目前,很多企业内部控制存在风险管理缺失的问题。随着内部控制理论的不断发展和完善,风险管理成为企业内部控制发展的一种新视角。文章首先阐述内部控制和风险管理的相关概念及关系,分析了我国企业内部控制风险管理中存在的问题,从明确基于风险管理的内部控制目标、强调内部控制环境建设、加强风险评估、加强风险控制活动、加强企业内部控制监督几个方面做出了加强以风险为导向的内部控制的建议。 [关键词] 风险管理 内部控制 体系构建
Abstract
At present, a lot of enterprise internal control the risk management deficiencies. With the continuous development of internal control theory, risk management and improve the development of enterprise internal control became a new perspective. This article first formulated internal control and risk management related concepts in China is analyzed, and the relationship between the risk of internal control in enterprises, the existing problems in the management of risk management from clear based on internal control objectives, emphasizes the internal control environment construction, strengthen risk assessment, strengthen risk control activities, reinforcing the enterprise internal control made strengthening supervision several aspects to risk oriented internal control suggestion.
[Key word] risk management internal control system construction 目录
一、内部控制与风险管理的概念……………….………………………….…………………..(1) 二、内部控制与风险管理的关系……………….………………………….…………………..(2) (一)内部控制与风险管理的联系…………….……………………………..…………….(2) (二)内部控制与风险管理的差异…………….………………………….………………..(3) 三、企业内部控制风险管理中存在的问题………….………………………….……….…….(5) (一)内部控制目标设定不够合理….…………………….….…………………………….(5) (二)内部控制环境不够完善………………………….….………………………………..(5) (三)缺乏有效的风险评估….….…………………………………………………….…….(5) (四)控制活动不到位…………………………………………………………....................(6) (五)缺乏对企业内部控制的有效监督………………………………………………........(7) 四、建立以风险为导向的内部控制体系的策略…….….…………………………………..(7) (一)明确基于风险管理的内部控制目标………….….………………………….……….(7) (二)完善内部控制环境建设……………………….….……………………….……..…...(8) (三)加强风险评估……………………….….….….……….…………………..……….....(9) (四)完善风险控制活动…….…………….….….….……….…………………..………....(9)
(五)加强企业内部控制监督………….…………….….………………………………...(10) 参考文献………….………………………….….………………………………………..….…(13) 基于风险管理的内部控制研究
近年来,如何引导企业完善内部控制、加强风险管理,以便应对日益复杂的各种风险,成为理论界和实务界关注的热门话题。面对日益复杂内外部风险,企业构建风险管理导向的内部控制的重要性和迫切性也日益突显。因此,文章将提出企业内部控制风险管理中存在的问题,并制定建立以风险为导向的内部控制体系的策略展开研究,力争提出切实有效的构建措施或建议。
一、内部控制与风险管理的概念 内部控制是指企业董事会、管理层对企业内部风险以及外部风险管理过程中可能出现的操作性风险进行管理,保证企业所有的经营活动符合企业既定的经营目标的一种组织行为。 企业风险管理是指一个由企业的董事会、管理层和其他员工共同参与的、应用于企业战略制定和企业内部各个层次和部门的、用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的、为企业目标的实现提供合理保证的过程。
内部控制和风险管理均定义为“由一个组织的董事会、管理当局及其他员工实施的一个过程”,由此可见,内部控制与风险管理的本质目标是一致的。内部控制和风险管理的根本作用都是维护投资者利益、实现资产保值增值。从新的COSO框架对企业内部控制的完善来看,企业内部控制逐渐呈现与风险管理趋近和一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制,从内部控制走向风险管理。内部控制与风险管理只有相融合,才能实现企业经营管理的最佳效果。 二、内部控制与风险管理的关系 内部控制与风险管理的关系,国内外的学者依据不同的视角有不同的理解,主要有内部控制是风险管理的组成部分,内部控制包风险管理,以及二者之间是等价的三种观点。文章指出,分析任何学科、概念之间的区别与联系,不能割裂学科、概念所赖以存在的特定的外部环境来考虑。唯物主义辩证告诉我们,任何事物都是一个不断发展变化的过程。因此,我们应该结合经济环境的变化、动态来看待风险管理与内部控制的关系。 (一)内部控制与风险管理的联系 理论为社会实践提供指导,但是社会实践的新要求反过来促进了理论的向前发展。社会经济、技术的飞速发展推动了内部控制与风险管理的相互融合统一。社会实践不满足于内部控制仅仅从制度层面对确定性的财务信息的控制,对经营中不确定性的风险和机会的把握和控制提出了要求,内部控制进入了整体框架阶段。人们也不满足于风险管理仅在对纯粹风险的管理方面发挥作用,对风险管理关注那些带来会的事项的识别提出了要求,不仅是规避风险而且要求更加主动的应对和利用风险。这一时期,所有者不仅要求对资产的保值增值进行控制,而月要对经营者在经营过程中把握发展、壮大的机会的过程进行控制。把握给企业带来发展壮大的机会的同时也要注意把握机会带来的风险,并要求内部控制对经营者把握机会风险进行控制,这些都促进了内部控制与风险管理的相互融合。
从国际上比较成熟的内部控制框架,COSO发布的两个报告中也可以看出,内部控制与风险管理的相互融合。COSO委员会在1992年的《内部控制—整体框架》中把风险评估作为内部控制的五个组成要素之一,要求企业在内部控制过程中关注风险管理的内容。COSO在2004年发布的《企业风险管理—整合框架》中又进一步将内控制扩展为风险管理,明确提出风险管理包含内部控制的内容。ERM框架是建立在内部控制整体框架的基础上,内部控制则是企业风险管理必不可少的一部分。 总之,从内部控制和风险管理理论的发展和社会实践来看,风险管理与内部控制的是一个必然的过程,是社会实践发展到一定程度对内部控制理论发展的必然要求。因此,内部控制进
入了风险管理导向的新时期,与风险管理的相融合也成为了内部控制展的国际趋势。 (二)内部控制与风险管理的差异
从内部控制和风险管理发展的历史阶段来看,在经济发展的初级段,即内部控制于内部控制整体框架阶段以前,风险管理处于传统风险管理阶段,这一时期内部控制风险管理是相对独立的。
纵观内部控制理论的发展,委托代理理论是内部控制产生和发展的重要基础。现代企业的一个最重要特点就是所有权与经营权的分离。依据委托代理理论,由于委托人和代理人之间存在着信息的不对称和不确定性,所以会对委托人的利益构成威胁。为了保护委托人的利益,内部控制作为系统的制约机制,包括了所有者对经营者实施的监控和经营者对经营过程的监控,以保证经营者履行对所有者的受托责任。在经济发展的初期阶段,所有者期望通过一系列制度程序的设计,来对可能影响委托者利益或经营目标实现的风险进行防范,来防止信息欺诈,达到资产保全的目的。这一时期,内部控制基于所有者对经营者经营活动监管的要求,关注的是对比较确定的经营活动过程来进行控制,达到减少经营者舞弊风险,保全资产的目的。而且这一时期内部控制偏重与对财务信息的控制,而没有更多的关注企业经营发展过程中非财务信息的控制,如企业经营面临的外部宏观环境等变化的风险。并且内部控制只能防范风险,不能转嫁、承担、化解或分散风险。 风险管理在近现代企业受到越来越多的关注,是基于企业所处的环境的复杂多变以及激烈的市场竞争,企业在经营活动中不确定性的因素增多。风险管理的过程就是企业对这些不确定性的事项进行识别,分清机会和风险。在传统风险管理阶段,企业风险管理主要关注那些可能带来损失的纯粹风险,如火灾、地震等自然灾害带来的偶然性的财产损失的风险,以及由于人为的原因带来的影响正常生产经营的风险,处理这些风险的主要形式就是向保险公司投保。企业对风险的态度主要是规避、转移,减少实质性的损失。由上述分析可知,这一时期内部控制关注的是对确定性的经营活动进行控制,重点是对企业经营过程中财务信息的控制,很少关注对企业经营活动中面临的不确定性风险的控制。风险管理也只是被动的面对企业经营活动中偶然发生的或不可控的风险,并通过规避风险来减少损失。因此,在这一阶段内部控制和风险管理的交集很少,各有关注点和侧重点,因此,内部控制和风险管理还是处于相互之间独立的发展时期。
三、企业内部控制风险管理中存在的问题
通过研究发现单位普遍认识到内部控制的重要性,但对内部控制认识不够;侧重于企业外部环境的梳理,而忽视了内部各环节、各岗位的牵制;侧重于经营环节的程序控制,而忽视了企业整体的协调;侧重于内部控制的制度学习,而忽视了执行制度的人的素质提高;侧重于对货币、实物的控制,而忽视了企业文化环境的建设,等等。主要问题可概括为以下几个方面:
(一)内部控制目标设定不够合理
大多数企业的内部控制目标,多局限于低层次的目标,如会计信息的质量、法律法规的合理遵循等,而忽视企业整体战略规划和风险管理,导致企业的内部控制目标缺乏风险防范意识,与企业长远发展战略脱节。 (二)内部控制环境不够完善
控制环境是实行内部控制的基础和前提,但目前,我国多数企业不重视内部控制环境的改善。部分高层管理者缺乏风险管理意识;组织结构不合理,多数企业监事会受制于董事会,内部审计缺乏独立性和权威性;企业文化缺失等。这些内部控制环境紊乱的现象,势必造成企业内部控制基础薄弱。
(三)缺乏有效的风险评估
当前企业面临的风险主要有市场风险、信贷风险、营运风险、法律风险、管制风险等。在众
多风险中,最主要的风险是营运风险。企业应当建立可以辨认、分析和管理风险的机制,并确认高风险领域,以加强管理。但我国企业缺乏的就是这种机制,对于风险的管理十分薄弱,缺乏有效的风险识别、评价和反应机制。企业抗险能力低,主要体现为:一是缺乏风险事项识别机制。企业管理层还未认识到风险事项识别是一个综合性的过程,需要在实践工作中进行全盘综合考虑。大多数企业目前只能被动地接受内部或外部变化带来的风险。二是没有适当的风险评估体系。三是风险的应对机制空白,还处于“出现一个问题,解决一个问题”的事后被动弥补状态。 (四)控制活动不到位
控制活动是管理当局为了确保其指令被贯彻执行而制定各种措施和程序。当前,我国许多企业对内部控制活动的设定和执行是非常薄弱的,在设置内部控制时偏重事后控制,部分企业在内部控制的执行过程中不按规定程序办理,使内部控制制度失去了应有作用。内控制度是风险管理的基础,风险管理是目标,要实行这一目标就必须要有相应的措施。这些措施就是风险控制的工具,对于企业来说,由于存在前面的很多问题,是企业内控制度基本上是停留在文件上。同时,由于企业的风险管理是一种至上而下、强制推行的管理概念,企业的对这一概念的宣贯往往是集中到关键点上,对大多数人来说,内控制度和风险管理是一种雾里看花的概念,企业也没有详细的政策、程序和方案来对风险进行有效的识别、评估和控制以及监督。这是一个动态的过程,也是发现问题、上报问题、解决问题的过程,没有很好的把握这一过程,我们的内部控制制度就是马后炮,没有任何实质性的作用。 (五)缺乏对企业内部控制的有效监督 首先,对内部控制制度执行的考核缺乏力度。目前我国尚未统一企业内部控制信息披露的要求与标准,直接导致企业在内部控制信息披露方面存在严重的形式化问题。部分企业甚至尚未建立完善内部控制的考核体系,即使有的企业已经建立了相对完善的考核体系,但大多缺乏深度和广度,并未将内部控制考核结果纳入到企业人员的业绩考核中。 其次,内部审计客观性性与权威性不高。一是由于企业内部审计业务较少触及经营管理的其他领域,仅仅以财务审计为主,普遍存在职能单一、业务狭窄等问题,缺乏自身应有的客观性,限制了内部审计职能的发挥;二是部分企业的内部监控制度未能形成体系,各职能部门之间、各岗位之间不能形成有效地牵制制度,缺乏必要的互相监督,使许多内部审计流于形式、缺乏自身应有的权威性。
四、建立以风险为导向的内部控制体系的策略 (一)明确基于风险管理的内部控制目标 控制目标是管理经济活动的基本要求,也是实施内部控制的最终目的,它是评价内部控制系统的最高标准。所以,明确基于风险管理的内部控制目标是企业完善基于风险管理的内部控制体系的前提条件。风险导向型内部控制的本质特征要求以风险的评估为基础,这就决定了目标制定是风险管理流程的首要步骤,企业管理者应该根据企业经济活动的内容、特点以及管理要求,依据企业发展战略制定内部控制目标,制定的内部控制目标应具有前瞻性和发展性,与企业长远发展战略相适应。第二步应根据目标选择具有相应功能的内部控制要素,组成内部控制系统。在此基础上将目标在企业内层层分解、落实到人。在这一过程中,企业应将科学的目标体系转变成为易于理解、执行的科学风险管理政策体系,从而提高风险管理的系统性和可操作性。需要注意的是,企业还应确定对目标的实现有潜在影响的事项,保证制定的目标与企业的风险偏好相一致。 (二)完善内部控制环境建设
内部环境是其他所有风险管理要素的基础。控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境影响着员工对内部控制的认识和态度。内部控制环境建设应从以下方面展开:①治理层积极参与内部控制活动;②管理
层在治理层的监督下,营造并保持诚实守信和合乎道德的企业文化;③建立正式的行为守则;④对员工胜任能力高度重视,有合理的人力资源政策和管理;⑤经营模式、权限和职责分配得当;⑥促进全体员工树立风险管理哲学观,建立企业风险文化时,要注意建立统一的风险语言,以方便企业内部的风险沟通和交流。 企业文化往往是现存的一种无形的力量,影响企业成员的思维方式和行为方式,它具有一种很强的凝聚力。随着企业文化中风险敏感程度的提高,企业应将风险管理作为企业文化的重要内容并贯穿企业文化建设始终,使内部控制成为在同一种文化背景下具有统一的认知和行为模式。在企业风险管理文化的建设中,要通过各种途径倡导和强化“全员的风险管理意识”,使全体员工自觉地将风险管理的各种方法、规定、制度落实到日常工作中,在整个企业形成一种风险控制的文化氛围。具体地说,企业应高度重视培育风险管理文化,应将风险管理渗透到企业的每一个部门、每一个岗位、每一个工作环节,企业的管理层应负责培育风险管理文化,管理人员在培育风险管理文化中应起表率作用。当然,良好的风险管理文化需要经历一个长期的培养过程,这就要求企业在日常的经营活动中长期不懈地坚持。 (三)加强风险评估
任何经济组织在经营活动中都会面临各种各样的风险,并对其生存和竞争能力产生影响,特别是战略风险和经营风险。有的风险可以避免,有的风险可以消除,而有的风险只能控制在合理水平,有的风险只能承受或分担。尽管很多风险的产生并不能被控制,但管理层应当首先确定可以承受的风险水平,然后识别这些风险并采取一定的应对措施,以把风险控制在风险容忍度之内。加强风险评估意味着风险控制不再是被动地通过各个环节设置好的控制活动来预防风险的出现或发生,而是通过主动地开展风险评估,识别和分析,进行预防。风险源头可能是:①新员工加入带来的风险;②业务快速发展带来的风险;③经营环境变化带来的风险;④新业务品种带来的风险。风险评估过程则包括识别各种风险,估计风险的重大性,估计风险发生的可能性,以及如何采取措施来管理这些风险。 (四)完善风险控制活动
控制活动是有助于风险反应正确执行的政策和程序。控制活动发生在整个组织的所有层面和所有职能中。控制活动是企业力争达成其经营目标的流程的一部分。在制定控制活动时关键是抓住重要控制点,其设计要基于风险评估结果,以提高控制活动的针对性。它们通常包括两个要素:政策和程序。由于企业普遍采用信息系统,需要对重要的系统进行控制。如,利用互联网实施会计的实时控制。会计信息是会计控制的基础,控制过程也就是信息的收集、传输与加工处理的过程。充分利用互联网络技术,实时通过会计工作和利用会计信息对企业的生产经营活动进行了指挥、调节、约束和促进,使供应商、生产商、分销商、客户,通过供应链紧密集成,物料不间断地流动,实现零库存,最大限度减少经营成本,快速响应客户需求,提高公司市场竞争能力和经济效益。 (五)加强企业内部控制监督
监督能够保证内部控制体系能运作的持续有效,因此必须对整个内部控制的执行过程进行恰当的监督,并通过监督活动对内部控制的某些薄弱环节施以必要的修正,以达到不断改进内部控制的目的。内部控制的监督可以从四个方面进行完善:控制自我评估、内部会计控制、内部审计和社会监督。 控制自我评估。企业内部控制实行的控制自我评估,是指每个企业不定期或者定期对自己的内部控制进行评估,评估内部控制的有效性及其实施的有效性、合法性和经营目标的达成程度,以便能更好地达成内部控制的目标。我国企业在完善公司治理结构、改进内部控制时,要定期或不定期地进行内部控制自我评价,以便发现和解决内部控制过程中出现的问题,进而改进内部控制的薄弱环节,达到不断完善内部控制目的。
会计控制。通过会计的记录、确认、计量和报告对各项交易和事项进行核对或校验,对已记
录的经济交易或事项由具体经办人之外的独立人员进行核对或验证;如验证所记录的金额估价的正确性等,以及对与该项业务相关的内部控制程序的履行情况进行检查和验证,这可以有效的确保内部控制在较长的时间里处于良好状态比如采购与付款循环中,按规定采购、验收与相关的会计记录应分离等,财务人员在记录时,要复核所有原始凭证,以确保所有的项目是一致的、计算的金额是正确的、审批人有相应的权限等,否则是不能入账并同意付款的。会计控制环节在内部控制中起着极为重要的作用,不仅保证会计信息质量,还起着监督、稽核的作用。
内部审计。从公司治理的角度看,内部审计机构的职责除了包括审核企业会计账目外,还包括稽查、评价内部控制和风险管理制度是否完善和企业内部各组织机构执行指定职能的效率,并向企业最高管理部门提出建议和报告。在内部控制和风险管理框架构建中,内部审计的作用在于监督企业经营业务符合内部控制和风险管理框架的要求,评价内部控制和风险管理的有效性,提供完善内部控制和纠正错弊的建议。《公司法》和《审计法》均未对内部审计做出法律规定,《会计法》虽提出了内部审计方面的法律要求,但未对内部审计机构设置做出具体规定。因此,目前企业中关于内部审计机构的设置情况不一,有些上市公司同时设立审计委员会和审计部,大部分企业只设立审计部。部分专家学者认为,对于规模大、经济业务复杂的企业,应同时设置审计委员会和审计部。监事会、审计委员会、审计部分别对股东大会、董事会和总经理负责,同时三者存在着业务指导关系。
社会监督。从内部控制的整个发展史可以看出,内部控制的发展受到审计职业界的左右。换句话说,审计职业界对内部控制的推广和应用起着极为重要的作用。社会监督也就是通常所说的外部监督,即外部审计人员的监督。外部审计人员对企业财务报表的审计是建立在对内部控制的了解、测试和评价的基础上,这样他们或多或少的了解企业的基本情况,或在履行其职责时,对管理当局及董事会提出有用的、独立、客观及公正的建议,如管理当局建议书等。企业要积极开展内部控制制度的咨询工作,为单位建立和应用内部控制制度提供人力、技术等方面的支持。
参考文献
[1]王晖,郑宏涛.基于风险管理的内部控制研究[J]现代企业教育.2010(2) [2]初宜红,刘晓红.基于风险管理的内部控制研究[J]价值工程.2007(6) [3]杨雄胜.内部控制理论而临的困境及其出路[J].会计研究.2006(2)
[4]金或肪,李若山,徐明磊.COSO报告下的内部控制新发展[J].会计研究.2009(2) [5]张文贤,孙琳.内部控制会计制度设计[M].立信会计出版社.2008
[6]丁友刚,胡兴国.内部控制风险控制与风险管理[J].会计研究.2007(12) [7]谢志华.内部控制公司治理风险管理关系与整合[J].会计研究.2007
[8]孔建国.大型企业集团安全建设与风险管理模式研究[D].北京师范大学.2002 [9]董建华,刘素英.从内部控制到风险管理[J].财务管理.2005(5)
[10]黄为娥.内部控制理论的新发展及其对我国的启示[D].厦门大学.2006(5)
因篇幅问题不能全部显示,请点此查看更多更全内容