关于内部控制与风险管理在企业运营中应用的探讨
2015-01-20朱英晓
朱英晓
现代化企业管理中,内部控制与风险管理紧密结合才能促使企业高效安全运营,但是内部控制与风险管理该如何融合于企业运营的每个环节,通过管理实践笔者认为只有通过不断认识、把握、实施、反馈才能建立起高效的风险控制管理体系。
一、内部控制与风险的定义与关系
内部控制:《企业内部控制基本规范》所称的内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
风险:是未来不确定性对目标的影响。
内部控制与风险之间的关系:企业建立和完善内部控制体系,其最终目的是为了控制风险,实现企业目标。它们之间的关系如下图所示。
二、企业在运营过程中面临的风险
(一)战略风险
指企业在战略的制订和实施上出现错误,或因未能随环境的改变而做出适当的调整,从而导致经济上的损失。常见的战略风险包括宏观政策及形势把握风险、新产品推广策略风险、对新市场开发投入风险和并购风险。
(二)财务风险
指因公司财务结构不合理、融资不当使公司可能丧失偿债能力而导致投资者预期收益下降的风险。包括资金结构与现金流风险、会计核算与流程的风险和会计及财务报告风险等。
(三)市场风险
指未来市场价格(价格、 利率、汇率、股票价格)的不确定性对企业实现其既定目标的影响。市场风险包括商品价格与物资供应风险、客户及供应商信用风险、税收风险、利率、汇率风险和竞争风险。这些市场因素可能直接对企业产生影响,也可能是通过对其竞争者、供应商或者消费者间接对企业产生影响。
(四)运营风险
指企业在运营过程中,由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性,而导致的运营失败或使运营活动达不到预期的目标的可能性及其损失。运营风险并不是指某一种具体特定的风险,而是包含一系列具体的风险。包括内部管理风险、业务流程与信息系统风险和企业风险管理现状与能力。
(五)法律风险
指公司在经营过程中违反法律法规,签订合同的内容在法律上有缺陷或不完善而发生法律纠纷甚至无法履约,以及法律的不完善或修订产生的不确定性等面临的风险。包括国内外政治法律环境与政策、员工道德操守、重大协议与合同的遵守与履行、法律纠纷和知识产权。
三、内部控制与风险管理实施的目标
目标一:从风险控制的角度出发,立足于提升公司的管理水平,建设形成涵盖公司层面、业务层面、信息系统层面,内容规范、实施有效的内部控制体系。
分先内控管理既从满足监管角度出发,又立足于公司的实际需求与自身发展特点,建立完善内部控制体系,促进企业遵循法规、维护企业资产安全、提、提高企业经营效率、推进全面风险管控。
目标二:通过对公司现有电子信息系统的诊断、优化和提升,实现内控要求与公司现有电子信息系统的整合、对接。
从内部控制体系建设与信息化建设的同步整合角度,在完善内控体系的过程中,将内部控制成果与信息化系统进行对接,以实现内部控制的落地,提高内控制度的执行力。
目标三:完成风险内控体系在公司领导层、职能部门管理层、子公司管理层及其他必需的层级和范围内人员的培训和咨询工作。
强调方案成果的实施和落地,对风险内控体系的实施和相关咨询师的知识转移等工作提出具体要求,使风险内控观念深入到公司的各个层面,使之成为一种管理习惯。
三、风险控制管理应遵循的原则
(一)分层建立内部控制体系
作为分子公司众多的大型集团公司,公司内控体系建设既要考虑公司总部的管控要求,又要考虑下属分、子公司的管控要求,整个内控体系是一个在集团管控模式下的分层管控方式。
(二)注重实效
最佳的风险内控体系不是用理论最佳,而是最佳实践解释是风控管理的基本理念。通过务实的风控体系设计,确保内控体系符合企业实际,能够有效落实和执行,才能打造适用于公司最佳管理实践。
(三)持续管理提升
管理体系与机制不是一劳永逸的,风险内控的的完善是一个长期的、持续的过程,需要逐步地、循序渐进,以日臻完善。大体上风险内控要体系要经过一下几个阶段:合规型风险内控、管理型风险内控、体系型风险内控、全面型风险内控。
四、风险控制管理实施步骤及控制要点
(一)引进先进理念—风险控制培训
实施项目前期培训,形成风险控制理念,主要是充实内部控制基础知识、法规等知识,明确内控项目实施计划、过程和成果方面的目标。
(二)剖析自身管理—风险控制调查和评价
首先进行内部控制调查和评价,通过查阅公司制度和资料、人员访谈、发放调查问卷、穿行测试、实地考察等方法,深入梳理公司业务流程,发现内部控制中存在的问题,以此为基础对公司内部控制状况进行评价,编制《内部控制评价报告》,为改进内部控制提供参考和建议。
(三)完善业务流程—内部控制设计
根据内控调查和评价中了解的内容,按照《内部控制手册》的设计标准开展内控设计工作,形成《内部控制手册》。《内部控制手册》至少应包括:标准流程控制文件、风险控制矩阵。
(四)识别内外部风险—梳理风险清单
在内部控制项目过程中,公司各部门对影响公司目标、部门目标的风险进行识别、归类,并对各项风险的权重进行评估,最终形成公司的风险清单和公司风险库,作为公司风险管理的依据。
(五)不断优化—风险内控实施及优化
在公司形成《内部控制手册》后,确定试用阶段,在实施过程中对反映出来的问题加以修订,不断优化。之后《内部控制手册》每年都要根据企业运营状况对其进行修订以使整个经营过程的风险处于有效的控制范围内。
现代化企业管理中,内部控制与风险管理紧密结合才能促使企业高效安全运营,但是内部控制与风险管理该如何融合于企业运营的每个环节,通过管理实践笔者认为只有通过不断认识、把握、实施、反馈才能建立起高效的风险控制管理体系。
一、内部控制与风险的定义与关系
内部控制:《企业内部控制基本规范》所称的内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
风险:是未来不确定性对目标的影响。
内部控制与风险之间的关系:企业建立和完善内部控制体系,其最终目的是为了控制风险,实现企业目标。它们之间的关系如下图所示。
二、企业在运营过程中面临的风险
(一)战略风险
指企业在战略的制订和实施上出现错误,或因未能随环境的改变而做出适当的调整,从而导致经济上的损失。常见的战略风险包括宏观政策及形势把握风险、新产品推广策略风险、对新市场开发投入风险和并购风险。
(二)财务风险
指因公司财务结构不合理、融资不当使公司可能丧失偿债能力而导致投资者预期收益下降的风险。包括资金结构与现金流风险、会计核算与流程的风险和会计及财务报告风险等。
(三)市场风险
指未来市场价格(价格、 利率、汇率、股票价格)的不确定性对企业实现其既定目标的影响。市场风险包括商品价格与物资供应风险、客户及供应商信用风险、税收风险、利率、汇率风险和竞争风险。这些市场因素可能直接对企业产生影响,也可能是通过对其竞争者、供应商或者消费者间接对企业产生影响。
(四)运营风险
指企业在运营过程中,由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性,而导致的运营失败或使运营活动达不到预期的目标的可能性及其损失。运营风险并不是指某一种具体特定的风险,而是包含一系列具体的风险。包括内部管理风险、业务流程与信息系统风险和企业风险管理现状与能力。
(五)法律风险
指公司在经营过程中违反法律法规,签订合同的内容在法律上有缺陷或不完善而发生法律纠纷甚至无法履约,以及法律的不完善或修订产生的不确定性等面临的风险。包括国内外政治法律环境与政策、员工道德操守、重大协议与合同的遵守与履行、法律纠纷和知识产权。
三、内部控制与风险管理实施的目标
目标一:从风险控制的角度出发,立足于提升公司的管理水平,建设形成涵盖公司层面、业务层面、信息系统层面,内容规范、实施有效的内部控制体系。
分先内控管理既从满足监管角度出发,又立足于公司的实际需求与自身发展特点,建立完善内部控制体系,促进企业遵循法规、维护企业资产安全、提、提高企业经营效率、推进全面风险管控。
目标二:通过对公司现有电子信息系统的诊断、优化和提升,实现内控要求与公司现有电子信息系统的整合、对接。
从内部控制体系建设与信息化建设的同步整合角度,在完善内控体系的过程中,将内部控制成果与信息化系统进行对接,以实现内部控制的落地,提高内控制度的执行力。
目标三:完成风险内控体系在公司领导层、职能部门管理层、子公司管理层及其他必需的层级和范围内人员的培训和咨询工作。
强调方案成果的实施和落地,对风险内控体系的实施和相关咨询师的知识转移等工作提出具体要求,使风险内控观念深入到公司的各个层面,使之成为一种管理习惯。
三、风险控制管理应遵循的原则
(一)分层建立内部控制体系
作为分子公司众多的大型集团公司,公司内控体系建设既要考虑公司总部的管控要求,又要考虑下属分、子公司的管控要求,整个内控体系是一个在集团管控模式下的分层管控方式。
(二)注重实效
最佳的风险内控体系不是用理论最佳,而是最佳实践解释是风控管理的基本理念。通过务实的风控体系设计,确保内控体系符合企业实际,能够有效落实和执行,才能打造适用于公司最佳管理实践。
(三)持续管理提升
管理体系与机制不是一劳永逸的,风险内控的的完善是一个长期的、持续的过程,需要逐步地、循序渐进,以日臻完善。大体上风险内控要体系要经过一下几个阶段:合规型风险内控、管理型风险内控、体系型风险内控、全面型风险内控。
四、风险控制管理实施步骤及控制要点
(一)引进先进理念—风险控制培训
实施项目前期培训,形成风险控制理念,主要是充实内部控制基础知识、法规等知识,明确内控项目实施计划、过程和成果方面的目标。
(二)剖析自身管理—风险控制调查和评价
首先进行内部控制调查和评价,通过查阅公司制度和资料、人员访谈、发放调查问卷、穿行测试、实地考察等方法,深入梳理公司业务流程,发现内部控制中存在的问题,以此为基础对公司内部控制状况进行评价,编制《内部控制评价报告》,为改进内部控制提供参考和建议。
(三)完善业务流程—内部控制设计
根据内控调查和评价中了解的内容,按照《内部控制手册》的设计标准开展内控设计工作,形成《内部控制手册》。《内部控制手册》至少应包括:标准流程控制文件、风险控制矩阵。
(四)识别内外部风险—梳理风险清单
在内部控制项目过程中,公司各部门对影响公司目标、部门目标的风险进行识别、归类,并对各项风险的权重进行评估,最终形成公司的风险清单和公司风险库,作为公司风险管理的依据。
(五)不断优化—风险内控实施及优化
在公司形成《内部控制手册》后,确定试用阶段,在实施过程中对反映出来的问题加以修订,不断优化。之后《内部控制手册》每年都要根据企业运营状况对其进行修订以使整个经营过程的风险处于有效的控制范围内。
现代化企业管理中,内部控制与风险管理紧密结合才能促使企业高效安全运营,但是内部控制与风险管理该如何融合于企业运营的每个环节,通过管理实践笔者认为只有通过不断认识、把握、实施、反馈才能建立起高效的风险控制管理体系。
一、内部控制与风险的定义与关系
内部控制:《企业内部控制基本规范》所称的内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
风险:是未来不确定性对目标的影响。
内部控制与风险之间的关系:企业建立和完善内部控制体系,其最终目的是为了控制风险,实现企业目标。它们之间的关系如下图所示。
二、企业在运营过程中面临的风险
(一)战略风险
指企业在战略的制订和实施上出现错误,或因未能随环境的改变而做出适当的调整,从而导致经济上的损失。常见的战略风险包括宏观政策及形势把握风险、新产品推广策略风险、对新市场开发投入风险和并购风险。
(二)财务风险
指因公司财务结构不合理、融资不当使公司可能丧失偿债能力而导致投资者预期收益下降的风险。包括资金结构与现金流风险、会计核算与流程的风险和会计及财务报告风险等。
(三)市场风险
指未来市场价格(价格、 利率、汇率、股票价格)的不确定性对企业实现其既定目标的影响。市场风险包括商品价格与物资供应风险、客户及供应商信用风险、税收风险、利率、汇率风险和竞争风险。这些市场因素可能直接对企业产生影响,也可能是通过对其竞争者、供应商或者消费者间接对企业产生影响。
(四)运营风险
指企业在运营过程中,由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性,而导致的运营失败或使运营活动达不到预期的目标的可能性及其损失。运营风险并不是指某一种具体特定的风险,而是包含一系列具体的风险。包括内部管理风险、业务流程与信息系统风险和企业风险管理现状与能力。
(五)法律风险
指公司在经营过程中违反法律法规,签订合同的内容在法律上有缺陷或不完善而发生法律纠纷甚至无法履约,以及法律的不完善或修订产生的不确定性等面临的风险。包括国内外政治法律环境与政策、员工道德操守、重大协议与合同的遵守与履行、法律纠纷和知识产权。
三、内部控制与风险管理实施的目标
目标一:从风险控制的角度出发,立足于提升公司的管理水平,建设形成涵盖公司层面、业务层面、信息系统层面,内容规范、实施有效的内部控制体系。
分先内控管理既从满足监管角度出发,又立足于公司的实际需求与自身发展特点,建立完善内部控制体系,促进企业遵循法规、维护企业资产安全、提、提高企业经营效率、推进全面风险管控。
目标二:通过对公司现有电子信息系统的诊断、优化和提升,实现内控要求与公司现有电子信息系统的整合、对接。
从内部控制体系建设与信息化建设的同步整合角度,在完善内控体系的过程中,将内部控制成果与信息化系统进行对接,以实现内部控制的落地,提高内控制度的执行力。
目标三:完成风险内控体系在公司领导层、职能部门管理层、子公司管理层及其他必需的层级和范围内人员的培训和咨询工作。
强调方案成果的实施和落地,对风险内控体系的实施和相关咨询师的知识转移等工作提出具体要求,使风险内控观念深入到公司的各个层面,使之成为一种管理习惯。
三、风险控制管理应遵循的原则
(一)分层建立内部控制体系
作为分子公司众多的大型集团公司,公司内控体系建设既要考虑公司总部的管控要求,又要考虑下属分、子公司的管控要求,整个内控体系是一个在集团管控模式下的分层管控方式。
(二)注重实效
最佳的风险内控体系不是用理论最佳,而是最佳实践解释是风控管理的基本理念。通过务实的风控体系设计,确保内控体系符合企业实际,能够有效落实和执行,才能打造适用于公司最佳管理实践。
(三)持续管理提升
管理体系与机制不是一劳永逸的,风险内控的的完善是一个长期的、持续的过程,需要逐步地、循序渐进,以日臻完善。大体上风险内控要体系要经过一下几个阶段:合规型风险内控、管理型风险内控、体系型风险内控、全面型风险内控。
四、风险控制管理实施步骤及控制要点
(一)引进先进理念—风险控制培训
实施项目前期培训,形成风险控制理念,主要是充实内部控制基础知识、法规等知识,明确内控项目实施计划、过程和成果方面的目标。
(二)剖析自身管理—风险控制调查和评价
首先进行内部控制调查和评价,通过查阅公司制度和资料、人员访谈、发放调查问卷、穿行测试、实地考察等方法,深入梳理公司业务流程,发现内部控制中存在的问题,以此为基础对公司内部控制状况进行评价,编制《内部控制评价报告》,为改进内部控制提供参考和建议。
(三)完善业务流程—内部控制设计
根据内控调查和评价中了解的内容,按照《内部控制手册》的设计标准开展内控设计工作,形成《内部控制手册》。《内部控制手册》至少应包括:标准流程控制文件、风险控制矩阵。
(四)识别内外部风险—梳理风险清单
在内部控制项目过程中,公司各部门对影响公司目标、部门目标的风险进行识别、归类,并对各项风险的权重进行评估,最终形成公司的风险清单和公司风险库,作为公司风险管理的依据。
(五)不断优化—风险内控实施及优化
在公司形成《内部控制手册》后,确定试用阶段,在实施过程中对反映出来的问题加以修订,不断优化。之后《内部控制手册》每年都要根据企业运营状况对其进行修订以使整个经营过程的风险处于有效的控制范围内。