內控風險管理文化
1. 企業風險管理,風險控制,內部控制的定義與區別
風險管理管理的是不確定性,風險控制是風險管理的一種手段或過程,風險管理的目標可以是0風險,即對不確定性的0容忍,也可以通過控制手段實現(但有點難)。不過,一般而言風險和收益是正相關的,有風險才有收益,所以一般不會,也很難消除風險,所以往往提到風險控制,管控到可容忍的程度即可。內部控制,一般是通過制定規章制度來規范行為或防範風險,通常不涉及到具體的方法與操作,相對而言是具有一定高度且宏觀的。如果要把三個概念放在一起比較的話,個人認為內部控制>風險管理>風險控制。
2. 內部控制與風險管理的背景
COSO(全美反舞弊性財務報告委員會發起人委員會)認為內部控制是為下述三大目標回的實現提供合理的保答證,即:
1、經營的有效性和效率
2、財務報告的可靠性
3、遵守法律法規
為了實現內部控制的上述目標,企業必須建立有效的內部控制體系。但什麼是有效的內部控制體系?如何建立、評價和改進企業的內部控制?這已日益成為困擾大多數企業的一個問題。
2002年7月30日《薩班斯——奧克斯利法案》(「薩奧法案」)的頒布,標志著世界上最發達資本市場的監管者已經將內部控制體系的建立、維護、評價和報告看作是經營者的重要責任。2008年5月22日,中國財政部等五部委聯合發布了《企業內部控制基本規范》,將自2011年1月1日起首先在境內外同時上市的公司施行,2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行,鼓勵非上市的大中型企業執行,這標志著中國版的「薩奧法案」已正式啟動。
隨著社會法制化的推進及企業競爭的加劇,企業只有建立、健全並執行行之有效的內部控制體系,才能夠獲得持續穩定的發展,做到基業長青。
3. 內部控制和風險管理的區別與聯系
現代理論界對內部控制的定義各不相同,但被普遍接受的定義是國際權威機構美國的COSO委員會對內部控制的定義。該組織認為:企業內部控制是由企業董事會、經理層以及其他員工共同實施的,為財務報告的准確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。
依據COSO委員會 2003年7月完成的《全面風險管理框架》定義:企業風險管理是一個過程,是由企業的董事會、管理層以及其他人員共同實施的,應用於戰略制定及企業各個層次的活動,旨在識別可能影響企業的各種潛在事件,並按照企業的風險偏好管理風險,為企業目標的實現提供合理的保證。
聯系:1)全面風險管理涵蓋了內部控制。COSO2003年7月公布了全面風險管理框架的徵求意見稿中明確地指出全面風險管理體系框架包括內控作為一個子系統。從時間先後和內容上來看,全面風險管理是對內部控制的拓展和延伸。
(2)內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理,對於企業所面臨的大部分運營風險,或者說對於在企業的所有業務流程之中的風險,內控系統是必要的、高效的和有效的風險管理方法。
從國際國內發展趨勢來看,隨著內部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統一。
區別:(1)兩者的范疇不一致。內部控制僅是管理的一項職能,主要是通過事後和過程的控制來實現其自身的目標;而全面風險管理則貫穿於管理過程的各個方面,控制的手段不僅體現在事中和事後的控制,更重要的是在事前制訂目標時就充分考慮了風險的存在。而且,在兩者所要達到的目標上,全面風險管理多於內部控制。
(2)兩者的活動不一致。全面風險管理的一系列具體活動並不都是內部控制要做的。兩者最明顯的差異在於內部控制不負責企業經營目標的具體設立,而只是對目標的制定過程進行評價,特別是對目標和戰略計劃制定當中的風險進行評估。
(3)兩者對風險的定義不一致。在COSO委員會的全面風險管理框架中,把風險明確定義為「對企業的目標產生負面影響的事件發生的可能性」(將產生正面影響的事件視為機會),將風險與機會區分開來;而在,COSO委員會的內部控制框架中,沒有區分風險和機會。
(4)兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,因此,該框架在風險度量的基礎上,有利於企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前台決策流程。這些內容都是內部控制框架中沒有的,也是其所不能做到的。
4. 如何加強內控文化建設
加強合規文化是規范行為一種理念、思維方式以及在這種理念指導下的行為習慣。只有當銀行經營管理者和各級員工形成合規文化的理念和思維時,銀行風險的防範才會變得積極主動,更加有效,進而才能形成風險防範的長效機制。
銀行合規文化不足是風險防範存在問題的重要原因
當前,我國銀行案件防範形勢仍然嚴峻,銀行風險防範對中國銀行業來說是一個十分重要而緊迫的課題。銀行內部案件產生的原因,主要在於制度、文化和員工職業操守方面存在明顯的薄弱環節和管理漏洞。任何操作風險都是人的行為造成的,盡管人的行為要受制度約束,但決定人的行為的影響力來自於所受文化的熏陶。內控合規文化不足是銀行風險防範工作存在問題的重要原因,基層銀行內控合規文化在風險管理中的不足主要體現在以下幾個方面:
(一)風險防範意識淡薄,良好的內控合規文化氛圍沒有建立。目前,基層銀行對管理風險缺乏全面、系統的認識,尚未形成濃厚的控制文化。首先,缺乏對風險的整體把握。對風險還停留在分離、局部的認識層次上。其次,在風險防範上未能做到未雨綢繆,往往就事論事,缺乏事前防範和系統管理。再次,在風險控制的責任認定上,認為風險是內控、紀檢監察等管理部門的事情,與業務部門關聯度不強,管理層監督力度不夠,責任不清。
(二)內控制度體系疏漏,內控合規文化引導機制未能彰顯。存在內控管理部分環節無章可依、內控管理制度滯後和制度執行缺乏剛性等問題。此外,內控部門獨立性不夠,審計的客觀公正難以保證,也是強有力的內控合規文化引導機制未能彰顯的重要表現。
(三)職業操守缺失。面對社會變化會、業務發展、工作壓力、機會和誘惑,風險事件及案件隨之發生。
國外銀行業對內控文化建設可借鑒之處
巴塞爾協議明確指出,任何大量損失的產生都反映出管理層未能重視控制文化,控制文化的鬆弛,造成銀行內部缺乏適當的激勵。西方發達國家的商業銀行,盡管成立時間不同、歷史背景不同、監管環境不同,但在巴塞爾協議的統一要求下,都從各自的管理實際出發,逐步形成了各具特色各有側重的操作風險管理流程和內控文化框架。他們的實踐表明,在內控文化建設中,以下幾點是都是不可少的因素,這些方面對我國銀行提升內控合規文化建設水平具有重要的借鑒意義:
第一,內控合規文化一定要包含強烈的風險意識。首先,必須明確風險與銀行成本之間的關系,使所有員工意識到風險控制行為能直接使他們自身受益。其次,要有高層管理者的支持,高層管理者應在機構內部創造一種員工充分參與的內控文化,還要設定禁止員工逆風險管理價值行事。
第二,內控合規文化一定要具有細致的建設流程。內控合規文化需要有一個非常詳盡細化的框架來設計其建設流程,每個環節都應具備具體的實施程序和步驟,以增強建設流程的可操作性。同時,整個建設工作要體現動態持續、協調發展。
第三,內控合規文化一定要突出協作的內部關系。內控合規文化的建設必須強調有效的風險管理取決於業務部門、內部審計部門、風險管理部門,以及其他部門之間的協作關系。
第四,內控合規文化一定要強調良好的職業操守。提升員工素質和職業道德意識是構建有效風險控制過程的關鍵。
強化基層銀行合規文化建設,推進建立風險防範長效機制的建議
如何做好內控文化建設,可以考慮從以下方面著手,強化基層銀行內控合規文化建設,進一步推進基層銀行風險防範長效機制的建立:
(一)形成科學有效的內控合規文化建設制度體系。一是要保證制度的科學性。在制度體系的規劃層面,劃分層次,力求簡潔,使得各項制度有適用范圍的清晰界定和執行效力高低的明顯順序;建立制度制定的過程管理,形成固有的流程和許可權;完善制度使用效果的信息收集和傳導反饋機制;周期性評審、修訂、梳理和清理制度,保持制度持續有效。要強調制度執行的嚴肅性。
(二)積極引導對內控合規文化的深度認同。激發員工樹立操作風險的防範和規范意識,使員工明確,首先,風險的防範是銀行核心競爭力的本質體現,是銀行持續健康發展的重要基礎,而一個強大的銀行是實現個人利益的根本保證,因此,銀行風險防範符合共同的價值觀。其次,風險自始至終是與業務活動相伴的一個持續的長期過程。第三,風險分布於銀行的所有工作崗位,這種分散化性決定了每一個業務點都是操作風險點,操作風險無處不在,每一名員工都是防範操作風險的第一責任人,其行為的合規與否將直接決定操作風險控制的成效。
(三)形成細節決定成敗的文化約束。銀行風險的發生是難以避免的,但是,依靠員工的敬業精神和專業態度,風險事件及案件發生的概率和造成的損失是可以降低的,這種敬業精神和專業態度就體現在細節上。「千里之堤,潰於蟻穴」,一些大案要案之所以得逞,都是日積月累的結果。「魔鬼在細節中」,一時的違規,可能形成不了損失,但卻埋下了風險的種子,如果不能及時制止,就會生根發芽,形成毒瘤。風險的防範就是要樹立和強化「違規就是風險」的思想觀念,養成扎實的工作作風,從小處著手,從點點滴滴做起,兢兢業業做好、做細一切工作,使管理不留死角。
(四)嚴格隊伍管理築牢內控合規文化基石。從國內外銀行業發生的風險事件誘因來看,道德風險佔了很大比重。銀行作為經營貨幣的特殊企業,這種行業特點決定了銀行工作人員必須要有良好的職業操守,形成較強的自我約束能力,如果員工的職業操守出了問題,自律行為減弱,道德風險隨時產生,那麼即使最嚴密的管理制度,往往也會失去應有的效力。培養員工良好的職業操守,必須從職業道德、文化知識、業務技能和現代人格塑造等方面全面提高員工素質。以管理來激發員工的積極性,使員工有更多的機會參與管理與決策,以主人翁的態度對待工作,從而表現出高度的職業責任心和良好的職業素質,克服違規行為的發生。基層行必須加快內控合規文化建設步伐,促進農發行安全、穩健、快速的發展。
5. 如何理解風險管理,內部控制,風險控制三者之間的關系
每個企業有不同的發展目標,在實現目標的過程中有很多不確定性因素,這種不確定性就是風險。
首先,要辨識影響企業目標達成的種種風險;
其次,對種種風險進行評估,並根據企業的風險承受度,採取應對措施,應對措施包括有風險承受(就是不採取措施控制此風險)、風險分擔(將風險分擔給其他第三方)、風險轉移(將風險轉移給第三方)、風險規避(就是不從事這業務了)、風險控制(採取控制措施去降低風險,降低到企業可承受的范圍內)、風險對沖,等等。
再次,企業決定要對此風險進行管理,就採取內部控制的方式進行,也就是內部控制是實現風險控制的落地手段。
最後,還要對種種風險進行監控。
好了,針對題目回答。風險管理,就是包括了風險辨識、評估、應對、監控等等一系列的動作。風險控制,就是風險應對策略的其中一種,就是為了降低風險到企業風險承受范圍內。內部控制,就是實現風險控制的落地手段,當然不僅僅包括流程和制度的規范,也包括了職責分離、業務授權、分權等方式。
6. 風險內控機制的發展歷程
一、萌芽期——內部牽制
內部控制,作為一個專用名詞和完整概念,直到本世紀30年代才被人們提出、認識和接受。但在此前的人類社會發展史
中,早已存在著內部控制的基本思想和初級形式,這就是內部牽制(Internal
check)。例如,在古羅馬時代,對會計賬簿實施的"雙人記賬制"--某筆經濟業務發生後,由兩名記賬人員同時在各自的賬簿上加以登記然後定期核對雙方
賬簿記錄,以檢查有無記賬差錯或舞弊行為,進而達到控制財物收支的目的,即是典型的內部牽制措施。
二、發展期——內部會計控制與內部管理控制
1934
年美國《證券交易法》,首先提出了「內部會計控制」(Internal accounting control
system)的概念。審計程序委員會(CAP)下屬的內部控制專門委員會1949年對內部控制首次做出了如下權威定義:「內部控制是企業所制定的旨在保
護資產、保證會計資料可靠性和准確性、提高經營效率,推動管理部門所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施」。1953年10
月,審計程序委員會(CAP)又發布了《審計程序公告第19號》(SAPNo.19),將內部控制劃分為會計控制和管理控制。
1972
年,美國審計准則委員會(ASB)在第1號公告(SASNo.1)中,對管理控制和會計控制提出今天廣為人知的定義:(1)內部會計控制。會計控制由組織
計劃以及與保護資產和保證財務資料可靠性有關的程序和記錄構成;(2)內部管理控制。管理控制包括但不限於組織計劃以及與管理部門授權辦理經濟業務的決策
過程有關的程序及其記錄。這種授權活動是管理部門的職責,它直接與管理部門執行該組織的經營目標有關,是對經濟業務進行會計控制的起點。
三、成熟期——內部控制結構和內部控制整體架構
1.內部控制結構(Internal Control Structure)
1988
年4月美國注冊會計師協會發布的《審計准則公告第55號》(SAS
N0.55),規定從1990年1月起以該文告取代1972年發布的《審計准則公告第1號》。該文告首次以內部控制結構(Internal
Control Structure)一詞取代原有的「內部控制」
2.內部控制整體架構(Internal
Control一Integrated Framework)1992午,美國"反對虛假財務報告委員會"(National Commission
on Fraulent Reporting),所屬的內部控制專門研究委員會發起機構委員會(Committee of Sponsoring
Organizations of the Tread-way
Commission,簡稱COSO委員會),在進行專門研究後提出專題報告:《內部控制一一整體架構(Internal
Control一Integrated
Framework)》,也稱COSO報告。參與COSO報告的主要機構包括美國注冊會計師協會,內部審計師協會,財務經理協會,美國會計學會,管理會計
協會。)
COSO報告指出:內部控制是一個過程,受企業董事會、管理當局和其他員工影響,旨在保證財務報告的可靠性、經營的效果和效率以及現行法規的遵循。它認為內部控制整體架構主要由:
控制環境(control environment)
風險評估(risk assessment)
控制活動(control activities)
信息與溝通(information and communication)
監督(monitoring)
2004
年10月,COSO委員會對《內部控制一一整體架構(Internal Control一Integrated
Framework)》做了進一步的延伸和擴展,提出了《企業風險管理——整合框架((Enterprise Risk
Management一Integrated Framework)》。
四、我國內部控制制度歷史沿革
1999年10月31日,修訂後的《會計法》首次以法律的形式對建立健全內部控制提出原則要求。其中,第四章《會計監督》第27條要求,各單位應當建立、健全本單位內部會計監督制度。
2001年6月22日,財政部發布《內部會計控制規范——基本規范(試行)》、《內部會計控制規范——貨幣資金(試行)》。
2006年5月17日,證監會發布《首次公開發行股票並上市管理辦法》。第29條規定「發行人的內部控制在所有重大方面是有效的,並由注冊會計師出具了無保留結論的內部控制鑒證報告」。這是中國首次對上市公司內部控制提出具體的要求。
2006年6月16日,國資委發布《中央企業全面風險管理指引》,對內控、全面風險管理工作的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理文化、風險管理信息系統等進行了詳細闡述。
2006年7月15日,財政部發起成立了企業內部控制標准委員會;中國注冊會計師協會也發起成立了「會計師事務所內部治理指導委員會」。
2007年2月1日,證監會發布《上市公司信息披露管理辦法》,明確提出上市公司必須建立信息披露內部管理制度。
2007年3月2日,企業內部控制標准委員會公布《企業內部控制規范——基本規范》和17項具體規范的徵求意見稿,廣泛徵求意見。
2008年6月28日,財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》。一並公布的還有《企業內部控制評價指引》、22項內部控制應用指引以及《內部控制鑒證指引草案》,公開徵求意見。
7. 審計,內控,風險管理,三者是什麼關系
內部審計、內部控制和風險管理三者之間相互依存,相互作用,形成一個有機的整體,貫穿於企業經營管理的始終,共同服務於企業經營、戰略日標的實現。風險管理為內部控制和內部審計提供了基礎和前提,也為內部審計和內部控制指明了努力的方向,內部控制為風險管理提供了控制乎段,也為內部審計提供了審計對象;內部審計不僅直接以風險管理和內部控製作為檢查和評價的對象,而且通過審查、評價幫助風險管理和內部控制的完善和優化。
風險是指未來的不確定性對企業實現其經營目標的影響,如何有效的辨識、分析、評價,並適時採取有效措施防範和控制這些風險,便構成了風險管理的內容。這里企業面臨的風險包括內部風險和外部風險兩類。
內部控制是指由董事會、監事會、經理層和全體員工實施的旨在實現控制目標的過程,主要是指對企業內部風險的控制。
內部審計是一項獨立、客觀的咨詢活動,用於改善企業的運作並增加其價值。通過引入一種系統的、有條理的方法去評價和改善風險管理、控制和公司治理流程的有效性,內部審計可以幫助一個機構實現其目標
有這樣一個例子,可以較為形象的說明風險管理、內控、內部審計三者之間的關系,某人開車從A地到B地去,那麼他的目標就是在保證安全的前提下盡快到達目的地。
在這里,把汽車作為一個主體,那麼在由A到B的過程中,存在各種不確定因素影響這一目標實現,即存在各種風險,既包括來自車輛自身的內部風險,對於汽車自身而言的風險無處不在,如車身質量、油電系統、動力系統、制動系統等都會影響由A到B目標的實現。也包括汽車之外的風險,如天氣、道路狀況、其他車輛等。概況起來說,存在內部風險和外部風險。因此,為了順利到達,必須採取相關措施,來保證這一目標的實現。
首先,從車輛本身角度來說,強化車身結構,保證車輛整體性,限制最高車速,進行事前控制。
需要加裝剎車、ABS等制動保障系統,胎壓監測、防爆胎系統等進行事中管控;加裝安全氣囊等進行事後控制。
制定、掌握正確的駕駛方法、流程,通過各種法律、法規加強對駕駛人員的監管和獎懲。
以上基於車輛的控制,被視為內部控制。
其次,除了汽車自身的存在的各種風險,天氣、道路狀況、其他車輛等外部風險也可能影響到出行目標的實現,對此,可以通過提前觀看天氣預報、收聽道路信息等,進行提前掌握相關信息,並採取相應防範和應對措施也就是對外部風險的管控。
從以上可以看出,既包括內部控制,也有外部風險管理,這些構成了風險管理。
內部審計就是識別、分析存在的各種分析因素,檢查、評佑,內部控制、風險管控的有效性,定期檢查風險情況、管控措施的有效性及剩餘風險等,以此來改進、完善風險管控水平和能力,以便目標更好的實現。
對於企業而言,正因此存在各種風險影響經營目標的實現,因此需要加強內部控制,從內部管理的角度來規范各項流程、制度等,提高內部管理的水平和能力,規避、降低各種存在的風險,提升企業的績效。因此風險的存在是內部控制產生、發展的主要因素。但是,內部控制並不等同於風險管理,企業面臨的風險包括內部風險和外部風險,內部控制只能控制一部分內部風險,對於政策變化風險、經濟環境風險等外部風險,內部控制很難達到一個好的控制效果,需要進行風險的辨識、分析、評價,採取風險管控措施來規避、降低這些風險。也就是說,內部控制是風險管理的一個重要手段和組成部分,風險管理是比內部控制更廣泛、更全面的管理理念。
從企業管理的角度看,內部審計與內部控制之間是緊密聯系,二者共同為企業績效目標的實現提供了有效保障。一方面,內部審計是內部控制的重要組成部分,通過對內部控制的檢查、評價,不斷提升內部控制的效率和效果,完善企業的內部控制體系,進而提升企業的管理水平;另一方面,內部控制是內部審計的直接對象,良好的企業內部控制,可以為內部審計提供良好的審計環境,提高內部審計的質量。
企業在生產經營過程中,風險管理和內部審計也是相互聯系,密不可分的。面對各種內外部風險,企業通過有效的風險管理,辨識、分析、評價存在的各種風險,並採取措施,規避、降低風險,將風險控制的可承受的范圍之內,保證企業經營目標的實現。而內部審計,則獨立的對風險管理的過程進行審查,通過對風險管理有效性和剩餘風險的檢查、評價,不斷改進、完善風險管理,提升風險管理的效率和效果,保證企業經營目標的實現。因此,內部審計是風險管理系統的重要組成部分,同時又具有獨立地位,是對風險管理的監控。
8. 如何開展內部控制和風險管理工作
1.
要創造良好的 控制環境,注重建立具有風險意識的 企業文化。
2.
要有強烈的 風險意識和 內控責任。風險管理的起點是 風險識別,是進行有效風險管理的基礎和關鍵。
3.
要充分利用內控規范並使其得到不斷地優化。
9. 內控風險和風險管理有何區別
《企業內部控制基本規范》及其配套指引,充分吸收了全面風險管理的理念和方法,強調了內部控制與風險管理的統一。內部控制的目標就是防範和控制風險,促進企業實現發展戰略,風險管理的目標也是促進企業實現發展戰略,二者都要求將風險控制在可承受范圍之內。因此,內部控制與風險管理二者不是對立的,而是協調統一的整體。
10. 合規管理,內部控制,全面風險管理有什麼區別
作者:劉寧寧
鏈接:http://www.hu.com/question/26532559/answer/40181214
來源:知乎
著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載請註明出處。
第一,合規管理有廣義,狹義之分。狹義的合規,是指對外部法規的遵循。
狹義的合規,主要是依據銀監會《商業銀行合規風險管理指引》,「規」主要是指銀行外部的法律法規。
第三條 本指引所稱法律、規則和准則,是指適用於銀行業經營活動的法律、行政法規、部門規章及其他規范性文件、經營規則、自律性組織的行業准則、行為守則和職業操守。
本指引所稱合規,是指使商業銀行的經營活動與法律、規則和准則相一致。
本指引所稱合規風險,是指商業銀行因沒有遵循法律、規則和准則可能遭受法律制裁、監管處罰、重大財務損失和聲譽損失的風險。
廣義的合規,「規」還包括銀行內部的規章制度。
第二,內部控制要同時考慮外部法規、內部制度。從這個意義上,內部控制與廣義的合規類似。
根據《商業銀行內部控制指引》(2014)
第四條 商業銀行內部控制的目標:
(一)保證國家有關法律法規及規章的貫徹執行。
(二)保證商業銀行發展戰略和經營目標的實現。
(三)保證商業銀行風險管理的有效性。
(四)保證商業銀行業務記錄、會計信息、財務信息和其他管理信息的真實、准確、完整和及時。
第三,控制風險是合規管理、內部控制的都共同目標。 但是,內控的目標不光是控制風險,企業內部經營效率效果評價、流程優化乃至企業文化都屬於內控范疇。
第四,控制風險的手段之一,是定下行為規則,在規則內行事,制度就是一種規則。但是,是否符合了制度就能控制風險?顯然不是。這也是銀行內控管理、合規管理的尷尬之處。