时间:2023-08-27 15:10:01
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业风险管理控制,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:房地产;风险管理;意义;概况;建议
中图分类号:F293.3文献标识码: A
目前,导致我国房地产企业发生风险的因素越来越多,比如房地产营销风险、财务风险、投资决策风险等等,房地产开发投资过程中产生的风险不容小视,房地产企业必须把控好风险管理,才能避免企业遭受不必要的风险损失。
1、房地产企业风险管理控制的意义
房地产产业的特点是行业竞争激烈、建设周期较长、下游行业涉及面较广、投资规模较大等,由于房地产开发的风险存在于开发过程中的各个阶段,且现代市场经济环境复杂多变,近几年国家政策调控愈来愈严,行业人员的风险防范意识普遍薄弱,容易使房地产企业遭受不必要的风险损失,因此,房地产企业应在房地产开发过程中正确认识风险给其带来的影响,加强房地产风险管理意识,制定相应的风险控制措施,让企业预防风险、避免风险、降低风险。风险是把双刃剑,在为企业的发展带来困难与阻碍的同时,也为企业带来了实现高收益的机会,房地产企业如果能够在准确防范风险的情况下,合理利用风险中存在的机遇,不仅能为房地产企业降低风险损失,还能为企业未来的发展铺设良好的道路,实现企业的可持续发展。
2、我国房地产企业的风险因素概况
2.1房地产营销风险
房地产企业一般通过地产、房产的转让来实现企业利润,而房地产的滞销,将为房地产企业带来极大的风险,即营销风险,又称为市场供求风险。国民经济的健康发展离不开商品房的供求平衡,要使商品房供求平衡,应使商品房空置率处在合理区,即空置率应在5%至10之间;当商品房的空置率在10%至20%之间时,商品房的供求平衡被打破,说明商品房的空置率处于危险区,为了使房地产市场的发展轨迹恢复正常,房地产企业应大大提高销售力度,降低商品房的空置率;此外,当商品房的空置率在20%以上时,说明商品房空置率已经处于重积压区,房地产企业应及时采取科学合理的措施,控制好商品房的供求平衡,否则将对国民经济的正常运行造成严重的影响。房地产能否顺利销售与企业制定的营销策略是否科学合理有着密切的关系,由于制定科学合理的营销策略难度较大,营销风险成了房地产主要的风险因素之一。
2.2房地产财务风险
房地产财务风险是指房地产企业因为举债经营所造成的企业无法按照约定履行相应的债券义务、无法及时获得贷款等风险。房地产属于资金密集型企业,在开发过程中避免不了大量资金的使用,由于房地产开发成本过高,房地产企业通常因资金不足而借助金融机构筹集或调剂企业所缺资金,一般情况下,企业在融通资金时就伴随着财产风险,会产生信用风险、利率风险、银行贷款政策变动风险等金融风险,其中银行贷款政策的变动对企业的资金流管理有着直接影响,比如银行信用条件的松紧程度、银行信贷额度的大小、银行信贷政策倾向性的变动情况等等,同时,银行利率上升会影响房地产的投资,房地产的资金成本会随着银行利率的升高而增加,使企业的债务负担更大,加大了企业还贷的难度,降低了企业的预期收益。
2.3房地产决策风险
房地产决策风险是指房地产企业在开发过程中,由于决策不当产生的风险。房地产企业的开发周期较长、投资规模相对较大,且房地产的投资收益目标会受到各种政策(地价政策、环保政策、住房政策、土地供给政策等等)的影响,同时,早期决策的正确与否需要经过后期的开发来检验,因此,企业在对房地产开发各环节做决策时,伴随着较大的风险。
3、房地产企业风险管理控制措施
3.1房地产企业应建立风险管理机制
房地产企业应设立专门的风险管控部门,建立健全风险指标识别系统、预警系统和监控系统,提高各类信息的处理能力。风险管理工作是一项专业性较强的工作,风险管理制度、措施、动态和整个运行机制,都要靠人来执行,所以培养和造就一大批风险管理专业人才是风险管理的基本要求。建立一整套行之有效的约束和激励制度。使各个业务部门以及下至每个员工,对各项成本都要有所了解,使之在处理各项业务时自觉地处理好收益和成本之间的关系、市场与风险之间的关系,保证各项业务建康有序的发展。风险管理工作人员的进行风险管理时,应以动态的角度对风险进行全面分析,全方位思考房地产开发过程中各环节有可能出现的风险,提高企业的风险防控能力。
3.2分散投资
分散投资分为投资时间分散和投资种类分散两种方式,投资时间分散是指企业在进行房地产投资时,确定合理的时间间隔,从而降低市场变化带来的风险损失;投资种类分散是指投资风险和收益可根据不同种类的房产而定,对不同种类的房产分散投资,达到降低企业的整体风险的目的。由于房地产的投资收益受不同城市、不同区域的市场供求、投资政策或者经济环境的影响,企业可根据房地产区域性较强的特征,将房地产进行分散投资,从而使企业某些特定区域的经营免受市场不景气的影响,降低企业的风险损失。
3.3树立正确的房地产风险管理观念
房地产企业工作人员应改变传统的风险管理观念,加强风险管理意识,正确认识风险管理对房地产开发投资的重要性,在房地产开发投资前做好风险防范,降低企业的风险损失。
3.4房地产企业应加强风险管理人员能力和水平的持续培训
房地产企业要在企业内部设立一个风险管理培训机构,定期对职工进行风险管理培训,或者要求职工定期去外部风险管理专业机构进行培训,使职工对各种风险有所了解,提高职工识别风险的能力,掌握风险识别方法(如分解原则法和专家调查法等)和风险评估的方法(如风险平衡积分卡法和层次分析评估法等),并学会应对房地产开发投资过程中遇到的各种风险,加强职工的风险防范意识。
3.5房地产企业应建立风险管理系统
房地产企业应建立风险管理系统,通过完善的会计信息系统,以便企业员工能够及时捕捉相关的财务信息,并对其进行科学合理的分析,职工在进行风险管理工作过程中,应对企业的债务利息进行及时统计,计算出企业的债务总额,避免企业出现债务到期而无法偿还债务的情况,降低企业遭受财务困难风险的概率,员工应合理利用企业会计信息,对财务进行科学预算,为决策人员提供企业在未来可能发生的还债义务,减少决策风险带来的损失,同时,房地产企业通过及时收集企业经营所需的各类信息,比如与企业经营区域内的土地规划等有关的国家或区域性经济政策,为企业进行风险管理提供相关资料。
3.6房地产企业应制定科学的风险管理计划
房地产风险管理计划的?什么意思?风险管理的目标、责任、程序、任务和措施等,其对象是风险管理的一切相关活动,房地产企业在制定风险管理计划时,应确立企业中有关风险管理工作的各项目标,明确风险管理相关工作人员的职责,企业各部门之间应互相协调,保证落实好风险管理工作,风险管理主要人员应制定科学完善的风险管理计划,应能识别房地产开发投资过程中的各类风险,应能够准确预测风险的发生,并能在风险发生时及时采取有效措施,保证风险管理计划实施的有效性。
结束语
综上所述,房地产企业的发展伴随着各种各样的风险,房地产风险管理已经成为房地产企业必不可少的管理工作,房地产风险管理是否科学合理影响着房地产企业目标经济效益的实现,因此,房地产企业应全面了解房地产开发投资过程中可能出现的风险,并对其进行有效预防,尽可能避免风险发生,对于外部政策和市场变化带来的不可避免的风险,应及时采取有效措施进行处理,降低企业在房地产开发投资过程中的风险损失,促进企业健康持续的发展。
参考文献
[1]邓瑜.房地产企业风险管理研究概述[J].企业导报,2011.
1 风险管理视角下的内部审计概述
基于风险管理的内部审计是从风险管理角度出发,通过规避企业经营过程中的各种风险、规范企业经营运作流程等系列举措,最终实现企业价值增值的过程。
1.1 风险管理视角下的内部审计的特点
1.1.1 发现并解决问题。传统内部审计将发现的问题报告给相应部门,审计工作就可以结束了。而风险管理视角下的内部审计,更加注重可能对企业未来发展产生影响的问题,尤其要给出恰当的审计结论及切实可行的对策建议,帮助企业及时发现并合理解决存在的问题。
1.1.2 凸显企业风险。风险管理视角下的内部审计不仅仅关注审计风险,其关注的范围包括企业经营过程中的各种风险,包括经营风险、财务风险、技术风险、市场风险等,并将它们作为审计的重点。风险管理视角下的内部审计有助于企业减少风险,达成企业战略发展目标。
1.1.3 增加企业价值。增加企业价值是内部审计的最终目的,是内部审计的发展趋势。虽然内部审计不直接参与企业的生产和销售活动,但其可以通过减少企业风险、降低审计成本、提出有价值的建议、增加获利机会等活动来为企业增加价值,进而为企业带来利益。
1.1.4 被审计对象主动参与。与传统的内部审计不同,风险管理视角下的内部审计注重让被审计人员参与到审计活动中来,改变过往居高临下的审计关系,调动被审计人员的积极性,审计人员和被审计人员能够共同分析和解决审计过程中发现的问题。
1.1.5 业务范围不断扩展。在传统的内部审计工作范围的基础上,风险管理视角下的内部审计将业务范围扩展至公司治理、风险管理等领域,并呈现出进一步扩展的发展趋势。对于能够提升企业价值的稽核和内控活动,内部审计都将积极开展。
1.2 内部审计与风险管理的关系
1.2.1 内部审计是风险管理的有效工具。国际内部审计师协会对内部审计的定义进行的最新修订中,进一步强调内部审计是一种实现企业内部风险管理的有效工具。企业内部审计发展实践表明,实现有效的风险管理才是现代内部审计的最终目的。
1.2.2 风险管理的实现客观上需要内部审计的支持。现代企业经营风险日益增多,企业风险规避、风险应对、风险补偿等行为的实现,必须以详细的企业内部风险信息为基础。而在企业风险管理过程中,为了准确掌握自身风险状况,客观上要求企业必须进行深入细致的内部审计,才能保证企业对内部风险形成有效的控制。随着商业环境的日趋复杂多变,企业风险管理对必须实施有效的内部审计提出了客观要求。
2 风险管理视角下国有企业内部审计存在的问题
随着我国经济的快速发展,国有企业内部审计近年来取得了长足的进步。但总体而言,我国国有企业现阶段的内部审计工作的开展并不广泛,内部审计对于企业经营和管理控制的影响程度不深,特别是在参与企业风险管理方面还存在很多不足之处。
2.1 法律体系对内部审计实施缺乏规范性指引
目前,我国法律体系中对于内部审计的表述和界定较为笼统,缺少企业内部审计工作的实施相关的规范性指引。增值型内部审计在我国法律体系中尚未提及,对于如何增强内部审计增值作用的研究也有待深入,以增值作用为基础的内部审计往往缺乏实施的基础。
2.2 内部审计在企业风险管理中职能运用不足
目前,相当部分国有企业内部审计重点仍然是企业例行审计、离任审计等传统审计业务,对企业建设完善的风险管控机制没有发挥应有的作用。同时,企业内部审计更缺乏科学有效的风险管理审计程序,这造成了其内部审计在风险管理的各个阶段不能有效地发挥其职能。
2.3 审计队伍建设滞后于企业风险管理步伐
国有企业内部审计人员不仅应当具备从事内部审计业务相适应的专业知识和业务能力,而且还应熟悉企业的日常经营活动,掌握风险管理相关的业务知识。目前,我国国有企业大部分内部审计从业人员都具有财会的知识背景,但是他们对风险意识、风险预测与评估、风险控制与管理的认识还较为欠缺,与现代企业内部审计业务的要求还存在一定差距。
2.4 内部审计在风险管理中作用缺乏合理评价
由于我国国有企业内部审计效果没有成熟的考核体系,各企业对内部审计工作考核标准不一,企业管理者对于内部审计工作的实施效果没有科学评价,尤其是内部审计对风险管理重要影响的认识不足,导致企业管理层对于内部审计的应用不关心,客观上阻碍了风险管理内部审计在我国的发展。
3 强化风险管理视角下国有企业内部审计作用的建议
国有企业在我国国民经济体系中占有的重要地位,决定了我们必须加强国有企业的内部审计,使之在防控经营风险方面发挥更大的作用。
3.1 提高审计目标与战略目标间的匹配度
传统的内部审计主要以合规检查和例行监督为目标,这种狭隘的审计目标难以与现代企业的战略目标有效匹配。为了全面参与企业风险管理并有效实现企业价值增值,内部审计应当积极围绕企业战略发展目标,持续提升自身目标的层次,科学设置内部审计目标,为企业价值增值过程提供更加有力的支持。
3.2 强化形成内部风险控制意识
作为一种常规的、经常性的内部控制手段,内部审计与企业内部人员的接触面和接触频率均高于其他风险管理手段,因此,应当通过有效实施内部审计持续帮助和促进企业内部人员强化风险管理控制意识,树立企业内部的风险管理观念,建立健全企业内部风险控制体系。
3.3 升级企业风险管理框架
作为企业风险管理体系的重要组成部分,内部审计的有效运作可以促进企业内部控制和流程监控管理成效的提升,进而确保企业内部风险控制措施的控制成果,保证企业风险管理模块能够得到详实有效的审计信息的支持,从而支撑企业风险管理框架的运作,并为企业的内部全面风险管理体系提供更加有效的升级支持。
3.4 推动企业风险管理信息集成
由于传统的企业风险管理过程中缺乏统一的协调,使得风险管理控制信息割裂,风险管理的效率大打折扣。内部审计可以集合企业内部风险管理信息,构建一个集中的、规范的、真实度较高的企业内部风险管理信息库,最终借助企业内部审计活动的开展来推动企业风险管理信息的集成,反馈给企业的各个部门。
3.5 提高企业风险管理人员专业素质
作为一种持续性的内部监督手段,企业内部审计通过对企业内部管理流程和运营状况的定期监控,对企业内部人员形成一定的合规性压力。因此,通过内部审计制度可以对企业风险管理人员发挥监督作用,不断促进企业风险管理人员提高工作质量和专业素养,为企业风险管理机制的有效运行奠定基础,进而不断提高企业内在价值。
3.6 优化组织结构及职权体系
由于内部审计结果可以较为详实地反映出企业运营情况,可以在此基础上进一步发掘出企业运营过程中的内部控制缺陷和风险因素。深入分析企业这些内部控制缺陷和风险因素,管理层可以发现较易出现内部控制风险和缺陷的业务单位和部门,有效地挖掘出风险动因后,对组织结构进行有针对性的优化和调整,以相互牵制原则提升企业内部控制和风险管理绩效,从而实现更好的内部控制效果,最终提升企业价值。
关键词:建筑工程;施工企业;风险;管理控制
中图分类号:C29 文献标识码:A 文章编号:
1. 建筑施工企业风险管理概述
由于建筑工程施工项目受到投资成本高、项目施工工期长、参与建设单位较多等因素的影响,因此风险具有影响因素较多、不可预见、不可控制以及不确定的特点。根据风险性质建筑工程项目实施过程中的风险可以分为纯风险与投机风险。纯风险是指项目风险发生后不会带来收益,并造成企业损失的风险因素。投机风险则是指可能造成项目效益损失,但也可能会带来一定收益的风险因素。风险管理则是建筑施工企业针对风险进行分析评估,并采取适当的措施进行预防控制,从而尽可能的降低建筑施工企业发生的概率,减少风险发生后造成的损失。
2. 建筑施工企业风险管理意义研究
(1)降低风险发生几率以及风险发生造成的损失。建筑施工企业在项目建设实施过程中需要投入较多的资金、材料以及劳动力,人财物整体耗费较大。如果不能对风险进行妥善的管理,则会造成意外损失发生的可能性增加,进而可能导致工期延误以及投入的不断增加。因此,建筑施工企业加强风险管理,对于降低意外发生的可能性,并减轻风险意外损失具有重要的作用。
(2)减轻风险对于施工企业经济效益的影响。建筑施工企业通过风险管理控制,可以有效地对企业资金以及物资材料进行合理的规划安排,避免由于各种风险的发生造成巨大经济损失。
(3)促进建筑施工项目的顺利进行,避免项目参与各方纠纷的发生。项目风险管理不仅仅是预防风险,还具有合理的平衡分配风险的作用,通过对风险的监督、预防以及处理,对于各类风险明确负责方以及风险责任分担比例。风险管理控制措施可以有效的处理风险发生后的各项事宜,并避免风险发生后的各种纠纷发生。
3. 建筑施工企业风险评估
风险评估是指针对建筑工程项目建设过程中,针对可能发生的风险进行规律研究以及量化分析,风险评估的内容主要包括风险发生概率、风险损失估计以及风险等级的评估三方面的内容。通过风险评估可以将项目的风险因素根据其规律特征以及影响程度进行分析,对风险进行量化的评价。
(1)建筑施工企业风险发生概率评估。对于建筑工程项目,可以借用大量统计数据资料,通过主观概率评估的方法对于建筑工程项目实施过程中辨识的风险进行概率分析。主观概率分析方法主要是根据项目信息以及企业在过去项目实施过程中的经验教训,结合合理的判断,对于风险发生的概率作出合理的估计。通过风险概率评估,可以起到加深对于建筑工程项目的了解,并对项目的实施方案进行分析,综合比较分析各种方案的可行性以及风险发生概率的大小,进而优化项目实施的各项方案。
(2)项目风险损失量的评估。由于建筑工程风险种类较多,一些损失发生后对于工程项目影响不大,而有些风险则会造成巨大的经济损失,甚至造成项目实施的中断。因此对于风险的损失量进行评估可以有重点的对有可能导致较大损失的风险采取重点的控制管理措施,进一步降低风险发生后造成的损失。风险损失量的评估主要包括工期、费用投入以及建筑工程质量、建设效果的影响。风险损失量的评估方法为首先对于正常状态下项目建设的季度、成本以及建设效益进行分析,然后将总结分析的项目风险因素对于项目正常建设过程中的投入、施工效率以及质量的影响,两者对比分析确定风险损失量的大小。
(3)风险等级评估。由于建筑工程项目实施过程中的风险因素非常多,涉及到项目实施的各个阶段以及各方面,因此需要对项目风险等级进行评估,避免风险管理过程中对所有风险进行综合管理造成管理费用的提高。进行分级评估,并结合前述的风险发生概率以及损失量情况,综合确定风险程度。
4. 风险防范以及控制管理措施研究
(1)建筑施工企业风险回避管理。对于建筑施工企业,风险回避主要是指采取措施远离躲避风险发生可能性较大的行为环境,从而尽可能的避免风险的发生。对于项目风险较大而且风险发生后损失巨大的情况,应该拒绝投标或者利用项目建设合同进行自我保护,对于应该由业主、材料或者设备供应商承担的风险,应拒绝承担。对于风险损失超过施工企业承受能力的情况,应不参与投标或者合资建设。对于直接影响到工程造价的原材料价格,施工单位应提前与供应商签订合同,避免材料价格波动造成的风险影响。风险回避虽然属于有效的风险防范策略,但容易失去企业获得较大经济利润的机会。
(2)建筑施工企业风险转移。风险转移是指建筑施工企业在无法回避风险的情况下,将企业在项目建设过程中的风险转移给项目建设的其他参与主体承担。风险转移并不是将风险损失转移,而是将风险转移给其他可以控制风险的分包商与保险方。对于建筑工程项目业主单位拖欠工程款的风险,可以采取制订分包合同规定将业主支付总承包方后向项目分包方支付。并通过分包商自备设备或租赁的方式减轻施工企业的资金投入风险。此外,还可以采取工程保险以及工程担保的方式,将施工企业自身面临的大部分风险转移至保险公司或者担保公司承担,从而确保建筑工程项目的顺利进行。
(3)施工企业风险分散控制。建筑施工企业的资金实力强,其承担抵御风险的能力也越强,出现风险后对于建筑施工企业的整体经济效益影响也就越小。建筑施工企业应根据分包合同,对于分包商在合同文件中应承担的风险部分明确规定,由总承包方与分包方根据合同比例分担项目风险。同时建筑施工企业还可采取增加项目建设数量,通过薄利多收的方式,将建筑工程项目风险分散,并降低投机风险造成的损失量。
(4)风险自留。风险自留是指建筑施工企业将项目建设过程中的风险独自承担,没有进行风险分散转移。风险自留管理主要是针对难以预测的风险,或者是施工企业有意识的将风险自行控制。通常情况下,建筑施工企业采取风险自留措施一般需要遵循以下措施原则:风险自留损失费用低于保险公司收取的风险分担费率;建筑施工企业风险分担单位较多,可以准确预测并控制风险发生损失情况;施工企业的风险管理目标可以承受风险损失费用;风险发生造成的费用与损失支付周期较长,在此时间内可以创造更多的机会成本。
5. 结语
建筑工程项目由于建设周期长、投资成本高的特点,因此在建筑项目付诸实施的各个阶段风险因素多。充分认识建筑工程项目风险管理的重要性,客观科学的进行风险评估并采取一系列措施进行系统、动态的风险管理控制,对于降低项目建设过程中风险发生概率,促进项目建设顺利进行,提高建筑施工企业经济效益具有重要的作用。
参考文献
[1]刘延宏.建设项目推行工程保险的障碍与对策[J].《铁路工程造价管理》2006(2):21
[2]《在我国建立工程风险管理制度研究》课题组.建设领域应大力推行工程担保与工程保险制度一一对我国建立工程风险管理制度的研究[J].《建筑》2003(9)
[3]王宏斌.建筑施工企业主要风险因素分析及控制对策[J].《煤》2009(12)
关键词:风险导向;审计;烟草企业
中图分类号:F23文献标识码:Adoi:10.19311/ki.16723198.2016.19.052
1风险导向审计的概念和现状调查
1.1风险导向审计模式的中心思想
风险导向审计的基本理念是:审计人员在整个审计过程中,自始至终都关注企业的风险。根据风险确定审计范围和重点,以减少风险为导向,对企业风险管理、内部控制和公司治理程序进行评价内容,协助企业管理风险,实现企业价值的保证和咨询活动。这要求对企业及其所处的环境非常了解,除内部环境外,还要综合考虑各项外部环境,如行业状况、专卖制度、整体禁烟制度等各种外部环境,在此基础上评估重大错报风险,并将对风险的这种评价与审计程序紧密的联系起来,以尽可能的降低审计风险。同时还可以根据风险为导向,将审计资源恰当地分配到高风险领域,降低审计成本,提高审计质量与效率。
1.2现代风险导向审计是传统审计的发展和延续
风险导向审计分为两个阶段,传统风险导向审计和现代风险导向审计,传统审计风险模型认为审计风险=固有风险×控制风险×检查风险,在该模型中,假定固有风险、控制风险和检查风险是相互独立的。但企业内部和外部环境都影响内在风险和控制风险,而且它们之间也相互影响。内在的风险概念的内涵和外延不一致,与逻辑也不一致。固有风险是假设没有内部控制,帐户或交易类别单独或连同其他账户,交易类型产生重大错报或漏报的可能性。并且我们必须从内部控制(控制环境)来评估固有的风险(及会计报表层次的)。固有风险的内涵和外延不一致性使得传统风险导向审计模式的科学性受到了极大的破坏。
1.3风险导向审计在我国企业中应用的现状
中国内部审计协会了《内部审计具体准则第 1 6 号――风险管理审计》,对内部审计在风险管理中的应用进行探讨;要求我国企业的内部审计要关注风险,以风险为导向开展审计。但是由于起步较晚,到目前为止大多数企业在风险管理的机制和程序方面还未建立起完整的组织体系,在烟草企业这一点更加明显,存在较为突出的治理结构问题,缺乏独立的风险管理部门。虽然各部门和岗位在不断加强风险诊断、评估和应急预案等内容,但实际对风险管理的层次和水平都较低,在考核和激励机制中也未明确提出全面风险管理的内容。目前绝大部分单位制定的风险防控等内容都对实际工作没有太多指导意义,还停留在廉政、职务犯罪、安全管理等低端层面上,未能将风险管理上升到企业发展的战略高度。
2烟草行业实行风险导向审计的模式
2.1开展以现代风险导向为基础的内部审计
从账项基础审计到制度基础审计到传统风险导向审计再到现代风险导向审计,每一个审计阶段的变革都极大的提高了审计效率,降低审计成本。
(1)计划和风险识别阶段主要是完成一些审前工作,对于一个公司的内部审计来说,全年计划的制定均应隶属该阶段,计划制定需按照风险大小进行安排,其核心和难点是如何量化的评估企业的潜在风险。一般的做法是从风险发生的概率、风险发生的影响、风险覆盖面、企业控制能力等多个维度建立风险评价标准,最终将各方面数据相乘得出各风险点的最终影响,按照风险的大小排序制定全年工作计划。
在每一次审计前也同样需要预先了解企业整体层面的内部控制和识别舞弊导致的重大错报风险并确定应对措施,从而确定审计范围和项目小组成员名单,初步判断审计的重点内容。该阶段要求审计人员对企业内外部环境非常熟悉,并在此基础上根据慎重的职业判断,确定后阶段所需关注的重点。
(2)策略和风险评估阶段需要在前期识别重大错报风险的基础上,对相关业务流程抽取业务样本执行穿行测试,尤其注重信息系统整体应用控制方面,根据穿行测试的结果判断出需要关注的内控制度,作出综合风险评估。根据评估的结果设计出专项的控制测试、日记账分录测试、其他强制性舞弊应对程序以及实质性审计程序等内容,并列出一般审计程序的方案。在这过程中,相关的策略讨论、会议记录等需详细记录,为日后重新调整综合风险评估和复核判断检查风险提供依据。
穿行测试是判断确定风险导向的重要依据,比如在罚没烟管理方面,我们可以抽取其中两笔罚没项目,模拟从查获卷烟到最终卷烟处理的全过程,判断中间流转过程是否可能存在风险,如可能存在卷烟被调包、假烟未实际销毁等内控方面漏洞。这些漏洞就是我们应当重点关注的内容,据此作出综合风险评估,并针对它们设计出相应的专项控制测试等审计方案。
(3)执行阶段即为现场审计阶段,该阶段要执行前期设计的相关测试以及一般审计程序,在测试过程中,根据测试的结果不断重新评价企业的综合风险评估,及时更新相关测试内容,调整审计方案。审计方案的调整应当伴随整个审计过程,与风险的导向密切相关。每个项目的审计方案都应是完全独立的、与其他项目完全不同的,最终审计方案的定稿应在项目结束后。
(4)结论和报告阶段主要是对前期工作的总结,根据各项测试的结果得出企业是否存在舞弊的结论,出具审计报告,对内控不足的方面提出相关意见和建议并加强事后整改监督,完成项目的归档工作。
2.2风险导向审计与内控制度相结合的模式
内部控制与公司治理有着密切的联系,在统一的风险管理中,风险导向内部审计可以更好地结合这两个方面。现代内部控制的功能是在公司各级管理活动中建立了风险管理机制,为目标企业的实现提供了强有力的保证,而风险导向内部审计的功能是以风险为出发点,通过对内部控制相关的活动的测试进行相关反馈,来确定内部控制系统的有效性,从而促进内部控制的持续改进。两者的结合将能够建立一个以风险评估为导向,以内部控制为主线,以公司治理为目标的内部控制体系,帮助组织实现其目标。
风险导向审计与内控制度均基于风险导向,要使两者结合首先在企业要树立全面风险管理的理念,把风险管理整合到企业各个业务流程中去,建立起以风险导向为基准的内控制度,通过风险的预警、分析、评估等措施,对企业的风险进行全面防范和控制。在内部审计过程中,内审人员通过各种测试对内控的有效性进行评判,对相关内控不足的方面提出审计意见和建议,敦促企业对相关内控制度进行不断修订完善,从而促进企业风险管理水平的改善和提高。
比如涉及到县级局(分公司)的风险点包括:教育培训管理控制、人事管理控制、零售户星级调整管理、专卖办证管理控制、专卖执法办案控制、卷烟仓储管理控制、档案管理控制、安全综合管理控制、事故管理控制、消防管理控制、防自然灾害管理控制、车辆管理控制、环境卫生管理控制、固定资产管理控制、设备维护管理控制、配送管理控制、信息系统日常维护管理控制、财务管理及会计核算控制等,企业管理的目标就是对所有风险点制定相应的内部控制制度,有效的防止其中出现舞弊或过失。而内部审计部门可以按照内控制度进行相应的测试,判断是否会出现其他的风险,从而对内控制度进行评价,帮助企业进一步完善相应的内控制度,提升整体的管理水平。
3风险导向审计在烟草企业中运用所面临的挑战
3.1风险机制不健全且内部审计实施风险管理的力度不够
经过多年的改革,大部分烟草企业已设立了兼职的风险管理机构,甚至个别企业还有转职的风险管理机构,但由于整体风险意识较差,企业的风险管理活动往往是按照质量管理体系的基本要求进行,缺少日常的风险管理活动,也未主动实施风险的预测、评估与监控,往往在风险事件发生之后,才针对风险设定出今后的应对措施,对实际工作指导意义不强,很难满足现代企业风险管理的需求。
3.2大型国有企业转型缓慢,改革难度较高
中国烟草作为有中国特色的大型国有企业,一直在专卖体制的庇护下运营,受国家宏观调控政策的影响非常大,但对风险的管理意识较差;另一方面受体制的影响,管理者与所有者容易混为一谈,这些在某种程度上都提高了企业的重大错报风险。在烟草企业推行风险导向内部审计将会很好的保障企业正常运营,提高企业发展与管理的前瞻性,有利于企业的长期发展。但正是由于国有企业规模巨大改革缓慢,国家特定政策调控频繁,管理者易凌驾于内控制度之上等特点,使得在烟草企业推行风险导向审计的难度较其他企业更加困难,需要上层领导的重视与支持,这将是一个漫长的改革过程。
3.3内审人员的专业素质有待进一步提高
风险导向审计对审计人员的素质要求较高,不仅要求审计人员拥有财务、营销、专卖、管理等多方面专业知识,关键还要有较高的风险分析能力,有专业的判断能力和丰富的实践经验。烟草企业自2009年实行审计委派制以来,全国的内审人员专业素质方面有了极大的提高,但专业结构并不合理,基本集中在财务会计和工程管理等专业方面,在企业经营管理方面有所欠缺,这样的专业水平无法适应风险导向审计开展的要求;理念转变不及时,缺乏风险管理意识,很少考虑审计风险控制因素,更谈不上运用风险导向为基础的审计模式;缺乏对审计方法和经验的总结和提炼,审计的模式主要是查找问题为主,查出足够的问题即可认为是完成了审计目标,统计抽样技术运用欠缺,过多的凭借内审人员的主观判断和经验而不是应用系统的抽样方法。
3.4审计过程中所需的信息技术不足
现代风险导向审计的一个重要特征是审计重心的推进,审计人员不仅需要对内部控制系统的会计信息进行评价,更要对企业宏观环境、行业环境、战略发展、组织形式等各方面的影响因素进行评估,然后根据不同的风险领域,设计个性化的审计程序。因此,企业必须拥有强大的信息系统,以便内审人员在风险评估时及时掌握所需要的各种信息。烟草企业自2010年开始试点运行在线审计系统,将各公司的基本信息、会计资料纳入其中,便于内审人员查询被审单位的相关信息,同时在软件中整合了部分抽样模式和自动分析技术,这些都为风险导向审计的实施提供了有力的保证。经过6年的发展,软件也在逐步被大家所接受,应用率不断提高。但该软件目前仍存在诸多问题,在日常烟草企业的各项审计中,该软件更多的只是作为撰写底稿提交主审复核的工具,部分功能的缺少或高端功能的培训不足,使得软件无法真正发挥其应有的作用,还需要较长的调整磨合过程。
参考文献
[1]蒋文娇.风险导向审计在企业管理中的应用[J].财会审计,2011,(11).
内部控制的思想和实践历史悠久,其伴随着组织的形成而产生。内部控制理论的发展大体上经历了内部牵制、内部控制制度、内部控制结构、内部控制框架等四个阶段。在每一阶段,内部控制都被赋予不同的内涵。
(一)内部牵制阶段。一般认为,20世纪40年代以前是内部牵制阶段。内部控制思想的萌芽早在五千多年前就出现了。苏美尔文化的史料记载中会计账簿数字边的标记、古埃及古物入仓时的职务分离、我国周朝留下的记录——“一毫财赋之出入,数人之耳目通焉”等,均反映了内部牵制的基本原理,即以账目间的相互核对为主要内容并实施岗位分离。内部牵制理论建立在两个基本假设之上:两个或两个以上的人或部门无意识地犯同样错误的可能性很小;两个或两个以上的人或部门有意识地串通舞弊的可能性大大低于单独一个人或部门舞弊的可能性。美国著名审计学家蒙哥马利1912年所著的《审计——理论与实践》一书中已明确表述过这种思想,这种思想在早期被认为是确保所有账目正确无误的一种理想控制方法。
(二)内部控制制度阶段。20世纪40年代到20世纪70年代,在内部牵制思想的基础上逐渐产生了内部控制概念。1949年美国注册会计师协会(AICPA)所属的审计程序委员会发表了一份题为《内部控制:系统协调的要素及其对管理部门和独立公共会计师的重要性》的特别报告,首次正式提出了内部控制的定义:“内部控制包括组织的计划和企业为了保护资产,检查会计数据的准确性和可靠性,提高经营效率,以及促使遵循既定的管理方针等所采用的所有方法和措施”。这一概念突破了与财务会计部门直接有关的控制局限,使内部控制扩大到企业内部各个领域。内部控制的内容也发生了变化,从内部牵制时期的账户核对和职务分离逐步演变为由组织机构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。
1958年,出于审计人员测试与财务报表有关的内部控制的需要,审计程序委员会又将内部控制分为内部会计控制和内部管理控制。前者是指与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序;后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。将内部控制一分为二使得审计人员在研究和评价企业内部控制制度的基础上来确定实质性测试的范围和方式成为可能。由此内部控制进入“制度二分法”阶段。
(三)内部控制结构阶段。20世纪70年代以后,内部控制的理论研究又有了新的发展,研究重点逐步从一般涵义向具体内容深化。在实践中审计人员发现很难确切区分内部会计控制和内部管理控制,而且后者对前者其实有很大影响,无法在审计时完全忽略。于是,1988年5月AICPA了第55号审计准则公告《财务报表审计中内部控制结构的考虑》,以“内部控制结构”的概念取代了“内部控制制度”。该公告认为:“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”,并指出内部控制结构包括三个组成要素:控制环境,会计制度和控制程序。从而,内部控制从“制度二分法”步入“结构分析法”阶段,这是内部控制发展史上的一次重要改变。
(四)内部控制整体框架阶段。1992年9月,由美国注册会计师协会、美国会计学会(AAA)、国际内部审计师协会(IIA)、财务经理协会(FEI)以及管理会计师协会(IMA)共同组成的COSO委员会了指导内部控制实践的纲领性文件COSO研究报告:《内部控制——整体框架》(IC-IF),并于1994年作了修改。该报告重新定义了内部控制:“内部控制是受董事会、管理当局和其他职员影响,为企业经营活动的效率和效果、财务报告的可靠性,相关法律法规的遵循性等目标的实现提供合理保证的过程。”内部控制整体框架由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素组成。同以往的内部控制理论及研究成果相比,COSO报告提出了许多有价值的新观点,阐述了内部控制的各个组成部分,客观地指出了内部控制的局限性,而且明确了不同人员在内部控制中的角色和责任。
二、企业风险管理框架
自COSO报告以来,内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对该框架提出改进建议,认为其对风险强调不够,使得内部控制无法与企业风险管理相结合(朱荣恩、贺欣,2003)。因此2004年9月,COSO委员会在1992年的COSO报告的基础上,结合《萨班斯——奥克斯利法案》在报告方面的要求,颁布了《企业风险管理整体框架》的报告(ERM)。该报告把企业风险管理定义为:“企业风险管理是一个受企业的董事会、管理当局和其他职员影响,应用于战略制定并贯穿于整个企业,用于识别可能影响企业的潜在事项并在企业的风险偏好内管理风险,为企业目标的实现提供合理保证的过程”。企业风险管理由内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个相互关联的要素组成。企业风险管理的信息流程如下图所示:
图在文尾!
企业风险管理的信息流程
该流程并不代表风险管理的组织流程,但可以从信息流的角度透视企业的风险管理流程。企业风险管理的信息流程描述如下:由董事会的风险管理委员会确定内部环境中的风险管理文化和风险偏好;董事会与经理层设定包括战略目标及其他相关目标在内的目标体系,在设定目标时,要考虑企业的风险容忍度、风险偏好以及事项识别环节所确定的机会;确定了目标,企业就要考虑其所面临的内部因素和外部因素,并识别相关可能带来潜在不利影响的事项(风险);在风险评估部分评价风险损失额和风险发生概率,同时考虑剩余风险;采用组合风险观和其他具体的应对措施来应对风险;在控制活动环节继续落实有助于风险反应的政策和措施,并报告结果。然后,从控制活动环节返回到事项识别环节,重复事项识别、风险评估、风险反应、控制活动这个流程;监控则对上述所有环节的效率和效果进行监督和控制。
企业风险管理整体框架与内部控制整体框架相比,有以下几种变化:第一,目标的拓展。由IC-IF的三个目标——经营、财务报告和遵循性,扩大到ERM的四个目标——战略、经营、报告和遵循性,两者中只有经营和遵循性这两个目标的定义相同。IC-IF中的财务报告目标只与公开披露的财务报告的可靠性相关,而ERM中的报告目标的范围有很大的扩展,包括企业所有对内和对外的报告,报告目标的范围从仅仅关注财务信息扩展到同时关注非财务信息。此外,ERM还增加了战略目标,不仅强调在整个企业范围内识别和管理风险的重要性,还强调应针对企业目标的实现在企业战略制定阶段就考虑一系列备选方案的风险因素,从而使ERM的应用深入到了战略制定层次。第二,要素的增加。ERM增加了目标设定,事项识别和风险反应这三个与风险密切相关的要素,遵循了“目标——风险——控制”的逻辑顺序,充分体现了对风险的关注。第三,对原有要素内容的充实和丰富。在内部环境要素中,ERM更直接关注企业的风险文化与风险偏好。在风险评估要素中,倾向于更准确地进行风险评估,采用定性或定量的方法对事项发生的后果和可能性进行估计,并将风险与相关的目标联系起来。在信息与沟通要素中,考虑了来自历史、现在和将来潜在的事项和沟通方式,并要求与企业信息系统整合。此外,ERM还明确了控制活动的目的,指出控制是有助于确保管理层的风险反应措施得以执行的政策和程序。第四,提出了风险组合观的概念,全面贯彻了风险理念。ERM要求管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险保持在风险偏好的范围内。因为对企业内部各个部门而言,其风险可能落在该部门的风险容忍度范围内,但从企业总体来看,总风险则有可能超过企业总体的风险偏好范围。
三、内部控制与风险管理日益融合
实行内部控制和风险管理都是为了维护投资者利益,实现企业目标。内部控制的起源较风险管理要早。最初的内部控制是随着生产的大规模化和资本社会化产生的,是互相牵制的思想,通常采取账目核对的方法,以确保财产安全和账目正确。风险管理则是在新技术和市场条件下出现的,风险管理是内部控制概念的自然延伸。关于这点,可以从企业风险管理框架的变化中得到证明。框架最大的变化,就是将企业内部控制更名为企业风险管理,这一变化是有特殊意义的。事实上,几乎所有的公司都有一大套管理制度,这些制度大到包括对外投资,小到包括差旅费报销等,应有尽有。因此,董事会与管理层往往认为,这些制度的贯彻与执行就是内部控制的所有内容。其实,企业的管理资源是有限的,控制也是需要成本的,如果将企业主要精力放在所有细小的、或微不足道的控制上,往往会舍本求末。如有些企业在差旅费报销的规定上长达数十页,极其繁琐,表面上控制得很好,但浪费了许多管理资源,还会忽视企业重大风险。所以,框架要求董事会与管理层将精力主要放在可能产生重大风险的环节上而不是放在所有细小环节上,将风险管理作为内部控制的最主要内容,这是一个革命性的变化。
四、结语
内部控制理论发展反映了内部控制实践的发展。当今社会经济环境日趋复杂,企业不可避免地会遇到各种风险,因此企业应建立风险管理机制,以防范和规避风险。而分析和辨认风险是有效内部控制的关键组成要素。从COSO的两份重要报告中可以看出,不论是1992年的《内部控制——整体框架》,还是2004年的《企业风险管理——整体框架》,均把风险管理作为主要的内部控制要素,强调识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现并且在企业战略制定阶段就应该予以考虑。英国的特恩布尔报告扩大了内部控制的范围,将内部控制与风险管理合为一体,认为两者是近乎等同的概念。可见,内部控制和风险管理日益融合,风险导向已是内部控制的发展方向。
————————
参考文献:
[1]《内部控制问题研究》课题组:《基于公司治理结构的内部控制有关问题研究》,《会计论坛》2005年第2期。
[2]金彧昉、李若山、徐明磊:《COSO报告下的内部控制新发展——从中航油事件看企业风险管理》,《会计研究》2005年第2期。
[3]陈关亭:《我国企业内部控制缺陷的评析与建议》,《财务与会计》(理论版)2006年第4期。
关键词:内部控制;风险管理;萨班斯法案;COSO框架
一、内部控制的内涵、基本原则
1.内部控制的内涵、侧重点
(1)内部控制的内涵。内部控制是指企业的内部管理控制系统,包括为保证企业正常经营所采取的一系列必要的措施。内部控制贯穿于企业经营活动的各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。
(2)内部控制的侧重点。要加强企业内部控制,提高内部控制的水平,需从以下侧重点抓起。
①内部控制具有一定的目的性,为达到某种或某些目标而实施。
②内部控制是为达到某个或某些目标而进行的过程,且是一种动态的过程,是使企业的经营依循既定的目标前进的过程。它本身是一种手段而非一种目的。
③内部控制与企业经营活动相互交织,为企业基本的经营活动而存在。
④内部控制深受企业内部和外部环境的影响,环境影响企业控制目标的制定与实施。
⑤企业中的每一名员工既是控制的主体又是控制的客体,既对其所负责的作业实施控制,又受到他人的控制和监督。
⑥所有的内部控制都是针对“人”而设立和实施的,企业内部会形成一种控制精神和控制观念,直接影响到企业的控制效率和效果。
2.内部控制的基本原则
了解及坚持内部控制的基本原则,有利于企业组织内部加强内部控制、降低企业非系统风险,从而促进企业安全运行。内部控制的基本原则包括:
(1)内部控制应涵盖企业内部的各项经济业务、各个部门和各个岗位。
(2)内部控制应当符合国家有关法律法规和本企业的实际情况,任何部门和个人都不得拥有超越内部控制的权力。
(3)内部控制应当保证企业内部机构、岗位及其职责权限的合理设置和分工,坚持不相容职务相互分离,确保不同机构和岗位之间权责分明、相互制约、相互监督。
(4)内部控制应当正确处理成本与效益的关系,保证以合理的控制成本达到最佳的控制效果。
二、依托COSO理论构建内部控制整体框架
1.COSO理论框架内容
2003年7月,美国COSO委员根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft), 2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM),标志COSO委员会最新的内部控制研究成果面世。
COSO企业风险管理的定义 :“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。
2.构建内部控制整体框架
(1)企业风险管理的目标体系。新COSO报告将企业风险管理的目标归为战略目标、经营目标、报告目标、合规目标四类。战略目标,与企业的使命相一致,企业所有的经营管理活动必须长期有效的支持该使命;经营目标,与企业经营的效果与效率相关,包括业绩指标与盈利指标,旨在使企业能够有效及高效地使用资源;报告目标,该目标关注企业报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息;合规目标,是最基础的目标,指企业经营是否遵循相关的法律法规。
(2)企业风险管理的要素构成。在内部控制整合框架五个要素的基础上, COSO企业风险管理的构成要素增加到八个:①内部环境;②目标设定:③事项识别;④风险评估;⑤风险应对;⑥控制活动;⑦信息与沟通;⑧监控。八个要素相互关联,贯穿于企业风险管理的过程中。
(3)企业风险管理目标与要素的联系。目标是指一个主体力图实现什么,企业风险管理的构成要素则意味着需要什么来实现它们,二者之间有着直接的关系。此外,新COSO报告还强调在整个企业范围内实行风险管理。这种关系可以通过一个三维矩阵以立方体的形式表示出来。
3.COSO框架理论对中国的启示
(1)成立风险管理标准委员会,形成多元民主的制定机制。
(2)建立以风险为导向的“中国企业内部控制框架”,向构建“中国企业风险管理框架”自然过渡。
(3)各界根据风险管理框架,制定或修订各自的风险管理规范。如果“中国企业风险管理框架”能够及时推出,各部门、系统据其修订或制定相应的风险管理文件是解决问题的最理想方案。
三、萨班斯法案对我国内部控制的借鉴
1.我国内部控制现状
(1)企业内部控制环境急需建设。我国企业内部控制普遍存在一下问题:内部控制意识淡薄;人员素质较低;组织机构设置不合理;企业制度不健全;没有形成法制制约的大环境,还没有真正形成有法可依、执法必严、违法必究的大环境。
(2)控制不力。在我国企业中,财务与会计合署办公、会计人员素质较低、责权不对等、风险控制意识较弱、监督不强、信息交流不畅通等问题普遍存在,今后要特别注意开发与引进先进的企业财务与管理软件,逐步建立高质量的企业信息沟通系统。国内也有不少由于内部控制缺失导致经营风险的案例,比如亚细亚、中航油、中储棉、国储铜等事件,折射出了我国企业内部控制严重缺失,风险管理水平低下,监管缺位等管理上的弊端,给企业和国家造成了重大损失。
2.管理者责任
法案突出了内部管理者的法律责任,一旦出了问题,管理者不但要在经济上受到处罚,而且要追究刑事责任。建议我国也应界定管理当局的责任。管理层必须承担公司内部控制有效性的责任,并运用恰当的控制标准(如COSO标准)来评价公司内部控制的有效性,对形成的评估结果有足够的证据支持,同时签署一份关于公司内部控制有效性的书面申明。
3.建立管理者定期评价内部控制机制
(1)健全法律法规,对内部控制有效性进行强制性规定。近年来,财政部、证监会等国家监管部门陆续在2001年和2008年了我国《内部会计控制规范》、《企业内部控制基本规范》等相关法规,对于加强我国企业内部控制和风险管理起到了规范和指导作用。今后,还应在遵循以上法规和加强企业内部控制过程中,不断总结经验、分析教训产生的原因,学习其他国家相关法律法规的先进之处,逐步改进和健全我国加强内部控制和防范企业经营风险的法规体系,促进企业健康发展。
(2)制定科学规范的评价标准。由于缺乏一套完整的内部控制体系,造成内部控制有效性评价流于形式。因此,投入一定的人力、物力、财力,尽早建立一套完整的、公认的内部控制标准,使内部控制评价有章可循是必要的。
(3)统一内部控制规范的内容。目前我国理论与实务界没有对内部控制的内容形成一致的意见。我国内部控制的内容范围与COSO报告相比,还有相当的距离。有关内部控制规范的内容主要集中在会计领域,内部控制贯穿于整个生产经营全过程,企业的环境、文化理念、经营哲学等控制环境与风险因素都应纳入企业内部控制的范围来予以考虑。
四、企业风险管理理论基础及与内部控制的关系
1.企业风险管理理论基础
(1)战略管理理论。战略管理包含四个关键流程:战略分析;战略选择;现代企业风险管理框架研究战略实施;战略评价和调整。企业在实行战略管理的过程中,风险始终伴随其中,其成功实施需要风险管理的密切配合。两者是有机结合,相互交融的。
(2)系统论。系统论的观点和方法为我们建立风险管理系统结构提供了理论依据。风险管理由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个要素构成并相互影响的动态的过程,在企业的生产经营管理中发挥着重要作用,是一个系统,与其他系统一样具有整体性、联系性、层次性、目的性、环境适应性、动态性的特征。
2.企业风险管理与内部控制的关系
内部控制是风险管理的基础和本质要求,风险管理是内部控制的自然延伸与升华,二者现阶段是相互交叉融合的,只是在不同行业、不同时期、企业的不同层次,企业对内部控制和风险管理的强调各有侧重。
(1)行业本身特性。从事金融业的企业一般都非常强调风险管理的重要性,对风险管理的需求也就更迫切,因而以风险管理主导内部控制可能更方便。对于其它一般性制造企业等来说,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
(2)企业所处的生命周期。在初创期,企业高管层一般更加重视内部控制的强化。在成长期,企业面临的经营风险与市场风险也越来越大,以风险管理主导内部控制的管理模式可能更利于企业的发展。企业进入了成熟期,此时企业一般会努力健全组织体系与制度体系,在内部控制上会加大力度。在衰退期,企业的规模大但包袱沉重,内部控制成了企业高管层无法逃避的现实问题。
(3)企业内部不同层次。从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性各有不同。在战略风险方面,风险管理发挥主导作用,内部控制起到配合作用。到财务报告层次,内部控制发挥主导作用,风险管理起到配合作用,但随着市场条件的日益成熟,技术的不断进步,法律及监管实践的发展,内部控制必然走向风险管理。
五、美国纽约银行加强内部控制和风险管理结合的成功案例
美国纽约银行的风险管理与监控活动是由董事会及其下设的审计与检查委员会及风险委员会的授权开始。这两个委员会定期审查银行风险暴露情况、风险政策及风险管理活动,而风险政策主管除了负责日常监督及政策授权外,并与审计主管、合规主管共同维系风险管理结构的有效运作,已完成以下的阶段性目标:
1.确保银行风险经过适当辨识、监督、报告及评价。
2.阐明银行承受的风险种类与风险单位数,并传达至具体负责单位。
3.维持风险管理组织的独立性。
4.促进风险管理文化的健全和对风险调整绩效的重视。
美国纽约银行内控系统的设计用来巩固银行财务、业务环境、市场操作、法规遵循等的健全,并有内部稽核监督及测试其余财务报告系统整体的有效性;而银行风险的处理程序可确保政策能一致地被执行。银行独立的操作风险管理架构,建立在强健的风险管理文化之上,并分为以下三个层次:
(1)风险委员会:其任务包括对银行操作风险策略的监督及核准,该委员会并定期开会讨论关键风险一体机操作风险提案,同时也对风险管理系统的有效性提出审核。
(2)操作风险管理部门:负责发展风险政策及评估、监督、衡量风险的工具。此外,促进风险管理效率及创造改善风险管理控制功能的动机也是操作风险管理部门的重要任务。
(3)各级业务部门管理人员:负责维持业务内有效内控系统的正常运作,并维持银行风险布局与银行所订立的政策一致。
文献综述:
[1]财政部、证监会、审计署、银监会、保监会.《企业内部控制基本规范》,2008-6-28
[2]财政部.《内部会计控制规范――基本规范(试行)》,2001-6-22.
[3]财政部.《内部会计控制规范――货币资金(试行)》,2001-6-22.
[4]COSO.方红星 王宏译:企业风险管理整合框架「M.大连:东北财经大学出版社,2005.
随着市场经济体制的不断完善,国有企业迎来了改革发展的新契机,但多元化的市场环境,也让企业面临诸多的风险。由于风险因素源于生产、经营及管理等方面,强调实现全面风险管理的重要性与必要性。企业在可持续发展战略目标的践行中,风险的存在、机遇的出现,都需要企业建立全面风险管理机制,确保企业又好又快发展。①国有企业全面风险管理体系的建立,是企业可持续发展的重要基础。充分依托全面风险管理的作用,实现对企业的监督、控制,让企业以更好的姿态适应市场变化,并基于市场环境、企业发展需求,改进风险管理能力,契合企业发展的需求;②全面风险管理体系具有复杂性,其所形成的联动性贯穿于企业的方方面面。如图1所示,战略目标的导向之下,强调全面风险管理的有效性、针对性,企业上下、全方位、多维度、多视角确保全面风险管理体系助推企业可持续发展,深化企业内控制度改革,契合多元化的市场环境。
二、国有企业全面风险管理体系的构建
国有企业深化改革发展,优化与调整内部控制制度,是新时期可持续战略发展的必然需求。一方面,全面风险管理体系是企业深化改革的必然需求,以此作为“谋发展、求共存”的战略基础;另一方面,全面风险管理体系的复杂性,强调全面风险管理目标体系、管理组织体系、管理流程体系、管理制度体系等的狠抓落实,支撑全面风险管理体系的构建。
1.国有企业全面风险管理目标体系
目标是企业发展的方向导向,风险管理目标体系的构建直接关系到企业的稳定发展。全面风险管理体系的构建,强调管理目标导向下,各系统功能的构建与完善。当前,国有企业全面风险管理目标体系主要如图2所示。企业全面风险管理目标体系,包括了战略目标、社会责任目标和经营目标等,强调目标体系始终以企业可持续发展为核心,确保企业全面而有效地开展工作,让风险管理控制与目标体系相匹配。①企业战略目标。战略目标是企业可持续发展的重要导向是目标体系中的高层次目标。企业全面风险管理的务实开展、有效落实,都紧紧围绕在战略目标这一总纲领之下实现,确保企业风险管理控制与战略目标的匹配,实现战略目标的有效践行。②企业经营目标。在经营目标中,还包括财务与非财务目标,强调企业经营发展中,实现企业资源利用的最优化。全面风险管理的开展,其重要的出发点就是更好的促进企业的经营发展,维护企业处于健康、平稳的发展状态。③企业管理报告目标。对于国有企业而言,建立清晰的风险报告线路是必要的,也是全面风险管理务实开展的必要保障。一方面,信息的可靠性强调企业内部信息沟通的及时性、真实性,便于企业高层全面了解风险情况,并为企业全面风险管理营造良好的内部环境;另一方面,外部信息的沟通,是信息披露以及财务报告的必然要求。④企业法律目标。多元化的市场环境,强调法律目标导向下,实现对经营发展中监管、合规等风险的有效控制,进而确保企业合法权益的有效保护,降低或避免因经营发展所面临的法律风险,而影响战略目标的推进。⑤企业社会责任目标。国企是国民经济的重要支柱,是社会发展的重要力量。国有企业要切实履行自己的社会责任,再创造价值的同时,及时的回馈于社会、建设社会。
2.国有企业全面风险管理组织体系
在风险管理组织体系中,组织者与实施者是两个重要元素。首先,组织者基于企业的实际情况、发展战略导向,设计组织结构并安排相应的职能,夯实企业风险管理的基础;其次,全面风险管理的落实,“有效执行”是重要的环节。是企业内部审计部门、风险管理部门及其他职能部门的共同参与,确保全面风险管理狠抓落实,落到实处。
3.国有企业风险管理流程体系
全面风险管理流程体系是全面风险管理体系的基本程序,但涉及诸多方面。特别是风险识别、风险管控及监督等,是全面风险管理开展的基础。①风险识别。风险识别是风险管控的前提,强调企业对风险进行细化和分类,便于对风险的实时监控,第一时间发现并寻找风险的关键影响因素,明确各责任目标的职责与工作,将风险所带来的损失降低至最小。例如,企业可以基于生产经营的实际情况,建立“风险事件库”。具体如图3所示。是某国有集团企业的风险库。从中可以看出,企业风险库的建立,形成了系统的风险识别体系。特别是以集团总部为总领下,一、二级风险库的建立。②风险管理控制。企业在经营发展的过程中,基于风险级别和程度,及时采取相应的管控措施,将风险影响降低至最小化。③风险监督。复杂的市场环境,让企业所面临的风险因素日益多样化,实现风险的有效监督与回报,对于风险管控至关重要。
4.国有企业业务流程体系
全面风险管理的要旨在于实现对企业业务流程的全部风险点进行全方位控制管理,进而确保企业有序的经营与发展状态。在业务流程及其管理体系的梳理,实现业务流程及管理风险的有效控制,确保企业在战略发展目标的践行中,实现可持续发展。
5.国有企业风险管理制度体系
制度体系是全面风险管理构建的重要内容,是规范并引导职工行为的必然需求。对于国有企业而言,风险管理制度体系的建立,应遵循“横向到边、纵向到底”的原则,确保制度体系的完善性。首先,“横向倒边”———“横向”强调企业的制度体系,特别是财务管理、内部控制、技术管理和公司治理等制度的有效建立;而“纵向到底”———“纵向”强调制度的完善性,制度的细化。特别是管理办法、基本制度等,注重制度体系的延展性,确保制度布控到每一个重要点之上。这样一来,不仅让制度体系更加的层次分明,并且明确了各方职责,便于风险控制的有效开展,满足企业的发展需求。
6.全面风险管理考评体系
全面风险考评体系的构建,强调体系的完善性、针对性和可操作性。因此,首先,要制定相应的考评规则,让考评有据可依,确保考评的公平性。采取多种考评方法,从多个维度实现综合考评。从实际而言,考核方法应采取定性、定量法,从内部审计效力、风险管控、道德环境等方面,进行综合评价;其次,考评方式应多样化,通过评分式或问卷式实强化风险管理考评;再次,全面风险管理考评应与企业经营管理目标相结合,确保考评作为贯穿企业经营目标责任的重要因素,推进企业的有序发展。
7.国有企业全面风险管理预警预控体系
预警预控体系是全面风险管理体系的核心,对于降低甚至是避免危机,起到至关重要的作用。预警预控体系的建立,最核心的在于建立预警预控指标以及规则,通过完善的预警预控体系确保企业稳定发展。一方面,预警预控体系要对各类重要风险征兆进行有效的识别,并对廉风险指标进行实时跟踪,了解其相应的变化情况;另一方面,立足于企业的实际情况,制定风险管控预案,进而在第一时间采取有效措施应对风险。
8.国有企业全面风险管理信息系统
[关键词]风险管理;对外投资;内部控制
[中图分类号]F832 [文献标识码]A [文章编号]1005-6432(2014)30-0170-02
随着我国经济的迅速发展,目前我国现有的企业数量十分巨大,因此对这些企业而言市场竞争十分激烈,要想在市场中生存并且得到发展显得十分困难。而且全球金融危机的影响还没有完全消除,因此对于企业而言,规避和应对各种风险就显得十分重要。尤其是在企业的对外投资方面,要做好应对各种不确定因素的准备,将企业即将受到的风险控制在可控范围之内,减小企业受到损失的概率,让企业得到更多的收益,从而让投资回报率增加,使企业得以在激烈的市场竞争中生存并且发展。但是目前我国还是采取传统方法对对外投资进行内部控制,因此内部控制的效率和效益都无法满足企业需要。这就需要企业在风险管理的导向下进行对对外投资的内部控制。
1 目前企业对外投资中的内部控制出现的问题
1. 1 企业风险管理意识不佳,内部控制无法得到有效利用
虽然内部控制这种机制在发达国家的企业中已经普遍应用,但是在我国企业中仍然没有得到很好地利用。很多企业的内部控制只是做表面文章,没有建立其系统化的内部控制系统和内部控制流程,单凭管理人员在工作中抽出时间来完成,没有投资涉及的各岗位风险控制机制,不能起到全员参与、全面控制的作用。因此对投资的风险控制,仅停留在概念上,没能真正落到实处,使企业的对外投资活动的效益大打折扣;在建立了内部控制体系的企业中,也没有将风险管理的意识在企业中进行传达,成了悬挂在半空中的红头文件,没有落地生根,无法发芽成长,因此没有起到内部控制体系真正的作用。此外,对于很多企业的管理人员而言,他们的风险意识较为单薄,对“风险”一词的认识较为片面,因此在实施风险控制上手段较为机械单一,预见性不强,无法起到事前预防的作用,一旦企业在对外投资中遇到风险是无法进行规避的,只能在事后进行补救。
1. 2 企业风险管理制度的不完善,风险预警的效果不佳
目前在我国的一些企业中已经初步建立了风险管理的制度,并且开始在企业对外投资中进行尝试风险管理导向下的内部控制,但是这种风险管理体系不够全面,管理的方法不够科学,因此并没有达到企业风险管理制度应有的预警的效果。从实施结果上来看,风险控制的各部门之间联系和衔接不够,成为各自独立的风险控制中心,在这样的风险管理制度下,即使企业中的每个部门能够很好地将自己部门和工作过程中即将遇到的风险与不确定性进行识别以及规避,但因信息的交流和共享不足,从而导致这种方法下进行风险管理控制的成本极高,风险控制的链条连贯性不足,因此对于企业全局风险控制的效果不好,只能对于企业中一些小的风险或某一方面的风险进行控制,对那些企业大型投资项目中的风险和不确定性的规避和控制效果并不能达到预想的目的。
1. 3 企业中进行风险管理的方法和工具较为落后
目前在我国的企业中,各种风险管理的方法和进行风险管理的工具都较为落后,在很多企业中普遍出现了在进行了风险管理但是企业中仍然无法很好地进行风险规避的情况。在风险管理方法上而言,很多企业的风险管理方法都是靠管理人员依靠个人的专业知识与工作经验对于企业的现金流进行确认,对于企业中各种资产进行处置与投资。但是只依靠风险管理从业人员的个人工作经验与专业知识进行风险管理控制也就不能按照市场具体的变化来进行风险管控,也就很容易将企业置于受到损失,甚至破产的危险境地。而在风险管理的工具上,我国目前的很多企业也没有使用现达的工具,仍然采用的是传统风险管理工具,从而无法将企业中的信息及时而准确地传达到风险管理人员的手中,导致了企业信息的传达仍然还要采取会议的形式,不仅效率低下而且效果不好,在这样的工具下也就无法很好地对企业对外投资中的风险进行管控。
2 在风险管理导向下进行内部控制的意义
2. 1 更有效率的规避企业投资风险
由于在风险管理导向下进行的对外投资内部控制是直接基于企业投资可能遇到的风险和不确定性进行内部控制,因此可以只对企业投资的特点进行分析,并且通过这些特点来将企业可能会受到的损失进行科学的计算,从而得到企业将会受到的最大损失,也就能够很好地规避这些风险。而传统的内部控制由于是对整个企业内部经营活动进行控制,因此就无法很好地对企业外部投资可能遭受到的损失和风险进行评估和规避,企业也就不能在激烈的市场竞争中生存下来,也就造成了在金融危机后很多企业倒闭的情况。
2. 2 增强企业管理人员的风险意识
目前我国企业中的管理人员风险意识普遍不高,在这种情况下很多企业由于没有风险意识,所以盲目地就进行了对外投资,没有注意到在投资中可能遇到的风险和损失,也就造成了很多企业在投资后回报少,甚至因为投资战线过长、时间过于集中而造成资金链断裂,不但得不到回报,甚至使企业破产倒闭的现象。但是对于企业而言,收益就是生存下去的基本条件,无法得到有效的收益也就会让这些企业在市场竞争中失去竞争力,从而导致了金融危机后大批企业无法生存的情况。
3 在风险管理导向下企业对对外投资进行内部控制的方法
3. 1 增强企业工作人员的风险管理意识
要在风险管理导向下对企业的外部投资进行有效的内部控制,首先应该让企业内部所有的工作人员都具有风险管理的意识。特别要注意的是不能只是让企业的中高层管理人员需要具有风险管理意识,企业中的基层管理人员和每一位员工也需要有风险管理的意识,从而加强整个企业的风险管理意识。并且企业应该定期对内部员工进行风险管理控制的培训活动,让企业员工在平常工作过程中能够很好地将企业可能会受到的风险与损失与企业投资收到的收益进行分析和衡量,从而对企业投资进行有效的内部控制。而且不仅能够对企业对外投资进行很好的内部控制,对企业内的一些员工损害企业利益的情况也能够通过基层管理人员与工作人员的风险意识管理来很好的发现与规避,保障企业利益。
3. 2 加强企业内部的沟通机制
由于企业进行对外投资时可能会遇到各种突发状况,并且在交易过程中会遇到很多信息需要传达,所以企业内部的沟通机制必须进行完善。加强了企业内部的沟通机制后,在企业对外投资的过程中能够有效地进行信息的传达,从而让风险管理从业人员能够对于对外投资的各种信息进行分析与比较,从而达到有效进行内部控制的效果。而且在进行风险管理导向下的内部控制过程中,需要对于对外投资中的每一个阶段性信息进行真实、完整,没有偏差的记录。如果企业内部的沟通机制很完善,这些信息就可以在第一时间及时而完整地传达到企业中进行参考和备份。对于这些信息的记录与备份也能够很好地进行。而在企业投资资产的记录控制方面,如果企业的沟通机制优秀的话也能够让这些资产的记录控制工作有效进行。
3. 3 建立科学的风险管控机制
目前我国很多的企业在风险管理机制上还是采取让风险管理从业人员依靠自身的专业知识与工作经验来进行管理的。因此要让企业在风险管理导向下进行有效的内部控制,一个重要条件便是要在企业中建立科学的风险管理机制,对于企业投资中可能会遇到的各种风险以及可能会出现的意外进行分析,考虑企业的资金预算是否能够应对这些风险与意外,并且对于投资项目进行可行性研究,从而保证了企业在对外投资的过程中能够很好地规避这些意外,减少企业的损失,增加企业投资的收益。
3. 4 完善企业监督机制
在建立企业风险管理机制后,企业内就应该靠着这些管理机制对企业的对外投资进行有效的内部控制。而要有效地进行内部控制,就需要企业建立完善的监督机制,从而保证企业在对外投资的过程中能够保证风险管理人员的工作效果与态度,从而让企业的对外投资风险降低。并且对于企业内一些员工的行为对企业造成损害的情况也能够得到很好的控制。因此建立完善的企业监督机制,能够确保企业的对外投资风险在可控范围之内,保证企业对外投资能够得到收益,并且减少风险。
企业对外投资的各环节形成一个完整的链条,不论哪一个环节出现控制薄弱的问题都会对该项目投资的整个布局产生不利影响。因此,建立内控制度,严格限制审批权限和级别,对大型投资应采用联席会议或董事会或高层管理会议,群策群力,避免因个人风险偏好而一叶障目,给企业带来不可挽回的损失。
4 结 论
在我国企业对外投资的过程中,进行有效的内部控制是企业能够得到收益、减少风险的重要方法之一。而要进行有效的内部控制,就必须在风险管理导向下进行。因此企业需要加强风险管理意识,并且在企业内建立完善的风险管理机制与监督机制,以保证企业投资能够得到收益。
参考文献:
[1]万碧云. 对外投资立项后的内部控制问题及建议[J]. 老区建设,2009(12):23-24.
[2]黄军超. 风险管理导向下对外投资的内部控制[J]. 中国乡镇企业会计,2013(8):181-182.
[3]杜红. 风险管理下集团企业对外投资内部控制的对策研究[J]. 时代金融(下旬),2013(10):272-272,287.
[4]金闻. 集团公司对外投资内部控制研究[J]. 现代商业,2010(7):108-109.
[关键词]内部审计;风险管理;IIA;COSO框架
内部审计是现代管理和管理控制的组成部分。IIA在《内部审计实务标准》中将其定义为是一种独立、客观的保证工作和咨询活动,其目的在于为组织增加价值并提高组织的运作效率,采用系统化、现代化的方法来对风险管理、控制和治理程序进行评价和改善,从而帮助组织实现目标。
企业风险管理是一个由企业的董事会、管理层和员工共同参与,应用于企业战略制定和企业内部各个层次和部门,用于识别可能对企业造成潜在影响的事项,并根据风险偏好管理风险,为企业目标的实现提供合理保证的过程。它参与到企业的各项活动之中,是一个过程,是实现结果的一种方式。与传统的项目风险管理相比,企业风险管理强调战略导向,覆盖了组织所有的管理层次和管理领域,方法也更为结构化和规范化。
内部审计承担了监督、分析、评价、检察、报告和改进等任务,是企业风险管理不可或缺的组成部分。就世界范围看,风险管理已成为内部审计的主要内容。IIA早就把评价和改善组织的风险作为内部审计的主要内容,其1999年制定的内部审计定义将风险管理和内部控制、公司治理并列作为内部审计的工作对象,2001年修改的《内部审计实务标准》明确要求内部审计参与风险管理和公司治理过程。我国内部审计准则中也充分考虑了风险评估作为内部审计中的一个核心概念。
内部审计为什么要与风险管理相整合,在COSO框架下两者如何结合是需要深入分析的问题。本文将对两者的关系,两者结合的意义及两者结合的方式作进一步探讨,并在此基础上研究中国企业如何将内部审计与风险管理相结合。
一、内部审计与风险管理的关系及两者结合的意义
IIA在对美国国会关于《萨班斯——奥克利斯法案》的意见陈述书中表述:内部审计、外部审计、董事会以及高层管理人员被称为有效的公司治理的四大基石。内部审计师的作用是监控、评估和分析组织的风险,审查信息及公司对法律法规的遵守情况,向董事会、审计委员会以及高层管理人员负责提供保证——风险已被分散、公司治理是有效的。内部审计以企业内部信息使用者为中心,聚焦于控制、风险管理等关键问题,通过帮助组织管理风险和提高管理效率,来增加组织的价值和改善公司的经营。
公司的治理过程是公司的利益相关主体让管理层发现风险并对其进行控制的过程,对公司风险的监控及适当地规避此类风险,对实现公司目标和保存公司价值都有直接的贡献。内部审计参与风险管理的实质就是协助公司的高层管理人员做如下工作:系统鉴别组织所面临的风险;评估这些风险对组织的潜在影响;制定控制风险的策略;评价风险管理的过程;就风险应对措施的合理性、风险监控的及时性、恰当性、有效性等信息进行有效的交流和沟通。风险管理是管理层的一项主要职责,而对组织的风险管理过程进行评估和报告通常是内部审计工作的一项主要内容。在适当情况下,内部审计师应与管理层审计委员会和董事会就与风险和风险管理实务中的薄弱环节进行讨论,当然在该过程中由管理层负责对重大风险采取针对性行动,内部审计机构负责人负责评价这些行动。风险管理作为管理层的一项主要职责,它应当确保组织中有良好的风险管理过程,并使其发挥作用。董事会和审计委员会负责监督、判断组织是否有适当的风险管理过程,以及是否充分、有效。内部审计师的职责是运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层和审计委员会提供帮助。
IIA多年来一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。
内部审计与风险管理相结合是将风险作为内部审计的对象,打破了原来的内部审计只关心内部控制有效性的局面,在评价内部控制的基础上,对企业所面临的各种风险进行识别和分析。从另一个角度来讲,内部审计更加注重企业的未来,从影响企业目标实现的各种系统风险和非系统风险出发,就内部控制是否健全、关键的控制点是否有效控制薄弱的环节以及改进措施是否有效提出认定,来评价风险管理与控制对组织目标实现的影响程度。以风险为对象的审计在风险管理基础上又进了一步。风险审计就是在风险管理基础上审计主体通过对组织风险识别、风险评价等工作的审计,侧重对风险管理进行鉴证。
内部审计参与风险管理不仅为内部审计自身提供了发展契机,而且作为企业内的一种独立、客观的保证工作和咨询活动,内部审计是公司治理必要和有价值的组成部分,能够在风险管理中发挥独特的作用,无论是内部审计还是风险管理都能从双方的整合中提高效率,创造价值。
内部审计作为内部控制的重要组成部分,其在风险管理中发挥不可替代的独特作用。主要有以下几个方面:(1)内部审计能够从全局的角度管理风险。对风险的认识、防范和控制需要从全局考虑,但各业务部门很难做到这一点。内部审计人员从事具体的业务活动,独立于业务管理部门,这使得他们可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。(2)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节,内部审计人员可以调控、指导企业的风险管理策略。(3)内部审计部门的建议更易引起重视。内部审计部门独立于企业高级管理层,其风险评估的意见可以直接上报给董事会,这会加强管理当局对内部审计部门意见的重视程度。从内部审计发挥的上述职能看,内部审计已经参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系;评价并改进组织的治理程序,为组织的治理做出贡献;同时继续原有的对控制效率和效果的评价作用,帮助组织保持有效的控制。此时的内部审计人员是风险管理专家,通过对风险的把握来评价公司治理及
内部控制,并促进公司治理和内部控制的改善,从而实现对风险的控制。在风险管理这个统一核心下,公司治理与内部控制实现了一定程度整合,为组织增加了价值。
二、内部审计在风险管理中的角色和责任
COSO报告指出企业风险管理有四个目标(实现战略、高效运作、客观报告、遵守法则)、八个要素(内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通、监控活动),并在企业的四个层次(企业级、部门级、事业单位级、分公司级)展开。内部审计在这一框架中作为监控活动存在,由内部机构对企业风险管理进行独立评估。IIA在2004年发表的《内部审计在企业风险管理中的角色》意见书中也认为内部审计关于企业风险管理的核心角色是就组织风险管理的有效性向董事会提供客观保证,以帮助确信关键企业风险被正确管理及内部控制系统有效运行。因此,内部审计在企业风险管理架中首要角色是监督者,包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,对关键风险报告的评估和对关键风险管理的评估。
按IIA的标准,内部审计的服务种类可以分为保证服务和咨询服务,前者是一种独立评价的活动,后者是提供建议及咨询的活动。内部审计为整个组织成员以及组织以外的所有利益相关主体服务,其信息服务对象的需求依其所处的位置、环境及掌握信息的不同而不同。总体来讲,处于信息劣势的服务对象希望内部审计为其提供保证服务,处于信息优势的服务对象则更希望内部审计为其提供咨询服务。其中,保证服务是指为了对风险管理。内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验;咨询服务是咨询性的以及与委托人服务相关的活动,其性质和范围是与委托人达成一致意见,目的是增加价值和改进组织的经营。在企业风险管理中,内部审计的本质特征并不发生改变,因而它可以担任的角色也是基于这两种服务衍生的。除了作为监督者所提供的保证服务之外,内部审计还提供咨询服务,包括促进对风险的识别和评估、指导和协调风险管理活动,加强对风险的报告、保持和发展风险管理框架、支持建立风险管理、参与制定风险管理战略等。与此相适应,内部审计承担了咨询者、协调者、建议者角色。内部审计在企业风险管理中的角色不是一成不变的,而是一个逐步变化和延续发展过程。在组织缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议;在组织实施风险管理的初期,内部审计能够发挥更大的协调作用,甚至直接担任项目经理;而当企业风险管理逐步成熟,运作稳定以后,内部审计就从建议者、协调者转化为监督者和咨询者。内部审计的报告关系也会影响其在企业风险管理中的角色,报告关系层次越高,独立性越强,内部审计就越能够从全局和战略角度参与企业风险管理;反之,则从局部和流程角度参与企业风险管理。
为保证其独立性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持,但不能设定风险容忍度、强制实行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动,内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。此外,在实践中,应注意处理保证服务和咨询服务的关系。只要内部审计执行的任务涉及履行管理职责,就应该认为与此相关领域的审计客观性受到了损害,内部审计不能就其直接协调和指导的风险管理事项提供保证服务。
三、内部审计与风险管理整合的程序步骤
(一)判明风险类别,分析风险的具体源由
企业风险多种多样,表现的形式与发生影响也是千差万别的,为了管理和控制风险,应对风险进行辨认并予以分类,从中分辨出风险的性质,以确定主要风险、次要风险、关键风险、派生风险。
国外审计界对经营风险提出了多种分类模式,大致可概括为以下九类:外部经营风险(经营风险)——业务风险(经营风险)——职权风险(经营风险)——信息处理与技术风险(经营风险)——诚信度风险(经营风险)。——财务风险(投资决策风险)——业务风险(投资决策风险)——财务风险(投资决策风险)——战略风险。
在内部审计工作中,一般先从企业整体的战略目标着手,分析战略目标与企业实践的差距,明确形成差距的风险,进而分析风险的产生部门、风险的类别及其性质。
(二)在组织机构上,内审工作要与企业的各级风险管理组织相配合,开展企业综合风险管理
根据COSO的风险管理框架,一些国际会计公司提出了企业综合风险管理概念。这种管理是要求内部审计工作超越企业内部各职能部门的隔离,实行全体的、综合的和全员的行动进行综合风险管理。
在现代企业的风险控制方面,不少大中型企业一般建立三级风险管理组织,即由企业高级管理层组成的风险控制委员会作为公司风险管理的最高决策机构;公司风险控制委员会领导下的内部审计;专职风险监管部门。内部审计部门通过常规审计及专项审计评估公司风险,对公司风险管理制度进行设计以及对各业务部门执行风险控制制度情况进行定期检查,及时提示和报告潜在风险,并提出防范风险及改进工作的建议。
(三)按风险管理的要求开展内部审计
与经营风险管理相结合的内部审计,其具体要求是在企业的“经营——风险——控制——监督”过程中,内部审计充分发挥其监控实效。亦即内部审计在开展时,先由企业各层次人员明确企业经营风险控制管理的目标,在此基础上广泛收集经营决策信息、情况及风险情况,据此对各个待审项目的风险做出评价,进而确定内部审计控制风险的策略(包括规避风险、接受风险、转移风险、运用风险、减少风险),然后运用“计划——执行——检查——行动”方式,对企业主管层、业务管理层及业务执行层进行审计。新晨
(四)对具体项目风险、内部审计要参与事先、事中和事后三个阶段的全过程风险审查
四、内部审计与风险管理结合在中国的应用和实践
[关键词]内部控制风险管理COSO全面风险管理区别和联系
内部控制与风险管理理论的发展与演变过程
现代内部控制和风险管理理论的发展是一个逐步演变的过程,大致可以区分为内部控制制度、内部控制整体框架、风险管理框架三个阶段。
(一)内部控制制度阶段。1936年美国颁布了《独立公共会计师对财务报表的审查》,首次定义了内部控制:“内部稽核与控制制度是指为保证公司现金和其他资产的安全,检查账簿记录的准确性而采取的各种措施和方法”,此后美国审计程序委员会又经过了多次修改。1973年在美国审计程序公告55 号中,对内部控制制度的定义作了如下解释:“内部控制制度有两类:内部会计控制制度和内部管理控制制度,内部管理控制制度包括且不限于组织结构的计划,以及关于管理部门对事项核准的决策步骤上的程序与记录。会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。”
(二)内部控制整体框架阶段。1992年9月,COSO委员会提出了报告《内部控制——整体框架》。该框架指出“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”1996年底美国审计委员会认可了COSO的研究成果,并修改相应的审计公告内容。
(三)风险管理框架阶段。2004年COSO委员会《企业风险管理——整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”该框架拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。风险管理框架包括了要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
风险管理与内部控制关系研究回顾
在风险管理理论提出之后,理论界对内部控制与风险管理两者之间的关系进行了不断的研究。总体来说主要有以下三种观点:
(一)第一种观点认为内部控制包含风险管理。CICA(1998)将风险定义为,“一个事件或环境带来不利后果的可能性”,阐明了风险管理与控制的关系:“当您在抓住机会和管理风险时,您也正在实施控制”。巴塞尔委员会的《银行业组织内部控制系统框架》中指出,“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……。”这里显然是把风险管理的内容纳入到了内部控制框架中。加拿大注册会计师协会控制标准委员会(1999)认为,“控制应该包括风险的识别与减轻”,其中的风险不仅包括与实现特定目标相关的风险,而且还包括一般性的风险,如不能识别和利用机会,就不能使企业在面临未预料到事件以及不确定信息时保持灵活性或弹性。
(二)第二种观点认为风险管理包含内部控制。COSO委员会提出的《企业风险管理——整合框架》(2004)中明确指出,企业风险管理包含内部控制;内部控制是企业风险管理不可分割的一部分;内部控制是风险管理的一种方式,企业风险管理比内部控制范围广得多。英国Turnbull委员会(2005)认为,风险管理对于企业目标的实现具有重要意义,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。
(三)第三种观点认为内部控制就是风险管理。Blackburn(1999)认为,风险管理与内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。Laura F.Spira(2003)分析了内部控制是怎样变为风险管理的,并指出,“将内部控制定义为风险管理强调与战略制定的联系,刻画了内部控制作为组织支撑的特点,但是,它也掩盖了一个不争的事实:现在没有人真正明自内部控制系统是什么。”
基于COSO报告下的内部控制与风险管理比较
现论界对内部控制与风险管理的定义各不相同,但被普遍接受的定义是国际权威机构美国的COSO委员会对内部控制与风险管理的定义。本文以COSO报告为基础对内部控制与风险管理的联系与区别进行研究。
(一)两者的定义与内涵。1992年的COSO《内部控制整合框架》将内部控制定义为,“受董事会、管理层及其他人员影响的,为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”它包括三个目标:与运营有关的目标,即确保企业的经营效率和效果;与财务报告有关的目标,即确保财务报告真实可靠;与法律法规的遵循有关的目标,即确保企业经营过程中遵守有关的法律法规。它由五个方面的要素组成:控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。
2004年的COSO《风险管理整合框架》将风险管理定义为,“由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定有企业各个层次的活动,旨在识别影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理保证的过程。”风险管理的目标有四个:报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个:内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。
(二)两者的比较
1、它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。
2、它们都明确是一个“过程”,不是某种静态的东西。其本身并不是一个结果,而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。
3、它们都是为企业目标的实现提供合理的保证。设计合理、运行有效的内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。
4、风险管理的目标有四类,其中三类与内部控制相重合,即报告目标、经营目标和遵循性目标。但报告目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
5、风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险应对三个要素。在重合的要素中,内涵也有所扩展,例如内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权利与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
国内关于内部控制与全面风险管理的定义
(一)目前国内关于内部控制和全面风险管理的正式定义主要是财政部关于印发《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)的通知以及国务院国资委的《中央企业全面风险管理指引》中有相关的表述。
财政部关于内部控制规范的《通知》中对内部控制的定义是:是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:企业战略;经营的效率和效果;财务报告及管理信息的真实、可靠和完整;资产的安全完整;遵循国家法律法规和有关监管要求。
国资委《指引》中关于全面风险管理的定义是:指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
(二)、国内关于内部控制和全面风险管理与COSO框架的差异
总体上来说,国内关于内部控制和全面风险管理的内容基本参照或遵从了COSO委员会《内部控制管理框架》和《全面风险管理框架》,但结合国内的实际情况和一些前沿的研究成果,国内对于内部控制和全面风险管理在各自领域都有不同程度的调整、拓展和延伸。
1、目标纬度:财政部关于内部控制的定义相对COSO委员会对内部控制定义在实现目标上有所拓展,增加了企业战略目标和资产的安全完整目标。而在国资委全面风险管理的实现目标增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。”另外,其他四个目标也与COSO全面风险管理四个目标在表述上有所差异,使之更适应我国企业经营管理表述习惯或者更具体而易于理解。从这个角度来说,特别是内部控制实现目标的拓展使得其与全面风险管理实现目标差异不大。
2、要素纬度:财政部内部控制《通知》形式上借鉴了COSO 报告5要素框架,同时在内容上体现了风险管理8要素框架的实质;国资委全面风险管理《指引》中则没有明确指出是5要素还是8要素,但通过风险管理基本流程将全面风险管理的一些要素融合到流程中,从实质来说,也体现的是8要素的COSO全面风险管理框架。
国内关于内部控制与全面风险管理运用的一些误区
(一)把内部控制与全面风险管理体系的建设理解为建章立制。其实从COSO框架的定义中,我们可以看出它们都被明确为是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
(二)内部控制体系和全面风险管理体系是相互独立的。建设内部控制和全面风险管理体系都是一个系统工程,两者在内涵上也有一定重合,企业需要综合考虑自身业务特点、发展阶段、信息技术条件、外部环境要求等,确定选择合适的管理体系和建设重点。比如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
(三)内部控制和全面风险管理的作用被夸大。有些企业对内部控制和风险管理体系的建设寄有过高期望,他们希望内部控制和风险管理可以确保企业的成功、确保财务报告的可靠性和法律法规的遵循性。而实际上无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。
(四)内部控制与全面风险管理理念在企业实践落地难。由于新的管理理念和方法的引进,与国内企业原有的管理体系和观点存在较多的差异和差距,目前这些理念和方法还更多的处于导入阶段,大多数企业管理人员还不能在这些框架和概念与企业的日常经营管理行为和语言之间建立直接的联系。
参考文献
[1] 盖地;试论内部控制与内部会计控制,中国成本研究会编;企业内部控制原理、经验与操作一企业内部控制高层研讨会文集;中国财政经济出版社,2002年版57一60.
[2]李凤鸣;《内部控制与风险防范》;经济科学出版社,1998年版.
[3]周兆生;C0SO企业风险管理框架(中文版);华融资产管理公司,2004.
[4]程新生;公司治理, 内部控制, 组织结构互动关系研究;会计研究, 2004年4期.
[5]张砚;内部控制历史发展的组织演化研究;会计研究, 2005年2期.
【关键词】 内部审计; 风险管理; 参与原因; 运作过程
内部审计准则第16号具体准则――风险管理审计,明确了内部审计人员要对组织内部控制中的风险管理状况进行审查与评价,表明风险管理已成为内部审计发展的重要方向。该项具体准则明确:风险管理是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。
一、内部审计参与企业风险管理的原因
(一)企业的集团化发展,要求内部审计参与风险管理
近年来,随着全球经济金融一体化程度的加深,企业面临的经营环境日趋复杂,经营风险大大增加,内部审计必须对企业经营资源运动的合标性进行全程跟踪审计,把减少企业面临的风险作为企业实现目标的关键。内部审计目前已由外在介入型逐步发展为内在融入型,渗透到企业经营管理的各方面、经济活动的各环节。它已成为强化管理的促进者、提高效能的推动者、风险前瞻的岸望者、价值增值的倡导者。因此,内部审计参与企业的风险管理也就成为企业发展必然的内在需求。
(二)内部审计的自身发展要求参与企业风险管理
1.内部审计的定义包含了风险管理内容
内部审计是采用一种系统化、规范化的方法,来对机构进行风险管理、控制和监督过程进行评价,进而提高它们的效率,帮助机构实现目标。从中不难看出,内部审计的范围已延伸到风险管理,认为只有在风险管理框架中实施的内部审计才能称之为风险管理审计,“评价和改善风险管理”成为了内部审计的重要工作领域,它拓展了内部审计的广度和深度,是对内部审计的重新定位。
2.风险管理赋予了内部审计在企业中新的地位和作用
随着内部审计定位和角色的不断改变,内部审计已成为企业的诊断师,由于在经营中风险的必然存在性,使得任何企业都必须面对风险,并利用一切手段去避免、降低它所带来的影响和后果。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,能够站在第三者的角度去帮助企业更好地把握经营的方向,并将其在企业中的作用推向一个新水平。
3.内部审计与风险管理的目标是一致的
从风险管理的定义看,风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的方法,用最低的成本获得最高的安全保障,将损失降至最低水平。它的目标是直接服务于企业的经营目标的。
从内部审计的定义看,内部审计的目的是为企业增加价值并提高企业的运营效率。内部审计部门经过收集资料、识别并评价风险的过程之后,能够对企业的运营提出富有价值的见解,从而被企业管理者采纳,因此可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等,还可以将这些有价值的信息应用于经营管理活动,从而达到企业增值的目的。由此可见,风险管理与内部审计在其目标上是相一致的。
(三)内部审计参与企业风险管理具有独立性、综合性和连续性的优势
1.独立性优势
内部审计不参与企业具体的业务经营活动,因此不对各项业务管理中出现的问题承担直接责任,其相对超脱的地位是保持审计独立性的内在基础。内部审计通过实施审计检查程序发表的审计意见可以直达企业的管理高层,具有相对客观的基础。
2.综合性优势
内部审计在企业管理中是一个综合性部门,其审计范围覆盖着企业经营的各个方面,掌握的信息是多方面的。企业的风险潜藏在各个方面,风险管理需要从全局角度对风险的影响大小、轻重缓急进行综合评估,协调各方面风险管理的行动。内部审计具有从全局考虑分析判断风险的综合性优势,对企业风险管理进行的系统性、专业性监督检查和评价,权衡企业实施风险防范和效益成本的利弊,在风险与收益比较中研究风险管理的定位。
3.连续性优势
内部审计部门及人员由于长期在企业内部工作,对企业所面临的风险更为了解,对风险的各种影响因素更便于做深入的调查,对企业风险的转化影响、风险管理措施效果等更便于进行连续的跟踪,对风险管理进行循环的连续性监控,而且内部审计长期参与企业风险管理所掌握的风险管理信息和经验,会对不断深化企业风险管理和节约管理成本产生重要影响。内部审计人员作为企业员工,是最终利益的相关者,他们会对企业风险管理的效果和建立风险管理的长效机制更具有责任感。
二、内部审计参与企业风险管理的运作过程
(一)内部审计在企业风险管理中的定位
内部审计与风险管理是你中有我、我中有你、相互依存、联动发展的紧密关系。企业在制订风险管理方案时,应将内部审计作为风险管理的第一道防线,由内部审计对整个风险管理流程进行评估和监控,但内部审计在企业风险管理的建立与防范中,主要责任是对整个风险管理过程进行认定,并评价其充分性与有效性,向管理层报告并提出管理建议,以此来保证风险管理的有效性。因此,内部审计在企业风险管理框架中的首要角色是监督者;其次才是咨询服务者,它承担了咨询者、协调者、建议者的角色。
当然,内部审计在企业风险管理中的角色是一个逐步变化的过程。在企业缺乏风险管理程序的情况下,内部审计可以向管理层提出建立企业风险管理的建议,即建议者;在企业实施风险管理的初期,内部审计能够发挥很大的协调作用,此即协调者;而当企业风险管理逐步成熟、运作稳定以后,内部审计就转化为监督者和咨询者。
(二)内部审计在企业风险管理中的作用
1.能够客观地对企业整体风险管理进行检查与评价
从风险的形成与影响后果等特性,不难看出风险在企业内部具有感染性、传递性、不对称性等特征,如一个部门造成的风险或者疏于风险管理,可能会传递到其他部门,最终要由整个企业承担。因此,有些部门可能会出现缺失道德风险,而这种风险不是由它们来承担行为责任。又如,采购部门为节约采购成本,会忽视对材料规格、型号、质量方面的检查,这种暗藏的风险会在生产车间或者销售部门反映出来,最终给企业造成损失。因此,对风险的认识、防范和控制等需要从全局考虑。
内部审计由于不参与企业经营的具体业务活动,它是独立于业务管理部门的,因而它可以从企业的全局出发、从客观的角度对各种风险进行识别,将风险评估的意见直接报告给董事会或经营管理层,提高管理层对内部审计意见的重视程度,保证其他管理部门及时采取有效措施控制风险,从而达到企业的高效运营。
2.能够以咨询顾问身份协助管理层建立风险管理制度
内部审计在企业尚未建立风险管理的过程中,应积极向管理层提出建立风险管理过程的相关建议。如果企业尚未建立风险管理过程,内部审计人员应该提请管理层注意这种情况,并同时提出建立风险管理过程的相关建议。内部审计可以通过开展风险管理培训培育企业风险管理文化,使风险意识贯穿于企业的各个层面;内部审计可以利用其专业优势开发适合企业特点的自我评估工具,以提醒管理层注意到目标、风险、控制的关系,帮助管理层将生产经营与风险管理更好地结合;内部审计可以通过咨询服务的方式协助企业建立风险管理系统。
3.能够指导企业的风险管理策略,防止控制过度或不足的缺陷
内部审计是内部控制的再控制,企业根据目标和所能承受的风险,制定内部控制制度,内部审计人员对现代内部控制的评估焦点在于强调风险并评估具体的风险管理活动。控制过度容易导致效率不高,控制不足容易导致舞弊行为的产生。内部审计部门处于企业的董事会、总经理和各职能部门之间的位置,内部审计人员能够充当企业长期风险策略与各种决策的协调人,并通过对长期计划与短期实现的调节,指导企业的风险管理策略。
4.能够发挥反馈作用,对企业的风险管理产生预警作用
由于风险是面向未来的,是直接与企业的战略及经营目标相关联的,因此以风险为出发点和核心的内部审计,能够以事后的反馈延伸到事前以及事中,从而达到更高效率的控制。内部审计的咨询职能充分体现了内部审计的能动性及增值目标,并且将事后的反馈扩展到内部控制建立前以及实施时的协助与促进,帮助管理层对风险管理进行持续改进与完善,产生预警功能,从而达到内部审计在企业管理控制系统中的反馈作用。
(三)内部审计参与企业风险管理的方式方法
1.转变观念,将风险管理作为内部审计的重要工作
内部审计应由过去的控制导向审计向现代风险导向审计过渡,由被动地承受审计风险,到主动地控制审计风险,将工作程序转向“确定目标、评估风险、管理风险”。内部审计部门要把参与风险管理写入内部审计工作制度,明确内部审计人员应当关心企业所面临的风险,根据风险评估思路开展对内部控制的评估,使审计报告将目前的控制与策略计划和风险评估连接进来,有效地管理企业风险。
2.要把企业风险管理融入日常审计项目中
企业风险存在于企业经营管理的各个方面,在一次审计中对企业面临的各种风险进行全面的检查和评价是不可能的,因此内部审计须在每一次的日常审计项目中,增强风险意识,引入风险审计的观念和方法,充分揭示和评价企业特定审计范围内存在的风险,使企业管理者对此风险给予重视并采取措施化解和控制。比如,内部审计部门开展的经济责任审计,企业经营负责人在任期内发生的重大投资、债务重组、重点工程建设等活动会对今后产生重大影响,任期内发生的经济纠纷或重要的管理缺陷也不一定会在其任期内体现,对此,内部审计就应作出必要的风险评价,一方面划清前后任的经济责任,一方面帮助企业采取必要的措施防患于未然。
3.要对企业的风险管理机制进行监督检查
当一个企业建立了风险管理机制,其规章制度是否得到有效执行,是需要进行监督检查的。内部审计就是对风险管理的再监督或再管理,是其参与风险管理的一种重要形式。内部审计可以实施各种专项检查,监督检查企业相关风险管理的各个风险控制点,评价预防风险的各项工作是否到位、评价降低风险的有关措施是否有效、评价风险的变化程度等等,从而对进一步改进风险管理提出意见。内部审计还可以对已经显现甚至出现损失的风险进行检查分析,发现和反映企业风险管理中的缺陷,如风险管理责任不清、部门间协调不足、风险防范资源不足等。
4.要加强对内部审计人员的督导
为提高审计工作质量,内部审计机构负责人需根据审计工作的具体情况建立内部审计督导制度,对审计人员的工作进行指导、监督和复核,明确各级人员的责任,同时必须强调督导是贯穿于审计项目的全过程的,它包括对审计方案的制订及修订、审计程序的实施、审计工作底稿的编制、审计证据的收集、审计报告的撰写等。内部审计机构负责人应采取必要的措施,尽可能减少内部审计人员在风险管理工作中的主观判断行为,在督导工作中要遵循重要性、谨慎性和客观性原则。
5.要优化内部审计人员结构,培养高素质的审计人才
关键词:内部会计控制;理论基础;目标定位;风险组合观;风险偏好
中图分类号:F230
文献标志码:A
文章编号:1673-291X(2009)21-0086-02
二、内部会计控制的目标定位
在古典企业理论看来,企业追求的是在既定生产函数的技术约束,和既定的投入产出品价格的经济约束,以及既定的需求函数的市场约束下的利润最大化。古典企业理论的主要缺陷在于其对信息的完全假设,以至它根本没有必要去关注企业内部具体的结构及激励问题,公司治理基本上不具有任何意义。现代企业理论是在对古典企业理论的反思和不满中发展起来的,现代企业理论的一个核心观点是,企业是一系列(不完全)契约的有机组合。契约理论之先河由科斯开辟,科斯依据交易和交易费用来阐释企业的性质,认为企业是生产要素的交易,确切地说是劳动与资本的长期权威性的契约关系。契约理论在20世纪70 年代取得较大的发展,逐渐衍生出理论,理论又分为成本理论和委托―理论两类。
企业作为一系列契约的联结,存在复杂的委托―关系,客观上要求会计系统反映人的受托经管责任,从而形成了以受托责任为目标取向的会计目标―受托责任观。有些学者用实证研究方法来解释会计目标,认为会计是作为企业契约监督工具而产生,因此,会计目标就是降低企业作为一系列契约的联结―契约成本(包括签约成本和监督成本等)。受托责任观认为会计的目标就是以恰当的方式有效反映资源受托人的受托经管责任及其履行情况,会计人员从客观的立场上参与到委托―关系之中,其行为不受资源委托人和受托人的影响,只受会计准则的约束,强调会计信息的可靠性。
二、内部会计控制的目标定位
首先,内部会计控制的目标定位为提供真实可靠的会计信息,既能发挥会计工作的核算和监督职能,也能为提高企业经济效益提供真实的会计信息,充分体现会计的管理职能,有利于会计控制向管理控制的有效过渡与结合。其次,这一目标定位是当前经济环境下的可行目标,这并不意味着内部会计控制的目标一成不变。内部控制发展的国际趋势是内部会计控制和内部管理控制不断融合,随着外部环境的不断变化,内部会计控制或者说内部控制的目标也一定会随之变化而不断提升。再次,企业经营活动日趋复杂,产生了大量的财务信息和非财务信息,财务信息通过会计核算和控制能够比较准确的提供给决策者,很多有价值的非财务信息会影响信息使用者的决策,但却不能通过会计系统明确的反映出来,有些问题还在进一步探讨中,如对商誉的确认和计量问题。
三、内部会计控制与公司治理结构的关系
1.公司治理结构是内部会计控制的环境和前提。企业是一种创造财富的有效机制,公司治理和公司管理都是这种有效机制的组成部分,两者的结合构成了企业系统。作为内部控制核心的内部会计控制在公司制度安排中担任内部管理监控的角色,成为公司管理中不可缺少的部分。内部会计控制的基本目标之一是确保企业生成真实与公允的会计信息,使其符合公认会计准则的要求。但是,在现代企业的委托一关系中,最为突出的矛盾是双方目标不一致和信息不对称,委托人希望通过经营获利使资产增值,但是他却不能直接地进行管理和经营,只能通过会计信息间接控制;人直接控制企业的经营过程和会计信息的生成,他希望由此解脱受托经管责任并获得期望报酬。
2.内部会计控制是公司治理结构的重要组成部分。公司治理结构是现代公司制的核心。公司制使所有权与经营权相分离,在这种分离的基础上,由于所有者和经营者之问的信息不对称,导致各相关利益主体地位的不对等。
内部会计控制是公司治理结构的重要组成部分,良好的内部会计控制是正确处理企业利益相关方关系、完善公司治理的重要保证。公司治理结构分为外部治理结构与内部治理结构。外部治理结构受资本市场、融资市场、经理人市场等因素的影响,内部治理结构受各利益相关方权力制衡的影响,良好的内部会计控制是这些权力制衡的重要手段。
四、企业内部会计控制的主要内容
1.内部会计控制的主体和对象。企业内部会计控制的主体是企业内部会计监管机构和会计人员,其控制原则是在会计机构及会计人员处理会计业务过程中贯彻进行的,其对象则涵盖了企业的一切经济活动。
2.内部会计控制最基本的原则――内部牵制:不相容职务之间的分离。不相容职务之间的分离是建立和实施内部会计控制的基本原则,也是内部会计控制的核心要素。其实质是根据不相容职务设置的要求,明确相关人员的职责权限,使其在各自的职权范围内相互交叉、制约,进而在各自授权范围内行使职权和承担责任,借以防止和发现经济业务与会计处理过程中可能出现的差错和舞弊行为。
3.内部会计控制体系包含的具体业务。(1)内部组织机构的控制制度。企业应健全和强化内部组织机构,它是企业经济活动进行计划、指挥和控制的组织基础,其核心问题是合理的职责分工。(2)实物控制。实物资产内部控制的基本原则是: 建立实物资产管理的岗位责任制度,对实物资产的验收入库、领用、发出、盘点、保管及处置等关键环节进行控制,防止各种实物资产被盗、毁损和流失。(3)销售与收款控制。应当在制定商品或劳务等的定价原则、信用标准和条件、收款方式等销售政策时,充分发挥会计机构和人员的作用,加强合同订立、商品发出和账款回收的会计控制,避免或减少坏账损失。(4)采购与付款控制。应当合理设置采购与付款业务的机构和岗位,建立和完善采购与付款的会计控制程序,加强请购、审批、合同订立、采购、验收、付款等环节的会计控制,堵塞采购环节的漏洞,减少采购风险。(5)对其他重大财务事项的内部控制。企业融资方案、对外投资以及对外担保等重大财务事项也应加强内部控制。对外投资业务必须合理分工,一项投资业务可分为授权、执行、记录和保管等,应由不同部门的人员执行,对于重大事项应有单位领导集体审批。(6)成本费用控制。应当建立成本费用控制系统,做好成本费用管理的各项基础工作,制定成本费用标准,分解成本费用指标,控制成本费用差异,考核成本费用指标的完成情况,落实奖罚措施,降低成本费用,提高经济效益。
五、内部会计控制理最新发展――COSO理论对内部会计控制理论的影响
内部控制理论是在实践中逐步产生、发展和完善起来的。自1992年以来,该内部控制框架已经被世界上许多企业所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在《内部控制整体框架》报告的基础上,结合《萨班斯一奥克斯法案》(Sar-banes-Oxley Act)在报告方面的要求,进行扩展研究得到的。概括地说,相对于内部控制框架而言,新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素,即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要,新框架还要求企业设立一个新的部门――风险管理部。
新的风险管理框架比起内部控制框架,无论在内容还是范围上都有所扩大和提高,具体表现在:
1.提出了一个新的观念:风险组合观。企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内的每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。
2.增加了一类目标:战略目标,并扩大了报告目标。企业风险管理框架也包含类似内部控制框架的经营、财务报告和合法性三个目标,但是财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告。此外,企业风险管理框架比内部控制框架增加了一个目标:战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
3.针对风险度量提出了两个新概念:风险偏好和风险容忍度。从广义上看,风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来,目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。
4.增加了三个风险管理要素,对其他要素的分析更加深入,范围上也有所扩大。企业风险管理框架新增的三个风险管理要素,即“目标制定”、“事项识别”和“风险反应”。此外,针对企业将管理的重心移至风险管理,风险管理框架更加深入地阐述了其他要素的内涵,并扩大了相关要素的范围。
参考文献:
[1]储稀梁.COSO内部控制整体框架:背景、内容、理论贡献与启示[J].金融会计,2004.
[2]杨有红,胡燕.试论公司治理与内部控制的对接[J].会计研究,2004,(10).
