時間:2023-10-11 16:22:49
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇企業內部控制與風險管理范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
一、 內部控制與風險管理的定義
企業內部控制是由企業董事會、監事會、經理層和全體員工共同實施的、旨在實現控制目標的過程。建立和實施一套統一、高質量的企業內部控制規范體系,有助于提升企業內部控制管理水平和風險防范能力。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。它涵蓋了全面性、重要性、制衡性、適應性和成本效益原則。內部控制的目的是在合理的范圍內保證企業目標的實現。
企業風險管理是一個過程,是由企業董事會、管理層以及其他人員共同實施的。企業經營管理過程中會遇到各種各樣的事件,這些事件可能對企業產生不利影響或者有利影響,產生負面影響的事件代表了風險,可能阻礙企業價值創造,產生正面影響的事件能夠抵消不利影響或者為企業帶來機會。風險管理就是對上述風險和機會的管理,它是企業從戰略制定到日常經營過程中對待風險的一系列信念與態度,目的是確定可能影響企業的潛在事項,并進行管理,為實現企業的目標提供合理的保證。
風險管理和內部控制作為企業管理的兩大工具,內部控制由傳統的內部牽制制度逐步發展為以風險為導向的內部控制整合框架,風險管理也由分散的財務、經營和戰略風險管理逐漸發展為整合風險管理。實踐證明,內部控制的有效實施有賴于風險管理的技術方法,而風險管理離開了內部控制作為手段支撐也將流于形式。我國的企業內部控制規范體系應將內部控制與風險管理融為一體。
二、 我國企業內部控制與風險管理存在的問題
(一)企業自身內部控制不足
任何一個企業的內部控制必然受到法人治理結構、管理理念、組織制衡等多種因素的影響。控制環境是企業內部控制系統的核心,它決定著其他要素能否發揮和怎樣發揮作用,影響著控制目標的實現。主要表現在內部控制中的會計控制和法人治理結構方面。首先,企業領導的內部會計控制意識淡薄,使控制往往流于形式。目前,一些企業領導缺乏現代企業管理經驗,對企業實行粗放式管理,沒有形成系統的內部控制制度,有的內部會計控制制度殘缺不全,或者盡管有內部會計控制制度,但企業領導者超越內部會計控制行使職權,會計信息失真的問題時常存在,違法違紀問題經常發生,這直接影響企業健康持續發展。其次,治理結構形同虛設,缺乏科學決策、良性運行機制和執行力,可能導致企業經營失敗,難以實現發展戰略。如董事會和經理層人員重疊,造成權責不清,制衡力量弱化,使得關鍵人物集控制權、執行權、監督權于一身,股東會、監事會形同虛設。規范的法人治理結構是一個權利分配、制衡和約束的整體,可以為企業內部控制的有效實施提供制度保證。
(二)企業風險管理意識較淡薄
一是我國企業風險管理水平普遍較低,風險管理理念不強。風險管理是企業對經營發展過程中的風險因素進行識別和分析,并采取風險應對策略進行風險控制。但是,我國很多企業并沒有認識到風險管理與內部控制的關系,大量融資進行投資,過于追求企業發展壯大,資產負債率過高,企業面臨資金鏈斷裂的風險。雖然我國企業對各部門有嚴格的規定及控制措施,但對董事長、總裁等高層人員卻沒有相應規定,缺乏對高層人員的監督,是內部控制的盲區。二是人力資源缺乏或過剩、人才結構不合理、開發機制不健全,可能導致企業發展戰略難以實現。人力資源激勵約束制度不合理、關鍵崗位人員管理不完善,導致人才流失、經營效率低下。人力資源退出機制不當,可能導致關鍵技術、商業秘密泄露、法律訴訟等。
三、 改進企業內部控制加強企業風險管理的策略
(一)加強企業內部控制
首先,要加強企業內部會計控制。內部會計控制制度是企業內部控制制度的核心,要切實提高企業負責人對建立和完善內部會計控制制度重要性的認識,建立良好的內部控制環境。根據企業的實際情況,依靠現代管理技術對企業的經營過程進行監督。企業實施不相容職務相分離控制,內部牽制。例如,企業出納人員和會計工作進行分工,“管錢不管賬,管賬不管錢”,銀行出納不能既編制資金進出憑證,又核對銀行賬戶。單位應當指定專人定期核對銀行賬戶,每月至少核對一次,編制銀行存款余額調節表,使銀行存款賬面余額與銀行對賬單調節相符,調節不符,應查明原因做出處理。銀行預留印鑒章要分開保管。加強會計監督的作用,保證會計信息真實完整。
其次,企業法人治理結構是企業管理體制的核心,應把企業最高管理者行使權力的過程納入內部控制的監控范圍,作為內部控制的重點。要明確股東會、董事會、監事會、經理層的職責,創立良好的組織結構和權責分派體系,建立股東會、董事會、監事會與經理層相互監督、相互制約機制,規范決策程序。例如,對重大經濟事項、重大對外投資、重要人事任免及大額資金支付業務,按規定的權限和程序實行集體決策,按照不相容職務相互分離要求,明確各個崗位責職權限。每類經濟業務在運行中必須經過有兩個部門以上共同參與,經過不同的部門的監督并保證在有關部門間進行相互檢查,從而提升管理者的風險管理理念。
再次,建立完善的內部審計機制,加強內部監督。內部審計控制是實現內部會計控制的主要手段,有效的內部審計控制制度對內部會計控制具有重要的監督和積極的促進作用。結合我國企業內部管理實際,內部審計的有效運行,可有效避免和防止內部會計控制中所產生的貪污公款、挪用、盜竊財物、亂用職權等現象,是所有者監管企業、經營者規范管理的重要工具,所以加強內部審計控制,是提高內部控制的重要措施。內部審計在企業應保持相對獨立性,目前我國企業內部審計的獨立地位還不夠,內部審計參與風險管理的范圍和作用還存在一定局限。只有大力提高內部審計人員參與企業風險管理的專業素質,內部審計的特有優勢才能充分發揮。
(二)加強企業風險管理
企業風險分外部風險和內部風險。對來自外部的風險難以施加影響,只能通過密切關注、審時度勢、靈活調整,將可能帶來的損失降至最低限度。企業內部風險存在于企業的經營管理內部,內部風險所帶來的危害,要遠遠超過外部風險帶來的危害,并在企業的經營成敗中起到了決定性的作用。企業加強風險管理,應該注重抓好以下幾個方面:
關鍵詞:內部控制;風險管理;比較
中圖分類號:F27文獻標識碼:A
企業內部控制是由企業董事會、經理層以及其他員工共同實施的,為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。企業風險管理也是一個過程,是由企業的董事會、管理層以及其他人員共同實施的,應用于戰略制定及企業各個層次的活動,旨在識別可能影響企業的各種潛在事件,并按照企業的風險偏好管理風險,為企業目標的實現提供合理的保證。盡管風險管理與內部控制有內在的聯系,但現實中或代表目前應用水平的內部控制與風險管理還有不小的差距。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較,如銀行業的授信管理或市場(價格)風險管理(如匯率、利率風險等)。典型的內部控制是指會計控制、審計活動等,一般局限于相關財務部門。它們的共同點是低水平、小范圍,只局限于少數職能部門,并沒有滲透或應用于企業管理過程和整個經營系統,因此有時看上去風險管理與內部控制還是相互獨立的兩件事。
一、風險管理與內部控制關系研究回顧
內部控制的最初思想是內部牽制。它產生于古埃及的國庫管理,其目的是防范財產風險。內部控制的現代思想是企業風險管理,它是企業組織規模擴大和資本大眾化的產物。內部控制與風險管理的結合很早就引發了人們的關注,但對于兩者關系的看法存在分歧。主要有以下三種觀點:
(一)風險管理包含內部控制。COSO(2004)明確指出,企業風險管理包含內部控制;內部控制是企業風險管理不可分割的部分;內部控制是風險管理的一種方式,企業風險管理比內部控制范圍廣得多。英國Turnbull委員會(2005)認為,風險管理對于企業目標的實現具有重要意義,公司的內部控制系統在風險管理中扮演關鍵角色,內部控制應當被管理者看作是范圍更廣的風險管理的必要組成部分。南非King II Report(2002)認為,傳統的內部控制系統不能管理政治、技術和法律等諸多風險,風險管理將內部控制作為減輕和控制風險的一種措施,是一個比內部控制更為復雜的過程。Krogstad(1999)認為,內部控制不存在于真空或暗箱之中,而存在于協助組織進行風險管理并提升有效的治理程序之中。
(二)內部控制包含風險管理。加拿大COCO報告(CICA,1995)認為,“控制”是一個組織中支持該組織實現其目標諸要素的集合體,實質上就是“內部控制”,或者說是用“控制”一詞表達“內部控制”概念。COCO報告認為,風險評估和風險管理是控制的關鍵要素。CICA (1998)將風險定義為,“一個事件或環境帶來不利后果的可能性”,闡明了風險管理與控制的關系,即“當您在抓住機會和管理風險時,您也正在實施控制”。巴塞爾委員會的《銀行業組織內部控制系統框架》中指出,“董事會負責批準并定期檢查銀行整體戰略及重要制度,了解銀行的主要風險,為這些風險設定可接受的水平,確保管理層采取必要的步驟去識別、計量、監督以及控制這些風險……。”這里顯然是把風險管理的內容納入到了內部控制框架中。
(三)內部控制就是風險管理。Blackburn(1999)認為,風險管理與內部控制僅是人為的分離,而在現實的商業行為中,它們是一體化的。Laura F.Spira等(2003)分析了內部控制是怎樣變為風險管理的,并指出“將內部控制定義為風險管理強調與戰略制定的聯系,刻畫了內部控制作為組織支撐的特點,但是它也掩蓋了一個不爭的事實,即現在沒有人真正明白內部控制系統是什么”。Matthew Leitch(2004)認為,理論上風險管理系統與內部控制系統沒有差異,這兩個概念的外延變得越來越廣,正在變為同一事物。
二、基于COSO報告下的內部控制與風險管理比較
內部控制與風險管理有著密切的聯系。COSO認為,內部控制是風險管理的一部分。因此,該委員會在《內部控制框架》的基礎上又于2004年出臺了最新報告――《企業風險管理框架》。《企業風險管理框架》繼承并包含了《內部控制――整體框架》的主體內容,同時擴展了三個要素,增加了一個目標,更新了一些觀念,旨在為各國的企業風險管理提供一個統一術語與概念體系的全面的應用指南。COSO對內部控制與風險管理的定義及其組成要素分別是:
企業內部控制是由企業董事會、經理層以及其他員工共同實施的,為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。它包括五個方面的組成要素:控制環境、風險評估、控制活動、信息與溝通、監督。
企業風險管理是一個過程,是由企業的董事會、管理層以及其他人員共同實施的,應用于戰略制定及企業各個層次的活動,旨在識別可能影響企業的各種潛在事件,并按照企業的風險偏好管理風險,為企業目標的實現提供合理的保證。它有八個組成要素:內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督。
(一)內部控制與風險管理的相同點。從COSO的兩份報告來看,企業風險管理與內部控制有以下相同之處:
1、它們對參與主體要求相同。二者都是由“企業董事會、管理層以及其他人員共同實施的”,強調了全員參與的觀點,指出各方在內部控制或風險管理中都承擔著相應的角色與職責。
2、它們都對企業實現目標提供合理保證。設計合理、運行有效的企業內部控制與風險管理能夠向企業的管理者和董事會在企業各目標的實現上提供合理的保證。
3、它們都明確是一個“過程”。二者本身并不是一個結果,而是實現結果的一種方式。企業內部控制與風險管理都應該是滲透于企業各項活動中的系列行動。這些行動普遍存在于管理者對企業的日常管理中,是企業日常管理所固有的。
4、它們都維護投資者利益。從理論上說,企業的內部控制是企業制度的組成部分,是在企業經營權與所有權分離的條件下對投資者利益的保護機制。其目的就是保證會計信息的準確可靠,防止經營層操縱報表與欺詐,保護公司的財產安全,遵守法律以維護公司的名譽以及避免招致經濟損失等。企業風險管理則是在新的技術與市場條件下對內部控制的自然擴展。COSO在《企業風險管理框架》中談到風險管理的意義時是這樣論述的:“企業風險管理應用于戰略制定與組織的各層次活動中,它使管理者在面對不確定性時能夠識別、評估和管理風險,發揮創造與保持價值的作用。風險管理能夠使風險偏好與戰略保持一致,將風險與增值及回報統籌考慮,促進應對風險的決策,減小經營風險與損失,識別與管理企業風險,為多種風險提供整體對策,捕捉機遇以及使資本的利用合理化。”從維護與促進價值創造這個根本功能來看,風險管理與企業內部控制目標是一致的,它們都想實現保全資產并創造價值的作用。只是在新的技術市場條件下,為了更有效地保護投資者利益,需要在內部控制的基礎上發展更主動、更全面的風險管理。
(二)內部控制與風險管理的區別
1、目標體系不同。風險管理的目標有四類,其中經營類目標和遵循性目標與內部控制的目標基本重合,但報告類目標有所擴展,它不僅包括財務報告的準確性,還要求所有對內對外的非財務類報告準確可靠。另外,風險管理增加了戰略目標,即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果,而且介入了企業戰略(包括經營目標)制定過程。查劍秋等(2009)經研究得出,戰略內控體系績效與企業價值具有顯著正向相關性,即企業戰略內控的好壞會影響到企業戰略執行績效,并最終影響企業價值。由此可見,風險管理增加了內部控制未提及的戰略目標,也彌補了內部控制在企業戰略層面的一定缺陷。
2、組成要素不同。風險管理增加了目標設定、事件識別和風險應對三個要素,控制環境要素也改成了內部環境。“目標設定、事件識別和風險應對”不僅豐富和完善了風險管理內容,還體現了風險組合觀。“內部環境”要素內容除包含“控制環境”要素內容外,還增加了風險管理哲學、風險偏好等內容;在名稱相同的要素中,風險管理對相關內容都進行了補充和提升。例如,在風險評估要素中,風險管理要求考慮內在風險與剩余風險,以期望值、最壞情形值或概率分布度量,考慮時間偏好以及風險之間的關聯作用。在信息與溝通方面,風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理,規定了信息的深度與及時性。
3、風險管理理念不同。《企業風險管理框架》借用現代金融理論中的資產組合理論,提出了風險組合與整體管理的觀念,要求從企業層面上總體把握分散于企業各層次及各部門的風險暴露,以統籌考慮風險對策,防止各部門分散考慮與應對風險,如將風險割裂在技術、財務、信息科技、環境、安全、質量、審計等部門,并考慮到風險事件之間的交互影響,防止兩種傾向:一是部門的風險處于風險偏好可承受能力之內,但總體效果可能超出企業的承受限度,因為個別風險的影響并不總是相加的,有可能是相乘的;二是個別部門的風險暴露超過其限度,但總體風險水平還沒超出企業的承受范圍,因為事件的影響有時有抵消的效果。
4、產生效益的方式不同。內部控制側重制度層面,通過規章制度規避風險;風險管理側重交易層面,通過市場化的自由競爭或市場交易規避風險。一般來說,典型的內部控制依然是為了保證資金安全和會計信息的真實可靠,會計控制是其核心,內部控制一般限于財務及相關部門,并沒有滲透到企業管理過程和整個經營系統,控制只是管理的一項職能;典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益的比較,如銀行的授信管理、匯率風險管理、利率風險管理等,它貫穿于管理過程的各個方面。
三、研究結論
綜上所述,內部控制側重制度層面,通過規章制度規避風險;風險管理側重交易層面,通過市場化的自由競爭或市場交易規避風險。而隨著時間、技術市場等條件的不斷變化,風險管理與內部控制的范疇又在相互轉化。從靜態上看,風險管理與內部控制互有交叉;從動態上看,二者又互相轉化。我們可以看出,風險管理的決策是確定內部控制重點的依據,而一個強有力的內部控制是實現有效風險管理的基礎,內部控制的動力來自企業對風險的認識和管理。
(作者單位:河北經貿大學會計學院)
主要參考文獻:
[1]毛新述,楊有紅.內部控制與風險管理――中國會計學會2009內部控制專題學術研討會綜述[J].會計研究,2009.5.
[2]陳志斌,何忠蓮.內部控制執行機制分析框架構建[J].會計研究,2007.10.
[3]潘琰,鄭仙萍.論內部控制理論之構建:關于內部控制基本假設的探討[J].會計研究,2008.2.
[4]董月超.從COSO框架報告看內部控制與風險管理的異同[J].審計研究,2009.4.
[5]楊雄勝.內部控制理論面臨的困境及其出路[J].會計研究,2006.2.
[6]吳水澎,陳漢文,邵賢弟.企業內部控制理論的發展與啟示[J].會計研究,2000.5.
[7]楊有紅,胡燕.試論公司治理與內部控制的對接[J].會計研究,2004.10.
[8]于增彪,王競達,瞿衛菁.企業內部控制評價體系的構建――基于亞新科工業技術有限公司的案例研究[J].審計研究,2007.3.
關鍵詞:內部控制;風險管理;發展
中圖分類號:F23文獻標識碼:A文章編號:1672-3198(2009)23-0195-02
1內部控制與風險管理的內在聯系
1.1在風險導向內部控制的觀念下,風險管理將成為組織發展的關鍵
隨著風險管理導向內部控制時代的來臨,內部控制的工作重點也發生了變化,現代內部控制除了關注傳統的內審之外,更加關注有效的風險管理機制和健全的公司治理結構。在風險導向內部控制的觀念下,風險管理成為組織發展的關鍵,促使內部控制的工作重點不僅是測試控制,而且包括確認風險及測試管理風險的方法。由于內部控制的自身特點,其參與風險管理擁有一定的優勢。內部控制機構和人員熟悉本單位情況,對企業面臨的風險更了解;內部控制機構和人員是企業內部成員,其利益同企業發展、興衰密切相關,對防范企業風險、實現企業目標有著更強烈的責任感;內部控制機構的獨立性使其不同于其他風險管理部門,作為高層次的監督部門,其風險評估意見直接報告給董事會、審計委員會,足以引起管理當局的重視。內部控制的獨立地位還便于其充當企業長期風險策略與各種政策的協調人,通過對長短期計劃的調節,調控、指導企業的風險管理策略。在現代企業經營管理中,隨著內外部環境的變化,各種風險因素增多,內部控制工作在改進風險管理和完善企業治理機構等方面將發揮更加積極作用,同時,內部控制也被賦予了更多的職責和使命。近年來,在美國發生的財務造假案導致了安然、世通等跨國大公司的破產,同時也導致了安達信這樣一個有著90多年歷史的世界級會計師事務所退出了歷史舞臺。在我國也曾出現“銀廣廈”、“藍田股份”、“億安科技”等坑害中小股民的事件。所有這些事件的發生,在全球引起了各方對民間審計機構誠信問題的探討,同時也觸動了人們對企業內部控制的進一步思索。企業制度的發展演進與風險相關。有限責任制度的確立是企業組織從業主制或合伙制走向現代股份公司制的關鍵步驟,它使股東的家產與企業的財產及企業的經濟責任相互獨立,股東的變換不再影響企業的信用能力,為股權交易擴大了范圍并增加了流動性,從而降低了投資風險并促進了企業融資,造就了今天巨型的股份公司。
1.2風險管理是對內部控制的自然發展
內部控制或風險管理的根本作用都是維護投資者利益、保全企業資產,并創造新的價值。Fama&Jensen(1983)分析了所有權與經營權分離下董事會的內部控制職能;Jensen(1993)進一步分析了美國公司董事會在內部控制方面失效的表現與原因。從理論上說,企業的內部控制是企業制度的組成部分,是在企業經營權與所有權分離的條件下對投資者利益的保護機制。其目的就是保證會計信息的準確可靠,防止經營層操縱報表與欺詐,保護公司的財產安全,遵守法律以維護公司的名譽以及避免招致經濟損失等。內部控制的歷史起源更早,其要求更為基本,更容易或適合上升到立法層次。企業風險管理則是在新的技術與市場條件下對內部控制的自然擴展。COSO在《企業風險管理框架》中談到風險管理的意義時是這樣論述的:“企業風險管理應用于戰略制定與組織的各層次活動中。它使管理者在面對不確定性時能夠識別、評估和管理風險,發揮創造與保持價值的作用。風險管理能夠使風險偏好與戰略保持一致,將風險與增長及回報統籌考慮,促進應對風險的決策,減小經營風險與損失,識別與管理企業交叉風險,為多種風險提供整體的對策,捕捉機遇以及使資本的利用合理化。”COCO在解釋廣義的控制與風險時論述道:“‘領導’包括在面對不確定性時作出選擇。‘風險’是指個人或組織在作出選擇后遭受不利后果的可能性。風險正是機會的對應物。”顯然,這些論述已經認識到企業的存在是為股東或利害相關者(針對非盈利性組織等)創造價值的,而價值創造不僅是被動的資產安全等,還應包括機會的利用。另外,對股東價值的威脅也不僅來自經營者會計舞弊等內部因素,還包括來自市場的風險等。
1.3技術的發展推動內部控制走向風險管理
技術及市場條件的新進展,推動了內部控制走向風險管理。在先進的信息技術條件下,會計記錄實現了電子控制、實時更新,使傳統的查錯與防弊的會計控制顯得過時。然而,風險往往是由交易或組織創新造成的,這些創新來源于新興的市場實踐,如安然公司將能源交易大量發展成類似金融衍生品的交易。另一方面,環境保護及消費者權益保護的加強,都強化了企業的社會責任,若一有不慎,企業就可能遭受來自商品市場或資本市場的懲罰,表現為企業的品牌價值或資本市場上的市值貶損。因此,企業需要一種日常運行的功能與結構來防范風險,包括遵守法律與法規,確保投資者對財務信息的信任以及保證經營效率等。因此,從維護與促進價值創造這一根本功能來看,風險管理與企業內部控制的目標是一致的,只是在新的技術與市場條件下,為了更有效地保護投資者利益,需要在內部控制的基礎上發展更主動、更全面的風險管理。
2內部控制與風險管理的外在聯系
2.1它們都能為企業目標的實現提供合理的保證
風險管理的目標有四類,其中三類與內部控制相重合,即報告類目標、經營類目標和遵循類目標。但報告類目標有所擴展,它不僅包括財務報告的準確性,還要求所有對內對外的非財務類報告準確可靠。另外,風險管理增加了戰略目標,即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果,而且介入了企業戰略(包括經營目標)制定過程。
2.2風險管理與內部控制的組成要素有五個方面是重合的
(控制或內部)環境、風險評估、控制活動、信息與溝通、監督這五個方面都是風險管理與內部控制的組成要素。這些重合是由它們目標的多數重合及實現機制相似決定的。風險管理增加了目標設定、事件識別和風險對策三個要素。重合的要素中,內涵也有所擴展,例如,內部控制環境包括誠實正直品格及道德價值觀、員工素質與能力、董事會與審計委員會、管理哲學與經營風格、組織結構、權力與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內部環境”除包括上述七個方面外,還包括風險管理哲學、風險偏好(risk appetite)和風險文化三個新內容。在風險評估要素中,風險管理要求考慮內在風險與剩余風險,以期望值、最壞情形值或概率分布度量風險,考慮時間偏好以及風險之間的關聯作用。在信息與溝通方面,風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理,規定了信息的深度與及時性等。
2.3風險管理提出了風險組合與整體風險管理(integrated risk management)的新觀念
《企業風險管理框架》借用現代金融理論中的資產組合理論,提出了風險組合與整體管理的觀念,要求從企業層面上總體把握分散于企業各層次及各部門的風險暴露,以統籌考慮風險對策,防止分部門分散考慮與應對風險,如將風險割裂在技術、財務、信息科技、環境、安全、質量、審計等部門,并考慮到風險事件之間的交互影響,防止兩種傾向:一是部門的風險處于風險偏好可承受能力之內,但總體效果可能超出企業的承受限度,因為個別風險的影響并不總是相加的,有可能是相乘的;二是個別部門的風險暴露超過其限度,但總體風險水平還沒超出企業的承受范圍,因為事件的影響有時有抵消的效果。此時,還有進一步承受風險,爭取更高回報與成長的空間。按照風險組合與整體管理的觀點,需要統一考慮風險事件之間以及風險對策之間的交互影響,統籌制定風險管理方案。
3從內部控制走向風險管理
有一種爭論,即風險管理包含內部控制,或內部控制包含風險管理。筆者認為得出什么樣的結論并不十分重要,最重要的是明確風險管理與內部控制之間有重合與聯系的地方。誰的范圍更大,可能要隨著時間、技術、市場條件、法律以及監管實踐的發展而不同,例如,在內部控制發展的早期,市場上風險管理的工具與技術條件都不充分(如計算機系統、統計學理論、數量模型、對沖工具與保險等),這時內部控制包含(替代)風險管理功能是很自然的。即使在同一個時代,不同的行業各自的側重點也可能不相同,例如,在監管嚴格的金融業或涉及人民生命健康的制藥與醫療行業,風險管理的迫切性更強,企業以風險管理主導內部控制可能更方便。而在另一些企業,為了符合信息披露中內部控制報告的要求,企業以內部控制系統為主導、兼顧風險管理可能更適合。
筆者認為,在實際的經營過程中,風險管理與內部控制是密不可分的。在規則制定或立法過程中,需要考慮的是范圍與管制的強度,范圍越大,管制的要求就會越弱。對于其核心問題,如財務報告的準確可靠,最適合以立法的形式來約束,而其他更寬泛的內容則可能更適合于規則及指南。在企業內部的不同層次,風險管理與內部控制的主導性相對次序也可能不同,例如,從企業的戰略風險依次到經營風險、財務風險,最后到財務報告,風險管理與內部控制的相對重要性應該各有不同。在戰略風險方面,風險管理應該發揮主導作用,內部控制起到配合作用。這一角色逐步逆轉,到財務報告層次,應該是內部控制發揮主導作用,風險管理起到配合作用。
盡管風險管理與內部控制有內在的聯系,但現實中的或代表目前應用水平的內部控制與風險管理還有不少的差距。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較,例如,銀行業的授信管理或市場(價格)風險管理如匯率、利率風險等。典型的內部控制是指會計控制、審計活動等,一般局限于財務相關部門。它們的共同點都是低水平、小范圍,只局限于少數職能部門,并沒有滲透或應用于企業管理過程和整個經營系統,因此,有時看上去風險管理與內部控制還是相互獨立的兩件事。隨著內部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統一。
參考文獻
[1]王光遠,劉秋明.公司治理下的內部控制與審計[J].中國注冊會計師,2006.
[2]周兆生.COSO企業風險管理框架(中文版)[R].華融資產管理公司,2007.
[3]朱榮恩,賀欣.內部控制框架的新發展-企業風險管理框架[J].審計研究,2003,(6).
關鍵詞:內部控制;風險管理;思考
一、企業內部控制與風險管理關系闡述
(一)企業內部控制管理本質
企業內部控制管理大體上是根據企業目前的專業管理機制以及策略,同時主要是以風險管控、風險預防、風險監督、風險評估等這幾個方面為主的工作,再借由多維度多層次的管控方式進行生產以及經營中各種類型業務的規范化的管理模式。從管理視角出發,企業內部控制在定義上來說有點像是風險管理的下屬子系統;但是從管理范圍來看,企業內部控制管理作為企業全面風險管理的重要環節,其完全可以作為企業在進行風險管控時最重要的構成部分。企業內部控制管理的過程中是從內部環境為視角出發的,內部控制管理的機構設置有諸如企業內部審計、企業人力資源政策以及內部獎懲制度等等;而對企業的風險進行管控時,就更需要企業內部控制的管控方式進行更為科學與合理化的目標確定,嚴格根據企業風險評估體系,爭取做到企業內部控制的最優化結果。
(二)企業風險管理的含義
任何目標在達到的過程中必然面臨各種各樣的風險。企業更是不必說的。企業風險管理是指企業各級管理層在完成企業戰略目標的過程中,對企業所面臨的各種潛在風險以及企業當下管理模式存在的各類風險進行有效管理與控制。只要是背離或是阻礙企業共同目標的因素與風險,在企業實施風險管控的時候都應該給予治理與規避,這樣才能保證企業的戰略目標得以實現。風險管理中風險是最主要的工作范圍,而這其中信息化程度也是影響著整個風險評估與判別的重要影響環節,這也是現代企業注重信息化的原因;企業進行內部控制與檢測時,在風險評估以及風險管控方面還是需要根據企業的實際需求,布置相應的內部檢測,同時也要針對企業的日常內部監控,一旦在某個企業的內部控制管理出現問題,企業就可以針對該環節進行分析,分析出是政策、機制還是相關實施措施的問題并進行調整,這樣可以使得企業在進行風險管控時不僅避免了風險還不斷的健全風險管理制度。
二、我國企業內部控制存在的風險缺陷
(一)我國企業風險控制體系不成熟
(1)我國企業對風險全面評估不夠重視。企業經營風險的誕生以及企業管理者的風險偏好這些很大程度上取決于企業是否具有完善的內部控制體系。健全的風險界定以及成熟的風險評估體系是企業內部控制體系有效發揮作用的重要前提,但是我國企業管理者并沒有重視對風險管理機制的研究,這就自然形成了不成熟的風險控制體系。(2)我國企業未設置單獨的風險管控部門。當下的時代是信息時代,企業所面臨的風險種類大大增加,企業生產經營的風險波及程度也逐漸加深,從中可以看出設置專門的風險管控部門是十分有必要的;由于我國企業在風險管控這方面的意識薄弱,并沒有設置單獨的風險管控部門,甚至有些企業連最基本的風險識別與風險預警系統都沒有。
(二)企業風險管控意識不夠強烈
目前隨著經濟全球化的進程,我國同世界各國的經濟聯系更為緊密,越來越多的企業進軍到國際這個大舞臺之上,在國際市場中進行更為激烈的市場競爭,同時也有諸多企業涌向國內。在上述背景下國內企業面臨的壓力逐漸增大,尤其是在國內許多企業仍是缺乏風險意識,許多企業管理者所重視的風險也僅僅是在財務風險單方面,由此可見我國企業的風險管控意識薄弱的程度;我國企業普遍在乎的是公司盈利,在風險管控方面實在是無法關心,這樣就極易造成我國企業在經濟全球化的沖擊下無法面臨巨大的挑戰與機遇,相反,國外因為經濟的發達,許多企業早已重視這方面的問題。
(三)企業公司管理結構不夠完善
企業的內部管控要想有效的運行就必須保證企業擁有著完善的治理結構,這是給企業內部管控造就最基本的實施環境。企業內部控制管理的主要實施者當然是企業的經營管理層,但是如果企業的權利設置以及制衡體系之中存在著結構性的問題,則企業的內部控制就無法有效的實施,企業治理結構中作為企業風險與內部管控的核心――董事會,該核心是要對企業的風險管理與內部控制擔負主要責任的,而在我國中董事會存在著職權交錯的問題,在實質上是對公司治理結構不利的,容易造成職權混亂的局面,自然企業就無法有效的運行內部控制機制以及風險管控。
三、企業基于內部控制下的風險管控策略
(一)逐步強化企業風險管控體系以及內部監督機制的建立
(1)對企業風險類別進行明確的區分,這是為了企業能采取相對應的科學的措施來進行風險管控。企業在分類風險時可以從業務活動方面與企業整個方面兩個維度進行分析。通常來看,企業的整體風險主要是由內部與外部構成的,內部因素有組織、經營、財務、戰略等等風險;而外部就是宏觀與不可抗力因素,諸如法律政策、自然天災、市場技術等等風險。而從業務活動層面來看主要取決于企業所處的行業環境來進行分析,企業所處的行業環境不同其所面臨的風險也不盡相同。企業應根據自身特點明確自身的風險種類。(2)建立完善的內部監督機制。完善的內部監督機制自然包裹各個風險指標的檢測等等,尤其是要建立風險導向的審計機制。企業的審計機制可以處于相對客觀且獨立的審查機構,能更加從公正的角度來對企業內部與風險管控作出評估與監督活動;充分引進相關的審計人才,這樣他們才能利用自身的專業優勢提升企業風險管理以及內部控制的水平。
(二)增強企業內部風險與內部管控的理念
優秀的企業管理理念才能對企業戰略目標的實現有所幫助。良好的風險管理理念是企業有效實施內部控制管控的基本環境條件,同時也是企業增強風險管理意識的基礎條件。增強該理念的方式是通過企業的日常經營活動中不斷將該理念融入到業務活動層面,這樣既能對企業戰略目標的實現產生積極影響,同時也將企業的整體價值觀更進一步的升華;同時企業管理者必須加強對該方面的學習,企業也可以加強之間風險管理的理念,這樣才能碰撞出更精彩的理念;企業定期請相關的學者教授主持講座,召集職工進行風險與內部管控的理念學習,這樣能提升整個企業的風險與內部管控的氛圍。這樣企業管理者在進行風險與內部管控時能將對策更有效的實施。
(三)加強健全企業治理結構
科學的企業治理結構應當涵蓋內部監督與反饋系統、謹慎的業務執行流程等等,只有企業的治理結構不會產生混落,才能為管理措施提供穩定的環境。企業要充分重視獨立董事的功能,要發揮出獨立董事在內部控制中心的核心監督位置;企業要增加獨立董事在董事中的所占比例,要將獨立董事的收入與承擔的風險進行掛鉤,這樣才能讓獨立董事明白自身應該作出應該做的貢獻。另外,企業經營中的特別事項應該設立專門的風險管理委員會,企業在發展過程中碰到的問題不能總是常規問題,總有部門非常規問題,這就需要這個特別的委員會對該類事件進行有效快速針對性的處理,風險管理委員會的主要目的就是預防與處理各種風險的出現。
四、結束語
本文先分析企業內部控制以及風險管理的本質,著重針對企業在企業內部控制下的風險管理過程中所遇到的問題提出了相關的策略。從中可以看出企業內部控制與風險管理之間存在緊密的聯系,這兩者相輔相成,缺一不可,希望我國企業能重視這兩者之間的關系,希望本文能對相關人士有所啟迪。
參考文獻:
[1]王洪麗.企業內部控制與風險管理關聯分析[J].財會通訊,2014(17).
[2]陳冬梅.基于風險管理的企業內部控制研究-以貴州茅臺酒公司為例[D].河北:河北科技師范學院,2015.
[3]李莉.論企業內部控制的風險管理機制[J].企業經濟,2012(03).
直接導致內部管控和內部風險管理產生直接聯系的公開文件是1992年由COSO所提出來的《內部控制――整體框架》,此后,隨著企業風險管理和企業風險管理逐漸關聯性的不斷升級,2004年在內部控制研究的基礎上,《企業風險管理――整合框架》的提出更將二者的共同點予以了明確的分析。如圖1所示:
(一)企業內部控制含義 企業內部控制主要是依存企業現有的專業管理制度和策略,以風險管控、風險預防、風險監管等方面的工作為主要工作目的,借助全方位多層次的管控方式,按照描述關鍵控制點方式、過程監控體系方式、流程監管方式等來從直觀和間接的角度對生產和經營過程中的各類業務所進行的規范式管理模式。從管理角度來看,企業內部控制主要在定義上隸屬于風險管理的子系統,從管理范疇來看,作為全面風險管理的重要階段之一,企業內部管控也可以作為企業風險管理在整體實施時的重要組成部分。在企業內部控制過程中,主要需要從內部環境即企業內部管控的機構設置、企業內部審計、企業文化、企業人力資源政策以及企業的社會責任和企業的治理結構等方面來進行分層管理和專業化的管控。相對企業風險評估來說,企業的內部管控方式更需要進行目標的合理化確定,按照企業的風險評估流程和結果,針對企業在風險評估過程中所出現的各類風險以及企業在風險監管時得出的結論,企業在內部控制時可以更加明晰自身的管控承受范圍和找到相應的管控措施。
(二)企業風險管理內涵 企業風險管理主要是由企業的董事局、企業的管理層以及企業內部其他具有此權限的人員在共同確定統一的目標時,按照戰略制定的要求以及圍繞該要求而產生的從各個層面來進行運作的活動,此類活動存在的意義在于識別各類具有潛在風險或者就企業目前的管理過程來分析而存在的各類風險,所進行評估,任何違背或者阻礙企業共同目標的因素或者風險,在企業進行風險管理的過程中均予以規避或治理,以保障企業的整體目標得以順利進行。
在企業進行管控的過程中,風險作為其工作的主要范圍,信息的溝通及時化是企業進行風險評估和判斷的重要因素,這也是企業在內部控制時從信息化角度來完成企業的內部信息疏導、企業各方面信息的有效傳遞、企業信息流通的及時性和穩定性等方面工作的主要原因之一,在企業進行內部管理和監控時,對于風險評估和風險管控本身的行為來說,同樣也需要按照企業的實際需要,進行相應的內部監督,包括日常內部監督和具有專業性的專項檢查,一旦發現企業的內部控制缺陷包括政策、措施等方面以及針對風險進行評估時出現的各類人為和非人為的可以進一步誘導企業內部控制中風險性質變化或者量變等問題發生的直接因素,均可以在核查的同時加以改進。
二、從內部架構角度看企業內部控制與風險管理
(一)企業內部控制與風險產生之間關系的介質 企業風險產生主要原因就是在于企業發展 “目標”的存在性,目標是公司取得長驅發展的主要動力,同樣目標的存在也同樣引發了各種風險的出現見(圖2)。目標作為風險產生的主要原因有:首先,目標作為風險的出現的主要原因來自于人的主觀能動性與客觀活動之間的差別,在客觀的活動過程中,當人的主觀能動性與客觀環境之間的差異化成為不確定因素時,風險就會同時出現。其次,因為目標需要建立在一個較高層次的基礎之上,在當前企業發展高度結構化的模式下,任何一類子目標的發展都需要下一個階層子目標的支撐,因此這些子目標之間需要以重疊性和排斥性進行系統化排列,尤其是在不同的目標之間更需要進一步的相互補充,由此,一旦層疊性逐漸出現任何關聯間隙,就會導致風險因素的出現。最后由于在企業的內部和外部的管理中存在著諸多的目標,因此在不同的目標進行次第互補時,就必然出現銜接方面的安全隱患,如果各個目標之間的銜接性存在問題,或者銜接的聯系性不夠完整,就極易造成銜接之間的空白期,這些空白期自然會造成風險性的出現。
(二)企業內部控制與風險管理的專業化促進 目標產生的主要原因在于企業的發展需要,企業內部控制與風險產生之間產生關系的介質更在于對目標的實現。強化企業的內部管理活動,將企業的多樣化發展目標統一到同一個發展層面上來,企業發展過程中的各項風險維度則會相應的維持在一個企業可以管理和可以控制的范圍內。這也是企業在內部管理和內部控制時,出現各類風險的主要原因。
此外,從企業管理的角度來看,企業的風險控制和企業的風險管理,需要在專業化角度進行細化,以審計為例比如當同一個或者不同賬號出現賬戶交易時,一旦賬戶交易中存在著內部或者外部因素而導致的漏報和錯報問題時,內部管控和內部管理就自然會在出現相應的專業管理需要的同時出現專業管理的風險,以審計為例(見圖3),審計的過程中所出現的漏報、錯報等問題時,對于此類問題的糾正或者對此類問題的管理過程中,對于出現的問題或者存在的風險隱患,就自然應該劃歸到相應的管理層面來進行分析,如因為財務報表的疏漏而導致風險的產生就需要劃歸到財務方面來解決,因為企業的管理失衡所出現的風險問題或者由于各項制度的不完整性而存在的問題,需要按照不同問題出現的源頭進行分門別類的風險評估及措施應對。但是無論基于哪種,從企業發展的角度來看,都會引發企業風險的出現,并需要通過內部控制而耗費企業運營成本。
三、由整到層劃分企業內部控制與風險識別
關鍵詞:房地產企業 內部控制 風險管理
一、企業內部控制和風險管理之間的聯系
首先,風險管理包括了內部控制。風險管理不僅僅只有內部控制這個內容,還存在著戰略目標。而風險管理中的要素不僅僅是內部控制中的所有要素,還包括對目標的設定、對風險的對策以及對事件的識別等,如果從內容以及時間先后順序方面來看,風險管理是內部控制工作的外在延伸。其次,風險管理中內部控制是關鍵環節。只有企業對風險加以認識并進行管理才能有效的達到內部控制的目的。針對企業中存在的運營風險以及業務流程中的風險進行內部控制系統是十分具有必要性的,不僅如此,這種風險管理方法效率較高且十分有效。建立的企業風險管理體系必須要保證其狀態能夠滿足內部控制系統的基本需求。最后,風險管理和內部控制都是在企業管理中必須引起重視的方式,兩者之間相輔相成,共同致力于企業科學管理模式的構建,并保證企業能夠穩定快速發展。
二、房地產企業中內部控制與風險管理中存在的問題
(一)企業內部對風險管理和內部控制的認識存在著偏差
如果企業管理者對內部控制和風險管理認識不夠,將會對企業發展帶來重要影響。企業內部風險管控是一種管理制度,其本身并不會對經濟效益帶來直接影響,只有企業各部門加強內部控制和風險管理才能保證企業的經濟價值能充分實現。部分企業管理人員認為所謂企業內部控制,其實就是對多種規章制度加以匯總,而對于在企業風險管理中內部控制的應用價值卻并沒有意識到。
(二)企業風險管理和內部控制沒有全面的內容
目前,我國很多房地產企業對于風險管理和內部控制在內容上還不夠全面。部分企業對財務工作的管理和控制較為重視,但是卻沒有在風險管理體系以及內部控制制度中引入經過梳理和完善的企業經營管理活動中的全部重要業務。在房地產開發企業中,因為其不僅開放周期很長,而且需要一次性投入大量的成本,另外很容易受到政策的影響。如果房地產開發企業中存在著風險管理和內部控制在內容上不足的情況,一旦存在突發問題,企業發展將會面臨著重大的打擊。
(三)企業風險管理和內部控制沒有健全的監督機制
在對企業風險管理和風險控制進行督查中,內部審計是較為重要且有效的一種方式,然而很多房地產開放商企業其內部審計工作還不夠實際,沒有充分適應市場,采用的方式還是過去的財務審計。部分房地產企業還停留在向運營管理審計的發展過程中。這種傳統階段下的內部審計無論是設計階段還是實施階段,都不具有系統性。尤其是部分企業其內審人員還沒有專業的素質,針對內審人員還缺乏培訓和考核機制。因為企業風險管理和內部控制存在著監督機制不健全的情況,沒有有針對性的對企業內部發展實情進行全面管理和監督。
三、房地產企業內部控制和風險管理采取的措施
(一)要認識到管控工作的重點,對房地產企業中開發價值鏈以及企業內部控制環境建設的風險控制重點進行明確
要想保證建立的企業內部控制制度健全,就要知道風險管理和內部控制的重點所在。首先是組織管控體系的建設。按照內控規范,企業內部環境包括機構設置權責分配、治理結構、人力資源、企業文化以及內部審計。企業要想實施內部控制,就要注意到內部環境,這五個內控環境因素中,組織機構設置。權責分配以及項目管理模式最容易存在問題,從而影響到企業全局發展。目前房地產企業發展速度不斷擴大、開發規模區域不斷激增,保證建立的組織管控體系權責明確、定位清晰、激勵有效、風險受控才是內控風險管理體系建立的重點。其次,企業需要通過人才來運轉,如果人才存在風險會影響到企業,所以在建設內控風險體系中要以人力資源體系為根本,企業只有充分吸引優秀員工并激勵員工發揮價值,才能有效的控制風險。最后,按照房地產企業價值鏈特征,對開發價值鏈前段項目規劃設計與定位策劃階段的風險控制和識別著重關注、
(二)對管控方法進行優化,做好房地產企業風險評估識別工作
房地產企業屬于一個對資源進行整合利用的企業,企業的很多業務和管理活動都會存在一定的邏輯,從而建立起一套流程,對流程的各個環節重點研究、調查和分析,可以對風險進行有效識別和標注,從而采取風險管理體系以及內控制度的措施來對風險進行防范。我國目前房地產市場不景氣,房地產投資降低,銷售面積及銷售額開始大幅度下滑,房地產市場正在大力調整,從而合理的控制房價。因此,房地產企業要按照市場發展規律,對每項投資和工作的風險要采取全面評估。在對房地產投資前,要通過風險管控部門和審計委員會的有效審核,有效評估房地產工作中的財務風險、政策風險、市場風險和經營風險,深入研究重點環節。另外,在參與過程中,要對風險預警機制進行建立,監督和跟蹤運作資本,如果存在異常情況,要及時撤回投資金額,如果無法撤資,要采取措施將風險最低化。
(三)對管控機制進行構建
按照房地產企業發展階段的不同,內控風險管理體系可以分為合規型、管理型以及戰略型。企業可以按照自身發展實際,從合規型到風險戰略型逐步實現。目前很多著名的房地產企業的內部審計就是從財務會計審計、運營管理審計一直到內控風險審計。企業審計人員的素質決定了企業內部控制和風險管理的質量,必須要重視對審計人員綜合技能和素質的培養,不僅要有掌握財務審計的相關知識,還要精通企業管理知識己相關流程。
摘 要 本文從國務院各部委頒布的內部控制規范和風險管理有關法規政策出發,通過對內部控制與風險管理的聯系和區別進行比較,針對目前國有企業內部控制與風險管理的現狀,分析其形成原因,并提出運用風險管理方法構建風險導向型內部控制體系的對策與建議。
關鍵詞 國有企業 控制 規范 風險 機制
2008年由美國次貸危機引發的全球金融海嘯,引起我國各行各業對企業內部控制與風險管理體系建設和評價達到了前所未有的重視程度。為有效控制企業風險,我國相繼出臺了一系列法規政策,2006年6月為促進中央企業內部控制建設和全面風險管理工作國資委出臺了《中央企業全面風險管理指引》;財政部會同審計署等五部委2008年6月聯合了《企業內部控制基本規范》,2010年4月再次了《企業內部控制配套指引》,共同構建了中國企業內部控制規范體系,對企業防范風險、控制舞弊、促進發展產生積極的推動作用。本文通過剖析內部控制與風險管理的聯系和區別,針對目前國有企業內部控制與風險管理的現狀,分析了其形成原因,并提出了運用風險管理方法構建風險導向型內部控制體系,形成“自我免疫機制”的對策與建議。
一、內部控制與風險管理的聯系和區別
內部控制與風險管理是一對既相互聯系又存在區別的概念。內部控制是指為合理保證企業經營管理合法合規、資產安全、財務信息真實完整,提高經營效率和效果,促進企業實現發展戰略,由董事會、監事會、經理層和全體員工設計與實施的政策和程序,旨在實現控制目標的過程。風險管理是由企業董事會、經理層和全體員工共同參與的,應用于企業戰略和內部各個層次和部門的,用于識別可能對企業造成潛在影響的事項并在風險偏好范圍內管理風險的,為企業目標的實現提供合理保證的過程。
兩者相同點:(1)目標一致性,均為提高經營效率和效果、經營合法合規、財務報告可靠、資產安全、實現發展戰略等5個目標,首要目標提高經營效率和效果,終極目標是實現發展戰略;(2)都強調是全員參與的管理,是由企業董事會、管理層以及全體員工共同實施的,指出各方在內部控制或風險管理中都有相應的角色與職責;(3)也都是企業全方位的管理,明確是一個持續不斷的“過程”,其本身并不是一個目標,而是實現目標的一種工具和手段,都是滲透于企業日常管理過程中的一系列行動,需作為一種常規運行的機制來建設;(4)都是為企業目標的實現提供合理保證,而不能提供百分之百絕對保證。
兩者的差別主要體現在:(1)在報告目標的范圍上風險管理有所擴展,將“財務報告的可靠性”發展為“報告的可靠性”,報告范圍由“財務報告”擴展到“內部的和外部的”“財務的和非財務的”報告,涵蓋了企業的所有報告;(2)在內容上風險管理更豐富,引入了風險管理文化、風險偏好、風險承受度以及風險應對策略等新概念;(3)兩者側重點不一樣,風險管理更偏向過程的前端,更偏向于對影響目標實現因素的識別、分析、評估與應對,是一個更為獨立的過程,而內部控制更加重視實施,嵌入到企業各業流程的具體業務活動中,融合在企業的各項規章制度之中。
可見,內部控制與風險管理既相輔相成、又各有側重的現代管理元素,不存在包涵或被包涵關系,也無法完全替代,兩者都是公司治理極為重要的組成部分。
二、目前我國國有企業內部控制與風險管理的現狀
從目前總體情況來看,我國國有企業內部控制與風險管理建設工作還處于起步階段,基本上都建立了自已的內部控制體系,也有一些風險管理策略,但其內部控制和風險管理的水平和效果尚不容樂觀,實際執行中存在諸多問題,主要如下:
1.法人治理結構不完善,內部人控制現象嚴重。現階段我國絕大多數國有企業雖然進行了公司制改造,但其法人治理結構普遍存在問題,設計不科學,股東會、董事會和監事會等核心機構形同虛設,審計委員會、風險管理委員會、董事、獨立董事和監事會只是形式上掛個名,沒有實際行使監督治理職責,導致董事不“懂事”、獨董不“獨立”、監事不“干事”。企業管理者集控制權、執行權和監督權于一身,內部人控制現象嚴重,自覺不自覺地凌駕于內部控制之上。
2.內部控制制度缺乏系統性,制度執行流于形式。絕大多數國有企業都建立了比較多的內部控制制度,其內容應有盡有,但制度間缺乏有效銜接,甚至存在“互相打架”現象。一些新開展業務領域,其風險容易發生的關鍵環節沒有有效控制措施。制度執行流于形式,主要有3種情形:一是執行不到位,出現制度與實際執行“兩層皮”現象,紙上寫的、墻上掛的是一套,執行的是另一套;二是不愿意執行,因人員數量不足、水平不夠、能力有限,以忙于具體工作業務為由沒時間去執行;三是故意不執行,為謀求個人利益,先把水攪混,好從中摸魚。
3.內部審計機構不健全,內外部監督未形成有效合力。有的沒有設立內部審計部門,有的內部審計部門與財務或紀檢合署辦公,有的雖然單獨設立了內部審計部門卻形同虛設,不具備真正意義上審計的獨立性,從而缺乏客觀性,發現不了問題,或者發現了問題也不讓追查,內部審計沒有發揮其應有監督作用。企業、注冊會計師和有關監督部門在在內部控制監督評價工作中,監督標準不一,各種監督職能交叉,各監督主體缺乏橫向溝通,未能形成有效合力。
4.風險管理薄弱,缺乏有效風險管理體系。企業缺乏有效對已經面臨的和即將面臨的風險作出系統分析、整體評價和管理風險的機制,沒有制訂具體的風險控制點,也沒有將風險控制點分解和責任控制到崗、到人;一旦盲目擴張出現了問題,采取“頭痛醫頭,腳痛醫腳”的“滅火式”風險管理模式,抗風險能力較差。更沒有將企業風險管理與內部控制有機結合起來,建立風險導向型內部控制體系。
三、原因分析
導致上述問題的產生,既有大環境下法規政策和理論研究方面存在缺陷的深層次原因,也有企業本身對內部控和風險管理制重視不夠、設計制度不足、執行和監督評價不到位等方面的個性原因:
1.我國內部控制和風險管理制的理論研究和實踐工作仍處在摸索階段,其理論研究基本上借鑒美國COSO《內部控制-整合框架》、《企業風險管理-整合框架》相關理論,與實際國情、行業特點結合不夠。在《配套指引》出臺之前,相關法規政策條例傾向于定性描述,缺乏具體標準,沒有實務操作指引,為企業內部控制的實際執行和客觀評價工作帶來一定難度。企業董事長、總經理、監事由上級任命,且董事會成員和管理層成員高度重疊,企業內部人集控制權、執行權和監督權于一身,經營權得不到有效的監控,容易產生、等現象,進而影響內部控制的實施和健全。治理結構不完善是阻礙國有企業實現發展戰略的根本性問題。
2.沒有風險文化,缺乏風險意識。沒有風險文化,企業的風險管理機制就失去了靈魂,缺乏風險意識,是企業最大的風險源。風險管理意識不足,一方面風險意識淡薄,投機心理、僥幸心理比較重,另一方面求穩心態較重,經營偏保守,注重規避風險,而不是管理風險,不能有效控制風險并利用其發展機會。
3.企業沒有對內部控制制度進行測試評價,并根據測試評價結果及時修訂。內部控制評價是推動企業內部控制機制建立健全的重要手段,內部控制制度在實行之前,一定要對其完整性、有效性、符合性進行評價,及時發現問題并進一步完善。然而,許多企業在內部控制制度制訂過程中,并沒有對內部控制制度的有效性進行測試,對內部控制制度符合性進行評價,更沒有隨著國家政策調整、經營業務拓展,對內部控制制度及時修訂。這是導致企業內部控制缺陷產生的根源。
4.激勵機制、約束機制缺位。長期以來,對企業員工和領導干部的考核,以目標利潤、經營規模完成情況為主要依據,缺乏對內部控制和風險管理等相關指標的綜合考察,激勵約束機制缺位,直接造成企業制度沒有執行力。
5.企業普遍缺乏專業的內部控制和風險管理人才。內部控制制度制訂合不合理、能否有效執行、監督評價能否公正客觀,都取決于人的素質水平。企業內部控制和風險管理是一項綜合性較強的管理工作,對人員素質要求較高,特別是知識新、閱歷廣、綜合型,而企業普遍缺乏這樣的人才。
四、對策與建議
1.認真學習好、貫徹好內部控制規范。國有企業要認真學習企業內部控制基本規范及其配套指引,根據內部控制和風險管理相關法規政策條例,并結合企業自身實際情況,制訂適合、適度、適用于本企業的《內部控制與風險管理手冊》。這對于指導內部控制體系建設,促進各項經營管理活動進一步規范、有序運行,增強風險防范能力等,都有極其重要的意義。
2.完善法人法理結構,解決內部人控制問題,加強企業文化建設,優化內部控制環境。法人治理結構由企業股東會、董事會、監事會和經理層和全體員工組成,是內部控制環境的核心。規范各責任主體的職責權限,保證決策權、經營權和監督權制衡。董事會負責內部控制的健全和有效實施,經理層負責組織領導企業內部控制的日常運行,監事會負責對董事會建立與實施的內部控制進行監督。同時,企業應培育良好的企業精神、內部控制和風險管理文化,加強團隊協作意識,為內部控制創造一個良好的環境。
3.構建企業、注冊會計師和有關監管部門三位一體的內外部監督評價體系。國有企業應該建立由董事會領導下的審計委員會統一管理企業的內部審計工作,賦予審計委員會監督內部控制執行情況和自我評價情況、協調內部控制審計等方面的職能,授權內部審計機構監督評價職能,增強內部審計的獨立性;注冊會計師要嚴格按照內部控制規范的要求,將內部控制審計范圍覆蓋企業內部控制整體,而不僅僅局限于財務報告內部控制,也可以將內部控制與財務報表進行整合審計,提高審計效率;財政部等有關監管部門要加強對企業和注冊會計師執行內部控制規范體系的監督檢查,同時協調監管政策,規范監管口徑,形成有效監管合力。
4.建立內部控制和風險管理長效機制。國有企業要建立對內部控制和風險管理的執行情況與管理層和全體員工的績效考核掛鉤制度,作為績效考核的一個重要指標,通過利益約束驅使企業全體干部員工高度重視內部控制建設和風險管理。另外,要建立重大決策失誤責任追究制,對造成風險損失的責任人進行責任追究,提高制度的威懾力和執行力。
5.運用風險管理方法構建風險導向型內部控制體系,形成“自我免疫機制”。國有企業應致力于建立風險導向型的內部控制體系,即圍繞影響企業目標實現的不確定因素,進行風險識別、風險評估、風險應對,并針對各個風險點制定相應的風險控制點,區分關鍵控制點和非關鍵控制點,再根據企業的組織架構、職責分工,將風險控制點層層分解到崗、到人,從而構建出貫穿于整個企業業務流程的內部控制體系。并結合企業的風險偏好,制定相應的風險應對策略,從而指導企業內部控制體系的構建。可以有效防止錯誤和舞弊,提高效率,確保企業戰略目標的實現。內部控制制度是風險評估和分析的產物,是企業進行有效內部控制的基礎和依據,是風險管理的支點;風險管理是建立在內部控制基礎上,而內部控制的實施經常運用風險管理的的方法。建立風險導向型內部控制體系,對現代企業來說,風險管理的有效性離不開權責利相制衡的體制保障。只有保證內部控制監管的獨立性,明確高管層的責任,實現管理層與內審機構的相互監督,才能保證內部控制制度的有效執行,實現對風險的有效控制,形成“自我免疫機制”。
6.注重內部培養和外聘選拔,提高人員專業勝任能力。企業內部控制和風險管理是一項綜合性較強的管理工作,對人員素質要求較高,首先要熟悉國家和行業法規政策、企業業務流程和內部控制制度,其次要講政治、懂技術(計算機運用技術和審計技術)、善溝通、會理財,具備較強的發現問題、分析問題、解決問題能力和識別風險、評估風險、控制風險的能力。企業要注重內部培養和外聘選拔相結合,提高內部控制和風險管理人員專業勝任能力。
內部控制和風險管理的完善不是一朝一夕的,是現代企業管理永恒的主題。國有企業只有不斷完善法人治理結構,持續優化風險導向型內部控制體系,通過制度規避風險、機制控制風險,責任降低風險,才能為風險管理奠定扎實基礎,才能提高企業經營管理效率和效果,才能在當今激烈的國內外市場經濟競爭中持續健康發展,從而實現發展戰略目標。
參考文獻:
內部控制框架是企業實施內部控制的一個規范體系,它是企業達成目標的指導框架,該框架規范了內部控制的目標、概念以及實施程序等內容。我國內部控制的第一個行政條例就是在1997年5月頒布的《關于加強金融機構內部控制的指導原則》,在這之后,我國又于2000年7月頒布并實施了第一部要求內部控制的法律《會計法》,該法律體現了會計內部監督的理念,從2001年到2004年,我國財政部門相繼頒布了10項內部會計控制規范,主要有《內部會計控制基本規范(試行)》以及《內部會計控制規范—資金(試行)》等,國有資產監督委員會在2006年的時候了《中央企業全民年風險管理指引》,該指引充分體現了風險管理的基本流程。我國的企業內部控制標準委員會(CICSC)于2006年7月正式確立,該委員會確立之后的第二年就了《企業內部控制規范—基本規范》,第一次提出了我國企業內部控制規范的整體框架。隨后我國在2008年5月了《企業內部控制基本規范》,在2010年4月了《企業內部控制配套指引》這兩大內部控制規范體系,就這樣,我國企業內部控制體系結構就由此而生。它簡要明了,結構合理、方法科學,正符合我國的企業內部控制標準委員會(CICSC)所倡導的基本規范體系。
2內部控制整體框架與企業風險管理整體框架
2.1內部控制整體框架
在1929年美國AAA(會計師協會)和FRB(聯邦儲備委員會)的《會計報表的驗證》中,首次提到內部控制這一名詞,1992年美國的COSO委員會提出的《內部控制—整體框架》中指出,內部控制是一個過程,一個由經理以上階層和員工共同實施的過程,其主要的目的就是使企業達到運營效果,與此同時,要嚴格遵循相關的法律法規,并保證企業財務報告的可靠性。這就是COSO委員會認為的內部控制。在COSO委員會在1992年9月的《內部控制—整體框架》中,明確提出了支撐內部控制的框架五要素,分別是:控制環境、控制活動、信息與溝通、風險評估以及監督,這五元素共同構建了內部控制整體框架。各元素之間的關系是相互制約的。
2.2企業風險管理整體框架
企業風險管理是一個過程,它是滲透于企業各項活動中的行動,企業風險管理所涉及的人員是整個企業的員工,不分階層,一個企業要想茁壯成長就必須要將風險管理過程應用在每個部門和每一位員工身上。企業風險管理既可以從企業的總體對其進行分析,也可以從單獨的部門對企業有一定認識,企業風險管理框架的目標就是實現企業的目標。構成企業風險管理的八要素分別為:內部環境、目標制定、風險反應、風險評估、事項識別、信息和溝通、控制活動和監督。其中,需要注意的是風險反應,它主要分為四類:減少風險、共擔風險、規避風險與接收風險四類,企業應對每一個重要的風險都要考慮相應的風險反應方案。
3從企業內部控制走向全面風險管理———3C全面風險管理框
在企業中實施企業全面風險管理是新時期下的環境所導致的,在我國企業的管理中,風險管理是一個相對薄弱的環節,近年來,由于我國企業的風險管理工作薄弱而引發的事件不再少數,所以,建立我國企業全面風險管理框架成為了我國企業發展的首要問題。我國在2004年由COSO委員會頒布了內部控制整體框架基礎,這一框架的迎來了全面風險管理時代。2008年5月了《企業內部控制基本規范》,在這一規范中,能夠明顯看出,我國由原來的理論框架已經逐漸走向了風險管理,進一步完善了中國企業內部控制規范體系,在2010年4月,我國又相繼了《企業內部控制配套指引》,并在2012年進一步完善了該條例,要求實行企業內部控制規范體系的企業,要對企業本身進行自我評估,并相應地作出自我評價報告,交由政府監管部門進行監督檢查,這充分說明了我國企業正在從內部控制走向全面風險管理。我國企業要想提高市場競爭力,實現可持續發展,就要建立完善的企業內部控制體系,首先,管理者要樹立風險管理理念,提高管理層的風險意識,對企業所涉及的風險要素進行分析,并制定相應的措施去應對,同時,還要加強道德與行為準則體系建設,適當地激勵或是約束企業員工,建立一套具有操作性的行為規范和準則。除此之外,要明確企業的戰略目標,需要注意的是,在設定戰略目標的時候,要考慮企業自身能夠承受的風險數量。在以上的基礎上,借鑒國外企業風險管理的經驗,將目標—風險—管理這三個體系結合在一起,構建3C全面風險管理框架。在3C全面風險管理框架下,具體要實現以下五個目標,分別是:保護企業不因災害事件遭受損失;達到企業整體經營戰略目標;保證信息溝通以及財務報告的可靠性;有效率的運營;遵守法律。3C全面風險管理初步分成三層,還可以根據企業的自身情況進行細分。
制定3C全面風險框架的目的就是將風險整合起來進行管理,有利于推動我國企業的進一步發展。以中國電信湖南公司為例,中國電信湖南公司構建全面風險管理,主要是為順應國有資產出資人的要求和資本市場監管機構的要求,提出了企業全面風險管理的目標和要求,同時,也是為了促進企業內部經營管理的需要,隨著中國電信這個大集團的不斷發展,該公司面臨的挑戰越來越多,那么相對應的風險程度也就越來越高,所以,為了提高企業的經營管理效率,該公司決定實現全面風險管理。在整個管理的過程中,中國電信湖南公司完全按照國家的政策執行,并且不斷進行體制機制的創新和改革,切實地推進五項集中管理,通過建立現代企業制度、實施主輔主附分離、建立集中統一的會計管理體系、加快推進戰略轉型和建立有效支撐公司戰略的內部運營體系,加強內部控制,來滿足了國有資本監督管理的要求。此外,中國電信湖南公司還要成立獨立的風險管理部門,以此來確定整個企業的風險管理工作,同時,還成立了全面風險管理工作團隊,將整體的風險管理策略傳遞到各個部門中并予以實施,總之,要將系統論的思想重新進行考量,并且切實地應用到電信企業全面風險管理中,以此提高公司的抗風險能力,保證公司全面風險管理水平能夠上升,進一步促進了企業的可持續發展。全面風險管理是一個復雜的系統,從某種程度上說,企業風險管理包含了企業內部制度,同時,二者之間又形成了新的目標—戰略目標,這是企業的最高目標。實際上,企業風險管理具有四個構成要素,分別是:目標設定、風險評估、風險應付和事項識別,它們成為了我國企業風險管理中最重要的組成部分。我國未來企業應該建立完善的內控制度,提高全面風險管理意識。企業為了適應當前千變萬化的市場環境,應該將全面風險管理切實地應用到管理活動中,與此同時,企業要根據ISO的《風險管理原則與實施指南》加強風險管理,將風險管理帶進新的發展階段。
4結束語
一、內部控制與風險管理的關系
(一)內部控制與風險管理的融合
一直以來,內部控制與風險管理之間的博弈就沒有停止過,目前主要形成兩種觀點:一種認為二者是兩個完全不同的概念,相互之間不可以取代;另一種認為二者只是術語不同,其實基本沒有區別。之所以產生對立觀點,是因為相關學者對內部控制和風險管理的內涵與外延辦公室不同,或將內部控制作為實現風險管理的步驟與手段,或將風險管理作為內部控制的組成。但無論是何種觀點,目前風險管理與內部控制有一個趨同的傾向,也就是說它們在漸漸的融合之中。據IFAC的一項調查顯示,全球超過600學者反饋表示,應加強內部控制與風險管理的一致性工作。我國相關法規條文也體現了融合的理念,如《企業內部控制基本規范》將內部控制作為一個較大的概念,風險管理被囊括其中,而《中央企業全面風險管理指引》又將風險管理作為一個較大的概念,內部控制是重要的實現手段。其實,無論是內部控制還是風險和管理,其作用都是為了防范企業風險,所以它們走向融合也是必然的。理論上講,內部控制與風險管理融合具有一定科學性:①概念雖未形成共識,但實現目標過程的一致性得到人們的廣泛認可;②目標一致,都是為了將風險控制在可控范圍之內;③程序一致,雖然叫法有所不同,但程序的本質有高度的一致性;④方法互用,兩者經常可以替換使用。
(二)內部控制與風險管理的協同
就拿監管機構來說,眼下已經形成了一個穩定的系統,現在又要將其融合在一起,肯定很難實現,這對于內部控制和風險管理領域的專家來講,也是無法接受的。在實踐之中,為了促進兩者的融合,可以通過協同方法來實現。企業沒必要為實現同一目標而制定兩套手冊或指南,也沒必要建立一個內部控制部門,再加上一個風險管理部門,企業應該將其整合起來,同時將風險控制整合到公司治理、戰略及運營之中。理順各種關系,使兩者相互促進、相互融合,形成一個良性循環,才能控制企業持續健康地向前發展。
二、基于風險管理的企業內部控制建設策略
(一)構建以“現金流量”為核心的內部控制模式
企業內部控制是一項復雜而系統的工程,涉及到企業所有的生產經營環節,尋找一個合理的切入點十分必要。資金作為企業賴以生存和發展的基礎,是企業生命的源泉。生產經營其實是人力資源作用于物質資源的過程,在這個過程中貨幣體現了核心作用,所以貨幣也是危險等級最高的資源,能夠安全有效地運行,也決定了風險評估中財務風險的高低。因此,加強“現金流”的內部控制可以促進主體正常組織資金活動,防范和控制資金風險,保證資金安全,提高資金使用效益,而建立和完善以現金流為核心的內部控制和風險管理體系可以為企業高速、持續的發展保駕護航。
(二)加強關鍵環節的風險控制
企業經營活動是由一系列的業務節點構成的,各個節點環環相扣構成了企業活動的整體。業務流程中實現節點的優化和風險因素的控制是提高風險管理能力的根本所在。業務流程的梳理及改革體現在內控上,設置關鍵控制點并選擇相應的控制手段,以實現對操作行為的制衡。收集企業經營過程中的各種信息,進行風險評估與識別,對關鍵風險控制點進行嚴格把關,制定風險管理解決預案,從而保證內部控制的順利進行。關鍵環節所涉及到的人員要進行嚴格的培訓,提高風險管理意識,使其從思想上重視內部控制,重視內部風險管理,其意識對風險管理成敗有直接影響。風險控制具有很強的系統性和聯系性,各單位和部門要權責明確,加強溝通,保證企業運營系統高效運行。優化企業管理功能,實行精細化管理,據此分析企業的關鍵控制環節和風險點,編制企業的風險管理預案。
(三)建立風險預警體系
實踐表明,只有把握風險管理先機,才能發揮風險管理的效用,只有及時、準確掌握經濟動態信息,才能采取針對性的風險管理措施,取得應對風險的主動權。這就要求企業必須適應時展的要求,將先進的信息技術引入其中。一是建立完善、成熟的企業信息管理系統,實現對企業運營數據的收集、存儲、處理和披露,利用先進的算法實現業務信息向會計信息的轉化;二是從風險監控和預警角度出發,建立風險預警分析系統,利用科學、先進的計量模型,實現對企業償債能力、運營能力、獲利能力等狀況的分析,預測企業的風險可能性及大小,隨時做好應對風險的準備。企業要上下協同,提高風險應急能力,一旦觸發風險信息就應該立即向上級匯報,立即組織攻關小組研究應對策略和組織實施,由被動變主動,盡可能避免風險發生,無法避免時盡可能將風險降到企業可接受范圍之內,從而保證企業生產經營活動的維持和正常運轉。
(四)提高員工內部控制意識,讓其主動參與進去
