内部控制风险分类范文
内部控制风险分类篇1
目前,我国已建立起以“一个基本规范”为纲目,“三个配套指引”为支撑的企业内部控制框架。财政部近期下发的《行政事业单位内部控制框架规范》,对改进行政事业单位财务管理水平,促进廉政风险防控发挥了积极作用,但并没有彻底根治我国内部控制“重企业轻公共部门”的失衡现状。以我国公共部门职能性质特点为切入,以统揽内部控制全局的视角,提出了内部控制“三类并行”主体、“三层五类”目标、“五位一体”要素、“三点一线”评价、“一统三分”制度的具体内容,为公共部门内部控制理论研究、实践探索及制度整合提供参考。
关键词:
公共部门;内部控制;基本框架
中图分类号:
F23
文献标识码:A
文章编号:16723198(2014)23010702
按照公共部门内部控制框架“五个体系”的构建思路,我们分别每个体系的内容进行阐释介绍。
1 主体界定:公共部门内部控制的分类体系
公共部门内部控制的分类体系,主要是解决公共部门内部控制的主体标准、参与范围和行为边界三个问题。我们认为:公共部门内部控制分类体系以我国公共部门主体分类为标准,分三类并行。
(1)公共部门内部控制主体分三类。按照国家学说理论、我国法律规定的公共部门职能性质及任务,我国履行公共服务职能的公共部门可分为:国家及各级权力机关、各级行政单位、承担行政职能的事业单位、从事生产经营的事业单位、从事公益服务的事业单位,公益性社会组织和司法执法等机关。结合目前颁布的《关于分类推进事业单位改革指导意见》的有关内容,可以将公共部门内部控制的主体分三类:第一类是政府部门,包括立法单位、行政单位、司法单位,以及事业单位分类改革后承担行政职能的事业单位。这类单位涉及到行政决策权、执行权和监督权的内部控制。第二类是从事公益服务的事业单位,这类单位主要由政府设立、监管,履行基本及一般性公益职能。第三类是社会公益组织及非营利部门,这类单位主要由社会财力投入设立、自行管理,受政府监督,包括各种社会团体、行业协会、慈善机构、社会服务机构等。
(2)公共部门内部控制覆盖全员,公共部门内部控制也是全员参与的,除了包括政府部门、非营利部门、从事公益服务事业单位等法人和非法人单位、部门、机构、组织外,还包括在公共部门内从事工作的自然人,如行政单位的党委决策成员、单位内各个部门、机构的管理人员以及部门、机构内的工作人员。
(3)公共部门内部控制行为边界。主要是指影响到公共利益及公共部门职能任务实现的公共部门行为对象、行为活动和行为关系边界,它们是内部控制的对象。其中,行为对象是公共部门为实现职能任务所作用的人、财、物、组织机构、信息资源等客体对象;行为活动是公共部门发生的预算编制、资金收支、物资采购、工程建设、债务偿借、合同立废、会计核算、决算报告等业务活动;行为关系指公共部门履职涉及的经济关系、人事关系、权责关系等。
2 三层五类:公共部门内部控制的目标体系
公共部门内部控制绝不是单纯地“为了控制而实施控制”,其目标源起于公共部门受托履职目标,落脚于消除公共履职风险,确保公共利益及公共部门职能目标实现,包括三个层次五类。
(1)第一个层次初级目标,包括配置目标、合规目标和安全目标三类。初级目标是确保公共部门正常运作,并发挥应有职能的内部控制目标,适用于各个层级公共部门。包括三类:首先,配置目标。是对公共资源配置的控制。是指通过控制措施,合理保证公共部门能够公平、公正、公开地科学配置公共资源,提供公共产品,做到权责对等,起点、过程和结果同步公平,决策、执行、监督合理公开。这一目标对于以行政指令方式配置资源的政府行政单位意义重大。其次,运作目标。是对公共部门运行的控制。是指通过控制措施,合理保证公共部门的行为对象、行为活动和行为关系符合法律法规的规定,做到有法必依、合法运作。其三,安全目标。是对公共资源保管使用的控制。是指通过控制措施,消除公共资源在保管使用中的不当毁损、流失风险,确保公共资源安全。
(2)第二个层次中级目标,具体指强制报告目标。适用于中央、省、市等相应层级公共部门。由于公共利益具有衡量标准多元模糊、涉及主体复杂分散,实现风险多样综合的等特点,致使公共受托监督非常困难。强制报告目标,是指通过控制措施,以法定方式要求公共部门强制披露履职情况,及时综合地报告公共部门在运行管理、履职尽责,提供公共产品服务、配置公共资源等方面全过程、全内容、全领域的受托责任信息,强化公共部门受托责任履行。
(3)第三个层次高级目标,具体指战略保障目标。适用于中央、省级公共部门。是指通过控制措施,为公共部门各个层级、各类性质主体有效实现公共部门整体层面、科层层面、个体层面、行业层面、项目层面等战略目标提供合理保证。确保公共利益实现和公共资源配置效益长效提升。
3 五位一体:公共部门内部控制的要素体系
按照内部控制一般理论,结合公共部门职能特点及控制实施的特有规律,公共内部控制要素包括公共部门内部环境、公共履职风险评估、公共部门控制措施、信息沟通和内部监督。这些要素五位一体,联系紧密,是公共部门内部控制设计和实施的对象。
(1)公共部门内部环境。指公共部门内各类人员开展工作的环境,包括组织体制、人力资源政策、公共部门文化等内容。组织体制是关于公共部门决策治理结构、内部机构设置和职能权责划分的法定体制安排,包括各级政府部门的预算委员会和领导办公会议,非营利组织中的执行委员会等机构、相关管理部门及其权限划分。人力资源政策是为实现公共职责,对公共部门工作人员的聘用、培训、辞退与辞职;薪酬、考核、晋升与奖惩;关键岗位的强制休假和定期岗位轮换;掌握秘密人员离岗限制等进行的法定规定。公共部门文化,是指公共部门预期要达到的使命、远景、宗旨以及公职人员必须具备的价值观、团队精神、管理意识和服务理念等。内部环境是公共部门内部控制的基础,决定了控制措施的有效性。必须注重内部环境优化,是确保内部控制措施更好落实的前提条件。
(2)公共履职风险评估。是指对公共部门履职中的各类风险进行合理分层、分类识别、系统分析和综合评估的活动。第一,公共部门风险分宏观和微观两个层次。宏观层次风险主要是战略发展风险、信息报告风险、资源配置风险以及滥用职权风险等。微观层次风险主要指预算管理、工程建设、集中采购、基金运营、非税资金收支等公共业务处理与流程运作风险。第二,风险分类识别,主要指区分经济形势、行业政策、政治环境、技术进步、自然灾害等外部因素和编制调整、机构人事变动、管理创新等内部因素,实施风险分类识别。第三,风险系统分析,就是从风险发生的可能性和影响程度两个方面,依据风险可能造成的损失以及规避风险所需的经济、社会、政治成本等,对公共部门整体层面风险承受能力和业务层面可接受风险水平等进行分析衡量。第四,风险综合应对。就是依据风险成因、结合公共部门业务流程、风险重要性水平及其应对策略等,通过设立风险清单,建立风险数据库的方式,实施风险规避、风险降低、风险分担和风险承受等应对策略。
(3)公共部门控制措施。是公共部门根据风险评估及应对策略,采取一定的控制措施和方法,将风险控制在可承受范围之内的活动,包括授权审批、不相容职务分离、预算控制、会计系统控制、财产保护控制和绩效考评控制等方法。公共部门内部控制应以预算控制为主线,以资金资产等财产控制为核心,以会计控制为支撑,强化预算控制与会计控制的协调。其中,预算控制侧重对公共资源配置使用等决策活动实施控制,综合采用授权审批、不相容职务分离、预算执行控制等方法,力求决策与执行、监督既相互联系又相互制约。会计控制侧重对会计信息和会计工作等实施重点控制,包括对会计凭证、账簿、报表的登记编制等基础工作实施标准化控制,对公共资源配置、变动、使用和管理等核算信息实施跟踪控制,对会计报表、专项报告等汇总信息实施综合控制。
(4)信息沟通。就是通过文件化、数据化、制度化和流程化的沟通形式,通过建立常态化信息采集、传输、共享机制,全面收集、整理、共享公共部门组织机构、业务运作等方面的内外部信息,并对信息进行筛选、核对和整合,提高信息的有用性,为内部控制实施提供数据基础。
(5)内部监督。就是通过内部审计、纪检监察、绩效考核、内部报告等方式,对公共部门内部控制的健全性、合理性和有效性进行监督检查与评估,及时发现内部控制缺陷,形成书面报告并做出相应处理,确保内部控制体系有效运行。其中,内部审计以国家审计署、各省市审计厅局为主体,单位内部审计为重要补充。纪检监察主要由相关职能部门定期对国家行政机关和公务人员实施纪律检查和行政监察。绩效考核重点是依托政府绩效考评指标,对履行公共职能的各级单位、部门、机构和人员等工作绩效进行评价,并将结果应用于岗位责任管理。内部报告主要是采用例行报告、实时报告、专题报告、综合报告等方式,向公共部门主管单位和领导反映公共履职情况,增强内部管理的时效性和针对性。
4 三点一线:公共部门内部控制的评价体系
公共部门内部控制评价体系是指公共部门相关职能部门、内部管理层及负责人,围绕统一的评价程序方法“这一线”,对单位、部门、机构的内部控制设计的健全性、内部控制实施的有效性和内部控制的整体绩效“这三点”进行评价,以此综合判定内部控制目标的实现程度。
第一,内部控制设计评价。主要是评价公共部门内部控制设计阶段,整体筹划的科学性,要素设计的完整性、制度体系的完备性等,目的是看内部控制设计思路是否贯彻了内部控制的目标要求。
第二,内部控制实施评价。主要是评价内部控制实施阶段,单位组织结构和职责分工的健全状况;各项内部控制制度、业务处理、管理程序的落实情况;各项业务实施中授权、批准、执行、记录、核对、报告等手续的完备程度;岗位职权划分、责任管理和奖惩落实程度等。
第三,内部控制绩效评价。就是利用政府绩效评价指标,按照建立评价机构、开展评价调查、实施评价测试、组织单位评价、编写评价报告等程序对内部控制的整体运作效益、效率和效果实施综合评判,得出改进和成果应用结论。
5 一统三分:公共部门内部控制的制度体系
着眼公共部门内部控制与企业内部控制的有机融合,趋于一体的发展趋势,应按照企业内部控制“一个基本规范+三个配套指引”的制度结构,参考《行政事业单位内部控制规范》内容,按照“一统三分”的体系结构,统筹公共部门内部控制制度,为内部控制设计、实施和评价提供法律依据。
第一,《公共部门内部控制基本规范》,属于内部控制总纲和概念框架,在整个制度体系中起统驭作用。内容包括公共部门内部控制的概念原则、基本目标、基本要素、总体程序、质量标准等。是其他内部控制法规制定的依据。
第二,《公共部门内部控制部门规范》。主要以政府部门、从事公益服务的事业单位、社会组织及非营利机构等三类公共部门为对象,分别制定符合其职能特点、业务性质、工作范围、风险水平等实施细则,为三类公共部门开展内部控制业务与事项提供规定指引。
第三,《公共部门内部控制应用规范》。主要是对《基本规范》和《部门规范》中难以理解的条文给予具体、详细的解释说明,按《部门规范》的体例撰写,为特定业务、特定事项和特定内部控制程序提供操作指引。
内部控制风险分类篇2
摘 要 会计内部控制制度对维护企业的合法性、减少企业的经营风险、为企业发展目标提供保证有着极为重要的意义。企业会计内部控制制度与企业能否适应社会经济激烈的竞争有着极大的关系,也是评定企业管理方面水平高低的标准。
关键词 风险 完善 内控
一、概述
企业内部控制是以专业管理制度为基础,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。
企业内部控制在定义和内涵上,属于全面风险管理系统的子系统,涵盖在全面风险管理的范畴内,隶属于其中的一个重要部分。
二、内部控制制度的重要性
(一)是企业跟随时代潮流、提升经营效率的客观需要。内部控制制度能够促进企业制度的健全与完善,保障企业日常经营活动的顺利进行。
(二)是确保企业的各项规章制度与经营决策可以顺利执行的需要。能够有效监督企业内部各部门与环节的经营活动,从而发挥出较好的控制作用。
(三)是企业进行风险防范的需要。由于面临着日益激烈的市场竞争环境,企业的经营风险也在加剧。企业要不断地发展与壮大,就必须对企业风险进行有效的控制与防范。健全的内部控制制度可以完善企业的风险管理系统,促进企业开展风险识别、风险评估、风险分析等工作。
三、目前企业内部控制存在的缺陷与原因
1、内部控制规范的目标定位存在局限性。目前内部控制的目标定位主要还局限于保证企业业务经营活动的有效进行,防错纠弊,会计资料的真实合法与资产的安全完整等方面。这种目标定位与现实的经济发展存在较大差距。
2、企业管理者越权现象比较普遍。由于体制、机制等原因,企业高层盲目决策、营私舞弊或对经济活动进行越权干预的现象时有发生,岗位设置及权限、审批程序等重要控制环节与企业内部控制制度相悖离。
3、企业经营风险意识比较淡薄。随着竞争的日趋激烈,企业面临的经营风险越来越高。而目前企业的风险意识相对比较淡薄,缺乏风险控制的有效运行机制。能否搞好内部控制工作更多的是取决于内部控制相关人员的责任心和风险意识。
4、企业外部监督尚未形成合力。现行的监督体系难以形成合力。究其原因,主要是各种监督的功能交叉、标准不一、管理分散、缺乏横向信息沟通,资源难以共享。
四、建立以风险为导向的内部控制制度
1、风险导向型管理。首先要确定经营目标。基于风险管理的内部控制的显著特点就是以风险为导向进行管理。只有先明确了目标,才能够识别出风险并采取相应的措施以控制风险。
判断风险管理是否应该进行的标准是净收益原则。净收益原则是将进行不同的风险管理后的企业所获得的净收益与不进行风险管理所获得的净收益比较。如果前者大于后者,则企业应当关注风险,进行有效的风险管理措施。
2、以风险为导向的内部控制制度设计。以风险为导向的内部控制制度不同于传统内部控制制度,把风险管理放在首要位置。在进行内部控制制度设计时,首先要明确企业活动的目标,通过对各种有关业务的风险进行分类、辨认,再对各种类型的风险进行评价。然后,分别针对各种具体业务设计其内部控制制度。最后,采用一定的方法对内控制度应用后的实际情况与设计所预期的结果进行对比分析,从而进一步改进内部控制制度,完善风险管理体系。
以风险为导向的内部控制制度的设计要求各管理人员应以风险为重要着手点,并尽量规避风险。
3、做好内部控制制度的评价工作。评价内部控制制度主要通过内部审计与外部审计相结合的方法,以内部审计为主,外部审计为辅。其具体方法主要有三种:新型评估内部控制法、信息数据库法、数型结合法。
(1)新型评估内部控制法。新型评估内部控制法通过内部审计与管理层一同对企业内部控制进行评估。它要求企业首先设计出评估系统,然后正常有效地运行起来。主要有以下几个特点:它是一个管理控制风险的工具;使内部审计人员和企业管理人员共同控制风险;可以反映当前管理中存在的问题;提高内部控制对风险管理的效率。
(2)数型结合法。数型结合法主要对各目标的数学信息进行分类整理,将有共性的信息归为一类,观察各信息之间的差异,得到一些结论。也可以将数字信息反映在图形中,根据各风险信息绘制成图表。这种方法的特点在于:可以更加清晰、直观地反映风险评价结果,有助于发现重要风险。
(3)信息数据库法。内部审计是企业为监督、评价财务与管理活动而专门设立的独立职能机构,它在企业中发挥着重要作用。企业内部审计人员可以利用数据库中大量、及时、有效的信息开展内部控制评估。内审人员通过大量搜集相关资料,制定出风险评价指标,用这些指标评估风险,将企业的风险数字化,可以更加准确地评估风险。
五、完善内部控制制度应处理好的几项关系
(一)正确处理好成本控制与效益控制的关系。要考虑成本效益原则,内部控制制度增加控制环节会导致人力、物力的消耗,导致控制成本上升,同时,倘若控制环节过于繁杂,会影响处理业务的速度,也会间接导致控制成本的上升。完善的内部控制制度能够防微杜渐,堵塞管理漏洞。
(二)正确处理好职业道德与内部控制制度的关系。内部控制制度属于硬性的规定,而职业道德则是一种软性的约束,其完成的程度取决于个人的综合能力水平与素质,因此,要加强内部控制制度的建设,不仅要依靠硬性的制度,更要积极发挥出员工的主观能动性。
(三)正确处理好工作效率与企业内部层次的关系。由于企业每增加一层内部控制的层次,所发生经济舞弊的概率就会减小一成,企业内部控制的效果也会好一些。但同时也会影响工作效率。
六、结束语
建立完善的内部控制制度对于企业建立完善的自我约束机制、提高经济效益发挥着重要的作用。企业必须认识到内部控制制度的重要性,并通过一系列的措施来完善内控制度,从而保障自身的持续经营与健康发展。
参考文献:
[1]姜海军,李雪松.内部控制与风险管理.技术经济与管理研究.2006.
[2]王勇.《企业内部控制基本规范》解读.中国内部审计.2009(3).
内部控制风险分类篇3
1.基于内部控制的集团企业全面风险管理的基本内涵内部控制与风险管理是基于内部控制的集团企业全面风险管理体系对立统一的两面,其基本内涵为:以集团企业战略目标为指导,将风险管理和内部控制纳入统一的一体化管理框架。首先,以风险为导向,在“全面风险管理”层次上对内部控制进行思考与定位,在全面评估风险的基础上,分析、设计、构建“风险导向的内部控制体系”;然后,以内部控制为平台,通过内部控制活动,在集团企业的风险偏好范围内管控风险,最终将风险控制在可接受的范围内,为企业战略目标的实现提供合理保证。总之,基于内部控制的集团企业全面风险管理,通过内部控制为全面风险管理找到着力点和切入点,能够有效避免风险管理和内部控制的分离,防止风险管理流于形式,以促进全面风险管理机制在集团企业内部有效运转。
2.基于内部控制的集团企业全面风险管理的主要内容根据coso《企业风险管理-整合框架》[2],财政部等五部委《企业内部控制基本规范》的基本要求,国资委《中央企业全面风险管理指引》的基本内容为依据,参考《上海证卷交易所上市公司内部控制指引》、香港联交所的《公司管治常规法则》、英美等国家的管治守的基本要求,立足集团企业的实际情况,以集团企业战略目标为指引,构建以内部控制为基础的全面风险管理的体系,主要内容包括:全面风险管理目标、风险导向的内部控制体系、风险管控、风险管理考评、风险管理报告与风险预警六个方面。在实际操作过程中,基于内部控制的集团企业全面风险管理的主要内容一般通过编制《基于内部控制的集团企业全面风险管理手册》来体现,以其作为集团企业开展全面风险管理工作的操作性文件。
二、基于内部控制的集团企业全面风险管理的运行机制
以内部控制为基础的全面风险管理的运行机制主要包括设立全面风险管理目标、构建风险导向的内部控制体系、实施风险管控、开展全面风险管理考评、明确全面风险管理预警体系和建立全面风险管理报告体系等。
1.设立全面风险管理目标基于内部控制的集团企业全面风险管理应该始终围绕支持集团企业战略目标的实现而开展工作,使风险管控与集团企业战略目标相适应,并将风险控制在集团企业可承受的范围内,为确保集团企业战略目标的实现提供合理保障,以实现“最大限度的企业价值”。因此,需要在集团企业战略目标的指引下,设立全面风险管理目标。第一,进行集团企业环境分析。采用“SWOT”和“PEST”分析法,全面分析集团企业所处的内外部环境,并形成环境分析报告。第二,制定集团企业风险管理方针。基于环境分析报告,制定集团企业对各种重大风险和重要风险领域的风险管理方针。第三,设定集团企业战略目标。为了保证集团企业建立科学、合理战略目标,将集团企业战略与风险管理有机结合起来,将风险偏好与集团企业战略相联系。在集团企业战略目标设定过程中,需要充分考量各种风险的影响,使集团企业战略目标与风险管理方针相吻合,保证集团企业战略目标与其风险偏好相一致,确保集团企业发展战略、风险管理方针与价值创造相一致。因此,在制定集团企业战略时,一方面使集团企业发展战略符合既定的风险管理方针,另一方面,通过风险管理为促进集团企业战略目标的实现提供合理保障。第四,制定集团企业运营目标。以集团企业风险管理方针和战略目标为依据,设定运营目标,据此确定三年或五年滚动经营计划。在运营目标的设定和经营计划编制过程中,要充分考量各种运营风险,并使运营目标、经营计划与风险管理方针和战略目标相容。第五,建立集团企业全面风险管理目标体系。根据运营目标,制定集团企业全面风险管理总目标以及分子公司、各部门和业务单位的具体风险管理目标,形成集团企业全面风险管理目标体系。
2.构建风险导向的内部控制体系内部控制要以风险为导向,分析、设计和实施内部控制活动,旨在全面降低和管控集团企业风险。(1)开展内部控制现状诊断评价以集团企业全面风险管理目标体系为指导,以《企业内部控制基本规范》、《企业内部控制应用指引》为依据,以“行业最佳实践”为标杆,从“内部环境、风险管理、控制活动、信息与沟通、内部监督”五个方面,采用问卷调查、访谈、制度审核、流程测试等方法,了解集团企业业务运作、经营管理现状,分析评估内部控制事项是否符合相关的内部控制要求,是否符合集团企业制定的全面风险管理方针,诊断内控薄弱环节,评价内控有效性[3]。通过以上诊断以及评价,揭示风险管理的主要问题,确定基于内部控制的集团企业全面风险管理体系建设的重点。例如,2013年,JZ能源集团按照上述诊断评价方法,对“投资、融资、担保、销售、采购”五个重要业务环节,共设置了446个检查点,全面剖析经营管理及内部控制现状,查找不足。通过内部控制现状诊断评价发现五个重要业务环节的总体完善度为64.57%,属于中等;检查点的执行有效率为85.20%,结果良好;制度的总体合规率为75.78%,属于中等。由此可知,其内部控制还存在缺陷,需要强化内部控制体系建设和提升内部控制执行力。(2)建立风险识别分类框架结合集团企业生产、经营与管理现状、实际业务板块特点、外部环境以及内部条件,运用访谈、研讨、资料研究、发放调查问卷、审阅所有重要的管理制度以及制度与流程相结合的形式,建立风险识别分类框架,规范风险描述语言,统一对风险的认识和理解,并明确各类风险的责任管理部门。例如,2013年JZ能源集团按照上述方法,从“战略、法律、运营、财务、市场、投资”方面建立了风险识别分类框架,见图1。(3)进行风险辨识根据风险识别分类框架,对各类风险进行分类细化,辨识出集团企业需要关注的风险事件,形成集团企业风险事件库,找出各风险的关键影响因素,揭示风险发生的内外部原因、暴露状态以及潜在的不利后果,明确各项风险管控的关键责任部门与个人,对接集团企业的有关业务流程、管理流程和制度,确定关键业务流程、管理流程的风险事项。例如,JZ能源集团企业根据上述风险辨识流程与方法,初步建立了包含137条风险事件的风险事件库,形成了集团企业总部层面风险库,涵盖了集团企业内外部的主要风险表现。总部层面风险库的一级风险目录6个,分别为“战略风险、投资风险、市场风险、财务风险、运营风险、法律风险”。一级风险目录下又分为39个二级风险子类别,其中战略类风险8个,风险事件18条;市场类风险7个,事件36条;财务类风险7个,风险事件21条;运营类风险8个;风险事件20条,法律类风险5个,风险事件33条;投资类风险3个,风险事件9条。该集团企业风险整体分类框架见图1。(4)进行风险评估针对辨识出的风险事件,从风险发生的可能性和风险发生对战略目标、经营管理目标的影响程度两个纬度进行风险评估,确定其风险水平,找出面临的重大风险、重要风险、中等风险和低风险,确定各项风险的重要性排序和管控重点,绘制风险坐标图。据此,JZ能源集团通过风险评估,明确了2013年的重大风险和重要风险—9个重大风险和3个重要风险。9个重大风险分别为:战略类—资源获取风险、分子公司管控风险、产业政策风险;市场类—销售管理风险、采购风险;财务类—融资风险、担保风险;运营类—安全管理风险;投资类—产(股)权类投资风险。3个重要风险分别为:投资类—固定资产投资风险;运营类—环境保护风险、信息系统风险。JZ能源集团企业2013年重大、重要风险见图2。(5)制定风险管控策略根据风险评估结果,制定集团企业总部层面的风险管控策略,明确每一类(项)重大风险的风险偏好、风险承受度。一般来说,重大风险的风险偏好是集团企业愿意承担风险的重大决策,应该由董事会决定。风险承受度就是集团企业风险偏好的边界,即能够承担的风险水平。例如,2013年SH能源集团确定:安全管理风险偏好为:不能发生铁路颠覆、电力事故、瓦斯爆炸,港口淤泥等任何安全事故,确保安全运行;安全管理风险的风险承受度为:力争达到原煤生产百万吨零死亡率的目标,力争安全生产创出历史最好水平。(6)构建风险导向的内部控制环境风险导向的控制环境包括全面风险管理组织体系、全面风险管理信息系统、全面风险管理文化和全面风险管理制度体系。通过建立完善的风险导向的内部控制环境,塑造全面风险管理文化,进而培养员工的全面风险意识,形成人岗匹配、授权有度、运行有序、监控到位的内控环境。第一,建立权责清晰的全面风险管理组织体系。全面风险管理组织体系是有效实施全面风险管理的组织保障。主要包括规范的法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他职能部门、业务单位的风险管理组织领导机构及其职责。通过合理的组织结构设计和职能安排,将全面风险管理责任落实到每个部门和岗位,明确界定每个部门和岗位的职责并进行有效地传达沟通。JZ能源集团的全面风险管理组织体系见图3。第二,搭建畅通的全面风险管理信息系统。基于内部控制的集团企业全面风险管理体系必须设置全面风险管理信息系统,以便建立起顺畅的内外部风险信息传递与沟通机制,将风险管理相关的所有资讯集成到全面风险管理信息系统中,使相关个人、部门能及时获得履行风险管理相关职责所需的资讯。主要包括风险数据信息的采集、存储、加工、统计、评估、图谱分析、监控、预警、应对等功能。第三,塑造先进的全面风险管理文化。全面风险管理文化是风险管理的世界观与方法论,是基于内部控制的集团企业全面风险管理体系的灵魂。因此,必须以塑造先进的全面风险管理文化为先导。把全面风险管理文化融入企业文化建设和全面风险管理的全过程,建立具有风险意识的企业文化,统一风险语言,培育员工的风险意识,营造风险管理氛围,使风险管理理念贯穿于从战略目标设定到日常运营的各项活动中,固化在员工的行为之中。第四,建立执行有力的风险管理制度体系。鼓励大家藐视各种规章制度是安然破产倒闭的重要原因之一。有效的全面风险管控必须建立完善的执行有力的制度体系,以此来规范每一个员工的行为。全面风险管理制度体系就是要在集团企业的各项管理制度中嵌入风险管控的制度条文。这些制度主要包括公司治理、战略计划、技术管理、财务管理、采购管理、物资管理、人力资源、法律管理、安全环保、行政管理、销售管理、内部控制、信息技术和工程管理等制度。
3.实施风险管控主要从以下几个方面实施风险管控:一是梳理集团企业的重要业务流程、管理流程,进行流程描述,分析流程所涉及的主要风险点和潜在的隐患,同时确定各种风险涉及的责任部门与岗位。例如JZ能源集团风险管理涉及的责任部门,见图4。二是确定重要业务流程、管理流程的关键控制点,针对关键控制点,明确风险控制工具、控制方法、控制程序与措施、控制活动及其检验方法。三是编制《集团企业岗位风险管控手册》,明确每个岗位的风险管理职责和权限等,促进全面风险管理机制在集团企业内部得到有效实施,切实强化日常风险管理,使全面风险管理真正落到实处。
4.开展全面风险管理考评人们只会做你考评的事情,不会做你提倡的事情。要有效地执行基于内部控制的集团企业全面风险管理体系,需要制定《集团全面风险管理工作考评办法》,明确考评的组织机构、范围对象、内容标准、方法程序,对集团企业各个层面的重大和重要风险事项及管理流程、业务流程的管控效果进行考评,评价其有效性[5]。如果考评结果不满足所确定的全面风险管理目标,要按照PDCA循环及时检讨内部控制体系,分析风险管控缺陷,并对全面风险管理体系加以完善和改进,开始新一轮以内部控制为基础的全面风险管理循环,还需要考察全面风险管理目标的合理性,以不断完善集团企业全面风险管理。
5.建立全面风险管理预警体系要有效地执行基于内部控制的集团企业全面风险管理体系,要制定《集团风险监控预警工作指引》,建立风险监控预警指标体系,制定风险监控预警应对策略,利用全面风险管理信息系统,通过连续观测各项预警指标,将数据导入预警模型,计算其综合风险分值,并获取相应的预警信号。按照一定的风险转换矩阵,综合判断各种风险预警等级,分别给出正常、蓝色、橙色和红色预警信号。例如,2013年JZ能源集团全面风险监控预警指标体系,具体如表1所示。
6.建立全面风险管理报告体系全面风险管理报告体系是集团企业利益相关者之间实现风险信息充分沟通的有效保障,健全的基于内部控制的集团企业全面风险管理体系,必须建立规范的风险管理报告体系,全面风险管理报告体系的核心就是要根据利益相关者的信息需求,建立满足风险管理目标要求的风险管理工作报告机制,包括风险管理工作汇报的内容、形式及程序、报告负责人、报告周期、覆盖范围、报告内容、形式、程序及报告分送名单等。全面风险管理报告体系不仅包括风险管理流程中应形成的各种类型的风险管理报告及其内容要求,还要建立这些报告如何在集团企业利益相关者之间、风险管理各职能机构之间传递的风险管理报告机制。
综合上述分析,文章构建基于内部如何将内部控制与风险管理进行有机结合,构建基于内部控制的集团企业全面风险管理体系是集团企业全面风险管理需要解决的重要课题。文章以煤炭集团企业为背景,以风险管控为导向,以内部控制为切入点,构建了基于内部控制的集团企业全面风险管理体系。首先,诠释了其核心理念,解释了其基本内涵,给出了其基本内容。其次,重点研究了基于内部控制的集团企业全面风险管理体系的运行机制,主要包括:设立风险管理目标、构建风险导向的内部控制体系、实施风险管控、进行风险管理考评,明确风险管理的预警体系与报告体系等方面。
内部控制风险分类篇4
【关键词】 XBRL; 内部控制; 有效性
一、内部控制规范实务发展现状
2002年7月美国颁布的《萨班斯—奥克斯利法案》(Sarbanes-Oxley Act2002USA,简称SOX法案)第302、404节中对企业内部控制的相关要求做了明确规范。COSO委员会继1992年提出《内部控制——整合框架》(简称COSO-IC)后,2004年进行增补,再次推出《企业风险管理——整合框架》(Enterprise Risk Management,简称COSO-ERM),提出了内部控制的新框架。
内部控制框架在企业中的执行情况如何呢?COSO委员会于2010年了一份关于ERM框架实际推进情况的报告中指出:“目前,ERM的应用相对来说发展还不成熟”,有关机构对公司推进ERM框架的情况进行了调查,调查结果显示,“仅有28%的受访者表示公司目前ERM的状态是成熟的、机制健全的、可循环运转的,而接近60%的受访者表示他们的风险追踪体系几乎是不能系统工作的或对于整个公司范围来说仅能追踪到个别部门的风险”(COSO,2010)。另外一位从事COSO发起研究的学者在论文“board Risk Oversight”中提到“我们研究发现一些能够体现公司董事会对宏观风险监察有效性的复杂信号……绝大多数的调查结果显示他们的董事会不能规范、系统地执行风险监察流程”(Protiviti,2010)。通过问卷调查发现,“由美国SEC和PCAOB倡导的能够降低评估成本的风险向导评价方法的实际应用情况并不理想”(Parveen P. Gupta,2006)。
我国财政部会计司原司长刘玉廷博士指出:“内部控制缺陷的认定,特别是非财务报告内部控制缺陷的认定,是企业内部控制评价工作中面临的重大挑战之一”(刘玉廷,2010)。此外,目前的内部控制规范仍存在诸多亟待完善的地方,如内控缺陷的概念和内涵界定模糊,重大缺陷缺乏认定标准,有关内部控制的指导规范执行不利,内控信息纰漏监管政策并没有得到很好的执行等,这些直接影响了我国上市公司内部控制有效性的发挥。这种实际的或潜在缺点和不足使得内部控制不能充分或有效率地实现预期控制目标。只有找出现实存在的原因,并探讨改进,才能提高为实现预期控制目标提供合理保证的程度。
二、影响内部控制有效性发挥的原因
影响企业内部控制执行的有效性发挥的原因是多方面的,本文仅从企业组织管理的角度出发,对其原因进行讨论:
第一,管理层面临促进内部控制有效性发挥的一个关键问题是,满足从多样化不兼容的各种系统中获取并整理数据,使所有数据服从于同一内部控制管理框架。目前财务数据通常在ERP系统或者其他的财务软件中保存,然而内部控制管理框架只能保存在电子制表软件里,或者保存为条例式的解决方案。这就需要一种技术更为成熟的工具,能够将财务数据和内部控制管理准则体系相融合。
第二,影响企业内部控制制度有效性发挥面临的另一个难题是企业不同的管理层对风险标准的理解和解释不一致。何种影响程度的风险和内部控制缺陷应该进行认定?某项风险的潜在影响程度是否严重?这些问题往往依赖于公司管理层的主观判断和认定。而公司不同管理层因为执业能力的差别,持有谨慎态度差异等原因,对上述问题的理解和解释往往会不一致。特别是在风险的识别和评估阶段,对风险标准的理解不同可能会导致管理层作出不同的决策,进而影响内部控制发挥结果的有效性。
第三,面对席卷全球的经济危机,企业的内部控制系统受到严峻的考验,会计信息可信赖程度不足、财务舞弊现象不断暴露。世界银行首席经济学家林毅夫曾指出,“除了实体经济面上的隐患外,覆盖全球的计算机网络系统和风险行为起到了推波助澜的作用”(林毅夫,2008)。进一步思考,“会计信息系统是企业管理核心系统的子系统,会计信息占企业管理信息的80%左右”(AICPA,2002),其输出信息的可信性很大程度上左右着企业决策的效果。但企业管理层很难快速判断出会计信息的可信性,即使是专业的审计人员也需要会计人员的配合,查阅相关源头资料才能作出可信性判断。因此,如何实现快速查阅会计信息的来源,确定数据怎样具体构成,成为增强内部控制有效性的诉求。
第四,现阶段理论界和企业主要侧重于站在外部审计或者外部监管的角度对企业内部控制评价进行研究和考察,而鲜有基于管理者的视角出发。主要以确保信息真实、资产安全为目的,而非以满足管理者的需要为目的,导致现行企业中普遍存在被动控制、被动审计的思想。“这种局面的形成,与我们长期局限于会计审计视角研究内部控制,而忽略从管理控制角度综合研究内部控制直接相关”(杨雄胜,2005)。“这也正是为什么会有大约58.82%的被调查企业内部控制制度的执行没有达到预期效果的症结所在”(德勤,2009)。
三、XBRL增强企业内部控制有效性的优势分析
XBRL(eXtensible Business Reporting Language)是一种基于XML的标记语言。通过对财务报告的标准化处理,将财务报告统一转换为一种可以自动读取的信息形式,形成具有统一标准和可比性的财务报告。“XBRL的应用对企业在风险管理、内部控制、可行性研究报告、合规性内部控制评价报告、商业信息收集等方面工作的开展提供了更为有效的途径”(Jeffrey C等,2011)。
“XBRL可以通过改变互联网环境下财务报告编制、存储、传递、应用的方式和技术手段,改革传统的财务报告模式,从而提高会计信息质量”(廖治宇,2008)。采用XBRL格式的信息比传统的PDF、DOC、HTML等文档形式具有更多不可比拟的优越性,极大地方便了信息使用者利用信息和批量处理信息,具体表现在:
1.XBRL系统可以读取PDF、DOC、HTML等多种形式的信息。但PDF、DOC、HTML等形式之间较难实现互相转化和共享,现实中由于缺少统一的数据标准,不同企业往往按照自己设定的标准和格式来组织数据,造成数据交换和共享较为困难。XBRL标准化集成了数字信息和非数字信息,增强了信息交流的通用性,大幅提高了信息的可比性,使信息的获取更加便捷与高效。
2.XBRL信息处理可以自动摘录并交换,减少了对不同格式资料需求的重复录入。如与PDF文本格式进行比较,PDF格式的文件类似于图形文件,信息呈现非常清楚,但阅读者无法自动从中读取数据。因此,阅读者使用信息时不得不对公司披露的PDF信息进行二次加工。
3.与传统文档格式信息相比,XBRL的应用提高了报表的编制效率,而且有利于增强会计信息的透明度,促进财务报告模式变革,提高财务报告分析利用率,实时监控和持续审计。
四、XBRL如何实现增强企业内部控制的有效性
从企业组织管理的角度,XBRL的应用为提高企业内部控制的有效性提供了新的解决思路。应用XBRL对内部控制的革命性意义在于,在避免了人工编辑合成数据的情况下通过XBRL实现内部控制证据与财务报表账户信息相结合。引用IMA成员之一Robert Kaplan的话:“量化财务数据、经营能力、科技水平、战略风险管理对企业来说是至关重要的,正因如此才迫切地需要我们找到如何进一步提高ERM有效性的方法。同样值得注意的是,风险管理需要一套行之有效的系统为内部控制和宏观管理服务”(2008)。具体来说,XBRL是如何实现增强企业内部控制的有效性的呢?
第一,XBRL是如何解决从多样化不兼容的各种系统中获取并整理数据,使之服从于同一内部控制管理框架这一难题的呢?XBRL通过改变互联网环境使采集并编辑不同来源的数据成为可能。不同信息系统或跨国经营单位可以获取统一XBRL格式的数据,并可以进一步将其加工成为数据结构图和数据报表,来满足不同目标使用者的需求。因此在全公司不同的内部控制环节和不同的部门之间,XBRL格式的数据都能够被有效利用,这为内部控制流程中的每一个关键性步骤提供支持。
第二,对于企业管理层对风险控制分类标准的理解和解释不一致的情况,XBRL的应用可以为问题的解决提供一种新思路。首先将内部控制分类标准上传到XBRL系统中;再收集企业有关风险并进行清单汇总,XBRL的使用能大幅度提高清单汇总的效率,将这些被汇总的风险和与之相对应的控制程序上传到XBRL系统中,将其与内部控制分类标准进行配比比较;然后将新出现的风险和控制程序纳入内部控制分类标准中,最终形成一个更为规范的分类标准框架。这样公司风险是否确认、如何分类将有一套标准而规范的尺度来衡量。标准一旦得到量化统一,公司所有员工对风险控制分类标准的理解达成一致也变得更容易实现。
第三,XBRL总分类账(XBRL GL)是一个既独立又与XBRL国际组织有关的项目,是“针对财务报告的来源数据及其结构订立的协议”(潘琰、林琳,2006)。XBRL GL集成了其他结构化数据格式以保持数据本身与其上下文信息。一方面,这些上下文信息通常可以“向上归纳”至财务报告。另一方面,可以从财务报表披露的数据中“向下挖掘”到有关经济事项。XBRL GL的这种性能应用,为管理层实现获取的财务数据和非财务数据能够“向下挖掘”到源头系统提供可能。快速查验源头系统,为财务数据和非财务数据的可信性提供了保证。“XBRL实施后将改变过去审计人员以追溯旧数据来检查被审单位在过去某一时刻的财务状态和活动的情况,使审计人员根据需要实时点击所需数据”(姜玉泉等,2004)。进一步,将现有的XBRL总分类账分类标准与XBRL内部控制分类标准相结合,实现企业财务报告、总分类账、合规性内部控制评价报告三大口径的统一,使管理层可以实现快速对财务报表中某一具体账户信息进行深度剖析,如该账户有关项目是否存在特别风险,有无风险控制措施。
第四,提高了信息的透明度,改善了公司治理,使某些外部机制能变成内部监管的替代作用。采用XBRL技术能够帮助非职业的财务报告信息使用者在其投资决策时获得相关财务信息,“利用便利搜寻引擎技术(earch-facilitating technology),XBRL增加了财务信息的透明度和管理人员披露有关信息选择时的透明度来帮助报告使用者决策”(Frank,2004)。同时,“有助于外部监管和接管活动,这些外部机制能变成内部监管的替代作用,而且技术改善将导致更多的披露和更进步的外部治理,以及更少的董事会监管和内部再造流程,这对于提高公司内部治理和外部治理的有效性大有裨益”(Robert,2005)。
第五,XBRL系统的应用可以帮助企业建立从整体的、全局的角度构建与企业管理相结合的内部控制体系,使内部控制与实现企业组织目标和实现企业可持续发现相结合。内部控制是一种“全员参与的控制”,是一种企业全体员工共同参与的管理工作。XBRL信息的采集、处理和应用需要更多的管理和专业知识,因此,更应重视各个层面有关人员的参与性。
第六,XBRL不但能输出XBRL自有统一格式的报告,还可以随时创建实例文件。管理层可以通过找出XBRL系统中逻辑不一致数据的原因,做到风险管理的事前监控和事前控制。通过找到哪个控制环节经常产生风险,并且确定相应控制对象的范围,管理层还可以评估风险识别和风险控制的效率,提高下属各分部门领导层的风险控制能力。
目前使用XBRL技术主要用于提供对外报告,为了更有效地应用XBRL为企业内部控制服务,还需要我们转变视角,思考如何利用XBRL进行决策分析和内部报告的形成。“但是任何一项没有实施机制的制度职能是制度的纸质副本,实施机制才是制度功效得以实现的关键”(缪艳娟,2010)。XBRL技术本身并不是包治百病的神药,立志于建立企业内部控制和管理的长效机制,采取有针对性的措施对企业现行的内部控制体系进行整改,才能使内部控制实务方面得到实质性的改变。
【参考文献】
[1] 财政部会计司.企业内部控制规范讲解[M].经济科学出版社,2010.
[2] 池中华.基于管理视角的企业内部控制评价系统模式[J].会计研究,2010(10).
[3] 缪艳娟.企业内控规范实施机制的新制度经济学分析[J].会计研究,2010(11).
内部控制风险分类篇5
【关键词】上市公司;内部控制缺陷;行业
内部控制的目的在于改善经营管理、提高经济效益。在财政部颁布的《企业内部控制基本规范》以及《企业内部控制评价指引》、审计指引和18项应用指引中,均提到了对内部控制缺陷的认定,并提出相应的认定标准和可能存在重大缺陷的迹象。究竟具有内部控制缺陷的上市公司拥有的特征如何,我们可以从已披露内部控制缺陷的上市公司中进行探究。从而为相关监管机构进行日后的分类监管提供一定的参考。并且便于公司管理者发现内部控制缺陷的存在,以及有助于注册会计师对管理层出具的自我评价报告的审计。
一、披露内部控制缺陷的现状
(一)样本选取
由于财政部颁布的《企业内部控制基本规范》在境内上市企业执行的时间被推迟至2010年1月1日。故本文通过选取沪市A股2010年1月1日~2012年6月29日披露其内部控制自我评价报告的公司。样本的来源是从上海证券交易所网站找出披露了有关内部控制的相关评价报告的公司。
(二)内部控制缺陷披露公司行业分布
根据上交所与中证指数公司2012年6月8日更新的上市公司行业分类,将沪市A股933家上市公司分为九个行业,分别是能源、原材料、工业、可选消费、主要消费、医药卫生、金融地产、信息技术、电信业务和公用事业。
表1中将发现存在内控缺陷的公司按行业进行分类。从表中可以发现,存在内控缺陷的公司中,工业行业占据的数目居多,并发现其主要涉及的是从事运输、资本品和商业服务于商业用品的部门。初步分析我们认为,这主要与工业公司一般规模庞大,部门设置繁多,与商业流通企业仅是购进、销售、再购进的资金往复循环比较而言,工业企业最大特点多了加工制造并由此产生成本、费用、半成品、残次品的过程。并且,工业企业与商业流通企业的科技含量而言,具有创新、发明和提升产品附加值的过程。因此其在内部控制的制度设计和执行方面不免存在漏洞,从而导致了内部控制缺陷的发现。
金融地产行业存在内控缺陷的有8家上市公司为银行。这主要是由于银行行业在过去相对于其他行业拥有一个更高的内控标准,2002年4月中国人民银行就颁布了《商业银行内部控制指引》。而且金融地产行业是一个周期性、风险性、垄断性非常强的行业。金融地产业的经营比较分散,业务相对统一但业务量庞大,并且实时性、安全性、准确性以及与业务系统和其他外部系统的数据整合性要求高。该行业在资金的运作方面存在更高的风险,故公司的管理层会更加关注于内控缺陷的存在,并积极提出整改措施。
通过观察存在内控缺陷的公司占行业总公司数量的比率我们发现,电信业务高于排在第二的金融地产业4个多百分点,而该行业总共的上市公司仅有17家。这4家存在内控缺陷的公司主要是从事通信设备的业务,其存在内控缺陷主要是由于公司内部组织机构与内控管理体系存在矛盾。电信企业的生产过程就是销售过程,电信企业以管理部门进行职能分工,但业务流程按生产与管理程序进行设计,流程责任人负责管控其所属各控点,而各控点责任人却属其他部门管辖。业务流程管理与部门人事管理出现交叉,容易产生一些矛盾,在内控实际执行与自我评估时出现“踢皮球”的现象。
通过以上的分析我们不难发现,工业、金融地产和电信业务的公司易出现内控缺陷,其内部控制中存在一定的风险,表现出一定的行业特征。在公司运营的过程中出现的重大内控风险与漏洞都将直接影响经营成果和财务报告的质量,并在资本市场上直接影响到公司价值,应当引起公司管理层和相关监管部门的重视。
(三)内部控制缺陷的披露内容分类
根据相关文件中的描述,内部控制缺陷根据缺陷的性质和产生的原因可以分为设计缺陷和运行缺陷。内部控制缺陷按其影响程度可分为重大缺陷、重要缺陷和一般缺陷。其具体认定标准,由企业根据上述要求自行确定。
通过对样本的研究发现,披露存在内部控制缺陷的122家公司中,有63家指定了详细的内部控制缺陷认定标准。整个沪市A股上市公司中有156家公司指定了内部控制缺陷认定标准,包括与非财报相关的定性标准和与财报相关的定量标准。根据企业的相关评定标准,发现的636项内部控制缺陷,其中重大缺陷2个,重要缺陷20项,其余均为一般缺陷,平均每个公司存在3.13个缺陷。这两项重大缺陷是合同签订的审批和控股公司占用的资金审批,重要缺陷主要是涉及人员培训、社会责任、采购环节、财务报表、合同管理和风险评估。
为了更加直观的进行研究,也由于目前没有数据库对内部控制缺陷进行统计,故笔者对内控缺陷按其内容进行了划分。根据《基本规范》和应用指引的相关内容以及内控缺陷存在方面,将内部控制缺陷划分为五大类,共20个项目。内部环境,包括组织结构、人力资源、社会责任和企业文化;控制活动,包括资金、采购、资产、销售、研发、工程、财报、预算、合同、担保和外包;信息沟通,包括内部信息传递和信息系统;发展战略;内部监督和风险评估。我们将具体披露的内部控制缺陷内容,进行分类汇总后如下:
组织架构存在最多的内部控制缺陷,主要是公司的内部管理制度的指定不完善和执行力度不够,治理结构缺乏科学决策、良性运行机制。例如中恒集团在该方面存在一个重大缺陷,主要表现是公司重大决策机制未完全经过集体讨论决定。在公司运营过程中,为了抢抓市场时机,在未经董事会决议情况下,公司与部分公司签订了协议并预付了资金,对公司整体目标的实现形成了重大影响。
其次是人力资源中的主要缺陷是高管和员工的培训不足,人员在配置上的缺陷。安徽合力公司的子公司未对管理人员进行绩效考核,构成了该公司内部控制的一项重要缺陷。对于财务报表方面的缺陷,公司未按照相关的会计准则进行会计的核算,财务报表的披露和利用有不足。在信息系统方面,许多公司还未建立起相应的内控管理信息系统,ERP的应用还不是很普遍,从而导致部分管理存在漏洞,给企业带来风险。
风险评估的缺陷集中在,公司制定的风险评估的相关内部控制制度,需明确公司应根据风险评估的目标,全面系统地收集风险信息,识别、分析和应对风险。公司通过各种方式应对生产经营过程中的主要风险,并且应该组织各职能部门和所属企业,全面系统地收集风险信息,识别、分析和应对风险。
资金部分存在的问题主要是对外投资项目需要要积极跟踪,加强监管,进一步提高投资收益;由于早期上市的公司监管部门并未明确要求制定相关募集资金管理制度,因此部分公司没有募集资金管理制度。
我们在内部环境方面共发现了185项内控缺陷,这反应出公司存在低效的内部控制环境。总体来说,一个低效的内控环境通常能够反应出公司高管对待内部控制的态度。COSO委员会就曾指出,高层管理人员设置企业的环境或文化内基调在财务报告的过程是最重要的因素,有助于财务报告过程的完整性。尽管拥有令人印象深刻的书面规则和程序,如果管理层定下了基调是宽松的,欺诈性财务报告是更可能发生的。因此公司在进行内部控制缺陷的认定过程中,要更多的注重内部环境的评定,对于公司高管与内部控制缺陷的正相关性有必要进行进一步的探讨。
(四)内部控制缺陷与行业相关性
从表中我们可以发现,53.85%的内部监督缺陷发生在工业行业。从表中我们可以看出,工业行业同时具有很高的风险体系缺陷和内部环境缺陷。正如赵秀侠所说“工业企业大多是由国家或集体控股,比起经济因素,企业更加关注的是企业所面临的政治因素。国有股的一股独大,使得企业内部很难产生相应的制衡关系,更不用说内部控制的建立和完善。高层治理人员以权谋私,存在违法违纪现象[3]。”
由于各行业面临不同的挑战,在金融地产业普遍存在的缺陷是战略缺陷(33.33%)和信息沟通缺陷(26.47%),同时公共事业的内控缺陷主要是风险评估体系和内部环境。唐雅洁提到,银行机构要建立起科学的银行计算机系统风险控制制度,但在实际操作中这一点难以做到[4]。计算机等高新技术在银行业的广泛运用推动了其发展,同时也带来了许多新的风险,向内部控制工作提出了挑战。现行内控制度很大程度上已不能再适应计算机支持下的银行会计业务,带来诸如计算机技术员和会计业务员权责分工等一系列原内控制度所未涉及到的问题。会计部门缺乏既懂业务又懂微机的复合型管理人才,对电子数据处理系统的管理不得力。另一方面,公共事业行业经常从事复杂的交易,通常涉及复杂的会计准则的解释和应用,其一般具有子公司,子公司中普遍存在内部控制缺陷。因此公共事业行业具有的风险具有很大的不确定性。
二、总结
管理层披露的内部控制缺陷通常与公司内部控制的资源分配不均相关。我们发现工业行业和金融地产行业中的公司存在内部控制缺陷的可能性较大,电信业务行业中的公司普遍存在内部控制缺陷。组织结构需成为发现内部控制缺陷的重要关注点,其次是财务报表,还有信息系统。
工业行业我们主要关注内部监督和信息沟通;原材料行业我们主要关注控制活动和风险体系;能源行业则对信息沟通提高关注,而金融地产行业、医药卫生行业、电信业务行业和可选消费行业则应对战略发展进行重点监控;公共事业行业、信息技术行业和主要消费行业要对风险体系提高关注。通过发现内控缺陷的公司行业特征,能够使投资者增加辨识能力、帮助完善政府法规制定,同时也能够提高管理层对内控缺陷的警惕性。
参考文献
[1]Weili Ge and Sarah McVay,The disclosure of material weaknesses in Internal Control after the Sarbanes-Oxley Act[J].Accounting Horizons,2005(3):137-158.
[2]五部委.《企业内部控制基本规范》、《企业内部控制配套指引》[R].2010-06-01.
[3]赵秀侠.浅谈工业企业内部控制存在的问题与对策[J].现代商业,2011(4):76-79.
[4]唐雅洁.金融机构内部控制中存在的问题及对策[J].金融参考,2003(9):169-173.
作者简介:
李虹霓,女,河北石家庄人,天津商业大学会计研究生。
内部控制风险分类篇6
关键词:风险导向 内部控制
针对多业态跨区域经营特点,为加强企业风险管控,公司结合生产经营实际,积极探索适合企业发展需要的以风险为导向的内部控制体系建设及管控模式。经过几年的探索实践,增强了企业风险管控能力,提升了企业经营管理水平,为实现公司战略目标起到了积极的促进作用。
一、建立以风险为导向的内控体系是提升公司风险防控能力的客观需要
(一)防控风险已经成为公司管理的重要目标
世界经济进入全球化时代,企业经营业务多元,地域分散,复杂的社会经济环境影响着公司的经营、稳定和发展。随着企业经营规模扩张,交易金额增大,交易频率加快,企业面临的不确定性因素增多,传统的企业管理制度局限性日益凸显。分析国内外企业倒闭或衰败的例证,总结本公司多年经营中的经验和教训,无不与企业风险管控密切相关,经营过程中的风险防控已经成为企业管理的重要目标和焦点。建设和完善风险为导向的内部控制体系已成为企业防控风险重要措施。
(二)防控企业风险要靠严密的内部控制体系做保障
公司风险管控经历了三个阶段,一是凭经验管理(公司初创时期),对有风险的业务选派“经验丰富”的人去管理,经营决策靠有经验的领导把关,被称为经验管控阶段。二是靠单项制度控制,针对高风险业务制定专门的控制措施,做到一事一制度,方法虽然简单,但由此步入了制度控制阶段。经过一段时间摸索,积累了一套行之有效的管理制度,在规范企业管理和防控风险中发挥了重要的作用。但由于规章制度多为单项规定,程序性规定很少,标准制度没有流程保证,且各专业部门颁布的管理制度都带有不同程度的局限性,缺乏系统性、全局性,已不能适应企业全面风险管理的要求。三是进入了体系控制阶段,为做好企业风险防控工作,公司结合不同风险特征
内部控制风险分类范文
本文2023-11-29 17:57:45发表“文库百科”栏目。
本文链接:https://www.wenkubao.com/article/4121.html
相关文章
