购物车(0) 期刊中心 科普订阅 SCI杂志 范文中心 投稿指导
在线咨询7X16小时在线
公务员期刊网 精选范文 内部控制的风险评估要素范文

内部控制的风险评估要素精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的内部控制的风险评估要素主题范文,仅供参考,欢迎阅读并收藏。

内部控制的风险评估要素

第1篇:内部控制的风险评估要素范文

[关键词] 企业内部控制理论 创新 评价 启示

美国COSO委员会于1992年提出并于 1994年修改的《内部控制――整体框架》中对内部控制的定义得到广泛的认可并沿用至今,其对内部控制定义的描述如下:内部控制是由企业董事会、经理阶层和其他员工实施的,为运营的效率效果、财务报告的可靠性、相关法律的遵循性等目标的达成而提供合理保证的过程。在此基础上,自20世纪90年代以来,企业内部控制理论得到了较好的创新发展。

一、内部控制框架理论分析

COSO委员会的报告《内部控制――整体框架》提出,为了实现内部控制的有效性,需要五个方面的要素支持:控制环境,风险评估,控制活动,信息与沟通和监督。这五要素之间是不可分割相互联系的有机整体。

1.内部控制环境(control environment)。环境要素是推动企业发展的动力,是其他控制要素的基础,决定着内部控制的规则与结构,决定了组织的氛围,影响组织中人们的内控意识。它包括管理者的道德品行及经营管理理念、组织结构、董事会、人力资源资源政策与实务、企业文化等。

2.风险评估(risk appraisal)。风险评估指的是判别和分析企业在完成自身目标过程中的各种风险,从而为风险管理提供基础。它包括风险辨识和风险分析,风险辨识的内容涉及到:科技的发展、顾客的需求或预期改变、竞争、新颁法律或行政命令,天然灾害、经济环境改变、资讯系统处理的中断、所聘雇员的品质、训练方法及激励制度、经理人责任的改变、企业活动的性质、员工可接近资产的程度、董事会或监督委员会不够坚定或无效等。

3.内部控制活动(control activity)。企业必须制定具体的控制政策及程序并加以实行,以帮助管理层确保在进行风险评估和处理基础上其所采取的各种行动能使企业实现自身目标。内部控制活动就是指为保证目标得以实现而建立的各种政策和程序。控制活动贯穿于整个组织的各个层次和各部门,包括控制范围设定、授权、协调、业绩考核、资产安全保障以及职责划分等。

4.信息与沟通(information and communication)。信息与沟通是指以一定的形式和在一定的时间段内辨认、获得的,为员工在执行、管理和控制作业过程中所需的信息,以及信息的交换和传递。要想建立一个健全有效的内部控制系统,拥有一套完善的信息传递与沟通系统是不可少的。若组织内部的信息渠道不畅,内部控制的效果就会大打折扣。

5.监督(monitoring)。监督是指评估内部控制运作质量的过程,包括持续性监控活动和个别评估。这里的持续性监控活动是指营业过程中例行监督,包括管理人员的日常管理和监督以及职员执行职务时采取的其他行动。内部控制作用的发挥,有赖于建立起健全有效的内控系统,更有赖于其能够良好运行。为此,整个内部控制的过程必须得到恰当的监督,以便在必要时加以修正,这种监督活动的形式主要是审计监督。

二、COSO报告关于内部控制理论的创新与突破

与此前的内部控制理论相比,COSO报告中的内部控制整体框架理论有了新的变化,比如,内部控制理论结构有所改变,由原来的三分法变成五分法;提出了一个全新的风险评估的内容;称谓有所变化,原来的会计制度变成信息与沟通,原先的控制程序称为控制活动;要素间关系发生了变化,原来的结构并不强调其要素的联系,而现在则明确指出了要素之间的相互关系。

除了这些名称、结构上的变化,COSO报告关于内部控制框架的论述中在理论上的创新更多地体现在它包含了很多新的、有价值的观点。体现在以下几个方面:(1)强调内部控制应该是一个与企业的经营管理过程相结合的“动态过程”。(2)明确对“内部控制”的责任。(3)强调“人”的重要性。(4)强调“软控制”的作用。(5)强调风险意识。(6)揉和了管理与控制。(7)明确内部控制只能做到“合理”保证。

三、内部控制理论的新发展――企业全面风险管理(ERM)

COSO委员会于2004年9月29日正式《企业风险管理综合框架》(ERM-IF)并提出将以ERM取代内部控制综合框架(IC-IF),标志着内部控制理论与实践进入了整体框架的新阶段。ERM框架从内部控制的控制环境、风险评估、控制活动、信息与沟通、监督等五要素进行深化和拓展,将原有的风险评估一个要素发展为目标设定、事项识别、风险评估和风险反应等四个要素,从而将内控五要素发展为风险管理框架的八个要素。

1.ERM框架的三个维度

ERM框架有三个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有四个,即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的层级,包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是:全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。该框架适合各种类型的企业或机构的风险管理。

2.全面风险管理与内部控制框架

从COSO的ERM框架和内部控制框架可以看出,全面风险管理与内部控制框架既相互联系又有重要差异。

从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定,事件识别和风险对策三个要素。因此,全面风险管理涵盖了内部控制。

从二者的实质内容看,两者存在以下两项重要差异:第一,两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。第二,两者对风险的定义和对策不一致。全面风险管理框架中,由于把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),因此,该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险;内部控制框架没有区分风险和机会。而且由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法。因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。

四、企业内部控制理论发展的几点启示

从COSO报告所定义的内部控制可以看出,一个企业为了实现其既定目标,应当在培育一种积极的内部控制环境的基础上,识别、衡量和评估经营管理活动中所涉及的各种突出风险点,针对风险点设置各种控制机制,并不断地对上述整个过程的适当性和有效性进行监督和评审,内部管理信息系统为整个过程提供条件。从内部控制理论的创新发展的过程中我们可以从中得到以下几点启示:

1.内部控制的“责任”及“软控制”的必要性。从内部控制的定义来看,对内部控制负有责任的不仅仅是管理人员、内部审计、董事会,企业的每一个员工对内部控制都负有责任。所有员工都应该主动遵守企业内部控制制度,团结一致,为实现企业的目标而维护内部控制。软控制主要是指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等。

2.内部控制应与企业经营管理过程结合起来。内部控制是经营活动的一部分,与经营过程相结合,模糊了管理与控制的界限,内部控制监督企业经营过程的持续进行,使经营达到预期效果。

3.风险意识在内部控制中占据重要地位。良好的内部控制可以防范企业的风险,合理地保证内控目标的实现。现代社会是一个充满剧烈竞争的社会,每一个企业都面临着成功的挑战和失败的风险,对风险的管理是现代企业的主旋律之一。风险影响着每个企业生存和发展的能力,也影响其在产业中的竞争力及在市场上的声誉和形象。COSO报告指出,所有的企业,不论其规模、结构、性质或产业是什么,其组织的不同层级都会遭遇风险,管理阶层须密切注意各层级的风险,并采取必要的管理措施。

4.内部控制具有动态性。企业内部控制不是一项制度或一个机械的规定,而是对企业的整个经营管理过程进行监督与控制的过程,是不断地与经营过程、管理过程相摩擦控制过程。企业经营管理环境的变化必然要求企业内部控制越来越趋于完善,内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程,是不断修正和更新的动态过程。

5.内部控制需要有效的信息系统。一个良好的信息和沟通系统,可以使企业及时掌握营运状况和组织中发生的各种情况,及时为企业员工提供履行职责所需的各种信息,使企业的经营和管理流畅进行。有效的管理信息系统可以及时地提供各方所需要的信息,提供企业各部门管理控制生产、考核工作成果以及提供企业高层决策人员制定经营方针、制定规划、进行决策所需的会计和管理信息。企业的人员通过管理信息系统了解了企业目前的状况,才能对可能发生的异常状况及时做出反应,从而及时报告,以防止重大损失的发生。

6.内部控制目标的设定非常重要。内部控制目标的设定是管理过程的一个重要部分,虽然它不是内部控制的组成要素,但却是内部控制的先决条件。制定目标的过程不是控制活动,但其对内部控制的意义重大,直接影响到内部控制是否有存在的必要。企业控制目标的确定,有利于不同的人从不同的视角关注企业内部控制的不同方面。而且,不论内部控制设计及执行有多么完善,内部控制都只能为管理阶层及董事会提供达成企业目标的合理保证。

参考文献:

[1]Management Reports On Internal[J].Journal of Accountancy, Online Issuer(October),2008

[2]吴水澎 陈汉文 邵贤弟:企业内部控制理论的发展与启示[J].会计研究2000(5):1~8

[3]阎达五 杨有红:内部控制框架的构建[J].会计研究, 2003(2):9~14

第2篇:内部控制的风险评估要素范文

关键词:风险管理;内部控制

一、企业风险管理与内部控制的概念比较

美国COSO委员会1992年的《内部控制整体框架》是用于指导企业进行内部控制的指导文件。2004年,COSO委员会出台了新的COSO报告———《企业风险管理整体框架》,拓宽了内部控制的含义,同时对企业风险管理进行了详细的说明。《企业风险管理整体框架》中对企业风险管理的定义为“由企业的董事会、管理层和其他员工共同参与,应用于企业战略制定和企业内部各个层次和部门的,贯穿整个企业旨在识别影响组织的潜在事件,为组织目标的实现提供合理的保证”。《内部控制整体框架》将内部控制定义为“由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的大成而提供合理保证的过程”。在这两个《框架》的基础上,可以从企业风险管理与内部控制概念的定义、主要目标以及构成要素等几方面做如下比较:

(一)企业风险管理与内部控制的定义

比较二者的定义可以看出二者的相同点有:企业风险管理与内部控制的实施主体相同,都需要企业的决策、管理以及执行各方阶层的参与,而不是企业某一层级的特权;风险管理与内部控制的最终目的都是为企业的平稳运行保驾护航,为企业战略目标实现提供合理保障。细分之下,二者也存在一些不同之处:内部控制更强调财务方面的可靠性以及企业管理的效率提升,而风险管理除了主要财务报告的可靠性之外更一步确保企业非财务信息的准确真实;内部控制只针对企业内部,风险管理则同时兼顾内部和外部风险。

(二)企业风险管理与内部控制主要目标

《企业风险管理整体框架》中指出风险管理服务的目标为战略目标,经营目标,报告目标以及合规目标;《内部控制整体框架》中则提到内部控制的主要目标为经营目标,财务报告目标,合规目标[1]。可以看出,风险管理与内部控制的最终目标基本相近,二者间最明显的区别是风险管理比内部控制多了一个战略目标。内部控制注重在经营过程中为了实现目标采取的一种控制的管理职能,保障日常活动不脱离目标轨迹,而风险管理更侧重事前预测和发现,但也不忽略事后采取相应的措施,使损失降到最低;企业风险管理是包括内外风险的全面管理,既关心由于组织结构、制度变革、人员变换等导致的内部风险,又关心由于外部政治经济、自然环境等引起的外部风险,而内部控制则是在企业内部环境的基础上进行风险的评估和监控,范围相对狭窄。

(三)企业风险管理与内部控制的构成要素

内部控制包括五个组成要素:控制环境、风险评估、控制活动、信息与沟通、监督,而风险管理的构成要素为八个:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督检查。通过以上比较可以看出,企业风险管理拓展了内部控制中的“风险评估”要素,将其演化为目标设定、事项识别、风险评估及风险应对。这四个要素是围绕企业战略目标而增加的内容。

(四)企业风险管理与内部控制的实现方法

内部控制主要对公司内部管理制度进行定性分析,设计指导性的对策,而风险管理则是侧重量的分析,通过定量分析来评估风险发生的可能性是多少和对企业影响程度大小。内部控制和企业风险管理从不同的两个方面对企业经营进行管理,相对内部控制评定的方法,企业风险管理会更加准确地判断出风险的大小。

二、风险管理与内部控制的关系

(一)传统理论观点

从上一节的讨论中可以看出,企业风险管理与内部控制的概念十分相似,二者的目标与构成要素也有很大部分的重叠,在理论应用中十分容易出现混淆。剖析过去对企业风险管理与内部控制关系的研究,目前对二者的关系问题有以下三种主流观点:1.内部控制是风险管理的一部分:《企业风险管理整合框架》中明确指出:“内部控制是企业风险管理不可分割的一部分”。《框架》是定义企业风险管理的权威参考之一,因此在理论研究中,将内部控制划入风险管理范围内的观点被广泛接受;2.内部控制包括风险管理:不同于美国COSO委员会,加拿大COSO委员会在其报告中指出:“风险评估和风险管理是内部控制的关键要素”;3.内部控制与风险管理本质上是相同的:英国特恩布尔报告认为健全的内部控制制度必须建立在对公司所面临风险全面、综合分析的基础上。

(二)风险管理与内部控制的关系

具体到在理论实践应用中,常更倾向于实践第三种观点:即内部控制与风险管理本质相同,二者在指导企业管理中相辅相成,共同为实现企业的战略目标服务。如今以风险为导向的内部控制机制在实践中已经得到普遍认可,有力的说明了风险管理与内部控制的可兼容性。1.风险管理体系是内部控制的前提:不同于内部控制,风险管理是管理活动,设定企业的战略目标并围绕这一目标对环境存在的风险进行评估,是其开展管理过程的前提。而内部控制框架中没有企业战略目标这一要素,风险评估的标准没有明确与企业战略目标挂钩,其特定目标是维护企业的经营和效率、财务报告的可靠性及经营活动的合法合规性,这些目标服务于实现价值创造和企业战略的终极目标。2.内部控制体系依赖于风险管理体系:内部控制体系的关注重点在财务方面,在实现内部控制的过程中,自身的风险需要其他管理体系加以识别和评估。风险管理体系除关注财务外,同时强调其他方面的管理,并且可以对内部控制体系自身的风险进行防范,建立完善的风险应对体系。3.内部控制与企业风险管理是有机的整体:二者的目标都是为了实现企业的平稳健康发展,二者虽然侧重点不同,但在实现企业战略目标方面相辅相成,是一个有机的整体——内部控制与企业风险管理是公司内部环境与外部环境两个方面管控风险的不同框架。企业所处的市场及社会环境的不断变化,企业面对的风险是一个动态概念,经常处于变化之中,只有把握风险管理先机,才能收到实效,及时掌握尽可能真实、准确的经济动态信息。而动态风险管理过程的顺利实现必须依赖于内部控制,在内部控制的有效框架下对企业内部存在的风险进行治理,而对于内部控制无法掌握的外部环境,应在风险管理的框架下及时采取有效措施,内外双管齐下,避免企业运行偏离原定目标。

三、建立基于企业风险管理整合框架的内部控制体系

建立基于企业风险管理整合框架的内部控制体系,即在风险管理的基础上,科学设计内部控制制度,为实现企业目标提供合理的保障。首先,所有的经营活动必须在不触犯相关法律法规的前提下进行,将两者管理方法结合应用,使企业健康快速发展。其次,为了实现企业目标,内部控制必须确保企业内部业务流程的顺利进行,有效地执行每个业务环节。最后,内部控制通过对风险的识别、评估、找到行之有效的方法,在管理过程中将两者进行融合。以启明信息技术股份有限公司为例[3],通过生产生活中经验的积累,启明信息技术股份有限公司建立了完备的基于企业风险管理的内部控制体系:一方面在实施风险控制时,通过将风险管理工作落实到内部控制制度上,来提高企业风险评估的水平,另一方面通过内部控制来优化企业的管理功能,从而更好的进行风险管理,分析制定风险管理方案。通过将企业风险管理与内部控制相结合,企业最大化的实现了对风险的防范,提高了经营管理效率。在新的复杂的市场经济环境下,企业面临巨大的内外部各类风险,以风险管理为导向的内部控制管理模式会更利于企业的发展。内部控制和企业风险管理在企业管理中起着等同的重要作用,因此在企业风险管理整合框架的基础上,建立完善的内部控制体系,从而使企业更好地实现企业目标,以增强企业的抗风险能力,将是未来风险管理与内部控制融合发展的方向。

参考文献

[1]朱大华.企业风险管理与内部控制的关系与应用[J].财会通讯,2012,(26):46-48.

第3篇:内部控制的风险评估要素范文

【关键词】 COSO报告;内部控制;风险管理

一、COSO背景

COSO委员会是由美国注册会计师协会( AICPA )、美国会计学会( AAA )、财务经理人协会( FEI )、内部审计师协会( IIA )和管理会计师协会( IMA )共同发起并出资组成的民间组织。该组织的宗旨在于通过商业伦理、有效的内部控制和公司治理提高财务报告质量。COSO的研究成果在美国以及全球会计、审计和证券界产生了深远影响,其中的一些概念和原理被写入了教科书,成为研究人员经常引用的经典;而且,随同报告的实务指南也为单位组织建立内部管理架构提供了十分有益的帮助,成为评价单位组织内部控制的标准。(柳木华 . 2006)。迄今为止,COSO委员会共了五部研究报告。

1987年,COSO了《反欺诈性财务报告全国委员会报告》,报告对财务欺诈的研究和分析没有简单地局限于独立审计师的查错作用,而是密切关注企业法律、金融和其他咨询顾问在财务欺诈中的角色,分析了企业经理班子价值观念和会计、内审与审计委员会的作用,触及了政府管制(包括SEC)和大学会计课程设置是否充分有效等问题。报告分别向公众公司、注册会计师、SEC以及其他法律部门、教育部门等提出了约100条建议。1996年,COSO发表了《金融衍生工具使用中的内部控制问题》,该报告模型认为,“风险管理过程需要理解实体的目标和经营活动,识别市场风险和测度承担的风险,然后决定是否使用衍生产品将风险降低到可以承受的水平。只要简单的忽略与衍生产品有关的部分并代之以其他合适的降低风险行为,这个过程就具有普遍性”。报告为衍生工具用户建立、评估和改善内部控制,提供了指导性建议。1999年,COSO利用1987-1997年欺诈性财务报告公司样本,在归纳其公司特征、控制环境特征、欺诈特征的基础上,了《欺诈性财务报告-1987至1997:美国公众公司分析》。报告探讨了三个欺诈高发行业――信息技术、保健和金融服务业的欺诈特点,发现三个行业的欺诈手段存在显著差异,如信息技术业最常见的欺诈手段是收入欺诈,而金融服务业最常见的手段是资产欺诈和资产盗用,并且研究了财务报告欺诈与公司治理之间的关系,发现欺诈样本公司与其所在行业标准相比,具有相当弱的公司治理机制。20 世纪在经历了70年代一连串财务失败和可疑的商业行为相继爆发后,国际社会又出现了更耸人听闻的以金融机构破产为代表的财务失败事件,给纳税人最终带来超过1 500亿美元的成本。为能有效遏制这种愈演愈烈的会计舞弊活动,1992年,COSO在进行了深入研究之后了一份关于内部控制的纲领性文件,即《内部控制――整体框架》,它标志着内部控制理论与实践进入了整体框架的阶段。报告提出了内部控制的五个重要组成要素:控制环境、风险评估、控制活动、信息及沟通与监督,深化了内部控制的理念和应用。COSO报告一经便得到了业界的认可与采纳,并在世界范围内产生了广泛影响。2001年以来,以安然、世通等为代表的一些美国大公司,因财务信息造假等行为而相继倒闭破产,震撼了美国的资本市场,引起了世界的极大反响。在国际社会对改善公司治理与加强风险管理的呼声日益高涨的背景下,2004年9月,COSO委员会结合《萨班斯一奥克斯利法案》的相关要求,颁布了一个概念全新的报告:《企业风险管理――整体框架》(ERM)。框架的出台顺应了各方需求,与1992年的《内部控制――整体框架》相比,在内部控制的内涵、目标、要素以及内部控制责任承担等层面有了全新的突破,对企业风险管理做出了更为详尽的阐述。ERM并没有取代《内部控制――整体框架》,而是基于并将其融入其中,全面推进了内部控制标准的发展。

二、COSO企业风险管理整体框架概要

COSO为企业风险管理确立了一个可普遍接受的概念,为各组织识别风险和实施风险管理提供了理论基础。ERM框架认为:“企业风险管理是一个过程,是由企业的董事会、经理层和其他员工共同参与,应用于企业战略制定和企业内部各个层次和部门的、贯穿整个企业,旨在识别影响组织的潜在事件,为组织目标的实现提供合理的保证”。企业风险管理是由人参与的过程而并非结果,企业必须将风险管理融入在日常的经营管理之中,并涉及企业的每个员工。风险管理能够识别对企业造成影响的潜在风险,能在一定程度上帮助企业实现合理的既定目标。

企业风险管理包含八个相互关联的要素:

(一)内部环境

内部环境是其他风险管理要素的基础,它由《内部控制――整体框架》要素中的“控制环境”演变而来,但包含了更为丰富的内容,如风险文化和风险偏好、管理哲学和经营风险、权力和责任分配、实践操守和价值观等。

(二)目标设定

ERM框架认为,企业的管理层在评估风险之前必须确立目标,并针对不同的目标分析相应的风险,这样管理当局才能识别影响目标实现的潜在事项。企业的目标可以分成四类:1.战略目标。与企业的使命相一致,是较高层次的目标;2.经营目标。与企业经营的效果与效率相关,旨在使企业能够有效地使用资源;3.报告目标。企业组织报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息;4.遵循目标。即企业经营是否遵循相关的法律法规。

(三)事件识别

指识别影响事件的内外部因素。潜在的事项,对企业可能有正面影响,也可能有负面影响。识别风险旨在于抓住机遇,或者在风险评估和应对阶段弥补风险对企业的影响。

(四)风险评估

是决定如何管理风险的基础,风险得到识别后,就需要对风险进行分析评估,这样,管理层就能根据被识别风险的重要程度来进行规划和组织,使通过风险管理这个过程识别和分析风险,并采取减弱风险影响的行动来管理风险。风险评估可根据不同的风险目标确定相应的风险评估方法,主要为定量分析和定性分析相结合的方法。

(五)风险对策

是在评估了相关的风险之后,所做出的应对、控制、转移、补偿风险的各种策略和措施。通常将风险对策分为规避风险、减少风险、共担风险和接受风险等四类。企业应在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事件发生的可能性和事项对企业的影响,并设计和执行风险应对方案。COSO认为,有效的风险管理是管理者的选择能使企业风险发生的可能性和影响都落在风险的容忍度内。

(六)控制活动

是有助于保证风险应对方案得到执行的相关政策和程序。管理当局应对企业所有系统进行控制,包括对信息系统的控制,通常控制活动和风险评估过程是联系在一起的。

(七)信息与沟通

信息是沟通的基础,沟通必须满足不同团体和个人的期望。企业内部和外部的信息必须以一定的方式进行确认和传递,以保证员工各自职责的执行和企业风险管理的有效运行。

(八)监督

COSO将监督作为评估企业风险管理质量过程的一个部分,即评估风险管理要素的内容和运行,以及评价某一时期执行质量的一个过程。该过程包括持续监督、个别评估或者两者的结合。

企业风险管理的八个要素是一个有机整体。风险管理不只是一个直线的过程,而是一个多元化的相互作用的过程。 各要素之间的关系是:内部环境是企业风险管理的基础,为企业风险管理所有其他要素的运行提供了平台和组织结构;企业目标的制定,是风险管理的起点,是其他步骤的躯动力量;在企业目标已定的前提下,企业需要对影响目标的风险进行事件识别,进而对识别事件进行风险评估,风险评估驭动风险反应,影响控制活动;信息与沟通和监督贯穿于企业风险管理的全过程,并且可对其他各个组成要素进行修正(吴永澎 . 2006)。

三、COSO企业风险管理框架对内部控制标准的发展

(一)丰富了内部控制的内涵

COSO在《内部控制――整体框架》中将内部控制定义为一个受董事会、经理层和其他人员影响的过程,提出内部控制是为了实现三个目标,即:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。该定义明确了以下要点:内部控制是一个过程;内部控制是一个受人影响的过程;内部控制为了实现三个目标;内部控制过程的设计是为了提供实现内部控制目标的合理保证。这个定义比较宽泛,从某些角度来说,也存在一些片面性。而新的ERM框架则更加明确了对风险管理和保护资产概念的运用,并将纠正错误的管理行为明确地列为控制活动之一。ERM框架在原《内部控制――整体框架》所明确的要点基础上,进一步明确了以下内容:即,内部控制应用于战略制定;内部控制贯穿整个企业的所有层级和单位;内部控制旨在识别影响组织的事件并在组织的风险偏好范围内管理风险。由于ERM框架提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体,同时又涵盖了内部控制所有合理的内容。

(二)发展了内部控制的目标

针对《内部控制――整体框架》对企业战略管理方面关注不够的缺陷,ERM在目标中增加了一个新的目标――“战略目标”。使企业在追求短期利益的同时,从战略高度关注企业的长远目标和可持续发展。该目标的层次比其他三个目标更高。风险管理既应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。特定的战略目标虽然可以通过不同的战略来实现,然而不同的战略目标会给企业带来不同的风险。战略制定和风险偏好存在直接关系,在考虑达到战略目标的具体目标时,管理当局要鉴别与战略选择相关的风险,并且要考虑对这些风险的应对措施的运用(吴永澎. 2006)。此外,ERM整体框架还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告将财务报告的可靠性界定为“编制可靠的公开财务报表,包括中期和简要财务报表,以及从这些财务报表中摘出的数据,如利润分配数据”。新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”,该目标涵盖了企业的所有报告。

(三)拓展了内部控制的要素

COSO在《内部控制――整体框架》中提出了五个要素:即控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行了深化和拓展,将其演变为八个要素。引入了风险偏好、风险容忍度和风险文化等概念,将原有的“控制环境”扩展为“内部环境”。这一修改使企业关注的范围不再局限于控制方面,而是从更宽阔的视野,以及更综合、更直接的角度考虑各种因素对风险的影响。并且将原有的“风险评估”要素发展为“事件识别”、“风险评估”和“风险反应”。这不只是对原“风险评估”进行的简单细化,而是意味着企业风险意识的增强和主动地管理风险。也就是企业风险管理综合框架强调应对所有事件,包括正面事件和负面事件进行综合识别,并且应将其以适当的组合方式加以看侍,并通过对固有风险和剩余风险的综合评价做出适当的风险应对措施,以减少经营偏差的发生及相关成本和损失,有利于企业抓住机会,及时调整策略,避免资源浪费,实现经营获利目标。

(四)明确了内部控制的责任关系

ERM框架认为,组织的每个成员都应对企业风险管理承担责任,并进一步划分了责任主体的等级:董事会在风险管理中扮演更加重要的角色――负总体责任,并被要求变得更加谨慎。企业风险管理的成功与否主要依赖于董事会,因为董事会需要批准组织的风险偏好;在企业风险管理中,CEO负有首要责任,并应对所有权负责,其他经理人员则起支持作用;风险部门管理者,财务部门管理者和内部审计人员等负有关键性责任;其他的企业人员负有按确定的指示和协议执行企业风险管理的责任。另外,企业外部利益相关者如客户、卖主、商业伙伴、外部审计师、监督者和财务分析师经常提供影响企业风险管理的有用信息。虽然他们并不为企业风险管理负责,但却是企业实施风险管理必须考虑的因素。

(五)创新了内部控制的风险观念

ERM 框架指出,企业风险管理的基本假设是,每一主体存在的目的是为其所有者创造价值。所有主体都面临不确定性,管理层的挑战就是确定在其为所有者创造价值的过程中,须在多大程度上接受不确定性。ERM把事件区分为风险和机会,事件可能有消极的影响、积极的影响或两者兼有。消极影响事件意味着风险,它妨碍价值创造或削弱现存价值;积极影响事件可以抵销消极影响或意味着机会。机会是一种可能性,即事件将会发生并积极影响目标实现、支持价值创造或价值保持。一个组织必须识别影响其目标实现的内、外部事件,区分哪些是风险、哪些是机会。管理当局要密切注意各层级的风险,并采取积极的管理措施。内部控制的目的不应是消极控制或防范风险,而是要主动管理风险。风险管理能使管理层有效地处理不确定性及与之相关的风险和机会,增进创造价值的能力,并在追求主体目标的过程中有效地配置资源,实现价值最大化。

【参考文献】

[1] 贾国军,李阳,杨秀玲. “从美国COSO报告的发展,看我国内部控制体系的完善”. 财会研究,2006.11.

[2] 宋怡萱,张翩. “COSO企业风险管理整体框架解析”.财会通讯,2006.3.

[3] 陈秧秧. “COSO《企业风险管理综合框架》简介”. 财会通讯,2005.2.

[4] 金小英,唐予华. “COSO风险管理报告内外部关系的解读与启示”. 财会通讯,2006.6.

第4篇:内部控制的风险评估要素范文

关键词:内部控制;路径;风险管理

    近年来,国际上一些著名企业相继爆出丑 闻,造成极其严重的后果。我国企业也为内部 控制和风险管理的缺失付出了惨痛的代价,如 国内著名企业中发生的中航油(新加坡)公司 破产倒闭事件以及中行、农行、兴业、浦发等银 行巨额虚假贷款、大额资金失踪等舞弊案频频 曝光。究其原因,内部控制存在缺陷是导致企 业不能及时发现和有效控制经营风险,并最终 铤而走险、欺骗社会公众和投资者的重要原 因。在对这些财务舞弊和经营管理失败案例进 行反思后,人们逐渐认识到“有控则强、失控 则弱、无控则乱”的道理,控制失灵难以使事业 持久、基业常青。建立完善的且行之有效的企 业内部控制机制已成为企业的当务之急.

    一、内部控制的内涵 人们对内部控制的定义经历了从简单到 复杂、从静态到动态、从以制度为本到以人为 本的一种逻辑演绎,体现了人们对内部控制认 识的逐渐深化,加深了人们对内部控制的进一 步理解,从而使人们对内部控制这一客观事物 的认识更能贴近事物的本原。所谓内部控制, 是由企业建立的,通过约束和激励等手段,以 保障企业各利益相关者的行为能够按契约的 要求进行,并能够促使契约自我优化的一种系 统化的机制,其目的是为了实现企业目标.

    二、内部控制发展历程 对内部控制的认识,经历了一个逐渐发展 的过程。美国的内部控制经历了从内部牵制到 二要素法、三要素法到五要素法,日趋完整和 深入,最终发展为全面风险管理框架模式.

    1、内部牵制。内部控制的最初形式是内部 牵制,内部牵制以账目间的相互核对为主要内 容,并实施岗位分离,内部牵制机制在减少错 误和舞弊行为上起到了十分重要的作用.

    2、二要素法。随着经济的发展和企业组织 规模的扩大,人们发现内部牵制已经越来越不 能适应大型企业需要,因此对内部控制的研究 也越发深入,美国注册会计师协会的审计程序 委员会于1958年10月的《审计程序公告 第29号》将内部控制划分为会计控制和管理 控制,内部控制划分为二要素形式.

    3、三要素法。1988年美国注册会计师协 会的审计准则委员会《审计准则公告第 55号》,该公告以“内部控制结构”代替“内部 控制制度”,具体包括三个要素:控制环境、会 计制度、控制程序.

    4、五要素法。1996年美国注册会计师协 会《审计准则公告第78号》,全面接受 COSO报告的内容,新准则将内部控制定义为: “由一个企业的董事会、管理层和其他人员实 现的过程,旨在为下列目标提供合理保证:财 务报告的可靠性、经营的效果和效率以及符合 适用的法律和法规”。该准则将内部控制划分 为五种要素:控制环境、风险评估、控制活动、 信息与沟通、监控.

    5、全面风险管理框架。2003年7月美国 COSO委员会颁布了企业风险管理框架的讨论 稿,并于2004年4月颁布正式稿。将企业风险 管理的构成分为内部环境、目标制定、事项识 别、风险评估、风险反应、控制活动、信息和沟 通、监控等八个相互关联的要素,各要素贯穿 在企业的管理过程之中.

    三、企业风险管理整合框架的诸要素构成 1、内部环境。内部环境是企业风险管理其 他构成要素的基础,为其他要素提供约束和结 构。它影响着战略和目标的制定、经营活动的 组织以及风险的识别、评估和应对,它还影响 着控制活动、信息与沟通体系以及监控措施的 设计与运行。内部环境受企业历史和文化的影 响,包含许多要素,包括风险管理理念、风险容 量、董事会监督、主体中人员的诚信、道德价值 观和胜任能力以及管理者分配权力和职责、组 织员工的方式.

    所有这些要素都很重要,但对每个要素的 强调程度会因企业而异。然而,董事会是内部 环境的一个关键部分,它对其他的内部环境要 素有重大影响。因为董事会对管理者独立性、 经验、才干、敬业等方面的监督与审查,对企业 来说至关重要。要想使内部环境有效,董事会 中的独立外部董事必须至少占多数.

    内部环境的另一关键要素是企业的风险 管理理念。一个企业的风险管理理念是一整套 共同的信念和态度,它决定着该企业在做任何 事情(从战略制定和执行到日常经营活动)时 如何考虑风险.

    2、目标设定。企业在既定的任务和背景 下,制定战略目标、选择战略,并制定相关目 标,将其细分至企业的方方面面,与战略保持 一致并相联系。企业必须先有目标,管理者才 能识别影响它们实现的潜在事项。企业风险管 理确保管理当局采取恰当的程序去设定目标, 确保所设定的目标支持和切合该企业的使命, 并与它的风险容量或风险容限一致.

    3、事件识别。管理当局必须识别可能对企 业产生影响的潜在事项。潜在事项具有负面的 或正面的影响,或两者兼而有之。具有潜在负 面影响的代表风险,管理者要对之进行评估和 做出反应。相应地,风险被定义为事项发生并 对目标实现产生不利影响的可能性。具有潜在 正面影响的事项代表机会。代表机会的事项引 导管理者制定战略和相关目标,以便采取行动 抓住机会.

    4、风险评估。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角 度对事项进行评估:可能性和影响,并且通常 采用定性和定量相结合的方法。在不要求定量 化的地方,或者在定量评估所需的可靠数据无 法取得或获取和分析数据不具有成本效益时, 管理者通常采用定性评估技术。定量技术精确 度更高,通常应用在更加复杂的活动中,以对 定性技术进行补充。评估风险时既要考虑固有 风险,也要考虑剩余风险。固有风险是管理当 局没有采取任何措施来改变风险的可能性或 影响的情况下,一个企业所面临的风险。剩余 风险是在管理当局应对风险后所残余的风险.

第5篇:内部控制的风险评估要素范文

【关键词】内部控制,风险管理,风险控制

一、内部控制与风险管理的关系

对内部控制与风险管理二者之间关系的讨论,学术界和实务界对二者的认识没有达成一致。因此,本文将从理论争鸣、历史发展等方面厘清二者的关系。

(一) 理论争鸣

了解内部控制与风险管理的概念是分析两者关系的第一步。对于同一术语,不同的机构有不同的认定,而对于同一认定,不同的学者也会有不同的理解,因而形成了对于内部控制与风险管理关系的不同观点。

1.内部控制包含风险管理这一观点是由 CICA ( 1995) 提出来的。CICA从自身组织对控制的定义出发提出了 “内部控制包含风险管理”这一观点。

2.谢志华 ( 2007)提出: 《内部控制―――整体框架》升级为 《企业风险管理―――整体框架》,之所以能够发生这种转化,根本原因在于内部控制的最终目的就是为了控制风险,从语义上说,内部控制就是控制风险,控制风险就是风险管理。内部控制主要是从风险控制的方式和手段说明风险控制的,风险管理是从风险控制的目的来说明风险控制的。

3.风险管理包含内部控制COSO ( 2004) 中明确指出: 风险管理包含内部控制; 内部控制是风险管理不可分割的一部分。如前所述,COSO 认为风险管理由八个要素组成,内部控制由五个要素组成。显然内部控制包含在风险管理之中,内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。

(二)内部控制与风险管理的本质

上述三种观点揭示了内部控制与风险管理之间确实存在着联系,也决定了两者之间必然有共同点。因此,应从内部控制与风险管理的起源与发展来看两者的本质。

1.内部控制的起源和发展

(1)一般认为,20 世纪 40 年代以前是内部牵制阶段。在当时相对确定的经济环境和相对简单的契约产权关系下,财产所有者面临的主要风险是财产物资收支和保管过程中的失窃风险。为了保证财产物资在实物上的安全与完整,人们设计了支出钱财由两个不同岗位的人分别进行记录、核对的程序。这就是内部控制最初的思想――内部牵制。

(2)1940年 AICPA 所属的审计程序委员会发表了一份特别报告,首次正式提出了内部控制的定义: “内部控制包括组织的计划和企业为了保护资产,检查会计数据的准确性和可靠性,提高经营效率,及促使遵循既定的管理方针等所采用的所有方法和措施”。

(3)从内部控制的起源和发展来看,最早的内部牵制本身就是基于企业财物的安全性和信息的真实性的需要而产生的,而财物不安全和信息不真实正是当时企业面临的基本风险。内部牵制是基于对这类风险的控制需要而产生的,内部牵制本身就是风险控制。

(三) 两者的关系。综上所述,内部控制与风险管理有着共同的本质――风险控制。将风险组合管理观念引入了风险控制中,使风险控制更加具有科学性和可实践性; 将战略目标引入其中,使得风险控制上升到战略层次,使得企业在实施控制时也会更加系统化和周密化; 将风险控制的范围扩大,用整体化的眼光来看待个别风险和总体风险。因而风险管理是包含内部控制的,并且引导着内部控制向着风险管理的方向发展。

二、内部控制与风险管理关系的现实协调

目前,很多国家为了建立风险导向的内部控制而制定一系列规范或文件将两者结合起来,我国也采取了这样的做法。2007 年 3月由财政部颁布的《企业内部控制规范――基本规范》(以下简称基本规范)和17项具体规范(征求意见稿)合理借鉴了以美国COSO报告为代表的国外内部控制框架,根据我国国情进行了调整和改进,在以下几方面体现了内部控制和风险管理关系的现实协调。

(一)目标体系上的协调。基本规范第4条对内部控制的目标做出了详细规定,“内部控制,是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动: 企业战略; 经营的效率和效果; 财务报告及管理信息的真实、可靠和完整; 资产的安全完整; 遵循国家法律法规和有关监管要求”。由此可见,风险管理框架中对战略目标的表述认定战略目标属高层次目标,它与企业的使命相关联并支撑着企业的命运。

(二)要素分解上的协调。基本规范对风险评估要素定义为: “是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。”风险评估主要包括目标设定、风险识别、风险分析和风险应对。对风险评估要素的分解,实质上对应的就是企业风险管理框架的风险评估要素的分解。将风险定义为对实现内部控制目标可能产生负面影响的不确定性因素。而事项则是包含风险和机会,从这一方面看来, “事项”更加合理化和综合化。

第6篇:内部控制的风险评估要素范文

关键词:企业组织目标内部控制风险管理

一、内部控制与全面风险管理的相关概念

(一)内部控制

所谓内部控制是指经济单位及各组织在经济活动中所建立起的一种互相制约的业务组织形式及职责分工制度。可以说内部控制是一个过程,该过程受着企业组织内部各个人员的影响,其目的是为了优化经营管理,提升企业的经营效益。内部控制的要素共分为控制环境、风险评估、控制活动以及信息与沟通和监督等五个,如下图1所示。

(二)全面风险管理

所谓风险管理是指在一个存在风险的环境中,如何将风险降至最低的管理过程,该过程包括了对风险因素的评估、度量以及制定应变策略等。理想的风险管理是一个将优先次序排好的过程中,其中可能引起最大损失以及最可能发生的事情进行优先处理。但是实际情况中,排列优先次序的过程相对比较困难,因为风险与其发生的可能性并没有一定的规律可循。由此可见,风险管理需要整个公司所有人员的共同执行与参与。风险管理要求包括内部环境、目标制定、事件识别、风险评估、风险反应以及控制活动、监督和信息与沟通等八个。其如下图2所示。

二、内部控制与风险管理的异同

(一)重视内部控制与风险管理的相关性

企业内部控制和风险管理的相关性体现在以下几个方面:

第一,内部控制及风险管理都是指过程化的管理,相对而言内部控制呈现出动态管理的特点,它促使企业经营朝向既定的组织目标而努力,但是它又不是组织目标的一部分,而是促使目标达成的手段,内部控制各要素对其产生直接的影响。全面风险管理同样是一个过程,但是其相对内部控制而言,从某种意义上表现出一种静态性,即其贯穿于企业的各项业务活动中,管理过程的各方面均有风险管理各要素的渗透。

第二,影响内部控制及风险管理的因素相同,企业组织架构中各个层次的人员,诸如董事会、管理层或者其它的相关人员,他们的互相影响和作用会对内部控制产生直接的影响,它不但包含了内部控制政策及相关的控制表单,各层次人员的作用也包含在内。此外,在控制过程中,每个成员不仅是被控制的对象,也会是实行控制的控制者。而对于风险管理而言,其整个过程也强调人的参与,它与整个企业的所有相关人员均有着密切的关系,而企业管理者在进行风险管理时要有一个宏观架构方面的风险组合观念。

第三,内部控制和风险管理的手段相同。无论是内部控制还是风险管理,均是通过风险评估来实现对应的管理目标。企业在实行内部控制的过程中,风险评估是其中必不可少的一部分,它的主要作对是对影响目标实现的各种不确定因素加以辨别,从而再针对风险管理的方法做出决定。控制与风险是两个密切相关的概念,而企业要提升其内部控制的效率及加强内部控制的效果,最主要的就是要进行环境控制及风险评估。企业在进行风险评估的过程中,通常要经过风险辨识、风险分析及应对控制等各个环节。同样,在风险管理中一样要先确定出组只目标,在剩余及固有的基础上评估风险,对其影响企业目标实现的程度做出分析与判断,并以此为基础进行风险管事,从而为企业合理的配置管理资源提供更为合理的依据。

第四,内部控制与风险管理的目的相同。无论是内部控制还是风险管理,其最终的目的都是保证企业组织目标的顺利实现。因为内部控制本身有一定的限制,比如成本控制、人为错误或者管理越权等等,所以内部控制只可为企业管理提供相应的保证,但无法做到绝对保证。而风险管理同样也是为了识别对企业经营目标会产生影响的因素,并有针对性的加以管理,以促使企业可以在经济预算合量的基础上,判断出其风险偏好。

(二)内部控制与风险管理的差异

内部控制风险管理的差异表现在两点:

其一,内部控制与风险管理的侧重点不同。相对而言,内部控制更加侧重于制度层面,其通过制定规章制度促使各层人员遵守制度来规避风险;而风险管理的侧重面更体现在交易层面,即其规避风险的手段为市场化的自由竞争或者市场交易等。通常而言,内部控制的目的是提高会计信息的真实性及资金的安全性,其核心是会计控制。内部控制通常仅限于财务部门及其要关部门,在企业管理过程或者整体的经营系统层面,内部控制只是管理职能中的一项。而全面风险管理则更加侧重于在特定的业务中,与战略选择及经营决策有关的风险和收益的比较,比如利率风险、汇率风险管理以及银行授信管理等等,可以说在整个管理过程中均渗透着风险管理。由此可见,风险管理是内部控制在技术与市场条件下的自然延伸,内部控制是风险管理的前提与基础,而风险管理中包括了内部控制。

其二,内部控制及风险管理所涉及到的风险的范围不同。内部控制过程中,经营管理活动既要对内部风险做出评估,又要评估外部的风险。内部控制的过程涉及到整个公司所面对的、并且公司内部各相关人员所经营的各类外部及内部风险。而风险在实际的企业运营过程中却是客观存在的,相对于内部控制而言,风险管理与其最大的不同就是对特定业务的战略评审更为关注,其主要目的是通过对不同公司业务领域内风险和报酬间的比较,实现收益最大化的企业经营目标。

三、内部控制与风险管理的有效整合

(一)内部控制要服务于企业经营者的目标

所谓控制就是控制者对受控者的一种能动作用,受控者根据控制者的作用而进行相应的行动,从而实现系统目标。尽管设定内部控制目标不属于内部控制的组成要素,但是它是实施内部控制的前提,促进内部控制的关键条件,属于过程管理中的一个重要组成部分。内部控制目标的制定对内部控制而言,意义重大,其对是否有必要存在内部控制有着决定性的作用。一个完善的内部控制对企业经营目标的实现有着直接的影响,它帮助企业经营者实现其预定经营目标。管理目标包括合理的资源配置、科学的决策、最低的成本控制、最优的质量管理以及利润最大化。在企业组织目标中,该五个具体的管理目标是互相联系、互相支持的:企业设施配置的关键就是资源配置;而企业经营的方向性是由管理决策来决定的;产品成本目标是实现利润最大化的重要条件之一;质量管理目标则是保证企业永续经营的必备条件;而财务目标即利润最大化,是企业经营的源动力,也是其它目标综合作用的最终成果。只有实现了这五个目标,才能够保证企业整个经营管理目标的实现。

(二)内部控制对实现组织目标的间接作用

因为内部控制制度所体现的是控制主体即企业经营者的意志,因此如果控制主体不同,其内部控制的目标必然不同。内部控制目标还要按照企业的法人治理结构的不同层次进行具体的细分,将内部控制目标层层落实到各级单位及部门。企业各层次相关人员进行内部控制的主要目标就是降低经营风险,减少虚假会计信息,保证管理者的经营目标可以顺利实现。但是企业管理中必然存在激励机制,管理者的目标与企业组织目标不得背道而驰,其最终的目标仍是为了实现企业组织目标而服务。一个有效的内部控制机制不但可以实现企业资源利用率最大化,有效的降低成本,还能够促进企业向着良性化的方向发展。随着市场经济的不断发展,人们的经济意识也在不断的提高,企业所处的经营环境的不确定性也越来越高,企业契约的不完备性就随之增强,因此各企业经营者对内部控制的研究越来越重视,以期能够通过合理的内部控制消除不完备契约所导致的逆向选择及道德风险,最终促企经营目标得以顺利实现。

(三)全面风险管理概念可以取代一般性的风险管理

我们可以用全面风险管理的概念取代企业经营过程中的一般性的风险管理。全面风险管理概念中提出,无论哪种类型的企业均或多或少面临着各种不确定性,来自于各方面的风险与机遇是并存的。而对于企业的经营管理者来说,最大的挑战是在企业为各利益相关者创造价值的过程中,对企业承受伴随价值增加而来的风险的能力。企业的全面风险管理机制的有效性越高,管理者对不确定的风险及机遇的处理能力就越高,从而使得企业创造价值的能力得到最大程度的提升。

(四)全面风险管理中企业目标与各要素间的关系

在全面风险管理概念中,企业目标分为战略、经营以及呈报与合规等四类,其所反映的是企业的不同层面的不同需求,针对企业各层次人员确定其相应的责任。而上文中也提到全面风险管理的要素包括模块,这些要素最终的目的就是服务于企业的四类目标,无论企业中的哪个层次均要通过这模块对各自的企业目标进行全面风险管理。全面风险管理并非绝对意义上的单循环步骤,而是一个重复性的、多向性的过程,在这个过程中,每个要素均会对其它要素产生影响,并且受其它要素的影响,即每个风险管理组成要素是和四类目标互相纵横交错的。因此风险管理目标与其各要素之间存在着直接的联系,即目标是企业努力的方向,而风险管理要素则是实现这一目标所必须的条件。

此外,风险管理的各个要素还是评价企业风险管理水平的标准。企业风险管理的构成及目标不仅是建立健全企业风险管理过程的基本依据,也是对其有效性做出评价的标准。评价企业风险管理的有效性,要看全面风险管理的八个构成要素是否同时存在,其运行是否有效。而且在不同的主体中,风险管理各个要素的具体运行也是各不相同的。

(五)利用全面风险管理评价企业目标实现的程度

针对全面风险管理的八个要素,及其在企业经营管理中是否发挥了有效的作用,我们可以以此为依据判断企业目标实现的程度,所以从这个意义上来讲,全面风险管理的要素就是评价企业目标的实现程度的标准。如果企业的风险管理体系这八个要素并存且能够正常发挥作用,证明该企业基本上没有太大的缺陷存在,风险管理方面也能够将其控制在一定的范围内。不过不同的企业风险管理各要素发挥作用的程度也各不相同,并且也不是绝对的,一些企业即使全部具备了所有的要素,但是也无法绝对保证可以实现企业经营目标,这是由于风险管理自身存在着无法克服的局限性,这些局限性体现在人员决策判断失误、控制制度的建立受着成本管理的约束、一些人为的简单错误造成风险管理的中断、企业内部人员互相勾结使得内部控制制度失效或者管理者凌驾于控制制度之上等各方面,正是这些局限性使得企业经营管理者无法绝对保证可以百分百实现企业目标。

参考文献:

[1]郑小荣,王美英.内部控制法制化的理论依据――法律特征与实践影响[J].当代财经,2010(4)

[2]郑小荣.试论内部控制法制化的三大弊端[J].财会研究,2010(18)

[3]王美英,郑小荣.对内部控制审计与财务报表审计整合的思考[J].财务与会计,2010(7)

[4]孟杰.基于全面风险管理的企业内部控制实施探讨[J].财经界,2009(11)

第7篇:内部控制的风险评估要素范文

关键词:内部控制;架构设置

中图分类号:F270 文献标识码:A 文章编号:1001-828X(2012)02-00-02

一、我国上市企业内部控制制度架构设置背景分析

2008年6月,财政部、证监会、审计署、银监会、保监会五部委联合了我国第一部《企业内部控制基本规范》,要求上市公司自2009年7月1日起率先施行,同时鼓励非上市的其他大中型企业执行。随后,2010年4月26日,五部委又联合了《企业内部控制配套指引》,包括《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前的《企业内部控制基本规范》,标志着适应我国企业内部控制规范体系基本建成。为确保企业内控规范体系平稳顺利实施,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。此举标志着我国内部控制监管新要求即企业必须确立其内部控制基础框架。因此,现阶段,我国大中型企业尤其是上市公司所面临的重要任务就是如何贯彻和执行企业内部控制基本规范及其配套指引,而对于拟上市的企业而言加强其内部控制制度建设也显得尤为重要。

但从现实情况来看,我国上市企业内部控制制度建设情况不容乐观。根据德勤会计师事务所对我国企业内部控制的调查,目前多数上市公司开展内部控制制度建设的最初动机是应监管机构的要求,且大多数企业内部控制制度的执行效果也未达预期。归根结底,这些问题的出现是源于现阶段我国上市企业对内部控制的认识不足,很多企业管理层对内部控制的认识局限于控制活动导致企业内部控制制度架构设置不合理。具体来说,目前我国很多上市企业还未营造出良好的公司控制环境,同时缺乏科学的风险管理机制、信息沟通机制以及有效的监督机制,这些问题都是目前我国上市公司内部控制制度架构设置不合理的表现。

二、基于《企业内部控制基本规范》的内部控制架构要素分析

(一)内部环境。内部环境是企业实施内部控制的基础,是其他内部控制组成要素的基础,对企业内部控制的整体目标的实现具有根本性的影响。具体来说,企业内部控制环境包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。企业应当建立规范的公司治理结构和议事规则,企业章程应当对股东会、董事会、经理层、监事会各自的权力与职责做出明确的规定。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作,为内部控制的有效运行建立良好的环境基础。另外,对于企业内部控制体系的建立,管理层要注重强调公司所有员工的全员参与。企业应当制定科学的人力资源政策,加强员工的培训工作,切实加强对员工的法制教育,同时要建立科学的人员考核和晋升程序。最后,企业应当进一步加强文化建设工作,为企业内部控制制度的有效运行构建良好的道德基础。

(二)风险评估。所谓风险是指目标不能实现的可能性。随着市场竞争越演越烈,企业所面临的风险也日趋多样化。内部控制存在的一个重要的价值意义便是可以降低企业意外风险。因此,风险评估也是企业内部控制框架中一个极其重要的要素。所谓风险评估,是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略的过程。企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。企业风险包括内部风险和外部风险,企业应该根据自身的实际情况确定相应的风险承受度并采用科学的评估方法,进行风险分析,根据风险分析的结果,确定风险应对策略以实现对风险的有效控制。

(三)控制活动。控制活动可以降低风险发生的可能性,根据《企业内部控制基本规范》,企业应该根据风险评估的结果,采用相应的控制措施,将风险控制在可承受度之内。具体来说,企业的控制措施主要包括内部牵制、授权审批控制、会计内部控制、资产安全控制、预算控制、运营控制和绩效考核控制等。

(四)信息与沟通。充分的信息沟通对企业的控制环境、控制活动及其风险评估都起着至关重要的作用。企业应及时、准确地收集、传递与内部控制相关的内外部信息,确保信息在企业内部、企业与外部之间进行有效沟通,促进内部控制有效运行。企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。同时,企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。

(五)内部监督。面对内外部环境的不断变化,企业需要实施必要的监督检查来确保内部控制的持续和有效运行。企业应当对内部控制建立与实施情况进行监督检查以评价内部控制的有效性并争取在监督的过程中发现内部控制缺陷并及时加以改进。企业应制定出完善的内部控制监督制度,并指定专门的机构负责对企业内部控制的监督。

以上内部控制的五个要素之间具有相互支持、紧密联系的逻辑关系,其中,内部控制环境是内部控制的基础,而风险评估是企业采取控制活动的依据,监督是对内部控制有效实施的保证,信息与沟通在其中起着承上启下、沟通内外的关键作用。上市企业的内部控制建设工作,决不能把这五个要素分裂开来,上市公司的管理层应该充分认识到,企业的内部控制建设是一个架构设置的系统化的过程,只有把以上要素结合起来才能够合理的保证企业控制目标的实现。

三、完善上市企业内部控制架构的具体措施和建议

(一)加强内部控制环境建设理念。这首先需要我国上市公司管理层转变内部控制理念,从“要我控制”转变为“我要控制”,切实提高管理水平,将内部控制理念真正融入到企业的运作中。其次,企业应进一步完善公司治理机构,上市企业应改进“三权”制衡体系,要使中小股东的权力在股东大会和董事会中有所体现,要强化监事会的权力,确保监事会责权利的落实。另外,上市公司应切实保障两权分离,限制董事会与经理班子的重合,同时加强董事会的建设。另外,在现阶段,我国上市公司的内部审计机构都设置在公司董事会的领导下,独立性未得到充分的保证,因此建议建立监事会领导下的内部审计机构。最后,上市企业应重视的企业文化培育,上市公司应致力于建立一种诚信自律的企业文化,使全体员工能自觉维护内部控制的有效执行,从而形成企业自觉执行内部控制的氛围。

(二)强化全方位风险管理。首先,上市企业应树立全面风险管理的管理意识,从整体层面提升风险管理水平。其次,上市公司可以考虑设置专门的风险管理部门,统筹制定风险管理方案,建立科学的风险评估机制。企业应事先设定风险预警指标,使企业能随时识别企业运作中的薄弱环节,并切实加强风险应对能力。

(三)切实强化内部控制监督机制。首先,企业应加强内部审计机构的独立性,可以考虑在监事会下设置审计委员会增强其独立性,其次企业应保证内部审计人员的专业胜任能力性。最后,上市企业可以采取增加内部控制检查频率、落实内部控制考核工作等具体的监督措施,切实强化对内部控制的持续性监督。

(四)监管机构应加强对内部控制框架建设的推动作用。目前,我国很多企业在实际工作中还没有建立起一套有效的内部控制体系。监管方应进一步加强对企业内部控制建设的规范引导,建议相应的监管机构加大宣传力度,定期、不定期地组织企业管理层参加相应的专业培训、研讨,消除管理层因担心执行成本过高而被动遵循的顾虑。

参考文献:

[1]陈志斌,何忠莲.内部控制执行机制分析框架构建[J].会计研究,2007(10).

[2]黄国轩.基于风险管理的内部控制创新[J].财会通讯,2008(03).

第8篇:内部控制的风险评估要素范文

关键词:内部控制;信贷风险;风险管理

中图分类号:F830.5 文献标志码:A 文章编号:1673-291X(2013)24-0135-02

随着中国金融业改革开放步伐的加快和金融监管水平的不断提高,银行监管部门对商业银行健全内部控制体系提出了新的更高的要求。

一、商业银行内部控制、信贷风险管理基本理论

(一)商业银行内部控制的基本理论

1.商业银行内部控制的内涵。商业银行的内部控制是指,商业银行通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制,以保证商业银行经营目标顺利实现。

2.商业银行内部控制的要素及程序。内部环境、风险评估、控制活动、信息沟通、监督检查。商业银行内部控制的程序是 “设计—执行—评价—改进”的循序渐进并且循环往复的过程,而内部控制五要素贯穿于整个程序。

3.商业银行内部控制的方法。有四种方法:分散风险、抑制风险、风险自留和风险转嫁。

(二)商业银行信贷风险管理

1.商业银行信贷风险。信贷风险会引发流动性危机,因为贷款无法及时收回直接影响到银行自产的流动性。利率风险会导致信贷风险:当利率大幅上升时,借款人偿债能力下降,不能偿还贷款的可能性就会上升,引发信贷风险。信贷风险是外部因素与内部因素的函数,外部因素包含社会政治、经济变动或自然灾害等,内部因素是商业银行对待信贷风险的态度,具体体现在银行的贷款政策、信用分析以及贷款监督的质量上。

2.商业银行信贷风险管理。商业银行风险管理是指由商业银行通过风险的识别与分析、评估与测量、监控与报告以及采取有效措施来预防、规避、转移、分散风险,实现收益与风险之间的平衡。风险管理的构成要素为内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息沟通、监督检查。

(三)内部控制与商业银行信贷风险管理

风险管理除了比内部控制增加了目标设定、事项识别及风险应对三个要素之外,两者的重合要素内涵也有扩展。内部控制是风险管理的重要组成部分,基本上涵盖了风险管理中事项识别、风险评估、风险应对、控制活动、信息沟通、监督检查中的大部分内容。内部控制偏向于企业内部,而风险管理更偏向于企业战略角度,是内部控制的延伸,也是未来内部控制的发展方向。

二、中国商业银行信贷风险管理问题分析

(一)内部环境不佳

(1)所有权和经营权分离不彻底。商业银行未能实现完全脱离政府的自主经营、自负盈亏。(2)组织架构复杂,机构臃肿、管理层次多、工作效率低。(3)绩效评价体制不合理。

(二)风险评估质量低

1.信用调查系统不完善。信贷领域的风险管理发展相对较好,但是也仅仅局限于对财务报告的分析,其他专业的信用评级机构对于授信对象的评级资料十分匮乏。具体到个人消费贷款或不动产零售贷款等,银行难以对其个人的真实信用度进行调查,贷款风险不能得到正确评价,风险评估结果严重偏差。这就导致了假按揭和骗贷现象严重,使得中国的消费贷款市场和住房抵押贷款市场蒙受巨大的风险。

2.风险量化分析手段单一,技术落后。中国商业银行的风险管理人才储备不够,风险量化分析手段单一,管理粗放,信用调查风险分析的过程中定性分析占据很大的比例,进行风险预测时主观判断多,缺乏客观性和科学性。

(三)控制活动实施不到位

1.内部控制体制不完善。风险管理部门风险反应滞后,甚至完全不能发挥作用。部分部门岗位分工不明确,职责分离落实不到位。很多银行的业务流程环节多、周期长,但多是由于重复劳动、效率低下所致,并未有效控制风险。

2.风险控制操作水平低。一方面,在实际的操作过程中缺乏信贷资产组合管理的思想,风险管理定位常局限于风险的抑制而忽略风险分散,贷款投向十分单一。另一方面,风险转嫁能力不足,贷款证券化尚未能完全实现,商业银行很难通过贷款卖出等较为复杂的手段实现风险转移。

3.授信管理水平低。授信管理应贯穿于授信过程的始终,银行一般贷前审查要求严格,但忽略贷中检查以及贷后追踪的完整过程。另外,在授信风险问题集中的部分缺乏授信限额的思想,当部分行业、授信产品、授信对象风险恶化或宏观环境重大改变时,主要依靠回收审批权限、暂停审批的办法进行个案处理,非常典型的案例即房地产贷款审批。

三、中国商业银行信贷风险管理的发展建议

(一)创造良好内部环境

1.完善公司治理和组织架构。第一,形成多元化的产权结构,第二,优化组织架构和部门设置。建立董事评价制度和责任可追溯制度,实现公司治理结构各部分的协调配合以及不同管理层级、不同部门机构、不同利益主体之间的有效制衡。

2.建立风险审慎的绩效评价体制。在进行绩效考核时,应整合风险意识与发展意识之间的冲突,纠正过分看重短期利润、片面追求业务发展的错误倾向。

(二)完善风险评估体系

1.健全信用调查机制。应尽快建立起完善的银行业信用数据库和贷款违约损失的时间序列数据库,解决运用模型进行定量研究所面临的数据库缺乏的瓶颈制约问题。商业银行要加强数据质量管理,确保数据真实、准确、完整、可靠,加快建设信息数据库,为风险决策提供充分的信息支持。国家层面应建立全国性的公民信用记录数据库,实现各金融机构、公安部门的数据互联。另外,建立真正独立的权威的信用评级机构,规定信用评级的“准入”条件,严格规定评级机构的资格。

2.引入先进评估技术和工具。中国商业银行要积极借鉴国外的成功经验和技术,加强先进风险计量工具的应用,特别是在风险评估时引入定量分析工具,以定量分析弥补定性分析粗放管理的不足,通过风险的定性分析和定量测算,正确评估风险状况和程度,为风险监控提供切实有效的依据。同时,商业银行应当努力开发和运用适应自身发展的量化方法和动态模型,提高风险计量模型对风险状况的敏感度,注意风险量化数据的收集和积累,重视风险管理信息系统的建设,不断提升风险识别与评估的技术水平,更加全面有效地掌控风险,提高风险管理的科学化、精细化程度。

(三)坚决落实控制措施

1.建立严密的风险管理制度体系。商业银行应明确各部门职责权限,建立并严格执行重要岗位权力制衡机制、监督制约机制。同时,严格保证审贷分离,成立审查委员会和审批委员会进行集体决策,保证风险管理部门的决策权,完全分离风险管理部门与贷款业务部门,在权责上保证风险管理部门与业务部门的同等地位。

2.提高风险控制操作能力。一方面,充分利用资产组合管理的理论,在对单项业务、单个地区、某个行业信贷风险评估的基础上进行相关因素的综合考量,实现组合风险评估,得到最优的风险控制资产组合,实现金融工具组合多样化、资产负债期限的组合多样化、信贷投放区域分散化的组合式策略。另一方面,推动贷款证券化进程,积极拓展金融衍生产品市场实现风险的转嫁。

3.提升授信管理水平。将授信管理思想贯穿于信贷业务的始终,明确事前控制、事中控制、事后控制的流程化思想,建立统一的授信管理制度,实现授信风险责任制,针对授信风险集中问题进行定性、定量分析,实现授信限额管理,实现信贷风险管理的专业化和主动性。

(四)确保信息沟通顺畅

1.加快管理信息系统的建设。充分运用现代信息技术的力量,建设能覆盖所有经营活动的安全可靠的管理信息系统,实现信息的最大共享与有效沟通,保证组织机构内部各层级、各部门之间信息的充分流动。另外,银行业之间相互协调,建立标准规范、口径统一以实现共享的数据库分享平台,实现银行与银行之间管理信息的沟通交流。于此同时,要加强对管理信息系统本身的控制,防范信息系统本身的漏洞,提升这个信息系统的安全性,持续关注信息科技风险防范,着力降低信息系统的脆弱性。

2.规范信息对外披露的行为。商业银行应当准确、充分、及时地披露对投资者和监管机构而言十分重要的有关经营状况、重大风险、潜在风险、财务状况、资产水平等相关信息。在一定程度上帮助信息使用者了解银行经营管理的基本状况,主动寻求外部环境的监督监管,利用外部监督完善内部风险控制的管理漏洞,实现银行自身以及信息使用者的共赢。

(五)完善监督检查机制

1.保持监控部门的独立权威。为了确保内控制度切实有效地执行,商业银行建立具有独立性、权威性的内部监督稽核部门,构建隶属总行直接领导、独立运作内审体系,实行对全行系统审计监督部门的垂直管理,下级监督稽核部门由总行内部监督部门派驻人员。其调查审计结果直接向董事会、监事会以及总行内部审计部门报告,人事任免权等完全脱离分行。派驻人员实行定期轮换制,总行内审部门定期对下级部门的工作状况进行检查,确保监督稽核部门的完全有效审查。

2.建立完善的监督检查流程。稽核部门的审查流程贯穿于经营业务的始终,信贷业务方面,从信用调查和分析、信用决策以及信用追踪和收账这四个步骤全程参与、全程监管,对商业银行内部审计的质量随时进行穿行测试,及时报告,随时修改,保证内部控制制度的严密性以及信贷风险管理的有效性、科学性。

参考文献:

[1] 胡心怡.内部控制在银行风险管理中问题及对策[D].南昌:江西财经大学,2009.

第9篇:内部控制的风险评估要素范文

摘要:随着高等教育事业的快速发展,高校内部经济活动的日趋复杂,高校财务管理工作中出现的问题也日益凸显。2012年11月财政部了《行政事业单位内部控制规范(试行)》,体现了内部控制在高校财务管理工作中的重要地位。本文基于对《行政事业单位内部控制规范(试行)》的思考,通过分析内部控制视角下高校财务管理存在的问题,进而探讨如何构建高校财务内部控制体系,提升高校财务管理工作质量。

关键词 :高校;财务管理;问题分析;内部控制体系

一、引言

近年来,由于市场经济的不断发展,高等教育体制改革的不断深入,高校财务管理出现了一些与所处的现实环境与整体发展不相适应的问题,因此,加强内部控制、构建高校财务内部控制体系则成了高校财务管理工作的重点。2012 年11 月财政部出台了《行政事业单位内部控制规范(试行)》并于2014 年1 月1 日起在所有行政事业单位施行,这将进一步规范和指引我国行政事业单位包括高校内部控制体系的建设。

高校内部控制是指高校为了保证教学、科研的正常有序进行,维护自身资产的安全有效使用,确保财务信息的真实完整,加强高校经济活动的风险防范和管控,通过制定制度、实施措施和执行程序而构建的一套动态管理控制系统。内部控制能保证财务管理机制良好地运行,因此,从高校财务管理面临的困境和当前的政策背景来看,基于内部控制视角研究高校财务管理工作则成为了目前高校非常紧迫的课题之一。

二、内部控制视角下高校财务管理工作存在的问题分析

(一)高校财务内部控制环境存在缺陷

1.财务内部控制制度不健全。建立内部控制制度是保证单位经济活动正常进行的基础,而目前高校财务内部控制制度并不健全,首先,缺乏具体针对高校财务内部控制规范性文件。至今为止,我国出台的相关内部控制的规章制度,其主体大多是企业,2008 年颁布了《企业内部控制基本规范》,对于行政事业单位,2012 年11月才出台了《行政事业单位内部控制规范(试行)》。而且这一规范并不是专门针对高校,缺乏具体可行的配套指引,这在一定程度上使高校财务内部控制制度建立的规范性与科学性得不到有利保障。其次,高校自身制定的财务内部控制制度不健全。有些高校将某些规章制度如财务管理办法等等同于内部控制制度,而且内容笼统不具体,或控制内容、范围等不全面,缺乏科学性合理性,可操作性弱。由于财务内部控制制度不健全,更没有建立防范约束的财务内部控制体系,致使财务管理上存在一些漏洞,导致某些舞弊事件的发生。

2.内部控制意识淡薄或观念偏差。根据COSO报告,内部控制由控制环境、风险评估、控制活动、信息与沟通、监控五要素构成。控制环境是其他要素的基础,而在控制环境中管理理念与经营风格又是核心。管理理念中就包含了对内部控制的认知、态度。目前我国高校领导层和财务人员对内部控制的认识不深入,有些高校领导层认为内部控制仅仅局限于一些规章制度,或是仅仅适合于企业,而具体财务人员则忙于应付日常工作事务,对内部控制的意识淡薄。即使有些高校领导层与财务人员对内部控制有一定的认知,但往往将内部控制等同于内部会计控制,观念产生偏差。内部控制分为内部会计控制与内部管理控制,内部会计控制的首要目的是保障财务信息的可靠性,是内部控制的基础,而管理控制是实现战略目标,落实战略执行的过程,是内部控制的核心。因此,仅注重内部会计控制的约束效用已难以实现有效的控制结果。

(二)定期风险评估机制缺失

经济和社会的不断发展推动着高等教育规模的逐渐扩张,在高校扩大招生规模的背景下,很多高校采取“银校合作”的措施,举债进行基础设施建设,这使得高校发展中的财务风险等一系列问题日益凸显出来。《行政事业单位内部控制规范(试行)》也提出“单位应当建立经济活动风险定期评估机制,对经济活动存在的风险进行全面、系统和客观评估。且至少每年进行一次。”然而,目前大部分高校内部缺乏一套完整的风险评估机制,第一,风险意识不强,没有积极主动地去识别高校经济活动中存在的风险;第二,在组织与人员配置上缺乏专业的风险评估人员及风险分析团队;第三,未能采用定性与定量相结合的风险评估方法对各类风险进行评估分析与排序,从而确定重点控制的风险。

(三)关键环节管理不科学

《行政事业单位内部控制规范(试行)》中从业务层面上规定了六个方面的内部控制规范:预算业务控制、收支业务控制、政府采购控制、建设项目控制、资产控制和合同控制。而从内部控制角度出发,高校在财务管理方面应抓住预算业务控制、收支业务控制、货币资金控制三个关键环节,目前我国高校财务关键环节管理并不科学。一是预算管理不到位。预算编制不全面,缺乏充分的论证分析与一定的透明度;预算执行缺乏相应的跟踪、分析与评价机制;预算调整又过于随意。二是收支管理制度难以严格实施。有些高校部门院系有一定的财务自主权,但对其收入缺乏有效的监管,造成擅自收费,不经物价部门备案且票据也未统一管理等现象。支出也出现资金不能专款专用,挤占资金,挪作他用等违规现象。三是资金管理不规范。高校中资金管理特别是科研项目资金管理中出现了项目管理与资金管理脱节、预算使用缺乏监管、报销违规,科研资金流失等现象。

(四)信息与沟通机制不完善

目前高校财务内部控制的信息与沟通机制并不完善,首先,内部信息与沟通渠道不通畅。虽然大部分高校都实现了办公系统自动化,但仍缺乏一个有效机制使管理层能及时共享内部控制的相关信息,而且财务部门与各行政部门、各学院之间的沟通缺乏一个有效及时的平台,导致财务信息无法及时传达与获取,影响财务部门的工作的效率与效果。其次,外部信息与沟通机制也不完善。高校虽然不像上市公司受法律法规约束要求定期披露财务报表与内部控制报告,但过于封闭的财务信息也不利于高校与外部单位的沟通交流。长远来看,对给高校带来一些支持与资助方面、高校长期良性发展方面会有一些不利的影响。

(五)内审监督缺乏力度

对于高校的财务管理而言,内部审计部门可以说是对内部控制的再控制。目前我国高校的内审部门通常存在以下几个方面问题:第一,内部审计的独立性不强。我国高校内部审计部门大多作为辅助机构存在,使内审部门缺乏应有的独立性。第二,内部审计的范围狭窄。内部审计部门对各类财务工作事前审计多,缺乏事前和事中的监督管理。且并未涉及或深入到管理领域,常规审计多,重点专项审计较少。第三,内部审计还普遍存在着人员不足、专业素质不高、审计方法过于传统等问题。这些问题将直接影响内部审计的质量,导致内部审计的监督力度缺乏、能力减弱。

三、构建高校财务内部控制体系

高校财务管理与内部控制最好的结合点就是构建高校财务内部控制体系,而财务内部控制体系的构建依赖于内部控制五要素即内部控制环境、风险评估、控制活动、信息与沟通、监控的完善。将财务管理工作融入内部控制要素内涵中,结合高校这个组织形态的特点,构建高校财务内部控制体系如图1:

(一)营造良好的内部控制环境

内部控制环境决定了整个内部控制体系的基调,在高校财务内部控制体系的建立与实施中发挥着基础性的作用。根据高校财务部门的特点,高校财务内控环境包括外部环境即对内部控制效益产生重大影响的政策制度等,以及内部环境即机构设置与权责分配、治理结构、管理理念与经营风格等。下面,我们从内外部环境论述如何营造良好的内部控制环境:

1.完善财务内部控制相关制度。目前虽然还未形成针对高校制定的内部控制基本规范及一系列的配套指引,但企业已建立了一整套较为完善的内部控制规范体系,高校虽与企业组织形式不一样,内控内涵也有异,但高校可以加以参考,并根据自身的实际情况以及财务环境,通过学习、探讨、调研等方式制定出适合高校以及高校财务工作且具有可操作性的内部控制制度(包括内部控制应用指引、评价指引以及审计指引),以保证内部控制体系的建立有章可循,指导高校财务内部控制工作的顺利开展,最终使高校财务管理的规范性和科学性得到保障。

2.构建网络型扁平化的财务部门组织架构。组织架构是高校财务部门明确内部机构设置、职责权限、人员编制、工作流程和相关要求的制度安排。包括机构设置与权责分配、治理结构。网络型扁平化组织架构的特点包括三个方面,第一是压缩了财务部门自上而下的垂直结构,减少了管理层级,增加了管理幅度,从而使信息在高层与基层员工之间传递的距离缩短,流动更快捷;第二,虽仍存在科室的分工,但科室之间的界限被打破,知识信息不再仅通过等级制度垂直渗透,而是能在水平方向快速传播;第三,以工作流程为中心而不再以科室职能的区分来构建组织架构。这种组织架构使财务部门成为了一个由科室界限不明显的员工组成的网状联合体,内部控制层次明显减少,上下级获得信息的对等性大大提高,等级制度的弱化使得管理层不再是控制层面的上层,而成为内控的行动中心,有利于形成决策权、执行权和监督权的合理分配,相互制衡的有效机制。

3.转变财务部门人员内控定位。高校内部控制包括会计控制与管理控制。从高校的控制目标来看,会计控制的目标是保障财务信息的真实可靠,而管理控制的目标是提升高校公共服务的效率效果,最终实现高校战略目标。公共服务效率效果的提升是内部控制的最高目标,因此,管理控制占据了内部控制的主导地位,内部控制的核心应由会计控制向管理控制转变。正如《行政事业单位内部控制规范(试行)》中定义的内部控制目标,分为三个阶段(如图2):法规控制、会计控制、管理控制。法规控制是内控的前提,会计控制是内控的基础,而管理控制是内控的核心与主导。从控制过程来看,管理控制是执行战略的过程(Anthony,1998),对高校各层任务的完成起着正向的促进作用,鼓励其完成甚至超额完成任务,是高校运营管理的明线。而会计控制以边界控制为导向,只需在规定范围和要求内完成任务,激励效应相对较弱,是高校运营管理的暗线。会计控制不能直接促成高校战略目标的实现,因此,内控的功能定位应向管理控制转变。高校财务部门人员应及时认识到内部控制功能定位的转变,重视管理控制,转变内控观念的定位。

(二)建立完善的高校财务风险评估机制

风险评估是单位及时识别、系统分析经营活动中与实现内部控制目标相关的风险,并合理确定风险应对策略。2004年4月美国COSO委员会结合萨班斯法案,在《内部控制整体框架》的基础上,出台了《企业风险管理框架》,凸显出企业风险管理的重要性。而在内部控制体系中,内控本质是对易发生风险的经济活动进行控制,规避风险。从这一意义上讲,内部控制与风险管理之间有着共同的环节,如图3。在两者循环过程中,在风险识别的基础上进行的风险评估成了内部控制与风险管理的融合点,也是内部控制体系建设中至关重要的一部分,并且贯穿于内控循环的整个过程。

建立完善的高校财务风险评估机制首先需要财务人员牢固树立财务风险意识,随时关注学校运行中的财务风险。其次,将专业的风险评估人员组成风险分析团队,形成一套严格规范的程序,按照程序开展风险评估工作。最后,先从组织层面和业务层面识别风险,组织层面注重内控组织情况、制度完善情况、机制建设情况等可能带来的风险,而业务层面上就财务内控关键点上识别主要风险。具体来说,预算控制的主要风险是预算编制、执行和考评是否规范,预算决策和执行机制是否建立,内部批复指标是否与支出事项相衔接等;收支控制的主要风险是单位收入是否完整,支出分类是否准确合理,预算指标是否分解为支出事项,资金支付是否合规等;货币资金控制的主要风险是因不相容岗位是否分离导致的货币资金安全风险,资金支付申请是否严格审核与复核,是否加强银行账户管理等。在风险识别的基础上,通过定量与定性分析相结合的方法,应用专家咨询、概率和数理统计等方法,评估出风险发生的概率与程度,合理降低与规避财务风险。

(三)合理设置财务内部控制关键点

财务内部控制关键点在COSO 内部控制框架即为控制活动要素,控制活动是针对关键控制点而制定的,参考《行政事业单位内部控制规范(试行)》则是财务角度的业务层面的内部控制关键点。本文从预算业务控制、收支业务控制、货币资金控制三个财务关键环节分析。

1.预算业务控制。高校预算业务的关键控制点如下:(1)不相容岗位相互分离与授权批准。高校应当明确相关部门与岗位的职责、权限,确保预算工作的不相容岗位相互分离,具体包括:①预算编制(含预算调整)与预算审批;②预算审批与预算执行;③预算执行与预算考核。高校内部预算授权批准必须严明,明确审批人的授权批准权限、程序、责任和相关控制措施,切不可缺位、越位、错位;(2)预算编制。①财务部门应做好预算编制政策、基础数据的准备和相关人员的培训工作,统一部署预算编报工作;②规范预算编制程序,明确审批要求;③预算编制应在评价当年预算执行情况的基础上对下一年度预算进行预计与测算,完善编制方法,细化预算的编制。(3 )预算执行。①按照批复的预算在高校内部进行指标分解、审批下达,规范内部预算追加与调整程序;②应根据批复的预算安排各项收支;③建立预算执行分析机制,定期通报各部门预算执行情况,召开会议,研究并解决预算执行中的问题,提高预算有效性;④加强决算管理,建立预算与决算相互反映,相互促进机制。(4)预算评价与考核。高校应建立严格的预算考评制度,定期组织预算执行情况考评。

2.收支业务控制。高校收入业务的关键控制点如下:(1)不相容岗位相互分离。确保收款人员不得兼任会计核算工作、会计档案保管、收入支出等账目的登记工作;(2)各类票据的管理。财政票据等各类票据的申领、启用、核销、销毁应按照规定履行手续,不得转让、出借、代开、买卖各类票据;(3)高校不得出现教育乱收费现象;(4)高校二级单位不得出现账外账、“小金库”等情况;(5)高校各类收费项目的收费标准必须有经物价局等部门批准,且确保应收尽收,及时入账。高校支出业务的关键控制点如下:(1)不相容岗位相互分离。确保支出申请与内部审批、付款审批和执行、业务经办和会计核算等岗位相互分离;(2)支出审批控制。“三重一大”中的大额资金应经集体决策后支付;(3)支出审核控制。在单据常规审核的基础,重点审核是否列入预算,是否应招标而未招标,是否按合同支付等;(4)支付控制。财务部门应按照规定办理资金支付手续,根据支出凭证及时准确登记账簿。

3.货币资金控制。高校货币资金控制的关键控制点如下:(1)不相容岗位相互分离。包括:货币资金支付的审批与执行,货币资金的保管与会计核算,货币资金的保管与盘点清查,货币资金的会计记录与审计监督;(2)授权审批控制。经办人员办理资金收支业务需得到授权审批,大额资金流出需经集体决策审批;(3)业务流程控制。①货币资金支付申请。有关部门或个人提交货币资金支付申请,注明用途、金额、支付方式等,原始单据要有效完整;②货币资金支付审核。审核提交支付申请票据的真实性、合法性,严格监督资金支付;③货币资金支付复核。复核货币资金支付申请的批准范围、权限、程序是否正确,手续单据是否齐备,金额是否正确等;④办理支付。根据经审批的复核无误的支付申请,按规定办理货币资金支付手续,及时登记现金和银行存款日记账;(4)银行结算票据的控制。明确各类票据的购买、保管、领用、背书转让等环节的职责权限和程序,并专设登记簿进行记录。(5 )印章管理的控制。严禁将办理资金支付业务的相关印章和票据集中一人保管,印章与空白票据分管。

(四)构建内部控制信息化系统

高校在确保财务信息流通及时顺畅而进行信息化建设的同时,应该将内控理念、控制程序、控制措施等要素通过信息化的手段固化到信息系统中,通过信息化手段推进内部控制建设,构建内部控制信息化系统。该系统应采用“制衡、监督、激励”的内控设计理念,以财务应用支撑平台为载体,构建预算管理系统、收支管理系统等应用层面,且与办公系统无缝集成,这样不仅强化了服务型管理平台的建设,也实现对单位经济活动的自动、实时控制,有利于各级管理层在各自的权限内对相关工作全程控制和实时决策。同时对外还可以就内部控制情况形成内部控制评价报告,适时对外进行披露。

(五)健全高校内部监督与评价机制

内部监督是高校对内部控制的建立与实施情况进行监督检查,并评估内部控制的健全性、合理性和有效性,形成书面报告来及时发现和改进内部控制缺陷。首先,高校应整合高校内部监控力量,在保证内部审计部门独立性的同时,联合纪检、监察部门,组成内控评价工作组,形成内部监控的协调联动机制。其次,高校内控评价工作组应当根据《行政事业单位内部控制规范(试行)》并结合自身具体情况,围绕控制环境、风险评估、控制活动、信息与沟通、监督五要素,确定内部控制评价的具体内容,编制内部控制评价报告,对高校内部控制设计与运行情况进行全面评价。最后,评价工作组将内部控制评价报告经批准后向被评部门回馈意见,并通知整改。

四、结束语

随着我国高校财务管理问题的日益凸显,在《行政事业单位内部控制规范(试行)》出台的大背景下,高校财务部门需要改变传统的财务管理模式,应引入内部控制体系,健全内控制度,建立风险评估机制,注重关键控制点,完善流程设计,重视财务内部控制的建设和实施,从而相互促进,提升高校财务管理水平。

基金项目:

江苏省高校哲学社会科学研究基金项目(2013SJA630008)。

参考文献:

[1]刘永泽,张亮.我国政府部门内部控制框架体系的构建研究[J].会计研究,2012,1:14.

[2]杜晓荣.组织创新对企业内部控制的影响研究[J].中国流通经济,2009,2:45.

[3]贾兴飞,姜慧琳.管理控制和会计控制:定位转变与功能协调[J].中国管理信息化,2013,16 (8):2-3.

相关热门标签
相关文章阅读
相关期刊推荐
精选范文推荐