内部控制与风险管理
摘要:1、内部控制与风险管理的定义
2、内部控制与风险管理的内在联系
3、目前企业面临的主要风险
4、面对主要风险企业应采取的内控措施
风险是事件发生的不确定性。企业在经营活动中存在各种各样的风险,在经营效益和风险并存的情况下,企业经营者如何作出正确抉择,这是一个十分复杂的系统工程。首先,风险出现概率有大有小,风险后果有轻有重;其次,风险评估来源于财务数据,这些数据是否可靠;第三,经营效益预测是否合理等。这些都将成为直接影响风险决策后果的重要因素。
除了客观存在的不可控风险外,企业的大部分风险是可控的。企业通过加强内控制度建设,合理规范操作流程,建立一个科学的风险控制体系,强化企业内部监督,可以规避风险或把风险降低到企业可承受的程度。
一、内部控制与风险管理的定义
企业内部控制是由企业董事会、管理层及其员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:企业战略;经营的效率和效果;财务报告及管理信息的真实、可靠和完整;资产的安全完整;遵循国家法律法规和有关监管要求。它包括五个方面的组成要素:控制
环境、风险评估、控制活动、信息与沟通、监督。内部控制的目的是在合理的范围内保证企业基本目标的实现。
企业风险管理是一个过程,是由企业董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。
风险源于行为和活动。而采取行动和活动必然有预期目标,但是,结果形成于将来,将来具有不确定性,因此风险是客观存在的。任何经营企业所面临的环境,都存在诸多的不确定因素。对于实现企业经营目标来说,国家政策、市场需求等外部环境因素无法改变,但通过对企业内部组织、人员、业务、财务等方面采取一定的控制方法、制定控制措施和程序,同样能达到企业目标的实现。企业内部控制的根本作用就是防范风险,即从人、物与资金、信息等方面控制风险。
二、内部控制与风险管理的内在联系
内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。理论上说,企业内部控制是企业制度的组成部分,其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护企业的财产安全,遵守法律以维护企业的名誉以及避免招致经济损失等。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。技术及市场条件的新进展,推动了内部控制走向风险管理。
企业内部控制是企业风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,内控系统是必要的、高效的和有效的风险管理方法,因此,满足企业内控系统的要求,也是企业风险管理体系应该达到的基本状态。企业的大多数风险是暴露在业务流程中的,通过业务流程梳理与改造可以解决,这时的风险管理解决方案则落实到内部控制上。
企业实际经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度:范围越大,管制的要求就会越弱。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。
尽管风险管理与内部控制有内在的联系,但现实中内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。
随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
三、目前企业面临的主要风险
随着经济全球化的不断发展和我国经济的快速增长,现代企业面临的市场环境更加复杂,面临的各种风险与日俱增。企业风险是无时不在,无处不在的,市场化程度越高,企业风险的表现和影响就越普遍。
从企业风险因素的来源看,可以划分为外部风险和内部风险。企业经营所处的外部环境中存在诸多变动因素,如国家法律、政策变动,市场供求关系变动,竞争对手实力和竞争策略变动,以及突发的天灾人祸等等都可能对企业的行业地位、赢利能力和既定目标产生不利影响,这就构成了企业的外部风险。在企业内部管理中,人、财、物、技术等生产经营要素资源是否足够及得到合理配臵,业务流程、信息系统是否顺畅并达到节约成本、提高效率等既定的管理目标,管理人员的价值取向、岗位职责、激励机制和团队精神是否配合适应企业的发展目标等等,这些内部管理如果无章可循、管理混乱或者存在漏洞,执行力不够或管理不协调都可能构成企业的内部风险。
1、企业采购与付款业务方面涉及的主要风险:原、辅本材料采购价格、采购定价机制与预付款项管理、采购与付款业务的授权审批、供应商管理体系、采购合同管理、物资收货验收环节、大额预付货款支付等。
2、存货管理业务方面涉及的主要风险:材料与生产工具使用、主要金属材料结构、废品损失率、存货出入库管理、存货占用及盘点等。
3、销售与收款业务涉及的主要风险:销售与收款业务的授权审批、销售信用政策、客户信用评价管理体系、销售定价与销售折扣、销售合同管理、在途票据、回款周期及回款率、票据挂账率、应收账款账龄及结构、应收账款对账率、应收账款占用、市场风险、汇率市场变化等。
4、其他方面的风险:资金筹措与使用、对外投资、企业盈利能力、资产的安全和使用、预算的编制与执行、税务筹划、企业治理、研发风险、人力资源管理、信息系统管理等。
四、面对主要风险企业应采取的内控管理
面对企业急需加强风险管理的形势,建立健全内控制度,是企业自身发展的需要,也是企业面对市场风险与挑战的需要。企业只有根据自身的经营状况,从实际需求出发,制定满足管理需要的内部控制制度,并加以严格遵循实施,才能达到控制目标。企业内部控制,控制的主要是:人、物、资金与信息。为防范风险,企业应当在人、物、资金及信息方面重点加强内控管理。
1、完善用人制度,加强人力资源管理
人力资源管理风险是指在人员招聘、留用、辞退过程中,由于缺乏相关制度和流程,或相关制度和流程失效,或人员未严格执行相关制度流程,或人员素质等原因所导致的不确定性对人力资源管理相关目标的影响。人力资源管理的目标包括:提高人力资源素质、优化企业人员结构、控制人力资源成本等。人力资源管理过程中任何影响上述目标的不确定性事件,构成企业人力资源管理风险。同时,企业关键人才风险的
原因部分在于人力资源管理风险,部分在于内外部其它因素的影响,如企业文化、外部的社会环境等企业招聘的人才不符合企业用人需求。
如何充分调动企业人力资源的积极性、主动性、创造性,发挥人力资源的潜能,已成为企业管理的中心任务。人力资源控制应当建立严格的招聘程序,保证应聘人员符合企业招聘要求。企业要定期对员工进行理论或实践知识培训,提高员工业务素质,以保证其更好地完成规定的任务;制定严格的奖惩激励机制,加强对员工业绩考核,充分调动员工工作的积极性和创造性。
2、严格执行财产保全控制,确保企业资产完整,利润最大化 企业对物的管理,主要包括存货、能源及固定资产管理。存货管理风险是指因对存货保管、存放不慎,导致资产损坏或缺失,造成企业损失,或是存货在企业资产中所占比例超出企业适当水平所带来的对企业经营目标、现金流安全的影响。存货风险影响现金流安全和利润两个目标。固定资产风险是指在管理过程中,由于缺乏相关制度和流程,或相关制度和流程失效,或人员未严格执行相关制度流程,或人员素质等原因所导致的不确定性对固定资产安全和使用效率产生的影响,如低于市价处臵固定资产,导致国有资产流失等。
有的企业对财产物资的内控管理相当薄弱,制度形同虚设,采购环节职责未按规定严格分离,造成库存物资的毁损、报废、短缺未得到及时处理,致使潜在亏损增加,经营风险加大。有些企业在日常业务活中,往往不注重能源管理,处处存在跑、冒、滴、漏等现钞,造成浪费,既
增加企业成本,又浪费社会能源。
健全内部控制,采取定期盘点、账实核对、记录保护、财产保险、记录监控等措施,确保各种财产的安全完整,杜绝能源浪费,使企业的各项经营活动做到活而有序,减少了不必要的成本费用开支,促进企业的有效经营,以求企业实现更大的盈利目标。
3、严格资金授权批准制度,认真执行企业制定的各项管理制度
内控是经营者和全体员工共同的职责,并不只是财务与审计部门的事情。内控的数据来源于财务,内控的成果也反映在财务,但是,内控工作的内涵和实质,却反映在经营工作的方方面面;同时,企业的内控管理也是集控制环境、风险评估、控制活动、信息与沟通、监控于一体的有机整体。
内部控制制度由若干具体政策、制度和程序所组成,渗透于企业经营活动的各个方面,只要企业内部存在经营活动和管理环节,就有相应的管理办法和控制措施,从而有效地贯彻企业的经营方针,确保经营目标的实现。
企业的采购与付款、销售与收款、存货是围绕企业流动资产进行管理的,资产管理的核心是资金流动。企业应当从采购与付款、销售与收款、存货等主要资金管理方面制定内控制度并严格执行,强化制度的刚性,对执行结果按照企业设定的经济责任制进行严格考核管理;对于资金使用,企业必须建立授权批准体系,明确各职能部门授权批准范围、权限、程序、责任等,单位内部的各级管理层必须在授权范围内行使相
应职权,保证资金安全、合规性;经办人员也必须在授权范围内办理经济业务,保证企业权责分明,科学管理。
4、会计信息及其他管理信息的真实可靠
企业的经营成果是通过各式各样的会计信息或其他管理信息来反映的,有时企业所提供的会计信息或财务报告内容并不能真实反映企业的经营业绩。有的企业由于会计工作秩序混乱、核算不实而造成的信息失真现象较为严重:如设臵账外账、隐瞒或虚报收入和利润;资产不清、债务不实等。造假现象在上市企业中已经屡见不鲜,在其他企业中的现状就更为堪忧。
健全内控制度,可以规范企业各类信息的采集、归类、记录和汇总的过程和行为,确保会计信息资料的真实可靠,如实反映企业经营状况,及时发现和纠正各种错弊,有效控制企业的经营风险。
管理信息系统控制包括两方面的内容,一方面是要加强对电子信息系统本身的控制。随着电子信息技术的发展,企业利用计算机从事经营管理的方式、手段越来越普遍。为此必须加强对电子信息系统的控制。另一方面,要运用电子信息技术手段建立控制系统,减少和消除内部人为控制的影响,确保内部控制的有效实施。
5、推行全面预算管理,完善内部审计
全面预算是企业财务管理的重要组成部分,它是为达到企业既定目标编制的经营、资本、财务等年度收支总体计划,包括筹资、融资、采购、生产、销售、投资、管理等经营活动的全过程。企业要以营业收入、
成本费用、现金流量为重点推行全面预算管理,并严格执行,从深度、广度、细微程度上进行全面排查,认真寻找降低成本、降低费用开支的关键控制点,制定改进目标和实施方案,并对预算结果及时进行科学分析,对产生的差异进行有效控制。
为满足企业内部管理的时效性和针对性,企业应当建立内部管理报告体系,借助管理会计手段,如实反映经营状况,及时披露相关重要信息。 内部审计控制是内部控制的一种特殊形式,这是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机构,在某种意义上讲是对其他内部控制的再控制。内部审计在企业应保持相对独立性,应独立于其他经营管理部门,但我国企业内部审计的独立地位还不足够,权威性还不高,内部审计参与风险管理的范围和作用还存在一定局限。只有大大提高内部审计人员参与企业风险管理的专业素质,内部审计的特有优势才能充分发挥。
由于内审部门负责审查各项内部控制制度的执行情况,并将审查结果向企业董事会或最高管理当局报告,因此,内部审计工作越仔细,内部控制制度越健全,越能增强内部控制工作的效率与可靠性。
企业内部控制是由企业各个层级人员共同实施的,从管理决策层、到各个业务分部、职能部门、直到每一位员工都对实施内部控制负有责任。企业管理风险是不确定的,因此,内部控制也是动态的。它是一个不断发展、变化、完善的过程,持续地流动于单位之中,并随着单位经营管理的新情况、新要求适时改进。
第二篇:风险管理与内控实施方案
风险管理与内控实施方案
内控水平评价
中大咨询编制内控评估指数旨在对企业进行内控水平和内控执行力进行综合评价,形成内控水平提升动态循环机制,发现内控缺陷、完善企业的内控体系,以满足经营管理控制的需要,为管理层进行内控水平评估提供统一的标准,使管理层能够及时发现问题并且找到解决方案,改善控制环境,激发全员参与到内控管理、内控水平评估中,形成“设计-执行-评估-改进”的动态循环,
促进内控与风险管理水平的持续提升。
合规风险管理体系
中大咨询通过营完整的合规管理体系搭建框架,协助企业搭建合
规管理体系,帮助公司遵守相关法规要求,应对违规情况。
创新产品
1、全面风险管理体系构建
中大咨询将围绕企业总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系
2、内控体系构建
从控制环境、风险评估、控制活动、信息和沟通以及监控等五个方面记录和评价与财务报告相关的内部控制,并涵盖公司所有业务流程(如示例中12个业务流程),内控的延伸部分是针对部分影响公司运营的重要流程,延伸设计更加完备的内控机制
3、目标风险链接机制以战略目标为导向,以作业活动为基础,进行自上而下的风险识别和自下而上的风险监控指标体系构建。形成的目标风险管理体系,明确风险管理方向,切实做到风险控制与战略目标实现相结合
4、风险管理与内控现状诊断
对作业活动进行风险梳理,包括风险识别、评估和应对。发现企业风险管理与内部控制体系的缺陷,明确企业风险管理与内部控制管理现有水平,为重构适于企业实情的风险管理与内部控制体系开展前期工作
5岗位风险识别与评估
进行岗位职责重组和归类,进行风险识别,形成风险清单,识别风险,并为其排列优先次序,评估企业整体范围的岗位风险及管理能力,将有限的资源应用于重大、高发的风险管理,提升风险管理的效益。
6、风险控制库
围绕企业风险架构组织,描述各业务中存在的事项风险及其管控措施和负责人,并对应到该风险所涉及的流程,出具风险清单,形成企业的风险控制库,提供全面系统的、对应业务流程的风险事项列表,出具可操作性的风险管控指导
7、风险管理策略
针对已识别的风险及其风险源制定风险管理策略,选择并制定的可行性的风险管控方法,明确企业风险管理所需的人、财、物的资源配置,细化企业的战略风险管控策略,制定具有可操作性的执行方案
8、风险预警体系
建立风险预警制度与指标体系,收集与分析预警事项,并对预警事项进行整改和处理,建立风险预警责任机制,从而全面构建风险预警系统,协助企业进行风险预控,化风险于无形,彻底降低风险损失!
9、风控与业务的融合
把风险防范要求“嵌入”并贯彻到具体业务工规范企业日常业务管理,切实提高工作绩效,实现风险管理手段、内控程序与业务制度和流程的融合,理解控制活动的种类及应用方法,全面把迭业务循环中涉及的各类风险作中,实现风险防控工作与业务工作的完美融合。
10、新业务的风险控制
新业务开展进程中对风险进行全面的监督与检查,量化风险管理,设计风险控制成本指数,降低风险成本,及时调整风险管理相关方案,充分揭示新业务发开展过程中的各种风险,为新业务的顺利开展保驾护航
11、合规风险管理体系
构建合规管理体系,设计合规管理效果评价指标,使企业控制活动与董事会和高级管理层的治理活动之间建立有效联系,帮助公司遵守相关法规要求,应对违规情况提升公司经营管理和规范运作水平,满足企业合规性战略的重要需求
12、法律风险管理
协助企业构建完备的法律风险体系,进行法律风险预警、法律风险识别、法律风险评估、法律风险定向分析和法律风险报告,形成法律风险的全面防范机制
13、内控指数
编制内控评估指数,对企业进行内控水平和内控执行力进行综合评价,形成内控水平提升动态循环机制,为管理层进行内控水平评估提供统一的标准,发现内控缺陷、完善企业的内控体系,以满足经营管理控制的需要,促进内控与风险管理水平的持续提升
14、内控师培养和认证
以战略规划和人力资源规划为先导,分层级、分专业设计内控师体系,形成不同阶段内部控制师培养的成长阶梯,提升内控师授课水平,形成内控师激励机制,传递企业内控理念,帮助企业提升内控管理水平,培育内控文化
15、内控文化宣贯
多渠道宣贯风险管理文化,打造内控人员管理模块开发统一的风险语言,全面建设内控软环境,培育各企业自身特色的企业文化
某移动公司风险管理项目
项目背景
合规风险区别于一般类型的风险,其主要不同之处是合规风险是公司或员工的违规操作而招致的风险或损失,公司或员工本身的主导性比较明显但是,合规风险又与其他风险类型紧密联系,且结果基本相同,都会给公司带来经济或声誉的损失。虽然大量的风险表现在工作环节和工作人员身上,但其背后往往隐藏着操作环节的不合理和操作人员缺乏合规守法意识,因此,对合规风险应该“另眼相看”,格外重视。通过初步了解,我们发现该移动公司内部已经有一定的合规管理基础,但仍没有在公司中形成成一种氛围,理念和制度上都缺少保障。基于此,我们建议应该着手建立健全合规管理制度,完善合规管理组织架构,明确合规管理责任,构建合规管理体系,有效识别并积极主动防范化解合规风险,确保公司稳健运营。关键问题
①内部环境有待优化:合规管理的组织保障尚未建立。合规管理的规则体系缺乏严密的科学性,表现在:
★缺乏系统思维的指引,“亡羊补牢”现象突出,制度跟在现实的后面,前瞻性不足、预见性不足;
★制度间的衔接不充分,存在空档和断档情况;
★规定过粗,操作性不足;
★没有制度整体结构、层次构架的概念;
②员工对制度的信仰没有真正建立,违规现象依然存在,制度和管理的全面有效规范化、标准化程度有待进一步提高;
③合规文化建设已经启程,合规观念开始逐步渗入人心,但合规文化的建设任重道远,合规文化来自外部和内部的多元文化的冲击
和影响。
咨询成效
①诊断企业合规管理现状:对企业合规现状进行全面系统的梳理,找出公司合规管理基础的优势和不足,为构建公司的合规管理体系奠定基础。
②提炼合规理念:基于对公司合规现状的诊断,结合公司发展战略,形成公司的核心理念体系、应用理念体系和传播理念体系,使之既能够体现公司的特色又能够被员工认可
③建立合规管理体系:基于合规管理现状诊断结果,以及合规理念所要达到的目标和状态,重修公司不合规的管理制度及规则,搭建完善的合规管理体系,从组织机制、制度等方面保证合规管理体系的运行。
④合规文化推广:根据公司的总体战略目标和战略规划,开展有计划、有步骤的合规文化推导活动,选用多种方式如将绩效考核、工作计划结合、全方位宣传、培训、案例宣讲等方式,将合规文化融入到员工工作和生活的各方面,使合规理念成为员工的工作习惯。
解决方案
①根据公司发展战略以及经营目标,明确合规管理的理念和内涵
②针对诊断过程中出现的有关“规”的问题,对“规”的制定方法和流程加以改进
③从文化建设和组织机构加以保障,将合规理念和管理监管办法融入公司的经营目标、管理计划、绩效考核,以及对内对外的监控中
④文化宣贯:企业文化提炼后真正落地的阶段,需要通过大量的课程培训和各类宣传活动进行推动,并要及时进行跟踪反馈⑤跟进服务:中大咨询将指定专人负责项目后续服务接口职系,并负责跟踪解决该移动公司在项目后续推进中碰到的一般性问题
