2009.07.18 来源:管理者CLUB 文:姜捷
实践证明风险管理和内部控制,作为现代企业管理理论和方法,对于完善内部管理、预防和控制各种风险、顺利实现组织目标、保护资产的安全与完整,具有不可忽视的作用。如何保证企业财会信息真实可靠,构建有效的内部控制和风险管理机制,已经成为当前企业高管层和关注的重点。企业内控所暴露出的问题基本可归于机构设置内控缺陷,观念落后、目标考核粗放、权责不清,授权模糊。特别是企业上了一定规模之后,在全球金融危机的经济动荡背景下,没有完善的风险识别机制,企业难以及时化解多年积淀的风险,业主们用血缘关系或指派亲信等习惯手段,控制企业的内部舞弊和道德风险显得苍白无力。风险管理和内部控制就更加显示了在现代企业管理中重要的地位。笔者以多年从事企业风险管理和内部控制的经历,谈谈民营企业建立风险管理和内部控制机制的一些想法。
一、 目前企业风险与内控管理的现状 现阶段许多民营企业为实现业务快速扩张,在风险管理和内部控制工作环节上远远滞后于业务的发展。虽然在日常的工作中逐步按ISO标准化建立了相关制度与规定,但有关制度和规定等建设,基本上是在事后发现问题或影响工作流程时,由相关业务部门仓促被动出台了一些规定或制度,也没有明确的部门组织评审和事后监督。在形式上未能分清制度和操作细则的层次,在高度上由于是部门牵头制订存在一定的局限性,在控制上按部门进行简单制约,未能分离不相容岗位。在授权上未能建立治理结构框架下的授权机制,在制度覆盖上未能形成系统一体化管理机制,在目标控制上由于没有全面预算管理的机制,量化指标过于简单,未能体现企业追求价值最大化的内涵,在考核上有些虽借用KPI管理方法论,有关KPI指标没有从整个价值链上去提炼和挖掘。公司上下未能形成主动接受全面风险管理和内部控制的理念。造成上述机制缺陷的原因,大致可归纳为,其一是近阶段在中国经济持续高速发展,给社会和企业创造太平盛世经营环境下,生产要素的大幅上升和业务的高速发展掩盖了内在积淀风险与问题因素;其三是财务基础非常薄弱,无法提供和提炼准确的供决策层有价值导向目标的相关数据因素;且与民营家族企业没有外部压力难以主动建立完善的现代企业法人治理结构因素有关。针对上述的缺陷和因素,结合企业实际需求。企业建立基于内部控制为基础贯穿战略控制为导向的全面风险管理机制建设已刻不容缓。
控制构架设定——建立与实施有效的内部控制五大要素,内部环境、风险评估、控制措施、信息沟通和内部监督5要素框架,构成了企业内控设立的基本条件。上述要素相互联系、相互促进,构成一个统一的企业内部控制框架。通过要素的循环,充分体现了以内部环境为基础、以风险评估为重要环节、以控制措施为重要手段、以信息沟通为重要条件、以内部监督为重要保证的完整的内控机制。企业内控具体设计时因遵循5要素框架的以下四项原则:
1、建立内控机制应遵循的重要性、全面性、制衡性、适应性和成本效益原则。第一,要识别评估企业潜在的主要风险点和面,进行轻重缓急排序;第二,内控制度覆盖要全面,要从内到外、由上至下、从部门到岗位,分不同层次不同形式进行覆盖;第三,设置相互制衡是内控的主要目的,所有的制度均应有部门或岗位予以制衡;第四,制度出台要充分考虑成本和适应的原则,如果把一些发生概率很少涉及面很窄的控制环境安排很严密的制度那就失去制度设立的目的。
2、自我评价的原则目标、计划、执行、检查构成管理四步曲。自我评价就是检查环节,是保证目标实现的最重要的保证。内部控制的有效与否应通过披露年度自我评价报告和内审制度来保障,有条件可聘请非同一审计机构其他会计师事务所对内部控制的有效性进行审计,出具内控审计报告。
3、机构独立设置的原则机构独立设置是内控体系中内部环境环节最基本的要求,内控主管部门应独立于经营层之外。许多民营企业监事会形同虚设,在强调内控时必须正视这个现实问题,否则建立内控就失去意义。应遵循公司治理框架下,董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。内审计委员会负责审查企业内部控制,协调内部控制审计及其他相关事宜等。经营层负责组织领导企业内部控制的日常运行。企业应当成立独立机构或具体负责组织协调内部控制的建立实施。
4、控制措施和风险识别的设定原则控制措施设置应考虑,外部反舞弊协议、不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等手段。采用定性与定量相结合的办法,按照风险发生的概率和及其涉及面等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险环节。
三、企业风险与管理内部控制运行的特点
我国风险内控管理尚在探索阶段,现有较权威的法规是财政部等5部委在2009年7月1日颁发《企业内部控制基本规范》,该部法规在形式上借鉴了COSO报告内部控制5要素框架,同时在内容上体现了其风险管理8要素框架的实质,构建了以内部控制为基础的过渡性法规。但该部法规仅在上市企业从2009年7月1 日开始强制执行,其他企业可参照执行。在实际操作过程中,风险管理与内部控制是密不可分。在企业内部的不同层次,风险管理与内部控制的重要性应该各有所不同。例如在战略风险控制方面,风险管理应该发挥主导性作用,内部控制起配合辅助作用;然后从战略风险到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性逐步发生逆转,直到财务报告层次,内部控制发挥主导作用,风险管理起配合作用。因此,企业在建立该机制是应根据企业本身所处的管理提升不同阶段,设置有侧重面的阶段目标,否则,将会造成运行成本上的浪费。根据我国的国情,现有的法规是以突出内部控制为主线,贯穿风险管理的内涵。其原因是由于国内风险管理和内部控制人才相对匮乏,目前仅国有控股银行有这方面的内控专业人员。企业风险管理和内部控制还处于基础建设起步阶段,如强调全面风险管理,会使企业无法承受人力资源与成本的压力。对此,建议企业在建立风险管理和内部控制机制时,应根据自身的条件在内控机制提升的基础上,逐步完善全面风险管理建设。注:全面风险管理涵盖内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控框架的实质8个方面要素。
四、 企业风内控机制建立的规划目标
根据企业内控建设的需求,要明确企业风险管理和内部控制目标定位。确定企业风险管理和内部控制定位目标要满足风险评估和控制手段的要求;要与企业行业地位相匹配,如企业已跻身行业龙头地位,其定位必须要有一定的前瞻性。特别是行业龙头企业,在内控建设上已没有喘息的机会,业务的高速发展同时也是风险快速积累的过程,企业所面临的经营环境不确定性的也在不断增加。企业家的基本职能是管理风险。无论从目的、目标,还是从要素来看,内部控制的根本功能是风险管理。因此,在机制建设的规划上就要以高起点去规划,以适度导入全面风险管理的框架的要素的规划目标去设置风险管理与内部控制的框架,可以从源头上梳理战略层面和战术层面的问题冲突。在具体的建设过程要遵循与实际结合的原则、近期与远期规划相结合的原则、系统性与局部结合的原则、轻重与缓急结合的原则、成本与效益的结合原则及时间紧迫性的原则。
风险管理和内部控制是社会经济发展到一定阶段的产物,是现代企业管理的重要手段。许多企业对内部控制的熟悉还停留在内部牵制阶段,碰到具体新问题都强调灵活性,使内部控制制度流于形式,失去了应有的刚性和严厉性。随着社会主义市场经济的深入发展,原有内部控制制度的内容和方法已不能满足新形势的发展要求。由于社会经济环境的变化,企业将会面临更大的环境变化和生存风险、企业间竞争越来越激烈,企业的经营管理将面临来自各方面的经营风险,如筹资风险、投资风险、开拓市场的风险、产品集中度的风险、客户结构的风险、担保风险、信用风险、法律风险、管制风险、声誉风险、技术风险等。在诸多风险中,大多数企业最主要的风险是营运风险。但不管是什么风险,企业都应该建立可以辨认、分析和管理风险的机制,并识别高风险领域,以加强管控。风险管理和内部控制的完善不是一朝一夕的,只有企业提高对风险管理和内部控制的意识,提高对风险管理和内部控制的重视,建立和完善企业的风险管理和内部控制,风险管理和内部控制才能真正在企业经营管理中发挥出应有的功能,促进企业的发展,从而改变当前企业由于风险管理和内部控制缺失或失效造成的内部道德风险、营私舞弊、激励机制失效、会计信息失真的现象,风险管理和内部控制是衡量现代企业管理的重要标志,“得控则强、失控则弱、无控则乱“,加强和完善企业风险管理和内部控制制度,已成为当前理论界和实务界最为关注的话题之一。由此可见完善企业风险管理和内部控制制度,对于完善公司治理结构和信息披露制度,保护股东的合法权益,增强企业市场风险驾驭能力,有着非常重要的意义。
