是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行 风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统
企业风险是指未来的不确定性对企业实现其经营目标的影响。一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。
定义中提到的内部控制系统是指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市 场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管IM电竞 电子竞技平台理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。
按照财政部 证监会 审计署 银监会 保监会2008年5月22日印发的《企业内部控制基本规范》描述,
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
在实践中,全面风险管理与内部控制既有区别又有联系,一方面,全面风险管理涵盖了内部控制,即内部控制是作为全面风险管理体系中的一个子模块存在的;另一方面,内部IM电竞 电子竞技平台控制是全面风险管理的必要环节。在实现内部控制目标的过程中,企业要开展风险评估以便准确识别与实现控制目标相关的内部风险和外部风险。而对于企业所有业务流程之中的风险,内部控制系统是必要的、高效的和有效的风险管理方法,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。例如,在《企业内部控制基本规范》中,风险评估作为一个单独的章节进行描述。第二十一条 企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度(风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平)。
但是,对于企业而言,内部控制仅是企业管理过程中的一项职能,主要是通过过程控制和事后控制来实现其自身的目标,全面风险管理则贯穿于企业管理的全过程,且在事前制订目标时就已考虑风险因素。全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。内部控制与企业经营目标设定无关,只对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,更有利于企业全面风险管理目标的实现
在20世纪30年代,为应对经济危机的影响,许多大中型企业都在内部设立了保险管理部门,负责安排企业的各种保险项目。1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究发表了题为《内部控制,协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,第一次对内部控制做了权威性的定义。1955年,美国宾夕法尼亚大学沃顿商学院的施耐德教授第一次提出了“风险管理”的概念。20世纪70年代中期,作为美国“水门事件”调查结果,立法者和监管团体开始对内部控制问题给以高度重视。为了制止美国公司向外国政府官员行贿,美国国会于1977年通过了“国外腐败实务法案(1977)”。该法案除了反腐败条款外,还包含了要求公司管理层加强会计内部控制的条款。该法案成为美国在公司内部控制方面的第一个法案。1978年,美国执业会计协会下面的柯恩委员会(Cohen Commission)提出报告,一是建议公司管理层在披露财务报表时,提交一份关于内控系统的报告;二是建议外部独立审计师对管理者内控报告提出审计报告。1980年后,内部控制审计的职业标准逐渐成形。而且,这些标准逐渐得到了监管者和立法者的认可。1970年代以后,随着企业面临的风险复杂多样和风险费用的增加,法国从美国引进了内部控制和风险管理并在法国国内传播开来。与法国同时,日本也开始了风险管理研究。 此后20年来,美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会上,世界各国专家学者云集纽约,共同讨论并通过了“101条风险管理准则”,这是风险管理走向实践化的一个重要文件。1992年9月,美国COSO委员会发布了《企业内部控制——整合框架》,这份框架此后被纳入政策和法规之中,并被各国数千家企业用来为实现既定目标所采取的行动加以更好的控制。1995年由澳大利亚和新西兰联合制订的AS/NZS 4360明确定义了风险管理的标准程序,这就是我们通常说的澳新ERM标准,这标志着第一个国家风险管理标准的诞生。
通过多年的风险管理实践,人们逐渐发现,一个企业内部不同部门或不同业务的风险存在叠加或者抵减的情形,企业不能仅仅从某项业务、某个部门的角度考虑风险,必须根据风险组合的观点,从贯穿整个企业的角度看风险,即要实行全面风险管理。2001年11月美国安然公司倒闭案和2002年6月的世通公司财务欺诈案等一系列的会计舞弊事件,促使企业的风险管理问题受到全社会的关注。2002年7月,美国国会通过萨班斯法案(Sarbanes-Oxley法案),要求所有在美国上市的公司必须建立和完善内控体系。萨班斯法案被称为是美国自1934年以来最重要的公司法案,在其影响下,世界各国纷纷出台类似的方案,加强公司治理和内部控制规范,加大信息披露的要求,加强企业全面风险管理。接着在2004年9月,COSO发布《企业风险管理——整合框架》(Enterprise Risk Management — Integrated Framework),该框架拓展了内部控制,更加关注于企业全面风险管理这一更为宽泛的领域,并随之成为世界各国和众多企业广为接受的标准规范。
从20世纪80年代开始,一些学者将风险管理和安全系统工程理论引入中国,我国在1999年修订的《会计法》中,第一次以法律的形式对建立健全内部控制提出原则要求,财政部随即连续制定发布了《内部会计控制规范———基本规范》等7项内部会计控制规范。受美国2002年安然事件、世通公司财务欺诈案及随后美国的萨班斯法案的影响,2006年国资委发布了《中央企业全面风险管理指引》,2008年6月28日,财政部、证监会、审计署、银监会、保监会五部门联合发布了《企业内部控制基本规范》,《规范》自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。《规范》的发布,标志着我国企业内部控制规范体系建设取得重大突破,有业内人士和媒体甚至称之为中国版的“萨班斯法案”。2010年4月26日,财政部、证监会、审计署、银监会、保监会等五部委刚刚联合并发布了《企业内部控制配套指引》。该配套指IM电竞 电子竞技平台引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。《企业内部控制基本规范》及配套指引,在实践中的应用范围,可以分为三类企业:一类是上市公司,这是必须要进行的。其次是国有企业。按国资委出台的风险管理指引要求,下属的企业都要全面贯彻风险管理。风险管理和内部控制是相通的。风险管理是战略层面,最后要落脚到内部控制。对这部分企业来讲,内控建设也是必须开展的。第三类就是民营企业。这一类公司没有相关主管部门,在《基本规范》的实施上,有较大的自由度。
一是全面风险管理体系和内部控制系统建设应该作为企业日常管理运行机制来看待,建章立制只是为了保证这种运行机制有据可依,制度是作为规范和参照物的,起到保障性作用,偏离制度和流程必然导致风险,即内部控制出现了缺陷。全面风险管理主要是过程管理,若企业的经营管理行为不偏离制度和流程,则风险大体上应该是可控的。同事,规章制度是否及时按照“外法内规”来更新则也是一种动态管理,没有什么是一成不变的。
二是建设内部控制和全面风险管理体系都是系统工程,两者存在一定的重合,企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等,确定选择合适的管理体系和建设重点,一句话来概括就是适合自己的才是最好的。
三是内部控制和全面风险管理体系只能为企业的发展起到保驾护航的基础作用,实际上,再优秀的制度设计也依赖于人的操作和判断,受企业内部各阶层对于全面风险管理和内部控制管理的不同认识限制,能发挥的作用可能不及预期。特别是因企业各部门负责风险管理和内部控制管理的人员对于该项业务的认识有限,加上各部门甚至管理层普遍不够重视等原因,在实际操作过程中取得的效果可能并不理想。IM电竞 IM电竞平台IM电竞 IM电竞平台IM电竞 IM电竞平台
