发布时间:2023-10-13 15:37:54
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇内控及风险管理,期待它们能激发您的灵感。
关键词:高校财务;风险管理;内控;策略
随着近年来教育体制的不断改革以及国家对教育的重视程度增加,教育办学经费也随之不断增长,高校的经费来源也由依靠国家财政拨款发展为多形式多渠道筹集资金。高校资金的大幅度增加使其财务管理风险也不断升高,这对高校的财务管理及内部控制提出新挑战,加强高校财辗缦展芾砑澳诳爻晌当前高校管理工作的重中之重。
一、高校财务内控的概念及作用
(一)高校财务内控的概念
财务管理指财务人员通过财务法规、财务制度、财务定额和财务计划目标等对日常财务活动进行指导、组织督促和约束,以保证实现财务目标的管理活动。
高等学校财务内控是指高校为实现财务管理目标而制定和实施的一系列内部控制方法、措施和程序,其目标是确保高校经费的安全、完整和良好的会计信息质量。就高校内部财务管理来说,它是特殊的管理形式,以某所高校的经济活动为中心所采取的专门方法、措施、程序来进行控制与管理工作的。
提高财务管理体制的健全性和财务信息的前瞻性,增强财务风险管理的预测性及教学效率等,均是高校财务内部控制的基本目标。此外,内控还应贯彻执行国家相关法律法规以提升高校财务管理资料的真实完整性。
(二)高校财务内控的作用
高等学校财务内部控制能有效保证高校的健康可持续性发展,具有以下重要作用:
首先,科学的高校财务内控制度对高校财务机构各岗位人员的职责与分工做出了明确规定,也利于职能部门及管理人员进行相互监督和自查自纠。
其次,完善的高校财务内控制度是保证学校管理层和领导层的管理决策能够迅速贯彻与执行,并能针对执行情况进行控制与调整。完整的高校财务内控制度是防止贪污、挪用公款等违法犯罪行为,提高高校资产安全与完整的重要保障。
再次,高校财务内控制度对建立良好的财务工作环境和经济秩序十分有利,能够促进各职能部门之间业务活动的紧密衔接,保证任务活动的协调均衡发展,从而形成良好的工作秩序,增强院校控制能力。
二、高校财务风险的类别
针对我国当前高校财务风险来看,可划分为财务管理风险、债务风险和投资风险三大类。
(一)高校财务管理风险主要是指由学校财务管理方面的违规、缺位和疏漏,导致高校出现例如管理失控、投资失误、挪用公款、等损失而形成的风险。高校财务作为保障高校正常运转的物质基础存在,若财务管理制度出现缺失或不到位等,就会导致高校资产核算失真与资产浪费流失等问题。
(二)债务风险是高校财务风险的组成之一,是高校向银行等金融机构过度举债或不良举债而影响其正常财务支出,一旦出现周转资金链断裂,就会面临较大的财务危机。高校过度贷款与背负较高的资产负债率,其运行成本也随之增高,若无法按期偿还贷款,高校的信用等级就会降低,影响其以后的筹资能力。一些高校选择降低教学科研开销经费来减少支出,这就进入了恶性循环怪圈,不仅会阻碍教学质量的提高,还会破坏教师队伍的稳定性,由此可见,过度举债导致的债务风险会破坏高校的可持续稳定发展。
(三)高校投资风险是高校的投资项目因无法实现预期收益而导致的资金浪费与流失风险,校办产业连带责任风险、盲目采购风险和其他投资风险均是高校投资风险。其形成多是由于高校财务管理体制不完善,受托责任不明,法人治理结构不够完善,以及高校投资理财的非理性和盲目性等。
三、当前高校财务管理内部控制存在的问题分析
由于我国一些高校对财务管理内部控制不够重视,其内部控制和程序相对不够完善,监督机制也不够健全致使管理工作中突显出各种问题,大致可归纳为以下几点:
(一)教育经费短缺与浪费问题并存,且财务信息预测性较低
高校多存在重收入轻支出管理的问题,使得高校资金出现流失浪费,无形中大大提高了财务风险程度。高校各部门为实现提高部门经济收入目标,而积极利用校方资源来发挥产业效益,但高校本身并未收益,这就致使学校资金在无形中严重流失。高校财务管理部门的会计信息应为校方领导在进行项目决策中提供依据与参考。但就当前的高校财务工作来看,大部分高校还仅局限于会计报账、记账、核算等基本信息,而忽视了事前预测,事中控制和事后分析工作。
(二)投资效益观念较差
由于市场经济发展较为迅速,一些高校财务管理部门受体制影响致使其不能适应市场经济环境,在理财意识上缺乏科学性,在开拓投资市场等方面缺乏进取精神。高校的一些重大投资决策并没有科学的可行性研究,相对比较盲目,使得投资效益较低。另外,高校并未有效结合自身办学特色和优势,对于高校的科研优势和知识资源,并未与校办企业实现有机结合,严重限制了高校自身的发展。
(三)高校财务内控制度不够完善
放眼我国高校的经济活动,已经得到了不断深入与发展,但在高校财务内部控制中却存在各种问题,如控制内容、范围不全面,内控机制不健全,执行力度较弱等,使得一些内部控制制度形同虚设。另外会计监督不力,会削弱校财务工作人员的执行力和自觉性,进而导致会计工作秩序混乱、财务信息失真等严重问题的发生。
四、加强高校财务风险管理及内部控制的应对策略
(一)加强高校的预算约束力来强化高校风险意识
构建刚性化的高校预算约束制度,剥离高校的政策性负担,减少高校的过度贷款压力。政府应正确定位高校的所有权和控制权,尊重办学规律,实施兼顾质量与效率的循序渐进发展战略。另外,政府应打破以往过分评估高校规模与硬件设施的狭隘局限,这样就会引导高校将办学重心放在教学质量和学术科研方面。建立科学合理的绩效评价体系,对高校的办学成果等进行多方面测评,并提供高校运行的信息指标,以此来衡量高校的运营能力等。对于高校随意贷款行为以及未经科学论证就投资项目的失误决策要依法追究相关责任,督促高校领导决策者树立较强的财务风险管控意识,并促使其科学合理地投资来维护高校财务的可持续发展。
(二)建立完善的内部控制制度和监督制度,规范高校经济行为
通过强化内部控制,完善高校内部财务会计控制制度来真正实现相互制约监督功能,从而提高高校财务风险管理。目前我国高校应将重点放在校内资金结算、实物资产和项目工程的内部会计控制上,结合不同的控制对象来制定内部财务控制制度,并配备完善的监督制度。可选拔聘用社会上的优秀第三方机构来对高校办学效益及财务管理状况进行监督,即通过外部监督机制来强化对校方财务风险的监控,从而保证高校得以健康可持续的发展。
(三)通过加强财务信息化管理来提高财务风险控制水平
随着信息技术、计算机技术和互联网技术的飞速发展,信息化的财务管理模式成为趋势,且极大程度上提高了财务管理工作的效率与质量。通过引导高校建立规范、高效的财务管理信息网络系统,全面实行财务工作信息化管理,来改变传统财务管理模式、机构设置和管理方式,以提高和完善高校财务管理工作,同时提升高校财务风险管理监控能力。
(四)通过完善高校内部治理来提高其财务风险管理水平
规范、严谨、科学的内部管理制度能保障高校的筹资决策、投资战略、经费的使用与分配等。鉴于我国面临财务困境的高校多缺乏严格的内部管理制度,可通过政府调控来推进高校建立完善的内部控制结构,使其成为能够进行自我管理与约束的法人实体,各级责任落实到位,真实责任落实到人,这对防范高校财务风险管理有着重要意义。
总之,只有建立科学合理的财务管理体系,严格制定并加强高校内部财务风险管理控制制度的执行力度,才能有效预防和避开各种财务风险,确保高校各项经济活动的正常、安全、科学开展。
参考文献:
[1]杨茜.完善高校内控制度 强化财务风险管理[J].知识经济,2016-02-01.
[2]刘Q.试论高校财务风险管理及其对策[J].经营管理者,2016-08-15.
关键词:建筑企业:全面风险管理:内控体系
由于近两年建筑行业招标项目不断减少,减幅曾一度增大到了30%以上。建筑企业普遍面临着工程接单难的问题,因此为了保证企业自身的生存与发展,在目前国家积极和财政政策的基础上实现稳中求胜的发展,就要从不断完善自身的管理体系和管理能力出发。其中,建筑企业的风险管理和内控体系是企业管理体系实现进步与完善的决定性因素。
一、风险管理与全面内控的管理
(一)全面内控是风险管理的基础
企业的内部环境是企业实施管理办法的土壤与基础环境。随着现代管理理念和科学管理办法在我国建筑行业企业中的推广,内部管理理论在企业中的发展成为了企业风险管理意识和风险管理体系的拓展的基础。企业在内部控制制度建立健全的基础上,可以通过规范企业的生产和经营的行为,有效地对企业的各个生产和职能部门进行管理和监督,从而及时、高效地找出经营和管理中出现的各种问题,并予以妥善的处理和解决。也就是说,在内部控制体系的管理与规范下,建筑企业在应对市场和政策变化上将具有更高的灵活性与敏感性,在涉及到招投标管理、企业融资、建筑施工、大宗材料与设备购进、竣工审核与结算等多个方面,内部控制管理将成为企业风险方法的核心环节。建筑企业的内控体系的确立与完善,是企业风险管理体系建设的核心与基础。
(二)风险管理与内控是不可分割的整体
风险管理概念的出现是在COSO内控框架上增加的管理概念。风险管理是对企业经营过程中可承受的风险程度、风险识别能力和风险应对方法三个重要方面的概括。建筑企业风险管理体系的构建要求企业在内部控制制度的指导下通过设立有效的风险控制与管理机构,来进行集中、全面、有效的企业风险管理。在企业内部控制的基础上,企业风险管理理念强调了董事会在风险管理过程中的作用,进而拓展了COSO关于风险要素的评估理论。目前,我国的企业内部控制制度的发展还不够成熟,导致了大部分企业的风险管理体系还处在发展的初级阶段。为了不断提高建筑企业风险管理的水平,就要从风险管理和内部控制体系建设两个方面人手,综合发展,共同建设,才能不断推进企业管理能力和水平的不断提升。
二、建筑企业全面风险管理体系构建
目前,建筑企业面临的市场和政策性的风险不断在增大,在2015年的中央经济工作会议上等会议的内容上,建筑行业“去库存,去产能”的说法一再被提及。同时,由于财税改革上全面“营改增”谁知改革在建筑业和房地产业的全面试点推行,导致了不少建筑企业的发展受到了极大的冲击,企业的生存开始面临巨大的风险。
(一)建筑企业风险管理组织结构构成
企业风险管理体系的构建要从企业风险管理组织结构入手,在企业中设立拥有独立管理权限的风险管理部门及业务管理单位。其中,建筑企业的董事、高管、各级业务部门在风险的识别和管理中均有其各自的作用和职责。建筑企业在设立风险管理部门的时候,要能够保证原来各部门在实施风险监控及管理时的相互合作,共同推进企业风险管理进程,从而发挥各方的重要作用。随着企业风险管理能力的不断深化,企业的风险管理组织和部门需要起到为管理提供相应的风险控制决策信息,从传统的规避风险带来的损失发展到企业风险控制将为企业创造的价值,并将企业的风险信息进行汇总与汇报,及时同各部门做好沟通,才能提高企业的管理效率。
(二)全面风险管理信息系统构建
在企I风险管理组织结构上,现代企业风险管理系统是建筑企业在建筑施工等项目建设中起到风险预测、监测、预警能力的根本保证。现代风险管理信息系统是建立在现代科技和通讯技术之上的风险信息收集渠道,并通过专业风险关系信息系统对所收集到的风险信息进行过滤、整理、整合、分类和管理,才合算风险管理的投入与效率,并结合建筑企业的发展状况和发展阶段,同企业的管理与财务信息系统相结合,为企业的风险控制提供必要的支持与决策。风险信息管理系统虽然在大部分建筑企业管理中还处于开发和实验的阶段,但是要想实现风险的有效管理,借助现代科技成果成为了重要的手段之一。
(三)风险管理控制活动
企业的风险管理控制活动是确保管理层风险控制管理办法得以实施的保障。建筑企业可以通过各项风险控制活动,诸如招投标资金核准、企业经营授权、现金流的验证与调节、项目工程业务的绩效审核等保障企业经营目标的实现,并对其中风险因素采取必要的控制。建筑企业的风险控制活动需要贯穿于整个建设项目的组织和运作过程之中,针对企业当前项目的风险关键控制点所在的业务流程,对建筑企业当前的风险控制与管理活动进行划分与确定,保证风险控制活动在风险管理和内部控制整体体系中的核心地位。
三、建筑企业全面内控体系构建
(一)确立企业内控原则
根据建筑企业工程建设项目的周期长、资金多、规模大的特点,企业内部控制体系在建设中需要秉持全程性、整体性和独立性的原则。建筑企业的项目工程建设从招投标开始前的项目策划。到施工建设的项目管理再到竣工后的资金结算,其中任何一个环节一旦出了问题都会给企业的生存和发展带来不可扭转的严重后果。企业的内部控制环节要保障企业在经营的过程中每一个环节都能够得到控制,就要遵守上述三个原则,才能保障企业内部控制体系的牢不可破,防止一旦建筑企业的经营出现巨额的资金亏损导致企业的生存受到威胁。
(二)发展企业文化环境
企业的文化环境影响到企业整体的形象和凝聚力。建筑企业的工程项目一般周期长、工作量大、劳动条件艰苦。因此,良好的企业文化环境是企业内部控制与管理生存的土壤。企业内控体系的建设要结合企业的整体文化环境,从企业的风土人情、市场观念、发展历史出发,结合企业精神,与企业的物质资源管理和人力资源管理办法统一融合起来。在这个基础上,企业才是真正实现对于经营环节和全体员工的内部控制,让内控理念变成行之有效的内控制度。
(三)完善企业组织结构
内控制度的建设要从完善企业组织结构出发,首先要做的是明确各个管理层和各环节岗位的职责和权限。对于建筑企业来讲内部控制体系的组织结构基础需要有企业董事会、监理会和内控管理部门组成。内控管理部门主要负责企业各项内部控制制度与手段的实施:企业的董事会掌握着企业的决策和审计权利,是内部控制度实行的保障:企业的监理会负责对内控制度执行状况进行监督。这三个部门独立于彼此执行各部门的职责,之间是相互协调、相互制衡的关系。从而为建筑企业内控的有效运行奠定了基础。
一、内部控制概述
内部控制是指企业为了保证其经营目标的实现,对资产的完整性、数据的真实性等进行控制、评价、监督的一系列方法、措施的总称。它的基本目标是纠正企业经营中存在的错误,提高企业经营管理的效率,从而实现企业经济效益的提高。
加强电信企业的内部控制具有重要的意义,具体体现为:是企业经营管理的内部需求。近些年电信企业内部管理体制在不断发生变革,为了适应日趋激烈的市场竞争,公司的经营规模、组织构架和管理层次都在相应发生变化,然而管理工作很多没有同步发展起来,无形中加大了企业的风险指数。电信运营商对于内部控制建设关乎企业的正常运营。是完善企业治理结构的要求,是提高竞争力的要求,是适应市场竞争,经济全球化的客观需要。
二、电信企业内部控制现状
国内的几大电信企业在《萨班斯法案》颁布实施后,均对企业的治理结构进行了进一步完善,对企业的经营效率的提高有了很大的帮助。但是,这并不代表电信企业不再存在问题,其中内部控制机制仍缺乏进一步的完善和健全。就目前而言,电信企业内部控制机制主要存在的问题主要有:
第一,内控观念有误区。大多电信企业对于内部控制制度的认识都认为是被动的,没有看到有效的内部控制给企业带来的实际经营效率。许多企业的会计部门就可以单独负责内部控制的管理工作,往往忽略了内部控制是需要各个部门共同配合才能完成的。这都缘于企业管理人员对于内部控制管理工作的认识不够,没有形成完善的内控观念,从而导致对企业的管理往往局限在成本效益上,内部控制观念相较于国外落后,影响了企业的更好更快发展。
第二,内控设计与实际执行存在偏差。内控实施人员不是固定部门固定人员,负责人的流动性导致在实际工作中并没有严格按照电信企业的内控手册、实施细则执行,失去了内控设计本身的完善性和详尽性,设计预期与实际执行结果形成了较大的偏差。
第三,企业内部组织机构与内控管理体系矛盾重重。电信企业以管理部门进行职能分工,业务的流程则是按生产和管理程序进行设计,业务管理与部门人事管理出现交叉,容易产生矛盾,在内控的执行和评估时相互推诿。
三、加强内控建设
第一,加强内控意识。电信企业应对内部控制制度建立新的认识,走出旧观念误区,树立新型内控管理理念。学习发达国家经验,将其内控体制执行的手段和技术结合国内企业情况应用于国内的企业。企业各级管理层要依法、诚信,高度重视内部控制,在管理工作中严于律己,以身作则,对员工进行定期内控培训,提高员工对内控的认识,强化员工观念,彻底了解内控的目的和意义所在,改变以往被动接受,使之积极主动执行、贯彻落实内控理念。
第二,完善内控结构。按照“萨班斯法案”报告的内容,企业在制定内部控制措施时,一般包括一下内容:
建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定;
建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等;
建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任;
建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应付的责任和奖惩制度;
建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等;
建立重大风险预警制度。对重大风险进行持续不断的监测,及时预警信息,制定应急预案,并根据情况变化调整控制措施;
建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责, “三重一大” 事件的集体审批和联签制度。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约,明确该岗位的上级部门或人员对其应采取的监督措施和应付的监督责任将该岗位作为内部审计的重点等。
第三,加强内控过程管理。企业内控不足往往是由于企业只看重结果,而忽视过程管理,电信企业生产过程就是销售过程,如在过程中的一个环节发生错误,直接影响企业效益。因此,在日常工作中与内控建设有效结合进行管理和监督,提高各种风险发生的警惕性,从市场营销前端到收入报告的生成确认,从各项业务流程的规范发哦系统的支撑与管控等环节都要保证内控的有效性,才能保障整个流程的顺利推进。
加强电信企业风险意识
企业的管理工作往往较为薄弱,与企业内部的结构改革不相适应,因此企业的各类风险相应而生或加大,电信企业必须要进一步健全相应的风险管理体系。电信企业随着现代企业管理的发展,内部控制也已发展到风险管理及全面风险管理的阶段。企业的风险管理和经营管理、战略管理一样,已经发展成为企业管理中一个相对独立的管理领域。企业风险管理分为两个部分:风险管理的组织体系和项目风险管理体系。电信企业则侧重重大项目的风险管理,风险管理的组织体系则对前者起到保障作用。电信项目风险主要包含了市场风险、技术风险、建设与运营风险、财务风险、政策与法律风险等几方面的因素。着诸多因素都影响着企业的良好运营,要保障企业能够平稳发展,风险管理工作在这些因素的作用下要尽量避免或者把风险最大化降低。
电信企业应设立专职部门进行风险管理工作,部门人员应履行以下职责:
一、研究提出全面风险管理工作报告;
二、研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
三、研究提出跨职能部门的重大决策风险评估报告;
四、研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控;
五、负责对全面风险管理有效性评估,研究提出全面风险管理的改进方案;
六、负责组织建立风险管理信息系统;
七、负责指导、监督有关职能部门、各业务单位开展全面风险管理工作。
企业其它职能部门及各业务单位在全面风险管理工作中,应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督,全面落实风险管理工作。
摘要:无论是出于经营环境的急剧变化或者企业自己本身的发展壮大,提高企业自身的风险防范及其应对的能力,已经成为当今企业管理的重心之一。企业内控与风险管理是密不可分的,它们之间有区别也有联系,既不能将两者完全隔离开来,也不能简单的将它们等同起来。本文中笔者结合自身多年的企业内部管理经验简要论述了基层企业内部控制与风险管理之间的关系,供相关人士参考。
关键词 :基层企业;内部控制;风险管理;关系探讨
一、企业内部控制和风险管理的具体含义
1.企业内部控制的具体含义
企业内部控制主要实行人为企业内部董事会以及相关的企业内部高层管理人员,其主要控制目标为增强企业自身整体的运营效果,提供出一种较为可靠的企业内部财务报告,同时这个过程必须在相关的法律框架内部进行。由此可见,企业内部控制工作主要由企业内部管理人员具体实施的,其根本性目的是保证企业相关经营活动的效率,财务报表准确性等相关活动而具体设计的过程。
2.企业风险管理的具体含义
企业风险管理就是企业内部各个层次的管理人员在日常工作当中实现对于企业潜在风险的分析,并制定出相关规避风险的策略,同时根据企业运行的实际情况做好企业偏好风险管理工作,全面保证企业运行的稳定性。
二、企业内部风险管理与内部控制之间的关系
企业内部风险管理与内部控制既有着不同点又有相同点,现详述如下:
1.企业内部风险管理与内部控制之间的不同点
首先企业内部风险管理工作和企业内部控制工作的具体外延和相关的内涵有着一定程度上的差别。企业内部控制工作按照其主要工作的方面可以分为五大部分,分别为:内部环境控制、企业内部相关活动的控制、企业整体具有的风险评估、企业内部的相关监控以及企业信息沟通与交流。而企业内部的具体风险管理在企业内部控制工作的基础之上增加了风险事件识别、目标设定以及设定针对性的风险对策等三个因素。由此可知,企业风险管理工作的整体层面相对于内部控制工作较高,在一定程度上将企业内部控制工作提升到了一定的战略层面上,也就为企业风险管理工作既包含了企业内部控制工作目标又增加了一定的战略意义目标。
其次,企业内部控制工作主要负责企业相关事情发展中及发展后的相关控制工作,其主要包括对于企业相关信息的监督交流、企业相关报告的评估以及对于相关错误的纠正等工作。而企业风险管理工作除了实施上述工作之外,还包含企业风险管理目标及风险管理战略的设定,同时企业风险管理工作还包括选择出适合企业发展的风险评估方式及实现风险管理工作人员的聘用等。由上述我们可以看出企业内部控制工作在一般情况下不会涉及到企业发展的相关目标,而企业内部的风险管理工作在一定程度上与企业目标制定有着一定的关系。
最后企业内部控制工作与企业风险管理工作具体的相关侧重点有一定的差别,例如:企业风险管理工作在一定程度上主要倾向于企业风险的预警、风险的偏好以及制定相关的企业风险规避策略等,这些功能在一定程度上是企业内部控制工作不能够达到的。
2.企业内部控制工作与企业风险管理工作之间的相同点
首先企业内部风险管理工作与内部控制工作有着一定的工作作用和较为相近的目标。企业内部控制工作主要就为降低企业在实际运行过程中的各种风险。同时,企业内部控制工作与企业风险管理工作最为根本的目标就是保护企业投资与资产,全面的实现在相关不利的情况下使企业能够更好的实现既定的相关目标。此外,企业内部管理控制工作与企业风险管理工作在具体的企业运行过程中都能够得到全面的体现。
企业内部控制工作与企业风险管理工作实施的主体均为企业内部的董事会及必要的企业管理人员,在进行具体的工作过程当中均比较重视全天的参与性,并且能够实现企业内部各个单位和部分应该承担的责任和相关义务,此外,两者在进行实际管理过程当中存在一定的管理重叠,有着一些共同的地方。
三、企业在具体实施风险管理与内部控制的过程当中应注意的相关问题
1. 企业风险管理工作与内部控制工作并非相互独立的两项工作
企业内部风险管理与内部控制工作人员一定要认识到风险管理工作与内部控制工作其根本上属于同一个系统,并非完全独立的。这就要求企业在自身发展的过程当中应从企业自身综合素质、科学技术条件及自身发展程度出发,合理的选择企业发展的重点所在。如果企业内部在进行实际经营的过程中其具有的相关风险比较大,则就要求企业在进行具体的实际的工作中,应保证企业风险管理工作主导整个企业内部的相关控制工作,而对于一些企业经营风险较少的单位,可以将企业内部控制工作作为企业发展的主导方向,并做到一定程度上兼顾企业风险管理工作,使两者做到相辅相成,共同保证企业长期稳定的发展。
2.企业风险管理工作与内部控制工作并非一成不变的在相关的调查中发现,部分企业内部对企业风险管理工作与内部控制工作有一定的错误认识,认为两者之间的关系是较为固定不变的,但事实并非如此,因为随着经济市场的不断变化,企业在实际的运行过程中所面临的市场也在不断的变化,这就导致企业发展的风险无时无刻不在发生着较大的变化,这就导致企业内部控制工作与企业风险管理工作之间的关系发生着一定的变化,因此在企业具体的运行过程中应当根据企业的具体情况,企业实际运行的风险,不断调整企业内部控制与企业风险管理工作。
3.构建完善的企业内部控制监督机构
要想全面的保证企业内部控制相关措施的有效实施,必须首先建立完善的企业内部监督机构,并且根据企业实际运行的情况,制定出符合企业实际的监督管理制度。例如,增强企业内部的监督与审计工作,全面提升企业内部审计工作的公平性与客观性。此外,应将整个企业审计工作的重点逐步实现与财务审计转向到全面设计管理工作上来,同时应当加强企业最终审计环节的监督,全面保证企业内部控制各个环节的有效实施,保证企业的可持续发展。
四、结束语
随着我国市场经济的再次发展,各个企业面对的竞争将会更加激烈,其整体潜在的风险将会更大,因此,企业内控工作和风险管理的相关人员一定要全面的认识到自身所肩负的责任和义务,不断提升自身的工作能力,全面的把握好企业内部控制工作与风险管理工作之间的关系,不断保证企业长期稳定的发展。
参考文献:
[1]王继中,李爱花.企业内控:借鉴、探索与推进———深圳市会计学会“实施企业内部控制规范学术沙龙”综述[J].会计研究,2011,02:94-95.
关键词:企业;内部控制;风险管理
一、企业内部控制风险管理存在的问题
对于企业而言,内部控制与风险管理是相互促进的关系,风险管理是内部控制的一个重要组成部分,风险控制则是内部控制的实质。但是从目前来看,很多企业在开展内部控制的过程中,实际上并没有重视风险管理,没有构建起完善的风险管理机制,导致其在开展风险管理的过程中,暴露出不少问题:
(一)风险管理意识不强烈
经济全球化背景下,企业面临着来自国内与国际市场的双重竞争压力,在经营管理中存在的不确定因素越来越多,风险管理工作变得尤其重要。但是很多企业缺乏强烈的风险管理意识,在开展内部控制的过程中,一味关注财务方面的问题,对于风险管理不够重视,管理人员没有能够真正认识到内控风险管理在企业发展中的重要性,更加没有意识到内控风险管理在提高企业经济效益方面的优势,在这种情况下,企业内部缺乏有效的内控环境,很容易忽视风险因素,对于风险的抵御能力严重不足[1]。
(二)风险治理结构不完善
完善的风险治理结构同样是企业开展内控风险管理的关键,但是现阶段,我国大部分企业并没有能够形成完善的风险治理结构,管理层依然是内部控制的主体,在这种情况下,企业的权力体系受损,内控制度的落实也变得困难重重。依照我国相关法律法规的要求,对于上市公司,需要设置完善的权力机构,如董事会、股东大会等,但是缺乏完善的法人结构,导致企业在设置权利结构的过程中,出现了机构职能重叠的情况。公司董事会对于企业经营发展目标的制定需要负一定的责任和义务,无论是董事会成员还是企业财务,都不能绕过董事会独立签订经营计划和投资方案,一旦出现这样的问题,就会对企业内控风险管理的有效性产生影响。
(三)风险控制体系不健全
在国内很多企业,都没有能够设置专门的风险管理部门,这也是风险管理工作无法得到顺利实施的主要影响因素。面对新的市场环境,企业在经营管理中存在很多的不确定因素,很容易诱发相应的风险和隐患,因此,需要设置专门的风险管理部门,做好企业风险的识别、评估、预测和应对,保障企业的稳定健康发展。而实际上,很多企业缺乏相应的风险管理意识,并没有能够形成健全的风险控制体系,影响了内控风险管理的实施效果。
(四)内部监管机制不合理
对于企业而言,完善的内部控制需要包含更多的规章制度,实现对企业内部工作人员的约束,以此来保证内部控制的效果,促进工作效率的提高。在制定和实施内部控制制度的过程中,要求企业领导和监管部门将监督管理的作用切实发挥出来,这样才能保证内部控制的执行力度和风险管理的实施效果。受不合理的内部监管机制的影响,监督部门与其他相关部门之间缺乏有效的沟通联系,本身的监督作用无法得到有效发挥,加上工作人员法律意识淡薄,在工作中存在非常严重的形式化问题,很容易给企业带来内部控制风险[2]。
二、企业内部控制风险管理机制的构建及完善策略
(一)树立内控风险管理意识
市场经济环境下,风险管理是企业内部控制中一个非常重要的环节,会对企业的经营风格产生直接影响,更关系着企业发展目标的顺利实现,能够将企业经营管理中的价值观念充分体现出来。基于此,企业管理层应该树立起相应的内控风险管理意识,以更加积极的态度去应对企业在经营管理中面临的各种风险。风险管理观念和意识是企业对于风险的认知与态度,要求企业全体员工的广泛认可,才能切实实现对风险的评估和应对。在开展内控风险管理的过程中,企业应该做好宣传工作,构建起相应的内控风险管理环境,确保所有员工都可以形成对于各类风险的清醒认识,自觉提升风险意识和危机意识,使得其在日常工作中能够及时发现和上报风险,为风险的管理和防控奠定良好基础。
(二)完善内控风险治理结构
企业在开展内控风险治理的过程中,需要具备完善的法人治理机制,在董事会、经理层和股东大会之间形成相应的权力制约体系,确保其能够实现相互制衡,协调运转。完善的内控企业治理体系应该包括业务执行系统、民主管理系统和内部监督系统等,需要将董事会的作用最大限度地发挥出来,对其监督核心地位进行肯定。同时,应该强化独立董事对于企业的监管力度,将其薪资待遇与企业风险挂钩,从法律层面明确独立董事的责任,提升其专业素养,构建起完善的人才库,确保企业能够依照自身的实际需求进行人才挑选。另外,在企业经营管理活动中,对于一些特殊事项,可以成立专门的管理委员会,挑选专业人才来对相关问题进行处理。例如,企业可以设置风险管理委员会,帮助企业开展风险识别和风险防范工作,于其职责范围内,采取切实可行的措施和方法,完成风险传递工作,做好金融工作风险的评估,提升企业内部控制的有效性。
(三)健全内控风险应对体系
在针对企业风险事项进行识别的过程中,企业应该高度重视风险管理,做好风险的识别预警,从自身的实际情况出发,采取有效的风险应对措施,构建起健全的内控风险应对体系,以此来确保企业战略目标的顺利落实。同时,管理层需要对企业风险进行细化,将其分为业务层面风险和公司层面风险,从企业风险的诱发因素着眼,将风险分为内部因素诱发的战略风险、组织风险财务风险,以及外部因素诱发的法律风险、市场风险和政策风险等。企业必须结合自身实际情况,采取切实可行的措施和方法,做好风险分析及识别,通过定量分析的方法,对潜在的风险隐患进行识别判断,以此来实现自身的可持续发展。
(四)注重内控风险监督管理
无论是内部控制制度还是风险管理机制,想要在企业中得到有效落实,就必须将监督部门的作用切实发挥出来,制定出完善的内部审查制度,充分保证监管部门工作的独立性,在获取企业领导支持的同时,也应该对可能存在的管理不到位或者职权滥用问题进行防范,配合有效的监督管理,保证良好的工作效率。从监督部门的角度,应该立足企业发展情况,制定出有效的风险管理措施,开展有效的风险评估,聘请专业的法律顾问提供法律指导,以此来保证内控风险管理的合法性。同时,企业应该建立起相应的风险评估机制,为风险识别工作奠定坚实基础,确保任何一个项目都能够经过相应的风险识别和评估,这样能够帮助企业认清自身在经营管理中存在的机遇和风险,提升管理决策制定的合理性和针对性,以此来实现风险的有效规避,减少不必要的经济损失[3]。
三、结语
总而言之,社会主义市场经济环境下,企业面临着新的机遇以及更加严峻的挑战,想要实现自身的稳定健康发展,应该做好内部控制工作,强化对于各类风险的防范和应对,降低风险发生的几率以及造成的影响。越发巨大的竞争压力,要求企业要加快财务风险管理体制的建设和执行,在确保企业自身经济效益的同时,引导员工树立起相应的风险意识,以此来营造出良好的企业内部环境,强化员工对于风险管理的意识和能力,确保企业可以更加从容地应对激烈的市场竞争压力,实现自身的可持续健康发展。
参考文献:
[1]刘璟威.企业内部控制在财务风险管理中的应用分析[J].企业改革与管理,2019(02):149-150.
关键词:内部控制风险管理风险导向
中图分类号:F270.7 文献标识码:A
文章编号:1004-4914(2010)09-020-02
在1992年《企业内部控制――整体框架》报告的基础之上,结合《萨班斯――奥克斯利法案》(Sarbanes―Oxley Act,以下简称萨奥法案)的相关要求进行扩展研究,美国科索委员会COSO在2004年正式《企业风险管理――整体框架》,指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更广泛的管理概念和工具。”该框架对内部控制的内涵进行了扩展:监督成为企业风险管理的要素之一,对企业风险管理进行监督以确定企业风险的运行是否有效,监督对象在目标、方法、内容等方面进行了扩展,但仍然遵循了内部控制监督的基本原则和方法。COSO委员会于2009年1月了《监督内部控制系统的指南》(Guidance 0n Monitoring InternalControl Syslems,以下简称监督指南)。该指南以风险导向为核心理念,以将监督有效地植入公司的持续控制过程为根本目标,从而能最小化内部控制失败,并提高决策所需信息的可靠性,它在实质上推动了内部控制监督要素的应用性发展。我国自2009年7月1日起施行《企业内部控制基本规范》,也强调了风险管理。
但是,很多研究结果表明,当前的内部控制框架有一定的局限性,尤其是对风险管理的强调不够,使企业的内部控制与风险管理无法有机结合,所以应该加强基于风险管理的内控。
一、内部控制和风险管理基本理论
1.内部控制理论。内部控制是指被审计单位为了保证业务活动的有 效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督。
内部控制理论是内部控制框架和标准制定的基础,在整个内部控制体系中起基础性作用。在我国,吴水澎,邵贤弟,陈汉文(2000)、杨雄胜(2005,2006)、潘琰,郑仙萍(2008)、毛新述,杨有红(2009)等从不同的视角对内部控制理论进行了探讨。谢志华探讨了内部控制的本质和结构,陈关亭讨论了企业内部控制的假说。
2.风险管理理论。(1)风险的概念。人们在特定客观条件下和特定时期内,对于某一事件或行为产生的预期结果与实际结果之间的差异程度就是风险。这种差异程度在本质上体现了预期主体之间的价值调整。(2)风险的特征。风险的主要特征包括:风险是客观存在的,风险是相对且可以变化的,风险是可以预测的,风险在一定程度上是可以控制的,风险损失与风险价值的对立统一性。(3)风险管理理论。风险管理是企业在识别风险、分析风险、衡量风险的基础上寻求有效控制风险的途径,并用最经济合理的方法来处置风险,以实现最大安全保障的科学管理方法。
企业风险管理的目标是通过对企业的风险进行控制和管理,尽可能使得某一风险事件或行为造成的损失比预期小,创造的价值比预期大,即风险溢价最大化。设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。企业风险管理目的在于企业同标的实现,保证股东财富的最大化。
二、内部控制、风险管理之间的关系
内部控制与风险管理并非平行的关系,应该说内部控制是风险管理的一个重要组成部分,而风险管理则是内部控制的发展和延续。内控主要是针对常规性风险,风险管理主要针对非常规性风险。
理论界和实务界对内部控制与风险管理的关系观点不一,目前具有代表性的三种观点是:内部控制包括风险管理;内部控制就是风险管理;风险管理包括内部控制。
1.内部控制包括风险管理。COCO的报告认为,风险识别、风险评估、风险应对、风险监控是企业内部控制的关键要素。CICA(1998)阐明了风险管理和内部控制之间的关系,即内部控制包括风险管理。
2.内部控制就是风险管理。Blackhum(1999)认为风险管理与内部控制仅仅是人为的分离,在现实的经营活动中,两者是相同内容的不同表达形式而已;Matthew Leitch(2004)认为,理论上风险管理系统和内部控制系统没有实质上的区别,随着这两个概念的内涵不断外延,两者正趋同一致,即内部控制就是风险管理。陈关亭(2005)认为风险管理与内部控制并不是包含关系,而是完全等价的。
3.风险管理包括内部控制。美国科索委员会COSO于2004年正式的ERM--IF表明了内部控制是风险管理不可分割的一部分。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。2009年的《监督内部控制系统的指南》也体现出了类似理念。通过分析,笔者倾向于第三种观点,认为风险管理的范围大于内部控制,且二者逐渐在融合。原因主要在于:(1)按风险管理和内部控制的发展进程来看,内部控制早于风险管理;(2)COSO于2004年9月正式颁布的ERM--IF指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更为广泛的管理概念和工具。”所以,在当前大力提倡建立完善的内部控制的大环境下,必须要基于风险管理来开展。
根据上述分析,企业风险管理和内部控制融合关系框架如图l所示。从图中我们可以看出:内部控制、风险管理之间的关系非常密切。因此,必须把这两者融入企业日常的经营管理之中,充分考虑在实现企业战略目标过程中的风险,并针对风险采取有效的措施加强内控控制。
企业实现管理目标的前提是防范风险,防范风险的内在机制在于内部控制。目前,我国内部控制制度及实施情况仍然比较落后,还存在着许多问题。
1.风险管理与内控脱节。一些企业由于风险问题而损失严重,甚至倒闭,不是因为没有内部控制体系、风险控制制度,而是根本就未有力执行,公司治理控制没有很好地发挥作用,治理层风险意识单薄,人员职业道德偏低,从而未起到强有力的制衡作用,导致管理层无视企业的制度,按自己的意图肆意妄为。这有待于通过改善公司治理结构、强化外部监管来强制企业按制度办事,并针对违规行为制定严厉的惩戒措施来逐渐改善,使得风险管理与企业的内部控制有机结合。
2.企业缺乏良好的风险管理及控制环境。我国企业对风险管理的重视程度不够,普遍缺乏足够的风险意识和风险管理文化,企业及高管很少具备进行风险管理所需要的科学知识结构,企业存在的环境是风险管理的基础,为其他要素提供合理的氛围。在实践中,内部环境受企业历史
和文化的影响,具体包括企业员工的道德观和胜任能力、员工的培训、管理者的管理风格和经营哲学、企业文化等。在风险管理过程中,治理层、高管层和基层必须保持高度的风险意识和遵守业务工作流程,因为在风险面前,任何一个疏于坚持原则的行为或判断,都很可能导致控制失败,给企业带来巨大的损失。我国很多企业发生风险管理失败的重要原因之一是缺乏高度的风险意识和坚定的原则操守,这很大程度上是由于缺乏关注风险管理的企业文化等内部环境。制度规范、市场等企业生存的外部环境也是影响风险管理和内控实施的重要因素。
3.监督机构不健全,独立性不强。要确保内部控制制度被切实地执行且执行的效果良好,必须有良好的监督约束机制。内部审计机构在其间发挥着重要的内部监督作用。为此,审计署颁布了《关于内部审计工作的规定》,批准公布了《内部审计准则》,以加强内部审计在内控中的监督作用。由于内部审计机构的独立性及监督能力受到管理体制、外部干预等多种因素的影响,所能发挥的监督作用有限。许多企业的内部审计部门形同虚设,不独立于企业的其他部门,不具有监督所应有的权利和地位,内部审计人员的素质参差不齐,有些企业的内部审计人员甚至不具备最基本的财会知识,因此,行使监督职能时就会力不从心,不少企业的内部审计仅仅流于形式,大多数不能发挥其应有的作用。
4.缺乏有效的风险评估体系。目前我国企业内部控制评价主观性大、评价标准不统一、风险评估体系不完善,没有形成一套有效的风险评估体系对风险进行评估。对风险的识别和衡量更多的是依赖经验,模型分析和量化分析较少,找不到关键控制点,这导致企业风险管理及控制徒有虚名,给企业运营带来严重后果。
5.信息和沟通渠道不畅通。企业的各个部门,以及企业与外部不能进行有效沟通,不能及时获取有用信息会妨碍风险管理和控制。尤其是在当前信息化和网络化快速发展的时代,会导致很多信息的流失,这都会导致风险管理和控制措施不能有效地实施。
四、完善我国企业内部控制的措施
1.强化风险管理在我国企业内部控制中的核心地位。随着我国制度和规范的健全,我国企业的内部控制不是缺乏制度和政策。而是缺乏让制度得以执行到底的风险措施或流程。工作流程的根本任务就是将技术和人有效运作在企业组织之中,从而推进企业的技术性(技术、标准、程序、结构等)和社会性(行为规范、企业文化、激励和约束机制等)发挥整体绩效的功能。企业在制定工作流程时可以将企业的制度和执行人有效地衔接起来,从而增加工作的价值,提高工作效率,并能减少错误降低风险。所以,在当前必须要强化风险管理,否则有效的内控也难以实现。
2.完善良好的企业风险管理和内部控制环境。企业环境通常包括企业文化、治理结构、人事政策、权利和责任的分配、外部影响等,其中企业文化是核心竞争力的核心要素。完善企业环境可以从以下方面努力:(1)建立健全组织结构。组织结构提供了企业活动的筹划、执行、控制以及跟踪检查的框架,它包括权责范围以及管理层次。各组织机构的人员配备要注意职责划分。(2)加强人力资源管理。培养风险管理专业人才队伍;提高每个员工的风险控制责任感和敏感度,尤其是高管层;大力培养员工的职业道德和职业操守。企业内外经济环境和社会环境发生变化时,企业文化也应该不断的完善、调整和升华,从而适应新的环境、条件和组织目标,保证企业文化充满生机和活力。
3.健全企业风险导向下的内控监督机构。有效实施内控,要做到有效监督。监督要以风险为导向,把焦点放在评估那些应对重大风险的控制。监督应该要建立在对企业目标风险的分析以及对控制如何能够或不能够应对或减轻这些风险的理解基础上,在整个监督流程中需要始终贯穿风险导向原则。健全企业的内部审计监督机构要做到:1.进一步提高内部审计的独立性,保证审计的客观性和公正性;2.推进审计内容由财务审计向管理审计转变,管理审计可以优化企业的管理流程和提高企业的内部控制水平;3.审计时点要重视事前和事中审计而非仅仅事后审计,做到对整个过程进行审计,真正做到防范风险;4.严格执行审计决定。审计决定是对具体审计项目的总结,在经过企业领导批准后应及时送达被审计单位执行,被审计单位应严格执行。这样内部审计监督机构可以及时、准确、客观地发现和反映项目投资、业务合作、资产处置、财务状况分析等环节中存在的问题,更重要的是能提出具有可行性的审计意见和建议,为解决问题提供决策依据。
4.完善企业的风险评估体系,建立风险动态评估机制。控制和风险的概念紧密相关’风险评估是进行内部控制的依据。完善企业风险评估体系应遵守的原则是:定性与定量相结合原则、成本收益原则、重要性原则、全面性原则、有效反馈原则和灵活使用原则。风险评估主要报告筹资风险、投资风险、信用风险、合同风险。企业应在立足于自身情况的同时,构建恰当的评估模型,按照一定的风险评估过程进行评估,基本过程如图2。
风险评估体系确立了企业各种行为的边界,明确了什么可以做,什么不可以做。如果发现有越界行为,要能及时发现并对其进行控制,把损失降至最低。而且,在评估过程中要做到根据具体的情况,实时评估,建立动态评估机制以此反映不断变化的新情况。
5.建立广泛、全面的信息和沟通系统框架(1)信息系统。信息系统处理企业内部信息和外部信息。通过管理信息系统,企业内部的员工能够清楚地了解内部控制制度,知道其所承担的责任,并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。一个良好的信息系统+应有助于提高内部控制的效率和效果。企业应按控制系统的需要识别使用者的信息需要,在此基础上收集、加工和处理信息,并将这些信息及时、准确地传递。(2)沟通。企业的信息系统提供有效信息给适当的人员,通过沟通,使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。
关键词:高校内部控制;风险矩阵;风险管理
一、内部控制与风险管理
1992年,COSO委员会了《内部控制———整合框架》,对内部控制理论和实务操作产生了重大影响。继而,在2004年,COSO在内部控制框架的基础上形成了《企业风险管理———整合框架》,对风险管理理论及其同内部控制间的关系带来新的观点与提升。COSO认为内部控制是风险管理不可分割的一部分。在我国,企业内部控制规范体系将内部控制和风险管理融为一体。内部控制和风险管理均经历了自身的理论体系创新及实务操作发展,内部控制由传统的内部牵制制度逐步发展到以风险为导向的内部控制整合框架,风险管理也由分散的财务、经营、战略风险管理逐步发展为整合风险管理。两者的发展具有高度的倾向一致性,内部控制实施有赖于风险管理技术方法,风险管理离开内部控制这一手段支撑也将流于形式。由此,基于风险管理理念的内部控制制度建设,无论是从战略目标实现的目标导向,还是从过程控制的技术支撑,乃至内部控制机制的管理理念都较脱离风险观念的内部控制制度建设更具优势。
二、企业风险管理理论
在经营管理过程中会遇到各种事件,这些事件可能对企业产生不利影响和有利影响。产生负面影响的事件代表了风险,产生正面影响的事件能抵消不利影响或为单位带来机会。风险管理就是对上述风险和机会的管理。基于风险管理理念的高校内部控制建设主要内容就是分析经济业务活动的风险,识别风险点,然后综合运用风险控制方法。良好的风险管理工作开展,往往以完善的风险评估工作机制建设为起点,按风险评估四步骤目标设定、风险识别、风险分析及风险应对展开,进而构建更有效的内部控制管理制度。企业风险管理过程中对风险识别采用了头脑风暴、SWOT分析、问卷调查等方法,并结合风险发生可能性及严重程度,利用敏感性分析法、行业标杆比较法、VAR法、风险矩阵法等技术手段对风险进行风险分析,给出风险规避、风险降低、风险分担和风险承受四种风险应对策略。风险矩阵分析法将企业面临的风险划分为:高风险高几率的“红灯区”,高风险低几率以及低风险高几率的“黄灯区”,低风险低几率的“绿灯区”。针对不同类别,风险管理理论提出了红灯区风险规避、黄灯区风险降低或风险分担、绿灯区风险承受的应对策略。
三、高校内部控制建设情况
相对企业而言,高等学校内部控制制度建设相对滞后。目前,在我国企业内部控制规范体系由基本规范和配套指引构成,自2008年的《企业内部控制基本规范》以来,针对企业内部控制已了18个应用指引、评价指引和审计指引等。高等学校内部控制可遵循的纲领性文件仅有2012年印发的《行政事业单位内部控制规范(试行)》。因此,从制度建设上,高校内部控制建设工作还相对不够成熟。从内部控制建设范畴来看,高等学校内部控制建设还不够全面。行政事业单位内部控制将控制客体界定为单位经济活动的风险,诸如预算、收支、政府采购、资产管理、建设项目等;非经济活动的风险暂时还未纳入行政事业单位内部控制的范围。从实践应用方面来看,高校内部控制建设工作也不够完善。首先,高校战略管理思维贯彻不够,发展战略研究和规划还不到位;内部的治理结构、机构设置、权责分配、监督机制不能为内控建设提供有效运行的体系。其次,控制方法相对单一,高校内部控制控制方法主要以岗位设置、权限控制、预算控制等以“内部牵制”理念为基础的传统方法,诸如绩效考核控制、分权控制、现代信息控制等方法的运用还不够成熟。最后,高校内部控制建设过程中,风险管理理念及风险分析的意识还不够,作为内部控制未来发展方向基于战略目标的风险管理内部控制建设还没有有效体现。正是由于高校存在诸如上述的战略目标弱化、风险管理意识淡化、控制方法单一等种种不足之处,笔者基于企业内控风险管理理念对高校内容建设提出建议。
四、企业风险管理理念在高校内部控制中的具体应用
(一)风险评估工作机制的建设
高校应成立风险评估工作小组开展经济活动风险评估,风险评估小组由高校主要负责人、主管财务的校级领导担任组长。风险评估小组的日常工作机制应强调多部门间的协作,可以单独设置内控部门,也可以成立跨部门的工作小组。内部控制建设是一个系统工程,高校各职能部门应加强合作联系。动态工作机制,高校外部环境、经济活动、管理要求一般相对稳定,但为更及时发现各类风险,高校也应当建立经济活动风险定期评估机制,对学校自身的经济活动存在的风险进行全面、系统和客观的评估。风险评估动态机制可结合“五年规划”展开全面性评估和局部评估。
(二)风险评估及管理建议
1.建立与学校发展战略目标一致的风险管理目标
在明确单位发展战略和内部控制目标的前提下,识别自身潜在的风险是内控建设的基础和起点。因此高校内控建设首先明确战略目标,并在内控建设过程中坚持围绕战略目标。高校作为提供公益的事业单位,充分利用掌握资源,高效率的输送人才和社会服务是其主要职责,也是其战略目标。在履行职责中,因软硬件、历史发展等导致资源差异也会产生诸如国际一流大学、应用技术大学建设的个性化战略目标,这也是基于自身资源而提出的差异性合理战略目标。这些均与行政事业单位内部控制目标“提高公共服务的效率和效果”一致。因此,无论从制度建设角度,还是从实践角度而言,内控建设目标服务于高校自身战略目标均必须的。
2.不同层面的风险识别、分析及应对
高校可以从单位层面及业务层面两个层次上对自身的内部控制风险进行识别,并利用风险矩阵进行分析。(1)建设高效完整的内部控制架构高校内部控制在制度建设、组织支撑、控制范围、以及工作机制等方面存在一定不足。高校可以借助业已成熟的企业风险管理理念和方法,建立新型的高校内部控制架构,制度层面上充分参照企业风险管理理念下的内部控制制度。组织层面则需要突破想法,高校管理的顶层设计理念是党委领导下的校长负责制。因此,内部控制建设不单单是高校行政部门的事情,议事决策机制、岗位设置、机构设置等均由党委进行顶层设计。在控制范围角度,高校沿用行政事业单位内部控制所关注的经济活动,为提升利用公共资源的效率,高校也应关注影响学校发展战略实现的其他非经济活动,如学科发展规划、专业建设规划、人才建设等。在工作机制方面,高校内部控制应该在时间上强调全过程控制,利用信息化手段,实施过程动态监管,坚持以风险管理为主线实施内部控制。制度建设、组织支撑、控制范围及工作机制是内部控制得以有效实施的重要保障,其中尤以组织支撑更为重要,因为议事决策机制、岗位设置、机构设置均对内控有效实施具有决定性的影响。以当前高校实际情况来判断,当前高校内部控制环境建设中,制度建设、控制范围、工作机制属于低风险低几率的绿灯区,属于可承受范围;而组织支撑则属于高风险低几率的黄灯区,应采取风险降低的策略,重点通过建立相互牵制的岗位设置、监督组织体系来降低风险。。(2)建立针对性强的业务层面风险控制近年来,行政事业单位会计制度建设得到长足发展,高校、医院作为行政事业单位中业务复杂的代表,会计及内部控制改革均走在前列。同时,高校作为人才相对密集的单位,内部控制工作制度建设相对比较完善。但在实际发展过程中,高校内部控制业务层面仍存在一些问题,这些问题不仅仅存在于经济活动方面,非经济活动方面也应投入关注。当前,高校经济活动风险比较突出的业务主要集中在采购招投标业务层面。采购招投标业务即涉及了体量较大的基本建设工程,也涉及到日常大额的资产、服务采购支付。因为涉及的资金较大,寻租空间大,容易滋生腐败,给高校带来的损失也往往比较巨大。因此采购招投标业务建设应作为高校内部控制的重点建设内容。从重要性和实际发生几率来看,采购招投标业务控制属于高风险高几率的红灯区范围,应对策略采用风险规避策略。具体将应严格按照管办分离(采购审批和采购实施分离)、重点岗位轮岗制度、招标业务外包等方式,降低风险进而规避一些实际操作中的风险。高校经济业务比较复杂,既有财政拨款收支,也有带有公益性质的自筹运营收支,因此预算及收支管理业务也是内部控制重点管控对象。高校预算工作主要问题存在于预算执行方面,诸如预算执行进度难以达到预期,项目经费不能做到专款专用,预算超范围开支,预算列支真实性欠缺等。在收支方面,存在的问题主要有:资金结算不符合规定、收入不及时或存在小金库现象、票据开具不规范、存在虚假列支问题等等。在上述收支业务中,对于单位整体而言,上述收支业务给单位带来的损失及几率属于低风险高几率黄灯区范围,应采取风险降低的策略,做好日常规范化管理工作以降低风险。资产管理是高校内部控制中比较薄弱的环节。有的高校还未理顺资产管理组织框架,存在多头管理的问题,有的高校虽已理顺管理框架,但日常管理比较薄弱,主要体现在资产盘点、出入库管理、标准化管理等。高校资产融合教学、科研、对外服务等多方面职能,教师等个体对资产存放有较大的掌控权,因此资产分布情况复杂。很多高校资产盘点受限于传统手段,盘点多以自查结合抽查的方式展开,现场盘点有时流于形式,存在较大的资产流失风险隐患。出入库管理方面,高校库存管理较企业存在较大差距。企业对存货管理从经济效益角度及安全角度均建立了较完善的制度,而我国很多高校的存货管理基本缺失,存货采购忽视效益,无统一的存货管理仓库,出入库流程流于形式。资产标准化管理则主要体现资源效益问题,高校预算管理多采用项目制,项目经费开支由负责人掌控,由此导致资产采购标准差异较大,经费多的采购标准较高,从而造成资源浪费。资产管理业务属低风险高几率业务,应采取加强资产管理措施以降低风险。非经济业务风险主要为决策不能同自身战略目标相结合。高校应结合自身资源及所处宏微观环境,凸显自身优势特点确定符合自身的发展战略,不应盲目地按照专科-教学型本科-研究型本科的传统思路发展,发展战略一定要体现出高校自身发展特色,经过充分论证确定。经论证后,发展战略不应轻易改变,尤其是不受到高校领导层的变更而轻易发生改变,高校的人才发展战略、学科建设方向、专业设置等均应服务于实现战略目标而开展。
综上,风险管理理念侧重发现内部控制过程中的重点关注对象和薄弱点,将该理念应用于高校内部控制建设过程更多是一种理念上的更新,改变传统内部牵制设置的设计理念。正式基于风险管理理念,高校在内部控制建设过程中应加强战略管理、采购和招标管理等重点建设内容,同时针对预算收支、资产管理等建立一个动态的风险评估理念,适时调整控制力度,以更好地建设高效的内部控制制度。
作者:郭长安 单位:宁波工程学院
参考文献:
[1]沈烈.论高校内部控制的转型与创新[J].高等教育研究,2010(12).
关键词:全面风险管理;内部控制;问题;对策
中图分类号:F232 文献标识码:A 文章编号:1001-828X(2012)08-00-02
一、全面风险管理与内部控制
人们通过多年来在风险管理的运营中意识到,不同部门或不同业务能够使得企业的风险叠加放大或者抵消减少。所以,企业就不能仅从单项业务、单个部门的角度考虑运营风险,其运营者应具有风险组合的意识,把企业视为整体,从贯穿整个企业的角度看风险,即要实行全面的风险管理(Enterprise Risk Management,简称ERM)。
根据ERM框架,“全面风险管理是一个过程,这个过程受董事会、管理层和其他人员的影响。此过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并实施风险管理,使之在企业的风险偏好之内,从而能够确保企业取得既定的目标。”ERM框架有三个维度,第一维度是企业的目标;第二维度是全面风险管理要素;第三维度是企业的各个层级。总括下来,全面风险管理涵盖了市场风险、信用风险、战略风险、声誉风险、操作风险及业务风险等各种风险。
面对风险管理,有个概念是必须要提到的,即企业内部控制。风险管理与内部控制有什么差别和联系呢?内部控制与全面风险管理的差异为:(1)两者的范畴不一致。内部控制仅是管理职能中的一项,主要通过过程和事后的控制来实现其自身目标,而全面风险管理则贯穿于管理过程的各个方面,更重要的是在事前制订目标时就充分考虑了各项风险的存在。(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含风险管理目标的设定、风险评估方案的选择、有关的预算和行政管理、管理人员的聘用以及报告程序等活动。而内部控制所负责的仅是风险管理过程期间及其之后的重要活动。(3)两者对风险的对策不一致。全面风险管理框架引入了风险容忍度、风险偏好、压力测试、情景分析、风险对策等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,使得风险、增长与回报相互关联,从而为董事会和高级管理层提供经济资本分配利用的决策,实现全面风险管理的目标。这些内容都是现行的内部控制框架所不能做到的。二者之间的联系:(1)内部控制的行为属于全面风险管理的范畴。COSO框架中明确地指出全面风险管理体系框架包括内控,将之作为一个子系统。(2)内部控制是全面风险管理的重要环节。内部控制的动力源自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。
目前,从国际国内发展趋势来看,随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。本文主要从财务风险、市场风险、操作风险、法律风险及业务风险等全面风险管理几个方面来探讨进行内部控制时存在的问题及解决对策。
二、全面风险管理内部控制存在的问题
1.缺乏充分的信息支持
企业现有风险管理多为事后控制,缺乏主动型,对风险缺乏系统的、定时的评估,缺少积极的、主动的风险管理机制,不能从根本上防范重大风险以及其所带来的损失。风险管理缺乏充分的信息支持,尚未形成企业的风险信息标准和传送渠道。企业内部缺乏对于风险信息的统一认识,风险信息的传递尚未有效的协调和统一,对于具体风险,缺乏量化和信息化的数据支持,影响决策的效率和效果。尤其是我国中小企业,绝大多数缺乏系统、整体的考虑风险组合与风险的相互关系,在全面风险管理体系执行之前,这些数据并没有被统一集中地处理,而是散落在各个业务流程或业务单元中。有的中小企业还将会计与财务职能划分不清,不设立对财务活动进行评价分析与控制的专门机构。还有的中小企业没有健全的会计核算体系,会计资料不齐全、不规范,因而使得财务风险评价与控制所依赖的财务会计信息不全,无法进行事先的评价与防范。
2.缺乏法律风险控制意识
市场经济是契约经济、是陌生人的经济,企业经营中最大的风险不是经营风险,而是法律风险。企业的法律风险被很多企业家理解为“违法风险”。其实这并不是企业法律风险的全部,另一种法律风险的表现就是企业的投机风险。很多企业的破产正是由于过度扩张、无视法律、法规,不依法、规范投资经营规模导致的。而这也正是企业法律风险意识的缺失,过度的投机心理带来的苦果。
很多企业的投机行为、盲目扩大经营规模的行为,是缺乏法律风险防范和控制意识的,没有做到以“事前控制”为核心理念,让法律服务深入介入到企业的重要经营活动,没有真正的使企业逐步从“人治”转向“法治”,以企业家个人意识为决策重心的传统观念没有彻底打破。虽然许多公司知道法律顾问的重要性,但实际上,很多企业都是没有形成建立内部法律业务部门和聘请外部常年法律顾问的意识,没有充分认识到企业法律风险预防与控制的重要性。他们只是在企业遇到官司时才想到找自己的顾问律师,以致顾问律师的作用仅限于帮企业打官司,而企业也因此丧失了很多应有的商机或惹来了很多不必要的麻烦。
3.内部审计缺乏独立性
内部审计缺乏独立性,主要表现在:内部审计机构缺乏独立性;内部审计人员缺少完整的独立性;内部审计经济上缺乏完整的独立性。
内部审计机构是指负责监督机构的审计和控制工作的治理层。内部审计委员会是内部审计工作是否独立的首要屏障。而内部审计委员会的人员构成则是其发挥作用的关键所在。当前,我国内部审计委员会构成层次过于单一,人员之间没有相互制约关系。由于现行管理体制的落后和对内部审计人员的定位缺失,使得内部审计人员在开展工作的过程中缺少完整的独立性。内部审计人员作为单位的成员,他们的工作、工资、其它福利等受本单位企业有关负责人的支配。这就使得内部审计人员在履行其监督和评价职能时有很多的顾虑,当企业领导授权、批准的经营行为违反有关法律法规,或不符合经济效益原则时,内部审计人员出于自身利益的考虑,往往表现得无能为力,影响了内部审计人员的独立性。
另外,目前内部审计机构中的审计人员有很大一部分由会计或管理人员兼任。这种状况导致内部审计人员在制定审计计划、实施审计程序、出具审计报告时往往受到各方面利益的牵制,难以开展独立的审计活动。另外,由于领导的重视程度不够,内部审计被不切实际的精简,人员队伍不稳定,从而使内部审计人员对在审计部门的前途缺乏信心,严重影响了内部审计人员的独立性。内审人员在审计中由于社会压力、经济利益、私人关系、熟悉程度、文化、种族与性别歧视、认知偏差等种种原因失去“客观性”立场。
4.人员素质影响内部控制力度
内部会计控制制度主要是由人来建立,并且通过人来执行,因此,企业人员素质将会决定企业内部会计控制制度执行的相关效果。如果是企业的员工在心理上、技能上以及行为方式上没有达到内部控制的相关要求,对内部控制的程序或者实施措施产生了误判,那么即使是再完善的内部控制制度也难以充分的发挥其作用。内部会计控制制度作为企业管理的重要组成部分,需要按照管理人员的意图才能运行,因此,难以避免内部管理人员、营私舞弊的行为发生。尤其是现如今的很多中小企业,都是从以往的家族企业演变而来的,内部环境非常复杂,它们仅仅是受到市场经济的影响后,才开始注册正规的公司。这类企业存在着先天的不足,同时也存在着后天的缺陷,由于人员复杂,经常录用领导的亲戚朋友,而恰恰他们的水平又达不到要求,制约了企业的发展。而且存在着人员配备不合理,人员素质不高的现象。
三、全面风险管理内部控制体系运行保障
1.建立一套完善的财务管理信息系统,及时对财务风险进行预测和防范
一方面是要加强对电子信息系统本身的控制。随着电子信息技术的发展,企业利用计算机从事经营管理越来越普遍,除了会计电算化和电子商务的发展外,企业的生产经营与购销储运都离不开计算机。为此必须加强对电子信息系统的控制,包括:系统设备、数据、程序、网络安全的控制、系统组织和管理控制、使用开发和维护控制、文件资料控制及日常应用的控制。另一方面,要运用电子信息技术手段建立控制系统,运用数据库建立科学的风险评估预警体系,减少和消除内部人为控制的影响,确保内控的有效实施。
2.成立法律顾问
充分认识到企业法律服务是为企业创造价值的服务,而不是为企业减少损失的服务。要转变思想观念,运用法律手段,化解企业法律风险、提高市场竞争力,依法建立和完善企业内部和外部法律风险预防与控制机制。企业法律风险的预防远远不止于帮企业打官司,或者审查合同。一个称职的、优秀的顾问律师为顾问企业提供的法律服务已不在于为顾问单位发生纠纷、损失后进行亡羊补牢式的诉讼救济,而在于为顾问单位及时提供有针对性的、超前的、防患于未然的专业性法律安全保障体系,尽量避免纠纷、损失的产生,从而降低企业的法律风险。
3.实现内部审计独立性
实现内部审计的独立性包括实现组织上的独立和精神上的独立两个方面。组织上的独立是指在组织结构中要给内部审计提供一个良好的工作环境,精神上的独立是使内部审计人员保持客观性。
要保持内部审计的独立性,应该从以下几个方面努力:内部审计部门必须取得领导的支持,拥有良好的组织条件,这样他们才能独立地开展工作;内审部门经理必须能和董事会直接交流信息;内审部门经理的任免应由董事会确定;单位应当制定一个正式的章程,以书面形式确定内审部门的宗旨、权力和职责,并获得高级管理层的批准和董事会的确认,在章程中,单位必须明确内审部门在组织结构中的地位、工作范围,以及在审计过程中有权检查的相关记录、人员和实物资产。这样,章程赋予内部审计相关的权力,保障了内部审计工作的权威性;内审部门经理应当每年制定年度审计项目计划、人员计划和财务预算,以书面形式报高级管理层批准,并报董事会备案;内审部门经理应适时向高级管理层和董事会提交书面工作报告。要保证内部审计的独立性,还要求内审人员在执行审计工作时,必须在精神上是独立的,在道德上是正直的,对有关审计事项的判断和决定不屈从于他人的意志,不受他人的干扰,对审计结果不作重要的质量妥协,保持客观性和职业操守。
4.改进和完善内控制度,加强内部监督
不断完善内控制度,以应对外部环境变化和正视自身实际情况,确保企业在治理结构、内部机构设置和运行机制等方面符合现代企业制度的要求。拟定、修订、完善制度的管理部门,要深入生产线,紧密结合生产经营特点,制度在修订和完善中才能符合生产,贴近实际。要有计划、有针对性、有目标地组织新修订制度的培训和学习。教育员工认真分析总结本公司内控制度和管理流程中优势和薄弱环节,优化操作流程,减少摩擦、重复和遗漏。加强公司监事会、审计委员会、审计监察部等部门建设。监事会负责对董事、高级管理人员执行公司职务的行为及公司运营和财务情况进行监督。审计委员会负责公司内、外部审计的沟通、监督和核查,确保董事会对经理层的有效监督。审计监察部对公司及控股子公司的经济运行效果、经济效益、内控制度执行、各项费用及工程项目的支出、资产保护等进行监督,并提出改善经营管理的建议,提出纠正、处理违规的意见。
5.建立企业信息对内对外的沟通和反馈,建立有效的反舞弊机制
明确信息沟通及传递机制,确保内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈,促进内部控制有效运行;同时重要信息及时传递给董事会、监事会和经理层。为保证与投资者、潜在投资者之间的信息良性沟通,加深公司与投资者之间的良性互动关系,确保信息披露工作的规范性。
运用科学的管理理念和方法,增强反舞弊工作的科学性和可操作性,建立反舞弊教育长效机制,明确反舞弊工作的重点领域、关键环节和有关部门或单位在反舞弊工作中的职责权限,建立反舞弊机制并推进其有效实施;针对企业经营管理中的风险和监督管理中的薄弱环节,主动提前预防,推动监督和管控关口前移,并使经营管理者积极化解舞弊风险的意识,促使决策民主、程序公开和运行规范,使反舞弊的责任落实到每一个岗位和每一位员工身上。
参考文献:
[1]高鹏飞.企业内部控制问题研究[J].中小企业管理与科技,2009(01).
[2]刘浩然.基于公司治理的企业战略失败问题研究[D].上海交通大学博士论文,2007.
[关键词]银行集团;风险管理;内部控制
[作者简介]方茂扬,广东金融学院肇庆校区讲师,金融学硕士,广东肇庆526040
[中图分类号]F832.1 [文献标识码]A [文章编号]1672-2728(2008)04-0015-03
银行集团是以商业银行为母公司,控制境内外子银行、非银行金融机构、非金融机构的一种集团公司。银行集团是21世纪中国银行业发展的战略选择,是一种适应混业经营的有效组织形式。银行集团的突出特点在于保持传统存贷款业务为主业,同时,通过设立非银行机构,实现多元化经营,通过兼并扩张,实现规模经济,并通过脱离事业性机构,实现更纯粹商业化经营的道路;因而,银行集团具有股权杠杆效应、组织协同效应、防火墙效应、合理避税效应等特定的优势。为了适应国际金融业发展潮流和国内外银行竞争的需要,国内商业银行将通过设立、收购与兼并重组成为银行集团,这一发展势不可挡。然而,我们必须清醒地认识银行集团的“双刃剑”效应,认识到现有银行内控制度不健全和风险管理水平相对低的问题。基于这种判断,笔者试图通过内控制度的视角,分析银行集团的天生缺陷与风险,以提高银行集团在改革发展中风险意识与内控建设。
一、银行集团内部关系具有潜在风险
目前,我国大型银行的股权结构日益复杂,一些大型银行采取在海外层层设立控股公司,收购兼并海外金融机构,并通过控股公司整合现有的及拟收购的金融机构,从而形成实质上的银行集团。同时,银行集团控股的子公司不仅有银行类机构,还有投资公司、基金公司、保险公司、证券公司等。如中国银行集团、中国建设银行集团等商业银行业务范围已涵盖商业银行、投资银行和保险领域。
虽然在法律上仍没有对银行集团或企业集团有一个统一的定义,但根据《银行并表监管指引(试行)》中第二条理解,我国银行集团是一种资产型战略联盟,即以产权(资产)为纽带并遵循公司治理制度的安排,多数以控股、参股、合资的关系存在,是一种母公司是银行的控股公司形式,而不是非资产型战略联盟。这种以产权或资产为纽带的集团公司具有规模效应和整合效应,对提高银行综合经营和综合竞争力具有积极意义。但是,集团复杂的内部关系(内部往来、内部交易、业务合作)将大大增加母公司的潜在风险,具体表现为:银行集团的资本联合,导致虚增资本金风险;集团内部多种委托关系,在信息不对称下产生高市场风险和信用风险;集团内部交易与利益输送带来关联交易风险和流动性风险;集团业务相关性与品牌统一性带来传染风险和声誉风险。
(一)扩张性的资本金风险。银行集团内部控制的核心是资本控制,即银行集团以股权投资所形成的股权关系为控制依据,目的在于从控股的子公司中获取资本收益,组合投资分散风险等,有利于集团整体利益、长远发展和组合效益的多种利益。然后,这种资本纽带往往带来资本重复计算与多重财务杠杆风险。资本重复计算表现为银行集团母公司的权益资本或债务资本可以拨付给子公司,形成子公司的资本金,子公司又可以对集团其他成员投资入股,从而出现一笔外部的资本金在集团内部多次重复计算的问题,产生资本金虚增现象;多重财务杠杆风险,是在重复的资本金和金融企业高负债下形成多重财务杠杆,而大家知道,财务杠杆具有“双刃剑”效应,如果总体资产收益率为正时,可获得更高收益,但资产收益率为负时,就会出现更大的损失。因而,银行集团的扩张性资本金问题,不仅潜在同一笔资本金用于抵御多家公司的风险,削弱了银行集团抵御整体风险的最后保障;而且一旦出现财务杠杆负效应时的经营风险时,极易诱发公司出现多米诺骨牌式的系统性危机。
(二)投机性的市场风险。银行集团对子公司都具有严格内部控制,但由于集团的趋利性或者集团与子公司及操作者间存在多重委托关系,极容易出现信息不对称,出现子公司报喜不报忧的道德风险,或者出现集团在高盈利性诱导下,放松了内控,导致操作者越权违规操作,这不止是简单的操作风险,更恐怕是暴发性市场风险。正如巴林银行的倒闭中,据里森自述说,集团在报喜下,放松对自己的监管,是自己走向“88888”隐瞒损失的深渊;同样,法国兴业银行与巴林银行如出一辙。交易员通过破解电子系统密码,制造虚假交易与真实交易进行对冲,回避了电子系统的非现场监管,直到投机性市场风险暴发,带来了法国兴业银行70多亿美元的损失。
(三)隐蔽性的关联交易风险。银行集团以资本为内部控制,一方面可以通过内部关联交易,实现组织协同效应和规避税负的效应,另一方面也潜在隐蔽性的关联交易风险。银行集团关联交易主要表现为集团成员之间相互提供资金划拨、相互担保(抵押)、集团内部转移定价等资金融通投资行为。由于内部交易,往往母子公司风险审查可能不完全遵照银行内部规范操作程序来进行,一旦出现不良资产(呆账)时,出于集团整体声誉和利益的原因,不仅不愿通过正当的法律途径追索债权,而且还无法正常停止对关联公司的融资支持。如果集团母子公司关联交易数额大,一旦信息披露出来,这种脆弱的债务链发生断裂,将对银行集团造成巨大的冲击。因而,内部关联交易隐蔽的和积聚的风险,不可忽视,它可能引发集团系统性支付危机,甚至因整体流动性危机而破产倒闭。
(四)整体性的声誉风险。银行集团统一金融名称及名牌,在规模效应良好促进下,往往会受到好评,因而,银行集团及其控股子公司都使用统一品牌,以充分发挥统一品牌的市场扩张效应。但是,统一品牌也可能产生负效应,在某一子公司出现风险问题时,投资者或银行消费者往往将母子公司作为一个整体看待,负面的声誉极易产生“多米诺骨牌”效应,将风险扩大和传播,使整个集团流动性资金紧张,甚至出现整体支付危机,从而导致公司整体经营的大起大落和流动性危机。
(五)系统性的流动性风险。流动性风险是银行集团最危险的风险,也是表现为银行集团整体财务失控而产生连锁性系统性风险,是集团风险控制的重中之重。由于无论是利率风险、汇率风险、市场风险和信贷风险,还是风险集中与传染风险、利益冲突风险及内部交易与关联交易引发的风险,最终都会反映在集团的流动性风险上。如前段所述的传染风险,当集团中的一家分支机构倒闭,不仅会使整个金融集团、与其有业务往来的金融机构甚至金融市场的流动性不足。而且可能产生系统性
风险;或者当内部关联交易,使财务风险与各种经营风险交织在一起,一旦某种经营风险暴露后,可能引起集团金融风险的大规模爆发。因而,从内部控制上看,系统性流动性风险的预测与控制,是银行集团内部风险控制的重中之重。
二、银行集团风险的特点
银行集团的特有风险和整体性风险与一般经营风险相比,具有以下的危害性特征:
(一)传染性。由于银行集团整体名牌、内部关联交易和资金相互支持,使得集团整体利益扩张化。但是,也正是这些关系,使集团的母子公司间经营上相互依赖,一旦某个公司出现大经营风险,极易传染到其他公司和集团,使集团风险控制和处理更为复杂化。
(二)高杠杆性。银行是高负债经营机构,一般资产负债率都在90%以上。由于银行集团的资本金重复计算,就在虚增的资本金和高负债率下,形成多重财务杠杆,这种高杠杆性产生放大的整体性风险。
(三)隐蔽性。由于银行集团错综复杂的组织结构和庞大的内部交易,内部控制中的委托关系多,母子公司及公司与经营者的信息不对称,往往产生的经营风险被隐蔽起来,内外监管不容易觉察,一旦发现了可能已经形成大风险的暴露,隐蔽性风险特征也伴随着爆发性。
(四)爆发性。银行集团整体风险的传染性、高杠杆性和隐蔽性的特征。导致了集团风险一旦出现了资本金风险、市场风险、流动性风险和声誉风险时,就会出现集团大损失与危机,甚至破产,正如法国兴业银行的市场风险爆发,使其损失70多亿美元。
三、强化内部控制,监控集团风险
(一)建立良好的公司治理结构和科学的考评和授权制度。银行集团及其控股子公司都必须按照《公司法》的要求,建立现代企业制度,构建股东大会、董事会和监事会的权力制衡制度,真正发挥监事会的监督功能;建立董事会管理层内部控制制度考评制度,董事会对建立健全内部控制制度负有最终责任,将董事会管理层的薪酬水平和内控考评结果挂钩,以促进集团母子公司必须按照《商业银行法》和《商业银行内部控制指引》建立起内控机构和机制;建立科学、合理的组织架构,尽可能地减少管理层级和管理半径,实现扁平化管理,减少委托中的信息不对称风险和隐蔽性风险;建立科学的授权和转授权制度,明确集团内部各法人主体乃至基层单元的责权利。
(二)建立健全专门的风险监控组织,构建一套有效的风险管理系统。银行集团的董事会下设立风险管理委员会,保证董事会决策中风险识别、评估及处置;在监事会下设立审计稽核委员会,保证独立地审查董事会和总经理的行为。为了控制好银行集团混业经营中的风险,在风险管理委员会和审计稽核委员会下面,都要按业务功能设立银行风险部、证券投资风险部、保险风险部,分别管理与控制各个子公司的金融风险。此外,构建一套有效的风险管理系统,银行集团必须建立严密、严格、有效率的风险管理制度,加强审计稽核工作的独立性和权威性,加强集团整体和各金融子公司的内部控制;通过健全信息披露制度,规范大额交易限额制度,规范内部关联交易运作和披露制度,保证预防性风险管理体系有效运作。
(三)加强资本充足性管理制度,控制资本金风险。资本金是银行集团抵御风险的最后一道防线,资本充足性管理不能只满足于外部监管的需要,而要根据银行集团自身类型与风险状态制定资本充足性标准。由于集团存在的重复计算资本金,虚增资本金应该如何扣减,这需要银行集团本着谨慎性经营原则主动进行相应抵扣。此外,按照高财务杠杆的结果,在经营良好业绩下,应该更好地进行计提盈余公积,计提资本损失准备金。在资本充足率的分母分析中,要认真核算风险资产,查清内部交易风险和市场风险,避免隐瞒风险,少报风险资产。
(四)建立完备的内部交易制度和“防火墙”制度,加强关联交易的风险控制。银行集团在公司章程和集团规章中明确内部交易制度,要界定清晰内部交易,规范内部交易的审批,制定好内部交易规则,做好内部关联交易的披露,并接受主动配合外部监管。在操作上,保持岗位责任制和责任分离制度,做到不同业务或同一业务的不同环节由不同的人员负责办理,以确保相互的业务监督牵制。在信息披露上,通过对集团结构和集团法人的层次提出要求,增加内部交易的透明度;要求金融集团披露自己的组织和重大的内部交易,特别是那些将对集团财务健康带来不利影响的内部交易,并监管这些内部交易的规模和水平。还有应要求母公司在子公司之间设立“防火墙”制度,这种制度包括子公司尽可能分业经营;对不良的关联交易予以严格限制,如内部贷款给证券期货投资;对超过一定金额的关联交易,必须经监管部门专门审查等。
【关键词】 风险管理;内部控制;ERM框架;企业内部控制基本规范
一、引言
2008年10月21日,中信泰富由于巨亏在港股高开293点时狂跌38%,截至收盘跌幅则扩大至55.10%,全天市值蒸发70.8亿港元,其跌幅之惨烈令人心惊肉跳。而中信泰富是恒生指数的成份权重股、蓝筹股,同时因其大股东是国企中信集团,所以也被视为红筹股,就是这样一支股票却发生了如此不可思议的一幕,究其原因却是我们反复强调而事实上又经常忽略的内部控制问题。美国COSO委员根据萨班斯法案的相关要求,于2004年底颁布了一个全新概念的报告:《企业风险管理――整体框架》(Enterprise Risk Management,简称ERM),ERM报告是内部控制框架的新发展,侧重于用风险的理念来看待企业的管理和目标的实现。随着这个报告的颁布,在企业和理论界都掀起了一股重视风险管理的热潮。就是在这样的背景下仍然发生了中信泰富事件,实在让人扼腕叹息。中信泰富只是一个典型,其他还有很多企业都存在风险管理缺失问题,如四川长虹、创维数码、伊利股份等。为了加强和规范企业内部控制,提高经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。鉴于此,有必要从风险管理的角度对内部控制进行研究。
二、我国企业内部控制现状与存在的问题
(一)风险管理意识薄弱,对风险评估不足
当前企业面临的风险主要有市场风险、信贷风险、营运风险、法律风险、管制风险等。在众多风险中,最主要的风险是营运风险。企业应当建立可以辨认、分析和管理风险的机制,并确认高风险领域,以加强管理。但我国企业缺乏的就是这种机制,对于风险的管理十分薄弱,缺乏有效的风险识别、评价和反应机制。企业抗险能力低,主要体现为:一是缺乏风险事项识别机制。企业管理层还未认识到风险事项识别是一个综合性的过程,需要在实践工作中进行全盘综合考虑。大多数企业目前只能被动地接受内部或外部变化带来的风险。二是没有适当的风险评估体系。三是风险的应对机制空白,还处于“出现一个问题,解决一个问题”的事后被动弥补状态。
(二)缺乏有效的风险防范措施
虽然在有效资本市场的条件下,风险和收益是对称的,低风险低收益,高风险高回报。但是从内部控制的角度看,企业应在认知和分析风险后,采取积极、创新的风险管理措施,把风险控制在企业可接受的范围内。但是一些公司为了追求高收益,过度冒险,违规经营,敞开风险防范的大门,将负债风险和破产风险交由股东承担,致使风险资产加大,经营风险和财务风险增加,最终导致公司和股东的利益受到损害。
(三) 内部控制制度执行不力,公司缺乏对内部控制状况定期进行有效评价的机制
因内部控制制度执行不力导致经营失败的案例在我国可谓屡见不鲜。曾经以利润高速增长现身的“郑百文”,表面上有关会计凭证审核、批准等控制完美无缺,背地里却是一个不折不扣的造假链的银广夏,中国银行哈尔滨河松街支行的“巨额现金神秘消失”案件等等无一不是由于内部控制制度执行不力造成的。许多企业的内部控制制度是挂在墙上、写在纸上的制度,实际执行情况可想而知。企业内部控制制度执行情况评价、报告等也鲜有实施,没有建立有效的内部控制定期有效性评价的机制,大部分内控制度流于形式。另外,长期以来,对企业管理者业绩考核以利润为主要依据,评价方式单一,很少对其内部控制综合评价。
三、ERM框架对我国内部控制的启示
ERM对原COSO报告的整体框架进行了扩展,把更多的注意力放到了企业风险管理这一更加宽泛的领域。在内部控制的内涵、目标、要素以及内部控制责任承担等层面有了全新的突破。总的来讲,新的框架强调在整个企业范围内识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现在企业战略制定阶段就予以考虑。对风险的控制不仅面向过去,也要面向未来;使风险的管理不仅贯穿于战术层面也贯穿于战略层面;不仅贯穿于执行层面也贯穿于决策层面。因此,《企业风险管理――整体框架》是涉及到企业全要素、全过程、全层次的风险控制。ERM框架对我国正在建设中的内部控制具有十分重要的启示作用。
(一)以风险为导向来进行内部控制,加强针对管理层权力制衡的内部控制制度建设
从COSO的两份重要报告:1992年的《内部控制――整体框架》和2004年的《企业风险管理――整体框架》可以看出,风险管理已经作为主要的内部控制要素。内部控制和风险管理日益融合,风险导向已是内部控制的发展方向。
在企业内部控制制度的建设中,对于企业的高层管理者的合理授权,是非常重要的一个环节。国内出现的有重大舞弊经济案件的企业,大部分都是因为授权不当引起的。因此,在具体授权时,应考虑既能保护经营决策的有效运作,管理制度的有效贯彻,又能使权力制衡得到落实。ERM框架认为董事会在风险管理中负总体责任,企业风险管理的成功与否主要依赖于董事会,因为董事会需要批准组织的风险偏好。在企业风险管理中,CEO负有首要责任,并应对所有权负责,其他经理人员则起支持作用;风险部门管理者,财务部门管理者和内部审计人员等负有关键性责任;其他的企业人员负有按确定的指示和协议执行企业风险管理的责任。
(二)完善重大决策的内控流程并保障实施
完善制订重大决策的内控流程并保障实施是企业风险控制的关键。传统模式下的内控制度,业务部门经过会签,通过流程将决策信息提交给CEO,CEO可以对决策信息进行风险过滤后提供给董事会,从而诱导董事会作出有利于他们的决策。财务经理对CEO负责,即使出现问题,CEO也可以通过施加影响修改财务报表。在这种内控架构下,董事会很难发现舞弊问题,等到发现时局面往往已不可收拾。内部审计只能监控CEO以下的控制点,监事会则基本形同虚设。在修订后的内控架构中,决策权被上移至董事会。监事会(或风险管理委员会)的职责更加明确,除听取CEO的汇报外,还要关注CEO控制点之前各流程的风险评估,并且有权对相关部门进行质询。财务经理同时对CEO和董事会负责,并接受监事会的监督,监事会对决策流程做出客观的风险评估后提交董事会。这样,董事会在审议CEO提交的方案前,拥有来自业务层、财务经理、监事会从各自不同角度提供的风险评估信息。
(三)强化对各关键环节的风险控制,建立科学的绩效考核和违规问责机制
由于内部控制制度的设计受到成本效益原则的制约,不可能面面俱到,因此只有抓住关键的控制点才能建立有效的内部控制制度。关键控制点是指业务流程和单位经济活动中那些容易产生风险的环节。要求对每个关键控制点提出风险量化分析。首先,要对关键环节所涉及的人员进行培训,培养风险管理的理念,使其意识到他们提供的风险评价信息将对董事会的决策产生直接影响。其次,明确各主体在企业风险管理流程中承担的责任,强化责任意识,及时对内部控制进行有效性评价,评价可以采用自我评价结合外部专业机构评价,同时制订相应的奖惩措施,促使各控制点对风险和机会保持足够的谨慎态度。一些企业的风险管理意识薄弱,在投机心理驱使下出现的类似赌博的行为得到默许,甚至纵容,因此,必须建立正确的业绩观念,改变那种以利润为主要业绩的考核依据,且评价方式单一的局面。具体可以通过风险调整后的收益同时结合非财务指标考核,遏制高风险的投机冲动;另一方面强调违规问责,加大违规成本,提高全体员工的风险防范意识,抵制内部人控制和机会主义行为,提高制度实施的质量和效果。财政部等五部委制定的《企业内部控制基本规范》中明确指出:执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。该规范第八条规定:企业应当建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
(四)建立有利于风险管理的内部环境
企业内部环境是企业风险管理发挥作用的基础,对企业风险管理系统的实施以及职能的发挥产生重大、持久的影响。企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。必须加强对员工的在职培训和后续教育的投入,努力打造学习型组织,提高企业风险管理的整体能力。
四、中信泰富案例简析
(一)中信泰富巨亏案简介
中信泰富集团为了减低西澳洲铁矿项目面对的货币风险,签订若干杠杆式外汇买卖合约以对冲风险。但外汇杠杆合同被普遍认为投机性很强,属于高风险产品。自2008年9月7日察觉到该等合约带来的潜在风险后,公司终止了部分合约。但7月1日至10月17日,公司已因此亏损8.07亿港元。至10月17日,仍在生效的杠杆式外汇合约按公平价定值的亏损为147亿港元。换言之,相关外汇合约导致已变现及未变现亏损总额为155.07亿港元。
(二)基于风险管理的内部控制视角进行巨亏分析
1. 对投资风险,特别是潜在风险的评估不足
中信泰富对远期合约风险评估不足是这次投资巨额亏损的主要原因。这类杠杆式外汇买卖合约交易者只需支付一定比例的保证金,就可进行数十倍的额度交易,本质上属于高风险金融交易,尤其在当前金融危机的肆虐下,部分国家货币汇率波动剧烈,类似波动在经杠杆放大后,其导致的风险将是惊人可怕的。合约套期保值的功能是有限的,每份合约当达到公司可收取的最高利润时(幅度介于150万美元至700万美元之间)就将终止,如果澳元大幅升值,过低的合约终止价格使得其套期保值作用相当有限,但是如果澳元走软,中信泰富必须不断以高汇率接盘,理论上亏损可以无限大。对澳元汇率的判断过于乐观,使得中信泰富在全球金融危机下付出了惨痛的代价。作为未来外汇需求的套保,其目标应是锁定购买澳元的成本,也就是最小化澳元波动的风险。但是其签订的这些合约的目标函数却是最大化利润,中信泰富的风险是完全敞开的。
2. 投资没有经过公司董事会授权审批
中信泰富的公告中指出两名财务高层为对冲澳大利亚铁矿石项目的货币风险,在没有通过公司董事会授权审批的情况下签订若干杠杆式外汇买卖合约,导致147亿港元损失。在如此重大和巨额的公司投资行为中,竟然不是投资执行部门在操作,而是整个财务部门在运作,实在令人惊叹。正是由于最基本内部控制原则上的缺失,使得这笔远期合约合同的投资行为无法在事前得到有效的管理控制。另外由于拥有隐型的政府信用,外资金融机构愿意赋予其高长度的资金杠杆,同时由于这些企业的执掌者赌性十足,在觉察问题时未能及时平仓,也没有受到有效监管最终导致悲剧发生。
3. 没有遵守远期合约风险政策
若单纯为了避险进行类似外汇保证金交易,那么这类可赎回远期合约亏损基本在可控范围内。但是中信泰富的财务主管没有遵循远期合约的风险政策和尽到应尽的职责,使得远期合约的风险无限放大。
4. 内部控制执行情况没有得到及时披露,相关问责机制缺乏
中信泰富在发现问题6个星期之后才对外公布,显示出其内部控制执行情况信息披露不及时,内部监管存在巨大漏洞,严重损害了投资者的利益。出现问题后根本就没有问责机制,仅是以财务负责人辞职了事,暴露出其财务制度和责任承担机制的不足。
五、简单结论
目前,我国大部分企业的内部控制依然薄弱,缺乏必要的全面风险管理意识,也基本没有建立科学的企业风险管理体系。因此,充分利用我国的《企业内部控制基本规范》和ERM框架来完善我国企业内部控制显得尤为重要。
【参考文献】
[1] 朱荣,贺欣. 内部控制框架的新发展―― 企业风险管理框架[J].审计研究,2003,(6).
随着经济社会的不断发展,企业经营活动日趋复杂多样化,内部控制已成为一种重要的管理手段,同时随着经济一体化在全球范围内的大规模发展,使企业经济与发展面临更大的风险,这样一来,企业内部控制与风险管理显得更加重要。
【关键词】风险管理;内部控制;COSO《内部控制整合框架》;内部控制基本规范
随着国际经济和信息技术的不断发展,内部控制已成为一种重要的管理手段,同时随着经济一体化在全球范围内大规模发展,为企业经济活动提供了更多的机会,也使企业经济与发展面临更大的风险,这样一来,企业的内部控制与风险管理显得更加重要。
一、内部控制及风险管理
内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度,是由企业董事会、管理层和全体员工共同实施的,旨在保证实现企业基本目标的一系列控制活动。
内部控制是保护资产安全完整,保证会计信息资料的正确可靠,确保经营活动的有效进行的一系列方法、手续和措施的总称。内部控制包括五个基本要素,即控制环境、风险评估、控制活动、信息与沟通、监控。《内部控制指引》中把内部控制定义为由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效地控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。通过风险识别、风险估测、风险评价,并在些基础上选择与优化组合各种风险管理技术,对风险实施有效控制和妥善处理风险所致损失的后果,从而以最小的成本获得最大的安全保险。
风险管理的基本程序包括风险识别、风险估测、风险评价、选择风险管理技术和评估风险管理效果五个环节。风险识别是指对企业或个人面临的和潜在的风险加以判断、归类和对风险性质进行鉴定的过程。是对尚未发生的、潜在的和客观存在的各种风险,系统地连续地进行识别和归类,并分析产生风险事故的原因。风险估测是在风险识别的基础上,通过对所收集的大量资料进行分析,利用概率统计理论,估计和预测风险发生的概率和损失程度。风险评价是指在风险评估的基础上,对风险发生的概率、损失程度,结合其他因素进行全面考虑,评估发生风险的可能性及其危害程度,并与公认的安全指标相比较,以衡量风险的程度,并决定是否需要采取相应的措施。选择风险管理技术是指根据风险评价结果,为实现风险管理目标,选择最佳风险管理技术是风险管理中最为重要的环节。评估风险管理效果是指对风险管理技术适用性及收益性情况的分析、检查、修正和评估。风险管理效益的大小,取决于是否能以最小风险成本取得最大安全保障,还要考虑风险管理与整体目标是否一致,是否具有具体实施的可行性、可操作性和有效性。
二、内部控制与风险管理的关系
内部控制与风险管理既有区别又有联系,主要区别是:(1)涉及的范畴不同,内部控制是一种管理职能,主要用于事中和事后控制,而风险管理贯穿于整个过程的每个环节,主要用于内部控制。(2)执行方式不同,内部控制所负责的只是事中和事后控制,不涉及到企业目标的设立,而风险管理包含了制定风险管理目标和战略,选择的评估程序等环节。
内部控制与风险管理有一定的联系,风险管理是内部控制的主要发展方向,风险管理框架主要是建立在内部控制框架的基础之上的,是对原有内部控制框架的延伸和扩展。风险管理和内部控制都是为了维护企业的财产安全、保证企业的经济效益,只有通过提高企业的风险意识,才能使企业安全有效地运行,为企业实现目标提供合理的保证。
三、我国企业内部控制存在的问题
(一)意识观念不强
目前,许多企业的员工风险意识比较薄弱,缺乏风险应对、控制的有效机制,一旦出现重大风险就容易使企业陷入困境,而加强风险管理是以增强风险意识为前提的。实践证明,没有风险意识或风险意识淡薄的企业或组织,是不可能加强风险管理的。缺乏风险意识或风险意识淡薄有多种表现:其一是对风险的意识不强,只盯着利润而忽略背后的风险,如盲目的多元化、盲目的低成本扩张,盲目的扩大销售等。其二是有风险意识,但存在侥幸心理,而轻视风险的管理。其三是因现实中缺乏严格的责任追究制度,使有些员工对风险抱着无所谓的态度。其四是思想方法的片面性,做事直往好处想,不考虑事情所面临的危险的可能性。
风险有时就是机遇,个人对风险机遇的偏好不同,对处于战略机遇期的中国来说,要想抓住机遇谋求发展,就必须增强风险意识,树立风险观念,加强风险管理。
(二)公司治理机构不完善
我国的公司治理是建立在以董事会、监事会为核心的双层治理机构的基础上,完善公司治理有利于内部控制的有效运行,提高企业的透明度。从中国公司制企业的现状看来,公司治理机构不完善主要表现在:(1)我国一股独大的现象比较严重,导致了公司控股股东操作上市公司的股东大会、董事会和监事会。(2)我国的职责分离机制不够健全,关键人常常集控制权、执行权和监督权于一身,这样一来,就起不到了互相监督的作用,信息的有效性就难以保证。(3)企业内部人控制的问题,由于外部人员的监督不力,是企业的内部人员在公司的重大决策上过分追求内部自身利益的最大化,从而损害出资人的利益。(4)经营者的选拔、激励和约束机制不健全,其高层经营管理人员不少事由政府部门任免,缺乏用高薪来吸引高级人才的自,缺少现金、灵活的激励机制。
公司治理机构是为保障财产所有者利益而在所有者和人之间形成的一种契约关系和制度结构。良好的公司治理机构能够利用制度安排的互补性质,并选择某一种结构来减低成本,实现经济利益。
(三)信息沟通不畅
企业受传统模式的影响,同时受专业人才、信息技术等客观因素的制约,管理信息化的水平较低,沟通渠道不畅。表现在:(1)管理信息化的水平较低,主要表现在计算机网络技术使用率低和管理信息系统比较落后。(2)信息沟通不畅。一方面是由于企业的纵向沟通不畅,即上级人员与下级人员不能保持良好的沟通,反馈信息速度慢,企业缺乏对员工的保护和激励机制。其中包括自下而上的信息获取,主要途径依赖于制度设计好的定期报告制度,管理者对此之外的信息反馈没有强烈的倾听愿望,不会给予重视和及时进行处理,因此自下而上的信息交流缺乏原动力,沟通受阻。还包括自上而下的信息传递还主要表现在上级对下级的行政命令,带有强制性、灌输性和层级性,缺乏充分的讲解和沟通交流,因此自上而下的信息传递较慢,容易造成信息的误解与遗失。另一方面是由于企业的横向沟通,即企业在采购、生产、销售、财务等环节缺少各自的信息交流平台,没有实现信息的共享和交流。
信息系统的好坏直接影响到企业内部控制的效率和效果,内部控制是涉及企业内外各方面的活动,不管是管理层或者是内控职员单一的责任和工作,都有需要整体的沟通和协调。
四、运用风险管理解决内部控制问题
(一)完善企业的内部环境
1.明确合理的企业目标
目标设定是有效事件的识别、风险确定以及风险应对的前提。只有知道了企业的工作目标,才能识别控制环境的各个要素中哪些要素会带来危险,这些风险对企业整体而言是不是重要的,并针对产生的风险的对企业影响大的要素采取控制活动。
相对于企业来说,选择合理的企业目标对成功非常重要,战略目标是高层目标,与企业任务相关,并且支持其他目标,合理的选择企业目标,可以降低估价风险。
企业的目标应与企业的风险偏好一致。如果不一致,可能导致企业不能接受足够的风险达不成目标,或导致企业为完成目标而接受不恰当的风险。有效的企业风险管理没有规定企业必须选择那些目标,而是要求企业将目标与战略相匹配,即目标与企业风险偏好一致。
2.优化组织机构
组织优化与企业环境、企业的战略发展相关,只有优化了组织机构,才能彻底达到企业的全面管理。优化组织结构,要做到以下几点:
首先,要以组织机构的稳定性过渡或稳定性存在为前提:稳定现时的经营生产管理活动;设置的组织机构具有一定时期的稳定性;人员的岗位调整能平稳过渡到新的部门和岗位;不适应的原有岗位人员能平稳的离职,不会因为个别人的离职带走人员,导致员工对企业产生没有信心的思想变化等。
其次,要分工明确,在现有基础上,改进不协调的组织关系;预防和避免可能产生的摩擦的关系,优化的结果是使部门职能清晰,权责到位,能有效地完善部门之间的管理联系、促进工作程序协调。
再次,部门岗位设置要与培养人才紧密结合,优化调整部门和岗位时,要综合考虑人员,不能为了照顾人情关系,设立人情岗位,在聘用人员时,要考虑人员的品行,有意识地将部门、岗位和人才培养相结合。
3.良好的人力资源政策
企业的人力资源政策与企业外部的经济状况、市场环境、行业状况紧密相关,完善的人力资源政策,能确保执行公司政策和程序的人员具有胜任能力和良好的品德。企业在建立并实施人力资源政策控制过程中,至少应强化以下几个方面:
(1)岗位职责和任职要求应当明确,人力资源需求计划应当合理。
(2)招聘及离职程序应当规范,开展培训,以提高员工的专业胜任能力和道德素养。
(3)确定合理的人力资源考核制度,只因员工实现企业的经营目标。
(4)制定完善的薪酬制度,将员工的薪酬分档次,以员工的工作表现和技术含量,为基础上进行薪酬分配,加大收入中与员工绩效挂钩的部分,以加强薪酬的激励作用。
(二)对企业及时的风险评估
1.全面的风险识别
目前企业的风险管理制度不是很完善,而完善的风险管理制度有助于企业识别风险,并针对风险采取控制措施和方案控制风险,预防事故的发生。在进行风险评估时,风险识别是风险管理的基础,只有正确的识别出自身所面临的风险时,人们才能主动选择适当有效地方法来进行处理,在进行风险识别时,应选取适当的风险识别方法,例如流程图法、风险专家调查列举法、财务状况分析法、分解分析法等,并遵循风险识别的全面周详原则、综合考察原则、量力而行原则、科学计算原则、系统化原则等对不同的风险进行风险识别,并归纳整理,找出明显和潜在的风险及其导致风险发生的各种因素,拟定风险处理方案,最后进行风险决策。
2.合理的风险分析
风险分析是对识别出的各种风险进行分析和估量,是风险评估的基本环节,合理的风险分析,有助于做出正确的风险应对,帮助企业应对风险,做出决策。具体体现在以下几个方面:一是无论事件是否会导致财务损失,都应在当期的风险分析报告中加以反映;二是由信用、市场和营运风险导致的损失应该系统地从损失数据库中获取并总结在风险报告中;三是风险分析应给管理层提供风险的前瞻性评估,主要是对现有风险的发展趋势及将来可能出现的风险进行预测,为管理层提供参考。
风险分析和评价后,可以根据风险发生的可能性大小,对企业影响程度的高低,将风险分为不同等级,对发生可能性较大且影响程度较高的风险,应重点关注。
(三)选择正确的风险应对策略
风险应对策略就是对已经识别的风险进行定性分析、定量分析和进行风险排序,制定相应的应对措施,将风险降低到可接受的程度。
风险应对的策略由四种,分别是:规避风险、接受风险、降低风险、分担风险。在进行风险分析时,判断风险类型,选择适当的风险应对方法。当选择风险规避的方法时,我们可以通过采用技术熟练的员工来操作某项工作,得以规避风险;当选择风险分担的方法时,我们可以采用委托、联合的形式来分担风险;当选择的是风险降低的方法,我们可以通过完善人员治理和公示制度来减少风险。
在现实工作中,在进行风险应对时,应选择适当的方法,对风险加以处理,才能达到降低风险的目的。
五、结论
内部控制作为企业生产经营活动自我调节和自我约束的内在机制,其建立健全及实施是企业生产经营的关键,对于完善企业治理机构和保护投资者的合法权益有着重要意义。而内部控制与风险管理有着密不可分的关系,如何运用风险管理,来解决我国内部控制的问题,需要进一步的研究。
参考文献:
[1]刘新立.内控体系建设——全面风险管理的基石[J].(中国保险网2010年9月)
[2]安娜.浅议企业内部控制与风险管理的关系[J].(当代经济.2010第20期)
[3]夏彦升.论我国公司治理机构不足与完善[J].(经营管理者2011年第3期)
[4]韩宝新.对企业内部控制实施中的问题分析[J].(中国集体经济2010年第26期)
【关键词】企业内部控制;风险管理机制;措施
在社会主义市场经济发展新时期,现代企业要在激烈的市场竞争中占据有利位置,提升其经济效益,需要对企业内部控制机制建设情况加以分析,在企业内部控制中引入风险管理理念和方法,着重提高企业财务管理水平,保障企业运营安全,实现既定经营目标。
一、企业内部控制与企业风险管理的关联性
在现代企业制度改革及财务管理改革的推动下,我国企业内部控制与风险管理控制呈现出互相融合的趋势。在企业风险管控中,涉及到的重点环节主要有风险识别、风险监督、风险评估及风险应对等,而企业内部控制从属于企业日常管理,一般不涉及到企业风险预估及防范。在企业内外部发展环境更加复杂多样的背景下,在企业内部控制中强化风险管理,可以在对企业运营风险要素加以掌控的基础上,提高其内部控制建设水平[1]。
二、现阶段我国企业内部控制及风险管理机制建设中凸现的问题
(一)企业内部控制及风险管理意识不强,风险应对能力不足
从机制运行角度看,企业内部控制及风险管理涉及到企业运营的各个方面,需要将其加以全程贯穿,但从现阶段企业风险及内控管理实践看,企业经营管理者并未全面深刻理解内部控制及风险管理的重要性,而是将精力放在企业眼前利益上,一方面导致企业内部控制及风险管理机制建设滞后,完善度不高,另一方面在企业参与到全球化市场竞争时,其对风险的识别、反应及应对能力不足。此外,在对企业内部控制及风险管理上,企业管理者对两者的理解有误,片面地将其等同于企业制度的制定和实施,将企业内部控制及风险管理加以割裂,企业内部控制及风险管理机制建设收效甚微。
(二)企业在金融风险防控机制建设上较为迟缓
受制于企业内部控制及风险管理意识薄弱,我国多数企业并未建立并完善企业的风险管控体系,在对企业风险要素的甄别及防范上能力不强,尤其是金融风险防控机制跟进不力[2]。第一,企业未成立独立性较强的风险管理机构。在经济一体化趋势逐渐加强的市场环境中,企业在资金来源,资金调配管理等环节更加复杂,各种金融衍生品得以在企业中应用,如不成立专门的管理机构对其进行必要的风险防控,极易使企业蒙受经济损失。第二,企业在对风险因素的评估上不够全面系统。企业营运与企业风险相伴相生,企业要保障稳定安全运营,需要建立风险评估体系及模型,对企业涉及到的一些资金投资,金融衍生品的风险等级加以识别、划分及防范,但在这一环节,多数企业并未进行及时规划部署。
(三)企业在内部控制监督管理建设上力度不强
企业内部控制要真正发挥其实效性,一方面需要企业内部控制机制的建立和完善,另一方面又离不开企业内部控制监督管理的及时跟进,发挥其约束功效。但我国企业在内部控制监督管理机制建设上还欠缺一定的力度,虽然有相应的内部控制监督管理制度辅助,但在制度的执行监督、内部审计机构的设立等环节还存在管理漏洞,这也增大了企业内部控制出现失控的几率。由于企业内部控制监督管理匮乏而引发的企业亏损及破产现象时有发生。
三、提升企业内部控制的风险管理机制建设水平的措施
(一)转变企业内部控制及风险管理理念
在企业内部控制的风险管理机制建设上,首先,企业管理者要对企业的内外部发展环境加以分析,转变原有的以制度代替机制的管理理念,在企业内部控制中融入风险管理理念和方法,着重对企业的经济行为及经营业务进行风险评估,不断完善内部控制体系。在企业财务管理及金融衍生品管理中,一方面要采用先进的风险管控手段,建立财务信息及财务风险预警体系,另一方面要对各项重要的财务信息、预算浮动、现金流量加以整理及记录。此外,在公司内部控制及治理结构上,企业应顺应投资及股权结构层次复杂多元的趋势,对企业内部治理结构加以优化,为开展企业风险管理做好组织保障[3]。
(二)对企业风险管理体系加以完善
为确保企业能够在复杂多变的发展环境下有效识别及防范企业风险要素,企业要针对风险管理体系进行完善。第一,企业要针对运营风险,成立独立性强的风险管理机构,由其负责对企业的经营风险要素进行全面梳理、分析、预防和控制。第二,企业要加强财务会计人员及风险管理人员的素质能力,根据企业发展情况及业务状况,选择及引入熟悉及了解金融市场风险发生规律的风险防控人员,以促进企业风险应对及处理能力的提升。第三,企业要做好风险的识别、分类、评估、管理工作,确定出风险等级及附带风险来源,通过相应的风险管理措施加以化解。
(三)强化企业内部审计职能作用,做好企业内部控制及风险管理监督管理
在应对企业风险方面,企业内部审计制度能够发挥重要的监督管理作用,作为企业来讲,一是要通过在企业内部建立其规范严谨的内部审计制度,使企业内部审计机构能够独立行使其监督管理职能,从而提高企业各环节管理运营的水平,并对监督管理过程中出现的风险隐患加以及时排除。二是要将企业内部审计与企业的风险管理加以融合,在企业内部审计中实施以风险为导向的审计模式,全面发挥企业内部审计人员在企业运营各个流程的风险识别、风险预测及风险管理方面的优势。
四、结语
总之,企业内部控制风险管理机制在保障企业经济效益提升,促进其稳定发展方面作用及地位较为突出。现阶段,我国企业在内部控制风险管理建设上尚存在一些问题,针对这些问题,企业应注重从理念转变,机制完善等环节加以完善,从而使企业内部控制风险管理真正发挥其职能作用。
参考文献
[1]邓顺峰.企业内部控制的风险管理机制探析[J].商业经济,2013,(14):39-40.
[2]许杰.浅议企业内部控制的风险管理机制[J].现代经济信息,2014,(23):129.
关键词:会计内控管理 业务操作风险 探索
会计工作是企业经营活动不可或缺的组成部分,也是企业内部控制的重要环节且处于基础地位,不仅具有核算、反映、监督的职能,而且肩负着服务、支持与推动企业发展的重要责任。在实际工作中,强化会计内部控制管理,防范业务操作风险成为企业实现资产安全、维护利益、避免损失的有效手段,有着重要的现实意义,企业管理人员及会计负责人必须予以高度重视。
1.会计内部控制的重要性
企业会计内部控制涉及范围广泛,健全企业内部会计控制制度的实施,有利于企业经营目标的实现,有利于促进社会经济秩序健康运行。会计内部控制系统是企业内部控制整体架构的基础,在现代企业管理中对于提高会计信息质量,保护资产的安全与完整发挥着越来越重要的作用。
1.1确保会计信息的准确性。通过会计内部控制进行业务处理,使会计信息在相互制约的状态下形成,从而有效地防止错误和弊端的发生,保证会计资料的准确性,为企业经营决策提供可靠会计信息。
1.2确保财产资金的安全性。会计内部控制制度强化了对财产管理和资金使用的过程控制,可以有效防止和减少财产损坏、资金损失现象的发生,杜绝浪费、贪污、盗窃、挪用和不合理使用等问题的发生。
1.3确保生产经营的有序性。科学的内部控制制度,能够合理地对企业内部各个只能部门和人员进行分工控制、协调和制约,促使企业各部门及人员履行职责、明确目标,保证企业的生产经营活动有序、高效地运行,提高企业经营效益。
1.4确保制度执行的彻底性。会计内部控制能够促使企业全面贯彻落实国家统一制定的财经纪律及法规,企业通过实施会计内部控制制度以进行自我约束,增强遵守国家财经纪律和法规的自觉意识。
2.会计内部控制存在问题的表现形式
随着社会经济环境的变化,形成会计业务操作风险的诱因不断增多,会计人员道德风险引发的案件也在增加,会计内部控制管理形势日趋严峻。主要表现在:
2.1风险意识不强。绝大多数会计人员直接管账、管钱,很多案件及操作风险都要从这些部位引发,这就要求会计人员在防范意识上要警钟常鸣,常备不懈。部分会计人员,甚至一些管理人员没有把风险防控摆到正确位置,在思想认识上不能适应环境的变化,实际工作中没有超前采取防控措施,致使风险隐患不能及时消除。
2.2制度执行不力。有了制度、流程却未能很好的执行,制度只是挂在墙上,停留在口头上;操作流程未落实到工作的每一个环节中。一些会计人员违章违规现象得不到及时纠正,会计检查发现的问题存在屡查屡犯、整改不力的现象,给当前会计工作带来较大隐患。有的企业会计业务处理环节没有建立有效的制衡机制,筹资、投资、营运等环节没有体现职责权限和岗位分离要求;有的企业定期或不定期检查和评价流于形式,责任追究制度不落实;有的企业资金活动管理不严,导致资金被挪用、侵占、抽逃或遭受欺诈。
2.3防控手段不多。一些企业的会计业务仍停留在手工处理方式的落后阶段,单纯的采用人盯人或人管人的原始防控方式。有的企业受经营规模限制和资金投入制约,还未达到会计业务处理电算化管理要求;有的企业对虽采用了计算机处理会计业务的方式,但还没有形成一套系统的、行之有效的、符合实际的体系,而是头痛医头、脚痛医脚,哪儿出现问题多、哪儿问题大就去关注什么,总是事后才去整改,事前没有控制,事中缺少监督。
2.4业务素质不高。多数企业年轻员工多,受社会不良思潮影响,有的员工为了贪图享受,利用工作之便,挪用、侵占资金;有的是员工为了追求所谓的个人目标和价值,置法纪于不顾,完全脱离了内控制度与流程的约束,违规操作,实施犯罪,给及时识别风险、有效防范案件带来了很大难度。
3.会计内部控制存在问题的解决途径
3.1培育会计风险文化、营造合规操作氛围。内控环境是企业实现安全、稳健运营的基础,落实到现实工作中,就是应当培育良好的会计风险文化,建立起合规操作人人支持、违规操作人人反对的责任文化氛围。
3.2加强会计风险知识的教育和提示。企业应及时总结会计风险的重点环节,归纳案件实例,提炼浓缩成会计人员工作中需要注意的风险环节和防范措施,有效运用风险提示方式使其掌握风险识别能力、提高风险意识,达到“识风险、防风险、化风险”的目的。
3.3建立会计违规操作的举报制度和奖励制度。鼓励发现违规举报,扩大监督覆盖面,将风险压力传导到每个会计岗位及人员。
3.4重视会计队伍建设,加强会计人员管理。企业要完善组织架构,强化一体化管理,通过定期考核,提高业务素质和风险意识,提升会计管理人员的履职能力,使会计管理人员真正成为的风险防控的闸门。与此同时,还要加强各类会计人员后备力量建设,要重视对骨干人员的培养,形成会计队伍新陈代谢、层次交替的良性循环局面,确保管理体系的不断完善,增强管理效率,保障各项制度要求的及时传导和有效执行。
3.5加强对会计人员日常行为的管理。开展会计人员行为排查,不但要了解其在工作中的表现,还要掌握其工作之外的生活情况;不但要了解其本人的思想状况,还要熟知其家庭情况,发现异常要及时做好岗位调整,将各种隐患消灭在萌芽状态,切实防范内部人员道德风险在会计内部控制中至关重要。
3.6着力强化精细管理,严格风险易发环节控制。会计工作具体而精细,来不得半点的差错和虚假。要做好会计工作,需要每一个会计人员,特别会计管理人员要树立精益求精、一丝不苟、务实进取的工作作风。
3.7发挥系统功能,实施高效管理,实现系统的安全性、稳定性和高效性。首先会计人员要充分了解系统功能,并熟练应用于业务处理;其次对系统运行中存在的一些影响工作效率、质量和风险控制的环节进行改进,不断完善系统功能,优化业务需求,解决系统中存在的问题;再次对重要业务和重点环节实施技术防范,提高会计操作风控制能力的科技含量。
参考文献:
[1]企业内部控制规范 中国财政经济出版社
[2]内部控制与企业风险管理 胡为民编著 电子工业出版社
1.内部控制
现论界对内部控制的定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会(即美国“反对虚假财务报告委员会”所属的内部控制专门研究委员会发起机构委员会Committee of Sponsoring Organizations of the Tread-way Commission,简称COSO委员会)对内部控制的定义。该组织认为:内部控制是一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障。其中经济组织的经营目标包括:经营的效果和效率;真实可靠的财务报告;合规性经营。在COSO委员会的《内部控制管理框架》中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
[XC3.EPS;P]
COSO委员会的内部控制理论得到了巴塞尔委员会的认同和发展。在巴塞尔银行监管委员会的内部控制定义中,进一步强调了董事会和高级管理层对内部控制的影响,组织中所有人员都必须参加内部控制过程,对内部控制产生影响。巴塞尔委员会把内部控制的目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动,而且包括其他各种活动;在信息性目标中把管理信息也包括进来,明确要求实现财务和管理信息的可靠性、完整性和及时性。但是巴塞尔委员会将COSO委员会《内部控制管理框架》认为并非内部控制活动的“缺陷的纠正”也归入了内部控制的范畴,并增加了金融监管当局对被监管组织的内部控制状况的检查和评价,把它也作为内部控制的另一不可忽视的内容。
对于内部控制的定义,我国银行业监督管理委员会在《商业银行内部控制评价试行办法》中也作了如下的解释:商业银行内部控制体系是商业银行为实现经营管理目标,通过制定并实施系统化的政策、程序和方案,对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。它包含的要素主要有:(1)内部控制环境;(2)风险识别与评估;(3)内部控制措施;(4)信息交流与反馈;(5)监督评价与纠正。
2.全面风险管理
在多年的管理实践中,人们意识到一个银行内部不同部门或不同业务的风险,有的会相互叠加放大,有的则相互抵消减少。因此,风险的考虑不能仅仅从某项业务、某个部门的角度出发,必须根据风险组合的观点,从贯穿整个银行的角度看风险,即要实行全面风险管理。
依据COSO委员会2003年7月完成的《全面风险管理框架》定义:全面风险管理是一个过程,受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,合理确保企业取得既定的目标。该框架有三个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有4个,即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的各个层级,包括整个企业、各职能部门、各条业务线及下属各子公司。《全面风险管理框架》三个维度的关系是:全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。
现代金融领域中决定一家金融机构竞争力高低、决定其经营能力高低的关键和核心,就是看其能否有效地对风险进行全面有效的管理,能否积极主动地承担风险、管理风险、建立良好的风险管理架构和体系,以良好的风险定价策略获得利润。因此,对于一个金融机构而言,全面风险管理是金融机构内部管理的核心,在整个管理体系中的地位已上升到金融机构发展战略的高度,它是金融风险控制的更高阶段,是动态的、全程的、计量的、立体的风险控制。将在2006年实施的《巴塞尔新资本协议》就蕴涵了这种全新的风险管理理念。该协议将全面风险管理概括为对整个银行内各个层次的业务单位,各种类型风险的通盘管理,这种管理要求将信用风险、市场风险及各种其他风险以及包含这些风险的各种金融资产与资产组合、承担这些风险的各个业务单位纳入到统一的体系中,对各类风险依据统一的标准进行测量并加总,且依据全部业务的相关性对风险进行控制和管理。它的关键在于及时准确地找到每种业务所暴露的风险点,通过风险计量模型以及测量系统加以度量,然后根据已经量化了的风险大小进行相应的风险管理,设置风险限额,分配资产、配置资本等。
二、内部控制与全面风险管理的关系
1.内部控制与全面风险管理是紧密相关的
(1)内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。由两者的定义可以看出,内部控制是为了实现经济组织的管理目标而提供的一种合理保障,良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益。而合规经营、真实的财务报告和有效益的经营也正是商业银行全面风险管理应该达到的基本状态。
(2)全面风险管理涵盖了内部控制。从COSO委员会的全面风险管理框架和内部控制框架可以看出,全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素。
2.内部控制与全面风险管理也存在一定的差异
(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
(3)两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在COSO委员会的内部控制框架中,没有区分风险和机会。
(4)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。
三、构建体现全面风险管理的内部控制新机制
由于全面风险管理是一种全新的管理理念,在我国金融业发展的现状下,我们必须尽快转换长期以来固化的观念和思维定式,努力构建体现全面风险管理的内部控制新机制,赋予内部控制新内容。
1.构建全新的内部控制组织体系原则。
一是全面风险管理原则。内部控制组织结构的设置应使风险管理的目标和要求渗透到全行的各项业务过程和各个操作环节。内部控制要遵循全面风险管理的原则,即:(1)全员管理原则,实现全体员工对风险管理的参与;(2)全过程管理原则,对企业的发展、业务操作的全过程实行风险控制;(3)全方位风险管理原则,不但要包括业务风险,还要包括法律风险、技术风险等。
二是独立性原则。风险管理部门、内部审计部门、监察部门要与经营、支持保障部门保持相互独立,直接向最高决策层负责,保证内部控制机构的独立性和权威性。
三是垂直管理原则。总体而言,金融机构内部控制的组织机构设置应满足垂直管理的要求,具体采取的方式可有:(1)分、支行的风险控制综合管理部门由上级行风险控制部门的直接管理,对上级行的风险管理和内部控制决策机构负责,以利于强化银行内部控制机构的独立性与权威性。(2)由总行向一级分行、一级分行向二级分行派出副行长级的风险管理控制官,全面负责派驻行的风险管理。派驻行的内部控制综合管理部门向风险管理控制官负责,风险管理控制官直接向派出行负责。
四是协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证银行经营管理系统的高效运作。
2.构建全新的内部控制治理机制。在现有的产权制度下,可在总行设立风险管理委员会,作为内部控制管理的主要决策机构,风险管理部为主要执行机构。同时设立审计委员会,并将其明确为全面风险管理的监督、评价部门,负责监察、评价内部控制的健全性、合理性和遵循性,督促管理层解决内部控制存在的问题。风险管理委员会负责拟定、执行控制程序,审计委员会负责监督、评价控制状况,并将修正控制意见反馈前者,以完备控制体系。两个委员会相互配合,共同实现全面风险管理的各项新要求。
3.构建符合内控要求的业务管理新制度。要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善信贷业务、财会业务、中间业务等各项业务管理制度,整合业务操作流程,建立起市场风险、信用风险、操作风险和道德风险的防范体制,构筑起面向全行、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。要切实发挥“三道防线”的作用,构筑起全方位、立体交叉的监督管理网络。基层网点要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。业务主管部门要加强规章制度的完善和业务流程的再造,加大业务条线自律监管的力度。内审部门要充分发挥审计的帮促作用,促使全行逐步建立起业务管理服从规章制度、业务操作服从处理流程、业务考核服从统一标准的管理新制度。
4.构建具有中国特色的风险控制工具。要学习和借鉴国外现代银行风险管理的技术和经验,积极探索适合我国国情的内部控制管理新方法,避免无谓的人力、财力的浪费。在目前情况下,我国商业银行应结合自身特点,在采用信用评分方法等传统模型计量信用风险,强化贷款五级分类管理的同时,积极创造条件,逐步运用现代信用风险管理方法来度量和监控信用风险,提高信贷风险控制的制度化和规范化水平,切实降低不良贷款率。鉴于我国商业银行在金融产品创新和金融工具的使用方面远远落后于西方国家,国外很多的许多风险管理工具和理念不能简单地照搬照抄,还应结合我国金融业发展的特点,对有关的现代信用风险管理模型进行结合中国实际的改进,或开发出适合中国国情的新的信用风险度量模型,使我国金融业的风险度量和控制工作既能体现风险管理的要求,又能体现中国的国情。