内控风险评估体系建设
㈠ 事业单位“内部控制风险评估报告”怎么写
报告如下:
风险评估活动组织情况:
(1)工作机制:
本次风险评估活动,是在单位内部控制工作领导小组的领导下,由财务科具体组织实施的。为完成工作,经单位领导同意,财务科从办公室、人事科、监察室抽调相关工作人员组成内部控制风险评估小组,专门从事此次风险评估活动。
(2)风险评估范围:
本次风险评估所涉及的业务范围分为:单位层面风险和业务活动层面风险。单位层面风险主要包括以下三个方面:
组织架构风险:单位内部机构设置不合理、部门职责不清晰、内部控制管理机制不健全等情况导致的风险;
经济决策风险:单位经济活动决策机制不科学,决策程序不合理或未执行导致的风险;
人力资源风险:单位岗位职责不明确、关键岗位胜任能力不足等。
㈡ 企业内部控制建设中风险评估的程序是什么
1.制定企业内控管理程序,或者运营管理程序 。
2.评估检查企业的授权管理系统专 。属
3.潜在利益冲突调查 。
4.编制年度内控审计指导,实施内控审计 。
5.组织风险评估 。
6.内控问题调查(ICRQ)。
7.舞弊渎职等行为调查 。
8.评价考核内控工作 。
9.参加公司董事会会议,对下属企业总经理、财务总监在执行内控政策和遵循授权管理方面的情况提出奖惩建议 。
10.组织保险业务 。
11.培训企业高级管理人员 。
12.内控工作报告 。
过程中要注意的几点:
1.与企业战略目标保持严格一致 。
2.明确实现目标的具体标志 。
3.基于企业实际需要的准确定位 。
4.明确内控工作理念 。
5 .内控战略目标确定过程必须经过所有者或绝大多数核心管理层的批准和确认。
㈢ 内部控制方法与风险评估
一、地勘单位风险评估流程
(一)定期评估机制的建立
地勘单位在风险评估过程中要考虑外部环境和内部条件的变化,建立经济活动风险定期评估机制,对经济活动存在的风险进行全面、系统和客观评估。经济活动风险评估至少每年进行一次;外部环境、经济活动或管理要求等发生重大变化的,应及时对经济活动风险进行重估。
(二)成立组织机构
该机构主要明确以下几个问题:其一,谁牵头建设内部控制制度体系?其二,谁参与内部控制制度体系的建设;其三,谁监督内部控制制度的执行、落实?
地勘单位开展经济活动风险评估应当成立风险评估工作小组,单位领导担任组长。经济活动风险评估结果应当形成书面报告并及时提交单位领导班子,作为完善内部控制的依据。地勘单位内部控制制度建设组织与方法流程,如图22-1所示。
图22-1 地勘单位内部控制组织与方法流程图
二、地勘单位内部控制方法
(一)不相容岗位相互分离
不相容岗位是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和弊端行为的岗位。事业单位不相容岗位分离的核心是“内部牵制”,它要求每项经济业务都要经过两个或两个以上的部门或人员的处理,使得个人或部门的工作必须与其他人或部门的工作相一致或相联系,并受其监督和制约。
例如,仓库保管员负责原材料的收、发、存和管理工作,并负责登记原材料的数量,而相关的账务处理则应由会计人员负责。假设:A—采购申请;B—采购审批;C—采购验收;D—费用支付申请;E—费用支付审批;F—应付账款的审批;G—应付账款的入账。不相容岗位如表22-1所示。
表22-1 不相容岗位情况表
注:×表示不相容职责;○表示相容职责。
合理设置内部控制关键岗位,明确划分职责权限,实施相应的分离措施,形成相互制约、相互监督的工作机制。
(二)内部授权审批控制
地勘单位内部授权批准控制是由单位权力机构或上级管理者明确规定有关业务经办人员的职责范围和业务处理权限与责任,使所有的业务经办人员在办理每项经济业务时都能事先得到适当的授权,并在授权范围内办理有关经济业务,承担相应的经济责任和法律责任。地勘单位的内部授权审批控制要求明确各岗位办理业务和事项的权限范围、审批程序和相关责任,建立重大事项集体决策和会签制度。地勘单位的相关工作人员应当在授权范围内行使职权、办理业务。
内部授权批准控制要求地勘单位规定各级管理人员的职责范围和业务处理权限。各级管理人员在其职责范围和业务处理权限以内,不需请示便可处理业务,这样可以尽快地进行业务处理,避免发生推诿的现象。同时,授权控制也要求明确各级管理人员所承担的责任,使他们对自己的业务处理行为负责,以加强工作的责任心。
地勘单位内部授权控制可以分为一般授权和特殊授权。一般授权是授予单位有关人员处理正常范围内的经济业务的权限:特殊授权是授予单位有关人员处理超出一般授权范围的特殊业务的权限。
(三)归口管理
归口管理是指按单位赋予的权利和承担的责任、各司其责,按特定的管理渠道实施管理。地勘单位归口管理的目的是为了防止重复管理、多头管理,即要求该管的一定要按责任划分管好,不要缺位;不该管的不要乱干预;超出责任权限范围的,不要越位管理。地勘单位应根据本单位实际情况,按照权责对等的原则,采取成立联合工作小组并确定牵头部门或牵头人员等方式,对有关经济活动实行统一管理。
(四)预算控制
预算控制是指通过编制预算并以此为基础,执行和控制地勘单位经营活动并在活动过程中比较预算和实际的差距及原因,然后对差异进行处理。预算控制通常根据预算规定的收入与支出标准,来检查和监督各部门活动,以保证组织经营目标的实现,并使费用支出受到严格有效约束的过程。地勘单位应该强化对经济活动的预算约束,使预算控制贯穿于单位经济活动的全过程。
(五)财产保护控制
地勘单位应该建立资产日常管理制度和定期清查机制,采取资产记录、实物保管、定期盘点、账实核对等措施,确保资产安全完整。
(1)资产记录。地勘单位应妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁。对重要的文件资料,应当留有备份,以便在遭受意外损失或毁坏时重新恢复,这在计算机处理条件下尤为重要;
(2)定期盘点和账实核对控制。地勘单位应定期对实物资产进行盘点,并将结果与会计记录进行比较。盘点结果与会计记录如不一致,可能说明资产管出现错误、浪费、损失或其他不正常现象,应当分析原因、查明责任、完善管理制度;
(3)实物保管控制。财产保护控制要求地勘单位严格限制未经授权的人员对资产的直接接触,只有经过授权批准的人员才能接触该资产。一般况下,地勘单位对货币资金、有价证券、存货等变现能力强的资产,必须限制无关人员的直接接触。
(六)会计控制
建立健全本单位财会管理制度,加强会计机构建设,提高会计人员业务水平,强化会计人员岗位责任制,规范会计基础工作,加强会计档案管理,明确会计凭证、会计账簿和财务会计报告处理程序。
(七)单据控制
要求单位根据国家有关规定和单位的经济活动业务流程,在内部管理制度中明确界定各项经济活动所涉及的表单和票据,要求相关工作人员按照规定填制、审核、归档、保管单据。
(八)信息内部公开
信息内部公开是指地勘单位向单位内部公开或开放自己所拥有的信息,使其他个人或部门可以基于任何正当的理由、采用尽可能简便的方法获得上述信息。地勘单位应建立健全经济活动相关信息内部公开制度,根据国家有关规定和单位的实际情况,确定信息内部公开的内容、范围、方式和程序。
地勘单位信息内部公开制度在一定程度上能够抑制单位内部腐败的发生,进而实现事业单位内部控制与管理的有效性。
三、地勘单位层面及业务层面风险评估关注重点
(一)单位层面风险评估重点内容
事业单位进行单位层面的风险评估时,应当重点关注内容见表22-2。
表22-2 单位层面风险评估关注点
续表
(二)业务层面风险评估关注重点
地勘单位进行经济活动业务层面的风险评估时,应当重点关注对预算控制与管理、收支控制与管理、政府采购控制与管理、资产控制与管理、建设项目控制与管理、合同控制与管理等情况实施的评估。
具体见表22-3。
表22-3 业务层面风险评估关注点
㈣ 企业内控中怎样做好风险评估工作
不知道您来是什么行业,推荐源您去看看相关的文档,如有具体问题再进行探讨:
http://wenku..com/link?url=_Rh-
㈤ 哪一个不是coso内控体系中的风险评估要素
楼上的回答有误。CERM分为8要素:内部环境、目标设定、事项识别、风回险评估、风险应对、控制活动答、信息与沟通、监控COSO分为5要素:控制环境、风险评估、控制活动、信息与沟通、监控CERM与COSO是两个概念。一个是风险管理,一个是内部控制,虽然要素差不多,而且都是属于同一个范畴。但是理论的范围差别很大。
㈥ 哪一个不是COSO内控体系中的风险评估要素
哪一个不是COSO内控体系中的风险评估要素?(D)A、目标确认B、风险评估C、风险应对D、监督
㈦ 建立风险评估体系中有无指标将风险量化
风险评估是识别和分析相关风险并确定应对策略的过程,是选择恰当的控制活动的关键,它能够指明内部控制措施实施的方向。近年来,中国人民银行各分支机构不断提高风险防范意识,建立健全了各项内控制度,特别是《中国人民银行分支机构内部控制指引》下发以来,基层人民银行更加重视内部控制机制建设。然而,由于缺乏科学、有效的风险评估体系,不能正确评估本单位的相关风险,采取的防范措施不能消除或降低风险,制约了内控机制建设的发展。因此,亟待建立符合基层人民银行实际的先进的风险评估体系。
一、建立人民银行风险评估体系的必要性
(一)是人民银行内控机制建设的要求。《中国人民银行分支机构内部控制指引》明确规定:“分支行应通过科学、有效、可行的风险识别、分析和应对,对相关风险进行持续监控和有效管理,将相关风险控制在合理的范围内”。同时要求“分支行应结合本单位的实际情况和特点,对所有相关风险进行有效识别和科学界定,建立风险评估框架,正确评估本单位的相关风险”。而目前此项工作尚处于起步阶段,没有成型的模式,没有相关标准,更没有形成科学、规范的体系,大家对风险的识别还停留在经验判断、主观分析上,很难全面、准确评估本单位的相关风险。
(二)是人民银行有效履职的需要。随着人民银行职能的调整,宏观调控职能的加强,征信管理、反洗钱等新业务的出现,现代化支付系统等信息技术的建设发展,确立了人民银行在整个金融体系中的核心地位。但宏观调控政策中的传导风险、行政管理中的法律风险、业务现代化发展中的信息技术风险、履行职责中的效率风险等各种风险也随之而来,并与日俱增,而目前有的基层行还停留在对会计国库、货币发行、财务收支等传统风险的防范上,对这些新型风险认识不足,更没有采取有针对性的措施加以防范,以至出现了因行政执法不当被提起行政诉讼,因管理不善,重要业务信息系统被病毒破坏,因未严格按照有关规定运用货币政策工具,影响货币政策贯彻实施等问题。因此,人民银行要实现货币政策目标,维护金融稳定,提供优质金融服务,必须建立风险评估体系,防范各种风险。
(三)是正确评估各种风险的需要。通过建立风险评估体系,明确风险评估标准,规范评估程序,能有效地改变在以往的评估活动中,凭个人主观印象随意评估的现象。风险评估体系运用科学和技术手段,通过对形成风险的各种因素及其相互关联关系进行分析,从而实现对风险进行客观评估,对风险的影响进行科学预测,动态的反映内控措施与风险隐患的关系,有利于采取最适当的控制措施,使风险降到最低。
(四)是实施风险导向审计的前提。随着央行内部审计工作的不断深入,审计方法应由传统的合规性审计向以加强和改善组织风险管理为目标的风险导向审计转变。风险导向审计就是以被审单位的风险评估为基础,综合分析评审影响被审单位业务活动的各因素,并根据量化的风险水平确定实施审计的范围、重点,从而进行实质性审查的一种审计方法。可见能否对风险进行全面正确评估是风险导向审计的核心。
二、人民银行风险评估的种类
根据评估的主体、评估的目的、评估的方式、评估的内容、评估的深浅程度等不同的划分原则,风险评估可以划分许多种类。根据评估的主体可以分为业务部门自评和风险评估机构评估两种,业务部门自评是指人民银行各业务部门根据领导安排,依据相关评估制度和已经发布的标准对本部门进行风险自我评估;风险评估机构评估是指由专门的风险评估机构成员组成的评估小组开展的风险评估。根据评估的时间可以分为定期风险评估和不定期风险评估;根据评估的内容可以分为对单位整体风险的评估和对某项业务、某个岗位或工作流程的风险评估;根据评估的方式可以分为现场风险评估和非现场风险评估等。无论如何分类,名称是什么,评估的基本原理和基本程序是一样的,只有结合本单位的实际情况,选择适合自己的评估方式才能准确、高效地把握风险,得到正确的评估结果。
三、人民银行风险评估的程序
(一)成立风险评估组织机构。基层人民银行必须建立行长直接领导下的风险管理委员会,负责领导、组织、协调本单位的风险管理工作。风险管理委员会应建立严密的风险管理流程,一般包括:(1)制定风险管理政策、制度和程序并定期进行完善。(2)明确风险管理的实施主体、对象和内容。(3)明确风险管理的方式与要求。(4明确规定风险的极限,并且定期进行检查以确保本单位的风险承受与各项业务发展相一致。(5)在职责和分工明确的情况下,保持业务、行政管理和风险管理之间的良好沟通和协调。风险管理委员会下设风险评估领导小组,具体负责风险评估工作计划的制定、指标体系的设定、人员培训等,其主要成员应由具有丰富的业务知识和专业技能,并了解风险评估程序和方法的人员组成。
(二)制定有效的风险评估计划。在正式进行风险评估之前,应制定一个有效的风险评估计划,明确风险评估的目标,限定评估的范围,建立系统的风险评估方法,并采取有效措施来采集风险评估所需的信息和数据。具体来说,风险评估计划应该包括以下内容:(1)开展风险评估活动的目的,即通过评估期望得到的结果。(2)风险评估的范围,确定风险评估是对本单位各项业务的综合评估,还是对某项业务的特定风险评估,或者是对某一突发事件的评估。此外,必须定义风险评估的物理边界和逻辑边界。物理边界定义一项具体业务或一个部门,而逻辑边界则要定义评估的广度和深度。(3)风险评估行动计划,确定风险评估的途径和方法,计划评估步骤。(4)风险评估标准,事先明确本行进行风险评估的标准和等级。(5)风险评估适用表格,为风险评估过程拟订标准化的表格、模板、问卷等材料。
(三)做好实施风险评估前的准备工作。制定风险评估计划之后,首先要为正式实施风险评估做准备。风险评估的准备过程是进行风险评估的基础,是整个风险评估过程有效性的保证。准备阶段的主要工作就是通过多种途径去采集信息,包括:人员访谈、调查问卷、文件审核(包括政策法规、内控制度、业务流程、操作指南、监督检查记录等)、以前的审计和评估结果、现场检查等。通过以上途径采集的信息,可以供风险评估各个阶段的活动分析使用。
(四)风险识别。该阶段要求找出所有重大的风险,形成一个风险列表,对该列表的风险进行分类,并在分类的基础上进行风险合并,确保所有的风险均被识别和评估。在列出所有重大的风险后,还应考虑这些风险可能产生的影响和可能的后果,分析哪些人会受到什么影响,会造成多大的资产损失等。1996年,人民银行总行编写了《中国人民银行岗位风险防范指南》,其中详细列出了各级分支行业务岗位存在的风险点,并对可能产生的影响和后果进行了详细列示。同时,人民银行部分分支机构也对内部重点岗位、要害部位和关键环节的风险进行了排查,并就其潜在风险、防范措施、责任主体及责任追究进行了系统分析,为进行风险识别提供了很好的参考依据。
(五)确定风险等级。列出所有的风险以后,接下来要确定不同风险的优先次序或等级,每一个被识别的风险均要确定风险等级,对于风险级别高的应采取措施重点防范。风险等级由以下两方面组成:一是风险影响所导致的最坏的并可确定的严重程度。二是风险产生的可能性。划定的等级可以是定性的,如《中国人民银行岗位风险防范指南》按定性的方式将岗位风险评估标准分为正常、基本正常、关注、重点关注四级,也可以是半定量的,半定量的评估可用数字来表示风险等级,以判断风险是否在可接受的范围内。风险等级的确定应得到本行风险管理委员会的评审并批准。
(六)确定控制措施。在对风险等级进行划分后,应根据本行实际,确定风险控制措施,对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。风险处理的方式包括:消除风险、降低风险、转移风险、接受风险。在风险处理方式及控制措施的选择上,应注意预防性控制措施与检查性控制措施之间的关系,在预防性控制不足以确保风险得到降低的情况下应追加检查性控制措施。一般情况下,风险控制措施应优先考虑消除风险,再考虑降低风险,最后考虑采取个体防护或应急预案等。
(七)审查残余风险。在所有控制措施到位后,还应对残余风险进行评估,判定风险是否已经降低到可接受的水平,对于不可接受范围内的风险,应在选择了适当的控制措施后,对残余风险进行评价。残余风险的评价应依据风险管理委员会确定的评估标准进行,选择的控制措施和已有的控制措施应当考虑降低风险发生的可能性,某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内,应考虑是否接受此类风险或增加控制措施。为确保所选择控制措施的充分性,必要时可以进行再评估,通过控制措施实施的有效性,评价残余风险是否可以接受。
(八)记录风险结果。风险评估过程需要形成相关的文件及记录,上述风险评估的每一步都要形成完整的评估记录,并应经过审核,确保评估结果的真实性。在汇总分析所有评估记录的基础上,形成评估报告。人民银行风险评估报告一般应包括评估内容、评估日期、评估资料、评估依据、评估目的、评估小组成员简介、评估对象基本情况、评估确认存在的风险和评估小组建议采取的措施等内容,评估报告须经过评估小组所有成员签字认可,评估小组负责人应签署总体评估意见。
四、风险评估的基本方法
虽然已经有许多标准化的评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据人民银行的工作性质和业务特点,制定个性化的评估方法,使得风险评估更具有可操作性。最常用的风险评估方法有定性分析和定量分析。定量分析是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素都被赋值,风险评估的整个过程和结果就都可以被量化了。简单说,定量分析就是试图从数字上对风险进行分析评估的一种方法。但是,在实际工作中,由于定量分析所依据数据的可靠性很难保证,再加上数据统计缺乏长期性,计算过程又容易出错,这就给分析带来了很大困难,所以,风险的正确评估和量化缺乏可操作性。定性分析是目前采用最为广泛的一种方法,它带有很强的主观性,往往需要凭借分析者的经验和直觉,或者相关的标准和惯例,为风险的大小或高低程度定性分级。定性分析操作起来相对容易,但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观;此外,定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释,所以,应根据本单位具体的情况来选择定性或定量的分析方法。
参考资料:
[1] 《中国人民银行分支行内部控制指引》。
[2]王洪章:《中国人民银行岗位风险防范指南》,中国金融出版社2006年版。
[3]阎庆民:《中国银行业风险评估及预警系统研究》,中国金融出版社2005年版。
[4] 中国内部审计协会:《风险管理审计》,《内部审计具体准则第16号》。
[5] 靳建堂:《风险管理审计初探》,《中国内部审计》2006年第1期。
㈧ 如何进一步提高内部控制风险评估
企业内部控制应当遵循全面性、重要性、制衡性、适应性和成本效益原则制定。对企业的所有业务重新树立,优化内部环境,搞好风险评估,加强控制活动,确保信息畅通,强化内部监督,促进企业实现发展战略。
1、完善制度建设、实施内部控制。以《企业内部控制规范-基本规范》、《企业内部控制基本规范》、《企业内部控制配套指引》等文件为依据,结合企业实际情况,全面梳理原有管理制度,在符合内部控制要求的前提下,着眼于管理创新、建立适合本企业的内部控制管理体系,明确相关部门人员的指责和权限,推行全面管理,提倡全员参与,建立彼此牵制、彼此连接、彼此制约的内控制度。
2、明确控制目标,优化内部控制环境。内部控制制度重点是围绕会计核算和会计监督环节来设置的。一般说来,健全的内部控制制度应能有效预防错误和舞弊的发生。即使发生了,也容易及时发觉和纠正。因此,在设计时必须明确控制目标,充分考虑各项内部控制制度是否符合内部控制基本原则,认真检查关键控制点是否进行了控制,所有的控制目标是否已达到。控制环境是指对建立或实施某项政策发生影响的各种因素,主要反映单位管理者和其他人员对控制的态度、认识和行动。企业内部控制应当建立在共同的道德规范的基础上,强调沟通和感情的交流,消除管理者和被管理者之间的隔膜,强调每一个人的积极性,形成真正意义上的团队精神。只有当企业凝聚起来一种文化氛围、企业价值观、企业精神、经营境界和广大员工所认同的道德规范和行为方式,才能为内部控制程序的执行创造良好的人文环境,也只有企业中的每一个员工目标明确,观念相同,内部控制才能更有效。
3、提高会计人员素质。会计人员素质是加强内部控制的关键,企业要通过科学合理的聘用、培训、轮岗、考核、奖励、晋升、淘汰等办法,提高财会人员整体素质。在聘用会计人员上,要制定严格的招聘程序,不仅要选择业务能力强的人,更要注意选择那些具有良好的道德观、价值观的人才。在会计人员安排上,要实行工作岗位轮换制,通过轮换及时发现存在的问题,抑制部分人员的不良动机。要建立考核、奖励、晋升、淘汰机制,定期对会计人员进行业绩、道德品质、思想操守等综合考核,奖优罚劣,充分激发会计人员的积极性和责任感。在培养人才上,不仅要定期进行业务培训,不断提升业务水平,更要注意其职业道德及法制观念的培养。
4、加强内部监督。企业内部控制是一个过程,这个过程是通过纳入管理制度及活动实现的。因此,要确保内部控制制度被切实地执行,且执行效果良好,其必须被监督。企业应设置内部审计机构或建立内部控制自我评估系统,加强对本企业内部会计控制的监督和评估,及时发现漏洞和隐患,并针对出现的新问题和新情况及内部控制执行中的薄弱环节,及时修正或改进。做到有章可循,违章必究,违规必罚,以罚促纠。
5、实施预算控制,提高内控水平。实行全面预算,搞好各业务事项的事前预测、事中控制、事后分析,将企业的经营目标转化为各生产厂、各部门、各岗位以至个人的具体行为目标。预算控制内容应涵盖企业经营活动的全过程,强化预算控制,通过预算的编制和考核预算的执行情况,动态分析执行结果,及时纠正偏差,确保预算执行到位。并与管理者的绩效工资挂钩,节将超罚,充分发挥预算的灵魂作用。
6、加强内外部信息交流与沟通,加强反舞弊机制。企业应建立建立上传下达的有效机制。通过建立组织机构制定岗位责任制来实现。还应注意信息沟通的有效性和及时性。重视和加强反舞弊机制建,通过各种方式,鼓励员工及企业利益方举报和投诉企业内部的违法违纪行为。企业还应注意于外部关系人以适当的形式进行及时沟通与反馈。比如于注册会计师、客户、供应商等。
7、会计电算化。会计电算化是现代会计发展的必然,因此我们要加快会计电算化建设,有效地加强会计内部控制与防范计算机风险。部分企业已实施ERP工程,在工作中要运用既定程序对各项会计业务进行检查,建立一套先进的会计内部控制信息系统,用现代化手段对会计数据进行整理分析。在应用软件开发中,设计会计业务处理程序时要将制约、监督等风险控制防范功能融人其中,使操作人员必须按照职责权限和有制约的操作程序才能进人系统处理会计业务,以达到防范技术风险和计算机犯罪。
总之,加强实施内部控制能够规范社会主义市场经济秩序,确保国民经济稳定、持续、健康地向前发展。有活力的内部控制制度应该是推动企业创新的制度,只有企业全体职工齐心协力,相互支持,相互激励,企业内部会计控制才能发挥应有的作用,才能促进企业健康有序发展。
为了进一步推动企业内控工作的深入发展,探索企业如何通过内控体系建设提升管理水平的思路与方法,帮助企业和金融机构解决内控专业人才匮乏的现实问题,提高内控人员和内部审计人员业务素质,中审网校与国际内控协会(The Internal Control Institute ,英文简称ICI)强强联合,将于2013年6月开展国际注册内部控制师资格认证考试。
㈨ 风险评估为什么属于内部控制,应该了解内部控制是风险识别和评估的一部分吧
风险评估是内部控制的一个环节,完整的内部控制流程包括识别风险、评估风险、控制措施、信息交流与沟通、监督等。
因此,只有经过风险评估,才能确定风险有多大,是否能承受,需要进行什么样的控制等后续工作。
1.在理论框架层面,完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。
2.在推进工作的步骤层面,从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。
(一)风险管理系统应与公司治理系统进行整合
风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)指出,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,高管和风险主管应当直接承担风险管理的责任,董事会则应积极参与增值型的风险管理活动,如在风险管理的过程中对管理层进行指导、授权和监督等活动。
(二)风险管理系统应与公司战略管理系统相整合
将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略,会引起不同的风险,也应采取不同的风险应对措施。因此,不同的战略模式将会导致在不同的领域配置风险管理的资源。
企业战略管理的最终目标是为了实现企业价值的持续增长,企业价值创造路径应围绕“股东价值←客户价值←业务流程←核心资源”这一路径展开,该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值,必须具有高效、快捷和质量可靠的业务流程,这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径,企业风险管理也应遵循这一路径而展开。
总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。