在深入探討內(nèi)部控制、風險管理和內(nèi)部審計這三者之前,首先需要對風險有一個清晰的認識。風險,是指未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響。這種影響可以細分為操作風險和業(yè)務風險。
操作風險主要源于業(yè)務流程中執(zhí)行人員步驟、方法等的差異,可能導致主觀舞弊或客觀差錯的風險;
業(yè)務風險則更多是由于業(yè)務發(fā)展中面臨的內(nèi)外部環(huán)境所導致的結(jié)果偏差風險。
為了有效防范這些風險,企業(yè)需要采取一系列措施,其中最為核心的就是內(nèi)部控制、風險管理和內(nèi)部審計。
一、內(nèi)部控制
內(nèi)部控制是企業(yè)為了防范和控制操作風險而采取的一系列措施。它主要關注與公司經(jīng)營相關的所有業(yè)務流程的控制措施的有效性,其核心在于流程和規(guī)則的設計與執(zhí)行。內(nèi)部控制可以被視為企業(yè)防范風險的第一道防線。
1992年COSO1發(fā)布,《內(nèi)部控制整合框架》,實現(xiàn)由財務內(nèi)控向企業(yè)整體整合內(nèi)控的轉(zhuǎn)變,在我國內(nèi)部控制的法規(guī)體系有于2008年發(fā)布的企業(yè)內(nèi)部控制基本規(guī)范及其對應的三個指引。企業(yè)內(nèi)部控制基本規(guī)范包含了內(nèi)部控制的目標(合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告相關信息真實完整、提高經(jīng)營效率和效果、促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略),實施主體(董監(jiān)高 全體員工),原則(全面性原則、重要性原則、制衡性原則、適應性原則、成本效益原則),五大要素(內(nèi)部環(huán)境、風險評估、控制活動、信息和溝通和內(nèi)部監(jiān)督)及其強制要求(內(nèi)部評價和內(nèi)部控制審計),三個指引為企業(yè)內(nèi)部控制應用指引(18羅漢),企業(yè)內(nèi)部控制評價指引和企業(yè)內(nèi)部控制審計指引。
具體企業(yè)操作層面,內(nèi)部控制有三方面的工作內(nèi)容,第一、內(nèi)部控制體系的設計,包含內(nèi)部控制環(huán)境的設計、流程的梳理、制度的健全與完善、職責的梳理。第二、內(nèi)部控制的執(zhí)行,即流程與制度的執(zhí)行。第三、內(nèi)部控制的測試與監(jiān)管、評價和改進,也有可能會聘請會計師事務所進行內(nèi)部控制審計。
二、風險管理
風險管理的目標是對業(yè)務風險進行識別、評估和應對,關注戰(zhàn)略風險、市場風險、法律風險、財務風險和經(jīng)營風險等業(yè)務風險的防控能力。風險管理的核心在于對風險因子和模型的深入分析與運用,可以被視為企業(yè)防范風險的第二道防線。
風險管理的三要素為:風險識別、風險評估、風險應對。
風險識別指的是識別出企業(yè)存在的業(yè)務風險和操作風險,風險識別的方法分為定性方法(頭腦風暴、問卷調(diào)查、管理層訪談等)和定量方法(統(tǒng)計推論、計算機模擬等)。
風險評估從風險發(fā)生的可能性和風險對企業(yè)造成的影響兩個維度出發(fā),分為四個象限。
根據(jù)風險評估的結(jié)果,采取不同的風險管理策略:風險承擔、風險控制、風險對沖、風險轉(zhuǎn)移、風險規(guī)避。
(1)可能性高、影響大,俗稱灰犀牛,采取風險規(guī)避和風險轉(zhuǎn)移的應對方法;
(2)可能性低、影響大,俗稱黑天鵝,采取風險對沖的應對方法;
(3)可能性高、影響小,俗稱白天鵝,采取風險控制的應對方法;
(4)可能性低,影響小,俗稱打不死的小強,采取風險承擔的應對方法。
值得注意的是,企業(yè)應根據(jù)風險評估的結(jié)果合理分配資源,將更多資源投向高風險、高影響的領域。然而,在實踐中,企業(yè)往往對低風險、低影響的領域投入過多資源,忽視了高風險、高影響領域的防范。
三、內(nèi)部審計
內(nèi)部審計是一項獨立、客觀的審查和咨詢活動,其目的在于增加企業(yè)的價值和改進經(jīng)營。內(nèi)部審計通過系統(tǒng)的方法,評價和改進企業(yè)的風險管理、控制和治理流程的效益,幫助企業(yè)實現(xiàn)其價值。內(nèi)部審計可以被視為企業(yè)防范風險的第三道防線。
隨著企業(yè)經(jīng)營管理的發(fā)展,內(nèi)部審計的功能也在不斷轉(zhuǎn)變。傳統(tǒng)的財務監(jiān)督職能已經(jīng)逐漸擴展到經(jīng)營診斷和咨詢顧問領域。這意味著內(nèi)部審計不再僅僅關注事后財務報告的內(nèi)部控制執(zhí)行有效性,而是更多地參與到事中經(jīng)營效率和效果的評估以及事前咨詢與規(guī)劃工作中。
綜上所述,內(nèi)部控制、風險管理和內(nèi)部審計在企業(yè)風險防范中各自扮演著重要角色。它們相互關聯(lián)、相互補充,共同構(gòu)成了企業(yè)風險管理的完整體系。通過優(yōu)化和完善這些管理措施,企業(yè)可以有效地防范風險、提高經(jīng)營效率并實現(xiàn)可持續(xù)發(fā)展。
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權(quán),不承擔相關法律責任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 舉報,一經(jīng)查實,本站將立刻刪除。