时间:2023-10-11 16:22:49
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇企业内部控制与风险管理范例。如需获取更多原创内容,可随时联系我们的客服老师。
一、 内部控制与风险管理的定义
企业内部控制是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。建立和实施一套统一、高质量的企业内部控制规范体系,有助于提升企业内部控制管理水平和风险防范能力。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。它涵盖了全面性、重要性、制衡性、适应性和成本效益原则。内部控制的目的是在合理的范围内保证企业目标的实现。
企业风险管理是一个过程,是由企业董事会、管理层以及其他人员共同实施的。企业经营管理过程中会遇到各种各样的事件,这些事件可能对企业产生不利影响或者有利影响,产生负面影响的事件代表了风险,可能阻碍企业价值创造,产生正面影响的事件能够抵消不利影响或者为企业带来机会。风险管理就是对上述风险和机会的管理,它是企业从战略制定到日常经营过程中对待风险的一系列信念与态度,目的是确定可能影响企业的潜在事项,并进行管理,为实现企业的目标提供合理的保证。
风险管理和内部控制作为企业管理的两大工具,内部控制由传统的内部牵制制度逐步发展为以风险为导向的内部控制整合框架,风险管理也由分散的财务、经营和战略风险管理逐渐发展为整合风险管理。实践证明,内部控制的有效实施有赖于风险管理的技术方法,而风险管理离开了内部控制作为手段支撑也将流于形式。我国的企业内部控制规范体系应将内部控制与风险管理融为一体。
二、 我国企业内部控制与风险管理存在的问题
(一)企业自身内部控制不足
任何一个企业的内部控制必然受到法人治理结构、管理理念、组织制衡等多种因素的影响。控制环境是企业内部控制系统的核心,它决定着其他要素能否发挥和怎样发挥作用,影响着控制目标的实现。主要表现在内部控制中的会计控制和法人治理结构方面。首先,企业领导的内部会计控制意识淡薄,使控制往往流于形式。目前,一些企业领导缺乏现代企业管理经验,对企业实行粗放式管理,没有形成系统的内部控制制度,有的内部会计控制制度残缺不全,或者尽管有内部会计控制制度,但企业领导者超越内部会计控制行使职权,会计信息失真的问题时常存在,违法违纪问题经常发生,这直接影响企业健康持续发展。其次,治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。如董事会和经理层人员重叠,造成权责不清,制衡力量弱化,使得关键人物集控制权、执行权、监督权于一身,股东会、监事会形同虚设。规范的法人治理结构是一个权利分配、制衡和约束的整体,可以为企业内部控制的有效实施提供制度保证。
(二)企业风险管理意识较淡薄
一是我国企业风险管理水平普遍较低,风险管理理念不强。风险管理是企业对经营发展过程中的风险因素进行识别和分析,并采取风险应对策略进行风险控制。但是,我国很多企业并没有认识到风险管理与内部控制的关系,大量融资进行投资,过于追求企业发展壮大,资产负债率过高,企业面临资金链断裂的风险。虽然我国企业对各部门有严格的规定及控制措施,但对董事长、总裁等高层人员却没有相应规定,缺乏对高层人员的监督,是内部控制的盲区。二是人力资源缺乏或过剩、人才结构不合理、开发机制不健全,可能导致企业发展战略难以实现。人力资源激励约束制度不合理、关键岗位人员管理不完善,导致人才流失、经营效率低下。人力资源退出机制不当,可能导致关键技术、商业秘密泄露、法律诉讼等。
三、 改进企业内部控制加强企业风险管理的策略
(一)加强企业内部控制
首先,要加强企业内部会计控制。内部会计控制制度是企业内部控制制度的核心,要切实提高企业负责人对建立和完善内部会计控制制度重要性的认识,建立良好的内部控制环境。根据企业的实际情况,依靠现代管理技术对企业的经营过程进行监督。企业实施不相容职务相分离控制,内部牵制。例如,企业出纳人员和会计工作进行分工,“管钱不管账,管账不管钱”,银行出纳不能既编制资金进出凭证,又核对银行账户。单位应当指定专人定期核对银行账户,每月至少核对一次,编制银行存款余额调节表,使银行存款账面余额与银行对账单调节相符,调节不符,应查明原因做出处理。银行预留印鉴章要分开保管。加强会计监督的作用,保证会计信息真实完整。
其次,企业法人治理结构是企业管理体制的核心,应把企业最高管理者行使权力的过程纳入内部控制的监控范围,作为内部控制的重点。要明确股东会、董事会、监事会、经理层的职责,创立良好的组织结构和权责分派体系,建立股东会、董事会、监事会与经理层相互监督、相互制约机制,规范决策程序。例如,对重大经济事项、重大对外投资、重要人事任免及大额资金支付业务,按规定的权限和程序实行集体决策,按照不相容职务相互分离要求,明确各个岗位责职权限。每类经济业务在运行中必须经过有两个部门以上共同参与,经过不同的部门的监督并保证在有关部门间进行相互检查,从而提升管理者的风险管理理念。
再次,建立完善的内部审计机制,加强内部监督。内部审计控制是实现内部会计控制的主要手段,有效的内部审计控制制度对内部会计控制具有重要的监督和积极的促进作用。结合我国企业内部管理实际,内部审计的有效运行,可有效避免和防止内部会计控制中所产生的贪污公款、挪用、盗窃财物、乱用职权等现象,是所有者监管企业、经营者规范管理的重要工具,所以加强内部审计控制,是提高内部控制的重要措施。内部审计在企业应保持相对独立性,目前我国企业内部审计的独立地位还不够,内部审计参与风险管理的范围和作用还存在一定局限。只有大力提高内部审计人员参与企业风险管理的专业素质,内部审计的特有优势才能充分发挥。
(二)加强企业风险管理
企业风险分外部风险和内部风险。对来自外部的风险难以施加影响,只能通过密切关注、审时度势、灵活调整,将可能带来的损失降至最低限度。企业内部风险存在于企业的经营管理内部,内部风险所带来的危害,要远远超过外部风险带来的危害,并在企业的经营成败中起到了决定性的作用。企业加强风险管理,应该注重抓好以下几个方面:
关键词:内部控制;风险管理;比较
中图分类号:F27文献标识码:A
企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。企业风险管理也是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。尽管风险管理与内部控制有内在的联系,但现实中或代表目前应用水平的内部控制与风险管理还有不小的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,如银行业的授信管理或市场(价格)风险管理(如汇率、利率风险等)。典型的内部控制是指会计控制、审计活动等,一般局限于相关财务部门。它们的共同点是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此有时看上去风险管理与内部控制还是相互独立的两件事。
一、风险管理与内部控制关系研究回顾
内部控制的最初思想是内部牵制。它产生于古埃及的国库管理,其目的是防范财产风险。内部控制的现代思想是企业风险管理,它是企业组织规模扩大和资本大众化的产物。内部控制与风险管理的结合很早就引发了人们的关注,但对于两者关系的看法存在分歧。主要有以下三种观点:
(一)风险管理包含内部控制。COSO(2004)明确指出,企业风险管理包含内部控制;内部控制是企业风险管理不可分割的部分;内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。南非King II Report(2002)认为,传统的内部控制系统不能管理政治、技术和法律等诸多风险,风险管理将内部控制作为减轻和控制风险的一种措施,是一个比内部控制更为复杂的过程。Krogstad(1999)认为,内部控制不存在于真空或暗箱之中,而存在于协助组织进行风险管理并提升有效的治理程序之中。
(二)内部控制包含风险管理。加拿大COCO报告(CICA,1995)认为,“控制”是一个组织中支持该组织实现其目标诸要素的集合体,实质上就是“内部控制”,或者说是用“控制”一词表达“内部控制”概念。COCO报告认为,风险评估和风险管理是控制的关键要素。CICA (1998)将风险定义为,“一个事件或环境带来不利后果的可能性”,阐明了风险管理与控制的关系,即“当您在抓住机会和管理风险时,您也正在实施控制”。巴塞尔委员会的《银行业组织内部控制系统框架》中指出,“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……。”这里显然是把风险管理的内容纳入到了内部控制框架中。
(三)内部控制就是风险管理。Blackburn(1999)认为,风险管理与内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。Laura F.Spira等(2003)分析了内部控制是怎样变为风险管理的,并指出“将内部控制定义为风险管理强调与战略制定的联系,刻画了内部控制作为组织支撑的特点,但是它也掩盖了一个不争的事实,即现在没有人真正明白内部控制系统是什么”。Matthew Leitch(2004)认为,理论上风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,正在变为同一事物。
二、基于COSO报告下的内部控制与风险管理比较
内部控制与风险管理有着密切的联系。COSO认为,内部控制是风险管理的一部分。因此,该委员会在《内部控制框架》的基础上又于2004年出台了最新报告――《企业风险管理框架》。《企业风险管理框架》继承并包含了《内部控制――整体框架》的主体内容,同时扩展了三个要素,增加了一个目标,更新了一些观念,旨在为各国的企业风险管理提供一个统一术语与概念体系的全面的应用指南。COSO对内部控制与风险管理的定义及其组成要素分别是:
企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。
企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。它有八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。
(一)内部控制与风险管理的相同点。从COSO的两份报告来看,企业风险管理与内部控制有以下相同之处:
1、它们对参与主体要求相同。二者都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都承担着相应的角色与职责。
2、它们都对企业实现目标提供合理保证。设计合理、运行有效的企业内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。
3、它们都明确是一个“过程”。二者本身并不是一个结果,而是实现结果的一种方式。企业内部控制与风险管理都应该是渗透于企业各项活动中的系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
4、它们都维护投资者利益。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中,它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增值及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业风险,为多种风险提供整体对策,捕捉机遇以及使资本的利用合理化。”从维护与促进价值创造这个根本功能来看,风险管理与企业内部控制目标是一致的,它们都想实现保全资产并创造价值的作用。只是在新的技术市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
(二)内部控制与风险管理的区别
1、目标体系不同。风险管理的目标有四类,其中经营类目标和遵循性目标与内部控制的目标基本重合,但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。查剑秋等(2009)经研究得出,战略内控体系绩效与企业价值具有显著正向相关性,即企业战略内控的好坏会影响到企业战略执行绩效,并最终影响企业价值。由此可见,风险管理增加了内部控制未提及的战略目标,也弥补了内部控制在企业战略层面的一定缺陷。
2、组成要素不同。风险管理增加了目标设定、事件识别和风险应对三个要素,控制环境要素也改成了内部环境。“目标设定、事件识别和风险应对”不仅丰富和完善了风险管理内容,还体现了风险组合观。“内部环境”要素内容除包含“控制环境”要素内容外,还增加了风险管理哲学、风险偏好等内容;在名称相同的要素中,风险管理对相关内容都进行了补充和提升。例如,在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性。
3、风险管理理念不同。《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止各部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。
4、产生效益的方式不同。内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。一般来说,典型的内部控制依然是为了保证资金安全和会计信息的真实可靠,会计控制是其核心,内部控制一般限于财务及相关部门,并没有渗透到企业管理过程和整个经营系统,控制只是管理的一项职能;典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较,如银行的授信管理、汇率风险管理、利率风险管理等,它贯穿于管理过程的各个方面。
三、研究结论
综上所述,内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。而随着时间、技术市场等条件的不断变化,风险管理与内部控制的范畴又在相互转化。从静态上看,风险管理与内部控制互有交叉;从动态上看,二者又互相转化。我们可以看出,风险管理的决策是确定内部控制重点的依据,而一个强有力的内部控制是实现有效风险管理的基础,内部控制的动力来自企业对风险的认识和管理。
(作者单位:河北经贸大学会计学院)
主要参考文献:
[1]毛新述,杨有红.内部控制与风险管理――中国会计学会2009内部控制专题学术研讨会综述[J].会计研究,2009.5.
[2]陈志斌,何忠莲.内部控制执行机制分析框架构建[J].会计研究,2007.10.
[3]潘琰,郑仙萍.论内部控制理论之构建:关于内部控制基本假设的探讨[J].会计研究,2008.2.
[4]董月超.从COSO框架报告看内部控制与风险管理的异同[J].审计研究,2009.4.
[5]杨雄胜.内部控制理论面临的困境及其出路[J].会计研究,2006.2.
[6]吴水澎,陈汉文,邵贤弟.企业内部控制理论的发展与启示[J].会计研究,2000.5.
[7]杨有红,胡燕.试论公司治理与内部控制的对接[J].会计研究,2004.10.
[8]于增彪,王竞达,瞿卫菁.企业内部控制评价体系的构建――基于亚新科工业技术有限公司的案例研究[J].审计研究,2007.3.
关键词:内部控制;风险管理;发展
中图分类号:F23文献标识码:A文章编号:1672-3198(2009)23-0195-02
1内部控制与风险管理的内在联系
1.1在风险导向内部控制的观念下,风险管理将成为组织发展的关键
随着风险管理导向内部控制时代的来临,内部控制的工作重点也发生了变化,现代内部控制除了关注传统的内审之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部控制的观念下,风险管理成为组织发展的关键,促使内部控制的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。由于内部控制的自身特点,其参与风险管理拥有一定的优势。内部控制机构和人员熟悉本单位情况,对企业面临的风险更了解;内部控制机构和人员是企业内部成员,其利益同企业发展、兴衰密切相关,对防范企业风险、实现企业目标有着更强烈的责任感;内部控制机构的独立性使其不同于其他风险管理部门,作为高层次的监督部门,其风险评估意见直接报告给董事会、审计委员会,足以引起管理当局的重视。内部控制的独立地位还便于其充当企业长期风险策略与各种政策的协调人,通过对长短期计划的调节,调控、指导企业的风险管理策略。在现代企业经营管理中,随着内外部环境的变化,各种风险因素增多,内部控制工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部控制也被赋予了更多的职责和使命。近年来,在美国发生的财务造假案导致了安然、世通等跨国大公司的破产,同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。在我国也曾出现“银广厦”、“蓝田股份”、“亿安科技”等坑害中小股民的事件。所有这些事件的发生,在全球引起了各方对民间审计机构诚信问题的探讨,同时也触动了人们对企业内部控制的进一步思索。企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤,它使股东的家产与企业的财产及企业的经济责任相互独立,股东的变换不再影响企业的信用能力,为股权交易扩大了范围并增加了流动性,从而降低了投资风险并促进了企业融资,造就了今天巨型的股份公司。
1.2风险管理是对内部控制的自然发展
内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama&Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。”COCO在解释广义的控制与风险时论述道:“‘领导’包括在面对不确定性时作出选择。‘风险’是指个人或组织在作出选择后遭受不利后果的可能性。风险正是机会的对应物。”显然,这些论述已经认识到企业的存在是为股东或利害相关者(针对非盈利性组织等)创造价值的,而价值创造不仅是被动的资产安全等,还应包括机会的利用。另外,对股东价值的威胁也不仅来自经营者会计舞弊等内部因素,还包括来自市场的风险等。
1.3技术的发展推动内部控制走向风险管理
技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
2内部控制与风险管理的外在联系
2.1它们都能为企业目标的实现提供合理的保证
风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
2.2风险管理与内部控制的组成要素有五个方面是重合的
(控制或内部)环境、风险评估、控制活动、信息与沟通、监督这五个方面都是风险管理与内部控制的组成要素。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(risk appetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
2.3风险管理提出了风险组合与整体风险管理(integrated risk management)的新观念
《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。
3从内部控制走向风险管理
有一种争论,即风险管理包含内部控制,或内部控制包含风险管理。笔者认为得出什么样的结论并不十分重要,最重要的是明确风险管理与内部控制之间有重合与联系的地方。谁的范围更大,可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同,例如,在内部控制发展的早期,市场上风险管理的工具与技术条件都不充分(如计算机系统、统计学理论、数量模型、对冲工具与保险等),这时内部控制包含(替代)风险管理功能是很自然的。即使在同一个时代,不同的行业各自的侧重点也可能不相同,例如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
笔者认为,在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,如财务报告的准确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。
尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
参考文献
[1]王光远,刘秋明.公司治理下的内部控制与审计[J].中国注册会计师,2006.
[2]周兆生.COSO企业风险管理框架(中文版)[R].华融资产管理公司,2007.
[3]朱荣恩,贺欣.内部控制框架的新发展-企业风险管理框架[J].审计研究,2003,(6).
关键词:内部控制;风险管理;思考
一、企业内部控制与风险管理关系阐述
(一)企业内部控制管理本质
企业内部控制管理大体上是根据企业目前的专业管理机制以及策略,同时主要是以风险管控、风险预防、风险监督、风险评估等这几个方面为主的工作,再借由多维度多层次的管控方式进行生产以及经营中各种类型业务的规范化的管理模式。从管理视角出发,企业内部控制在定义上来说有点像是风险管理的下属子系统;但是从管理范围来看,企业内部控制管理作为企业全面风险管理的重要环节,其完全可以作为企业在进行风险管控时最重要的构成部分。企业内部控制管理的过程中是从内部环境为视角出发的,内部控制管理的机构设置有诸如企业内部审计、企业人力资源政策以及内部奖惩制度等等;而对企业的风险进行管控时,就更需要企业内部控制的管控方式进行更为科学与合理化的目标确定,严格根据企业风险评估体系,争取做到企业内部控制的最优化结果。
(二)企业风险管理的含义
任何目标在达到的过程中必然面临各种各样的风险。企业更是不必说的。企业风险管理是指企业各级管理层在完成企业战略目标的过程中,对企业所面临的各种潜在风险以及企业当下管理模式存在的各类风险进行有效管理与控制。只要是背离或是阻碍企业共同目标的因素与风险,在企业实施风险管控的时候都应该给予治理与规避,这样才能保证企业的战略目标得以实现。风险管理中风险是最主要的工作范围,而这其中信息化程度也是影响着整个风险评估与判别的重要影响环节,这也是现代企业注重信息化的原因;企业进行内部控制与检测时,在风险评估以及风险管控方面还是需要根据企业的实际需求,布置相应的内部检测,同时也要针对企业的日常内部监控,一旦在某个企业的内部控制管理出现问题,企业就可以针对该环节进行分析,分析出是政策、机制还是相关实施措施的问题并进行调整,这样可以使得企业在进行风险管控时不仅避免了风险还不断的健全风险管理制度。
二、我国企业内部控制存在的风险缺陷
(一)我国企业风险控制体系不成熟
(1)我国企业对风险全面评估不够重视。企业经营风险的诞生以及企业管理者的风险偏好这些很大程度上取决于企业是否具有完善的内部控制体系。健全的风险界定以及成熟的风险评估体系是企业内部控制体系有效发挥作用的重要前提,但是我国企业管理者并没有重视对风险管理机制的研究,这就自然形成了不成熟的风险控制体系。(2)我国企业未设置单独的风险管控部门。当下的时代是信息时代,企业所面临的风险种类大大增加,企业生产经营的风险波及程度也逐渐加深,从中可以看出设置专门的风险管控部门是十分有必要的;由于我国企业在风险管控这方面的意识薄弱,并没有设置单独的风险管控部门,甚至有些企业连最基本的风险识别与风险预警系统都没有。
(二)企业风险管控意识不够强烈
目前随着经济全球化的进程,我国同世界各国的经济联系更为紧密,越来越多的企业进军到国际这个大舞台之上,在国际市场中进行更为激烈的市场竞争,同时也有诸多企业涌向国内。在上述背景下国内企业面临的压力逐渐增大,尤其是在国内许多企业仍是缺乏风险意识,许多企业管理者所重视的风险也仅仅是在财务风险单方面,由此可见我国企业的风险管控意识薄弱的程度;我国企业普遍在乎的是公司盈利,在风险管控方面实在是无法关心,这样就极易造成我国企业在经济全球化的冲击下无法面临巨大的挑战与机遇,相反,国外因为经济的发达,许多企业早已重视这方面的问题。
(三)企业公司管理结构不够完善
企业的内部管控要想有效的运行就必须保证企业拥有着完善的治理结构,这是给企业内部管控造就最基本的实施环境。企业内部控制管理的主要实施者当然是企业的经营管理层,但是如果企业的权利设置以及制衡体系之中存在着结构性的问题,则企业的内部控制就无法有效的实施,企业治理结构中作为企业风险与内部管控的核心――董事会,该核心是要对企业的风险管理与内部控制担负主要责任的,而在我国中董事会存在着职权交错的问题,在实质上是对公司治理结构不利的,容易造成职权混乱的局面,自然企业就无法有效的运行内部控制机制以及风险管控。
三、企业基于内部控制下的风险管控策略
(一)逐步强化企业风险管控体系以及内部监督机制的建立
(1)对企业风险类别进行明确的区分,这是为了企业能采取相对应的科学的措施来进行风险管控。企业在分类风险时可以从业务活动方面与企业整个方面两个维度进行分析。通常来看,企业的整体风险主要是由内部与外部构成的,内部因素有组织、经营、财务、战略等等风险;而外部就是宏观与不可抗力因素,诸如法律政策、自然天灾、市场技术等等风险。而从业务活动层面来看主要取决于企业所处的行业环境来进行分析,企业所处的行业环境不同其所面临的风险也不尽相同。企业应根据自身特点明确自身的风险种类。(2)建立完善的内部监督机制。完善的内部监督机制自然包裹各个风险指标的检测等等,尤其是要建立风险导向的审计机制。企业的审计机制可以处于相对客观且独立的审查机构,能更加从公正的角度来对企业内部与风险管控作出评估与监督活动;充分引进相关的审计人才,这样他们才能利用自身的专业优势提升企业风险管理以及内部控制的水平。
(二)增强企业内部风险与内部管控的理念
优秀的企业管理理念才能对企业战略目标的实现有所帮助。良好的风险管理理念是企业有效实施内部控制管控的基本环境条件,同时也是企业增强风险管理意识的基础条件。增强该理念的方式是通过企业的日常经营活动中不断将该理念融入到业务活动层面,这样既能对企业战略目标的实现产生积极影响,同时也将企业的整体价值观更进一步的升华;同时企业管理者必须加强对该方面的学习,企业也可以加强之间风险管理的理念,这样才能碰撞出更精彩的理念;企业定期请相关的学者教授主持讲座,召集职工进行风险与内部管控的理念学习,这样能提升整个企业的风险与内部管控的氛围。这样企业管理者在进行风险与内部管控时能将对策更有效的实施。
(三)加强健全企业治理结构
科学的企业治理结构应当涵盖内部监督与反馈系统、谨慎的业务执行流程等等,只有企业的治理结构不会产生混落,才能为管理措施提供稳定的环境。企业要充分重视独立董事的功能,要发挥出独立董事在内部控制中心的核心监督位置;企业要增加独立董事在董事中的所占比例,要将独立董事的收入与承担的风险进行挂钩,这样才能让独立董事明白自身应该作出应该做的贡献。另外,企业经营中的特别事项应该设立专门的风险管理委员会,企业在发展过程中碰到的问题不能总是常规问题,总有部门非常规问题,这就需要这个特别的委员会对该类事件进行有效快速针对性的处理,风险管理委员会的主要目的就是预防与处理各种风险的出现。
四、结束语
本文先分析企业内部控制以及风险管理的本质,着重针对企业在企业内部控制下的风险管理过程中所遇到的问题提出了相关的策略。从中可以看出企业内部控制与风险管理之间存在紧密的联系,这两者相辅相成,缺一不可,希望我国企业能重视这两者之间的关系,希望本文能对相关人士有所启迪。
参考文献:
[1]王洪丽.企业内部控制与风险管理关联分析[J].财会通讯,2014(17).
[2]陈冬梅.基于风险管理的企业内部控制研究-以贵州茅台酒公司为例[D].河北:河北科技师范学院,2015.
[3]李莉.论企业内部控制的风险管理机制[J].企业经济,2012(03).
直接导致内部管控和内部风险管理产生直接联系的公开文件是1992年由COSO所提出来的《内部控制――整体框架》,此后,随着企业风险管理和企业风险管理逐渐关联性的不断升级,2004年在内部控制研究的基础上,《企业风险管理――整合框架》的提出更将二者的共同点予以了明确的分析。如图1所示:
(一)企业内部控制含义 企业内部控制主要是依存企业现有的专业管理制度和策略,以风险管控、风险预防、风险监管等方面的工作为主要工作目的,借助全方位多层次的管控方式,按照描述关键控制点方式、过程监控体系方式、流程监管方式等来从直观和间接的角度对生产和经营过程中的各类业务所进行的规范式管理模式。从管理角度来看,企业内部控制主要在定义上隶属于风险管理的子系统,从管理范畴来看,作为全面风险管理的重要阶段之一,企业内部管控也可以作为企业风险管理在整体实施时的重要组成部分。在企业内部控制过程中,主要需要从内部环境即企业内部管控的机构设置、企业内部审计、企业文化、企业人力资源政策以及企业的社会责任和企业的治理结构等方面来进行分层管理和专业化的管控。相对企业风险评估来说,企业的内部管控方式更需要进行目标的合理化确定,按照企业的风险评估流程和结果,针对企业在风险评估过程中所出现的各类风险以及企业在风险监管时得出的结论,企业在内部控制时可以更加明晰自身的管控承受范围和找到相应的管控措施。
(二)企业风险管理内涵 企业风险管理主要是由企业的董事局、企业的管理层以及企业内部其他具有此权限的人员在共同确定统一的目标时,按照战略制定的要求以及围绕该要求而产生的从各个层面来进行运作的活动,此类活动存在的意义在于识别各类具有潜在风险或者就企业目前的管理过程来分析而存在的各类风险,所进行评估,任何违背或者阻碍企业共同目标的因素或者风险,在企业进行风险管理的过程中均予以规避或治理,以保障企业的整体目标得以顺利进行。
在企业进行管控的过程中,风险作为其工作的主要范围,信息的沟通及时化是企业进行风险评估和判断的重要因素,这也是企业在内部控制时从信息化角度来完成企业的内部信息疏导、企业各方面信息的有效传递、企业信息流通的及时性和稳定性等方面工作的主要原因之一,在企业进行内部管理和监控时,对于风险评估和风险管控本身的行为来说,同样也需要按照企业的实际需要,进行相应的内部监督,包括日常内部监督和具有专业性的专项检查,一旦发现企业的内部控制缺陷包括政策、措施等方面以及针对风险进行评估时出现的各类人为和非人为的可以进一步诱导企业内部控制中风险性质变化或者量变等问题发生的直接因素,均可以在核查的同时加以改进。
二、从内部架构角度看企业内部控制与风险管理
(一)企业内部控制与风险产生之间关系的介质 企业风险产生主要原因就是在于企业发展 “目标”的存在性,目标是公司取得长驱发展的主要动力,同样目标的存在也同样引发了各种风险的出现见(图2)。目标作为风险产生的主要原因有:首先,目标作为风险的出现的主要原因来自于人的主观能动性与客观活动之间的差别,在客观的活动过程中,当人的主观能动性与客观环境之间的差异化成为不确定因素时,风险就会同时出现。其次,因为目标需要建立在一个较高层次的基础之上,在当前企业发展高度结构化的模式下,任何一类子目标的发展都需要下一个阶层子目标的支撑,因此这些子目标之间需要以重叠性和排斥性进行系统化排列,尤其是在不同的目标之间更需要进一步的相互补充,由此,一旦层叠性逐渐出现任何关联间隙,就会导致风险因素的出现。最后由于在企业的内部和外部的管理中存在着诸多的目标,因此在不同的目标进行次第互补时,就必然出现衔接方面的安全隐患,如果各个目标之间的衔接性存在问题,或者衔接的联系性不够完整,就极易造成衔接之间的空白期,这些空白期自然会造成风险性的出现。
(二)企业内部控制与风险管理的专业化促进 目标产生的主要原因在于企业的发展需要,企业内部控制与风险产生之间产生关系的介质更在于对目标的实现。强化企业的内部管理活动,将企业的多样化发展目标统一到同一个发展层面上来,企业发展过程中的各项风险维度则会相应的维持在一个企业可以管理和可以控制的范围内。这也是企业在内部管理和内部控制时,出现各类风险的主要原因。
此外,从企业管理的角度来看,企业的风险控制和企业的风险管理,需要在专业化角度进行细化,以审计为例比如当同一个或者不同账号出现账户交易时,一旦账户交易中存在着内部或者外部因素而导致的漏报和错报问题时,内部管控和内部管理就自然会在出现相应的专业管理需要的同时出现专业管理的风险,以审计为例(见图3),审计的过程中所出现的漏报、错报等问题时,对于此类问题的纠正或者对此类问题的管理过程中,对于出现的问题或者存在的风险隐患,就自然应该划归到相应的管理层面来进行分析,如因为财务报表的疏漏而导致风险的产生就需要划归到财务方面来解决,因为企业的管理失衡所出现的风险问题或者由于各项制度的不完整性而存在的问题,需要按照不同问题出现的源头进行分门别类的风险评估及措施应对。但是无论基于哪种,从企业发展的角度来看,都会引发企业风险的出现,并需要通过内部控制而耗费企业运营成本。
三、由整到层划分企业内部控制与风险识别
关键词:房地产企业 内部控制 风险管理
一、企业内部控制和风险管理之间的联系
首先,风险管理包括了内部控制。风险管理不仅仅只有内部控制这个内容,还存在着战略目标。而风险管理中的要素不仅仅是内部控制中的所有要素,还包括对目标的设定、对风险的对策以及对事件的识别等,如果从内容以及时间先后顺序方面来看,风险管理是内部控制工作的外在延伸。其次,风险管理中内部控制是关键环节。只有企业对风险加以认识并进行管理才能有效的达到内部控制的目的。针对企业中存在的运营风险以及业务流程中的风险进行内部控制系统是十分具有必要性的,不仅如此,这种风险管理方法效率较高且十分有效。建立的企业风险管理体系必须要保证其状态能够满足内部控制系统的基本需求。最后,风险管理和内部控制都是在企业管理中必须引起重视的方式,两者之间相辅相成,共同致力于企业科学管理模式的构建,并保证企业能够稳定快速发展。
二、房地产企业中内部控制与风险管理中存在的问题
(一)企业内部对风险管理和内部控制的认识存在着偏差
如果企业管理者对内部控制和风险管理认识不够,将会对企业发展带来重要影响。企业内部风险管控是一种管理制度,其本身并不会对经济效益带来直接影响,只有企业各部门加强内部控制和风险管理才能保证企业的经济价值能充分实现。部分企业管理人员认为所谓企业内部控制,其实就是对多种规章制度加以汇总,而对于在企业风险管理中内部控制的应用价值却并没有意识到。
(二)企业风险管理和内部控制没有全面的内容
目前,我国很多房地产企业对于风险管理和内部控制在内容上还不够全面。部分企业对财务工作的管理和控制较为重视,但是却没有在风险管理体系以及内部控制制度中引入经过梳理和完善的企业经营管理活动中的全部重要业务。在房地产开发企业中,因为其不仅开放周期很长,而且需要一次性投入大量的成本,另外很容易受到政策的影响。如果房地产开发企业中存在着风险管理和内部控制在内容上不足的情况,一旦存在突发问题,企业发展将会面临着重大的打击。
(三)企业风险管理和内部控制没有健全的监督机制
在对企业风险管理和风险控制进行督查中,内部审计是较为重要且有效的一种方式,然而很多房地产开放商企业其内部审计工作还不够实际,没有充分适应市场,采用的方式还是过去的财务审计。部分房地产企业还停留在向运营管理审计的发展过程中。这种传统阶段下的内部审计无论是设计阶段还是实施阶段,都不具有系统性。尤其是部分企业其内审人员还没有专业的素质,针对内审人员还缺乏培训和考核机制。因为企业风险管理和内部控制存在着监督机制不健全的情况,没有有针对性的对企业内部发展实情进行全面管理和监督。
三、房地产企业内部控制和风险管理采取的措施
(一)要认识到管控工作的重点,对房地产企业中开发价值链以及企业内部控制环境建设的风险控制重点进行明确
要想保证建立的企业内部控制制度健全,就要知道风险管理和内部控制的重点所在。首先是组织管控体系的建设。按照内控规范,企业内部环境包括机构设置权责分配、治理结构、人力资源、企业文化以及内部审计。企业要想实施内部控制,就要注意到内部环境,这五个内控环境因素中,组织机构设置。权责分配以及项目管理模式最容易存在问题,从而影响到企业全局发展。目前房地产企业发展速度不断扩大、开发规模区域不断激增,保证建立的组织管控体系权责明确、定位清晰、激励有效、风险受控才是内控风险管理体系建立的重点。其次,企业需要通过人才来运转,如果人才存在风险会影响到企业,所以在建设内控风险体系中要以人力资源体系为根本,企业只有充分吸引优秀员工并激励员工发挥价值,才能有效的控制风险。最后,按照房地产企业价值链特征,对开发价值链前段项目规划设计与定位策划阶段的风险控制和识别着重关注、
(二)对管控方法进行优化,做好房地产企业风险评估识别工作
房地产企业属于一个对资源进行整合利用的企业,企业的很多业务和管理活动都会存在一定的逻辑,从而建立起一套流程,对流程的各个环节重点研究、调查和分析,可以对风险进行有效识别和标注,从而采取风险管理体系以及内控制度的措施来对风险进行防范。我国目前房地产市场不景气,房地产投资降低,销售面积及销售额开始大幅度下滑,房地产市场正在大力调整,从而合理的控制房价。因此,房地产企业要按照市场发展规律,对每项投资和工作的风险要采取全面评估。在对房地产投资前,要通过风险管控部门和审计委员会的有效审核,有效评估房地产工作中的财务风险、政策风险、市场风险和经营风险,深入研究重点环节。另外,在参与过程中,要对风险预警机制进行建立,监督和跟踪运作资本,如果存在异常情况,要及时撤回投资金额,如果无法撤资,要采取措施将风险最低化。
(三)对管控机制进行构建
按照房地产企业发展阶段的不同,内控风险管理体系可以分为合规型、管理型以及战略型。企业可以按照自身发展实际,从合规型到风险战略型逐步实现。目前很多著名的房地产企业的内部审计就是从财务会计审计、运营管理审计一直到内控风险审计。企业审计人员的素质决定了企业内部控制和风险管理的质量,必须要重视对审计人员综合技能和素质的培养,不仅要有掌握财务审计的相关知识,还要精通企业管理知识己相关流程。
摘 要 本文从国务院各部委颁布的内部控制规范和风险管理有关法规政策出发,通过对内部控制与风险管理的联系和区别进行比较,针对目前国有企业内部控制与风险管理的现状,分析其形成原因,并提出运用风险管理方法构建风险导向型内部控制体系的对策与建议。
关键词 国有企业 控制 规范 风险 机制
2008年由美国次贷危机引发的全球金融海啸,引起我国各行各业对企业内部控制与风险管理体系建设和评价达到了前所未有的重视程度。为有效控制企业风险,我国相继出台了一系列法规政策,2006年6月为促进中央企业内部控制建设和全面风险管理工作国资委出台了《中央企业全面风险管理指引》;财政部会同审计署等五部委2008年6月联合了《企业内部控制基本规范》,2010年4月再次了《企业内部控制配套指引》,共同构建了中国企业内部控制规范体系,对企业防范风险、控制舞弊、促进发展产生积极的推动作用。本文通过剖析内部控制与风险管理的联系和区别,针对目前国有企业内部控制与风险管理的现状,分析了其形成原因,并提出了运用风险管理方法构建风险导向型内部控制体系,形成“自我免疫机制”的对策与建议。
一、内部控制与风险管理的联系和区别
内部控制与风险管理是一对既相互联系又存在区别的概念。内部控制是指为合理保证企业经营管理合法合规、资产安全、财务信息真实完整,提高经营效率和效果,促进企业实现发展战略,由董事会、监事会、经理层和全体员工设计与实施的政策和程序,旨在实现控制目标的过程。风险管理是由企业董事会、经理层和全体员工共同参与的,应用于企业战略和内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。
两者相同点:(1)目标一致性,均为提高经营效率和效果、经营合法合规、财务报告可靠、资产安全、实现发展战略等5个目标,首要目标提高经营效率和效果,终极目标是实现发展战略;(2)都强调是全员参与的管理,是由企业董事会、管理层以及全体员工共同实施的,指出各方在内部控制或风险管理中都有相应的角色与职责;(3)也都是企业全方位的管理,明确是一个持续不断的“过程”,其本身并不是一个目标,而是实现目标的一种工具和手段,都是渗透于企业日常管理过程中的一系列行动,需作为一种常规运行的机制来建设;(4)都是为企业目标的实现提供合理保证,而不能提供百分之百绝对保证。
两者的差别主要体现在:(1)在报告目标的范围上风险管理有所扩展,将“财务报告的可靠性”发展为“报告的可靠性”,报告范围由“财务报告”扩展到“内部的和外部的”“财务的和非财务的”报告,涵盖了企业的所有报告;(2)在内容上风险管理更丰富,引入了风险管理文化、风险偏好、风险承受度以及风险应对策略等新概念;(3)两者侧重点不一样,风险管理更偏向过程的前端,更偏向于对影响目标实现因素的识别、分析、评估与应对,是一个更为独立的过程,而内部控制更加重视实施,嵌入到企业各业流程的具体业务活动中,融合在企业的各项规章制度之中。
可见,内部控制与风险管理既相辅相成、又各有侧重的现代管理元素,不存在包涵或被包涵关系,也无法完全替代,两者都是公司治理极为重要的组成部分。
二、目前我国国有企业内部控制与风险管理的现状
从目前总体情况来看,我国国有企业内部控制与风险管理建设工作还处于起步阶段,基本上都建立了自已的内部控制体系,也有一些风险管理策略,但其内部控制和风险管理的水平和效果尚不容乐观,实际执行中存在诸多问题,主要如下:
1.法人治理结构不完善,内部人控制现象严重。现阶段我国绝大多数国有企业虽然进行了公司制改造,但其法人治理结构普遍存在问题,设计不科学,股东会、董事会和监事会等核心机构形同虚设,审计委员会、风险管理委员会、董事、独立董事和监事会只是形式上挂个名,没有实际行使监督治理职责,导致董事不“懂事”、独董不“独立”、监事不“干事”。企业管理者集控制权、执行权和监督权于一身,内部人控制现象严重,自觉不自觉地凌驾于内部控制之上。
2.内部控制制度缺乏系统性,制度执行流于形式。绝大多数国有企业都建立了比较多的内部控制制度,其内容应有尽有,但制度间缺乏有效衔接,甚至存在“互相打架”现象。一些新开展业务领域,其风险容易发生的关键环节没有有效控制措施。制度执行流于形式,主要有3种情形:一是执行不到位,出现制度与实际执行“两层皮”现象,纸上写的、墙上挂的是一套,执行的是另一套;二是不愿意执行,因人员数量不足、水平不够、能力有限,以忙于具体工作业务为由没时间去执行;三是故意不执行,为谋求个人利益,先把水搅混,好从中摸鱼。
3.内部审计机构不健全,内外部监督未形成有效合力。有的没有设立内部审计部门,有的内部审计部门与财务或纪检合署办公,有的虽然单独设立了内部审计部门却形同虚设,不具备真正意义上审计的独立性,从而缺乏客观性,发现不了问题,或者发现了问题也不让追查,内部审计没有发挥其应有监督作用。企业、注册会计师和有关监督部门在在内部控制监督评价工作中,监督标准不一,各种监督职能交叉,各监督主体缺乏横向沟通,未能形成有效合力。
4.风险管理薄弱,缺乏有效风险管理体系。企业缺乏有效对已经面临的和即将面临的风险作出系统分析、整体评价和管理风险的机制,没有制订具体的风险控制点,也没有将风险控制点分解和责任控制到岗、到人;一旦盲目扩张出现了问题,采取“头痛医头,脚痛医脚”的“灭火式”风险管理模式,抗风险能力较差。更没有将企业风险管理与内部控制有机结合起来,建立风险导向型内部控制体系。
三、原因分析
导致上述问题的产生,既有大环境下法规政策和理论研究方面存在缺陷的深层次原因,也有企业本身对内部控和风险管理制重视不够、设计制度不足、执行和监督评价不到位等方面的个性原因:
1.我国内部控制和风险管理制的理论研究和实践工作仍处在摸索阶段,其理论研究基本上借鉴美国COSO《内部控制-整合框架》、《企业风险管理-整合框架》相关理论,与实际国情、行业特点结合不够。在《配套指引》出台之前,相关法规政策条例倾向于定性描述,缺乏具体标准,没有实务操作指引,为企业内部控制的实际执行和客观评价工作带来一定难度。企业董事长、总经理、监事由上级任命,且董事会成员和管理层成员高度重叠,企业内部人集控制权、执行权和监督权于一身,经营权得不到有效的监控,容易产生、等现象,进而影响内部控制的实施和健全。治理结构不完善是阻碍国有企业实现发展战略的根本性问题。
2.没有风险文化,缺乏风险意识。没有风险文化,企业的风险管理机制就失去了灵魂,缺乏风险意识,是企业最大的风险源。风险管理意识不足,一方面风险意识淡薄,投机心理、侥幸心理比较重,另一方面求稳心态较重,经营偏保守,注重规避风险,而不是管理风险,不能有效控制风险并利用其发展机会。
3.企业没有对内部控制制度进行测试评价,并根据测试评价结果及时修订。内部控制评价是推动企业内部控制机制建立健全的重要手段,内部控制制度在实行之前,一定要对其完整性、有效性、符合性进行评价,及时发现问题并进一步完善。然而,许多企业在内部控制制度制订过程中,并没有对内部控制制度的有效性进行测试,对内部控制制度符合性进行评价,更没有随着国家政策调整、经营业务拓展,对内部控制制度及时修订。这是导致企业内部控制缺陷产生的根源。
4.激励机制、约束机制缺位。长期以来,对企业员工和领导干部的考核,以目标利润、经营规模完成情况为主要依据,缺乏对内部控制和风险管理等相关指标的综合考察,激励约束机制缺位,直接造成企业制度没有执行力。
5.企业普遍缺乏专业的内部控制和风险管理人才。内部控制制度制订合不合理、能否有效执行、监督评价能否公正客观,都取决于人的素质水平。企业内部控制和风险管理是一项综合性较强的管理工作,对人员素质要求较高,特别是知识新、阅历广、综合型,而企业普遍缺乏这样的人才。
四、对策与建议
1.认真学习好、贯彻好内部控制规范。国有企业要认真学习企业内部控制基本规范及其配套指引,根据内部控制和风险管理相关法规政策条例,并结合企业自身实际情况,制订适合、适度、适用于本企业的《内部控制与风险管理手册》。这对于指导内部控制体系建设,促进各项经营管理活动进一步规范、有序运行,增强风险防范能力等,都有极其重要的意义。
2.完善法人法理结构,解决内部人控制问题,加强企业文化建设,优化内部控制环境。法人治理结构由企业股东会、董事会、监事会和经理层和全体员工组成,是内部控制环境的核心。规范各责任主体的职责权限,保证决策权、经营权和监督权制衡。董事会负责内部控制的健全和有效实施,经理层负责组织领导企业内部控制的日常运行,监事会负责对董事会建立与实施的内部控制进行监督。同时,企业应培育良好的企业精神、内部控制和风险管理文化,加强团队协作意识,为内部控制创造一个良好的环境。
3.构建企业、注册会计师和有关监管部门三位一体的内外部监督评价体系。国有企业应该建立由董事会领导下的审计委员会统一管理企业的内部审计工作,赋予审计委员会监督内部控制执行情况和自我评价情况、协调内部控制审计等方面的职能,授权内部审计机构监督评价职能,增强内部审计的独立性;注册会计师要严格按照内部控制规范的要求,将内部控制审计范围覆盖企业内部控制整体,而不仅仅局限于财务报告内部控制,也可以将内部控制与财务报表进行整合审计,提高审计效率;财政部等有关监管部门要加强对企业和注册会计师执行内部控制规范体系的监督检查,同时协调监管政策,规范监管口径,形成有效监管合力。
4.建立内部控制和风险管理长效机制。国有企业要建立对内部控制和风险管理的执行情况与管理层和全体员工的绩效考核挂钩制度,作为绩效考核的一个重要指标,通过利益约束驱使企业全体干部员工高度重视内部控制建设和风险管理。另外,要建立重大决策失误责任追究制,对造成风险损失的责任人进行责任追究,提高制度的威慑力和执行力。
5.运用风险管理方法构建风险导向型内部控制体系,形成“自我免疫机制”。国有企业应致力于建立风险导向型的内部控制体系,即围绕影响企业目标实现的不确定因素,进行风险识别、风险评估、风险应对,并针对各个风险点制定相应的风险控制点,区分关键控制点和非关键控制点,再根据企业的组织架构、职责分工,将风险控制点层层分解到岗、到人,从而构建出贯穿于整个企业业务流程的内部控制体系。并结合企业的风险偏好,制定相应的风险应对策略,从而指导企业内部控制体系的构建。可以有效防止错误和舞弊,提高效率,确保企业战略目标的实现。内部控制制度是风险评估和分析的产物,是企业进行有效内部控制的基础和依据,是风险管理的支点;风险管理是建立在内部控制基础上,而内部控制的实施经常运用风险管理的的方法。建立风险导向型内部控制体系,对现代企业来说,风险管理的有效性离不开权责利相制衡的体制保障。只有保证内部控制监管的独立性,明确高管层的责任,实现管理层与内审机构的相互监督,才能保证内部控制制度的有效执行,实现对风险的有效控制,形成“自我免疫机制”。
6.注重内部培养和外聘选拔,提高人员专业胜任能力。企业内部控制和风险管理是一项综合性较强的管理工作,对人员素质要求较高,首先要熟悉国家和行业法规政策、企业业务流程和内部控制制度,其次要讲政治、懂技术(计算机运用技术和审计技术)、善沟通、会理财,具备较强的发现问题、分析问题、解决问题能力和识别风险、评估风险、控制风险的能力。企业要注重内部培养和外聘选拔相结合,提高内部控制和风险管理人员专业胜任能力。
内部控制和风险管理的完善不是一朝一夕的,是现代企业管理永恒的主题。国有企业只有不断完善法人治理结构,持续优化风险导向型内部控制体系,通过制度规避风险、机制控制风险,责任降低风险,才能为风险管理奠定扎实基础,才能提高企业经营管理效率和效果,才能在当今激烈的国内外市场经济竞争中持续健康发展,从而实现发展战略目标。
参考文献:
内部控制框架是企业实施内部控制的一个规范体系,它是企业达成目标的指导框架,该框架规范了内部控制的目标、概念以及实施程序等内容。我国内部控制的第一个行政条例就是在1997年5月颁布的《关于加强金融机构内部控制的指导原则》,在这之后,我国又于2000年7月颁布并实施了第一部要求内部控制的法律《会计法》,该法律体现了会计内部监督的理念,从2001年到2004年,我国财政部门相继颁布了10项内部会计控制规范,主要有《内部会计控制基本规范(试行)》以及《内部会计控制规范—资金(试行)》等,国有资产监督委员会在2006年的时候了《中央企业全民年风险管理指引》,该指引充分体现了风险管理的基本流程。我国的企业内部控制标准委员会(CICSC)于2006年7月正式确立,该委员会确立之后的第二年就了《企业内部控制规范—基本规范》,第一次提出了我国企业内部控制规范的整体框架。随后我国在2008年5月了《企业内部控制基本规范》,在2010年4月了《企业内部控制配套指引》这两大内部控制规范体系,就这样,我国企业内部控制体系结构就由此而生。它简要明了,结构合理、方法科学,正符合我国的企业内部控制标准委员会(CICSC)所倡导的基本规范体系。
2内部控制整体框架与企业风险管理整体框架
2.1内部控制整体框架
在1929年美国AAA(会计师协会)和FRB(联邦储备委员会)的《会计报表的验证》中,首次提到内部控制这一名词,1992年美国的COSO委员会提出的《内部控制—整体框架》中指出,内部控制是一个过程,一个由经理以上阶层和员工共同实施的过程,其主要的目的就是使企业达到运营效果,与此同时,要严格遵循相关的法律法规,并保证企业财务报告的可靠性。这就是COSO委员会认为的内部控制。在COSO委员会在1992年9月的《内部控制—整体框架》中,明确提出了支撑内部控制的框架五要素,分别是:控制环境、控制活动、信息与沟通、风险评估以及监督,这五元素共同构建了内部控制整体框架。各元素之间的关系是相互制约的。
2.2企业风险管理整体框架
企业风险管理是一个过程,它是渗透于企业各项活动中的行动,企业风险管理所涉及的人员是整个企业的员工,不分阶层,一个企业要想茁壮成长就必须要将风险管理过程应用在每个部门和每一位员工身上。企业风险管理既可以从企业的总体对其进行分析,也可以从单独的部门对企业有一定认识,企业风险管理框架的目标就是实现企业的目标。构成企业风险管理的八要素分别为:内部环境、目标制定、风险反应、风险评估、事项识别、信息和沟通、控制活动和监督。其中,需要注意的是风险反应,它主要分为四类:减少风险、共担风险、规避风险与接收风险四类,企业应对每一个重要的风险都要考虑相应的风险反应方案。
3从企业内部控制走向全面风险管理———3C全面风险管理框
在企业中实施企业全面风险管理是新时期下的环境所导致的,在我国企业的管理中,风险管理是一个相对薄弱的环节,近年来,由于我国企业的风险管理工作薄弱而引发的事件不再少数,所以,建立我国企业全面风险管理框架成为了我国企业发展的首要问题。我国在2004年由COSO委员会颁布了内部控制整体框架基础,这一框架的迎来了全面风险管理时代。2008年5月了《企业内部控制基本规范》,在这一规范中,能够明显看出,我国由原来的理论框架已经逐渐走向了风险管理,进一步完善了中国企业内部控制规范体系,在2010年4月,我国又相继了《企业内部控制配套指引》,并在2012年进一步完善了该条例,要求实行企业内部控制规范体系的企业,要对企业本身进行自我评估,并相应地作出自我评价报告,交由政府监管部门进行监督检查,这充分说明了我国企业正在从内部控制走向全面风险管理。我国企业要想提高市场竞争力,实现可持续发展,就要建立完善的企业内部控制体系,首先,管理者要树立风险管理理念,提高管理层的风险意识,对企业所涉及的风险要素进行分析,并制定相应的措施去应对,同时,还要加强道德与行为准则体系建设,适当地激励或是约束企业员工,建立一套具有操作性的行为规范和准则。除此之外,要明确企业的战略目标,需要注意的是,在设定战略目标的时候,要考虑企业自身能够承受的风险数量。在以上的基础上,借鉴国外企业风险管理的经验,将目标—风险—管理这三个体系结合在一起,构建3C全面风险管理框架。在3C全面风险管理框架下,具体要实现以下五个目标,分别是:保护企业不因灾害事件遭受损失;达到企业整体经营战略目标;保证信息沟通以及财务报告的可靠性;有效率的运营;遵守法律。3C全面风险管理初步分成三层,还可以根据企业的自身情况进行细分。
制定3C全面风险框架的目的就是将风险整合起来进行管理,有利于推动我国企业的进一步发展。以中国电信湖南公司为例,中国电信湖南公司构建全面风险管理,主要是为顺应国有资产出资人的要求和资本市场监管机构的要求,提出了企业全面风险管理的目标和要求,同时,也是为了促进企业内部经营管理的需要,随着中国电信这个大集团的不断发展,该公司面临的挑战越来越多,那么相对应的风险程度也就越来越高,所以,为了提高企业的经营管理效率,该公司决定实现全面风险管理。在整个管理的过程中,中国电信湖南公司完全按照国家的政策执行,并且不断进行体制机制的创新和改革,切实地推进五项集中管理,通过建立现代企业制度、实施主辅主附分离、建立集中统一的会计管理体系、加快推进战略转型和建立有效支撑公司战略的内部运营体系,加强内部控制,来满足了国有资本监督管理的要求。此外,中国电信湖南公司还要成立独立的风险管理部门,以此来确定整个企业的风险管理工作,同时,还成立了全面风险管理工作团队,将整体的风险管理策略传递到各个部门中并予以实施,总之,要将系统论的思想重新进行考量,并且切实地应用到电信企业全面风险管理中,以此提高公司的抗风险能力,保证公司全面风险管理水平能够上升,进一步促进了企业的可持续发展。全面风险管理是一个复杂的系统,从某种程度上说,企业风险管理包含了企业内部制度,同时,二者之间又形成了新的目标—战略目标,这是企业的最高目标。实际上,企业风险管理具有四个构成要素,分别是:目标设定、风险评估、风险应付和事项识别,它们成为了我国企业风险管理中最重要的组成部分。我国未来企业应该建立完善的内控制度,提高全面风险管理意识。企业为了适应当前千变万化的市场环境,应该将全面风险管理切实地应用到管理活动中,与此同时,企业要根据ISO的《风险管理原则与实施指南》加强风险管理,将风险管理带进新的发展阶段。
4结束语
一、内部控制与风险管理的关系
(一)内部控制与风险管理的融合
一直以来,内部控制与风险管理之间的博弈就没有停止过,目前主要形成两种观点:一种认为二者是两个完全不同的概念,相互之间不可以取代;另一种认为二者只是术语不同,其实基本没有区别。之所以产生对立观点,是因为相关学者对内部控制和风险管理的内涵与外延办公室不同,或将内部控制作为实现风险管理的步骤与手段,或将风险管理作为内部控制的组成。但无论是何种观点,目前风险管理与内部控制有一个趋同的倾向,也就是说它们在渐渐的融合之中。据IFAC的一项调查显示,全球超过600学者反馈表示,应加强内部控制与风险管理的一致性工作。我国相关法规条文也体现了融合的理念,如《企业内部控制基本规范》将内部控制作为一个较大的概念,风险管理被囊括其中,而《中央企业全面风险管理指引》又将风险管理作为一个较大的概念,内部控制是重要的实现手段。其实,无论是内部控制还是风险和管理,其作用都是为了防范企业风险,所以它们走向融合也是必然的。理论上讲,内部控制与风险管理融合具有一定科学性:①概念虽未形成共识,但实现目标过程的一致性得到人们的广泛认可;②目标一致,都是为了将风险控制在可控范围之内;③程序一致,虽然叫法有所不同,但程序的本质有高度的一致性;④方法互用,两者经常可以替换使用。
(二)内部控制与风险管理的协同
就拿监管机构来说,眼下已经形成了一个稳定的系统,现在又要将其融合在一起,肯定很难实现,这对于内部控制和风险管理领域的专家来讲,也是无法接受的。在实践之中,为了促进两者的融合,可以通过协同方法来实现。企业没必要为实现同一目标而制定两套手册或指南,也没必要建立一个内部控制部门,再加上一个风险管理部门,企业应该将其整合起来,同时将风险控制整合到公司治理、战略及运营之中。理顺各种关系,使两者相互促进、相互融合,形成一个良性循环,才能控制企业持续健康地向前发展。
二、基于风险管理的企业内部控制建设策略
(一)构建以“现金流量”为核心的内部控制模式
企业内部控制是一项复杂而系统的工程,涉及到企业所有的生产经营环节,寻找一个合理的切入点十分必要。资金作为企业赖以生存和发展的基础,是企业生命的源泉。生产经营其实是人力资源作用于物质资源的过程,在这个过程中货币体现了核心作用,所以货币也是危险等级最高的资源,能够安全有效地运行,也决定了风险评估中财务风险的高低。因此,加强“现金流”的内部控制可以促进主体正常组织资金活动,防范和控制资金风险,保证资金安全,提高资金使用效益,而建立和完善以现金流为核心的内部控制和风险管理体系可以为企业高速、持续的发展保驾护航。
(二)加强关键环节的风险控制
企业经营活动是由一系列的业务节点构成的,各个节点环环相扣构成了企业活动的整体。业务流程中实现节点的优化和风险因素的控制是提高风险管理能力的根本所在。业务流程的梳理及改革体现在内控上,设置关键控制点并选择相应的控制手段,以实现对操作行为的制衡。收集企业经营过程中的各种信息,进行风险评估与识别,对关键风险控制点进行严格把关,制定风险管理解决预案,从而保证内部控制的顺利进行。关键环节所涉及到的人员要进行严格的培训,提高风险管理意识,使其从思想上重视内部控制,重视内部风险管理,其意识对风险管理成败有直接影响。风险控制具有很强的系统性和联系性,各单位和部门要权责明确,加强沟通,保证企业运营系统高效运行。优化企业管理功能,实行精细化管理,据此分析企业的关键控制环节和风险点,编制企业的风险管理预案。
(三)建立风险预警体系
实践表明,只有把握风险管理先机,才能发挥风险管理的效用,只有及时、准确掌握经济动态信息,才能采取针对性的风险管理措施,取得应对风险的主动权。这就要求企业必须适应时展的要求,将先进的信息技术引入其中。一是建立完善、成熟的企业信息管理系统,实现对企业运营数据的收集、存储、处理和披露,利用先进的算法实现业务信息向会计信息的转化;二是从风险监控和预警角度出发,建立风险预警分析系统,利用科学、先进的计量模型,实现对企业偿债能力、运营能力、获利能力等状况的分析,预测企业的风险可能性及大小,随时做好应对风险的准备。企业要上下协同,提高风险应急能力,一旦触发风险信息就应该立即向上级汇报,立即组织攻关小组研究应对策略和组织实施,由被动变主动,尽可能避免风险发生,无法避免时尽可能将风险降到企业可接受范围之内,从而保证企业生产经营活动的维持和正常运转。
(四)提高员工内部控制意识,让其主动参与进去
