强化企业内部控制与风险管理,助力企业提质增效 资讯 第1张

面对越来越复杂的外部环境,企业的内部控制和风险管理涉及企业方方面面,已成为企业最重要、最基本的制度保障。无论是出于经营环境的急剧变化还是企业自身的发展壮大,提高自身的风险防范与应对能力,已经成为当今企业管理的重心之一。企业要想做到基业常青、经营业绩不断增长,健全和完善自身的内部控制及风险管理,将是企业可持续稳健发展的关键。‍

从过去数年间企业推广和落实相关规范和指引的实践来看,也确实起到了增强企业各级员工特别是管理层风险管理意识、完善和健全企业风险管理和内控规章制度的巨大作用。但在实践的过程中,也暴露出了一些问题,很多企业在风险管理和内控的建设方面仍浮于表面,尚未实现与企业管理的真正融合。

企业,特别是大中型国有企业,由于其同时还受到国资委发布的《中央企业全面风险管理指引》的指导和约束,因此对于在并行实施过程如何理解这两者之间的差异及各自侧重点,以及如何相关配合,普遍存在着认识模糊、无从衔接的现象。

企业负责管理与内部控制存在脱节现象,目前国有企业管理中。很多企业没有在财务风险的关键风险点上采取及时有效的调节方法,并且监管部门没有完全依据职责办事,造成了风险的存在,在企业内部控制中,如果没有相关对财务技术、理念、知识和方法的了解,就不会形成综合性的财务风险控制计划,就不利于企业层面、财务风险控制层面、业务层面的联系。

企业内部真正理解风险管理及内控思想、掌握具体方法和工具的人士仍然短缺,领导层对风险管理和内控的重视程度虽然与过去相比已经有了较大程度提高,但与实际需要相比仍然严重不足,对风险管理和内控实施效果的考核、激励和问责仍很不到位,信息平台建设滞后的情况较普遍。‍

什么是

内部控制和风险管理

目标体系不同

风险管理框架的目标有四类,其中经营类目标和合规类目标与内部控制框架的目标基本重合。

风险管理框架增加了战略目标,内部控制框架未提及该目标,战略目标的制定是企业治理层面要参与解决的问题,这表明风险管理属于企业治理层次,内部控制属于企业管理层次;风险管理框架把财务目标扩展为报告目标,报告目标不仅包括财务报告目标,还包括对内对外发布的所有非财务类报告,这既扩大了目标范围,也弥补了内部控制目标体系因明显受到公共会计师影响而造成的重财务信息轻其他信息的缺陷。

组成要素不同

风险管理框架增加了“目标设定、事件识别和风险反应”三个要素,“控制环境”要素也改成了“内部环境”。

“目标设定、事件识别和风险反应”不仅丰富和完善了风险管理内容,还体现了风险组合观;“内部环境”要素内容除包括“控制环境”要素内容外,还增加了风险管理哲学、风险偏好等内容;在名称相同的要素中,风险管理框架对相关内容都进行了补充和提升,具体体现为:

“风险评估”要素除包含内部控制框架中该要素的全部内容外,还考虑了企业内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险、风险偏好以及风险对冲等;

“信息与沟通”要素中,信息部分强调了获取与分析处理以往、现在及潜在未来事件数据的重要性,同时指出信息的深度以满足企业识别、评估和应对风险并将其维持在风险承受度范围内的需要为准;沟通部分强调并申明:在正常报告之外应有替代沟通渠道。

产生效益的方式不同

从内部控制框架的目标体系和定义不难看出,内部控制是在企业经营权与所有权分离的条件下对股东和利益相关者的利益保护机制,也就是说内部控制是对纯粹风险的防控,不直接产生效益,而是最大可能地避免股东和利益相关者的损失来保护其利益,规避威胁。

风险管理框架指出: “企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以使资本的利用合理化。”

这表明风险管理不仅要保护资产安全和规避一切威胁,还包括积极利用和创造一切可能的机会为股东和利益相关者创造价值。

风险管理理念不同

内部控制是对单个风险进行管理或者说是根据业务单元的划分来管理风险。风险管理则借用现代金融理论中的资产组合等理论,引入了整体风险管理、风险偏好、风险容量、风险对策、风险组合观、风险对冲、风险承受度、风险管理目标和战略的设定等概念和方法。

可以说,风险管理是基于风险度量和风险两重性的基础上对风险的管理,这种管理理念有利于保障企业风险管理措施与发展战略、风险偏好相一致,风险管理与价值回报相联系,也有利于企业内部资源合理配置以支持董事会和高级管理层实现风险管理目标。

风险管理要求从企业整体层面上总体把握分散于内部各业务单元的风险,统筹风险事件之间的相互影响,综合考虑风险对策,并防止两种倾向:

一是每个业务单元的风险处于其独自的风险承受度之内,但总体风险水平却超出企业的风险承受度;

二是个别业务单元的风险超过其风险承受度,但总体风险水平并没超出企业的承受范围。

风险管理要求按照风险组合与整体管理的思路,综合考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案,这些内容都是内部控制做不到的。

涵盖范围不同

风险管理的涵盖范围超出了内部控制的涵盖范围。风险管理包含了风险管理目标、企业战略及经营目标的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理,以及报告程序等活动。内部控制的业务范围是风险管理业务链条中间及后面的部分业务活动,并不负责企业经营目标的具体制定,而是对目标的制定过程进行评价和评估。

综上所述,我们可以看出风险管理的决策是确定内部控制重点的依据,而一个强有力的内部控制是实现有效风险管理的基础,内部控制的动力来自企业对风险的认识和管理,内部控制属于企业的管理范畴而风险管理则属于企业的治理范畴。

如何

开展

内部控制和

风险管理工作

树立理念

在企业风险管理过程中,每一位员工要树立“风险无处不在”的理念,应当知道个人职责对公司风险有怎样的影响,以及在公司match内部的作用和责任与他人有怎样的关系,这是企业风险管理的一个重要方面,也是充分有效开展风险管理工作进行的前提。

风险意识和内控责任

要有强烈的风险意识和内控责任。风险管理的起点是风险识别,是进行有效风险管理的基础和关键。我们有责任对企业面临的各种风险进行识别,然后将风险进行分类,并追溯导致风险产生的各种因素。在全面风险管理框架下,风险识别的目标,就是要广泛、持续地收集与本企业风险和风险管理相关的内部、外部初始信息,发现企业面临的各种风险。

内控规范优化

要充分利用内控规范并使其得到不断地优化。内控规范是根据管理制度和操作流程,征求相关责任岗位意见的基础上制定的,使用内控规范是责任岗位执行人的本分,严格执行内控规范,使每项业务得到恰当处理,这样既提高了工作效率,又合理保障了企业整体目标的实现

国家管理部门对企业风险管理和内控工作的高度重视和积极推动,虽然可以帮助企业各级人员提高对风险管理和内控工作的重视程度,推进相关工作的组织部署力度,但这种外部的“倒逼机制”毕竟不能代替企业人员对于风险管理和内控工作重要性、意义和各项具体措施的真正理解和认同。大家应该变被动为主动,变消极应对为主动实施,变“要我搞风险管理和内控工作”为“我要开展风险管理和内控工作”。

为了帮助企业强化企业内部控制与风险管理,建立以风险管理为核心的内控体系,将内控融入业务,提高内控执行效率,进而抵御内外风险。中国商业会计学会联合北京国家会计学院、上海国家会计学院邀请内控与风险管理体系建设经验丰富的师资团队倾力打造了“内部控制与风险管理”系列公开课,助力企业提质增效。

end