一、内部控制与风险管理的关系
内部控制是公司为了管理战略制定和经营活动中存在的风险,以确保战略目标的实现,而做出的相关制度安排。风险管理通常是指公司制定的一套政策和程序,该政策和程序用于识别、分析和处理公司面临的各种风险。风险管理是将公司作为管理的对象,着眼于调整外部环境变化和与之相应的内部资源配置与运行效率,是内部控制概念的自然延伸。在新技术和市场的推动下为了实现企业的目标,维护股东的权益,需要基于内部控制的更主动、灵活、全面的进行管理风险,内部控制也必将走向风险管理。从上面阐述可以看出内部控制和风险管理是密切相关的,没有风险管理机制下的内部控制是无效的,没有内部控制为基础的风险管理也是无法执行的。
二、基于风险管理的内部控制体系存在的问题
COSO委员会颁布的《内部控制--整体框架》系统阐述了企业的内部控制存在的问题,它指出内部控制制度没有从动态的角度来适应公司管理,尤其是风险管理的需要,主要表现在以下几个方面:
1.对内部控制的认识存在误解
现代的内部控制和风险管理理念,与国内企业一直以来的管理体系与观念不同,由于目前相关理念与方法处于引入阶段,所以许多企业管理者还没有完全接纳这个新理念,尚未认识到这些理念与企业经营管理之间的联系。我国公司的内部控制不是汇总各项工作制度和业务规章,尚未将制度制定、执行、考核、评价构成统一的有机整体。管理人员风险管理意识淡薄,重视经营活动,轻视管理活动。
2.内部控制和风险管理的机构设置存在问题
内部控制往往局限于会计控制、审计活动等方面,尚未贯穿于企业管理过程和整个经营系统,仅仅局限在财务等相关部门,内部监督层次也不高。风险管理通常仅关注特定业务中与战略选择或经营决策相关的风险与收益的对比。两者的机构设置的水平不高、范围不大,仅仅局限于少数职能部门,尚未应用于企业的管理过程及整个经营系统。这就导致了内部控制系统形同虚设,造成了公司资源的浪费。
3.不能有效监督内部控制的执行
内部控制是一套自律系统,该系统可以自行检查、制约和调整企业的内部业务活动,这就需要对该自律系统进行有效监督。监督分为内部监督和外部监督两个方面。其中,内部监督通常是由企业内部的审计部门担任,为此其独立性不强,这就使得其作用很难得到有效发挥;外部监督主要是社会监督,独立性较强,但是由于信息不对称,导致了外部监督监管不力,从而使得企业执行内部控制的积极性不高。
三、基于风险管理的内部控制创新
1. COSO报告对内部控制理论的发展
2004年9月针对国际企业界频发的高管人员舞弊事件,国际著名的反虚假财务报告委员会从风险管理的角度考虑内部控制建设,颁布了一个概念全新的COSO报告,即《企业风险管理———总体框架》来取代以前的内部控制报告,该项报告尽管保留了部分传统内部控制的概念,但是在要素、框架等方面具有重大突破,主要表现在以下几个方面:
(1)内部控制内涵的发展
1992年的 COSO报告强调内部控制是一个过程、该过程受人为因素的影响、内部控制是为了达到三个目标,其提供的是合理保证。ERM框架明确了内部控制的含义包括以下几个方面:即内部控制是一个过程、内部控制受人的影响、内控控制应用于战略制定并且贯穿各个层级、目标在于识别影响组织的事件并在组织的风险偏好范围内管理风险、合理保证、从而实现各类目标。ERM在内部控制的发展史上首次引入了风险偏好、风险容忍度等概念,将内部控制和风险管理密切联系在一起。
(2)内部控制目标的拓展
COSO报告将经营的效果、效率、财务报告的可靠性和法律法规的遵循性作为内部控制的目标,而ERM则将目标分为战略目标、报告目标、经营目标和遵循性目标四类。企业在明确了自身的发展计划和使命后,应当制定相应的战略目标,并确保经营、报告、遵循目标也与其相一致。此外,ERM将报告目标扩展为企业所有对内、对外的报告,并将增加利益相关者价值作为其终极目标。
2.构建风险导向型内部控制体系
从新的COSO框架对内部控制的完善来看公司内部控制逐渐呈现与风险管理靠拢和一体化的趋势。2006年6月上交所借鉴上述新的COSO报告,颁布了《上市公司内部控制指引》,被业界誉为中国版《萨班斯-奥克斯利法案》。其内容包含以下几个方面:
(1)基本目标和战略目标
基本目标强调程序性操作,主要应从合法合规、内外部效应方面考虑。其中,合法合规主要指要遵守相关的法律、法规;内部效应是主要通过净资产收益率、每股收益率等指标来衡量企业经营的效率和效果;外部效应则主要强调客户的满意程度等。战略目标则是指组织的战略目标。
(2)部门任务和业务循环控制点
首先业务部门要充分利用企业的内外部资源,培养创新思维,提高产品和服务的竞争力,以此来增加企业价值;其次,在人员的选拔方面,人力资源部门尽职尽责,已达到激励员工积极性的目的;此外财务部门要做到分工明确,不同职责之间要相互牵制,以保证财务信息的完整和有效;风险管理部门要设计出恰当的运行程序和方法将可能发生的各种风险降低到可以接受的最低水平。
(3)组织结构
在董事会下设风险管理委员会和审计委员会等多个专业委员会。其中,负责企业内部的监督和评价的部门是内部审计部门,它对审计委员会和风险管理委员负责,其他各个职能部门主要向行政领导负责。
(3)审计监控
企业内控评价的方法是风险导向型的评价方法。采用此方法评价内部控制要求内审人员在对内控各环节的执行情况进行监督、评价的基础上完成内控检查监督报告上交董事会,然后由其对公司内控的建立和实施情况进行评价,形成内控自我评估报告,交由会计师事务所,让其从内控的设计、执行和运行有效性等方面对该报告出具评价意见。
参考文献:
[1]王海燕.基于风险导向构建集团公司内部控制体系[J].科技与管理, 2008(3).
[2]侯微.基于风险管理视角的企业内部控制体系重构[J].工商管理, 2010(3).
[3]董倩.构建基于风险管理的内部控制框架的基本思路[J].财经纵横, 2011(7).
立即询价
