本文关于怎么通过风险评估来进行内部控制,据
亚洲金融智库2022-05-30日讯:
1.在理论框架层面,完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。 2.在推进工作的步骤层面,从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。(一)风险管理系统应与公司治理系统进行整合 风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)指出,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,高管和风险主管应当直接承担风险管理的责任,董事会则应积极参与增值型的风险管理活动,如在风险管理的过程中对管理层进行指导、授权和监督等活动。 (二)风险管理系统应与公司战略管理系统相整合 将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略,会引起不同的风险,也应采取不同的风险应对措施。因此,不同的战略模式将会导致在不同的领域配置风险管理的资源。 企业战略管理的最终目标是为了实现企业价值的持续增长,企业价值创造路径应围绕“股东价值←客户价值←业务流程←核心资源”这一路径展开,该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值,必须具有高效、快捷和质量可靠的业务流程,这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径,企业风险管理也应遵循这一路径而展开。 总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。
对于这一定义,可从以下三个角度进行理解。(一)内部控制评价的主体是董事会或类似权力机构内部控制评价的主体是董事会或类似的权力机构,是指董事会或类似的权力机构是内部控制设计和运行的责任主体。董事会可指定审计委员会来承担对内部控制评价的组织、领导、监督职责,并通过授权内部审计部门或独立的内部控制评价机构执行内部控制评价的具体工作,但董事会仍对内部控制评价承担最终的责任,对内部控制评价报告的真实性负责。对内部控制的设计和运行的有效性进行自我评价并对外披露是管理层解除受托责任的一种方式,董事会可以聘请会计师事务所对其内部控制的有效性进行审计,但其承担的责任不能因此减轻或消除。(二)内部控制评价的对象是内部控制的有效性内部控制评价的对象是内部控制的有效性,所谓内部控制的有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。从控制过程角度,内部控制的有效性可分为内部控制设计的有效性和内部控制运行的有效性。内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当,能够为控制目标的实现提供合理保证;内部控制运行的有效性是指在内部控制设计有效地前提下,内部控制能够按照设计的内部控制程序正确地执行,从而为控制目标的实现提供合理保证。内部控制运行的有效性离不开设计的有效性,如果内部控制在设计上存在漏洞,即使这些内部控制制度能够得到一贯的执行,那么也不能认为其运行有效的。从控制目标的角度来看,内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内部控制的有效性。其中,合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规,不进行违法活动或违规交易;资产目标内部控制的有效性是指相关的内部控制能够合理保证资产的安全与完整,防止资产流失;报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重大错报;经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制;战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度,并适时进行战略调整。评价内部控制设计的有效性,可以考虑以下三个方面,一是内部控制的设计是否做到以内部控制的基本原理为前提,以《企业内部控制基本规范》及其配套指引为依据;二是内部控制的设计是否覆盖了所有关键的业务与环节,对董事会、监事会、经理层和员工具有普遍的约束力;三是内部控制的设计是否与企业自身的经营特点、业务模式以及风险管理要求相匹配。评价内部控制运行的有效性,也可以从三个方面进行考察,一是相关控制在评价期内是如何运行的;二是相关控制是否得到了持续一致的运行;三是实施控制的人员是否具备必要的权限和能力。需要说明的是,由于受内部控制固有局限(如评价人员的职业判断、成本效益原则)的影响,内部控制评价只能为内部控制目标的实现提供合理保证,而不能提供绝对保证。(三)内部控制评价是一个过程内部控制评价是一个过程,是指内部控制评价要遵照一定的流程来进行。内部控制评价工作不是一蹴而就的,它是一个涵盖计划、实施、编报等多个阶段、包含多个步骤的动态过程。
专题推荐:
在押人员风险评估管控系统模块(6)