- 相关推荐
企业内控风险管理实现方法
从英国巴林银行、美国安然公司、世通公司到雷曼兄弟等国际知名公司相继暴露出严重的财务失败事件,加强公司治理、内部控制和风险管理的呼声愈来愈高。
在我国,风险管理是企业管理中一个相对薄弱的环节,风险意识不强、风险管理工作薄弱,是企业发生重大风险事件的重要原因。2017年6月,国资委制定并发布了《中央企业全面风险管理指引》,对于建立健全风险管理长效机制,推动风险管理工作具有一定的意义。2017年6月财政部发布企业内部控制基本规范,强调企业应当建立实施风险评估程序。然而,在我国,尚存在许多问题,在工作实践中,就内部控制与风险管理的关系,多种观点并存。有的认为风险管理包括内部控制,有的认为内部控制包括风险管理,还有的认为内部控制就是风险管理。
笔者认为,风险管理与内部控制是两个不同的概念范畴,在企业管理中,二者同时存在并相互依存,存在着必然的内在联系,而不是相互包含的关系,更不是简单等同关系。
什么是内部控制
和风险管理
企业内部控制是以专业管理制度为基础,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。
风险管理又名危机管理,是指生产过程中,风险管理部门对可能遇到的各种风险因素进行识别、分析、评估,以最低成本实现最大的安全保障的过程(风险管理是一个过程,由风险的识别、量化、评价、控制、监督等过程组成)。
内部控制
与风险管理的不同
内部控制与风险管理的主要区别在于,目的不同、目标不同、作用不同和发挥作用的环境不同。
第一、风险管理的目的是要及时地发现风险、预测风险以及防止风险可能造成的不良影响,并设法把这种不良影响控制在最低的程度上。而内部控制是企业内部采取的风险管理流程规范,仅仅是管理的一项职能,只是对目标的制定过程进行评价,主要是通过事后和过程的控制来实现其自身的目标。
第二、风险管理工作,注重防范和控制风险可能给企业造成损失和危害,同时把机会风险视为企业的特殊资源,通过对其管理,为企业创造价值,促进经营目标的实现。而内部控制则是以专业管理制度为基础,实施的遵循性控制活动,它无法防范管理层非理性风险和凌驾于管理制度以上的决策风险。
第三、企业开展全面风险管理工作是与其他管理工作紧密结合,在综合考虑内部环境和外部环境的情况下,把风险管理的要求融入企业管理和业务流程中。而内部控制则是在内部环境下,根据国家有关法律法规和企业章程,建立的公司治理结构和议事规则。风险管理是以应有的风险意识开展企业管理的各项工作,内部控制是开展各项工作应遵循的操作规范。
第四、全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
内部控制
与风险管理的内在联系
从内部控制和风险管理的结构说,风险管理与内部控制的组成要素有五个方面是重合的,即控制环境、风险评估、控制活动、信息与沟通、监督。两者存在着不可分离的内在联系。
第一、内部控制的最重要目的之一就是防范风险,没有风险防范这一既重要又明确的目的,内部控制的存在就大打折扣,至少发挥作用的空间会受到极大的限制。
第二、风险分为内部风险和外部风险,企业的内部风险普遍存在于生产经营的各个环节,如何识别、评估、分析风险,实施风险解决方案,必须采取一定的措施,风险信息的取得是实施风险管理的前提,收集不到风险信息,风险管理就无从谈起。而内部控制是通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。内部控制这种嵌入式的工作方式,恰好为风险信息的收集提供了极大的方便,可见内部控制是作为风险管理的一种重要手段而存在的。
第三、风险管理是指生产过程中,风险管理部门对可能遇到的各种风险因素进行识别、分析、评估,以最低成本实现最大的安全保障的过程。从其过程看,风险得到控制是其最终目的,这恰是内部控制的最基本的作用所在。可见实施风险管理离不开内部控制这一强有力的工具。
第四、无论是内部控制还是风险管理,是一个全员全程参与的过程,实施内部控制和参与风险管理的主体是一致的,过程是一致的,它们的最终目的也是一致的。当我们在管理风险时,也正在实施控制,笔者认为这是一个协调统一的机制。
《企业内控风险管理实现方法》全文内容当前网页未完全显示,剩余内容请访问下一页查看。
如何开展内部控制
和风险管理工作
如何实施内部控制进行有效的风险管理,是摆在我们面前的首要任务。
第一、要创造良好的控制环境,注重建立具有风险意识的企业文化。在企业风险管理过程中,每一位员工要树立“风险无处不在”的理念,应当知道个人职责对公司风险有怎样的影响,以及在公司内部的作用和责任与他人有怎样的关系,这是企业风险管理的一个重要方面,也是充分有效开展风险管理工作进行的前提。
第二、要有强烈的风险意识和内控责任。风险管理的起点是风险识别,是进行有效风险管理的基础和关键。我们有责任对企业面临的各种风险进行识别,然后将风险进行分类,并追溯导致风险产生的各种因素。在全面风险管理框架下,风险识别的目标,就是要广泛、持续地收集与本企业风险和风险管理相关的内部、外部初始信息,发现企业面临的各种风险。
三、企业风险管理实现的内容和方法2017-05-09 21:03 | #2楼
在古代打仗时,人们早就知道士兵和将领身穿铠甲,一手拿矛,一手持盾。矛是用来杀敌、占领新的战场的,而盾是用来护身、防卫敌人进攻的。企业的发展,也应该遵从规避风险,提高绩效,不但要将矛磨得锋利点,还需要将盾铸的坚固点。
上海一公司的某个员工从人力资源部调到了财务部,但是他原先给员工开账号的权限没有注销,结果他就在系统自己全家人建立为公司的员工,每月发着工资,其结果公司损失几百万。公司的系统中,每个人有多个权限,有很多不同的角色,这些角色中是否存在着冲突现象。企业一些关键过的的审批是否真正执行了,有没有超越权限的行为发生,像这样的风险很多公司都存在,如何在企业中通过风险控制,提高企业的绩效,是每个企业应该重点关注的重点。企业不但要关注绩效,还要平衡风险。
一、风险调节之下的绩效管理
企业要实现利润最大化,就需要两条腿走路,一要保证企业的效益最大化,二要企业风险调节到适当的程度。这就是最近几年管理软件界新出现的新概念,企业绩效优化(enterpriseperformance optimization)或者企业绩效应用(performance optimizationapplication),它主要包括两大方面,一个方面就是2001年开始被人们开始关注的企业绩效管理(cooperateperformance management)和安然事件后引起人们重视的grc(governance,risk management和compliance) .
企业绩效管理(cpm)是用于监控和管理企业绩效的方法、准则、过程和系统的整体组合。是保证企业效益管理的有效性,以及战略和执行的一致性,主要包括公司的战略管理、商务模式设计、预算和规划、实时企业执行的监控、分析和报告;而grc主要使用在全面风险管理、企业内部控制和责权分离的实施和执行,也包括企业的采购、生产、财务、运营、营销、环境、安全、贸易sox法案等的合规。
在一般情况下,企业的绩效和风险是成正比的,期望的绩效越高,企业的风险也会越大。所以企业如何在降低风险的条件下,提高企业的整体绩效。比如企业为了利润最大化,可能采取提高价格,可是提高价格可能会降低客户的购买度,出现更大的风险,反而降低了企业的绩效,如何保持企业的绩效和风险的平衡,是每个企业正在追求的理想环境。企业过分强调绩效,忽略了风险,很难保持企业长青,企业过分强调风险,可能导致办事效率低下,反倒直接影响了企业的效益和员工的积极性。比如合规要求太强,公司还没有很好的系统和工具,一个合同的审批流程长达一周或者数月,企业就很难做大做强。
二、如何实现企业的grc
grc包括公司治理、风险管理和合规。公司治理主要是指公司的组织结构、各个部门和角色的职能职责,流程规范;风险管理包括风险的定义、风险的识别、风险的分析和预警,风险的级别和损失评估,以及风险应对所采取的合理方案。其主要的方法是定义企业的kri(关键风险指标),进行实时分析、监控、预警;对企业过程管理每个作业的监控,做到过程控制。风险绝对不可能完全杜绝,而是要分析降低风险所需要的时间和成本,然后采取应对的策略和方案。合规包括法律、财务、环境、采供、生产、销售、运营等的各种国际、国内监管机构等的法律、法规的遵从和要求。
国资委《中央企业全面风险管理指引》和五个部委提出《企业内部控制基本规范》出台以后,各个企业开始重视全面风险管理和企业内部控制,可是如何让全面风险管理落地,一是要建立风险管理相应的组织,比如风险管理委员会,将企业风险管理从以前的口头任务落实到具体的组织管理,二是企业健全风险管理的规章制度、编制并落实内部控制手册;三是制定全面风险管理的流程和定期检查;四是利用风险管理的工具,实时监控企业的关键风险指标(kri),发现超标或者流程节点出现漏洞,及时预警,分析原因,获得风险的等级,预测产生损失的大小,采取应对措施所需要的成本,最后决策如何采取行动,使得风险损失降到最低。
《企业内控风险管理实现方法》全文内容当前网页未完全显示,剩余内容请访问下一页查看。
企业风险管理具体工作步骤应该具有三道防线:第一道防线是业务部门的管理人员需要严格遵守业务流程,在每个风险点进行把关,落实风险责任人,当然对于企业的风险,可以事先进行预防,比如在企业的erp系统中,将每个过程节点的风险进行检查,例如从采购到付款的每个节点实现自动检测和控制,超过阀值时,就无法进行下一步的操作。第二道防线是风险管理职能部门,制定规范的制度,发现企业的风险,提出改进的计划,定期发布风险报告;第三道防线是内部审计部门,监督评审企业的风险,从体系建设和制度执行,逐步整改。
企业的风险包括战略风险、财务风险、运营风险、法规风险、市场风险、信用风险、利率风险、信息化建设风险等。
战略风险包括企业的投资组合、组织架构、环境监测、资源分配等,往往一个简单的决策,导致一个企业的倒闭,企业要做多元化还是一元化,都是企业值得认真分析,经常利用的方法有五力分析法、平衡计分卡方法、企业的战略地图、绩效棱柱方法、swot分析法等建立企业的战略目标。sap的战略管理(strategicmanagement)和风险管理(risk management)软件主要就是为了实现战略风险控制而设计的一套完整的解决方案。
财务风险包括预算和计划的完整性和可实现性、财务报告的完整、准确、透明、实时性。sap 的预算和合并报表(businessplanning & consolidation)就是为了实现财务风险管理和控制而设计的。
运营风险包括企业运作的流程、规范和制度的执行。比如新产品开发、供应商、采购、库存、排成、生产、运输、销售、客户等流程节点的控制,主要体现在过程控制和统计过程控制。主要可以使用erp和sap过程控制(processcontrol)来实现。
在运营风险中一项非常重要的风险就是责权分离,企业通过责权分离来杜绝一些舞弊行为,比如一人多责,像会计和出纳由一人担当,人力资源部门管-理-员工账号的人员和财务部发工资人员一人担任或者调离了某个部门而权限没有注销等,都会为企业带来巨大的风险和损失。这样就需要在给每个人分发权限时,事先模拟是否有冲突现象,然后审批经理在系统中进行审批,事中检查是否有冲突,事后分析,有那些人有冲突的权限,这些人都做了那些违规的工作,带来多大的损失,然后进行整改。这一需求可以通过sap的访问控制(accesscontrol)来实现。
法规风险包括监管部门的各种法规,经常会有多重法规,比如国际会计准则、环境、健康和安全(ehs)、低碳、reach、进出口贸易各国之间的法律法规等,这些可由sap的ehs和全球贸易服务(globtrade service)实现。
对于企业的信用风险、市场风险、利率风险等,都可以通过sap的商务智能以及企业绩效管理来实现。比如it建设中数据质量的控制,可以通过sap的dataquality来实现。对于财务报表的及时性可以通过sap水晶报表来实现。对于决策的正确性和及时性可以通过sap商务智能套件来实现。企业成本的控制可以通过作业成本法来实现,sap的绩效和成本管理(performance& costing management)就是为了这一目的设计的。
企业的风险管理,是一个非常重要的话题,很多的管理层既爱又恨内控和外部审计,爱的是可以降低企业的风险,恨的是这样的工作加大了工作量,增加了企业的成本,很多搞不好会降低工作的效率,而且是受别人的控制。为了实现风险管理,提高企业的运营和决策效率,企业就应该建立一套erp系统,将企业的管理通过信息化和制度化,实现快速的反应和行动,一般的审批流程可以从原来的一周降低到几个小时。其实如果将企业的风险管理改一个角度来看,就是企业的集团管控,那么很多的企业管理层就喜欢了,虽然都几乎是同一个东西,但是管控是企业管理层用来管理和控制企业运营的,实时了解企业的运作状况的。相信在以后的三到五年中,grc将为企业带来更大的效益,很快会变成企业信息化建设的下一块蛋糕。
【企业内控风险管理实现方法】相关文章:
企业员工风险管理研究04-19
企业内控体系建设与企业HR管理改进09-25
从内控着手全面提升企业管理11-30
加强企业内控管理的意义09-25
内控制度风险评估报告09-25
增强风险管控意识提升内控管理效率09-25
基于财务风险管理的内控体系建设09-25
以风险防控为导向的内控管理体系实践09-25
企业内控采购管理制度09-25
大学内控风险评估报告(精选13篇)03-13