基于风险管理的企业内部经营控制系统构建

来源:用户上传      作者: 杨长富

　　提要2008年6月财政部、证监会、审计署、银监会、保监会等联合发布了《企业内部控制基本规范》,并于2009年7月l日起首先在上市公司范围内施行。该基本规范如何在我国企业中得到切实执行,已成为一个亟待解决的问题。本文结合管理控制和风险管理等理论,提出了基于风险管理的企业内部经营控制系统的构建问题。
　　关键词:风险管理;经营控制;系统构建
　　中图分类号:F27文献标识码:A
　　
　　进入新世纪以来,美国安然、世通等一批巨人企业的相继倒下,引发了人们对企业内部控制与风险管理的反思。这种反思的结果直接导致了《萨班斯法案》的出台和COSO《企业风险管理――整合框架》的建立。《企业风险管理――整合框架》进一步拓展了内部控制的内涵,更加强调风险管理,并为实现主体的战略、经营、报告和合规等四种类型的目标提供合理保证。
　　近年来,我国也开始把重点集中在风险管理上,人们越来越清楚地认识到需要一个强有力的内部控制框架以便有效地控制风险。《中央企业全面风险管理指导》、《中央企业投资风险管理基本规范》于是应运而生,为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,随后2008年6月财政部会同证监会、审计署、银监会、保监会等联合发布了《企业内部控制基本规范》。这些法规的出台说明我国已经把风险管理提高到一个新的高度。
　　现实中,人们通常关注的是报告目标的实现和会计控制。事实上,内部经营控制是企业实现战略目标的核心和关键,因为企业存在的目的是为它的利益相关者创造价值,也就是企业价值最大化,然而环境的不确定性导致管理当局不得不在追求价值最大化的过程中关注风险及内部经营控制。实施风险管理能够帮助管理当局有效地处理不确定性以及其由此带来的风险与机会,从而提高企业创造价值的能力,实现企业价值最大化的目标。为此,我们应该把研究和实践的重点放在经营目标的实现上,也就是内部经营控制。本文针对这个问题展开讨论。
　　
　　一、我国企业内部经营控制中存在的问题
　　
　　(一)控制目标模糊不清。目前在我国企业中,控制目标制定还是提不上日程,管理当局重视不够,基层员工执行力差,各方面仍存在着问题:1、企业员工,特别是管理者对内部控制了解不深,重视不够。很多企业对内部控制的认识还停留在感性阶段,认为企业内部控制就是内部牵制或内部监督,甚至看成是某些文件或制度;2、企业内部控制还停留在业务流程上,管理者不能清晰而明确地制定控制目标;3、企业员工也只是从局部分析、更多从个人角度分析利害关系,不能很好地去执行和实现目标。
　　
　　(二)风险意识不强。目前,我国企业管理层的思想意识中,缺乏风险概念,没有设置风险管理机制,因此抗险能力很低。我国企业在内部控制的实际工作中,多数人对风险评估的意识还很淡薄,很少分析、甚至不分析可能导致风险出现的因素,没有建立行之有效的风险评估实施机制,强化风险管理,而目前国内也没有一套行之有效的风险评估机制或体系。
　　
　　(三)控制活动的管理者“一言堂”及随意性。管理层习惯于集权式管理方式,对企业制度视而不见,仍乐于相信自己的直觉,以个人的主观判断代替科学决策。例如,2004年发生重大亏损的中航油新加坡公司,曾聘请世界四大会计师事务所之一的安永会计师事务所设计《风险管理手册》,其内容和风险控制要求均与国际石油公司操作规定一致。在控制活动的机构设置上国内公司和国外企业也基本一致,均包括:1、高层管理人员对企业绩效进行总的分析评估;2、相关部门管理者的控制;3、对信息处理的一般控制和应用控制;4、实体控制,即保护设备存货、证券、现金和其他资产的实体安全,定期盘点并与控制记录所显示的金额相比较;5、绩效指标的比较和控制;6、分工,即将不相容职务分派给不同的员工,以降低错误或不当行为的风险。但是,在实际的操作过程中,流于形式的较多,一些措施和制度,往往成了摆设,特别是这些制度和程序通常只对下级有效,对上级无效,即要求下级人员要遵守程序、制度,而管理者本身却不以身作则,甚至破坏这些制度,这样的例子不胜枚举。其原因是,控制活动的管理者本身具有很大的随意性。
　　
　　二、我国企业内部经营控制问题成因分析
　　
　　(一)组织保障不力。1、企业内部控制无法超越那些创造、管理与监督制度的人,管理者的品行、素质和管理哲学仍是企业内部控制的制约因素;2、缺乏科学、一贯的人力资源政策。我国企业的人力资源政策中还充斥着以貌取人,随意用人,任人唯亲,排斥异己等现象;不够良好的人力资源政策,对培养企业的员工,提高企业员工的素质,更好地贯彻和执行内部控制起不到应有的作用;3、企业组织结构没有理顺,内部控制组织形同虚设,公司内部缺乏制衡机制,对管理系统缺乏控制,导致内部控制形同虚设。一些企业产权不明,且企业高层人员素质差,不懂内部控制,当然更谈不上加强内部控制制度建设了。有一些企业没有根据企业规模、业务性质等特点去设计,造成企业的内部控制不切实际,偏离控制重心,有的甚至还停留在上世纪八十年代的水平上,如财务控制的评价制度还未建立、经济合同的管理制度不健全等。
　　
　　(二)法律机制不健全
　　1、法律上的监督规定与实际操作有巨大反差。虽然《会计法》从法律上给予会计人员一定的保护,但企业会计在厂长、经理负责制下仍经常面临“顶得住的站不住,站得住的顶不住”的难堪局面。比如,财务“一支笔”控制的监督方式,虽然解决了费用失控及费用控制的责任归属问题,但它使会计人员丧失应有的责任感,使会计内部监督有名无实。职业道德要求会计人员具有客观、公正和严谨的工作态度,敢于坚持原则和勇于执法、守法、护法的责任感等。但上级领导往往不这样考虑,一张“白条”、“一支笔”签批的超标准的招待费、餐费等硬要报销。这种反差使得会计内部监督难以有效实施。
　　2、机制的问题使内部控制考核缺乏力度。由于企业正处于体制改革的时期,使企业内部控制活动中的考核奖惩机制不健全。有的企业没有人去考核、去检查,有的考核是走过场,搞形式主义,致使内部控制执行效果很差。在新修订的《会计法》中,虽然对内部控制制度提出了新要求,但未做出更多更具体的法律规定。许多企业按照建立现代企业制度要求虽然建立了董事会、监事会,但其监控作用严重弱化。很多公司或者没有内审机构,或者内审机构没有发挥有效的监督作用。即使在已建立考核制度的企业中,大多数深度和广度不够。
　　3、内部控制标准的缺位导致内部控制考核监督难于操作。我国还未提出过类似COSO报告的权威性很高的内部控制标准体系,现行具体审计准则第九号“企业内部控制与审计风险”的观念还没有更新,而且也是从审计的角度进行规定的。新修订的《会计法》虽然对内部控制提出了新的要求,但因为它过于原则性且仅限于会计方面,故在内部控制的实务方面不具有可操作性。另外,财政部根据《会计法》新颁布的《内部会计控制规范――基本
　　规范(试行)》和《内部会计控制规范――货币资金(试行)》也只就会计方面而言,范围狭窄。
　　
　　(三)信息沟通渠道不畅。一个良好的信息与沟通系统有助于提高内部控制的效率和效果。如果企业能够策略性地使用信息系统,则意味着该企业可能会成功,反之则失败。企业在其经营过程中,员工要取得确切的信息并进行沟通,以履行其责任,必须从最高管理阶层清楚地获取承担责任的信息,而且必须有向上级部门沟通重要信息的方法,并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。然而,目前国内企业的信息系统所能提供的有效信息,一般都掌握在最高管理层,而不是掌握在企业所有员工手上。

　　
　　三、基于风险管理的企业内部经营控制系统构建
　　
　　(一)基于风险管理的企业内部经营控制系统构建的基本原则。企业应当遵照《企业内部控制基本规范》的基本原则,将内部控制的基本要素与企业内部的各个层级、各项业务和各个环节有机结合,以确保有效实现内部控制的基本目标。
　　1、全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工;在对象上应当覆盖企业各项业务和管理活动;在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
　　2、重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
　　3、制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保在不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性,任何人不得拥有凌驾于内部控制之上的特殊权力。
　　4、适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
　　5、成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
　　
　　(二)基于风险管理的企业内部经营控制系统的框架内容。以COSO风险框架为基础,按照风险管理框架中目标的分类将内部控制分为四大类控制,分别为:以实现企业战略目标为基础的战略控制;以保证企业遵守相关法规、法律的法规控制;以保证报告可靠性为主的会计控制;以保证企业经营效率和效果的经营控制。并且认为,经营控制是企业实现战略目标的核心和关键,而会计控制是企业实现战略目标的基础,法规控制是企业实现战略目标的保障。战略目标是与企业使命有关的总括性目标,它的实现需要通过分解和细化为经营目标才能得以落实,没有经营控制,战略目标的实现只能是“海市蜃楼”、“可望而不可即”。
　　在COSO发布的风险管理框架的指导下,对企业的内部经营控制要素系统进行构建,设计出一套以控制环境为基础,以监控为整个企业经营正常运行的监督系统,由从企业管理角度考虑的管理控制和以生产循环角度出发的业务控制组成的内部经营控制的系统体系,不管是管理控制还是作业控制,它们的最终控制对象都锁定在企业的资源,更具体地来说就是企业得以生存发展的流程循环。
　　对内部经营控制系统的构建应该注意以下几个问题:
　　1、控制环境和监控是基础。一个企业内部环境的重要性和它对企业内部控制的其他构成要素所能产生的正面或负面影响,怎么强调都不过分。一个无效的内部控制环境影响会很广泛,可能会导致财务损失、损害公众形象或经营失败。因此,管理层应加强对以上各方面的管理,建立一个和谐、适宜的内部控制环境。监控是指对执行内部控制过程的质量进行监督,内部控制者本身也需要被控制或监督,这是一个完善的控制系统的必备要素。对于一个经营控制如果没有监督,或者说控制好坏对控制者都一样,势必影响经营控制的水平与效果。
　　2、风险管理与目标制定、控制活动、绩效评价以及信息沟通要素之间是相互作用的关系。首先,风险评估贯彻于其他四个要素之中。其次,要实现对风险的有效控制,其他几个要素是其保证。企业在制定目标过程中要考虑企业本身的风险容量问题;控制活动本身就是一个风险应对过程;绩效评价是一个企业衡量实际效果偏离预算目标的量化指标,一般而言,偏离程度越大,风险越大;信息沟通与反馈是一个桥梁,连接战略目标和经营控制效果,只有高质量的信息和畅通的交流沟通才能最大限度地减小风险。
　　3、对于管理控制或者作业控制应该怎样把观点付诸行动,即如何控制问题。我们可以把各种控制要素分解为几种方法达到控制目的,如可以把控制活动分解为组织规划控制、授权批准控制、全面预算控制、文件记录控制、实物保护控制等,也可以把风险管理控制分为全面预算控制、风险防范控制以及内部审计控制等。
　　4、经营控制的起点和落脚点都在战略目标上。战略目标是高层次的目标,它与主体的使命相协调,反映管理当局就主体如何为它的利益相关者创造价值做出选择。它是进行经营控制的起点,只有制定出企业的战略目标,然后将其分解为切实可行的具体控制目标,经营控制才有目标和依据;而内部经营控制存在的根本原因就在于保证战略目标的实现,从而最终实现企业的根本目标,即最大限度地追求企业价值最大化。
　　(作者单位:辽宁对外经贸学院)
　　
　　主要参考文献:
　　
　　[1]财政部会计司.内部控制理论研究与实践.中国财政经济出版社,2007.
　　[2]李胜楠.内部控制理论的演进及对我国企业内部控制的启示.会计师,2007.6.
　　[3]杨雄胜等.中国内部控制的社会认同度研究.会计研究,2007.8.

转载注明来源:https://www.xzbu.com/2/view-409057.htm