内控及风险管理精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的内控及风险管理主题范文,仅供参考,欢迎阅读并收藏。
第1篇:内控及风险管理范文
一、内部控制概述
内部控制是指企业为了保证其经营目标的实现,对资产的完整性、数据的真实性等进行控制、评价、监督的一系列方法、措施的总称。它的基本目标是纠正企业经营中存在的错误,提高企业经营管理的效率,从而实现企业经济效益的提高。
加强电信企业的内部控制具有重要的意义,具体体现为:是企业经营管理的内部需求。近些年电信企业内部管理体制在不断发生变革,为了适应日趋激烈的市场竞争,公司的经营规模、组织构架和管理层次都在相应发生变化,然而管理工作很多没有同步发展起来,无形中加大了企业的风险指数。电信运营商对于内部控制建设关乎企业的正常运营。是完善企业治理结构的要求,是提高竞争力的要求,是适应市场竞争,经济全球化的客观需要。
二、电信企业内部控制现状
国内的几大电信企业在《萨班斯法案》颁布实施后,均对企业的治理结构进行了进一步完善,对企业的经营效率的提高有了很大的帮助。但是,这并不代表电信企业不再存在问题,其中内部控制机制仍缺乏进一步的完善和健全。就目前而言,电信企业内部控制机制主要存在的问题主要有:
第一,内控观念有误区。大多电信企业对于内部控制制度的认识都认为是被动的,没有看到有效的内部控制给企业带来的实际经营效率。许多企业的会计部门就可以单独负责内部控制的管理工作,往往忽略了内部控制是需要各个部门共同配合才能完成的。这都缘于企业管理人员对于内部控制管理工作的认识不够,没有形成完善的内控观念,从而导致对企业的管理往往局限在成本效益上,内部控制观念相较于国外落后,影响了企业的更好更快发展。
第二,内控设计与实际执行存在偏差。内控实施人员不是固定部门固定人员,负责人的流动性导致在实际工作中并没有严格按照电信企业的内控手册、实施细则执行,失去了内控设计本身的完善性和详尽性,设计预期与实际执行结果形成了较大的偏差。
第三,企业内部组织机构与内控管理体系矛盾重重。电信企业以管理部门进行职能分工,业务的流程则是按生产和管理程序进行设计,业务管理与部门人事管理出现交叉,容易产生矛盾,在内控的执行和评估时相互推诿。
三、加强内控建设
第一,加强内控意识。电信企业应对内部控制制度建立新的认识,走出旧观念误区,树立新型内控管理理念。学习发达国家经验,将其内控体制执行的手段和技术结合国内企业情况应用于国内的企业。企业各级管理层要依法、诚信,高度重视内部控制,在管理工作中严于律己,以身作则,对员工进行定期内控培训,提高员工对内控的认识,强化员工观念,彻底了解内控的目的和意义所在,改变以往被动接受,使之积极主动执行、贯彻落实内控理念。
第二,完善内控结构。按照“萨班斯法案”报告的内容,企业在制定内部控制措施时,一般包括一下内容:
建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定;
建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等;
建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任;
建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应付的责任和奖惩制度;
建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等;
建立重大风险预警制度。对重大风险进行持续不断的监测,及时预警信息,制定应急预案,并根据情况变化调整控制措施;
建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责, “三重一大” 事件的集体审批和联签制度。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约,明确该岗位的上级部门或人员对其应采取的监督措施和应付的监督责任将该岗位作为内部审计的重点等。
第三,加强内控过程管理。企业内控不足往往是由于企业只看重结果,而忽视过程管理,电信企业生产过程就是销售过程,如在过程中的一个环节发生错误,直接影响企业效益。因此,在日常工作中与内控建设有效结合进行管理和监督,提高各种风险发生的警惕性,从市场营销前端到收入报告的生成确认,从各项业务流程的规范发哦系统的支撑与管控等环节都要保证内控的有效性,才能保障整个流程的顺利推进。
加强电信企业风险意识
企业的管理工作往往较为薄弱,与企业内部的结构改革不相适应,因此企业的各类风险相应而生或加大,电信企业必须要进一步健全相应的风险管理体系。电信企业随着现代企业管理的发展,内部控制也已发展到风险管理及全面风险管理的阶段。企业的风险管理和经营管理、战略管理一样,已经发展成为企业管理中一个相对独立的管理领域。企业风险管理分为两个部分:风险管理的组织体系和项目风险管理体系。电信企业则侧重重大项目的风险管理,风险管理的组织体系则对前者起到保障作用。电信项目风险主要包含了市场风险、技术风险、建设与运营风险、财务风险、政策与法律风险等几方面的因素。着诸多因素都影响着企业的良好运营,要保障企业能够平稳发展,风险管理工作在这些因素的作用下要尽量避免或者把风险最大化降低。
电信企业应设立专职部门进行风险管理工作,部门人员应履行以下职责:
一、研究提出全面风险管理工作报告;
二、研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
三、研究提出跨职能部门的重大决策风险评估报告;
四、研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控;
五、负责对全面风险管理有效性评估,研究提出全面风险管理的改进方案;
六、负责组织建立风险管理信息系统;
七、负责指导、监督有关职能部门、各业务单位开展全面风险管理工作。
企业其它职能部门及各业务单位在全面风险管理工作中,应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督,全面落实风险管理工作。
第2篇:内控及风险管理范文
关键词:内部控制风险管理风险导向
中图分类号:F270.7 文献标识码:A
文章编号:1004-4914(2010)09-020-02
在1992年《企业内部控制――整体框架》报告的基础之上,结合《萨班斯――奥克斯利法案》(Sarbanes―Oxley Act,以下简称萨奥法案)的相关要求进行扩展研究,美国科索委员会COSO在2004年正式《企业风险管理――整体框架》,指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更广泛的管理概念和工具。”该框架对内部控制的内涵进行了扩展:监督成为企业风险管理的要素之一,对企业风险管理进行监督以确定企业风险的运行是否有效,监督对象在目标、方法、内容等方面进行了扩展,但仍然遵循了内部控制监督的基本原则和方法。COSO委员会于2009年1月了《监督内部控制系统的指南》(Guidance 0n Monitoring InternalControl Syslems,以下简称监督指南)。该指南以风险导向为核心理念,以将监督有效地植入公司的持续控制过程为根本目标,从而能最小化内部控制失败,并提高决策所需信息的可靠性,它在实质上推动了内部控制监督要素的应用性发展。我国自2009年7月1日起施行《企业内部控制基本规范》,也强调了风险管理。
但是,很多研究结果表明,当前的内部控制框架有一定的局限性,尤其是对风险管理的强调不够,使企业的内部控制与风险管理无法有机结合,所以应该加强基于风险管理的内控。
一、内部控制和风险管理基本理论
1.内部控制理论。内部控制是指被审计单位为了保证业务活动的有 效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督。
内部控制理论是内部控制框架和标准制定的基础,在整个内部控制体系中起基础性作用。在我国,吴水澎,邵贤弟,陈汉文(2000)、杨雄胜(2005,2006)、潘琰,郑仙萍(2008)、毛新述,杨有红(2009)等从不同的视角对内部控制理论进行了探讨。谢志华探讨了内部控制的本质和结构,陈关亭讨论了企业内部控制的假说。
2.风险管理理论。(1)风险的概念。人们在特定客观条件下和特定时期内,对于某一事件或行为产生的预期结果与实际结果之间的差异程度就是风险。这种差异程度在本质上体现了预期主体之间的价值调整。(2)风险的特征。风险的主要特征包括:风险是客观存在的,风险是相对且可以变化的,风险是可以预测的,风险在一定程度上是可以控制的,风险损失与风险价值的对立统一性。(3)风险管理理论。风险管理是企业在识别风险、分析风险、衡量风险的基础上寻求有效控制风险的途径,并用最经济合理的方法来处置风险,以实现最大安全保障的科学管理方法。
企业风险管理的目标是通过对企业的风险进行控制和管理,尽可能使得某一风险事件或行为造成的损失比预期小,创造的价值比预期大,即风险溢价最大化。设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。企业风险管理目的在于企业同标的实现,保证股东财富的最大化。
二、内部控制、风险管理之间的关系
内部控制与风险管理并非平行的关系,应该说内部控制是风险管理的一个重要组成部分,而风险管理则是内部控制的发展和延续。内控主要是针对常规性风险,风险管理主要针对非常规性风险。
理论界和实务界对内部控制与风险管理的关系观点不一,目前具有代表性的三种观点是:内部控制包括风险管理;内部控制就是风险管理;风险管理包括内部控制。
1.内部控制包括风险管理。COCO的报告认为,风险识别、风险评估、风险应对、风险监控是企业内部控制的关键要素。CICA(1998)阐明了风险管理和内部控制之间的关系,即内部控制包括风险管理。
2.内部控制就是风险管理。Blackhum(1999)认为风险管理与内部控制仅仅是人为的分离,在现实的经营活动中,两者是相同内容的不同表达形式而已;Matthew Leitch(2004)认为,理论上风险管理系统和内部控制系统没有实质上的区别,随着这两个概念的内涵不断外延,两者正趋同一致,即内部控制就是风险管理。陈关亭(2005)认为风险管理与内部控制并不是包含关系,而是完全等价的。
3.风险管理包括内部控制。美国科索委员会COSO于2004年正式的ERM--IF表明了内部控制是风险管理不可分割的一部分。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。2009年的《监督内部控制系统的指南》也体现出了类似理念。通过分析,笔者倾向于第三种观点,认为风险管理的范围大于内部控制,且二者逐渐在融合。原因主要在于:(1)按风险管理和内部控制的发展进程来看,内部控制早于风险管理;(2)COSO于2004年9月正式颁布的ERM--IF指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更为广泛的管理概念和工具。”所以,在当前大力提倡建立完善的内部控制的大环境下,必须要基于风险管理来开展。
根据上述分析,企业风险管理和内部控制融合关系框架如图l所示。从图中我们可以看出:内部控制、风险管理之间的关系非常密切。因此,必须把这两者融入企业日常的经营管理之中,充分考虑在实现企业战略目标过程中的风险,并针对风险采取有效的措施加强内控控制。
企业实现管理目标的前提是防范风险,防范风险的内在机制在于内部控制。目前,我国内部控制制度及实施情况仍然比较落后,还存在着许多问题。
1.风险管理与内控脱节。一些企业由于风险问题而损失严重,甚至倒闭,不是因为没有内部控制体系、风险控制制度,而是根本就未有力执行,公司治理控制没有很好地发挥作用,治理层风险意识单薄,人员职业道德偏低,从而未起到强有力的制衡作用,导致管理层无视企业的制度,按自己的意图肆意妄为。这有待于通过改善公司治理结构、强化外部监管来强制企业按制度办事,并针对违规行为制定严厉的惩戒措施来逐渐改善,使得风险管理与企业的内部控制有机结合。
2.企业缺乏良好的风险管理及控制环境。我国企业对风险管理的重视程度不够,普遍缺乏足够的风险意识和风险管理文化,企业及高管很少具备进行风险管理所需要的科学知识结构,企业存在的环境是风险管理的基础,为其他要素提供合理的氛围。在实践中,内部环境受企业历史
和文化的影响,具体包括企业员工的道德观和胜任能力、员工的培训、管理者的管理风格和经营哲学、企业文化等。在风险管理过程中,治理层、高管层和基层必须保持高度的风险意识和遵守业务工作流程,因为在风险面前,任何一个疏于坚持原则的行为或判断,都很可能导致控制失败,给企业带来巨大的损失。我国很多企业发生风险管理失败的重要原因之一是缺乏高度的风险意识和坚定的原则操守,这很大程度上是由于缺乏关注风险管理的企业文化等内部环境。制度规范、市场等企业生存的外部环境也是影响风险管理和内控实施的重要因素。
3.监督机构不健全,独立性不强。要确保内部控制制度被切实地执行且执行的效果良好,必须有良好的监督约束机制。内部审计机构在其间发挥着重要的内部监督作用。为此,审计署颁布了《关于内部审计工作的规定》,批准公布了《内部审计准则》,以加强内部审计在内控中的监督作用。由于内部审计机构的独立性及监督能力受到管理体制、外部干预等多种因素的影响,所能发挥的监督作用有限。许多企业的内部审计部门形同虚设,不独立于企业的其他部门,不具有监督所应有的权利和地位,内部审计人员的素质参差不齐,有些企业的内部审计人员甚至不具备最基本的财会知识,因此,行使监督职能时就会力不从心,不少企业的内部审计仅仅流于形式,大多数不能发挥其应有的作用。
4.缺乏有效的风险评估体系。目前我国企业内部控制评价主观性大、评价标准不统一、风险评估体系不完善,没有形成一套有效的风险评估体系对风险进行评估。对风险的识别和衡量更多的是依赖经验,模型分析和量化分析较少,找不到关键控制点,这导致企业风险管理及控制徒有虚名,给企业运营带来严重后果。
5.信息和沟通渠道不畅通。企业的各个部门,以及企业与外部不能进行有效沟通,不能及时获取有用信息会妨碍风险管理和控制。尤其是在当前信息化和网络化快速发展的时代,会导致很多信息的流失,这都会导致风险管理和控制措施不能有效地实施。
四、完善我国企业内部控制的措施
1.强化风险管理在我国企业内部控制中的核心地位。随着我国制度和规范的健全,我国企业的内部控制不是缺乏制度和政策。而是缺乏让制度得以执行到底的风险措施或流程。工作流程的根本任务就是将技术和人有效运作在企业组织之中,从而推进企业的技术性(技术、标准、程序、结构等)和社会性(行为规范、企业文化、激励和约束机制等)发挥整体绩效的功能。企业在制定工作流程时可以将企业的制度和执行人有效地衔接起来,从而增加工作的价值,提高工作效率,并能减少错误降低风险。所以,在当前必须要强化风险管理,否则有效的内控也难以实现。
2.完善良好的企业风险管理和内部控制环境。企业环境通常包括企业文化、治理结构、人事政策、权利和责任的分配、外部影响等,其中企业文化是核心竞争力的核心要素。完善企业环境可以从以下方面努力:(1)建立健全组织结构。组织结构提供了企业活动的筹划、执行、控制以及跟踪检查的框架,它包括权责范围以及管理层次。各组织机构的人员配备要注意职责划分。(2)加强人力资源管理。培养风险管理专业人才队伍;提高每个员工的风险控制责任感和敏感度,尤其是高管层;大力培养员工的职业道德和职业操守。企业内外经济环境和社会环境发生变化时,企业文化也应该不断的完善、调整和升华,从而适应新的环境、条件和组织目标,保证企业文化充满生机和活力。
3.健全企业风险导向下的内控监督机构。有效实施内控,要做到有效监督。监督要以风险为导向,把焦点放在评估那些应对重大风险的控制。监督应该要建立在对企业目标风险的分析以及对控制如何能够或不能够应对或减轻这些风险的理解基础上,在整个监督流程中需要始终贯穿风险导向原则。健全企业的内部审计监督机构要做到:1.进一步提高内部审计的独立性,保证审计的客观性和公正性;2.推进审计内容由财务审计向管理审计转变,管理审计可以优化企业的管理流程和提高企业的内部控制水平;3.审计时点要重视事前和事中审计而非仅仅事后审计,做到对整个过程进行审计,真正做到防范风险;4.严格执行审计决定。审计决定是对具体审计项目的总结,在经过企业领导批准后应及时送达被审计单位执行,被审计单位应严格执行。这样内部审计监督机构可以及时、准确、客观地发现和反映项目投资、业务合作、资产处置、财务状况分析等环节中存在的问题,更重要的是能提出具有可行性的审计意见和建议,为解决问题提供决策依据。
4.完善企业的风险评估体系,建立风险动态评估机制。控制和风险的概念紧密相关’风险评估是进行内部控制的依据。完善企业风险评估体系应遵守的原则是:定性与定量相结合原则、成本收益原则、重要性原则、全面性原则、有效反馈原则和灵活使用原则。风险评估主要报告筹资风险、投资风险、信用风险、合同风险。企业应在立足于自身情况的同时,构建恰当的评估模型,按照一定的风险评估过程进行评估,基本过程如图2。
风险评估体系确立了企业各种行为的边界,明确了什么可以做,什么不可以做。如果发现有越界行为,要能及时发现并对其进行控制,把损失降至最低。而且,在评估过程中要做到根据具体的情况,实时评估,建立动态评估机制以此反映不断变化的新情况。
5.建立广泛、全面的信息和沟通系统框架(1)信息系统。信息系统处理企业内部信息和外部信息。通过管理信息系统,企业内部的员工能够清楚地了解内部控制制度,知道其所承担的责任,并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。一个良好的信息系统+应有助于提高内部控制的效率和效果。企业应按控制系统的需要识别使用者的信息需要,在此基础上收集、加工和处理信息,并将这些信息及时、准确地传递。(2)沟通。企业的信息系统提供有效信息给适当的人员,通过沟通,使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。
第3篇:内控及风险管理范文
[关键词]银行集团;风险管理;内部控制
[作者简介]方茂扬,广东金融学院肇庆校区讲师,金融学硕士,广东肇庆526040
[中图分类号]F832.1 [文献标识码]A [文章编号]1672-2728(2008)04-0015-03
银行集团是以商业银行为母公司,控制境内外子银行、非银行金融机构、非金融机构的一种集团公司。银行集团是21世纪中国银行业发展的战略选择,是一种适应混业经营的有效组织形式。银行集团的突出特点在于保持传统存贷款业务为主业,同时,通过设立非银行机构,实现多元化经营,通过兼并扩张,实现规模经济,并通过脱离事业性机构,实现更纯粹商业化经营的道路;因而,银行集团具有股权杠杆效应、组织协同效应、防火墙效应、合理避税效应等特定的优势。为了适应国际金融业发展潮流和国内外银行竞争的需要,国内商业银行将通过设立、收购与兼并重组成为银行集团,这一发展势不可挡。然而,我们必须清醒地认识银行集团的“双刃剑”效应,认识到现有银行内控制度不健全和风险管理水平相对低的问题。基于这种判断,笔者试图通过内控制度的视角,分析银行集团的天生缺陷与风险,以提高银行集团在改革发展中风险意识与内控建设。
一、银行集团内部关系具有潜在风险
目前,我国大型银行的股权结构日益复杂,一些大型银行采取在海外层层设立控股公司,收购兼并海外金融机构,并通过控股公司整合现有的及拟收购的金融机构,从而形成实质上的银行集团。同时,银行集团控股的子公司不仅有银行类机构,还有投资公司、基金公司、保险公司、证券公司等。如中国银行集团、中国建设银行集团等商业银行业务范围已涵盖商业银行、投资银行和保险领域。
虽然在法律上仍没有对银行集团或企业集团有一个统一的定义,但根据《银行并表监管指引(试行)》中第二条理解,我国银行集团是一种资产型战略联盟,即以产权(资产)为纽带并遵循公司治理制度的安排,多数以控股、参股、合资的关系存在,是一种母公司是银行的控股公司形式,而不是非资产型战略联盟。这种以产权或资产为纽带的集团公司具有规模效应和整合效应,对提高银行综合经营和综合竞争力具有积极意义。但是,集团复杂的内部关系(内部往来、内部交易、业务合作)将大大增加母公司的潜在风险,具体表现为:银行集团的资本联合,导致虚增资本金风险;集团内部多种委托关系,在信息不对称下产生高市场风险和信用风险;集团内部交易与利益输送带来关联交易风险和流动性风险;集团业务相关性与品牌统一性带来传染风险和声誉风险。
(一)扩张性的资本金风险。银行集团内部控制的核心是资本控制,即银行集团以股权投资所形成的股权关系为控制依据,目的在于从控股的子公司中获取资本收益,组合投资分散风险等,有利于集团整体利益、长远发展和组合效益的多种利益。然后,这种资本纽带往往带来资本重复计算与多重财务杠杆风险。资本重复计算表现为银行集团母公司的权益资本或债务资本可以拨付给子公司,形成子公司的资本金,子公司又可以对集团其他成员投资入股,从而出现一笔外部的资本金在集团内部多次重复计算的问题,产生资本金虚增现象;多重财务杠杆风险,是在重复的资本金和金融企业高负债下形成多重财务杠杆,而大家知道,财务杠杆具有“双刃剑”效应,如果总体资产收益率为正时,可获得更高收益,但资产收益率为负时,就会出现更大的损失。因而,银行集团的扩张性资本金问题,不仅潜在同一笔资本金用于抵御多家公司的风险,削弱了银行集团抵御整体风险的最后保障;而且一旦出现财务杠杆负效应时的经营风险时,极易诱发公司出现多米诺骨牌式的系统性危机。
(二)投机性的市场风险。银行集团对子公司都具有严格内部控制,但由于集团的趋利性或者集团与子公司及操作者间存在多重委托关系,极容易出现信息不对称,出现子公司报喜不报忧的道德风险,或者出现集团在高盈利性诱导下,放松了内控,导致操作者越权违规操作,这不止是简单的操作风险,更恐怕是暴发性市场风险。正如巴林银行的倒闭中,据里森自述说,集团在报喜下,放松对自己的监管,是自己走向“88888”隐瞒损失的深渊;同样,法国兴业银行与巴林银行如出一辙。交易员通过破解电子系统密码,制造虚假交易与真实交易进行对冲,回避了电子系统的非现场监管,直到投机性市场风险暴发,带来了法国兴业银行70多亿美元的损失。
(三)隐蔽性的关联交易风险。银行集团以资本为内部控制,一方面可以通过内部关联交易,实现组织协同效应和规避税负的效应,另一方面也潜在隐蔽性的关联交易风险。银行集团关联交易主要表现为集团成员之间相互提供资金划拨、相互担保(抵押)、集团内部转移定价等资金融通投资行为。由于内部交易,往往母子公司风险审查可能不完全遵照银行内部规范操作程序来进行,一旦出现不良资产(呆账)时,出于集团整体声誉和利益的原因,不仅不愿通过正当的法律途径追索债权,而且还无法正常停止对关联公司的融资支持。如果集团母子公司关联交易数额大,一旦信息披露出来,这种脆弱的债务链发生断裂,将对银行集团造成巨大的冲击。因而,内部关联交易隐蔽的和积聚的风险,不可忽视,它可能引发集团系统性支付危机,甚至因整体流动性危机而破产倒闭。
(四)整体性的声誉风险。银行集团统一金融名称及名牌,在规模效应良好促进下,往往会受到好评,因而,银行集团及其控股子公司都使用统一品牌,以充分发挥统一品牌的市场扩张效应。但是,统一品牌也可能产生负效应,在某一子公司出现风险问题时,投资者或银行消费者往往将母子公司作为一个整体看待,负面的声誉极易产生“多米诺骨牌”效应,将风险扩大和传播,使整个集团流动性资金紧张,甚至出现整体支付危机,从而导致公司整体经营的大起大落和流动性危机。
(五)系统性的流动性风险。流动性风险是银行集团最危险的风险,也是表现为银行集团整体财务失控而产生连锁性系统性风险,是集团风险控制的重中之重。由于无论是利率风险、汇率风险、市场风险和信贷风险,还是风险集中与传染风险、利益冲突风险及内部交易与关联交易引发的风险,最终都会反映在集团的流动性风险上。如前段所述的传染风险,当集团中的一家分支机构倒闭,不仅会使整个金融集团、与其有业务往来的金融机构甚至金融市场的流动性不足。而且可能产生系统性
风险;或者当内部关联交易,使财务风险与各种经营风险交织在一起,一旦某种经营风险暴露后,可能引起集团金融风险的大规模爆发。因而,从内部控制上看,系统性流动性风险的预测与控制,是银行集团内部风险控制的重中之重。
二、银行集团风险的特点
银行集团的特有风险和整体性风险与一般经营风险相比,具有以下的危害性特征:
(一)传染性。由于银行集团整体名牌、内部关联交易和资金相互支持,使得集团整体利益扩张化。但是,也正是这些关系,使集团的母子公司间经营上相互依赖,一旦某个公司出现大经营风险,极易传染到其他公司和集团,使集团风险控制和处理更为复杂化。
(二)高杠杆性。银行是高负债经营机构,一般资产负债率都在90%以上。由于银行集团的资本金重复计算,就在虚增的资本金和高负债率下,形成多重财务杠杆,这种高杠杆性产生放大的整体性风险。
(三)隐蔽性。由于银行集团错综复杂的组织结构和庞大的内部交易,内部控制中的委托关系多,母子公司及公司与经营者的信息不对称,往往产生的经营风险被隐蔽起来,内外监管不容易觉察,一旦发现了可能已经形成大风险的暴露,隐蔽性风险特征也伴随着爆发性。
(四)爆发性。银行集团整体风险的传染性、高杠杆性和隐蔽性的特征。导致了集团风险一旦出现了资本金风险、市场风险、流动性风险和声誉风险时,就会出现集团大损失与危机,甚至破产,正如法国兴业银行的市场风险爆发,使其损失70多亿美元。
三、强化内部控制,监控集团风险
(一)建立良好的公司治理结构和科学的考评和授权制度。银行集团及其控股子公司都必须按照《公司法》的要求,建立现代企业制度,构建股东大会、董事会和监事会的权力制衡制度,真正发挥监事会的监督功能;建立董事会管理层内部控制制度考评制度,董事会对建立健全内部控制制度负有最终责任,将董事会管理层的薪酬水平和内控考评结果挂钩,以促进集团母子公司必须按照《商业银行法》和《商业银行内部控制指引》建立起内控机构和机制;建立科学、合理的组织架构,尽可能地减少管理层级和管理半径,实现扁平化管理,减少委托中的信息不对称风险和隐蔽性风险;建立科学的授权和转授权制度,明确集团内部各法人主体乃至基层单元的责权利。
(二)建立健全专门的风险监控组织,构建一套有效的风险管理系统。银行集团的董事会下设立风险管理委员会,保证董事会决策中风险识别、评估及处置;在监事会下设立审计稽核委员会,保证独立地审查董事会和总经理的行为。为了控制好银行集团混业经营中的风险,在风险管理委员会和审计稽核委员会下面,都要按业务功能设立银行风险部、证券投资风险部、保险风险部,分别管理与控制各个子公司的金融风险。此外,构建一套有效的风险管理系统,银行集团必须建立严密、严格、有效率的风险管理制度,加强审计稽核工作的独立性和权威性,加强集团整体和各金融子公司的内部控制;通过健全信息披露制度,规范大额交易限额制度,规范内部关联交易运作和披露制度,保证预防性风险管理体系有效运作。
(三)加强资本充足性管理制度,控制资本金风险。资本金是银行集团抵御风险的最后一道防线,资本充足性管理不能只满足于外部监管的需要,而要根据银行集团自身类型与风险状态制定资本充足性标准。由于集团存在的重复计算资本金,虚增资本金应该如何扣减,这需要银行集团本着谨慎性经营原则主动进行相应抵扣。此外,按照高财务杠杆的结果,在经营良好业绩下,应该更好地进行计提盈余公积,计提资本损失准备金。在资本充足率的分母分析中,要认真核算风险资产,查清内部交易风险和市场风险,避免隐瞒风险,少报风险资产。
(四)建立完备的内部交易制度和“防火墙”制度,加强关联交易的风险控制。银行集团在公司章程和集团规章中明确内部交易制度,要界定清晰内部交易,规范内部交易的审批,制定好内部交易规则,做好内部关联交易的披露,并接受主动配合外部监管。在操作上,保持岗位责任制和责任分离制度,做到不同业务或同一业务的不同环节由不同的人员负责办理,以确保相互的业务监督牵制。在信息披露上,通过对集团结构和集团法人的层次提出要求,增加内部交易的透明度;要求金融集团披露自己的组织和重大的内部交易,特别是那些将对集团财务健康带来不利影响的内部交易,并监管这些内部交易的规模和水平。还有应要求母公司在子公司之间设立“防火墙”制度,这种制度包括子公司尽可能分业经营;对不良的关联交易予以严格限制,如内部贷款给证券期货投资;对超过一定金额的关联交易,必须经监管部门专门审查等。
第4篇:内控及风险管理范文
【关键词】企业内部控制;风险管理机制;措施
在社会主义市场经济发展新时期,现代企业要在激烈的市场竞争中占据有利位置,提升其经济效益,需要对企业内部控制机制建设情况加以分析,在企业内部控制中引入风险管理理念和方法,着重提高企业财务管理水平,保障企业运营安全,实现既定经营目标。
一、企业内部控制与企业风险管理的关联性
在现代企业制度改革及财务管理改革的推动下,我国企业内部控制与风险管理控制呈现出互相融合的趋势。在企业风险管控中,涉及到的重点环节主要有风险识别、风险监督、风险评估及风险应对等,而企业内部控制从属于企业日常管理,一般不涉及到企业风险预估及防范。在企业内外部发展环境更加复杂多样的背景下,在企业内部控制中强化风险管理,可以在对企业运营风险要素加以掌控的基础上,提高其内部控制建设水平[1]。
二、现阶段我国企业内部控制及风险管理机制建设中凸现的问题
(一)企业内部控制及风险管理意识不强,风险应对能力不足
从机制运行角度看,企业内部控制及风险管理涉及到企业运营的各个方面,需要将其加以全程贯穿,但从现阶段企业风险及内控管理实践看,企业经营管理者并未全面深刻理解内部控制及风险管理的重要性,而是将精力放在企业眼前利益上,一方面导致企业内部控制及风险管理机制建设滞后,完善度不高,另一方面在企业参与到全球化市场竞争时,其对风险的识别、反应及应对能力不足。此外,在对企业内部控制及风险管理上,企业管理者对两者的理解有误,片面地将其等同于企业制度的制定和实施,将企业内部控制及风险管理加以割裂,企业内部控制及风险管理机制建设收效甚微。
(二)企业在金融风险防控机制建设上较为迟缓
受制于企业内部控制及风险管理意识薄弱,我国多数企业并未建立并完善企业的风险管控体系,在对企业风险要素的甄别及防范上能力不强,尤其是金融风险防控机制跟进不力[2]。第一,企业未成立独立性较强的风险管理机构。在经济一体化趋势逐渐加强的市场环境中,企业在资金来源,资金调配管理等环节更加复杂,各种金融衍生品得以在企业中应用,如不成立专门的管理机构对其进行必要的风险防控,极易使企业蒙受经济损失。第二,企业在对风险因素的评估上不够全面系统。企业营运与企业风险相伴相生,企业要保障稳定安全运营,需要建立风险评估体系及模型,对企业涉及到的一些资金投资,金融衍生品的风险等级加以识别、划分及防范,但在这一环节,多数企业并未进行及时规划部署。
(三)企业在内部控制监督管理建设上力度不强
企业内部控制要真正发挥其实效性,一方面需要企业内部控制机制的建立和完善,另一方面又离不开企业内部控制监督管理的及时跟进,发挥其约束功效。但我国企业在内部控制监督管理机制建设上还欠缺一定的力度,虽然有相应的内部控制监督管理制度辅助,但在制度的执行监督、内部审计机构的设立等环节还存在管理漏洞,这也增大了企业内部控制出现失控的几率。由于企业内部控制监督管理匮乏而引发的企业亏损及破产现象时有发生。
三、提升企业内部控制的风险管理机制建设水平的措施
(一)转变企业内部控制及风险管理理念
在企业内部控制的风险管理机制建设上,首先,企业管理者要对企业的内外部发展环境加以分析,转变原有的以制度代替机制的管理理念,在企业内部控制中融入风险管理理念和方法,着重对企业的经济行为及经营业务进行风险评估,不断完善内部控制体系。在企业财务管理及金融衍生品管理中,一方面要采用先进的风险管控手段,建立财务信息及财务风险预警体系,另一方面要对各项重要的财务信息、预算浮动、现金流量加以整理及记录。此外,在公司内部控制及治理结构上,企业应顺应投资及股权结构层次复杂多元的趋势,对企业内部治理结构加以优化,为开展企业风险管理做好组织保障[3]。
(二)对企业风险管理体系加以完善
为确保企业能够在复杂多变的发展环境下有效识别及防范企业风险要素,企业要针对风险管理体系进行完善。第一,企业要针对运营风险,成立独立性强的风险管理机构,由其负责对企业的经营风险要素进行全面梳理、分析、预防和控制。第二,企业要加强财务会计人员及风险管理人员的素质能力,根据企业发展情况及业务状况,选择及引入熟悉及了解金融市场风险发生规律的风险防控人员,以促进企业风险应对及处理能力的提升。第三,企业要做好风险的识别、分类、评估、管理工作,确定出风险等级及附带风险来源,通过相应的风险管理措施加以化解。
(三)强化企业内部审计职能作用,做好企业内部控制及风险管理监督管理
在应对企业风险方面,企业内部审计制度能够发挥重要的监督管理作用,作为企业来讲,一是要通过在企业内部建立其规范严谨的内部审计制度,使企业内部审计机构能够独立行使其监督管理职能,从而提高企业各环节管理运营的水平,并对监督管理过程中出现的风险隐患加以及时排除。二是要将企业内部审计与企业的风险管理加以融合,在企业内部审计中实施以风险为导向的审计模式,全面发挥企业内部审计人员在企业运营各个流程的风险识别、风险预测及风险管理方面的优势。
四、结语
总之,企业内部控制风险管理机制在保障企业经济效益提升,促进其稳定发展方面作用及地位较为突出。现阶段,我国企业在内部控制风险管理建设上尚存在一些问题,针对这些问题,企业应注重从理念转变,机制完善等环节加以完善,从而使企业内部控制风险管理真正发挥其职能作用。
参考文献
[1]邓顺峰.企业内部控制的风险管理机制探析[J].商业经济,2013,(14):39-40.
[2]许杰.浅议企业内部控制的风险管理机制[J].现代经济信息,2014,(23):129.
第5篇:内控及风险管理范文
关键词:内控信息化 风险管理 内部审计
1.ERP系统背景介绍
ERP通过将企业的各方面资源进行科学地计划、管理和控制,为企业加强财务管理、提高资金运营水平、建立高效率供应链、减少库存、提高生产效率、降低成本、提高客户服务水平等方面提供一种管理手段。ERP系统能够系统、实时地提供与各项业务相关的数据,包括以前难以及时获取的数据,向领导和管理层提供企业经营状况信息,反映企业的盈利水平和各项业务活动情况。所有业务处理和活动通过统一的数据库进行及时更新,以改善用户存取、提高业务信息质量、减少数据校验和重复加工处理。
2.ERP实施形成业务风险与其内部控制
2.1ERP实施形成新业务风险
ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成,实现了跨职能部门业务处理。在这种情况下,ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是,用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制机制,也无法适应ERP基于流程的管理需要。更重要的是,由于企业的业务运作更加依赖于ERP系统,这种依赖和信息系统本身特点所导致的脆弱性,形成了企业新的业务风险。
2.2ERP环境下风险管理
2.2.1制定内部控制目标
利用风险评估手段重新确定企业中关键的业务流程;
对整个流程和控制的设计进行评估,确定这些控制是否很好地满足和支持最终业务目标的实现;
对岗位职责分离的评估,确保在整个流程中存在正确的稽核点和平衡点,对敏感业务交易给出足够的访问限制;
评估控制方式是否合理,比如基于手工流程的控制和基于系统的自动控制是否搭配合理。
2.2.2确定评估范围
ERP系统的控制评估必须基于风险管理的原则,通过风险评估寻找对主要业务运作中影响最大的领域。可以通过访谈等,确定评估范围。
2.2.3评估控制方案
基于ERP系统的控制,是由软件来完成的,通过控制数据的有效性和合理性来限制和核查动作的合法性。ERP系统的参数设置将决定这个领域的控制级别。这些控制包括用户访问、字段验证、工作流和许多其他用于确保数据处理一致性的控制。例如,系统会自动拒绝生成一张与前一次序号相同的发票。这样就自动降低了差错发生的可能性和应付帐款处理的混乱。值得注意的是,在ERP系统实施过程中,某些二次开发工作会削弱在系统中已经设置好的控制,从而产生新的风险因子。针对产生新的风险因子,必须要用手工控制来弥补。
3.ERP环境下企业风险管理审计的主要内容
企业风险管理审计就是要对企业风险管理过程及其内容的适当性和有效性进行审查和评价,并提出改进建议。在ERP环境下,要重点考虑对以下几方面进行审计。
3.1对风险管理机制的审计。
对ERP环境下企业风险管理的审计,首先必须对风险管理机制进行审计,审查企业及其下属单位是否建立了风险管理机制,风险的识别、评价和应对机制的适应性和有效性如何,实际运行情况怎样,是否有利于企业管理的持续改善等。在审计中,我们还应当专门对业务流程、关键控制点、系统监控等方面的风险管理机制进行重点审计。
3.2对业务流程的审计。
对业务流程的风险管理审计大体包括以下几个方面:应该在系统中运行的业务是否全部通过系统运行;信息是否及时录入系统;录入的信息是否真实、准确;系统运行是否正确,有无系统错误;流程是否通畅,有无缺陷或舞弊的可能,能否进行进一步的优化;识别、评价和应对流程风险的效果如何等。
3.3对关键控制点的审计。
ERP系统是由采购、仓储、生产、销售、财务、设备管理、人力资源等多个模块高度集成起来的,每一模块都有相应的关键控制点,对企业的生产经营起着至关重要的作用。因此,对关键控制点的风险管理审计应作为审计的重点。审计时要主要关注以下问题:是否对关键控制点进行了识别,识别是否全面;是否建立了关键控制点的风险评价体系;是否建立了关键控制点的预警机制和应对机制;关键控制点的识别、评价、预警和应对机制的适应性和有效性如何;控制方法和手段是否可进一步优化;有无控制不严或失控的现象和可能等。
3.4对系统监控的审计。
对系统监控的风险管理进行审计,审查和评价企业及其下属单位是否利用ERP系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威性及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。
3.5对信息系统的审计。
从系统本身来说,无论是硬件还是软件,都有产生故障的可能,软件功能的完备与否也是系统运行的风险之一,ERP系统与其他系统的连接则是影响系统运行的关键因素。要保证ERP系统的正常运行,降低经营风险,对ERP系统以及与其相联接的其他信息系统的风险管理与审计也是必不可少的,这包括对系统的开发与设计、软件的程序、系统的控制、功能的划分、硬件的架构、备份模式及效果、故障处理方案及风险应对措施、系统风险识别与评价体系等进行审计。
4. ERP环境下企业风险管理审计的主要对策
在ERP环境下,审计人员应该适应环境的变化,根据ERP环境的特点和要求,利用先进的信息技术手段,开拓思路,积极探讨审计对策。
4.1充分利用系统数据集成的优势
ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成,实现了跨职能部门的业务处理。在这种系统数据高度集成的条件下,效益审计的审计线索来源单一、清晰明了,杜绝了多个数据源数据不一致的现象,审计人员不需要再从多个系统获取数据,而是仅由一个系统就能得到所有数据。
4.2加强对内部控制风险的评估,完善内部控制体系
企业经营活动及内部控制中依然存在重大差异或缺陷的可能性。如ERP系统各职能岗位职责是否分离,权限范围设置是否合理,有些控制既可以选择人工控制,也可以选择由系统来控制,这些控制是否得到始终如一的执行,控制的标准是否前后保持一致。这些都会影响控制的效果,甚至产生重大差异。因此,必须对ERP环境下的内部控制体系进行测试和评估,对内部控制风险进行正确评价,进一步完善内部控制体系。
4.3注重对参数设置的审计
ERP系统有很多参数,这些参数既影响内部控制的效果,又影响财务数据的准确性和一致性,特别是集成财务数据,除了要从数据源头控制数据的正确性之外,还应该关注中间环节中的财务集成参数的设置,以确保集成财务数据的有效性。因此,系统的参数设置是审计的一个重点,要检查系统参数的设置是否符合企业的实际情况和行业特点,系统参数的设置是否符合一贯性、有效性,是否存在随意改变参数设置的情况。
4.4提高审计人员对ERP系统的应用能力
ERP系统功能强大,业务模块众多,必须熟悉ERP系统,才能更好地开展效益审计。这就需要审计人员加强对ERP系统的学习,最好是从ERP系统实施开始就有审计人员参与项目,实践证明,参与ERP项目实施的人员往往是对ERP系统掌握程度最高的一批人。并且,学习不能仅仅局限于财务模块,还要熟悉其他模块的内容,如物料管理、销售分销、人力资源、系统管理等。只有这样,在ERP环境下,审计人员才能更大限度地开展效益审计。
5.结论
综上所述,随着ERP系统的实施,企业的经营管理模式和业务流程以及相应的内部控制发生了重大改变,这促使了内部审计的工作发生了本质的变革。因此,内部审计人员应主动参与ERP系统的实施与应用等进程,熟悉ERP系统各个模块的功能与应用,充分利用ERP系统各模块的集成性以及系统对流程和业务的动态监控功能,对优化后的流程进行内部控制风险评估,加强完善内部控制体系,以促进公司ERP的有效应用,提高公司的全面风险管理能力。
参考文献:
[1] 杨律青;《基于SAP的ERP项目风险管理》;数字石油和化工; 2007年1期;95-98
[2] 梁伦腾;《ERP环境下企业的风险管理审计》;涟钢科技与管理;2005(4);58
[3] 刘汝元,边金良;《浅谈ERP项目的风险管理》;中国科技信息;2007年09期;162-163
第6篇:内控及风险管理范文
关键词:企业内部控制 合同 风险 机制
限于管理理论、意识控制等方面的原因,部分企业合同的管理仍存在着诸多问题。因此,合理运用内部控制理论,加强对合同的监督管理势在必行。
1 合同管理存在的主要问题
①合同归口管理不到位,权责分配和职责分工不明确。合同管理实际运行中,法律事务管理部门、业务部门、相关职能部门之间缺乏有效的沟通机制,无任何部门或个人能掌握合同总体情况。②合同样式不符合要求,要素表述不清晰。在合同样式方面,有正式书面的格式合同,也有简单的传真件;在要素描述上有些条款缺少关键表述,有的对会签意见大而化之等等。③合同动态管理如会签、授权、履行监控程序缺失。许多企业在合同静态管理、谈判等前期阶段能够高度重视,但对合同签订之后的合同履行阶段,则往往存在重视不足、管理不到位等情况。④合同执行后验收、评价工作缺失。企业往往缺少对年度合同履行的总体情况和重大合同履行的具体情况分析评估,对分析评估中发现合同履行中存在的不足,没有及时采取有效措施加以改进。
2 企业内部控制理论与合同管理风险辨识
2.1 指引第16号指出企业合同管理至少应当关注下列风险。①未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈,可能导致企业合法权益受到侵害。②合同未全面履行或监控不当,可能导致企业诉讼失败、经济利益受损。③合同纠纷处理不当,可能损害企业利益、信誉和形象。
2.2 从企业合同管理环节上至少应当关注下列风险。①合同准备阶段,包括合同策划、调查、初步确定商业对象、要约、谈判及拟订合同文本等程序。②合同签署阶段,包括征求法律顾问意见,按照权限分部门审核、会签,签署合同文本等。③合同履行阶段,包括合同履行,跟踪监督,变更或终止、纠纷的处理等程序。对合同履行情况及实施情况进行,及时反馈合同履行情况的最新进展,确保合同各方能够完全、全面的履行合同。④合同履约后管理阶段,包括合同履约情况总体评价、风险防控、归档保管等程序。建立合同履约后评价与考核评比奖惩制度,把履约效果与奖惩挂钩,把存在的问题不足与风险管控结合,推动合同管理PDCA机制不断完善,不断提高公司对外经营的竞争力与诚信度。
2.3 基于内部控制理论的合同管理风险辨识。①内控观念的局限性。受内部审计环境影响,部分企业一直将企业的内部控制过多的理解为企业的内部审计和财务管理。但对企业运营联系最密切的合同管理与法律风险控制缺少足够重视。②内控流程设计的局限性。部分企业或合同承办部门认为企业内部控制流程的设计增加了企业的运营成本、影响经营效率,对于效益的改观没有太多帮助。③法人治理结构不规范。目前很多企业虽然在形式上建立了法人治理结构,但远未达到内部权利制衡的效果。合同管理流程被架空,内部控制干扰因素过多,内控流于形式,甚至成为违规的遮羞布。
3 内部控制基本理论下的合同管理与风险防控
3.1 企业内部控制理论。企业内部控制理论的发展大致分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。20世纪,内部控制活动大部分集中在制度的设计和审计方面。如美国相继成立了全国舞弊性财务报告委员会和专门研究内部控制问题的委员会。
3.2 内部控制五要素与合同管理。①控制环境。任何企业管理的核心都是企业中的人及其活动,而人又是构成环境的最重要要素。明确组织中的每一个人都对内部控制负有责任,这种组织思想有利于将企业的所有员工团结一致,使其主动地维护及改善企业的内部控制。②风险评估。企业必须建立可辨认、分析和管理相关风险的机制,对经济活动中各层级所面临的风险加以管控。③信息与沟通。围绕合同管理内外部环境的变化,必须建立与合同管理控制活动相关的信息与沟通系统。通过信息的交换与分析,对监督、控制进行调整,使企业内部控制越来越趋于完善。④内部监督。在成本与效益原则下,企业合同管理控制过程必须施以恰当的监督,通过监督考核机制对违规现象加以修正。
3.3 合同管理环节的风险防控。①合同准备。签约主体风险防控。签约主体合格是合同得以有效成立的前提条件之一,签约主体风险的结果是合同无效或被撤销。②合同谈判。合同谈判风险防控。谈判是双方在平等、自愿、公平原则下,磋商合同内容和条款,明确双方的权利义务的过程。③文本起草。合同形式风险防控。合同形式可以分为书面形式、口头形式和其他形式,是合同当事人意思表示的载体,应符合法律或有关部委审查备案的要求。如《合同法》规定,对借款合同、建设合同等应采用书面形式。④合同订立。合同订立前有关部门必须对文本进行审查会签。合同文本审核是合同签署的关键环节,其风险主要有是否违反国家有关政策法规,合同主要条款存在重大误解,审查人员的职业技能与操守,审查意见或建议是否被采纳。⑤合同生效。合同生效风险防控。经审核后的合同签订稿必须由企业法定代表人或被授权人签署,加盖企业公章后生效。其风险主要表现在:企业内部授权委托制度不健全,签署权限不明确而造成越权签订;合同印章管理不当,随意加盖合同印章。合同签署后被篡改等。主要管控措施:企业应当建立合同签订授权制度、专用章使用与保管制度。采取恰当措施,防止已签署的合同被篡改。⑥合同履行。合同订立后,企业应诚实守信的履行合同约定,并按交易习惯履行通知、协助、保密等义务。该环节的主要风险是当事人没有恰当地履行合同中约定的义务。⑦合同变更(解除)。合同变更(解除)风险。其风险主要表现在:变更双方意见不一致导致合同无法继续履行,合同变更签证不规范,涉及合同变更协商的书面协议未作为合同的组成部分等。主要管控措施:合同变更程序上应参照新订立合同按权限履行审批手续,明确合同承办部门对合同履行情况及效果的信息通报。⑧合同争议。合同争议是一方或双方对合同条款履行提出质疑并要求予以解决处理。在发生纠纷时,双方应采取有效措施防止纠纷的扩大和发展,首先通过和解或者调解解决争议,尽可能避免诉讼。当事人不愿和解、调解或者和解、调解不成的,可以根据合同约定申请仲裁或向人民法院提讼。⑨合同终止。合同终止指合同当事人双方在合同关系建立以后,因一定的法律事实的出现,使合同确立的权利义务关系消灭。合同履行的终止并不消灭当事人因此所应承担的返还财产、赔偿损失等责任,以及以后合同义务的履行。值得关注的还有合同终止后有关质保金与售后服务的继续履行。⑩合同后评价。合同后评价是对合同管理各个过程一个整体的、综合性的评定,通过评价有助于分析、总结企业合同管理中的经验和不足,推动合同管理水平的提升。企业应当建立合同后评价与责任追究制度,对分析评估中发现合同履行中存在的不足,应当及时采取有效措施加以改进,对合同订立、履行过程中出现的违法违规行为,应当追究有关机构或人员的责任。{11}合同归档。合同归档保管是完善合同管理的重要环节,通过对合同资料的编号、统计、分类、归档和借阅进行管理,保证合同资料(包括招投标文件、补充协议、合同文本、审查会签单、监控视频材料等)的完整性,避免合同资料缺失或被泄密、滥用。主要防控措施:明确合同管理人员职责,规范合同资料归档范围、借阅审批、归还手续等有关要求。
4 结束语
合同作为企业承担独立民事责任、履行权利义务的重要依据,是企业管理活动的重要载体,也是企业风险管理的主要内容。企业需要运用内部控制理论对合同法律风险进行分析与控制,并建立一系列制度体系和机制保障,促进合同管理的作用得到有效发挥。当然,内部控制并不是要消除任何的可能性,也不存在完美无缺的内部控制。只有这样,才能正确认识基于内控规范下的合同管理与风险防控工作,不断提高经营管理水平和经济效益,促进企业的事业不断健康发展。
参考文献:
[1]朱锦余.合同风险管理与内部控制――理论・实务・案例(企业内部控制与风险)[M].大连出版社,2010.
第7篇:内控及风险管理范文
关键词:风险管理 国有企业 内部控制
一、国有企业内部控制建设的风险性问题
我国国有企业的内部控制体系与国外先进企业相比,具有明显的差距,从风险管理的角度,内部控制建设存在以下几方面的问题:
内部控制的环境不完善。某些国有企业的法人治理结构不够规范、企业文化缺失、员工综合素质低下、管理者缺乏风险管理意识,使得内部控制的环境不完善,影响内部控制工作的正常开展。譬如国有企业的法人治理机构,需要依靠董事会、股东大会和监事会等互相监督和制约,但股东大会和监事会等实际上形同虚设,缺乏必要的监督和制约环境。
国有企业内部控制实施的信息沟通渠道不通畅,未能及时掌握企业的运营情况,所提供的信息不全面、不及时、不准确,而且部门之间和岗位之间缺乏有效的沟通,很多人在内部控制方面甚至不知道自己需要承担哪种职责。譬如某些国有企业缺乏合理的信息化系统建设,在信息系统建设方面投入不足,而且人员的素质难以适应内部控制信息化建设的发展,制约了企业内部控制建设步伐的迈进。
内部控制的监督管理流于形式。内部控制的管理主体是企业的管理层,管理层的地位和权力都远远大于普通的员工,一旦管理层在内部控制的过程中出于私利而做出损害企业利益的行为,造成的后果往往都比较严重,尤其是那些走向国际市场的国有企业,企业的管理牵一发而动全身,再加上国际市场的复杂性,明显增加了内部控制的难度。而国有企业内部控缺乏必要监督管理的机制,或者监督管理的力度不足,大大减弱了内部审计、监察对内部控制的监管力度。
二、国有企业内部控制建设的风险性管理建议
(一)内部控制环境建设力度的加强
国有企业内部控制环境建设力度的加强,必须从产权结构、董事会制度、企业文化等角度对内部控制制度进行完善,具体内容有:
(1)调整企业的产权结构,为内部控制治理提供良好的治理环境。国有企业内部控制的重点在于会计领域和审计的领域,调整或者改革产权结构,改变国有企业内部控制所有者缺位的问题,同时提高内部控制奖励和惩罚的针对性和准确性,使得企业的经营权和所有权成为统一体,让企业的内部控制监督更加地直接。
(2)董事会制度的完善。在国有企业中,董事会是内部控制管理的关键,对董事会制度的完善,目的是强化董事会的地位,加强董事会在内部控制管理的核心作用。一是完善相关的法律法规,对董事会的职责进行明确,切实维护国有企业所有者的利益。二是杜绝董事会和经理层职务交叉情况的出现,防止个人揽权。三是推进董事会成员的社会化建设,加强企业权利制衡机制的落实。
(3)完善企业文化。在长期的企业实践活动中,形成了具有企业特色的文化,作为企业管理的指导思想和行为准则。国有企业的内部控制,需要以完善的企业文化为指导,但企业文化不是一朝一夕就能形成的,需要企业在内部控制的过程中,不断地积累和完善,形成适应内部控制工作开展的文化氛围。
(二)内部控制信息沟通渠道的构建
国有企业内部控制的过程中,需要及时提供准确和全面的信息,部门之间、岗位之间要求进行良好的沟通,因此必须构建畅通的内部控制信息沟通渠道:
(1)建立信息化管理系统,解决内部控制信息不对称的问题。根据国有企业在生产、经营等管理的具体需求,要求信息管理系统具备综合管理、生产管理、经营管理、电子商务、监测管理等方面的功能,在软件方面,要求生产者和管理者等有完善的会计和审计披露机制,从而使得经营者和生产者的内部控制意识进一步强化,而在硬件方面,需要打通新闻发言人等外部信息传递和沟通渠道,提高沟通的效率和降低沟通的成本。
(2)设置信息沟通委员会,其职责是协调企业相关利益者的信息披露、沟通、交流等工作。提高企业内部控制信息沟通的效率和效果,为内部控制管理及时提供全面和准确的信息,同时识别、获取、加工相关的信息,在企业的内部进行有效的横向和纵向传递,一旦内部控制过程中哪个环节出现问题,信息沟通系统就会及时提醒,以便相关负责人在生产或者经营决策方面及时作出防范措施,减少内部控制问题造成的不必要损失。
(3)国有企业还需要建立用于信息沟通的EPR系统,实现信息资源之间的共享,提高内部控制的效率和效果。EPR系统是在设定内部控制目标的基础上,进行事项识别,然后进行风险评估,风险评估的过程中,进行必要的信息沟通,以便及时反应内部控制风险,然后用于具体运营管理活动的风险控制。整个EPR系统是建立在企业内部环境的基础上,而且要求进行必要的监督管理。
(三)企业内部控制监督管理的强化
企业内部控制监督管理的强化,需要在构建企业内控体系的基础上,从自我评估、内部审计、外部监督几个角度予以强化:
(1)企业内部控制体系的构建。首先是明确内部控制的权限和责任,为内部控制设置一道防线。其次是设立内部控制的事后监督机制,譬如会计部门常规性的会计核算、日常业务的定期检查等,然后安排具备全面工作能力的人在相应的职位上。
(2)实行内部控制的自我评估,让各个部门在固定的时期进行自我评估,了解内部控制过程中存在的问题,以便及时采取措施进行改进,这对于企业内部审计和业务经营程序风险规范化控制,起到了积极的作用。
(3)内部审计工作的加强。作为内部控制监督的主要力量,内部审计针对企业采购、计量、验收财产物资等各个环节,进行有效的监督和制约。国有企业必须提高内部审计的地位,包括审计部、财务部、纪检部、监察部等在内的各部门权责,进行部门之间的互相考核制衡,实行平级监督,确保审计工作权威性和独立性的实现。与此同时,还要检查和考核内部控制制度的实施情况,以激励机制为基础,将压力和动力相结合,提高内部审计工作开展的积极性和主动性。
(4)外部监督力度的加强。外部监督指的是财政监管部门、税务监管部门、审计监管部门、注册会计师、媒体等内部控制的外部力量,利用外部监督力量规范企业的内部控制建设,能够提高规范内部控制工作的积极性。譬如鼓励媒体对国有企业违法违纪行为的曝光,发挥内部控制方面的舆论监督作用。
三、结束语
综上所述,国民经济命脉大部分掌握在国有企业手中,关系到国家经济的兴衰,但我国国有企业的内部控制体系与国外先进企业相比,具有明显的差距,从风险管理的角度,内部控制建设存在“内部控制的环境不完善”、“信息沟通渠道不通畅”、“监督管理流于形式”几方面的问题,这些问题如果不能及时解决,可能给企业的正常运营带来风险,甚至关系到企业的生死存亡。因此,我们一方面需要加强内部控制环境的建设力度,调整企业的产权结构、完善董事会制度和完善企业文化。另一方面是构建内部控制的信息沟通渠道和强化内部控制的监督管理,方可推动国有企业内部控制工作的进行开展。
参考文献:
[1]王金丽.国有企业内部控制的特殊问题与相关建议[J].会计之友,2008年07期:67-68
第8篇:内控及风险管理范文
关键词:全面风险管理;内部控制;行政事业单位
中图分类号:F830.3 文献标识码:A
文章编号:1005-913X(2015)07-0222-01
一、行政事业单位风险管理的意义
全球金融危机引起了人们对企业内部控制和全面风险管理机制是否真正发挥作用的质疑。根据美国损失控制协会对于美国企业18 000例巨灾的统计,其中70%未设置风险管理系统的企业,在遭受巨灾后五年内会结束营业。对风险的管理,国外一些管理先进的企业在管理中早已逐步开展,对风险管理的重要性和紧迫性更是被提到议事日程,加紧逐步建立和完善了各种风险管理机制。
事业单位运营也存在着较大的风险,需要进行基于风险管理的内部控制,事业单位内部控制是为了更好的保护、防范以及控制财务风险,提升资金的使用率,以此更好的对事业单位内部控制进行深化。
二、基于风险管理的内部控制理论分析
(一)控制环境
控制环境决定了事业单位的基调,直接影响事业单位员工的控制意识。控制环境提供了内部控制的基本规则和构架,是其他四要素的基础。
(二)风险评估
每个事业单位都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使运营目标在不同层次上相互衔接,保持一致。风险评估指识别、分析相关风险以实现既定目标,从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化,需要确立一套机制来识别和应对由这些变化带来的风险。
(三)控制活动
控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险,实现经营目标。控制行为体现在整个事业单位的不同层次和不同部门中。其中包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。
(四)信息和沟通
公允的信息必须被确认、捕获并以一定形式及时传递,以便事业单位员工履行职责。信息系统产出涵盖运营、财务和遵循性信息的报告,以助于运营和控制行政事业单位。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有事业单位员工必须从管理层获得清楚的信息,认真履行控制职责。事业单位员工必须理解自身在整个内控系统中的位置,理解个人行为与其他员工工作的相关性。事业单位员工必须有向上传递重要信息的途径。同时,与外部诸如服务对象、上层管理部门和其他相关部门的之间也需要有效的沟通。
(五)监督
内部控制系统需要被监督,可以通过持续性的监督行为、独立评估或两者的结合来实现对内控系统的监督。持续性的监督行为发生在企业的日常经营过程中,包括企业的日常管理和监督行为、事业单位员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监督程序的有效性。内部控制的缺陷应该自下而上进行汇报,性质严重的应上报上层管理部门。
在上述五要素中风险要素的管理是关键。控制的目的就是要防范风险,若不存在风险也就没有实施控制的必要。根据COSO报告理论,行政事业单位无论其规模、结构与性质,其组织的不同层级都会遭遇风险,管理部门必须密切关注各层级的风险,并采取措施尽量将风险控制在可接受水平。随着计算机技术在会计核算中的运用,会计控制所涉及的风险包括:法律风险、声誉风险、资产风险、信息技术风险、效率风险和操作风险,这些风险与核算业务的流程息息相关。因此,内部会计控制的构建应从风险因素出发,加强对业务资金流程的分析;其次要按照业务风险的信息结构和风险源的性质,有针对性地制定出科学适用的风险计量方法,同时要结合控制流程的概念,找出相应的控制措施,建立一套完备的业务流程风险控制体系。
三、行政事业单位风险的识别
(一)建立充分的外生风险发现机制,及时发现外部因素变化带来的风险
管理者应重视以下外部因素带来的风险:1.经济形势、行业政策、政治环境、同行业的行动、资金供给等经济因素。2.法律法规、监管要求等法律因素。3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。4.科学技术进步、装备改进等科学技术因素。5.自然灾害、环境状况等自然环境因素。6.其他有关外部风险因素。
(二)建立充分的机制以发现内生风险
管理者应重视以下内部因素带来的风险:1.单位领导及高级管理人员的职业操守、员工专业胜任能力等人力资源因素;2.组织机构、服务方式、资产管理、业务流程等管理因素;3.研究开发、投入、信息技术运用等自主创新因素;4.财务状况、管理服务成果、资金来源等财务因素;5.稳定安全、员工健康、环境保护等安全环保因素;6.其他有关内部风险因素。
(三)与单位目标相关的风险确认
实现行政事业单位的管理服务的目标,是风险评估与防范的基本前提。单位的目标充分陈述了单位希望取得的业绩和成就,并以相关战略计划作为支持。可能影响单位目标实现的相关风险大致包括以下因素:1.单位目标是否充分体现了单位期望获得成就的陈述和指导,并且此目标足够具体,与本单位的管理服务直接相关;2.单位目标是否有效地传达给了各管理部门和全体员工;3.单位的战略选择是否跟单位目标保持关联和一致;4.单位的业务发展计划和预算与现状之间是否保持一致。充分保证业务发展计划和预算以及长期战略目标、与现状之间保持一致,脱离现实的计划、预算就意味着风险;5.关注具体管理服务活动目标与单位战略目标的内在联系;6.有充足的资源支持目标;7.对每个重要的经营活动目标确定了相应的风险。单位在制定内部控制的政策和程序的过程中,通过明确管理服务活动目标和风险的对应关系,确保内部控制措施的完整性。
四、全面风险管理的内部控制体系的创建
(一)全面风险管理内部控制创建的原则
1.合规性目标:确保事业单位运营活动遵循内外部相关法律或法规的规定;2.提升管理的目标:通过行政事业单位的风险管理活动,提高行政事业单位管理水平从而提高公司的运营效率和效果;3.创建行政事业单位风险管理意识和氛围;4.通过建立行政事业单位的风险管理体系,培养一支风险管理专业团队;5.确保行政事业单位建立针对各项重大风险发生后的危机处理计划,保护行政事业单位不因灾害性风险或人为失误而遭受重大损失。通过全面风险管理工作,使决策更加准确、高效,使内部运营的合规、安全运营理念、方法在行政事业单位各层面得到全面贯彻执行,使整体运营安全、有效。
(二)全面风险管理内部控制创建内容
1.组织机构创建。组织架构是一套体系的有机组成部分,为了保障体系运转的畅通和提高风险管理体系日后工作的正常和有效,在行政事业单位目前的组织机构框架下,成立了风险管理组织架构。并成立下属的风险控制部来具体实现风险的管理;2.风险管理专业团队。这支团队包括风险控制部专职人员、中介机构专家组、财务部门总账骨干人员和各业务职能部门风险管理联络员及骨干人员组成;3.通过借鉴目前运行相对比较成熟的全面质量管理体系的运作模式,制定了行政事业单位风险管理制度体系框架,该制度体系:包括单位层级的实施手册、部门级的风险管理制度以及具体业务的作业指导书三个层级的制度;并根据风险管理组织架构,制定了风险管理工作具体操作方法;4.主动、和谐的风险管理文化氛围。风险文化是风险管理硬性手段和软性手段的统一。风险管理意识未来要成为行政事业单位员工的日常行为和工作习惯,形成“风险无处不在,风险管理人人有责,企业最大的风险是缺乏风险意识”的风险管理理念;5.行政事业单位全面风险管理的动态系统创建。按照行政事业单位的业务流程,首先考虑业务的风险,进行风险识别、风险分析、风险评价,然后根据业务的执行情况,进行风险监控,持续改进,形成风险管理的闭环反馈。通过建立信息管理平台,对风险管理的各个步骤进行追踪与沟通,使风险管理体系得到不断的完善与充实。
参考文献:
第9篇:内控及风险管理范文
(一)企业的内部控制
是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。内部控制的目的在于改善经营管理、提高经济效益。它是加强经济管理的需要而产生的,是随着经济的发展而发展完善的。如今企业的内部控制是企业借以解决许多企业管理潜在问题的有效方法,是单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。
(二)风险管理的含义
2004年 9月 coso委员会颁布了《企业风险管理整体框架》的报告 (ERM),把企业风险管理定义为"企业风险管理是一个受企业的董事会、管理当局和其他职员影响,应用于战略制定并贯穿于整个企业,用于识别可能影响企业的潜在事项并在企业的风险偏好内管理风险,为企业目标的实现提供合理保证的过程'
二、风险管理与企业内部控制间的关系
从企业内部控制和风险管理的含义来看,二者具有一定的一致性。首先,二者均认为各方在企业内部控制和风险管理过程中都应该发挥作用。其次,二者都是贯穿于企业日常经营管理的过程中。最后,二者都是以实现企业价值为目的。深入分析,可以得出内部控制是包含在企业风险管理中的一部分,风险管理除了包括内部控制的三个目标外,又扩大了整合框架的范围,增加了战略目标。风险管理是站在更高的公司战略层次分析问题,可以更细化地解决企业日常以及其他经营活动中出现的各种风险问题,在企业风险识别和应对方面发挥更加积极有效的作用,而内部控制则在会计控制、审计活动等方面发挥着作用。随着内部控制与风险管理的不断完善,两者必然相互交叉、融合,直至统一。
三、企业风险管理与内部控制实务中存在的问题
(一)风险管理意识薄弱,对风险的评估不足
在当前的市场经济条件下,企业所面临的风险主要包括:市场风险、信贷风险、经营风险、法律风险以及政策的管制风险等。其中最主要的风险来自于企业的内部,也就是企业的经营风险。因此,企业要建立起一个可以识别、分析及管理风险的有效机制来予以应对。对于企业经营过程中所面临的高风险领域进行识别,然后进行针对性的管理工作。但是从大多数企业的风险管理情况来看,绝大多数的企业都缺乏这样一个机制,风险管理意识不足,对于企业所面临的风险没有进行合理的评估,这极容易导致企业在风险真正到来时出现手足无措的情况。
(二)缺乏有效的风险防范措施
在有效的资本市场环境中,风险与收益是对称的,低风险对应着低收益,高风险意味着高回报。从内部控制的角度来看,企业应该在识别和分析风险之后,采取积极、有效的风险管理措施来将风险控制在一个企业能够接受的范围之内。但是部分企业却一味的追求高收益,没有采取有效的措施来对风险加以防范,由此而给企业带来巨大的负债风险和破产风险,导致企业的风险资产量增加,企业的经营风险和财务风险增加,最终使得企业的利益受到损害。
(三)内部控制责任主体过于单一化
从目前的情况来看,公司内部控制的相关制度基本上是由经理层来制定的。在这种情况下,往往容易导致经理层只会制定契合自身利益的内部控制制度,这将导致内部控制制度过于偏颇。同时,这种建立制度的方式也不符合职权分离的原则。虽然部分企业发现了这个问题,但是这种方式并没有得到明显改善,这主要是由于企业受到体制等多种因素的影响,董事会和监理会没有发挥出应有的作用,直接使得经理层成为了唯一的内部控制主体,这种情况对于企业内部控制极其不利。因此,在加强企业内部控制工作时,需要让企业各个利益相关方,尤其是企业的股东及董事会意识到内部控制的重要性,让各方共同参与到相关制度的建立中来。
(四)内部控制制度的执行力不够,评价机制亟待完善
从以往那些企业经营失败的案例来看,许多都是由于内部控制制度的执行不力而导致的。例如以利润高速增长现身的“郑百文”、中国银行哈尔滨河松街支行“巨额现金神秘消失”案等。这些企业都立起了对应的内部控制制度,但是却缺乏必要的执行力,相关的控制制度都“挂在墙上”,没有坚决的予以执行。同时,企业还缺乏对内部控制的有效性进行定期的评价,没有建立起相关的评价机制,至于内部控制制度的执行情况的评价与报告等就更加没有实施,相对应的长效机制没有认真的予以执行,相当一部分的内控制度都仅仅流于形式。同时,对企业管理者的业绩考核依然是以利润作为主要的依据,评价方式过于单一,缺少综合性的评价,这些都是导致企业内部失控的重要原因。
四、风险管理视角下构建企业内部控制体系的建议
(一)以风险为导向开展内部控制工作
提高企业各个阶层的风险管理意识以风险为导向,开展企业内部控制工作的过程中,要重视对于企业高层领导的合理授权,这直接关系到企业经营的风险大小,合理的授权能有效的控制企业的经营风险。国内外很多企业出现的重大舞弊经济案件大部分都是由于授权的不合理而导致的。因此,在进行授权时,需要综合确保经营决策能有效运作、管理制度可以得到有效贯彻以及权力制衡能有效的落实等几个方面来进行。其中,ERM框架认为董事会应该在风险管理中承担主要责任。而在企业具体的风险管理当中,CE0则承担首要责任,其他的经理人从旁起到支持作用。这样,能从整体上提高企业管理人员的风险管理意识,进而促进内部控制工作水平的提高。
(二)完善企业风险预警体系
加强对各个关键环节的风险控制,建立合理的绩效考核及问责机制在内部控制制度的设计过程中,由于受到成本效益等原则的制约,内部控制不可能做到面面俱到。因此,在内部控制的过程中主要是要抓住几个关键的风险控制点,并建立起有效的内部控制制度,对这几个关键点进行着重控制。其中,关键控制点主要包括业务流程及单位经济活动中那些容易形成风险的环节。在对其进行识别之后,还应该进行量化的分析,估计其给企业的经营带来风险的程度,然后采取针对性的措施。
这就要求企业要对关键环节中所涉及到得工作人员进行培训,将风险管理理念渗入其中,使他们认识到其所提供的风险相关信息将影响到企业高层的决策。同时,还要明确各个主体在企业的风险管理流程中所承担的各项责任,通过强化责任意识来对内部控制进行有效评价,建立起合理的绩效考核及问责机制,提高员工的整体风险意识。
(三)建立利于风险管理的内部环境
企业的内部环境是确保企业风险管理发挥出作用的基础条件,尤其是对于企业风险管理系统的实施以及其职能的发挥有重要作用。企业监督体系确实能够提高企业内部控制的质量,但是这依然只是一种强制性的措施,员工仅仅处于被动的执行地位。为改善这个局面,企业应该通过提高员工的整体文化素质、职业道德及诚信品质,化被动为主动,形成一个自觉遵循并完善内部控制的良好氛围。
总之现代企业管理中,内部控制有着举足轻重的作用,同时内部控制也是会受到多方面因素影响的一个动态工程,在企业管理过程中,需要加强对内部控制的关注,加强内部控制制度的完善,使其充分发挥在企业管理中的作用。
参考文献:
