時間:2023-09-11 17:41:40
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業風險管理與內部控制,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:風險管理;內部控制;機制
中圖分類號:F23
文獻標識碼:A
文章編號:1672-3198(2010)04-0167-02
1 風險管理的演進歷史及現狀
風險管理是采取一定的措施對風險進行檢測評估, 使風險降低到可以接受的程度, 并將其控制在某一可以接受的水平上。從職能上說, 風險管理就是在對風險進行觀察、評估的基礎上控制風險可能造成的損失, 保證組織目標的實現。對風險管理的定義可以理解為: 一是風險管理是一個系統過程, 包括風險的識別、衡量和控制等環節; 二是風險管理的目標在于控制和減少損失, 提高有關單位或個人的經濟利益或社會效果; 三是風險管理是一種管理方法。
風險管理作為企業的一項管理活動,產生于 20 世紀 50 年代的美國, 當時美國一些大公司發生的重大損失使公司的高層決策者開始認識到風險管理的重要性。在那時, 風險管理是企業管理的一個重要組成部分, 主要涉及的是對企業純粹風險的管理。這一特征是和那時企業經營環境相對簡單, 因而純粹風險給企業經營帶來的影響最為嚴重以及通過保險手段可以對純粹風險進行有效管理是密切相關的。
20世紀80年代后, 企業的經營環境開始發生了巨大變化, 以價格風險、利率風險、匯率風險等為代表的財務風險開始給企業帶來巨大的威脅, 使得企業開始尋求規避財務風險的工具。但企業在這方面的努力僅限于一些孤立的實踐活動, 并沒有形成完整的理論和方法體系。反而在金融機構中, 由于所經營的金融產品帶來的各種風險加劇, 逐步形成了針對金融機構的相對完整而系統的金融風險管理體系, 其針對的對象和內容都與傳統風險管理有很大不同。
到 20 世紀末, 隨著大型企業特別是巨型跨國公司面臨的風險管理日趨多樣和復雜, 開始出現了將企業的所有風險, 包括純粹風險和財務風險綜合起來進行管理的需要。這種需求使得在歷史上不同時期, 并沿著兩條不同軌跡發展起來的傳統風險管理和金融財務風險管理終于結合在一起, 形成一個嶄新的概念――全面風險管理。
全面風險管理是指企業圍繞總體經營目標, 通過在企業管理的各個環節和經營過程中執行風險管理的基本流程, 培育良好的風險管理文化, 建立健全全面風險管理體系, 包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統, 從而為實現風險管理的總體目標提供合理保證的過程和方法。
2 構建我國企業全面風險管理整體框架
2.1 我國全面風險管理現狀與發展趨勢
目前,我國為數眾多的企業中的全面風險管理基本是一種被動式的管理,沒有專門的人員或機構進行企業風險管理活動,每個人或部門往往只針對工作中的風險孤立地采取一定對策,缺乏系統性、全局性。
筆者認為,要建立企業全面風險管理體系,首先要樹立風險意識,轉變觀念,提高認識,使企業中每個部門每個員工都理解企業全面風險管理的價值,協調全面風險管理目標和政策,把全面風險管理融入日常的企業管理中,使風險管理成為人們一項日常的管理行為。
隨著知識經濟發展程度的加深,受其影響,現代企業全面風險管理體系從指導思想到具體制度建設上,出現了以下四個方面的發展趨勢:一是由著眼于控制向關注環境轉變;二是由回顧歷史向著眼于未來轉變;三是以零起點的風險預測取代評價;四是由關注經營風險向關注戰略風險轉變。
企業需要經過一個循序漸進、不斷完善的過程,從最初的簡單風險管理達到全面風險管理的高階段。全面風險管理將風險管理視為企業追尋機遇過程中一個合理有序的流程,將商務風險管理行為與戰略管理、業務計劃制定過程結合在一起,使用一種復雜的、高度透明的、持之以恒的方法將戰略、過程、人員、技術和知識聯結在一起,以實現使整個企業的風險、收益、增長與資本得到充分優化的目的。
2.2 企業全面風險管理整體框架的構建
目前我國企業全面風險管理還處于起步階段,還未形成成熟的理念和管理工具,受制于發展現狀,還需要一個有序不斷地改進過程。在構建中要先抓住關鍵要素,努力以最小的成本達到最大的安全保障,這些關鍵要素包括以下四個方面。
(1)明確企業全面風險管理目標,建立有效的監督體系。
企業全面風險管理整體框架是建立在明確的企業監督框架和適當的人員責任分配基礎之上的,其目標是使風險成為企業文化的內在有機組成部分。企業全面風險管理一定要與企業的技術及戰略管理相結合,要在全企業范圍內明確宣布風險目標和計劃,并將其與企業業務、戰略及業績目標結合起來,建立一個由全企業層次集體支持的風險管理過程。
(2)營造企業全面風險管理的文化氛圍,推進風險管理的實踐。
企業全面風險管理框架是建立在內部環境的基礎之上,內部環境直接影響和制約企業全面風險管理的成敗。內部環境的要素包括員工的誠信,職業道德和工作勝任能力,管理層的經營理念和經營風格,董事會或審計委員會的監管和指導力度,企業的權責力分配方法和人力資源政策。要不斷提高企業全面風險管理能力,需要一套企業層面的方法。這種企業層面的方法是由企業的組織結構,文化理念和經營管理哲學共同決定的。隨著企業文化中風險敏感程度的提高,企業管理者會進一步掌握有效的風險管理能力。通過他們的推進、提供報告、貫徹相應的方法、構建適當的體系,以實施既定的風險戰略和政策,企業全面風險管理水平將不斷提高。
(3)構建獨立的企業全面風險管理體系。
為了確保企業全面風險管理活動被很好地理解和執行,企業首要的任務就是建立一個全面風險管理組織結構。這個結構劃分為兩個層次:一是高級管理層(董事會)。它承擔全面風險管理的最終責任。這種責任要求高級管理層對本企業的產品、業務過程和相關風險有全面了解。其下面設全面風險管理委員會,負責全面風險管理實施過程中的授權和日常決策工作,向董事會提交獨立風險報告,它直接對董事會負責。二是建立獨立的全面風險管理職能部門。其任務是輔助高級管理層完成其風險管理責任。主要負責評估和監控企業整體的風險情況,并及時向風險管理委員會報告,提出針對風險來源的具體管理辦法,制定本企業全面風險管理的各項制度,策劃全面風險管理的各項工作,提出全面風險管理的改進方法,建立有效的事后補救機制等。基層所屬單位應改變管理模式,在矩陣式管理的基礎上實現管理過程的扁平化,使風險管理橫向延伸,縱向管理。
(4)建立健全風險識別、評估體系。
要評估風險首先要識別風險,收集分析并綜合處理相關的內部及外部數據為企業提供可靠、及時的風險管理信息。我們可借鑒國際先進經驗并運用現代科技手段,通過風險組織流程,風險計量模型、風險數據庫、風險管理信息系統等手段,采用列出事項目錄、進行內部分析、推進式的研討與訪談、過程流動分析、損失事項數據方法等技術,識別、分析、度量風險與機遇持續過程。建立科學的評估方法,組建一套統一完整的管理工具和風險管理的共同語言,幫助管理層更好地關注,選擇應對風險的措施。這種風險評估體系一旦發展起來并投入實施,就逐步走向了企業風險管理。
3 構建體現全面風險管理的內部控制新機制
3.1 構建具有本企業特色創新風險管理理念
將全面風險管理作為企業文化的一部分,是一個全新的概念。這一概念的提出到最終確立為企業文化還需要一個過程,需要全體員工在全面風險管理理念下的共同努力。因此,要多學習和借鑒其他企業風險管理的技術和經驗,積極探索適合本企業的內部控制管理新方法,只有這樣,全面風險管理的理念才能真正融入到實際工作中,創造一種優良的風險管理文化,改善內部環境,全面風險管理體系才能得到發展。
3.2 構建切合實際的內部控制評價機制
傳統模式下,由于缺乏統一的風險管理決策,各職能部門成為風險管理的權威,崗位管理職責的長期穩定成為保證權威的第一要義,嚴重缺乏對各項崗位職責的主動跟蹤評價系統,往往是出了事故才來修補。作為崗位職責監督者的稽核部門也只是“例行檢查”。因此,企業應根據自身的實際情況,通過確定風險控制環節,落實各部門的崗位管理職責,并對各部門的控制狀況進行定期檢查、評價和考核,強化風險管理責任,提高全員風險防范的意識和能力,從而有效地推進全面風險管理,實現從風險部門的防范轉向全企業、全員防范,將內部控制管理由個人行為提升到企業的整體行為,使企業的內控管理水平不斷提高。
3.3 構建全新的內部控制組織體系原則
一是全面風險管理原則。實施全面風險管理的關鍵在于構建完善的內部控制系統,但目前,企業內部控制體系與全面風險的要求還存在較大的差距。內部控制要遵循全面風險管理的原則,即:(1)全員管理原則,實現對全體員工強化風險意識,做到“橫到邊、縱到底”,將風險意識,印在腦海里,落實在行動上;(2)全過程管理原則,對企業的發展、業務操作的全過程實行風險控制;(3)全方位風險管理原則,不但要包括業務風險,還要包括投資風險、信用風險、合同風險等。
二是分層管理原則。即將風險管理的決策、管理、操作職能分別賦予不同層次的機構,形成金字塔型的組織架構。三是風險管理關口前移原則。將風險的日常監控職能直接設置到業務經營部門內,使風險管理更貼近市場,有利于及時發現風險、控制風險,體現風險管理與業務管理平行作業的特征。
四是協調與效率原則。要保證部門之間權責劃分明確、清晰,便于操作;保證部門之間的信息溝通方便、快捷,準確無誤,保證企業經營管理系統的高效運作。
3.4 構建符合內控要求的業務管理新制度
傳統分散風險管理模式下,為了保證各項業務的順利開展和防范各類風險,各職能部門制定了大量的所謂“全面”的制度。但很多制度剛一制定出來,就失去了實際意義,成為了墻上貼的制度和書本上寫著的制度,制度運行的有效性較差。究其原因,最主要是制度的制定缺乏系統科學的規劃。因此,要在符合內部控制要求的前提下,全面梳理現有規章制度,進一步完善供銷業務、財會業務、中間業務等各項業務的管理制度,整合各項業務操作環節,建立起面向企業、覆蓋所有業務品種和涉及業務全過程的內控管理體系,實現業務發展和風險管理的同步。基層單位要加強對規章制度執行和風險控制情況的自查,形成定期檢查的長效制度。內審部門要充分發揮審計的幫促作用,促使企業逐步建立起業務管理服從規章制度、業務考核服從統一標準的管理新制度。
參考文獻
[1]許謹良,周江雄.風險管理[M].北京:中國金融出版社,1998.
[2]閻達五,楊有紅.內部控制框架的構建[J].會計研究,2001,(2).
【關鍵詞】風險管理 內部控制 企業
社會主義市場經濟的快速發展,給我國的企業帶來了不少新的機遇和挑戰。特別是我國在加入世貿組織后,這樣的競爭風險越來越激烈。企業要長期運行下去,只有與我國的社會主義市場經濟的要求相適應,強化企業的風險管理和內部控制,避免風險,才能使企業在激烈的競爭中有最大的效益,使企業能夠健康良好地發展下去。
一、企業風險管理和內部控制間的關系
(一)從企業風險管理的含義角度來講
所謂的企業風險管理,指的就是對企業經營的各個層面中所蘊藏的風險及時發現與了解,來達到企業的預期戰略目標,分析研究風險,并積極采取措施,來降低企業經營的失敗程度和不確定性。在這個含義中存在兩個重要的因素:①企業存在的風險與目標是密不可分的,風險的造成直接受到企業發展目標的影響;②風險的管理要有科學合理的控制措施,具體來講就是要使風險能夠化解,最重要的就是進行內部控制。
(二)從企業風險管理的方法來講
企業風險的管理是在企業目標的基礎上,所進行的分析風險和測評風險,再通過積極有效的措施進行內部控制。內部控制機制的主要作用就是在內部控制主體所設立的行為規范上,進行內部控制主體行為的調整,如此能夠使企業順利進行各項經濟活動,使企業內部在經濟交易中產生的不同行為得到限制和激勵,從而使交易的成本大大節省。
由此可知,企業風險管理與內部控制是相互存在的,內部控制機制是否健全嚴重影響著企業的風險管理,所以,內部控制機制的建立健全是企業規避風險、提高經營管理水平最佳人的方法。
二、企業風險管理和內部控制中存在的問題
(一)風險管理意識淡薄,不能很好地預測風險
企業目前所面臨的風險主要包括市場風險、運營風險、法律法規風險等等。運營風險在所有的風險中是最重要的一個。企業要建立一個能夠辨別風險和控制管理風險機制,且高風險的范圍要明確,從而加強管理。可這種機制正是我國企業所缺少的,管理風險的意識相當淡薄,沒有辨認風險、評估風險的相應機制。
(二)風險的有效防范措施力度不夠
風險和收益在有效資本市場的條件中是成正比關系的,風險低則收益低,風險高則回報必豐厚。可從內部控制的層面來講,企業在辨認和分析過風險之后,理應通過一些積極又有創新意義的管理風險的措施,使企業能夠接受這樣的風險。不少企業為了獲得更高的經濟效益,冒著風險進行違法運營,讓股東承擔負債風險和公司破產的風險,造成了風險資產的不斷增加,也加大了經營的風險和財務的風險,結果損害了公司和股東的利益。
(三)內部控制的制度沒有執行力,缺少機制的評價
我國有不少企業把內部控制的制度都貼在墻上或寫于紙上,沒有切實的執行力,也很少有企業進行評價其內部控制的制度,大多數都是走于形式。此外,長時間以來,企業管理者考核的根據主要是以利潤為主,其方式也非常單一,鮮有內部控制的綜合評價。
三、加強企業風險管理和內部控制的對策
(一)健全內部控制組織機構,注重內部審計工作
為了提高內部控制制度的執行力,就要不斷完善內部控制制度的組織結構,把內部審計機構的工作提升。內部審計機構的地位,企業要有明確的說明,賦予審計機構部門一定的權威性和獨立性,使企業的審計部門成為企業內部控制制度執行的主要監督機構,且賦予各監督部門進行考核評價其控制制度的執行效果,這樣,才能切實有效地執行企業內部的控制制度。
(二)強化內部控制執行部門的防范風險意識
在加強內部審計監管的同時,也要提高每個執行部門自身的防范風險的意識,執行部門必須根據規定的具體制度進行執行,避免出現由于執行力度不夠、把關不緊而導致的經辦部門和個人為一己之利而給企業帶來整體利益謀私的行為風險。尤其是在信息化的今天,企業的外部環境更是千變萬化,企業如果對內部網絡數據的風險控制不予以重視,那么就有可能導致企業內部人員出現道德風險或者是系統性的風險,從而造成泄露商業數據的風險。所以,執行內部控制的工作人員一定要把泄露商業信息的風險意識加強,以此杜絕為企業帶來巨大的損失。
(三)風險評估要做好,內部控制制度要健全
企業有效進行內部控制的基礎的根據就是企業風險的評估。企業要按照實際工作情況,根據內部控制制度的標準依法建立與企業實際情況相符且有較強操作性的科學合理的制度,要做好風險的評估以及內部控制制度的完善就要從制定制度、執行制度、評估制度和改善制度等方面入手。如果企業的風險評估能夠做好,再依照實際情況進行設立內部控制制度和有關程序,這樣在很大程度上能使人為帶來的風險和制度上風險等得到有效防范。
(四)企業各部門間的執行要相互配合,取得內部控制制度的高效執行
各個部門的工作程序對企業來說都非常的重要,尤其是作為內部控制制度的每個執行部門和個人,要把整體利益作為出發點,內部控制決不能把部門利益和個人利益當作自己工作的出發點,每個執行部門之間的信息要及時溝通,信息要及時共享,這樣更有利于工作的相互配合,能夠快速發現存在的問題,一起分析解決,以避免管理不足,從而使企業整體效益得到提升,企業內部控制的程序也能很好的協作,更加高效地使企業內部的控制制度得以執行,把內部控制制度的意義發揮至極致。
(五)設立內部控制執行的考核與監督激勵的機制
在建立健全了內部的控制制度之后,最重要的問題還是各部門的執行和個人的執行,所以,企業在根據國家法律和企業有關規定的制度運營的同時,也要設立對應的考核機制以及激勵機制,直接影響到執行人員的工作業績,從而使風險防范意識能力得以提高。內部控制制度能夠安全可靠地運行,其可靠的考核機制和工作激勵是重要的保障。
(六)通過市場杠桿的途徑來使企業風險管理水平提高
在企業進行風險管理時,要把市場杠桿所帶來的積極作用發揮至極致,對于企業風險的控制、轉移均可以通過期貨、保險等一些金融手段來實現,但要注意的是操作必須安全規范,同時,還要及時建立健全各種措施策略,以使風險的發生比率大大降低。比如,為了對付多種不同的且無法事先預測的自然災難,就可以采用購買商業保險的方法進行應對,在風險管理中,其作用是十分明顯的。
四、結語
企業風險管理和內部控制是密不可分的,在很大的程度上,企業內部控制制度健全與否直接影響著本企業的風險管理,而要想使企業能夠避免風險、填充不足,提高經濟效益和管理的水平,必須要有健全的內部控制制度。
參考文獻
[1] 謝巧云.基于企業目標、風險管理的內部控制[J].現代商業,2011(18):123-125.
[2] 劉麗萍.企業風險管理措施及內部控制策略探討[J].現代商貿工業,2011,23(19):96-97.
[3] 何洪峰.淺談企業風險管理與內部控制[J].新疆有色金屬,2011,34(3):152-153.
[4] 吳會茹.試論我國中小企業內部控制與風險管理[J].佳木斯大學社會科學學報,2011,29(6):102-103.
[5] 趙來朋.淺議企業風險管理與內部控制[J].現代營銷,2011(11):140-141.
風險管理概念:損失/不確定性等
風險管理的特征:客觀性/普遍性/偶然性/可測性/可變性
風險的類型:環境風險/經營風險/財務風險
企業做大個人的管理能力顯得非常渺小,只有通過科學的控制才有效。
風險可以事先管理,企業時時刻刻承擔著風險如同人的一生活著就有風險都可能得病。
二內部控制的定義:內部控制是一個過程,皆在保證財務報告的準確性,可靠性。
內部控制整體架構:控制環境/風險評估/控制活動/信息溝通/監督
內部控制遵循的原則:全面性原則/重要性原則/制衡性原則/適應性原則/成本效益原則
內部控制五要素a內部環境(治理結構/機構設置/責權分配/內部審計/人力資源/企業文化)
b風險評估(不相容崗位設置:會計與出納分開,管物與管賬分開,采購談判價格與供應商分開,責權分離。授權審批控制即所有人都有審批權,會計系統控制即財務報表的真實性,財產保護控制即企業資產盤點,預算控制即全面預算管理)
c內部監督(分為日常監督與專項監督)
d信息與溝通(各種信息的收集方式與渠道,電子信息的應用,部門之間的溝通與協調)
三企業各類風險:a貨幣資金風險:貨幣資金即企業現金與銀行現金,貨幣資金的安全必須崗位不相容才能保證,公司主營業務收入好說明公司持續穩定,貨幣資金應日清或第三人清查或審計清查。對企業預留印鑒專人保管嚴禁一人保管全部印鑒,經授權人簽字后使用印鑒,現金和銀行存款的控制:庫存現金限額制度/規定現金開支范圍/專人定期核對銀行帳/定期不定期盤點
b應收賬款風險:客戶到期不付款或無能力付款,前期要正確評估客戶的資信程度,如同銀行貸款程序,千萬別把業務員培養成只會賣貨不會收錢的業務員,商務談判能力決定著應收款。應收賬款的監督應每季或半年做應收賬款的信用等級風險評估(有表格),應收賬款的增長率不能高于主營業務增長率(否則公司吃老本倒閉),超過4年的壞賬應放入計提壞賬會使企業凈資產優良。應收賬款如何攤銷?賬齡法:一年以內提2-5%,二年以內提10-20%,三年以內提30-50%,四年以內提50-80-100%
c預收款的內部風險控制:責任分工與授權,銷售與發貨控制,收款控制。
d存貨風險管理:價格變動風險,產品過時風險,自然損失風險在管理上要設立安全庫存量,銷售人員要了解庫存結構努力銷售應有庫存來降低采購降低庫存,不得有同一部門或一人辦理采購與付款業務的全過程。采購業務的不相容崗位:請購(技術后勤)與審批(部門主管),詢價與確定供應商,采購驗收與相關會計記錄等,庫房保管員要建立收發存明細臺賬記錄物質出入庫相信情況。
e資產結構風險:一個企業的實力表現在1總資產2年銷售收入3企業員工,企業資產不是越大越好是越合理越好,變現能力越強越好,財務總監要考慮公司現金流與總資產的合理,出納應每天給劉會現金余額表,銷售部每星期報現金匯款計劃。企業要把降低費用作為獲利的一個根本永遠。
f投資風險評估:風險來源表,風險的分類和分組對項目管理其他方面的要求
內部控制環境五要素:治理結構,機構設置,責權分配,內部審計,人力資源政策,企業文化。
內部控制制度設置:a人事制度控制:建立勞動合同,針對不同級別的管理人員建立不同級別的考核制度,形成規范,系統考核體系評價員工據此獎勵任用,建立公司骨干員工隊伍,有針對性培養,建立內部薪酬體系(薪酬總額與業績指標掛鉤辦法,基本工資發放,高級管理人員年薪管理辦法)。
b人力資源控制:建立嚴格的招聘程序保證應聘者符合要求,制定員工工作范圍,用于引導員工行為,定期培訓用于提高員工素質,堅持績效考核獎罰分明,對重要崗位員工(銷售采購財務)建立信用保險機制,崗位輪換,提高福利增強凝聚力。
關鍵詞:風險管理;內部控制
中圖分類號:F830 文獻標識碼:A 文章編號:1674-7712 (2013) 24-0000-01
一、風險管理和內部控制的聯系
美國全國虛假財務報告委員會下屬的發起人委員會(COSO)1992年提的是“內部控制”,到了2004年是“風險管理”,其內容1992年時包括5個要素,2004年時包括8個要素,說明對風險管理和內部控制有一個認識過程。內部控制應是風險管理的基礎和重要組成部分,它們是一體化的,不能分割的。
內部控制解決的是常規性風險,風險管理解決的是非常規性風險,內部控制解決的是“如何正確地做事”,而風險管理解決的是“如何做正確的事”,它們既有聯系,又有區別,一個企業要成功,二者缺一不可。
二、風險管理和內部控制的區別
“企業風險管理”概念的提出,并不意味著對原“內部控制”概念的摒棄。內部控制是企業風險管理不可分割的一部分,企業風險管理框架并未取代內部控制,而是將內部控制框架整體納入其中。企業風險管理涵蓋了內部控制,是一個更為全面、廣泛的概念。二者的區別主要包括以下方面:(1)企業風險管理涵蓋了內部控制。企業風險管理除包括原內部控制的三個目標之外,還增加了戰略目標;企業風險管理的八個要素除了包括原內部控制的全部五個要素之外,還增加了目標設定、事項識別和風險應對三個要素。(2)企業風險管理強調對風險的控制與應對。風險被定義為“對企業的目標產生負面影響的事件發生的可能性”(將產生正面影響的事件視為機會),涵蓋了信用、市場、戰略、聲譽、業務及財務等各種風險。風險管理包括風險計劃、風險控制和風險應對。這三者共同構成一個完整的風險管理過程。其中,風險控制又分為外部控制和內部控制。內部控制是一種內部風險控制機制,內部控制不同于風險管理。風險管理的首要工作是風險計劃。風險控制是在風險計劃既定的前提下,所開展的各種控制活動。風險控制除了包括內部風險控制之外,還包括外部風險控制。(3)企業風險管理注重對風險的定量分析與管理。企業風險管理引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等新的概念與方法,因此,企業風險管理可以在基于概率統計的基礎上,合理確保企業的發展戰略與風險偏好相一致,從而幫助董事會和高級管理層實現企業風險管理的目標;而原來的內部控制只能在基于定性判斷的基礎上確保內部控制目標的實現。
三、目前企業風險管理工作存在的問題
(1)企業管理者及相關人員風險意識薄弱。加強企業環境控制與風險評估,是提高企業風險管理效率與效果的重中之重。而當前我國企業缺乏一種可以辨認、分析與管理風險的機制,往往出現為了追求高收益而盲目投資等風險。(2)現有風險管理機構不足以應對企業風險。我國企業風險管理機制設計較晚,現有的規章制度也是近幾年開始施行,而企業面臨的外部環境卻變化很快。變化較快的經營環境使得風險管理機制的風險應對能力削弱,甚至失效。(3)風險管理機構組織建設不健全。國務院國有資產監督管理委員會的《中央企業全面風險管理指引》明確規定:企業應建立健全風險管理組織體系,主要包括規范公司法人治理結構,風險管理職能部門、內部審計部門和法律事務部門以及其他有關職能部門、業務單位的組織領導機構及其職責。(4)風險管理機構缺乏真正獨立性。作為企業內部審計的一部分,風險管理機構存在獨立性不足的問題。尤其是中國大多數企業風險管理部門設立不完善、不系統,審計人員的職責不明確,企業風險責任歸屬不清晰,都造成了風險管理工作不可能起到真正的監督作用。
四、構建體現全面風險管理的內部控制新機制
(一)構建具有本企業特色的創新風險管理理念
將全面風險管理作為企業文化的一部分,全體員工在全面風險管理理念下共同努力。學習和借鑒其他企業風險管理的技術和經驗,積極探索適合本企業的內部控制管理新方法,創造一種優良的風險管理文化,改善內部環境,全面風險管理體系才能得到發展。
(二)構建切合實際的內部控制評價機制
傳統模式下,由于缺乏統一的風險管理決策,各職能部門成為風險管理的權威,嚴重缺乏對各項崗位職責的主動跟蹤評價系統,往往是出了事故才來補。因此,企業應根據自身的實際情況,通過確定風險控制環節,落實各部門的崗位管理職責,并對各部門的控制狀況進行定期檢查、評價和考核,強化風險管理責任,提高全員風險防范的意識和能力,從而有效地推進全面風險管理,實現從風險部門的防范轉向全企業、全員防范,將內部控制管理由個人行為提升到企業的整體行為,使企業的內控管理水平不斷提高。
(三)構建全新的內部控制組織體系原則
(1)全面風險管理原則。實施全面風險管理的關鍵在于構建完善的內部控制系統,內部控制要遵循全面風險管理的原則,即:全員管理原則;全過程管理原則;全方位風險管理原則。(2)分層管理原則。即將風險管理的決策、管理、操作職能分別賦予不同層次的機構,形成金字塔型的組織架構。(3)風險管理關口前移原則。將風險的日常監控職能直接設置到業務經營部門內,使風險管理更貼近市場,有利于及時發現風險、控制風險,體現風險管理與業務管理平行作業的特征。(4)協調與效率原則。要保證部門之間權責劃分明確、清晰,便于操作;保證部門之間的信息溝通方便、快捷,準確無誤,保證企業經營管理系統的高效運作。
(四)構建符合內控要求的業務管理新制度
傳統分散風險管理模式下,各職能部門制定了大量的所謂“全面”的制度,但制度運行的有效性較差。究其原因,最主要是制度的制定缺乏系統科學的規劃。因此,要在符合內部控制要求的前提下,全面梳理現有規章制度,進一步完善供銷業務、財會業務、中間業務等各項業務的管理制度,建立起面向企業、覆蓋所有業務品種和涉及業務全過程的內控管理體系,實現業務發展和風險管理的同步。基層單位要加強對規章制度執行和風險控制情況的自查,形成定期檢查的長效制度。內審部門要充分發揮審計的幫促作用,促使企業逐步建立起業務管理服從規章制度、業務考核服從統一標準的管理新制度。
參考文獻:
關鍵詞:內部控制;風險管理;比較
中圖分類號:F27文獻標識碼:A
企業內部控制是由企業董事會、經理層以及其他員工共同實施的,為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。企業風險管理也是一個過程,是由企業的董事會、管理層以及其他人員共同實施的,應用于戰略制定及企業各個層次的活動,旨在識別可能影響企業的各種潛在事件,并按照企業的風險偏好管理風險,為企業目標的實現提供合理的保證。盡管風險管理與內部控制有內在的聯系,但現實中或代表目前應用水平的內部控制與風險管理還有不小的差距。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較,如銀行業的授信管理或市場(價格)風險管理(如匯率、利率風險等)。典型的內部控制是指會計控制、審計活動等,一般局限于相關財務部門。它們的共同點是低水平、小范圍,只局限于少數職能部門,并沒有滲透或應用于企業管理過程和整個經營系統,因此有時看上去風險管理與內部控制還是相互獨立的兩件事。
一、風險管理與內部控制關系研究回顧
內部控制的最初思想是內部牽制。它產生于古埃及的國庫管理,其目的是防范財產風險。內部控制的現代思想是企業風險管理,它是企業組織規模擴大和資本大眾化的產物。內部控制與風險管理的結合很早就引發了人們的關注,但對于兩者關系的看法存在分歧。主要有以下三種觀點:
(一)風險管理包含內部控制。COSO(2004)明確指出,企業風險管理包含內部控制;內部控制是企業風險管理不可分割的部分;內部控制是風險管理的一種方式,企業風險管理比內部控制范圍廣得多。英國Turnbull委員會(2005)認為,風險管理對于企業目標的實現具有重要意義,公司的內部控制系統在風險管理中扮演關鍵角色,內部控制應當被管理者看作是范圍更廣的風險管理的必要組成部分。南非King II Report(2002)認為,傳統的內部控制系統不能管理政治、技術和法律等諸多風險,風險管理將內部控制作為減輕和控制風險的一種措施,是一個比內部控制更為復雜的過程。Krogstad(1999)認為,內部控制不存在于真空或暗箱之中,而存在于協助組織進行風險管理并提升有效的治理程序之中。
(二)內部控制包含風險管理。加拿大COCO報告(CICA,1995)認為,“控制”是一個組織中支持該組織實現其目標諸要素的集合體,實質上就是“內部控制”,或者說是用“控制”一詞表達“內部控制”概念。COCO報告認為,風險評估和風險管理是控制的關鍵要素。CICA (1998)將風險定義為,“一個事件或環境帶來不利后果的可能性”,闡明了風險管理與控制的關系,即“當您在抓住機會和管理風險時,您也正在實施控制”。巴塞爾委員會的《銀行業組織內部控制系統框架》中指出,“董事會負責批準并定期檢查銀行整體戰略及重要制度,了解銀行的主要風險,為這些風險設定可接受的水平,確保管理層采取必要的步驟去識別、計量、監督以及控制這些風險……。”這里顯然是把風險管理的內容納入到了內部控制框架中。
(三)內部控制就是風險管理。Blackburn(1999)認為,風險管理與內部控制僅是人為的分離,而在現實的商業行為中,它們是一體化的。Laura F.Spira等(2003)分析了內部控制是怎樣變為風險管理的,并指出“將內部控制定義為風險管理強調與戰略制定的聯系,刻畫了內部控制作為組織支撐的特點,但是它也掩蓋了一個不爭的事實,即現在沒有人真正明白內部控制系統是什么”。Matthew Leitch(2004)認為,理論上風險管理系統與內部控制系統沒有差異,這兩個概念的外延變得越來越廣,正在變為同一事物。
二、基于COSO報告下的內部控制與風險管理比較
內部控制與風險管理有著密切的聯系。COSO認為,內部控制是風險管理的一部分。因此,該委員會在《內部控制框架》的基礎上又于2004年出臺了最新報告――《企業風險管理框架》。《企業風險管理框架》繼承并包含了《內部控制――整體框架》的主體內容,同時擴展了三個要素,增加了一個目標,更新了一些觀念,旨在為各國的企業風險管理提供一個統一術語與概念體系的全面的應用指南。COSO對內部控制與風險管理的定義及其組成要素分別是:
企業內部控制是由企業董事會、經理層以及其他員工共同實施的,為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。它包括五個方面的組成要素:控制環境、風險評估、控制活動、信息與溝通、監督。
企業風險管理是一個過程,是由企業的董事會、管理層以及其他人員共同實施的,應用于戰略制定及企業各個層次的活動,旨在識別可能影響企業的各種潛在事件,并按照企業的風險偏好管理風險,為企業目標的實現提供合理的保證。它有八個組成要素:內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督。
(一)內部控制與風險管理的相同點。從COSO的兩份報告來看,企業風險管理與內部控制有以下相同之處:
1、它們對參與主體要求相同。二者都是由“企業董事會、管理層以及其他人員共同實施的”,強調了全員參與的觀點,指出各方在內部控制或風險管理中都承擔著相應的角色與職責。
2、它們都對企業實現目標提供合理保證。設計合理、運行有效的企業內部控制與風險管理能夠向企業的管理者和董事會在企業各目標的實現上提供合理的保證。
3、它們都明確是一個“過程”。二者本身并不是一個結果,而是實現結果的一種方式。企業內部控制與風險管理都應該是滲透于企業各項活動中的系列行動。這些行動普遍存在于管理者對企業的日常管理中,是企業日常管理所固有的。
4、它們都維護投資者利益。從理論上說,企業的內部控制是企業制度的組成部分,是在企業經營權與所有權分離的條件下對投資者利益的保護機制。其目的就是保證會計信息的準確可靠,防止經營層操縱報表與欺詐,保護公司的財產安全,遵守法律以維護公司的名譽以及避免招致經濟損失等。企業風險管理則是在新的技術與市場條件下對內部控制的自然擴展。COSO在《企業風險管理框架》中談到風險管理的意義時是這樣論述的:“企業風險管理應用于戰略制定與組織的各層次活動中,它使管理者在面對不確定性時能夠識別、評估和管理風險,發揮創造與保持價值的作用。風險管理能夠使風險偏好與戰略保持一致,將風險與增值及回報統籌考慮,促進應對風險的決策,減小經營風險與損失,識別與管理企業風險,為多種風險提供整體對策,捕捉機遇以及使資本的利用合理化。”從維護與促進價值創造這個根本功能來看,風險管理與企業內部控制目標是一致的,它們都想實現保全資產并創造價值的作用。只是在新的技術市場條件下,為了更有效地保護投資者利益,需要在內部控制的基礎上發展更主動、更全面的風險管理。
(二)內部控制與風險管理的區別
1、目標體系不同。風險管理的目標有四類,其中經營類目標和遵循性目標與內部控制的目標基本重合,但報告類目標有所擴展,它不僅包括財務報告的準確性,還要求所有對內對外的非財務類報告準確可靠。另外,風險管理增加了戰略目標,即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果,而且介入了企業戰略(包括經營目標)制定過程。查劍秋等(2009)經研究得出,戰略內控體系績效與企業價值具有顯著正向相關性,即企業戰略內控的好壞會影響到企業戰略執行績效,并最終影響企業價值。由此可見,風險管理增加了內部控制未提及的戰略目標,也彌補了內部控制在企業戰略層面的一定缺陷。
2、組成要素不同。風險管理增加了目標設定、事件識別和風險應對三個要素,控制環境要素也改成了內部環境。“目標設定、事件識別和風險應對”不僅豐富和完善了風險管理內容,還體現了風險組合觀。“內部環境”要素內容除包含“控制環境”要素內容外,還增加了風險管理哲學、風險偏好等內容;在名稱相同的要素中,風險管理對相關內容都進行了補充和提升。例如,在風險評估要素中,風險管理要求考慮內在風險與剩余風險,以期望值、最壞情形值或概率分布度量,考慮時間偏好以及風險之間的關聯作用。在信息與溝通方面,風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理,規定了信息的深度與及時性。
3、風險管理理念不同。《企業風險管理框架》借用現代金融理論中的資產組合理論,提出了風險組合與整體管理的觀念,要求從企業層面上總體把握分散于企業各層次及各部門的風險暴露,以統籌考慮風險對策,防止各部門分散考慮與應對風險,如將風險割裂在技術、財務、信息科技、環境、安全、質量、審計等部門,并考慮到風險事件之間的交互影響,防止兩種傾向:一是部門的風險處于風險偏好可承受能力之內,但總體效果可能超出企業的承受限度,因為個別風險的影響并不總是相加的,有可能是相乘的;二是個別部門的風險暴露超過其限度,但總體風險水平還沒超出企業的承受范圍,因為事件的影響有時有抵消的效果。
4、產生效益的方式不同。內部控制側重制度層面,通過規章制度規避風險;風險管理側重交易層面,通過市場化的自由競爭或市場交易規避風險。一般來說,典型的內部控制依然是為了保證資金安全和會計信息的真實可靠,會計控制是其核心,內部控制一般限于財務及相關部門,并沒有滲透到企業管理過程和整個經營系統,控制只是管理的一項職能;典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益的比較,如銀行的授信管理、匯率風險管理、利率風險管理等,它貫穿于管理過程的各個方面。
三、研究結論
綜上所述,內部控制側重制度層面,通過規章制度規避風險;風險管理側重交易層面,通過市場化的自由競爭或市場交易規避風險。而隨著時間、技術市場等條件的不斷變化,風險管理與內部控制的范疇又在相互轉化。從靜態上看,風險管理與內部控制互有交叉;從動態上看,二者又互相轉化。我們可以看出,風險管理的決策是確定內部控制重點的依據,而一個強有力的內部控制是實現有效風險管理的基礎,內部控制的動力來自企業對風險的認識和管理。
(作者單位:河北經貿大學會計學院)
主要參考文獻:
[1]毛新述,楊有紅.內部控制與風險管理――中國會計學會2009內部控制專題學術研討會綜述[J].會計研究,2009.5.
[2]陳志斌,何忠蓮.內部控制執行機制分析框架構建[J].會計研究,2007.10.
[3]潘琰,鄭仙萍.論內部控制理論之構建:關于內部控制基本假設的探討[J].會計研究,2008.2.
[4]董月超.從COSO框架報告看內部控制與風險管理的異同[J].審計研究,2009.4.
[5]楊雄勝.內部控制理論面臨的困境及其出路[J].會計研究,2006.2.
[6]吳水澎,陳漢文,邵賢弟.企業內部控制理論的發展與啟示[J].會計研究,2000.5.
[7]楊有紅,胡燕.試論公司治理與內部控制的對接[J].會計研究,2004.10.
[8]于增彪,王競達,瞿衛菁.企業內部控制評價體系的構建――基于亞新科工業技術有限公司的案例研究[J].審計研究,2007.3.
2002年美國牽頭頒布了奧克斯法案(又稱為薩班斯法案),在薩班斯法案中明文規定企業要保證內部控制體系的有效性。兩年后,美國的COSO委員會結合薩班斯法案,又頒布了《企業風險管理框架》(即ERM框架),為企業的風險管理提供應用指引。2008年,我國財政部借鑒美國風險管理得經驗,頒布施行了《企業內部控制基本規范》,要求企業根據規范的內容制定內部控制框架,對提高我國企業內部控制的有效性具有重要意義。
二、企業風險管理理論及內部控制理論
(一)企業風險管理的內涵
對于風險管理的內涵,理論界莫衷一是。美國頒布的《企業風險管理框架》對企業風險管理是這樣定義的:風險管理是由管理當局、董事會以及相關人員共同實施,貫穿于制定發展戰略以及企業管理的過程中,實現對企業潛在風險的鑒別,使所發生的管理風險能在企業的控制范圍內,并確保企業戰略目標的實現。ERM框架對企業風險管理的定義較為寬泛,因而可以適用于不同類型的企業。這個定義主要注重的是實現企業的戰略目標,能有效衡量企業存在的風險,進而對風險進行管理。
(二)企業內部控制的內涵
企業內部控制,貫穿于企業經營管理的全過程,其具體是指企業進行自我約束、自我保障以及自我調節的過程。通過內部控制,可以令企業有效規避經營風險,達到保護企業財產、規范企業管理的目的。完善的企業內部控制系統,有利于優化企業的資源配置,提高企業資源利用效率,最終達到為企業投資股東創造最大利潤的戰略目標。
(三)風險管理與內部控制的關系
從理論發展以及社會實踐角度看,內部控制與風險管理逐漸走向融合,我國商務部頒布的《企業內部控制基本規范》主要是借鑒美國ERM框架的內容,所制定的內部控制的構成要件以及目標與風險管理的要求極為相似,都是注重于發展戰略、市場運行、財務管理、法律規范以及經營管理等方面的內容。實際上,風險管理與內部控制的內容是相互交叉、相互融合的,二者相輔相成、密不可分。
三、風險管理導向下企業的內部控制現狀
從上文中我們知道,企業的風險管理與內部控制是相互交叉、相互融合的,然而就目前情況來說,我國企業的風險管理以及內部控制卻存在多方面的問題。
(一)企業經營管理者風險管理的意識淡薄
我國企業面臨著經濟危機以及經濟體制改革多方面的挑戰,企業管理者的管理才能比計劃經濟時代有了廣泛提升,對企業經營風險有了進一步的認識,然而,進行風險管理的意識仍然薄弱,缺乏對企業風險管理重要性及其必要性的理解。由于風險管理在短時間內無法產生直觀的經濟效益,且需要設置專門的管理崗位,這加深了企業高層管理者認為風險管理只會束縛手腳,降低企業辦事效率的意識,使風險管理沒有得到貫徹落實,這會直接導致企業內部發生財務風險。因而,企業管理者應該提高風險管理的意識,將企業的實際情況與國際上先進的風險管理經驗結合起來,探索并建立完善的內部控制制度是企業可持續發展的必由之路。
(二)企業內部控制的環境混亂
企業的內部環境是指企業文化、領導者的品質、風險管理知識、企業員工的道德觀以及董事會等組織結構所共同組成的管理環境。從目前情況看,我國企業普遍缺乏對內部控制環境的重視,導致企業內部控制的環境混亂。如企業經營管理者的控制意識不強、企業文化缺失、員工的整體道德素質偏低、董事會沒能發揮應有作用等。大多數企業沒有理解內部環境各部分的內容,導致企業的內部控制基礎薄弱,使企業發生的經營風險脫離企業的控制。2004年發生的“中航油事件”就是一個針砭時弊的例子,由于該公司內部控制環境紊亂,使得新加坡子公司的總裁陳久霖輕易挪用了該公司的巨額款項,用于進行石油衍生品期權交易,導致企業資金的流失。
(三)企業管理制度的執行力差
制度的核心在于有效執行,如果執行力薄弱甚至是沒有執行,那么再完善的制度也發揮不了其應用的作用。導致企業風險管理以及內部控制執行力差的原因是多方面的,主要包括企業執行管理者的素質不高、企業的資源配置不合理、組織結構設置不當等方面的原因,這些問題普遍制約著我國企業風險管理以及內部控制的執行。此外,制度的不完善以及制度本身的局限性會加大企業風險管理以及內部控制制度執行的難度。
四、基于風險管理的企業內部控制體系的構建
(一)加強企業風險管理的意識
要加強企業風險管理意識,首先,要提高企業高層管理人員對風險管理知識的學習,進而向全體員工推行企業風險管理的文化,自上而下提高企業所有人員對風險的認識,逐步提高企業對風險的控制能力,加強企業的風險管理。要建立并完善覆蓋企業各個經營部門的內部控制制度。其次,要保證企業財務管理者(尤其是財務執行人員)的風險管理意識,規范企業財務管理的各項活動,確保財務會計數據以及企業負債情況真實可靠,并能如實反映企業的經營情況,及時反饋財務管理的漏洞,預防財務風險的發生。最后,企業要進行經營體制的改革,采取多元化經營方式以分散經營風險,管理層企業要提高企業抵御風險的能力。
(二)制定合理的企業發展目標
明確企業的發展目標,企業才能針對目標進行全面的風險管理,才能有效識別、評估并應對經營風險,不同的目標會使企業面臨不容的經營風險。企業制定發展目標時,經營管理者需對自身經營劣勢及優勢進行客觀評估,分析企業所面臨的機會以及挑戰,并分析企業所處的的內部、外部環境,識別對企業發展有利或者不利的因素,并根據分析的結果來確定企業的風險控制的容量,企業風險控制的容量水平影響著企業的發展方向。基于此,企業只有依據自身風險控制容量來制定發展目標,才能將發展過程中所面臨的風險進行有效控制。
(三)提高企業內部控制的執行力度
企業只有貫徹落實科學的內部控制制度,才能保證企業抵御風險能力的增強。完善企業內部的考核制度是企業經營發展的關鍵環節,在企業管理中也應該將考核制度應用到企業內部控制之中。考核制度應用于企業內部控制,一方面要將企業內部控制的執行情況納入到考核的范圍,在進行考核的過程中,及時改進內部控制出現的問題。另一方面要對企業內部控制執行力強的個人或者部門給予表揚,同時要懲罰執行不力的個人或者部門,確保企業內部控制制度執行到底。
(四)完善企業內部控制的外部監督機制
企業在進行資源配置、發展目標規劃等內部控制過程中,應充分發揮財務管理部門的監督作用。財務管理部門要通過確認會計數據來實現對企業內部控制的監督,確保會計信息、負債情況真實,并如實反映企業經營情況,企業根據經營情況對企業有可能面臨或者已經存在的風險進行預防或規避。管理實踐表明,加強對企業內部控制的監督,是加強企業內部控制行之有效的方法。完善企業內部控制監督機制不僅有利于企業的可持續發展,也是市場經濟有序運行的必然要求。
對企業風險管理的有效性進行審查和評價是現代內部審計發展的必然趨勢。從風險管理審計的意義分析入手,針對我國企業風險管理審計存在的問題,研究風險管理審計對我國企業規避風險的作用并提出相應的實施對策,構建風險管理框架,增強企業抵御風險的能力。
關鍵詞:
風險管理審計;內部控制;內部審計
中圖分類號:D9
文獻標識碼:A
文章編號:16723198(2012)24020202
經濟的快速發展,各種不確定性因素的不斷增加,導致企業面臨著各種各樣的風險。企業的生存發展、預期目標的實現都取決于企業能否對風險進行有效地管理和控制,而企業對風險管理工作的監督和評價直接決定了有效性的程度。
1風險管理審計的意義
風險管理審計以風險管理為基準,審核被審計機構在風險識別、管理和評價等方面的有效性及合理性,在損失發生以前能進行有效的安排,使得損失發生后所需的各種資源與維持有效經營所必要的各種資源可以達到適當的平衡,進而幫助企業實現其目標。
1.1加強風險管理審計是強化現代企業內部控制的需要
風險管理已經成為企業內部審計的一項重要職責,其目標就是要防止風險、及時發現風險、預測風險可能造成的影響,并設法把不良影響控制在最低程度。內部控制簡單來理解就是組織內部采取的風險管理,內部控制的設計和執行應該針對風險管理的要求,而風險管理在很大程度上也依賴于內部控制。
1.2加強風險管理審計是現代審計方法變革的需要
企業的經營規模不斷擴大、經濟活動也越來越復雜,因而在審計資源有限的條件下,傳統的賬項基礎審計方法難以實現審計目標。發達國家普遍推行的制度基礎審計需要以有效健全的內部控制為前提,而目前我國企業管理水平不高,來自于公司內部的風險較高,使得制度基礎審計模式的應用還存在障礙。這就需要科學、適用的方法幫助企業做好風險管理工作,確保審計工作的有效實施。
1.3加強風險管理審計是完善企業風險管理運行機制的需要
微軟公司采取以財務總監為領導的風險管理組織部門模式,杜邦公司采取以審計委員會為責任、由公司高層組成的企業風險管理委員會的模式,國外企業建立適合自身發展的風險管理運行機制對我國有著重要的啟示。健全的風險管理運行機制對有效開展企業的風險管理審計工作。
1.4加強風險管理審計是管理層及相關利益者的需要
內部審計過程中管理層承擔著企業全部的風險管理責任,而經營決策權與所有權相分離的現代企業管理模式增加了了企業的經營風險,管理層對下級的控制困難與自身強烈的風險管理責任的驅動,促使他們對風險管理審計的迫切要求。而投資人等相關利益者與企業管理層所掌握信息的極度不對稱,也決定了這些利益相關者更加關心企業風險管理的能力。
2我國風險管理審計存在的問題
2.1風險管理審計的制度化和規范化建設還不健全
我國企業風險管理審計的實務工作起步較晚,風險管理審計部門或機構的自我評價運行機制較弱。目前我國尚缺乏健全的、公認的風險管理審計準則,與其相關的法律、法規也不完善,致使風險管理審計活動的主觀隨意性較大,也就不能保證風險管理審計實施的標準化。
2.2企業內部控制環境不完善
企業的內部控制環境是所有風險管理要素的基礎,而法人治理結構缺乏真正的相互制約機制,建設緩慢的企業文化嚴重阻礙了內部控制發揮其作用,協調利益相關者的機制、內部控制的信息披露制度的不完善都在一定程度上影響了我國企業內部控制環境的基礎作用。從而影響企業戰略和目標的制定、業務活動的組織,更重要的影響企業對風險的識別、評估和反應。
2.3審計管理技術落后
會計信息化的迅速推廣對風險管理審計的技術提出了新的要求,審計人員綜合知識和業務能力水平的欠缺,不僅增加了審計工作的難度,也嚴重影響了審計工作的效率。
2.4企業管理的信息化程度較低
風險管理審計是一項相當復雜的系統管理工程,從熟悉企業的現實情況到具體實施審計工作,再到最終提出審計管理建議及后續審計工作,都需要對企業經營管理方面的大量數據和資料進行整理并分析。目前,我國大多數企業管理的信息化程度相對較低,審計人員在收集有關資料數據時,工作效率較低,難度系數較大,從而制約了風險管理審計工作的實施。
3我國風險管理審計的實施對策
3.1增強風險管理觀念
(1)提高企業風險意識,使企業防范于未然。
風險防范于未然,要轉變企業的觀念,提高企業的風險意識,將企業的風險管理理念納入企業的經營管理工作的始終。同時風險管理審計工作人員也應當轉變其觀念,盡快實現由以前那種傳統賬項的基礎審計、制度基礎的審計轉向風險的管理審計,并且充分認識企業風險管理工作的重要性,使企業的風險管理審計能夠真正有效的發揮作用。
(2)重視企業的經營風險,同時兼顧其他潛在的管理風險。
企業的風險管理是維持企業長期穩定發展的重要途徑,風險管理工作的宗旨就是對影響企業長期持續發展的各種不穩定因素進行分析管理,減少并控制這些不穩定因素給企業帶來的影響。企業的內部審計工作人員在注重企業的經營風險管理工作的同時,對與企業有關的其他相關風險也應給予足夠的重視。
(3)企業風險無時不在,風險評估需經常化。
企業風險隨時都可能發生,而且不斷變化,因此風險管理審計工作必須要求做到經常化。要不定期地或周期性地開展較全面的風險審查預測評估,并且在此基礎上對重要的風險點開展及時的專項風險審計工作,尤其應對企業內部控制制度的評價中所發現的重大失控點必須予以高度的重視,并采取有效的措施堵塞漏洞,以便減少或者消除內控失控點以及風險點。此外,風險管理審計還應予以制度化,企業的決策者或者管理層應對企業風險管理審計的內容、范圍、審計結果及方法的利用等做出更加明確的規定,將其納入到內部控制制度中,約束乃至強制各機構部門執行,進而達到防范甚至消除風險的目的。
3.2健全企業審計環境
(1)建立、健全完善的內部控制系統。
企業的風險管理與內部控制相互依存,風險管理是企業內部控制的關鍵要素之一,而企業的內部控制又是企業內部審計工作的直接對象,通過對企業內部控制的實施活動加強風險管理,降低企業的風險。通過內部審計工作的檢查、評估來不斷促進企業內部控制的健全與完善,進而將企業所要面臨的風險控制在企業能夠接受的范圍,進而促進企業整體目標的實現。
(2)建立與風險管理審計相匹配的內部審計。
企業的管理層應在內審章程中明確內部審計部門在企業風險管理中的地位及作用、權力和職責以保護和規范企業內部審計活動,保證企業內部審計在企業中地位的相對獨立性。加強企業內部審計機構的自身建設,提高處理企業風險的能力,增強內部審計工作人員自身的風險預測分析能力,保持和促進內部審計相關職能的專業化水準,推行科學的現代審計技術方法,使企業的風險管理審計工作得到有效的實施。
3.3提高審計工作質量
(1)保證審計人員的獨立性。
審計人員的獨立性直接關系到審計結果客觀公正與否。因此如何在企業內部從制度上、審計工作中保證審計工作的獨立性至關重要。另外從外部聘請專職審計人員參與到企業的審計項目中來,也可以在一定程度上保證審計自身的高度獨立性。
(2)注重審計人員的素質培養。
審計工作要求審計人員具有靈活的創造性思維、語言交流的能力、并熟練掌握審計程序及審計有關方法等,除要求審計人員本身所具有的這些能力,企業應注重提高審計工作人員的后續再教育程度,使其知識結構更加全面、合理。
3.4創新風險管理審計技術與方法
計算機會計信息管理系統的發展和應用促使計算機審計系統在我國企業風險管理審計工作中的推廣和應用。審計部門可以配備專門的或外聘擅長信息技術方面的專職人員或專門機構,將傳統的手工查賬的方法與先進的計算機技術有機結合,在企業內部建立一個完善的、高效的審計信息化管理系統及審計操作實踐平臺,提高審計的效益,更好地服務于企業風險的預測、評估和控制。
隨著企業規模的擴大,經濟的迅猛發展,風險管理審計成為企業內部審計發展的必然趨勢。有效實施風險管理審計,將企業面臨的風險最大程度的降低,從而提升企業在激烈的市場競爭中的地位,以實現長遠發展。
參考文獻
[1]劉偉偉.我國風險管理審計存在的問題及對策[J].企業導報,2009,(6).
[2]李建文.對內部審計參與企業風險管理的認識[J].經濟師,2010,(7).
[3]李曉光.淺議企業風險管理審計[J].經濟師,2011,(8).
[4]鞠水生.企業實施風險管理審計之思考[J].財會研究,2009,(3).
20世紀90年代以后,許多國家政府以及有關國際組織紛紛加大了對風險管理和內部控制及公司治理的研究,并了一系列的文告,就風險管理及與之緊密相關的內部控制問題做出了規定,其中,尤以COSO的《企業風險管理――整體框架》最具代表性。本文以美國企業風險管理框架為重點,探討我國企業建立風險管理的必要性。
一、COSO的內部控制整體框架和風險管理整體框架
(一)《內部控制――整體框架》關于風險管理的論述
1992年,COSO了其研究報告《內部控制――整體框架》,并于1994年進行了增補修訂。在該報告中,COSO(1992)指出,企業必須了解它所面臨的風險,并加以處理。企業必須制定目標,而目標又必須與銷售、生產、營銷、財務等活動相結合,如此企業才能很好地運作。企業還必須建立識別、分析和管理相關風險的機制。
COSO(1992)提出了內部控制的五個要素,其中之一便是風險評估。COSO(1992)指出,每一個主體都面臨著各種來源于內部和外部的風險,這些風險必須加以評估。風險評估的前提之一是建立目標,不同層次的目標應當相互聯系并保持內部一致。風險評估是指識別、分析與實現目標相關的風險,它是決定這些風險應如何管理的基礎。由于經濟、行業、管制和經營條件會不斷發生變化,應當建立相應的機制以識別并處理與這些變化相關的特定風險。COSO(1992)指出,須從企業整體和作業兩個層次來識別風險。企業整體層次的風險可能由外部或內部因素而產生。外部因素如:科技發展、顧客的需求或預期改變、競爭、新頒布的法律法規、天然災害、經濟環境改變;內部因素如:信息系統處理的中斷、員工的品質、經理人的責任改變、企業活動的性質以及員工可接近企業資產的程度、董事會或監事會不夠堅定或無效。
(二)風險管理的新發展:《企業風險管理――整體框架》
2004年,COSO了其研究報告《企業風險管理――整體框架》。風險管理整體框架(ERM)是在內部控制整體框架基礎上發展而來的。COSO(2004)指出,風險管理框架不想也沒有替代內部控制框架,但它將內部控制框架整合在內,采用這一框架,企業既可以滿足內部控制的需要,也可以建立一個完整的風險管理過程。
1.風險管理的目標
COSO(2004)認為,主體的目標包括四個:
(1)戰略目標,是高水平的目標,它應與組織的使命一致并支持該使命;
(2)經營目標,組織應當有效率和效果地使用資源;
(3)報告目標,組織應當提供可靠的報告;
(4)遵循目標(合規性目標),即組織應當遵循相關的法律規章。
企業風險管理實際就是為實現上述目標提供合理的保證。
2.風險管理的內容
企業風險管理包含以下方面的內容(作用):
(1)協調風險偏好和戰略。管理層在評估不同的戰略、確定相關目標、建立相關風險的管理機制時,應考慮組織的風險偏好。
(2)改進風險反應決策。企業風險管理要求識別并在不同的風險應對策略(包括規避、降低、分擔與接受風險)中做出選擇。
(3)減少經營意外與損失。提高組織識別潛在事項并做出反應,減少意外事項及相關的成本或損失的能力。
(4)識別并管理多個企業之間以及企業內部的風險。每一個企業都面臨無數的、會影響組織不同方面的風險,企業風險管理應當有助于對相關關聯的影響作出有效的反應,并對多企業的風險作出整體性反應。
(5)抓住機會。通過考慮所有的潛在事項,管理層應當能夠識別并實現機會。
(6)改善資本的配置。在獲得關于風險的信息后,管理層可以有效地評估總體資本需求并改進資本的配置。
企業風險管理的上述作用,有助于管理層實現組織的經營和盈利目標,并防止資源損失。企業風險管理有助于保證提供有效的財務報告和對法律規章的遵循,并有助于避免組織聲譽的損害及相關不良后果。總之,企業風險管理有助于企業向其所期望的方向發展,避免在發展的過程中遭遇陷阱和意外。
3.風險管理的要素
企業風險管理包含八個相互關聯的要素。這些要素來源于管理層管理企業的方法,并與管理過程合成一個整體。這些要素包括:
(1)內部環境。內部環境包含了組織的風格,它確定了組織人員如何看待和處理風險的基礎,是其它要素的基礎。內部環境具體包括風險管理哲學、風險偏好、董事會、誠實度和道德價值觀、組織結構、勝任能力、人力資源政策與實務、權責分配。
(2)目標設定。在管理層辨別影響其目標實現的潛在事項之前,必須有目標。企業風險管理要求管理層設定目標,選擇的目標需要能夠支持組織的使命并與組織使命相一致,并與其風險偏好相一致。
(3)事項識別。即識別那些影響組織目標實現的內外部事項,并區分為風險和機會。機會將被考慮進管理層的戰略或目標設定過程中。
(4)風險評估。必須對風險加以分析,考慮其發生的可能性以及影響,并作為確定這些風險應如何加以管理的基礎。應當對固有風險和殘存風險加以評估。
(5)風險應對。管理層應在不同的風險應對(包括回避、接受、降低、分擔風險)中做出選擇,從而采取一系列與組織的風險容忍度(risk tolerances)和風險偏好相一致的行動。
(6)控制活動。應建立相關的政策和程序,以確保風險應對策略得到有效的執行。控制活動通常包括兩個要素:確定應從事何種活動的政策、執行政策的程序。
(7)信息與溝通。應當按照特定的格式和時間框架來識別、捕捉相關信息并加以傳遞溝通,從而使人們可以履行其職責。有效的溝通存在于較廣泛的意義上,包括向下、向上以及平行交互溝通。
(8)監控。整個企業風險管理都應當加以監控并根據需要做出調整。監督可以通過持續性的管理活動、單獨評價或者二者同時來實現。
對于這八個要素,COSO(2004)指出,企業風險管理不是一個嚴格的序列過程,即一個要素僅影響下一個要素,而且是一個多方向的、相互影響的過程,任何要素都可以并且確實影響其它的要素。
4.風險管理目標與風險管理要素的關系
COSO(2004)認為,目標是主體要實現什么,企業風險管理的要素則意味著需要什么來實現它們,因此,風險管理的目標與要素之間存在密切的直接聯系。這樣,企業目標、風險管理要素與企業各個層級之間就形成一個三維立體圖。
二、美國風險管理準則對我國的啟示
從以上COSO風險管理準則內容和要求上,可以看出存在以下特點:
(一)將風險管理與內部控制聯系在一起。內部控制是風險管理的重要手段,董事會應當建立并維持有效的內部控制系統以實現風險管理。
(二)均強調風險管理是一個包含風險識別、計量和應對的系統化過程。風險識別、計量、應對和控制活動是一個緊密的整體,企業必須識別面臨的潛在風險,并評估其對企業的影響,從而采取相應的措施來應對風險。在風險識別和分析、評估的技術上,均強調應當結合采用定量技術和定性技術。另外,人們越來越認識到,風險是無法絕對消除的,因此,風險管理的目標是將其控制在主體的風險偏好以內,而不是消除風險。反映到風險應對策略上,相關的風險管理準則大都強調風險的應對措施包括回避、抑減(降低)、轉嫁(分攤)、接受,應當根據風險發生的可能性、對主體的影響以及主體自身的風險容量選擇適當的應對措施。
(三)強調風險管理應當融入到企業日常經營活動中,并貫穿于企業的各個層次、所有的經營活動。風險管理針對的是企業經營活動中對企業目標實現產生影響的風險事項,因此,風險管理必須與企業的經營活動緊密地結合在一起,在經營活動中處處體現風險管理的理念與做法,這不僅有助于及時識別企業所面臨的風險事項,也有助于降低風險管理成本、提高風險管理效率。
(四)強調控制環境的作用。公司的高層基調、管理層的管理哲學、董事會和相關委員會、員工的勝任能力對于有效的風險管理具有重要作用,如果沒有一個良好的、注重風險管理的內部環境,風險管理很難取得成功。
(五)強調全員參與。全員管理是現代風險管理的重要特征,風險管理不僅僅是風險管理部門的事,而且需要靠企業的全體員工來落實,所有員工都會影響到企業風險管理的效果,企業應當使所有員工了解自己在風險管理中的作用。
(六)強調信息與溝通。信息和溝通對于良好的風險管理和內部控制相當重要,下層要了解公司的風險管理戰略和政策、措施,并有順暢的向上溝通風險管理和內部控制情況的渠道,上層要及時向員工及外部了解企業面臨的重大風險及其管理情況。
(七)強調定期對風險管理過程和內部控制進行評估,并對發現的缺陷和不足加以報告。風險管理是一個持續的、動態的過程,企業的內、外部環境在不斷地變化,這決定了原先的控制未必有效,因此,必須定期對風險管理過程和內部控制的有效性進行評估,以找出其缺陷和不足并及時采取補救措施。
在市場經濟體制下,企業按照現代企業制度的機制運行,具有產權明晰、自主經營、自負盈虧、自我發展的自,完全具備了作為市場主體角色的資格。同時,企業所面臨的內外部各種風險以不同于以往的方式和程度影響著企業目標的實現,從而使風險管理成為企業管理不可缺的一個方面。
(一)現代企業風險的特征
1、非預期性。相對于計劃經濟體制下的企業而言,現代企業風險更多地來自企業外部,而產生外部風險的各種因素均是企業不可控的,其發生與否以及何時發生,企業事先不得而知。對企業內部風險, 由于外部風險波及,其不可預期性也有不同程度的加大。
2、非可控性。如上所述,企業風險多由外部不可控制的環境因素產生,并波及至企業內部。對企業風險的防范,從根本上來說主要是先從外部風險做起,在有效降低外部風險影響程度的基礎上,減少其再向企業內部的波及的范圍和程度。
3、綜合作用。現代企業面對不僅有內部因素,更有外部環境因素影響;不僅有國內的;也包括國際的;在現代企業風險管理體系中,公司治理從企業整體角度理順關系,內部控制程序則從執行層面對企業風險的防范發揮作用。內部審計作為內部控制的重要組成部分,與風險管理密不可分,其在風險管理中發揮著不可替代的獨特作用。
二、內部控制與風險管理的聯系日趨緊密
在決定內部控制政策,并在此基礎上評估特定環境中內部控制的構成時,企業決策層應對諸多風險管理問題進行深入思考。比如:公司面臨風險的性質和程度;公司可承受風險的程度和類型;風險發生的時間及可能性;公司自身防范風險的能力;實施風險管理的成本,以及從相關風險中可能獲取的利益等。
管理層在執行企業風險控制政策過程中,應準確確認、評價公司所面臨的風險,并執行決策層所設計的內部控制政策,對企業風險進行有效的管理。
三、內部審計理論的新發展
審計理論和方法在經歷了詳細檢查、從詳細檢查轉為初步抽樣、以及測試內部控制并廣泛采用抽樣進行審計的三個發展階段后,目前已發展到了以測試評價企業風險為主要方法的風險導向審計階段。為順應內部審計理論及實務的變化,國際內部審計師協會(IIA)在1999年對內部審計重新定義為:內部審計是用來增加組織價值和改善組織運營的獨立、客觀的保證和咨詢活動。它以系統專業的方法對風險管理、控制及治理過程的有效性進行評價和改善,幫助組織實現其目標。
這一新定義又將內部審計的范圍延伸到風險管理和公司治理層面,認為內部審計是針對風險管理,控制及治理過程的有效性進行評價和改善所必需的。
四、內部審計的主要職責就是風險管理
隨著風險導向審計時代的來臨,內部審計的工作重點也發生了變化。現代內部審計除了關注傳統的內部控制外,更加關注有效的風險管理機制設計的合理性及其運行的有效性。在風險導向審計觀念下,年度審計計劃與公司決策層風險戰略連接在一起。內部審計人員通過對當前風險的分析確保其審計計劃與經營計劃相一致,并使風險管理貫穿于審計計劃執行的全過程。在風險導向審計觀念中,內部審計的工作重點不僅是測試控制,而且包括確認風險以及測試管理風險的方法;控制仍然重要,但分析、確認、揭示關鍵性的經營風險等相關風險,才是內部審計的焦點。
五、內部審計在風險管理中的作用
內部審計在企業內部控制體系中處于獨特的位置,有著其他內部控制組成部分所不具有的不可替代的獨特的風險管理作用。
(一)能夠以獨立、客觀的姿態,從企業全局角度對風險進行管理。
風險在企業內部所具有的感染性,傳遞性和不對稱性等特征,即一個部門所造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔,而是沿著相關工作程序傳遞給其他部門,最終可能會使整個企業陷入困境。因此對風險的確認、防范和控制需要從全局角度考慮,而其他的業務部門較內部審計部門而言,很難做到這一點。內部審計人員不從事企業具體的業務活動,相對獨立于相關業務活動和業務部門,而且直接隸屬于企業高層管轄,這就使得他們可以從全局角度出發,以某種超然的姿態對企業風險進行客觀地認別確認和評價,及時便捷地向企業高層匯報有關情況,便于企業從全局高度對風險進行有效管理。
(二)控制、指導企業的風險策略。
由于企業內部審計部門處于企業決策層和執行層之間,內部審計人員充當了企業長期風險策略與各種決策控制的協調人角色。通過對長期規劃與短期計劃的協調,以及對實際執行缺陷和成功經驗的互動反饋,內部人員可以起到調控、指導企業風險管理策略的作用,使企業風險管理體系以良性循環的態勢不斷完善和發展。
一、企業內部控制與風險管理的關系
1、內部控制與風險管理目標上的一致性
現代企業建立內部控制制度最初的目的就是為了防范企業存在的潛在風險,早期的內部控制制度就是在保障企業財務以及會計信息安全的背景下產生的,內部控制與風險管理目標存在很大的一致性。另外,從現代企業經營發展的趨勢來看,內部控制與風險管理的最終目的都是為了提升企業的經營管理水平,提高企業的經濟效益。
2、內部控制與風險管理的外延以及內涵存在差異
企業內部控制主要是由內部監督、風險評估、信息與溝通、控制活動以及內部環境五個方面組成的,而風險管理則在此基礎上增加了目標設定、風險識別以及風險應對三個重要的因素。因此,企業風險管理的外延要比內部控制大,其已經延伸到企業戰略層面和治理層面的管理,并且尤為強調對企業風險的識別、評估和控制。風險管理中提出了戰略目標的概念,而內部控制的重點主要放在制度層面,通過制度的設計和實施來對風險進行防范。因此,在激烈的全球市場競爭下,建立風險管理體系更加有助于企業規避風險能力的提高。
3、內部控制與風險管理存在很大的互補性
風險管理能夠有效地將企業面臨的潛在風險識別出來,再通過企業內部控制來對風險進行防范、控制和管理,最終實現企業的經營管理目標。因此,內部控制作為企業風險管理的重要環節,對實現企業長遠戰略目標有著極為重要的意義;同時,內部控制的有效性又依賴于風險管理對風險的合理識別和評估,兩者具有很大的互補性。
二、風險管理視角下企業內部控制存在的問題
1、企業風險管理意識比較淡漠
市場經濟的發展以及經濟全球化增加了市場的各種不確定性因素,企業不僅面臨著傳統的經營、財務風險,還面臨著經濟全球化給企業帶來的新型金融風險、控制風險、信息風險等。內部控制以及風險管理的主要目的就是對企業潛在風險進行防范和控制,為企業戰略目標的有效實施提供保證。然而,目前我國大多數企業風險管理意識較弱,對風險的理解還停留在傳統的經營、財務風險階段,對完善企業風險管理機制的重要性認識不足。雖然我國一些企業制定了內部控制制度和程序,但是很少有企業將風險管理的理念融入到企業內部控制制度中,內部控制有效性的發揮大打折扣。另外,一些建立了較為完善的風險管理與內部控制的企業,由于企業的管理層缺乏重視,制度往往難以得到有效的執行和實施。
2、企業缺乏完善的風險管理體系
從內部控制的角度而言,企業應該對面臨的風險進行主動的識別和分析,并采取相應的管理和防范措施,盡量降低或避免風險。然而,目前我國一些企業風險管理的意識不強,定量和定性相結合的風險評估方法缺失,沒有成立專門進行風險識別、評估、分析和管理的機構,風險評價與預警機制不健全,風險防范和管理的能力比較低下。尤其是近些年來,隨著我國很多企業逐步涉足資本金融市場,參與金融衍生產品交易的程度越來越深,很多企業為了追逐高收益,往往忽視了金融衍生品交易帶來的高風險,企業對新型金融風險的管理能力嚴重缺乏,導致企業所面臨的財務風險、法律風險以及破產風險等大大提升,嚴重損害了企業的長遠利益,制約了企業的健康可持續發展。近些年中航油以及中信泰富等企業參與金融衍生品交易發生的巨虧事件,就是由于企業內部控制以及風險管理體系不健全,導致企業沒有能夠對風險進行及時的識別、分析和應對,給企業帶來了巨大的損失。
3、企業缺乏健全的內部控制監督機制
內部控制以及風險管理作用的發揮是一個長期的持續性的過程,因此需要有健全的監督機制提供保障。內部審計是目前我國大多數企業內部監督機制的主要方式,很多企業在內部審計制度建設方面存在著問題。主要表現在:首先,很多企業的內部審計水平比較低下,內部審計工作的重點主要放在企業經營、舞弊以及特殊項目審計方面,而在內部控制制度的執行以及風險管理體系有效性的發揮方面嚴重缺失;其次,我國大多數企業雖然成立了內部審計部門,但是由于獨立性的缺失,導致內部審計的監督作用無法有效發揮。很多企業內部審計職能往往是由財務人員代為實施,內部審計的程序以及手段極其不專業。一些企業的內部審計人員在開展工作時往往要受到企業管理層以及其他部門的干涉,這些因素都導致內部審計的獨立監督作用無法發揮,內部控制以及風險管理的執行無法得到監督。
三、風險管理視角下加強企業內部控制的對策建議
關鍵詞:企業風險 風險管理 內部控制
在全球經濟一體化的大背景下,企業間的國際競爭加劇,面臨的風險也更加多樣化。金融危機的發生導致很多企業成了金融危機時代的犧牲品。我國企業想要在激烈的競爭中生存并且健康發展,必須提高企業競爭力,從內部完善自己,加強企業管理,建立完善的內部控制制度,找到適合我國企業的內部控制和風險管理制度,識別和衡量企業面對的內外風險以提高企業的競爭能力,實現企業的價值已成為了企業當前最迫切的事情。
1. 企業風險管理的基本內容
風險管理是研究風險發生規律和風險控制技術的一門新興管理科學,是指風險管理單位通過風險識別、風險衡量、風險評估和風險決策管理等方式,對風險實施有效控制和妥善處理損失的過程。風險管理作為一門新興學科,具有管理學的計劃、組織、協調、指揮、控制等職能,同時又具有自身的獨特功能。
COSO委員會在《企業風險管理框架》中也對風險管理做出了規定,它指出:全面風險管理是一個過程,這個過程受董事會、管理層和其他人員的影響,從企業戰略制定開始貫穿至企業的各項活動中,用于識別那些可能影響企業的潛在事件并管理風險,使之在企業的風險偏好之內,從而合理確保企業既定的目標。”風險管理包括內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督八個互相影響的因素。
2.企業內部控制與風險管理的關系
2.1企業內部控制與風險管理要素有機融合
COSO的兩個框架實現了內部控制5 要素(應當包括內部環境、風險評估、控制活動、信息與溝通、內部監督這五要素)與風險管理8 要素(內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督八個互相影響的因素)的有機融合,通過強化內部控制環境,明確企業內部控制系統的層級制度和相應責任,增強企業全員應對風險的主體意識,促使管理層在充滿風險的環境中更有效的運營。
2.2企業內部控制與風險管理兩者目標趨同
COSO《內部控制―整合框架》提出了運營、財務、合規三個方面的內部控制目標,是由企業董事會、經理階層和其他員工制定和實施的,為達到經營的效果和效率、財務報告的可靠性以及相關法律法規的遵循性等三個目標。COSO《企業風險管理一一整合框架》在上述三類目標的基礎上增加了戰略目標。風險管理的目標由兩個部分組成:損失發生前的風險管理目標和損失發生后的風險管理目標,前者的目標是避免或減少風險事故形成的機會,包括節約經營成本、減少憂慮心理;后者的目標是努力使損失的標的恢復到損失前的狀態,包括維持企業的繼續生存、生產服務的持續、穩定的收入、生產的持續增長、社會責任。二者有效結合,構成完整而系統的風險管理目標。
2.3風險是內部控制產生和發展的主要動力
現實生活中存在著很多的不確定性,不確定性是指經濟行為者在事先不能準確地知道自己的某種決策的結果,或者說,只要經濟行為者的一種決策的可能結果不只一種,就會產生不確定性,所以風險總歸是存在的,需要對其進行控制。有效的內部控制對于在確保一定目標實現的方面所發揮的作用是不言而喻的。內部控制能夠降低風險,并且應該隨著風險的變化而變化,沒有一種一成不變的內部控制體系能夠應對所有的風險,風險的存在要求有與之相適應的內部控制。另外內部控制的存在還要有利于提高企業內部的管理效率,促進公司價值最大化目標的實現。
2.4內部控制是風險管理的必要環節和有效手段
2006年,國務院國資委頒布的《中央企業全面風險管理指引》中指出,風險管理的單個決策包括:風險承受、風險分擔、風險規避、風險轉移、風險降低、風險轉換、風險對沖、風險補償和風險控制等,同時也明確了兩種風險管理方案:風險管理解決的外包方案和內部控制方案。其中風險降低是指采取適當的控制措施來降低風險,而風險分擔是指借助他人的力量和控制措施將風險控制在企業能承受的范圍之內。這兩者都說明了內部控制是風險管理的有效手段。
內部控制主要是從風險控制的方式和手段說明風險管理的,風險管理就是從風險控制的目的來說明內部控制的。風險管理著重了對風險的分析、識別和應對。總之,風險管理應該是當前經濟條件下對內部控制的完善和提升,從而更加豐富和拓展內部控制的內涵和外延。
3.當前我國企業風險管理存在的問題
3.1企業內部控制的基礎控制環境不完善,使風險識別與評估受阻
對于控制環境的把握是實行內部控制的基礎和前提,這對于企業制定戰略目標和計劃、組織業務經營活動和對風險進行識別都影響甚大。但是我國企業普遍存在著不重視內部控制環境的改善的問題,內部控制環境紊亂的現象嚴重。
3.2內部控制的機構體系不合理,公司治理結構不規范
許多企業的內部控制制度只是形式主義,形同虛設,并沒有真正的實施,即使有實施,它所起的作用也不大,不能應對管理層凌駕于內部控制之上的風險,無法制約高層管理者。公司治理結構不規范,不能有效制衡管理層的強大權力,董事會沒有或者不能負起監督管理層的責任,企業管控模式的不合理,無法有效控制企業風險,組織結構設計不合理,不能建立有效的內控和相互制衡的機制;此外企業還存在人情味太濃,內部人員之間缺少必要的溝通,信息反饋滯后等嚴重不合理的狀況,需加強治理和改善。
3.3風險管理意識淡薄,管理水平低
企業面臨的風險具有多樣性,主要有市場風險,運營風險、信貸風險、法律風險、管制風險等等。目前,企業普遍存在缺乏風險管理意識的情況:第一沒有風險事項的識別機制去識別風險,只是被動地等到風險出現以后才想著如何去補救和應對; 片面追求發展速度,制定不切實際的目標或盲目擴展投資,使企業承受無謂的風險;第二沒有適當的風險評估體系,無法知道面臨的風險所能帶來后果的嚴重程度,導致了企業面臨更大的不確定性,而增加了實現企業價值最大化目標的難度; 第三缺乏包含決策、管理和具體執行層在內的完整的風險管理組織。內部審計限于財務報表審計和經濟責任審計,缺乏對風險管理情況的檢查和監督;第四沒有適當的風險應對機制,企業不會提前預測風險,也就不會有可能的應對措施來在第一時間進行解救困境,還只是停留在出現問題然后解決問題的事后彌補狀態。
3.4缺乏風險管理體制
缺乏系統的風險管理體制,沒有將風險管理的手段和內控程序融入到管理與業務的制度與流程中,無法識別影響企業達標的風險,進而無法對風險進行監控及管理。
4.改進內部控制,加強風險管理的措施
4.1加強對控制環境的關注度,提高控制效率
企業的經營目標是企業的價值最大化,所以經營過程中會受到成本效益原則的制約,不可能很全面地考慮到內部控制的各個方面,因此只能抓住關鍵的控制點才能建立有效的控制制度,所以就需要對經營業務活動中容易產生風險的環節以及其他對企業產生重大影響的環節加以控制,培養員工的風險管理意識并強化他們的責任意識,及時對內部控制制度的有效性做出評價。另外因為我們國家證券市場處于轉軌階段,大部分企業的股權結構異化,公司治理狀況令人堪憂,沒有真正得到實施,應該加強企業的公司治理的建設,建立經營管理層權力的相互制衡以及相互監督的體系,從根本上改善企業的內部控制環境,防止內部風險超越內部控制而對企業的內部控制造成不利影響。
4.2調整企業內部控制機構體系,加強企業治理層面的內部控制
對于管理層凌駕于內部控制之上的風險,我們應該將企業的內部控制進行細分,具體分為經營層面上的內部控制和治理層面上的內部控制,治理層面上的內部控制要能應對管理層凌駕于內部控制之上的風險,建立相應的權力制衡機制和互相監督的管理模式,給員工一定的監督和制約的權利,實現全面的監督,對公司的風險實施全面的控制,更好的貫徹落實內部控制制度。
4.3提高風險管理意識,完善企業的風險預警體系
從風險的視角看的內部控制其特征應該以風險評估為基礎,企業應該從整體層面來分析風險的影響效果,選擇策略來實現企業價值最大化的目標,企業面對的風險是變化的,企業應當及時掌握客觀詳細的信息,進行綜合分析,取得應采取的針對性的策略,掌握應對風險的主動權,不要只是停留在出現問題才解決問題的時候彌補狀態,要做到事前控制,事中控制,事后控制相結合,把風險帶來的損失減低到最小,維護企業價值最大化的目標。
4.4建立風險管理型的內部控制體系,提高對風險的應對能力
企業建立風險管理型的內部控制體系,以風險作為切入點和核心實施企業的內部控制,有效指導和約束內部控制制度的制定和實施。在實踐中,運用制度、流程和財務等手段,管理和控制業務層面上的運營風險和操作風險,將管理模式與企業的實際情況相結合,充分利用企業的現有資源,更好的發揮風險管理的作用并且健全了企業的內部控制。
參考文獻:
[1]吳水澎.薩班斯法案、COSO風險管理綜合框架及其啟示[J].學術問題研究,2006,(2).
[2]謝志華.內部控制、公司治理、風險管理:關系與整合[J].會計研究,2007,(10)
[3]賴章奎.內部控制與企業風險管理關系之探析[J].管理觀察,2008,(13).
[4]李雅琴.基于風險管理的企業內部控制探析[J].會計之友,2009,(7).
[5]鮑建青.基于風險管理的內部控制研究[J].經濟師,2009,(10)
[6]杜國棟.企業內部控制與風險管理解析[J].經濟研究導論,2010,(2)
[7]侯微.基于風險管理視角的企業內部控制體系重構[J].工商管理,2010,(3)
[8]肖杰.基于我國企業內部控制改進的財務風險防范分析[J].赤峰學院報,2010,(4)
關鍵詞:企業 風險管理 內部控制 內部審計
企業所處經營環境的多樣化和多變性帶來較高的經營風險,內部審計應當轉變理念,融入企業內部控制體系建設,促進風險管理體系升級和完善,增強風險防控的預見性、敏銳性和風險處置的及時性和有效性,確保企業健康有序發展。
一、內部審計在企業內部控制中的作用
內部審計作為企業內部控制系統中的重要環節,旨在監督、檢查、評價企業內部各項經營管理活動,以促進企業加強內控體系建設,提高發展質量和效益。
(一)對內部控制進行風險評估
內部審計能根據企業設定的控制目標,全面系統的收集相關信息,并結合實際情況,準確識別與實現控制目標相關的內部風險和外部風險,確定相應的風險承受度。對識別的風險,運用定量和定性結合分析排序,確定關注重點和優先控制的風險。在風險分析結果的基礎上,結合風險承受度,權衡風險與收益,確定風險應對策略。
(二)促進建立良好的控制環境
控制環境是企業治理層、管理層及其他經營管理人員對內部控制的態度、認識和措施,是內部控制的基礎。內部審計能夠幫助企業建立核心企業文化,完善誠信的道德價值觀。改善組織機構建設,針對組織機構存在的不合理之處提出關于改進政策和程序的有效建議。并評估、測試企業各級從業人員的職業道德素質,確保企業切實履行國家法律法規、行業規章及社會責任。更為重要的是,內部審計地位的獨立性和權威性能夠確保審計結果得到重視、落實及運用,從多個方面促進企業建立良好的控制環境。
(三)監督內部控制有效運行
內部審計處于企業內部,熟悉各項經營管理業務,可以準確有效的獲取各項內部控制信息資料。其不直接參與企業各項經濟活動,相對獨立性較高,與其他部門不存在利益沖突,最適合進行內部控制運行有效性的監督。內部審計監督內部控制實際上是對內部控制的再控制,最終目的是保證內部控制有效運行,順利實現內部控制目標。內部審計能夠對企業內部控制運行中存在的問題,有針對性地提出改進建議和措施,確保內部控制有效,企業經營活動健康有序。
二、內部審計在企業風險管理中的作用
內部審計參與到企業風險管理中,發現并評價重要的風險因素,促進企業改善風險管理體系,提高風險控制水平和風險應對能力,實現對風險的有效駕馭和化解。
(一)檢查與評價
內部審計從確定風險領域、評價風險控制程序的有效性、檢查風險管理過程的效果三個方面入手,檢查和評價風險管理的充分性和有效性,報告并提出改進意見。首先分析企業已存在的各項經營風險以及會導致產生風險的各項內部和外部因素,確定風險領域,提出改進風險防范的建議。其次是測試企業風險控制程序的適當性和有效性,并做出評價報告,對風險控制程序不合理及效率較低之處提出改進建議。最后是檢查風險管理過程,查找持續存在的風險及其長期存在的原因,并對風險管理過程有效性進行評價,提出改進風險管理、增加企業價值的建議。
(二)管理與協調
內部審計相對企業其他部門具有較強的獨立性,能夠圍繞企業發展中心,切合企業利益,從實際出發,宏觀、客觀地識別、評價及管理存在和潛在的風險。并能夠站在大局角度,推動企業開展風險管理,參與風險管理過程,主動協調風險管理環節,提出風險防范的有效建議,促進被審計單位改善經營管理,提高風險管理水平。
(三)咨詢與服務
內部審計能以其專業勝任能力,在企業風險管理框架建立過程中,向管理層和相關部門提出建立及完善企業風險管理的建議,完善風險管理的制度、流程及效率,協助企業建立適當、有效的全面風險管理機制。同時通過對風險管理辦法、措施的測試和評估,查找風險管理存在的問題,檢查、評價風險管理流程并報告,提出管理建議,改善管理層風險管理流程的效果和效率。
(四)報告與防范
內部審計在充分檢查、評價風險管理過程的充分性和有效性后,與企業相關部門適當溝通,及時對審計結果落實、整改及運用情況進行報告或跟蹤審計,及早控制和防范風險。同時,內部審計滲透于企業經營管理各個環節,測試、評估并報告內部控制的充分性和有效性,有效地堵塞了管理控制漏洞,杜絕了舞弊現象的發生。
三、如何發揮內部審計在企業內部控制和風險管理中的作用
有效的內部審計在企業決策機制、監督機制、激勵機制、風險管理和可持續發展等方面都發揮著重要作用。從企業整體利益和長遠發展的觀點來看,內部審計要逐步調整到內部控制評審、企業風險評估方面上來,并將事后審計逐步向過程控制、事前審計轉變。
(一)實施有效的內部控制執行監督
適時開展內控制度評審,對內部控制過程予以適當的監督。確保內部控制得到切實地執行且執行的效果良好,降低企業經營風險。一是掌握正確的審計測試方法,運用合適的審計測試技術,搞好內部控制測試與調查,為審計評價、監督提供客觀準確的信息。二是做好內部控制的分析評價工作,發現企業內部控制的缺陷,提出合理化建議,為建立健全內部控制提供依據。三是實現審計監控模式轉變。進行實時監督和測試,有效開展連續審計和后續審計,提高內部審計的反應能力,為決策者提供實時依據。同時加強審計落實整改,保證有效性,充分發揮內部審計在企業內部控制執行中的監控作用,督促各項內控制度的落實。
(二)開展以風險為導向的內部審計
內部審計在企業風險管理中扮演著參與、分析、咨詢、評價的角色。為充分發揮內部審計在企業風險管理與公司治理中的作用,內部審計應開展以風險和控制為核心的審計監控業務活動。
首先,在風險評估的基礎上制定審計計劃,以風險管理及控制為導向選擇審計項目,在審計過程中和審計問題的處理上均要考慮風險的影響與控制。其次,將風險管理融入到常規審計項目中,針對日常審計中發現的問題和漏洞,進行風險識別和分析,將企業的風險按序排列。探究風險形成的原因尤其是主要原因,并進行風險評估。同時向管理層講明風險的危害程度及將會造成的后果,促進管理層采取一定的措施來解決問題。再次,針對重要風險和薄弱點進行風險管理的功能性審計和程序性審計。功能性審計在于檢查風險、識別及評估認定損失的可靠性和準確性,風險控制是否取得預期的效果。程序性審計在于評價企業應對風險的策略及控制方案的程序是否建立,功能是否完善。通過檢查,確定承受風險的程度和承擔風險的能力,為風險管理部門提供建議,以規避或減少風險損失。最后,考慮到內部審計的獨立性,避免利益沖突,確定以內部審計牽頭、協調各部門開展企業整體風險評估活動,共同提高風險控制水平。
(三)將風險審計與內部控制測試結合
通過開展風險審計和內部控制測試,建立風險防范與內部控制兩者之間的互補關系。內部控制是企業管理工作的基礎,而風險審計是防范企業風險的預警系統。通過內控測試能夠發現經營和管理漏洞,完善各項管理制度,規避和減少風險。通過風險審計能夠發現化解各類風險,解決內部控制中不執行或者執行效果不良的局面。應將兩項工作有效結合,使兩者在規范企業經營行為,保障經濟健康發展上發揮聯動作用。
參考文獻:
[1]五部委.企業內部控制基本規范.財政部網站
[2]中國內部審計協會.內部審計具體準則第16號—風險管理審計.中國內部審計協會網站
