企业内部控制与风险管理范文
发布时间:2023-09-21 10:02:58
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业内部控制与风险管理范例,将为您的写作提供有力的支持和灵感!
篇1
2内部控制整体框架与企业风险管理整体框架
2.1内部控制整体框架
在1929年美国AAA(会计师协会)和FRB(联邦储备委员会)的《会计报表的验证》中,首次提到内部控制这一名词,1992年美国的COSO委员会提出的《内部控制—整体框架》中指出,内部控制是一个过程,一个由经理以上阶层和员工共同实施的过程,其主要的目的就是使企业达到运营效果,与此同时,要严格遵循相关的法律法规,并保证企业财务报告的可靠性。这就是COSO委员会认为的内部控制。在COSO委员会在1992年9月的《内部控制—整体框架》中,明确提出了支撑内部控制的框架五要素,分别是:控制环境、控制活动、信息与沟通、风险评估以及监督,这五元素共同构建了内部控制整体框架。各元素之间的关系是相互制约的。
2.2企业风险管理整体框架
企业风险管理是一个过程,它是渗透于企业各项活动中的行动,企业风险管理所涉及的人员是整个企业的员工,不分阶层,一个企业要想茁壮成长就必须要将风险管理过程应用在每个部门和每一位员工身上。企业风险管理既可以从企业的总体对其进行分析,也可以从单独的部门对企业有一定认识,企业风险管理框架的目标就是实现企业的目标。构成企业风险管理的八要素分别为:内部环境、目标制定、风险反应、风险评估、事项识别、信息和沟通、控制活动和监督。其中,需要注意的是风险反应,它主要分为四类:减少风险、共担风险、规避风险与接收风险四类,企业应对每一个重要的风险都要考虑相应的风险反应方案。
3从企业内部控制走向全面风险管理———3C全面风险管理框
在企业中实施企业全面风险管理是新时期下的环境所导致的,在我国企业的管理中,风险管理是一个相对薄弱的环节,近年来,由于我国企业的风险管理工作薄弱而引发的事件不再少数,所以,建立我国企业全面风险管理框架成为了我国企业发展的首要问题。我国在2004年由COSO委员会颁布了内部控制整体框架基础,这一框架的迎来了全面风险管理时代。2008年5月了《企业内部控制基本规范》,在这一规范中,能够明显看出,我国由原来的理论框架已经逐渐走向了风险管理,进一步完善了中国企业内部控制规范体系,在2010年4月,我国又相继了《企业内部控制配套指引》,并在2012年进一步完善了该条例,要求实行企业内部控制规范体系的企业,要对企业本身进行自我评估,并相应地作出自我评价报告,交由政府监管部门进行监督检查,这充分说明了我国企业正在从内部控制走向全面风险管理。我国企业要想提高市场竞争力,实现可持续发展,就要建立完善的企业内部控制体系,首先,管理者要树立风险管理理念,提高管理层的风险意识,对企业所涉及的风险要素进行分析,并制定相应的措施去应对,同时,还要加强道德与行为准则体系建设,适当地激励或是约束企业员工,建立一套具有操作性的行为规范和准则。除此之外,要明确企业的战略目标,需要注意的是,在设定战略目标的时候,要考虑企业自身能够承受的风险数量。
在以上的基础上,借鉴国外企业风险管理的经验,将目标—风险—管理这三个体系结合在一起,构建3C全面风险管理框架。在3C全面风险管理框架下,具体要实现以下五个目标,分别是:保护企业不因灾害事件遭受损失;达到企业整体经营战略目标;保证信息沟通以及财务报告的可靠性;有效率的运营;遵守法律。3C全面风险管理初步分成三层,还可以根据企业的自身情况进行细分。制定3C全面风险框架的目的就是将风险整合起来进行管理,有利于推动我国企业的进一步发展。以中国电信湖南公司为例,中国电信湖南公司构建全面风险管理,主要是为顺应国有资产出资人的要求和资本市场监管机构的要求,提出了企业全面风险管理的目标和要求,同时,也是为了促进企业内部经营管理的需要,随着中国电信这个大集团的不断发展,该公司面临的挑战越来越多,那么相对应的风险程度也就越来越高,所以,为了提高企业的经营管理效率,该公司决定实现全面风险管理。在整个管理的过程中,中国电信湖南公司完全按照国家的政策执行,并且不断进行体制机制的创新和改革,切实地推进五项集中管理,通过建立现代企业制度、实施主辅主附分离、建立集中统一的会计管理体系、加快推进战略转型和建立有效支撑公司战略的内部运营体系,加强内部控制,来满足了国有资本监督管理的要求。此外,中国电信湖南公司还要成立独立的风险管理部门,以此来确定整个企业的风险管理工作,同时,还成立了全面风险管理工作团队,将整体的风险管理策略传递到各个部门中并予以实施,总之,要将系统论的思想重新进行考量,并且切实地应用到电信企业全面风险管理中,以此提高公司的抗风险能力,保证公司全面风险管理水平能够上升,进一步促进了企业的可持续发展。全面风险管理是一个复杂的系统,从某种程度上说,企业风险管理包含了企业内部制度,同时,二者之间又形成了新的目标—战略目标,这是企业的最高目标。实际上,企业风险管理具有四个构成要素,分别是:目标设定、风险评估、风险应付和事项识别,它们成为了我国企业风险管理中最重要的组成部分。我国未来企业应该建立完善的内控制度,提高全面风险管理意识。企业为了适应当前千变万化的市场环境,应该将全面风险管理切实地应用到管理活动中,与此同时,企业要根据ISO的《风险管理原则与实施指南》加强风险管理,将风险管理带进新的发展阶段。
篇2
美国次贷危机引发的全球性金融危机,对我国的经济发展产生了强烈冲击,经济增长速度明显放缓,世界范围内的经济危机对我国实体经济的负面影响持续蔓延,市场环境变得更加动荡不安,经营风险加大,由此也引发了企业对如何加强风险管理的思考。
一、风险管理
风险表现为发生损失的可能性。风险管理就是企业识别、评估和应对各种经营风险的过程。企业的经营风险是不可避免的,企业应当结合不同发展阶段和业务拓展情况,积极进行风险管理,尽可能地降低风险,有效地减少可以避免的损失。
内部控制,是指为了合理保证企业财务报告的可靠性、经营的效率和效果、资产的安全以及对法律法规的遵守,由企业治理层、管理层和全体员工设计和执行的政策和程序。作为每个企业管理中非常重要的一环,良好的内部控制,是企业重要的风险管理手段之一,加强企业内部控制对提高企业经营管理水平、风险行为防范能力,确保企业战略目标得以实现具有重要意义。2009年公布的《中国上市公司2009年内部控制白皮书》统计结果表明:内部控制越好的公司投入资本回报率越高,内部控制的加强有助于提高投入资本回报率。
现阶段,由于我国的市场经济体制尚不完善,市场环境的不规范性较为突出,再加上许多企业正处于转型期,各种不确定因素加剧。因此,我国企业迫切需要完善其内部控制,有效地防范和应对企业面临的各种风险。
二、我国企业内部控制与风险管理的现状
1.管理层的内部控制观念薄弱,员工不参与风险管理
有些管理人员对内部控制的认识和理解上存在偏差,认为内部控制只是企业内部的各种规章制度的简单汇总。他们错误地认为内部控制只能起到日常管理员工的作用,对其在风险管理中的重要性认识不足。有的企业内部控制的可操作性不强,风险管理水平较低。他们通常只重视风险的应对,而轻视风险的预防,导致企业出现重大以外事件的可能性增大。殊不知有效地预防风险,比风险发生后再想办法去补救以及事后纠正更有利于降低企业的损失,而且事先防范风险比事后应对风险更容易掌握主动权。
有的企业没有树立全员参与风险管理的观念,认为风险管理只是企业治理层和管理层的事情,与一般的基层员工无关。没有让企业的一线员工参与风险管理,其后果通常是难以发现风险管理过程中的薄弱环节,防患于未然。让企业的每一位员工在工作时,都考虑风险因素,才能从源头上防范风险。
2.内部控制设计存在缺陷,风险管理机制不健全
传统的内部控制设计仅仅局限于对财务信息的真实性和可靠性的监督管理,对于财务风险以外的其他风险则往往不加以考虑。而合理的内部控制设计应全方位地考虑企业所面临的各种风险,如市场风险、金融风险、法律风险和投资风险等也应当包含在内。企业应该抓住经营管理过程中的所有关键控制点,根据实际情况设计相应的内部控制,而且要防止企业管理层可能出于欺诈目的或屈从于外部压力的因素(如时间或成本等)而凌驾与内部控制之上,内部控制可能会被规避,形同虚设。
3.缺乏有效的风险监管措施
保障制度的有效执行,需要有效的监督加以配合。有效地执行设计合理的内部控制,才能真正达到防范风险的目的。所以,对内部控制的监督是重要的风险管理措施之一。目前,我国许多企业忽视对内部控制的监督制度,尤其缺乏可以量化的风险管理制度。例如,内部审计是一种风险监督的重要措施。但由于内部审计工作不带有强制性,也不能对外出具具有法律效力的审计报告;所以,我国的内部审计工作长期以来一直得不到重视,很多企业不是没有建立内部审计制度,就是内部审计没有真正发挥其监督管理的作用。比如,从岗位设置看,目前企业大部分的内部审计部门,基本上与其他职能部门平行,大多数中小企业甚至还没有独立的内部审计部门。从已有岗位设置的企业来看,这种机制也往往会使内部审计机构及人员受集团利益因素制约、中国传统的人际关系的影响,无法独立、客观、真实、公正、深入地开展工作,做出的审计处理也往往因管理体制的制约,致使许多内部审计过程流于形式,工作也缺乏自身应有的地位和威信,使内部控制这样的有效机制,变成“内部人控制”的机制。
三、完善内部控制,加强风险管理
1.加强员工业务素质培训,提高员工业务能力
随着社会主义市场经济的发展和现代企业制度的建立和完善,企业面临着严峻的挑战。企业包括会计人员在内的现有员工的知识结构、业务能力和法制观念已不能满足需要。对于企业来讲,员工应具备良好职业道德、专业能力和职业技能,但是企业往往现有的员工并不能完全具备这些能力,提高员工风险意识和职业技能是企业应该补上的重要一课,企业要针对人员的现状,应采取多种措施加强员工教育培训,并注意内部控制管理模式,体现相关培训体系性和实效性。只有通过提升全体员工的职业意识和基本职业技能,提高全体员工理性对待企业和工作的能力,才能适应国家发展经济的需要,提高整个企业的团队职业形象和职业技能,进而提高企业的经济效益。
2.重视以风险管理为导向的企业文化建设
有些企业存在员工因为缺乏合理对待公司和工作的心态而带来的浮躁和动荡。建设以风险管理为导向的企业文化,其目标就是培育员工积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新的团队合作精神,树立现代管理理念,重视内部控制,强化风险意识。在加强员工业务素质培训的同时,还要开展诚信教育,增强其自我约束能力。努力建立以诚信为基础的企业文化,一方面可以保证企业的经营合法合规,另一方面可以防范由于员工的失德行为给企业带来不必要的损失。而且口碑好的企业文化还有助于提高企业的知名度,树立良好的社会形象,为企业带来创造无形的收益。
3.规范内部控制,加强风险管理
规范企业内部控制的是一项非常重要的工作,合理的内部控制制度可以体现的经营管理的各个环节。按照相互制约和牵制的原理,建立科学合理的内部控制,即合理设置管理机构和工作岗位,明确员工的权利和责任,才能保证企业日常经营活动的正常进行,同时让企业的风险管理制度化、程序化。但是管理人员在设计监督管理时,必须从人性化的角度考虑,防止管理制度设计过分苛刻,导致妨碍正常生产经营的情况发生。同时,针对某些存在特殊风险的事项或交易(如重大的投资支出等),还要建立相应的特别内部控制,以防其给企业造成重大损失。
企业应当制定有利于其可持续发展的人力资源政策,考核制度实行奖惩结合,让员工的薪酬与企业风险管理的绩效相结合,激励全体员工积极参与风险管理,设置全面风险内部控制组织体系,形成至上而下的全员风险管理和全过程的风险管理制度。
4.加强内部监管,纠正偏差
企业要以风险管理为中心,将风险管理流程贯穿于日常经营和管理各个阶段,建立一个以风险管理为核心的内部控制,对风险管理进行岗位责任制的识别、监督、分析和评价。加强对企业风险的监管,特别是针对企业发展战略、组织结构、经营活动、业务流程、关键工作岗位等发生重大调整或变化的情况下,对内部控制的某些方面进行的专项监督是非常必要的。努力构建与内部控制相结合的可量化的风险预警机制,事先制定风险管理解预案,对这样才可以全方位、全过程、进行风险管理,及时地发现、识别和评估风险,积极地进行风险应对,掌握经营的主动权。企业还应结合内部监督发现的实际情况,定期对内部控制的有效性进行自我评价,并及时纠正在监督检查过程中发现的内部控制缺陷,同时进行必要的整改。
企业应当保证内部审计机构设置、人员配备和工作的独立性。大力推行以风险为导向的内部审计方法,内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。如果企业能够充分发挥内部审计的作用,尤其应对关键控制点实施重点监管,可以达到事半功倍的效果。
四、结语
商场上许多成功的案例告诉我们:经营成功的企业离不开良好的内部控制状况与风险管理体制。面对当今变幻莫测的市场环境和激烈的市场竞争,企业面临的风险无处不在。可是,我国企业的内部控制和整体风险管理制度还明显落后于西方发达国家。在我国在加入WTO以后,企业更需要学会积极主动地承担风险和管理风险,把内部控制框架的建立与企业的风险管理相结合,不断完善企业的内部控制,建立起风险管理的壁垒,有效地防范风险,积极应对风险。
参考文献:
[1]王建和:我国企业内部控制与风险管理[J].中国西部科技.2005(6):21-22.
[2]杨光:浅议企业内部控制与风险管理[J].中国乡镇企业会计.2009(6)
篇3
中图分类号:F23文献标识码:A文章编号:1672-3198(2009)23-0195-02
1内部控制与风险管理的内在联系
1.1在风险导向内部控制的观念下,风险管理将成为组织发展的关键
随着风险管理导向内部控制时代的来临,内部控制的工作重点也发生了变化,现代内部控制除了关注传统的内审之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部控制的观念下,风险管理成为组织发展的关键,促使内部控制的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。由于内部控制的自身特点,其参与风险管理拥有一定的优势。内部控制机构和人员熟悉本单位情况,对企业面临的风险更了解;内部控制机构和人员是企业内部成员,其利益同企业发展、兴衰密切相关,对防范企业风险、实现企业目标有着更强烈的责任感;内部控制机构的独立性使其不同于其他风险管理部门,作为高层次的监督部门,其风险评估意见直接报告给董事会、审计委员会,足以引起管理当局的重视。内部控制的独立地位还便于其充当企业长期风险策略与各种政策的协调人,通过对长短期计划的调节,调控、指导企业的风险管理策略。在现代企业经营管理中,随着内外部环境的变化,各种风险因素增多,内部控制工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部控制也被赋予了更多的职责和使命。近年来,在美国发生的财务造假案导致了安然、世通等跨国大公司的破产,同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。在我国也曾出现“银广厦”、“蓝田股份”、“亿安科技”等坑害中小股民的事件。所有这些事件的发生,在全球引起了各方对民间审计机构诚信问题的探讨,同时也触动了人们对企业内部控制的进一步思索。企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤,它使股东的家产与企业的财产及企业的经济责任相互独立,股东的变换不再影响企业的信用能力,为股权交易扩大了范围并增加了流动性,从而降低了投资风险并促进了企业融资,造就了今天巨型的股份公司。
1.2风险管理是对内部控制的自然发展
内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama&Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。”COCO在解释广义的控制与风险时论述道:“‘领导’包括在面对不确定性时作出选择。‘风险’是指个人或组织在作出选择后遭受不利后果的可能性。风险正是机会的对应物。”显然,这些论述已经认识到企业的存在是为股东或利害相关者(针对非盈利性组织等)创造价值的,而价值创造不仅是被动的资产安全等,还应包括机会的利用。另外,对股东价值的威胁也不仅来自经营者会计舞弊等内部因素,还包括来自市场的风险等。
1.3技术的发展推动内部控制走向风险管理
技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
2内部控制与风险管理的外在联系
2.1它们都能为企业目标的实现提供合理的保证
风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
2.2风险管理与内部控制的组成要素有五个方面是重合的
(控制或内部)环境、风险评估、控制活动、信息与沟通、监督这五个方面都是风险管理与内部控制的组成要素。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(risk appetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
2.3风险管理提出了风险组合与整体风险管理(integrated risk management)的新观念
《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。
3从内部控制走向风险管理
有一种争论,即风险管理包含内部控制,或内部控制包含风险管理。笔者认为得出什么样的结论并不十分重要,最重要的是明确风险管理与内部控制之间有重合与联系的地方。谁的范围更大,可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同,例如,在内部控制发展的早期,市场上风险管理的工具与技术条件都不充分(如计算机系统、统计学理论、数量模型、对冲工具与保险等),这时内部控制包含(替代)风险管理功能是很自然的。即使在同一个时代,不同的行业各自的侧重点也可能不相同,例如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
笔者认为,在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,如财务报告的准确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。
尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
参考文献
[1]王光远,刘秋明.公司治理下的内部控制与审计[J].中国注册会计师,2006.
[2]周兆生.COSO企业风险管理框架(中文版)[R].华融资产管理公司,2007.
篇4
随着经济的不断发展,公司制企业犹如雨后春笋般涌现在市场上,因而市场竞争也越来越激烈,这就导致了公司的经营和财务风险不断增加,致使企业面临倒闭的危险。企业要想快速健康的发展就必须进行有效的风险防范,规避风险的有效措施就是进行内部控制与风险管理。如果企业内部控制与风险管理所解决的问题不一致就会增加企业控制的成本,如果两者所解决的问题是一致的就没有必要制定两种控制规范。由此看来研究企业内部控制与风险管理之间的关系对于建立有效的企业控制体系和完善现代企业制度有着深刻的意义。本文主要从以下几个方面阐述企业内部控制与风险管理之间的关系,并提出了自己的见解。
一、企业内部控制与风险管理的关系分析
(一)风险管理包含内部控制
企业内部控制是目前企业内部进行风险管理的一项重要方法,企业进行风险管理的主要目的是有效减少企业经营不善所带来的损失,有效规避企业的各项风险从而保证企业又快又好的发展。风险管理主要由八项要素组成: 内部环境、事件识别、目标设定、风险评估、风险对策、控制活动、信息与沟通以及监督。而内部控制主要由五项要素组成: 控制环境、风险评估、控制活动、信息与沟通、监督。由此可以看出内部控制包含在风险管理之中。企业进行风险管理能有效的预测风险、发现风险,从而降低风险所带来的影响。内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序,主要是通过目标制定过程和事后的控制来实现其自身的目标,不必设立企业的具体经营目标,只需评价目标的制定过程,是企业进行风险管理的一项重要职能。与此同时,内部控制以企业风险为主要制定依据,在某些情况下甚至完全依靠企业风险来制定。所以,企业内部控制对于风险管理发挥有着重要作用,应该被企业管理者看作是企业风险管理的一个重要组成方面。当然企业内部控制更是企业风险管理的基石,作为风险管理的一部分,如果企业缺少内部控制就不能进行有效的风险管理,从而导致企业不能健康稳步的发展。
(二)内部控制等同于风险管理
内部控制与风险管理之间还存在着一种观点,即内部控制就是风险管理。企业内部控制所使用的风险控制方式包含了风险控制的目的, 如果企业内部控制没有指定其实施的目标那么其实现方式与手段也就显得毫无意义。企业进行风险管理需要必要的风险控制的方式和手段, 如果缺少必要的控制方式与手段,其风险管理的目的也无法实现。由此看来,企业内部控制与风险管理的目的是一致的,理论上其风险控制系统没有差异,内部控制是风险管理外延的扩展,其在发展的过程中逐渐变为同一事物。企业内部控制是在财产不安全和信息不真实的基础上所产生的,企业风险的产生大多是企业进行决策的失误,内部控制从自身而言,就是风险控制, 进而控制风险以求达到企业风险的管理的目的。
(三)企业内部控制与风险管理互为前提
企业进行风险管理的目的不仅仅是规避风险,而是要事先预测企业承受风险的能力,企业只有将风险控制在所能承受的范围内才能保证企业的良好发展。从逻辑的角度来推理,企业的风险是来源于对未来收益的不确定性,因而企业进行有效的经营管理就是有效的对风险进行控制,企业风险控制就是企业风险管理。企业进行风险管理的目的就是实现企业利益的最大化,使收益达成企业的目标。从一定程度上讲,只有把企业风险降到最低才能实现企业利益的最大化。但是进行任何风险控制都会产生成本,这就导致了企业经营成本的增加,需要企业管理者在风险控制成本与风险控制效益之间做出权衡,尽可能的减少企业经营的成本。总之,企业的设立始终与风险相伴,而风险是否发生则与企业的决策有着重大关系,从这个意义出发,企业内部控制与风险管理互为前提,都属于企业管理的范畴,两者的目的都是为了进行有效的风险控制从而实现企业利益的最大化。
二、企业内部控制与风险管理的关系是异是同
对于企业控制与风险管理,对二者的关系有各种不同的看法, 一般都认为二者是密不可分的,互相联系的。笔者也认为,尽管二者在字面意思上存在差异, 但企业内部控制与风险管理是相辅相成的,缺一不可,就其实质而言是相同的。从历史的演变来看,两者具有同一性。无论是企业内部控制还是风险管理,其实际要达到的目的,也都是有效避免企业在经营过程中所存在的风险,例如,企业性质由自然人企业向公司制企业过渡,其风险控制也由内部控制发展为风险管理。此外,COSO内部控制标准的名称为“企业风险管理框架”,也将内部控制与风险管理紧密的结合在一起。实践证明,企业的风险是不能完全消除的,只能使用一些有效的管理措施进行防范,而且,企业必须具备承担一定风险的能力,不然在竞争激烈的市场中无法生存下去。
三、结束语
企业内部控制与风险管理的关系是紧密相连的,它们之间的关系存在着以下三种观点:第一种观点是风险管理包含内部控制, 第二种观点是等同关系, 第三种观点是互为前提关系。既然两者的关系如此密切甚至完全等同,这就要求企业管理者充分认识到这两者的作用,以内部控制为方法构成一个企业风险管理的有机整体,从而实现企业利益的最大化。
参考文献:
[1]谢志华.内部控制、公司治理、风险管理: 关系与整合[J].会计研究,2007
篇5
企业内部控制主要是由内部监督、风险评估、信息与沟通、控制活动以及内部环境五个方面组成的,而风险管理则在此基础上增加了目标设定、风险识别以及风险应对三个重要的因素。因此,企业风险管理的外延要比内部控制大,其已经延伸到企业战略层面和治理层面的管理,并且尤为强调对企业风险的识别、评估和控制。风险管理中提出了战略目标的概念,而内部控制的重点主要放在制度层面,通过制度的设计和实施来对风险进行防范。因此,在激烈的全球市场竞争下,建立风险管理体系更加有助于企业规避风险能力的提高。
2、内部控制与风险管理存在很大的互补性
风险管理能够有效地将企业面临的潜在风险识别出来,再通过企业内部控制来对风险进行防范、控制和管理,最终实现企业的经营管理目标。因此,内部控制作为企业风险管理的重要环节,对实现企业长远战略目标有着极为重要的意义;同时,内部控制的有效性又依赖于风险管理对风险的合理识别和评估,两者具有很大的互补性。
二、风险管理视角下企业内部控制存在的问题
1、企业风险管理意识比较淡漠
市场经济的发展以及经济全球化增加了市场的各种不确定性因素,企业不仅面临着传统的经营、财务风险,还面临着经济全球化给企业带来的新型金融风险、控制风险、信息风险等。内部控制以及风险管理的主要目的就是对企业潜在风险进行防范和控制,为企业战略目标的有效实施提供保证。然而,目前我国大多数企业风险管理意识较弱,对风险的理解还停留在传统的经营、财务风险阶段,对完善企业风险管理机制的重要性认识不足。虽然我国一些企业制定了内部控制制度和程序,但是很少有企业将风险管理的理念融入到企业内部控制制度中,内部控制有效性的发挥大打折扣。另外,一些建立了较为完善的风险管理与内部控制的企业,由于企业的管理层缺乏重视,制度往往难以得到有效的执行和实施。
2、企业缺乏完善的风险管理体系
从内部控制的角度而言,企业应该对面临的风险进行主动的识别和分析,并采取相应的管理和防范措施,尽量降低或避免风险。然而,目前我国一些企业风险管理的意识不强,定量和定性相结合的风险评估方法缺失,没有成立专门进行风险识别、评估、分析和管理的机构,风险评价与预警机制不健全,风险防范和管理的能力比较低下。尤其是近些年来,随着我国很多企业逐步涉足资本金融市场,参与金融衍生产品交易的程度越来越深,很多企业为了追逐高收益,往往忽视了金融衍生品交易带来的高风险,企业对新型金融风险的管理能力严重缺乏,导致企业所面临的财务风险、法律风险以及破产风险等大大提升,严重损害了企业的长远利益,制约了企业的健康可持续发展。近些年中航油以及中信泰富等企业参与金融衍生品交易发生的巨亏事件,就是由于企业内部控制以及风险管理体系不健全,导致企业没有能够对风险进行及时的识别、分析和应对,给企业带来了巨大的损失。
3、企业缺乏健全的内部控制监督机制
内部控制以及风险管理作用的发挥是一个长期的持续性的过程,因此需要有健全的监督机制提供保障。内部审计是目前我国大多数企业内部监督机制的主要方式,很多企业在内部审计制度建设方面存在着问题。主要表现在:首先,很多企业的内部审计水平比较低下,内部审计工作的重点主要放在企业经营、舞弊以及特殊项目审计方面,而在内部控制制度的执行以及风险管理体系有效性的发挥方面严重缺失;其次,我国大多数企业虽然成立了内部审计部门,但是由于独立性的缺失,导致内部审计的监督作用无法有效发挥。很多企业内部审计职能往往是由财务人员代为实施,内部审计的程序以及手段极其不专业。一些企业的内部审计人员在开展工作时往往要受到企业管理层以及其他部门的干涉,这些因素都导致内部审计的独立监督作用无法发挥,内部控制以及风险管理的执行无法得到监督。
三、风险管理视角下加强企业内部控制的对策建议
1、建立内部控制的持续风险管理机制
企业要将风险管理理念融入到内部控制制度中去,从而建立内部控制的持续风险管理机制。首先,企业要建立科学完善的内部控制框架。一是要不断提高企业管理者的素质,强化其对于内部控制和风险管理的认识,使其积极领导全体员工参与内部控制和风险管理工作。二是要促进企业全体员工积极参与内部控制管理,要在员工中树立良好的内部控制与风险管理理念,营造良好的内部控制氛围,从而为内部控制各个环节的顺利开展提供保障。三是要建立企业风险管理文化,要将风险管理纳入到企业战略经营目标中去,让企业文化成为风险管理和内部控制作用发挥的土壤。其次,要建立健全以风险管理为基础的内部控制管理体制。一是要对风险管理与内部控制的关系有着清晰的认识,要将风险评估、风险防范和风险管理融入到企业内部控制的各个环节中去。二是要通过风险管理来有效化解企业的潜在风险,企业要建立全面的风险管理流程,将风险管理予以制度化。
2、优化企业的内部控制环境及风险管理文化
企业要不断对内部控制环境以及风险管理文化进行优化,从而为内部控制和风险管理的实施创造良好的环境。首先,企业要不断强化内部控制人才队伍建设,在企业管理者以及全体员工中加强对风险管理的宣传,建立健全运行规范的内部控制体系。其次,企业要不断优化自身的风险管理文化,树立良好的风险管理观念,完善公司治理制度,推动股东文化水平不断成熟提高。最后,要加强企业的文化建设,培育具有自身特色的企业文化,培养员工的归属感和认同感,为企业的内部控制营造良好的企业文化氛围。
3、完善企业的风险管理体系
完善的风险管理体系应该包括准确的风险识别能力、健全的风险评估机制以及有效的风险应对和防范策略。首先,企业应该不断提高自身的风险识别能力,即能够准确及时地对企业未来可能发生的风险进行辨别,引导企业管理层做出正确的决策。其次,企业应该建立健全风险评估机制,在风险被识别之后要对其进行评估,衡量其对企业未来发展的影响程度,并根据相关的数据和模型分析风险所处的级别和可能给企业带来的损失程度,并以此为依据进行风险防范和管理。风险评估是一个动态可持续的过程,企业所面临的风险是持续变化的,因此企业需要对风险变量进行持续的评估;另外,企业应该针对风险选择科学的风险应对和防范策略,即结合企业发展所面临的内外部环境,依据成本效益原则对风险进行应对和防范,以最小的成本将风险控制在允许范围内。最后,在风险应对策略制定之后,企业还要大力强化执行力度,各个部门要加强沟通和信息共享,相互配合,将内部控制的作用发挥到极致,并建立相应的激励考核机制督促风险管理策略的有效执行。
4、强化企业的内部控制监督机制
企业要不断强化内部控制监督机制,尤其要推动内部审计部门监督控制职责的有效执行。首先,企业要不断提高内部审计人员的专业素质。引入专业的审计人才,充分发挥内部审计部门以及岗位的职能,让其做好信息的反馈者以及企业风险的规避者。其次,企业要让内部审计部门的独立性得以充分保障,赋予内部审计部门独立开展工作的权力,管理层要对内部审计部门的工作予以配合,从而让内部审计充分发挥其内部控制和风险管理的监督作用。再次,企业要不断推进内部审计制度改革。实施以风险为导向的内部审计,使内部审计人员全面参与到企业经营管理的各个环节,运用审计手段进行风险识别、风险评估以及风险管理等。最后,企业还要将内部审计的结果与员工绩效考核进行挂钩,从而提高内部控制和风险管理措施实施的效果。
篇6
一、企业内部控制和风险管理之间的联系
首先,风险管理包括了内部控制。风险管理不仅仅只有内部控制这个内容,还存在着战略目标。而风险管理中的要素不仅仅是内部控制中的所有要素,还包括对目标的设定、对风险的对策以及对事件的识别等,如果从内容以及时间先后顺序方面来看,风险管理是内部控制工作的外在延伸。其次,风险管理中内部控制是关键环节。只有企业对风险加以认识并进行管理才能有效的达到内部控制的目的。针对企业中存在的运营风险以及业务流程中的风险进行内部控制系统是十分具有必要性的,不仅如此,这种风险管理方法效率较高且十分有效。建立的企业风险管理体系必须要保证其状态能够满足内部控制系统的基本需求。最后,风险管理和内部控制都是在企业管理中必须引起重视的方式,两者之间相辅相成,共同致力于企业科学管理模式的构建,并保证企业能够稳定快速发展。
二、房地产企业中内部控制与风险管理中存在的问题
(一)企业内部对风险管理和内部控制的认识存在着偏差
如果企业管理者对内部控制和风险管理认识不够,将会对企业发展带来重要影响。企业内部风险管控是一种管理制度,其本身并不会对经济效益带来直接影响,只有企业各部门加强内部控制和风险管理才能保证企业的经济价值能充分实现。部分企业管理人员认为所谓企业内部控制,其实就是对多种规章制度加以汇总,而对于在企业风险管理中内部控制的应用价值却并没有意识到。
(二)企业风险管理和内部控制没有全面的内容
目前,我国很多房地产企业对于风险管理和内部控制在内容上还不够全面。部分企业对财务工作的管理和控制较为重视,但是却没有在风险管理体系以及内部控制制度中引入经过梳理和完善的企业经营管理活动中的全部重要业务。在房地产开发企业中,因为其不仅开放周期很长,而且需要一次性投入大量的成本,另外很容易受到政策的影响。如果房地产开发企业中存在着风险管理和内部控制在内容上不足的情况,一旦存在突发问题,企业发展将会面临着重大的打击。
(三)企业风险管理和内部控制没有健全的监督机制
在对企业风险管理和风险控制进行督查中,内部审计是较为重要且有效的一种方式,然而很多房地产开放商企业其内部审计工作还不够实际,没有充分适应市场,采用的方式还是过去的财务审计。部分房地产企业还停留在向运营管理审计的发展过程中。这种传统阶段下的内部审计无论是设计阶段还是实施阶段,都不具有系统性。尤其是部分企业其内审人员还没有专业的素质,针对内审人员还缺乏培训和考核机制。因为企业风险管理和内部控制存在着监督机制不健全的情况,没有有针对性的对企业内部发展实情进行全面管理和监督。
三、房地产企业内部控制和风险管理采取的措施
(一)要认识到管控工作的重点,对房地产企业中开发价值链以及企业内部控制环境建设的风险控制重点进行明确
要想保证建立的企业内部控制制度健全,就要知道风险管理和内部控制的重点所在。首先是组织管控体系的建设。按照内控规范,企业内部环境包括机构设置权责分配、治理结构、人力资源、企业文化以及内部审计。企业要想实施内部控制,就要注意到内部环境,这五个内控环境因素中,组织机构设置。权责分配以及项目管理模式最容易存在问题,从而影响到企业全局发展。目前房地产企业发展速度不断扩大、开发规模区域不断激增,保证建立的组织管控体系权责明确、定位清晰、激励有效、风险受控才是内控风险管理体系建立的重点。其次,企业需要通过人才来运转,如果人才存在风险会影响到企业,所以在建设内控风险体系中要以人力资源体系为根本,企业只有充分吸引优秀员工并激励员工发挥价值,才能有效的控制风险。最后,按照房地产企业价值链特征,对开发价值链前段项目规划设计与定位策划阶段的风险控制和识别着重关注、
(二)对管控方法进行优化,做好房地产企业风险评估识别工作
房地产企业属于一个对资源进行整合利用的企业,企业的很多业务和管理活动都会存在一定的逻辑,从而建立起一套流程,对流程的各个环节重点研究、调查和分析,可以对风险进行有效识别和标注,从而采取风险管理体系以及内控制度的措施来对风险进行防范。我国目前房地产市场不景气,房地产投资降低,销售面积及销售额开始大幅度下滑,房地产市场正在大力调整,从而合理的控制房价。因此,房地产企业要按照市场发展规律,对每项投资和工作的风险要采取全面评估。在对房地产投资前,要通过风险管控部门和审计委员会的有效审核,有效评估房地产工作中的财务风险、政策风险、市场风险和经营风险,深入研究重点环节。另外,在参与过程中,要对风险预警机制进行建立,监督和跟踪运作资本,如果存在异常情况,要及时撤回投资金额,如果无法撤资,要采取措施将风险最低化。
(三)对管控机制进行构建
篇7
中图分类号:TD-05 文献标识码:A 文章编号:1009-914X(2014)10-0147-01
随着经济的飞速发展,众多企业已经逐渐认识企业管理的重要性,但是目前我国很多企业对于风险管理和企业内部控制工作仍做的不到位,并且很多企业不能以风险管理的角度来看待企业内部控制,最终给企业造成了一定的损失。以下笔者针对风险管理以及企业内部控制进行分析和讨论。
一、正确认识风险管理和企业内部控制的关系
(一)风险管理
任何企业在发展中都会遇到风险,风险可能来自于企业内部,也可能来自于企业的外部环境。而风险对于企业的影响可大可小,严重的甚至会直接的摧毁企业。所以面对这些无法预料的风险,企业必须制定出一些专门应对风险的管理制度,即企业的风险管理。风险管理的主要任务就是针对风险进行预测、识别和衡量,并且制定出有效的手段和计划避免风险,或者将风险的损害降到最低,由此来保证企业的安全。
(二)内部控制
内部控制是企业内部管理组成部分之一,企业通过内部控制来制定有关制度与实行,并且促使各种内部管理制度可以得到有效的落实。使企业的业务和目标都可以达到,并且可以顺利完成,由此有效的提高企业的利益,以及推动企业的发展。
(三)两者的关系
通过上述的定义,我们就可以发现风险管理属于企业内部控制,是内部控制的重要组成部门,两者的最终目的都为了使企业可以得到更好的发展。并且风险管理和企业内部控制都会对对方产生极大的影响,一个企业如果连企业内部控制工作都做不好,那么他的风险管理工作也不会多么优秀,而如果风险管理出现问题,那么就会导致企业内部控制出现漏洞,严重的影响企业的正常发展。
二、目前我国企业的风险管理和企业内部控制存在的问题
(一)企业风险意识较低
随着经济的飞速发展,越来越多的风险都会影响到企业的发展,企业面临的风险种类也逐渐增多,目前主要的风险包括:经营风险、信贷风险、市场风险、法律风险等。而这些风险对于企业的影响和损害是无法估计的,所以企业首先具有较高的风险意识。
但在我国企业中的实际情况却是很多企业都严重缺乏风险意识,大部分企业只将大部分精力和资金都投入到可以为企业赚取利润的项目中,看不到潜在的风险,也没有针对风险进行有效的防治手段。而当风险真正的发生时,企业自然就会手足无措,眼睁睁的看着风险的来临。
(二)缺少风险防范措施
对于任何经营来都存在着一定的风险,而收益和风险却是正比,也就是说,企业如果想获得高额的利润就必须冒着极大的风险。而目前很多企业总是将目光放在高额的收益上,却看不到高额收益身边站着的风险,看不到风险自然就不会针对风险制定出有效的防范措施。而却少了有效的风险防范措施,一旦风险真的来临,那么高额利润背后的高风险会给予企业极大的打击,严重者甚至会造成企业破产、负债等严重现象,这对企业的发展来说是致命的。
(三)内部控制制度不完善
目前在我国诸多企业中都存在管理层的内部控制意识薄弱,只将目光放在企业的利益上,忽略了企业内部控制的建设,甚至有的企业认为内部控制可有可无。还有部分企业构建了内部控制体系,但内部控制体系不科学、不合理已经成为阻碍很多企业发展的重要因素。
在很多企业中,企业的内部控制制度都由管理层来进行制定,而这种制定方式会出现管理层只看重自己的利益,而导致内部控制制度出现不公平的情况。这种方式制定出的制度也不符合职权分离原则,而很多企业虽然知道这个问题、看到这个问题,但却未将这个问题重视,也并未给予一定解决方式,而这种内部控制制度对于企业的发展来说,会起到一种阻碍,严重的影响企业的正常发展。
(四)执行力不够,缺少有效评价机制
从过去的案例中我们可以到,很多企业由于内部控制执行不到位,最终导致了企业的破产或者损失大量的资金。例如很多企业出现巨额资金消失的现象,这就是内部控制执行力不到位的结果,让内部控制制度只成了一则文书,却不能发挥任何功效。
不仅如此,我国很多企业还缺乏对内部控制的有效评价机制,而缺乏了有效的评价机制就无法知道在特定时间段内企业的内部控制制度是否正确、是否能起到重要的作用。
(五)缺乏专业人才
无论是风险管理还是内部控制都必须要有人来进行操控和执行,而目前很多企业操控风险管理和内部控制的人员并不是专业人员,只是企业在其内部随便挑选出的人员。而这种员工对于风险管理工作根本无法做出专业的决策,对于内部控制管理也无法做出正确决定。所以企业如此选用人才的结果最终导致风险管理部门和内部控制部门只是虚设,根本无法起到作用。
三、从风险管理角度提高企业内部控制的有效措施
(一)以风险为导向进行内部控制工作,并有效提高企业上下的风险意识
要做到以风险为导向进行内部控制工作,首先要做好企业的授权工作。通过过去国内外的案例就可以发现,很多企业出现内部舞弊案件的原因都是因为授权不合理而造成的。所以企业在授权时,必须要从保证企业的经营有效运行、内部管理制度有效的执行等几个方面来考虑。具体的来说,首要责任应是企业的CEO,各级经理为支持作用,由此才能保证整个企业的人员都可以具备风险意识,大大的推进企业内部控制管理工作的水平。
(二)加强各环节的风险控制、建立有效的考核机制
对于任何企业来说,想要将内部控制工作做到全面是不现实的,所以企业应该针对一些关键点进行有效的风险控制,并构建对应的控制制度。而企业中的关键控制点就要包括企业业务以及经济活动中比较容易出现风险的环节,在对关键控制点进行确认后,还要对其进行量化的分析,模拟计算出其会给企业的正常经营带来多大的危险,并且根据风险制定出相应的措施。除了针对风险制定有效的措施以外,还必须针对企业关键环节的工作人员进行相关的培训教育,将风险意识植入到关键环节的工作人员的脑里。
最后必须建立规范、科学的考核机制,明确各员工、各岗位的职责,通过规范、科学的考核针对员工进行考核,通过考核有效的强化员工的风险意识。
(三)创建有利于风险管理的内部环境
企业内部环境对于企业风险管理的实施来说具有重要影响。单凭企业的内部监督也的确能够加强企业内部控制工作,但这种方式是一种被动的方式。所以企业最好的办法就是通过教育和培训有效的加强员工的素质、道德以及品质,由此就可以将被动转变为主动,形成一个良好的内部环境。而企业内部良好环境的形成对于企业建立有效的风险管理来说,会起到一定的积极影响。而只有企业建立了有效的风险管理部门,才能让企业面对风险时将企业的损失降到最低点,这对于企业的发展来说,具有重要的意义。
四、结语
任何企业想要在激烈的市场中站稳脚步并且平稳的发展,那么就必须做好企业内部控制工作以及风险管理工作。只有企业从风险管理的角度来进行企业内部控制工作,才能更好的推动企业的发展,让企业面对任何困难时都可以平安度过。
篇8
关键词 内部控制 风险管理 案例分析 解决措施
一、内部控制与风险管理的联系与区别
企业风险管理与企业内控有着十分密切的联系,财务风险管是风险管理的一个分支,必然与内部控制关系密切。二者所应用的技术方法一致、最终目标一致、控制期间也一致,二者通过会计工作紧密联系在一起,架起了财务风险管理与企内控之间的桥梁。但风险管理与内部控制在诸多方面有所不同,财务风险管理必然与内部控制存在区别,主要表现在财务风险管理与企业内部控制的范围不同、条件不同、观念不同三个方面
二、目前企业内部控制与风险管理现状
近日来沸沸扬扬的国美内斗事件,是中国国内证券市场成立以来史无前例的新闻焦点。先有大股东黄光裕身陷囹圄,后又“黄陈”对国美控制权的激烈争夺,至此国美的内部控制和企业管理风险问题全面爆发。
1.企业财务风险管理制度存在诸多缺陷
我国企业财务风险产生的重要因素就是由于企业财务风险管理制度不完善,从而导致企业内部财务关系混乱。目前许多企业的预算系统不完备,企业的市场监控机制存在诸多不健全的地方,财务的内部控制制度不成熟,企业的成本控制制度不完善,企业的资金管理控制制度缺乏。
2.风险管理环节较为薄弱
企业风险管理涉及企业内部各个部门和环境,直接影响着企业最终目标的实现。目前我国企业对于风险的管理认识十分薄弱,从管理者到普通员工都缺乏风险防范意识,内部也没有建立起完备的风险识别和评价机制,企业抗风险能力低,难以对风险进行有效的防范和控制。首先,企业在目标的制定上没有充分考虑风险因素;其次,企业普遍缺乏完备的风险管理机制。在风险真正发生时,缺乏有效的防范措施,在风险过后难以引起重视为下次风险发生留下隐患。例如丰田公司丰田锐志漏油事件,在事件的发展中,一汽丰田的行动始终慢半拍,我们几乎看不到厂家有什么积极主动的应对措施,反应异常缓慢、处理程序拖沓,最终造成了一汽丰田造成骑虎难下的被动局面。没能够在危机产生的初期对事件给予高度重视,及时与消费者沟通并采取有效措施,使得一汽丰田错过了解决危机的最佳时机,也丧失了危机公关的主动权。
3.缺乏有效的审计监控和风险评估
一方面,企业在内部审计方面存在着一定的问题,当前大多数企业内部还没有设立独立的审计机构,也很少安排专职人员。企业对运作状况的监控过分依赖外部审计,造成企业内部审计缺乏有效性。
三、完善内部控制与风险管理的建议
1.设置全面风险管理内部控制组织体系
企业的内部控制组织结构设计应充分满足企业全面风险管理的要求,首先,建立董事会管下的风险管理组织架构。董事会是企业经营管理的最高决策机构,将企业的经营权交给企业经理层,因此,正确处理董事会与总经理层之间的关系是现代公司治理的关键。在董事会下设置风险管理委员会作为企业风险管理的最高审议机构,主要是确保企业的风险管理战略及风险偏好统一和风险管理的独立性。其次,风险管理的执行层面要实现横向延伸和纵向管理,涵盖所有的业务领域,从而实现对企业的风险监控,同时,还要求风险管理的效率。
2.努力完善企业财务风险管理制度
企业建立严谨的财务风险管理制度是防范财务风险的不可或缺的重要举措。首先应建立和强化企业内控机制,可以通过提高财务风险认识,强化资金管理,提高资金的使用效率,加强财产控制即对存货和应收账款的管理。另外,在现金管理方面,企业应建立资本预算体系,实行预算控制,对企业的现金实行预算控制管理。企业现金流量预算的编制,是财务管理工作中重要一环,准确的现金流量预算,可以为企业提供预警信号,使企业经营者能够及早采取措施防范财务风险。
3.建立实施财务监督体系
(1)完善企业财务监督制度
目前财务监督制度是企业比较薄弱的一块,也是问题出现最多的一块,完善企业财务监督制度,督促企业高管高效处理财务问题具有重要的现实意义。
(2)财务监督体系应与财务管理目标保持一致
企业管理人员在进行筹资、投资、分配收益时,应以财务管理目标为核心做出决策,并根据实际情况做出调整。
(3)完善制订重大决策的内控流程
完善制订重大决策内控流程是企业财务风险防御与控制的关键。良好的内控流程使企业在运行过程中有清晰的方向和明确的目标,加大财务决策的可操作性。从财务的角度去制订内部控制制度,将二者有效地结为一体,从而完善企业管理。
篇9
(一)内部控制与风险管理的融合
一直以来,内部控制与风险管理之间的博弈就没有停止过,目前主要形成两种观点:一种认为二者是两个完全不同的概念,相互之间不可以取代;另一种认为二者只是术语不同,其实基本没有区别。之所以产生对立观点,是因为相关学者对内部控制和风险管理的内涵与外延办公室不同,或将内部控制作为实现风险管理的步骤与手段,或将风险管理作为内部控制的组成。但无论是何种观点,目前风险管理与内部控制有一个趋同的倾向,也就是说它们在渐渐的融合之中。据IFAC的一项调查显示,全球超过600学者反馈表示,应加强内部控制与风险管理的一致性工作。我国相关法规条文也体现了融合的理念,如《企业内部控制基本规范》将内部控制作为一个较大的概念,风险管理被囊括其中,而《中央企业全面风险管理指引》又将风险管理作为一个较大的概念,内部控制是重要的实现手段。其实,无论是内部控制还是风险和管理,其作用都是为了防范企业风险,所以它们走向融合也是必然的。理论上讲,内部控制与风险管理融合具有一定科学性:①概念虽未形成共识,但实现目标过程的一致性得到人们的广泛认可;②目标一致,都是为了将风险控制在可控范围之内;③程序一致,虽然叫法有所不同,但程序的本质有高度的一致性;④方法互用,两者经常可以替换使用。
(二)内部控制与风险管理的协同
就拿监管机构来说,眼下已经形成了一个稳定的系统,现在又要将其融合在一起,肯定很难实现,这对于内部控制和风险管理领域的专家来讲,也是无法接受的。在实践之中,为了促进两者的融合,可以通过协同方法来实现。企业没必要为实现同一目标而制定两套手册或指南,也没必要建立一个内部控制部门,再加上一个风险管理部门,企业应该将其整合起来,同时将风险控制整合到公司治理、战略及运营之中。理顺各种关系,使两者相互促进、相互融合,形成一个良性循环,才能控制企业持续健康地向前发展。
二、基于风险管理的企业内部控制建设策略
(一)构建以“现金流量”为核心的内部控制模式
企业内部控制是一项复杂而系统的工程,涉及到企业所有的生产经营环节,寻找一个合理的切入点十分必要。资金作为企业赖以生存和发展的基础,是企业生命的源泉。生产经营其实是人力资源作用于物质资源的过程,在这个过程中货币体现了核心作用,所以货币也是危险等级最高的资源,能够安全有效地运行,也决定了风险评估中财务风险的高低。因此,加强“现金流”的内部控制可以促进主体正常组织资金活动,防范和控制资金风险,保证资金安全,提高资金使用效益,而建立和完善以现金流为核心的内部控制和风险管理体系可以为企业高速、持续的发展保驾护航。
(二)加强关键环节的风险控制
企业经营活动是由一系列的业务节点构成的,各个节点环环相扣构成了企业活动的整体。业务流程中实现节点的优化和风险因素的控制是提高风险管理能力的根本所在。业务流程的梳理及改革体现在内控上,设置关键控制点并选择相应的控制手段,以实现对操作行为的制衡。收集企业经营过程中的各种信息,进行风险评估与识别,对关键风险控制点进行严格把关,制定风险管理解决预案,从而保证内部控制的顺利进行。关键环节所涉及到的人员要进行严格的培训,提高风险管理意识,使其从思想上重视内部控制,重视内部风险管理,其意识对风险管理成败有直接影响。风险控制具有很强的系统性和联系性,各单位和部门要权责明确,加强沟通,保证企业运营系统高效运行。优化企业管理功能,实行精细化管理,据此分析企业的关键控制环节和风险点,编制企业的风险管理预案。
(三)建立风险预警体系
实践表明,只有把握风险管理先机,才能发挥风险管理的效用,只有及时、准确掌握经济动态信息,才能采取针对性的风险管理措施,取得应对风险的主动权。这就要求企业必须适应时展的要求,将先进的信息技术引入其中。一是建立完善、成熟的企业信息管理系统,实现对企业运营数据的收集、存储、处理和披露,利用先进的算法实现业务信息向会计信息的转化;二是从风险监控和预警角度出发,建立风险预警分析系统,利用科学、先进的计量模型,实现对企业偿债能力、运营能力、获利能力等状况的分析,预测企业的风险可能性及大小,随时做好应对风险的准备。企业要上下协同,提高风险应急能力,一旦触发风险信息就应该立即向上级汇报,立即组织攻关小组研究应对策略和组织实施,由被动变主动,尽可能避免风险发生,无法避免时尽可能将风险降到企业可接受范围之内,从而保证企业生产经营活动的维持和正常运转。
篇10
一、施工企业内部控制与风险管理的内涵
(一)施工企业内部控制的含义
施工企业内部控制的含义,就是在某些特定的环境下,企业想要达到制定的生产及经营目的,确保施工企业的正常运转而实施必要的内部控制手段。内部控制的执行首先源于企业领导的重视程度,企业通过一系列对生产经营的策划和实施,从而确保在运营上的有条不紊。施工企业风险管理与施工企业内部控制二者之间相互联系、密不可分,施工企业只有让内部控制与风险管理“并驾齐驱”,才能使施工企业在最大程度上焕发生机与活力。
(二)施工企业风险管理的含义
施工企业风险管理的含义,就是施工企业的各个层面对于可能遭受的风险予以综合考核与评估,并且采用风险管理方面的知识技能对施工企业的发展运营状况有一个宏观的预测及把握,尽可能地促使施工企业利润最大化,促进施工企业保持稳定良好的生产经营态势。对施工企业进行风险管理不仅可以帮助企业抵御风险,还可以为施工企业的下一步发展做出科学合理的规划,这些都是风险管理所涵盖的业务范围。施工企业风险管理涉及的种类比较繁杂,诸如在施工企业发展的各个期间具有多样的风险管理方案,如果风险管理工作做得好,那么将有助于施工企业的健康发展。
二、施工企业风险管理及内部控制工作中的缺陷
施工企业中的内部控制与风险管理是密不可分、相辅相成的,前者是后者的必要前提,后者为前者的正常运营提供知识技术支持,施工企业要想确保自身拥有良好的整体运营水平,就需特别注意内部控制与风险管理的搭配。近年来,我国有不少施工企业在当前的经济趋势中呈现出倒退的现象,其中一部分原因就是对本施工企业风险管理及内部控制工作存在的缺陷没有引起充分重视,控制不当。而缺陷主要表现在以下几点:
第一,组织机构体系不健全。组织体系对风控工作来说至关重要,一个完整的体系应该包括机构、制度、培训。很多企业只是重视了其中一个方面,规则离散,未形成有效的制衡体系。
第二,未形成浓厚的风控氛围,奖惩兑现力度不够。机构建立了,人员齐全了,怎样开展工作,使企业全员都绷紧这根弦,一些风控管理者没有真正思考这个问题。
第三,关键风险点分析不到位,采取措施不当。这是最关键的一步,如果对关键风险点把控不好,监控不够,最终风控效果绝对不佳。
三、针对施工企业风险管理及内部控制中的缺陷,提出有效的解决措施
对施工企业在内部控制与风险管理工作中存在的缺陷提出以下解决措施:
(一)完善体系,梳理流程,强化培训
完善体系就是成立风险内控工作领导小组,由公司主管领导担任组长,副职领导担任副组L,各部门的负责人为小组成员,并指定风险内控工作牵头部门负责日常事务的总体组织工作,而最为关键的是在各部门和各项目部设置兼职风险内控联络员,负责本部门和本项目部的风险内控工作。流程梳理就是出台风控总体调控办法,对企业的制度实行总体梳理,对照企业每年的风控自评表找出制度设置空白点,加紧筹划出台相关制度,但是很多企业容易忽略一个问题,现行的有效制度究竟有多少,在加紧出台制度的同时没有对旧制度作梳理,导致新旧制度认定不清,解决方法就是企业每年出台现行有效的制度一览表,以红头文件形式进行下发,使施工企业各层面能有效接触到最新的制度清单。强化培训就是要探索适合施工企业行之有效的方式,现阶段,施工企业可以采取的较好方式就是录制讲解视频,将本企业重视的方面进行录制,并传输到所属单位进行观看,这样既节省了成本,又可以更直观。
(二)强化奖惩,形成风控的良好氛围
目前在施工企业当中,安全管理作为一个大家都关注的重大风险予以关注,依赖于责任状的签订和一票否决制制度,但是对其他方面的重视程度,势必是一个值得深思的问题。比如项目管理风险,平时项目部技术人员发现的技术改进措施,施工中的盲点都可以设立技术奖励基金,由技术人员直接给项目总部提出解决措施建议,项目部召开论证会进行评审,通过了就及时发放该笔资金,缩短链条,而不需等到年底报工法评审。这样既充分调动了施工技术人员的积极性,对工程的质量也具有保证。
(三)采取多样化的方式进行施工企业风控关键点的识别和控制
对于施工企业来讲,有效识别自己领域内的风险要慎之又慎。在识别时要根据本年度生产经营的具体实际来分类控制。安全质量风险、项目管理风险、财务风险为施工企业每年常见的重大风险,在填报风险识别表时对这三类风险的建立要更加细化,而不是仅填企业今年面临什么重大、重要风险。比如安全质量风险要列出容易发生的施工类型、项目管理风险的重难点工程是哪些,财务风险具体表现在什么业务板块上,由每个领域的专业人员进行分类填写,不再追求参与的广泛性,而更加在乎参与的有效问卷,否则在风险内控样本采集中会出现偏差。
在控制层面,要更好地依靠信息化手段进行控制。总体来讲就是项目管理系统和统计报表。施工企业在项目管理系统中能够实时查看企业各项数据,此数据可以作为到项目实地检查的依据,且具有充分的权威性,对系统数据录入和统计报表填报采取定期通报制度,加强项目部录入人员对数据的严谨性。平时主要掌握台账,到实地核查时不再将主要精力放在纸质资料上,而是现场走访,放在整体施工效果的符合性上,项目检查可以采取多种方式。比如抽调熟悉此施工类型的同片区的其他项目人员进行项目交叉检查,既容易发现问题,又能交流经验,也有利于发现本项目部的隐患。
四、结语
本文探究分析的是施工企业内部控制与风险管理的策略,从近年来大的外部环境来看,施工企业如果没有有效的风险管理,就会使得遭遇风险的概率增大,由此给施工企业造成品牌、信誉、承揽方面的损失。再者,如果施工企业没有进行内部控制,那么会使施工企业的整体运营状况缺乏有力的监管,内部的各个施工程序松散零乱,这会在源头上不利于施工企业的建设和发展。希望施工企业相关从业人员对这两方面予以关注,使施工企业合规合法经营。
(作者单位为中铁二十三局集团第四工程有限公司)
[作者简介:侯美娟(1983―),女,本科,经济师,主要从事企业管理、资质管理等相关工作。]
参考文献
篇11
施工企业内部控制制度是指施工企业各独立的施工项目、各有关部门及各有关工作人员之间,在处理经济业务过程中相互联系、相互制约的一种管理制度。其目的在于根据施工企业管理的要求,建立权责明确的组织机构、有效的风险控制体系,加强风险管理,保证企业各项资产安全。
内部控制可以使施工企业加强内部各部门、各实体之间的相互制约,保证施工活动的规范化、合理化、节约化,提高施工质量和施工效率。
二、我国施工企业存在的主要风险
(一)系统性风险
企业的运营效益低下。营业额增加、利润却在下降,或企业营业额和利润同时下降,子公司经营状况恶化,资本运行效率低下,为企业生产经营带来效益风险;企业的资产结构恶化。应收账款大幅增长,优良资产比例低,资产流动率不高,增加了企业资产管理风险;企业的偿债能力弱。企业经营活动现金流入低于现金流出,导致企业过度举债,加大财务费用,流动资产不足以偿还流动负债,增大了筹融资风险。
(二)非系统性主管风险
制度执行力度不强。个别企业相关制度执行力度不强,在执行过程中变味、曲解。如全面预算管理,部分施工企业全面预算应该是由业务到财务,从编制到审批执行应是全员参与的过程,而现实中,财务执行预算管理的全过程,使预算管理流于形式。
债权债务管理不到位。项目合同、工程结算、工程款回收清欠等方面,出现管理职责不清晰、奖惩不到位、欠缺检查监督机制的现象。
信息沟通阻塞。由于缺乏相应的体系,相关施工信息不能进行及时有效的沟通及信息共享,增加了信息收集利用成本。
以上所列财务风险,是施工企业发生财务危机的重要因素,只有针对可能发生财务风险的因素,建立完善的内控管理制度,才能防范财务风险,控制财务危机。
二、建立完善施工企业内部控制制度,防范风险
完善的内部控制制度不仅要对企业经营管理的各个方面实行全方位的监控,而且要对企业经营管理重要方面、重要环节实行重点控制。针对施工企业而言,有以下几个方面:
(一)健全的预算管理制度及合理的公司治理结构
健全预算管理制度为优化公司治理结构以及强化内部控制提供了保证,合理的公司治理结构是保证预算管理有效推行以及内部控制有效实施的环境基础。预算应以营业收入、营业成本、现金流量作为预算重点,以利润目标为预算中心,实行切实有效的监控。成本如控制不当,在项目施工过程中不能有效控制成本,造成材料费、人工费、设备使用费、管理费用等方面的浪费,造成项目成本超出预算、项目实际利润低于预算。通过预算进行有效的监督管控,通过合理的公司治理,较少不必要的材料、人工、设备成本浪费,达到增效创利的目标。
(二)强化企业内审部门监督
内部审计是内部控制的重要组成部分,内部审计、纪检、财务等相关部门应当评价企业风险大小及内控体系的合理性,对风险及内控管理中存在的不足,提出完善意见,从而提升企业的管理水平,降低企业风险;内部审计部门一方面要不断加强内审人员的业务水平和职业素养,同时,将审计重心由形式审计向风险评估转移,在审计过程中,重点分析、评估被审计单位的风险,根据风险评估结果进行确定审计内容和重点,确保对重大风险的审计效果,有目标地实施审计行为,对存在风险及管理疏漏,提出改进建议,促进企业制定合理风险管理体系,做到事前防范风险。
(三)加强货币资金及账户管理
由于施工企业项目较为分散,项目货币资金管理较为松散,存在公款私存、公款私用、入账不及时的现象,为降低货币风险,需要加强货币资金收支和保管各环节的管控监督,严格管理项目部备用金,并加强对采购等业务的请款、业务审批、确认、出纳支付等环节的内部控制,从而减少资金支付风险。
由于施工需要,施工企业往往在施工项目就地开设临时账户,交由现场财务会计人员进行管理,账户越多,一方面占用较大额度的资金,同时,不利于企业资金集中管理与控制,因此,应严格控制外部账户的开设,对于总部附近或者较小的项目,禁止开设外部账户,资金收付通过总部账户进行;对于特大型项目,可以开通网上银行业务,由总部财务会计人员安排专人负责,使得企业能够实时监控账户资金,防止项目过多占用资金而影响资金集中和企业资金调度。
(四)加强存货和应收账款的管理
施工企业主要流动资产是存货和应收账款,从施工企业财务报表可以看出,存货及应收账款所占企业总资产比重过大,应收账款流动率过低,据此,施工企业应当加强其流动资产的流动性从而减少资金占用,加强各业务部门的联动,减少各经营环节存在的可能影响工程款回收的因素。
加强存货和应收账款管理,还应做到事前风险评估。在投标时,组织有关部门对项目可行性进行评估,不但调查业主的资信度,评估企业的财务状况和资金支付实力,还要考虑企业的资金筹融资能力,只有各项评估指标合格后方可进行投标,从源头上减少财务风险。
同时,在施工过程中,加强履约管理,按照合同条款,保证合同工期和质量同时,及时办理各项工程结算和变更事项,取得确认资料,向业主及时报送工程进度资料,并归集工程资料,取工程结算证据;在项目完工阶段,及时提交工程竣工资料,安排专人负责,跟进竣工结算办理过程,及时办理竣工结算,加大竣工结算办理工作的考核力度;在应收账款清收管理环节应建立工程款清欠管理制度,安排合同、法律事务等责任部门,加大清欠力度,做到资料完整,有理有节,加快应收账款的变现速度,必要时可诉诸法律。
(五)加强结算、回款风险与内部控制策略
篇12
1前言
作为一个企业来讲,内部控制是关系到企业内部的重点内容,要做好内部控制的工作,就要从几个方面入手,对企业的财产进行有效的核算、保管、监督等等管理工作,有效进行企业内部控制能够帮助企业达到会计管理的质量,还能够保护企业的所有财产的完整和安全;而财务风险管理也是企业管理的重点内容,市场本身就具有很大的风险,电力企业必须要认识到风险,不然就会将电力企业在做出决策的时候就会出现困难,严重的情况会导致企业濒临破产,所以这就需要电力企业对财务风险做出有效的应对措施。尽量避免电力企业的财务出现状况。
2内部控制与财产风险管理的起源与发展
现代经济的发展和越来越多的管理西方管理专业术语被传入到中国,并且相关学者发现财务风险管理和内部控制是密不可分的两个主体,并且一直伴随着企业的发展和进步,这两个虽然有着相同的目的,但是两者又是不相同的个体。内部控制的概念最早是在上个世纪中期被美国的相关学者提出来,而财务风险管理在同一时期被提出。这两个概念在西方被提出,越来越多的企业和学者开始深入研究内部控制和财务风险管理,西方国家经历过第二次工业革命之后,许多企业逐渐兴起,内部控制和财务风险管理首先在西方国家实行,并且出台了相关管理条例,这就逐渐促进了内部控制和财务风险管理的完善。但是我国因为企业兴起的时间比较晚,逐渐开始不断吸取西方先进思想和企业管理概念,也从企业自身管理的实际情况出发,并且取得了一定的成效,因此现代企业越来越重视内部的管理控制和财务风险管理。
3电力企业的内部控制和财务风险管理的分析
财务风险管理与内部控制是相互依赖,相互联系的两个不同的概念。然而从另一方面来讲,这两者又可以互相代替。这两者都是贯穿于企业管理工作的始终,关系着企业的发展和进步。其中财务风险管理的工作内容主要有:财务内部的工作氛围、制定的目标、事项识别、风险评估、风险应对策略、信息交流、活动控制等等,财务内部风险管理的工作范围比起内部控制的工作要广一些,但是最终目的都是一样,都是能够有效控制企业管理工作的核心内容,从概念上来看,这两者在步骤、目标和方式上都是一样的。财务风险管理和内部控制都有相同的根本目标,从工作内容上面来看都有不相同的目标,最终目标都是能够降低企业的风险,风险管理是指在能够接受的范围内实现提高企业的经济利益的管理手段。内部控制就是能够为风险管理工作提供工作支持,因为内部控制的工作内容主要有:识别风险、分析、提出解决措施、管理风险、控制风险对企业的经济损害,不管是内部控制还是财务风险管理,两者在具体实际管理工作中都能相互利用管理方式,从而达到管理企业的财产不会受到破坏。
4对于电力企业来讲主要面对财务风险
4.1电力经营的财务风险
这一风险主要是在电力公司在生产营业中涉及到财务的风险,其中财务风险主要有:生产电能过程、电能供应过程以及经营过程中因为不能确定的外界客观因素是企业的经济和内部资金周转受到影响而出现一些状况,最终有可能引起企业资金和产业的调整。然而在经营过程中受到的财务风险有选购材料、生产产品、账款实收的风险等等。
4.2项目投资中的财务风险
投资项目就是指企业将一些资金投入到项目中,分析了市场的发展和需求,最终将资金投入到项目建设中。所以电力企业的经济收益这就会受到市场客观因素的影响,市场的发展趋势有可能呈现上升或者下降,这都会影响企业的经济收益,因此电力企业的项目投资主要在于电力设备的建设方面,生产的电力设备也会有影响。
4.3筹集资金中的财务风险
由于企业内部没有全面分析到风险和缺少权威的引导,也没有全面考虑到市场经济的发展趋势,就导致了相关工作人员盲目筹集资金,一旦受到客观因素的波动,就会引起企业的生产经营模式发生改变,而且在已经开展的资金筹集方面,缺少对资金追踪管理和控制,这就有可能出现资金被内部人员非法挪用的情况等等,从而影响了企业的财务受到损害。
5建立健全电力企业的内部控制体系和财务风险管理制度
一是建立与风险管理目标一致的财务管理因为电力企业的投资数量较大、资金涉及的金额较大、分散的设施设备等等,所以对企业的财务管理是十分有必要的。企业的财务管理要以财务管理体系的基础上实施管理,从而能够保证电力企业能够正常运营。在具体的管理工作实施过程中,要把握财务的监督和管理,要保证企业内部资金运转正常的情况下进行财务控制。二是完善内部管理控制要做好内部控制和风险管理的定期报告的工作内容。定期对企业内部的人力资源和物力资源有效配置,注重把握费用的控制和成本的控制;三是注重完善硬件设施设备,增加一些电子监控设备,实施监控工作人员和资金流动的动态。
6结语
综上所诉,企业内部控制和财务风险管理都对电力企业的发展起着关键作用,我们应该重视电力企业的内部控制工作和财务风险管理工作。
作者:张颖 燕翔宇 单位:国电吉林龙华热电股份有限公司 国网吉林省电力有限公司
参考文献:
篇13
中图分类号:F713.50文献标志码:A文章编号:1673-291X(2009)29-0192-03
企业内部控制的完善和执行情况日益成为人们关注的议题。在国内,“中航油”、“银广厦”等多起舞弊案件都是与企业内部控制的缺失有关。德勤华永会计师事务所有限公司最新《中国上市公司内部控制调查分析报告》的调查结果显示,大多数企业在内部控制实施方面仍然存在一定的盲目性。中国上市公司约58.82%的企业为应对金融危机而指定了专门的部门落实风险管理和内控工作,但是,仅有23.53%的企业将内控工作的重点从书面制度转变为具体实施;仅约17.65%的企业进行了内部控制评价。可见,内部控制问题已成为上市公司的软肋。2008年6月28日财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》,该规范融合了COSO 风险管理的先进经验,又具有中国的特色,被世人赞誉其为“中国版的萨班斯法案”。那么,基本规范是否能解决上市公司的问题成为了时下理论界、实务界关注的焦点。
一、企业内部控制规范与COSO企业风险管理的不同
(一)内涵、目标不同
2008年6月28日财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》,为中国企业首次构建了一个企业内部控制的标准框架。它所指的内部控制,是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:(1)企业战略;(2)经营的效率和效果;(3)财务报告及管理信息的真实、可靠和完整;(4)资产的安全完整;(5)遵循国家法律法规和有关监管要求。
2004年9月,COSO委员会在内部控制框架概念的基础上,提出了企业风险管理(Enterprise Risk Management,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO在ERM框架报告中指出企业风险管理是一个过程,它是由一个主体的董事会、管理当局和其他人员实现的,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险已使其在该主体的风险容量之内,为主体目标的实现提供合理保证。ERM框架对内部控制明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。ERM框架提出,要力求实现四类目标:战略目标、经营目标、报告目标和合规目标。
(二)基本要素不同
1.企业内部控制规范考虑以下基本要素:
(1)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(2)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(3)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(4)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。
(5)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告,提出有针对性的改进措施等。
2.COSO企业风险管理包括八个相互关联的构成要素。它们来源于管理当局经营企业的方式,并与管理过程整合在一起。这些构成要素是:
(1)内部环境。内部环境其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
(2)目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。
(3)事项识别。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,管理层必须识别影响主体目标实现的内部和外部事项,区分风险和机会。
(4)风险评估。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
(5)风险应对。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
(6)控制活动。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。制订和执行政策与程序以帮助确保风险应对得以有效实施。
(7)信息与沟通。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。
(8)监控。企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。
(三)管理人员对实现企业目标的职责
1.企业内部控制基本规范对管理人员的职责规定如下:
(1)企业董事会应当充分认识自身对企业内部控制所承担的责任,加强对本企业内部控制建立和实施情况的指导和监督;
(2)董事长(或者法定代表人、代表企业行使职权的主要负责人,以下简称董事长)对本企业内部控制的建立健全和有效实施负责;
(3)经理(或者总裁、厂长,以下简称经理)根据法定职权、企业章程和董事会的授权,负责组织领导本企业内部控制的日常运行;
(4)总会计师(或者财务总监、分管财务会计工作的负责人,以下简称总会计师)在董事长和经理的领导下,主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。
2.COSO企业风险管理将各级人员的职责分成三个层次:
(1)董事会,监控企业风险管理,获知并批准企业设定的风险偏好,与企业高层管理人员讨论企业风险管理的状态,获知企业所面临的重大风险、管理层拟采取的行动以及管理层确保风险管理有效性的方式,董事会还要从内部审计人员、外部审计人员和其他人员那里获取相关信息;
(2)高层管理人员,首席执行官或总裁应对ERM 负总责,各部门经理应认同企业的风险管理理念,按企业设定的风险偏好和风险容忍度管理本部门事务。首席执行官或总裁集各部门经理对企业风险管理的能力和有效性进行初步评估,以决定是否有必要对其继续进行更深入的评价;
(3)企业基层职员,有责任按照企业已确立的指令和协议实施风险管理。
二、企业内部控制基本规范的贡献
从基本规范与COSO风险管理的比较,可以看出基本规范既吸收了COSO报告的精华,又具有一定的中国特色:
1.提高了内部控制规范的地位。新规范既有类似萨班斯法案的强制力,又有与科索报告一样对内控实务的示范作用;既对中国企业建立内控制度提出了强制性要求,又为千差万别的中国企业建立健全内控制度提供了基本框架;既吸收了内控的国际先进理念,又充分体现了中国内部控制的现实环境要求。有专家认为,这一规范的出台,是中国企业按国际化标准严格自律的宣言书,更是中国企业参与国际竞争,逐步接受并自觉遵循市场经济游戏规则,不断完善企业制度、细化管理的内在要求。世人赞誉其为“中国版的萨班斯法案”。
2.统一了我国企业内部控制规范。在美国,COSO框架是美国企业以及在美国上市的外国公司的内部控制建设的标准,而在我国,长期以来内部控制规范正出多门,现实中,至少存在包括证监会、财政部、国资委、人民银行、证券交易所等部门或主管单位的关于内部控制或风险管理的规范文件。尽管有关监管部门在实际中采用了COSO的标准,但都比较局限。2008年6月28日财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》是广泛征求各监管部门意见基础制定的,统一了我国企业内部控制规范的标准,使企业可在统一的框架内建立有效的内部控制监督体系,同时为外部监管公司内部治理的设计、实施、监督、评估等奠定了基础。
3.科学界定内部控制的内涵,强调“全员控制”。基本规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,是一种全面、全员、全过程控制的理念。
4.准确定位内部控制的目标。旧规范的目标定位,基本上是处于内部控制目标层次的最低级,只包括:保证会计资料真实、完整;保护单位资产的安全、完整;确保国家有关法律法规和单位规章制度的贯彻执行。基本规范前瞻性提出企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略。本次的修订既强调了COSO全面风险管理的四大目标,又增加了对资产的安全完整的要求。这充分体现我国顺应国际内部控制和风险管理日益融合的趋势。
5.统筹构建内部控制的要素。旧规范的范围过于狭窄,主要集中于会计领域。《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。而本次修订的基本规范有机融合COSO全面风险管理的做法,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。
6.明确界定各控制主体职责。内部控制的有效执行有赖于全员参与,而只有企业内每个人均清楚地知道自己所拥有的责任和权力,才能认真履行自己的职责,提高内部控制的执行力度。新规范所界定的内部控制主体有四层:一是董事会,二是监事会,三是经理层,四是全体员工。董事会是加强企业内部控制的第一责任人;监事会负有对董事、经理执行公司职务时违反法律、法规或者公司章程的行为进行监督的权利,在监督投资者决策行为的同时切实履行监督投资者对经营者的监管职能的落实情况;经理层直接对企业的经营管理活动负责,尤其是企业总经理(首席执行官)承担重要责任;全体员工在实现内部控制中承担相应职责并发挥积极作用。
7.创新了体系。除基本规范之外,财政部还起草了17项具体规范,并将继续起草若干具体规范和应用指南;与此同时,还将研究、制定评价标准和配套实施办法,形成全方位、立体性推进内控体系建设的局面。我国的企业内控体系,将是一个层次分明、内容完整、衔接有序、整体互动的有机统一体。
8.强化了内部风险管理。旧规范只是强调通过风险预警、风险识别、风险评估、风险分析、风险报告等措施,对财务风险和经营风险进行全面防范和控制,而基本规范更强化了在目标设定环节就要考虑风险因素,这一条和COSO的风险管理是吻合的。
9.提出了切实可行的内部控制实施机制。基本规范建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。这充分体现了基本规范在实施过程中适当的引入了信息机制和声誉机制、强化检查监督机制,落实内控责任主体和严格问责和实施严厉的奖惩机制的特点。
三、企业内部控制基本规范实施的难点
企业内部控制规范在执行中还存在很多困难:
1.基本规范的要素中没有体现事项识别的重要性
事项可能会带来负面影响,也可能带来正面影响,带来正面影响往往意味着机会,而机会对于企业目标的实现是有重要作用的。基本规范只强调了风险的识别,而对于机会则没有关注。
