原创《内控和风险管理指南》
本文是有关风险管理论文范文检索与风险管理和风险管理指南和内控相关专升本论文范文。
文/中兴新云·财务云
公司治理、风险及合规管理(Governance,Risk & Compliance,以下简称“GRC”)是指企业为满足内部和外部的法定要求和标准,而开展的建立公司治理结构、识别并设计受法规影响的流程、识别及评估风险、设计及实施内部控制系统、监督并改进内部控制系统的有效性等工作.
风险内控及合规管理定义
1.企业风险管理
一个持续经营的企业不可避免地会面对各种各样的风险,如因环境变化或不明朗的政策引起的环境风险、因不适当的引导纲领和规划而产生的战略风险以及企业参与投资活动产生投资风险,企业运作必然会有资金风险,甚至因为人为原因产生的道德风险,特别是随着社会和经济的发展,企业在不断变化的市场环境下的交易行为和自身组织创新也产生了各种风险.
企业风险管理的目标是通过对企业的风险进行控制和管理,尽可能使得某一风险事件或行为造成的损失比预期小,创造的价值比预期大,即风险溢价最大化.具体地说,根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标在企业内层层分解和落实.确定了企业的目标,才能够确定对目标的实现有潜在影响的事项.企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定的目标与企业的风险偏好相一致.企业风险管理目的在于企业目标的实现,保证股东财富的最大化.
企业风险管理涉及企业各个层次的员工,渗透于企业各项活动中的一系列行动,这些行动普遍存在管理者对企业的日常管理中,是企业日常管理所固有的.企业必须从全局、从总体层面上考虑企业的各项活动,应以风险组合的观点看待风险.风险管理过程应用于企业内部每个层次和部门,应考虑组织内所有层面的活动,从企业总体的活动(如战略计划和资源分配)到业务部门的活动(如市场部、人力资源部),再到业务流程(如生产过程和新客户信用符合),而不是孤立地进行若干个独立的风险管理.对企业管理者而言,对企业所面临的风险应树立总体层面上的风险组合观,应从风险管理的有效性考虑,通过对企业不同阶段不同方面的各种风险的识别和评价,并在此基础上优化组合各种风险防范策略,对风险实施有效的控制和监督,以最少的成本获得最大的风险溢价.
风险是客观存在的,企业无法回避它给企业发展带来的影响,企业需要有意识地面对风险.风险是可以预防和控制的,通过风险管理、风险控制,不仅可以带来风险价值,也可以创造风险溢价,这是成功风险管理的关键.
2.企业内部控制
企业内部控制是风险应对的手段,正是因为存在各种各样的风险,企业才有必要建立良好的内部控制系统,从而保证企业目标的实现.内部控制有利于提高企业经营效率,降低资产损失风险,有助于保证财务报表的可靠性、企业经营活动的合法合规性.
内部控制体系能够有效地监督业务流程的运行情况,并在发生违规业务时及时报告.内部控制体系设计不是一成不变的,需要根据企业实际的状态以及所开展的业务灵活设定,但是必须要遵循一定的标准体系.企业在初创期和业务发展期,由于业务发生的需要,通常会制定较为灵活的政策和业务流程,从而适应客户多变的需求.而进入稳定期且业务成熟以后,其灵活的业务流程会慢慢地向标准化和规范化演变,会更加注重业务流程执行的合规性,保证企业的长期稳定和健康发展.应当说,企业业务流程执行合规与否,与企业内部控制建设和推行力度有非常密切的关系.C O S O 《企业风险管理框架》( 如图1所示).
3.企业合规管理
企业的合规管理是指企业通过制定合规政策,按照外部法规的要求统一制定并持续修改内部规范,监督内部规范的执行,以实现增强内部控制,对违规行为进行持续监测、识别、预警、防范、控制、化解合规风险的一整套管理活动和机制.合规管理,是内控的一个重要方面,也是风险管理的一个关键环节.全球化经营的企业尤其要关注海外经营国的合规要求,防范合规风险.
全球贸易条款,越来越多的中国企业开始执行跨境贸易,跨境贸易与境内贸易不同,除了在管理贸易合同、费用结算、收发货等传统的内容之外,更需要关注与各国海外相关的关务事宜、关税事宜以及在跨境贸易过程中不可避免的贸易禁运、贸易黑名单、自由贸易协定、贸易最惠国待遇等内容.
内控&风险管理系统概述
1.内控&风险管理系统体系架构
内控&风险管理系统,处于企业财务信息系统架构中的管理层(如图2所示),专注于企业如何防范风险、如何做到更有效的内部控制,规避企业在业务经营过程中所可能发生的各类风险和不合规行为.内控&风险管理系统与企业的多个业务系统和财务系统集成,因为企业的内控和风险管理体现在所有业务流程和信息系统中,而并非某个单独的系统中.
2.内控&风险管理系统产生的背景
(1)难以满足持续合规要求.由于企业内外部环境的变化,企业需要相应的调整管理体系,以满足持续合规的要求.首先,外部法律法规及标准的增加或调整,需要企业增加新的管理体系或调整已有管理体系以满足合规要求.其次,当公司的组织结构、业务模式及业务流程发生变化时,也需要相应调整管理体系,以真实反映公司业务现实,满足合规要求.
基于传统的手工式的管理方式,内控管理不仅效率低下,而且无法保留完整的证据链,可追溯性差,难以保证内控与风险管理的有效性,不能完全满足外部监管需求,也不能为管理层的对外承诺提供保障.
(2)内控规则与业务活动难以融合.业务流程管理是企业管理的基础,也是进行内部控制的基础,内控管理要在企业中充分发挥作用就必须与企业业务流程管理进行结合,传统的人工检查,难以覆盖并深入到企业的各个业务流程中,在企业新业务模式不断出现的情况下,内控难以实现,或滞后于业务发展.
(3)风险管理缺乏系统、科学的工具.企业中风险管理活动往往是瞬间或间断性的,很多企业意识到了就进行管理或者根本是在无意识状态中进行,缺乏系统、科学的管理工具.风险管理工作,没有统一的系统来规范形成统一的术语、标准,各业务单位有的使用自己的IT工具来管理,有的完全依赖Excel表格.企业对风险数据的搜集汇总分析完全依靠手工,无法通过IT监控建立预警指标,影响风险管控的精准性与时效性.另外,企业总部与业务单位之间的信息往来沟通安全性差、周期长、低价值的重复性工作较多,不利于数据积累和沉淀,也在一定程度上制约了风险报告预测决策性价值的发挥.
内控&风险管理系统流程
企业的全面风险管理与内控管理流程中,可以分解为四道防线(如图3所示).
企业的董事会和高管层是全面风险管理工作能够顺利开展和推进的基石,没有领导的支持,这样的工作是无法完成的,董事会和企业高管层在制定企业战略目标的过程中,应当考虑其可能面临的风险,并通过逐级推进的方式对这些风险进行应对和控制,从而保证企业战略目标的达成,这是第零道防线.
第一道防线是企业的各级业务部门.各级业务部门在执行业务的过程中,需要具有风险防范的意识和方法,并及时阻止可能出现的风险事件.这要求企业在其发展过程中,需要具备良好的风险管理文化和风险管理意识.
第二道防线是企业风险与内控管理的职能部门.对于第二道防线来说,需要为处于第一道防线的业务部门提供有效的风险规避与防范工具,例如定期的风险评估、实时的风险预警体系建设等,这些都是风险管理职能部门需要做到的.而对于内部控制职能部门来说,建立有效的内部控制体系,进行定期的评估和测试,并对所发现的内部控制问题或者内部控制缺陷进行有效地不间断地跟踪,以确保内部控制体系能够有效地实行,这是内部控制职能部门的职责所在.
第三道防线是企业的内部审计部门,这是企业在业务风险管理与控制层面的最后一道防线.内部审计部门开展的工作对于企业业务的稳定运行和企业的可持续发展是非常重要的,其职责范围主要定位于对企业的业务经营信息和状况进行定期的审查和内部稽核.
健康的风险管理和内部控制体系是需要上述的四道防线紧密协同工作的.业务部门处于业务的第一线,利用风控管理职能部门在风险控制方面的理念、方法、工具等及时地发现业务风险,采取应对手段和控制措施.风控管理职能部门则需要在企业推行良好的风险管理文化和风险控制体系,为业务部门输送可以应用于实际业务的“”.内部审计部门作为企业风险控制和业务稽核工作的最后一道防线,通过严格的审计方法和审计程序执行稽核,保证企业重大业务事项的顺利开展和推进.
内控&风险管理系统功能介绍
1.内控&风险管理系统总体功能框架
完整的、整合的内控&风险管理系统是企业风险管理和内部控制的综合性智能管理平台,包括分析、设计、测试、整改、监控等GRC全流程系统化,在系统上实现工作流的自动化.系统自动扫描相关系统的控制,实现实时控制监控,并拥有强大的报告功能,保证管理层能够及时地、全面地了解企业内部控制在合规上存在的问题.内控&风险管理系统一般包括风险管理、内控管理、审计管理等模块(如图4所示).
2.内控&风险管理系统具体功能
(1)风险管理.
风险管理功能将风险记录以及处理过程信息化,替代目前的风险清单的手工提交和汇总过程,从而逐步建立风险库,实现风险报告自动化,并通过建立风险估算和分析模型的方式将风险管理融入到业务的实时环境中.风险管理模块系统逻辑(如图5所示).
风险识别,主要完成收集、梳理、辨识战略风险、运营风险、财务风险和法律风险等风险事件,并分类提交到风险事件库中.风险问卷子模块内置了多种辨识问卷,如财务类、运营类等风险问卷,可通过评估问卷的在线发布,让风险专家等通过网页方式进行风险评估,提高效率.
风险评估,风险评估的结果可以是定性的,也可以是定量的或者混合型的,风险评估的方法可以是单人评估,也可以是多人同时进行评估,风险评估子模块中可以自由设置用户权重,并根据相应的计算公式,自动完成统计评估结果,提高评估阶段的工作效率.风险评估的手段可以通过直接登录评估表单进行,也可以通过调查问卷的方式进行.风险评估的结果能够直接反应在风险管理热图中.
风险应对,内控&风险管理系统既能够支持一般意义上的风险应对计划,也可以支持通过内控管理进行风险应对.风险应对计划可以线下执行,线上更新结果,也可以和其他系统中的特定业务流程挂钩,自动更新应对结果和实际效果.
风险监控与报告,监控关键风险指标以及风险应对的有效性和完整性,记录风险事件和损失,生成风险报告.
除了风险管理主流程的系统功能,内控&风险管理系统还具有基本信息管理、风险矩阵、风险热图、风险预警、损失事件管理及驾驶舱展示等功能.
基本信息管理,与风险管理相关的各类国家相关制度、案例,企业风险管理手册指引等规章制度.
风险矩阵,将风险矩阵中的风险列表分解到各部门、对应维护人员,进而可扩充维护信息.风险矩阵能够分层级(比如标准风险库、总部风险库、分公司风险库、项目风险库)、分类别(比如战略风险、财务风险、市场风险、运营风险、法律风险)的管理风险,可按层级或业务领域输出风险矩阵和风险清单.在风险矩阵中,可以连接相关制度条款、查看风险相关事件、对应的控制点及内控流程,实现风险与内控、制度的关联.同时,通过与流程的关联,可实现风险列表与各业务岗位的关联.
风险热图,基于风险评估过程,生成反映公司总体和各级单位的风险分布图表,以及按业务流程或业务领域的视角来输出,可以输出流程和组织不同维度的图标.对于评估风险等级高的风险点可进行“新增控制措施”和“优化控制措施”操作,同时将风险等级高的风险点落点区域标记为高风险领域.风险热图可以多维度展示,从可能性、影响程度、变动趋势等维度对固有风险和剩余风险进行分析,分析结果可以直观的柱状图、饼状图、折线图等方式进行展示.
风险预警,含关键风险指标的设置、派发,关键风险指标数据的呈报、关键风险指标数据的查看等子功能.支持预警管理功能,运用关键风险指标和模型等手段对风险实施监控,收集和维护企业内外部风险事件及相关数据,为预警监控提供数据基础和依据.内控&风险管理系统与其他系统对接,使用数据仓储技术(Extract-Tranorm-Load ETL)工具来自动形成指标数据的展示.指标的异常能够与行动计划工作流整合,比如触发邮件、输入分析内容等.
损失事件管理,内控&风险管理系统支持风险损失事件的管理,包括按照业务类型和原因进行时间分类和记录归档,维护风险损失事件数据库;已经发生的损失事件,可以与以前的风险管理过程数据进行比对,分析原因,便于相应的处理调整.能够在按既定格式提供的接口文件中读取数据,亦可通过系统内的工作流搜集损失事件数据,与行动计划工作流整合.
驾驶舱,类似商业智能系统的展示功能,将风险管理关键数据以仪表盘、柱状图、折线图等直观方式进行推送(如图6所示).提供各类风险报告模板,支持客户化风险及内控相关报告、报表;支持报告编制、审批、发布的全过程管理;支持自动计算、汇总风险管理报告所需数据,自动汇总、传递企业内部及各个层面之间的沟通信息、内部专题通报等.通过可视化图表分析风险数据,提供决策支持依据.
(2)内控管理.
内控手册,内部控制手册是企业开展内部控制工作必要的基础内容,也是指导企业开展内部控制非常重要的内部指引性文件.内部控制手册的主体内容是企业内部控制矩阵,包含企业内部控制所涉及的所有业务流程、子流程、风险点、控制点、相关的政策及法律法规、控制点测试步骤及方法、所负责的业务部门以及相关的负责人等信息.内控手册维护如图7所示.
内控评估与测试,是企业内部控制工作开展的主要内容.用结构化的方法开展自我评估,关注业务过程和控制成效.通过设计、规划和运行内部自我评估程序,有组织性地对管理控制和治理负责.
①测试程序设置.基于风险矩阵数据,为每一个控制措施定义其测试指引信息,如样本来源、样本数量、抽样方法以及测试程序等信息.
②测试工作展开.基于测试程序要求,记录测试过程;支持基于样本和总体的测试;基于测试过程中发现的问题,能够调整内控手册描述、修改制度等;记录缺陷评价、整改措施.
③自动测试.关键内控点监控与管理,挑选控制点中能够量化的关键控制点,通过系统集成的方式进行实时监控,及时预警.通过数据集成方法,实现与其他业务系统的数据采集、清洗、转换、装载,可利用规则算法对采集到的监控数据进行规则计算和处理,实现对业务系统内控执行的数据变化情况进行实时监控和分析,提取出可用的样本信息,加入样本库,分配至内控评价工作底稿,进行多角度的内控评价和样本测试,对于可量化的样本可进行自动测试.
④内控缺陷整改.内部控制测试过程中所发现的问题被称之为内控缺陷.对于内控缺陷的管理是所有企业在内部控制评估项目过程中最为重视的内容,也是在内部控制报告发布的内容中最为关键的部分.内部控制缺陷管理的过程包括在测试评估过程中所发现内控缺陷的报告,后续整改计划的制定、执行和进度跟进,内部控制缺陷发布等级的逐级认定过程,以及内部控制缺陷和内控报告的签核过程.内部控制缺陷等级的逐级认定是在企业年度内部控制测试评估项目中非常重要的环节,所认定的等级与内部控制自评报告中所发布的等级一致,因此对于企业管理层来说非常重要和关键.
内控报告,统一提供大量预置的内部控制报告和报表,允许用户在系统中进行各类信息的查询和跟进.报表的内容主要包括内部控制矩阵、内部控制测试和评估进度、内部控制测试和评估结果统计分析、内部控制缺陷报告以及内部控制缺陷整改报告等内容.
(3)内审管理.
审计功能模块的总体目标有以下五个方面:
①以风险为导向的审计:按业务流程和风险因素编制风险导向的审计计划;提供深度风险管理报告;汇总公司各类风险情况,确定和安排审计工作.
②电子工作底稿:采用统一的审计方法,高质量地完成审计工作;全面记录工作内容和重要信息;审计结论与过程记录保持一致,任何一点均可随时追溯并复核;审核工作不受地域限制;实现审计报告自动化,缩短报告编制时间;共享知识以备下次审计.
③审计跟踪:监控和追踪审计发现的后续整改;帮助审计对象实施整改追踪;提升扩大审计成效.
④审计资源管理:维护审计人员技能和知识档案;根据审计项目需要的技能和知识分配资源;实现审计资源利用率最大化.
⑤审计知识库:记录并交流最佳实践审计经验;复用和改进审计方法;共享各种知识,包括法律法规、审计报告、审计底稿、审计问题、技巧方法等.
内审管理模块功能如图8所示,具体可以分解为:
年度审计计划,年度计划的制定依据,均有系统支撑及相关记录.年度计划可以分解为半年计划、季度计划、月度计划以及各类计划的变更、查询功能.
审计项目开展,项目启动时,项目组长根据项目特点,可以从部门标准知识库中选择适当的审计方案.若是以往未开展过的或未规程化的审计项目,审计组可以在部门已有标准知识库的基础上有选择性地选用适合的程序或制定新的审计程序,然后扩充更新到部门标准知识库中,供以后使用.项目组长完成方案编制,并审批完成,根据方案中的内容,为项目成员分派任务.
电子底稿管理,底稿由系统自动编号,对底稿模式、审计信息等要素进行统一规范,清晰地反映审计任务目标、执行步骤/要求/指令、审计过程记录、审计问题、审计建议、审计结论、底稿编制人及修改/编制时间、各级底稿复核人及复核时间等.
审计任务和工作底稿的完成进度随完成情况自动更新,并可以提供实时完成进度统计,包括:程序/底稿完成待审阅数量、程序/底稿审阅完成数量、程序/底稿正在执行中数量、未开始执行的程序/底稿数量等,方便项目组长实时管控项目进度.项目组长可以看到项目组成员上传的审计底稿,进行底稿审阅、进行批注,项目组成员根据底稿审阅意见进行相应修改.
底稿能够支持自动转化为审计报告.根据事先配置好的原则,抓取电子工作底稿中相关内容,转化至审计报告草稿模板.底稿中要体现审计报告中的各要素,从一开始编制底稿,就是为编制报告而服务,相关干系人都可以参与提供建议或帮助.
审计报告,支持审计报告征求意见环节:按权限分发审计报告征求意见稿,对方直接回复意见,可进行邮件催办.支持审计报告的发送、借阅、检索、日志管理.
审计知识库,审计人员可将收集整理的审计方法、审计程序、分析模型、工作经验、作业经验等按照不同分类,分别存储到审计经验库中.在工作过程中,审计方案、底稿等内容,可转换整理到审计知识库中.审计资源库实现对各种法律法规及内部制度的集中管理.能够自定义多级分类,对各种法律法规及公司内部制度进行分类管理,如:会计法、会计准则、审计准则、合同法、公司法、税法、票据法等分类创建.可按多个条件进行检索,并能够在编制审计底稿的同时将相关法律条款进行引用,自动嵌入审计底稿中,并支持权限控制下的法规维护.
内控&风险管理系统信息对接管理
内控&风险管理系统与企业多个系统存在对接关系,包括业务系统、HR系统、门户系统以及OA系统和邮件系统(如图9所示).
内控&风险管理系统与企业多个应用系统对接,嵌入企业整体运营流程,实现了风险管理、流程内控和信息访问权限事前、事中和事后的全程管理.内控&风险管理系统通过一定的程序和方法对其他应用系统中所涉及的流程和关键控制点进行定期的检查和确认(信息系统审计和稽核过程),确保系统的配置或参数设置是符合企业的实际要求的,而对于流程的变更、配置或者参数的变更是经过必要的变更流程(审批流程),在应用系统中有相应的变更日志记录所有发生的变更内容、发生时间和相关执行变更的人员.
因此通过内控风险管理这样专业化的系统对其他系统中的现有流程、关键控制点进行连续不间断地实时监控,可以实时检查其他系统的流程控制点设置及其变更情况,及时了解其他系统中业务流程的合规性状况,并给相应的合规性报告.
内控&风险管理系统实施意义
内控&风险管理系统是企业风险管理与内部控制的整合性平台,从风险信息的收集,到风险智库的建立,再到风险点的调查与评估、风险点的应对和控制以及风险管理与控制的报告生成等,均在统一的平台上完成.内控&风险管理系统在应用过程中将企业在风险管理和内部控制的体系架构、管控内容进行落地和实现,从而帮助企业更有效率地执行其风险管理与控制工作.
(1)搭建统一透明的内控平台.内控&风险管理系统将所有的流程、控制描述,测试文档和合规报告统一在一个系统平台上,显著降低了管理多个地区合规操作的人力和成本,也更有利于管理层识别合规缺陷与差距.同时,借助内控&风险管理系统,企业所有的管理层和内控部门可以在一个平台上校验系统内可能存在的不合理权限设置和职责冲突风险,让各个部门中存在的风险尽可能完全透明化.
(2)将风险管理由事后核查转变为事先预防.对于任何权限审批与变更,内控&风险管理系统都强制要求经过预定流程,并且调用职责分离规则来自动地分析识别新旧角色和权限之间是否存在冲突,实时作出提醒和预警,这样各级领导在审批权限的时候就能知晓是否造成职责冲突,迅速判别潜在风险,避免在风险影响到业务的时候才采取“马后炮”式的补救措施,强制性的流程设置也杜绝了因人为疏忽和徇私舞弊造成的访问例外情况.
(3)提供全面准确的风险图谱,提升风险应对效果.内控&风险管理系统帮助企业开展主动的,各方面协作的流程以平衡企业所有层次上财务,合规及业务操作方面的机会与风险,统一公司的风险语言,强化预警效果,提升风险应对效果,释放低价值方面的工作内容,并且给企业管理层提供全面的、准确的、实时的企业风险图谱,帮助管理层风险排序,安排应对方案.
风险管理论文参考资料:
归纳总结:这是关于对不知道怎么写风险管理和风险管理指南和内控论文范文课题研究的大学硕士、风险管理本科毕业论文风险管理论文开题报告范文和文献综述及职称论文的作为参考文献资料。
