基于风险角度的企业内部控制环境因素分析
来源:用户上传
作者: 黎明梅
[摘要]内部控制环境是内部控制的组成部分和前提。企业内部控制环境因素由内部环境和外部环境两要素构成,内部环境要素是企业实施内部控制应关注的重点企业应强化风险意识,充分重视风险内容,在认识风险的基础上采取措施规避风险、控制风险
[关键词]内部控制;
内部环境;
外部环境;风险管理
内部控制环境是内部控制的组成部分及前提,是公司内部影响控制制度正常运作的环境因素,是所有其它内部控制组成要素的基础,是内部控制的首要因素。我国的第一部《企业内部控制基本规范》于2009年7月1日起在上市公司范围内施行,鼓励非上市的其他大中型企业参照执行。作为内控首要因素的企业内部控制环境因素,在基本规范的实施中突显重要。
一、企业内部控制环境因素
1992年,内部控制理论权威机构美国COSO委员会在其研究报告中认为内部控制由五个相互影响的要素构成,即控制环境、风险评估、控制活动、信息与沟通、监控。内部控制是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性,而自行检查、制约和调整内部业务活动的自律系统。
根据系统论的观点,如果把内部控制工作看作一个系统,那么内部控制以外的并对内部控制系统有影响作用的一切系统的总和,便构成了内部控制的环境。这些环境有的是企业可以控制的,有些是企业不可控的,前者即是内部控制内部环境,后者即是内部控制的外部环境。即企业的内部控制系统同时受着内外环境的影响。
内部控制环境因素应有内部环境和外部环境两要素组成,外部环境如整个社会的经济形势、道德环境、法律环境和政府角色和作用等。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
内部控制环境这个大因素由内部环境因素和外部环境因素两个小因素组成,两者共同影响着企业的内部控制系统的有效性,但由于内部环境因素是企业可控的,所以在企业实施内部控制时,内部环境因素应是关注的重点。
《内部控制――整体框架》即COSO报告对控制环境定义:控制环境是一种氛围和条件。它内嵌于企业文化之中,影响员工的控制意识和实施控制的自觉性,决定着其他控制要素作用的发挥,并影响到企业经营目标及整体战略目标的实现。定义的特点是注重公司内部的“软环境”,也是前面我们讲的内部环境。
2004年,COSO委员在借鉴以往有关内部控制研究报告的基本精神的基础上,结合《萨班斯――奥克斯利法案》在财务报告方面的具体要求,发布了《企业风险管理框架》。该报告认为。企业风险管理包括八个相互关联的要素,各要素贯穿在企业的管理过程之中。根据管理者经营的方式,分为内部环境、目标设定、风险识别、风险评估、风险反应、控制活动、信息和沟通、监控等。《企业风险管理框架》中用“内部环境”代替了“控制环境”。企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应。它还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。
2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》,这是中国会计审计领域的又一重大改革举措。该基本规范第一章第五条“企业建立与实施有效的内部控制,应当包括下列要素:内部环境、风险评估、控制活动、信息与沟通、内部监督”“内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等”。可以注意到这里用的是“内部环境”而不是“控制环境”。
虽然内部环境包含的具体内容很多,比如企业员工的价值观、人员的胜任能力和发展计划、管理者的经营模式、权限和职责的分配方式等,但是董事会是内部环境的重要组成部分,对其他内部环境要素有重要的影响。企业的管理者也是内部环境的一部分,其职责是建立企业风险管理理念,确定企业的风险偏好。营造企业的风险文化,并将企业的风险管理和相关的初步行动结合起来。基本规范中的内部环境主要有以下内容:
一是组织架构。是指企业按照国家有关法律法规、股东(大)会决议和企业章程,明确董事会、监事会、经理层和企业内部各层级机构设置、人员编制、职责权限、工作程序和相关要求的制度安排。二是发展战略。是指企业围绕经营主业,在对现实状况和未来形势进行综合分析和科学预测的基础上。制定并实施的具有长期性和根本性的发展目标与战略规划。三是人力资源。是指由企业董事、监事、高级管理人员和全体员工组成的整体团队的总称。四是企业文化。是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。五是社会责任。是指企业在发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量、环境保护与资源节约等。
二、内部环境存在着风险
风险是普遍存在的,企业在日常的生产经营中总会面临着来自内部或外部的风险。在市场经济条件下,企业间竞争愈演愈烈,经营与财务风险及不确定性因素不断增加,企业内部控制所面临的风险随之加大。由于企业风险具有突发性、多变性和无形性,因此企业风险的发生往往会给企业的生产经营带来巨大影响,并可能造成难以衡量和弥补的损失。企业加强风险管理尤为必要,认识风险、规避风险、控制风险是内部控制的核心内容。从企业风险产生的角度来说,企业风险分为两种:内部风险,即由企业内部条件变化引起的风险;外部风险,即由外部环境变化引起的风险。企业能控制的是环境中的内部环境因素即可控部分。企业内部环境建设中面临的风险,具体表现在以下几个方面:
(一)企业组织架构设计与运行中面临的风险
1 治理结构形同虚设,可能导致企业缺乏科学决策和运行机制。难以实现发展战略和经营目标:2组织构架设计不适当,结构层次不科学,权责分配不合理,可能导致机构重叠、职能缺位、推诿扯皮,运行效率低下。
(二)企业在发展战略制定与实施中面临的风险
1 缺乏明确的发展战略,可能导致企业盲目发展,丧失发展动力和后劲;2发展战略脱离企业客观实际,可能导致企业过度扩张或发展滞后;3发展战略因主观原因频繁变动,可能损害企业发展的连续性或导致资源浪费。
(三)企业在人力资源管理进行中面临的风险
1人力资源缺乏、结构不合理,可能导致企业发展战略难以实现;2人力资源激励约束制度不合理、优胜劣汰机制不完善,可能导致关键人才流失或经营效率低下。
(四)企业在文化建设中面临的风险
1缺乏积极向上的价值观、诚实守信的经营理念、为社会创造财富并积极履行社会责任的企业精神,可能导致员工丧失对企业的认同感,人心涣散,企业缺乏竞争力;2忽视企业并购重组中的文化差异和理念冲突,可能导致并购重组失败。
(五)企业在履行社会责任中面临的风险
1安全生产意识薄弱,安全生产责任制落实不到位,可能导致企业发生重特大安全事故;2产品质量不合格,侵害消费者利益,可能导致企业巨额赔偿、形象受损甚至破产;3环境保护意识不强、投入不够、措施不力,造成环境污染。可能导致企业巨额赔偿或停产整顿。
三、内部控制要融入风险管理内容
风险的危害是现实存在的,这就要求企业将风险管理融入到内部控制中去,防止风险,及时地发现风险,预测风险可能造成的影响,并设法把不良影响控制在最低程度,这就是风险导向型内部控制。风险导向型内部控制除了关注传统的内部控制之外,更关注风险管理机制的有效性和公司治理结构的健全性,在促进企业完善风险管理和公司治理方面发挥着重要作用。在完善企业内部控制环境时应注意融入风险管理内容,完善公司治理结构,识别重要风险并建立风险评估和回应机制。风险导向的内部控制作为一种现代内控模式,已在发达国家的审计实践中得到日益普遍的应用,而在我国,将风险管理引入内部控制的理论研究也只是在近年刚刚开始,在实践方面还是一个崭新的领域。随着我国经济的高速发展,将风险管理融入到内部控制中去,更体现了企业自身的要求,已成为一种发展的必然趋势。
四、强化风险意识的措施
企业风险并不可怕,因为它是客观存在的。是企业与生俱来的,问题是企业以什么样的态度来看待风险。可怕的是企业缺少风险意识,那样风险就会转化为可见的损失和危机,它不仅能使既定的企业发展目标无法实现,严重的还可能会令企业陷入生存的困境。企业的风险意识就是企业对风险的客观性和普遍性的警醒和觉悟,它来自企业对经营环境的真实认知,是一个成功企业不可缺失的文化基因。企业可通过控制冲动和错误,形成适度的风险偏好,积累风险承受力,将企业风险控制在合理的范围之内。
企业只有加强了风险意识,才能适应社会的变革和自身的发展。企业应将风险意识融入企业文化,高级管理人员和全体员工都应当强化风险意识。这就需要高级管理人员在风险管理的各个环节,大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,学习、掌握风险识别与防范的技术,同时增强员工风险意识,将风险意识转化为员工的共同认识和自觉行动,将风险意识变成企业上下共同的理念,促进企业建立系统、规范、高效的风险管理机制,保证企业更好地生存和发展。
企业除了将风险意识变成企业上下共同的理念外,还应建立风险管理培训制度。在风险管理前期,企业应主要进行企业风险管理理念的培训,通过向企业员工介绍企业风险管理的理念、目的和相关知识。使企业员工了解作为企业文化一部分的风险意识对企业风险管理的重要性。在风险管理启动阶段,企业应重点进行风险管理原理的培训,培训对象一般为企业中高层管理人员。培训l的要点以风险管理的原理为主,并结合企业管理现状,重点介绍风险管理柜架的内容。在风险管理实施阶段。企业应将重点放在实际操作上,介绍风险管理的流程,培训风险管理人员如何防范风险、识别风险、评估风险,学习应对风险的方法等。
企业的风险管理培训可以采取多种途径和形式。加强核心内容的培训,培养风险管理人才,培育风险管理文化。
由于现代企业面临的风险有广泛性、经常性、持续性和复杂性的特点。这就要求企业风险管理必须是一个系统工程,并贯穿于企业战略决策、生产经营、管理控制的各个环节之中,涉及企业的各个机构部门和人员,风险意识渗透到企业的方方面面。企业风险管理不仅是管理人员、内部审计或董事会、监事会的责任,而且也是企业中每个机构部门、每位员工均应负有的重要责任。
五、内部控制评价应以内部环境的风险评估为基础
内部控制评价是以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。内部控制环境是内部控制的组成部分及前提,是公司内部影响控制制度正常运作的环境因素,是所有其它内部控制组成要素的基础,是内部控制的首要因素。因此企业内部控制评价应当以内部环境为基础,重点关注:治理结构是否形同虚设;发展战略是否可行;机构设置是否重叠;权责分配是否明晰;不相容岗位是否分离;人力资源政策和激励约束机制是否科学合理;企业文化是否促进员工勤勉尽责;社会责任是否有效履行等。
转载注明来源:https://www.xzbu.com/3/view-771037.htm