时间:2023-09-26 17:28:40
序论:在您撰写内部控制与企业风险管理时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
[关键词] 企业风险管理 内部控制 平衡计分卡
一、建立有效的内部控制体系是防范企业风险有效途径
内部控制是指企业为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误和舞弊,保证会计资料及相关资料的真实、合法、完整而制定和实施的政策与程序。美国在2002年7月颁布了《萨班斯――奥克斯利》(SOX)法案。SOX404条款要求公司在报送的财务报告中,对公司的内部控制架构和它的有效性进行评估,所有的上市公司的内部控制制度都要达到SOX404条款规定的标准要求。可见,内部控制制度对防范企业风险的重要性。
良好的内部控制可以合理保证企业合规经营、财务会计信息的真实可靠和企业经营效率的提高,而合规经营、真实的财务报告和有效率的经营也正是企业风险管理所应该达到的基本状态。从这个角度出发,内部控制是风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理。相反,如果没有良好的内部控制,则往往会导致各种错误和舞弊的产生,甚至造成企业的破产倒闭。从国内的巨人集团衰败、银广厦案到国外的巴林银行倒闭、安然事件等无不是由于其内部控制缺损或失效所致。因此,内部控制是防范企业风险事件发生的一种长效机制。
二、保证内部控制有效性必须注意以下问题
内部控制按其控制的目的不同,可分为管理控制和会计控制。前者以提高企业经营效益和工作效率,保证经营方针、决策的贯彻执行以及经营目标的实现为目的;后者则是以保护企业财产物资的安全、确保会计信息的真实与完整以及财务活动的合法性为目的。两者相互联系、相互影响,有些控制措施可以用于会计控制,也可用于管理控制。内部控制在企业管理实务中的表现通常是制度或工作流程,其有效性取决于两个方面:一是制度的完善与合理;二是制度的执行情况。具体来说要保证内控制度有效必须重点做好以下几个方面的问题。
1.随着企业发展和内外部环境的变化,与时俱进,不断完善内部控制制度,适应企业运作的实际情况,既要避免制度管理上的盲点又要避免一些不必要环节和控制点,影响企业的运营效率和制度执行的自觉性。企业内控制度的完善在于对关键风险控制点的有效掌控。事实上,包括像世通、安然在内,几乎所有大公司都有一整套风险管理制度。这些制度涵盖了从对外投资到差旅费报销等所有环节,应有尽有。其实,企业的管理资源是有限的,控制需要耗费大量成本。如果企业将主要精力放在所有琐碎细小的控制点上,显然就有些舍本逐末了。
2.营造良好企业制度文化氛围,形成遵守制度和按工作流程办事的自觉性,创造良好的内部控制环境。对于一个企业而言,内部控制最大的困难不在于设计一套制度,而在于如何保证制度的执行。内部控制的真正意义和价值就在于执行。世通、安然、中石油新加坡公司破产案无不说明公司的风险来自于内控制度的失效和形同虚设。这些公司在内部控制制度都比较完善,有些还是请专门的中介机构设计和制定。因此,公司内部控制制度的根本就是授权和监督,公司所有人的权限都是在这个组织中被授予的,并要得到有效监督。任何人都不能凌驾于制度之上,否则制度只能是一纸空文,对企业风险的防范毫无作用。只有当企业中的每一个员工目标明确,观念趋同,内部控制才更有实效。良好的企业文化氛围能为内部控制程序的执行创造良好的人文环境。
3.以人为本抓好管理控制。管理控制的范围很广,包括企业内部除了会计控制之外的所有控制,如企业发展战略、组织结构、人事管理、安全和质量管理、部门间的关系协调和企业负责人及高层管理决策及行为等方面的控制,但重点是与人的行为紧密相关的组织结构、人事管理控制等。
三、构建企业风险管理及预警体系,做好企业风险的预警及防范工作
内部控制虽然可以防范企业风险,并构成风险管理的必要环节,但内部控制不能代替风险管理,因此,企业必须结合企业实际构建风险管理及预警机构,加强风险管理。只有这样,当企业风险产生并威胁到企业的生存和发展时,才能及时化解风险。每个企业因其规模、所处行业等的不同其相应风险因素和防控手段都会不同,因此风险管理应因企而治,但总体来说应按照风险管理的基本程序作好风险识别、风险评估和风险控制,按照内部环境、目标制定、风险识别、风险评估、风险应对、控制活动、信息和沟通、监控等要素构建风险管理的基本框架。
1.要结合企业实际制定风险管理总体目标。
2.明确风险控制责任,健全风险管理组织机构。
3.建立健全风险分析评估、预警、处置工作流程。要能够很好地防范企业经营风险,必须按照风险级别建立一套有效的企业风险管理制度和流程。
参考文献:
[1]汤敏茅于轼:现代经济学前沿专题[M].北京:商务印书馆,2002
[2]张连起:内部控制:一个棘手的任务[J].财务与会计,2004,(6)
【关键词】企业管理 风险管理 内部控制
一、内部控制与风险管理的定义
企业内部控制是现代企业管理的重要手段,是由企业董事会、管理层及其员工共同实施的,旨在合理保证实现企业战略、经营效果、财务报告、资产评估等基本目标的控制活动,究其本质是保证企业在合理的范围内保证企业基本目标的实现。企业风险管理是一个过程,是由企业董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。《内部控制——整体框架》一书中,提出风险管理的控制要素包括控制环境、风险评估、控制活动、信息和沟通、监督等。由此可知,任何企业所面临的环境都存在较多的不确定因素,气压应该在掌握客观的外部环境的基础上,通过一定的控制方法,制定控制流程和措施,以期能达到实现企业的目标。
二、风险管理与内部控制的内在关系
风险管理的目的是要防止风险、及时地发现风险、预测风险可能造成的影响,并设法把不良影响控制在最低程度。内部控制就是企业内部采取的风险管理,内部控制制度的制定依据主要是由风险甚至完全由风险因素(在某些极端情况下)来决定的。维护投资者利益、保全企业资产、创造新的价值是内部控制或风险管理的根本作用。作为企业制度组成部分的企业内部控制的目的就是保证会计信息的准确可靠,防止经济欺诈,保护财产安全,同时保护企业名誉,以免造成经济损失等。而在新的技术与市场条件下对内部控制的自然扩展的风险管理来说,内部控制推动了风险管理。
企业内部控制的动力主要来自于对风险的管理,当企业进行风险运营时,内控系统就成为了必要的、高效的、有效的风险管理方法,因此,企业风险管理体系应该达到的状态就是能够满足企业内控系统的要求。换句话说,风险管理是内部控制概念的自然延伸,新技术和市场推动内部控制走向风险管理。总而言之,企业在实际经营过程中,风险管理与内部控制是密不可分的。
三、目前企业面临的主要风险
经济全球化的不断发展和经济的快速增长导致现代化企业面临的风险与日俱增,市场化程度越高,企业风险的表现就越明显,可以说,企业风险是时时在,处处有。
企业风险主要分为外部风险和内部风险,外部风险主要指外部存在的诸多因素,如国家法律、正常变动、市场供求状况或竞争力等。内部风险主要指企业的资源配置、行业地位、业务流程、财务能力以及管理人员的价值取向、岗位职责、激励机制和团队精神等。
四、针对主要风险企业可采取的内控管理措施
无论企业自身发展或和迎接风险与挑战来说,建立健全企业内控制度已成为当下急需解决的问题。企业只有根据实际的经营情况制定科学合理的内部控制制度,同时加以严格执行,才能够达到防范风险的目标。本文所指的内部控制主要包括人、财、物与信息。具体来说,主要包含以下内容:
(一)实施内部控制的原则和要素,确保实现有效的风险管理
企业内部控制的原则是指全面性、重要性、制衡性、适应性。要素主要包括五个方面即内部环境要素(治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化),风险评估要素(目标设定、风险识别、风险分析、风险应付),控制活动要素(不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制),信息与沟通要素(信息质量、沟通制度、信息系统、反舞弊机制),内部监督要素(日常监督、专项监督)等。在实际操作中企业应时刻检视所制定的规章制度、流程、工作要求等是否符合四原则和五要素的内涵,有利于确保风险管理的成效。
(二)加强人力资源管理,完善用人制度
企业在管理时较容易出现缺乏相关制度和流程,人员未严格执行相关制度流程,或人员业务能力、自身素质不高的现象,这将导致提升企业的用人风险。因此充分调动企业人力资源的积极性、主动性和创造性已成为现代企业管理必须解决的问题。首先应该建立严格的招聘程序,把好进口关;其次要定期组织理论和实践培训,把好素质关;最后应制定较为合理科学的奖惩激励机制,把好分配关。
(三)强化财产安全管理,确保企业利润
强化财产管理,即指强化对存货、能源及固定资产的物化管理。存货风险主要指各种原因引起的存货损坏而对企业造成的损失,一旦存货出现危机,那么也将影响企业经营方向或现金的流向。有部分企业对财产物资的内控管理过于宋笋,制度得不到落实,因此造成库存物资的损毁、报废、短缺等情况,致使单位造成比较严重的经济损失。因此要想降低企业风险必须健全物资财产的内部控制管理,应加强定期盘点、账实核对、登记明细、财产保险、监控监管等工作,从而确保财产的安全,促进企业有效经营,以求企业实现更好的发展。其次应严格执行资金授权批准制度,在做好节约资源的基础上,能够有的放矢的运用资金。企业的资金流动主要用于采购、付款、销售、收款等,应制定刚性的管理制度,并要求各职能部门的职权范围和责任,确保能够职工按照相应管理条例予以执行,以保证资金安全。
(四)职工各司其职,完善落实风险管理
美国政府颁布的《萨班斯法案》(SOX),美国COSO(发起人组织委员会)颁布的《内部控制--整合框架》和《企业风险管理框架》,我国财政部等五部委的《企业内部控制应用指引》等,这些都表明强化企业内部控制,建立完善的风险管理体系,正在成为现代企业管理制度的重要组成部分。
一、内部控制与风险管理的关系
内部控制与风险管理具有不同的内涵和外延,两者不能相互替代。
风险管理是识别和评价附属于企业的实际的和潜在的风险领域,进而通过合适的内部控制消除、转移、接受或是减轻风险。
内部控制是一种控制和最小化风险的机制,目标是保护企业资产和投资,支持企业目标,对与企业有法定利益关系的利益相关者承担责任。
内部控制是风险管理的重要环节但不是全部。它对完成企业目标有着重要意义,良好的内部控制依赖于彻底的、规范的对公司所处风险的性质与范围的评价。
二、企业风险管理的内部控制整合框架
我国财政部等五部委制定的企业内部控制基本规范,在形式上借鉴了美国COSO报告为代表的内部控制整合框架(五要素框架),同时在内容上体现了风险管理整合框架的实质。
在内部控制整合框架中,内部控制划分为内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。
内部环境包括治理结构、机构设置及权责分配等,规定企业的纪律与架构,影响经营管理目标的制定,是企业建立与实施内部控制的基础。
风险评估包括目标设定、风险识别、风险分析和风险应对,及时识别、科学分析经营活动中与实际控制目标相关的风险,合理确定风险应对策略,实施内部控制。
控制活动是根据风险应对策略,采取相应的控制措施,将风险控制在可承受度之内。
信息与沟通确保信息质量,建立沟通制度、信息系统、反舞弊机制,保证信息在企业内部、企业与外部之间的有效沟通。
内部监督对企业内部控制建立与实施情况进行监督检查,评价内部控制的有效性,对于发现的内部控制缺陷及时加以改正。
三、我国企业内部控制和风险管理现状
(一)我国企业的内部控制和风险管理实践落后于企业发展和管理的需要
随着市场经济发展,企业经营风险明显加大各种贪污舞弊事件不断发生,资本市场发展导致虚假会计信息的风险增加。然而,由于我国理论上进行内部控制和风险管理研究,实践中开展内部控制管理的时间远远滞后,内部控制和风险管理水平无法满足企业发展和管理的需要。
(二)企业管理者对于内部控制和风险管理的意识比较薄弱
企业管理者大多看重经营,侧重追求企业盈利能力,没有充分接受现代内部控制和风险管理的管理理念。建立一套科学有效内部控制制度及风险管理机制,目标是保持企业稳定及实现可持续发展,进而增强企业的盈利能力和生存能力,应提高企业管理者对这方面的认识。
(三)有限的管理制度没有得到很好的贯彻和执行
要使内部控制和风险管理取得比较好的控制效果,必须由企业董事会、管理层和其他员工共同参与,组成一个有效的控制体系。从现实情况看,很多企业都在一定程度上存在管理松懈、内控弱化、监督不力等问题。
(四)缺乏精通内部控制和风险管理的专门人才
我国目前有关内部控制的评价和咨询主要由注册会计师来进行,企业没有专门的管理人才,因此无法从企业战略目标制定和执行、经营目标实现、管理效率提高、资产安全性等角度来评价内部控制,评估风险。
四、内部控制的风险管理机制设计
依据《企业内部控制应用指引》五要素框架,设计内部控制风险管理程序。
首先,全面总结和分析企业的组织体系、机构设置、营业范围、经营方式、主要业务以及所处外部环境等。
其次,按照一定方法,合理归集、构建适应企业经营管理状况和内部控制要求的相关子系统,包括公司层面子系统和业务层面子系统。
然后,用文字、流程图、风险控制文档等形式将各子系统业务和事项的风险类型、控制目标、关键控制点、控制措施加以规定和说明。
设计内部控制框架,重要的一环是企业应建立风险评估机制。
(一)风险测评系统
1.企业整体风险测评。企业整体风险测评即企业层面面临风险的测评,主要包括组织架构设计和运行的风险、发展战略制定和实施的风险、人力资源引进开发、使用和退出的风险等。
2.岗位或业务环节风险测评。岗位或业务环节风险测评是对企业的日常经营管理中,每一项业务或每一个工作流程中产生风险的可能性的预测。主要包括资金活动风险、采购活动风险、资产管理风险等。
(二)风险控制系统
1.决策风险控制系统。完善法人治理结构,加强决策的集中性、统一性和权威性,实行与个人责任密切联系的集体决策制度。
2.经营业务风险控制系统。在企业内部建立专家委员会业务管理体制。专家委员会负责市场、政策及社会环境的研究;负责制定和指导企业经营业务的操作流程;负责项目立项、策划、创新业务的咨询和评审等。
3.财务风险控制体系。实行统一的财务制度控制,严格授权审批制度,实行财产纪录监控,控制筹资、投资、信用等资金活动风险,确保财务报告的真实准确,规避风险。
(三)风险监控系统
1.岗位监督管理由全体员工对岗位风险控制有效性进行自我评价,以及对控制缺陷和意见进行反馈;
2.专业监督管理由专业内部控制部门定期或不定期对内部控制落实情况进行检查和评价;
关键词:风险管理;内部控制;机制
中图分类号:F23
文献标识码:A
文章编号:1672-3198(2010)04-0167-02
1 风险管理的演进历史及现状
风险管理是采取一定的措施对风险进行检测评估, 使风险降低到可以接受的程度, 并将其控制在某一可以接受的水平上。从职能上说, 风险管理就是在对风险进行观察、评估的基础上控制风险可能造成的损失, 保证组织目标的实现。对风险管理的定义可以理解为: 一是风险管理是一个系统过程, 包括风险的识别、衡量和控制等环节; 二是风险管理的目标在于控制和减少损失, 提高有关单位或个人的经济利益或社会效果; 三是风险管理是一种管理方法。
风险管理作为企业的一项管理活动,产生于 20 世纪 50 年代的美国, 当时美国一些大公司发生的重大损失使公司的高层决策者开始认识到风险管理的重要性。在那时, 风险管理是企业管理的一个重要组成部分, 主要涉及的是对企业纯粹风险的管理。这一特征是和那时企业经营环境相对简单, 因而纯粹风险给企业经营带来的影响最为严重以及通过保险手段可以对纯粹风险进行有效管理是密切相关的。
20世纪80年代后, 企业的经营环境开始发生了巨大变化, 以价格风险、利率风险、汇率风险等为代表的财务风险开始给企业带来巨大的威胁, 使得企业开始寻求规避财务风险的工具。但企业在这方面的努力仅限于一些孤立的实践活动, 并没有形成完整的理论和方法体系。反而在金融机构中, 由于所经营的金融产品带来的各种风险加剧, 逐步形成了针对金融机构的相对完整而系统的金融风险管理体系, 其针对的对象和内容都与传统风险管理有很大不同。
到 20 世纪末, 随着大型企业特别是巨型跨国公司面临的风险管理日趋多样和复杂, 开始出现了将企业的所有风险, 包括纯粹风险和财务风险综合起来进行管理的需要。这种需求使得在历史上不同时期, 并沿着两条不同轨迹发展起来的传统风险管理和金融财务风险管理终于结合在一起, 形成一个崭新的概念――全面风险管理。
全面风险管理是指企业围绕总体经营目标, 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程, 培育良好的风险管理文化, 建立健全全面风险管理体系, 包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统, 从而为实现风险管理的总体目标提供合理保证的过程和方法。
2 构建我国企业全面风险管理整体框架
2.1 我国全面风险管理现状与发展趋势
目前,我国为数众多的企业中的全面风险管理基本是一种被动式的管理,没有专门的人员或机构进行企业风险管理活动,每个人或部门往往只针对工作中的风险孤立地采取一定对策,缺乏系统性、全局性。
笔者认为,要建立企业全面风险管理体系,首先要树立风险意识,转变观念,提高认识,使企业中每个部门每个员工都理解企业全面风险管理的价值,协调全面风险管理目标和政策,把全面风险管理融入日常的企业管理中,使风险管理成为人们一项日常的管理行为。
随着知识经济发展程度的加深,受其影响,现代企业全面风险管理体系从指导思想到具体制度建设上,出现了以下四个方面的发展趋势:一是由着眼于控制向关注环境转变;二是由回顾历史向着眼于未来转变;三是以零起点的风险预测取代评价;四是由关注经营风险向关注战略风险转变。
企业需要经过一个循序渐进、不断完善的过程,从最初的简单风险管理达到全面风险管理的高阶段。全面风险管理将风险管理视为企业追寻机遇过程中一个合理有序的流程,将商务风险管理行为与战略管理、业务计划制定过程结合在一起,使用一种复杂的、高度透明的、持之以恒的方法将战略、过程、人员、技术和知识联结在一起,以实现使整个企业的风险、收益、增长与资本得到充分优化的目的。
2.2 企业全面风险管理整体框架的构建
目前我国企业全面风险管理还处于起步阶段,还未形成成熟的理念和管理工具,受制于发展现状,还需要一个有序不断地改进过程。在构建中要先抓住关键要素,努力以最小的成本达到最大的安全保障,这些关键要素包括以下四个方面。
(1)明确企业全面风险管理目标,建立有效的监督体系。
企业全面风险管理整体框架是建立在明确的企业监督框架和适当的人员责任分配基础之上的,其目标是使风险成为企业文化的内在有机组成部分。企业全面风险管理一定要与企业的技术及战略管理相结合,要在全企业范围内明确宣布风险目标和计划,并将其与企业业务、战略及业绩目标结合起来,建立一个由全企业层次集体支持的风险管理过程。
(2)营造企业全面风险管理的文化氛围,推进风险管理的实践。
企业全面风险管理框架是建立在内部环境的基础之上,内部环境直接影响和制约企业全面风险管理的成败。内部环境的要素包括员工的诚信,职业道德和工作胜任能力,管理层的经营理念和经营风格,董事会或审计委员会的监管和指导力度,企业的权责力分配方法和人力资源政策。要不断提高企业全面风险管理能力,需要一套企业层面的方法。这种企业层面的方法是由企业的组织结构,文化理念和经营管理哲学共同决定的。随着企业文化中风险敏感程度的提高,企业管理者会进一步掌握有效的风险管理能力。通过他们的推进、提供报告、贯彻相应的方法、构建适当的体系,以实施既定的风险战略和政策,企业全面风险管理水平将不断提高。
(3)构建独立的企业全面风险管理体系。
为了确保企业全面风险管理活动被很好地理解和执行,企业首要的任务就是建立一个全面风险管理组织结构。这个结构划分为两个层次:一是高级管理层(董事会)。它承担全面风险管理的最终责任。这种责任要求高级管理层对本企业的产品、业务过程和相关风险有全面了解。其下面设全面风险管理委员会,负责全面风险管理实施过程中的授权和日常决策工作,向董事会提交独立风险报告,它直接对董事会负责。二是建立独立的全面风险管理职能部门。其任务是辅助高级管理层完成其风险管理责任。主要负责评估和监控企业整体的风险情况,并及时向风险管理委员会报告,提出针对风险来源的具体管理办法,制定本企业全面风险管理的各项制度,策划全面风险管理的各项工作,提出全面风险管理的改进方法,建立有效的事后补救机制等。基层所属单位应改变管理模式,在矩阵式管理的基础上实现管理过程的扁平化,使风险管理横向延伸,纵向管理。
(4)建立健全风险识别、评估体系。
要评估风险首先要识别风险,收集分析并综合处理相关的内部及外部数据为企业提供可靠、及时的风险管理信息。我们可借鉴国际先进经验并运用现代科技手段,通过风险组织流程,风险计量模型、风险数据库、风险管理信息系统等手段,采用列出事项目录、进行内部分析、推进式的研讨与访谈、过程流动分析、损失事项数据方法等技术,识别、分析、度量风险与机遇持续过程。建立科学的评估方法,组建一套统一完整的管理工具和风险管理的共同语言,帮助管理层更好地关注,选择应对风险的措施。这种风险评估体系一旦发展起来并投入实施,就逐步走向了企业风险管理。
3 构建体现全面风险管理的内部控制新机制
3.1 构建具有本企业特色创新风险管理理念
将全面风险管理作为企业文化的一部分,是一个全新的概念。这一概念的提出到最终确立为企业文化还需要一个过程,需要全体员工在全面风险管理理念下的共同努力。因此,要多学习和借鉴其他企业风险管理的技术和经验,积极探索适合本企业的内部控制管理新方法,只有这样,全面风险管理的理念才能真正融入到实际工作中,创造一种优良的风险管理文化,改善内部环境,全面风险管理体系才能得到发展。
3.2 构建切合实际的内部控制评价机制
传统模式下,由于缺乏统一的风险管理决策,各职能部门成为风险管理的权威,岗位管理职责的长期稳定成为保证权威的第一要义,严重缺乏对各项岗位职责的主动跟踪评价系统,往往是出了事故才来修补。作为岗位职责监督者的稽核部门也只是“例行检查”。因此,企业应根据自身的实际情况,通过确定风险控制环节,落实各部门的岗位管理职责,并对各部门的控制状况进行定期检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而有效地推进全面风险管理,实现从风险部门的防范转向全企业、全员防范,将内部控制管理由个人行为提升到企业的整体行为,使企业的内控管理水平不断提高。
3.3 构建全新的内部控制组织体系原则
一是全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统,但目前,企业内部控制体系与全面风险的要求还存在较大的差距。内部控制要遵循全面风险管理的原则,即:(1)全员管理原则,实现对全体员工强化风险意识,做到“横到边、纵到底”,将风险意识,印在脑海里,落实在行动上;(2)全过程管理原则,对企业的发展、业务操作的全过程实行风险控制;(3)全方位风险管理原则,不但要包括业务风险,还要包括投资风险、信用风险、合同风险等。
二是分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构,形成金字塔型的组织架构。三是风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内,使风险管理更贴近市场,有利于及时发现风险、控制风险,体现风险管理与业务管理平行作业的特征。
四是协调与效率原则。要保证部门之间权责划分明确、清晰,便于操作;保证部门之间的信息沟通方便、快捷,准确无误,保证企业经营管理系统的高效运作。
3.4 构建符合内控要求的业务管理新制度
传统分散风险管理模式下,为了保证各项业务的顺利开展和防范各类风险,各职能部门制定了大量的所谓“全面”的制度。但很多制度刚一制定出来,就失去了实际意义,成为了墙上贴的制度和书本上写着的制度,制度运行的有效性较差。究其原因,最主要是制度的制定缺乏系统科学的规划。因此,要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善供销业务、财会业务、中间业务等各项业务的管理制度,整合各项业务操作环节,建立起面向企业、覆盖所有业务品种和涉及业务全过程的内控管理体系,实现业务发展和风险管理的同步。基层单位要加强对规章制度执行和风险控制情况的自查,形成定期检查的长效制度。内审部门要充分发挥审计的帮促作用,促使企业逐步建立起业务管理服从规章制度、业务考核服从统一标准的管理新制度。
参考文献
[1]许谨良,周江雄.风险管理[M].北京:中国金融出版社,1998.
[2]阎达五,杨有红.内部控制框架的构建[J].会计研究,2001,(2).
要对风险进行有效的管理,必须基于企业目标,对风险进行分析和评估,进而采取积极、全面的内部控制措施。
一、风险的评估:风险管理的起点
1、风险类别。风险往往被多数人作为经营中的一项负面因素,是应当回避或消除的危险事项,这是有失偏颇的,是混淆了风险和危险的概念。风险中不仅有危险,也孕含着机会。风险是随着企业经营倾向、经营方式、管理内容等的变化而在可能的损失或收益区间浮动的函数。见下图:
在这里我们是按效用对风险进行了分类。风险是长期存在的,不总是能够消除的,风险必须与机会进行权衡。所谓纯风险,是指只会产生恶性结果而不会产生收益的风险,如经营管理人员违规侵占公司财产、恶意歪曲财务信息等,是“坏的风险”;战术性风险是指企业为达到经营目标,对经营和财务杠杆程度、技术选择等进行的权衡,是“不确定的风险”;战略性风险则是由于政策、环境及产生趋势发生重大变化或革新,在经营中面临的重大机会选择。
显然,上述三种风险最终产生收益或损失的效用是不同的,在评估时应予区分。
国际内审协会从经营实务角度,列出了企业经营中的9个重要的风险点,分别是:管理层能力、管理层道德观、系统性变化、组织规模、资产流动性、变革、复杂程度、快速增长、制度健全性。这些风险点较好地概括了企业在不同层面的关键性挑战。
在不同企业战略目标之下,上述各项风险因素的重要程度可通过下表的星号简单反映:
注:*表示重要,**表示非常重要
管理层道德观、制度健全性属纯风险因素,与企业发展目标无关。其他几项战术性或战略性等变动风险因素则与经营取向密切相关。总体来讲,变动风险程度是与企业发展的速度、规模及变革激烈程度呈正相关的。同时,收益的预期也是与风险程度正相关的。评估风险,必然要求将企业各层面的风险因素归类,纳入整体的风险管理框架之内,然后对照企业的经营目标,逐项进行风险识别。
2、对风险的评估。在完成风险归类后,应依次进行下列风险评估:
(1)企业是否建立了明确并上下一致的发展目标。如果企业或组织尚未建立明确的目标,或虽然有目标但是未能自上而下地贯彻,内部愿景不一致,这本身就是企业面临的最大的风险。这意味着企业内部必然缺乏有效的风险管理系统。
(2)风险环境。对于纯风险层面,主要是指外部监管环境、法律政策环境、公司监察审计工作力度等。在通常情况下,外部监管环境越严格,相关政策要求越清晰,内部纯风险程度越低。但是在目前情况下也出现了许多反例。以财务管理规定为例,相关规定对各行业的成本、费用明细项目作了细致的规定,如某项成本的控制比例、某项费用的计提限制等等。这些规定虽然明确,也是监管的重点,在执行中绝大多数企业也看似遵从了这些要求,但是实际上却形成了较大的财务风险,即真实性风险。当实际业务经营中的需求无法在真实性财务环境下满足苛刻的政策要求时,必然会产生“合规”的虚假信息。目前监管层已经注意到这一现象,如最新出台的《金融企业财务规则》就对监管的范围和重点作了很大的调整,重新对监管者和市场化环境下的经营者重新定位,这对于企业降低财务风险是积极的。
战术性风险面临的外部风险非常广泛,以财务类风险为例,在以快速扩张为目标的企业中,筹资活动及筹资风险是战术性风险的重要内容,此时资本市场的资金成本、国家的货币政策、政府对行业发展的态度、以及资本市场的发展水平等等,都是影响战术决策的重要外部条件。而战略性风险,由于其本身就是依存重大外因在产生的机会,因而与重大政策性推动和支持、重大科技进步和新的巨大的市场需求的出现相关联。在对风险与机会的评估时,必然要全面考虑上述因素。
3、风险评估。从管理的每一层组织开始,结合外部环境风险因素,自下而上地进行。以前述9类风险点为基础,逐层细化,逐项分析每个风险环节。
对每个风险环节的分析,都应当以公司及本部门的关键目标为导向,开展主动的、定向性的思考,并且在必要时对风险程度进行量化描述。
(1)在进行风险评估时应当回答的问题。需要分析的核心问题是:存在哪些可能会妨碍本部门实现其关键业务目标的障碍因素(直接障碍)?要克服这些障碍,需要完成一些必要的工作和程序,而什么因素会阻碍这些工作和程序的完成和实现呢(间接障碍)?这些风险中,哪一个最可能发生(最大风险概率因子)?哪些风险将对本部门实现其预定目标的能力产生最重大的影响(最大风险程度因子)?有什么有效的控制机制可以减少这些风险及其影响(内部控制措施)?
(2)风险的量化描述。风险评估应当采用定性与定量相结合的方法。定量评估应当统一制定各风险的度量单位和风险度量模型,确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。通过量化描述,对每个风险在既往的发生概率及其影响进行精确描述,了解风险概率和程度,作为下一步内部控制措施的依据。
例如,会计部门在对某个项目的检查中出现的会计风险(风险a、b、c、d)进行如下描述:
其中重要性项目:1为稍有影响,2为比较重要,3为非常严重;频率项目:1为偶然存在(0.5%以下),极少发生(0.5-1%);较少发生(1%-5%以下);经常发生(5%-30%);总是发生(30%-100%)
分析结果是,对abcd四个项目,会计部门存在较高的风险,特别是a、b两个非常重要的项目差错率较高,而重要性程度较高的d项目差错率极高,显示该部门某一类业务的管理和控制中存在较大的风险隐患。
二、内部控制:风险管理的支点
即便我们对风险作出详尽而确切的评估,如果没有严密的内部控制及其有效执行,就无法对风险进行持续有效地管理。
风险评估是风险管理的起点,而内控制度的建立和执行是风险管理的支点。我认为,内部控制是管理者为有效减少和控制内外部各类风险及影响,确保企业决策和运作的科学合理,确保企业安全,达到企业预期目标而采取的计划、监督和行动。
根据美国“反虚假财务报告委员会”下设的专门从事内部控制研究的“发起组织委员会”(即COSO)的一体化控制理论,内部控制包括五大部分内容:控制环境、风险评估、控制行动、信息与交流和监督评审。笔者认为,控制环境本身是风险评估的重要内容,除风险评估这一风险控制的起点之外,内部控制工作的核心是三个方面,即内部控制制度、控制行为、和对内部控制的监督管理。
1、内部控制制度。内部控制制度是风险评估和分析的产物,是企业进行有效内部控制的基础和依据。
(1)内部控制制度的制定者。内部控制制度不应是由某一个专门的内控或风险管理部门制定的,也不应是自上而下制定的,相反,它应当是以企业目标为导向,由具体的业务操作部门、管理部门在风险识别和评估的基础上,由下而上制定形成的。内控制度的制定者应当是风险的识别评估者、内控制度的执行者和风险责任的主要承担者。
(2)内部控制制度的分类。根据风险的分类,内部控制制度也应该分为针对纯风险的合法合规安全性内部控制制度、针对战术或战略性风险的经营决策内部控制制度。
安全性内部控制制度主要包括财务安全性内部控制制度、信息安全性内部控制制度等。这里主要探讨财务安全性内部控制制度。其内容主要包括:审批和资格审查制度、授权制度、对帐及检查制度、资产安全规定、岗位分离和制约制度等等。
经营决策内部控制制度的主要目的是确保企业各类决策的有效性和科学性。当前企业的规模越来越大,内部分工十分细致,部门职能划分也很明确,这种情况下,如果没有系统的决策内部控制制度,很容易陷入各自为政、各自从自己利益出发的“盲人摸象”似的决策风险中。事实上,这种情况目前十分普遍,尤其是在战术层面的大量日常决策中。
比如,营销部门策划了一个促销活动,并作了详细预算。由于该活动未纳入年初的预算,且金额较大,所以提交公司预算委员会审批。这时,对于预算监控部门来讲,是否审批这笔预算的关键,往往是公司整体预算能否得以控制,如果答案是肯定的,那么这笔预算很可能被通过。而对于营销部门来说,这次活动很可能只是一次积极的尝试而已。而对于更为重要的因素,即这次促销活动能够为企业达成其经营目标产生多少贡献,则未必被各方给予充分的重视。
如果常规性决策行为经常脱离企业的总体目标,则说明经营决策内部控制制度失效。因此,必须建立以总体目标为指导的决策控制制度。这一制度的核心,是对经营目标直接负有责任的部门对直接影响经营目标的事项负责。
在上例中,如果对经营效益直接负有责任的事业部参与决策的制定,或负责预算控制的部门承担利润监控中心的职责,控制的有效性将会大大加强。这就是为什么高效的大型企业都倾向于采取划分事业部模式或利润中心模式管理的原因。如下图,对企业核心目标直接负责的部门A或B,应当参与对其收入或成本可能产生较大影响的决策过程。
内部控制制度的范围不仅是维持组织的正常运行,也涵盖了组织设计本身。一般来讲,对于重大战略性风险的决策,企业往往都会充分重视,但对于大量常规决策,却往往忽略了制度建设的重要性,而这恰是企业高效运行的关键。
2、控制行为。内部控制决不仅仅是企业中某个部门的责任,它应当贯穿到企业每个部门和员工的日常行为中。控制行为应当基于完善的控制制度,并且由各部门、各员工共同执行。就是说,控制行为应当是以“共同控制”为其核心的。
有力的控制行为来源于风险意识的建立。应当把对风险的敏感和不断认识发展成企业文化的一部分。在员工中提倡风险意识,把简单告诉员工应该怎样做和不应该怎样做,转变为对员工的风险教育,使员工对各个业务环节形成自然的风险评估习惯,这是避免机械性错误和管理低级失效的重要方式。
控制行为的几项要点:①员工应当很清楚地说明企业的目标、部门的目标是什么,必须对其岗位所负担的工作中的主要风险有清析的了解;②除了风险培训之外,企业必须给员工设立一个及时而畅通的反映其遇到新的风险进而及时处理的渠道,并有一个互相沟通的平台。③员工在职责范围内减少风险的表现应当作为年度工作业绩考核中的一个重要指标。④各部门都专设风险检查人员,即新的风险的发现人员,彻底调查每一项不正常的事项,并进行深入沟通和研究。
“细节决定成败”。控制行为关注的是每一个细节。科学的风险评估和合理的内控制度,都需要风险意识强、高度负责的员工的逐项实施,也需要管理者不断的予以关注。但这也还是不够的。真正完善的内控系统应当是确保企业随时处理出现的不利情况、随时依照正确的程序作出相对合理的决策,从而提高企业效率,增强企业对外部的反应能力和生存能力。对于内部控制而言,由于每一个控制主体具有特定的立场和视角,因此它很难作到自我完善、自我监控,还需要一个独立的监控系统。
3、对内部控制的监督管理。要确保内控的长期有效性,除了制定完善的内控制度外,必须建立强大而独立的内控监督机制。这项任务通常是由公司内部审计部门承担的。对内控的监管,主要是通过对企业内部实施广泛、严格、制度化的检查、稽核、审计和调查,了解掌握企业内部控制的各主体是否出现缺位,内部控制流程是否得到有效的执行,内部控制流程是否能够很好地适应外部环境的发展变化,其效率能否得到提高,内控环境的变化情况和企业的风险管理状况等,提出完善内部控制的建议措施,并监督这些措施的落实和贯彻。
正如Minhael Hammer所说,内审机构应当将自己看成是公司的一项资源。在帮助管理当局达到预期控制目标的过程中发挥作用。内部审计师的使命将从简单的“我们实施审计”向“我们创建一些程序,以期达到组织成功所需要的内部控制水平。”
很显然,对内部控制的监督管理是一项重要而且繁重的工作。涉及面广,而且非常重要,但内部审计部门一方面力量不足,另一方面往往缺乏独立性,难以独立承担内控监管的完整责任。因此,目前国内已有许多企业建立了风险管理委员会,综合协调各方力量加强内控制度的建设和监督,进而加强企业的风险管理工作。
三、建立系统化的风险管理和内部控制体制
关键词:企业风险管理 内部控制 内部审计 管理机制
一、企业风险管理的必要性
近年来,很多企业缺乏风险意识,没有实施实质性的风险管理,忽略对风险的防范与控制,导致企业破产事件时有发生,如新疆德隆集团、四川长虹集团、科龙集团、中航油(新加坡分公司)等,严重的风险损失致使很多企业开始关注全面的风险管理。
企业风险管理是管理者对企业发展中存在的和潜在的风险进行辨识、评估以及权衡风险危害的行为等,并对所识别出的风险及时采用有效方法进行防范及控制。内部控制的目标是对企业存在的风险进行及时防范及控制,有效监督并保证企业的发展。从本质上讲,企业内部控制与风险管理存在着必然的联系:内部控制其实是风险管理的手段之一, 内部控制的实施建立在企业风险管理基础之上,并随着风险管理的需要而不断发展。但因为内部控制与风险管理具有不同的内涵和外延,所以两者不能相互替代、缺一不可。所以风险管理与内部控制有效结合,会更加准确地发现企业面临的风险,做出及时的防范与应对措施,将风险损失减到最低限度,稳定企业的经营环境,保证企业利润目标的实现,对企业发展起到保驾护航的作用。
二、企业风险管理的架构和模式
考虑到现阶段我国的企业发展条件和宏观环境,本文认为构建企业风险管理框架应注意以下几个方面:
(一)全面风险管理的目标应顺应企业发展面临的环境变化
企业的风险管理是建立在企业整体业务发展与经营基础上,需要与企业的研发技术、管理方法及战略目标相结合。所以企业风险管理整体框架的建立首先应明确风险管理要达到的目标,是否与企业发展目标紧密相连,分析企业面临的内外部环境,并将风险管理要达到的效果细化成具体的管理任务,在全企业范围内明确宣布风险目标和计划,要求全部业务人员和管理人员共同参与,并制定完善的制度体系,约束其职责行为,保证风险管理工作的落实。
(二)内部控制制度与企业风险管理体系密切结合
内部控制是加强风险管理的手段之一,是更具系统性、独立性的管理工作。内部控制组织结构的设计需要充分满足企业全面风险管理的要求。风险管理也应该与之互补,尽可能地利用内部控制发现的问题和维护的企业管理环境,采用更科学、合理的方法评估、预测业务风险、财务风险的严重程度,以节约人力、物力,提高管理效率。
三、目前企业风险管理的现状及分析
企业风险管理是一个循序渐进、不断完善的过程,是企业在不断探索的一个合理有序的流程,试图将经营风险管理行为与战略管理、业务计划制定过程结合在一起,以期整个企业的风险、收益、增长与资本得到充分优化。虽然我国企业一直在研究、完善风险管理,并取得显著的成绩,但是仍存在很多需要改进的地方。
(一)负责风险管理的职能结构有待进一步完善
我国很多企业也在做风险管理,但大多数是将风险防控的任务分配到不同部门,由其分工完成,而没有专业的风险管理组织或者专职负责人来来实现企业的风险管理和内部控制。分散式的风险管理容易导致功能交叉、分工混乱,管理责任与权利不明确,各部门工作缺乏积极性,没有有效的沟通,无法实现信息资源的共享,风险管理与内部控制不能及时发现问题,对企业风险防范与控制的作用微弱。
(二)风险管理具体目标尚待细化,制度缺乏约束力
目前我国企业风险管理整体水平较低,风险管理没有充分发挥应有的作用,很大程度上是因为企业对风险管理没有给予足够的重视,通过内部控制加强风险管理的意识薄弱。只是笼统地制定了企业风险防范将要达到的效果和希望,没有对该抽象的目标进一步界定,具体到各部门的实质性工作时,往往就成了形式上的东西,因为缺乏具体任务指标或完成效果的检验标准,很多风险防范及应对工作无法落实。简单的风险管理制度内容不全面,执行力匮乏,对员工的约束力较弱。
(三)内部控制制度执行不力,评价监督效果微弱
内部控制是在风险管理中更直接、更具体的一项工作。但很多企业并没有正确理解内部控制与风险管理的密切关系,过分地强调各部门将风险损失压倒最低,却忽略了具有明显管理效果的内部控制。有些企业仅限于将国家要求的内部控制制度制定出来,写成纸质的文件供检查,而没有相应地建立有效的内部控制执行流程、业绩评价等机制,使内控制度流于形式,无法应对企业面临的风险。或者将精力过多的集中于利用严格的内部控制流程发现问题、指出错误,没有同时将评价与激励制度跟进,整个管理的优势得不到发挥,不足没有改进,不利于企业的长期可持续发展。
(四)风险管理手段比较单一,无法有效地降低风险损失
我国企业风险管理水平整体较低的一个原因是风险管理手段比较单一、落后。首先表现为很多企业进行风险管理的目的过于肤浅,对内部控制与风险管理存在着不少误区,出于当期获得尽可能多的利润的经营理念,采取的防范与控制风险的措施都是眼前的、短期的。其次,很多风险管理手段是模仿先进企业集团或国外公司,采取了与本企业经营业务性质和发展条件相差很大的管理方法,适应性不强直接影响了管理的效率。再次,风险管理具有很强的专业性和技术性,很多企业的财务人员尚并不具备分析数据模型、推测市场环境变化,评估经营风险的能力,依靠的往往是经验性质的主观判断,在准确性与科学性上有待考究。
四、企业做好风险管理的建议
(一)健全组织机构,保证风险管理工作的权威性
风险管理是涉及企业所有业务和部门的一项长期工程,必须由企业的最高职能机构牵头,负责风险管理工作的推广与落实。首先就应该建立董事会或股东大会管理下的风险管理组织架构,明确风险管理在企业各项工作中的地位和权威性,领导企业做好制度建设,使风险管理有章可循。然后,经由具体负责的职能部门或财务部风险管理员,将风险管理的总体要求进行细化,坚持全员参与管理原则,要求落实到风险管理的执行层面,实现风险管理的横向延伸和纵向管理,监控企业的所有部门和业务,杜绝风险隐患。
(二)风险管理目标具体化,建立有企业特色的风险管理机制
第一,要对企业内部管理层进行风险管理的思想观念教育,纠正错误的认识,真正理解风险管理的必要性,使管理层将风险防范意识融入管理工作全过程,并用其指导基层工作的开展。第二,要根据本企业所面临的行业发展环境和具备的个体条件,研究如何将风险管理的目标具体化,细分为可衡量的任务指标,下发到企业的基层员工,营造良好的风险管理文化氛围,使这种防范意识成为员工自觉的行为约束。第三,完善考核评价制度。可以将风险管理体系的建设与薪酬制度相结合,利用内部控制制度中绩效考核的结果,评价风险管理任务指标的落实,改善企业内部环境,使风险管理真正发挥作用,保证企业经营管理系统的高效运作。
(三)找到风险管理与内部控制的切合点,发挥内部控制的优势
内部控制制度在很多大型企业集团都得到顺利开展,并取得不错的效果。中石化集团就对内部控制制度做了很好的规划,首先制定内部控制手册,通过制度的形式增强内部控制的约束力,并明确内部控制业务流程、实施细则,包括采购业务流程、生产成本管理业务流程、销售业务流程、资金管理业务流程、信息管理业务流程、监督与检查等,使内部控制更具有可操作性和参考性,不同的业务部门和基层人员可以根据自己的所属职责做出正确的行为。企业可以在分析面临的内外部环境和条件的前提下,将风险划分为:业务风险、经营风险、财务风险与合规风险,有针对性地制定常规的防范和应对措施,设计风险管理解决预案。然后结合内部控制的重点和难点,对企业流程进行梳理与改造,辨识关键控制环节和风险控制点,规范突发事件的处理流程,以及时将意外风险与损失降到最低。
(四)改进风险管理手段,强化风险预警功能
风险管理依靠的是硬件设施的保证和人力资源的专业性。第一,企业应该为风险管理建立或引用先进的软件系统,通过信息系统的铺设,部门之间可以方便地进行信息交流与共享,实现企业运营数据和信息收集、存储、处理、报告和信息披露的自动化,及时地掌握各个环节的变化与需要,尽可能反映真实、准确的经济动态信息,做出正确的应对措施。第二,要求具体负责的人员必须掌握风险分析的数据模型,能够熟练运用计算机技术分析统计数据,得到所需要的信息。并同时时刻更新自己的专业知识体系,通过培训或业务学习等方式,提高自己的财务分析与风险预测能力,综合运用现代风险管理技术,如模型计量、信用风险管理等方法,保证经验值的取值合理、可靠,准确预测企业发生各种风险的可能性及其大小,为企业提供有价值的财务信息。
参考文献:
[1]丁友刚,胡兴国.内部控制、风险控制、风险管理,会计研究,2007,12
【关键词】统计内部控制;风险管理;职责;作用
统计内部控制是企业自我约束和监督机制的重要组成部分,履行、发挥统计内部控制在企业风险管理中的职责与作用是企业转化经营机制、建立现代企业制度的客观需要。统计内部控制应有机融入企业风险管理过程中,充分发挥其在风险管理中的重要作用,为企业提高风险管理能力做出贡献。现代统计内部控制最早产生于西方资本主义国家,而我国的统计内部控制是在国家审计制度基础上发展起来的。2000年修订的《中华人民共和国会计法》(以下简称《会计法》)明确规定:“对会计资料定期进行统计内部控制的办法和程序应当明确”,这就进一步确立了统计内部控制的法律地位。探讨现代企业中统计内部控制的作用和进一步发挥其作用的措施,已成为一项重要任务。为此,本文拟就这个问题谈谈自己的一些看法。
1.统计内部控制在现代企业风险管理中的职责
在风险导向统计内部控制中,风险管理成为组织中的关键流程,分析、确认、揭示关键性的风险,成为统计内部控制的主要职责。
1.1 统计内部控制有职责融入企业风险管理
现代企业面临的经营环境日趋复杂,风险日益增大,减少面临的风险是企业实现价值最大化目标的关键。统计内部控制采取系统化、规范化的方法促进建立风险管理过程,通过内控制度的评价,对公司经营活动进行风险识别和评价,改进风险管理与控制体系,提请管理层关注风险,从而完善企业管理,转化负面风险,提升企业竞争能力和应变能力,最终实现企业目标。从实现企业目标方面看,统计内部控制有职责参与企业风险管理。企业是多个部门的集合,其中一点(一个部门)造成的风险会传递到另一点,最终会使整个面(企业整体)陷入困境甚至于瘫痪。因此,对风险识别、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。统计内部控制在企业中的地位,决定其能站在全局的高度相对超脱地获得企业内部控制、经营管理活动及风险管理等方面的信息,向管理层提供创造性思维,提出科学、合理的建议,避免风险带来的损失。从全局角度看,统计内部控制有职责融入风险管理。
1.2 统计内部控制是构成企业风险管理的重要机制
从企业内部看,现代企业建立了各级风险管理组织层次,包括风险控制委员会、统计内部控制部门、专职风险监管部门。但风险监管部门隶属于管理部门,不具有独立性,其意见有时会屈服于管理当局的压力,这使得风险管理部门的作用的发挥受到限制。
从企业外部看,外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,经常能提供一些有用的信息影响到企业风险管理。但他们更多地围绕企业会计报表的合法、公允、一贯性开展工作,对企业管理环境和运作过程不十分熟悉,决定其提供的风险管理服务不能做到贴近内部管理,不能对企业风险管理的有效性负责。而统计内部控制部门对企业面临的风险更了解,在风险管理方面拥有外部审计无可比拟的优势。
1.3 统计内部控制是风险控制程序的有益补充
在审计计划、审计实施、审计报告阶段,将风险作为重要考虑因素,在整个审计过程贯穿对风险的关注,充分考虑风险管理的充分性和有效性。具体讲,在审计计划阶段,统计内部控制应该考虑企业活动存在的风险,在评估风险优先次序的基础上安排审计工作,按照风险大小分配审计资源;在审计实施阶段,审计师通过检查、评价风险管理过程的充分性和有效性,发现风险控制的漏洞和薄弱环节;在审计报告阶段,对风险管理状况进行评价,对风险管理中存在的漏洞和不足提出改进建议,协助企业管理层确定、评价并实施针对风险管理的方法和控制措施。
2.统计内部控制在现代企业中的作用
2.1 完善企业约束机制,促进规范企业经济行为
监督职能是指检查监督被审计单位经济活动的真实性、正确性、合法性及合规性,督促其经济活动在正确的轨道上运行。审计监督职能与专业监督有本质的区别,审计监督的内容广泛、综合,并具有独立性、监督层次较高的特点。现代企业的自我约束机制是企业自主经营.自负盈亏,自我发展的保证。通过处于企业自我约束机制中心地位的统计内部控制进行再监督,能使企业充分实现自我约束。特别是针对不合规问题提出改进建议、意见或交由有关部门处理.有利于提高企业经济效益。据统计,仅1996年企业统计内部控制机构共完成504115个财务收支审计项目,查出并纠正各种违规金额达310.46亿元。园此.有人把统计内部控制比喻成企业的“经济卫士”。
2.2 有助于企业建立起科学的管理体制和提高管理水平
在现代企业制度下,有限责任公司、股份有限公司与其相适应配套的公司董事会、监事会、经理等现代企业内部机构的设立形成了现代企业管理体系。这个体系中有各自的职责权限范围,各机构如何相互制约和平衡是保证企业科学管理的基础。只有通过统计内部控制机构的评价服务职能运用。间接参与企业经营管理来约束董事、经理等机构和人员并协调其相互间关系,从而形成科学的管理体制,使各机构依据法规、章程对企业生产经营活动进行组织和领导,起到保证生产经营正常进行的作用。具体说来,统计内部控制对企业的生产经营决策、计划等各种经济活动是否符合国家方针政策,是否适应市场经济要求积极提供客观评价服务,通过在经济审计工作中发现的问题,为本企业的利益提供评价服务,帮助投资预测、成本分析、政策咨询等服务并提出合理化建议,促使各单位改进或采取措施从而不断提高企业管理水平。