企业风险管理
风险的含义、构成要素及其分类
| (一)含义 | 企业风险指对企业的战略与经营目标实现产生影响的不确定性。一般用事件后果和发生可能性的组合来表达 |
|---|---|
| 一是风险与目标实现相关(目标和风险相伴) 二是风险来自于不确定性(风险与机遇并存) |
| (二)构成要素 | 企业风险构成的基本要素: ①风险因素——促使风险事件发生的原因或条件 ②风险事件——造成损失的偶发事故 ③损失——非故意、非预期、非计划的经济价值减少 |
|---|---|
(三)风险分类
◆按照来源和范围分类为:
①外部风险
②内部风险
◆按照能否给企业带来盈利:
①纯粹风险
②机会风险
◆按照采取应对措施:
①固有风险
②剩余风险
风险管理的含义和框架、作用及原则
(一)风险管理的含义
指企业为实现风险管理目标,对风险进行有效识别、分析、预警和应对等管理活动的过程。
风险管理目标是在确定企业风险偏好的基础上,将企业的总体风险和主要风险控制在企业风险容忍度范围之内。
(二)企业风险管理框架
《企业风险管理——整合框架》,将风险管理定义为:一个过程,由一个董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。
企业风险管理框架力求实现组织的战略目标、经营目标、报告目标、合规目标四种类型目标。企业风险管理包括八个相互关联的构成要素,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
一个企业各个构成要素如果存在并正常运行,那么风险管理就可能没有缺陷,风险可能已经被控制在主体的风险容量范围内。
| (三)企业风险管理主要作用 | (1)协调企业可承受的风险容忍度与战略; |
|---|---|
| (2)增进风险应对决策,促使企业在识别和选择风险应对策略时更具严密性; | |
| (3)抑减经营意外和损失; | |
| (4)识别和管理贯穿于企业的风险; | |
| (5)提供对多重风险的整体应对; | |
| (6)抓住机会; | |
| (7)改善资本调配 |
风险管理存在局限性,主要表现在:决策过程中的判断失误,受限于成本效益衡量,类似简单误差或错误的个人缺失、两个或多个人员串通、管理层凌驾等。
| (四)风险管理原则 | 融合性 | 企业风险管理应与战略设定、经营管理及业务流程相结合; |
|---|---|---|
| 全面性 | 企业风险管理应覆盖企业所有的风险类型、业务流程、操作环节和管理层级与环节; | |
| 重要性 | 企业应对风险进行评价,确定需要进行重点管理的风险,并有针对性地实施重点风险监测,及时识别、应对; | |
| 平衡性 | 企业应权衡风险与回报、成本与收益之间的关系 |
目标设定、风险识别
风险管理流程和方法
风险管理的基本流程包括目标设定,风险识别、风险分析、风险应对、风险监控、信息沟通和报告、风险管理考核和评价。
(一)目标设定
设定合理的目标才能保证企业成功经营。企业通过建立程序使各项目标与企业的使命相协调,并且确保所选择的具体目标及其所面临的风险在企业愿意承受的风险水平(即风险容忍度)范围内,即目标设定环节应确定企业的风险偏好和风险容忍度。
| 风险偏好 | 风险偏好指企业愿意承担的风险及相应的风险水平,可以分为高、中、低三种,由董事会确定,一般用定性表示 |
|---|---|
| 风险容忍度 | 风险容忍度应在风险偏好的基础上,设定风险管理目标值的可容忍波动范围。风险容忍度尽可能用定量表示,主要决定因素包括:财务实力是否雄厚、运营能力是否高效、企业及品牌声誉是否坚不可摧、企业营运市场的竞争能力等。风险容忍度由企业董事会审批 |
(二)风险识别
风险识别是识别可能会对企业产生影响的潜在事件,并分别确定是否是机会或者可能影响风险管理目标实现的内外部风险因素和风险事项。
| 风险识别要针对目标进行,充分考虑可能给企业带来有利或不利影响的内外部因素,再在此基础上考虑各项因素的重要性,进一步分析相关事件 | ||
|---|---|---|
| 1.潜在事件分析 | 外部因素 | 经济、自然环境、政治、社会、技术、市场、产业、法律、竞争对手等 |
| 内部因素 | 基础结构、人员、流程、信息系统技术能力、研发能力、财务状况、企业声誉、市场地位等 |
2.事件识别主要技术和方法
风险识别建立在广泛的信息搜集基础上,既要考虑已经发生的,还要着眼未来做一定预判。风险识别的应用技术包括:调查问卷、风险组合清单、职能部门风险汇总、SWOT分析、高级研讨会及头脑风暴、损失事件数据追踪、内部审计、流程图、内部风险管理会议、每月管理和分析报告、金融市场活动的实时反馈、主要的外部指数和内部指数、政策变化追踪及相关性分析、决策树分析和事件树分析等。
【提示】随着信息技术与商业模式、管理模式的有效结合,加大大数据应用对风险管理变得越来越重要,可以提升风险识别的能力,选择出对企业更为重要的有利或不利的因素,避免损失,甚至将不确定性转变为机会。
(1)战略风险
主要考虑:国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策;科技进步、技术创新的有关内容;市场对本企业产品或服务的需求;与企业战略合作伙伴的关系,未来寻求战略合作伙伴的可能性;本企业主要客户、供应商及竞争对手的有关情况;与主要竞争对手相比,本企业的实力与差距;企业发展战略和规划、投融资计划、年度经营目标、经营战略,及编制这些战略、规划、计划、目标的依据;企业对外投融资流程中曾发生或易发生错误的业务流程或环节。
(2)财务风险
主要考虑:负债、或有负债、负债率、偿债能力;现金流量、应收账款及其占销售收入的比重、资金周转率;产品存货及其占销售成本的比重、应付账款及其占购货额的比重;制造成本和管理费用、财务费用、销售费用;盈利能力;成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节;与企业相关的行业会计政策、会计估计、与国际财务报告准则的差异与调节(如退休金、递延税项等)等信息。
(3)市场风险
主要考虑:产品或服务的价格及供需变化;能源、原材料、配件等物资供应的充足性、稳定性和价格变化;主要客户、主要供应商的信用情况;税收政策和利率、汇率、股票价格指数的变化;潜在竞争者、竞争者及其主要产品、替代品情况。
(4)运营风险
主要考虑:产品结构、新产品研发;新市场开发,市场营销策略,包括产品或服务定价与销售渠道,市场营销环境状况等;企业组织效能、管理现状、企业文化,中高层管理人员和重要业务流程中专业人员的知识结构、专业经验;期货等衍生产品业务中曾发生或易发生失误的流程和环节;质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节;因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵;造成企业损失的自然灾害以及除上述有关情形之外的其他纯粹风险;对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力;企业风险管理的现状和能力。
(5)法律与合规风险
主要考虑:国内外与本企业相关的政治、法律环境;影响企业的新法律法规和政策;员工道德操守的遵从性;签订的重大协议和有关贸易合同中本企业发生重大法律纠纷案件的情况;企业和竞争对手的知识产权情况。
| (6) | 政治风险:东道国限制投资领域、设置贸易壁垒、外汇管制、税收政策变化、没收财产等。 |
|---|---|
| (7) | 社会文化风险:跨国经营活动东道国文化和母国文化的差异;企业并购双方企业文化的差异;组织内部的文化差异等。 |
| (8) | 技术风险:新技术对行业带来的影响,企业在设计、研发和应用环节所带来的风险。 |
| (9) | 自然环境风险:极端天气、自然灾害等。 |
| (10) | 产业风险:产业周期、供应链、产业链构成和集成程度、产业发展趋势等。 |
| (11) | 信用风险:交易对手的经营状况、是否被制裁等因素。 |
3.事件分类
通过潜在事件分类,并将企业各单元和各层级的事项汇总,可以更多地获得风险评估的信息,辨识机会和风险。
4.区分风险和机会
企业通过对事件分析,对于负面影响的事件(即风险)由管理层进一步评估和应对,对于具有正面影响或者抵消风险的负面影响的事件(即机会)则反馈到管理层的战略或目标制定过程中,以便更好地抓住机会。
第03讲 风险分析
(三)风险分析
风险分析是在风险识别的基础上,对风险成因、风险特征、风险之间相互关系,以及风险发生的可能性、影响企业目标的程度进行分析,为风险应对策略提供支持。
| 1.风险分析描述 | 对列出的风险事件,分别分析发生的可能性和影响程度,通过绘制风险矩阵坐标图来表示 |
|---|---|
| (1)分析风险可能性。风险发生可能性的纵坐标等级可定性描述为很少、不太可能、可能、很可能、几乎确定等 | |
| (2)分析风险影响程度。可定性描述为微小、较小、中等、较大、重大等 | |
| (3)确定风险重要性水平,将风险可能性和影响程度在风险矩阵中表示,形成风险矩阵图 |
风险矩阵优点:为企业确定各项风险重要性等级提供可视化的工具。
风险矩阵缺点:①风险重要性等级标准、风险发生可能性、后果严重程度等大多依靠主观判断,准确性受到一定影响;②应用风险矩阵所确定的风险重要性等级通过相互比较确定,无法将列示的个别风险重要性等级通过数学运算得到总体风险的重要性等级。
(4)从企业整体角度进行风险分析描述。风险分析不仅要分析单一风险的可能性和影响程度,同时要关注风险之间的关系,考虑整个企业层面的组合风险,特别是各单元均未超过风险容忍度,但组合后超出整体风险容忍度的情况;当然,如果一个业务单元超过容忍度,但与其他单元的抵消效应,将风险降低到可承受的范围也是可以接受的。
| 2.风险定量分析 | 为避免主观判断的影响,风险矩阵中的可能性和影响程度在条件具备的情况下,采用定量或定性与定量相结合的技术进行 |
|---|---|
| 定量技术包括概率技术和非概率技术,概率技术包括风险“模型”(风险价值、风险现金流量和风险收益)、损失分布、事后检验、蒙特卡洛模拟等,非概率技术包括敏感分析、情景分析、压力测试、设定基准等 |
(四)风险应对
风险应对是对已发生的风险或已超过监测预警临界值的风险制定风险应对策略。风险应对是在风险组合观的基础上,从企业整个范围和组合的角度去考虑。在考虑应对方案的时候,不同应对方案均需要考虑、计算各自的固有风险和剩余风险。风险应对是通过对不利事件、有利事件的分析,选择实施方案将剩余风险控制在可承受度以内。
在风险应对过程中,管理层应考虑:①不同的拟应对方案对风险应对的可能性和影响程度(可用利润、每股收益等表示),哪个应对方案与企业的风险容限相协调;②不同的拟应对方案的成本和效益;③实现企业目标可能的机会。
计算风险敞口——根据当前主要风险类别所涉及的业务范围采取风险防控措施未能全覆盖而发生未加保护的风险可能导致的潜在损失。风险敞口通常将各个风险类别当中的风险潜在损失加总,加总后,再考虑各个风险因素间的相关性进行调整得到。风险敞口在正常情况下不应高于企业的可承受能力。
| 1.风险承受 | 企业对所面临的风险采取接受的态度,从而承担风险带来的后果 |
|---|---|
| (1)因风险管理能力不足未能辨认出的风险只能承受。 (2)对于辨认出的风险,由于以下几种原因采取风险承受策略:①缺乏能力进行主动管理,只能承受;②没有其他备选方案;③从成本效益考虑,风险承受是最适宜的方案 | |
| (3)对企业的重大风险,不应采取风险承受的策略 | |
| 2.风险规避 | 企业主动回避、停止或退出某一风险的商业活动或商业环境,避免成为风险的承受者 |
| (1)拒绝与信用等级低的交易对手交易; (2)设置网址访问限制,禁止员工下载不安全的软件; (3)禁止在金融市场做投机业务; (4)出售从事某一业务的子公司; (5)退出某一亏损且没有发展前途的产品线; (6)停止向一个发生战争的国家开展业务 | |
| 3.风险分担 | 企业为避免承担风险损失,有意识地将可能产生损失的活动或与损失有关的财务后果转移给其他方的一种风险应对策略 |
| (1)风险转移指企业通过合同将风险转移到第三方,企业对转移后的风险不再拥有所有权。风险转移不会降低其可能的严重程度,只是从一方移除后转移到另一方。例如,保险、风险证券化、合同约定风险转移 | |
| (2)风险对冲指采取手段,引入多个风险因素或承担多个风险,使其能够互相对冲,即将这些风险的影响相互抵消。风险对冲手段:资产组合使用、多种外币结算的使用、多种经营战略、金融衍生品(套期保值、外汇远期)等 | |
| 4.风险降低 | 企业在权衡成本效益之后,采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内 |
| (1)风险转换指企业通过战略调整等手段将企业面临的风险转换成另一种风险,使得总体风险在一定程度上降低 | |
| (2)风险补偿指企业对风险可能造成的损失采取适当的措施进行补偿,以降低风险 | |
| (3)风险控制指控制风险事件发生的动因、环境、条件等,来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的 |
(五)风险监控、信息沟通机制和报告制度
1.风险监控。
基于风险评价,针对重点风险及相应的指标,设置风险预警指标体系,将指标值与预警临界值进行比较,识别预警信号,进行预警分级,对风险的状况进行监测并实施控制。
(1)风险监控中发现的已形成较大损失的重要事件应向上一级部门报告;
(2)重大事件应向公司管理层或董事会报告;
(3)对特别重要的重大事件预警应建立应急处置机制。
2.信息沟通机制和报告制度。
传递和反馈风险管理各环节的相关信息体现的方面:
①企业内部管理层级、责任单位、业务环节之间;
②企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间。
风险报告按照报送内容、频次、对象和路径,分为综合报告和专项报告,定期报告和不定期报告(重大重要事件报告)等。
(六)风险管理考核和评价
1.风险管理部门应定期对各职能部门和业务部门的风险管理实施情况和有效性进行考核,形成考核结论并出具考核报告,及时报送企业管理层和绩效管理部门。
国有企业经营管理有关人员在风险管理方面发生下列情形造成国有资产损失以及其他严重不良后果的,应当追究责任,主要包括:内控及风险管理制度缺失;内控流程存在重大缺陷或内部控制执行不力;对经营投资重大风险未能及时分析、识别、评估、预警和应对;对企业规章制度、经济合同和重要决策的法律审核不到位;过度负债危及企业持续经营,恶意逃废金融债务;瞒报、漏报重大风险及风险损失事件,指使编制虚假财务报告,企业账实严重不符等。
2.企业应定期对风险管理制度、工具方法和风险管理目标的实现情况进行评价,识别是否存在内部控制重大缺陷,评价风险管理是否有效,形成评价结论并出具评价报告。同时,应建立整改和改进机制。
第05讲 风险管理体系
风险管理体系
企业建立风险管理体系,至少应包括以下方面:(1)风险管理理念;(2)风险管理组织职能体系;(3)风险管理制度体系;(4)风险管理信息系统。
(一)风险管理理念。
企业应建立统一的风险管理理念,形成对风险统一的信念和态度。风险管理理念可通过企业各种口头或书面政策表述,形成风险文化,从而促使个人价值观、团队价值观、行为态度及处世方式在风险管理的价值观上趋同,避免一些部门过于激进而另一些部门过于保守。
(二)风险管理组织体系。
明确风险管理组织架构及各自职责是开展全面风险管理的必要条件。企业各有关职能部门和业务单位是风险管理的第一道防线;风险管理职能部门和董事会下设的风险管理委员会是第二道防线;内部审计部门和董事会下设的审计委员会是第三道防线。
(三)风险管理制度体系。
企业应建立健全能够涵盖风险管理主要环节的风险管理制度体系,通常包括风险管理决策制度、风险识别与评估制度、风险监测预警制度、应急处理制度、风险管理评价制度、风险管理报告制度、风险管理考核制度等。
(四)风险管理信息系统。
企业应用的风险管理信息系统的主要功能有:(1)实现风险信息共享;(2)风险预测和评估;(3)开展风险监控。
第06讲 COSO内部控制框架和我国内部控制规范体系
企业内部控制
COSO内部控制框架和我国内部控制规范体系
(一)COSO内部控制框架
1.内部控制定义。COSO于2013年发布的《内部控制——整合框架》将内部控制定义为,一个由主体的董事会、管理层和其他员工实施的、旨在为实现运营、报告和合规目标提供合理保证的过程。
2.内部控制要素。内部控制五要素包括:控制环境、风险评估、控制活动、信息与沟通、监督活动。并且,五个要素间相互联系且相互依存,在所有要素同时存在的情况下,应以整合的方式共同运行。
3.有效的内部控制体系。内部控制是一个动态、反复且整合的过程。一个有效的内部控制体系不仅需要严格遵守政策和程序,还需要运用判断。
建立有效的内部控制需要:
①内部控制五要素中的每个要素以及相关原则必须同时存在并持续运行;
②五要素以整合的方式共同运行。
有效的内部控制体系可以向高级管理层和董事会提供如下合理保证:①当外部事件对目标的实现不太可能造成重大影响,或组织可以合理地预测外部事件的性质和发生时间,并将其影响降低到可接受水平时,组织可以实现运营目标的效果和效率。②当外部事件对目标的实现造成重大影响,且组织不能将其影响降低到可接受水平时,需要知晓运营目标的效果和效率被控制的程度。③编制报告,以遵守各项适用的规章及标准,或主体特定的报告目标。④组织遵守适用的法律法规、规章及外部标准。
4.内部控制局限性。内部控制局限性表现在:目标设定的适当性、决策过程中人为判断可能造成错误和偏见;差错等人为过失;管理层凌驾于内部控制之上;管理层、组织其他人员和(或)第三方通过串通而规避控制;发生超出组织控制能力的外部事件。
(二)我国企业内部控制规范体系
由基本规范和配套指引构成。配套指引由18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》组成。我国还制定了《小企业内部控制(规范)试行》,对企业内部控制规范体系形成有益补充。
◆对比COSO框架,我国《企业内部控制基本规范》较早地将内部控制与风险紧密结合,建立了以风险为导向的内部控制。较早地既关注财务报告目标,也关注非财务报告目标;既关注合规、报告、运营目标,也关注战略目标。
◆我国《企业内部控制基本规范》将内部控制定义为,是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。
| 内部控制目标 | 内部控制目标是合理保证 |
|---|---|
| (1)企业经营管理合法合规 | 基础目标 |
| (2)资产安全 | |
| (3)财务报告及相关信息真实完整 | |
| (4)提高经营效率和效果 | 重要目标 |
| (5)促进企业实现发展战略 | 终极目标 |
内部控制原则、要求、主要形式
内部控制原则和要求
(一)全面性原则
内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项,实现全过程、全员性控制,不存在内部控制空白点。
(二)重要性原则
内部控制应当在兼顾全面的基础上,关注重要业务事项和高风险领域,并采取更为严格的控制措施,确保不存在重大缺陷。企业对“三重一大”事项实行集体决策和联签制度,就是重要性原则的体现。
(三)制衡性原则
内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制,同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节,同时还要求履行内部控制监督职责的机构或人员具有良好的独立性。
(四)适应性原则
内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性,适时地对内部控制系统进行评估,发现可能存在的问题,并及时采取措施予以补救。
(五)成本效益原则
内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发,尽管某些控制会影响工作效率,但可能会避免整个企业面临更大损失,此时仍应实施相应控制。
企业实践中的内部控制组织形式
| ①董事会 | 董事会对内部控制的建立健全和有效实施负责。内部控制建立与实施对企业组织架构最直接的影响就是加大了董事会及其全体董事的责任,具体包括:科学选择经理层并对其实施有效监督;清晰了解企业内部控制的范围;就企业的最大风险承受度形成一致意见;及时知悉企业最重大的风险以及经理层是否恰当地予以应对 |
|---|---|
| ②审计委员会 | 企业应当在董事会下设立审计委员会。审计委员会:负责审查企业内部控制的设计;监督内部控制的有效实施;领导开展内部控制自我评价;与中介机构就内部控制审计和其他相关事宜进行沟通协调等。审计委员会负责人及其成员必须具备相应的独立性、良好的职业操守和专业胜任能力 |
| ③监事会 | 监事会对董事会建立与实施内部控制进行监督。监事会监督不同于审计委员会对经理层的监督,是一种层次更高、独立性更强的再监督。监事会主席及其成员应当定期参加董事会及下属审计委员会召开的涉及内部控制的会议,如对董事会及下属审计委员会有关内部控制的决策持有异议,或认为董事会和经理层成员存在舞弊行为,还可提议召开独立的监事会议 |
| ④经理层 | 经理层负责组织领导企业内部控制的日常运行。贯彻董事会及其审计委员会对内部控制的决策意见;为其他高级管理人员提供内部控制方面的领导和指引;定期与采购、生产、营销、财务、人事等主要职能部门和业务单元的负责人进行会谈,对其控制风险的措施及效果进行督导和核查等 |
| ⑤内部控制部门 | 企业可以成立专门的内部控制工作团队,也可以成立内部控制专职机构(或岗位),专门负责内部控制在企业内部各部门间的组织协调和日常性事务工作。职责一般包括:制定内部控制手册并组织落实;确定各职能部门或业务单位对于内部控制的权利和义务;指导内部控制与其他经营计划和管理活动的整合;向董事会及其审计委员会或经理层报告内部控制建设进展情况和存在的问题等 |
| ⑥内部审计部门 | 内部审计部门在评价内部控制的有效性以及提出改进建议等方面起着关键作用。企业应当授予内部审计部门适当的权力以确保其独立地履行审计职责;对内部审计部门负责人的任免应当慎重;内部审计部门负责人与董事会或审计委员会应保持沟通;应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议的权力 |
| ⑦财会部门 | 财会部门在保证与财务报告相关的内部控制有效性方面发挥着十分重要的作用。企业开展内部控制工作,要求财会部门不能将眼光仅仅局限于财务活动,而应贯穿于企业经营管理的全过程,在制定发展战略、分析评估风险和作出决策等环节扮演好关键的助手和参谋角色。企业经理层应当赋予财会部门负责人参与相应决策的权力 |
| ⑧其他职能部门 | 企业内部各职能部门(或业务单位)及其全体员工都应当在建立与实施内部控制过程中承担相应职责并发挥积极作用。企业可以根据需要在各职能部门(或业务单位)内部设立内部控制岗位,专门负责与本部门相关的内部控制工作,并定期与内部控制职能部门进行沟通。企业经理层应当重视全体员工在内部控制中的作用,为员工反映诉求提供信息通道 |
内部控制程序、要素和方法
内部控制程序、要素和方法
(一)内部控制程序
内部控制程序一般包括:(1)确定控制目标(或标准),(2)衡量控制结果,(3)分析差异,(4)采取补救或改善措施,(5)综合检查评价。
(二)内部控制要素
| (二)内部控制要素 | 1 | 内部环境 | 重要基础 |
|---|---|---|---|
| 2 | 风险评估 | 重要环节 | |
| 3 | 控制活动 | 具体方式 | |
| 4 | 信息与沟通 | 重要条件 | |
| 5 | 内部监督 | 重要保证 |
| (1)内部环境 | 规定企业的纪律与架构,影响经营管理目标的制定,塑造企业文化氛围并影响员工的控制意识,是企业建立与实施内部控制的基础。内部环境主要包括治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化等 |
|---|---|
| ①治理结构 | 企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确董事会、监事会和经理层在决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。董事会应当独立于经理层,对内部控制的设计与运行进行监控 |
| ②机构设置及权责分配 | 企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。企业内部机构设置虽然没有统一的模式,但是,所采用的组织结构应当有利于提升管理效能,保证信息通畅流动 |
| ③内部审计机制 | 企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性 |
| ④人力资源政策 | 人力资源政策应当有利于企业可持续发展,一般包括员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩;关键岗位员工的强制休假制度和定期岗位轮换制度;对掌握国家秘密或重要商业秘密的员工离岗的限制性规定等内容。企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质 |
| ⑤企业文化 | 企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识和法制观念。董事、监事、经理及其他高级管理人员应在塑造良好的企业文化中发挥关键作用 |
| (2)风险评估 | 风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对策略,实施内部控制的重要环节。风险评估重点关注的内容有:①外部环境:监管或经济环境等外部环境变化可能导致竞争压力不断增加、运营需求发生变化,及由此出现的风险;自然灾害等物理环境的变化影响企业供应链、商业合作伙伴等,导致企业持续经营风险。②商业模式:改变商业模式、重大收购和资产剥离、境外业务、快速增长、新技术应用于企业生产、服务交付流程或支持信息系统等,以及由此出现的新风险。③领导变更:新的高层管理人员管理哲学、对现有企业文化的理解等发生变化;人员高流动性、缺乏有效的培训和监督都可能导致内部控制失效。 |
|---|---|
| (3)控制活动 | 控制活动是指企业根据风险应对策略,采用相应的控制措施,将风险控制在可承受度之内,是实施内部控制的具体方式。常见的控制措施有七种。企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制 |
|---|---|
| ①不相容职务分离控制 | 不相容职务是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。在设计内部控制系统时,首先应确定哪些岗位和职务是不相容的;其次要明确规定各个机构和岗位的职责权限,使不相容岗位和职务之间能够相互监督、相互制约,形成有效的制衡机制。 【注意】因资源限制等原因无法实现不相容职务相分离的,企业应当采取抽查交易文档、定期资产盘点等替代性控制措施。 不相容职务一般包括: (1)授权批准与业务经办; (2)业务经办与会计记录; (3)会计记录与财产保管; (4)业务经办与稽核检查。 |
| ②授权审批控制 | 企业在办理各项经济业务时,必须经过规定程序的授权批准。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权,用以规范经济业务的权力、条件和有关责任者,其时效性一般较长。特别授权是企业在特殊情况、特定条件下对办理例外的非常规性交易事项的权力、条件和责任的应急性授权。企业必须建立授权审批体系,编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权 |
| ③会计系统控制 | 会计系统控制的内容主要包括:依法设置会计机构,配备会计从业人员,建立会计工作的岗位责任制,对会计人员进行科学合理的分工,使之相互监督和制约;按照规定取得和填制原始凭证;设计良好的凭证格式;对凭证进行连续编号;规定合理的凭证传递程序;明确凭证的装订和保管手续责任;合理设置账户,登记会计账簿,进行复式记账;按照《会计法》和国家统一的会计准则制度的要求编制、报送、保管财务会计报告 |
| ④财产保护控制 | 财产保护控制的措施主要包括:财产记录和实物保管;定期盘点和账实核对;限制接近。限制接近包括限制对资产本身的直接接触和通过文件批准方式对资产使用或分配的间接接触。一般情况下,对货币资金、有价证券、贵重物品、存货等变现能力强的资产必须限制无关人员的直接接触 |
| ⑤预算控制 | 分解预算控制的主要环节有:确定预算的项目、标准和程序;编制和审定预算;预算指标的下达和责任人的落实;预算执行的授权;预算执行过程的监控;预算差异的分析和调整;预算业绩的考核和奖惩。预算决策权属于内部管理的最高层(股东大会)职权,由内部审计等部门负责监督预算的执行 |
| ⑥运营分析控制 | 运营分析控制要求企业建立运营情况分析制度,综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进 |
| ⑦绩效考评控制 | 绩效考评控制的主要环节有:确定绩效考评目标;设置考核指标体系;选择考核评价标准;形成评价结果,依据评价指标和标准,对企业全体员工的业绩进行定期考核和客观评价;制定奖惩措施,将绩效考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗和辞退等的依据 |
| (4)信息与沟通 | 企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。信息与沟通是实施内部控制的重要条件。 ◆信息质量; ◆沟通制度; ◆信息系统; ◆反舞弊机制 ——信息与沟通四要件 |
|---|---|
| ①信息质量 | 企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息 |
| ②沟通制度 | 信息的价值必须通过传递和使用才能体现。企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层 |
| ③信息系统 | 企业可以建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。企业利用信息技术对信息进行集成和共享的同时,还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行 |
| ④反舞弊机制 | 舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为,它是需要企业重点加以控制的领域之一。企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。  反舞弊工作的重点领域包括:侵占、挪用企业资产,谋取不当利益;在财务会计报告和信息披露等方面存在虚假记载、误导性陈述或者重大遗漏等;董事、监事、经理及其他高级管理人员滥用职权;相关机构或人员串通舞弊。为确保反舞弊工作落到实处,企业应当建立举报投诉制度和举报人保护制度,并应当及时传达至全体员工 |
| (5)内部监督 | 内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,对于发现的内部控制缺陷,及时加以改进,是实施内部控制的重要保证。内部监督分为日常监督和专项监督。日常监督和专项监督情况应当形成书面报告,并在报告中揭示存在的内部控制缺陷。企业应当在日常监督和专项监督的基础上,定期对内部控制的有效性进行自我评价,出具自我评价报告。 |
|---|---|
| 日常监督的常见方式包括:①在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息;②在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息;③在与员工沟通过程中获得内部控制是否有效执行的证据;④通过账面记录与实物资产的检查比较对资产的安全性进行持续监督;⑤通过内部审计活动对内部控制有效性进行持续监督 | |
| 日常监督应当重点关注下列情形:因资源限制而无法实现不相容岗位相分离;业务流程发生重大变化;开展新业务、采用新技术、设立新岗位;关键岗位人员胜任能力不足或关键岗位出现人才流失;可能违反有关法律法规;其他应通过风险评估识别的重大风险等 | |
| 专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。专项监督应当与日常监督有机结合,日常监督是专项监督的基础,专项监督是日常监督的补充,如果发现某专项监督需要经常性地进行,企业有必要将其纳入日常监督之中 |
第09讲 内部控制活动的基本内容
(三)内部控制活动的基本内容
我国《内部控制应用指引》将内部控制分为企业层面控制和业务层面控制。企业层面包括组织架构、发展战略、人力资源、社会责任、企业文化等对实现控制目标有重大影响,且与内部环境、风险评估、信息与沟通、内部监督直接相关的控制,业务层面包括资金、采购、资产、销售、研发、工程、担保、业务外包、财务报告、全面预算、合同、内部信息传递、信息系统等具体业务和事项的控制。每项应用指引均分析了所涉及的主要风险和关键控制点及控制措施,构成企业内部控制活动的基本内容。
第10讲 内部控制评价和审计
内部控制评价
企业内部控制评价是指企业董事会或类似权力机构定期对内部控制的有效性进行全面评价、形成评价结论、出具评价报告。内部控制有效性是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。
(1)内部控制设计的有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当。评价时应充分考虑:①是否为防止、发现并纠正财务报告重大错报而设计了相应的控制;②是否为合理保障资产安全而设计了相应的控制;③相关控制的设计是否能够保证企业遵循适用的法律法规;④相关控制的设计是否有助于企业提高经营效率和效果,实现发展战略。
(2)内部控制运行的有效性是指现有内部控制按照规定程序得到了正确执行。评价时应充分考虑:①相关控制在评价期内是如何运行的;②相关控制是否得到了持续一致的运行;③实施控制的人员是否具备必要的权限和能力;④相关控制运行的方式,一般包括人工控制和自动控制、预防性控制和发现性控制。
(3)内部控制评价的内容:企业应当从内部环境、风险评估、控制活动、信息与沟通、内部监督要素入手,结合企业业务特点和管理要求,确定内部控制评价的具体内容,建立内部控制评价的核心指标体系,对内部控制设计与运行情况进行全面评价。
(4)内部控制评价的程序
(5)内部控制评价的方法
内部控制评价的方法包括:个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。
(6)内部控制缺陷认定——内部控制缺陷是评价内部控制有效性的负向维度,如果内部控制设计或运行无法合理保证内部控制目标的实现,则意味着内部控制缺陷。
| 内部控制缺陷认定 | |
|---|---|
| 形成原因 | ·设计缺陷 ·运行缺陷 |
| 表现形式 | ·财务报告内部控制缺陷 ·非财务报告内部控制缺陷 |
| 严重程度 | ·重大缺陷 ·重要缺陷 ·一般缺陷 |
(7)内部控制评价报告
内部控制评价报告经企业董事会批准后按要求对外披露或报送相关主管部门,使用者包括政府监管部门、投资者及其他利益相关者、中介机构和研究机构等。
内部控制审计
内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。内部控制审计是内部控制外部评价的重要形式之一。
| 企业内部控制审计与评价区别和联系 | 区别 | 评价主体不同 | 建立健全和有效实施内部控制,评价内部控制的有效性,是企业董事会的责任;在实施审计工作基础上对内部控制的有效性发表审计意见,是注册会计师的责任 |
|---|---|---|---|
| 评价目标不同 | 内部控制评价是企业董事会对各类内部控制目标实施的全面评价;内部控制审计是注册会计师侧重对财务报告内部控制目标实施的审计评价 | ||
| 评价结论不同 | 企业董事会对内部控制整体有效性发表意见,并在内部控制评价报告中出具内部控制有效性结论;注册会计师仅对财务报告内部控制的有效性发表意见,对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,增加“非财务报告内部控制重大缺陷描述段”予以披露 | ||
| 联系 | 依赖同样的证据、遵循类似的测试方法、使用同一基准日,因此,在内部控制审计过程中,注册会计师可以利用内部控制评价的工作 | ||
| 年度内部控制评价报告应当于基准日后4个月内报出,企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送 |
| 内部控制审计意见类型 | |
|---|---|
| 无保留审计意见 | 必须同时符合两个条件:(1)企业按照要求在所有重大方面建立并实施有效的内部控制;(2)注册会计师按照有关内部控制审计准则的要求计划和实施审计工作,在审计过程中未受到限制 |
| 带强调段的无保留意见 | 注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请审计报告使用者注意的,应在审计报告中增加强调事项段予以说明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对财务报告内部控制发表的审计意见 |
| 否定意见 | 注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,应对财务报告内部控制发表否定意见,同时说明重大缺陷的有关情况 |
| 无法表示意见 | 注册会计师审计范围受到限制的,应当解除业务约定或出具无法表示意见的内部控制审计报告,在报告中指明审计范围受到限制,无法对内部控制有效性发表意见。注册会计师在已执行的有效程序中发现内部控制存在重大缺陷的,应当在“无法表示意见”的审计报告中对已发现的重大缺陷作出详细说明 |
第11讲 风险管理、公司治理与内部控制
第三节 企业风险管理、内部控制与公司治理
公司治理
公司治理是指根据股东和其他利益相关方的利益指导和控制企业的体系。公司治理是通过一套包括正式或非正式的、内部或外部的制度或机制来协调公司与所有利益相关者之间的利益关系,以保证公司决策的科学性和公正性,从而最终维护各方面的利益。公司治理的目标不仅是股东利益的最大化,而且是保证所有利益相关者的利益最大化。
风险管理、内部控制与公司治理的关系
(1)内部控制与风险管理作为企业管理的两大工具,各自经历了理论体系的创新和实务操作的发展。内部控制由传统的内部牵制制度逐步发展为以风险为导向的内部控制整合框架,风险管理也由分散的财务、经营和战略风险管理逐步发展为整合风险管理。
(2)内部控制有效实施是风险管理“落地”的有力支撑,而风险管理的技术方法也拓展了内部控制的外延和内涵,促进企业管理水平的提升和目标的实现。
(3)公司治理结构作为企业的内部环境,必然对企业风险管理和内部控制产生影响,薄弱的治理结构将直接导致风险管理和内部控制减弱。反过来,内部控制和风险管理的加强也有利于公司治理结构及内部环境的优化。
