内控风险管理文化
1. 企业风险管理,风险控制,内部控制的定义与区别
风险管理管理的是不确定性,风险控制是风险管理的一种手段或过程,风险管理的目标可以是0风险,即对不确定性的0容忍,也可以通过控制手段实现(但有点难)。不过,一般而言风险和收益是正相关的,有风险才有收益,所以一般不会,也很难消除风险,所以往往提到风险控制,管控到可容忍的程度即可。内部控制,一般是通过制定规章制度来规范行为或防范风险,通常不涉及到具体的方法与操作,相对而言是具有一定高度且宏观的。如果要把三个概念放在一起比较的话,个人认为内部控制>风险管理>风险控制。
2. 内部控制与风险管理的背景
COSO(全美反舞弊性财务报告委员会发起人委员会)认为内部控制是为下述三大目标回的实现提供合理的保答证,即:
1、经营的有效性和效率
2、财务报告的可靠性
3、遵守法律法规
为了实现内部控制的上述目标,企业必须建立有效的内部控制体系。但什么是有效的内部控制体系?如何建立、评价和改进企业的内部控制?这已日益成为困扰大多数企业的一个问题。
2002年7月30日《萨班斯——奥克斯利法案》(“萨奥法案”)的颁布,标志着世界上最发达资本市场的监管者已经将内部控制体系的建立、维护、评价和报告看作是经营者的重要责任。2008年5月22日,中国财政部等五部委联合发布了《企业内部控制基本规范》,将自2011年1月1日起首先在境内外同时上市的公司施行,2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行,鼓励非上市的大中型企业执行,这标志着中国版的“萨奥法案”已正式启动。
随着社会法制化的推进及企业竞争的加剧,企业只有建立、健全并执行行之有效的内部控制体系,才能够获得持续稳定的发展,做到基业长青。
3. 内部控制和风险管理的区别与联系
现代理论界对内部控制的定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制的定义。该组织认为:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。
依据COSO委员会 2003年7月完成的《全面风险管理框架》定义:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。
联系:1)全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。从时间先后和内容上来看,全面风险管理是对内部控制的拓展和延伸。
(2)内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。
从国际国内发展趋势来看,随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
区别:(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
(3)两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在,COSO委员会的内部控制框架中,没有区分风险和机会。
(4)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程。这些内容都是内部控制框架中没有的,也是其所不能做到的。
4. 如何加强内控文化建设
加强合规文化是规范行为一种理念、思维方式以及在这种理念指导下的行为习惯。只有当银行经营管理者和各级员工形成合规文化的理念和思维时,银行风险的防范才会变得积极主动,更加有效,进而才能形成风险防范的长效机制。
银行合规文化不足是风险防范存在问题的重要原因
当前,我国银行案件防范形势仍然严峻,银行风险防范对中国银行业来说是一个十分重要而紧迫的课题。银行内部案件产生的原因,主要在于制度、文化和员工职业操守方面存在明显的薄弱环节和管理漏洞。任何操作风险都是人的行为造成的,尽管人的行为要受制度约束,但决定人的行为的影响力来自于所受文化的熏陶。内控合规文化不足是银行风险防范工作存在问题的重要原因,基层银行内控合规文化在风险管理中的不足主要体现在以下几个方面:
(一)风险防范意识淡薄,良好的内控合规文化氛围没有建立。目前,基层银行对管理风险缺乏全面、系统的认识,尚未形成浓厚的控制文化。首先,缺乏对风险的整体把握。对风险还停留在分离、局部的认识层次上。其次,在风险防范上未能做到未雨绸缪,往往就事论事,缺乏事前防范和系统管理。再次,在风险控制的责任认定上,认为风险是内控、纪检监察等管理部门的事情,与业务部门关联度不强,管理层监督力度不够,责任不清。
(二)内控制度体系疏漏,内控合规文化引导机制未能彰显。存在内控管理部分环节无章可依、内控管理制度滞后和制度执行缺乏刚性等问题。此外,内控部门独立性不够,审计的客观公正难以保证,也是强有力的内控合规文化引导机制未能彰显的重要表现。
(三)职业操守缺失。面对社会变化会、业务发展、工作压力、机会和诱惑,风险事件及案件随之发生。
国外银行业对内控文化建设可借鉴之处
巴塞尔协议明确指出,任何大量损失的产生都反映出管理层未能重视控制文化,控制文化的松弛,造成银行内部缺乏适当的激励。西方发达国家的商业银行,尽管成立时间不同、历史背景不同、监管环境不同,但在巴塞尔协议的统一要求下,都从各自的管理实际出发,逐步形成了各具特色各有侧重的操作风险管理流程和内控文化框架。他们的实践表明,在内控文化建设中,以下几点是都是不可少的因素,这些方面对我国银行提升内控合规文化建设水平具有重要的借鉴意义:
第一,内控合规文化一定要包含强烈的风险意识。首先,必须明确风险与银行成本之间的关系,使所有员工意识到风险控制行为能直接使他们自身受益。其次,要有高层管理者的支持,高层管理者应在机构内部创造一种员工充分参与的内控文化,还要设定禁止员工逆风险管理价值行事。
第二,内控合规文化一定要具有细致的建设流程。内控合规文化需要有一个非常详尽细化的框架来设计其建设流程,每个环节都应具备具体的实施程序和步骤,以增强建设流程的可操作性。同时,整个建设工作要体现动态持续、协调发展。
第三,内控合规文化一定要突出协作的内部关系。内控合规文化的建设必须强调有效的风险管理取决于业务部门、内部审计部门、风险管理部门,以及其他部门之间的协作关系。
第四,内控合规文化一定要强调良好的职业操守。提升员工素质和职业道德意识是构建有效风险控制过程的关键。
强化基层银行合规文化建设,推进建立风险防范长效机制的建议
如何做好内控文化建设,可以考虑从以下方面着手,强化基层银行内控合规文化建设,进一步推进基层银行风险防范长效机制的建立:
(一)形成科学有效的内控合规文化建设制度体系。一是要保证制度的科学性。在制度体系的规划层面,划分层次,力求简洁,使得各项制度有适用范围的清晰界定和执行效力高低的明显顺序;建立制度制定的过程管理,形成固有的流程和权限;完善制度使用效果的信息收集和传导反馈机制;周期性评审、修订、梳理和清理制度,保持制度持续有效。要强调制度执行的严肃性。
(二)积极引导对内控合规文化的深度认同。激发员工树立操作风险的防范和规范意识,使员工明确,首先,风险的防范是银行核心竞争力的本质体现,是银行持续健康发展的重要基础,而一个强大的银行是实现个人利益的根本保证,因此,银行风险防范符合共同的价值观。其次,风险自始至终是与业务活动相伴的一个持续的长期过程。第三,风险分布于银行的所有工作岗位,这种分散化性决定了每一个业务点都是操作风险点,操作风险无处不在,每一名员工都是防范操作风险的第一责任人,其行为的合规与否将直接决定操作风险控制的成效。
(三)形成细节决定成败的文化约束。银行风险的发生是难以避免的,但是,依靠员工的敬业精神和专业态度,风险事件及案件发生的概率和造成的损失是可以降低的,这种敬业精神和专业态度就体现在细节上。“千里之堤,溃于蚁穴”,一些大案要案之所以得逞,都是日积月累的结果。“魔鬼在细节中”,一时的违规,可能形成不了损失,但却埋下了风险的种子,如果不能及时制止,就会生根发芽,形成毒瘤。风险的防范就是要树立和强化“违规就是风险”的思想观念,养成扎实的工作作风,从小处着手,从点点滴滴做起,兢兢业业做好、做细一切工作,使管理不留死角。
(四)严格队伍管理筑牢内控合规文化基石。从国内外银行业发生的风险事件诱因来看,道德风险占了很大比重。银行作为经营货币的特殊企业,这种行业特点决定了银行工作人员必须要有良好的职业操守,形成较强的自我约束能力,如果员工的职业操守出了问题,自律行为减弱,道德风险随时产生,那么即使最严密的管理制度,往往也会失去应有的效力。培养员工良好的职业操守,必须从职业道德、文化知识、业务技能和现代人格塑造等方面全面提高员工素质。以管理来激发员工的积极性,使员工有更多的机会参与管理与决策,以主人翁的态度对待工作,从而表现出高度的职业责任心和良好的职业素质,克服违规行为的发生。基层行必须加快内控合规文化建设步伐,促进农发行安全、稳健、快速的发展。
5. 如何理解风险管理,内部控制,风险控制三者之间的关系
每个企业有不同的发展目标,在实现目标的过程中有很多不确定性因素,这种不确定性就是风险。
首先,要辨识影响企业目标达成的种种风险;
其次,对种种风险进行评估,并根据企业的风险承受度,采取应对措施,应对措施包括有风险承受(就是不采取措施控制此风险)、风险分担(将风险分担给其他第三方)、风险转移(将风险转移给第三方)、风险规避(就是不从事这业务了)、风险控制(采取控制措施去降低风险,降低到企业可承受的范围内)、风险对冲,等等。
再次,企业决定要对此风险进行管理,就采取内部控制的方式进行,也就是内部控制是实现风险控制的落地手段。
最后,还要对种种风险进行监控。
好了,针对题目回答。风险管理,就是包括了风险辨识、评估、应对、监控等等一系列的动作。风险控制,就是风险应对策略的其中一种,就是为了降低风险到企业风险承受范围内。内部控制,就是实现风险控制的落地手段,当然不仅仅包括流程和制度的规范,也包括了职责分离、业务授权、分权等方式。
6. 风险内控机制的发展历程
一、萌芽期——内部牵制
内部控制,作为一个专用名词和完整概念,直到本世纪30年代才被人们提出、认识和接受。但在此前的人类社会发展史
中,早已存在着内部控制的基本思想和初级形式,这就是内部牵制(Internal
check)。例如,在古罗马时代,对会计账簿实施的"双人记账制"--某笔经济业务发生后,由两名记账人员同时在各自的账簿上加以登记然后定期核对双方
账簿记录,以检查有无记账差错或舞弊行为,进而达到控制财物收支的目的,即是典型的内部牵制措施。
二、发展期——内部会计控制与内部管理控制
1934
年美国《证券交易法》,首先提出了“内部会计控制”(Internal accounting control
system)的概念。审计程序委员会(CAP)下属的内部控制专门委员会1949年对内部控制首次做出了如下权威定义:“内部控制是企业所制定的旨在保
护资产、保证会计资料可靠性和准确性、提高经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。1953年10
月,审计程序委员会(CAP)又发布了《审计程序公告第19号》(SAPNo.19),将内部控制划分为会计控制和管理控制。
1972
年,美国审计准则委员会(ASB)在第1号公告(SASNo.1)中,对管理控制和会计控制提出今天广为人知的定义:(1)内部会计控制。会计控制由组织
计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成;(2)内部管理控制。管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策
过程有关的程序及其记录。这种授权活动是管理部门的职责,它直接与管理部门执行该组织的经营目标有关,是对经济业务进行会计控制的起点。
三、成熟期——内部控制结构和内部控制整体架构
1.内部控制结构(Internal Control Structure)
1988
年4月美国注册会计师协会发布的《审计准则公告第55号》(SAS
N0.55),规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1号》。该文告首次以内部控制结构(Internal
Control Structure)一词取代原有的“内部控制”
2.内部控制整体架构(Internal
Control一Integrated Framework)1992午,美国"反对虚假财务报告委员会"(National Commission
on Fraulent Reporting),所属的内部控制专门研究委员会发起机构委员会(Committee of Sponsoring
Organizations of the Tread-way
Commission,简称COSO委员会),在进行专门研究后提出专题报告:《内部控制一一整体架构(Internal
Control一Integrated
Framework)》,也称COSO报告。参与COSO报告的主要机构包括美国注册会计师协会,内部审计师协会,财务经理协会,美国会计学会,管理会计
协会。)
COSO报告指出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由:
控制环境(control environment)
风险评估(risk assessment)
控制活动(control activities)
信息与沟通(information and communication)
监督(monitoring)
2004
年10月,COSO委员会对《内部控制一一整体架构(Internal Control一Integrated
Framework)》做了进一步的延伸和扩展,提出了《企业风险管理——整合框架((Enterprise Risk
Management一Integrated Framework)》。
四、我国内部控制制度历史沿革
1999年10月31日,修订后的《会计法》首次以法律的形式对建立健全内部控制提出原则要求。其中,第四章《会计监督》第27条要求,各单位应当建立、健全本单位内部会计监督制度。
2001年6月22日,财政部发布《内部会计控制规范——基本规范(试行)》、《内部会计控制规范——货币资金(试行)》。
2006年5月17日,证监会发布《首次公开发行股票并上市管理办法》。第29条规定“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留结论的内部控制鉴证报告”。这是中国首次对上市公司内部控制提出具体的要求。
2006年6月16日,国资委发布《中央企业全面风险管理指引》,对内控、全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等进行了详细阐述。
2006年7月15日,财政部发起成立了企业内部控制标准委员会;中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。
2007年2月1日,证监会发布《上市公司信息披露管理办法》,明确提出上市公司必须建立信息披露内部管理制度。
2007年3月2日,企业内部控制标准委员会公布《企业内部控制规范——基本规范》和17项具体规范的征求意见稿,广泛征求意见。
2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。一并公布的还有《企业内部控制评价指引》、22项内部控制应用指引以及《内部控制鉴证指引草案》,公开征求意见。
7. 审计,内控,风险管理,三者是什么关系
内部审计、内部控制和风险管理三者之间相互依存,相互作用,形成一个有机的整体,贯穿于企业经营管理的始终,共同服务于企业经营、战略日标的实现。风险管理为内部控制和内部审计提供了基础和前提,也为内部审计和内部控制指明了努力的方向,内部控制为风险管理提供了控制乎段,也为内部审计提供了审计对象;内部审计不仅直接以风险管理和内部控制作为检查和评价的对象,而且通过审查、评价帮助风险管理和内部控制的完善和优化。
风险是指未来的不确定性对企业实现其经营目标的影响,如何有效的辨识、分析、评价,并适时采取有效措施防范和控制这些风险,便构成了风险管理的内容。这里企业面临的风险包括内部风险和外部风险两类。
内部控制是指由董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程,主要是指对企业内部风险的控制。
内部审计是一项独立、客观的咨询活动,用于改善企业的运作并增加其价值。通过引入一种系统的、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性,内部审计可以帮助一个机构实现其目标
有这样一个例子,可以较为形象的说明风险管理、内控、内部审计三者之间的关系,某人开车从A地到B地去,那么他的目标就是在保证安全的前提下尽快到达目的地。
在这里,把汽车作为一个主体,那么在由A到B的过程中,存在各种不确定因素影响这一目标实现,即存在各种风险,既包括来自车辆自身的内部风险,对于汽车自身而言的风险无处不在,如车身质量、油电系统、动力系统、制动系统等都会影响由A到B目标的实现。也包括汽车之外的风险,如天气、道路状况、其他车辆等。概况起来说,存在内部风险和外部风险。因此,为了顺利到达,必须采取相关措施,来保证这一目标的实现。
首先,从车辆本身角度来说,强化车身结构,保证车辆整体性,限制最高车速,进行事前控制。
需要加装刹车、ABS等制动保障系统,胎压监测、防爆胎系统等进行事中管控;加装安全气囊等进行事后控制。
制定、掌握正确的驾驶方法、流程,通过各种法律、法规加强对驾驶人员的监管和奖惩。
以上基于车辆的控制,被视为内部控制。
其次,除了汽车自身的存在的各种风险,天气、道路状况、其他车辆等外部风险也可能影响到出行目标的实现,对此,可以通过提前观看天气预报、收听道路信息等,进行提前掌握相关信息,并采取相应防范和应对措施也就是对外部风险的管控。
从以上可以看出,既包括内部控制,也有外部风险管理,这些构成了风险管理。
内部审计就是识别、分析存在的各种分析因素,检查、评佑,内部控制、风险管控的有效性,定期检查风险情况、管控措施的有效性及剩余风险等,以此来改进、完善风险管控水平和能力,以便目标更好的实现。
对于企业而言,正因此存在各种风险影响经营目标的实现,因此需要加强内部控制,从内部管理的角度来规范各项流程、制度等,提高内部管理的水平和能力,规避、降低各种存在的风险,提升企业的绩效。因此风险的存在是内部控制产生、发展的主要因素。但是,内部控制并不等同于风险管理,企业面临的风险包括内部风险和外部风险,内部控制只能控制一部分内部风险,对于政策变化风险、经济环境风险等外部风险,内部控制很难达到一个好的控制效果,需要进行风险的辨识、分析、评价,采取风险管控措施来规避、降低这些风险。也就是说,内部控制是风险管理的一个重要手段和组成部分,风险管理是比内部控制更广泛、更全面的管理理念。
从企业管理的角度看,内部审计与内部控制之间是紧密联系,二者共同为企业绩效目标的实现提供了有效保障。一方面,内部审计是内部控制的重要组成部分,通过对内部控制的检查、评价,不断提升内部控制的效率和效果,完善企业的内部控制体系,进而提升企业的管理水平;另一方面,内部控制是内部审计的直接对象,良好的企业内部控制,可以为内部审计提供良好的审计环境,提高内部审计的质量。
企业在生产经营过程中,风险管理和内部审计也是相互联系,密不可分的。面对各种内外部风险,企业通过有效的风险管理,辨识、分析、评价存在的各种风险,并采取措施,规避、降低风险,将风险控制的可承受的范围之内,保证企业经营目标的实现。而内部审计,则独立的对风险管理的过程进行审查,通过对风险管理有效性和剩余风险的检查、评价,不断改进、完善风险管理,提升风险管理的效率和效果,保证企业经营目标的实现。因此,内部审计是风险管理系统的重要组成部分,同时又具有独立地位,是对风险管理的监控。
8. 如何开展内部控制和风险管理工作
1.
要创造良好的 控制环境,注重建立具有风险意识的 企业文化。
2.
要有强烈的 风险意识和 内控责任。风险管理的起点是 风险识别,是进行有效风险管理的基础和关键。
3.
要充分利用内控规范并使其得到不断地优化。
9. 内控风险和风险管理有何区别
《企业内部控制基本规范》及其配套指引,充分吸收了全面风险管理的理念和方法,强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险,促进企业实现发展战略,风险管理的目标也是促进企业实现发展战略,二者都要求将风险控制在可承受范围之内。因此,内部控制与风险管理二者不是对立的,而是协调统一的整体。
10. 合规管理,内部控制,全面风险管理有什么区别
作者:刘宁宁
链接:http://www.hu.com/question/26532559/answer/40181214
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
第一,合规管理有广义,狭义之分。狭义的合规,是指对外部法规的遵循。
狭义的合规,主要是依据银监会《商业银行合规风险管理指引》,“规”主要是指银行外部的法律法规。
第三条 本指引所称法律、规则和准则,是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。
本指引所称合规,是指使商业银行的经营活动与法律、规则和准则相一致。
本指引所称合规风险,是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。
广义的合规,“规”还包括银行内部的规章制度。
第二,内部控制要同时考虑外部法规、内部制度。从这个意义上,内部控制与广义的合规类似。
根据《商业银行内部控制指引》(2014)
第四条 商业银行内部控制的目标:
(一)保证国家有关法律法规及规章的贯彻执行。
(二)保证商业银行发展战略和经营目标的实现。
(三)保证商业银行风险管理的有效性。
(四)保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。
第三,控制风险是合规管理、内部控制的都共同目标。 但是,内控的目标不光是控制风险,企业内部经营效率效果评价、流程优化乃至企业文化都属于内控范畴。
第四,控制风险的手段之一,是定下行为规则,在规则内行事,制度就是一种规则。但是,是否符合了制度就能控制风险?显然不是。这也是银行内控管理、合规管理的尴尬之处。