论文摘要:我国的业长期是国有经营,行政干预过多,自负盈亏、自担风险的能力较弱,风险更具特殊性和隐蔽性。因此,防范风险、加强监管,对维护体系的稳定,促进业的健康运营,保证社会经济的有序、持续发展至关重要。
是现代经济的核心。问题是事关经济社会发展全局的战略问题。由于活动的杠杆效应和风波的快速传递,风险已经成为影响国家安全的一个重要因素。所谓风险,是指资本在经营与交易过程中预期收益的不确定性。即人预期收益与实际收益的偏差。风险的存在对于经济和社会发展的危害巨大,它不但能使个别机构蒙受巨额损失。而且还可能破坏一个国家或地区,乃至世界经济秩序的稳定。引发社会动荡。在我国,风险的主要表现为:(1)信贷风险。当前部分企业趁兼并,合资、分立等改革、改组、改造之机,采取各种方式逃债、废债、悬空银行贷款。导致业特别是国有商业银行的资产信贷质量持续下降,成为当前最为突出,最为严重的风险;(2)信用风险。就是借款人不能依约偿还借款本息的风险;(3)流动性风险主要体现在企业不能变现资产,无力清偿到期债务。对客户提取现金支付能力不足。目前国有商业银行的流动性风险虽未显现。但潜在的支付困难因素日益增多;(4)经营风险。是指由于银行自身经营管理方面存在的问题而形成的风险:(5)外汇风险。随着各行经营外汇业务的范围和规模的不断扩大。外汇风险成为风险的重要组成部分;(6)市场风险。主要是由于证券市场不规范和市场秩序混乱引发的种种风险。在市场发育不全。渠道狭窄的情况下。巨额的社会游资利用不成熟的证券市场兴风作浪,导致股市风险变得极为突出。此外,一些地方的机构乱集资、乱抬利率、乱设机构等时有发生,潜在风险很大:(7)罪风险。业是巨额货币资金的集散地,容易滋生经济罪,也是抢劫、等罪活动的重要目标。目前,经济越是发达地区罪案件越多;(8)国际化风险。随着世界经济一体化,全球化和中国加入WTO,外资大量进入我国,风险在不断升温。如何防范和化解以上风险已经成为政府、机构和其他企事业单位,以及居民个人等各方面都必须认真研究的重大课题。
一是建立整体联动机制,确保内部控制贯穿于业务和管理的全过程。风险贯穿于整个经营活动的全过程和各个阶段之中,涉及方方面面。因此,每个业务部门要设置风险管理岗位,做到风险管理关口前移,实现对各个业务领域风险的“源头化管理”。二是建立风险预警机制,增加内部控制的前瞻性。应建立一套严格的、先进适用的风险预警机制,努力改变传统管理模式下风险判断表面化和风险滞后的状况,加强风险搜索的系统性和准确性,并对风险的波动趋势做前瞻性的判断,争取风险管理和内部控制工作的主动性。应从提高内部控制水平的战略高度出发,推进风险预警机制的建立,使之制度化、规范化、程序化。三是完善激励约束机制和考核评价体系,建立内部控制的长效机制。应制定专门的内控管理奖惩办法,对违规违章情节严重的,追究当事人和有关领导人的责任,扣发该单位当年目标管理中安全指标的领导者抵押金,或对主要负责人进行组织调整,包括调整岗位、降职等。对内控出色的员工,采取通报表扬、提拔任用、物质奖励等方式给予鼓励,树立典型,以点带面,从而达到教育一片的目的;相反,如果内控管理部门工作失职,不能及时地发现风险并做出反应,无论它事后如何进行质量评价或责任认定,对降低和化解风险的作用都微乎其微,所以对查而不实、纠而不严、惩而不力的单位负责人及有关人员要追究其相关责任。分应建立违规问题台账,落实违规机构和责任人,全面实现对各项检查查出问题的录入、查询、分类统计、问题整改的动态跟踪,为各级领导和管理者及时了解风险提供决策参考综合信息平台。
根据企业各个岗位的工作特点,制定明晰的岗位责任,建立具有相互制约特色的、科学的、合理的内部分工体系和经济责任控制机制。诸如对会计的核算质量和出错率、会计操作的规范性、信贷的贷款质量、贷款风险等情况实施定期或不定期的考核、打分评定,并将考评结果与岗位津贴、奖金等活工资挂钩,奖优罚劣。充分调动每个员工的积极性和创造性,进而创造一个既有相互制约,又有自我约束、人人自律、励精图治、争先创优的良好工作环境。
结合银行等企业工作实际,多渠道、多形式、多层次、多角度地开展有针对性、适应性的岗位培训和新业务、新知识、新法规等的专题讲座,开展岗位练兵,适时组织业务知识和技术比赛,组织法律、法规知识答题等活动。切实抓好政治思想教育工作,使员工树立正确的人生观、世界观和价值观,培养良好的职业道德,廉洁自律,不断提高政治素质和业务素质,做到品德高尚,业务过硬,敬业爱岗。形成一个人人关心、防范风险的群体风险意识,使机构内部控制贯彻落实到每个人,身体力行。
银行的各项业务活动最终要通过会计核算预以反映,因此,加强会计控制要从加强内部控制的重要防线人手。一是要加强会计监管的力度,配齐配足会计监管人员,落实会计监管责任,保证有足够的力量、足够的时间搞好会计监管,定期报告监管工作,真正实现财会工作自我约束、自我监督、自我管理和自我完善的有效机制。二是加强会计业务的事后监督,重点是从会计事后监督的内部进行审核,逐步向由内部审核和实行自动网络与外部对帐相结合,真正实现会计核算、手工与电脑的自动监管。三是会计人员要严格按照《会计法》办事。不能接受其他任何指令。会计凭证应严格按照会计要素编制并进行审核,会计记录、帐务处理及其经营成果的核算都要严格执行《企业会计财务制度》的准则要求,保证帐表资料成为会计活动的合法记载和真实的反映。
系统内部控制是一种自律行为,是为了完成既定的经营目标和防范风险,而对各职能部门的业务活动进行管理和制约的一系列方法、措施和程序的总称。健全完善的内部控制制度是业安全运营保障体系的基础,是我国业与国际接轨、参与国际竞争的需要。以银行业风险监管为核心的“巴塞尔体系”,始终包含着加强、改善内部控制的重要思想,特别是巴塞尔委员会1988年《关于统一国际银行的资本计算和标准的报告》及1997年《银行业有效监管核心原则》,将商业银行内部控制思想及要求具体化、系统化,并具有一定程度的强制倾向。人世后,我国银行业要融入国际体系,就必须遵守这些国际规则。我们与外资银行的竞争,是银行制度的竞争,银行文化的竞争,而在银行制度、银行文化中核心的内容就是内部控制机制。我国业要走出困境并在竞争中发展壮大自己,当务之急是用“拿来主义”,认真学习国际规则,老老实实向竞争对手学习。
[1]温显红.会计风险的防范与控制[J].企业经济,2003,(11)
首先,加强社会保险内控工作,是预防基金管理风险的重要措施。加强内控管理工作,通过系统方法和合理业务流程来避免各种可能存在的管理风险。建立科学的内部控制制度和合理有效的审核制度,有利于解决内控管理中的缺位和错位等问题,提高内控管理水平。其次,加强社会保险的内部控制建设工作,有利于提高经办机构执行力度和工作水平。从目前来看,在社会保险机构的内部,内控管理的功效和作用还没有全面的发挥出来,内控制度的建设工作还落后于业务的发展速度,同时内控管理的相关工作人员素质有待于提升,配置无法满足业务需求。此外,内控稽核监督也没有发挥真正的作用。面对这些存在的不足与问题,只有不断形成内控工作真正落到实处、有人管理与审查的工作局面,才能为提升经办服务质量提供重要保障,从而提升经办机构的工作水平。最后,加强社会保险内部控制建设,有利于对基金进行全程监管,保证基金安全。一直以来,审计工作重点的外部审计,主要的审计内容是针对企业缴纳社会保险的情况进行审计管理。但是很多情况下,内部审计对很多工作的重视程度还不够。例如,审核和审批各项社会保险待遇资格是否按照国家和省有关规定进行办理,业务流程是否符合相关规范,社会保险待遇的核算工作是否正确无误等等。因此,加强社会保险内控管理工作,贯彻落实内部控制制度,规范内控工作流程,有利于从内部杜绝基金的流失情况,保障基金安全,实现全面控制的管理目标,从而提高内控的管理质量。
从目前来看,普遍存在社会保险管理机构工作人员对内控认识不足的情况,缺少相关的内控管理观念,没有真正意识到社会保险内控管理工作的重要性。同时还缺乏社会保险内控管理的配备科室,很难科学有效的进行内控管理工作。
加强社会保险内控管理工作,制度是重要保障。然而社会保险内控制度的不健全,影响了社会保险内控管理的工作质量。同时,社会风险内控管理制度的不完善还会影响与实际工作之间的协调性,严重的情况下还会威胁社会保险的安全。
从目前看,社会保险的管理机构在运行时缺少积极性,忽视了内控管理的相关机构。同时,社会保险管理机构缺乏对自身内控管理的评估,无法看清自己的内部发展现状,从而很难有效完善内控机构的管理工作。
一方面,社会保险管理机构并没有实现在全省和全国统一开发信息系统统,各个地区独自开发信息系统,导致开发水平不同,信息资源也没有实现联通目标。另一方面,稽核内控数据共享工作不顺利,很难得到其他部门的稽核内控数据,从而导致内部控制管理工作相对落后。
在加强社会保险内控管理工作的过程中,要提高对于内控管理的重视度,提升工作人员的职业水平和道德素养。一方面,对于内控工作要给予足够重视。为社会保险基金提供安全保障,有利于保证诸多参保人员的切身利益和生活保障,由此可见,社会保险工作是人民群众重点关注的问题。社会保险的内控管理工作其实也是一种自律工作,提高对内控管理的重视程度有利于促进社会保险工作的顺利进行,同时对于社会保险风险也会实现防范和控制的目标。因此,要对社会社会保险内控管理工作给予充分的重视,将领导目标和工作内容实行责任制,真正地将工作责任落实到每个工作人员的身上。一旦出现问题,会第一时间找到责任人,防止懈怠工作和推卸责任等事情发生,提高工作效率和工作质量。要不断完善社会保险内控建设相关工作人员队伍,建立一支责任心强、专业水平高、工作技能好的优秀队伍。要对工作人员进行相关知识的培训工作和教育活动,提高工作人员的专业水平,为社会保险内控管理工作提供人才保障。另一方面,要不断提升工作人员的综合素养。在这一过程中,要对相关工作人员进行职业素养教育,提高他们的工作水平。同时还要对他们进行政治思想教育工作,提升工作人员的责任意识。此外,还要向工作人员普及有关社会保险基金管理方面的法律知识,增强他们的法律意识,树立遵纪守法的工作观念,并且要将这些作为重要的廉政教育内容,从而不断提升工作人员的综合素养。
为了有效进行社会保险内控管理工作,健全和完善相关制度与机制是重要内容。在建立内控管理制度的过程中,首先要明确科学和民主以及公开的决策内容,对于涉及的管理方面和经济方面等重要事情的决策环节,要严格按照民主集中制的原则来展开工作,然后由领导和有关部门的代表进行集体决策,提高决策的民主性和科学性。其次,综合采取内控管理制度的建立方法,健全业务流程控制机制、授权批准控制机制、风险控制、预算控制、会计控制以及信息技术控制等,以此来健全内部控制机制,为社会保险内控管理工作提供有力保障。最后,要明确对待授权审批制度,并对其进行不断的完善。要建立和完善授权审批体系,科学合理的规定授权的人员、授权的权限、授权责任、授权范围、授权程序等,提高授权审批工作的科学性和法治性。此外,还要建立相关工作人员的定期轮岗交流制度与不定期轮岗交流制度,尤其是关键岗位要实行任职回避制度。由此可见,健全和完善社会保险内控管理的相关制度和机制是重要内容,为社会保险工作的顺利进行提供了重要作用。
在加强社会保险内控管理工作的过程中,不仅要健全相关内控管理制度与机制,还要不断加强对社会保险内控管理工作的监督力度。首先,为了进一步完善社会保险工作的数据管理制度,要严格分析和检查经办机构向上级行政部门提交的相关业务数据以及工作报表,确保其数据的准确性和可靠性。同时,面对出现问题的数据要进行及时的改正,并向上级反馈,真正发挥数据管理系统的监督功效和管理作用。其次,要明确分工社会保险各项业务的工作性质和工作内容,并制定详细的计划和工作规程。要保证每一项工作事项的初审制度和审核制度以及审批制度都有不同的工作人员来进行完成,实现保险业务的复核和监督。最后,社会保险管理机构要提高对内部的管理水平和监督力度,规范相关工作人员的行为,提高内控管理的建设水平和执行力度,从而形成自我管理和自我预警以及自我约束的工作机制。此外,还要有效防范社会保险基金的运行风险,遇到问题要及时解决,保证基金的安全性和完整性,从而促进社会保险内控管理工作的健康有效进行。
为了提高社会保险内控管理工作质量,加强信息系统建设和信息共享工作非常重要。一方面,要不断加强信息系统建设,并在其中融入风险预警提升功能和检查监督管理功能以及权力制约管理功能等。因此,首先要建立健全和完善勾稽条件库。在这一过程中,运用信息系统之中的勾稽功能,在业务办理的审核环节中有效地将风险拦截。随着社保政策的不断变化,勾稽条件的设置也要随之进行不断丰富和更新,顺应政策的发展趋势。其次,要建立业务风险点检验方法库。在进行支付数据传输的时候,需要对批量结算数据进行风险点检验,通过检验之后,结算的数据才能转到财务支付过程中,完成批量支付工作。在面对有问题或者可疑的数据,系统要自动终止数据流转,并发出预警信号,然后将这些数据发送到相关审查部门进行仔细核查,对出现问题的数据进行修正,避免其它问题出现。最后,要建立和完善跨地区的稽核内控信息平台,将内控监督工作数据信息进行有效共享,提高对社会保险的监管效率。另一方面,要加快社会保险信息资源共享建设工作。在这一过程中,要将社会保险的管理机构与民政机构、公安机构、机构、财政部门等相关部门以及全国社会保险管理机构之间的信息实现联通,促进相关信息共享进程。同时还要及时传输关键的数据信息,提高数据信息的及时性和全面性,推动社会保险信息共享的顺利进行。
⑴产权不够明确。目前很多高校对风险的管理意识很淡薄,有关法律条文中明确规定“高校自成立之日起取得法人资格,享有民事权利并承担相应的民事责任”,但只是相对于所有权归属于国家,高校仅拥有使用权与经营权,从而缺乏风险意识和法人意识,认为政府无论如何不会让高校破产,继而缺乏风险管控的动力。⑵内部控制环境不完善。内部控制环境作为高校内部控制体系的基础,在推动高校整体工作运行上起着至关重要的作用。目前,虽然我国大多数高校已经建立起了财务管理的内部控制体系,但是具体的实施状况却不尽人意。很多高校在编制预算时,财务部门仅凭经验核定支出,计划与实际核算严重脱节,标准的制定也不科学,甚至有一部分高校在遇到相关部门检查时找各种不正当的理由逃避,使内部控制制度难以达到预想效果。⑶资金来源多元化。除了国家财政拨款以外,高校还可以通过学费收入、校办企业经营收入、培训费,社会捐赠款项及“银校合作”等方式筹资,进一步加强高校的硬件和软件建设,确保资金能合理正确使用,为社会主义现代化教育体系服务。
政府不仅是高校的监督者,更是其支持者,其融资环境相对来说较为宽松,“银校合作”使得各级各类高校都开始积极举债进行校园扩建,高校大额的贷款渐渐引起了社会各界与政府的广泛关注。而高校作为特殊的单位性质,国家需要对其进行贷款担保,受传统管理理念及运作模式的影响,无疑增加了国家与高校之间潜在的财务风险。并且,银行在贷款审批过程中,对于性质特殊的行政事业单位,没有规范一套严格的贷款制度,仅从信用贷款方向进行巨额的贷款,更有甚者,对于高校高昂的巨额贷款,贷款银行与高校以学生学费存储的利息收入为贷款的补偿,一旦出现债务危机,不仅是高校,国家也要承担巨大的责任。
基于以上对高校财务风险成因的分析,内部控制的管理是导致高校财务风险存在的主要原因。内部控制是一个由多要素构成的概念性框架,其中一个环节缺失就会造成整个系统瘫痪。本文在借鉴COSO报告框架理论的基础上,结合《行政事业单位内部控制规范(试行)》所颁布的建议与要求,对企业与公共性非营利的行政事业单位在本质上的相同点与不同点进行对比分析。从而,总结出高校特殊的内部控制环境特点,并为高校内部控制与财务风险管理的结合提供可行性依据。从社会利益关系角度,由于高校办学筹资的多元化,在资金运营的过程中,高校与国家、政府、企业者和内部管理者之间存在一定的社会利益关系,在一定程度上受到了制约影响。而内部控制也是对人的各项活动的管理,如高校的教职工的行为是否符合学校规章制度,对于申请项目与科研经费使用是否遵守相关规定,财务人员的工作执行是否符合相关财务制度,管理层对于项目的授权审批是否具有合理性等均是内部控制监督管理的范畴。因此,提高教职工工作的积极性,培养其财务风险的防范意识,是完善高校内部控制的关键所在。在财务风险管理的过程中,也要运用一些内部控制的规定。对于非营利性的事业单位,虽然高校在内部控制的设立方面与企业有相同的地方,但是还有很多本质的区别:(1)目标:内部控制的目标实现利润最大化。而高校的非营利性决定了它的财务风险管理目标是保持资产的安全和完整性;(2)控制程度:高校的日常核算业务不涉及税收和成本费用的核算问题,因此,高校财务报表真实性较高,从而意味着高校对于会计信息的利用率较低;(3)资源使用:高校为了知识的进步与创新,长期重复购置资产、资产闲置等造成的资产使用率低与严重的资产配置不合理。因而,对于高校内部控制制度的设立,不能完全照搬企业内部控制的结构框架。
参考企业的内部控制框架,并结合高校自身的特点,将高校的内部控制划分为三个层面:管理层面、执行层面、监督和反馈层面。
管理层面是为了构建健康的高校环境,高校应将内部控制管理制度作为高校管理的重要部分,引入现代企业的管理理念,构造决策分析、执行落实和监督检查彼此分离又互相制约的内部治理机制,确保高校内部决策的科学性和高校财务管理工作的良性运转。高校管理层要进行完善的民主建设,广泛地征询教师与其他相关人员的意见,做到各项决策的合理性与完善性,在一定程度上避免高校对资源使用与建设的盲目性,降低财务风险。为了防止管理人员权利的滥用,要进行管理层行权的监督,建立健全的授权审批管理制度,例如,高校会根据不同项目不同的金额范围进行授权审批管理,假设对于5万元以内的会有相关部门负责人进行审批管理,5-10万之间的项目由财务主管进行审批管理,对于10万元以上的项目就需要校长及各部门层层审批管理,并且对于每个项目的审批管理建立检查制度,对资金的使用情况进行实时的反馈与记录。
执行层面主要负责内部控制制度的具体操作和执行,包括资产管理制度、教学科研控制制度、财务管理制度以及财务风险的监控和预警。目前,高校频频出现资产管理不当的问题,最为常见的现象是高校基础建设与科研项目存在资金使用与执行进度控制失当的问题,直接导致效率不高、项目进度严重滞后、预定工期无法保证等问题,给学校其他工作地正常推进埋下了财务隐患。完善的教学和科研制度有助于增加高校内部资金来源,提高高校的核心的创新力与竞争力,一定程度上降低了高校的借贷风险。对高校的债务风险而言,建立措施风险转移机制有助于高校管理者调动社会各方力量,减轻高校的财务压力,优化高校的资本结构。需要设立一套完善的财务预警系统,来及时监控可能出现的财务风险。
对高校的监督和反馈主要分为两部分:内部监督和外部监督。国家要不断强化高校预算与财务管理,进行适当干预和引导,更重要的是高校自身也必须借鉴外部审计机构的审计控制机制建立健全自身内部控制制度。因此,外部监督应该真实报告高校内部控制中存在的问题,从而有效弥补内部监督的不足。对于高校内部监督管理部门,应结合外部监督体制,提升内部控制监督的力度,建立起经济责任制度,谁管理谁承担,加大对内部监督的警惕性,防止财务舞弊现象。同时加强内部审计监督,不再局限于查账,更要向管理审计或是风险审计导向等方面拓展。由于法律环境、行业竞争环境的变化以及高校在办学资金筹集、教育经费使用等方面自的提高,高校的财务管理已由过去的无风险管理逐渐转变为现在的风险管理,关注高校日常运行中的内部控制影响,已成为高校财务风险管理的核心。因此,内部控制框架体系的完善在管理高校资金、降低财务风险中所发挥的重要作用也将被提升到新的高度。
[1]赵渊贤.治理机制与内控有效性及企业风险研究[M].北京:中国市场出版社,2015.
在1992年《企业内部控制――整体框架》报告的基础之上,结合《萨班斯――奥克斯利法案》(Sarbanes―Oxley Act,以下简称萨奥法案)的相关要求进行扩展研究,美国科索委员会COSO在2004年正式《企业风险管理――整体框架》,指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更广泛的管理概念和工具。”该框架对内部控制的内涵进行了扩展:监督成为企业风险管理的要素之一,对企业风险管理进行监督以确定企业风险的运行是否有效,监督对象在目标、方法、内容等方面进行了扩展,但仍然遵循了内部控制监督的基本原则和方法。COSO委员会于2009年1月了《监督内部控制系统的指南》(Guidance 0n Monitoring InternalControl Syslems,以下简称监督指南)。该指南以风险导向为核心理念,以将监督有效地植入公司的持续控制过程为根本目标,从而能最小化内部控制失败,并提高决策所需信息的可靠性,它在实质上推动了内部控制监督要素的应用性发展。我国自2009年7月1日起施行《企业内部控制基本规范》,也强调了风险管理。
但是,很多研究结果表明,当前的内部控制框架有一定的局限性,尤其是对风险管理的强调不够,使企业的内部控制与风险管理无法有机结合,所以应该加强基于风险管理的内控。
1.内部控制理论。内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督。
内部控制理论是内部控制框架和标准制定的基础,在整个内部控制体系中起基础性作用。在我国,吴水澎,邵贤弟,陈汉文(2000)、杨雄胜(2005,2006)、潘琰,郑仙萍(2008)、毛新述,杨有红(2009)等从不同的视角对内部控制理论进行了探讨。谢志华探讨了内部控制的本质和结构,陈关亭讨论了企业内部控制的假说。
2.风险管理理论。(1)风险的概念。人们在特定客观条件下和特定时期内,对于某一事件或行为产生的预期结果与实际结果之间的差异程度就是风险。这种差异程度在本质上体现了预期主体之间的价值调整。(2)风险的特征。风险的主要特征包括:风险是客观存在的,风险是相对且可以变化的,风险是可以预测的,风险在一定程度上是可以控制的,风险损失与风险价值的对立统一性。(3)风险管理理论。风险管理是企业在识别风险、分析风险、衡量风险的基础上寻求有效控制风险的途径,并用最经济合理的方法来处置风险,以实现最大安全保障的科学管理方法。
企业风险管理的目标是通过对企业的风险进行控制和管理,尽可能使得某一风险事件或行为造成的损失比预期小,创造的价值比预期大,即风险溢价最大化。设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。企业风险管理目的在于企业同标的实现,保证股东财富的最大化。
内部控制与风险管理并非平行的关系,应该说内部控制是风险管理的一个重要组成部分,而风险管理则是内部控制的发展和延续。内控主要是针对常规性风险,风险管理主要针对非常规性风险。
理论界和实务界对内部控制与风险管理的关系观点不一,目前具有代表性的三种观点是:内部控制包括风险管理;内部控制就是风险管理;风险管理包括内部控制。
1.内部控制包括风险管理。COCO的报告认为,风险识别、风险评估、风险应对、风险监控是企业内部控制的关键要素。CICA(1998)阐明了风险管理和内部控制之间的关系,即内部控制包括风险管理。
2.内部控制就是风险管理。Blackhum(1999)认为风险管理与内部控制仅仅是人为的分离,在现实的经营活动中,两者是相同内容的不同表达形式而已;Matthew Leitch(2004)认为,理论上风险管理系统和内部控制系统没有实质上的区别,随着这两个概念的内涵不断外延,两者正趋同一致,即内部控制就是风险管理。陈关亭(2005)认为风险管理与内部控制并不是包含关系,而是完全等价的。
3.风险管理包括内部控制。美国科索委员会COSO于2004年正式的ERM--IF表明了内部控制是风险管理不可分割的一部分。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。2009年的《监督内部控制系统的指南》也体现出了类似理念。通过分析,笔者倾向于第三种观点,认为风险管理的范围大于内部控制,且二者逐渐在融合。原因主要在于:(1)按风险管理和内部控制的发展进程来看,内部控制早于风险管理;(2)COSO于2004年9月正式颁布的ERM--IF指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个比内部控制更为广泛的管理概念和工具。”所以,在当前大力提倡建立完善的内部控制的大环境下,必须要基于风险管理来开展。
根据上述分析,企业风险管理和内部控制融合关系框架如图l所示。从图中我们可以看出:内部控制、风险管理之间的关系非常密切。因此,必须把这两者融入企业日常的经营管理之中,充分考虑在实现企业战略目标过程中的风险,并针对风险采取有效的措施加强内控控制。
企业实现管理目标的前提是防范风险,防范风险的内在机制在于内部控制。目前,我国内部控制制度及实施情况仍然比较落后,还存在着许多问题。
1.风险管理与内控脱节。一些企业由于风险问题而损失严重,甚至倒闭,不是因为没有内部控制体系、风险控制制度,而是根本就未有力执行,公司治理控制没有很好地发挥作用,治理层风险意识单薄,人员职业道德偏低,从而未起到强有力的制衡作用,导致管理层无视企业的制度,按自己的意图肆意妄为。这有待于通过改善公司治理结构、强化外部监管来强制企业按制度办事,并针对违规行为制定严厉的惩戒措施来逐渐改善,使得风险管理与企业的内部控制有机结合。
2.企业缺乏良好的风险管理及控制环境。我国企业对风险管理的重视程度不够,普遍缺乏足够的风险意识和风险管理文化,企业及高管很少具备进行风险管理所需要的科学知识结构,企业存在的环境是风险管理的基础,为其他要素提供合理的氛围。在实践中,内部环境受企业历史
和文化的影响,具体包括企业员工的道德观和胜任能力、员工的培训、管理者的管理风格和经营哲学、企业文化等。在风险管理过程中,治理层、高管层和基层必须保持高度的风险意识和遵守业务工作流程,因为在风险面前,任何一个疏于坚持原则的行为或判断,都很可能导致控制失败,给企业带来巨大的损失。我国很多企业发生风险管理失败的重要原因之一是缺乏高度的风险意识和坚定的原则操守,这很大程度上是由于缺乏关注风险管理的企业文化等内部环境。制度规范、市场等企业生存的外部环境也是影响风险管理和内控实施的重要因素。
3.监督机构不健全,独立性不强。要确保内部控制制度被切实地执行且执行的效果良好,必须有良好的监督约束机制。内部审计机构在其间发挥着重要的内部监督作用。为此,审计署颁布了《关于内部审计工作的规定》,批准公布了《内部审计准则》,以加强内部审计在内控中的监督作用。由于内部审计机构的独立性及监督能力受到管理体制、外部干预等多种因素的影响,所能发挥的监督作用有限。许多企业的内部审计部门形同虚设,不独立于企业的其他部门,不具有监督所应有的权利和地位,内部审计人员的素质参差不齐,有些企业的内部审计人员甚至不具备最基本的财会知识,因此,行使监督职能时就会力不从心,不少企业的内部审计仅仅流于形式,大多数不能发挥其应有的作用。
4.缺乏有效的风险评估体系。目前我国企业内部控制评价主观性大、评价标准不统一、风险评估体系不完善,没有形成一套有效的风险评估体系对风险进行评估。对风险的识别和衡量更多的是依赖经验,模型分析和量化分析较少,找不到关键控制点,这导致企业风险管理及控制徒有虚名,给企业运营带来严重后果。
5.信息和沟通渠道不畅通。企业的各个部门,以及企业与外部不能进行有效沟通,不能及时获取有用信息会妨碍风险管理和控制。尤其是在当前信息化和网络化快速发展的时代,会导致很多信息的流失,这都会导致风险管理和控制措施不能有效地实施。
1.强化风险管理在我国企业内部控制中的核心地位。随着我国制度和规范的健全,我国企业的内部控制不是缺乏制度和政策。而是缺乏让制度得以执行到底的风险措施或流程。工作流程的根本任务就是将技术和人有效运作在企业组织之中,从而推进企业的技术性(技术、标准、程序、结构等)和社会性(行为规范、企业文化、激励和约束机制等)发挥整体绩效的功能。企业在制定工作流程时可以将企业的制度和执行人有效地衔接起来,从而增加工作的价值,提高工作效率,并能减少错误降低风险。所以,在当前必须要强化风险管理,否则有效的内控也难以实现。
2.完善良好的企业风险管理和内部控制环境。企业环境通常包括企业文化、治理结构、人事政策、权利和责任的分配、外部影响等,其中企业文化是核心竞争力的核心要素。完善企业环境可以从以下方面努力:(1)建立健全组织结构。组织结构提供了企业活动的筹划、执行、控制以及跟踪检查的框架,它包括权责范围以及管理层次。各组织机构的人员配备要注意职责划分。(2)加强人力资源管理。培养风险管理专业人才队伍;提高每个员工的风险控制责任感和敏感度,尤其是高管层;大力培养员工的职业道德和职业操守。企业内外经济环境和社会环境发生变化时,企业文化也应该不断的完善、调整和升华,从而适应新的环境、条件和组织目标,保证企业文化充满生机和活力。
3.健全企业风险导向下的内控监督机构。有效实施内控,要做到有效监督。监督要以风险为导向,把焦点放在评估那些应对重大风险的控制。监督应该要建立在对企业目标风险的分析以及对控制如何能够或不能够应对或减轻这些风险的理解基础上,在整个监督流程中需要始终贯穿风险导向原则。健全企业的内部审计监督机构要做到:1.进一步提高内部审计的独立性,保证审计的客观性和公正性;2.推进审计内容由财务审计向管理审计转变,管理审计可以优化企业的管理流程和提高企业的内部控制水平;3.审计时点要重视事前和事中审计而非仅仅事后审计,做到对整个过程进行审计,线.严格执行审计决定。审计决定是对具体审计项目的总结,在经过企业领导批准后应及时送达被审计单位执行,被审计单位应严格执行。这样内部审计监督机构可以及时、准确、客观地发现和反映项目、业务合作、资产处置、财务状况分析等环节中存在的问题,更重要的是能提出具有可行性的审计意见和建议,为解决问题提供决策依据。
4.完善企业的风险评估体系,建立风险动态评估机制。控制和风险的概念紧密相关’风险评估是进行内部控制的依据。完善企业风险评估体系应遵守的原则是:定性与定量相结合原则、成本收益原则、重要性原则、全面性原则、有效反馈原则和灵活使用原则。风险评估主要报告筹资风险、风险、信用风险、合同风险。企业应在立足于自身情况的同时,构建恰当的评估模型,按照一定的风险评估过程进行评估,基本过程如图2。
风险评估体系确立了企业各种行为的边界,明确了什么可以做,什么不可以做。如果发现有越界行为,要能及时发现并对其进行控制,把损失降至最低。而且,在评估过程中要做到根据具体的情况,实时评估,建立动态评估机制以此反映不断变化的新情况。
5.建立广泛、全面的信息和沟通系统框架(1)信息系统。信息系统处理企业内部信息和外部信息。通过管理信息系统,企业内部的员工能够清楚地了解内部控制制度,知道其所承担的责任,并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。一个良好的信息系统+应有助于提高内部控制的效率和效果。企业应按控制系统的需要识别使用者的信息需要,在此基础上收集、加工和处理信息,并将这些信息及时、准确地传递。(2)沟通。企业的信息系统提供有效信息给适当的人员,通过沟通,使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。
对内部控制与风险管理二者之间关系的讨论,学术界和实务界对二者的认识没有达成一致。因此,本文将从理论争鸣、历史发展等方面厘清二者的关系。
了解内部控制与风险管理的概念是分析两者关系的第一步。对于同一术语,不同的机构有不同的认定,而对于同一认定,不同的学者也会有不同的理解,因而形成了对于内部控制与风险管理关系的不同观点。
这一观点是由CICA(1995)提出来的。CICA从自身组织对控制的定义出发提出了“内部控制包含风险管理”这一观点。
CICA认为,“控制”一词比传统的内部控制具有更为广泛的含义,控制是一个组织中诸要素的集合体,包括资源、制度、过程、文化、结构和任务,这些要素结合在一起,支持该组织实现其目标(包含经营的效果和效率,内部和对外报告的可靠性,适用的法律、法规及内部政策的遵循性,使命、愿景和战略目标)。
这一观点的提出者是在对COSO内部控制与风险管理框架理解的基础上提出来的。谢志华(2007)提出:《内部控制———整体框架》升级为《企业风险管理———整体框架》,之所以能够发生这种转化,根本原因在于内部控制的最终目的就是为了控制风险,从语义上说,内部控制就是控制风险,控制风险就是风险管理。
内部控制是风险管理不可分割的一部分。COSO(2004)中明确指出:风险管理包含内部控制;如前所述,COSO认为风险管理由八个要素组成,内部控制由五个要素组成。显然内部控制包含在风险管理之中,内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。
上述三种观点揭示了内部控制与风险管理之间确实存在着联系,也决定了两者之间必然有着共同点。因此,应从内部控制与风险管理的起源与发展来看两者的本质。
(1)内部控制的起源:20世纪40年代以前是内部牵制阶段。在当时相对确定的经济环境和相对简单的契约产权关系下,财产所有者面临的主要风险是财产物资收支和保管过程中的失窃风险。为了保证财产物资在实物上的安全与完整,人们设计了支出钱财由两个不同岗位的人分别进行记录、核对的程序。这就是内部控制最初的思想——内部牵制。(2)内部控制的提出和深化:内部控制作为一个专门的术语是基于审计实践的需要,1936年,AICPA在其的《注册会计师对财务报表的审计》文告中,第一次明确地提出应考虑审查“内部控制”的要求。
(1)风险管理的起源:传统的风险管理关注可保风险的管理,现代公司风险管理起源于保险业,20世纪70年代之前,各种组织主要是通过保险来管理不确定性,以应对各种灾难。“风险管理”一词最早出现在20世纪60年代早期,当时使用“风险管理”一词是为了将风险评估、管理与简单的购买保险区分开来。(2)风险管理的发展:20世纪40年代到70年代,在内部牵制思想的基础上逐渐产生了内部控制概念。同时在这一期间,美国一些大公司发生的重大损失使公司的高层决策者开始认识到风险管理的重要性。在那时,风险管理开始成为企业管理的一个重要组成部分,主要涉及的是对企业纯粹风险的管理。在后来的发展过程中,绝大多数公司仍只关注主要风险和可保风险的管理,全面风险管理的思想还是一个相当新的事物。20世纪末,随着大型企业特别是巨型跨国公司面临的风险日趋多样化和复杂化,开始出现了将企业的所有风险,包括纯粹风险和财务风险综合起来进行管理的需要。这种需求使得在历史上不同时期,并沿着两条不同轨迹发展起来的传统风险管理和财务风险管理终于结合在一起,形成一个崭新的概念——全面风险管理。(3)风险管理的深化:2004年9月,COSO委员会颁布了《企业风险管理———整合框架》的报告。风险管理被定义为一个设定目标、识别风险、评估风险、应对风险并在应对风险的过程中动态地进行风险识别和评估的一个整体的综合过程。由董事会的风险管理委员会确定内部环境中的风险管理文化和风险偏好;董事会与经理层设定包括战略目标及其他相关目标在内的目标体系,在设定目标时,要考虑企业的风险容忍度、风险偏好以及事项识别环节所确定的机会;确定了目标,企业就要考虑其所面临的内部因素和外部因素,并识别可能带来潜在不利影响的相关事项(风险)。
企业的内部控制,是企业提高综合竞争力的基本保障,同时也决定了一个企业的生存与发展,良好的内部控制能够降低经营风险和风险带来的损失,企业要想在日益激烈的竞争中立于不败之地,一个健全的内部控制制度是必不可少的。
在我国,很多企业内部控制管理存在着很大的问题,环境的控制常常被管理者们忽略,外部环境对企业的内部控制造成巨大的影响,企业的管理者们并没有顾全企业的整体运作,将企业内部控制授权给会计部门,导致内部控制管理无法正常运行。
对于风险控制,我国大部分企业存在这么一个现状,企业风险控制主要运用在企业管理人员以及全体员工的控制管理,而忽视了对企业高层管理者的控制,对高管们缺乏束缚力,以至于高管们常常出现工作错误,给企业造成严重损失,无效的内部控制管理,使得企业无法应对这些高于内部控制的风险。
在企业风险管理中,很多企业还处于风险管理水平低、手段落后的状态,例如,有些企业管理者在管理企业过程中,只重视短期利益,关注于企业当前利润,却忽视了良好的风险管理带来的长足利益和持久发展,在一些中小型企业中,聘用的管理人员并没有达到一定的管理水平,风险意识差,管理手段落后,对即将到来的风险不能及时预测并采取防范措施,从而给企业带来巨大经济损失。
在企业的风险管理中,很多企业没有一套完善的风险管理信息系统,由于不能及时掌握风险相关的数据信息,无法准确地对风险进行识别、评估和应对,使企业在预测和防范风险方面处于被动地位,不仅影响企业的日常业务运行,还大大降低了企业竞争力。
一个企业,只有对经营风险和财务风险进行识别,才能够从容应对公司风险,完善风险管理控制机制的同时,企业应该就风险识别建立风险预警机制,监控企业财务数据,同时成立相应的风险管理部门来对公司总体风险进行控制管理。再者,良好的风险管理理念也是企业进行风险控制的重要基础,风险管理理念是企业对风险的整体认知,它需要企业的全体员工对风险管理有正确的认识,并努力提高风险管理意识,使企业及时防范经营风险。
企业要进行风险控制管理,就要先建立起科学的内部控制制度,首先作为企业管理层,要提高自己的危机意识、风险意识和内部控制管理意识,加强内部控制管理,企业应该结合自身规模和日常业务特点,建立一个符合实际、行之有效的内部控制制度,在整体管理上运用科学的管理手段,规范内部控制管理。
所谓众人拾柴火焰高,在实行内部控制制度时,不仅是企业管理层,更需要企业全体员工的参与,使企业员工在整体上了解公司内部控制制度的内容和运作情况,才能及时发现内控制度中存在的缺陷并提出不同的改进方案,有效避免了制度缺陷给企业造成的损失,企业员工在参与内部控制评价制度的同时,增加了自身责任感,也加强了企业凝聚力,成为推动企业迅速发展的强大动力。
定期进行控制测试和制度考核,能有效检验内部控制管理制度,企业需要建立相关的内审部门,通过定期的内部测试发现内控制度中潜在的问题,并根据测试结果进一步优化内控制度内审部门在考核时,应对存在风险做重要性评估,对企业的所有业务流程进行测试,为了强化内控制度考核,需要实施员工奖惩制度,对能出色完成内控工作的员工给予一定的奖励,对工作不负责的员工要给予严厉的惩罚。IM电竞 IM电竞平台IM电竞 IM电竞平台IM电竞 IM电竞平台
