发布时间:2023-09-25 11:23:44
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业内部控制和风险管理,期待它们能激发您的灵感。
企业内部控制制度的建立和完善是改善企业内部管理、提高企业竞争能力的重要内容。本论文在总结内部控制理论的基础上,对内部控制的存在的问题、原因等方面作了一些探讨,找出企业面临的各种风险,结合COSO关于内部控制五要素,针对各种风险提出了具有针对性和可操作性的防范对策,为企业完善内部控制提供了一定的理论指导。
关键词:内部控制风险管理案例
一内部控制概述
1.内部控制概念的演变
内部控制论理论是随着企业内部控制实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段。1992年COSO委员会提出并于1994年修改的《内部控制——整体框架》报告,标志着内部控制理论与事件进入了整体框架阶段,整体框架对内部控制做了如下的描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。这一定义明确了四个要点:是一个过程;受人为影响;为了达到三个目标;合理保证。它由相互关联的五项要素构成,分别是:控制环境;风险评估;控制活动;信息和沟通;监督。
控制环境:任何企业的核心是企业中的人以及这些人的个别属性和所处的工作环境,个人的诚信正直、道德价值观与所具备的完成组织承诺的能力、董事会与稽核委员会、管理阶层的经营理念与营运风格、组织结构、职责划分和人力资源政策与程序。
风险评估:在瞬息万变的市场环境和异常激烈的竞争中,企业的经营风险越来越大,企业要生存和发展,必须清楚并应付其面对的各种风险。同时,企业也必须设立可辨认、分析和管理相关风险的机制,以了解自身所面临的风险,并适时加以处理。
控制活动:企业必须制定控制的政策和程序,刁一有助于确保既定目标及必要改善措施的有效实施。
信息和沟通:围绕着这些控制活动的是信息与沟通系统,这些系统使得企业内部的员工能够获取和交换他们所需要的信息,以指挥、管理和控制企业的经营。
监督:企业整个内部控制的过程必须受到监督,并在必要时得以修订,这样,系统及制度才能反应自如,并能视情况而随时调整。
2.我国内部控制概况
我国企业内部控制制度理论起源于20世纪80年代,但到目前为止,尚未正式提出权威性的内部控制标准体系,对内部控制的完整性、合理性及有效性缺乏一个公认的标准体系。我国有关内部控制制度的指导原则、指引、规范则出自不同的政府部门,这是由于企业的管理体制造成的。国资委管国有大中型企业;证监会管上市公司的信息披露;财政部管全国所有企业的财务与会计工作,并负责会计准则与制度的制定。然而,内控指导原则、指引或规范由各政府部门分别制定,有许多弊病
⑴各部门各自研究与颁布内部控制的相关指导原则或指引,不利于内控制度的统一与协调。财政部正在陆续制定并的是内部会计控制规范,截至目前已经了十多个。而其他政府部门则仅制定了内部控制的指导原则、指引或对企业各项业务内部控制流程的设计与制定缺乏具体的指导。
⑵关于内部控制的定义、范围、目标等不相一致,内控要素、内控内容,以及内控方法的解释也不一致。
⑶缺乏统一的推进机构,不利于企业内部控制制度的贯彻与实施。各部门颁布的内控指导原则、指导意见或指引在实务中并未得到有效的贯彻执行。上市公司、银行、证券公司、未上市国有企业的频繁出事便是佐证。
客观地讲,我国近几年对内部控制的研究主要是以会计控制和审计评价为主线的,我们可将之简称为“会计导向”和“审计导向”。会计导向的典型代表是我国目前已的内部控制法律法规,它们是以内部会计控制为核心的,基本上没有涉及管理控制等非会计控制领域,甚至没有包括审计方面的内容。审计导向下
的内部控制研究则主要集中于审计程序与方法的应用、审计成本的节约、审计效率的提高和审计风险的控制等。
二我国企业内部控制与风险管理存在的问题
1.内部审计不具备真正意义上的独立性
内部审计是企业自我独立评价的一种活动,内部审计可通过协助管理当局监督其他控制政策和程序的有效性,来促成好的控制环境的建立。内部审计的有效性与其权限、人员的资格以及可使用的资源紧密相关。内部审计人员必须相对独立并且直接向董事会或审计委员会报告。我国一些上市公司内部审计即使存在,但却不具备真正的独立性,有的也流于形式。
2.缺少风险评估和风险防范意识
各企业缺少对自身固有风险的评估以及制定相应有效的管理措施。此外,管理者还应在对固有风险采取有效管理措施的基础上,对企业的残存风险进行评估和预防。
3.人力资源管理发展滞后
近年来,我国企业改革力度大,与之配套的人力资源管理却跟不上业务的需要。许多企业在员工的岗位培训方面,没有形成完善的制度,不利于员工的素质提高。
4.有效的价格风险评价机制尚未建立
由于当前市场不完善,竞争激烈、恶意竞争以及“低价中标”的招投标游戏规则,都不能使企业按企业定额客观报价,为了争取中标,不惜压低报价,承担更大的价格风险。
三完善我国企业内部控制与风险管理的途径
1.完险管理体系
全面风险管理是对整个机构内各个层次,各个种类风险的通盘管理。全面风险管理可使组织中各业务单位分散的决策者之间协调合作,使数据的收集、测量与处理更加一致,有利于审计和监督。企业要从全局、总体层面权衡利弊,使部门安排有关的业务流程都有所遵循。同时要制定严密的业务操作规程及信息传输报告制度,建立一个有效的全面风险管理框架,全面控制各方面的风险。
在机构内部广泛开展“深化内控理念,落实内控措施”的创建活动,结合自身情况及上级单位的要求,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。
2.健全内部审计控制
内部控制具有的限制因素具体如下:
⑴内部控制受企业的成本效益原则的限制。
⑵内部控制仅针对管理中的常规业务来设计。
⑶内部控制可能会因执行人员的差池而失败。
⑷内部控制可能会因不同政治气候、地方差异等环境影响而失去作用。
这些内部控制的限制因素,可以通过建立独立的内部审计机构来加以克服。内部审计人员定期检查项目的建设情况和建设成果,及时纠正各种错误和弊端,能促进内部控制的有效实施。
3.营造企业风险管理的文化氛围
企业风险管理框架是建立在内部环境的基础之上,内部环境直接影响和制约企业风险管理的成败。内部环境的要素包括员工的诚信,职业道德和工作胜任能力,管理层的经营理念和经营风格,董事会或审计委员会的监管和指导力度,企业的权责力分配方法和人力资源政策。要不断提高企业风险管理能力,需要一套企业层面的方法。这种企业层面的方法是由企业的组织结构,文化理念和经营管理哲学共同决定的。随着企业文化中风险敏感程度的提高,企业管理者会进一步掌握有效的风险管理能力。通过他们的推进、提供报告、贯彻相应的方法、构建适当的体系,以实施既定的风险战略和政策,企业风险管理水平将不断提高。
4.设计一套科学的内部控制行动指南
关键词:内部控制;风险管理;现状和方案
中图分类号:F270 文献识别码:A 文章编号:1001-828X(2016)027-0000-01
虽然企业内部控制和风险管理相关指引在我国大部分企业已经得到了广泛应用和推广,但现实中还存在许多不足,在中国企业全面参与国际竞争的同时,企业加快建立国际趋同的相关体系显得尤为重要,只有这样我们企业在做大的同时才会做的更强,做到真正的立于世界东方之林。
一、我国企业内部控制和风险管理的目前现状
关于企业内部控制和风险管理存在“两级分化”现象比较严重,我国企业尤为突出;即大企业内部控制制度和风险管理程序复杂繁琐,有些企业制度设计的过于臃肿,已经严重影响企业的效率和效果,而小企业则相反缺乏相关流程和管理制度制约着企业的发展,所以企业建立健全与企业发展相匹配的制度是发展过程中的重要环节。
二、企业内部控制中存在的问题
1.控制环境方面。目前,企业内部控制环境存在以下问题:首先,公司治理结构不规范。改革国有企业,虽然正式成立了法人治理结构,但远未达到内部权力制衡的效果。二是组织结构是不合理的。一些国有企业仍然使用旧的模式的经济体制。这套制度没注意企业组织的合理性,企业普遍存在机构臃肿,管理水平,效率低的问题。
2.责任控制,会计人员素质较低。根据中国的1200万会计人员的相关统计数据,接受大学教育是低于10%,在相对优质国有企业和县级企业在600万会计人员,大专以上学历的只有18.21%,占8.45只%的资格,会计人员的素质可以看到不高。
二,责任不公平。权利,义务和责任是责任和控制的基本原则。其次,责任是不公平的。权利,义务和责任是责任和控制的基本原则。在实践中,会计师的目标是明确的,按照限制核算的功能;身份不明确,位置是不正确的;责任,权利,利益严重偏离,从而导致会计进行报复,并得到保护;这些谁打算从事伪造账目的关注,并且屡禁不止。
三、加快落实企业内部控制相关具体细则
设计、执行和维护必要的内部控制是企业管理层的义务也是其重要的责任,而内部控制评价是由企业董事会和管理层来实施的,而企业内部控制的审计则分为内审和外审,符合相关条件不但要建立自己的内审部门还应当聘请会计师事务所进行外部审计,同时企业还需要建立健全主要业务内部控制制度、内部控制评价制度、内部控制审计制度:
1.加强企业主要业务内部控制制度的建设,根据企业的性质划分,不同类型的企业对相关指引要求的可能不同,但大部分企业应当根据财政部、证监会、审计署、银监会联合了企业内部控制配套指引建立健全以下18号应用指引:组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研发业务、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统,在建立该项控制时应重点关注其主要风险,以及内部控制的要求和措施。
2.内部控制评价应围绕基本规范提及的内部控制五个要素,即内部环境、风险评估、控制活动、信息沟通、内部监督,以及基本规范及应用指引中的内容,在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面的评价。
3.内部控制审计,企业在此阶段应当做好准备工作,加强内部控制管理,安排时间与资源执行有关额规定,如果企业内部资源未能配合进行内部控制的设计、实施和评估工作,可以聘请专业人员或会计师事务所提供有关的咨询服务。
四、建立与企业管理目标相匹配的风险管理策略
1.企业应当建立健全风险管理目标,确保将风险控制在与企业总体目标相适应并可承受的范围内,确保企业内外部尤其是企业与股东之间实现真实、可靠的信息沟通,为确保符合有关法律,法规,以确保相关的规章制度,并实现业务目标和实施重大措施的实施,确保管理和运营的有效性,提高经营活动的效率和效果,减少不确定性在实现业务目标,确保企业准备应对危机管理计划,以防止灾害风险或人为错误后企业的重大风险和损失惨重
2.风险管理战略,企业应根据自身条件和外部环境,围绕企业发展战略,确定风险偏好,风险承受能力,风险管理有效性的标准,选择风险承担,风险规避,风险转换,风险对冲,风险补偿,风险控制和其他适当的风险管理工具和确定总体风险策略。
3.风险管理原则和要求:与公司的整体风险管理战略相一致;随着公司面临匹配的风险的性质;选择风险管理工具,以考虑其合规性要求,运营,包括法律和监管环境,对企业的熟悉程度,风险管理工具的风险特征,不同的风险管理方法可能适用同样的风险。
4.企业管理层需要强调理论与实际并重原则,着重企业的效率和效果,不应光侧重理论或者只偏重人为主观判断。
五、总结
随着我国经济总量的不断攀升,企业竞争日趋激烈,对企业符合法律法规乃至高效率经营提出更高的要求,从而企业应尽快建立匹配自己政策和程序,使其在竞争中获得更好的发展,在建立健全相关制度的过程中很重要的环节就是人才建设,无论从内部控制和风险管理的设计、执行还是维护的角度来看都离不开人的因素,故无论是大企业还是小企业都应重视人才战略,更好的促使企业文化的健全,从而达到企业快速且良性运转和发展。
参考文献:
关键词:房地产;企业;内部控制;制度建设;风险管理
中图分类号:F235.91文献标识码:A文章编号:16723198(2009)23003302
1内部控制和风险管理的概念和联系
1.1内部控制与风险管理的定义
现论界对此定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制的定义。该组织认为:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
另外,依据COSO委员会关于风险管理的定义为:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。该框架有三个维度:第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。
1.2内部控制与风险管理的联系
(1)风险管理涵盖了内部控制。风险管理除包括内部控制外,还增加了战略目标;而风险管理的要素除了包括内部控制的全部要素之外,还增加了目标设定、事件识别和风险对策等要素。从时间先后和内容上来看,全面风险管理是对内部控制的拓展和延伸。
(2)内部控制是风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
2内部控制制度建设和风险管理中存在的问题
2.1房地产企业内部控制制度建设认识不足、不够健全、不够合理
由于内部控制不能直接产生经济价值,间接效益也需要较长的周期才能看出,许多房地产企业把精力主要放在房地产商品的开发和销售商。有的房地产企业片面地理解为内部控制系统就是成本控制、会计控制或内部牵制制度等。有的认为加强内部控制,束缚了自己的手脚,影响办事效率,容易制造内部矛盾等。在制度建设上,有些企业只具有某些基本的内部控制操作,还没有形成一个完整的制度系统,如财务控制的评价制度尚未建立,经济合同的管理制度不健全。有的企业偏重于事后控制而忽视事前的预防控制,从而影响了内部控制的执行还有些企业在设计内部控制时没有考虑到自身的规模、业务性质等实际情况,生搬硬套,造成企业的内部控制不切实际,偏离控制重心。
2.2房地产企业普遍缺失风险管理的专门研究和处置
(1)没有专门的人员或机构进行企业风险管理活动,每个人或部门往往只针对自己工作中的风险独立地采取一定对策,缺乏系统性、全局性。更有一些企业根本就没有风险及风险管理概念及意识,没有积极主动、系统地进行风险管理工作,风险的事前管理缺位、事中和事后管理具有一定的随意性。
(2)企业的风险管理基本上是一种被动式管理,常见的现象是保险公司业务人员上门请求企业购买保险。由于缺乏风险意识,企业往往不会主动地对企业主要业务进行风险识别、评估、管理和监控,认为只要买了保险便万事大吉。
(3)企业中的风险管理活动往往是瞬时或间断性的,意识到了就进行管理,事后则“好了伤疤忘了疼”。
(4)缺乏对风险进行定期的复核和评估,降低了企业适应环境变化和规避风险的能力。
3房地产企业实施内部控制制度建设和风险管理的重要性
从严管理企业,实现管理创新,使传统的管理模式向现代企业管理过渡,加强内部控制制度是建立现代企业制度的内在要求,也是现代企业最重要、最关键、最基本的一项管理方式。完整而又严密的内部控制制度可以完善房地产企业的经营管理体制,建立-套完整的规章制度,能够增强控制能力,加强内部控制,提高经营管理水平和企业素质。同时,也可以监督各种经济活动严格按照计划的要求进行,保证各项计划的完成和经营目标的实现。可以杜绝经营管理中的各种风险,预防潜在危机的发生,减少和避免各种不必要的风险损失。特别是房地产企业开发中所要面临的政策风险、市场风险、经营风险、资金链风险、人事风险。等等,除此之外,一些普通企业可能遇到的风险,诸如债务风险、经济合同风险、信誉风险等风险也能够及时作出预警和防范,从而把不确定的风险变为规律研究利用,以保证企业的稳定运营,并尽量减少风险发生的可能性和一旦发生所可能造成的破坏,进一步强化企业内部控制。
4构建内部控制与风险管理体系的过程
内部控制和风险管理的构建都是一个系统工程,基本涉及了企业管理的方方面面,因此实践中企业往往根据自身的特点先搭建一个合理的体系框架并在此基础上选择某一目标或某一层面作为主线深入下去建立一个局域内部控制或风险管理体系,然后再在企业全局推广。一般来说,我们将其分为以下四个步骤:
第一步:确定内控体系/风险管理体系建设的目标和依据:确定项目组织架构、项目管理制度和详细的工作计划;梳理、明晰企业的中长期战略发展目标,为从战略高度建立内控体系/风险管理体系打下基础;应当确定其需要遵循的相关法律法规;确定体系需要实现的目标等。
第二步:各业务层面分析:综合运用各种调研手段和现状描述方法清晰表述出业务现状,并进行研究分析,归纳总结出内部控制/风险管理存在的问题点。层面的划分需要根据目标要求和企业特点。
第三步:差距分析:结合当前国际和国内标准进行分析评价,发现差距,提出补充、修正或完善的方向。
第四步:内部控制/风险管理体系建设:以前几步工作成果为依据,搭建内部控制/风险管理框架体系;以某个目标或某个业务层面为主线,进行内部控制/风险管理体系的建设。
5完善房地产企业内部控制制度建设和风险管理的措施
5.1相关原则
(1)合法性原则。房地产企业必须以国家有关的法律法规为准绳,其相关制度的制定必须限制在法律法规的框架内。坚持合法性原则应该是制度建设和风险管理的前提条件,在合法的基础上提高其有效性。
(2)全面性原则。房地产企业是一个系统,其内容涉及单位的各个部门、生产经营的各个环节。系统全面原则要求,在符合内部控制要素要求的前提下,业务流程的设计必须能够覆盖企业经营管理的各个环节,并将业务流程中的关键控制点落实到决策、执行、监督等各环节,不得留有制度上的空白或遗漏。
(3)审慎性原则。内部控制的核心是有效防范各种风险。由于房地产企业经营的特点,为了使各种风险控制在许可的范围内,建立内部控制制度建设必须以审慎经营、化解风险为出发点。要充分考虑企业经营和业务各环节可能存在的风险,并设立适当的操作程序和控制步骤来避免和减少风险。
(4)前瞻性原则。内部控制制度的制定应当具有前瞻性,并与房地产企业的风险管理的需要相适应,应随着企业经营战略、经营方针及内部管理需求等内部环境的改变进行适时的调整与完善。
5.2当前深化房地产企业内部控制制度建设和风险管理的认识和实践
(1)完善房地产企业的内部控制环境。首先要加大宣传力度,提高管理者的内部控制意识。确保企业的每个岗位及人员,每项业务或环节都能按规定的制度办理,真正将内部控制制度的建设作为一项长期任务来抓。其次要充分发挥房地产企业董事会的作用,只有当董事会拥有技术、才能和智慧,并能进行适当的管理时,才能适当履行其监控、引导和监督的责任。另外要加强企业文化建设,正直诚实的品行、高度的敬业精神对企业的内部控制会产生积极的影响。建立公司统一的价值观和道德标准,并制定员工行为准则,认真考虑企业的社会责任,合法、公平、公正地处理企业与利益相关各方的关系。
(2)构筑严密的控防体系。房地产企业内部控制体系的建立,首先是在企业经营全过程中建立以防为主的监控防线。有关人员在从事业务时,必须明确业务处理权限和应承担的责任,禁止一个人独立处理业务的全过程。其次是要设立事后监督,即在会计部门常规性的会计核算的基础上,对其各个岗位、各项业务进行日常性和周期性的核查,建立以“堵”为主的监控防线。最后是成立一个直接归董事会管理并独立于被审计部门的审计委员会。审计委员会通过内部常规稽核、离任审计、落实举报、监督审查企业的会计报表等手段业务,对会计部门实施内部控制。
(3)加强房地产企业的信息沟通。房地产企业都应当建立自己的信息系统,保证信息的搜集、储存、加工、输出和使用等各个环节的正常运行,满足企业的信息需求。优良的信息系统要能保证信息提供的完整性,企业应当运用计算机、网络等多种先进的手段来构建企业的信息系统。同时,企业的信息系统应能保证信息提供的准确性,减少信息传递过程中有意和无意的错漏。
(4)构建风险管理控制框架和流程。对于集团式的大型房地产公司来说,就需要考虑建立基于企业管理体系下的风险管理系统。在组织上设立专门的风险管理岗位,并设计风险管理流程,流程范围覆盖项目相关的各个部门。在这个风险控制框架中,风险的等级要从成本、进度等指标上设置不同的组织等级进行处理,这要和组织不同的权限等级结合。风险存在于项目的整个生命周期,在制度上,要制定风险管理流程,落实到岗位、并做好风险预算。保证风险发生时,能有一系列的既定动作进行。不确定事件的发生会对项目目标产生风险,往往也伴随有机会产生,同一事件,不同的组织采用了不同的行动,产生的效果就会不同。成熟的开发商能透过风险看到机会,但有些开发商却被风险挡在了殿堂之外。
参考文献
[1]唐来全.内部控制与风险管理概念剖析[J].财会通讯(理财版),2006,(08).
[2]宋培华.试论企业内部控制的问题及对策[J].集团经济研究,2006,(12).
[3]陈军.浅析房地产企业风险管理[J].锦联世界,2008,(07).
关键词:内部控制;风险管理;COSO
COSO(Committee of Sponsoring Organizations of the Tread-way Commission,简称COSO委员会)报告指出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。内部控制是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性而自行检查、制约和调整内部业务活动的自律系统。这个系统贯穿于经营活动的全部过程,包括控制环境、风险评估、控制活动、信息与沟通,监督等要素,并受企业董事会、管理阶层及其他人员影响。
直至18世纪产业革命,法国科学管理大师法约尔(Henri Fayol)才在其《一般工业管理》中把风险管理思想引入企业管理体系内,但一直未形成完整的制度与方法。风险管理作为一门系统的管理科学,则是本世纪30年代在美国兴起的。1930年,美国宾夕法尼亚大学所罗门•许布纳(S.S.Huebner)博士在美国管理协会发起的一次保险问题会议上提出关于风险管理的定义,但至今尚无统一的说法。比较权威和比较有代表性的观点是威廉(C.A.Williams)和汉斯(R.M.Heins)在1964年出版的《风险管理和保险》一书中提出的,他们认为“风险管理是通过对风险的识别、衡量和控制,以最低的成本使风险导致的各种损失降到最小程度的管理方法。”这个定义包含了这样几个方面的含义:(1)企业风险管理的目标是以最小的成本达到最大的安全效果。(2)企业风险管理是由风险识别、衡量和控制几个环节组成。(3)实现风险管理目标的主要手段是控制。
一、 改进我国内部控制的建议
推进和改进激励和约束机制。完善公司治理结构的前提是必须尽快建立市场化的、动态的、长期的激励与约束机制,打破干好干坏一个样的状况。在激励方式上,除了要突破国有企业收入分配的限制,更重要的是要研究有效方案,给与管理层股票或股票期权。在约束方面,必须树立以制度约束人的观念,强化责任追究制度。只有这样才能避免所有者和经营者以及管理层和员工之间由于信息不对称而产生的道德风险和逆向选择。
披露公司治理结构的状况。把公司治理结构作为公司信息披露的重要组成部分,其作用不仅仅在于方便投资者通过对公司治理结构的判断来减少投资风险,更主要的是将公司治理的现状和改进置于社会公众的监督之下,借助于社会监督的力量来完善公司治理结构。公司治理结构的披露可以结合内部控制信息披露进行。并采取强制的详细披露。为了保证披露信息的真实、可靠。可以由会计师事务所出具详细的内部控制制度和公司治理结构的审核报告。
杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人,董事会和总经理班子人员重叠。这种交叉任职的后果是董事会与总经理之间权责不清、制衡力度锐减。因为在公司治理结构中,董事会和总经理分别代表所有者和经营者的利益,两者是相互制衡的关系。如果重叠这种关系,那么这种制衡局面就会被打破,从而使得经营者处于无监管状态。其结果可想而知。所以完善公司治理结构就要在组织机构设置和人员分配方面做到董事长和总经理分设、董事会和总经理班子分设,避免人员重叠。
二、建设有效的风险管理体系
1.建立风险管理机制
企业的风险管理机制是企业进行风险管理的基础,良好的风险管理机制是企业风险管理是否有效的前提。企业风险管理机制包括以下方面的内容:(1)风险管理组织机构。企业必须根据规模大小、管理水平、风险程度以及生产经营的性质等方面的因素,在全体员工参与合作和专业管理相结合的基础上,建立一个包括风险管理负责人、一般专业管理人、非专业风险管理人和外部的风险管理服务等规范化风险管理的组织体系。该体系应根据风险产生的原因和阶段不断地进行动态调整,并通过健全的制度来明确相互之间的责、权、利,使企业的风险管理体系成为一个有机整体。(2)风险预警系统。企业进行风险控制的目的是避免风险、减少风险,因此,风险管理的首要工作是建立风险预警系统,即通过对风险进行科学的预测分析,预计可能发生的风险,并提醒有关部门采取有力的措施。企业的风险管理机构和人员应密切注意与本企业相关的各种内外因素的变化发展趋势,从对因素变化的动态中分析预测企业可能发生的风险,进行风险预警。以实现公司的经营目标。(3)风险紧急处理机制。企业在经营过程中,有时会遇到一些突发的事件。如果处理不当,可能会给企业带来巨大的损失,甚至可能会给企业带来灭顶之灾。
2.控制经营风险
控制经营风险应从以下几方面着手:(1)控制供应风险。企业能够正常生产经营的前提是拥有充足的资源供给,企业的供应风险主要包括:市场价格风险、合同欺诈风险、货物质量风险、存货风险。(2)控制生产风险。企业的生产风险,是指存在于企业将各生产要素组合形成产品过程中的风险主要包括生产组织风险、生产安全风险、生产质量风险等。(3)控制销售风险。企业的销售风险,是指企业由于市场开发、产品销售(包括劳务提供)、市场竞争等环节存在着不确定性而产生的风险。销售风险主要包括:市场开发风险、市场营销策略风险、赊销信用风险等。
3.控制财务风险
财务风险又称筹资风险,是指由于举债而给企业财务成果带来的不确定性。企业举债经营,全部资金中除自有资金外还有一部分借入资金,这对于企业自有资金的盈利能力造成影响;同时,借入资金需还本付息,一旦无力偿还到期债务,企业便会陷入财务困境甚至破产。企业息税前资金利润率高于借入资金利润率时,使用借入资金获得利润除了补偿利息外还有剩余,因而使自有资金利润率提高。但是,若企业息税前资金利润率低于借入资金利润率,这时,使用借入资金获得的利润还不够支付利息,还需要动用自有资金的一部分利润来支付利息,从而使自有资金利润率降低,使企业发生亏损,甚至招致破产的危险。这种风险即为筹资风险。
我们说控制或规避风险,不是简单地消极逃避风险,应做的事情不做。其实,对企业来说,不能抓住机遇,得过且过,错失良机,是最大的风险。尽管机遇背后可能隐藏风险,但风险也往往孕育着希望和收获。理论上和实证都证明,在有效资本市场的条件下,风险和收益是对称的,低风险低收益,高风险高回报。同时,从内部控制的角度看,企业要敢于认知和分析风险,并采取积极、创新的风险管理措施,把风险控制在企业可接受的范围以内。
作者单位:河北科技大学
参考文献:
[1]吴水澎,陈汉文,邵贤弟.企业内部控制理论的发展与启示[J].会计研究,2000,5:10-11.
一、科学认识三者的职能作用
(一)内部审计的职能作用
内部审计是一项独立、客观的鉴证和咨询服务活动,其目标在于增加价值并改进经营,定位于企业内部的管理过程,主要为管理层服务,突出服务的内向性特点。主要审查各项内部控制是否健全、有效,会计及相关信息是否真实、合法、完整,对经营绩效以及经营合规性进行检查、监督和评价,对企业治理、风险管理以及内部控制提供咨询服务。其作用突出表现为:保证企业内部约束机制的建立健全,企业的健康发展;防范经营风险和财务风险;为企业领导层提供决策依据。
(二)内部控制的职能作用
内部控制是一系列方法、手续与措施总称,是企业为了实现经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性。内部控制通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。主要作用有:保证国家的方针、政策和法规在企业内部的贯彻实施;保证会计信息的真实性和准确性;有效的防范企业经营风险;维护财产和资源的安全完整;促进企业的有效经营。
(三)风险管理的职能作用
全面风险管理是一个过程,它由一个企业的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,用于识别那些可能影响主体的潜在事件,管理风险以促使其在该主体的风险偏好之内,为企业目标的实现提供合理的保证。企业全面风险管理在协助组织管理风险从而实现目标方面具有重要作用,具体表现为:在董事会层面综合报告不同的风险;提高对主要风险及其广泛影响的认识;对重要事项集中管理;减少意外或危机;在组织内部更加关注用正确的方法做正确的事情;对将要采取的行动增加变更的可能性;具备为获取更高回报而承担更大风险的能力;更有依据的风险承受和决策。
二、正确处理三者之间的相互关系
(一)内部审计与内部控制的关系
内部审计是内部控制的重要组成部分,在内部控制中属于环境控制要素,执行监督评价活动,协助单位管理者监督内部控制政策和程序的有效性,促成好的控制环境的建立,并为改进内部控制提供建设性意见。内部审计在内部控制中发挥不可替代的独特作用,没有内部审计的评价、监督,就不能形成良好的企业内部控制制度。
内部审计又是对内部控制的控制。内部审计在会计控制之外,代表管理层对整个企业内部控制制度的健全性、有效性及其遵循情况等进行评价,具有其他任何部门和控制所无法代替的重要作用。目前,内部审计范围已从传统的财务收支审计扩展到经营管理的各方面。内部审计促进内部控制,通过分析问题产生的原因和影响,协助单位上层管理者完善内部控制,促进内部控制的健全,维护内部控制的建设。
(二)内部审计与风险管理的关系
内部审计定义中包含有风险管理的内容,风险管理赋予了内部审计在企业中新的地位和作用,两者目标都是消除风险、增加价值,逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。大部分企业制定风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。
内部审计部门在风险管理方面,主要负责开展监督与评价,并出具监督评价审计报告。内部审计参与企业全面风险管理是有前提条件的:应当明确管理层对风险管理的职责;审计人员职责的性质应当写入内部审计章程并由审计委员会审批通过;内部审计不应当代表管理层管理任何风险;内部审计应当提供建议并支持管理层作决定,而不是他们自行做出风险管理决定。内部审计不能同时为其所负责的风险管理框架的任何一部分提供客观确认。
(三)内部控制与风险管理的关系
内部控制与全面风险管理是紧密相关的。内部控制与风险管理的本质目标是一致的,其本质都是为了增加组织的价值而服务的。内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。
从内部控制和风险管理的差异来讲,内部控制是风险管理的青少年期,风险管理是内部控制的成年版。全面风险管理则贯穿于管理过程的各个方面,而内部控制仅是管理的一项职能;全面风险管理的一系列具体活动并不都是内部控制要做的,例如企业目标设定;两者对风险的定义不一致,全面风险管理把风险明确定义为负面影响的事件发生的可能性,内部控制没有区分风险和机会;内部控制中没有提及对风险的对策。
三、加强三者之间统筹结合与实施的措施
(一)树立“统筹融合思想”
风险管理、内部控制与内部审计必须紧密融合,统筹建设,形成了一个良性系统循环:风险管理为起点,内部控制做过程,内部审计评结果,结果再反馈给风险管理,才能真正发挥企业运营体系和监督体系的高效。建立三道防线:内部控制系统第一道控制防线在各业务运营部门,第二道防线在企业层面的风险管理部门,第三道防线是内部审计部门。
(二)建立健全企业“综合控制治理机制”,打造统筹结合平台
由企业董事会建立内控与全面风险管理专门委员会,统筹协调风险管理、内部控制及内部审计工作,各业务主管部门之间权责划分明确、清晰,部门之间的信息沟通方便、快捷,准确无误,运作高效,形成一个“综合控制治理机制”,切实发挥风险管理、内部控制及内部审计“三道防线”的作用,构筑起全方位、立体交叉的监督控制体系。
(三)严格执行“两个规定”、“两个评价”,确立统筹实施依据
一是严格按照国资委《中央企业全面风险管理指引》和中国内部审计准则中《风险管理审计准则》的要求,在企业风险管理文件中规定内部审计的监督评价职责,审计部门每年对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会内控与全面风险管理委员会,也可结合年度审计、任期审计或专项审计工作一并开展;二是严格按照国资委《关于加快构建中央企业内部控制体系有关事项的通知》(国资发评价〔2012〕68号)和中国内部审计准则中《内部控制审计准则》的要求,在企业内控制度文件中规定内部审计监督评价职责,审计部门做好对企业内部控制的年度自我评价工作,加强对重点子企业、基层子企业和关键业务流程内部控制有效性的检查评价。
(四)做好“两个传递”、“两个反馈”,打通实务结合路径
风险管理部门要定期将风险评估结果信息传递给审计部门,以供内部审计进行年度审计项目立项时参考使用,加强对重点风险领域、事项的审计监督;也要将风险评估结果信息传递给内部控制管理部门,以供内控部门确定关键控制环节、风险点,加强内控体系建设。审计部门要将年度审计发现问题情况及风险管理监督评价结果反馈给风险管理部门,以供其对风险清单重新进行确认、完善、更新;也要将年度审计发现问题情况及内部控制自我评价结果反馈给内部控制管理部门,已便于继续改进、提升。
【关键词】风险管理;核心;内部控制
一、风险管理与内部控制的关系探究
风险管理是一个相对抽象的概念,在不同的环境下、不同的领域中,它所具有的内涵和表现出来的外延是有所差别的。从其共性来看,风险管理的对象都是各种潜在的风险因素,通过对其进行识别、评估、控制、管理来最终减少风险出现的可能性。而内部控制则是一个相对专业的概念,它是现代企业管理体系中的一项重要制度,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。对于内部控制与风险管理的关系,我们认为,二者其实是一种包含与被包含的关系。在企业管理中提到风险管理,我们认为它必须依附于内部控制而存在,也就是说,如果脱离了内部控制来谈论风险管理将毫无意义。所以在现代企业的管理理论中,风险管理存在于内部控制这一个大的体系中。有了内部控制,才会有风险管理,各项风险管理工作的开展也才会有意义。
二、企业风险管理的内控机制现状分析
第一,风险管理的意识淡薄。现代企业制度的建立在我国本身起步较晚,所以一些现代化的管理模式和管理理论在我国还被认为是一些新鲜事物,特别是对于一些中小企业而言,用现代企业的管理制度来提升自己的竞争力还处于探索与学习阶段,这就决定了我国现代企业管理的整体水平不会太高。具体到内控工作上,最突出的表现就是大多数企业只是从形式上重视了内控制度的建设,认为构建了相关的平台,有了相关的规章制度就意味着内控工作已经完成,已经能够在企业的运营中发挥其应有的价值。对于什么是风险管理,风险管理在内控工作中有着怎样的作用,处于怎样的位置,并没有得到正确的认识。大部分企业对风险意识缺乏正确的认识,没有风险防范的基本觉悟。形式上虽然确定了各项管理制度,但是并不能够发挥其应用的风险防范价值。第二,以风险管理为核心的组织架构尚未确立。归根结底,现代企业制度最为核心和关键的问题仍旧是公司治理结构的问题,公司治理结构决定了各项职能承担的主体以及各项工作的具体实施情况。组织架构的价值就在于将一项系统的工作通过科学的分配将具体的权责落实到每一个具体的岗位或是员工身上,风险管理工作的开展同样必须依赖于这种专业完善的组织架构的建立。但是从当前企业运行的现状来看,部门、岗位之间的权责区分不明确,没有明确的监督主体和具体的责任承担方式,没有针对风险管理的专门组织架构,部门与岗位之间的界限模糊,使得风险管理工作无法开展。第三,风险管理与内部控制并没有很好的联系起来。在上文中我们已经提到,要做好企业的内部控制工作并不是一件容易的事情,每一个企业要根据自身的实际情况来选择合适的突破口。将风险管理作为内控工作的切入口,是我们在考量众多企业现实情况的基础上做出的具有通用价值的选择,以风险管理为核心,就是在内控制度的几个要素中确立一个中心,所有的工作都是围绕这一个中心而展开。但是当前风险管理与内控工作并没有很好的联系起来,这种疏漏表现在多方面,从管理者的角度来看,并没有明确将风险管理作为内控工作开展的核心;从战略的制定与实施的角度来看,由于没有重视风险管理各项战略规划存在激进与冒险的情况,加大了企业未来承担风险的概率。
三、以风险管理为核心的内控工作分析
企业重视内部控制工作有着重要的现实意义,它的一个重要价值就在于通过对财务、运营、经营等工作的细化分析和控制来尽可能的减少有可能出现的各种潜在风险。从这个角度来看,内部控制与风险管理本身的价值取向是趋同的。建立以风险管理为核心的企业内部控制体系,需要做好以下几方面的工作:
第一,构建以风险管理为核心的全新内控体系。针对当前企业内控工作开展的现状,要想使风险管理在整个内控工作中得到重视,首先必须构建一套以风险管理为核心的全新的内控体系,只有为风险管理创造一个有序的外部环境,这项工作才能得以顺利的开展进行。具体来说,风险管理应该具体的落实到每一项工作中,包括员工的管理、发展战略的制定、运营模式等。在企业中设立专门的风险管理机构,由其作为涉及到风险管理事务的主要执行机构和决策机构,赋予其专有的权利以及相对独立的地位,来保证这项工作更好的开展进行。第二,确定合理的目标。风险管理工作的开展,一个重要的前提就是企业的发展必须有明确的目标,只有有了目标,我们才能判断在达成这一目标的过程中,企业需要经历怎样的发展途径,以及需要面临怎样的风险,也就是我们通常所说的风险识别。如果一个企业的发展都没有明确的目标,那么也就谈不上风险识别。要使得风险识别具有保护企业发展的价值,还必须保证企业所确立的目标是合理的,任何夸大、不切实际的目标都是对企业资源的一种浪费,在这种情况下进行的风险识别也不能发挥丝毫的作用。只有完成了风险识别,我们才能进行下一步的风险评估以及控制,并且将企业的风险管理纳入一个动态的控制体系中,根据目标的调整和变化,来调险识别与控制,减少企业面临的各种潜在风险。第三,加强人力资源的管理建设。无论是企业的内控工作还是风险管理,其根本仍旧处理的是企业与员工的关系、员工与员工之间的关系,简而言之就是人力资源的管理。将风险管理的意识带入到人力资源的建设工作中,就是要加强对个体员工的管理。以风险管理为中心的人力资源建设,其实就是要提高企业内部每一个员工对风险的识别能力和防范能力,在企业中不仅会出现一些宏观事物所导致的风险,而且也会出现由于个人道德水平和价值观念所产生的道德风险,这些风险内容同样是企业进行内部控制应该关注和重视的问题。要通过提高员工的综合素质,尽量减少个体道德风险对企业带来的负面影响,用健全的鼓励、激励机制在企业内部打造积极向上的工作氛围,这也是企业内控工作应该具备的效果之一。第四,制定相应的风险评估机制。风险评估可以使企业考虑潜在事件如何影响目标的完成,管理层可以从两个方面对事件进行评估:可能性和影响性。可能性表明的是事件将会发生的概率,而影响表明的是如果事件发生,其结果如何。一般可以利用过去事件的详细资料,根据各个企业的实际情况,结合上级部门的要求,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对各单位、各部门的控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。第五,构建符合内部控制要求的业务管理新制度。要在符合内部控制要求的前提下,全面梳理现有规章制度,进一步完善财会业务、中间业务等各项业务管理制度,整合业务操作流程,建立起完善的风险防范体制,构筑起面向全部门、覆盖所有业务品种和涉及业务全过程的内部控制管理体系,实现业务发展和风险管理的同步。业务主管部门要加强规章制度的完善和业务流程的再造,加大业务条线自律监管的力度。内审部门要充分发挥审计的帮促作用,促使全部门逐步建立起业务管理服从规章制度、业务操作服从处理流程、业务考核服从统一标准的管理新制度。
参 考 文 献
[1]张丽珍.浅谈企业风险管理框架下我国企业的内部控制[J].商场现代化.2010(32)
[2]张敬梅.加强内部控制降低企业经营风险[J].现代商业.2008(9)
[3]管仁强.浅析民营企业内部控制存在的问题与对策[J].现代商业.2011(5)
[4]熊汉兰.浅论企业内部控制[J].企业导报.2009(2):77
要构建以风险管理为核心的内部控制,首先就要明白风险的含义。对于企业而言,风险就是指在某一特定环境下的某一特定时间段会对企业的利益造成不利影响的可能性。这种可能性的来源可以是企业的外部,包括社会环境、市场环境、国际环境、法律制度、竞争对手、供应商和客户,也可能来源于企业内部的技术、人员、财务和管理。无论这种可能性来源于企业的内部还是外部,都可能对企业的持续经营带来负面的影响。
风险导向的内部控制就是以风险识别和评估为基础,继而建立和实施内部控制的过程,以降低企业的经营风险实现企业的战略目标。风险导向的内部控制要求企业的所有者和经营者将企业的主要精力放在应该重点关注的风险环节上,而不是关注企业管理的所有细节。
2、为什么要建立以风险管理为核心的内部控制体系
在讨论为什么要建立风险管理为核心内部控制体系前,我们先来看两个小案例。
案例一:巴林银行事件
英国巴林银行曾是全球最早的商业银行之一。但是1992年到1994年期间,其新加坡分行的一位期货交易员在对冲交易中形成了巨额的亏损。但是由于这位交易员同时是巴林银行新加坡分行的结算员,这使他有机会伪造相关财务文件隐瞒了交易损失。同时巴林银行的高层不重视财务报告,连续几年时间都没有发现资产负债表中的损失记录,最终导致这家拥有超过200年历史的银行于1995年被收购。
案例二:中航油事件
2003年中航油新加坡公司总裁擅自从事母公司明令禁止的石油衍生品期货交易,在发生损失后,又欺瞒母公司,最终导致5.5亿美元的巨额损失,公司也不得不申请破产。虽然中航油新加坡公司有着完善的公司治理结构和风险防范体系,但是在高管越权和舞弊发生的情况下,公司也只能是轰然倒塌。
通过这两个小案例我们可以发现为什么要在企业中建立风险管理为核心内部控制体系:
第一、风险意识对于企业实现经营目标有着至关重要的作用。对于企业来说,其经营活动始终处于一个面临各种威胁的外部环境中,这个外部环境包括:市场、法律、技术、竞争对手、供应商、客户等,任何一个外部环境因素的变化都有可能对企业的经营带来风险,影响企业经营目标的实现。因此企业不仅要对风险进行科学的评估和控制,还应该提高公司上下特别是公司高层管理人员的风险意识。使公司上下员工都能积极主动地为公司识别面临的主要风险,认真地思考自身负责领域的风险和可能产生的后果,并上传下达发现的风险,引起相关人员的注意和重视。在企业面临的风险面前,任何疏忽大意都有可能导致企业遭受巨大的损失。就如中航油事件,如果其新加坡公司的高管人员有足够的风险意识,那么也就不会擅自越权进行母公司禁止的交易。
第二、内部控制必须以风险为导向。在巴林银行的案例中,如果其高层能提前从财务报表中发现风险信号,那么也就有可能为公司挽回损失。内部控制体系作为企业应对风险的重要工具,在企业架构中的作用日益明显。但是企业在经营过程中面对的各种事项复杂多变,针对各种事项采取的应对措施也各不相同,如果是一些高风险的事项,却采用一般性的控制措施,那么也就无法起到加强控制降低风险的目的。因此企业内部控制体系在建立和实施的过程中必须以风险为导向,通过识别风险、评估风险的过程找到合理的风险应对措施,从而达到有效的内部控制。
第三、风险管理为核心的内部控制体系对于企业是不可或缺的。前面的两个小案例究其根源都与其内部控制的缺失有着根本性的联系。如巴林银行,其权责划分机制有着重大问题,导致交易员兼任结算员,使其有机会进行舞弊。而中航油高层的越权行为使其越过了公司的内部控制体系,导致高风险的业务得不到及时的控制,最终造成了巨大的损失。对于企业来说,内部控制的缺失有两个层面。一个层面是企业在经营管理过程中缺少相应的规章制度,造成经营活动的随意性和松散的控制环境,整个企业处于“无法可依”的局面。另一个层面则是企业拥有完善的内部控制制度,但是却执行不到位,导致内控制度形同虚设,企业上下形成了对规章制度的漠视,出现“有法不依”的情况。无论是哪种层面的内部控制缺失,其对于企业的危害都远远超过了单一环节上的内部控制失效。因此为了避免内部控制的缺失,就必须在企业内部建立健全风险导向的内部控制体系,在内控的实施过程中也要加强执行,保证内部制度的有效实施,使内部控制能贯穿于企业的所有业务活动中。
3、电力企业的风险识别
对于很多企业建立风险管理为核心的内控控制,具有很大的共同点。但是对于我们电力企业而言,特殊性就凸显出来。首先我们电力企业整个生产经营涵盖建设、生产和运营等多个环节,涉及的范围广,各种风险之间相互关联、错综复杂。分别是:
第一、自然环境风险
主要指气候条件、自然灾害以及其他自然环境变化等因素对电力企业的影响。如气候冷暖变化可以直接影响电网负荷和用电量;地震、雪灾、洪水等自然灾害可能造成电网输电线路中断。
第二、经济财务风险
从外部来说,经济发展形势、国民经济增长速度、金融市场利率波动以及国家对电力企业的投资贷款变动等等诸多因素都可能影响电力需求发生变化,从而影响电力企业的生产。从内部来说,电力企业的资金结构是否合理、企业的盈利能力、资金流动情况和利润分配方式等等都可能给电力企业带来经济财务风险。
第三、政策法规风险
国家对电力企业建设、生产、发展、运营、环保等方面的宏观法律和政策的制定都会直接影响电力企业的发展。
第四、科学技术风险
由于新能源、新技术的开发应用,如核技术、风力、水力可再生能源技术研发、施工及设备的技术解决,技术指标和技术规程研究制定等等诸多问题都会形成技术风险。
第五、用户需求风险
用户的用电需求影响电力企业的成本投入,决定电源和电网建设项目的投资建设。
第六、电价风险
电力是一种特殊的商品,价格直接关系到电网企业的经济效益。电力行业开放 竞争性的发电市场,电网企业面对的发电企业的购电价格是由市场决定的,而面对用户的销售电价是由政府决定的,这样会给电网企业带来电力价格上的风险。用户的用电性质和需求也会给电网公司的供电成本带来风险,执行多种电价类型等等都会给电网企业的运营带来风险。
4、电力企业内部控制与风险管理的现状
第一、企业内部内控意识不强,全员参与风险管理积极性太低
很多企业的管理人员在对内部控制的认识上存在很大的偏差,总是简单的认为企业内部控制就只是简单的企业内部的各种规章制度,把内部控制的作用理解成在日常工作中对员工的管理,没有认识到风险管理的重要性。另外,大部分企业没有形成全员共同参与风险管理的观念,错误的把风险管理当作是管理层所需要做的事情,而和基层职工没有关系。在这样的错误观念引导下,企业的一线员工没有机会参与到企业的风险管理当中,导致的直接后果就是在风险管理的过程中不能及时发现一些薄弱环节,更难以做到防患于未然。
第二、企业的风险管理和内部控制联系太少
在实际情况中,企业由于风险问题而导致严重损失的现象时有发生,造成这一现象的原因不是企业没有相应的内部控制体系以及风险控制制度,而是企业根本就没有将这些制度执行好。另外,企业从业人员的职业素质参差不齐,某些管理者无视企业制度等等,这些问题都需要通过不断改进公司治理结构以及不断强化外部监管来予以解决。
第三、风险控制人才匮乏
电力企业风险控制工作,人才是坚强防线。一切工作安排,最终都要由个人去执行落实。电力企业风险控制有很强的专业性和技术性,负责人要有丰富的风险控制知识及经验技能,对企业管理具备一套整体认识,又不缺乏对各个细小环节的了解。专业人才的养成周期较长,所以培养人才也是电力企业以后管理的重点。
第四、突发事件应急管理体系不健全
风险是客观存在的,难以预知,健全的应急机制很关键。然而部分企业风险防范措施规范缺乏,预防策划也得不到认真落实。再者,已有的应急管理体系或许已经不适应现有改革的发展方向,亟待待改进。如预警状态标准不明确,应急状态下各单位职责分工混乱,应急预案的可操作性也有待加强。
5、电力企业要建立以风险管理为核心的内部控制措施
第一、建立有效的经营风险控制机制
经营风险控制机制是指在经营风险管理中所形成的互相联系、互相制约的功能体系。构建完善的经营控制机制是防范经营风险的关键所在。首先,建立起经营风险的全过程控制机制。其次,实行全员风险管理,健全风险控制的动力机制。实行全员风险管理,将风险,将风险机制引入企业内部,使管理者、职工、企业共同承担风险责任,做到权、责、利三位一体。最后建立和完善经营风险预警机制。规避资本营运和资金管理风险最为有效的是建立经营预警系统,加强经营危机管理。
第二、建立完善的内部控制体系
电力企业应该根据自身的实际情况,建立完善的内部控制体系。首先,建立有效的监督防范机制。电力企业应本着“未雨绸缪,防范于未然”的态度,逐步建立涵盖企业投资、运营全过程的监督防范机制,重点监控企业财务管理容易出现问题的环节;其次,严格进行事中监督。严格按照电力企业内部控制的相关规定进行常规性会计核算,在此基础上采用定期核查和随机抽查相结合的方式,对电力企业会计部门的各项业务和各部门进行监督,并将监督结果反馈给财务部门留档,以便以后核查;最后,完善事后检查机制。电力企业应该成立管理委员会,由企业管理者牵头,挑选一批专业素质过硬、责任心强、职业道德高尚、客观公正的人员定期对内部控制制度的执行情况进行考核,保证内部控制工作质量。
第三、内部控制与风险管理统筹兼顾
风险管理和内部控制作为企业管理的两大工具。内部控制可以将企业发展战略、管理理念、控制要求融入公司治理、企业文化、岗位授权、制度规范和业务流程,通过风险评估、风险预警、信息沟通、流程监控、有效性评价、缺陷改进等控制活动,推动企业管理从单一制度管理向体系化管理转变、从传统管理向风险管理转变、从事后监督向过程监督转变、从职能条块化管理向全流程管理转变,实现企业管理水平全面提升。
第四、培养电力企业风险管控人才
企业风险管控的工作繁琐困难,但对企业的长远发展意义重大。扎实的专业基础,丰富的工作经验,良好的心理素质以及一定的奉献精神是企业风险管控人才的必要条件。电力企业应结合时代特点和企业需要培养或招聘专向型人才,在企业内普及风险防控教育,增强全体员工的风险防控意识,充分发挥风险防控人才在企业风险控制实践中的作用。此外,企业还要革新薪资激励机制,引进优秀人才,壮大团队力量;健全选拔制度,提拔公司内部有责任心、有上进心、有实力、有业绩的员工,培养企业自己的骨干力量。内外一起抓,打造电力企业风险控制的中坚力量。
第六、完善电网突发事件应急管理体系
首先,加强系统规划建设。电网建设与电源建设密不可分,协调发展。从电源规划、建设、运行和管理等各个环节着手,加强本地电网与大电网的联系,优化电源布局,保证供电安全。其次,建设强大的监控、调度系统。充分利用各种信息渠道,及时掌握各种灾害数据,做好灾前准备,实现对灾害的预警和恢复控制。再次,应急预案必须具备可操作性、差异性和标准化三个要求,提高突发事件处理、应变的能力。
关键词:企业组织目标内部控制风险管理
一、内部控制与全面风险管理的相关概念
(一)内部控制
所谓内部控制是指经济单位及各组织在经济活动中所建立起的一种互相制约的业务组织形式及职责分工制度。可以说内部控制是一个过程,该过程受着企业组织内部各个人员的影响,其目的是为了优化经营管理,提升企业的经营效益。内部控制的要素共分为控制环境、风险评估、控制活动以及信息与沟通和监督等五个,如下图1所示。
(二)全面风险管理
所谓风险管理是指在一个存在风险的环境中,如何将风险降至最低的管理过程,该过程包括了对风险因素的评估、度量以及制定应变策略等。理想的风险管理是一个将优先次序排好的过程中,其中可能引起最大损失以及最可能发生的事情进行优先处理。但是实际情况中,排列优先次序的过程相对比较困难,因为风险与其发生的可能性并没有一定的规律可循。由此可见,风险管理需要整个公司所有人员的共同执行与参与。风险管理要求包括内部环境、目标制定、事件识别、风险评估、风险反应以及控制活动、监督和信息与沟通等八个。其如下图2所示。
二、内部控制与风险管理的异同
(一)重视内部控制与风险管理的相关性
企业内部控制和风险管理的相关性体现在以下几个方面:
第一,内部控制及风险管理都是指过程化的管理,相对而言内部控制呈现出动态管理的特点,它促使企业经营朝向既定的组织目标而努力,但是它又不是组织目标的一部分,而是促使目标达成的手段,内部控制各要素对其产生直接的影响。全面风险管理同样是一个过程,但是其相对内部控制而言,从某种意义上表现出一种静态性,即其贯穿于企业的各项业务活动中,管理过程的各方面均有风险管理各要素的渗透。
第二,影响内部控制及风险管理的因素相同,企业组织架构中各个层次的人员,诸如董事会、管理层或者其它的相关人员,他们的互相影响和作用会对内部控制产生直接的影响,它不但包含了内部控制政策及相关的控制表单,各层次人员的作用也包含在内。此外,在控制过程中,每个成员不仅是被控制的对象,也会是实行控制的控制者。而对于风险管理而言,其整个过程也强调人的参与,它与整个企业的所有相关人员均有着密切的关系,而企业管理者在进行风险管理时要有一个宏观架构方面的风险组合观念。
第三,内部控制和风险管理的手段相同。无论是内部控制还是风险管理,均是通过风险评估来实现对应的管理目标。企业在实行内部控制的过程中,风险评估是其中必不可少的一部分,它的主要作对是对影响目标实现的各种不确定因素加以辨别,从而再针对风险管理的方法做出决定。控制与风险是两个密切相关的概念,而企业要提升其内部控制的效率及加强内部控制的效果,最主要的就是要进行环境控制及风险评估。企业在进行风险评估的过程中,通常要经过风险辨识、风险分析及应对控制等各个环节。同样,在风险管理中一样要先确定出组只目标,在剩余及固有的基础上评估风险,对其影响企业目标实现的程度做出分析与判断,并以此为基础进行风险管事,从而为企业合理的配置管理资源提供更为合理的依据。
第四,内部控制与风险管理的目的相同。无论是内部控制还是风险管理,其最终的目的都是保证企业组织目标的顺利实现。因为内部控制本身有一定的限制,比如成本控制、人为错误或者管理越权等等,所以内部控制只可为企业管理提供相应的保证,但无法做到绝对保证。而风险管理同样也是为了识别对企业经营目标会产生影响的因素,并有针对性的加以管理,以促使企业可以在经济预算合量的基础上,判断出其风险偏好。
(二)内部控制与风险管理的差异
内部控制风险管理的差异表现在两点:
其一,内部控制与风险管理的侧重点不同。相对而言,内部控制更加侧重于制度层面,其通过制定规章制度促使各层人员遵守制度来规避风险;而风险管理的侧重面更体现在交易层面,即其规避风险的手段为市场化的自由竞争或者市场交易等。通常而言,内部控制的目的是提高会计信息的真实性及资金的安全性,其核心是会计控制。内部控制通常仅限于财务部门及其要关部门,在企业管理过程或者整体的经营系统层面,内部控制只是管理职能中的一项。而全面风险管理则更加侧重于在特定的业务中,与战略选择及经营决策有关的风险和收益的比较,比如利率风险、汇率风险管理以及银行授信管理等等,可以说在整个管理过程中均渗透着风险管理。由此可见,风险管理是内部控制在技术与市场条件下的自然延伸,内部控制是风险管理的前提与基础,而风险管理中包括了内部控制。
其二,内部控制及风险管理所涉及到的风险的范围不同。内部控制过程中,经营管理活动既要对内部风险做出评估,又要评估外部的风险。内部控制的过程涉及到整个公司所面对的、并且公司内部各相关人员所经营的各类外部及内部风险。而风险在实际的企业运营过程中却是客观存在的,相对于内部控制而言,风险管理与其最大的不同就是对特定业务的战略评审更为关注,其主要目的是通过对不同公司业务领域内风险和报酬间的比较,实现收益最大化的企业经营目标。
三、内部控制与风险管理的有效整合
(一)内部控制要服务于企业经营者的目标
所谓控制就是控制者对受控者的一种能动作用,受控者根据控制者的作用而进行相应的行动,从而实现系统目标。尽管设定内部控制目标不属于内部控制的组成要素,但是它是实施内部控制的前提,促进内部控制的关键条件,属于过程管理中的一个重要组成部分。内部控制目标的制定对内部控制而言,意义重大,其对是否有必要存在内部控制有着决定性的作用。一个完善的内部控制对企业经营目标的实现有着直接的影响,它帮助企业经营者实现其预定经营目标。管理目标包括合理的资源配置、科学的决策、最低的成本控制、最优的质量管理以及利润最大化。在企业组织目标中,该五个具体的管理目标是互相联系、互相支持的:企业设施配置的关键就是资源配置;而企业经营的方向性是由管理决策来决定的;产品成本目标是实现利润最大化的重要条件之一;质量管理目标则是保证企业永续经营的必备条件;而财务目标即利润最大化,是企业经营的源动力,也是其它目标综合作用的最终成果。只有实现了这五个目标,才能够保证企业整个经营管理目标的实现。
(二)内部控制对实现组织目标的间接作用
因为内部控制制度所体现的是控制主体即企业经营者的意志,因此如果控制主体不同,其内部控制的目标必然不同。内部控制目标还要按照企业的法人治理结构的不同层次进行具体的细分,将内部控制目标层层落实到各级单位及部门。企业各层次相关人员进行内部控制的主要目标就是降低经营风险,减少虚假会计信息,保证管理者的经营目标可以顺利实现。但是企业管理中必然存在激励机制,管理者的目标与企业组织目标不得背道而驰,其最终的目标仍是为了实现企业组织目标而服务。一个有效的内部控制机制不但可以实现企业资源利用率最大化,有效的降低成本,还能够促进企业向着良性化的方向发展。随着市场经济的不断发展,人们的经济意识也在不断的提高,企业所处的经营环境的不确定性也越来越高,企业契约的不完备性就随之增强,因此各企业经营者对内部控制的研究越来越重视,以期能够通过合理的内部控制消除不完备契约所导致的逆向选择及道德风险,最终促企经营目标得以顺利实现。
(三)全面风险管理概念可以取代一般性的风险管理
我们可以用全面风险管理的概念取代企业经营过程中的一般性的风险管理。全面风险管理概念中提出,无论哪种类型的企业均或多或少面临着各种不确定性,来自于各方面的风险与机遇是并存的。而对于企业的经营管理者来说,最大的挑战是在企业为各利益相关者创造价值的过程中,对企业承受伴随价值增加而来的风险的能力。企业的全面风险管理机制的有效性越高,管理者对不确定的风险及机遇的处理能力就越高,从而使得企业创造价值的能力得到最大程度的提升。
(四)全面风险管理中企业目标与各要素间的关系
在全面风险管理概念中,企业目标分为战略、经营以及呈报与合规等四类,其所反映的是企业的不同层面的不同需求,针对企业各层次人员确定其相应的责任。而上文中也提到全面风险管理的要素包括模块,这些要素最终的目的就是服务于企业的四类目标,无论企业中的哪个层次均要通过这模块对各自的企业目标进行全面风险管理。全面风险管理并非绝对意义上的单循环步骤,而是一个重复性的、多向性的过程,在这个过程中,每个要素均会对其它要素产生影响,并且受其它要素的影响,即每个风险管理组成要素是和四类目标互相纵横交错的。因此风险管理目标与其各要素之间存在着直接的联系,即目标是企业努力的方向,而风险管理要素则是实现这一目标所必须的条件。
此外,风险管理的各个要素还是评价企业风险管理水平的标准。企业风险管理的构成及目标不仅是建立健全企业风险管理过程的基本依据,也是对其有效性做出评价的标准。评价企业风险管理的有效性,要看全面风险管理的八个构成要素是否同时存在,其运行是否有效。而且在不同的主体中,风险管理各个要素的具体运行也是各不相同的。
(五)利用全面风险管理评价企业目标实现的程度
针对全面风险管理的八个要素,及其在企业经营管理中是否发挥了有效的作用,我们可以以此为依据判断企业目标实现的程度,所以从这个意义上来讲,全面风险管理的要素就是评价企业目标的实现程度的标准。如果企业的风险管理体系这八个要素并存且能够正常发挥作用,证明该企业基本上没有太大的缺陷存在,风险管理方面也能够将其控制在一定的范围内。不过不同的企业风险管理各要素发挥作用的程度也各不相同,并且也不是绝对的,一些企业即使全部具备了所有的要素,但是也无法绝对保证可以实现企业经营目标,这是由于风险管理自身存在着无法克服的局限性,这些局限性体现在人员决策判断失误、控制制度的建立受着成本管理的约束、一些人为的简单错误造成风险管理的中断、企业内部人员互相勾结使得内部控制制度失效或者管理者凌驾于控制制度之上等各方面,正是这些局限性使得企业经营管理者无法绝对保证可以百分百实现企业目标。
参考文献:
[1]郑小荣,王美英.内部控制法制化的理论依据――法律特征与实践影响[J].当代财经,2010(4)
[2]郑小荣.试论内部控制法制化的三大弊端[J].财会研究,2010(18)
[3]王美英,郑小荣.对内部控制审计与财务报表审计整合的思考[J].财务与会计,2010(7)
[4]孟杰.基于全面风险管理的企业内部控制实施探讨[J].财经界,2009(11)
一、内部控制在水电施工企业财务管理中的作用
(一)增强水电施工企业的盈利。伴随市场经济的产生、发展,各企业间的竞争越来越激烈、严峻。尤其是目前不少企业施工的标段多是采取低价中标,这更加导致了盈利的急剧降低。而且大多水电施工企业都是在一个工程完工之后随机辗转到其他工程,而其遗留下来的未处理的问题很可能会一些不可预知的风险。针对如此情况,水电施工企业只有在摆正其经营理念,在企业内部控制上狠下功夫,以规避潜在的管理风险,实现施工成本降低,以此来促进企业竞争实力的提高,也只有这样水电施工企业才能在激烈的市场竞争中保持健康持续发展。
(二)确保水电施工企业财务信息的可靠性。内部控制在企业会计系统中的开展,主要是控制会计主体所发生的所有能用货币计量的经济业务的记录、分类、归集和编报等行为。对水电施工企业而言,加强内部控制,可以显著提高其财务信息的可靠性。
(三)确保水电施工企业各项管理制度及方针的贯彻执行。加强水电施工企业的内部控制,使企业能够结合其自身特点,不断规范岗位管理措施和完善其岗位责任制,并建立起相互制约、相互配合与相互促进的工作关系势在必行,也只有这样才能够降低和规避不良现象的发生,也只有这样才能确保水电施工企业所制定的各种制度与措施能够顺利贯彻落实。
(四)确保水电施工企业成本的降低与经营目标的实现。预算控制是企业内部控制中的一个有效手段,它涵盖了企业各项经营活动的全过程。企业通过实施预算控制,可以将企业的经营目标转变为各部门和项目部,以及各个岗位乃至个人的具体的行为目标,预算控制作为企业各责任部门的约束条件,可以从根本上确保企业各项经营目标的实现,并能有效控制水电施工项目的成本,发挥资本的最大潜力。
二、加强水电施工企业内部控制的措施
水电施工企业财务内部控制与风险防范水平的提高主要有以下措施:(一)建立健全完善的财务内部控制制度。水电施工企业内控制度的建立应当从企业的具体现实情况出发,并认真研究和分析《企业内部控制配套指引》和《企业内部控制基本规范》,以推出科学合理的内控制度。在财务管理方面,水电施工企业应当根据《企业内部控制基本规范》的具体要求,相应实施规范的财务管理。
(二)加强内控制度培训与宣传力度。水电施工企业必须要纠正有关负责人等领导层人员的相关观点,通常来说可以采用以下几方面去引导。(1)从内部控制的作用入手。(2)要狠抓控制点,对于每一个环节都要加设补偿制度。(3)在水电施工企业中建立互相监督机制。(4)利用举办培训班、开设网络课堂、编制专题资料等多种形式开展宣传培训,使企业员工全面掌握企业内部控制的各项制度。
(三)实施绩效考评,建立奖惩制度。将水电施工企业的内部控制执行下去,必须建立企业激励约束制度,将企业各责任单位和全体员工和实施内部控制的情况纳入绩效考评体系,对经评价、审计发现重大缺陷的责任单位及其负责人,要严肃处理。同时,建立一系列的奖惩制度,只有这样,才能够在水电施工企业内部真正实施控制。
(四) 加强企业内部审计控制。对于水电施工企业来说,内部控制主要力量是其内部审计控制。所以,要想增强内部控制势必要加强企业内部审计控制。其实,很多水电施工企业都在强化内部审计的工作规范与力度,这么做的目的就是为了增强内部审计部门的独立性和权威性。为此,加强内部控制审计制度,就为水电施工企业实施内部控制打下了基础。
三、加强水电施工企业财务风险管理的举措
针对水电施工项目中引发的财务风险,必须在项目的管理中融入风险意识;要积极应对内、外部环境因素引发的财务风险,加强风险防范;在财务工作中尤其要加强合同、筹资、资本运营、会计核算、内部控制制度、应收账款的风险管理。
(一)加强合同风险管理。防范合同风险主要有两点:一是认真分析合同条款,合同条款中有没有潜在风险,有没有对自己不利的提法和约束性条件,对变更、索赔条款是否公平合理等;一旦发现问题,应及时向对方阐明自己的观点,力争修改合同章程;二是要注意对方转嫁的风险,对风险的界定有超前意识,充分考虑在施工中可能发生的风险,并提出风险应承担的责任。
(二)加强筹资风险管理。首先,要将筹资规模控制在安全范围内,防止债台高筑,使负债与施工项目承担风险的能力相适应;其次,使债源分布平衡,还债时间均匀,长、中、短期债务搭配合理,防止还债高峰的过早到来和集中到来。此外,还要使资金成本理想化,确保盈利。
(三)加强资本运营风险管理。企业要从资金来源结构和运用结构及施工项目信用三个方面来把握。把握资金来源结构,就是要使项目有足量的资金供应量,以满足项目资金周转的需要。把握资金的运用结构,就是要使项目资金合理地分布在水电施工企业的全过程,提高资金使用效率。把握项目信用,就是项目要重合同守信用,使施工项目保持良好的信誉形象,为再筹资创造宽松的外部环境。
(四)加强会计核算风险管理。会计核算工作是财务工作中最基本的工作,一定要认真及时、严格把关,要有程序控制,因其关系着企业的成本核算、资金管理、报表的报出等。程序控制是指企业所有业务和财务活动都必须按既定程序办理,具体可表现为授权控制和预算控制。
(五)加强内控风险管理。开展内外部审计工作,能有效推动项目不断完善内控制度和规范经营行为,把项目经营风险降到最低限度,防患于未然,以保证最终实现企业经济效益的最大化。
关键词:混合所有制;运营风险;内部控制;风险监控系统
党的十八届五中全会提出“要通过继续深化改革,积极发展混合所有制经济,强调国有资本、集体资本、非公有资本等交叉持股、相互融合的混合所有制经济,是基本经济制度的重要实现形式,有利于国有资本放大功能、保值增值、提高竞争力,有利于各种所有制资本取长补短、相互促进、共同发展”。
为促进社会主义市场经济的发展,我国坚持“以公有制为主体、多种所有制经济共同发展”的所有制结构。改革开放三十多年以来,我国多种所有制经济共同发展,取得了空前的成就,其中尤以民营经济发展最为迅猛。在我国宏观经济处于稳增长、调结构、促改革的大环境下,国有企业加强与民营经济合作,将有效推动产权多元化,优化股权结构,构建高效的法人治理结构,发挥资本参与治理的作用,提升市场配置资源的能力,因此国有企业成立投资主体多元化、股权多样化的国有控股企业成为国有企业做大做强的新思路。
在开放的市场经济环境下,法律风险、市场风险、信息风险、投资风险、经营风险等诸多风险,时刻威胁着企业的生存和发展。而国有控股混合所有制企业由于股权结构较为复杂,对于企业内部控制风险管理的要求更高。为保障国有股权权益,国有股东必须利用其控股地位为混合所有制企业建立起完善的风险管控体系。
国有控股混合所有制企业运营阶段是风险管控重点阶段,国有股东和控股企业应形成自下而上和上下结合联动的风险管控体系。
一、督促混合所有制企业建立健全自身内控机制
(一)构建内控组织架构
内控机制的建立必须对企业所有业务活动和管理活动进行整合,内控组织架构应涵盖各个部门。为提高管理效率,国有控股企业应建立扁平化的内控组织架构,方便信息的上传下达。同时国有股东作为国有控股混合所有制企业的母公司,在母子公司之间还应建立垂直的内部控制机构体系。
(二)完善内部控制规章制度
国有控股混合所有制企业应当建立健全各项内部控制制度。通过完善的规章制度使各业务部门相互制约,相互监督。
1.资金使用方面。通过规范资金使用的授权审批程序、用款和报销的工作流程,确保资金使用的安全。对于大额资金的支付和使用,必须符合国有企业“三重一大”决策的规定,同时,国有股东应上收适当的权力,如规定超过一定标准的大额资金的使用或投资项目必须向国有股东上报审批等。
2.业务风险控制方面。要求各部门制定业务操作规范及风险控制制度,督促企业事先识别风险控制环节,建立风险隔离防火墙。尤其应加强各类关联交易信息的收集,及时向国有控股股东报告,防范各类关联交易业务中可能存在的风险。
3.会计控制方面。企业内部控制的核心是会计控制。建立完善的内部会计制度,是现代企业制度的重要内容。企业内部会计制度执行的好坏直接影响企业经济效益指标的真实性、可靠性。国有控股混合所有制企业首先应遵循国有股东(母公司)制订的统一的会计政策和财务管理制度,并在此基础上结合实际制定自身的财务会计制度;其次要从财务人员控制、岗位分工控制、业务处理过程控制、会计记录控制及财务报告控制方面加强内部会计制度建设,促进会计基础工作规范化,有效防范风险。
二、建立国有股东对控股混合所有制企业的风险监控系统
国有股东一方面应实时监督其内控组织架构运行及制度执行情况,另一方面应严格监控控股企业潜在的风险,这就需要完善其对混合所有制企业的风险监控系统。建立风险监控系统的基础是确定适合所出资企业的风险指标评价体系。
(一)风险识别
国有股东作为其主管部门或母公司,必须利用多方面信息对所出资企业的风险进行实时监控。一般可采用的手段主要有:
1.财务监控。国有股东作为合并会计报表编制主体的,必须把国有控股混合所有制企业纳入其合并范围,要求其定期上报财务报表及财务分析报告。国有股东的财务管理人员必须对其财务数据认真进行审核分析,并按照财务风险项目的具体指标进行初步测算,及时发现控股企业存在的风险,向风险管控部门提供线索。
2.工作报告。国有股东可以要求其向混合所有制企业委派的高管人员履职尽责,加强对所在企业的风险管理监督。对于可能存在重大风险的经营、财务活动及时向股东汇报情况,执行定期和不定期的工作报告制度。
(二)风险评估
在根据财务部门或其他部门提供的混合所有制企业可能存在风险的线索后,国有股东应安排风险管控部门(如内部审计部门)针对风险识别体系中发现的风险指标进行详细分析测算,并与行业标准值进行比较,计算指标偏离度;并按照定量分析与定性分析相结合的原则,对企业面临的风险做出综合评价。同时,风险管控部门应结合所出资企业所处行业和发展阶段、发展趋势等方面因素,对其面临的主要风险形成原因等进行分析,有针对性地提出初步的改进和解决措施。
(三)风险预警
风险管控部门对于评估结果中反映企业风险较大的项目,应及时风险提示,向国有股东决策层发出预警信号;同时继续跟踪监控风险因素的变动趋势,切实发挥国有股东风险管控部门对混合所有制企业的风险监控作用。
(四)风险处理
国有股东确认出资企业存在的风险后,必须及时采取风险应对措施。由国有股东风险管控部门向混合所有制企业提出风险防范和化解建议,并督促其内部控制机构及时对存在风险的相关业务进行研究分析,优化经营结构,规避风险,自上而下完善混合所有制企业内控机制;以此实现国有股东风险监控系统与国有控股混合所有制企业内控机制的联动循环,形成完整的风险管控链条。(作者单位:新疆国经农业发展有限责任公司)
参考文献:
[1] 《关于2013年中央企业开展全面风险管理工作有关事项的通知》(国资厅发改革[2012]89号)
(中南财经政法大学,湖北 武汉 430000)
摘 要:随着现代企业的发展、证券市场的日益成熟以及经济舞弊案件的增加,风险管理和内部控制已经逐渐成为现代企业经营管理架构的一个必要组成部分,是一个企业持续发展的机制与过程保证。而实践也逐步证明,内部控制体系的建立,需要沿着企业经营风险存在的路径设计才能有效保证企业的持续健康经营、财务安全和信息真实,其中的“风险评估”要素更是贯穿始终地联系风险管理和内部控制体系。本文首先回顾风险管理与内部控制意义和联系,引出对基于风险管理框架下的内部控制的分析。然后抽取企业经营风险中的一角——信用风险来具体分析风险对企业带来的价值损害。针对信用风险的后果和控制,以实务中“中钢集团与山西中宇之间40亿财务黑洞”的交易业务为分析案例,先是就案例层面介绍信用风险的危害覆盖面和牵连性,以案例所在环境论述其内部控制应该如何基于信用风险的管理而设计和执行;再以案例中的教训回归整个组织层面,简单给出了企业关于风险管理框架下的内部控制体系建立的相应建议。
关键词 :经营风险;风险评估;风险管理;信用风险;价值损害;预付款模式;内部控制
中图分类号:F230文献标志码:A文章编号:1000-8772(2014)25-0169-03
当市场经济进入中国后,国内各种类型的企业蓬勃发展,一夜春笋的蔓延之势从实体产业到虚拟金融,利益最大化、企业价值最大化以及股东财富最大化等,这些经营目标几乎是每个企业逐鹿商海的标杆。风险,也就是企业的经营风险,必然是如影相随的,那么在实现价值创造的过程中,从我国国情来看,权责发生制下,“一手交钱一手交货”的模式已少见,资金的时间价值和机会成本受到空前的关注,但企业的生产运营模式较西方发达国家还不够精细化、规范化,总体的盈利模式较为粗放地趋向“以此养彼”、“滚动盈利”,甚至“空手套白狼”的运营模式,因此资金流的周转和回笼对于我国大多数企业而言显得,尤为至关重要,一旦在主营业务的交易过程中,受到资金侵占而导致现金流断裂,这种风险的损害程度对企业几乎有着“生死一朝夕”的影响。所以,我国企业针对信用风险所作出的管理和控制,是其业务可持续健康运营的关键之一。
实务中,信用风险就是指企业间产生垫付和赊欠交易协议后,协议“言出不行”带来的价值损失和连带后果。随着企业交易规模的增大、交易间的牵连逾紧,这种价值损失的经济后果也愈发严重,资金或存货因信用协议崩毁而受到预期以外的侵占后,影响范围可以从降低毛利,到拖累上下游交易,到连累同期业务,甚至拖垮整个企业。在风险管理框架下的内部控制既体现内部控制从上到下的贯彻执行,也强调内部控制从下到上参与设计、反馈意见以及“倒逼”机制。内控的执行过程也是沿着风险的流向实施的,为风险信息的收集与披露带来了极大的便利,所以说,风险是内控设计与执行的关键导向,而内部控制执行的基本作用和根本目的也是控制风险。那么针对信用风险的路径,企业内部控制体系应该如何设计和展开执行呢?下面,我们结合央企中国中钢集团(以下简称中钢集团)与山西民营企业山西中宇钢铁有限公司(以下简称山西中宇)在两年间数比交易所形成的巨额资金往来的例子,简单分析一下基于信用风险的内部控制应该怎么样展开。
案例简述:中钢集团是国务院国有资产监督管理委员会管理的中央企业,是一家以铁矿石贸易为主要业务的公司,每年数千万吨的铁矿石贸易是其收益的主要来源。山西中宇是一家注册资本仅2000万元的山西省临汾市曲沃县高县镇的一家主营钢铁产销的民营企业。然而就在这样的背景下,中钢集团从2007年就开始和山西中宇进行贸易往来,并在当年5月一口气签订长达5年包销合作协议。协议源自中钢听信山西中宇给出“每月20万吨”喜人产量,就这样,通过预付款项的渠道,钢铁贸易商中钢集团就将自己与民营钢厂山西中宇绑在了一起。然而,协议几乎一直无法如期实现,山西中宇的产能一直处于困境,拖延减产交付却仍收取预付款。截止2008年3月,在不到一年的时间里,山西中宇向中钢集团累计发货仅28亿元,而中钢集团共计向山西中宇付款则超过54亿元!截止2009年底,占用资金巨额已达38亿元,算上中钢集团为救助山西中宇而通过委托方收购中宇股权所支付的资金,这笔烂账已经攀至40亿元。这个巨大的“黑洞”不仅使中钢集团计划三年的上市计划陷入停滞,中钢的其他项目也因此而运营资金不足,导致利润不断下滑,最后,中钢集团不得已从世界500强354名一下子跌出,兵败如山倒于民营钢铁企业山西中宇。
案例中,中钢集团在山西中宇这个泥洼中的越陷越深是否真的无法避免呢?我们不妨回到这项业务的第一笔交易的开端,分析一下当时的背景及内外部环境:过去十年间,中国钢铁行业是重工业中利润率并不高的行业,中钢集团受持股于国资委,从事经济技术合作,虽有兴盛之时,但利润增速已经在逐步放缓,中钢集团曾一度拿不到大型钢企的外包业务,大部分的客户都是民营中小型企业,因为只有缺乏资金实力和融资困难的中小型民营企业才愿意把钢材包销给中钢。处于如此薄弱参差的客户环境下,各种风险是一触即发的,但中钢集团对此的态度则非常消极,公司治理倾向于“人治”,对于当时有合作倾向的山西中宇、河北纵横等这样的民营企业,对其公司治理情况、管理层品行、生产经营能力以及财务状况的考察流于形式,管理层在做决策前几乎对上述方面不作关注,在未经董事会的批准下,为了表面的可观盈利铤而走险,签下和山西中宇的相关交易。这种典型的管理层逾越内部控制的做法更反映出中钢的内部控制环境相当粗糙,当时对外公布的组织架构图更让我们看到,中钢内设的审计监察部的报告路径是先向经营管理层报告,再到达董事会和监事会,这让内审部门和内部控制体系几乎是流于形式。反观当时的山西中宇,一直处于边建设边生产边开拓市场的状态下,诸多手续不齐全,环境评价未通过、排污许可不达标。同时其用于生产的很多新建设备质量并不好,高炉中很多设备不配套,高炉耗材超标运行。中宇生产所需要的铁矿石几乎全部依靠从连云港、天津港运输而来,产品的综合成本与沿海钢企相比,还要贵100元/吨。它还从开始经营就两头欠债,既向原材料供应商赊账,还要求下游客户打预付款。如此“二等残废”的民营企业居然能这么轻而易举地就一步步大量占据央企中钢集团资金,可见,在协议签订前后,中钢集团对于这笔交易的风险评估、控制活动、信息沟通和监督都是无效的,几乎可以说每一步都是架空的。从这样的内外背景看来,其实,中钢集团的这次“泥足深陷”是由第一笔垫付资金信用风险和随后的财务风险所造成的连环巨大价值损害,但这些风险本该可以相应的内部控制程序管理和控制的。
COSO于1992年颁布了一个具有全面性、有效性和普遍原则的内部控制框架,受到世界上很多组织的称赞并接受,我国的《企业内部控制基本规范》也是以此为向导编制。根据COSO框架,基本规范将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督五大方面。。
在此,我们可以对于像案例中包含信用风险的应收预付账款业务的控制流程具体展开。首先,在确定该项业务交易,尤其是期限较长且金额巨大的合作伙伴前,必须根据企业自身的控制目标和承受能力来全面系统、持续地收集相关信息,包括候选合作伙伴的生产运营能力、实际财务状况(包括盈利质量和能力以及偿债能力)、管理层诚信和长期信用状况,结合业务行情等实际情况来进行风险评估,全面如实上报董事局后确定合作伙伴。在业务签订的款项、金额额度、项目寿命、附加条件以及授信程度等方面,要明确不相容职务的授权审批层级,不能仅由某一管理层包揽。在项目签订后,控制工作也不能松懈,要在业务交易的整个协议寿命中如期对预算、运营和绩效等进行考核分析,明确风险预警标准。最后面对交易中涉及的所有工作管理人员,要保持信息的畅通,以便必要沟通或检举舞弊可以得到保障。时刻保持对风险信息的警惕和应急预案的处理是贯穿整项业务交易始终的,这样可做到一路高效地完成业务交易甚至拨乱返正。
案例实务中,既然企业的大多数风险都是暴露在业务流程中的,那么通过业务流程的梳理和控制是可以管理这些风险的,这时的风险管理控制方案则落实到内部控制上了。在铁矿钢材贸易中,预付款模式是广泛被钢厂和贸易商采用的,主要用于对贸易商合同的约束,有时贸易商也能获得一定优惠。纵观行情,既然预付款的模式在业内如此盛行常见,当中必定隐含着较大的信用风险以及连带的财务风险,则对于这种常见的高风险交易类型,内部控制应该关注重要业务事项和高风险领域。中钢集团作为钢铁行业的央企很是应该也必须对这种交易类型制定全面合理可执行的、针对企业内对外预付款交易的控制程序,从性质和金额上,将对应的内控程序严格贯穿于该项交易。面对“20亿换100多亿年销售收入”的大馅饼,中钢集团的管理层不应该只顾唯利是图的草率签下协议,面对期限为5年、第一笔预付款就达20亿的交易,中钢集团应该对山西中宇的生产运营能力、过往市场交易和综合财务状况进行实地观察和调研。其实只要中钢集团稍加调查,就能察觉与山西中宇的垫款交易是一笔危险的生意,随时会发生巨额呆账并引发牵连的经营风险和财务风险。2006年4月,山西中宇的前身山西宇晋曽遭国家税务总局处罚,自2002年1月至2005年3月,山西宇晋与其大股东投资的另一家企业山西宇进铸造冶炼公司交易,通过虚开发票和隐瞒销售收入逃缴税款,国家税务总局要求补税6.31亿元,罚款1.4亿元,加收滞纳金3.82亿元,合计11.53亿元。如果能实地调查,诸如手续不全、设备劣质、成本高企和管理不善等严重不良状况也必定是显而易见的,这样中钢就不会作出如此危险的交易决策。与此同时,中钢集团内部应该对一定额度的交易的授权和监督作出明确的规定和反馈,制造良好的控制环境,董事局的决策和内审部门的执行不能流于形式。在整个国内钢铁行业中,都知道预付款模式虽然可以获取比较优惠的价格,但也都默认预付款一般不能超过钢材产品的价格。而中钢一口气付出的20亿元,是风险非常大的做法,不禁让人怀疑是管理层当局为了当期利润而可能已经跳过董事局或凌驾于内部控制之上了。即便是交易签订后,中钢集团也也可以通过内部控制体系来及时拨乱返正,而不是泥足深陷,任由资金像滚雪球那样不断被侵占以致成为中钢集团的一大“毒瘤”。中钢集团应该有风险意识,保持内外信息的沟通,接受内部监督的评价,对每一阶段的单笔交易都进行预算控制和盈利反馈,制定与之相对应的应急预案。
随着经济全球化的不断发展和我国经济的快速增长,现代企业,哪怕是央企,也同样在复杂的市场环境下面临各种日益趋增的各种风险,市场化程度越高,企业风险的表现和影响就越普遍。如今,事过境迁,但中钢集团必须前事不忘后事之师,反省自身,不仅仅在信用风险的相关业务上,而是在企业整个经营层面上,应该如何建立风险意识,一改当初内部控制严重失效的巨大缺陷,从人、物、资金及信息方面重点加强内控管理。完善用人制度,加强人力资源管理;严格执行财产保全控制,确保企业资产完整和利润最大化;严格资金授权批准制度,认真执行企业制定的各项管理制度;确保会计信息及其他管理信息的真实可靠;推行全面预算管理,完善内部审计的独立监督作用。
参考文献:
[1] 张振川.现代企业风险价值管理问题探讨.会计研究.2004.3
[2] 杜晓玲.基于风险管理的内部控制研究[D].西南财经大学,2008.
[3] 丁玉书.企业财务活动中的风险管理问题研究[D]吉林大学,2008.
[4] 李玉环.内部控制中的风险评估[J].会计之友,2008.
[5]毛新述,杨有红.内部控制与风险管理——中国会计学会2009内部控制专题学术研讨会综述[J].会计研究.2009,5.
[6] 董月超.从COSO框架报告看内部控制与风险管理的异同.审计研究,2009.
[7] 内部控制与风险管理.中国会计网.http://canet.com.cn/wenyuan/gsgl/glll/200807/18-16787.html
[8] 基于“大”风险管理的内部控制研究.中华会计网校.http:// chinaacc.com/new/287_297/2009_12_4_ch2114261842190022928.shtml
[9] 中钢跌出世界500强:败于风险控制.凤凰网财经.http://finance.ifeng.com/news/corporate/20120717/6768825.shtml
关键词:企业;内部控制;风险管理;机制
企业内部控制是为了保证经营效益而对企业人、财、物等工作进行监管的活动。风险管理是企业通过对风险的控制,降低不良影响的管理过程。内部控制和风险管理是企业管理的重要内容,当前的企业管理中存在着许多制约企业发展的问题,进一步加强企业的内部控制和风险管理,能够增强企业的竞争力,实现企业的管理目标。
一、企业内部控制与风险管理的概述
1.企业内部控制和风险管理的关系。外部关系,企业内部控制和风险管理在环境、信息和沟通、控制活动、风险评估、监督这几个组成要素方面都是相同的,这说明两者之间的目标和实现机制是相似的。企业的内部控制和风险管理都能够为企业目标的实现作出保证。内部关系,风险管理是企业内部控制的延伸,现代技术的发展推动了以风险为导向的内部控制的发展,风险管理成为了企业管理的重要内容,内部控制逐渐向风险管理发展。
2.企业内部控制和风险管理的作用。企业的内部控制和风险管理是在长期的实践过程中产生的,是管理经济风险的重要手段。时代的进步,经济的发展,给企业管理提出了新的要求,传统的企业内部控制和风险管理已经不再适应社会发展的需要,因此,为了促进企业的进一步发展,建立先进的企业内部控制和风险管理制度刻不容缓。要结合企业发展的现状,制度符合企业实际的制度,降低因制度缺少来给企业带来的风险和损失。企业内部控制的作用有三个方面。首先,预防作用,通过内部审计加强对于工作的监督,提高工作人员的工作效率,可以及早发现问题、解决问题,减少经济损失,保证资料的可靠性、真实性和完整性。其次,促进作用,实施企业的内部控制,要熟知企业的生产经营情况,采取科学合理的措施,挖掘企业的潜力,改善企业的管理,减少企业的生产成本,促进企业经济效益的提升。最后,评价鉴证作用,通过内部控制和风险管理提高企业的管理水平,以便能够客观、公正的评价各部门的生产经营活动,为进一步的发展做出正确的指示。
二、企业内部控制风险管理机制建立的原则
内部环境、信息交流、风险评估、内控措施、内部监督是企业内部控制落实的重要条件,这些条件的设立要遵循以下原则。
1.内部机制的独立性原则。内部控制制度建立的基本原则就是保证机构的独立性,很多企业的监事会由于受到各方制约,导致工作难以开展,最终流于形式。内部控制制度的建立没有确定监事会机构的独立性,缺乏有效的监督,内部审计无法实现,不能达到企业目标[6]。因此,必要坚持内部机制的独立性原则。
2.内部机制的利益性原则。企业发展的根本目的就是利益的获取。因此,要在建立企业内部机制时,预先评估潜在的风险,对这些风险进行准确的识别。将内部控制落实到企业的每个环节,企业的风险控制不能仅限于风险为零的环境,要充分考虑从成本到适应程度的整个过程,减少资源的浪费[7]。
三、企业内部控制风险管理机制存在的问题
企业是我国重要的经济组织形式,是支撑我国经济发展的一大力量,其社会形象会受到风险管理和企业内部控制的影响,为了让企业得到更好的发展,积极的面对内部控制存在的问题十分重要。
1.内部监督力度不够。虽然一些企业已经制定了内部控制规范,但是因为没有形成系统的内部控制框架,导致可操作性不强。企业内部管理分散,缺乏信息交流,不能形成良好的监督机制,内部审计作为很多企业的监督评审部门,往往只是审查会计账目,对于其他的职能有所忽略,在形式上也缺乏独立性[8]。不完善的企业监管机制,给企业带来了很大的安全隐患。
2.内部分工不明确、企业内控意识淡薄。随着社会发展的要求,企业的经营范围更加多样化和复杂化,组织规模的扩大带来了很大问题,最为严重的为内部分工不明确,法人治理结构不完善。许多领导的管理理念仍旧停留在行政领导的角色上,在实际运行中发挥的作用较弱。职责不清、权限失控使得管理任务更加的艰巨,严重影响了企业的发展,
3.企业内部控制制度形式化。现实生活中,一些企业虽然已经制定了相关的内控制度,但是形同虚设。这些企业过于重视形式,忽略了实际的实施效果。更有甚者,一些员工通过企业内控制度的漏洞,。此外,内部控制的治理结构并不完善,权力设置存在漏洞,阻碍了企业内部控制和风险管理的落实。
4.风险意识差,企业内部控制依然薄弱。随着“引进来”和“走出去”战略的实施,我国的企业不仅要承担国内市场的竞争,还要面对国际市场的压力,企业竞争越发激烈化,面临的风险也更加复杂[9]。然而现在的大多数企业风险管理意识淡薄,没有有效的风险控制机制,工作人员的风险意识关系到能否搞好内控工作。为避免错误的决策,要加强风险意识。
四、企业内部控制风险管理机制管理的对策
1.制定科学严谨的内部控制制度,加强内控监督评估。效益是内部控制制度实施应该坚持的第一原则,只有控制成本大于实施成本才是有利的。企业应该从信息沟通、监控活动、风险评估等方面完善内部控制制度,通过网络化信息沟通制度的建立,及时反馈信息,让员工了解自己的职责。建立风险管理系统可以做到提前预警和控制。加强企业的内部审计,一方面,保证内部审计具有独立性。只有保证独立性,才能更好的发挥本身的职能,提高审计效果,增强权威性,因此,要严禁其他部门人员对于审计工作的干预。另一方面,建立以风险为导向的审计制度,内部审计的目的就是及时纠正错误,提高企业效益和运行效率。因此,降低企业风险是内部审计的主要方向,审计人员要不断发挥自身优势,提高企业风险管理的水平,降低损失,增加企业的经济效益。
2.充分发挥职能部门的作用。要确保内控工作的有序进行,就要充分发挥绩效考核部门的职能,要将企业内部控制工作进行细分,明确划分权力和责任,采取责任到人的方式,避免相互推诿现象的发生。另外,为了确保内部控制工作的贯彻,对各职能部门进行约束和监督,将内部控制建设加入部门考核,通过工资奖金等方式,与个人利益挂钩,提高员工工作的积极性。
3.创新管理方法,完善治理结构。随着科学技术的发展和电子产品的普及,企业内控也出现了新的手段和形式,如,密码校验、指纹识别等。要加强信息系统的建立,发挥科技在信息技术中的作用,充分的利用这些科学手段,提升企业内控的效果。采用集约型的管理形式,实现智能化、价值化、网络化和集成化的管理。完善企业法人的治理结构,根据法律设置经理层、监事会、股东会和董事会,并依据公司的规章制度,正确处理他们之间的关系。法人治理结构是以企业内控和风险管理为基础的,因此,要定期召开会议,分析风险问题及防范措施,提高风险控制水平。
4.增强内部控制和风险管理意识,明确内部控制目标。要想建立积极有效的内部控制制度,就要加强企业管理层对于企业内控的重视,不搞形式、不走过场,脚踏实地的发挥内部控制的作用。企业的风险管理影响着企业利益的获取和目标的实现。增强内部控制和风险管理意识,首先,要加强企业法人的主体意识,从企业的切身利益出发,明确内控目标。其次,良好的企业文化有利于将企业发展目标与个人的价值追求相结合,改变职工的工作态度,提高工作的积极性。另外,要加强对于企业内控重要性的认知,让内控制度符合内控的基本原则。最后,加强对风险的评估、识别,找到合理的应对措施,加强风险控制意识。
5.用共同的价值观统一全体员工的思想。行业共同的价值观为“国家利益至上、消费者利益至上”。企业员工要明确实施企业内控是贯彻落实国家方针、政策的一种手段,为了确保企业的持续健康发展,保障消费者的切身利益,要明确行业共同的价值观。要开展职业道德教育,提高员工的思想觉悟。以共同的价值观来引导企业内部控制的快速发展。6.完善企业风险管理体系。一方面,风险管理的第一任务就是要准确的识别企业的风险。因此,要提高识别企业运营过程中的出现各类风险的能力,正确的区分风险和机遇,在防御的同时,抓住企业发展的机会。另一方面,提高战略目标的准确性是风险管理体系的重要内容,因此,要细分风险事项,从企业内部选择不同的划分方法。
五、结语
综上所述,我国的企业竞争压力大,在运行过程中存在一些潜在的风险,加强企业内部控制和风险管理十分重要。企业只有加强企业的内部控制,才能更好的降低企业成本,提高资金利用率,确保资金安全,防范各种风险。要以“全面性、制衡性、重要性、适应性、成本效益”等原则为依据,完善企业的内部控制和风险管理制度,提高管理水平,推动企业向稳定健康的方向发展。
作者:张新男 单位:大连银行计财部
参考文献:
[1]李佳.论企业内部控制的风险管理机制[J].中国市场,2015,(16):178-179.
[2]胡建云.论企业内部控制的风险管理机制[J].时代金融(下旬),2015,(12):75.
[3]韩晓.论企业内部控制的风险管理机制探究[J].财经界,2015,(27):159.
[4]张亚亮,贺春红.论企业内部控制的风险管理机制[J].城市建设理论研究(电子版),2015,(20):2647.
[5]李占国.论企业内部控制的风险管理机制[J].城市建设理论研究,2014,(14).
[6]杨华.论企业内部控制的风险管理机制[J].行政事业资产与财务,2015,(17):49-50.
[7]葛岩.论企业内部控制的风险管理机制[J].城市建设理论研究,2014,(14).
【关键词】内部审计 内部控制 风险管理 作用
随着经济的全球化和现代企业的发展,全面推进企业内部控制建设,加强内部控制和防范风险管理是摆在我们面前的首要任务。
一、内部审计与内部控制及风险管理
内部控制是由董事会、管理层和全体员工共同实施的、旨在合理保证实现企业经营管理基本目标的一系列控制活动。企业风险管理是一个过程,它由一个企业的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响企业的潜在事项,以使其在该企业的风险容量之内,并为企业目标的实现予以合理的保证。
二、内部审计对企业内部控制和风险管理的重要性
1.内部审计是企业内部控制和风险管理系统的重要组成部分
一套完整有效的内部控制体系,是企业管理最有效和最基本的控制手段和方法。内部控制与风险控制又是统一的、相辅相成的。由于在很多方面内部审计的职能和目标与企业内部控制具有一致性,所以内部审计是企业内部控制和风险管理系统的重要的组成部分。
2.内部审计是企业内部控制的重要手段
企业内部控制和风险管理目标的实现,与内部审计是密不可分的,因此,内部审计是企业内部控制的重要手段。通过近些年开展的财务收支审计、经济责任审计、基建投资审计、内部控制测试等项目,以及在审计过程中发现的企业经营中存在的各种问题、管理漏洞、经营风险,都说明内部审计工作对于完善内控制度、强化公司治理、有效规避、减少经营风险等方面发挥着广泛的作用。
三、内部审计在内部控制和风险管理中的重要作用
1.在内部控制过程中的作用
内部审计通过对企业内部的各项经营管理活动和职责履行情况进行监督、检查、评价,帮助企业堵塞管理漏洞,促进企业加强管理,提高经济效益。通过开展各类审计项目和内控测试,对内控体系建设起着非常重要的作用。具体表现如下:
(1)通过内控测试评价内控体系设计的健全性、科学性和执行的有效性。审计人员通过访谈被测试单位相关人员,查阅各项管理制度,检查内部控制过程中形成的文档记录,抽取测试样本,观察被测试单位的业务活动,检查内部控制系统是否合理、健全,以及内部控制关键点是否齐全、准确,业务处理程序中的各项规定是否得到有效执行,关键控制点是否有效发挥作用。并针对内控测试中发现的薄弱点和失控点,提出改进意见和措施。
(2)通过公司层面测试评价企业的控制环境。良好的控制环境是企业经营目标实现的基础,是有效实施风险管理的保障,直接影响内部控制体系的执行、公司经营目标及整体战略目标的实现。通过对公司控制环境中诚信与道德、管理理念与企业文化、组织结构、权利和责任分配、人力资源政策、反舞弊等十七个主题的测试,检查分析被测试单位相应主题的内容是否全面、有效,是否遵循内控关注的目标。来促进企业建立健全文化激励机制和职业道德约束机制,以完善公司治理结构。
(3)通过开展各类审计项目,监督内控制度的执行。通过开展各类审计项目能及时发现内控制度执行中存在的问题,并提出改进建议予以及时纠正,督促企业管理人员及员工遵纪守法,严格执行各项规章制度。如:通过财务收支审计对企业会计制度进行监督;通过固定资产投资审计,对企业固定资产投资决策等制度进行监督;通过经济责任审计加强对干部的监督管理,规范干部言行防止腐败问题的发生。内部审计从各方面对企业内部控制的执行情况进行监督,切实加强企业内部控制,防范于未然。
2.在企业风险管理中的作用
内部审计通过对企业的风险范围开展审计来识别风险、并对企业风险管理过程进行评估,通过定量指标和定性分析确定风险程度的大小,从而提出改进意见来帮助公司有效规避风险和防范风险。
(1)通过审计发现风险、识别风险。由于内部审计人员长期立足于企业内部,熟悉公司的业务流程和管理过程,他们通过各项审计,收集到大量的第一手资料,从中发现存在风险的隐患问题,能够有效的识别风险,投资风险、内部控制风险、财务风险、存货管理风险等,对这些风险进行风险分析,及时提出抵御风险的建议,以达到有效控制风险和规避风险的目的。
(2)进行风险评估,评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。一是评价风险管理主要目标的完成情况。检查企业目标的完成情况,了解公司能够接受的风险水平,对管理层采取的降低风险、加强控制的措施进行测试,从而评价风险管理的有效性。二是评价管理层选择的风险管理方式的适当性。围绕公司发展战略,确定风险容量、风险承受度、风险管理的有效性标准,并制定风险防御方案。内部审计职责是评价公司风险管理方式与公司活动的性质是否适当。是否正确认识和把握风险与收益的平衡关系,防止忽视风险,片面追求收益或单纯为规避风险而放弃发展机遇。提请管理层关注风险,科学决策、消除风险负面影响从而促进企业快速发展。
内部审计处于公司内部,要充分发挥审计的监督与服务职能。通过审促进内控制度的完善,为企业发展、增加价值服务。使内部审计在企业内部控制及风险管理中发挥更为广泛的作用。
参考文献
[1]五部委 《企业内部控制基本规范》,财政部网站.
美国政府颁布的《萨班斯法案》(SOX),美国COSO(发起人组织委员会)颁布的《内部控制--整合框架》和《企业风险管理框架》,我国财政部等五部委的《企业内部控制应用指引》等,这些都表明强化企业内部控制,建立完善的风险管理体系,正在成为现代企业管理制度的重要组成部分。
一、内部控制与风险管理的关系
内部控制与风险管理具有不同的内涵和外延,两者不能相互替代。
风险管理是识别和评价附属于企业的实际的和潜在的风险领域,进而通过合适的内部控制消除、转移、接受或是减轻风险。
内部控制是一种控制和最小化风险的机制,目标是保护企业资产和投资,支持企业目标,对与企业有法定利益关系的利益相关者承担责任。
内部控制是风险管理的重要环节但不是全部。它对完成企业目标有着重要意义,良好的内部控制依赖于彻底的、规范的对公司所处风险的性质与范围的评价。
二、企业风险管理的内部控制整合框架
我国财政部等五部委制定的企业内部控制基本规范,在形式上借鉴了美国COSO报告为代表的内部控制整合框架(五要素框架),同时在内容上体现了风险管理整合框架的实质。
在内部控制整合框架中,内部控制划分为内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。
内部环境包括治理结构、机构设置及权责分配等,规定企业的纪律与架构,影响经营管理目标的制定,是企业建立与实施内部控制的基础。
风险评估包括目标设定、风险识别、风险分析和风险应对,及时识别、科学分析经营活动中与实际控制目标相关的风险,合理确定风险应对策略,实施内部控制。
控制活动是根据风险应对策略,采取相应的控制措施,将风险控制在可承受度之内。
信息与沟通确保信息质量,建立沟通制度、信息系统、反舞弊机制,保证信息在企业内部、企业与外部之间的有效沟通。
内部监督对企业内部控制建立与实施情况进行监督检查,评价内部控制的有效性,对于发现的内部控制缺陷及时加以改正。
三、我国企业内部控制和风险管理现状
(一)我国企业的内部控制和风险管理实践落后于企业发展和管理的需要
随着市场经济发展,企业经营风险明显加大各种贪污舞弊事件不断发生,资本市场发展导致虚假会计信息的风险增加。然而,由于我国理论上进行内部控制和风险管理研究,实践中开展内部控制管理的时间远远滞后,内部控制和风险管理水平无法满足企业发展和管理的需要。
(二)企业管理者对于内部控制和风险管理的意识比较薄弱
企业管理者大多看重经营,侧重追求企业盈利能力,没有充分接受现代内部控制和风险管理的管理理念。建立一套科学有效内部控制制度及风险管理机制,目标是保持企业稳定及实现可持续发展,进而增强企业的盈利能力和生存能力,应提高企业管理者对这方面的认识。
(三)有限的管理制度没有得到很好的贯彻和执行
要使内部控制和风险管理取得比较好的控制效果,必须由企业董事会、管理层和其他员工共同参与,组成一个有效的控制体系。从现实情况看,很多企业都在一定程度上存在管理松懈、内控弱化、监督不力等问题。
(四)缺乏精通内部控制和风险管理的专门人才
我国目前有关内部控制的评价和咨询主要由注册会计师来进行,企业没有专门的管理人才,因此无法从企业战略目标制定和执行、经营目标实现、管理效率提高、资产安全性等角度来评价内部控制,评估风险。
四、内部控制的风险管理机制设计
依据《企业内部控制应用指引》五要素框架,设计内部控制风险管理程序。
首先,全面总结和分析企业的组织体系、机构设置、营业范围、经营方式、主要业务以及所处外部环境等。
其次,按照一定方法,合理归集、构建适应企业经营管理状况和内部控制要求的相关子系统,包括公司层面子系统和业务层面子系统。
然后,用文字、流程图、风险控制文档等形式将各子系统业务和事项的风险类型、控制目标、关键控制点、控制措施加以规定和说明。
设计内部控制框架,重要的一环是企业应建立风险评估机制。
(一)风险测评系统
1.企业整体风险测评。企业整体风险测评即企业层面面临风险的测评,主要包括组织架构设计和运行的风险、发展战略制定和实施的风险、人力资源引进开发、使用和退出的风险等。
2.岗位或业务环节风险测评。岗位或业务环节风险测评是对企业的日常经营管理中,每一项业务或每一个工作流程中产生风险的可能性的预测。主要包括资金活动风险、采购活动风险、资产管理风险等。
(二)风险控制系统
1.决策风险控制系统。完善法人治理结构,加强决策的集中性、统一性和权威性,实行与个人责任密切联系的集体决策制度。
2.经营业务风险控制系统。在企业内部建立专家委员会业务管理体制。专家委员会负责市场、政策及社会环境的研究;负责制定和指导企业经营业务的操作流程;负责项目立项、策划、创新业务的咨询和评审等。
3.财务风险控制体系。实行统一的财务制度控制,严格授权审批制度,实行财产纪录监控,控制筹资、投资、信用等资金活动风险,确保财务报告的真实准确,规避风险。
(三)风险监控系统
1.岗位监督管理由全体员工对岗位风险控制有效性进行自我评价,以及对控制缺陷和意见进行反馈;
2.专业监督管理由专业内部控制部门定期或不定期对内部控制落实情况进行检查和评价;