时间:2023-09-08 17:14:52
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇全面风险管理与内控,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、全面风险管理和内部控制概念
(一)全面风险管理的概念
全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。
(二)内部控制的概念
内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。
(二)管控范围相互包含
从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。
(三)管控视角侧重不同
从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。
(四)管控目的存在差异
从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。
综上所述,能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素,进行准确全面的度量和评估,建立初始信息框架,是全面风险管理工作流程起始点,因此,要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上,提出各种应对措施及方法,内部控制措施其必要性与风险系数呈正相关的关系,并依据风险内容制定控制机制与实施,企业在生产运营管理中,通过使用具体的内部控制措施的有效工具,对各类风险进行控制、评估,从而监控管理潜在的各类风险爆发隐患。
三、企业内部控制体系实施
随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。
建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。
(一)基于财务报告相关基础的SOX内控体系
初步建立以《萨班斯》财务报告为基础的一套内控体系,主要关注内控组织和制度的建设,完成体系的搭建,内外部审计中,均顺利过关,遵循工作总体有效,主要建设效果如下。
1.搭建内部控制体系组织架构和体系
内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。
按照内部控制建设目标和原则,通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设,完善了基本的内部控制设计,业务流程范围覆盖了企业所有业务部门,形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点,形成内部控制手册和矩阵。
2.梳理规范业务操作
梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。
3.提升风险管理意识
通过结合基于财务报告相关的内控建设初步的风险管理体系,深化了内控的管理细度,实现了将与财务报告相关的内控要求融入日常工作,与业务运营融合,提升了业务执行效率与效果,增强了风险管理意识。
4.内部控制落实
企业通过部门层面内控常态化管理项目的实施,将公司层面的控制落实到部门层面,控制的执行更加明确,转换部门角色,把部门由受控主体转变为控制的主体,形成部门内控闭环管理体系,实现部门内部控制的建立、执行、测试及跟进闭环管理,将控制真正融入到日常工作之中,避免内控管理与生产管理“两张皮”。同时,建立并完善内部信息沟通渠道即内控月报制度,内控月报涵盖了各部门日常工作中涉及的相关内控工作,实现与公司内控职能管理部门财务部的有效沟通。
5.加强内控执行监督
为加强对内控业务执行的监督力度与执行效果,设置考核体系和评价体系,企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式,以加强业务部门对内控管理工作的重视程度;在日常监督检查方面,采取了部门层面内控闭环管理体系,通过明确各部门内控自测要求,促进业务部门开展自测,并与内外部审计等检查实行有效衔接,主动发现风险,从而达到关注重点、聚焦实质的目标,将内控风险管理工作和业务管理工作有机的结合在一起。
(二)以风险为导向、面向业务运营的全面内控体系
开展企业层面的风险评估,编制全面风险评估报告,全面优化SOX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。
1.搭建业务框架
内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。
2.增设关键控制,注重前后评估
一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。
根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。
3.合并同质控制
通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。
4.梳理标准规范
考虑系统维护量增加,效率降低,以及未来的可扩展性,兼顾控制基线要求,适当强化部分控制,为不断增多的系统提供统一、标准的控制规范,统一了各信息系统的整体控制要求。此外,通过梳理与财务报告相关性系统,考虑其是否产生计费话单或生成财务数据,是否传输或存储财务数据,对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴,而是纳入日常管理流程。
5.实施内控系统固化
伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。
(三)以全面风险管理为视角的内控体系
遵循COSOII框架的全面风险管控体系,组织开展重大风险管控项目试点,促进风险管理工作与业务的深度融合,主要关注风险评估和风险应对,实现向全面风险管理过渡,不断完善其风险体系和内控体系建设,构建与以全面风险管理视角的内控体系,其主要建设效果如下。
1.深化风险文化
作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。
2.构建风险体系
企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。
全面风险管理工作从上述六类风险角度出发,营造企业自身文化;梳理公司各业务和内外部环节存在的风险,健全风险防范制度,构建风险防范体系。通过与利益相关方的沟通,提升公司形象,加强公司的廉政建设。
首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。
其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。
再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。
最后,加强利益相关方沟通管理和需求回应,全面提升社会形象。
企业通过上述措施制订执行全面风险管理工作计划,明确责任,评估各项风险发生的可能性和发生后对公司的影响程度,并对风险的重要性程度排序,确定公司面临的各种风险,细化落实相关计划与措施,定期开展回顾总结,监督执行情况、提出改进建议,完善风险管理的闭环管理机制,将风险管理的工作要求与业务运营管理相融合,切实做好日常的风险管理控制。
3.提升管理水平
通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。
4.关注重点风险,内控业务对标
随着企业管理日益精细化,相关内控要求与业务制度也在持续优化更新。在生产经营过程中,运用正向、逆向思维,梳理内部控制制度和业务管理制度,内控制度设计覆盖业务管理全过程,关注重点高风险和舞弊领域,业务制度是内控制度执行依据,内控制度是将业务制度中与内控相关条款归纳、整合。基于此,从内控合规角度出发,查找设计不合规或两者不一致的内容,进而完善内控要求与业务制度,实现全部内控业务流程对标,并将此项工作纳入内控常态化管理工作范围,不断完善内控体系。
上述内控体系特点为,建立企业统一的、标准化的内控手册和矩阵;控制点要求落实到具体部门和责任人,确保有效落地执行;内控管理执行部门和风险管理监督部门各司其职,相互制衡;全面覆盖涉及企业所有业务单元,涵盖生产、市场和管理等各业务线条;采用风险评估的方法,以风险为导向,关注关键环节风险管控;将内控与业务活动的紧密融合,避免“两张皮”;利用信息化手段固化内控要求,充分发挥信息系统优势。
四、未来全面风险管理内控体系的实施建议
(一)将企业风控管理和战略管理结合在一起
战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。
为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。
(二)全员参与自主风控
全面风险管理是长期性工作,涉及企业生产和管理整个过程,需要全员上下共同参与实施,也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求,评估企业关键性业务的状态,避免业务执行和风控执行信息不对称;实行自主动态风控管理,使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求,从而不断提升全员风险管控意识,做好重大风险自主评估;增强内控与业务融合度,确保关键业务自主内控合规;深化内控管理信息化的建设,实现内控要求系统自动控制;推动审计发现问题整改复查,发挥审计检察闭环监督价值。
(三)强化风险监控预警,有效完善内控体系
企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。
五、结束语
近年,苏宁云商集团股份有限公司(以下简称“苏宁云商”)充分认识到风险管理与内控的重要性,自上而下地在董事长及总裁带领下,启动了公司全面风险管理工作。目前公司已建立由董事会、董秘办、内控部及各相关职能部门组成的、覆盖所有业务单位的风险管理组织体系。自2010年系统地开始公司电器零售板块的内控工作以来,公司逐步推进,于2012年完成苏宁易购、乐购仕中国、香港公司的内控实施工作,完成风险管理与管理平台信息化建设和上线推广,以及专项风险深化植入系统工作推进。公司的风险管理工作完全是基于公司的战略发展、业务的特点、与风险评估的结果而开展的,成为企业发展的“助推器”。
以点到面,自上而下
伴随苏宁的规模越来越大,业务类型越来越广,公司将更多的注意力集中在企业的风险管理上。尤其是2008年金融危机后,董事长不止一次地提醒团队,要关注苏宁的风险控制能力。在开展风险管理工作的时候,公司首先考虑了以公司主营业务传统零售业务为切入点。通过2010年内控项目的顺利开展,公司建立了风险内控组织体系,对电器板块的内控流程进行了全面的梳理,并建立了内控自评机制。2011年公司对于电器板块进行了两次全面的内控自评工作,一方面做实了电器板块的内控自评流程工作,另一方面也识别了其中的一些风险管理及内控薄弱环节。
同时,公司也逐步完善了风险管理三道防线的组织机构建设,从公司总部、大区到子公司都建立了相应的内控管理全职或兼职岗位与内控部进行工作对接,体现了“全员内控”的思路。
2012年,公司结合组织架构调整情况,完成风险内控工作试点范围的拓展。将高速发展的苏宁易购、乐购仕(中国)公司、香港公司纳入本年度风险内控工作范围,完成了配套内控组织搭建和制度建设工作。
风险管理信息化
信息化给苏宁带来的改变是方方面面的,不仅包括表面的各个业务流程,也包括内在的管理方式和企业文化。即将进入世界500强的行列,苏宁在管理学上的一些突破更加令人关注,在风险管理方面也不例外。初期公司采用电子表格以及OA系统的工作方式,在试点工作的时候,还基本可以满足公司的管理需求。但在风险管理全面铺开时,千亿级的公司就体会到了信息化的重要性。各大总部、几十个大区、几百家子公司的风险管理数据若不采用信息化的方法进行管理,则无法满足公司的需求。
2012年7月,苏宁开始进行内控管理平台一期建设工作,并于同年10月份推进系统上线,实现了内控自评工作大部分流程的信息化、无纸化操作,系统从计划管理、自评实施、缺陷整改、考评管理等方面,将内控自评流程通过系统实现,有效保证了自评开展的时效性和结果的准确性,帮助内控工作人员提高工作效率和工作质量。
苏宁云商2012年12月底起开展年度内控自评的系统实施工作,于2013年3月份进行内控年度自评结果的公告。在后期的工作中,公司还将从扩大系统使用范围、完善系统应用、优化系统操作流程等方面,持续完善和优化内控管理平台建设工作。内控工作信息化的推进,降低了公司内控风险,节约了管理成本,实现了内控管理工作自动化、常态化,为更好地开展内控工作提供了必要保障。
专项风险,逐步推进
在全面梳理公司的风险以及薄弱点的基础上,2012年10月,为提升公司内部控制管理水平,对现有的20个业务管理模块通过分析、评估,开展风险内控专项深化项目,有针对性地实施了部分内控模块的内控深化项目。具体工作步骤如下:(1)与咨询顾问共同完成流程控制级别的梳理,确定工作计划和工作范围;(2)按照流程控制优先级,对关键业务流程进行深化梳理,找出控制薄弱点,提出系统优化或改善建议并推进实施;(3)按照内控风险点对即将操作的流程,或即将上线的系统进行评估,提供内控改善建议并推进实施。通过实施深化项目,对业务流程进行优化和再造,将关键控制植入系统,减少人为干预,提高了工作效率,有效控制了风险。
关键词:高校;风险清单;风险管理;内部控制
一、高校内部控制与风险管理的关系
1.高校内部控制和风险管理的定义高校内部控制是其内部治理的重要组成部分,由内部环境、风险分析和评估、控制活动、信息与沟通、内部监督等活动构成,表现为与业务、财务相融合的组织管理结构、制度、程序和措施等,是高校为履行职责、实现目标、应对风险而实施的管理活动。高校的内控目标包括确保各项资金的安全运行,提高资金的使用效益,保障各项活动合法合规、资产安全完整、财务报告及相关信息真实完整,有效预防和防范舞弊腐败,办学服务效率和效果能得到提高。高校风险管理是指高校为实现相应的发展目标而面临不确定性,通过目标设定、识别风险和评估等风险管理活动,将风险控制在可接受的范围内,有利于提升管理和治理水平,同时减少对高校产生不利影响,从而提升管理水平,减少能对单位产生影响的不确定性因素。根据高校各个部门的职能和权力运行特点来看,风险多数集中在基建、资产管理、招聘、招生、科研等重点环节。2.高校内部控制和风险管理的关系高校内控和风险管理都是高校管理人员将经济业务作为对象,以期将学校战略与规划落到实处,而实施的一系列动态并且灵活的治理过程的集合。高校的风险管理包括内部控制,内部控制以风险管理为出发点,其控制目标、控制活动等依据内外部环境的变化而进行相应变化。高校内控与风险管理的目标和职能有很大的相关性,比如控制环境、控制活动以及风险评估等都是两者的相同内容。除此之外,高校风险管理包括风险反馈、目标制定等环节,内控是风险管理过程中的重要环节,而风险管理同时又覆盖了内部控制,贯穿于整个管理过程。所以,风险管理和内部控制工作一般是同时进行的,两者在运行过程中是统一并协同的。简而言之,风险管理是内部控制的延伸,内部控制的本质和核心就是风险控制。内部控制以风险管理为出发点,内部控制的发展是一个渐进的过程,内部控制的核心始终是风险管理,其目标、内容随着内部和外部环境的变化而变化,其本质就是风险控制。因此,高校的风险管理包括内部控制,是高校内部控制的延伸。风险意识和内控制度管理为完善高校控制系统提供了坚实基础,也是防范风险和高校风险管理的基础。高校的风险管理考虑的是整体的风险,而内部控制是单纯风险的防范和控制。风险管理涵盖了高校各个层面的发展战略,其目标不仅是为了保护资产和经营活动的平稳运行,还包括积极利用机会,寻求更好的发展机会。在内部控制和风险管理相互融合的框架体系中,内部控制的目的主要是为了控制整体的、全面的风险。内部控制侧重在控制手段上,风险管理侧重在控制目标和风险控制上,两者相互扩展和完善,最后建立一个完整的框架,实现控制风险的目标。两者在内容和形式上的区别和侧重,表明了有效整合的必要性。
二、高校内部控制与风险管理存在的问题
1.财务风险内控制度不健全风险内部控制体系是高校财务内部控制实施的关键。有效的工作体系是高校正常运营的保障,制度保障需要学校内部各部门积极配合。目前,高等院校在财务风险内控制度存在明显不足,仍存在局限性和片面性,无法形成系统化、规范化、可操作的制度框架。而且,高校没有制定完善的财务内控制度,且高校偿债风险防范制度不健全,必然降低高校财务风险应对能力。2.财务流程不规范财务流程规范化是制度落实的关键环节,虽然在高校的财务管理过程中,有关部门都相继出台了许多管理办法,但仍缺乏完善的财务业务流程。近年来一些高校内部也制定了相关流程,仍缺乏具体化的管控措施,办理程序及责任不清晰,大大影响执行效果。在组织控制活动方面,高校对关键岗位风险点的把握不够,缺乏对各个经济业务环节进行流程化管理。3.风险评估机制缺失随着高校的经营模式多样化,高校的招生、教学、科研以及基本建设等环节的财务风险不断增长。且近年来,高校资金来源逐渐呈多元化、复杂化趋势,高校面临的财务风险及考验越来越多。多数高校长期受事业单位机制影响,财务风险管控意识不足,未能积极有效地制定和落实财务风险评估机制,缺少对经济业务活动的风险监测和应对方案,导致应对业务和财务风险的能力不足。4.监督机制不完善高校的监管主要以内部监管为主,内部监管主要依靠纪检和审计两个部门,同时由于两部门业务及人力资源限制,难以做到监督工作全面化。且两部门的分工也容易造成内部财务管理监管的真空地带。审计部门一般只是对采购项目、基础项目建设、三公经费等重点内容进行审查,内控的监督及风险管理的范围受到限制,从而导致内控的监督和管理措施落实不到位。
三、嵌入风险清单管理的高校内控建设优化机制
风险清单是指组织根据自身战略、业务特点和风险管理要求,以表单形式进行风险识别、风险分析、风险应对、风险报告和沟通等管理活动的工具方法。其目标是使组织从整体上了解自身风险概况和存在的重大风险,明晰各相关部门的风险管理责任,规范风险管理流程,并为构建风险预警和风险考评机制奠定基础。从单位层面和业务层面以风险清单为工具方法,按照应用环境创建、目标设定、风险识别、风险分析、风险应对、风险报告和沟通、评价与优化的程序,通过风险管理基本框架的构建,来优化高校内控建设,使其符合高校特点的同时具有更强的可操作性。其中风险识别、风险分析、风险应对为关键环节。在风险识别环节,首先,查找可能影响高校正常运行的要素,如业务流程、规章制度、信息系统、人员素质等;其次,对查找出的要素进行深入的风险分析活动,判别是否存在风险;最后,梳理风险点,建立全面的风险清单。在风险分析环节,锁定识别出的单位和业务层面的关键风险点,对风险发生的可能性和风险后果的严重程度进行深入分析。风险发生的可能性分为高、中、低三个级别,“高”代表会影响高校的正常教学、科研等活动,对运营造成一定程度的影响;“中”代表能够进行正常的教学、科研等活动,但会对财务活动造成一定程度的影响;“低”代表对财务活动造成的影响较小。风险发生对目标实现的影响程度可分为高、中、低三个级别,“高”代表常常会发生,“中”代表某些情况下会发生,“低”代表极少情况下会发生。结合这两个标准,对各个风险点的总体风险度和风险等级进行分析和判断。在确定风险等级后,根据风险的大小确定相应的风险应对措施。确定为高等级的风险,需要进一步分析各个风险产生的原因,采取有效的控制措施将其降低至可承受范围内,并在后续的活动中持续关注该风险点的发展和动态;确定为中等级的风险,需要保持目前采取的控制措施,同时定期重新评估和分析风险;确定为低等级的风险,需要加强并坚持日常控制措施。
四、嵌入风险清单管理的高校内控建设优化措施
1.改善高校内部控制环境,增强风险防范意识高校风险管理是一个循序渐进的过程,成功与否主要在于高校管理人员和员工能否认知到风险管理重要性。高校管理人员必须充分认识到内部控制和风险管理的重要性,并且在制度体系构建上足够重视,落实责任,进而全面推行风险管理和岗位责任相融合,全员、全过程、全方位提高内控管理水平。特别是增强教职工风险意识,使大家在高校日常经营活动中认识到自己在风险管理中的职责,实现对风险的精准预测和有效控制,从根源上确保高校各项活动的有序推进。高校的内部控制环境,包括人员道德观念、能力素质、组织架构、人事制度及管理理念等,是高校风险管理的基础。一方面,需要重视人员的能力和素质培训,提高业务水平和能力,进一步提高财会人员的综合素质,加强沟通,创造和谐向上的工作氛围。另一方面,不断完善人事管理等有关制度,在人员聘用、培训、晋升等环节强化道德价值操守和风险管理意识,创造良好的管理控制环境,有利于促进高校自身的安全和稳定发展。2.健全财务内部控制制度,建设高校风险管理和预警体系高校应当基于自身需求,建立完善的内控制度,规范和控制经济业务活动,防范财务风险。高校管理层需要根据自身的办学特点和风险状况,对财务内控制度不断进行梳理并修订。同时对财务业务的主要流程和环节进行优化,加强制度建设,逐步建立起全面、系统的财务内控制度。另一方面,高校可以设立专门的内控管理部门,从总体上规划各项内部管理工作,从而确保有效发挥其功能和作用。以风险管理为导向的内部控制,最为关键的是风险防范。建立健全风险预警体系是高校内部控制与风险管理工作的重要举措。首先,构建全员、全面、全过程的风险管理体系,将财务风险预警不仅运用到高校投融资等工作中,还要落实到高校教学、科研、招生、就业等各个方面。其次,结合高校自身特点,不断收集并分析各种影响风险发生的信息,对高校发展与运营过程中存在的潜在风险因素进行动态追踪,实现事前、事中、事后的全过程监控,建立起动态的风险预警体制机制。最后,不断优化风险分析评估制度,完善高校风险预警机制,建立风险管理的长效机制,提高风险管理的效率与效果。3.多方位梳理完善业务财务流程,加强内部信息沟通高校在业务财务的规范化管理方面,要覆盖所有的业务财务流程,精细把控各个环节流程。利用流程化管理手段,将业务的各个处理流程细化,再分解到归口部门,以明确各个部门岗位的职责权限。同时为了有效提升内控制度的执行力,规范权力的运行,利用内部授权审批制度来实现制衡。随着风险管理和财务内控的积极推进,高校在对财务业务流程进行调整时,还需要考虑自身情况,重点关注借款、日常报销、绩效奖励、差旅费的审批流程、基础建设款项的审批、经费划拨审批,及一些其他特殊业务的处理流程。不断建立完善通畅的沟通机制,加强内部信息交流,特别是注重跨级沟通,实现上下级之间的平等双向沟通。具体可以通过以下手段来建立健全信息沟通机制:第一,建立内部开放式的信息系统,使员工能够第一时间反映相关情况,管理人员能够及时做出处理和反馈,从而为各级职能和教学部门提供有效参考;第二,建立投诉和投诉人保护制度,同时应给予适当的奖励;第三,成立内部小组,完善内部监督机制,定期召开通报会,分析错弊风险。同时,财务部门相关负责人应定期向学校管理层汇报工作开展情况,贯彻落实《高等学校财务制度》中的要求,从而将财务风险降到最低。4.强化内部监督机制,建立科学的内部控制评价机制运行有效的内部控制体系的建设和实施,离不开健全有效的内部监督机制。与此同时,监督和评价的结果也可以改进风险管理。因此,内控监管和评价制度的完善就成为关键。其中的首要工作是基于学校发展规划设立内控整体目标,把风险管理理念与高校业务活动进行融合,将内控目标、风险管理以及管理机制融合为一体,深入剖析流程,让高校各项工作更规范。另外,还需要通过自我评价、定期评估等方式对各个部门和岗位落实已分解职责的情况进行检查与评价,使高校内部控制能够接地气,能够真落实,能够有实效。高校通过内部、外部监督相结合的方式,依靠内部审计、纪检等进行常规和专项监察,同时借助外部审计机构、公众监督等,对学校的经济业务活动进行系统全面的审查。风险管理机构的设立是风险管理工作实施的基础,需要不断对风险管理机构、内控评价和监管制度进行优化和完善。深入调研学校的真实情况,制定高校内部控制整体目标,有效融合风险管理与高校业务活动,将风险管理、内控目标以及内部管理机制融为一体。同时,加强风险管理评估,根据实际情况,细分落实部门和岗位职责,检查评价控制情况。在高校的管理过程中实施全过程控制,实现内部控制与风险管理的有效融合。
五、结语
在高校的内部控制与风险管理工作中,运用风险清单的管理方法,将这两种工作结合在一起,通过对风险的规划、识别与评价,将内部控制与风险管理融合,从而更好地预防、规避和控制风险。同时,不断更新风险管理理念,树立风险管理意识,构建完善的风险预警体系和内部控制监督制度。在此基础上,将风险管理贯穿到高校教学科研、财务收支、业务管理、经营活动等各个领域,从而提高风险管理工作的质量和风险防范能力,规范高校的经济活动,促进高校的可持续和高质量发展。
参考文献
1.财政部关于全面推进行政事业单位内部控制建设的指导意见(财会〔2015〕24号).
2.管理会计应用指引第702号――风险清单(财会〔2018〕38号).
3.黄韬.高校财务管理内部控制的探讨.中央财经大学学报,2015(S2).
4.欧阳瑞聪.财务风险管控视角下的高校内部控制.财会学习,2017(02).
近几年,在国资委、财政部及证监会的大力推动下,央企、国企、上市公司逐渐掀起了建设全面风险管理体系与内控体系的热潮。然而,这是一个较新的管理领域,很多企业在体系建设中遇到的各种问题使得操作困难、难以落地,或者只是为了应付检查,体系建设成果最终变成几本束之高阁的手册。其实,全面风险管理与内控是当今大型企业核心竞争力的体现,具有极高的应用价值,它并没有那么神秘,也没有那么困难。
一、风险管理与内控的区别与联系
经常有客户问我:风险管理和内控是什么关系?我会这样告诉他:
第一,它们是包容关系,风险管理的涵盖面大于内控,内控是进行风险管理的最主要工具,大约占60%-70%的内容。
第二,内控侧重于将风险理解为潜在损失,进行内控主要是减少潜在损失;而风险管理将风险理解为中性词,是潜在损失与机会的结合体,进行风险管理就是减少潜在损失,放大潜在机会,从而提高价值获得。
第三,风险管理侧重关注决策的正确性,而内控侧重关注决策后在实施过程进行控制。例如公司要投一个项目,在决策前进行充分的可行性研究和风险评估,引导决策结果,这就是风险管理;而在已做决策并进行投资后,设计各种严格的项目控制机制和措施以防止项目失败,这就是内控。
第四,风险管理主要是国资委在推广,重点针对央企、国企;内控主要是证监会、财政部等五部委在推广,重点针对上市公司及拟上市公司。当然,今年5月国资委下发了红头文件,内控也开始在央企及下属公司推广。
二、为什么很多企业建设不好内控体系
第一,理念问题。内控是个比较新的概念,不少管理者认为内控就像镣铐,戴上了束手束脚,影响企业运行效率。这个想法是大错特错的。企业在快速成长时,往往容易忽视自身基础管理的夯实与提升,内控体系的不完善使得管理漏洞百出,企业内部缺少相互制衡,舞弊、造假、现象频发,迟早会发生重大风险事件,到时候追悔莫及。只有正确认识到内控的价值及作用,才能具备建设好内控体系的先决条件。
第二,方案问题。很多咨询公司的内控体系建设方案是传统的合规型内控,这种方案以满足内控指引为出发点,保障内控体系通过外部审计、证监会检查为基本目的,一般包括内控诊断、风险识别与评估、流程梳理、穿行测试(编制控制矩阵、查找内控缺陷并提出整改建议)、内控手册编制等内容,其中穿行测试是审计方法,占整个方案内容的70%以上。
这种方案确实很合规,能够满足内控指引要求,但存在以下弊端:
(1)起点低,没有以战略分解作为出发点设计方案,内控体系建设成果容易与战略不匹配,甚至成为战略目标实现的阻碍。
(2)内控体系建设主体大多数是集团型企业,面临着各种各样的集团管控问题,如果方案中没有引入集团管控思想,容易出现总部与子公司内控体系建设水平差异大、内控管理权责不清、接口不明、流程衔接不畅、企业运行效率降低、内控体系难以推行落地等问题。
(3)70%以上的工作量花在穿行测试、内控缺陷挖掘及整改,过于偏向审计导向,容易造成内控强度过高,降低企业运行效率。内控真正的内涵不是把所有的风险都控死,而是把握控制强度与企业运行效率的平衡,降低潜在损失,提高经营效益,带来价值增长。
因此,内控体系建设方案应以管理提升为导向,以战略梳理及分解为起点。结合集团管控思想,除了使用传统方法,更要深入研究企业实际,对比标杆企业,将先进的组织体系、权责体系、制度及流程体系、管理策略与措施等与企业相结合,在满足合规要求的同时切实提升综合管理水平。AMT的集团内部控制体系产品正是基于上述思路设计。
第三,推进方式问题。有的公司领导把内控体系建设任务下达给审计部、企管部或法律部,让这些部门自己去推进,结果处处碰壁,部门间协调起来困难重重,体系建设进度一拖再拖,成果质量不符要求。
其实,内控体系建设必须要把握好以下原则:“高层重视、全员参与、考核纳入、逐步推进、分布实施。”笔者于2011年在江西省某大型试点上市公司的内控体系建设项目经验值得借鉴:
(1)成立内控体系建设领导小组,由董事长、总经理分别任组长及副组长,各副总为成员;下设项目办公室,由总经济师任办公室主任,成员由各部门经理组成,其中审计部经理为组织者,协调各项工作。
(2)通过邀标方式选择知名度高、专业实力强、经验丰富的咨询公司,提供全程咨询、技术辅导及成果检核服务。
(3)公司总部每个部门抽调2-4名人员,各试点子公司分别抽调5-7名人员,合计抽调100多名人员配合内控体系建设(实际建设工作中有更多人员配合,几乎实现了全员参与)。
(4)建立内控体系建设考核方案,对各部门及试点子公司进行考核。每月由项目办公室、咨询团队进行评分。对综合排名前三的部门予以公开表扬,增加5%-10%年终奖,排名最后的部门进行批评,扣减5%年终奖。
(5)配合咨询团队制定详细的工作计划,稳步推进内控体系建设。每周五下午三点开例会,咨询团队及各部门经理进行进度报告、成果检核、问题研讨。咨询团队深入到每个部门进行手把手辅导,对各部门工作成果进行检核,反复修订。
(6)内控体系建设初步完成后,分别召开专家评审会、经理会、董事会对成果进行检核。
(7)制定两年的内控体系分布实施工作计划,先选择三个部门及一个子公司试行三个月,第四个月对试行中发现的问题进行集中调整,然后再全面推广到所有部门及子公司,并在后续不断改进。
通过以上推进方式,该公司2011年底被江西省证监局评为“上市公司内控体系建设标杆企业”,本人有幸被证监会推荐为内控专家,各地上市公司纷纷到该公司去调研学习。
关键词:内控管理 风险管理 融合策略
一、企业内控管理与风险管理融合基础
运营目标与战略目标是以风险管理为导向的内控管理体系的两大核心目标。其中现代企业置于各项经营业务环节全面挖掘各种风险因素,之后立于风险因素之上制定运营目标与战略目标。
构建基于风险管理的内控体系。为充分发挥内控管理方法高效性职能,进一步加强现代企业内控管理,需要构建完善的内控管理体系,加强现代企业会计信息的内控管理同样至关重要,即会计信息的真实性、完整性、有用性直接关系到现代企业各项决策的高效性、正确性,所以要求现代企业依照科学合理性、真实全面性原则编制会计报表,规范相关凭证填写行为,落实好相关凭证保管工作,以促进现代企业持续稳定发展。
内部监督与审计是内控管理的重要组成部分。计划经济体制下,现代企业内部监督侧重于事后结果监督,忽略了事前监督与事中监督的重要性,以致内部监督未能够达到预期目标。所以应转变这一监督模式,切实着眼于现代企业各项业务环节开展内部监督活动。
二、内部控制与风险管理的相关性
(一)内部控制与风险管理均具有过程性
内部控制实质上是一个以实现改善组织经营管理,提高组织经济效益为目的的过程,其并不属于目标本身,而是为达到某种目标的一种手段。通常情况下,组织内部控制由风险评估、内部环境、控制活动、内部监督及信息与沟通五大要素构成。风险管理实质上是一个采取有效措施将风险控制在最低水平的过程,通过开展风险管理既有助于保证企业资产的完整性、完全性,又大大促进了企业经营活动目标的实现。实际上,无论是内部控制还是风险管理,均不只是某个部门或某个人的工作,需将其全面贯穿于企业各项经营活动中,并要求企业各部门、各岗位及各职工积极参与进来,共同开展内部控制与风险管理。
(二)内部控制与风险管理具备相同的手段
实践表明,内部控制与风险管理均可采用风险评估方式予以实现。COSO报告指出,风险评估指的是对目标实现过程中出现的风险予以确认与分析,其作为内部控制的一部分,主要用于辨识与处理相关风险。内部控制背景下,企业通常按照辨识――分析――管理――控制的过程开展风险评估活动;而风险管理背景下,企业最先明确组织目标,之后围绕组织目标立于固有与剩余基础之上开展风险评估活动,然后准确了解相应风险对实现组织目标所产生的不利影响,从而采取有效应对措施予以矫正。
(三)内部控制与风险管理具有相同的目的
提供合理的保证既是内部控制的核心目的,又是风险管理的核心目的。对于内部控制而言,因受成本限制、人为错误等诸多不稳定性因素的影响,以致所提供合理的保证仅能够面向企业董事会与管理层。归纳而言,内部控制的根本目的并非解决已发生的风险,而是预防风险事件的发生。对于风险管理而言,其实质上是挖掘影响企业目标实现的各类风险因素并采取有效手段予以管理,以此将风险事件消除在萌芽状态。由此可见,内部控制与风险管理均为企业实现经营目标起着重要的推动作用。
(四)内部控制与风险管理受到相同内外部因素的影响
在企业中,内部控制政策、制度需要由各成员结合企业实际状况进行编制与实施,同时,内部控制政策、制度又反作用于企业成员,并作为规范企业成员业务活动行为的重要依据,所以内部控制受企业成员的影响与作用。另外,企业各类风险事件的发生均与“人”存在密切联系,而风险管理的执行也只有在“人”参与的情况下才能够得以实现,因此风险管理同样受企业成员的影响与作用。
三、内部控制与风险管理的区别
(一)内部控制与风险管理侧重点有所不同
企业内部控制以制度机制为侧重点,即通过制定、完善、实施相关制度机制以达到规避风险的目标,从而促使企业各项业务活动顺利有序开展。而风险管理以交易为侧重点,即以市场交易的方式达到规避风险的目标。
实际上,企业内部控制以会计控制为切入点,注重增强会计信息的准确性、决策有用性与资金的完整性、完全性,通常情况下,内部控制仅限于财务部门,未能够涉及到企业管理环节,而风险管理全面贯穿于各个经营管理环节,可见风险管理涵盖内部控制,内部控制可作为风险管理的基础。
(二)内部控制与风险管理涉及的风险存在不同的范围
COSO报告指出,内部控制并非只是控制企业内部风险,而是涵盖了企业生产经营过程中可能出现的所有风险,包括内部风险与外部风险。而风险管理有所不同,巴塞尔委员会指出,风险管理注重实现对特定业务的战略评审,以对同一行业不同企业间的风险、收益比较分析促使本企业实现经济效益最大化。
四、企业内控管理与风险管理融合策略
(一)完善内部控制规范体系
强化组织领导,夯实内部控制基础。董事会负责内部控制的建立健全和有效实施,监事会对董事会建立与实施内部控制进行监督,经理层负责组织领导企业内部控制的日常运行,全体员工广泛参与内部控制的具体实施。企业的内部控制部门应结合实际,制定内部控制体系建设的阶段目标,围绕内部控制的五个要素扎实开展工作,深入宣传、认真执行、严格监督、严肃考核,保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,规避生产经营风险。随着实施工作的不断深入,企业应当加强内部控制全员、全面、全过程管理,进一步推动管理创新,不断提升管理水平,有效防控经营风险,保证实现价值目标,最终促进企业实现发展战略。
(二)调整优化企业治理结构,为实现内部控制评价科学合理性提供保障
企业治理结构与内部控制及其评价工作相互影响,其中企业内部控制及其评价既以企业治理结构为基础,又以企业治理结构为依据。所以调整优化企业治理结构对实现内部控制评价科学合理性至关重要。
(三)加大内部控制自我评价力度
就西方国家而言,其上市企业内部控制工作倾向于控制自我评价状态,即要求上市企业落实好内部控制执行监督评价工作,及时发现内部控制执行过程中存在的不足之处,及时采取有效措施予以纠正,以保证内部控制工作高效正常开展。另一方面,内部控制自我评价呈现下述特征:一是注重对业务实施效果的控制;二是始终围绕结构化的方法开展内部控制评价工作;三是多个部门共同承担内部控制评价职责。上市企业通过开展内部控制自我评价工作,不仅有助于规范企业业务经营程序及内部审计程序;而且还有效控制了企业资金风险与经营风险,为企业达到可持续发展战略目标提供强大的驱动力。
(四)全面预算管理业务流程
企业全面预算管理由三部分构成,包括预算编制、预算执行及预算考核等。对于预算编制而言,其作为全面预算管理业务活动的基础,主要以理清预算管理思路、明确预算管理目标等工作为切入点;对于预算执行而言,其作为全面预算管理业务活动的关键,最大程度上影响着全面预算管理质量,其主要以事前预测、事中控制及事后监督调整为切入点;对于预算考核而言,其作为全面预算管理业务活动的保障,全面贯穿整个预算管理业务流程。通过考核能够及时发现预算管理业务流程中存在的不足之处,之后有针对性的执行有效措施予以纠正,以确保全面预算管理业务活动高效有序开展。
参考文献:
[1]企业内控管理中的信息化建设和政府监管部门的作用[J].中国总会计师,2012(6).
[2]何九妹.从法约尔的五职能理论浅谈内控管理的范围[J].会计之友(上旬刊),2010(9).
[3]董月超.从COSO框架报告看内控管理与风险管理的异同[J].审计研究,2009(4).
[4]宋绍清,张瑶.基于公司治理视角的内部控制信息披露影响因素分析――来自中国A股市场的经验证据[J].财会通讯(学术版),2008(10).
[5]缪艳娟.英美内部控制监管制度差异探缘及其启示[J].商业经济与管理,2008(12).
[6]高智斌.浅析如何加强上市公司风险管控[J].现代商业,2010(33).
基金管理公司之所以如此强调风险控制的重要性,一方面是因为监管层为规范市场秩序加强了监管力度,另一方面则是因为基金管理公司从上述案例中认识到:风险控制对提高竞争力有着重要的作用,是巩固和重塑诚信市场形象的必然途径;基金管理公司应该在获取收益和控制风险之间找到平衡点,如果没有严格有效的内部控制体系和风险管理措施,最终将不能保住已获得的市场份额和无形价值的积累——企业信誉。因此,基金管理公司必须将风险控制当作一项战略决策来对待,通过全面、严密、的制度设计和体系构造,确保在控制风险的基础上为投资者创造收益,实现公司的经营战略目标。
基金管理公司有效控制风险应当具备的基本要素
一、有效内控的基本点是基金管理公司的最高管理层必须承诺对控制风险负有全部责任,即由全权负责整个公司业务的最高层自上而下推动和实施内控和风险管理,其制定的各项内控和风险原则、制度必须适用于基金管理公司的所有部门、环节、岗位,并能被贯彻执行。概括地说,一套有效的内控体系首先需要基金管理公司领导层的重视、参与和监督贯彻。
二、内部控制体系是一项系统工程,应在基金管理公司构造一个全面的包含两个层面的体系和系统——公司层面的、整体的内控体系和业务层面的风险管理系统,包括建立完整的内控组织架构、流程、报告路线,明确管理层与业务部门的内控职责、纪律程序和量化的风险管理评价体系以及手段、措施等。能够正确地确认风险,不仅要识别可量化的风险,而且必须认识和控制住其它不同类型的非量化风险,比如公司治理结构、法规、道德、人力资源、市场、运作环境以及操作上的风险。
三、平衡公司业务与实施严格风险控制两者之间的成本费用关系。管理层应明确严格风险控制所需成本费用应由为确保实现公司长远目标和预防、控制风险的有效性来决定,而不是根据短期内的损益情况来考虑控制风险应该支出多少成本费用,应将实施风险管理控制的成本费用支出看作是基金公司的一项连续的、长期的可以给企业带来竞争力和价值增值的投入。
四、有效的内控依赖于内控职责的明确划分,管理层在划分内控职责时要将“控制”与“监督”职责加以细化分解,并需将责任落实到人。在风险控制职能上,业务部门的主管无疑是业务风险控制的责任人,并承担着业务风险控制的职责;业务部门还应设专人负责日常的业务监控,并建立内部风险管理信息的传递与反馈机制;监察稽核部门除负责控制法律法规和道德操守风险外,更多的是监督检查职能,即对业务部门的运作合规性进行检查监督;绩效评估部门主要对基金运作绩效风险进行独立的监控、测定及评估;此外部门之间还担负着互相监督的责任。
五、有效的内控和风险管理的主要特征是公司上下均对风险具有很强的敏感性和认知度,相关的部门和人员去认真对待和控制,并通过持续不断的培训将控制风险的意识贯穿到企业所有员工的言行之中与部门间的业务环节中。对基金管理公司而言,在日常工作中业务部门是否能够真正有效地进行风险控制将取决于部门以及员工是否能够主动进行风险控制和严格遵守行为操守规范,以及风险管理职能部门是否严格履行职责并与业务部门相互间进行良好的沟通和合作。
六、监管机关的有效监管和良好的市场秩序。来自外部监管环境的对有效的内控和风险管理同样重要,如果证券市场监管机关不能有效监管,就会使合规运作的基金公司无所适从。此外,良好规范的市场秩序将有助于控制市场风险,反之则较难把握和控制市场风险。
七、顺畅的报告渠道。随着基金公司在日常管理以及投资交易过程中各种风险的日益增加,通畅的风险报告渠道已成为风险控制过程中日益重要的组成部分,业务部门需要将存在或潜在的风险问题分别向风险管理部门和主管领导报告。风险控制职能部门,如监察稽核部和基金风险绩效评估小组,对日常监控过程中发现的风险问题,应定期、及时编制风险评估报告提交管理层,并将有关信息及时反馈给业务部门。
鹏华基金管理公司的风险控制实践
鹏华的内部控制和风险管理体系经历了不断在实践中构造和完善的过程。在对内控和风险管理有了较为深刻认知的基础上,鹏华自成立伊始就确立了“保护投资人利益,取信于市场、取信于社会”以及“内控优先”的风险管理理念,进行了大量、多方位的制度设计和措施安排,并通过健全内部控制体系控制非系统性风险,通过建立风险管理系统平台对系统性风险进行控制。
一、内控体系建设方面:
1、完善法人治理结构,防止内部人控制为保障投资者和股东的合法权益,防止内部人控制,近年来鹏华积极向国际标准靠拢,不断完善公司治理结构:建立了独立董事制度;在董事会下增设了审计、薪酬和提名三个专业委员会;加强了风险控制委员会的风险控制职能等。
2、构建内控整体架构,明确内控流程鹏华的内控架构是多层次的,包括了风险管理委员会,投资决策委员会,督察员,监察稽核部,业务和支持部门,以及风险———绩效评估小组。此外,鹏华还明确了风险控制由最高管理层自上而下推动和业务部门、员工自下而上主动、自觉履行风险管理。
3、完善内控制度,明确内控职责在鹏华在风险控制实践中还认识到内控制度应是一个包含两个层面的有机整体:一是公司层面的总体内控制度,它必须全面覆盖公司管理和基金运作各个环节;
二是各个业务层面的、部门的风险控制制度。
在内控制度中鹏华对公司所有部门和岗位的内控职责进行了明确,也就是具体规定了由哪个部门谁对何种风险、按照何种程序、在多长时间内进行控制。此外,鹏华的内控制度还包括了定期对内部控制的有效性进行评价,以测试内部控制是否依然充分有效。对内控制度的评价不仅应该检验其是否符合控制目标的要求,还应该结合市场环境的变化、新的工具和技术的等情况,对内控制度进行适时的更新、补充和调整,使其适应基金业的发展趋势和最新法律法规等风险管理要求。
去年以来,鹏华结合开放式基金的筹备工作,根据最新的法律法规和行业规范的要求,对公司层面以及业务层面的风险控制制度进行了进一步修订完善,特别加强了对投资、交易和开放式基金业务风险的制度控制力度。
4、加强内控培训,培育全员风险管理文化在与境外基金管理公司的访问交流中认识到,基金管理公司的风险控制不仅仅是风险管理部门的事,而必须由每一个员工自觉地落实到日常的工作中去。因此,需要在基金管理公司培养一种风险管理文化,这种文化可以使得风险控制意识在公司内部得到广泛的分享,扩展到公司所有员工,并最终形成一种良好风险的控制环境。
为此,鹏华管理层在各种场合向员工反复强调和灌输“诚实信用、勤勉尽责,切实保护投资人利益,取信于市场、取信于社会”以及“内控优先”、“纪律产生业绩”的风险控制理念。
为达到此目标,鹏华对员工进行了持续的内控培训。去年,鹏华采取邀请境外专家到公司举办讲座和内部交流等内外交流的等方式开展了三次内控培训,帮助公司全体员工树立了正确的风险管理理念和勤勉尽责的工作作风,并要求所有员工把风险控制融入到每天的工作中去。
经过三年多的实践和努力,鹏华良好的内控环境和沟通平台已构造完成,初步形成了全员风险管理文化。
5、制定行为操守准则,控制操守风险在培养风险管理文化的基础上,鹏华还十分重视道德操守风险的防范,制定了详尽的《员工行为操守准则》,并强制性要求全体员工每年签署一次;此外,还制定了《基金经理操守准则》并要求基金经理签署和向承诺。操守准则的签署,意味着全体员工向公司和全社会承诺自觉遵守相关法规、基金契约和公司规章制度的规定,并接受社会和公司内部的监督。
6、独立的监察稽核,严格的纪律程序监察稽核是在各业务部门自我监督基础上的再监督。监察稽核部是法律法规和内控制度遵守和执行的监督者,是内控体系中的关键环节之一。
自公司成立以来,鹏华管理层就非常重视监察稽核工作。首先,公司赋予监察稽核部对所有业务,如基金投资、交易、公司和基金会计等进行独立地检查监督的权力,并不受其它部门的限制和干涉;其次,公司还赋予监察稽核部为履行工作职责所需要的其他必要权限,如对防火墙的穿越权,对所有文件、资料的调阅权,对违规行为的制止权等;最后,为建设一支高效的监察稽核队伍,公司还为监察稽核部配备了审计、会计、法律方面的高素质人才,并多次安排监察稽核人员赴境外和培训。
近年来,鹏华监察稽核部不断加强对各项业务的监察稽核,在监察流程、方式、措施、手段上取得了长足进步:1、尽量实现风险控制由“事后处理”向“事前防范”的转变,并在事前、事中、事后等各阶段对风险进行全面控制,确保公司管理和基金运作的合法、合规;2、虚心学习境外合作伙伴在内部风险控制和监察稽核方面的先进经验和量化监控,引进了关键风险指标(KPI)月度评估报告制度等。
为保护投资人利益,确保公司规章制度得以有效贯彻执行,公司还制定了严格的纪律程序,对在监察稽核过程中以及在部门内控和风险管理中发现的违法、违规行为,将根据情节轻重、性质和危害程度,经部门会议、监察稽核部、总经理办公会议或风险控制委员会讨论确定对行为人的处罚和行政处分。
7、强化岗位分离和制衡机制关键岗位的分离和制衡,是内部控制的重要原则。在这一原则指导下,,鹏华对以下岗位进行了空间和区间的分离:
(1)投资与交易:投资与交易从部门到人员均相互独立,并以防火墙进行物理隔离;(2)交易与清算:公司交易人员与清算分属不同的部门,彼此完全独立,业务上没有交叉,并且建有防火墙,办公区间进行隔离;(3)监察稽核与其他业务部门:监察部由董事会任命的督察员负责,保持了很强的独立性,其监察报告可以直接送达董事会和监管机关,而无需总经理的批准;(4)其他重要岗位,如投资与、公司会计与基金会计等均实现了人员独立和岗位分离,无岗位、业务重叠现象。
在制衡机制方面,根据业务流程和制度规定,部门之间对明显违反法律法规和制度流程的行为有制止权和报告责任,因而可以通过部门、岗位的相互制衡达到控制风险的目的。
8、改革人力资源和薪酬制度,加强激励机制
人力资源是鹏华公司最宝贵的资产。为吸引人才、留住人才,体现鹏华“以人为本”的经营管理理念,公司一直致力于建立起一套的人力资源体系。2001年,鹏华选择美国著名的惠悦咨询公司,为鹏华量身设计薪酬、绩效评估、培训等方面的人力资源改进方案,重新制定了,如薪酬制度、绩效评估制度、培训制度等,并于2002年全面推行。
在此基础上,公司逐步建立起包括人才数据库、岗位、绩效评估等在内的人力资源电脑管理系统,力争建立起科学的人力资源体系,不断提高人力资源管理水平。
二、风险管理系统平台的建设对于流动性风险、波动性风险、行业、个股集中度风险等系统性风险,除通过基金投资部门对基金进行日常的风险管理外,公司还设有专门的工程小组,负责开发投资模型和量化的风险管理系统,并建立起独立的风险管理系统平台进行辅助控制。2001年,公司开发完成了投资决策支持系统(PHIDSS)和投资研究信息系统,其子系统包括恒生交易系统、证券分析系统、鹏华财务风险识别和预警系统、指数研究工具、投资策略、投资风险实时监控系统;另外还开发了基金投资、交易自动控制系统以及基金风险绩效评估系统并正式投入使用。鹏华风险管理系统平台的建设,为规避和控制市场风险在系统化和数量化的道路上迈出了坚实的一步。
内部控制的趋势
关键词:法律;内控;机制;法律风险
随着我国经济改革的不断深化,当前企业建设也不断深入,为了强化企业的建设管理,需要针对内控存在的问题进行分析,从而强化内控管理,避免费率风险。但是近年来大型企业的亏损与违规操作事件频频发生,表明当前的内控机制存在法律风险,企业的法律意识淡薄,局限了企业的发展。为了提升企业的管理质量,需要与企业的管理相结合,规范化企业的管理机制,强化审计等财务内控机制,构建一套资产保护的法律、法规以及制度,与企业的发展战略相结合,从而提升会计信息质量,确保资产安全与完整。
一、法律风险内控机制背景
法律风险管理是企业全面风险管理的重要组成部门,随着2006年《中央企业全面风险管理指引》将法律风险列为企业面临的五大风险之一,法律风险管理的重要性受到越来越多的关注。法律风险管理的核心是建立健全法律风险防范机制,法律风险管理的内控管理机制,能够确保企业的财务报告可靠、确保经营效率,企业经营活动与会计行为符合法律规范要求。法律风险内控机制需要由董事会、管理层以及其他人员共同设计并执行,对公司经营过程的法律风险进行及时规范。但是当前的法律风险内控还存在较多的问题。
1.借款合同存在法律风险
当前的企业借款合同的前期以及履行阶段存在着不少问题,主要表现在:(1)在借款合同前期,企业对于所借款市场利率的明确度不足,而且借款合同未完全按照借款合同拟定,造成一定的文本风险,借款合同的主动权在于银行方面,企业作为借款人,大多数处于被动的地位,因此银行可能会利用经济上的强势地位造成有利于银行的条款,从而产生借款合同风险。(2)借款合同变更风险,当借款合同的贷款期限、用途、时间、还款方式等发生变更时,因为变更手续不全会造成合同变更风险。
2.对外担保合同与交易结算方面存在法律风险
我国企业的签订对外担保合同时,因为在担保的过程中,受到人情关系的影响较大,而且对于所担保企业的资信水平以及对外担保合同细节的认识不足,从而可能会造成风险。而且企业通畅不要求被担保企业提供董事会认可的反担保,相关规范不符合要求,增大了法律风险概率。在企业的财务内控中,结算是内控中常见的业务之一,在结算过程中,因为结算数额大、风险高等会造成法律风险,但是当前的企业对这一领域的重视程度不够,交易结算风险预警以及风险补偿机制明显缺位,使得法律风险不能够得到有效的补偿。
3.知识产权保护方面法律风险
在企业的内控管理中,关于经营、技术开发以及技术流失等方面的知识产权存在法律风险,而且在商业秘密方面,一些企业没有制订合理而有效的保密协议与保密津贴制度。为了确保知识产权保护方面的保护,需要对企业的内控机制进行有效管理,避免法律风险。
4.内部管理模式僵化,风险防范职责不清
企业法律风险内控汇总,因为历史与实际的管理,导致一些企业的内部规章制度主要注重业务实现,守法意识意思规则意识较差,主观上表现为忽视法律风险。而且在企业的组织建设、流程设计与管理规范设计中,对于内控的法律风险的分析、识别与规范等方面规范不足,当前内控法律风险控制还处于自发、朴素的阶段,相关流程设计基本处于空白,事前风险预警与风险应对还处于初始阶段,法律风险首道防线非常脆弱。在企业内控法律风险人才建设中,企业法律专业人才建设不足,法律顾问队伍工作岗位的人员短缺,对于内控法律风险控制不足。
二、企业法律风险内控机制的重要性
根据国家依法治国的方略,企业内外的法制环境发生变化,因此需要加强依法经营、依法管理以及依法维权的中实行,建立基于法律风险的内控机制,从而应对日趋复杂的法律风险环境,满足企业市场经营与内部改革发展的需求。
1.适应经济全球化发展的需求
随着经济全球化的不断深入,当前的企业需要应对全球的资源、人才、技术以及服务的市场竞争,为了适应于当前的经济全球化发展的需求,需要加强企业的内控管理,实现全球范围内的资源优化配置,加快产业结构调整与优化升级。国内经济受到全球化经济发展的影响,所受到的法律风险越来越大,而且企业对外发展过程中,需要应对更加复杂的法律风险,因此构建基于法律风险的内控机制,能够实现企业的依法决策与依法经营,从而确保企业的经营管理满足全球化发展的要求。
2.保障企业资产的客观要求
随着企业的不断发展,企业所面临的资金环境更加复杂,而且资产的分布面广、监管难度大,近年来的重大法律纠纷案件暴露出企业的治理结构不完善、组织结构不合理的状况。为了对企业的资产进行管理,应对相应的法律风险,需要严格法律审核、确保法律论证,并且构建基于法律风险的内控机制,对企业资产进行管理,提升企业应对法律风险的能力,实现企业资产的保值增值。
3.促进企业发展的必然选择
企业竞争的实质,不仅是企业的技术、资金、人才的竞争,而且死法律、规则与标准的较量。随着经济改革的不断深化,当前企业面临多元化的竞争,其中知识产权的竞争是现代企业竞争的重要内容,对于提升企业的创新力度具有重要的意义,法律是知识产权的保障,能够确保企业的创新能力,不断优化企业建设发展。构建基于法律风险的内控机制,能够有效的运用法律武器保障企业的知识产权,使企业的创新成果转变为企业的核心竞争力,促进企业的建设发展。
三、企业财务内控机制法律风险防范的构想
1.企业法律风险内控管理体系基本构架
企业的法律内控风险管理是一个全方位、多角度的网络防范工作,为了确保企业的基于法律风险的内控机制建设,需要建立全员法律风险管理的概念,结合企业的管理结构,从而设立三道风险防线:(1)企业会计部门以及业务单位是法律风险管理的第一道防线,在管理过程中,应该严格执行风险管理制度、有效的处置小型风险管理进行处置,并且对重大、疑难的风险进行识别后送到第二、三道防线,并且严格风险的事前与事中控制;(2)以公司领导下属的法律风险管理委员会作为法律风险管理的第二道防线,确保企业的风险管理制度的有效管理,并且对于第一道防线的法律风险管理进行检查、评估与查漏补缺,并且对疑难、重大的法律风险进行初步处理后报送上级部门特别处理,该道防线负责法律风险管理战略的制定,并且有效完善风险管理规章制度,对法律风险管理人员实施考核与奖惩;(3)第三道防线,以企业的内部审计部门以及下属的审计委员会作为内控法律风险的第三道防线,对于法律风险管理制度的实行情况以及实现效果进行评价,并且有效处理法律风险管理部门以及相关人员,对法律风险管理进行总结,实现法律风险的事后控制,并且为完善法律风险管理制度提出建议。
2.完善企业法律风险管理体系的内控机制
法律风险管理内控机制主要可以分为洗个步骤来完成:(1)拟定控制目标,根据企业的战略目标以及企业的经营管理目标,确定企业的内控目标,确保企业会计信息准确性、资产物资完整性、经营决策贯彻执行、经营活动的效率性与效果性,严格执行国家法律法规;(2)整合控制流程,内控主要由控制点组成,因为当前企业的业务流程存在控制缺陷,因此需要对控制流程重新整合,确保简洁高效的完成控制目标,在控制流程整合过程中,需要对业务活动的控制点进行鉴别,并且针对控制目标与对象设置控制技术与手续;(3)明确法律风险管理内控体系建设,为了确保法律风险的内部控制,需要构建内控体系,明确内控岗位授权对象、条件、范围与额度,并且建立内控报告制度、内控批准制度、内控责任制度、内控审计制度、重大风险预警制度,从而对法律风险进行严格管理,明确风险管理目标与应急预案,明确规定不相容指责分离,确保法律风险的内控管理。
3.企业内控法律风险防范重点
为了通过内控机制防范法律风险,应该从以下方面进行防范管理:(1)加强对外担保合同的法律风险防范,需要建立对外担保合同反担保风险内控机制,并且要求担保企业提供企业董事会认可的反担保,审查反担保低压与质押资产的合法性,确保担保资产的价值相当。建立事先报告制度,对于对外担保合同变更时,与第三方当事人协商一致,与不相容职务分离相结合,确保对外担保合同的拟定、审核、审批与执行进行监督评估,确保精细的内控管理。(2)加强借款合同的法律风险防范,首先需要建立明确的利率机制,规范借款合同存在的风险防范管理,确保利率协商一致,对于无论何种原因发生的借款合同变更与终止,都需要及时向企业管理层、贷款银行充分协商,并且变更后按照新的借款合同履行相应的程序,形成相应的书面文件。(3)建立有效、健全的交易结算制度,为了规范交易结算管理,需要树立支票遗失完整的救助制度,从而规范交易结算管理,在支票遗失后通知开户银行,遗失申明,并且迅速通过法律途径防治持票人到银行提现,结合金融数据保密数据,建立数据输入的调阅与交接登记管理,在遇到法律诉讼时确保用油主动权,避免法律风险。(4)全面梳理知识产权法律保护意识,需要通过企业财务内控机制防范知识产权的法律风险,建立担保制度以确保技术合同符合法律规范,而且要对担保当事人设定担保,当出现合同纠纷时对被担保人进行审查,避免对方利用合同进行伪装,对于合同中的欺诈行为控制管理,避免风险过大。当风险出现时,根据技术被申请专利的救济制度进行管理,采取专利申请的方式加强技术保密管理,以作为发生纠纷时的证据管理,避免法律风险。
四、结语
随着经济全球化的不断深入,企业发展面临着更加复杂的外部环境,为了确保企业的发展规划,需要根据企业的战略目标,构建企业的内部控制管理,把握企业运行的基本规律,持续推动企业内部规范体系建设,以避免法律风险。构建企业法律风险内控机制,需要坚持科学发展,完成企业内控的风险管理架构,不断完善企业内部控制规范体系,对于内控管理中的重点进行管理,在不断提高企业经济效益的基础上,促进企业安全发展,防治财务风险的发生。企业法律风险管理体系,是一个集事前管理、事中管理与事后管理于一身,由制度、流程、活动等相互结合而成的有机整体,囊括了法律风险分析、法律风险控制和法律风险评估三大模块。构建企业法律风险管理体系,企业应该重从组织机构、规章制度、内控机制、业务流程、人才队伍、信息系统等六个方面着手,开展体系构建工作,并不断吸收和借鉴其他企业的先进管理经验,推动公司持续平稳较快发展。
参考文献:
[1]刘平.试析企业经营法律风险的成因与防范措施[J].工会论坛,2014.
[2]郑石桥.内部控制实证研究[M].北京:经济科学出版社,2006(12).
[3]张莉.建立法律风险防范机制,保障企业稳健发展[J].经营管理者,2014.
[4]郑石桥.内部控制实证研究[M].北京:经济科学出版社,2014.
一、内部控制与风险管理的关系
风险,通常的理解是对实现企业目标可能发生的不利条件或事件。风险的概念在许多经营管理著作中被扩大化,甚至涵盖了管理中绝大部分的问题和困难而内控的概念也常常被扩大而接近管理的概念,特别是内控中广泛地运用着风险管理中的一些概念,如:风险评估、风险控制点等等。给人造成一种错觉:风险管理可以通过内部控制实现,内部控制也是在进行风险管理。那么,是否应该将两者合并考虑呢?我个人认为,这是十分有害的。诚然,风险和内控应该结合,但应主要是分析方法的相互借鉴和具体措施的部分重合。如果只讲结合,不进行原则上的划分,就变成了混淆。混淆的后果一方面是不能真正体现内控和风险的本质,从而模糊了两者的目标,难以明确各自的解决途径,给管理的效率、效果和决策的正确性带来困难二是内控既没有解决所有风险的不利后果,风险管理又难以真正落实到某一具体业务或管理部门,成为它的责任。于是,企业不能有效得对需要风险管理的风险进行专门的研究和管理。
从风险的概念上,很难将其与内控的内容进行划分,那么,我们可以从风险的性质上将其与内控的内容进行划分,也就是将所有妨碍目标实现的内部、外部的困难、问题,按照其发生的确定性划分为:常规性的、非常规性的和混合性的三类,即确定条件下发生的、不确定条件下发生的和混合条件下发生的三类。
据此,我们就可以分别进行不同的管理:
一是将常规性事件纳入内控;
二是对非常规事件,在内控范围内,只需要设计针对非常规性事件的处理原则,在一定程度上降低风险带来的影响。例如在企业中可能发生财务危机、意外事故、危害公众事件等,为此我们需要设计非常规事件或危机处理原则。对此类不确定性事件,就需要风险管理,应对危机,以弥补内部控制的不足。
三是对企业经营活动中,大量存在的既不是常规又不是非常规的混合性事件,应尽可能将其完全或在一定程度上转化为常规事件,从而纳入内部控制。这就需要凭知识和经验,在内控中充分考虑预防、制约混合性事件发生,以及解决混合性事件后果的措施。其中最重要是预防条款,防危机于未然。
因此,风险的不确定性既预示着机遇,又可能影响竞争能力、融资能力、外部形象等。而内控预示着稳定、有效的运行,强调的是评估经营管理活动中突出的、相对稳定的风险,将其转化为控制点,并实施必要的控制活动。
划分内部控制和风险管理,对加强经营管理的针对性及提高经营管理的效率很有帮助。我们通过把经营中具有一定持续性、稳定性的内部、外部困难和问题纳入内控系统,将相对重要、不确定性强一些的问题作为关键的控制点,以点面结合的方式控制经营始终为管理目标服务;通过把经营中具有突发性、不确定性的内部、外部困难和问题纳入风险管理系统,用风险分析、评估和特定业务领域的特定方法,支持决策始终为管理目标服务。
二、如何利用内控系统规避风险
总的说来,就是运用风险评估方法,认识和分析企业整体目标及各活动层目标,以及影响这些目标实现的内在和外在因素,发生的概率及可能的后果,并采取相应的控制措施,实现企业目标。具体分析如下:
规避风险首先研究风险包括哪些内容。通常风险主要分为三类:一是战争、自然灾害、经济衰退、通货膨胀、高利率等,是不可分散的市场风险;二是市场需求、成本过高、技术发展、竞争、信誉、法规政令、信息系统中断、外部环境变化等经营管理风险;三是筹资、投资等财务风险。
按照上述风险的性质分类,比较利于辨识和分析风险的过程,但要尽可能将风险纳入内控系统内化解,还需要将可能产生这些风险的主观行为和客观条件内化为企业内部的受控行为和受控环节,然后通过风险预警、风险识别、风险评估、风险报告等措施,对风险进行全面防范和控制。例如,对存在市场需求、技术发展、竞争等经营管理风险,影响经营目标实现的重大项目,建立一套完整的市场调研、测试评估、竞争应对机制,就能凭借内控规避风险,或保证风险决策的正确性。当然,这种方法主要对财务风险和部分经营风险比较有效,因为它们不是对全部企业都产生影响的宏观风险,而是可以通过企业微观经营而规避、降低的风险。
日常经营中需要受控的风险行为很多,比如:引起财务风险的筹资、投资活动;引起法律风险的合同行为等等。对风险防范控制应作为内控中的一项基础性、经常性工作,一方面应对实施带有风险性质行为的部门或岗位,专门做好风险的识别、规避和控制;另一方面直接对这些行为进行控制,如:事先可研或评估、事中权限限制或实时跟踪、事后考核和监督,以及出现的负面后果时的应对措施和预案。
日常经营中需要受控的风险环节也很多,内部控制特别应该把风险较大的关键控制点设定在以下位置:①资金点。包括企业的筹资、投资活动,资金调度、使用、分配活动等;②成本费用支出点;③权力使用点。
因此,建立内控就是充分考虑风险后设定一种管理的标准,进行风险管理就是对偏离标准的管理。内控制度设计得越符合实际,企业风险越小。内控常作为衡量组织风险的基础。
但是,合理而有效的内部控制系统,最理想也只是实现了科学而全面的管理。它仍然只能为实现经营目标提供合理的保证,而不是绝对的保证。例如,对于重要信息的异地备份,既是内部控制中信息安全性的要求,也是风险管理中规避风险的必要措施。国际著名投资银行摩根士坦利,正是严格遵循了这一基本要求,其虽置身于世贸大厦88层之高,但在“9・11”事件中,其所有客户的重要资料并未随世贸大厦的轰然倒塌而被埋葬。但是,上述内部控制措施只能防范日常经营中可能的风险,风险发生后的一切措施和决策就是风险管理的重要内容。
因此,内部控制不等于风险管理,两者不能完全替代。前者是针对日常经营的管理,是实现经营目标的系统保障,只能一定程度上防范风险后者是针对风险发生的管理,是实现经营目标的特殊程序,可以承担、分散、转嫁、化解风险。
清晰了内部控制和风险管理的关系,内部审计就可以根据不同的目标,采用不同的程序,运用不同的方法,两线并行开展工作:针对内部控制的内控审计和针对风险管理的专项审计。
[参考文献]
[1]1997年财政部由中国注册会计师协会制定《独立审计具体准则第9号一内部控制与审计风险》。
关键词:内控制度 企业风险 控制防范
近几年,随着油田建设的不断发展,油田企业的风险管理也在不断的探索和发展之中。由于油田企业具有风险大、后果损失严重、社会影响面大的特点,因此, 企业在进行经营决策、生产管理时如何减少风险,提高经济运行质量和效益,建立一套合理有效的管理系统,尤其是风险控制系统,对于油田企业的安全运行来说是必不可少、尤为重要的条件。
一、 内控制度在风险管理中的重要性
技术及市场条件的新进展,推动了内部控制制度走向风险管理。在先进的信息技术条件下,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。 目前,一些企业依然在采取“事后管理”的传统内部控制方法,即发现问题在事后补救,这种管理方法显然不能适应新经济条件下形势发展的需要。 企业内控制度建立不完善,如不必要的支出费用不能控制,投资决策失误等等,给企业带来了很大损失。其根本原因是企业缺乏严格的投资控制制度,所以,企业非常有必要建立严格、完整的内控制制度。
二、防范企业风险,健全内控制度做到如下几点
(一)规避风险。进行投资经济活动时,要建立科学的决策体系,实事求是地论证需投资项目的技术可行性和经济可行性。在进行筹资决策时,要充分估计未来各种不确定因素对企业获利水平和资金周转水平可能产生的负面影响,在决策可行性分析阶段防范不良风险。近几年,国内、外石油勘探钻井市场风险投资加大,通过建立科学的决策体系,以及企业在经营管理活动中的潜在风险监控系统,避免多元化发展道路上的“陷阱”,从而可使企业达到摆脱风险危机。
(二)防范风险。建立和优化有效的中长期稳健的内控结构体系,严格对外投资预算的编制与审批,严格项目分析论证与评估,严格投资的决策与执行,从而有力地抑止企业风险的发生。并按照成本与效益原则,结合企业特点制订内控风险管理战略,对企业风险进行有效的预防和控制,把风险降到最低限度。
(三)控制风险。要确保企业内控制度的健全有效,强化风险管理,增强风险观念,要明确审批人的授权批准方式、权限、程序、责任及相关控制措施,对重大投资项目进行可行性研究,并建立对外投资决策及实施的责任制度,重大投资项目决策实行集体审议、联签、签订对外投资合同需由两人以上参加,要由专人对投资项目跟踪管理,加强对外投资收益收取的控制,及时足额收取投资收益。
三、控制和防范企业风险的对策
一些企业的管理者对内部控制制度缺乏认识,对内部控制制度建全不够重视,缺乏相互制衡的机制,使企业订立的内控制度形同虚设,一些管理者视内控制度为“麻烦”,即使订了制度也是一种“摆设”。在日常工作中,内控制度对领导基本上不起约束作用。在实际的经营过程中,风险管理与内部控制是密不可分的。
(一)建立内部控制制度。首先,指定专人负责管理并提供相关方面的信息,将信息及时准确地反馈给单位领导。其次,建立内部责任考核制度,相关业务人员必须对所发生的业务承担责任。
关键词:内控管理 IT应用
内控和风险管理必须以IT技术为基础
内控和风险管理是企业发展战略、战略执行的一个核心组成部分。很多大的企业由于内控和风险管理缺陷,出现了很多问题。因此,从企业内部自身来讲,需要一个系统性规范来建立企业内部的风险管理体系。我国的财政部联合五部委于2008年 5月了《企业内部控制基本规范》(以下简称“基本规范”),并于2009年7月在上市公司实施。
本次出台“基本规范”的意义在于:将内控和风险管理界定为一个长期管理的规划。而这个规划的实施不能一蹴而就,必须从企业整体发展的角度加以设计和实施;“基本规范”所界定的管理是全员参与的过程,它不是一个部门或一个管理领域体系所能够单独来完成的;“基本规范”是一个完整的系统,其中的各个部分一定是可操作、可运行的体系机构;“基本规范”一定是可计量、可定型的过程;“基本规范”是一个企业管理思想和技术手段结合的系统。
总之,“基本规范”是将从企业内部管控开始,逐步在企业实现由内部控制管理向全面风险管理转化,最终建立能使企业平稳运行的管理机制和企业文化。
企业内部控制是由五个要素组成的,即控制环境、风险评估、控制活动、信息与沟通和监控。五要素中,各个要素有其不同的功能,内部控制并非五个要素的简单相加,而是由这些相互联系、相互制约、相辅相成的集合,按照一定的结构组成的完整的、能对变化的环境做出反应的系统。
在这样一个意义非凡的管理系统整体建设中,应该如何构建内控管理体系,使其真正能够建有成效?有关方面的人士认为:内部控制的五大要素中,控制环境是基础,控制活动是重点,最重要的是在基层的实施。因此,内部控制的关键在于企业基层的业务活动中构建控制环境,并在业务活动中有效执行控制活动。众所周知,基于IT技术的企业信息化管理平台是现代企业管理主要运行环境,所以,控制环境必须依此平台来构建。
内控和风险管理必须分步建设
企业在内控和风险管理实施过程中,不仅是一个硬件环境和运行环境建设的过程,更多的是理念和工作习惯的改变过程,从内控管理体系构建的终极目标来看,必须从基础开始细致而扎实地开展分阶段的建设。依据信息化建设的经验,笔者认为内控管理体系的建设应该分三个阶段进行:
第一阶段为监督管理阶段,本阶段的目标是建立面向内外部合规要求,信息化、透明化的风险管理,实现对关键风险监督;第二阶段为内控融入业务管理阶段,本阶段目标是建立面向运营过程的,日常化、体系化的风险管理,实现关键过程控制;第三阶段为全面风险管理阶段,目标是建立以战略为核心、以内控为基础、以集团管控为手段的全面风险管理体系,实现稳健运营的风险管理。
目前对于广大企业来讲,第一步首先做到的是合规,在合规的过程当中,意味着企业的内控部门,内控管理者要对自己企业的经营管理信息做到心中有数,这是一个信息平台的建立和透明化的过程。第二个阶段是把控制过程融入业务管理过程的阶段,就是将内部控制点与企业的业务系统完美地整合在一起。第三个阶段是为企业的战略发展而提供支持,在IT建设层面,以战略和发展为导向的绩效管理、预算管理与风险控制结合起来,从根本上控制可能遭遇的经营风险。
满足内控和风险管理需要的IT实施原则
实施符合“基本规范”的内控和风险管理需要IT提供应用和技术的保障,使其能够帮助企业让内控和风险管理理念、规则具体进行管理的实施。换言之,IT技术仅仅能为内控和风险管理提供基本的手段,能否有效实行内部控制和风险管理,一定要有具体的应用方案实施标准。目前有许多管理软件应用于企业管理的各个环节之中,但如何才能达到“基本规范”中的内控和风险控制的要求。因此,基于IT的管理系统必须依照以下两类原则来构建符合“基本规范”的内控环境,以及在此之上开展融入业务活动中的内控活动。
满足“基本规范”应用要求的原则。可行性:将内控要素和关键控制点与业务流程管理整合,在执行业务活动中实现内控;可控性:实现内控体系与预算、集团管控体系整合;可视性:内控执行过程和效果可查询、可评价。
满足“基本规范”技术要求的原则。能够安全、稳定、运行可靠;能够进行工作流和权限控制;能过集成、扩展、并满足个性化应用需求;能够支持分步建设;能够进行多维数据智能分析,并可作为信息门户。 转贴于
在管理软件中构建内控管理环境的要点
本着IT保证的可行、可控和可视的构建原则。目前,控制的基本方式,也是最有效的方式,是在业务执行过程中的风险控制。不同于传统的风险控制方式,IT管理系统的基本模式是将风险控制在执行过程之前,特别是在执行过程中,避免不合规的操作。这是IT系统最主要的任务。以IT基础平台的管理系统与内控风险管理的职能结合,是基于IT技术的管理系统必须的功能。
与业务管理过程融合的控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。以用友NC最新版本的管理系统分析,“基本规范”中规定的控制措施对应的解决方案有如下几点:
(一)针对“基本规范”第二十九条
针对“基本规范”第二十九条“不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。”的要求,要求IT系统提供自动检查业务流程中不出现重复的岗位和用户,审批流程中不出现重复的岗位和用户的功能。
(二)针对“基本规范”第三十条
针对“基本规范”第三十条的“企业应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策”的规定,要求IT系统提供岗位授权管理,在提供岗位授权管理的同时,根据不同业务和事项建立不同的审批权限和流程,并提供处理特定条件下的审批流程,其中包括替代、联签审批方式,强制控制执行等必要的审批方式。
(三)针对“基本规范”第三十二条
针对“基本规范”第三十二条“财产保护控制要求企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。企业应当严格限制未经授权的人员接触和处置财产”的要求,要求IT系统提供财产记录与盘点记录的自动或手动核对功能,并具备后续财产处理、记录及查询功能。
(四)针对“基本规范”第三十三条
针对“基本规范”第三十三条“预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束”的规定,要求IT系统提供各个预算责任主体的信息,可以通过审批权限对合同、发货、采购、付款、财产处理等关键环节的数量和金额加以限定,实现对预算的执行控制。
(五)针对“基本规范”第三十四条
针对“基本规范”第三十四条“运营分析控制要求企业建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进”的规定,要求IT系统应提供各个业务领域真实交易数据的分析功能,并提供因素、对比、趋势等常规分析模型。
(六)针对“基本规范”第三十七条
针对“基本规范”第三十七条“企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理”的规定,要求IT系统提供对风险事件的预警,并能及时通过各种通讯方式通知相关岗位人员。
结论
总之,企业内控管理不仅仅是一个相关制度和观念的建立问题,更重要的是在IT基础管理平台上,将管理概念和制度具体落实到日常的业务活动中。根据“基本规范”的相关规定,目前的IT技术完全可以支持构建控制环境和控制活动与日常活动融合的需求。
参考文献:
1.李玉环.关于内部控制中的内部监督.会计之友,2008
GSK(葛兰素史克),国际大型制药集团公司。其风险管理组织呈塔形结构梯次管理,层次分布较好。最高管理机构是CET,该机构由CEO、CFO等组成,是类似于公司风险管理委员会的一个机构。
GSK内审部的主要工作是巡回对全球各地子公司做审计,主要侧重于内控流程的规范操作审计。各地子公司因大小不同,审计时间长短不同,大的子公司提前半年通知,小的子公司提前6周通知。目前GSK集团在全球各子公司推行随时可以审计的方式,倾向于过程中的及时监控。审计前往往先要求子公司提供本公司的RISKMAP,并给予所在地子公司的总经理一次机会做风险阐述,可以在这个时间说明自己公司的主要风险是哪些,哪些风险因为什么样的原因尚没有得到较好控制,除此之外,就是审计人员通过审查发现问题和风险所在,以和该总经理的前期阐述对比。审计结果以子公司年度风险报告的形式向集团公司汇报,该风险报告对于子公司的绩效影响很大,对年终考评结果具有较大影响。
个人认为,GSK的风险管理主要是侧重于内控流程的操作规范,是在内控基础上向风险管理的延伸,对过程的管理是其优点。其风险管理主要是保障内部按章操作,以结果为导向,与考评挂钩,因此使得GSK的风险审计对子公司具有高度的权威和较大的威慑力。此外,风险管理侧重在过程管理方面,是为了加强内部制度落实和加大执行监督力度,保障各子公司的经营管理活动在相应的可控框架内,也使得内部风险能够得到较好的控制。
通过普先生(曾任职普华永道、福特公司,现任职GSK内审部)的讲解和与其交流中感觉到,GSK的风险管理审计类同中移动的内审部,是依据制度或管理办法为标准,通过审计和测试来发现各单位的操作不规范之处,这能够较好地在过程中对某些框架内的风险做有效的管理,但是内审部如果仅仅是做合规性审计,在流程上要求大家注意做好风险管理的某些规范操作,只能保证大家有没有按照规定去做,而不能保证大家对风险管理做得是否有效和高效。这是其不足之处。
此外,企业风险除了内部操作风险,还有更复杂的各种外部风险,诸如环境保护、当地法律等,这些对制药行业影响最大的因素在现有的以内控主导的风险管理中并不能得到有效防范和管理。这与内审部的主要职责是合规审计,并且在审计中需要保证内审部的独立性职能相关,因此难以要求在风险管理效率上促使各部门进一步加强。那么在当前各大企业纷纷推行企业全面风险管理之际,选择由哪个部门来负责企业全面风险管理最为合适呢?
近期在为各个央企集团或地方大型国企做风险管理体系建设时,常需要设立某一类风险管理组织,以体现风险管理体系的真正确立和权责明确。以大型或超大型国企集团的风险管理具体管理实施部门为例,这里要提出两种方案作为思考:其一,新成立一个部门为风险管理部,主要职责是负责企业全面风险管理,包括风险防范、过程管理和重大风险事件应急管理等;其二,将风险管理的职责作为新增的职责并入现有的某一部门,以内审部为首选部门,以财务部、法务部等作为次选部门。
首先看第一套方案。能够设立风险管理部固然不错,但由于大型企业集团内部管理复杂,对组织架构作调整常牵涉多部门,同时受到国资委对国企企业员工总数和管理者与工人数量对比的管理约束,此外还有董事会、股东会等的多方制约,因此若非高层全力推动,较难一步到位。而且,即使成功设立了专职的风险管理部,那么需要对这个部门职责和权限作好规范,不但要从制度管理层面予以明确其权威性和类似于内审的独立性,而且还要考虑该部门工作的价值如何体现以及怎样兼顾风险管理和企业效率的双赢问题。职能部门的新设置需要积极考虑以上问题,缺少任何一个考虑,则该部门在日后的运作中便可能会触及导致风险管理推行艰难或低效的浅滩或暗礁。
再来看第二套方案。将风险管理的职能放置在内审部,是为了借助内控的延伸来完善企业的风险管理,优点在于内审部相对于企业各个部门,具有较好的独立性和全局观(这点与法务部、财务部相类似,因此法务和财务也是风险管理职能归属的次选择部门),曾经的企业内审工作经验也有助于发现企业管理的风险所在。这种方案采取渐进的方式来做风险管理,内审部主要站在内部控制管理的角度看待和解决问题,优先保证内部的操作合规和制度执行到位。将风险管理的职能落在内审部,短期看有利于促使各单位更好贯彻风险管理的流程和操作,对于企业风险管理体系动态运作具有好处,但从长期看也有其不足。内审部由于其本职工作的局限性,在风险管理方面主要是保障各下属单位按照风险管理的流程制度执行,强调的是“有没有做”的问题,而解决不了“怎样做好做优”的问题。此外,如今风险管理的范畴已经远远超出内控,在外部环境、政策、法律、技术发展等各方面对企业具有更大影响的风险也远非内控管理规范和完善就能避免和防范,而这些风险,如果不能解决风险管理的有效性问题,就难以说企业的风险管理体系得到了较好建立和运转有效。
因此我提倡在风险管理组织设计时,要充分考虑所在企业集团内的各种职能部门的长处和不足之处。例如,采取将风险管理职能划归内审部管理,那么从长远的管理考虑,则建议有必要在内审的职能岗位之外,另外设立风险管理岗位,使得在内审职能成功推动和实施解决了“有没有做”问题之外,有相应的风险管理专岗负责落实“做好做优”的风险管理问题。但总的来说,不管是设置风险管理部还是由内审部来负责,都要充分兼顾考虑到企业的内外部风险防范。
【关键词】商业银行 内控风险管理 方法 技术 应用
一、前言
就目前来看,我国商业银行呈现良好的发展态势。了解与掌握风险方面的客观规律,加大风险管理力度,是商业银行在发展过程中必须重视的重要事项,也是科学发展观得到有效贯彻落实的基础。发展观,实质上就是关于发展的要求、目的以及本质的一个整体看法,发展观的正确性直接决定着发展道路、发展战略以及发展模式的合理性、有效性,对于发展的实践产生重要的影响。商业银行是一个货币经营、具有良好信誉的企业,商业银行在经营管理方面需要遵循三个原则,即盈利性、流动性以及安全性。其中,安全性是商业银行经营管理过程中的基础,流动性是经营管理中的手段,而盈利性则是经营管理中的主要目标。商业银行在发展过程中对于科学发展观的贯彻与落实,需要遵循盈利性、流动、安全性三大原则,保证三大原则之间的协调与平衡,在确保流动性与安全性的基础上,追求利润最大化。由于经济金融形势处于不断变化的状态,因此商业银行在内控管理的过程中,应当重视风险管理水平的提升,深入贯彻与落实科学发展观。
二、金融生态环境的实际状况分析
现阶段,我国金融生态环境呈现不理想的状况。金融生态环境,是2004年我国人民银行行长周小川提出的一个金融概念。金融生态环境,实质上就是指金融行业发展过程中的外部环境。随着全球金融危机的出现,针对我国经济环境中日益突出的一些矛盾,造成我国金融生产环境处于不太理想的状况,影响我国商业银行的快速发展。
商业银行发展过程中面临的主要问题,主要包括:第一,法制环境存在一定的缺陷。我国现有的法律法规还有待完善,促进金融行业发展的实际方式、措施还比较少,司法机关在对金融机构与企业、个人之间出现的利益冲突案件进行审判的时候,无法做到公正、公平。第二,中小企业资金成本处于高度紧张状态,资金链处于断裂的边缘,融资十分的困难,中小企业的生存与发展面临着非常严峻的考验,在很大程度上增加了信用风险与市场风险,同时还增大了金融操作风险;第三,金融服务水平无法满足区域经济发展过程中的需求;第四,随着我国经济的快速发展,我国经济发展对于银行信贷的依赖性越来越大,这在很大程度上增加了一些金融机构运营过程中不良贷款状况的出现次数,加上国家宏观调控在一定程度上兼容了银行在放贷方面的能力,对经济的信贷投入造成了严重的影响,加剧了企业在资金供求方面的矛盾,尤其是中小企业。第五,政府信用环境不太理想,对于金融债券的落实有着十分严重的影响;金融债务的具体落实情况一般,金融债权并没有得到充分的落实,而且金融债权的具体落实与政府存在一定的联系;第六,企业法人的治理结构存在一定的缺陷,企业财务管理存在权限,很多企业都会借助改制、破产等名义逃离亏欠银行的一系列债务,与当地金融机构出现金融纠纷。
三、商业银行内控风险管理现状分析
商业银行内控风险管理直接关系着商业银行能否正常运营,它是商业银行各项工作在开展过程中的重要事项。我国商业银行在发展过程中,虽然经历了引进外资、资产重组以及路演上市等一系列事项,在整体内控方面有了非常大的改善,但是商业银行在新形势下,内控风险管理状况仍然不太理想。
(一)内控风险管理水平存在差异
现阶段,我国不同地区中不同的商业银行,在合规文化、风险意识以及业务素质等多个方面还存在一定的差异性。同时,商业银行会计跳线“短板效应”十分显著,一个木桶能够装有多少的水,主要在于木桶壁面上最短的木板的长度,而不是木桶壁面上最长木板的长度,即“短板效应”。“短板效应”对于商业银行加强内控风险管理工作具有十分深刻的警示。不同商业银行在管理水平与员工之间存在的差异,在很大程度上影响了商业银行会计内控管理工作的正常开展;针对这一实际情况,各个商业银行应当重视会计人员风险意识的提升,加大合规文化的建设力度,加强工作人员的业务培训,以此实现商业银行内控风险管理整体水平的提升。
(二)工作人员业务素质与产品更新不相适应
由于金融产品的更新十分迅速,商业银行中的新业务层出不穷,对于内部工作人员的培训很难达到理想的效果,各个工作人员对于新产品的了解程度与接受能力存在一定的差异性,怎样有效的控制这些因素所产生的操作风险,是商业银行在发展过程中面临的一个新问题。同时,银行业务会受到商业银行内部相关制度的制约,主要在于商业银行现有的制度创新与修订一般都无法跟上银行业务的更新速度,所以商业银行在业务方面容易出现风险。例如:我国各个商业银行对于财富管理业务、保险业务以及证券三方存管业务的推行。
(三)工作人员行为管理力度不足
从近几年我国银行业案件的发生情况来看,银行内部工作人员在工作上出现的违法乱纪行为是造成这些案件出现的主要原因。因此,商业银行在发展过程中应当充分重视工作人员行为管理力度的加大,这对于内控风险管理十分重要。目前,社会中的诱惑多样化,人们的生活节奏逐渐加快,在工作上的压力也越来越大,价值股票市场中的行情多变,造成一些银行工作人员在心态上失去平衡,脱离了社会道德标准,造成银行业案件的发生。商业银行中的管理人员,应当重视基层工作人员的工作监督,及时发现并解决相关问题,还要加强与基层工作人员的交流与沟通,重视心理疏导的作用,避免不良事故的出现。
四、商业银行内控风险管理技术方法以及应用的分析
(一)信用风险管理
信用风险,实质上就是指交易债务人或者对手无法有效履行合约或者信用出现变化而造成交易债权人或者另一方的权益受损的潜在风险,它普遍存在于商业银行的授信业务中,主要包括信用价差风险(cred it spread risk)与违约风险(defau risk)。
1.内部评级法。在经过多次国际金融振荡后,国际银行业建立了相应的数学模型对信用风险进行合理的度量,需要强调的是数据模型具有很强的技术性。2004年的《巴塞尔新资本协议》,主要将市场纪律、当局监管以及最低资本要求作为支撑,对现代信用风险管理模型进行构建,重点突出风险计量的标准化、敏感性以及精确性,强调内部评级法(In ternal Ratings-Based Approaches,IRB)在银行风险管理工作的重要作用与核心地位,对于全球银行业发展格局的改变具有十分重要影响。内部评级法,主要包括以下几个基本要素:①敞口分类:项目融资、零售业务、银行、国家、股权以及公司业务等;②风险权重;③监管方法;④最低要求;⑤风险要素:期限、违约总敞口头寸、给定违约概率中的损失率以及违约概率等。
2.传统信用风险度量。传统信用风险度量的方法,主要包括:传统信用评级、信用评分方法(ZETA模型、Z模型)、贷款风险度测算以及专家评定制度(5P、5W、6C原则)。传统方法十分简便,方便操作,但是存在相关的不足之处,主要体现在将会计账面价值作为基础的时候,无法将企业实情全面的反映出来,而且动态性比较差;主要依赖于定性分析,主观随意性比较大,而且效率也比较低。
3.信用风险管理工具。信用风险管理工具主要包括:贷款直接转让、银团贷款、授信限额、信用衍生、贷款证券化工具。
4.现代信用风险度量模型。就目前来看,国际金融界十分流行的内部信用风险模型,主要包括沃特曼死亡率模型、瑞士信贷银行的信用风险附加模型、麦肯锡公司的宏观模拟、JP摩根的信用矩阵以及KMV模型等。其中,JP摩根的信用矩阵与KMV模型最具代表性。
(二)市场风险管理
市场风险,又可以将其称为价格风险,主要是指可交易资产的价值或者被用于资产出现的变化而造成的损失风险,主要包括汇率风险与利率风险。
1.市场风险管理工具。外汇风险管理,主要包括外汇期权、货币互换、金融衍生工具以及敞口限额等;利率风险管理,主要包括资产负债管理、利率金融衍生工具、基于VaR的管理等。
2.实诚风险度量。汇率风险度量,主要包括时间、外币以及本币等多个要素,可以姜切划分为经济风险、交易风险以及会计风险。利率风险度量,主要包括全值法、凸性分析、持续期、Var方法以及敏感性缺口分析等。综合风险度量,主要包括情景分析法、VaR方法、压力测试法以及风险状况图。
(三)操作风险管理
操作风险,实质上就是由于内控控制不完善、外部事件、制度失效以及人为错误等一系列事项造成直接损失或者间接损失的可能性,主要是银行内部中可以控制范围内的内生风险,主要包括商誉与法律风险、欺诈风险、信息技术风险以及控制风险。
1.操作风险管理。保险是银行风险管理中非常重要的一个工具,主要包括与操作风险种类相匹配的保险、再保险与保单合格标准以及合同对方风险与保障范围。
2.操作风险度量。主要包括内部衡量法、极值理论方法、损失分布法以及基本指标法。
3.资本准备金与保险的代替计量。内部衡量法、极值理论方法、损失分布法以及基本指标法等主要计算方法为限额法与保费法。
(四)商业银行内控风险管理技术的应用分析
客户评级与债项评价都是信贷风险管理过程中的基础部分,根据客户评级与债项评价与贷款逾期损失率之间存在的关系,可以对10级以上的评级矩阵表进行构建,以此提高商业银行内控风险管理的整体水平。如表1所示,债项评价、客户评级与贷款风险分类之间的关系。
表1 评级矩阵表
五、结语
现阶段,我国金融领域中频繁出现银行内部人员与外界人员联合进行金融诈骗、挪用银行资金以及盗取客户资金等一系列重大刑事案件,不仅严重影响了银行的正常运行,造成银行出现巨大的经济损失,而且在很大程度上破坏了我国银行业的商业信誉与社会形象;同时,阻碍了我国商业银行的快速发展。针对这一实际情况,我国商业银行在内控风险管理方面,应当严格执行各项内控制度,通过对风险管理流程的优化以及管理方式的创新,提高银行业务的操作效率,创造一个良好的风险管理控制环境,为银行业务提供高效、有序以及安全的运营保障,促进商业银行的快速发展。
参考文献
[1]康荟,程慧容,向存忠.商业银行内控风险管理技术方法及应用[J].现代商业,2011(32).
[2]张晓琦.我国商业银行信用风险度量及管理研究[D].哈尔滨工程大学,2011.
[3]李永华.中国商业银行全面风险管理问题研究[D].武汉大学,2013.
[4]贾锐.商业银行风险管理及防范问题研究[D].河南大学,2012.
[5]聂琳.内部控制视角下我国商业银行风险管理策略研究[D].财政部财政科学研究所,2012.
[6]李思宇.我国商业银行会计操作风险及其控制研究[D].西南财经大学,2012.
[7]吴琳.中小商业银行操作风险控制研究[D].山东大学,2012.
[8]刘新宇.基于全面风险管理的中国商业银行内部控制研究[D].辽宁大学,2011.
[9]徐建明.我国商业银行金融衍生品信用风险管理分析[D].山东大学,2013.
