企业管理中内部控制与风险管理的一体化
发布时间:2022-07-22 11:47:22
一、内部控制与风险管理一体化的必要性和可行性
目前大部分企业的风险评估仍然停留在就风险论风险的层面,即企业人员在对风险进行分析评分时缺乏针对该风险的控制信息,致使评分结果接近固有风险水平,而不是更加接近实际情况的剩余风险水平。有的企业在内部控制工作中存在就控制论控制的情况,即企业在没有对业务流程中的风险点进行识别的情况下,片面确立了一系列的控制点,容易造成复杂控制、过度控制。更有甚者,风险管理部门梳理的风险库与内部控制部门梳理的控制点完全独立、互不相干,成为实实在在的“两张皮”。因此,企业全面融合风险管理和内部控制工作以解决当前问题的迫切性日益突出。
二、内部控制与风险管理一体化的实现路径
为了便于在实际中运行和实践风险管理及内部控制一体化工作,可以将企业风险管理及内部控制的整体运行思路细化落地,形成企业风险管理及内部控制的整体运行流程。
(1)环境建立:
环境建立是组织在管理风险以及为风险管理方针确定范围和风险准则时,确定需要考虑的内部及外部参数。
(2)风险识别:
风险识别是发现、辨认和描述风险的过程。风险识别包括对风险源、事件及其原因和潜在后果的识别。
(3)风险分析:
风险分析是理解风险特性、确定风险等级的过程,是风险评价和风险应对决策的基础,风险分析包括风险估计。
(4)风险评价:
风险评价是将风险分析的结果与风险准则相比较,以决定风险大小是否在可接受或可容忍的范围。风险评价有助于制定风险应对决策。
(5)风险应对:
风险应对是改变风险的过程。风险应对包括选择一个或多个改变风险的方式,并实施这些方式。一旦付诸实施,这些方式就会提供或改进控制措施。
(6)监测与评审:
监测与评审是风险管理过程的一部分,包括日常的检查或监督。监测是持续检查、监督、观察或确定绩效的状态,以识别所要求或期望的绩效水平的变化。评审是为实现风险及内部控制达到规定目标的适宜性、充分性和有效性所进行的活动。监测与评审可应用于风险管理框架、风险管理过程、风险控制。
(7)沟通与咨询:
沟通与咨询是为组织针对管理风险所实施的提供信息、共享信息、获取信息并与利益相关方对话的持续、往复的过程。实践中需要重点沟通咨询风险的现状、特性、结构、可能性、重要性、评价、可接受性、风险应对等方面内容。