浅谈企业内部控制与风险管理
来源:用户上传
作者: 纪景涛
摘要:从构建风险管理体系入手,分析完善的内部控制系统是防范经营风险的有效途径,针对企业内部控制失效是导致经营风险发生的重要原因,从中剖析并提出加强内部控制、防范经营风险的基本策略。
关键词:风险管理;内部控制;企业
中图分类号:F720.7文献标志码:A文章编号:1673-291X(2010)01-0028-03
目前, 风险管理是企业管理中的一个相对薄弱环节, 风险意识不强, 风险管理工作薄弱, 是企业发生重大风险事件的重要原因。2006年6月,国资委制定并发布了《中央企业全面风险管理指引》, 对于建立健全风险管理长效机制, 推动风险管理工作具有重要意义。2008年6月财政部发布企业内部控制基本规范, 将于2009年7月1日起在大中型企业实施, 该规范强调企业应当建立和实施风险评估程序。然而, 纵观中国企业内部控制与风险管理, 尚存在许多问题, 在新的经济形势下需要以新的措施和方法予以改进。
一、风险管理概念
1.风险。风险是伤害、损毁或损失的机会,或是损失的可能性程度。我们可以推而广之,风险就是由某种不利因素产生并可能造成实际损失,致使组织目标无法实现或降低实现目标的效率的可能性。企业风险除涵盖一般的风险项目外,更包括了财务风险、形象风险、营运风险、环境风险、法律风险、人力风险、业务风险等等,而根据美国损失控制协会对于美国企业18 000例巨灾的统计,其中70%未设置风险管理系统的企业,在遭受巨灾后五年内会结束营业。
2.风险管理。全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件和管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。从某种角度来说,风险管理是企业通过对潜在意外或损失的识别、衡量和分析,并在此基础上进行有效的控制,用最经济合理的方法处理风险,以实现最大的安全保障的科学管理方法。
二、风险管理系统构建
根据风险管理理论,风险管理系统的构建主要有以下几个方面:
1.内部环境。企业的内部环境是所有风险管理要素的基础,为其他要素提供规则和结构。企业的内部环境不仅影响企业战略目标的制定、风险的识别、评估和对策,还影响企业内部控制活动、监督行为的制定和执行。
2.目标制定。根据企业的愿景,管理者制定企业的战略目标,选择战略并确定其他与之相关的目标并在企业内层分解和落实。
3.事项识别。事项识别是确定哪些因素会给经营管理带来风险。有来自于企业外部的因素和内部的因素。内部因素反映了管理层的选择,包括基础设施、员工、流程和技术等。同时还要关注企业的过去和未来。
4.风险估测和评价。风险估测和评价模块主要是在风险识别的基础上,对风险进行量化,预测和评估风险大小,为风险控制提供依据。风险评估主要包括两个方面:风险损失频率估计和风险损失程度估计。估计风险损失频率,主要是通过计算损失次数的概率分布,这需要考虑三个因素:风险暴露数、损失形态和危险事故,三项因素的不同组合,影响着风险损失次数的概率分布。如果企业建有完善的风险管理信息系统,也可根据信息系统提供的历史数据来估计损失频率。一般依据风险发生的可能性可将风险分成五类: (1)几乎不发生,约每一百年或更长时间发生一次;(2)可能但未曾发生,约每二十年发生一次;(3)发生过数次,约每五年发生一次;(4)经常发生,每两年发生一次;(5)绝对发生,一年发生一次或几次。不同的企业还可予以细分。
5.风险控制。风险管理是一项系统工程,对风险的控制应该贯穿于整个风险系统之中。风险控制包括实施风险管理方案以便在项目过程中对风险事件做出回应。当变故发生时,需要重复进行风险识别,风险量化以及风险对策研究一整套基本措施。
6.风险管理评价。由于市场条件不同,各主体面临的风险也是不同的。为了对风险进行及时的控制和管理,必须对风险的识别、估测、评价及管理方法进行定期检查、修正,以保证风险管理方法适应新的状况。
三、风险管理与内部控制的关系
内部控制关注的是经营中的风险。内部控制评估管理活动中突出的是风险点,负责重要的风险控制活动,在风险管理中居于十分重要的地位,没有内部控制,风险管理无从谈起。内部控制只能提供合理的保证而不是绝对的保证。内部控制框架的新发展是建立企业风险管理框架。
四、企业实施内部控制防范经营风险过程中存在的问题
中国企业内部控制与风险管理运行中主要存在以下方面的问题:
1.内部控制对控制环境的关注不够。内部控制理论认为, 内部环境对于企业战略目标的制定、业务活动的组织以及风险的识别都有着非常深刻的影响。中国主要是从会计控制的角度来规范内部控制,而一些企业的内部控制之所以失效,很大程度上缘于缺乏良好的内部控制环境。例如,中国企业缺乏有效的现代企业治理机制,很多公司虽然形式上设立了董事会、监事会、审计委员会等,但实际中,因一股独大、内部人控制等原因,中小股东利益得不到切实保护。
2.内部控制不能应对凌驾于内部控制之上的风险。内部控制主要侧重于服务高层管理者控制资产、业务的需要,侧重于对企业中层管理者和员工的控制,对于高层管理者如总经理、执行董事缺乏制约能力,而企业往往会因为缺乏对公司高层管理者的有效控制和监管而带来风险。
3.中国企业风险管理水平较低,风险管理手段落后。风险管理思想和理论尚未融人中国企业管理过程中,重收益、轻风险企业风险管理技术水平低,风险识别、风险评估、风险应对等风险管理技术手段落后。
4.风险管理中过多强调传统的内部控制风险,对传统内部控制之外的风险关注不足。目前中国企业对于传统意义上的内部控制比较重视,强调分工和牵制,但对于内部控制之外的风险却缺乏关注,如外部重大不利事件、法律变化、技术变化、收购兼并等风险游离于内部控制之外。
5.未能建立起有效的风险管理信息系统,风险管理决策缺乏定量依据。各类风险数据、损失数据是企业经营管理的重要决策基础,在一定程度上,通过扩充丰富这类资源,可以提高企业的经营水平和经营弹性。因此,实践上就要求中国各类企业建立一个完整的信息系统对这类资源进行收集、挖掘和利用。由于缺乏这类基础数据的支持,使企业的经营决策依据不足,带来企业风险管理的被动状况。
五、改进内部控制与风险管理框架的措施
加强内部控制,从而防范经营风险,其重点就应是会计系统和控制程序建立健全。应考虑交易授权;职责隔离;对财产的有形控制以保证其安全;精确记录交易数据及汇总保存;周期性地核对和分析数据;有规律地将经过分析数据得到的信息与预期结果进行比较。控制程序和活动应由职员的日常职责构成,通过财务会计控制,及时发现企业的经营风险。另外,会计系统和控制程序的设计应特别关注收入和费用循环,因为大多数欺诈行为都发生在这些环节上。具体从以下几个方面得以加强:
第一,构建起健全、有效的经营风险控制机制。经营风险控制机制是指在经营风险管理中所形成的互相联系、互相制约的功能体系。构建完善的经营控制机制是防范经营风险的关键所在。(1)建立起经营风险的全过程控制机制。(2)建立和完善经营风险预警机制。规避资本营运和资金管理风险最为有效的是建立经营预警系统,加强经营危机管理。建立经营预警系统,对企业的资本营运过程进行跟踪、监督,通过对财务报表和财务指标的分析,一旦发现某种异常征兆就着手应变,以避免或减少风险损失。(3)实行全员风险管理,健全风险控制的动力机制。实行全员风险管理,将风险,将风险机制引入企业内部,使管理者、职工、企业共同承担风险责任,做到权、责、利三位一体。
第二,按照相互制约原理,建立科学的内部控制制度体系。内部控制体系是内部控制目标得以实现的充分必要条件。建立相关的内控制度和健全有效的内部控制运行体系,是实现内部控制目标的重要保障。企业内部控制体系,具体应包括三个相对独立的控制层次:第一个层次是在企业一线“供产销”全过程中融入相互牵制、相互制约的制度,建立以“防”为主的监控防线。有关人员在从事业务时,必须明确业务处理权限和应承担的责任,对一般业务或直接接触客户的业务,均要经过复核,重要业务最好实行会签制,禁止一个人独立处理业务的全过程。第二个层次是设立事后监督,即在会计部门常规性会计核算的基础上,对其各个岗位、各项业务进行日常性和周期性的核查,建立以“堵”为主的监控防线。事后监督可以在会计部门内设立一个相应职务的专业岗位,配备责任心强、工作能力全面的人员担任此职,并纳入程序化、规范化管理,将监督的过程和结果定期直接反馈给财务部门的负责人。第三个层次是以现有的稽核、审计、纪律检查部门为基础,成立一个直接归董事会管理并独立于被审计单位的审计委员会。审计委员会通过内部常规稽核、离任审计、落实举报、监督审查企业的会计凭证、会计报表等手段,对会计部门实施内部控制,建立起有效的以“查”为主的监督防线。以上三个层次构筑的内部控制体系,对企业发生的经济业务和会计部门进行“防、堵、查”递进式的监督控制,对于及时发现问题,防范和化解企业经营风险和会计风险,将具有很重要的作用。另外,内控体系无论是单独设置还是在会计制度中体现,设计时均应充分考虑体系的严密性、有效性、先进性和可操作性,并充分发挥它们之间的能动作用。
第三,强化相关人员思想认识,把内部控制工作落到实处。一切好的内控制度和方法最终还是要由人去执行,否则再好的制度也难以发挥作用。对会计作业人员,包括管理人员和操作人员的控制是内部控制的核心。就目前情况及案例看,出现问题的关键不是没有制度而是制度不落实。因此,一要及时掌握企业内部会计人员思想行为状况。定期对重点岗位人员的思想和行为进行分析,着重了解他们近期出现的反常情况,掌握可能使有关人员犯罪的外因,以便采取措施加以防范和控制。二要加强对会计人员进行职业道德教育和业务培训,增强会计人员自我约束能力,自觉执行各项法律法规,遵守财经纪律,做到奉公守法、廉洁自律。双管齐下,使内部控制工作得以有效施行。
第四,实施内部控制评价制度,提高企业内部控制效果。任何机制有效运作都需要有相应的配套制度和措施,内控机制也不例外,相关的评价制度是促进其运行有效的必要条件。内部控制评价是对内部控制执行有效性的检测。对企业内部控制进行评价,应该执行哪些评价程序,遵循什么样的评价标准,用什么样的评价形式等,都是值得思考的问题。只有建立一整套完善的、符合实际的、具有可操作性的评价指标体系并加以实施,内部控制制度在实践中才能有现实的可运行性和有效性。
第五,强化内控制度的检查考核,推行有效的激励机制。为了保证企业内部控制制度能有效地发挥作用,并使之不断地得到完善,企业必须定期对内部控制制度的执行情况进行检查与考核。看企业内部控制制度是否得到有效遵循,执行中有何成绩,出现了什么问题,为什么某项内部控制制度不能执行或不完全执行,估计可能产生或已造成什么后果,这些都是考核的重要内容。对那些违反规定、钻制度空子的人员予以相应的惩罚,而对那些认真履行职责、与违规行为做斗争的人给予一定的奖励,从而做到奖罚分明,并与职务升降挂钩,形成长效机制。只有做到压力与动力相结合,才能最终达到内部控制的目的。
参考文献:
[1]仇颖.基于战略控制的内部控制模式[J].经济导刊,2008,(5) .
[2]王永生.加强内部控制,搞好企业管理[J].科技与企业,2007,(5).
[责任编辑 吴高君]
转载注明来源:https://www.xzbu.com/2/view-399783.htm