风险管控要点篇1
该方案的主要工作任务和步骤是清权确权和风险查找、制定防控措施和预警处置。根据方案,按照职权法定、权责一致的要求,对依法确定的职权进行分项梳理,编制职权目录,逐项列出岗位权力行使的依据、界限和责任,以及廉政风险点、风险等级等内容。
通过自己查找、群众帮助、专家建议、案例分析和组织审定等方式,重点围绕管人、管财、管物等重要岗位,全面查找“权力配置、业务流程、制度机制和外部环境”四个方面可能存在的廉政风险。
在查找廉政风险的基础上,依据岗位权力的大小、不廉洁行为发生的几率和危害程度、近三年来的廉洁情况等内容,将廉政风险点的风险等级从高到低分为一级、二级、三级、四级。具体标准是:在行政审批、行政执法、司法以及人、财、物管理等工作中有较大决策权的领导岗位,或者近三年发生过严重不廉洁问题以及群众反映强烈的其他岗位,风险级别一般应当评估为一级;对上述事项有一定决策权的乡科级领导岗位和具体承办岗位,风险级别一般应当评估为二级;近三年发生过一般性不廉洁问题或者群众有一定反映的其它岗位,风险级别一般应当评估为三级;不涉及上述事项,但具有一定协调职责的乡科级以上综合部门领导岗位,风险级别一般应当评估为四级;不涉及上述事项,且连续三年没有发生不廉洁问题的岗位,可以不作为廉政风险点。
在落实防控责任方面,对廉政风险实行分级管理、分级负责。一级廉政风险点,由本级党政机关主要领导负责,廉政风险点属于主要领导岗位的,由上一级党政机关主要领导负责;二级廉政风险点,由本级党政机关分管领导负责,廉政风险点属于分管领导岗位的,由主要领导负责;三级和四级廉政风险点,由直接管辖该岗位的领导干部负责。
风险管控要点篇2
关键词:建筑工程 施工企业 风险控制
在我国建筑市场快速发展的今天,建筑施工企业的管理工作成为了影响企业发展与壮大的关键。市场竞争的激烈使得建筑施工企业认识到了自身管理工作对企业经营、生存以及发展的重要意义,也使得企业开始加强自身的管理工作。作为影响企业抗风险能力、提高生存与发展能力的关键,建筑工程施工企业的风险控制与管理工作对企业有着重要的意义。针对建筑工程施工企业的主要业务以及管理工作重点,其风险控制与管理主要集中在工程项目的风险控制中。笔者从建筑工程施工企业面临的主要风险分析入手,论述了建筑工程施工企业的风险控制方式与重点。
1、建筑工程施工企业风险管理特点分析
建筑工程施工企业的特点决定了其风险管理具有的特点。工程项目一次性、单件性的特点使得工程建设施工管理中存在大量的不确定因素。受企业经营管理水平影响以及不确定因素的预见性影响,造成了企业经营与施工过程存在着风险。而且工程建设施工中技术、地质、材料等因素也将导致不可预见性因素的产生,造成对工程建设施工产生影响。在建筑工程施工企业风险控制研究中还发现,工程建设周期长、设计单位多以及合同关系造成的合同风险等都将导致建筑工程施工企业的经营存在巨大的风险、影响企业的生存与发展。为了有效规避风险并有效减少风险对企业经营与发展的影响,现代建筑工程施工企业应针对工程建设企业风险管理的重要组成部分进行控制。以项目风险管理与控制实现企业经营与发展的根本目的。
2、建筑工程施工企业风险控制与管理工作的科学开展
2.1明确建筑工程施工企业风险控制方向,促进企业风险控制与管理工作的开展
明确建筑工程施工企业风险控制方向是实现建筑施工企业风险控制与管理的基础。首先建筑工程施工企业应对企业所面临的主要风险进行分析,以此明确企业风险控制的重点与方向。建筑工程企业还应针对我国建筑施工企业风向管理现状中存在的缺乏规范风险管理信息系统、风险管理机制不健全以及风险管理意识不强的现状进行风险控制方向的制定。以科学的风险管理与控制方向的制定实现建筑企业风险控制与管理目标的实现。
2.2分析建筑工程施工企业常见风险,实现建筑施工企业风险控制重点的了解与管理
建筑工程施工企业常见的风险主要来自于业主方、合同法律、财务以及自身管理等多个方面。业主方的滥用全力、拖欠工程款等将导致建筑工程施工秩序受到印象,进而产生巨大的风险。另外,合同管理中施工企业能够科学的分析合同条款、避免合同陷阱的发生也是规避风险的关键。作为企业经营与管理中重要基础,企业财务风险对企业生存与发展有着重要的意义,是现代建筑工程施工企业风险控制的关键。在注重上述常见风险的了解与控制外,建筑工程施工企业还要根据自身行业特点所造成的风险。如企业施工质量责任风险、施工质量造成的刑事责任与经济损失、施工投资风险等。再如,企业项目风险管理中,施工企业管理水平不足造成的工期滞后、质量不达标准造成返工损失等。总之,在建筑工程施工企业的风险管理中必须针对常见风险进行风险控制,以此实现建筑施工企业风险控制与管理的目的。
2.3针对建筑工程项目风险进行风险控制
作为建筑工程施工企业风险控制的重要组成部分,项目风险控制与管理是影响企业发展的关键。在进行建筑施工企业项目风险控制前,首先要对建筑工程项目进行风险评价。在项目风险的识别与分析基础上运用系统的、科学的评价模型进行风险发生概率与损失的评价,以此对建筑工程项目进行风险分级排序,为工程风险控制奠定基础。在此基础上,以上文所述风险认识与分项控制的重点对建筑工程项目进行风险控制,以此实现建筑工程施工企业风险控制的根本目的。
按照建筑工程施工企业风险控制与管理的基本原则,在进行项目工程建设过程的风险控制与管理中应运用缓解风险、转移风险以及回避风险的方式进行风险控制与管理,以此实现企业经济效益的啼声声、实现建筑工程施工企业的发展。以缓解手段降低工程项目风险发生的可能性,以此减少风险带来的损失。例如:采用加强施工质量控制与管理的方式减少质量通病的发生,以此避免质量通病治理造成的经济损失。再如,以加强施工安全管理避免施工安全事故的发生等。以强化施工管理工作预防分先的发生。通过企业管理工作以及施工技术控制等工作减少工程项目风险的威胁,实现缓解风险发生、避免风险的目的。以主观能动性以及管理措施的完善有效降低风险发生的概率,是建筑工程施工企业风险控制的根本目的。
在注重风险预防的同时,建筑工程施工企业还应加强风险的转移,以项目担保、保险以及分包合同中质量责任的明确等将项目的风险转移至参与的企业,实现企业风险控制的目的。为了提高建筑工程施工企业风险控制效果,施工企业在注重上述风险控制与管理方式的同时还应以回避风险的方式保障企业的经济利益。受建筑工程项目特点影响,企业可以通过对建筑项目风险评价工作实现风险回避。对于风险较高、利润不大等工程采用主动放弃或改变项目目标的方式实现风险回避。另外,企业还可以采用中断风险源等方式减少风险对企业经营的影响,实现企业的健康发展。
3、结语
风险管控要点篇3
关键词:高校;风险清单;风险管理;内部控制
一、高校内部控制与风险管理的关系
1.高校内部控制和风险管理的定义高校内部控制是其内部治理的重要组成部分,由内部环境、风险分析和评估、控制活动、信息与沟通、内部监督等活动构成,表现为与业务、财务相融合的组织管理结构、制度、程序和措施等,是高校为履行职责、实现目标、应对风险而实施的管理活动。高校的内控目标包括确保各项资金的安全运行,提高资金的使用效益,保障各项活动合法合规、资产安全完整、财务报告及相关信息真实完整,有效预防和防范舞弊腐败,办学服务效率和效果能得到提高。高校风险管理是指高校为实现相应的发展目标而面临不确定性,通过目标设定、识别风险和评估等风险管理活动,将风险控制在可接受的范围内,有利于提升管理和治理水平,同时减少对高校产生不利影响,从而提升管理水平,减少能对单位产生影响的不确定性因素。根据高校各个部门的职能和权力运行特点来看,风险多数集中在基建、资产管理、招聘、招生、科研等重点环节。2.高校内部控制和风险管理的关系高校内控和风险管理都是高校管理人员将经济业务作为对象,以期将学校战略与规划落到实处,而实施的一系列动态并且灵活的治理过程的集合。高校的风险管理包括内部控制,内部控制以风险管理为出发点,其控制目标、控制活动等依据内外部环境的变化而进行相应变化。高校内控与风险管理的目标和职能有很大的相关性,比如控制环境、控制活动以及风险评估等都是两者的相同内容。除此之外,高校风险管理包括风险反馈、目标制定等环节,内控是风险管理过程中的重要环节,而风险管理同时又覆盖了内部控制,贯穿于整个管理过程。所以,风险管理和内部控制工作一般是同时进行的,两者在运行过程中是统一并协同的。简而言之,风险管理是内部控制的延伸,内部控制的本质和核心就是风险控制。内部控制以风险管理为出发点,内部控制的发展是一个渐进的过程,内部控制的核心始终是风险管理,其目标、内容随着内部和外部环境的变化而变化,其本质就是风险控制。因此,高校的风险管理包括内部控制,是高校内部控制的延伸。风险意识和内控制度管理为完善高校控制系统提供了坚实基础,也是防范风险和高校风险管理的基础。高校的风险管理考虑的是整体的风险,而内部控制是单纯风险的防范和控制。风险管理涵盖了高校各个层面的发展战略,其目标不仅是为了保护资产和经营活动的平稳运行,还包括积极利用机会,寻求更好的发展机会。在内部控制和风险管理相互融合的框架体系中,内部控制的目的主要是为了控制整体的、全面的风险。内部控制侧重在控制手段上,风险管理侧重在控制目标和风险控制上,两者相互扩展和完善,最后建立一个完整的框架,实现控制风险的目标。两者在内容和形式上的区别和侧重,表明了有效整合的必要性。
二、高校内部控制与风险管理存在的问题
1.财务风险内控制度不健全风险内部控制体系是高校财务内部控制实施的关键。有效的工作体系是高校正常运营的保障,制度保障需要学校内部各部门积极配合。目前,高等院校在财务风险内控制度存在明显不足,仍存在局限性和片面性,无法形成系统化、规范化、可操作的制度框架。而且,高校没有制定完善的财务内控制度,且高校偿债风险防范制度不健全,必然降低高校财务风险应对能力。2.财务流程不规范财务流程规范化是制度落实的关键环节,虽然在高校的财务管理过程中,有关部门都相继出台了许多管理办法,但仍缺乏完善的财务业务流程。近年来一些高校内部也制定了相关流程,仍缺乏具体化的管控措施,办理程序及责任不清晰,大大影响执行效果。在组织控制活动方面,高校对关键岗位风险点的把握不够,缺乏对各个经济业务环节进行流程化管理。3.风险评估机制缺失随着高校的经营模式多样化,高校的招生、教学、科研以及基本建设等环节的财务风险不断增长。且近年来,高校资金来源逐渐呈多元化、复杂化趋势,高校面临的财务风险及考验越来越多。多数高校长期受事业单位机制影响,财务风险管控意识不足,未能积极有效地制定和落实财务风险评估机制,缺少对经济业务活动的风险监测和应对方案,导致应对业务和财务风险的能力不足。4.监督机制不完善高校的监管主要以内部监管为主,内部监管主要依靠纪检和审计两个部门,同时由于两部门业务及人力资源限制,难以做到监督工作全面化。且两部门的分工也容易造成内部财务管理监管的真空地带。审计部门一般只是对采购项目、基础项目建设、三公经费等重点内容进行审查,内控的监督及风险管理的范围受到限制,从而导致内控的监督和管理措施落实不到位。
三、嵌入风险清单管理的高校内控建设优化机制
风险清单是指组织根据自身战略、业务特点和风险管理要求,以表单形式进行风险识别、风险分析、风险应对、风险报告和沟通等管理活动的工具方法。其目标是使组织从整体上了解自身风险概况和存在的重大风险,明晰各相关部门的风险管理责任,规范风险管理流程,并为构建风险预警和风险考评机制奠定基础。从单位层面和业务层面以风险清单为工具方法,按照应用环境创建、目标设定、风险识别、风险分析、风险应对、风险报告和沟通、评价与优化的程序,通过风险管理基本框架的构建,来优化高校内控建设,使其符合高校特点的同时具有更强的可操作性。其中风险识别、风险分析、风险应对为关键环节。在风险识别环节,首先,查找可能影响高校正常运行的要素,如业务流程、规章制度、信息系统、人员素质等;其次,对查找出的要素进行深入的风险分析活动,判别是否存在风险;最后,梳理风险点,建立全面的风险清单。在风险分析环节,锁定识别出的单位和业务层面的关键风险点,对风险发生的可能性和风险后果的严重程度进行深入分析。风险发生的可能性分为高、中、低三个级别,“高”代表会影响高校的正常教学、科研等活动,对运营造成一定程度的影响;“中”代表能够进行正常的教学、科研等活动,但会对财务活动造成一定程度的影响;“低”代表对财务活动造成的影响较小。风险发生对目标实现的影响程度可分为高、中、低三个级别,“高”代表常常会发生,“中”代表某些情况下会发生,“低”代表极少情况下会发生。结合这两个标准,对各个风险点的总体风险度和风险等级进行分析和判断。在确定风险等级后,根据风险的大小确定相应的风险应对措施。确定为高等级的风险,需要进一步分析各个风险产生的原因,采取有效的控制措施将其降低至可承受范围内,并在后续的活动中持续关注该风险点的发展和动态;确定为中等级的风险,需要保持目前采取的控制措施,同时定期重新评估和分析风险;确定为低等级的风险,需要加强并坚持日常控制措施。
四、嵌入风险清单管理的高校内控建设优化措施
1.改善高校内部控制环境,增强风险防范意识高校风险管理是一个循序渐进的过程,成功与否主要在于高校管理人员和员工能否认知到风险管理重要性。高校管理人员必须充分认识到内部控制和风险管理的重要性,并且在制度体系构建上足够重视,落实责任,进而全面推行风险管理和岗位责任相融合,全员、全过程、全方位提高内控管理水平。特别是增强教职工风险意识,使大家在高校日常经营活动中认识到自己在风险管理中的职责,实现对风险的精准预测和有效控制,从根源上确保高校各项活动的有序推进。高校的内部控制环境,包括人员道德观念、能力素质、组织架构、人事制度及管理理念等,是高校风险管理的基础。一方面,需要重视人员的能力和素质培训,提高业务水平和能力,进一步提高财会人员的综合素质,加强沟通,创造和谐向上的工作氛围。另一方面,不断完善人事管理等有关制度,在人员聘用、培训、晋升等环节强化道德价值操守和风险管理意识,创造良好的管理控制环境,有利于促进高校自身的安全和稳定发展。2.健全财务内部控制制度,建设高校风险管理和预警体系高校应当基于自身需求,建立完善的内控制度,规范和控制经济业务活动,防范财务风险。高校管理层需要根据自身的办学特点和风险状况,对财务内控制度不断进行梳理并修订。同时对财务业务的主要流程和环节进行优化,加强制度建设,逐步建立起全面、系统的财务内控制度。另一方面,高校可以设立专门的内控管理部门,从总体上规划各项内部管理工作,从而确保有效发挥其功能和作用。以风险管理为导向的内部控制,最为关键的是风险防范。建立健全风险预警体系是高校内部控制与风险管理工作的重要举措。首先,构建全员、全面、全过程的风险管理体系,将财务风险预警不仅运用到高校投融资等工作中,还要落实到高校教学、科研、招生、就业等各个方面。其次,结合高校自身特点,不断收集并分析各种影响风险发生的信息,对高校发展与运营过程中存在的潜在风险因素进行动态追踪,实现事前、事中、事后的全过程监控,建立起动态的风险预警体制机制。最后,不断优化风险分析评估制度,完善高校风险预警机制,建立风险管理的长效机制,提高风险管理的效率与效果。3.多方位梳理完善业务财务流程,加强内部信息沟通高校在业务财务的规范化管理方面,要覆盖所有的业务财务流程,精细把控各个环节流程。利用流程化管理手段,将业务的各个处理流程细化,再分解到归口部门,以明确各个部门岗位的职责权限。同时为了有效提升内控制度的执行力,规范权力的运行,利用内部授权审批制度来实现制衡。随着风险管理和财务内控的积极推进,高校在对财务业务流程进行调整时,还需要考虑自身情况,重点关注借款、日常报销、绩效奖励、差旅费的审批流程、基础建设款项的审批、经费划拨审批,及一些其他特殊业务的处理流程。不断建立完善通畅的沟通机制,加强内部信息交流,特别是注重跨级沟通,实现上下级之间的平等双向沟通。具体可以通过以下手段来建立健全信息沟通机制:第一,建立内部开放式的信息系统,使员工能够第一时间反映相关情况,管理人员能够及时做出处理和反馈,从而为各级职能和教学部门提供有效参考;第二,建立投诉和投诉人保护制度,同时应给予适当的奖励;第三,成立内部小组,完善内部监督机制,定期召开通报会,分析错弊风险。同时,财务部门相关负责人应定期向学校管理层汇报工作开展情况,贯彻落实《高等学校财务制度》中的要求,从而将财务风险降到最低。4.强化内部监督机制,建立科学的内部控制评价机制运行有效的内部控制体系的建设和实施,离不开健全有效的内部监督机制。与此同时,监督和评价的结果也可以改进风险管理。因此,内控监管和评价制度的完善就成为关键。其中的首要工作是基于学校发展规划设立内控整体目标,把风险管理理念与高校业务活动进行融合,将内控目标、风险管理以及管理机制融合为一体,深入剖析流程,让高校各项工作更规范。另外,还需要通过自我评价、定期评估等方式对各个部门和岗位落实已分解职责的情况进行检查与评价,使高校内部控制能够接地气,能够真落实,能够有实效。高校通过内部、外部监督相结合的方式,依靠内部审计、纪检等进行常规和专项监察,同时借助外部审计机构、公众监督等,对学校的经济业务活动进行系统全面的审查。风险管理机构的设立是风险管理工作实施的基础,需要不断对风险管理机构、内控评价和监管制度进行优化和完善。深入调研学校的真实情况,制定高校内部控制整体目标,有效融合风险管理与高校业务活动,将风险管理、内控目标以及内部管理机制融为一体。同时,加强风险管理评估,根据实际情况,细分落实部门和岗位职责,检查评价控制情况。在高校的管理过程中实施全过程控制,实现内部控制与风险管理的有效融合。
五、结语
在高校的内部控制与风险管理工作中,运用风险清单的管理方法,将这两种工作结合在一起,通过对风险的规划、识别与评价,将内部控制与风险管理融合,从而更好地预防、规避和控制风险。同时,不断更新风险管理理念,树立风险管理意识,构建完善的风险预警体系和内部控制监督制度。在此基础上,将风险管理贯穿到高校教学科研、财务收支、业务管理、经营活动等各个领域,从而提高风险管理工作的质量和风险防范能力,规范高校的经济活动,促进高校的可持续和高质量发展。
参考文献
1.财政部关于全面推进行政事业单位内部控制建设的指导意见(财会〔2015〕24号).
2.管理会计应用指引第702号――风险清单(财会〔2018〕38号).
3.黄韬.高校财务管理内部控制的探讨.中央财经大学学报,2015(S2).
4.欧阳瑞聪.财务风险管控视角下的高校内部控制.财会学习,2017(02).
风险管控要点篇4
一、网点综合化建设及柜面风险控制现状
1、物理网点仍然是我行业务发展的主要基础
近几年来,虽然电子渠道发展迅猛,但物理网点的基础地位并未动摇,仍是各家银行竞争的焦点。目前,网点功能单一现象比较严重,对公业务辐射范围较小,网点资源利用效率有待进一步提高,这也是总行提出网点综合建设的根本出发点。
2、风险仍然是左右银行发展轨迹的重要筹码
“发展是业绩,安全也是业绩”,柜面风险控制依然是网点建设的重要主题。为此我行加强委派营运主管和检查督导两支队伍建设、强化会计基础等级管理、会计操作风险控制评价、检查项目考核三个体系建设,调动了各层面防控操作风险的主动性,保证了前期业务发展过程中风险的完善控制管理。
3、实现风控与网点综合化发展的有效衔接是亟待解决的重要课题
这其中包含了风控归口管理部门的确定、柜面风险管理职责调整、对原有风控队伍进行调整整合等体制建立问题;也包括了网点风险的重新评估、风险点的重新确认、网点风控措施的不断完善、风控效果考核等技术手段的完善。有效解决上述两方面的问题,才能为网点综合化建设中柜面风险的控制奠定坚实基础。
二、网点综合化柜面风险控制体系内容
为充分实现“强化基础、有效控制、促进发展”的风险管理原则,网点综合化柜面风险控制体系需要围绕风险责任、柜面监督、风险管理三方面开展。
(一)健全风险责任体系
从总、分、支行等层面,健全柜面风险控制组织架构,完善分支机构负责人重大经营风险和案件引咎辞职制度,落实员工行为积分制度,进一步明确管理层面和操作层面的风险责任,从而为风险控制体系奠定基础。
在柜面风险控制组织架构和职责落实的同时,还需要对各条线、各级机构的风险管理责任目标进行分解,明确工作要求和任务,完善风险控制评价绩效考核机制;将风险责任与管理权限、岗位责任有机结合,加强风险管理的内生动力;加强对风险责任落实的监督检查,强化落实“三个问责”,即案件、基础管理、业务发展的工作问责,对违规责任人一定要严肃追究、严明责任、严厉处罚,实施有效问责以实现约束作用。
(二)构建多层次柜面监督体系
建立健全有效的风险控制体系,需要强化全行员工的风险意识,构筑流程、系统、营运主管、检查督导等多角度多层次的监督体系,做到操作风险管理职责无缝衔接,才能严防操作风险管理悬空,实现风险点的全面覆盖,充分发挥监督体系作用。
1、流程控制
“细节决定成败”,这是管理学中非常有名的论断。细化管理,优化流程,是做好基础工作永恒的主题。每一项业务的操作流程,涉及多个工作环节,如何做到每一个环节全部合规,仅凭执行人的自觉性是不够的,只有通过流程控制,下一个环节对上一个环节的工作进行质量检验,不合规问题进入不了下一个环节,才可以最大限度地减少违规。业务流程不是一成不变的,随着业务运营模式和风险点的不断变化,相应的业务流程也需要不断改进、完善,只有持续不断地对每一项业务操作流程进行细化、优化,才能保证风险管理水平不断提高。
2、系统控制
随着科学技术的进步,建行系统的电子化程度越来越高,数据交易量大幅度提高,资金数额也越来越大,需要借助系统设置对核算交易的质量进行有效控制,防范资金风险。一是合理设置系统授权控制,授权控制应该秉承合理原则,使所有业务能够按照各项规章制度来执行,并提高执行的效率和质量,防止授权环节过多过滥,失去监督效用;二是充分发挥柜面监测系统预警作用,精确监测系统模型及参数设置,提高异常、可疑交易预警的准确性,促使相关管理人员及时提示督促前台业务人员规范操作,整改补救,将风险遏制在萌芽状态,对于交易核算起到较好的风险控制作用;三是建立完善的以风险为导向的事后稽核,扩充稽核模型,扩大风险稽核范围,有效利用稽核系统的数据资源揭示风险环节和问题,实现对风险的早发现、早预防、早化解。
3、检查控制
(1)强化营运主管监督作用
实施网点综合化后,委派营运主管负责柜面风险监督管理,继续实行上级行委派制度。营运主管作为防范柜面风险的第一道关口,其任务是代表委派行监督所在机构严格执行各项规章制度及操作规程,防范柜面操作风险。营运主管要切实承担起柜面业务的实时监督职责,突出事前控制和事中监督,加强柜面业务关键风险点的监控,把各种违规行为和风险隐患遏制在萌芽状态。管理行要保证营运主管监督的独立性,任何人不得干扰和阻挠其行使监督职责,真正落实风险管控责任。
(2)发挥检查队伍检查督导效用
全行建立了集中统一管理的会计检查督导队伍,全面负责组织实施网点柜面业务操作的检查,为实现业务合规运行发挥了重要作用。网点综合化建设增加了柜面检查的工作量和难度,对检查人员的数量和业务素质提出了更高要求。为更好地发挥检查队伍的柜面风险防控作用,一是强化检查责任,坚决杜绝检查流于形式、走过场;二是严格落实检查要求,加强对检查效果的考核和管理;三是创新检查方式,提高检查的深度,解决风险环节问题。
三、对网点综合化柜面风险控制体系的几点建议
柜面风险控制体系要适应网点综合化的需要,要在总结已有的行之有效的风险防控手段基础上,适时发展柜面风险管理理念,提高柜面风险管理的技术含量。
(一)网点综合化坚持风险控制优先原则
柜面风险控制工作任重而道远,只有扎扎实实做好风险控制工作,打牢发展的基石,业务开展才能建立在坚实稳固的基础上,也才能取得健康的、和谐的、持续的发展。网点综合化建设中要坚持风险控制优先原则,柜面风险管理机制到位、人员配备到位、业务素质合格的网点才能实施综合化;要坚持循序渐进,网点风险控制条件成熟一个推进一个,不能实施脱离风险控制的网点综合化。
(二)严格对公业务准入审核和管理
对私网点实行综合化,需要对其开办对公业务的相关条件进行审核。相关部门要严格按照制度要求对网点条件进行审核,对于不符合开办对公业务的网点,要采取有效措施帮助其改进,达到制度要求才能开办,不能放宽对公业务办理门槛,不能为了推行综合化而综合化。对于新开办对公业务的网点要加大管理力度,多检查多指导多规范,扶助其平稳过渡。
(三)逐步推进柜面风险转型
为适应网点综合化建设需要,柜面风险管理要及时作出调整,及时跟进转型,从而更有效地实施风险控制。
1、由结果管理向诱因管理转变
柜面风险管理覆盖业务流程的每个环节。操作中存在的风险问题是一种结果,产生风险问题的根源是诱因。目前,对柜面风险的管理,多是就具体问题说问题,采取“堵”的方式加以应对,对为什么会发生问题,即产生问题的源头关注不多,研究不够,因而也就不能从根本上解决问题。抓源头,就是抓诱因,是解决风险管理的根本所在。如果风险控制过程的质量不高,就不可能有好的结果。因此,要想真正从根本上解决操作中存在的问题,必须既要重视结果,更要重视源头,管理重点必须从事后结果管理向过程控制、向诱因管理转变。
2、由存量风险控制向增量风险控制转变
目前,我行柜面风险管理力量的配备,多是建立在原有的检查队伍、营业机构、风险点的基础上的。随着网点综合化的推进,综合性经营机构数量逐步增加,业务发展规模不断扩大,业务产品种类日渐丰富,柜面风险控制的力量也应相匹配,适度增加。要在推行网点综合化的同时,对增量业务带来的增量风险,提出应对策略,将风险管理人员配备、培训等考虑在内,及时跟进。不能只考虑业务规模的发展壮大,不同步考虑风险控制力量的适度配备。
风险管控要点篇5
(一)国外主要观点为当前比较流行的三种主要的国外观点,如表1所示。
(二)国内主要观点国内学术界、实务界对内部控制与风险管理二者关系的探讨随着市场环境的变化不断深入。宋常、丁卫从边界与内涵、框架与内容、技术与方法三个方面分析了风险管理与内部控制的区别;丁友刚、胡兴国从经济环境与组织目标的变化出发,探讨了内部控制和风险管理的关系,指出内部控制由单纯的实物风险控制发展为报告风险控制、经营风险控制及合规性风险控制,最后与企业综合风险管理相融合,伴随着组织目标和经济环境的变化而不断改变。谢志华对内部控制、公司治理和风险管理发展过程进行分析,提出风险控制是内部控制的发展主线,内部控制、公司治理、风险管理融合在企业管理的整体框架中。风险管理是内部控制的本质,企业发展的不同阶段因为风险的不同而表现出不同形态的内部控制理论。
二、风险管理与内部控制的发展
(一)内部控制发展初始阶段20世纪40年代以前,完整的内部控制体系尚未形成,企业对如何通过建立内部管理机制规避内部操作风险的认识较为模糊,惯用的做法是设计并执行与财务相关的不相容职责分离。如审批权与执行权的分离、实务管理与账务管理分离、保管与记录分离等。在设计不相容职责阶段,首先要对企业与财务相关的业务进行全面了解,对不相容职责进行充分识别,在此基础上设计易于理解的职责分离文件,并在企业内部进行充分宣导与执行。当然,职责分离往往附带一系列保障措施,如信息系统口令、定期轮岗、各类账目的定期核对等。
(二)整体内部控制阶段内部控制制度阶段是内部控制逐步完善的阶段,这一阶段由20世纪40年代持续至90年代。1992年,由美国反对虚假财务报告委员会(nCFR)发起的CoSo委员会提出了《内部控制—整体架构》报告。此报告将内部控制定义为一个会受公司董事会、管理层和其它员工影响的过程,旨在为内部控制的三大目标——经营目标、报告目标、合规目标提供合理保证,报告内容涉及到控制环境、风险评估、控制活动、信息与沟通与监督五个方面。控制环境是企业的内控意识,是“来自高层的声音”,主要包括诚信与道德观、管理理念与经营作风、组织架构、职责和职权的分配、员工个人胜任工作能力、董事会与审计委员会、人力资源规划和实施等;风险评估是对内部、外部影响企业绩效因素的评估,包含目标设定与沟通、风险识别及评估、风险应变措施等;控制活动是确保风险管理活动被及时执行的政策和流程,以及关键领域的内部控制;信息与沟通包含内外部信息沟通渠道的建立、信息系统的决策支持、信息系统的开发和维护等;监控是为了判定内部控制设计的充分性和执行的有效性,包括定期评估内控体系、缺陷报告与解决等。
(三)风险导向内部控制阶段企业所面临的环境动荡不安,而内部控制的建立需要兼顾成本效益原则。在整体内部控制的基础上,为了更有效的利用企业资源以抵御各类内外部风险,“风险导向内部控制”的理念逐步形成。风险导向内部控制,是以风险识别和评估为基础,管理风险,继而分析、设计和实施内部控制的过程,旨在降低风险以实现企业的既定目标。风险导向的内部控制要求董事会与管理层将主要精力放在可能产生重大风险的环节上,而不是关注企业管理的所有细小环节。其思想的精髓如下:任何公司都是流程的集合,根据风险评估加以引导并从流程视角看问题,可以有效促进部门之间的沟通;流程是若干控制活动的集合,即能够满足某些控制目标的作业即为“控制活动”;基于成本效益原则以及所防范风险的高低,管理层确定“关键控制活动”并进行测试;内控体系的完善即保证控制活动实现内控目标的完整性和有效性,包括控制设计和执行的完整和有效。
(四)全面风险管理阶段2004年至今,不同国家监管机构/标准委员会纷纷对风险管理进行了诠释。纵观国内外风险管理标准体系(包括美国CoSo、澳新标准-aS/nZS4360、中央国资委-《中央企业全面风险管理指引》、iSo31000),均包含风险识别、风险评估、风险应对三个核心步骤。其中风险识别是管理基础,是通过全面、完整的梳理,确定风险事项,并完成风险清单/风险数据库;风险评估是资源配置,根据潜在风险产生影响的种类,参考国家相关规定和特定业务领域的实际情况,确定风险评估标准,包括风险发生的可能性评估标准和风险发生影响评估标准,再根据风险评估标准进行多纬度、多层次的评分,完成风险评估后各风险点按流程进行归类,基于固有风险和剩余风险评估结果,确定风险等级领域,直观的展现企业各业务流程的风险情况,以奠定资源配置的基础;风险应对是企业价值的保护和再创,合理配置资源,有针对性地、有计划性地解决风险问题。
风险管控要点篇6
风险管控必须能够落地
“要实现企业风险管控,必须要让企业真正知道问题在哪里,再去落地解决问题。所以,风险管控系统的关键价值应该在督促落地,没有落地,使用风险管控系统就没有任何意义。”华博风控创始人张孝昆在接受本报记者专访时如是说。
张孝昆的观点符合经济学对“风险”一词的理解。
西方古典经济学派早在19世纪就提出了“风险”的概念,认为风险是经营活动的副产品,经营者的收入是其在经营活动中承担风险的报酬。美国学者海恩斯最早提出了风险的概念,在其1895年出版的著作《经济中的风险》中写道:“风险一词在经济学和其他学术领域中并无任何技术上的内容,它意味着损害或损失的可能性。偶然性的因素是划分风险的本质特征,某种行为能否产生有害的后果应以其不确定性而定。如果某种行为具有不确定性,则该行为就承担了风险。”而到了1993年,日本学者武井勋在其著作《风险、不确定性和利润》中对风险的概念提出了新的表述,认为风险是特定环境中和特定期间内自然存在的导致经济损失的变化,包括三个要素:第一,风险与不确定性有差异;第二,风险是客观存在的;第三,风险可以被测量。
在笔者看来,当下企业风险管控中体现出的有关思想更多接近于武井勋的观点。尤其是在当下经济社会发展中,贸易全球化和it的快速演进,让诸多企业和政府机构面临风险的可能性加大。所以,企业应当认识到,风险能够导致变革、带来机会,风险也可以通过it提供的手段(也包括以非it形式提供的有关it的咨询服务)和工具实现在某种程度上的可量化和可控。而前提是,企业应当尊重这些it手段和工具,并按照这些手段和工具提供的建议和解决办法认真落地。
“落地”在风险管控系统领域被分解为不同的目标,其中最重要的一个目标是提高企业的风控效率。
有些风险管控系统厂商是把风险管控系统产品分解为不同的系统,比如风险管理、内部控制、内部审计等。但华博风控把所有的系统都整合在了一起,这样做的道理很简单,任何一家公司的风险管理部或者审计部都不可能一起上四、五个系统。“比如审计部要管风险就要上风险管理系统,要管内控就要上内控系统,要加强监控而eRp又无法监控就又需要上智能监控系统,但这么多的系统都上以后怎么‘玩’?”张孝昆告诉记者,“所以,要提高落地效率,就需要把风险、内控、审计整合成一个平台,而在这方面华博风控有两个优势。第一,华博风控积累了大量的风控模型和所有eRp厂商的接口;第二,华博风控掌握核心理论,即把风险、内控、审计相互融合的实战经验。”
大数据风控是趋势
数据历来是组织机构判断是否面临风险的最重要元素。如今在业内被公认的观点是,无论在任何组织机构,数据都是最有价值的资产。而对于如何依托数据去量化风险,是组织机构在风控过程中发挥数据最大价值的重要环节。在从前,组织机构风险管理与控制大多都依托主观上的经验判断,数据在那时也只起到辅助作用,导致组织机构风险管理能力较差。而在现如今社会经济“新常态”下,组织机构正处在内、外竞争压力“双夹”环境,依托数据感知风险并提升组织机构风险管理水平,由此提升整体竞争力显得更加重要。
华博风控构建的大数据风控平台,将面向三类客户提供服务:企业风控、金融风控、政府内控。
以面向企业风控为例,华博风控建的大数据风控平台将以数据中心为基础,而数据中心的数据主要来源企业已有的信息系统数据,如:eRp、meS等和非信息化的业务手工上报数据。通过对企业数据中心的数据进行风险管控和内部审计,发现企业存在的缺陷、疑点和问题。针对企业存在的缺陷、疑点和问题参照政策法规和企业制度,发现企业存在的风险。除此之外,通过对企业违规损失进行分析,识别企业风险事件,最终形成企业风险数据库,以企业风险数据库为基础,对企业风险进行管理,制定控制措施,控制措施的效果会以数据的形式反作用于企业业务中,通过信息化进行业务循环管控,对业务及流程进行全面监控,实现业务可控可查,形成企业全面风险管控工作的闭环。
“大数据改变了风险管控的手段,颠覆了以往所有的风控及审计技术和手段,比如审计模式的改变。原来面对纷繁复杂的企业数据,审计是通过抽样的形式进行检查,现在是通过大数据技术进行全面检查,实现企业数据的整合和实时监控。华博风控理解的风险管控新模式是“互联网+大数据+风控”,今后的研究重点也是大数据在风控上的应用。”张孝昆如是说。而对于大数据风控平台的构建,华博风控将分为两步。
第一步,将内部和外部的所有数据打通。比如建立审计数据中心整体抓取内部数据,以及通过对接大数据技术来抓取行业的相关数据。
第二步,华博风控也在自主开发数据抓取和其他相关的市场数据搜集技术,以构建风险管控智库,主要目的在于帮助组织机构解决比如风险在哪、如何管控、行业正在发生什么事、竞争对手在做什么等关键问题。
“360式”是GRC方向
一直以来,华博风控主要致力于成为以“大数据风控”为核心,以“风险管控系统”为平台,融合管理咨询和专业培训的一体化解决方案提供商。
风险管控要点篇7
[论文关健词]廉洁风险;防控;思考
腐败问题是当前群众高度关注的热点,腐败问题已经成为引起人民公愤、损坏党的形象、疏远党群关系的导火线,是人民群众生活中不得不提的话题,党心、民心、舆情,对腐败深恶痛绝。特别是近几年来,党中央更是把反腐败斗争作为关系党和国家生死存亡的大事来抓,旗帜鲜明,态度坚决。2005年1月党中央颁布了《建立健全教育、制度、监督并重的惩治和预防腐败体系实施纲要》,提出建立健全惩治和预防腐败体系的近期目标和远期目标,2008年5月党中央颁布了《建立健全惩治和预防腐败体系2008—2012年工作规划》,标志着我们党从宏观上总体规划,有目的、有计划、有步骤地把反腐倡廉不断推向深入。
一、深度认识廉洁风险防控的重要性
中央领导指出,要推进廉政风险防控机制建设,从重点领域、重点部门、重点环节入手,排查廉政风险,健全内控机制,筑牢制度防线,形成以积极预防为核心,以强化管理为手段的科学防控机制,最大限度地减少体制障碍和制度漏洞,提高预防腐败的能力和水平。推进廉政风险防控机制建设,是党中央着眼于新时期党风廉政建设和反腐败工作面临的新形势新任务,采取的一项重要举措。全面推进惩治和预防腐败体系建设,首先要做好风险廉洁防控,廉洁风险防控是反腐倡廉建设的一个重要部分,是反腐倡廉的深化和细化,从中央领导的高度重视,到反腐倡廉的实践,可以得出这样一个结论,廉洁风险防控在反腐倡廉建设中确实起到重要的不可忽视作用。
二、关于企业廉洁风险防控的思考
如何开展企业廉洁风险防控,完善惩防体系、从源头上防治腐败,需要我们从廉洁风险的表现形式和如何梳理廉洁风险、并从关健方面排查廉洁风险点着手,进行认真思考与探索。
(一)充分了解廉洁风险存在的表现形式
做好企业廉洁风险防控,要清楚风险来自何方。从国有企业的层面分析,企业廉洁风险主要来自思想道德、外部环境、制度机制、岗位职责四个方面。
1.思想道德风险:党员干部,特别是掌握一定权力的领导干部,放松学习和自我约束、丢弃信仰、道德观、价值观发生扭曲,个人私欲膨胀、自我道德偏差、行为规范或职业操守偏移,必然会产生思想道德风险。
2.外部环境风险:企业生产经营、管理活动,必然受到外部利益的诱惑,受到外部各方面施加的非正常影响,增加行为失范、渎职、权钱交易、资产流失的风险。
3.制度机制风险:工作制度不完善,缺乏全面覆盖,个人自由裁量空间大,缺乏有效的制衡和有力的监督制约,形成制度机制风险。
4.岗位职责风险:不能有效履行岗位职责或有岗不作为,或在岗乱作为、渎职或以权谋私等,形成岗位职责风险。
这四类风险相互依存,相互作用;思想道德偏差是导致腐败行为的主观诱因;外部环境是导致腐败的客观诱因;制度机制缺陷是导致腐败的重要因素;岗位职责是导致腐败行为的必要条件。
(二)认真抓好廉洁风险防控的梳理
不同的岗位、不同的职权,必然产生不同的廉洁风险,认真抓好好廉洁风险的梳理,是开展廉洁风险防控的重要一环。
加强岗位职权梳理:
一要建立岗位职权目录。不同岗位相对应不同职权,而职权运用不当又是造成不正确履行职责,构成腐败行为的关键。在梳理中,每项职权都不能漏,要建立详尽的岗位职权目录,这是搞好岗位风险排查的基础
二要突出岗位职权梳理。认真梳理岗位各项职责,每项职责有多少权力,行使权力需要经过多少步骤等,要梳理清、梳理细,要在查清、查准廉洁风险点上下功夫,敢于真找、真查,不避重就轻、不避繁就简、不遮遮掩掩,真正实现风险防控有的放矢,对症下药;
三要强化业务流程梳理。要认真梳理各项业务工作流程,业务流程有多少环节等等,只有环节梳理清楚了,才能找出风险点,才能找准防范廉洁风险的环节。
四要突出重点领域的梳理。对“三重一大”事项以及财务管理、薪酬管理、选人用人、营销采购、工程招投标、项目管理等领域和管钱、管物、管人的岗位和人员的风险点进行梳理,根据部门、岗位工作职责,按照规定的范围,运用个人和部门相结合的方式,对照岗位所担负的工作逐一梳理,对权力运行每个环节逐一分析,对每项制度执行情况逐一检查,根据梳理的岗位职权和业务流程,认真细化和分析风险的内容和表现形式,绘制职权运行流程图,做到职权项目清楚,责权流程清晰,权力运行的各个环节一目了然。
(三)深入开展廉洁风险的排查
梳理完成后,排查廉洁风险成为必然,风险找不到、找不准、找不全,建立防控机制就缺乏针对性、丧失实效性。要对现有权力运行流程中存在的廉洁风险进行全面排查,重点查找思想道德、外部环境、制度机制、岗位职责四类风险。
一是排查思想道德风险。以界定工作职权为基础,完成梳理工作流程后,要采取自上而下和自下而上相结合的方式,针对职权范围,进行认真排查,逐一排查个人在思想道德存在或潜在的风险点。
二是排查外部环境风险。要查找履行职责、执行制度规定等过程中可能存在的廉洁风险,重点查找资金流量大、业务频率高、权力相对集中的业务工作中可能存在的外部环境风险点。
三是排查制度机制风险。结合单位和岗位特点,重点查找在贯彻执行国家、企业内部各项制度、规定,以及制定完善制度不及时、执行落实制度不到位等方面可能存在的制度机制风险点。
四是排查岗位职责风险。重点查找在贯彻民主集中制、重大事项决策、重要人事任免、重大项目安排和大额度资金使用等方面存在的岗位职责风险点。
(四)严格风险等级标准的评定
风险等级评定,是建立企业权力运行风险防范系统的重要内容,是有效防控廉政风险的重要依据。为此,首先要确立风险等级标准。
风险等级评定可以从以下几个方面思考:一是风险所在的领域环节;二是风险发生的危害轻重、影响大小;三是风险防控的难易程度。
风险等级一般可以分为三个等级:一级表示风险较大,二级次之,三级较小。
一级风险:具有在建设等重要领域和关键环节的决策、审批职能的;风险发生的隐蔽性强,波及范围广,防控难度大;风险发生可能出现和滋生违法犯罪行为,并且极可能受到法律追究的。
二级风险:具有一般管理职能,涉及基础性、一般性的人事管理、财务管理、物资采购供应、项目建设等领域范围的;风险发生可能在一定程度上影响办事效率,不利于优化经济发展环境,不利于经济社会稳定发展,在企业造成一定不良影响,可能出现和滋生违规违纪行为,并且可能受到责任追究及党纪条规处分的。
三级风险:不具有企业管理职能、或较少或基本不涉及人、财、物管理权的;风险发生可能造成的社会影响较小,并局限于一定范围内的;风险发生可能出现和造成轻微违规违纪行为,并且可能受到一般性预警处置及批评教育的。
(五)开展风险防控等级标准评定的具体做法
开展工作时可以考虑以下做法:一是结合岗位职权和风险排查的实际,对查找出来的廉洁风险进行归纳梳理和审查评估,按照风险发生机率和危害损失程度将廉洁风险分级确定:二是明确职权项目、风险点、廉洁风险点数量、风险等级、防控措施五个项目的廉洁风险等级目录,做到岗位职责明确,廉洁风险清楚:三是防控措施得力,形成以岗位为点、以程序为线、以制度为面的廉洁风险防控机制;四是严格抓好风险等级评定。按照等级标准,根据查找情况自行确定等级;五是通过召开座谈会、个人述职述廉等形式征求领导、同事意见;根据征求的意见,逐个分析,严格把关,查漏补缺,集体研究;六是严格程序,对风险等级实行动态管理,根据实际情况评定等级。
(六)重视风险防控等级评定工作
评定风险等级是风险防控工作中的重要环节,等级越高,风险越大,越需要严防。等级评定的另一层含义是对权力运行的提醒,进一步明确风险点在哪里,风险往往来自何处,对手中的权力进行一次再认识。
1.高度重视等级评定工作。廉政风险等级评定,是建立企业管理权力运行风险防范系统的重要内容,是有效防控廉政风险的重要依据。各部门、各岗位要紧密结合工作实际,认真对照评定标准,实事求是、客观准确地开展廉政风险等级评定工作。
2.严格等级评定程序。廉政风险的等级,要按照自查申报和组织审定的程序确定。各级、各部门、各岗位按照评定标准,分别对岗位、部门风险点进行廉政风险等级自查评估,并提出具体防控措施。有关方面审核、分管领导审查后,提交单位相关会议研究,集体审定。
3.实行分级管理、分级负责。一级风险点,由单位主要领导管理和负责,上级党委(党组)和纪检监察机关予以监督;二级风险点,由单位分管领导管理和负责;三级风险点,由单位内设部门领导直接管理和负责。要严格履行“一岗双责”,按照分级管理、分级负责的要求,对廉政风险防控工作实施指导、检查和督促
(七)强化风险防控监管与考核评价
评定风险等级的根本目的是制定防控措施和有效进行监管,在实现动态管理的基础上,强化风险监管,建立完整的考核评价机制。
1.强化教育形式的多样性,定期开展廉洁从业警示教育,加大自查自纠力度,坚持内控管理与外部监督相结合,完善防控措施与强化内部管理相结合,科学谋划,统筹推进,对症下药。
2.改进权力运行制约机制,建立起有效的权力运行内控机制。比如,在采购管理上,计划、采购、财务进行分离。在招标管理上,坚持决策、实施、监督“三分离”原则,落实发标、评标、定标“三分离”措施。
3.优化业务流程,完善决策机制。打造网上审批和办事流程,把决策、执行以及执行的结果最大范围、最大程度地进行公开,阳光运作,公开透明,接受各方面的监督。
4.完善严管严控制度。结合企业实际,严格执行民主决策制度和财务审批制度,凡涉及重大事项决策、重要人事任免、重大项目安排和大额度资金使用等事项,必须经领导班子集体研究决定。要将廉洁风险管理纳入党风廉政建设责任制考核内容,形成新的考核机制,加大责任追究力度。
5.提高科技监管水平,积极探索电子化、信息化监察的思路办法,建立廉洁风险防控信息化模块,运用现代化信息技术手段加强对各类风险点的实时和动态监控,形成程序有效控制和权力运行透明的信息化网络,对各种风险管理流程数字化、常态化监督警示,做到超前摸排、超前分析、超前控制、动态考核。
三、结语
风险管控要点篇8
关键词:企业;风险导向;内部审计
中图分类号:F239.45文献标志码:a文章编号:1673-291X(2014)02-0193-03
风险导向内部审计是企业进行风险管理的一种有效工具,其目标是在全面评估企业风险的基础上,通过对风险进行事前评估与控制,对风险处于何种状态做出准确判断,为控制风险提供依据。与传统的审计模式相比,现代风险导向内部审计更注重从宏观上把握审计风险,审计工作重心从实施阶段前移到计划阶段,关注的核心从内部控制转向风险,在审计的全过程自始至终都关注风险,依据风险选择项目,识别风险,测试管理者降低风险的方法,并以风险为中心出具审计报告,协助企业进行风险管理。审计方法从以审计测试为中心转移到以系统化的风险评估为中心,即计划阶段对风险进行评估,实施阶段对相关风险进行持续监控和报告,报告阶段提出风险管理建议。2007年新审计准则要求全面实施风险导向审计,故本文对我国企业如何实施风险导向内部审计提出几点建议,与大家探讨。
一、建立全流程风险管控机制
建立审计战略计划、审计项目计划和具体审计项目实施的全流程风险管控机制。
一是年度风险导向战略计划的制订。年度风险导向战略计划要与企业目标相契合,建立在对公司重要领域的认定、风险自我评估的基础上,以重大风险和重要风险为导向,明确审计重点,确定年度审计项目。在充分调研的基础上,组织相关部门进行风险自我评估,识别各自存在的风险,排列风险次序,出具风险自我评估结果,以此为依据,确定本年度审计关注点,编制年度审计计划。风险导向内部审计中,风险评估贯穿于年度审计计划、项目计划、执行审计、总结发现和报告的各个阶段,企业要根据风险评估结果和以前年度审计情况,合理分配审计资源,将审计资源重点放在高风险领域。
二是建立风险管控标准,有效识别风险。就是按统一的标准梳理各业务环节的流程,审计部门牵头,各业务单元的内控负责人统一对采购与应付、生产循环、销售与应收、存货与仓储、营销管理等业务循环的流程图和业务流程的风险点进行全面梳理,对应将风险点、控制措施嵌入到流程中,建立清晰的业务流程图、明确的岗位控制标准和风险防范控制措施。
三是业务流程测试和风险评估。风险评估通过实施不同的测试程序识别审计风险,包括企业整体层面控制评估、信息系统一般控制评估、流程层面控制评估、控制测试以及实质性测试等。建立业务循环各个节点的穿行测试标准,指导各单位业务人员开展业务流程的穿行测试,通过全流程的穿行测试验证各业务层面风险受控情况,运用自审、互审和复审相结合的方法,推进全员、全流程的风险自我审计。
四是出具风险评估报告及风险地图。审计部出具企业各业务单元的风险评估报告和完整的风险地图,建立企业审计风险资源库,为相关部门提供风险关注和控制优化的依据。
风险管控机制将风险管理流程与审计基本程序有机融合,更多地从全流程的角度对企业进行全面风险评估。企业要根据自身的具体情况设计风险管理流程、风险评估项目和评估标准,并根据风险环境的不断变化及时调整风险评价标准,以适应管理需要。而且,风险管控是一个持续、循环的管理过程,不能将风险管理审计作为一次性的专项审计项目,在风险管控执行过程中,要不断地关注风险,针对问题制定有效的控制措施。
二、以风险为导向,优化具体审计项目实施程序
以固定资产投资风险导向内部审计为例。固定资产投资项目投资额大、建设周期长,管理环节复杂,管理风险和审计风险都较高,采用风险导向固定资产投资审计,识别和评估重大管理风险和关键控制节点,全面审计,突出重点,可以有效提高审计效率,降低审计风险。其审计程序如下:
一是制订固定资产投资风险导向项目审计计划。风险导向项目审计计划是对具体审计项目实施全过程审计所作的综合安排,需要明确审计目的、审计范围、审计方法和审计程序、项目风险评估、关键风险点、项目组人员分工、时间安排以及其他事项等。固定资产投资审计目标要与企业固定资产投资目标相联系,审计范围包括选定经营单位、选定业务及流程、相关信息系统测试范围、测试时间范围等。
二是业务经营单位初步评估和关键风险识别。审计人员要掌握固定资产投资项目整体情况,注重从宏观层面了解固定资产投资项目的基本情况,获取背景信息,包括行业状况、监管环境、建设模式、建设目标等信息,对固定资产投资项目面临的风险进行分析,识别和评估固定资产投资项目系统风险和关键风险。
三是业务流程分析。在全面评估固定资产投资风险基础上,从投资项目风险入手,进一步了解流程,更新识别的风险,对高风险项目和资金重点监控,从整体上把握审计重点。
四是评估流程有效性和流程重大风险。在了解固定资产投资项目业务流程的基础上,运用分析性程序,分析关键流程,评估固定资产投资项目重大风险,分析对目标产生影响的风险以及风险控制,测试实际的控制能否切实管理这些风险,这是风险导向审计关注的重点。
五是根据风险评估结果,确定项目审计范围和审计重点,制定相应的审计策略。具体是设计审计步骤,根据审计步骤进行审计抽样并对样本进行监督,实施实质性测试等审计程序。在审计实施过程中,要根据审计实施情况对项目方案进行重新评估,扩大审计范围或增加审计程序,实施进一步测试以修订审计方案,保证审计质量。
杜邦“沸腾壶”审计抽样模型就是一种常用的审计抽样方法。它以审计项目风险为对象,建立风险识别模型,对每一类风险进行排序,将其划分为不同的级别,即高风险、敏感风险、适中风险、低风险,直观地反映风险与审计面的关系。杜邦“沸腾壶”模型说明,在风险因素中,风险结构一般是高风险占10%,敏感风险占30%,适中风险占40%,低风险占20%。风险审计规划在审计资源配置时,要依据风险水平高低配置审计资源,对不同级别的风险因素需实行差异化审计。高风险因素要进行详细审计,对于处于敏感风险性质的风险因素一般抽样50%进行重点审计,对于适中风险因素一般抽样25%,而对于低风险的风险因素只需要抽样10%进行一般审计。风险级别越高,配置的审计资源越多,根据风险评估结果,将主要的审计资源分配在高风险领域,有的放矢,提高审计效率。
六是根据对流程设计有效性测试结果得出审计结论,出具审计报告,提出管理建议。
三、建立以审计调查法为基础的风险评估机制
风险评估机制包括风险识别、风险评估、风险模型的建立及风险评估结果分析等。对确定的审计项目进行风险评估,主要是通过对业务流程的梳理,找出流程关键控制点,并选择科学的风险评估方法对控制点进行风险分析,以准确识别和正确评价风险。以审计调查法为基础的风险评估方法,能清晰揭示风险的高发区域和风险变化趋势,操作性强,评估结果具有很强的说服力。即选取一定比例的被审单位实施风险典型调查,采用审计调查法对风险发生频率和严重程度进行分析和预测,对风险进行分级分类管理,根据风险水平确定审计重点。步骤如下:一是确定评估范围。评估范围与审计范围相关,对风险评估结果的运用有直接影响。二是风险评估数据的采集。采集近几年的相关风险数据,这些数据可以是以往风险管理审计、综合性审计及专项审计的相关资料和数据等。三是对风险评估基础数据进行整理和加工。内部审计人员依据原始资料和专业判断对一些定性资料进行量化处理,确定各组风险数据的影响程度级别,据此对项目风险进行评估。四是进行风险评估和预测。根据事先界定的评估范围,分别对审计项目各类风险、各类子风险的概率和影响程度进行评估,对所采集的一定期间的风险数据,采用审计调查法分析历史数据,寻找各风险的变化趋势和集中趋势,建立能描述各风险变量未来变化态势的模型,运用数学方法对各类风险的主要变量——风险概率和影响程度进行风险变动趋势分析及预测,求出风险预估值,并运用政策分析法,整理和分析可能影响各类风险变量的政策因素,对固定资产投资风险预测值进行修正和完善,确定风险估测值浮动区间。五是风险评估结果的分析和利用。根据风险分布情况,布局安排审计资源,对风险多发区域进行重点审计。风险评估结果可以应用于企业的风险管理,包括:将风险评估结果与企业事先确定的风险管理策略(如各类风险的承受度等)进行对比,并分别采取不同的风险应对措施;协助企业建立风险预警机制,对达到风险预警线的风险发出预警信号,采取相应的风险控制措施;对风险发展趋势进行预测,帮助企业规避和防范风险。
四、建立风险自我评估和预警机制
建立风险预警机制,对风险进行实时监控,可以有效管理和预防重大风险。风险预警机制前移风险管理关口,使风险管理重点由事后监督向事前预防、事中控制转移,防患于未然。企业可以根据风险评估结果,针对风险高发区域建立预警机制,完善风险预警指标体系,如利用DCCS法、盈亏临界点法及财务比率法等有效捕捉企业风险征兆,对异常情况提前发出预警,帮助管理层完善风险管理程序,控制风险。在风险导向内部审计中,使用风险自我评估(RSa)法,可以有效提升风险预警效率。风险自我评估是指内部审计要监督:(1)风险环境分析的恰当性。主要是对企业固有风险和控制风险进行评估,分析风险性质和影响程度的变化以及控制措施是否能与环境变化相符,并在审计报告中反映分析结果。(2)风险事件识别的充分性。(3)风险评估的恰当性。风险评估要从风险发生的可能性和影响性两方面对已识别的风险事件进行定量分析和定性分析。(4)风险度以及风险预报合理性。主要是审核风险度的计算方法是否科学合理,是否反映企业实际风险水平。综合分析企业的内外部环境,审核风险预报的根据及预报的级别是否合理。(5)风险控制措施的有效性。主要是对业务控制程序进行测试,检查是否有效,是否能够控制风险,并对检查发现的问题提出改进措施和建议,帮助企业管理风险,降低风险损失。(6)风险信息沟通的有效性。内部审计人员要从风险识别、评估信息的获得,风险警报的及时发出等方面评估风险信息是否被准确及时地传达给所有相关人员,让管理层了解风险是否被有效管理。风险信息沟通评估也可以提高外界对企业风险管理的信任度。
此外,企业应建立风险审计信息系统,完善审计资源数据库,积极推进审计手段创新,加强内部审计队伍建设,合理配备审计项目组成员,有效提高内部审计效率和质量,提升风险导向审计的价值增值功能。
参考文献:
风险管控要点篇9
关键词:企业;内部控制;风险管理;关系;研究
在现代企业管理中,内部控制和全面风险管理都是企业在经营过程中管控风险所必需的。美国全国反虚假财务报告委员会下属发起人委员会CoSo(以下简称美国CoSo委员会)确定的全面风险管理体系框架中明确地把内部控制作为一个子系统放在了全面风险管理体系框架内。两者在风险的管理上各有侧重,相互结合,互相融合,有效保障了企业防范风险,稳健经营,达成目标。下面我们就从他们各自的发展历程、管理目标、管理范围、关注侧重点、所采用的管理方法和所采取的措施等多方面去分析和理解他们两者的关系。
一、企业内部控制概念及发展历程
1.内部控制概念内部控制是将一系列具有控制功能的方法、程序、措施进行系统化和规范化后,以制度和流程形式形成的一个严密和比较完整的体系。企业内部控制是以防范和有效管控风险为目的,以一系列专业管理制度为基础,通过全方位梳理、识别关键控制点,以流程形式建立过程控制体系而形成的管理规范。在我国,企业内部控制的官方定义正式出现在财政部等五部委所的《企业内部控制基本规范》中,根据该项文件的指示,内部控制主要指的是由企业管理层以及企业员工通过内部控制手段实现控制目标的过程。而美国CoSo对内部控制含义的界定与上述文件中的基本一致,不同处主要在于表述上的稍有差异,即将我国“旨在实现控制目标的过程”表述成了“提供合理保证的过程”。内部控制实质上是一种管理思路。要准确理解内部控制重点要关注以下几方面:一是内部控制是以一系列管理制度、规章为基础的;二是内部控制强调的是过程控制,主要是对企业或组织实体关键风险点控制的方法、流程、措施进行了系统化的规范和固化,形成管理规范,以达到对风险的管控;三是内部控制的目标是为了提高企业或组织实体的经营效率效果,可靠准确经营财务数据的获得和遵守法律法规的合规经营;四是内部控制须遵循全面性、重要性、制衡性、适应性和成本效益五大管理原则,并按照业务导向和管理简化原则进行水平提升;五是内部控制的主要内容包括企业内部控制环境、企业风险管理、活动控制、信息的收集与分析、内部监督的内容,不同类型的企业组成部门也有所不同,但内部控制均需要企业内部组织、各部门的协调、参与才能够保证内部控制工作顺利开展。2.内部控制发展历程内部控制有它自身的发展历程。上世纪40年代,在会计界首先提出了内部牵制的概念;到1949年,美国注册会计师协会aiCpa的审计程序委员会(以下简称美国aiCpa)下属的内部控制专门委员会通过组织多位学者共同研究,发表了对于指导内部控制工作具有重要作用的专题报告,即《内部控制,一种协调系统诸要素及其对管理部门和独立注册会计师的重要性》,世界范围内对内部控制出现了第一次官方解释。1958年,美国aiCpa了29号《审计程序公告》,该报告中将内部控制工作内容进行了分类,即分为会计控制与管理控制,初步搭建了内部控制工作的体系。还在1988年《审计准则公告》中明确提出了“内部控制结构”的概念。直到1992年美国CoSo委员会才完整提出内部控制整合架构。2002年7月,由于安然事件和世通舞弊案的影响,美国国会通过萨班斯法案(Sarbanes-oxley法案),规定了上市公司必须做好内部控制管理工作,在进行上市审查时内控体系也成为一项必要且关键的审查内容,随后世界范围内纷纷效仿这一制度规定,加强对上市公司的内控制度考查,增加信息披露的规范与要求。在我国,2008年6月财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》,该文件的成为指导我国企业开展内控工作的基本依据,被广泛推行。文件内容包括总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则共七个章节的内容。
二、企业风险管理概念及发展历程
1.全面风险管理概念企业通过经营性活动赚取经济利益,任何交易都存在不同程度、不同类型的风险,对企业实现发展目标都具有影响。我们称之为风险。当然,风险有纯粹性和机会性,它有可能给企业带来损失,也有可能为企业带来盈利等机会。纯粹风险指的是只可能带来损失的风险类型,而同时可能带来损失也可能带来收益的风险叫做机会风险。当企业经营中面临市场准入放开、鼓励产品创新、政策法律解禁、经营环境变化后,会大大增加企业经营的风险性,经营成效也随之变化和波动,企业在为降低风险而采取措施的决策过程中,对收益与成本进行权衡与匹配,风险管理工作的意义在于帮助企业预判可能存在的损失,从而进行规避,降低决策失误的可能,促进经济效益的提升。风险管理的含义为企业风控部门通过科学有效的方法进行风险的判断和预防。在对经营活动中的风险进行识别、评估、测算、计量、评价的基础上,对经营活动中可能遇到的风险实施精准、有效控制,以降低或转移风险可能引致的损失和负面影响,尽可能在最小的代价和成本基础上,实现最大成效和安全保障的过程。风险管理并不是要完全消灭风险,风险与机会同在,拒绝风险等于拒绝财富。风险管理的意义就在于如何精明承担风险,以最小可承受的风险来获取更高的收益。国务院国有资产监督管理委员会曾《中央企业全面风险管理指引》,对全面风险管理一词的含义进行了官方的解释,即全面风险管理指的是企业基于经营需要以及工作基本流程,建立科学的风险管理制度,在员工间形成良好的风险管理文化,从而在各个部门间形成完整的风险管理体系,主要内容包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,以上工作内容形成了全面完整的风险管理模板,从而为企业风险控制流程提供了制度前提。风险管理基本流程则包括风险信息的收集、分析、应对措施执行以及工作改进,另外还包括风险管理的监督和约束。美国CoSo委员会2004《全面风险管理——总体框架》,对全面风险管理的含义解释为由董事会、股东会等管理层依据经营决策需要而对过程中存在的潜在风险进行识别与管理的过程,由此保证决策目标能够顺利实现。要准确把握并理解全面风险管理的概念,我们需要从以下几点去认识:一是全面风险管理是过程的管理,涉及到企业的多方面,包括了企业风险管理目标、战略的确定、风险偏好的选择、风险的收集统计、风险的评估评价、风险管理方式选择、风险管理方法执行、风险的预防方案以及如何进一步加强对风险管理工作的监督与改进,这一过程是风险转移、降低和控制风险的一系列程序,是风险与机会的选择;二是全面风险管理的工作是全员的参与;三是该定义表明风险管理并非要完全消灭风险,也不是为了减轻和降低风险而不惜一切代价,而是要尽量减轻、降低风险,使风险可以承受,精明地在所承担的风险上获取最高收益。其实企业经营中风险总是无法彻底消除,为企业经营目标实现我们所能做的也只能做出合理的保证,而不是做绝对保证。可见,现在风险管理在传统的风险管理基础上发展到今天,早已经有了天壤之别,更强调了全面的风险管理。传统风险管理关注焦点主要专注于纯粹和灾难性风险。管理手段往往比较单一,主要采用保险和风险减免的控制手段。在管理方式和目标上只是就单个风险实施管理,并不与企业的战略目标相联系。管理理念更是被动地将风险管理作为成本中心,不设专门的部门而是由多个职能部门来管理。而全面风险管理是从企业和经营组织的发展战略层面去考虑,全面集中管控企业和经营组织中所有可能面临的风险因素和类别,既包括战略风险、法律风险、声誉风险,也同时涵盖交易风险、财务风险、执行风险等内容,配备有独立的风险控制工作体系,设有专门的委员会或首席风险官、风险管理专门部门来管理,从理念上已经积极主动将风险管理作为创造价值的中心。在管理目标上全面风险管理更是紧密结合企业和经营组织发展战略,依据风险偏好寻求风险优化,同时运用现代金融保险功能和内部控制等多种方法、手段,以达到企业和经营组织经营目标效益的最大化,实现所有利益方的共赢。另外,我们也可从英文“Risk,风险”单词上来探讨风险管理概念的两种解读,也颇有意思。第一种理解:R:代表收益(Return)、i:代表免疫力(immunization)、S:代表风险管理系统(System)、K:代表风险管理技术和知识(Knowledge),即通过培养专业人才,运用管理系统,形成风险管控体系,加强管理,提高免疫力,实现风险与收益的平衡。第二种理解:R:代表监管(Regulation)、i:代表信息(information)、S:代表风险管理系统(System)、K:代表关键风险点(Keypoints),即通过对信息、数据的挖掘和分析,找出关键风险点,运用管理系统进行管理,并且注意要加强运营过程中的监管和约束。综上所述,目前想要进一步完善全面风险管理工作,其核心就体现在全面性上,在于管理的全员参与和管理全部业务、全业务过程和全风险类别,以及在风险应对上更加系统化和多样化。因此,全面风险管理,可理解为是指经营单位和组织的董事会、经营管理层及全体员工共同参与,对经营活动中可能面临的各类风险进行准确识别、审慎评估、动态监控、及时应对的全程管理。2.全面风险管理发展历程风险管理起源于美国。虽然人类认识风险的历史几乎与人类的文明一样久远,但人们对风险进行管理的认识和运用并不久远。直到1930年在美国管理协会发起的一项保险问题会议上,美国宾夕法尼亚大学的所罗门·许布纳博士在此背景下提出了风险管理的概念和构成要素。美国宾夕法尼亚大学沃顿商学院的施耐德教授于1955年进一步对风险管理的含义进行了深刻阐述,及1956年《哈佛商业评论》上风险管理文章的出现,这篇名为《风险管理——成本控制的新名词》的文章,至此风险管理真正开始切入企业的管理,进入人们的视线。澳大利亚和新西兰于1995年共同制定了世界范围内第一个国家风险管理标准aS/nZS4360,该标准明确定义了风险管理的标准程序。随着人们对风险管理认识的不断深化、风险计量技术的不断进步,伴随各种风险的发生、反思与应对,2004年以美国CoSo委员会《全面风险管理——整合框架》为起点标志,全面风险管理标准体系第一次正式建立,并被广泛采用,风险管理真正意义上正式步入到了全面风险管理阶段,并逐步完善与发展。特别是2008年世界金融危机的发生和带来的深远影响,以及巴塞尔协议的全面实施,全面风险管理首先在金融企业界全面推行,而后逐步延伸到其他工商企业,全面风险管理才更加深入人心并得以逐步深入。2006年国务院国有资产监督管理委员会了我国第一个全面风险管理指导性文件,即《中央企业全面风险管理指引》,这意味着我国自此拥有了指导企业开展全面风险管理工作的标志性规范,推动企业风控制度进入新的阶段,对于企业的现代化发展有着重要意义。
三、企业内部控制和全面风险管理的关系分析
当前理论界对于内部控制的范畴界定具有争议,例如部分学者认为内部控制包含了全面风险管理,一部分学者认为两者并不包含合并关系。也有人反过来认为,全面风险管理包含了内部控制。美国CoSo委员会则认为两者联系紧密并正在融合。在我国,从相关部委对两者的重视态度上看,国资委更强调全面风险管理,财政部更强调内部控制。但我们在企业内部控制和全面风险管理的具体运用实践中,深切感受和认识到内部控制确实在全面风险管理过程中是完全必不可少的,是全面风险管理必要的组成部分及必须运用的管理手段和环节,所发挥的作用也是非常关键的。从二者管理目标和所依托的管理体系和相关制度、流程来讲,可以说全面风险管理是涵盖了内部控制的。而从目前国内外现代企业管理发展趋势和内部控制与全面风险管理自身完善发展中,看到二者也已交织和融合在一起,统一到了企业的全面风险管理体系中。1.内部控制和全面风险管理都因企业在经营发展中面临着各种风险的挑战和威胁而产生,他们有着一样存在的基础内部控制和全面风险管理产生都基于企业在经营过程中面临着诸多风险存在的客观性。内部控制的发展历程相较于全面风险管理而言更早,但是内部控制的理论和实务经验对于后续全面管理控制工作的开展具有重要的参考意义,全面风险管理可以认为是内部控制发展的升华版本。两者在企业的运用实施过程中,它们都会强调全员参与性,是由“企业董事会、管理层以及其他人员共同参与实施的”。另外,各职能和业务部门及各人员在内部控制或风险管理中都有相应明确的角色定位与职责分工,他们相互分工协作,相互独立牵制。2.内部控制的方案和流程在全面风险管理过程中具有重要意义,是全面风险取得有效成果的前提条件,只有采取科学合理的控制手段和方法才能控制到位内部控制工作顺利开展的前提是企业各部门对风险管理工作具备充分的积极性,并且把握流程中可能出现的各种风险类型,判断方案是否准确、执行手段是否落地,才能加强对经营风险的防控。完善的内控系统是必须和必要的。同时,我们还应看到,内部控制是很有效的风险管理方法,在全面风险管理的方方面面被广泛运用。此外,在企业管理实践中,为应对合规风险,满足国内外法律法规和监管要求,也需要构建有效的内控系统。因此,建设完善的内部控制体系,使之体系健全、统一、规范,是企业全面风险管理体系建立中所必要的组成部分。3.内部控制与全面风险管理从企业管控风险的根本性质和作用看,他们都归于和服务于企业对经营过程中风险的管理良好的内部控制和科学的全面风险管理,都对单位经营活动的效率和成效、资产安全、经营信息及时准确具有保障作用。在现代企业管理中,两者的结合运用,将更有助于帮助管理者实现经营目标和方针,保护企业经营资产安全、完整,防止资产流失,提高管理科学规范水平,更好满足现代企业管理的迫切需要。4.从内部控制与全面风险管理的管理范围、目标、关注焦点去分析,全面风险管理比内部控制更广泛、更全面首先,在管理范围上,内部控制是企业依靠和运用系统化的规范、规章、制度、形成采取的风险管理流程规范,以遏制与防范对经营目标实现中的不利风险和负面影响,保障和促进经营目标的实现。而全面风险管理则扩展到企业发展战略层来考虑风险的特征、偏好和管控,依照经营环境的可能变化,在事前制定经营目标时就注重和进行各种风险的分析、识别、存在可能,并运用专门的工具、方法、手段等,按照风险可测、可控和有效应对要求管控各种风险危机事件,明显包含了战略目标范畴。其次,内部控制的实施目标与全面风险管理有所不同。全面风险管理更注重的是风控体系的全面搭建,而内部控制目标主要包括经营管理的合法合规性控制,以及财务与信息披露的安全,并且保证所有财务报表的真实性与安全性。并通过过程控制来实现目标。内部控制强调在企业内部的控制,使内部人员职权清晰、相互牵制,以达到控制风险、抵御风险的能力;关注焦点主要专注于公司经营所有业务流程其过程控制措施的有效性。而全面风险管理则更加全面,其目标除内控的相关目标外,还要在如何及时地发现和识别风险,以及对发生风险的有效应对上下功夫,以有效防止和降低或者转移风险可能给企业经营带来损失和造成负面影响,保证所有风险的可测、可控、可承受。全面风险管理所关注焦点已包含企业战略、市场、信用、合规、财务、现金流、声誉风险等所有经营风险。5.从内部控制与全面风险管理所运用的管理方式和应对风险所采取的策略上看,内部控制已完全融合在全面风险管理中,全面风险管理已涵盖了内部控制内部控制所负责和做的相关工作、活动、内容,在全面风险管理的过程中及风险管理后的相关活动中都已包含,如对风险进行的分析评估和由此而实施的控制措施、信息反馈与沟通、监督纠错等工作。而全面风险管理则贯穿于整个管理过程。全面风险管理的工作、活动、内容、步骤比内部控制做的明显要全面、宽泛和复杂得多。当前全面风险管理的工作内容涉及企业经营管理的各个阶段,包括企业经营目标的构建与完善,以及经营策略的制定,风险管理文化的创建以及整体员工风险防范意识的提升,还包括风险管理模型、风险处置、风险报告程序等组成部分。在对风险所采取的应对策略上,内部控制主要通过业务流程控制和嵌入各项规章制度约束来应对。而风险管理的工作内容则不仅包括了风险信息收集与分析、风险判断、风险对策等内容,还包括风险偏好、风险计量、风险容忍度、风险指标体系、压力测试、情景分析等工作体系,所涉及的内容与方法十分广泛。有鉴于此,全面风险管理的架构体系的建立能够更加全面地帮助企业进行风险防范,并且对各方面的影响因素进行分析,从而帮助企业拓展业务范围,规避风险,降低工作成本,更好地提高经济效益,实现经营目标。两者在各有侧重、优势的深度融合中,最终保障企业的稳健经营,促成企业董事会和高级管理层经营目标的实现。
参考文献:
[1]李晓慧,何玉润,编著.内部控制与风险管理理论、实务、案例.中国人民大学出版社,2016:1-10.
[2]刘守伟.对企业全面风险管理的认识.铁路采购与物流,2010(8):21-22.
[3]孙海燕,张荣玉.内部控制与风险管理融合研究.管理学家,2010(9):99-100.
风险管控要点篇10
关键词:全面风险管理内部控制企业
一、引言
美国次贷危机引发了全球金融危机后,投资者对企业内部风险管理机制是否真正发挥作用的产生了质疑。当然,这种质疑初源于亚洲的金融危机。尽管亚洲金融危机当时波及范围相对狭小,但世界各国还是充分意识到风险管理的重要性,并纷纷建立了各种风险管理机制。这是不是说明风险管理能够在企业界得到更好的执行呢?然而此次美国的金融危机说明现有的风险管理模式仍然存在诸多不足,这对学术界和实务界提出了更为严峻的挑战。
2004年,CoSo委员会在内部控制框架的基础上,发展形成了企业风险管理的整合框架。该框架说明了“内部控制是风险管理不可分割的一部分,但同时又强调风险管理框架并没有完全取代内部控制框架”。这一概述给理论界留下了一个问题:内部控制与风险管理究竟是什么关系?内部控制与风险管理之间的关系又是如何?他们之间差异在何处,相同点又有哪些?实施风险管理与内部控制时,企业应注意哪些问题呢?
在实务界,这些疑问得到了一定程度的体现,近年来愈来愈多的企业的确意识到全面风险管理的重要性,但对内部控制与风险管理之间的关系缺乏深刻的认识,更有甚者将二者混为一谈。当然,这可能来是理论上的不清晰导致了实务界对风险管理和内部控制认识上存在一些误解。从理论上,界定风险管理与内部控制之间的关系,也成为指导实务界实施风险管理与内部控制的重要课题。面对日益激烈的市场竞争,现代企业应当建立完善内部控制制度与风险管理制度,这对于防范舞弊、减少损失、提高资本获利能力都具有积极的意义。由此,本文以内部控制与风险管理为切入点,详细的探讨了内部控制与风险管理的关系,同时给出了提高内部控制和风险管理水平的相应措施。
二、内部控制与风险管理的内涵
(一)内部控制的定义
2004年,美国CoSo委员会在《内部控制―――整体框架》中对内部控制的定义得到广泛认可并沿用至今,其对内部控制定义的描述如下:内部控制是由企业董事会、管理层和其他员工实施的,为保证运营的效率和效果、提供可靠的财务报告、遵守相关法律等目标的过程。可见,内部控制是指企业的董事会、经理层以及全体员工共同实施的,为保证实现经营活动的效果与效率、财务信息的准确性、相关规章制度的遵循等目标而设计的过程。
(二)风险管理的定义
《全面风险管理框架》是CoSo委员会在2004年颁布的,它将风险管理定义为:全面风险管理器执行人是企业的董事会、管理层以及其它人员,其主要目的在于能够识别影响企业的各种潜在事件,同时能够按照企业的风险偏好管理风险,为企业目标的实现提供合理保证的过程。
三、内部控制与风险管理的关系
(一)内部控制与风险管理的不同点
1、内部控制与风险管理内涵与外延不同
内部环境、风险评估、控制活动、信息与沟通、内部监督等五个要素是企业有效内部控制应包括的主要要素。风险管理在内部控制的基础之上增加了目标设定、事件识别以及风险对策三个要素。可见,风险管理的层面更高,它将控制活动提高到了战略层面,风险管理包括了内部控制的三个目标,且增加了战略目标。
2、内部控制与风险管理执行方式不同
内部控制负责事中和事后的控制,其中包括对报告的评估、对信息交流的监督、对错误的纠正等先关内容。而风险管理执行上述业务后,还包括制定风险管理目标和战略、选择风险评估方法、聘用管理人员以及报告程序等环节。可见内部控制不会涉及到企业目标,仅仅是控制企业目标,而风险管理则涉及到企业目标的制定。
3、内部控制与风险管理的侧重点不同
风险偏好、风险预警、风险对策等方法在全面风险管理框架都得到了体现,在风险度量的基础上,该框架可促使企业发展战略向风险偏好靠拢。这些功能都是内部控制无从体现的,可见内部控制与风险管理的侧重点是有所不同的。
(二)内部控制与风险管理的共同点
1、内部控制与风险管理有共同目标与作用
从内部控制设计的最初目的来看,内部控制就是为防范企业运行中潜在的各种风险。从控制所要实现的目标看,二者内部控制和风险管理的目标都是为保护企业资产与投资、支持企业在不利的条件下能够很好地实现预期的目标。两者的作用都可以体现在渗透在企业日常经营管理活动中一系列行为,其主要目的都为合理保证企业目标的实现,从而实现其终极目标:保护资产完整、维护投资者利益,并不断创造价值。
2、内部控制与风险管理有相同的实施主体
两者实施的主体都是由董事会、经理层以及全体员工组成,均强调了全体参与性,同时明确了企业内部各方在风险管理和内部控制中的应承担的职责。涉及范畴不同内部控制是一种管理职能,主要作用于事中与事后的控制,而全面风险管理则是贯穿于整个过程的各个环节,尤其是在事前就有了一定的预见性的风险考虑。而且全面风险管理的管理范围要大于内部控制。
3、内部控制与风险管理的组成要素大部分重合
控制环境、风险评估、控制活动、信息与沟通和检查与监督是风险管理与内部控制的五个一致的构成要素。风险管理在此基础上还增加了目标设定、事件识别和风险反应等三个要素。当然在这些重合要素中风险管理的内涵更为延伸和扩展的相对较远一些。
(三)内部控制与风险管理相互补充的发展趋势
风险管理所识别和评价的是企业实际和潜在的风险,当风险管理识别出这些风险后,企业才能借助内部控制等手段消除、转移、和降低风险的影响。二者的内涵与外延虽有不同,但可以看出内部控制是风险管理的关键环节,对完成它们共同的组织目标具有重要的意义;而良好的内部控制系统又依赖于彻底规范地对企业所处的风险性质和范围的评价。因此,二者在发挥作用的过程中是相互促进、相互补充的。
四、企业实施内部控制与全面风险管理应注意的问题
(一)内部控制与全面风险管理不是相互独立的
内控制度的建设和风险管理的实施同属于一个系统工程,并不是互相独立的。企业可综合自身性质、发展程度、科技条件以及外部环境等因素,合理选择建设重点。经营风险较大的企业可以以风险管理主导内部控制,而对于经营风险较小、企业管理相对重要的企业,可以内部控制为主导、兼顾风险管理。
(二)内控与全面风险管理不是一成不变的
一些企业的管理者对内部控制与风险管理的体系有一定的错误认识,这些错误认识主要体现在将两者有固化的趋势,认为两者是一成不变的。然而,事实并非如此。从外部环境看,当前的经济形势瞬息万变,需要内部控制与风险管理作出相应变化。从内部控制与风险管理自身来看,随着理论和实践的发展,两者沿着其理论轨迹在不断前进、发展中,不能认为其是一成不变的。
(三)建立风险导向型的内部控制
公司应该借鉴国际成功的公司内部管理的经验,对公司治理和机制进行创新,尤其要重视防范与化解各种风险,以此来完善管理制度的建设。例如,可以借鉴风险预警机制,强化风险管理,在公司组织机构、战略绩效、销售渠道、人力资源及公司价值等诸多方面的管理实现内部控制与风险管理的全面融合。
五、结论
以上论述可以看出内部控制与风险管理既有区别又有联系。内部控制是企业风险管理迫切需要的辅助条件,风险管理的实施需要良好的内部控制提供环境与制度保障。如果内部控制不善,风险管理不但无法实现既定目的,还可能会对企业发展形成严重影响。另一方面看,内部控制能够达到既定目的,需要风险管理控制好企业的风险因素。因此,只有二者共同作用,才能更好的为企业的可持续发展保驾护航。
参考文献: