IM电竞 IM电竞平台IM电竞 IM电竞平台企业的财务风险主要可以分为四大类型:一是内部风险;二是外部风险;三是税收风险;四是风险。本文主要针对企业的内部风险进行了具体的分析,一旦企业财务内部控制制度缺失,则必然会导致较大的内部财务风险的出现。通常来说,企业财务内部管理的主要风险点表现为三个方面:一是预算,预算即为计划,一旦预算不够精确则必然会导致企业后期经营活动运行不善;二是运营资金调度,在企业的财务管理中,运营资金调度是一项即为重要的任务,一旦对其管控不到位,则极易导致企业资金链产生问题;三是财务政策安排,财务政策在一定程度上能够直接决定企业的财务状况。
对于现代企业而言,保证财务信息的安全具有十分重要的意义,其是降低风险的重要措施。对此,相关企业必须重视财务管理中的内部控制问题,根据企业自身运营情况,有效整合、构建合理的内控制度。例如:企业应构建完善的财务计划管理系统、财务监督体系,从而实现对财务活动的有效管理,形成规范化的会计体系,有效保护财务信息安全,降低财务风险。
在企业的发展过程中,构建良好的财务内部控制体系有利于控制运营成本,从而实现企业经济效益的大幅提高。对于企业而言,其财务管理的基础即为会计归集、核算,因此报表数据的真实性直接影响财务分析的准确性。此外,企业的一系列的经营活动均会反映在财务数据上,因此是否构建完善的内部控制制度,是否实现了对采购、销售、报销等业务的有效控制,直接影响到企业成本的合理管控。对此,必须重视企业财务管理中的内部控制工作,有效提高企业经济效益。
对于企业而言,若是缺少一定的内控制度,无论是其管理干部还是基础员工均会存在一些腐败行为,从而影响到企业的健康、稳定发展。对此,企业必须重视企业财务管理中的内部控制构建的作用,通过建立科学的财务信息公告制度、监督制度,有效控制物资采购、存储、接收等一系列的流程,使得企业的资产更为安全,避免财务人员出现违规操作导致企业资产受损,进一步营造出一种公正、廉洁的工作作风。
首先,企业的管理人员必须认识到财务管理风险防范的重要性,强化风险分析以及控制意识。其次,相关管理人员还需明确财务管理中内部控制制度的建立对于风险管理的重要作用,其应树立现代化的管理理念,通过构建完善的内部控制体系,进一步实现会计人员的规范化工作。在实际工作中,应邀请专家对企业管理层及一线员工进行讲课,宣传内部控制意义所在,使得每一名员工都能够认识到内部控制与财务风险管理的重要性,并能够将其融入自身的日常工作中标,例如:普通员工因具有较高的监督意识,在工作中自觉监督财务人员的行为,从而进一步确保财务信息的真实、准确性,以确保企业决策的科学性;财务人员能够意识到自身工作的神圣使命,并具有较高的责任感,保证每一步工作的科学、有序。
企业财务风险评估体系主要分析的是企业内部控制实施情况和影响内部控制目标实现的因素,在明确主要影响因素后制定针对性的处理方法。因此,在内部控制系统中,财务风险评估体系的建立具有十分重要的意义。具体来说,企业财务风险评价体系也可以称为企业财务风险评价指标体系,其主要可以分为两大指标:一是财务指标;二是非财务指标。其中,财务指标主要指的是对企业财务和经营情况的评价指标,当前使用较为广泛的有四种指标:一是营运能力风险评价指标;二是偿债能力风险评价指标;三是盈利能力风险评价指标;四是成长能力风险评价指标。总而言之,该系统的应用有利于实现企业内部数据的周期性评价,从而为企业财务的内部控制提供科学依据,最大限度地防范财务风险。
在企业的财务内部控制中,预算管理是一个十分重要的内容。首先,企业的管理人员必须重视预算工作,合理确定财务预算目标,并从现金流量、利润等多个方面出发,做好各个方面预算工作,提高企业预算可行性。其次,对于管理结构而言,其必须明确自身的职责所在,明确预算目标以及管理权限,遵循“上下结合、逐级汇总、全员参与、分级编制”的原则,开展预算管理的编制工作,确保其能够有效落实到各个部门中。
在企业的财务内部控制中,应根据具体情况制定合理的资金使用制度,强化资金控制。特别是部分大额资金的收支,必须得到企业领导和财务人员的广泛重视,对此可采用领导联名签字的制度,提高资金使用的安全性。在进行支出资金时,需明确资金使用责任人,避免出现滥用的问题。除此之外,企业应严格按照战略发展需求制定相应的投、融资计划,避免出现盲目的现象,最大限度地减小企业资金利用风险,确保其使用安全。
在企业财务管理过程中,审计监督的主要作用在于检查内部控制制度的执行情况。当前,随着我国市场经济的发展,内部审计已经由财务审计逐渐转变为了经营审计,其不仅要求检查企业财务数据的真实性、完整性,还要确保企业资产活动的合法性。从目前的实际经验看来,在企业生产经营的一系列活动中,审计监督发挥着越来越重要的作用,也得到了越加广泛的重视。
在财务内控管理的过程中,必须合理设置相应的财务工作岗位,确保每个岗位都有明确的责任与权限,对于部分不相容职务,应坚持分离原则,避免出现权利滥用的现象。对于企业而言,必须根据实际情况构建相应的财务管理权力制约制度,确保批准和执行工作分离、执行和审计监督工作分离,实现各个岗位的相互牵制、相互监督,进一步提高财务管理的科学性。此外,随着信息时代的到来,信息技术逐渐被广泛应用到了企业财务管理中,对此企业必须重视财务管理数字化平台的构建,其不仅有利于提高企业财务管理的效率,还有利于实现部分信息资源的有效共享,确保财务信息的准确、有效。
改革开放以来,我国经济取得了较为快速的发展,各个行业都取得了较大的进步。在我国加入WTO之后,企业面临的国际化竞争越来越强烈。目前,我国正逐步推进经济体制改革,在此背景下,企业发展面临的机遇会有所增加,同时面临的风险因素也不容忽视。如何取得更好的发展,现已经成为企业发展中亟待解决的问题。然而,企业要想得到稳定发展,必须要在内部控制上下功夫,并对企业资金风险有效把控。企业在提升内控能力,加强资金链安全把控时,不仅要求企业领导者做好策划工作,还需要企业内部各个部门相互配合,从而完成对资金风险的有效把控。
作为企业全面管理的组成部分,企业内部控制管理的开展,可以帮助企业完成既定目标,避免企业在发展过程中出现资金链断裂等问题,同时能够促使企业掌握的会计信息,能够对企业所面临的真实问题,做到准确反应,帮助企业在完成规定目标的同时,使其有效性得到明显提升,使企业能够取得更好的发展。通常来讲,企业在开展内部管控过程当中,会从五个层面入手,依次是环境控制、信息沟通、检查监督、活动控制与评估风险管理等。对于企业发展来说,内部管理的实施,至关重要,不仅能够使企业管理工作得到有效开展,还能够使企业适应市场竞争,继而在竞争中取得有利地位,在关键时刻,做出有效的决策,这种内控管理的实施,还可以使企业更好地完成对内部资金流的管理,使企业对采购、销售各个环节,都能够做到有效把控,从而使企业资金链管理更为健康、安全、稳定、可靠。同时,内部控制管理的实施,还能够促使企业管理者制定有效的企业经营方案,并促使其得到有效实施。
企业内部管理的实施,对企业资金风险防范起到十分重要的作用,然而,目前企业在内部管理工作开展时,仍存在较多问题。
1.企业在内控管理缺乏动力为使其得到良好的运行,企业在经营与发展过程中,会通过制定规章制度来使其得到有效约束,从而实现内控管理。在规章制度制定时,企业领导者为了避免过多的制度束缚行动,其在制定时,便不具有内在动力,这样便使得内控管理难以有效进行。2.企业管理者内控管理观念落后对于企业管理者来说,都会明白内控管理的重要作用,却落实不彻底,因此大多数管理人员认为自身控制能力还不错,因此不想借助内控管理来约束自己,认为会加大工作量。这种意识上存在的问题,将会导致企业的内控管理沦为一种形式,很难在实际中得到有效运用。3.执行与监督独立性差目前,很多企业在实施内控管理时,均交给财务部门负责,从而使得财务人员不仅是执行者,也充当着监督者的身份,从而使其在工作开展中,工作内容并不独立存在。然而,内控管理工作在开展时,应当由第三方单位来实施监督,从而使得财务管理更为真实可靠。执行与监督交由一个部门来负责,必然会造成执行过程不严格,造成财务信息存在缺陷,使得企业财务存在风险,甚至带来更为严重后果。
对于企业来说,其资金风险一般由两个因素造成的。一是外部因素,包含外部市场环境变化与政策变化导致的风险因素;二是内部因素,一般包含三点,具体如下:1.企业盲目进行企业经营的目的是为了追求利益最大化,而很多企业在追求利益时,往往对所要的方向考虑不周。例如,一些企业会盲目来扩大规模,觉得规模上去了,便可以抵御更多的风险。然而,现实情况是很多企业因为盲目造成自身财务风险的出现。2.融资错误造成企业面临资金风险企业在融资时,由于对自身情况评价不当,使得企业内控管理工作开展不到位。另外,企业在融资时,由于各个部门未积极配合,从而使融资形式出现错误,便会造成企业资金面临紧张状态,继而导致企业资金风险的出现。3.企业内控管理不到位企业管理者观念跟不上时代步伐,风险意识落后,都会造成企业在开展内控管理工作时不到位,对形式分析存在错误,继而造成财务决策不当,使企业存在较大的财务风险。
对于企业来说,其在实施内部控制管理时,需先完成对内部控制环境的管理。要求企业结合自身状况,完成内部控制环境的营造。一般需做好五方面工作。首先,对于管理人员来说,应当完成对内部控制管理知识的学习,并从观念与意识上有所重视;其次,对内部管理结构做到进一步优化,避免部门冗杂;再次,需做好企业文化建设工作,使每个人都能够遵守秩序,办事遵守流程;第四,实施民主决策,面对重大决策时,应当做好群策群力,避免专断导致错误问题的出现;最后是对企业本体结构实施完成,从而使得企业得到有序经营。
首先,企业会计工作所面临的风险,需做好防范工作。对于企业的会计工作来说,其面临的风险包含对会计信息的伪造与非法漏税。其次,对企业面临的资金风险也需做到不断防范。这里面的资金风险包含融资、资金安全、资金链断裂、回收等环节存在的问题。面对这些风险,都需要做好防范工作,并进一步提升企业对风险的评估能力,从而使决策工作得到有效开展。
企业的经营管理离不开有效的信息沟通和交流,企业管理者与员工要沟通,管理者之间也要沟通。在风险防范的过程中,不论是企业管理还是风险评估和合同决策,都应该有一个良好的信息传递和沟通过程。要达到有效的沟通过就要保证信息的准确性和详细性,此外信息的畅通也是必要的,防止信息阻断和信息失真的发生。
企业管理者为了防范企业资金风险进行的一系列管理活动就是资金控制活动。以下就财务风险的把控提出的几项措施。首先,为降低资金控制的风险,企业应该设立专门的机构,对会计的工作进行管理。主要对成本进行管理,不仅要负责成本的预测和控制还要负责对会计工作的信息进行审核和有效监督等。其次,对会计人员进行有目的的培训和考核,重要岗位上能力较强的会计人员。实行轮岗制度以减少协同作弊的可能。最后,做好制度建设工作,企业应当在资金预算审批,资金支付管理,融资管理以及资金安全管理上,做好制度建设工作。目前,企业在实施内控管理时,存在内控动力不足、风险意识较差等问题。对于这些问题,在解决时应当要求企业通过内控管理制度的实施,来做好财务风险防范工作,从而使企业竞争力与抗风险能力能够得到提升。
[1]王明洁.构建企业财务内控管理创新模式的思路[J].商场现代化,2015(28).
[2]陈春燕.企业财务内控管理制度建设中的难点和解决措施[J].当代经济,2016(24).
风险,通常是指未来结果的不确定性,而这种不确定性又分为两种:一种是正面的,可能给企业带来收益,称之为风险收益;另一种是负面的,可能给企业带来损失,称之为风险损失。在企业的发展过程中,风险过度积累,就会使风险损失的概率增大,最终导致风险损失悲剧的发生。风险的存在是必然的,企业要想从根本上避免危机,就必须建立和完善风险战略,健全企业内部控制治理结构,树立科学风险发展观,坚持在风险收益的长期平衡中,实现可持续发展。在此过程中,就会涉及到内部控制的问题。而在我国,企业的内部控制与风险管理依然存在许多不足,在管理工作实践中,对于内部控制与风险管理的认识,存在各种分歧。
所谓内部控制是指经济单位和各个组织在经济活动中建立的相互制约的业务组织形式和职责分工制度。一个单位为了实现其经营目标,达到经营管理活动的效率和效果,保证会计信息资料的正确性、可靠性,保护资产的安全性、完整性,确保有关法律法规和制度的实行,确保经营方针的贯彻落实,保证经营活动的效率、效益和效果,在单位经营活动中所采取的一系列方法、手续和措施,都属于内部控制。内部控制是加强经济管理的内在需要,为经济管理而产生,并在经济的发展过程中得到发展和完善。最初的内部控制主要是为保护财产的安全和完整,确保会计资料与会计信息的正确和可靠,其工作重点是在于钱物的分管,并严格工作手续,同时加强复核,从而达到控制的目的。随着商品经济的发展和生产规模的扩大,经济活动日趋复杂化,逐步发展成现代的内部控制系统。
所谓风险管理是指,如何在一个肯定有风险的环境里把风险危害减至最低的管理过程。风险管理是通过风险识别、风险估计、风险驾驭和风险监控等一系列风险活动来防范风险的一种管理工作。风险管理当中包括了对风险的度量、评估、应变及策略。理想的风险管理是一连串排好优先次序的,使当中的可以引致最大损失及最可能发生的事情得以优先处理。在现实情况中,优化的过程往往很难决定,因为风险和风险发生的可能性通常并不一致,所以要权衡两者的比重,以便做出最合适的决策。风险是由某种不利因素的产生并可能造成实际损失的发生,从而降低实现目标的效率的可能性甚至导致组织目标无法实现。
风险的客观存在性是内部控制产生和发展的原动力,风险管理是内部控制的进一步升华,内部控制是风险管理的重要手段,它们在诸多方面有共同或相似之处,这两者的存在,常常使企业混淆不清。究其原因,是由于内部控制和风险管理两者本身存在着许多联系和共同之处。本文借鉴COSO的观点对其共同点进行分析。
内部控制和风险管理都是为风险而存在的,它们产生的基础都是企业发展过程中风险的客观存在性。在两者的实施过程中,它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责,分工协作,既独立,又牵制,权责分明。
内部控制和风险管理都为抵御和控制风险,为实现企业目标而存在。通过这两者的工作,使企业增强应对风险的能力,使企业得以持续发展,健康发展。通过分析对比可知,在风险管理的四类目标中,其中三类与内部控制目标是相吻合的,即它们的报告类目标、经营类目标和遵循类目标是相同的。只是风险管理的报告类目标相对来说有所扩展,它不但包括要求财务报告的准确,还要求所有对内和对外的非财务报告也要准确可靠。此外,风险管理不仅在于确保经营的效率与效果,而且存在于企业战略(包括经营目标)的制定过程。
良好的内部控制和科学的风险管理,都对单位经营活动的效率性和效果性、资产的安全性、经营信息和财务报告的可靠性具有保障作用。企业管理工作中对两者的运用,具有许多共同的作用:第一,有助于帮助管理者实现经营方针和目标。第二,有助于保护单位各项资产的安全和完整,防止资产流失。第三,有助于提高企业管理的科学性,满足现代企业管理的迫切要求,适应企业经营管理体制的需要。
内部控制从概念形成到框架确立始终都是围绕着会计与审计这个核心,并作为会计与审计工作的客观基础或条件而存在与发展的。内部控制通常依靠运用专门手段、工具及方法,防范与遏制非我与损我,保护与促进自我与益我的系统化制度,属于管理范畴。而风险管理,则是依照经济环境的变化,为应对大型风险甚至危机事件的普遍存在和发生发展的管理理论。风险管理是更具针对性、细节化的管理方法和手段,它更突出“风险”的识别和应对, 可以用于单独的事件、项目,也可以作为企业单位的长远发展战略。相对于内部控制来说,风险管理还具有战略目标的范畴。
内部控制是以专业管理制度为基础,实施的遵循性控制活动,无法防范管理层的非理性风险凌驾于管理制度以上的决策风险。在内部控制过程中,内部控制侧重于企业内部管理的细节,即企业董事会、管理层通过对企业内部组织的协调,使内部各组织达到牵制的效果,使各部门各职员形成牵制与监督,职权分明。而风险管理工作,注重防范和控制风险可能给企业造成损失和危害,同时把机会风险视为企业的特殊资源,通过对其管理,为企业创造价值,促进经营目标的实现。风险管理的活动通常更宽泛,既可以针对某一事件某一项目进行特别管理,也可以从大局、长远发展目标出发,对企业发展进行风险控制,进行风险管理。可以说,内部控制服务于风险管理,内部控制存在于风险管理活动之中。
从根本来说,内部控制与风险管理的性质是一样的,他们都服务于企业对风险的管理。但从微观来说,内部控制是企业内部采取的风险管理流程规范,仅仅是管理的一项职能,只是对目标的制定过程进行评价,主要是通过事后和过程的控制来实现其自身的目标。内部控制更多的是强调对内部的控制,使内部人员职权分明,职权牵制,以达到控制风险,提高对风险的抵抗力。而风险管理的目的是要及时地发现风险、预测风险以及防止风险可能造成的不良影响,并设法把这种不良影响控制在最低的程度上。风险管理,除了对内部风险的控制外,还从远景出发,从制度上、宏观上为企业的安全和发展提供理论依据,形成企业特定的风险文化风险战略。这种风险管理理论,更多的是为企业管理高层服务。
有效的管理体系,能够使企业各项经营管理活动有效的进行,在认识了内部控制和风险管理的基础上,树立风险意识,构建现代的企业内部控制和风险管理体系,对防范和化解企业面临的风险,具有重要作用。
管理的主体是人,建立合理的科学的组织机构、完善的控制环境,是实施内部控制制度和风险管理的关键。没有科学合理的内部控制组织机构,就不可能有效的运行内部控制。必须科学设置内部机构,构建符合风险管理理念。任何科学的理论决策都是广大人民集体的智慧结晶,没有科学完善的组织机构,使企业各部门各自为战,就难以发挥集体智慧的作用。建立合理的机构组织,使各组织合理发挥在各自岗位的作用,职权分明,有利于保证企业目标的实现。
建立有效的风险预警系统,增强企业风险适应能力。当今企业间的竞争日益激烈,企业风险不断提高,风险影响着每个企业的生存和发展。企业必须建立有效的风险预警机制,预测未来可能的风险,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险,结合风险承受度,权衡风险与收益,确定风险应对策略,进行风险转移、风险规避等,以有效地防范和控制风险。
建立内控监督机构, 加强内控队伍建设,提高高层领导者的管理水平。内控监督机构应当对每个岗位每个部门以及每项业务都要实施全面监督和反馈, 实现与行政管理交叉控制, 加强内部监控。内部控制的特点要求必须被监督,因为监督能够随着时间的推移而评估制度执行的质量,只有施行切实可靠的监控,发挥监控的作用,才能及时发现和解决内部控制过程中出现的问题,才能使风险管理切实得到落实,使企业长久而稳定的发展。
企业在管理工作中,首先要借鉴COSO框架, 引用外国先进思想先进理论,结合我国实际情况,改进企业内部控制和风险管理。其次,企业应加大对内部控制环境的关注度。良好内部控制环境的关键是治理结构的完善,同时高层管理者应增强内部控制和风险防范意识, 注重企业文化建设, 充分发挥内部审计在企业风险管理中的作用, 灵活运用各种管理控制方法。最后,是合理运用内部控制和风险管理。在企业的管理工作中,不能为管理而管理,不要按部就班,应根据企业的实际情况实际规模,对内部控制与风险管理的侧重有所区别,对内部控制与风险管理的具体工作和投入,应根据企业发展的具体阶段具体情况进行合理运用,突出重点。
一些企业的内部控制之所以失效, 很大程度上缘于缺乏良好的内部控制环境,风险管理意识淡薄。对于高层管理者,如总经理、执行董事,缺乏制约能力,而企业往往会因为缺乏对公司高层管理的有效控制和监管而带来风险。企业应自上而下地树立风险管理意识,强化风险管理,改变过去重收益、轻风险的落后观念。
[2] 叶陈刚,郑君彦.企业风险评估与控制[M].机械工业出版社,2009.
[5] 郭晓莉.以风险管理为导向的企业内部控制[J].国际商务财会,2010(7).
[6] 李岩.企业内部控制与风险管理辨析[J].合作经济与科技,2010(17).
[7] 赖章奎.内部控制与企业风险管理关系之探析[J].管理观察,2008(13).
[8] 宋常,丁卫.企业风险管理与内部控制关系探微[J].学术交流,2007(2).
[9] 周兆生. COSO 企业风险管理框架(中文版)[R].华融资产管理公司,2007.
内部控制与风险管理主要在于目的、作用和发挥作用的环境差异。(1)风险管理是通过及时识别、评估、评价及防范风险,并控制不利影响的可接受程度,来实现目标;内部控制是企业内部风险管理的程序化规范,通过履行管理职能,通过事前参与、事中监督和事后评价达到目标。(2)风险管理是关注识别和控制风险可能影响的经营管理活动,对机会风险实施管理,促进实现经营目标和价值最大化;内部控制通过专业的过程管理规范和有效的控制活动,难以防范决策风险和经营者非理性风险。(3)风险管理,应紧密结合各项管理工作,统筹内外部环境,在企业管理和业务流程中嵌入风险管理观念;内部控制是在企业内外部环境下,根据公司法构建的法人治理结构和决策规则。风险管理以应有的风险防范意识实施经营管理;内部控制是经营管理中应遵守的流程规范。(4)风险管理是为实现企业最终目标任务,在经营管理过程实行风险管理的具体措施和方法,营造良好的风险管理氛围,构建全面风险管理体系,以及提供合理保证的过程、方法。内部控制的目的是保障企业经营管理合法合规、资产保值增值、财务信息真实可靠,经营效率和效果提升,促进实现企业发展规划和战略目标。
内部控制与风险管理的五个组成要素完全相同,即内部环境、风险评估、控制活动、信息沟通、内部审计,彼此密不可分。(1)防范风险是内部控制最明确、最主要的目标,离开这一目标,内部控制就失去存在意义,也很难有发挥作用的时空。(2)风险存在于企业生产经营的始终,涉及内、外部风险,如何识别、分析、评估风险,制定风险解决方案和采取应对措施,收集潜在风险信息是实施风险管理的前提;内部控制是构建控制体系、关注控制关键点,用业务流程直接描绘生产经营业务过程而形成的管理规范。内部控制嵌入式工作方法,方便收集潜在风险信息,可见内部控制是实行风险管理的主要手段。(3)风险管理是企业在经营管理过程中,通过对潜在各类风险因素识别、分析、评估,用最低投入换取最大的安全保障。有效识别、防范、控制风险是企业风险管理最终目标,也正是内部控制的最主要作用,毫无疑问,内部控制是实施风险管理最有效的重要工具。(4)内部控制和风险管理。实施内部控制和风险管理的主体、过程、目标都是相同的,都是必须企业全员全程参与。在实施企业管理风险的同时,也是在实施内部控制程序,模式过程完全协调一致。
风险管理又名危机管理,是指生产过程中,风险管理部门对可能遇到的各种风险因素进行识别、分析、评估,以最低成本实现最大的安全保障的过程(风险管理是一个过程,由风险的识别、量化、评价、控制、监督等过程组成)。
内部控制是以专业管理制度为基础,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。
内部控制主要是在企业内部实施的一种管理,风险管理有些可以通过内部控制来规避,有些则是客观不可控的。目前在我国,风险管理还是一个很宽泛的概念,内部控制则是从外部控制的角度去考虑的,相比风险管理更加精确。梳理内部控制发展的脉络有四个阶段,即内部牵制、内部会计控制与管理控制、内部控制及风险管理。可以说,风险管理是在内部控制的平台上产生的,有了内部控制才有风险管理。如果企业在不考虑内部控制的情况下谈论风险管理,那么风险管理就失去了意义,也很难找到有效避免风险的着力点和切入点。因此,在内部控制的框架下去谈风险管理、进而增强企业识别、防范风险的能力,能促使企业更好地发挥风险管理的能动性。
企业内部控制实际上就是实施风险管理前的环境净化器。实施内部控制时,一定要将“控”做到极致,左右摇摆,兼顾太多的内部控制很难达到环境净化器的作用。从某种意义上,内部控制建设就像是企业实施风险管理的一座桥梁,如果没有这座桥,盲目开IM电竞 电子竞技平台展风险管理,会使企业慢慢迷失前进的方向。
目前,内部控制在中国实施的时间还不长,很多企业都是“依葫芦画瓢”,还没有真正领悟到内部控制和风险管理的真谛。
企业是一系列(不完全)契约(合同)的有机组合,是人们之间交易产权的一种方式。由于现实世界的复杂性、经济人的有限理性和机会主义的影响,这组契约通常又是不完备的,使人们之间交易产权存在较大风险。虽然我国绝大多数上市公司都建立了内部控制体系,但其操作规范流程都较为粗放缺乏统一的、详尽的、具有很强操作性的岗位操作流程。出现问题后常常是互相推卸责任,致使无法追究责任。而有些公司即使有内部控制制度,却不落实、不执行制度,使其形同虚设,不能发挥其制约、监督作用。
风险评估是及时识别、科学分析和评价影响内部控制目标实现的各种不确定因素,并采取应对策略的过程,是实施内部控制的重要环节,风险评估从最初的风险分析、发展到包括目标设定、风险识别和风险应对。风险评估中新元素的增加,是对风险分析的拓展和深化,将风险评估上升到风险管理的高度,体现了将风险作为控制的核心理念,充分运用了管理学中的目标管理的思想,以目标为导向的企业风险管理更容易明确方向,控制企业的整体发展。风险评估必须是动态的跟踪评估,有些风险因素是短时的甚至是瞬间的,需要立刻做出化解风险的决策,其时效性是至关重要的。目前多数上市公司仍处于阶段性的定期评估状态,有失对风险的及时主动控制,滞后控制往往成效甚微。
内部审计不但是企业内部控制的一个非常重要的组成部分,更对其他相应环节发挥着重要的规范和约束力。目前我国很大一部分上市公司对内部控制监督不够重视,内部审计地位严重弱化。一方面,由于我国的内审人员一般向经理层负责,使内审机构及其人员工作独立性不强,其全局性、前瞻性不够,不能客观、真实、深入地开展工作,很难做出正确合理的审计处理决定;另一方面,较多企业轻视内部审计的作用,甚至由企业会计人员兼任内部审计人员,或由专业知识和技能水平不高的人员担当职务,从而使内部审计呈现可有可无、时有时无的状态,这就使得企业内部审计无法真正发挥作用。
使用风险承担能力分析,公司可以在风险偏好和风险管理能力之间取得平衡,既不会太谨小慎微,也不会过于横冲直撞。他们既能够调整风险承受能力,又能够调整对风险的偏好,从而做出成功的决定。这种新的风险管理办法能够帮助公司找到适合他们的道路,帮助他们在风险偏好和风险承担能力之间取得平衡。
风险承担能力是多层面的,至少包含5个要素:财力、管理能力、动态竞争、操作灵活性以及风险管理体系。有效的风险承担能力分析能够帮助企业在战略和运营规划之间建立紧密联系,帮助他们优化资本配置,找到可以用来抓住机遇的额外资源,量身打造出更准确、更强有力的绩效标准。
好公司也会碰到倒霉的事,不过其中有些事情会比另一些事情更易预测。有效的风险承担管理能力能够让公司更有效地应对以下两种类型的不利事件。
第一种事件的发生有那么一点规律可循,对公司影响也有限,比如输入价格的波动性、劳工问题或是外汇的波动性。这些事件很少突如其来,而且大多数管理团队都有经验处理此类事务。它们对公司财务的影响通常可以通过调整产品销售价格或者现金储备的水平来弱化。
第二种是发生概率很低但是后果很严重的事件,包括丧失主要生产设施、自然灾害,或是主要供货商出现问题。这些事件都是企业的噩梦,它们可能导致公司运营戛然而止,甚或使公司完全脱离正轨。
当企业的风险承担能力和风险管理能力达到有效平衡时,就具备了获利的可观潜力。如果想充分开发风险承担能力,企业需要对风险有更为动态的认识,即发现机遇而不只是关注潜在的负面影响。提高辨识机遇增长的能力,这正是风险承担能力可以帮助企业超越其他竞争对手之处。
[1]中国注册会计协会.2010公司战略和风险管理[M].经济科学出版社.
美国政府颁布的《萨班斯法案》(SOX),美国COSO(发起人组织委员会)颁布的《内部控制--整合框架》和《企业风险管理框架》,我国财政部等五部委的《企业内部控制应用指引》等,这些都表明强化企业内部控制,建立完善的风险管理体系,正在成为现代企业管理制度的重要组成部分。
风险管理是识别和评价附属于企业的实际的和潜在的风险领域,进而通过合适的内部控制消除、转移、接受或是减轻风险。
内部控制是一种控制和最小化风险的机制,目标是保护企业资产和,支持企业目标,对与企业有法定利益关系的利益相关者承担责任。
内部控制是风险管理的重要环节但不是全部。它对完成企业目标有着重要意义,良好的内部控制依赖于彻底的、规范的对公司所处风险的性质与范围的评价。
我国财政部等五部委制定的企业内部控制基本规范,在形式上借鉴了美国COSO报告为代表的内部控制整合框架(五要素框架),同时在内容上体现了风险管理整合框架的实质。
在内部控制整合框架中,内部控制划分为内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。
内部环境包括治理结构、机构设置及权责分配等,规定企业的纪律与架构,影响经营管理目标的制定,是企业建立与实施内部控制的基础。
风险评估包括目标设定、风险识别、风险分析和风险应对,及时识别、科学分析经营活动中与实际控制目标相关的风险,合理确定风险应对策略,实施内部控制。
控制活动是根据风险应对策略,采取相应的控制措施,将风险控制在可承受度之内。
信息与沟通确保信息质量,建立沟通制度、信息系统、反舞弊机制,保证信息在企业内部、企业与外部之间的有效沟通。
内部监督对企业内部控制建立与实施情况进行监督检查,评价内部控制的有效性,对于发现的内部控制缺陷及时加以改正。
随着市场经济发展,企业经营风险明显加大各种贪污舞弊事件不断发生,资本市场发展导致虚假会计信息的风险增加。然而,由于我国理论上进行内部控制和风险管理研究,实践中开展内部控制管理的时间远远滞后,内部控制和风险管理水平无法满足企业发展和管理的需要。
企业管理者大多看重经营,侧重追求企业盈利能力,没有充分接受现代内部控制和风险管理的管理理念。建立一套科学有效内部控制制度及风险管理机制,目标是保持企业稳定及实现可持续发展,进而增强企业的盈利能力和生存能力,应提高企业管理者对这方面的认识。
要使内部控制和风险管理取得比较好的控制效果,必须由企业董事会、管理层和其他员工共同参与,组成一个有效的控制体系。从现实情况看,很多企业都在一定程度上存在管理松懈、内控弱化、监督不力等问题。
我国目前有关内部控制的评价和咨询主要由注册会计师来进行,企业没有专门的管理人才,因此无法从企业战略目标制定和执行、经营目标实现、管理效率提高、资产安全性等角度来评价内部控制,评估风险。
首先,全面总结和分析企业的组织体系、机构设置、营业范围、经营方式、主要业务以及所处外部环境等。
其次,按照一定方法,合理归集、构建适应企业经营管理状况和内部控制要求的相关子系统,包括公司层面子系统和业务层面子系统。
然后,用文字、流程图、风险控制文档等形式将各子系统业务和事项的风险类型、控制目标、关键控制点、控制措施加以规定和说明。
1.企业整体风险测评。企业整体风险测评即企业层面面临风险的测评,主要包括组织架构设计和运行的风险、发展战略制定和实施的风险、人力资源引进开发、使用和退出的风险等。
2.岗位或业务环节风险测评。岗位或业务环节风险测评是对企业的日常经营管理中,每一项业务或每一个工作流程中产生风险的可能性的预测。主要包括资金活动风险、采购活动风险、资产管理风险等。
1.决策风险控制系统。完善法人治理结构,加强决策的集中性、统一性和权威性,实行与个人责任密切联系的集体决策制度。
2.经营业务风险控制系统。在企业内部建立专家委员会业务管理体制。专家委员会负责市场、政策及社会环境的研究;负责制定和指导企业经营业务的操作流程;负责项目立项、策划、创新业务的咨询和评审等。
3.财务风险控制体系。实行统一的财务制度控制,严格授权审批制度,实行财产纪录监控,控制筹资、、信用等资金活动风险,确保财务报告的真实准确,规避风险。
1.岗位监督管理由全体员工对岗位风险控制有效性进行自我评价,以及对控制缺陷和意见进行反馈;
2.专业监督管理由专业内部控制部门定期或不定期对内部控制落实情况进行检查和评价;
作者简介:王秀霞,中国石油化工股份有限公司济南分公司,经济师,从事内部控制及全面风险研究。
企业风险管理应视为一个持续的执行过程,紧密结合在企业经营战略的设定之中,通过企业的管理层及其他相关人员共同协作执行,其理念及制度应贯穿于整个企业运营过程中,为每一名企业员工所熟知和运用,从而确保能够及时发现企业可能存在的潜在风险,使一切风险都处于可控状态,为企业经营目标的达成提供有力保障。企业的风险管理通常分为八点要素,相互关联,相互协作,贯穿于企业经营活动始终。其内容包括:
1.内部环境识别。所有企业风险管理要素均是以企业自身的内部环境为基础的,只有明确了企业内部环境的特点,才能制定出切实有效的风险管理的框架及规则。通过对企业内部环境的认知,能够帮助管理人员正确制定企业战略及经营目标,从而有效地开展业务活动,并且准确地识别风险、评估风险并及时应对。
2.制定经营目标。管理人员在制定企业经营战略目标时,应当根据企业的经营任务及预期内容进行科学的分析和设计,从而确保战略实施的可行性,并切实将相关目标分层分级地落实到企业内部各个部门及各个岗位。
3.企业风险评估。管理人员在评估企业风险时,应当从发生可能性及影响程度两方面进行周密考虑,并且结合企业即期的经营战略及经营目标进行具有战略眼光的风险识别和评估。
4.经营事项评估。在企业的运营过程中,往往存在着较多不确定性,这些现阶段结果尚不明确的事项可能会对企业具有积极的影响,也可能存在着消极影响,甚至二者同时并存。因此,企业管理人员应当及时对这些不确定性予以识别和评估,认识到事项的负面影响即是企业的潜在风险因素,必须尽早识别和评估,并预先制定出应急措施。
5.风险应对方案。面对风险的发生,风险应对反应包括规避风险、控制风险、承担风险及转移风险四种,作为企业的风险管理,应当针对不同的风险,制定出相应的风险应对反应方案,从而确保将风险的影响降至最低。
6.风险控制措施。当风险应对反应方案开始执行时,制定正确的风险控制措施,能够确保反应方案遵循正确的流程得以有效执行。因此,控制措施应当针对企业的不同层面、不同部门及不同岗位全面制定和落实,其要素包括规范的应对政策及对政策产生影响的一系列操作章程。
7.信息获取及沟通。企业应定期对来自内外部的信息进行获取、识别,并通过固定的格式予以保存和传递,从而帮助企业员工正确执行自身职责,并提供执行结果的参考和评估。此外,还应当保持沟通顺畅,包括企业由上而下、由下而上的纵向沟通,各部门间的横向沟通,以及企业与外部环境间的信息交换。
8.风险效果监控。企业应当及时对风险管理要素有关内容的合理性和完善性进行定期评估,并对风险管理的运行情况进行评估和监督。其方式可采取持续性监控和个别要素评估两类。
内部控制是一个循环往复的动态过程,其内容包括控制目标设计、控制执行、执行评价、目标改进等多个环节,为企业提供持续不断的信息反馈,使企业能够准确掌握当前自身运营情况,以及内外部环境对自身带来的机遇及影响。
企业在获取信息的同时,还能够通过对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,从而能够及时进行内部控制体系的完善和补充。而内部控制的评估内容,主要包括对企业现行内部控制体系设计及执行的合理性、有效性及完整性进行系统的审核、检验及分析等工作。其作用主要包括:
1.确保企业管理的完善性。企业的经营管理应当顺应外部经济环境的变化不断做出调节,以便适应新的发展形势,这一要求便需要企业对内部控制进行不断的评估和完善,从而及时发现其中的缺陷和漏洞,杜绝营私舞弊,改善薄弱环节,从而提高企业的内部管理水平,增强企业竞争力。
2.有利于充分发挥审计职能。目前,审计已经发展到抽样审计的高度,企业实行内部控制评估,能够依据评估结果明确审计范围,突出审计重点,寻求最佳审计方法,使审计效率得到有效提高,并充分发挥审计的重要职能。
3.提供各方决策依据。内部控制评估结果公布后,除了企业自身之外,有关部门均能据此对企业财务报告的可信度进行评价,了解企业的长期可持续发展能力、成长性、运营合法性等多个方面,从而制定下一步的行动决策。
2004年,COSO经过4年的研究之后,在之前《内部控制统一框架》理论的基础上了《全面风险管理统一框架》,为全面风险管理提供了执行标准和依据,在这一新的理论中,全面风险管理增加了三项内部控制目标,以及相应的管理战略目标。由此可见,内部控制与风险管理日趋融合趋向。然而,全面风险管理与内部控制仍然具有一定的差异:
1.全面风险管理作为一个持续性的执行过程,贯穿于企业管理始终,而内部控制则是企业管理职能中的一项。此外,全面风险管理内容包含了战略风险、财务风险、市场风险、运营风险、合规风险等多项风险内容,企业能够通过这些风险的分析和评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。
2.全面风险管理理念中包含了风险偏好、风险应对策略、风险零容忍度等战略要素,因此能够对风险进行准确全面的度量和评估,确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是企业内部面对可能遇到的风险所采取的各种应对措施及方法,完全依据风险内容进行控制机制的制定及实施,内部控制措施的必要性与风险系数呈正相关的关系,企业在运营过程中,需要以具体的内部控制措施为有效手段,对各种风险进行控制和评估,从而将潜在的各类风险扼在萌芽之中。 四、我国企业风险管理及内部控制现状
国资委2006年颁布了《中央企业全面风险管理指引》,将国外先进风险管理经验与我国企业特色相结合,作为我国企业实施全面风险管理的重要依据和理论指导。2008年财政部会同相关部门联合《企业内部控制基本规范》,2010年再次《企业内部控制配套指引》,为我国企业内部控制与全面风险管理相结合的企业管理体系提供了理论指导依据。这些法律法规均促使企业充分审视、完善和加强自身内部控制管理工作,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,从而不断提升自身的风险管控能力。然而,全面风险管理工作仍然处于起步阶段,与国外先进管理体系相比,仍然存在着不足之处,具体包括:
1.未能充分认识风险管理的重要性,执行力度不足,对于内部控制与风险管理之间的关系概念模糊。部分企业将风险管理和内部控制分裂开来,视为两种彼此独立的管理体系,部分企业则仅仅将内部控制视为全面风险管理的一种手段,弱化了内部控制的重要作用。这些概念上的模糊认识使部分基层管理人员产生了管理体系重复、冗杂的误解,并使内部控制与全面风险管理体系彼此脱节,不利于企业风险管理的完善和发展。
2.偏重合规性,忽视实践性。部分企业过分强调全面风险管理体系的制度及手册等文件完善,却忽视了制度的执行、监督、评估和反馈等实践工作,从而不利于全面风险管理的执行报告及偏差纠正。
3.运行机制不到位。在部分风险系数较高的运营环节、经营领域及关键风险控制点,对风险因素的预警、应对及追踪力度仍显不足,或存在落实不到位的情况,尚需做进一步的完善和补充。
内部控制体系必须紧密依据企业的风险评估结果,因此在制定切实可行的内部控制体系时,必须首先全面评估企业风险,并根据企业的实际情况从设计、执行、评估、完善等四个环节进行内部控制体系设计,其中,设计环节是极为重要的一环,这一阶段关系到企业内部控制体系是否科学可靠、切实可行,企业应当从自身经营情况及管理特点出发,注重全面性和科学性。
在执行环节,应当注重内部控制制度的可操作性,并根据企业各部门、各层级的技术特点,制定实质性的管理制度。在评估环节,应当注重内部控制预期目标达成率的评估,并确保评估的客观性、公正性和透明度,以便为管理人员提供真实有效的决策依据。在改善阶段,应及时对控制制度进行跟进和修正,并保持其改善的稳定性、科学性及实质性,并制定事前、事中及事后的监督机制。
企业可根据自身特点建立完善的风险管理机构:一是建立由企业负责人负责的全面风险管理领导小组,全面负责指导企业的风险管理工作;二是设立专职部门或确定相应职能部门,具体履行全面风险管理职责;三是发挥内部审计部门的作用,负责研究提出全面风险管理监督评价体系,开展监督与评价,出具监督评价审计报告。其他职能部门及各业务单位在全面风险管理工作中,应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督。
企业各部门应当提高风险意识,严格依据企业制定的规章制度执行,防范杜绝把关不严、执行不力等不良现象,避免因此导致的以权谋私、监守自盗等损害企业利益的行为,从而降低企业资产遭受损失的风险。此外,信息经济时代的到来造就了外部复杂多变的经营活动,企业越来越广泛地使用互联网技术,投身电子商务活动之中,企业应高度重视网络数据的风险控制,提高商业信息安全的风险意识,防范内部员工的道德风险及系统漏洞所造成的技术风险,从而避免给企业资产造成重大损失。
企业应培养内部各部门的整体意识,明确企业作为利益整体,工作必须从整体利益出发,内部控制不能狭隘地谋求部门或个人自身的利益,积极增进各部门、各层级间的信息共享,加强信息沟通,建立起相互协作、相互配合、彼此促进的团队精神,在工作中互通有无,做到问题及时发现、共同分担、共同商讨,从而及时填补内部控制的漏洞,提高企业的经营效益。
企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。企业风险管理也是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。尽管风险管理与内部控制有内在的联系,但现实中或代表目前应用水平的内部控制与风险管理还有不小的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,如银行业的授信管理或市场(价格)风险管理(如汇率、利率风险等)。典型的内部控制是指会计控制、审计活动等,一般局限于相关财务部门。它们的共同点是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此有时看上去风险管理与内部控制还是相互独立的两件事。
内部控制的最初思想是内部牵制。它产生于古埃及的国库管理,其目的是防范财产风险。内部控制的现代思想是企业风险管理,它是企业组织规模扩大和资本大众化的产物。内部控制与风险管理的结合很早就引发了人们的关注,但对于两者关系的看法存在分歧。主要有以下三种观点:
(一)风险管理包IM电竞 电子竞技平台含内部控制。COSO(2004)明确指出,企业风险管理包含内部控制;内部控制是企业风险管理不可分割的部分;内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。南非King II Report(2002)认为,传统的内部控制系统不能管理政治、技术和法律等诸多风险,风险管理将内部控制作为减轻和控制风险的一种措施,是一个比内部控制更为复杂的过程。Krogstad(1999)认为,内部控制不存在于真空或暗箱之中,而存在于协助组织进行风险管理并提升有效的治理程序之中。
(二)内部控制包含风险管理。加拿大COCO报告(CICA,1995)认为,“控制”是一个组织中支持该组织实现其目标诸要素的集合体,实质上就是“内部控制”,或者说是用“控制”一词表达“内部控制”概念。COCO报告认为,风险评估和风险管理是控制的关键要素。CICA (1998)将风险定义为,“一个事件或环境带来不利后果的可能性”,阐明了风险管理与控制的关系,即“当您在抓住机会和管理风险时,您也正在实施控制”。巴塞尔委员会的《银行业组织内部控制系统框架》中指出,“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……。”这里显然是把风险管理的内容纳入到了内部控制框架中。
(三)内部控制就是风险管理。Blackburn(1999)认为,风险管理与内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。Laura F.Spira等(2003)分析了内部控制是怎样变为风险管理的,并指出“将内部控制定义为风险管理强调与战略制定的联系,刻画了内部控制作为组织支撑的特点,但是它也掩盖了一个不争的事实,即现在没有人真正明白内部控制系统是什么”。Matthew Leitch(2004)认为,理论上风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,正在变为同一事物。
内部控制与风险管理有着密切的联系。COSO认为,内部控制是风险管理的一部分。因此,该委员会在《内部控制框架》的基础上又于2004年出台了最新报告――《企业风险管理框架》。《企业风险管理框架》继承并包含了《内部控制――整体框架》的主体内容,同时扩展了三个要素,增加了一个目标,更新了一些观念,旨在为各国的企业风险管理提供一个统一术语与概念体系的全面的应用指南。COSO对内部控制与风险管理的定义及其组成要素分别是:
企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。
企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。它有八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。
(一)内部控制与风险管理的相同点。从COSO的两份报告来看,企业风险管理与内部控制有以下相同之处:
1、它们对参与主体要求相同。二者都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都承担着相应的角色与职责。
2、它们都对企业实现目标提供合理保证。设计合理、运行有效的企业内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。
3、它们都明确是一个“过程”。二者本身并不是一个结果,而是实现结果的一种方式。企业内部控制与风险管理都应该是渗透于企业各项活动中的系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
4、它们都维护者利益。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中,它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增值及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业风险,为多种风险提供整体对策,捕捉机遇以及使资本的利用合理化。”从维护与促进价值创造这个根本功能来看,风险管理与企业内部控制目标是一致的,它们都想实现保全资产并创造价值的作用。只是在新的技术市场条件下,为了更有效地保护者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
1、目标体系不同。风险管理的目标有四类,其中经营类目标和遵循性目标与内部控制的目标基本重合,但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。查剑秋等(2009)经研究得出,战略内控体系绩效与企业价值具有显著正向相关性,即企业战略内控的好坏会影响到企业战略执行绩效,并最终影响企业价值。由此可见,风险管理增加了内部控制未提及的战略目标,也弥补了内部控制在企业战略层面的一定缺陷。
2、组成要素不同。风险管理增加了目标设定、事件识别和风险应对三个要素,控制环境要素也改成了内部环境。“目标设定、事件识别和风险应对”不仅丰富和完善了风险管理内容,还体现了风险组合观。“内部环境”要素内容除包含“控制环境”要素内容外,还增加了风险管理哲学、风险偏好等内容;在名称相同的要素中,风险管理对相关内容都进行了补充和提升。例如,在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性。
3、风险管理理念不同。《企业风险管理框架》借用现代理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止各部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。
4、产生效益的方式不同。内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。一般来说,典型的内部控制依然是为了保证资金安全和会计信息的真实可靠,会计控制是其核心,内部控制一般限于财务及相关部门,并没有渗透到企业管理过程和整个经营系统,控制只是管理的一项职能;典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较,如银行的授信管理、汇率风险管理、利率风险管理等,它贯穿于管理过程的各个方面。
综上所述,内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。而随着时间、技术市场等条件的不断变化,风险管理与内部控制的范畴又在相互转化。从静态上看,风险管理与内部控制互有交叉;从动态上看,二者又互相转化。我们可以看出,风险管理的决策是确定内部控制重点的依据,而一个强有力的内部控制是实现有效风险管理的基础,内部控制的动力来自企业对风险的认识和管理。
[1]毛新述,杨有红.内部控制与风险管理――中国会计学会2009内部控制专题学术研讨会综述[J].会计研究,2009.5.
[2]陈志斌,何忠莲.内部控制执行机制分析框架构建[J].会计研究,2007.10.
[3]潘琰,郑仙萍.论内部控制理论之构建:关于内部控制基本假设的探讨[J].会计研究,2008.2.
[4]董月超.从COSO框架报告看内部控制与风险管理的异同[J].审计研究,2009.4.
[5]杨雄胜.内部控制理论面临的困境及其出路[J].会计研究,2006.2.
[6]吴水澎,陈汉文,邵贤弟.企业内部控制理论的发展与启示[J].会计研究,2000.5.
[7]杨有红,胡燕.试论公司治理与内部控制的对接[J].会计研究,2004.10.
[8]于增彪,王竞达,瞿卫菁.企业内部控制评价体系的构建――基于亚新科工业技术有限公司的案例研究[J].审计研究,2007.3.
从规范角度看,内部控制对于规范组织行为,加强企业管理等具有重要意义:内部控制制度是企业的组织制度,与企业的产权结构相对应,通过建立适当的“委托―”契约关系,保证企业外部人的利益能够得到企业内部人的有效维护,它有两层内容:(1)内部控制制度是企业的管理制度,它通过检查和改进有关的管理政策和程序,有效控制企业运行,不断提高企业的经营效率和效益,实现人投入资本的保值增值。(2)内部控制制度是企业的会计制度,它通过适当的业务权限设置和授权、准确的会计记录、及时的实物盘点以及公允的报告程序和方法,保证企业经营和财务状况信息的可靠性,保障人财产安全。
风险管理同内部控制一样,也是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点;也都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设;为企业目标的实现提供合理的保证。
从当前我国企业的实际情况来看,其内部控制和风险管理的水平和效果尚不容乐观。现阶段我国绝大多数公司,尤其是由原来国有企业改制而成的公司,其法人治理结构普遍存在问题,主要表现在股东大会、董事会和监事会等核心机构虚设,经营者行为得不到监控,并由此导致了公司内部人员之间无法形成有效的牵制,进而影响内部控制的实施和健全。
2001年年底以来,美国爆发了以安然、世通、施乐等公司财务舞弊案为代表的会计丑闻,重创了美国资本市场及经济,同时也集中暴露了美国公司在内部控制上存在的问题。由此导致美国通过了《萨班尼斯――奥克斯利法》(THE SARBANES-OXLEYACT)。该法案明确了公司管理者CEO及财务主管CFO对内部控制负直接责任,并将承担经济与刑事后果;大幅度提高了对会计舞弊的处罚力度;强化了内部审计、外部审计及审计监管。此次立法代表着资本市场制度的一次大的进步,也使人们对内部控制乃至风险管理的重要性有了更深刻的认识。
尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。
国有企业改革是我国经济体制改革的中心环节,企业体制则是整个经济体制的一个重要组成部分和中心问题,当前国有企业的改革已经发展到建立现代企业制度的攻坚阶段,如何搞好企业内部管理,提高企业自身的生存能力,是建立现代企业制度的关键问题,也是影响我国企业内部控制的关键因素。
在2004年年底,国际著名的反虚假财务报告委员会针对国际企业界频繁发生的高层管理人员舞弊现象,结合美国2002年颁布的《萨班斯一奥克斯法案》的相关要求,颁布了一个概念全新的COSO报告,即《企业风险管理――总体框架》(Enterprise Risk Management,ERM)。这份全新的报告提出了风险组合与整体风险管理(integrated risk man-agement)的新观念,借用现代理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,注意到影响风险管理的以上这些关键因素,统筹制定风险管理方案。目前我国许多企业的内部控制还相当脆弱,主要体现为:客观环境的局限性、者风险意识淡薄、对内部控制的重要性缺乏认识、企业内部缺乏制衡机制、对管理系统缺乏控制力等等。这就要求企业内部控制必须有所创新和发展。
ERM将内部控制的目标分为四种类型:战略目标、经营目标、报告目标和遵循性目标,明确提出终极目标为增加利益相关的价值。由此可见,随着内部控制目标日益扩展,层次也由管理的业务层上升到自战略层而下的整个管理过程。因此,ERM框架使董事会在企业风险管理方面扮演更加重要的角色(董事会既是内部控制的重要因素,也是风险管理的重要因素)。
企业的资源是有限的,控制也是需要成本的。如果将企业的主要精力放在所有细小的、微不足道的控制上,就往往会舍本逐末。所以,ERM框架要求董事会与管理层将精力主要放在可能产生重大风险环节上,而不是所有细小环节上。这就要求将内部控制和风险管理有效地结合起来,使企业能够更加有效地加强内部控制和规范风险管理。
ERM框架的信息沟通和监控两要素中,再一次强调了通过控制活动的设置,建立独立的监督部门来保证框架实施的可行性。控制活动在整个组织的各个层级和各种活动中都发生,包括对申请和一般信息技术的控制、组织控制、经营控制、人事控制、定期检查、设施和设备的控制等。而监控则指企业整个风险管理过程均应被监督,并且在必要时对所发现的偏离进行必要修正,或者通过正在实行的管理活动以及分别评价风险管理过程,双管齐下来监督其他要素的有效性。
其实,随着技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时IM电竞 电子竞技平台更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易
大量发展成类似衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业为了应对这新产生的关键因素需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保者对财务信息的信任以及保证经营效率等。因此,为了加强风险管理与企业内部控制,应把维护与促进价值创造这一根本功能作为两者规范的主要内容。只是在新的技术与市场条件下,为了更有效地保护者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
ERM无疑是明确了内部控制与风险管理的关系,要求将两者有效地结合起来,认为只有这样才使企业能够更加有效地加强内部控制和规范风险管理。
通过分析,我认为在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,如财务报告的准确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。在一定的时期,考虑到新的技术与市场条件,为了更有效地保护者利益,又需要在内部控制的基础上发展更主动、更全面的风险管理。
1、实施财务委派管理。随着集团母子公司体制的建立,集团公司主要对二级单位和子公司财务负责人进行委派,各子公司内部再对分支机构(分厂、分公司)实行财务委派,形成链式财务委派模式。集团公司对委派人员进行统一管理,统一制定财务委派管理制度。
2、强化出资人代表的集中式管理。①事前报告制度;②述职报告制度;③重大事项报告制度。另外,还有检查报告制度、监督评价制度和奖惩制度等。
3、向子公司派驻内部监事会。采取“全员驻点、分片监管”的方式,对子公司进行全方位的实地监督检查。这种内部控制活动帮助是帮助保证风险反映方案得到正确执行的相关政策和程序,强化了风险管理。
1、实施全面预算管理。通过建立预算管理机构、科学编制预算、严格预算的执行与监督、进行预算分析和评估这一程序来控制风险,强化风险管理。
2、实施资金集中管理。从建立高效的筹融资系统开始加强资金使用过程及外汇风险的管理来降低和规避风险。
