内控合规风险管理(6篇)

时间：2024-10-16 来源：

内控合规风险管理篇1

关键词：流程银行；合规风险管理；GRC；综合集成

中图分类号：F830文献标志码：A文章编号：1673-291X（2012）09-0051-03

引言

在2010年的监管工作会议中，监管当局要求农村金融机构在2012年实行《统一资本计量和资本标准的国际协定：修订框架》并鼓励农村金融机构运用现代风险量化技术来管理银行风险，建立健全全面风险管理机制。对于全面风险管理机制的建设，最基础的层面就是落实合规风险的管理，而合规风险的管理又落脚于对银行业务经营的每一个流程环节、每一个风险点、每一个员工的岗则的管理，因此合规风险的管理与目前正在中小农村金融机构中展开的流程银行建设是紧密相连的。对于如何将合规风险的管控与流程有效结合，如何在管控与经营发展两者间寻找平衡点，运用怎样的方法和技术落实合规风险的管控，目前还缺乏相应的研究和对策。本文通过对流程银行、全面风险管理、合规风险管理概念进行梳理和整合的基础上，以江苏省农信社流程银行和合规风险管理建设为例，主要探讨了如何通过流程银行的建设来推进合规风险管理的落地和全面风险管控。

一、合规性风险管理、全面风险管理及流程银行内在逻辑关联

自巴塞尔银行监管委员会《合规与银行内部合规部门》指导原则颁布以后，在全球范围内迅速得到响应。合规已成为银行内部的一项核心风险管理活动，更是银行实施有效内部控制的一项基础性工作。无论从监管需要和银行自身发展需要出发，都显得十分必要，其重要性都不容忽视。正如银监会主席刘明康多次强调指出的那样，银行业金融机构要深刻理解合规风险管理内涵，应用科学发展观与时俱进地加强合规风险管理体系建设。随着现代银行监管的发展，如何借鉴国际先进银行的合规风险管理及监管经验做法，加强中国银行业市场化改革中的合规建设，建立合规风险管理长效机制，成为函待研究和实践的课题。总体上来说，合规风向管理都是商业银行的核心竞争力的重要表现。构建合规风险管理体系是中国商业银行管理的一次革新。

1.有效的合规风险管理体系是全面风险管理的核心。首先，合规风险管理涵盖于全面风险管理体系之中。从COSO委员会的全面风险管理框架可以看出，全面风险管理除了包括内部控制的三个目标之外，还增加了战略目标；全面风险管理的八个要素除了包括内部控制的全部五要素之外，还增加了目标设定、事件识别和风险对策三要素。其次，合规的动力主要来源于银行对风险的识别和管理。随着国际银行业对合规重要性的认识逐步到位，合规作为一门独特的风险管理技术，已得到全球银行业的普遍认同，合规风险已与银行其他风险一道被纳入到银行全面风险管理框架之中。最后，合规风险管理是银行全面风险管理中一个必不可少的环节和全面风险管理有着极为密切的关系。由于合规风险是商业银行其他风险产生或形成的一个重要原因，特别是导致银行操作风险和声誉风险生成的最主要、最直接的诱因，所以，在银行的风险管理过程中，需要合规风险管理部门和其他风险管理部门充分沟通协作。

2.合规风险管理是流程银行建设的需要。流程银行建设与合规风险管理是相辅相成，相互支持。流程银行的建立从根本上将合规风险的管理通过流程这条主线联结起来。将原来分散化、弱关联的合规风险评估、识别、量化、缓释和监控通过流程集中起来，使流程银行的合规风险管理成为一个反应及时、动态敏捷的立体网络由于合规风险的发生很大程度上依赖于某项流程活动，因此，流程作为商业银行的微观基础活动，其合规风险管理水平决定着商业银行的整体合规风险管理水平，通过对流程合规风险的有效管理，并对流程逻辑进行优化集成，就形成了银行的整体合规风险管理的思路。

同时流程银行的建设过程，也是重新审视流程是否科学、规范、合规的过程，利用对流程的合规评估来达到规避合规风险、精简企业流程、降低成本、提高商业银行运作效率的目的。商业银行只有树立起流程管理的理念，才能从整体上落实执行力、提高客户服务和风险管理的质量，这是有效管理合规风险的基础。正因为流程银行是合规风险管理的载体，而且流程银行正是中国商业银行目前改革的重点，所以中国商业银行可以借流程再造这个契机在流程再造的同时建立起完善的合规风险管理体系。也只有以这样的方式推进，合规风险管理体系建设才能落实到实处，才能建立起符合现代商业银行的合规风险管理体系。

二、江苏农信流程银行建设与合规风险管理的落地

合规风险管理作为商业银行管理中不可或缺的一种银行风险管理技术已得到了国内银行界的普遍认同，江苏农信高度重视合规风险管理体系的建设及其落地。随着江苏农信基层法人农商行的改制进程快速推进，全面风险管理重要性的日益凸显，合规风险管理也逐渐发展成为江苏农信系统内部的一项核心风险管理活动。在理念上，江苏农信提出，合规风险管理应该从“以任务为中心”向“以流程为中心”转变，由原来的事前、事后管理风险逐步转变为事前、事中、事后的全面风险管理，并将合规风险管理建立在以流程为中心、持续测试和持续验证的基础上。因此，江苏农信自2009年以来通过流程银行建设培训、2010年全省流程银行建设试点并在2011年逐步推广等系列工作来推进合规风险管理的落地。

作为江苏省流程银行建设两家试点单位，泗阳农村商业银行（以下简称泗阳农商行）流程银行建设项目的特色——打造以农户、微小企业、个体工商户为核心的“阳光品牌”，建设有泗阳农商行特色的流程银行。泗阳农商行业务具有“额小、分散、户数多”的特点，树立以客户为中心的理念，进行战略澄清、组织优化和流程优化，改善业务流程的效率和有效性，提升服务质量，提高客户满意度。

（一）泗阳农商行流程银行建设

在流程银行建设的过程中，泗阳流程银行与外部咨询方一起利用访谈、调研、讨论、分析等方式对全行风险管控能力进行诊断，对每个业务流程、管理流程进行梳理优化，调整银行组织架构，提高银行风险管控能力。

1.打造“1+1”工程——阳光信贷工程和客户分类分层营销工程。泗阳地区经济发展水平较低，该行主要服务对象是大量的农户、个体工商业户及中小企业。对此，将客户按照六类三级（六类：个体工商客户，种、养、加客户，股东客户、企业客户、股东发展客户、外出务工客户。三级：普通级，优质级，核心级）的标准，对城区和农村客户实行市场细分，为客户量身定制服务套餐，实行差异化营销模式深度挖掘客户需求和客户资源，对优质客户群体提供高附加值、定制化的服务满足。推出有针对性的“凤还巢”、“安居宝”、“金钥匙”、“中小企业联保通”等信贷业务新产品，目前，该行已形成五大类近30种的产品组合，提供差异化、个性化的金融产品，可满足不同类型的客户需求，切实提升了产品服务的竞争力。

2.零售业务批量化处理。通过引入“信贷工厂”和德国IPC公司基于现金流的放贷技术，实现零售业务批量化处理。在打造“信贷工厂”中，该行为农户、具有小微企业性质的个体工商户、大额农户以及中小企业研制推出标准化的产品，设计统一的流程化作业模式，对业务环节逐一细分，并根据不同客户类别设计标准化的信用评分指标和体系，进一步扩大信贷覆盖面，丰富业务产品种类，提高贷款发放的效率，降低运作成本。

3.再造核心业务流程和管理流程。该行按照“高风险长流程，低风险短流程”的基本思想针对竞争环境和客户需要的变化，从核心流程出发，对银行业务流程和管理流程进行优化和再造。目前，已经形成“一书一图两表”（即一个岗责说明书、一个标准作业流程图、一张风险点明细表、一张内外规映射表），共有包括信贷、负债、电子银行、风险管控以及后勤保障等业务在内的298个流程图和1980个风险点库，为下一步流程定型和风险管控奠定了坚实基础。

4.重塑银行公司治理架构和组织架构。构建“前中后台相分离，一二三道防线界定清晰”的流程银行组织架构，按照业务、管理流程以及部门职责设定岗位，明确和落实每个岗位的职责、任职要求等，并建立自上而下和自下而上的传递反馈沟通机制，保证信息快速传递与落实。

（二）建立基于流程银行的GRC综合集成风险管控平台

风险识别和评估的目的是主动识别、计量、监测和管理风险。这就需要建立健全规范有效的合规风险评估体系，构建灵敏有效的合规风险分析评价机制，开发合规风险的识别、量化、评估、监测和报告的全流程风险监测信息系统。

在优化流程的同时，该行挖掘流程各个环节存在的关键风险点，利用专家经验法提出风险应对措施，并对每个风险点标注相应的内部与外部法律、法规及准则，使流程的每个环节对应到银行各部门的各岗位，借助Visio工具把用信流程和涉及部门岗位描绘出来，然后按照上述思路梳理各个关键环节风险点和应对措施，已经对应关联的内外规。清晰的流程图亦可同时展示部门和岗位的工作职责及其定位。

在优化和规范化后的组织架构和业务流程基础上，利用嵌入工作流的IT化GRC综合集成管控系统对银行业务的各流程环节进行实时控制，提高业务效率、客户服务能力以及事中风险管控。该系统平台内嵌了如下功能：我的岗位模块（包括每个员工相应的岗位职责、每天的代办事项等）、流程体系模块（全行所有业务的流程和风险点及对应的内外规）、内外规管理模块（对内外规的识别、管理和分析）等相关内容。通过建立“风险事件管理”的“后评价机制”，对银行管理和经营活动中的风险进行监督、控制，提高事后风险管控能力。在此基础上，借助GRC综合管控系统不断积累数据，按照巴塞尔协议Ⅱ和Ⅲ的要求，推动银行全面风险管理体系建设。

三、江苏农信试点流程银行建设与合规风险管理的初步成效

通过泗阳农村商业银行和无锡农村商业银行流程银行与合规风险管理体系建设试点实践，江苏农信也在同时深化对流程银行以及合规风险管理的理解。通过建立流程银行体系和合规风险管理体系以及二者在信息系统上的整合，已经取得初步成效，并将进一步总结加以推广。

1.流程再造与落地，实现公司治理机制流程化落地。公司治理是商业银行合规经营的基础和根源。从国外实践的经验来看，一个有效的商业银行合规风险管理体系需要在银行的最高权力和决策机关形成一种既相互分离又相互联系、既相互统一又相互制衡的机制。股东或董事会和高级管理层的人员组成、作用、责任及应承担的义务决定着银行的经营行为和效果。通过流程实现公司治理机制的流程化落地，一方面将决策流程落脚到IT化的流水线作业上，另一方面将对风险的治理，通过管控系统进行风险和相应的管控人员的匹配。

2.重塑组织架构，打造前中后台三道防线。首先实现前中后台相分离，明确一二三道防线。以泗阳农商行为例，在流程银行建设中，形成的组织架构如下：以前台（业务营销总部，包括公司部、个金部、电子银行部、分支机构）、（授信管理部、信贷管理部、财务会计部）、后台以及支持保障部门（人力资源部、办公室、科技部、监察保卫部、工会）为风险防控第一道防线和主要风险责任主体；以合规部和风险部为风险管控的第二道防线，为第一道防线提供风险管理指导、支持和检查；以稽核监审为风险管控三道防线，从而构建有效的全面风险防控体系。整个前中后台的相关职能部门构成银行的一道防线，是风险责任的主体，由风险部、合规部组成银行的二道防线负责全行各类风险的识别、监测、计量、转移和规避。

3.整合作业系统，构建风险管控体系。对于农村金融机构而言，合规性风险是最重要的一类风险，发生频率高，监控难。以泗阳为例的“基于流程银行的GRC综合集成管控平台”中的合规风险控制模块包含了合规支持系统与合规管控系统两大子系统，合规支持系统用以支持日常合规工作，力求降低银行的日常操作风险，提高业务流程效率；合规管控系统用以动态管控银行的全面风险情况，以增强银行对风险的管控能力。

四、基于流程银行的合规风险管理建设未来的发展方向

1.合规理念内化与反嵌。合规风险理念或者说合规文化是整个合规管理体系的思想灵魂，应在员工的思想意识中占据首要位置。加强对员工的培训和指导，使员工深切理解监管要求和规定本身。合规理念应当深入人心，从领导层到高官层再到业务层，所有的工作人员都应该形成合规思维，使合规理念内化为员工心中的应然意识，在全行上下营造合规文化氛围，人人遵从合规、主动适应合规、合规创造价值，这也是中国国有商业银行在完善合规风险管理体制中对合规文化的追求。

2.构建全面的合规风险管理运行机制。一是要创建覆盖商业银行各个机构、各个业务条线的合规组织架构，商业银行应以集中化的运行模式在各个分支机构设立独立的合规风险管理部门和合规岗位，以确保合规风险管理覆盖所有的业务条线，所有的分支机构，所有的产品领域以及所有经营活动的组织，使合规风险管理贯穿于经营管理的全过程。二是通过构建标准化的合规管理流程，不断识别合规风险，并通过不间断的评价保证业务流程的风险可控及可操作性。三是建立并不断完善合规风险管理建设，通过合规风险管理系统的流程管理功能、监测功能、支持功能，能够有效整合商业银行的合规风险管理的资源，提高管理水平。

3.综合集成风险管控平台的改进方向。泗阳农商行“基于流程银行的综合集成管控系统”采用三层浏览器/服务器（B/S）结构开发，是当前信息系统开发的主流模式，具有比较好的可扩展性。浏览器/服务器（B/S）结构采用WWW方式对服务器进行访问，具有图形化界面、不需要安装客户端软件、用户操作方便等优点；特别对于银行业，其安全性好、保密性高的优点，非常适合银行业的生产环境。该系统目前尚处于小范围、小规模的试运行，在实际使用中可能会发现各类问题，有待进一步完善和提高。该平台系统还存在功能有待完善、系统数据库与核心系统数据库接口尚未实现对接等提高方向。随着一定数量的数据积累和运行实践，系统能更有效地发挥其信息化、智能化优势。

参考文献：

[1]NicolasRacz.Governance,Risk&Compliance(GRC)StatusQuoandSoftwareUse-ResultsfromaSurveyamongLargeEnterprises[C],21stAustralasianConferenceonInformationSystems,2010.

[2]NicolasRacz,EdgarWeippl,AndreasSeufert.AprocessmodelforintegratedITgovernance,risk,andcompliancemanagement.

[3]GMIArticleforOprisk&Compliance-short[J].GRC,2008.

[4]MarcDupuis,BarbaraEndicott-Popovsky.Top-DownMandatesandtheNeedforOrganizationalGovernance,RiskManagement,andComplianceinChina-ADiscussion.

[5]徐振东.银行家的全面风险管理[M].北京:北京大学出版社,2010.

[6]易颜.从“合规性监管”到“风险性监管”——中国银行监管转变研究[D].广州:暨南大学,2004.

[7]陈杰.对农村信用社全面风险管理体系构建的思考[J].农村经济与科技,2011,(3):22.

[8]刘满佳.国有商业银行合规管理研究[D].成都:西南财经大学,2010.

内控合规风险管理篇2

关键词：高校；风险清单；风险管理；内部控制

一、高校内部控制与风险管理的关系

1.高校内部控制和风险管理的定义高校内部控制是其内部治理的重要组成部分，由内部环境、风险分析和评估、控制活动、信息与沟通、内部监督等活动构成，表现为与业务、财务相融合的组织管理结构、制度、程序和措施等，是高校为履行职责、实现目标、应对风险而实施的管理活动。高校的内控目标包括确保各项资金的安全运行，提高资金的使用效益，保障各项活动合法合规、资产安全完整、财务报告及相关信息真实完整，有效预防和防范舞弊腐败，办学服务效率和效果能得到提高。高校风险管理是指高校为实现相应的发展目标而面临不确定性，通过目标设定、识别风险和评估等风险管理活动，将风险控制在可接受的范围内，有利于提升管理和治理水平，同时减少对高校产生不利影响，从而提升管理水平，减少能对单位产生影响的不确定性因素。根据高校各个部门的职能和权力运行特点来看，风险多数集中在基建、资产管理、招聘、招生、科研等重点环节。2.高校内部控制和风险管理的关系高校内控和风险管理都是高校管理人员将经济业务作为对象，以期将学校战略与规划落到实处，而实施的一系列动态并且灵活的治理过程的集合。高校的风险管理包括内部控制，内部控制以风险管理为出发点，其控制目标、控制活动等依据内外部环境的变化而进行相应变化。高校内控与风险管理的目标和职能有很大的相关性，比如控制环境、控制活动以及风险评估等都是两者的相同内容。除此之外，高校风险管理包括风险反馈、目标制定等环节，内控是风险管理过程中的重要环节，而风险管理同时又覆盖了内部控制，贯穿于整个管理过程。所以，风险管理和内部控制工作一般是同时进行的，两者在运行过程中是统一并协同的。简而言之，风险管理是内部控制的延伸，内部控制的本质和核心就是风险控制。内部控制以风险管理为出发点，内部控制的发展是一个渐进的过程，内部控制的核心始终是风险管理，其目标、内容随着内部和外部环境的变化而变化，其本质就是风险控制。因此，高校的风险管理包括内部控制，是高校内部控制的延伸。风险意识和内控制度管理为完善高校控制系统提供了坚实基础，也是防范风险和高校风险管理的基础。高校的风险管理考虑的是整体的风险，而内部控制是单纯风险的防范和控制。风险管理涵盖了高校各个层面的发展战略，其目标不仅是为了保护资产和经营活动的平稳运行，还包括积极利用机会，寻求更好的发展机会。在内部控制和风险管理相互融合的框架体系中，内部控制的目的主要是为了控制整体的、全面的风险。内部控制侧重在控制手段上，风险管理侧重在控制目标和风险控制上，两者相互扩展和完善，最后建立一个完整的框架，实现控制风险的目标。两者在内容和形式上的区别和侧重，表明了有效整合的必要性。

二、高校内部控制与风险管理存在的问题

1.财务风险内控制度不健全风险内部控制体系是高校财务内部控制实施的关键。有效的工作体系是高校正常运营的保障，制度保障需要学校内部各部门积极配合。目前，高等院校在财务风险内控制度存在明显不足，仍存在局限性和片面性，无法形成系统化、规范化、可操作的制度框架。而且，高校没有制定完善的财务内控制度，且高校偿债风险防范制度不健全，必然降低高校财务风险应对能力。2.财务流程不规范财务流程规范化是制度落实的关键环节，虽然在高校的财务管理过程中，有关部门都相继出台了许多管理办法，但仍缺乏完善的财务业务流程。近年来一些高校内部也制定了相关流程，仍缺乏具体化的管控措施，办理程序及责任不清晰，大大影响执行效果。在组织控制活动方面，高校对关键岗位风险点的把握不够，缺乏对各个经济业务环节进行流程化管理。3.风险评估机制缺失随着高校的经营模式多样化，高校的招生、教学、科研以及基本建设等环节的财务风险不断增长。且近年来，高校资金来源逐渐呈多元化、复杂化趋势，高校面临的财务风险及考验越来越多。多数高校长期受事业单位机制影响，财务风险管控意识不足，未能积极有效地制定和落实财务风险评估机制，缺少对经济业务活动的风险监测和应对方案，导致应对业务和财务风险的能力不足。4.监督机制不完善高校的监管主要以内部监管为主，内部监管主要依靠纪检和审计两个部门，同时由于两部门业务及人力资源限制，难以做到监督工作全面化。且两部门的分工也容易造成内部财务管理监管的真空地带。审计部门一般只是对采购项目、基础项目建设、三公经费等重点内容进行审查，内控的监督及风险管理的范围受到限制，从而导致内控的监督和管理措施落实不到位。

三、嵌入风险清单管理的高校内控建设优化机制

风险清单是指组织根据自身战略、业务特点和风险管理要求，以表单形式进行风险识别、风险分析、风险应对、风险报告和沟通等管理活动的工具方法。其目标是使组织从整体上了解自身风险概况和存在的重大风险，明晰各相关部门的风险管理责任，规范风险管理流程，并为构建风险预警和风险考评机制奠定基础。从单位层面和业务层面以风险清单为工具方法，按照应用环境创建、目标设定、风险识别、风险分析、风险应对、风险报告和沟通、评价与优化的程序，通过风险管理基本框架的构建，来优化高校内控建设，使其符合高校特点的同时具有更强的可操作性。其中风险识别、风险分析、风险应对为关键环节。在风险识别环节，首先，查找可能影响高校正常运行的要素，如业务流程、规章制度、信息系统、人员素质等；其次，对查找出的要素进行深入的风险分析活动，判别是否存在风险；最后，梳理风险点，建立全面的风险清单。在风险分析环节，锁定识别出的单位和业务层面的关键风险点，对风险发生的可能性和风险后果的严重程度进行深入分析。风险发生的可能性分为高、中、低三个级别，“高”代表会影响高校的正常教学、科研等活动，对运营造成一定程度的影响；“中”代表能够进行正常的教学、科研等活动，但会对财务活动造成一定程度的影响；“低”代表对财务活动造成的影响较小。风险发生对目标实现的影响程度可分为高、中、低三个级别，“高”代表常常会发生，“中”代表某些情况下会发生，“低”代表极少情况下会发生。结合这两个标准，对各个风险点的总体风险度和风险等级进行分析和判断。在确定风险等级后，根据风险的大小确定相应的风险应对措施。确定为高等级的风险，需要进一步分析各个风险产生的原因，采取有效的控制措施将其降低至可承受范围内，并在后续的活动中持续关注该风险点的发展和动态；确定为中等级的风险，需要保持目前采取的控制措施，同时定期重新评估和分析风险；确定为低等级的风险，需要加强并坚持日常控制措施。

四、嵌入风险清单管理的高校内控建设优化措施

1.改善高校内部控制环境，增强风险防范意识高校风险管理是一个循序渐进的过程，成功与否主要在于高校管理人员和员工能否认知到风险管理重要性。高校管理人员必须充分认识到内部控制和风险管理的重要性，并且在制度体系构建上足够重视，落实责任，进而全面推行风险管理和岗位责任相融合，全员、全过程、全方位提高内控管理水平。特别是增强教职工风险意识，使大家在高校日常经营活动中认识到自己在风险管理中的职责，实现对风险的精准预测和有效控制，从根源上确保高校各项活动的有序推进。高校的内部控制环境，包括人员道德观念、能力素质、组织架构、人事制度及管理理念等，是高校风险管理的基础。一方面，需要重视人员的能力和素质培训，提高业务水平和能力，进一步提高财会人员的综合素质，加强沟通，创造和谐向上的工作氛围。另一方面，不断完善人事管理等有关制度，在人员聘用、培训、晋升等环节强化道德价值操守和风险管理意识，创造良好的管理控制环境，有利于促进高校自身的安全和稳定发展。2.健全财务内部控制制度，建设高校风险管理和预警体系高校应当基于自身需求，建立完善的内控制度，规范和控制经济业务活动，防范财务风险。高校管理层需要根据自身的办学特点和风险状况，对财务内控制度不断进行梳理并修订。同时对财务业务的主要流程和环节进行优化，加强制度建设，逐步建立起全面、系统的财务内控制度。另一方面，高校可以设立专门的内控管理部门，从总体上规划各项内部管理工作，从而确保有效发挥其功能和作用。以风险管理为导向的内部控制，最为关键的是风险防范。建立健全风险预警体系是高校内部控制与风险管理工作的重要举措。首先，构建全员、全面、全过程的风险管理体系，将财务风险预警不仅运用到高校投融资等工作中，还要落实到高校教学、科研、招生、就业等各个方面。其次，结合高校自身特点，不断收集并分析各种影响风险发生的信息，对高校发展与运营过程中存在的潜在风险因素进行动态追踪，实现事前、事中、事后的全过程监控，建立起动态的风险预警体制机制。最后，不断优化风险分析评估制度，完善高校风险预警机制，建立风险管理的长效机制，提高风险管理的效率与效果。3.多方位梳理完善业务财务流程，加强内部信息沟通高校在业务财务的规范化管理方面，要覆盖所有的业务财务流程，精细把控各个环节流程。利用流程化管理手段，将业务的各个处理流程细化，再分解到归口部门，以明确各个部门岗位的职责权限。同时为了有效提升内控制度的执行力，规范权力的运行，利用内部授权审批制度来实现制衡。随着风险管理和财务内控的积极推进，高校在对财务业务流程进行调整时，还需要考虑自身情况，重点关注借款、日常报销、绩效奖励、差旅费的审批流程、基础建设款项的审批、经费划拨审批，及一些其他特殊业务的处理流程。不断建立完善通畅的沟通机制，加强内部信息交流，特别是注重跨级沟通，实现上下级之间的平等双向沟通。具体可以通过以下手段来建立健全信息沟通机制：第一，建立内部开放式的信息系统，使员工能够第一时间反映相关情况，管理人员能够及时做出处理和反馈，从而为各级职能和教学部门提供有效参考；第二，建立投诉和投诉人保护制度，同时应给予适当的奖励；第三，成立内部小组，完善内部监督机制，定期召开通报会，分析错弊风险。同时，财务部门相关负责人应定期向学校管理层汇报工作开展情况，贯彻落实《高等学校财务制度》中的要求，从而将财务风险降到最低。4.强化内部监督机制，建立科学的内部控制评价机制运行有效的内部控制体系的建设和实施，离不开健全有效的内部监督机制。与此同时，监督和评价的结果也可以改进风险管理。因此，内控监管和评价制度的完善就成为关键。其中的首要工作是基于学校发展规划设立内控整体目标，把风险管理理念与高校业务活动进行融合，将内控目标、风险管理以及管理机制融合为一体，深入剖析流程，让高校各项工作更规范。另外，还需要通过自我评价、定期评估等方式对各个部门和岗位落实已分解职责的情况进行检查与评价，使高校内部控制能够接地气，能够真落实，能够有实效。高校通过内部、外部监督相结合的方式，依靠内部审计、纪检等进行常规和专项监察，同时借助外部审计机构、公众监督等，对学校的经济业务活动进行系统全面的审查。风险管理机构的设立是风险管理工作实施的基础，需要不断对风险管理机构、内控评价和监管制度进行优化和完善。深入调研学校的真实情况，制定高校内部控制整体目标，有效融合风险管理与高校业务活动，将风险管理、内控目标以及内部管理机制融为一体。同时，加强风险管理评估，根据实际情况，细分落实部门和岗位职责，检查评价控制情况。在高校的管理过程中实施全过程控制，实现内部控制与风险管理的有效融合。

五、结语

在高校的内部控制与风险管理工作中，运用风险清单的管理方法，将这两种工作结合在一起，通过对风险的规划、识别与评价，将内部控制与风险管理融合，从而更好地预防、规避和控制风险。同时，不断更新风险管理理念，树立风险管理意识，构建完善的风险预警体系和内部控制监督制度。在此基础上，将风险管理贯穿到高校教学科研、财务收支、业务管理、经营活动等各个领域，从而提高风险管理工作的质量和风险防范能力，规范高校的经济活动，促进高校的可持续和高质量发展。

参考文献

1.财政部关于全面推进行政事业单位内部控制建设的指导意见（财会〔2015〕24号）.

2.管理会计应用指引第702号――风险清单（财会〔2018〕38号）.

3.黄韬.高校财务管理内部控制的探讨.中央财经大学学报，2015（S2）.

4.欧阳瑞聪.财务风险管控视角下的高校内部控制.财会学习，2017（02）.

内控合规风险管理篇3

关键词：事业单位；内部控制；风险管理

一、问题的提出：

《行政事业单位内部控制规范（试行）》规范了规范风险管理：基于风险管理的行政事业单位内部控制的完善，对行政事业单位内部控制进行现状及存在的主要问题进行分析，结合风险管理的方法，通过逻辑推理的角度可以构建出风险管理、内部控制、行政事业单位管理三者的整合框架，同时也规范了会计控制：要建立健全本单位财会管理制度，加强会计机构建设，提高会计人员业务水平，强化会计人员岗位责任制，规范会计基础工作，加强会计档案管理，明确会计凭证、会计账簿和财务会计报告处理程序；，同时总结事业单位内部控制的不足之处，可以从风险管理的角度对行政事业单位内部控制进行完善。

（一）基于风险管理的行政事业单位内部控制内涵

内部控制与风险管理的关系。内部控制与风险管理都是为了实现单位的目标，但是从时间上来看，内部控制的起源早于风险管理。内部控制由传统的内部牵制制度逐步发展为以风险为导向的内部整合框架，风险管理也由分散的财务、经营和战略风险管理逐步发展为整合风险管理。实践证明，内部控制的有效实施有赖于风险管理的技术方法，而风险管理离开了内部控制作为手段支撑也将流于形式。而在我国的内部控制规范体系中将内部控制与风险管理融为一体。

基于风险管理的事业单位内部控制内涵。基于风险管理的事业单位内部控制就是以风险为导向，对事业单位现有的内部控制制度进行评价与风险识别，发现现有内部控制制度存在的问题与缺陷；对所存在问题与缺陷按其风险大小及重要程度进行风险评估，并提出相应的风险应对措施。也就是说，把现有的内部控制制度中的缺陷与问题归结为风险，树立“全面应对，抓大放小”的风险管理理念。

（二）加强基于风险管理行政事业单位内部控制的必要性

通过加强基于风险管理的内部控制，有利于提高行政事业单位的风险防范能力，防止和及时发现、纠正错误及舞弊，符合相关法律法规的要求。

加强基于风险管理的内部控制是风险社会的发展及行政事业单位管理科学化趋势所在；加强基于风险管理行政事业单位内部控制符合相关法律法规的要求；加强基于风险管理行政事业单位内部控制是保护财政资产的需要。

二、事业单位内部控制的现状与问题分析

（一）内部控制意识淡薄，缺乏风险管理理念。事业单位一般被认为旱涝保收，自认为地位高于一般企业，再加上事业单位一般属于国有或者集体所有，所以，其风险意识和风险关键都是缺乏的。仍停留在强调上级对下级的考评，或者是建立健全各部门的规章管理制度上，放弃对内部控制的建设。由于一直是靠国家的财政拨款扶持，使得行政事业单位缺乏对社会综合风险、组织内部风险、组织外部运营风险的关注，这对于国有财产的保护是极为不利的。在大部分行政事业单位中，会计人员扮演的仅仅是“记账员”或者是“付款员”的角色，这就使得财务的控制与监督流于形式，会计人员无权参与重要的管理活动，对于重要决策的过程和结果更是不了解。如此一来，即使是其他环节出现问题造成损失浪费或者国有资产的流失都归责与会计人员，会计人员成为了行政事业单位内部控制的牺牲品。

（二）缺乏风险识别与风险评估机制。事业单位一般是上级拨款，收支两条线，这样的模式导致一般事业单位缺乏风险识别意识，更谈不上风险评估机制。缺乏理性思考，这无疑会给行政事业单位和国家带来了巨大的资金损失。

（三）风险应对措施不完善。行政事业单位对于投资项目的后续管理及处置的内部控制也相对薄弱，在面对风险时，大部分行政事业单位不能够根据本单位的风险偏好、风险可接受程度、风险发生的原因以及风险的重要性水平，结合本单位所面临的内外部环境确定适当的风险应对措施，造成投资活动进退两难，愈来愈背离投资的原始期望。即使查出问题所在，其处罚往往是重人情轻规定的，如此一来使得本该杜绝的问题及风险一次又一次地上演，给单位带来的累进损失也不断地增加，使内部控制制度仅仅流于形式，无法发挥其真正效用。何时进行风险规避，何时应该选择风险降低策略，何时进行风险分担，何时选择风险承受，对于行政事业单位来说是一个不得不思考的关键性的问题。

三、基于风险管理的行政事业单位内部控制的完善

对事业单位内部控制进行现状及存在的主要问题进行分析，结合风险管理的方法，通过逻辑推理的角度可以构建出风险管理、内部控制、事业单位管理三者的整合框架，同时总结事业单位内部控制的不足之处，可以从风险管理的角度对行政事业单位内部控制进行完善。

（一）单位应当建立风险识别机制

在明确事业单位内部控制和发展战略的前提下，进行风险评估，识别单位各类潜在的风险是履行具体控制程序的基础和起点。一般而言，识别风险的技术方法有以下几个：

1、行业风险组合清单

同一行业的单位肯能具有相同或者类似的风险。事业单位可以通过国家政策、法律、法规、事业单位服务内容等公开渠道或者利用外部专业咨询机构资源，获取本行业的风险组合清单，作为识别本单位风险的基础和参考。

2、SWOT分析：SWOT（优势―劣势――机会――威胁）分析是企业战略制定过程中常见的管理技术。优势和劣势针对单位内部各种要素，包括组织架构、企业文化、财务资源和人力资源等；机会和威胁针对企业外部面临的各类变量，这些外部变量在短期内对单位而言是不可控的，如政治、社会、环境、行业风险。这些SWOT分析成果是可以用来识别风险的。

3、职能部门风险汇总

事业单位将控制目标分解至各职能部门，由各职能部门根据分解的战略和目标，列举其责任内的各类风险，并经上级主管部门评估后予以确定。其优点在于可以识别各类细微的、容易被管理层忽视的风险；缺点在于过于重视各职能部门的风险，可能错过影响单位战略实现的重大风险。

4、头脑风暴

管理层组成人员和不同职能部门、不同岗位的员工对单位外部和内部可能存在的各类风险，因为其角度不一样，对风险的认识也不一样。这种由不同背景和不同经验、不同偏好的人员共同参与的头脑风暴，有助于识别潜在的、不易被察觉的风险。

5、问卷调查：通常是针对一项新的业务或事项进行的风险识别方法。

（二）完善和健全内部控制

与企业要有战略控制和单位层面控制不同，事业单位的建制以及高层人士安排一般由上级决定，所以，事业单位的业务层面控制就成为其内部控制的核心内容。

业务层面控制，是指运用各种控制手段和方法，针对具体业务和事项实施的控制。其主要内容如下：

（1）资金活动控制，就事业单位尤其是全额拨款事业单位而言，主要就是支出控制，自收自支事业单位就要把收入、支出都要列入其中。货币资金由于其流动性最强，所以最有可能被挪用、侵占、抽逃或遭受欺诈。事业单位加强对资金的会计系统控制，主要应该按预算要求组织协调资金调度，实现资金的合理占用和良性循环，严禁存在“小金库”等体外资金循环现象，对支出进行严格的审批，严禁擅自改变资金用途。办理资金业务，应当遵守现金和银行存款管理的有关规定，不得由一人办理货币资金的全过程业务，严禁办理资金业务的相关印章和票据集中一人保管。

按事业单位会计制度和事业单位内部控制规范的要求，管理好出纳这个资金管理的核心职位，资金风险基本上就控制住了。

（2）资产管理控制。资产，指事业单位拥有或者控制的存货、固定资产、无形资产。一句话，就是保证其安全和完整。建立资产日常管理制度和定期盘点清查机制，采取资产记录、实物保管、定期盘点、账实核对等措施，确保资产安全与完整。

（3）加强工程项目控制。有工程项目的单位，无疑其工程项目就是最容易发生决策不当、工程造价不实、项目招标暗箱操作，权钱交易、工程物资价高质次，项目工程低劣、项目进度延迟或中断、项目资金不落实乃至竣工验收不合格等风险。单位要从项目可行性研究、项目立项、招标、监理、验收等内部控制关键控制点采取关键控制措施，规避上述风险。并建立项目完工后评估制度，重点评价工程项目预期目标的实现情况和投资效益，并以此作为绩效考核和责任追究的依据。

（三）借用外部专业咨询机构的力量

加强事业单位的内部审计、借用外部审计即政府审计或者民间审计的力量，利用这种外部专业机构以提高自身识别风险的效率和效果，以达到降低或者规避风险的目的。

内控合规风险管理篇4

（中国建设银行新疆石油分行新疆克拉玛依834000）

摘要操作风险一般都具有比较强的隐蔽性，所以长期以来一直都被银行业所忽视。银行在市场经济运作过程中必然会产生一定的操作风险，而对操作风险的控制与防范操作也是银行管理中的一项长期而艰巨的任务，它关系到银行在新的经济环境下是否可以生存与发展。本篇文章针对银行操作风险的管控，分析论述了现阶段银行操作风险的现状，并就防控银行操作风险和加强银行合规机制建设提出了一些建议对策，希望能够提高银行的风险管控水平，提高银行的整体管理水平。

关键词银行操作风险合规机制建设

合规经营是银行的生命，也是银行持续发展的保证。管控好操作风险则是银行合规建设的关键。与国外的银行业相比，我国银行由于长期以来对合规、操作以及声誉等风险的认识程度不够，导致银行操作风险管理不能够真正落实到实际工作中，有些银行甚至出现了许多违规操作和违规经营的问题，根源就在于银行内部的合规风险管理机制不完善。所以，我国银行业应当高度重视操作风险的管控，构建有效的合规风险管理机制，抓住银行合规机制建设的关键，从而促进银行健康稳定的发展。

一、银行操作风险管理的现状及分析

由于我国银行体制、机制、理念等各种因素的影响，现阶段银行的操作风险管理依然存在许多的薄弱环节，导致银行操作风险管理体制存在漏洞。

1.操作风险管理体系不健全。有些银行对操作风险的普遍性、长期性以及顽固性缺乏一定的认识，非常容易把一些操作风险情况当做是偶然、局部发生的，存在一定的侥幸心理，致使银行管理人员对操作风险的重视程度不够，银行内部缺乏一些重要的操作风险管理机制，没有严格遵循银行内部控制准则，对于风险管理职能没有专门的部门监管，仅仅由各个业务管理部门负责，存在管理职能上的交叉、管理目标的冲突以及管理流程紊乱等情况，折旧导致银行缺乏统一的操作风险管理战略和政策，银行的管理者也不能清楚地了解到银行面临的操作风险整体状况，操作风险管理机制形同虚设根本落实不到工作中。

2.银行内部管理人员对操作风险认识不够。首先银行管理者在银行内部管理与未来的发展关系上存在一定的认识误区，没有将风险管理与加快发展联系起来。其次由于受传统的东方文化沉淀影响，银行在风险管理制度的执行时操作人员，从上不从制，从师不从制，从习惯不从制，使一些风险管理制度无法得到有效的落实。最后是对操作风险认识太片面。有的银行管理者将操作风险仅仅理解为“操作中”的风险和“操作性”的风险，有的则将操作风险等同于金融犯罪等情况，在对操作风险认识上的不同及局限就导致管理者对操作风险管理的不全面、不系统。

3.操作风险的责任配置错位。近年来，在我国银行实施绩效分配机制改革的过程中，大多数都突出了对银行内部中高级管理人员的正向激励，但对银行基层机构以及一线员工确实激励不足。这种“收入分配上移、风险责任下移”的分配激励机制不但导致银行基层员工的严重不满，同时也挫伤了基层员工积极工作、规范操作的自觉性。另外，银行内部不合理的人力资源配置也严重影响到基层员工合规操作的积极性。近几年的减员增效改革中，各级管理银行作为政策的实际执行者，只是进行各个网点的撤并以及对基层人员进行减员分流，但对于本部的改革却没有见到成效。这种错位的风险责任配置不仅造成基层机构不能按风险控制制度定岗定员，还导致了银行学习培训以及轮岗休假制度顺利进行，再一点程度上提高了操作风险发生的概率。

4.金融创新和电子化建设带来的风险。一方面，许多银行为了抢占并扩大市场的份额，不断地推出许多新的金融产品、新的业务以及新的服务举措，但是在现阶段产品、业务和服务复杂程度不断提高的情况下，如果没有相应配套的内控制度的及时跟进，就非常容易引发新的操作风险；另一方面，在银行业务电子化、自动化程度不断提高的情况下，使银行在各个银行地区的经营以及各项产品的经营越来越紧密地联系在一起，但是，如果银行现代化系统建设滞后就会导致总行不能对各个分支行进行准确到位的内部监控，如果银行的电子化处理系统出现了问题，就会导致严重的、甚至是灾难性的后果。

二、加强合规机制建设，防控银行操作风险

银行是一种具有特殊经营风险的行业，银行在一定程度上是因为承担风险而生存和发展，可以说，银行是处理风险的机器，风险也是银行永恒的主题。现阶段，随着市场经济的快速发展以及银行内部体制的深化改革，银行面临的同业间的竞争压力越来越大，要想加强银行内控体制的完善以及银行合规机制的建设，实现银行快速稳定发展，就必须加大对银行操作风险的防控力度，切实推进银行合规文化的建设。

1.切实增强操作风险防范以及合规机制建设意识。一方面，要想保证银行操作风险管理系统的完善，首先就必须正确认识操作风险，加强银行管理者对操作风险的重视，只有正确认识到操作风险管理对银行的重要性，才能保证操作风险管理系统的建立与完善，使操作风险管理系统真正得到落实，发挥出应有的作用。另一方面，也要提升对银行合规建设的认识，持续开展银行合规学习培训。通过银行内部中层管理人员合规机制认识的提高、合规建设意识的树立以及合规执行水平的提高，来不断培养银行内部员工的合规优先、主动合规、全员合规的合规建设文化，使合规建设机制的核心价值观成为银行全体员工的行为准则。

2.建立严密的内部控制环境。任何操作风险可以说都是人的行为造成的，而人的行为主要就是受到制度道德约束以及文化熏陶。所以，要从根本上控制和避免操作风险的发生，形成操作风险防范的长效管理机制，就必须抓好银行风险管理制度、文化以及人三个关键要素，加强银行对操作风险管理的文化认同，建立起系统化、制度化的内部控制环境。首先要建立严密的内控环境，并对银行的内部控制进行全面的检测评价，按照制度化、规范化、精细化的要求，加强银行的内控建设，构建全面、规范、有效的风险管理以及内控体系，对银行各业务层面的关键风险点实施有效过程监督控制。从内部控制的建设入手，对银行现有的内控制度进行一定的清理整合，对银行业务和风险管理流程进行梳理、整合、规范，以及对岗位职责体系进行细化。

3.进行信息化管理，完善操作风险预警机制。银行的法人在推进银行内部机构管理的同时，还应该全面加强管理信息系统的建设，借助各类现代化实时监控系统加强对银行潜在风险、可疑交易以及违规行为的揭示、控制功能，并加强对各类监测信息共享和过滤的分析评价，对可疑行为以及潜在的风险进行现场检查、监管，从而及时排除操作风险隐患，保证银行业务的安全进行。当前，银行必须要加快将操作风险点细化、量化，将操作的风险点逐一分解落实到银行各个岗位、各个员工，建立完善操作风险数据的识别、登记、报告制度，对各级机构以及业务部门严格按风险控制指标进行监测和控制。

同时，还要成立专门的操作风险管理机构，规范操作风险业务流程，形成一套科学、规范、完整的操作风险监控体系。4.全面提高风险管理人员综合素质。银行风险管理人员的素质对操作风险的控制也会产生重要的作用，高素质管理人员是银行防范操作风险最主要的力量。所以，银行要定期组织管理人员进行学习和培训，不断提高管理人员的职业专业技能、风险管理能力、计算机操作及运用的能力，及时对专业知识进行更新，不断提高管理对对操作风险的认识以及控制能力，保证管理人员能够从容应对银行面临的各种操作风险；另外，银行还要对管理人员进行分阶段的考核，实施管理人员竞争上岗，优胜劣汰的制度，从而提高风险操控管理人员的综合素质，加强对银行操作风险的有效控制。

5.推进银行人性化管理，完善人员的激励约束机制。首先，银行要坚持“以人为本”的基本管理理念，将银行风险管理员工的个人价值利益与银行企业的发展目标相结合，使银行的风险管理人员对未来工作的发展前景充满信心，从而不断提高风险管理工作员工的工作主动性和积极性，有效提高银行操作风险管理工作的完成。其次，银行管理者还要制定一定的奖惩制度，对那些严格遵守银行内部规章制度以及及时消除银行操作风险隐患的工作人员给予一定的奖励；同样，对于操作风险管理人员中疏于管理、监督不到位、执行力度不够等现象，也要追究其相应的责任，给予一定的批评教育或者惩处，从而端正风险管理人员的工作态度，不断引导风险管理员工自觉遵守银行的规章制度。最后，银行管理者还要根据银行的实际情况，相应地减少银行内部的行政管理人员，不断充实银行内部的基层员工队伍，使银行内部的基层岗位轮换制度和强制休假制度得到切实有效的落实，从而在银行内部建立起一套适合银行自身的科学有效的人员配置体系。

三、结束语

总而言之，银行操作风险管理机制的建立完善，对于弥补银行法人治理结构中合规风险控制缺陷、增强银行经营规章制度的可执行性都具有极为重要的意义，并且还有利于银行真正落实全面的风险管理，提高银行内部控制体系的有效性，加强银行合规机制的有效建设。所以银行管理者应当立足于银行自身实际情况，采取必要的措施，尽可能地避免银行操作风险的发生，从而保证银行在新的经济环境下能够健康而稳定地发展。

参考文献

[1]万杰，苗文龙.国内外商业银行操作风险现状比较及成因分析[J].国际金融研究，2005，（7）.

[2]曾宪彬.加强商业银行合规文化建设的思考[J].现代金融，2009，（7）.

[3]程普.浅谈基层商业银行操作风险的成因及防范[J].青海金融，2008，（9）.

内控合规风险管理篇5

本文作者：李晓霞工作单位：淮安体育运动学校

企业税务风险主要包括:一是企业的纳税行为不符合税收法律法规的规定,应纳税而未纳税、少纳税,从而面临补税、罚款、加收滞纳金、甚至刑事处罚等风险;二是企业经营行为未能准确适用税法,没有用足有关优惠政策,从而多缴纳了税款,承担了不必要的税收负担。成功的税务风险控制管理,能将控制风险与创造价值较好地结合起来,保障企业经济的安全运行,对企业经营目标的实现起着重要的促进作用。(一)是通过税务风险控制可有效避免重大税收违法事件的发生,降低违法风险,减少不必要的违法处罚,避免经济损失和声誉损害。(二)是通过税务风险控制可充分享受应当享受的税收优惠政策,在按章纳税的基础上尽可能地降低税收成本,从而增加企业税后利润;(三)是通过税务风险控制可以将企业良好的纳税信息传递给外界,为企业树立良好的社会形象,同时企业的纳税情况和税负在同行业的水平将直接影响投资者对企业的评价;(四)税务涉及企业研发、生产、经营、销售等环节,从这个渠道入手,可发现企业经营管理中所存在的种种问题。通过对存在问题的解决可切实有效加强企业的内部管理。

税务管理业务目标包括经营目标、财务目标和合规目标。其中经营目标:要求纳税申报手续完备,税款及时、足额缴纳。财务目标要求:各项涉税的会计核算资料真实、准确、完整。合规目标:要求各涉税事项的处理符合国家各项税收法律、法规的规定。四、税务风险管理的关键控制点税务风险管理控制将企业的经营与财务活动分解成多个业务流程步骤。每个步骤由一个或多个控制点构成。控制点内容包括该业务所涉及的部门及其岗位职责、本步骤工作过程描述和控制措施等。结合单位经营管理的实际情况可将具体管理控制分为事前控制、事中控制、事后控制。(一)事前控制1、设立税务管理机构和岗位。为切实搞好税务风险管理,应建立健全税务管理部门,并完善相应岗位的设置,配备专职的税务管理人员,负责税收业务管理工作。如果公司规模较大,应当设置单独的税收事务部门,与单位所辖的财务部门平级,专门负责公司相关税收事务管理;公司规模较小的可在财务部门内部设置负责税务管理的工作小组,根据工作需要可在税收事务部门下分设一般税收事项经办岗和税收审核岗、税收优惠政策经办事项等岗位,并明确各个岗位的职责和权限。税务管理人员岗位调整或调离时,应认真做好业务交接工作,确保工作的连续、完整。同时还应建立相应的内部牵制机制,确保税务管理的不相容岗位相互分离,并形成相互制约、相互监督的机制,以防范内部管理风险的产生。2、适时监控税务风险。企业应加强对税务风险的适时监控,尤其在纳税义务发生前,对企业经营全过程进行系统性审阅和合理性策划,尽可能实现企业税务管理的零风险。在实施监控行为的过程中,要根据合理、合法原则审阅纳税事项,合理规划纳税事项的实施策略等,并对纳税模式不断进行分析和调整,测定其税收负担,制定相应可行的纳税计划和方案。3、建立税务基础信息系统。信息系统是税务风险管理的基础保障,对风险控制有很大的影响,很多控制点实际上是建立在信息系统中的。全面、有效的信息系统可以有效减少税务信息的产生、处理、传递和保存中所潜在的税务风险,做到防患于未然。所以《指引》要求企业建立完善的信息系统,将信息技术应用于税收风险管理工作的各个环节,因此要建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统。(二)事中控制1、纳税申报和税款缴纳:各项税收的申报表应由税务管理人员负责填报,财务负责人审核签字,并在税法规定期限内向主管税务机关申报。财务部门对于税法规定需进行税务事项审批和备案管理的,应在税法规定时限内完成。财务负责人批准税收资金划拨凭证后,在规定期限内缴纳各项税金,以防止给单位造成不必要的损害。2、会计核算:应按照国家相关税收法律、法规及政策规定,正确计提、核算各种税金,并及时进行账务处理,要根据内部牵制的要求由不相容岗位人员对税款的计提、核算、缴纳的相关资料进行审核,审核无误后签字确认。3、票据管理:要按照国家税收政策及本单位内部发票管理制度的要求,负责管理各类票据的领购、开具、保管等工作。按照税务机关增值税防伪税控开票系统规定及本单位内部管理的实际情况,购置开票税控设备,配备专人负责开票。对取得的票据应认真验证其真伪及合规性,不符合规定的要停止办理相关业务。按照国家有关税收政策要求对增值税专用发票等可抵扣的票据要在规定期限内进行认证。(三)事后控制1、税务检查与分析:要做好日常税务分析、预警及复核工作,对出现的异常情况要及时分析原因,并进行处理。同时还应配合税务机关的各类税务检查,根据税务机关出具的检查结论,及时进行账务调整(处理)。每年应定期或不定期组织地税务自查,对税务检查及自查中所发现的问题,应认真总结,制定整改方案及措施,及时进行整改。2、纳税资料、档案管理:要由专人负责保管税务证件及各种纳税资料,建立查阅、借用登记制度。对取得的增值税专用发票抵扣联或其他抵扣凭证应根据相关管理要求统一存档保管十年以上,保管期满报经税务机关查验后销毁。对已开具的发票存根联指定专人负责保管,保管期限为五年,保管期满也要报经税务机关查验后销毁。3、建立沟通机制,明确涉税相关信息的收集、处理和传递程序。要建立企业税务部门内部、与其他部门、董事会、监事会等治理层以及管理层的沟通和反馈机制,发现问题应及时报告并采取应对措施,这样才有利于将税务风险降到最低,从而避免不必要的损失,减少企业的经营风险。4、建立税务风险管理业绩考评制度。企业要建立并完善税务风险管理绩效考核机制,并做到绩效考评标准设计合理和奖惩明确。根据考核情况及时反馈税务风险管理和内部控制所存在的的问题,及时调整税务风险应对方案和机构人员,同时促使各税务风险管理岗位之间形成积极参与、主动沟通的良好氛围。对税务管理人员的工作进行考核,对工作认真负责并取得成效的进行表彰。反之对态度消极、业务水平低下而给公司造成损失的人员,要进行惩罚。5、注重关注重大税收事项,跟踪监控风险。企业的战略规划、重大经营决策和重要经营活动关乎企业的兴衰存亡,具有很强的风险性,其中就包括税务风险。这些重大事项不允许存在过高的风险,因此税务风险管理部门不但要在事前分析、识别、防范风险,更应着重跟踪监控税务风险,并采取切实措施进行风险防范。企业可通过设定风险预警指标,评估涉税风险的高低程度、影响面及发生的可能性等来采取相应的控制机制,切实降低风险,确保经营管理活动的有序进行。

目前,公司治理越来越受到社会各界的关注,税务风险管理已成为每个企业内部管理的重点。企业应从战略高度去认识税务风险管理的必要性和重要性。并应该自身内部管理的实际,摸索出最适合自己的风险管理体系,夯实税务风险管理的基石,切实保障税务风险管理体系的实施,最大限度控制税务风险事件的发生,从而不断提高企业内部管理,实现精细化、规范化和科学化管理,为企业健康、持续发展奠定坚实基础。

内控合规风险管理篇6

【关键词】内部控制；公司治理；风险管理；“大”风险管理

自企业诞生之日起，舞弊、欺诈频频发生，起初人们认为是内部控制出了问题，制定了一系列内部控制规范和措施；但事实证明大部分公司经营失败不是权力制衡出现问题，而是由于公司治理中的决策机制存在问题、决策过程缺乏监督机制，无法及时纠正错误的决策（JohnPound，1995），管理层有机会和能力凌驾于内部控制之上，因而，人们开始以公司治理作为突破点研究内部控制。此后，巴林银行倒闭、安然和世界通信等一系列的财务丑闻爆发，企业面临的风险因素日益复杂，对传统的内部控制理论提出了新的挑战。此时，理论界和实务界纷纷认为内部控制应与企业的风险管理相结合（StephenJ.Root，1998）。

当前，国内也是内部控制、公司治理、风险管理规范并存：内部控制的主要依据是财政部、证监会、审计署、银监会、保监会2008年联合的《企业内部控制基本规范》；公司治理的依据是证监会2001年颁布的《上市公司治理准则》；风险管理的依据则是国资委2006年出台的《中央企业全面风险管理指引》。近年来，国内财务舞弊、欺诈、内部人控制现象越发严重，理论上、实践上都急需对三者的关系有明确的界定。

一、内部控制、公司治理与风险管理的关系：研究回顾

关于内部控制、公司治理、风险管理之间的关系，学者们分别从经济学、管理学原理等方面进行了解释，其中，多数学者以内部控制与公司治理关系、内部控制与风险管理关系进行分析。《企业内部控制基本规范》前后，少数学者开始将三者的关系纳入研究范围。

关于内部控制与公司治理的关系主要有三种观点：一是环境控制论，认为内部控制与公司治理的关系是主体与环境的关系，如阎达五（2001）指出内部控制框架与公司治理机制是内部控制管理监控系统与制度环境的关系；二是嵌合论，李连华（2005）在对公司治理结构和内部控制的各种理论元素进行对比分析的基础上，将两者的关系描述为嵌合关系；三是内部控制是公司治理的基础，如杨雄胜（2005）认为，内部控制是实现公司治理的基础设施建设。

关于内部控制与风险管理的关系，目前代表性的观点有三种：一是认为风险管理包含内部控制，COSO《企业风险管理——整合框架》（2004）中明确指出，风险管理包含内部控制，企业风险管理比内部控制范围广得多；二是认为内部控制包含风险管理，加拿大COCO报告（1995）认为，风险评估与风险管理是控制的关键要素；三是认为内部控制就是风险管理，MatthewLeitch（2004）认为，从理论上讲，风险管理系统与内部控制系统没有差异，这两个概念的外延变得越来越广，正在变为同一事物。

将三者置于同一框架内进行研究的文献不多见。谢志华（2007）认为，内部控制、公司治理、风险管理三者本质上具有相同性。马正凯（2008）认为，内部控制、公司治理、风险管理都属于企业管理的范畴，都是为了进行风险控制。

从上述回顾中能够看出，理论界已经公认三者关系密切，但是对于三者在概念的外延方面没有统一的观点，更没有形成内在一致的概念体系，这种状况阻碍了内部控制、公司治理、风险管理理论和实务的更高、更深层次发展。

二、我国企业内部控制、公司治理与风险管理实务中存在的问题

自20世纪90年代起，我国开始在企业大力推行内部控制，目前的研究大部分都是集中在规范设计方面，这在一定程度上反映出我国对内部控制的研究还停留在内部控制制度或者内部控制结构阶段（张立民、唐松华，2007）。现阶段，企业内部控制、公司治理、风险管理规范大体可以分为五个层次：一是基础性法规（财政部《内部会计控制规范》）；二是证监会的上市公司内控工作指引（《上市公司治理准则》）；三是各行业监管机构的内部控制制度（中国人民银行《商业银行内部控制指引》）；四是国资委针对中央企业颁布的内部控制框架指引（《中央企

业全面风险管理指引》）；五是财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》。

我国频繁颁布的有关内部控制的法律规范说明，一方面，我国对内部控制的重视程度达到了前所未有的高度；另一方面，我国在这方面还未形成有效的系统性法律规范。我国的内部控制制度“救火式”的较多，对未来风险考虑不足，主要存在以下问题：

（一）现有规范不成体系

从上述企业内部控制、公司治理、风险管理规范可以看出，规范的制定主体不同，面向的具体对象也不一致，导致有的企业无规范可依，有的企业需要遵从两个甚至多个内部控制相关规范，可能使企业在遵循时变得无所适从。

（二）公司治理存在缺陷

公司治理是内部控制制度设计、运行的制度环境，也是管理层超越内部控制的重要约束机制。从公司治理结构来看，目前主流公司治理结构应该设有股东大会、董事会、监事会及公司管理层，但我国很多公司的董事长与总经理由一人担任，董事会与经理层是“一套人马，两块牌子”，导致对公司治理层面的风险缺乏关注。另外，我国由于国有资产所有者缺位问题的存在，由管理层实际控制企业，出现了较为严重的“内部人”控制现象。

（三）内部控制责任主体单一

目前，公司内部控制制度往往都是由经理层制定的，这种情况下经理层往往会出于自身利益的考虑制定出对自己有利的内部控制制度，而且，这本身就不符合不相容职务相分离原则。由于我国企业受体制等多方面因素的影响，董事会形同虚设，监事会也是如此，更使经理层成为唯一的内部控制责任主体，导致公司一切决策都由总经理一人拍板。因此，有必要让企业所有的利益相关者尤其是公司的股东和董事会意识到内部控制的重要性，加强对内部控制的制定和监督。

（四）监管者内部控制的强制性

由于监管者的内部控制要求具有强制性，但实际上与管理者对内部控制的需求又存在明显的不一致性，所以，从实施的后果来看，管理者在企业内部控制建设上的努力在很大程度上成了一种对监管者要求的遵循，而对企业自身经营管理的意义有限。

寻求上述问题的原因，主要在于内部控制、公司治理与风险管理三种理论“各自为政”，既在一定程度上相互重叠、相互协调，又在一定程度上相互独立、相互矛盾，可能导致对同一问题有不同的规范或者出现监督真空，阻碍了三者在理论上的发展与实务中的应用。倘若存在一种能够融合内部控制、公司治理与风险管理三者的理论，则可以解决上述问题。

三、内部控制、公司治理与风险管理的整合——“大”风险管理概念

在早期的企业中，为了保证财物安全以及会计信息的真实性，产生了内部牵制，内部牵制本身就是控制风险，而控制风险就是风险管理，所以内部控制是以风险管理为起点的（谢志华，2007）。随着企业由自然人企业向公司制企业过渡，由于所有权与经营权相分离，企业组织结构也日益复杂，相应的风险控制也由员工层次向经理层、董事会以至股东大会转换，风险控制也由内部控制发展为公司治理。尽管理论和实务界单独研究和实践了公司内部治理，但本质上仍然是为了控制风险，只是这种风险控制是基于新出现的公司组织层次，以及这些层次所要进行的行为，通过内部控制目标拓展和控制层次的提升就可以达成公司内部治理的要求，两者可以合二为一。并且在企业较高层次，企业面临的主要风险已经转变为市场竞争风险，所以风险控制就更加关注战略和经营风险。因而，笔者认为，内部控制与公司治理的实质都是风险控制，风险管理伴随二者的始终。因而可以对三者进行整合，形成一个“大”风险管理概念。

（一）董事会与经理层是内部控制与公司治理对接的

载体

公司治理和内部控制产生的基础都是委托，具有同源性。但公司治理是基于所有权和控制权分离而建立的约束和激励的制度安排，主要包括所有者、董事会和经理层之间的关系；而内部控制基于分权管理而产生的不同层次人委托问题，主要解决企业内部董事会、经理层和各下级执行机构之间的关系。董事会和经理层是公司治理和内部控制的共同组成部分，是两者有机对接的载体。所以，当管理层超越内部控制时，对董事会和管理层的控制问题必须依赖公司治理的约束。公司治理与内部控制的关系如图1所示：

（二）内部控制与风险管理整合的可行性

1.从内容上看，企业有效的内部控制应包括内部环

境、风险评估、控制活动、信息与沟通、内部监督等五个要素。风险管理不仅包括了内部控制的五个要素，而且增加了目标设定、事件识别以及风险对策三个要素；风险管理将控制活动提到了战略层面，提到对治理层、管理层的行为也要管理的层面，侧重于围绕目标设定对风险的识别、评估和应对处理；从二者的框架结构来看，风险管理不仅包括内部控制的三个目标，而且增加了战略目标。

2.从目的说，风险管理的目的是要及时地发现风险、

预测风险以及防止风险可能造成的不良影响，并设法把这种不良影响控制在最低的程度上。内部控制就是企业内部采取的风险管理，主要是通过事后和过程的控制来实现其自身的目标，内部控制制度制定的主要依据是风险。

（三）“大”风险管理概念的提出

根据上述分析，内部控制与公司治理的实质都是风险控制，因企业制度、经营模式、环境的不同，风险管理具体目标、内容和层次不同，董事会与经理层是内部控制与公司治理的衔接点。在内部控制与风险管理的关系上，笔者认为从整体上来说，风险管理涵盖了内部控制，内部控制为风险管理的一方面。这三者实质、根本目的是相同的，因而可以建立一个“大”风险管理概念，这个概念包括了内部控制、公司治理以及传统的风险管理。

四、内部控制、公司治理与风险管理：改进措施

基于上述分析，笔者认为，在现代社会经济生活中，企业的内部控制、公司治理都应以风险管理为核心，以“大”风险管理概念为指引，建立健全风险管理体系。具体措施如下：

（一）建立完善的内部控制体系

目前我国对企业内部控制的认识还停留在内部控制制度或内部控制结构阶段。考虑到内部控制建设的现状及内部控制标准的指导性和可操作性，我国内部控制标准可分为基本规范和具体规范两个层次来构建：基本规范应是一套类似于COSO《企业风险管理——整合框架》那样的概念性的制度框架，具有强制力；具体规范可以是类似于COSO《企业风险管理——应用技术》，是参照性的，企业可以根据自己的情况遵照执行，这两个层次缺一不可。

（二）完善公司治理，加强治理层面的内部控制

内部控制中强化公司治理的作用在我国显得尤为重要。由于我国证券市场尚处于新兴加转轨阶段，公司治理形备而实不至，惟有强化公司治理，才能净化控制环境。我国应加强公司治理建设，使股东、董事会和管理层相互制衡，防止管理层超越内部控制。

（三）加强企业各阶层诚信教育，搭配高效的激励机制

完善的监督体系能从总体上提高公司内部控制的质量，但这是一种强制性的规范结果，只有通过提高全员的文化素质、职业道德和诚实品质，才能改变他们被动遵守公司规章的观念，形成一种自觉遵循与完善内部控制的氛围。良好的激励机制是企业发展的动力，只有调动、诱导和激发出人的自觉性、主动性，再配以科学合理的激励、监督体系，才能使内部控制制度得到遵守，使其发挥最大效用。

【参考文献】

［1］阎达五，杨有红.内部控制框架的构建［J］.会计研究，2001，（2）：9-14.

［2］李连华.公司治理结构与内部控制的链接与互动［J］.会计研究，2005，（2）：64-69.

［3］杨雄胜.内部控制理论研究新视野［J］.会计研究，2005，（7）：

49-55.

［4］张立民，唐松华.内部控制、公司治理与风险管理——《托普典章》为什么不能拯救托普［J］.审计研究，2007，（5）：35-41.

［5］谢志华.内部控制、公司治理、风险管理：关系与整合［J］.会计研究，2007，（10）：37-45.

［6］马正凯.《企业内部控制基本规范》解读［J］.财会通讯，2008，

（10）：80-82.

［7］JohnPound.ThePromiseoftheGovernedCorporation.HarvardBusinessReview，1995，March.