对公司内控与风险管理工作的建议
㈠ 如何加强上市公司内部控制管理的建议及思考
博得听说-2017年最佳知识平台-每天五分钟解决企业一个小问题
中国需要一个知识平台 中国首个解决中小企业资本困惑的知识平台
讲好中国企业故事 发出中国企业声音,结交拓展人脉
上市公司;内部控制;建议
内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。内部控制的目的在于改善经营管理、提高经济效益。企业内部控制是以专业管理制度为基础,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。
一、我国上市公司内部控制管理存在的问题
作为社会公众企业的上市公司,承载着股东财富增值的期望,承担着众多的社会责任,加上监管部门要求下的信息透明,以及市场约束力的增强,使企业内部面临着较多管理上的重点和难点。近几年,我国上市公司在内部控制体系的实施及评价等方面都有了积极的发展,如大部分上市公司在金融危机的形势下,提高了对内部控制和风险管理的重视程度,组织了内部控制的梳理工作,有针对性地加强管理;企业风险防范认识进一步加深;越来越多的上市公司开始编制并披露内控评价报告,推动内控理念和制度深入人心、落地生根。然而,就我国上市公司内控管理现状而言,普遍存在以下问题:
(一)内部控制环境不完善
在企业内部控制五要素中,内部环境是企业实施内部控制的基础,良好的内部环境对于内部控制的有效实施起到了非常重要的作用。目前中国上市公司根据《公司法》和《证券法》设立了股东大会、董事会、监事会以及一些专门的委员会,制定了相应的议事规程,但是由于股权高度集中和国有资产所有者缺位,内部人控制现象普遍存在,弱化了董事会、监事会的监督作用,公司治理结构不适当。另外,企业组织结构、企业文化和人力资源政策等方面的缺陷,也不利于内部控制发挥作用。
(二)风险意识薄弱
目前,我国大多数上市公司经营管理水平低,风险意识不高,风险管理机制不健全。主要表现在:缺少科学有效的风险评估机制,风险控制方法落后,多数企业的内部控制侧重于事中和事后控制,而对风险的事前预测和控制涉及较少。随着中国经济的发展,公司间的竞争越来越激烈,公司将面对更大的环境变化和生存风险。然而,从中国上市公司的现状来看,普遍存在着对形势和市场认识不足、过于自信与乐观以及想当然的盲目扩张现象,其风险意识没有提到应有的高度,更缺乏有效的辨认、分析和管理风险的机制,导致不少上市公司应变能力和抗风险能力较差。
(三)缺乏有效沟通,信息流通不畅
目前,中国大部分上市公司或多或少存在着公司内部、与监管部门之间信息沟通不畅的现象。具体表现在信息的上下向沟通中,普遍存在信息传递过程迟缓,信息在层层传达时发生歪曲,甚至遗失等现象;而且由于信息反馈机制不完善,上向沟通受阻,使上层管理者无法迅速获得第一手信息;由于下向沟通不及时,使得上层决策者以及管理者的最新信息没有及时传递到每一位员工,使公司决策没有及时得到落实。
(四)监督机制不健全
在当前经济发展阶段,中国大部分上市公司没有真正建立监督部门,上市公司中的监事会也没有起到其应有的作用,大部分上市公司的监事会成员没有达到应有的职业素养和专业素质的要求,甚至一部分监事会成员都是由公司管理层领导兼任,这样就从根本上限制了其作用的发挥,还有一些上市公司只是让内部审计部门充当监事会的作用,他们的监督作用也是微乎其微。
二、对于加强我国上市公司内部控制管理的建议及思考
(一)建立有效的企业法人治理结构,形成明确的权利制衡关系
一是改进“三权”制衡的体系,明确股东大会和董事会以及监事会的权力;二是切实保障两权分离。我国法律应该严格限制董事会与经理层的重合,并且应将重合的比例限制在一定的比例之内,同时也应该加强董事会的建设;三是加强董事会在内部控制体系中的作用。
(二)加强风险管理
强化风险管理,是现代企业内部控制的一个重要内容,对于上市公司而言,由于所有权与经营权分离、股权集中度较高,其风险管理也就显得更为重要。首先,上市公司的所有员工都必须树立风险意识,只有意识到了风险,才会主动加强内部控制,采取措施控制风险。其次,上市公司在经营过程中应加强风险管理,建立健全风险预测、风险评估、风险控制和风险约束机制,并且在技术上制定风险回避、风险转移和风险分散等管理策略,以有效防范和控制风险。同时,还要合理客观地评估企业现状和风险。上市公司更应密切关注内控指引的建设与更新,以正确把握政策要求,减少不必要的成本。同时,还要通过建立内部监督机构对企业高风险区域经常进行检查,来及时发现已存在的或潜在的风险。
(三)完善信息沟通系统
1、政府部门应积极以制度形式建立健全强制实行内部控制信息披露的准则和指南,规范上市公司内部控制信息披露的内容和格式,明确谁为内部控制信息负责和出台相应的处罚措施。
2、企业内部也应建立完整的内部控制制度体系和清晰的业务流程,合理地对公司各个职能部门和人员进行责任分工、控制和考核,对每一个部门的责任和利益明确界定,防止权力重叠,也避免出现权力真空。通过汇编内部管理制度、业务流程图、权限指引等,促进企业各层级员工明确机构设置和职责分工,正确行使职权。开设信息反馈渠道,确保员工在工作中遇到的问题可以及时报告和解决。
(四)对于上市公司制造虚假会计信息的行为加大处罚力度
企业应当增加制造虚假会计信息的一个成本,国家应加大对会计师事务所的处罚力度,使得注册会计师能够更为谨慎地执业,并保持执业的规范性和独立性。
㈡ 内控存在的问题及建议。
企业内部控制在企业发展过程中,是必不可少的,企业内部控制是关系到企业发展壮大乃至生存的非常重要的一个方面。针对中国企业发展的特征和特点,从如何面对企业风险以及如何克服自身在发展过程中的弱点出发,从人员配置到资源的有效衔接和业务流程的规范等各个环节进行梳理,找出它们的共性和规律,从而制定出基于风险管理的企业内部控制框架与设计,帮助企业做大做强,安全发展。
企业内控制度是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。旨在为实现经营的效果和效率、财务报告的可靠性、符合适用的法律和法规等目标提供保证。将内部控制结构分为控制环境、风险评估、控制活动、信息与沟通、监督5个要素。
㈢ 企业内部控制与风险管理的管理要点
构建风险管理下的内部控制体系的要点
3.1营造良好的内部控制环境
内部控制环境是内部控制实施的根本环境,是推动企业发展的动力,也是其他风险管理因素实施的基础,其对企业内部控制的构建与实施具有重大的影响,可以说企业的控制环境直接决定了其内部控制与风险管理的效率和效果。
(1)深化对内部控制的理解,树立风险管理理念。深化对内部控制的理解,首先应突破对传统的内部控制的理解,应认识内部控制不仅局限于会计层面,内部控制包含更高层次的战略目标,在电力设计企业向多元化经营、总承包和海外项目转型发展的过程中,就要从战略高度进行风险管理和内部控制。再者,无论是企业的管理层,还是企业的员工都应具有风险管理意识,并把风险管理意识贯穿于企业的生产经营过程中,包括业务管理、职能管理、质量与安全管理等各方面。风险管理理念的培养可以通过企业领导层的表率作用、相关的培训及相关的规章制度来实现。
(2)建立公司治理结构并充分发挥各机构职责。企业各层级各部门之间应分工明确,并相互监督、相互牵制。公司可以通过公司章程的规定及完善相关的激励约束机制来保障公司机构职责的实现。非常重要的一点是,电力设计企业的最高管理机构,要对内部控制的建立和实施负责。企业应下设内控控制与风险管理的建设、监督管理机构,各机构分别负责各方面的工作,并相互监督、相互制约。
5.1完善法人治理结构,为全面风险管理的内控体系建设创造一个良好的内部控制环境。建立一个健全的内部控制体系,实际上就是完善法人治理结构的体现,大多数电力设计企业设立了内部审计机构,但多数内部审计机构隶属于财务总监或总经理领导,因此将电力设计企业的内部审计机构升级为公司董事会审计委员的组成部分或工作部门,这样将进一步明确内部审计机构在电力设计企业内部控制方面的主体地位。
(3)培养员工的职业道德和胜任能力。企业员工是企业生产经营活动的执行者,员工良好的职业道德可以保证企业经营活动的顺利进行,可以避免舞弊事件的发生。员工的知识和技能必须与所在岗位所需能力相匹配,这是经营活动和内部控制活动得以有效运行的基本保障。为此,企业应以诚信等职业道德作为员工的行为准则,建立奖惩机制,加强员工的再教育,对关键岗位实行定期轮岗制。
3.2设定企业战略目标
企业应根据企业的使命或愿景来设定企业的战略目标,战略目标是企业的最高目标,其他目标为战略目标服务。企业根据战略目标再层层分解,并由各部门来落实。战略目标的制定应考虑企业的风险容量,企业实现战略目标所面临的风险应在企业风险容量之内。
3.3完善风险管理体系
企业应建立风险导向型内部控制体系,只有把风险管理落实到企业的各个环节,才能控制风险。完善企业风险管理体系,应关注一下几点:
第一,建立风险预警机制。企业应通过目标分析、过程分析等方法来识别影响企业目标实现的内部及外部的潜在事项,分清潜在事项是机会还是风险,明确风险预警标准。风险预警机制的建立对企业及时抓住发展机会,及时评估、处理风险具有重大意义。
第二,建立风险评估体系。企业应对已识别的风险进行进一步的分析与评估,分析潜在风险是固有风险还是剩余风险,分析风险发生的可能性及其影响,并关注重大风险。评估现有的内部控制对风险的适用性,是否需要追加程序等。在评估风险时应注意运用风险组合观。
第三,建立风险反应机制。风险应对是控制风险的关键步骤,在风险评估后,企业应针对风险发生的可能性、影响的不同程度,采取不同的应对措施,其中应特别关注重大风险。风险应对措施包括回避、降低、承担和分担风险。同时,在风险应对中要考虑成本与效率的问题。
3.4建立良好的控制活动
企业应建立良好的控制活动以确保管理层应对风险的各种措施得以有效执行,控制活动贯穿于企业各个部门,各个层面及其活动。控制活动应该包括:对员工绩效的分析与考核,部门的自我复核,对信息处理的控制(包括一般控制和应用控制),实物资产的控制,责任划分与不相容职位相分离控制。
3.5充分的信息与沟通
在经营过程中,企业应建立信息的传递和沟通以确保员工了解内部控制,明确自己的职责。同时通过对外部市场信息、政策信息、顾客信息、竞争对手信息的了解和掌握,通过与各方的沟通,有利于企业及时处理风险、抓住机会,实现更好的发展。企业可以通过员工手册及建立信息收集与处理系统来实现。
3.6建立内部控制监督与评价机制
对内部控制的监督与评价是确保内部控制制度得到有效执行的重要手段,同时有利于企业管理层及时了解内部控制存在的问题,可以为内部控制的改进提供建议,有利于内部控制体系的不断完善,进而帮助企业控制各种风险。内部控制监督与评价机制的建立主要包括内部和外部两个方面:
第一,企业应建立独立、权威的内部审计机构。内部审计机构的设置应与其他职能部门分离开来。内部审计机构应具有执行审计决定和审计结论的权利,可以建立具有较强独立性与权威性的董事会领导型或监事会领导型的内部审计机构。内部审计不应只局限于财务报表审计,应对企业资格内部控制系统进行全面的监督和评价,包括对企业财务信息、经营活动、控制活动进行审计及评价。同时应提高内部审计人员的职业道德和业务素质,及形成不同职务之间相互检查、监督的机制。
第二,提高外部监督与评价。由于内部审计主要对企业领导负责,所以内部审计具有固有局限性,可能会导致一些控制缺陷在权力干预下被掩盖,不利于企业内部控制的改善。所以通常需要独立的第三方参与企业的监督与评价,以实现监督的职能。首先,应完善内部控制信息披露制度,使企业接受政府、社会的广泛监督。再者,可以借助第三方审计力量,最常见的就是定期聘请注册会计师对企业内部控制设计及执行情况进行审计及评价,并出具评审报告。这也有利于监督企业内部控制的构建与实施,也有利于及时发现企业内部控制中存在的问题。
(2)风险评估
中石化根据企业的发展目标,由各部门收集全面的信息来确定企业的风险容量,并根据企业可能面临的内部风险和外部风险建立以内部控制为基础的风险评估和控制体系,对企业目标的实现有重大影响的关键环节进行全面的风险评估。针对各部门面临的风险和责任制定内部控制流程。中石化根据内部审计结果及在管理过程中发现的问题,不断对《内控手册》进行修订,各分(子)公司也不断修订实施细则。动态的风险评估与应对为企业实现目标提供保障。
(3)控制活动
中石化的控制措施有:不相容职务分离控制、授权审批控制(以授权指引为核心)、会计系统控制(建立了统一的财务管理信息系统)、资金支付控制、财产保护控制、信息技术控制(采用先进的ERP管理信息系统控制)、计划控制、预算控制(全面预算控制)、合同管理控制、运营分析控制和科学的绩效考核控制等。并将手工控制与自动控制相结合,将预防性控制与事中发现控制结合,建立了重大风险预警机制和突发事件应急处理机制。通过业务控制矩阵明确每个控制点的业务目标、风险、责任单位、不相容岗位、记录文档等,为内部控制责任的落实提供指导。对风险的描述就体现了全面风险管理的内部控制的要求。
中石化的《内控手册》保障了内部控制活动的进行,《内控手册》包含了采购、资产、信息管理、内部审计等18大类,59个业务流程,包含了企业经营管理活动的各个方面。
(4)信息与沟通
中石化采用先进的ERP管理信息系统,会计核算系统、资金集中管理系统、全面预算管理系统和各项业务管理等各成体系的信息系统,并实行财务信息系统集中管理。该系统让各业务部门人员的业务操作都统一在ERP系统上进行,企业录入业务数据后,生产、销售各环节即按相应的业务流程生成相关信息,并传送到公司总部数据库进行监控和分析。中石化制定了相关的管理办法和业务流程,从一般控制、应用控制等方面对信息系统进行规范和控制。企业不断完善信息搜集机制,完善信息沟通平台,《内控手册》也有相应的规定来保障企业部门之间、部门与各分或子公司之间及管理层与外界之间的沟通顺畅。中石油按照相关法规的规定定期对外披露信息,对外信息披露由董事会和总裁办公室审核。
(5)内部监督
中石化设立了审计委员会负责对财务报告和内部控制的审查,由审计部定期独立审查分公司和子公司。企业建立了两极内部控制日常监督机制,两极评价指的是总部综合检查和分公司、子公司自查测试。总部综合检查主要是内控领导小组负责的年度综合检查和审计部对不少于25家分(子)公司进行独立检查,及对总部进行检查。分公司、子公司自查测试工作主要是企业通过部门流程测试和有审计参与的综合检查评价进行自查测试,及总部部门自查和抽查评价。除日常监督外,中石化还建立了针对内部控制一些重大方面的监督检查。
此外,中石化制定了《中石化监督制度汇编》,完善了企业的反舞弊制度。通过制定内控控制执行情况指标对内部控制进行考核。每年定期对内部控制的设计及执行情况进行评价,出具内部控制自我评价报告,并向外披露,接受外界的广泛监督,并聘请外部注册会计师对财务报告内部控制进行审计。
4.4中石化内部控制的评价
中石化制定《内控检查评价与考核办法》及指引来指导企业内部控制的评价。并根据《内控手册》,检查内部控制设计是否健全;据《内控手册》所适用的内容及范围,检查内部控制执行的符合性和有效性。中石化主要以内部控制缺陷认定和量化评分的方式对内部控制进行自我评价。从内部控制要素、业务流程综合检查、单位自查情况等方面对内部控制进行评价,并制定了规范的内部控制自我评价流程图来规范评价,保障评价的公正性。
4.5中石化内部控制实施以来取得的效果
中石化自2005年实施内部控制以来,不仅提高了企业的管理水平,企业的盈利能力也随之增强,具体来说:中石化制度化管理体制不断完善,逐步形成了以内部控制为保障,具有中国石化特色的制度化管理体系。不仅提高了企业的抗风险能力,保障企业目标的实现,也为国内其他企业内部控制的建立树立了榜样。中石化管理水平不断提高。中石油实行统一的物资釆购管理,规范企业物资采购,为企业节约了材料成本。建立了产品原料等消耗标准,使企业生产经营管理日益精细化。通过建立IT风险控制系统,使企业风险能力日益增强。内部控制及其审计,提高了审计效率和效果,使企业管理水平不断提高。内部控制的实施加快了企业规章制度的建立,明确了各企业机构、部门及各岗位的职责和权力,对业务操作流程的规范也提高了企业管理效率和管理水平。中石化内部控制的实施满足了外部监管的要求。中石化作为在境内外三地上市的公司,其内部控制的实施与披露满足了各上市地的要求,内部控制自实施以来也得到了不断的完善和改进。内部控制的实施使中石化内部环境不断优化,内部控制的实施保障了公司的体制改革,使公司治理结构不断完善,使企业文化得到了统一和贯彻实施,《员工守则》的制定规范了员工的行为,也使风险管理和诚信经营的理念深入人心。
㈣ 如何做好全面风险管理和内部控制工作
转载以下资料供参考
内部控制的一般方法通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
1、职责分工控制,要求根据企业目标和职能任务,按照科学、精简、高效的原则,合理设置职能部门和工作岗位,明确各部门、各岗位的职责权限,形成各司其职、各负其责、便于考核、相互制约的工作机制。
企业在确定职责分工过程中,应当充分考虑不相容职务相互分离的制衡要求。不相容职务通常包括:授权批准、业务经办、会计记录、财产保管、稽核检查等。
2、授权控制,要求企业根据职责分工,明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任,业务经办人员必须在授权范围内办理业务。
3、审核批准控制,要求企业各部门、各岗位按照规定的授权和程序,对相关经济业务和事项的真实性、合规性、合理性以及有关资料的完整性进行复核与审查,通过签署意见并签字或者盖章,作出批准、不予批准或者其他处理的决定。
4、预算控制,要求企业加强预算编制、执行、分析、考核等各环节的管理,明确预算项目,建立预算标准,规范预算的编制、审定、下达和执行程序,及时分析和控制预算差异,采取改进措施,确保预算的执行。
5、财产保护控制,要求企业限制未经授权的人员对财产的直接接触和处置,采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施,确保财产的安全完整。
6、会计系统控制,要求企业根据《中华人民共和国会计法》、《企业会计准则》和国家统一的会计制度,制定适合本企业的会计制度,明确会计凭证、会计账簿和财务会计报告以及相关信息披露的处理程序,规范会计政策的选用标准和审批程序,建立、完善会计档案保管和会计工作交接办法,实行会计人员岗位责任制,充分发挥会计的监督职能,确保企业财务会计报告真实、准确、完整。
7、内部报告控制,要求企业建立和完善内部报告制度,明确相关信息的收集、分析、报告和处理程序,及时提供业务活动中的重要信息,全面反映经济活动情况,增强内部管理的时效性和针对性。
内部报告方式通常包括:例行报告、实时报告、专题报告、综合报告等。
8、经济活动分析控制,要求企业综合运用生产、购销、投资、财务等方面的信息,利用因素分析、对比分析、趋势分析等方法,定期对企业经营管理活动进行分析,发现存在的问题,查找原因,并提出改进意见和应对措施。
9、绩效考评控制,要求企业科学设置业绩考核指标体系,对照预算指标、盈利水平、投资回报率、安全生产目标等业绩指标,对各部门和员工当期业绩进行考核和评价,兑现奖惩,强化对各部门和员工的激励与约束。
10、信息技术控制,要求企业结合实际情况和计算机信息技术应用程度,建立与本企业经营管理业务相适应的信息化控制流程,提高业务处理效率,减少和消除人为操纵因素,同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、有效运行。
11、与财务报告相关的内部控制,内部控制被定义为一个流程,该流程由公司的首席执行官和财务总监或类似人员设计并监督其运行,并由公司董事会、管理层和其他相关人员实行;从而对财务报告的可靠性以及对外披露的财务报告的编制是否符合公认会计准则提供合理保证。这一流程包括如下政策和程序:
·公司的相关记录在合理的程度上正确和公允的反映了公司对交易的记录和对资产的处置。
·公司对相关交易的记录能够为公司按照公认会计准则准备财务报告提供合理的保证,以及公司的收入和支出都经过了公司管理层和董事的授权批准。
·能够防止和及时发现对财务报告产生重大影响的非法行为,这种行为包括对公司资产不合法的占有、利用和处置。
㈤ 如何开展内部控制和风险管理工作
1.
要创造良好的 控制环境,注重建立具有风险意识的 企业文化。
2.
要有强烈的 风险意识和 内控责任。风险管理的起点是 风险识别,是进行有效风险管理的基础和关键。
3.
要充分利用内控规范并使其得到不断地优化。
㈥ 企业经营中的风险管理如何控制,大家有没有好的建议
您好,2013年6月16日获悉问题:
企业的风险管理是个比较大的课题,对于风险的控制,内要有一套好的内控体系。在梳容理企业各个业务流程的基础上,找到关键的风险点,然后对于关键的风险点所带来的风险等级进行评估并采取措施。其实说白了,就是企业的管理层要熟悉企业的各个业务流程,各个业务流程的所涉及的责任部门(责任人)要明确,而且要明晰各个流程中的关键风险点,并将关键风险控制制度化。这样就可以有效的控制风险。如果是业务复杂的公司,可以请外部的咨询机构来帮助建立企业的内控体系。
如果您对于这方面感兴趣的话,我建议您看看 内部控制(Internal Control)、风险预警(Risk Early Warning)等相关的控制。
希望我的回答能对你有所帮助。
㈦ 防范内控风险是一项长期的重要工作,对内控管理工作有什么建议
在风控部门的统一组织和领导下,内控工作必须全员参与,各尽其责,全面细致内的识别本部门容,本岗位的风险,并且根据风控策略制定相应的措施,接受降低或者规避风险。另外,还需要定期评估风险,根据结果修订风险防控策略和防控措施。