内部控制风险分类(6篇)

内部控制风险分类篇1

一、XBRL的应用导致内部控制环境改变

（一）XBRL的应用改变内部控制环境作为基于XML语言的新型财务报告语言，XBRL文档内容的语法格式是文档内容。XBRL“带标签”的特性既能大幅度增加财务报告披露的透明度，又能极大地提高财务报告信息处理的效率和功能。XBRL可以实现财务信息系统的电子化、标准化与规范化，完善企业内部管理信息系统平台、提高管理绩效，XBRL将改变财务报告和其他会计信息，通过互联网在组织和机构之间的交流和传递方式，对会计信息供应链与互联网结合起着有力的推动作用。基于XBRL的上述优点，企业管理层在编制财务报告时将很大程度依赖于XBRL会计信息系统的帮助，来进行信息披露和管理决策，这给企业在内部控制方面带来了巨大的冲击和挑战。

（二）XBRL环境会产生内部与外部的风险企业在日常的生产经营中总会面临着来自内部或外部的风险。XBRL技术的应用，导致内部控制框架的内部构成产生变化，虽然为提高企业内部控制效率、增强内部控制效果带来了新的机会，但同时在系统安全性等方面产生了潜在的风险。推进XBRL应用是一项较为复杂的系统工程，XBRL的实施会导致企业业务流程发生重大变化，改变内部控制环境，作为内部控制第一要素的环境因素发生改变，必会影响企业

的内部控制其他因素，产生来自企业内部或外部的风险。

二、XBRL环境下内部控制风险分析

（一）XBRL应用环境的内部风险具体包括：（1）组织结构风险。在XBRL环境下，内部控制的组织结构发生改变，内部控制环境进一步复杂。首先，通过网络平台，管理人员随时可以很方便地从办公室的计算机来采集所需信息，现代企业日趋扁平化的内部组织管理结构，对人事关系产生影响、人员岗位轮换、报告程序变动，这些都会削弱组织结构的稳定性，即使违规操作也不易被发现，很容易使管理失去控制。其次，权利与义务划分不清，出了事故无法追究管理责任，造成部门之间相互推卸责任。且组织内各成员的价值观、专业背景差距较大，容易造成内部矛盾与冲突。第三，XBRL是个网络开放平台，企业利益相关者可以随时上网，很方便地获取相关信息，介入公司的信息活动。（2）控制活动过程风险。一是改变授权方式风险。企业即使是在XBRL的网络环境下，也是由人来完成监督的。电算化会计信息系统对内部控制的要求比手工会计系统更严格，增加了操作权限、口令设置等规定，对财务系统程序员、操作员、分析员及系统维护员都要设置权限、口令或密码，但是其素质参差不齐，如违规操作改变他人的口令或密码，势必导致网络系统管理混乱，产生网络环境下会计信息风险。同时，网络会计授权方式不再是单纯的签字和盖章，很多授权控制通过“嵌入”系统完成，交易授权可由计算机程序自动完成，这就使得授权过程不明显，以至控制的失败往往在发生损失后才被察觉。二是访问控制风险。虽然登录信息系统要输入正确的用户名和密码，才能作相应权限的操作，但用户完成操作后往往忽略了退出控制，如果系统未设置“限时无操作锁屏或自动退出”程序，则会导致已登录的用户在离开以后，身份及权限被他人盗用，私自篡改会计数据或者非法修改企业的系统程序，。此外，很多企业忽视数据划分密级，由于没有进行数据权限划分，黑客即使仅盗取一个普通账号，就可以对企业的数据进行非法、恶意的盗取、修改、删除等操作，破坏所有数据。三是内部控制薄弱风险。网络环境的会计信息系统，对内部控制的要求比手工会计系统严格多了，增加了操作权限、口令设置等规定，基于XBRL的内部控制，很大程度取决于这些会计信息系统中运行程序的质量。在网络环境下，因为一些内部控制被计算机程序化，并嵌入计算机应用系统中，所以，内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性往往取决于应用程序，如果程序发生差错或不起作用，基于人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性，失效控制就会长期不被发现，从而导致系统在特定方面发生错误或违规行为的可能性增大。XBRL的网络财务报告呈报属于Web服务，而Web平台是开放、交互的，始终存在安全隐患。XBRL网络财务报告在呈报过程面临被来自外部的竞争对手或网络黑客非法修改的危险。（3）监督风险。在单机环境下，计算机能在一个相对独立、良好的环境中运行，可有效防止无关人员的接触和非法授权操作。XBRL的实施会导致企业业务流程发生重大改变，加上会计信息系统的开放性和网络化，成千上万个终端机连接着一台服务器，很难有效地控制各个终端，未经授权的用户就有可能利用终端访问系统。另外，网络中的传输线路、接口设备等都可能存在安全隐患。此外，由于在网络系统中可以通过各个终端输入数据，这就增大了输入出错的概率。如果网络系统输入没有得到良好的实时性控制，就会使得这些错误很快蔓延，从而使错误的查找和更正变得更加困难，增加了内部控制监督的难度。会计师事务所的审计活动将面临更大的审计风险。（4）风险评估风险。每个企业都面临着来自内部和外部的不同风险，风险评估就是分析和辨认对实现内部控制目标可能产生负面影响的不确定性因素，并适时加以处理。XBRL信息技术的应用，伴随业务流程的改变，系统的开放性、信息的分散性、数据的共享性，极大地改变了封闭集中状态下的运行环境，从而改变了传统会计信息系统的风险控制内容与方法，使得风险评估难度加大。例如，强大又复杂的计算机系统增加了企业潜在的风险。因为人们的主观判断被忽略，数据处理过于集中，存储的数据可以被改写和删除并且不留痕迹。数据的存放形式也增加了数据再现的难度，以及数据处理过程无法观测等新的风险点构成了内部控制的新内容。授权与控制越来越依赖于信息系统，这些都会增加与信息资产和信息系统相关的风险。（5）信息沟通风险。与业务相分离的XBRL会计信息系统容易形成“信息孤岛”风险。会计信息系统如果只管采集、存储和加工发生经济业务的子集信息，财务人员没有与业务管理人员进行必要的信息沟通，就会造成会计信息系统收集的信息不准确、不全面，信息沟通不畅，从而导致财务人员与业务管理人员之间的不和谐。以致各个部门和子系统易形成一个个“信息孤岛”，直接影响内部控制作用的正常发挥。无论是在理论界还是实务界，对企业内或企业间的信息系统分离，财务系统与其他系统之间的集成对信息质量的影响，未予以高度的重视。在XBRL系统实际应用中，与业务相分离的XBRL系统无法涵盖企业内部控制管理的各项内容，因为每个企业拥有独特的业务流程，如果完全照搬行业的规范来实现数据统一，将无法适应企业的个性特点，产生信息沟通的风险。

（二）XBRL应用环境的外部风险具体包括：（1）XBRL分类标准不完善风险。一个国家的一种报告规范对应一个或一组分类标准，这些分类标准之间相互关联，否则就会造成虽然遵循相同的会计准则，但出现不同的会计信息分类标准的情况。由于XBRL中国地区组织刚成立不久，基于我国会计准则的XBRL分类标准尚未真正建立。虽然《积极推进可扩展商业报告语言（XBRL）应用的暂行规定（征求意见稿）》、《基于企业会计准则的可扩展商业报告语言（XBRL）通用分类标准（征求意见稿）》已向社会公开征求意见，但是没有制定符合自身会计准则特点的XBRL分类标准，XBRL的应用优势就无法体现，从而影响会计信息化的推广和应用。上证所和深交所分别开发了自己的XBRL分类标准，但是都使用各自自行开发的XBRL分类标准。基于此，在实践中根本无法在企业中推广应用XBRL，也无法进行应用软件的深度开发，因为这会加大操作成本，造成无效益的重复劳动，增加内部控制风险。（2）XBRL应用软件不成熟风险。因为XBRL分类标准的不完善，所以XBRL的应用软件的推广受限，国内并不是所有的财务软件都支持XBRL标准，也没有一套适用所有企业的通用型应用软件，无法满足众多非上市公司和中小企业的需要。同时基于成本等因素，企业不会自行开发或选择使用不成熟的应用软件，否则必定要承担较大风险。（3）财务信息安全风险。XBRL的信息披露功能在给企业内外的信息使用者带来便利的同时，也会带来企业信息情报泄露的风险。由于XBRL网络呈报的平台是开放性的，所以在运行过程中更容易受到网络不安全因素的威胁，如修改信息内容、信息泄露、信息替代、IP哄骗、计算机病毒等都严重威胁到网络财务信息安全。因为会计信息是反映企业财务状况和经营成果的重要依据，不得随意泄漏、破坏和遗失，加上XBRL是一个实时的财务报告系统，一旦某一信息发生错误，就可能在瞬间影响大量信息使用者的决策。如果没有有效的网络安全保障，XBRL财务报告就存在被网络黑客或竞争对手非法恶意修改的风险，应用XBRL财务报告具有极大的风险性。（4）缺乏应用XBRL的制度风险。XBRL本身只是一项技术，新技术的使用必定会增加使用成本。企业如果应用XBRL就要购置软硬件、培训人员、还要系统使用维护及升级等，要在人力、物力和财力上作一定投入，企业会有所顾虑。另外，XBRL的应用虽然有技术优势，但也有一定的局限性，如不能改变财会人员做假账的意图等，这种情况下，如果国家或相关管理部门没有制定相关制度和配套措施，未对企业是否应用XBRL、规范化地应用XBRL进行约束，缺乏应用XBRL的制度，容易形成企业抵触XBRL技术应用的风险。（5）XBRL人才短缺风险。XBRL是一个新生事物，国际上的研究也刚开始起步，XBRL中国地区组织刚成立不久，缺乏XBRL标准的权威和专家，对XBRL的研究基本上还停留在理论层面，理论体系尚未形成，更谈不上全面的应用。由于XBRL是网络环境下的新兴技术，涉及财务、会计、管理、计算机等多门学科，具有很高的学科综合性，这就增加了人们对XBRL学习的难度。而我国高校财会专业还未专门开设关于XBRL的课程，也缺乏XBRL的社会培训，造成国内对XBRL认识不足，多数只停留于对XBRL特点、优势等的了解，而对XBRL的技术层面知之甚少，大多数会计人员、审计人员、企业财务人员几乎没有相关的知识储备，真正理解和懂得XBRL标准的人很少，所以，对XBRL的推广应用存在着人才短缺的风险。

三、XBRL环境下应对风险的对策

（一）高度重视XBRL环境下的内部控制风险XBRL的实施会导致企业业务流程发生重大变化，带来内部控制环境发生改变。基于XBRL的会计信息系统，传统会计信息系统中的风险依然存在，有的可能会被弱化，但同时会产生许多新的特殊风险。XBRL环境下，完善企业内部控制时除了要关注传统的内部控制风险之外，还应注意XBRL环境下的特殊风险。人们应充分重视风险，认识风险，防止风险，及时地发现风险，预测风险可能造成的影响，并设法将不良影响控制在最低程度，识别重要风险并建立风险评估和回应机制。

（二）强化人机共同控制传统的内部控制是以单一制度控制为手段的，以人的控制为重点；而XBRL的应用会导致内部控制框架的内部构成产生新的变化，内部控制制度是以计算机程序为载体来实现控制，计算机程序和制度共同控制，所以XBRL环境下的内部控制应当以人和机的共同控制作为重点，加强人和机的共同控制。

（三）制定一套针对XBRL内部控制及风险管理的指南为健全信息系统的内部控制，有关国家政府和国际性组织了信息系统内部控制规范或模型。OECD（经济合作与发展组织）的信息系统安全指导方针将信息安全提升到了文化高度，涵盖了意识、责任、响应、道德、民主、风险评估、安全设计和实施、安全管理以及再评估等内容。美国内部审计协会构建了一个更为现代化的信息系统控制框架――电子系统保证与控制框架（ESAC），整个框架包括控制环境、人工控制系统和自动控制系统以及将控制融入系统的控制程序等三部分。中国注册会计师协会的《独立审计具体准则第20号――计算机信息系统环境下的审计》仅仅是一项具体规范，主要内容是对电子信息系统本身的控制问题。我国目前还没有一套针对XBRL内部控制及风险管理的指南。我国政府与相关组织有必要在借鉴国内外经验的基础上，及早制定基于XBRL的会计信息系统内部控制准则，来指导企业的XBRL风险管理实务。

（四）促进XBRL应用软件的开发XBRL的应用及推广需要有成熟的应用软件，企业编制XBRL财务报表时需要有XBRL报表生成软件；交易所要将上市公司XBRL实例文档的内容导入数据库，需要有相关的XBRL转换软件；投资者要对上市公司XBRL实例文档的数据进行分析比较，则需要XBRL数据展示和分析软件。目前我国自主开发的XBRL应用软件少，参与开发XBRL应用软件开发的软件公司也不多，只是上证所信息公司、深圳证券信息公司、上海新利多公司等，缺乏必要的市场竞争。造成我国XBRL应用软件开发滞后的原因很多，但最根本的原因就是分类标准的不开放和实例文档下载不方便。促进XBRL的推广及发展，创造更流畅的财务信息的传递与共享通道，就要促进XBRL应用软件的开发，企业有成熟的XBRL应用软件可供选择。

（五）加快复合型会计人才培养针对当前XBRL复合型会计人才短缺现状，首先各级财政部门应充分利用各种培训机构及高校资源，以XBRL为平台，积极开展对公司企业、金融保险、会计中介和软件开发商等相关机构财务人员的培训，开展各种形式的应用研讨，尽快普及XBRL技术知识。其次，应加大对XBRL的社会宣传力度，通过会议交流、科普宣传、网站宣传等形式，促进广大投资者和普通信息使用者认识和了解XBRL。最后我国的高校应尽快开设XBRL的相关课程，将其作为经济管理类专业、信息技术类专业的必修或选修课，介绍XBRL的知识，并充分利用网络的真实公司案例，结合XBRL技术开展专业课程教学，更有利于帮助学生利用所学的专业知识解决现实生活中真实的经济问题。

［本文系广西壮族自治区教育厅《中国――东盟自由贸易区框架下广西企业内部控制研究》课题阶段性研究成果］

参考文献：

内部控制风险分类篇2

企业内控机制的强化，风险管理系统的逐步健全，已经成为当代企业管理的一个首要部分。企业内部控制的实施，已经取得初步成效，在企业内部的公司治理逐步完善，防范了市场风险，但在实践过程中，也存在一些薄弱环节。本文在探讨企业内控体制的基础之上，进一步剖析了内部控制的现状与产生的问题，并基于风险管理的视角得出一些改良的方案。

1企业内部控制的演进

在第20世纪40年代的内部控制理论的前身，在第20世纪70年代获得了长足的发展，并逐步形成了一个基于企业层面的内控理论结构。但直到第20世纪90年代的整体内部控制理论，它才真正的被企业所熟悉和使用。在第20世纪90年代，国际金融机构面临前所未有的挑战。如1997年亚洲金融危机，让全世界意识到内部控制的重要性。

2004年，COSO委员会继在《内部控制整体框架》的观点上公布了《企业风险管理整合框架》，由此引发了关于风险与内部控制关系的探究。当前，对于两者的关连一直没有统一的观念，但主导的观点基本上都认为风险管理是内控的延伸。谢志华（2007）认为，内控和风险管理都是基于企业存在的风险而产生的，都是为了进行风险的节制，建议将内部控制与风险管理两者融合为一种统一的理论观念。丁友刚等（2007）提出，内部控制是一种控制机制，意在控制各种风险，并且该机制融入到企业综合风险管理框架之中。内部控制是一个全体员工全程介入的进程，风险管理也如此。内部控制和风险管理的施行主体是相通的，过程是相通的，最终目标还是相通的。管理风险的过程也是实施内控的过程，是协调统一、相辅相成的。

2企业内部控制存在的问题及表现

企业内部控制的施行可以高速运转企业管理机制的强化，推动企业稳定发展。但在实践过程中，内部控制影响风险管理并受其影响。这就决定了我们在分析企业内部控制存在问题时，必须就风险管理系统对企业内部控制的影响分析。其中存在的主要问题有。

2.1内部控制的认识和理解存在偏差

企业内控机制是一种自律体系，将不可避免地被内部控制概念所影响。在实际工作中，一般认为，内部控制整体汇总各种工作制度和业务规则条例，有了规则制度，也有了内部控制。这种对内部控制的观点就是规则条例，内部控制的固有的意义被真实地忽视，但忽视内控是一种机制，是控制的动态运行的事务的过程中，联锁互制的监测作用。这种过失反映了企业内部控制轨制建设过程中，建设只重视内控规制，而轻忽内部控制的实施，以及根据环境的变化对系统的改造。因此，管理者可以采取的补救方法，将精力耗费在处理种种已产生的问题上面，而内控计划的合规性和实施效果往往缺乏高效的测度。当然，企业的发展离不开基本规则，然而，一些规章制度并不是内部控制的全部，更不能取代内部控制机制。这种认识上的偏差是我国企业并没有建立起完善的内部控制体系的重要原因。

2.2内部控制制度不健全

一个明显的问题，内部控制自身的不完善及系统内的互相脱离，详细体现在如下两个方面。

一是内部控制制度牵制乏力。一些企业内部控制制度不仅是在各部门之间相互分裂，有的甚至是相互冲突的。企业内部之间不能很好地实现相互牵制，内部联系脱节。

二是没有做到内控先行。激烈的市场竞争，产品创新层出不穷，但企业缺乏讨论和详细规划在业务展开前，仅仅作原则性规定，在组织的各个层次，并根据不同的市场环境和不同的利益驱使，致使在同一企业，同一业务，操作方式都有所不同。这是不利于企业的管理，更不利于节制各类风险，提高管理和监督成本。

2.3内部控制没有与风险控制系统有机结合

企业内控的难点就是风险控制，也是企业内部控制系统的一个明显柔弱的关键。部分企业虽然成立风险管理部门，但职能仅限于资料的收集和传输，没有与其管理职能相对应的权力。在企业谋划中受到利益驱使，重视经营，轻视管理，自我防范认识较差，自我管制机制还没有完全建全，结果是内部治理跟不上业务发展的需要，内控先行尚未在新业务开发过程中施行，没有充分评估风险，也就是没有有机地控制内部控制与企业本身的风险，不利于企业更好地长远发展。

2.4风险管理系统不完善

我国企业信息管理起步较晚，数据基础管理工作极度缺乏，在风险管理过程中对数据管理存在很大问题。主要包括企业有用数据缺少内在连续性，数据的真实度很低，容易受人为因素影响等。数据的不真实导致风险的评估缺乏可信性，没有在内部控制的基础上实现全面风险管理。

3企业内部控制存在问题的原因

3.1企业风险控制意识短缺

在全球经济、政治一体化的进程中，我国和世界经济联络更加紧密，越来越多的海内企业要跨出国门，加入到国际竞争中去，必定会有很多外资企业奔入国内市场，参加到国内市场竞争中。在当前背景下，国内企业所面对的竞争压力越来越大，各类不确定成分也在逐步增加，企业所面对的各类风险更为错综复杂。但是，海内很多企业风险意识仍旧很柔弱。据数据报道，国内企业管理者所关心的风险大部分停留在财务风险方面，对风险管理与风险控制的认识还很薄弱，从而致使整体企业内部控制失效。

3.2尚未建立全面的风险评估管理体系

波及的业务，增加了一个范围广泛的能力的风险，公司治理与风险管理能力薄弱，缺乏合理的公司治理，缺乏驾驭风险管理与内部控制的专业管理人才，企业风险管理主要处在风险识别与风险评估的阶段，风险应对能力较差，而且在进行内部控制的设计和执行中，对具体业务层面的各项风险考虑较多，但对企业面临的整体风险缺乏整体思考。所以说，企业尚未建成全面的风险评价管理体系，从而导致内控失效。

3.3企业公司治理结构不完善

确保企业内部控制机制施展和激励企业内部控制高效运转的前提和根本条件，同时也是企业可以执行内控制度的环境保证就是完整的公司治理体系。企业内控的主体是企业经营管理层，若是缺乏完整的公司治理模式，企业职权设立和权力均衡系统存在弊端的话，企业内部控制就易失效。对全部控制情况形成有害影响的是组织构造的缺失，企业内在功能低下，业务管理部门人事管理出现交叉，在内部控制实施中易出现责任推卸、职责混乱的现象。

3.4企业内部控制缺乏有效的监督

因为审计规制沿用传统很多，内部审计部门很难对内控制度策划的合理性和有效运转进行连续高效的监视，而且在审计过程当中觉察的问题并没有完成真实的责任落实，在绩效评价机制中没有和领导的考核提升相互挂钩，震慑力很小。所以，为了保证企业管理系统能够进行并生产性能良好，企业内部控制机制要能适应于经营情况不断变革而对应产生的各类新环境，就必须对企业内部控制进行持续监督，从而保证企业在事后监督与事前监督两者的有益结合。

4完善企业内部控制机制的对策

对企业内部控制存在的问题以及产生的原因进行分析表明，风险管理影响企业内部控制。针对如何更好的实现企业内部控制与风险管理的有机结合，主要可以从以下几个方面加以完善：

4.1企业内部推广宣传风险管理理念

培养精良的风险管理认识是实施内部控制机制的紧要环节，是风险管理体系存在的基本条件。企业风险管理理念的宣传是企业制定战略机制的根本工作，而内部控制机制的组建和风险管理理念的宣传又同属于一个体系，两者是互相独立的。大力推广风险管理理念是构建良好企业内部环境的第一要义，企业内部环境的重要组建是关乎企业良性发展的核心体系。因此，只有企业管理者树立正确的风险管理观念，促进它的重要性，积极应对未来面临的各类风险，企业作为一个有机整体，才可促进企业价值的发展。

风险管理理念作为一个企业面对未知风险的整体态度和认识，其重要性是使企业各岗各位的员工都有所认同、有所认识，才能够在事物整体上及时发现潜在风险、认识风险、面对风险，从而进行准确评估，给出合理的应对方案。因此，推广宣传风险管理理念的工作是可取的，从而可以因此加强企业凝聚力。

4.2不断完善企业风险应对管理体系

全面识别企业风险事项。快速识别各种操作风险是企业风险管理的首要前提，风险识别是一个重要的出发点，企业风险管理系统，是企业内部控制的最困难和最重要的工作的实施。在各种风险的生产企业，必须是全面的系统识别，快速反应，区分机遇和风险，从而使企业采取措施或抓住机遇，应对风险。通过企业风险识别体系的构建，确保管理者保持企业战略目标不偏离。企业风险管理部门应当确立企业各部门的风险防范职责，其次企业风险防控部门应进行职能对接，综合处置、共同配合、集中处理应对方案的合理把控，最后核对各部门在生产经营中存在或发现的各种问题，并对其进行综合的分类、汇集，从而有利于加速企业构建风险管理体系的章程。

4.3在企业内开展有关风险管理与内部控制机制的专题讲座

定期性的组织企业全体人员参与有关风险管理理念的专题讲座，从而在案例中反思，间接性的在讲座中了解和普及风险管理的知识与认识，有周期性的讲座可以养成执行内部控制的习惯，风险管理文化的培育讲座更可以让大家养成三思而后行的风险管理意识习惯，从而达到利于企业发展的目的。通过讲座开展一案例一反思，定期进行讲座总结与案例分析更有利于强化员工心理的风险意识，实现内部控制与风险管理理念有机结合。

4.4定期规整总结、定期完善内控条例，最终达到风险管理的全面实施

企业内各部门间应定期总结阶段的成效与错误所在，企业内审计部门应进行不间断监控，有针对性的对周期内发现的风险与不完善之处进行内控执行以及风险治理，采取相对应的改善方案，有周期性的进行总结与完善调控，将有利于推进内控的进程。定期规整总结、定期完善内控条例，有利于提高更为全面的风险管理措施，也可更有利的保证了风险管理和内部控制的合理集合与有效持续的发展。

内部控制风险分类篇3

1.找准风险来源

工程施工企业应结合本行业、本企业的业务特点、企业内部管理特点，找准风险来源，而不能照搬教科书或其他企业的经验。工程施工项目存在合同总价高、施工周期长、受环境影响大、成本变化多等特点，这些特点使工程施工企业面临不同于其他企业的一些特点，因而有必要做到风险防控的个别化、差异化。

2.科学防控风险

工程施工项目风险防范应从科学防控的角度出发，在风险防控机制的建设上做到系统化、科学化、常态化。工程施工项目风险防范的目的是提高企业的科学管理水平，即风险防控只是手段，提高企业管理水平才是目的。

二、工程施工企业常见的各类风险

工程施工项目是一个有机系统，需要各方面、各部门、各阶段均做好风险控制工作，才能有效完善项目管理，减少甚至消灭潜在的风险。从笔者的管理经验来看，工程施工项目常见的各类风险主要有如下几种：第一，投标风险。投标过程中存在的风险主要是由于招标人处于强势地位，买方市场因素决定了投标人的权益难以得到切实保障，投标人的信赖利益极易遭受侵害。第二，合同风险。工程施工中的合同风险主要表现为受到外界政策、经济等因素的影响，合同双方的制约责任是否平等，材料价格是否闭口等。第三，资金风险。资金风险严格来说是合同风险的内容之一，但是资金风险会关系到施工方的现金流转，交易相对方一旦在资金拨付阶段违约则会对施工方造成利益损害。第四，廉政风险。工程施工中存在的廉政风险表现为暗箱操作、权力寻租、商业贿赂等，这些风险因素的存在不但会对施工质量产生难以弥补的损害，同时还会引发其他风险如法律风险、信誉风险等。第五，安全风险。工程施工需要做好安全保障，安全保障措施如果不到位，极易发生安全事故，会对项目施工造成妨碍以及产生损害赔偿责任等重大风险。第六，支付风险。施工企业内部的成本开支和现金报销是否符合既定的规章制度和流程，直接关系到资金安全，如果支付和报销制度管理不善，将会引发一系列内部风险。第七，管理风险。工程施工企业内部管理风险也应得到重视，相关管理环节如合同管理、印章管理等也是企业风险防控的重要方面。

三、工程施工项目风险控制的具体措施

工程施工中存在的各类风险可以进一步划分为外部风险和内部风险。所谓外部风险，是指工程施工企业在与合同相对人的商业交往过程中所产生的风险，这些风险包括投标风险、合同风险、资金风险等。外部风险的防控需要加强对商业交往过程中交易相对方资质、信誉、资金的审核和考查，同时需要预先采取风险防控预案，做好商业风险的防范；所谓内部风险，是指工程施工企业在内部管理、内部运作中产生的风险，包括廉政风险、安全风险、支付风险、管理风险等。内部风险的防控需要加强工程施工企业内部管理机制建设，消除制度隐患，做到防患于未然。笔者分别从外部风险防范和内部风险防范两个角度探讨工程施工中的风险控制：

1.外部风险控制

外部风险控制应找准风险来源，针对不同的风险种类、风险性质采取相应的防控措施：第一，就招标风险来说，投标人应严格审查招标人的主体资格，核实招标人建设工程预先审批手续是否完备，以防范投标过程中的法律风险。同时，还可以适当地对招标人的商业信誉及建设资金展开一些必要的调查；第二，就合同风险的防控来说，应在合同缔结过程中对每一个合同条文仔细审核，邀请法务部门在缔约阶段即提前介入。在合同解除、违约金等重要条款上应防范隐含的风险。合同履行过程中，工程施工企业应善于利用不安抗辩权、先履行抗辩权等积极主张权利；第三，就资金风险的防范来说，工程施工企业应要求对方严格按照合同约定履行支付义务，约定违约责任，并善于通过担保手段主张权利。

2.内部风险控制

内部风险的控制主要应立足以内部规章制度的建设，应建立起符合现代企业管理标准的内部规章制度，并善于结合工程施工企业的特点，防范本企业内部的各种风险。主要应采取的风险防范措施有：第一，针对廉政风险，应加强企业内部的廉政教育，促使企业内部工作人员遵守廉洁从业的各项规定。在重大事项上应强调集体决策，防范个人专断和暗箱操作；第二，在安全风险的防控上，应严格按照国家规定做好安全防范工作，并完备各类应急预案，防患于未然；第三，在支付风险的防控上，应加强内部计量支付和现金报销制度的管理，严格执行规章制度和审批流程，使每一笔资金流向都符合规定且有案可查；第四，在管理风险如合同管理、印章管理等方面，要注重合同、印章及各类资料的使用和保管，防范商业秘密泄露，防止印章的乱盖、盗盖。

四、小结

内部控制风险分类篇4

关键词:网贷平台;风险管理;内部控制P2P

网贷平台弥补了当前我国传统金融体系的不足，是发展经济和获取资金来源的重要介质，例如:小额贷款方面的不足，为更多的投资者增置可用资金开辟了新的渠道。而伴随着我国金融经济的高速发展，该平台受到多方面影响，使内部风险管理无法得到全过程的监控和监督，进而使整个行业中出现运营混乱、问题层出的现象。因此站在企业长久发展的角度分析，网贷平台企业应该不断完善自身的内部风险管理和控制机制，在降低风险管控发生概率的同时提高网贷平台的信用度，从而促进P2P网贷平台企业的可持续发展。以下对此进行了深入的探究和分析。

一、P2P网贷平台主要风险类型

根据整体环境产生的破坏性影响进行划分，基本风险关系着整个行业的发展;而特定风险是由企业内部管理造成的，以下对两种风险类型进行了划分。

(一)基本风险P2P网贷平台出现的风险较多，基本风险是当前P2P网贷平台中出现次数最多的一种风险类别。P2P网贷平台中的基本风险主要是指网贷者在进行网络贷款时，在网贷平台中无法随时规避的风险，这种风险关系着整个行业的发展。例如:信用风险、运营风险、法律风险、资产质量风险等产生的风险。

(二)特定风险特定风险与基本风险有着本质上的区别，这些特定风险主要是由企业内部管理不足或者管控能力较差等方面的因素而产生的风险。其对于整体的环境影响较小。另外与基本风险相比，特定风险管控相对便捷，其一般都是在企业管理过程中出现效率较低和管控不足等情况下产生。由此可见，特定风险主要包含信息不对称风险、投资风险和结算风险以及信息安全风险。这些风险的发生需要引起企业重视，在开展内部控制工作时注意以上几个方面产生的风险。

二、B公司内部风险控制的影响因素

(一)内部控制环境企业内部控制环境的好坏直接关系着员工的控制意识，也是企业得到可持续发展的关键动力。企业内部控制环境因素主要包括内部和外部环境，其中外部环境主要是由国家政策、法律环境和道德环境等方面组成的;内部控制环境本文主要是从组织结构、管理因素和企业文化三个方面分析。1．组织结构B公司的内部构架主要是由管理层、营销部门、风控部门、运营部门(基础运营、信息技术、客服)、人力资源管理部门、财务管理部门、法务部门等构成。2．管理因素内部控制环境因素的变化，管理层需要对内部控制的运行效率进行评估，以对内部控制进行及时的调整。其中企业高层管理人员作为企业人力资源的核心，其决定着企业管理水平，企业管理层的行为需要从企业财务中的管理费用中体现出来，企业投入到内部控制的资源越多，其费用也会增多，内部控制越健全，内部控制也就得到更好的保障，提升管控的高效性。3．企业文化优秀的企业文化能够激发员工的工作斗志，能够对企业增强认同感和忠诚度，进而更好的落实自身的职责。因此，加强内部控制需要重视企业文化，这样才能营造统一意志的企业文化氛围，在领导者的带领下，提高企业人员的内部控制意识，促进企业快速成长。

(二)内部风险管控审核流程其一，项目经理介绍报审业务尽职调查情况。包括业务类型、申请机构/企业的经营状况、资信情况、管理状况、风险度测评情况、大额贷款项目概况、产品种类、产品授信额度、产品操作模式及调查方法等，陈述个人对报审业务的意见。其二，风险经理介绍对报审业务的审核情况。(1)产品审核:包括对报审产品所设定的适用范围、受理条件、审查标准、授信额度、操作模式、风险控制措施等进行审核。(2)招标项目审:包括对项目资料的完备性、充分性和合法性审核、申请企业偿债能力审核、申请企业信用状况审核、重点说明担保措施的合法性和可靠性审核及企业基本风险评估情况审核等方面。(3)业务部门总监对尽职调查情况做必要的补充，并陈述部门意见。(4)各评委对报审业务汇报和报告中不明的情况进行提问，分别由项目经理、风险经理等相关人员解答。(5)评委进行书面表决，并在会议当场或会议结束后的半个工作日内将评审意见表提交给评审会秘书。

(三)内部监督管理1．内部监管部门的设立B公司内部需要开设风险监管部门，并建立相关内部控制制度，如《风险管理制度》《贷后管理实施办法》等，各岗位各司其职，若发生职责范围内的失误，计入该月的考核。同时，B公司还设立了审计委员会。负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。另外B公司设置专门的风控人员，负责对借款人申请发标的标的基础材料进行审核，基础材料见风控人员出具的风控标准及信息披露要求，收集借款人的纸质基础材料，核实标的真实性、借款人的资质及是否全面，独立做出同意或不同意发标的决定。2．监督审核过程和反馈机制第一，监督审核过程:首先，提交借款申请后，由专门的风控委员会或者监督管理部门对提交的借款申请进行审核。然后再对借款人的信息、借款材料的真实度、材料齐备性等进行审核，如果审核通过可以进行下一步，相反则重新填写审核申请。第二，反馈机制:B公司对借款人提出的发标申请，通过分设审核岗及复核岗，责任分离、相互制约，审核岗审核资料的真实性、完整性，复核岗保障信息准确、金额、期限无误。在提出相应的反馈意见后对借款进一步完善，从而减少不良风险的发生。

三、B公司网贷平台风险管控存在的问题

(一)资产端风险评估准确性的风险1．网贷人的信用风险P2P信用风险主要是由借款人到期没有偿还资金的风险。其主要是因为企业管控人员缺少对借款人的信用展开有效的追踪管理。例如:P2P网贷平台并不能像银行的征信系统一样对借款人的资信情况进行掌握，并开展有效的贷后管理，这就导致很多借款人在平台中进行借款，平台管理人员仅凭借自身掌握的数据对借款人的资质进行审核，例如:风险控制人员对借款人的还款能力或者是否在其他平台中借款等原因造成的无法还款的现象。2．网贷人的市场环境风险其一，受到同行业竞争的影响。我国对于该行业所提出的监管细则并没有完全落实，从2015开始，该行业处于分化整合期，成交量下降，一些小的平台逐渐被淘汰。其二，我国P2P网贷经过几年的发展已经进入到整治时期，无论是从借款期限还是在坏账率、违约率等方面都有了一定的提升。3．技术安全风险P2P网贷平台主要是依托互联网发展而产生的，其很容易受到黑客等的入侵产生技术风险，一旦入侵将会给投资者带来较大的经济损失，例如:DDOS流量攻击，很容易发生网站瘫痪的现象。

(二)信息披露不明确2016年，我国的银行业监督管理委员出台了关于网络网贷信息中介机构业务活动的相关管控暂行办法，该规定中对中介机构提出了几点建议，例如:中介机构应该对网站中网贷人的基本信息、融资项目基本信息和风险评估以及可能产生的风险、资金的运用情况等进行披露。

(三)缺乏风险评估和控制体系目前，B公司在经营过程中采用行之有效的风险评估方法能够灵活地应对出现的各种类型的风险，对风险的识别和评估能够帮助该企业制定出应对的方案，从而减少各项风险的发生，减少经济损失的过多支出。B公司在风险管理上需加强重视，完善风险评估机制和风险评估流程建立。

四、完善的内部控制建议

(一)加强对P2P网贷平台的监督和管控1．监管内容与部门管控能力的提升其一，银监会需要加大对P2P网贷行业的管控，并对该行业的准入资格方面建立完善的制度，例如:组织结构、从业者的各项信用情况、基础设施和公司的规模等方面;还需要建立完善的退出机制，对于一些不符合的公司采取退出政策;其二，监管部门方面应该借助一些发达国家的借款经验，并根据当前我国的情况，对P2P网贷平台在各监管部门的监管下对其进行分类管理，例如:办理车贷业务、房贷业务、公司回流资金不足等的借款类型进行分类管理;这样才能够帮助P2P网贷行业面对种类繁多的网贷业务时提出监管的思路，促进我国网贷行业的可持续发展;其三，明确各监管部门的职责，在加强各部门之间的相互沟通和协调后，保障各项信息的透明度，从而使监管行为更加有效，为开展网络网贷工作提供健康的外部环境。这也在一定程度上降低了平台所产生的各项风险。2．构建第三方资金存管平台机制为了能够减少P2P网贷平台将资金用于其他的经营范围中，需要借助第三方资金存管的职能，加强对投资者资金的有效管理。B公司应该加大与商业银行的合作，在对资金进行监管后，使得投资者的资金得到安全管理，减少了资金风险的发生。《网络借贷信息中介机构业务活动管理暂行办法》第十条中明确规定:“网络借贷信息中介机构不得为自身或变相为自身融资。”如何识别是否存在这种情况，则需要从以下两个方面出发。第一，从标的分析:对标中所写的详细情况或者借贷的合同、抵押的合同等进行查看，特别是对于纸质版的合同尤为重要。另外还需要对相关借款申请材料、借款人或者抵押物的相关证件进行分析。第二，从借款人方面鉴别:查看借款人的详细信息，如借款人的信息过于模糊，那就需要引起注意。同时，仔细鉴别和分析借款人与网贷平台间是否存在直接或间接的关联，如果存在，说明存在自融或间接自融的嫌疑和风险。3．搭建完善风险的动态预测与监测机制P2P网贷平台借助网络对借款人开展网贷业务。为了能够实现P2P网贷行业的经营目标，B公司采取了多条规避风险的渠道，并搭建了更加完善的风险监测机制:一方面，B公司在对投资方和借款方进行督查和建立反馈机制后，在满足借贷人的诉求后，对网贷人的资金使用动态进行预测和监测，及时找出其存在的问题;另一方面，相关的人员还需要提高自身的风险管控能力和经验，在运用相关的计算模型，对业务中存在风险频率较高的点进行合理的预测和分析，从而使得风险点能够在合理的管控范围之内。同时B公司设立对出借人风险承受能力评估制度，平台以醒目方式提示网络借贷风险和禁止性行为并经出借人确认。并确定风险告知书，根据风险评估结果对出借人进行分级管理，设定了不同的客户类别，在定期开展风险承受能力再评估等。由此可见，建立一套行之有效的风险监控机制和开展动态预测，对提高风险管控的可行性发挥着重要作用。

(二)强化信息披露，减少运行风险B公司所建立的信息披露机制，能够让更多的投资者增强对网贷平台的认知。因此，P2P网贷平台为了能够建立良好的形象，需要加强监管，不得虚构、夸大融资项目的真实性、收益前景，隐瞒融资项目的瑕疵及风险，以歧义性语言或其他欺骗性手段等进行虚假片面宣传或促销，误导出借人或借款人的情况。信息披露制度的不断完善，能够进一步强化信息披露质量，减少资金风险和运行风险的发生。

(三)制定匹配的内部控制制度内部控制制度是企业发展到一定规模后引起重视的一种标准化管理工具。B公司应该站在自身的发展战略或者业务流程基础上，建立匹配的内部控制制度，这也是开展各项网贷活动和网贷业务的重要依据保障。当前B公司的业务流程主要包括账户注册/登录、借款流程等，为了进一步提高内部控制理论水平和风险管理水平，B公司主要采用内控合规制度，帮助企业管理各种风险，避免罚款、法律制裁、商业损失或者因为员工失误造成的数据泄漏等风险。例如:资金安全保障制度;风控保障制度;平台定位;内部控制措施(不相容职务分离控制、授权审批控制、会计系统控制、预算控制、运营分析控制和绩效考评控制等)这些标准化的内控管理建议有效提升了内控管理的质量和水平。

(四)构建科学、合理的风险评估和考核体系首先，内部监督队伍应该对企业的经营、研发、贷款、运转、投资的阶段产生的风险等进行合理的评估和预测，以在评估和识别过程中能够对出现的问题做出及时的处理。其次，B企业还需要构建完善的风险控制制度，在保障内部控制工作得到有序进行的基础上，加强对内部控制风险的全过程。同时该企业还需要建立反馈机制，在对实施的效果和反馈的情况进行总结和完善后，加强对借款环节的有效管理。最后，B企业还应该在借款环节，对存在的各项数据和信息等进行全面的处理。例如:内部出现的相互包庇的现象;各借款业务无法得到有效的评估等进行有效的识别和预防，这样才能减少坏账的发生，还能够将企业的损失降到最低。另外，P2P网贷平台还需要建立相匹配的考核机制和责任追究制度，这样才能提高风险评估的效果，才能落实风险评估管理工作。同时该平台责任人员在调查和加强监管后，根据实际的运营情况，对出现的各项风险问题提出对应的措施，在将该平台中收集到的资料发放给每一个员工后，以构建更加完善的风险管理组织。在对每一位员工达成的情况进行考核后，如:对客户的追踪、了解客户信息、风险应对的能力等，这样不仅能够调动员工的积极性，还能够提高风险管理的效果。

内部控制风险分类篇5

关键词：操作风险；公司治理结构；内部控制

长期以来，社会各界对银行业的风险管理都聚焦于信用风险和市场风险，而对操作风险并未予以足够的重视，对其认识和管理都处于较低水平。然而，随着金融管制的放松、银行经营业务范围及产品的多样化和复杂化，操作风险的破坏力和影响力愈发显现，对其研究和管理也迫在眉睫。在此背景下，2004年的巴塞尔新资本协议规范了操作风险的定义①，并提出操作风险的最低资本要求，为各国银行业加强操作风险管理敲响警钟和提供指导；中国银监会于2007年6月了《商业银行操作风险管理指引》（以下简称《指引》），为加强银行业操作风险管理、推进完善银行业公司治理结构、提升风险管理能力提供指导。

一、我国银行业操作风险危机四伏

受旧体制等不利影响，我国银行业面临着严重的操作风险。表1列示了近年来部分银行操作风险事件。

通过综合分析我国银行业操作风险损失事件，其具有的特点主要有：

1．操作风险主要形式是欺诈①。欺诈包括内部员工的欺诈、外部人员的欺诈以及内外部勾结的欺诈，其中内部员工欺诈和内外部勾结的欺诈是我国当前存在的主要形式，并且这种类型的损失事件一旦发生，就具有单笔损失金额大和社会影响力大的特点。

2．操作风险大都发生在基层分支机构，且与上层机构的控制力负相关。我国银行的业务运作大多数集中在基层机构，总、分行则更偏重于行使管理职能，当分支机构距离较远、受到的监管较弱时，分支机构的一些违规操作就不易被发现，操作风险发生的可能性就更大。

二、我国银行业操作风险的影响因素

目前，我国银行业普遍存在内部控制制度不完善的问题，这是导致操作风险频发的最主要原因。我国银行业内部控制不健全性主要表现在：

1．操作风险管理意识薄弱。目前，我国银行业的主营业务仍以信贷为主，因此银行风险管理的焦点都集中于信用风险，而对于操作风险，从管理层到基层员工对其管理的意识都有待于提高。

2．操作风险专业化管理部门缺位。我国绝大多数银行均未设立独立的专业化的操作风险管理部门，对其管理主要是依靠非专业部门负责，以定性管理为主，主要依赖专家的主观判断，缺乏科学和专业的管理。此外，根据巴塞尔新资本协议，用于计算监管资本的内部操作风险计量法，必须建立在对内部损失数据至少5年的观察基础上，而我国由于缺乏数据，很少采用定量分析控制操作风险的科学方法。

3．分行制的组织形式不利于监管。我国银行主要采用分行制，该体制下的直线管理职能削弱了内部控制的力度和有效性，各层次的负责人横向权利过大，为操作风险的孕育提供了空间。

4．管理体系不完善。我国银行业普遍存在管理层次多而繁杂，各层次权责不清，缺乏相互制衡、权责明晰和相互独立的管理体系，容易出现管理的真空地带和重复低效管理。

5．管理制度不健全。我国银行业风险管理所需的制度建设不健全，现有的制度大都流于形式，存在不切实际、难以执行的问题，此外，仍有部分正常经营所必备的规章制度缺位，导致管理盲点的存在。

三、完善我国银行业操作风险管理体系

由于我国银行业对操作风险的重视长期不足，导致银行对操作风险的管理长期处于低效率和不足的水平。因此，克服各种不利因素，及时建立完善的操作风险管理体系，具有重要的现实意义。银行操作风险管理和内部控制在内容、对象和范围上有着密切的联系，因此健全内部控制机制的形成有助于银行操作风险的高效管理。本文结合COSO委员会关于内部控制五要素的阐述和银监会的《指引》，设计一套适合我国银行业操作风险管理的体系。

COSO委员会所述的内部控制包括五要素：控制环境、风险评估、控制活动、信息与沟通和监控，以下分别从这五方面构建操作风险管理体系。

（一）控制环境

控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境塑造企业风险管理文化，影响银行内部各成员的风险意识，关系着风险管理控制制度的贯彻和执行。

《指引》指出，操作风险管理需要创造一个良好的控制环境。首先，银行董事会应充分了解本行的主要操作风险所在，把它作为一种必须管理的主要风险类别，努力促进这种公司文化的建立，并且提供充足的资源支持在各职能部门实施操作风险管理，还应当把操作风险管理纳入到业绩评估程序中，强调风险管理为银行关注重点。其次，应建立一个能够有效执行操作风险管理框架要求的组织架构，该组织架构应明确界定各职能部门的责权关系、上下级报告关系，并且制定严格的监管审计制度。最后，应根据本行对操作风险的承受能力，制定规范的操作风险管理政策，该政策应对存在于本行各类业务中的操作风险进行界定，列明本行操作风险的具体构成，应明确识别、评估、监测与控制操作风险所应依据的原则、政策和方法。

（二）风险评估

风险评估是指操作风险管理部根据职能部门的信息，识别、量化和分析相关风险以实现既定目标，从而形成操作风险管理的核心内容。风险评估系统包括以下三个子系统

1．风险识别子系统

风险识别子系统的作用是将操作风险进行定义和分类，它的主要部分是“知识库”。“知识库”是一种风险映射，将职能部门的业务与风险类别之间建立对应关系。具体来说，“知识库”将银行业务分为若干个风险档次，并将所有的业务归类到相应的风险档次之中，并存储在数据库的相应位置。

2．风险计量子系统

风险计量子系统由“模型库”和“预警库”组成。该系统在初步识别原始数据的基础上，利用“模型库”中的风险计量模型对风险进行量化，将定性的操作风险数字化。其中风险计量模型利用数理统计方法量化银行操作风险，“模型库”再将风险计量模型计算机程序化，即编写计算机软件以实现风险计量模型的功能。而“预警库”则是预先在系统内设定的不同职能部门的市场风险限额指标，在“模型库”计算出风险值之后，“预警库”就可以对实际风险承担与预先设定的风险限额自动比较，若发生超限额的情况，“预警库”会将该信息同时反馈到风险评价子系统中，实现实时风险监控的功能。

3．风险评价子系统

风险评价子系统主要提供风险汇总报告，并对各职能部门风险承担状况进行评价，为风险管理决策层提供支持。“报告库”针对经“模型库”风险计量子系统测量的风险结果，根据指定的报告模式进行综合汇总，为管理层提供银行风险的数据。“评价库”是对综合报告进行的深入分析，通过对具体风险的分析评价，提出风险改进意见。

总的说来，风险评估系统中，风险识别子系统归类操作风险，风险计量子系统量化操作风险，评价子系统评价并报告操作风险。这一系列活动的完成，关键在于设计出一整套计算机程序以实现上述几个子系统的功能。我国银行应当根据本行业务的特点，设计出自己的风险管理程序，或者直接从专业公司引进成熟又适合自身的风险管理系统。

（三）控制活动

控制活动是指那些有助于管理层决策顺利实施的政策和程序，主要包括明确银行各部门的职责、对各部门活动的控制和对偏离授权的行为进行调整。

首先，《指引》明确规定了各组织层次在操作风险管理系统中的职责，以便整个系统有条不紊的运作，各层次的职责具体为：银行高层负责制定操作风险管理的战略和总体政策；风险管理委员会建立风险管理的操作方法；各职能部门具体实施。

其次，对各职能部门活动的控制分为两个层次：第一个层次是各职能部门，应定期向负责操作风险管理的部门通报本部门操作风险管理的总体状况，及时通报重大操作风险事件；第二个层次是操作风险管理部门应当提供风险预警指标，将风险限额建立在各业务部门的不同的层面，然后为每个关键风险指标设定门槛值，一旦风险值超过门槛值则启动预警系统。

最后，操作风险部门应当对于超过门槛值的采取必要的整改措施，及时修正执行中的偏差。

（四）信息与沟通

各职能部门的信息沟通是整个操作风险系统的基础，系统的数据来源于各职能部门。只有将信息及时有效地传递给操作风险管理部，才能及时进行信息分类。《指引》规定，职能部门应当根据统一的操作风险管理评估方法，建立持续、有效的操作风险报告程序，从制度上建立有效的信息和沟通机制。此外，《指引》要求建立案件查处和相应的信息披露制度，通过对案件查处的信息披露有良好的警示作用，对案件的及时总结能有效地避免同类风险事件的发生。

（五）监控

监控的核心在于监控的制度性和监控的独立性。《指引》规定，监控的制度性建设要求风险管理委员会应当建立指向清晰的定期监控体系，清晰的监控系统可以明确监管者的责任范围，而定期监查行为有利于快速发现并且纠正操作风险。监控独立性依靠操作风险管理部与其他职能部门相对保持独立，不能存在从属关系，应当受董事会或其下属的审计委员会直接领导。

与此同时，银行还需要对其内部监管人员进行严格培训，使其对银行各项业务活动和岗位责任的执行情况依据相关制度标准进行监控，及时预见潜在风险并极力阻止其发生，实现银行操作风险的有效管理。

参考文献：

[1]阎达五，宁建波．双元控制主体构架下现代企业会计控制的新思考[J]．会计研究，2000．

[2]钟伟．论跨国银行操作风险管理模型的新进展[J]．学术月刊，2004．

[3]钟伟．新巴塞尔协议和操作风险高级衡量法框架[J]．金融与经济，2005．

[4]樊欣，杨晓光．操作风险管理的方法与现状[J]．证券市场导报，2003，（6）：64－6．

内部控制风险分类篇6

关键词:内部控制;风险管理;发展

中图分类号:F23文献标识码:A文章编号:1672-3198(2009)23-0195-02

1内部控制与风险管理的内在联系

1.1在风险导向内部控制的观念下,风险管理将成为组织发展的关键

随着风险管理导向内部控制时代的来临,内部控制的工作重点也发生了变化,现代内部控制除了关注传统的内审之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部控制的观念下,风险管理成为组织发展的关键,促使内部控制的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。由于内部控制的自身特点,其参与风险管理拥有一定的优势。内部控制机构和人员熟悉本单位情况,对企业面临的风险更了解;内部控制机构和人员是企业内部成员,其利益同企业发展、兴衰密切相关,对防范企业风险、实现企业目标有着更强烈的责任感;内部控制机构的独立性使其不同于其他风险管理部门,作为高层次的监督部门,其风险评估意见直接报告给董事会、审计委员会,足以引起管理当局的重视。内部控制的独立地位还便于其充当企业长期风险策略与各种政策的协调人,通过对长短期计划的调节,调控、指导企业的风险管理策略。在现代企业经营管理中,随着内外部环境的变化,各种风险因素增多,内部控制工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部控制也被赋予了更多的职责和使命。近年来,在美国发生的财务造假案导致了安然、世通等跨国大公司的破产,同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。在我国也曾出现“银广厦”、“蓝田股份”、“亿安科技”等坑害中小股民的事件。所有这些事件的发生,在全球引起了各方对民间审计机构诚信问题的探讨,同时也触动了人们对企业内部控制的进一步思索。企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤,它使股东的家产与企业的财产及企业的经济责任相互独立,股东的变换不再影响企业的信用能力,为股权交易扩大了范围并增加了流动性,从而降低了投资风险并促进了企业融资,造就了今天巨型的股份公司。

1.2风险管理是对内部控制的自然发展

内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama&Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。”COCO在解释广义的控制与风险时论述道:“‘领导’包括在面对不确定性时作出选择。‘风险’是指个人或组织在作出选择后遭受不利后果的可能性。风险正是机会的对应物。”显然,这些论述已经认识到企业的存在是为股东或利害相关者(针对非盈利性组织等)创造价值的,而价值创造不仅是被动的资产安全等,还应包括机会的利用。另外,对股东价值的威胁也不仅来自经营者会计舞弊等内部因素,还包括来自市场的风险等。

1.3技术的发展推动内部控制走向风险管理

技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。

2内部控制与风险管理的外在联系

2.1它们都能为企业目标的实现提供合理的保证

风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。

2.2风险管理与内部控制的组成要素有五个方面是重合的

(控制或内部)环境、风险评估、控制活动、信息与沟通、监督这五个方面都是风险管理与内部控制的组成要素。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(riskappetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。

2.3风险管理提出了风险组合与整体风险管理(integratedriskmanagement)的新观念

《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。

3从内部控制走向风险管理

有一种争论,即风险管理包含内部控制,或内部控制包含风险管理。笔者认为得出什么样的结论并不十分重要,最重要的是明确风险管理与内部控制之间有重合与联系的地方。谁的范围更大,可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同,例如,在内部控制发展的早期,市场上风险管理的工具与技术条件都不充分(如计算机系统、统计学理论、数量模型、对冲工具与保险等),这时内部控制包含(替代)风险管理功能是很自然的。即使在同一个时代,不同的行业各自的侧重点也可能不相同,例如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。

笔者认为,在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,如财务报告的准确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。

尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。

参考文献

[1]王光远,刘秋明.公司治理下的内部控制与审计[J].中国注册会计师,2006.

[2]周兆生.COSO企业风险管理框架(中文版)[R].华融资产管理公司,2007.

[3]朱荣恩,贺欣.内部控制框架的新发展-企业风险管理框架[J].审计研究,2003,(6).