内控合规与风险管理的关系范文
时间:2023-11-12 11:57:27
内控合规与风险管理的关系篇1
关键词:风险导向 内部控制
针对多业态跨区域经营特点,为加强企业风险管控,公司结合生产经营实际,积极探索适合企业发展需要的以风险为导向的内部控制体系建设及管控模式。经过几年的探索实践,增强了企业风险管控能力,提升了企业经营管理水平,为实现公司战略目标起到了积极的促进作用。
一、建立以风险为导向的内控体系是提升公司风险防控能力的客观需要
(一)防控风险已经成为公司管理的重要目标
世界经济进入全球化时代,企业经营业务多元,地域分散,复杂的社会经济环境影响着公司的经营、稳定和发展。随着企业经营规模扩张,交易金额增大,交易频率加快,企业面临的不确定性因素增多,传统的企业管理制度局限性日益凸显。分析国内外企业倒闭或衰败的例证,总结本公司多年经营中的经验和教训,无不与企业风险管控密切相关,经营过程中的风险防控已经成为企业管理的重要目标和焦点。建设和完善风险为导向的内部控制体系已成为企业防控风险重要措施。
(二)防控企业风险要靠严密的内部控制体系做保障
公司风险管控经历了三个阶段,一是凭经验管理(公司初创时期),对有风险的业务选派“经验丰富”的人去管理,经营决策靠有经验的领导把关,被称为经验管控阶段。二是靠单项制度控制,针对高风险业务制定专门的控制措施,做到一事一制度,方法虽然简单,但由此步入了制度控制阶段。经过一段时间摸索,积累了一套行之有效的管理制度,在规范企业管理和防控风险中发挥了重要的作用。但由于规章制度多为单项规定,程序性规定很少,标准制度没有流程保证,且各专业部门颁布的管理制度都带有不同程度的局限性,缺乏系统性、全局性,已不能适应企业全面风险管理的要求。三是进入了体系控制阶段,为做好企业风险防控工作,公司结合不同风险特征,对现有的制度、标准和程序进行了完善,对业务流程进行了重构,提高了制度的可操作性、严谨性和规范性。将原有的内控制度提升以风险为导向内部控制体系,实现了风险管理多维度的体系控制。
(三)防控风险是提升公司综合管理能力有力手段
以风险为导向的内部控制体系建设及实施,不仅提升风险管控能力,而且提升了公司的综合管控能力,该体系明确了控制活动的对象,规范了交易活动源头控制的业务流程,强化了控制主体责任,使公司各种经济活动实现了全面受控。通过系统严谨闭环管控措施的落实,很好的与企业经营活动结合起来,逐步改善企业的内控管理,使公司综合管理能力不断提高。
二、以风险为导向的内部控制体系框架及做法
公司借鉴国内外内部控制实践经验,以COSO框架及财政部等五部委颁发的《企业内部控制基本规范》和国资委的《中央企业全面风险管理指引》为基础,结合企业实际,建立以公司战略为核心,以风险为导向,以责任为主线,以业务流程管控为方法,以监督与评价为手段,注重管理改进的企业内部控制管理系统。从确定内部控制体系的目标、辨识评估风险、梳理管控流程、制定控制措施、开展内控监督与评价和持续改进等五个方面,推动、构建和完善了以风险为导向的内部控制体系建设。
(一)确定以风险为导向的内部控制目标
目标设定是以风险为导向的内部控制体系建立的前提条件,在风险管理过程中是一个重要环节。首先是在设定内部控制目标的过程中,要充分考虑各种风险对企业经营管理的影响程度,把握对重大风险的判断。其次是要根据内部控制目标设定,确定内部控制实施方案,并随着目标改变适时进行必要的调整。三是风险控制措施根据内部控制目标的存在而确定,随着目标的改变而改变,只有先明确了内部控制目标,才能对识别出的风险制定相应控制措施。
公司围绕经营及管理风险,确立以资产的存在、完整、归属、计价正确和收益等属性的落实为风险控制的现实目标,以实现“体系可靠、风险可控、运行可持续”为体系规划目标。总目标是:以国家相关法律法规为依据,以公司现有资源为基础,以财务报告风险、法律风险、经营风险为切入点,以源头治理和过程控制为核心,以防范风险为重点,对企业现有管理制度、职责分工、权限分配和业务流程进行全面梳理,建立起设计科学、简洁适用、运行有效的内部控制体系,推进科学治企。
(二)建立风险数据库
通过收集风险事件,确定公司层面风险分类和风险名称,形成公司层面风险事件库和风险数据库。针对风险事件关联性,主要收集了连续三年公司内部风险事件案例、行业内相关历史事件和未来风险预测,包括公司相关材料记载的相关事件、内外部审计发现的问题、各业务部门存在的重大问题或隐患等。通过分析筛选,选取具有代表性的、对公司影响较大的事件共77条,形成公司层面的《风险事件库》。
在收集风险信息过程中。按照内外部、业务板块、部门单位等条件将各类风险因素进行分类汇总,厘清各个问题之间的因果关系,方便从整体上把握风险和机会,有助于各职能部门更好地认识和关注与其直接相关的风险。经过比对分析,确定公司各项业务、重要经营活动及重要业务流程中的风险,并予以客观准确地表述。通过与各职能部门以及所属单位反复沟通,识别出可能影响公司实现经营目标的风险因素,进行整理分析并编制《风险汇总表》,最终确定了公司层面风险分类和风险名称,共4大类24个风险,形成公司层面的《风险数据库》。
(三)识别与评估风险
风险是指可以识别的不确定性事项,它能对企业经济利益造成有利或不利影响,其来源及影响具有不确定性。风险评估的目的是对影响公司的不确定性因素进行识别,对其进行科学评估、量化,指导对不确定性因素的把控。
风险识别是风险评估的基础,其结果直接影响着整个风险管理流程的节点设置,公司各职能部门及所属各单位运用确定的风险识别方法,结合内外部风险事件信息,对本部门及本单位业务涉及的风险事项进行识别、归类,在分析的基础上确定本部门及本单位公司层面、业务活动层面、信息层面的风险。根据各部门及各单位识别出的风险,进行分类整理、分析汇总,确定公司存在的各类风险。
风险评估。在编制公司层面风险事件库和风险数据库的基础上,根据获得的历史数据和行业资料等信息,查找风险发生的内外部原因,组织开展公司风险发生的可能性及影响程度评分分析,对公司层面24个风险发生的可能性和影响程度进行评分,并计算个体评分的风险值。按照风险评分人员的业务能力、技术水平和工作经历等,对参与风险评分人员划分类别,设置相应权重,并采用加权平均的方法计算风险等级分值,评估公司面临的风险。按照上述方法计算24个风险的加权平均风险值并排序,依据公司风险等级标准,确定公司层面重要风险12个。
(四)梳理管控流程
按照《企业内部控制基本规范》,遵循内部控制体系固定的框架及文本模板,编制组织结构图,描述部门及岗位职责,建立起业务管理流程。公司针对确定的各类风险,按照规范及重要性原则,以实现业务不交叉、管理不重叠和责任不遗漏为前提,实现各类资源的优化配置,提升管理效率和市场反应速度,防控风险的目的。业务流程管理遵循风险导向、业务驱动、规范描述和强化执行的原则,突出流程与业务与管理的深度融合,将业务操作、管理制度、工作职责和信息化建设有机结合起来,形成了脉络清晰的流程架构。公司共梳理一级流程22个,二级流程165个,三级流程553个。设置318个风险点。建立了一套清晰顺畅、完整严密的业务及管理流程体系。
(五)制定控制措施
根据风险评估的结果制定控制措施是内控体系的关键环节,一是要针对重要业务流程,分析控制重点,按照公司各项规章规章制度,制定控制措施。二是参照《企业内部控制基本规范》,查找现有控制措施中的缺项和遗漏,设计改进措施方案。三是落实相关部门和责任岗位,固化到内部控制的各环节中。四是根据控制措施的描述,补充相关管理制度,完善以风险导向的内部控制体系的各项控制措施。五是对公司层面的控制主体、信息系统和内部监督等总体控制进行系统衔接,形成完备的内部控制措施体系。
制定公司层面风险管理策略。各责任部门根据风险的定义、影响因素及风险表现,结合本业务的风险偏好,确定应对风险的具体策略。根据业务流程确定风险领域和风险源,依据风险源来找寻关键风险成因,并确定相应的风险预警指标数值或区间,从控制风险的目的、组织、方式和监督等方面制定风险管理策略70条,关键控制点240个,制定控制措施368条。
基于风险导向的内控体系是以风险识别、评估为基础,进而分析、设计和实施内部控制的风险管理行为,亦是以流程为载体,管理界面、岗位职责、管理权限和控制措施清晰,满足风险控制要求及涵盖经营管理全部业务的内部控制体系,是公司实施对风险有效管控的制度保证。
三、以风险为导向的内部控制体系的运行管理
内部控制体系重在建设、关键是执行。公司在内部控制体系的建设过程中,根据内部控制体系建设总体要求,统筹安排各项具体工作。公司对颁布《内部控制管理手册》、内部控制体系组织实施、内部控制体系监督、测试、评价及改进等工作进行了周密部署,提出了加强内部控制环境建设的要求,制定了打造内部控制支持系统的具体措施,确定了内部控制体系推行的阶段性目标。
(一)颁布并全面实施内部控制管理手册
按照内部控制体系建设总体实施方案,公司把内部控制体系的执行作为内控管理的关键环节来抓。落实过程中,一是由公司总经理签发,以公司文件形式颁布内部控制体系实施令,确保内部控制管理手册的权威性和各单位、各业务层面及各管理岗位的全面执行。二是充分考虑企业整体经营管理现状,采取近期目标和远期目标相结合,优先解决风险管理中的薄弱环节,突出对重要单位、重要业务、重要流程和重要风险点的管控,实现将企业的风险控制在合理水平的目标,力求取得控制实效。三是根据公司业务发展的不同阶段,在内部控制基本手册推广执行基础上,结合海外后勤服务和房地产开发业务的特殊管理需要,分别编制公司海外后勤服务和房地产开发业务内部控制分册,在相关业务领域实施。四是统筹公司总部、各单位和各经营业务内部控制管理手册执行的管理,疏通内部职能部门之间、上下游业务之间及横向同级单位之间的流程管理接口,形成较为畅通的运行管道,使内部控制管理体系的管控触角横向到边,纵向到底,不留死角。
(二)编制年度风险管理报告,实施风险动态评估
公司为推动以风险为导向的内部控制体系建设,使风险管理向规范化、科学化和常态化方向发展。公司每年开展一次包括所属单位在内的风险管理报告编制工作,完善企业重大风险管理报告机制。一是强调全面反映本单位存在所有风险,明确面临重大风险,剖析风险产生的原因,反映造成直接和间接经济损失的量化指标,以及对企业的影响程度。二是报告内容要突出风险管理的动态、量化和信息化控制目标。三是对公司重大风险,要明确责任单位和人员,提出风险管控要求,完善风险应对措施,建立风险预警指标体系,合理配置管控资源,确保重大风险管理责任到位。
公司每年编制并风险管理报告,拓展对企业风险认识的深度和广度,并以风险管理报告为抓手,对重大风险统筹管控,确定管控目标,明晰管控措施,制定管控责任,实现对公司风险评估的持续推进和对风险的动态监控。
(三)开展内部控制体系运行控测试及评价
按照内部控制体系建设总体要求,公司依据《公司风险管理与内部控制体系评价管理办法》每年一次对内部控制体系运行情况进行测试及评价,并出具对风险管控体系设计科学性与运行有效性的评价结论。测试主要围绕公司层面,包括职业道德、高管基调、权利及责任分配、举报与违规处理、反舞弊程序和控制;业务活动层面,包括财务管理(资金管理、资产管理、会计核算、财务报告)、物资管理、合同管理;信息系统层面,包括控制环境、信息安全、变更管理、项目管理、日常运维和最终用户操作等六个部分进行测试。并根据公司主营业务,对重要业务流程进行跟单和关键控制测试,同时对电子表格的内容、密码保护、保存地点、变更和备份等进行符合测试。
通过持续开展内部控制体系的运行测试、内部控制审计和内部控制综合检查,全方位督促内部控制体系的落实,切实提高了内部控制体系的运行效果。几年来,公司层面风险由4大类24个风险,下降为3大类12个风险。公司内部控制体系运行总体评价一直保持在“良好”以上水平。
(四)持续修订完善《内部控制管理手册》
针对公司经营业务变化调整和企业管理提升,不可避免存在已实施的《风险管理与内部控制管理手册》与企业发展及管理强化不相适应的矛盾。因此,要保证内部控制体系持续有效运行。一是根据国家法律法规等政策调整,对内部控制体系的合法性控制条款进行补充修订,增强内部控制体系条法约束。二是在公司经营和管理等环境发生重大变化或部门职责、流程和人员等发生调整时,及时对涉及的相关业务流程重新进行梳理、评估及修订,并适当增加关键控制措施。三是针对内部控制体系评价中发现的管控缺陷和提出的管理建议,制定切实可行的改进措施和方案,对管控体系进行持续完善,优化控制措施,形成内部控制提升管理、管理推动内部控制的互动机制。四是在总结海外后勤基地服务和房地产开发业务内部控制管理分册运行成果的基础上,加大对包括酒店物业等公司内部控制手册分册的编制和推广力度,增加内部控制手册专业分册的覆盖面,提高特殊专业领域关键控制措施的针对性,增强控制效果,推进公司内部控制手册向专业化管理方向发展。
公司通过以风险为导向的内控体系建设实践,企业员工风险意思普遍增强,风险管控措施得到了较好的落实,企业风险得到了有效控制,内部控制管理能力大幅提高,公司以风险为导向的内部控制管理为企业效益提升和稳步发展做出了积极的贡献。
参考文献:
[1]《企业内部控制基本规范》.
[2]《中央企业全面风险管理指引》.
[3]《企业内部控制评价指引》.
内控合规与风险管理的关系篇2
关键词:内部控制;风险管理;萨班斯法案;COSO框架
一、内部控制的内涵、基本原则
1.内部控制的内涵、侧重点
(1)内部控制的内涵。内部控制是指企业的内部管理控制系统,包括为保证企业正常经营所采取的一系列必要的措施。内部控制贯穿于企业经营活动的各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。
(2)内部控制的侧重点。要加强企业内部控制,提高内部控制的水平,需从以下侧重点抓起。
①内部控制具有一定的目的性,为达到某种或某些目标而实施。
②内部控制是为达到某个或某些目标而进行的过程,且是一种动态的过程,是使企业的经营依循既定的目标前进的过程。它本身是一种手段而非一种目的。
③内部控制与企业经营活动相互交织,为企业基本的经营活动而存在。
④内部控制深受企业内部和外部环境的影响,环境影响企业控制目标的制定与实施。
⑤企业中的每一名员工既是控制的主体又是控制的客体,既对其所负责的作业实施控制,又受到他人的控制和监督。
⑥所有的内部控制都是针对“人”而设立和实施的,企业内部会形成一种控制精神和控制观念,直接影响到企业的控制效率和效果。
2.内部控制的基本原则
了解及坚持内部控制的基本原则,有利于企业组织内部加强内部控制、降低企业非系统风险,从而促进企业安全运行。内部控制的基本原则包括:
(1)内部控制应涵盖企业内部的各项经济业务、各个部门和各个岗位。
(2)内部控制应当符合国家有关法律法规和本企业的实际情况,任何部门和个人都不得拥有超越内部控制的权力。
(3)内部控制应当保证企业内部机构、岗位及其职责权限的合理设置和分工,坚持不相容职务相互分离,确保不同机构和岗位之间权责分明、相互制约、相互监督。
(4)内部控制应当正确处理成本与效益的关系,保证以合理的控制成本达到最佳的控制效果。
二、依托COSO理论构建内部控制整体框架
1.COSO理论框架内容
2003年7月,美国COSO委员根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft), 2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM),标志COSO委员会最新的内部控制研究成果面世。
COSO企业风险管理的定义 :“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。
2.构建内部控制整体框架
(1)企业风险管理的目标体系。新COSO报告将企业风险管理的目标归为战略目标、经营目标、报告目标、合规目标四类。战略目标,与企业的使命相一致,企业所有的经营管理活动必须长期有效的支持该使命;经营目标,与企业经营的效果与效率相关,包括业绩指标与盈利指标,旨在使企业能够有效及高效地使用资源;报告目标,该目标关注企业报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息;合规目标,是最基础的目标,指企业经营是否遵循相关的法律法规。
(2)企业风险管理的要素构成。在内部控制整合框架五个要素的基础上, COSO企业风险管理的构成要素增加到八个:①内部环境;②目标设定:③事项识别;④风险评估;⑤风险应对;⑥控制活动;⑦信息与沟通;⑧监控。八个要素相互关联,贯穿于企业风险管理的过程中。
(3)企业风险管理目标与要素的联系。目标是指一个主体力图实现什么,企业风险管理的构成要素则意味着需要什么来实现它们,二者之间有着直接的关系。此外,新COSO报告还强调在整个企业范围内实行风险管理。这种关系可以通过一个三维矩阵以立方体的形式表示出来。
3.COSO框架理论对中国的启示
(1)成立风险管理标准委员会,形成多元民主的制定机制。
(2)建立以风险为导向的“中国企业内部控制框架”,向构建“中国企业风险管理框架”自然过渡。
(3)各界根据风险管理框架,制定或修订各自的风险管理规范。如果“中国企业风险管理框架”能够及时推出,各部门、系统据其修订或制定相应的风险管理文件是解决问题的最理想方案。
三、萨班斯法案对我国内部控制的借鉴
1.我国内部控制现状
(1)企业内部控制环境急需建设。我国企业内部控制普遍存在一下问题:内部控制意识淡薄;人员素质较低;组织机构设置不合理;企业制度不健全;没有形成法制制约的大环境,还没有真正形成有法可依、执法必严、违法必究的大环境。
(2)控制不力。在我国企业中,财务与会计合署办公、会计人员素质较低、责权不对等、风险控制意识较弱、监督不强、信息交流不畅通等问题普遍存在,今后要特别注意开发与引进先进的企业财务与管理软件,逐步建立高质量的企业信息沟通系统。国内也有不少由于内部控制缺失导致经营风险的案例,比如亚细亚、中航油、中储棉、国储铜等事件,折射出了我国企业内部控制严重缺失,风险管理水平低下,监管缺位等管理上的弊端,给企业和国家造成了重大损失。
2.管理者责任
法案突出了内部管理者的法律责任,一旦出了问题,管理者不但要在经济上受到处罚,而且要追究刑事责任。建议我国也应界定管理当局的责任。管理层必须承担公司内部控制有效性的责任,并运用恰当的控制标准(如COSO标准)来评价公司内部控制的有效性,对形成的评估结果有足够的证据支持,同时签署一份关于公司内部控制有效性的书面申明。
3.建立管理者定期评价内部控制机制
(1)健全法律法规,对内部控制有效性进行强制性规定。近年来,财政部、证监会等国家监管部门陆续在2001年和2008年了我国《内部会计控制规范》、《企业内部控制基本规范》等相关法规,对于加强我国企业内部控制和风险管理起到了规范和指导作用。今后,还应在遵循以上法规和加强企业内部控制过程中,不断总结经验、分析教训产生的原因,学习其他国家相关法律法规的先进之处,逐步改进和健全我国加强内部控制和防范企业经营风险的法规体系,促进企业健康发展。
(2)制定科学规范的评价标准。由于缺乏一套完整的内部控制体系,造成内部控制有效性评价流于形式。因此,投入一定的人力、物力、财力,尽早建立一套完整的、公认的内部控制标准,使内部控制评价有章可循是必要的。
(3)统一内部控制规范的内容。目前我国理论与实务界没有对内部控制的内容形成一致的意见。我国内部控制的内容范围与COSO报告相比,还有相当的距离。有关内部控制规范的内容主要集中在会计领域,内部控制贯穿于整个生产经营全过程,企业的环境、文化理念、经营哲学等控制环境与风险因素都应纳入企业内部控制的范围来予以考虑。
四、企业风险管理理论基础及与内部控制的关系
1.企业风险管理理论基础
(1)战略管理理论。战略管理包含四个关键流程:战略分析;战略选择;现代企业风险管理框架研究战略实施;战略评价和调整。企业在实行战略管理的过程中,风险始终伴随其中,其成功实施需要风险管理的密切配合。两者是有机结合,相互交融的。
(2)系统论。系统论的观点和方法为我们建立风险管理系统结构提供了理论依据。风险管理由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个要素构成并相互影响的动态的过程,在企业的生产经营管理中发挥着重要作用,是一个系统,与其他系统一样具有整体性、联系性、层次性、目的性、环境适应性、动态性的特征。
2.企业风险管理与内部控制的关系
内部控制是风险管理的基础和本质要求,风险管理是内部控制的自然延伸与升华,二者现阶段是相互交叉融合的,只是在不同行业、不同时期、企业的不同层次,企业对内部控制和风险管理的强调各有侧重。
(1)行业本身特性。从事金融业的企业一般都非常强调风险管理的重要性,对风险管理的需求也就更迫切,因而以风险管理主导内部控制可能更方便。对于其它一般性制造企业等来说,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
(2)企业所处的生命周期。在初创期,企业高管层一般更加重视内部控制的强化。在成长期,企业面临的经营风险与市场风险也越来越大,以风险管理主导内部控制的管理模式可能更利于企业的发展。企业进入了成熟期,此时企业一般会努力健全组织体系与制度体系,在内部控制上会加大力度。在衰退期,企业的规模大但包袱沉重,内部控制成了企业高管层无法逃避的现实问题。
(3)企业内部不同层次。从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性各有不同。在战略风险方面,风险管理发挥主导作用,内部控制起到配合作用。到财务报告层次,内部控制发挥主导作用,风险管理起到配合作用,但随着市场条件的日益成熟,技术的不断进步,法律及监管实践的发展,内部控制必然走向风险管理。
五、美国纽约银行加强内部控制和风险管理结合的成功案例
美国纽约银行的风险管理与监控活动是由董事会及其下设的审计与检查委员会及风险委员会的授权开始。这两个委员会定期审查银行风险暴露情况、风险政策及风险管理活动,而风险政策主管除了负责日常监督及政策授权外,并与审计主管、合规主管共同维系风险管理结构的有效运作,已完成以下的阶段性目标:
1.确保银行风险经过适当辨识、监督、报告及评价。
2.阐明银行承受的风险种类与风险单位数,并传达至具体负责单位。
3.维持风险管理组织的独立性。
4.促进风险管理文化的健全和对风险调整绩效的重视。
美国纽约银行内控系统的设计用来巩固银行财务、业务环境、市场操作、法规遵循等的健全,并有内部稽核监督及测试其余财务报告系统整体的有效性;而银行风险的处理程序可确保政策能一致地被执行。银行独立的操作风险管理架构,建立在强健的风险管理文化之上,并分为以下三个层次:
(1)风险委员会:其任务包括对银行操作风险策略的监督及核准,该委员会并定期开会讨论关键风险一体机操作风险提案,同时也对风险管理系统的有效性提出审核。
(2)操作风险管理部门:负责发展风险政策及评估、监督、衡量风险的工具。此外,促进风险管理效率及创造改善风险管理控制功能的动机也是操作风险管理部门的重要任务。
(3)各级业务部门管理人员:负责维持业务内有效内控系统的正常运作,并维持银行风险布局与银行所订立的政策一致。
文献综述:
[1]财政部、证监会、审计署、银监会、保监会.《企业内部控制基本规范》,2008-6-28
[2]财政部.《内部会计控制规范――基本规范(试行)》,2001-6-22.
[3]财政部.《内部会计控制规范――货币资金(试行)》,2001-6-22.
[4]COSO.方红星 王宏译:企业风险管理整合框架「M.大连:东北财经大学出版社,2005.
[5]林钟高 魏立江:会计再造美国2002萨班斯奥克斯莱法案启示录[M].经济管理出版社,2004.
内控合规与风险管理的关系篇3
一、IT治理与风险管理
IT治理是一种引导和控制企业各种关系和流程的结构,确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对IT方面的要求,旨在通过平衡信息技术及其流程中的风险和收益,增加价值,以实现企业目标。IT治理是企业治理结构中不可或缺的一部分,而相关的IT治理流程则可确保企业IT目标与业务目标保持一致,并可持续发展。因此,IT治理必须与企业战略目标一致,使IT发挥更大的作用、创造更多的价值,实现公司价值和利益的最大化。
IT治理领域中,首重策略、组织架构、政策与内部流程。控制风险、绩效评量与提供价值则为组织架构中关注的焦点。同时,IT治理牵涉的范畴,包含:IT服务提供、IT服务支援、营运业务展望、基础建设管理与应用管理。其不同视角的IT治理作用如下表。
保证所有的缺陷都已被控制所覆盖利用风险控制与审计策略管理IT风险,要求企业的高层管理者具备良好的风险意识,清晰了解企业对风险的态度,了解合规性要求,将风险管理的职责嵌入组织架构设计中,围绕信息化战略目标构建全面风险管理体系以进行有效的风险管理与控制。
二、IT风险管理体系
基于IT治理的IT风险管理需要执行一整套风险管理程序,必须建立风险识别、风险分析与评估、风险规避与应对、风险监控等流程并严格执行。从操作层面上分析,IT风险管理中对IT风险的控制与审计是风险管理中的两个重要环节:
(一)IT控制
IT控制就是在治理结构下,为实现组织的目标提供合理保证而实施的一系列政策和程序,内部控制是一个持续的过程,为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循等情况下评估风险并设计、实施和持续监督控制措施。可以看出IT控制的主要目的是建立一个可持续监控的控制环境使组织风险可识别、可控、可管理。
风险控制是指控制风险事件发生的动因、环境、条件等,来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的。风险无法彻底消除,仅能降低、控制与移转,对于残余风险,企业需自行审视可接受的程度。然而,在进行风险控制活动前,需先进行风险评估,对于潜在影响的弱点与威胁胪列出来,并分析评估矫正的优先程序,然后再针对风险,设计有关的预防性、检查性与纠正性的控制。控制的设计,应该就风险评估后的结果,因此,完整的风险评估作业,是极为重要的,不好的风险评估会影响后续控制设计,甚至于控制执行的落实程度。当控制设计完成后,需再次检视相对应的管理政策与办法是否足够满足控制的目标,倘若现有管理政策文件无法满足控制目标的要求,应立即进行增修作业,务必达到与现有作业机制一致的目标。
随着组织的发展对IT的依赖日趋明显,内部原有业务和管理风险特征由于信息系统越来越广泛的运用而出现了变化,业务对信息系统的依赖性增加,因此必须建立起有效的风险控制体系。管理层应从基本的内部控制环境着手建置,从一般信息技术控制环境到业务流程中的内部控制环境,其中应思考系统控制与人工控制紧密结合的协调性与完整性。
(二)IT审计
IT审计是一个获取并评价证据的过程,主要是判断信息系统是否能够保证资产的安全、数据的完整性、有效率利用组织的资源、有效果地实现组织目标地过程。
IT审计是监视和评审IT控制措施的执行情况和有效性的主要手段之一,可以从组织整体业务风险的角度,对实施和运行的控制措施进行持续监控,以管理组织的业务风险。
IT审计可以作为符合法律、法规以及管理要求的控制手段,可以证明管理层建立并维护了恰当的内控措施;可以提供证据说明业务相关数据的完整性,以及可以证明具备合法权限的人正确访问数据;可以提供报警和审计报告确保管理层知道重大信息和任何变更;IT审计可以围绕数据提供报告用于合规性评估,降低遵从成本。作为组织IT风险控制的最后防线,IT审计为组织进行风险防范,提高设计正确性和加强应用的管理控制提供建议。
(三)IT治理、IT控制与IT审计之间的联系
IT治理是为组织建立一个长效的均衡的治理结构,在风险可控的环境下保证组织获益。均衡的环境在满足组织外部约束的同时需要考虑如何降低成本、提高股东收益、满足客户要求以及建立良好的社会形象等条件下不断调整变化而达到的,因此IT治理侧重于宏观决策方面,要做哪些事,由谁来做这些事,以及如何建立决策机制、如何进行有效监控等。
IT控制就是在这样的治理结构下,为实现组织的目标提供合理保证而实施的一系列政策和程序,内部控制是一个持续的过程,为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循等情况下评估风险并设计、实施和持续监督控制措施。可以看出IT控制的主要目的是建立一个可持续监控的控制环境使组织风险可识别、可控、可管理。IT审计是一个获取并评价证据的过程,主要目标就是对组织实施的风险管理环境和控制环境的保证措施进行识别和评估,判断管理层关于控制的声明是否是可靠的,所以审计必须保持其独立性,以第三方客观的立场进行检查和评价。
IT治理、IT控制以及IT审计之间既有联系又有区别。共同的关注点在于风险与保证。风险管理的主要目标是为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循。保证,主要来自一系列相互依存的控制政策与程序,以及评价控制有效性的证据,这些证据可以证明控制是连续和充分的。IT治理要明确目标与方向,为IT控制环境与活动设定明确的目标。IT控制要建立一个完整的,具有弹性的内部控制体系,应对组织面临的各种风险挑战和意外事件。IT审计是获取与IT控制和保证措施相关的证据,评估IT控制的有效性、评价IT绩效及IT战略与业务目标的符合程度。
IT治理必须在风险与利益之间找到均衡,通过IT审计不断促进调整IT控制环境,使组织在风险可识别、可控、可管理的环境下保证组织利益最大化。
三、企业IT风险控制与审计实务
(一)组织框架
企业IT风险管理组织框架应当从“决策—管理—执行”三个层面设立风险管理职能,并辅以审计监督机制。
决策机构,通常以风险管理委员会的形式,行使风险管理的决策、风险管理政策的制定与批准等职能。
管理机构通常为设置为风险管理委员会下的职能机构,如风险管理部,是风险管理政策的执行部门,负责根据风险管理的规章制度,协调各执行机构的关系,推动风险管理措施的实施。
风险管理政策与措施的执行是由信息技术部门、相关业务部门等涉及到IT及其安全运作的部门具体实施,尤其是信息技术部门承担大部分的IT风险管理政策、技术的实施。
IT审计部门作为IT风险管理的监督与审计部门,负责检查、评估企业IT风险管理战略、政策、组织与实施的有效性,并提出管理建议。
(二)IT控制与审计规范
企业IT控制规范可以参考财政部等五部委联合的《企业内部控制基本规范》及配套指引,建立有效的IT内部控制框架内,从公司内部控制层面、信息技术整体层面、业务流程层面等建立控制规范。企业IT控制以风险为导向,规范企业组织结构、明确岗位权利责任分配,建立科学的绩效考核体系和制度,提升企业风险管理和应对能力,通过风险评估对企业内部控制体系进行持续评价和改进,最终建立配套信息系统,实现内控体系的信息化落地。从风险的角度去审视内部控制有没有做好;通过对绩效指标的监控去实时检测有没有风险发生,然后再去找到企业的缺陷漏洞;最后通过信息系统将这个体系落地执行。
企业风险管理体系的控制层面上,内部审计发挥着重要的作用,以风险为导向的审计是合理规避IT风险的一种有效途径。IT审计应当建立一套完整的审计标准、规范,并提供可供参考的IT审计指南与实施细则。企业IT审计应当在内部审计总体框架下开展,在制定内部审计章程时要体现信息化条件下内部审计工作的特点,制定有关IT审计的规范与要求,必要时可进一步制定IT审计工作规范。
IT审计是信息技术条件下的内部审计,具有较强的操作性要求,参考各行业的内部审计工作经验,吸收国家审计机关的制度与操作指南,可以从IT整体控制审计、应用控制审计两个方面编制实施细则。
1.IT整体控制审计——确保程序和数据文件的完整性、确保信息系统良好运行。审计内容包括IT基础设施、系统开发、系统运行与维护、变更控制、网络安全控制、访问控制等普遍适用于所有的应用系统的控制。
2.应用控制审计——应用控制与特定的应用程序有关,设计应用控制是为了应对威胁应用系统的潜在风险,确保应用系统处理数据的有效正确而实施的控制。应用控制审计主要包括业务流程控制审计、数据输入处理输出审计,提供业务信息完整性、准确性、有效性、可用性保证。
此外,企业的信息化规划应当在充分考虑风险管理与审计需求的基础上,建立并完善信息化审计工作平台,充分利用信息技术推进IT审计服务于企业治理与全面风险管理,实现价值增值。
四、小结
企业IT风险控制与审计是IT治理中的重要内容,本文提出的基于IT治理框架的风险控制与审计体系在企业IT管理实务中发挥一定的作用,如何更深入地探究IT风险控制与审计及其作用机制、绩效评价等,还需要结合我国企业管理现状进一步展开研究。
内控合规与风险管理的关系篇4
关键词:高校内部控制;风险点;化解策略
一、引言
2012年11月29日,财政部根据《中华人民共和国会计法》《中华人民共和国预算法》等法律法规及相关规定,制定了《行政事业单位内部控制规范(试行)》(以下简称《内部控制规范(试行)》);财政部针对试行规范的实施,出台《关于全面推进行政事业单位内部控制建设的指导意见》,为高校内部控制建设提供了政策依据与具体的实施指南。同时,根据《内部审计具体准则———内部控制审计》,要求内部审计机构对组织内部控制设计和运行的有效性进行审查和评价,且内部控制审计应当在对内部控制全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域的内部控制。2013年,教育部出台行政事业单位内部控制规范(试行)实施工作的通知,助推内控规范在教育系统的落实。2015年,财政部明确提出到2020年,行政事业单位应基本建成与国家治理体系、治理能力现代化相适应的,权责一致、制衡有效、运行顺畅、执行有力、管理科学的内部控制体系[1]。对高校而言,加强内部控制建设,是建立现代高校管理制度的前提,是完善高校内部治理结构、实现规范化、科学化、信息化管理的要求,是提高高校经费监管与使用绩效的重要措施,是高校建立长效廉政机制的必然途径。对全面推行过程中高校内控建设中的典型风险点加以梳理,有的放矢地提出化解策略,有助于高校对标,进一步巩固与完善前期建设成果。
二、高校内部控制的典型风险点
高校内部控制分为单位和业务两个层面,以下分别从两个层面,根据高校近年来在内部控制建设方面的实践情况,对其典型风险点进行梳理与剖析。
(一)单位层面的典型风险点
1.风险评估流于形式根据《内部控制规范(试行)》要求,高校应当基于内部控制目标,定期开展内部控制风险评估。高校的内部控制目标应包括战略目标、合规目标、运行目标、财务目标及资产管理目标,内部控制风险评估即判断高校的各项活动是否满足以上五项目标的达成[2]。在风险评估中,高校可能存在的问题或风险点在于:一是缺乏合理的定期风险评估机制,导致风险评估流于形式。对高校内控开展风险自评是一个新的业务领域,如果不建立一套完善、定期的评估机制,深入到每项业务活动、每一项制度建设及执行情况,及时发现问题、纠正偏差,就很容易流于形式,难以见到实效。二是可能存在风险评估没有指向高校的战略定位,问题的针对性不强,对风险的揭示无深度,对风险的评估不准确,无法助力高校战略目标实现等现象,例如部分应用型高校对战略实施的风险评估不到位,开展产教融合、与行业协作联合培养学生应用能力、实践能力的力度还远远不够,导致学生的就业无法跟上产业变革、市场需求的变化。2.组织及业务流程再造意识薄弱根据《内部控制规范(试行)》,高校应根据本校的“三定方案”定职能、定机构、定人员编制,对组织及业务流程进行梳理与再造。但在高校内部控制初建期,对于组织再造、业务流程再造的意识相对薄弱。这一时期较典型的风险点包括:一是业务流程控制过度,缺乏对流程再造的认识。如一笔常规的教学质量项目开支需要多达5位领导的签字授权控制,为了把好“控制关”,业务流程设计异常繁杂,经费报销难上加难。这样的内控看似“严密无缝”,其最终效果却往往适得其反,久而久之,反而抑制了高校教研活动的积极性、主动性,偏离了一个好的内控应助力提高组织绩效这一根本的内在需求。二是内部机构设置和人员职责定位中,不相容职务未能分离或岗位职责手册未详细描述核审批与申请、执行、监督职能相分离,执行与信息记录、监督职能相分离等情况,结果可能造成考试信息泄密、财务收支管理出现漏洞、采购不规范等问题。3.权力运行监督不力高校应采取措施确保本校的权力运行机制中决策权、执行权、监督权等权力的行使既相互制约,又能相互协调。如2019年某省纪委针对10所地方高校的巡视中,发现存在违反干部选拔、优亲厚友、院长助理配备不规范、“小圈子”“三转”不到位等权力运行监督不力的典型事件。与此相关的风险点包括:一是未建立权力清单机制,导致高校党委与校长办公会、各级各部门领导的决策权、执行权等权力行使边界不清,造成相互推诿、执行不力的情况。二是权力运行监督机制不全,对权力运行存在的问题缺乏发现机制、纠错机制和改进机制,缺乏审计、纪检监察的联动监督,权力运行的考评机制缺位或流于形式。三是权力运行监督浮于程序合规等表象,未能深入到具体决策是否科学、合理,对高校战略目标实现贡献的绩效,由此造成权力运行监督的实质性缺位。4.内控制度建设不全面高校应当建立预算、收入、支出、资产、建设项目、合同等相关管理制度,并建立至少应涵盖“三重一大”集体决策、分级授权的决策机制。建设中典型的风险点在于:一是预算绩效评价在制度层面停留在预算资金额度的控制使用上,未能对预算资金使用的经济、效率、效果进行深度测评。二是建设项目管理制度尤其是招投标、工程变更、资金控制、验收决算等制度不够细化,执行容易走偏。三是“三重一大”事项的边界不清晰,重大事项决策、重要干部任免、重要项目安排和大额资金使用没有根据自身情况制定定性定量标准。四是制度在内容上统筹协调不够,有的高校预算、教学、科研等相关管理制度看似全面,但由于管理上部门分割化,使这些管理制度在内容上不能相互印证和衔接,在实质上是碎片化、不系统的。5.内部控制管理信息系统覆盖不全根据我国行政事业单位内部控制试行规范要求,高校应当建立内部控制管理信息系统,覆盖预算、收支、政府采购、资产、建设项目、合同六个方面的业务。在内部控制管理信息系统方面的主要风险点在于:一是缺少非常规性的整体内部控制系统,高校建设比较健全的是教务管理系统、科研管理系统、财务收支管理系统,不足如建设项目管理、合同管理系统、预算管理系统,导致内部控制管理信息系统的内容覆盖不全。二是预算管理系统在功能上重预算分配和事后控制,轻收支过程的事中控制,不利于预算的适时控制。三是已有的各系统之间存在信息割据、各自为政的现象,对数据在各系统中的比对、横向勾稽不利,不容易适时控制风险,如科研管理系统与财务收支管理系统未衔接,对科研项目经费的预算控制、各项费用按额度分期使用仅靠人工,容易失控。
(二)业务层面的典型风险点
1.预算管理的风险点高校预算管理的风险点主要表现在:一是在预算编制中,对各部门预算资金额度的分配不够客观、合理,预算资金的分配未能紧紧围绕高校的战略目标展开,缺乏科学分配的依据,在采用协商制解决的情况下,忽略真正的朝向战略目标的事项,而夸大了个别强势部门的预算资金,出现“会哭的孩子有奶吃”的不当倾斜。二是在预算决策中,由于高校预算需要经过教职工代表大会的表决通过方能生效,在这一决策过程中,需要严格遵守国家法律法规以及《高等学校教职工代表大会暂行条例》的规定,在对高校预算进行决策时,应有不少于2/3的教职工代表到会、需要超过2/3的教职工代表同意方可通过预算的决议等,教职工代表中教师代表未达60%,导致职工代表组成不合规、到会人数不符合规定、表决同意人数比例未达要求、表决程序不符合规定等均是这一环节的风险所在。三是预算执行中,可能因控制不严导致预算执行差异率过大,预算绩效管理不到位,预算变更程序、授权不合规[3]。在预算绩效考核中,未建立系统的预算绩效考核制度,绩效考核指标设置不够合理,从而难以反映预算执行的效率和效果,缺乏对预算绩效差的处罚与后续纠偏机制。2.收支业务管理的风险点在高校的收支业务管理中,主要风险点体现在:一是在收支业务的过程管理中,财会部门未定期检查收入是否与相关的合同所注明的内容相符;未按照规定设置票据专管员,对票据进行专门管理,未建立票据台账,对各类票据的申领、启用、核销、销毁未进行序时登记;对支出事项的分类管理制度制定不科学、不合理,导致支出事项的记录与呈报不规范,支出的审批程序、审批权限缺乏清晰界定,实务中对支出超出预算缺乏适时的监督与控制;各类支出业务事项所需提供的外部原始票据的标准、细节不明确,缺乏对内部审批表单和单据审核重点的说明;支出业务的口令与U盾管理松懈,缺乏严格的保密与交接管理制度,容易使口令外泄,U盾缺乏严密的控制容易导致非专管人员擅自使用U盾进行操作的风险。二是在收支业务的事后管理中,未及时对支出业务事项实施分析控制,对支出可能存在的异常情况、成因未采取有效的措施加以应对。3.政府采购的风险点高校政府采购中存在的风险点如下:一是单位采购货物、服务和工程,未能按照年度政府集中采购目录和采购标准执行,未在采购前与实际使用部门进行充分沟通,导致采购的货物未能满足实际使用部门的真实需求。二是采购货物、服务和工程未能把节能环保、促进中小企业发展等政策贯彻到位,政府采购负责人员对招标采购的法规和相关政策不熟悉,或者在实际招标采购过程中对政策的执行不严格[4]。三是对应当公开招标的采购采用非公开招标的方式,采购超过公开招标数额的货物或服务或进口产品,未按照相关采购规定进行申报和审批,可能导致采购超标或采购流程不规范,采购过程缺乏必要的监控。四是采购程序有违规定,如招标信息公开未达规定天数即开展招标,参与招标的单位未达到规定数量却不中止而仍旧继续进行,等等。4.资产管理的风险点在高校的资产管理中,主要风险点在于:一是资产保管与清查制度不健全,未建立规范的、定期不定期相结合的资产清查制度,未定期对货币资金、存货、固定资产、无形资产、债权等资产进行核查、盘点,确保账实相符,从而无法及时识别资产的减少,甚至可能失去追踪资产毁损、被盗等意外情况线索的最佳时机。二是针对债务、对外投资缺乏预算管理,事前论证不够充分,对债务的形成及其担保机制缺乏科学论证和适时监督,未进行跟踪管理,债务规模可能超出高校可承受范围,对外投资管理缺乏专业人员,可能存在投资损失风险。三是在配置、使用及对国有资产的处置中,未按规定的审批权限进行审批,未经过适当批准自行配置国有资产或利用国有资产开展对外投资,出租、出借国有资产或自行处置国有资产[5]。5.建设项目管理的风险点在高校建设项目管理中,主要风险点体现在:在项目开始建设前,缺乏对项目的成本与效益、使用用途与配置标准进行充分论证,存在重复建设,建设投入大、产出小,存在建成效果不能满足使用需求的可能性;在项目建设过程中,未按照批复的设计方案组织实施,对确需进行工程洽商和设计变更的,建设项目归口管理部门未能进行严格审核,未按照规定进行审批,对重大项目的变更未参照项目决策、概预算控制的要求重新进行审批,对建设过程中的安全管理不到位,可能出现安全事故,对建设过程的质量监控缺乏必要的控制措施,导致建设质量无法满足需求;在建设项目竣工后,未能及时编制竣工财务决算,在验收合格后未及时办理资产交付使用的相关手续,建设项目超概算时,未对产生超概算的原因及时进行查究。6.合同管理的风险点高校在合同订立及归口管理方面存在的风险点体现在:合同签订前,未对合同文本进行严格审核,合同归口管理部门未对合同统一分类、连续编号。对影响重大或者法律关系复杂的合同文本,没有及时组织业务、法律、财会等部门开展联合审核;合同履行过程中,未对合同履行的情况实施有效监控,合同执行的相关责任人不明确,没有及时检查合同的履行情况,对无法按时履约的没有及时采取相关应对措施。对需要补充、变更或解除的合同,未按规定进行严格审查。对合同履行情况相关的所有检查记录、合同验收文件、合同补充、变更或解除的监督审查记录等未能完整、妥善地保存。
三、高校内部控制风险的化解对策
(一)高校单位层面内部控制风险的化解对策
1.准确定位高校内部控制的目标高校建立内部控制的目标不仅仅在于“控制”,更重要的是通过科学合理的内部控制设计和有效的执行,起到规范高校各项与财务、国有资产管理及高校发展战略相关的工作,从而防风险于未然,提升高校财政资金的使用绩效。具体而言,高校的战略目标、合规目标、运行目标、财务目标、资产管理目标五项内部控制目标中,运行目标、财务目标和资产目标的实施应贯穿战略目标与合规目标。战略目标是方向,战略目标没有制定好,整体内部控制将会跑偏,战略目标制定准确但执行不到位,将会导致工作无效率,甚至背离战略;合规目标是底线,高校的战略制定、运行,财务和资产管理各项活动都应以合规为底线,禁止以任何形式逾越合规这一底线。2.重视内部控制文化建设内部控制文化是高校内部控制环境的重要基础。高校应通过业务培训、专题会议、制度建设、监督反馈等活动,形成“领导重视、部门协作、全员参与”的内部控制文化。首先,领导应高度重视。领导的重视程度往往是内控建设宽严的风向标,作为内部控制建设的责任人,领导应从高校战略发展的角度定位内部控制建设,让一切内部控制活动为高校的战略发展服务,由此动员各部门、各成员参与内控建设。同时,从自我做起,建立明晰的权力清单,界定权责边界,自觉接受纪检监察、审计的监督;其次,部门应相互协作。一项业务活动往往涉及多个部门,只有通过部门协作才能使相关控制落实到位,在制度建设上,也需要部门联合互查,才能确保各部门的制度相互协调与统一。建立制度运行的沟通与反馈机制,对有冲突、不一致的制度彻查其原因,通过联席会议诊断与探索改进方案;最后,内部审计部门在开展内部控制自评过程中,可对员工工作获得感、满意度、幸福感进行调查,通过调查结果分析,探索对员工积极性产生负面影响的因素以及组织中可能存在的内部控制相关薄弱点,以便提出改进对策,这对内部审计部门充分发挥其监督作用,调动员工积极性,在内控建设中实现全员参与、全面覆盖,可起到事半功倍的成效。3.建立内部控制自查与评价机制一是建立内控制度建设的自查机制,定期对相关废止、生效的制度进行清理与合理性评价,探索制度的覆盖是否全面合规、是否存在应规范而未规范的制度真空、是否存在相关制度在内容、时间上的脱节、不连贯甚至冲突的情况。二是建立制度运行效果评价机制,如针对预算执行情况开展预算绩效评价,检查预算资金是否按规定用途用到实处,效果是否达到预期,资产管理、政府采购、建设项目等各项内控制度是否正常运行,有无相关方面的投诉及不合规行为发生,开展制度运行相关的定性与定量评价。三是建立单位层面和业务流程层面的风险点防控措施及运行监督机制,定期或不定期地对各风险点的防控情况进行检查,并将检查结果与部门绩效考核挂钩,以强化风险防控意识。4.再造组织及业务流程以提高效率再造组织及业务流程,首先应正确定位内部控制的战略、运行、合规、资产、财务五项目标。组织及业务流程设计应当与高校的战略定位相一致。高校应重视理论与实践教学、人才培养等教学管理岗位的充分配置,部分应用型高校对教学管理人员配置不足的现象较为普遍,以行业导师进行师资补足是常用手段,但对行业导师参与教学教研的程度应当进行监督,真正发挥行业导师的作用;其次,应改进业务流程,对每项业务按其性质、内容进行分类,科学确定相关流程,将授权审批、不相容职责分离与业务流程进行系统融合,兼顾风险控制与效率。目前,部分高校将科研管理经费、人才培养经费的使用等同于行政经费的使用,审批流程繁杂、使用口径狭窄,无法适应与高校战略发展所需开展的科研、人才培养活动的需要,有必要既从流程上简化,又使重要风险点得到防控,以守住经费合法使用的基本原则。在此前提下,适当减少授权签字的部门,适用于一般性授权的事项由经办人、责任人签字即可,适用于特别授权的事项可增加主管领导签字,结合事后的审计监督,即可以达到相互牵制的基本要求。5.加强内部控制管理信息系统建设按内部控制管理系统的要求,首先,应增加管理信息系统的覆盖面,部分高校对于常规性的收支业务管理、资产管理等内部控制系统比较完善,但对非常规性的建设项目管理、合同管理内部控制模块有所欠缺;其次,加大预算管理、收支管理、政府采购管理、资产管理、建设项目管理、合同管理六大系统之间的融合与对接,主要包括:一是预算管理与其他子系统之间的对接,使预算管理的控制由事后检查改进为事中控制、适时控制。二是教务管理系统中教师的课时工作量核算与人事管理的工资系统、财务管理的工资发放系统进行对接。三是科研管理系统、项目经费管理系统、收支管理系统对接。这些子系统的对接,既能实现对数据横向比对一致性的控制,防止人为因素造成的数据不准确,提高工作效率,又能及时、真实、准确地反映相关信息,打通财务共享的壁垒。四是加强高校信息系统的安全防范,首先应加强信息系统保护,防止发生黑客侵袭、信息泄露等事件;其次应加强信息系统账号与密码的发放与保管,对于涉及财务收支的业务,可以通过U盾与口令相结合的方式进行信息系统加密,以防纯口令的系统进入控制被破解、窥探的风险,同时提醒信息系统使用人员及时更改初始密码,设置安全系数高的个性化密码,防止相关信息被篡改。
(二)高校业务层面内部控制风险的化解对策
针对高校预算管理、收支业务管理、政府采购、资产管理、建设项目管理、合同管理等业务层面的各类风险点,应当采取措施进行全面防控。1.应明确高校各类业务的分工与责任高校主要负责人是内部控制建设的最终责任人。应当建立对预算管理、收支业务管理、政府采购管理、资产管理、建设项目管理、合同管理这六项财务相关活动的内部控制体系。具体而言,可由财务部门牵头、联合国有资产管理部门、后勤部门、教务管理部门、科研管理部门等涉及前六项活动的部门,联合开展内部控制的制度建设、流程梳理、风险点诊断和日常内部控制活动的实施[6]。内部审计部门对内部控制建设情况进行定期或不定期的监督,按规定定期开展内部控制自评,出具自评报告,通过明确领导责任、牵头部门和联合部门的主体责任、内审部门的监督责任,使内部控制建设自成一个闭环,防止内部控制有制度无执行、有执行却流于形式的弊病。2.通过绘制流程图开展风险点剖析,制定应对措施应建立各类业务流程及其风险分析图表,通过流程图开展风险点的剖析,从时、空两个维度揭示各个流程可能存在的风险点,这相对其他表达方式更为直观,也更易于制定应对的措施。在绘制流程图表过程中应注意以下几点:一是流程分析要全面、准确,责任归属部门与边界清晰、一目了然。二是风险分析应深入、透彻,能充分、准确地反映各个风险点,没有遗漏,风险点的确定过程应有业务人员深度参与,为风险分析提供直接参考。三是风险应对措施的制定应具有针对性、有效性,做到尽量详尽,例如针对支付口令和U盾的使用可能存在被人盗用的风险,应明确保管责任,制定具体的使用规则,强化支付业务的日常授权与审批管理。
内控合规与风险管理的关系篇5
随着市场经济和信息化环境的不断向前发展,企业的发展模式日趋多元化、规模化以及网络化,而伴随着经济发展的同时引致企业风险的各种因素也在不断的涌现,为了更好地管理企业,有关企业内部控制和风险管理的研究被提上了日程。内部会计控制是内部控制的核心组成部分及中心环节,是规范会计工作秩序的基本保障;与此相对应的财务风险是风险管理中最为常见和重要的一种,在很大程度上能够影响我国经济、政治以及财政、金融等的稳定程度。笔者抓住内部控制和风险管理两者中的重要部分来总结和思考,从会计的基本要素层面对企业内部的财务风险与会计控制分析两者的区别与联系,以期在企业强大的内部控制大环境下,企业管理层能够认识到企业内部会计控制和财务风险的联动关系,通过实施强有力的内部会计控制环境使企业经营管理人员及时对企业的财务状况与经营管理情况进行了解与总结。在此基础上企业管理层可以最大范围地对企业财务等相关风险进行预防甚至最大可能性的进行减少,最终顺利实现企业经营目标。
二、内部会计控制与财务风险相关概念及研究现状
近年来,国内外学者对内部会计控制与财务风险进行了相关的研究,目前的研究大多集中在内部控制和风险管理方面,从微观层面上对内部会计控制与财务风险关系的研究还比较少。
(一)内部会计控制的概念与研究现状 内部会计控制概念最早出现于1934年美国《证券交易法》,在经济发展过程中随着经济体制的不断改革以及创新,人们对于内部会计控制的认识也在不断的加深。国外学者R.H.蒙哥马利将内部会计控制定义为:“指企业建立的控制程序,用于保证会计数据的准确性和可靠性,并保护资产。内部会计控制的目标是:完整性、有效性、正确性、管理和实物安全五个方面”。2001年我国财政部颁布了有关企业内部会计控制相关方面的指导性文件――《内部会计控制规范――基本规范(试行)》,其中对内部会计控制定义为:“通过制定实施内部会计控制相关的控制方法、程序以及措施,来确保企业内部会计控制有关的规章制度以及法律法规能够积极贯彻有效执行,最终提高企业会计信息质量,保证企业相关资产的安全、完整与规范”。
随着经济不断向前发展,内部控制也一直受到我国实务界和学术界的关注,2010年《企业内部控制规范指引》在上市公司的正式实施又为内部控制研究引发了新的热潮。阎达五、杨有红(2001)提出企业内部会计控制是内部控制的核心与灵魂,其研究表明在企业内部控制发展过程中一方面要确保会计信息的真实完整,另一方面要对企业资产的安全性得以保证,这两个方面是内部控制不断向前发展的主线与关键。许家林(2002)认为要强化企业内部会计控制需做好以下两方面工作:首先企业内部的管理部门以及全体员工要积极树立加强内部会计控制的相关意识,在实施过程中做到相互理解与配合。其次,为了更加全面地提高会计信息质量的监督能力,要制定与完善企业内部会计控制的相关规章制度。朱红军、陈信元(2006)认为会计不但是一个具有反映职能和经济后果的信息系统,而且是一个具有控制作用的管理系统,良好的内部会计控制能够确保公司数据的安全性与可靠性,内部会计控制有助于降低公司可量化及不可量化的风险。
(二)财务风险概念的界定与研究现状 财务风险概念的界定有广义和狭义之分:从广义的角度来讲财务风险是由于企业存在内外部一些无法控制的因素而导致企业实际财务收益和预期财务收益出现偏差,最终造成损失的可能性,它存在于企业各项经营活动之中,贯穿企业筹资、投资和生产经营的全过程;从狭义的角度来说,企业财务风险是由于企业举债而给企业的财务成果带来的不确定性。笔者认为广义的财务风险更加科学、合理、全面反映了企业的财务风险以及市场经济条件下财务的整体情况。
财务风险研究起源于19世纪末的西方资本主义国家,是伴随着西方企业所面临的理财环境的变化而不断向前发展的。而我国对风险理论开始研究是从20世纪80年代,主要集中在有关财务风险管理的相关理论层面上,与西方发达资本主义国家相比还没有建立完整的风险管理研究体系。目前,虽然受到广大研究学者的关注,但由于起步较晚,研究时间相对较为短暂,与其他学科相比还只是处于研究的初始阶段。刘思录、汤谷良(1989)在其研究中第一次对财务风险进行了定义,从财务风险的相关特征出发第一次对财务风险管理的相关步骤与方法进行了详细的论述,为财务风险在我国的研究拉开了序幕。侯红兵(1995)认为要较好地对财务风险进行预防与抵制,企业不仅要树立全面、先进的财务风险理念,还要通过建立健全财务风险机制与预警系统来进行外部监督与约束。我国学者许玉红从完善公司架构的角度说明了要有效的对企业财务风险进行预防,关键要建立完善的企业内部财务风险控制组织体系,在组织体系方面加强对财务风险的管理;其次是要建立健全有关内部会计控制的相关法律制度,最终完善企业财务风险管理。
三、内部会计控制与财务风险相关性:会计基本要素视角
企业内部会计控制可从会计基本要素入手,控制和完善会计要素的内容和结构,从而保障企业资金安全和降低财务风险。从企业会计要素的结构上来说,企业资金运动静态和动态两个方面具有紧密相关性:企业在一定时期内六种基本会计要素的变化都可能会引起企业实际状况与预期情况的偏差,即可以用来说明企业是否存在财务风险以及其风险大小。具体来讲,一方面企业的资金来源主要是所有者权益以及形成企业负债的投资者的投入,这两个方面构成企业的资本结构,存在紧密的联动关系,任何一方的变化都会对企业资本结构造成一定的影响。同时从另一个方面来讲,企业利润的形成不仅是企业在生产经营过程中通过良好的管理与产品等获取的相关收入与消耗的成本费用的差额,企业收入与费用的不定期变化也能给企业的利润带来改变。由此可以发现,企业基本要素之间存在紧密的联动传导关系。以企业基本要素及其比例关系为构成要素的企业财务风险表征体系图如图1。会计基本要素结构的不确定性以及基本内容的变化都可能引起企业的财务风险,具体来说即是可能导致企业预期目标与实际经营管理情况发生背离。
(一)资产与其结构 资产是企业从事生产经营活动的物质基础,其增减变动会导致企业收益的不确定性加强;企业资产结构主要由流动资产和非流动资产构成,两类资产在资产结构中都有一个相对合理的比例。但由于企业所处行业性质的不同以及企业的经营管理状况不同等原因,其合理比例的范围也会存在不同之处。合理的资产结构能够为企业的经营管理锦上添花,相反不合理的资产结构则会对企业的经营管理效益造成负面的影响,更是为企业财务风险的发生埋下隐患。
(二)负债与其结构 负债代表着企业偿债责任和债权人对资产的求索权,负债的增加必将加大企业的偿债风险;流动负债与非流动负债的比例就构成了企业的负债结构,不合理的债务结构同样会增加企业的偿债风险。
(三)权益与其结构 所有者权益是偿债的基础,其增减变动会对企业偿债能力造成影响。从权益结构来看,根据不同主体所持有不同股份的数量可以将其划分为国家股、集体股以及公众股等。合理的权益结构构成会对企业的生产经营管理以及管理效率等造成良好的影响,反之则会对企业的生产经营管理效益造成不良影响,企业财务风险发生的可能性就会随之增加。
(四)收入与其结构 企业要想在生产经营过程中获得持续有效经营,其首要前提就是要获取一定的收入。收入的增减变动将最直接对企业的发展能力造成影响。企业的收入结构能够较为灵敏的对企业的生产经营活动以及资本经营活动作出反映,其主要作用是通过对这两类经营活动所创造效益进行及时反映,对企业的财务风险产生一定的预警功能,以便企业对财务风险作出控制与处理。
(五)费用与其结构 费用表现为企业一定期间现金的流出,其增加的不确定性会对企业收益稳定性造成影响。企业的费用结构是由生产成本以及期间费用两者的比例关系来确定,由于在实际生产管理活动中两者的比例关系存在一定的变动性,这种变动的不确定性则可以反映出企业在一定期间的经营管理效率。
(六)利润与其结构 利润主要是对企业一定期间的经营成果进行衡量,由于种种原因其结果具有一定的不确定性,这就直接表现为企业的财务风险。其结构构成主要包括分配结构与形成结构。前者表明企业的利益相关者对企业利润的占有以及控制状况,后者则反映了企业在经营管理过程中获取利益的能力以及渠道。这两个方面不仅表明了企业不断向前发展的约束力以及持续经营的动力与方法,同时从长远来看,两者的发展状况将会对企业的财务风险以及经营管理能力造成一定的影响。
四、结论
通过分析可知,会计基本要素及其结构与企业的财务风险存在联动关系,而会计基本要素是企业内部会计控制基本要素的重要组成部分,从而造成企业内部会计控制与其财务风险的联动关系,即良好的企业内部会计控制系统可以通过控制和完善会计基本要素的内容和结构来对企业的财务风险进行防范和降低。为了及时发现企业财务风险的生成途径和过程,更好地发挥内部会计控制的作用,合理有效地对企业会计要素以及结构变动因素进行分析,最大化规避风险,笔者提出以下建议:
(一)完善企业风险管理体系 包括风险管理部门构建、风险管理文化的建设以及风险管理与内部控制的结合。
(1)企业风险管理部门构建与完善。陈汉文研究发现,我国上市公司内部控制主要停留在理论方面的总结与完善,整体上还相对较为薄弱,而其中最为薄弱的环节则是有关风险评估的研究,在1671家样本公司中只有146家公司设置了风险管理部门。这说明我国企业的风险评估与风险防范意识还远远不够,建立专门的风险管理部门可以及时收集信息、察觉企业的潜在风险。
(2)企业风险管理文化建设。文化是一个企业的灵魂,在企业管理过程中为了更好的培养员工责任感以及风险意识,有必要在企业进行文化建设的同时将风险管理文化的建设也融入其中。《风险管理指引》明确指出:企业建立比较系统、高效以及规范的风险管理机制,一方面要在企业加大对员工风险管理意识的培养和塑造,使员工能够树立正确的风险管理理念,对风险管理充满热情与信心。另一方面,要将员工的这种意识在企业中进行弘扬与深化,也即建立风险管理相关的企业文化,更好地将风险管理的意识转化为更为有效的自觉行动。
(3)风险管理与内部控制的结合。对此,企业要认识到进行风险管理的过程也是内部控制实施的过程,两者在内容上存在很多交叉部分,企业在明确风险管理部职责的同时也要配合审计部门的相关工作。审计部门履行自身职责来对风险管理实施监督与评价,并将其意见向风险管理部门进行反馈,形成两个部门的良好互动。因此随着风险管理相关部门控制体系的日益完善,两个部门的相互配合更加有利于企业不断向前发展。
(二)完善信息与沟通 《规范》明确要求,为了更加有效地进行信息沟通以及相关信息的收集等工作,同时确保通过信息的及时沟通来达到内部控制环节能够有效运行的效果,企业内部应当建立行之有效的信息沟通制度,同时对内部控制的相关信息收集以及处理工作作出明确的说明与规定。一旦出现问题,及时有效的解决才是促进企业经营管理水平不断提高的关键。鉴于此,为了更好地处理内部会计控制与财务风险的相关问题,信息与沟通的加强和完善至关重要。(1)信息的收集。不仅要对相关信息进行全面有效的广泛开展,还要从内部信息、外部信息甚至历史数据、未来数据等来对与企业经营管理以及风险管理相关信息进行收集与处理。此外,还要处理内部控制执行过程中出现的相关问题等。充足的信息能够使企业更好地分析自身的优势和不足,达到日益完善的目的。(2)加强信息化建设。随着市场经济的飞速发展,信息化环境给人们带来了诸多的便利。在内部会计控制过程中应该注意对信息的集中管理,实现信息资源的标准化,使信息系统的建设与公司战略目标保持一致;此外,管理层通过信息系统对投资、资金预算、人力资源等信息集中掌控,在一定程度上有利于分散风险。
(三)检验内部控制有效性 在企业内部监督过程中占据重要作用的主要是有关内部控制的有效性评价。我国《基本规范》中明确要求:企业在内部监督过程中要根据监督管理的情况,对内部控制的有效性进行客观的定期自我评价,并同时出具内部控制自我评价报告。一项措施的实施都是为了可以达到期望的效果,内部控制也不例外。在企业耗费了大量的人力、物力和财力实施内部控制措施后,是否得到了有效性的发挥,可以从以下两个方面进行判断:(1)内部控制设计的有效性设计。要想对企业内部控制设计的有效性进行判断,一方面要熟知内部控制实施的步骤与程序,并合理对其进行评价,合理规范内部控制程序与步骤是企业内部控制得以有效实施的基本前提。另一方面,在对其有效性设计进行判断的过程中,合理规范对其进行现场检验本身就是对其评价的过程。(2)内部控制执行的有效性。企业可以对其内部控制的执行状况进行定期和不定期的检验;可以通过收集资料、查阅文件确认其权限合理性,对关键人员的权利和责任进行确认;还可以在评价过程中对关键岗位的人员变动频率以及正常工作过程中的反映率等指标进行思考。通过对企业内部控制制度执行的有效性进行评价以及考核之后,最重要的是根据结果来对相关问题提出有效的解决方案,以期内部控制制度在企业中能够较好的落实与发展,最终为企业更好的进行经营管理发挥最大的功效。
参考文献:
[1]丁友刚、胡兴国:《内部控制、风险控制与风险管理――基于组织目标的概念解说与思想演进》,《会计研究》2007年第12期。
[2]谢志华:《内部控制、公司治理、风险管理:关系与整合》,《会计研究》2007年第10期。
[3]赵国、黄溶冰:《内部控制与风险管理关系辨析――基于概念演进的视角》,《哈尔滨工业大学学报》(社会科学版)2007年第9期。
内控合规与风险管理的关系篇6
一、基本规范内容及特点解析
(一)科学界定内部控制的内涵,强调“全员控制”基本规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,是一种全面、全员、全过程控制的理念。企业是不同理性主体之间的一组契约,但由于现实世界的复杂性、经济人的有限理性和机会主义的影响,这组契约通常又是不完备的,为了在取得低交易成本收益的同时弥补企业契约的不完备性,就需要在企业内部存在一个控制机制,以保证企业的正常运作和发展。内部控制通过明确企业内部各成员的职责,以及制定各种交易规则,保护距离企业较远一方的正当利益,同时对交易另一方进行监督,最大限度维护企业内部交易的公正和公平,内部控制系统通过对组织内部的资产专用易制定日常交易管理制度,减少博弈数量和频率,大大降低企业内部的交易费用。有效的内部控制是所有要素投入主体之间经济利益博弈的必然选择。基本规范认为,企业的每个管理主体就是控制主体,经营者对企业的管理是宏观层次的资源配置,管理者对其所负责部门的管理也是资源配置,员工则是在其岗位上直接操持一定的资源并实现对资源的控制,员工是最基本的管理者,是直接对资源进行控制的主体,而且是企业内部控制的最终落脚点。所以员工也就成为控制主体之一,每一个员工必须最大善意地使用自己直接控制的资源,保护企业财产和资源的安全,如实报告各种相关信息。从组织的全体来看,至下而上的全员控制有助于改善内部信息不对称,由此受益的不仅仅是一般员工;对管理者的不同层次来说,同样也可以减少信息不对称造成的控制困难。因此可以说“人人都是控制者”。
(二)准确定位内部控制的目标,既适合我国国情又具有前瞻性基本规范要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略。基本规范从组织最根本的目标出发,充分考虑投资者、债权人、管理者的要求,以提高企业战略管理和自我引导能力为目的,判断现有的内部控制方法、控制对象与控制目标是否相容,及其之间存在的对应关系,这些目标的不同层面,每个层面作用的特定控制要素,相应的配套措施;考虑了哪些目标层面的可控性更强,哪些目标层面受其他系统的影响更多等;具有循序渐进、适合国情的特点。
基本规范目标最终定位于企业发展战略的实现,发展战略的实现需要进行战略思维,这就需要考虑:企业对其前景做了哪些瞻望;使命是什么,核心竞争力是什么;有哪些机遇可以利用;怎样运用新技术加强竞争力;需要考虑哪些相关的经济因素;从竞争中能期望什么;从监管环境中能获取哪些好处;能否通过合并、合资及合作等方式取得战略优势等。正如史蒂文・鲁特认为,保持使企业发现、利用机遇的能力和保持企业的反应能力――对意外风险与机遇的反应和适应能力,以及根据不确切的信息做出决定的能力,这对企业的持续经营能力以及其能否取得成功至关重要,因为这种控制显得更有意义,董事会和高级管理人员应将更多的时间和精力花费在利用机遇方面,而利用机遇也正是那些前景瞻望、战略规划、战术、行动、创新方案、项目和目标所要达到的主要目的。
(三)统筹构建内部控制的要素,有机融合国际先进经验基本规范构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。笔者认为这个框架主要有以下两方面特点:
一是该框架有效整合了公司治理结构、内部控制与风险管理的关系,将三者归结为风险控制。目前我国内部控制存在的突出问题在于:尽管制定了看似完善的内部控制,由于公司治理结构存在缺陷,对公司实际控制人缺乏必要制约,管理层任意超越内部控制,最终导致内部控制成为一纸空文;在战略及经营目标实现方面的风险控制严重缺失。基本规范也凸显了风险管理与内部控制的密切联系,规定企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估;应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度;应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险;应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略;应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制;应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。所以,内部控制本质上是解决组织内部问题、实现组织目标的一种内部风险控制机制。当然,内部控制不同于风险管理,风险管理的首要工作是风险计划,风险控制是在风险计划既定的前提下所开展的各种控制活动;风险控制除了包括内部风险控制之外,还包括外部风险控制。
无论是内部控制、公司治理还是风险管理,都是为了控制企业可能面临的各种风险而产生的,伴随企业由自然人企业向公司制企业过渡,企业的组织层次发生变化,相应的风险控制也由员工层次向经理层、董事会以至股东大会转换,风险控制也由内部控制发展为公司治理;并且在企业较高层次,其主要的职责是经营决策,所以公司治理更多地关注决策理性,也就是决策非理性的风险;早期企业面临的主要风险是财物侵吞和信息欺诈风险,风险控制的主要任务是保证财产安全和信息真实,而现代企业财物的安全控制体系和信息体系不断地建立健全,企业面临的主要风险已转变为市场竞争风险,所以风险控制就更加关注战略风险和经营风险。从这个意义出发内部控制、公司治理、风险管理都属于企业管理的范畴,都是为了进行风险控制。
二是基本规范的内部控制五要素框架体现了“价值创造导向”。具体体现在以下方面:
(1)风险识别与应对作为价值驱动因素被纳入框架,风险分担和风险承受等概念在价值导向型内部控制框架中的意义重大。基本规范规定,企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避
免因个人风险偏好给企业经营带来重大损失。风险偏好是企业在向相关者提供价值的过程中所愿意承受的风险水平,通常与企业战略相关联,是与企业经营目标(增长)和财务目标(报酬)相平衡的可接受风险。企业在制定内部控制战略目标时,应该确定和选择一个与战略目标相一致的风险偏好。风险承受是相对于目标的实现而言所能接受的偏离程度,风险承受能够被计量,为了捕捉商业机会,需要管理者积极地面对风险,愿意并有技巧地接受风险。这其中涵盖了与价值创造活动有关的政策、程序和方法。
(2)信息与沟通要素被价值导向框架继续沿用了,信息范围的界定与控制目标是一致的,从价值创造的视角看,信息的范围包括了来自内部和外部的所有与管理相关的财务与非财务的信息,并且都是建立在对之有效分析的基础上。框架还特别强调了与利益相关者的信息沟通。基本规范在描述信息及沟通要素时,关注了管理信息系统的作用,因为有效的信息及沟通要借助于一体化的、共享的信息平台。同时还规定企业应当建立反舞弊机制、举报投诉制度和举报人保护制度。
(3)基本规范的框架强调了绩效评价与激励,这是对控制标准(包括所制定的目标和预算、风险承受水平等)的实施结果在信息传递与反馈基础上进行的评价,并根据评价结果进行奖励或惩罚。绩效评价是衡量控制目标的实现程度,体现以结果为导向的管理。绩效评价是综合性的,既有财务指标又有非财务指标,并与控制目标相结合;基本规范规定的激励内容是宽泛的,既包括物质激励又包括非物质激励,其中重要是职务激励。
(4)内部监督程序的设计和运行也必须本着达到既定目标的原则。基本规范规定,企业应根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。首先,企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。企业应结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。其次,基本规范对内部审计提出了更高的要求:对内部控制的有效性进行监督检查;内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。这拓展了内部审计的责权、保证了企业全面风险管理体系的正常运行、建立了风险管理的后续评价和持续改进机制。企业内部审计部门在独立于经营管理层、对董事会直接负责的基础上,扩展了其责权,通过持续的监控活动、个别评价,或者二者的结合,实现对风险管理的评价,并对发现的问题及时采取措施优化,以完善全面风险管理体系的后续评价和持续的改进机制。内部审计是重点关注各个风险管理构成要素是否能够在风险管理体系中正常运行、业务流程是否能够满足防范风险的需要,各种量化管理的内部模型是否有效等,促进风险管理体系不断改进。而内部控制监督程序的有效性取决于各利益相关群体的参与以及相互影响的程度。使众多的利益相关群体保持适度的相互影响是一项颇具挑战性的工作,主要参与方的态度必须改变,理解和接受风险所必需的公开交流十分必要,从而形成一种有益于积累知识的环境,知识在这里是指理解内部控制的概念、对资源的需求程度、应具备的能力以及伴随的风险。
框架考虑了战略导向和风险导向的管理要求,企业的控制标准主要通过战略和预算、风险承受等体现出来,执行与成效衡量可具体化为控制活动、信息与沟通、绩效评价与激励三项要素,内部监督可视为纠正偏差所采取的行动之一,而所有这些要素都是以内部环境为基础的;所以价值创造导向的内部控制是以企业价值创造为主要目的、以可接受的风险水平为出发点、以管理信息系统为平台、体现控制全过程的一个开放型系统。
(四)提出切实可行的内部控制实施机制基本规范建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,披露年度自我评价报告,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。这充分体现了基本规范在实施过程中适当的引入了信息机制和声誉机制、强化检查监督机制,落实内控责任主体和严格问责并实施严厉的奖惩机制的特点。
(五)满足不同主体对内部控制的需求,形成内部控制的理论结构注册会计师、企业管理者、企业的投资者和潜在的投资者、外部监管者以及更多的利益相关者如供应商、商、债权人等不仅关注企业的财务报表,更关注企业的经营运作,也产生了对内部控制的需求,基本规范的满足了其对内部控制的需求。注册会计师是内部控制理论研究的发起者和推动者,主要是为了提高审计效率,降低审计成本,关注企业内部控制中与财务报表审计有关的部分;企业管理者是企业的实际经营者,需要一整套有效控制所辖资源的制度、程序和方法,以有效使用企业的各种资源,实现企业经营目标和战略目标。由于所有权和经营权分离,职业经理人的出现,企业投资者和潜在投资者更希望在企业内部有一套能够有效约束和激励经理人、保护其投资和收益的机制,同样,潜在投资者除了希望通过可靠的财务报表了解企业财务状况外,更希望通过了解企业内部的这种投资保护机制,来分析企业管理水平和盈利能力,估计投资风险大小,做出自己的投资决策;外部监管者希望通过企业内部控制促进其监管目标的实现,使企业遵守法律法规,维护投资者和国家的利益,保持良好的市场秩序等。基本规范满足了不同主体对内部控制的需求;不仅如此,基本规范形成了一个能够统领各视角内部控制的更广阔视野、更大范围的内部控制逻辑结构,即“目标原则要素概念结构实施机制”,将目标置于理论体系的最高端,然后按实现该目标的需要来推导、演绎出各个理论要素,并根据各理论要素之间的逻辑关系排列其结构与顺序,从而形成一个完整的理论体系。
二、基本规范的相关思考
(一)基本规范的出台是一种强制性的制度变迁以政府机构、实务界为研究主体,以调查分析、总结归纳为基本研究方法,通过对我国企业内部控制管理实践的调查研究,筛选和总结出较好的管理惯例,形成内部控制规范――我国沿着这条路线所进行的研究活动已经开展多年,并且取得了一些研究成果。2006年财政部发起成立了企业内部控制标准委员会,广泛凝聚一批各方面的专家学者,旨在为推进我国企业内部控制建设提供政策咨询。通过两年的努力,要基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、内容完整、方法科学的内部控制标准体系,推动企业完善治理结构和内部约束机制。
从《内部会计控制规范――基本规范》到当前的基本规范,是由政府机构所发起的制度变迁,这多与各种社会危机或外在压力直接相关。其中,危机的表现较为明显。政府机构发起制度变迁的成本低于民间组织,但政府机构本身不能获取提供了某项制度的收益,因为从理论上,政府机构日常运行耗费的是全社会的资源,理应以全社会利益最大化为目标,其所发起制度变迁带来的制度收益理应归社会所有。而政府机构的“收益”就是政绩和良好的社会评价。因此,制定和完善我国企业内部控制标准体系,是新形势下会计管理工作贯彻落实科学发展观、走长期可持续发展道路的必然要求,是促进经济健康运行、规范资本市场秩序、完善现代企业制度的现实需要,是完善我国会计法规制度、推动我国会计走向国际市场的正确选择。但管制权力又是一项十分珍贵的资源,且具有供给刚性,政府机构会利用其优势,不断扩张其管制范围,增加其管制权力。所以,必须处理好内控标准体系与现行监管规则的关系,即解决内控标准体系的协调性问题。内控标准体系与已经出台的有关内控监管规则之间不是替代关系,而是一种相互联系、相互协调、相互促进的和谐互动关系。内控标准体系能否得到有效实施,监管部门的推动和配套监管措施的支撑十分关键。
(二)基本规范的出台受内部控制知识存量的影响一般而言,设计一项制度安排所需的知识准备,除了特定制度安排之外,多为社会科学知识,包括经济、法律、商业组织等。因此,社会科学知识的进步,将在相当程度上降低制度设计和创新的成本,从而促进制度变迁的发生。或者说,对制度理解的知识进步,能增加制度变迁的供给,尽管增加的量不会正好等于知识进步的量。而社会知识进步对制度变迁供给的促进作用,是通过对意识形态的影响来实现的。在一个意识形态和宗教影响较弱、民主化、公开化程度较高的国家,对社会科学知识的依赖性要高得多。我国经过多年的理论研究和探索,在内部控制领域已经取得了一定的研究成就,涌现出不少具有理论见地或者具有较大应用价值的研究成果。这些为普及我国的内部控制管理,提高人们的内部控制管理意识奠定了较为坚实的基础,同时也为我国制定内部控制规范做了较好的理论铺垫。内部控制的知识存量在相当程度上决定了制度变迁的方式与内容;内部控制知识的进步,将会推动原有制度的修订和新制度变迁的发生。现有的知识存量,如COSO报告和ERM框架以及我国的理论与实践的经验总结,能提供一个有关制度环境、各种可能的制度安排及其功效的详尽、透彻的知识,这将为制度创新提供有效的依据,为制度创新决策、特别是选择制度安排提供帮助。这种帮助和影响,可以是直接的也可以是间接的,知识存量通过对制度制定组织和(或)执行主体思想的潜移默化影响,来引导其制度选择,制定内部控制规范。这是科学研究影响制度变迁的主要作用方式,也即制度变迁的“路径依赖”。
内控合规与风险管理的关系篇7
关键词:信托公司;内部控制;COSO
中图分类号:F270 文献标识码:A 文章编号:1001-828X(2013)08-00-03
一、引言
我国信托公司从1979年至今经历了五次整顿、一次重新登记,从无到有,管理的信托资产规模不断增加,截至2012年末已经突破7万亿元大关,成为仅次于银行业的第二大金融子行业。近7年来我国信托业管理资产规模的复合增长率达62%,随之而来的是各界对信托公司经营能力和风险管理的关注。
应该说,自从信托业“一法三规”实施以来,特别是《信托公司管理办法》将信托公司内部控制建设以法规的形式明确下来,我国信托公司的内部控制已经开始步入规范发展的道路。但是,随着近年来信托行业规模的快速增长以及信托公司业务的不断创新,内部控制对于信托公司和行业持续健康发展的作用日益凸显,进一步研究和完善信托公司内部控制体系的需求日益迫切。
二、我国信托公司内部控制体系的现状及问题
1.定义
内部控制是指由董事会、监事会、高级管理层和全体员工共同实施的,旨在合理保证公司依法合规经营、资产安全和财务报告信息真实完整,促进公司提高经营效率与效果,实现发展战略目标的过程。
2.现状
我国信托业经过三十年的发展,各信托公司的内部控制体系建设取得了较快发展,基本都设立了由股东会、董事会、监事会和高级管理层组成的现代公司治理结构,并分别建立“三会一层”的议事规则和议事程序,权力机构、决策机构、监督机构和高级管理层各司其职,各负其责,相互制约。前中后台各部门分别设置,形成互相合作又相互制衡的分工体系;基本实现了信托业务与固有业务分离;不相容岗位相互隔离;初步建立了分级授权的审批、运营管理体制。
但在实际工作中,由于各公司发展不均衡,各公司的内部控制体系建设完善程度不同,内部控制能力差距较大。部分公司内部控制制度建设相对滞后,有些制度形同虚设;有些公司片面强调业务开拓,忽视风险管理、内部控制能力的提高;有些公司绩效考核向业务部门过分倾斜,导致相关职能部门人才流失,缺乏人员的稳定性。
由于内部控制体系建设的相对滞后,近期相继爆出部分信托产品兑付问题。仔细分析出现问题的信托产品,无非是产品设计、尽职调查、内部审批、存续期管理环节中的某个或某些环节没有按照相关业务规范,没有遵守相关制度,或者缺乏相应的风险对冲手段,导致交易对手有机可乘或者市场环境发生变化导致风险显现。
3.问题
(1)董事会的独立性、专业性和权威性有待加强
普通董事多为股东单位推荐且大多在股东单位任职,鲜有通过市场化招聘的专职董事。普通董事由于本身承担着不同的工作,缺乏足够精力来履行董事会成员该承担的公司内部控制体系建设第一责任人的职责。
独立董事占比低、在公司工作时间短、决策参与程度低。从各信托公司披露的独立董事简历来看,大部分独立董事都是各行业的专业人士(有些还是境外人士),各独立董事本职工作繁忙,有些身兼多家公司独立董事,缺乏足够的精力了解、掌握内部控制体系建设的真实情况,为公司内部控制体系建设承担应尽的义务。
(2)专业委员会未能充分发挥作用
专业委员会是董事会的议事机构,是弥补董事会会议决策缺陷的重要手段。从欧美国家的成功实践看,专业委员会发挥的作用很大,每年召开多次会议,还以专业委员会名义开展专题调研。国内信托公司的专业委员会则存在明显规模不够、力量不足和会议频率不够的问题。通过阅读各信托公司年报发现,一般专业会议都是在董事会前一天、半天或同时召开,很显然是应付程序的需要,有些公司甚至就没有召开,更没有针对某一专题展开研究论证。
(3)缺乏对公司发展战略的切实关注与评估
欧美国家的董事会都把研究和确定发展战略作为董事会和管理层的重要任务,欧美和国内上市公司最佳实践为:每年年初董事会首先要对上年战略执行情况进行回顾和评价、分析目前所处环境、完善总体发展战略和业务总体规划,并进一步提出保障措施。
从各信托公司的实际情况看,虽然各自都有了做大做强的发展战略,但是董事会忙于日常经营管理,对发展战略的评估判断、持续监督和修改完善讨论不够,有些公司董事长甚至不在公司上班,更无法直接了解、掌握公司的运营情况及结果更无法领导完成制定切合公司实际的发展战略。
(4)薪酬与绩效挂钩不紧密
有些公司对业务团队设定较高的提成比例,导致业务团队注重眼前利益,忽视风险控制。与此相反的是,部分职位(部分董事、高管、监事及部分岗位的员工)薪酬与绩效挂钩不紧密,激励作用不强。由于部分董事、监事(甚至有些公司董事长)不在信托公司领取报酬,而独立非执行董事大都聘请各相关专业人士(有些甚至聘请外籍人士)担任,领取固定津贴,与公司得经营情况不相关。
此外,现行的法律法规规定“除上市的信托公司外,个人不能充当信托公司股东”,即便是上市信托公司,也没有实行股权激励。这导致了各信托公司无法真正实行长期激励,影响了信托公司的长远发展。
(5)全面风险管理不到位
董事会与管理层对于风险管理的职责边界划分的不够清晰,风险容忍度指标不明确。目前我国信托公司大都没有明确的风险容忍度,监管部门又要求信托计划刚性兑付,这违背风险客观存在的事实,出现风险最终仍然需要公司(最终是股东)承担。
董事会的风险管理委员会流于形式。目前各信托公司大多在董事会层面设立风险管理委员会,但风险管理委员会流于形式,很少向公司的风险管理提供决策建议。各公司风险管理只注重风险的控制,没有对风险进行有效管理,更没有对风险进行有效的经营。
风险管理的操作手段比较单一。目前我国信托公司的风险管理手段比较单一,停留在对风险控制的初级阶段,只追求抵押担保等简单的增信措施,缺乏对冲等相关的风险管理手段,更没有经营风险的理念和措施。
三、COSO内部控制模型及经验借鉴
1.COSO内部控制模型
COSO是最为广泛认可的国际内部控制框架标准。COSO是Committee of Sponsoring Organizalions of the Treadway Commission (全美反舞弊性财务报告委员会发起组织)的缩写。美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(ILA)、美国管理会计师协会(IMA)于1985年联合创建了自愿性私人组织—The Treadway Commission(反虚假财务报告委员会),旨在探讨财务报告中舞弊产生的原因,并寻求解决之道。1987年,基于该委员会的建议,其赞助机构成立了COSO,专门研究内部控制问题。1987年,调查显示众多金融机构破产的原因,一半以上是内控失效。1992年,COSO《内部控制-整合模板》(称COSOⅠ,于1994年增补);2004年,COSO《企业风险管理—整合框架》(称COSOⅡ);2012年.COSO了COSOⅡ的更新版(初稿)。
COSO内部控制框架认为,内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成,它们取决于管理层经营企业的方式,并融入管理过程本身,其相互关系可以用其模型表示(如图1所示)。
图1:COSO内部控制模型
2.COSO内部控制模型的五个要素
(1)控制环境
控制环境是所有其他组成要素的基础,形成企业的整体气氛,影响员工的控制意识,提供纪律约束和架构。
良好的控制环境包括规范的公司治理结构和议事规则;董事会审计委员会对内部控制体系的有效性的监督,例如定期听取公司关于风险状况及控制措施的汇报;明确的组织架构及权责分配;有利于公司可持续发展的人力资源政策;正式的行为准则以及企业的价值观和文化建设;有正式的针对不良行为的举报、调查及惩处的制度和流程。
(2)风险评估
企业及时、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。同时结合不同发展阶段与业务拓展情况,持续收集与风险变化相关的信息,进行风险识别与分析,及时调整风险应对策略。
良好的风险评估是指企业根据设定的内部控制目标,收集相关信息,及时进行风险评估;准确识别内部风险和外部风险,确定相应的风险承受度;采取定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险;根据风险分析的结果,结合风险承受度,确定风险应对策略。
(3)控制活动
控制活动是为确保内部控制得以执行的政策和程序,包括一系列不同的活动,如审批、授权、确认、核对、考核经营业绩、资产保护等。
良好的控制活动包括结合风险评估的结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受的范围之内;控制措施一般包括:不吸收那个人职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制及绩效考评控制等。建立重大风险预警机制和突发事件应急处理机制。
(4)信息与沟通
信息与沟通是指企业从内部和外部及时获取、确定并交流相关的信息,并形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流。
良好的信息与沟通指建立信息与沟通程序,明确内部控制相关信息的收集、处理与传递程序;对收集的各种内部、外部信息进行合理筛选、核对、整合,提高信息的有用性;将内部控制相关的信息在适当的层级和有关方面之间进行沟通和反馈;信息沟通过程中发现的问题,应及时报告并加以解决,重要的信息应及时传递给董事会、监事会和高管层。利用信息技术促进信息的集成与分享,充分发挥信息技术在信息与沟通中的作用。
(5)监督
监督是指不断独立评估内部控制系统的表现,并进行加强内部审计工作等进行监督内部控制活动。
良好的监督是指企业制定内部控制监督制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规定内部监督的程序、方法和要求;内部监督分日常监督和专项监督;确定内部控制缺陷的认定标准;结合内部监督情况,定期对内部控制的有效性进行自我评价,并出具内部控制自我评价报告。
3.COSO内部控制模型的三个目标
COSO内部控制要达到营运、财务报告及合规三个目标。
(1)营运目标。营运目标主要关于经营的效果和效率,确保信托公司发展战略和经营目标的全面实施和充分体现。
(2)财务报告。确保财务报告的真实、完整、及时性。即确保信托公司业务记录、财务信息和其他管理信息的及时、真实和完整。
(3)合规。及确保国家法律法规和公司内部规章制度得到充分贯彻执行。
四、形成我国特色的信托公司内部控制体系
1.全面梳理业务流程
信托公司可将业务流程的全部事项分为三个大类,如表1所示。
表1:信托公司业务流程分类
梳理业务流程,从全公司的角度,每个流程都应当是“从头到尾”的,也就是从业务的发生以及必要的前期决策开始,直至处理、结算、信托收益清算分配等最终环节结束。通过梳理流程,实现完整、直观地了解每一个流程,分析与重要风险对应的流程和节点;迅速、直观地找出每个交易的初始、授权、记录、处理和报告过程,并理解其各自的控制目标;找出容易出现错误或舞弊的环节。经过流程梳理,结合信托公司的组织架构和业务特点,形成涵盖整个信托公司的业务目录,成为风险管理、内部控制建设与评价的依据。
2.风险评估,掌握风险发生的频率和危害
风险评估用来确定重点风险领域,明确工作范围。通过系统的方法来识别风险,定性和定量分析,对信托公司整体和各个业务条线和主要控制流程进行风险评估。风险因素包括信托公司内部风险因素和外部风险因素。
信托公司内部风险因素主要有“董高监”的职业操守、员工专业胜任能力等因素;组织机构、经营方式、资产管理、业务流程等管理因素;研发、技术投入、IT运用等自主创新因素;财务状况、经营成果、现金流量等财务因素;营运安全、员工健康、环境保护等因素。
外部风险因素主要有经济形势、产业政策等经济因素;法律法规、监管政策等法律因素;安全稳定、文化传统、社会信用等社会因素;技术进步、工艺改进等自然因素;自然灾害、环境状况等自然环境因素。
通过对各条线可能产生的风险进行评估、初步确立风险发生的频率和影响程度。
3.采取管理矩阵,有效降低风险
风险控制矩阵系统把一个流程所对应的风险、以及针对这些风险的控制措施展现出来,实际就是建立健全制度,把制度镶嵌到流程中去,并判断现有业务流程中的内控措施是否全面地涵盖了所有风险,并能够有效地发现和防范风险。
4.明确岗位授权,确保职权匹配
对全公司各个岗位都要明确职责权限,不留任何死角,确保无一人有超越职责得“特权”,也无一人无职无权。有职有权就有风险,因此,所有人都要在内控框架下尽职尽责,失职问责并受到相应处罚。
授权类型分常规授权和特别授权。明确各岗位办理业务和事项的权限范围、审批程序和相应的责任。信托公司应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,并严格控制特别授权。
5.实施不相容岗位分离,做到相互约束和制衡
不相容的职责分离,是内控的最基本手段之一,在不同员工间进行职责分工可以降低出现错误或不当操作、舞弊的风险。一般信托公司信托业务分为申请、授权、审批、核准、执行和记录几个步骤。如果每一个步骤都有相对独立部门或人员分别实施或执行,就能保证不相容职务、岗位的分离,从而便于内部控制作用的发挥。形成各司其职、各负其责、相互制衡的工作机制。
6.完善过程管理和监督回顾
信托公司通过上述工作最终形成内控管理和评价手册,对照手册定期开展自我评价,年终聘请会计师事务所进行审计。
参考文献:
[1]林斌,舒伟,李万福.COSO框架的新发展及其评述——基于IC-IF征求意见稿的讨论[J].会计研究,2012,11:64-73,95.
[2]白华,郑晓晓,杨春雪.COSO监控指引:一个整体框架[J].财会月刊,2012(02):85-86.
[3]白华.内部控制、公司治理与风险管理——一个职能论的视角[J].经济学家,2012(03):46-54.
[4]刘关新.构建我国商业银行的有效内部控制体系[J].经济师,2009(08):195-196.
[5]丁宁,杨光浩.关于企业内部控制建设的国际比较分析[J].现代管理科学,2010(08):93-95.
[6]谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究,2007,10:37-45,95.
内控合规与风险管理的关系篇8
关键词:信用贷款风险商业银行
在实践中由于各个商业银行所采取的组织架构和业务运作理念各不相同,有的属于所谓的流程银行,也有的属于部门银行,因此他们的风险控制体系也略有不同。但总体而言,设立在总行的风险控制中心以及设立在各业务单元中的风险管理部门是风险控制体系必备的要素,而这两部分与个人信用贷款业务的风险控制密切相关,加强个人信用贷款业务相关的风险控制体系正是从这两个部门入手。
1、专职专能,加强合作
业务部门内部的风险控制部的职责通常是制定业务相关的风险控制政策、统筹业务内的风险管理、采取风险控制措施、进行汇总风险计量分析并向总行汇报。在西方银行,个人信用贷款业务内部的风险控制部是业务运作的前沿指挥部,是其他各部门在实际业务开展过程中的交流平台和监督者。风险控制部门作为个人信用贷款业务进行具体风险控制的主体,必须以构建以风险控制部为核心,其他各部门围绕风险控制部展开平等合作。个人信用贷款业务是通过各相关部间相互协调、环环相扣而最终完成的,因此必须建立相互协作同时又相互监督的部门间合作关系。
在个人信用贷款业务的开展过程中,各部门应该以风险控制部为合作平台,以内部环境风险控制为一致的目标,定期进行关于内部环境风险控制的会议。在会议上各部门对于风险相关的问题具有同等的话语权,共同商定该业务的目标收益率和可承受的风险系数并运用第四章中的风险收益优化决策模型进行各贷款类型的权重分配。
2、合理规划,控制流程
风险控制部必须联合其他各部规划好规范、合理的业务运作流程。规范、合理的业务运作流程与流程中的风险控制机制之间的关系正如地基与建筑物的关系。正如没有稳定安全的地基作为基础就不可能有漂亮的建筑物树立起来,对于个人信用贷款业务来说,没有规范、合理的业务运作流程就不可能有完备的风险控制机制以此为基础进行建立。因此,要做到提高业务效率,降低面临的风险,最关键的是建立规范、合理的业务运作流程。与其它商业贷款相类似,个人信用贷款的业务运作流程主要分为营销、贷前、贷中、和贷后四个个阶段,共六大流程,流程总图。
风险控制部必须在业务运作流程之上制定业务风险控制节点并在每个风险控制点至少安排一个风险控制岗进行风险监控。
3、强化信息管理,构建数据系统
对于个人信用贷款业务,其业务运作的特点之一就是业务量大而单笔贷款的额度一般较少。风险控制部在个人信用贷款业务运作过程中,必须推行业务内各部门运用现代化的信贷信息管理系统进行数据处理,利用计算机实现半自动审批和辅助决策,并实现该业务的全面电子化管理。此外,风险控制部还必须定期对个人信用贷款业务的信息管理系统定期进行更新、维护和检测,从而确保该信息管理系统处于最优运作状态,不会由于信息泄露、信息丢失或者系统延时等情况造成不必要的损失。从风险管理的角度来看,个人信用贷款信息管理系统能从整体上提高上述各内部环境风险控制措施的执行效率,从而起到防范个人信用贷款业务中系统性风险的作用。主要体现在以下三点:首先,由于个人信用贷款信息管理系统的信息共享,确保了信息的实时性,提高了组织架构内各部门的合作效率以及业务信息在业务运作流程中各阶段间的流转效率。其次,由于个人信用贷款信息管理系统可实现系统自动审批,能够大量减少人工核对信息以及基本逻辑判断所占用的时间,在把简单业务操作的错误率降至最低的同时相对增加了业务员进行人工业务分析的时间,从而把贷中审批阶段的风险控制节点发挥最大作用。再次,通过个人信用贷款信息管理系统可以起到规范个人信用贷款业务流程的作用。个人信用贷款业务流程由于各个环节之间的紧密相扣,当把流程中的各环节都设置在信息管理系统内部进行流转时,信息管理系统以其流程优化决策以及权限控制的优势可对整个业务流程进行有效的规范管理。
参考文献
[1]黄宪.商业银行全面风险管理体系及其在我国的构建[J].中国软科学,2009;2
[2]冉赛光.浅析商业银行信贷风险的法律控制[J].法学评论,2008;11