COSO风险管理

COSO风险管理（精选11篇）

COSO风险管理 第1篇

一、内部控制的定义

1992年美国注册会计师协会 (AIC-PA) 与美国会计学会 (AAA) 、财务执行官协会 (MAA) 共同组成的资助组织委员会 (CommitteeofSponsoringofthe TidewayCommission, COSO) 共同发布《内部控制-整体框架》 (InternalControl-InternalFramework, 即COSO报告) , 并于1994年进行了增补。该报告认为“内部控制是由董事会、经理阶层和其他员工所实施的为营运效率效果、财务报告的可靠性、相关法规的遵行性等目标的达成而提供合理保证的过程”。一个完善的内部控制系统至少应由控制环境、风险评估、控制活动、信息沟通和监控等五个要素构成。内部控制就是由这些相互联系、相互制约、相辅相成的要素, 按照一定的结构组成的完整的, 能对变化的环境做出动态反映的一个系统。对于任何一个企业或高校, 运用和加强内部控制都显得极为重要。

二、高校内部控制存在的问题及分析

第一, 管理层内控意识缺乏导致内部制度缺失。高校领导一般都具有从事专业教育的经验, 而缺乏经营管理的知识。长期以来, 受传统思想、方法和手段的影响, 大多数领导对内部控制的认识不够, 或认为内部控制就是内部会计控制, 只是财务部门和审计部门的事, 缺乏对高校的总体认识, 教育体制变革迟缓, 校职工代表大会流于形式, 而且职工代表大会的监控作用严重弱化、内部审计功能非常有限、部分处室业务交叉或合署办公等, 导致缺乏对高校高层领导权力的监督和制约, 权力超越制度, 由于内部控制制度缺乏, 从而导致高校行政权力缺乏制约, 甚至部分领导逾越内部控制, 滥用职权, 阻碍了高校内部控制的完善, 制约了高校内部管理水平的提高。

第二, 贷款风险导致财务危机加大。高校背负巨额贷款, 直接导火索是大学扩招。从1999年开始, 许多高校不断扩大办学规模, 地方政府也把城市管理和市场运作等手段运用到高校管理, 不惜投巨资开发“高教园区”、“大学城”, 希望利用高等教育的发展拉动一个区域的经济发展, 甚至是拉动一座城市社会、科技、教育的综合发展。正是在这种背景下, 从2000年开始, 依靠银行贷款建成一批规模宏大、华美壮观的大学城, 一些高校也因此深陷还贷泥潭。目前, 高校负债经营已很普遍, 据审计署披露, 到2010年底, 全国一共有1164所地方所属的普通高校有地方政府性债务, 金额近2635亿元。从2005年起, 审计署在连续两年的审计报告中, 都对高校债务风险提出了警示。同样, 从2005年1月1日起, 教育部门开始全面实施对直属高校资金流动的即时动态监控, 要求控制贷款规模, 审批贷款。

第三, 商业贿赂案件暴露出内部监控乏力。高等教育作为公益性事业, 公办高校作为政府支持的事业性单位, 不同于企业, 无须走市场化的路子, 把自己当作市场主体来经营。事实上, 扩招后的高校为了偿还贷款, 不得不走向市场化的运作, 将自己变身为市场主体, 等同于盈利性企业。近年来, 高校商业贿赂案件频频曝光, 主要集中在招生、教材采购、工程招标、后勤服务等部门。比如在招生工作中, 利用职务之便收受礼金;在教材发行采购中收受高额回扣;在基建工程发包中索要钱财, 接受各种名义的考察旅游等, 这些现象很大程度上归结于内部监督的弱化。一直以来, 高校的内部审计机构独立性较差, 受管理层约束较多, 审计程序和内容基本以“查错纠弊”、“堵塞漏洞”作为主要内容, 高校内审报告往往只是事后一般财务审计, 不注重管理审计, 也很少聘请外部审计力量来评估内部控制等。

第四, 忽视资产管理教育, 资源浪费现象严重。企业有《企业破产法》的约束, 规范着其市场化运作, 而高校是国家的, 贷款最终还不还, 买单的永远都是政府。近年来, 一些高校利用合并、搬迁时机, 大兴土木, 花起钱来大手大脚, 行政大楼装修得越来越高档, 学校门面建得越来越气派, 有的连三层楼的饭堂都安上了豪华电梯、宾馆、会议中心、假山、人工湖极尽奢华, 从不担心贷款高校的风险, 高校在工程建设中出现的腐败现象也屡见曝光。如擅自用自有资金购置大宗资产而不经过政府采购, 购置后登记、使用、调配等手续不完备, 造成大量资产重复购置或长期闲置;对于许多如数码产品、电脑等流动性强的资产, 个人使用后长期不归形成隐性流失等。这些忽视资产管理的行为使得资产的使用率、保值增值率极低, 教育资源浪费严重。

三、内部控制要素在高校管理中的应用实践

第一, 构建良好的内部控制环境, 完善内部控制制度。内部控制环境建设是完善学校内部控制的基础, 内部控制主体是内部环境的重要组成部分, 它决定着内部控制目标的实现。对于高校来说, 内部控制目标就是为了实现可持续发展, 这不仅是管理层的责任, 也是广大教职工的责任。因此, 高校应自上而下建立以人为本的内部控制环境, 管理层以身作则, 积极转变观念, 组织建立健全学校内部控制体系。首先, 规范设置高校的组织机构, 划清职责权限, 充分发挥教职工代表大会的作用。同时, 完善以校务会议为主体的内部组织结构, 履行校务会议的职责, 充分发挥校务会议监督、引导、沟通作用。其次, 培养高校内控文化, 国际上的知名高校都有其都特的文化魅力, 比如人才引进后, 规定工作任务和工作规程, 定期考核引进人才的学术、技术发展情况, 履行岗位职责情况等, 通过激励机制推动人才合理流动, 增强人才成就感、责任感, 激发持续创造潜能, 激活进取和竞争意识, 把能力测评与业绩考核结合起来, 让人才在其位、尽其责、取其值, 从而发挥人才作用, 形成一种能进能出、能上能下的灵活用人机制。

第二, 增强风险防范意识, 建立风险评估体系及预警机制。高校贷款主要是用于固定资产投资, 建设周期长, 资金需求量大, 面临着巨大的财务风险, 高校要牢牢树立风险意识, 应根据外部不断变化的形势, 建立高校的风险评估及预警机制, 合理有效评估各类风险, 为管理者进行决策提供参考建议。应着眼于风险评估, 以项目的审计风险为质量控制依据, 通过研究所从事的日常活动、学校的内部控制及其运行和对有关数据、信息的分析和检查, 由概括到具体、由表及里地分析财务报表披露的信息与学校实际状况的关系, 确定会计准则的遵循状况。此外, 必要时进行相关测试, 即对内部控制的健全性、合法性、合理性和有效性做出评价, 通过全面分析财务综合能力、发展能力、绩效指标等全面衡量高校整体财务状况, 进而采取有效措施降低风险。

第三, 建立严格的预算管理控制制度。正确编制单位预算, 真实反映单位财务状况。高校应参考以前年度的预算执行情况, 根据预算年度的收入增减因素和措施, 测算编制收入预算;根据高校发展的需要与财务可行性, 测算编制支出预算。事业单位预算应当自求收支平衡, 不得编制赤字预算。在预算执行上, 建立相应的跟踪、分析和评价制度, 对各部门的预算经费做出准确、具体的分析评价, 正确、完整地评价资金的使用效益。积极推行“零基预算”, 充分发动全体管理人员的参与, 尤其是各级领导干部要做好本部门人、财、物的配置和平衡, 在此基础上组织相关部门对其可行性进行充分论证, 对各项事业支出进行必要的调研, 统筹安排各项经费使用情况, 有目的、有计划地合理安排使用资金, 使预算真实反映各项教育事业发展的客观需要, 保证高校健康发展。

第四, 加强信息沟通, 促进校园管理信息化。利用高校先进的信息网络技术和人才蓄发优势, 搭建高校信息资源发布平台, 加强教务、科研、人力资源、财务、资产、后勤等管理部门之间、部门与外界的信息沟通, 使员工对自己的岗位、责任、角色有清楚的认识, 使各项工作更有效率的开展。如设立ITS (Infor-mation Technology Services) 信息管理委员会或类似部门。在美国加州州立大学23所高校中, 几乎所有高校都建有由某个副校长负责的ITS机构, 且ITS内部还进行了细化分工, 责权利明晰, 保证了校园信息化的各项措施能够真正落实, 为内部控制奠定基础。高校可以结合自身在技术、设备方面的优势搭建高校信息化建设的平台, 将与高校各类经济活动有关的信息、数据, 及时发布到该平台之上, 实现资源共享。这样一方面实现了数字化校园的目标, 同时利用信息化的方法或手段进行信息的沟通与交流, 节省了人力、物力, 增加部门之间相关业务的透明度, 提高了办事效率。通过高校网络平台建设一套扁平化网络管理平台, 在高校内部形成一个网状的信息沟通渠道, 真正实现信息的无障碍沟通。

第五, 加强货币资金控制, 提高内部会计控制力度。高校及所属二级单位的各项收入应全部纳入单位预算, 统一核算, 统一管理。各业务部门都不可避免地要与现金打交道, 从而增加了人员、部门关系的复杂性。为此, 要建立现金收支过程中的一系列控制措施, 即岗位人员分工、会计系统控制、授权审批控制等。按照内部牵制的原则合理设置岗位, 明确其职责权限, 将不相容职务分离制度落到实处。各项支出应当遵循国家有关财务规章制度规定的开支范围及开支标准。严格执行“收支两条线”的管理制度, 并纳入单位预算管理和政府采购制度, 合理安排收入和支出, 从源头上杜绝以收作支和私设“小金库”的违法行为, 会计系统控制中应严格加强原始凭证的审核, 规范账务核算处理, 使会计控制成为实现内部控制的有效保证。比如对非常规的经济事项如重大筹资行为、投资决策、基建工程项目的审批实行集体决策联签等。

第六, 建立高效优质的监控, 创新审计工作思路。树立和维护内部审计应有的权威性, 首先, 充实高校审计人员队伍, 配备专业素质较高的人员, 注重审计人员的综合素质培训, 提升内审工作的前瞻性, 从现行一般的离任审计逐步走向管理型审计, 在重大基本建设项目的规划、设计、招标、施工、竣工决算的各个环节严密监控, 并做好内部控制风险评估。如购置大宗资产, 严格按照政府采购的有关报批审核程序, 规范运作, 建立能够促进国有资产合理流动、有效配置和保值增值的管理体制及运行机制, 合理组织闲置资产的流动及调剂使用, 提高资产的使用效益, 减少损失浪费。其次, 适当引入外部审计, 通过高校间联审、互审发现自身问题, 相互学习, 也可以将部分审计工作交由社会审计部门完成。最后, 设置专职会计稽核机构和人员, 加强日常会计核算的监督, 提高会计信息质量, 保证国家高校财产安全。

四、结论

由于内部控制是对变化的环境作出动态反映的一个系统, 高校要想获得可持续发展, 必须适应环境的变化, 应随着国家法律法规、政策、制度等外部环境的改变以及单位业务职能的调整、管理要求的提高等内部环境的变化, 在实施中不断调整、充实、完善、更新, 形成一个全方位、层次分明的内部控制体系。这样才能使高校内部控制真正发挥积极作用, 保证高校教育教学充满生机和活力, 不断提高高校管理工作水平, 确保高校可持续健康发展。

摘要：文章以COSO报告中控制环境、风险评估、控制活动、信息沟通、监控等五要素对高校内部控制进行探讨, 分析目前高校内部控制存在的问题, 并提出内部控制要素在高校管理中的应用实践。

关键词：COSO报告,内部控制,内部控制要素,高校管理

参考文献

[1]、高校因何深陷负债困局孙瑞灼[N].人民日报海外版, 2011-07-12.

[2]、郝永红.高等学校内部控制研究[D].厦门大学, 2007.

[3]、吴素花.高校内部控制存在的问题及对策研究[J].经济师, 2003 (8) .

COSO风险管理 第2篇

企业风险管理整合框架在内部控制整合框架的基础上增加了一个新观念，一个战略目标，两个概念和三个要素。即风险组合观，战略目标，风险偏好、风险容限的概念以及目标设定、事项识别、风险应对要素。

（1）在内部控制郑和框架的基础上，企业风险管理框架引入了风险组合观。对企业内部而言，其风险可能落在该单位的风险容限范围内，但从企业总体来看，总风险可能会超过企业总体的风险偏好范围。因此企业风险管理要求以风险组合观看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。

（2）内部控制整合框架将企业的目标分成三类，即经营目标、报告目标、合规性目标。其中经营目标、合规性目标与风险管理框架相同，但报告目标有所不同。企业风险管理整合框架中，报告被大大地拓展为企业所编制的所有报告，包括对内、对外的报告，而且内容不仅包含更加广泛的财务信息，而且包含非财务信息。

另外，企业风险管理整合框架增加一大目标，即战略目标，它处于比其他目标更高的层次。战略目标来自一个企业的使命或愿景，因而经营目标、报告目标和合规性目标必须与其相协调。

（3）企业风险管理构架引入风险偏好和风险容限两个概念。风险偏好是指企业在追求愿景的过程中所原意承受的广泛意义的风险数量，它在战略制定和相关目标选择时起到风向标的所用。风险容限是指在企业目标实现过程中所能接受的偏离程度。在确定各目标的风险容限时，企业应考虑相关目标的重要性，并将其与企业风险偏好联系起来，将风险控制在风险可接受程度的最大范围内，以保证企业能在更高的层次上实现企业目标。

（4）企业风险整合框架在内部控制整合框架的基础上新增了三个风险管理要素：目标设定、事项识别、风险应对，它们将企业的管理中心更多地移向风险管理。同时，在内部环境中，强调了董事会的风险管理理念。因此，企业风险管理郑和框架拓展了COSO的风险评估要素。

（5）其他要素在风险管理整合框架中的扩展

在控制活动要素中，企业风险管理整合框架明确指出，在某些情况下，控制活动本身也起到风险应对的作用。

在信息与沟通要素中，企业风险管理整合框架扩大了企业信息和沟通的构成内容，认为企业的信息应包括来自过去、现在和未来潜在事项的数据。

在职能与责任描述中，企业风险管理整合框架要求企业设立新的部门，即风险管理部门，并描述了风险管理官的职能与责任，扩充了董事会的职能。

以下表格为内部控制整合框架与企业风险管理整合框架的比较：

采购人员为了私人利益在采购中没有进行比价管理，而是选择有回扣的供应商，这往往造成采购材料质量得不到保证，或者价格高于市场平均价，企业利益受损。因此，有效控制采购人员收受回扣时是企业在采购环节应着重注意的事项。

上述控制采购人员收受回扣，体现了以下几个方面的内部控制环节：

1、职工素质控制。对采购人员的法制教育和道德教育，尤其是职业道德教育，应该是企业经常性的工作。文中所提到的具体方法值得提倡。

2、岗位责任和岗位轮换制度。公司与采购员分别签订违约金巨大的廉政合同，明文规定，如果采购人员收受回扣，经查明，则处以几倍甚至几十倍的罚款，以这样的形式能够使采购人员对回扣忘而却步。另外，采购人员要定期轮换，防止一个人长期联系某些供应商或者长期采购同一货物，减少舞弊的可能性。

3、公司开放、透明采购渠道，建立供应商资料系统，实施比价管理。只有这样，才能使采购环节的询价与确定供应商的职务分离更加有意义，公司采购能有更多的选择，也使得公司能够以更低的价格购入更优质的货物、固定资产等。同时，透明采购渠道，也使得采购人员能够无形中受到供应商的监督，不敢轻易收受回扣。

4、加强监督体系。好的内部控制体系应该具有强有力的监督体系。有专人负责对采购人员的采购行为进行监督，定期抽查采购人员的采购价格，与其他供应商相比较。同时也应关注采购人员所采购物资的质量。

上述几个方面的内部控制环节做好了，采购人员收受回扣的现象就会得到很大程度的遏制。

从表面看，上述失控情形是企业因求货心切、因受骗上当而造成的直接经济损失；而从内控角度分析，是由于企业控制意识缺失、工作粗枝大叶等产生的管理失控。在不了解供货方信用状况与否以及有无货物供应的情况下就盲目预付款项（定金），这样的企业与管理现状确实是很容易上当受骗的，教训十分深刻。

如何加强采购环节中预付款的内部控制，至少应当关注以下几个方面

（一）应当建立严格的订货控制制度 订货是整个进货过程的核心，通过订货程序控制，有助于控制企业整个进货过程。而一个人主观武断说了算，无视订货程序控制的企业，很容易导致舞弊或损失产生。

通常，订货控制应主要考虑以下几个方面的重要环节：

1．慎重选择供货单位，必要时派人到供货单位调查其设备状况、技术水平和产品质量； 2．审核供货单位的供货条件，其中包括价格、运费、运货能力、以及维修服务能力等； 3．调查了解有关供货单位的信誉和财务状况等。

企业只有在充分考虑上述因素后，采购部门才可以择定供货单位，签订合同或发出订货单。

（二）应当建立严格的合同审核制度

上述案例中预付一半定金的合同并不符合合同管理的要求，无效的合同在缺乏内部控制的企业中却通行无阻，实在令人担忧。

企业采购部门在办理付款业务时，应当对采购合同协议约定的付款条件以及采购发票、结算凭证、检验报告、计量报告和验收证明等相关凭证的真实性、完整性、合法性及合规性进行严格审核，并提交付款申请，财务部门依据合同协议、发票等对付款申请进行复核后，提交企业相关权限的机构或人员进行审批，办理付款。

财务部门应根据生产进度计划、采购计划、请购单、采购合同以及经批准的预付款项，才能办理预付款的支付手续。财会部门应当参与商定对供应商付款的条件，尤其要认真审查预付款的合同，必要时聘请法律顾问审查。如果是分期预付款项的，应严格分期支付手续。

（三）应当建立与健全后续检查制度

采购部门在发出订货单并办妥预付款手续以后，供应单位是否能按订货单所定的条件交货，需采购部门经常关注。采购人员在必要时可到供货单位查看产品的生产进度和检查质量，以保证供货单位按条件发货。同时，采购人员还应掌握本企业的生产进度，以确保供货单位的交货能够满足本企业的生产需要。采购部门对所进行的后续检查工作应做记录，以全面掌握材料的供应情况。

（四）应当建立与健全及时报告制度

采购人员或其他相关人员一旦发现供应单位有异常情况或有上当受骗的迹象，就应当及时报告上级主管部门，并及时处理，以尽量减少或挽回损失。

应当看到，加强采购与付款环节的控制应当深入、具体、细致、周到，并注重实效。

预算管理三大管理目标：第一，资金配置。将公司的管理资金进行合理的规划，根据各业务部门的业务预算进行各种资源的分配，保证各个部门的业务能保证各个部门的业务能够顺利地开展和实施。

第二，控制费用。各部门的业务支出必须严格控制在预算标准和限额之内，保证各种费用的支出与业务的相关性，严禁任何与业务无关的或超出业务量需求的支出，降低公司总体的费用成本。

COSO风险管理 第3篇

关键词：COSO内部控制整合框架；网络风险控

信息技术的发展让企业经营环境发生了巨大的变化，越来越多的业务需要在互联网的环境中完成，从订单的生成，处理到收发货和结算，许多业务环节实现了网上操作，人工现场参与越来越少。互联网打破了时间和地域的限制，为企业创造了可观的价值。在受益于互联网的高效和便利的同时，企业也需a要时刻防范网络入侵和应对信息泄漏造成的损失和负面影响。因此企业的内部控制必须做出相应调整以适应网络时代的特点。

COSO内部控制整合框架为企业识别网络风险、管理网络风险和实施控制活动提供了有效的方法，指导企业从控制环境、风险评估、控制活动、信息和沟通、监督五个方面的内控要素来分析网络风险，构建具备安全性、警惕性和可恢复性的网络风险内控体系。

1 网络风险的控制环境

网络风险控制环境是一套标准、流程和结构，能够为组织实施网络风险内部控制提供基础。企业的董事会和管理层应将实现安全性、警惕性、可恢复的网络风险管理机制设定为网络风险管理的首要目标并确保其在企业内执行顺畅， 保证部署足够的资源来保护重要的信息系统，制定适当的措施应对网络风险。由于大多数管理层成员的网络和信息技术知识不足，在了解本企业网络风险概况和应对不断变化的网络风险事件时应积极寻求专业人士的帮助，充分认识信息技术对组织流程和目标的影响；在对企业的资源进行分配时，根据风险评估的结果设定风险承受水平，保证将足够的资源用于保护对实现企业目标至关重要的信息系统。

2 网络风险的评估

网络风险的评估是针对影响企业目标实现的网络风险进行的风险识别和风险评估活动，帮助企业根据风险的严重程度和发生的可能性制定相应的控制程序。面对内外部的网络风险，企业的风险评估可以通过评估其对实现组织目标存在的不利影响和事件发生的可能性这两方面来进行。

①目标识别：评估企业的网络风险首先要评估信息系统对企业实现目标的潜在影响确定其价值，通常影响越大价值越大。COSO整合框架提供了企业的五类关注点：即经营目标、外部财务报告目标、外部非财务报告目标、内部报告目标和合规目标。企业的管理层和重要利益相关方应引导风险评估过程，在业务和信息技术人员的高度配合下，根据企业目标确定需重点保护的关键信息系统，确定企业可接受的风险水平。②对确定的关键系统的风险进行全范围的识别和分析，评估网络风险的严重程度和可能性进而决定如何管理风险。在此过程中企业要重点关注容易遭受攻击的信息系统及可能发生的攻击行为，对这些行为建立预警机制。通过识别攻击者的行为和方式，所用的技术、工具和流程，企业可以更好的预测风险，修补潜在的网络漏洞，设计有效的控制措施，在攻击发生时减小或规避风险，以保证重要资产的安全。③网络风险评估是一个动态的持续的过程。内部的和外部的风险变化对内控体系可能造成重大影响。因此风险评估要预测这些变化并据此调整企业管理网络风险的相关控制。

3 网络风险的控制活动

网络风险的控制活动是指针对网络风险评估的结果，企业应当制定相应的政策和程序，将网络风险控制在可接受范围内。控制活动能防范、发现和应对网络风险，更有效的降低潜在的网络漏洞对实现企业目标的影响。企业可按层级建立多层控制防线，防止攻击者在击破第一道防线后继续侵入信息系统或可以减慢入侵者的入侵速度。

在多层控制防线中，可运用的方法包括：①预防性和发现性控制相结合：有效的预防性控制使攻击者无法进入企业内部信息系统或可以制造障碍延缓攻击者的攻击速度，企业可及时发现并尽早采取措施修补漏洞，可以评估潜在损失，进而完善现有措施以预防和发现未来可能发生的类似攻击。②信息技术一般控制：与其他业务控制相联系的信息技术一般控制会帮助预防和发现网络入侵，使企业面对入侵时具备快速反应和恢复能力。企业应制定在发生网络攻击时应得到通知的人员名单，使相关人员能快速采取进一步措施降低风险。

4 网络风险信息的形成和沟通

信息是企业决策的基础，包括内部信息和外部信息，贯穿于网络风险内控的各个环节。企业应将已经识别的相关高质量信息要求及相关风险分析和应对措施记录成正式的文档，保证流程和控制活动一致性，避免因人员的流动产生执行的偏差。信息的来源包括：①企业内部产生的数据，企业应具备从内部产生的大量数据中生成及时的、相关的、高质量的完整信息的能力，否则企业无法采取恰当的网络风险控制措施。②除了内部信息，企业也可从外部获得数据，包括：a同业组织信息：由于同行业中各个公司的信息系统的价值和运用的技术是相似的，企业可通过与同行业组织共享信息、共同预测网络事件发生趋势，网络攻击行为的方式等，帮助企业预防和发现网络风险事件；b获取政府等外部机构的数据；c外包服务供应商的数据：如果企业将部分业务或流程外包给其他机构，为实现共同的外包服务效益，可将双方相关信息共享。当一方出现影响另一方运营的风险事件，共享与该风险事件相关的信息可以增强双方的快速反应和恢复能力，帮助识别和控制网络风险。

企业信息的质量依赖于有效的数据治理。企业应明确责任和义务，遵循数据治理的相关原则，保护数据和信息避免未经授权的访问和修改，从而保证信息的质量。被识别的信息应能无障碍地传递到企业内部控制的各个环节，包括：①全体员工：自然人具有的一些社会特性，如信任他人、好奇心等使其成为网络风险内控链条上的最薄弱的环节，网络攻击者善于利用人的这些天性，通过发送邮件、赠送免费移动设备等方式，只要员工在企业网络中点击或使用了这些设备，攻击者就可以成功入侵。针对这些情况比较有效的办法是定期开展全员网络安全培训，提升全体员工对网络风险鉴别的能力和网络安全责任感，降低攻击者从普通员工入手开展网络攻击的可能性。培训可以采取专题讲座，例行培训，网络入侵热点问题培训、在企业范围内发布消息等形式，使网络安全信息及时有效地传递给每个员工。②网络风险监管责任人，包括企业的管理层成员、网络信息技术人员等。管理层成员的任务是选择、执行和部署内控，保证内控信息在企业内部共享。网络信息技术人员除在技术上保证信息系统的运行和安全外，还需生成和维护正式的网络控制文档。支持网络风险控制管理目标的正式文档是提升企业管理网络风险能力的有效渠道，也是企业评估控制设計和实施有效性的途径，是保护企业信息系统的有效有段。③董事会。董事会在网络风险控制体系中扮演着重要的角色：通过了解影响企业目标的网络趋势，认识网络风险，设定风险承受度，确定实施控制措施，明确对管理层所确立的风险应对流程和程序的期望。因为大部分董事会成员对于网络和信息技术的相关知识是有限的，网络技术人员或聘请外部专家利用相关信息技术框架和标准，将技术性很强的内容转换为即使是没有专业背景的人员也可以理解的内容就显得十分重要，只有概念清楚了，董事会和管理层才能实现有效沟通，才能保证董事会履行网络风险控制监督职责。董事会层面的沟通除定期进行的网络风险讨论外，也应建立对临时出现的重大网络风险事件与管理层的沟通渠道，董事会可依据管理层提供的相关高质量信息在进行外部沟通前做出迅速反应。④外部机构：包括所有者、客户、供应商、银行、政府机构和其它外部机构。从外部到企业内部的沟通能影响网络风险评估和控制活动；从内部到外部的沟通能向相关方传递与网络事件、活动相关的信息，或者其它可能影响外部相关主体与企业互动的情况。在这些沟通过程中，企业会获取有价值的信息。需要注意的是，企业要加强向外部提供信息的控制，积极的信息可以塑造良好的企业形象，是企业具备可恢复力的一种表现；反之不受控的信息会被其它组织利用，会对企业造成负面影响。由此可见风险管理的标准、制度和流程是多么重要。

5 网络风险相关控制设计及执行的监督

为了减少潜在网络风险，组织应对控制活动的设计和执行的有效性开展持续评估和单独评估，确保控制活动有效并持续进行。由于网络风险管理的专业性使然，在监督过程中专业人员的参与十分必要，企业也可聘请外部专家进行协助。对于有外包服务供应商的企业，监督活动还需要延伸到有共享数据的外包服务供应商的网络。对这方面的监督所需信息，企业可以直接从服务商处获取，如审计报告等，也可考虑其它途径，目标是确保供应商的网络具备安全性及警惕性。

监督活动的有效性能保证企业在面对可能影响其目标实现的网络风险发生变化时，能更好的部署内部控制，保证网络风险的变化是可控的、能预见的。

企业对监督活动中发现的问题应及时进行评估，并及时沟通缺陷，如有重大事项应向高级管理层和董事会报告。通过对问题的有效沟通，企业需要分析产生问题的根本原因并修正控制活动，这也是是实施有效的整改活动的前提。

互联网已渗透到现代生活的各个角落。信息技术的发展使企业时时刻刻地暴露于网络风险之中。如果用被动的方式管理网络风险，遭受网络攻击后产生的后果将非常严重，有可能导致企业经营萎缩甚至破产。技术的发展、企业的创新、黑客手段的成熟都使网络的风险管理变得越来越困难。企业应加强对网络风险管理的重视，适当增加投入，以COSO内部控制整合框架为指引，建立具备安全性、警惕性和可恢复性的信息系统，以实现网络风险内部控制的目标。

参考文献：

COSO风险管理 第4篇

按照COSO的框架理论, 应该重点关注内部控制的五大因素:一是内部控制环境, 银行要建立完善的公司治理结构, 使各层次工作人员了解内部控制的重要性及自身在内部控制过程中的作用, 并形成银行内部控制文化;二是风险认定与评估, 银行必须能够认定影响银行实现其目标的重大风险, 并对之进行持续监控;三是控制措施与职责分工, 银行应建立适当的控制结构, 明确每一业务层次上的控制措施, 实行适当的职责分离;四是信息与交流, 银行机构应确保内部财务数据的可靠性、及时性;五是监督与纠正, 银行应当由独立、受过良好训练并具有合格工作能力的人员对内部控制制度进行有效而全面的内部审计。

一、商业银行内部控制的缺陷

(一) 内控优先理念缺乏, 内控独立性不强──决策环节失灵

一方面, 内控系统理论研究滞后, 无法指导实践, 在内控对象上是补救型为主而不是预防型;在内控主体上是突击审计为主而不是常规审计;在内控程序上是单一程序而不是复合程序控制;在内控制度建设方面是无效的权力制衡和非有效的制度执行和风险监控。另一方面, 内控意识薄弱, 内控优先理念缺乏。由于国内商业银行所提倡和实践发展理念的核心在于规模崇拜和速度崇拜。在此理念下, 商业银行一味的追求业务规模和发展速度, 忽视风险管理和内部控制;拼命发放贷款, 却疏于管理;过于重视营销, 而轻视内控, 这些做法虽然可以带来业务规模的迅速扩张, 但潜在的风险隐患会越积越深。

(二) 激励机制不合理, 逆向选择问题严重──建设与管理环节失灵

为了促进业务的快速发展, 各家银行均对其分支机构制定并实施相应的激励考核机制。不过, 大多数银行推出的激励考核机制侧重于对业务发展的奖励, 基本上不考虑内控建设情况。在有些情况下, 甚至于不惜打擦边球, 钻制度空子, 将内控优先理念抛在一边, 从而造成内部控制难以适应业务的快速发展, 留下风险隐患。就目前国内银行业的激励约束机制来讲, 其出发点是好的, 但由于考虑不周, 未将内部控制纳入考核范围, 不可避免产生逆向激励和道德风险。

(三) 内控制度执行不力, 道德风险普遍存在──执行与操作环节失灵

内部控制有效运行的前提是商业银行制定出健全的内部控制制度并确保这些制度得到充分执行。如果制度得不到执行, 再健全的制度也只能是形同虚设, 起不到任何防范风险的作用。2007年, 中国银监会颁布了《商业银行内部控制指引》, 各商业银行都加强了自身的内控建设, 基本建立了渗透到商业银行各项业务过程和各个操作环节, 覆盖所有部门和岗位的内部控制制度。但是各类案件仍屡有发生, 究其原因就在于很多银行的分支机构并未认真执行这些内控制度从而造成这些控制措施流于形式。

(四) 监督约束机制缺乏, 内部稽核力量薄弱──监督与评价环节失灵

关键人员作案给银行造成的损失要远远超过一般操作人员。因为关键人员往往拥有一定的人、财、物权, 有更多的机会接触重要凭证和印章, 也就有更多的作案机会。鉴于此, 国外银行大多都建立了针对关键岗位及人员的更为严格的监督约束, 比如人员轮换和强制休假制度、专门的内部稽核 (审计) 。但从国内的情况来看, 大多数银行在赋予关键人员特殊权力的同时, 并未建立起强有力的监督约束机制。一方面, 人员轮换和强制休假制度尚未推广;另一方面, 内部稽核 (审计) 侧重于对基层操作人员的稽核, 忽视对关键人员 (尤其是管理人员) 的审计。无论是稽核频率, 还是稽核范围上都远不能形成对关键人员的有效威慑, 从而为关键人员作案提供可能。

(五) 内控责任制缺失, 责任追究不当──持续改进环节失灵

为确保各项内控制度落到实处, 保障内控体系得到持续改进, 商业银行必须建立完善的内控责任制。其目的就在于通过责任追究的形式增加人们违法违规的成本, 从而促使相关各方尽职尽责, 认真执行各项内控制度, 确保内控体系有效运行。但目前国内银行业的情况却是内控责任制的缺失。在此情况下, 由于不承担责任, 相关部门和人员也就失去了严格执行内控制度、维护内控有效性的动力和压力。

二、建立完善的内控体系

(一) 建立独立的内控体系, 增强内控机制的决策能力

商业银行应尽快建立在内控对象上以预防型为主, 在内控主体上以常规审计为主, 在内控程序上是复合程序控制, 在内控制度建设方面是有效的制度执行和风险监控, 在内控机制上是同步管理的健全独立的内控体系。纵观我国商业银行存在的操作风险、违规经营、大案要案等问题, 大多与权力过分集中、违规越权、缺少内部监督和制衡机制有关。因此, 为了有效防止权力过分集中, 应提高决策制衡机制的作用, 并明确经营方针, 促进内控系统的有效运行;二是制定各种管理政策。它包括信贷“三查”, “贷、审、查”三分离, 资产负债管理和信贷管理政策等;三是合理的授权分责。商业银行应当按照各自经营活动的性质和功能, 建立符合国家有关法律法规的内部“分级分口”管理和“授权有限”的管理制度, 针对部门的工作性质、人员的岗位职责, 赋予相应的工作任务和职责权限。各级管理操作人员要在各自岗位上, 按所授予的权限开展工作, 并对各自职责范围的工作负责;四是恰当的部门岗位职责分离, 这是内部控制独立性的具体体现。合理的职能分工和恰当的责任分离能够使各部门、各岗位人员各司其职, 在各自的工作范围内完成相应的任务。同时一项任务不由一个部门或一个人从头至尾地完成, 而是互相配合、互相监督地完成, 保证各个工作环节的完整和安全;五是提高内控机制的建设。下一级分支机构的审核应由上级内控部门以常规和特别审计来完成, 内控部门直接向上一级机构的董事会和监事会汇报审计结果。

(二) 建立有效的激励机制, 解决逆向选择问题

在激励机制方面, 我国商业银行目前主要实行的是官本位的激励机制, 主要是通过行政级别的升迁而不是经济利益来实现激励, 从而造成银行管理层忽略长期利益, 注重短期绩效。而且, 国家给予商业银行经营者很大权力的同时忽略了给予相应的约束, 经营者滥用权力。要解决这个问题就首先要打原有的激励机制, 可以从以下两个方面着手:一方面必须建立有效的激励机制。合理的绩效评价制度和有效的激励制度, 是使管理者和员工的行为与银行的经营成果紧密结合、确保落实银行经营目标的有效保障。由于存在信息不对称、指标不一致和激励不相容等问题, 银行员工通常表现为工作不努力, 也就意味着没有动力控制操作风险。因此银行必须设计有效的激励机制, 使银行员工在追求个人利益最大化的过程中实现银行的利润指标。所以我们以报酬激励作为防止银行员工逆向选择最主要的手段。另一方面, 依据审慎会计原则加强透明度建设, 有效运用由内外审计人员所做出的工作指导, 在绩效评价的基础上, 建立起董事、经理人员的薪酬与银行绩效和个人业绩相联系的激励机制, 以鼓励董事勤勉尽责, 保持经理人员的稳定。

(三) 完善用人机制, 控制道德风险

银行员工的素质高, 那么其认识问题的能力、分析问题的能力和解决问题的能力就强, 做出更有决策的可能性就高, 做出错误决策的可能性就小, 从而造成的操作风险就小。同时, 银行员工的道德素质与员工的腐败以及道德风险有着较为密切的关系, 道德素质越高, 银行员工发生欺诈、参与腐败活动以及产生道德风险的可能性就低, 银行面临的操作风险就会大大减少。完善用人机制, 提高银行员工素质要从两个方面入手:第一, 招聘具有良好素质的新员工;第二, 对已有员工进行持续的培训, 以提高他们的素质。

(四) 完善内部稽核机制, 加强对关键岗位及人员的监督

完善内部稽核机制最核心的原则是保证稽核工作的独立性和权威性。银行的稽核活动要独立于银行的日常内控程序, 以此保证稽核的客观性和公正性。为完成这一重任, 内部稽核部门必须具备很强的独立性、权威性和专业性。独立性要求内部稽核部门可以不受干扰地独立开展审计稽核, 并有直接向董事会汇报的权利。该部门负责人的聘任和解聘必须经过董事会或监事会同意, 以确保其工作不受来自高级管理层的行政干扰。权威性则指内部稽核部门在内部控制的监督评价上享有绝对的权威, 对于其发现的问题, 相关部门必须在指定期限内予以整改。而专业性对内部稽核部门内审人员的专业水平提出要求, 这些人员必须具有从业资格, 熟悉银行经营管理、金融企业会计制度及风险管理等相关知识, 并具备一定的计算机能力。并建立了针对关键岗位及人员的更为严格的监督约束, 并保证其落实到位。

(五) 实行人本控制, 严肃追究相关人员的责任

商业银行要健全内控机制, 确保内控机制有效, 必须加强对经营管理人员的行为和行为绩效的监控和管理, 即人本控制。人本控制的核心主要是四个方面:一是保证素质, 既保证从业人员的素质符合行业特点, 又能胜任本行业工作的思想道德、文化知识和业务技能;二是规范行为, 就是要建立严格的业务操作规程, 强调按章办事, 引导行为人对自己的行为负责, 把个人目标与团体目标统一起来。同时, 要严格责任追究, 对行为不规范、操作不规范的人员, 以及相关知情人和领导人都要及时追究行政和经济责任, 并予以公开曝光, 以维护行为规章的严肃性, 培养职业道德规范;三是激发潜能, 让人的行为既符合政策框架, 又能充分发挥人的聪明才智;四是道德惩戒。道德惩戒是强调每一个人都对自己行为后果负责。商业银行现在很多惩戒不足以使行为人感到害怕, 这样违规者就会前赴后继。只有这样, 才能有效防范商业银行人员的道德风险, 把制度缺陷带来的风险控制在最小的范围, 将防范和化解金融风险的关口前移到风险的源头。

摘要：近年来, 我国商业银行多次发生涉案金额巨大、社会影响恶劣的金融犯罪, 银行业开始逐步探索建立符合我国特色的内部控制体系。为探索商业银行内部控制对金融犯罪的防范作用, 本文根据COSO报告, 从内部控制的角度剖析了银行内部控制风险管理面临的问题, 并对利用内部控制防范金融犯罪提出了建议。

关键词：COSO框架,商业银行,风险管理

参考文献

[1]王留根.商业银行内部控制评价综合模型构建[J].财会通讯, 2010 (, 5) .

[2]朱勤丰.构建商业银行内部控制的动态运行机制研究[J].财会研究, 2010 (, 4) .

COSO风险管理 第5篇

专业论文

COSO 内部控制框架在施工企业的应用研究

COSO 内部控制框架在施工企业的应用研究

摘要：建筑业是国民经济的支柱产业之一，建筑施工企业是建筑市场的经营主体，担负着向社会提供建筑产品的重任。然而，目前我国施工企业的总体水平不高，距离现代建筑生产经营的要求有较大差异，许多企业仍采用传统分散经营、“小而全”的管理模式，沿用落后的施工工艺和粗放的管理方法，风险管理缺失，导致出现工程质量差、物料消耗高、经济效益低等问题。本文基于美国COSO内部控制框架的五大要素，结合施工企业的特点，分别从施工企业的控制环境、风险管理、控制活动、信息与沟通及监督方面进行论述，提出了一些管理方法、工具，以对施工项目管理水平的提高起到促进作用。

关键词：施工企业 COSO报告 内部控制系统 风险管理

一、COSO内部控制框架

美国政府为了加强对市场的监管，出台了内部控制及公司治理的相关措施，其中COSO委员会于1992年提出、并于1994年修改的《内部控制整合框架》将内部控制定义为由企业董事会、管理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。内部控制由控制环境、风险评估、控制活动、信息和沟通以及监督这五个要素构成。上述三类目标是企业的努力方向，而五个要素则是实现目标的必要条件，二者相互关联。五个要素之间相互协调，共同构成对不断变化的环境做出动态反应的有机整体。进入21世纪后，风险管理备受全球关注，COSO委员会于2004年发布了《企业风险管理整合框架》，包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监督八个要素。我国于2008年发布了《企业内部控制基本规范》，该规范中对内控的描述与《内部控制整合框架》基本相同。

二、施工企业的控制环境

内部控制在施工企业具有广泛的适用性，然而，目前我国施工企业的内部控制还相当薄弱，主要表现在内部控制环境差，风险评估意

最新【精品】范文 参考文献

专业论文

识淡薄，控制活动不严密，信息与沟通不流畅以及监督检查流于形式这五个方面。从我国施工企业内部控制的现状来看，构建一个理想的内部控制体系势在必行。控制环境是五个要素中最基本的要素，被视为其他四个要素的基础。施工企业的控制环境主要包括以下四个方面。

（一）高管层的重视与支持

施工企业内部控制是企业管理中一项综合性很强的工作，涉及到施工工作的各个环节，影响每个职工的切身利益，尤其是对高管层权力具有约束作用。例如针对分包队伍管理这一问题，有些单位将该权利交由主管领导一人决定；若实施内部控制制度，则需要全员共同参与决策。因此，内部控制制度是否能够在施工企业顺利、有效展开实施，良好的控制环境能否在施工企业建立，高管层的重视和支持起关键性作用。

（二）与施工企业相适应的用人机制

施工企业的施工现场很多地处偏远山区，生活及工作环境比较恶劣，致使许多施工企业出现了关键技术员工辞职、离职的现象，严重影响施工生产的正常运行。如果企业缺乏完善的人事制度，企业的管理、运转，甚至生存都将面临危险。因此，对施工企业来讲，一套较为完善的人事制度，应该包括员工的录用制度、培训制度、考核制度、晋升制度以及激励和福利制度等。

（三）加强施工企业文化建设

文化是企业的灵魂，优秀的企业文化是一种无形的力量和源泉，能够引导每一位员工以良好的精神面貌完成每一项管理和控制工作。施工企业的流动性决定了其企业文化的特殊之处。施工现场文化主要体现为文明施工建设，主要包括规范现场的场容管理，保持作业环境整洁卫生；做好现场物资、机械、安全、技术、保卫和消防等方面管理；施工现场各种标识牌和标语的管理；员工娱乐设施管理，减少对居民和环境的不利影响等。施工工地的文明施工水平是该项目工地乃至所在企业各项管理工作水平的综合体现，也是施工企业文化特色的集中表现。

（四）合理、高效的施工企业组织机构

最新【精品】范文 参考文献

专业论文

施工生产的单件性、露天性和流动性的特征，使施工企业的组织形式，尤其是现场组织形式，处于动态组合状态。面对日益复杂多变的市场环境，组织机构的设置应有利于企业走向市场，同时有利于增加企业经济效益。

三、施工企业的风险管理

施工企业常见的风险类型包括经营风险、管理风险以及财务风险等方面。施工企业应树立风险意识，分析风险的类别及其特点，划分风险的责任范围，针对各个风险控制点建立有效的风险识别、评估、响应和监控等风险管理流程系统。通过各种具体措施，缩小风险范围，降低风险系数，明确风险目标，加强管理，提高工作效率，减少风险损失，保证施工生产的正常运行。

施工企业风险管理的循环一般包括四个环节。（1）风险识别环节，应分析工程项目风险，识别风险来源。（2）风险评估环节，应根据项目风险的严重性，发生的可能性、可控性来评估风险。（3）风险响应环节，应确定工程项目风险的应对措施。（4）风险控制环节，应建立风险预警系统、制定应急计划。

四、施工企业的控制活动

施工企业内部控制活动的关键控制点主要包括项目资金、项目采购、工程质量、工程成本以及工程项目资源。

（一）项目资金的内部控制

施工企业的流动性及投资的巨大性，决定了资金控制除了授权批准制度以及不相容职务分离外，建立资金结算中心模式更有利于整合遍及全国乃至海外的众多项目资金。

（二）项目采购的内部控制

建设工程项目成本的70%左右均为材料成本，因此降低材料成本是降低生产成本的关键所在，而要降低材料成本，材料采购是最关键的环节之一。根据世界银行贷款项目的货物采购等有关招标采购文件，并结合我国施工企业的实际情况，施工项目物资采购的一般程序为确定采购计划、采购方式、签订合同、执行合同、物资验收以及资料归档。

（三）工程质量的内部控制

最新【精品】范文 参考文献

专业论文

工程质量是企业的生命，且工程质量又与工程安全密切相关，因此推行全面质量管理，建立全面质量管理体系，采用科学方法对工程质量采用“一切用数据说话”的基准进行判断，才能确保工程施工质量。

（四）工程成本的内部控制

施工项目成本费用管理效率的水准对施工企业的绩效改善和持续发展极其重要，应实行项目全面成本管理责任体系，将材料控制、劳动控制、机械设备控制、项目间接费控制等方面作为实施重点。

（五）工程项目资源的内部控制

项目资源的内部控制，即各生产要素的管理，一般分为五个阶段，即投标、签约阶段，施工准备阶段，施工阶段，验收、交工与竣工结算阶段，用户服务阶段。项目资源的内部控制是一个综合管理的过程，是优质、高效建筑产品的诞生不可省略的过程之一。

五、施工企业的信息与沟通

信息沟通的方式很多，施工企业一般通过财务信息系统、内部报告系统进行沟通。

（一）财务信息系统

目前，施工企业实行的是财务多级核算模式，具体表现为各个施工队会计代理报账至各个项目部；各个项目部将其财务报表上交各个分公司；再由各个分公司将其财务报表上交集团总公司。施工企业应结合企业流程再造的思想对企业的组织和业务流程进行重新审视，建立与企业分散施工特点相符的组织结构。同时，在现有的已实施会计电算化的基础上，依托网络技术逐步推进企业内部所有核算单位的会计信息的集中管理模式，逐步改变目前实行的多级管理核算模式（见上图）。

（二）内部报告系统

常用的内部报告体系包括施工生产经营报告体系、资本经营报告体系、预算执行报告体系等三大体系。具体地，施工生产经营报告体系包括财务状况分析报告、项目经理述职报告、施工生产安全报告、施工生产经营报告以及施工质量控制报告；资本经营报告体系包括筹资及其成本报告、所得税报告以及对外投资报告；预算执行报告体系包括收入中心预算执行报告、成本中心预算执行报告、费用中心预算

最新【精品】范文 参考文献

专业论文

执行报告、利润中心预算执行报告以及投资中心预算执行报告。

六、施工企业的监督

在施工企业内部控制的监督过程中，内部审计和自我评估两项职能发挥着重要作用。

（一）内部审计

施工企业的内部审计既是企业内部控制的一个重要组成部分，又是监督企业内部控制是否严格执行，促进内部控制制度不断完善的重要力量。内部审计主要包括严格审计程序，规范审计行为，确保审计质量；合理设置审计机构，提高内部审计的独立性与客观性；构建信息化方式下，内部审计监督新模式、新方法；合理配备审计人员，提高审计人员素质等方面。

（二）自我评估

在进行内部控制自我评估，编写内部控制自我评估报告时，应就以下八个方面的内容进行披露。（1）声明公司董事会对建立健全和有效实施内部控制负责，并履行了指导和监督职责，能够保证财务报告的真实可靠和资产的安全、完整。（2）声明已经遵循有关标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估。（3）对开展内部控制自我评估所涉及的范围和内容进行简要描述。（4）声明通过内部控制自我评估，可以合理保证公司的内部控制不存在重大缺陷。（5）如果在自我评估过程中发现内部控制存在重大缺陷，应披露有关的重大缺陷及其影响，并专项说明拟采取的改进措施。（6）保证了已披露的内部控制重大缺陷之外，不存在其他重大缺陷。（7）自资产负债表日至内部控制自我评估报告报出日之间，如果内部控制的设计与运行发生了重大变化，应说明重大变化情况及其影响。第八，依法披露的内部控制自我评估报告，经董事会审议批准后方可公布。

参考文献：

1.Kevin Buehler，Andrew Freeman，Ron Hulme.Owning the Right Risks[J].Harvard Business Review，2008，（09）.2.Keith Wade，Andy Wynne.控制自我评估理论及应用[M].北京：中国财政经济出版社，2008.最新【精品】范文 参考文献

专业论文

COSO风险管理 第6篇

摘 要 文章通过我国《企业内部控制基本规范》与COSO报告的比较，总结了我国《企业内部控制基本规范》及配套指引的主要特点，并结合目前實际情况提出了完善我国企业内部控制评价制度的个人建议。

关键词 内部控制 外部审计 评价制度

一、引言

2008年6月28日，财政部、证监会、审计署、银监会和保监会联合发布了《企业内部控制基本规范》；2010年4月26日，上述有关部门又联合发布了《企业内部控制配套指引》，从而标志着中国企业内部控制法制化体系已初步形成，中国企业在内部控制制度建设方面取得了决定性成果。本文拟通过对我国《企业内部控制基本规范》与COSO报告之比较，分析与我国企业内部控制的异同，对我国内部控制建设情况进行总结，为进一步完善我国企业内部控制建设提出合理建议。

二、我国《企业内部控制基本规范》与COSO报告之比较分析

1．内部控制的认识比较

COSO报告认为，内部控制是由董事会、管理层和员工共同设计并实施的，旨在为实现组织目标提供合理保证的过程。COSO报告认为内部控制是一过程，是实现目标的手段，是与管理过程融合在一起的，是一个不断发现和解决问题的循环往复的动态过程。内部控制的有效性也只是这个“动态过程”中某个时点上的一种状态。我国《企业内部控制基本规范》所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

2．内部控制的目标比较

COSO报告指出，内部控制是为实现以下三类目标提供合理保证：经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性。为应对未来外部环境变化给企业带来的风险，新COSO报告又增加了战略目标。我国《企业内部控制基本规范》指出内部控制旨在实现以下五类目标：企业战略；经营的效率和效果；财务报告及管理信息的真实、完整；资产安全；遵循国家法律法规和有关监管要求。可知，《基本规范》借鉴了COSO报告的目标，同时考虑到我国国有大型企业比重大、国有资产流失严重的国情，增加了资产安全目标，这是我国内部控制规范对COSO报告的补充。

3．内部控制的构成要素比较

COSO报告认为，为实现内部控制的有效性，需要五个要素的支持：控制环境、风险评估、控制活动、信息和沟通及监督。新COSO报告包含了八个构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。我国《企业内部控制基本规范》在形式上借鉴了COSO报告五要素框架，但同时进行了充实和丰富，在内容上体现了新COSO报告风险管理的八要素框架的实质，即内部控制和风险管理日益融合、风险导向成为内部控制未来发展方向的趋势。

4．内部控制的责任主体比较

在COSO报告下，管理层对内部控制负主要责任，不但要向董事会下属的审计委员会报告，还要评估内部控制的有效性并对外发布内部控制报告。我国的《企业内部控制基本规范》对内部控制的主要责任主体的责任分别进行规定：事会负责内部控制的建立健全和有效实施；监事会对董事会建立与实施内部控制进行监督；经理层负责组织领导企业内部控制的日常运行。在COSO报告中，内部控制的责任主体主要是管理层而我国《企业内部控制基本规范》却强调了董事会对内部控制的重要责任，而且更加明确地规定各责任主体对内部控制的责任，使治理层和管理层的责任分工更加明确。

5．内部控制的外部审计比较

在COSO报告下，审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计，既要评价管理层对内部控制的评价，又要对内部控制的有效性发表意见。在我国，执行《企业内部控制基本规范》的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计并出具审计报告。可见，我国《企业内部控制基本规范》和COSO 报告都强制要求对内部控制进行外部审计。

三、完善我国企业内部控制评价制度的建议

《基本规范》及配套指引主要是在借鉴COSO报告的基础上，结合我国的具体情况进行适当修改完善后形成的。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点，如何从宏观上有效地促进并引导企业提高内控水平，还必须建立一系列规范统一、具体明确、简明实用的《企业内部控制评价制度》，借以督促企业尽快务实地建立健全并持续改进内部控制制度。但至目前，如何建立中国企业内部控制评价制度，理论与实务界仍有诸多不同的看法。

本人认为应由证监会出台统一的内部控制指引，与《内部控制基本规范》相配合，以统一内部控制相关概念界定、内部控制评价目标、内部控制评价要素等。这些制度的协调统一是完善内部控制制度并使之有效运行的基础。在统一明确的制度指引下，上市公司能够通过建立健全内部控制评价体系，合理规避经营风险，保证资产安全，提高经营效率和效果。尽快统一内部控制自我评价制度和注册会计师核实评价制度，降低注册会计师执业风险，合理保证注册会计师的利益。建议借鉴美国的经验，将核实评价的范围限定为与财务报告相关的内部控制评价。

参考文献：

[1]COSO.COSO企业风险管理整合框架:中文版.大连:东北财经大学出版社.2005.

[2]丁宁,杨光浩.关于企业内部控制建设的国际比较分析.现代管理科学.2010(8).

COSO风险管理 第7篇

《行政事业单位内部控制规范（试行）》实施两年多来，高校内部控制工作有了进一步的完善和提高。但是，一些学校内部控制也还比较薄弱，本文从内控风险防范的角度，对高校内部控制中的关键风险点进行研究，以期促进高校内控体系建设。

一、高校内部控制发展的驱动因素

（一）COSO内控的发展

内部控制研究起源于美国。1985年美国会计、审计行业协会联合发起创建了“反虚假财务报告委员会”（Treadway委员会），该机构的主要目标是识别引发财务欺诈的原因，并提出建议。该委员会调查发现，近50%的财务舞弊案件与内部控制失败有关。在其建议下，成立了专门的组织机构（COSO委员会）对内部控制问题进行研究。COSO委员会自1992年成立以来，在内部控制方面的研究成果显著（见表1），在全球理论界和实务界得到应用、推广。

（二）国内高校内控的发展

在借鉴COSO框架的基础上，我国分别在2008年和2012年制定了《企业内部控制规范》和《行政事业单位内部控制规范（试行）》。2013年12月教育部发布通知，要求全国教育系统实施内部控制规范，从而加强教育经费监管，完善现代学校内部治理机制。2014年财政部会计司在全国范围内组织开展行政事业单位内部控制知识竞赛，在普及法规、提高内控意识方面发挥了重要的推动作用。2014、2015年各地会计继续教育内容中包含了《行政事业单位内部控制规范（试行）》。2016年1月浙江省财政厅、省审计厅、省人力社保厅共同制定了《浙江省人力资源和社会保障厅关于加强行政事业单位内部控制建设的通知》，共同负责全省行政事业单位内部控制建设工作。包括高校在内的行政事业单位，需要在2016年内完成内部控制自我评价并予以整改。本文通过对COSO内部控制五要素的研究，提出对高校内部控制关键风险点的自我排查，希望对此项工作的推动有所参考。

二、COSO内部控制

（一）COSO内部控制五要素

COSO内部控制由控制环境、风险评估、控制活动、信息与沟通、监督活动五要素构成（见表2）。

（二）COSO内部控制有效实施的前提

内部控制是一个动态且反复的过程，渗透于组织的各类活动中。内部控制的理论基础之一是委托代理理论。委托代理关系使得内部控制受到重视。内部控制起源于内部牵制，无论内部牵制还是内部控制均由人来组织实现。内部牵制理论认为：两个或两个以上人员或部门同时无意犯错的可能性较小，两个或两个以上的人员或部门串谋舞弊的可能性小于一个人或部门。

有效的内部控制是组织目标得以实现的合理保证，能提高目标实现的可能。但是，人为错误、固有不确定的判断、不可控事件的影响等，都可能对目标的实现造成影响。如果管理层凌驾于内部控制体系之上，那么内部控制体系都可能会失败。

（三）COSO的风险管理

COSO内控的核心思想是风险管理。每个主体都面临着来自内、外部的各类风险。风险会影响一个主体获得成功、参与行业内竞争、保持自身财务实力和良好声誉，以及保持其产品、服务、员工整体水平等方面的能力。风险管理是指由于未来的不确定性的存在，组织通过风险识别、分析、衡量、沟通和评价等一系列的控制措施，从而降低风险带来的不利影响。

三、高校内部控制风险管理

内部控制与风险管理相融合。高校要在已有的法律法规、规章及外部标准的范围内考虑风险容忍度，进行风险识别和排查。本文结合COSO五要素和高校组织、业务等特点，对高校内部控制的风险管理进行研究（见表3）。

当前高校内部控制建设相关工作正紧锣密鼓的展开，财政、审计、人社等相关部门需要对高校主要负责人、纪检检查部门、财务部门进行不同层面的政策宣讲和业务培训。各单位则根据要求，针对自身情况，健全和完善内控制度，并予以实施和评价。政府层面也可以通过政府审计、会计师事务所审计等第三方对各单位实施内控制专项审计，帮助发现内控缺陷，促内控建设的发展。

参考文献

[1]赵渊贤.治理机制与内控有效性及企业风险研究[M].北京:中国市场出版社,2015.

[2]教育部财务司.教育内部审计规范[M].北京:人民教育出版社,2010.

[3]李俊修,沈国强.教育审计工作手册[M].上海:上海社会科学院出版社,2009.

COSO风险管理 第8篇

一、跨国公司面临的风险

(一)国家风险国家风险主要包括两个方面:一是国家直接的违约行为,比如国家因政局不稳、政权更迭,宗教、民族冲突等不可抗力对跨国经营造成影响的行为;二是国家间接影响行为,即通过经济政策和法规的变动影响跨国交易活动,比如对外国投资及环境保护等方面设定法律限制。从母国来看,国家风险通常有禁运和制裁,以及对全球商务活动的管制;从东道国来看,国家风险包括战乱、 外汇和价格管制、没收征用以及一些限制性的经济政策。

(二)外汇风除跨国公司从事对外贸易、投资、借贷活动,不可避免地会在国际范围内收付大量外汇或拥有以外币表示的债权债务,因此外汇风险是跨国公司最常见的风险之一。汇率风险被认为是跨国公司面临的最主要的商业性风险,但与国家风险不同的是汇率风险具有一定的可预期性和可规避性,可以通过有效的风险管理措施部分甚至全部消除。

(三)文化风险各个民族有着不同的文化沉淀,有些国家民族优越感过于强烈甚至有种族歧视心理,这点如果不能得到好的解决,会使跨国公司陷入非议。

(四)税务风险由于各国税制结构和税收管辖权的差别,跨国公司经常会通过对企业的组织框架和经营活动的全球化布局来进行纳税筹划活动,以降低企业运营成本。但公司的纳税筹划中往往会涉及到东道国税法规定的灰色区域,对此企业和政府会有不同的解读方式,所以避税策略可能得不到当地税务机关的认可,从而使得税收筹划活动存在一定的风险。而且在目前全球经济衰退,各国财政资金紧缺的情况下,政府开始通过完善法规来加强对跨国公司转让定价的监管,这也给跨国公司的税务优化管理造成了一定的威胁。

二、COSO风险管理框架下跨国公司内部控制体系构建

图1总结了COSO风险管理框架的内容,即内部控制人员在对内部环境充分认识的基础上,通过有效的信息与沟通,实施一系列风险管理过程并对此进行控制和监督,从而合理保证四项内控目标的实现。COSO风险管理框架八大要素相互联系,但各自都有其对应的“关键点”,以下将具体阐述跨国公司各要素内控要点。

(一)构建全面风险管理文化理念与组织体系ERM框架指出,内部环境是内部控制所赖以存在和运行的基础架构,可以影响风险管理体系的建立和实施,而且其他要素也都要以内部环境为基础,所以内部环境的优劣直接影响到内部控制的实施效率和效果。内部环境所涉范围非常广泛,不仅涉及到整个风险管理框架的构建过程,甚至涵盖到员工每天的工作方式和态度。企业对内部环境的管理通常是通过制定一系列有关促进共同价值观和团队精神的政策和程序来进行,并以书面形式的企业文化手册的方式来表达。内部环境受企业历史和文化的影响较深,具体而言,其主要控制点包括主体的企业文化、风险容量、董事会监督、组织道德价值观等,所以跨国公司总体层面需要从企业文化和组织体系这两个方面构建优良的内部环境。

(二)渗透风险管理理念收益和风险的相互匹配决定了企业在日常运营、扩充业务种类、海外收购等提升股东价值的过程中都不可避免地面临不确定性,但风险具有双重性,既包含形成损失的可能性,也是收益形成的来源。风险管理并不是简单地考虑如何去避免风险,而是以更积极的态度去经营风险。风险偏好能够体现管理层对风险的态度,比如愿意承担哪种风险、最多能够承担多少风险、如何承担风险、对每份盈利愿意承担多少风险等。在确定了风险偏好的基础上,要对其量化以构建一套包含关键控制点的风险容量指标体系,如表1所示:

同时,要强化员工的风险意识,将风险绩效指标纳入个人目标中以构建“风险管理责任制”。风险管理不仅是涉及到事前、事中、事后全过程的体系,也是公司高层、中层与基层全员协作参与的过程。如果每个员工都能够居安思危危,保持高度的危机感,并为风险和机遇的到来做好准备,就能够促使企业更有效地运转。

(三) 建立基于事项的风险管理程序在营造了良好的内部环境并设定了系统的公司目标体系后,公司需要针对具体的风险点设定相应的控制策略进行管理,这就涉及到对具体事项的识别、对风险影响程度的评估及对风险应对措施的制定这三方面的活动,见图2。与之前的内部控制整体框架相比,ERM框架特别强调了要基于会影响组织目标实现的潜在事项来识别风险和机会,并认为对于有负面影响的事项应加以评估并制定相应的应对措施,而对于会带来有正面影响的机会事项,管理者可以将其反馈到战略和目标设定过程中。定义的事项分为两个类别,一是经济状况、自然环境、商业环境、时事政治、社会状态及技术变革等外部环境,二是生产基础设施、人力资源、业务流程及技术采用等内部环境,表2对内外部影响事项进行了列举。在风险管理程序中贯彻事项思想可以帮助公司回归风险事件的本源,从而能够更清晰地描述风险及其对经营业务活动的影响,并据此对事项发生的性质和可能性进行预测。

依据事项思想,企业对具体风险的认识起源于事项的识别,因此企业需要建立一个完善的识别机制。具体而言包括外部环境的识别、内部环境的识别和事项类型的划分。对于外部环境,企业可以根据自身所涉及的业务活动、 产品或服务的特点、所在行业等来辨识可能会影响目标实现的外部因素,尤其需要关注市场趋势及经济动向对公司经营的影响。对于内部环境,公司应首先对其业务循环进行划分,然后详细分析现有的价值链流程以了解实物流、 资金流及信息流情况,并在此基础上提取出影响所设目标实现的关键事项。最后还需要对识别出的内外部事项进行类型划分,即区分为对目标实现有负向消极作用的事项和有正向积极作用的事项。企业内外部影响事项如表2所示:

识别风险和机会事件后,跨国经营企业需要选取具有代表性的风险程度指标构建一个全面的风险评估体系以衡量风险发生的可能性和重要性。风险程度指标应尽可能合理地定量化,而对于无法量化的指标可以考虑采用标杆分析法、Delplli法或者分级描述法以科学地判定其对于既定目标的影响程度。

随后,在了解了相关风险和机会的影响程度和发生可能性的基础上,跨国公司应针对具体的评估结果采取应对措施。对于经常发生而且影响程度很大不确定性事件:会造成负向影响的风险要减轻并加以控制,建立灵敏的检测系统和对冲措施;会造成正向影响的机遇则要加以利用并拓展,结合自身优势适时把握机会。对于影响程度高可能性低又难以控制的偶发性事项:对消极性风险则可以考虑用分担的方式把风险转移到组织以外;对积极性机会则应加以收集并做好具有针对性的前期准备以保证不会错失良机。 应对经常发生但影响程度低的不确定事件:有反向影响的风险要严格加以控制,降低其发生的可能性;有正向影响的机遇则应择机利用,提高其发生的可能性及对目标的促进作用。而对于一些低度风险和机遇,由于发生的可能性和重要性都不显著,企业可以直接接受,但也需做好监控工作防止其对公司运营造成过多影响。风险评估的简单分类及对应的管理策略参见图3。另外,在对风险实施应对措施后,通常还要对剩余风险进行分析返回重新评估。

(四)设计高效内控流程对于规模庞大的跨国公司而言,设计高效内控流程首先应建立统一的信息系统总体控制制度,然后在该制度的指引下利用信息技术建立风险管理系统以实现对业务关键点的实时控制。信息系统内控制度应结合企业具体实际设置包括分工与职责、系统管理、 安全管理等控制要点。关于分工与职责,在企业采用信息技术控制时,可以通过设置安全口令控制来实现职责分离。关于系统管理:从信息系统管理层面来说,母公司要设立信息系统管理部负责公司总体信息化归口管理工作,各分(子)公司设立信息化领导小组,定期召开会议,听取、总结和指导本单位信息化工作,除对信息系统和信息资源行使管理职责外,信息系统管理部通常还要负责组织编制跨国公司信息化建设中长期规划;从信息资源管理方面来说,集团公司各职能部门、事业部、分(子)公司要定期梳理本部门管理的内部信息及需要其他部门提供的信息和需外购的信息,而信息管理部门则需要建立内部公共信息平台,实施信息集中和信息整合,采用统一标准接入、存储、 处理和发布各类信息;从IT一般性控制方面来说,信息系统应制定要包括数据访问管理制度、程序变更管理制度、系统运行制度;从信息披露业务控制方面来说,董事会秘书局会同财务部制订出定期报告编制和披露工作计划,相关职能部门按照披露工作计划及相关规定向董事会秘书局提供相关资料,董事会秘书局按照相关法律法规和上市地监管机构的规定编制定期报告。关于安全管理,公司应制定系统安全管理制度和安全防范措施,配备网络监控、防火墙、杀毒软件等必要安全措施,编制信息系统应急方案以保证系统正常运行。

其次,跨国公司还应成立全面预算控制体系,通过预算制定、预算执行、预算分析及考核等具体措施对有关事项的风险进行事前、事中和事后调控。全面预算一般按销售预算、经营预算,再报表预算的流程进行,全面预算体系中可以初步揭示企业下一年度的预计经营情况,根据所反映出的预算结果,预测其中的风险点所在,并预先采取某些风险控制的防范措施,从而达到规避与化解风险的目的。另外企业的全面预算管理体系的设计应与其所处的生命周期相匹配:通常来说,初创期应该以资本预算为基础, 成长期要以销售为起点,成熟期要以成本控制为基础,衰退期要以现金流量为起点。对于大型跨国公司集团总体一般处于成熟期,应以成本为基础,但对于新设的下属子公司,可能要拆分计算再予以汇总。

再者公司需要完善其业绩评价与激励机制,可以考虑通过合理设置股票期权激励机制使管理层及员工薪酬的发展与股东的长期利益想匹配。在业绩的衡量方面要综合采用财务指标和非财务指标,比如可以构建类似于平衡计分卡的全面评价体系,而在财务指标的选择上可以不局限于总资产利润率、销售利润率等盈利为基础的业绩计量方式,也可以加入市场增加值、经济增加值等直接与股东财富创造的业绩指标。在激励契约的设计方面,企业应防止管理人员的短视行为,设定长期的激励机制,以维护企业和股东的长远利益。

三、结论

全面风险管理和内部控制过程不只是公司董事会和管理层的职责,也受到其他人员的影响,因此跨国公司应将内部控制范围拓展到全部子公司和全体员工,实行全员全方位的风险管理体系。总公司和子公司都要设立专门的内部审计和风险管理机构,对各项业务的内部控制执行情况进行监督,检查和评价。子公司的内部审计和风险管理机构要向总公司的相应机构传递内部控制和风险管理报告,以帮助母公司实现对子公司内部控制的有效监控。公司的各部门和各子公司应制定适合其具体实际的内部控制政策与流程,并及时向相关人员传达这些政策及流程情况。当然信息的传达应能够符合成本效益原则,并能够清楚传达、适当应对及定期监控公司所面临的各项风险。

摘要：随着世界经济全球化程度的不断加深,跨国公司已经成为世界经济舞台上的主角。这种经营方式使企业在全球范围内实现资源共享,优势互补的同时,也带来了跨国经营的风险。本文主要分析了与国内公司相比跨国公司内部控制所面临的特有风险;在对内部控制理论和跨国公司风险进行分析的基础上讨论了ERM框架下跨国公司内部控制体系构建的要点。

COSO风险管理 第9篇

一、信用担保机构的风险分析

信用担保风险是指信用担保机构在担保业务过程中,由于各种不确定因素(主观和客观)的影响而遭受损失的可能性。由于经营管理水平、内控制度、操作流程以及从业人员的业务素质等方面不完善都会引起担保风险。来自担保机构自身的风险主要有:

(一)担保操作风险

操作风险有广义和狭义之分,广义的操作风险是指信用担保机构是否有能力在保本微利的情况下提供担保服务的风险。狭义的操作风险是指由于操作环节中的失误所引起的风险。这种风险来源于从业人员对担保业务不熟练或经验不足,对担保对象判断不准,担保条件把握不严,人为地为操作风险的产生提供了可能;还有从业人员在担保过程中违规操作甚至搞“人情担保”“关系担保”等从而导致担保资金的损失。

(二)犯罪风险

犯罪风险是在信用担保业务过程中由于犯罪行为而引起的风险。如:内部犯罪、信用银行骗取信用担保机构担保造成担保损失,担保从业人员与受保企业、贷款银行相互勾结套取贷款或担保,从而使担保资金蒙受损失。

除了来自担保机构自身的风险之外,还有来自中小企业的风险、来自政府部门的风险、来自贷款银行的风险、来自银保关系中权利与义务不对等的风险、来自担保法律制度不完善不健全的风险以及来自缺乏中小企业社会服务体系的风险。总之,信用担保行业是一个高风险行业,除了来自担保对象中小企业的风险之外,还受周围社会配套环境的影响。

二、COSO企业风险管理一整体框架

COSO是行业监管者及企业管理者最常使用的风险管理框架。COSO企业风险管理框架于2004年4月由美国COSO委员会正式颁布,“企业风险管理-整体框架”在美国及全球得到广泛推广和应用。

(一)COSO风险管理定义

企业风险管理是指处理那些影响价值创造或价值保值的事项风险和机会。COSO委员会认为企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项,并在其风险容纳量(Risk Appetite)范围内管理风险的,为企业目标的实现提供合理保证的过程。此框架要求企业管理者以风险组合的观点看待风险(taking an entity level portfolio view of risk)。COSO企业风险管理整合框架的三维短阵如图1所示。

(二)COSO管理框架的主要内容

1. 三种类型的目标

①经营目标;②财务报告目标;③合规性目标。

2. COSO企业风险管理框架要素构成

(1)内部环境(Internal Environment)。

内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理的其他构成要素的基础,为其他要素提供约束和结构。它影响着如何制定战略目标,如何识别及评估风险并采取行动,受企业历史文化的影响。

(2)目标制定(Objective Setting)。

设定战略层次的目标,为经营、报告和合规目标奠定了基础。任何一个企业都面临着内外部一系列风险,确定目标是有效地进行事项识别、风险评估和风险应对的前提。企业必须首先制定目标,在此之后管理层才能识别和评估影响目标的风险并采取必要的行动。

(3)事项识别(Invent Identification)。

管理层识别将会对企业产生有影响的潜在事项,若存在,要确定它们是机会还是风险,要求管理层对此进行识别与评估。企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素,而且可能在企业各个层面上出现,并且应根据对实现企业目标的潜在影响来确认风险。

(4)风险评估(Risk Assessment)。

风险评估能够使企业考虑到潜在事项影响目标实现的程度。企业必须制定目标,该目标必须与生产、营销、财务等作业相结合。为此,企业也必须设立可辨认、分析和管理相关风险的机制,以了解自己所面临的风险,并适时加以处理。

(5)风险反映(Risk Response)。

在评估了相关风险之后,管理层就要确定如何应对风险。企业风险管理框架提出对风险的四种反应方案:规避、减少、转移和承受风险。

(6)控制活动(Control Activities)。

风险控制活动是帮助确保管理层风险应对得以实施的政策和程序。控制活动贯穿于整个组织,遍及各个层级和各个职能结构。企业必须制定控制政策及程序,并予以执行,以帮助管理当局保证其控制目标的实现,其用以辨认并用以处理风险所必须采取的行动业已有效落实。

(7)信息和沟通(information&Communication)。

相关信息必须以某种形式并在某个时段被识别、获取和沟通,以促使职责的履行。围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。

(8)监督(Monitoring)。

内部控制活动必须施以恰当的监督,通过监督活动在必要时对其加以修正。监控是一个评价内部控制运行组织的过程。监控主要包括持续监控、单独评价、报告缺陷三个方面。

三、COSO框架下信用担保机构内部风险控制

内部风险控制是企业风险管理的基础。要做好企业风险管理必须使企业每个员工具有风险意识,培养风险管理文化,时时刻刻注意风险的存在。基于COSO风险管理框架,信用担保机构应从公司战略层、应用层、一般层做好内部风险控制。

(一)公司战略层

公司战略层面对风险的信念是在风险与收益之间的权衡与抉择,设定风险管理的基调与方向。公司风险管理理念和风险偏好影响公司的管理理念和经营风格,对于信用担保机构确定机构的风险偏好和管理理念至关重要。

在公司及战略层面应关注:①公司的风险偏好;②公司战略的期望收益应与风险偏好相协调;③管理层必须让所有员工了解本公司的管理理念并以身作则去执行;④建立与公司管理理念和经营风格相匹配的企业文化。担保机构在战略层次上首先塑造风险管理文化,其内容主要包括风险管理理念、风险控制行为、风险道德标准和风险管理环境。在风险管理文化建设中,要倡导和强化“全员的风险管理意识”,通过各种途径将风险管理理念传递给每一个员工,并内化为员工的职业态度和工作习惯;要在企业内部形成风险控制的文化氛围和职业环境,使企业能敏锐地感知风险、分析风险、防范风险。再次,确定公司的风险偏好及利润目标。确定是高、中还是低风险偏好,进而确定资金规模及资金来源,可政府投资、个人及团体企业投资;确定资金放大倍数,资金放大倍数越大风险越高。

(二)应用层风险控制

应用层风险控制是为保证担保业务过程的正常实施而设计的在担保过程中的控制措施,以防止赖保、坏账等情况发生,保证交易处理的准确性、合法性及适当授权。应用层在以下方面进行风险控制:

1. 担保业务操作管理实施总经理负责制

总经理在授权范围内对担保项目审批、担保代偿、追账都负有全部责任。总经理可授权业务经理负责审批、代偿及追账,各业务经理对总经理负责。以权责明确,各司其职,各负其责。

2. 建立审、保、偿分离制度

调查人员负责对申保企业的资信进行调查与评估,可与资信评估机构建立长期合作以得到专业的资信评估报告和结果,及早发现风险。调查人员应对资信调查的结果负责;审核人员在得到评估报告后负责担保项目的审批,对潜在风险要有风险评估报告,同时对审核失误负责;检查人员负责担保项目的保后监测、代偿和追账,应对其负责。这样可增强担保业务的操作的客观性和公正性,提高操作的透明度。

3. 担保限额审批制度

担保限额审批是风险评估与风险反应的体现。担保机构在总量控制的前提下根据申保企业的资信情况来评估担保项目的潜在风险,以确定符合条件担保项目的担保金额。企业如不能准时还款,担保机构要做好风险应对,及时转移和分散风险。

(三)一般层风险控制

一般层风险控制即基础层风险控制,是指做好企业内部信息沟通与监控活动。

1. 信息与沟通

担保机构内部一定要保证信息流通的通畅,调查人员、审核人员、检查人员要及时交流信息。避免因信息沟通不畅而造成审核错误、代偿及追账情况的发生。

2. 建立内部稽核和离职审计制度

稽核部门应定期对担保部门进行稽核,发现问题应及时提出意见和建议并采取补偿措施。同时在担保审批人员离职时,由审计部门对其履行职责情况进行审计,存在问题的应及时处理并追究责任,以促使职责的履行。

综上所述,风险管理是一个“动态过程”,风险管理是一个发现问题(Planning)、解决问题(Doing)、检查发现新问题(Checking)、作出反应并完善(Action)的循环往复的PDCA过程。对于信用担保业这个专业性极强的高风险行业,我们要充分估计担保机构在运行过程中面临的各种风险,做好风险防范,保证信用担保机构的持续、健康、稳定发展。

参考文献

[1]胡为民．内部控制与企业风险管理[M]．北京：电子工业出版社，2007．

[2]陈小红．中小企业融资创新与信用担保[M]．北京：中国人民大学出版社，2003．

[3]吴敬琏．如何解决中国担保行业的生存危机[EB/OL]．新华网，2004-10-28．

[4]梁丽香，谭中明．基于可持续发展的中小企业信用担保体系的模型及对策探讨[J]．学术论坛，2007，(2)．

COSO风险管理 第10篇

1 相关概念

1.1 COSO内部控制框架

1985年美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建反虚假财务报告委员会,旨在探讨财务报告中舞弊产生的原因并寻找解决之道,两年后成立了反对虚假财务报告委员会的发起组织委员会(The Committee of Sponsoring Organizations of the Treadway Commission,COSO),专门研究内部控制问题。1992年,COSO发布《内部控制整合框架》,简称COSO报告。COSO内部控制框架认为,内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成,它们取决于管理层经营企业的方式,并融入管理过程本身。其相互关系可以用其模型表示(如图1)。

1.2 预算管理

预算管理是组织在运作过程中重要的组织形式与制度[1],建立有效的预算管理、设计合理规范的预算管理流程,可以有效地规避监管死角,防止舞弊和腐败等现象,保证国家职能的执行,进一步提高科研所财务管理水平,规范内部控制,加强廉政风险防控机制建设。预算管理的基本业务流程如图2所示,具体包括预算编制、预算执行、预算考核3个阶段,每个阶段包括具体环节,各个环节相互衔接、环环相扣,从而实现组织经济活动的全面控制,任何一个环节出现问题都会影响到其他环节的实施。

2 科研所预算管理的特点

2.1 纳入政府预算管理体系

科研所预算管理被纳入政府预算管理体系,其中政府采购、项目管理等政府预算管理模块与企业收支控制为主的预算管理体系有较大的区别,预算管理的编制和审批程序一般结合政府预算管理审批制度采用“二上、二下”的流程。

2.2 预算内容涉及收支范围更广泛

科研所预算主要由收入预算和支出预算组成。事业单位收入来源多渠道,支出较复杂,收入包括科学事业费、财政补助收入、科研收入、下属单位上缴收入、技术收入和其他收入。支出预算包括基本支出和项目支出,其中,基本支出是指科学事业单位为了保障其正常运转、完成日常工作任务而发生的人员支出和公用支出;项目支出是指科学事业单位为了完成特定工作任务和事业发展目标,在基本支出之外所发生的支出。支出按照支出内容分为工资福利性支出、商品服务支出、对个人和家庭补助支出、其他资本性支出。

2.3 预算管理的目标侧重于社会效益

企业经营的主要目的是为了获取利润,因而企业实行预算管理的目的是为了控制成本、获取利润。而科研所以科研为主,具有非营利性质,社会效益的战略性比较强,项目运作与经济和社会发展关联性大,通过预算管理,将财政资金合理地分配应用于实现战略目标,并经过预算规划和预算执行确保组织运作方向及步调与战略目标相一致,从而使资源达到最佳配置和最有效的利用。

3 基于COSO内控框架分析科研所预算管理存在的问题

3.1 控制环境

3.1.1 对预算管理的重要性认识不足

预算管理是一项全面的、科学的管理工作[2],需要单位所有部门的参与和配合。科研所管理层普遍对预算管理的重视不足,只是把预算作为获得财政拨款的一项上报工作,预算管理主要体现在预算编制层面,财政拨款资金到达后,执行、监控、考核都没有相应的管理体系。另外,单位上下缺乏统一的预算管理观念,没有形成共同参与预算管理的共识。普遍认为预算编制只是财务部门的工作,主要是由财务部门负责,其他部门主要配合上报数据就可以,未予足够的关注与配合;缺乏足够的沟通和交流,信息流通不畅,导致信息不对称,财务人员在编制预算时缺乏基础数据,预算计划的合理性受到很大的限制,编制预算的可行性及合理性自然难以保证,埋下了预算可行性差的隐患。

3.1.2 组织结构不合理

科研所普遍采用了一种直线职能制的组织机构形式。这种组织机构虽然可以保证科研所正常的业务发展,但是随着科研所的快速发展,现行的组织机构存在管理层次较多、效率不高、决策速度慢的问题;而且,科研所的主要科研活动是开展项目研究,预算收支比重最大的就是科研项目收支,直线职能管理无法保证科研项目收支预算编制的全面性、合理性、完整性和业务的关联性。科研项目的预算主体应该是项目组,项目的主要参与成员都参与预算编制才能全面、完整地完成项目收支预算的编制,同时也为预算执行、预算调整的执行明确了责任主体。

3.1.3 人力资源政策不适应发展的需要

科研所长久以来都习惯“吃大锅饭”,“做多做少,做好做坏”工资都一样,对于预算管理内部控制的积极性不高,缺乏考核奖励机制,职工缺乏积极性,很多流程执行或者监管工作无法责任落实到人,因此容易出现“不做不会错,越做越怕错”、“事不关己,高高挂起”、工作相互推诿等现象。

3.2 风险评估机制

3.2.1 管理层缺乏风险意识

科研所虽然普遍员工整体学历很高、职称高,但管理层多为专业技术职称人员,普遍缺乏管理知识,对于单位风险认知度不高。而且传统观念根深蒂固,认为单位是国家机构,收入大部分都是财政拨款,只要个人不贪不腐就不会有什么大问题,更提不上对风险的管理层面。从管理层到基层职工,都认为完成上级主管部门交代的任务才是工作之重,对于单位经营管理、预算管理、内部控制等都没有过多的关注和配合。

3.2.2 缺乏风险评估制度

建立风险评估制度是降低内部控制风险的有效途径。要根据单位的经营环境、决策目标、战略发展和经营状况,收集经营风险和财务风险的相关资料,综合考虑风险发生的概率和影响,建立风险评估机制,并合理有效地控制风险,及时提醒管理层关注风险,力争做到损失最低化,防患于未然。

3.3 控制活动

控制活动是指为确保事业单位风险管理策略有效执行而制定的制度和程序。事业单位的内部控制活动与业务活动是紧密相连的,涉及各个管理层级和职能机构,科研所普遍存在预算管理机制不完善的状况。

3.3.1 预算编制制度及标准不统一、不科学

预算编制的完整性、合理性、科学性直接决定了预算管理实现预算控制、沟通协调、绩效评价等功能的完整性、有效性。没有统一的预算编制制度及标准,会导致各部门上报的预算数据没有统一性,各预算脱节,编制不合理,无法公正有效地执行、控制和考核。预算编制的范围应该包括事业单位所有的收支和政府采购需求,但是很多科研所都没有将政府采购纳入预算管理,没有编制设备购置的需求,都是有实际需要时才临时申请购买;而且预算编制测算依据不统一、不严谨,每家科研所测算费用的标准不一致,开支没有设置限制要求,例如专家费用的测算,国家项目的测算标准是500元~800元/天,有些科研所测算专家劳务费按500元/天,人,有些部门按1 000元/天,人;有些科研所没有及时了解有关差旅费、会议费管理的最新管理制度,预算测算依据随意、主观,不严谨、不科学。

3.3.2 预算管理工作协调机制尚未完善

在预算管理工作中,应该有个处于核心地位的预算管理小组,对各种预算工作进行有效协调;各业务部门、各项目组都应该按照预算管理小组的要求,对自身的预算管理加以管理和控制,使得预算管理的实施效果最优化。科研所的预算管理缺乏战略性,导致预算编制缺乏整体规划,不利于预算执行、考核的实施。

3.3.3 预算执行体系不完善

预算执行缺乏监督控制。这个问题在科研所很普遍。单位管理层没有真正意识到预算管理的重要性、没有真正重视预算管理,没有在单位内部建立有效的监督管理控制机制。单位预算下达后,就觉得款项到达了,任务完成了,未对下达后的预算按照科学合理的方法进行指标分解,因此预算执行责任未能落实到部门和个人,导致在预算的执行过程中不能及时控制预算支出,预算管理丧失沟通协调职能、控制职能、考评职能。科研所因为预算编制时缺乏前瞻性和科学性,实际的执行情况与预算出现脱节,预算调整的主观性、随意性较大,而且预算分析主体薄弱、单一。科研所的预算监控主体一般只有财务人员,其日常基础核算工作繁忙,人员配置又不够,无法及时有效地监督审核各项业务活动的支出情况,无法有效对预算进行监控;另外,因为财务人员的行政地位较低,即使是预算外的支出,领导审批后,财务人员也只能根据业务要求进行支付。因此,预算的分析职能只停留在简单的加减数据分析层面,只是简单地通过预算和执行之间的差异筛选出预算差异率大、应该引起关注的内容,执行信息上报职能,缺乏对预算差异数据进行深入挖掘,数据分析与业务脱节,也没有相应的改进措施;而且预算分析普遍对非财务指标缺乏重视,很多非财务指标的监控更能准确反映单位业务情况,财务指标与非财务指标相结合的监控分析能更准确地反映单位的预算管理情况。

3.3.4 缺乏预算考核制度

预算考核是以预算编制内容为基础,以预算执行者为考核对象,以预算指标为考核标准,通过比较分析执行结果和预算指标,落实责任、评价业务、实施奖惩。预算考核对发挥预算约束与激励功能、增强预算刚性、强化预算执行、确保预算目标实现具有重要的作用。科研所预算管理普遍存在重编制、轻控制的情况。科研所的预算考核一般都由财务人员负责,财务人员往往根据各部门在预算编制时上报的收支情况,对预算执行情况进行简单地汇总、简单地计算预算执行率,对各项支出的具体内容不了解,对于超支或者没有完成任务的原因也没有进行深入分析,无法提供更深入、详细和更有价值的信息以及有效的改善建议。有效的预算考核,应当是预算批复后分解任务下达到每个部门,每个部门再下达到个人,因此预算的监控系统应该是一个多层次的体系,该体系应在每个层次都有相对应的监控主体和监控客体,能够对预算进行全方位的、适时的监控。要使预算能够真正发挥作用,应该在预算编制、预算执行、预算差异分析进行监控。

3.4 信息沟通

信息沟通是指信息在组织内部各层次、各部门以及在组织与客户、供应商、监管者和股东等外部环境之间的沟通,沟通应自上而下、自下而上地贯穿整个组织,不仅在组织中进行,也包括与外部进行的沟通。科研所普遍存在信息沟通不顺畅,存在信息不对称和“信息孤岛”现象,尤其是涉及到政府采购、项目经费、固定资产管理等多个协作关联大的部门。计算机应用也还主要停留在操作层面的业务处理系统如会计信息系统,没有整合预算管理信息的信息平台。预算管理信息在单位内部的流动都是通过表格报送进行,信息在流通过程中容易丢失、传达无效,收集的信息也是滞后的、非动态的,管理人员无法对信息作出准确的分析和判断,无法及时发现风险、有效化解风险。

3.5 监控

监督主要包括内部监督和外部监督两种形式。有效的内部监督能够帮助单位管理层及时发现预算管理过程中存在的问题和薄弱的地方,及时预警、提醒管理层采取有效措施进行调整改正,确保预算管理的有效运行。科研所的财务部门一般较为精简,极少设置独立的内审机构,而且外部监督缺乏连续性和主动性。国家和科研所上级主管单位对其预算执行情况审计活动只是抽查,抽查范围未能覆盖所有单位以及所有业务。而且,委托第三方审计机构审计时,委托代理人和会计师事务所的费用支付关系直接影响了注册会计师的独立性和客观性,审计意见的发表必须征得委托方的同意,因此监督的力度必然大打折扣。

4 完善科研所预算管理建议

4.1 营造良好的控制环境

4.1.1 树立全面预算管理理念

事业单位长期缺乏市场竞争,预算管理意识陈旧,预算控制机制、考核机制缺失,导致预算执行不力。要保障全面预算管理正式实施,必须自上而下树立全面管理思想[3]。随着我国部门预算、国库集中支付、政府采购、项目经费管理、绩效评估等财政体制改革的方案相继出台,国家财政预算管理逐步纳入法制化、规范化和科学化轨道,若观念思想不能与时俱进,不注重提高预算管理能力,势必会严重影响单位的发展。全面预算管理是一个全员参与、全额编制、全程动态管理的过程[4]。全员参与要求所有的员工参与其中,预算目标层层分解,落实到人;全额编制要求预算涵盖组织所有的业务往来,不仅要考虑成本费用的控制,还要考虑各种资源的配置统筹安排;全程动态管理要求预算管理始终贯穿业务活动的全过程,通过预算的编制过程进行事前控制,通过预算的执行、监控过程进行事中控制,通过预算的考核过程进行事后控制。

4.1.2 完善预算管理机构

科研所应建立项目矩阵式预算管理机构,取代之前的职能制组织形式。矩阵式组织机构既有职能划分的垂直领导系统,又有按项目划分的横向领导关系的结构。在矩阵式管理中,贯彻行政与技术分开、交叉的管理原则,在项目管理组织上实行以主任为首的行政管理系统和以项目负责人为首的项目管理系统两条线共同完成的管理,项目负责人对项目管理的经费预算编制、执行和监督控制进行全面管理。建立以项目矩阵式组织机构为基础的预算管理组织形式是推行预算的基础。在职能部门系列的基础上,将科研项目从职能部门中脱离出来,单独作为预算上报的单独渠道,以单个项目为主体编制预算表,由项目管理小组进行汇总。这些项目根据项目的预算目标组建,使纵横两个系列相互交叉,保障横向和纵向联系的畅通。

4.1.3 制定有激励性的人力资源政策,推行绩效工资

打破过去吃“大锅饭”的工资制度,将科研人员的薪酬水平与劳动投入和产出、与单位内部管理考核挂钩,强化公平竞争意识,提高工作满意度和工作竞争力[5],充分调动职工的积极性。除了按照职称职务发放的工资补贴外,应多组织进修和培训活动,为员工交流提供平台。适当组织单位内部提升竞岗,提供工作竞争力。建立绩效考核制度,推行绩效工资。

4.2 强化风险评估意识

4.2.1 强化管理层和科研人员的风险意识

要提高科研所的风险评估水平,应先强化管理层和科研人员的风险意识,采取一系列有效的措施,将风险控制在一定的容限以内。首先要加大关于预算管理重要性的宣传,让单位职工深入意识到预算管理的重要性、预算管理对单位风险管理的重要性;其次从预算编制、执行、监控到预算考核全过程建立相应内部控制制度,以减少因制度设计缺失造成的风险。充分利用第三方审计的专业技能,在必要环节进行监督指导,防患于未然。

4.2.2 制定准确的目标

根据内部控制理论,明确方向是完善风险评估第一步,也就是要寻找预算管理的目标。预算管理的总体目标是确保科研所的事业健康持续发展,是战略层面的;具体目标是执行层面的,根据不同的工作明确不同的目标。科研所的主要资金活动是科研项目经费管理,而且近年来我国期科研项目经费问题日益凸出,因此,科研所执行层面的目标应该主要锁定科研项目经费管理。科研所科研项目经费管理的具体财务目标具体如表1所示。

4.2.3 进行全面的风险识别

制定工作目标后,要对科研所进行全面的风险识别,需要全面的研判评估,有针对性地查漏补缺,完善制度建设。对影响科研所的内外部因素进行分析后,识别出科研所主要的风险活动在于科研项目活动、财政资金的使用方面。具体如表2所示。

4.2.4 制定适当的风险应对策略

对预算管理过程中存在的风险进行识别。及时通过预算执行情况,对可能面临的风险进行评估,充分利用各种先进的审计技术分析风险可能发生的概率大小和对单位的影响程度,对风险进行有效地排序。建立相应的风险预警机制,确定哪些风险是需要重点关注、跟踪管理。管理层应建立相应的风险应对方案,将风险可能给单位带来的损失降至可接受的的程度。结合科研所的业务情况,建议主要采取风险规避与风险降低两种风险应对策略。风险规避是指科研所应该采取各种强硬措施,禁止上述风险恶化。风险降低是指科研所应该加强防范,不断降低风险,将风险可能给单位带来的损失降至可接受的的程度。根据各项风险的危害程度及可控性,详细的风险应对策略如图3所示。

4.3 加强控制活动

加强预算管理控制活动,就是要在预算编制、执行、监控和考核全过程管理中形成权力、责任、利益明确的主体,全方位覆盖,确保资源得到合理的配置,促进科学事业的发展。

4.3.1 加强预算编制管理

统一预算编制财务内容范围和标准[6]。统一预算编制范围,制定预算编制手册,列明所有纳入预算范围项目,包括各项收入类型、支出类型,收支预算测算标准、需列入政府采购活动的品目。统一预算编制标准,按照现行财务管理制度要求编制各项收入测算依据、支出标准,无明确规定的支出标准由预算小组综合考虑给出预算编制测算标准,与其各部门归属测算科目。预算责任主体统一测算标准,归口测算单位,才能保证预算编制的完整性和合理性,才能够进行更为精细化、集约化的管理。

4.3.2 完善预算执行

预算执行是预算管理的重要环节,是预算目标能否实现的关键。预算执行是通过自上而下形成的层层控制、层层反馈的信息系统,以预算目标为依据,及时了解预算的执行进度和结果,及时发现差异、分析原因,采取有效措施进行修正。

(1)分解预算指标,责任落实到人。预算批复下达后,各部门应当严格执行批复的预算,分解各预算指标计划,落实到单位内部各个部门以及具体岗位,形成一个整体的执行体系。财务管理部门需要加强与各部门的具体沟通,对于重大项目进行严格审查与监控,以确保预算的执行。将年度预算细分到季度、月份,定期考核预算执行,保证会计活动以及管理控制活动有效执行。因为很多科研项目的科研周期相对较长,一般为2~3年,应该针对科研项目的科研周期进行分解,结合每个周期要开展的业务对科研周期进行年度分解,然后按照项目进展所需资源的情况进行资源配置,将资源配置需求转化为各个预算科目。同时,要将各个预算目标落实到责任人,在后期预算执行、考核阶段才能保证有专人及时有效收集和反馈预算执行信息,以预算目标为依据,及时对比科研项目预算执行情况,及时分析原因、解决问题,也为后期预算考核提供依据。

(2)严格控制预算的调整。预算存在着“刚性”的约束效力,预算正式下达后应严格按照预算执行,保证其权威性,一般不予调整。预算指标下达后,各预算责任主体应该严格按照预算计划开展业务,根据预算安排支出成本费用,严格按照预算执行。要维护预算的约束力,提高预算的的“刚性”和“权威性”,采取有效的措施防止“预算松弛”。若经营活动发生重大变化或者因组织发生重大变化必须调整,需按照规定进行调整事项报批,重新上报调整后的预算。调整后的预算未批复之前,不得列支没有预算或者预算外的支出。单位应该建立预算执行和调整机制,尤其是重大科研项目,在预算执行过程中应将执行任务落实到人,派专人负责对项目经费预算执行情况跟进核查,定期以预算目标为依据对比预算执行数据,及时分析预算执行情况,及时关注预算差异并寻找预算差异的原因。如果是项目开展计划发生变更,属于正常的差异,应有预算小组分管专员连同项目负责人撰写预算调整申请,报预算管理小组审批;如果是属于非正常偏离,应及时提醒项目负责人,对项目支出进行调整,实时控制费用的支出。

(3)建立预算分析制度。建立预算分析制度对于影响预算目标较大的相关因素进行分析,对于其中项目差异的分解,需找出引起变动的因素。同时要对法律、政策、市场、财务等各种内外部资料进行搜集,将定量与定性相结合进行综合分析作为预算差异分析的依据,并将差异原因责任落实到人,纳入预算考核制度,调动全体职工的主观能动性以解决实际存在的问题。

(4)建立预算报告制度。科研所应定期对季度、半年度和年度报告进行深入分析,及时发现预算执行差异并进行分析,根据差异分析发现的情况,汇总向预算管理小组进行报告,为全面指标的完成、为领导层的决策提供重要的依据。

4.3.3 建立预算考核制度和考核指标体系

(1)建立预算考核指标体系。预算如果没有自身的考核体系,就会流于形式,从而失去控制力[7]。只有建立并完善一套客观、公正、有效的考核评价体系,明确考核内容与指标,才能对预算执行情况进行正确的考核和评价。科研所的预算管理小组作为预算执行结果考核、评价的主体,应该结合单位的发展战略制定符合单位情况的预算考核制度和预算考核指标,纳入单位绩效评价考核范围;而且考核指标不能只是反映财务方面的指标,应结合单位的发展战略。运用平衡积分卡将单位发展战略[8]与预算管理内容相结合,制定符合单位的考核指标体系,具体如表3所示。

(2)建立预算考核与激励制度。预算管理要落到实处,预算体系中就必须包含科学合理的考核和奖罚分明的奖惩,所以,科研所应当将单位预算考评体系与绩效评价体系有机结合在一起。在公开公正的基础之上建立预算考核制度,将预算指标层次细分、责任落实到人,建立与部门绩效考核、个人绩效考核挂钩的预算考核制度与激励制度。

4.4 加强信息交流与沟通

构建有效的预算管理平台,加强信息交流与沟通。良好的信息交流与沟通可以避免信息不对称,避免“一人决策”,也可以在合理配置资源的同时提高资源的使用效率。构建网络化信息平台,可以提高科研所预算管理全过程信息和资源的共享,提高预算管理的质量和效率。

4.5 完善监督体系

监督检查科研所预算管理的内部控制建立和执行情况,在监督过程中评价内部控制的健全性、合理性和有效性,并且对预算管理的过程进行监督。对内部控制监督成效显著的人员和部门进行奖励,对违反内部控制的人员和部门进行惩罚处理。结合科研所的人事情况和业务规模,可以建立重大项目监控和内部审计制度。重大项目监控,是指预算管理小组定期实施预算跟踪审计,及时发现预算执行过程中的问题,提出合理的改善建议。成立内部审计小组,建立内部审计制度,定期进行内部审计。考虑到科研所没有专人从事内部审计,可采用兼任制,每年临时组建内审小组,从各部门、各岗位、各层级抽调职工成立内审小组,完成定期内审工作。另外,应充分利用第三方审计机构进行外部监督,定期聘请会计师事务所对单位内部控制设计和运行的有效性进行审计,或者聘请专家对单位内部控制的有效性进行指导。

摘要：随着社会经济的不断发展,国家十分重视科技进步,把依靠科技进步作为推动经济发展的重要措施,不断加大科技投入。科学事业单位加强预算管理,可以合理控制经费支出、有效地配置资源、提高资金的使用效率,同时提高预算管理水平、加强内部沟通与协调、整合内部资源,提高科研水平。加强科学事业单位的预算管理,对促进科学事业发展,提高科学事业单位的财务管理水平具有重要意义。基于美国反对虚假财务报告委员会的发起组织委员会(COSO)的内部控制框架,探讨科研所预算管理存在问题的原因,根据成因分析提出解决对策。

关键词：COSO内控框架,科研所,预算管理

参考文献

[1]高晨.企业预算管理——以战略为导向[M].北京.中国财政经济出版社,2004

[2]崔也光.科学事业单位应用全面预算管理的思考[D].北京:首都经济贸易大学,2011

[3]尹峰洪.全面预算管理在辽化公司的完善研究[D].大连:大连理工大学,2008

[4]潘洪祥.科研事业单位全面预算管理研究[D].成都:西南财经大学,2013

[5]雷光华.浅谈标杆管理在全面预算中的应用[J].财务与会计,2012(5):31

[6]李善星,耿贵珍,耿桂艳.全面预算管理的组织与编制体系研究[J].中国管理信息化,2013(24):14-16

[7]佟成生,潘飞,吴俊.企业预算管理的功能:决策,抑或控制?[J].会计研究,2011(5):44-49

[8]梁鸿彦.战略导向下的企业预算管理探讨[J].商业会计,2012(22):92-93

COSO风险管理 第11篇

COSO委员于2010年9月开始着手修订内部控制管理框架, 委员会聘请了业界学者、政府管理部门、非营利社会组织代表担任顾问, 最终在广泛征求意见的基础上形成了《COSO内部控制整合框架 (2013版) 》, 新框架于2013年开始正式颁布实施, 旧框架于2014年12月后停止使用。

一、COSO新框架的一些变化

新框架在内控评价标准、内控定义、内控评价要素等方面, 大多仍延续了1992年基本要求, 其变化主要体现在以下几个方面。

(一) 明确了内部控制中目标设定的作用

之前颁布的内部控制框架中, 风险评估的前提条件是内部控制目标的设定, 在COSO随后发布的相关文件中, 内部控制目标又被归入内部控制的基本要素。COSO新框架 (2013版) 中, 内部控制的基本前提是内控目标的设定, 但内部控制目标本身并非内部控制的组成部分。新框架中控制目标和控制机制被适当分离, 一定程度上增强了可操作性。

(二) 深入讨论了有关公司治理的理念

COSO新框架中, 重点强调了内部控制方面公司董事会的职能和作用, 包含了许多公司董事会及其下属专门委员会的内容, 界定了董事会及其专门委员会在内部控制中的职责。责任主体也更加明确了, 这样更利于促进和推动公司治理的各方认真履行职责, 进而加强内部控制体系建设。

(三) 扩大了财务报告范畴

传统的内部控制体系重视会计信息质量, 重视财务报告中信息披露的真实性、可靠性、完整性。COSO新框架进一步扩大了内部控制内容, 除了传统的财务报告, 还包括了资产运用报告、市场分析报告、内控管理评价报告、可持续发展报告、人力资源保障分析报告等非财务报告。除此之外, 内部控制报告的对象也涵盖了监管机构、企业董事会及高管层、投资者、债权人等。新框架包含了企业内部控制的更多方面, 提高了企业规范管理和管控风险的综合能力。

(四) 提高了对反舞弊反欺诈的要求

近年来发生的多起企业欺诈与舞弊案件, 使得COSO新框架更加重点强调内部控制在反舞弊方面的作用。COSO新框架所新制定的17项内部控制基本原则中, 企业管理层评估欺诈风险被专门列为一条原则, 进行了重点阐述。

二、商业银行内部控制所面临的风险

(一) 内部控制目标不够明晰

近年来, 中国银行业银行产品和业务日益多元化, 相关业务流程化的程度也在提高, 跨业经营增加, 管理难度加大, 使得银行内部风险表现形式愈发复杂。现行的内部控制目标有些并不明晰, 也不能适应现代商业银行的需要, 要对这种状况进行改善, 就要找到直接可行的、具体的评价指标和体系, 并且应该以内部控制目标作为导向, 科学建立内部控制体系。

(二) 内部控制责任需要进一步完善

中国银行业经过股份制改造, 基本上已经能按现代企业的管理制度要求来加强公司治理建设, 形成了股东大会、监事会、董事会、高级管理层治理架构, 董事会下还设有风险管理委员会、薪酬委员会、审计委员会等专门委员会。但旧有制度中, 董事会及其下属委员会的责任仍不够明晰, 内部管理机制不够完善, 内部组织结构和责任分配不尽科学, 这些往往会导致权力制衡在运行中“失灵”。

(三) 内部控制的范围需进一步延伸

研究近年商业银行内部控制案例, 可以看出内控过程的信息沟通是非常重要的, 商业银行现行内部控制制度缺乏对于内部财务报告、内部非财务报告和外部非财务报告等信息的获取, 易造成各部门之间信息沟通不充分, 以致内部控制制度流于形式。

(四) 内部管理和监督制度不够完善

近年来由于严格的外部监管制度, 中国银行业各类案件呈下降趋势, 案件高发的势头得到遏制。但银行自身的内部管理和内部控制水平并没有从根本上得到改善, 发生案件的诱因和基础依然存在, 如果从内部建立更有效的监督和管理机制, 将降低内外舞弊与欺诈的风险。

三、COSO新框架下完善商业银行内部控制的建议

(一) 明确银行内部控制目标, 建立好内控评价机制

合理应用COSO新框架所具体给出的17个基本原则, 在此基础上进一步提炼出82个代表相关原则的主要特征和重点关注点的要素, 建立清晰的内部控制目标, 以及科学、明晰的内部控制体系。要明确内部控制评价主体与客体, 严格内部控制标准, 理顺内部控制流程, 明晰内部控制责任, 建立以目标为导向的内部控制评价机制, 保障银行健康稳定发展。

(二) 完善银行董事会治理机制

在保持独立董事的适度比例的前提下, 可以适度扩大董事会规模, 以提高银行董事会的运作效率, 要明确董事会及其下属委员会的责任, 方便董事会制定内部控制规则, 督促下属管理层细化和落实内部控制制度, 并组织开展内部控制评价, 以实现银行健康发展。

(三) 扩展内部控制外延

按照COSO新框架的要求, 我国商业银行应转变管理理念, 重新制定内部控制体系, 扩大内部控制功能, 不应将商业银行内部控制局限于传统财务报表质量控制, 而是应随着商业银行的经营与管理发展, 进一步拓展内部控制外延, 涵盖银行的业务发展战略、风险管理战略、激励机制等内容, 对非财务报告予以重视, 全方位严格管控风险, 最终促进银行稳健经营。

(四) 防范内外欺诈与舞弊

要建立完善的内部控制举措, 提高员工素质与修养, 明确各岗位责任, 责权对等, 并从严进行责任追求, 提高员工风险防范意识。要扩大内部审计对象范围, 对管理层加大监督与制约力度, 要给予内部审计部门与人员足够的独立性, 以防范内外欺诈与舞弊。

参考文献

[1]企业内部控制整体框架 (征求意见稿) .2012.

[2]财政部, 证监会, 审计署, 银监会, 保监会.关于印发企业内部控制基本规范的通知, 2008.

[3]赵锋.浅谈如何评价内部控制的有效性.济南金融, 2009 (5) .