HI,欢迎来到学术之家,期刊咨询:400-888-7501  订阅咨询:400-888-7502  股权代码  102064
经营许可 杂志订阅 支付方式
首页 期刊 杂志 SCI 经验 出版社
0
首页 精品范文 全面风险管理与内控

全面风险管理与内控

时间:2023-09-08 17:14:52

全面风险管理与内控

第1篇

关键词:危机;完善;差异;风险评估;

中图分类号:C29 文献标识码:A 文章编号:1674-3520(2014)-07-00-02

全面风险管理和内部控制与企业的运营息息相关,人们应该积极解决现存的问题,不断完善其体系,从而提高企业躲避风险的能力,加强内部管理控制。

一、全面风险管理的兴起与发展

(一)全面风险管理的兴起与发展

20世纪30年代,一场世界性的经济危机席卷了大部分的资本主义国家,大量企业倒闭,经济萎靡不振,人们开始认识到企业风险管理的重要性。随后,美国在实践中提出了“风险管理”理论并被大部分国家接受。至20世纪70年代,随着经济的迅速发展,贸易向着复杂化前进,全面风险管理日臻成熟,理论体系更加完善[1]。然而,与理论的发展相比,实践中,全面风险管理制度的应用却不尽人意,世界上大量企业的内部存在严重漏洞,建立全面风险管理的意识有待提高。

(二)全面风险管理的必要性和重要性

1、竞争的激烈性增加了企业风险。随着经济的迅速发展,企业之间的竞争日益激烈,兼并、倒闭现象时有发生,人才流失也愈发严重,经济危机的可能性依然存在,在这样的背景下,企业风险增加,因此,只有通过全面风险管理,对各个风险进行评估,制定有效的风险管理策略,对风险管理政策中的方案进行监督,才能帮助企业尽可能地抵制风险,实现利益最大化。

2、企业内部的漏洞会给企业带来严重的灾害。在企业正常运营周期内,由于各种原因,会产生对企业致命的漏洞。众所周知,企业内部贪腐现象屡禁不止,每一次的经济政策波动都导致部分企业深陷泥潭,这样的现象屡屡发生,其根本原因是企业经营不善,体系不够完备。因此,建立全面风险管理体系,及时发现企业内部不足,是当今各个企业都应着手解决的重要问题。

3、有计划地为企业降低风险。由于全面风险管理能够根据较为准确的信息,有效预测、评估风险,并及时制定相应的应对措施,因而,当面临风险时,企业能够应对自如,以最佳的策略解决当前危机,降低了企业的风险,帮助企业减少损失。

二、全面风险管理与企业内部控制的关系

全面风险管理与企业内部控制自提出以来,人们对二者的关系如何界定展开了一系列的讨论,至今,依然有部分人把二者作为等同物来看待,事实上,二者并不是相等的,它们关系深厚,却不尽相同。

(一)全面风险管理与企业内部控制的不同点

1、工作重点不同。全面风险管理侧重于事前风险预算与评估。也就是说,全民风险管理体系的建立,要首先搜集风险相关的可靠信息,并对其进行评估,然后要制定方案及措施,从整体上来看,全面风险管理以事前控制为主;企业内部控制则是过程性控制,是保证企业正常运营的关键所在,包括技术管理控制、人员管理控制及会计控制等等,是在企业经营过程中,对所产生的问题进行解决。

2、实施原则不同。全面风险管理,顾名思义以回避风险为主要原则,目的是实现企业风险最小化甚至零风险化,保证企业的正常运营,使企业获取最大利益;而企业内部控制则以解决风险为原则,对企业所遭遇的风险,制定有效措施,使企业在风险中损伤最小,或者反损伤为盈利。

(二)全面风险管理与企业内部控制的关系

1、包含与被包含的关系。全面风险管理与企业内部控制最重要也是最明显的关系就是包含关系。企业内部控制作为全面风险管理的一个子系统,同时为企业降低风险、保证正常运营而服务。

2、相互统一,并相互融合。虽然全面风险管理与企业内部控制是两个不同的体系,或者说是母系统和子系统的关系,但是二者的宗旨是相同的,并且二者的差异性也恰好在企业运营中所统一,并呈现出逐步融合的局面。[2]

三、企业在全面风险管理和内部控制中存在的问题

(一)混淆二者,缺少重点。尽管全面风险管理包含着内部控制,但是并不代表二者能够相互混淆。在金融业,如银行等企业中,应实施以全面风险管理为重点,企业内部控制为辅助的体系,而在大部分其它企业中,应以企业内部控制为关键,以风险全面管理为侧重点进行管理的现象。一味地混淆二者,导致企业内部缺少重点管理体系,是造成企业经营失败的重要原因之一。

(二)缺少专业性,数据误差较大。在进行全面风险管理过程中,导致了对风险评估的误差偏大,从而给企业的经营带来了危险。另外,由于企业内部体系不完善、工作人员专业水平的限制,致使企业无法发挥全民风险管理和内部控制的作用,使企业难以躲避风险,实现利益最大化。

(三)搜集信息能力不足。科技的发展促使了经济的变革,当今信息更新速度极快、包容量极大,因此,必须运用合理的手段进行有效信息的搜集。但是,不少企业由于自身现代化手段的限制,搜集信息能力明显不足,无法为风险评估提高可靠、准确、安全的数据,从而致使企业不能有效应对风险。

(四)对风险评估及其解决方案依赖性过强。由于各个企业在相关方面意识的提升,逐渐完善了全面风险管理和内部控制,但是,正是由于较快的发展速度和较高的发展水平导致了大部分企业完全依赖于风险评估结果及其解决策略,因此,当企业面临意料之外的风险时,不能积极有效应对,给企业带来了严重的后果。[][3]

四、企业应如何进行全面风险管理和内部控制

(一)从企业实际需要出发。一般情况下,银行类的金融性企业需要建立有效的全面风险管理体系,并以此为重点,对风险进行正确评估、制定解决方案,但是其它性质的企业,更需要完备的内部控制体统,及时发现企业运营中的问题并积极解决。因此,企业要根据需要,选择适合的体系作为重点。

(二)建立并提高企业风险管理和内部控制的意识。虽然全面风险管理和内部控制体系得到了质的飞越,但是在实践应用中意识依然有待提高,需要认识其重要性,一定程度上增加对全面风险管理和内部控制体系的投入,从而有效地为公司运营保驾护航。

(三)完善相关体系,制定实用原则。由于企业没有详细的实施准则,内部体系存有漏洞,当企业遇到问题时不能及时发现,更不能有效解决,导致企业难以度过危机。因此,各个企业必须不断完善和优化全面风险管理体系和内部控制,使其成为企业运营的得力助手。

(四)提高工作人员的专业性。部分公司建立了全面风险管理体系或内部控制体系,但是依然无法躲避风险,在各个危机中遭受巨大损失,很重要的一个原因就是相关工作人员没有正确评估、没有及时发现问题以及在问题发生时没能采取有效措施,因此提高工作人员的专业性很有必要。企业内部要对相关人员进行培训,保证工作者的专业知识和不断获取新信息的能力。

五、中国企业的全面风险管理和内部控制

(一)我国全面风险管理和内部控制的现状

随着经济的多元化及竞争的日趋激烈,中国企业逐渐开始重视全面风险管理和内部控制体系的建立,甚至风险管理的专门企业和网站也开始出现,可以说,我国在此方面取得了明显的进步,但是和西方百年来沉淀下的管理经验相比,我国依然存在很多不足之处。

1、权责混乱,随意性明显。我国大部分企业没有明确进行责任制划分,常常出现大权力、小责任甚至无责任的现象,在进行风险管理中,没有行之有效的科学方法,常常呈现出更多的随意性。

2、文化缺失。在我国大部分企业中,缺失风险意识,更缺少全面风险管理和内部控制文化,将公司现状与管理制度生搬硬套,盲目地进行风险评估与管理。

3、以静制动。企业的全面风险管理,特别是内部控制是一个长期的、动态的过程,但是在我国部分企业中,常常用静止的眼光看问题,仅仅按照一套固定的制度实施,而不是按照一个过程,这样的风险管理和内部控制显然是不科学的。

(二)我国企业全面风险管理和内部控制的发展趋势

由于全面风险管理和内部控制越来越引起人们的重视,因此我过在此方面也会向着更完善的方向发展。首先,信息掌控能力提升。信息的掌控是全面风险管理的基础,只有掌握准确、有效的信息,才能正确评估风险并制定合理对策。因此,随着各方面特别是计算机和媒体的进步,我国企业对信息的掌控能力将明显提升;其次,各企业会引进先进理念,不断创新。学习西方先进的思想和文化,找到适合本公司的理念,并在此基础上不断创新。

六、结束语

全面风险管理和内部控制不是完全相同的,但更不是相互矛盾的,虽不是同一体,但却是统一体,当然,它们也是保证企业良好运营的关键,是企业长足发展不可忽略的重中之重。

参考文献:

[1]王农跃.企业全面风险管理体系构建研究[D].河北:河北工业大学,2008

第2篇

Abstract: With the continuous promotion of the process of social information, the risk management control of group company has made considerable progress in the past decade, and the establishment of risk management system improves the efficiency of the works of group companies. However, it stilhas many problems for internal control in risk management, through the analysis of this article by the Group enterprise's internal control system of risk management, this paper proposes the countermeasures to strengthen the construction of information management system management system, hoping to help the enterprise establish risk management system.

关键词: 风险管理;内部控制;制度体系

Key words: risk management;internal control;system

中图分类号:F272 文献标识码:A 文章编号:1006-4311(2012)36-0100-02

0 引言

随着我国集团企业对风险管理的内部控制越来越重视,信息化管理体系逐渐被应用到企业管理中。一方面可以提高企业管理的效率,通过内部控制实现集团的风险管理。另一方面,使得公司的生产、存储、财务、成本、控制都解决了原有的顽疾,避免了不必要的矛盾。这也说明了加强企业的风险管理内部控制对企业发展的重大意义。如果公司在风险管理的内部控制缺乏有效的管理,会对企业造成严重的影响,比如管理系统的保障措施没做到位,安全控制得不到保证。所以目前无论是集团企业还是新兴的中小企业都非常中企业内部管理的控制和加强风险管理,避免因为制度和管理中的疏忽大意造成无法挽回的损失,这也提醒管理者要及时把握管理中得到的信息,使信息管理体制得到充分地发挥,对风险及时的防范,以达到最佳效果,下面就先对集团公司风险管理的控制制度进行分析。

1 集团公司风险管理的控制制度分析

1.1 公司风险管理和内部控制定义及特征

集团公司内部组成复杂,公司内部控制的管理是实现企业管理目标的必经途径,为实现这一目标主要是以财政部门预算管理为核心,制定科学风险管理控制制度,对财务会计中的潜在风险有效地识别,并起到监督的作用。

理论上说,内部控制是一个循序渐进的过程,在组织管理过程中不断发展和完善,各种管理经营活动都是围绕公式内部控制制度的建立展开的。并经内部控制管理人员进行统一协调、逐步完善形成最终的成形体系。[1]而集团公司风险管理控制制度体系主要包括四个方面,分别是:控制环境,是组织内部控制和风险管理的基础,通过治理内部环境实现对机构的治理、职权的分配,为风险管理控制营造良好的氛围。其次,是对风险的评估和识别,知道经营活动以及内部控制,识别目标存在的风险,进而提出应对风险的决策手段。再者,加强信息的沟通和交流,内部控制体系的建立考验的是管理人员沟通和组织的能力,准确地扑捉相关信息,以维系组织与外部的关系。最后,控制活动的开展是以风险评估结果为基础,通过采取针对性的措施,解决公司管理存在的风险。

1.2 集团公司风险管理和内部控制的发展现状

目前因为各方面复杂的因素,我国许多集团公司的风险管理下的内部控制一直处于发展的初期,是个明显的薄弱环节。其问题主要体现在:首先,公司的内部控制意识淡薄,表现在工作管理人员缺乏内部控制的意识,对风险管理的内部控制认识不足,这也造成了集团公司风险管理和内部控制的发展进程非常缓慢。太注重公司规模的扩展和新业务,政绩虽然提高了,但是忽略了企业的内部控制。主要原因还是对内部控制缺乏足够的认识。甚至管理中把财务部门的预算控制当做企业的内部控制,缺乏对企业的内部控制在一定程度上打击了工作人员的积极性,降低了企业运营的效率,也就无法达到内部控制管理的目标。其次,风险管理的内部控制制度不完善、岗位分工的不合理,这也是导致公司运营办事效率不高的主要原因,因为公事的编制原因,工作人员无法各司其职,存在“一人多岗、不相容岗位兼职”的现象。许多公司甚至存在,一个工作人员担任同以部门两个职位的情况,与公司风险管理的内部控制制度相违背。这会导致工作中的失误会被人为掩盖,不利于公司的长期发展。许多舞弊现象就是因为内部管理控制失衡导致的,不相容的岗位不能合理设置,容易出现管理漏洞。

我国许多大型集团公司所建立的风险管理内部控制制度对风险管理的防范和内部人员素质的提高都有相应的规定,在一定程度对安全隐患起到了防范作用,能够对获取的信息进行及时的反馈和处理,能够在一定程度上提高公司运营的效率。但是随着社会的发展,21世纪初制定的内部管理控制制度难以满足当今集团企业发展的需求,出现了管理系统人员素质不高、维护职责定位不明确、信息管理制度不完善等问题。一方面效率受到了限制,信息交换和回馈周期过长,这些都大大限制了集团企业的发展,加强风险管理系统的内部控制制度的建设迫在眉睫。

2 加强风险管理系统的内部控制制度建设的对策

2.1 完善内部财务管理制度

完善内部财务制度是针对目前集团公式内部财务风险控制制度缺乏建设而展开的,各大公司都会分析自身发展的不足,完善财务管理制度。建立科学的财务管理制度有利于加强公司内部稽核制度、内部监督制度以及内部审计制度。内部稽核制度是风险管理内部控制中重要一环它包含了稽核工作中的人员分工、工作职责、权限和组织形式,确定了稽核工作的流程和计划,这也说明了完善内部财务管理制度的重要性。

在集团企业的内部控制制度的建设中,缺乏对信息交换安全问题的规范,只是对公司管理系统的安全最低值进行了限定,这个标准无法满足各个要素对信息安全的影响,只是基于财务信息安全为法律依据得到的一个基本标准,难以对公司内部财务管理制度起到强制规范性的作用。[2]

2.2 提高风险管理意识,实行风险问责制

为有效提高集团公司风险管理,提高风险管理意识是必行之策,企业内部管理人员和管理层的风险意识缺失的全国范围内普遍存在的问题,实行财务管理问责制,把个人的过失责任化,损害国家或他人的合法权益都会被追究,产生的不良后果也会得到补偿。保证岗位上工作人员都能履行其职责,保证工作正常运转,对提高工作效率都有很大的帮助。另外,通过实行内部监督来进行责任追究,也是提高员工风险管理意识的主要举措,保证财务负责人员能根据公司真实的经营数据,保证数据的完整性和正确性,并对风险管理负责,也同时强化管理层领导的风险意识。

在制度设定层面,加强集团公司信息系统安全管理制度的健全及制度化,是防范风险管理的必要措施,也是保障集团公司信息系统安全极为重要的一个方面。提高风险管理就是对公司各部门进行日常巡视,包括对记录制度的完善和操作制度的监督。严格按照用户管理制度和人员培训制度办事,能够有效提高风险管理意识,实行风险问责制,进而让员工人事到风险管理的重要性。

2.3 强化管理人员的素质建设

许多公司企业因为管理人员的素质不高导致公司面临风险隐患,为了解决这一问题,强化管理人员素质建设势在必行。重点强化管理人员的风险意识,加大公司风险管理内部控制的风险宣传力度,包括以宣传手册或内部刊物等形式加大风险管理的宣传。其次,定时选派管理人员外出学习,以提高管理能力和风险管理的意识。这是有效提升公司整体风险管理能力的手段,只有与时俱进才能帮助公司保持持续性的发展。公司业务的不断外延,要求业务人员与时俱进,加强道德建设的同时,鼓励员工发现公司内部管理的问题,对公司风险管理内部控制提出一些建议,用奖励作为激励。实践证明,这是一种有效的激励机制,能够快熟地发现公司运作风险管理问题,识别财务风险隐患。[3]

对公司内部人员风险管理意识的培养是一项浩大的工程,除了需要领导重视外,还有聘请一批具有专业素质复合型管理人才,建立一个完善的风险控制管理制度。而主管职位负责调动工作人员的积极性,分配职能监督各部门工作,把握公式的系统全局,随时发现问题并提出参考意见。这也是起到监督作用的主要表现,能够对公司的风险信息管理制度改善、监督、反馈上能起到重要的作用,在所有集团公司都应该设立这样一个职务,在风险管理内部控制的运作中非常重要。这样一个职位还能加强信息内部管理人员的的培训,使管理人员迅速了解公司发展的现状,并对管理人员进行定期的培训,以抓住市场更新的动态、了解公司发展的现状,有利于在培训中不断意识到风险管理的重要性,使其操作、维护的规范化不断得到改善,从而减少由于非制度性因素所产生的安全问题。

3 结束语

分析集团企业内部管理出现的风险不难发现:很多问题都是因为公司风险管理体制不完善造成的,风险管理缺乏有效的监督、管理制度也得不到有力地执行,这些都是本文发现的问题。治标须治本,通过加强内部加强其监管,使中小企业的信息管理制度得到很好执行是非常必要的,其次就是加强员工的素质培养,使其能够具有很好的业务水平,使信息管理系统得到很好的运行。只有管理层对公司运营的情况足够的了解加上完善的风险管理体制,就可以在风险防范内部控制上做得出色。[4]

在2011末,我国财政部就对公司风险管理内部控制提出了一点意见:公式的内部控制制度的建设应该与风险管理控制共同完善,风险管理的内部控制成为集团公司内部管理建设的下一个焦点,只有加强加强事业单位内部控制建设,防范内部管理的风险,才能有效惩治内部控制的风险,建立全方位的防腐败体系,成为我国集团企业防止财务风险的重要一环。集团公司的风险管理的核心就是保障财产的安全、防范内部管理存在的危险,实现工作效率提高的目的。建立完善有效的公司风险管理体系,能够遵循内部财务运行所做的制度安排,减少管理中不必要的失误。尽管在内部管理中仍存在行政管理混乱、预算管理随意、对外投资盲目、财务监督不力等内控不健全的现象,这些也是管理风险的来源,在这种情况下,加强和健全风险管理的内部控制体系,成了集团企业紧要任务。

参考文献:

[1]王霞,张永,彭智才,如何保障中小企业内部控制系统安全[J].资源方法,2004(9):54-55.

[2]刘仁勇,王卫平.企业安全管理研究[J].学术研究,2007(6):113-115.

第3篇

全面风险管理包含在整个企业的经营管理活动过程之中,而并不是一种脱离企业经营管理活动的管理形式。为了进行全面风险管理,企业需要有一整套风险识别、风险控制的方法和程序,即企业管理的方法和程序。全面风险管理的目的同内部控制的目的是相同的,为企业目标的实现、为企业更好的发展提供服务与保证。因而理论上,公司决策层根据公司实际情况,在内部控制制度与全面风险管理体系中任择一项实施即可。但是在实践中,内控系统与全面风险管理机制是紧密相连的,所以,本文认为企业应该实现内部控制制度与全面风险管理体系的有效整合。

二、企业内控系统与全面风险管理机制的辩证关系

COSO框架中明确指出内控系统是全面风险管理体系框架下的一个子系统,但是它们之间既有联系又有区别。

一方面,全面风险管理机制涵盖了内控系统,而内控系统是全面风险管理机制的必要环节。内部控制的动力是企业对风险的认识和管理,同时内控系统是针对企业大多数运营风险的有效的和高效的风险管理方法。内部控制是实现经济组织管理目标的一种合理保障,良好的内控系统可以保证公司合法经营、经营结果的效率与效益和财务报表的真实可靠。而企业全面风险管理应该达到的基本状态也正是合法、有效益的经营和真实的财务报告。两者均为企业目标的实现提供了合理保障。企业实施内部控制的过程中会运用全面风险管理的理论和方法;同时,通过实施内部控制,企业可以有效防范风险,将重大风险控制在企业可承受的范围之内。

另一方面,两者也存在一定差异,两者的目的不一致。全面风险管理的目的是要及时地预测风险、防止风险可能造成的不良影响、发现风险以及设法把这种不良影响控制在最低程度。而内部控制侧重管理控制已评估风险的流程,通过各项内部控制活动的实施,实现风险的防控;两者的作用范畴不同。全面风险管理工作的开展紧密结合于其他管理工作,在综合考虑内外环境的情况下,把风险管理融入业务流程和企业管理中。而内部控制则是在考虑内部环境的情况下,建立公司的议事规则和治理结构。

三、内控系统与全面风险管理机制的并行与整合

从国内经济和企业发展趋势来看,随着内控系统和全面风险管理机制的不断完善,它们之间必然相互交叉、融合,直至统一。

(一)内控系统与全面风险管理机制的分工与并行

明确责任分工与积极协作互动是内控系统与全面风险管理机制并行实施的基础。在组织架构上既可以由风险管理部门统一负责也可以由企业的两个部门分别实施。实施的关键是企业决策层对内控系统与全面风险管理机制在范畴与作用上的进一步界定与划分,使内控系统与全面风险管理机制成为两个相对独立的体系,两者侧重不同但又相互协调。全面风险管理机制是对企业运营的全部阶段进行管理,侧重事前阶段,核心是搜集风险信息、评估风险及制定风险管理策略; 内控系统则侧重管理控制已评估风险的流程,通过各项内部控制活动的实施,实现风险的防控。通过内控系统与全面风险管理机制的进一步分工,不仅可以有效地实施风险管理与风险控制的全过程,还可以避免两体系部分功能的重叠与冲突。

(二)建设全面风险管理机制下的内控系统

将内控系统作为全面风险管理中一项必不可少的组成部分是建设全面风险管理机制下的内控系统的关键。企业在进行全面风险管理机制的构建时就应将内控系统定为全面风险管理机制的有效管理控制手段之一。这种方法系统的梳理搭建了风险管理控制流程,可有效保证体系运转的协调与统一,最大限度地避免了内部控制体系与风险管理机制的重叠与冲突。

四、对公司治理基于内控系统的全面风险管理机制的发展建议

(一)在公司内部创造良好的全面风险控制环境

创造良好的全面风险控制环境,要注重建立具有风险意识的企业文化。在企业全面风险管理过程中,每一位员工应当明确个人职责对公司风险的影响,树立“风险无处不在”的理念。公司治理与员工在公司内部的责任和作用的关系是企业全面风险管理的一个重要方面,也是充分有效开展全面风险管理工作的前提。

(二)在企业内部培养全面风险管理理念

全面风险管理理念即让每一位员工都具有强烈的风险意识和内控责任。全面风险管理理念是一个企业对风险的整体认知。只有被企业各个岗位的员工共同认同,才能在整体上对风险进行准确预测、及时发现、正确评估及合理应对。全面风险管理理念要求企业内部各个层次、各个岗位的员工必须对风险管理有正确的认知。企业应告知员工在企业经营中可能会出现的各种不确定情况及相应后果,并及时提醒员工保持全面风险管理意识,员工才能在日常工作中积极发现风险,主动上报风险,真正地具有危机意识和风险意识。

(三)充分利用并不断优化内部控制规范

内部控制规范是在征求相关责任岗位意见的基础上,根据公司的管理制度和操作流程制定的。通过严格执行内部控制规范,恰当处理每项业务,不但工作效率会有所提高,企业整体目标的实现也得到了合理保障。

(四)不断完善公司全面风险应对机制

一方面,要对公司风险事项进行全面识别。风险识别是风险管理的起点,是进行全面风险管理的基础和关键。只有对公司所面临的各种风险先进行识别,然后将风险事项进行细分,才能更高效的找到风险出现的原因,快速的做出反应。在全面风险管理框架下,广泛地、持续地收集与本企业风险和风险管理相关的内外部信息,及时发现企业面临的各种风险就是风险识别的目标。

另一方面,要对企业风险事项进行细分。公司所面临的各种风险可以被细分为公司层面风险和业务活动层面风险两个维度。企业产生公司层面风险的原因主要有内部因素和外部因素两个方面。内部因素主要包括财务风险、经营风险、战略风险等,外部因素主要有政策法律、技术因素、全球化因素、区位因素等。业务活动层面的风险主要指企业生产经营活动及管理职能中所产生的风险。处于不同的市场和不同的环境,企业所面临的风险也各不相同。因此,企业应根据自身的特点,选择合适的划分公司层面风险和业务活动层面风险的方法,及时找到风险产生的原因并快速应对。

第4篇

关键词:中小股份制商业银行;风险管理;内部控制

中图分类号:F830 文献标识码:A 文章编号:1674-1723(2012)10-0052-02

一、内部控制和全面风险管理概念的界定

(一)内部控制的内涵

COSO于1992年《内部控制——整合框架》中将内部控制定义为由一个企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;法律法规的遵循性。内部控制应具备的五个要素:内部控制环境;风险识别与评估;内部控制措施;信息交流与反馈;监督、评价与纠正。

(二)全面风险管理的内涵

COSO《全面风险管理框架》(2004)中的定义是:全面风险管理(ERM)是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,从而确保企业取得既定的目标。

(三)内部控制与风险管理的内在联系

1.内部控制与全面风险管理存在一定的差异:两者的范畴不一致;两者的活动不一致;两者对风险的对策不一致。

2.内部控制与全面风险管理紧密相关:内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理;全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的3个目标之外,还增加了战略目标,全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素;内部控制与全面风险管理工作应当由企业同一套组织机构和人员来完成,企业不能为之设置两套工作小组。为此,企业在组织机构设置、人员权责分配中,应充分考试专业管理、内部控制、以及风险管理这三大类职责相辅相成,它们应当是每个关键岗位职责的有机组成部分。

虽然内部控制和全面风险管理的出发点和具体目标并不完全相同,但两者在概念内涵上具有内在的一致性,在保障企业总体可持续发展目标实现的过程中,两者的根本目标和作用是一致的。因此,二者应当实现有机融合,全面风险管理架构的构建与实施要建立在内部控制建设现有成果的基础之上。

二、我国中小商业银行实施全面风险管理的必要性和重要性

(一)金融机构面临的风险因素多样化

金融机构面临的风险因素多样化,主要包括信用风险、市场风险、操作风险、流动性风险、声誉风险、法律风险、战略风险和国家风险。各银行都会因风险控制措施不当而发生损失,有的案例损失金额巨大,中小商业银行相对而言其抗风险能力不足,更易由损失引发系统性风险;

(二)中小商业银行内部控制体系存在较多弊端

各级负责人横向权力过大,为操作风险的发生提供了空间;大部分银行未设立独立的专业化部门承担操作风险管理和分配资本职责;操作风险管理现行的管理方法和手段落后,难以反映本行操作风险的总体水平和分布结构,与国际上要求以资本约束为核心的操作风险管理差距不小。

(三)忽略了风险之间的联动性

目前单独、割裂的处理各类风险,忽略了风险之间的联动性。

三、国内银行业全面风险管理实施现状

(一)工商银行、中国银行等一些大型商业银行建立了全面风险管理治理结构

如工商银行2004年引入COSO ERM框架的理念,按照现代金融企业的治理标准,建立了由股东大会、董事会、监事会和高级管理层组成的全面风险管理治理架构,制定相关授权方案,形成权力机构、决策机构、监督机构和高级管理层之间各司其职、相互协调、有效制衡的运作机制。重新调整风险管理委员会,并于2006年7月设立了首席风险官职位,为全面风险管理工作开展提供了制度保障。

(二)部分银行全面风险管理的实施规划已经形成并在逐步推进

农业银行在制定新资本协议实施规划的基础上,制定实施新资本协议的时间表、步骤和措施,在2009年底前建成内部评级初级法体系,2013年底前建成内部评级高级法体系。工商银行全面推进风险计量技术的研发,加大数据集中与系统建设力度,从公司治理、方法论、基础数据、制度政策、IT系统等方面不断深化新资本协议的实施工作,风险治理结构日益完善,风险计量水平逐步与国际接轨,风险管理的前瞻性、科学性得以显著提高。

四、构建中小商业银行全面风险管理组织架构建议

结合国内外商业银行全面风险管理组织架构建设经验,以中小股份制商业银行普遍实行总分行制的行政制度为基础,笔者提出要按照“集中管控、矩阵分布、全面覆盖、全员参与”的目标要求,建立总分支三级联动风险管理机制,以集中职能的风险管理部为特点,以风险总监为纽带,以分布于各业务条线的风险经理为基础的架构与职能分工。

在董事会下设风险政策委员会,该委员会主要确定风险偏好指标和提供政策建议;在高级管理层下设风险管理委员会,主任委员由行长担任,副主任委员由分管行长担任,其他行级领导担任常务委员;设置风险管理委员会的常设机构——风险管理部,作为风险管理的具体执行部门,该部门集中所有各类风险的管理职能,可以设置包括信用风险、市场风险和操作风险各团队,任命各类风险经理,也可以根据需要设置战略风险和声誉风险管理团队;设置风险管理总监,对风险管理事务进行综合协调,风险管理总监与首席财务官紧密合作,直接向董事会和高级管理层汇报工作;在各业务条线设置风险经理岗,一方面配合业务条线负责人进行风险控制,另一方面是为风险管理部在业务条线上的派出单位,负责风险据的收集、风险状况的实时监控;建立支行风险经理派驻制,派驻风险经理是支行层面风险管理的主力军,对各支行的信用风险、市场风险和操作风险进行管理,定期向上一级的风险管理部进行风险管理情况汇报,提供风险资料和数据。

中小股份制商业银行在现有内控管理水平的基础之上,借鉴西方银行的先进经验,尽快建立起全面风险管理的架构与职能,将有利于推进中小商业银行与国际接轨,在未来激烈的竞争中真正实现稳健经营和可持续发展。

参考文献

[1] 李景峰.商业银行的风险控制及管理[J].商业经济,2010,(22).

第5篇

论文关键词:中小股份制商业银行;风险管理;内部控制

一、内部控制和全面风险管理概念的界定

(一)内部控制的内涵

COSO于1992年《内部控制——整合框架》中将内部控制定义为由一个企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;法律法规的遵循性。内部控制应具备的五个要素:内部控制环境;风险识别与评估;内部控制措施;信息交流与反馈;监督、评价与纠正。

(二)全面风险管理的内涵

COSO《全面风险管理框架》(2004)中的定义是:全面风险管理(ERM)是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,从而确保企业取得既定的目标。

(三)内部控制与风险管理的内在联系

1.内部控制与全面风险管理存在一定的差异:两者的范畴不一致;两者的活动不一致;两者对风险的对策不一致。

2.内部控制与全面风险管理紧密相关:内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理;全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的3个目标之外,还增加了战略目标,全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素;内部控制与全面风险管理工作应当由企业同一套组织机构和人员来完成,企业不能为之设置两套工作小组。为此,企业在组织机构设置、人员权责分配中,应充分考试专业管理、内部控制、以及风险管理这三大类职责相辅相成,它们应当是每个关键岗位职责的有机组成部分。

虽然内部控制和全面风险管理的出发点和具体目标并不完全相同,但两者在概念内涵上具有内在的一致性,在保障企业总体可持续发展目标实现的过程中,两者的根本目标和作用是一致的。因此,二者应当实现有机融合,全面风险管理架构的构建与实施要建立在内部控制建设现有成果的基础之上。

二、我国中小商业银行实施全面风险管理的必要性和重要性

(一)金融机构面临的风险因素多样化

金融机构面临的风险因素多样化,主要包括信用风险、市场风险、操作风险、流动性风险、声誉风险、法律风险、战略风险和国家风险。各银行都会因风险控制措施不当而发生损失,有的案例损失金额巨大,中小商业银行相对而言其抗风险能力不足,更易由损失引发系统性风险;

(二)中小商业银行内部控制体系存在较多弊端

各级负责人横向权力过大,为操作风险的发生提供了空间;大部分银行未设立独立的专业化部门承担操作风险管理和分配资本职责;操作风险管理现行的管理方法和手段落后,难以反映本行操作风险的总体水平和分布结构,与国际上要求以资本约束为核心的操作风险管理差距不小。

(三)忽略了风险之间的联动性

目前单独、割裂的处理各类风险,忽略了风险之间的联动性。

三、国内银行业全面风险管理实施现状

(一)工商银行、中国银行等一些大型商业银行建立了全面风险管理治理结构

如工商银行2004年引入COSO ERM框架的理念,按照现代金融企业的治理标准,建立了由股东大会、董事会、监事会和高级管理层组成的全面风险管理治理架构,制定相关授权方案,形成权力机构、决策机构、监督机构和高级管理层之间各司其职、相互协调、有效制衡的运作机制。重新调整风险管理委员会,并于2006年7月设立了首席风险官职位,为全面风险管理工作开展提供了制度保障。

(二)部分银行全面风险管理的实施规划已经形成并在逐步推进

农业银行在制定新资本协议实施规划的基础上,制定实施新资本协议的时间表、步骤和措施,在2009年底前建成内部评级初级法体系,2013年底前建成内部评级高级法体系。工商银行全面推进风险计量技术的研发,加大数据集中与系统建设力度,从公司治理、方法论、基础数据、制度政策、IT系统等方面不断深化新资本协议的实施工作,风险治理结构日益完善,风险计量水平逐步与国际接轨,风险管理的前瞻性、科学性得以显著提高。

四、构建中小商业银行全面风险管理组织架构建议

结合国内外商业银行全面风险管理组织架构建设经验,以中小股份制商业银行普遍实行总分行制的行政制度为基础,笔者提出要按照“集中管控、矩阵分布、全面覆盖、全员参与”的目标要求,建立总分支三级联动风险管理机制,以集中职能的风险管理部为特点,以风险总监为纽带,以分布于各业务条线的风险经理为基础的架构与职能分工。

第6篇

关键词:风险;全面风险管理;应用

中图分类号:F23

文I标识码:A

doi:10.19311/ki.1672-3198.2017.03.054

全球经济一体化进程的加快使得企业不断扩张经营规模并不断转变经营方式的,在激烈的市场竞争中,面对着瞬息万变的复杂环境,可以说,企业生产经营活动中都存在着风险。而企业应该怎么去面对这些风险,如何采取措施来提高风险管理以确保其自身的稳定和持续发展是企业管理者不得不面对的重要课题。掌握风险信息、辨识风险特性、分析风险趋势、应对风险危机,对管控风险、预防损失发生、提升企业竞争力和发掘企业潜力有着重要意义。

1 企业风险的定义

什么是企业风险?学界与实务界说法很多,各有争议,其首先是对于风险定义的争辩。亚洲风险与危机管理协会认为:风险是指在满足特定条件,在一定的时间和空间内,可能产生的结果与预期值之间的差异。《风险管理原则与实施指南(2007)》(ISO31000)与《风险管理原则与实施指南》(中国国家标准GB/T 24353―2009)则将风险定义为:不确定性对目标的影响。诸多定义中,不确定性、可能性是人们对风险的共同认识。由此延伸至企业风险,通过不同视角,人们对企业风险有了更多的认识,如企业风险是损失的可能性;企业风险是机会的丧失;企业风险是不确定的经营状态;企业风险是结果的不确定性等。综合这些定义,可以比较清晰勾勒出企业风险的轮廓。第一,未来性。风险与问题相异,问题是已经发生,现实存在的。风险发生在未来某一特定时刻、特定条件。第二,不确定性。风险可能发生,也可能不发生。即便会发生,只能对发生进行预测,而无法百分之百准确进行判断。第三,目标导向性。企业风险是与企业目标相联系,不同的企业目标所引发的风险则完全不同。第四,机会与损失相统一。企业经营中的许多风险都是中性的,机会与损失共存。由此,本文中的企业风险采取《中央企业全面风险管理指引》中关于企业风险的定义:在未来中难以确定的对企业经营目标产生影响的因素。

2 风险管理的产生与演进

风险管理的历史其实可以追溯到远古时期,我们的祖先考虑第二天刮风下雨以决定是否外出狩猎还是在家耕种时,其实便是在管理风险。企业风险管理的历史毫无疑问与企业发展的历史密切相关。一战后,德国由于战败,国内发生严重的通货膨胀而导致经济危机,第一次提出了包括风险管理的企业经营管理范式,由此许多学者也将德国看作是现代企业风险管理的起源地。随着经济的发展,公司制企业伴随着大规模社会生产化而广泛采用。公司本身具有股东风险分担、股东有限责任等风险控制功能,这一优势使用公司制企业迅速风靡全球。1983年,美国风险和保险国际协会制定“101条风险管理准则”。1992年,COSO提出内部控制整合框架报告,实现了内控体系的新发展。进入21世纪,美国安然等商业巨头舞弊案相继浮出水面,美国国会为加强企业管控,于2002年《萨班斯-奥克斯利法案》,加强企业内控。2004年,COSO在该法案基础上,颁布《企业风险管理框架》,并成为美国上市公司内控框架参考标准。

我国进入风险管理研究领域较晚,早期主要是一些学者对国外材料的翻译和少数实务验证。2004年中航油新加坡期货巨亏事件,成为我国风险管理实践的标志性事件,引起了国资监管机构的高度重视。2006年,国务院国有资产监督管理委员会正式对外《中央企业全面风险管理指引》,掀起了我国企业开展全面风险管理的热潮。

3 全面风险管理的内涵

全面风险管理一词最先来源于2004年COSO《企业全面风险管理框架》报告,其定义的核心意思为:全面风险管理是受企业高层(如董事、高级管理人员)和所有员工共同影响、并贯穿企业管理始终的一个过程。这个过程从辨识企业风险开始,分析企业可能存在的潜在风险事件,根据企业特点判断企业的风险偏好,在企业风险可承受度范围内管控风险,确保企业战略和经营目标的实现。《中央企业全面风险管理指引》则表述为:企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。

两份文件的定义,对于全面性都进行了重点阐述,这里所说的“全面”,一是风险源的全面性――企业运营风险无时不在、无处不有,全面风险管理职能涵盖所有风险源;二是风险管控人员的全面性――从公司高管到一线员工都有管控风险职责;三是风险管理应对方法的全面性――采取多样化、系统性的应对方法。

同时,两份文件又都在共同强调企业战略目标在全面风险管理中的核心地位,以企业目标为基点识别和管控风险。全面风险管理是一个过程,全面风险管理是实现战略目标的方式而非结果,渗透于企业管理的全过程。

4 全面风险管理与内控的关系

4.1 两者差异明显

两者的范围不同。内部控制集中于运营层面,而全面风险管理是贯穿于企业管理的各方面。近期,COSO公布了针对2004年企业风险管理框架的修改草案,特别说明全面风险管理涵盖比内部控制更多的内容,内部控制是全面风险管理不可分割的一个子集。全面风险管理还包括了企业战略目标,法人治理结构等内容。

两者的关注焦点不同。内部控制提示的主要是操作风险,并且大多数是对财务指标有影响的。全面风险管理充分挖掘与战略目标、价值链相关的风险,并适用于很多不可控的领域,并关注利益关系人的共同利益最大化。

两者管控方法不同。内部控制主要针对纯纯粹风险,主要采用控制的方法;全面风险管理区分机会风险和纯粹风险,使用风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制等诸多方法。

4.2 两者紧密相关

内部控制和全面风险管理的目标都是为了企业的可持续发展,保护股东和利益相关者权益。

内部控制是实现全面风险管理的重要手段。正因为企业充分认识经营中的风险存在,才产生了内部控制的动力。运营风险是企业面临的主要风险之一,内部控制是经实践证明的有效管控运营风险的主要途径。

5 企业全面风险管理体系建构

5.1 培育风险管理文化

所谓知行合一,知在行前。只有企业全体员工意识到风险管理的重要性,风险管理才能真正落到实处。企业高层必须高度重视各级员工风险管理意识的培养,将全面风险管理理念融入企业文化中,发挥文化“软实力”作用,使基层员工在实际工作岗位上时时考虑风险,处处管控风险,使整个企业管理的每个流程都能在风险控制范围之内。

5.2 建立健全风险管理组织体系

根据风险管理“三道防线”原理,企业应建立全方位、多层次的风险管理组织。在董事会设置风险管理委员会,从宏观的视角对企业存在的风险做出全面分析和规划,将重大风险事件信息传达给董事并进行决策。其次,设置风险归口管理部门,充分发挥管理和纽带功能,统筹各职能部门的信息,并负责对规划进行严格的执行与及时的反馈。再者,作为管理风险的各职能部门,必须配有专门的风险管理人员,定期检测评估,并将结果传达给归口管理部门。

5.3 完善全面风险管理的流程

企业应根据经营特点,配合原有经营管理、预算安排、任务计划和决策程序,通过内部规章制度、程序质量文件等形式加以固化,保证全面风险管理工作机制有效运转。风险评估方式众多,不必拘泥形式,但应注意定性与定量相结合,客观准确的描述出企业在特定阶段面临的风险类型和风险大小。然后根据企业目标,结合企业经营状况,判断自身的风险承受能力,采取具体的应对策略。此外,对于措施应用的监督和反馈制度是保证流程有效运转的重要环节,以风险管理报告为主要手段形成闭环管理。

5.4 建立全面风险管理考核体系

在企业现有经营业绩考核体系基础上,结合风险管理工作重点和要求,设计对各成员单位、职能部门的风险管理考核内容、考核指标和考核标准,以风险控制能力、信息沟通与报告可靠性、合法合规、经营有效性和危机处理能力为核心要素开展考核。

5.5 在全面风险管理框架下健全内控体系

企业全面风险管理比内部控制范围要广,它针对内部控制进行了阐述,并且更加直接地关注风险。内部控制是全面风险管理的一个组成部分,而全面风险管理则是企业治理流程的一个部分。如果企业内控体系建立已经先于全面风险管理体系建设,则可以风险为导向作为内控体系与全面风险管理体系融合的关键点。如果企业在全面风险管理体系建设之初,便将内控作为管控手段,则更有利于保证体系运转的统一和协调,最大限度发挥全面风险管理体系效能。

6 结语

全面风险管理是经实践证明,能有效提升企业价值的企业管理方法。我国企业应树立适当的风险管理理念,合理设置风险容量,提升全面风险管理水平。通过全面风险管理的实施,有效管控风险,实现企业的平稳运行和可持续发展。

参考文献

[1]白万纲.集团公司风险管理[M].北京:中国社会出版社,2010.

第7篇

【关键词】内部控制;风险管理;公司治理;战略管理

受美国2002年出台的萨班斯——奥克斯利法案(以下简称sox法案)的影响,我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求,完善内部控制体系、完成内控评估报告。同时,随着经济全球化的深入,企业遭受产品市场、要素市场和金融市场的价格冲击越来越大,各类风险产生的扩张效应和联动效应越来越严重。因此,内部控制和风险管理成为现代企业重点关注的课题。

本文将在回顾内部控制和风险管理理论发展的基础上,探讨二者之间的关系,并结合宝钢在内控体系建设和风险管理方面的最佳实践,提出整合的风险管理框架设想,以期对我国企业的内控体系和风险管理体系建设提供借鉴。

一、内部控制、风险管理的理论发展及其关系

(一)内部控制理论的发展

20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后,美国coso委员会将“内部控制”定义为“一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障”。在coso委员会制定的内部控制框架中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。

2002年,美国成立的上市公司会计监管委员会(简称pcaob)明确采用了coso内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了coso内控框架,有些国家和地区在参照该框架的基础上建立了自己的内控体系。

我国在2005年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国sox法案的要求,在理论体系上和coso内控框架一脉相承。

(二)风险管理理论的发展

企业风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《coso内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明,仅靠内部控制难以实现企业的最终目标。为此,coso于2004年9月出台了《coso企业全面风险管理整合框架》(简称erm),提出了由三个维度构成的风险管理整合框架。

我国国务院国资委于2006年发布《中央企业全面风险管理指引》(以下简称《指引》),标志着我国中央企业建立全面风险管理体系工作的启动。

(三)内控体系建设与全面风险管理工作的联系和作用

全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益,而这正是全面风险管理应该达到的基本状态。此外,内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用,具体体现在以下两个层面:

1.在理论框架层面,完整的内控体系包括依据coso内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是coso企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。

2.在推进工作的步骤层面,从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。

至于差异,从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看,内部控制仅是管理的一项职能,而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营;而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场、法律等领域。

二、宝钢在内控体系建设领域的实践

宝钢股份是宝钢集团的核心子公司。公司从2005年增资扩股后就着重于梳理内部流程,推广管理标准。2007年3月,由公司总经理担任组长的内控评审项目开始启动。

内控项目工作范围包括宝钢股份总部以及下属分子公司,资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份12大业务流程,梳理了各类大小流程300多个。在对12大流程风险控制点辨识的基础上,逐步建立宝钢股份上市公司内部控制体系,编制公司流程内控手册,形成公司全面的内控改进点报告,建立公司层面基本内控体系。并在前期工作的基础上,开展内控体系的自我评估工作,形成公司内控自我评估报告。

在项目实施过程中,公司组织了多场内控培训会,形成了全员内控的企业文化。同时,公司对发现的内控薄弱点狠抓落实整改,并对各单位的问题汇总报告进行整理;评审项目组还组织各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析,就同类问题开展自查自纠,以形成辐射效应。此外,宝钢股份还将内控评审项目和常规审计工作相结合,在内部审计工作中跟踪检查问题的整改情况。

三、宝钢在风险管理领域的实践

宝钢从2007年开始全力推进全面风险管理体系建设,这既是资本市场的要求,也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是:围绕宝钢的战略目标,在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面:

(一)以法人治理为基础,建设风险管理的组织体系

完善的法人治理是风险管理重要的内部环境,也是风险管理体系建设的起点和保障,而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业,在完善董事会试点的过程中优化董事会成员结构,建立外部董事制度,不断完善董事会运作机制,初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。

同时,宝钢按照国资委《指引》的要求,构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,公司明确了其各自相应的职责。第二道防线建设:总部层面成立由分管副总经理担任组长的“全面风险管理体系建设领导小组”,由系统运行改善部作为风险管理的综合管理部门,对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价,及时发现流程中存在的问题,提出内控完善的建议。

(二)与管控模式相结合,制定风险管理策略和流程

宝钢采取的是“战略控制型”的管控模式,即总部通过对策略性、全局性业务进行管控来确保战略意图的实现,对于具体执行性业务则授权给各子公司来执行,以确保整体运作效率和响应速度。

因此,宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点,通过推进风险管理文化建设、推动内控系统优化,确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施,建立并不断完善风险管理体系。各子公司则结合自身产业特征,从防范运营风险的角度出发,重点推进四项工作:1.建立风险管理的组织体系和工作机制;2.对重大风险进行识别和评估,形成重大风险清单,确定风险管理的重点领域;3.针对重大风险涉及的重要业务流程和重大事件,评估、完善内控体系,并落实为工作规范,制定管理制度,形成内控手册;4.针对可能发生重大突发事件的业务领域,建立预警机制,制定应急预案。

(三)建立了财务预警指标体系,使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警

在应急预案方面,在总部和子公司层面编制了一系列应急预案,提高宝钢处置突发事件、保障公共安全的能力,最大程度地预防和减少突发事件及其造成的损害。

四、整合的风险管理框架设想

通过长期的工作实践和思考分析,笔者认为:企业的风险管理工作需要和企业管理的多方面相结合,构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合,还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统如图1所示:

(一)风险管理系统应与公司治理系统进行整合

风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(iia)指出,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,高管和风险主管应当直接承担风险管理的责任,董事会则应积极参与增值型的风险管理活动,如在风险管理的过程中对管理层进行指导、授权和监督等活动。

(二)风险管理系统应与公司战略管理系统相整合

风险管理功能与公司战略管理功能相耦合,主要体现在图2所示的战略管理全过程中:

将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略,会引起不同的风险,也应采取不同的风险应对措施。因此,不同的战略模式将会导致在不同的领域配置风险管理的资源。

企业战略管理的最终目标是为了实现企业价值的持续增长,企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开,该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值,必须具有高效、快捷和质量可靠的业务流程,这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径,企业风险管理也应遵循这一路径而展开。

总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。

【主要参考文献】

[1] 张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[j].会计研究,2005,(2).

[2] 吴轶伦.内部控制自我评价[j]. 上海财经大学学报,2004,(4).

[3] 吴轶伦.内部审计职能的发展与风险管理模式的建设[j]. 冶金财会,2006,(3).

[4] 方红星.内部控制审计组织效率[j].会计研究,2002,(7).

[5]课题研究组.内部会计控制规范操作实务[m].中国商业出版社,2001.

[6]阎达五,宋建.双元控制主体构架下现代企业会计控制的新思考[j].会计研究,2000,(3).

[7] 朱荣恩、贺欣.内部控制框架的新发展——企业风险管理框架 [j].审计研究, 2003,(6).

[8] 金或日方 ,李若山,徐明磊. coso报告下的内部控制新发展 [j].会计研究,2005,(2).

[9] 严晖.风险导向内部审计整合框架研究 [m].中国财政经济出版社,2004.

[10] 宋夏云.现代风险导向审计模式的背景分析与理论创新 [j].中国审计,2005.

[11]胡春元.审计风险研究[m].东北财经大学出版社, 1997.

[12]吴轶伦.内部审计的风险管理模式[j].上海审计,2006,(1).

[13]郑石桥等.现代企业内部控制系统[m].立信会计出版社,2000.

[14]张国康等.内部控制制度[m].立信会计出版社,2003.

[15]课题组.现代企业内控制度:概念界定与设计思路[j].会计研究,2001,(11).

[16] arthur a. thompson.jr and a.j.strickland ш,段盛华等译,战略管理.中国财政经济出版社,2005.

[17] robert s. kaplan and david p. norton,刘俊勇等译.战略地图.广东经济出版社,2005.

[18] larry f. konrath, auditing: a risk analysis approach, 5th edition, south-western.

[19] paul j. sobel, auditor's risk management guide: integrating auditing and erm, aspen publishers, inc.

第8篇

(中国石油化工股份有限公司石油勘探开发研究院 北京 100083)

摘 要:2002年,美国国会和政府加速通过了《萨班斯法案》,其中404条款要求公众公司管理当局对企业内部控制的有效性进行披露,同时外部审计师必须对该份报告进行审计。我国于2008年由财政部等五部委发布了《企业内部控制基本规范》,由此开启了我国企业内部控制的新局面, 以风险防控为导向的内控管理体系建设,对企业内部管理起到严格的规范作用,能够较为有效地防范各类风险。

关键词 :内部控制;风险防控;企业管理

中图分类号:F279.26 文献标识码:A doi:10.3969/j.issn.1665-2272.2015.09.019

作者简介:周洁(1983-),男,工程硕士,中国石油化工股份有限公司石油勘探开发研究院工程师,研究方向:全面风险管理,企业全面风险管理体系建设。

收稿日期:2015-03-20

1 概述

1.1 国际背景

2001年12月,美国最大的能源公司——安然公司,突然申请破产保护,特别是2002年6月的世界通信会计丑闻事件。为了改变这一局面,美国国会和政府加速通过了《萨班斯法案》。法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。”

在美国出台的萨班斯法案中,对在美上市公司与财务报告相关的内部控制方面涉及最多也最为密切的条款是404条款。该条款要求公众公司管理当局对企业内部控制的有效性进行披露,同时外部审计师必须对该份报告进行审计。

1.2 内在需求

风险的不确定性是信息时代和后工业社会的基本特征,中央企业只有有效地管理不确定性才能使企业良性发展。整体来看,企业的风险管理经历了三个阶段。第一阶段是以“安全和保险”为特征的风险管理,主要是通过保险把风险转移给保险公司;第二阶段是以“内部控制和控制纯粹风险”为特征的风险管理,主要是对业务管理和流程方面的内部控制提出要求;第三阶段是以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。

1.3 新形势下增强企业风险管控能力的迫切需要

随着经济的发展和石油勘探开发行业改革的不断深入,在环境、资源、市场、战略、员工的能力与成本等因素的稳定与否给企业的发展带来了不确定性。石油企业普遍存在风险管理意识不足,风险管理实践经验欠缺,风险管理策略较为被动,风险管理专业人才缺少,风险管理技术相对落后等问题。因此引入内部控制管理体系对提升企业管理水平,增强企业风险防控能力至关重要。

1.4 内部控制和全面风险一体化管理的必然趋势

内部控制是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标,而全面风险管理则贯穿于管理过程的各个方面,更重要的是在事前制订目标时就充分考虑了风险的存在。从国际国内发展趋势来看,随着内部控制与风险管理的不断完善和更加全面,它们之间必然相互交叉、融合,直至统一。

2 理论依据

2.1 企业内部控制管理理论

内部控制,是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。

一般来说,企业资金的内部控制体系主要可以分为事前防范,事中控制和事后监督三个环节。

2.1.1 事前防范

首先,企业需要建立一套严格的内控规章制度,在企业的资金管理过程中,要合理设置职能部门,明确各部门的职责,各司其职,建立财务控制和职能分离体系。

2.1.2 事中控制

事中控制主要体现在保障货币资金安全性、完整性、合法性和效益性资金安全性控制。其范围包括现金、银行存款、其他货币资金、应收应付票据的控制。

2.1.3 事后监督

在资金管理过程中,除事前防范,事中控制环节之外,资金的事后监督也是必不可少的环节。

2.2 企业全面风险管理理论

所谓全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。全面风险管理体系包括:全面风险管理组织体系、全面风险管理制度体系,以及全面风险管理责任体系。

3 以风险防控为导向的内控体系建设

2011年以来,中国石化石油勘探开发研究院(以下简称“该院”)为贯彻落实集团公司建设世界一流能源化工公司的战略部署,全面展开了“世界一流研究院”的建设工作,提出了“要打造世界一流,管理要率先达到世界一流”的发展理念。两年来,该院通过标准化、规范化和流程化的管理来加强对风险、对过程、对细节的控制,通过制度规避风险,用流程控制风险,以责任降低风险,将风险防范的理念变成具体可操作的流程,将依靠经验的“自由动作”变成由各个基本操作单元组成的“规定动作”,达到提高经营管理效率、保障科技创新工作质量、满足海外项目及国内“会战”支撑要求的目的,塑造制度化、流程化、信息化管理模式取得了显著进展。

3.1 立足控制源头,合理设置权限

结合内控管理的基本要求,全面梳理该院各类科研与管理业务;再针对各业务的控制点与责任链,建立责任人与复核人逐级负责的审核制度;最终合理配置各级责任人权限,为明晰内部管理责任、防范经营风险、提高管理效率奠定了坚实的基础。

3.2 着眼责任权限,推动流程建设

通过合理的权限设置,推动该院建立具有系统性、适用性、协调性和规范性特点的制度体系;再通过制度整合优化带动流程体系建设,按照“一级流程对应业务大类,二级流程对应业务中类,三级流程对应业务小类,四级流程对应内控矩阵关键控制点”的原则,设计了实用有效的、能满足内外部风险要求的一体化流程,推动了以业务为导向的工作流程体系建立。

3.3 借助信息手段,实现过程监控

以中石化内控管理系统上线为契机,构建了该院特色的信息化、可视化、平台化、统一化的内控一体化信息管理系统。各级权限、控制点责任、季度测试、自查与检查均实现了在线监控与在线实施,极大地夯实了内控管理的基础,提升了管理效率,也为将来各系统不断深化融合提供有力保障。

3.4 积极宣贯培训,培育内控文化

以多种形式开展内控制度与手册的宣贯工作。一是在办公自动化系统(OA)及时发布与内控管理相关的信息;二是利用该院刊物及时刊载内控管理的宣传稿件;三是创新开通了微信公众平台“石勘风控&法治在线”,宣传内控管理的相关知识与风险管理资讯,受到该院及兄弟单位同事的广泛关注; 四是积极组织内控制度与手册的培训,每年内控实施细则修订完成后,即组织了全院范围的内控责任人员进行了针对内控修订的宣贯培训和业务讲解。

全院的内控宣贯与培训工作,采取了点与面结合、层与层分级、业务与管理分类等多种培训方式与模式进行,意在培养内控管理的常态意识,促进内控管理的文化建立。同时,根据集团公司及全院的发展需要,及时动态调整宣贯形式,创新工作思路,目前已逐步培育起了具有该院特色的内控管理文化。

4 主要做法和实施效果

近年来,通过引入内部控制管理体系,该院在风险防控方面的发展卓有成效,在制定发展战略时引入了风险防范内涵,内部控制管理体系初见成效,将内控及全面风险管理深度融合,对管理体系及制度体系健壮发展起到有力支撑,提升管理水平和效率,不断创造实际及虚拟效益。

4.1 内部控制管理促进全院制度建设出成效

根据股份公司对内部控制工作的相关要求,全院结合一体化制度流程建设,通过对原有制度与内控手册相抵触或有缺漏部分进行的修订和补充完善,形成了以内控为核心的制度体系。仅2012年至2014年,石勘院各内控流程责任部门先后补充、完善相关制度168项。

4.2 内控、风险、审计、法律联袂防控各类风险

(1)财务风险防控机制有效预防各类风险。通过内控各季度穿行测试,发现问题形成风险提示。其中通过定期财务风险提示,提示财务应收账款存在长期挂账未及时清收的风险。

(2)法律风险防控机制助力我单位风险防控。2012年-2013年,指导科研基地建设中合同的相关履行问题,提示和监督合同对方认真履约,并对某些违约行为进行责任追究,挽回经济损失300余万元。

(3)为石勘院内部审计打造良好基础。审计监督必须以真实可靠的会计信息为依据,检查错误,揭露弊端,评价经济责任和经济效益,而只有具备了健全的内部控制管理体系,才能保证信息的准确,资料的真实.并为审计工作提供良好的基础。

近年来,全院严抓内部控制管理体系建设,创建了较为良好的内部控制系统,有效地防止各项资源的浪费和错弊的发生,提高生产、经营和管理效率,降低企业成本费用,提高企业经济效益。

4.3 提升管理水平不断创造“虚拟效益”

近年来,随着院内部控制管理体系及全面风险管理体系建设,全面风险管理办公室针对经营管理中的各类活动,都能够较为有效的保证各类风险得到有效控制,为发展提供风险防控保障。

(1)企业战略风险防控。2013年,全面风险管理办公室协助院产业化工作进行风险分析。针对集团公司相关政策的研究,对国家政策及我单位形式的匹配分析,并针对所产生的战略运营风险进行详尽分析,为我单位重大决策事项进行有力保障。

(2)企业法律风险防控。全院风控管理与法律风险防控深度融合,共同防控各类法律风险。首先在法律制度上明确规范,对全部合同进行审查,在制定企业规章制度当中给予法律审核,确保制度的合法合规;其次法律工作深入企业决策过程,切实对可能发生的风险进行有效防控;第三是法律风险防范工作的常态化进行,连续4年编写《法律风险管理报告》,对可能面临的主要风险,制定有针对性的应对和防范措施。

(3)企业运营风险防控。近年来,全院风险防控体系对海外生产管理项目中合规可控方面给予极大保障。在与海外石油国家公司签订协议合同;与国外项目签订勘探、开发、以及经济评价等各协议,均有风险管理监控环节参与其中,确保了企业运营风险可控。

(4)企业人力资源风险防控。近年来,在人才引进、劳动用工、以及职工违纪等多方面,引入风险防控机制,使政策与实际相结合,并在人力资源管理过程中提示各类风险,保障人力资源管理稳定有序。

通过将内部控制理论、全面风险管理理论等与该院管理体系相融合,在促进该院制度体系不断完善、避免各类重大风险活动中,起到了极为重要的作用,并产生了客观的经济效益和“虚拟效益”。

4.4 风险防控, 有力提高科研生产水平

仅2014年,全院共承担各类科研生产任务433项,重大科研项目完成率和优良率达100%。申报中国石化科技成果鉴定17项,6项国际领先。获得中国石化、北京市等省部级科技奖项16项,其中一等奖4项。申请国家专利131件,获得授权29件,其中发明专利21件;认定专有技术15件;登记软件著作权34件。在全年各项工作中,也涌现出了一批值得认真总结的好成果。

5 结语

近年来,全院不断构建和完善以风险防控为导向的内控管理体系,通过以责任降低风险,以制度规避风险,用流程控制风险,以信息化监控风险的手段,将风险防范的理念变成了具体可操作性的流程,将依靠经验的“自由动作”变成了由各个基本操作单元组成的“规定动作”,将内控管理文化深入到每位员工心中,真正达到了提高经营管理效率、保障科技创新质量、满足科研项目支撑等诸多需要。内控管理产生的各类效益,在财务、人事、信息、科研及管理方面均有诸多显现,内控管理已成为全院风险防控的新常态。

参考文献

1 企业内部控制编审委员会.企业内部控制主要风险点、关键控制点与案例解析[M].北京:立信会计出版社,2012

2 高立法.企业全面风险管理实务(第二版)[M].北京:经济管理出版社,2012

3 高雅青.全面解析企业内部控制[M].北京:中国市场出版社,2010

第9篇

关键词:风险管理;内部控制;银行经营

中图分类号:F830 文献标识码:B 文章编号:1007-4392(2009)03-0044-04

未来银行业的竞争将集中在风险管理能力上展开,风险管理能力构成银行核心竞争力的核心元素。当前,中国日益融入全球经济金融一体化,银行业面临的风险日趋复杂多变;银行业全面开放,银行竞争日益国际化、白热化;《巴塞尔新资本协议》已经公布实施,银行业风险监管更加严格;国内银行不良资产屡有反弹,信用风险形势不容乐观;利率汇率市场化进程加快,市场风险逐渐显现;大要案频频发生,操作风险日益严峻。因此,尽快构筑起健全、有效的全面风险管理体系,全面提升风险管理水平成为我国商业银行亟待回答和解决的问题。

一、全面风险管理与内部控制

(一)全面风险管理的内涵与层次

按照监管部门的风险层次划分,商业银行的风险可以分为信用风险、操作风险和市场风险。

信用风险是指交易对手或债务不能正常履型合约或信用品质发生变化而导致交易另一方或债权人遭受损失的潜在可能性,是商业银行面临的重要风险。

市场风险又称价格风险,是指由于被用于交易的资产或可交易的资产的价值发生变化而导致损失的风险。可以分为利率风险、汇率风险、股市风险、商品价格风险(期货风险)。对于商业银行来说,市场风险主要是利率风险和汇率风险。

操作风险是指由于不完善或失灵的内部控制、人为的错误、制度失灵以及外部事件给银行带来直接或间接损失的可能性。操作风险包括诸如控制风险、信息技术风险、欺诈风险以及法律和商誉风险等。与信用风险、市场风险相比,操作风险有显著不同之处:操作风险大多是在银行可控范围内的内生风险,与收益无关;而信用风险和市场风险更多表现为外生风险,与收益相关。

就当前来说,信用风险是最主要的风险,直接表现就是不良贷款上升,业务指标恶化。按照新的监管标准,不良贷款率不得高于5%。操作风险则主要取决于日常管理的效率。随着利率市场化改革和汇率改革的推进,市场风险离商业银行越来越近。

(二)全面风险管理下的内部控制

实施全面风险管理的关键在于构筑商业银行内部控制系统,来落实风险管理的要求。在构筑内控体系时,要运用现代金融工程研究的理论成果,创造性运用各种金融工具和策略解决金融财务问题。银行内部控制体系的基本依据是《商业银行内部控制指引》,如何将《控制指引》的基本原则以及思想导入全面风险管理,需要我们研究。

在《控制指引》中,将商业银行内部控制细分为五大要素,采用了目前关于内部控制最具权威的美国COSO委员会1992年所《内部控制―整体框架》报告中提出的内部控制,包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系要素的概念。巴塞尔新资本协议要求金融机构将市场风险和操作风险纳入整体风险管理,而COSO委员会《内部控制―整体框架》报告则揭示了市场风险和操作风险控制原理,因此,无论从国际惯例来讲,抑或从中国银行业公认准则来讲,依五项要素进行内部控制,是全面风险管理的一个立足点。

《控制指引》根据银行业发展和风险防范面临的新形势,将商业银行内部控制细分为授信的内部控制、资金业务的内部控制、存款和柜台业务的内部控制、中间业务的内部控制、会计的内部控制、计算机信息系统的内部控制等6个方面,并作了详细规定。内控重点一是防范信贷资金违规。尽管近年来银行各项内控机制和风险防范制度在不断完善,但金融机构信贷资金违规案件仍层出不穷,无一不暴露出银行内控机制、风险防范和监管制度的薄弱。一桩桩银行案件出现之后,监管部门、专家学者和商业银行自身也都首先将目光集中到完善银行内部控制上。因此,《指引》将商业银行授信内部控制的重点放在实行统一授信管理,健全客户信用风险识别与监测体系,完善授信决策与审批机制,防止对单一客户、关联企业客户和集团客户授信风险的高度集中,防止违反信贷原则发放关系人贷款和人情贷款,防止信贷资金违规使用。同时,明确商业银行应当严格审查和监控贷款用途,防止借款人通过贷款、贴现、办理银行承兑汇票等方式套取信贷资金,改变借款用途。商业银行应当建立统一的授信操作规范,明确贷前调查、贷时审查、贷后检查各个环节的工作标准和尽职要求:贷前调查应做到实地查看,如实报告授信调查掌握的情况,不回避风险点。二是商业银行资金业务内部控制的重点:对资金业务对象和产品实行统一授信,防止资金交易员从事越权交易,防止欺诈行为等;对于存款业务,商业银行应当对内部特种转账业务、账户异常变动等进行持续监控,发现情况应当进行跟踪和分析等。

《控制指引》所阐述的全面风险管理理念体现在以下两个方面。首先,《控制指引》有一个非常重要的全面、审慎、有效、独立“八字原则”,并将“全面”定义为内部控制的首要原则。内控覆盖所有部门和岗位。在控制过程中,《指引》要求内部控制应当渗透商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查,且任何人不得拥有不受内部控制约束的权力,这在制度上杜绝了象中行高山案发生的可能。在控制架构上,《指引》要求建立涵盖各项业务、全行范围的风险管理系统,开发和运用风险量化评估的方法和模型,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控,这就使得内部控制覆盖到银行的全部经营管理活动。其次,《指引》对银行内控作用对象进行了细分,组织结构控制方面,包括公司治理结构、高级管理层控制责任、执行控制部门及部门控制技术手段;业务运行控制方面,包括授信、资金、存款及柜台、中间业务、会计、计算机信息系统控制;控制监督与考评方面,给定了内部控制评价、纠正、后续行动与信息流动的控制机理及要求。可以说,在《指引》的指引下,银行内部控制需求基本能够得到满足,这既是《控制指引》的设计理念,也是银行内部控制与《控制指引》成为银行构筑全面风险管理平台的实践依据。新公布的《指引》毫无疑问是我国商业银行构建内部控制制度和内部控制制度执行的重要规章。

二、构筑符合全面风险管理要求的内控体系

(一)建立体现全面风险管理的公司治理结构

《控制指引》要求商业银行董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任,这一要求在全面风险管理中至少包含两层涵义,一是全面风险管理必须由决策层来推动,二是高级管理层也是全面风险管理的一个控制环节,因为内部控制具有高度的权威性,任何人不得拥有不受内部控制约束的权力。在股份制商业银行,公司治理结构从银行发起时己经成型。国有商业银行目前已进行上市,农业银行正在进行上市前准备,依照《公司法》,建立公司治理结构是必走的一步棋。在公司治理结构中,体现全面风险管理要求的标志有这么几个特点:银行依法设立董事会和监事会,并设立独立董事,构建以股东大会―董事会―监事会―经理层之间的权力划分和权力制衡的有效结构,通过高级管理层权力制衡,抑制“内部人控制”、“道德风险”的发生;设立风险管理委员会,风险管理委员会总揽银行风险控制。设立审计委员会,并将审计委员会明确为全面风险管理的监督、评价部门、负责检查、评价内部控制的健全性、合理性和遵循性,督促管理层纠正内部控制存在的问题。前者负责拟订、执行控制程序,后者负责监督、评价控制状况,并将修正控制意见反馈前者,以完备内部控制体系。

(二)将《控制指引》蕴含的控制理念导入全面风险管理

内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。商业银行的风险管理,侧重点应放在事前预测与事中控制方面,不应在事后风险处置上。《控制指引》吸取了最新、最近的国际内部控制理论,虽然目前它并非是一个强制性文件,但它却是银行界应当给予足够重视的方法性文件。股份制银行重组上市,无法绕过文件给定的原则。《控制指引》重要理念主要有五点:一是无任何人、无任何经营活动能游离于内控体系之外的理念,任何人均应自觉遵循控制制度;二是内控优先的理念,一切新型业务应以防范风险、审慎经营为出发点,风险在前,收益在后;三是一切控制均有案可查的理念,保存控制记录;四是回顾、检讨控制轨迹,甄别控制责任,传递控制信息,监督纠正控制错误的基础;五是内部控制监督、评价部门保持独立性的理念,按《控制指引》要求,审计部门应实行全行系统垂直领导,作为内部控制监督、评价部门,拥有直接向董事会、监事会和高级管理层报告的渠道。

(三)制定全面的风险识别、计量、报告程序

银行风险管理委员会应整合现有内部控制资源,统筹制定信贷风险、市场风险、流动性风险、操作风险、法律风险、道德风险等风险的识别、计量、监测、报告制度、程序和方法,实施银行全面风险控制技术,对各类风险进行持续监控。除信用风险评级预警系统外,运用先进风险管理工具,对市场风险、流动性风险进行模型分析和控制,对市场风险,即市场利率、汇率变化而使资产收益减少或负债成本增加的风险,应遵循《巴塞尔资本协议市场风险修正案》及《控制指引》有关资金业务内部控制要求,制定适合本行控制需求的控制程序;对流动性风险,即银行因资金结构不合理,超负荷经营,没有足够现金清偿债务和保证客户提取存款而给银行带来损失的可能性,应当克服国有银行以国家为后盾的风险麻痹意识,未雨绸缪,研究包括匹配资产负债比率、监测资产实际变现能力,监测资本充足率等重要流动性指标的控制程序。

1.操作风险。操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。对于银行来说,操作风险是一种比较难以控制的风险。目前全世界的银行业也没有一种较好的方法来控制和计量它。《新巴塞尔协议》要求2007年所有的银行都要开始按照协议规定的三种方法的一种来计算经济资本,进而控制操作风险。但据调查,到2006年底,全世界能够满足《新巴塞尔协议》要求的只有大约38%的银行。另外60%多的银行都不可能在2007年以前开始对操作风险实行管理,它们的预期实施时间是2010年到2012年。因此对《新巴塞尔协议》在全球的顺利实施并不是短时间内就可以实现的。操作风险难以控制的原因在于它跟人的关系密不可分,相互关联,而人的道德风险、行为特征又相当难以控制,这一点国内和国外都是一样。目前部分银行计量操作风险经济资本的方法主要采用加权平均法,即将银行前三年的收入加总平均,再乘一个系数。当然,《新巴塞尔协议》介绍了三种方法,分别为:基本指标法、标准法和高级计量法。加权平均法属于基本指标法类。

国内商业银行对于操作风险的管理仍处于初级阶段,真正达到对操作风险的管理至少还需3到5年的时间。而国内人文环境的差异、地方文化特征、商业氛围又会对操作风险管理产生很大的影响。与国外先进银行的水平相比,国内商业银行在操作风险管理方面更是处于相当初级的阶段。但是,国内商业银行在提升操作风险管理方面大有可为。具体的步骤包括:首先,要求银行董事会和高级管理层从战略上重视对于银行操作风险的管理,把对于操作风险管理的认识提升到应有的高度,制定出操作风险管理的整体框架;其次,要求对银行的整个业务流程进行检查与评估,识别容易产生操作风险的环节,采取流程优化、部门与岗位职责调整等手段,从系统上杜绝或减少操作风险的滋生点;再次,还应该注重技术创新,积极设计操作风险的管理工具,在技术手段上强化对于操作风险的实时管理与追踪;最后,还需要在人员培训与激励方面构建出重视操作风险管理的技能与文化,从而全面提升银行的操作风险管理水平。即由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险,要针对银行需求进行控制程序开发。同时,进行岗位定位,借鉴国际化质量标准体系,层层制作场所文件;在各操作层面按部门、分支机构设立风险经理,前移风险管理关口。但操作风险与其他风险不同,其中掺杂道德风险和机会性风险,极易因人为因素酿成,其控制难度较大,巴塞尔新资本协议在将操作风险纳入第一支柱的同时,认为操作风险的管理方法虽在迅速发展,但近期内不能达到准确量化信用风险和市场风险的程度,因此也鼓励商业银行在探索中开发新的控制技术。本文认为,控制操作风险,仅有按产品分类的内部控制分册还不够,必须辅之以在线控制技术。首先,银行各项业务活动应全部纳入统一的网络管理,各种风险信息能够在线监控和自动进行风险预警;其次,在未来几年内,银行应为操作风险在线监测安排足够的资本性及人力技术资源。

2.市场风险管理。相对于全球市场,国内银行由于处于相对稳定和封闭的金融环境,以及面对相对有限的金融产品的选择,其承受的市场风险压力比信贷和操作风险为弱。然而伴随着国内利率、汇率逐步自由化的步伐,原来并不突出的市场风险的重要性将会逐步放大。一方面,波动更大、变动因素更多以及种类更加丰富的金融衍生工具意味着更丰富的市场风险控制手段,但另一方面也意味着对于市场风险管理能力提出了更高的要求。在这种时候,国内商业银行应当未雨绸缪,为即将要承受的各类市场风险做好准备。

(四)建立内部控制的监督、评价、纠正机制

应充分发挥银行内部审计部门作用,建立监督、评价、纠正机制,使全面风险管理平台真正承受起风险控制之重。根据《内部审计专业实务标准》中的2100条款,内部审计部门评价并帮助改进机构的风险管理、控制和治理体系。国际内部审计师协会将内部审计的定义采取“规范化的方法,对风险管理、控制和治理过程的有效性进行评价和改善”。

第10篇

关键词:全面风险管控;内部审计;全面风险管控审计

中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)11-0-01

一个公司治理机制运行效果的重要指标是内部审计工作的成效。如果一个公司的重大经营活动出现问题的话,最先能够发现和察觉问题的是内部审计。由此可见,内部审计在企业中担负着重大的责任。随着企业环境多元化,各类风险层出不穷,企业通过什么战略来管理风险,识别和控制风险成为了迫切需要解决的问题。战略的成败直接关系企业的生死存亡。

一、全面风险管控审计的概念和特征

全面风险管控审计是全面风险管控和内部审计结合下的产物,也是现代企业顺应时展要求所提出的新策略,目的是为了改善企业的经营效率,提高企业社会价值。全面风险管控审计是在内部审计的基础上再加上对企业战略目标,风险评价指标,企业绩效分析等多个方位领域的考察而形成的。概括一下主要是三个方面:一是用来识别企业重大的风险决策错误;二是评价和控制风险;三是形成剩余风险。剩余风险主要是指一些企业控制不足的或者是无效的部分,对于这类风险,企业不能忽视放任不管,审计员需要制定相关的策略,找到企业控制不足的地方并提出管理办法,将剩余风险转化为可控的企业风险。

全面风险管控审计是在传统审计的基础上将其审计对象扩展到整个企业风险管理上的一种全新的审计模式。它不仅具有了传统的内部审计的特点还具有了新的特征。(1)在各个步骤全面渗透风险管理的理念;(2)更利于审计单位的持续经营能力和计划的系统分析和宏观上把握审计面临的风险;(3)改进了控制风险的测试,更加及时的发现重大错报风险;(4)审计结论的依据更加充分即包扣审计证据也包含了解企业和环境所获取的证据。

二、全面风险管控和内部审计的关系分析

全面风险管控和内部审计的关系是相辅相成的。它们不是毫无关系的两个独立的个体,它们之间有着千丝万缕的牵连。

1.内部审计参与推动全面风险管控的建设。内部审计师一般都具有考虑风险、了解风险、治理风险的专业技能,换言之他们有能力推动企业的全面风险管控建设。内部审计的主要工作有三方面:(1)给管理层提供控制和分析内部审计风险所用的工具和技术;(2)利用自身管理和控制风险的专业知识实现对风险的组织指导和风险框架的建立;(3)是帮助决策者确定降低风险的最佳方式。联系实际的企业状况内部审计参与推动全面风险管控的建设的主要工作如下表所示。

2.内部审计对全面风险管控进行定期审计。为董事会提供关于风险管控效果是内部审计和全面风险管控相互关联的核心功能。内部审计作为一种独立客观的确认活动参与到全面风险管控的审计中需要注意的问题很多,其中主要的有:如何评估和认定严重风险;主要目标是否是评定的关键;对于全面风险管控的措施是否符合企业的当前状况如何认定;当决策者对某些风险视而不见时,如何提出注意和管理的建议等等。内部审计对全面风险管控进行定期审计的主要工作大致包括三个部分。

(1)充分评估风险识别。风险识别是一个至关重要的过程,主要是对企业过去的,现在的、潜在的的风险进行判断,归类、统计和鉴定。对于企业正在面临的和即将面临的风险做到心中有数。企业要想更好地识别企业的风险必须对企业过去解决了的风险进行评价与总结,从中找出一些可以通用的方法以便面对不同的风险可以采取相应的措施。如何识别出企业的主要风险方法多种多样,一般有决策、可行性、统计预测分析等等。

(2)恰当评价已有风险衡量。风险衡量的过程:先采用定性和定量的方法评定风险的大小;然后找出风险源;最后采取相应的措施解决风险问题。主要的方法有:调查专家打分法、风险报酬法、风险当量法等等。对于已经有了结果的风险衡量需要再检验其是否恰当,如果结果是不恰当的要及时的给予纠正。

(3)充分评估风险防范对策并改进。内部审计要定期的对从事风险防范措施的部门进行检查,主要是检查一下风险防范对策是否充分和得当。一旦出现了企业措施不能充分掌控的风险,审计人员应该立马召开会议讨论,针对该风险提出新的改进措施,不至于企业因为这个风险而损失巨大的利益。一般可采用避免风险、分离风险单位、损失控制等方法来降低企业的风险损失,保证企业的风险管控。

3.全面风险管控逐步深入内部审计。由于企业随时代变化所发生的变化,使得单纯的财务收支审计已经跟不上企业的发展,这就要求企业内部审计发生转变。而将全面风险管控融入到内部审计正好是企业所要求的,也是大部分企业内部审计转变的一个主要形式。如何将风险管控的理念融入到企业的内部审计需要做好两方面的工作,一个是积极推行风险评估的年度审计计划;另一个是在常规的审计过程中不断地提升风险的识别、分析和评估的手段。在具体的实践过程中,首先对于风险要有明确的认识例如它的的特征、性质、程度、影响因素等等;然后对审计资源进行合理的配置,将有限的审计资源集中用于解决重要的风险。同时,要加大对风险的识别和关注,正真做到将全面风险管控深入到审计项目中。当然不同类型的审计项目所关注的风险类型也是不同的。简单举个例子对于工程类的项目,审计项目所关注的风险主要是合同风险、工程招投标风险、市场风险等,而对于经济类的项目,审计项目则关注的是公司战略风险、市场风险、运营风险等。

三、结束语

全面风险管控和内部审计的完美相融形成的全面风险管控审计是现在企业所追求的战略层面的新发展。全面风险管控审计的功能价值与日俱增,不仅可以从企业的全局和战略角度关注风险还可以有效识别固有风险也可以降低企业的剩余风险提升企业的价值。所以不论从那个角度看,全面风险管控和内部审计的结合都是大有发展空间的。

参考文献:

[1]李彦春,张媛媛.内部审计应如何参与企业全面风险管理[J].财务与会计,2011,11(06):65-67.

第11篇

【关键词】银行承兑汇票内部控制机制搭建

【中图分类号】F832

随着我国金融业的迅速发展、金融产品品种的进一步开放和市场化,票据业务尤其是银行承兑汇票(以下简称汇票)业务已成为商业银行扩大信贷业务、企业扩大融资渠道的重要手段。

作为一种信贷支付手段或融资媒介,汇票管理过程中存在多种内外部风险因素。对于一般企业来说,其面临的汇票风险主要包括票面风险,交接、背书、贴现、托收以及保管风险,这些风险覆盖了票据流转整个链条。针对以上风险,很多企业的通常做法是从自身制度层面、组织保障层面、相关岗位人员素质层面加强对汇票风险的管控。部分企业甚至采取风险规避态度,即在销售时尽量少收汇票,以回避、停止或退出蕴含风险的汇票业务。然而,这种保守型的风险管理策略或多或少有些因噎废食,企业的明智做法应该是在保证合理经济利益的前提下,通过各种措施防范使用汇票带来的风险。2006年6月国务院国资委颁布的《中央企业全面风险管理指引》以及五部委后续联合的《内部控制基本规范》和具体指引等都为企业风险控制管理提出了制度性要求并提供了可操作性指南。

一、理论基础

(一)风险管理整体流程和步骤

2004年COSO的《企业风险管理――整合框架》( Enterprise Risk M anagement,以下简称ERM),将风险管理分为八个要素,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监督,这要素紧密配合,关键步骤形成闭环,持续进行。2006年国务院国资委颁布《中央企业全面风险管理指引》(以下简称指引),将风险管理分为初始信息收集、风险评估、策略选择、解决方案制定、监督和改进、组织体系、信息系统和风险管理文化等八个要素。指引和ERM内容基本相同,区别在于所反映的理念存在差异,ERM强调内部环境和目标设定,指引强调信息收集。

考虑多年来商业和经营环境的变化,COSO又于2013年了《内部控制――整合框架》(以下简称内控框架),指出评价内部控制有效性的五个原则,即控制环境、风险评估、控制活动、信息与沟通和监控,原则的部分具体内容如表1:

通过比较分析可见,ERM和内控框架是互补的,而无论是ERM还是内控框架,都非常重视在既定目标下风险管理控制活动的流程化以及流程的持续改进,而这又得益于风险管理流程和风险管理体系如组织结构、信息沟通等有机融为一体。因此,中国企业在进行风险管理时,需要强化目标意识、把握流程控制、注重内控体系的细化和持续更新。

通过借鉴ERM和内控框架对风险管理的制度性规范和要求,企业在进行汇票风险管理时,需要结合自身实际,把握流程控制这一核心,在汇票流转的全过程进行风险控制,同时以信息系统、组织保障等形成内外部环境支撑,实现汇票风险控制管理流程的持续优化和改进。

(二)金融产品的风险管理

汇票作为金融产品,具有无形性、价值本质和风险性等特征,其风险管理是一种微观层面的金融产品管理。金融产品存在各种不同的风险,而不同性质的风险,需要不同的措施来加以防范,李翔(2005)通过将金融产品的风险进行分类,针对不同风险,采取不同的手段进行风险控制,具体如表2所示:

庄新田,黄小原等(2001)认为在进行金融产品风险管理时需考虑企业对风险的不同态度,进行风险管理的效用分析,进而实现不确定环境下金融产品投资组合决策。此外,金融产品市场瞬息万变,而信息技术的迅猛发展又为金融产品风险管理提供了强大的技术支持与保障(刘海龙,王惠,2009)。

作为一种金融产品,由于汇票实物只是票据权利的载体,汇票有价证券的属性决定对其管理有别于有形资产。汇票权利中隐含着信用风险、经营风险,企业要保障票据权利,需要注重票据要式、票据交易的真实性与合理性,同时加强汇票实物管理,以便于后续行使票据权利(许祥彬,2012)。

总之,汇票的金融产品属性要求在进行汇票风险管理时,针对不同性质风险制定不同应对措施,以利于采取更有效的措施来防范或控制风险;同时汇票和其他有价证券一样,其实物管理与价值管理可以适当分离,这也是汇票可以进行集中托管的原因,这样可以最大限度地提高汇票管理效率,保证汇票安全。

三、企业银行承兑汇票风险管理机制的建设

针对目前汇票使用的风险,企业应基于风险管理框架及金融产品特殊性的考虑,建立汇票风险管理机制。

(一)明确定位

企业应准确进行目标定位,明确汇票风险管理的提升目标,即在汇票管理风险控制的要求下,优化汇票风险管控的制度环境、信息与沟通以及相关控制活动,以确保在满足生产经营和安全管理需要的前提下,实现汇票管理环节的完善、汇票安全与风险控制,提升汇票管理的效率和效益。

在内部环境层面,建立完善的汇票管理制度,加强内部控制,以防范风险。根据企业生产经营实际,对不满足公司现状或不符合安全风险控制的制度条款加以完善、修改,对出票人、出票银行资质范围进行规定以从票据流转源头控制汇票风险。

在信息与沟通层面,利用企业内外信息系统,实现信息共享与汇票在线管控。对内,通过信息化手段,搭建与营销技术支持系统、银行票据系统端口的对接平台,实现汇票信息共享和数据实时查询,实现汇票在线管理数据与实物的一致性,提高汇票实物管理的安全与风险管控能力。对外,由于汇票信息获取渠道较窄,无法防范假票、克隆票风险和不能及时了解汇票权利的不利变动,企业应积极与银行机构合作,利用金融信息平台与专业服务系统,实现汇票的在线收取、票据库登记、真伪查询、转移支付、到期承兑等功能,实现汇票在线全过程管理,防范汇票持有期间信息不对称风险。

在控制活动层面,通过流程再造统一规范汇票操作流程,改变汇票管理模式,实行汇票集中管控。利用信息化技术实现汇票电子化管理,对汇票业务全部流程梳理后再造,从企业层面规范并固化汇票从收取、托管、转移支付至到期解付的全过程管理,优化收票审核环节,设置出票验证三级审核环节。重新设定岗位操作权责,优化人力资源配置,通过内部控制来强化汇票安全管理,降低汇票安全风险。

(二)风险识别与评估

企业内应进行风险识别和评估,明确企业在汇票管理过程中存在的各种内外部风险因素。从企业自身角度来讲,汇票管理制度需要根据企业的实际经营情况进行不断修改、完善以实现经营业务端与票据财务端的有效对接。受快速变化的经济形势的影响,企业的经营活动不断出现新问题、新变化,而企业的汇票管理制度却难以同步更新,进而导致依存于并同时反作用于经营活动的汇票业务由于缺乏相应的制度规范而难以满足企业经营活动的需求。

汇票业务流转需要企业内部各个部门与银行协同进行,在这个过程中会由于双方的原因而影响汇票流转的效率。如托管银行在办理汇票收支业务时手续繁琐,效率不高,失误率高;而缺乏信息化技术手段,不仅导致难以有效鉴别票据真伪、票据权利监控乏力,又会导致相关信息无法共享,企业内部和托管银行提供汇票数据滞后且存在时间性差异,汇票信息、汇票实物难以实时管理,汇票流转轨迹无迹可寻,监管难度大,最终导致汇票管理高成本。

(三)风险应对

在科学、合理地进行风险识别与评估的基础上,针对具体情况制定风险应对措施。针对优化汇票风险管控内部环境目标,企业根据汇票安全管理要求,及时完善汇票相关制度规定,对汇票管理办法中不符合安全风险控制的制度条款加以完善、修改,从制度层面规范汇票业务的管理。

针对优化信息与沟通目标,企业应本着通过信息化手段实现汇票“统一收取、统一支付、集中管控”的理念,银企互联积极打造汇票管理平台,积极与银行开展“票据在线托管信息系统”协作开发,借助银行已有的“票据池”管理功能,实现汇票出入口安全管理,全面提升公司汇票安全管理水平。在此过程中,双方按照各自责任、权利和相应功能点,分别开发相关功能。企业可借助第三方资金结算平台,搭建财务管控系统与银行系统的接口,实现双方功能对接,增加汇票管理在线安全管理和信息处理功能,实现真正意义的数据自动化管理。

针对优化流程目标,一方面推广业务标准流程,对各项业务进行全面彻底的梳理与改进,解决流程管理、政策执行标准不统一等问题。结合汇票管理中发生的实际问题和银行票据管理功能,对汇票全过程管理中的真伪验证环节和客户缴纳汇票后的后续责任加以强化,对汇票收取、背书转让、支出、余额库存管理、账务处理等展开研讨、梳理、统计,对汇票收支管理的关键环节设定多重审核控制点,增强汇票的安全管理,降低风险。另一方面对票据集中管控,实施开发“票据在线管理信息系统”,创新打造“汇票集中”在线管理模式。对汇票实物采取金融机构托管的制度,并通过财务管控系统与银行端口对接,进行汇票信息全过程管控,实行银行集中托管,企业统一对外支付、承兑、贴现,按照托管协议行使追索权以妥善处理汇票纠纷。

至此,汇票风险管控机制方可得以落地实施。概言之,企业应坚持以汇票安全管理为核心,以信息化管理为手段,对汇票资源进行全面整合,构建汇票集中管理模式和风险防范体系,实现汇票集中收取、集中支付、全面安全监控的全过程集中管控目标。

主要参考文献:

[1]COSO,企业风险管理――整合框架,2004.

[2]COSO,企业内部控制――整合框架,2013.

[3]丁家丰,新版《内部控制――整合框架》的主要变化及其对我国企业的启示,财务与会计,2014(2):62-63.

[4]商迎秋,企业全面风险管理框架比较研究,审计月刊,2011(1):50-51.

[5]张琴、陈柳钦,论全面风险管理框架体系的构建,中国石油大学学报(社会科学版),2009(25)(2):15-20.

[6]李翔,浅议衍生金融产品风险管理,经济工作,2005(21):108-110.

[7]庄新田、黄小原、李冰,不确定环境下金融产品投资组合的模型与优化,系统工程,2001,19(2):1-4

[8]刘海龙、王惠,金融风险管理,中国财政经济出版社,2009

[9]许祥彬,银行承兑汇票业务的发展与风险防范,金融市场,2012(9):61-64.

[10]郭莉,浅析银行承兑汇票在企业中的应用及风险防范措施,财金论坛,2012(8):183.

第12篇

关键词:风险导向 内部控制

针对多业态跨区域经营特点,为加强企业风险管控,公司结合生产经营实际,积极探索适合企业发展需要的以风险为导向的内部控制体系建设及管控模式。经过几年的探索实践,增强了企业风险管控能力,提升了企业经营管理水平,为实现公司战略目标起到了积极的促进作用。

一、建立以风险为导向的内控体系是提升公司风险防控能力的客观需要

(一)防控风险已经成为公司管理的重要目标

世界经济进入全球化时代,企业经营业务多元,地域分散,复杂的社会经济环境影响着公司的经营、稳定和发展。随着企业经营规模扩张,交易金额增大,交易频率加快,企业面临的不确定性因素增多,传统的企业管理制度局限性日益凸显。分析国内外企业倒闭或衰败的例证,总结本公司多年经营中的经验和教训,无不与企业风险管控密切相关,经营过程中的风险防控已经成为企业管理的重要目标和焦点。建设和完善风险为导向的内部控制体系已成为企业防控风险重要措施。

(二)防控企业风险要靠严密的内部控制体系做保障

公司风险管控经历了三个阶段,一是凭经验管理(公司初创时期),对有风险的业务选派“经验丰富”的人去管理,经营决策靠有经验的领导把关,被称为经验管控阶段。二是靠单项制度控制,针对高风险业务制定专门的控制措施,做到一事一制度,方法虽然简单,但由此步入了制度控制阶段。经过一段时间摸索,积累了一套行之有效的管理制度,在规范企业管理和防控风险中发挥了重要的作用。但由于规章制度多为单项规定,程序性规定很少,标准制度没有流程保证,且各专业部门颁布的管理制度都带有不同程度的局限性,缺乏系统性、全局性,已不能适应企业全面风险管理的要求。三是进入了体系控制阶段,为做好企业风险防控工作,公司结合不同风险特征,对现有的制度、标准和程序进行了完善,对业务流程进行了重构,提高了制度的可操作性、严谨性和规范性。将原有的内控制度提升以风险为导向内部控制体系,实现了风险管理多维度的体系控制。

(三)防控风险是提升公司综合管理能力有力手段

以风险为导向的内部控制体系建设及实施,不仅提升风险管控能力,而且提升了公司的综合管控能力,该体系明确了控制活动的对象,规范了交易活动源头控制的业务流程,强化了控制主体责任,使公司各种经济活动实现了全面受控。通过系统严谨闭环管控措施的落实,很好的与企业经营活动结合起来,逐步改善企业的内控管理,使公司综合管理能力不断提高。

二、以风险为导向的内部控制体系框架及做法

公司借鉴国内外内部控制实践经验,以COSO框架及财政部等五部委颁发的《企业内部控制基本规范》和国资委的《中央企业全面风险管理指引》为基础,结合企业实际,建立以公司战略为核心,以风险为导向,以责任为主线,以业务流程管控为方法,以监督与评价为手段,注重管理改进的企业内部控制管理系统。从确定内部控制体系的目标、辨识评估风险、梳理管控流程、制定控制措施、开展内控监督与评价和持续改进等五个方面,推动、构建和完善了以风险为导向的内部控制体系建设。

(一)确定以风险为导向的内部控制目标

目标设定是以风险为导向的内部控制体系建立的前提条件,在风险管理过程中是一个重要环节。首先是在设定内部控制目标的过程中,要充分考虑各种风险对企业经营管理的影响程度,把握对重大风险的判断。其次是要根据内部控制目标设定,确定内部控制实施方案,并随着目标改变适时进行必要的调整。三是风险控制措施根据内部控制目标的存在而确定,随着目标的改变而改变,只有先明确了内部控制目标,才能对识别出的风险制定相应控制措施。

公司围绕经营及管理风险,确立以资产的存在、完整、归属、计价正确和收益等属性的落实为风险控制的现实目标,以实现“体系可靠、风险可控、运行可持续”为体系规划目标。总目标是:以国家相关法律法规为依据,以公司现有资源为基础,以财务报告风险、法律风险、经营风险为切入点,以源头治理和过程控制为核心,以防范风险为重点,对企业现有管理制度、职责分工、权限分配和业务流程进行全面梳理,建立起设计科学、简洁适用、运行有效的内部控制体系,推进科学治企。

(二)建立风险数据库

通过收集风险事件,确定公司层面风险分类和风险名称,形成公司层面风险事件库和风险数据库。针对风险事件关联性,主要收集了连续三年公司内部风险事件案例、行业内相关历史事件和未来风险预测,包括公司相关材料记载的相关事件、内外部审计发现的问题、各业务部门存在的重大问题或隐患等。通过分析筛选,选取具有代表性的、对公司影响较大的事件共77条,形成公司层面的《风险事件库》。

在收集风险信息过程中。按照内外部、业务板块、部门单位等条件将各类风险因素进行分类汇总,厘清各个问题之间的因果关系,方便从整体上把握风险和机会,有助于各职能部门更好地认识和关注与其直接相关的风险。经过比对分析,确定公司各项业务、重要经营活动及重要业务流程中的风险,并予以客观准确地表述。通过与各职能部门以及所属单位反复沟通,识别出可能影响公司实现经营目标的风险因素,进行整理分析并编制《风险汇总表》,最终确定了公司层面风险分类和风险名称,共4大类24个风险,形成公司层面的《风险数据库》。

(三)识别与评估风险

风险是指可以识别的不确定性事项,它能对企业经济利益造成有利或不利影响,其来源及影响具有不确定性。风险评估的目的是对影响公司的不确定性因素进行识别,对其进行科学评估、量化,指导对不确定性因素的把控。

风险识别是风险评估的基础,其结果直接影响着整个风险管理流程的节点设置,公司各职能部门及所属各单位运用确定的风险识别方法,结合内外部风险事件信息,对本部门及本单位业务涉及的风险事项进行识别、归类,在分析的基础上确定本部门及本单位公司层面、业务活动层面、信息层面的风险。根据各部门及各单位识别出的风险,进行分类整理、分析汇总,确定公司存在的各类风险。

风险评估。在编制公司层面风险事件库和风险数据库的基础上,根据获得的历史数据和行业资料等信息,查找风险发生的内外部原因,组织开展公司风险发生的可能性及影响程度评分分析,对公司层面24个风险发生的可能性和影响程度进行评分,并计算个体评分的风险值。按照风险评分人员的业务能力、技术水平和工作经历等,对参与风险评分人员划分类别,设置相应权重,并采用加权平均的方法计算风险等级分值,评估公司面临的风险。按照上述方法计算24个风险的加权平均风险值并排序,依据公司风险等级标准,确定公司层面重要风险12个。

(四)梳理管控流程

按照《企业内部控制基本规范》,遵循内部控制体系固定的框架及文本模板,编制组织结构图,描述部门及岗位职责,建立起业务管理流程。公司针对确定的各类风险,按照规范及重要性原则,以实现业务不交叉、管理不重叠和责任不遗漏为前提,实现各类资源的优化配置,提升管理效率和市场反应速度,防控风险的目的。业务流程管理遵循风险导向、业务驱动、规范描述和强化执行的原则,突出流程与业务与管理的深度融合,将业务操作、管理制度、工作职责和信息化建设有机结合起来,形成了脉络清晰的流程架构。公司共梳理一级流程22个,二级流程165个,三级流程553个。设置318个风险点。建立了一套清晰顺畅、完整严密的业务及管理流程体系。

(五)制定控制措施

根据风险评估的结果制定控制措施是内控体系的关键环节,一是要针对重要业务流程,分析控制重点,按照公司各项规章规章制度,制定控制措施。二是参照《企业内部控制基本规范》,查找现有控制措施中的缺项和遗漏,设计改进措施方案。三是落实相关部门和责任岗位,固化到内部控制的各环节中。四是根据控制措施的描述,补充相关管理制度,完善以风险导向的内部控制体系的各项控制措施。五是对公司层面的控制主体、信息系统和内部监督等总体控制进行系统衔接,形成完备的内部控制措施体系。

制定公司层面风险管理策略。各责任部门根据风险的定义、影响因素及风险表现,结合本业务的风险偏好,确定应对风险的具体策略。根据业务流程确定风险领域和风险源,依据风险源来找寻关键风险成因,并确定相应的风险预警指标数值或区间,从控制风险的目的、组织、方式和监督等方面制定风险管理策略70条,关键控制点240个,制定控制措施368条。

基于风险导向的内控体系是以风险识别、评估为基础,进而分析、设计和实施内部控制的风险管理行为,亦是以流程为载体,管理界面、岗位职责、管理权限和控制措施清晰,满足风险控制要求及涵盖经营管理全部业务的内部控制体系,是公司实施对风险有效管控的制度保证。

三、以风险为导向的内部控制体系的运行管理

内部控制体系重在建设、关键是执行。公司在内部控制体系的建设过程中,根据内部控制体系建设总体要求,统筹安排各项具体工作。公司对颁布《内部控制管理手册》、内部控制体系组织实施、内部控制体系监督、测试、评价及改进等工作进行了周密部署,提出了加强内部控制环境建设的要求,制定了打造内部控制支持系统的具体措施,确定了内部控制体系推行的阶段性目标。

(一)颁布并全面实施内部控制管理手册

按照内部控制体系建设总体实施方案,公司把内部控制体系的执行作为内控管理的关键环节来抓。落实过程中,一是由公司总经理签发,以公司文件形式颁布内部控制体系实施令,确保内部控制管理手册的权威性和各单位、各业务层面及各管理岗位的全面执行。二是充分考虑企业整体经营管理现状,采取近期目标和远期目标相结合,优先解决风险管理中的薄弱环节,突出对重要单位、重要业务、重要流程和重要风险点的管控,实现将企业的风险控制在合理水平的目标,力求取得控制实效。三是根据公司业务发展的不同阶段,在内部控制基本手册推广执行基础上,结合海外后勤服务和房地产开发业务的特殊管理需要,分别编制公司海外后勤服务和房地产开发业务内部控制分册,在相关业务领域实施。四是统筹公司总部、各单位和各经营业务内部控制管理手册执行的管理,疏通内部职能部门之间、上下游业务之间及横向同级单位之间的流程管理接口,形成较为畅通的运行管道,使内部控制管理体系的管控触角横向到边,纵向到底,不留死角。

(二)编制年度风险管理报告,实施风险动态评估

公司为推动以风险为导向的内部控制体系建设,使风险管理向规范化、科学化和常态化方向发展。公司每年开展一次包括所属单位在内的风险管理报告编制工作,完善企业重大风险管理报告机制。一是强调全面反映本单位存在所有风险,明确面临重大风险,剖析风险产生的原因,反映造成直接和间接经济损失的量化指标,以及对企业的影响程度。二是报告内容要突出风险管理的动态、量化和信息化控制目标。三是对公司重大风险,要明确责任单位和人员,提出风险管控要求,完善风险应对措施,建立风险预警指标体系,合理配置管控资源,确保重大风险管理责任到位。

公司每年编制并风险管理报告,拓展对企业风险认识的深度和广度,并以风险管理报告为抓手,对重大风险统筹管控,确定管控目标,明晰管控措施,制定管控责任,实现对公司风险评估的持续推进和对风险的动态监控。

(三)开展内部控制体系运行控测试及评价

按照内部控制体系建设总体要求,公司依据《公司风险管理与内部控制体系评价管理办法》每年一次对内部控制体系运行情况进行测试及评价,并出具对风险管控体系设计科学性与运行有效性的评价结论。测试主要围绕公司层面,包括职业道德、高管基调、权利及责任分配、举报与违规处理、反舞弊程序和控制;业务活动层面,包括财务管理(资金管理、资产管理、会计核算、财务报告)、物资管理、合同管理;信息系统层面,包括控制环境、信息安全、变更管理、项目管理、日常运维和最终用户操作等六个部分进行测试。并根据公司主营业务,对重要业务流程进行跟单和关键控制测试,同时对电子表格的内容、密码保护、保存地点、变更和备份等进行符合测试。

通过持续开展内部控制体系的运行测试、内部控制审计和内部控制综合检查,全方位督促内部控制体系的落实,切实提高了内部控制体系的运行效果。几年来,公司层面风险由4大类24个风险,下降为3大类12个风险。公司内部控制体系运行总体评价一直保持在“良好”以上水平。

(四)持续修订完善《内部控制管理手册》

针对公司经营业务变化调整和企业管理提升,不可避免存在已实施的《风险管理与内部控制管理手册》与企业发展及管理强化不相适应的矛盾。因此,要保证内部控制体系持续有效运行。一是根据国家法律法规等政策调整,对内部控制体系的合法性控制条款进行补充修订,增强内部控制体系条法约束。二是在公司经营和管理等环境发生重大变化或部门职责、流程和人员等发生调整时,及时对涉及的相关业务流程重新进行梳理、评估及修订,并适当增加关键控制措施。三是针对内部控制体系评价中发现的管控缺陷和提出的管理建议,制定切实可行的改进措施和方案,对管控体系进行持续完善,优化控制措施,形成内部控制提升管理、管理推动内部控制的互动机制。四是在总结海外后勤基地服务和房地产开发业务内部控制管理分册运行成果的基础上,加大对包括酒店物业等公司内部控制手册分册的编制和推广力度,增加内部控制手册专业分册的覆盖面,提高特殊专业领域关键控制措施的针对性,增强控制效果,推进公司内部控制手册向专业化管理方向发展。

公司通过以风险为导向的内控体系建设实践,企业员工风险意思普遍增强,风险管控措施得到了较好的落实,企业风险得到了有效控制,内部控制管理能力大幅提高,公司以风险为导向的内部控制管理为企业效益提升和稳步发展做出了积极的贡献。

参考文献:

[1]《企业内部控制基本规范》.

[2]《中央企业全面风险管理指引》.

相关文章
优秀范文
相关期刊