风险内控如何管理

1. 风险内控如何管理

    　　导语：风险内控如何管理?通过风险管理和内部控制项目的实施，员工们进一步明确了不同岗位风险的控制方法和手段，做到合理有效地控制风险。
         　　风险内控如何管理        　　1、加强企业内部监督机制 
       　　对于企业内部审计的独立性需充分的保持。对于企业内部的审计工作能否具备相应的权威性，最为重要的条件就是是否能够达成独立性的内部审计，然而对于内部审计的独立性方面是企业内部审计机构的设置模式来制约的，若企业内部审计机构是独立性设置，就说明内部审计符合独立性条件，同时还是审计人员能否保证公正审计的前提条件。所以，企业需要将独立性的内部审计部门有所保持，要明确内部审计工作不会受到个人的制约以及任何部门的制约，需要将审计委员会下设到企业的董事会中，按照企业的不同风险和不同规模，相应的创设审计部门，对于企业内部的审计工作可以进行直接领导，保障内部审计可以拥有一定的独立性和权威性。
        　　2、公司风险的应对管理体系需不断的完善 
       　　细分企业的风险事项。为了能够让风险事项的识别，可以利用较为科学的对策，企业需要将所面对的不同风险，科学的细分为公司层面风险以及业务活动层面风险。在一般情况下，造成企业存在公司层面风险的因素主要为外部和内部，其中的内部因素具体包含：战略风险、财务风险、经营风险以及组织风险;外部因素具体包含：政治因素、市场竞争、技术因素、自然灾害以及法律法规等。业务层面风险中具体指的是，在生产经营活动以及企业管理职能当中所存在的不同风险，在企业处在的行业以及面对的市场有所不同的情况下，存在着的风险也会有所不同。
        　　3、将风险管理理念优质的培育在企业内部 
       　　优质的风险管理理念，一方面是企业风险管理所具备的核心，另一方面还是开展内部控制的具体环境要素。企业的风险管理是相应的信念与态度，也就是在实际生产活动当中所执行的信念与态度，会与企业的文化风险以及经营风格有着直接的联系，同时也能够制约企业目标的实现与否，会将企业的价值观显示出来，同时，风险应对、风险评估以及风险识别都是企业在进行风险管理的主要表现形式。所以，需要将风险管理理念在企业内部良好树立，才可以在企业整体中主动的抑制企业的不同风险层面，从而使得企业能够顺畅的发展。
       　　风险内控如何管理        　　一、强化内部控制和操作风险管理理念，建立良好的风险控制企业文化氛围 
       　　对于城市商业银行来说，引进国际银行业先进的操作风险管理理念，形成良好的风险控制企业文化氛围是迫在眉睫的任务。建立良好的操作风险控制文化氛围首先要明确操作风险的科学含义和风险控制手段及方法。
        　　二、进一步完善风险控制的组织结构和岗责体系 
       　　完善的组织架构是保证内部控制和风险管理的组织保障，而科学的岗位职责设计能够确保每名员工在内控和风险管理工作中权、责、利上的明确分工，进而通过合理的.绩效考核和激励机制设计保证分工的有力执行。项目小组结合内控和风险管理的科学理念和最佳实践对自身的组织架构进行了改造，对岗位职责进行了重新设计。
        　　三、建立科学的内部控制、风险管理制度与流程体系 
       　　科学有效的管理制度和流程体系是确保内部控制和风险管理质量的基本保证。锦州市商业银行通过完善各部门与业务的内部控制制度以及优化风险控制流程来降低和防范操作风险，将系统、标准的管理方法运用到各类业务的操作风险管理当中，全面梳理各项业务流程，建立有利于全面风险管理的内部控制体系。
        　　四、建立涵盖风险管理内容的绩效和薪酬考评体系 
       　　实施对员工的有效激励、对风险管理的科学性和效率性具有根本性影响。人们行为的动机在于与之相关的效用激励，忽视风险控制的激励机制只能将员工的行为动机转向单纯的规模和简单的利润导向。为提高对员工的风险约束，项目小组在建立涵盖风险内容的部门绩效考核的基础上重新设计了员工薪酬考评体系，将风险考核纳入了员工激励机制。
        　　五、锦州市商业银行内控和操作风险管理的未来规划 
       　　良好的内控和风险管理体系要通过充分有效地实施才能实现，锦州市商业银行将在未来一段时间内继续完善新体系的实施工作，确保项目设计目标的最终实现，并将继续推动银行信息系统的风险控制工作以及加强风险量化管理精确化的准备工作。

2. 风险内控如何控制？

风险控制就是使风险降低到企业可以接受的程度，当风险发生时，不至于影响企业的正常业务运作。
1.选择安全控制措施
为了降低或消除信息安全体系范围内所涉及到的被评估的风险，企业应该识别和选择合适的安全控制措施。选择安全控制措施应该以风险评估的结果作为依据，判断与威胁相关的薄弱点，决定什么地方需要保护，采取何种保护手段。
安全控制选择的另外一个重要方面是费用因素。如果实施和维持这些控制措施的费用比资产遭受威胁所造成的损失预期值还要高，那么所建议的控制措施就是不合适的。如果控制措施的费用比企业的安全预算还要高，则也是不合适的。但是，如果预算不足以提供足够数量和质量的控制措施，从而导致不必要的风险，则应该对其进行关注。
通常，一个控制措施能够实现多个功能，功能越多越好。当考虑总体安全性时，应该考虑尽可能地保持各个功能之间地平衡，这有助于总体安全有效性和效率。
2.风险控制
根据控制措施的费用应当与风险相平衡的原则，企业应该对所选择的安全控制措施应该严格实施以及应用，达到降低风险的途径有很多种，下面是常用的集中手段：
1）避免风险：比如将重要的计算机系统与因特网进行物理隔离　　2）转移风险：比如将重要的数据进行异地网络备份　　3）减少威胁：比如组织具有恶意的软件的执行，避免遭到攻击
4）减少薄弱点：比如对员工进行信息安全教育，提高员工的安全意识
5）进行安全监控：比如及时探测对信息处理设施有害的行为，并及时作出响应
3.可接受风险　　信息系统总会在一定程度上存在风险，绝对的安全是不存在的。当企业根据风险评估的结构，完成实施所选择的控制措施后，会有残余的风险。残余风险可能是企业可以接受的风险，也可能是遗漏了某些信息资产，使其未受保护。为确保企业的信息安全，残余风险应该控制在可以接受的范围内。
残余风险Rr ＝ 原有风险Ro － 控制风险Rx
残余风险Rr < = 可接受风险 Rt
风险接受是对残余风险进行确认和评价的过程。在实施了安全控制措施后，企业应该对安全措施的实施情况进行评审，即对所选择的控制在多大程度上降低了风险做出判断。对于残留的仍然无法容忍的风险，应该考虑增加投资。
风险是随时间而变化的，风险管理是一个动态的管理过程，这就要求企业实施动态的风险评估与风险控制，即企业要定期进行风险评估。一般而言，当出现以下情况时，应该重新进行风险评估：
◇ 当企业新增信息资产时
◇ 当系统发生重大变更时
◇ 发生严重信息安全事故时
◇ 企业认为非常必要时

3. 风险内控的风险内控方法

一、内控机制构建基于财政部《企业内部控制基本规范》的基础，建立企业风险内控模型。在此基础上，通过以下步骤为企业建立完善的内部控制机制：1、现状调研、分析和总体评估：访谈、问卷调研、资料阅读；2、企业战略分析与解读3、企业经营面临风险的分析、风险识别与评估、确定风险控制活动；4、制定企业的内控策略,设定内控目标；梳理优化流程明确流程关键环节、风险点和控制点5、建立内控管理架构，完善内控环境，建立企业内控信息沟通渠道6、制定企业内部监督制度7、树立内控及风险价值观8、制定内控及风险防范行为规范，制定内控手,9、制定风险管理办法10、内控体系实施，持续监测与评11、综合评价二、风险管理机制基于理念和方法的创新以及丰富的咨询服务经验，立足于国资委《中央企业全面风险管理指引》，通过解读企业的发展战略、战略目标，分析确定企业风险管理战略和目标，完善风险管理机制，制定风险组织架构、风险应对策略、风险管理流程、风险指标设计、风险管理制度和风险应对处理办法，培育企业风险文化，建立风险行为规范等角度出发，帮助企业实现：1、以企业发展战略为目标，制订企业风险管理规范和战略；2、构筑以流程控制和风险指标预警为核心的风险管理机制；3、在《中央企业全面风险管理指引》的基础上，利用系统的、科学的方法对各类风险进行识别和分析，建立一套风险识别、风险评估、风险预警、风险应对和风险监控的风险管理体系；4、通过流程、指标、风险管理制度等，将风险管理及应对策略落实到企业的决策、制度、流程、组织职能当中，做到人人是防线，处处有预警；5、跟踪企业内控机制和风险管理体系的落实情况，协助企业解决执行中出现的问题。

4. 如何设立风险内控体系？

企业内控建设应当以经营的效率与效果为主导目标，以财务报告可靠、资产安全与经营合规为三个保障目标，在此基础上，建设实务将围绕内控组织的设置与内控建设的五要素展开。
(1)内部控制组织
组织是体系运行的基本保障。通常的内控组织包括董事会与经营层两个层面，强调内部控制的建设与实施是董事会的责任，并且下设审计(风险)管理专门委员会加强管理。此外，内控组织的设置特别强调经理层是企业内控建设的具体实施者与责任人，各经营管理部门按照职能归口进行内部控制的建设与实施。其中，是否设置专职的内控部门是企业界关注的焦点，通常的设置方式包括三种:
方式一:单独设置内控部门。优点是有利于提高内控建设的初期推动效率，缺点是内控部门与经营管理部门割裂，未能很好地体现内部控制责任与经营管理责任的融合。此方式在金融类企业普遍应用，对于实体经济体，通常不设置专职的内控部门。
方式二:由内部审计部门牵头负责内控工作。优点是待体系初建完成且运行平稳后，内部审计作为内控的监督部门，可以立足于公司整体牵头协调各部门定期进行内部控制的自我评价，并且持续完善内控体系的建设。缺点是国内企业内审部门往往人才匮乏，在内控建设的初期独立当此重任可能力不从心。
方式三:在内部控制建设集中期设立内部控制建设办公室，该办公室从各主要部门抽调人员专职从事内控体系建设工作，待体系正式运行时，办公室解散，人员归位到各经营管理部门，且牵头职能也归位至内审部门。此方式的优点是可以集中各部门力量完成内部控制的体系化建设，待体系平稳运行后，相关人员回到经营管理部门的骨干岗位上，有利于促进各经营部门对内部控制体系的理解，有利于内控与经营管理的融合。实践表明，对于管理基础弱的实体经济企业，采取方式三的内控推行效果较佳。
当然，组织的设置没有一定之规，企业应当依据自身的特点设置内部控组织，明确相关的管理责任。
(2)内部环境的诊断与完善
内部环境是企业内部控制建设与运行的载体，企业在建设内部控制机制时，首先要诊断与完善内部环境。一方面，内部环境的完善可以为控制活动的设计与运行奠定基础，另一方面，内部环境的诊断可以加强控制活动与内部环境的匹配性，有利于控制活动的顺畅运行。
通常，内部环境的诊断与完善包括六个方面的内容:治理结构、机构设置、权责分配、内部审计、人力资源政策、企业文化。其中，机构设置、权责分配与内部审计的定位三个方面必须先行完善，后续的控制活动设计与运行才会顺畅。治理结构、人力资源政策与企业文化三个方面，可以伴随控制活动的运行同步完善。
(3)动态的风险评估
风险评估是内部控制体系化建设的重要表现，是后续内控措施设计的重要依据。根据成本效益原则，企业应当针对评估的重要风险强化内部控制措施，有效降低风险。对于次要风险，企业应当简化控制活动与流程设计，承担相关的风险，体现经营的效率与效果为主导目标的内控建设理念。
风险评估包括风险辨识与风险评估两个阶段。在风险辨识阶段，企业应当围绕内部控制目标识别影响目标实现的不确定性因素，辨别企业风险并进行分类，形成企业的风险管理库。通常，企业的风险可以划分为战略风险、市场风险、运营风险、财务风险与法律风险五类，并在此基础上进一步细分。在风险评估阶段，企业应当运用二维风险评估坐标图，从破坏性与发生频率两个维度评估风险，并将风险点界定为重大风险、中风险与低风险。企业应当依据行业特点与目标设置等确定风险评估的标准，评估标准应当注意定量与定性标准相结合。
在实务中我们强调，处于不同行业的企业，或是同一行业的不同企业，或是同一企业处于不同的发展阶段，其风险评估结果各不相同。为此，企业应当至少每年评估一次风险，及时发现新环境、新业务带来的新风险，动态地调整风险评估结果，进而动态地调整控制活动规范，让原本静止的内控制度动起来，始终踏上企业发展的节奏。
(4)控制活动的设计
控制活动是内控体系实施的核心要素，企业在规范控制活动的过程中，应当形成内部控制政策与程序手册(下简称内控手册)。
企业在设计控制活动时，应当树立与经营管理活动相融合的设计理念，首先界定企业的控制活动循环，然后将内部控制措施嵌入控制活动中，完善经营管理活动的制度流程设计，形成企业的内控手册。内控手册分模块设计，每一模块一般包括五个方面的内容:
第一，管理目标。围绕内部控制的目标，企业在设计内控手册时，首先应当明确控制活动的管理目标。例如采购付款循环，其管理目标应当包括保障物资供应、提高采购效率、降低资金占用、控制采购成本、保证核算准确等。
第二，管理机构及职责。该部分将控制活动涉及的组织及职责清晰界定，以确保后续流程运行的顺畅性。
第三，授权审批矩阵。该部分应当明确控制活动涉及的所有权限在董事会、经理层与各职能部门间的划分，并且明确各级审批责任。
第四，控制活动要求。该部分一般以制度文本的形式书写，明确控制活动各控制环节的内控要求，作为相关经营管理流程设计的基础。
第五，比照上述几部分，各经营管理部门应当重新梳理与完善业务流程，针对关键风险点强化控制措施，确保组织职责、授权审批、内控要求落实到经营流程中，保证管理目标的实现。
在内控手册的设计过程中，特别强调与企业现有的经营管理活动相融合的设计理念，切忌脱离原有制度流程设计孤立的内控手册，以避免实务中业务部门仍参照原有流程、内控手册则束之高搁的现象。
(5)信息与沟通贯穿始终
信息与沟通是指在内控建设中，保证在恰当的时机让恰当的岗位获取适当的信息。信息与沟通的设计应当贯穿于内部环境、风险评估与控制活动的始终，例如风险评估报告的报告程序，控制活动中的控制文档设计，都体现了信息与沟通要素的建立与健全。
(6)内部监督手段。
内部监督置于五要素之末，是内控管理闭环的体现。为此，内部监督也可以视为五要素之首，是内部环境、风险评估、控制活动、信息与沟通要素持续完善的基础。内部监督手段包括风险预警、内部评价与绩效考核，三者缺一不可。
风险预警是较新的管理工具，通过预警指标的报告与跟踪，可以突破企业传统的内部审计在时间与空间上的限制，运用现代企业高效的信息集合手段，帮助管理层从浩如烟海的数据中提炼关键信息，捕捉企业易于忽略或是下级管理者企图隐瞒的临界数据，及时发现并采取措施防范风险。风险预警系统的设计包括选择指标项、设定临界值、跟踪分析报告与修正临界数据四项工作。企业应当结合自身的行业特点与管理重点设定风险预警指标，并且逐步积累临界值。
内部控制的自我评价是基本规范的要求，也是管理审计的重要组成部分。内部评价手段完善的关键是建立评价标准与评价流程，明确内控缺陷的认定标准，规范评价报告。
此外，绩效考核强调将内部控制建设与运行的有效性纳入企业的绩效考核， 以促进内控体系的实施。

5. 风险内控的介绍

风险是一种客观存在，只不过它是存在于一定的环境和期限内的，也正是这个原因，导致了损失发生的不确定性。风险内控是在运营中从企业内部预防和控制风险的活动，风险管理是识别、评价与控制风险的活动。

6. 防控风险的内控

内部控制的简称。指一般公司企业内部的控制运作。我国财政部对内部会计控制做了如下的定义：内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。

7. 风险控制的具体流程

金融的核心是风险控制，风险控制是指风险管理者采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或风险控制者减少风险事件发生时造成的损失。

8. 内控管理的风险管理

收益掌握先进的内部控制、风险管理、职业舞弊及内部审计等理论 掌握快速诊断企业内部控制缺陷的方法，评价内部控制的效果并进行改进提升管理层对内部控制自我评估的能力，建立有效的内部控制环境明确如何结合企业自身特点、建立适合企业自身情况的内部控制系统通过企业运作中的典型实例帮助学员明确主要业务活动中的控制要点、控制标准和控制方法优势将内部控制与企业的经营管理融为一体切实可用的风险识别和评估方法，树立企业全体的风险意识提供可以即刻进行实施的控制工具，涵盖业务循环的各个方面适用对象财务总监及其他相关的高级管理人员负责内部控制和内部审计部门的经理、主管和其他管理人员财务与其他职能部门的经理和管理人员内容要点对内部控制相关理论的全面介绍　　控制环境　　内部控制的实质——风险管理　　内部控制活动　　内部审计简介　　职业舞弊　　内控的建立和执行　　萨奥法案及公司治理