内控合规与风险管理范文1
【关键词】内部控制;风险管理
伴随实务界与理论界对内部控制与风险管理认识的不断加强,内部控制建设与发展已经提升到与风险管理相融合的新高度。在此背景下,企业内部控制与风险管理的要求更高,并需要不断改进与提升,是一个循环往复、永无止境的企业管理工作,将不断促进企业加强流程管控,增强风险防范能力,实现稳健持续发展。
一、企业内部控制与风险管理概述
企业内部控制与风险管理是相辅相成、互为促进的整体。其一致性主要表现在:一是企业内部控制以及风险管理的实现都需要各方的参与;二是两者都贯穿于企业的整个日常经营管理活动当中;三是两者的最终目的都是要实现企业的价值。由于内部控制主要规范内部管理流程,而风险可能涉及内部风险和外部风险,从这个意义上缴,企业内部控制属于风险管理。然而,内部控制的提升,将增强企业对外部风险的抵御能力,二者是互相促进的。企业的风险管理和企业的内部控制相比较起来,它是站在更高的战略层次上来分析问题的,比内部控制更加细化,能够更好地解决企业经营活动当中所出现的各种各样的风险问题。随着内部控制以及风险管理的不断健全和完善,二者之间必定会相互交叉且相互融合,最终相互统一。
二、企业内部控制与风险管理中存在的问题
1.内部控制与风险管理意识较弱
一是风险管理意识淡薄,片面追求发展速度,制定不切实际的目标或盲目扩展投资,使企业承受无谓的风险。二是把内部控制和风险管理看作一种静态的东西,认为仅仅是规章制度,如文件法规、技术规范和应用模型等。三是内部控制和风险管理的内涵有很多重合之处,单纯的将二者混为一谈,忽略了其对不同企业的不同效果。四是片面相信国外的内部控制和风险管理理念,忽略了将其与我国国情与企业实际情况结合,使得内部控制与风险管理水土不服。
2.内部控制和风险管理组织机制较弱
一是公司治理结构不规范,不能有效制衡管理层的强大权力,董事会没有或者不能负起监督管理层的责任。二是过分夸大内部控制和风险管理的作用,认为只要建立了内部控制和风险管理,企业的发展就是必然的。三是缺少对企业自身的特点、发展阶段、行业特性、技术条件、外部环境等情况的评估机制,使得内部控制与风险管理本末倒置。四是管控模式和组织结构设计不合理,无法有效控制企业风险,难以建立有效的内控和相互制衡的机制。五是缺乏系统的风险管理体制,没有将风险管理的手段和内控程序融入到管理与业务的制度与流程中。
3.内部控制与风险管理执行力度较弱
制度的关键在于执行,没有执行或执行力度不够,再先进的制度也不起作用。影响内部控制和风险管理执行力度的因素很多,其中,企业组织结构不合理、执行人员素质偏低、企业文化落后、资源配置不当是主要因素;制度本身的局限性及制度与制度之间的不协调性也给内部控制和风险管理的执行带来困难。内部控制针对的是“事”而不是“人”,是一种“非人格”的控制机制,其控制对象不限于受控方,施控方也是内部控制的控制对象。内部控制需要全员参与、平行参与和平等参与,这与我国传统的等级制、科层制是大不相同的。
三、企业提升内部控制与风险管理的改进措施
1.建立内部控制与风险管理相融合的管控文化
一是建立完善的内部控制组织框架,将高管层、中层、普通员工全部联动起来,将内部控制的理念贯穿入公司上下,并对公司主要风险点建立追踪机制,以承接各种风险。二是开展一系列教育活动,包括合规在线、合规课件、合规漫画等,进一步巩固基于风险管理的内控文化。三是在传统金融内控经验的基础上,结合自身业务特点走出一条适合企业自身发展的内控道路,鼓励内控与风险人员学习专业课程,系统地提升自身专业知识水平。
2.建立合法合规符合实际的内部控制与风险管理体系
在越来越明朗化的行业大环境下,内部控制与风险管理需要符合国家相关法律法规、行业监管办法以及公司内部规章制度,需要建设既合法合规又符合实际的内部控制与风险管理体系。一是从自身实践出发,建立和完善内控管理机构,并高度重视内控专业人才的培养。二是按照科学、精简、高效、透明、制衡的原则设立组织架构,设有内审、合规和法务等模块,并将治理层和管理层相隔离,避免职能交叉、缺失或权责过于集中。三是由内控部门制定一系列制度,有助于内控识别、评估和解决风险。
内控合规与风险管理范文2
所谓“风险智能”,是指能够以创新性思考为起点,并把危机应对转变成机遇,让领导者能够从一个更广泛、更相符及贯穿行业的角度来审视风险,并且指引领导者通过承担战略风险来实现增长。
中电投的风险管理工作是伴随着其不断加快产业结构和电源结构调整步伐、由单5电企业向综合能源集团转变的过程而发展的。
2008年,在中电投集团总部开展了风险管理和内部控制体系建设。通过风险评估找到了集团未来发展过程中应关注的主要业务风险和内部管控风险,并通过流程、制度梳理和内控的完善,已在集团总部初步搭建了以“风险为导向,以流程为纽带,以控制为手段,以制度为保障”的风险管控体系。当前,风险管控体系建设重点已转移到下属各板块子公司的深化建设阶段,从而确保一方面实现集团总部与下属各板块公司在流程和制度的有效衔接,另一方面进一步总结经验,为集团全面推动并落实风险管理和内控体系奠定基础。
全面落实
中电投是国务院批准成立的五大发电集团之一,是以电力、煤炭、铝业以及相关的煤化工、铁路港口为主营业务的综合能源企业,是国内五大电力集团公司中唯一具有核电开发和运营资质的电力集团,清洁能源比例达30%,居国内电力集团之首。产业集群和循环产业链基本形成,正在向综合能源集团战略转型。
中电投2002年底成立之初,资产质量差,节能减排任务重,人员负担重,需要在发展中解决问题。中电投集团不断提高对风险内控工作的认识水平,坚持合法合规经营,发展与管理并重,兼顾效益与风险,提前谋划风险内控工作。大力优化管控模式,改进内部监督方式,以适应企业发展需要,满足外部监管要求。先后进行了多项风险内控工作的探索。
1 重视策划,规划先行,明确预期。
自2006年起,中电投在所属境外上市公司(中国电力国际有限公司)规范建设风险内控体系,不断完善体系要素,规范开展风险内控评价监督工作。2007年,在总结经验基础上,着手规划风险内控中长期工作,编制了风险内控工作3年规划。2008年着力建没完善7大管理体系,把风险管理体系和监督体系作为整个管理体系的主要构成部分,提出“整体设计,分步实施,逐层推进,整合运行”的实施原则和“集中、分层、分类”的管理原则,规定了自上而下的实施路径。2010年,把完善风险内控体系作为集团管控模式调整的内容之一,并纳入集团“十二五”规划。
2 广泛宣传,强化培训,统一认识。
为了营造良好的风险内控氛围,统一认识,中电投大力开展宣传培训工作,将风险管理和内控纳入集团系统内企业领导人员、高级管理人员和党校培训内容;开展现场培训和指导,提高各级企业对风险管理文化的认同感;取得财政部、审计署、国资委的大力支持。
3 自上而下,由点到面,以评促建。
遵循自上而下、由点到面的策略,按照规划的实施路径,中电投依次在集团公司总部、5家试点单位、2家重点推广单位、所有二级单位开展风险内控体系建设工作;以内部力量为主,外部力量为辅,共同组建风险内控评价项目团队,开展风险内控评审,发现风险,提出建设性建议,取得高层领导和决策机构的认可;在此基础上,搭建风险内控体系,目前已完成总部、试点单位、重点推广单位和部分所属二级单位的首次风险内控评价和体系搭建工作。
4 提高定位,重视质量,夯实基础。
为扎实有序开展风险内控工作,中电投提高了风险内控监督组织机构层次与独立性。从公司治理高度出发,集团公司成立风险内控领导小组,进一步把风险内控监督机构纳入集团公司对标管理范围,所属单位都组建或明确风险内控的监督组织机构,成立了相应的专业委员会或领导小组;组织多批次风险内控知识培训和考试;针对如何规范开展风险内控评价监督,编制了《风险管理及内部控制制度》(以下简称《制度》)、《风险管理及内部控制标准》(以下简称《标准》),并持续完善,以提升其适用性和质量水平。
5 重视结果,纳入绩效,强化效用。
所属的中国电力国际有限公司(境外上市),已将风险内控评价监督结果纳入年度绩效考核,与领导人员薪酬和企业工资总额挂钩比重为10%~15%。整个公司的风险内控状况和风险内控监督机构地位,都得到显著改善。在总结示范企业经验基础上,《制度》明确规定,对所属单位实施风险内部评价,把评价结果纳入绩效考核体系。
收效显著
一 提高了风险内控意识,促进了思路转变。中电投开展宣传、培训、体系建设、评价监督等工作,提高了各级责任主体的风险内控意识,培育了统一的风险内控文化,促进了规范公司治理和经营管理思路的转变。很多所属企业认识到规范风险内控工作是提升企业管理水平的有效手段和重要工具,主动要求纳入重点推广单位行列,并积极落实相关资源配置,在开展体系建设阶段就收到了实效。
二 健全了风险内控体系,夯实了监督基础。从建立健全风险内控的组织机构、人才队伍、制度及标准、数据库这些基本要素开始,中电投构建了较为系统完善的风险内控体系,夯实了对风险内控评价监督的基础。较为独立的风险内控监督组织体系发挥了“第三道”防线作用,直接向专业委员会和决策机构汇报风险内控工作,风险评价结果作为审计导向,审计线索和整改不力问题作为风险内控评价内容,与第一道、第二道防线有机结合,双向互动,基本形成大监督格局,促进管理闭环,初步发挥了风险内控监督机构作用。
中电投实行风险内控岗位资格准入制,初步形成了熟悉财务、工程、生产、人力资源等专业多元化的人才队伍,也储备了风险内控评价监督人才队伍。
《制度》既贯彻了风险内控法规和准则要求,又结合了公司治理结构和管理现状,对规范实施风险内控作出了原则性规定,解决了工作职能定位问题,明确了职责、流程、评价监督以及与审计监督关系和考核等事项。
《标准》明确了风险内控的基础、框架性要求、对主要业务活动及流程的控制要求、评价办法4部分内容,综合考虑了企业治理和管理的设计完整性、企业治理和管理的流程遵循性、业绩目标风险、对风险发展趋势的预测4个方面的内容,构建了包括EVA指标在内的4级综合评价指标体系,并提出了较为适用的评价办法。
中电投将风险内控监督信息化建没纳入了ERP建设规划,目前,正在组织风险内控监督信息化试点工作,不断研究和总结风险内控监控信息系统的需求、功能、使用对象、与审计信息系统结合、与企业决策支持系统结合等问题。
三 落实了阶段成果运用,植入到管理
改进。
中电投及时把风险内控体系建设阶段性成果嵌入到管控优化和内部管理流程改进完善中。2008年在风险内控体系建设初期,就组织开展了对整个集团总部层面的风险内控评价,在评价基础上形成了一系列评价报告,经过集团总经理办公会审议并学习。2009年以来,集团又及时制定了《金融衍生品管理办法》、《项目后评价管理办法》、《境外投资项目风险管理办法》、《关联交易审计办法》、《期货套期保值管理办法》等;所属单位都依据风险内控体系建设和风险内控评价成果开展了大规模的制度与流程建设与优化工作;合理控制投资规模和投资节奏,加大向清洁能源产业、重点产业、重点区域、重点企业资源配置的力度,延缓部分核准项目建设,规避投资风险;完善了财务风险管理措施和产业集群内部财务管理体制,控制资产负债率,建立重大交易报告制度和重大事项集中管控制度,严格监管二级单位资金、投融资、担保、价格策略等重大财务事项,加强对金融衍生业务管理等措施,防范财务风险;完善并严格执行资产评估制度,防控重组并购风险。
四 转入了常规运转阶段,发挥了预期作用。
目前,中电投的风险内控体系建设工作基本结束,初步具备了正常开展风险内控评价工作的条件。2010年审计与内控监督部门围绕企业战略和中心工作,适时组织开展了针对核电建设项目、能源铝业综合产业集群、电力市场营销方面的风险内控评价项目;对核电建管模式、质量、安全、造价等及时提出了改进意见;对煤电铝循环产业的管控和期货业务管理做出风险分析,提出改进建议;对以政府计划管控为主的电力市场营销风险开展评价分析,提出在有限营销空间内提高发电效益的建议;所属单位结合自身工作,开展了风险内控评价项目,并以此为契机,完善风险内控体系,实施管理改进;及时向国资委编报年度风险管理报告,充分反映中电投集团面临的电力燃料、电价、水电移民等突出风险和内控能力,得到了国资委的理解和大力支持;积极配合审计署工作,向审计署报告中电投集团的风险内控状况。
体会与思考
3年来,中电投通过风险评估找到了集团未来发展过程中应关注的主要业务风险和内部管控风险,并通过流程、制度梳理和内控的完善,在集团总部已初步搭建了以“风险为导向,以流程为纽带,以控制为手段,以制度为保障”的风险管控体系。
1 风险内控体系内涵与定位
明确风险内控体系的内涵。风险内控体系是广义的,是企业整个管理体系,包括了风险内控监督体系。目前,处于稳健经营阶段的现代企业集团都倡导管控一体化,并不偏好采取激进和特殊的管控措施,实质上是扁平化、短流程、大授权、配套大监督的管控模式,较好地兼顾了效率与风险收益。风险内控监督体系就应该服务于短流程、大授权的管控模式,形成“第三道防线”,发挥风险导向作用,与“第二道防线”有机结合,构建层次分明的大监督体系,发挥内控监督作用,通过监督,体现增值服务功能,进一步提升“第一道防线”的作用,持续改善整个企业的风险内控水平,改善经营管理与发展质量。
正确清晰定位风险内控体系。风险内控体系贯穿于企业的方方面面,可以说是企业全员的风险内控,是一个企业全职能机构的风险内控,风险内控专职机构就应该定位于监督职能机构,与“第一道”防线职能定位完全不同,“运动员”与“裁判员”职能已经分离,监督机构就是要正确发挥风险导向作用,促进企业广义内控体系及时纠偏、完善,促使企业合规经营,合理兼顾效率与效果,保持企业稳健持续经营风格,让主要利益相关者放心。理论上看,“运动员”、“教练员”和“裁判员”职能都应该彻底分离,风险内控职能机构同时兼任“教练员”和“裁判员”很不妥当。它更应该像一个“评价者”,提出评价意见和建设性建议,激活企业内部管理活力,激发企业创新活力。至于与“第三道防线”如何融合,是否在机构上明确分离,并不重要,各企业应该结合自身实际。没有最优的管控模式,只有更适合的管控模式。
2 风险内控工作的正确切入
始于体系建设,匹配主要业务,正确切人。不同企业的发展阶段、产业结构、治理结构、内部管理模式差异很大,开展风险内控工作只有采取不同的切入点,才能起到事半功倍的效果。建议一是从风险内控体系建设入手,营造体系建设紧迫性,明确体系建设的意义,明确预期效果,尽快完善体系要素,为构建风险内控评价监督体系夯实基础。二是围绕公司治理、财务控制和主要业务控制三大主线开展评价监督工作。公司治理关乎决策机制;财务控制可以延伸到主要业务流程;主要业务在企业经营中起关键作用,是主要风险因素。围绕主线开展工作,实施难度大,但是有利于提高定位。
适应治理结构,针对公司类型,匹配模式。一是对经营管理层负责的风险内控监督体系,应以提升经营效率、健全管理体系、管理系统性风险、正确传递信息为主要目的,向总经理报告、解决问题的能力很重要,要有“教练员”的能力。二是对董事会负责的风险内控监督体系,应以提升资产质量、健全治理结构、财务报告真实性、科学决策为主要目的,向董事会报告,分析判断问题的能力很重要,要有“裁判员”的能力。三是上市企业。要以监管要求为基础,以财务报告完整、正确为重点,以满足外部合规的要求、财务报表的准确和完整为目的,以财务报表和财务相关流程为主要测试内容,基本模式化。四是处于成熟阶段的企业。应以提升内部管理能力、为业务提供增值服务为重,一氧,同时满足外部监管的要求;以提升管理、内部增值服务、决策支持能力为目的;要满足外部合规的要求、财务报表的准确和完整;在体系的建设和实施过程就要对业务提供增值服务,针对经营管理的各个环节,建立全面的风险内控标准,全面测试评价,及时发挥预期作用。
3 有效发挥风险内控监督作用的条件
决策层真正重视是关键条件。从公司治理的高度来定位风险内控工作非常关键。决策层重视是风险内控工作能扎实有效开展的关键,是确保良好内部环境和运行机制的关键,是风险内控评价成果得以有效运用和落实的保证。
强化配套的措施是必要条件。一是风险内控评价要与审计形成监督合力,形成企业风险管理的“第二道防线”和“第三道防线”有机结合机制;二是要坚持“上评下”或“上审下”模式,避免同级评价与审计;三是评价监督结果要与绩效考核挂钩。
确保机构独立性是重要条件。垂直集中管理的风险内控监管体系是集团管控一体化的主要内容和有效运行的组织保障,也是确保机构独立性的有效模式,但是,要解决好专职人员的上升空间,提高专职人员的积极性,稳定人才队伍。
链接
2010T半年,首届德勤中国企业风险智能榜评选活动在中国内地企业范围内开展。2011年1月18日,德勤公布首届中国企业“风险智能榜”评选结果并《中国企业风险管理白皮书》。该项评选活动由德勤中国和清华大学经济管理学院共同举办,旨在为中国企业提供一个高层次的风险管理工作交流平台,鼓励中国企业持续提升风险管理工作。
内控合规与风险管理范文3
关键词:内部控制;风险管理;萨班斯法案;COSO框架
一、内部控制的内涵、基本原则
1.内部控制的内涵、侧重点
(1)内部控制的内涵。内部控制是指企业的内部管理控制系统,包括为保证企业正常经营所采取的一系列必要的措施。内部控制贯穿于企业经营活动的各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。
(2)内部控制的侧重点。要加强企业内部控制,提高内部控制的水平,需从以下侧重点抓起。
①内部控制具有一定的目的性,为达到某种或某些目标而实施。
②内部控制是为达到某个或某些目标而进行的过程,且是一种动态的过程,是使企业的经营依循既定的目标前进的过程。它本身是一种手段而非一种目的。
③内部控制与企业经营活动相互交织,为企业基本的经营活动而存在。
④内部控制深受企业内部和外部环境的影响,环境影响企业控制目标的制定与实施。
⑤企业中的每一名员工既是控制的主体又是控制的客体,既对其所负责的作业实施控制,又受到他人的控制和监督。
⑥所有的内部控制都是针对“人”而设立和实施的,企业内部会形成一种控制精神和控制观念,直接影响到企业的控制效率和效果。
2.内部控制的基本原则
了解及坚持内部控制的基本原则,有利于企业组织内部加强内部控制、降低企业非系统风险,从而促进企业安全运行。内部控制的基本原则包括:
(1)内部控制应涵盖企业内部的各项经济业务、各个部门和各个岗位。
(2)内部控制应当符合国家有关法律法规和本企业的实际情况,任何部门和个人都不得拥有超越内部控制的权力。
(3)内部控制应当保证企业内部机构、岗位及其职责权限的合理设置和分工,坚持不相容职务相互分离,确保不同机构和岗位之间权责分明、相互制约、相互监督。
(4)内部控制应当正确处理成本与效益的关系,保证以合理的控制成本达到最佳的控制效果。
二、依托COSO理论构建内部控制整体框架
1.COSO理论框架内容
2003年7月,美国COSO委员根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft), 2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM),标志COSO委员会最新的内部控制研究成果面世。
COSO企业风险管理的定义 :“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。
2.构建内部控制整体框架
(1)企业风险管理的目标体系。新COSO报告将企业风险管理的目标归为战略目标、经营目标、报告目标、合规目标四类。战略目标,与企业的使命相一致,企业所有的经营管理活动必须长期有效的支持该使命;经营目标,与企业经营的效果与效率相关,包括业绩指标与盈利指标,旨在使企业能够有效及高效地使用资源;报告目标,该目标关注企业报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息;合规目标,是最基础的目标,指企业经营是否遵循相关的法律法规。
(2)企业风险管理的要素构成。在内部控制整合框架五个要素的基础上, COSO企业风险管理的构成要素增加到八个:①内部环境;②目标设定:③事项识别;④风险评估;⑤风险应对;⑥控制活动;⑦信息与沟通;⑧监控。八个要素相互关联,贯穿于企业风险管理的过程中。
(3)企业风险管理目标与要素的联系。目标是指一个主体力图实现什么,企业风险管理的构成要素则意味着需要什么来实现它们,二者之间有着直接的关系。此外,新COSO报告还强调在整个企业范围内实行风险管理。这种关系可以通过一个三维矩阵以立方体的形式表示出来。
3.COSO框架理论对中国的启示
(1)成立风险管理标准委员会,形成多元民主的制定机制。
(2)建立以风险为导向的“中国企业内部控制框架”,向构建“中国企业风险管理框架”自然过渡。
(3)各界根据风险管理框架,制定或修订各自的风险管理规范。如果“中国企业风险管理框架”能够及时推出,各部门、系统据其修订或制定相应的风险管理文件是解决问题的最理想方案。
三、萨班斯法案对我国内部控制的借鉴
1.我国内部控制现状
(1)企业内部控制环境急需建设。我国企业内部控制普遍存在一下问题:内部控制意识淡薄;人员素质较低;组织机构设置不合理;企业制度不健全;没有形成法制制约的大环境,还没有真正形成有法可依、执法必严、违法必究的大环境。
(2)控制不力。在我国企业中,财务与会计合署办公、会计人员素质较低、责权不对等、风险控制意识较弱、监督不强、信息交流不畅通等问题普遍存在,今后要特别注意开发与引进先进的企业财务与管理软件,逐步建立高质量的企业信息沟通系统。国内也有不少由于内部控制缺失导致经营风险的案例,比如亚细亚、中航油、中储棉、国储铜等事件,折射出了我国企业内部控制严重缺失,风险管理水平低下,监管缺位等管理上的弊端,给企业和国家造成了重大损失。
2.管理者责任
法案突出了内部管理者的法律责任,一旦出了问题,管理者不但要在经济上受到处罚,而且要追究刑事责任。建议我国也应界定管理当局的责任。管理层必须承担公司内部控制有效性的责任,并运用恰当的控制标准(如COSO标准)来评价公司内部控制的有效性,对形成的评估结果有足够的证据支持,同时签署一份关于公司内部控制有效性的书面申明。
3.建立管理者定期评价内部控制机制
(1)健全法律法规,对内部控制有效性进行强制性规定。近年来,财政部、证监会等国家监管部门陆续在2001年和2008年了我国《内部会计控制规范》、《企业内部控制基本规范》等相关法规,对于加强我国企业内部控制和风险管理起到了规范和指导作用。今后,还应在遵循以上法规和加强企业内部控制过程中,不断总结经验、分析教训产生的原因,学习其他国家相关法律法规的先进之处,逐步改进和健全我国加强内部控制和防范企业经营风险的法规体系,促进企业健康发展。
(2)制定科学规范的评价标准。由于缺乏一套完整的内部控制体系,造成内部控制有效性评价流于形式。因此,投入一定的人力、物力、财力,尽早建立一套完整的、公认的内部控制标准,使内部控制评价有章可循是必要的。
(3)统一内部控制规范的内容。目前我国理论与实务界没有对内部控制的内容形成一致的意见。我国内部控制的内容范围与COSO报告相比,还有相当的距离。有关内部控制规范的内容主要集中在会计领域,内部控制贯穿于整个生产经营全过程,企业的环境、文化理念、经营哲学等控制环境与风险因素都应纳入企业内部控制的范围来予以考虑。
四、企业风险管理理论基础及与内部控制的关系
1.企业风险管理理论基础
(1)战略管理理论。战略管理包含四个关键流程:战略分析;战略选择;现代企业风险管理框架研究战略实施;战略评价和调整。企业在实行战略管理的过程中,风险始终伴随其中,其成功实施需要风险管理的密切配合。两者是有机结合,相互交融的。
(2)系统论。系统论的观点和方法为我们建立风险管理系统结构提供了理论依据。风险管理由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个要素构成并相互影响的动态的过程,在企业的生产经营管理中发挥着重要作用,是一个系统,与其他系统一样具有整体性、联系性、层次性、目的性、环境适应性、动态性的特征。
2.企业风险管理与内部控制的关系
内部控制是风险管理的基础和本质要求,风险管理是内部控制的自然延伸与升华,二者现阶段是相互交叉融合的,只是在不同行业、不同时期、企业的不同层次,企业对内部控制和风险管理的强调各有侧重。
(1)行业本身特性。从事金融业的企业一般都非常强调风险管理的重要性,对风险管理的需求也就更迫切,因而以风险管理主导内部控制可能更方便。对于其它一般性制造企业等来说,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
(2)企业所处的生命周期。在初创期,企业高管层一般更加重视内部控制的强化。在成长期,企业面临的经营风险与市场风险也越来越大,以风险管理主导内部控制的管理模式可能更利于企业的发展。企业进入了成熟期,此时企业一般会努力健全组织体系与制度体系,在内部控制上会加大力度。在衰退期,企业的规模大但包袱沉重,内部控制成了企业高管层无法逃避的现实问题。
(3)企业内部不同层次。从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性各有不同。在战略风险方面,风险管理发挥主导作用,内部控制起到配合作用。到财务报告层次,内部控制发挥主导作用,风险管理起到配合作用,但随着市场条件的日益成熟,技术的不断进步,法律及监管实践的发展,内部控制必然走向风险管理。
五、美国纽约银行加强内部控制和风险管理结合的成功案例
美国纽约银行的风险管理与监控活动是由董事会及其下设的审计与检查委员会及风险委员会的授权开始。这两个委员会定期审查银行风险暴露情况、风险政策及风险管理活动,而风险政策主管除了负责日常监督及政策授权外,并与审计主管、合规主管共同维系风险管理结构的有效运作,已完成以下的阶段性目标:
1.确保银行风险经过适当辨识、监督、报告及评价。
2.阐明银行承受的风险种类与风险单位数,并传达至具体负责单位。
3.维持风险管理组织的独立性。
4.促进风险管理文化的健全和对风险调整绩效的重视。
美国纽约银行内控系统的设计用来巩固银行财务、业务环境、市场操作、法规遵循等的健全,并有内部稽核监督及测试其余财务报告系统整体的有效性;而银行风险的处理程序可确保政策能一致地被执行。银行独立的操作风险管理架构,建立在强健的风险管理文化之上,并分为以下三个层次:
(1)风险委员会:其任务包括对银行操作风险策略的监督及核准,该委员会并定期开会讨论关键风险一体机操作风险提案,同时也对风险管理系统的有效性提出审核。
(2)操作风险管理部门:负责发展风险政策及评估、监督、衡量风险的工具。此外,促进风险管理效率及创造改善风险管理控制功能的动机也是操作风险管理部门的重要任务。
(3)各级业务部门管理人员:负责维持业务内有效内控系统的正常运作,并维持银行风险布局与银行所订立的政策一致。
文献综述:
[1]财政部、证监会、审计署、银监会、保监会.《企业内部控制基本规范》,2008-6-28
[2]财政部.《内部会计控制规范――基本规范(试行)》,2001-6-22.
[3]财政部.《内部会计控制规范――货币资金(试行)》,2001-6-22.
[4]COSO.方红星 王宏译:企业风险管理整合框架「M.大连:东北财经大学出版社,2005.
内控合规与风险管理范文4
某基金管理公司,管理的资产规模上千亿元,曾多次获得“中国最受尊敬基金公司”及“最佳公司治理基金公司”等奖项。操作风险和合规风险是证券基金公司最为关注的重大风险,该公司通过一系列的内部运营流程标准化和风险管理的项目实施,已逐步建立了规范化业务流程与运营风险数据库。2010年,公司着手进行风险管理和内部审计平台的规划和建设,以加强公司内控管理,保障合规效率,提升公司内部控制标准化和系统化程度,切实提高公司的执行力,强化全员内控责任,进而提高风险管理水平。
公司传统风险管理工作的挑战
首先,各类风险缺乏统一管理。使用信息系统前,监察稽核部的各项风险的管理工作是由不同岗位的人员分别负责,各类风险的度量准则不同,几乎难以实现汇总。如果从公司层面及时、一目了然地查看各类风险不仅耗时长且难以实现。
其次,风险控制的跟踪和检查效率低。在系统上线前的传统风险管理工作中,监察稽核部各稽核员每天的主要精力都忙于各种控制检查工作的准备、协调和组织,反而导致检查工作本身质量下降、效率低下。
再次,信息披露的准确性亟待提升。由于基金公司的行业特性,信息披露的时效性、披露内容的准确性、披露对象措施等工作是重点监管内容,由于信息披露业务的复杂性,需要不同部门各岗位之间的无缝协作,才能按时保质地完成信息披露工作。一旦违规,将面临被整改、停售基金或是禁发新产品等风险。
此外,相关数据的统一性和一致性不足。上线前,公司的法规库,风险库,控制矩阵库,标准化业务流程(SOP)和信息披露规则等数据,分别由不同的人员负责管理。在内外部环境变化时,如何能够及时准确地保证各数据的统一和一致,就成为监察稽核部门的又一难题。
操作风险合规监管解决方案
以第一会达的内控和风险管理系统(ERMIS)为基础,结合该基金公司的特定需求,将法律法规、风险、流程、控制、评价、审计、反洗钱、信息披露、整改、事件、通知等信息进行整合,形成全面的基金行业合规监管系统(以下简称RAP系统)。
第一,构建风险控制三道防线协作联动的一体化管理平台。将风险管理的第一道防线前推至业务岗位,并通过业务岗位的控制自我评估,提高公司内部整体控制体系运营的效率和效果。监察稽核部风险管理岗位发挥风险管理第二道防线的作用,维护公司统一的风险数据库,协调管理并引导正确的风险管理行动。公司稽核岗位作为风险管理的第三道防线,通过独立、定期的风险驱动的内部控制评估,发现内部控制执行中的不足,并确保发现的内部控制缺陷得以及时和有效地整改。
第二,实现风险生命周期的系统化管理。RAP系统以单体风险档案为核心,通过风险识别、风险评估和风险应对,以及风险等级的动态更新,实现针对风险全生命周期的系统化管理。RAP系统实现了内部控制活动的自评结果与风险等级动态关联,体现内部控制体系对降低经营风险的有效性,并通过全局的风险视图,展现公司风险分布和风险状况的全貌,帮助管理者及时掌控风险实况。
第三,搭建持续、动态的业务流程管理、风险管理、内部控制管理运营平台。关联风险事件与风险,评估风险事件给公司造成的损失,将风险事件的评分关联至风险事件责任人,并在员工绩效评估的结果中体现。持续更新风险与控制矩阵,业务操作、内部控制、风险管理和合规几项工作相互联系,任何一个环节的改变,RAP均能够准确地反映到与之相关联的其他环节,提示各环节的责任人关注这些变化,并及时进行应对。
第四,实现有效的合规管理。在RAP系统中建立基金行业的法规库,将法规对信息披露的要求,转化为可操作、系统化的信息披露流程,并将信息披露流程纳入风险与控制矩阵。帮助管理者规范其所在岗位的业务操作和控制活动,将公司的合规要求落实为岗位的具体的控制活动,并通过控制活动的自我评估,反映公司对法规遵循的状况,实现有效的合规管理。
第五,实现信息披露流程的全程控制。将信息披露流程在系统中固化,按流程驱动整个信息披露过程,并且在每个节点触发提醒,及时提示相关工作,保证信息批露事项的完整性、及时性、准确性和合理性,避免漏报、误报和错报。实施效果
第一,实现100%合规保障,同时,公司风险控制矩阵(RCM)与标准化业务流程(SOP)融合并可根据外部法规变化、市场环境变化和内部管理调整等因素持续更新,将所有的风险控制与合规控制落地于公司各层级岗位。
内控合规与风险管理范文5
【关键词】 内部控制;公司治理;风险管理;“大”风险管理
自企业诞生之日起,舞弊、欺诈频频发生,起初人们认为是内部控制出了问题,制定了一系列内部控制规范和措施;但事实证明大部分公司经营失败不是权力制衡出现问题,而是由于公司治理中的决策机制存在问题、决策过程缺乏监督机制,无法及时纠正错误的决策(John Pound,1995),管理层有机会和能力凌驾于内部控制之上,因而,人们开始以公司治理作为突破点研究内部控制。此后,巴林银行倒闭、安然和世界通信等一系列的财务丑闻爆发,企业面临的风险因素日益复杂,对传统的内部控制理论提出了新的挑战。此时,理论界和实务界纷纷认为内部控制应与企业的风险管理相结合(Stephen J. Root,1998)。
当前,国内也是内部控制、公司治理、风险管理规范并存:内部控制的主要依据是财政部、证监会、审计署、银监会、保监会2008年联合的《企业内部控制基本规范》;公司治理的依据是证监会2001年颁布的《上市公司治理准则》;风险管理的依据则是国资委2006年出台的《中央企业全面风险管理指引》。近年来,国内财务舞弊、欺诈、内部人控制现象越发严重,理论上、实践上都急需对三者的关系有明确的界定。
一、内部控制、公司治理与风险管理的关系:研究回顾
关于内部控制、公司治理、风险管理之间的关系,学者们分别从经济学、管理学原理等方面进行了解释,其中,多数学者以内部控制与公司治理关系、内部控制与风险管理关系进行分析。《企业内部控制基本规范》前后,少数学者开始将三者的关系纳入研究范围。
关于内部控制与公司治理的关系主要有三种观点:一是环境控制论,认为内部控制与公司治理的关系是主体与环境的关系,如阎达五(2001)指出内部控制框架与公司治理机制是内部控制管理监控系统与制度环境的关系;二是嵌合论,李连华(2005)在对公司治理结构和内部控制的各种理论元素进行对比分析的基础上,将两者的关系描述为嵌合关系;三是内部控制是公司治理的基础,如杨雄胜(2005)认为,内部控制是实现公司治理的基础设施建设。
关于内部控制与风险管理的关系,目前代表性的观点有三种:一是认为风险管理包含内部控制,COSO《企业风险管理――整合框架》(2004)中明确指出,风险管理包含内部控制,企业风险管理比内部控制范围广得多;二是认为内部控制包含风险管理,加拿大COCO报告(1995)认为,风险评估与风险管理是控制的关键要素;三是认为内部控制就是风险管理,Matthew Leitch (2004)认为,从理论上讲,风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,正在变为同一事物。
将三者置于同一框架内进行研究的文献不多见。谢志华(2007)认为,内部控制、公司治理、风险管理三者本质上具有相同性。马正凯(2008)认为,内部控制、公司治理、风险管理都属于企业管理的范畴,都是为了进行风险控制。
从上述回顾中能够看出,理论界已经公认三者关系密切,但是对于三者在概念的外延方面没有统一的观点,更没有形成内在一致的概念体系,这种状况阻碍了内部控制、公司治理、风险管理理论和实务的更高、更深层次发展。
二、我国企业内部控制、公司治理与风险管理实务中存在的问题
自20世纪90年代起,我国开始在企业大力推行内部控制,目前的研究大部分都是集中在规范设计方面,这在一定程度上反映出我国对内部控制的研究还停留在内部控制制度或者内部控制结构阶段(张立民、唐松华,2007)。现阶段,企业内部控制、公司治理、风险管理规范大体可以分为五个层次:一是基础性法规(财政部《内部会计控制规范》);二是证监会的上市公司内控工作指引(《上市公司治理准则》);三是各行业监管机构的内部控制制度(中国人民银行《商业银行内部控制指引》);四是国资委针对中央企业颁布的内部控制框架指引(《中央企
业全面风险管理指引》);五是财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》。
我国频繁颁布的有关内部控制的法律规范说明,一方面,我国对内部控制的重视程度达到了前所未有的高度;另一方面,我国在这方面还未形成有效的系统性法律规范。我国的内部控制制度“救火式”的较多,对未来风险考虑不足,主要存在以下问题:
(一)现有规范不成体系
从上述企业内部控制、公司治理、风险管理规范可以看出,规范的制定主体不同,面向的具体对象也不一致,导致有的企业无规范可依,有的企业需要遵从两个甚至多个内部控制相关规范,可能使企业在遵循时变得无所适从。
(二)公司治理存在缺陷
公司治理是内部控制制度设计、运行的制度环境,也是管理层超越内部控制的重要约束机制。从公司治理结构来看,目前主流公司治理结构应该设有股东大会、董事会、监事会及公司管理层,但我国很多公司的董事长与总经理由一人担任,董事会与经理层是“一套人马,两块牌子”,导致对公司治理层面的风险缺乏关注。另外,我国由于国有资产所有者缺位问题的存在,由管理层实际控制企业,出现了较为严重的“内部人”控制现象。
(三)内部控制责任主体单一
目前,公司内部控制制度往往都是由经理层制定的,这种情况下经理层往往会出于自身利益的考虑制定出对自己有利的内部控制制度,而且,这本身就不符合不相容职务相分离原则。由于我国企业受体制等多方面因素的影响,董事会形同虚设,监事会也是如此,更使经理层成为唯一的内部控制责任主体,导致公司一切决策都由总经理一人拍板。因此,有必要让企业所有的利益相关者尤其是公司的股东和董事会意识到内部控制的重要性,加强对内部控制的制定和监督。
(四)监管者内部控制的强制性
由于监管者的内部控制要求具有强制性,但实际上与管理者对内部控制的需求又存在明显的不一致性,所以,从实施的后果来看,管理者在企业内部控制建设上的努力在很大程度上成了一种对监管者要求的遵循,而对企业自身经营管理的意义有限。
寻求上述问题的原因,主要在于内部控制、公司治理与风险管理三种理论“各自为政”,既在一定程度上相互重叠、相互协调,又在一定程度上相互独立、相互矛盾,可能导致对同一问题有不同的规范或者出现监督真空,阻碍了三者在理论上的发展与实务中的应用。倘若存在一种能够融合内部控制、公司治理与风险管理三者的理论,则可以解决上述问题。
三、内部控制、公司治理与风险管理的整合――“大”风险管理概念
在早期的企业中,为了保证财物安全以及会计信息的真实性,产生了内部牵制,内部牵制本身就是控制风险,而控制风险就是风险管理,所以内部控制是以风险管理为起点的(谢志华,2007)。随着企业由自然人企业向公司制企业过渡,由于所有权与经营权相分离,企业组织结构也日益复杂,相应的风险控制也由员工层次向经理层、董事会以至股东大会转换,风险控制也由内部控制发展为公司治理。尽管理论和实务界单独研究和实践了公司内部治理,但本质上仍然是为了控制风险,只是这种风险控制是基于新出现的公司组织层次,以及这些层次所要进行的行为,通过内部控制目标拓展和控制层次的提升就可以达成公司内部治理的要求,两者可以合二为一。并且在企业较高层次,企业面临的主要风险已经转变为市场竞争风险,所以风险控制就更加关注战略和经营风险。因而,笔者认为,内部控制与公司治理的实质都是风险控制,风险管理伴随二者的始终。因而可以对三者进行整合,形成一个“大”风险管理概念。
(一)董事会与经理层是内部控制与公司治理对接的
载体
公司治理和内部控制产生的基础都是委托,具有同源性。但公司治理是基于所有权和控制权分离而建立的约束和激励的制度安排,主要包括所有者、董事会和经理层之间的关系;而内部控制基于分权管理而产生的不同层次人委托问题,主要解决企业内部董事会、经理层和各下级执行机构之间的关系。董事会和经理层是公司治理和内部控制的共同组成部分,是两者有机对接的载体。所以,当管理层超越内部控制时,对董事会和管理层的控制问题必须依赖公司治理的约束。公司治理与内部控制的关系如图1所示:
(二)内部控制与风险管理整合的可行性
1.从内容上看,企业有效的内部控制应包括内部环
境、风险评估、控制活动、信息与沟通、内部监督等五个要素。风险管理不仅包括了内部控制的五个要素,而且增加了目标设定、事件识别以及风险对策三个要素;风险管理将控制活动提到了战略层面,提到对治理层、管理层的行为也要管理的层面,侧重于围绕目标设定对风险的识别、评估和应对处理;从二者的框架结构来看,风险管理不仅包括内部控制的三个目标,而且增加了战略目标。
2.从目的说,风险管理的目的是要及时地发现风险、
预测风险以及防止风险可能造成的不良影响,并设法把这种不良影响控制在最低的程度上。内部控制就是企业内部采取的风险管理,主要是通过事后和过程的控制来实现其自身的目标,内部控制制度制定的主要依据是风险。
(三)“大”风险管理概念的提出
根据上述分析,内部控制与公司治理的实质都是风险控制,因企业制度、经营模式、环境的不同,风险管理具体目标、内容和层次不同,董事会与经理层是内部控制与公司治理的衔接点。在内部控制与风险管理的关系上,笔者认为从整体上来说,风险管理涵盖了内部控制,内部控制为风险管理的一方面。这三者实质、根本目的是相同的,因而可以建立一个“大”风险管理概念,这个概念包括了内部控制、公司治理以及传统的风险管理。
四、内部控制、公司治理与风险管理:改进措施
基于上述分析,笔者认为,在现代社会经济生活中,企业的内部控制、公司治理都应以风险管理为核心,以“大”风险管理概念为指引,建立健全风险管理体系。具体措施如下:
(一)建立完善的内部控制体系
目前我国对企业内部控制的认识还停留在内部控制制度或内部控制结构阶段。考虑到内部控制建设的现状及内部控制标准的指导性和可操作性,我国内部控制标准可分为基本规范和具体规范两个层次来构建:基本规范应是一套类似于COSO《企业风险管理――整合框架》那样的概念性的制度框架,具有强制力;具体规范可以是类似于COSO《企业风险管理――应用技术》,是参照性的,企业可以根据自己的情况遵照执行,这两个层次缺一不可。
(二)完善公司治理,加强治理层面的内部控制
内部控制中强化公司治理的作用在我国显得尤为重要。由于我国证券市场尚处于新兴加转轨阶段,公司治理形备而实不至,惟有强化公司治理,才能净化控制环境。我国应加强公司治理建设,使股东、董事会和管理层相互制衡,防止管理层超越内部控制。
(三)加强企业各阶层诚信教育,搭配高效的激励机制
完善的监督体系能从总体上提高公司内部控制的质量,但这是一种强制性的规范结果,只有通过提高全员的文化素质、职业道德和诚实品质,才能改变他们被动遵守公司规章的观念,形成一种自觉遵循与完善内部控制的氛围。良好的激励机制是企业发展的动力,只有调动、诱导和激发出人的自觉性、主动性,再配以科学合理的激励、监督体系,才能使内部控制制度得到遵守,使其发挥最大效用。
【参考文献】
[1] 阎达五,杨有红.内部控制框架的构建[J].会计研究,2001,(2):9-14.
[2] 李连华.公司治理结构与内部控制的链接与互动[J].会计研究,2005,(2):64-69.
[3] 杨雄胜.内部控制理论研究新视野[J].会计研究,2005,(7):
49-55.
[4] 张立民,唐松华.内部控制、公司治理与风险管理――《托普典章》为什么不能拯救托普[J].审计研究,2007,(5):35-41.
[5] 谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究,2007,(10):37-45.
[6] 马正凯.《企业内部控制基本规范》解读[J].财会通讯,2008,
(10):80-82.
[7] John Pound. The Promise of the Governed Corporation. Harvard Business Review, 1995, March.
内控合规与风险管理范文6
1.制度执行不到位导致关键风险点失控。一是对重要环节和重点业务控制不足,风险和隐患难以排除。二是对重点人员、重点时段监控不力,案件隐患时刻存在。三是有效对账不足。主要是对账管理不规范,有针对性的“突击对账”力度不够。
2.会计岗位制约执行乏力,授权管理流于形式。一是会计岗位制约的效力不足,会计岗位设置缺乏应有的互相制约和牵制,造成一些人员违规、违纪,甚至贪污挪用银行资金,给银行带来风险。二是未明确授权批准的范围、层次、责任和授权批准的程序,使一些会计人员在执行授权制度时,没有严格按照先审查后授权的要求,形成违规授权,使授权管理制度难以取到应有的控制作用,形成较大的安全隐患。
3.会计人员管理不到位,业务操作不规范现象普遍存在。一是会计主管履行监督管理职责不到位,工作质量下降,同时未实行责权利相结合的管理体制,致使会计主管的工作缺乏主动性。二是业务操作不规范,屡查屡犯现象较多。一些会计人员跟不上业务发展的需要,精通全面业务和熟悉新业务的人少,有的会计人员不遵守职业道德标准或工作责任心不强,缺乏爱岗敬业意识,操作行为不规范。三是重点岗位强制休假、轮岗制度尚未有效执行。有的基层营业单位重要岗位人员长时间未进行轮换,有的强制休假也只是流于形式,使得某些长期积累的违规或案件没得到及时发现和堵截,加之对基层人员缺乏正确的思想引导,人员排查力度不够,形成一定的风险隐患。
4.系统对部分会计业务有效控制不足,产生系统风险。由于业务操作系统对有些风险点业务自动控制覆盖面不全,增大了“人控”的难度。随着电子和网络技术的发展,银行的操作平台也发生了根本性的变化,但由于系统的疏漏和技术支持的相对不足,产生操作风险的危害性加大。
二、商业银行会计内控风险产生的主要原因
1.部门岗位职责定位不清,会计内控监督乏力。基层行会计部门的管理者既要负责日常会计管理工作,又要负责会计业务的风险监督,这不仅导致本行行政领导对会计工作的干预,影响会计工作的质量及独立性,甚至某些基层行会受本部门小集体利益的驱使,有章不循、有法不依,使制度、法规、监督措施形同虚设,久而久之使会计工作抵御风险的能力越来越差。
2.存在“重经营、轻管理”的现象。一是部分单位领导更多注重业务扩张和客户需求,相对忽视风险控制和内部管理,一味地为了目标任务的完成,单纯地追求业务指标,在效率和内控的选择上普遍存在效率偏好而不是内控优先。二是未将会计内控管理纳入领导干部业绩考评和绩效考核中。业绩考评往往只停留在对存贷款增长比例、不良资产的下降幅度和清收比例、中间业务收入增加比例上,而未对会计内控风险管理质量进行量化,并纳入绩效考评体系中。
3.重事后检查监督,轻事前、事中监管。一是重事后管理,轻事前防范。部分行领导和会计管理部门看重的往往是对已发生或已存在的风险采取事后的管理处罚措施,试图以严厉的处罚遏制风险的出现,而对事前的防范和事件的控制措施则关注较少。二是重会计操作人员管理,轻管理层管理人员管理。三是重个案查处,轻全面分析。往往是为查案而查案,很少研究案件发生暴露的一些共性问题,从而造成手段并不高明的同类案件屡次发生。
4.会计监管人员素质不高,制约了会计内控监督效能的有效发挥。会计电算化和金融业务创新的不断扩展,对银行会计风险控制制度提出了新的挑战,对会计监管人员综合素质提出了更高要求。而现有会计监督人员大多专业水平不高、年龄偏大,对新业务操作把握不准,会计监督实践能力相对较弱,在会计监管实务中缺乏识别和防范风险的能力,没有形成正确的风险管理理念和操作性强的风险管理方法。
5.员工培训不到位,柜员风险防范意识淡薄。一是部分员工长期得不到培训,加之自学的自觉性不强,导致业务素质相对偏低,工作质量不高,会计人员队伍缺乏足够的业务技能和专业知识,与新的会计管理要求存在较大的差距。二是对会计职业的责任感不强。部分基层员工反映,长期缺乏领导关心,责任多、利益少,要求多、关心少,责权利不对等。三是道德风险隐患大。一些单位员工长期缺乏职业道德教育,不具备良好的职业操守,职业归属感不强,存在道德风险隐患,在受到不良社会风气的影响时,案件隐患加大。
三、强化商业银行会计内控风险管理的措施及对策
(一)以全面风险管理为目标,健全会计内控制度体系
1.设计会计操作风险管理的组织体系。商业银行应按照决策、执行、监督反馈三个系统相互制衡的原则进行会计操作风险管理和内部控制组织体系的设置,其中会计内部监督系统应当分层次建立,在基层营业机构应当建立实时控制的事中监督系统,在上级会计管理机构应当建立针对基层柜台业务的事后监督机制,并建立各项会计业务风险评价、会计内控的检查评价与对违规违章行为的处罚制度。
2.全面梳理和整合各项会计规章制度,提高制度执行的有效性。针对会计规章制度多、新制度又不断出台的情况,为保持内控体系的有效性,要从管理、监督、操作三个层面,将柜面业务流程从繁多的制度中提炼出来,对各项业务环节标明注意事项和进行风险提示。同时,按内控原则对现有制度进行整合,在系统整合业务规章的基础上,优化业务制度的运作方式,根据业务流程建立系统化、层次化的制度文件框架,为实现经营管理过程的程序化、规范化和系统化奠定基础。要对新制度的出台实施动态更新。随着新业务品种不断推出和对现有内控制度的不断完善,有的旧规章制度已不再适应新业务和新规则的要求,必须对规章制度进行不断补充、更新、完善。
3.正确严格执行制度,维护制度的权威性和严肃性。一是领导干部要成为制度执行的表率。不能以拓展业务和营销客户为由授意或准允下属在办理业务时违规操作,只有领导干部牢固树立制度至上的意识,真正做到依法、按章办事,才能有效地防范风险。二是制度面前人人平等。任何人在办理业务时都应以制度加以约束,要将所有的经营活动都置于制度监控之下,以规章制度来指挥、控制各项业务的运行。三是在制度执行过程中,要加强信息沟通,及时传导上级行的精神,及时反馈下级行的执行情况和制度执行的效果。
4.强化会计内控风险点的监控,提高制度执行的可靠性。一是实现对风险进行事前防范、事中控制、事后监督的动态管理机制。首先,临柜人员按照会计制度规定受理审查会计凭证,做到逐笔把关、逐笔办理、逐笔复核,严把柜面业务的事前审核关。其次,强化网点会计主任的事中监督关,会计主管对当日重要会计业务、关键业务环节进行重点检查,将临柜人员实际工作中的操作行为作为检点,实现风险事中监控。再次,抓实会计主管部门和会计监管员的再监督关,定期或不定期地对全辖会计业务进行全面检查辅导和非现场监督,把好事前防范和事后监督两个环节。通过实现全程监控,及时控制前台人员因违章操作带来的风险隐患,从源头上加强内控、防范风险,从制度上和机制上加强内部管理、规范会计行为。二是以风险管理为核心,通过会计监控系统对操作风险的识别、衡量和控制,把风险点的控制纳入会计主管和监管员的日常监督中。在全面衡量各环节的风险度的基础上,对高风险和风险多发的业务、时间、环节、人群予以重点关注,制定风险控制措施,建设风险隔离墙。三是建立风险测量预警机制,将风险造成的损失控制在可接受的范围内。
(二)以风险管理责任制的实施为重点,完善会计风险控制流程
1.全面落实操作风险管理责任制。一是逐级签订会计内控责任书,明确责任追究链条,使风险防范责任目标与员工个人利益直接挂钩,形成各级行一把手负总责,分管行长直接负责,各业务主管部门具体抓,一线员工积极参与的大防范工作格局。二是按照各级管理操作人员的岗位职责,强化对违规和案件的问责制,对因失职、渎职及不作为等各种行为造成风险或损失的,要严格追究有关人员责任。三是加大对检查发现问题整改力度,建立问题台账,落实责任人,逐条逐项整改落实到位。四是对违规、违纪及违法人员,要移交相关部门按党纪、政纪和法律严格责任追究。
2.对风险管理的流程进行优化和改进。一是针对具体业务制定会计操作流程时,应充分关注可能存在的风险点,并采取有效的控制措施。突出风险提示,列出业务流程环节操作风险点、风险级别、控制目标、控制措施、控制岗位,便于业务和管理人员清楚地知道各项工作所面临的风险和岗位控制职责,有针对性地对风险进行控制,形成操作风险损失与流程的映射关系,为操作风险管理提供较好的基础。二是优化业务流程时,明确关键控制环节,有针对性地加强流程中的控制措施。在流程控制的基础上,对流程中的操作风险与合规风险进行全面排查,对风险可能造成的后果和程度进行风险分析与判断,并制订控制目标和控制措施。三是建立严密完整的会计分级授权体系,对不同重要程度的业务进行不同层次的业务授权。通过岗位设置、账务核对、监督检查等手段,对会计业务的处理过程实施有效控制,确保向管理层提供的会计信息充分、准确、及时。
3.强化监管职责,创新监管手段。积极探索,创造条件,逐步建立在线监控与视频监控相结合、常规检查与专项检查相结合、业务监管与柜员表现观察相结合的监管模式。一是抓好对网点会计主管和监管员的管理。督促会计主管和监管员认真落实监管职责,增强监管工作责任感和使命感,进一步加大监管工作力度和频度。二是把握监管重点,注重结果与过程的监管,重视预警信息的及时处置与分析,将在线监控与现场监管有机地结合起来。三是不断完善监管手段,充分发挥有关业务系统的监督预警作用,优化风险模型,提高对柜台业务风险的非现场监控能力。
(三)以改革考评考核办法为契机,提升会计内控风险管理水平
1.创新会计考核机制。一是对会计监管人员实行工作质量综合考评,实行差别档次的经济奖励措施,将责任心强、业务精通的业务骨干不断充实到一线监管队伍中来。二是注重柜员工作质量考核,建立柜员工作质量登记制度,并将柜员工作质量考核的执行情况作为网点会计主管和监管员履职是否到位的重要指标。
2.把会计风险管理纳入到绩效考核。一是将会计内控管理和案件防范纳入全行经营目标责任制考核,从绩效考核方面引导各级行关注会计风险防范,实现业务发展、风险控制和效益增长的有机统一。二是建立会计内控风险评价制度。充分利用内控评价结果,将内部控制综合评价结果纳入对各行的考评体系中,与其绩效考核、评先表彰、工资分配等合理挂钩,与主要负责人的晋升、政绩考评等个人利益紧密结合起来,促使内控优先的意识深入人心。三是完善奖励机制。提高会计主管、监管员的待遇,将会计主管、监管员的经济收入纳入业务管理类人员序列进行薪酬考核,以增强其责任感和荣誉感。
(四)以人员管理为根本,提高会计制度的执行力
1.培育会计内控文化,切实提高全员风险管理意识。要从根本上防范风险,关键在于在商业银行建立良好的内部控制文化,提高员工的合规操作意识,形成自觉主动依法经营的普遍氛围,这是治本之策。银行内部控制要充分体现我国传统文化的以人为本思想,强调思想沟通和情感交流,员工相互支持,相互激励,形成内部凝聚力。在这种文化氛围中,员工的积极性被充分调动,会计内部控制成为银行员工自愿的行为,员工自我控制、自我管理、自觉地按照规范行事,成为一种潜移默化的习惯和文化,共同努力实现银行内部控制的目标。要推进合规风险管理的制度、机制、文化、队伍建设,通过综合治理和长期培育,使“合规有益、违规有害”成为广大员工共同认可的理念。
2.加大培训教育力度,增强员工执行制度的自觉性。要开展好对业务知识、操作技能、操作规范的培训工作,提高会计人员的执行力。要搞好阶梯培训工作,制定一套详细、科学的员工培训计划,做到早计划、早安排,使培训工作制度化。要开展各种形式的内控风险教育,采取集中分层次培训和分散培训、边检查、边辅导、按月点评通报、集中整治等方式,增强针对性和实效性,教育和引导员工增强执行制度的自觉性和坚定性。要有计划、有组织地开展合规教育活动,加大法律法规、内部规章制度、职业道德和典型案例的宣传教育力度,做到经常性教育与阶段性教育并重,剖析近年来发生的违法违纪违规案件,总结经验教训,表彰遵纪守法先进典型。
3.强化问题整改和信息交流,营造会计合规环境。要狠抓问题整改,达到整改一个、教育一片的效果。对现有会计内控问题的大力整改,要成为当前商业银行一项重要的工作,要进一步建立健全问题整改的保障机制,加大后续跟踪检查力度,促使问题整改到位,有效解决屡查屡犯的问题。要利用现有的典型案例教育全行员工,在思想观念上树立有错必改、有责必究的导向,起到应有的警示作用。要建立完善的信息交流与反馈渠道,确保会计内部控制存在的问题能够得到及时反馈和纠正,创造全体员工充分了解且能认真履行职责的内部控制环境。
4.提升各个层次的内控执行力。一是提高领导决策能力。领导决策能力是执行力的前提,在实行决策前,应当多作调查研究,充分听取基层和群众的意见,并尽量把各种可能存在的风险因素都预测好,确保决策的科学性。二是强化管理人员的执行力。业务主管部门要切实履行好自律监管职责,要对照自律监管的要求,认真做好事前、事中和事后的监管工作,突出对重点业务、重点环节、重点岗位、重点时段的控制与防范,监管内容要全面,工作要扎实,防止出现空档。三是增强操作人员的执行力。通过综合发挥合规教育、制度约束、经济激励等方面的作用,使一线操作人员对会计内控由主要依靠外部约束转为更多地依靠内部自觉,并对内部控制方式、方法与手段形成整体认知,从而增强操作人员会计内控的执行力。
