企业风险与合规
开篇:润墨网以专业的文秘视角,为您筛选了八篇企业风险与合规范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
企业风险与合规范文第1篇
关键词:风险管理;内部控制
美国COSO委员会1992年的《内部控制整体框架》是用于指导企业进行内部控制的指导文件。2004年,COSO委员会出台了新的COSO报告———《企业风险管理整体框架》,拓宽了内部控制的含义,同时对企业风险管理进行了详细的说明。《企业风险管理整体框架》中对企业风险管理的定义为“由企业的董事会、管理层和其他员工共同参与,应用于企业战略制定和企业内部各个层次和部门的,贯穿整个企业旨在识别影响组织的潜在事件,为组织目标的实现提供合理的保证”。《内部控制整体框架》将内部控制定义为“由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的大成而提供合理保证的过程”。在这两个《框架》的基础上,可以从企业风险管理与内部控制概念的定义、主要目标以及构成要素等几方面做如下比较:
(一)企业风险管理与内部控制的定义
比较二者的定义可以看出二者的相同点有:企业风险管理与内部控制的实施主体相同,都需要企业的决策、管理以及执行各方阶层的参与,而不是企业某一层级的特权;风险管理与内部控制的最终目的都是为企业的平稳运行保驾护航,为企业战略目标实现提供合理保障。细分之下,二者也存在一些不同之处:内部控制更强调财务方面的可靠性以及企业管理的效率提升,而风险管理除了主要财务报告的可靠性之外更一步确保企业非财务信息的准确真实;内部控制只针对企业内部,风险管理则同时兼顾内部和外部风险。
(二)企业风险管理与内部控制主要目标
《企业风险管理整体框架》中指出风险管理服务的目标为战略目标,经营目标,报告目标以及合规目标;《内部控制整体框架》中则提到内部控制的主要目标为经营目标,财务报告目标,合规目标[1]。可以看出,风险管理与内部控制的最终目标基本相近,二者间最明显的区别是风险管理比内部控制多了一个战略目标。内部控制注重在经营过程中为了实现目标采取的一种控制的管理职能,保障日常活动不脱离目标轨迹,而风险管理更侧重事前预测和发现,但也不忽略事后采取相应的措施,使损失降到最低;企业风险管理是包括内外风险的全面管理,既关心由于组织结构、制度变革、人员变换等导致的内部风险,又关心由于外部政治经济、自然环境等引起的外部风险,而内部控制则是在企业内部环境的基础上进行风险的评估和监控,范围相对狭窄。
(三)企业风险管理与内部控制的构成要素
内部控制包括五个组成要素:控制环境、风险评估、控制活动、信息与沟通、监督,而风险管理的构成要素为八个:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督检查。通过以上比较可以看出,企业风险管理拓展了内部控制中的“风险评估”要素,将其演化为目标设定、事项识别、风险评估及风险应对。这四个要素是围绕企业战略目标而增加的内容。
(四)企业风险管理与内部控制的实现方法
内部控制主要对公司内部管理制度进行定性分析,设计指导性的对策,而风险管理则是侧重量的分析,通过定量分析来评估风险发生的可能性是多少和对企业影响程度大小。内部控制和企业风险管理从不同的两个方面对企业经营进行管理,相对内部控制评定的方法,企业风险管理会更加准确地判断出风险的大小。
二、风险管理与内部控制的关系
(一)传统理论观点
从上一节的讨论中可以看出,企业风险管理与内部控制的概念十分相似,二者的目标与构成要素也有很大部分的重叠,在理论应用中十分容易出现混淆。剖析过去对企业风险管理与内部控制关系的研究,目前对二者的关系问题有以下三种主流观点:1.内部控制是风险管理的一部分:《企业风险管理整合框架》中明确指出:“内部控制是企业风险管理不可分割的一部分”。《框架》是定义企业风险管理的权威参考之一,因此在理论研究中,将内部控制划入风险管理范围内的观点被广泛接受;2.内部控制包括风险管理:不同于美国COSO委员会,加拿大COSO委员会在其报告中指出:“风险评估和风险管理是内部控制的关键要素”;3.内部控制与风险管理本质上是相同的:英国特恩布尔报告认为健全的内部控制制度必须建立在对公司所面临风险全面、综合分析的基础上。
(二)风险管理与内部控制的关系
具体到在理论实践应用中,常更倾向于实践第三种观点:即内部控制与风险管理本质相同,二者在指导企业管理中相辅相成,共同为实现企业的战略目标服务。如今以风险为导向的内部控制机制在实践中已经得到普遍认可,有力的说明了风险管理与内部控制的可兼容性。1.风险管理体系是内部控制的前提:不同于内部控制,风险管理是管理活动,设定企业的战略目标并围绕这一目标对环境存在的风险进行评估,是其开展管理过程的前提。而内部控制框架中没有企业战略目标这一要素,风险评估的标准没有明确与企业战略目标挂钩,其特定目标是维护企业的经营和效率、财务报告的可靠性及经营活动的合法合规性,这些目标服务于实现价值创造和企业战略的终极目标。2.内部控制体系依赖于风险管理体系:内部控制体系的关注重点在财务方面,在实现内部控制的过程中,自身的风险需要其他管理体系加以识别和评估。风险管理体系除关注财务外,同时强调其他方面的管理,并且可以对内部控制体系自身的风险进行防范,建立完善的风险应对体系。3.内部控制与企业风险管理是有机的整体:二者的目标都是为了实现企业的平稳健康发展,二者虽然侧重点不同,但在实现企业战略目标方面相辅相成,是一个有机的整体——内部控制与企业风险管理是公司内部环境与外部环境两个方面管控风险的不同框架。企业所处的市场及社会环境的不断变化,企业面对的风险是一个动态概念,经常处于变化之中,只有把握风险管理先机,才能收到实效,及时掌握尽可能真实、准确的经济动态信息。而动态风险管理过程的顺利实现必须依赖于内部控制,在内部控制的有效框架下对企业内部存在的风险进行治理,而对于内部控制无法掌握的外部环境,应在风险管理的框架下及时采取有效措施,内外双管齐下,避免企业运行偏离原定目标。
三、建立基于企业风险管理整合框架的内部控制体系
建立基于企业风险管理整合框架的内部控制体系,即在风险管理的基础上,科学设计内部控制制度,为实现企业目标提供合理的保障。首先,所有的经营活动必须在不触犯相关法律法规的前提下进行,将两者管理方法结合应用,使企业健康快速发展。其次,为了实现企业目标,内部控制必须确保企业内部业务流程的顺利进行,有效地执行每个业务环节。最后,内部控制通过对风险的识别、评估、找到行之有效的方法,在管理过程中将两者进行融合。以启明信息技术股份有限公司为例[3],通过生产生活中经验的积累,启明信息技术股份有限公司建立了完备的基于企业风险管理的内部控制体系:一方面在实施风险控制时,通过将风险管理工作落实到内部控制制度上,来提高企业风险评估的水平,另一方面通过内部控制来优化企业的管理功能,从而更好的进行风险管理,分析制定风险管理方案。通过将企业风险管理与内部控制相结合,企业最大化的实现了对风险的防范,提高了经营管理效率。在新的复杂的市场经济环境下,企业面临巨大的内外部各类风险,以风险管理为导向的内部控制管理模式会更利于企业的发展。内部控制和企业风险管理在企业管理中起着等同的重要作用,因此在企业风险管理整合框架的基础上,建立完善的内部控制体系,从而使企业更好地实现企业目标,以增强企业的抗风险能力,将是未来风险管理与内部控制融合发展的方向。
参考文献
[1]朱大华.企业风险管理与内部控制的关系与应用[J].财会通讯,2012,(26):46-48.
企业风险与合规范文第2篇
1.1高风险、高收益
风险投资主要投资于具有良好市场潜力,预期能够在风险投资介入期内快速成长,能带来较大经济效益的项目。在现阶段,风险投资的大部分项目都聚集在科技企业项目。但是从高新技术与新产品的研发、生产到最终走向成熟的过程中,存在很多的不确定性,比如说在技术、市场、管理方面都存在很大的不确定性,稍有不慎,所有的投资就会毁于一旦。风险资本所投资的项目都是经过非常专业的风险投资家筛选和评价之后,具有巨大潜在市场和发展前景的项目。近些年来,大多数的风险资本投资的对象是处于信息科技、生物工程等高科技领域的企业。
1.2风险投资是一种权益投资
风险资本是一种权益资本,而不是一种借贷资本,因此其着眼点并不在于其投资对象当前的盈亏,而在于他们的发展前景和资产的增值,以便资金退出市场后取得高额回报。这有别于传统的贷富不贷贫的信贷原则。风险投资选定企业或项目后,通常要进行投资结构和方式的设计,同时要取得被投资企业的股份。这样风险资本和被投资企业可以很好地结合到一起,信息相对来说比较对称。
1.3风险资本具有再循环的特点
风险资本以投入、回收、再投入的资金运行方式为宗旨,是一个循环的投资过程。投资者把着眼点放在风险企业的开拓阶段而不是成熟阶段,一旦创业成功,风险投资家即在风险市场上抛售股票,收回资本,获得巨额利润,风险资本退出。风险资本退出后,便会带着新的更大的投资能力去寻找新的风险投资机会,使科技企业不断涌现,从而推动高新技术产业化的进程,带来经济繁荣。
2科技企业风险投资的策略
2.1建立完善的财务信息披露机制
在加强科技企业风险投资项目中,应当通过政府和科技企业共同努力,建立完善的风险投资项目管理体系,合理控制和规避科技企业风险投资项目中的风险。首先,进行政府采购,提供政府担保。科技企业在其建设发展的初期,其贷款行为受到商业银行的严格限制,进而导致其融资能力不足,因此科技企业的风险投资项目迫切需要一个担保人为其担保,以获取商业银行的贷款。由政府作为企业担保人为风险投资项目进行贷款,可以大大提高贷款速度,因此,政府可以针对科技企业风险投资项目设立科技贷款担保基金等策略为科技企业风险投资项目提供贷款担保。此外,对于国家直接控制或参与,关系到我国经济发展的风险投资项目,可以直接通过政府投资或政府采购予以政策等方面的支持,为科技企业风险投资项目提供担保。其次,制定相应的地方法律、法规予以支持。相关司法部门应当根据科技企业风险投资项目的发展状况制定支持其发展与技术创新有关的地方法律、法规。科技企业是地区科技成果转化的重要载体,但是由于科技企业发展较发达地区起步较晚,因此其基础稍显薄弱,这样就减缓了科技企业风险投资项目的发展。同时,相关司法部门应当进一步规范科技企业风险投资项目运作的法律、法规,完善风险投资的法律体系,使风险投资行为权责明确,对风险投资保证科技企业风险投资项目正常运营,合理避免其操作与运营风险,推动地区科技企业风险投资的长远发展。最后,将风险投资项目纳入政府创新体系。风险投资项目是促进科技企业发展的重要组成部分,而高新技术的发展对经济有着重要的影响,科技企业风险投资项目的成败在很大程度上取决于当前的创新能力、创新环境和创新资源,因此,地区的相关政府职能部门应将科技企业风险投资项目纳入政府创新体系中,对其制定统一的推行计划。同时进一步完善地区的创新体系,提升地区创新体系层次,以此改变当前科技企业创新工作的现状,保证其风险投资项目的顺利进行。
2.2积极培养科技企业复合型风险投资人才
在风险投资项目过程中,对风险投资项目的运行不但需要熟练掌握高新技术,且具有创新精神、敢于冒险、富有进取精神的技术人员,更需要具有金融知识并有较强风险意识的风险投资管理者。就目前来看,地区科技企业风险投资项目的相关复合型风险投资人才较少,而近年来科技企业风险投资项目与日俱增,所以复合型投资人才难以满足当前科技企业风险投资项目的发展。科技企业在发展其风险项目的同时应当积极培养复合型的风险投资人才。一方面,科技企业可以利用高新技术开发区内高校等优势资源,通过与高校或相关科研机构合作,开设相关风险人才培养专业,以此满足市场对相关复合型风险投资人才的需求。另一方面,加强对国内外风险投资人才的学习力度,积极学习国内外先进的风险投资项目管理经验,同时相关管理部门应当积极鼓励国内外优秀的风险投资者进入,以此提高复合型投资人才的质量。
2.3建立有效的信息沟通渠道
科技企业在进行风险投资项目的过程中,资金、技术、人员、市场等相关信息还存在着沟通不畅,甚至是无法沟通的状况,这样的现实状况在一定程度上会造成风险投资项目的资金脱节、人员沟通障碍以及市场信息滞后等不良影响,这些都会影响科技企业风险投资项目的正常运行,使其风险投资项目因为信息沟通不畅而遭受不必要的风险,使本来就短缺的风险投资资金也不能正常发挥其作用。所以政府应当根据科技企业的实际需要,由政府牵头,企业参与,组织和建立畅通、便捷、高效的信息沟通渠道,通过局域网或者是互联网等方式进行连接,使科技企业能够及时掌握国内外最新专利、技术等技术市场的行情信息,并获取风险投资资金的信息,保证科技企业风险投资项目的资金需求量,这样既可以为相关的风险投资者提供适合的风险投资项目,也可以为科技企业的创业者提供更多的资金来源渠道,进而保证科技企业风险投资项目资金的充裕,为企业创造更大的经济价值。
2.4建立合理的风险分散机制
企业风险与合规范文第3篇
关键词:风险管理 内部控制 框架
一、风险管理的概念
我国对风险管理理论的研究起步较晚,且不同行业对风险控制管理的理论见解也有所不同。本文认为风险管理是指企业在可能遇见的风险环境里,通过对风险的识别、估测、评价,借以基础上选择一套最恰当的风险管理办法,对风险控制后所致的后果降至最小化的管理过程。
二、风险管理与内部控制的关系
关于对风险管理和内部控制这两个概念,学术界有两种争论――风险管理包括内部控制,或者内部控制包括风险。本文则认为内部控制是风险管理的基础条件,风险管理是内部控制的升华,两者相辅相成,只是不同行业之间对两个概念强调的侧重点不同而已。
1.行业特征。金融行业,所的广告语都是“投资有风险,入市需谨慎”,可见,它所强调的一般都是对风险管理的重要性,所以该行业是以风险管理主导内部控制更为方便管理。而对于制造业来说,要求企业对内部控制加强管理,所以企业以内部控制为主导更为适合。
2.企业运行周期。在企业刚起来阶段,内部结构还不够完善,所以要加强企业的内部控制体系的建立。而在企业成长期间,企业规模扩大,业务范围广,随之而来的风险也越来越大,所以其管理模式是风险管理控制主导内部控制体系。随着企业逐渐走向成熟,盈利达到最高,有了抵御风险的能力,企业会力求在内控上做到更加完善来巩固自身的防御能力。在衰退期,由于企业的规章制度多,所以内部控制成了企业领导重点关注的内容。
三、现代企业风险管理框架的基本内容
美国COSO委员会对内部控制的概念有一定的标准解释,然而在经历了美国安然、施乐等企业发生的欺诈事件后,COSO所提出了内部控制框架受到了相当大的质疑,于是,人们开始关注对风险的控制,认为内部控制框架应当与风险管理相结合来提升企业的管理水平。但是,对于绝大多数企业来说,缺乏普遍认同的风险管理和内部控制框架的定义。2004年9月,在学术界和企业界的强烈要求下,美国COSO委员会颁布了《企业风险管理整合框架》,该框架是目前应用最广泛的理论依据,受到各国业界人士的高度关注。
(一)COSO企业风险管理框架
1.企业风险管理的目标体系。COSO认为风险管理目标有四类:战略目标、经营目标、报告目标、合规目标。战略目标是指企业的使命。经营目标一般是指业绩指标、盈利指标等。报告目标是指企业财务报告和其他信息的可靠性。合规目标是指企业在经营过程中是否遵守相关法律法规。企业目标的分类有助于企业在面对不同时期的不同问题时,能侧重点的管理,可以根据企业当时的需要进行分派某个具体部门进行直接负责。
2.企业风险管理的要素。企业风险管理有八个要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和控制。这八个要素都贯穿在企业生产经营管理过程当中。
3.企业风险管理目标与要素之间的联系。企业风险管理要素是为了实现其风险管理目标的,因此,两者之间有着直接的关系。
(二)COSO企业风险管理框架理论
企业风险管理框架是《内部控制整合框架》的拓展和完善,新的COSO报告又新增加了一些观点、目标和要素,主要体现在:
1.风险组合观。COSO提出了一个新的观念――风险组合观,要求企业从总体控制各个部门的风险,借以统筹考虑对风险的施行措施,避免各部门分散考虑应对风险。
2.战略目标。内部控制框架的企业目标分为三个:经营目标、财务目标、合法目标。而企业风险管理框架新增加了一个新的目标――战略目标。从管理学来分析,战略目标是用来支持企业实现最终使命的,是最高层次的目标。
3.风险容量和风险容限。风险管理的框架定义:风险容量是一个主体在追求价值的过程中所愿意承受的广泛意义的风险的数量,它反映了主体的风险管理理念,进而影响了主体的文化和经营风格。风险容限是风险容量的基础,是企业实现目标所能接受的偏离限度。
4.三要素――目标设定、事项识别和风险应对。目标设定是风险管理体系的首个要素。事项识别是企业进行风险管理的前提。风险应对是说针对不同风险来选择不同的对策,做到风险最小化管理来降低成本,促进企业发展。
四、我国企业风险管理的现状及分析
(一)中航油的案例分析
中航油新加坡公司于2001年在新上市,当时是陈久霖任董事兼总裁兼总经理职务,在任期间,陈久霖对企业的业务范围进行大力扩展,2003年,企业已经从事油品套期保值和衍生品期权交易,起初的200万桶交易获得非常大的收益,但是由于2003年到2006年之间,石油价格一路攀升,而中航油对石油价格回跌一直寄予希望,不断的增仓,致使账面价格亏损严重,最后不得不申请企业破产。
中航油的事件,引起业界一片哗然。其原因有多方面:第一,企业领导更新意识淡薄。第二,风险偏好极端。第三,缺乏风险评估机制的建立。虽然中航油内部指定了《风险管理手册》,并运用了风险管理软件。但是风险管理手册上的条例有很多有争议的地方,并且对企业高层没有起到约束的作用,这也是中航油走向衰败的原因之一。
(二)我国企业风险管理问题
近年来,随着美国引发全球经济危机,国内企业开始重视对风险的管理。比如加强了对风险的预测、将内部审计部门参与到风险管理中。企业在长期的风险管理实践中取得了进步并累积了很多经验,但是仍然存在一些问题:
1.内部控制体系不够完善。作为风险管理的基础――内部控制,必须给风险管理提供一个可靠的环境。可以将内部控制分为四个演变过程:内部牵制、内部控制制度、内部控制结构和内部控制框架。据调查,我国企业中只有30%的企业建立了完善的内部控制框架,其他大部分企业停留在内部控制制度阶段。
2.对风险管理的意识薄弱。企业家往往过多的关注于怎样进行经营管理来实现盈利,只有在企业遇到风险时,才能对已经到来的风险进行忙于应对,这样往往会给企业造成很大损失甚至有破产的可能。
有的企业虽然已经建立了风险管理机制,却只是表面上的功夫,流于形式,面对风险的到来,无人问津或有章不循,慌乱地采取一些临时的解决措施。风险管理如同虚设,使企业的随意性过大,扭曲了风险管理的本质和初衷。
3.风险管理的技术方法运用较差。对于风险管理的各个细节应当通过一系列的技术和方法来实现,否则风险管理无法施行。国外企业的风险管理技术相对发达,通过先进的风险管理软件以及优秀的风险管理技术专家来支撑对风险的管理。而我国的风险管理信息化系统相对落后,也没有成熟的人员队伍,所以,企业对风险管理的技术和方法的运行程度低。
五、现代企业构建风险管理框架的思路
(一)建立健全的内部治理结构
完善的公司治理结构有助于企业进行责任划分,促进股权结构的合理化,强化企业内部控制,提高企业经营效率。公司治理结构的完善能较好的梳理所有者、董事会和经理人三者之间的关系,为企业风险管理提供了一个基本的组织架构,在该架构下,设立一个专门的风险管理机构或者指定某个职能部门来进行风险管理。该机构或部门负责处理风险管理的日常事项,包括风险管理的策划、部署、检查以及预测风险未来的导向,并向领导提出建设性的意见。
(二)加强企业文化的建设,大力宣传风险防范意识
企业文化是企业长期以来的共同理想、价值观、作风、道德规范、生活习惯的总称,体现出本企业的特色,对企业职工有号召力和感染力,是企业长期文化形成的反应。风险管理文化作为企业文化其中的一项因素,对风险管理理念和行为起决定性的作用,良好的风险管理文化可以规避风险,从而提高企业经济效益,因此,要养成良好的风险管理文化,塑造风险文化的氛围,对一个企业来说是非常重要的。主要从以下几个方面入手:首先,要加强全体职工的法律意识。其次,要对风险切入点的管理人员和职工进行培训工作,强调对风险的意识。最后,定期在企业内部宣传风险文化刊物,培养全体员工的风险管理意识,强化员工的风险管理素质。将风险管理文化灌输于每名员工,形成一种精神状态,这样才能避免风险的发展与延伸。
(三)设立风险评估和控制活动
随着市场环境的多样性变化,对企业面临的各种风险进行有效地分析、估量,是企业领导对风险管理的重要环节之一。它是在事项识别后,通过对风险信息的大量收集,运用科学的办法,估测出风险发生的可能性或者损失的程度。风险评估一般是通过对风险的实时观察和借助以往的经验来进行风险管理。控制活动是风险管理的核心环节,遍及企业的各个部门,它是通过批准、授权、验证等多项活动对企业进行控制和监督,促进企业目标的快速达成。
(四)信息路径的畅通
企业要建立风险管理体系,必须有良好的信息沟通环境,能帮助企业对运营情况进行实时掌握。建立一套风险管理的信息路径必须有一套风险管理术语,以便于员工之间的沟通,保证信息能被及时传递到相关部门。
六、结束语
文章通过对风险管理框架进行叙述的基础上,分析了我国企业风险管理的现状以及存在的问题,并提出了建设性的几点建议,力求对我国企业的发展起到促进的作用。由于我国的风险管理理论还处于起步阶段,所以还有很多问题需要进一步探讨,笔者水平有限,在构建风险管理框架方面提出的建议仍需进一步得到改善。
参考文献:
[1]方红星,王宏泽.企业风险管理整合框架[M].大连:东北财经大学出版社,2005.
[2]郑子云,司徒永富.企业风险管理[M].北京:商务印书馆,2002.
企业风险与合规范文第4篇
由于煤炭企业风险的综合性、复杂性以及变动性等特点,从而增加了对煤炭企业风险识别的难度[3],如何全面系统地识别出煤炭企业风险对于煤炭企业风险管理具有至关重要的作用。风险管理是一个循环的动态系统,其伴随着风险防控计划的实施出现许多新的变化,这些新变化信息如果能及时有效地进行识别,则有利于风险管理单位及时准确地对新的情况进行风险评价和处置,有效地调险处置计划,及时进行风险防控。如此循环往复,从而能够有效保证风险管理识别系统的动态性,进而有利于促进预期效果的实现。结合上述分析,本文认为煤炭企业主要面临四大类风险:①安全生产风险,主要包括装置设备风险、地质环境风险、人及行为风险和掘进进程风险;②安全管理风险,主要包括营销风险、价格风险、物流风险和人力资源风险;③财务风险,主要包括投资风险、筹资风险、现金流量风险和资本结构风险;④外部风险,主要包括公共关系风险、经济形势风险、监督检查风险和政策法规风险。
2基于F-AHP的煤炭企业风险评价
根据煤炭企业风险的模糊性、复杂性、动态性特征,本文运用F-AHP技术对煤炭企业风险进行评价。模糊层次分析法(F-AHP)是一种能有效将半定量、半定性问题进行多准则的决策评价方法,它为煤炭企业风险决策和评价提供了一种实用有效的建模工具。
2.1构建评价体系
煤炭企业风险因子成因错综复杂,本文根据上述风险识别结果构建煤炭企业风险评价体系。对于煤炭企业风险综合评价体系来说,其主要由4个一级评价指标组成,分别为U1、U2、U3、U4,对于每个一级评价指标,其分别对应四个二级评价指标。
2.2确定评价集
评价集的确定通常是指针对于各种不同层次评价指标的一种定性的语言描述,它是对各评价指标所给出评语的集合。基于煤炭企业风险综合评价模型的特征,本模型评语集共分四个等级。具体的评价集为:V=(V1,V2,V3,V4)={高风险,较高风险,一般风险,低风险}由于综合评价模型的计算结果是位于0~1之间的一个值,据此可以设定煤炭企业风险综合评价的评价区间。依据胡文杰对风险等级的划分,认为煤炭企业综合风险一般分为4~5级,结合煤炭企业实际,本文将评价集具体划分为:RFj∈[0,0.2),为低风险;RFj∈[0.2,0.5),为一般风险;RFj∈[0.5,0.7),为较高风险;RFj∈[0.7,1]为高风险。
2.3构建因素集及隶属度评分表
通过上述分析,本文构建的煤炭企业风险综合评价因素集及隶属度评分表如表1所示。
2.4判定评价等级
综合考虑煤炭企业各风险因素的指标,确定煤炭企业风险的一级指标的权重为WU={V1,V2,V3,V4},利用煤炭企业风险综合评价因素集及隶属度建立风险评价矩阵,计算评价结果分别为BU1,BU2,BU3,BU4和BU。
3结束语
企业风险与合规范文第5篇
关键词:纳税风险 应对措施 风险管理 成因
1.企业纳税风险概述
1.1 企业纳税风险含义
企业纳税风险是企业的涉税行为因未能正确有效遵守税收法规而导致企业未来利益的可能损失,具体表现为企业涉税行为影响纳税准确性的不确定因素,结果就是企业多交了税或者少交了税,并且只能是纳税人在计算和缴纳税款方面存在的风险。企业纳税风险的大小因企业的状况不同而不同,它既决定于企业周围的客观因素,也取决于企业内部的主观因素。企业风险因素分为三种(见图1)。
1.2 企业纳税风险的特征
(1)不可规避性
企业纳税的风险是不可避免的,因为它与税法密切联系。企业纳税行为必须以税法作为法律依据和行为准则,因此,税收的三个特点:强制性、无偿性、固定性就决定了纳税风险的发生必定具有一定的必然性,只要企业存在,就会面对纳税风险。但在工作中只要能够掌握规律,合理运用,也是可以降低风险发生,避免某一特定的纳税风险,例如纳税筹划风险。
(2)可控性
企业纳税风险造成的损失大小和发生的可能性是可以通过度量预测来控制的。借助风险评估理论、数理技术手段、经验数据等方法,对形成纳税风险的风险因素进行估算,并采取有效的措施对其进行弥补、控制,从而控制和降低纳税风险。
(3)主观相关性
纳税风险的主观相关性是指纳税风险的相关主体行为和纳税风险发生与否以及造成损失大小是紧密相关联的。这里的相关主体主要是指企业纳税人员和税务人员。两者的素质、执法水平会影响到企业纳税风险损失大小。即:企业纳税风险的产生与企业纳税人员的业务素质密切相关,还与税务人员的执法水平密切相关。
2.企业纳税风险的成因
2.1 企业纳税风险的内部成因
(1)企业对纳税风险认识不足
这个成因是由纳税风险的主观相关性决定的。纳税风险作为企业风险管理中的一种重要风险,大部分企业却没有正确认识到其重要性,而是认为纳税风险管理是税务机关的事情,和自己企业没有关系。因此停留在重视财务管理上面,而忽视了纳税风险的重要性,没有将纳税风险贯穿于企业生产经营的全过程中去,导致了一些不必要的纳税风险。
(2)企业办税人员业务素质与职业道德水平低下
一般来说,纳税风险的大小与企业纳税人员的业务素质、道德水平成反比关系,也就是说,如果企业的办税人员业务素质与道德水平高,则企业的纳税风险就会低;相反,企业的办税人员业务素质与道德水平越低,则企业的纳税风险就越高。这就对企业办税人员提出了高要求:必须具备税法、会计、财务、法律、统计学等专业知识,熟悉企业的整个投资、运营、筹资等活动,从而可以准确纳税、设计出不同的纳税风险控制方案,做出正确的纳税风险控制决策。
(3)企业内部控制制度不健全
企业内部控制制度是风险控制的重要内容,健全的企业内部控制制度是企业发展生存的需要,是保证企业会计信息质量、有效控制税务风险的重要保障,但仍有许多企业未建立有效的内部控制和风险管理体系。[1]因此,要尽快建立健全的内部控制和风险管理体系,杜绝不规范的纳税行为、错误的纳税方案,从而有效控制企业的纳税风险。
2.2 企业纳税风险的外部成因
(1)外部经营环境复杂多变
经营环境复杂多变是企业面临各种纳税风险的外部原因之一。税收政策的变动时企业纳税风险产生的重要原因。一般来说,政府为促进经济增长,会采取积极的财政政策,制定减免税或退税等税收政策;反之,为防止通货膨胀,政府会施行紧缩性财税政策,调整税收政策。另外税收秩序方面存在的一些社会问题,例如:交易环节中对方虚开、代开增值税发票问题,就会给正常营业的企业纳税人带来巨大的纳税风险。
(2)税收制度复杂
税收制度,简称“税制”,指国家的各种税收法律、法规和税收征收管理制度,包括各种税法条例、实施细则、征收管理办法和其他有关的税收规定等。税制的构成要素包括:纳税人、课税对象、税率、纳税范围、纳税期限等。
改革开放以来,我国税收法律法规目前仍不太健全、变动频繁,有的税收法律法规不明确,或是因为文字表述不清,或是因为法律法规相互否定,还有的则是实际交易行为与税法相关但却不完全吻合,给纳税人理解税法、依法纳税带来了一定的难度,导致纳税人无知性不遵从行为的发生,诱发纳税风险。
(3)我国税法宣传不足
长期以来,税法宣传每年都是采取一些手段培养纳税遵从意识和营造良好的税收环境,但在宣传上却忽视了内容的针对性,指重视宣传形式,导致实际效果不太好,同时,也仅仅是在宣传月进行宣传,而不是日常进行宣传,没有做到全面全方位系统的宣传,普及率较低,纳税人对税制缺乏了解,也缺乏依法纳税的意识。而且,我国纳税信息服务形式、渠道、内容相对单一,未能将税收信息进行整合,为纳税人提供有价值的经营信息,不能满足广大纳税人的实际需求,也成为企业纳税风险的一个诱因。[2]
3.企业纳税风险应对措施
3.1 提高纳税人员业务素质与道德水平
在前面2.1企业纳税风险的内部成因中提到了:“对企业办税人员的高要求:必须具备税法、会计、财务、法律、统计学等专业知识,熟悉企业的整个投资、运营、筹资等活动”,此外,在外资企业或中国在国外的企业的纳税人员,还要懂得国外会计,了解国家质检的税制结构差别、税收负担水平差别和税收协定网络等。在设计制作出合法、合理、有效的方案同时,还要善于沟通和协调。因为在制定纳税方案时,需要与企业里面的相关部门进行沟通、协调,制定出来的纳税方案也只有在税务机关的认可之下才能实现依法纳税,这就要求纳税人员除了具有良好的口才,能够言简意赅地说明纳税思路、步骤和操作方法、做出有理有据的解释,还需要良好的沟通和协调能力,及时与相关部门进行协调,并与税务机关进行不合适地方的沟通与改进,从而得到税务机关的认可,降低风险的可能性。
3.2 借鉴企业风险管理―整合框架,树立防范意识
多年来,人们在风险管理实践中逐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互叠加放大,有的相互抵消减少。因此,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。2004年9月,美国COSO(全国虚假财务报告委员会的发起人委员会)的《企业风险管理――整合框架》,更加关注于企业全面风险管理这个领域,而且拓展了内部控制,成为世界各国和众多企业广为接受的标准规范。企业风险管理―整合框架是一个三维立体的框架[3],如图2所示。
图2的企业风险管理目标和构成要素矩阵图对我们防范纳税风险给与了一定的指导,可以从八个要素方面关注纳税风险:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控,并尽可能考虑实际情况,采取最有效的方法去解决影响纳税风险的因素,或者使其影响程度尽可能降低,具有时间与危机观念,树立风险意识,明确了风险因素就应尽早做出准备,防范于未然。
图2 企业风险管理的目标和构成要素矩阵图
3.3 关注税法变动,加强税法宣传
目前,我国税制建设还不很完善,税收政策变化较快,纳税人必须通晓税法,并应具有对政策变化可能产生的影响进行预测和防范纳税风险的能力,遇到企业发生重大经济事项时,应主动向税务机关咨询相关的税收法规,听取来自税务机关的意见和意见,处理好局部利益与整体利益、短期利益与长远利益的关系,保证企业依法诚信纳税,维护合法权益,为企业增加效益,防范纳税风险。
在关注税法变动的同时,也要加强对办税人员税法的宣传工作,做到全面全方位的系统宣传,以提高税法的普及率,主要有两个途径。第一,企业从自身外部获得税法变动的信息以及常识性内容;第二,企业从自身内部通过宣传(如:企业刊物、黑板报、部门例会等)来加强办税人员对纳税风险的重视、对税制的了解、依法纳税的意识。
4.小结
总体来说,企业纳税风险的产生来自于企业的内外部。本文提出的3个应对措施,可以从一定程度上防范、降低纳税风险。但在实施过程中,仍需要相关人员、相关部门的配合,并根据实际情况对风险进行评价和监控,从而尽快采取有效的应对措施,保证企业的发展、保证企业的利益。
参考文献:
[1] 吴蔚捷. 企业税务风险管理探析[J]. 铜仁学院学报,2011,13(6):72-76
企业风险与合规范文第6篇
关键词:风险管理 风险导向内部审计 应用
一、施工企业风险管理的意义
国家对基本建设项目的压缩投资,加剧了建筑市场的竞争。工程项目具有工期长、参与主体多、组织关系复杂、一次性等特点,而且规模日益庞大、施工技术日益复杂。施工企业从参加招投标与签约、前期准备、施工阶段,到竣工交付使用,甚至包括保修期在内,自始至终处于多变的自然、社会、经济环境之中,可能遭遇各种类型的风险,所以施工企业必须进行风险管理。一来可以加强企业风险识别能力,以应对市场的不断变化;二来可以寻求和维持持久的竞争优势,以规避和转移风险。
二、施工企业风险导向内部审计流程
施工企业风险导向内部审计是指内审人员在审计过程自始至终都关注企业风险(不是审计风险),以具体的施工项目为依托,识别、评估相关风险、应对风险,确保项目实现预期收益,实现企业发展战略目标。具体审计流程表现为:确定审计目标,选择合适的审计方法,按照企业风险管理策略的要求,对施工管理过程中的各个环节进行风险识别、评估分析、审查控制轨迹,提出审计建议,实现企业风险事前、事中、事后全过程的监督和控制。
三、施工企业风险管理中风险导向内部审计的应用
(一)内审部门应在投标、策划、施工、竣工、交付使用、保修期等各个阶段监督风险管理的有效性,对其合理性、可行性给予客观公正的评价。
(1)在项目投标阶段,一是要中标,二是中标后有利润可赚。企业是以盈利为目的,投标前及投标过程中,应从组织、技术、经济、管理、环境等方面对该工程项目进行风险分析及综合预测,并制定相应预案,实现投标的真正成功。
(2)在项目策划阶段,应明确项目总体目标,包括质量目标、工期目标、安全目标、环保目标;编制劳务承包方案、材料采购方案、施工方案,做好施工组织设计,对项目进行风险识别、风险评估,实是求事地编制标后预算,划分责任中心,责任落实到人。
(3)在项目施工阶段,应加强合同、工期、质量、安全、成本等方面的管理。关注劳务分包、材料采购、租赁等各类经济合同的签订和履行风险,合同的变更、补充协议的合理、合规性;严格控制人工费、材料费、机械费等直接成本,降低非生产性开支,做到合理成本最低化。
(4)资金风险。控制资金风险首先要定期进行工程价款的计量结算,加强工程进度款的催收;其次要加强对投标保证金、履约保证金、工程垫资款的催收管理;再次要加强资金的统筹集中管理,提高资金的利用率。
(二)施工企业风险管理工具的应用
内部审计部门对施工管理的主要环节风险,要充分识别,科学评估,充分运用风险管理工具,提出科学有效的风险应对措施。
(1)风险回避指采取措施避免可能产生的风险。合同签约前进行程序性评审和合同文本评审以保证合同的合法与合规;对合同条款项目审查,尤其是工程款支付问题、材料付款方式、供应方式问题,杜绝合同条款不严谨导致的合同损失。
(2)风险降低指采取措施将风险降低到企业可接受的范围内。如安全与质量问题是个不可避免的问题,一定要通过建立安全质量保障体系,降低因安全质量事故导致的损失和不良影响。
(3)风险分担指通过转嫁风险或与他人共担风险,把风险发生的可能性降低到可容忍范围内。如资金风险,可以在与劳务分包方合同中明确支付比例;材料供应管理应落实招投标制度,结合施工现场用料情况付款,采用承兑汇票付款,合理转嫁资金风险。
(4) 风险接受指企业在在合理的程度内接受经营过程中不可避免的风险。如编制标后预算锁定不可控因素导致的风险。
四、风险导向审计在风险管理中的应用问题及建议
(一)存在的应用问题
1、风险管理意识不强,风险管理信息系统不健全,做不到未雨绸缪与超前谋划。风险管理的措施但仅限于工程质量、进度、安全等方面的保证措施,缺乏系统性和明确的风险管理目标,没有正式的项目风险管理系统,增加了企业运营的风险。
2、内部审计人员专业结构和素质不能满足风险导向审计要求。内部审计仍停留在财务收支、经济责任、绩效审计等传统的事后审计阶段。内审人员不具备风险识别、风险评估的认知和判断能力,缺乏对风险导向审计的实践和探索。
(二)风险审计建议
1、更新风险管理理念、健全风险管理信息系统
风险导向审计要求内审人员对企业的环境、战略、目标、市场、运营、激励、健康、安全、法律等各方面的信息数据进行分析。加快内部审计信息化建设,做到管理制度化、制度流程化、流程表单化、表单信息化。
2、改进内审人员的专业结构,提高内审人员的素质
企业应加强对现有内审人员的培训,达到知识更新,提高审计人员的专业胜任能力和专业判断能力。增加内部控制、风险管理、公司治理、信息系统方面的专业人员,以完善内部审计人员专业结构。
参考文献:
企业风险与合规范文第7篇
一、内部审计与风险管理的关系
(一)内部审计在企业风险管理中的作用
1.帮助企业管理者了解风险信息。风险导向内部审计将工作的重点放在重大风险上,这样使得年度计划将和组织治理层的战略风险一致,具体审计计划与具体业务风险一致,也是风险管理某些方法的使用。在实施审计的过程中,公司治理层可以随时了解企业的风险信息,从而可以在风险和机遇中找到平衡点,从而能够平稳而又快速地在风险环境中生存、发展、繁荣。
2.帮助企业管理者进行风险识别和评估。风险导向内部审计是基于系统理论产生的,因此,在审计过程中,内部审计者不仅要检查本企业的风险情况,还要观察同行业内其他企业的经营情况,这样就可以站在一个较高的角度对企业风险进行识别。另一方面,内部审计者在对其他企业内部控制程序了解之后,会对本企业的内部控制制度有一个全新的认识,从而采取更好的内部控制体系来管理企业的风险。
3.帮助企业管理者对风险进行管理与协调。内部审计人员以评价各部门的内部控制制度为出发点,在各个领域寻找经营漏洞,帮助企业管理当局识别和防范风险。内部审计可以通过风险管理促进内部控制的完善,能够从全局角度客观的管理风险,控制、引导企业风险策略,这会使得管理当局更加重视内部审计部门提出的意见。
(二)内部审计与企业风险管理的融合
企业每一个时刻都面临着风险,风险使得企业生产经营的不确定性增加,因此,识别和管理风险就变得日益重要。企业风险管理相对于内控而言是一个更为广泛的概念,是内部控制内涵外延的扩展。风险管理的实质是内部控制,通过内部控制与风险管理的结合,企业可以借助风险管理体系实现有效的内部控制。因此,在当今如此激烈的竞争环境中,企业要想更好地实际预期目标,实现自身增值,就必须将内部审计与企业风险管理相结合,为更好地实现企业目标服务。
二、企业内部审计与风险管理现状分析
(一)内部审计所处的外部环境不佳
我国许多企业有关内部审计的工作并没有受到重视,也并没有制定相关的内部审计制度,如内部审计监督制度、内部审计管理制度;企业的内部审计机构形同虚设、不起作用,其工作也没有得到执行。目前,我国整体规范和企业内部审计法律制度的规定和指导较少,但缺乏系统的探讨企业内部审计的法律法规或监管指引,现行的内部审计法规都包含在对分散的"审计法"的描述中,其中的细节并没有得到设计和体现,使得我国内部审计工作的发展受到限制。内部审计工作要想满足高级管理层和董事会等方面的要求,作为企业内部独立审计组织及内部审计人员应该深入领会我国IIA的《内部审计实务标准》和内部审计准则,从而顺利开展风险管理审计。
(二)企业风险管理下内审机构独立性不强
国外大部分上市公司惯用的方法是内部审计部门直接向审计委员会报告,从而提高内部审计的独立性。然而,在我国,企业的内部审计机构的设立多种多样。例如, 一些企业内部审计机构由董事会领导;部分企业审计机构由总经理或副总经理领导;部分企业内部审计机构由监事会控制;部分内部审计机构由财务部门领导,直接影响了内部审计的客观性和公平性。
(三)内部审计环境在企业风险管理中不够规范
我国对于公司管理以及内部审计法律建设相对滞后,缺乏法律依据。而缺乏相关法律监管是内部控制失败的重要原因。在我国法律环境下,缺少法律保护和依据以及存在的弊端都不利于内部审计对公司治理充分发挥作用。在我国市场环境下,具体国情决定了市场经济建设还不具备成熟的市场环境,由于机制的不完善,导致市场环境的缺失。一些政府机构审计和一些社会机构审计自身存在的缺陷,损害内部审计的外部环境,极大地影响了内部审计的发展,造成职业道德沦丧和诚信缺失的现状,阻碍了内部审计在公司治理中的发展。
(四)内部审计在企业风险管理中职能的运用不足
独立性原则是内部审计工作的一个基本指导性原则。内部审计人员和机构在组织上、行为上都是独立的,这样才可以充分发挥其审计职能。有些单位对内部审计认识不深,使得内审机构合并到纪检、监察或财会部门,或让会计人员兼任,从而无法保证内部审计的独立性和公正性。有些单位的内部审计技术手段还比较落后,程序不规范,难以适应工作需要。许多单位的内部审计工作仍局限于财务收支的审计,以及其他方面的审计,而不是对经济责任制度和内部控制制度的评价。一些审计人员缺乏风险意识,没有严格履行相应的审计程序,导致相关审计准则没有得到正确运用或者只是流于形式,从而难以充分发挥审计作用。
三、完善企业风险管理中内部审计的相关措施
(一)营造良好的内部审计环境
公司治理及风险管理机制的完善, 有助于实施风险导向审计模式。随着激烈的市场竞争及外部环境的相关变化,内部审计人员需要加强分析与风险识别内外部环境,正确理解国家的政策法规、行业政策、宏观经济政策等等,分析外部环境对企业的影响,对内控制度的建立与实施的评价, 反映了当前管理控制中存在的缺陷,确定了关键的内部审计和风险控制的切入点。要明确内部管理职责的一个良好的内部分工,更好地履行职责,以提高风险导向审计工作的效率和效益。同时,通过相关法律法规的制定,规范企业风险管理下内部审计的定位,使得外部环境日益改善。
(二)应对风险及时采取针对性措施
内部审计人员应考虑企业风险承受能力,制定策略去应对风险, 应使策略可以规避、转移、缓解和接受,确定可接受的风险幅度,最后根据确定的不同的风险容忍度对风险事件采取针对性不同的措施。审核委员会应适时对有关部门进行风险检查,检查其是否具有充分性和适当性。审计委员会可以根据不同情况, 针对缺乏充分的控制措施的情况,提出具体措施和建议,以规避风险、接受风险和降低风险。
(三)加强内部审计队伍建设
风险导向内部审计要求内审人员掌握的技能具有多元化,特别是在信息技术方面。因此,中国的企业需要尽快改善内部审计人员的结构,采取各种激励措施,加强内部审计人员的培训,为企业员工提供培训,以提高他们的专业素质,并为引进人才与相关的大学与企业合作,培养大量的专业人才,填补这方面的空白,为我国的内部审计建设提供人力资源上的支持。内部审计人员也应当拥有前瞻性和大局意识,从战略角度来看待内部审计,应当掌握扎实的专业技术知识,应用管理学、计算机等学科的相关知识,以预防和降低企业的经营风险,提高控制效果和改善经营治理。
(四)保持内审机构的独立性和审计工作的客观性
独立性是内部审计的重要属性,也是内部审计发挥作用的前提,是内部审计及存在的根本。在保持独立性方面,公司管理层要率先执行并要求各部门认真执行,不得妨碍和干预内部审计人员独立性。随着企业价值增值目标的不断建立,为了有效地实施风险导向内部审计,强调内部审计的独立性,同时要兼顾客观性。内部审计活动要求机构独立、人员独立,独立确定审计范围,独立实施审计程序,在出具审计报告时不受干扰及影响,客观地作出审计结果。审计人员必须保持客观的方式、公正的态度,尽量避免任何利益冲突。在内部审计的实施过程中,做好各部门的有效沟通工作,使其更好地开展工作,提高审计效率和效果。
企业风险与合规范文第8篇
COSO的经典性报告《内部控制——整体框架》是内部控制方面的权威性文献,自1992年以来,得到了包括美国在内的多个国家的政府组织和企业的认可,并以此框架为基础制定和了内部控制的框架和文件,如我国财政部等五部委在2008年6月份的《企业内部控制基本规范》就是在我国国情的基础上借鉴了COSO的内部控制报告。尽管该框架受到了各方的认可,但是随着经济和科技的发展,企业的经营环境也在不断的变化,再加上安然公司等舞弊案的出现,使得人们对于COSO的内部控制框架有了质疑。在此背景下,COSO委员会与普华永道会计师事务所于2010年9月份启动了内部控制框架的修订工作,并于2011年12月份了内部控制新框架的征求意见稿,经过1年多的公开征求意见,于2013年5月了的《内部控制——整体框架》(以下简称新框架)的正式报告。COSO委员会要求新框架于2014年12月15日开始生效。COSO新框架有利于帮助组织在业务和经营环境变化了的背景下设计和实施内部控制,在经营和报告目标上扩大了内部控制的应用范围,并做出如何判断内部控制的有效性。众所周知,COSO委员会的经典权威报告除了《内部控制——整体框架》外,还包括其2004年的《企业风险管理——整体框架》(以下简称ERM框架),这二者关系非常密切,有学者认为二者是一致的,有学者则认为ERM框架是内部控制框架的替代,那么二者究竟是什么关系呢?在内部控制新框架中,COSO委员会给出了解释。新框架中内容众多,笔者拟就内部控制新旧框架进行比较并对其与ERM框架的关系进行探讨。
二、内部控制新框架与旧框架比较
内部控制新框架是在旧框架的基础上结合目前全球经济和环境的变化进行更新和修订的,因此,在新框架中,既有与旧框架中内容一致的方面,也有不一致、变化了的方面。
(一)内部控制新旧框架维持不变的方面 (1)内部控制的核心定义。新框架与旧框架中的内部控制核心概念形式上是一致的,基本上沿用了旧框架中内部控制的核心定义,即都给出了一个非常宽泛的定义,都强调了是一个过程,受到人为因素的影响,都是对目标的合理保证。由于内部控制的目标有所改变,因此概念中的目标也相应变化。但总体上来讲,新旧框架中的内部控制的概念基本上没有变化。(2)三目标和五要素形式。与旧框架中一致,新框架采用的仍然是三目标和五要素的形式,而且三个目标中有两个没有变化,即第一个目标——经营的效率和效果与第三个目标——法律、法规的遵循等两个目标的名称没有改变。在五要素的名称上,第五个要素的名称在旧框架中称为“监督”,在新框架中增加了“活动”二字,即为“监督活动”;其余的四个要素如控制环境、风险评估、控制活动、信息与沟通等要素,其名称完全一样,没有任何变化。(3)用于评估内部控制系统有效性的标准没有变化。有效的内部控制系统能为三个目标的实现提供合理的保证。如果内部控制系统是有效的,则组织能够使得经营具有效率和效果、提供可靠的报告、遵循所适用的法律和法规。判断一个内部控制系统是否有效,需要如下步骤:首先判断内部控制系统能否合理保证目标的实现;其次内部控制系统能否合理保证目标的实现,取决于这五个要素是否在同时发挥作用,只有这五个要素同时发挥作用,才能说明内部控制系统可能是有效的;最后,判断这五个要素是否有效,这取决于内部控制要素的17个原则和82个属性是否发挥作用。无论是新框架还是旧框架,评价的标准没有变化,只不过旧框架中没有原则和属性的概念。
(二)内部控制新旧框架发生变化的方面 (1)考虑了业务和经营环境的变化。在新框架中,内部控制的设计更加具有灵活性,其充分考虑了组织业务和经营环境的变化。这些体现环境变化的内容主要包括:期望基于公司治理的视野设计内部控制;考虑全球化的市场和经营的因素;考虑业务的变化及其更加的复杂性;考虑法律、法规、规章和标准的要求和复杂性;期望人员的胜任能力和责任性;使用和依赖日趋发展的科技;期望能够发现和预防舞弊。这样变化使得企业在设计内部控制与环境的联系更加紧密,从而有更好的适用性。(2)经营和报告目标的扩展。从名称上来看,经营目标没有变化,但实质上其经营的目标范围有所扩大,旧框架中经营目标所指的保证经营的效率和效果,主要指达到经营的目标;新框架中经营目标不仅包括经营的目标,还包括达到财务绩效目标以及保证资产不受损失等经营目标。在报告目标上,旧框架中仅指对外列报的财务报告目标,保证财务报告的真实、可靠,其范围界定为对外报告的财务报告;新框架中的报告目标中的“报告”,不仅包括对外的报告,还包括内部的报告,不仅包括财务报告,还包括非财务报告。这些报告的披露要遵循法律法规、准则以及企业政策等所规定的可靠性、及时性、透明性等要求。这无疑增加了报告的内涵、外延和要求,对于各利益相关者都具有非常大的影响。报告目标的扩展不仅增加了企业的成本,而且也加大了注册会计师的审计风险。(3)五要素基础概念中体现的是原则导向。无论新旧框架,采用的均是五要素,但在其基础概念中采用的方式不一致。旧框架中没有明确提出构成各要素的原则,在新框架中针对五个要素,提出了17项原则,而且在原则下面又提出了相应的属性。每一个要素,都对应相应的原则和属性。这17项原则是构成这些要素的基础性理念,也是判断内部控制是否有效的主要标准。原则导向体现了新框架全新的思路和理念,每个企业根据自身的实际情况和环境的变化,根据这些原则,设计适合自身的内部控制,这些都有利于增加内部控制的适用性、时效性和灵活性。但另一方面,由于这些原则不是针对某个特定企业而设定的,而是设计内部控制的一些原则性基础,因此,具体到某个企业如何根据这些原则设计适合于自身的内部控制制度,需要设计企业内部控制的相关组织或人员进行判断,这无疑增加了设计的难度。(4)增加了与经营、合规性和非财务报告目标相关的一些案例和方法。在新框架报中,提供了一些评估内部控制系统有效性工具的一些例子,给出了外部财务报告内部控制的一些方法和例子。新框架给出了这些要素的原则和属性是如何影响外部财务报告的,它给出了一个对管理层非常有用的总结性说明,一个要素下的某一个原则会影响其他要素的有效性,如,控制环境下的原则:组织的诚信和价值观,这一原则会影响控制环境要素下人力资源政策保证雇员理解行为规则并且企业的雇员都在遵循这一政策的有效性,并且会影响信息与沟通要素下比较管理层所获得的数据与信息热线获得数据的偏差,以评估信息数据的质量;还会影响监督活动要素下根据获得的雇员行为和举报热线的结果,内部审计单独评估控制环境的有效性等等。由于被征求意见的大多数人和组织,不建议内部控制旧框架推倒重来,因此,总的来说,新框架是在旧框架基础上结合环境的变化形成的,是变化了的环境下的产物,主要体现在:考虑了业务和环境的变化,如全球化、技术的进步等;扩展了业务和报告的范围;提出了原则导向的五要素基础理念;增加了一些例子来说明如何判断内部控制的有效性,具有较强的操作性。因此,新框架主要是时代的产物,使得内部控制新框架更加灵活和适应实际状况,而且具有针对性。
三、新框架与ERM框架比较
(一)内部控制与企业风险管理的关系 2004年,COSO委员了其另一经典性的报告《企业风险管理——整体框架》(ERM框架),当时很多人以为该框架会取代1992年内部控制框架,但COSO委员会从未过以ERM框架取代1992年内部控制框架的任何声明和文件。我国关于内部控制和企业风险管理的关系,观点主要有以下几种:内部控制是企业风险管理的工具;内部控制是企业风险管理的一部分;企业风险管理是内部控制的高级阶段;内部控制包括企业风险管理等。我国财政部的《企业内部控制基本规范》中融合了1992年框架和ERM框架的内容,属于“旧瓶装新水”,从表面和形式来看是1992年的框架,实质上体现的是2004年ERM的框架的内容。关于内部控制框架和ERM框架的关系,COSO委员会在征求意见稿中认为内部控制是企业风险管理的一个组成部分。企业风险管理比内部控制的内涵要广,它延伸了内部控制的边界,比内部控制更加关注风险。
(二)目标比较 内部控制包括三个目标,即经营、报告和遵循目标;企业风险管理除了包括三个类似的目标外,它还包括第四个目标:战略目标,这是一个比其他三个目标更高层次的目标。战略目标与企业的愿景相联系,合理保证企业战略的实现,经营、报告和遵循目标从属于战略目标。企业风险管理中引入了风险胃口(Risk appetite)和风险容忍(risk tolerance)的概念。风险胃口是与企业愿景相联系的一个词语,它应用于战略的制定,并选择相应的目标。如果设定为风险容忍的层次,则管理层需考虑相应目标的重要性,并将容忍的程度限定在风险胃口内。风险容忍是内部控制的前提条件,但并不是内部控制的一个组成部分。
(三)要素比较 从要素数目上来看,内部控制框架为五要素,而ERM则为八要素,ERM框架增加了目标设定、事项识别和风险应对等三个要素。除了数目上不一致外,在名称上,二者第一个要素和最后一个要素不太一致。单从名称上看,第一个内部控制要素为控制环境,而ERM的第一个要素为内部环境,最后一个内部控制要素为监督活动;ERM的最后一个要素为监督。具体比较如下:(1)控制环境。在ERM框架中,更加强调的是风险管理的哲学和理念,强调的是内部的环境,主要是关于企业考虑风险的态度和特点,反映了它的价值观,并会影响企业文化和经营风格。由于董事会的重要性,企业风险管理框架和内部控制框架中均要求董事会成员中要包含一定数量的独立董事,但二者要求的数量不同,内部控制框架通常要求2名即可,而ERM框架中要求大多数董事都应为外部独立的董事。(2)风险评估。这两个框架均要求对企业内部的、外部的各个层次的风险进行评估,而且均要求评估风险对目标实现的潜在影响。但很显然,企业风险管理框架更加注重风险,它将此要素扩展为四个要素。内部控制框架中没有考虑潜在事项的影响,这部分事项可能会影响企业战略的实施或目标的实现。这两个框架均要求对风险进行评估,但企业风险管理框架对风险评估的要求要高一些,它要求基于固有的和剩余基础来评估风险,这些风险要与战略和目标实现的时间相一致,而且同时要求关注内部相关的风险,一个单独的事项可能会引起多种风险。与内部控制框架一致,企业风险管理框架风险应对的策略包括回避、降低、分担和接受。但企业风险管理框架还要考虑企业风险胃口和风险容忍度。(3)控制活动。控制活动的目的均是根据风险评估的结果所采取的活动,其目的是为了使风险降低到可以承受的范围之内。但内部控制新框架更多地体现了目前科技因素的影响,并考虑了科技对企业的影响。(4)信息与沟通。在信息与沟通方面,ERM的范围更为广泛一些,它所分析的数据,包括来自于过去、现在和将来潜在事项的数据。而内部控制框架则更多地关注数据的质量以及与内部控制相关的数据。至于沟通,均包括内部沟通和外部沟通。(5)监督活动。这两个框架都认为监督活动是为了保证内部控制和企业风险管理发挥作用并能继续适用。不过,内部控制框架代表了更新的观点,包括运用基础的资料进行监督以及要监督外部的服务提供商(如审计师)。可见,企业风险管理框架要素与内部控制要素主要区别在于:一是数量上的区别;二是企业风险管理框架的要素更加关注风险,以及风险与战略的关系;三是内部控制新框架更加体现了现代技术和科技的影响,在要素中融入了科技因素。
[本文系教育部人文社科基金项目“基于社会责任本质揭示的企业社会责任内部控制研究”(项目编号:10YJC790089)阶段性研究成果]
参考文献:
[1]丁红燕:《COSO内部控制新框架的变化及对注册会计师审计的影响》,《中国注册会计师》2012年第12期。
[2]COSO. Internal Control - Integrated Framework (1992), http://.
[3]COSO. Internal Control–Integrated Framework(2013), http://.