企業內部控制管理
前言:本站為你精心整理了企業內部控制管理范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
【摘要】筆者認為,在我國企業面臨WTO全面對外開放的環境下,從風險管理的角度研究企業內部控制既是一個重要的理論問題,也是一個迫切的實踐問題。本文從多個角度對這一命題進行了深入分析。
內部控制是社會經濟發展到一定階段的產物,其內容隨著企業對外滿足社會需要、對內強化管理而不斷豐富和發展。內部控制是現代企業管理的重要手段,建立有效的企業內部控制制度是經濟管理工作的重要基礎。不斷完善企業內部控制制度,對于防范舞弊,減少損失,提高資本的獲利能力,保障企業各項資產安全、完整具有積極的意義。
但是進入21世紀,安然、世通和施樂等世界知名大公司的一系列財務丑聞,給廣大投資者帶來了嚴重的打擊,同時也暴露了企業內部控制存在的問題。各國理論界和實務界認為當前的內部控制框架有一定的局限性,如對風險的強調不夠,使得內部控制無法與企業的風險管理相結合。一時間,企業的風險管理成為人們關注的焦點,也作為企業戰略管理中的核心登上了公司治理的舞臺。2004年10月份COSO(CommitteeOfSponsoringOrganizationsOfTheTread-wayCommission)的《企業風險管理——整合框架》是在1992年報告的基礎上,結合《薩班斯——奧克斯法案》的相關要求進行擴展研究得到的。該框架強化了風險管理,涵蓋了原有內部控制的合理內容。風險管理的興起對內部控制產生了重大的影響。COSO認為,內部控制是風險管理的一部分,企業風險管理框架是在內部控制整體架構基礎上發展而來的,內部控制與風險管理有著密切的聯系。
目前在經濟建設不斷加快的背景下,中國企業要提高自身的國際競爭力以及在國際資本市場的信譽度,減少財務丑聞的發生,必須加緊改善自身的管理,建立完善的內部控制制度,識別和衡量企業所面臨的內外部風險,并根據風險評估結果開展恰當的控制活動,消除或減少企業風險帶來的損失,提高企業的應對能力和競爭力。同時,為了適應世界經濟發展的形勢,我國企業也迫切需要學習和借鑒國際上關于內部控制的理論研究成果。
一、風險的概念剖析
風險的定義目前主要有兩種觀點:其一是以美國學者威利特等為典型代表的靜態學派,他們把風險理解為不確定事件。這種理解從風險管理與保險關系的角度出發,以概率的觀點對風險進行定義。其二是以美國學者威廉姆斯和賽因斯為典型代表的動態學派,他們認為:“風險是在一定條件下,一定時間內可能產生結果的變動。”這種變動就是預期結果與實際結果的差異,意味著預期結果和實際結果的不一致或偏差。因此,這種變動越大,風險越大。
另外,也有人將風險分為純粹風險和投機風險兩類。純粹風險是指有可能帶來損失的風險;投機風險是指既有可能帶來損失,又有可能帶來機會的風險,如股票投資,既可以為投資者帶來豐厚的利潤,也可能使投資者遭受重大的損失。
對現代企業來說,風險是某種不利因素產生并造成實際損失致使企業目標無法實現或降低實現目標的效率的可能性。企業風險可以分為政策風險、戰略風險、日常經營管理風險及財務風險。政策風險主要是國家宏觀經濟政策或行業政策改變導致企業所面臨的風險;戰略風險主要表現在企業的多元化經營與企業并購方面;日常經營管理風險按照日常運轉的關鍵環節劃分,主要包括供應風險、生產風險和銷售風險;企業的財務風險則是指企業財務活動目標不能得以實現的可能性,包括籌資風險、資金投放的風險及企業其他財務活動風險。
二、風險管理的演進歷史及現狀
風險管理是采取一定的措施對風險進行檢測評估,使風險降低到可以接受的程度,并將其控制在某一可以接受的水平上。從職能上說,風險管理就是在對風險進行觀察、評估的基礎上控制風險可能造成的損失,保證組織目標的實現。對風險管理的定義可以理解為:一是風險管理是一個系統過程,包括風險的識別、衡量和控制等環節;二是風險管理的目標在于控制和減少損失,提高有關單位或個人的經濟利益或社會效果;三是風險管理是一種管理方法。
風險管理作為企業的一項管理活動,產生于20世紀50年代的美國,當時美國一些大公司發生的重大損失使公司的高層決策者開始認識到風險管理的重要性。在那時,風險管理是企業管理的一個重要組成部分,主要涉及的是對企業純粹風險的管理。這一特征是和那時企業經營環境相對簡單,因而純粹風險給企業經營帶來的影響最為嚴重以及通過保險手段可以對純粹風險進行有效管理是密切相關的。
20世紀80年代后,企業的經營環境開始發生了巨大變化,以價格風險、利率風險、匯率風險等為代表的財務風險開始給企業帶來巨大的威脅,使得企業開始尋求規避財務風險的工具。但企業在這方面的努力僅限于一些孤立的實踐活動,并沒有形成完整的理論和方法體系。反而在金融機構中,由于所經營的金融產品帶來的各種風險加劇,逐步形成了針對金融機構的相對完整而系統的金融風險管理體系,其針對的對象和內容都與傳統風險管理有很大不同。
到20世紀末,隨著大型企業特別是巨型跨國公司面臨的風險管理日趨多樣和復雜,開始出現了將企業的所有風險,包括純粹風險和財務風險綜合起來進行管理的需要。這種需求使得在歷史上不同時期,并沿著兩條不同軌跡發展起來的傳統風險管理和金融財務風險管理終于結合在一起,形成一個嶄新的概念——全面風險管理。
全面風險管理是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。
三、COSO風險管理框架
近年來,許多公司關注企業風險管理,他們對企業風險管理框架的需求日益增加。2001年,COSO委托普華永道設計一種能被企業管理層用來評估和改善企業風險管理的框架。在這一時期,美國出現了包括安然公司在內的一系列公司財務丑聞,使投資者蒙受了巨大的損失。之后,要求改善公司治理結構和提高風險管理能力的呼聲日益高漲。2002年美國通過了薩班斯——奧克斯利法案(Sarbanes——OxleyActof2002),其中的404條款要求上市公司管理當局對內部控制的有效性進行披露報告,同時也要求注冊會計師對上市公司內部控制的效果進行審計。正是在這一背景下,COSO于2004年10月了《企業風險管理——整合框架》的報告。
(一)風險管理的定義
COSO對其定義為:“企業風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響。這個過程從企業戰略制定一直貫穿到企業的各項活動中,用于識別那些可能影響企業的潛在事件并管理風險,使之在企業的風險偏好之內,從而合理確保企業取得既定的目標。”
ERM框架對內部控制的定義明確了以下內容:1.是一個過程;2.被人影響;3.應用于戰略制定;4.貫穿整個企業的所有層級和單位;5.旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險;6.合理保證;7.為了實現各類目標。對比COSO1992年的定義,ERM概念要細化得多。由于新COSO報告提出了風險偏好、風險容忍度等概念,使得ERM的定義更加明確、具體。
(二)風險管理的目標
ERM認為風險管理的目標有:戰略目標——與使命相關聯并支撐其使命;經營目標——有效和高效率地利用其資源;報告目標——報告的可靠性;合規性目標——企業經營符合相關法律法規的規定。
ERM整體框架中除了經營目標和合規性目標與內部控制整體框架相似以外,還將“財務報告的可靠性”發展為“報告的可靠性”。原COSO報告把財務報告的可靠性界定為“編制可靠的公開財務報表,包括中期和簡要財務報表以及從這些財務報表中摘出的數據,如利潤分配數據”;新報告則將報告拓展到“內部的和外部的”、“財務的和非財務的報告”,該目標涵蓋了企業的所有報告。除此之外,新COSO報告提出了一類新的目標——戰略目標。該目標的層次比其他三個目標更高。企業的風險管理在應用于實現企業其他三類目標的過程中,也應用于企業的戰略制定階段。
(三)風險管理的控制要素
1994年COSO報告《內部控制——整體框架》中,提出了五個要素:控制環境、風險評估、控制活動、信息和溝通、監督。ERM框架對這五個要素進行了深化和拓展,將其演變為八個要素,即增加了控制環境內部化;目標作為要素;風險要素的擴展。
主要有:1.內部環境——內部環境包含組織的基調,它為主體內的人員如何認識和對待風險設定了基礎,包括風險管理理念和風險容量、誠信和道德價值觀以及他們所處的經營環境。2.目標設定——必須先有目標,管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取適當的程序去設定目標,確保所選定的目標支持和切合該主體的使命,并且與它的風險容量相符。3.事項識別——必須識別影響主體目標實現的內部和外部事項,區分風險和機會。機會應被反饋到管理當局的戰略或目標制訂過程中。4.風險評估——通過考慮風險的可能性和影響來對其加以分析,并以此作為決定如何進行管理的依據。風險評估應立足于固有風險和剩余風險。5.風險應對——管理當局選擇風險應對、回避、承受、降低或者分擔風險,采取一系列行動以便把風險控制在主體的風險容限和風險容量以內。6.控制活動——制訂和執行政策與程序以幫助確保風險應對得以有效實施。7.信息與溝通——確保有關員工履行其職責的信息得以識別、獲取和溝通。有效溝通的含義比較廣泛,包括信息在主體中的向下、平行和向上流動。8.監控——對企業風險管理進行全面監控,必要時加以修正。監控可以通過持續的管理活動、個別評價或者兩者結合來完成。
(四)相關角色和任務的變化
新老COSO報告都將組織的董事會、管理層、內部審計等職員看成是內部控制框架中的相關責任人。董事會制訂戰略,管理、指引和核查一些特殊交易和政策。董事會既是內部控制的因素,也是企業風險管理的重要因素。ERM框架使董事會在企業風險管理方面扮演更加重要的角色,即擔負總體責任,企業風險管理的成功與否在很大程度上依賴于董事會,董事會需要批準組織的風險偏好。
在ERM框架中,管理層必須識別目標和戰略方案,并將其分類為戰略目標、經營目標、報告目標和遵循性目標四類。每一個業務單元、分部、子公司的領導也需要識別各自的目標,并與企業的總體目標相聯系。一旦設定了目標,管理層就需要識別影響風險的事項、評估風險并采取控制措施。
在ERM框架中,內部審計人員在監督和評價成果方面承擔重要任務。他們要協助管理層和董事會監督、評價、檢查、報告風險。對于內審人員來說,最大的挑戰是在ERM中扮演何種角色,很多內審人員可能被要求提供ERM的教育和訓練,甚至“處理企業風險管理過程”。但是,新報告認為:內審人員并不對建立ERM體系承擔主要責任。內審人員職責的另一個變化是原來對CFO和內審委員會負責,現在可能要對CFO、內審委員會和風險主管負責。
在ERM框架中,新增加了一個角色——風險主管或風險經理。風險主管除了需要和其他管理人員一樣在自己的職責范圍內建立起風險管理外,還要幫助其他經理人報告企業風險信息,并可能是風險管理委員會的成員之一。
四、內部控制與風險管理的關系
從新的COSO框架對企業內部控制的完善來看,企業內部控制逐漸呈現與風險管理靠攏和一體化的趨勢,即以風險管理為主導,建立適應企業風險管理戰略的新的內部控制,從內部控制走向風險管理。
風險管理的目的是要防止風險、及時地發現風險、預測風險可能造成的影響,并設法把不良影響控制在最低的程度。內部控制就是企業內部采取的風險管理,內部控制制度的制定依據主要是風險,在某些極端情況下甚至完全由風險因素來決定。風險越大,越有必要設置適當的內部控制措施,風險相當大時,還要設置多重內部控制措施。而且做好內部控制是做好風險管理的前提。一家企業只有從加強內部控制做起,通過風險意識的提高,尤其是提高企業中處于關鍵地位的中、高層管理人員的風險意識,才能使企業安全運行,否則,處于失控狀態的企業最終將被激烈競爭的市場經濟大潮淹滅。
風險管理是內部控制概念的自然延伸。在新技術和市場的推動下,內部控制走向風險管理。例如,在計算機網絡和金融衍生工具市場存在的條件下,企業可以運用金融衍生工具防范因匯率和利率波動給企業帶來的財務風險。內部控制是企業防范風險的日常運行功能與結構,包括確保財務信息的真實可靠、遵守相關的法律法規等。在新技術和市場條件下,為維護股東的利益,實現企業目標,還需要基于內部控制更主動、更靈活、更全面的風險管理。
內部控制和風險管理各有側重。內部控制側重制度層面,通過規章制度規避風險;風險管理側重交易層面,通過市場化的自由競爭或市場交易規避風險。一般來說,典型的內部控制依然是為了保證資金安全和會計信息的真實可靠,會計控制是其核心,內部控制一般僅限于財務及相關部門,并沒有滲透到企業管理過程和整個經營系統,控制只是管理的一項職能;典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益的比較,如銀行的授信管理、匯率風險管理和利率風險管理等,它貫穿于管理過程的各個方面。從以上分析可以看出,風險管理是內部控制概念在新技術和市場條件下的自然延伸,風險管理包括內部控制,內部控制是風險管理的基礎。風險管理側重于市場交易層面。
正因為內部控制與風險管理有內在的聯系,各國分別以不同的方式逐步將內部控制與風險管理聯系起來。巴塞爾委員會的《銀行業組織內部控制系統框架》中指出:“董事會負責批準并定期檢查銀行整體戰略及重要制度,了解銀行的主要風險,為這些風險設定可接受的水平,確保管理層采取必要的步驟去識別、計量、監督以及控制這些風險……”,顯然是把風險管理的內容納入到內部控制框架中了。2004年1月8日,我國有關方面舉辦了“商業銀行風險管理與內部控制論壇”,這表明我國銀行業也開始將內部控制與風險管理聯系起來。
盡管風險管理與內部控制有內在的聯系,但現實中的內部控制應用水平與風險管理還有不小的差距。典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益比較;典型的內部控制是指會計控制、審計活動等,一般局限于財務相關部門。它們的共同點都是低水平、小范圍,只局限于少數職能部門,并沒有滲透或應用于企業管理過程和整個經營系統,因此,有時看上去風險管理與內部控制還是相互獨立的兩件事。但是,隨著內部控制或風險管理的不斷完善,它們之間必然會相互交叉、融合,直至統一。
