内部控制风险分类
内部控制风险分类范文第1篇
关键词:风险导向 内部控制
针对多业态跨区域经营特点,为加强企业风险管控,公司结合生产经营实际,积极探索适合企业发展需要的以风险为导向的内部控制体系建设及管控模式。经过几年的探索实践,增强了企业风险管控能力,提升了企业经营管理水平,为实现公司战略目标起到了积极的促进作用。
一、建立以风险为导向的内控体系是提升公司风险防控能力的客观需要
(一)防控风险已经成为公司管理的重要目标
世界经济进入全球化时代,企业经营业务多元,地域分散,复杂的社会经济环境影响着公司的经营、稳定和发展。随着企业经营规模扩张,交易金额增大,交易频率加快,企业面临的不确定性因素增多,传统的企业管理制度局限性日益凸显。分析国内外企业倒闭或衰败的例证,总结本公司多年经营中的经验和教训,无不与企业风险管控密切相关,经营过程中的风险防控已经成为企业管理的重要目标和焦点。建设和完善风险为导向的内部控制体系已成为企业防控风险重要措施。
(二)防控企业风险要靠严密的内部控制体系做保障
公司风险管控经历了三个阶段,一是凭经验管理(公司初创时期),对有风险的业务选派“经验丰富”的人去管理,经营决策靠有经验的领导把关,被称为经验管控阶段。二是靠单项制度控制,针对高风险业务制定专门的控制措施,做到一事一制度,方法虽然简单,但由此步入了制度控制阶段。经过一段时间摸索,积累了一套行之有效的管理制度,在规范企业管理和防控风险中发挥了重要的作用。但由于规章制度多为单项规定,程序性规定很少,标准制度没有流程保证,且各专业部门颁布的管理制度都带有不同程度的局限性,缺乏系统性、全局性,已不能适应企业全面风险管理的要求。三是进入了体系控制阶段,为做好企业风险防控工作,公司结合不同风险特征,对现有的制度、标准和程序进行了完善,对业务流程进行了重构,提高了制度的可操作性、严谨性和规范性。将原有的内控制度提升以风险为导向内部控制体系,实现了风险管理多维度的体系控制。
(三)防控风险是提升公司综合管理能力有力手段
以风险为导向的内部控制体系建设及实施,不仅提升风险管控能力,而且提升了公司的综合管控能力,该体系明确了控制活动的对象,规范了交易活动源头控制的业务流程,强化了控制主体责任,使公司各种经济活动实现了全面受控。通过系统严谨闭环管控措施的落实,很好的与企业经营活动结合起来,逐步改善企业的内控管理,使公司综合管理能力不断提高。
二、以风险为导向的内部控制体系框架及做法
公司借鉴国内外内部控制实践经验,以COSO框架及财政部等五部委颁发的《企业内部控制基本规范》和国资委的《中央企业全面风险管理指引》为基础,结合企业实际,建立以公司战略为核心,以风险为导向,以责任为主线,以业务流程管控为方法,以监督与评价为手段,注重管理改进的企业内部控制管理系统。从确定内部控制体系的目标、辨识评估风险、梳理管控流程、制定控制措施、开展内控监督与评价和持续改进等五个方面,推动、构建和完善了以风险为导向的内部控制体系建设。
(一)确定以风险为导向的内部控制目标
目标设定是以风险为导向的内部控制体系建立的前提条件,在风险管理过程中是一个重要环节。首先是在设定内部控制目标的过程中,要充分考虑各种风险对企业经营管理的影响程度,把握对重大风险的判断。其次是要根据内部控制目标设定,确定内部控制实施方案,并随着目标改变适时进行必要的调整。三是风险控制措施根据内部控制目标的存在而确定,随着目标的改变而改变,只有先明确了内部控制目标,才能对识别出的风险制定相应控制措施。
公司围绕经营及管理风险,确立以资产的存在、完整、归属、计价正确和收益等属性的落实为风险控制的现实目标,以实现“体系可靠、风险可控、运行可持续”为体系规划目标。总目标是:以国家相关法律法规为依据,以公司现有资源为基础,以财务报告风险、法律风险、经营风险为切入点,以源头治理和过程控制为核心,以防范风险为重点,对企业现有管理制度、职责分工、权限分配和业务流程进行全面梳理,建立起设计科学、简洁适用、运行有效的内部控制体系,推进科学治企。
(二)建立风险数据库
通过收集风险事件,确定公司层面风险分类和风险名称,形成公司层面风险事件库和风险数据库。针对风险事件关联性,主要收集了连续三年公司内部风险事件案例、行业内相关历史事件和未来风险预测,包括公司相关材料记载的相关事件、内外部审计发现的问题、各业务部门存在的重大问题或隐患等。通过分析筛选,选取具有代表性的、对公司影响较大的事件共77条,形成公司层面的《风险事件库》。
在收集风险信息过程中。按照内外部、业务板块、部门单位等条件将各类风险因素进行分类汇总,厘清各个问题之间的因果关系,方便从整体上把握风险和机会,有助于各职能部门更好地认识和关注与其直接相关的风险。经过比对分析,确定公司各项业务、重要经营活动及重要业务流程中的风险,并予以客观准确地表述。通过与各职能部门以及所属单位反复沟通,识别出可能影响公司实现经营目标的风险因素,进行整理分析并编制《风险汇总表》,最终确定了公司层面风险分类和风险名称,共4大类24个风险,形成公司层面的《风险数据库》。
(三)识别与评估风险
风险是指可以识别的不确定性事项,它能对企业经济利益造成有利或不利影响,其来源及影响具有不确定性。风险评估的目的是对影响公司的不确定性因素进行识别,对其进行科学评估、量化,指导对不确定性因素的把控。
风险识别是风险评估的基础,其结果直接影响着整个风险管理流程的节点设置,公司各职能部门及所属各单位运用确定的风险识别方法,结合内外部风险事件信息,对本部门及本单位业务涉及的风险事项进行识别、归类,在分析的基础上确定本部门及本单位公司层面、业务活动层面、信息层面的风险。根据各部门及各单位识别出的风险,进行分类整理、分析汇总,确定公司存在的各类风险。
风险评估。在编制公司层面风险事件库和风险数据库的基础上,根据获得的历史数据和行业资料等信息,查找风险发生的内外部原因,组织开展公司风险发生的可能性及影响程度评分分析,对公司层面24个风险发生的可能性和影响程度进行评分,并计算个体评分的风险值。按照风险评分人员的业务能力、技术水平和工作经历等,对参与风险评分人员划分类别,设置相应权重,并采用加权平均的方法计算风险等级分值,评估公司面临的风险。按照上述方法计算24个风险的加权平均风险值并排序,依据公司风险等级标准,确定公司层面重要风险12个。
(四)梳理管控流程
按照《企业内部控制基本规范》,遵循内部控制体系固定的框架及文本模板,编制组织结构图,描述部门及岗位职责,建立起业务管理流程。公司针对确定的各类风险,按照规范及重要性原则,以实现业务不交叉、管理不重叠和责任不遗漏为前提,实现各类资源的优化配置,提升管理效率和市场反应速度,防控风险的目的。业务流程管理遵循风险导向、业务驱动、规范描述和强化执行的原则,突出流程与业务与管理的深度融合,将业务操作、管理制度、工作职责和信息化建设有机结合起来,形成了脉络清晰的流程架构。公司共梳理一级流程22个,二级流程165个,三级流程553个。设置318个风险点。建立了一套清晰顺畅、完整严密的业务及管理流程体系。
(五)制定控制措施
根据风险评估的结果制定控制措施是内控体系的关键环节,一是要针对重要业务流程,分析控制重点,按照公司各项规章规章制度,制定控制措施。二是参照《企业内部控制基本规范》,查找现有控制措施中的缺项和遗漏,设计改进措施方案。三是落实相关部门和责任岗位,固化到内部控制的各环节中。四是根据控制措施的描述,补充相关管理制度,完善以风险导向的内部控制体系的各项控制措施。五是对公司层面的控制主体、信息系统和内部监督等总体控制进行系统衔接,形成完备的内部控制措施体系。
制定公司层面风险管理策略。各责任部门根据风险的定义、影响因素及风险表现,结合本业务的风险偏好,确定应对风险的具体策略。根据业务流程确定风险领域和风险源,依据风险源来找寻关键风险成因,并确定相应的风险预警指标数值或区间,从控制风险的目的、组织、方式和监督等方面制定风险管理策略70条,关键控制点240个,制定控制措施368条。
基于风险导向的内控体系是以风险识别、评估为基础,进而分析、设计和实施内部控制的风险管理行为,亦是以流程为载体,管理界面、岗位职责、管理权限和控制措施清晰,满足风险控制要求及涵盖经营管理全部业务的内部控制体系,是公司实施对风险有效管控的制度保证。
三、以风险为导向的内部控制体系的运行管理
内部控制体系重在建设、关键是执行。公司在内部控制体系的建设过程中,根据内部控制体系建设总体要求,统筹安排各项具体工作。公司对颁布《内部控制管理手册》、内部控制体系组织实施、内部控制体系监督、测试、评价及改进等工作进行了周密部署,提出了加强内部控制环境建设的要求,制定了打造内部控制支持系统的具体措施,确定了内部控制体系推行的阶段性目标。
(一)颁布并全面实施内部控制管理手册
按照内部控制体系建设总体实施方案,公司把内部控制体系的执行作为内控管理的关键环节来抓。落实过程中,一是由公司总经理签发,以公司文件形式颁布内部控制体系实施令,确保内部控制管理手册的权威性和各单位、各业务层面及各管理岗位的全面执行。二是充分考虑企业整体经营管理现状,采取近期目标和远期目标相结合,优先解决风险管理中的薄弱环节,突出对重要单位、重要业务、重要流程和重要风险点的管控,实现将企业的风险控制在合理水平的目标,力求取得控制实效。三是根据公司业务发展的不同阶段,在内部控制基本手册推广执行基础上,结合海外后勤服务和房地产开发业务的特殊管理需要,分别编制公司海外后勤服务和房地产开发业务内部控制分册,在相关业务领域实施。四是统筹公司总部、各单位和各经营业务内部控制管理手册执行的管理,疏通内部职能部门之间、上下游业务之间及横向同级单位之间的流程管理接口,形成较为畅通的运行管道,使内部控制管理体系的管控触角横向到边,纵向到底,不留死角。
(二)编制年度风险管理报告,实施风险动态评估
公司为推动以风险为导向的内部控制体系建设,使风险管理向规范化、科学化和常态化方向发展。公司每年开展一次包括所属单位在内的风险管理报告编制工作,完善企业重大风险管理报告机制。一是强调全面反映本单位存在所有风险,明确面临重大风险,剖析风险产生的原因,反映造成直接和间接经济损失的量化指标,以及对企业的影响程度。二是报告内容要突出风险管理的动态、量化和信息化控制目标。三是对公司重大风险,要明确责任单位和人员,提出风险管控要求,完善风险应对措施,建立风险预警指标体系,合理配置管控资源,确保重大风险管理责任到位。
公司每年编制并风险管理报告,拓展对企业风险认识的深度和广度,并以风险管理报告为抓手,对重大风险统筹管控,确定管控目标,明晰管控措施,制定管控责任,实现对公司风险评估的持续推进和对风险的动态监控。
(三)开展内部控制体系运行控测试及评价
按照内部控制体系建设总体要求,公司依据《公司风险管理与内部控制体系评价管理办法》每年一次对内部控制体系运行情况进行测试及评价,并出具对风险管控体系设计科学性与运行有效性的评价结论。测试主要围绕公司层面,包括职业道德、高管基调、权利及责任分配、举报与违规处理、反舞弊程序和控制;业务活动层面,包括财务管理(资金管理、资产管理、会计核算、财务报告)、物资管理、合同管理;信息系统层面,包括控制环境、信息安全、变更管理、项目管理、日常运维和最终用户操作等六个部分进行测试。并根据公司主营业务,对重要业务流程进行跟单和关键控制测试,同时对电子表格的内容、密码保护、保存地点、变更和备份等进行符合测试。
通过持续开展内部控制体系的运行测试、内部控制审计和内部控制综合检查,全方位督促内部控制体系的落实,切实提高了内部控制体系的运行效果。几年来,公司层面风险由4大类24个风险,下降为3大类12个风险。公司内部控制体系运行总体评价一直保持在“良好”以上水平。
(四)持续修订完善《内部控制管理手册》
针对公司经营业务变化调整和企业管理提升,不可避免存在已实施的《风险管理与内部控制管理手册》与企业发展及管理强化不相适应的矛盾。因此,要保证内部控制体系持续有效运行。一是根据国家法律法规等政策调整,对内部控制体系的合法性控制条款进行补充修订,增强内部控制体系条法约束。二是在公司经营和管理等环境发生重大变化或部门职责、流程和人员等发生调整时,及时对涉及的相关业务流程重新进行梳理、评估及修订,并适当增加关键控制措施。三是针对内部控制体系评价中发现的管控缺陷和提出的管理建议,制定切实可行的改进措施和方案,对管控体系进行持续完善,优化控制措施,形成内部控制提升管理、管理推动内部控制的互动机制。四是在总结海外后勤基地服务和房地产开发业务内部控制管理分册运行成果的基础上,加大对包括酒店物业等公司内部控制手册分册的编制和推广力度,增加内部控制手册专业分册的覆盖面,提高特殊专业领域关键控制措施的针对性,增强控制效果,推进公司内部控制手册向专业化管理方向发展。
公司通过以风险为导向的内控体系建设实践,企业员工风险意思普遍增强,风险管控措施得到了较好的落实,企业风险得到了有效控制,内部控制管理能力大幅提高,公司以风险为导向的内部控制管理为企业效益提升和稳步发展做出了积极的贡献。
参考文献:
[1]《企业内部控制基本规范》.
[2]《中央企业全面风险管理指引》.
内部控制风险分类范文第2篇
关键词:风险管理;内部控制实践;战略;借鉴
1对风险的认识与分类管理
风险作为不确定性,在任何公司和经济业务中无处不在。但是,正确认识风险,并通过识别分类是实施控制和管理的基础。在对风险的认识方面,SHELL公司概括了“4Ts”,即:承担风险(Take)、处理风险(Treat)、转移风险(Transfer)、退出(Terminate)。他们认为:作为一个追求盈利的上市公司,首先要勇于承担风险,因为对于油气行业,高风险往往伴随着高收益;其次,认识到风险后要组织应对措施。如进入某一新兴市场风险较大,尽量选择与当地公司合资合作等;第三,尽量地向外部转嫁风险如对于部分风险较大的业务选择商业保险、项目融资等方式;最后是如果业务风险经过分析后大到一定程度,公司选择退出所在地区或业务。
在风险分类管理上,SHELL公司通常要求对每一项风险进行评价,并建立了一套完整的风险评估分类方法。具体标准是按照风险发生的概率和对公司可能造成的损失大小将风险分为“严重不足”、“重大缺陷”等若干类,然后根据不同类别选择应对措施。在SHELL公司内部,每个员工都有两本手册,所谓的“绿皮书”与“红皮书”。绿皮书是公司每个岗位的职责和执业标准、工作范围以及相应授权或权限。“红皮书”(RiskPolicyandGuidelines)即公司整体风险控制制度与操作指引。详细说明了包括业务控制事业(BusinessControlIncident,BCI)、自我评估(Self-Appraisal)、内部和外部独立审计等完整的公司内部风险控制制度。
2风险控制的组织落实与制度保障
设计一套严密的组织和管理制度对于控制风险至关重要。总体上看,国际石油公司对十分注重财务部门和审计部门在内部控制方面的协同作用。
日常的内部控制管理、执行工作由财务部门组织实施。SHELL公司在全球的财务人员多达8000人左右,占总人数的7%。除了财务人员,其在各业务板块和下属公司审计底层分支机构都设立了授权不等的内部控制人员。可以说是纵向到底,横向到边,所有的经济活动全部都有财务人员有组织地进行控制。
同时,考虑到内部控制涉及的范围和业务复杂程度,SHELL公司十分重视审计、法律等部门的保障作用。公司专门设立了一个合规部(ComplianceDepartment)具体负责设定遵守外部法律法规应具备的职业道德、专业行为标准等。同时十分明确地提出了“保障(Assurance)”的概念。集团审计委员会是内部控制体系中起保障作用的最高机构。另外,公司还设有业务保障委员会(BusinessAssuranceCommittee,BAC),BAC在全球每一个业务或地区设一名具体负责执行业务保障的人员(全球约300人)。BAC的主要责任包括:①形成完整的内部保障计划并监督计划的执行;②基于自我评价体系(Self-Appraisal)和内外部独立审计工作,确保风险出现时采取适当措施;③负责形成年度内部控制情况回顾的报告、内控系统有效性报告,并提出相应建议。这些多层的组织设置及保障体系,以及垂直的业务领导在控制公司风险方面好似设置了多到防线。
3公司内部控制的一些措施和方法
几个国际性石油公司在内部控制方面的做法基本都包括如下几个方面:
(1)高度集中的财务管理。在加强财务管理的内部控制方面,SHELL公司的基本做法包括①资金的集中管理。采取多种措施,通过与国际性银行的合作,把分散在全球100多个国家的资金全部集中管理。在时点、时间、币种各不相同的情况下,进行如此高效率的资金集中管理是相当成功的。②通过ERP系统的实施,保证了业务流程的标准化与会计核算方法的规范性,提高了效率。③充分利用预算管理作为内部控制的重要工具。由于预算是自上而下,并且由公司整体战略业务规划驾驭,控制预算在很大程度上减少了预算外因素的发生。(2)分级授权。公司的授权主要通过总部对各业务板块经理授权,再到对各地区公司首席代表进行层层授权,明确指示各地区公司首席代表对本地业务的内部控制管理负责。这样做一是传递压力,二是便于责任落实,三是减少了集团本身的风险。
(3)建立内部自我评价体系(Self-Appraisal)。在内部自我评价体系方面,SHELL公司规定各个层次的主要岗位责任人,包括各地区首席代表在内,需要定期通过Web方式的公司“保障收集工具(AssuranceCollectionTool,ACT)”层层上报“内部控制保障书(AssuranceLetter)”。这些内部控制保障书最终由集团审计委员会审阅,同时成为向外部审计师提供有关证据的支持文件。
(4)业务控制事件(BusinessControlIncident)管理。业务控制事件(BusinessControlIncident)与自我评价体系都是SHELL公司内部控制制度的组成本分。公司内部要求对发生下列情况的必须上报集团总部:业务控制体系因为其他因素发生重要改变、可以避免其他集团成员发生的教训或案例、有引起更大损失威胁的事件、严重影响公司声誉的事件、由于员工欺诈或受贿等行为导致商业活动被迫终止的事件等等。BCI的实质是不断总结、学习、交流,实施补救措施,以进一步提高公司风险管理和内部控制的水平。
4SHELL公司实践对我国石油企业“走出去”战略的借鉴
实施“走出去”战略后,中国石油企业同样开始面临全球范围内的政治、经济风险,面临更加复杂、激烈的竞争环境。因此,建立健全风险管理与内部控制体系,显得迫切需要。目前中国石油企业在风险管理与内部控制方面虽然也建立了相应制度,但与国际性石油公司的成熟经验相比,只能是刚刚起步。尤其是在风险评估、分类管理、组织机构、人员保障等方面,有很多需要借鉴SHELL公司的方面。
(1)海外资金集中管理方面。要实现海外资金的集中管理,提高资金运营效率,要充分利用国际性金融机构(比如渣打银行)成熟的全球电子银行平台,位中国石油企业的海外资金集中管理提供系统支持。
(2)根据中国石油企业目前业务拓展的国家,借鉴SHELL公司的风险评估与分类方法,充分考虑各资源国的政治、经济、自然环境等因素,建立中国石油企业海外经营的风险评估与分类方法。
(3)尽快建立风险管理与内部控制组织机构。按照层层授权的原则,建立公司内部自上而下的风险管理与内部控制组织机构。同时,通过各种手段,确保组织机构内部沟通、信息反馈的畅通。对于每一级责任人,都必须报告基于本岗位对风险管理与内部控制、HSE、执行总部规定的财务政策等方面的承诺与执行情况。
(4)制定风险应对措施。既然风险作为不确定性,在任何公司和经济业务中无处不在。因此,在对风险进行评估与分类管理的基础上,必须制定相应风险的应对措施,并对员工进行相应的培训,使每一个员工在海外工作时,提高自身防范风险的意识。培训可以采用SHELL公司BCI类似的方法,进行案例分析。
参考文献
[1]胡为民.内部控制与企业风险管理-实物操作指南[M].北京:电子工业出版社,2007.
[2]COSO.企业风险管理-整合框架[M].(方红星等译)大连:东北财经大学出版社,2005.
内部控制风险分类范文第3篇
【关键词】业务流程梳理 风险识别与控制 风险管理数据库 内部控制数据库
一、以业务流程为起点,探讨建立企业内部控制的缘由
建立健全内部控制是企业内外部需要,各类企业都积极探索建立内部控制。不同规模、环境的企业,建立内部控制的方法各有不同,本文拟从企业现有的业务流程为起点,探讨如何建立控制活动类的内部控制。
业务流程是为达到特定的价值目标而由不同的人分别共同完成的一系列活动。业务流程是企业经营活动最普遍的工作流程,任何一个企业在运营,都有各种各样的业务流程,或是成文的标准文件,或是习惯的工作方式。
因此,本文以业务流程为起点,探讨建立企业内部控制,由于是以业务为出发点,因此,本文着重探讨如何建立控制活动类内部控制。
二、以业务流程为起点,建立企业内部控制
我们可以通过业务流程梳理、优化并完善业务流程、编制流程制度文档、建立风险管理及内部控制数据库等阶段来实现对内部控制的建立。具体分述如下:
(一)业务流程梳理
本文流程梳理的概念,强调作为一个阶段性活动,从企业整体业务流程明晰的目的出发,对当前流程进行充分显性化,而在显性化基础上发现问题并进行点优化的工作方式。
一般来说,企业的各种业务流程可以划分为三个层级。一级流程:可根据《配套指引》的控制活动类进行梳理,包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告共9个方面。二级流程:在一级流程的基础上,按照每个内部控制所包括的内容再次划分为若干方面,例如资金活动方面可划分为筹资活动、投资活动、资金营运三个方面。三级流程:在二级流程的基础上,进一步划分到具体的业务单元,例如筹资活动方面,可能涉及提出筹资方案、筹资方案论证等方面。
在业务流程梳理过程中,可以与相关职能部门负责人及职员访谈,也可以是查询现有制度文件,也可以是通过抽查相关业务资料进行穿行测试。
(二)优化并完善业务流程
通过对业务流程梳理,我们可以通过将现在业务流程与《配套指引》、优秀企业等进行对标检查,再根据常见内部控制活动的原理,优化现有业务流程,完善控制缺陷。
(三)编制流程文档
根据优化完善的业务流程,绘制标准流程图,编制流程文档。
流程文档是内部控制体系中的基础文档,也是核心文档,流程文档可以包含以下内容:流程名称、流程责任部门与责任岗位、流程目标、流程适用范围、流程相关制度、流程图、流程描述、流程风险点及对应控制点。
1.业务流程风险点识别。流程中的风险点识别方法:以流程目标为出发点,从流程步骤走向进行风险思考,结合控制点识别出风险点。
2.风险分类。按照风险发生后的可能结果,可划分为机会风险(可能有好的结果,也可能有坏的结果)和纯粹风险(只可能造成坏的结果)。按照五大类风险可划分为战略风险、财务风险、市场风险、运营风险、法律风险。
3.风险等级。风险等级的划分依靠两个维度来判定,即风险发生可能性和风险发生影响程度。风险发生可能性分为极低、较低、中等、较高、极高五个等级;风险发生影响程度分为轻微、较低、中等、重大、灾难性五个等级。关于风险发生可能性和风险发生造成影响,要根据企业所在行业及自身经营情况来判定。
我们可通过对流程风险点的以上两个维度进行分析量化评分并取平均值,然后根据下图判定风险等级。
设计对应控制点。流程中的控制点设计方法:假设去掉这个流程步骤,若该流程仍能完整的进行下去,则该步骤为控制点;若该流程到此卡住无法再进行下去,则该步骤不是控制点,仅为一般步骤。例如某个流程中存在几个审核、审批步骤,去掉某一个或某几个审核、审批步骤,该流程都能继续进行下去,但会存在风险隐患,因此,这类审核、审批步骤就是控制点。
列出业务流程中对应该风险点的控制点,并确定该控制点是事前控制、事中控制还是事后控制。
(四)建立流程控制数据库
1.流程层面风险管理数据库。流程层面风险管理数据库是后期建立全面风险管理信息系统的核心数据库之一,与公司层面风险管理数据库共同构成公司的全面风险管理数据库。业务流程层面风险管理数据库以表格的形式呈现,细分到各个流程,是从流程层面评估风险、控制风险并建立内部控制体系的基础,也是公司全面风险管理与内部控制体系的核心之一。
业务流程层面风险管理数据库的举例如表1所示。
2.建立流程层面控制数据库。流程层面控制数据库也是后期建立风险管理信息系统的核心表单之一,它以表格的形式呈现,细分到各个流程,并通过流程编号与流程层面风险管理数据库一一对应,是后期建立全面风险管理信息系统的基础。
业务流程层面控制数据库的举例如表2所示。
三、总结
综上所述,通过业务流程梳理、优化并完善业务流程、编制流程文档、建立风险管理及内部控制数据库等阶段,达到建立健全控制活动类的内部控制,进而达到全面风险管理。
参考文献
[1]财政部.关于印发《企业内部控制基本规范》的通知.财会[2008]7号.
内部控制风险分类范文第4篇
关键词:企业 风险控制 实施策略
企业在生产经营过程中,不可避免的要受到经济环境、法律政策、金融制度等外部因素以及企业的治理结构、战略文化、管理体系等内部因素的影响,在这些因素中存在着较多的风险隐患,如果管理控制不当容易影响企业的自身战略发展。特别是在当前企业经营发展所面临的内外环境复杂多变的时期,建立风险监督管理系统,对企业的经营管理潜在风险因素进行全面系统的分析,强化企业的风险管理控制能力,确保企业风险控制目标的实现,已经成为企业管理工作的重点,对于提高企业的经营管理水平以及市场环境适应能力也具有重要的作用。
一、企业经营发展的风险类型分析
对企业的风险进行管理控制,必须明确企业生产经营的主要风险类型,在当前市场经济环境下,企业风险可以分为外部风险以及内部风险两类。
(一)外部风险
外部风险主要是指企业在市场环境下生产经营过程中所面临的客观风险,主要包括政治风险、法律政策风险、合规风险、技术风险、市场环境风险、产业风险、社会文化风险以及信用风险等几种类型。
(二)内部风险
内部风险主要是与企业的战略目标、管理体系以及治理结构相关的风险因素,主要包括企业的战略风险、操作风险、运营风险、财务风险等几种类型,其中企业风险管理控制主体就是企业财务风险的管理控制,即对企业财务结构、会计活动以及投资项目所开展的风险管理控制活动。
二、当前企业风险控制管理存在的问题分析
(一)全面预算管理基础薄弱
全面预算管理已经成为现代企业管理体系中应用较为广泛的管理手段,系统完善的全面预算管理体系可以对企业的经营管理尤其是资金管理进行整体的规划安排,对于降低企业的财务风险以及资金流动性风险具有重要的作用。但是目前我国企业的全面预算管理基础薄弱,难以真正发挥其实际职能,对于降低企业经营风险以及指导企业财务管理工作作用不大。
(二)内部控制力度较弱
内部控制作为企业风险管理体系的重要内容,对于评估分析以及防范控制风险具有重要的作用。但是由于部分企业内部控制制度的系统性较差,缺乏重点性以及风险导向性,削弱了内部控制在风险管理工作中的实际效果。
(三)风险监督机制失效
由于部分企业风险控制管理意识薄弱,因此对于风险管理并没有制定系统全面的监督机制,同时也缺乏风险管理工作激励措施,由于监督职能的失效,因此风险管理体系也无法实现事前预警分析、事中控制防范以及事后问责,这种权责不明的制度造成风险控制管理效果较差。
三、提高企业风险控制能力的具体策略
(一)完善预算管理体系,强化内部控制体系的建设
全面预算管理体系建设不仅可以起到分配控制以及考核企业资源的作用,对于组织企业经营活动,降低经营风险也具有重要的作用。因此企业应该完善预算管理制度,同时采取自上而下、自下而上以及上下结合的方式进行企业预算的编制,并通过强有力的执行措施,发挥全面预算管理在降低企业风险工作中的作用。其次,企业应该认识到内部控制与风险管理工作之间的密切联系,并通过完善内部控制体系以及制度建设,为有效的风险控制管理工作提供基础保障作用。
(二)做好企业的风险评估以及应对工作
由于企业的风险具有不确定性以及突发性,因此必须做好风险评估以及应对工作。首先企业应该全面深入了解企业经营发展过程中存在的各类风险,细致分析有可能造成企业出现风险问题的各种因素。然后按照定性风险评价法或者是风险率风险评价法等方法对风险频率进行准确的评估,通过对风险因素、风险类型以及企业数据的细致分析,准确的评价风险发生概率以及风险等级,进而对风险管理工作的重点进行排序。其次,在完成风险分析以及评估之后,应该按照风险等级、发生概率、企业的战略以及企业承受能力等相关内容,制定具体的风险应对方法。在风险管理控制方法的制定上,应该注重管理方法的连续性以及动态性,通过积极的应对来提高企业的风险防范控制能力。
(三)优化信息系统建设,强化对风险管理的监督考核
优化企业的信息系统建设, 可以强化企业的信息集成以及共享能力,因而能够将涉及到企业经营活动的各项信息及时准确的传递至决策部门以及风险管理部门,进而确保企业风险监测、风险评估分析以及风险等级管理等工作的顺利开展。同时,企业应该完善风险监督机制,督促相关部门严格按照风险管理措施执行风险管理控制工作。此外,企业风险监督管理部门应该做好风险管理绩效评价工作,通过绩效评价为企业风险管理工作的持续开展与改进提供准确的依据。
四、结束语
企业在市场经济环境下开展经营活动,就必然存在着风险问题,企业内外环境中的各种风险因素都有可能对企业正常经营发展造成不利影响。因此企业管理部门必须充分认识到风险管理控制工作的重要性,将风险管理控制作为一项系统工程,结合企业行业特点以及业务活动特点,对风险管理控制环境进行优化,完善企业风险管理控制制度,并通过细致的评估分析,提高企业风险控制能力,确保企业的稳健发展。
参考文献:
[1]许国兵.基于案例推理的企业物流外包风险预警系统[J].物流技术,2007
内部控制风险分类范文第5篇
一、内控评价体系的基本模型
内控评价体系在设计时就牢牢抓住业务高风险点控制、非现场监管控制、内控风险自我评估三个要点,并适时根据“要点”监控所收集的信息进行分析判断,有针对性地开展内部控制专项审计。业务高风险点控制侧重于对会计、营业室、国库、发行、科技、保卫、外管、信贷等高风险部门的内控评价;非现场监管控制侧重于对辖内县支行内部管理动态指标与静态指标变化情况的内控评价;内控风险自我评估侧重于对全行性各类监督检查结果所反映的屡查屡犯和机制管理缺陷的问题进行综合分析。内控评价体系就是通过对一定时段内业务高风险点控制、非现场监管控制、内控风险自我评估所反馈的信息进行筛选、判断与甄别,并根据风险控制有效性的原则,有针对性地选择判断与甄别结果为风险控制相对较弱的单位、部门作为内控被审计对象,对其内控管理的情况进行现场审计,并提出相应的控制建议与对策。
1.业务高风险点控制。
以“业务高风险点管理办法”为依据,以分级分类风险控制为核心,以高风险业务为对象的控制机制,其最高领导机构为内控领导小组(行长室),日常办事机构为内控领导小组办公室(设在内审部门),管控对象为八个业务高风险部门,各业务高风险部门配备一名内控检查员。业务高风险点控制采取日常检查评价与年度考评相结合方式实施控管及评价。一是日常检查实行三级纵向监督和分级分类区别性监督方式:三级监督由内控领导小组办公室现场检查、分管行领导及部门负责人定期检查、部门内控检查员自我检查构成,自上而下,三位一体,全方位开展监督管理工作;分级分类是将各风险点根据风险高低分为一、二级风险点。抚州市中支每年进行风险识别确定,并编制风险控制图册。2014度中支机关确定高风险业务36项,高风险点55个,其中一级高风险点27个,二级高风险点28个。同时,将各风险部门根据业务性质分为核算类和非核算类部门,并根据分级分类情况进行针对性、区别性检查评价。二是年度考评由内控领导小组办公室实行,每年对各业务高风险部门实行百分制评价方式,并将结果报内控领导小组审核。以上控制与评价的各项要素信息借助中支大监督会议和审计例会两个交流平台实现有效传导,作为抚州市中支内控审计立项的重要参考依据,有效提升审计项目的针对性、科学性和有效性。
2.非现场监管控制。
主要通过设定监测指标进行分析评估,监测指标的设置和运用是整个机制的核心,实行静态数据和动态数据相结合的监督评价管理办法。其中:静态数据监测指标4类18项,内容包括行政管理、国库业务存量信息、外汇业务存量信息和计算机业务存量信息,表现为需关注但反映的信息数据基本固定不变或变化次数不多的特点,对其实行年初核查上报备案,适时根据变化情况予以上报反映的操作办法;动态监测数据共6类29项,内容包括财务费用管理、国库管理流量信息、外汇管理流量信息、货币信贷流量信息、计算机业务流量信息和安全保卫,主要指反映的信息数据每月频繁变动,需时常关注和掌握的监测指标,要求通过各类报表、登记簿等反映的相对应数据进行印证核实后实行实时上报,以确保监测数据和反映信息的真实、准确和有效。机制运行的具体步骤为信息收集、信息分类、信息分析、风险评价、形成报告和落实整改。信息收集主要由县支行内审人员完成;信息分析主要采用定性分析和定量分析相结合的方法,将每个月的月末数据分别与上个月、去年同期进行对比;风险评价主要依据信息分析得出的风险点,采用权重的方式,评估出个体的整体风险状况,最终形成文字材料提交中支内审部门,内审部门负责形成综合评价报告,报告行长。
3.内控风险自我评估。
近年来,抚州市中支内审部门在武汉分行的指导下,积极探索内控自我评估的新方法、新途径,在开展“内部控制自我评估”活动基础上,要求机关各部门上报上一年内外部监督检查与被监督检查的数据信息,由内审部门进行汇总、分类、提炼,整理出上一年中支机关接受或开展的各类监督检查情况,重点描述发现主要问题和对应整改措施,并经相关部门核对签字确认无误后,将这些基础数据作为风险评估的依据。在此基础上,探索建立内控风险评估的数学模型,设立问题评估和控制评估为子模型的分层评估方法,借助矩阵评级法,将发现问题的性质和数量、整改情况、监督情况等均纳入评估因素,明确评估标准,划分评估等级,实施风险评估。同时,将收集整理好的基础数据信息导入数学评估模型,按评估发现问题的严重程度和整改控制措施的有效性,评出内控风险等级,提出审计关注建议。通过“自评”,既强化了员工的内控风险意识,促进了业务高风险特色控管工作水平的提升,又为武汉分行在辖内开展内控审计提供了有价值的审计建议,达到了“风险引导审计,审计关注风险”目的。
二、深化内控评价体系建设的思考
1.内控评价数据采集的全面性有待提升。
抚州市中支内控评价数据的采集主要来自于三个方面:一是特色内控管理的监督信息;二是内外部各类监督检查信息;三是内审监督审计信息。虽然这三方面的信息涵盖了一个单位,或一个部门高风险领域规范化信息的基本情况,是内控评价信息来源的基础。但由于设计者在风险评价信息采集的内容上,只考虑了重要性原则,未充分考虑全面性的要求,因此,内控评价数据采集的全面性有待提升。如对一些非高风险领域的评价,或与人财物关联度不高的部门和业务往往重视不够,分析评价的信息数据采集不多。同时,内控评价除了对制度性、规范性的风险信息需要进行收集、整理外,道德风险、法律风险也是内控评价不可或缺的重要组织部分,这有待于我们在今后内控评价实践中加以充实和完善,使之评价更为全面、结论更为客观公正。
2.内控评价的运行模型科学性有待检验。
抚州市中支开展的内控评价方法孕育于“风险管理”的理念,总结归纳了抚州市中支数十年来内控管理的经验做法,具有鲜明的地方特色,得到各级领导和相关部门的理解与支持。但是由于运行模型的设计是建立在抚州市中支内控文化的基础上,内审部门人员的理论知识和数学论证能力相对较弱,建立起来的问题数量、问题性质、监督检查、整改措施四维度的分析判断运行模型,得出的结论是否严谨科学,需要通过大量的审计实践样本进行检验,并在检验中不断修正、改良。
3.内控评价结果运用有待深化。
