前言:中文期刊网精心挑选了企业内部控制与风险管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业内部控制与风险管理范文1
关键词:内部控制;风险管理;比较
中图分类号:F27文献标识码:A
企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。企业风险管理也是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。尽管风险管理与内部控制有内在的联系,但现实中或代表目前应用水平的内部控制与风险管理还有不小的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,如银行业的授信管理或市场(价格)风险管理(如汇率、利率风险等)。典型的内部控制是指会计控制、审计活动等,一般局限于相关财务部门。它们的共同点是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此有时看上去风险管理与内部控制还是相互独立的两件事。
一、风险管理与内部控制关系研究回顾
内部控制的最初思想是内部牵制。它产生于古埃及的国库管理,其目的是防范财产风险。内部控制的现代思想是企业风险管理,它是企业组织规模扩大和资本大众化的产物。内部控制与风险管理的结合很早就引发了人们的关注,但对于两者关系的看法存在分歧。主要有以下三种观点:
(一)风险管理包含内部控制。COSO(2004)明确指出,企业风险管理包含内部控制;内部控制是企业风险管理不可分割的部分;内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。南非King II Report(2002)认为,传统的内部控制系统不能管理政治、技术和法律等诸多风险,风险管理将内部控制作为减轻和控制风险的一种措施,是一个比内部控制更为复杂的过程。Krogstad(1999)认为,内部控制不存在于真空或暗箱之中,而存在于协助组织进行风险管理并提升有效的治理程序之中。
(二)内部控制包含风险管理。加拿大COCO报告(CICA,1995)认为,“控制”是一个组织中支持该组织实现其目标诸要素的集合体,实质上就是“内部控制”,或者说是用“控制”一词表达“内部控制”概念。COCO报告认为,风险评估和风险管理是控制的关键要素。CICA (1998)将风险定义为,“一个事件或环境带来不利后果的可能性”,阐明了风险管理与控制的关系,即“当您在抓住机会和管理风险时,您也正在实施控制”。巴塞尔委员会的《银行业组织内部控制系统框架》中指出,“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……。”这里显然是把风险管理的内容纳入到了内部控制框架中。
(三)内部控制就是风险管理。Blackburn(1999)认为,风险管理与内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。Laura F.Spira等(2003)分析了内部控制是怎样变为风险管理的,并指出“将内部控制定义为风险管理强调与战略制定的联系,刻画了内部控制作为组织支撑的特点,但是它也掩盖了一个不争的事实,即现在没有人真正明白内部控制系统是什么”。Matthew Leitch(2004)认为,理论上风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,正在变为同一事物。
二、基于COSO报告下的内部控制与风险管理比较
内部控制与风险管理有着密切的联系。COSO认为,内部控制是风险管理的一部分。因此,该委员会在《内部控制框架》的基础上又于2004年出台了最新报告――《企业风险管理框架》。《企业风险管理框架》继承并包含了《内部控制――整体框架》的主体内容,同时扩展了三个要素,增加了一个目标,更新了一些观念,旨在为各国的企业风险管理提供一个统一术语与概念体系的全面的应用指南。COSO对内部控制与风险管理的定义及其组成要素分别是:
企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。
企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。它有八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。
(一)内部控制与风险管理的相同点。从COSO的两份报告来看,企业风险管理与内部控制有以下相同之处:
1、它们对参与主体要求相同。二者都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都承担着相应的角色与职责。
2、它们都对企业实现目标提供合理保证。设计合理、运行有效的企业内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。
3、它们都明确是一个“过程”。二者本身并不是一个结果,而是实现结果的一种方式。企业内部控制与风险管理都应该是渗透于企业各项活动中的系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
4、它们都维护投资者利益。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中,它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增值及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业风险,为多种风险提供整体对策,捕捉机遇以及使资本的利用合理化。”从维护与促进价值创造这个根本功能来看,风险管理与企业内部控制目标是一致的,它们都想实现保全资产并创造价值的作用。只是在新的技术市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
(二)内部控制与风险管理的区别
1、目标体系不同。风险管理的目标有四类,其中经营类目标和遵循性目标与内部控制的目标基本重合,但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。查剑秋等(2009)经研究得出,战略内控体系绩效与企业价值具有显著正向相关性,即企业战略内控的好坏会影响到企业战略执行绩效,并最终影响企业价值。由此可见,风险管理增加了内部控制未提及的战略目标,也弥补了内部控制在企业战略层面的一定缺陷。
2、组成要素不同。风险管理增加了目标设定、事件识别和风险应对三个要素,控制环境要素也改成了内部环境。“目标设定、事件识别和风险应对”不仅丰富和完善了风险管理内容,还体现了风险组合观。“内部环境”要素内容除包含“控制环境”要素内容外,还增加了风险管理哲学、风险偏好等内容;在名称相同的要素中,风险管理对相关内容都进行了补充和提升。例如,在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性。
3、风险管理理念不同。《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止各部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。
4、产生效益的方式不同。内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。一般来说,典型的内部控制依然是为了保证资金安全和会计信息的真实可靠,会计控制是其核心,内部控制一般限于财务及相关部门,并没有渗透到企业管理过程和整个经营系统,控制只是管理的一项职能;典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较,如银行的授信管理、汇率风险管理、利率风险管理等,它贯穿于管理过程的各个方面。
三、研究结论
综上所述,内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。而随着时间、技术市场等条件的不断变化,风险管理与内部控制的范畴又在相互转化。从静态上看,风险管理与内部控制互有交叉;从动态上看,二者又互相转化。我们可以看出,风险管理的决策是确定内部控制重点的依据,而一个强有力的内部控制是实现有效风险管理的基础,内部控制的动力来自企业对风险的认识和管理。
(作者单位:河北经贸大学会计学院)
主要参考文献:
[1]毛新述,杨有红.内部控制与风险管理――中国会计学会2009内部控制专题学术研讨会综述[J].会计研究,2009.5.
[2]陈志斌,何忠莲.内部控制执行机制分析框架构建[J].会计研究,2007.10.
[3]潘琰,郑仙萍.论内部控制理论之构建:关于内部控制基本假设的探讨[J].会计研究,2008.2.
[4]董月超.从COSO框架报告看内部控制与风险管理的异同[J].审计研究,2009.4.
[5]杨雄胜.内部控制理论面临的困境及其出路[J].会计研究,2006.2.
[6]吴水澎,陈汉文,邵贤弟.企业内部控制理论的发展与启示[J].会计研究,2000.5.
[7]杨有红,胡燕.试论公司治理与内部控制的对接[J].会计研究,2004.10.
[8]于增彪,王竞达,瞿卫菁.企业内部控制评价体系的构建――基于亚新科工业技术有限公司的案例研究[J].审计研究,2007.3.
企业内部控制与风险管理范文2
直接导致内部管控和内部风险管理产生直接联系的公开文件是1992年由COSO所提出来的《内部控制――整体框架》,此后,随着企业风险管理和企业风险管理逐渐关联性的不断升级,2004年在内部控制研究的基础上,《企业风险管理――整合框架》的提出更将二者的共同点予以了明确的分析。如图1所示:
(一)企业内部控制含义 企业内部控制主要是依存企业现有的专业管理制度和策略,以风险管控、风险预防、风险监管等方面的工作为主要工作目的,借助全方位多层次的管控方式,按照描述关键控制点方式、过程监控体系方式、流程监管方式等来从直观和间接的角度对生产和经营过程中的各类业务所进行的规范式管理模式。从管理角度来看,企业内部控制主要在定义上隶属于风险管理的子系统,从管理范畴来看,作为全面风险管理的重要阶段之一,企业内部管控也可以作为企业风险管理在整体实施时的重要组成部分。在企业内部控制过程中,主要需要从内部环境即企业内部管控的机构设置、企业内部审计、企业文化、企业人力资源政策以及企业的社会责任和企业的治理结构等方面来进行分层管理和专业化的管控。相对企业风险评估来说,企业的内部管控方式更需要进行目标的合理化确定,按照企业的风险评估流程和结果,针对企业在风险评估过程中所出现的各类风险以及企业在风险监管时得出的结论,企业在内部控制时可以更加明晰自身的管控承受范围和找到相应的管控措施。
(二)企业风险管理内涵 企业风险管理主要是由企业的董事局、企业的管理层以及企业内部其他具有此权限的人员在共同确定统一的目标时,按照战略制定的要求以及围绕该要求而产生的从各个层面来进行运作的活动,此类活动存在的意义在于识别各类具有潜在风险或者就企业目前的管理过程来分析而存在的各类风险,所进行评估,任何违背或者阻碍企业共同目标的因素或者风险,在企业进行风险管理的过程中均予以规避或治理,以保障企业的整体目标得以顺利进行。
在企业进行管控的过程中,风险作为其工作的主要范围,信息的沟通及时化是企业进行风险评估和判断的重要因素,这也是企业在内部控制时从信息化角度来完成企业的内部信息疏导、企业各方面信息的有效传递、企业信息流通的及时性和稳定性等方面工作的主要原因之一,在企业进行内部管理和监控时,对于风险评估和风险管控本身的行为来说,同样也需要按照企业的实际需要,进行相应的内部监督,包括日常内部监督和具有专业性的专项检查,一旦发现企业的内部控制缺陷包括政策、措施等方面以及针对风险进行评估时出现的各类人为和非人为的可以进一步诱导企业内部控制中风险性质变化或者量变等问题发生的直接因素,均可以在核查的同时加以改进。
二、从内部架构角度看企业内部控制与风险管理
(一)企业内部控制与风险产生之间关系的介质 企业风险产生主要原因就是在于企业发展 “目标”的存在性,目标是公司取得长驱发展的主要动力,同样目标的存在也同样引发了各种风险的出现见(图2)。目标作为风险产生的主要原因有:首先,目标作为风险的出现的主要原因来自于人的主观能动性与客观活动之间的差别,在客观的活动过程中,当人的主观能动性与客观环境之间的差异化成为不确定因素时,风险就会同时出现。其次,因为目标需要建立在一个较高层次的基础之上,在当前企业发展高度结构化的模式下,任何一类子目标的发展都需要下一个阶层子目标的支撑,因此这些子目标之间需要以重叠性和排斥性进行系统化排列,尤其是在不同的目标之间更需要进一步的相互补充,由此,一旦层叠性逐渐出现任何关联间隙,就会导致风险因素的出现。最后由于在企业的内部和外部的管理中存在着诸多的目标,因此在不同的目标进行次第互补时,就必然出现衔接方面的安全隐患,如果各个目标之间的衔接性存在问题,或者衔接的联系性不够完整,就极易造成衔接之间的空白期,这些空白期自然会造成风险性的出现。
(二)企业内部控制与风险管理的专业化促进 目标产生的主要原因在于企业的发展需要,企业内部控制与风险产生之间产生关系的介质更在于对目标的实现。强化企业的内部管理活动,将企业的多样化发展目标统一到同一个发展层面上来,企业发展过程中的各项风险维度则会相应的维持在一个企业可以管理和可以控制的范围内。这也是企业在内部管理和内部控制时,出现各类风险的主要原因。
此外,从企业管理的角度来看,企业的风险控制和企业的风险管理,需要在专业化角度进行细化,以审计为例比如当同一个或者不同账号出现账户交易时,一旦账户交易中存在着内部或者外部因素而导致的漏报和错报问题时,内部管控和内部管理就自然会在出现相应的专业管理需要的同时出现专业管理的风险,以审计为例(见图3),审计的过程中所出现的漏报、错报等问题时,对于此类问题的纠正或者对此类问题的管理过程中,对于出现的问题或者存在的风险隐患,就自然应该划归到相应的管理层面来进行分析,如因为财务报表的疏漏而导致风险的产生就需要划归到财务方面来解决,因为企业的管理失衡所出现的风险问题或者由于各项制度的不完整性而存在的问题,需要按照不同问题出现的源头进行分门别类的风险评估及措施应对。但是无论基于哪种,从企业发展的角度来看,都会引发企业风险的出现,并需要通过内部控制而耗费企业运营成本。
三、由整到层划分企业内部控制与风险识别
企业内部控制与风险管理范文3
内部控制框架是企业实施内部控制的一个规范体系,它是企业达成目标的指导框架,该框架规范了内部控制的目标、概念以及实施程序等内容。我国内部控制的第一个行政条例就是在1997年5月颁布的《关于加强金融机构内部控制的指导原则》,在这之后,我国又于2000年7月颁布并实施了第一部要求内部控制的法律《会计法》,该法律体现了会计内部监督的理念,从2001年到2004年,我国财政部门相继颁布了10项内部会计控制规范,主要有《内部会计控制基本规范(试行)》以及《内部会计控制规范—资金(试行)》等,国有资产监督委员会在2006年的时候了《中央企业全民年风险管理指引》,该指引充分体现了风险管理的基本流程。我国的企业内部控制标准委员会(CICSC)于2006年7月正式确立,该委员会确立之后的第二年就了《企业内部控制规范—基本规范》,第一次提出了我国企业内部控制规范的整体框架。随后我国在2008年5月了《企业内部控制基本规范》,在2010年4月了《企业内部控制配套指引》这两大内部控制规范体系,就这样,我国企业内部控制体系结构就由此而生。它简要明了,结构合理、方法科学,正符合我国的企业内部控制标准委员会(CICSC)所倡导的基本规范体系。
2内部控制整体框架与企业风险管理整体框架
2.1内部控制整体框架
在1929年美国AAA(会计师协会)和FRB(联邦储备委员会)的《会计报表的验证》中,首次提到内部控制这一名词,1992年美国的COSO委员会提出的《内部控制—整体框架》中指出,内部控制是一个过程,一个由经理以上阶层和员工共同实施的过程,其主要的目的就是使企业达到运营效果,与此同时,要严格遵循相关的法律法规,并保证企业财务报告的可靠性。这就是COSO委员会认为的内部控制。在COSO委员会在1992年9月的《内部控制—整体框架》中,明确提出了支撑内部控制的框架五要素,分别是:控制环境、控制活动、信息与沟通、风险评估以及监督,这五元素共同构建了内部控制整体框架。各元素之间的关系是相互制约的。
2.2企业风险管理整体框架
企业风险管理是一个过程,它是渗透于企业各项活动中的行动,企业风险管理所涉及的人员是整个企业的员工,不分阶层,一个企业要想茁壮成长就必须要将风险管理过程应用在每个部门和每一位员工身上。企业风险管理既可以从企业的总体对其进行分析,也可以从单独的部门对企业有一定认识,企业风险管理框架的目标就是实现企业的目标。构成企业风险管理的八要素分别为:内部环境、目标制定、风险反应、风险评估、事项识别、信息和沟通、控制活动和监督。其中,需要注意的是风险反应,它主要分为四类:减少风险、共担风险、规避风险与接收风险四类,企业应对每一个重要的风险都要考虑相应的风险反应方案。
3从企业内部控制走向全面风险管理———3C全面风险管理框
在企业中实施企业全面风险管理是新时期下的环境所导致的,在我国企业的管理中,风险管理是一个相对薄弱的环节,近年来,由于我国企业的风险管理工作薄弱而引发的事件不再少数,所以,建立我国企业全面风险管理框架成为了我国企业发展的首要问题。我国在2004年由COSO委员会颁布了内部控制整体框架基础,这一框架的迎来了全面风险管理时代。2008年5月了《企业内部控制基本规范》,在这一规范中,能够明显看出,我国由原来的理论框架已经逐渐走向了风险管理,进一步完善了中国企业内部控制规范体系,在2010年4月,我国又相继了《企业内部控制配套指引》,并在2012年进一步完善了该条例,要求实行企业内部控制规范体系的企业,要对企业本身进行自我评估,并相应地作出自我评价报告,交由政府监管部门进行监督检查,这充分说明了我国企业正在从内部控制走向全面风险管理。我国企业要想提高市场竞争力,实现可持续发展,就要建立完善的企业内部控制体系,首先,管理者要树立风险管理理念,提高管理层的风险意识,对企业所涉及的风险要素进行分析,并制定相应的措施去应对,同时,还要加强道德与行为准则体系建设,适当地激励或是约束企业员工,建立一套具有操作性的行为规范和准则。除此之外,要明确企业的战略目标,需要注意的是,在设定战略目标的时候,要考虑企业自身能够承受的风险数量。在以上的基础上,借鉴国外企业风险管理的经验,将目标—风险—管理这三个体系结合在一起,构建3C全面风险管理框架。在3C全面风险管理框架下,具体要实现以下五个目标,分别是:保护企业不因灾害事件遭受损失;达到企业整体经营战略目标;保证信息沟通以及财务报告的可靠性;有效率的运营;遵守法律。3C全面风险管理初步分成三层,还可以根据企业的自身情况进行细分。
制定3C全面风险框架的目的就是将风险整合起来进行管理,有利于推动我国企业的进一步发展。以中国电信湖南公司为例,中国电信湖南公司构建全面风险管理,主要是为顺应国有资产出资人的要求和资本市场监管机构的要求,提出了企业全面风险管理的目标和要求,同时,也是为了促进企业内部经营管理的需要,随着中国电信这个大集团的不断发展,该公司面临的挑战越来越多,那么相对应的风险程度也就越来越高,所以,为了提高企业的经营管理效率,该公司决定实现全面风险管理。在整个管理的过程中,中国电信湖南公司完全按照国家的政策执行,并且不断进行体制机制的创新和改革,切实地推进五项集中管理,通过建立现代企业制度、实施主辅主附分离、建立集中统一的会计管理体系、加快推进战略转型和建立有效支撑公司战略的内部运营体系,加强内部控制,来满足了国有资本监督管理的要求。此外,中国电信湖南公司还要成立独立的风险管理部门,以此来确定整个企业的风险管理工作,同时,还成立了全面风险管理工作团队,将整体的风险管理策略传递到各个部门中并予以实施,总之,要将系统论的思想重新进行考量,并且切实地应用到电信企业全面风险管理中,以此提高公司的抗风险能力,保证公司全面风险管理水平能够上升,进一步促进了企业的可持续发展。全面风险管理是一个复杂的系统,从某种程度上说,企业风险管理包含了企业内部制度,同时,二者之间又形成了新的目标—战略目标,这是企业的最高目标。实际上,企业风险管理具有四个构成要素,分别是:目标设定、风险评估、风险应付和事项识别,它们成为了我国企业风险管理中最重要的组成部分。我国未来企业应该建立完善的内控制度,提高全面风险管理意识。企业为了适应当前千变万化的市场环境,应该将全面风险管理切实地应用到管理活动中,与此同时,企业要根据ISO的《风险管理原则与实施指南》加强风险管理,将风险管理带进新的发展阶段。
4结束语
企业内部控制与风险管理范文4
关键词 企业内部控制 风险管理 风险管理能力 对策研究
中图分类号:F275 文献标识码:A
2007年美国次贷危机的爆发使全球陷入严重的经济恐慌之中,此次金融危机造成一大批金融机构相继倒闭,金融市场剧烈动荡,股市急剧下挫,民众的投资和消费信心遭受重创。自2008年10月份以来,分布于我国长江三角洲和珠江三角洲的中小企业也受到有史以来最严重的经济冲击。在目前形势下,一些国家在金融危机中受到的重创仍然没有消除,甚至愈演愈烈。世界经济明显的下行趋势,以及国际经济环境中的不确定、不稳定因素的增多,使我们不得不思考寻找企业抵御风险的措施和方法,加强和完善企业内部控制与风险管理已迫在眉睫。
一、企业内部控制与风险管理理论的合理解读
(一)内部控制理论。
内部控制理论是伴随着企业内控实践经验的积累而逐步发展起来的。内部控制理论的发展先后经历了内部牵制、内部控制制度、内部控制结构与内部控制整体框架等四个不同的阶段。就目前来看,内部控制的权威定义来自于1992年COSO(The Commit-tee of Spons oring Organizations of the Treadway Committee)颁布的《内部控制―――整体框架》报告,该报告认为内部控制是由企业的董事会、管理层、和其他成员实施的,为营运的效率、效果、财务报告的可靠性以及法律规章的遵循性提供合理保证的过程。它是由控制环境、风险评估、控制程序、信息与沟通和监督五大要素组成的。
(二)风险管理理论。
风险管理是一门新兴的管理学科,其涉及到的行业和领域比较广泛,尤其是在企业界,有关风险管理的理论研究受到了极大的关注,风险管理的具体实践也得到了一些落实。关于对风险管理的理解可以从表层和深层的两个角度分析。从表层上讲,风险管理是对生产活动或行为中的风险进行管理;从更深层次上讲,风险管理是指风险管理负责人通过风险识别、风险评价和风险量化等风险分析活动,对风险进行规划、控制、监督,从而增大应对威胁的机会,以成功的完成并实现总目标。对风险管理的研究目前已经形成两大学说,一种是美国学说,一种是英国学说。美国学者把风险管理的对象局限于纯粹风险,在概念上侧重风险处理。英国COSO在1992年颁布了《企业整合框架》,该框架认为企业风险管理是一个过程,该过程由企业董事会、管理层和其他员工共同参与,应用于战略制定,贯穿于企业各层级和部门,为识别影响企业的潜在事项和风险而设计,为企业目标的实现提供合理保证。
二、内部控制与风险管理的关系分析
(一)内部控制与风险管理的关系研究回顾。
结合国际上对内部控制与风险管理的权威定义,以及国内外学者对内部控制与风险管理关系的研究总结出三种代表性观点:
1、风险管理包括内部控制。
COSO在2004年出台的《企业风险管理――整体框架》中明确指出企业风险管理包括内部控制。企业风险管理框架并未取代内部控制,而是将内部控制框架整体纳入其中,风险管理包含的八要素涵盖了内部控制整体框架的五要素,由此说明内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。
2、内部控制包括风险管理。
COSO在《内部控制――整体框架》报告中将风险评估作为企业内部控制的一个组成要素,实际上就是将风险管理包含在内部控制的范围之内。英国FSA在《综合准则》(The Combined Code,1998)中关于内部控制的规定也第一次以官方文件的形式明确将风险管理包含在内部控制之中。
(二)内部控制与风险管理逐渐走向融合。
1、理论上相互融合。
COSO在1994年将《内部控制―――整体框架》修改为《企业风险管理―――整体框架》,其根本原因在于内部控制的出发点与最终目的就是为了控制和管理风险。虽然内部控制的目标与控制层次不断提升,但风险控制与管理始终是其核心,从字面理解上可知内部控制就是控制风险,控制风险就是风险管理。所以内部控制和风险管理是控制风险的两种不同语义表达形式。风险管理无疑是内部控制在新形势下的自然升华,它是更主动、更全面的内部控制。
2、实践中相互融合。
在风险导向内部控制的观念下,风险管理成为企业生存并且发展壮大的关键环节,内部控制的工作重点也由制定单纯的内部控制制度转变为寻求测试管理风险和确认风险的方法,内部控制工作在改进风险管理和完善企业治理机构等方面将发挥更加积极作用,同时,内部控制也被赋予了更多的职责和使命。尤其是近年来在美国发生的财务造假案导致了安然、世通等跨国大公司的破产,同时也导致了安达信这样一个有着90多年历史的世界级会计师事务所退出了历史舞台。这些事件的发生,在全球引起了各方对民间审计机构诚信问题的探讨,同时也触动了人们对企业内部控制的进一步思索。无一不认为企业内部控制制度的发展演进与企业面临的风险相关,风险管理涉及的层次更深更广,内部控制将逐渐走向风险管理。
三、我国内部控制与风险管理的现状分析
(一)内部控制和风险管理责任主体单一。
就目前来讲,很多企业的内部控制和风险管理制度往往都是由经理层制定的,使经理层成为唯一的责任主体,其目的是为了更好的服务于高层管理者控制企业的资产和业务,控制中层管理者和企业员工的行为,而对于高层管理者(如总经理、执行董事)则缺乏制约控制能力。在这种情况下往往将为企业带来经营风险并导致经营失败。内部控制和风险管理的主体应该是一条自上而下的链条,因此,有必要让企业所有的利益相关者,尤其是公司的股东和董事会认识到内部控制、风险管理的重要性和紧迫性,从而加强对内部控制的制定和实施。
(二)风险管理意识有待提高,风险管理理念没有得到推广。
企业经营者和管理者的风险意识在现阶段比较淡薄,风险管理作为一种职能和理念尚未融入到我国企业的管理过程当中,因此企业管理层对于风险管理的重要性认识还不到位,风险管理手段相对落后。在项目决策和公司治理方面,对风险评估、信用等级评定缺乏有效的评定标准,缺乏专业风险管理及监控体系,制定不出有效的风险管理方案。尽管有一些风险管理措施,但仅局限于口头上或者制度上,或者实施力度不强,风险管理水平较低。
(三)内部控制固有的局限性还未引起足够的重视。
无论是理论界还是实务界往往将企业倒闭、破产或不能正常经营归因于企业的内部控制制度存在缺陷,这虽然没有错,但忽视了内部控制失效的另一个重要原因,即内部控制固有的局限性。COSO报告在阐述内部控制的四大局限时提到:内部控制既不能解决管理阶层人员素质问题也不能左右政府政策或经营环境。因此对于凌驾于传统内部控制之上的风险,传统的内部控制很难解决。
(四)企业缺少适当的风险管理机制。
我国企业中只有银行、保险、证券公司等金融机构比较注重风险管理,并且因为金融行业的风险性较大,所以许多金融机构也按照国家相关法规的要求建立了自身的风险管理机制,但是至于我国其他企业则很少具备自身的风险管理机制,并且也缺乏对普通企业如何建立风险防范机制的相关研究。COSO在《企业风险管理一总体框架》这一报告中认为风险管理作为企业内部控制不可缺少的一个要素,它不单是简单被动地应对各种风险,而是积极地通过对风险的识别、分析、控制这一风险管理过程来帮助企业合理有效地规避风险危害以及利用风险机会。因此,我国企业应充分重视风险管理机制的必要性和重要性,有关机构也应加强对普通企业建立风险管理机制的研究工作。
四、培养企业内部控制与风险管理能力的对策
(一)完善公司治理与内部控制环境。
由于我国市场经济尚处于发展阶段,证券市场也处于新兴加转轨阶段,股权结构异化,股权文化缺失,公司治理形备而实不至。因此应加强公司治理建设,利用董事会、监事会、股东相互制衡的方式来解决企业高层人员“一人独大”而带来的风险。将公司经营层面的内部控制与公司治理层面的内部控制结合起来,从根本上改善内部控制环境,实现对公司风险的全面控制。
(二)建设有效的风险管理体系。
就目前来看,我国绝大多数企业对内部控制的重要性认识不足,内控结构很不完善,控制效率低下,风险意识淡薄,从而导致我国企业的内部控制在总体上存在着内部控制环境恶劣、控制活动薄弱、信息流通不畅和对内部控制的监控不力等问题。因此我国企业必须注重风险管理体系的建设,在该体系中应重点包括控制战略风险、控制经营风险、控制财务风险等预防和处理措施。风险管理体系的建立将使企业内部控制制度更加健全,而健全的内部控制制度又可以有效地防止和降低风险可能带来的各种损失,促进效益最大化,提高企业的市场竞争力。
(三)实施动态的过程管理,控制经营活动风险。
1、实施全面预算管理。
企业应该设立预算管理机构,聘请专业人员编制预算并且严格预算的执行与监督,合理的进行预算分析和评估,从而达到预防风险、控制风险、强化风险管理的目的。
2、实施资金集中管理。
建立高效的筹资、融资系统,加强资金使用管理及外汇风险的管理来降低和规避风险。
(四)强调全员参与,高度关注内部控制与风险管理。
首先,企业要高度重视对控制环境的建设,完善法人治理结构,建立权力制衡机制;管理层要重视内部风险控制的成效,不断提高整个员工的综合素质,重点培育和加强全员风险管理意识,通过培训帮助员工建立系统的全面风险管理理论,使员工充分意识到风险管理的重要性,并使他们增强对风险的敏感度,摆正风险管理和企业发展的关系,同时建立风险控制制度和奖惩制度,帮助员工了解自身工作的责任;其次,树立企业风险管理文化,通过各种途径将风险控制文化传递给每一个员工,使风险管理理念渗透到每个部门、每个岗位和每个工作环节。建立从董事会到部门到员工严密、畅通的信息网络,设立良好的信息与沟通系统,形成以部门为单位的风险责任中心,确定部门风险控制目标并落实到责任人;最后,培育风险管理的综合型人才,引入竞争机制,合理配置企业人力资源,在注重加强员工的业务素质教育的同时,加强员工守法意识和职业道德教育。
(作者:广东商学院会计学院2009级研究生,研究方向:财务会计理论与实务)
参考文献:
[1]COSO制定.方红星,王宏译.企业风险管理――整合框架.东北财经大学出版社,2005.
[2]谢志华.内部控制、公司治理、风险管理:关系与整合.会计研究,2007.10。
企业内部控制与风险管理范文5
关键词:企业内部控制;机制建设;风险管理;措施
前言
随着我国社会主义经济建设的不断深入,在国有企业蓬勃发展的同时,政府也逐渐加大了对于中小企业的扶持力度,我国企业的整体发展水平不断提高。但是,当前国际环境动荡不安的情况下,各方政治势力都蠢蠢欲动,这对于经济的发展造成了相当程度上的影响。而对于我国的企业来说,如何在当前的国际经济局势下突出重围,实现自身的提高与发展,就需要进一步加强企业的内部控制机制建设与风险管理,从而完善企业的管理结构,实现经济效益的最大化。
一、企业内部控制与风险管理之间的关系
企业的内部控制就是指企业内部的各个部门,各个阶层互相牵制、互相管理,为实现企业管理的规范性和经济效益的进一步提升而制定的一系列管理条例与规定。而风险管理,就是指企业为了规避市场环境可能对企业经营目标造成的影响,而采取的应对措施。企业的内部控制与风险管理之间看似并无太多的联系,所针对的侧重点也有所不同,但实际上这两者之间是存在着相互关联的共通之处的。一方面,内部控制与风险管理的目的是一致的,都是为了保障企业经营的有效性和企业经济效益的最大化。同时,内部控制与风险管理都是覆盖于企业生产经营的全过程中的,任何一个环节都不能够被忽视。另一方面,企业的内部控制在实质上也是风险管理的一种具体的表现形式,风险管理包含的内容较多,包括企业的内部控制,同时也包括对于外部市场环境影响的控制等。当企业的内部控制水平较高时,外部因素对于企业生产经营的干扰就会减小,企业所面临的风险自然也会降低,反之亦然,企业的内部控制失去效力,管理存在漏洞,那么企业所可能面对的风险将会大大提高。
二、我国企业内部控制与风险管理的现状
国际局势的动荡已经引起我国企业的关注,对世界经济发展的整体态势也有了较为深入的认识,所以各个企业都纷纷调整了自身的发展战略,以获得经济发展的主动权。我国的大部分企业实际上都存在着一定程度上的内部控制机制,也确实采取了相应的风险管理措施,但在实际的落实过程当中,却暴露出了不少的问题。整体而言,我国部分企业虽然有着一套内部控制的管理机制,但是该管理机制本身就存在着一定的不合理性,机制包含的内容与实际的发展需求不适应,所以在企业的经营管理的过程当中难以发挥出实际的应用价值。还有的企业管理者有规避风险的意识,但在进行风险管理时却觉得无从下手,难以实现全面规避风险的目的,甚至有的企业发展策略极度不完善,根本就不存在风险管理的相关措施,企业发展也是岌岌可危。综上所述,从目前来说,我国企业的内部控制和风险管理的整体情况并不乐观,着重力量加强企业内部控制机制建设与落实风险管理措施是我国企业占据市场主动地位的重要影响因素。
三、企业内部控制机制建设与风险管理存在的问题
(一)企业管理者缺少对于内部控制和规避风险的意识
对于一个企业来说,企业的管理者扮演着具有决定性作用的角色,换句话说,企业的管理者就是决定企业生存与发展的核心因素。当前我国的许多企业经营失败的主要原因就是企业的管理者没有一个对于内部控制的正确认识,有些管理者存在着一人独大的管理意识,没有意识到企业的内部控制需要的是各个部门之间的通力合作与互相监督,这就导致了企业的内部控制存在着极大的不完善性。而对于风险管理来说,企业的管理者没有一个相对完善的全局眼光,对于企业可能存在的潜在风险没有规避的意识,这就为企业的发展制造了威胁。
(二)企业内部控制机制缺乏严格的制度约束
有的企业管理者虽然有进行内部控制的意识,也制定了相应的管理机制,但是可能由于管理者的自身水平或企业发展的复杂环境等客观因素,导致了企业的内部控制机制与企业的经营实际是不匹配的,并且许多管理条例所规定的范围是模糊的,条例的落实也只是停留在纸上,缺乏严格的制度约束。许多企业员工是处于被动状态之中的,一旦缺少了制度的约束,那么将难以实现内部控制的有效性。
(三)企业内部控制没有落实责任制
有的企业拥有一套相对完善的管理机制,也对各个部门进行了规范与约束,但时却忽视了责任的落实。对于企业的内部控制来说,不仅仅要将制度完善好,更要重视制度的落实情况,相关责任的落实是否到位,直接影响着内部控制是否成功。目前的许多企业忽略了对制度落实情况的考察,缺少了对于相关负责人的责任履行状况的监督与检验。这种缺少责任制的问题,就容易为某些不负责任、投机取巧的部门负责人提供失责的条件,从而容易造成企业经济上的损失。
(四)企业内部控制的实施存在局限性
企业内部控制的实施所存在的局限性,主要就表现在内部控制的管理模式中所存在的巨大的人为性的影响因素。对于我国目前的许多企业内部管理的实际结构来说,我们会发现这样一个问题,那就是企业内部的管理人员存在着普遍的学院主导因素,国有企业这种现象并不严重,尤其是对于某些私营企业来说,企业的管理模式基本上属于家族企业,这就极容易产生的现象。从这个方面来说,企业的内部控制机制就形同虚设,严重制约着企业的整体发展。
四、完善企业内部控制机制建设与风险管理的措施
(一)树立正确的内部控制与风险管理的意识
加强企业内部控制机制建设与风险管理,首先要从意识层面进行改变,不仅仅是企业的管理者,企业内部的所有员工也应该自觉树立起正确的内部控制与风险管理的意识。对于企业的管理者而言,应该认清当前经济发展的整体趋势,正视本企业发展的实际状况,从而制定相应的内部管理机制,同时也应该用发展的眼光来看待企业的生产经营状况,树立风险意识,在企业各项经济活动中注意规避潜在的风险。而对于企业的员工来说,应该进一步提升责任意识,拥有明确的权责界限,同时提升员工的风险意识,尤其是要培养具有极强风险意识的财务人员。
(二)建立健全企业内部控制和风险管理的机制
对于目前众多企业并不完善的企业内部控制和风险管理的机制来说,首先应该建立健全相应的管理机制。想要加强内部控制,就要做到有据可循,拥有了相ν晟频墓芾砘制,能够为内部控制提供有效的管理意见与问责依据。企业应该从自身实际出发,完善内部管理的相关制度,着重落实责任制度,将权力与责任进一步明确,同时增加对于风险预测与管理的相关内容,实现内部控制与风险管理的同步推进。
(三)注重落实监督环节
企业内部控制的效果如何,离不开监督环节的反馈,所以企业的管理者应该建立专门的监督部门,对于企业内部职权的实施进行实时的监督。企业的监督部门应该着重监督各部门的负责人权力的行使状况,坚决遏制或失责现象的发生,同时,也要制定相关的奖惩措施,在提高员工自觉性的同时,也为监督工作的顺利开展创造条件。
(四)加强完善风险管理体系
对于风险管理而言,企业的各个部门的各个工作环节都有可能存在着不同程度的风险因素,所以加强企业的风险管理体系应该从三个方面入手,即对于当前风险的整体评估、对于未来风险的预估、对于既在风险的及时通报。可以说,这三个方面是能够贯穿于整个风险管理全程的,对于当下存在的风险与未来可能出现的风险进行管理,为企业的战略计划制定提供参考,也能够为企业下一步工作实际增添新的重点。
企业内部控制与风险管理范文6
[关键词] 内部控制;风险管理;关系;思考
[中图分类号] F239.45 [文献标识码] A [文章编号] 1673 - 0194(2013)12-0027-02
0 引 言
风险是企业生存与发展中无法回避的难题,随着经济全球化的加剧,我国企业也越来越多认识到内部控制建设朝着风险管理导向型发展是十分必要的。世界经济不断发展,各类金融工具不断创新,企业的经营理念和运作模式都已经发生了巨大的变化,这样的变化虽然能够给企业带来更大的发展空间,但是其带来的风险也可能给企业带来灭顶之灾。在错综复杂的社会经济环境下,我国企业必须要有预测风险、识别风险、控制风险、应对风险的能力,只有这样,才能减少损失发生的可能性。内部控制的主要职能之一就是关注企业经营过程中可能面临的风险,内部控制通过评估经营管理活动中的风险点,然后对其进行控制,在整个风险管理体系中举足轻重,可以说,没有内部控制,整个风险管理便无从谈起。2008年,国资委《关于2009 年中央企业开展全面风险管理工作有关事项的通知》,这表明我国政府已经意识到构建风险管理导向型的内部控制体系是十分必要的。经过几年的发展,我国企业的风险管理意识已经有了普遍的提高,风险管理工作也被提升到日常经营管理中的重要位置上。然而,我国企业在将风险管理与内部控制工作相结合的方面仍然存在着一些问题,这些问题也在很大程度上制约了二者的作用。
1 我国企业内部控制与风险管理工作的不足分析
1.1 企业缺少能够独立运作的风险管理部门,风险控制体系不健全
由于受到传统经营观念的影响,在很长一段时间内,我国的企业管理者还未能充分意识到风险管理的重要意义,因此在企业组织结构的设计上往往忽视了建立独立的风险管理部门,导致了风险控制体系的不健全。一方面,随着信息时代的全面到来,企业所面临的不确定因素越来越多,潜在的经营风险也威胁着企业的长期健康发展,可以说,设置独立的风险管理部门对于企业识别风险、评估风险、应对风险而言都有着极大的帮助。另一方面,随着我国资本市场的不断完善,大量的金融工具,尤其是衍生金融工具的诞生都给企业的风险管理工作带来了更大的挑战。衍生金融工具相比于传统的金融工具而言,在设计和创新方面都有着更大的灵活性,结构更加复杂,需要专业的风险管理人员对其实施动态的风险监督。然而,我国不少企业在风险管理与控制方面的意识很淡薄,大部分企业都未能设置专门的风险管理部门,人员配备方面也不尽如人意,即便有的单位企业为了应付各种检查设置了风险管理部门,但是也难以得到有效的执行,风险管理实际上难以真正发挥作用。
1.2 企业缺乏对整体风险的全面评估
目前,我国很多企业普通缺乏整体性的风险全面评估。首先,我国企业的风险管理机制较为单一,难以做到对风险的全面评估。企业风险的出现和由此引发的后果主要取决于企业管理者的风险态度和内部控制体系的完善程度,尤其与内部控制机制是否健全和风险管理的相关举措是否落实关系极大。其次,企业未能建立并执行完善的风险管理信息系统也是造成风险难以全面评估的重要原因。风险的各类数据是企业管理者在进行决策前的主要参考依据,如果能够对这些数据进行全方位的掌控,将会极大地提高企业的经营管理水平。就目前的情况来看,我国大多数企业还未能建立起一个相对完整的信息系统,对与自身风险相关的各类数据、资源的搜集还不够全面,利用程度较低。由于缺乏这类关键基础数据的支持,企业进行经营决策时的依据单薄,使得整个风险管理与控制工作处于被动状态。
1.3 企业的公司治理结构尚不完善,内部控制、风险管理的运行缺乏有力的制度保障
完善、健全的公司治理结构是企业内部控制、风险管理工作能够高效运行的前提条件,也是企业能够真正执行内部控制与风险管理的有力制度保障。企业的内部控制、风险管理主体是企业的经营管理层,如果没有一个科学、合理的公司治理结构,那么企业的组织机构设置和权利牵制体系就必然会存在缺陷,内部控制与风险管理就难以得到有效的实施。一般来说,企业的董事会直接对企业的内部控制和风险管理工作负责,董事会对内部控制与风险管理体系的构建发挥着核心作用。虽然根据我国公司法的规定,上市公司必须要设置股东大会、董事会、监事会等机构,但是在具体的执行过程中还存在着很大的问题。有的企业在权利机构设置上,不同权利机构的人员高度重叠,有的企业的独立董事难以做到真正意义上的独立,还有的企业存在内部董事比例过大的问题。随着我国上市公司一系列财务造假案件的曝光,公司治理结构方面的缺陷已经凸显,可以说,如果企业不能有效解决公司治理结构当中的漏洞和缺陷,内部控制与风险管理就难以得到有效运行,这样的恶性事件还有可能继续发生。
2 改进企业内部控制与风险管理工作的几点建议
2.1 企业应该进行全面的风险评估
企业必须要有意识地对已经识别出的各项风险进行全面的分析和评估,以便为后续的风险应对程序提供更加充分的保障。首先,企业可以通过可能性和影响程度2个方面来对风险进行初步的衡量。可能性代表风险发生的概率,影响程度则主要代表风险发生的后果。单独考虑任何一方面都不完整,需要将二者有机结合,重点关注那些可能性高、影响重大的风险。其次,企业还需要建立风险组合观。有些风险是相互关联的,此时可能会产生更加显著的影响,企业就需要将相互关联的风险整合在一起进行评估。最后,企业要灵活运用定性和定量技术来对风险进行全面评估。在定量评估所需数据难以充分获得或是分析数据不具有成本效益的时候,通常我们可以采用定性分析。如果信息充分,并且需要用较为精确的比率来评估风险的可能性及其影响的时候,就可以采用精确度更高的定量技术。通常,定量技术会在更加复杂的评估中用到,是对定性技术的有力补充。
2.2 有效设计、执行相关控制活动
控制活动是保证企业管理层的风险应对方案能够得到顺利实施的重要程序,贯穿于企业的各个层次和部门。当企业管理层选取了一种风险应对方案,那么就需要为该方案的实施制订出一套有可行性的实施计划,实施计划当中的一个核心内容就是要对相关控制活动进行确定,以便将风险应对措施进行延伸和具体化。企业大致需要从控制的执行者和信息系统两个方面来重点考虑相关控制活动。一方面,针对企业员工的控制活动必须要严格界定其各自不相容的职责与权限,使每一个岗位的工作都能够被具有审核权限的人员检查到,且同时存在预防该岗位操作错误发生的预防性措施,从而达到相互制衡的目的。为了调动员工的积极性,企业可以采取一系列的奖惩激励措施,充分发挥员工的主观能动性。另一方面,针对企业信息系统产生舞弊、造假现象的隐蔽性,企业应对信息系统采取更加严格的管控。具体来说,可以通过采取对手工录入凭证的检查控制、数据录入输出控制、权限控制的方式来保证信息系统数据的真实准确。在各个岗位之间可以设置个人用户登录密码来防止他人越权使用自己的权限,同时设置系统逐级审批权限,预防数据被不恰当地查阅或修改。
2.3 提高相关工作人员的专业素养以及诚信和道德观,将内部控制与风险管理工作落到实处
任何好的内部控制制度和风险管理体系都需要人员去实施,否则再完美的制度也不能发挥作用。一方面,企业要加大对相关工作人员的专业技能培训。随着经济环境的日趋复杂,企业面临的风险将更加隐蔽和多样,这些隐蔽、多样的风险往往可能给企业带来极大的损失。要想成功应对这样的风险,传统的管理思想和工作技能已经很难胜任。鉴于此,企业应该加大对相关工作人员的培训,及时更新其知识体系,使工作人员顺应企业及时展步伐。另一方面,企业还应将强对相关工作人员的职业道德教育,树立其诚信观念和正确的道德观念,增加员工的自我约束能力,切实做到奉公守法、勤勉廉洁,使得内部控制和风险管理工作得以顺利开展。
3 结 语
企业有效开展内部控制与风险管理工作能够帮助企业更科学地进行决策,规避经营风险,为企业营造一个更加安全的管理环境,保障企业顺利实现经营目标,提高经营效益。如何大胆创新内部控制与风险管理方法,恰当运用相关理论成果和实践经验,已经成为了企业管理者们关注的焦点。可以预见,在我国企业今后的发展历程中,内部控制与风险管理对于企业创造效益、提升管理水平的效果将会更加显著。
主要参考文献
[1]高秀兰. 内部控制与财务风险管理融合研究[J]. 财会通讯:综合(中),2010(20).
