企业内部控制与风险管理的研究

(整期优先)网络出版时间:2019-10-20
/ 3

企业内部控制与风险管理的研究

杜建华

(亚马逊信息服务(北京)有限公司上海分公司)

摘要:近年来,企业风险管理与内部控制在许多专业文献中提及,对于二者的区别和联系也一直是争论的热点话题,但对其异同仍未达成共识,正确地把握两者之间的关系,对干完善企业管理理论,推动经营管理水平的提高具有极其重要的意义。

关键词:内部控制;风险管理;建议

一、内部控制与风险管理的定义

(一)内部控制的定义

内部控制是指一个单位为了实现其经营目标,保护资产的安全完整.保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。

内部控制的五大要素:

1.内部环境。是影响、制约企业内部控制制度建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容。

2.风险评估。是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。

3.控制措施。是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。

4.信息与沟通。是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。

5.监督检查。是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查工作中的一项重要内容。

(二)风险管理的定义

风险管理框架包括了八大要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

1.内部环境

内部环境包含了组织的风格,它确定了组织人员如何看待和处理风险的基础,是其他要素的基础内部环境具体包括风险管理哲学风险偏好董事会诚实度和道德价值观组织结构胜任能力人力资源政策与实务权责分配。

2.目标设定

在管理层辨别影响其目标实现的潜在事项之前,必须有目标企业风险管理要求管理层设定目标,选择的目标需要能够支持组织的使命并与组织使命相一致,同时与其风险偏好相一致。

3.事项识别

即识别那些影响组织目标实现的内外部事项,并区分为风险和机会机会将被考虑进管理层的战略或目标设定过程中。

4.风险评估

必须对风险加以分析,考虑其发生的可能性以及影响,并作为确定这些风险应如何加以管理的基础应当对固有风险和残存风险加以评估。

5.风险应对

管理层应在不同的风险应对(包括回避接受降低分担风险)中做出选择,从而采取一系列与组织的风险容忍度(risktolerances)和风险偏好相一致的行动。

6.控制活动

应建立相关的政策和程序,以确保风险应对策略得到有效的执行控制活动通常包括两个要素:确定应从事何种活动的政策执行政策的程序。

7.信息与沟通

应当按照特定的格式和时间框架来识别捕捉相关信息,并加以传递沟通,从而使人们可以履行其职责有效的沟通存在于较广泛的意义上,包括向下向上以及平行交互沟通。

8.监控

整个企业风险管理都应当加以监控,并根据需要做出调整监督可以通过持续性的管理活动单独评价或者二者同时来实现。

二、内部控制与风险管理两者的联系

(一)内部控制与风险管理的相同点

第一,它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。

第二,它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。

第三,它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。

(二)内部控制与风险管理的联系

第一,内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama&Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。

第二,内部控制是全面风险管理的必要环节,内部控制的动力来自企业对风险的认识和管理。由两者的定义可以看出,内部控制是为了实现经济组织的管理目标而提供的一种合理保障,而真实的财务报告和有效益的经营也正是企业全面风险管理应该达到的基本状态。

第三,技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。

三、内部控制与风险管理两者的区别

(一)两者内涵不同

1.目标体系不同

风险管理框架的目标有四类,其中经营类目标和合规类目标与内部控制框架的目标基本重合。风险管理框架增加了战略目标,内部控制框架未提及该目标,战略目标的制定是企业治理层面要参与解决的问题,这表明风险管理属于企业治理层次,内部控制属于企业管理层次;风险管理框架把财务目标扩展为报告目标,报告目标不仅包括财务报告目标,还包括对内对外发布的所有非财务类报告,这既扩大了目标范围,也弥补了内部控制目标体系因明显受到公共会计师影响而造成的重财务信息轻其他信息的缺陷。

2.组成要素不同

相比起内部控制的五大要素,风险管理框架增加了“目标设定、事件识别和风险反应”三个要素,“控制环境”要素也改成了“内部环境”。“目标设定、事件识别和风险反应”不仅丰富和完善了风险管理内容,还体现了风险组合观;“内部环境”要素内容除包括“控制环境”要素内容外,还增加了风险管理哲学、风险偏好等内容;在名称相同的要素中,风险管理框架对相关内容都进行了补充和提升。

(二)两者的职能不同

第一,两者的职能定位不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标;而风险管理则贯穿于管理过程的各个方面,控制的手段不仅体现在事中和事后的控制,更重要的是在事前制定目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。

第二,两者的活动范围不一致。风险管理的一系列具体活动并不都是内部控制要做的。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。

第三,两者对风险的对策不一致。风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。

四、完善内部控制与风险管理的建议

(一)设置全面风险管理内部控制组织体系

企业的内部控制组织结构设计应充分满足企业全面风险管理的要求,首先,建立董事会管理下的风险管理组织架构。董事会是企业经营管理的最高决策机构,董事会将企业的经营权交给了以总经理为代表的企业经理层,因此,正确处理董事会与总经理之间的委托代理关系是现代公司治理结构的关键。

(二)强化各关键环节风险控制,制定风险管理解决预案

任何一个企业的活动都是由一系列业务活动组成,而支撑这些业务活动的是一个个业务流程制度,企业诸多业务活动的集合构成企业活动的整体。因此,在业务流程再造或优化过程中考虑风险管理因素是提升企业风险管理能力的必然选择。通过企业流程梳理与改造,将风险管理解决方案落实到内部控制上——正确设定业务流程中的关键控制点并选择相应的控制手段,实现对操作行为的制衡。

(三)构建先进的风险管理信息系统,实现风险预警

企业面对的风险是一个动态概念,经常处于变化之中。实践证明,只有把握风险管理先机,才能收到实效;及时掌握尽可能真实、准确的经济动态信息,才能过综合分析,采取针对性处理策略,取得应对风险的主动权。这就要求企业引入现代信息技术,构建先进的风险管理信息系统。

参考文献

[1]张潇蔚,中国铁路物资总公司铁路建设事业部.2018,(11)

[2]赵石.论内部控制与风险管理的关系[J].管理方略,2018,(05).

[3]唐文泉.论企业内部控制与风险管理[J].现代商贸工业,2018年第23期.

[4]张珍文.内部控制与风险管理比较研究[J].《合作经济与科技》2018年9月.

作者简介:杜建华(1984.11-),男,吉林省通化市人,2007年毕业于武汉理工大学,现居江苏省苏州市,在职研究生专业:企业管理。