内部控制风险识别
开篇:润墨网以专业的文秘视角,为您筛选了八篇内部控制风险识别范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
内部控制风险识别范文第1篇
(陕西华燕航空仪表有限公司,陕西 汉中 723102)
摘 要:在体制上全面风险管理与内部控制分别由国务院国资委和财政部提出,并在国有企业中广泛实施,全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的。但由于分别有同的国家部分主抓,从而形成了在企业内部也会又不同的单位和人员来分别从事全面风险管理和内部控制管理,造成了企业内部机构设置繁冗、业务交叉重复等现象。因此研究全面风险管理与内部控制相融合非常必要。
关键词 :全面风险管理;内部控制;融合
中图分类号:F275文献标志码:A文章编号:1000-8772(2015)10-0179-02
收稿日期:2015-03-20
作者简介:曹江涛(1976-)男,汉,陕西咸阳人,大学,会计师,陕西华燕航空仪表有限公司企业管理部部长,研究方向:企业管理。
全面风险管理是国务院国资委提出并推行的。全面风险管理是通过一定的方式识别出企业所有的风险,然后依据一定的标准对识别出的风险进行排序,寻找出企业应当重点关注的风险,再根据风险的属性采取相应的应对方案予以防范风险。其中绝大多数风险都是要依靠应对方案对风险进行控制,预防其发生或者将其控制在最小范围。
内部控制是财政部提出并推行的。内部控制是依据一定的标准对企业的流程进行审理,找出缺陷然后改进缺陷,以防止风险的发生。
可以看出全面风险管理与内部控制在管控思想理念、方式方法等方面是相似或相同的,但是在管理推进过程中,全面风险管理与内部控制形成了各自的体系,并在企业中并行开展。这样的做法在初期对于推动该两项项管理活动有很大帮助,但是也造成了企业内部机构设置繁冗、业务交叉重复、推诿扯皮、资源浪费等问题的出现。因此,研究风险管理与内部控制的融合具有很现实的价值。
一、组织体系的融合
全面风险管理与内部控制在组织体系设计上无论是层级还是职能都基本一致,所以便于融合。
全面风险管理的组织机构设置为三级,分别是风险管理委员会、风险管理办公室和部门风险管理小组(风险管理员)。其中,风险管理委员会是顶层决策机构,风险管理办公室是组织推进管理单位,部门风险管理小组是具体执行单位。
内部控制组织结构设置也分为三级,分别是企业级的内部控制领导小组、内部控制管理办公室和各部门内部控制管理员,其职能分别是决策、归口管理和实施。
因此,组织机构的融合可以采取合并方式,以全面风险管理组织机构为主,风险管理办公室在管理人员上要兼顾内部控制管理的专业人员。
二、管理语言的融合统一
在两个体系融合过程中建立统一的风险控制语言非常重要,有利于管理中信息的传递和管理行为的一致性,避免概念含糊不清导致的管理混乱。统一语言的原则是既可以保证语言的一致,也要保证两个体系的全面融合,避免融合过程中失去内控的对风险管理的辅助优势。
需要统一的语言首要的是对风险的名称定义方式,全面风险管理与内部控制对风险名称的定义办法完全不同。在全面风险管理中,对具体风险事件的名称没有统一规范,均采取描述的方式表达,描述规则是风险事件的“表现+影响”。例如:“应收账款超过诉讼时效导致无法收回”就是对应收账款风险中的一项具体风险事件的描述。对二级风险名称定义是按照业务类别定义的。例如财务风险可分为应收账款风险、现金管理风险、现金流风险等等。对一级风险名称的定义一般是按照风险的属性定义的。例如:战略风险、财务风险、市场风险、运营风险、法律风险等等。
在内部控制管理中,仅有缺陷的概念,而没有风险的概念,但缺陷导致的结果就是风险。内部控制对缺陷的分类是与流程级别对应的,也就是说一级流程缺陷、二级流程缺陷的名称定义方式是“流程名称+缺陷”。例如采购缺陷、采购付款缺陷等。缺陷所导致的风险也没有统一的命名方法,与风险管理一样是采用“表现+影响”的描述方法。
通过上述分析我们发现,对于具体风险事件的命名方法全面风险管理与内部控制管理基本是一样的。对于二级、一级风险(或者缺陷),全面风险管理与内部控制管理命名方法虽然不同,但全面风险管理一、二级风险包含了内部控制管理的一、二级缺陷,因此,在体系融合过程中,可以统一管理语言,即不再使用缺陷的概念,而统一使用全面风险管理的风险概念。
三、风险识别方法的融合
全面风险管理中,风险识别方法有初始信息识别法、分类识别法、头脑风暴识别法、流程分析识别法、价值链分析识别法等。通过这些方法的综合运用,识别出各业务单元、重要业务活动和重要业务流程中的风险。
内部控制识别缺陷(即风险)是通过对业务流程进行实际观察和穿行测试的方法,测试流程是否可以满足控制目标的方式来查找流程缺陷。内部控制识别缺陷的方法确定性很强,因此,该识别方法可以直接融入风险识别中来,为了管理中的语言统一,我们可以把内部控制的这种识别风险的方法命名为流程识别法。
这样的融合既满足了内部控制对风险的识别,也充实了全面风险管理对风险的识别方法。
除此之外内部控制还有通过不相容职务的识别来查找风险的方法。这个方法可以被风险管理借鉴,也作为风险识别的一个方法。
四、风险分析方法的融合
全面风险管理的风险分析就是在识别出风险的基础上,对风险发生的原因、风险发生的可能性以及风险发生后的影响进行甄别与描述。这一过程与内部控制基本是一致的。
内部控制在查找出缺陷的基础上也要对缺陷可能导致的风险进行分析与评价。两者的分析方法没有本质区别,因此完全可以合并融合。
五、评价标准的融合
在全面风险管理中,通过风险识别、风险分析后,依据事前制定的风险评估标准,对风险进行评估。评估是通过对风险发生的可能性和风险发生后的影响程度分别打分(1-5份),然后将这两个分值相乘所得的积作为对某一风险的评估值。而内部控制管理中,通过识别缺陷、分析缺陷后,依据事先制定的标准,根据缺陷的风险发生后的影响,分为重大缺陷、重要缺陷和一般缺陷。由于内部控制对于缺陷的评价仅限于影响程度层面,而且影响程度的评价与风险影响程度的评价维度基本一致,因此,可以将内部控制对缺陷的评价标准纳入风险评估标准中的风险发生后的影响程度这一维度中,并根据企业的实际情况对风险评估标准进行适当修改,以便可以充分反映出内部控制评价的要求。这样就可以实现全面风险管理与内部控制的评价标准的融合。
六、风险应对方案的融合
在全面风险管理中,对风险评估结束后,根据风险评估值的大小排序,企业选择其中重大、重要风险进行重点管控。对重大、重要风险的管控是通过制定相应的风险应对方案来实现的。应对方案包括制度、流程保障以及针对风险特性所制定的一系列措施。
在内部控制管理中,对缺陷评价后,无论缺陷重要与否,都应当制定措施、完善流程以达到最大限度地控制风险发生。
内部控制所采用的通过对流程梳理完善以达到控制风险的方法,其实也是全面风险管理中的重要方法之一,可以完全融入全面风险管理之中,即在风险应对方案中要求必须对相应的控制流程进行分析评估,对有缺陷的流程进行完善,以确保有效控制风险的发生。
七、体系的融合
所谓体系的融合就是要把现在的两个管理体系有机地融合在一起,包括组织体系、管理方法、管理语言、评价标准等,统一为一项管理,并能兼顾原来两个体系各自的优点。
通过对上述六个方面的分析,可以看出在全面风险管理与内部控制体系融合中采用吸收融合法可以满足原来两个体系的管控功能,即以风险管理体系为主,通过统一评价标准、统一语言、合并组织体系、融合识别方法、融合分析方法、融合评价方法和融合应对方案等措施,丰富和完善全面风险管理体系,取消内部控制管理体系。重点在评价标准修订、识别风险环节和风险应对环节充分吸收和兼顾内部控制管理的方式、方法,就能使原来的两个体系有机融合。
融合后对体系运行情况的审计评价,则由原来对两个体系的评价改为对一个体系的评价,评价方法不变。
八、融合前后的流程示意图对比
九、结语
内部控制风险识别范文第2篇
关键词:COSO;行政事业单位;内部控制
中图分类号:C935 文献识别码:A 文章编号:1001-828X(2016)031-000-01
前言
COSO框架最初是基于营利性组织(公司)提出的,但其基本思想同样适用于行政事业单位,将COSO框架应用于行政事业单位内部控制工作中,可有效发挥COSO框架价值,优化单位内控水平。在内控优化过程中,为了高效应对未知的挑战,需站在国际化角度,即了解全球大商业和国际经济形势,才能从根本上提高行政事业单位管理水平,确保行政事业单位内控建设符合时展要求,最终为社会服务。
一、COSO内部控制框架概述
1992年9月,美国反虚假财务报告委员会下属的发起人委员会了《内部控制整合框架》,即COSO报告。报告阐述了内部控制管理工作实施的重要性,提出了在内部控制实践中,需把握好控制环境、风险评估、控制活动、信息与沟通、对环境的监控这五个要素[1]。在公司内部控制工作实施中,应由领导层、管理层、普通员工共同执行COSO框架所提出的任务,遵从相关法令,各司其职、各负其责,对内部控制五要素进行管理,其中,控制环境的管理应由承诺、道德价值观、诚信等进行反映,而风险评估由三个要素,即设定目标、识别风险、应对风险共同决定。另外,控制活动的内部控制,需从批准、授权、核对、资产保护、职责等几个角度入手,最终通过对COSO框架中各个要素的管理,提升公司内部控制水平,进而为企业目标的实现提供合理保证。
二、COSO视角下行政事业单位内部控制存在的问题
从COSO视角来看,当前我国行政事业单位内部控制存在的问题主要体现在以下几个方面:
第一,控制环境缺陷。从行政事业单位内部控制氛围来看,尚未形成“领导重视,部门协作,全员参与”的人力资源管理格局,增加了单位内部控制工作难度。此外,积极的内控意识尚未形成,缺乏实施内部控制的动力;
第二,风险评估意识薄弱。由于行政事业单位主要提供非盈利的公共服务,经营活动较少,因此,部分单位领导层人员认为事业单位不存在经营风险,风险评估意识缺失,一旦发生风险,将给单位造成难以挽回的损失[2];
第三,控制活动实施不到位。《行政事业单位内部控制规范(试行)》提出了会计控制、单据控制、财务保护控制、预算控制、授权审批控制等多种控制手段,但当前部分行政事业单位尚未建立健全相应的控制措施,此外,控制活动缺乏严谨的岗位分工,最终在一人多岗等问题的影响下,削弱了内部控制的效率。
三、COSO视角下行政事业单位内部控制对策
(一)加强内部控制制度构建
在行政事业单位内部控制管理工作中,控制环境的缺陷影响单位整体的管理水平,因此,需在内部控制实践工作中,完善内部控制制度构建。行政事业单位在内部控制制度完善过程中,应参照COSO标准规范,明确各个内部控制岗位责任范围、奖惩办法、权限等,同时,应结合单位实际情况,本着成本效益的原则,确定具体的内部控制方法和程序,形成一套科W完整,具有可操作性的内部控制操作规范,形成自上而下、全员参与、有章可循的内部控制环境,不断提高行政事业单位内部控制水平。
(二)外部审计监督与内部审计相结合
在当前行政事业单位内部控制管理工作中,仍然存在着失职、缺位、越位等问题,影响到了内控效果,因此,需在内控管理实践中,建立、完善内部监督实施办法,通过科学、完善、合理的内部监督体系,实施有效的事前、事中和事后监督,通过岗位分工形成牵制,防止贪污、腐败等问题的发生。此外,采取外部审计措施,即由国家审计部门负责对行政事业单位进行定期或不定期的专门监督与指导,规避经济犯罪案件的频繁凸显[3]。在国家法定审计监督之外,也可聘请中介机构对单位内控工作进行专项审计,客观、公正的评价单位内部控制工作,促进内控工作的持续改进。
(三)完善风险评估环节
在行政事业单位内部控制工作实施过程中,应当居安思危,强化风险评估意识,加强风险评估管理工作。首先,在行政事业单位风险评估工作中,应明确财务活动目标、风险识别标准、风险应对措施等。其中,财务风险目标的设定应将财务信息真实性、财政资金有效性、财务活动合法性、国有资产安全性、行政审批合法性、数据统计真实性等纳入其中,以实现对内部控制风险全面、科学的评估[4]。其次,在内部控制风险识别过程中,需站在财务风险、业务风险两个角度实施风险识别工作,其中,财务风险识别应考察资产安全风险、财务审批风险、资金短缺风险、专项资产被占有等风险元素,而业务风险识别工作需分析行政审批风险、执法稽查风险、安全监管风险、风险等,最终通过对风险的识别,提出行政事业单位风险问题,然后,结合风险特点,确定风险处理预案,灵活运用风险规避、风险分担、风险承受等风险管理工具,将风险降至最低。
四、结论
综上所述,在行政事业单位内部管理中,传统内部控制手段已经无法满足发展需求,因而,在COSO框架指导下,应不断完善控制环境、控制活动、风险评估和监督等工作事项,即从完善风险评估环节、强调外部审计监督与内部审计相结合、加强内部控制制度构建等层面入手,应对内部控制工作中存在的问题,在营造良好的内控环境的基础上,有效降低财务风险和业务风险,提供高质量的公共服务产品。
参考文献:
[1]马丹丹.基于COSO报告框架的行政事业单位内部控制改进探析[J].现代经济信息,2010,30(24):183-184.
[2]唐大鹏,吉津海,支博.行政事业单位内部控制评价:模式选择与指标构建[J].会计研究,2015,11(01):68-75+97.
内部控制风险识别范文第3篇
关键词:地方高校内部控制风险管理
一、我国地方高校内部控制现状
2012年11月,财政部正式《行政事业单位内部控制规范(试行)》,并要求在2014年1月1日起在我国行政事业单位范围内(包括地方高校)全面实施。该《规范》的出台对促进地方高校加强和规范内部控制、遏制腐败现象、提高资金使用效率等方面发挥了重要作用。近几年,我国地方高校内部控制的理论研究,虽然取得了一些进展,但是仍然没有建立完整的理论体系,严重制约着地方高校内部控制实施的效果。2018年2月8日,广东省教育厅下发《广东省教育厅关于开展2017年度行政事业单位内部控制报告编制工作的通知》(粤教财函〔2018〕14号),要求全省各地方高校做好内部控制报告编制工作。2018年5月31日,广东省教育厅又专门下发《广东省教育厅关于开展行政事业单位内部控制建立与实施情况考核验收的通知》(粤教财函〔2018〕76号),就全省各地方高校内部控制建设与实施情况提出工作要求。随着行政事业单位内部控制工作的不断深入和开展,我国地方高校根据通知的精神和要求,对学校内部控制情况进行评估和报告,并借此机会进一步推进地方高校内部控制的建设和实施。按照通知的精神和要求,大部分地方高校都建立了内部控制的组织结构,制定了工作计划,明确了内部控制建设的步骤,细化了各部门的任务,以确保内部控制工作在地方高校有序开展。经过近几年的努力,地方高校内部控制建设取得了初步成效,但仍存在着一些问题需要去解决。
(一)地方高校内部控制建设仅仅是形式
在内部控制建设与实施过程中,一些地方高校对内部控制重视不够,风险意识薄弱,对内部控制建设持应付的心态。简单汇总现有制度和工作流程作为内部控制制度,导致内部控制制度不完善、风险点控制不全面、评价体系不合理。虽然地方高校已制定了一些内部控制制度,但只重制度建设不重贯彻落实,内部控制建设仅仅是形式。
(二)地方高校内部控制建设也不尽相同
在地方高校内部控制建设过程中,由于缺乏统一的内部控制框架,各地方高校对内控的重视和理解不同,并且在具体人员的专业素质上存在差异,内部控制建设的视角总是局限于单个工作任务、当前工作任务上,缺乏系统性和前瞻性的思考,因此,地方高校内部控制建设也不尽相同。
(三)地方高校内部控制建设的碎片化
根据内部控制的基本规范,地方高校已建立内部控制领导小组、内部控制工作组和内部控制评价和监督部门,以确保内部控制的建立、实施和评价。然而,大多数地方高校没有建立独立的机构来实施内部控制的建设和实施。相反,内部控制制度建设工作组由学校有关部门组成,其中一个部门被指定为主导部门。其弊端在于以部门为主导的内部控制体系建设,由于业务和能力的限制,难以全面承担建立内部控制体系框架的任务。在这种情况下,内部控制体系的构建往往是由各部门自行设计,然后进行简单总结,容易导致内部控制体系实施的碎片化。
(四)地方高校内部控制缺乏风险管理
在内部控制的建设,一些地方高校经常将内部控制建设局限于规范、指引中规定的经济业务或活动范围,有规定的就做,不做不符合规定的,缺乏积极主动的风险管理意识。
二、我国地方高校内部控制与风险管理
在发展的过程中,地方高校将面临各种风险。如何及时识别和分析与内部控制目标实现的风险,合理确定风险应对策略,是实施内部控制的关键。内部控制的有效实施有赖于风险管理的技术方法,没有内部控制的支持,风险管理就会形式化。内部控制的目标是防范和控制风险,促进地方高校实现发展目标。风险管理的目标也是促进地方高校实现发展目标。两者都需要在可接受的范围内进行风险控制。因此,内部控制与风险管理的两个要素不是对立的,而是协调统一的。
(一)内部控制与风险管理的关系
2004年,经过各国的讨论和调查,美国反虚假财务报告委员会颁布了《企业风险管理—整体框架》。在此基础上,建立了风险管理的基本框架。自此,内部控制已成为企业管理中不可缺少的组成部分。地方高校内部控制与风险管理审计的主要目的是评价内部控制的有效性和风险管理过程的效果,帮助地方高校实现高效、科学的办学目标。企业管理的核心是从内部控制体系向风险管理的转变。风险管理是建立在内部控制的基础上的,内部控制是整个风险管理框架中不可缺少的环节。两者的相互依赖促进了中国风险管理的持续发展。1.内部控制是风险管理的必要环节。风险管理在美国反虚假财务报告委员会颁布的《企业风险管理总体框架》中有明确的定义。提出风险管理是由董事会、管理层和员工共同参与的,可应用于企业管理的各个层次和部门,用来对潜在的风险隐患进行早期识别与预防,及时提供合理的应急预案和解决办法,确保企业平稳运行。风险管理框架由内部环境、目标设定、风险识别、风险评估、活动控制、信息传递等环节组成。这些环节也包含了内部控制的基本概念。因此,可以说,内部控制仅作为管理的基本功能而存在,而风险管理则涵盖管理的全过程。2.内部控制是风险管理的重要手段。地方高校各类经济业务活动存在着不同的风险。地方高校应尽早识别这些风险,对其进行评价和分析,并尽快提出对策和解决办法。风险识别是风险管理的第一步,即识别和识别实施过程中可能遇到的所有潜在风险因素和来源,对它们之间的特征进行分类和判断,识别风险的性质。在风险管理过程中,风险信息的获取是最重要的前提。如果我们不能收集全面有效的风险信息,那么下一个环节就不能顺利进行。内部控制是一种嵌入的管理模式,可以为风险信息的获取提供极大的帮助。可以看出,内部控制作为风险管理的重要手段而存在。
(二)内部控制与风险管理相结合的意义
随着我国地方高校的迅速发展,地方高校的融资方式和办学形式多样化,地方高校的各种经济业务和活动日益增多,各方面的风险也随之增大。与传统的管理模式相比,地方高校的发展不再受计划经济体制的影响。在市场经济条件下,地方高校不仅从事教学和科研活动,而且开展外商投资、基本建设、校办企业等各种经济活动。因此,他们面临着各种各样的风险。结合我国内部控制的基本规范,风险管理已成为内部控制的重要出发点和管理要素。加强内部控制有助于进一步提高地方高校防范、评估和化解风险的能力,从而促进地方高校的健康发展。内部控制与风险管理相结合,促进了地方高校内部控制的发展。内部控制作为地方高校管理的重要组成部分,越来越受到重视。内部控制与风险管理相结合,有助于通过地方高校的业务流程进行风险管理,对内部控制各个风险关键点加以控制,实现地方高校的全面风险管理,从而促进地方高校风险管理。
(三)完善内部控制和风险管理的措施和建议
1.树立内部控制和风险管理观念。地方高校内部控制的有效性在很大程度上取决于地方高校管理者对内部控制和风险管理的态度。随着我国经济的快速发展,地方高校的融资投资活动日益增多,经济活动类型多样,各种风险明显增加。因此,地方高校管理者应首先树立内部控制意识和风险管理意识,强化责任意识,根据地方高校不同的经济活动和业务情况,建立风险管理和风险应对机制。理顺业务控制流程,加强关键风险点的控制,加强风险预警,确保内部控制制度的实现。同时,要加强地方高校工作人员的风险意识,充分认识内部控制的重要性,积极配合内部控制制度建设,实施地方高校内部控制制度。2.建立健全风险评估机制。地方高校应将内部控制与风险管理相结合,建立风险评估机制,加强风险识别、预测和分析,评估风险发生的可能性和风险影响的大小。地方高校应分层次分解风险评估工作,以各部门、管理岗位为主体,对内部控制和风险评估进行评估和考核,实施内部控制和风险评估管理。地方高校内部控制与风险管理不应局限于财务部门,而应从教学、科研、基础设施、资产、招投标等方面入手。同时,要加强地方高校财务会计基础工作,严格执行不相容职务的分离,建立科学的资本支出审批程序,明确会计责任,科学分工,不断加强各部门风险管理,强化内部控制效果。3.完善内部监督体系。地方高校应完善内部监督机制,充分发挥内部监督的作用,改善信息不对称导致的内部监督不足的现状。地方高校应充分发挥内部审计的监督作用,提高内部审计的独立性,明确内部审计机构的定位,不断提高内部审计人员的业务素质。地方高校应完善内部审计制度,及时发现内部控制制度的缺陷,分析和评价内部控制的实施情况,提出整改建议,降低面临的风险。地方高校应不断完善相关的激励约束机制,特别是对内部控制不充分、绩效不佳的部门和人员,要加大处罚力度,提高违法行为的成本,调查有关部门和人员在内部审计过程中发现的相关问题,加强内部责任,从而达到强化内部控制执行和风险管理的目标。
内部控制风险识别范文第4篇
[关键词]中储粮;内部控制;风险识别;风险应对
[DOI]1013939/jcnkizgsc201623110
1公司简介
中国储备粮管理总公司(简称中储粮总公司)是经国务院批准组建的涉及国家安全和国民经济命脉的国有大型重要骨干企业。中储粮总公司成立于2000年,注册资本1668亿元,实行董事长负责制,董事长为公司法定代表人。截至2015年年底,企业总户数972户,其中:直属库344户,拥有职工44289人,总资产达11263亿元,营业收入为1543亿元,累计购销粮食27192万吨,累计购销油脂571万吨。
2内部控制风险识别
风险指未来的不确定性对中储粮实现其经营目标的影响。内部控制风险,就是指影响内部控制功效发挥和目标实现或导致内部控制失效的不确定性,一个企业要发挥内部控制功效,就必须从控制和防范内部控制风险开始。
风险识别,则是指中储粮及时发现、分析经营活动中与实现内部控制目标相关的风险。由于储粮行业的高风险特征,中储粮应充分识别、评估、防范及应对经营和管理中的风险,针对各种风险建立确认风险应对措施的程序和方法,对具有较高发生概率、影响重大的风险优先考虑,建立一套广泛适应的风险决策判断标准。
2.1目标设定
目标设定是风险评估的前提,设立目标是风险评估过程中重要的组成部分,企业在进行风险确认评估与控制之前,目标就必须已经存在。只有先确立了目标,管理层才能针对目标确定风险并采取必要的行动来评估风险。尽管目标的设定并非内部控制要素,但它却是内部控制得以实施的先决条件。粮库风险管理首先要确定目标,只有先确立了目标,管理层才能针对目标确定风险并采取必要的行动来管理风险。
2.2风险识别方法
风险识别的方法有很多种,结合中储粮公司实际情况,粮库风险识别应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等;定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析和财务分析法等。有效的风险识别应当形成一个风险数据库,列明粮库面临的各种主要风险,为确保所有主要活动及其风险都被囊括进来粮库的风险识别应当以一种系统方法来进行,并进行有效的分类。
3内部控制面临的主要风险
3.1战略风险
战略风险是指不确定因素对中储粮实现战略发展目标和实施发展规划产生的影响。为减少这些影响,中储粮要结合市场情况保持其核心竞争优势,选择合适的产品组合,抓住发展机会,从宏观战略上规避面临的风险。2015年中储粮总公司《全面风险管理报告》中提到产生战略风险的原因,即总公司是以政策性业务为主的企业,目前处于发展期,投资需求和投资规模较大,产业政策调整、行业发展趋势、投资资金来源和投资决策程序等,都将影响整体战略决策的科学性和合理性。
3.2市场风险
市场风险,即市场经营风险,指未来市场价格的不确定性对企业实现其既定目标的影响。这些市场因素可能直接对企业产生影响,也可能是通过对其竞争者、供应商或者消费者间接对企业产生影响。近几年市场上粮油价格大起大落,市场走势不确定性增加,影响价格因素增加,价格的形成机制也越来越复杂,市场经营决策面临的风险加大。中储粮面临的市场风险主要包括市场粮食价格大幅波动的风险、新产粮源不足的风险、客户和供应商信用风险、利率和汇率风险、其他粮企的竞争风险等。其中,价格波动、客户和供应商信用等风险是中储粮重点应对的领域。
3.3运营风险
运营风险是指供应链的管理、资源的合理调配、关键人员的流动、法律法规、监督检查等涉及公司运营方面的不确定性对公司运营目标产生的影响因素。中储粮系统面对的运营风险主要包括:社会舆情风险、信息系统安全风险、人力资源风险、粮油监控风险、健康安全环保风险、保密风险等。
3.4法律风险
法律风险指不同国家或地区法律法规环境的差异性、具体法律法规的重新制定和变更给企业带来的影响。中储粮系统随着业务的扩大和延伸,主要面临以下法律风险:一是合规法律风险;二是合同风险;三是投资法律风险;四是法律纠纷败诉风险;五是知识产权风险。
3.5财务风险
财务风险是指公司财务结构不合理、融资不当使公司可能丧失偿债能力而导致投资者预期收益下降的风险,如利率和汇率的变动、库存商品或轮换粮油价格波动、信用政策等不确定因素对企业现金流的影响,以及公司在理财方面的行为对企业财务目标的影响。主要包括:资金风险、税务风险和信用管理风险。
3.6政策风险
政策风险指由于国家政策的变化给中储粮带来的风险。政策风险主要包括反向性政策风险和突变性政策风险。反向性政策风险是指市场在一定时期内,由于政策的导向与企业内在发展方向不一致而产生的风险。当企业运行状况与国家调整政策不相容时,就会加大这种风险;突变性政策风险是指由于管理层政策口径发生突然变化而给储粮企业造成的风险。中储粮面临的政策风险主要包括:两个确保风险、政策执行风险、政策变动风险、中央投资建库投资安全风险等。
4内部控制风险的应对方案
风险应对是中储粮针对风险发生的原因、风险重要性水平,考虑风险之间的关系并把握机遇,运用风险组合观,选择风险应对方案的过程,从而实现对风险的有效控制。在评估了相关风险之后,管理层确定如何应对风险,制定风险应对方案。风险应对方案主要包括四类:①回避风险――退出产生风险的各种活动;②减少风险――采取行动减少风险的可能性或影响。实施内部控制就是减少风险的有效方法;③分担风险――通过将风险转移或者分担部分风险来减少风险的可能性和影响;④接受风险――不采取任何行动去影响风险的可能性或影响。
在考虑作出风险应对的过程中,管理层需考虑风险产生的可能性,应对的成本和收益等,选择恰当的风险应对方案并评估各种方案产生的影响。
中储粮应建立并完善强有力的内部控制措施,加强现有的内部控制,充分评估以上六个方面的风险,从而更好地应对风险、减少风险的损失。一般情况下,对于战略、财务、运营等风险,可采取回避风险、减少风险、接受风险等方法;对于能够通过保险、期货、对冲等手段减少风险的,可以采用风险转移等方法。
参考文献:
[1]赵幸福,杨忠诚,白石.粮食流通企业风险管控研究(一)[J].黑龙江粮食,2011(6):30-33.
内部控制风险识别范文第5篇
(一)国外主要观点 为当前比较流行的三种主要的国外观点,如表1所示。
(二)国内主要观点 国内学术界、实务界对内部控制与风险管理二者关系的探讨随着市场环境的变化不断深入。宋常、丁卫从边界与内涵、框架与内容、技术与方法三个方面分析了风险管理与内部控制的区别;丁友刚、胡兴国从经济环境与组织目标的变化出发,探讨了内部控制和风险管理的关系,指出内部控制由单纯的实物风险控制发展为报告风险控制、经营风险控制及合规性风险控制,最后与企业综合风险管理相融合,伴随着组织目标和经济环境的变化而不断改变。谢志华对内部控制、公司治理和风险管理发展过程进行分析,提出风险控制是内部控制的发展主线,内部控制、公司治理、风险管理融合在企业管理的整体框架中。风险管理是内部控制的本质,企业发展的不同阶段因为风险的不同而表现出不同形态的内部控制理论。
二、风险管理与内部控制的发展
(一)内部控制发展初始阶段 20世纪40年代以前,完整的内部控制体系尚未形成,企业对如何通过建立内部管理机制规避内部操作风险的认识较为模糊,惯用的做法是设计并执行与财务相关的不相容职责分离。如审批权与执行权的分离、实务管理与账务管理分离、保管与记录分离等。在设计不相容职责阶段,首先要对企业与财务相关的业务进行全面了解,对不相容职责进行充分识别,在此基础上设计易于理解的职责分离文件,并在企业内部进行充分宣导与执行。当然,职责分离往往附带一系列保障措施,如信息系统口令、定期轮岗、各类账目的定期核对等。
(二)整体内部控制阶段 内部控制制度阶段是内部控制逐步完善的阶段,这一阶段由20世纪40年代持续至90年代。1992年,由美国反对虚假财务报告委员会(NCFR)发起的COSO委员会提出了《内部控制—整体架构》报告。此报告将内部控制定义为一个会受公司董事会、管理层和其它员工影响的过程,旨在为内部控制的三大目标——经营目标、报告目标、合规目标提供合理保证,报告内容涉及到控制环境、风险评估、控制活动、信息与沟通与监督五个方面。控制环境是企业的内控意识,是“来自高层的声音”,主要包括诚信与道德观、管理理念与经营作风、组织架构、职责和职权的分配、员工个人胜任工作能力、董事会与审计委员会、人力资源规划和实施等;风险评估是对内部、外部影响企业绩效因素的评估,包含目标设定与沟通、风险识别及评估、风险应变措施等;控制活动是确保风险管理活动被及时执行的政策和流程,以及关键领域的内部控制;信息与沟通包含内外部信息沟通渠道的建立、信息系统的决策支持、信息系统的开发和维护等;监控是为了判定内部控制设计的充分性和执行的有效性,包括定期评估内控体系、缺陷报告与解决等。
(三)风险导向内部控制阶段 企业所面临的环境动荡不安,而内部控制的建立需要兼顾成本效益原则。在整体内部控制的基础上,为了更有效的利用企业资源以抵御各类内外部风险,“风险导向内部控制”的理念逐步形成。风险导向内部控制,是以风险识别和评估为基础,管理风险,继而分析、设计和实施内部控制的过程,旨在降低风险以实现企业的既定目标。风险导向的内部控制要求董事会与管理层将主要精力放在可能产生重大风险的环节上,而不是关注企业管理的所有细小环节。其思想的精髓如下:任何公司都是流程的集合,根据风险评估加以引导并从流程视角看问题,可以有效促进部门之间的沟通;流程是若干控制活动的集合,即能够满足某些控制目标的作业即为“控制活动”;基于成本效益原则以及所防范风险的高低,管理层确定“关键控制活动”并进行测试;内控体系的完善即保证控制活动实现内控目标的完整性和有效性,包括控制设计和执行的完整和有效。
(四)全面风险管理阶段 2004年至今,不同国家监管机构/标准委员会纷纷对风险管理进行了诠释。纵观国内外风险管理标准体系(包括美国COSO 、澳新标准- AS/NZS 4360、中央国资委-《中央企业全面风险管理指引》、ISO31000),均包含风险识别、风险评估、风险应对三个核心步骤。其中风险识别是管理基础,是通过全面、完整的梳理,确定风险事项,并完成风险清单/风险数据库;风险评估是资源配置,根据潜在风险产生影响的种类,参考国家相关规定和特定业务领域的实际情况,确定风险评估标准,包括风险发生的可能性评估标准和风险发生影响评估标准,再根据风险评估标准进行多纬度、多层次的评分,完成风险评估后各风险点按流程进行归类,基于固有风险和剩余风险评估结果,确定风险等级领域,直观的展现企业各业务流程的风险情况,以奠定资源配置的基础;风险应对是企业价值的保护和再创,合理配置资源,有针对性地、有计划性地解决风险问题。
内部控制风险识别范文第6篇
【关键词】风险导向 内部控制 体系构建
1. 基于风险导向的内部控制体系构建意义
1.1基于风险导向的内部控制是内部控制的发展趋势
内部控制的演进总体上经历了内部牵制、内部控制制度、内部控制结构、内部控制框架四个阶段,见图1。
从内部控制的发展趋势来看,内部控制的内容逐渐变得越来越广泛,逐渐由简单的“以职务分离、账户核对为主要内容”的内部牵制,发展到了“包含控制环境、风险评估、控制活动、信息与沟通、监督等要素”的内部控制框架;内部控制的预期实现的目标亦变得越来越远大,由原来的“保障资产安全,防止会计错弊”提升到了支撑战略目标实现的高度;内部控制的工作重点逐渐由控制转向了风险。这表明风险导向的内部控制是内部控制的发展趋势,我国企业应顺应趋势发展,建立风险导向的内部控制体系。
1.2建立风险导向的内部控制具有重要的现实意义
建立风险导向的内部控制能使企业有效应对复杂多变的外部环境和提高自身经营管理的水平。首先,外部环境是复杂且不断变化的,而企业管理者又往往难以预测到未来的全部事项,或即使预测到一些事项也不一定清楚地知晓它的具体情况,因此通常短期内难以控制事项的发展。建立风险预警的长效机制,强化风险管理和内部控制是推进企业适应外部环境,减少甚至消除外部环境对企业生存发展产生的不利影响的有效措施。其次,建立一个以风险为导向的动态的内部控制机制,还能有效提升企业的经营管理水平。通过将风险意识和风险管理理念深深嵌入内部控制的控制环境中,将风险识别、风险评估和风险应对的方法运用到内部控制活动中,实现内部控制中对未来不确定事项的积极预测和应对,形成企业“自我免疫机制”。
2. 风险导向的内部控制体系构建的目标和原则
2.1内部控制建设的目标
构建企业风险导向内部控制体系,首先需要明确企业风险导向内部控制的目标,进而识别企业生产经营过程中潜在的或现实的影响目标实现的各种风险,并评估风险程度,采取积极有效的控制措施,保证其目标的实现。
内部控制的最终目标是为了控制和管理企业所面临的一切风险,避免企业遭受损失,增加企业价值。将最终目标在企业内自上而下进行分解,可将其分为:战略目标、经营目标、报告目标和合规目标。内部控制的最终目标是风险导向的,那么细分出来的四大目标也应该是风险导向的。企业应努力规避战略目标制定、选择和实施过程中的风险;规范经营管理,查找日常业务活动中的弊端、堵塞日常管理活动中的漏洞,消除隐患,将经营风险控制在事先确定的风险偏好范围之内;采取财务会计系统控制、内部报告控制等相关系列的控制措施,确保企业对内、对外报告的可靠性,防止企业因报告不实而造成的决策失误风险;采取措施确保相关法律法规、行业行规、企业内部规则和政策在企业内得以遵守。
总而言之,在构建内部控制体系的过程中,应以风险管理理念为导向,重点对影响企业目标实现的关键性风险进行分析、确认和揭示,并通过各种手段进行管理从而降低风险。
2.2内部控制建设的原则
构建一个基于风险管理、健全有效的企业内部控制体系,应当遵循以下基本原则:(1)合法性原则。企业在建立或修订其内部控制体系时,一定要遵循国家的各项方针政策,符合有关法律的要求。(2)针对性原则。内控体系的建立与完善,应始终保持与国情、企业所属行业特征、企业发展阶段、企业生产经营特点等相结合,充分考虑当前企业内部控制存在的薄弱环节和主要风险所在。(3)目标性原则。企业构建的内部控制体系应与企业战略相适应,并有利于促进企业战略目标的实现。(4)系统性原则。内部控制体系的构建必须坚持系统性和整体性原则,充分考虑体系内各子系统之间的独立性和相关性,使各项控制要素、各业务循环和部门的子控制系统,构成一个有机的、协同作用的整体,要避免简单拼凑有关控制制度。(5)全方位、全过程、全员性原则。企业的内控体系应涵盖企业生产经营和管理的方方面面,涵盖控制的全过程和所有人员,进行人、财、物全方位的控制。(6)成本与效益、效率原则。在构建企业内控体系的过程中,必须保证因控制所耗费的成本小于因控制所获得的收益。(7)可操作性原则。构建企业内控体系应注重内部控制体系的可操作性。(8)前瞻性原则。企业内部控制体系不应局限于现有内容,应当具有适当的前瞻性,充分吸收国际上关于企业内部控制建设方面的成功经验,并随着企业发展和企业所处内外部环境的变化而不断发展和完善。
3. 风险导向的内部控制体系的构建
从我国的现状来看,企业的风险管理水平和内部控制水平还没有娴熟到可以将两者合二为一。因此,以风险为导向的企业内部控制,只是将风险管理的一些理念和方法运用到内部控制中,而不是将二者等同。内部控制体系的构建不是一蹴而就的事情,而是有着循序渐进的过程,其形成和完善都有着严密的逻辑程序。
3.1风险导向的内部控制体系的构建框架
风险导向的内部控制体系构建应在内部控制目标和内部控制原则的指导之下,从完善内控环境、建立健全风险评估管理体系、完善内控措施、加强信息沟通与交流、对内控进行监督评价以持续改进几个方面展开。风险导向型内部控制体系框架图见图2。
风险导向型内部控制是以风险为中心轴的风险控制。从确认潜在风险事项入手,将整体风险分解到不同层次,再区别剖析各层次风险的特点、进而有针对性地采取措施协调企业内部管理各个部门和环节,将内部控制建设为渗透于企业风险管控业务流程。
3.2风险导向的内部控制体系的构建步骤
总体来说,风险导向型内部控制体系建设可分为四个阶段:内控体系规划阶段、内控现状诊断阶段、内控体系构建阶段和内控效果评价阶段。
3.2.1内控体系规划阶段
内控体系规划阶段主要是对内控体系建设进行相关的计划工作和准备工作,其中设置内控体系构建工作的相关组织机构、在全公司上下进行内控宣传以引导员工积极配合内控工作的具体展开、获取管理层的支持是内控体系建设准备工作的关键。
要构建严密实用的现代企业内控体系,首先需要成立专门的组织机构或增设专门的岗位,培养风险管理相关的人才,组织专业的风险分析团队和内控体系设计人员,制定相应的工作流程。其次,舆论导向的宣传对于内控体系的建设也是十分必要的基础工作。在内控体系建立之初,内控部门应进行广泛的宣传教育,让所有员工都明白内控体系的构建与自己的工作及企业前途的关系,以确保内控体系的建设、推广和运营更加顺利。另外,获取管理层的支持亦是内控体系建设工作顺利开展的关键因素。
3.2.2内控现状诊断阶段
内控现状诊断阶段主要目的是通过对企业管理及内控体系现状的诊断和评价,揭示主要问题,确定内部控制体系建设的重点及目标。
对企业内控现状诊断的首要问题是明确企业是否建立了内控体系?若企业已经构建了内部控制体系,则要分析企业现有内控体系是否存在不完善的地方?不完善的地方是内部控制体系的设计不恰当,还是内部控制的运行缺乏效率?等等。诊断的内容包括企业内部环境、现有风险管理体系、业务流程控制措施、企业信息沟通机制、监督改进措施等,主要采用的方法包括问卷调查法、访谈法、制度审核、流程测试等等。
3.2.3内控体系构建阶段
内控体系构建的实施基于风险导向型内部控制体系框架,主要从完善内控环境、建立健全风险评估管理体系、完善内控措施、加强信息沟通与交流、对内控进行监督评价以持续改进几个方面构建完善的风险导向型内部控制体系。
完善企业内部控制环境。面面俱到的控制环境构成了一个单位的氛围。控制环境包括治理结构、组织结构、权利与责任的分配、员工胜任能力、管理理念和经营风格、人力资源政策与实践、诚信与道德价值观、反舞弊机制及信息系统等九部分内容。完善企业内部控制环境就是要完善以上九大控制环境内容。例如在人力资源政策与实践方面,通过加强员工的风险控制管理,实行有效的激励与约束机制,不断地对员工的守法意识和职业道德进行后续教育,将员工的守法情况、职业道德作为聘用、晋升、薪酬待遇的重要标准,对违反诚信的员工进行惩罚等。
建立健全风险评估管理体系。为了防范风险,应建立风险评估机制。风险评估机制的建立通过风险识别、风险因素分析与风险评价、风险应对策略、风险控制措施四步曲进行。首先根据企业经营管理特点,从公司层面和流程层面两个层面对企业存在的战略风险、财务风险、运营风险、市场风险、法律风险等进行识别,建立企业风险识别模型,在企业全体员工中规范风险语言、统一对风险认识和理解。其次对识别出的各类风险进行分类细化,找出各风险的关键影响因素,揭示风险发生的内外部原因、暴露状态、产生的不利后果等,并明确风险事项的关键责任单位、所属流程及现有制度建设情况。在此基础上,再从风险发生的可能性和风险发生对经营目标实现的影响程度进行评估,确定风险防范优先级别及管控重点。再次针对评估出的关键性风险作出回应,对比企业的风险容忍度,选择风险降低、风险消除、风险转移、风险保留等策略。最后再对企业风险控制措施进行设计。针对重大风险所涉及的各管理和业务流程,制定涵盖各个环节的全流程控制措施,对其他风险所涉及的业务流程,则将关键环节作为控制点,采取相应的控制措施。
完善内控措施。控制活动包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等,贯穿于整个企业内所有级别和职能部门,涉及到企业的人、财、物、产、供、销等各个方面,落实到企业的各业务和管理流程之中。实施有效的,全方位、全过程、全员控制活动,应该以风险防范和控制为出发点,结合风险评估结果,按照手工控制与自动控制、预防性控制与发现性控制相结合的原则,综合运用各类控制措施,将风险评估过程中识别出的风险控制在可承受范围之内,保证企业战略目标、经营目标、报告目标及合规目标的实现。
加强信息沟通与交流。为了实现信息的有效沟通,企业首先应加快信息化建设的脚步,加强信息化管理,利用互联网技术建立信息高速公路,提高企业各种信息传递速度、共享程度和透明度,为企业领导者提供正确的决策支持。其次,企业还应建立有效的信息与沟通机制,明确信息的收集、处理和传递程序,提升信息的精确度、及时性和可预测性,对信息进行动态管理,建立健全部门间、分子公司之间的信息共享和沟通机制;通过对信息的识别、掌握、加工和报告,及时应对行业、竞争对手、客户需求变化,保持信息与需求间的一致性,促进各项经营管理活动的有序有效进行,实现企业战略目标。
对内控进行监督评价以持续改进。根据监督的性质可以分为日常监督和专项监督。日常监督是对企业各层次、各环节组织日常活动进行全面系统地监督和控制,使内部控制随时适应新情况。通过监控风险的发展和变化,企业管理者不仅可以实时跟踪已识别的风险,关注产生的条件和导致的后果,衡量风险减缓计划需求,还可以根据风险变化及时调整应对措施,识别、分析遗留风险和新增风险,并采取适当的应对措施。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。企业应当根据风险评估结果以及日常监督的有效性等确定专项监督的范围和频率。
3.2.4内控体系评价阶段
企业应结合内部监督的情况,定期对内部控制的有效性进行自我评价,如内部环境是否处于恰当的状态,资本控制、风险控制、信息控制有无发挥有效作用。自我评价是指负责某一单位或职责的人员对控制活动本身的有效性进行评价,即各管理部门和人员定期或不定期地对各自执行内部控制制度情况进行检查,分析和评估其有效性及实施的效率效果,出具内部控制自我评价报告,以期更好的实现控制目标。
总结
作为衡量现代企业管理的内部控制,得控则强,失控则弱,无控则乱。随着经济的发展,我国企业应在内部控制目标和内部控制原则的指导之下,从完善内控环境、建立健全风险评估管理体系、完善内控措施、加强信息沟通与交流、对内控进行监督评价以持续改进几个方面循序渐进构建风险导向型内部控制体系,通过有效的风险管理将风险控制在企业可以容忍的水平之下,实现企业的可持续发展。
参考文献:
[1]黄真真.风险导向内部控制构建与实施的思考[J].内控与审计,2010,(12).
[2]杨有红.内部控制框架—构建与运行[M].杭州:浙江人民出版社,2001.
[3]丁银玲.出版企业风险导向内部控制研究[D].安徽大学,2011,4.
[4]王海燕.基于风险导向构建集团公司内部控制体系[J].科技与管理,2008,(3).
[5]李影.风险导向型内部控制体系构建[J].铜陵学院学报,2010,(4).
内部控制风险识别范文第7篇
1 风险管理层面上对内部控制的理解
对于内部控制,不同的行政和管理机构为其给出了各种定义。如COSO认为:内部控制是一个要靠组织的董事会成员、管理层和其他员工去实现的过程。实现这一过程是为了合理地保证经营的效果性和效率性、财务报告的可信性、对有关的法律和规章制度的遵循性。这一定义将内部控制作为一种动态的过程而不仅是静态的制度来阐述。内部控制不仅仅着眼于会计和财务报告,还针对经营活动的效率、效果和遵循法律法规,体现了现代意义上的全程和全面的控制理念。此外,我国在《企业内部控制基本规范》等文件中也对内部控制作为了规定。
在这些规定中,无论是将内部控制分解为五要素还是八要素,其中都将风险识别与评估作为其中一项重要内容进行了强调。在风险管理层面上,内部控制要求企业设立一个机制来识别、分析和管理影响既定目标实现的相关风险,并适时加以管理。
2 风险导向的应收账款内部控制的含义及其目标
从以上对内部控制的理解来看,风险导向的应收账款内部控制要求企业做好应收账款的事先预防、事中控制和事后监督等管理工作,以保证应收账款的合理占用水平和安全,尽可能减少坏账损失,降低企业经营风险。这种内部控制具有以下目标。
首先,加强对应收账款的管理,有利于保护企业财产的安全完整。应收账款内部控制对企业应收账款的管理和利用采取各种控制手段,防止和减少企业应收账款减值的情况发生,同时,对不同性质的应收账款制定差异性的风险管理措施。
其次,加强对应收账款的管理,可以最大限度地提高会计资料的正确性和可靠性。使企业经营管理者做出决策的必要条件就是通过正确可靠的会计数据了解过去、控制现在、预测未来,而应收账款内部控制系统正是通过制定和执行业务处理程序,科学地进行职责分工,使应收账款相关的会计资料在相互牵制的条件下产生,从而能够有效地防止错误和弊端的发生,以保证会计资料的正确性和可靠性。
第三,通过应收账款的严格管理,保证企业高效率经营。制定科学的应收账款内部控制制度,能够合理地对企业内部各个职能部门和人员进行分工控制、协调和考核,促使企业各级人员履行职责、明确目标,以保证企业的生产经营活动有序、高效地进行。
3 风险导向应收账款内部控制的程序
确立风险导向的应收账款内部控制,是一个系统的工作流程。这主要包括以下三个环节:风险导向应收账款内部控制制度的制定、风险导向应收账款内部控制的实施和风险导向应收账款内部控制的监督和评估。
3.1 风险导向应收账款内部控制制度的制定
构建健全的应收账款内部控制制度的主要原则是:必须遵循国家相关法律、法规及有关制度的规定,并将其要求体现到所制定的内部控制制度中。从制度结构来看,企业的应收账款内部控制体系应包括三个层次的内容。第一个层次是将相互牵制、相互制约的控制制度融入在企业应收账款产生、管理和收回的全过程中。第二个层次是设立专门的事后监督岗位,即除正常的财务监督外,应定期对应收账款的风险状况进行全面的、深入的检查。第三个层次是强化内部审计的作用,建立有效的以查为主的应收账款风险防范制度。
3.2 风险导向应收账款内部控制的实施
第一,评估和确定影响财务报表的应收账款风险。
风险评估是识别和分析影响目标实现的相关风险,为明确如何管理风险打下基础。具体包括下列方面:识别财务报表的目标、识别威胁目标实现的风险因素、识别和评估对公司有影响的舞弊、识别客户的信用情况、识别贸易合同的合理性和真实性等。应收账款风险评估的意义在于,组织中的管理层和其他人均应该了解影响财务报表目标实现的主要风险。
第二,提供应收账款风险控制的激励和约束机制。
风险的产生与控制与主体的行为模式有很大关系,企业管理层应考虑这些对应收账款有所影响的行为动机。典型的例子如,在一些企业中,公司一般是按照员工完成收入指标的完成情况进行绩效考核的,对收入指标完成的情况是主要的激励机制。这样,某些销售人员为了达成或超越自己的收入指标,忽略对客户质量的考虑,给不符合公司信用评估要求的客户发放商业信用,从而造成不良质量的应收账款产生。因此,公司如何为各级管理人员提供适当的激励和约束机制是很有必要的。
3.3 风险导向应收账款内部控制的监督和评估
这主要包括三个方面内容,一是建立经营管理部门的“控制自我评估”机制,二是强化企业财务部门的后台监督,三是加强内部审计。
首先,企业经营管理部门应不定期或定期地对企业的应收账款内部控制系统进行评估,评估企业内部控制的有效性及实施的效率、效果,以期能够更好地达成内部控制的目标。这是对企业内部控制设计和执行情况进行监督的第一道防线。
其次,财务部门的后台监督是化解企业应收账款内部控制设计和执行风险的第二道防线。一方面,财务部门应将企业的债权债务项目完整、全面地反映到账面上来。另一方面,财务人员还应针对财务报表中应收账款项目的帐龄、数额和性质进行分析,促使企业改进应收账款的管理。
第三,对应收账款进行内部控制的最后一道防线是企业内部审计,这实际上是一种对应收账款的“再监督”。在应收账款管理方面,内部审计通过稽查、评价应收账款的内部控制是否完善和企业内部各组织机构执行其职能的效率,并向企业最高管理层提出建议和报告。
4 结语
企业提高应收账款的管理水平,需要将风险意识贯穿整个内部控制过程。在应收账款发生、管理和回收的过程中,需要采取各种内控手段,加强对应收账款风险的识别、评估和处理工作力度。前台业务部门、后台财务管理部门和企业内部审计部门在应收账款的内部控制过程中都负有责任,同时,还需要制定针对性的应收账款风险管理制度并严格执行,才能将其风险因素控制在可接受水平。
参考文献
[1] 苏梦颖,李俊文.浅议企业内部控制——以应收账款内控为例[J].时代金融,2012(3).
内部控制风险识别范文第8篇
关键词:风险管理;审计计划
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)06-0-01
一、风险管理
风险管理自被提出以来,一直主要应用于金融领域。而企业的风险管理大范围受到重视仅近30年,其发展历程大致为:20世纪70年代,企业风险管理只是单一的信用风险管理;20世纪80年代,企业风险管理主要是针对投资风险和财务风险的分散和回避;进入20世纪90年代,企业越来越重视风险和风险管理,全面风险管理等被提出并付诸实践。1992年,COSO(Committee of Sponsoring organization)委员会了《内部控制――整体框架》,在此基础上,该委员会于2004年提出了《企业风险管理――整合框架》(企业风险管理简称ERM),认为企业风险管理是一个过程,由企业的董事会、管理层和其他人员共同参与实施,应用于企业战略制定和企业内部的各层次和部门,贯穿于企业之中;风险管理的目的在于识别可能对企业造成潜在影响的事项,并在风险偏好范围内管理风险,以将其限制在风险容忍度内,为企业实现目标提供保证。
ERM风险管理框架的要素“内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控”,实际就是对风险管理过程的诠译,在这八个要素中,事项识别、风险评估、控制活动及监控与内部审计有直接的关系。基于以上分析,得出风险管理的基本理念就是识别风险、评估风险和控制风险,这与近年来倡导的风险导向审计理念有共同之处。风险管理活动应该贯穿于内部审计工作的全过程,特别是年度审计计划的制定更应体现对企业风险的控制,将有限的审计资源重点投放到高风险的领域。
二、内部审计在风险管理中的作用
国际内部审计师协会(IIA)认为内部审计是一种独立、客观的确认和咨询活动,它通过应用系统、规范的方法,评价并改善组织的风险管理、控制和治理过程的有效性,帮助组织实现目标。显而易见,随着客观环境的发展,内部审计已将评价和改善组织的风险管理作为其重要职能之一,内部审计人员必须树立风险理念,将风险识别、评价和控制融入到实际工作中。按照COSO的ERM报告,在风险管理过程中,内部审计机构和人员的职责是应用一定的风险管理方法和审计方法,检查风险管理过程的充分性和有效性,评估风险是否得到有效控制,且以报告形式提出意见,为管理层及审计委员会提供帮助。
虽然COSO和IIA都强调了内部审计在风险管理中具有重要的地位和作用,但我们也发现,事实上无论IIA还是COSO都没有对内部审计如何具体参与企业风险管理作出相应的阐述。针对企业的风险管理的具体情况来看,内部审计参与风险管理是一个逐步发展的过程,在不同的阶段中,内部审计工作的侧重点各有不同。
企业未建立风险管理机制时,作为职能部门,内部审计应积极向管理层提出建立风险管理机制的建议。提请管理层关注风险。并且内部审计工作计划应该是在风险分析的基础上制定。如果企业管理层提出建立风险管理机制的要求,内部审计部门可以通过咨询服务的方式,积极协助企业风险管理过程的建立,内部审计人员可以运用对企业内部情况比较了解的优势和专业知识,从独立客观的角度为审计委员会和管理层提供有价值的咨询服务。内部审计可以通过指导管理层和相关业务部门对风险进行识别与评估,明确管理层的风险偏好和风险容忍度,并相应地做出风险应对等方式来协助管理层建立风险管理机制,促进企业的风险管理水平的提高。如果企业建立了风险管理机制,内部审计就可以将对风险管理的评价作为审计工作的内容之一,以检查、评价企业对风险管理的适当性和有效性。内部审计人员应当对风险识别过程、风险评估的方法、风险应对措施进行审查与评价,审查评价风险管理过程的充分性适当性和有效性,并对于风险管理过程存在的问题提出改进建议。
ERM将企业的内部审计人员推上非常重要的地位,认为内部审计人员可以通过对管理者风险管理过程的充分性、适当性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理层和董事会履行其职责。实际工作中,内部审计通常并不将企业的风险管理过程作为一个专门审计项目予以开展,其原因在于风险管理措施、手段与企业的内部控制整体不可分割,因此内部审计参与风险管理仍然体现在项目选择和项目实施中。其中项目选择更加突出体现风险管理理念,项目选择实质上就是年度审计计划的制定。可以说,将风险管理理念和方法融入内部审计年度审计计划的制定是科学合理的选择。
三、运用风险管理理念制定年度审计计划的基本原理及方法
《国际内部审计实务公告》第2010―2:“审计计划对风险和风险的暴露的关注”强调首席审计执行官应该制定以风险为基础的计划,以确定内部审计活动重点。具体方法是在风险评估和风险暴露优先次序的基础上安排审计工作。根据以上论述,我们认为如果企业已经建立起风险管理机制并开展了风险管理工作,则内部审计完全可以利用其成果,有针对性地选择审计重点;如果企业尚未建立风险管理机制,则内部审计可以按照风险管理的理念和思路开展风险识别、风险评估等工作,并以此为基础制定年度审计计划,确定审计重点。
风险识别是风险管理中的关键和难点,如何识别风险也是审计计划制定过程中的关键起点。这里我们充分利用传统的审计风险控制模型来和内部控制评价理论来确定风险识别的方法。传统审计风险模型认为,审计风险=固有风险×控制风险×检查风险,当审计师可接受的审计风险水平确定时,固有风险、控制风险与检查风险成反比例关系,也就是说当审计师识别了高固有风险和高控制风险领域,那么其检查风险就会降低。显然识别风险就是要识别固有风险和控制风险,但在实际操作中,固有风险与控制风险往往相伴相生,我们通常并不将其分开识别和评估。同时考虑到内部控制评价对企业业务流程的分解和评价与这里的风险识别和评估有着共同特点,因此我们可以参照内部控制评价方法细化流程中的控制环节,针对各个控制环节识别并评估固有风险和控制风险的高低,这将大大降低风险识别的盲目性。具体步骤是根据内部控制评价体系的基础资料,制定风险评估方案,进行风险识别、风险调查、风险专业判断、风险评估及报告和实际运用(制定审计计划),当然对固有风险和控制风险的评估结果并不是制定审计计划的唯一依据,通常还须结合审计资源等情况,综合考虑和权衡。
四、实际运用中需要注意的问题
1.在风险识别环节,根据经验和内部控制评价方法来选择风险环节的科学性,是否存在遗漏其他高风险环节,这方面需要在实践中不断完善。
2.在风险调查环节,风险管理是全员参与的过程,风险识别调查范围必须有一定的宽度,选择的调查点须具有代表性。另外,调查方式方法的选择及调查内容的设计,对调查的被接受性和调查结果的准确性必然产生很大的影响,因此调查的方式方法选择要避免走过场式的随意性,调查内容的设计要易于理解,不会让被调查者产生歧义。
3.在风险判断环节,如何把握风险测定的因素和标准的完整性准确性、专业判断的科学性,需要根据企业发展的实际情况不断完善。
综上所述,随着审计环境的变化,运用风险管理理念制定年度审计计划不仅是一种有益的尝试,更是的提高效率、合理化科学化的必然选择。风险管理理念的融入必将使内部审计年度计划的制定更加具有针对性,使内部审计部门能够更加合理地配置有限的审计资源,将审计工作重点转向高风险领域,从而使企业的内部控制达到事半功倍的效果,反过来也必将推动内部审计工作不断向科学化方向发展。
参考文献:
[1]朱荣恩,贺欣.内部控制框架的新发展―企业风险管理框架-COSO委员会新报告《企业风险管理框架》简介[J].审计研究,2003(6).
[2]高岩芳.ERM框架影响下的内部审计的新发展[J].内蒙古财经学院学报,2005(5).