基于风险管理的企业内部控制研究
来源:用户上传
作者: 刘 杉
[摘要] 基于风险管理的内部控制正在发展为一种潮流。本文首先阐述国内外内部控制理论的产生和发展,分析了我国企业内部控制的现状,进一步提出企业应从制定合理的发展目标、加强企业内部环境建设、建立有效的信息系统、准确评估企业风险、合理回应各种风险、加强风险控制活动、持续监督风险管理活动等八个方面完善内部控制。
[关键词] 风险管理 内部控制 现状 体系
随着世界经济一体化和资本市场国际化的深入发展,中国企业无论是在国际市场还是在国内市场都面临着全球范围的竞争,同时也面临着巨大的风险。为了在激烈的竞争中立于不败之地,现代企业必须树立风险管理哲学观、运用科学的风险管理技术方法,转移和分散风险,加强内部控制,提高企业经济效益。
一、国内外相关理论发展
随着对内部控制的理解和认识的不断深化,内部控制理论及实践在不断发展和完善。内部控制理论的发展经历了一个漫长的历史过程,它的发展可以分为四个阶段:内部牵制、内部控制制度、内部控制结构、内部控制架构。目前,国外内部控制理论获得进一步发展,进入风险管理阶段。
企业风险管理(ERM)是指现代企业为实现所定目标,对可能发生的各种风险进行一系列防范、控制的管理活动,是一种涉及多层次、多方面的现代企业管理职能。在全球竞争激烈的市场,任何企业都处于动荡多变的环境之中。企业面临的风险越来越多,风险引发的损失规模也越来越大,这些都促使企业对风险管理给予高度的关注。近年来国外对于ERM的研究重点放在以下三个方面:ERM如何与企业整体相整合,如何以企业整体视角来看待ERM:企业通过执行ERM应当增加利益相关者的价值,从而使企业的利益最大化:企业在执行ERM的时候应当重视CRO的作用。美国后援委员会(COSO)在2004年6月提出《企业风险管理――整合框架》,为企业有效地进行风险管理提供了强有力的理论指导。COSO对企业风险管理的定义是:企业风险管理是个过程,受组织的董事会、管理层和其他人员影响,贯穿整个企业,应用于战略制定。企业风险管理在识别影响组织的潜在事件,在组织的风险偏好范围内管理风险,为组织目标的实现提供合理的保证。Patruck Jstroh指出在当前的环境下,不可能使用一种方式管理所有的企业。企业要获得经营上的成功,超越利益相关者的期望等长期目标。然而一个潜在的失误就有可能改变整个企业的命运,所以必须将ERM与企业整合,增强公司治理,创建风险管理文化。Bob Stein认为ERM不仅有助于企业更好地做决策和创造更大的相关者利益,而且为企业提供更强有力的内部控制。
在中国,内部控制和风险管理制度的发展随着对上市公司信息要求的提高和国际社会在此领域的发展而快速发展。1997年中国人民银行印发《加强金融机构内部控制的指导原则》表明中国开始关注内控。2005年10月,中国证监会出台《关于提高上市公司质量意见》。2006年5月12日,深圳证券交易所发布公开征求《上市公司内部控制指引》意见的通知,从全国范围内为建立内控制度体系征询意见,拉开了中国上市公司内部控制体系制度建设的序幕。2006年5月17日,中国证券监督管理委员会发布第32号令――《首次公开发行股票并上市管理办法》。该办法第29条规定“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留结论的内部控制鉴证报告”。这是中国首次对上市公司内部控制提出具体的要求。德勒企业风险管理服务合伙人杨莹认为,指引要求的内控框架比美国“萨班斯法案”更高,只是这个指引还没有具体的操作细则出来,也不像“萨班斯法案”已经上升到法律的高度。2006年6月6日,国资委也发布了“关于印发《中央企业全面风险管理指引》的通知”;7月15日,财政部选择美国萨班斯法案对中国在美上市企业生效的日子,发起成立了“企业内部控制标准委员会”;中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。这些都标志着中国内部控制体系已经走到了最关键的时期。由国内外形势可见,基于风险管理的企业内部控制正成为一种新的潮流。
二、构建基于风险管理的企业内部控制体系
2006年2月颁布的《中国注册会计师审计准则第1211号》从被审计单位的控制环境、风险评估过程、信息系统和沟通、控制活动、对控制活动的监督五个方面刻画内部控制系统。依据COSO委员会2004年提出的风险管理框架和上海证券交易所2006年6月公布的《上海证券交易所上市公司内部控制制度指引》,笔者提出完善企业内部控制应从以下几方面着手:
1.加强企业内部环境建设
企业内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。内部环境受企业历史和文化的影响,具体包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。培养员工的忠诚成为现代内部控制的工作出发点,由于内部控制的全面性和动态性,决定了在吸引一流员工并培养起他们对企业的忠诚方面,担负了特别重大的使命。为了营造一个良好的控制环境,可以建立一些控制团队,通过团队训练产生扩散效应,促进全体员工树立风险管理哲学观、掌握自我优化行为的技巧。在建立企业风险文化的时候要注意建立统一的风险语言,以方便企业内部对风险的沟通和交流。此外,要优化董事会结构,加强董事会的独立性和董事会对管理层的监督。
2.制定合理的发展目标
目标设定是有效的事项识别、风险评估和风险应对的前提。目标与企业的风险偏好是相对应的,风险偏好决定企业的风险容忍水平。制定明确的战略和目标,如果企业没有明晰的战略和目标,使用ERM就没有任何意义了。明确风险管理组织结构及风险管理活动的高级负责人的相关责任也是十分重要的。从董事会的执行者到每位员工,风险管理是每个人的责任。作为一种惩罚机制,问责制能保障内部控制制度的有效实施。所谓问责制,就是在某项活动中针对相应的权力明确相应的责任,有权力就应有对等的责任,对相应责任履行进行严格科学考核,及时察觉失责,依据相应的失责度量对当事人追究和惩罚,靠“问”的“制度化”来保证“权责对等”实现的一种机制。每个人都要了解风险并承担相应的责任,在既定的风险承受力下管理风险。
3.准确评估企业风险
风险评估可以使企业考虑潜在事件如何影响目标的完成;管理层从两个方面对事件进行评估:可能性和影响。可能性表明的是事件将会发生的概率,而影响表明的是如果事件发生,其结果如何。一般可以利用过去事件的数据获得风险概率和影响的估计值。企业的风险评估方法通常包括定性分析技术和定量分析技术。VAR、敏感性分析等数理统计法是目前运用较多定量分析技术,其典型特征是精确度要求更高,适合在比较复杂的活动中作为对定性技术的补充。当风险本身无法量化,或者无法获取进行定量分析的充分可信的数据,或者对数据进行分析不符合成本效益原则时,通常应采用定性分析方法。
4.加强风险控制活动
控制活动是有助于风险反应正确执行的政策和程序。控制活动发生在整个组织的所有层面和所有职能中。控制活动是企业力争达成其经营目标的流程的一部分。在制定控制活动时关键是抓住重要控制点,其设计要基于风险评估结果,以提高控制活动的针对性。它们通常包括两个要素:政策和程序。由于企业普遍采用信息系统,需要对重要的系统进行控制。如,利用互联网实施会计的实时控制。会计信息是会计控制的基础,控制过程也就是信息的收集、传输与加工处理的过程。充分利用互联网络技术,实时通过会计工作和利用会计信息对企业的生产经营活动进行了指挥、调节、约束和促进,使供应商、生产商、分销商、客户,通过供应链紧密集成,物料不间断地流动,实现零库存,最大限度减少经营成本,快速响应客户需求,提高公司市场竞争能力和经济效益。
5.持续监督风险管理活动
企业风险管理应该受到监督,这是一个对风险管理各组成部分的存在和机能以及风险管理执行质量进行评价的持续过程。可以采用两种方法进行监督:持续监控或定期评价。持续监控是企业经常性活动的一部分,包括:评估和监督日常经营过程中的内部控制及人员;管理层利用内部审计协助进行监控;管理层实施内外审计对内部监控缺陷提出的建议,发现内控缺陷及时改正,对监管部门的报告及建议及时回复。通常,持续监控和定期评价结合能够保证企业风险管理效力的持久性。随着现代通讯与网络技术的发展,信息实现了高度共享,组织实现充分沟通,员工行为自我优化,内部控制则成了全体员工及整个组织持续优化行为及绩效的保障性制度。建立适合内部控制需要的信息系统,是开放式管理体制的重要特征。
参考文献:
[1]金或肪李若山徐明磊:COSO报告下的内部控制新发展[J].会计研究,2005(2)
[2]张文贤孙琳:内部控制会计制度设计[M].立信会计出版社,2005
[3]储稀梁:COSO内部控制整体框架:背景、内容、理论贡献与启示[J].金融会计,2000(6)
[4]杨雄胜:内部控制理论而临的困境及其出路[J].会计研究,2006(2)
转载注明来源:https://www.xzbu.com/3/view-1494765.htm