风险自评报告
开篇:润墨网以专业的文秘视角,为您筛选了八篇风险自评报告范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
风险自评报告范文第1篇
关键词:上市银行;内部控制;实质性漏洞
中图分类号:F832.2 文献标识码:A 文章编号:1001-828X(2012)09-0-01
一、实质性漏洞的概念
PCAOB将实质性漏洞(Material Weakness)定义为会导致上市公司年度或中期财务报表出现重大错报风险,并且这个风险难以被发觉及有效预防的一个或多个缺陷。Ge和McVay(2005)将实质性漏洞分为九类:账户式、人员培训,期末报告与会计政策,收入确认,职责划分与授权,对账,子公司式,高管层和技术方面。以下中信银行的案例分析参照此分类标准。
二、中信银行内部控制实质性漏洞披露状况
中信银行于1987年建立,2007年实现A+H同步上市,已成长为一家具强大增长势头和竞争力的全国性商业银行。
(一)中信银行内部控制信息披露状况
1.内部控制信息披露的分布
通过对中信银行上市以来的5份年报、内控自我评估报告和内控审核报告进行整理分析,我们发现其公开披露的内控信息主要集中于年报中的监事会报告,公司治理报告、年终审计报告以及内控自评报告和内控审核报告里。监事会报告对内控的披露较简单,主要是对内控自评报告的审阅意见,上市五年均无异议。公司治理报告主要是对本年度内控的建立健全情况和内控的自评情况进行披露,内容较详尽。内控自评报告逐年有统一格式,包括本年度内控的基本情况,内控存在的不足、下年度的改善措施及内控自评。董事会报告和重要事项未对内控进行披露。
2.内部控制信息披露的连续性
中信银行2007-2011年内控披露的位置是一致的,并且没有间断,这得益于我国在上市公司内部控制信息披露方面的监管制度逐渐完善,2006年颁布了有“中国萨班斯法案”之称的《上市公司内部控制指引》(下称《指引》),2007年颁布了《商业银行信息披露办法》(下称《办法》)。2007年上市的中信银行,对相关监管制度的把握是较充分的。
(二)中信银行实质性漏洞披露状况
1.实质性漏洞披露的数量
2007年未披露实质性漏洞可能因为上市首年想给各利益相关者一个好印象,同时《指引》和《办法》刚颁布不久,中信银行可能还没能力马上建立完善的内控体系。如下表所示,中信银行于2008和2009年各披露了4项和3项实质性漏洞,均披露于内控自评报告。2010和2011年未披露,这体现了其通过对实质性漏洞的识别、分析和弥补,建立起较完善的内控体系,相对有效的预防了风险。
中信银行2007-2011年间披露的实质性漏洞
2.实质性漏洞披露的类别
中信银行披露的实质性漏洞类别各异,说明其面对的内控问题是复杂和严峻的。其中出现较多的是高管层和职责划分与授权两类,也表明其管理层的风险控制能力还存在不足,同时操作不规范的情况还难以杜绝。
三、结论及建议
分析表明,中信银行实质性漏洞的披露主要集中于内控自评报告,内控审核报告流于形式,未涉及公司内控的具体内容。对于实质性漏洞的披露,管理层不够重视,没有逐年披露也没有分类别披露。
据此,本文对我国上市银行完善其内控实质性漏洞的披露提出建议:第一,上市银行董事会提高对实质性漏洞披露的重视。实质性漏洞的识别和披露不仅涉及上市银行自身的持续发展,也涉及各利益相关者是否能取得可靠信息作出有效决策;第二,建立统一的实质性漏洞评价标准体系。目前我国对实质性漏洞的评价还缺乏一致的标准,使实质性漏洞的识别较难,建议有关部门尽快建立统一的评价标准体系。另外董事会在利用评价标准体系时,要与本行的具体控制环境结合,更准确的识别本行的实质性漏洞;第三,完善内控相关监管制度,加强处罚力度。对于内控的相关监管制度应增加与实质性漏洞披露相关的要求,对于信息披露方面的强制性要求,有关部门应加强对不遵循公司的处罚力度,并追究相关人员责任。
风险自评报告范文第2篇
关键词:商业银行 操作风险管理 分行层面 体系建设
中图分类号:F830文献文识码:A文章编号:1006-1770(2011)02-045-03
在“总行―分行―支行”的层级体制下,从总行层面看,操作风险管理项目建设是巴塞尔新资本协议达标的需要。对分行层面而言,操作风险管理体系建设有重要的现实意义。
一、商业银行操作风险管理体系比较分析
目前,国内外多家商业银行已开展或陆续开展操作风险管理体系建设,本文选取两家有代表性的“总行―分行―支行”层级体制的商业银行,介绍其体系构建情况,并做简要评价。其中,A银行(某大型中资商业银行)在组织架构搭建上比较完善,B银行(某外资商业银行)在流程管理、数据分析、损失数据收集方面比较完善。
(一)A银行操作风险管理体系构建
⒈建立不同层级的风险管理委员会,构建集中的风险决策框架
分行成立操作风险管理委员会,负责分行层面操作风险管理工作的组织、制度监视和流程安排等事项。每年召开4次操作风险管理委员会会议,制定分行操作风险管理规划,审议操作风险制度、报告、重大风险事项,并对上年度操作风险管理执行情况进行总结。支行风险管理委员会对支行操作风险进行确认、评价并管理操作风险,每年2次形成全面风险评估报告,报告内容应涵盖操作风险管理状况及评价,包括操作风险指标监测情况、法律风险等。
⒉设立操作风险管理的牵头部门
内控合规部牵头分行操作风险管理,负责对分行操作风险管理的统筹、组织、协调和督导工作;建立分行的操作风险管理体系,对操作风险进行全面、综合管理;组织推动本行各业务部门识别、评估与监测本专业领域的操作风险;建立操作风险监测机制,负责操作风险监测指标的统计、分析与报告;定期形成操作风险管理评估报告,并向上级内控合规部和分行操作风险管理委员会报告。分行法律部主要牵头负责法律风险管理工作。分行风险管理部主要负责牵头操作风险资本计量高级法、推进工作,配合总行做好操作风险管理系统建设工作,主要包括:AMA合规模型原型、内部损失数据收集系统、外部损失数据导入系统、情景分析、风险与控制自我评估、关键风险指标等功能模块。此外,风险管理部还负责对支行操作风险情况进行定量考核。
⒊实际的操作风险管理仍在业务部门
分行业务主管部门主要负责本部门操作风险管理工作,保持相关制度、流程、程序和控制的适度性和有效性;根据全行统一的操作风险管理架构,制定、管理、检查和修订相关的操作风险管理目标、程序、内容及办法;分析、识别、评估、监测、控制/缓释以及报告相关业务的操作风险。
⒋强调业务保障部门在操作风险管理中的重要作用
分行支持保障部门主要负责协助业务管理,并负责某些特定部分的风险政策制定和风险监督;为操作风险管理的有效运作提供人力资源、技术、法律、智力培训、综合信息等多方面的支持和保障;承担本部门相关操作风险的分析、识别、评估、监测、报告和控制/缓释。
⒌内审部门对操作风险管理有效性进行检查
内审部门负责独立监督操作风险管理架构,检查操作风险制度和程序是否有效实施;开展内部审计,检查各项操作风险管理的制度、政策、流程和程序是否有效实施,并出具独立审计报告。此外,A银行在分行层面大力推动内控评价建设,对支行内控执行情况进行分级,内控管理较好的支行被评为“一级行”;内控合规部建立“违规积分”制度,凡内控违规超过一定分值的行员,会被解除合同,以此加强内控管理。
A银行的操作风险管理体系建设有如下特点:
一是操作风险管理开展较早,由内控合规部牵头,形成了比较成熟的操作风险管理体系,管理目标明确,组织架构较完善并有相应配套的政策制度、管理流程、报告路径、管理方法、职责分工等。近两年开展系统建设工作,重视操作风险计量,并逐步将定性管理和定量分析相结合。
二是内审部门相对独立,能对操作风险整体执行情况进行检查。A银行在支行层面建立内控评价制度,以评价考核来进一步规范操作风险管理。
三是根据巴塞尔新资本协议中的操作风险定义,A银行还将法律风险纳入操作风险范畴。
四是A银行操作风险管理体系建设取得较好效果,与其全面风险管理体系建设较完善以及重视内控合规管理密不可分。
(二)B银行操作风险管理体系构架
⒈组织架构搭建
相比A银行,B银行操作风险管理组织架构相对简单。对于分行层面,划分为“业务部门-业务条线部门-风险管理部门-内审部门”,风险管理部牵头操作风险管理并对全行操作风险情况进行评估,业务条线部门负责本条线的操作风险管理,内审部门负责根据风险部门报送的情况有针对性地开展检查,并根据检查结果提出整改意见。
⒉操作风险管理流程
B银行按照业务板块对其操作风险进行识别、评估、监测、控制与缓释,并通过风险与控制自评估(RCSA)问卷加以实现。如对风险管理中的资产分类业务,首先识别出该类业务的风险点,资产五级分类存在不准确的可能;其次,找出产生该类风险的原因,然后将风险进行量化;第三,对目前该类风险的内部控制措施进行评价,确定其是否正常运行以及设计是否合理;第四,根据业务本身存在的风险以及采取的控制措施,评估剩余风险大小;最后,根据存在的问题提出内控改进建议,如改进制度、加强人员安排等。
报告路径上,业务部门负责填写本部门的RCSA问卷后,报业务条线部门,后者可通过RCSA问卷填报情况、开展检查进行操作风险管理,再将本条线操作风险管理情况报告风险管理部。风险管理部汇总后形成有针对性的报告,报送内审部门。内审部门根据风险部报送的情况有针对性地开展检查,并根据检查结果提出整改意见。年末,风险管理部根据业务条线的RCSA、自查情况以及内审部门的检查及整改情况,形成全行操作风险管理评价。
⒊损失数据收集
B银行对操作风险采用AMA法计量,一方面积累内部数据,一方面购买外部数据,增加数据量。损失数据具体的应用范围有:
⑴为AMA法提供计量的数据基础。找出内部、外部损失数据的分布函数,并根据分布函数特征模拟出n组数据(蒙特卡罗模拟),计算模拟数据在某一置信水平(如99%的置信区间)的损失情况。
⑵情景分析依据。情景分析中的损失频率和严重度均参考历史损失数据得到。对于零售银行的内部欺诈事件进行情景分析,可根据历史数据的损失金额以及发生的频率来设定情景分析的指标。
⑶风险指标边界值的依据。对于设定的风险指标,可以根据历史数据观察指标值的分布情况,确定当指标值处于哪个区域时风险较低、当指标值处于哪个区域时风险较高,并确定应采取的措施加强管控。
B银行的操作风险管理体系建设有如下特点:
一是B银行直接采用AMA法。该方法对损失数据积累程度要求较高,因此,B银行更加注重损失数据的收集工作,研究制定了损失数据的收集办法,并充分利用外部数据积累损失数据量。
二是B银行比较注重损失数据运用。对于RCSA、RI等工具的损失频率和严重度设定,均以历史损失数据为参照值,使得上述指标的设定更接近真实情况。
三是B银行更加注重内控和操作风险管理相结合。该行设计的RCSA模板简单易懂,基本上体现了风险识别、评估、监测、控制/缓释的过程,其中的控制项完全为内控执行情况,通过操作风险暴露值反映内控管理情况,把主观的管理变成可以量化的数值。
四是B银行充分强调内审在操作风险管理中的重要作用。以检查为手段对风险与控制自评估的有效性进行约束,业务条线部门负责具体的操作风险管理工作,风险管理部负责牵头和汇总,并对银行操作风险情况进行评估。
五是B银行的不足之处在于操作风险管理系统尚不健全,未能实现风险与控制自评估的电子化,增加了汇总、分析人员的工作量。
二、对分行操作风险管理体系建设的设想
(一)健全的操作风险管理框架
1.明确的组织架构和职责分工。在分支行层面设立不同层级的风险管理委员会,负责根据总行要求制定分行风险管理目标、政策并审议风险评估报告以及重大风险事项等内容,实现分行全面、集中、垂直的风险管理框架。2.明确的政策制度作为支撑。内容包括操作风险管理的目标、风险偏好、组织架构和职责分工、流程管理、报告路径及内容、系统建设、文化建设等。3.通过操作风险管理系统实现风险识别、评估、监测、控制/缓释、报告等流程管理。通过在系统中建立风险与控制自评估模块进行操作风险的识别和评估,关键风险指标模块对风险进行监测,积累损失数据用于操作风险计量和情景分析,通过问题与行动计划模块对操作风险进行控制和缓释,通过建立报告机制使管理层能及时掌握银行操作风险状况以及重大风险事件。4.加强操作风险管理文化建设。通过网络学习、培训、例会学习、案例分析、定期编发操作风险管理简报等形式构建操作风险管理文化。
(二)与内控管理相结合,实现操作风险流程管理全覆盖
操作风险管理体系建设近年来方开始推行,相比银行内控管理尚不成熟。建议分行操作风险管理应与内控管理相结合,充分发挥内控管理在银行中的基础性作用,降低成本,增强操作风险管理效果。⒈建立风险与控制自评估模板,对内控执行情况进行评价,并覆盖分行全部业务。⒉分行业务管理部门负责本部门或本条线业务的操作风险管理,通过分、支行对业务本身内控评价,或对分、支行内控执行情况进行检查,在此基础上确定内控效果,进而测算业务存在的操作风险,并将结果报送风险管理部汇总。风险管理部将其作为操作风险评估报告的一部分,对分行整体操作风险进行评价,也可作为内审部门检查的基础资料。
(三)加强内部审计部门对操作风险管理执行情况的独立评价
分行应加强内审部门的检查职能,不能仅仅增加检查量,而应增强检查的针对性。将分行业务管理部门对本部门或条线的操作风险情况所开展的定期或非定期检查作为操作风险管理的常规手段,在此基础上,充分发挥内审部门作为最终检查部门的作用,结合风险部定期提供的操作风险评估报告,对操作风险管理的执行情况、效果等进行检查,并提出改进建议,进一步提升分行操作风险管理水平。
(四)建立损失数据收集制度
损失数据收集是操作风险管理体系建设的一个重要组成部分。损失数据不仅能为操作风险高级计量法提供数据基础,还可用于情景分析、风险指标等多个管理工具中。目前分行损失数据积累较少,主要由于长期以来,分行没有明确的损失数据收集范围,即便在总行统一指导和监测下,损失数据收集仍有一定困难,漏报、瞒报现象时有发生。分行自身应加强对损失数据收集的调研工作,出台损失数据收集办法。在此基础上,充分利用损失数据进行操作风险分析,如观察其分布情况、集中度、发生频率、损失金额等,对重点业务、环节和支行加强管理。
(五)建立后评价机制
除检查手段外,分行还需建立内控的后评价机制,主要对象是经营单位或员工。可将经营单位分成几个级别,如内控管理情况较好的为“一级行”;分行设定内控评价指标,根据得分情况判断经营单位内控管理情况;此外,还可通过对员工建立“违规积分”的制度,判断其自身内控是否到位。通过推进分行内控管理,提升操作风险管理水平。
作者简介:
风险自评报告范文第3篇
编制单位:嘉兴钱塘江海塘维护有限公司
编制时间:2019年4月
安全生产标准化创建工作实施方案
为了深入贯彻落实《国务院关于进一步加强安全生产工作的决定》,落实安全生产责任制,改善公司安全生产条件,控制安全生产风险,提高安全管理水平,按照《中华人民共和国安全生产法》[2014年12月1日]对安全生产标准化建设的要求及《关于进一步加强企业安全生产工作的通知》(国发[2010]23号)文件精神的要求,根据公司的实际情况,特制定公司企业安全生产标准化创建实施方案。
一、工作目标
通过各部门积极开展安全生产标准化建设活动,增强公司全体员工的安全生产意识,强化安全生产基础管理工作,实现安全管理标准化、岗位操作标准化、日常管理标准化,把安全生产标准化要求融入到日常安全管理工作中,持续改进,不断加强安全生产规范化建设。严格开展自评工作,确保公司在2019年年底前,顺利通过企业安全生产标准化建设达标评审;并以此为契机推动公司的安全生产和现场管理工作上一个新台阶。
二、组织机构及职责
为了更好地推进公司安全标准化创建工作,公司成立创建安全生产标准化工作领导小组。
1、安全生产标准化领导小组
组长: 徐霄果
成员:任侁 谢松晁
职责:
1、确定安全生产方针、目标及安全标准化活动目标。
2、审批标准化活动实施方案;
3、提供和落实安全生产标准化提供资金等资源;
4、指导协调解决安全生产标准化活动中的重要问题;
5、督促检查安全生产标准活动实施方案落实情况;
6、对安全生产标准化创建活动进行内部自评和考核;
2、安全生产标准化推进小组
组长:任侁
成员:严文煜 汤培强 郭明珠 戴红艳 杨耿 李龙虎
职责:负责安全生产标准化建设过程中的文件制修订、教育培训、安全检查和隐患治理等具体工作。
3、专业小组
3.1物业化巡查及海塘防潮公共设施管理
成员:戴红艳、郭明珠
3.2海塘零星维修管理
成员:严文煜 汤培强 李龙虎
3.3海塘日常养护保洁管理
成员:严文煜 汤培强 李龙虎
3.4作业安全与职业健康
成员:严文煜 汤培强 金全观 李龙虎
职责:对所对应的专业管理负责,认真落实各项工作。
4、自评小组
组长:徐霄果
成员:任侁 谢松晁
职责:负责安全生产标准化自评计划、自评检查表的编制,并实施自评工作,提出进一步完善安全生产标准化的计划和措施。
5、办公室职责
1、在领导小组的领导下,全面负责安全生产标准化活动的开展;
2、负责安全生产标准化活动的宣传培训;
3、负责组织编制安全生产责任制和安全生产管理规章制度;
4、负责组织事故隐患排查整改复查;
5、负责组织安全生产标准化自评、编写评审报告和提出评审申请;
6、及时收集并向领导小组及市安全生产主管部门上报有关材料。
三、活动的步骤、内容和时间安排
创建安全生产标准化活动从2019年3月20日开始,至2019年12月31日结束。共分四个阶段
(一)、部署、宣传、动员阶段。
时间:2019年3月20日至2019年4月30日;
1、制定安全生产标准化创建工作方案;
2、成立安全生产标准化领导小组、推进小组、专业小组;
3、安全生产标准化文件(评审标准、创建指南等)收集、发放;
4、开展安全生产标准化宣传,营造工作氛围,落实责任人。
(二)、推进实施阶段:
时间:2019年5月1日至2019年8月31日;
1、组织学习《企业安全生产标准化基本规范》(GB/T33000-2016)和《水利工程管理单位安全生产标准化评审标准》,全面掌握评审方法和评分标准;
2、建立和完善规章制度;时间:2019年5月5日至2019年6月30日;
组织有关人员编写安全操作技术规程,建立并完善各项安全生产规章制度,明确各级领导、各部门、各岗位及人员的安全职责。
3、隐患排查阶段:时间:2019年7月1日至2019年7月30日
按照《水利工程管理单位安全生产标准化评审标准》的内容,对照公司的安全管理、现场作业、设施设备等方面进行隐患排查,并对公司的安全现状做出基本判断。
4、隐患整改阶段:时间:2019年8月1日至2019年8月20日
针对排查出的隐患和问题,制定整改方案,适时聘请第三方技术服务机构进行现场指导,落实整改责任人、资金和完成时间,并予以完成。
(三)、自查自评阶段
时间:2019年9月1日至2019年10月10日
由领导小组组织相关人员,对照《水利工程管理单位安全生产标准化评审标准》进行自评,做出是否具备申请评审的结论,如达标,则由活动办公室形成自评报告,书面提出评审申请,如不达标,则进一步整改,并递交整改报告。
四、工作要求
1、全体员工要在思想上高度重视,充分认识开展安全生产标准化建设的重要性,并积极参与到标准化建设中,认真落实好安全生产标准化各项工作。
2、严格执行各项工作程序,把握工作重点,加强生产过程监控、监督,规范队伍管理,大力搞好安全生产标准化的宣传、学习工作,从制度到精神、落实到每位员工行动中,从思想上真正有所提高。
3、各部(室)要制定切实可行的措施,保证计划顺利落实。
4、完善制度,通过开展安全生产标准化活动,进一步完善公司各项安全生产责任制;
5、明确责任,对职责履行不到位,影响安全生产标准化建设工作的部门或个人实行责任追究。
附表: 安全生产标准化评审标准职责分配表
水利工程管理单位评审标准条款
领
导
层
安
环
部
工
程
部
办
公
室
财
务
部
A级要素
B级要素
1法律、法规和标准
1.1法律、法规和标准的识别和获取
1.2法律、法规和标准符合性评价
2机构和职责
2.1方针目标
2.2 负责人
2.3职责
2.4 组织机构
2.5 安全生产投入
3风险管理
3.1 范围与评价方法
3.2风险评价
3.3风险控制
3.4隐患排查与治理
3.5 重大危险源
3.6变更
3.7风险信息更新
3.8供应商
4管理制度
4.1安全生产规章制度
4.2操作规程
4.3修订
5培训教育
5.1培训教育管理
5.2从业人员岗位标准
5.3管理人员培训
5.4从业人员培训教育
5.5其他人员培训教育
5.6日常安全教育
6生产设施及工艺安全
6.1生产设施建设
6.2安全设施
6.3特种设备
6.4工艺安全
6.5关键装置及重点部位
6.6检维修
6.7拆除和报废
7 作业安全
7.1作业许可
7.2警示标志
7.3作业环节
7.4承包商
8职业健康
8.1职业危害项目申报
8.2作业场所职业危害管理
8.3劳动防护用品
9 危险化学品管理
9.1危险化学品档案
9.2化学品分类
9.3化学品安全技术说明书和安全标签
9.4化学事故应急咨询服务电话
9.5危险化学品登记
9.6危害告知
9.7储存和运输
10事故与应急
10.1应急指挥与救援系统
10.2应急救援设施
10.3应急救援预案与演练
10.4抢险与救护
10.5事故报告
10.6事故调查
11检查与自评
11.1安全检查
11.2安全检查形式与内容
11.3整改
风险自评报告范文第4篇
[中心词汇]内部控制评价;SOX法案;内部控制指引;美国;中国
随着现代企业的开展、证券市场的兴盛,作弊案件也随之添加,从而内部控制评价逐渐成为学术界关注的焦点。内部控制评价包括上市公司的自我评价和注册会计师的核实评价两局部,我国与之相对应的制度树立尚处于起步阶段。如何针对国情,剖析自创美国的阅历,树立起一套严密的内部控制评价制度,并使之有效运转,是促使上市公司树立健全内部控制制度,规避运营风险,保证资产平安,提高运营效率和效果,进而维护投资人利益亟待处置的效果。
一、美国的内部控制评价制度及其影响
(一)美国的内部控制自我评价制度
随着安然等财务欺诈案的频频曝光,2002年7月美国出台了经典的《萨班斯-奥克斯利法案》(以下简称SOX法案),完毕了内部控制信息披露方式之争,标志着内部控制评价进入了强迫性阶段。SOX法案404条款要求管理层对与财务报告相关的内部控制停止自我评价出具报告,并要求公司内部审计人员对管理层的评价停止认证和报告。
为了落实SOX法案,美国证券买卖委员会(SEC)采取了举动,于2002年10月第33—8138号提案,并于2003年8月最终规则,规则除了投资公司之外的上市公司都应在年度报告中包括一份关于内部控制的报告,并规则了报告的内容和格式,同时要求在年报中披露“注册会计师鉴证报告”。SEC规则与财务报告牢靠性有关的内部控制信息必需强迫性披露。
COSO于2004年9月在《内部控制一全体框架》的基础上提出了《企业风险管理-全体框架》(Enter-priseRiskManagementFramework,以下简称ERM),进一步拓展了内部控制内涵,如引入风险的概念,并将内部控制目的中的“财务报告牢靠性”扩展到了“报告牢靠性”,添加了“战略目的”,将内部控制评价要素从原来的“五要素”添加到“八要素”,这些打破更有力推进了内部控制评价的开展。COSO报告对内部控制框架研讨曾经比拟成熟,是企业管理应局和注册会计师对内部控制有效性评价的基础,不时为企业界停止内部控制管理和内部控制树立提供自创。
可见,SOX法案就内部控制自我评价提出强迫性要求、SEC就评价载体——自评报告内容与格式做出规则、COSO从概念界定人手界定了内部控制的外延并将评价要素扩展到八个,标志着美国的内部控制自我评价制度日趋完善。三者相互协调,亲密配合,构建出操作性较强的内部控制自我评价体系。
(二)美国的内部控制核实评价制度
内部控制自我评价报告作为投资决策的依据必需经注册会计师的鉴证。为维护投资人权益,美国注册会计师协会(AICPA)于2003年3月18日财务报告内部控制审计征求意见稿,规则群众公司审计包括财务报表审计和财务报告内部控制有效性审计两个局部,独立审计师需求对内部控制的设计有效性和执行有效性停止评价,并宣布审计意见;假设公司内部控制存在未更正的重要控制弱点,注册会计师不得宣布财务报告内部控制有效的无保管意见。
作为照应,美国上市公司会计师监管委员会(PCAOB)于2004年《评价准绳第2号——与财务报表评价协同停止的对财务报告内部控制的评价》,要求审计人员评价管理应局运用于评价主体内部控制的顺序方法的牢靠性,复核和运用一些管理应局和内审人员以及其他人员对内部控制评价进程取得的测试结果,或自己停止测试,以构成独立意见。该准绳为上市公司管理层关于财务报告内部控制有效性评价和注册会计师师评价公司的财务报表制定了要求并提供指引。2007年,PCAOB又出具了新的要求:《评价准绳第5号——与财务报表评价相整合的财务报告内部控制评价》,要求评价人员对内部控制评价采用风险导向的评价方法,将审计资源集中于能够招致严重错报风险的范围。
可见,美国的核实评价制度与自我评价制度相照应,仅限于与财务报表评价协同的财务报告内部控制评价。外延的特别限定可降低注册会计师的风险,添加核实评价的可操作性。这为世界各国遏制信息披露作弊,维护证券市场次第和投资人权益举动指明了方向,因此惹起普遍的关注。
二、我国的内部控制评价制度及其效果
美国作为资本市场最兴旺的国度,因其资本市场规则的严谨而历来被各国自创和效仿。SOX法案的出台催生了我国际部控制强迫性制度的发生,也促进了注册会计师对内部控制自我评价停止核实鉴证规则的出台。
(一)我国际部控制自我评价制度
1、证券买卖所的规则。2006年以前,我国关于内部控制的评价制度源于《地下发行证券信息披露规则》、《地下发行证券的公司信息披露内容与格式准绳》、《证券公司年度报告内容与格式准绳》和《初次地下发行股票及上市管理方法》,主要对证券、保险、商业银行等金融行业的内部控制评价提出要求,大局部上市公司处于自愿性评价阶段。随着中国航油(新加坡)有限公司事情及其他证券市场作弊和违规事情的发作,内部控制强迫性评价要求日益剧烈。上海证券买卖所于2006年6月5日了《上海证券买卖所上市公司内部控制指引》(以下简称《上交所内控指引》),于2006年7月1日末尾执行。其中,第三十二条规则:“公司董事会应在年度报告披露的同时,披露年度内部控制自我评价报告,并披露会计师事务所对内部控制自我评价报告的核实评价意见。”第三十三条规则:“公司内部控制自我评价报告至少应包括如下内容:内部控制制度能否树立健全;内部控制制度能否有效实施;内部控制反省监视任务的状况;内部控制制度及其实施进程中出现的严重风险及其处置状况;对本年度内部控制反省监视任务方案完成状况的评价;完善内部控制制度的有关措施;下一年度内部控制有关任务方案。”该指引明白要求上市公司在年报外独自披露内部控制自评报告,比美国的SOX法案的规则还要严厉。《上交所内控指引》虽规则了评价内容,但披露本钱较高,操作性差。同年,深圳证券买卖所也于9月28日了《深圳证券买卖所上市公司内部控制指引》(以下简称《深交所内控指引》),于2007年的7月1日执行。其中,第六十二条规则:“公司董事会应依据公司内部审计报告,对公司内部控制状况停止审议评价,构成内部控制自我评价报告。公司监事会和独立董事应对此报揭宣布意见。自我评价报告至少应包括以下内容:对照本指引及有关规则,说明公司内部控制制度能否树立健全和有效运转,能否存在缺陷;说明本指引重点关注的控制活动的自查和评价状况;说明内部控制缺陷和异常事项的改良措施;说明上一年度的内部控制缺陷及异常事项的改善停顿状况。”该指引要求上市公司随年度报告披露内部控制自评报告,并就自评报告内容做出规则,其披露项目及陈列顺序与《上交所内控指引》基本相反。
2、内部控制规范委员会的规则。为了一致我国的内部控制的树立并完善企业管理结构和内部约束机制,2006年7月15日财政部等五部委成立了内部控制规范委员会,于200§年6月结合了《内部控制基本规范》以及《企业内部控制运用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》征求意见稿(以下简称“配套指引”)。基本规范明白了内部控制目的、准绳、要素等实际基础,三个配套指引处置操作性效果。经过一年多的征求意见,2008年6月28日《企业内部控制基本规范》正式,于2009年7月1日在上市公司范围内执行,现又推延至2010年1月1日执行。该规范第四十六条规则:“企业应结合内部监视状况,活期对内部控制的有效性停止自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、顺序和频率,由企业依据运营业务调整、运营环境变化、业务开展状况、实践风险水平等自行确定。”为控制评价规范的树立奠定了基础。
(二)我国际部控制核实评价制度
《上交所内控指引》第三十三条规则,“会计师事务所应参照主管部门有关规则对公司内部控制自我评价报告停止核实评价。”《深交所内控指引》第六十三条规则:“注册会计师在对公司停止年度审计时,应参照有关主管部门的规则,就公司财务报告内部控制状况出具评价意见。”以上两个指引提出了对内部控制自我评价报告出具核实评价报告的要求。
注册会计师对内部控制出具核实意见的依据是2002年9月中国注册会计师协会的《内部控制审核指点意见》(以下简称《指点意见》)。其第二条规则:“本意见所称内部控制审核,是指注册会计师接受委托,就被审核单位管理应局对特定日期与财务报表相关的内部控制有效性的认定停止审核,并宣布审核意见。”第二十九条规则:“注册会计师应当复核与评价审核证据,构成审核意见,出具审核报告。
财政部2006年公布的《中国注册会计师审计准绳第1121号——了解被审计单位及其环境并评价严重错报风险》(以下简称《第1121号准绳》),其中第四十五条规则:“注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型,思索招致严重错报风险的要素,以及设计和实施进一步审计顺序的性质、时间和范围。”第四十六条规则:“内部控制是被审计单位为了合理保证财务报告的牢靠性、运营的效率和效果以及对法律法规的遵守,由管理层、管理层和其他人员设计和执行的政策和顺序。’’第四十七条规则:“内部控制包括下列要素:控制环境;风险评价进程;信息管理系统与沟通;控制活动;对控制的监视。”
《指点意见》就注册会计师核实评价提出强迫性要求;《第1121号准绳》就评价内容做出规则,并界定了内部控制的概念及其要素。
(三)简明评述
美国的证券市场成熟,制度健全,其内部控制评价阅历了从自愿性到强迫性披露的进程,相关法规和制度曾经很丰厚和完善,各项制度协调分歧,相互配合。SOX法案刚刚出台,SEE、COSO、CICPA、PCAOB等部门都纷繁做出照应,支持SOX法案的落实,并在实际上与SOX法案坚持分歧。我国受美国际部控制评价制度开展的影响,出台了强迫性披露规则,末尾了内部控制评价规范的树立,出台了注册会计师核实评价规则。但是,面对我国社会各界,如公司管理层、注册会计师和投资人对内部控制认同度低;证券市场起步晚,时间短,全体规模小,结构不完善的理想,上述内部控制评价制度显然站位过高,接轨过快,曾经引发了内部控制评价和披露方式化,过于复杂,以及制度并未失掉有效执行等效果。笔者以为缘由如下:
1、评价规范滞后。美国的SOX法案出台后,SEE立刻制定了配套的评价规范。我国两个买卖所内部控制指引出台两年后才公布《内部控制基本规范》,三个配套指引尚在征求意见;就《内部控制基本规范》而言,原定2009年7月1日执行,现又推延至2010年1月1日起执行。评价规范的缺失使上市公司元所适从。
2、评价制度之间不协调。首先,《内部控制基本规范》、《上交所内控指引》、《深交所内控指引》及《内部控制审核指点意见》对内部控制概念界定、评价主体、自评报告审核主体各有不同的规则;内部控制要素等的规则,《内部控制基本规范》、《上交所内控指引》和《深交所内控指引》也各不相反;《上交所内控指引》和《深交所内控指引》要求注册会计师对内部控制自我评价报告停止鉴证,而《内部控制基本规范》却没有明白说明。其次,2006年《上交所内控指引》要求上市公司于2006年7月1日起执行强迫披露内部控制评价报告,但是在2008年1月《关于做好上市公司2007年年度报告任务的通知》中,只是鼓舞有条件的上市公司同时披露董事会对公司内部控制的自我评价报告和审计机构对自我评价报告的核实评价意见,两者前后矛盾。
3、注册会计师核实评价范围大,从业风险很难规避。美国的核实评价制度仅就与财务报告相关的内部控制做出核实评价,而我国在内部控制自我评价的相关制度中,把内部控制评价的范围界定为狭义的视角:包括了公司战略层面、运营层面、财务报告层面及恪违法律层面。而在注册会计师内部控制核实评价制度规则上与内部控制自我评价制度相对应,范围逾越了财务报告内部控制范围。假设依据本钱效益准绳,把关注的重点放在与财务报告相关的内部控制上,出具的鉴证报告将带来审计合规性与核实评价完整性的质疑,风险在所难免。
三、完善我国际部控制评价制度的意见
针对上述效果,笔者以为应采取以下措施完善我国际部控制评价制度。
第一,尽快出台并实施内部控制评价规范。目前上市公司内部控制自我评价报告披露方式多种多样,评价依据也存在差异,信息运用者不能识别内部控制状况的优劣,无法做出合理的判别。因此,现已的《内部控制基本规范》的三个配套指引的征求意见稿应尽快完善出台,规范自我评价报告,为投资者决策提供依据。
风险自评报告范文第5篇
关键词:内部控制;存在问题;建设研究
中图分类号:F270 文献标识码:A 文章编号:1001-828X(2013)12-0-01
一、现阶段电网公司内部控制存在的问题
近年来,国家电网公司实施“一强三优”战略目标,深入推进“两个转变”,积极构建“三集五大”科学管控体系,建立了科学合理的治理结构,优化了机构设置及权责分配,持续加大依法从严治企力度,不断健全风险管理常态化机制,积极推进制度体系和以ERP为核心的信息系统建设,内部控制体系建设成效显著。
这些现象,归纳起来,与电力企业内部控制建设相关,一是内部控制权责分配有待细化,内控文化意识培育和专业队伍培养亟需加强;二是尚未完全实现以部门为对象转化为以业务为对象,以条块为手段转化为以流程为手段,禁止性规定转化为规范性规定,体系化的内部控制标准有待完善;三是信息沟通机制尚需进一步完善,缺少统一的内控信息化工作平台,业务系统中尚未完全固化高关键控制点和控制要求;四是缺少体系化的内控评价规范,尚未建立内控执行责任机制和评价改进机制。
二、电网公司内部控制建设的途径
(一)内部环境建设。首先,建立健全内部控制工作机构。在省公司层面成立全面风险管理委员会,负责审定公司内部控制体系建设方案、组织开展建设实施工作。在全面风险管理委员会下,成立具体工作的内控办公室,负责内部控制日常组织与协调工作。在内控办公室成立各专业项目管理组,由风险管理与内部控制专职和咨询顾问组成,负责内控建设的指导、实施、监督工作。第二,制定统一的岗位授权规范。梳理分析各项业务内容、权限范围、审批程序和工作职责,理清内控权限分配,制定统一的岗位授权规范。第三,培育良好的内控文化意识。大力实施文化强企战略,加强内控文化传播、落地和评价,增强干部员工自觉落实内控措施、主动监督内控执行的意识,为内部控制体系持续改进提供强大动力。第四,培养专业人才队伍。加强内控专业人才队伍建设,建立内控专业人才选拔机制,完善内控专业队伍培训体系,实现人员结构优化和素质提升,建立一支风险意识强、专业素养高、业务水平精的内控专业化队伍。
(二)风险评估建设。依据公司战略目标和内外部经营环境,以公司层面和业务层面为基准,覆盖经营类和管控类业务,开展风险信息的收集,辨识与电力交易、物资、营销、工程、投资等经营类业务相关的风险,以及与预算、资金、资产、股权投资、合同、信息化管理等管控类业务相关的风险,细化各业务风险列表,明确风险责任部门,提出管理策略和解决方案,建立公司规范统一的风险信息库。认真制定公司风险评估规范,结合公司风险评估工作需求,建立风险预警指标库,理清工作界面,细化落实岗位责任,优化工作流程。
(三)控制活动建设。第一,制定流程控制规范。对照标准业务流程框架,梳理公司经营类和管控类业务,细化公司业务流程框架;按业务开展全流程梳理,优化完善业务流程,实施业务端到端的全流程管理,跨部门流程通过明确部门之间的管理界面及职责,实现横向分段管理;依据标准,编制公司流程控制规范,明确业务流程的风险点、关键控制点、控制措施、控制责任以及相关控制文档要求。
第二,强化应用控制措施。依据流程控制规范,将控制措施与业务管理实现有效融合,强化不相容职务分离控制、授权审批控制、全面预算控制、运营分析控制、财务控制和绩效评价,促进业务规范化运作,确保信息的真实、准确、完整。
第三,完善制度(标准)规范。结合公司经营业务流程架构和控制要求,查找现行制度(标准)的有效性以及可能存在的重叠、缺失等缺陷,对各项制度(标准)进行重新修订与整合,构建与业务流程相配套的公司“一本制度”,确保制度与流程、岗位职责、控制要求相统一。
(四)信息与沟通建设。一方面,要完善内控信息沟通机制。建立年度风险管理报告与内控评价报告制度,定期按要求报送风险管理报告和内控评价报告。完善重大事项报告制度,明确重大事项报告范围、程序和责任考核等内容。另一方面,积极推动ERP信息系统的全面、深化应用工作,上线应用具备信息在线收集,风险在线评估、重大风险自动预警、内控自动测试等功能的风险内控信息系统,实现风险信息收集、识别、分析评估、应对、监督改进、内控测试、缺陷整改等风险内控日常管理工作的信息化。
(五)内部监督建设。第一,制定执行评价规范。根据有效性、完整性、合理性原则,制定公司内控执行评价规范,明确缺陷标准、检查方法、检查程序、抽样规则、责任追究、整改程序等内容,组织开展各专业内部控制缺陷认定及抽样测试工作。
第二,建立内控执行责任机制。建立内控执行岗位责任制度,明确单位负责人为内部控制“第一责任人”。分解落实内部控制责任到部门、到专业,明确专业部门的内控职责,细化内部控制责任到岗位,明确员工个人的内控职责,建立全员参与、各司其责、相互配合、齐抓共管的内部控制责任体系。建立内控执行考核制度,将内部控制执行情况纳入年度企业(部门)负责人业绩考核和全员绩效考核体系,与干部员工履职评估结果挂钩。建立内部控制岗位考核制度,将内部控制责任与个人岗位考核、评优评先挂钩。同时还要建立内部控制重大缺陷追究制度,对相关责任人进行行政追究。
第三,建立内控评价持续改进机制。定期组织公司各部门、各下属单位开展内部控制自我评价工作,编制内部控制自评报告,在内部控制自评的基础上,对下属单位开展评价检查工作,出具内部控制评价检查意见,跟踪督导加强缺陷整改。总结内部控制缺陷及改进情况,建立内部控制案例库,评估筛选内部控制工作创新与亮点,形成公司管理典型经验并加以推广。
风险自评报告范文第6篇
关键词:商业银行 操作风险 新资本协议
中图分类号:F830.49文献标识码:B 文章编号:1006-1770(2007)-024-004
一、新资本协议对银行操作风险管理提出的要求
(一)新资本协议对操作风险的界定与识别
任何损失事件的发生往往不是单一风险造成的。大量信贷损失案例表明,信贷损失是由于信贷流程关键环节人员不尽职、人情贷款、违规操作、内控不严等造成的。操作风险很大程度上引发和放大了信用风险。既然操作风险是国内商业银行面临的重要风险,且又与其他风险交织在一起,那么,准确界定和识别操作风险就成为商业银行加强操作风险管理的基本前提。
根据对巴塞尔委员会于2003年的《新资本协议征询意见稿》,操作风险是指“由于内部程序的不完善或失灵、人员和系统的操作失误,或外部事件导致损失的风险”。国际银行界也有将操作风险界定为除信用风险和市场风险以外的风险。我们这里采用的是新资本协议的权威界定。其主要内容详见表1。
(二)关于操作风险的计量
巴塞尔委员会根据不同国家和不同管理水平,为商业银行提供了三种可供选择的关于给操作风险分配资本的计算方法,即基本指标法、标准法和高级计量法。
1、基本指标法
根据基本指标法,银行持有的操作风险资本金应等于其前三年总收入的平均值乘上一个固定比例α,α为固定值。计算公式如下:
其中, KBIA = 基本指标法需要的资本,
GI = 前三年总收入的平均值,
a= 15%,由巴塞尔委员会设定。
在公式中,总收入被定义为:净利息收入加上非利息收入。
2、标准法
标准法的计量原理是将银行的所有业务划分为八个产品线,对每一个产品线规定不同的风险资本系数,并分别求出对应的资本,然后对八个产品线的资本进行加总,即可得到银行总的操作风险资本金。计算各产品线资本金要求的方法是,用银行的总收入乘以一个该产品线适用系数(用β值表示)。总资本要求是各产品线监管资本的简单加总。总资本计算公式如下所示:
KTSA =(GI1-8 x b1-8)
其中: KTSA = 用标准法计算的资本要求。
GI1-8 = 8个产品线中各产品线过去三年的年均总收入。
b1-8 = 固定系数,建立各产品线总收入与资本要求的联系。各产品线及其对应的b值详见下表:
3、高级计量法
高级计量法包括内部度量法和损失分布法,为国际先进银行所普遍采纳。考虑到操作风险计量方法处于不断演进之中,巴塞尔委员会并没有规定用于操作风险计量和计算监管资本所需的具体方法和统计分布假设。这赋予商业银行极大的发挥空间,他们可以根据自身的业务构成和对应的各类风险,开发自己的操作风险评估方法。不过,采用高级计量法必须达到巴塞尔委员会给出的定性标准和定量标准,且除非监管当局另有规定,一旦批准银行使用较为先进的操作风险计算方法,则不允许银行再使用其他更加简单的计算方法。考虑到国内商业银行在操作风险管理方面还处在初级阶段,故这里对高级计量法不再作详细介绍。
(三)计量方法的选择
这三类计量方法对商业银行不同风险管理水平的要求,按照基本条件、实施基础等五项指标加以比较,详情参见表3。
考虑到国内银行业在操作风险管理方面所处的实际情况,还需要在基本指标法、标准法和高级计量法之间作出合理选择。这就需要在如何控制外部监管资本,如何降低资本占用及如何提高经济资本使用效率之间作出权衡,说到底就是要在贯穿于风险文化、风险敏感度和计量成本等三要素之间进行权衡。
对于现阶段国内大中型商业银行,尤其是资产规模达到1000亿元人民币以上的银行来说,较有前瞻性地和挑战性地选择,就是标准法或替代标准法。对于资产规模在1000亿元人民币以下的,特别是在500亿元人民币以下的小银行来说,考虑到操作风险计量成本及各种管理信息系统、管理模型开发等投入难以获得规模效益等不利因素,较为现实的选择应该从基本指标法做起,待经验与相关数据积累到一定程度再选择标准法或替代标准法。
二、新资本协议下国际先进银行操作风险管理的实践与经验
这里以香港上海汇丰银行和荷兰银行作为个案,了解他们在新资本协议下是如何加强对操作风险管理的。
(一)汇丰银行在操作风险管理的实践与经验
1、汇丰银行对操作风险的识别
汇丰银行关于对操作风险的界定与新资本协议基本一致。在他们的定义中,操作风险事件涵盖以下内容:(1)内部员工带来的操作风险,包括“员工盗用公款”、“关键人才流失或缺失”、“没有遵守劳动法”等;(2)操作失误带来的操作风险,包括“执行、运送和流程管理”、“银行保密法案”及“隐私保密条例”等带来的风险;(3)系统本身带来的操作风险,包括“系统故障”、“系统安全”、“系统容量”和“技术投资风险”等;(4)外部事件引发的操作风险,包括“自然灾害和其他人为事件”、“犯罪”、“外包或供应商风险”。
2、汇丰银行对操作风险的管理程序及目标
汇丰银行操作风险的基本程序包括:一是通过识别并充分了解集团所面临的所有操作风险种类,在已有目标基础上定义集团的风险管理偏好;二是对各种风险和控制手段进行评估,根据成本绩效原则来作出公开的行动,降低损失发生的可能性及其影响,降低整体业务表现的不确定性;三是将操作风险管理与内控、安保、合规及设施管理等管理部门结合起来,争取更准确地识别出各种风险。汇丰银行操作风险的管理目标包括:一是尽量减少操作损失,降低监管当局对操作风险的告戒;二是增强操作风险透明度,提高管理信息诚信度;三是维护集团信誉和风险评级。
3、汇丰银行的操作风险管理构架
在各业务部门设置“协调人”专职岗位。其职责包括:支持并协调操作风险管理计划在其部门的推行和提交操作风险管理报告;按照要求安排各部门业务经理讨论会,对所负责的业务部门风险自评和行动计划结果进行总结并报告;当操作风险发生变化时,负责更新操作风险评分、行动计划和报告;与财务人员协调部门操作风险损失和预期损失报告的提交;与操作风险协调人共同工作,保证集团各公司对操作风险计划需求的及时更新。
在各业务部门之上设置“协调人”专职岗位。其职责包括:建立并维护代表所有业务及内部支持单位、部门的操作风险业务协调人网络,按照要求协助和培训操作风险业务协调人;引导对集团操作风险数据库的使用;向管理人员提供操作风险报告,并充当操作风险管理人同其他部门管理层的沟通中介;按照要求对执行委员会、资产负债委员会、董事会和审计委员会提交报告,并与集团总部、监管机构监管人员及整个行业保持经常联系;向各业务部门主动提供反馈意见,增强风险自评质量。
在大区设立操作风险管理委员会。大区管理委员会的职责是:采取措施以确保操作风险管理在大区内部各区之间有效持续推行,并符合国有关法规和集团要求;对相关政策、方法、资源和项目计划的时间安排提供指导和解决方案;定期对操作风险管理架构进行更新,在快速变化的商业与政治环境下考虑主要的风险敞口问题;审阅操作风险评估和损失数据,帮助识别特殊机构或机构层面的操作风险问题;监督、征询和监控重要操作风险的管理,营造适当的风险管理文化。
4、汇丰银行的主要风险指标和损失报告
汇丰银行主要风险指标的设计包括“衡量损失”,“衡量流程”,“环境评价”等。这些指标的设计过程中较好地体现其设计原则与管理要求。汇丰银行对损失或近乎损失的报告依照如下程序:一是对于所有损失或近乎损失总额超过1万美元(“近乎损失”=操作出现问题,但很幸运没有造成损失)的,要找出损失事件的根源所在,并通过学习从中汲取教训,争取在未来降低操作风险;二是由部门总监批准形成正式报告;三是将损失与相关风险、相应评分及缓释风险行动计划联系起来,用于分析、报告及最终进行经济资本计算和分配的数据库。
5、风险监控及操作风险损失分布状况
汇丰银行在对操作风险实施监控的主要方式是:操作风险管理委员会审查和询问损失及风险评估;分发损失事件的反馈报告来分享学习经验;向风险管理委员会和集团审计委员会报告。汇丰银行近年来还在操作风险管理实践中对造成损失的操作风险及其相关事件进行了科学分类。其中,造成损失的按操作风险种类分布状况是:由业务流程造成损失的占63%;由外部因素造成损失的占19%;由员工造成损失的占18%;由系统因素造成损失的占1%。造成损失的按事件种类分布状况是:执行、传送及流程管理造成损失的占48%;外部欺诈和盗窃造成损失的占33%;内部欺诈和盗窃造成损失的占11%;客户、产品和业务操作造成损失的占5%;实物资产造成损失的占2%;业务中断和系统瘫痪造成损失的占1%。从中可以看出,业务流程因素所带来的损失位居首位,是操作风险管理的重点,而由系统因素造成损失的只有1%,表明类似于汇丰这样的国际先进银行在系统方面几乎不会发生什么操作风险。
6、内部审计及审计的责职
汇丰银行的内部审计政策有如下三条:第一,内部审计必须独立且客观;第二,内部审计部门有必要时可以得到任何信息资料;第三,内部审计可以对操作程序以及对操作程序的执行情况提出意见,但不会参与对意见的落实。汇丰银行的内部审计结构包括:集团内部审计总经理直接向集团主席和集团审计委员会报告;独立的审计部门分散于各个主要地理区域;所有地方内部审计部门都有向集团内部审计总经理的独立汇报条线。
7、应急预案
汇丰银行应对突发事件的应急预案主要包括:有一份书面计划和联系人名单,能够从一场火灾、地震或恐怖袭击中迅速恢复过来;符合集团标准并每年提供证明,满足内部与外部审计,以及法规监管的要求;演习做一些必须做的事。汇丰银行这样做的目的是为了:集中于为客户提供无缝隙服务;保护股东价值,使财务损失最小化;充分了解各种风险,在损失事件的最初就将发生概率减少到最小;通过事先拟订的反应机制可以应对任何突发事件;将应急预案融入到计划过程之中,保护集团员工。
汇丰银行应对成本收益的应急预案包括两方面内容:一是成本应急预案,它包括“人才流失”、“恢复业务运作的高成本”、“长时间的停业”、“法规监管的惩罚及责任”、“极大的压力”、“信誉受到损害”、“不了解业务经营的风险”、“数据丢失”、“保险不充分”等;二是收益应急预案,它包括“生命受到保护”、“股东价值和银行资产受到保护”、“维护了客户服务水平”、“提高了经营的恢复能力”、“符合监管要求”、“减少了风险敞口”、“缩短了停业期”等。
(二)荷兰银行在操作风险管理的实践与经验
1、荷兰银行对操作风险的识别
作为全球领先的金融机构,荷兰银行在改善和实施操作风险管理方面拥有独到的见解和丰富的经验,在同行中遥遥领先。荷兰银行作为新资本协议的起草单位之一,对操作风险的界定与新资本协议保持一致,即将操作风险界定为“因不恰当或失败的内部操作流程、内部员工问题,以及系统故障或外部事件所引发而导致银行损失的风险”。荷兰银行对操作风险的识别范围,与汇丰银行基本一致。
2、荷兰银行操作风险管理模型开发与运用
早在2000年,荷兰银行就建立起了操作风险管理模型,并由此实现了经济资本的有效配置,使商业客户业务运作在操作失误方面的损失大大降低。商业客户操作是荷兰银行企业客户战略业务单元的子业务,拥有现金、股权衍生产品、固定收益、债权衍生产品、外汇、货币市场和资本运作等多项业务,它通过多边交易、清算人和中央系统,每天同48个国家进行几百万笔交易,这其中极易发生操作风险。2001年,荷兰银行以商业客户业务运作为突破口,成功地开发出了可运用于全球各分支机构的一系列软件系统。这些系统基本能够覆盖全球交易,并能及时检测出极易发生操作风险的异常交易现象。这些系统的显著特点就是在商业客户业务操作的同时,能够检测到“近乎损失”和“预测到的”风险事件,系统将识别出这两种操作风险,故它可以更好地防止操作风险的发生。
荷兰银行在开发操作风险管理系统和建构操作风险相关模型的同时,还培育出了一支操作风险管理团队。这个团队在2001年同时实施了一个风险自评和主要风险指标项目。该团队的风险自评过程包括通过自动汇报机制,每月向主要经理和监管人员对操作风险的有关问题进行调查,接下来会进行为期2天的风险自评讨论会对有关问题进行讨论。商业客户业务操作的重点不仅仅在于衡量和收集分析数据,该子业务单元将操作风险管理的目标和具体的单项操作的集合,而在于商业客户操作每年二次以“稳定操作风险”为目标进行风险评估测量,而且每月考核风险指标。与此同时,荷兰银行还由此成为操作风险数据交换中心的组成成员,并作为一家瑞典的行业外部数据协会会员,以帮助该协会测评全行业的操作风险管理水平。
3、荷兰银行操作风险管理的特点
荷兰银行操作风险管理的特点包括:一是通过总结自身管理经验和管理层的参与,建立起了操作风险管理架构,这可以被视为该行实现成功的操作风险管理的关键;二是形成了操作风险管理的组织体系,即将操作风险管理同良好的公司治理结构结合起来,以保证新资本协议给出的标准能够得到有效执行;三是配备了专业化的管理人员,为操作风险管理投入了专门的人力资源和物力资源,通过组织体系和管理层委托去了解和识别操作风险;四是为操作风险管理提供工具,开发出较为完备的信息技术系统,运用操作风险管理方法和管理工具来评估操作风险,使操作风险事件和损失大为减少;五是为操作风险分配资本,通过对高级计量法,即损失分布法的运用,严格按照新资本协议要求为操作风险分配资本。
三、国内商业银行操作风险管理中存在的突出问题
(一)对操作风险的认识存在误区,操作风险意识薄弱
1、认为操作风险就是“操作性风险”
从操作风险的定义看,属于“操作性风险”的仅包括人员因素引起的操作风险中的“操作失误”、“违法行为”、“越权行为”和“流程因素”等引起的对流程执行不严格的情况。显然,“操作性风险”不能等同于操作风险,尽管“操作性风险”是操作风险中发生频率最大、占比最高的风险类型。这种将操作风险狭隘地理解为“操作性风险”的做法,往往使得建立在这一认识基础上的操作风险管理体系不能覆盖所有的操作风险。
2、将操作风险等同于“金融犯罪”
严格地讲,“金融犯罪”仅是操作风险中的类型之一,并不能涵盖所有类型的操作风险。根据我国对“金融犯罪”的定义,“金融犯罪”是指“在金融活动中,侵害金融管理制度、金融市场秩序以及其他社会经济关系,依照我国刑法规定,应当受到刑法处罚的行为”。对比巴塞尔委员会关于操作风险的定义,“金融犯罪”显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。将操作风险等同于“金融犯罪”,会使银行无意识地缩小操作风险的管理范围。
3、认为操作风险是无法计量的,无法为其分配资本
与其他类型的风险相比,操作风险往往具有突发性、偶然性和难以预测的特点。一旦将这些操作风险事件放在很长一段时间和同类型的数据中看,这些操作风险往往会以某种稳定的概率在发生。这正是量化操作风险的科学基础,商业银行可以建立起内部和外部的操作损失事件数据库,并从数据拟合操作损失的概率分布,据此可以计算并为之分配资本。
4、认为操作风险管理只是内部审计部门的事
将操作风险等同于“操作性风险”或操作中发生的风险,就会将操作风险管理看成是银行内部审计部门的事,与其他部门无关,这其实是大错特错。首先,从银行内部控制体系的构成看,内部审计部门属于内部控制机制中的评价与监督机构,而不直接参与风险管理。如将操作风险管理职责赋予内部审计部门,就会造成该部门在职责上的冲突。其次,有效的操作风险管理既需要一个独立的管理部门,也离不开各业务部门的支持。将操作风险管理单独赋予内部审计部门,并认为与其他部门无关,只能导致很多专业性的风险隐患无法被发现。最后,操作风险是一个涉及面广的范畴,涉及诸如安全保卫部门、科技部门、后勤事务部门等。这就难免出现部门之间需要协调的情况,这仅靠内部审计部门是不够的。
(二)国内商业银行尚未建立起有效的操作风险管理体系
1、国际银行业操作风险管理体系的构建
根据本文对以汇丰银行和荷兰银行为代表的国际银行业所做的研究显示,外资银行普遍由专门的部门负责操作风险管理的全过程,包括对操作风险的识别、计量和监控,对操作风险管理政策和管理流程的编制与修正,以及对操作风险报告系统的设计与执行等。因此,他们的操作风险管理体系已相当健全,且责权较明晰。具体来说,大多数外资银行在集团总部设有专门的操作风险管理委员会,与信贷风险管理委员会和市场风险管理委员会并列。该机构是银行操作风险管理的中枢机构,是独立于其他业务部门单独运作的机构,它直接向董事会负责,负责操作风险管理实施过程中的授权和日常决策等工作,同时确保操作风险管理过程的正常运行。在集团的主要业务部门,则设有专门独立的操作风险控制部门,对本部门从事的所有业务的操作风险进行评估和监控,对每项业务的进展都出具风险评估报告,操作风险控制部门根据该项业务所可能出现的操作风险进行预估并标示出操作风险等级。
2、国内商业银行的操作风险管理体系
与国际银行业相比,国内商业银行的情况不容乐观。多数商业银行尚未设立专门的部门全面负责管理操作风险,操作风险管理职责分散在诸如风险管理部、内部审计部门、法律与合规部门等部门,普遍缺乏健全的操作风险管理体系。在这种分散管理的模式下,各相关部门的管理职责不清、沟通协调不顺畅,管理效率低下,且涵盖操作风险的识别、监控到报告等各环节的操作风险管理流程尚未建立。
与外资银行的情况不同,国内商业银行对不同类型的操作风险由不同的部门来负责,没有一个协调部门。比如安全保卫部负责安全保卫方面的操作风险,内部审计部门负责操作性风险,科技部门负责系统方面的操作风险。这种分散管理的做法使得银行系统缺乏统一的操作风险管理战略和政策,高层管理者更是无法了解银行面临的操作风险的整体状况。同时,分散管理还使得有些操作风险因无人管理而陷入真空状态。
(三)缺乏统一的操作风险管理政策
综合来看,外资银行的操作风险管理政策一般包括两个层次:一是在整个银行的政策层面上;另一个是在各个职能部门的具体操作规程层面上。整个银行层面的操作风险管理政策明确了从董事会、高管层到各业务部门、内审部门的操作风险管理职责,同时制定了操作风险管理的整体程序,包括对操作风险的识别与初步评估、关键风险指标的设计、风险测量、风险监控、风险转移到风险报告等。
国内银行业大多没有建立起全行统一的、标准化的操作风险管理政策。国内商业银行的操作风险管理政策主要表现为各业务管理部门制定的业务操作规程和管理办法,比如,“信贷业务操作规程”、“资金业务操作规程”、“个人按揭贷款管理办法”,等等。这就造成各业务部门“各自为政”的现象。同时,各业务部门的操作风险管理标准和管理目标也不尽一致,不同部门之间对同一问题的理解也存在很大偏差,不利于从整体上把握和控制银行面临的操作风险。
(四)操作风险管理手段单一,电子化手段缺乏
从国际银行业操作风险管理趋势来看,随着电子技术和金融工程的不断发展,操作风险管理的手法也日趋完善,从早先的定性管理到现在的定量管理;从原来的手工管理到现在的电子化运作。相比之下,国内商业银行在这方面的差距十分明显。这集中表现在:(1)过分依靠内部审计,忽略外部审计力量。国外很多银行会聘请权威的外部审计所对银行进行审计。这是因为在某些情况下,内部审计部门的独立性往往不如外部审计强,而国内商业银行在操作风险管理上几乎全部依赖内部审计部门,这些部门往往因专业人才缺乏和电子化手段跟不上,很难担此重任。(2)制度建设跟不上,制度执行不力。国内商业银行在风险管理制度建设方面明显不足,很多情况下往往是先开展业务,后制定规章制度,从而在引发了大量操作风险之后才注意操作风险管理问题。此外,制度执行不力也是国内商业银行在操作风险管理上的一大难题。制度执行不力就会使制度形同虚设,失去约束力。(3)信息系统装备滞后,电子化手段普遍缺乏。国外先进银行凭借其先进的信息系统装备,越来越多地采用了电子化手段。如国际先进银行的金融业务运作大多采用电子化方式,从信贷人员调查资料的录入到信贷经理的审批,再到最终信贷资金的发放等,都是借助于计算机系统实现的。这就大大减少了人为因素引发操作风险的可能。在对操作性风险的审计监督上,国际先进银行大多也采用了电子审计方式,国内商业银行在这方面的差距还很大。
(五)报告机制尚未形成,量化管理技术运用受到制约
国际先进银行为建立完善的操作风险损失数据库,以实现操作风险的量化管理,大多建立了先进的操作风险报告信息系统,制定了详尽的操作风险报告制度,其操作风险的报送规则十分明确具体,确定了统一的报送模板,模板中对操作风险的种类按起因、业务类型等进行明确分类,便于按各种口径进行统计并建立起数据库,对报送时限、数据确认等方面也作了详细规定。
国内商业银行尚未建立完善的操作风险报告制度,问题主要体现在三个方面:一是报告制度不够标准化,统一的操作风险事件报送模板缺乏,不能对操作风险种类进行详尽的科学分类,在报送时限、数据确认、例外事项规定、报送人员职责等环节也未能作出统一规定;二是实行逐层报告制度,各部门将自己职责范围内的风险事件和控制情况向其上级汇报,上级管理者再对自己管理范围的风险事件与控制情况进行考虑,再向上报告,直到总行,导致报送不及时;三是报告的覆盖面不全,目前国内中小银行对重大案件的报告较为重视,但对日常性的、损失较小的操作风险事件尚未建立统计报告制度,因此无法建立完整的操作风险损失数据库,制约了操作风险的定量管理。
(六)管理人才缺乏,管理工作质量受到制约
从根本上讲,商业银行操作风险管理水平的最终决定因素在于人,而非计算机系统或数学模型。不管计算机系统多么先进,数学模型多么准确,它们都是由人来开发,并由人来选择使用和具体操作的。系统参数设置不当、输入数据不准确或模型选择错误等行为将导致整个操作风险管理的失效。可见,拥有一批对操作风险有充分了解、熟练运用计算机和掌握丰富风险管理知识的风险管理人员是国内商业银行有效管理操作风险的基础和前提。国外先进银行大多为操作风险管理建立起一支专业队伍。与之相比,国内商业银行操作风险管理人才极度缺乏,现有的风险人员仍专注于信用风险,对操作风险尚未有深入研究,还不具备专业操作风险管理人员的一般条件。至于说那些既懂计算机技术,又具备金融工程知识的复合型人才更是缺乏,更不用说经验丰富的操作风险管理专家。可以预见,人才的缺乏将成为国内商业银行操作风险管理进程中的最大制约因素。
四、国内商业银行操作风险管理的对策与建议
1、正确理解和准确识别操作风险内涵与事件类型,是国内商业银行强化操作风险管理的基本要求。为此,应结合中国银监会、各地监管机构提出的要求各类商业银行加强全面风险管理,尤其是针对操作风险管理出台的具体举措等,并参照汇丰和荷兰银行的某些做法,对照操作风险事件的主要类型、表现形式及风险损失分布状况等在银行内部开展对策性研究,明确商业银行操作风险管理的重点环节,着力培养全体员工操作风险管理意识,形成良好的风险管理文化。
2、为操作风险管理搭建行之有效的管理架构,积极研究并选择合适的计量方法。除了国有商业银行和股份制商业银行外,国内大多数商业银行的资产规模普遍偏小,可结合实际情况将操作风险管理职能纳入现有风险管理组织架构,努力构建有效的全面风险管理体系。在此基础上加强对操作风险的量化研究。
3、操作风险管理是建立在操作风险计量基础之上的,而操作风险计量需要银行内部各相关部门的协调一致,并为之储备必要的数据。国内商业银行可聘请国际先进银行的操作风险管理专家介绍风险计量的经验,与他们合作研究与模型开发,尽快使国内商业银行的操作风险管理步入正轨。同时,要积极做好操作风险计量的前期准备工作,重要的是要为将来的量化管理积累数据和储备数据。
4、走向成熟的操作风险管理有一个渐进的过程,国内商业银行可结合自身的实际情况,分阶段实施对操作风险的量化管理,并为最终走向国际银行业通行的计量方法创造条件。当前情况下,适合国内大多数小型商业银行的操作风险计量管理可以从基本指标法做起。考虑到既要提高风险敏感度和经济资本使用效率,同时又要加快与国际银行业的接轨进程,大中型商业银行则可以从标准法或替代标准法做起,按照新资本协议要求分配资本。
风险自评报告范文第7篇
一、总则
为及时识别、监控公司保密潜在风险及其发生概率,确定公司保密风险承受能力及限度,认定该等风险所可能带来的损失,根据《上海市涉密信息系统集成资质单位保密风险评估工作细则》和《涉密信息系统集成资质保密标准》结合公司实际,特制定本管理办法。
二、职责分工
1、公司保密风险评估与管理主管部门为风险管理部。
2、各部门、各经营单元协助风险管理部实施本管理办法。
3、公司各涉密经营单元是保密风险管理的第一道防线,负责本经营单元和公司内纵向归口管理事项的保密风险管理工作。
4、公司保密风险评估工作小组(以下简称工作小组)是保密风险管理的第二道防线,接受保密管理办公室的监督(以下简称保密办),负责指导和检查保密风险评估工作的开展。
5、公司保密工作领导小组(以下简称领导小组)是保密风险管理的第三道防线。作为保密风险管理的决策机构,负责监督保密风险评估工作的开展,负责组织建立完善保密管理的持续改进机制。
三、工作内容及流程。
1、领导小组授权风险管理部组织成立工作小组。工作小组组长由分管保密工作的公司领导担任,成员由保密办、风险管理部等部门负责人组成。领导小组应组织对评估过程中出现的问题和结果做分析和研究,查找出在保密管理的制度、流程和执行等方面的问题,组织对制度和流程进行修订和完善。
2、工作小组至少每半年开展一次保密风险评估,使用“上海市涉密信息系统集成资质保密风险评估及自查自评系统”开展保密风险评估工作,按照业务流程对保密风险进行识别、分析和评估,评估的范围包括项目、人员、资产、场所等主要管理活动在保密方面所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。
3、工作小组至少每年对《保密管理风险点识别及防控措施》评估一次,从人员风险、涉密载体风险、涉密计算机、涉密场所、投标、项目实施等,对每个风险点进行低、中、高等级识别,制定相应的防范措施。
4、工作小组在评估过程中如发现问题,及时向领导小组汇报,《保密风险评估报告》形成后,应向领导小组报告评估情况。向相关涉密经营单元和人员通报评估情况,监督防控措施的落实。
5、工作小组不定期组织开展评估业务培训,使相关人员了解掌握保密风险形式、评估方法、评估工具、防控措施等知识。保密风险管理纳入保密教育培训,以增强涉密人员防控保密风险的意识。
6、《公司保密风险评估报告》以及《公司保密管理风险点识别及防控措施》由风险管理部保存,作为年度审查申请的附件材料报市国家保密局资质管理委员会办公室。
四、奖惩机制
将评估工作履职情况纳入部门和员工的年度绩效考核评价体系。由领导小组对工作小组成员的保密工作进行考核评价;由工作小组负责对相关部门和人员的保密工作进行考核评价。对发现并上报重大保密风险的部门和人员给予奖励。对瞒报或未发现明显保密风险而导致发生泄密事件及严重违规行为的部门、人员给予重罚。
五、附则
风险自评报告范文第8篇
关键词:内部控制 工具 枷锁
一、作为管理者“工具”的内部控制
(一)管理者可以利用内部控制进行企业管理
企业为实现其战略目标而采取的经济业务活动,都需要由两个或两个以上相互制约关系的控制环节方能完成。自发的内部控制是管理者内在需求的工具,从彼此独立的两个以上部门的相互监督,到互不隶属的两个以上岗位的相互制约,都体现了不相容职务相互分离控制及协调配合,使企业组织的运转更为有序,从而保证经营管理活动的有效性和连续性。可见,企业内部控制在一定程度上反映了企业的经营管理水平和经济实力,对促进企业的发展,保证企业的持续发展有着重要的作用。内部控制使得企业的每一项经济活动都在一个约束的环境下进行,从而保障了各项方针的贯彻实施。
(二)内部控制对管理者具有积极作用
内部控制制度是建立在管理其他职能之上独立的、为实现管理目标而进行的一系列保障措施的过程,内部控制是重要的、系统性的现代企业管理工具体系。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等相互联系的要素,企业内部控制的主要职责是动态监督企业内部管理机构、对企业的决策进行管理控制和提高企业的经济效益。可见内部控制是现代公司内部管理的重要组成部分,健全有效的内部控制制度是实现公司经营目标的有利保障。
二、作为管理者“枷锁”的内部控制
从内部控制的演变过程可以看出,现代企业内部控制应该是一个整体框架。我国内部控制体系与国际权威标准相比,更侧重于会计系统的控制,而忽视了内部控制的其他方面,比如,内部控制对管理者的约束、披露内部控制的有效性(自评)、对内部控制进行鉴证等。
(一)监管方面对管理者的约束
监督评审是经营管理机构对内部控制的运行监督和内审部门对内部控制的再监督、再评价活动的总称。监督评审可以是持续性的或单独的,也可以两者结合起来进行。主要应关注监督评审程序的合理性、对内部控制缺陷的报告和对政策程序的调整等。这项工作主要由监事会和审计委员会来执行,解决了国有投资者虚位等问题,这是对企业管理者的牵制和约束。
(二)自评、鉴证方面对管理者的约束
最高管理层对企业内部控制系统有充分的了解,对内部控制自评工作有足够的重视是内控自我评估作用的重要前提。内部审计部门对经济业务、部门的审计,在一定程度上起到自评的作用;而社会审计机构,比如会计师事务所等对企业的审计和鉴证,更是对管理者行为的一种约束。从我国的现实情况看,我国企业的决策权往往集中于最高管理者,他们或多或少地同时扮演管理者、决策者、监督者多种角色,很难主动用内部控制来约束自己的行为,更多的是将工作交给职能部门去执行,致使评估工作浮于表面,仅达到应付政府和公众监督的目的。很多企业在更大程度上还依赖外部审计为其出具公允的评估报告,从而满足证监会等监管部门的要求。然而外部审计机构对企业的实际情况、运作流程缺少足够深入的了解,因此对企业评价的公允性是非常有限的。
可见,内部审计和外部审计都有其局限性,笔者建议加大内部控制签证力度,它是审计师发现和识别内部控制中缺陷的有效工具,也是社会公众对企业了解的有效途径,且需求有明显上升趋势。然而我国到现在还没有形成一套完整的内部控制鉴证的标准体系,且审计执法、取证的强制措施规定较少,法律体系不完善,严重制约着我国内部控制鉴证的发展。目前我国大多数公司属于自愿披露内部控制鉴证报告,由于我国大部分上市公司不要求强制披露内部控制信息,所以对内部控制信息进行鉴证就缺乏必要的动力与强制性。强制性内部控制信息的披露及内部控制鉴证,实现对管理者的硬约束,有利于提高资本市场的透明度。
三、管理者如何处理好“工具”和“枷锁”二者之间的关系
内部控制作为企业内部管理的手段,如何有效地运用才能发挥其工具作用,变枷锁为督促,笔者提出几点建议供参考。
(一)完善企业内部控制环境建设
控制环境作为内部控制其他要素作用的基础,具体来讲就是要加强构建合理的公司治理结构,努力提高企业管理者素质,重视人力资源政策及实务,塑造企业文化,建立良好的信息系统等。以审计委员会建设为核心,完善公司治理结构,在治理层与管理层合一的情况下,将公司治理的对象由董事会下移到管理层。由于董事会的独立性与董事会监督效率密切相关,为此,必须加强审计委员会的力量,其组成人员必须是由独立董事组成,并且必须具备相应的业务能力。从系统的构成来看,首先,应当建立防范系统的基础与输入输出系统,这有赖于建立高效的组织机制,进而使组织机制与会计系统相结合,产生信息流以及财务信息的收集、传递机制;其次,要将信息流的流转过程转化为防范系统,控制企业的风险。
(二)建立全面的风险评估文化
环境控制和风险评估,是提高企业内部控制效果的关键。企业管理者运用一系列的风险评估方法、技术、程序等对企业的风险进行全面的分析,判断企业面临的风险性质与程度。以风险理念为核心,营造企业风险管理文化,是内控监管的重点所在。不同文化的强弱对企业发展所产生的后果完全不同,为此,应大力倡导风险评估文化,树立全员风险意识。风险评估子系统主要是建立财务防范系统,企业的财务风险防范系统要发挥预期的作用,形成良性的动态循环,必须从机制上进行系统设计,实现监测、诊断、治疗等功能。
(三)加强企业的内部监督
企业内部控制是一个过程,这个过程是通过纳入管理过程的大量制度及活动实现的。因此,要确保内部控制制度被切实地贯彻且执行的效果良好,内部控制能够随时适应新情况等,必须加强对内部控制的评价和监督。设立良好的控制活动,是确保管理层指令得以实现的政策和程序,旨在帮助企业保证其已针对“使企业目标不能达成的风险”采取了必要的行动。加强信息流动与沟通,一个良好的信息系统有助于提高内部控制的效率和效果。企业须按某种形式及在某个时间内,辨别、取得适当的信息,并加以沟通,使员工顺利履行其职责。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的交流、活动及环境等有关的信息。Z
参考文献:
1.蒋桂宁.内部控制与企业管理刍议[J].现代金融,2006,(03):39-40.
2.夏文涛.内部控制与管理者[J].决策探索,2006,(8):55-56.
3.王清洪.企业内部控制存在的问题与对策[J].经济师,2007,(7):199-200.
4.邹红.内部控制在企业管理中的重要性[J].当代经济,2009,(12):77-78.
5.池国华.基于管理视角的企业内部控制评价系统模式[J].会计研究,2010,(10):55-61.
6.韩林静.企业内部控制环境存在问题及对策研究[J].改革与战略,2010,26(11):71-75.
7.张旭.浅析内部控制与企业风险管理[J].时代经贸,2010,(32).