论基于风险导向的企业内控评价体系的构建与完善
开篇:润墨网以专业的文秘视角,为您筛选了一篇论基于风险导向的企业内控评价体系的构建与完善范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
内部控制是企业经营管理活动中的重要保障手段,而企业需要对内控体系的健全性、有效性和合理性进行测试和分析,对内控体系进行自我评价,才能不断地强化和完善内控制度。因此如何建立好、完善好内控评价体系显得尤为重要。最近我国财政部等五部委颁布的配套指引中要求,企业应定期对内部控制整体有效性进行评价、出具评价报告,并向董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施,并将内部控制评价报告作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。然而目前,从我国企业内部管理的实际情况来看,还是存在较多的企业并没有重视内控评价体系的建立及完善工作。
一、当前企业内控评价体系中的现状及所存在的问题
1.无经常性自我报告制度。多数企业没有定期对内部控制的有效性进行自我评价并出具内部控制自我评价报告,这可能导致无法对企业内部控制的风险、控制的适当性及有效性、重大缺陷及问题、业务运作效率等方面进行整体评价,发现其中的问题,更无法对现有内部控制工作提出改进建议。
2.尚未建立风险分析、预警、应对机制。某些企业只有当风险发生时才采取措施加以补救,偏重于事后控制而忽视事前的预防控制,对突发性及临时性事件没有充分的考量,而按照以往的规律经验办事。具体表现在内部控制的相应条款上没有考虑到一些事项的变更情况及相应的处理情况,很可能在未来会因此而受到经济损失。
3.风险评估不及时。风险评估是及时识别、科学分析和评价影响内部控制目标实现的各种不确定因素,并采取应对策略的过程,是实施内部控制的重要环节。风险评估必须是动态的跟踪评估,有些风险因素是短时的甚至是瞬间的,需要立刻做出化解风险的决策,因此其时效性是至关重要的。目前有些企业仍处于阶段性的定期评估状态,有失对风险的及时主动控制,而滞后控制往往成效甚微。
二、加强风险导向内控评价体系的建立及完善措施
1.建立全面的内控评价体系
企业应定期对整个企业内控有效性进行评价,对内控评价报告中列示的问题,应当采取适当的措施进行改进,并追究相关人员的责任,管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。通过内控体系要素评分、内控审计并结合持续自我评估和专项评价的结果,对企业内部控制整体有效性进行评价。企业应指导风险管理部门的内控体系整体评价工作,审议内控体系有效性整体评价报告。
2.建立经常性自我报告制度
为了检查企业内部控制和风险管理体系的实施情况和有效性,本文建议企业应对管理和业务流程进行持续监控与分析、评价并汇报管控缺陷,并制定自身适用的内部控制评价办法,分析评价内部控制发现的缺陷,组织调查内部控制缺陷责任,制订内部控制缺陷整改措施并监督落实。
每一年度终了,监察审计部结合对企业内部控制的日常监督和专项监督的检查结果,对该年来内部控制体系的建立与运行的有效性进行全面总结和评价,出具企业内部控制年度评价报告,并上报审计委员会。审计委员会通过进一步的调查了解,形成《内部控制自我评价报告》,提请企业董事会审议批准。董事会和经营管理层针对评价报告中所发现的问题提出完善方案,监察审计部在审计委员会的领导下,对内部控制的完善情况进行跟踪检查。
3.建立风险评估机制
风险评估是及时识别、科学分析和评价影响内部控制目标实现的各种不确定因素,并采取应对策略的过程,是实施内部控制的重要环节,具体包括了目标设定、风险识别和风险应对,应该将风险评估上升到风险管理的高度,将风险作为控制的核心理念,而且以目标位导向能使控制方向更明确,从而控制企业的整体发展。所以风险评估必须是动态的跟踪评估。
并且,控制环境中包括的要素很多,但考虑成本效益原则,并不是所有的要素都有控制的价值。因此需要通对企业主要业务的特点进行分析,结合先前的管理经验,参照同行业先进内部控制管理企业的做法,对那些会影响有关控制目标实现的要素的风险程度进行合理的评估,对那些风险水平较高的可控因素实施控制,按以下流程进行评估:工作目标风险评估控制风险的措施。以工作目标为风险评估的起点,找出控制环境诸要素中可能导致工作目标不能如期实现的关键控制点,通过对其风险程度的评估,并采取科学控制风险的措施,积极有效地加以控制,从而保证其工作目标的实现。
4.健全风险管理机构
本文建议企业应建立健全规范的企业法人治理结构,确立董事会在企业全面风险管理中的中心地位。使董事会切实履行确定企业风险管理总体目标、风险偏好、风险承受度的责任,批准风险管理策略和重大风险管理解决方案,做出有效控制风险的决策。
董事会下设风险管理委员会,委员会成员由具备风险管理监管知识或经验、具有一定法律知识的董事担任。风险管理委员会对董事会负责,提交全面风险管理年度报告,审议风险管理策略和重大风险管理解决方案等。企业应明确各部门的风险管理职责,建立起风险控制的三道防线。业务部门构成日常风险控制的第一道防线,专业风险管理部门构成风险控制的第二道防线,而管理层和内部审计部门则构成风险控制的第三道防线。