在深入探讨内部控制、风险管理和内部审计这三者之前,首先需要对风险有一个清晰的认识。风险,是指未来的不确定性对企业实现其经营目标的影响。这种影响可以细分为操作风险和业务风险。
操作风险主要源于业务流程中执行人员步骤、方法等的差异,可能导致主观舞弊或客观差错的风险;
业务风险则更多是由于业务发展中面临的内外部环境所导致的结果偏差风险。
为了有效防范这些风险,企业需要采取一系列措施,其中最为核心的就是内部控制、风险管理和内部审计。
一、内部控制
内部控制是企业为了防范和控制操作风险而采取的一系列措施。它主要关注与公司经营相关的所有业务流程的控制措施的有效性,其核心在于流程和规则的设计与执行。内部控制可以被视为企业防范风险的第一道防线。
1992年COSO1发布,《内部控制整合框架》,实现由财务内控向企业整体整合内控的转变,在我国内部控制的法规体系有于2008年发布的企业内部控制基本规范及其对应的三个指引。企业内部控制基本规范包含了内部控制的目标(合理保证企业经营管理合法合规、资产安全、财务报告相关信息真实完整、提高经营效率和效果、促进企业实现发展战略),实施主体(董监高 全体员工),原则(全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则),五大要素(内部环境、风险评估、控制活动、信息和沟通和内部监督)及其强制要求(内部评价和内部控制审计),三个指引为企业内部控制应用指引(18罗汉),企业内部控制评价指引和企业内部控制审计指引。
具体企业操作层面,内部控制有三方面的工作内容,第一、内部控制体系的设计,包含内部控制环境的设计、流程的梳理、制度的健全与完善、职责的梳理。第二、内部控制的执行,即流程与制度的执行。第三、内部控制的测试与监管、评价和改进,也有可能会聘请会计师事务所进行内部控制审计。
二、风险管理
风险管理的目标是对业务风险进行识别、评估和应对,关注战略风险、市场风险、法律风险、财务风险和经营风险等业务风险的防控能力。风险管理的核心在于对风险因子和模型的深入分析与运用,可以被视为企业防范风险的第二道防线。
风险管理的三要素为:风险识别、风险评估、风险应对。
风险识别指的是识别出企业存在的业务风险和操作风险,风险识别的方法分为定性方法(头脑风暴、问卷调查、管理层访谈等)和定量方法(统计推论、计算机模拟等)。
风险评估从风险发生的可能性和风险对企业造成的影响两个维度出发,分为四个象限。
根据风险评估的结果,采取不同的风险管理策略:风险承担、风险控制、风险对冲、风险转移、风险规避。
(1)可能性高、影响大,俗称灰犀牛,采取风险规避和风险转移的应对方法;
(2)可能性低、影响大,俗称黑天鹅,采取风险对冲的应对方法;
(3)可能性高、影响小,俗称白天鹅,采取风险控制的应对方法;
(4)可能性低,影响小,俗称打不死的小强,采取风险承担的应对方法。
值得注意的是,企业应根据风险评估的结果合理分配资源,将更多资源投向高风险、高影响的领域。然而,在实践中,企业往往对低风险、低影响的领域投入过多资源,忽视了高风险、高影响领域的防范。
三、内部审计
内部审计是一项独立、客观的审查和咨询活动,其目的在于增加企业的价值和改进经营。内部审计通过系统的方法,评价和改进企业的风险管理、控制和治理流程的效益,帮助企业实现其价值。内部审计可以被视为企业防范风险的第三道防线。
随着企业经营管理的发展,内部审计的功能也在不断转变。传统的财务监督职能已经逐渐扩展到经营诊断和咨询顾问领域。这意味着内部审计不再仅仅关注事后财务报告的内部控制执行有效性,而是更多地参与到事中经营效率和效果的评估以及事前咨询与规划工作中。
综上所述,内部控制、风险管理和内部审计在企业风险防范中各自扮演着重要角色。它们相互关联、相互补充,共同构成了企业风险管理的完整体系。通过优化和完善这些管理措施,企业可以有效地防范风险、提高经营效率并实现可持续发展。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。