1、企业风险管理与内部控制提要 我国企业风险管理与内部控制得到进一步完善,由此将我国企业的风险管理和内部控制提升到一个前所未有的高度。完善企业内部控制体系是促进企业提高管理水平,防范经营风险和财务风险,保证企业可持续发展,确保企业在激烈的市场竞争中立于不败之地的必然趋势。 关键词:风险管理;内部控制;控制环境;风险评估;监督 中图分类号:F27 文献标识码:A 收录日期:2014 年 1 月 5 日 我国于 2008 年由财政部会同证监会、银监会、保监会、审计署制定了企业内部控制基本规范及后续一系列配套指引,自 2009 年 7 月 1日起首先在大的公司范围内执行,并鼓励非上市的其他大中型企业实行
2、,由此将我国企业的风险管理和内部控制提升到一个前所未有的高度。 一、风险管理与内部控制概述 (一)风险管理与内部控制的涵义。风险是指某种因素产生并造成实际损失而导致企业目标无法实现或者降低实现目标的效率的不确定性。企业风险包括政治风险、操作风险、项目风险、财务风险和法律及合规性风险等。 2006 年国资委发布了中央企业全面风险管理指引 ,这是我国目前为止对风险管理介绍最全面、科技含量最高的一个专业性文件,对于指导企业开展全面风险管理工作,进一步提高企业管理水平,增强企业竞争力,促进企业稳步发展具有重要意义。 (二)内部控制的涵义。财政部等五部委在企业内部控制基本规范中规定:内部控制是指组织为促
3、进企业实现发展战略,保护资产安全,合理保证企业经营管理遵循国家法律法规,提高经营效率和效果而采取的各种政策和程序。 内部控制是指一个单位为了实现经营目标,保证资产的安全完整,保证财务报告及相关信息的真实完整,确保发展战略的贯彻执行,保证经营活动的效率和效果而在单位内部采取的自我调整、约束、评价和控制的一系列方法与措施的总称。内部控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。 尽管企业的内部控制与风险管理存在着内在的联系,但内控和风险管理还有一些尚待改进的地方。经典的内控是指会计活动控制等,一般局限在财务及相关部门;经典的风险管理重点看某项经营活动中与战略选择以及经营决策有
4、关的风险和收益的比较。但它们都是低层次的,仅局限于企业的各个职能部门,未完全渗透到企业的管理过程中,未被应用到整个企业生产经营管理系统。因此,企业内部控制与风险管理有时还是相互独立。随着内部控制的不断完善,风险管理变得更加全面,两者必然会相互交叉、融合,甚至走向统一。 二、企业风险管理与内部控制存在的主要问题 企业统筹风险管理与内部控制可以有效防范风险,然而在实际工作中,由于各种原因,风险管理与内部控制并没有真正发挥出他们应有的风险防范作用,存在的主要问题有: (一)内部控制环境制约内部控制建设进程。组织结构的缺陷会对整个控制环境产生不利影响,企业内在的效率低下问题会变得越来越严重;业务流程管
5、理部门人事管理出现交叉,在内控建设中容易出现责任推诿、职责不清的现象;缺乏积极向上的企业文化,可能导致员工丧失对企业的信心和认同感,企业缺乏凝聚力和竞争力。 (二)尚未建立全面的风险评估管理体系。越来越多的企业业务涉及面变广、风险增大,公司治理基础与企业风险管理能力却仍然薄弱,缺少掌握风险管理与内部控制的专业人员,企业风险管理主要处在风险识别与风险评估的阶段,风险应对能力不强,而且在进行内部控制的设计和执行中,对具体业务层面的各项风险考虑较多,但对企业面临的整体风险缺乏整体考量。 (三)内控设计比较完善,但实际执行存在偏差。部分的管理层和员工对内部控制工作存在观念误区,例如部分员工认为内部控制
6、是管理层和财务部门、内审部门的工作,是为了达到萨班斯法案的监管要求而做,而非全员参与的“过程” ,未理解内部控制对公司降低经营风险和实现整体管理目标的意义和作用,削弱了内部控制的工作效果。 (四)IT 系统很难满足内控管理的需要,沟通成本高。由于计算机专业人士对复杂的内部控制并不了解或精通,而难负其责;缺乏完善的内部控制流程与审计轨迹,现有的 IT 内部控制不具有可审计性;同时,计算机系统建设分散,缺乏统一、规范的计算机系统管控流程,计算机系统控制制度不规范,控制程序不尽完善。 (五)对内部控制体系的运行缺乏持续有效的监督。由于审计制度沿袭传统较多,相关内部审计部门难以对内部控制制度设计的合理
7、性以及运行的有效性进行持续有效的监督,而且对于在审计过程中发现的问题并没有实现真正的责任落实到人,明确规定人员的职责、权限,在业绩考核机制中没有同领导的考核晋升直接挂钩,威慑力不强。现实中有很多企业由于无法根据正确的信息进行分析与预测,并持续对这些风险进行调研以及跟踪反馈,导致了企业的重大损失、名誉损害或经营中断。三、解决当前企业风险管理与内部控制问题的对策 很多国内企业,在内部控制与风险管理方面存在着很多尚待完善的地方,进一步加强和完善内部控制以不断提高公司经营管理、保持企业的可持续发展,已是现代企业发展的必然趋势。 (一)构建良好的内部环境。内部环境要素包含一个企业的公司治理结构、内部机构
8、设置与分工、内部审计、企业环境以及法制境。内部环境是企业实施内部控制的基础,内部控制设计的首要任务是防止企业内部控制环境中存在缺陷,内部环境是构建其他因素的基石,若基石中存在重大缺陷,其他内部控制因素构建得再完美,也只是空中楼阁。 建设内部控制环境时,企业应该认真分析其内部环境,如管理层的风险管理意识、舞弊风险、员工道德风险、计算机信息系统风险、治理结构风险、不当授权风险和政策导向风险等主要风险,并为防范上述风险提出了相应的风险应对措施。加强企业内部的风险管理意识,提高实际降低风险的能力;强化员工的思想道德及诚信文化建设,提高全体员工的素质;不断完善相关的政策和制度等,加强员工职业道德教育,增
9、强员工的法律意识,杜绝舞弊行为的发生。 (二)构建风险评估机制。为了确保企业的可持续发展,注重企业风险管理意识,加强企业风险防范意识和风险控制能力,建立一整套与其自身发展战略相适应的全面风险评估和防范体系。 1、制定标准化的风险管理流程。明确风险管理部门及其职责分工,确定授权审批风险评估的过程,制定恰当的风险应对措施,对风险评估工作出具定期评估报告,并上报企业的董事会或审计委员会。 2、信息与沟通贯穿于风险评估全过程。企业管理层需要得到真实、可靠的财务信息,用以评估潜在的风险;将经审批的风险管理办法传达给相关人员,保证企业制定的风险管理措施能够在企业中顺利实施;向员工强调公司将不断地完善内部控
10、制系统,管理层不定期与各部门负责人及关键员工沟通有关企业主要生产经营领域的内控要求和风险评估的结果,使他们了解和实施内控责任,确保企业日常经营风险控制在企业能接受的风险范围里。 3、对风险评估工作定期监督。 (1)管理层应自我监督:管理层对内部控制制度的日常监督和反舞弊控制措施与政策落实情况进行监察,至少每年进行一次内部控制自我评估,并提交相应地书面报告;(2)内审人员的定期监督:在日常监督和定期检查的基础之上,内审人员应当按照风险的重要程度和发生的概率,确定检查的范围,对公司内控系统运行的有效性进行总体评价,并向企业内部控制评价部门提交内部控制评价报告。内审人员对公司内部控制过程的进行检查、
11、评估与报告,并对重大缺陷提出整改意见,切实将风险控制在可承受范围内;(3)审计委员会的监督:董事会下设的审计委员会有义务确保充分且有效的风险管理过程,其中包括监督内部审计部门的工作;(4)整改:对日常监督检查中发现的内部控制缺陷、进行总结与分析原因,按照重要性及影响程度向适当管理层或治理层报告,并提出相应的整改意见,避免发生或降低已发生的损失,对整改效果实施跟踪。 (三)构建内部控制业务流程。根据企业所处的行业情况及企业生产经营的业务流程,针对企业生产经营中的各项控制活动,建立适用于本企业的内部控制。其主要控制措施包括不相容职务相互分离控制、调节与复核、授权审批控制、会计控制、财产保护控制、运
12、营分析控制和绩效评估控制等。 (四)构建信息与沟通机制。控制活动是通过信息系统中的信息来执行的,因此,保证内部控制有效性的前提是构建一个能够向需要该信息的人员及时提供信息的计算机信息系统。信息系统可以向企业提供信息和传递信息,信息通过沟通传达到企业外部、企业内部各级管理层以及每个员工,使其明确自己工作的职责和权限,发挥团队协作的精神,以实现企业的生产经营管理目标。 企业通过建立全方位、清晰、顺畅、有效的信息沟通流程和渠道,提高计算机信息系统的安全性,以保证制度、指令和政策法规的及时传达,及时获取对企业有利信息资源。 (五)构建内部监督机制。内部监督是企业对内部控制的建立与实施情况进行监督检查,
13、评价内部控制的有效性,发现内部控制缺陷,形成书面的内部控制报告并做出相应处理的过程,是企业实施内部控制的重要保证。 企业内部控制基本规范第六条对此提出了严格而明确的要求,即企业要制定内部控制监督机制,明确企业内部机构和内部审计机关在内部监督中的权力责任范围,规范内部监督的方法、程序和要求。同时,企业应制定标准的内部控制缺陷认定标准,并定期对内部控制的有效性进行自我评估,按照法律法规的要求委托会计师事务所对内部控制进行审计。 企业在构建内部监督机制时,要认真分析企业在内部监督方面存在的主要风险,以企业自我评价为主、借助外部力量为辅的原则,建立完善的内部监督框架。 四、结论 风险管理和内部控制是有
14、着紧密联系的,企业实行内部控制可以规避经营风险,企业实施风险管理必须加强内部控制建设,内部控制与风险管理相辅相成。 企业因忽视风险管理和内部控制已使一些企业损失惨重。面对生产经营过程中遇到的各种风险,为规避风险、加强完善企业内部控制,各企业在努力制定并完善企业内部控制体系,强化企业内部管理,防范产生重大经营风险,保证企业的可持续发展。因此,企业加强建设全面的内部控制体系,不断地提高风险管理意识,才能使企业在激烈的市场竞争中,处于不败之地。 主要参考文献: 1郑纬纬.内部控制与风险管理的关系.大众商务,2009.3. 2刘霜宏.COSO 框架下的企业内部控制与风险管理.会计与审计,2010.4. 3韩洁,罗沙.企业内控规范为中国企业构筑防范风险“防火墙”.工业审计与会计,2008.2. 4中国注册会计师协会.公司战略与风险管理.经济科学出版社,2013.
