内控合规与风险管理的关系范文1
近日,银监会了《关于进一步推进改革发展加强风险防范的通知》,通知中明确要求,各商业银行等金融机构要对6大风险进行相应的风险提示,其中与内控合规密切相关的操作风险就位列其中。那么,如何最大程度地规避操作风险的发生呢?
防:不足的内部控制
2008年以来的国际金融危机,给国际金融业的监管改革又上紧了发条。与此同时,因内控管理不到位而导致的银行重大风险案例也层出不穷――国际上,巴林银行因内部管控缺乏而最终走向破产;法国兴业银行因交易员的虚假交易造成49亿欧元的巨额损失;很多知名银行频频爆出欺诈、洗钱、隐瞒债务等丑闻。在国内,类似的事件也不断发生,山西“7.28”金融诈骗案、哈尔滨“1.06”金融诈骗案、山东“票据”诈骗案等都发人深省。
“这些案情暴露出一个共性问题,就是银行对内控合规风险管理的缺位,也直接反映了银行对操作、合规风险的弱视。” 神州数码融信软件有限公司风险管理咨询总监喻巧玲在接受记者采访时表示。
据记者了解,尽管目前金融界对操作风险的界定还不完善,但将操作风险按其损失风险因素划分界定,已经得到了国内外理论和实务界的公认。喻巧玲说,操作风险可分为由内部因素和外部因素引发的操作风险。内部因素主要包括人员因素、流程因素和系统因素,其中人员因素主要指操作失误、违法行为(员工内部欺诈/内外勾结)、越权行为、违反用工法、关键人员流失;流程因素主要指流程设计不合理、流程执行不严;系统因素指系统失灵、系统漏洞、数据信息安全等。外部因素主要指外部事件,包括外部欺诈、突发事件(自然灾害、抢劫、工作场所安全等)和经营环境的不利变化。
对于银行与风险这两个事物,华夏银行行长樊大志曾表示:“银行经营的就是风险,并在经营风险的过程中实现利润。”银行是风险的众矢之的,风险管理的核心是确保风险和收益的合理匹配。但在当前金融风险防范的实际工作中,大多数银行都习惯于把目光向外看,重视外部风险,而往往疏忽了内部风险的防范。
事实上,由于银行内部经营管理不当,或是内部人员、机构的主观行为所造成的风险涉及层面十分广泛,包括银行内部机构、制度、规定、管理、人员等各个方面,这些方面的疏漏都可能为内在风险提供“潜伏”之机。而大量事实表明,很多严重的风险损失往往是由于内部疏漏而导致的。
依照银监会的定义,“银行内部控制”是银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。强有力的内部控制,可以帮助银行实现3个方面的目标:第一保证财务报表与管理报告的可靠性、完整性和及时性;第二确保银行遵守相关的法律、管理条例、政策、计划以及内部管理制度及程序,降低发生损失、损害信誉的风险;第三是实现经营效果、效率以及保护银行资产的重要保障机制。”
喻巧玲强调:“内控合规是银行操作风险和信誉风险发生的一个重要诱因,也是银行全面风险管理的基础环节。当前,国内银行的全面风险管理由于缺乏合规风险管理过程的有效支撑,银行的风险管理制度以及合规文化往往难以确立,因此,全面的风险管理也就无法真正落实。”
疏:梳理共性问题
银行内控合规的加强重在管控操作风险和合规风险,而要确保银行的一切操作行为均符合有关政策法规也绝非易事。巴塞尔委员会会计工作组主席Arnold Schilder曾说:“发展和实施合规风险管理的挑战不亚于实施‘巴塞尔新资本协议’所面临的挑战”。
通过多年来诸如上述案件的总结、分析,金融界的专家们对目前国内银行在内控合规管理方面存在的主要问题已形成了部分共识,并做了梳理。
第一,内控制度尚不健全,控制不足。目前我国商业银行业务发展仍以信贷规模扩张为主,受不良贷款的现实制约,内控机制建设主要围绕着信用风险而展开,强调资产负债比例管理、审贷作业分离、贷款5级分类和资本充足率达标等。相对而言,合规风险、操作风险以及信誉风险等尚未引起国内银行的足够重视,导致出现了风险控制的一些真空地带。
第二,内控执行不足,控制分散。这方面主要表现在规章制度数量众多,但多分散于各部门、各岗位和各项业务中,缺少整合。现在,国内很多商业银行都建立了“三道防线”的内控风险管理思路,但三道防线所涉及的各类信息和数据比较零乱、分散,没有进行整合分析,三道防线的威力没有得到充分发挥。
第三,对分支、基层机构的检查评估不足。内部控制不仅要求银行建立相关的制度与流程,还要经常监督检查这些制度和流程是否得到了有效执行。一些银行由于内部审计不足,对内部控制的检查频率和深度往往与风险程度不匹配。因此,分支机构不严格执行内控制度的现象确实存在。
第四,科技对业务发展缺乏有力的支持。如银行账户管理系统与同城票据交换系统、支付系统缺乏联系,就容易导致支付结算管理系统安全系数较低。再如一些大额资金与异常支付的管控鉴别也需要信息数据的及时采集和共享,及时进行整理分析,这就对各银行之间信息的交流畅通和数据共享提出了要求。
第五,内控文化未真正落地。喻巧玲认为:“银行内部控制是需要董事会、高级管理层和各级人员共同努力才能实现的过程,银行内部的每一个工作人员都要参与这一过程。”也只有这样,内控文化方能从上到下真正落实,从而有效地规避风险。
据了解,当前一些银行已建立起了“防风险”与“业务发展”的双重考核机制,以期提升全员的风险防范意识。
堵:构建有效IT机制
当前,加强内控治理已成为银行落实全面风险管理的重要一步。但做好内控治理仅有意识是不够的,如何加强执行、真正杜绝风险才是银行所期望的结果。神州数码融信软件公司曾经历时4年为国内一大型银行实施了内控管理咨询及系统,具备了一定经验,在接受采访时,喻巧玲就明确指出:“银行亟需构建有效的合规风险管理机制,这是解决合规风险与操作风险频发的一个重要的治本之策。”
合规风险管理机制是银行主动识别合规风险,主动避免违规事件发生,主动采取各项纠正措施以及适当的惩戒措施,持续修订相关制度流程和具体做法而形成的岗位手册。制定这种机制的目的就在于,堵住一切可能发生的风险漏洞,有效地管理合规风险,确保银行的合规稳健运行,从而实现周而复始的良性循环。
对银行而言,这一机制的建立将使银行合规工作不再局限于简单满足监管部门的监管要求,或者与监管部门进行博弈,而是将合规作为银行经营发展的一种特殊风险,以风险管理的理念和方法,推进银行内部制度和流程的建设及持续改进,从而提高制度和流程的执行力。
银行构建合规风险管理机制需要强调4个方面:第一,合规是银行内部的一项核心风险管理活动,也是银行实施内部控制的一项基础工作;第二,合规应从高层做起,通过完善公司治理和培育良好的合规文化来加强合规风险管理;第三,在银行内部组建一个常设的、独立有效的专职合规部门,支持和协助银行高级管理层有效管理合规风险,实现银行的稳健经营;第四,进行事前的风险识别和预警,事中的风险控制以及主动的合规风险管理,确保合规风险管理与银行制度和流程的评估处于持续改进的良性循环之中。
“合规风险管理可以成为银行进行内部控制的基础,只有这样内控才会不再是不可触摸的,而是实实在在的日常工作。”喻巧玲如是说。而内控合规风险管理系统的建设是支持这一目标落地的必要举措。
IT系统可以帮助银行初步建立起内部控制的立体管理体系:首先,通过系统实现信息集中和风险评估后,银行能够正确了解所处的风险环境,从而将管控的重点放在有重大影响的关键风险上;其次,系统可以完善第二道防线的检查制度,不仅提升内控工作质量也能提高工作效率,实现内控管理流程的标准化和模块化;第三,系统可加强基层网点的综合治理,实现一线的自查、自训、自纠,并对营业经理派驻制进行管理,对基层网点员工进行风险管理;第四,系统可实现稽核的再监督职能,如检查中发现的问题,可在内控系统中得以验证并进行预警。
另一方面,银行通过构建内控管理系统,可提升内控管理水平和科技水准,实现合规或操作风险管理的规范化、标准化和内控信息管理的集约化。例如可提高内控的可验证性,强化内控过程控制,提升内控风险的统计分析水平,实现内控的连续纠偏和持续整改。
银行IT风险管控亟待加强
科技是一把“双刃剑”,虽说IT系统可以帮助银行进行风险管理,但是当前,银行业对信息技术的依赖性日益加强,这使得信息系统的安全性、可靠性和有效性也直接关系到整个银行业的安全和金融体系的稳定。
众所周知,银行业IT架构庞大、IT设施复杂、所涉及的机构繁多,技术方面综合了应用系统、操作系统、网络、数据库等多方面,其中的任何缺陷都会影响整体IT架构的安全。据国际清算银行统计,90%以上的金融风险事件都与IT间接相关,在已经报告的损失事件中,50%以上的事件与IT间接相关。
所以,国际清算银行颁布的巴塞尔II协议明确表示,IT风险管理属于操作风险并且是操作风险管理的重中之重。巴塞尔 II协议也要求银行提供新的操作风险报告,并对业务连续性管理等方面提出了明确要求。因此,随着银行的业务运营对IT系统的依赖性与日俱增,IT管控作为银行风险防范的重要环节,也亟待加强。(文/刘丽丽)
金融热点资讯
中国银行预计5年内
开业200多家村镇银行
本报讯 近日,由中国银行与淡马锡旗下富登金融控股私人有限公司(简称富登金融)合资设立的首家村镇银行“蕲春中银富登村镇银行”和第二家村镇银行“京山中银富登村镇银行”相继开门营业。这是国内首次由大型商业银行联手境外战略投资者组建的合资村镇银行。按照中国银行与富登金融的规划,预计在一年内将设立20家村镇银行,在未来的5年内将会陆续设立200〜400家村镇银行。
据悉,为确保村镇银行顺利开业,中银富登对村镇银行所需的核心业务系统进行了提前建设。此次,承建中银富登村镇银行核心系统的是神州数码融信软件有限公司。
经过双方沟通,神码融信将采用“同步开发、按月支付”的模式进行核心业务系统的建设。
平安银行携手Teradata搭建统一数据仓库平台
本报讯 近日,专注于数据仓库及企业分析方案的厂商――Teradata Corporation宣布, 平安银行携手Teradata搭建了统一数据仓库平台。该平台将对平安银行的生产和管理数据进行集中、清理、整合和分发,为管理信息系统和决策支持系统提供准确、统一、全面的基础数据。
内控合规与风险管理的关系范文2
摘 要 随着社会经济的持续发展,企业内部控制环境也在不断发展变化,内部控制日益受到企业的广泛关注与重视。基于风险管理视角的内部控制对企业内部控制相关目标的实现提供了更多的保障,文章着重介绍了两者之间的融合。
关键词 风险管理 内部控制 融合
引言:在当前的环境下,竞争越来越激烈,企业面对的环境也越来越复杂,一个细小的失误,就可能会导致企业的破产。在这种情况下,企业要想获得成功,达到利益相关者的期望,加强内部控制是必然的选择。近年来,国际大公司暴露的会计丑闻――安然、世通公司的破产,我国中航油、中信泰富的巨亏等等,都显示出许多公司内部控制存在着严重的问题,特别是对风险管理的不重视。由于内部控制的失效,使得一些显而易见的高风险没有得到控制,最终使企业遭受严重损失,甚至走向了破产。随着内部控制理论与实务的发展,人们对内部控制的研究日益深入,出现了全面风险管理,内部控制与风险管理趋于融合。
一、内部控制与风险管理的内涵
1.内部控制与风险管理的定义
1992年,美国特德威“Treadway委员会”下属的几个委员会共同组成的COSO委员会出版了专题报告《内部控制――整体框架》。文中对内部控制的定义:指受董事会、管理层和其他人员影响的,为达到经营活动的效率和效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。COSO报告对内部控制系统的组成提出了五个方面:控制环境(Control Environment)、风险评估(Risk Assessment)、控制活动(Control Activities)、信息与沟(Information and Communications)、自我评估和内部监督(Contr01.Self-Assessment and Monitoring)。
企业的风险管理是一个过程,它的定义是指:由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,它通过对各种风险的识别、衡量和控制,以最低的成本处理风险提高企业的经济效益,从而为企业目标的实现提供合理的保证。根据COSO委员会2004年的《企业风险管理框架》(简称ERM框架),全面风险管理有八个组成要素:控制环境、目标确定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。
2.内部控制与风险管理的异同点
(1)相同点。第一,相同主体的动态管理过程。内部控制或风险管理,都是由“企业董事会、管理层以及其他人员共同实施的”,涉及企业各层次各项活动的一系列行动。这些行动普遍存在于企业管理的日常活动中,是一种全员参与的动态管理过程。第二,目标实现的合理保证。从理论上说,企业内部控制的目的是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,以保护公司的财产安全;而企业风险管理的作用则是识别、评估和管理风险,以减小经营风险与损失,创造并保持企业价值以维护投资者利益。所以,从本质上说两者是一致的,都是要维护投资者利益、保全企业资产,为企业目标的实现提供合理的保证。只不过两者的手段略有差异,内部控制是通过规章制度来规避风险,侧重于企业制度方面的控制;而风险管理是通过市场化的自由竞争或市场交易规避风险,侧重于交易层面的控制。第三,部分要素的相互重合。相比于内部控制的三类目标,风险管理又增加了一个战略目标,即与企业的远景或使命相关的高层次目标,使得风险管理介入了企业战略的制定过程。正因为风险管理与内部控制的目标是多数重合的,并且实现机制具有相似性,所以决定了其组成要素的重合性,即控制环境、风险评估、控制活动、信息与沟通、监督等五个方面的重合。
(2)不同点。从美国的COSO报告来看,全面风险管理框架比起内部控制框架,无论是在内容上还是范围上都有所扩大和提高。第一,增加了目标设定、事件识别和风险对策三个要素,并且对原有要素的内涵进行了扩展。例如,信息和沟通要素,更强调企业信息收集处理的详细程度,应视企业风险管理的需要而定,并受企业风险偏好的约束。第二,提出了风险组合的新观念,要求从机构整体出发考察其风险承受能力。各部门之间风险的叠乘或抵消效应,使得企业的整体风险可能高于或低于各部门风险之和。因此,企业应当按照风险组合与整体管理的观点,统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。第三,引入了风险容量和风险承受度、风险对策等风险管理的概念与方法。在风险度量的基础上分析企业成长、风险与回报之间的关系,根据企业发展战略与风险偏好相一致的原则,进行经济资本分配及利用风险信息支持前台业务决策流程等,从而实现全面风险管理目标。
二、基于风险管理下内部控制产生的必要性
(1)内部控制将企业的目标分为财务报告的可靠性、经营的效率和效果和对现行法规的遵循。企业风险管理不仅包括这三个类似的目标,还包括战略目标。在实现企业其他三类目标的过程中,企业的战略目标也在一定程度上得到实现,这在一定程度上需要企业首先站在战略的高度,要对企业进行风险管理,需要立足于企业的全局,系统战略的去管理。内部控制的重点有损失控制,而内部风险管理的手段又规避、自担、分散、转嫁风险。由此看见,风险管理下的内部控制对于企业来说,更有适用性。
(2)全面风险管理一方面要求对企业内部进行风险的监督和控制,另一方面也要求对企业外部的市场、环境、法律等方面的存在的风险进行监督和控制,确定企业的风险容忍度和风险偏好,对企业经营战略的制定提供有意义的指导。所以,基于全面风险管理的视角,可使内部控制的目标更符合企业战略目标的要求,更有利于全面风险评估和控制,从而实现对经营目标的合理保障。
(3)维护投资者利益是内部控制与风险管理的共同目标,只是内部控制是通过规章制度规避风险,侧重于企业制度方面的控制;风险管理是通过市场化的自由竞争或市场交易规避风险 ,侧重于交易层面的控制。我们一般理解的内部控制仅仅限于保证资金安全和会计信息的真实可靠,也就是说限于财务部门,对于企业的整个经营过程却没有进行控制;于此相反,风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较, 银行授信管理、汇率风险管理、利率风险管理等, 其贯穿于管理过程的各个方面。
综上所述,相对内部控制而言,风险管理的内涵更广泛,是对内部控制的拓展和细化,从而形成了一个更全面关注风险的更加强有力的概念。风险管理在风险度量的基础上,一方面有利于企业的发展战略与风险容量相一致,即增长、风险与回报相联系,从而帮助董事会和高级管理层实现企业风险管理的目标。另一方面,风险管理的风险涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险,区分了内部控制框架没有区分风险和机会,使企业内部控制的目标更明确。
三、内部控制与风险管理的融合
1.内部控制与风险管理的关系
关于内部控制与风险管理的关系,理论界普遍存在着:内部控制包含风险管理,风险管理包含内部控制,或内部控制与风险管理不断融合这三种观点。国际社会上,加拿大特许会计师协会(ClCA)控制委员会(1999)主要赞成第一种观点,认为“控制应该包括风险的识别与减轻”;美国的COSO《企业风险管理框架》则明确指出,风险管理框架除包括内部控制全部的五个要素之外,还应涵盖目标设定、事项辨别和风险应对三个要素即风险管理包含内部控制;而英国的Turnbull报告认为,风险管理和内部控制只是人为的分离,在现实商业行为中,两者是一体化的,是相互融合的。本文基本认同美国COSO全面风险管理的观点,认为风险管理是在内部控制基础上发展和完善起来的,全面风险管理体系涵盖了内部控制体系,内部控制与风险管理正在逐步走向融合。一方面,内部控制与风险管理之间相互交叉,彼此之间存在重合的地方;而另一方面,随着企业文化的积淀,内部控制意识和风险管理意识不断强化,风险管理水平也逐步提高,两者的重合部分将越来越多,互补的效用也越来越明显。
2.风险管理视角下与内部控制的融合
(1)从风险管理的流程来看,风险管理由风险监测、风险识别、风险评估和风险反应等一系列环节组成,而企业的内部控制则与风险管理流程的各个环节密切相关。首先,对风险的监测,是企业风险管理的开端,也是内部控制设计的依据。根据风险监测的结果,可以明确风险产生的来源,进而加强对业务的内部控制。其次,对风险的识别和评估,决定了企业以后所要采用的风险管理策略,企业可以针对不同类型的风险,采取风险规避、风险转移、风险分担、风险接受等不同的应对措施。同时,风险的识别和评估也是建立企业内部控制的基础。企业风险较大的业务,也就是企业内部控制的重点环节,可以依据“风险―成本―收益”的原则,对不同的业务采取不同程度的控制措施。例如,工作轮换、专人保管、职务分离、授权审批等。从而规避经营管理活动中经常发生的错误和风险,解决企业所面临的内部控制风险。最后,风险反应,是风险管理的重要内容,也是内部控制事后控制的重要环节。对于企业经营活动中发生概率较大但影响程度较小的风险,可以通过企业自身的控制系统, 依托以财务管理为中心的企业管理体系予以控制。而对于发生概率较小但控制成本较大的风险, 则应通过加强内控管理、增强自身素质来尽力的规避风险。
(2)从风险管理的层次上讲,企业面临的风险一般可分为战略层面的风险,业务层面的风险以及操作层面的风险三类。同样道理,企业内部控制系统的层级和相应责任,也应该针对风险层级进行设计。企业内部的控制活动,一般包括组织控制、经营控制、人事控制、财务控制、定期检查、设施和设备的控制等。战略层面的风险,一般通过优化企业治理结构来进行控制,如组织结构设计、独立董事监事制度等;业务层面的风险则主要通过各部门的职能分工来控制;而通过对具体业务授权、批准、执行、记录及监督的设计,又可以防止舞弊和暗箱操作,应对操作层面的风险。这样,就形成了一个相互牵制、相互制约有层次的内部控制体系,来应对企业不同层次的风险。
四、展望
对企业来说,不管是现在还是将来,无风险的运行环境,只是一种假设条件,即使企业采用了风险管理的模式,也无法为企业创造出这样的运行环境。但是,企业的全面风险管理在一定程度上可以帮助企业减轻风险、转移风险、规避一定的风险,使企业可以相对稳定的运行下去,从而实现企业的目标。与内部控制相同,风险管理只能向管理当局和董事会提供有关主体目标实现的合理保证。目标的实现受到所有管理过程中固有局限的影响。如判断失误和人为过失,成本限制、管理当局凌驾等等。因此,企业风险管理在实施过程中必须考虑与决策、风险回应和控制活动相关的成本费用和利益以及人员决策的失误等。这样才能充分发挥企业风险管理框架的优点,保证企业内部控制的有效运行。
参考文献:
[1]中国注册会计师协会.公司战略与风险管理.中国财政经济出版社.2011.
[2]中国注册会计师协会.审计.中国财政经济出版社.2011.
内控合规与风险管理的关系范文3
[关键词]内部控制风险管理COSO全面风险管理区别和联系
内部控制与风险管理理论的发展与演变过程
现代内部控制和风险管理理论的发展是一个逐步演变的过程,大致可以区分为内部控制制度、内部控制整体框架、风险管理框架三个阶段。
(一)内部控制制度阶段。1936年美国颁布了《独立公共会计师对财务报表的审查》,首次定义了内部控制:“内部稽核与控制制度是指为保证公司现金和其他资产的安全,检查账簿记录的准确性而采取的各种措施和方法”,此后美国审计程序委员会又经过了多次修改。1973年在美国审计程序公告55 号中,对内部控制制度的定义作了如下解释:“内部控制制度有两类:内部会计控制制度和内部管理控制制度,内部管理控制制度包括且不限于组织结构的计划,以及关于管理部门对事项核准的决策步骤上的程序与记录。会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。”
(二)内部控制整体框架阶段。1992年9月,COSO委员会提出了报告《内部控制——整体框架》。该框架指出“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”1996年底美国审计委员会认可了COSO的研究成果,并修改相应的审计公告内容。
(三)风险管理框架阶段。2004年COSO委员会《企业风险管理——整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”该框架拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。风险管理框架包括了八大要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
风险管理与内部控制关系研究回顾
在风险管理理论提出之后,理论界对内部控制与风险管理两者之间的关系进行了不断的研究。总体来说主要有以下三种观点:
(一)第一种观点认为内部控制包含风险管理。CICA(1998)将风险定义为,“一个事件或环境带来不利后果的可能性”,阐明了风险管理与控制的关系:“当您在抓住机会和管理风险时,您也正在实施控制”。巴塞尔委员会的《银行业组织内部控制系统框架》中指出,“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……。”这里显然是把风险管理的内容纳入到了内部控制框架中。加拿大注册会计师协会控制标准委员会(1999)认为,“控制应该包括风险的识别与减轻”,其中的风险不仅包括与实现特定目标相关的风险,而且还包括一般性的风险,如不能识别和利用机会,就不能使企业在面临未预料到事件以及不确定信息时保持灵活性或弹性。
(二)第二种观点认为风险管理包含内部控制。COSO委员会提出的《企业风险管理——整合框架》(2004)中明确指出,企业风险管理包含内部控制;内部控制是企业风险管理不可分割的一部分;内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。
(三)第三种观点认为内部控制就是风险管理。Blackburn(1999)认为,风险管理与内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。Laura F.Spira(2003)分析了内部控制是怎样变为风险管理的,并指出,“将内部控制定义为风险管理强调与战略制定的联系,刻画了内部控制作为组织支撑的特点,但是,它也掩盖了一个不争的事实:现在没有人真正明自内部控制系统是什么。”
基于COSO报告下的内部控制与风险管理比较
现论界对内部控制与风险管理的定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制与风险管理的定义。本文以COSO报告为基础对内部控制与风险管理的联系与区别进行研究。
(一)两者的定义与内涵。1992年的COSO《内部控制整合框架》将内部控制定义为,“受董事会、管理层及其他人员影响的,为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”它包括三个目标:与运营有关的目标,即确保企业的经营效率和效果;与财务报告有关的目标,即确保财务报告真实可靠;与法律法规的遵循有关的目标,即确保企业经营过程中遵守有关的法律法规。它由五个方面的要素组成:控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。
2004年的COSO《风险管理整合框架》将风险管理定义为,“由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定有企业各个层次的活动,旨在识别影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理保证的过程。”风险管理的目标有四个:报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个:内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。
(二)两者的比较
1、它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。
2、它们都明确是一个“过程”,不是某种静态的东西。其本身并不是一个结果,而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
3、它们都是为企业目标的实现提供合理的保证。设计合理、运行有效的内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。
4、风险管理的目标有四类,其中三类与内部控制相重合,即报告目标、经营目标和遵循性目标。但报告目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
5、风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险应对三个要素。在重合的要素中,内涵也有所扩展,例如内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权利与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
国内关于内部控制与全面风险管理的定义
(一)目前国内关于内部控制和全面风险管理的正式定义主要是财政部关于印发《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)的通知以及国务院国资委的《中央企业全面风险管理指引》中有相关的表述。
财政部关于内部控制规范的《通知》中对内部控制的定义是:是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:企业战略;经营的效率和效果;财务报告及管理信息的真实、可靠和完整;资产的安全完整;遵循国家法律法规和有关监管要求。
国资委《指引》中关于全面风险管理的定义是:指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
(二)、国内关于内部控制和全面风险管理与COSO框架的差异
总体上来说,国内关于内部控制和全面风险管理的内容基本参照或遵从了COSO委员会《内部控制管理框架》和《全面风险管理框架》,但结合国内的实际情况和一些前沿的研究成果,国内对于内部控制和全面风险管理在各自领域都有不同程度的调整、拓展和延伸。
1、目标纬度:财政部关于内部控制的定义相对COSO委员会对内部控制定义在实现目标上有所拓展,增加了企业战略目标和资产的安全完整目标。而在国资委全面风险管理的实现目标增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。”另外,其他四个目标也与COSO全面风险管理四个目标在表述上有所差异,使之更适应我国企业经营管理表述习惯或者更具体而易于理解。从这个角度来说,特别是内部控制实现目标的拓展使得其与全面风险管理实现目标差异不大。
2、要素纬度:财政部内部控制《通知》形式上借鉴了COSO 报告5要素框架,同时在内容上体现了风险管理8要素框架的实质;国资委全面风险管理《指引》中则没有明确指出是5要素还是8要素,但通过风险管理基本流程将全面风险管理的一些要素融合到流程中,从实质来说,也体现的是8要素的COSO全面风险管理框架。
国内关于内部控制与全面风险管理运用的一些误区
(一)把内部控制与全面风险管理体系的建设理解为建章立制。其实从COSO框架的定义中,我们可以看出它们都被明确为是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
(二)内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程,两者在内涵上也有一定重合,企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等,确定选择合适的管理体系和建设重点。比如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
(三)内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望,他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。
(四)内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进,与国内企业原有的管理体系和观点存在较多的差异和差距,目前这些理念和方法还更多的处于导入阶段,大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。
参考文献
[1] 盖地;试论内部控制与内部会计控制,中国成本研究会编;企业内部控制原理、经验与操作一企业内部控制高层研讨会文集;中国财政经济出版社,2002年版57一60.
[2]李凤鸣;《内部控制与风险防范》;经济科学出版社,1998年版.
[3]周兆生;C0SO企业风险管理框架(中文版);华融资产管理公司,2004.
[4]程新生;公司治理, 内部控制, 组织结构互动关系研究;会计研究, 2004年4期.
[5]张砚;内部控制历史发展的组织演化研究;会计研究, 2005年2期.
内控合规与风险管理的关系范文4
一、内部控制与风险管理关系辨析
内部控制思想和管理实践早在18世纪西方国家就已经出现,当时只是以账目核对和岗位分离为手段来保证账目正确,防范舞弊行为的发生。1945年,美国注册会计师协会的审计程序委员会在《内部控制:一种协调制度要素及其对管理当局和注册会计师的重要性》的报告中,首次将内部控制定义为:“为了保护财产的安全完整,检查会计资料的准确性和可靠性,提高企业的经营效率以及促进企业贯彻既定的经营方针,所设计的总体规划及所采用的与总体规划相适应的一切方法和措施。”1994年,COSO在《内部控制——整体框架》对内部控制定义的描述如下:内部控制是由董事会、管理层和员工共同设计并实施的,旨在为财务报告的可靠性、经营效率和效果、相关法律法规的遵循性等提供合理保证的过程。报告将内部控制划分为控制环境、风险评估、控制活动、信息与沟通和监控5个要素。这一内部控制的定义得到广泛的认同并沿用至今。内部控制本质上是组织的内部风险控制机制,它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力(丁友刚、胡兴国,2007)。
风险管理起源于20世纪30年代的美国,并从美国向世界范围内传播。20世纪中期,一些行业开始尝试着运用保险的方法进行风险管理。从20世纪后期开始,由于环境的不断变化,控制手段和措施的不断丰富,风险管理的外延和内涵也有了很大的扩展。随着对风险认识的不断提高,人们对风险管理也有了更深的理解和判断(董大胜,韩晓梅,2010)。2004年,在COSO出台的《企业风险管理——整合框架》中,对企业风险管理定义如下:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。风险管理包括八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。总的来讲,整合框架强调在整个企业范围内识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现,要求企业在战略制定阶段就应考虑风险因素。企业对风险的控制不仅面向过去,也要面向未来;企业的风险管理不仅贯穿于战术层面也贯穿于战略层面(谢志华,2007)。
关于内部控制与风险管理的关系,目前代表性的观点有三种:一是认为风险管理包含内部控制,COSO《企业风险管理——整合框架》(2004)中明确指出,风险管理包含内部控制,企业风险管理比内部控制范围广得多;二是认为内部控制包含风险管理,加拿大COCO报告(1995)认为,风险评估与风险管理是内部控制的关键要素;三是认为内部控制就是风险管理,风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,3E在变为同一事物(谢志华,2007)。总而言之,内部控制理论和风险管理研究的发展是紧密联系、息息相关的。董月超(2009)认为,两者的相同之处在于:对参与的主体要求相同,都对企业实现目标提供合理的保证,都强调要主动应对风险;两者的不同之处在于:目标体系不同、组成要素不同、产生效益的方式不同、风险管理的理念不同。内部控制属于企业管理范畴,而风险管理属于企业治理范畴,风险管理是对内部控制的继承与发展。丁友刚、胡兴国(2007)指出,内部控制本质上是组织的内部风险控制机制,它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力。
正因为有这样不同的认识,在企业管理的实践层面,许多企业在21世纪初轰轰烈烈地全面更新了内部控制体系之后,又于近几年全面推进风险管理,从组织结构改良开始,设立了独立的风险管理机构,建立风险管理体系,让那些刚刚开始尝试执行的内部控制制度戛然而止。笔者认为,内部控制与风险管理的直接载体都是企业的经营活动,内部控制与风险管理都以企业法人为边界,从这一点来说,不能将二者截然割裂开来。内部控制重心在企业的高管层之下(经营活动),风险管理的重心在高管层之上(战略设计、决策),内部控制主要关注不相容职务是否分离,风险管理主要关注经营目标实现过程中的不确定性。两者间的关系辨析固然重要,它有助于理清思路,找准内部控制与风险管理工作的侧重点。但是,更为关键的是:如何构建一个架构将两者有机融合、指导企业管理实践。“他山之石,可以攻玉”,日本自2003年成立“风险管理与内部控制研究委员会”以来,经过8年多的发展,积累了丰富的经验,形成了一套行之有效的办法,值得我们借鉴。
二、日本内部控制与风险管理政策研究
2001年美国安然事件之后,日本企业会计审议会于2005年初成立了内部控制专业委员会,并且于2007年2月颁布了《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定意见书》、《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》。准则在美国COSO委员会内部控制概念框架的基础上,结合日本企业的特点(资产的取得、使用及处分的手续繁杂,因而资产受到特别的关注),对内部控制的定义如下:内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。与COSO委员会颁布的三项目标不同,日本内部控制的定义在三个目标的基础上又增加了资产保全这一目标,强调内部控制是企业内部体制与流程,内部控制能为企业发展提供合理的保障(而不是完全的保障)。
(一)内部控制与风险管理两者间的关系
对于内部控制与风险管理间的关系,在2005年经济产业省所召开的《新风险时代的内部控制》的研讨会上,将风险管理划分为两种类型:与企业发展机会相关联的风险(是指与企业经营相关的战略层面的决策风险,具体包括进入新业务领域的风险、新产品开发的风险、资金运作相关的风险、设备投资相关的风险等);与企业业务活动相关联的风险(是指正确、高效的开展业务相关的战术风险,具体包括与财务报告相关的风险、与产品质量相关的风险、与信息系统相关的风险、与业务手续相关的风险、与物品、环境相关的风险等)。这两类风险共同影响企业持续的价值增值,都是企业全面风险管理的对象,但它们与内部控制间的关系却不尽相同。
对于“与企业业务活动相关联的风险”,可以通过内部控制流程直接进行防范,这需要建立合理的内部控制架构。管理层可以通过对内部控制体系的构建来管理“与业务活动相关联的风险”,并以此为基础,开展包括“与企业发展机会相关联的风险”在内的全面风险管理。风险类型与内部控制间的关系,如表1所示。
因此,从应对上述两类风险的角度而言,内部控制与风险管理间的关系表现为:内部控制是应对全面风险的前提,也就是说,内部控制为与业务相关联的各类风险进行恰当的风险管理活动提供了支撑。两者的关系可以进一步细化为三个方面:
1.风险评估是内部控制的构成部分
与风险管理相关的风险对策,大多数是在内部控制框架的基础上形成的。因此,开展风险管理所需的风险评估,由风险评估所形成的风险对策,对风险对策实施情况的评价是内部控制调整、运营情况评价的一部分。
2.风险评估的结果是内部控制进行持续改进的依据
内部控制不仅关乎“与业务活动开展相关联的风险”,而且必须在各种风险评价以及与风险评价相应的方法经验积累的基础上,对内部控制的框架、运行情况进行动态调整。管理层通过风险管理对风险进行评价提出相应方针政策,并在此基础上对内部控制的各个方面进行持续的改进。
3内部控制促进全面风险管理的完善
内部控制流程中所处理的“与业务活动开展相关联的风险”,必须及时地反馈给风险管理组织,并在全面风险管理活动中进行评估。
(二)内部控制与风险管理的—体化模式
风险管理与内部控制是市场经济环境下,企业的经营者为了响应各类企业利益相关者的需求、保证企业永续经营必不可少的管理手段。恰当的风险管理、完善的内部控制体系,有助于提高客户与投资者对企业的信任度,从而增加企业的价值。正因为如此,2003年,日本经济产业省在总结先进企业内部控制与风险管理成功经验的基础上,融合日本全面质量管理的成功经验,构建了“内部控制与风险管理的一体化模式”。该模式包括三方面内容:内部控制的PDCA循环,基于风险管理的内部控制评价流程,内部控制与风险管理整合架构。
1.内部控制的PDCA循环
PDCA循环又叫质量环或者戴明环,是管理学中的一个通用模型,是美国质量管理专家戴明博士首先提出的,它是全面质量管理所应遵循的科学程序。PDCA循环就是按照“计划—执行—检查—行动”的顺序进行质量管理、实现持续改善。从上世纪70年代全面质量管理在日本推广以来,极大地促进了日本经济的发展,质量意识深入人心,所以在内部控制体系构建环节,日本经济产业省也引入了PDCA循环(如图1所示)。
在内部控制体系构建的PDCA循环中,企业首先在对风险综合评价的基础上,把握经营活动的变化,对内部控制的架构进行适当的调整(Plan);运行内部控制程序(DO);通过内部控制的评价(Check),确认内部控制机能的有效性;明确内部控制的调整与改善的方向(Act)。其中,内部控制的评价与内部控制的调整、改善是内部控制PDCA循环的发动机。
2.基于风险分析的内部控制评价流程
内部控制评价是指内部控制制度、行为是否契合内部控制总体目标的达成,包括体系构建的完备性(规则、制度是否健全,内容是否合适)和运行状况的遵循性(在具体执行运行过程中,是否遵循既定的内部控制规则)。为了促进风险管理与内部控制间的有机整合,日本经济产业省在对先进企业风险管理经验总结的基础上,归纳并形成了基于风险分析的内部控制评价方法。该方法通过对企业风险进行分析,评价内部控制体系是否能够把握特定的经营活动的风险,并对这些风险进行及时地发现和有效地预防。
以采购活动的“预定工作”为例,由于存在着资金支出的购买活动,一般而言发生舞弊行为的可能性更大,所以存在降低发生舞弊风险的必要性,其内部控制评价流程如图2所示。内部控制评价的前提条件是对综合风险评价、对经营活动的把握,具体到购买活动时要考虑如何降低舞弊行为发生的风险。在“采购的预定流程中”,首先要确认内部控制的制度、规则的建设情况(主要确认采购申请填写人与订货负责人是否分离),如果内部控制制度本身不完善,要进行整改。在内部控制制度、规则完善的基础上(采购申请填写人与订货负责人在制度规定上实现了分离),进一步确认运行情况的遵循性(对运行情况的分析,主要关注运行过程是否按照制度与规则执行),如果存在执行不到位的,需要整改。
3.内部控制与风险管理整合架构
无论是“内部控制的PDCA循环”,还是“内部控制的评价流程”,都属于企业风险管理与内部控制工作的“单元要素”。如何将这些“单元要素”整合在统一的框架中,促进风险管理与内部控制的有机融合,日本经济产业省给出了一个通用性的“内部控制与风险管理的整合架构”,如图3所示。
内部控制与风险管理整合架构显示,健全的内部控制环境与通畅的信息传递渠道,是企业内部控制与风险管理整合架构的基础。在“金字塔式的组织中”,企业的各个层级通过PDCA循环,让风险管理与内部控制融入企业经营管理的各个方面。内部控制的评价基于风险分析,实施内部控制评价的人员要能够准确把握流程现状,并对作为控制对象的业务有一定程度理解。具体而言,采购的流程由采购部经理负责、制造流程由制造部经理负责,各个业务流程由其流程的负责人负责。但是,在实际工作中流程负责人(采购部经理或者制造部经理)不可能对每一个内部控制进行确认与评价,对于那些更为细化的环节(如采购流程中的“定货”、“验收”环节)要由下一层次的负责人(如作业层负责人)来评价。在内部控制的综合评价中,企业的各个层级不是独立的开展内部控制评价,而是通过“自下而上”的方式开展连贯式内部控制评价,即从作业层(车间负责人,团队负责人)到战术层(各部门经理)再到战略层(股东等)。在这些评价结果的基础上,最终形成综合评价。当发现企业某些业务流程出现问题时,根据问题的风险程度,决定内部控制的改善方案。
此外,在内部控制评价过程中,还要充分发挥内部审计部门的作用。内部审计部门作为独立的评价机构,对各个层级的内部控制评价的结果进行再评价,确保内部控制评价的客观性,促进内部控制体系完善,让企业的风险得到全面的控制。
三、启示
虽然《企业内部控制配套指引》的出台,标志着我国企业内部控制规范体系基本建成。但是,就我国企业管理实践来看内部控制与风险管理未能实现真正的融合,因此影响到内部控制作用的真正发挥。结合日本政府在促进本国企业构建“内部控制与风险管理一体化模式”方面的经验,笔者提出三点建议:
(1)建立统一协调的外部监管机构。为了促进企业实现全面风险管理,形成有效、柔性的内部控制体系,2003年5月,由日本经济产业省牵头,成立了“产(大型企业代表)学(部分高校与科研院所)官(政府机构)”为主体的“内部控制与风险管理”研究会,研究会经过多次研讨,最终形成了《新风险时代的内部控制》研究报告,该报告对企业的内部控制与风险管理工作的开展给出了一般性指导意见。目前,我国内部控制和风险管理的监管制度的制订,分属于不同的制度框架。内部控制的规范标准,是由财政部、证监会、审计署、银监会、保监会通过2010年4月26日联合的《企业内部控制配套指引》来确定的;风险管理的规范标准,是由国务院国有资产监督管理委员会通过2006年6月6日出台的《中央企业全面风险管理指引》来确定的。由于“政出多门”,缺乏一个统一的规则来协调各项“指引”的内容,这是导致目前我国企业管理实践不能将二者有机融合的重要原因之一。企业常常为了应付检查将同一件事情用两个规范来做,结果是“为了控制而控制”,既增加了企业的成本,又收不到应有的实效。因此,结合我国企业管理的实际情况,构建具有我国特色的内部控制与风险管理一体化模式,需要建立一个统一协调的外部监管机构。
内控合规与风险管理的关系范文5
本文对COSO框架的进行全面剖析,并将其应用到XX财产保险公司(以下简称“A公司”),通过定性分析方法探讨该公司内部控制框架的相关内容,从而提出改善公司内部控制体建议,有效防范风险。
关键词:内部控制;保险公司; COSO
美国证券交易委员会(SEC)要求备案的企业在年报中对企业内部控制制度及有效性做出报告,并建议使用COSO委员会在1992年的《内部控制――整体框架》报告作为企业管理层和注册会计师进行内部控制的评价标准, COSO框架已经成为美国企业风险管理重要理论。
一、COSO理论体系
COSO委员会( The Committee of Sponsoring Organization of The treadway Commission of The National Comission of Fraudulent Financial Reporting)是由美国会计学会、美国内部审计师协会、注册会计师协会等组织成立的专门研究内部控制问题的组织。其于1992年了《内部控制――整体框架报告》(Enterprise Internal Control- Integrated Framework),1994年对其进行增补[1]。COSO报告指出,内部控制是由公司董事会、管理层和其他员工实施的,槭迪志营的效果性和效率性、财务报告的可靠性以及适用法律、法规的遵守性等目标提供合理保证的一个过程。内部控制的根本目的是防范风险。COSO内部控制的首要目标是为了合理确保经营的效果和效率(基本经济目标,包括绩效、利润目标和资源的安全),其后才是保证财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和遵循相应的法律法规这两个传统的内控目标。COSO的标志着内部控制由结构阶段进入整体框架阶段。2002年7月《萨班斯――奥克利斯》(Sarbanes-Oxley Act)法案最终细则也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。[2]
COSO《内部控制――整体框架》把内部控制划分为五个相互关联的要素,分别是控制环境(Control Environment)、风险评估(Risk Assessment)、控制活动(Control Activities)、信息与交流(Information and Communication)和监测(Monitoring)。每个要素承载三个目标:经营目标、财务报告目标、合规性目标。控制环境是整个内控系统的基石,支撑和决定着其他四个要素,是建立所有控制的基础;风险评估是建立控制活动的先决条件;控制活动是内控体系的核心;信息与交流是控制系统的“血脉”,是内部控制的实质;监督位于内控系统顶端,是对其他内部控制的一种再控制。内部控制框架如图1[3]:
(一)控制环境
控制环境是企业的氛围、基调,直接影响着内部控制的执行的宽度与力度,是整个内部控制的基础,主要包括组织人员的诚信、职业道德和工作胜任能力、董事会或者审计委员会、管理层经营理念和经营风格、组织结构、企业的权责分配方法和人力资源政策。[4]
(二)风险评估
风险评估就是识别、分析相关风险以实现既定目标,是风险管理的基础。风险评估是从目标、风险识别、管理变化三个方面进行。它随着经济、行业、监管和经营条件而不断的发生变化。[5]
(三)控制活动
控制活动是为了防范风险而采取的有助于管理层决策顺利实施的政策和程序、信息系统控制、实体特征控制。包括授权、业绩评价、信息处理、实物控制和职责分离等。[6]控制活动又可以分为预防性控制、检查性控制、人工控制、计算机控制、管理层控制等类型。
(四)信息与沟通
信息系统产生各种报告,包括经营、财务、合规等方面,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。
(五)监控
监控是对内控有效性进行评估的过程,实质上是内部控制的再控制,包括持续监督、独立评估和缺陷报告等。
二、A公司的内部控制分析
(一)概况
A公司是经保监会批准成立的财产保险公司。几年来,A公司本着“资本充足、管理规范、内控严密、质量和效益优良”的经营理念,已经在全国范围内成了分支公司,形成了业务覆盖全国的财产保险公司,公司在风险管理上做了多方面的探索和努力。
(二)内部控制体系
A公司内部在业务流程、财务流程、资金流程、IT流程等各个方面制定了与相关业务匹配的政策与程序,但是没有形成系统的内部控制文件和体系,以下将按照COSO框架逐一进行分析。
1.控制环境
(1)诚信与职业道德
A公司企业文化强调了艰苦奋斗、穷尽资源、勇于奉献的创业文化,要求“资本充足、管理规范、内控严密、质量和效益优良”地发展公司业务,公司有明确的员工行为手册,在平时各种会议中也积极宣传合规经营的理念,对于违反有关政策和行为规范的情况,管理层基本能够采取适当的惩罚措施。
(2)对员工胜任能力的关注
A公司基本上建成了一只与其规模相匹配的人员队伍,建立了干部选拔、聘用等相关的制度,配合其岗位职责,A公司明确了员工的完成其工作所需的知识和技能,并经常对各条线的员工进行政策、流程、知识技能等的培训,不断地提升员工的胜任能力。
(3)董事会或者审计委员会
A公司董事会下设审计部以及合规部,协助董事会进行风险管控。各级分公司的负责人为风险管理的第一责任人,合规部为风险管理的牵头部门,对本单位及所属单位的风险进行管理,负责牵头制定内部控制制度以及对其执行进行监督与评价,处理内控缺陷。
总公司董事会建立的风险管理部门相对比较独立,能够及时对获得敏感信息、违规行为进行调查监督,有效地在总公司层面执行了内控的监督与评价,但是各级分支机构中,特别是收入规模较少的机构,组织机构设置相对比较简单,人员素质层次不齐,往往由其他部门人员兼任合规职能,其风险管理职能的发挥明显受到人员素质、时间与精力、独立性等方面的限制,有所欠缺。
(4)管理层的经营理念和经营风格
公司管理层十分重视合规经营,强调“资本充足、管理规范、内控严密、质量和效益优良”发展思路,并采取了一系列的措施来实现合规经营目标,如重大事项会签制、业务机构的系统重要权限分级制、审计合规检查、信息系统控制等。公司也一直关注信息系统建设与关键岗位的建设,每月均有由总公司处长级以上领导参加的数据分析会,强调数据的真实性,以客观、真实数据分析基础上行采取适当的发展策略。
(5)组织机构与责权分配
公司结合行业惯例与业务实际成立了十三个部门与三个管理中心,业务部门按照业务内容划分,执行专业化管理;管理部门按照职能划分,并随着公司发展、战略进行调整。公司资产由实际使用部门管理,分公司综合部为资产的实物管理部门,财务部为账务管理部门,金融资产由总公司资金运用部管理,资产管理责权分明,政策完善。
(6)人力资源政策与实务
公司十分重视人才,明确发展要以人为本,重视人才的培养、引进、考核等,公司人事部制定了员工培训、晋升、绩效考核、岗位调整、干部任免、后续教育等十二项人事管理制度。在各部门的职责体系下,均有具体的岗位职责,员工按照其职责的完成情况进行考核。各层级分支公司的人事制度执行均有总公司人事部的监控,执行力度较好。
2.风险评估
(1)目标
随着市场环境的剧烈变化,公司的战略战术也及时进行调整,除合规目标因其遵循法律法规、监管环境等相对比较稳定外,经营目标、财务报告目标随着公司的战略和战术及时进行调整,一般情况下,年年中都会根据实际执行情况对本年预算进行调整,以保证经营目标和财务目标的可靠性。
各个部门在公司总体目标下,根据其部门职责制定部门目标以辅助公司目标的实现,各部门负责人对其具体落实,并对结果负责。公司目标尽可能实现量化管理,以便监督、考核。
(2)风险识别
风险识别的职能与目标实现是由相同层级执行的,风险识别与目标实现的落实均分解到各级部门,最终分解到具体员工职责上,通过内部控制政策与程序联系起来,形成风险识别政策与程序,而跨部门的风险则通过部门会签等形式予以解决,特殊风险则由审计部门、合规部门以及总经理室来识别。
(3)管理变化
今年年初公司成立了战略企划部,专门用于研究公司发展战略与策略,识别环境变化、管理变化对公司目标实现的影响,特别是存在重大风险的情况,从而制定相关的对策。
3.控制活动
公司制定了各种政策与流程,进行活动控制,以实现其目标。
(1)政策和程序
公司根据部门职责进行授权,并由总经理室领导进行分管,实现管理与监督。对各部门目标进行分解,从而客观地进行考核与评价。公司每个月的KPI经营分析是授权与业绩评价的最终结果。
各部门进行具体控制活动,并辅助信息系统的支撑,具体控制措施则受到负责人的管理方式等影响而不同,风险控制点是否全面决定了设计控制活动的质量。
(2)信息系统控制
公司已经建立近十种信息系统,以支持公司的业务发展与数据管理。一般控制方面由三名处长负责,保证了系统的稳定、恰当运行。应用方面,IT部根据各部门提出的需求对系统进行不断的改造,其开发队伍以及外援开发队伍最多达到七八十人,证实了公司对于环境等变化的敏感性以及对信息系统建设重视程度。公司还积极与国外保险公司形成关系,以加强其信息系统建立与数据管理能力。
4.信息与沟通
(1)信息
公司已经按照部门职责进行授权,员工能够在权限范围内履行其职责,公司各部门员工在岗位职责的基础上,能够及时地获得内部、外部信息,但是由于保险业竞争非常激烈,各个竞争主体政策也一年多变,因此对行业竞争主体的信息收集与反应成为公司制定战术的关键所在。A公司各级分公司只是大概了解对方相关信息,没有专门的机制和人员收集此类信息,制约了分支公司与市场互动程度,当然此类信息也受到竞争主体的保密而较难收集。
(2)沟通
公司明确了员工的岗位职责,并定期对其考核,考核结果与绩效相关,因此员工比较清楚了解自己的角色;管理层通过预算,OA文件等方式下达指令;员工之间通过腾讯通、OA等工具也能够实现较好的沟通,自上而下或者平等的沟通较为良好,自下而上的沟通渠道也较为通畅,其实际结果还取决于员工的素质、责任心等。
5.监督
(1)日常监督
公司经理室各分管领导是各部门工作的直接上级监督,审计部、合规部以及其他方面的监督则是平级监督,部门内部为了实现其目标而进行的控制与监督则是内部监督,外部监管机构以及行政机构的检查则是外部监督,几种监督方式构成了交叉纵横的监督体系,很大程度上促进了公司内部控制的有效执行与改善。
(2)个别评价
管理层根据个别事项的性质,形成了不同级别的特殊事项评价机制。具体执行时依照一事一议的原则进行。
(3)内部缺陷的及时处理、报告
管理层十分重视风险管理,对于已经识别的内部缺陷能够及时响应,并根据风险严重程度,成立不同层级的临时组织应对风险,必要时,上报总经理或者董事会。
三、A公司内部控制改良建议
总体来讲,虽然A公司]有形成书面的内部控制体系,但是基于业务、管理等原始需要,A公司已经形成了较为全面的内部控制政策与程序,执行较为有效。根据COSO体系,结合上述分析,对于A公司内部控制提出以下建议:
(一)完善内控制度,形成内控体系
内部控制是实现风险管理与主体持续有效运行的科学手段,国际大型公司内部控制思想已深入人心,上市公司必须出具内控报告。作为中小保险公司的A公司,为了提高管理能力、抵御风险、实现公司稳健发展,有必要形成书面的内部控制制度与体系,并将其传达到组织机构最低层。内部控制规范化、制度化是公司被动应对风险到主动管理风险的实质性转变的重要标志。
(二)完善组织架构,明确内控管理
公司已经有审计部、合规部等部门进行风险管理,但是由于缺乏整体内控体系以及工作安排,两部门的风险管理更多地是基于部门职能的自主行为,缺乏有效的整合。而各部门的风险识别与应对存在同样的问题。建议在形成完整内部控制体系基础上,成立风险管理委员会,以协调整个内部控制工作。
(三)提高人员素质,促进内控执行
一些分支公司的内部控制人员大多是兼职,专业知识与个人素质层次不齐,严重影响了内部控制执行的效果与效率。员工是内部控制活动执行主体,没有专业的知识以及个人的素质作以辅助,再好的内控体系都是空谈,实现管理与控制的质量的根本就是员工个人的胜任能力与素养,更何况更多的风险来自于分支机构层面。因此,不但要充实基层风险管理岗位与人员,更要对其知识与素质进行严格的筛选,并进行专业和符合公司实际的培训,以促进内控有效执行。
(四)加强信息管理,提高内控效率
风险管理与目标实现第一步就是信息的获得,A公司各部门已经可以获得相关信息,但是其渠道和质量却难以支持公司发展战略。信息获得的渠道应当是多元化的,特别是各地区的竞争主体信息的获得更应当是自下而上的一个过程,更重要的是应该建立一种机制与渠道,来获得信息并实现总分的沟通,而这种机制更能够强制分支公司进行信息收集,确保其市场政策与环境相一致。
(五)专业风险识别,夯实风险管理
由于风险识别与目标实现均属于同一层次,各部门风险识别效果会随着本部门组织机构、部门负责人风险意识、责任心等因素而不同,难以实现有效的风险挂你,而审计部与合规部参与其他部门活动的频率与深度毕竟有限,风险识别与管理难以保障,因此在部门内部建立专门风险管理岗位,将风险管理目标落实到部门负责人职能中并加以考核,或者建立部门间牵制风险管理机制,都是提高部门风险识别,夯实风险管理的具体措施。
参考文献:
[1] Coso. Enterprise Internal Control-Integrated Framework. 1992 (9).
[2] SEC. Management’s Reports on Internal Control over Financial Reporting and Certification of Disclosure in Exchange Act PeriodicReports. Final Rule,2003,June 5.
[3] 朱荣恩. 内部控制评价[M].北京:时代经济出版社,2002,9:9.
[4] 中国注册会计师协会.审计[M].北京:经济科学出版社,2008,4:179-184.
内控合规与风险管理的关系范文6
关键词:内部控制法规 内部控制与风险管理整合 体系建设
我国内部控制建设工作已经如火如荼的开展了几年,笔者结合在企业和咨询公司的工作经验,针对企业对于内部控制法规和体系建设的疑问,对我国内部控制法规的现状进行解读和比较,以及如何应用这些法规体系,建设内部控制和风险管理体系的整合。
一、我国内部控制法规的现状
(一) 我国内部控制法规的多样化
我国内部控制法规存在多样化,一是颁发的机构不同,二是法规的内容针对性不同,三是法规适用的主体不同。
在《企业内部控制基本规范》和《企业内部控制配套指引》未出台前,都是各监管部门自行制定的,并且有些对内部控制的要求并不是以单独的法规的形式体现,而在融合在其他法规中。《企业内部控制基本规范》和《企业内部控制配套指引》是由五部委共同出台的,对我国企业内部控制建设有了统一的规定和执行要求,以后所有与内部控制建设和执行有关的法规规章都依据两项法规执行。
毕竟我国企业行业、类型、经营管理等存在多样化,《企业内部控制基本规范》和《企业内部控制配套指引》规定的内容不能面面俱到,加之不同的监管法规的存在,企业在建设和企业内部控制时,除了依据最基本的《企业内部控制基本规范》和《企业内部控制配套指引》,也要执行与企业相关的监管部门的规定,才能确保企业内部控制建设的全面性和重要性。
(二) 风险管理法规现状
对于风险管理的要求,除国资委出台《中央企业全面风险管理指引》专门的风险管理的法规外,其他法规对风险管理要求都是也体现在与内部控制相关的法规体系里。因此,对于企业在建设内部控制和风险管理整合的体系时,需要借鉴国资委出台《中央企业全面风险管理指引》,在对风险信息收集、识别、评估、应对等进行遵循和参与。
因此,我国内部控制法规包含多种类型,一是对对所有企业都适用,二是针对上市公司和金融机构;颁布的监管机构包括了财政部、国资委、银监会、保监会、证监会、审计署、中国人民银行、深交所、上市所。
二、内部控制与风险管理的整合应对
(一)内部控制与风险管理的关系
我国内部控制建设融合了风险管理和内部控制两种理念。
内部控制和风险管理不是独立两个体系,内部控制的基础是基于对企业风险的识别,内部控制建设的目的是防范和控制风险;风险管理体系的建立是依赖于内部控制体系的建设,所以两者相互协调、统一的整体,其最终的目的都是促进企业实现发展战略目标。
基于风险管理为基础的内部控制整合体系,是企业内部控制建设和实施的方向,规范和指引各种类型企业的内部控制建设。
(二)内部控制与风险管理整合体系
内部控制与风险管理整合的步骤如下:
第一步:组建风险及内部管理架构
确认企业风险管理及内部控制管理的目标、原则,组建风险及内部管理(以下简称“风控”)架构,明确治理层、管理层的管理层级、权限、职责,以及具体风控实施的部门、职能、人员构成、任职要求、汇报层级等,要保证风控部门的权威性和一定条件的参与权、处置建议权。
第二步:风险信息收集及整理
企业治理层确认企业风险管理目标,明确风险管理的重点和原则。
由风控部门牵头,各职能部门、业务部门共同参与,以风险管理目标为基础,对企业所面临的各种风险进行收集,之后进行信息的整理、筛选和汇总工作,形成的风险信息因素要有普遍性、针对性、行业特性。
在此基础上,共同讨论形成企业的经营管理活动的初步业务循环。
第三步:风险评估及分析
由风控部门,或由风控部门牵头,业务骨干参与组成风险评估小组,对企业经营管理活动,按循环、部门对业务流程进行梳理,明确企业目前重要的业务经营单元有哪些,这些业务经营单元由哪些业务流程构成。
流程梳理后,企业将从风险管理的角度分别对每个流程进行分析,同时结合整理后的风险信息因素进行对比,这些流程中目前是否存在风险,存在哪些类别的风险,风险在什么情况下会发生,风险对企业的影响是否在企业承受范围之内,目前企业针对该风险的防控措施有哪些,是否还有效运转,实施了这些防控措施后风险的影响是否有所降低,经有效防控后的风险影响是否符合企业目前的风险偏好和企业目前的承受范围内等。
在此基础上,对企业的业务流程进行重新的界定和划分,循环划分的详细程度,依据业务管理的精细化程度不同而定,以达到企业经营管理活动的全面性、重要性和成本效益的原则。
第四步:缺陷的确认与整改
风控部门在评估检查后风险,对企业目前确实已经发生且存在的,编制缺陷汇总,包括可能产生的风险及形成原因、可能造成的风险损失、重要性程度、责任部门等,与缺陷发生的部门讨论确认,按审批权限审批后,下发整改执行。
第五步:制定风险应对方案
在上一步骤基础上,结合企业的风险偏好,确认针对风险的控制措施。
第六步:编写风险数据库
企业风控部门组织各部门编写风险数据库,依据划分的流程,说明企业可能会面临的风险、所属的循环、风险可能产生的后果、风险影响的程度、风险的应对政策、风险的责任部门等。
企业在风险数据库编写的要结合风险信息收集和评估的内容,有针对性进行编写,不是风险信息的内容越多越好,而是要体现企业所处的内外部环境、发展周期、经营规模、人员状况等。
企业风险数据库,要定期进行重新的识别、评估,进行更新,以符合企业的状况。
第七步:编写内部控制体系文件
企业在风险和流程梳理完成后,依据识别出的风险、企业的风险应对策略,对现有的控制活动的控制措施进行修改或完善,以达到规避风险的目的,控制措施的体现载体为企业风险和内部控制管理体系文件。
企业修改或完善内部控制体系文件时,首先要对现有的评估的风险与现有体系文件中规定的控制措施进行一一核对,找出体系文件存在遗漏、不完整、不规范之处,在此基础上进行完善。
企业在编写内部控制体系文件时,要结合《企业内部控制基本规范》五要素的要求,并且企业在编写内部控制体系文件时,要结合国家的相关法律法规的要求和监督部门特殊要求。
第八步:编写评价文件
企业编写评价文件,主要是为了内部监督部门对风险和内部控制管理实施情况进行评价。
编写的依据是企业完善后的内部控制体系文件,针对每一项业务活动、控制措施,制定评价的方法、频率、文件抽查名称、抽查的数量、缺陷定义的依据等。
评价手册的编写,要使实施评价活动的人员,在实施评价活动过程有依有据,填写的评价手册底稿内容,要能如实反应企业的存在的问题,所以评价手册的编写的要素要完整,格式要简练,操作性强。
第九步:实施评价活动
企业在实施评价活动之前,要先确认评价的重点、评价的频率。
企业对风险的承受度、企业经营管理的复杂程度、人力资源素质、实施成本,决定企业实施评价的频率,企业至少每年要实施一次评价活动。
实施评价活动的频率,也与每次进行评价的内容相关,如果企业在一个年度内,进行数次的评价活动,考虑成本的原则,每次可以选择不同的重点内容进行评价,如果每年度只进行一次评价活动,就是进行全面性的评价活动。
第十步:编写评价报告
