中海油文伟,逐鹿,重生之弑仙灭神
相比国际其他发达国家,我国的企业内部控制制度起步较晚,直到 1996 年,财政部颁发的《会计基础工作规范》中才对内部控制制度做出了具体的规定。颁布于 2010 年 4 月 26日的《企业内部控制评价指引》和《企业内部控制审计指引》,标志着适应我国企业实际情况、融合国际先进经验的“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、层次分明、衔接有序、方法科学、体系完备”的企业内部控制规范体系基本建成。在日益激烈的市场竞争中,企业内部控制制度的建立和完善对国有乃至民营企业都是至关重要的一环,这些完善必然源自企业自身的问题之中。而风险管理下的内部控制,更是必不可少的核心问题。
1 风险管理与内部控制的关系
内部控制与风险管理的关系并不十分明确,就连国内外的学者也有不同的观点,这些观点主要有: 内部控制是风险管理的组成部分,内部控制包含风险管理,以及二者之间是等价的。本文认为分析任何事物之间的区别与联系,不能割裂事物所赖以存在的特定的外部环境来考虑。唯物主义辩证法告诉我们,任何事物都是一个不断发展变化的过程。因此,我们应该结合经济环境的变化,动态的看待风险管理与内部控制的关系,综合分析两者的相同与不同之处,也许就会豁然开朗。
1. 1 风险管理和内部控制的不同点
第一,两者的范畴有所不同。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标; 而全面风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
第二,两者的活动有所不同。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
第三,两者对风险的定义有所不同。在 COSO 委员会的全面风险管理框架中,把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”( 将产生正面影响的事件视为机会) ,将风险与机会区分开来; 而在 COSO 委员会的内部控制框架中,没有区分风险和机会。
第四,两者对风险的对策有所不同。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制中没有的,也是其所不能做到的。
1. 2 风险管理和内部控制的相同点
第一,两者的实施参与主体相同。即都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。
第二,两者的性质都是动态持续的过程。不论是风险管理还是内部控制,都不是单独或额外的活动,而是与企业运转并存,内置于企业日常管理过程中,作为一种常规运行的机制来建设的动态持续性行为。
第三,两者的企业目标相似。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。
另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略( 包括经营目标) 制定过程。
第四,两者的组成要素重合。风险管理的八要素中包含了内部控制的五要素( 即内部环境、风险评估、控制活动、信息与沟通、监督) .这些重合是由它们目标的多数重合及实现机制相似决定的。
1. 3 风险管理和内部控制的融合与统一
无论范围或者内容的不同,无可辩驳的一点是---风险管理与内部控制两者密不可分。现今世界行业复杂化,不同行业不同时刻不同外部环境下,企业的侧重点都可能发生变化。然而从上文我们可以看出,风险管理和内部控制的相同点都在于核心,不同点多侧重于范围能外围。当前,两者都只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,然而随着内部控制或风险管理的不断完善,它们之间必然相互联结、融合,直至统一。
2 基于风险管理的企业内部控制问题分析
自我国于 2001 年 12 月 11 日正式加入世贸组织以来,我国的企业所遭遇的企业风险越来越复杂和多样化。既有战略风险、财务风险,也有运营风险和法律风险。上面的四种风险,并不能简单的区分开来,因为,现实中一种风险的发生往往也伴随着其他风险的爆发。风险管理上的复杂性和多样性情况对我国的企业来说是前所未有的。目前,我国的内部控制规范体系,无法很好的适应这种多样性和复杂性的风险识别和风险评估制度,存在很多明显的不足。
2. 1 风险管理下企业内部环境的松散和管理层的应对消极
由于我国经济社会运行时间较短,企业管理层往往都是因国家制度或者监管而被动设立内部控制的制度或者体系,很多都是一个空有架构,没有实际运作功能的“空架子”,在风险来临时,企业内部控制中应对风险的措施不能迅速运行起来,公司治理结构松散无力,内部审计缺失,人力资源政策混乱等,才会导致企业在风险面前显得如此不堪一击。导致这些主观上的不足的根本原因就在于管理层对于内部控制体系构建的不重视。因为管理层对内部控制体系构建的忽视,公司自身的治理结构才会不够权责分明,企业文化中也缺失了进行风险应对的积极性。企业内部环境才会如此松散,失去了本身应该具有的应对风险管理和调节能力。这都是风险管理下企业内部的不足和主要问题所在。
2. 2 企业风险管理目标的不明确与风险评估的不细致
企业风险管理的四目标中最容易发生冲突就就是战略目标和其他三个低层次目标之间,TCL 海外并购最初的失败就和战略目标的不明确有着不可否认的关联。战略目标作为企业风险管理的最高目标,调节它和其他三个目标的关系不可忽视。TCL 管理层急于绕过贸易壁垒,没有明确好战略目标与运营目标的关系,被眼前的利益冲昏了头脑,才会导致后来的失败。而 TCL 后期的崛起也是因为从这次失败吸取了教训,开始积极的确认机遇相伴的各类风险和企业运作的具体细节。企业的发展必须有合理的风险评估,风险评估首先一定要符合企业的发展战略与风险偏好。但是一些企业在进行金融衍生工具投资理财过程中,目标设定不合理或者仅根据管理层的投机偏好去选择衍生产品,没有与企业的战略目标相结合,就无法做到合理的评估风险收益。从 TCL 的海外并购之路上,我们就能明白,企业风险管理的目标明确非常重要,而其中涉及到的具体金融工具和衍生产品也是合理评估企业风险收益的基石,对企业的持续性经营来说,两者缺一不可。
2. 3 应对风险的管理体系缺乏针对性和全面性
对于大部分中国企业来说,风险管理的专门部门和体系构建成本过高,很多企业根本没有一个可以保持平时运作的应对风险的部门,而风险管理中涉及的金融衍生工具的复杂难懂,合同书也是专业术语,我国这方面专业的人才又非常缺乏,国内大多数企业在选择衍生工具规避风险的时候,并没有真正的搞清楚所面临的全部风险,或者片面的注重到单独风险而忽略了不同风险的相关联性和相互作用,导致盲目听信交易对手或具体操作人员的意见,以至于不可挽回的风险发生。现今企业施行的风险管理体系落后而片面,并没有与时俱进的考虑到不同风险及风险之间的关系,这种情况下,企业何谈做出正确的决策。在全面风险管理要素加入风险管理框架的大趋势下,中国企业的墨守成规将会成为风险管理的最大障碍。退一步来说,即使在合同公平的情况下,拥有一个全面、具有针对性的应对风险部门对企业来说也是必要的存在,随着市场的复杂化、多样化,遭遇的风险会层出不穷,一个全面的风险管理部门对企业的发展来说是至关重要的。
2. 4 内部控制制度里应对风险的监督机制不健全
企业内部控制制度的不完善不是一朝一夕能够改变的,目前企业应对风险的关键在于两点: 一是企业自身组织结构的落后。在企业面临风险决策时没有一个流畅的、高效的公司组织结构来支持。二是企业监督机制的完善。企业内部控制是一个持续的过程,这个过程通过纳入管理过程的大量制度及活动来实现。因此,要确保内部控制制度切实执行且具有良好的执行效果,内部控制能够随时适应因企业内外环境的变化而产生的新情况、新问题等,就必须拥有顺畅的组织结构和对内部控制的持续监督。而不仅仅是在发现问题之后才进行的事后控制与监督,更重要的是事前和事中持续的监督。
监督制度的不完善,正是风险管理下企业内部控制制度不完善一个明显的侧面反应。企业的监督问题由来已久,主要表现在近年来层出不穷的产品安全问题中,这方面,其实企业应该和消费者站在统一战线,只有严格的监督机制造就出质量优秀的产品,才能真正占领市场,取得最大的利益。近年来大企业的成败往往就在一瞬,三鹿更是直接因为产品安全倒台,由此可见内部监督机制的重要性,在有无数漏洞可走的制度下,监督成了一纸空文,各类企业风险无从发现,企业的持续性经营更是天方夜谭。
3 风险管理下企业内控体系的对策分析
为了应对企业面临的各种风险,针对上文中风险管理下企业内部控制中发现的问题,下文根据我国企业现状对内控体系的构建对策在企业内部环境、企业文化、企业目标、风险管理机制和内部控制体系等方面提出了一些个人的对策和具体建议。
3. 1 优化企业内控环境,积极应对风险
内部环境是企业风险管理及其他组成部分的基石。内部环境对于企业战略目标的确立、经营活动的组织、风险的识别、评估以及应对都有很大的影响。公司管理层对企业内控体系的不重视不可能瞬间改变,只能通过潜移默化的教育和引导,把应对风险的重要性加入到企业文化乃至员工自身观念中去,综合说就是优化企业内控环境,让所有人都学会积极应对风险。首先,可以着手构建高效、系统的公司治理结构。
公司本身环境就是企业内部环境的重要组成部分,一般公司治理分为: 股东、董事会、经理和监事会四个部分。其次,可以培养员工的诚信意识,营造积极向上的企业文化。企业可以对员工施行系统的管理,通过严格招聘、规范工作、定期培训、考核奖惩制度、轮换岗位等方式加强员工素质、能力。尤其是可以加强对员工有关风险管理方便的知识普及,这样可以从基层的地方规避和发现风险。最后,创立完善的员工奖惩责任制,全面预防企业风险。大部分风险在发生之初,就可见端倪。要使企业预防风险的观念深入人心的同时,将企业发展和员工利益直观的联结在一起,是实用和低投入的责任机制。
3. 2 明确企业的战略目标的细节,合理评估风险收益
目标设定是企业进行全面风险管理的基础和先决条件。战略目标作为企业最高层次的目标,它与企业任务和预期相联系并指导企业的任务和预期的实现。企业经营目标、报告目标和合规目标都应该服从于战略目标。
总而言之,企业在战略目标制定过程中,管理层必须在评估自身优势与劣势的基础上,深入分析公司所面临的内外部环境、机会和挑战,紧密结合企业的使命、价值观、愿景。在战略目标制定之后,还应该对战略目标进行分解。在企业使命、愿景、核心价值观的支持下,企业战略目标分解为部门目标和层级目标,部门然后将目标层层分解到个人。战略目标分解使得企业各部门、各层次人员对企业的战略有了清晰明确的了解,同时也明确了个人的目标,将员工的奋斗目标与企业的战略目标紧密地结合起来。各具体业务层面的目标也必须服务于组织总体的战略目标。同时注意经营目标的细节( 如经营中涉及的金融衍生工具和衍生产品) 是否支持战略目标,对每一个可能导致风险的因素安排专人细致排查,合理的评估风险收益,才能做出正确的公司决策。
3. 3 完善风险管理体系,建立全面风险管理机制
为了应对越来越复杂多变的风险多样化问题,企业应该建立一个全面的内部控制体系,尤其是在风险管理这一方面,要做到能够及时、全面、准确的进行各类风险的识别评估。而这需要的就是建立和实施整个企业范围内的风险管理系统,要求成功的整合分析、管理和运用技巧。全面风险管理系统将战略、流程、员工等相关方面联系起来,用以评估并管理公司在创造价值时面对的不确定性,这种不确定性,就是企业面临的各种风险的共通之处。因为这些相互之间高度依赖风险本质的变化,企业不应该将风险分成单独的组成部分来分开管理,而应该用一种整合的方法来管理风险。全面风险管理可以使管理者在充满风险的环境里更为有效地运营。全面风险管理与公司治理紧密相关,为董事会提供重大风险信息及管理风险的方式。同时,它与绩效考核紧密相关,提供了风险调整后的指标体系。最后,它与内控体系相关,内控机制实质上是全面风险管理一个组成部分。全面风险管理帮助组织实现经营和盈利目标,防止资源的损失,并确保有效报告体系。同时,它有助于确保组织遵纪守法,避免名誉受损等。总之,它帮助机构奔向目标,避免了沿途的陷阱和意外冲击。
3. 4 完善企业内部控制制度,加强针对风险的监督机制
完善内部控制方面,可以在企业内部建立适应内部控制的组织结构。流畅的组织结构,能迅速、及时的为企业应对各类风险。而在企业监督机制方面,从企业自身来说,可以适当加强控制自我评估和会计控制。两者都是依靠企业自身的制度和员工的能力。具体措施如自我评估可以通过加强频率,会计控制可以增加复核账簿的程序等,以达到随时监控企业内控状态,调整内控体系中的不足,达到完善企业自身的目的。从外部环境来说,可以加大外部审计人员的监督权限,这样,外部审计人员对企业财务报表的审计是建立在对内部控制的了解、测试和评价的基础上,能够基本了解企业的现状,在履行其职责时,能更好的对管理当局及董事会提出独立、客观及有效的建议,如管理当局建议书等。
[参考文献]
[1]王翥超。 从内部控制要素谈企业内部控制建设[J]. 会计师,2011,9.
[2]林钟高,曾祥飞,储姣娇。 内部控制治理效率: 基于成本收益视角的研究[J]. 审计与经济研究,2011,1.
[3]郑小荣,何瑞铧。 企业目标导向下的内部控制与风险管理整合[J]. 财会月刊,2011,9.
[4]李明辉。 内部公司治理与内部控制[J]. 中国注册会计师,2003,11.
[5]毛新述,杨有红。 内部控制与风险管理---中国会计学会2009 内 部 控 制 专 题学术 研讨 会综述[J]. 会 计研究,2009,5.
[6]岳霞。 企业内部控制理论及其在实际中的应用[J]. 经济师,2011,6.
[7]刘霄仑。 风险控制理论的再思考: 基于对 COSO 内部控制理念的分析[J]. 会计研究,2010,3.
[8]侯微。 基于风险管理视角的企业内部控制体系重构[J].经济视角( 下) ,2010,3.