在深入探討內部控制、風險管理和內部審計這三者之前,首先需要對風險有一個清晰的認識。風險,是指未來的不確定性對企業實現其經營目標的影響。這種影響可以細分為操作風險和業務風險。
操作風險主要源于業務流程中執行人員步驟、方法等的差異,可能導致主觀舞弊或客觀差錯的風險;
業務風險則更多是由于業務發展中面臨的內外部環境所導致的結果偏差風險。
為了有效防范這些風險,企業需要采取一系列措施,其中最為核心的就是內部控制、風險管理和內部審計。
一、內部控制
內部控制是企業為了防范和控制操作風險而采取的一系列措施。它主要關注與公司經營相關的所有業務流程的控制措施的有效性,其核心在于流程和規則的設計與執行。內部控制可以被視為企業防范風險的第一道防線。
1992年COSO1發布,《內部控制整合框架》,實現由財務內控向企業整體整合內控的轉變,在我國內部控制的法規體系有于2008年發布的企業內部控制基本規范及其對應的三個指引。企業內部控制基本規范包含了內部控制的目標(合理保證企業經營管理合法合規、資產安全、財務報告相關信息真實完整、提高經營效率和效果、促進企業實現發展戰略),實施主體(董監高 全體員工),原則(全面性原則、重要性原則、制衡性原則、適應性原則、成本效益原則),五大要素(內部環境、風險評估、控制活動、信息和溝通和內部監督)及其強制要求(內部評價和內部控制審計),三個指引為企業內部控制應用指引(18羅漢),企業內部控制評價指引和企業內部控制審計指引。
具體企業操作層面,內部控制有三方面的工作內容,第一、內部控制體系的設計,包含內部控制環境的設計、流程的梳理、制度的健全與完善、職責的梳理。第二、內部控制的執行,即流程與制度的執行。第三、內部控制的測試與監管、評價和改進,也有可能會聘請會計師事務所進行內部控制審計。
二、風險管理
風險管理的目標是對業務風險進行識別、評估和應對,關注戰略風險、市場風險、法律風險、財務風險和經營風險等業務風險的防控能力。風險管理的核心在于對風險因子和模型的深入分析與運用,可以被視為企業防范風險的第二道防線。
風險管理的三要素為:風險識別、風險評估、風險應對。
風險識別指的是識別出企業存在的業務風險和操作風險,風險識別的方法分為定性方法(頭腦風暴、問卷調查、管理層訪談等)和定量方法(統計推論、計算機模擬等)。
風險評估從風險發生的可能性和風險對企業造成的影響兩個維度出發,分為四個象限。
根據風險評估的結果,采取不同的風險管理策略:風險承擔、風險控制、風險對沖、風險轉移、風險規避。
(1)可能性高、影響大,俗稱灰犀牛,采取風險規避和風險轉移的應對方法;
(2)可能性低、影響大,俗稱黑天鵝,采取風險對沖的應對方法;
(3)可能性高、影響小,俗稱白天鵝,采取風險控制的應對方法;
(4)可能性低,影響小,俗稱打不死的小強,采取風險承擔的應對方法。
值得注意的是,企業應根據風險評估的結果合理分配資源,將更多資源投向高風險、高影響的領域。然而,在實踐中,企業往往對低風險、低影響的領域投入過多資源,忽視了高風險、高影響領域的防范。
三、內部審計
內部審計是一項獨立、客觀的審查和咨詢活動,其目的在于增加企業的價值和改進經營。內部審計通過系統的方法,評價和改進企業的風險管理、控制和治理流程的效益,幫助企業實現其價值。內部審計可以被視為企業防范風險的第三道防線。
隨著企業經營管理的發展,內部審計的功能也在不斷轉變。傳統的財務監督職能已經逐漸擴展到經營診斷和咨詢顧問領域。這意味著內部審計不再僅僅關注事后財務報告的內部控制執行有效性,而是更多地參與到事中經營效率和效果的評估以及事前咨詢與規劃工作中。
綜上所述,內部控制、風險管理和內部審計在企業風險防范中各自扮演著重要角色。它們相互關聯、相互補充,共同構成了企業風險管理的完整體系。通過優化和完善這些管理措施,企業可以有效地防范風險、提高經營效率并實現可持續發展。
版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至 舉報,一經查實,本站將立刻刪除。
