(完整版)企业内部控制与风险管理制度总体框架构建——以联通公司为例汇总
内部控制与风险管理的制度体系
内部控制与风险管理的制度体系内部控制和风险管理是组织内建立的两个关键制度体系,它们旨在确保组织的运作和管理是有效、透明、合规的。
以下是内部控制和风险管理的制度体系的一般概述:内部控制的制度体系:1.控制环境:制度体系的核心,包括组织文化、管理风格、员工素质等。
鼓励良好的内部控制意识和行为。
2.风险评估:识别和评估组织面临的各种风险,包括战略风险、操作风险、财务风险等。
3.控制活动:设计和实施控制措施,包括制度和程序,以确保实现组织目标并减轻风险。
4.信息与沟通:建立有效的信息流和沟通机制,确保内外部信息及时传达、理解和应用。
5.监督与评价:设立监督机制,包括内审和管理层的监督,以及对内部控制体系的定期评估。
风险管理的制度体系:1.风险识别:通过风险识别工具和技术,确定潜在的内部和外部风险。
2.风险评估:评估风险的概率和影响,确定其相对重要性,并建立风险优先级。
3.风险应对:制定适当的风险应对策略,包括规避、减轻、转移或接受风险。
4.监控与报告:建立监控机制,实时追踪和报告风险的变化,确保组织及时做出反应。
5.内部控制整合:将风险管理与内部控制相互整合,确保内部控制体系具有足够的弹性来适应变化的风险环境。
6.绩效评价:定期评估风险管理制度的绩效,确保其符合组织的战略目标。
内部控制与风险管理的关系:1.互为补充:内部控制和风险管理互为补充,通过合理的内部控制,可以有效地管理和控制风险。
2.共同目标:内部控制和风险管理的最终目标是保障组织的长期稳健运作和可持续发展。
3.信息共享:内部控制和风险管理需要共享信息,以便更好地了解和应对潜在的风险。
通过建立健全的内部控制和风险管理制度体系,组织能够更好地应对不确定性,确保业务的可持续性,并为管理层提供有关组织健康状况的关键信息。
企业风险管理及内部控制制度框架
企业风险管理及内部控制制度框架企业风险管理及内部控制制度框架企业面临各种风险和挑战,在竞争激烈的市场环境中生存和发展。
为了保障企业追求长期稳定的发展和实现战略目标,企业需要建立一套有效的风险管理及内部控制制度框架。
一、风险管理制度风险管理制度是企业管理的基础,旨在识别、评估、处理和监控企业面临的各类风险。
1. 风险识别与评估企业应该建立一套完善的风险识别与评估机制,通过对不同风险的识别和分析,明确风险的来源、影响和可能造成的损失,并进行风险的优先级排序。
这样可以使企业在资源有限的情况下,能够合理地配置资源并进行重点管理。
2. 风险处理与控制企业应该根据风险的性质和程度,制定相应的风险处理与控制策略。
这包括风险避免、减轻、转移和承担等策略。
通过合理的风险处理与控制措施,保护企业的核心利益和资产安全。
3. 风险监控与反馈企业应该建立有效的风险监控机制,定期对风险进行监测和评估,及时发现和纠正风险问题。
企业还应该建立风险报告和风险反馈机制,及时向决策层和相关部门汇报风险状况和应对措施的执行情况。
二、内部控制制度内部控制制度是保障企业运作有效性和可靠性的重要手段,旨在规范和管理企业内部各个环节的行为。
1. 内部控制环境企业应该建立健全的内部控制环境,包括明确的组织结构和职责分工、完善的人员配备和培训机制,以及清晰的管理层面对控制的支持和重视程度等。
只有在良好的内部控制环境下,企业才能有效地进行内部控制管理。
2. 风险识别与评估企业应该建立内部风险识别与评估机制,通过风险识别工作,及时发现潜在的风险隐患,并进行风险评估,评估风险的潜在影响和可能造成的损失。
这样可以在风险出现之前采取相应的控制措施,防范风险的发生。
3. 控制活动与控制手段企业应该制定明确的控制活动和控制手段,对企业各个环节进行控制和监督。
这包括制定合理的制度和规范,建立授权和审批流程,制定制度和政策,确保企业各项工作的合规性和规范性。
4. 信息与沟通企业应该建立合理的信息与沟通机制,确保信息的传递和交流畅通。
企业内部控制与风险管理制度总体框架构建——以中国联通公司为例
企业内部控制与风险管理制度总体框架构建——以中国联通公司为例企业内部控制与风险管理制度是现代企业管理的重要组成部分,其目的是保障企业的资产安全、提高企业整体运营效率、规范员工行为,从而实现企业的可持续发展。
本文以中国联通公司为例,从总体框架的角度,阐述企业内部控制与风险管理制度构建的重点内容。
一、制度框架的设计与规划企业内部控制与风险管理制度的设计和规划需要确立一个明确的框架,包括组织结构、职责分工、流程设计等。
首先,需要确定内部控制管理机构,明确其职责与权限,并落实到相应的部门和岗位。
其次,要建立健全的内部控制流程,包括风险识别、评估、控制和监控等环节,确保各项工作有条不紊地进行。
最后,还应制定内部控制制度与规章,明确各类风险管理的事项和要求,确保制度的执行力和可操作性。
二、风险管理制度的建立风险是企业发展过程中不可避免的存在,风险管理是企业内部控制的核心要素之一、对于中国联通公司而言,面临的风险包括市场风险、技术风险、经营风险等。
为了有效应对这些风险,中国联通公司可以采取以下措施:1.风险识别和评估:通过风险识别工作,确定潜在的风险点和风险影响范围;通过风险评估工作,对风险的可能性和影响程度进行评估,为后续的风险控制提供依据。
2.风险控制和应对措施:针对不同的风险,制定相应的控制措施,并将其落实到具体的工作流程中。
例如,在市场风险方面,可以建立市场监测和预警机制,及时掌握市场信息,制定相应的竞争策略;在技术风险方面,可以建立技术评估和应用管理机制,保障技术安全和稳定性。
3.风险监控和评估:对已经实施的风险控制措施进行监控和评估,及时发现和解决存在的问题,保证风险管理制度的有效性。
三、内部控制制度的建立内部控制是企业实现风险管理目标的手段之一、中国联通公司可以从以下几个方面进行内部控制的建立:1.制度和规程:制定内部控制制度和规程,明确各级员工的职责和权限,规范员工行为。
2.内部审计和审计制度建立:通过内部审计建立一个独立的机构,对企业各项活动的合规性进行监督和评估,及时发现并纠正非法行为和违规行为。
内部控制体系的风险管理框架
内部控制体系的风险管理框架内部控制是一组组织行为准则、政策、流程和制度,通过协调人员的工作、指导管理、监督活动,以确保组织目标的实现和风险的有效管理。
在现代商业环境中,企业面临着各种各样的风险,包括内外部的风险。
为了稳健经营,建立一个有效的内部控制体系是非常重要的。
因此,内部控制体系的风险管理框架应运而生。
一、概述:内部控制体系的风险管理框架是一个组织用来了解和管理其风险的结构。
它提供了一套规范和方法来识别、评估和应对风险,确保组织的可持续性和稳健经营。
该框架由以下几个关键要素组成:风险评估、控制活动、信息与沟通、监督与反馈。
二、风险评估:风险评估是内部控制体系的风险管理框架的基础。
它涉及了对组织内外部的潜在风险进行全面的识别、评估和优先排序。
通过识别风险,组织可以更好地了解其面临的威胁,并制定相应的应对措施。
此外,该评估还需要考虑风险的概率和影响程度,以确定其优先级和资源分配。
三、控制活动:控制活动是内部控制体系的核心部分。
它包括了一系列的控制措施,旨在减轻潜在的风险,并确保组织的运营活动按照预期目标进行。
这些控制活动可以分为预防控制、检查控制和纠正控制。
预防控制用于防止风险的产生,检查控制用于发现风险的存在,而纠正控制则用于消除风险的负面影响。
四、信息与沟通:信息与沟通在内部控制体系的风险管理框架中起着至关重要的作用。
它是保障内部控制的有效运作和信息的流动的关键环节。
组织应确保信息的准确性、完整性和及时性,并建立适当的沟通渠道,以便及时获取、传递和反馈风险信息。
此外,组织还需加强对内部控制的培训和教育,提高员工对风险管理的意识和能力。
五、监督与反馈:监督与反馈是内部控制体系的风险管理框架的最后一个关键环节。
它涉及了对内部控制的监督、评估和持续改进。
组织应建立有效的监控机制,以确保内部控制的有效运作,并定期对其进行评估和审查。
评估的结果应及时反馈给相关责任方,并采取适当的纠正措施,以持续改进内部控制体系的有效性和适应性。
内部控制整体框架
内部控制整体框架一、引言内部控制是企业管理的重要组成部分,是指企业为达到经营目标,为履行法律法规和规章制度,防范风险,提高运行效率所建立起来的一系列组织、方法和措施。
本文将详细介绍内部控制的整体框架,以帮助企业构建有效的内部控制机制。
二、内部控制的定义与目标内部控制是指企业为实现业务目标,通过规范和约束内外部各种行为,确保企业经营活动的合法性、合规性以及风险和资源的有效管理的一系列组织、方法和措施。
内部控制的目标主要包括:1. 资产保护:确保企业的资产得到合理的保护,预防盗窃、浪费、滥用等情况的发生;2. 提高效率:通过规范和标准化流程,减少重复工作和资源浪费,提高运营效率;3. 信息可靠性:保证企业的财务信息和管理信息的准确性和可靠性,以提供正确的决策依据;4. 业务风险管理:识别、评估和管理各类风险,降低风险对企业的影响;5. 合规性:确保企业的经营活动符合法律法规和规章制度的要求,遵守商业伦理。
三、内部控制的五要素内部控制的五要素是内部控制体系的重要组成部分,包括控制环境、风险评估、控制活动、信息与沟通以及监督。
1. 控制环境:是指企业内部管理者对内部控制的重视程度和整体管理风气。
企业应建立相应的管理层级和岗位职责,强调职业道德和企业文化,提供良好的内部控制的基础。
2. 风险评估:是指企业对内部和外部风险进行全面评估,确定风险的发生概率和影响程度,并采取相应的控制措施。
3. 控制活动:是指为达到内部控制目标而执行的一系列控制措施。
控制活动包括制定和执行政策和程序、审核和核对、物理控制等。
4. 信息与沟通:是指企业内部各个部门和层级之间进行信息共享和沟通的过程。
信息与沟通要做到及时、准确和可靠。
5. 监督:是指企业对内部控制体系进行持续监督和评估的过程。
监督包括内部审核、独立审计、风险评估等。
四、内部控制的建立与改进企业建立和改进内部控制需要以下步骤:1. 确定内部控制的目标:根据企业的经营特点和风险情况,明确内部控制的目标和重点。
企业合规、内控、风险一体化管理体系的构建【最新版】
企业合规、内控、风险一体化管理体系的构建当今社会,正面临着“百年未有之大变局”。
企业身处其中,不可避免地要应对越来越多的不确定性。
对风险的预防、控制与应对,已成为一项相对独立的企业管理职能。
随着一些监管文件的发布和推行,合规管理、内部控制、全面风险管理(以下简称为“合规、内控、风险“)等与风险密切相关的概念,逐渐进入企业高层的视野。
在最新的一份国企改革三年行动方案中,“防风险”已成为国有企业董事会的最重要职责之一。
但是,不管是企业内负责风险防控的专业部门和人员,还是企业的高层管理者及经理层,对于合规、内控、风险管理三者边界的认知,仍是不清晰的,甚至存有不少的困惑。
源自不同背景、不同来源,不同要求的合规、内控、风险管理等职责,在中大型企业内的并存,已造成了一定的重复和冲突。
对于该问题,国企监管部门国资委已有所洞察。
在2015年12月发布的重磅文件《关于全面推进法治央企建设的意见》中,明确要求央企“探索建立法律、合规、风险、内控一体化管理平台”。
这对合规、内控、风险等进行一体化的管理,提出了初始的要求。
在2020年6月发布的《关于对标世界一流管理提升行动的通知》中,提出央企要“构建全面、全员、全过程、全体系的风险防控机制“。
这为建立合规、内控、风险一体化管理体系,再次提出了新的期望。
一、合规、内控、风险进行一体化的动因要建立合规、内控、风险一体化管理体系,须先问为什么要进行合规、内控与风险的一体化管理?对央、国企来说,在合规管理方面,标志性的指引文件是2018年颁发的《中央企业合规管理指引(试行)》;在内部控制方面,权威文件是2008年颁发的《企业内部控制基本规范》;在风险管理方面,标志性的指引文件是2006年颁发的《中央企业全面风险管理指引》。
这三份文件,出台的时间和背景,各不相同,给企业风控等工作带来不同的视角。
但同时,对企业风控等工作从不同角度也提出了不同的要求。
企业为符合这些不尽一致的要求,分别进行了大量的人力和财力资源的投入,但取得的最终效果往往一般。
企业内部控制与风险管理制度总体框架构建以中国联通公司为例
企业内部控制与风险管理制度总体框架构建一一以中国联通公司为例姚晓蓉一、研究背景中国联合网络通信有限公司(以下简称“中国联通’,)于2008 年10月15日由原中国联通红筹公司、中国网通红筹公司合并成立。
其前身之一的中国联合通信有限公司是经国务院批准、于1994年7月19日成立的我国唯一一家能够提供全面电信基本业务的综合性电信运营企业,对我国基础电信业务领域引入竞争、促进国内电信事业改革与发展起到了积极的作用。
重组前的中国联通于2000年6月分别在香港、纽约成功上市,进入国际资本市场,并于一年之内成为香港恒生指数股,之后又于2002年10月回归国内A股市场,成为国内唯一的海内外三地上市的电信企业。
作为在美国上市的中国联通,自2006年年报开始必须按《萨班斯一奥克斯利法案》(SOX)的要求,向美国相关机构提交管理层对内部控制体系、控制程序有效性的证明以及内部控制机制评价报告。
同时身为国内A股的中国联通,必须从2009年7月1日起按财政部颁布的《企业内部控制基本规范》要求,建立与实施有效的内部控制。
对于中国联通来说,加强内部控制是公司提高经营管理水平、保持可持续发展的必然选择,也是证券监管机构对上市公司加强监管的客观要求。
中国联通经过十多年的跨越式发展,网络、资产、收入规模都大幅度提升,同时也在美国、香港、上海三地成功上市,成为我国一家大型基础电信运营企业。
但与业务快速发展和企业整体规模迅速扩张不相适应的是,公司原有内部基础管理工作薄弱,重发展,轻管理,风险控制方面还存在一定漏洞。
cosO报告指出,内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及对现行法规的遵循。
它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。
我国于2008 年5月发布的《企业内部控制基本规范》中也规范了大中型企业内部控制的基本要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。
企业内部控制规范体系框架分析
企业内部控制规范体系框架分析一、引言企业内部控制规范体系框架是组织在经营活动中为达成经营目标所建立和实施的一套规范及制度的框架。
企业内部控制规范体系框架的设计合理与否,直接关系到企业的稳健经营和风险防控能力。
本文将分析企业内部控制规范体系框架的构成要素、框架设计原则和关键流程,以及其在企业管理中的重要性。
二、企业内部控制规范体系框架构成要素企业内部控制规范体系框架主要包括控制环境、风险评估、控制活动、信息与沟通、监督与反馈等五大构成要素。
1. 控制环境:控制环境是指企业内部控制的基础,包括组织结构、管理层人员素质和道德规范、风险管理意识、对内部控制的重视程度等。
一个良好的控制环境对企业的内部控制规范体系起到了基础性的支持作用。
2. 风险评估:风险评估是指企业对内部和外部环境的风险进行识别、评估和应对的过程。
风险评估是企业内部控制规范体系的起点,也是企业内部控制规范体系设计的基础之一。
3. 控制活动:控制活动是企业为管理风险、实现目标而制定和执行的各种控制措施。
控制活动包括管理控制、技术控制、合规控制、信息系统控制等。
其主要目的是防范风险、保障资产安全、确保财务报告的可靠性。
4. 信息与沟通:信息与沟通是指企业内部控制规范体系中的信息生成、采集、处理和传递,以及信息共享和沟通的机制。
信息与沟通是确保内部控制有效运转的重要保障。
5. 监督与反馈:监督与反馈是指企业内部控制规范体系的运行状态的监督,以及对内部控制规范体系进行评价、改进和反馈的机制。
监督与反馈是企业内部控制规范体系的持续完善和改进的保障。
企业内部控制规范体系框架的设计应遵循以下原则:1. 风险导向原则:企业内部控制规范体系的设计应从风险管理的角度出发,根据企业的特点和风险特征,建立相应的控制措施。
2. 综合性原则:企业内部控制规范体系的设计应综合考虑企业的战略目标、业务流程、组织结构、信息系统和管理制度等多方面因素。
3. 系统性原则:企业内部控制规范体系的设计应具备整体性和系统性,各部分之间应相互协调、相互支持,形成一个有机的整体。
国有企业的内部控制与风险管理
国有企业的内部控制与风险管理国有企业作为国家的重要经济组织和市场主体,具有特殊的职责和地位。
为了确保国有企业的顺利运营和可持续发展,内部控制与风险管理成为至关重要的管理要素。
本文将从国有企业的内部控制框架、内部控制实施和风险管理等方面进行探讨。
一、国有企业内部控制框架内部控制是指组织为达成业务目标而确立的、以风险评估为基础的一系列相互关联、相互配合的工作机制和方法。
国有企业的内部控制框架主要包括目标设定、控制环境、风险评估、控制活动、信息与沟通以及监督和反馈等六个要素。
1. 目标设定:国有企业需要明确经营目标并与国家发展战略相协调,确保各级目标一致、连续且可实现,为内部控制提供明确的指导。
2. 控制环境:控制环境是内部控制的基础,包括组织结构、管理制度、人员素质、价值观念等。
国有企业应建立健全的机制,确保内外部各种环境对内部控制的正面影响。
3. 风险评估:国有企业需要对内外部的各类风险进行评估,包括经济风险、市场风险、管理风险等。
评估结果可以为企业制定有效的控制措施提供依据。
4. 控制活动:控制活动是内部控制的核心内容,包括审计、内部审计、财务管理、人力资源管理等。
国有企业应根据实际情况制定适合企业特点的控制活动,确保业务流程的规范和高效。
5. 信息与沟通:信息与沟通是内部控制的重要环节,涉及信息采集、处理、传递等方面。
国有企业应加强信息系统建设,确保信息畅通、准确和及时反馈。
6. 监督和反馈:监督和反馈是内部控制的补充和调整环节,包括内部监督、外部监督以及内部反馈和外部反馈。
国有企业应建立独立的监督机构,及时发现和解决内部控制中的问题。
二、国有企业内部控制实施国有企业内部控制的实施需要具备科学性、全面性和有效性。
为此,国有企业可以采用以下措施加强内部控制实施。
1. 建立内部控制制度:国有企业应依据内部控制框架建立相关制度,明确各部门的职责和权限,规范各项业务流程。
2. 优化内部控制流程:通过对业务流程的优化,提高内部控制的效率和准确性,减少出错和失误的可能性。
企业风险管理及内部控制制度框架
企业风险管理及内部控制制度框架企业风险管理及内部控制制度框架随着企业规模的不断扩大和业务范围的不断扩展,企业面临的风险也越来越多样化和复杂化。
为了保障企业的长期稳定发展,企业需要建立一套完善的风险管理及内部控制制度框架,以识别、评估和管理风险,并确保企业的内部控制有效运行。
一、企业风险管理框架1.风险识别与分类企业风险管理的第一步是识别与分类风险。
企业应该对所面临的各类风险进行全面的识别,包括市场风险、信用风险、操作风险等。
同时,应将这些风险进行分类,根据其重要性和潜在影响程度,确定优先处理的风险。
2.风险评估与度量识别风险后,企业需要对风险进行评估与度量,以确定其潜在影响和可能损失的大小。
评估方法可以采用定性和定量相结合的方式,通过专业的风险评估工具和模型来量化风险,并基于此进行风险管理决策。
3.风险治理与控制在识别和评估风险的基础上,企业应制定相应的风险治理与控制策略。
这包括确定风险的承受能力与接受程度,制定风险管理目标和策略,建立相应的风险管理机构和流程。
同时,企业还应建立监测和报告机制,及时发现和应对风险的变化和演变。
二、内部控制制度框架内部控制是企业管理的核心内容,其目的是确保企业的经营活动按照法律法规和规章制度的要求进行,保障企业的财务信息准确、可靠和透明,防止资产丢失和误用,同时提高工作效率和企业整体竞争力。
1.控制环境控制环境是内部控制的基础,包括企业的组织结构、管理层对内部控制的重视程度、员工责权制度和工作氛围等。
企业应建立健全的控制环境,明确各级管理人员的责任和义务,建立相应的授权和审批制度,提高员工的风险管理意识和能力。
2.风险评估与监控企业应对各类风险进行评估和监控,包括市场风险、信用风险、操作风险等。
评估方法可以采用定性和定量相结合的方式,通过专业的风险评估工具和模型来量化风险,并制定相应的风险控制措施。
3.控制活动控制活动是内部控制的核心内容,包括制定和实施相应的控制政策、程序和制度,确保企业的各项决策和活动按照规章制度进行。
企业风险管理及内控制度框架
企业风险管理及内控制度框架企业风险管理及内控制度框架是指企业为了保护自身利益、管理风险并确保业务运作的合规性而建立的一套制度和程序。
这个框架涉及各个层面的企业活动,包括战略规划、内部控制、风险识别与评估、风险监控与应对、合规性监管等方面。
下面将介绍一些主要的要素。
首先,企业需要建立一个完整的风险管理体系,包括明确的风险管理政策和流程,以及相应的风险管理团队。
风险管理团队负责监测和评估整个企业的风险情况,并制定相应的管理措施。
此外,企业还需要建立完善的风险管理流程,包括风险识别、评估和控制的各个环节,以及与投资决策、经营管理等相关的风险管理要求。
这样一来,企业能够及时识别和评估风险,并采取适当的措施进行应对。
其次,企业需要建立有效的内部控制制度。
内部控制是指企业为达成既定目标而制定的一系列措施,旨在确保企业资源的合理利用、经营活动的高效运作、财务信息的准确和完整等。
企业内部控制制度需要包括明确的控制目标和要求,以及相应的责任和职权划分。
此外,企业还需要建立相应的内部控制流程和措施,以确保各项业务活动能够按照既定的目标和要求进行,并及时发现和纠正内部控制存在的问题。
第三,企业需要建立完善的风险监控与应对机制。
风险监控是指对风险的实时跟踪和监测,以及对风险事件的预警和应对。
企业可以通过建立风险指标和风险报告系统来进行风险监控,以及通过建立应急预案和风险应对措施来进行风险的及时应对。
此外,企业还需要建立相应的风险管理培训和宣传工作,提高员工对风险管理的重视和理解,从而增强组织对风险的认识和管理能力。
最后,企业需要建立合规性监管制度。
合规性监管是指企业在运营过程中遵守法律法规、行业规范和道德规范的要求。
企业需要建立合规性监管团队,负责监督和管理企业的合规性工作,并及时更新和完善相关的合规性制度和流程。
此外,企业还需要加强对合规性风险的识别和评估,以及加强对合规性文化的培育和宣传。
综上所述,企业风险管理及内控制度框架是企业为了管理风险、保护利益和确保合规性而建立的一套制度和程序。
企业风险管理及内部控制制度框架教材
优化企业的核心业务
01
企业的核心业务不一定局限于某一单纯的行业
02
企业的核心业务应具有发展潜力和扩充的余地
03
*
战略五 选择目标市场
在选择目标市场时,首先要着眼于国内市场,侧重于国内市场的需求与发展;同时兼顾国际市场
目标市场的开发应着重考虑中等收入水平消费者的需求
*
战略六 发展集成化的产品
政策.法规风险 - 由政策.法规的不可测性及变化给企业带来损失
行业风险 - 由于行业有关要素变化,使企业丧失在行业中 的优势地位
金融市场风险 - 由于金融市场的价格波动给企业的金融性资产 造成损失
*
流程风险-营运风险
客户满意 - 由于对客户服务不够重视造成营业额下降
01
人力资源 - 岗位人员资格和能力不够
*
中国风工作汇报模版
单击此处添加副标题
二、风险管理与内部控制在 企业管理中的地位及其重要性
企业管理的整体框架
企业未来的转型策略必须在确认自身战略目标的基础上,对组织架构、业务流程、以及业绩评估三个元素进行整合,并取得信息技术的充分配合与支持,才能全面提升管理水平。 组织架构及业绩评估中最主要的就是人的因素。
*
设定风险管理流程
经营风险管理系统
目的及目标 共同语言 结构
决策资料
订立策略
避 免
利 用
接 受
转移
减低
评估风险
验明 来源 量度
不断的改善 管理能力
设计或引进 管理能力
监察风险 管理表现
*
建立经营风险管理系统的主要困难
如何比较全面的确认风险
如何确信所有的风险控法
01
建立能够实时提供管理和财务信息的ERP系统
企业内部控制与风险管理制度总体框架构建——以中国联通公司为例
企业内部控制与风险管理制度总体框架构建——以中国联通公司为例姚晓蓉一、研究背景中国联合网络通信有限公司(以下简称“中国联通’,)于2008年10月15日由原中国联通红筹公司、中国网通红筹公司合并成立。
其前身之一的中国联合通信有限公司是经国务院批准、于1994年7月19日成立的我国唯一一家能够提供全面电信基本业务的综合性电信运营企业,对我国基础电信业务领域引入竞争、促进国内电信事业改革与发展起到了积极的作用。
重组前的中国联通于2000年6月分别在香港、纽约成功上市,进入国际资本市场,并于一年之内成为香港恒生指数股,之后又于2002年10月回归国内A股市场,成为国内唯一的海内外三地上市的电信企业。
作为在美国上市的中国联通,自2006年年报开始必须按《萨班斯一奥克斯利法案》(SOX)的要求,向美国相关机构提交管理层对内部控制体系、控制程序有效性的证明以及内部控制机制评价报告。
同时身为国内A股的中国联通,必须从2009年7月1日起按财政部颁布的《企业内部控制基本规范》要求,建立与实施有效的内部控制。
对于中国联通来说,加强内部控制是公司提高经营管理水平、保持可持续发展的必然选择,也是证券监管机构对上市公司加强监管的客观要求。
中国联通经过十多年的跨越式发展,网络、资产、收入规模都大幅度提升,同时也在美国、香港、上海三地成功上市,成为我国一家大型基础电信运营企业。
但与业务快速发展和企业整体规模迅速扩张不相适应的是,公司原有内部基础管理工作薄弱,重发展,轻管理,风险控制方面还存在一定漏洞。
COSO报告指出,内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及对现行法规的遵循。
它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。
我国于2008年5月发布的《企业内部控制基本规范》中也规范了大中型企业内部控制的基本要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业内部控制与风险管理制度总体框架构建——以中国联通公司为例姚晓蓉一、研究背景中国联合网络通信有限公司(以下简称“中国联通’,)于2008年10月15日由原中国联通红筹公司、中国网通红筹公司合并成立。
其前身之一的中国联合通信有限公司是经国务院批准、于1994年7月19日成立的我国唯一一家能够提供全面电信基本业务的综合性电信运营企业,对我国基础电信业务领域引入竞争、促进国内电信事业改革与发展起到了积极的作用。
重组前的中国联通于2000年6月分别在香港、纽约成功上市,进入国际资本市场,并于一年之内成为香港恒生指数股,之后又于2002年10月回归国内A股市场,成为国内唯一的海内外三地上市的电信企业。
作为在美国上市的中国联通,自2006年年报开始必须按《萨班斯一奥克斯利法案》(SOX)的要求,向美国相关机构提交管理层对内部控制体系、控制程序有效性的证明以及内部控制机制评价报告。
同时身为国内A股的中国联通,必须从2009年7月1日起按财政部颁布的《企业内部控制基本规范》要求,建立与实施有效的内部控制。
对于中国联通来说,加强内部控制是公司提高经营管理水平、保持可持续发展的必然选择,也是证券监管机构对上市公司加强监管的客观要求。
中国联通经过十多年的跨越式发展,网络、资产、收入规模都大幅度提升,同时也在美国、香港、上海三地成功上市,成为我国一家大型基础电信运营企业。
但与业务快速发展和企业整体规模迅速扩张不相适应的是,公司原有内部基础管理工作薄弱,重发展,轻管理,风险控制方面还存在一定漏洞。
COSO报告指出,内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及对现行法规的遵循。
它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。
我国于2008年5月发布的《企业内部控制基本规范》中也规范了大中型企业内部控制的基本要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。
中国联通自2003年底开始按照《萨班斯一奥克斯利法案》第404条,围绕经营效果和效率、财务报告真实性、遵从法律法规三个目标,建立了一套渗透所有业务及场所的内部控制制度、管控机制以及控制责任体系。
本文以此为例来论述企业内部控制与风险管理制度总体框架构建的有效途径。
二、中国联通内部控制环境的构建COSO对内部环境的描述是:内部环境包含了一个组织的基调,影响人们对风险的认识,并且是其他所有风险管理组成的基础(为之提供约束和结构)。
内部环境要素包含一个企业的风险管理哲学、风险偏好、董事会的监督、诚信和道德观、员工的能力、分配权责的方式以及如何统计和提高员工的能力。
一个组织的内部环境对企业内部控制的执行和效果有着显著而关键的基础性影响。
我国大多数上市公司,不是没有建立相应的控制系统,而是由于存在于控制环境中的缺陷导致会计控制系统和管理控制系统失效。
对于中国联通而言,控制环境已经比控制过程更为重要。
内部控制设计的重中之重是弥补当前控制环境中存在的缺陷,正如COSO所说,内部控制环境是其他因素构建的基础,如果基础中存在极大的缺陷,其他因素即使构建得再完美,也只是宅中楼阁。
2005年3月25日,中国联通向境内外资本市场披露新疆、江西两个分公司重大会计差错和内部控制缺陷,2002年多计净资产1900万元,2003年多计净利润6600万元,涉及签订虚假设备、仪器、仪表租赁合同采购手机、挤占工程成本和运营成本等情况,导致虚出收入、少提坏账准备金,从而发生财务报表反应不实。
虽然中国联通已在2004年合并利润表中对上述不当会计记录及会计差错进行了调整,但仍给公司造成了较大影响,资本市场认为这问题反映了企业在财务内部控制方面的重大弱点。
分公司签订虚假设备租赁合同采购手机的行为,暴露了中国联通公司在内部控制环境方面存在如下缺陷:相关人员缺乏职业道德,不讲诚信:授权不当,权力相对集中在少数人手中;未分离不相容职务,缺乏相互牵制;举报机制不健全,问题难以向I二反映;责任追究制度不健全,作弊者没有压力;监督机制小健全,未能及时发现问题等。
中国联通在内部控制环境构建时认真分析了其内部控制环境方面存在的诸如管理者风险管理意识、员工道德规范风险、治理结构风险、政策导向风险、舞弊行为风险、IT系统安伞风险和不当授权风险等七个方面的主要风险,并为防范这些风险提出了相应的应对措施,如完善公司治理结构,调整审计委员会职能,开展独立内部控制评估,建立真正意义上的公司法人治理结构,使权力有所制衡;完善绩效管理与政策导向,建立相对公平完善的激励机制;建立反舞弊制度及约束机制:建立与财务报告数据有关的IT系统总体控制和应用控制;强化管理层的风险管理意识,提高控制风险的能力:加强员工的道德规范和诚信建设,提高伞员职业道德水平;建立和完善各项制度和政策等,最终目的是提高员工职业道德,使之不愿舞弊;增强员工法律意识,使之不敢舞弊;完善各项控制制度,使之小能舞弊。
三、中国联通风险评估与防范机制的构建为确保企业持续、稳定、健康发展,提高企业风险管理水平,增强企业经营风险防范意识和控制能力,国有资产监督管理委员会发布了《关于2009年中央企业开展全面风险管理工作有关事项的通知》,要求各企业全面加强风险管理。
作为要心对《萨班斯一奥克斯利法案》的中国联通,尤其是在重组整合没有完全到位的过渡期,更需要建立一套与其发展战略相适应的伞面风险评估和防范体系。
以现金提取管理为例,可能会出现如卜.三个风险点:未经授权或超出授权范围提取现金,引起现会被挪用或占用,影响资金安全性:现金支票的内容出现错误或与申请单不一致,将会影响资金的准确性、完整性和真实性;现金及支票在交接和提现过程中丢失或交接不清,将间接影响资金的安全性。
中国联通可以从以下方面着手,建立一套风险评估与防范机制,从而防范以上风险:1.制定规范的风险评估与管理制度、流程。
要明确风险管理的部门及职责分工,确定风险评估及管理的流程,制定相关的风险管理措施,还要对各级分公司的风险评估工作定期评估并出具评估报告,评估报告要上报董事会或审计委员会。
2.将信息和沟通贯穿于风险评估始终。
管理层要能够获得真实、可靠的数据,对风险及潜在的风险进行评估:要将已经审批过的风险管理办法向相关人员传达,以确保风险管理措施得到落实;要向公司员工强调建立一个有效的内部控制体系是公司的首要任务,高级管理层终常与部门主管开会沟通对公司主要领域内部控制的要求以及风险评估结果及风险的变化,使他们理解并落实内部控制责任,确保企业经营活动控制在可接受的风险范围内:总部各部门、各省级分(子)公司要定期向公司管理层报告风险管理措施和实施效果。
3.定期监督风险评估工作。
(1)管理层要自我监督。
总部各部门、各省级分(子)公司管理层通过对内部控制系统的日常监督检查与定期自我评估,对反舞弊控制措施和政策落实情况进行监督。
对内部控制系统的FI常监督活动要有完整的文档记录,每年至少进行一次自我评估,并提交书面报告。
(2)内部审计部门要实行定期监督。
公司内部审计部门在各部门日常监督与定期检查的基础上,按照风险重要程度和发生概率,确定评审的范围,每年对公司内部控制系统运行的健全性和有效性进行一次总体评价,并向公司管理层和审计委员会提交评价报告。
内部审计部门对公司风险管理过程的充分性和有效性进行检查、评估、报告,并对风险管理过程中存在的缺陷提出改进意见。
(3)审计委员会进行监督。
审计委员会对公司风险管理过程的充分性和有效性进行监督。
(4)整改。
总部各部门、各分(子)公司对日常豁督检查中发现的内部控制缺陷、外部审计师和外部监管部门揭示的内部控制缺陷、顾客和设备厂家的投诉报告以及内部审计部门定期评估中发现的内部控制缺陷,进行汇总和分析,根据重要性及影响程度进行分级管理,落实责任部门,采取有效的整改措施,以避免或减少损失,并建立整改效果跟踪机制。
四、中国联通内部控制活动及控制文档的构建控制活动与控制文档是内部控制框架中的核心内容。
COSO报告认为,控制活动是确保管理层的指令得以实现的政策和程序,旨在帮助企业保证其针对“使企业目标不能达成的风险”采取必要的行动。
我国《企业内部控制规范》中这样描述:“企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受的范围之内。
控制措施。
一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
”在重组之前,为应对《萨班斯一奥克斯利法案》,原中国联通和中国网通均已建立了比较全面的控制活动流程和控制文档。
如江苏联通在2006年就按资本性支出、收入、成本费用、资金及资产管理、财务报告和其他人大类梳理出425个流程,但内部控制体系合并后,大量公司层面和业务层面的流程将会发生变化,需要重新对相关的内部控制流程和控制文档进行修订和补充。
中国联通经过分析研究,列出以下控制活动的关键措施,同时加强了控制文档的建设:首先,建立完善的会计政策和程序并加以贯彻执行,确保财务报告符合国家法律法规;其次,建立完善的财务报告制度和标准的期末财务报告程序,确保期末财务报告的披露符合相关标准;再次,明确责任分工和岗位职责,确保交易及资产处置有适当的授权和审批;第四,建立完善的经营业绩分析体系,科学评价各分(子)公司的经营业绩;第五,建立全面预算管理体系,科学预测各分(子)公司的牛产经营和财务状况。
以有价卡管理为例,电信企业移动业务有价卡一般分为充值卡和手机识别卡两人类,并视为现金管理,有价卡的控制日标为各种卡类业务的进、销、存等全部通过系统管理控制:系统保证支撑卡类业务资费变动的需求,准确按现金流报告收入;实物与财务定期核对,做到账实相符。
围绕以上控制目标,制定如下规范管理措施:有价卡进、销、存必须由系统管理,达到销售时点与系统激活时点同步:手机识别卡如不能实现销售和激活同步,必须存销售时由营业前台根据收款金额实时充值,严禁在销售前预置话费;有价砖要区分激活和未激活状态分库、分账管理;激活卡要视同现金单独库存管理,不能与其他卡混淆,并由财务部重点监控;严禁赊销,所有售卡一律实行买断制,确保资金到账后付卡;每月组织有价卡的全面盘点,及时处理过期卡:每月及时对账,核对激活卡入库面值、系统数据、出库金额和销售金额;建立和规范执行会计业务确认办法,明确预收账款、应收账款、收入确认等会计核算以及各类全国漫游卡、省内漫游卡结算规则,确保漫游结算及时和会计核算准确;对与生成会计信息相关的业务信息的内容、格式、信息产生频率、信息提供流程等进行统一规范;完善计费系统支撑各类优惠业务准确报告收入的功能:要求各项新业务推出前,应及时与计费部门沟通,确保计费系统支撑后再开通;计费部门按收入确认原则实现系统自动生成出账收入报告;明确会计业务核对内容与流程,建立会计与部门每月必须定期对账的稽核控制制度;全国实施集中管理公司各类业务数据。