建是关乎企业良性发展的核心体系。因此,只有企业管理者树立正确的风险管理观念,促进它的重要性,积极应对未来面临的各类风险,企业作为一个有机整体,才可促进企业价值的发展。
风险管理理念作为一个企业面对未知风险的整体态度和认识,其重要性是使企业各岗各位的员工都有所认同、有所认识,才能够在事物整体上及时发现潜在风险、认识风险、面对风险,从而进行准确评估,给出合理的应对方案。因此,推广宣传风险管理理念的工作是可取的,从而可以因此加强企业凝聚力。
4.2不断完善企业风险应对管理体系
全面识别企业风险事项。快速识别各种操作风险是企业风险管理的首要前提,风险识别是一个重要的出发点,企业风险管理系统,是企业内部控制的最困难和最重要的工作的实施。在各种风险的生产企业,必须是全面的系统识别,快速反应,区分机遇和风险,从而使企业采取措施或抓住机遇,应对风险。通过企业风险识别体系的构建,确保管理者保持企业战略目标不偏离。企业风险管理部门应当确立企业各部门的风险防范职责,其次企业风险防控部门应进行职能对接,综合处置、共同配合、集中处理应对方案的合理把控,最后核对各部门在生产经营中存在或发现的各种问题,并对其进行综合的分类、汇集,从而有利于加速企业构建风险管理体系的章程。
4.3在企业内开展有关风险管理与内部控制机制的专题讲座
定期性的组织企业全体人员参与有关风险管理理念的专题讲座,从而在案例中反思,间接性的在讲座中了解和普及风险管理的知识与认识,有周期性的讲座可以养成执行内部控制的习惯,风险管理文化的培育讲座更可以让大家养成三思而后行的风险管理意识习惯,从而达到利于企业发展的目的。通过讲座开展一案例一反思,定期进行讲座总结与案例分析更有利于强化员工心理的风险意识,实现内部控制与风险管理理念有机结合。
4.4定期规整总结、定期完善内控条例,最终达到风险管理的全面实施
企业内各部门间应定期总结阶段的成效与错误所在,企业内审计部门应进行不间断监控,有针对性的对周期内发现的风险与不完善之处进行内控执行以及风险治理,采取相对应的改善方案,有周期性的进行总结与完善调控,将有利于推进内控的进程。定期规整总结、定期完善内控条例,有利于提高更为全面的风险管理措施,也可更有利的保证了风险管理和内部控制的合理集合与有效持续的发展。
关键词:电力企业;内部控制;措施
一、电力企业建立内部控制的必要性
(一)加强内部控制有助于电力企业转换经营机制
随着现代市场体制和电力企业的深度改革,电力企业正在逐渐转变为“自主经营、自负盈亏、自我发展”的市场主体。为了保证企业经营机制顺利转变,企业必须建立完善的内部控制以保证企业财务清晰、会计核算规范等等,完善处理电力企业内部的利益分配关系,保证电力企业生产经营活动的顺利进行。
(二)加强内部控制有助于电力企业提高竞争力
当前,电力企业面临的竞争形势越来越严峻,电力企业要在激烈的市场竞争环境中占有一席之地,必须建立完善的内部控制。完善的内部控制可以使电力企业及时发现自身优势以及存在的问题,使企业对自身有所知。然后,充分的发挥自身优势,解决存在的问题,使企业主动改变,这样将有利于企业在市场竞争中占得先机,取得最终胜利。
(三)电力企业加强内部控制是国有资产管理的要求
电力企业是整个国民经济实现可持续发展的基础,是国家的基础产业,在国民经济中发挥着极其重要的作用。当前,几乎所有的电力企业都是国有企业也即国家直接投资的,国家作为股东自然要求资产再投入运营之后不断地保值增值,而且还会采取措施防范国有资产的流失。国家要实现其对电力企业的监督控制要求,必然会要求电力企业建立有效的内部控制。
(四)电力企业加强内部控制是国家法律的要求
二、电力企业内部控制存在的问题
(一)员工风险意识不强,存在认识上的误区
目前,电力公司系统较大部分基层单位风险管理工作虽建立健全了组织机构并开展了大量的工作,但并没有取得实质性的进展和效果。原因在于缺乏较强的风险管理意识,存在认识上的误区。主有表现在:(1)多数干部与员工对于风险管理工作还停留在“上级要我做”的阶段,未真正理解内部控制和风险管理对企业的真正意义;(2)认为内部控制和风险管理是管理层和财务部门、内部审计部门的事情,非全员参与的“过程”。目前,公司系统各基层单位的内部控制建设工作多是由财务部门牵头组织设计和实施的财务内部控制,风险管理工作多是由内部审计部门牵头组织开展。因此存在一种错误的认识,认为普通员工参与内部控制和风险管理工作是为财务部、内部审计部做事,表现消极应付,出现“搞形式”、“走过场”现象。
(二)企业内部组织机构与内部控制体系存在矛盾
2008年初,公司系统在认真研究企业实施erp(enterpriseresourcesplanning企业资源规划)建设的经验,充分论证公司信息化基础和承载能力的前提下,做出了实施erp建设的重大战略部署,开始全面启动公司erp工程建设,并在几个试点的省、市级、县级公司实现了成功上线。erp实行的是流程化管理,强调企业资源的统一管理和共享,erp系统的实施需要对原有的业务流程进行优化和设计,改变企业原来的组织结构,打破企业职能部门的条块分割,相应地要求企业内部控制体系也随之作出适应性变化。然而,公司控制系统目前仍然以管理部门进行职能分工,这就造成了erp系统业务流程已按生产与管理程序进行设计,流程责任人负责管控其所属各控点,然而,各控点责任人却隶属其他部门管辖的现象。业务流程管理与部门人事管理出现交叉,容易产生一些矛盾,产生管理“踢皮球”的问题。
(三)缺少完善的风险管理体系
作为一个企业应该有良好的风险评估信息披露系统和风险预警系统,只有这样才能把企业的投资和经营风险降到最低。在我国传统的内部控制体系中,没有意识到电力企业由于日益激烈的竞争,各种不确定的市场因素普遍存在,电力企业面临许多客观存在的风险。对电力企业面临的市场风险的忽视也即风险意识的淡薄,使电力企业在运营过程中会遭遇更多的风险,无法对风险进行有效的管理和控制,影响企业的发展甚至危及企业的生存。
(四)内部控制制度不健全,执行效果不够
电力企业具有投资大、设施分散、资金密集的特点,其内容制度的健全与否关系着电力企业成败的命运。近年来,尽管国家对电力企业财务制度颁布过一系列的法律法规予以规范,但仍有部分电力企业没有按照法律规定行事,企业内部财务管理不规范,造成电力企业内部控制制度执行不严、有法不依的现象。另一方面,内部控制制度不健全还引发企业会计信息失真问题。会计信息一旦失真对企业经营者而言将会面临更多的决策风险,对外界投资者而言将会面临更多的投资风险。总之,控制制度不健全违背了内部控制的要求,要发挥内部控制的作用必须建立健全的内部控制制度。
三、加强电力企业内部控制的措施
(一)高度重视内部控制环境建设,营造良好氛围
各级管理层要按照国家电网公司在2009年初提出的依法从严治企的各项要求,提高认识,牢固树立依法治企、规范经营的意识,高度重视内部控制和风险管理,加强企业风险防范,处理好内控与发展、效率与风险等方面的关系。加大企业经济安全文化的引导和灌输,强化员工风险意识,加强职业道德、内控意识的培养;规范员工行为,使其深刻认识内部控制和风险管理的目的、意义、方法和途径;明确各单位的风险管理职责,建立风险管理的考核机制,进一步巩固风险管理初始阶段的成果,形成风险管理长效机制,提高风险管理的效率和效果,实现规范管理和经营安全的企业目标。
(二)不断完善企业内部控制体系,强化内部控制的执行
1.全面梳理,保证管理机制、内部控制实施环节和业务管理制度的一致
公司系统要结合erp系统运行过程中出现的问题,认真分析原因,全面查找内部管理机制与内控实施环节相矛盾的方面,并在符合内部控制要求的前提下,进一步完善各项业务管理制度,使内部管理机制、内控实施环节、业务管理制度之间达成一致,促使公司逐步形成业务管理服从规章制度、业务操作服从处理流程的工作规范。
2.落实责任,强化内部控制的执行
。(三)逐步建立健全全面风险管理体系,有效化解风险
目前,我国很多电力企业对风险管理的认识在许多方面还存在不足,在主观意识上没有认识到风险管理对企业自身的重要性,在企业风险管理的建设方面还存在一些滞后性。然而,我国电力企业要想完善其内部控制,风险管理制度的建设不可或缺,电力企业必须将风险管理的思想融入企业生产经营的各个环节,做到时时进行风险管理,事事想到风险存在。建立完善的风险管理体系具体可以从以下几个方面进行:首先,建立风险管理组织机构。风险管理组织机构是整个企业进行有效风险管理的基础。电力企业要根据自身的实际情况,建立与之适应的组织机构。通过组织机构制定完善的风险制度以保证企业在日后行事时有法可依,有章可循。同时,电力企业借助风险管理组织机构可以及时分析风险产生的原因和所处的风险阶段,及时不断地调整企业的应对策略,以降低企业风险。此外,建立风险预警系统。风险预警系统可以有效地保证电力企业预测风险的存在,使有关部门及时做好准备,降低风险带来的损失。
(四)大力开展内部控制评价,促进和推动风险管理整体工作
供电企业实施内部控制评价是开展风险管理审计的有效方法,内部审计部门科学有效地对电网企业各经营环节内控制度进行评价,可以有效地检查基建、生产、营销等各个经营环节控制系统的设置是否合理,执行是否有效,帮助企业建立预警机制,控制企业经营风险,防患于未然。公司系统各单位要充分发挥审计职能,将内部控制评价作为开展风险管理监督评价的重要手段,全面开展企业内部控制评价活动,促进和推动公司系统内部控制的健全和有效执行,实现风险的在控与可控。
综上所述,建立健全的内部控制虽然是国家对电力企业提出的一项要求,要保证切实地符合国家预期,真正实现内部控制的作用,仅仅靠国家单方面的强调要求是不够的,还需要电力企业自身的参与配合。而且电力企业要想建成一流企业,必须加强内部控制的约束,努力防范经营风险,为企业获得巨大的经济效益和社会效益奠定基础。
参考文献:
[1]杨洪梅.发电企业内部控制研究[j].现代商业,2009,(3).
[2]何昌君.电力行业审计中应该注意的环节[j].中国审计信息与方法,2008,(5).
关键词:企业全面风险管理内部控制体系
一、全面风险管理和内部控制概念
(一)全面风险管理的概念
全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。
(二)内部控制的概念
内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。
(二)管控范围相互包含
从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。
(三)管控视角侧重不同
从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。
(四)管控目的存在差异
从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。
三、企业内部控制体系实施
随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。
建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。
1.搭建内部控制体系组织架构和体系
内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。
2.梳理规范业务操作
梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。
3.提升风险管理意识
4.内部控制落实
5.加强内控执行监督
(二)以风险为导向、面向业务运营的全面内控体系
开展企业层面的风险评估,编制全面风险评估报告,全面优化SOX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。
1.搭建业务框架
内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。
2.增设关键控制,注重前后评估
一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。
根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。
3.合并同质控制
通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。
4.梳理标准规范
5.实施内控系统固化
伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。
(三)以全面风险管理为视角的内控体系
1.深化风险文化
作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。
2.构建风险体系
企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。
首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。
其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。
再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。
3.提升管理水平
通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。
四、未来全面风险管理内控体系的实施建议
(一)将企业风控管理和战略管理结合在一起
战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。
为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。
(二)全员参与自主风控
(三)强化风险监控预警,有效完善内控体系
企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。
五、结束语
关键词:高速公路内部控制风险管理
(一)内部控制
内部控制是指一个企业为了实现其经营目标,实现其价值的最大化而采取的自我约束、调整、控制的一系列方法与措施的总称。
(二)风险管理
风险管理是社会组织或者个人用以降低风险的消极结果的决策过程,通过风险识别、风险估测、风险评价,并在此基础上选择与优化组合各种风险管理技术,对风险实施有效控制和妥善处理风险所致损失的后果,从而以最小的成本收获最大的安全保障。
(三)高速公路内部控制与风险管理的目标
二、我国高速公路内部控制与风险管理现状及问题分析
(一)内控观念落后、风险管理意识薄弱
内部控制作为企业管理的中枢环节,在企业发展过程中发挥着重要的作用。然而就现实情况而言,由于受到计划经济时代思想及传统管理观念的影响,许多高速公路企业的领导干部缺乏对于内部控制制度建设的重视,在工作中往往只重视公路建设的效率和经济效益,忽视了内部控制在企业发展过程中的重要作用。其次,我国大部分高速公路企业都属于国有企业,有着国家财政的支持,在项目建设和工程竞标上有着独特的优势,企业发展长期处于一帆风顺的状态。在市场经济发展的新时期,这种状态直接使得企业的市场灵敏度降低,导致企业失去了对于潜在风险的认知和控制能力。
(二)高速公路单位制度建设滞后
制度建设是高速公路企业内部控制和风险管理的重要保障。就我国目前的高速公路企业来看,许多企业的内部控制和风险管理制度建设仍不完善。首先,一些企业由于领导缺乏认识和相应的理论基础,在企业内部没有设置专门的内控和风险管理制度,内部管理处于相对混乱和散漫的状态。其次,一些企业虽然设置了相应的制度,但是制度本身在很多方面还存在着漏洞。比如:许多企业的预算管理往往偏向于如何降低开支,控制成本,忽视了预算的使用效率和资金预期能够带来的收益。
(三)管理人员综合素质有待提高
(四)监督机制有待完善
内部监督和外部监督是公司正常运行的有力保障,监督机制的缺失是高速公路公司风险性高、管理混乱的重要原因之一,就公司内部而言,企业公司领导不重视对公司的财务控制与风险管理,公司的内部审计与监督部门大多是设施在财务部门之下,不能独立的行使职权,难以起到很好的监督与审计作用,同时,高速公路公司由于受到市场竞争、经济效益等方面的限制,往往不愿意向社会公众和大众媒体过多的公布自己的财务信息,导致外部监督对高速公路公司的监督工作没有做到很好的发挥。
三、加强高速公路内部控制与风险管理建议
(一)提高人员素质、强化责任意识
(二)加强制度建设
关键词:COSO框架ERM框架内控风险管理
中图分类号:F231.6文献标识码:A
一、COSO框架、ERM框架和《企业内部控制基本规范》介绍
(一)COSO框架和ERM框架
1992年9月美国COSO《内部控制――整合框架》,并于1994年进行了完善,COSO框架是目前国际上认同度最高和最权威的内部控制概念框架。自COSO框架以来,已被世界上许多企业采用,但是随着实践的发展,理论界和实务界纷纷提出COSO框架的建立应与企业的风险管理相结合。2004年9月,COSO了《企业风险管理――整合框架》(简称《ERM框架》),新的框架是在1992年COSO框架的基础上,结合《SOX法案》在报告方面的要求,将构成要素扩展至八个要素,具体对比如下:
与COSO框架相比,ERM框架更为广泛,无论在内容还是范围上都有所扩大和提高,引入了风险管理的理念,拓展和细化了内部控制,形成了一个更全面、更强有力的风险整合系统。
(二)《企业内部控制基本规范》
为了规范国有企业内部控制建设,五部委在2008年联合《企业内部控制基本规范》(以下简称“规范”)以及一些配套指引。规范及配套指引的,标志着我国内部控制规范体系的基本形成,是我们内控体系建设的里程碑,对加强和规范国内企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益具有重要意义。这些都充分表明国家对内部控制和风险管理的高度重视,在日益发达的市场经济环境中,在利率市场化的大背景下,风险无处不在、无时不在,企业只有建立了健全的内部控制体系,才能实现企业的持续稳健经营,才能安全抵达美好愿景的彼岸。
二、构建ERM框架下的内部控制体系
财务公司作为集团的风险管控中心、资金集中管理中心,在集团发展战略中起着双重作用,既要对内培育和完善企业集团的内部“金融市场”,又要实现盈利目标保障公司持续性发展。因此,财务公司开展内部控制体系建设,既是深入贯彻上级要求,保障集团公司持续健康发展的重大举措,也是财务公司应对复杂经济环境,提升企业管理水平的内在需要。
公司内部控制体系各要素基本内涵和主要做法包括以下几个方面:
(一)培育依法合规、全员参与的内部控制环境
内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,如果没有内控环境的保证,设计得再完美的内部控制制度、机制也只是“镜中花,水中月”,发挥不出应有的作用。公司高度重视培育企业文化,将内控文化融入到公司的“金帆文化”中去,公司优秀的企业文化促进了董事、监事、高级管理人员和全体员工的思想和意志的统一,激发了全体员工的潜力和热情,纷纷积极投入到内控体系建设中去,全体员工都成为了风险的监控者、管理者,使内控真正“内化于心,固化于制,外化于行”。
(二)建立全方位、全过程的风险管理体系
华电财务根据ERM框架拓展了风险评估的内容,将风险管理过程分为目标设定、风险识别、风险分析、风险应对四个步骤,将公司的管理重心更多地向风险管理转移,四个要素环环相扣,共同构成了风险管理的完整过程。
2.风险识别:风险识别是风险分析的基础,风险识别是否全面、深刻直接影响风险分析的质量,进而影响风险管理目标能否实现。华电财务从实际出发,全面解构公司风险,建立风险数据库,按照战略风险、合规风险、信用风险、市场风险、流动性风险和操作风险等分类建立控制规范和底层风险数据,通过对各类风险的识别、评估、分析,制定《风险数据库管理办法》,形成风险数据的收集与分析、处理与反馈、更新及维护的动态化运行机制。
3.风险分析。明确风险发生的可能行和影响程度是风险分析的两大核心任务,华电财务根据风险发生的可能性将风险分为高、中、低三种情况,将风险对目标的影响程度分为重大风险、重要风险、一般风险三级。根据风险发生的可能性和影响程度绘制风险坐标图,如图所示:
其中,A区域是低风险区域;B区域是中风险领域;C区域是高风险领域。公司选择承担A区域的各项风险且不再增加控制措施;严格控制B区域的各项风险且专门补充各项控制措施;确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。公司编制了覆盖公司全业务流程的内部控制矩阵,根据风险控制点的重要性程度将风险设为高、中、低三个级别,针对不同级别的风险确定不同的评价频率,对于内控评价发现的风险,根据其所在的风险区域分析风险发生的情况、原因、整改措施等,确保将有效的管理资源用在关键风险点管控之处。
4.风险应对。风险应对是指企业根据风险识别和分析的结果,结合自身的风险承受度和风险偏好,确定风险管理策略,制定风险解决方案,进而把风险控制在风险承受度范围之内,以实现企业风险管理目标的过程。华电财务的风险应对目标与公司的战略目标保持一致,通过采用专业的风险计量方法,将定性和定量相结合,匡算出公司总体的风险资本,分别确定了公司总的风险管理策略和各类风险的风险容忍度、风险限额、风险管理策略,通过风险规避、风险降低、风险转移以及风险承受等方式达到公司风险―收益的平衡。
(三)设置岗位清晰、权责分明的内部控制措施
(四)建立顺畅、有效的信息交流与反馈机制
(五)构建内控评价、内部审计与纪检监察相结合的内部监督体系
内部监督是企业内部控制得以有效实施的机制保障,在内部控制构成要素中,具有十分重要的作用。华电财务内部监督体系分为:内部控制评价体系、内部审计体系、纪检监察体系。公司定期开展内控日常评价和年终评价,采取各部门自评价和风险部门再评价的方式,风险部最终出具内控评价报告,编制《内控待完善事项汇总表》,列明完善标准、完善期限,责任具体到部门,定期由风险部门进行督促跟踪,确保内控评价成果的落地;将内部审计监督职能与内控有机结合起来,将公司内部审计发现问题纳入到公司内控评价整改事项中去,实现了内控与内审的资源共享、相融共生;公司配备了专职的纪检组长,设立了纪检办公室,配备了相应的纪检监察人员,并定期对纪检监察人员进行培训。
三、结束语
“有控则正、无控则乱、得控则强、失控则弱”,公司通过建立以企业风险管理为导向的内部控制体系,有效防范了风险,保障了公司的持续稳健经营。随着内外部环境的不断变化,公司只有树立牢固的风险防范意识,不断总结内控建设过程中的经验和教训,坚持与时俱进,不断改进创新,才能不断完善内部控制体系,才能在日益激烈的市场竞争中立于不败之地,才能为集团公司提质增效、转型升级,建成“三化一流”能源集团作出应有的贡献。
[1]池国华,朱荣著.内部控制与风险管理[M].中国人民大学出版社,2015
[2]张丽琼.一种基于COSO框架的内部控制体系建设方法[J].中国管理信息化,2011(12)