时间:2023-09-15 17:13:17
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇风险管理和内控范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:风险管理;内部控制
中图分类号:F830 文献标识码:A 文章编号:1674-7712 (2013) 24-0000-01
一、风险管理和内部控制的联系
美国全国虚假财务报告委员会下属的发起人委员会(COSO)1992年提的是“内部控制”,到了2004年是“风险管理”,其内容1992年时包括5个要素,2004年时包括8个要素,说明对风险管理和内部控制有一个认识过程。内部控制应是风险管理的基础和重要组成部分,它们是一体化的,不能分割的。
内部控制解决的是常规性风险,风险管理解决的是非常规性风险,内部控制解决的是“如何正确地做事”,而风险管理解决的是“如何做正确的事”,它们既有联系,又有区别,一个企业要成功,二者缺一不可。
二、风险管理和内部控制的区别
“企业风险管理”概念的提出,并不意味着对原“内部控制”概念的摒弃。内部控制是企业风险管理不可分割的一部分,企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中。企业风险管理涵盖了内部控制,是一个更为全面、广泛的概念。二者的区别主要包括以下方面:(1)企业风险管理涵盖了内部控制。企业风险管理除包括原内部控制的三个目标之外,还增加了战略目标;企业风险管理的八个要素除了包括原内部控制的全部五个要素之外,还增加了目标设定、事项识别和风险应对三个要素。(2)企业风险管理强调对风险的控制与应对。风险被定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),涵盖了信用、市场、战略、声誉、业务及财务等各种风险。风险管理包括风险计划、风险控制和风险应对。这三者共同构成一个完整的风险管理过程。其中,风险控制又分为外部控制和内部控制。内部控制是一种内部风险控制机制,内部控制不同于风险管理。风险管理的首要工作是风险计划。风险控制是在风险计划既定的前提下,所开展的各种控制活动。风险控制除了包括内部风险控制之外,还包括外部风险控制。(3)企业风险管理注重对风险的定量分析与管理。企业风险管理引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等新的概念与方法,因此,企业风险管理可以在基于概率统计的基础上,合理确保企业的发展战略与风险偏好相一致,从而帮助董事会和高级管理层实现企业风险管理的目标;而原来的内部控制只能在基于定性判断的基础上确保内部控制目标的实现。
三、目前企业风险管理工作存在的问题
(1)企业管理者及相关人员风险意识薄弱。加强企业环境控制与风险评估,是提高企业风险管理效率与效果的重中之重。而当前我国企业缺乏一种可以辨认、分析与管理风险的机制,往往出现为了追求高收益而盲目投资等风险。(2)现有风险管理机构不足以应对企业风险。我国企业风险管理机制设计较晚,现有的规章制度也是近几年开始施行,而企业面临的外部环境却变化很快。变化较快的经营环境使得风险管理机制的风险应对能力削弱,甚至失效。(3)风险管理机构组织建设不健全。国务院国有资产监督管理委员会的《中央企业全面风险管理指引》明确规定:企业应建立健全风险管理组织体系,主要包括规范公司法人治理结构,风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。(4)风险管理机构缺乏真正独立性。作为企业内部审计的一部分,风险管理机构存在独立性不足的问题。尤其是中国大多数企业风险管理部门设立不完善、不系统,审计人员的职责不明确,企业风险责任归属不清晰,都造成了风险管理工作不可能起到真正的监督作用。
四、构建体现全面风险管理的内部控制新机制
(一)构建具有本企业特色的创新风险管理理念
将全面风险管理作为企业文化的一部分,全体员工在全面风险管理理念下共同努力。学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。
(二)构建切合实际的内部控制评价机制
传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来补。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。
(三)构建全新的内部控制组织体系原则
(1)全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,内部控制要遵循全面风险管理的原则,即:全员管理原则;全过程管理原则;全方位风险管理原则。(2)分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。(3)风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。(4)协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。
(四)构建符合内控要求的业务管理新制度
传统分散风险管理模式下,各职能部门制定了大量的所谓“全面”的制度,但制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。
参考文献:
【关键词】 内部控制 风险管理 问题 措施
随着全球经济一体化以及我国市场经济的快速发展,我国企业生产经营过程中所面临的风险也日益复杂化,企业内部和外部环境的变化给企业带来了严峻的挑战。我国企业应充分认识到风险管理和内部控制的重要性,建立完善的内部控制制度以及加强风险管理以提高企业的国际竞争力,实现企业健康、稳定的发展。
一、内部控制与风险管理概述
1、内控控制与风险管理的内涵
内部控制是指企业为了实现其经营目标,保护资产的安全性和完整性,保证会计信息资料的正确性和可靠性,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在企业内部采取的自我调整、约束、规划、评价和控制的一系列方法和措施的总称。内部控制要素主要包括控制环境、风险评估、控制活动、信息与沟通、监控等五个方面。
美国COSO将风险管理定义为,企业风险管理是由企业的董事会、管理当局和其他员工共同参与的一个过程,应用于企业战略的制订并贯穿于企业经营管理活动之中,旨在识别可能会影响企业的潜在事项,将风险控制在管理当局可接受的范围之内,为企业目标的实现提供合理保证。风险管理主要包括内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督等八个要素。
2、内部控制与风险管理的联系与区别
从内部控制和风险管理的组成要素来说,二者在控制环境、风险评估、控制活动、信息与沟通和监督等方面存在一定的联系,它们都是为保证企业的有序运行,实现企业的经济效益和经营的安全性而对企业各项经营活动进行有效的控制和预防。内部控制和风险管理二者相辅相成,紧密联系。风险管理的有效实施取决于信息的收集,而内部控制通过建立过程控制体系规范、控制各经营活动恰好为风险信息的收集提供了有效途径。风险管理主要是对各种风险因素进行识别、分析和评估,其目的是使风险得到控制从而以最低的成本实现最大的安全保障,这恰是内部控制的根本目的所在。
企业内部控制和风险管理之间也存在一定的区别,二者各有侧重点,风险防范范围也不同。内部控制侧重于企业财务方面和审计方面的控制,保证会计信息的真实性和资金的安全性,会计控制是核心,而风险管理则更关注特定业务中与战略选择和决策相关的风险和收益的比较。内部控制涉及企业各种经营活动的内部和外部风险,而风险管理则比较关注特定业务的战略评审,其目的是通过比较不同公司业务领域内的风险与报酬来使企业效益最大化。
二、企业内部控制和风险管理现存问题
1、风险管理意识不足,对内部控制的理解过于片面
目前许多企业对风险管理的认识不足,没有制定出足够有效的控制制度来防范企业所面临的各种风险,很多企业没有将风险管理的思想融入到企业的内部控制之中,风险评估不够深入,流于形式,或是缺乏对风险的定期复核和再评估,降低了企业适应环境变化和规避风险的能力。同时,目前大多数企业对内部控制的理解过于片面,过于重视传统意义的内部控制,忽视了对风险的控制和衡量,例如过于关注某些特定业务,而对外部经济、技术条件或其他重大不利事项缺少足够的控制,不能为企业创造一个良好的内外部发展空间。
2、风险管理组织结构不完善,尚未建立完备的内部控制机构
由于公司治理结构问题,我国大多数企业虽然已建立起相关制度,但却缺乏有效的监督执行,各部门之间工作职责、操作程序以及风险成本主体都不十分明确,风险管理组织结构不完善,这便导致了风险管理缺乏相应的约束力,各部门或相关人员之间相互推卸责任,风险管理无法真正有效执行,而一些企业虽然建立了相关的风险管理机构,但也由于缺乏专职的风险管理经理,使得企业风险管理始终以眼前利益、短期利益为主进行决策。另一方面,部门企业认为建立了相关的内部管理制度就是完善了企业的内部控制制度,也真正建立了风险监督评估机制,然而目前许多企业的内部控制制度只是形式主义,形同虚设,并没有真正地实施,大部分企业没有完备的内部控制机构,不能积极地进行风险管理工作。
3、内部控制和风险管理的信息与沟通能力不足
在信息方面,企业各层级都需要大量的信息以帮助识别、评估和应对风险。然而目前我国大多数企业存在对信息的挖掘深度和利用程度不足的现象,以至于相关信息不能发挥其应有的效用,或是信息没能很好地在企业内部之间共享。我国企业沟通方面最大的问题就是沟通不畅,沟通力度不够。在内部沟通方面,一些企业的信息的沟通需要经过多个层级,导致信息失真,而下级员工又不能积极向上级反应,致使风险管理决策缺乏足够依据,内部控制执行缺乏力度;在外部沟通方面主要表现为未能与相关利益者进行有效沟通,如投资者和监督者等,不能及时、准确掌握企业外部环境走势,内部控制信息披露不足。
4、内部控制与风险管理的监控机制不健全
我国大多数企业的内部监督机制和外部监控机制仍存在许多问题。在内部审计方面,我国很多企业对内部审计重视不够,对内部审计作用认识不足,这使得内部审计在我国企业中执行起来显得困难重重以至于内部审计对内部控制的再控制以及对企业风险管理的监督职责未能发挥出来。没有内部审计的监控,即使企业拥有设计再完美的风险管理办法也很难保证其能够严格执行并发挥风险控制的作用。外部监控体系,包括政府监控、社会监督等,在保证企业的内部控制和风险管理上的效力不足。例如,政府监控在很大程度上能保证企业内部控制的有效执行以及帮助企业防范、应对各类风险,然而,目前我国政府对企业内部控制信息,尤其是重大信息的披露要求不够,内部控制信息披露方面的法规制定相对滞后,只是形式化的敷衍,在这种情况下政府对内部控制的监督无从谈起,更不用说通过对内部控制的考察来监控企业的风险管理活动。而在社会监督方面,注册会计师的社会监督作用仍有待提高。注册会计师仅将对企业内部控制的测试和发表意见作为财务报表审计过程中的一项程序,并未进行专项审计,监控力度大大减弱,或是只关注企业内部控制设计的情况而忽视实际执行情况,不能真正发现企业内部控制和风险管理存在的问题。
三、改进企业内部控制和风险管理的措施
1、提高风险管理意识和应对风险的能力,建立风险管理型内部控制
风险管理的核心是对人的管理,包括职业操守、技术能力和激励等方面内容的管理,在这其中企业管理层应起带头作用,提高风险管理意识,加强对内部控制的认识,同时加强企业全体员工的思想教育和业务培训,不断提高员工的整体综合素质,使员工更具有责任感,明确风险管理和内部控制的重要性,逐步提高自身的思想认识和业务技能以提高企业应对风险的能力。企业应建立相应的绩效考核制度和激励制度,充分调动员工的积极性、发挥员工的责任心,让员工意识到自身有责任对企业面临的风险进行识别、分类,并追溯导致风险的各种因素,以采取相应的措施规避风险。另一方面,建立风险管理型内部控制,以风险为切入点对企业内部控制实施控制,强调通过制度、流程和财务等手段,管控运营、操作过程风险,重视在操作层面中的风险管理,将管理的模式与企业实际情况相结合,充分利用了现有资源,更好地发挥风险管理的积极作用,达到了风险管理和内部控制的要求。
2、完善企业内部控制和风险管理制度建设,建立风险管理控制体系
完善企业内部控制和风险管理制度,首先要建立产权明晰和管理科学的现代企业管理制度,实现政企分开,最大限度地调动企业管理者和经营者的积极性,建立相应的内部控制和风险管理部门,完善内控体系和风险评估体系,对企业经营风险、财务风险、市场风险和政策风险等进行全程监控,提高内部管控和风险管理的效率。其次,提高财务和审计人员的综合素质,增强其核算知识和风险预测能力,使相关人员有足够的能力和专业知识去识别、评估风险,同时将风险机制运用到风险管理中,企业员工公担风险,实现权责利三位一体,提高企业内部控制的有效性和风险管理水平。再次,要建立相关的风险管理控制体系,即对企业经营管理过程中内外部各种风险进行分析和评估,研究风险形成的原因及其影响程度以便制定有效的措施加以防范,例如重视资本运营的跟踪、监督,通过对财务报表和财务指标的分析,一旦发现异常变化就立即采取措施应对,把风险损失降到最低。
3、提高信息沟通能力
企业进行内部控制和风险管理时必须拥有足够的信息和流畅的沟通,企业只有提高其信息和沟通能力,充分挖掘和利用各种信息资源,其内部控制才能更好地防范和应对风险。企业可以通过两个方面来提高信息和沟通能力:一方面,构建和完善企业信息库,用以储藏和搜集各种信息,并仔细甄选质量高、有利用价值的信息,并对这些信息进行深入分析为决策活动提供有力支持证据;另一方面,沟通是创造良好内部控制环境和支持企业风险管理的关键环节,充分、有效的沟通应包括自上而下的沟通、自下而上的沟通和横向沟通,使企业各级、各部门人员能够知悉公司的战略、经营、财务等方面信息,以履行各自职责。同时,应加强企业与相关利益者之间的外部沟通,尤其是及时、准确地披露企业的财务信息和其他重要信息,以便充分了解企业所面临的形式和风险。
4、完善内部审计和外部监督制度,落实监控机制
强化企业内部审计和外部监控力度需要从两方面入手:一是充分发挥内部审计功能。企业应组建科学合理的内部审计机构,保证内审机构的独立性和权威性,充分发挥内审机构对企业内部控制和风险管理的作用;完善内部审计的内容和方法,使其满足现代企业管理的要求,尤其是企业应对风险的要求。二是提高外部监控效力。完善内部控制信息披露机制,明确内部信息披露的内容和形式,突出企业相关重大风险,使有关政府部门对企业内部控制和风险管理进行有力监控;加强注册会计师的社会监督作用,及时发现企业漏洞和舞弊现象,帮助企业进行纠正和改进。同时,借鉴国外先进经验加强对内部控制进行专项审计的强制要求,始终坚持风险导向审计模式,抓住企业真正风险点,有力监督企业内部控制的实际执行情况。
综上所述,企业必须建立符合自身发展需要的内部控制机制和风险管理体系,将二者进行有效的结合,通过对制度的规范和科学的管理来充分发挥企业内部控制和风险管理的作用,以提高企业整体竞争力和经济效益,实现企业健康、稳定发展的目标。
【参考文献】
[1] 王寅入:谈风险管理与内部控制的区别与联系[J].普华永道,2010(6).
关键词:全面风险管理;内部控制;一体化
随着我国经济规模的不断壮大,企业如何可持续发展,如何健康发展越来越为政府和经营者关注。进入新世纪以来发生的一些经营失败案例和问题,远的如安然、中航油、巴林银行事件,近的如雷曼兄弟、三鹿奶粉事件以及陷入困境的无锡尚德等,其失败的一个共同的、重要的原因,就是风险管理、内部控制出了问题。
为指导中央企业开展全面风险管理工作,2006年6月国务院国资委颁布了《中央企业全面风险管理指引》(以下简称《指引》)。为加强和规范企业内部控制,2008年5月财政部制定了《企业内部控制基本规范》(以下简称《规范》)。为加快中央企业构建内部控制体系,2012年5月,国资委、财政部下发了《关于加快构建中央企业内部控制体系有关事项的通知》。一系列指引、规范文件的下发,体现了国家对企业、尤其对中央企业内部控制和全面风险管理的高度重视和迫切要求。
自《指引》、《规范》颁布以来,不少企业尤其是中央企业先后开展了全面风险管理体系、内部控制系统的建设和完善工作。可以预见,将来会有更多的企业重视并开展这项工作。
要做好全面风险管理和内控体系建设工作,正确认识和处理全面风险管理与内部控制的关系很重要。
一、全面风险管理与内部控制的关系
1.全面风险管理与内部控制概念
所谓内部控制,是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。
所谓全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
2.全面风险管理与内部控制的关系
对于两者的关系,目前理论界主要有以下三种观点:
(1)内部控制包含风险管理。例如CICA(1998)的风险阐述、巴塞尔委员会的《银行业组织内部控制系统框架》中的风险管理要求等。
(2)风险管理包含内部控制。例如COSO委员会的《企业风险管理——整合框架》(2004)就指出“企业风险管理包含内部控制”、英国Turnbull委员会(2005)也认为“内部控制应当被管理者看作是范围更广的风险管理的必要组成部分”。
(3)内部控制就是风险管理。例如Blackburn(1999)认为“风险管理与内部控制仅是人为的分离”等。
本文同意以上第二种观点,以发展的眼光看,也认可第三种观点。
①管理实务支持
管理实务操作上,以国家的《企业内部控制基本规范》和《中央企业全面风险管理指引》进行比较,两者有大量的相同或相似之处。
从目标分析,内部控制目标包括合法合规性、资产安全性、报告可靠性、经营有效性、支持企业发展战略五项。全面风险管理目标包括与企业总体目标适应性、信息沟通(含报告)可靠性、合法合规性、经营有效性、避免遭受重大损失五项。除合法合规性、经营有效性、信息可靠性外,企业总体目标适应性与支持企业发展战略表述不同,实质是一致的;避免遭受重大损失包括资产安全性。应该说内部控制和全面风险管理主要目标是一致的。
从管理要素分析,内部控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督五项,全面风险管理包括信息收集、风险评估、管理策略、解决方案、监督与改进、组织体系、信息系统、风险文化八项。具体分析两者管理范畴和业务过程,我们大致能得出风险评估、解决方案对应控制活动、组织体系与风险文化对应内部环境、信息系统对应信息与沟通、监督与改进对应内部监督的关系。应该说全面风险管理几乎包含了内部控制的所有管理要素。
全面风险管理和内部控制的对象都是风险(包括风险收益),目标也是一致的,管理范畴和过程也有诸多相同或相似之处,因此全面风险管理和内部控制一体化建设是有客观基础的。
②演进趋势支持
从演进趋势上分析,全面风险管理是对内控的系统总结和提升。
内部控制是企业经济活动中一种自发的内部安全和效率需求,是企业及其他经济组织为达到经营目标的必由之路,从最初保护财产安全、防弊堵漏发展到如今的支持企业发展战略。伴随着经济活动日趋复杂,内部控制活动也逐渐由简单到复杂,并从企业内部向外部延伸。例如三鹿奶粉问题,不仅涉及内部控制,实际上也涉及外部供应链的风险管理了。
全面风险管理是一个较新的概念,和内控相对,是一种自觉的行为,是经济活动发展到一定的高度的产物。人们在经营活动中逐渐认识到企业不能仅仅从某项业务、某个部门的角度考虑风险,必须从整个企业的高度认识风险和实施控制,做好顶层设计和系统化设计,即实行全面风险管理。例如企业内部不同部门不同业务的风险,有的可能相互叠加放大,有的可能相互抵消减少,这就涉及风险统筹;例如风险的大小不一样,管理要求就不同,这涉及到风险量化;例如不同经营时期,企业风险种类、管理特点是不一样的,这涉及到风险动态管理;还有风险预测、决策管理等等。如果说内部控制活动是纺纱的过程,全面风险管理则是一个从纺纱到织布的整个过程,是对内控的系统总结和完善提升。
另外,虽然全面风险管理与内部控制的隶属关系目前尚无明确答案,但业界主流看法认可随着内部控制或风险管理的不断完善,两者的交叉、融合、统一将是大趋势,这也为我们一体化建设带来信心。
二、全面风险管理与内控一体化效果
1.管理完整性更好。全面风险管理是从上而下的风险管理,系统性和结构化程度高;内部控制是自下而上的风险控制,业务支撑能力和操作性更强。两者一体化建设,可以互为补充、互相配合,上支撑了企业目标,下又兼顾了具体业务的管控实际。
2.管理效率更高。在一体化思路下,工作领导、方案设计、资源调度都是统一的,一般不会出现指挥混乱、接口复杂、流程冲突、问题推诿的现象,将会大大提高建设和运维效率。特别是在日常风险管理工作中,统一的、结构化的系统将会带来发现、决策、行动和反馈效率的立体提升。
3.综合管理成本更低。大多数企业特别是大企业在长期经营活动中一般已形成一套基本适合自身需要的内控系统。一体化建设能有效利用企业已拥有的内控资源,减少重复投入。运行期也仅需支撑一套系统的开支,显然会低于两套独立系统的运作成本。
4.责任主体更明确。一体化管理的主体只有一个,责、权、利归于一体,在系统建设、运维过程中不会出现争权和责任不清的问题。
三、全面风险管理与内控一体化建设工作应注意的几个问题
为保证全面风险管理与内控一体化建设效果,在相关工作中应该注意以下一些问题:
1.建设思路上,一开始就要确立全面风险管理和内控一体化建设思路,这样才能统一思想,明确方向,凝聚力量,避免走弯路、走错路。
2.工作方式上,要充分利用企业现有内控资源为全面风险管理或内控体系建设所用,形成合力,这是体系建设工作取得成效的关键。开展全面风险管理或内控体系建设,应该是对现有内控资源的整合、补充、规范和领导,而不是另起炉灶,各行其是。
3.实施准备上,做好企业现行内控情况评价,全面、客观了解现行内控工作范围、流程、执行情况,并根据全面风险管理的需要梳理内控活动存在的问题,分析、提出改进思路。为下一步一体化实施打下基础。
4.业务安排上,可根据“能责相当”的原则进行分工。对内控已覆盖且运转良好的领域和环节,如风险评估、解决方案、控制活动、内部监督等方面继续发挥原内控作用,并根据全面风险管理的要求予以适应性改造。在信息收集、管理策略、组织体系、信息系统、风险文化等方面根据全面风险管理的要求开展工作,逐步建立、健全风险系统。总体上,全面风险管理应注重宏观和指导性,内控更应注重微观和操作性。
5.组织管理上,合理设置管理机构,并确保工作力量。不少人认为,财务部门很多业务涉及内控工作,经验丰富,作为企业全面风险管理的牵头部门较好。当然如果以更好地从全局角度组织开展工作为中心,由战略、规划或企管部门牵头也是可以考虑的。另外审计部门作为全面风险管理工作的内部评价部门,应保持相对独立性,尽量避免参与全面风险管理的日常执行活动。要确保工作力量,一是要设置专职归口部门,至少应在指定部门下配备专职岗位,明确职责。二是要整合企业原有的内控工作力量,组成一个统一领导的风险工作组织。三要保障人员专业能力,各部门风险管理人员应选择了解业务、管理能力强的骨干员工,并保持相对稳定。
6.日常运作上,要充分将风险管理工作溶入到具体业务中去,避免出现“两张皮”现象,这也是一体化运行中的难点。由于不少企业内控活动开展已久,制度配套、流程接口、日常执行、监督跟踪、报告反馈比较成熟,已形成良好的业务环境。因此在全面风险管理体系运行初期或两者一体化建设不畅的情况下,受原业务环境及惯性思维影响,极易出现实际工作继续按原内控思路运行,而对于全面风险管理所需做的工作和要求,则可能抱着应付与完成任务的态度,导致相关活动不能真正发挥作用,久而久之被边缘化。如何从管理氛围、制度配套、流程整合、考核引导等方面着手,将全面风险管理工作真正溶入到具体业务中去,是我们要不断深入探索和解决的重要问题,这将关系到全面风险管理能否在企业中生根、成长、壮大。
四、结束语
全球经济一体化、以网络为代表的新科技不断应用、金融业的迅猛发展、人的创新能力不断释放的今天,企业管理广度、深度、难度均发生了深刻变化,企业风险也非往日可比。据普华永道《2011年中国企业长期激励调研报告》数据,目前中国中小企业的平均寿命仅2.5年,集团企业的平均寿命也仅7~8年。另稍留意我们就能发现,证券市场上由盛转衰的公司也是数不胜数的。怎样才能避免这样的命运?怎样才能创建百年基业?显然,建立健全全面风险管理和内控体系是必备条件之一了。
参考文献:
[1]钱 黎 汪子林 张 伟:浅论内部控制与风险管理的区别和联系[J].现代经济信息,2009(9).
[2]樊行健 付 洁:企业风险管理与内部控制[J]会计之友,2007(10).
摘 要 日益复杂的经济环境、经营环境使企业内部控制和风险管理的重要性不断凸显,只有充分发挥其职能,进行事前风险辨识,控制和规避企业可能存在的各种风险,才能使企业规范、快速发展。
关键词 内部控制 风险管理 重要性
内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。而风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。内部控制是风险管理的必要环节,风险管理涵盖了内部控制,风险管理贯穿于管理过程的各个方面,控制的手段不仅包括事中和事后控制,更为重要的是,全面风险管理在事前制定目标时就充分考虑了风险的存在。
从经营需求讲,企业经营者肯定会想方设法发展企业,但从稳健方向来说,还有一个风险管理的需求。树立防范意识,建立保障机制、强化内部控制,是保证企业安全的一个基础,而保证企业安全机制能有效运行才是关键。
归根结底内部控制、风险管理可以提炼八个字,一个是说你做的,一个是做你说的,“说你做的”是指说了什么事情要公开;“做你说的 ”则是指规定制度、承诺的事情一定要做到。如果能做到这八个字,在一个企业里面内控意识就形成了。这其中最重要的是执行力问题。流程和制度无论多么完善,如果不能得到执行,就会无济于事。有些流程虽然不是很规范,但只要员工做到了,也同样可以取得好效果。如何提高内部控制和风险管理的执行力就成了最关键的问题,笔者从以下方面做了初步的探索。
一、加强事前、事中风险管控
古时扁鹊三兄弟都精通医术,但扁鹊名气最大,就能说扁鹊的医术最好吗,其实不然,扁鹊自己分析的非常正确,他说:“长兄治病,是治在病情还未发作之前,一般人由于不知晓他能把病灶铲除在发病之前,因此他的名气始终传不出去;中兄治病,是治在病情的初期,人们便认为他只能治一些小病,他的名声只能在附近乡里传播;而我治病,都是治在病情严重之时,人们看到我通过穿经脉、动筋骨、敷大药能把病治好,都以为我医术高明,名气就这样传播开了。”
不仅仅是扁鹊,在公司里其实也存在着同样的情况。我们在公司里充当着扁鹊三兄弟的角色,然而很多时候我们在问题发生时都把像扁鹊一样能在事后拍板的人当成大救星,将希望寄托在他们身上,但是,我们何不做好事前、事中的控制呢?
事后控制,其实就是一种纠正措施,是一种“亡羊补牢”式的控制方法,虽然问题得到了暂时性的解决,但也有了“丢羊”的损失。事前、事中控制则是在生产过程中利用各种有效的信息,将问题解决在萌芽状态,预防大问题的发生。
管理如同治病一样,治标不能忘记固本。治标只在事后控制,而治本则注重事前控制。现实管理中,人们热衷于事后控制,头痛医头,脚痛医脚,对那些能在事后控制的将才,人们大加赞赏,员工服气,领导认可。而对那些针对苗头,防微杜渐,通过事前的及时控制,过程的有效管理,让问题消灭在萌芽状态的默默无闻者,却不能引起大家的重视。以至于员工的积极性不高,因为在他们看来,他们在生产中控制的再好,工作的再仔细也没有人去注意他们,所以加强对事前控制的关注,不仅仅是对保证产品质量的一项措施,更是对员工工作的一种肯定。俗话说:“预防重于治疗”,“防范胜于救灾”,问题的预防者优于问题的解决者,因此我们要多一些事前、事中控制,少一些事后控制。
二、加强关键控制点的风险管控
在企业活动较为复杂的情况下,企业内部控制不可能面面俱到,因此,企业必须充分发挥内部审计风险导向功能,识别并关注主要风险来源和主要风险控制点,以提高内部控制的效率,针对业务流程中的每一个环节、每一个步骤,认真细致的进行分析,根据不确定性的大小、危害性的严重程度等,明确关键的业务、关键的程序、关键的人员和岗位等,从而确定关键的风险控制点,然后根据关键风险控制点制定有效的控制措施,集中精力管控住关键风险。
对待各类问题,不能“眉毛胡子一把抓”,要分清“人参”与“草根”的区别,选用“挖人参”与“拔草根”不同的方法。对那些高风险点,要深挖透查。
比如项目管理的关键控制点:一是项目决策阶段,包括可行性研究报告的准确性,程序的合规性等;二是项目实施阶段,包括投资项目的审批手续、招投标、建设工期、工程质量、资金支付、竣工验收等环节的及时性、合规性。在项目的实际运行过程中,所有的这些因素都可能产生变化,而这些变化将可能使原定的目标受到干扰甚至不能实现。任何的工程项目中都存在着风险,风险会造成工程项目实施的失控现象,如工期延长、成本增加、计划修改、工程质量不达标、工程建成后产品销售达不到预期等,这些都会造成经济效益的降低,甚至项目的失败。正是由于风险会造成很大的伤害,在现代项目管理中,风险管理已成为必不可少的重要一环,良好的风险管理能获得巨大的经济效果,同时它有助于企业竞争力的提高,素质和管理水平的提高。项目风险是时刻存在的,只有紧抓这些风险的关键控制点,然后在项目参加者之间进行合理的分配,使每一个参加者都承担一定的风险责任,他才有对项目管理和控制的积极性和创造性,对产生的不同风险采取相应的风险对策,才能进行良好的风险控制,才能有项目的高效益。
风险管理的精要是将未知风险变成可控风险,关键是通过管理将很多相互影响的因素统筹好,根据企业的目标去作风险分析,把一些主要风险明确下来,然后找到相应的控制手段、管理手段,最终将风险控制在想要的区域里面。
三、强化风险管理是企业生存底线的认知
风险管理是企业生存底线,无论怎么强调也不过分,无论是内部管理需要还是外部监督需要,都使得内部风险管理显得日益重要。应该说,内控的目的不是消除风险,也不是降低风险,而是将其控制在我们可承担的风险范围内,为企业经营目标的实现提供合理保证。
风险管理可以分为三个阶段,第一阶段是问题反映型,来了问题救火式的反应。第二阶段是规范操作型,是已有制度和流程,但缺少战略指导方针下的风险管理。比较完善的是第三阶段体系完善型,就是整个公司的风险管理和内部控制是在公司的统一战略指导之下,通过完善的体系和流程和日常的工作来预防和控制风险。无论风险管理也好,内部控制也好,最主要的还是预防,而不是等着风险来了,再采取措施。
翻一翻许多企业的历史,会发现这样一种情况:在某个区间段恰恰资金短缺,这时刚好有一笔资金帮助企业渡过了难关。假如那笔钱不在那个区间出现的话,那么今天那个企业很可能已经不存在了,内部控制和风险管理的目的,就是尽量避免这种情况发生。企业应该在加强企业内部控制方面苦练基本功,不断提升核心竞争力,以应对严峻的经济挑战。
建立全员风险管理文化成为企业防范风险体系的重要组成部分,为了有效识别、计量和检测风险,企业通常设有风险管理部门,但风险管理绝不仅仅是风险管理部门的职责,无论是董事会、高管层还是业务部门,每个人在从事岗位工作时,都必须深刻理解可能潜在的风险因素,并主动预防。
四、构建全新的内部控制组织体系原则
1、全面风险管理原则,即:全员管理原则,实现对全体员工强化风险意识,做到“横到边,纵到底”,将风险意识,印在脑海里,落实到行动上;全过程管理原则,对企业的发展、业务操作的全过程实行风险控制;全方位风险管理原则,不但要包括业务风险,还要包括投资风险、信用风险、合同风险等。
2、分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。
3、风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。
关键词:房地产;企业;内部控制;制度建设;风险管理
中图分类号:F235.91文献标识码:A文章编号:16723198(2009)23003302
1内部控制和风险管理的概念和联系
1.1内部控制与风险管理的定义
现论界对此定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制的定义。该组织认为:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
另外,依据COSO委员会关于风险管理的定义为:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。该框架有三个维度:第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。
1.2内部控制与风险管理的联系
(1)风险管理涵盖了内部控制。风险管理除包括内部控制外,还增加了战略目标;而风险管理的要素除了包括内部控制的全部要素之外,还增加了目标设定、事件识别和风险对策等要素。从时间先后和内容上来看,全面风险管理是对内部控制的拓展和延伸。
(2)内部控制是风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
2内部控制制度建设和风险管理中存在的问题
2.1房地产企业内部控制制度建设认识不足、不够健全、不够合理
由于内部控制不能直接产生经济价值,间接效益也需要较长的周期才能看出,许多房地产企业把精力主要放在房地产商品的开发和销售商。有的房地产企业片面地理解为内部控制系统就是成本控制、会计控制或内部牵制制度等。有的认为加强内部控制,束缚了自己的手脚,影响办事效率,容易制造内部矛盾等。在制度建设上,有些企业只具有某些基本的内部控制操作,还没有形成一个完整的制度系统,如财务控制的评价制度尚未建立,经济合同的管理制度不健全。有的企业偏重于事后控制而忽视事前的预防控制,从而影响了内部控制的执行还有些企业在设计内部控制时没有考虑到自身的规模、业务性质等实际情况,生搬硬套,造成企业的内部控制不切实际,偏离控制重心。
2.2房地产企业普遍缺失风险管理的专门研究和处置
(1)没有专门的人员或机构进行企业风险管理活动,每个人或部门往往只针对自己工作中的风险独立地采取一定对策,缺乏系统性、全局性。更有一些企业根本就没有风险及风险管理概念及意识,没有积极主动、系统地进行风险管理工作,风险的事前管理缺位、事中和事后管理具有一定的随意性。
(2)企业的风险管理基本上是一种被动式管理,常见的现象是保险公司业务人员上门请求企业购买保险。由于缺乏风险意识,企业往往不会主动地对企业主要业务进行风险识别、评估、管理和监控,认为只要买了保险便万事大吉。
(3)企业中的风险管理活动往往是瞬时或间断性的,意识到了就进行管理,事后则“好了伤疤忘了疼”。
(4)缺乏对风险进行定期的复核和评估,降低了企业适应环境变化和规避风险的能力。
3房地产企业实施内部控制制度建设和风险管理的重要性
从严管理企业,实现管理创新,使传统的管理模式向现代企业管理过渡,加强内部控制制度是建立现代企业制度的内在要求,也是现代企业最重要、最关键、最基本的一项管理方式。完整而又严密的内部控制制度可以完善房地产企业的经营管理体制,建立-套完整的规章制度,能够增强控制能力,加强内部控制,提高经营管理水平和企业素质。同时,也可以监督各种经济活动严格按照计划的要求进行,保证各项计划的完成和经营目标的实现。可以杜绝经营管理中的各种风险,预防潜在危机的发生,减少和避免各种不必要的风险损失。特别是房地产企业开发中所要面临的政策风险、市场风险、经营风险、资金链风险、人事风险。等等,除此之外,一些普通企业可能遇到的风险,诸如债务风险、经济合同风险、信誉风险等风险也能够及时作出预警和防范,从而把不确定的风险变为规律研究利用,以保证企业的稳定运营,并尽量减少风险发生的可能性和一旦发生所可能造成的破坏,进一步强化企业内部控制。
4构建内部控制与风险管理体系的过程
内部控制和风险管理的构建都是一个系统工程,基本涉及了企业管理的方方面面,因此实践中企业往往根据自身的特点先搭建一个合理的体系框架并在此基础上选择某一目标或某一层面作为主线深入下去建立一个局域内部控制或风险管理体系,然后再在企业全局推广。一般来说,我们将其分为以下四个步骤:
第一步:确定内控体系/风险管理体系建设的目标和依据:确定项目组织架构、项目管理制度和详细的工作计划;梳理、明晰企业的中长期战略发展目标,为从战略高度建立内控体系/风险管理体系打下基础;应当确定其需要遵循的相关法律法规;确定体系需要实现的目标等。
第二步:各业务层面分析:综合运用各种调研手段和现状描述方法清晰表述出业务现状,并进行研究分析,归纳总结出内部控制/风险管理存在的问题点。层面的划分需要根据目标要求和企业特点。
第三步:差距分析:结合当前国际和国内标准进行分析评价,发现差距,提出补充、修正或完善的方向。
第四步:内部控制/风险管理体系建设:以前几步工作成果为依据,搭建内部控制/风险管理框架体系;以某个目标或某个业务层面为主线,进行内部控制/风险管理体系的建设。
5完善房地产企业内部控制制度建设和风险管理的措施
5.1相关原则
(1)合法性原则。房地产企业必须以国家有关的法律法规为准绳,其相关制度的制定必须限制在法律法规的框架内。坚持合法性原则应该是制度建设和风险管理的前提条件,在合法的基础上提高其有效性。
(2)全面性原则。房地产企业是一个系统,其内容涉及单位的各个部门、生产经营的各个环节。系统全面原则要求,在符合内部控制要素要求的前提下,业务流程的设计必须能够覆盖企业经营管理的各个环节,并将业务流程中的关键控制点落实到决策、执行、监督等各环节,不得留有制度上的空白或遗漏。
(3)审慎性原则。内部控制的核心是有效防范各种风险。由于房地产企业经营的特点,为了使各种风险控制在许可的范围内,建立内部控制制度建设必须以审慎经营、化解风险为出发点。要充分考虑企业经营和业务各环节可能存在的风险,并设立适当的操作程序和控制步骤来避免和减少风险。
(4)前瞻性原则。内部控制制度的制定应当具有前瞻性,并与房地产企业的风险管理的需要相适应,应随着企业经营战略、经营方针及内部管理需求等内部环境的改变进行适时的调整与完善。
5.2当前深化房地产企业内部控制制度建设和风险管理的认识和实践
(1)完善房地产企业的内部控制环境。首先要加大宣传力度,提高管理者的内部控制意识。确保企业的每个岗位及人员,每项业务或环节都能按规定的制度办理,真正将内部控制制度的建设作为一项长期任务来抓。其次要充分发挥房地产企业董事会的作用,只有当董事会拥有技术、才能和智慧,并能进行适当的管理时,才能适当履行其监控、引导和监督的责任。另外要加强企业文化建设,正直诚实的品行、高度的敬业精神对企业的内部控制会产生积极的影响。建立公司统一的价值观和道德标准,并制定员工行为准则,认真考虑企业的社会责任,合法、公平、公正地处理企业与利益相关各方的关系。
(2)构筑严密的控防体系。房地产企业内部控制体系的建立,首先是在企业经营全过程中建立以防为主的监控防线。有关人员在从事业务时,必须明确业务处理权限和应承担的责任,禁止一个人独立处理业务的全过程。其次是要设立事后监督,即在会计部门常规性的会计核算的基础上,对其各个岗位、各项业务进行日常性和周期性的核查,建立以“堵”为主的监控防线。最后是成立一个直接归董事会管理并独立于被审计部门的审计委员会。审计委员会通过内部常规稽核、离任审计、落实举报、监督审查企业的会计报表等手段业务,对会计部门实施内部控制。
(3)加强房地产企业的信息沟通。房地产企业都应当建立自己的信息系统,保证信息的搜集、储存、加工、输出和使用等各个环节的正常运行,满足企业的信息需求。优良的信息系统要能保证信息提供的完整性,企业应当运用计算机、网络等多种先进的手段来构建企业的信息系统。同时,企业的信息系统应能保证信息提供的准确性,减少信息传递过程中有意和无意的错漏。
(4)构建风险管理控制框架和流程。对于集团式的大型房地产公司来说,就需要考虑建立基于企业管理体系下的风险管理系统。在组织上设立专门的风险管理岗位,并设计风险管理流程,流程范围覆盖项目相关的各个部门。在这个风险控制框架中,风险的等级要从成本、进度等指标上设置不同的组织等级进行处理,这要和组织不同的权限等级结合。风险存在于项目的整个生命周期,在制度上,要制定风险管理流程,落实到岗位、并做好风险预算。保证风险发生时,能有一系列的既定动作进行。不确定事件的发生会对项目目标产生风险,往往也伴随有机会产生,同一事件,不同的组织采用了不同的行动,产生的效果就会不同。成熟的开发商能透过风险看到机会,但有些开发商却被风险挡在了殿堂之外。
参考文献
[1]唐来全.内部控制与风险管理概念剖析[J].财会通讯(理财版),2006,(08).
[2]宋培华.试论企业内部控制的问题及对策[J].集团经济研究,2006,(12).
[3]陈军.浅析房地产企业风险管理[J].锦联世界,2008,(07).
一、风险管理与内控体系概述及相互关系
1.风险管理的概述
风险管理又称危机管理,是指在经济活动中如何在某个客观存在的风险环境里,把风险降到最低。以期达到,以低风险的代价而取得最大经济回报的管理过程。风险管理包括:风险评估、风险识别以及对风险的应变策略等等。
2.内控体系的概述
内部控制体系是指公司为合理保证其经济活动中获取最大经济效益、会计信息的真实、可靠性、国家法律、法规的遵循性,而在其内部设置的自我检查、自行审计的自律系统。内控体系贯穿于公司经济活动的全过程,对公司的采购、生产、营销、核算等各个阶段、各个层级进行全员、全程、全覆盖的监控,力求做到监控过程无死角。
3.两者相互关系的简要概述
两者的联系在于风险管理涵盖了内部控制,COSO体系中明确地指出风险管理体系的框架结构包括内控体系,内部体系是风险管理的必要环节。而两者的范畴、活动、对策的不一致又构成了两者的区别所在。因此说,风险管理与内控体系之间的关系是相互辅助的。
二、集团公司内控体系和风险管理存在的问题
1.管理者及领导层内控体系和风险管理的观念不强
集团公司管理者或是领导层的重视程度与否,对内控体系的风险管理起着至关重要的作用。有些公司的领导对于内控体系和风险管理缺乏足够的认识,觉得可有可无。有的是经验主义盛行,对风险管理缺乏敏锐的认知,缺乏对内控体系和风险管理的认识和学习。在管理中还凭经验,延用几十年前的管理模式、理念,从而难以驾驭当今复杂而多变的市场,使得在竞争中失去了先机。因此,管理者或是领导层的观念问题,在某种意义上决定了内控体系和风险管理的成败。
2.缺乏相应的人才
目前,我国集团公司内部控制体系的咨询与评价,主要是由注册会计师来进行。由于,我国集团公司的内控体系及风险管理现在仍然处于起步阶段,公司内部能够适应该项工作的人才相对缺乏。然而,内控体系和风险管理工作不仅仅需要一些顶尖的人才,还需要全员、全岗位共同来完成。由于目前我国集团公司内部员工的综合素质与水平参差不齐,也就使得风险管理和内控体系在实施过程中增加了很大的难度。
3.相关的配套制度不足或是制度贯彻不力
当前,我国集团公司内部关于内控体系和风险管理的制度或多或少的都会有些。但往往一些相应的配套制度、策略难免流于形式,更有甚者是“形式重于实质”,形成整体的制度有,但是缺乏具体的操作细则,使得集团公司内部的各个子公司及各个部门执行起来有种“盲人摸象”的感觉,即不知从何做起,使得内控体系和风险管理成为空谈。另外,有些集团公司对内控体系和风险管理制度的设计也是非常重要,相关制度倒也是健全,但是执行起来未必按照制度操作,或是公司内审部门执行相应内控及风险管理的职能时偏软,使得内控体系和风险管理在执行中起不到应有的作用。
4.信息化建设不能适应内控体系和风险管理的要求
目前,我国集团公司内部的信息化建设程度还是具备一定规模的。不论是从预算管理信息化建设到ERP管理系统及OA办公系统的应用还是走在一般中小企业前列的。然而,笔者却认为,目前信息建设进程还远远达不到内控制体系和风险管理的要求。信息化建设只是停留在“单机版”的状态,没有形成“网络版”。即内控体系和风险管理的信息化管理只是某个区域,或部门,各个部门或是集团子公司之间各自为战的能力较强,而如果是协同作战的能力较弱。但内控体系和风险管理却是要求整个集团、全员参与,以期达到对风险管理的全面防范,因此说,集团公司的信息化建设的进程还有待加强。
三、集团公司内控体系和风险管理存在问题的策略
1.树立领导层面先进的内控体系和风险管理理念
集团公司的领导层面树立风险管理的理念,对于集团公司经营风险是至关重要的。公司领导层在日常经营活动中,应该重视对内控体系及风险管理的学习。要与时俱进的关注来自各方面的经营风险,不能犯经验主义。最终,不仅要做到在领导层面树立内控体系和风险管理理念,还应该将该理念深入到每个员工的心中,做到全员控制风险。
2.公司应该积极引进及培养内控体系方面人才
再好的制度,也需要人来执行。内控体系是一个较为复杂的内部管理制度,在选人,用人上要选那些,业务水平高、责任心强的员工来担任。另外,内控体系管理中涉及财务部门的层面相对较高,当今复杂多变的市场经济情况下,对财务人员的要求也在提高。财务人员要改变以前那种只是制单、记账的工作,要将财务工作真正地与企业的内控体系及风险管理相结合。因此对于财务部门员工的聘用也是至关重要的,财务人员要具有较高的综合素质,首先,要聘用一些人品正、有敬业精神的人来担任。其次,财务人员应是经过系统的财经知识培训,并且具备一定的从业资格和技术职称,最好是具有注册会计师的执业资格。最后,财务人员应该严格遵守公司的内控体系制度,要敢于同增加公司经营风险,违背公司内控体系制度的问题说不。
3.建立健全内控体系的相关机制且加大制度的执行力度
加强集团公司内控体系中的风险管理,首要问题是要建立健全相应的制度。所谓“无规矩不成方圆,没五音难正六律”,可以看出,有法可依是如此的重要。集团公司应该结合公司自身情况的同时,借鉴国际、国内先进的内控体系管理制度,制订切实可行的内控体系制度来防范各类风险。同时,也要注意到只建立相应的制度也还是远远不够的,还应该加强制度的执行力。要在日常经营管理中,对内控体系制度执行的监控,引入奖惩措施,从而实现“奖勤罚懒”。通过加大内控体系制度的执行力,来约束集团公司内部各部门直至每个员工,从而起到对风险的控制及规避作用。
4.加强内控体系中的信息化建设
要构建以风险管理为核心的内部控制,首先就要明白风险的含义。对于企业而言,风险就是指在某一特定环境下的某一特定时间段会对企业的利益造成不利影响的可能性。这种可能性的来源可以是企业的外部,包括社会环境、市场环境、国际环境、法律制度、竞争对手、供应商和客户,也可能来源于企业内部的技术、人员、财务和管理。无论这种可能性来源于企业的内部还是外部,都可能对企业的持续经营带来负面的影响。
风险导向的内部控制就是以风险识别和评估为基础,继而建立和实施内部控制的过程,以降低企业的经营风险实现企业的战略目标。风险导向的内部控制要求企业的所有者和经营者将企业的主要精力放在应该重点关注的风险环节上,而不是关注企业管理的所有细节。
2、为什么要建立以风险管理为核心的内部控制体系
在讨论为什么要建立风险管理为核心内部控制体系前,我们先来看两个小案例。
案例一:巴林银行事件
英国巴林银行曾是全球最早的商业银行之一。但是1992年到1994年期间,其新加坡分行的一位期货交易员在对冲交易中形成了巨额的亏损。但是由于这位交易员同时是巴林银行新加坡分行的结算员,这使他有机会伪造相关财务文件隐瞒了交易损失。同时巴林银行的高层不重视财务报告,连续几年时间都没有发现资产负债表中的损失记录,最终导致这家拥有超过200年历史的银行于1995年被收购。
案例二:中航油事件
2003年中航油新加坡公司总裁擅自从事母公司明令禁止的石油衍生品期货交易,在发生损失后,又欺瞒母公司,最终导致5.5亿美元的巨额损失,公司也不得不申请破产。虽然中航油新加坡公司有着完善的公司治理结构和风险防范体系,但是在高管越权和舞弊发生的情况下,公司也只能是轰然倒塌。
通过这两个小案例我们可以发现为什么要在企业中建立风险管理为核心内部控制体系:
第一、风险意识对于企业实现经营目标有着至关重要的作用。对于企业来说,其经营活动始终处于一个面临各种威胁的外部环境中,这个外部环境包括:市场、法律、技术、竞争对手、供应商、客户等,任何一个外部环境因素的变化都有可能对企业的经营带来风险,影响企业经营目标的实现。因此企业不仅要对风险进行科学的评估和控制,还应该提高公司上下特别是公司高层管理人员的风险意识。使公司上下员工都能积极主动地为公司识别面临的主要风险,认真地思考自身负责领域的风险和可能产生的后果,并上传下达发现的风险,引起相关人员的注意和重视。在企业面临的风险面前,任何疏忽大意都有可能导致企业遭受巨大的损失。就如中航油事件,如果其新加坡公司的高管人员有足够的风险意识,那么也就不会擅自越权进行母公司禁止的交易。
第二、内部控制必须以风险为导向。在巴林银行的案例中,如果其高层能提前从财务报表中发现风险信号,那么也就有可能为公司挽回损失。内部控制体系作为企业应对风险的重要工具,在企业架构中的作用日益明显。但是企业在经营过程中面对的各种事项复杂多变,针对各种事项采取的应对措施也各不相同,如果是一些高风险的事项,却采用一般性的控制措施,那么也就无法起到加强控制降低风险的目的。因此企业内部控制体系在建立和实施的过程中必须以风险为导向,通过识别风险、评估风险的过程找到合理的风险应对措施,从而达到有效的内部控制。
第三、风险管理为核心的内部控制体系对于企业是不可或缺的。前面的两个小案例究其根源都与其内部控制的缺失有着根本性的联系。如巴林银行,其权责划分机制有着重大问题,导致交易员兼任结算员,使其有机会进行舞弊。而中航油高层的越权行为使其越过了公司的内部控制体系,导致高风险的业务得不到及时的控制,最终造成了巨大的损失。对于企业来说,内部控制的缺失有两个层面。一个层面是企业在经营管理过程中缺少相应的规章制度,造成经营活动的随意性和松散的控制环境,整个企业处于“无法可依”的局面。另一个层面则是企业拥有完善的内部控制制度,但是却执行不到位,导致内控制度形同虚设,企业上下形成了对规章制度的漠视,出现“有法不依”的情况。无论是哪种层面的内部控制缺失,其对于企业的危害都远远超过了单一环节上的内部控制失效。因此为了避免内部控制的缺失,就必须在企业内部建立健全风险导向的内部控制体系,在内控的实施过程中也要加强执行,保证内部制度的有效实施,使内部控制能贯穿于企业的所有业务活动中。
3、电力企业的风险识别
对于很多企业建立风险管理为核心的内控控制,具有很大的共同点。但是对于我们电力企业而言,特殊性就凸显出来。首先我们电力企业整个生产经营涵盖建设、生产和运营等多个环节,涉及的范围广,各种风险之间相互关联、错综复杂。分别是:
第一、自然环境风险
主要指气候条件、自然灾害以及其他自然环境变化等因素对电力企业的影响。如气候冷暖变化可以直接影响电网负荷和用电量;地震、雪灾、洪水等自然灾害可能造成电网输电线路中断。
第二、经济财务风险
从外部来说,经济发展形势、国民经济增长速度、金融市场利率波动以及国家对电力企业的投资贷款变动等等诸多因素都可能影响电力需求发生变化,从而影响电力企业的生产。从内部来说,电力企业的资金结构是否合理、企业的盈利能力、资金流动情况和利润分配方式等等都可能给电力企业带来经济财务风险。
第三、政策法规风险
国家对电力企业建设、生产、发展、运营、环保等方面的宏观法律和政策的制定都会直接影响电力企业的发展。
第四、科学技术风险
由于新能源、新技术的开发应用,如核技术、风力、水力可再生能源技术研发、施工及设备的技术解决,技术指标和技术规程研究制定等等诸多问题都会形成技术风险。
第五、用户需求风险
用户的用电需求影响电力企业的成本投入,决定电源和电网建设项目的投资建设。
第六、电价风险
电力是一种特殊的商品,价格直接关系到电网企业的经济效益。电力行业开放 竞争性的发电市场,电网企业面对的发电企业的购电价格是由市场决定的,而面对用户的销售电价是由政府决定的,这样会给电网企业带来电力价格上的风险。用户的用电性质和需求也会给电网公司的供电成本带来风险,执行多种电价类型等等都会给电网企业的运营带来风险。
4、电力企业内部控制与风险管理的现状
第一、企业内部内控意识不强,全员参与风险管理积极性太低
很多企业的管理人员在对内部控制的认识上存在很大的偏差,总是简单的认为企业内部控制就只是简单的企业内部的各种规章制度,把内部控制的作用理解成在日常工作中对员工的管理,没有认识到风险管理的重要性。另外,大部分企业没有形成全员共同参与风险管理的观念,错误的把风险管理当作是管理层所需要做的事情,而和基层职工没有关系。在这样的错误观念引导下,企业的一线员工没有机会参与到企业的风险管理当中,导致的直接后果就是在风险管理的过程中不能及时发现一些薄弱环节,更难以做到防患于未然。
第二、企业的风险管理和内部控制联系太少
在实际情况中,企业由于风险问题而导致严重损失的现象时有发生,造成这一现象的原因不是企业没有相应的内部控制体系以及风险控制制度,而是企业根本就没有将这些制度执行好。另外,企业从业人员的职业素质参差不齐,某些管理者无视企业制度等等,这些问题都需要通过不断改进公司治理结构以及不断强化外部监管来予以解决。
第三、风险控制人才匮乏
电力企业风险控制工作,人才是坚强防线。一切工作安排,最终都要由个人去执行落实。电力企业风险控制有很强的专业性和技术性,负责人要有丰富的风险控制知识及经验技能,对企业管理具备一套整体认识,又不缺乏对各个细小环节的了解。专业人才的养成周期较长,所以培养人才也是电力企业以后管理的重点。
第四、突发事件应急管理体系不健全
风险是客观存在的,难以预知,健全的应急机制很关键。然而部分企业风险防范措施规范缺乏,预防策划也得不到认真落实。再者,已有的应急管理体系或许已经不适应现有改革的发展方向,亟待待改进。如预警状态标准不明确,应急状态下各单位职责分工混乱,应急预案的可操作性也有待加强。
5、电力企业要建立以风险管理为核心的内部控制措施
第一、建立有效的经营风险控制机制
经营风险控制机制是指在经营风险管理中所形成的互相联系、互相制约的功能体系。构建完善的经营控制机制是防范经营风险的关键所在。首先,建立起经营风险的全过程控制机制。其次,实行全员风险管理,健全风险控制的动力机制。实行全员风险管理,将风险,将风险机制引入企业内部,使管理者、职工、企业共同承担风险责任,做到权、责、利三位一体。最后建立和完善经营风险预警机制。规避资本营运和资金管理风险最为有效的是建立经营预警系统,加强经营危机管理。
第二、建立完善的内部控制体系
电力企业应该根据自身的实际情况,建立完善的内部控制体系。首先,建立有效的监督防范机制。电力企业应本着“未雨绸缪,防范于未然”的态度,逐步建立涵盖企业投资、运营全过程的监督防范机制,重点监控企业财务管理容易出现问题的环节;其次,严格进行事中监督。严格按照电力企业内部控制的相关规定进行常规性会计核算,在此基础上采用定期核查和随机抽查相结合的方式,对电力企业会计部门的各项业务和各部门进行监督,并将监督结果反馈给财务部门留档,以便以后核查;最后,完善事后检查机制。电力企业应该成立管理委员会,由企业管理者牵头,挑选一批专业素质过硬、责任心强、职业道德高尚、客观公正的人员定期对内部控制制度的执行情况进行考核,保证内部控制工作质量。
第三、内部控制与风险管理统筹兼顾
风险管理和内部控制作为企业管理的两大工具。内部控制可以将企业发展战略、管理理念、控制要求融入公司治理、企业文化、岗位授权、制度规范和业务流程,通过风险评估、风险预警、信息沟通、流程监控、有效性评价、缺陷改进等控制活动,推动企业管理从单一制度管理向体系化管理转变、从传统管理向风险管理转变、从事后监督向过程监督转变、从职能条块化管理向全流程管理转变,实现企业管理水平全面提升。
第四、培养电力企业风险管控人才
企业风险管控的工作繁琐困难,但对企业的长远发展意义重大。扎实的专业基础,丰富的工作经验,良好的心理素质以及一定的奉献精神是企业风险管控人才的必要条件。电力企业应结合时代特点和企业需要培养或招聘专向型人才,在企业内普及风险防控教育,增强全体员工的风险防控意识,充分发挥风险防控人才在企业风险控制实践中的作用。此外,企业还要革新薪资激励机制,引进优秀人才,壮大团队力量;健全选拔制度,提拔公司内部有责任心、有上进心、有实力、有业绩的员工,培养企业自己的骨干力量。内外一起抓,打造电力企业风险控制的中坚力量。
第六、完善电网突发事件应急管理体系
首先,加强系统规划建设。电网建设与电源建设密不可分,协调发展。从电源规划、建设、运行和管理等各个环节着手,加强本地电网与大电网的联系,优化电源布局,保证供电安全。其次,建设强大的监控、调度系统。充分利用各种信息渠道,及时掌握各种灾害数据,做好灾前准备,实现对灾害的预警和恢复控制。再次,应急预案必须具备可操作性、差异性和标准化三个要求,提高突发事件处理、应变的能力。
企业对外经营运作过程中,面临各种经营风险,包括因竞争对手的恶意竞争行为导致的风险、因合作伙伴履约资信问题导致的风险以及因经营环境变化导致的风险,如国家法律、政策的变化。
企业内部管理追其根源,均在于人力资源的掌控,因此我们通常将企业的内部管理风险概括为“人力资源风险管理”。
人力资源风险管理中最常见的几类问题,包括:黑单、泄露公司机密及商业秘密、虚报或假报帐目等。出现以上问题,究其根本,有三个层面的原因:
第一,目前我国社会信用体系不完善;
第二,公司内部管理制度存在缺陷,制度制订不足,特别是有些企业根本没有建立人力资源道德风险的防范和监督制度,公司管理层对公司制度执行不力,甚至参与有损公司利益的行为;
第三,员工职业素养有待提高,缺少必要的职业规范和素质或者道德水准、特别是尽职性不高。
因此,企业必须加强内部风险控制,建立并完善内部人力资源风险防范体系和危机处理机制,控制内部人力资源风险,从而保障企业商业安全。
企业增强风险控制能力,首先,必须建立事前防范保障机制。设立对应聘人员和重要岗位待聘人员的资质审核程序,全面、深入核实其背景资料,同时也可通过心理测试,获取一些其它途径无法得到的真实信息,比如应聘人员是否对企业隐瞒的、档案材料中无记载的重要背景信息,如是否有犯罪前科,是否有吸毒、同性恋和其它不良嗜好,是否加入非法组织,是否是国外间谍或竞争企业的商业间谍。
其次,建立事中预防监控机制。事中预防监控是事前防范的延伸。公司内部,要对在职人员,特别是重要岗位员工进行公开的定期、不定期考核或心理测试;加强对员工个人职业素养的培训与提高,完善新员工的培训机制和对在职员工的考核机制。公司外部,可聘请专业的调查公司对重点岗位员工的尽职状况进行定期保密调查。
最后,建立事后危机处理机制。公司内部要设立专门的危机管理部门,并不断健全和完善部门制度;公司外部,可聘请专业调查公司对在职人员、离职人员的职业去向进行追踪调查。
我们对不同阶段对风险控制的程度有一个大概的统计,基本上是:事前控制:100%,事中控制:85%,事后控制:15%。可见事前对风险和危机进行控制是最有效的。因此,企业加强风险控制,建立人力资源风险管理体系,其重点也在于建立事前的风险防范和事中风险监控机制。 总结以上风险控制方法,现阶段企业人力资源风险控制与管理应着眼于以下方面:
1、企业必须培养事前风险防范的意识,并建立相应的监督体制,以确保这种意识落实到现实的管理过程中;
关键词:内部控制;风险管理;萨班斯法案;COSO框架
一、内部控制的内涵、基本原则
1.内部控制的内涵、侧重点
(1)内部控制的内涵。内部控制是指企业的内部管理控制系统,包括为保证企业正常经营所采取的一系列必要的措施。内部控制贯穿于企业经营活动的各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。
(2)内部控制的侧重点。要加强企业内部控制,提高内部控制的水平,需从以下侧重点抓起。
①内部控制具有一定的目的性,为达到某种或某些目标而实施。
②内部控制是为达到某个或某些目标而进行的过程,且是一种动态的过程,是使企业的经营依循既定的目标前进的过程。它本身是一种手段而非一种目的。
③内部控制与企业经营活动相互交织,为企业基本的经营活动而存在。
④内部控制深受企业内部和外部环境的影响,环境影响企业控制目标的制定与实施。
⑤企业中的每一名员工既是控制的主体又是控制的客体,既对其所负责的作业实施控制,又受到他人的控制和监督。
⑥所有的内部控制都是针对“人”而设立和实施的,企业内部会形成一种控制精神和控制观念,直接影响到企业的控制效率和效果。
2.内部控制的基本原则
了解及坚持内部控制的基本原则,有利于企业组织内部加强内部控制、降低企业非系统风险,从而促进企业安全运行。内部控制的基本原则包括:
(1)内部控制应涵盖企业内部的各项经济业务、各个部门和各个岗位。
(2)内部控制应当符合国家有关法律法规和本企业的实际情况,任何部门和个人都不得拥有超越内部控制的权力。
(3)内部控制应当保证企业内部机构、岗位及其职责权限的合理设置和分工,坚持不相容职务相互分离,确保不同机构和岗位之间权责分明、相互制约、相互监督。
(4)内部控制应当正确处理成本与效益的关系,保证以合理的控制成本达到最佳的控制效果。
二、依托COSO理论构建内部控制整体框架
1.COSO理论框架内容
2003年7月,美国COSO委员根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft), 2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM),标志COSO委员会最新的内部控制研究成果面世。
COSO企业风险管理的定义 :“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。
2.构建内部控制整体框架
(1)企业风险管理的目标体系。新COSO报告将企业风险管理的目标归为战略目标、经营目标、报告目标、合规目标四类。战略目标,与企业的使命相一致,企业所有的经营管理活动必须长期有效的支持该使命;经营目标,与企业经营的效果与效率相关,包括业绩指标与盈利指标,旨在使企业能够有效及高效地使用资源;报告目标,该目标关注企业报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息;合规目标,是最基础的目标,指企业经营是否遵循相关的法律法规。
(2)企业风险管理的要素构成。在内部控制整合框架五个要素的基础上, COSO企业风险管理的构成要素增加到八个:①内部环境;②目标设定:③事项识别;④风险评估;⑤风险应对;⑥控制活动;⑦信息与沟通;⑧监控。八个要素相互关联,贯穿于企业风险管理的过程中。
(3)企业风险管理目标与要素的联系。目标是指一个主体力图实现什么,企业风险管理的构成要素则意味着需要什么来实现它们,二者之间有着直接的关系。此外,新COSO报告还强调在整个企业范围内实行风险管理。这种关系可以通过一个三维矩阵以立方体的形式表示出来。
3.COSO框架理论对中国的启示
(1)成立风险管理标准委员会,形成多元民主的制定机制。
(2)建立以风险为导向的“中国企业内部控制框架”,向构建“中国企业风险管理框架”自然过渡。
(3)各界根据风险管理框架,制定或修订各自的风险管理规范。如果“中国企业风险管理框架”能够及时推出,各部门、系统据其修订或制定相应的风险管理文件是解决问题的最理想方案。
三、萨班斯法案对我国内部控制的借鉴
1.我国内部控制现状
(1)企业内部控制环境急需建设。我国企业内部控制普遍存在一下问题:内部控制意识淡薄;人员素质较低;组织机构设置不合理;企业制度不健全;没有形成法制制约的大环境,还没有真正形成有法可依、执法必严、违法必究的大环境。
(2)控制不力。在我国企业中,财务与会计合署办公、会计人员素质较低、责权不对等、风险控制意识较弱、监督不强、信息交流不畅通等问题普遍存在,今后要特别注意开发与引进先进的企业财务与管理软件,逐步建立高质量的企业信息沟通系统。国内也有不少由于内部控制缺失导致经营风险的案例,比如亚细亚、中航油、中储棉、国储铜等事件,折射出了我国企业内部控制严重缺失,风险管理水平低下,监管缺位等管理上的弊端,给企业和国家造成了重大损失。
2.管理者责任
法案突出了内部管理者的法律责任,一旦出了问题,管理者不但要在经济上受到处罚,而且要追究刑事责任。建议我国也应界定管理当局的责任。管理层必须承担公司内部控制有效性的责任,并运用恰当的控制标准(如COSO标准)来评价公司内部控制的有效性,对形成的评估结果有足够的证据支持,同时签署一份关于公司内部控制有效性的书面申明。
3.建立管理者定期评价内部控制机制
(1)健全法律法规,对内部控制有效性进行强制性规定。近年来,财政部、证监会等国家监管部门陆续在2001年和2008年了我国《内部会计控制规范》、《企业内部控制基本规范》等相关法规,对于加强我国企业内部控制和风险管理起到了规范和指导作用。今后,还应在遵循以上法规和加强企业内部控制过程中,不断总结经验、分析教训产生的原因,学习其他国家相关法律法规的先进之处,逐步改进和健全我国加强内部控制和防范企业经营风险的法规体系,促进企业健康发展。
(2)制定科学规范的评价标准。由于缺乏一套完整的内部控制体系,造成内部控制有效性评价流于形式。因此,投入一定的人力、物力、财力,尽早建立一套完整的、公认的内部控制标准,使内部控制评价有章可循是必要的。
(3)统一内部控制规范的内容。目前我国理论与实务界没有对内部控制的内容形成一致的意见。我国内部控制的内容范围与COSO报告相比,还有相当的距离。有关内部控制规范的内容主要集中在会计领域,内部控制贯穿于整个生产经营全过程,企业的环境、文化理念、经营哲学等控制环境与风险因素都应纳入企业内部控制的范围来予以考虑。
四、企业风险管理理论基础及与内部控制的关系
1.企业风险管理理论基础
(1)战略管理理论。战略管理包含四个关键流程:战略分析;战略选择;现代企业风险管理框架研究战略实施;战略评价和调整。企业在实行战略管理的过程中,风险始终伴随其中,其成功实施需要风险管理的密切配合。两者是有机结合,相互交融的。
(2)系统论。系统论的观点和方法为我们建立风险管理系统结构提供了理论依据。风险管理由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个要素构成并相互影响的动态的过程,在企业的生产经营管理中发挥着重要作用,是一个系统,与其他系统一样具有整体性、联系性、层次性、目的性、环境适应性、动态性的特征。
2.企业风险管理与内部控制的关系
内部控制是风险管理的基础和本质要求,风险管理是内部控制的自然延伸与升华,二者现阶段是相互交叉融合的,只是在不同行业、不同时期、企业的不同层次,企业对内部控制和风险管理的强调各有侧重。
(1)行业本身特性。从事金融业的企业一般都非常强调风险管理的重要性,对风险管理的需求也就更迫切,因而以风险管理主导内部控制可能更方便。对于其它一般性制造企业等来说,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
(2)企业所处的生命周期。在初创期,企业高管层一般更加重视内部控制的强化。在成长期,企业面临的经营风险与市场风险也越来越大,以风险管理主导内部控制的管理模式可能更利于企业的发展。企业进入了成熟期,此时企业一般会努力健全组织体系与制度体系,在内部控制上会加大力度。在衰退期,企业的规模大但包袱沉重,内部控制成了企业高管层无法逃避的现实问题。
(3)企业内部不同层次。从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性各有不同。在战略风险方面,风险管理发挥主导作用,内部控制起到配合作用。到财务报告层次,内部控制发挥主导作用,风险管理起到配合作用,但随着市场条件的日益成熟,技术的不断进步,法律及监管实践的发展,内部控制必然走向风险管理。
五、美国纽约银行加强内部控制和风险管理结合的成功案例
美国纽约银行的风险管理与监控活动是由董事会及其下设的审计与检查委员会及风险委员会的授权开始。这两个委员会定期审查银行风险暴露情况、风险政策及风险管理活动,而风险政策主管除了负责日常监督及政策授权外,并与审计主管、合规主管共同维系风险管理结构的有效运作,已完成以下的阶段性目标:
1.确保银行风险经过适当辨识、监督、报告及评价。
2.阐明银行承受的风险种类与风险单位数,并传达至具体负责单位。
3.维持风险管理组织的独立性。
4.促进风险管理文化的健全和对风险调整绩效的重视。
美国纽约银行内控系统的设计用来巩固银行财务、业务环境、市场操作、法规遵循等的健全,并有内部稽核监督及测试其余财务报告系统整体的有效性;而银行风险的处理程序可确保政策能一致地被执行。银行独立的操作风险管理架构,建立在强健的风险管理文化之上,并分为以下三个层次:
(1)风险委员会:其任务包括对银行操作风险策略的监督及核准,该委员会并定期开会讨论关键风险一体机操作风险提案,同时也对风险管理系统的有效性提出审核。
(2)操作风险管理部门:负责发展风险政策及评估、监督、衡量风险的工具。此外,促进风险管理效率及创造改善风险管理控制功能的动机也是操作风险管理部门的重要任务。
(3)各级业务部门管理人员:负责维持业务内有效内控系统的正常运作,并维持银行风险布局与银行所订立的政策一致。
文献综述:
[1]财政部、证监会、审计署、银监会、保监会.《企业内部控制基本规范》,2008-6-28
[2]财政部.《内部会计控制规范――基本规范(试行)》,2001-6-22.
[3]财政部.《内部会计控制规范――货币资金(试行)》,2001-6-22.
[4]COSO.方红星 王宏译:企业风险管理整合框架「M.大连:东北财经大学出版社,2005.
