九乡新闻网黑色沙漠 全据点地图:构建内部控制体系防范企业风险
来源:百度文库 编辑:九乡新闻网 时间:2024/04/29 05:49:17
内部控制是企业为了达到某个或某些目的而实施相关措施的过程,包含内部环境、风险评估、控制活动、信息与沟通、内部监督五大要素。内部控制源于企业风险,财务舞弊、经营失败使内部控制成为全球的主题。本文从内部控制产生的原因、固有风险和存在的问题出发,探索构建内部控制系统应注意的问题及企业构建内部控制体系、规范经营、防范风险的有效措施。
上世纪80年代,美国虚假财务报告丑闻层出不穷,许多大公司突现经营失败,美国注册会计师协会(AICPA)等发起成立的“反对虚假财务报告委员会”调查发现,将近50%的财务舞弊事件可以全部或部分归咎于内部控制失败。1992年9月,5个发起组织成立的委员会即COSO公布了《内部控制—综合性框架》(COSO报告)。2001年11月,安然公司财务丑闻曝光,6个月后,世通公司再度爆发丑闻,美国这一期间有338家上市公司,总计4093亿美元的资产申请破产保护。2002年7月30日,美国紧急出台公司改革法案《萨班斯—奥克斯利法案(Sarbanes-Oxleys Acts)》。2008年6月28日,酝酿两年之久的中国版“萨班尼斯-奥克斯利法案”——《企业内部控制基本规范》发布,并将于2009年7月1日起在上市公司正式实施,鼓励非上市公司的大中型国有企业执行。建立内部控制,是企业应对风险、加强管理、规范经营策略的主要措施。
一、内部控制产生的原因
内部控制源于企业风险。企业风险是影响企业目标实现,可能为企业带来损失甚至生存危机的各种不确定因素和潜在可能。企业的生产经营时刻处于在风险中,企业风险无时不在、无处不在。从企业风险内容的表现形式看,现代企业面临的主要风险主要表现为经营风险和管理风险。
1、经营风险
如经营环境、行业的风险、企业所处的金融市场风险、产品的开发能力等等这些不受企业完全支配的因素。一是供应方面的风险,如原材料供应方面的政治经济环境变化。二是生产方面的风险,它主要来源于生产过程中诸因素的不确定性,在生产过程中,企业所拥有的原材料、机器设备以及人力资本等经济资源的配置和使用会随着生产经营的不断变化而进行调整,使企业预期收益具有不确定性。特别是新产品开发过程中,当企业将一个尚未经市场进一步检验的新产品作为主要产品而大量投资生产时,企业的生产经营就具有了高风险性。三是销售方面的风险,是指由于市场上消费者偏好与消费结构的变化、同行业竞争对手策略的改变以及市场总体需求变动等因素给企业销售带来的风险。此外,外部环境还存在一些风险因素,例如战争、内乱、暴动、罢工等所引起的社会环境的变化;劳动力市场供求关系的变化;通货膨胀的发生;产业竞争的加剧;国家产业政策、税收政策、货币金融政策的调整以及其他宏观经济政策的变化等,这些因素的不确定性都会直接或间接地影响企业的生产经营活动,引起企业经营收益的变化,从而给企业带来经营上的风险。
2、管理风险
包括经营和财务信息的不足;政策、计划、程序、法律和标准贯彻失败;资产流失;资源浪费和无效使用;不能达到企业的目的和目标等等。
企业风险会给企业经营带来严重后果:竞争失败会使企业遭受诸多的不利;经营中断使企业的目标将无法达到;法律诉讼会给企业带来损失和信誉的破坏等;商业欺诈可能会给企业带来难于承受的损失;无益开支使得企业的收益能力下降;决策失误可能使企业一蹶不振;国内外经济环境、自然灾害可能使企业损失巨大。如2008年,年初的冰雪灾害及汶川“5.12”大地震,使铁路基础设施遭受巨大破坏,金融危机使铁路运输特别是货物运输大幅下降。风险影响企业的生存和竞争能力。很多风险并不为企业所控制,但决策层应当识别这些风险并采取一定的应对措施。内部控制由此产生。
二、内部控制的固有风险
无论内部控制制度被设计得多么完美,运行得多么符合设计者的预期,都不是万能的,因为其自身存在着固有的内生性局限,具体表现为以下几方面。
第一,人为疏忽、分心、疲惫、误解指令、判断失误等,可能使健全有效的内部控制失灵。第二,内部控制一般是为经常发生的经济业务而设计的,因此,一旦发生异常或未预计到的业务,就会有失控或原有控制不适用的可能性。第三,管理阶层为粉饰企业财务业绩或遵循法令状况等目的,不遵守已经明确制定的政策或程序。美国Treadway委员会曾指出,至少有66%的欺诈性财务报告诉讼案,与最高管理当局逾越内部控制有关。第四,控制成本与效益都是难以确切计量的,因此需要运用主观判断做出决策。
三、我国国有企业内部控制存在的主要问题
1、控制环境方面
组织结构相对分散,控制及管理缺乏集中;对非正式的管理程序习以为常;难以制定细化的业绩考核指标,激励机制不完善;高层的管理基调不清晰;缺乏惩防并举的系统的反舞弊机制;现存制度有冲突或覆盖不全;公司的制度和程序没有能够有效的传达。
2、风险评估方面
缺乏完美的风险管理机制及组织架构;对潜在的风险缺乏整体的认识和系统性的归类;缺乏对风险评估方式、方法、程序的系统理解;缺乏对重大风险预警机制及突发事件应急处理机制;信息技术方面的风险管理薄弱;缺乏风险管理及内部控制的专业人才。
3、控制活动方面
缺乏完整、统一和具体操作的“标准工作流程”;长期形成的过度集权或分权体系;现有的职责分离的不健全;大量且繁杂的手工控制或手工流程;复杂的关联方交易;对信息系统相关的控制活动往往缺乏应有的重视。
4、信息与沟通方面
信息管理系统常常分散或过时;往往缺乏以关键业绩指标为基础的定期汇总的管理报告提交和分析机制;常常过度依赖书面报告中的数字,而忽视对业务实际情况的定期考查。
5、监控方面
习惯于以人际关系或非正式手段进行监控;内审职能还停留在传统的合规性稽核审计;内审人员配备不足,职能缺乏独立性;审计委员会的监督作用常常较为薄弱。
四、构建内部控制系统应注意的问题
1、以预防为主、查处为辅
企业建立内部控制制度主要是为了防止单位的经营管理发生无效率和不法行为,即防止错弊发生和对已发生的不法事件的揭露和处理情况,查处只是维护内控制度严肃性的手段而非内部控制的目的。
2、注重选择关键控制点
内部控制工作的效率性和成本效益原则决定了管理者应当也只能将注意力集中于业务处理过程中发挥作用较大、影响范围较广、对保证整个业务活动的控制目标至关重要的关键控制点上,不可祈求面面俱到。
3、做到适度控制
即控制的范围、程度和频度要恰到好处。为此,控制过程中要注意既能满足对企业经营管理活动监督和检查的需要,又要防止与企业成员发生强烈的冲突。适度的控制应能同时体现这两个方面的要求:一方面要注意到过多的控制会扼杀企业成员的积极性、主动性和创造性,从而影响个人能力的发挥和工作热情的提高,最终影响单位的效率;另一方面也要注意到过少的控制将不能使企业经营管理活动有序地进行。
4、设立补救措施
现代企业是由人、财、物、信息技术等要素构成的复杂有机整体,其受时空变化和环境影响较大,加之随机因素较多,既定的内部控制制度也就难以按照预期的目标发挥功效。内部控制必须保证在发生了一些未能预测的事件情况下,如环境突变、计划变更、计划失败等,控制工作仍然有效,不受剧烈影响。
五、构建内部控制体系的有效措施
1、优化内部控制环境
(1)健全机构,完善公司治理架构。股东大会、董事会、监事会、经理层之间应形成权责分配、激励与约束、权力制衡关系。内部控制的具体做法属于管理措施问题,但内部控制机制的设计则属于公司治理的范畴,如董事长与总经理的分工既是公司治理中的权利制衡问题,又是内部控制中的不相容职务分工问题。
(2)形成适合企业发展的管理哲学与经营风格。管理哲学与经营风格表现为管理者的各种偏好,对企业的影响是无形的,包括企业接受风险的程度(如资产负债率的高低);关键岗位的人员轮换;管理当局的态度(即对数据处理和会计职能的态度以及对财务报告可靠性和安全性的关心程度);对财务报告的态度(是否有操纵利润的动机)。管理者有风险投资型,也有保守型;有突出主营业务,也有热衷于多元化经营。
(3)设置合理的组织结构。组织结构在于提供规划、执行、控制和监督活动的框架。良好的组织必须以执行工作计划为使命,并具有清晰的职位层次顺序、流畅的意见沟通管道、有效的协调与合作体系。在公司制企业中,股东大会是权力机构,董事会是决策机构,监事会是监督机构,经理层是日常管理机构,各司其职,各负其责,相互协调,相互牵制。
(4)突出董事会的独立作用。董事会对股东有信托责任,拥有决策控制权,是企业内部控制系统框架的核心。目前,我国的现状是董事会不独立,形式上“三会”健全,实际中存在许多误区。如董事会与经理层高度重叠,缺少权力制约,一人决策失误,影响一个企业,这在我国颇为常见。
(5)提高经营者素质和职业道德。素质不仅指知识与专业技能,还包括操守、道德观、价值观与世界观。职业道德是造就职业经理、造就大企业的基石。西方有职业经理人市场,能选择企业合适的管理人才。
(6)培育企业文化。企业文化是企业在经营管理过程中创造的具有本企业特色的精神财富的总和,它融合了优秀的民族文化源和企业家的优秀素质。企业文化是一种无形的力量,影响企业成员的思维方法和行为方式,它贯穿于企业活动的全过程,甚至决定着一个企业的兴衰和成败。企业文化能够提升企业形象。我国古有浙商、晋商,今有海尔,都是以企业文化提升企业品牌的典型案例。
(7)抓好人力资源政策与实务。人力资源政策与实务就是企业有能力招聘并保留一定数量有胜任能力和责任心的员工,简单地说,即留住能人、补充能人。COSO报告特别强调“人”在内部控制中的作用。海尔的人才观是“人人是人才,赛马不相马”,赛马机制具体而言,包含三条原则:公平竞争,任人唯贤;职适其能,人尽其才;合理流动,动态管理。
2、建立风险评估制度
(1)采用科学方法。企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
(2)利用专业人员。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
(3)制定应对策略。第一,根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。第二,合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。第三,综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
3、规范控制活动
(1)不相容职务分离。不相容职务分离可以防止员工通过伪造记录的方式来掩盖他们对于所保管财物的盗用;防止批准虚假或不正确的交易,隐瞒对公司财产的侵占;防止以伪造的会计记录来掩盖未被授权的虚假交易。企业应当全面系统地分析、梳理业务流程中涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。不相容职务分离控制是控制活动的重中之重,此项控制缺失将给企业带来巨大损失,巴林银行、中航油、兴业银行都有过不相容职务分离的惨痛教训。
(2)严格授权审批。授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
(3)实施综合控制措施。有效的控制活动应该具效果性和效率性,即这些控制活动能有效地降低风险,易操作、成本低。企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
(4)建立风险预警系统。企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案,明确责任人员,规范处置程序,确保突发事件得到及时妥善处理。
4、建立信息系统和沟通机制
(1)企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制的有效运行。一方面要利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用;另一方面要加强对信息系统开发与维护、访问与变更、数据输入和输出、文件存储与保管、网络安全等方面的控制。
(2)内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面需要对内部控制相关信息及时传递给董事会、监事会和经理层。
5、强化内部监督
(1)建立内控监督制度。内控监督包括日常与专项监督两类。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查,例如定期对重大投资结果与决策时假设进行对比分析,经营中的问题向高一级管理人员跟进与反馈。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。
(2)制定内控缺陷认定标准。标准又包括设计与运行标准。企业应制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷应当分析缺陷的性质和产生的原因,提出整改方案,并及时向董事会、监事会和经理层报告。同时,内部控制建立与实施过程的记录或资料应妥善保存,以确保内部控制建立与实施过程的可验证性。
(3)定期出具内控自我评价报告。企业应使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价,以找出内部控制的优点和不足,并提出改进建议。
六、结语
内部控制是一个动态的过程,是使企业经营管理活动遵循既定目标前进的过程,是一个“发现问题—解决问题—再发现问题—再解决问题”的循环往复的过程,它本身是企业防范风险的一种手段而不是一种目的。构建内部控制体系,人的因素很重要。内部控制会受到企业内部各层次人员的影响,内部控制应是全民控制,处于企业中心地位,贯彻于管理始终,促进企业规范经营,持续发展。
上世纪80年代,美国虚假财务报告丑闻层出不穷,许多大公司突现经营失败,美国注册会计师协会(AICPA)等发起成立的“反对虚假财务报告委员会”调查发现,将近50%的财务舞弊事件可以全部或部分归咎于内部控制失败。1992年9月,5个发起组织成立的委员会即COSO公布了《内部控制—综合性框架》(COSO报告)。2001年11月,安然公司财务丑闻曝光,6个月后,世通公司再度爆发丑闻,美国这一期间有338家上市公司,总计4093亿美元的资产申请破产保护。2002年7月30日,美国紧急出台公司改革法案《萨班斯—奥克斯利法案(Sarbanes-Oxleys Acts)》。2008年6月28日,酝酿两年之久的中国版“萨班尼斯-奥克斯利法案”——《企业内部控制基本规范》发布,并将于2009年7月1日起在上市公司正式实施,鼓励非上市公司的大中型国有企业执行。建立内部控制,是企业应对风险、加强管理、规范经营策略的主要措施。
一、内部控制产生的原因
内部控制源于企业风险。企业风险是影响企业目标实现,可能为企业带来损失甚至生存危机的各种不确定因素和潜在可能。企业的生产经营时刻处于在风险中,企业风险无时不在、无处不在。从企业风险内容的表现形式看,现代企业面临的主要风险主要表现为经营风险和管理风险。
1、经营风险
如经营环境、行业的风险、企业所处的金融市场风险、产品的开发能力等等这些不受企业完全支配的因素。一是供应方面的风险,如原材料供应方面的政治经济环境变化。二是生产方面的风险,它主要来源于生产过程中诸因素的不确定性,在生产过程中,企业所拥有的原材料、机器设备以及人力资本等经济资源的配置和使用会随着生产经营的不断变化而进行调整,使企业预期收益具有不确定性。特别是新产品开发过程中,当企业将一个尚未经市场进一步检验的新产品作为主要产品而大量投资生产时,企业的生产经营就具有了高风险性。三是销售方面的风险,是指由于市场上消费者偏好与消费结构的变化、同行业竞争对手策略的改变以及市场总体需求变动等因素给企业销售带来的风险。此外,外部环境还存在一些风险因素,例如战争、内乱、暴动、罢工等所引起的社会环境的变化;劳动力市场供求关系的变化;通货膨胀的发生;产业竞争的加剧;国家产业政策、税收政策、货币金融政策的调整以及其他宏观经济政策的变化等,这些因素的不确定性都会直接或间接地影响企业的生产经营活动,引起企业经营收益的变化,从而给企业带来经营上的风险。
2、管理风险
包括经营和财务信息的不足;政策、计划、程序、法律和标准贯彻失败;资产流失;资源浪费和无效使用;不能达到企业的目的和目标等等。
企业风险会给企业经营带来严重后果:竞争失败会使企业遭受诸多的不利;经营中断使企业的目标将无法达到;法律诉讼会给企业带来损失和信誉的破坏等;商业欺诈可能会给企业带来难于承受的损失;无益开支使得企业的收益能力下降;决策失误可能使企业一蹶不振;国内外经济环境、自然灾害可能使企业损失巨大。如2008年,年初的冰雪灾害及汶川“5.12”大地震,使铁路基础设施遭受巨大破坏,金融危机使铁路运输特别是货物运输大幅下降。风险影响企业的生存和竞争能力。很多风险并不为企业所控制,但决策层应当识别这些风险并采取一定的应对措施。内部控制由此产生。
二、内部控制的固有风险
无论内部控制制度被设计得多么完美,运行得多么符合设计者的预期,都不是万能的,因为其自身存在着固有的内生性局限,具体表现为以下几方面。
第一,人为疏忽、分心、疲惫、误解指令、判断失误等,可能使健全有效的内部控制失灵。第二,内部控制一般是为经常发生的经济业务而设计的,因此,一旦发生异常或未预计到的业务,就会有失控或原有控制不适用的可能性。第三,管理阶层为粉饰企业财务业绩或遵循法令状况等目的,不遵守已经明确制定的政策或程序。美国Treadway委员会曾指出,至少有66%的欺诈性财务报告诉讼案,与最高管理当局逾越内部控制有关。第四,控制成本与效益都是难以确切计量的,因此需要运用主观判断做出决策。
三、我国国有企业内部控制存在的主要问题
1、控制环境方面
组织结构相对分散,控制及管理缺乏集中;对非正式的管理程序习以为常;难以制定细化的业绩考核指标,激励机制不完善;高层的管理基调不清晰;缺乏惩防并举的系统的反舞弊机制;现存制度有冲突或覆盖不全;公司的制度和程序没有能够有效的传达。
2、风险评估方面
缺乏完美的风险管理机制及组织架构;对潜在的风险缺乏整体的认识和系统性的归类;缺乏对风险评估方式、方法、程序的系统理解;缺乏对重大风险预警机制及突发事件应急处理机制;信息技术方面的风险管理薄弱;缺乏风险管理及内部控制的专业人才。
3、控制活动方面
缺乏完整、统一和具体操作的“标准工作流程”;长期形成的过度集权或分权体系;现有的职责分离的不健全;大量且繁杂的手工控制或手工流程;复杂的关联方交易;对信息系统相关的控制活动往往缺乏应有的重视。
4、信息与沟通方面
信息管理系统常常分散或过时;往往缺乏以关键业绩指标为基础的定期汇总的管理报告提交和分析机制;常常过度依赖书面报告中的数字,而忽视对业务实际情况的定期考查。
5、监控方面
习惯于以人际关系或非正式手段进行监控;内审职能还停留在传统的合规性稽核审计;内审人员配备不足,职能缺乏独立性;审计委员会的监督作用常常较为薄弱。
四、构建内部控制系统应注意的问题
1、以预防为主、查处为辅
企业建立内部控制制度主要是为了防止单位的经营管理发生无效率和不法行为,即防止错弊发生和对已发生的不法事件的揭露和处理情况,查处只是维护内控制度严肃性的手段而非内部控制的目的。
2、注重选择关键控制点
内部控制工作的效率性和成本效益原则决定了管理者应当也只能将注意力集中于业务处理过程中发挥作用较大、影响范围较广、对保证整个业务活动的控制目标至关重要的关键控制点上,不可祈求面面俱到。
3、做到适度控制
即控制的范围、程度和频度要恰到好处。为此,控制过程中要注意既能满足对企业经营管理活动监督和检查的需要,又要防止与企业成员发生强烈的冲突。适度的控制应能同时体现这两个方面的要求:一方面要注意到过多的控制会扼杀企业成员的积极性、主动性和创造性,从而影响个人能力的发挥和工作热情的提高,最终影响单位的效率;另一方面也要注意到过少的控制将不能使企业经营管理活动有序地进行。
4、设立补救措施
现代企业是由人、财、物、信息技术等要素构成的复杂有机整体,其受时空变化和环境影响较大,加之随机因素较多,既定的内部控制制度也就难以按照预期的目标发挥功效。内部控制必须保证在发生了一些未能预测的事件情况下,如环境突变、计划变更、计划失败等,控制工作仍然有效,不受剧烈影响。
五、构建内部控制体系的有效措施
1、优化内部控制环境
(1)健全机构,完善公司治理架构。股东大会、董事会、监事会、经理层之间应形成权责分配、激励与约束、权力制衡关系。内部控制的具体做法属于管理措施问题,但内部控制机制的设计则属于公司治理的范畴,如董事长与总经理的分工既是公司治理中的权利制衡问题,又是内部控制中的不相容职务分工问题。
(2)形成适合企业发展的管理哲学与经营风格。管理哲学与经营风格表现为管理者的各种偏好,对企业的影响是无形的,包括企业接受风险的程度(如资产负债率的高低);关键岗位的人员轮换;管理当局的态度(即对数据处理和会计职能的态度以及对财务报告可靠性和安全性的关心程度);对财务报告的态度(是否有操纵利润的动机)。管理者有风险投资型,也有保守型;有突出主营业务,也有热衷于多元化经营。
(3)设置合理的组织结构。组织结构在于提供规划、执行、控制和监督活动的框架。良好的组织必须以执行工作计划为使命,并具有清晰的职位层次顺序、流畅的意见沟通管道、有效的协调与合作体系。在公司制企业中,股东大会是权力机构,董事会是决策机构,监事会是监督机构,经理层是日常管理机构,各司其职,各负其责,相互协调,相互牵制。
(4)突出董事会的独立作用。董事会对股东有信托责任,拥有决策控制权,是企业内部控制系统框架的核心。目前,我国的现状是董事会不独立,形式上“三会”健全,实际中存在许多误区。如董事会与经理层高度重叠,缺少权力制约,一人决策失误,影响一个企业,这在我国颇为常见。
(5)提高经营者素质和职业道德。素质不仅指知识与专业技能,还包括操守、道德观、价值观与世界观。职业道德是造就职业经理、造就大企业的基石。西方有职业经理人市场,能选择企业合适的管理人才。
(6)培育企业文化。企业文化是企业在经营管理过程中创造的具有本企业特色的精神财富的总和,它融合了优秀的民族文化源和企业家的优秀素质。企业文化是一种无形的力量,影响企业成员的思维方法和行为方式,它贯穿于企业活动的全过程,甚至决定着一个企业的兴衰和成败。企业文化能够提升企业形象。我国古有浙商、晋商,今有海尔,都是以企业文化提升企业品牌的典型案例。
(7)抓好人力资源政策与实务。人力资源政策与实务就是企业有能力招聘并保留一定数量有胜任能力和责任心的员工,简单地说,即留住能人、补充能人。COSO报告特别强调“人”在内部控制中的作用。海尔的人才观是“人人是人才,赛马不相马”,赛马机制具体而言,包含三条原则:公平竞争,任人唯贤;职适其能,人尽其才;合理流动,动态管理。
2、建立风险评估制度
(1)采用科学方法。企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
(2)利用专业人员。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
(3)制定应对策略。第一,根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。第二,合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。第三,综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
3、规范控制活动
(1)不相容职务分离。不相容职务分离可以防止员工通过伪造记录的方式来掩盖他们对于所保管财物的盗用;防止批准虚假或不正确的交易,隐瞒对公司财产的侵占;防止以伪造的会计记录来掩盖未被授权的虚假交易。企业应当全面系统地分析、梳理业务流程中涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。不相容职务分离控制是控制活动的重中之重,此项控制缺失将给企业带来巨大损失,巴林银行、中航油、兴业银行都有过不相容职务分离的惨痛教训。
(2)严格授权审批。授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
(3)实施综合控制措施。有效的控制活动应该具效果性和效率性,即这些控制活动能有效地降低风险,易操作、成本低。企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
(4)建立风险预警系统。企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案,明确责任人员,规范处置程序,确保突发事件得到及时妥善处理。
4、建立信息系统和沟通机制
(1)企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制的有效运行。一方面要利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用;另一方面要加强对信息系统开发与维护、访问与变更、数据输入和输出、文件存储与保管、网络安全等方面的控制。
(2)内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面需要对内部控制相关信息及时传递给董事会、监事会和经理层。
5、强化内部监督
(1)建立内控监督制度。内控监督包括日常与专项监督两类。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查,例如定期对重大投资结果与决策时假设进行对比分析,经营中的问题向高一级管理人员跟进与反馈。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。
(2)制定内控缺陷认定标准。标准又包括设计与运行标准。企业应制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷应当分析缺陷的性质和产生的原因,提出整改方案,并及时向董事会、监事会和经理层报告。同时,内部控制建立与实施过程的记录或资料应妥善保存,以确保内部控制建立与实施过程的可验证性。
(3)定期出具内控自我评价报告。企业应使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价,以找出内部控制的优点和不足,并提出改进建议。
六、结语
内部控制是一个动态的过程,是使企业经营管理活动遵循既定目标前进的过程,是一个“发现问题—解决问题—再发现问题—再解决问题”的循环往复的过程,它本身是企业防范风险的一种手段而不是一种目的。构建内部控制体系,人的因素很重要。内部控制会受到企业内部各层次人员的影响,内部控制应是全民控制,处于企业中心地位,贯彻于管理始终,促进企业规范经营,持续发展。
构建内部控制体系防范企业风险
论担保公司风险控制体系构建
111施工企业如何控制内部承包的法律风险
防范和控制银行风险
集团内部控制体系设计
担保业风险防范与控制
担保业风险防范与控制
构建企业文档管理战略体系
湖北省构建“1+5 ”廉洁风险防控制度体系,推进国有企业廉洁风险防控工作全覆盖-国家预防腐...
企业纳税风险的控制
企业合同法律风险与防范
央企业境外投资风险需防范
企业合同中的法律风险及防范
上海:积极探索构建高校廉政风险预警防范机制
浅论企业内部控制评价体系的构建1
构建新农村建设试验区腐败风险防控体系
构建新农村建设腐败风险防控体系
浅议煤炭资源整合中的税收风险防范与控制
构建国家创新体系的未来企业创新思路
健全企业内控制度控制财务风险
风险防范
企业法律风险防范之职务侵占犯罪/焦保宏
企业防范经营法律风险提示三十条
企业在开除、辞退员工时如何防范法律风险?