会员登录
会员注册
忘记密码
中企培中国董事监事培训网|董监高课程培训中心-国内知名的企业管理培训机构,专业从事公司治理、董事、监事、中高层管理人员培训和咨询业务
网站首页
关于我们
企业介绍
组织架构
精英团队
品牌诠释
企业文化
企业荣誉
招贤纳士
联系我们
法律声明
培训课程
公开课培训课程
内训课培训课程
综合培训课程
线上培训课程
公司治理
授课专家
新闻动态
国资研究
风险管理
国企风采
通知公告
我们的客户
政策法规
学习园地
在线报名
分享按钮
您现在的位置 >
首页
>
新闻动态
>
内控-风险-合规一体化建设100问之56至100问(建议收藏)
>
内控-风险-合规一体化建设100问之56至100问(建议收藏)
——
56.企业风险管理中战略风险指的是什么?
战略风险,是指影响企业实现战略发展目标和实施发展规划的各种不确定因素或可能性。企业的战略风险既有来源于企业内部的,又有来源于企业外部的。战略风险包括竞争风险、行业方向转换风险、战略收购合并风险、客户偏好转换风险等。
战略风险示例图片
57.企业风险管理中财务风险指的是什么?
财务风险,是指企业因未来财务状况不确定而产生的实际财务结果与预期财务目标发生偏离,进而蒙受损失的可能性。财务风险包括利率和汇率的变动风险、原材料或产品价格波动风险、信用政策风险,以及公司理财行为风险等。
财务风险示例图片
58.企业风险管理中运营风险指的是什么?
运营风险,是指企业在运营过程中,由于外部环境的复杂变动以及企业自身对环境认知能力和适应能力的局限性,导致企业运营失败或使运营活动无法达到预期目标的可能性。运营风险包括流程风险、人为风险、系统风险、事件风险、业务风险和操作风险等。
运营风险示例图片
59.企业风险管理中法律风险指的是什么?
法律风险,是指由于企业外部法律环境发生变化,或由于包括企业自身在内的法律主体未按照法律规定或合同约定有效行使权利、履行义务,而对企业造成负面法律后果的可能性。法律风险包括:国内外政治法律环境风险与政策风险,员工道德操守风险,重大协议与合同的遵守与履行风险,法律纠纷风险,及知识产权风险等。
法律风险示例图片
60.企业风险管理中市场风险指的是什么?
市场风险,是指未来市场价格的不确定性对企业实现既定目标的负面影响。市场风险包括商品价格与物资供应风险、客户供应商信用风险、税收风险和商品价格风险等。
市场风险示例图片
61.风险管理与内部控制的区别是什么?
从差异性来看,风险管理与内部控制的主要不同在于:
1、侧重点不同:内部控制侧重于制度层面,通过规章制度规避风险;风险管理则更侧重交易层面,通过市场化的自由竞争或市场交易规避风险。典型的内部控制是为保证资金安全和会计信息的真实可靠,会计控制是其核心;而典型的风险管理则关注特定业务中与战略选择或经营决策相关的风险与收益的比较,贯穿于管理过程的各个方面。
2、管理幅度不同:风险管理包含风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动;而内部控制负责风险管理过程中及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。内部控制主要强调事中和事后的管理活动;风险管理除了对事中和事后进行管理,还会在事情开展之前进行风险的辨识和评估,并制订出相应的应对方案。
3、对风险的对策不一致:全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,帮助董事会和高级管理层实现全面风险管理的目标。这些内容是内部控制框架所无法提供的。
62.企业开展全面风险管理的目标是什么?
ERM 框架(即企业风险管理—整合框架)认为企业进行风险管理的目标有四个:
一是战略目标——使企业的风险管理活动与使命相关联并且支撑企业使命;
二是经营目标——利用风险管理工作有效和高效率地利用企业资源;
三是报告目标——提高企业财务报告的可靠性;
四是合规性目标——使企业经营符合相关法律、法规的规定。
63.企业进行风险管理有哪些主要的应对策略?
企业进行风险管理可采取风险承担、风险规避、风险转移、风险转换、风险对冲等应对策略。
风险承担,可以是被动的,也可以是主动的,可以是无意识的,也可以是有意识的,因为有时完全回避风险是不可能或明显不利的。采取有计划的风险承担不失为一种规避风险的方式。
风险规避,即通过放弃或拒绝合作停止业务活动来回避风险源。比如,虽然潜在的或不确定的损失能就此避免,但获得利益的机会也会因此丧失。
风险转移,即承担风险的主要对象把原本可能发生在自己身上的损失通过转移和嫁接的方式处理风险。企业通常可以通过保险或者对外承包等手段来把风险的后果以及其应对的责权转交给第三方。其中,保险的意思是通过为企业的产品进行相关保险的购买,使保险公司来帮企业接受风险;而对外承包则是通过各种合法途径以及渠道将自己本身对于业务的所有权转交给其他对象,进而将随之可能附带的风险进行一并转交的手段。
风险转换,一般是企业使用战略调整等方式对目前所面临的风险进行转换,使之成为另外的风险。风险转换的方式通常有制造衍生产品或者之前提到的战略调整等。风险转换通常不能对企业所面对的风险产生减少和规避作用,最常见的就是企业对风险进行转换之后减少了当前的风险,同时也加剧了另外的风险。企业有效地利用风险转换可以成功实现自身在两个甚至更多的风险之中周旋,取得最佳的效果,甚至能够实现无成本或者低成本。
风险对冲,指企业在自身具备一定的抗风险实力的情况下,通过多种渠道,成功引入不止一个风险因素,让它们之间产生对冲效果并且相互抵消。在企业所可能面临的各类风险中,原本存在着可以对冲并且有自然抵消的性质,企业应该对其有充分的了解并在适当的关键时机加以把握和利用。此外,考虑风险能否对冲时要站在一个相对的高度来审视,同时要防止风险的对冲不慎而导致多项风险同时发生,使企业面临更大的危机。
64.企业如何选择风险管理的应对策略?
在策略的选择上,企业应根据不同业务特点统一确定风险偏好和风险承受度,即企业愿意承担哪些风险,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应采取的对策。
确定风险偏好和风险承受度,要正确认识和把握风险与收益的平衡,防止和纠正忽视风险与片面追求收益而不讲条件、范围以及认为风险越大、收益越高的观念和做法;同时,也要防止单纯为规避风险而放弃发展机遇。
65.有效的风险管理组织体系由哪些部分构成?
风险管理组织体系是体现企业内部各个风险管理部门排列顺序、聚集状态、联系方式以及部门之间相互关系的结构体系。各个企业应当根据自身的具体情况建立适合自己的风险管理组织体系。
规模较小的企业,可以只设单个风险管理机构,而对于规模较大的企业来说,一个健全有效的风险管理组织体系则应当包括规范的公司法人治理结构、风险管理职能部门和内部审计部门及其他有关职能部门、各相关业务单位的组织领导机构等要素。
1、公司法人治理结构,一般包括股东(大)会、董事会、监事会、经理层等,企业应当按照《公司法》的要求建立健全规范的公司法人治理结构,各机构应依法、依公司章程的规定行使职权,履行职责,形成既高效运转、又有效制衡的法人治理机制。
2、业务管理部门或单位,主要包括业务管理或执行部门,如生产部门、销售部门、供应部门等。这是风险管理的一线部门,是风险识别、控制的主体,也可称之为风险管理的第一道防线。
3、风险管理职能部门,一般包括风险管理委员会及其执行机构,这是风险管理的第二道防线。风险管理职能部门主要制定风险管理制度,提出风险管理实施意见,组织协调全面风险管理日常工作,指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作等。
4、内部审计部门,一般包括审计委员会及其执行机构,是风险管理的第三道防线。内部审计部门在风险管理方面,主要是负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。
5、法律事务部门,一般包括总法律顾问与法律事务部,也可根据企业实际情况不设专门的法律事务部而将法律事务委托给中介机构办理,本部门主要负责各项经济业务或行为的审查、合同的拟订或会签、经济纠纷的处理、法律风险的防范与化解等工作。
66.董事会在企业风险管理中有哪些职责与作用?
董事会是企业风险管理框架中的核心,它需要对风险管理的目标确立、组织构建、建章立制、制度执行以及审计与监控情况全面负责。董事会就企业全面风险管理工作的有效性对全体股东负责。董事会在全面风险管理方面主要履行的职责包括:
1、审议并向股东(大)会提交企业全面风险管理年度工作报告。
2、确定企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案。
3、了解和掌握企业面临的各项重大风险及其风险管理现状,作出有效控制风险的决策。对公司全面风险管理体系的建立健全、有效实施及检查监督负责。
4、批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。
5、批准重大决策的风险评估报告。
6、批准内部审计部门提交的风险管理监督评价审计报告。
7、批准风险管理组织机构设置及其职责方案。
8、批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度作出的风险性决定的行为。
9、督导企业风险管理文化的培育。
10、全面风险管理其他重大事项。
67.监事会在企业风险管理中有哪些职责与作用?
监事会是董事会外部的监督机制,对股东(大)会负责,与董事会互相独立、互不隶属,在风险管理组织框架中,监事会起到了监督企业风险管理决策及实施过程的作用。监事会的重点监督对象是董事会,并且通过对董事会的监督来实现对经营管理层的监督职能。根据《公司法》等相关法律、法规的要求,监事会在全面风险管理方面主要履行的职责包括:
1、列席董事会和经营管理层会议,就企业风险管理相关议题发表监督意见,充分了解重大事项的背景经过及风险管控情况。
2、就与企业财务活动、经营决策相关的风险管理情况开展专项检查,通过检查发现并分析企业风险管理制度方面的缺陷和漏洞,督促董事会和管理层勤勉履职。
3、向董事会及经营管理层成员通报专项检查报告内容,督促董事会和经营管理层整改落实,适时跟踪后续审计,保证监事会检查实效。
4、调研审阅各类经营信息材料,了解企业总体风险管理情况,揭示企业经营管理中存在的风险隐患,向董事会和经营管理层提出有针对性的意见。
5、密切联系外部审计机构,了解外部审计工作进展情况,并指导内部审计部门开展内审及稽核工作。
6、对董事会和经营管理层在风险管理框架下履职行为合法合规性的监督,当董事会和经营管理层发生违规违法行为,损害企业和股东利益时,采取措施予以制止、纠正并追究责任。
68.董事会下设风险管理委员会,其应当承担怎样的职责?
风险管理委员会成员一般由3-5名董事组成,由董事会选举产生,委员会成员中应当有熟悉企业重要管理及业务流程的董事,以及具备风险管理监管知识或经验、具有一定法律知识的董事。风险管理委员会对董事会负责,向董事会提交风险管理决策及报告,其主要履行的职责包括:
1、提交全面风险管理年度报告。
2、审议风险管理策略和重大风险管理解决方案。
3、审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告。
4、审议内部审计部门提交的风险管理监督评价审计综合报告。
5、审议风险管理组织机构设置及其职责方案。
6、办理董事会授权的有关全面风险管理的其他事项。
69.董事会下设审计委员会,其应当承担怎样的职责?
审计委员会同样是隶属于董事会的专业委员会,它独立于经营管理层,其建立的初衷是在董事会建立一个独立的、专门的治理力量以强化外部审计师的独立性,从而提高公司财务报告信息的真实性和可靠性。委员会成员可以从外部董事中选取。审计委员会在进行风险管理时应当承担的职责包括:
1、了解管理层对财务报告风险的评估情况,就相关问题征询外部审计师的意见。
2、了解并监督企业内部审计质量与财务信息披露。
3、了解可能诱发重大风险的财务报告方面的薄弱环节。
4、就企业内部审计机构负责人的任免提出意见。
5、了解内部审计师的风险评估和根据该评估而制定的审计计划。
6、了解管理层的企业风险评估结果及其对财务报告的影响,审查企业内部控制程序的有效性,并接受有关方面的投诉。
7、监督企业社会中介审计等机构的聘用、更换及报酬支付。
70.什么是风险管理中的风险识别?
风险识别是指企业运用各种方法与手段,系统、全面、连续地认识管理与经营过程中所面临的各种风险事件,并进行有效的记录,形成风险清单的过程。
风险识别是在建立了风险评估的基础、完成了企业目标的设置与分解这些准备工作后的一个步骤,其实是真正开始“发现”与“挖掘”企业决策与经营过程中风险的首要步骤,是企业有针对性地处理风险、管理风险的基础。
71.什么是风险管理中的风险分析?
风险分析是指在识别了风险事件后,需要对风险发生的原因、风险发生会造成的影响、风险涉及的相关岗位与人员、风险所属的领域与业务流程等搜集进一步的信息,以便于后续对风险进行有效的管理与应对这样一个过程。
企业所面临的风险是错综复杂的,需要通过建立风险分析模型进行有效的识别和分析。因此风险识别与分析在整个风险管理中具有十分重要的位置,只有全面、准确地识别出风险,才能衡量、评价风险和选择应对风险的办法。
72.风险识别与分析的方法主要有哪些?
风险识别与分析过程包括识别那些可能对目标产生重大影响的风险源、影响范围、事件及其原因和潜在的后果。风险识别与分析有许多种方法,最主要使用的有以下几种:
结构化/半结构化访谈;
问卷调查;
查阅文件;
头脑风暴式的专题研讨会;
专项审核。
73.风险评估的合理广度和深度应该有多大?
企业在开展风险评估工作时,需要确定合理的范围。风险评估的操作范围可以是整个集团,也可以是集团负责某业务中的一个事业部,或者是某家子公司,甚至可以为某一个企业中的某一部门,或者独立的信息系统、特定系统组件和服务等。
在风险评估之前,我们需要关注这个组织的“目标”,然后才能确定合理确定风险评估的广度与深度。应该说,不同的组织目标对风险的态度是完全不同的,可能在这家企业属于重大风险的事项,在另外一家企业中是完全可以接受甚至忽略的事项。
我们可以举个例子,在生产型企业中,股权投资是一项非常重大的事项,需要经过经营层与决策层的多次讨论与研究,必要时还需要外部专家与行业专家的论证。但是在一家私募股权基金或者产业投资公司中,投资业务只是一项常规性的日常业务,往往仅仅会通过风险对冲的方式降低投资的风险。
74.风险管理解决方案的实施需经过哪些重要环节?
首先,企业应根据风险管理解决方案制定相应的风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。
其次,企业应针对识别出来的风险事项制定内部控制措施,一般至少包括以下内容:
第一,建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权作出风险性决定。
第二,建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。
第三,建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。
第四,建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。
第五,建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等。
第六,建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩。
第七,建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施。
第八,建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系,完善企业重大法律纠纷案件的备案管理制度。
第九,建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约,明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任,将该岗位作为内部审计的重点等。
最后,企业应当按照各有关部门和业务单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。
75.对风险管理的有效性进行检验的主要方法有哪些?
1、压力测试。是指在极端情形下,分析评估风险管理模型或内部控制流程的有效性,发现内部控制中的问题,并根据发现的问题制定改进措施的方法,目的是防止出现重大损失事件。
2、返回测试。是将历史数据输入到风险管理模型或内控流程中得出一个结果,把得出的结果与预测值对比,以检验内控方法的有效性。
3、穿行测试。是指在风险管理过程中,在正常运行的条件下,将初始数据输入内控流程,穿越全流程和所有关键环节,把运行结果与设计要求进行对比,以发现内控流程是否存在缺陷的方法。
4、内控体系有效性自我评估。是对内部控制制度进行评估的工作过程。它涉及所有员工,而不仅仅是少数审计人员或高层管理人员。这里的有效性评价是针对控制系统的评价,有别于部门业绩的评价和个人业绩的评价。
76.改进和提高企业风险管理的途径有哪些?
改进和提高企业风险管理水平可以由各有关部门和业务单位自发进行,也可以由风险管理职能部门通过定期检查出具改进建议后进行。
企业各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送企业风险管理职能部门。
77.风险管理职能部门如何改进、提高风险管理能力?
企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,对风险管理策略进行评估,对跨部门和业务单位的风险管理解决方案进行评价,提出方案调整或改进建议,出具评价和建议报告,及时报送企业总经理或其委托分管风险管理工作的高级管理人员。一般可以从两方面入手:
(1)审视风险管理解决方案的执行情况,了解其中的问题,提出调整和改进建议。
(2)根据风险管理策略的变化,对风险解决方案提出调整建议,以保证风险管理解决方案的适用性。
78.业务部门如何做好风险管理的监督与改进工作?
企业各业务部门作为企业风险管理的第一道防线,在直接面临并应对风险的同时,也是对风险管理工作进行监督的第一线。在监督改进过程中,业务部门可以选择首先识别高风险区域,识别出错的交易和行为,针对问题的根本原因进行调查,实施跟进并确保必要的纠正措施得到实施。
79.业务部门风险管理监督与改进工作的途径包含哪些?
(1)及时获得风险管理方案执行的证据,取得外部对内部信息的反映和印证;
(2)定期核对会计记录与实物资产;
(3)对外部审计师提出的建议作出及时回应;
(4)建立相关渠道获得风险管理的反馈信息;
(5)监督员工对道德规范的遵守情况以及是否执行控制活动;
(6)定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应当及时报送企业的风险管理职能部门。
80.影响国有企业实施企业风险管理外部因素有哪些?
同发达国家相比,外部环境对国有企业实施风险管理的保障和支撑还很有限。虽然近年来有所加强,但是对风险管理实施技术、风险管理绩效考核等方面注重不足,也缺乏良好的学术交流氛围,不少企业虽然建立了风险管理流程,但能对于企业战略的支撑作用非常有限,风险管理的实施缺乏实际效果。主要体现为:
①监管机构对于风险管理实施监督经验尚浅。发达国家普遍在20世纪80年代以来推广风险管理的相关标准,而中国的风险管理主要从2006年国务院国资委推出《全面风险管理指引》以后才正式起步。
②国有企业绩效考核中对风险因素的考虑不足。我国企业绩效评价体系,无论是上市公司还是国有企业都有一定的局限性。虽然经济增加值(EVA)的导入可以部分反映企业风险,但国有企业的上级主管部门没有就风险管理对领导层提出明确的要求,因此国有企业领导往往缺乏风险管理意识。
③保险与金融领域缺乏专业的风险管理工具。金融行业由于其风险较高,是风险管理实践的先行者,但由于国内金融市场发展程度不足,投资者规避证券投资风险的渠道与工具都比较少,企业可以选择的专业风险管理工具极其有限,很多时候,企业只能采取推出资本市场的方法来规避系统风险。
④缺乏成熟的风险管理行业与市场。虽然国际上知名的咨询公司早在21世纪初就开始提供风险管理咨询方面的业务,但能专门提供全面风险管理咨询的国内机构并不多,而且其产品也不够丰富,缺乏根据企业所处行业的不同提供后续跟踪支持与服务的能力。另一方面,除了金融机构之外,风险管理实践的分享活动、行业协会也非常少,企业缺乏获取高质量风险管理信息的渠道。
81.影响国有企业实施企业风险管理内部因素有哪些?
国有企业多数没有设立独立的风险管理部门,也尚未明确各级组织的风险管理职责,普遍存在风险意识淡薄、内控机制不完善、风险信息和沟通渠道不畅通等问题,具体可以归纳为以下几点:
①企业战略与风险管理体系不相适应。我国企业在目标的制定上有一个很大弊端就是急于求成,希望以最快的方式获得回报,致使企业在发展的过程中遭受过多自身不可承受的风险,同时缺乏与之相匹配的风险管理策略和措施,导致企业应对市场变化敏感度不够、发展后劲不足,有的企业甚至在重大风险事件发生时毫无应对措施,导致巨额损失,因此需要明确风险管理体系的阶段性目标,并与企业发展战略紧密契合。
②风险管理组织结构与职责尚未明确。国外企业的风险管理组织架构在不同国家、不同行业内有较大区别,会根据其自身的规模、业务特点、风险领域等选择适当的组织架构与相应职责。虽然国务院国资委的《全面风险管理指引》作了风险管理组织结构的相关规定,企业仍然需要根据自身情况来考虑,尤其需要明确风险管理的专职部门和风险管理领导小组的成员,汇报条线、权威等,避免形式主义。在实践中,有不少企业将内审部设为风险管理兼职部门,不失为一个短期内可取的方案,但需要在企业风险管理基本流程运作一段时间后,考虑设置独立部门。
③风险管理基本流程与运作机制尚未建立。有不少企业对风险开展了专项的管理工作,但缺乏整体性考虑,跨部门的合作很少,导致了对真正的重大问题认识却不足,从风险管理成熟度看,这类企业往往处于第二个阶段,因此,系统地建立风险管理流程与运作机制是企业走向风险智能管理的必然。
④风险管理人才严重缺乏。随着近年来风险管理理论与实践的发展,风险管理的技术性、管理要求等大大增加了。我国企业全面风险管理工作尚处在初级阶段,风险管理人才严重短缺,而风险管理又是一项难度大、专业性强的工作,因此需要培养大批满足企业需求的、具备强大的项目管理能力、熟悉风险管理理论以及专项风险计量技术与工具的风险管理人才。很多企业往往选择风险管理外包的方式来缓解本企业该类人才的不足。
⑤缺乏有效的内控体系保障。国有企业往往在制度建设上较为完整,但仔细一检查,制度不更新、相互矛盾、缺乏有效执行的情况非常多,缺乏一整套完整的内控体系。随着《企业内部控制基本规范》及其配套指引的出台,国有企业也开始大规模的内控梳理与体系建设工作,这是一个建立健全内控保障体系的好时机。只有内控体系保障了日常管理,让管理层有精力更多地思考重大风险的应对,才能真正体会到风险管理对于企业“增值”的意义。
⑥缺乏风险管理的激励约束机制。在衡量企业风险管理的工作成效时,要将企业全面风险管理的有效性检验与企业的绩效考核工作对接,使其与企业负责人激励约束机制相挂钩。由于缺乏全面风险管理绩效考核体系量化评价标准的数据基础,导致体系有效性检验不到位。国有企业高层人员大多是上级(集团公司或国资委)指派的,其官本位的思想以及过强的行政组织激励体系,不可避免地导致了管理人员行为的短期化,努力增加公司业绩只是高层管理人员的次优选择。
⑦信息与沟通机制不健全。国有企业对信息系统的重视程度还比较薄弱,特别是信息系统规划和基础安全管理等方面,从而导致系统应用的范围和深度有很大差距。分散的风险管理系统居多,相互之间也缺乏有效的数据接口或接口管理,影响了信息传递的质量与效率,因此,结合风险管理的基本要求,逐步引入整合型的风险管理信息系统,也是风险管理走向成熟的必修课。
82.国有企业风险管理的制度化的意义是什么?
国有企业风险管理的建设需要考虑当前外部环境与内部环境的限国有企业风险限制,其中一个基础性的工作就是需要将风险管理流程及其关键要素制度化,只有建立制度化的风险管理体系,才能将各种对于风险管理的思考与实践进行不断的总结,使思考与实践越来越全面,越来越深入,才能让管理团队的集体思考力量得到发挥。
83.国有企业风险管理的制度建设应当考虑哪些关键因素?
风险管理制度需要纳入企业现有的制度体系中。通常,国有企业制度体系建设中需要考虑的五个关键因素为企业的内外部环境、战略目标及措施、管控模式及组织环境、业务及管理流程和岗位职责规范。
(1)内外部环境。任何一个企业都不是生存在真空的环境中,制度是企业的法,这个法可以说是“小法”,是微观层面的法,而企业所处的环境,包括国家地区、行业、资本市场等的运行规则,我们可以称之为“大法”。企业的“小法”必须建立在“大法”的框架之下,否则就失去了存在的根据。影响和制约国有企业风险管理制度建设的外部环境因素包括三个。一是国家的法律、法规,如《全面风险管理指引》、《企业内部控制基本规范》等;二是社会的道德习俗和文化;三是治理规则对企业的要求。企业的风险管理制度在规范个人行为时仅限于个人的企业组织方面,它必须受到国家法律、法规,社会传统、习俗的制约。也就是说企业的风险管理制度不能违反国家的法律、法规,并尊重社会的传统、习俗。同时,对于以不同的合约方式形成的企业,企业的风险管理制度也要受企业治理结构的限制。影响和制约国有企业风险管理制度建设的内部环境因素包括三个。一是企业的风险管理水平,二是企业风险管理文化的建设,三是企业业务发展的需要。企业的风险管理制度体系必须建立在企业当时的内部环境之上,不能一味地追求全面的风险管理制度体系而忽略自身的实际风险管理发展阶段与需求。企业每一个风险管理成熟度所对应的管理水平、企业文化建设和业务发展需求都不一样,所以企业所处的风险管理发展阶段的不同是影响和制约国有企业风险管理制度建设的主要内部环境因素。
(2)战略目标及措施。企业的风险管理制度体系需要通过规范企业中人的行为而实现企业组织风险管理目标,并服务于企业发展战略与为企业战略的实现提供保障。企业的一切目标都应该围绕实现战略而展开,企业的一切制度必须与战略相匹配。在实际工作中,风险管理制度应根据企业所倡导的宗旨、战略目标,围绕不断变化的生产、经营、管理的重大风险去编制、执行、维护制度,一切与战略目标产生冲突的风险管理制度都应及时废止或修改,保障这些制度与战略匹配的及时性,这是构建风险管理制度体系的基本理念。制度体系的建设工作还必须与战略阶段相匹配,分阶段制定和实施,并根据战略的调整进行动态调整,为了在不同的战略阶段实现各阶段的战略目标,战略措施要通过管理制度和业务制度来规范和固化下来,以此构成制度体系的主体内容。
(3)管控模式及组织环境。管控就是母公司对子公司管什么,管到什么程度,怎样管。通过确定母子公司的管控模式,划分母子公司的管理界面,明确母公司,即国有企业集团总部的定位和主要管理职能,将各项管理职能通过制度规范固定下来,这就形成了国有企业集团总部层面的制度体系。
风险管理制度体系建设需要考虑当前公司的管控模式,现在理论界的管控模式主要分为三种基本类型,即财务控制型、战略控制型和运营控制型。从财务控制型到运营控制型,随着集权程度的逐步提高,集团母公司承担的职能也越来越多,而子公司的职能则相应减少,这就意味着集团制度体系的内容在不断扩充,深度在不断延伸。如对于财务控制型集团,其风险管理组织体系所需要考虑的子公司的主要风险应该是投资回报与现金流相关的风险,而运营控制型集团所需要考虑的主要风险则要宽泛的多,因此其对应的风险管理部门的职能、汇报要求等均有区别。
(4)业务及管理流程。企业的风险管理制度体系,需要与企业现有的各项管理流程和业务流程充分兼容。实际上,随着风险管理概念的不断扩大,其所包容的信息已经远远超出了一个专项制度的概念,而公司的各项制度均应该以风险为导向来进行制定与实施,因此,在针对各项重大风险所制定的风险管理制度时,要针对企业的不同产品品种和生产特征绘制风险管理的流程。
(5)岗位职责规范。企业岗位规范及职责分析、制度形成于此。企业的战略规划、生产经营、管理职责等的落实都是由不同的企业职能岗位来实现的,但是,在企业中,我们经常能看到四种现象,即岗位职责缺位、错位、交叉和重叠,这些现象在国有企业表现得尤为突出,因此,风险管理制度体系中的合理定岗、明确岗位规范与职责能确保减少岗位职责不清、工作重复、扯皮推诿等无效率和混乱状况,确保各岗位能够各司其职、各负其责。同时,明确设计和制定科学、合理的岗位职数、岗位规范和职责本身就是企业制度的重要组成部分。
84.企业风险管理制度框架建设情况如何?
企业风险管理制度应当与企业现有的制度框架相符合。目前企业的制度体系已经建立多年,且企业人员的文字功底深厚,具备建立良好的企业制度的基础,但在实践中,我们发现也有不少企业缺乏良好的制度框架,也不理解制度的层级和相互之间的关系。
85.企业建设风险管理体系制度框架应当包括哪些内容?
(1)公司层级的基本管理制度。是指公司层面为规范公司运作或员工行为而制定的原则性要求,其目的是为规范在确定的原则和方向下进行实际操作。公司制度的效力通常为包括各职能部门及分公司的总公司。
(2)业务流程相关的管理制度和实施细则。是指在为达到公司目标、贯彻公司制度而在实际工作中开展的一系列业务活动,以及彼此间的关系。业务流程包括跨部门和部门内部流程,要具备可操作性。
(3)工作规范类的操作指南、作业标准等。是指具体的实务操作中可依据或参考的技术性文档,主要适用于标准化作业的部门或制造车间。
(4)管理表单。是在实际业务活动中用以记录业务轨迹或结果的载体,包括在信息系统中实现的电子表单。表单一般不单独出现,而与层级二或层级三的制度同时出现。
86.企业内部控制的背景有哪些?
1992年9月,美国的COSO委员会(全美反舞弊性财务报告委员会发起组织)发布《内部控制—整体框架》明确规定:“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”同时,该《框架》提出了内部控制五要素理论,即:“企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督。”可以说,这是全球内部控制理论体系发展的最基础文件。
2008年6月,我国财政部、证监会、审计署、原银监会、原保监会联合发布《企业内部控制基本规范》(财会〔2008〕7号)并后续印发了《关于印发企业内部控制配套指引的通知》(财会〔2010〕11号)明确规定:“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”同时,该《基本规范》要求按照内部控制五要素构建内部控制管理体系。由此开启了我国内部控制体系建设与发展的步伐。
87.企业内部控制内涵包含哪些?
在内容及对象上,内控兼具全面性和重要性。全面性体现在内控要求对全员、全流程、全业务与管理环节的全面内部控制,人员涵盖董事会、监事会、经理层及全体员工,甚至还包括派遣和辅助人员等,流程贯穿决策、执行、监督、评价等全部流程环节,覆盖所有业务、事项和环节。重要性体现在在全面内部控制的基础上,内控注重重要业务、重点人员、重点领域、重要风险、敏感地带、薄弱环节和经营管理漏洞等方面。
在形式上,内控具有内部制衡性和过程控制性。内部制衡性体现在内控通过构建内部环境,对内部治理结构、机构设置及权责分配、业务流程等方面活动实现控制,设置有效的内部控制管理防线,实现相互控制、监督和制约。过程控制性体现在内控重视对过程的控制,发现过程中风险、漏洞、不足和薄弱环节,构建决策、执行、监督、评价等管理措施,实现控制目标。
在效果上,内控具有适应性和经济性。适应性体现在内控与企业所在行业、经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况不断变化动态调整,趋向于变化性和灵活性。经济性体现在内控目的一方面在于保证经营管理合法合规、资产及财务安全,防控内部操作风险等;另一方面在于提高经营效率和效果,实现企业发展战略,以适当成本时效有效控制。
内控通过构建内部环境、完善执行、加强监督、科学评价等方式,实现对全员、全流程和全业务等方面控制活动,但是内控重视过程控制,具有内部性,需要平衡内部控制与管理效益的关系,易于内卷化,对于结果管理和外部风险的关注和重视不够,所以对于外部性风险管控无能为力。
88.内部控制的五要素各自是什么?
内部环境:是影响、制约企业内部控制建立与执行各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
风险评估:是及时识别、科学分析和评价影响企业内部控制目标实现的各种不正确因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定,风险识别、风险分析和风险应对。
控制活动:是根据风险评估结果、结合风险应对策略采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制活动结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
信息与沟通:是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关的沟通机制等。
监督检查:是企业对其内部控制的健全性、合理性有效进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行连续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。
89.内控体系主要涵盖哪些内容?
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系,所以具体内容与外资企业的SOX404体系差不多。具体来讲主要包含如下几个文件:内控手册,风险数据库,内控评价手册。
内控手册为对每一个作业流程的描述,内容含流程描述、流程图、授权说明、运营分析等。
风险数据库是作业可能导致风险的现象描述的汇总。所涉及的风险一般指导致公司资产不安全,作业内容不合规合法,运营效率低下,财务报表数据不真实等。
内控评价手册具体含三部分,第一部分检查制度设计合理或文档的齐全性,第二部分检查控制过程,第三部分检查会计账务处理控制。
90.内部控制体系建设原则是哪些?
全面性原则:要求内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位各种业务和事项;
重要性原则:要求内部控制应当重点关注重要业务事项和高风险领域,切实防范重大风险;
制衡性原则:要求内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率;
适应性原则:要求内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整;
成本效益原则:要求内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
91.内控体系与ISO质量体系有什么区别和联系?
目的不同:内控体系是以会计报告为主要目的,ISO质量体系是以产品质量为主。
控制活动不同:在现阶段五部委提供的18项指引来看,内控体系缺少生产过程控制;而ISO质量体系则以产品质量为主,涵盖产供销价值链,但是缺少会计系统控制。
设计部门不同:在ISO体系内不存在财务部门,以研发、生产、采购、销售部门为主;内控体系几乎涵盖公司各个部门。
要求不同:内控体系是国家强制要求,而ISO只是产品运营体系的一个认证,非强制要求。
92.内控体系建立的流程是怎么样的?
组织架构:首先建立内控小组,为了使内控体系得到有效落实和贯彻,内控小组组长最好由总经理或董事长担任。主要作业由内审人员负责。
业务运作:内控小组对各部门提交的制度进行对标和梳理。并根据内控指引对现有作业流程的描述进行评价,同时开展小组会议对各职能部门未设置的流程及有缺钱的流程进行优化。内控小组根据调整后流程进行内控手册的编制和流程图绘制,最后形成内控手册,由总经理授权下发。
内控小组等类似部门不定期进行内控评价,并根据各职能部门的变化对内控手册进行优化等。
93.内控检查与内审的区别和联系在哪?
内控检查的主要目的时间里明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段,合适业务事项是否真实合理。
94.内控体系建立是否要对现有制度进行梳理?
在建立内控体系之前,首先有个制度对标的过程,而这个过程是建立在调研开始前对公司现有制度建设情况的了解以及各模块划分的基础上,同时对制度设计期间的不足、缺陷做备查。
95.建立内控体系,如何进行制度对标?
类似于我们平时通过五部委的18个指引,其实在18个指引的解读里,已经有对各个环节的要求,制度的对标对应的结论有:整个作业流程未形成书面的制度、作业流程缺少某个控制环节、控制环节缺少重要的控制点。对于单个控制点的评价:责任人是否明确、表单是否表达清楚、控制痕迹有没有、审批是否重复和异常等。
96.内控的后续检查主要是检查哪些?与内审的主要区别是什么?
大致有这几点:制度设计、流程(包含正常与异常流程)、不相容职责分离、表单审核、关键控制点是否确实等检查。与内审的主要区别在于内控是流程的完整和有效,内审主要检查内容是评价所发生事项的合理真实性。
97.内控体系后续评价优化如何操作?
内控体系评价分三个模块:分别为制度有效性评价和运营评价,运营评价分已有作业痕迹评价和系统作业评价。作业痕迹评价主要评价在内控评价期间已经形成的作业表单和流程。系统作业评价主要评价为现有系统评价,实际上类似于信息系统的白箱子测试,即通过新的数据的输入、处理和输出,了解现有系统运营作业情况。
98.内控体系优化,相关制度有效性评价是什么?
一般通过审查现有的流程作业制度和文字,通过职责不相容分离、授权审批以及制度的完整性来评价。实施企业内控制度评价应遵循全面性、重要性、独立性原则,确保评价工作标准统一、客观公正。根据所收集的证据进行合理判断。
99.内控体系现有系统的有效性评价是什么?
对检查期间已经形成的表单或者作业流程进行评价,如果企业内部自行检查提取表单即可,一般可以通过对现有的内控制度或者内控手册的核对来确认是否存在异常。
有效性的评价分四种情况:存在控制强点、存在控制弱点、存在控制缺失、不适用。其中需要说明的事存在控制弱点,即部分作业表单有审核或者有记录,部分表单无审核无记录等。
检查的对象包含控制环境和控制活动,控制环境所需资料:可通过获取如组织架构来评价组织架构,通过获取如CIS来评价企业文化,公司战略的评价可以通过公司高层会议或董事会、股东会的类似决策资料来评价等等;控制活动的评价所需资料:可以通过流程中所需要的各表单来确认。
100.内控体系系统运行有效性评价是什么?
内控系统运行有效性评价可以理解为穿行测试,除了一般性的政策流程的检查还应包含现有系统有效性评价中可能为体现出来的特殊情况。例如检查1-12月表单和流程,但均未体现有政策流程,通过这种补充检查即可获知特殊作业流程是否可以正常运转。
来源:中天华溥管理视野
作者:阎攀宇
关注公众号
国资、国企单位实名添加张国良老师微信进入:“国资国企交流群”
群内将不定期分享:
公司法人治理、国企改革、集团治理、董监事履职、集团管控、大监督体系、风险防控、党建党群、纪检监察、审计、法务、人力资源等方面以及专家解读、案例分析等资料。面向全国的国资国企的朋友开放,欢迎大家入群交流!
入群流程:
1
、扫描识别下方二维码,添加群管理员张国良老师好友;
2
、编辑姓名+部门+单位名称提交名片审核;
3
、审核通过后管理员邀请入群,修改群昵称为姓名+部门+单位简称,自觉遵守群规,营造良好交流氛围。
版权所有 © 中企培(北京)企业管理中心
京ICP备13012228号-1