第一篇:全面风险管理与内部控制体系建设实施方案
全面风险管理与内部控制体系
建设实施方案
一、指导思想
围绕公司战略目标,通过在公司管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,实现风险管理的总体目标。
二、方案参考依据
《中央企业全面风险管理指引》国资发改革[2006]108号;《山东省省管企业全面风险管理指引》鲁国资企改〔2008〕22号;财政部发《企业内部控制规范—基本规范》和《萨班斯-奥克斯利法案》等。
三、总体策略
(一)方案内容
1、通过对公司内、外部信息包括历史信息和预测信息进行全面、细致调研的基础上,充分辨识、分析、评价公司可能面临的各种风险,主要包括战略风险、财务风险、市场风险、运营风险、法律风险等;
2、针对识别的各种风险,制定相应的风险管理策略,即围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,确定风险管理所需人力和财力资源的配臵原则;
3、根据风险管理策略制定具体的实施策略,确定具体的风险管理目标、对策、组织领导、管理流程、投入资源,以及风险事件发生前、中、后可采取的具体管理措施及风险管理工具,也即建立、健全、完善内部控制制度。
4、建立风险管理信息系统。
5、建立风险管理的监督与改进机制,及时跟踪风险及管理状况,建设并及时更新风险信息库,并根据风险监督结果对风险管理工作进行相应改进与提升,从而保证企业全面风险管理的效果。
(二)取得的成果
通过以上工作内容,我们会为公司出具以下工作成果:
1、公司风险信息库
2、公司风险评估报告。
3、公司全面风险管理策略。
4、公司全面风险管理解决方案(或称为内部控制手册),包括(1)公司风险管理职能体系;(2)重大风险管理职责分工;
(3)针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程制定的制度、程序和措施;
(4)风险管理体系考核办法。
5、建立风险管理信息系统
6、全面风险管理的监督与改进制度
(三)实现或达到的目标
1、确保将风险控制在与公司战略目标相适应并可承受的范围内。
2、确保内外部,尤其是公司与股东之间实现真实可靠的信息沟通。
3、确保遵守有关法律法规。
4、确保公司规章和制度措施的贯彻执行,保障经营管理的有效性,减少实现经营目标的不确定性。
5、确保公司建立针对各项重大风险发生后的危机处理计划,保护公司不因灾害性风险或人为失误而遭受重大损失。
二、具体方案和完成时间
(一)初始信息收集
1、收集内容:公司战略、业务数据、管理信息、历史资料、外部环境信息、行业风险信息等。
2、收集方式:初步调查问卷、访谈等。
3、小组讨论研究收集的所有信息,并汇总整理形成风险管理初始信息。
4、制定风险辨识评估计划。本阶段所需时间约 个工作日。
(二)辨识、分析、评价风险 辨识:
1、在公司各部门发放风险辨识调查问卷,要求部门领导从自己业务和工作流程角度出发填写可能面临的各种风险。
2、汇总风险辨识调查问卷,连同在初始信息收集阶段辨识的风险,根据风险业务流程分别编制风险评估问卷,并发至相关部门,要求相关部门为各种可能的或潜在的风险打分。
3、根据事先制定的评估标准,对收回的风险评估问卷进行初步分析,提炼风险事件,并在公司职能部门进行访谈和研讨,确认辨识结果,形成风险信息列表。
本阶段所需时间约 个工作日。分析:
1、根据风险信息列表,利用各种定性或定量分析工具,分析和描述风险发生可能性的高低、风险发生的条件。
2、分析各风险及事件对公司战略规划目标或关键绩效指标的影响路径和影响大小。本阶段所需时间约 个工作日。评价:
1、确定风险重要性的评价标准,对风险进行综合评价及比较排序,形成初步评价结果。
2、开展部门访谈或研讨,对评价结果进行修正。
3、征询公司领导意见,确认评价结果。
4、形成风险评价的结论,即评估风险对企业实现目标的影响程度、风险的价值等。
5、形成XX公司风险库。
本阶段所需时间约 个工作日。
(三)编制《风险评估报告》
个人认为该报告是对前面三个环节即风险辨识、分析、评价的一个汇总,内容可分为三个部分,第一部分 公司存在的重大风险; 第二部分 重大风险的分析和说明;第三部分 风险可能对公司的战略目标或经营目标产生的影响。
本阶段所需时间约 个工作日。
(四)制定风险管理策略。即围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,确定风险管理所需人力和财力资源的配臵原则。
本阶段所需时间约 个工作日。
(五)风险管理解决方案。根据制定的风险管理策略,设计公司风险管理组织职能、风险管理业务流程、风险管理考核方案,也就是针对前述识别的风险,建立、健全、完善内部控制制度。
1、收集信息:收集公司组织架构情况、职能部门岗位描述、职能部门目前实际行使的风险管理职能情况、未来组织改革的需求等信息、公司的制度流程文件等。
2、设立公司风险管理组织职能。
A、结合公司现有组织结构,设计公司风险管理组织体系框架;
B、结合现有部门职能及岗位设臵情况,提出风险管理责任部门及有关机构的设臵方案与人员配臵方案;
C、明确公司风险管理负责部门、各职能部门之间的交互关系和权限; D、研讨、修改方案;
3、设计公司风险管理业务流程。
A、结合公司现有的业务流程,设计风险管理流程;
B、对风险管理流程中的相关内容及相关职责划分方案进行确认; C、完成制度文件的初步撰写;
D、征求相关部门对制度流程的意见,整理、完善制度文件;
4、设计公司风险管理考核方案。
A、对公司现有的考核体系进行诊断,明确风险管理考核的目标和内容; B、确定公司及各职能部门关注的考核点;
C、设计公司风险管理考核的基本框架,确定考核各类和层级关系; D、设计风险管理考核的内容; E、设计考核的量化指标
F、征求各部门对考核的意见和建议
《央企全面风险管理指引》规定,内部控制制度至少包括以下内容:(1)建立内控岗位授权制度。(2)建立内控报告制度。(3)建立内控批准制度。(4)建立内控责任制度。(5)建立内控审计检查制度。(6)建立内控考核评价制度。(7)建立重大风险预警制度。(8)建立健全以总法律顾问制度为核心的企业法律顾问制度。(9)建立重要岗位权力制衡制度,明确规定不相容职责的分离。
本阶段所需时间约 个工作日。
(六)建立风险管理信息系统。(由软件程序设计者完成此部分内容)
(七)风险管理报告制度,即全面风险管理的监督与改进制度
对公司重大风险、重大事件和重大决策、重要管理及业务流程等进行监督,建立风险管理报告制度,对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。
1、收集公司现有的监督体系,包括内容及信息沟通渠道,对现有的体系诊断,明确改进方向。
2、设计公司监督管理体系的基本架构,包括种类和层级关系等。
3、结合各类重大风险,设计各类风险管理报告的内容。
4、设计各类风险管理报告的对象、职责、路线、频率等。本阶段所需时间约 个工作日。
第二篇:面风险管理与内部控制体系建设实施方案
面风险管理与内部控制体系建设实施方案
总体目标:通过全面风险管理与内部控制工作的开展,在全面梳理,分析公司各业务流程中存在风险点的基础上,有针对性地提出风险管理策略和风险防范方案,并随着公司业务发展,内外经营环境变化,通过持续监督与改进不断改善业务流程,加强风险防范与内部控制措施,提高抗风险能力,力争用三年左右的时间,在公司系统内构建起全面风险管理与内部控制的组织职能体系、制度体系、风险评估与管理体系、信息与监测体系、培训与文化体系及监督与改进体系等“六大体系”,有效地防范政策与政府风险、战略与决策风险、财务与资金风险、管理与开发运营风险、法律与合规风险及道德与廉政风险等“六大类风险”,促进公司又好又快地发展。同时在决策层、管理层及员工等不同层面都树立起风险意识,形成风险文化并将其融入企业文化中去。
(二)工作原则和总体规划
在具体工作中,要坚持以下原则:
1.尊重现实、注重实效
2.涵盖整体、突出重点
3.统一设计、分步实施
一是建立健全起公司全面风险管理与内部控制的组织、制度体系,明确相关工作职责;二是梳理、分析公司面临的风险点,形成风险信息库,基本搭建起涵盖风险评估、风险管理策略和防范方案的风险内控体系和风险监控管理系统;
三是做好经验教训总结工作,逐步完善公司全面风险管理体系,为下一步在项目公司推广全面风险管理体系奠定基础。
四是将全面风险管理及内部控制工作从管理部门延伸至生产经营第一线,从公司总部纵向延伸到项目公司。将风险管理工作落实到最基层,落实到项目公司。
对企业在发展战略、财务资金、市场运营、投融资、项目管理、安全质量环保、法律合同等工作中存在的问题和风险,进行认真的查找、分析、研究,梳理出现阶段存在的主要风险源和重大风险点,进而及时制定出相应的风险防控措施和应对方案,有效地规避或化解经营管理工作中所面临的重大风险。
在实际工作中,要正确处理好风险与收益的有机关系,牢固树立“效益、效率和风险相平衡”的经营观念。在抓市场机遇的同时,要按照风险的两面性原理,注重风险的防范与控制,将风险控制在可承受的范围之内。在提高效率的同时,注重风险的控制程度与效率的平衡,注重处理好风险控制的严肃性与风险内控体系动态适应性的关系,强化关键风险点的管控,使风险控制与工作效率的提高形成良性的互动。
正确处理好全面风险管理与各项日常业务工作的关系,统筹安排好各项工作,确保必要的资源配置与投入,为工作开展提供有力的组织保障。
全面风险管理的最终目的是通过管理体系的建设和优化,保障和促进企业持续快速健康发展。
风险管理的全面性、持续性、动态性特征要求我每一位员工都要树立起长期的风险管理理念。
第三篇:内部控制体系建设实施方案
内部控制体系建设实施方案
为积极稳妥地推进建立以源头治理和过程控制为核心的企业内控体系,健全和完善对全资、控股、参股公司的管理控制体系,全面提升集团公司管理水平,强化集团公司在国际化建设过程中防范风险的能力,促进集团公司战略发展目标的实现,特制定本方案。
一、集团公司内部控制体系建设的基本情况
集团公司非常重视内部控制制度的建设,这些制度的有效执行对提高集团公司管理水平和各阶段发展目标的实现起到了积极的促进作用。但是,从我们对股份公司、****公司等单位内控体系建设调研的情况,以及国务院国资委对中央企业开展内控体系建设的总体要求看,目前的各项管理制度还没有真正融为一体,成为一套系统化的体系。由此导致了职能部门之间管理界面不清晰、管理责任不到位;下级单位对上级多头汇报、多头请示;同级业务单位之间业务交叉,工作标准参差不齐。这些问题和矛盾的存在,制约着集团公司整体科学管理水平的进一步提高,与集团公司的战略发展目标也不相适应,需要我们对现有的各项管理制度进行梳理并系统化,以形成一套科学、完整的制度化体系。
二、内部控制体系建设的必要性
内部控制是由企业决策层、管理层和其他人员实施的,为实现企业战略发展目标提供合理保证的过程。建立健全和不断完善内部控制体系是国内外企业长期管理实践经验的结晶,有助于约束和规范企业管理行为的基本准则,有效规避风险。
(一)实施内控体系建设是实现集团公司整体协调发展目标的需要。
“十一五”期间,集团公司将以保障国家油气安全供应为己任,突出实施资源、市场和国际化战略,率先建成一流的社会主义现代化和具有较强国际竞争力的跨国企业集团。随着集团公司的发展,尤其是实施国际化经营战略,客观上需要集团公司理顺内部管理流程,针对关键的风险控制点,采取积极稳妥可行的措施,建立起一套科学、有效的内部控制体系,增强抵御内外部风险的能力,为实现集团公司的整体协调发展目标创造适合的环境和氛围。
(二)实施内控体系建设是集团公司提升科学管理水平的需要。
内部控制是企业科学管理的重要内容,是实现企业目标的重要依托。建立并认真执行一套设计科学、简洁适用、运行有效的内控体系,将有助于企业及时发现和掌握经营管理中的突出风险,有助于企业强化内部管理控制措施,有助于用规范和制度约束管理行为,有助于企业整合优化内部资源配置,提高资源的使用效率和效果。通过对内控体系的长期有效执行和不断完善,将使集团公司各个层面的各项经营活动处于受控状态,全面提升集团公司的科学管理水平。
(三)实施内控体系建设是集团公司履行出资人职责的需要。
建立现代企业制度,完善法人治理结构是实现集团公司发展目标的重要组织保障。这就要求必须推行内控体系建设,规范出资人与经理人之间的代理关系和授权管理,明确各自的职责和权限,强化信息获取、传递和沟通,促使被投资企业实现信息的透明化和信息披露的完整、充分、必要,使集团公司能够从管理上、制度上形成一套规避风险的运行机制,及时获取充分有效的信息用于分析和化解面临的各种风险,实施有力监督,增强有效防范风险的能力,防止出现内部人控制或降低内部人控制的程度,以维护集团公司作为出资人的权益。
(四)实施内控体系建设是集团公司实施依法治企的需要。
二、当前企业内部控制制度设计的误区
近年来,越来越多的企业将内部控制制度作为企业管理的主要手段,内部控制制度的建设受到了广大企业的高度重视,我国企业在内部控制制度的设计领域开展了卓有成效的实践,取得了长足的进步。但是由于经验不足、内部控制制度设计人员素质不高等原因,在现阶段,我国企业的内部控制制度设计从总体上看质量不高,对内部控制各要素的设计不系统、不科学,企业的内部控制制度设计仍存在着诸多误区,主要表现在以下几个方面:
第一,企业在进行内部控制制度设计时忽略了实施成本问题,虽然制定出了严谨的内部控制制度,但是实行该制度所花费的成本超过了因此而产生的经济效益,缺乏可操作性,得不偿失。
第二,企业在进行内部控制制度设计时过于注重制度的文字编写,忽略了制度的执行和其作用的发挥,使制度流于形式,有的企业甚至将制定内部控制制度作为应付相关部门检查、审计的手段,没有真正意识到企业内部控制制度的重要性。
第三,企业在进行内部控制制度设计时对内部控制监督机制设计的重视程度不够,导致对企业内部控制的监督薄弱,难以确保制度的执行和其有效性。由于监督的失效容易出现“内部人控制”的现象,将影响全体企业员工的控制意识和行为,严重的甚至导致内部控制的失败。
第四,对已经制定的内部控制制度,很多企业未能根据企业的发展状况及时对内部控制制度作出适当的调整,致使内部控制制度不适应企业的发展,难以对企业新的经济业务进行有效控制。第五,在内部控制制度的设计中忽略了人的因素,须知无论如何完善的制度,最终还是需要人去执行,如果内部控制制度未得到员工的认同和理解,那么制度最终会沦为一纸空文。
三、企业内部控制制度的设计要点
企业内部控制制度设计的优劣将直接影响内部控制制度执行的有效性,因此,在进行企业内部控制制度的设计过程当中,应该避免走入设计误区,并抓住设计要点进行制度设计,以确保企业内部控制制度的科学合理。
1.控制目标设计
企业内部控制制度首先需要有明确的控制目标。控制目标是管理经济活动的基本要求、实施内部控制的最终目的,同时也是评价内部控制的最高标准。简单来说,设置企业内部控制目标解决了企业为什么要进行控制的问题,为内部控制指明了努力的方向。在企业内部控制制度的设计中,企业内部控制目标的定位应该与企业的发展战略相结合,应该把握控制目标的动态性、层次性和全面性的特征进行设计。众所周知,处于不同发展阶段的企业,由于发展战略各异,其内部控制的侧重点有所不同,因此,企业内部控制目标具有动态性,进行内部控制目标设计应该随企业的发展而变化,实行跟踪控制;还应该针对企业的不同治理结构层次、内容对企业内部控制目标进行分解,满足内部控制目标的层次性要求,做到目标明确、分而治之。同时,还要在制度上体现对内部控制多个目标间的协调,使整体控制效果达到最佳状态。
2.控制流程设计
控制流程是依次贯穿于某项业务活动始终的基本控制步骤及相应环节,控制流程往往是与业务流程相吻合的。在企业内部控制制度设计中,控制流程的设计应该是与企业控制目标相适应的。控制流程的设计思路和方法很多,如按会计科目设计、按经济业务类型设计、按经营单位或管理部门设计,等等。但是,无论使用哪种(或多种)设计思路,都需要根据企业的实际情况,结合企业所制定的内部控制目标进行权衡比对,从而选择最适合的设计思路和方法。为了确保制度设计的科学合理,在进行流程设计之前应该对企业现有经济业务进行分类、整合和提炼,避免重复设计流程(如控制手段、控制过程相同的不同经济事项被重复进行设计)。另外,在进行控制流程设计时不可避免会出现交叉或重复的内容,此时需要对这些内容进行适当调整,否则将影响其客观性。
3.控制点设计
控制流程是由控制点组成的,控制点又分为关键控制点和一般控制点两种类型,对不同的控制点需要采用不同的控制方法进行管理。关键控制点与一般控制点在一定的条件下是可以相互转化的。企业制定内部控制措施的关键在于抓住关键控制点,企业管理者只有将注意力集中于业务处理过程当中发挥作用大、影响范围广、对保证整个业务活动的控制目标至关重要的关键控制点上,才能确保内部控制的效率和效果。因此,控制点的设计非常重要,其中关键控制点的选择更是重中之重。内部控制关键控制点应该以选择关键的成本项目、业务活动、业务环节、重要要素及重要资源为选择依据,即将影响成本项目费用的主要因素,对企业竞争力、盈利能力有重大影响的活动、要素和资源及容易发生且可能造成重大损失的环节设定为内部控制关键控制点。值得注意的是,不同的经济业务活动其关键控制点是不同的,某环节在某项业务中属于内部控制关键控制点并不意味着它永远都是,也许在其他的业务活动中,该环节仅是一般控制点。因此,在进行内部控制制度设计中,必须根据管理或内部控制目标的具体要求、业务活动的类型及特点等来选择和确定企业内部控制的关键控制点。4.控制权限设计
内部控制权限的设计是企业建立内部控制制度的精髓之一,控制权限是否设置合理,直接决定了内部控制制度的客观性和有效性。内部控制要求企业必须建立合理的授权机制,对内部控制的控制权限进行合理配置。笔者认为,对内部控制权限进行设计要遵循重要性原则、责任明确原则,既要满足控制目标的需要,又要兼顾工作效率。明确内部控制的控制权限应从授权阶段就开始进行控制。管理层在进行授权时,应该统筹考虑授权的范围、层次与责任,将所有的经营活动都纳入授权范围,把经济活动的重要性列为权限划分的重要依据,防止出现权力重叠或责任真空的现象,做到权责明晰,为各中间管理层和全体员工以所授权限开展工作提供依据。管理者通过合理授权以保证经营决策得以有效运行、管理制度有效贯彻,实现权力制衡。在设计中实现相互牵制也非常重要,若同一项经济业务由一个人(或一个部门)包办,则难以实现管理控制的目标,必须要有相互牵制、相互制约和相互监督,进行控制权限设计同样需要考虑这方面的问题。
5.控制监督设计
内部控制监督是经营管理部门对内部控制的管理监督及内审监察部门对内部控制的再监督活动的总称,是随着时间的推移而评估制度执行质量的过程。在我国,很多企业并非没有建立内部控制制度,困扰企业的主要问题是所建立的内部控制制度的执行效果不佳,某些参与制定内部控制制度的负责人内部控制意识薄弱,致使内部控制制度形同虚设或出现“对上不对下”的尴尬局面。造成这种不良现象出现的主要原因就是企业忽视了对内部控制监督的设计,监督机制不完善。因此,要确保企业所建立的内部控制制度被切实执行并获得良好的执行效果,就必须对内部控制过程施以恰当的监督,内部控制监督设计的重要性可见一斑。在进行内部控制设计时,应该关注监督评审程序的合理性、对内部控制缺陷的报告和对政策程序的调整。要将内部控制监督工作列为企业日常工作之一,将内部审计列为重点监督手段,使内部审计充分发挥监督企业经营业务、提供完善内部控制制度和纠错的建议的作用。同时,畅通监督信息反馈渠道可以使管理层或其他人员在发现企业内部控制缺陷时,能及时向上反馈或提供建设性建议,使企业内部控制的缺陷得以及时、果断处理。
6.控制制度体例设计
企业内部控制制度体例是内部控制制度的基础和骨架,除非遇到特殊情况或特殊需要,一般来说,内部控制制度的体例是不需要作重大调整的。倘若内部控制制度的体例设计不合理,企业对体例作出重大调整时,将会耗费大量的人力、物力。另外,频繁地调整内部控制制度的体例也不利于制度的执行,同时也削弱了制度的权威性。因此,内部控制制度体例的设计至关重要,在设计时,不但要考虑一般的设计问题,还要考虑到所设计的制度体例能够适应今后修改完善的要求,预留一定的修订、完善空间。例如,对内部控制制度条目的排序可以用1.1、1.2、2.1等排序,能够较好地解决对业务流程、控制步骤和控制点进行增补、修改或删除的需要。而在文字编排方面,诸如基本原则、要求、一般规定等应该在制度大纲中描述,而不宜放在具体的业务流程当中。总的来说,就是内部控制制度的体例设计要确保制度整体结构在一定时期内保持稳定,同时可以适应修订和完善的需求。
四、结语
总之,建立健全企业的内部控制制度是企业增强市场竞争力、迎接经济全球化挑战的必然选择。应该看到,我国的企业内部控制尚不成熟,对内部控制制度的设计仍存在缺陷,这就要求我们必须在实践中继续完善内部控制制度的设计。企业内部控制制度的设计是一个动态的过程,制度设计人员要在具体执行、正确评价等实践过程当中不断完善内部控制制度,才能真正确保企业控制目标的实现。
第四篇:浅析全面风险管理与内部控制的关系
浅析全面风险管理与内部控制的关系
一、内部控制和全面风险管理在COSO框架中的定义
现代理论界对内部控制的定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制的定义。COSO于2004 年发布了《企业风险管理——整合框架》,在该框架的附录C中指出,“内部控制被涵盖在企业风险管理之内,是其不可分割的一部分”。
该组织认为:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。在COSO委员会的《内部控制管理框架》中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
在多年的管理实践中,人们意识到一个企业内部不同部门或不同业务的风险,有的会相互叠加放大,有的则相互抵消减少。因此,风险的考虑不能仅仅从某项业务、某个部门的角度出发,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。
依据COSO委员会 2003年7月完成的《全面风险管理框架》定义:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。该框架有三个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有4个,即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的各个层级,包括整个企业、各职能部门、各条业务线及下属各子公司。《全面风险管理框架》三个维度的关系是:全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。
二、内部控制与全面风险管理的联系
1.全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。全面风险管理除包括内部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风险对策3个要素。从时间先后和内容上来看,全面风险管理是对内部控制的拓展和延伸。
2.内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是国内外许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
3.内部控制是风险管理的重要手段。内部控制是风险管理的重要手段体现在以下三个方面:第一,采用内部控制措施可以处理大部分风险。就一般工业企业而言,除采取保险等措施外,大部分风险都可以通过采取内部控制措施来解决,而这也正是我们所熟悉的,如内部牵制措施、预算控制、实物控制、运营分析等。如果主要通过外包方案或者外部的其他力量来解决风险,其比采用内部控制控制措施的成本会高很多。第二,可以采取内部控制和其他措施联合解决的部分风险。内部控制措施可能只能在一定程度上解决某项具体风险,或者说仅采用内部控制措施还不能使风险保持在可以承受的范围内,因此必须协同其他措施进行联合管理,如外汇风险、被收购的风险、税务风险等,以税务风险为例,企业聘请中介机构代为申报纳税,或者由中介机构对企业税务申报情况出具审核报告,从而减少税务合规性风险。第三,对于完全采取内部控制以外恶其他措施解决的风险在实务中非常少见。
三、内部控制与全面风险管理的差异
1.两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
2.两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
3.两者对风险的定义不一致。在COSO委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”(将产生正面影响的事件视为机会),将风险与机会区分开来;而在COSO委员会的内部控制框架中,没有区分风险和机会。
4.两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有的,也是其所不能做到的。
四.与内部控制相比,全面风险管理在范围与内容上的扩大
简单地看,相对于内部控制框架而言,新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素,即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要,新框架还要求企业设立一个新的部门——风险管理部。新的风险管理框架比起内部控制框架,无论在内容还是范围上都有所扩大和提高,具体表现在:
1.提出一个新的观念―风险组合观
在单独考虑如何实现企业各个目标的过程中,企业风险管理框架更看重风险因素。除单独考虑各个风险因素之外,更有必要从总体的、组合的角度理解风险。企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可以超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。
2.增加一类目标—战略目标,并扩大了报告目标的范畴
内部控制框架将企业的目标分为三类――经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标,但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告,既包括内部报告,也包括外部报告;既包括企业内部管理者使用的报告,也包括向外部提供的报告;既包括法定报告,也包括向其他利益相关者年的非法定报告;既包括财务信息,也包括非财务信息。此外,企业风险管理框架比内部控制框架增加了一个目标——战略目标。该目标的层次比其他三个目标更高。战略目标来源于企业的任务或对未来的预期,经营、报告和合法目标都与其相关。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
3.针对风险度量提出两个新概念—风险偏好和风险容忍度
风险管理框架是针对企业目标实现过程中所面临的风险,对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看,风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。一般从定性的角度将风险偏好分为风险喜好、风险中性和风险厌恶三种类型。此外,企业也可以采用定量的方法对风险偏好进行衡量,反映企业的目标、收益与风险之间的关系并进行权衡。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来。不同的战略给企业带来的风险也不同,在企业战略制定阶段就进行风险管理,就是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。
风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现的过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。将风险控制在风险容忍度之内能够在更大程度上保证企业的风险被控制在风险偏好的范围内,也就能够从更高程度上保证企业目标的实现。
4.增加了三个风险管理要素,对其他要素的分析更加深入,范围上也有所扩大
企业风险管理框架新增了三个风险管理要素——“目标制定”、“事项识别”和“风险反应”。此外,针对企业将管理的重心移至风险管理,风险管理框架更加深入地阐述了其他要素的内涵,并扩大了相关要素的范围。
(1)目标制定:在风险管理框架中,由于要针对不同的目标分析其相应的风险,因此目标的制定自然就成为风险管理流程的首要步骤,并将其确认为风险管理框架的一部分。
(2)事项识别:企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素,而且可能在企业的各个层面上出现,并且应根据对实现企业目标的潜在影响来确认风险。但是,企业风险管理框架深入探讨了潜在事项的概念,认为潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标的实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇,而存在潜在负面影响的事项则称为风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及事项的发生趋势进行计量。
(3)风险反应:企业风险管理框架提出对风险的四种反应方案――规避、减少、共担和接受风险。作为风险管理的一部分,管理者应比较不同反应方案的潜在影响,并且在接受的残存风险应在企业风险容忍度范围内的假设下,考虑风险反应方案的选择。在个别和分组考虑风险的各反应方案后,企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。
(4)控制环境:在控制环境要素上,企业风险管理框架更直接、更广泛地关注风险是如何影响企业的风险文化,无论是明确地还是无意地影响。企业的风险文化是企业员工共有的态度、价值、目标和行动的集合,它表明企业是如何认识风险的。
(5)风险评估:内部控制框架和企业风险管理框架都强调对风险的评估,评估特定风险发生的可能性和风险的潜在影响,但企业风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、最差的情形下的估计值或者事项的分布等技术来分析。最好能够找到与风险相关的目标一致的计量单位进行计量,将风险与相关的目标联系起来。风险评估的时间基准应与企业的战略和目标相一致,如果可能,时间基准也应与可观测到的数据相一致。企业风险管理框架还要求注意相互关联的风险,确定一件单一的事项如何为企业带来多重的风险。
(6)信息和沟通:企业风险管理框架扩大了企业信息和沟通的构成内容,认为企业的信息应包括来自过去、现在和未来潜在事项的数据。历史数据可以使企业将实际的经营成果与目标、计划和预期相比较,以深入了解企业在过去不断变化的市场条件下是如何经营的。现在状况的数据可以向企业管理者提供更多重要的信息,而未来潜在事项的数据和潜在的影响因素可以帮助完成对信息的分析。企业的信息系统的基本职能应以时间序列的形式收集、捕捉数据,其收集数据的详细程度则视企业风险识别、评估和反应的需要而定,并保证将风险维持在风险偏好的范围内。此外,由于各管理层是企业风险管理(或者内部控制)的组成部分,并为企业的风险管理(或者内部控制)提供信息,因此,两个框架对不同管理层的地位和责任都比较关注。但相对于内部控制框架,企业风险管理框架提出设立新的风险管理部门并规定了风险管理员的地位和职责,同时扩大了董事会的职责。
研1310 蔡烨路 132060461
第五篇:全面风险管理与内部控制工作实施办法
xx公司
全面风险管理与内部控制工作实施办法
(试 行)
第一章 总则
第一条 为规范公司全面风险管理与内部控制工作,制定本实施办法。
第二条 本实施办法所称风险,指未来的不确定性对公司经营目标实现的影响,包括财务风险、法律风险、市场营销风险、人力资源风险、信息风险、廉政风险、信访维稳风险和其他风险。
第三条 本实施办法所称内部控制,是指公司管理层和全体员工按照既定的风险管理策略实施的、旨在保障风险控制目标实现的过程。
第二章 组织体系与职责分工
第四条 公司设立全面风险管理与内部控制委员会 主任:总经理 党支部书记 成员:各部门主任
下设全面风险管理与内部控制办公室,主任由综合管理部主任兼任。
第五条 全面风险管理与内部控制委员会主要职责包括:
(一)审议批准公司风险管理与内部控制相关规章制度、实施办法。
(二)批准公司全面风险管理与内部控制工作计划。
(三)审定公司风险管理与内部控制目标、重大风险管理策略和内部控制措施。
(四)审定公司全面风险管理报告、风险管理与内部控制评价报告以及重大决策的专项风险评估报告。
(五)审定公司风险管理与内部控制手册。
(六)审定公司风险管理与内部控制评价标准。
(七)审议公司其他重大风险管理与内部控制事项。第六条 公司全面风险管理与内部控制办公室负责风险管理与内部控制日常组织与协调工作,主要职责包括:
(一)制定和完善公司风险管理与内部控制相关规章制度、实施办法、管理手册。
(二)组织公司各部门执行风险管理基本流程、建立完善内部控制体系并监督执行。
(三)组织开展公司全面风险管理报告的编报工作。
(四)指导、监督公司各部门全面风险管理与内部控制工作,对各部门全面风险管理与内部控制情况进行考核。
(五)组织开展与风险管理及内部控制有关的文化培育工作。
第七条 公司各部门是本专业风险管理与内部控制工作的管理部门和执行部门,主要职责包括:
(一)制定本部门风险管理与内部控制相关实施细则、办法。
(二)开展本部门风险管理信息收集、风险评估、研究确定本部门风险管理策略、重大风险预警指标。
(三)更新本部门风险信息、内部控制信息、风险案例、预警指标等基础数据。
(四)建立本部门内部控制体系并有效执行,编制本部门业务风险与内部控制手册。
第八条 各部门指定一名专人负责本专业风险管理与内部控制工作,接受公司全面风险管理与内部控制办公室的业务指导。
第九条 综合管理部负责对风险管理与内部控制实施有效性进行监督。
第三章 风险信息收集、识别、评估
第十条 公司根据全面风险管理指标检测体系的要求,建立健全客观、全面、有效的风险信息收集机制。要以岗位为基础,以业务流程为依托,动态收集风险初始信息,并对初始信息进行筛选、提炼、分类。风险信息收集包括以下内容:
(一)财务风险方面:收集增收节支,资金安全、偿债能力等影响分公司预期收益的信息,分析这些信息是否可能给公司带来财务结构不合理、偿债能力降低等方面的财务风险。
(二)法律法规方面:收集与法人主体责任、重大合同履约、法律纠纷等信息,分析这些信息是否可能给公司带来法律法规方面的风险。
(三)市场营销风险方面:收集市场波动、政策变化、客户信息变化等因素影响采购、销售、收款方面的信息,分析这些信息是否可能给公司带来市场营销方面的风险。
(四)人力资源风险方面:收集劳动政策变化、人力资源规划及劳动用工管理等方面的信息,分析这些信息是否可能给公司带来人员结构不合理、队伍不稳定等风险。
(五)信息风险方面:收集易造成信息失密、信息泄密等方面的信息,分析这些信息是否可能给公司带来损失或不良影响的风险。
(六)廉政风险方面:收集干部员工遵守规章制度、廉洁从业规定等方面的信息,分析这些信息是否可能导致违法违纪,给公司带来经济损失或声誉损害的风险。
(七)信访维稳风险方面:收集公司与职工切身利益相关等方面的经营管理决策信息,分析这些信息能否引发信访问题,或处臵信访事件不及时、不妥当,导致给公司造成不利社会影响的风险。
第十一条 各部门至少每年开展一次风险信息收集、辨识工作,形成本专业风险信息,提交全面风险管理与内部控制办公室汇总审核,并同步更新全面风险管理与内部控制信息系统相关信息。
第十二条 各部门应至少每年开展一次风险评估,评估结果提交本单位全面风险管理与内部控制办公室,并同步更新全面风险管理相关信息。凡遇有重大问题决策等事项时,公司本部及各部门应按照“三重一大”事项决策的有关程序,由事项主办部门牵头组织实施风险评估,提出重大决策专项风险评估报告,制定风险管控措施,落实责任人员,并提出管理建议。管理层应充分考虑风险评估结论和管理建议,将其作为重大事项决策的参考依据。
第四章 业务风险防控办法
第十三条 合同签订风险防控
采销合同的谈判和签订,严格按照公司xx相关要求执行。
(一)合同谈判及签订风险点(1)合同谈判程序不规范。
(2)对交易对象的资质审查不严格。(3)合同签订程序不规范。
(4)合同签订条款不齐全、不严格。(5)采购、销售合同脱节。
(二)为最大限度的避免经营风险,应在对交易对象严格审查的基础上签订xx购销合同,把握经营活动的底线,确保一旦发生经济纠纷时能争取主动权,有针对性的开展风险防范,制定风险防控措施。
(1)严格遵守公司xx规定,保证合同洽谈的严肃性、规范性。现场洽谈过程中保证我方至少二人以上在场,做好文字记录、影像记录,以及归档工作,严防损害公司利益的行为发生;通过电话、微信或QQ等非现场方式洽谈的,主谈人应把洽谈过程及初步结果告知辅谈人,征求其意见,最终由辅谈人拟出谈判会议纪要经审核后双方书面签订纪要。
(2)合同签订前要严格审查交易对象的各项资质,一般先审查“四证”,即营业执照、组织机构代码证、税务登记证、开户许可证是否齐全、真实,各证照是否过期,在此基础上通过全国企业信用信息公示系统查询是否有不良记录、商业信誉等,达到信用评级审批表相关要求后方可签订购销合同。
(3)严格执行合同会签制度,规范合同流程审批,分解权限,形成相互纠错、相互制约,有效防控风险的运行机制。会签过程如遇人员出差等无法现场会签的,由合同经办人将合同电子文档发该人员,其同意后可跳至下一节点会签,待该人员回公司后补签,合同经办人在该补签人员栏填写征求意见并签名。
(4)xx购销合同只有条款明确、齐备才能最大限度的降低经营风险,与公司发布的标准合同不一致的需经公司燃料领导小组研究同意后方可调整,重大调整的需书面征求省公司业务对口管理部门意见,一般涉及以下主要条款:质量指标、价格、运输方式、运杂费的承担、数质量验收方式、交货地点、结算方式、货款支付方式及时间、货权转移及风险转移时间、奖罚条款、违约责任、不可抗力、纠纷解决方式、合同有效期等,只有条款明确,有利于自身才能有效降低风险。
(5)严格落实以销定进、以利定价的原则,采购销售互相参照,互为衔接,防止采销原则不一致造成亏损。
第十四条 采购流程风险防控
公司采购过程中应严格按照公司xx相关要求执行。
(一)xx采购流程风险点(1)供应商不按合同履约。(2)货权单位与合同单位不一致。(3)xx数量争议。(4)xx质量争议。
(5)xx指标不符合,掺杂、以次充好。
(二)xx采购过程中实际结果和预期目标偏离的可能性很大,对潜在风险要提前防控,必须针对不同情况采取降低、规避、分担和控制风险的措施,实现采购风险最小化。
(1)严格落实供应商保证金管理制度,防止供应商因自身原因不按合同履约,影响采购计划的落实。新进供应商、注册资本金偏少、发生过未按合同履约应适度提高保证金,具体幅度由公司燃料领导小组讨论后确定。
(2)合同执行过程中遇合同单位与货权单位不一致的情况,必须要求供应商将货权转移给我方,货权转让单位在货权转移函上加盖公章,法人签字或法人授权代表签字,否则不予结算,防止货权纠纷。在取得货物的实际控制权以前,严禁仅凭对方单位出具的货权转移证明支付xx货款,防范“一货多卖”等欺诈行为。
(3)xx数量验收必须以双方认可的第三方出具的法定衡重报告或水尺检验数据为准,现场人员加强监督,及时索取数量报告,做好数据对比分析,防止计量方式不合法供应商不认可及数量亏损。
(4)xx质量验收必须以双方认可的第三方按国家标准进行全程采制化,并以此出具的检验报告为准。
第十五条 销售流程风险防控
销售xx过程中应严格按照公司xx相关要求执行。
(一)xx销售流程风险点
(1)装港质量控制不严谨,掺配方案不可行。(2)承运船舶船期安排不妥当,船舶自身设计不规范。(3)装卸港验收数质量亏损。
(二)xx销售过程中环节多,战线长,要建立完备的监管验收制度,实现过程可控、在控,规避经营风险。
第十六条 资金回付风险防控
资金收付应严格按照公司xx相关要求执行。
(一)资金收付流程风险点(1)赊销预付管控不到位。
(2)付款账号与开户许可证账号不一致。(3)用户付款错误,支付银行承兑不规范。
(二)在xx经营过程中,为了增加销售量,扩大市场占有率,赊销预付行为会越来越多,控制赊销预付风险是我们必须面对的问题,对此要严格采购销售信用评级制度,根据贸易商级别,严控预付和赊销比例,防止坏账、死账情况的发生,及时催收回款,防止资金风险。
(1)严格按照公司要求建立用户信用评级制度,按照公司收付款相关管理办法规定的赊销预付比例开展经营工作,要严格按照合同中对煤款收取的不同约定,催要对方预收款
或是对方收到发票后催要结算款,确保煤款及时收回。具备结算条件时,业务人员电话提醒用户及时进入付款流程并办理付款手续;货款到期后一周如仍未回款,发一份《逾期催款函》,之后每隔一周发一份《逾期催款函》,三周仍未回款,则发一份《超期催款单》和《货款往来对账单》并要求对方回执,从第一笔逾期欠款之日起满三个月的,需及时上报省公司相关部门并说明情况,另提供相关资料报请公司法律顾问与对方接洽,并出具律师函;逾期一年的,必须采取诉讼等硬性措施。
(2)付款账号一般按照对方开户许可证账号支付,如发现账号不一致,对方需出具付款说明并加盖单位公章。
(3)需方应按照我方指定的收款账号进行付款,业务人员应与需方及时沟通,付款前再次确定我方收款账号,以免付错账号影响付款业务,如需方因其他原因不能按我方指定账户打款,说明原因后我方配合出具相关业务手续。
第十七条 员工思想动态风险措施
及时了解员工的思想动态,倾听员工的心声,了解员工在日常工作、学习、生活和个人发展中存在的问题,加强沟通、正面引导,提高员工思想素质,以人为本,为员工成长成才创造条件,构筑有效激励机制,激发公司和谐活动。
第五章 附则
第十八条 本实施办法由公司风险控制部负责解释并监督执行。
第十九条 本实施办法自发布之日起执行。
鲁公网安备37028302000876号