内控合规管理体系篇1
【关键词】内部控制;证券公司;内控体系;合规性
一、内控体系合规性内涵解析
内部控制合规性包括两层涵义:一是指一致性,即公司的内部控制政策和措施没有与国家法律法规相抵触的地方;二是指有效性,即设计完整、合理的内部控制,在公司的经营过程中,能够得到贯彻执行并发挥作用,实现其为提高经营效率效果、提供可靠财务报告和遵循法律法规提供合理保证的目标。有效性是内部控制的精髓,如果一种内部控制体系不能实现“有效控制”,则实质上内控体系就是不存在的。内部控制的有效性以其合理性为基础,内部控制的合理性则以其有效性为目的。若不具有合理性,则内部控制的有效性无从谈起。同理,若没有了有效性,则内部控制的合理性也就丧失了基本的意义。
在评价内部控制的有效性时,一致性是前提,只有满足了这一点,才能考虑其执行的效果。而有效性对公司来说则是根本性的,也是公司的追求目标。如果只满足了一致性的前提,而在实际中根本不予执行或执行起来达不到预计效果,则内部控制对此公司来说就相当于不存在。有效性要求内部控制体系能有效地防止错误与弊端的发生,产生效率和效益。这不仅仅需要内部控制总体上是有效的,而且需要各项具体制度有明确的目的并发挥其自身的作用。因此,内部控制系统要相互协调,决不能顾此失彼、自相矛盾,既要有制约作用,又要有协调机制,以有利于整体功能的发挥。控制要适度,过严会使管理活动失去生机,影响职工积极性的发挥;过宽又会引起运行的机制失调,达不到控制目的。任何制度都要有利于管理者和职工群众的理解与执行,因此要简明扼要、方便易行、讲究实效。
二、我国证券公司内控体系合规性存在的问题
我国证券公司内部基本都有一套自己的内部控制体系,在设计方面都是以我国目前的法律规范为依据,在内容方面也较为完善。依据合规性的涵义,我国证券公司的内部控制体系基本符合其第一层涵义,即与国家法律法规保持一致的涵义。
而从有效性来看,许多证券公司不尽如意,没有真实、有效地执行已经设计好的内部控制体系。例如股东大会、董事会、监事会的会议记录、表决方式、会议程序及决议等内容严重不全,已有的部分会议决议缺少会议程序及记录,有的会议仅有会议记录,缺少会议决议,资料不完整。许多证券公司的内部控制制度仅是摆设,是为了应付监管部门的检查,或者用来约束普通员工,而对于公司高级管理层毫无约束力。证券公司内部控制有效性失效已成为困扰我国券商的普遍性问题。本文主要探讨内部控制体系的有效性,分析内部控制体系失效的原因,并据此给出证券公司加强内部控制有效性的一些参考建议。
三、出现问题的根源剖析
(一)制度短缺
我国处于由计划经济向市场经济的转型时期,我国证券市场参与者尚未形成适应新兴市场特点的整体价值观念。市场经济中,诚信、自律是经济有效运转的内在保障。我国证券公司频频违规表面上看属于诚信缺失现象,但究其根本,实质上是制度缺失。借助制度缺失形成的不公平交易秩序,失信者得以谋取好处,这是证券市场诚信缺失的根源所在。从制度的起源和产生的历史来看,中国在走向市场经济的过程中之所以会发生制度短缺的问题,笔者认为与以下两个因素有关:一是缺乏外部性概念,从而导致内生的制度供给不足;二是政治的成本过高,效率太低,从而导致外生的制度供给不足。新制度经济学认为制度是人类交往的规则,它抑制着可能出现的、机会主义的和乖僻的个人行为,使人们的行为更可预见并由此促进着劳动分工和财富创造。制度,要有效能,总是隐含着某种对违规的惩罚。但是,在中国传统的等级制社会中形成的“刑不上大夫、礼不下庶人”的文化遗产,使得惩罚机制很难发挥其维护制度有效性的作用。结果,即便制度被创造出来了,但由于没有惩罚的威慑,这些制度也就成为在实际生活中难以发挥作用的一纸空文。由于转型期间的制度短缺导致我国证券公司的违规成本变得很低,而抑制违规发生的外部制度供给又明显缺乏,这进一步刺激了一个个证券公司选择铤而走险。
(二)缺乏保证制度实施的保障体系
从近几年被关闭或接管的“问题券商”的案例分析可知,我国证券公司确实存在问题,但不能解释的是,为什么有的证券公司内控制度的完善程度堪与世界一流券商相媲美,但仍未能逃脱被关闭或接管的命运?为什么我国证券公司尽管在治理结构方面奉行德、日的董事会加监事会的所谓“两会模式”,又在此之上加进了英美的独立董事制度,可谓叠床架屋、完善之至,为什么仍会发生大股东侵吞公司及客户资产,或内部人严重违法违规经营等问题?为什么民营公司控股的证券公司也一批批倒下,甚至有些公司问题比国有背景的证券公司问题更加严重?等等。显然,在上述种种原因之外,一定还有更深层次的根源。笔者认为,这更深层次的根源,就在于我国证券公司缺乏法律法规及各项制度的执行保障和奖惩机制,致使违法违规成本极低而获益极其丰厚,因而使违法违规几乎成为各证券公司各项业务中的普遍现象。无论是国有背景还是民营背景的证券公司,无论内部治理结构形式上多么完善的证券公司,也无论内控制度条文多么严密的证券公司,只要法律法规和内部制度的执行没有充分保障,违法违规成本太低甚至违法违规之后得不到追究或惩处,证券公司违法违规经营就必然是普遍现象而不是个别现象,证券公司累积的风险就必然会越来越大,难以真正摆脱目前的困境。
(三)内部控制的不合理性导致其有效性缺乏
合理的内部控制实施起来未必有效,但不合理的内部控制则必然无效。由于我国证券公司在内部控制方面存在诸多不合理性,内部控制的有效性缺乏也就成为了必然结果。因此,证券公司内控制度条文看似很严密,但是在一个总体不合理的大背景下,法律法规和内部制度的执行没有充分保障,证券公司从控制环境、业务控制、资金管理控制、会计系统控制到内部审计控制都存在或多或少的问题,而内部控制体系是一个完整的系统。系统论告诉我们系统是一个整体,系统间的各要素是相互作用和相互影响的,要保证一个系统的有效运转,要求各个要素都要在各自的位置发挥作用。一个环节出现问题必然导致整个系统的无效甚至崩溃。证券公司的内部控制若要有效地发挥其应有的作用,就要保证在各个环节上控制存在的合理性,这里所说的合理不仅包括了内容上的合理,也包括了执行上的合理。只有在一个合理的内部控制体系下,证券公司内部控制的合规性才能够真正体现出来。
(四)内部控制缺乏有效的实施主体
原则的普遍适用性与具体规则的普遍适用性是不同的概念。我国的内控指引实际上只是一种大致的原则,各个证券公司在内部控制建设上应该设计出符合自身情况的具体规则。而现实情况是,证券公司仅仅按照内部控制指引的要求僵化地建设公司的内部控制体系,有些内控设计人员甚至并非公司风险管理人员,他们对于证券公司的业务特点不是很了解,设计出的内控体系不仅可以适用一个证券公司,甚至很多证券公司都有相同的内部控制体系,这有照猫画虎的嫌疑,这样的内部控制如何能够保证它的有效性?当内部控制体系设计好了以后,具体的落实又很不规范,责任落实不到位。实施内部控制的主体不明确,员工主要是忙于各自的业务,对于内部控制的执行也没有风险管理人员进行分配与监督,制度与执行之间严重脱钩,导致内部控制体系最终成为公司内部为了应付规范性检查的法律条文,监管部门基本不干预证券公司的风险管理。有些证券公司真正出现问题进行核查时,才发现自身的内控体系是如此的薄弱。
(五)执法主体软约束
从我国资本市场建立之初开始,全国立法机构、国务院就了一系列法规和文件,包括《证券法》、《公司法》等。此后,在市场和证券公司的发展过程中,监管机构又了一系列法规性文件和执行细则,这些法规条例对规范资本市场环境、促进证券公司发展、完善证券公司治理结构起到了积极的作用。但是,仅有文字上的法律法规是不够的,法律法规的落实还需要司法和执法主体的独立,执法要严格,执法过程中要有高度的透明度,同时要求新闻媒体有较强的监督力度。我国目前虽然已经形成了较为完备的法律法规体系,但由于种种原因,这些法律法规在很大程度上被弱化,法律的效力大打折扣,严肃的法律制度演变为执法机构手中的软刀子,法律的硬约束退化为执法机构的软约束。
(六)内部控制监督体系不完备
内部控制监督体系主要由监事会、独立董事和内审部门这三大机构组成,其职责是检查、监督和评价公司董事会、管理层和其它员工实施公司内部控制活动的效果和效率,保证公司的正常运行。目前,我国证券公司内部控制监督机构对董事会及其管理层在公司运行过程中实施的内部控制缺乏有效的监管,使公司内部控制达不到应有的作用。具体表现在:1.体制不顺,使内部控制监督处于无效状态。内部监督机构体制是公司设置的内部监督机构的组织制度,它的有效性要受到外部法律环境、各监督机构的协同性和内部监督机制的可行性的影响。而我国证券公司的监管体系中,各方监管主体各自为政,没有形成有效的体系。甚至由于独立董事的存在,反而弱化了监事会和内审部门的职能。2.人员不当,使内部控制监督没有独立性,缺乏行权能力。我国证券公司的监事会成员大多并非法律、财务、技术方面的专业人士,缺乏必要的专业素质,没有监督的行权能力。而独立董事虽然具有专业知识,但大多是通过津贴报酬等待遇“请来的、拉来的”,独立董事缺乏独立性现象在我国的证券公司和公司中非常普遍。3.国有股权一股独大,监督机构丧失了执行力。我国证券公司大多由当地政府组建,国有股权占有绝对比例,同时股权主体虚置,就会产生委托关系,这种状况极易诱发道德风险。而无论作为监事会、独立董事还是内审部门,他们都毫不例外地受到不需要承担责任的国有股大股东代言人的控制,无法有效实施对公司董事会、经营者等所作的内部控制活动的监督,导致公司内部控制监督机构的执行力完全丧失。
(七)风险预警及风险评价系统的缺乏
我国证券公司普遍缺乏风险预警与评价体系,主要表现为:各个证券公司没有一套符合自身业务要求的风险监视和度量控制模型,不能及时、准确地了解证券公司财务风险和业务风险状况,实现对证券公司的全过程监管。当证券公司某个控制环节出现问题时,往往不能及时发现,随着问题的逐步扩大,会影响到其他控制点风险的产生,并最终导致整个内控体系的无效。同时,证券公司缺乏一套有效的风险评价系统,不能对证券公司的内部控制体系作出客观的评价。
四、完善我国证券公司内控体系合规性的几点建议
(一)完善我国证券市场外部制度环境建设
我国证券市场的快速发展,要求我国证券市场在加强法律规范方面建设系统的体系,而不应该出现什么问题就出台什么规章,被问题牵着鼻子走。在制定法规制度时,应注意借鉴国外发达国家在证券市场建设方面的经验,更多地考虑前瞻性与未来适用性,要注意和我国改革开放的阶段性成果相结合,以稳定、实效的方式推进我国证券市场的法律框架建设。在外部制度环境建设中,要注意加强对于证券公司内控体系的监管法律建设,加强内控体系的执行力。
(二)促进我国证券公司产权制度创新
我国证券公司大多是国有控股公司,且主体缺位现象严重,这必然导致内控执行的低效甚至无效。因此,促进我国证券公司的产权制度创新可以有效增强我国证券公司的风险约束机制。创新的具体办法有:1.上市可以增加资本实力,完善现代公司制度,扩展证券行业资源配置渠道,降低股权集中度,强化对证券公司的外部监管,增强公司经营透明度。2.组建中外合资证券公司。通过组建合资证券公司,有效地学习外方在证券公司管理上的经验,特别是国外证券公司在风险管理方面积累的大量宝贵经验。3.建立合伙制证券公司。证券公司采取合伙制形式有许多优点:证券公司合伙人的自我约束和风险防范意识比较强,一般都能遵规守法,规范经营;有利于赢得客户信任,从而有利于品牌的创立和公司的发展;良好的激励机制可以吸引和培育证券人才等。美国证券市场发展初期证券公司合伙制盛行,对于在监管体制尚不成熟、不完善的条件下保障证券公司法律法规和制度的执行、防范风险、促进证券公司乃至整个证券市场的规范、健康发展,都发挥了重要的作用。
(三)明确内部控制体系的实施主体
内控体系类似于公司的法律规章,不仅要制定好,更要实施好。我国证券公司虽然制订了内控体系,内控体系也具体落实到了各个部门,但是,由谁来负责、监督并责令其执行,如果得不到执行会产生什么样的惩罚措施,这些都是我国证券公司所缺乏的。因此,笔者建议在证券公司内部设立内部控制执行委员会,该委员会可由监事会成员兼任。主要负责安排内部控制的具体实施细节,并确定各项责任人,由责任人定期向委员会汇报内部控制执行情况。如果在内控执行过程中发现问题,应及时提出并找出问题的原因,同时以最快的速度对风险点进行控制,并要对内部控制进行完善。只有这样,内部控制体系在证券公司内部才能真正发挥其应有的作用。
(四)硬化法律约束,强化高管人员的责任追究机制
法律约束软化的根源在于无约束、无边界的政府权力无法形成至关重要的权力制衡。此外,在当前我国立法与司法获得了长足进步的同时,执法能力却没有同步增长,甚至有所削弱,成为法律体系建设中的制约因素。“仅仅颁布众多规则和法规远远不够,它们必须被持续、公平、透明地执行下去。规范市场的办法只有一个,那就是执行、执行、再执行!”(史美伦,2003)因此,唤醒民众的权利意识,树立“权生于民”、“权力制衡”的思想,通过法律而不仅仅是靠证券公司自律来规范券商的行为,同时大力加强执法制度的建设,是当前法律约束硬化的基础和根本。监管部门要明确高管人员的资质条件,建立高管人员诚信档案,规定高管人员的持续追究责任。我国证监会还印发了《证券公司高级管理人员诚信经营承诺书》,但该承诺书在实施过程中是否能够真正起到强化法律约束的作用,仍需拭目以待。
(五)建立有效的内部风险管理机制
要通过严格的授权和风险限额制度、规范的决策流程、审批制度、股票池制度、集中交易制度、情景分析与压力测试等举措建立严密的事前风险控制机制;通过实施记录留痕、新项目报备、风险报告制度以及独立的实时监控系统构建完备的事中风险控制机制;通过财务核算、内审稽核、风险评估、风险处置等措施建立有效的事后风险控制机制,将风险管理贯穿到公司业务与管理的各个方面。公司内部要建立严格的业务防火墙制度,实现投资银行业务、自营业务与经纪业务、客户资产管理业务从场地、人员、资金和账户、投资决策的完全分离;建立客户资金独立存管体系,确保客户资金运作达到安全、透明、完整、可控、可查的状态;公司内部要构建完善的风险指标体系,构筑公司风险信息平台,完善风险信息传导机制。建立预警和灾难事件处理程序和制度,将经纪业务账户和资产管理账户的压力测试等各种风险测试制度化,努力杜绝重大风险事件的发生;证券公司内部要设立内控制度建设领导小组和工作小组,每年根据监管要求、经营环境、业务流程的变化,不断更新、补充和完善公司的内控制度,建立动态化的内控制度建设机制。
(六)建立证券公司风险预警与评级机制
证券公司应该根据自身情况建立自己的内部风险测量与资本配置模型。目前,市场风险测量方法主要采用ValueAtRisk(VAR)(风险价值方法),笔者也比较推崇这一风险管理方法。这一方法最主要的代表是摩根银行的CreditMetrics(风险矩阵系统)。证券公司风险集中的地方在于自营与委托理财业务,它会直接将风险暴露在市场风险下,因此需要对证券公司暴露的风险进行估计,从而做好风险防范。而VAR实际上是要回答在概率给定的情况下,投资组合价值在下一阶段最多可能损失多少。通过对风险损失最大的估计可以有效地进行风险管理,当风险超过公司的风险管理目标时就会产生预警,从而为证券公司的风险控制提供一个可操作的手段。同时,笔者建议对证券公司的内部控制进行评级,类似于商业银行对于内部控制的要求,对内部控制评价的指标、要求进行规定,然后按照设定的要求进行打分,对于不合格的证券公司进行通告,并责令在一段时间内整改。整改期过后,对于取得改进的证券公司进行表扬,对于仍旧存在问题的证券公司进行批评。对于多次出现问题且无改进的证券公司,可以暂停其经营权限,甚至取消其证券从业资格。通过这种定期规范的行为逐步培养证券公司的风险控制意识,从而不断净化和完善我国证券市场环境。
我国证券市场发展不过短短十几年的时间,并且是在由计划经济向市场经济转型过程中创建的,外部机制、制度环境还有很多不合理的地方。在这样一个大背景下,我国证券公司在前进的道路中遇到挫折也是必然的,我们应该用发展的眼光看待我国证券公司在证券市场建设中所作的贡献。随着我国经济建设市场化程度加深、许多外部规则确立、市场环境逐步改善以及同国际交往越来越密切,可以借鉴国外更多先进的理论与实践来指导我国的证券市场建设。笔者相信,在正确理论的指导下,证券公司通过不断强化风险控制意识,切实而有效地落实公司的内部控制体系,最终会快速而健康地成长起来,为我国证券市场的完善与发展作出自己的贡献。
【主要参考文献】
[1]财政部办公厅.企业内部控制评价指引.2008.
[2]胡展云.安永专家剖析风险案例[J].国际融资,2005.
[3]林楠.中国证券公司的决策制度缺陷及创新研究[J].中国财经信息资料,2004,(12).
[4]陈共炎.内部控制与证券公司治理[J].证券市场导报,2004,(10).
[5]中国证监会.关于加强证券公司营业部内部控制若干措施的意见.2003-12-15.
[6]朱荣恩.内部控制评价[M].中国时代经济出版社,2002.
内控合规管理体系篇2
关键词:内部控制法规内部控制与风险管理整合体系建设
我国内部控制建设工作已经如火如荼的开展了几年,笔者结合在企业和咨询公司的工作经验,针对企业对于内部控制法规和体系建设的疑问,对我国内部控制法规的现状进行解读和比较,以及如何应用这些法规体系,建设内部控制和风险管理体系的整合。
一、我国内部控制法规的现状
(一)我国内部控制法规的多样化
我国内部控制法规存在多样化,一是颁发的机构不同,二是法规的内容针对性不同,三是法规适用的主体不同。
在《企业内部控制基本规范》和《企业内部控制配套指引》未出台前,都是各监管部门自行制定的,并且有些对内部控制的要求并不是以单独的法规的形式体现,而在融合在其他法规中。《企业内部控制基本规范》和《企业内部控制配套指引》是由五部委共同出台的,对我国企业内部控制建设有了统一的规定和执行要求,以后所有与内部控制建设和执行有关的法规规章都依据两项法规执行。
毕竟我国企业行业、类型、经营管理等存在多样化,《企业内部控制基本规范》和《企业内部控制配套指引》规定的内容不能面面俱到,加之不同的监管法规的存在,企业在建设和企业内部控制时,除了依据最基本的《企业内部控制基本规范》和《企业内部控制配套指引》,也要执行与企业相关的监管部门的规定,才能确保企业内部控制建设的全面性和重要性。
(二)风险管理法规现状
对于风险管理的要求,除国资委出台《中央企业全面风险管理指引》专门的风险管理的法规外,其他法规对风险管理要求都是也体现在与内部控制相关的法规体系里。因此,对于企业在建设内部控制和风险管理整合的体系时,需要借鉴国资委出台《中央企业全面风险管理指引》,在对风险信息收集、识别、评估、应对等进行遵循和参与。
因此,我国内部控制法规包含多种类型,一是对对所有企业都适用,二是针对上市公司和金融机构;颁布的监管机构包括了财政部、国资委、银监会、保监会、证监会、审计署、中国人民银行、深交所、上市所。
二、内部控制与风险管理的整合应对
(一)内部控制与风险管理的关系
我国内部控制建设融合了风险管理和内部控制两种理念。
内部控制和风险管理不是独立两个体系,内部控制的基础是基于对企业风险的识别,内部控制建设的目的是防范和控制风险;风险管理体系的建立是依赖于内部控制体系的建设,所以两者相互协调、统一的整体,其最终的目的都是促进企业实现发展战略目标。
基于风险管理为基础的内部控制整合体系,是企业内部控制建设和实施的方向,规范和指引各种类型企业的内部控制建设。
(二)内部控制与风险管理整合体系
内部控制与风险管理整合的步骤如下:
第一步:组建风险及内部管理架构
确认企业风险管理及内部控制管理的目标、原则,组建风险及内部管理(以下简称“风控”)架构,明确治理层、管理层的管理层级、权限、职责,以及具体风控实施的部门、职能、人员构成、任职要求、汇报层级等,要保证风控部门的权威性和一定条件的参与权、处置建议权。
第二步:风险信息收集及整理
企业治理层确认企业风险管理目标,明确风险管理的重点和原则。
由风控部门牵头,各职能部门、业务部门共同参与,以风险管理目标为基础,对企业所面临的各种风险进行收集,之后进行信息的整理、筛选和汇总工作,形成的风险信息因素要有普遍性、针对性、行业特性。
在此基础上,共同讨论形成企业的经营管理活动的初步业务循环。
第三步:风险评估及分析
由风控部门,或由风控部门牵头,业务骨干参与组成风险评估小组,对企业经营管理活动,按循环、部门对业务流程进行梳理,明确企业目前重要的业务经营单元有哪些,这些业务经营单元由哪些业务流程构成。
流程梳理后,企业将从风险管理的角度分别对每个流程进行分析,同时结合整理后的风险信息因素进行对比,这些流程中目前是否存在风险,存在哪些类别的风险,风险在什么情况下会发生,风险对企业的影响是否在企业承受范围之内,目前企业针对该风险的防控措施有哪些,是否还有效运转,实施了这些防控措施后风险的影响是否有所降低,经有效防控后的风险影响是否符合企业目前的风险偏好和企业目前的承受范围内等。
在此基础上,对企业的业务流程进行重新的界定和划分,循环划分的详细程度,依据业务管理的精细化程度不同而定,以达到企业经营管理活动的全面性、重要性和成本效益的原则。
第四步:缺陷的确认与整改
风控部门在评估检查后风险,对企业目前确实已经发生且存在的,编制缺陷汇总,包括可能产生的风险及形成原因、可能造成的风险损失、重要性程度、责任部门等,与缺陷发生的部门讨论确认,按审批权限审批后,下发整改执行。
第五步:制定风险应对方案
在上一步骤基础上,结合企业的风险偏好,确认针对风险的控制措施。
第六步:编写风险数据库
企业风控部门组织各部门编写风险数据库,依据划分的流程,说明企业可能会面临的风险、所属的循环、风险可能产生的后果、风险影响的程度、风险的应对政策、风险的责任部门等。
企业在风险数据库编写的要结合风险信息收集和评估的内容,有针对性进行编写,不是风险信息的内容越多越好,而是要体现企业所处的内外部环境、发展周期、经营规模、人员状况等。
企业风险数据库,要定期进行重新的识别、评估,进行更新,以符合企业的状况。
第七步:编写内部控制体系文件
企业在风险和流程梳理完成后,依据识别出的风险、企业的风险应对策略,对现有的控制活动的控制措施进行修改或完善,以达到规避风险的目的,控制措施的体现载体为企业风险和内部控制管理体系文件。
企业修改或完善内部控制体系文件时,首先要对现有的评估的风险与现有体系文件中规定的控制措施进行一一核对,找出体系文件存在遗漏、不完整、不规范之处,在此基础上进行完善。
企业在编写内部控制体系文件时,要结合《企业内部控制基本规范》五要素的要求,并且企业在编写内部控制体系文件时,要结合国家的相关法律法规的要求和监督部门特殊要求。
第八步:编写评价文件
企业编写评价文件,主要是为了内部监督部门对风险和内部控制管理实施情况进行评价。
编写的依据是企业完善后的内部控制体系文件,针对每一项业务活动、控制措施,制定评价的方法、频率、文件抽查名称、抽查的数量、缺陷定义的依据等。
评价手册的编写,要使实施评价活动的人员,在实施评价活动过程有依有据,填写的评价手册底稿内容,要能如实反应企业的存在的问题,所以评价手册的编写的要素要完整,格式要简练,操作性强。
第九步:实施评价活动
企业在实施评价活动之前,要先确认评价的重点、评价的频率。
企业对风险的承受度、企业经营管理的复杂程度、人力资源素质、实施成本,决定企业实施评价的频率,企业至少每年要实施一次评价活动。
实施评价活动的频率,也与每次进行评价的内容相关,如果企业在一个年度内,进行数次的评价活动,考虑成本的原则,每次可以选择不同的重点内容进行评价,如果每年度只进行一次评价活动,就是进行全面性的评价活动。
第十步:编写评价报告
内控合规管理体系篇3
一、农信社内控风险管理中存在的问题
(一)认识不到位。对信用社内部控制的概念认识上存在着误区。一是简单化理解内控制度,认为有业务操作基本制度、规章制度就等于有内控,不了解内控是一种机制,是业务运作过程中环环相扣、监督制约的动态机制。存在“从众心理”从而作出“人家那么干,我们也可以那么做”的错误判断和决定。二是误以为稽核监督就是内控,忽视了内部各职能部门、各岗位之间的自我约束和相互监督。错误地认为内控管理与农信社追求利润的目标相矛盾,尤其是业务发展部门和风险管理部门把内控管理当作“紧箍咒”。三是把内控管理与内部管理等同起来,不明确内控管理只是内部管理的一个组成部分,内控管理以风险控制为核心目标,内部管理则以提高工作效率为核心目标。
(二)执行不到位。制定的内控制度未能得到切实执行。如有些基层社往往未能履行查库制度,碰库制度落实不够规范,重要空白凭证、有价单证及代保管品的盘点清查不够认真,有的忽视内外账务的核对;有的计算机操作密码未能按期更换,柜员卡管理、使用不够严格;有些柜员授权时未认真核对所授权业务,有些柜员离岗未将计算机退出至系统初始状态,没有做到“人离章收”;有些银行承兑汇票开立时忽视了检查是否存在真实贸易、是否开具增值税发票;有的贷款担保不合规等等,内控仅停留在表面。尤其是不能将“环环相扣、相互制约、相互平衡”的动态性、连续性的内控作用贯穿于每一项具体业务中,内控制度的落实大打折扣。
(三)监督不到位。在“自控、互控、监控”三道内部控制防线中,自控防线以防为主,属事前预防;互控防线以堵为主,属事中控制;监控防线以查为主,属事后控制。前两项表现为预防型;后一项属纠错型。在实际工作中,第一道防线往往没有得到有效加强,第二道防线也没能真正到位,第三道防线中的监督检查常有盲区和死角。
二、建设内控合规管理体系、提升内控制度有效性的基本思路
认识和完善农信社的风险管理,改变信用社内控乏力的现状,堵塞风险隐患,需要更新观念,从合规管理体系建设入手,多管齐下,把内控制度作为一项系统工程予以重点建设。
(一)培育内控管理文化,提升农信社的品牌价值。信用社内控合规文化,是融合现代企业的经营思想、信用社风险管理理念、金融业的内控管理标准、行业及职业道德标准等要素于一体的现代企业文化。它是通过员工的日常思想行为,形成的共同价值观念,共同行为习惯。具有强有力的向心力和凝聚力。因此,要大力弘扬信用社的经营理念,倡导和强化先进的企业合规文化意识,使全员增强内控制度执行的自觉性。
(二)提高合规管理的理性认识,提高员工合规意识。合规管理是一种理性化经营的科学途径。它强调一切按规矩办事,以制度约束人,以机制激活人。培育内控合规文化的核心是要培养全体员工的法制、规范意识,形成浓厚的制度执行氛围。因为提高员工素质是内控机制有效运行的重要条件和基础,是加强内控合规文化建设,提高制度执行力的根本所在。要充分认识培养员工内控合规意识的复杂性、长期性、系统性,加强内控方面的理念宣传工作,使内控观念深入人心,并得到全面理解,从而不断强化员工的内控意识和自律意识,提高其自我控制和自我约束的自觉性。领导干部要把内控制度建设作为经营管理的一个重要组成部分,作为实现封闭管理的重要保证抓好、抓实。在开展内控合规文化建设中,一定要坚持把弘扬内控合规文化作为一以贯之的工作方法和手段,致力于营造和谐、轻松、愉悦的内控合规氛围。
(三)加强员工业务培训,提高员工素质。合规文化的建设是为了实现员工的合规经营;而员工要做到合规经营,就必须具备合规经营的能力。目前信用社在员工岗位培训方面还没有形成完善的制度,加之一线人员由于业务忙、人手紧,对制度的学习十分欠缺,导致许多员工在新操作、新制度的要求下仍执行老习惯、老规定的现象。因此,联社必须加强员工岗位培训工作,要采取多种办法,制定激励措施,促使员工愿意自觉接受培训,自觉开展继续教育。如此方能改变员工知识结构、提高业务素质,最终提高整体服务水平,增强业务竞争能力。
(四)建立强力的内控合规管理组织机构。农村信用社作为一个自主经营、自担风险的独立法人企业,合规管理的目的就是要构建自我约束机制。当前农信社的改革正是为了完善法人治理结构,建立自我约束体系。为了建立强力合规管理机制,确保内控制度的落实,真正提高业务经营效益,信用联社应建立内控合规管理部门,加强业务经营中的自律行为约束,有效防控风险,提升工作实效。必须选拔一批业务熟悉、责任心强、作风正派的骨干力量进入内控合规管理部门,内控合规管理应实行垂直领导,保证工作的独立性和权威性,真正实现内控监督机构在形式上和实质上的独立,确保内控各项工作都能为法人负责。
(五)构筑有效的内控监督机制。对内来说,要实行内部控制全方位、全系统管理。在业务职能相关部门之间建立权力制衡、程序约束的内控机制,加强部门与部门之间、岗位与岗位之间以及员工之间的相互监督制约。也就是说通过严明的岗位职责,实现相互之间牵制、制约的内控机制。例如岗位的设计要体现体制牵制:不论前台、后台,不论前勤、后勤,均应坚持审批、操作、监督三权分离;避免形成在控制环节中出现漏洞。还要实行程序牵制:业务流程的不同环节应由不同的人员完成,按业务流程顺序操作,不能逆程序操作或无程序操作。必须坚持责任牵制:强化责任约束,实行程序化、规范化、责任化管理,将责、权、利结合起来进行绩效考核。还应该明确岗位的责任连带,严防出现人情代替制度现象。
内控合规管理体系篇4
工程审计的原始职能是合理控制工程造价,节约建设投资成本,审计工作转型要求以加强控制、防范风险、提高效益为目标,将内部审计范围从传统的财务收支扩展到经营管理各个方面,评价公司资源利用的经济性和有效性、内部控制制度的健全性和有效性、防范和化解经营管理措施的可行性和有效性。落实到工程审计工作就是进一步规范工程建设流程,健全管控制度,在合理控制工程造价的同时保障工程质量,促进工程建设管理水平的提高。增加组织价值必须正确定位工作切入点,既能保证工程审计原始职能得以履行,又能促进工程审计在工程建设管理中发挥作用。而长期以来,工程建设全过程没有一套系统的管理制度,工程建设资料的真实性、完整性和规范性难以保证,工程管理风险较高。因此,必须从制度入手,引入风险管理理念,借助内部控制评价体系,结合公司实际情况构建工程建设内控评审体系。
二、工程建设内部控制(简称内控)评审体系是以工程管理流程为主链
以相关管理政策法规为依托,通过调查确立流程关键控制点,抽取样本进行符合性测试,对于关键控制点进行管控效力校验,评价工程建设内控体系的科学性、健全性、合理性、适当性和可行性。此种管理模式的主要特征是运用系统化思考方式构建健全的内控体系,与现行的管理体系进行符合性测试,以揭示管控风险点,优化管理流程。最终目标是以工程审计为立足点,推进工程建设全过程管理的规范化与精益化。此项成果运用的最高层次是实现工程建设管理部门自觉将内部控制体系与自身工作相结合,自行检查、制约和调整工程建设管理活动,形成自我完善、自我约束的管理机制,促进工程建设管控体系不断优化。该体系不再单独从工程项目规划、设计、施工等环节制定管理制度进行控制,而是打破传统的工程建设各模块的界限,把工程建设视为一个有机整体,系统化地梳理管理流程,构建内控体系,寻查工程管理中的薄弱环节,预先评审工程管理机能,从而达到优化管理流程,强化整体管控效能,促进工程建设规范化管理的目的。
三、工程建设内控评审体系框架。
内控评价源于美国的萨班斯法案,以强化内部控制为核心,关注公司内部治理及对外信息透明、完整与正确性,是目前国际上较为先进的管理理念。工程建设内控评审体系以其为理论依据,结合公司工程管理实际情况以及不同类型工程建设的具体要求,通过风险坐标图法梳理风险点,构建内控评价标准作为专业管理的指标体系,总框架包括12个关键控制点、45项测评指标,关键控制点分别是工程建设的项目立项、初步设计和概算、施工图设计和预算、工程项目招投标管理、项目施工管理、设计变更、土建竣工验收、电气安装项目竣工验收、竣工结算审价控制、决算审计控制、资金计划控制和工程项目档案管理,形成了有自身特色的工程建设内部控制评审体系,有效解决企业内控设计中存在的中美文化和管理模式差异的难题。
四、工程建设内控评审体系作用。
内控合规管理体系篇5
实践表明,企业要想持续发展,必须根据自身的经营状况和市场环境以及对未来的预测制定详细的经营方案,并且把相关的方案落实到实际行动中。这就要求企业必须采取一系列行动进行控制和监督,企业内部控制体系就应运而生了。企业内部控制体系简称内控体系,其主要的目的是为了找到那些偏离计划的地方,并通过针对性的方法进行解决,以确保相应的计划能顺利完成。但内控体系的建立是一项系统而复杂的工作,要从各个方面详细思考分析,才能发挥出内控系统应有的作用和价值,但我国内控体系建设起步比较晚,目前还处于发展的初级阶段,很多管理模式和运行方法仍然不够成熟。本文将结合具体实际,就企业开展内控体系建设的相关问题进行分析。
一、我国企业内控体系建设的理论基础
我国企业内控体系建设,主要是依据COSO委员会制定的《内部控制管理框架》和《全面风险管理框架》。但是从目前我国多数企业的具体应用情况和一些前沿的研究成果来看,我国企业对内控体系在各自的领域都进行了适当的调整和完善。我国内控体系建设的起步比较晚,财务部门在制定《企业内部控制基本规范》中很多内容都借鉴落实了COSO委员会制定的《内部控制管理框架》,很大程度上扩大了内部控制风险管理的边界,在实现目标上有所扩展。虽然《企业内部控制基本规范》在制定过程中借鉴了COSO报告的五要素框架,但是根据我国具体的情况增加了三要素,通过风险管理的基本流程,把企业在发展运行中的风险管理融入业务流程中,使得我国的风险管理更加完善。
与COSO相比,《企业基本内部控制规范》借鉴了COSO报告的目标,但增加了资产安全目标,这是我国内部控制规范对COSO报告的补充。第一,《企业内部控制基本规范》在制定过程中借鉴了COSO报告的五要素框架,但同时进行了充实和丰富,在内容上体现了新COSO报告风险管理的八要素框架的实质,即内部控制和风险管理日益融合、风险导向成为内部控制未来发展方向的趋势。通过风险管理的基本流程,企业在发展运行中的风险管理融入到业务流程中之后,使得我国建立的风险管理更加完善;第二,COSO报告中,内部控制的责任主体主要是管理层,而我国《企业内部控制基本规范》却强调了董事会对内部控制的重要责任,而且更加明确地规定各责任主体对内部控制的责任,使治理层和管理层的责任分工更加明确。
二、企业开展内控体系建设的必要性
加强公司内部控制是建立现代企业制度的内在要求。核电工程公司经过近几年的发展,公司资金、人员、资产等都发展到了相当的规模,公司的机构设置、经营管理水平和人力资源的配备等方面必须适应公司进一步发展的要求。因此,加强公司管理,实现从传统的管理模式向现代企业管理过渡,加强内部控制制度建设是建立现代企业制度的内在要求。
加强公司内部控制是提升管理效率的必然要求。为了提升管理效率,有效保证公司经营效益和财务报告的可靠性,公司必须建立内部控制体系,通过对贯穿经营活动全过程的自行检查、自行制约和内部自我调节,有效规避公司经营风险,及时发现和纠正各种错误。健全的内部控制体系不仅是公司内部相互制衡、相互监督的治理机制问题,更是在激烈的竞争环境中,公司得以生存及避免内部运行失控和潜在管理效率损失的必然要求。
通过内部控制体系建设,形成合理有效的经营决策机制,形成标准化的业务管理机制,逐步实现整个公司全业务流程都有章可循,明确公司层面控制、业务层面控制中每项业务的管理责任,将管理责任落实到管理节点和管理岗位,规范各级管理人员的行为;通过授权体系、监督评价体系和考核体系的建设和完善,实现有章必行,切实改善企业基础管理工作,提高经营活动的效率和效果,提升集团管控能力。
内部控制建设的根本目标是立足于公司的管理提升,实现风险防范、固本强基、提升效率,促进公司战略的实现,在此基础上兼顾满足国资委、财政部、证监会等机构对中央企业内部控制的监管要求,满足集团公司对企业内部控制建设的重点工作任务要求。
三、企业如何建设科学有效的内控体系
由于各企业经营业务、管理水平、发展水平不相同,对那些偏离计划的要找到根本原因,并通过针对性的措施进行解决,以确保相应的计划能顺利完成,但内控体系的建立是一项系统而复杂的工作,要从各个方面详细分析,才能发挥出内控系统应有的作用和价值。
1.企业开展内控体系建设的原则
企业开展内控体系建设要遵循以下原则:第一,前瞻性原则。随着全球经济一体化进程快速发展,企业要想获得长久发展,就要求企业的管理者必须用发展的眼光来看待企业发展运行中存在的风险以及在内控体系建设中存在的问题,并制定出科学合理的控制对策;第二,实用性原则。企业建设内控体系的主要目的是提高企业的管理水平,并保证企业走可持续发展的道路,这就要求企业从现实情况入手,从实际出发,把内控体系建设的重要性和管理理念落实到实际行动上;第三,上下统一性原则。在内控体系建设过程中,必须严格按照内控整体框架进行,并把内控体系建设、检查和改进落实到具体的部门和员工身上。同时要求企业的二级管理单位在企业内控框架下制定本单位的内控体系,并坚持上下统一的原则,促使企业内控体系的建设和管理工作能顺利进行;第四,逐步推进原则。对于业务流程众多、下属单位也比较多的企业,在管理上难免会出现参差不齐的现象,内控体系的建设在实际开展中有一定的难度,所以在内控体系建设的初期,要立足企业的现实状态,先进行试点建设,待技术和经验成熟以后,再大范围推广,从而实现全公司、全环节的内控体系建设,促进企业持续健康稳定的发展[1]。
2.企业开展内控体系建设的思路
在开展内控体系建设工作的过程中,企业可采取“统一策划、全面覆盖、分步实施、持续改进”的实施工作思路。
(1)统一策划是指企业在内控体系建设过程中,应确保建立统一的内部控制体系,如设置分公司的企业,应使总部与分公司内部控制体系相融合;对集团类企业,应在集团范围内建立统一的内部控制体系。实际工作中应参照《企业内部控制基本规范》,结合企业经营业务情况,在工作中以风险为导向,以关键控制活动为重点,以业务流程梳理为基础,以提高效率和效果为目标,统一策划企业内部控制的工作方案、工作计划、工作标准,确保内控体系建设的工作质量。
(2)全面覆盖是指内控体系建设工作实施范围应覆盖企业各职能部门、各个分公司,实现内控体系全组织、全业务、全过程的覆盖。
(3)分步实施是指内控体系建设工作应按照启动部署,搭建内控体系框架、确定业务流程框架、流程梳理、风险评估、运行测试等步骤分阶段实施。开展内控体系建设工作应先建立内控工作组织,在充分了解企业现状与进行摸底调研的基础上,搭建公司内控体系框架,进行业务流程梳理工作,并梳理完善公司规章制度,健全内控体系。内控体系?运行经过一段时间运行后,要对内控运行情况进行评价,实现统一标准、统一内容、统一要求的过程管理。
(4)持续改进是指在形成内控体系(形成内部控制手册、内控文件、评价手册)后,定期开展内控体系评价,对内控设计与执行中发现的问题进行跟踪评价、出具评价报告,对需要完善的地方持续进行修订完善,确保对内控体系形成闭环管理,持续改进、优化完善。
3.企业开展内控体系建设的主要步骤
第一,成立内控建设项目工作团队,由公司内控主管部门与公司内各业务部门共同组建联合项目组开展内控体系建设工作,建立完善的项目沟通汇报机制;确定详细的工作实施方案;同时收集整理公司组织框架体系、经营情况等基础信息,了解公司内控基础;召开启动会,安排全公司内控建设工作,并对公司管理层及项目组成员进行培训。
第二,搭建内控体系框架,按照COSO框架评估控制环境组成要素的有效性,对公司控制环境不合理的地方提出改进建议。
第三,确定公司业务流程框架,进行业务流程梳理,辨识、评估风险,并进行控制措施设计。根据公司组织架构图、部门职责、岗位描述、规章制度等,结合企业内部控制的基本规范和应用要求、公司各业务重要性水平等,搭建公司业务流程框架。通过对公司制度资料进行审阅与分析、内部访谈、问卷调研、穿行测试等多种方法进行业务流程梳理;同时辨识企业各项业务活动中存在的主要风险,对其发生的可能性和影响程度进行风险评估,并对流程进行优化、固化,确定业务流程中的关键控制点,并制定相应的控制措施。
第四,进行信息系统沟通与评估,了解并评估信息系统沟通机制。具体包括信息系统总体控制与信息系统应用控制,建立公司信息系统控制实施办法。
第五,制定内控体系建设管理制度,制定各项内控制度如内部控制评价管理制度和风险管理制度,同时明确各项业务参与者的工作分工情况和执行权限[2]。
4.企业开展内控体系建设的注意事项
为确保企业开展内控体系建设能顺利进行,必须注意以下几点:
第一,企业内控体系建设能否成功的关键是控制环境的优劣,内部控制一般由内控管理部门或企业经营管理部门负责,管理层应充分重视企业内控建设,上下协同,才能发挥出内控体系真正的价值和作用。
第二,企业应根据所处行业特点、企业经营情况,建立适用于本企业的内控体系。内控体系建设不应照搬企业内部控制基本规范及其他企业的内部控制规范,应注意结合本企业业务特点等具体情况确定风险点及管控重点,真正建立一套能促进本企业经营发展的内部控制体系。以中国核电工程公司内控体系建设为例,在开展内控体系建设的方法上,可以按照一般企业开展内控体系建设的方法、步骤开展内控体系建设。在内控体系建设工作内容上,在遵循《企业内部控制基本规范》与配套指引的前提下,必须结合核电工程企业自身的特点,有重点、有步骤地开展内控体系建设。如核电工程企业的设备采购管理,从我国的大型核电项目建设中汲取的经验与教训来看,核电设备的影响是控制项目进程的重要因素。在总承包模式下,核电设备由总承包方提供工程设计技术支持、设备采购清单和监造管理技术,存在接口控制风险、设备监造风险、设备交付风险等,针对上述风险,核电工程企业必须制定相应的管理控制措施。
第三,开展企业内部控制体系建设,应当在兼顾全面的基础上突出重点。针对重要业务与事项、高风险领域与环节应采取更加严格的控制措施;对于重要的控制项目,控制程序应当更加严密。反之,则可以适当简化。一般来说,财务预算、资金结算、项目投资、物资采购和产品销售等都是企业运转与发展的重点环节,是企业避免和化解可能风险的关键所在。企业应增强控制能力,保证重要业务、关键环节始终处于受控状态,达到体系可靠、风险可靠的目标;在控制执行的同时必须留下可供查实的实施证据,使规章制度执行具有可查性。
第四,对拟聘请咨询机构开展内控体系建设的公司,不应完全依赖内控咨询机构,项目实施中本公司业务人员应同时参与对流程梳理、风险评估等工作的开展,确保本公司人员掌握内控体系建设的方法,以便后期持续开展内控体系的更新与维护工作。
四、关于持续开展内控体系建设的思考
1.提升企业对内控体系的认识
随着我国市场经济体制的不断完善,内控体系起到的作用越来越重要,将企业不同部门结合在一起,充分发挥企业的整体作用,从而提高企业的经营效率,实现企业的长期发展目标。企业在发展运行过程中一定要改善传统的思想观念,加强对内控体系的认知,尤其是企业管理层要充分认识到内控体系建设的重要性,实际工作中要以身作则,带动全员参与到内控过程中,以保证内控体系建设顺利进行[3]。
2.紧密结合行业特点,先试点,后推广
有些企业的管理层比较多,下属单位的职能比较多,而内控体系属于一种全新的工作,考虑到初期建设和落实有很大难度,可以先选择一小部分进行试点,从企业的实际运行状态出发,根据企业自身业务和组织的结构特点,在总原则框架下制定内控体系建设的运行方案和程序,建立与企业发展同步的内控体系。一段时间以后验收其建设成果,并总结经验,如果验收效果良好,就可以在全企业进行推广,为后期落实内控控制风险管理奠定良好基础[4]。
3.把内控体系建设任?漳扇爰ㄐЭ己酥?
在企业内,应建立以定量考核为基础的绩效考核体系和以定性考核为基础的管理考核体系。当完成内控体系建设后,把内部控制管理工作纳入到管理考核体系之中,并制定系统科学的考核细则。考核的主要内容是检查是否建立内控组织机构,是否建立内控措施,内控措施是否执行到位。定期考核能很大程度上增强员工遵守内控体系的自觉性,同时高层领导也能及时掌握和了解目前企业内控体系建设取得的成绩和存在的问题,从而制定下一步的工作计划,充分发挥内部控制的作用和价值。
4.多方位监督,不断促进管理升级
要想保证企业内控体系建设长期有效运行,必须对内控体系建设的过程进行全方位、全过程的监督。仅仅凭借内控管理部门自身,无法满足内控体系建设的具体需求,必须要求审计部门、企业管理部门等多个部门协调发展、合理分工,从而形成系统有效的监督系统,从多个角度进行监督,确保内控体系建设的有效性,并且能及时发现内控体系在建设过程中存在的问题和薄弱环节,并制定科学合理的改进措施。
内控合规管理体系篇6
摘要本文从国务院各部委颁布的内部控制规范和风险管理有关法规政策出发,通过对内部控制与风险管理的联系和区别进行比较,针对目前国有企业内部控制与风险管理的现状,分析其形成原因,并提出运用风险管理方法构建风险导向型内部控制体系的对策与建议。
关键词国有企业控制规范风险机制
2008年由美国次贷危机引发的全球金融海啸,引起我国各行各业对企业内部控制与风险管理体系建设和评价达到了前所未有的重视程度。为有效控制企业风险,我国相继出台了一系列法规政策,2006年6月为促进中央企业内部控制建设和全面风险管理工作国资委出台了《中央企业全面风险管理指引》;财政部会同审计署等五部委2008年6月联合了《企业内部控制基本规范》,2010年4月再次了《企业内部控制配套指引》,共同构建了中国企业内部控制规范体系,对企业防范风险、控制舞弊、促进发展产生积极的推动作用。本文通过剖析内部控制与风险管理的联系和区别,针对目前国有企业内部控制与风险管理的现状,分析了其形成原因,并提出了运用风险管理方法构建风险导向型内部控制体系,形成“自我免疫机制”的对策与建议。
一、内部控制与风险管理的联系和区别
内部控制与风险管理是一对既相互联系又存在区别的概念。内部控制是指为合理保证企业经营管理合法合规、资产安全、财务信息真实完整,提高经营效率和效果,促进企业实现发展战略,由董事会、监事会、经理层和全体员工设计与实施的政策和程序,旨在实现控制目标的过程。风险管理是由企业董事会、经理层和全体员工共同参与的,应用于企业战略和内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。
两者相同点:(1)目标一致性,均为提高经营效率和效果、经营合法合规、财务报告可靠、资产安全、实现发展战略等5个目标,首要目标提高经营效率和效果,终极目标是实现发展战略;(2)都强调是全员参与的管理,是由企业董事会、管理层以及全体员工共同实施的,指出各方在内部控制或风险管理中都有相应的角色与职责;(3)也都是企业全方位的管理,明确是一个持续不断的“过程”,其本身并不是一个目标,而是实现目标的一种工具和手段,都是渗透于企业日常管理过程中的一系列行动,需作为一种常规运行的机制来建设;(4)都是为企业目标的实现提供合理保证,而不能提供百分之百绝对保证。
两者的差别主要体现在:(1)在报告目标的范围上风险管理有所扩展,将“财务报告的可靠性”发展为“报告的可靠性”,报告范围由“财务报告”扩展到“内部的和外部的”“财务的和非财务的”报告,涵盖了企业的所有报告;(2)在内容上风险管理更丰富,引入了风险管理文化、风险偏好、风险承受度以及风险应对策略等新概念;(3)两者侧重点不一样,风险管理更偏向过程的前端,更偏向于对影响目标实现因素的识别、分析、评估与应对,是一个更为独立的过程,而内部控制更加重视实施,嵌入到企业各业流程的具体业务活动中,融合在企业的各项规章制度之中。
可见,内部控制与风险管理既相辅相成、又各有侧重的现代管理元素,不存在包涵或被包涵关系,也无法完全替代,两者都是公司治理极为重要的组成部分。
二、目前我国国有企业内部控制与风险管理的现状
从目前总体情况来看,我国国有企业内部控制与风险管理建设工作还处于起步阶段,基本上都建立了自已的内部控制体系,也有一些风险管理策略,但其内部控制和风险管理的水平和效果尚不容乐观,实际执行中存在诸多问题,主要如下:
1.法人治理结构不完善,内部人控制现象严重。现阶段我国绝大多数国有企业虽然进行了公司制改造,但其法人治理结构普遍存在问题,设计不科学,股东会、董事会和监事会等核心机构形同虚设,审计委员会、风险管理委员会、董事、独立董事和监事会只是形式上挂个名,没有实际行使监督治理职责,导致董事不“懂事”、独董不“独立”、监事不“干事”。企业管理者集控制权、执行权和监督权于一身,内部人控制现象严重,自觉不自觉地凌驾于内部控制之上。
2.内部控制制度缺乏系统性,制度执行流于形式。绝大多数国有企业都建立了比较多的内部控制制度,其内容应有尽有,但制度间缺乏有效衔接,甚至存在“互相打架”现象。一些新开展业务领域,其风险容易发生的关键环节没有有效控制措施。制度执行流于形式,主要有3种情形:一是执行不到位,出现制度与实际执行“两层皮”现象,纸上写的、墙上挂的是一套,执行的是另一套;二是不愿意执行,因人员数量不足、水平不够、能力有限,以忙于具体工作业务为由没时间去执行;三是故意不执行,为谋求个人利益,先把水搅混,好从中摸鱼。
3.内部审计机构不健全,内外部监督未形成有效合力。有的没有设立内部审计部门,有的内部审计部门与财务或纪检合署办公,有的虽然单独设立了内部审计部门却形同虚设,不具备真正意义上审计的独立性,从而缺乏客观性,发现不了问题,或者发现了问题也不让追查,内部审计没有发挥其应有监督作用。企业、注册会计师和有关监督部门在在内部控制监督评价工作中,监督标准不一,各种监督职能交叉,各监督主体缺乏横向沟通,未能形成有效合力。
4.风险管理薄弱,缺乏有效风险管理体系。企业缺乏有效对已经面临的和即将面临的风险作出系统分析、整体评价和管理风险的机制,没有制订具体的风险控制点,也没有将风险控制点分解和责任控制到岗、到人;一旦盲目扩张出现了问题,采取“头痛医头,脚痛医脚”的“灭火式”风险管理模式,抗风险能力较差。更没有将企业风险管理与内部控制有机结合起来,建立风险导向型内部控制体系。
三、原因分析
导致上述问题的产生,既有大环境下法规政策和理论研究方面存在缺陷的深层次原因,也有企业本身对内部控和风险管理制重视不够、设计制度不足、执行和监督评价不到位等方面的个性原因:
1.我国内部控制和风险管理制的理论研究和实践工作仍处在摸索阶段,其理论研究基本上借鉴美国COSO《内部控制-整合框架》、《企业风险管理-整合框架》相关理论,与实际国情、行业特点结合不够。在《配套指引》出台之前,相关法规政策条例倾向于定性描述,缺乏具体标准,没有实务操作指引,为企业内部控制的实际执行和客观评价工作带来一定难度。企业董事长、总经理、监事由上级任命,且董事会成员和管理层成员高度重叠,企业内部人集控制权、执行权和监督权于一身,经营权得不到有效的监控,容易产生、等现象,进而影响内部控制的实施和健全。治理结构不完善是阻碍国有企业实现发展战略的根本性问题。
2.没有风险文化,缺乏风险意识。没有风险文化,企业的风险管理机制就失去了灵魂,缺乏风险意识,是企业最大的风险源。风险管理意识不足,一方面风险意识淡薄,投机心理、侥幸心理比较重,另一方面求稳心态较重,经营偏保守,注重规避风险,而不是管理风险,不能有效控制风险并利用其发展机会。
3.企业没有对内部控制制度进行测试评价,并根据测试评价结果及时修订。内部控制评价是推动企业内部控制机制建立健全的重要手段,内部控制制度在实行之前,一定要对其完整性、有效性、符合性进行评价,及时发现问题并进一步完善。然而,许多企业在内部控制制度制订过程中,并没有对内部控制制度的有效性进行测试,对内部控制制度符合性进行评价,更没有随着国家政策调整、经营业务拓展,对内部控制制度及时修订。这是导致企业内部控制缺陷产生的根源。
4.激励机制、约束机制缺位。长期以来,对企业员工和领导干部的考核,以目标利润、经营规模完成情况为主要依据,缺乏对内部控制和风险管理等相关指标的综合考察,激励约束机制缺位,直接造成企业制度没有执行力。
5.企业普遍缺乏专业的内部控制和风险管理人才。内部控制制度制订合不合理、能否有效执行、监督评价能否公正客观,都取决于人的素质水平。企业内部控制和风险管理是一项综合性较强的管理工作,对人员素质要求较高,特别是知识新、阅历广、综合型,而企业普遍缺乏这样的人才。
四、对策与建议
1.认真学习好、贯彻好内部控制规范。国有企业要认真学习企业内部控制基本规范及其配套指引,根据内部控制和风险管理相关法规政策条例,并结合企业自身实际情况,制订适合、适度、适用于本企业的《内部控制与风险管理手册》。这对于指导内部控制体系建设,促进各项经营管理活动进一步规范、有序运行,增强风险防范能力等,都有极其重要的意义。
2.完善法人法理结构,解决内部人控制问题,加强企业文化建设,优化内部控制环境。法人治理结构由企业股东会、董事会、监事会和经理层和全体员工组成,是内部控制环境的核心。规范各责任主体的职责权限,保证决策权、经营权和监督权制衡。董事会负责内部控制的健全和有效实施,经理层负责组织领导企业内部控制的日常运行,监事会负责对董事会建立与实施的内部控制进行监督。同时,企业应培育良好的企业精神、内部控制和风险管理文化,加强团队协作意识,为内部控制创造一个良好的环境。
3.构建企业、注册会计师和有关监管部门三位一体的内外部监督评价体系。国有企业应该建立由董事会领导下的审计委员会统一管理企业的内部审计工作,赋予审计委员会监督内部控制执行情况和自我评价情况、协调内部控制审计等方面的职能,授权内部审计机构监督评价职能,增强内部审计的独立性;注册会计师要严格按照内部控制规范的要求,将内部控制审计范围覆盖企业内部控制整体,而不仅仅局限于财务报告内部控制,也可以将内部控制与财务报表进行整合审计,提高审计效率;财政部等有关监管部门要加强对企业和注册会计师执行内部控制规范体系的监督检查,同时协调监管政策,规范监管口径,形成有效监管合力。
4.建立内部控制和风险管理长效机制。国有企业要建立对内部控制和风险管理的执行情况与管理层和全体员工的绩效考核挂钩制度,作为绩效考核的一个重要指标,通过利益约束驱使企业全体干部员工高度重视内部控制建设和风险管理。另外,要建立重大决策失误责任追究制,对造成风险损失的责任人进行责任追究,提高制度的威慑力和执行力。
5.运用风险管理方法构建风险导向型内部控制体系,形成“自我免疫机制”。国有企业应致力于建立风险导向型的内部控制体系,即围绕影响企业目标实现的不确定因素,进行风险识别、风险评估、风险应对,并针对各个风险点制定相应的风险控制点,区分关键控制点和非关键控制点,再根据企业的组织架构、职责分工,将风险控制点层层分解到岗、到人,从而构建出贯穿于整个企业业务流程的内部控制体系。并结合企业的风险偏好,制定相应的风险应对策略,从而指导企业内部控制体系的构建。可以有效防止错误和舞弊,提高效率,确保企业战略目标的实现。内部控制制度是风险评估和分析的产物,是企业进行有效内部控制的基础和依据,是风险管理的支点;风险管理是建立在内部控制基础上,而内部控制的实施经常运用风险管理的的方法。建立风险导向型内部控制体系,对现代企业来说,风险管理的有效性离不开权责利相制衡的体制保障。只有保证内部控制监管的独立性,明确高管层的责任,实现管理层与内审机构的相互监督,才能保证内部控制制度的有效执行,实现对风险的有效控制,形成“自我免疫机制”。
6.注重内部培养和外聘选拔,提高人员专业胜任能力。企业内部控制和风险管理是一项综合性较强的管理工作,对人员素质要求较高,首先要熟悉国家和行业法规政策、企业业务流程和内部控制制度,其次要讲政治、懂技术(计算机运用技术和审计技术)、善沟通、会理财,具备较强的发现问题、分析问题、解决问题能力和识别风险、评估风险、控制风险的能力。企业要注重内部培养和外聘选拔相结合,提高内部控制和风险管理人员专业胜任能力。
内部控制和风险管理的完善不是一朝一夕的,是现代企业管理永恒的主题。国有企业只有不断完善法人治理结构,持续优化风险导向型内部控制体系,通过制度规避风险、机制控制风险,责任降低风险,才能为风险管理奠定扎实基础,才能提高企业经营管理效率和效果,才能在当今激烈的国内外市场经济竞争中持续健康发展,从而实现发展战略目标。
参考文献: