企业内部控制与风险管理措施及策略范例

企业内部控制与风险管理措施及策略范例【导语】网友为您精心整理收集的“企业内部控制与风险管理措施及策略范例”精品文档，供您参考阅读，希望对您有所帮帮！喜欢就下载吧。一、企业内部控制概念及发展历程1.内部控制概念内部控制是将一系列具有控制功能的方法、程序、措施进行系统化和规范化后，以制度和流程形式形成的一个严密和比较完整的体系。企业内部控制是以防范和有效管控风险为目的，以一系列专业管理制度为基础，通过全方位梳理、识别关键控制点，以流程形式建立过程控制体系而形成的管理规范。在我国，企业内部控制的官方定义正式出现在财政部等五部委所发布的《企业内部控制基本规范》中，根据该项文件的指示，内部控制主要指的是由企业管理层以及企业员工通过内部控制手段实现控制目标的过程。而美国COSO对内部控制含义的界定与上述文件中的基本一致，不同处主要在于表述上的稍有差异，即将我国“旨在实现控制目标的过程”表述成了“提供合理保证的过程”。内部控制实质上是一种管理思路。要准确理解内部控制重点要关注以下几方面：一是内部控制是以一系列管理制度、规章为基础的；二是内部控制强调的是过程控制，主要是对企业或组织实体关键风险点控制的方法、流程、措施进行了系统化的规范和固化，形成管理规范，以达到对风险的管控；三是内部控制的目标是为了提高企业或组织实体的经营效率效果，可靠准确经营财务数据的获得和遵守法律法规的合规经营；四是内部控制须遵循全面性、重要性、制衡性、适应性和成本效益五大管理原则，并按照业务导向和管理简化原则进行水平提升；五是内部控制的主要内容包括企业内部控制环境、企业风险管理、活动控制、信息的收集与分析、内部监督的内容，不同类型的企业组成部门也有所不同，但内部控制均需要企业内部组织、各部门的协调、参与才能够保证内部控制工作顺利开展。2.内部控制发展历程内部控制有它自身的发展历程。上世纪40年代，在会计界首先提出了内部牵制的概念；到1949年，美国注册会计师协会AICPA的审计程序委员会（以下简称美国AICPA）下属的内部控制专门委员会通过组织多位学者共同研究，发表了对于指导内部控制工作具有重要作用的专题，即《内部控制，一种协调系统诸要素及其对管理部门和独立注册会计师的重要性》，世界范围内对内部控制出现了第一次官方解释。1958年，美国AICPA发布了29号《审计程序公告》，该报告中将内部控制工作内容进行了分类，即分为会计控制与管理控制，初步搭建了内部控制工作的体系。还在1988年《审计准则公告》中明确提出了“内部控制结构”的概念。直到1992年美国COSO委员会才完整提出内部控制整合架构。2002年7月，由于安然事件和世通舞弊案的影响，美国国会通过萨班斯法案（Sarbanes-Oxley法案），规定了上市公司必须做好内部控制管理工作，在进行上市审查时内控体系也成为一项必要且关键的审查内容，随后世界范围内纷纷效仿这一制度规定，加强对上市公司的内控制度考查，增加信息披露的规范与要求。在我国，2008年6月财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，该文件的发布成为指导我国企业开展内控工作的基本依据，被广泛推行。文件内容包括总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则共七个章节的内容。二、企业风险管理概念及发展历程1.全面风险管理概念企业通过经营性活动赚取经济利益，任何交易都存在不同程度、不同类型的风险，对企业实现发展目标都具有影响。我们称之为风险。当然，风险有纯粹性和机会性，它有可能给企业带来损失，也有可能为企业带来盈利等机会。纯粹风险指的是只可能带来损失的风险类型，而同时可能带来损失也可能带来收益的风险叫做机会风险。当企业经营中面临市场准入放开、鼓励产品创新、政策法律解禁、经营环境变化后，会大大增加企业经营的风险性，经营成效也随之变化和波动，企业在为降低风险而采取措施的决策过程中，对收益与成本进行权衡与匹配，风险管理工作的意义在于帮助企业预判可能存在的损失，从而进行规避，降低决策失误的可能，促进经济效益的提升。风险管理的含义为企业风控部门通过科学有效的方法进行风险的判断和预防。在对经营活动中的风险进行识别、评估、测算、计量、评价的基础上，对经营活动中可能遇到的风险实施精准、有效控制，以降低或转移风险可能引致的损失和负面影响，尽可能在最小的代价和成本基础上，实现最大成效和安全保障的过程。风险管理并不是要完全消灭风险，风险与机会同在，拒绝风险等于拒绝财富。风险管理的意义就在于如何精明承担风险，以最小可承受的风险来获取更高的收益。国务院国有资产监督管理委员会曾发布《中央企业全面风险管理指引》，对全面风险管理一词的含义进行了官方的解释，即全面风险管理指的是企业基于经营需要以及工作基本流程，建立科学的风险管理制度，在员工间形成良好的风险管理文化，从而在各个部门间形成完整的风险管理体系，主要内容包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，以上工作内容形成了全面完整的风险管理模板，从而为企业风险控制流程提供了制度前提。风险管理基本流程则包括风险信息的收集、分析、应对措施执行以及工作改进，另外还包括风险管理的监督和约束。美国COSO委员会2004发布《全面风险管理——总体框架》，对全面风险管理的含义解释为由董事会、股东会等管理层依据经营决策需要而对过程中存在的潜在风险进行识别与管理的过程，由此保证决策目标能够顺利实现。要准确把握并理解全面风险管理的概念，我们需要从以下几点去认识：一是全面风险管理是过程的管理，涉及到企业的多方面，包括了企业风险管理目标、战略的确定、风险偏好的选择、风险的收集统计、风险的评估评价、风险管理方式选择、风险管理方法执行、风险的预防以及如何进一步加强对风险管理工作的监督与改进，这一过程是风险转移、降低和控制风险的一系列程序，是风险与机会的选择；二是全面风险管理的工作是全员的参与；三是该定义表明风险管理并非要完全消灭风险，也不是为了减轻和降低风险而不惜一切代价，而是要尽量减轻、降低风险，使风险可以承受，精明地在所承担的风险上获取最高收益。其实企业经营中风险总是无法彻底消除，为企业经营目标实现我们所能做的也只能做出合理的保证，而不是做绝对保证。可见，现在风险管理在传统的风险管理基础上发展到今天，早已经有了天壤之别，更强调了全面的风险管理。传统风险管理关注焦点主要专注于纯粹和灾难性风险。管理手段往往比较单一，主要采用保险和风险减免的控制手段。在管理方式和目标上只是就单个风险实施管理，并不与企业的战略目标相联系。管理理念更是被动地将风险管理作为成本中心，不设专门的部门而是由多个职能部门来管理。而全面风险管理是从企业和经营组织的发展战略层面去考虑，全面集中管控企业和经营组织中所有可能面临的风险因素和类别，既包括战略风险、法律风险、声誉风险，也同时涵盖交易风险、财务风险、执行风险等内容，配备有独立的风险控制工作体系，设有专门的委员会或首席风险官、风险管理专门部门来管理，从理念上已经积极主动将风险管理作为创造价值的中心。在管理目标上全面风险管理更是紧密结合企业和经营组织发展战略，依据风险偏好寻求风险优化，同时运用现代金融保险功能和内部控制等多种方法、手段，以达到企业和经营组织经营目标效益的最大化，实现所有利益方的共赢。另外，我们也可从英文“Risk，风险”单词上来探讨风险管理概念的两种解读，也颇有意思。第一种理解：R：代表收益（Return）、I：代表免疫力（Immunization）、S：代表风险管理系统（System）、K：代表风险管理技术和知识（Knowledge），即通过培养专业人才，运用管理系统，形成风险管控体系，加强管理，提高免疫力，实现风险与收益的平衡。第二种理解：R：代表监管（Regulation）、I：代表信息（Information）、S：代表风险管理系统（System）、K：代表关键风险点（Keypoints），即通过对信息、数据的挖掘和分析，找出关键风险点，运用管理系统进行管理，并且注意要加强运营过程中的监管和约束。综上所述，目前想要进一步完善全面风险管理工作，其核心就体现在全面性上，在于管理的全员参与和管理全部业务、全业务过程和全风险类别，以及在风险应对上更加系统化和多样化。因此，全面风险管理，可理解为是指经营单位和组织的董事会、经营管理层及全体员工共同参与，对经营活动中可能面临的各类风险进行准确识别、审慎评估、动态监控、及时应对的全程管理。2.全面风险管理发展历程风险管理起源于美国。虽然人类认识风险的历史几乎与人类的文明一样久远，但人们对风险进行管理的认识和运用并不久远。直到1930年在美国管理协会发起的一项保险问题会议上，美国宾夕法尼亚大学的所罗门·许布纳博士在此背景下提出了风险管理的概念和构成要素。美国宾夕法尼亚大学沃顿商学院的施耐德教授于1955年进一步对风险管理的含义进行了深刻阐述，及1956年《哈佛商业评论》上风险管理文章的出现，这篇名为《风险管理——成本控制的新名词》的文章，至此风险管理真正开始切入企业的管理，进入人们的视线。澳大利亚和新西兰于1995年共同制定了世界范围内第一个国家风险管理标准AS/NZS4360，该标准明确定义了风险管理的标准程序。随着人们对风险管理认识的不断深化、风险计量技术的不断进步，伴随各种风险的发生、反思与应对，2004年以美国COSO委员会发布《全面风险管理——整合框架》为起点标志，全面风险管理标准体系第一次正式建立，并被广泛采用，风险管理真正意义上正式步入到了全面风险管理阶段，并逐步完善与发展。特别是2008年世界金融危机的发生和带来的深远影响，以及巴塞尔协议的全面实施，全面风险管理首先在金融企业界全面推行，而后逐步延伸到其他工商企业，全面风险管理才更加深入人心并得以逐步深入。2006年国务院国有资产监督管理委员会发布了我国第一个全面风险管理指导性文件，即《中央企业全面风险管理指引》，这意味着我国自此拥有了指导企业开展全面风险管理工作的标志性规范，推动企业风控制度进入新的阶段，对于企业的现代化发展有着重要意义。三、企业内部控制和全面风险管理的关系分析当前理论界对于内部控制的范畴界定具有争议，例如部分学者认为内部控制包含了全面风险管理，一部分学者认为两者并不包含合并关系。也有人反过来认为，全面风险管理包含了内部控制。美国COSO委员会则认为两者联系紧密并正在融合。在我国，从相关部委对两者的重视态度上看，国资委更强调全面风险管理，财政部更强调内部控制。但我们在企业内部控制和全面风险管理的具体运用实践中，深切感受和认识到内部控制确实在全面风险管理过程中是完全必不可少的，是全面风险管理必要的组成部分及必须运用的管理手段和环节，所发挥的作用也是非常关键的。从二者管理目标和所依托的管理体系和相关制度、流程来讲，可以说全面风险管理是涵盖了内部控制的。而从目前国内外现代企业管理发展趋势和内部控制与全面风险管理自身完善发展中，看到二者也已交织和融合在一起，统一到了企业的全面风险管理体系中。1.内部控制和全面风险管理都因企业在经营发展中面临着各种风险的挑战和威胁而产生，他们有着一样存在的基础内部控制和全面风险管理产生都基于企业在经营过程中面临着诸多风险存在的客观性。内部控制的发展历程相较于全面风险管理而言更早，但是内部控制的理论和实务经验对于后续全面管理控制工作的开展具有重要的参考意义，全面风险管理可以认为是内部控制发展的升华版本。两者在企业的运用实施过程中，它们都会强调全员参与性，是由“企业董事会、管理层以及其他人员共同参与实施的”。另外，各职能和业务部门及各人员在内部控制或风险管理中都有相应明确的角色定位与职责分工，他们相互分工协作，相互独立牵制。2.内部控制的方案和流程在全面风险管理过程中具有重要意义，是全面风险取得有效成果的前提条件，只有采取科学合理的控制手段和方法才能控制到位内部控制工作顺利开展的前提是企业各部门对风险管理工作具备充分的积极性，并且把握流程中可能出现的各种风险类型，判断方案是否准确、执行手段