第一篇：關(guān)于開展全面風險管理(內(nèi)部控制)工作的請示

關(guān)于開展全面風險管理（內(nèi)部控制）工作的請示

公司領(lǐng)導：

近來境內(nèi)外證券監(jiān)管機構(gòu)要求上市公司董事會將內(nèi)部控制工作納入工作職責，建立、不斷完善全面風險管理和內(nèi)部控制制度。國內(nèi)大型中央企業(yè)及上市公司設(shè)立專門部門，梳理、完善業(yè)務(wù)流程，制定內(nèi)部控制手冊；聘請審計機構(gòu)審計內(nèi)部控制工作。全面風險管理（內(nèi)部控制）事項必要成為公司運營中的日常工作中的重要一部分。公司的風險管理能力也必將成為公司競爭力的重要組成部分。法律事務(wù)中心就全面風險管理（內(nèi)部控制）事宜請示如下：

一、開展全面風險管理（內(nèi)部控制）工作的必要性

（一）主流趨勢

2002年美國通過《薩班斯法案》后，世界各國證券監(jiān)管機構(gòu)均修改相關(guān)監(jiān)管規(guī)則，要求上市公司強化內(nèi)部控制，保障財務(wù)報告的準確、有效。

2006年國資委頒布了《中央企業(yè)全面風險管理指引》，鼓勵、推動中央企業(yè)監(jiān)理全面風險管理體系，把控企業(yè)全面經(jīng)營風險，實現(xiàn)企業(yè)穩(wěn)步長期發(fā)展。2008年財政部、證監(jiān)會等五部委發(fā)布《企業(yè)控制基本規(guī)范》及各項指引。2011年證監(jiān)會要求全面啟動上市公司內(nèi)部控制工作，并要求上市公司公布內(nèi)部控制自評報告和審計報告。

中國境內(nèi)絕大部分大中型企業(yè)均設(shè)立風險管理或內(nèi)部控制專業(yè)部門和專業(yè)人員，從事全面風險管理和內(nèi)部控制工作。全面風險管理及內(nèi)部控制不僅成為主流企業(yè)的必備工作內(nèi)容，更成為主流企業(yè)董事會的重要職責。

（二）行業(yè)要求

隨著經(jīng)濟形勢的走低，家電零售業(yè)的競爭也來也激烈。

做好全面風險管理和內(nèi)部控制工作有利于控制運營風險，避免戰(zhàn)略、經(jīng)營失誤。

（三）企業(yè)內(nèi)部管理需要

二、開展全面風險管理（內(nèi)部控制）工作的意義

開展全面風險管理（內(nèi)部控制）工作不僅越來越具有必要性，更對企業(yè)實現(xiàn)戰(zhàn)略目標，實現(xiàn)經(jīng)營成果和業(yè)績，保障資產(chǎn)安全和合法合規(guī)具有現(xiàn)實意義。

（一）保證股東、投資者、董事會深入掌控公司運營風險，保障戰(zhàn)略目標實現(xiàn)

通過開展全面風險管理和內(nèi)部控制工作，專門負責部門每年形成全面風險管理報告、內(nèi)部控制評價報告。股東及董事會可通過審閱風險管理報告及內(nèi)部控制評價報告，深入掌控公司運營風險。

全面風險管理和內(nèi)部控制工作，有利于及時發(fā)現(xiàn)、防范、應對企業(yè)經(jīng)營中的各類風險；有利于優(yōu)化運營中的各種流程，形成標桿做法，保障戰(zhàn)略目標順利實現(xiàn)。

全面風險管理和內(nèi)部控制工作，把風險管理納入企業(yè)戰(zhàn)略執(zhí)行的層面之上，將企業(yè)成長與風險相聯(lián)，設(shè)置與企業(yè)成長及回報目標相一致的風險承受度，從而使企業(yè)將戰(zhàn)略目標的波動控制在一定的范圍內(nèi)，支持企業(yè)戰(zhàn)略目標實現(xiàn)并隨時調(diào)整戰(zhàn)略目標，保障企業(yè)穩(wěn)健經(jīng)營。

（二）避免重大損失，保障資產(chǎn)安全

建立全面風險管理及內(nèi)部控制體系后，將實現(xiàn)對企業(yè)經(jīng)營中重大風險的量化評估和實時監(jiān)控。全面風險管理體系幫助企業(yè)建立重大風險評估，重大事件應對，重大決策制定，重大信息報告和披露以及重大流程內(nèi)部控制的機制，從而避免企業(yè)遭受重大損失。

（三）應對外部機構(gòu)監(jiān)管要求，保障經(jīng)營合法合規(guī)

證券交易所及監(jiān)管機構(gòu)對于上市公司的監(jiān)管日趨嚴厲。上市公司對于全面風險管理的全面性及有效性的長期維持必然是監(jiān)管機構(gòu)關(guān)注的重點。通過建立和維持風險管理、內(nèi)部控制體系，是應對外部機構(gòu)監(jiān)管的必要工作內(nèi)容。

（四）提升聲譽，穩(wěn)固行業(yè)標桿企業(yè)地位

完善的全面風險管理、內(nèi)部控制體系必將引來同行業(yè)其他企業(yè)的效仿，從而有益于公司良好聲譽的傳播，繼續(xù)穩(wěn)固家電零售行業(yè)標桿企業(yè)地位。

三、開展全面風險管理（內(nèi)部控制）工作的建議

（一）建立全面風險管理（內(nèi)部控制）的組織架構(gòu)

在公司董事會層面高度重視全面風險管理（內(nèi)部控制），設(shè)立專門委員會，領(lǐng)導公司全面風險管理工作。

設(shè)立專門部門，指定專門人員負責全面風險管理和內(nèi)部控制工作，受董事會專門委員會領(lǐng)導，執(zhí)行專門委員會決議，向?qū)ｉT委員會報告。

（二）制定全面風險管理（內(nèi)部控制）工作計劃

設(shè)立專門部門，組織制定全面風險管理和內(nèi)部控制工作計劃，穩(wěn)步啟動、推進全面風險管理和內(nèi)部控制工作，逐步形成工作成果。

（三）將全面風險管理（內(nèi)部控制）納入管理層績效考核

法律事務(wù)中心二〇一二年九月

第二篇：全面風險管理與內(nèi)部控制工作實施辦法

xx公司

全面風險管理與內(nèi)部控制工作實施辦法

（試 行）

第一章 總則

第一條 為規(guī)范公司全面風險管理與內(nèi)部控制工作，制定本實施辦法。

第二條 本實施辦法所稱風險，指未來的不確定性對公司經(jīng)營目標實現(xiàn)的影響，包括財務(wù)風險、法律風險、市場營銷風險、人力資源風險、信息風險、廉政風險、信訪維穩(wěn)風險和其他風險。

第三條 本實施辦法所稱內(nèi)部控制，是指公司管理層和全體員工按照既定的風險管理策略實施的、旨在保障風險控制目標實現(xiàn)的過程。

第二章 組織體系與職責分工

第四條 公司設(shè)立全面風險管理與內(nèi)部控制委員會 主任：總經(jīng)理 黨支部書記 成員：各部門主任

下設(shè)全面風險管理與內(nèi)部控制辦公室，主任由綜合管理部主任兼任。

第五條 全面風險管理與內(nèi)部控制委員會主要職責包括：

（一）審議批準公司風險管理與內(nèi)部控制相關(guān)規(guī)章制度、實施辦法。

（二）批準公司全面風險管理與內(nèi)部控制工作計劃。

（三）審定公司風險管理與內(nèi)部控制目標、重大風險管理策略和內(nèi)部控制措施。

（四）審定公司全面風險管理報告、風險管理與內(nèi)部控制評價報告以及重大決策的專項風險評估報告。

（五）審定公司風險管理與內(nèi)部控制手冊。

（六）審定公司風險管理與內(nèi)部控制評價標準。

（七）審議公司其他重大風險管理與內(nèi)部控制事項。第六條 公司全面風險管理與內(nèi)部控制辦公室負責風險管理與內(nèi)部控制日常組織與協(xié)調(diào)工作，主要職責包括：

（一）制定和完善公司風險管理與內(nèi)部控制相關(guān)規(guī)章制度、實施辦法、管理手冊。

（二）組織公司各部門執(zhí)行風險管理基本流程、建立完善內(nèi)部控制體系并監(jiān)督執(zhí)行。

（三）組織開展公司全面風險管理報告的編報工作。

（四）指導、監(jiān)督公司各部門全面風險管理與內(nèi)部控制工作，對各部門全面風險管理與內(nèi)部控制情況進行考核。

（五）組織開展與風險管理及內(nèi)部控制有關(guān)的文化培育工作。

第七條 公司各部門是本專業(yè)風險管理與內(nèi)部控制工作的管理部門和執(zhí)行部門，主要職責包括：

（一）制定本部門風險管理與內(nèi)部控制相關(guān)實施細則、辦法。

（二）開展本部門風險管理信息收集、風險評估、研究確定本部門風險管理策略、重大風險預警指標。

（三）更新本部門風險信息、內(nèi)部控制信息、風險案例、預警指標等基礎(chǔ)數(shù)據(jù)。

（四）建立本部門內(nèi)部控制體系并有效執(zhí)行，編制本部門業(yè)務(wù)風險與內(nèi)部控制手冊。

第八條 各部門指定一名專人負責本專業(yè)風險管理與內(nèi)部控制工作，接受公司全面風險管理與內(nèi)部控制辦公室的業(yè)務(wù)指導。

第九條 綜合管理部負責對風險管理與內(nèi)部控制實施有效性進行監(jiān)督。

第三章 風險信息收集、識別、評估

第十條 公司根據(jù)全面風險管理指標檢測體系的要求，建立健全客觀、全面、有效的風險信息收集機制。要以崗位為基礎(chǔ)，以業(yè)務(wù)流程為依托，動態(tài)收集風險初始信息，并對初始信息進行篩選、提煉、分類。風險信息收集包括以下內(nèi)容：

（一）財務(wù)風險方面：收集增收節(jié)支，資金安全、償債能力等影響分公司預期收益的信息，分析這些信息是否可能給公司帶來財務(wù)結(jié)構(gòu)不合理、償債能力降低等方面的財務(wù)風險。

（二）法律法規(guī)方面：收集與法人主體責任、重大合同履約、法律糾紛等信息，分析這些信息是否可能給公司帶來法律法規(guī)方面的風險。

（三）市場營銷風險方面：收集市場波動、政策變化、客戶信息變化等因素影響采購、銷售、收款方面的信息，分析這些信息是否可能給公司帶來市場營銷方面的風險。

（四）人力資源風險方面：收集勞動政策變化、人力資源規(guī)劃及勞動用工管理等方面的信息，分析這些信息是否可能給公司帶來人員結(jié)構(gòu)不合理、隊伍不穩(wěn)定等風險。

（五）信息風險方面：收集易造成信息失密、信息泄密等方面的信息，分析這些信息是否可能給公司帶來損失或不良影響的風險。

（六）廉政風險方面：收集干部員工遵守規(guī)章制度、廉潔從業(yè)規(guī)定等方面的信息，分析這些信息是否可能導致違法違紀，給公司帶來經(jīng)濟損失或聲譽損害的風險。

（七）信訪維穩(wěn)風險方面：收集公司與職工切身利益相關(guān)等方面的經(jīng)營管理決策信息，分析這些信息能否引發(fā)信訪問題，或處臵信訪事件不及時、不妥當，導致給公司造成不利社會影響的風險。

第十一條 各部門至少每年開展一次風險信息收集、辨識工作，形成本專業(yè)風險信息，提交全面風險管理與內(nèi)部控制辦公室匯總審核，并同步更新全面風險管理與內(nèi)部控制信息系統(tǒng)相關(guān)信息。

第十二條 各部門應至少每年開展一次風險評估，評估結(jié)果提交本單位全面風險管理與內(nèi)部控制辦公室，并同步更新全面風險管理相關(guān)信息。凡遇有重大問題決策等事項時，公司本部及各部門應按照“三重一大”事項決策的有關(guān)程序，由事項主辦部門牽頭組織實施風險評估，提出重大決策專項風險評估報告，制定風險管控措施，落實責任人員，并提出管理建議。管理層應充分考慮風險評估結(jié)論和管理建議，將其作為重大事項決策的參考依據(jù)。

第四章 業(yè)務(wù)風險防控辦法

第十三條 合同簽訂風險防控

采銷合同的談判和簽訂，嚴格按照公司xx相關(guān)要求執(zhí)行。

（一）合同談判及簽訂風險點（1）合同談判程序不規(guī)范。

（2）對交易對象的資質(zhì)審查不嚴格。（3）合同簽訂程序不規(guī)范。

（4）合同簽訂條款不齊全、不嚴格。（5）采購、銷售合同脫節(jié)。

（二）為最大限度的避免經(jīng)營風險，應在對交易對象嚴格審查的基礎(chǔ)上簽訂xx購銷合同，把握經(jīng)營活動的底線，確保一旦發(fā)生經(jīng)濟糾紛時能爭取主動權(quán)，有針對性的開展風險防范，制定風險防控措施。

（1）嚴格遵守公司xx規(guī)定，保證合同洽談的嚴肅性、規(guī)范性?，F(xiàn)場洽談過程中保證我方至少二人以上在場，做好文字記錄、影像記錄，以及歸檔工作，嚴防損害公司利益的行為發(fā)生；通過電話、微信或QQ等非現(xiàn)場方式洽談的，主談人應把洽談過程及初步結(jié)果告知輔談人，征求其意見，最終由輔談人擬出談判會議紀要經(jīng)審核后雙方書面簽訂紀要。

（2）合同簽訂前要嚴格審查交易對象的各項資質(zhì)，一般先審查“四證”，即營業(yè)執(zhí)照、組織機構(gòu)代碼證、稅務(wù)登記證、開戶許可證是否齊全、真實，各證照是否過期，在此基礎(chǔ)上通過全國企業(yè)信用信息公示系統(tǒng)查詢是否有不良記錄、商業(yè)信譽等，達到信用評級審批表相關(guān)要求后方可簽訂購銷合同。

（3）嚴格執(zhí)行合同會簽制度，規(guī)范合同流程審批，分解權(quán)限，形成相互糾錯、相互制約，有效防控風險的運行機制。會簽過程如遇人員出差等無法現(xiàn)場會簽的，由合同經(jīng)辦人將合同電子文檔發(fā)該人員，其同意后可跳至下一節(jié)點會簽，待該人員回公司后補簽，合同經(jīng)辦人在該補簽人員欄填寫征求意見并簽名。

（4）xx購銷合同只有條款明確、齊備才能最大限度的降低經(jīng)營風險，與公司發(fā)布的標準合同不一致的需經(jīng)公司燃料領(lǐng)導小組研究同意后方可調(diào)整，重大調(diào)整的需書面征求省公司業(yè)務(wù)對口管理部門意見，一般涉及以下主要條款：質(zhì)量指標、價格、運輸方式、運雜費的承擔、數(shù)質(zhì)量驗收方式、交貨地點、結(jié)算方式、貨款支付方式及時間、貨權(quán)轉(zhuǎn)移及風險轉(zhuǎn)移時間、獎罰條款、違約責任、不可抗力、糾紛解決方式、合同有效期等，只有條款明確，有利于自身才能有效降低風險。

（5）嚴格落實以銷定進、以利定價的原則，采購銷售互相參照，互為銜接，防止采銷原則不一致造成虧損。

第十四條 采購流程風險防控

公司采購過程中應嚴格按照公司xx相關(guān)要求執(zhí)行。

（一）xx采購流程風險點（1）供應商不按合同履約。（2）貨權(quán)單位與合同單位不一致。（3）xx數(shù)量爭議。（4）xx質(zhì)量爭議。

（5）xx指標不符合，摻雜、以次充好。

（二）xx采購過程中實際結(jié)果和預期目標偏離的可能性很大，對潛在風險要提前防控，必須針對不同情況采取降低、規(guī)避、分擔和控制風險的措施，實現(xiàn)采購風險最小化。

（1）嚴格落實供應商保證金管理制度，防止供應商因自身原因不按合同履約，影響采購計劃的落實。新進供應商、注冊資本金偏少、發(fā)生過未按合同履約應適度提高保證金，具體幅度由公司燃料領(lǐng)導小組討論后確定。

（2）合同執(zhí)行過程中遇合同單位與貨權(quán)單位不一致的情況，必須要求供應商將貨權(quán)轉(zhuǎn)移給我方，貨權(quán)轉(zhuǎn)讓單位在貨權(quán)轉(zhuǎn)移函上加蓋公章，法人簽字或法人授權(quán)代表簽字，否則不予結(jié)算，防止貨權(quán)糾紛。在取得貨物的實際控制權(quán)以前，嚴禁僅憑對方單位出具的貨權(quán)轉(zhuǎn)移證明支付xx貨款，防范“一貨多賣”等欺詐行為。

（3）xx數(shù)量驗收必須以雙方認可的第三方出具的法定衡重報告或水尺檢驗數(shù)據(jù)為準，現(xiàn)場人員加強監(jiān)督，及時索取數(shù)量報告，做好數(shù)據(jù)對比分析，防止計量方式不合法供應商不認可及數(shù)量虧損。

（4）xx質(zhì)量驗收必須以雙方認可的第三方按國家標準進行全程采制化，并以此出具的檢驗報告為準。

第十五條 銷售流程風險防控

銷售xx過程中應嚴格按照公司xx相關(guān)要求執(zhí)行。

（一）xx銷售流程風險點

（1）裝港質(zhì)量控制不嚴謹，摻配方案不可行。（2）承運船舶船期安排不妥當，船舶自身設(shè)計不規(guī)范。（3）裝卸港驗收數(shù)質(zhì)量虧損。

（二）xx銷售過程中環(huán)節(jié)多，戰(zhàn)線長，要建立完備的監(jiān)管驗收制度，實現(xiàn)過程可控、在控，規(guī)避經(jīng)營風險。

第十六條 資金回付風險防控

資金收付應嚴格按照公司xx相關(guān)要求執(zhí)行。

（一）資金收付流程風險點（1）賒銷預付管控不到位。

（2）付款賬號與開戶許可證賬號不一致。（3）用戶付款錯誤，支付銀行承兌不規(guī)范。

（二）在xx經(jīng)營過程中，為了增加銷售量，擴大市場占有率，賒銷預付行為會越來越多，控制賒銷預付風險是我們必須面對的問題，對此要嚴格采購銷售信用評級制度，根據(jù)貿(mào)易商級別，嚴控預付和賒銷比例，防止壞賬、死賬情況的發(fā)生，及時催收回款，防止資金風險。

（1）嚴格按照公司要求建立用戶信用評級制度，按照公司收付款相關(guān)管理辦法規(guī)定的賒銷預付比例開展經(jīng)營工作，要嚴格按照合同中對煤款收取的不同約定，催要對方預收款

或是對方收到發(fā)票后催要結(jié)算款，確保煤款及時收回。具備結(jié)算條件時，業(yè)務(wù)人員電話提醒用戶及時進入付款流程并辦理付款手續(xù)；貨款到期后一周如仍未回款，發(fā)一份《逾期催款函》，之后每隔一周發(fā)一份《逾期催款函》，三周仍未回款，則發(fā)一份《超期催款單》和《貨款往來對賬單》并要求對方回執(zhí)，從第一筆逾期欠款之日起滿三個月的，需及時上報省公司相關(guān)部門并說明情況，另提供相關(guān)資料報請公司法律顧問與對方接洽，并出具律師函；逾期一年的，必須采取訴訟等硬性措施。

（2）付款賬號一般按照對方開戶許可證賬號支付，如發(fā)現(xiàn)賬號不一致，對方需出具付款說明并加蓋單位公章。

（3）需方應按照我方指定的收款賬號進行付款，業(yè)務(wù)人員應與需方及時溝通，付款前再次確定我方收款賬號，以免付錯賬號影響付款業(yè)務(wù)，如需方因其他原因不能按我方指定賬戶打款，說明原因后我方配合出具相關(guān)業(yè)務(wù)手續(xù)。

第十七條 員工思想動態(tài)風險措施

及時了解員工的思想動態(tài)，傾聽員工的心聲，了解員工在日常工作、學習、生活和個人發(fā)展中存在的問題，加強溝通、正面引導，提高員工思想素質(zhì)，以人為本，為員工成長成才創(chuàng)造條件，構(gòu)筑有效激勵機制，激發(fā)公司和諧活動。

第五章 附則

第十八條 本實施辦法由公司風險控制部負責解釋并監(jiān)督執(zhí)行。

第十九條 本實施辦法自發(fā)布之日起執(zhí)行。

第三篇：全面風險管理與內(nèi)部控制的關(guān)系

全面風險管理與內(nèi)部控制的關(guān)系

摘 要：內(nèi)部控制是企業(yè)全面風險管理的基礎(chǔ)，同時內(nèi)部控制也是全面風險管理不可或缺的重要組成部分。內(nèi)部控制與全面風險管理之間既存在著聯(lián)系又有所不同，為了使企業(yè)能充分發(fā)揮內(nèi)部控制和全面風險管理的作用，應該對兩者之間的關(guān)系有清楚的認識。本文主要介紹了全面風險管理和內(nèi)部控制，以及二者之間的關(guān)系。

關(guān)鍵詞：全面風險管理；內(nèi)部控制；關(guān)系

（一）內(nèi)部控制

內(nèi)部控制是指企業(yè)為了合理保證財務(wù)報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵守，由治理層、管理層和其他人員設(shè)計和執(zhí)行的政策和程序。關(guān)于內(nèi)部控制的定義，COSO委員會經(jīng)過相對較長時間的研究，于1992年發(fā)布了《內(nèi)部控制——整體框架》，1994年形成正式文稿。《內(nèi)部控制——整體框架》認為內(nèi)部控制是為實現(xiàn)企業(yè)經(jīng)營效率和效果、財務(wù)報告的可信性及相關(guān)法令的遵循等企業(yè)目標而提供合理保證的過程。內(nèi)部控制的實施者為企業(yè)董事會、經(jīng)理層和其他員工。內(nèi)部控制是整個企業(yè)設(shè)計的系統(tǒng)，不是為了某個人或某個層級的人提出來的專門針對某個人或某個層級的人的制度。沒有人能脫離這一系統(tǒng)而獨立運作。管理層、董事會、內(nèi)部審計和其他員工都應該對內(nèi)部控制承擔責任。

內(nèi)部控制目標有三點，一是財務(wù)報告的可靠性。企業(yè)決策層要想在瞬息萬變的市場競爭中有效地管理經(jīng)營企業(yè)，就必須及時掌握各種信息，以確保決策的正確性，并可以通過控制手段盡量提高所獲信息的準確性和真實性。因此，建立內(nèi)部控制系統(tǒng)可以提高會計信息的正確性和可靠性。二是經(jīng)營的效果和效率。內(nèi)部控制系統(tǒng)通過確定職責分工，嚴格各種手續(xù)、制度、工藝流程、審批程序、檢查監(jiān)督手段等．可以有效地控制本單位生產(chǎn)和經(jīng)營活動順利進行、防止出現(xiàn)偏差，糾正失誤和弊端，保證實現(xiàn)單位的經(jīng)營目標。三是合規(guī)性。企業(yè)決策層不但要制定管理經(jīng)營方針、政策、制度，而且要狠抓貫徹執(zhí)行。內(nèi)部控制則可以通過袱定辦法，審核批準，監(jiān)督檢查等手段促使全體職工貫徹和執(zhí)行既定的方針、政策和制度，同時，可以促使企業(yè)領(lǐng)導和有關(guān)人員執(zhí)行國家的方針、政策．在遵守國家法規(guī)紀律的前提下認真貫徹企業(yè)的既定方針。

企業(yè)建立與實施有效的內(nèi)部控制，應當包括下列要素：

一是內(nèi)部環(huán)境。內(nèi)部環(huán)境是企業(yè)實施內(nèi)部控制的基礎(chǔ)，一般包括治理結(jié)構(gòu)、機構(gòu)設(shè)置及權(quán)責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等。

二是風險評估。風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關(guān)的風險，合理確定風險應對策略。三是控制活動?？刂苹顒邮瞧髽I(yè)根據(jù)風險評估結(jié)果，采用相應的控制措施，將風險控制在可承受度之內(nèi)。

四是信息與溝通。信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關(guān)的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通。

五是內(nèi)部監(jiān)督。內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應當及時加以改進。

（二）全面風險管理

所謂全面風險管理，是指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

2004年COSO委員會發(fā)布《企業(yè)風險管理——整合框架》。企業(yè)風險管理整合框架認為“企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。”該框架拓展了內(nèi)部控制，更有力、更廣泛地關(guān)注于企業(yè)風險管理這一更加寬泛的領(lǐng)域。

全面風險管理框架包括了八個要素：

一是內(nèi)部環(huán)境。管理當局確立關(guān)于風險的理念，并確定風險容量。所有企業(yè)的核心都是人(他們的個人品性，包括誠信、道德價值觀和勝任能力)以及經(jīng)營所處的環(huán)境,內(nèi)部環(huán)境為主體中的人們?nèi)绾慰创L險和著手控制風險確立了基礎(chǔ)。

二是目標設(shè)定。必須先有目標，管理當局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取恰當?shù)某绦蛉ピO(shè)定目標，并保證選定的目標支持主體的使命并與其相銜接，以及與它的風險容量相適應。

三是事項識別。必須識別可能對主體產(chǎn)生影響的潛在事項，包括表示風險的事項和表示機會的事項，以及可能二者兼有的事項。機會被追溯到管理當局的戰(zhàn)略或目標制定過程。

四是風險評估。要對識別的風險進行分析，以便確定管理的依據(jù)。風險與可能被影響的目標相關(guān)聯(lián)。既要對固有風險進行評估，也要對剩余風險進行評估，評估要考慮到風險的可能性和影響。

五是風險應對。員工識別和評價可能的風險應對措施，包括回避、承擔、降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相適應。六是控制活動。制定和實施政策與程序以確保管理當局所選擇的風險應對策略得以有效實施。

七是信息與溝通。主體的各個層級都需要借助信息來識別、評估和應對風險。廣泛意義的有效溝通包括信息在主體中向下、平行和向上流動。

八是監(jiān)控。整個企業(yè)風險管理處于監(jiān)控之下,必要時還會進行修正。這種方式能夠動態(tài)地反應風險管理狀況，并使之根據(jù)條件的要求而變化。監(jiān)控通過持續(xù)的管理活動、對企業(yè)風險管理的單獨評價或者兩者的結(jié)合來完成。

（三）全面風險管理與內(nèi)部控制的關(guān)系

談到風險管理，則一定會提到企業(yè)內(nèi)部控制。在實踐中有很多企業(yè)不能真正理解全面風險管理與內(nèi)部控制的區(qū)別和聯(lián)系，要么將兩者完全隔離開來，要么只是簡單地將它們等同起來。其實，兩者之間既有區(qū)別又有聯(lián)系。

全面風險管理與內(nèi)部控制的聯(lián)系：

一是全面風險管理涵蓋了內(nèi)部控制。COSO框架中明確地指出全面風險管理體系框架包括內(nèi)部控制，將之作為一個子系統(tǒng)。

二是內(nèi)部控制是全面風險管理的必要環(huán)節(jié)。內(nèi)部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務(wù)流程之中的風險，內(nèi)控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時，維持充分的內(nèi)控系統(tǒng)也是國內(nèi)外許多法律法規(guī)的合規(guī)要求。因此，滿足內(nèi)部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應該達到的基本狀態(tài)。

全面風險管理與內(nèi)部控制的區(qū)別：

一是兩者的范疇不一致。內(nèi)部控制僅是管理的一項職能，主要是通過事后和事中的控制來實現(xiàn)其目標，而全面風險管理則貫穿于管理過程的各個階段，覆蓋了各個不同的環(huán)節(jié)，更重要的是在事前就對風險有了一定的預見性的考慮。而且，全面風險管理所要達到的目標多于內(nèi)部控制。

二是兩者的活動不一致。全面風險管理的一系列具體活動并不都是內(nèi)部控制要做的。全面風險管理包含了選擇風險評估方法、制定風險管理目標、制定相關(guān)戰(zhàn)略、報告程序及聘用管理人員等多個環(huán)節(jié)，而內(nèi)部控制主要負責的是風險管理過程中間及其以后的重要活動，例如對風險的評估和，對財務(wù)報告的評估，信息與交流活動的監(jiān)督，對操作流程的不規(guī)范進行糾正等等。兩者最大的差別在于內(nèi)部控制不負責企業(yè)經(jīng)營目標的具體設(shè)立，而只是對目標的制定過程進行監(jiān)控和評價，尤其是對目標制定中的風險進行評估。

三是兩者對風險的管理不一致。全面風險管理框架包括了風險偏好、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎(chǔ)上，促使企業(yè)發(fā)展戰(zhàn)略向風險偏好靠攏，根據(jù)資金投入、經(jīng)營風險與利潤回報之間的聯(lián)系，進行經(jīng)濟資本分配，幫助管理層實現(xiàn)全面風險管理的目標。這些功能都是內(nèi)部控制框架能力范圍之外的。

從目前企業(yè)的管理發(fā)展趨勢來看，企業(yè)的全面風險管理與內(nèi)部控制管理已經(jīng)交集密切，互相密不可分。通過上面的描述，我們可以看出，全面風險管理及內(nèi)部控制實際上都是以保護企業(yè)的財產(chǎn)安全、保證企業(yè)的經(jīng)營結(jié)果、實現(xiàn)企業(yè)的戰(zhàn)略目標為最終的目的。內(nèi)部控制是全面風險管理的重要核心內(nèi)容，而全面風險管理則在內(nèi)部控制的基礎(chǔ)上升華擴散。概括的說，內(nèi)部控制使得企業(yè)的日常經(jīng)營管理流程更加規(guī)范、財務(wù)管理真正的有效實施，與此同時企業(yè)內(nèi)部的規(guī)范性操作流程、財務(wù)管理控制也正是全面風險管理在企業(yè)實施的基本條件。

第四篇：淺析全面風險管理與內(nèi)部控制的關(guān)系

淺析全面風險管理與內(nèi)部控制的關(guān)系

一、內(nèi)部控制和全面風險管理在COSO框架中的定義

現(xiàn)代理論界對內(nèi)部控制的定義各不相同，但被普遍接受的定義是國際權(quán)威機構(gòu)美國的COSO委員會對內(nèi)部控制的定義。COSO于2004 年發(fā)布了《企業(yè)風險管理——整合框架》，在該框架的附錄C中指出，“內(nèi)部控制被涵蓋在企業(yè)風險管理之內(nèi)，是其不可分割的一部分”。

該組織認為：企業(yè)內(nèi)部控制是由企業(yè)董事會、經(jīng)理層以及其他員工共同實施的，為財務(wù)報告的準確性、經(jīng)營活動的效率與效果、相關(guān)法律法規(guī)的遵循等目標的實現(xiàn)而提供合理保證的過程。在COSO委員會的《內(nèi)部控制管理框架》中，把內(nèi)部控制活動分成五大組成部分，即：控制環(huán)境、風險評估、控制活動、信息與交流和監(jiān)督評審。

在多年的管理實踐中，人們意識到一個企業(yè)內(nèi)部不同部門或不同業(yè)務(wù)的風險，有的會相互疊加放大，有的則相互抵消減少。因此，風險的考慮不能僅僅從某項業(yè)務(wù)、某個部門的角度出發(fā)，必須根據(jù)風險組合的觀點，從貫穿整個企業(yè)的角度看風險，即要實行全面風險管理。

依據(jù)COSO委員會 2003年7月完成的《全面風險管理框架》定義：企業(yè)風險管理是一個過程，是由企業(yè)的董事會、管理層以及其他人員共同實施的，應用于戰(zhàn)略制定及企業(yè)各個層次的活動，旨在識別可能影響企業(yè)的各種潛在事件，并按照企業(yè)的風險偏好管理風險，為企業(yè)目標的實現(xiàn)提供合理的保證。該框架有三個維度，第一維是企業(yè)的目標；第二維是全面風險管理要素；第三維是企業(yè)的各個層級。第一維企業(yè)的目標有4個，即戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。第二維全面風險管理要素有8個，即內(nèi)部環(huán)境、目標設(shè)定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控。第三個維度是企業(yè)的各個層級，包括整個企業(yè)、各職能部門、各條業(yè)務(wù)線及下屬各子公司?！度骘L險管理框架》三個維度的關(guān)系是：全面風險管理的8個要素都是為企業(yè)的四個目標服務(wù)的；企業(yè)各個層級都要堅持同樣的四個目標；每個層次都必須從以上8個方面進行風險管理。

二、內(nèi)部控制與全面風險管理的聯(lián)系

1.全面風險管理涵蓋了內(nèi)部控制。COSO2003年7月公布了全面風險管理框架的征求意見稿中明確地指出全面風險管理體系框架包括內(nèi)控作為一個子系統(tǒng)。全面風險管理除包括內(nèi)部控制的3個目標之外，還增加了戰(zhàn)略目標；全面風險管理的8個要素除了包括內(nèi)部控制的全部5個要素之外，還增加了目標設(shè)定、事件識別和風險對策3個要素。從時間先后和內(nèi)容上來看，全面風險管理是對內(nèi)部控制的拓展和延伸。

2.內(nèi)部控制是全面風險管理的必要環(huán)節(jié)。內(nèi)部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務(wù)流程之中的風險，內(nèi)控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時，維持充分的內(nèi)控系統(tǒng)也是國內(nèi)外許多法律法規(guī)的合規(guī)要求。因此，滿足內(nèi)部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應該達到的基本狀態(tài)。

3.內(nèi)部控制是風險管理的重要手段。內(nèi)部控制是風險管理的重要手段體現(xiàn)在以下三個方面：第一，采用內(nèi)部控制措施可以處理大部分風險。就一般工業(yè)企業(yè)而言，除采取保險等措施外，大部分風險都可以通過采取內(nèi)部控制措施來解決，而這也正是我們所熟悉的，如內(nèi)部牽制措施、預算控制、實物控制、運營分析等。如果主要通過外包方案或者外部的其他力量來解決風險，其比采用內(nèi)部控制控制措施的成本會高很多。第二，可以采取內(nèi)部控制和其他措施聯(lián)合解決的部分風險。內(nèi)部控制措施可能只能在一定程度上解決某項具體風險，或者說僅采用內(nèi)部控制措施還不能使風險保持在可以承受的范圍內(nèi)，因此必須協(xié)同其他措施進行聯(lián)合管理，如外匯風險、被收購的風險、稅務(wù)風險等，以稅務(wù)風險為例，企業(yè)聘請中介機構(gòu)代為申報納稅，或者由中介機構(gòu)對企業(yè)稅務(wù)申報情況出具審核報告，從而減少稅務(wù)合規(guī)性風險。第三，對于完全采取內(nèi)部控制以外惡其他措施解決的風險在實務(wù)中非常少見。

三、內(nèi)部控制與全面風險管理的差異

1.兩者的范疇不一致。內(nèi)部控制僅是管理的一項職能，主要是通過事后和過程的控制來實現(xiàn)其自身的目標；而全面風險管理則貫穿于管理過程的各個方面，控制的手段不僅體現(xiàn)在事中和事后的控制，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多于內(nèi)部控制。

2.兩者的活動不一致。全面風險管理的一系列具體活動并不都是內(nèi)部控制要做的。目前所提倡的全面風險管理包含了風險管理目標和戰(zhàn)略的設(shè)定、風險評估方法的選擇、管理人員的聘用、有關(guān)的預算和行政管理、以及報告程序等活動。而內(nèi)部控制所負責的是風險管理過程中間及其以后的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監(jiān)督評審與缺陷的糾正等工作。兩者最明顯的差異在于內(nèi)部控制不負責企業(yè)經(jīng)營目標的具體設(shè)立，而只是對目標的制定過程進行評價，特別是對目標和戰(zhàn)略計劃制定當中的風險進行評估。

3.兩者對風險的定義不一致。在COSO委員會的全面風險管理框架中，把風險明確定義為“對企業(yè)的目標產(chǎn)生負面影響的事件發(fā)生的可能性”（將產(chǎn)生正面影響的事件視為機會），將風險與機會區(qū)分開來；而在COSO委員會的內(nèi)部控制框架中，沒有區(qū)分風險和機會。

4.兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎(chǔ)上，有利于企業(yè)的發(fā)展戰(zhàn)略與風險偏好相一致，增長、風險與回報相聯(lián)系，進行經(jīng)濟資本分配及利用風險信息支持業(yè)務(wù)前臺決策流程等，從而幫助董事會和高級管理層實現(xiàn)全面風險管理的4項目標。這些內(nèi)容都是內(nèi)部控制框架中沒有的，也是其所不能做到的。

四.與內(nèi)部控制相比，全面風險管理在范圍與內(nèi)容上的擴大

簡單地看，相對于內(nèi)部控制框架而言，新的COSO報告新增加了一個觀念、一個目標、兩個概念和三個要素，即“風險組合觀”、“戰(zhàn)略目標”、“風險偏好”和“風險容忍度”的概念以及“目標制定”、“事項識別”和“風險反應”要素。對應風險管理的需要，新框架還要求企業(yè)設(shè)立一個新的部門——風險管理部。新的風險管理框架比起內(nèi)部控制框架，無論在內(nèi)容還是范圍上都有所擴大和提高，具體表現(xiàn)在：

1.提出一個新的觀念―風險組合觀

在單獨考慮如何實現(xiàn)企業(yè)各個目標的過程中，企業(yè)風險管理框架更看重風險因素。除單獨考慮各個風險因素之外，更有必要從總體的、組合的角度理解風險。企業(yè)風險管理要求企業(yè)管理者以風險組合的觀點看待風險，對相關(guān)的風險進行識別并采取措施使企業(yè)所承擔的風險在風險偏好的范圍內(nèi)。對企業(yè)內(nèi)每個單位而言，其風險可能落在該單位的風險容忍度范圍內(nèi)，但從企業(yè)總體來看，總風險可以超過企業(yè)總體的風險偏好范圍。因此，應從企業(yè)總體的風險組合的觀點看待風險。

2．增加一類目標—戰(zhàn)略目標，并擴大了報告目標的范疇

內(nèi)部控制框架將企業(yè)的目標分為三類――經(jīng)營、財務(wù)報告和合法性目標。企業(yè)風險管理框架也包含三個類似的目標，但是其中只有兩個目標與內(nèi)部控制框架中的定義相同，財務(wù)報告目標的界定則有所區(qū)別。內(nèi)部控制框架中的財務(wù)報告目標只與公開披露的財務(wù)報表的可靠性相關(guān)，而企業(yè)風險管理框架中的報告目標的范圍有很大的擴展，該目標覆蓋了企業(yè)編制的所有報告，既包括內(nèi)部報告，也包括外部報告；既包括企業(yè)內(nèi)部管理者使用的報告，也包括向外部提供的報告；既包括法定報告，也包括向其他利益相關(guān)者年的非法定報告；既包括財務(wù)信息，也包括非財務(wù)信息。此外，企業(yè)風險管理框架比內(nèi)部控制框架增加了一個目標——戰(zhàn)略目標。該目標的層次比其他三個目標更高。戰(zhàn)略目標來源于企業(yè)的任務(wù)或?qū)ξ磥淼念A期，經(jīng)營、報告和合法目標都與其相關(guān)。企業(yè)的風險管理在應用于實現(xiàn)企業(yè)其他三類目標的過程中，也應用于企業(yè)的戰(zhàn)略制定階段。

3．針對風險度量提出兩個新概念—風險偏好和風險容忍度

風險管理框架是針對企業(yè)目標實現(xiàn)過程中所面臨的風險，對企業(yè)風險管理提出風險偏好和風險容忍度兩個概念。從廣義上看，風險偏好是指企業(yè)在實現(xiàn)其目標的過程中愿意接受的風險的數(shù)量。一般從定性的角度將風險偏好分為風險喜好、風險中性和風險厭惡三種類型。此外，企業(yè)也可以采用定量的方法對風險偏好進行衡量，反映企業(yè)的目標、收益與風險之間的關(guān)系并進行權(quán)衡。企業(yè)的風險偏好與企業(yè)的戰(zhàn)略直接相關(guān)，企業(yè)在制定戰(zhàn)略時，應考慮將該戰(zhàn)略的既定收益與企業(yè)的風險偏好結(jié)合起來。不同的戰(zhàn)略給企業(yè)帶來的風險也不同，在企業(yè)戰(zhàn)略制定階段就進行風險管理，就是要幫助企業(yè)的管理者在不同戰(zhàn)略間選擇與企業(yè)的風險偏好相一致的戰(zhàn)略。

風險偏好的概念是建立在風險容忍度概念基礎(chǔ)上的。風險容忍度是指在企業(yè)目標實現(xiàn)的過程中對差異的可接受程度，是企業(yè)在風險偏好的基礎(chǔ)上設(shè)定的對相關(guān)目標實現(xiàn)過程中所出現(xiàn)的差異的可容忍限度。在確定各目標的風險容忍度時，企業(yè)應考慮相關(guān)目標的重要性，并將其與企業(yè)風險偏好聯(lián)系起來。將風險控制在風險容忍度之內(nèi)能夠在更大程度上保證企業(yè)的風險被控制在風險偏好的范圍內(nèi)，也就能夠從更高程度上保證企業(yè)目標的實現(xiàn)。

4．增加了三個風險管理要素，對其他要素的分析更加深入，范圍上也有所擴大

企業(yè)風險管理框架新增了三個風險管理要素——“目標制定”、“事項識別”和“風險反應”。此外，針對企業(yè)將管理的重心移至風險管理，風險管理框架更加深入地闡述了其他要素的內(nèi)涵，并擴大了相關(guān)要素的范圍。

（1）目標制定:在風險管理框架中，由于要針對不同的目標分析其相應的風險，因此目標的制定自然就成為風險管理流程的首要步驟，并將其確認為風險管理框架的一部分。

（2）事項識別:企業(yè)風險管理和內(nèi)部控制框架都承認風險來自于企業(yè)內(nèi)、外部各種因素，而且可能在企業(yè)的各個層面上出現(xiàn)，并且應根據(jù)對實現(xiàn)企業(yè)目標的潛在影響來確認風險。但是，企業(yè)風險管理框架深入探討了潛在事項的概念，認為潛在事項是指來自于企業(yè)內(nèi)部和外部資源的，可能影響企業(yè)戰(zhàn)略的執(zhí)行和目標的實現(xiàn)的一件或者一系列偶發(fā)事項。存在潛在的積極影響的事項代表機遇，而存在潛在負面影響的事項則稱為風險。企業(yè)風險管理框架采用一系列技術(shù)來識別有關(guān)事項并考慮有關(guān)事項的起因，對企業(yè)過去和未來的潛在事項以及事項的發(fā)生趨勢進行計量。

（3）風險反應:企業(yè)風險管理框架提出對風險的四種反應方案――規(guī)避、減少、共擔和接受風險。作為風險管理的一部分，管理者應比較不同反應方案的潛在影響，并且在接受的殘存風險應在企業(yè)風險容忍度范圍內(nèi)的假設(shè)下，考慮風險反應方案的選擇。在個別和分組考慮風險的各反應方案后，企業(yè)管理者應從總體的角度考慮企業(yè)選擇的所有風險反應方案組合后對企業(yè)的總體影響。

（4）控制環(huán)境:在控制環(huán)境要素上，企業(yè)風險管理框架更直接、更廣泛地關(guān)注風險是如何影響企業(yè)的風險文化，無論是明確地還是無意地影響。企業(yè)的風險文化是企業(yè)員工共有的態(tài)度、價值、目標和行動的集合，它表明企業(yè)是如何認識風險的。

（5）風險評估:內(nèi)部控制框架和企業(yè)風險管理框架都強調(diào)對風險的評估，評估特定風險發(fā)生的可能性和風險的潛在影響，但企業(yè)風險管理框架建議更加透徹地看待風險管理，即從固有風險和殘存風險的角度來看待風險，對風險影響的分析則采用簡單算術(shù)平均數(shù)、最差的情形下的估計值或者事項的分布等技術(shù)來分析。最好能夠找到與風險相關(guān)的目標一致的計量單位進行計量，將風險與相關(guān)的目標聯(lián)系起來。風險評估的時間基準應與企業(yè)的戰(zhàn)略和目標相一致，如果可能，時間基準也應與可觀測到的數(shù)據(jù)相一致。企業(yè)風險管理框架還要求注意相互關(guān)聯(lián)的風險，確定一件單一的事項如何為企業(yè)帶來多重的風險。

（6）信息和溝通:企業(yè)風險管理框架擴大了企業(yè)信息和溝通的構(gòu)成內(nèi)容，認為企業(yè)的信息應包括來自過去、現(xiàn)在和未來潛在事項的數(shù)據(jù)。歷史數(shù)據(jù)可以使企業(yè)將實際的經(jīng)營成果與目標、計劃和預期相比較，以深入了解企業(yè)在過去不斷變化的市場條件下是如何經(jīng)營的?，F(xiàn)在狀況的數(shù)據(jù)可以向企業(yè)管理者提供更多重要的信息，而未來潛在事項的數(shù)據(jù)和潛在的影響因素可以幫助完成對信息的分析。企業(yè)的信息系統(tǒng)的基本職能應以時間序列的形式收集、捕捉數(shù)據(jù)，其收集數(shù)據(jù)的詳細程度則視企業(yè)風險識別、評估和反應的需要而定，并保證將風險維持在風險偏好的范圍內(nèi)。此外，由于各管理層是企業(yè)風險管理（或者內(nèi)部控制）的組成部分，并為企業(yè)的風險管理（或者內(nèi)部控制）提供信息，因此，兩個框架對不同管理層的地位和責任都比較關(guān)注。但相對于內(nèi)部控制框架，企業(yè)風險管理框架提出設(shè)立新的風險管理部門并規(guī)定了風險管理員的地位和職責，同時擴大了董事會的職責。

研1310 蔡燁路 132060461

第五篇：國庫內(nèi)部控制全面風險管理研究論文范文

一、國庫信息化建設(shè)趨勢

國庫信息化建設(shè)是我國國庫發(fā)展與改革的方向與必然趨勢，在電子信息技術(shù)時代背景下，國庫業(yè)務(wù)與管理只有與先進的電子信息技術(shù)手段相結(jié)合，才能充分發(fā)揮國庫會計管理職能，拓展國庫信息功能，實現(xiàn)國庫統(tǒng)計信息的決策有用目標，提升國庫在國家預算執(zhí)行中的重要地位。以“3T”為核心的國庫信息化系統(tǒng)框架的建立，是國庫順應信息化發(fā)展對傳統(tǒng)國庫業(yè)務(wù)流程及會計管理進行變革的重大舉措，其本質(zhì)是國庫會計業(yè)務(wù)與電子信息技術(shù)相融合的動態(tài)發(fā)展過程，促進了傳統(tǒng)國庫向現(xiàn)代國庫的轉(zhuǎn)變。國庫業(yè)務(wù)信息化不僅是將計算機、網(wǎng)絡(luò)、通信等先進的電子信息技術(shù)引入國庫工作，并與傳統(tǒng)的國庫工作相融合，在業(yè)務(wù)核算及賬務(wù)處理等方面發(fā)揮作用，它還包含更深刻的內(nèi)容，國庫信息化建設(shè)具有以下顯著特征:以計算機、網(wǎng)絡(luò)及通訊等現(xiàn)代電子信息技術(shù)為技術(shù)手段;以實現(xiàn)國庫業(yè)務(wù)的信息化管理為目標;依據(jù)國庫業(yè)務(wù)發(fā)展目標，按信息管理原理與電子信息技術(shù)重組國庫業(yè)務(wù)流程;國庫信息的提供能及時很好的滿足用戶的需求;國庫業(yè)務(wù)信息的傳輸空間范圍進一步拓寬;國庫信息數(shù)據(jù)的表現(xiàn)形式更加多樣化。國庫信息化建設(shè)的核心是電子信息技術(shù)在國庫業(yè)務(wù)中的綜合運用和對國庫管理決策的支持，國庫信息化是國庫從內(nèi)控理念、組織結(jié)構(gòu)、管理方式、管理手段等方面與國庫信息化建設(shè)的要求相匹配的過程。國庫信息化的主要目標是利用電子信息技術(shù)變革預算執(zhí)行組織框架、規(guī)范國庫業(yè)務(wù)流程、實現(xiàn)國庫數(shù)據(jù)集成化處理，以完善國庫內(nèi)部控制體系，提升國庫管理水平和服務(wù)能力。在信息化環(huán)境下，國庫內(nèi)部控制不僅僅局限于業(yè)務(wù)操作的單個環(huán)節(jié)，而是將上升到國庫管理活動的全過程，其內(nèi)涵和目標得到進一步擴展。

二、信息化背景下國庫內(nèi)部控制存在的問題

雖然隨著國庫風險防控意識的增強以及內(nèi)控制度的不斷完善，國庫已經(jīng)形成一套層層布防、多位一體的內(nèi)部控制體系。但與國庫信息化帶來的風險相比，現(xiàn)有的內(nèi)部控制體系仍存在一定的問題，主要表現(xiàn)在:

(一)國庫內(nèi)部控制環(huán)境

1.內(nèi)部控制意識較為薄弱。內(nèi)控意識是國庫內(nèi)部控制的基礎(chǔ)性因素，是保證內(nèi)控制度有效執(zhí)行、國庫人員自覺遵循的文化保障。但目前國庫人員的內(nèi)控意識仍處于初級階段，特別是部分國庫管理人員將內(nèi)部控制簡單理解為規(guī)章制度的匯總，認為開展內(nèi)部控制就是制定各類規(guī)章制度，恰恰忽視了內(nèi)部控制的本質(zhì)其實是一種業(yè)務(wù)運作過程中環(huán)環(huán)相扣、相互制約的機制。

2.人力資源瓶頸約束及績效考核困境。由于國庫業(yè)務(wù)及資金運行的特殊性，國庫工作對崗位設(shè)置及人員配備具有剛性需求，內(nèi)部牽制不允許存在不合理兼崗，人員瓶頸比較突出，中心支庫層面，由于人民銀行機構(gòu)設(shè)置限制，大部分中心支庫普遍采用一機多庫做法，同時經(jīng)理市級和區(qū)級財政國庫業(yè)務(wù)，雖然近年來不斷補充人員力量，但相較其他專業(yè)部門仍處業(yè)務(wù)量飽和狀態(tài);縣支庫層面，人員老化、配備不足、學歷水平低情況突出，個別甚至無法滿足正常業(yè)務(wù)崗位需求。同時，目前約束過度和激勵不足的問題在國庫專業(yè)普遍存在，造成干的越多錯的越多的不平等狀態(tài)，影響了國庫業(yè)務(wù)人員積極性的發(fā)揮。

(二)國庫內(nèi)部控制活動

1.“制度規(guī)范”模式為基礎(chǔ)的規(guī)范體系靈活性不足。國庫會計作為預算會計的分支，一直采取“制度規(guī)范”而不是準則規(guī)范的形式，對科目設(shè)置及使用、核算流程及方法、報表編制進行詳細具體的規(guī)范。在實踐中，這一模式卻存在一個固有不足，即所有的會計事項都要在現(xiàn)有制度中進行規(guī)定，一旦會計環(huán)境發(fā)生變化，出現(xiàn)新的問題，某個方面的規(guī)定便不再適用，內(nèi)控制度就會失效。在國庫制度建設(shè)實踐中，以“制度規(guī)范”模式為基礎(chǔ)的規(guī)范體系弊端仍舊明顯，制度滯后和制度真空問題客觀存在，而要求制度建設(shè)隨著各項基本業(yè)務(wù)和會計環(huán)境的變化隨時更新不僅是不現(xiàn)實的，更不符合成本效益原則。

2.以靜態(tài)的事后監(jiān)控手段為主，難以實現(xiàn)動態(tài)及時監(jiān)督。目前，對國庫業(yè)務(wù)進行實地業(yè)務(wù)檢查仍是國庫內(nèi)部控制體系中對業(yè)務(wù)過程進行監(jiān)控的主要手段。這一手段是對一個時間段內(nèi)所發(fā)生的業(yè)務(wù)進行抽查，這屬于事后監(jiān)督的范疇，對業(yè)務(wù)差錯及問題的處理也是事后處置，缺乏對國庫業(yè)務(wù)整體鏈條中存在的風險進行事前預防性的監(jiān)督檢查，也不能做到業(yè)務(wù)處理流程的動態(tài)的實時的日常監(jiān)控，降低了風險識別、風險提示和風險防范的效果。

3.監(jiān)督控制手段落后，監(jiān)督效率與業(yè)務(wù)信息化水平不匹配。隨著各項國庫業(yè)務(wù)系統(tǒng)的推廣，國庫業(yè)務(wù)處理信息化水平越來越高，與此相對應的，國庫監(jiān)督檢查還處于手工翻閱原始資料階段，國庫監(jiān)管的計算機應用水平遠遠落后于國庫業(yè)務(wù)系統(tǒng)，進一步影響了監(jiān)督控制作用的發(fā)揮。另外，隨著國庫信息化建設(shè)的深入推進，國庫業(yè)務(wù)系統(tǒng)應用水平顯著提升，傳統(tǒng)的監(jiān)督控制手段難以適應新形勢下國庫監(jiān)管的需要，更無法實現(xiàn)內(nèi)部控制要求的監(jiān)控作用。

(三)國庫內(nèi)部控制評價

1.沒有進行事項識別，國庫風險揭示不足或揭示過度現(xiàn)象同時存在。事項是源于內(nèi)部或外部的影響戰(zhàn)略實施或目標實現(xiàn)的事故或時間。作為國庫風險管理的一部分，認識、發(fā)現(xiàn)和了解各類內(nèi)外部因素以及由這些因素引發(fā)的事項的類別非常重要。事項有顯性和隱性之分，所產(chǎn)生的影響效用也不盡相同。為避免忽略相關(guān)事項，需要把識別事項發(fā)生的可能性和評估事項產(chǎn)生的影響區(qū)分開來，后者屬于風險評估的范疇。目前的國庫內(nèi)部控制體系中，沒有明確的事項識別過程和環(huán)節(jié)，而是直接對風險進行識別與評估，風險揭示不足或過度同時存在。

2.風險評估簡單，評估手段落后。國庫內(nèi)部控制及監(jiān)督長期以來以內(nèi)部風險監(jiān)控為主要方面，因此通常將風險評估的重點用來防范操作風險和管理風險。但是隨著國庫業(yè)務(wù)信息化的發(fā)展以及國庫關(guān)聯(lián)業(yè)務(wù)系統(tǒng)建設(shè)，內(nèi)部控制環(huán)境發(fā)生了巨大變化，既有自身存在的操作風險、管理風險等，也有外部關(guān)聯(lián)系統(tǒng)及業(yè)務(wù)帶來的風險。而且，由于服務(wù)對象需求的推動，國庫創(chuàng)新業(yè)務(wù)種類不斷增加，針對新業(yè)務(wù)的風險評估也尚未開展，這些都對國庫風險管理提出更大的挑戰(zhàn)。

三、基于全面風險管理的國庫內(nèi)部控制體系再造

(一)國際主流內(nèi)部控制理論及發(fā)展－COSO理論

隨著組織治理結(jié)構(gòu)的完善及信息技術(shù)的發(fā)展，20世紀90年代以后，內(nèi)部控制成為管理科學化的重要標志。1992年，美國會計學會、注冊會計師協(xié)會等組織成立了研究內(nèi)部控制問題的COSO委員會，并發(fā)布了《內(nèi)部控制———整體框架》即COSO報告，對內(nèi)部控制五要素進行劃分:控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。提出:1.強化風險管理意識，指出任何性質(zhì)的組織，任何層級都存在各類風險。各類管理人員必須密切關(guān)注自身面臨的風險，及時采取措施進行風險控制。2.將內(nèi)部控制視作是一個系統(tǒng)的動態(tài)的過程，這一過程是發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復不斷優(yōu)惠的過程。3.強調(diào)內(nèi)部控制的過程與組織的經(jīng)營管理過程高度統(tǒng)一、相互結(jié)合。4.明確組織中的每一個人都對內(nèi)部控制負有責任。

(二)國庫內(nèi)部控制發(fā)展新趨勢

隨著內(nèi)部控制理論與實踐的持續(xù)發(fā)展，信息化環(huán)境下國庫內(nèi)部控制應立足于全面風險管理的內(nèi)部控制體系構(gòu)建:發(fā)展的趨勢應是基于:

1.內(nèi)部控制貫穿于國庫業(yè)務(wù)操作和管理的全過程，這一過程中所有的的參與者都是內(nèi)部控制系統(tǒng)中不可或缺的一個環(huán)節(jié)，根據(jù)業(yè)務(wù)崗位不同對相應內(nèi)部控制環(huán)節(jié)的有效性負責。

2.內(nèi)部控制真正發(fā)揮其作用，需要良好的國庫內(nèi)部控制環(huán)境，需要國庫人員從根本上理解和接受內(nèi)控思想，并轉(zhuǎn)化成自覺的行為準則。

3.確保崗位設(shè)置、業(yè)務(wù)流程設(shè)計符合內(nèi)部控制的基本要求，才能做到既保證業(yè)務(wù)處理順暢，又能做到相互監(jiān)督、相互制約。

4.國庫信息化建設(shè)的全面鋪開，為提高內(nèi)部控制手段和水平、降低成本、提升內(nèi)部控制有效程度奠定了基礎(chǔ)。

5.國庫內(nèi)部控制不僅僅是事后控制，而是貫穿于國庫業(yè)務(wù)和管理活動各流程、各環(huán)節(jié)、全過程。

6.國庫內(nèi)控要強調(diào)風險意識，強化對國庫風險的識別、評估以及采取風險控制活動。

7.信息化環(huán)境下國庫內(nèi)部控制實質(zhì)上是一個信息運動的過程，通過信息互動引導國庫資金、業(yè)務(wù)操作按照預定方向運行，實現(xiàn)組織目標。

8.國庫內(nèi)部控制建設(shè)必須在一定成本約束下進行。

(三)國庫內(nèi)部控制體系再造

1.通過國庫文化建設(shè)塑造良好的國庫內(nèi)控環(huán)境。國庫文化具有較強的伴生性，是與國庫管理實踐緊密結(jié)合在一起的，并被全體國庫人員認可接受并遵循的價值標準、思維方式、行為規(guī)范的總稱，也是國庫文化、人員素質(zhì)和制度體系的復合體。國庫部門應高度重視國庫文化建設(shè)，通過完善獎懲制度、加強業(yè)務(wù)培訓等形式，引導國庫人員樹立正確的價值觀，塑造積極健康的國庫內(nèi)控環(huán)境。

2.實施全面風險管理。首先，對國庫風險事項進行識別，對國庫風險種類、特征以及影響進行專業(yè)識別，對風險事項收到的內(nèi)外部因素進行甄別判斷。其次，科學開展國庫風險評估，使國庫主題能夠充分考慮潛在的風險事項產(chǎn)生的影響。再次，進一步完善風險應對措施。風險應對是指國庫制定風險防控措施的過程，其目的是降低國庫風險，并對風險進行有力的控制。

3.科學開展國庫內(nèi)部控制活動。控制活動是指為確保國庫資金安全，國庫開展風險管理而采取的相應政策和程序。國庫內(nèi)部控制活動貫穿于整個國庫業(yè)務(wù)環(huán)節(jié)和流程，遍及各級次和各核算主體?？刂苹顒优c國庫工作的各個崗位、各個流程、各個環(huán)節(jié)相結(jié)合，包括一系列不同的業(yè)務(wù)活動，例如授權(quán)、審核、檢查、崗位制約等。

4.暢通國庫內(nèi)控信息的交流溝通。暢通信息溝通交流渠道，保證所有國庫員工能夠及時獲取、傳遞、交換和反饋內(nèi)部控制與風險管理的相關(guān)信息，并對信息進行處理，在滿足信息安全性和保密性的前提下，滿足總庫、分支庫、崗位和相關(guān)人員的信息需求，保證國庫內(nèi)外信息交流渠道暢通。暢通的信息交流與溝通既有利于信息化環(huán)境下的國庫內(nèi)部控制建設(shè)，國庫信息化也為內(nèi)控信息交流溝通提供了信息技術(shù)支持。

5.加強國庫內(nèi)部控制有效性的監(jiān)控。監(jiān)控是指國庫內(nèi)外部監(jiān)督部門，對國庫內(nèi)部控制活動的有效性、合規(guī)性等進行日常監(jiān)督，對內(nèi)控體系進行持續(xù)改進的過程。國庫內(nèi)部控制是個持續(xù)改進的過程，這要求國庫部門不斷的對內(nèi)部控制的目標、政策、程序及制度體系進行調(diào)整和完善，提高內(nèi)部控制的有效性合規(guī)性。