內部控制的風險評估要素精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的內部控制的風險評估要素主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:內部控制的風險評估要素范文
[關鍵詞] 企業內部控制理論 創新 評價 啟示
美國COSO委員會于1992年提出并于 1994年修改的《內部控制――整體框架》中對內部控制的定義得到廣泛的認可并沿用至今,其對內部控制定義的描述如下:內部控制是由企業董事會、經理階層和其他員工實施的,為運營的效率效果、財務報告的可靠性、相關法律的遵循性等目標的達成而提供合理保證的過程。在此基礎上,自20世紀90年代以來,企業內部控制理論得到了較好的創新發展。
一、內部控制框架理論分析
COSO委員會的報告《內部控制――整體框架》提出,為了實現內部控制的有效性,需要五個方面的要素支持:控制環境,風險評估,控制活動,信息與溝通和監督。這五要素之間是不可分割相互聯系的有機整體。
1.內部控制環境(control environment)。環境要素是推動企業發展的動力,是其他控制要素的基礎,決定著內部控制的規則與結構,決定了組織的氛圍,影響組織中人們的內控意識。它包括管理者的道德品行及經營管理理念、組織結構、董事會、人力資源資源政策與實務、企業文化等。
2.風險評估(risk appraisal)。風險評估指的是判別和分析企業在完成自身目標過程中的各種風險,從而為風險管理提供基礎。它包括風險辨識和風險分析,風險辨識的內容涉及到:科技的發展、顧客的需求或預期改變、競爭、新頒法律或行政命令,天然災害、經濟環境改變、資訊系統處理的中斷、所聘雇員的品質、訓練方法及激勵制度、經理人責任的改變、企業活動的性質、員工可接近資產的程度、董事會或監督委員會不夠堅定或無效等。
3.內部控制活動(control activity)。企業必須制定具體的控制政策及程序并加以實行,以幫助管理層確保在進行風險評估和處理基礎上其所采取的各種行動能使企業實現自身目標。內部控制活動就是指為保證目標得以實現而建立的各種政策和程序。控制活動貫穿于整個組織的各個層次和各部門,包括控制范圍設定、授權、協調、業績考核、資產安全保障以及職責劃分等。
4.信息與溝通(information and communication)。信息與溝通是指以一定的形式和在一定的時間段內辨認、獲得的,為員工在執行、管理和控制作業過程中所需的信息,以及信息的交換和傳遞。要想建立一個健全有效的內部控制系統,擁有一套完善的信息傳遞與溝通系統是不可少的。若組織內部的信息渠道不暢,內部控制的效果就會大打折扣。
5.監督(monitoring)。監督是指評估內部控制運作質量的過程,包括持續性監控活動和個別評估。這里的持續性監控活動是指營業過程中例行監督,包括管理人員的日常管理和監督以及職員執行職務時采取的其他行動。內部控制作用的發揮,有賴于建立起健全有效的內控系統,更有賴于其能夠良好運行。為此,整個內部控制的過程必須得到恰當的監督,以便在必要時加以修正,這種監督活動的形式主要是審計監督。
二、COSO報告關于內部控制理論的創新與突破
與此前的內部控制理論相比,COSO報告中的內部控制整體框架理論有了新的變化,比如,內部控制理論結構有所改變,由原來的三分法變成五分法;提出了一個全新的風險評估的內容;稱謂有所變化,原來的會計制度變成信息與溝通,原先的控制程序稱為控制活動;要素間關系發生了變化,原來的結構并不強調其要素的聯系,而現在則明確指出了要素之間的相互關系。
除了這些名稱、結構上的變化,COSO報告關于內部控制框架的論述中在理論上的創新更多地體現在它包含了很多新的、有價值的觀點。體現在以下幾個方面:(1)強調內部控制應該是一個與企業的經營管理過程相結合的“動態過程”。(2)明確對“內部控制”的責任。(3)強調“人”的重要性。(4)強調“軟控制”的作用。(5)強調風險意識。(6)揉和了管理與控制。(7)明確內部控制只能做到“合理”保證。
三、內部控制理論的新發展――企業全面風險管理(ERM)
COSO委員會于2004年9月29日正式《企業風險管理綜合框架》(ERM-IF)并提出將以ERM取代內部控制綜合框架(IC-IF),標志著內部控制理論與實踐進入了整體框架的新階段。ERM框架從內部控制的控制環境、風險評估、控制活動、信息與溝通、監督等五要素進行深化和拓展,將原有的風險評估一個要素發展為目標設定、事項識別、風險評估和風險反應等四個要素,從而將內控五要素發展為風險管理框架的八個要素。
1.ERM框架的三個維度
ERM框架有三個維度,第一維是企業的目標;第二維是全面風險管理要素;第三維是企業的各個層級。第一維企業的目標有四個,即戰略目標、經營目標、報告目標和合規目標。第二維全面風險管理要素有8個,即內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監控。第三個維度是企業的層級,包括整個企業、各職能部門、各條業務線及下屬各子公司。ERM三個維度的關系是:全面風險管理的8個要素都是為企業的四個目標服務的;企業各個層級都要堅持同樣的四個目標;每個層次都必須從以上8個方面進行風險管理。該框架適合各種類型的企業或機構的風險管理。
2.全面風險管理與內部控制框架
從COSO的ERM框架和內部控制框架可以看出,全面風險管理與內部控制框架既相互聯系又有重要差異。
從二者的框架結構看,全面風險管理除包括內部控制的三個目標之外,還增加了戰略目標;全面風險管理的8個要素除了包括內部控制的全部5個要素之外,還增加了目標設定,事件識別和風險對策三個要素。因此,全面風險管理涵蓋了內部控制。
從二者的實質內容看,兩者存在以下兩項重要差異:第一,兩者的范疇不一致。內部控制僅是管理的一項職能,主要是通過事后和過程的控制來實現其自身的目標;而全面風險管理則貫穿于管理過程的各個方面,控制的手段不僅體現在事中和事后的控制,更重要的是在事前制訂目標時就充分考慮了風險的存在。而且,在兩者所要達到的目標上,全面風險管理多于內部控制。第二,兩者對風險的定義和對策不一致。全面風險管理框架中,由于把風險明確定義為“對企業的目標產生負面影響的事件發生的可能性”(將產生正面影響的事件視為機會),因此,該框架可以涵蓋信用風險、市場風險、操作風險、戰略風險、聲譽風險及業務風險等各種風險;內部控制框架沒有區分風險和機會。而且由于全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法。因此,該框架在風險度量的基礎上,有利于企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前臺決策流程等,從而幫助董事會和高級管理層實現全面風險管理的四項目標。這些內容都是內部控制框架中沒有的,也是其所不能做到的。
四、企業內部控制理論發展的幾點啟示
從COSO報告所定義的內部控制可以看出,一個企業為了實現其既定目標,應當在培育一種積極的內部控制環境的基礎上,識別、衡量和評估經營管理活動中所涉及的各種突出風險點,針對風險點設置各種控制機制,并不斷地對上述整個過程的適當性和有效性進行監督和評審,內部管理信息系統為整個過程提供條件。從內部控制理論的創新發展的過程中我們可以從中得到以下幾點啟示:
1.內部控制的“責任”及“軟控制”的必要性。從內部控制的定義來看,對內部控制負有責任的不僅僅是管理人員、內部審計、董事會,企業的每一個員工對內部控制都負有責任。所有員工都應該主動遵守企業內部控制制度,團結一致,為實現企業的目標而維護內部控制。軟控制主要是指那些屬于精神層面的事物,如高級管理階層的管理風格、管理哲學、企業文化、內部控制意識等。
2.內部控制應與企業經營管理過程結合起來。內部控制是經營活動的一部分,與經營過程相結合,模糊了管理與控制的界限,內部控制監督企業經營過程的持續進行,使經營達到預期效果。
3.風險意識在內部控制中占據重要地位。良好的內部控制可以防范企業的風險,合理地保證內控目標的實現。現代社會是一個充滿劇烈競爭的社會,每一個企業都面臨著成功的挑戰和失敗的風險,對風險的管理是現代企業的主旋律之一。風險影響著每個企業生存和發展的能力,也影響其在產業中的競爭力及在市場上的聲譽和形象。COSO報告指出,所有的企業,不論其規模、結構、性質或產業是什么,其組織的不同層級都會遭遇風險,管理階層須密切注意各層級的風險,并采取必要的管理措施。
4.內部控制具有動態性。企業內部控制不是一項制度或一個機械的規定,而是對企業的整個經營管理過程進行監督與控制的過程,是不斷地與經營過程、管理過程相摩擦控制過程。企業經營管理環境的變化必然要求企業內部控制越來越趨于完善,內部控制是一個發現問題、解決問題、發現新問題、解決新問題的循環往復的過程,是不斷修正和更新的動態過程。
5.內部控制需要有效的信息系統。一個良好的信息和溝通系統,可以使企業及時掌握營運狀況和組織中發生的各種情況,及時為企業員工提供履行職責所需的各種信息,使企業的經營和管理流暢進行。有效的管理信息系統可以及時地提供各方所需要的信息,提供企業各部門管理控制生產、考核工作成果以及提供企業高層決策人員制定經營方針、制定規劃、進行決策所需的會計和管理信息。企業的人員通過管理信息系統了解了企業目前的狀況,才能對可能發生的異常狀況及時做出反應,從而及時報告,以防止重大損失的發生。
6.內部控制目標的設定非常重要。內部控制目標的設定是管理過程的一個重要部分,雖然它不是內部控制的組成要素,但卻是內部控制的先決條件。制定目標的過程不是控制活動,但其對內部控制的意義重大,直接影響到內部控制是否有存在的必要。企業控制目標的確定,有利于不同的人從不同的視角關注企業內部控制的不同方面。而且,不論內部控制設計及執行有多么完善,內部控制都只能為管理階層及董事會提供達成企業目標的合理保證。
參考文獻:
[1]Management Reports On Internal[J].Journal of Accountancy, Online Issuer(October),2008
[2]吳水澎 陳漢文 邵賢弟:企業內部控制理論的發展與啟示[J].會計研究2000(5):1~8
[3]閻達五 楊有紅:內部控制框架的構建[J].會計研究, 2003(2):9~14
第2篇:內部控制的風險評估要素范文
關鍵詞:風險管理;內部控制
一、企業風險管理與內部控制的概念比較
美國COSO委員會1992年的《內部控制整體框架》是用于指導企業進行內部控制的指導文件。2004年,COSO委員會出臺了新的COSO報告———《企業風險管理整體框架》,拓寬了內部控制的含義,同時對企業風險管理進行了詳細的說明。《企業風險管理整體框架》中對企業風險管理的定義為“由企業的董事會、管理層和其他員工共同參與,應用于企業戰略制定和企業內部各個層次和部門的,貫穿整個企業旨在識別影響組織的潛在事件,為組織目標的實現提供合理的保證”。《內部控制整體框架》將內部控制定義為“由企業董事會、經理階層和其他員工實施的,為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的大成而提供合理保證的過程”。在這兩個《框架》的基礎上,可以從企業風險管理與內部控制概念的定義、主要目標以及構成要素等幾方面做如下比較:
(一)企業風險管理與內部控制的定義
比較二者的定義可以看出二者的相同點有:企業風險管理與內部控制的實施主體相同,都需要企業的決策、管理以及執行各方階層的參與,而不是企業某一層級的特權;風險管理與內部控制的最終目的都是為企業的平穩運行保駕護航,為企業戰略目標實現提供合理保障。細分之下,二者也存在一些不同之處:內部控制更強調財務方面的可靠性以及企業管理的效率提升,而風險管理除了主要財務報告的可靠性之外更一步確保企業非財務信息的準確真實;內部控制只針對企業內部,風險管理則同時兼顧內部和外部風險。
(二)企業風險管理與內部控制主要目標
《企業風險管理整體框架》中指出風險管理服務的目標為戰略目標,經營目標,報告目標以及合規目標;《內部控制整體框架》中則提到內部控制的主要目標為經營目標,財務報告目標,合規目標[1]。可以看出,風險管理與內部控制的最終目標基本相近,二者間最明顯的區別是風險管理比內部控制多了一個戰略目標。內部控制注重在經營過程中為了實現目標采取的一種控制的管理職能,保障日常活動不脫離目標軌跡,而風險管理更側重事前預測和發現,但也不忽略事后采取相應的措施,使損失降到最低;企業風險管理是包括內外風險的全面管理,既關心由于組織結構、制度變革、人員變換等導致的內部風險,又關心由于外部政治經濟、自然環境等引起的外部風險,而內部控制則是在企業內部環境的基礎上進行風險的評估和監控,范圍相對狹窄。
(三)企業風險管理與內部控制的構成要素
內部控制包括五個組成要素:控制環境、風險評估、控制活動、信息與溝通、監督,而風險管理的構成要素為八個:內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監督檢查。通過以上比較可以看出,企業風險管理拓展了內部控制中的“風險評估”要素,將其演化為目標設定、事項識別、風險評估及風險應對。這四個要素是圍繞企業戰略目標而增加的內容。
(四)企業風險管理與內部控制的實現方法
內部控制主要對公司內部管理制度進行定性分析,設計指導性的對策,而風險管理則是側重量的分析,通過定量分析來評估風險發生的可能性是多少和對企業影響程度大小。內部控制和企業風險管理從不同的兩個方面對企業經營進行管理,相對內部控制評定的方法,企業風險管理會更加準確地判斷出風險的大小。
二、風險管理與內部控制的關系
(一)傳統理論觀點
從上一節的討論中可以看出,企業風險管理與內部控制的概念十分相似,二者的目標與構成要素也有很大部分的重疊,在理論應用中十分容易出現混淆。剖析過去對企業風險管理與內部控制關系的研究,目前對二者的關系問題有以下三種主流觀點:1.內部控制是風險管理的一部分:《企業風險管理整合框架》中明確指出:“內部控制是企業風險管理不可分割的一部分”。《框架》是定義企業風險管理的權威參考之一,因此在理論研究中,將內部控制劃入風險管理范圍內的觀點被廣泛接受;2.內部控制包括風險管理:不同于美國COSO委員會,加拿大COSO委員會在其報告中指出:“風險評估和風險管理是內部控制的關鍵要素”;3.內部控制與風險管理本質上是相同的:英國特恩布爾報告認為健全的內部控制制度必須建立在對公司所面臨風險全面、綜合分析的基礎上。
(二)風險管理與內部控制的關系
具體到在理論實踐應用中,常更傾向于實踐第三種觀點:即內部控制與風險管理本質相同,二者在指導企業管理中相輔相成,共同為實現企業的戰略目標服務。如今以風險為導向的內部控制機制在實踐中已經得到普遍認可,有力的說明了風險管理與內部控制的可兼容性。1.風險管理體系是內部控制的前提:不同于內部控制,風險管理是管理活動,設定企業的戰略目標并圍繞這一目標對環境存在的風險進行評估,是其開展管理過程的前提。而內部控制框架中沒有企業戰略目標這一要素,風險評估的標準沒有明確與企業戰略目標掛鉤,其特定目標是維護企業的經營和效率、財務報告的可靠性及經營活動的合法合規性,這些目標服務于實現價值創造和企業戰略的終極目標。2.內部控制體系依賴于風險管理體系:內部控制體系的關注重點在財務方面,在實現內部控制的過程中,自身的風險需要其他管理體系加以識別和評估。風險管理體系除關注財務外,同時強調其他方面的管理,并且可以對內部控制體系自身的風險進行防范,建立完善的風險應對體系。3.內部控制與企業風險管理是有機的整體:二者的目標都是為了實現企業的平穩健康發展,二者雖然側重點不同,但在實現企業戰略目標方面相輔相成,是一個有機的整體——內部控制與企業風險管理是公司內部環境與外部環境兩個方面管控風險的不同框架。企業所處的市場及社會環境的不斷變化,企業面對的風險是一個動態概念,經常處于變化之中,只有把握風險管理先機,才能收到實效,及時掌握盡可能真實、準確的經濟動態信息。而動態風險管理過程的順利實現必須依賴于內部控制,在內部控制的有效框架下對企業內部存在的風險進行治理,而對于內部控制無法掌握的外部環境,應在風險管理的框架下及時采取有效措施,內外雙管齊下,避免企業運行偏離原定目標。
三、建立基于企業風險管理整合框架的內部控制體系
建立基于企業風險管理整合框架的內部控制體系,即在風險管理的基礎上,科學設計內部控制制度,為實現企業目標提供合理的保障。首先,所有的經營活動必須在不觸犯相關法律法規的前提下進行,將兩者管理方法結合應用,使企業健康快速發展。其次,為了實現企業目標,內部控制必須確保企業內部業務流程的順利進行,有效地執行每個業務環節。最后,內部控制通過對風險的識別、評估、找到行之有效的方法,在管理過程中將兩者進行融合。以啟明信息技術股份有限公司為例[3],通過生產生活中經驗的積累,啟明信息技術股份有限公司建立了完備的基于企業風險管理的內部控制體系:一方面在實施風險控制時,通過將風險管理工作落實到內部控制制度上,來提高企業風險評估的水平,另一方面通過內部控制來優化企業的管理功能,從而更好的進行風險管理,分析制定風險管理方案。通過將企業風險管理與內部控制相結合,企業最大化的實現了對風險的防范,提高了經營管理效率。在新的復雜的市場經濟環境下,企業面臨巨大的內外部各類風險,以風險管理為導向的內部控制管理模式會更利于企業的發展。內部控制和企業風險管理在企業管理中起著等同的重要作用,因此在企業風險管理整合框架的基礎上,建立完善的內部控制體系,從而使企業更好地實現企業目標,以增強企業的抗風險能力,將是未來風險管理與內部控制融合發展的方向。
參考文獻
[1]朱大華.企業風險管理與內部控制的關系與應用[J].財會通訊,2012,(26):46-48.
第3篇:內部控制的風險評估要素范文
【關鍵詞】 COSO報告;內部控制;風險管理
一、COSO背景
COSO委員會是由美國注冊會計師協會( AICPA )、美國會計學會( AAA )、財務經理人協會( FEI )、內部審計師協會( IIA )和管理會計師協會( IMA )共同發起并出資組成的民間組織。該組織的宗旨在于通過商業倫理、有效的內部控制和公司治理提高財務報告質量。COSO的研究成果在美國以及全球會計、審計和證券界產生了深遠影響,其中的一些概念和原理被寫入了教科書,成為研究人員經常引用的經典;而且,隨同報告的實務指南也為單位組織建立內部管理架構提供了十分有益的幫助,成為評價單位組織內部控制的標準。(柳木華 . 2006)。迄今為止,COSO委員會共了五部研究報告。
1987年,COSO了《反欺詐性財務報告全國委員會報告》,報告對財務欺詐的研究和分析沒有簡單地局限于獨立審計師的查錯作用,而是密切關注企業法律、金融和其他咨詢顧問在財務欺詐中的角色,分析了企業經理班子價值觀念和會計、內審與審計委員會的作用,觸及了政府管制(包括SEC)和大學會計課程設置是否充分有效等問題。報告分別向公眾公司、注冊會計師、SEC以及其他法律部門、教育部門等提出了約100條建議。1996年,COSO發表了《金融衍生工具使用中的內部控制問題》,該報告模型認為,“風險管理過程需要理解實體的目標和經營活動,識別市場風險和測度承擔的風險,然后決定是否使用衍生產品將風險降低到可以承受的水平。只要簡單的忽略與衍生產品有關的部分并代之以其他合適的降低風險行為,這個過程就具有普遍性”。報告為衍生工具用戶建立、評估和改善內部控制,提供了指導性建議。1999年,COSO利用1987-1997年欺詐性財務報告公司樣本,在歸納其公司特征、控制環境特征、欺詐特征的基礎上,了《欺詐性財務報告-1987至1997:美國公眾公司分析》。報告探討了三個欺詐高發行業――信息技術、保健和金融服務業的欺詐特點,發現三個行業的欺詐手段存在顯著差異,如信息技術業最常見的欺詐手段是收入欺詐,而金融服務業最常見的手段是資產欺詐和資產盜用,并且研究了財務報告欺詐與公司治理之間的關系,發現欺詐樣本公司與其所在行業標準相比,具有相當弱的公司治理機制。20 世紀在經歷了70年代一連串財務失敗和可疑的商業行為相繼爆發后,國際社會又出現了更聳人聽聞的以金融機構破產為代表的財務失敗事件,給納稅人最終帶來超過1 500億美元的成本。為能有效遏制這種愈演愈烈的會計舞弊活動,1992年,COSO在進行了深入研究之后了一份關于內部控制的綱領性文件,即《內部控制――整體框架》,它標志著內部控制理論與實踐進入了整體框架的階段。報告提出了內部控制的五個重要組成要素:控制環境、風險評估、控制活動、信息及溝通與監督,深化了內部控制的理念和應用。COSO報告一經便得到了業界的認可與采納,并在世界范圍內產生了廣泛影響。2001年以來,以安然、世通等為代表的一些美國大公司,因財務信息造假等行為而相繼倒閉破產,震撼了美國的資本市場,引起了世界的極大反響。在國際社會對改善公司治理與加強風險管理的呼聲日益高漲的背景下,2004年9月,COSO委員會結合《薩班斯一奧克斯利法案》的相關要求,頒布了一個概念全新的報告:《企業風險管理――整體框架》(ERM)。框架的出臺順應了各方需求,與1992年的《內部控制――整體框架》相比,在內部控制的內涵、目標、要素以及內部控制責任承擔等層面有了全新的突破,對企業風險管理做出了更為詳盡的闡述。ERM并沒有取代《內部控制――整體框架》,而是基于并將其融入其中,全面推進了內部控制標準的發展。
二、COSO企業風險管理整體框架概要
COSO為企業風險管理確立了一個可普遍接受的概念,為各組織識別風險和實施風險管理提供了理論基礎。ERM框架認為:“企業風險管理是一個過程,是由企業的董事會、經理層和其他員工共同參與,應用于企業戰略制定和企業內部各個層次和部門的、貫穿整個企業,旨在識別影響組織的潛在事件,為組織目標的實現提供合理的保證”。企業風險管理是由人參與的過程而并非結果,企業必須將風險管理融入在日常的經營管理之中,并涉及企業的每個員工。風險管理能夠識別對企業造成影響的潛在風險,能在一定程度上幫助企業實現合理的既定目標。
企業風險管理包含八個相互關聯的要素:
(一)內部環境
內部環境是其他風險管理要素的基礎,它由《內部控制――整體框架》要素中的“控制環境”演變而來,但包含了更為豐富的內容,如風險文化和風險偏好、管理哲學和經營風險、權力和責任分配、實踐操守和價值觀等。
(二)目標設定
ERM框架認為,企業的管理層在評估風險之前必須確立目標,并針對不同的目標分析相應的風險,這樣管理當局才能識別影響目標實現的潛在事項。企業的目標可以分成四類:1.戰略目標。與企業的使命相一致,是較高層次的目標;2.經營目標。與企業經營的效果與效率相關,旨在使企業能夠有效地使用資源;3.報告目標。企業組織報告的可靠性,分為對內報告和對外報告,涉及財務和非財務信息;4.遵循目標。即企業經營是否遵循相關的法律法規。
(三)事件識別
指識別影響事件的內外部因素。潛在的事項,對企業可能有正面影響,也可能有負面影響。識別風險旨在于抓住機遇,或者在風險評估和應對階段彌補風險對企業的影響。
(四)風險評估
是決定如何管理風險的基礎,風險得到識別后,就需要對風險進行分析評估,這樣,管理層就能根據被識別風險的重要程度來進行規劃和組織,使通過風險管理這個過程識別和分析風險,并采取減弱風險影響的行動來管理風險。風險評估可根據不同的風險目標確定相應的風險評估方法,主要為定量分析和定性分析相結合的方法。
(五)風險對策
是在評估了相關的風險之后,所做出的應對、控制、轉移、補償風險的各種策略和措施。通常將風險對策分為規避風險、減少風險、共擔風險和接受風險等四類。企業應在風險容忍度和成本效益原則的前提下,考慮每個方案如何影響事件發生的可能性和事項對企業的影響,并設計和執行風險應對方案。COSO認為,有效的風險管理是管理者的選擇能使企業風險發生的可能性和影響都落在風險的容忍度內。
(六)控制活動
是有助于保證風險應對方案得到執行的相關政策和程序。管理當局應對企業所有系統進行控制,包括對信息系統的控制,通常控制活動和風險評估過程是聯系在一起的。
(七)信息與溝通
信息是溝通的基礎,溝通必須滿足不同團體和個人的期望。企業內部和外部的信息必須以一定的方式進行確認和傳遞,以保證員工各自職責的執行和企業風險管理的有效運行。
(八)監督
COSO將監督作為評估企業風險管理質量過程的一個部分,即評估風險管理要素的內容和運行,以及評價某一時期執行質量的一個過程。該過程包括持續監督、個別評估或者兩者的結合。
企業風險管理的八個要素是一個有機整體。風險管理不只是一個直線的過程,而是一個多元化的相互作用的過程。 各要素之間的關系是:內部環境是企業風險管理的基礎,為企業風險管理所有其他要素的運行提供了平臺和組織結構;企業目標的制定,是風險管理的起點,是其他步驟的軀動力量;在企業目標已定的前提下,企業需要對影響目標的風險進行事件識別,進而對識別事件進行風險評估,風險評估馭動風險反應,影響控制活動;信息與溝通和監督貫穿于企業風險管理的全過程,并且可對其他各個組成要素進行修正(吳永澎 . 2006)。
三、COSO企業風險管理框架對內部控制標準的發展
(一)豐富了內部控制的內涵
COSO在《內部控制――整體框架》中將內部控制定義為一個受董事會、經理層和其他人員影響的過程,提出內部控制是為了實現三個目標,即:經營的效果和效率、財務報告的可靠性、法律法規的遵循性。該定義明確了以下要點:內部控制是一個過程;內部控制是一個受人影響的過程;內部控制為了實現三個目標;內部控制過程的設計是為了提供實現內部控制目標的合理保證。這個定義比較寬泛,從某些角度來說,也存在一些片面性。而新的ERM框架則更加明確了對風險管理和保護資產概念的運用,并將糾正錯誤的管理行為明確地列為控制活動之一。ERM框架在原《內部控制――整體框架》所明確的要點基礎上,進一步明確了以下內容:即,內部控制應用于戰略制定;內部控制貫穿整個企業的所有層級和單位;內部控制旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險。由于ERM框架提出了風險偏好、風險容忍度等概念,使得ERM的定義更加明確、具體,同時又涵蓋了內部控制所有合理的內容。
(二)發展了內部控制的目標
針對《內部控制――整體框架》對企業戰略管理方面關注不夠的缺陷,ERM在目標中增加了一個新的目標――“戰略目標”。使企業在追求短期利益的同時,從戰略高度關注企業的長遠目標和可持續發展。該目標的層次比其他三個目標更高。風險管理既應用于實現企業其他三類目標的過程中,也應用于企業的戰略制定階段。特定的戰略目標雖然可以通過不同的戰略來實現,然而不同的戰略目標會給企業帶來不同的風險。戰略制定和風險偏好存在直接關系,在考慮達到戰略目標的具體目標時,管理當局要鑒別與戰略選擇相關的風險,并且要考慮對這些風險的應對措施的運用(吳永澎. 2006)。此外,ERM整體框架還將“財務報告的可靠性”發展為“報告的可靠性”。原COSO報告將財務報告的可靠性界定為“編制可靠的公開財務報表,包括中期和簡要財務報表,以及從這些財務報表中摘出的數據,如利潤分配數據”。新報告則將報告拓展到“內部的和外部的”、“財務的和非財務的報告”,該目標涵蓋了企業的所有報告。
(三)拓展了內部控制的要素
COSO在《內部控制――整體框架》中提出了五個要素:即控制環境、風險評估、控制活動、信息和溝通、監督。ERM框架對這五個要素進行了深化和拓展,將其演變為八個要素。引入了風險偏好、風險容忍度和風險文化等概念,將原有的“控制環境”擴展為“內部環境”。這一修改使企業關注的范圍不再局限于控制方面,而是從更寬闊的視野,以及更綜合、更直接的角度考慮各種因素對風險的影響。并且將原有的“風險評估”要素發展為“事件識別”、“風險評估”和“風險反應”。這不只是對原“風險評估”進行的簡單細化,而是意味著企業風險意識的增強和主動地管理風險。也就是企業風險管理綜合框架強調應對所有事件,包括正面事件和負面事件進行綜合識別,并且應將其以適當的組合方式加以看侍,并通過對固有風險和剩余風險的綜合評價做出適當的風險應對措施,以減少經營偏差的發生及相關成本和損失,有利于企業抓住機會,及時調整策略,避免資源浪費,實現經營獲利目標。
(四)明確了內部控制的責任關系
ERM框架認為,組織的每個成員都應對企業風險管理承擔責任,并進一步劃分了責任主體的等級:董事會在風險管理中扮演更加重要的角色――負總體責任,并被要求變得更加謹慎。企業風險管理的成功與否主要依賴于董事會,因為董事會需要批準組織的風險偏好;在企業風險管理中,CEO負有首要責任,并應對所有權負責,其他經理人員則起支持作用;風險部門管理者,財務部門管理者和內部審計人員等負有關鍵性責任;其他的企業人員負有按確定的指示和協議執行企業風險管理的責任。另外,企業外部利益相關者如客戶、賣主、商業伙伴、外部審計師、監督者和財務分析師經常提供影響企業風險管理的有用信息。雖然他們并不為企業風險管理負責,但卻是企業實施風險管理必須考慮的因素。
(五)創新了內部控制的風險觀念
ERM 框架指出,企業風險管理的基本假設是,每一主體存在的目的是為其所有者創造價值。所有主體都面臨不確定性,管理層的挑戰就是確定在其為所有者創造價值的過程中,須在多大程度上接受不確定性。ERM把事件區分為風險和機會,事件可能有消極的影響、積極的影響或兩者兼有。消極影響事件意味著風險,它妨礙價值創造或削弱現存價值;積極影響事件可以抵銷消極影響或意味著機會。機會是一種可能性,即事件將會發生并積極影響目標實現、支持價值創造或價值保持。一個組織必須識別影響其目標實現的內、外部事件,區分哪些是風險、哪些是機會。管理當局要密切注意各層級的風險,并采取積極的管理措施。內部控制的目的不應是消極控制或防范風險,而是要主動管理風險。風險管理能使管理層有效地處理不確定性及與之相關的風險和機會,增進創造價值的能力,并在追求主體目標的過程中有效地配置資源,實現價值最大化。
【參考文獻】
[1] 賈國軍,李陽,楊秀玲. “從美國COSO報告的發展,看我國內部控制體系的完善”. 財會研究,2006.11.
[2] 宋怡萱,張翩. “COSO企業風險管理整體框架解析”.財會通訊,2006.3.
[3] 陳秧秧. “COSO《企業風險管理綜合框架》簡介”. 財會通訊,2005.2.
[4] 金小英,唐予華. “COSO風險管理報告內外部關系的解讀與啟示”. 財會通訊,2006.6.
第4篇:內部控制的風險評估要素范文
關鍵詞:內部控制;路徑;風險管理
近年來,國際上一些著名企業相繼爆出丑 聞,造成極其嚴重的后果。我國企業也為內部 控制和風險管理的缺失付出了慘痛的代價,如 國內著名企業中發生的中航油(新加坡)公司 破產倒閉事件以及中行、農行、興業、浦發等銀 行巨額虛假貸款、大額資金失蹤等舞弊案頻頻 曝光。究其原因,內部控制存在缺陷是導致企 業不能及時發現和有效控制經營風險,并最終 鋌而走險、欺騙社會公眾和投資者的重要原 因。在對這些財務舞弊和經營管理失敗案例進 行反思后,人們逐漸認識到“有控則強、失控 則弱、無控則亂”的道理,控制失靈難以使事業 持久、基業常青。建立完善的且行之有效的企 業內部控制機制已成為企業的當務之急.
一、內部控制的內涵 人們對內部控制的定義經歷了從簡單到 復雜、從靜態到動態、從以制度為本到以人為 本的一種邏輯演繹,體現了人們對內部控制認 識的逐漸深化,加深了人們對內部控制的進一 步理解,從而使人們對內部控制這一客觀事物 的認識更能貼近事物的本原。所謂內部控制, 是由企業建立的,通過約束和激勵等手段,以 保障企業各利益相關者的行為能夠按契約的 要求進行,并能夠促使契約自我優化的一種系 統化的機制,其目的是為了實現企業目標.
二、內部控制發展歷程 對內部控制的認識,經歷了一個逐漸發展 的過程。美國的內部控制經歷了從內部牽制到 二要素法、三要素法到五要素法,日趨完整和 深入,最終發展為全面風險管理框架模式.
1、內部牽制。內部控制的最初形式是內部 牽制,內部牽制以賬目間的相互核對為主要內 容,并實施崗位分離,內部牽制機制在減少錯 誤和舞弊行為上起到了十分重要的作用.
2、二要素法。隨著經濟的發展和企業組織 規模的擴大,人們發現內部牽制已經越來越不 能適應大型企業需要,因此對內部控制的研究 也越發深入,美國注冊會計師協會的審計程序 委員會于1958年10月的《審計程序公告 第29號》將內部控制劃分為會計控制和管理 控制,內部控制劃分為二要素形式.
3、三要素法。1988年美國注冊會計師協 會的審計準則委員會《審計準則公告第 55號》,該公告以“內部控制結構”代替“內部 控制制度”,具體包括三個要素:控制環境、會 計制度、控制程序.
4、五要素法。1996年美國注冊會計師協 會《審計準則公告第78號》,全面接受 COSO報告的內容,新準則將內部控制定義為: “由一個企業的董事會、管理層和其他人員實 現的過程,旨在為下列目標提供合理保證:財 務報告的可靠性、經營的效果和效率以及符合 適用的法律和法規”。該準則將內部控制劃分 為五種要素:控制環境、風險評估、控制活動、 信息與溝通、監控.
5、全面風險管理框架。2003年7月美國 COSO委員會頒布了企業風險管理框架的討論 稿,并于2004年4月頒布正式稿。將企業風險 管理的構成分為內部環境、目標制定、事項識 別、風險評估、風險反應、控制活動、信息和溝 通、監控等八個相互關聯的要素,各要素貫穿 在企業的管理過程之中.
三、企業風險管理整合框架的諸要素構成 1、內部環境。內部環境是企業風險管理其 他構成要素的基礎,為其他要素提供約束和結 構。它影響著戰略和目標的制定、經營活動的 組織以及風險的識別、評估和應對,它還影響 著控制活動、信息與溝通體系以及監控措施的 設計與運行。內部環境受企業歷史和文化的影 響,包含許多要素,包括風險管理理念、風險容 量、董事會監督、主體中人員的誠信、道德價值 觀和勝任能力以及管理者分配權力和職責、組 織員工的方式.
所有這些要素都很重要,但對每個要素的 強調程度會因企業而異。然而,董事會是內部 環境的一個關鍵部分,它對其他的內部環境要 素有重大影響。因為董事會對管理者獨立性、 經驗、才干、敬業等方面的監督與審查,對企業 來說至關重要。要想使內部環境有效,董事會 中的獨立外部董事必須至少占多數.
內部環境的另一關鍵要素是企業的風險 管理理念。一個企業的風險管理理念是一整套 共同的信念和態度,它決定著該企業在做任何 事情(從戰略制定和執行到日常經營活動)時 如何考慮風險.
2、目標設定。企業在既定的任務和背景 下,制定戰略目標、選擇戰略,并制定相關目 標,將其細分至企業的方方面面,與戰略保持 一致并相聯系。企業必須先有目標,管理者才 能識別影響它們實現的潛在事項。企業風險管 理確保管理當局采取恰當的程序去設定目標, 確保所設定的目標支持和切合該企業的使命, 并與它的風險容量或風險容限一致.
3、事件識別。管理當局必須識別可能對企 業產生影響的潛在事項。潛在事項具有負面的 或正面的影響,或兩者兼而有之。具有潛在負 面影響的代表風險,管理者要對之進行評估和 做出反應。相應地,風險被定義為事項發生并 對目標實現產生不利影響的可能性。具有潛在 正面影響的事項代表機會。代表機會的事項引 導管理者制定戰略和相關目標,以便采取行動 抓住機會.
4、風險評估。風險評估使企業考慮潛在事項如何影響目標的實現。管理當局應從兩個角 度對事項進行評估:可能性和影響,并且通常 采用定性和定量相結合的方法。在不要求定量 化的地方,或者在定量評估所需的可靠數據無 法取得或獲取和分析數據不具有成本效益時, 管理者通常采用定性評估技術。定量技術精確 度更高,通常應用在更加復雜的活動中,以對 定性技術進行補充。評估風險時既要考慮固有 風險,也要考慮剩余風險。固有風險是管理當 局沒有采取任何措施來改變風險的可能性或 影響的情況下,一個企業所面臨的風險。剩余 風險是在管理當局應對風險后所殘余的風險.
第5篇:內部控制的風險評估要素范文
【關鍵詞】內部控制,風險管理,風險控制
一、內部控制與風險管理的關系
對內部控制與風險管理二者之間關系的討論,學術界和實務界對二者的認識沒有達成一致。因此,本文將從理論爭鳴、歷史發展等方面厘清二者的關系。
(一) 理論爭鳴
了解內部控制與風險管理的概念是分析兩者關系的第一步。對于同一術語,不同的機構有不同的認定,而對于同一認定,不同的學者也會有不同的理解,因而形成了對于內部控制與風險管理關系的不同觀點。
1.內部控制包含風險管理這一觀點是由 CICA ( 1995) 提出來的。CICA從自身組織對控制的定義出發提出了 “內部控制包含風險管理”這一觀點。
2.謝志華 ( 2007)提出: 《內部控制―――整體框架》升級為 《企業風險管理―――整體框架》,之所以能夠發生這種轉化,根本原因在于內部控制的最終目的就是為了控制風險,從語義上說,內部控制就是控制風險,控制風險就是風險管理。內部控制主要是從風險控制的方式和手段說明風險控制的,風險管理是從風險控制的目的來說明風險控制的。
3.風險管理包含內部控制COSO ( 2004) 中明確指出: 風險管理包含內部控制; 內部控制是風險管理不可分割的一部分。如前所述,COSO 認為風險管理由八個要素組成,內部控制由五個要素組成。顯然內部控制包含在風險管理之中,內部控制是風險管理的一種方式,企業風險管理比內部控制范圍廣得多。
(二)內部控制與風險管理的本質
上述三種觀點揭示了內部控制與風險管理之間確實存在著聯系,也決定了兩者之間必然有共同點。因此,應從內部控制與風險管理的起源與發展來看兩者的本質。
1.內部控制的起源和發展
(1)一般認為,20 世紀 40 年代以前是內部牽制階段。在當時相對確定的經濟環境和相對簡單的契約產權關系下,財產所有者面臨的主要風險是財產物資收支和保管過程中的失竊風險。為了保證財產物資在實物上的安全與完整,人們設計了支出錢財由兩個不同崗位的人分別進行記錄、核對的程序。這就是內部控制最初的思想――內部牽制。
(2)1940年 AICPA 所屬的審計程序委員會發表了一份特別報告,首次正式提出了內部控制的定義: “內部控制包括組織的計劃和企業為了保護資產,檢查會計數據的準確性和可靠性,提高經營效率,及促使遵循既定的管理方針等所采用的所有方法和措施”。
(3)從內部控制的起源和發展來看,最早的內部牽制本身就是基于企業財物的安全性和信息的真實性的需要而產生的,而財物不安全和信息不真實正是當時企業面臨的基本風險。內部牽制是基于對這類風險的控制需要而產生的,內部牽制本身就是風險控制。
(三) 兩者的關系。綜上所述,內部控制與風險管理有著共同的本質――風險控制。將風險組合管理觀念引入了風險控制中,使風險控制更加具有科學性和可實踐性; 將戰略目標引入其中,使得風險控制上升到戰略層次,使得企業在實施控制時也會更加系統化和周密化; 將風險控制的范圍擴大,用整體化的眼光來看待個別風險和總體風險。因而風險管理是包含內部控制的,并且引導著內部控制向著風險管理的方向發展。
二、內部控制與風險管理關系的現實協調
目前,很多國家為了建立風險導向的內部控制而制定一系列規范或文件將兩者結合起來,我國也采取了這樣的做法。2007 年 3月由財政部頒布的《企業內部控制規范――基本規范》(以下簡稱基本規范)和17項具體規范(征求意見稿)合理借鑒了以美國COSO報告為代表的國外內部控制框架,根據我國國情進行了調整和改進,在以下幾方面體現了內部控制和風險管理關系的現實協調。
(一)目標體系上的協調。基本規范第4條對內部控制的目標做出了詳細規定,“內部控制,是指由企業董事會、管理層和全體員工共同實施的、旨在合理保證實現以下基本目標的一系列控制活動: 企業戰略; 經營的效率和效果; 財務報告及管理信息的真實、可靠和完整; 資產的安全完整; 遵循國家法律法規和有關監管要求”。由此可見,風險管理框架中對戰略目標的表述認定戰略目標屬高層次目標,它與企業的使命相關聯并支撐著企業的命運。
(二)要素分解上的協調。基本規范對風險評估要素定義為: “是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程,是實施內部控制的重要環節。”風險評估主要包括目標設定、風險識別、風險分析和風險應對。對風險評估要素的分解,實質上對應的就是企業風險管理框架的風險評估要素的分解。將風險定義為對實現內部控制目標可能產生負面影響的不確定性因素。而事項則是包含風險和機會,從這一方面看來, “事項”更加合理化和綜合化。
第6篇:內部控制的風險評估要素范文
關鍵詞:企業組織目標內部控制風險管理
一、內部控制與全面風險管理的相關概念
(一)內部控制
所謂內部控制是指經濟單位及各組織在經濟活動中所建立起的一種互相制約的業務組織形式及職責分工制度。可以說內部控制是一個過程,該過程受著企業組織內部各個人員的影響,其目的是為了優化經營管理,提升企業的經營效益。內部控制的要素共分為控制環境、風險評估、控制活動以及信息與溝通和監督等五個,如下圖1所示。
(二)全面風險管理
所謂風險管理是指在一個存在風險的環境中,如何將風險降至最低的管理過程,該過程包括了對風險因素的評估、度量以及制定應變策略等。理想的風險管理是一個將優先次序排好的過程中,其中可能引起最大損失以及最可能發生的事情進行優先處理。但是實際情況中,排列優先次序的過程相對比較困難,因為風險與其發生的可能性并沒有一定的規律可循。由此可見,風險管理需要整個公司所有人員的共同執行與參與。風險管理要求包括內部環境、目標制定、事件識別、風險評估、風險反應以及控制活動、監督和信息與溝通等八個。其如下圖2所示。
二、內部控制與風險管理的異同
(一)重視內部控制與風險管理的相關性
企業內部控制和風險管理的相關性體現在以下幾個方面:
第一,內部控制及風險管理都是指過程化的管理,相對而言內部控制呈現出動態管理的特點,它促使企業經營朝向既定的組織目標而努力,但是它又不是組織目標的一部分,而是促使目標達成的手段,內部控制各要素對其產生直接的影響。全面風險管理同樣是一個過程,但是其相對內部控制而言,從某種意義上表現出一種靜態性,即其貫穿于企業的各項業務活動中,管理過程的各方面均有風險管理各要素的滲透。
第二,影響內部控制及風險管理的因素相同,企業組織架構中各個層次的人員,諸如董事會、管理層或者其它的相關人員,他們的互相影響和作用會對內部控制產生直接的影響,它不但包含了內部控制政策及相關的控制表單,各層次人員的作用也包含在內。此外,在控制過程中,每個成員不僅是被控制的對象,也會是實行控制的控制者。而對于風險管理而言,其整個過程也強調人的參與,它與整個企業的所有相關人員均有著密切的關系,而企業管理者在進行風險管理時要有一個宏觀架構方面的風險組合觀念。
第三,內部控制和風險管理的手段相同。無論是內部控制還是風險管理,均是通過風險評估來實現對應的管理目標。企業在實行內部控制的過程中,風險評估是其中必不可少的一部分,它的主要作對是對影響目標實現的各種不確定因素加以辨別,從而再針對風險管理的方法做出決定。控制與風險是兩個密切相關的概念,而企業要提升其內部控制的效率及加強內部控制的效果,最主要的就是要進行環境控制及風險評估。企業在進行風險評估的過程中,通常要經過風險辨識、風險分析及應對控制等各個環節。同樣,在風險管理中一樣要先確定出組只目標,在剩余及固有的基礎上評估風險,對其影響企業目標實現的程度做出分析與判斷,并以此為基礎進行風險管事,從而為企業合理的配置管理資源提供更為合理的依據。
第四,內部控制與風險管理的目的相同。無論是內部控制還是風險管理,其最終的目的都是保證企業組織目標的順利實現。因為內部控制本身有一定的限制,比如成本控制、人為錯誤或者管理越權等等,所以內部控制只可為企業管理提供相應的保證,但無法做到絕對保證。而風險管理同樣也是為了識別對企業經營目標會產生影響的因素,并有針對性的加以管理,以促使企業可以在經濟預算合量的基礎上,判斷出其風險偏好。
(二)內部控制與風險管理的差異
內部控制風險管理的差異表現在兩點:
其一,內部控制與風險管理的側重點不同。相對而言,內部控制更加側重于制度層面,其通過制定規章制度促使各層人員遵守制度來規避風險;而風險管理的側重面更體現在交易層面,即其規避風險的手段為市場化的自由競爭或者市場交易等。通常而言,內部控制的目的是提高會計信息的真實性及資金的安全性,其核心是會計控制。內部控制通常僅限于財務部門及其要關部門,在企業管理過程或者整體的經營系統層面,內部控制只是管理職能中的一項。而全面風險管理則更加側重于在特定的業務中,與戰略選擇及經營決策有關的風險和收益的比較,比如利率風險、匯率風險管理以及銀行授信管理等等,可以說在整個管理過程中均滲透著風險管理。由此可見,風險管理是內部控制在技術與市場條件下的自然延伸,內部控制是風險管理的前提與基礎,而風險管理中包括了內部控制。
其二,內部控制及風險管理所涉及到的風險的范圍不同。內部控制過程中,經營管理活動既要對內部風險做出評估,又要評估外部的風險。內部控制的過程涉及到整個公司所面對的、并且公司內部各相關人員所經營的各類外部及內部風險。而風險在實際的企業運營過程中卻是客觀存在的,相對于內部控制而言,風險管理與其最大的不同就是對特定業務的戰略評審更為關注,其主要目的是通過對不同公司業務領域內風險和報酬間的比較,實現收益最大化的企業經營目標。
三、內部控制與風險管理的有效整合
(一)內部控制要服務于企業經營者的目標
所謂控制就是控制者對受控者的一種能動作用,受控者根據控制者的作用而進行相應的行動,從而實現系統目標。盡管設定內部控制目標不屬于內部控制的組成要素,但是它是實施內部控制的前提,促進內部控制的關鍵條件,屬于過程管理中的一個重要組成部分。內部控制目標的制定對內部控制而言,意義重大,其對是否有必要存在內部控制有著決定性的作用。一個完善的內部控制對企業經營目標的實現有著直接的影響,它幫助企業經營者實現其預定經營目標。管理目標包括合理的資源配置、科學的決策、最低的成本控制、最優的質量管理以及利潤最大化。在企業組織目標中,該五個具體的管理目標是互相聯系、互相支持的:企業設施配置的關鍵就是資源配置;而企業經營的方向性是由管理決策來決定的;產品成本目標是實現利潤最大化的重要條件之一;質量管理目標則是保證企業永續經營的必備條件;而財務目標即利潤最大化,是企業經營的源動力,也是其它目標綜合作用的最終成果。只有實現了這五個目標,才能夠保證企業整個經營管理目標的實現。
(二)內部控制對實現組織目標的間接作用
因為內部控制制度所體現的是控制主體即企業經營者的意志,因此如果控制主體不同,其內部控制的目標必然不同。內部控制目標還要按照企業的法人治理結構的不同層次進行具體的細分,將內部控制目標層層落實到各級單位及部門。企業各層次相關人員進行內部控制的主要目標就是降低經營風險,減少虛假會計信息,保證管理者的經營目標可以順利實現。但是企業管理中必然存在激勵機制,管理者的目標與企業組織目標不得背道而馳,其最終的目標仍是為了實現企業組織目標而服務。一個有效的內部控制機制不但可以實現企業資源利用率最大化,有效的降低成本,還能夠促進企業向著良性化的方向發展。隨著市場經濟的不斷發展,人們的經濟意識也在不斷的提高,企業所處的經營環境的不確定性也越來越高,企業契約的不完備性就隨之增強,因此各企業經營者對內部控制的研究越來越重視,以期能夠通過合理的內部控制消除不完備契約所導致的逆向選擇及道德風險,最終促企經營目標得以順利實現。
(三)全面風險管理概念可以取代一般性的風險管理
我們可以用全面風險管理的概念取代企業經營過程中的一般性的風險管理。全面風險管理概念中提出,無論哪種類型的企業均或多或少面臨著各種不確定性,來自于各方面的風險與機遇是并存的。而對于企業的經營管理者來說,最大的挑戰是在企業為各利益相關者創造價值的過程中,對企業承受伴隨價值增加而來的風險的能力。企業的全面風險管理機制的有效性越高,管理者對不確定的風險及機遇的處理能力就越高,從而使得企業創造價值的能力得到最大程度的提升。
(四)全面風險管理中企業目標與各要素間的關系
在全面風險管理概念中,企業目標分為戰略、經營以及呈報與合規等四類,其所反映的是企業的不同層面的不同需求,針對企業各層次人員確定其相應的責任。而上文中也提到全面風險管理的要素包括模塊,這些要素最終的目的就是服務于企業的四類目標,無論企業中的哪個層次均要通過這模塊對各自的企業目標進行全面風險管理。全面風險管理并非絕對意義上的單循環步驟,而是一個重復性的、多向性的過程,在這個過程中,每個要素均會對其它要素產生影響,并且受其它要素的影響,即每個風險管理組成要素是和四類目標互相縱橫交錯的。因此風險管理目標與其各要素之間存在著直接的聯系,即目標是企業努力的方向,而風險管理要素則是實現這一目標所必須的條件。
此外,風險管理的各個要素還是評價企業風險管理水平的標準。企業風險管理的構成及目標不僅是建立健全企業風險管理過程的基本依據,也是對其有效性做出評價的標準。評價企業風險管理的有效性,要看全面風險管理的八個構成要素是否同時存在,其運行是否有效。而且在不同的主體中,風險管理各個要素的具體運行也是各不相同的。
(五)利用全面風險管理評價企業目標實現的程度
針對全面風險管理的八個要素,及其在企業經營管理中是否發揮了有效的作用,我們可以以此為依據判斷企業目標實現的程度,所以從這個意義上來講,全面風險管理的要素就是評價企業目標的實現程度的標準。如果企業的風險管理體系這八個要素并存且能夠正常發揮作用,證明該企業基本上沒有太大的缺陷存在,風險管理方面也能夠將其控制在一定的范圍內。不過不同的企業風險管理各要素發揮作用的程度也各不相同,并且也不是絕對的,一些企業即使全部具備了所有的要素,但是也無法絕對保證可以實現企業經營目標,這是由于風險管理自身存在著無法克服的局限性,這些局限性體現在人員決策判斷失誤、控制制度的建立受著成本管理的約束、一些人為的簡單錯誤造成風險管理的中斷、企業內部人員互相勾結使得內部控制制度失效或者管理者凌駕于控制制度之上等各方面,正是這些局限性使得企業經營管理者無法絕對保證可以百分百實現企業目標。
參考文獻:
[1]鄭小榮,王美英.內部控制法制化的理論依據――法律特征與實踐影響[J].當代財經,2010(4)
[2]鄭小榮.試論內部控制法制化的三大弊端[J].財會研究,2010(18)
[3]王美英,鄭小榮.對內部控制審計與財務報表審計整合的思考[J].財務與會計,2010(7)
[4]孟杰.基于全面風險管理的企業內部控制實施探討[J].財經界,2009(11)
第7篇:內部控制的風險評估要素范文
關鍵詞:內部控制;架構設置
中圖分類號:F270 文獻標識碼:A 文章編號:1001-828X(2012)02-00-02
一、我國上市企業內部控制制度架構設置背景分析
2008年6月,財政部、證監會、審計署、銀監會、保監會五部委聯合了我國第一部《企業內部控制基本規范》,要求上市公司自2009年7月1日起率先施行,同時鼓勵非上市的其他大中型企業執行。隨后,2010年4月26日,五部委又聯合了《企業內部控制配套指引》,包括《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》,連同此前的《企業內部控制基本規范》,標志著適應我國企業內部控制規范體系基本建成。為確保企業內控規范體系平穩順利實施,財政部等五部門制定了實施時間表:自2011年1月1日起首先在境內外同時上市的公司施行,自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行;在此基礎上,擇機在中小板和創業板上市公司施行;同時,鼓勵非上市大中型企業提前執行。此舉標志著我國內部控制監管新要求即企業必須確立其內部控制基礎框架。因此,現階段,我國大中型企業尤其是上市公司所面臨的重要任務就是如何貫徹和執行企業內部控制基本規范及其配套指引,而對于擬上市的企業而言加強其內部控制制度建設也顯得尤為重要。
但從現實情況來看,我國上市企業內部控制制度建設情況不容樂觀。根據德勤會計師事務所對我國企業內部控制的調查,目前多數上市公司開展內部控制制度建設的最初動機是應監管機構的要求,且大多數企業內部控制制度的執行效果也未達預期。歸根結底,這些問題的出現是源于現階段我國上市企業對內部控制的認識不足,很多企業管理層對內部控制的認識局限于控制活動導致企業內部控制制度架構設置不合理。具體來說,目前我國很多上市企業還未營造出良好的公司控制環境,同時缺乏科學的風險管理機制、信息溝通機制以及有效的監督機制,這些問題都是目前我國上市公司內部控制制度架構設置不合理的表現。
二、基于《企業內部控制基本規范》的內部控制架構要素分析
(一)內部環境。內部環境是企業實施內部控制的基礎,是其他內部控制組成要素的基礎,對企業內部控制的整體目標的實現具有根本性的影響。具體來說,企業內部控制環境包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。企業應當建立規范的公司治理結構和議事規則,企業章程應當對股東會、董事會、經理層、監事會各自的權力與職責做出明確的規定。企業應當成立專門機構或者指定適當的機構具體負責組織協調內部控制的建立實施及日常工作,為內部控制的有效運行建立良好的環境基礎。另外,對于企業內部控制體系的建立,管理層要注重強調公司所有員工的全員參與。企業應當制定科學的人力資源政策,加強員工的培訓工作,切實加強對員工的法制教育,同時要建立科學的人員考核和晉升程序。最后,企業應當進一步加強文化建設工作,為企業內部控制制度的有效運行構建良好的道德基礎。
(二)風險評估。所謂風險是指目標不能實現的可能性。隨著市場競爭越演越烈,企業所面臨的風險也日趨多樣化。內部控制存在的一個重要的價值意義便是可以降低企業意外風險。因此,風險評估也是企業內部控制框架中一個極其重要的要素。所謂風險評估,是指企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險,合理確定風險應對策略的過程。企業應當根據設定的控制目標,全面系統持續地收集相關信息,結合實際情況,及時進行風險評估。企業風險包括內部風險和外部風險,企業應該根據自身的實際情況確定相應的風險承受度并采用科學的評估方法,進行風險分析,根據風險分析的結果,確定風險應對策略以實現對風險的有效控制。
(三)控制活動。控制活動可以降低風險發生的可能性,根據《企業內部控制基本規范》,企業應該根據風險評估的結果,采用相應的控制措施,將風險控制在可承受度之內。具體來說,企業的控制措施主要包括內部牽制、授權審批控制、會計內部控制、資產安全控制、預算控制、運營控制和績效考核控制等。
(四)信息與溝通。充分的信息溝通對企業的控制環境、控制活動及其風險評估都起著至關重要的作用。企業應及時、準確地收集、傳遞與內部控制相關的內外部信息,確保信息在企業內部、企業與外部之間進行有效溝通,促進內部控制有效運行。企業應當將內部控制相關信息在企業內部各管理級次、責任單位、業務環節之間,以及企業與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方面之間進行溝通和反饋。信息溝通過程中發現的問題,應當及時報告并加以解決。同時,企業應當建立舉報投訴制度和舉報人保護制度,設置舉報專線,明確舉報投訴處理程序、辦理時限和辦結要求,確保舉報、投訴成為企業有效掌握信息的重要途徑。
(五)內部監督。面對內外部環境的不斷變化,企業需要實施必要的監督檢查來確保內部控制的持續和有效運行。企業應當對內部控制建立與實施情況進行監督檢查以評價內部控制的有效性并爭取在監督的過程中發現內部控制缺陷并及時加以改進。企業應制定出完善的內部控制監督制度,并指定專門的機構負責對企業內部控制的監督。
以上內部控制的五個要素之間具有相互支持、緊密聯系的邏輯關系,其中,內部控制環境是內部控制的基礎,而風險評估是企業采取控制活動的依據,監督是對內部控制有效實施的保證,信息與溝通在其中起著承上啟下、溝通內外的關鍵作用。上市企業的內部控制建設工作,決不能把這五個要素分裂開來,上市公司的管理層應該充分認識到,企業的內部控制建設是一個架構設置的系統化的過程,只有把以上要素結合起來才能夠合理的保證企業控制目標的實現。
三、完善上市企業內部控制架構的具體措施和建議
(一)加強內部控制環境建設理念。這首先需要我國上市公司管理層轉變內部控制理念,從“要我控制”轉變為“我要控制”,切實提高管理水平,將內部控制理念真正融入到企業的運作中。其次,企業應進一步完善公司治理機構,上市企業應改進“三權”制衡體系,要使中小股東的權力在股東大會和董事會中有所體現,要強化監事會的權力,確保監事會責權利的落實。另外,上市公司應切實保障兩權分離,限制董事會與經理班子的重合,同時加強董事會的建設。另外,在現階段,我國上市公司的內部審計機構都設置在公司董事會的領導下,獨立性未得到充分的保證,因此建議建立監事會領導下的內部審計機構。最后,上市企業應重視的企業文化培育,上市公司應致力于建立一種誠信自律的企業文化,使全體員工能自覺維護內部控制的有效執行,從而形成企業自覺執行內部控制的氛圍。
(二)強化全方位風險管理。首先,上市企業應樹立全面風險管理的管理意識,從整體層面提升風險管理水平。其次,上市公司可以考慮設置專門的風險管理部門,統籌制定風險管理方案,建立科學的風險評估機制。企業應事先設定風險預警指標,使企業能隨時識別企業運作中的薄弱環節,并切實加強風險應對能力。
(三)切實強化內部控制監督機制。首先,企業應加強內部審計機構的獨立性,可以考慮在監事會下設置審計委員會增強其獨立性,其次企業應保證內部審計人員的專業勝任能力性。最后,上市企業可以采取增加內部控制檢查頻率、落實內部控制考核工作等具體的監督措施,切實強化對內部控制的持續性監督。
(四)監管機構應加強對內部控制框架建設的推動作用。目前,我國很多企業在實際工作中還沒有建立起一套有效的內部控制體系。監管方應進一步加強對企業內部控制建設的規范引導,建議相應的監管機構加大宣傳力度,定期、不定期地組織企業管理層參加相應的專業培訓、研討,消除管理層因擔心執行成本過高而被動遵循的顧慮。
參考文獻:
[1]陳志斌,何忠蓮.內部控制執行機制分析框架構建[J].會計研究,2007(10).
[2]黃國軒.基于風險管理的內部控制創新[J].財會通訊,2008(03).
第8篇:內部控制的風險評估要素范文
關鍵詞:內部控制;信貸風險;風險管理
中圖分類號:F830.5 文獻標志碼:A 文章編號:1673-291X(2013)24-0135-02
隨著中國金融業改革開放步伐的加快和金融監管水平的不斷提高,銀行監管部門對商業銀行健全內部控制體系提出了新的更高的要求。
一、商業銀行內部控制、信貸風險管理基本理論
(一)商業銀行內部控制的基本理論
1.商業銀行內部控制的內涵。商業銀行的內部控制是指,商業銀行通過制定和實施一系列制度、程序和方法,對風險進行事前防范、事中控制、事后監督和糾正的動態過程和機制,以保證商業銀行經營目標順利實現。
2.商業銀行內部控制的要素及程序。內部環境、風險評估、控制活動、信息溝通、監督檢查。商業銀行內部控制的程序是 “設計—執行—評價—改進”的循序漸進并且循環往復的過程,而內部控制五要素貫穿于整個程序。
3.商業銀行內部控制的方法。有四種方法:分散風險、抑制風險、風險自留和風險轉嫁。
(二)商業銀行信貸風險管理
1.商業銀行信貸風險。信貸風險會引發流動性危機,因為貸款無法及時收回直接影響到銀行自產的流動性。利率風險會導致信貸風險:當利率大幅上升時,借款人償債能力下降,不能償還貸款的可能性就會上升,引發信貸風險。信貸風險是外部因素與內部因素的函數,外部因素包含社會政治、經濟變動或自然災害等,內部因素是商業銀行對待信貸風險的態度,具體體現在銀行的貸款政策、信用分析以及貸款監督的質量上。
2.商業銀行信貸風險管理。商業銀行風險管理是指由商業銀行通過風險的識別與分析、評估與測量、監控與報告以及采取有效措施來預防、規避、轉移、分散風險,實現收益與風險之間的平衡。風險管理的構成要素為內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息溝通、監督檢查。
(三)內部控制與商業銀行信貸風險管理
風險管理除了比內部控制增加了目標設定、事項識別及風險應對三個要素之外,兩者的重合要素內涵也有擴展。內部控制是風險管理的重要組成部分,基本上涵蓋了風險管理中事項識別、風險評估、風險應對、控制活動、信息溝通、監督檢查中的大部分內容。內部控制偏向于企業內部,而風險管理更偏向于企業戰略角度,是內部控制的延伸,也是未來內部控制的發展方向。
二、中國商業銀行信貸風險管理問題分析
(一)內部環境不佳
(1)所有權和經營權分離不徹底。商業銀行未能實現完全脫離政府的自主經營、自負盈虧。(2)組織架構復雜,機構臃腫、管理層次多、工作效率低。(3)績效評價體制不合理。
(二)風險評估質量低
1.信用調查系統不完善。信貸領域的風險管理發展相對較好,但是也僅僅局限于對財務報告的分析,其他專業的信用評級機構對于授信對象的評級資料十分匱乏。具體到個人消費貸款或不動產零售貸款等,銀行難以對其個人的真實信用度進行調查,貸款風險不能得到正確評價,風險評估結果嚴重偏差。這就導致了假按揭和騙貸現象嚴重,使得中國的消費貸款市場和住房抵押貸款市場蒙受巨大的風險。
2.風險量化分析手段單一,技術落后。中國商業銀行的風險管理人才儲備不夠,風險量化分析手段單一,管理粗放,信用調查風險分析的過程中定性分析占據很大的比例,進行風險預測時主觀判斷多,缺乏客觀性和科學性。
(三)控制活動實施不到位
1.內部控制體制不完善。風險管理部門風險反應滯后,甚至完全不能發揮作用。部分部門崗位分工不明確,職責分離落實不到位。很多銀行的業務流程環節多、周期長,但多是由于重復勞動、效率低下所致,并未有效控制風險。
2.風險控制操作水平低。一方面,在實際的操作過程中缺乏信貸資產組合管理的思想,風險管理定位常局限于風險的抑制而忽略風險分散,貸款投向十分單一。另一方面,風險轉嫁能力不足,貸款證券化尚未能完全實現,商業銀行很難通過貸款賣出等較為復雜的手段實現風險轉移。
3.授信管理水平低。授信管理應貫穿于授信過程的始終,銀行一般貸前審查要求嚴格,但忽略貸中檢查以及貸后追蹤的完整過程。另外,在授信風險問題集中的部分缺乏授信限額的思想,當部分行業、授信產品、授信對象風險惡化或宏觀環境重大改變時,主要依靠回收審批權限、暫停審批的辦法進行個案處理,非常典型的案例即房地產貸款審批。
三、中國商業銀行信貸風險管理的發展建議
(一)創造良好內部環境
1.完善公司治理和組織架構。第一,形成多元化的產權結構,第二,優化組織架構和部門設置。建立董事評價制度和責任可追溯制度,實現公司治理結構各部分的協調配合以及不同管理層級、不同部門機構、不同利益主體之間的有效制衡。
2.建立風險審慎的績效評價體制。在進行績效考核時,應整合風險意識與發展意識之間的沖突,糾正過分看重短期利潤、片面追求業務發展的錯誤傾向。
(二)完善風險評估體系
1.健全信用調查機制。應盡快建立起完善的銀行業信用數據庫和貸款違約損失的時間序列數據庫,解決運用模型進行定量研究所面臨的數據庫缺乏的瓶頸制約問題。商業銀行要加強數據質量管理,確保數據真實、準確、完整、可靠,加快建設信息數據庫,為風險決策提供充分的信息支持。國家層面應建立全國性的公民信用記錄數據庫,實現各金融機構、公安部門的數據互聯。另外,建立真正獨立的權威的信用評級機構,規定信用評級的“準入”條件,嚴格規定評級機構的資格。
2.引入先進評估技術和工具。中國商業銀行要積極借鑒國外的成功經驗和技術,加強先進風險計量工具的應用,特別是在風險評估時引入定量分析工具,以定量分析彌補定性分析粗放管理的不足,通過風險的定性分析和定量測算,正確評估風險狀況和程度,為風險監控提供切實有效的依據。同時,商業銀行應當努力開發和運用適應自身發展的量化方法和動態模型,提高風險計量模型對風險狀況的敏感度,注意風險量化數據的收集和積累,重視風險管理信息系統的建設,不斷提升風險識別與評估的技術水平,更加全面有效地掌控風險,提高風險管理的科學化、精細化程度。
(三)堅決落實控制措施
1.建立嚴密的風險管理制度體系。商業銀行應明確各部門職責權限,建立并嚴格執行重要崗位權力制衡機制、監督制約機制。同時,嚴格保證審貸分離,成立審查委員會和審批委員會進行集體決策,保證風險管理部門的決策權,完全分離風險管理部門與貸款業務部門,在權責上保證風險管理部門與業務部門的同等地位。
2.提高風險控制操作能力。一方面,充分利用資產組合管理的理論,在對單項業務、單個地區、某個行業信貸風險評估的基礎上進行相關因素的綜合考量,實現組合風險評估,得到最優的風險控制資產組合,實現金融工具組合多樣化、資產負債期限的組合多樣化、信貸投放區域分散化的組合式策略。另一方面,推動貸款證券化進程,積極拓展金融衍生產品市場實現風險的轉嫁。
3.提升授信管理水平。將授信管理思想貫穿于信貸業務的始終,明確事前控制、事中控制、事后控制的流程化思想,建立統一的授信管理制度,實現授信風險責任制,針對授信風險集中問題進行定性、定量分析,實現授信限額管理,實現信貸風險管理的專業化和主動性。
(四)確保信息溝通順暢
1.加快管理信息系統的建設。充分運用現代信息技術的力量,建設能覆蓋所有經營活動的安全可靠的管理信息系統,實現信息的最大共享與有效溝通,保證組織機構內部各層級、各部門之間信息的充分流動。另外,銀行業之間相互協調,建立標準規范、口徑統一以實現共享的數據庫分享平臺,實現銀行與銀行之間管理信息的溝通交流。于此同時,要加強對管理信息系統本身的控制,防范信息系統本身的漏洞,提升這個信息系統的安全性,持續關注信息科技風險防范,著力降低信息系統的脆弱性。
2.規范信息對外披露的行為。商業銀行應當準確、充分、及時地披露對投資者和監管機構而言十分重要的有關經營狀況、重大風險、潛在風險、財務狀況、資產水平等相關信息。在一定程度上幫助信息使用者了解銀行經營管理的基本狀況,主動尋求外部環境的監督監管,利用外部監督完善內部風險控制的管理漏洞,實現銀行自身以及信息使用者的共贏。
(五)完善監督檢查機制
1.保持監控部門的獨立權威。為了確保內控制度切實有效地執行,商業銀行建立具有獨立性、權威性的內部監督稽核部門,構建隸屬總行直接領導、獨立運作內審體系,實行對全行系統審計監督部門的垂直管理,下級監督稽核部門由總行內部監督部門派駐人員。其調查審計結果直接向董事會、監事會以及總行內部審計部門報告,人事任免權等完全脫離分行。派駐人員實行定期輪換制,總行內審部門定期對下級部門的工作狀況進行檢查,確保監督稽核部門的完全有效審查。
2.建立完善的監督檢查流程。稽核部門的審查流程貫穿于經營業務的始終,信貸業務方面,從信用調查和分析、信用決策以及信用追蹤和收賬這四個步驟全程參與、全程監管,對商業銀行內部審計的質量隨時進行穿行測試,及時報告,隨時修改,保證內部控制制度的嚴密性以及信貸風險管理的有效性、科學性。
參考文獻:
[1] 胡心怡.內部控制在銀行風險管理中問題及對策[D].南昌:江西財經大學,2009.
第9篇:內部控制的風險評估要素范文
摘要:隨著高等教育事業的快速發展,高校內部經濟活動的日趨復雜,高校財務管理工作中出現的問題也日益凸顯。2012年11月財政部了《行政事業單位內部控制規范(試行)》,體現了內部控制在高校財務管理工作中的重要地位。本文基于對《行政事業單位內部控制規范(試行)》的思考,通過分析內部控制視角下高校財務管理存在的問題,進而探討如何構建高校財務內部控制體系,提升高校財務管理工作質量。
關鍵詞 :高校;財務管理;問題分析;內部控制體系
一、引言
近年來,由于市場經濟的不斷發展,高等教育體制改革的不斷深入,高校財務管理出現了一些與所處的現實環境與整體發展不相適應的問題,因此,加強內部控制、構建高校財務內部控制體系則成了高校財務管理工作的重點。2012 年11 月財政部出臺了《行政事業單位內部控制規范(試行)》并于2014 年1 月1 日起在所有行政事業單位施行,這將進一步規范和指引我國行政事業單位包括高校內部控制體系的建設。
高校內部控制是指高校為了保證教學、科研的正常有序進行,維護自身資產的安全有效使用,確保財務信息的真實完整,加強高校經濟活動的風險防范和管控,通過制定制度、實施措施和執行程序而構建的一套動態管理控制系統。內部控制能保證財務管理機制良好地運行,因此,從高校財務管理面臨的困境和當前的政策背景來看,基于內部控制視角研究高校財務管理工作則成為了目前高校非常緊迫的課題之一。
二、內部控制視角下高校財務管理工作存在的問題分析
(一)高校財務內部控制環境存在缺陷
1.財務內部控制制度不健全。建立內部控制制度是保證單位經濟活動正常進行的基礎,而目前高校財務內部控制制度并不健全,首先,缺乏具體針對高校財務內部控制規范性文件。至今為止,我國出臺的相關內部控制的規章制度,其主體大多是企業,2008 年頒布了《企業內部控制基本規范》,對于行政事業單位,2012 年11月才出臺了《行政事業單位內部控制規范(試行)》。而且這一規范并不是專門針對高校,缺乏具體可行的配套指引,這在一定程度上使高校財務內部控制制度建立的規范性與科學性得不到有利保障。其次,高校自身制定的財務內部控制制度不健全。有些高校將某些規章制度如財務管理辦法等等同于內部控制制度,而且內容籠統不具體,或控制內容、范圍等不全面,缺乏科學性合理性,可操作性弱。由于財務內部控制制度不健全,更沒有建立防范約束的財務內部控制體系,致使財務管理上存在一些漏洞,導致某些舞弊事件的發生。
2.內部控制意識淡薄或觀念偏差。根據COSO報告,內部控制由控制環境、風險評估、控制活動、信息與溝通、監控五要素構成。控制環境是其他要素的基礎,而在控制環境中管理理念與經營風格又是核心。管理理念中就包含了對內部控制的認知、態度。目前我國高校領導層和財務人員對內部控制的認識不深入,有些高校領導層認為內部控制僅僅局限于一些規章制度,或是僅僅適合于企業,而具體財務人員則忙于應付日常工作事務,對內部控制的意識淡薄。即使有些高校領導層與財務人員對內部控制有一定的認知,但往往將內部控制等同于內部會計控制,觀念產生偏差。內部控制分為內部會計控制與內部管理控制,內部會計控制的首要目的是保障財務信息的可靠性,是內部控制的基礎,而管理控制是實現戰略目標,落實戰略執行的過程,是內部控制的核心。因此,僅注重內部會計控制的約束效用已難以實現有效的控制結果。
(二)定期風險評估機制缺失
經濟和社會的不斷發展推動著高等教育規模的逐漸擴張,在高校擴大招生規模的背景下,很多高校采取“銀校合作”的措施,舉債進行基礎設施建設,這使得高校發展中的財務風險等一系列問題日益凸顯出來。《行政事業單位內部控制規范(試行)》也提出“單位應當建立經濟活動風險定期評估機制,對經濟活動存在的風險進行全面、系統和客觀評估。且至少每年進行一次。”然而,目前大部分高校內部缺乏一套完整的風險評估機制,第一,風險意識不強,沒有積極主動地去識別高校經濟活動中存在的風險;第二,在組織與人員配置上缺乏專業的風險評估人員及風險分析團隊;第三,未能采用定性與定量相結合的風險評估方法對各類風險進行評估分析與排序,從而確定重點控制的風險。
(三)關鍵環節管理不科學
《行政事業單位內部控制規范(試行)》中從業務層面上規定了六個方面的內部控制規范:預算業務控制、收支業務控制、政府采購控制、建設項目控制、資產控制和合同控制。而從內部控制角度出發,高校在財務管理方面應抓住預算業務控制、收支業務控制、貨幣資金控制三個關鍵環節,目前我國高校財務關鍵環節管理并不科學。一是預算管理不到位。預算編制不全面,缺乏充分的論證分析與一定的透明度;預算執行缺乏相應的跟蹤、分析與評價機制;預算調整又過于隨意。二是收支管理制度難以嚴格實施。有些高校部門院系有一定的財務自主權,但對其收入缺乏有效的監管,造成擅自收費,不經物價部門備案且票據也未統一管理等現象。支出也出現資金不能專款專用,擠占資金,挪作他用等違規現象。三是資金管理不規范。高校中資金管理特別是科研項目資金管理中出現了項目管理與資金管理脫節、預算使用缺乏監管、報銷違規,科研資金流失等現象。
(四)信息與溝通機制不完善
目前高校財務內部控制的信息與溝通機制并不完善,首先,內部信息與溝通渠道不通暢。雖然大部分高校都實現了辦公系統自動化,但仍缺乏一個有效機制使管理層能及時共享內部控制的相關信息,而且財務部門與各行政部門、各學院之間的溝通缺乏一個有效及時的平臺,導致財務信息無法及時傳達與獲取,影響財務部門的工作的效率與效果。其次,外部信息與溝通機制也不完善。高校雖然不像上市公司受法律法規約束要求定期披露財務報表與內部控制報告,但過于封閉的財務信息也不利于高校與外部單位的溝通交流。長遠來看,對給高校帶來一些支持與資助方面、高校長期良性發展方面會有一些不利的影響。
(五)內審監督缺乏力度
對于高校的財務管理而言,內部審計部門可以說是對內部控制的再控制。目前我國高校的內審部門通常存在以下幾個方面問題:第一,內部審計的獨立性不強。我國高校內部審計部門大多作為輔助機構存在,使內審部門缺乏應有的獨立性。第二,內部審計的范圍狹窄。內部審計部門對各類財務工作事前審計多,缺乏事前和事中的監督管理。且并未涉及或深入到管理領域,常規審計多,重點專項審計較少。第三,內部審計還普遍存在著人員不足、專業素質不高、審計方法過于傳統等問題。這些問題將直接影響內部審計的質量,導致內部審計的監督力度缺乏、能力減弱。
三、構建高校財務內部控制體系
高校財務管理與內部控制最好的結合點就是構建高校財務內部控制體系,而財務內部控制體系的構建依賴于內部控制五要素即內部控制環境、風險評估、控制活動、信息與溝通、監控的完善。將財務管理工作融入內部控制要素內涵中,結合高校這個組織形態的特點,構建高校財務內部控制體系如圖1:
(一)營造良好的內部控制環境
內部控制環境決定了整個內部控制體系的基調,在高校財務內部控制體系的建立與實施中發揮著基礎性的作用。根據高校財務部門的特點,高校財務內控環境包括外部環境即對內部控制效益產生重大影響的政策制度等,以及內部環境即機構設置與權責分配、治理結構、管理理念與經營風格等。下面,我們從內外部環境論述如何營造良好的內部控制環境:
1.完善財務內部控制相關制度。目前雖然還未形成針對高校制定的內部控制基本規范及一系列的配套指引,但企業已建立了一整套較為完善的內部控制規范體系,高校雖與企業組織形式不一樣,內控內涵也有異,但高校可以加以參考,并根據自身的實際情況以及財務環境,通過學習、探討、調研等方式制定出適合高校以及高校財務工作且具有可操作性的內部控制制度(包括內部控制應用指引、評價指引以及審計指引),以保證內部控制體系的建立有章可循,指導高校財務內部控制工作的順利開展,最終使高校財務管理的規范性和科學性得到保障。
2.構建網絡型扁平化的財務部門組織架構。組織架構是高校財務部門明確內部機構設置、職責權限、人員編制、工作流程和相關要求的制度安排。包括機構設置與權責分配、治理結構。網絡型扁平化組織架構的特點包括三個方面,第一是壓縮了財務部門自上而下的垂直結構,減少了管理層級,增加了管理幅度,從而使信息在高層與基層員工之間傳遞的距離縮短,流動更快捷;第二,雖仍存在科室的分工,但科室之間的界限被打破,知識信息不再僅通過等級制度垂直滲透,而是能在水平方向快速傳播;第三,以工作流程為中心而不再以科室職能的區分來構建組織架構。這種組織架構使財務部門成為了一個由科室界限不明顯的員工組成的網狀聯合體,內部控制層次明顯減少,上下級獲得信息的對等性大大提高,等級制度的弱化使得管理層不再是控制層面的上層,而成為內控的行動中心,有利于形成決策權、執行權和監督權的合理分配,相互制衡的有效機制。
3.轉變財務部門人員內控定位。高校內部控制包括會計控制與管理控制。從高校的控制目標來看,會計控制的目標是保障財務信息的真實可靠,而管理控制的目標是提升高校公共服務的效率效果,最終實現高校戰略目標。公共服務效率效果的提升是內部控制的最高目標,因此,管理控制占據了內部控制的主導地位,內部控制的核心應由會計控制向管理控制轉變。正如《行政事業單位內部控制規范(試行)》中定義的內部控制目標,分為三個階段(如圖2):法規控制、會計控制、管理控制。法規控制是內控的前提,會計控制是內控的基礎,而管理控制是內控的核心與主導。從控制過程來看,管理控制是執行戰略的過程(Anthony,1998),對高校各層任務的完成起著正向的促進作用,鼓勵其完成甚至超額完成任務,是高校運營管理的明線。而會計控制以邊界控制為導向,只需在規定范圍和要求內完成任務,激勵效應相對較弱,是高校運營管理的暗線。會計控制不能直接促成高校戰略目標的實現,因此,內控的功能定位應向管理控制轉變。高校財務部門人員應及時認識到內部控制功能定位的轉變,重視管理控制,轉變內控觀念的定位。
(二)建立完善的高校財務風險評估機制
風險評估是單位及時識別、系統分析經營活動中與實現內部控制目標相關的風險,并合理確定風險應對策略。2004年4月美國COSO委員會結合薩班斯法案,在《內部控制整體框架》的基礎上,出臺了《企業風險管理框架》,凸顯出企業風險管理的重要性。而在內部控制體系中,內控本質是對易發生風險的經濟活動進行控制,規避風險。從這一意義上講,內部控制與風險管理之間有著共同的環節,如圖3。在兩者循環過程中,在風險識別的基礎上進行的風險評估成了內部控制與風險管理的融合點,也是內部控制體系建設中至關重要的一部分,并且貫穿于內控循環的整個過程。
建立完善的高校財務風險評估機制首先需要財務人員牢固樹立財務風險意識,隨時關注學校運行中的財務風險。其次,將專業的風險評估人員組成風險分析團隊,形成一套嚴格規范的程序,按照程序開展風險評估工作。最后,先從組織層面和業務層面識別風險,組織層面注重內控組織情況、制度完善情況、機制建設情況等可能帶來的風險,而業務層面上就財務內控關鍵點上識別主要風險。具體來說,預算控制的主要風險是預算編制、執行和考評是否規范,預算決策和執行機制是否建立,內部批復指標是否與支出事項相銜接等;收支控制的主要風險是單位收入是否完整,支出分類是否準確合理,預算指標是否分解為支出事項,資金支付是否合規等;貨幣資金控制的主要風險是因不相容崗位是否分離導致的貨幣資金安全風險,資金支付申請是否嚴格審核與復核,是否加強銀行賬戶管理等。在風險識別的基礎上,通過定量與定性分析相結合的方法,應用專家咨詢、概率和數理統計等方法,評估出風險發生的概率與程度,合理降低與規避財務風險。
(三)合理設置財務內部控制關鍵點
財務內部控制關鍵點在COSO 內部控制框架即為控制活動要素,控制活動是針對關鍵控制點而制定的,參考《行政事業單位內部控制規范(試行)》則是財務角度的業務層面的內部控制關鍵點。本文從預算業務控制、收支業務控制、貨幣資金控制三個財務關鍵環節分析。
1.預算業務控制。高校預算業務的關鍵控制點如下:(1)不相容崗位相互分離與授權批準。高校應當明確相關部門與崗位的職責、權限,確保預算工作的不相容崗位相互分離,具體包括:①預算編制(含預算調整)與預算審批;②預算審批與預算執行;③預算執行與預算考核。高校內部預算授權批準必須嚴明,明確審批人的授權批準權限、程序、責任和相關控制措施,切不可缺位、越位、錯位;(2)預算編制。①財務部門應做好預算編制政策、基礎數據的準備和相關人員的培訓工作,統一部署預算編報工作;②規范預算編制程序,明確審批要求;③預算編制應在評價當年預算執行情況的基礎上對下一年度預算進行預計與測算,完善編制方法,細化預算的編制。(3 )預算執行。①按照批復的預算在高校內部進行指標分解、審批下達,規范內部預算追加與調整程序;②應根據批復的預算安排各項收支;③建立預算執行分析機制,定期通報各部門預算執行情況,召開會議,研究并解決預算執行中的問題,提高預算有效性;④加強決算管理,建立預算與決算相互反映,相互促進機制。(4)預算評價與考核。高校應建立嚴格的預算考評制度,定期組織預算執行情況考評。
2.收支業務控制。高校收入業務的關鍵控制點如下:(1)不相容崗位相互分離。確保收款人員不得兼任會計核算工作、會計檔案保管、收入支出等賬目的登記工作;(2)各類票據的管理。財政票據等各類票據的申領、啟用、核銷、銷毀應按照規定履行手續,不得轉讓、出借、代開、買賣各類票據;(3)高校不得出現教育亂收費現象;(4)高校二級單位不得出現賬外賬、“小金庫”等情況;(5)高校各類收費項目的收費標準必須有經物價局等部門批準,且確保應收盡收,及時入賬。高校支出業務的關鍵控制點如下:(1)不相容崗位相互分離。確保支出申請與內部審批、付款審批和執行、業務經辦和會計核算等崗位相互分離;(2)支出審批控制。“三重一大”中的大額資金應經集體決策后支付;(3)支出審核控制。在單據常規審核的基礎,重點審核是否列入預算,是否應招標而未招標,是否按合同支付等;(4)支付控制。財務部門應按照規定辦理資金支付手續,根據支出憑證及時準確登記賬簿。
3.貨幣資金控制。高校貨幣資金控制的關鍵控制點如下:(1)不相容崗位相互分離。包括:貨幣資金支付的審批與執行,貨幣資金的保管與會計核算,貨幣資金的保管與盤點清查,貨幣資金的會計記錄與審計監督;(2)授權審批控制。經辦人員辦理資金收支業務需得到授權審批,大額資金流出需經集體決策審批;(3)業務流程控制。①貨幣資金支付申請。有關部門或個人提交貨幣資金支付申請,注明用途、金額、支付方式等,原始單據要有效完整;②貨幣資金支付審核。審核提交支付申請票據的真實性、合法性,嚴格監督資金支付;③貨幣資金支付復核。復核貨幣資金支付申請的批準范圍、權限、程序是否正確,手續單據是否齊備,金額是否正確等;④辦理支付。根據經審批的復核無誤的支付申請,按規定辦理貨幣資金支付手續,及時登記現金和銀行存款日記賬;(4)銀行結算票據的控制。明確各類票據的購買、保管、領用、背書轉讓等環節的職責權限和程序,并專設登記簿進行記錄。(5 )印章管理的控制。嚴禁將辦理資金支付業務的相關印章和票據集中一人保管,印章與空白票據分管。
(四)構建內部控制信息化系統
高校在確保財務信息流通及時順暢而進行信息化建設的同時,應該將內控理念、控制程序、控制措施等要素通過信息化的手段固化到信息系統中,通過信息化手段推進內部控制建設,構建內部控制信息化系統。該系統應采用“制衡、監督、激勵”的內控設計理念,以財務應用支撐平臺為載體,構建預算管理系統、收支管理系統等應用層面,且與辦公系統無縫集成,這樣不僅強化了服務型管理平臺的建設,也實現對單位經濟活動的自動、實時控制,有利于各級管理層在各自的權限內對相關工作全程控制和實時決策。同時對外還可以就內部控制情況形成內部控制評價報告,適時對外進行披露。
(五)健全高校內部監督與評價機制
內部監督是高校對內部控制的建立與實施情況進行監督檢查,并評估內部控制的健全性、合理性和有效性,形成書面報告來及時發現和改進內部控制缺陷。首先,高校應整合高校內部監控力量,在保證內部審計部門獨立性的同時,聯合紀檢、監察部門,組成內控評價工作組,形成內部監控的協調聯動機制。其次,高校內控評價工作組應當根據《行政事業單位內部控制規范(試行)》并結合自身具體情況,圍繞控制環境、風險評估、控制活動、信息與溝通、監督五要素,確定內部控制評價的具體內容,編制內部控制評價報告,對高校內部控制設計與運行情況進行全面評價。最后,評價工作組將內部控制評價報告經批準后向被評部門回饋意見,并通知整改。
四、結束語
隨著我國高校財務管理問題的日益凸顯,在《行政事業單位內部控制規范(試行)》出臺的大背景下,高校財務部門需要改變傳統的財務管理模式,應引入內部控制體系,健全內控制度,建立風險評估機制,注重關鍵控制點,完善流程設計,重視財務內部控制的建設和實施,從而相互促進,提升高校財務管理水平。
基金項目:
江蘇省高校哲學社會科學研究基金項目(2013SJA630008)。
參考文獻:
[1]劉永澤,張亮.我國政府部門內部控制框架體系的構建研究[J].會計研究,2012,1:14.
[2]杜曉榮.組織創新對企業內部控制的影響研究[J].中國流通經濟,2009,2:45.
[3]賈興飛,姜慧琳.管理控制和會計控制:定位轉變與功能協調[J].中國管理信息化,2013,16 (8):2-3.
