时间:2023-09-07 17:43:02
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业内部控制与风险管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】内部控制;风险管理
伴随实务界与理论界对内部控制与风险管理认识的不断加强,内部控制建设与发展已经提升到与风险管理相融合的新高度。在此背景下,企业内部控制与风险管理的要求更高,并需要不断改进与提升,是一个循环往复、永无止境的企业管理工作,将不断促进企业加强流程管控,增强风险防范能力,实现稳健持续发展。
一、企业内部控制与风险管理概述
企业内部控制与风险管理是相辅相成、互为促进的整体。其一致性主要表现在:一是企业内部控制以及风险管理的实现都需要各方的参与;二是两者都贯穿于企业的整个日常经营管理活动当中;三是两者的最终目的都是要实现企业的价值。由于内部控制主要规范内部管理流程,而风险可能涉及内部风险和外部风险,从这个意义上缴,企业内部控制属于风险管理。然而,内部控制的提升,将增强企业对外部风险的抵御能力,二者是互相促进的。企业的风险管理和企业的内部控制相比较起来,它是站在更高的战略层次上来分析问题的,比内部控制更加细化,能够更好地解决企业经营活动当中所出现的各种各样的风险问题。随着内部控制以及风险管理的不断健全和完善,二者之间必定会相互交叉且相互融合,最终相互统一。
二、企业内部控制与风险管理中存在的问题
1.内部控制与风险管理意识较弱
一是风险管理意识淡薄,片面追求发展速度,制定不切实际的目标或盲目扩展投资,使企业承受无谓的风险。二是把内部控制和风险管理看作一种静态的东西,认为仅仅是规章制度,如文件法规、技术规范和应用模型等。三是内部控制和风险管理的内涵有很多重合之处,单纯的将二者混为一谈,忽略了其对不同企业的不同效果。四是片面相信国外的内部控制和风险管理理念,忽略了将其与我国国情与企业实际情况结合,使得内部控制与风险管理水土不服。
2.内部控制和风险管理组织机制较弱
一是公司治理结构不规范,不能有效制衡管理层的强大权力,董事会没有或者不能负起监督管理层的责任。二是过分夸大内部控制和风险管理的作用,认为只要建立了内部控制和风险管理,企业的发展就是必然的。三是缺少对企业自身的特点、发展阶段、行业特性、技术条件、外部环境等情况的评估机制,使得内部控制与风险管理本末倒置。四是管控模式和组织结构设计不合理,无法有效控制企业风险,难以建立有效的内控和相互制衡的机制。五是缺乏系统的风险管理体制,没有将风险管理的手段和内控程序融入到管理与业务的制度与流程中。
3.内部控制与风险管理执行力度较弱
制度的关键在于执行,没有执行或执行力度不够,再先进的制度也不起作用。影响内部控制和风险管理执行力度的因素很多,其中,企业组织结构不合理、执行人员素质偏低、企业文化落后、资源配置不当是主要因素;制度本身的局限性及制度与制度之间的不协调性也给内部控制和风险管理的执行带来困难。内部控制针对的是“事”而不是“人”,是一种“非人格”的控制机制,其控制对象不限于受控方,施控方也是内部控制的控制对象。内部控制需要全员参与、平行参与和平等参与,这与我国传统的等级制、科层制是大不相同的。
三、企业提升内部控制与风险管理的改进措施
1.建立内部控制与风险管理相融合的管控文化
一是建立完善的内部控制组织框架,将高管层、中层、普通员工全部联动起来,将内部控制的理念贯穿入公司上下,并对公司主要风险点建立追踪机制,以承接各种风险。二是开展一系列教育活动,包括合规在线、合规课件、合规漫画等,进一步巩固基于风险管理的内控文化。三是在传统金融内控经验的基础上,结合自身业务特点走出一条适合企业自身发展的内控道路,鼓励内控与风险人员学习专业课程,系统地提升自身专业知识水平。
2.建立合法合规符合实际的内部控制与风险管理体系
在越来越明朗化的行业大环境下,内部控制与风险管理需要符合国家相关法律法规、行业监管办法以及公司内部规章制度,需要建设既合法合规又符合实际的内部控制与风险管理体系。一是从自身实践出发,建立和完善内控管理机构,并高度重视内控专业人才的培养。二是按照科学、精简、高效、透明、制衡的原则设立组织架构,设有内审、合规和法务等模块,并将治理层和管理层相隔离,避免职能交叉、缺失或权责过于集中。三是由内控部门制定一系列制度,有助于内控识别、评估和解决风险。
[关键词]内部控制;风险管理
[中图分类号]F272 [文献标识码]A [文章编号]1005-6432(2011)23-0098-02
金融危机的爆发凸显了我国企业对企业内部控制和风险管理认识的不足,危机下,我国企业终于认识到了企业内部控制和风险管理之于持续经营的重要意义,风险管理开始逐渐向其真正位置靠近。有效的企业内部控制和高水平的风险管理是正常市场秩序下宏观经济稳定运行的基石(胡俞越,2010)。刘江(2010)以外贸企业为研究对象,研究了外贸企业内部控制与高风险管理问题,他认为当前面临的经营环境更加复杂多变,除一般风险还存在信用风险、外汇风险、应收外汇风险以及信用证风险等行业风险。进而指出外贸企业内部控制与风险管理的相互关系;通过有效的内部控制和风险管理来规避、减小风险,必须构建内部控制与风险管理相互融合的管理体系:第一是完善企业的控制环境,第二是规范企业业务流程。董焕(2003)认为内部控制的有效与否,直接关系到一个企业的兴衰成败。内部控制的失效,将严重影响会计信息的真实性,他首先分析了内部控制的含义,我国内部控制制度的现状和我国内部控制制度现状的成因分析:产权不明确、风险意识差,内部压力不足、法制不健全、内控机制不健全和人员素质低下。指出加强我国企业内部控制的对策建议,加强现代企业制度建设,完善法人治理结构;加强法制建设;快速制定相关的注册会计师执业标准;加强研究,丰富理论,建立标准,示范指导;加强企业内部审计;加强相关配套措施和发挥财政金融作用。刘杰(2010)从内部控制设计和执行的角度,对内部控制进行研究,提出提高内部控制有效性的措施:从提高内部控制设计水平和保证设计的系统性两个方面提高内部控制设计的有效性;从提高管理的观念和执行者的素质,加强执行监督和建立内部控制定期评估制度方面,提高内部控制执行的有效性;从加强政府对内部控制的推动作用、发展经理市场、建立科学的内部控制评价标准体系、发挥社会中介对内部控制的推动作用等方面,发挥外部因素促进内部控制设计和执行的有效性。
1 企业内部控制和风险管理的关系
企业内部控制概念的发展是一个十分复杂的过程,不同的管理学家和组织部门都给予不同的概念,但是所有的概念都体现在这样一个范围内,即为了实现企业的有序运行、经济效益的实现以及经营的安全性,对企业的组织和管理进行有效的控制和预防,阻止错误业务和非法业务发生的组织行为。当前企业内部控制概念都与风险管理密切相关,这就是企业内部控制的有效性,风险管理是企业内部控制有效性的一种实现手段。风险管理是在企业内部管理基础上发展起来的,但两者密切相连,良好的风险管理是实现良好有序的企业内部管理的有效方法,有序的企业内部管理才能更有条件实现有效的风险管理。
尽管两者之间存在密切的联系,但是还是有一定的区别的,企业内部控制主要侧重于企业财务和审计方面的涉及财务状况和审计活动的企业会计控制,它仅仅是设计到企业经营活动某个方面控制的行为,实际上全面意义上企业内部控制没有实现,风险管理在企业内部控制基础之上产生,但是它主要是针对项目活动的决策行为的相关风险、成本和收益等方面进行的风险控制,以便为能否采取此项目提供
参考意见,实际上,这种企业整体风险控制的体系也未曾建立。
2 我国企业内部控制和风险管理存在问题及成因分析
首先,企业产权不明确严重影响了企业内部控制水平和风险管理水平。企业产权不明确问题在国有企业别严重,企业产权不明确存在这样一种问题,企业经济的产权收益主体不明确,主体职位的缺乏,权责不清,造成企业激励机制不明确,企业内部控制关系到审计和会计成本效益测算的活动就会受到约束,项目风险决策不完善。
其次,企业内部控制和风险管理的市场主体意识不强。目前我国经济运行比较稳健,随着改革开放,市场经济发展,特别是一些小企业开始迅速兴起和发展,较好的市场经济环境下,即使当前企业内部控制不好,风险管理意识不强,短期内的负面效果还难以体现出来,而这些企业的经营者也多是农民出身,难以形成长远的发展眼光去增加企业内部控制和风险管理的规范。
最后,企业规模小、人员素质低、内部管理运行机制不健全。我国内部控制最主要的问题是企业的激励机制不健全,这也是影响企业发展的最主要原因。一些小企业规模小,企业结构不完善。专门以生产销售为主的狭隘战略眼光,使得企业不愿意也没有足够的能力和技术进行内部控制和风险管理。企业的管理人员缺乏足够的专业知识和管理方法,即使受到欺瞒也很难通过自身相关知识去识别到。影响了内部控制的有效性。内部控制和风险管理机制的完善均需要有专门的人员负责,小企业难以实现。以我国企业绿色经济为例,企业内部一项涉及经济和环境的投资绿色经济的项目,企业在绿色经济效益成本和财务核算上没有专门的财务人员。项目决策就可能受到影响。另外企业员工素质水平不高,严重影响了企业内部控制水平的提高,在自己的利益受到侵犯下,企业员工没有足够的知识和法律常识去维护自己的利益,多种情况下容易受到蒙蔽行为的侵害。
3 加强企业内部控制与风险管理水平的措施
(1)完善企业风险识别、风险评估和风险预防体系。企业风险识别是企业风险管理的第一个阶段,风险识别就是企业在风险潜伏期就要识别出其危害行为,风险识别简单地说就是对企业的经济业务进行简单的推测。风险就是不确定,一个全面和综合考虑的观察视觉有助于风险识别准确性的提高。简单推测后的确定性风险,就需要进行风险评估,风险评估是风险管理的核心。风险评估坚持的最主要的原则是全面客观性的原则,风险评估可以采用定性和定量的两种方法,包括对风险发生的确定能概率和不确定能概率进行评估。风险评估必须对风险进行等级划分,这样才是合理的评估,以包装经济为例,进行包装项目的效益测评和风险评估,首先考虑这种项目风险的概率和确定性的概率,然后就要考虑这种项目的其他影响因素,即目前和绿色包装,这种项目是否对环境有危害,有的则进行相应的评估扣分,没有或者促进环境改善,就需要对该项目加分,这样的风险评估才是完善的。
(2)加强和完善企业制度建设,进行内部控制与风险管理,首先要建立“产权明晰、权责清楚、管理科学、政企分开”,现代化企业管理制度,现代化企业管理制度实现了企业主体的明确,更最大限度地调动企业管理者和经营者的积极性,企业的内部控制效率就会大幅度提高。
其次加强企业员工的综合素质建设,加强企业财务人员和审计人员相关核算知识和风险预防知识,对企业的每一个员工都增强其对企业内部控制和风险管理知识的了解,定期实施相关的座谈和培训。使每一个员工都认识到企业内部控制和风险管理的重要性;提高管理人员的相关素质和基层管理人员的个人参与意识,在自己的利益受到危害下,有足够的能力和专业知识去识别,提高企业内部控制有效性,提高企业风险管理水平。
(3)完善企业内部审计,提高风险管理水平。加强对企业审计部门的管理是有效进行内部控制的管理,应该坚持把审计部门的设置同企业部门分开,这样才能避免一些行为不端者进行,审计部门的工作才能更为准确的反映企业的管理状况、经营状况,才能对企业的管理作出合理的分析、准确的评价,从根本上提高企业管理水平,提高企业经济效率。另外还要加强对审计人员的职业道德培养,审计人员的职业道德素质关系到工作内容的真实性,审计人员必须坚持工作原则和职责,以反映真实情况为准,做一个合格审计工作者。
(4)重视对内部管理控制和风险管理信息反馈的收集。企业的内部控制与风险管理活动是一个不断变化的过程,市场经济活动的发展会不断改变企业经济活动和企业目前所处风险状况,企业会根据相关情况,随着风险的变化,及时调整和适应当前状况,例如现代环境不断恶化的情况下,对企业的环保和无公害要求相对加大,我国目前的绿色经济就是其中一例,此种情况下,市场就会对企业的环保风险的管理提出更高的要求,有效的内部管理控制和风险管理,能即时密切注意市场经济发出的信号,并根据市场信息调整其项目环保政策,跟踪项目的相关指标情况,并定期整理汇报相关信息,从而建立一个动态的反馈系统,以适应市场的发展要求。
参考文献:
[1]胡俞越.后金融危机时代下的中国企业风险管理[J].浙江工商大学学报,2010,100(1).
[2]刘江.外贸企业内部控制与风险管理问题研究[J].金融经济,2010(2):78-79.
[3]董焕.论内部控制失效的原因及对策[J].吉林省经济管理干部学院学报,2003,27(2):18-19.
[4]刘杰.提高企业内部控制的有效性[J].合作经济与科技,2010(2):52-53.
[5]石涛.浅议内部审计与企业风险管理[J].中国管理信息化,2011,14(2):35-36.
内部控制框架是企业实施内部控制的一个规范体系,它是企业达成目标的指导框架,该框架规范了内部控制的目标、概念以及实施程序等内容。我国内部控制的第一个行政条例就是在1997年5月颁布的《关于加强金融机构内部控制的指导原则》,在这之后,我国又于2000年7月颁布并实施了第一部要求内部控制的法律《会计法》,该法律体现了会计内部监督的理念,从2001年到2004年,我国财政部门相继颁布了10项内部会计控制规范,主要有《内部会计控制基本规范(试行)》以及《内部会计控制规范—资金(试行)》等,国有资产监督委员会在2006年的时候了《中央企业全民年风险管理指引》,该指引充分体现了风险管理的基本流程。我国的企业内部控制标准委员会(CICSC)于2006年7月正式确立,该委员会确立之后的第二年就了《企业内部控制规范—基本规范》,第一次提出了我国企业内部控制规范的整体框架。随后我国在2008年5月了《企业内部控制基本规范》,在2010年4月了《企业内部控制配套指引》这两大内部控制规范体系,就这样,我国企业内部控制体系结构就由此而生。它简要明了,结构合理、方法科学,正符合我国的企业内部控制标准委员会(CICSC)所倡导的基本规范体系。
2内部控制整体框架与企业风险管理整体框架
2.1内部控制整体框架
在1929年美国AAA(会计师协会)和FRB(联邦储备委员会)的《会计报表的验证》中,首次提到内部控制这一名词,1992年美国的COSO委员会提出的《内部控制—整体框架》中指出,内部控制是一个过程,一个由经理以上阶层和员工共同实施的过程,其主要的目的就是使企业达到运营效果,与此同时,要严格遵循相关的法律法规,并保证企业财务报告的可靠性。这就是COSO委员会认为的内部控制。在COSO委员会在1992年9月的《内部控制—整体框架》中,明确提出了支撑内部控制的框架五要素,分别是:控制环境、控制活动、信息与沟通、风险评估以及监督,这五元素共同构建了内部控制整体框架。各元素之间的关系是相互制约的。
2.2企业风险管理整体框架
企业风险管理是一个过程,它是渗透于企业各项活动中的行动,企业风险管理所涉及的人员是整个企业的员工,不分阶层,一个企业要想茁壮成长就必须要将风险管理过程应用在每个部门和每一位员工身上。企业风险管理既可以从企业的总体对其进行分析,也可以从单独的部门对企业有一定认识,企业风险管理框架的目标就是实现企业的目标。构成企业风险管理的八要素分别为:内部环境、目标制定、风险反应、风险评估、事项识别、信息和沟通、控制活动和监督。其中,需要注意的是风险反应,它主要分为四类:减少风险、共担风险、规避风险与接收风险四类,企业应对每一个重要的风险都要考虑相应的风险反应方案。
3从企业内部控制走向全面风险管理———3C全面风险管理框
在企业中实施企业全面风险管理是新时期下的环境所导致的,在我国企业的管理中,风险管理是一个相对薄弱的环节,近年来,由于我国企业的风险管理工作薄弱而引发的事件不再少数,所以,建立我国企业全面风险管理框架成为了我国企业发展的首要问题。我国在2004年由COSO委员会颁布了内部控制整体框架基础,这一框架的迎来了全面风险管理时代。2008年5月了《企业内部控制基本规范》,在这一规范中,能够明显看出,我国由原来的理论框架已经逐渐走向了风险管理,进一步完善了中国企业内部控制规范体系,在2010年4月,我国又相继了《企业内部控制配套指引》,并在2012年进一步完善了该条例,要求实行企业内部控制规范体系的企业,要对企业本身进行自我评估,并相应地作出自我评价报告,交由政府监管部门进行监督检查,这充分说明了我国企业正在从内部控制走向全面风险管理。我国企业要想提高市场竞争力,实现可持续发展,就要建立完善的企业内部控制体系,首先,管理者要树立风险管理理念,提高管理层的风险意识,对企业所涉及的风险要素进行分析,并制定相应的措施去应对,同时,还要加强道德与行为准则体系建设,适当地激励或是约束企业员工,建立一套具有操作性的行为规范和准则。除此之外,要明确企业的战略目标,需要注意的是,在设定战略目标的时候,要考虑企业自身能够承受的风险数量。在以上的基础上,借鉴国外企业风险管理的经验,将目标—风险—管理这三个体系结合在一起,构建3C全面风险管理框架。在3C全面风险管理框架下,具体要实现以下五个目标,分别是:保护企业不因灾害事件遭受损失;达到企业整体经营战略目标;保证信息沟通以及财务报告的可靠性;有效率的运营;遵守法律。3C全面风险管理初步分成三层,还可以根据企业的自身情况进行细分。
制定3C全面风险框架的目的就是将风险整合起来进行管理,有利于推动我国企业的进一步发展。以中国电信湖南公司为例,中国电信湖南公司构建全面风险管理,主要是为顺应国有资产出资人的要求和资本市场监管机构的要求,提出了企业全面风险管理的目标和要求,同时,也是为了促进企业内部经营管理的需要,随着中国电信这个大集团的不断发展,该公司面临的挑战越来越多,那么相对应的风险程度也就越来越高,所以,为了提高企业的经营管理效率,该公司决定实现全面风险管理。在整个管理的过程中,中国电信湖南公司完全按照国家的政策执行,并且不断进行体制机制的创新和改革,切实地推进五项集中管理,通过建立现代企业制度、实施主辅主附分离、建立集中统一的会计管理体系、加快推进战略转型和建立有效支撑公司战略的内部运营体系,加强内部控制,来满足了国有资本监督管理的要求。此外,中国电信湖南公司还要成立独立的风险管理部门,以此来确定整个企业的风险管理工作,同时,还成立了全面风险管理工作团队,将整体的风险管理策略传递到各个部门中并予以实施,总之,要将系统论的思想重新进行考量,并且切实地应用到电信企业全面风险管理中,以此提高公司的抗风险能力,保证公司全面风险管理水平能够上升,进一步促进了企业的可持续发展。全面风险管理是一个复杂的系统,从某种程度上说,企业风险管理包含了企业内部制度,同时,二者之间又形成了新的目标—战略目标,这是企业的最高目标。实际上,企业风险管理具有四个构成要素,分别是:目标设定、风险评估、风险应付和事项识别,它们成为了我国企业风险管理中最重要的组成部分。我国未来企业应该建立完善的内控制度,提高全面风险管理意识。企业为了适应当前千变万化的市场环境,应该将全面风险管理切实地应用到管理活动中,与此同时,企业要根据ISO的《风险管理原则与实施指南》加强风险管理,将风险管理带进新的发展阶段。
4结束语
关键词 施工企业 内部控制 风险管理 策略 探究分析
一、施工企业内部控制与风险管理的内涵
(一)施工企业内部控制的含义
施工企业内部控制的含义,就是在某些特定的环境下,企业想要达到制定的生产及经营目的,确保施工企业的正常运转而实施必要的内部控制手段。内部控制的执行首先源于企业领导的重视程度,企业通过一系列对生产经营的策划和实施,从而确保在运营上的有条不紊。施工企业风险管理与施工企业内部控制二者之间相互联系、密不可分,施工企业只有让内部控制与风险管理“并驾齐驱”,才能使施工企业在最大程度上焕发生机与活力。
(二)施工企业风险管理的含义
施工企业风险管理的含义,就是施工企业的各个层面对于可能遭受的风险予以综合考核与评估,并且采用风险管理方面的知识技能对施工企业的发展运营状况有一个宏观的预测及把握,尽可能地促使施工企业利润最大化,促进施工企业保持稳定良好的生产经营态势。对施工企业进行风险管理不仅可以帮助企业抵御风险,还可以为施工企业的下一步发展做出科学合理的规划,这些都是风险管理所涵盖的业务范围。施工企业风险管理涉及的种类比较繁杂,诸如在施工企业发展的各个期间具有多样的风险管理方案,如果风险管理工作做得好,那么将有助于施工企业的健康发展。
二、施工企业风险管理及内部控制工作中的缺陷
施工企业中的内部控制与风险管理是密不可分、相辅相成的,前者是后者的必要前提,后者为前者的正常运营提供知识技术支持,施工企业要想确保自身拥有良好的整体运营水平,就需特别注意内部控制与风险管理的搭配。近年来,我国有不少施工企业在当前的经济趋势中呈现出倒退的现象,其中一部分原因就是对本施工企业风险管理及内部控制工作存在的缺陷没有引起充分重视,控制不当。而缺陷主要表现在以下几点:
第一,组织机构体系不健全。组织体系对风控工作来说至关重要,一个完整的体系应该包括机构、制度、培训。很多企业只是重视了其中一个方面,规则离散,未形成有效的制衡体系。
第二,未形成浓厚的风控氛围,奖惩兑现力度不够。机构建立了,人员齐全了,怎样开展工作,使企业全员都绷紧这根弦,一些风控管理者没有真正思考这个问题。
第三,关键风险点分析不到位,采取措施不当。这是最关键的一步,如果对关键风险点把控不好,监控不够,最终风控效果绝对不佳。
三、针对施工企业风险管理及内部控制中的缺陷,提出有效的解决措施
对施工企业在内部控制与风险管理工作中存在的缺陷提出以下解决措施:
(一)完善体系,梳理流程,强化培训
完善体系就是成立风险内控工作领导小组,由公司主管领导担任组长,副职领导担任副组L,各部门的负责人为小组成员,并指定风险内控工作牵头部门负责日常事务的总体组织工作,而最为关键的是在各部门和各项目部设置兼职风险内控联络员,负责本部门和本项目部的风险内控工作。流程梳理就是出台风控总体调控办法,对企业的制度实行总体梳理,对照企业每年的风控自评表找出制度设置空白点,加紧筹划出台相关制度,但是很多企业容易忽略一个问题,现行的有效制度究竟有多少,在加紧出台制度的同时没有对旧制度作梳理,导致新旧制度认定不清,解决方法就是企业每年出台现行有效的制度一览表,以红头文件形式进行下发,使施工企业各层面能有效接触到最新的制度清单。强化培训就是要探索适合施工企业行之有效的方式,现阶段,施工企业可以采取的较好方式就是录制讲解视频,将本企业重视的方面进行录制,并传输到所属单位进行观看,这样既节省了成本,又可以更直观。
(二)强化奖惩,形成风控的良好氛围
目前在施工企业当中,安全管理作为一个大家都关注的重大风险予以关注,依赖于责任状的签订和一票否决制制度,但是对其他方面的重视程度,势必是一个值得深思的问题。比如项目管理风险,平时项目部技术人员发现的技术改进措施,施工中的盲点都可以设立技术奖励基金,由技术人员直接给项目总部提出解决措施建议,项目部召开论证会进行评审,通过了就及时发放该笔资金,缩短链条,而不需等到年底报工法评审。这样既充分调动了施工技术人员的积极性,对工程的质量也具有保证。
(三)采取多样化的方式进行施工企业风控关键点的识别和控制
对于施工企业来讲,有效识别自己领域内的风险要慎之又慎。在识别时要根据本年度生产经营的具体实际来分类控制。安全质量风险、项目管理风险、财务风险为施工企业每年常见的重大风险,在填报风险识别表时对这三类风险的建立要更加细化,而不是仅填企业今年面临什么重大、重要风险。比如安全质量风险要列出容易发生的施工类型、项目管理风险的重难点工程是哪些,财务风险具体表现在什么业务板块上,由每个领域的专业人员进行分类填写,不再追求参与的广泛性,而更加在乎参与的有效问卷,否则在风险内控样本采集中会出现偏差。
在控制层面,要更好地依靠信息化手段进行控制。总体来讲就是项目管理系统和统计报表。施工企业在项目管理系统中能够实时查看企业各项数据,此数据可以作为到项目实地检查的依据,且具有充分的权威性,对系统数据录入和统计报表填报采取定期通报制度,加强项目部录入人员对数据的严谨性。平时主要掌握台账,到实地核查时不再将主要精力放在纸质资料上,而是现场走访,放在整体施工效果的符合性上,项目检查可以采取多种方式。比如抽调熟悉此施工类型的同片区的其他项目人员进行项目交叉检查,既容易发现问题,又能交流经验,也有利于发现本项目部的隐患。
四、结语
本文探究分析的是施工企业内部控制与风险管理的策略,从近年来大的外部环境来看,施工企业如果没有有效的风险管理,就会使得遭遇风险的概率增大,由此给施工企业造成品牌、信誉、承揽方面的损失。再者,如果施工企业没有进行内部控制,那么会使施工企业的整体运营状况缺乏有力的监管,内部的各个施工程序松散零乱,这会在源头上不利于施工企业的建设和发展。希望施工企业相关从业人员对这两方面予以关注,使施工企业合规合法经营。
(作者单位为中铁二十三局集团第四工程有限公司)
[作者简介:侯美娟(1983―),女,本科,经济师,主要从事企业管理、资质管理等相关工作。]
参考文献
[1] 张金安,赵军贵,杨文武.固定资产投资建设精细化管理流程体系的实施[J].航天工业管理,2012(3):87-89.
关键词:内部控制 风险管理 企业利润
随着经济社会的高速发展,我国企业也越来越正规,其内部控制制度也逐步走向规范,但是目前内部控制理论的发展已经与风险防控理念相结合,因为各种各样的风险时刻威胁着企业的财产安全与可持续发展,企业必须从内部控制的规范完善入手来提高自身风控风险的能力。内部控制与风险防控虽然独立存在,但是目标一致、联系紧密、相辅相成、缺一不可。现代内部控制规范和制度的建设,不能离开风险控制理念和方法的应用。论文通过对内部控制体系和风险控制体系的论述,了解其现状,并结合企业自身实际情况找出解决之路。
一、简述企业内部控制与风险管理的概念
1.内部控制的概念
企业内部控制是指为了保护企业财产安全、保证会计信息的准确性、确保经营管理制度的有效执行、全面实现企业经营目标而实施的一种自我监督和自我管理的手段。企业内部控制是通过实施企业内部会计控制和内部管理控制,对企业内部各部门、各阶层、各工作环节和程序进行事前预测、事中控制、事后监管,全面贯彻经营策略、执行管理任务,以实现提高经营管理水平、促进经济效益实现、扩大企业利润空间的目标。
2.风险管理的概念
企业风险是指企业在经营过程中产生的可能造成企业经济利益流失的因素。风险管理是对风险的确认、预防和控制,旨在减少风险造成的损失。企业风险管理通过对风险辨识、估测和评价来选择管理风险的方法,对风险进行实施监管和妥善处理。有效的风险管理可以减少风险给其带来的损失,有助于企业所有者和管理者为企业未来发展做出正确决策,最大限度的保证经营管理的正常运行,保护其财产安全和完整,实现企业经营活动目标。
3.内部控制与风险管理结合的重要性
内部控制和风险管理在企业内部的实施有效预防财务报表造假现象,端正员工工作态度,依法办事,保证会计信息的准确性,确保企业所有者和管理者能够获得真实、有效的经营现状,促使企业做出正确的决策。与此同时,提高员工的风险意识,遵循其各项规章制度,提高工作效率,保护企业资产安全,促进企业各项发展策略的顺利实施,进而推进企业发展目标的实现。
二、内部控制与风险控制的关系
1.内部控制与风险控制的内在关系
(1)风险控制包含内部控制
从组成结构来看,风险管理包括内部环境、设定目标、风险评估、风险辨认、活动控制、风险对策、信息与沟通和监督八个部分组成;内部控制由环境控制、活动控制、信息与沟通、风险评估和监督五个部分组成。由此可见,风险控制包括了内部控制。
目前,内部控制作为实施风险控制的重要手段,在确认风险和控制风险环节起到重要作用,甚至是不可或缺的地位。内部控制保证了会计信息的可靠性,使企业领导层及时了解到真实的企业现状,企业经营者及时发现风险,并找出正确方法予以解决。如果企业缺少内部控制,将很难保证风险控制的有效性或效果不明显,进而造成企业发展失衡、待滞。
(2)内部控制等于风险管理
在一些学者眼中,内部控制等于风险管理。内部控制和风险管理的最终目标都是实现企业可持续、稳定的发展。内部控制是实现风险管理的技术与方法,风险管理是内部控制的延续。如果没有内部控制,风险管理则无法有效进行,也就达不到预期目标;如果没有风险管理,内部控制的工作失去了原有的意义。
(3)风险管理与内部控制互为前提
内部控制和风险管理同属于企业经营管理的范畴,互为前提,都是通过对风险的有效控制以实现减少风险、扩大利润的目的。企业风险是源自于收益的不确定性,所以,实施有效的经营管理来确保企业未来收益最大化是最科学的风险管理。实际上,风险管理目标就是通过减少风险带来的损失,来实现其利益最大化。但是,一旦风险管理不能有效实施,损失将会转化为成本,根据“利润=收入-费用”的原理,同等收入的情况下企业利润空间会缩小。
2.内部控制与风险控制的异同
内部控制和风险管理二者关系紧密,目标一致,互相联系,相辅相成,缺一不可。内部控制和风险管理的最终目的都是通过风险控制实现企业财产安全、完整和企业利益最大化。
内部审计和风险管理虽然有着共同目标,但是实施工作的具体范围不尽相同。风险管理是对可能与风险有关的经营管理程序或内容进行监督和控制;内部控制是对企业内部各部门、各阶层的监督和管理,不仅仅是与风险相关的,而是实现企业内部的全面覆盖。风险管理旨在通过风险控制,实现企业利润的最大化;内部控制不仅要对风险有敏锐的洞察,还要发现和帮助企业经营者解决企业在经营管理中可能出现的各种问题。
三、关于内部控制与风险管理未来发展的建议
1.内部控制与风险管理的现状
(1)对风险管理的认识不够,缺乏先进的管理体制。目前,我国大多数中小企业所有者和管理者对风险的认识不够,导致风险管理体系落后,不能及时的发现风险、控制风险、化解风险。由于风险管理体系发展的落后,导致内部控制不能全面、有效的运行,进而严重阻碍企业稳定、持续的发展。
(2)企业内部控制和风险管理未能实现整合。目前,我国正处于经济体系发展阶段,国内、外经济环境瞬息万变,因此给企业发展带来了诸多不确定因素,包括机遇,也包括挑战。显然,传统的内部管理制度已经不能完美应对风险带来的危险。只有将内部控制和风险管理有效结合、互补互用,才能化解风险,实现企业利润最大化。如果内部控制和风险管理继续分开管理、分开运行,其实施将受到限制,不能有效发挥起作。
(3)对内部控制和风险管理的关系了解不够,导致不能正确运用。通常情况下,企业不能准确梳理内部控制和风险管理之间的关系,工作不能承上启下,致使对风险的控制工作不能正常、有效的进行。内部控制要为风险管理提供工作资料,风险管理为内部控制提高工作效率。如不能依据二者关系进行工作,将阻碍风险控制,严重影响企业持续、稳定的发展。
2. 完善内部控制与风险管理的策略
(1)提高风险管理和内部控制在企业中的地位。由于行动受到主观意识的影响与支配,所以风险管理得到重视是进行风险控制和内部控制的主要前提条件。目前,我国与内部控制相关的政策与规范正在逐步完善,企业要认识到内部控制与风险管理在企业发展中的作用,充分发挥的其作用,提高其工作效率。增加工作价值,进而减少其财务和管理风险。
(2)建立严格的风险评估机制。内部控制与风险管理是相互关联的,风险评估是实施内部控制的重要依据。由此可见,企业结合自身实际情况,建立完善的风险评估机制是做好内部控制工作的基本途径。在内部控制设计上要设置风险识别点,在内部控制流程上要融合各种风险识别方法,在内部控制培训上也要对风险识别的理论知识和方法技巧有所涉猎,发现风险点后,还要结合专业技术方法和经验进行风险评估。然而风险评估的进行也是与企业内部控制是否完善和自身内部控制经验相关联的。
(3)聘用、选拔高素质人才,培养员工业务能力。高素质人才是企业发展的关键。企业要通过严格的招聘、面试等制度挑选适合的人才。对在职员工进行专业培训,开积极展技术交流活动,提高员工专业素质,及时更新员工知识储备,从而使员工为企业创造更多的经济利益。
(4)建立有效的信息沟通体系。企业要建立有效的信息流通体系,加强各阶层之间、各部门之间、各员工之间的信息沟通,加快信息的传递速度,实现企业资源共享,以此达到企业所有者和经营者及时、准确掌握企业现状的目的。
四、总结
根据前文的分析,内部控制与风险管理是相辅相成、不可分离的。建立健全内部控制制度、完善风险管理体系与明确二者关系,是有效控制风险的前提。内部控制和风险管理作为企业抵御风险的重要手段,必须加强合作,互通信息,全面贯彻企业经营管理方针,有效控制风险,实现企业利润最大化目标。企业要高度重视内部控制与风险管理建设,强化风险意识,积极应对,有效防范。
参考文献:
[1]顾红斌.浅析企业内部控制与风险管理[J].金山企业管理,2013,(3):42-44
企业内部控制制度的建立和完善是改善企业内部管理、提高企业竞争能力的重要内容。本论文在总结内部控制理论的基础上,对内部控制的存在的问题、原因等方面作了一些探讨,找出企业面临的各种风险,结合COSO关于内部控制五要素,针对各种风险提出了具有针对性和可操作性的防范对策,为企业完善内部控制提供了一定的理论指导。
关键词:内部控制风险管理案例
一内部控制概述
1.内部控制概念的演变
内部控制论理论是随着企业内部控制实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段。1992年COSO委员会提出并于1994年修改的《内部控制——整体框架》报告,标志着内部控制理论与事件进入了整体框架阶段,整体框架对内部控制做了如下的描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。这一定义明确了四个要点:是一个过程;受人为影响;为了达到三个目标;合理保证。它由相互关联的五项要素构成,分别是:控制环境;风险评估;控制活动;信息和沟通;监督。
控制环境:任何企业的核心是企业中的人以及这些人的个别属性和所处的工作环境,个人的诚信正直、道德价值观与所具备的完成组织承诺的能力、董事会与稽核委员会、管理阶层的经营理念与营运风格、组织结构、职责划分和人力资源政策与程序。
风险评估:在瞬息万变的市场环境和异常激烈的竞争中,企业的经营风险越来越大,企业要生存和发展,必须清楚并应付其面对的各种风险。同时,企业也必须设立可辨认、分析和管理相关风险的机制,以了解自身所面临的风险,并适时加以处理。
控制活动:企业必须制定控制的政策和程序,刁一有助于确保既定目标及必要改善措施的有效实施。
信息和沟通:围绕着这些控制活动的是信息与沟通系统,这些系统使得企业内部的员工能够获取和交换他们所需要的信息,以指挥、管理和控制企业的经营。
监督:企业整个内部控制的过程必须受到监督,并在必要时得以修订,这样,系统及制度才能反应自如,并能视情况而随时调整。
2.我国内部控制概况
我国企业内部控制制度理论起源于20世纪80年代,但到目前为止,尚未正式提出权威性的内部控制标准体系,对内部控制的完整性、合理性及有效性缺乏一个公认的标准体系。我国有关内部控制制度的指导原则、指引、规范则出自不同的政府部门,这是由于企业的管理体制造成的。国资委管国有大中型企业;证监会管上市公司的信息披露;财政部管全国所有企业的财务与会计工作,并负责会计准则与制度的制定。然而,内控指导原则、指引或规范由各政府部门分别制定,有许多弊病
⑴各部门各自研究与颁布内部控制的相关指导原则或指引,不利于内控制度的统一与协调。财政部正在陆续制定并的是内部会计控制规范,截至目前已经了十多个。而其他政府部门则仅制定了内部控制的指导原则、指引或对企业各项业务内部控制流程的设计与制定缺乏具体的指导。
⑵关于内部控制的定义、范围、目标等不相一致,内控要素、内控内容,以及内控方法的解释也不一致。
⑶缺乏统一的推进机构,不利于企业内部控制制度的贯彻与实施。各部门颁布的内控指导原则、指导意见或指引在实务中并未得到有效的贯彻执行。上市公司、银行、证券公司、未上市国有企业的频繁出事便是佐证。
客观地讲,我国近几年对内部控制的研究主要是以会计控制和审计评价为主线的,我们可将之简称为“会计导向”和“审计导向”。会计导向的典型代表是我国目前已的内部控制法律法规,它们是以内部会计控制为核心的,基本上没有涉及管理控制等非会计控制领域,甚至没有包括审计方面的内容。审计导向下
的内部控制研究则主要集中于审计程序与方法的应用、审计成本的节约、审计效率的提高和审计风险的控制等。
二我国企业内部控制与风险管理存在的问题
1.内部审计不具备真正意义上的独立性
内部审计是企业自我独立评价的一种活动,内部审计可通过协助管理当局监督其他控制政策和程序的有效性,来促成好的控制环境的建立。内部审计的有效性与其权限、人员的资格以及可使用的资源紧密相关。内部审计人员必须相对独立并且直接向董事会或审计委员会报告。我国一些上市公司内部审计即使存在,但却不具备真正的独立性,有的也流于形式。
2.缺少风险评估和风险防范意识
各企业缺少对自身固有风险的评估以及制定相应有效的管理措施。此外,管理者还应在对固有风险采取有效管理措施的基础上,对企业的残存风险进行评估和预防。
3.人力资源管理发展滞后
近年来,我国企业改革力度大,与之配套的人力资源管理却跟不上业务的需要。许多企业在员工的岗位培训方面,没有形成完善的制度,不利于员工的素质提高。
4.有效的价格风险评价机制尚未建立
由于当前市场不完善,竞争激烈、恶意竞争以及“低价中标”的招投标游戏规则,都不能使企业按企业定额客观报价,为了争取中标,不惜压低报价,承担更大的价格风险。
三完善我国企业内部控制与风险管理的途径
1.完险管理体系
全面风险管理是对整个机构内各个层次,各个种类风险的通盘管理。全面风险管理可使组织中各业务单位分散的决策者之间协调合作,使数据的收集、测量与处理更加一致,有利于审计和监督。企业要从全局、总体层面权衡利弊,使部门安排有关的业务流程都有所遵循。同时要制定严密的业务操作规程及信息传输报告制度,建立一个有效的全面风险管理框架,全面控制各方面的风险。
在机构内部广泛开展“深化内控理念,落实内控措施”的创建活动,结合自身情况及上级单位的要求,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。
2.健全内部审计控制
内部控制具有的限制因素具体如下:
⑴内部控制受企业的成本效益原则的限制。
⑵内部控制仅针对管理中的常规业务来设计。
⑶内部控制可能会因执行人员的差池而失败。
⑷内部控制可能会因不同政治气候、地方差异等环境影响而失去作用。
这些内部控制的限制因素,可以通过建立独立的内部审计机构来加以克服。内部审计人员定期检查项目的建设情况和建设成果,及时纠正各种错误和弊端,能促进内部控制的有效实施。
3.营造企业风险管理的文化氛围
企业风险管理框架是建立在内部环境的基础之上,内部环境直接影响和制约企业风险管理的成败。内部环境的要素包括员工的诚信,职业道德和工作胜任能力,管理层的经营理念和经营风格,董事会或审计委员会的监管和指导力度,企业的权责力分配方法和人力资源政策。要不断提高企业风险管理能力,需要一套企业层面的方法。这种企业层面的方法是由企业的组织结构,文化理念和经营管理哲学共同决定的。随着企业文化中风险敏感程度的提高,企业管理者会进一步掌握有效的风险管理能力。通过他们的推进、提供报告、贯彻相应的方法、构建适当的体系,以实施既定的风险战略和政策,企业风险管理水平将不断提高。
4.设计一套科学的内部控制行动指南
关键词:企业财务风险管理 内部控制 关系
一、企业财务风险与企业内部控制的内涵
1.企业财务风险管理的内涵
我们所说的企业风险管理是指在企业发展或项目实施的过程中,对于那些不确定的因素进行管理的工作。通常情况下,企业为避免这些不确定因素产生的企业风险,造成企业的巨大损失,会提前对这些不确定因素进行一定的权衡以及管理。这样的工作可以分为以下几个方面:
第一,对不利要素进行管理。企业财务风险管理是指对一个过程进行管理,这一过程可以分为两种形式,一种是企业发展过程中的财务风险管理,另一种是为了促进企业发展,实施各种项目的投资时,进行的财务风险管理。不论是哪一种过程,企业都必须分析并管理可能会对这一过程造成威胁的因素,以避免这些威胁因素影响企业的发展进步。
第二,需要配备专业的财务管理人员。这类管理人员需要具备较高的风险识别与分析能力,能够针对出现的财务风险作出准确的分析和判断,并提出适当的风险管理对策。企业从成立的那一刻起,便会产生财务风险,因此,企业成立之后,一定要聘用专业的管理人员对企业财务风险进行科学有效的管理。
第三,企业财务管理具有一定的应急性特点。在企业的发展以及各种项目投资的过程中,有些财务风险可以预知,但是仍有许多威胁性因素很难被人们预知到,这些威胁性因素可能会在一定的情况突然产生。
2.企业内部控制的内涵
我们通常所说的企业内部控制是指,为促进企业的发展,对企业的内部环境、各业务流程、员工行为等方面实施有效控制及适当激励的过程。科学的内部控制定义是:由企业董事会、监事会、经理层和全体员工共同实施的旨在实现控制目标的过程。企业内部控制包括很多方面,信息控制、财务控制、员工控制、生产销售控制等等。当前,我国的企业内部控制主要有以下几点作用:
第一,企业内部控制是保证企业有序运行的重要工作。企业内部各个部门之间的相互协调、相互监管的有效提升可以通过加强企业内部管理来实现,这样就保证了企业各项工作的有序进行。
第二,信息失真会给企业带来一些负面影响,特别是财务信息失真,会给企业造成严重的经济损失,进行内部控制工作则能够避免这一现象的产生。因此,通过加强企业的内部控制,使企业内部各个部门相互监督,减少信息失真对企业产生的影响。
第三,提高企业的综合竞争力。在现代的企业管理过程中,对企业发展进行协调的一个重要环节就是企业内部控制。通过加强企业的内部控制工作,能够有效的促进企业的健康发展,从而提高企业核心竞争力。
二、企业财务风险管理与企业内部控制之间的关系。
1.企业财务风险管理与企业内部控制的联系
第一,企业财务风险管理和企业内部控制都是为了促进企业的健康发展,使企业能够在本行业中站稳脚跟。进行企业财务风险管理和企业内部控制的管理者都是企业的董事会和管理层,实施企业财务风险管理和企业内部控制的人都是企业各部门相关员工,在实施的过程中,特别要求部门间和员工间的密切配合。不仅如此,在企业的整个经营管理的过程中,企业财务风险管理和企业内部控制都一直贯穿在内。
第二,实施内部控制的一个重要依据就是企业财务风险管理。企业的内部控制包含五个主要因素,内部环境,风险评估,控制活动,信息以及沟通。而企业的财务风险管理则是通过对信息的整合,避免出现产生财务风险的威胁因素。从这方面来看,企业财务风险控制可以说是从内部控制的概念中延伸出的一个概念。在内部控制的实际实施过程中,内部控制的风险评估可以以财务风险管理中的要素为标准。
第三,企业财务风险管理的一个工作重点就是进行内部控制。财务风险控制的工作是预测企业发展和项目投资过程中可能产生的风险,并进行提前的预防工作。而企业内部控制措主要是依据财务风险进行制定的。
2.企业财务风险管理与企业内部控制的区别
第一,企业财务风险管理同企业内部控制在内涵和边界上的区别。造成二者理解混淆的情况主要是因为二者在发展的过程中经过很多的相互借鉴和相互融合。实际上,从源头上来看,二者是有区别的:内部控制主要是围绕着会计与审计进行的,其考虑的主要风险是包括操作风险在内的经营风险,同财务风险控制有很大的区别。
第二,企业财务风险管理同企业内部控制在内容上的区别。企业内部控制的主要工作内容是防止产生信息失真状况,负责企业的整体发展规划,保证企业的有序经营。而企业财务风险控制的主要工作内容是管理并规避财务风险,将企业发展过程中的损害企业利益的因素进行考虑,采取措施,避免造成企业财务损失。
第三,企业财务风险管理同企业内部控制在结构上的区别。随着企业发展情况的不断变化,企业财务风险管理和企业内部控制的结构也发生了一定的改变。企业的财务风险管理扩展了企业内部控制结构,企业财务风险的管理目标有所发展。这就造成了二者之间在结构上的区别。
三、结论
当今社会,企业想要在市场经济环境下得到长期健康的发展,就一定要充分的利用企业财务风险管理和企业内部控制。使二者以一个协调的关系对企业的发展进行指导。
参考文献:
[1]曹卫军.企业的内部控制与风险管理探讨[J].财经界(学术版).2011(09)
关键词:信息技术 内部控制 审计风险 管理策略
一、信息化背景下的内部控制审计风险管理现状
在当今社会,现代企业内部控制审计要想真正发挥作用,就要对企业内部审计风险进行有效识别和控制,这离不开先进的审计技术方法。随着现代信息技术的发展进步,企业内部控制审计风险的管理不断趋向于信息化发展。信息化背景下的内部控制审计与传统常规的内部审计相比,具有宏观性、预见性和建设性等特点,比如,为了避免和减少内部控制审计风险,企业可以实施联网审计,使审计关口前移,随时跟踪,及时发现问题,并尽早给予解决,这是传统常规内部审计风险管理不可企及的。
在信息化时代背景下,企业内部控制审计环境发生了很大的改变,信息技术不仅降低了传统信息传输的迟缓、易失真的可能性,大大扩大了信息接收的范围,提高了信息传输以及接收的效率,而且信息技术的应用,使得企业的组织结构更加趋向于网络化、扁平化和虚拟化,减少了企业内部控制的层次,提高了企业内部控制审计风险管理效率。此外,利用相关软件和现代网络技术等信息技术,实现了审计测试工作的自动化或半自动化,有效地降低了手工审计状态下的人员舞弊或疏漏等造成的审计风险等。这些都是信息化给企业内部控制审计风险管理带来的良好效益。但不可否认的是,内部控制审计风险管理的信息化建设也有一定的弊端,如系统的开放性、数据的共享性、信息的分散性等都会给内部控制审计流程带来了新的风险,并且内部控制审计风险的信息化必须依赖于计算机等现代信息设备,这又给网络黑客等不法分子以可乘之机,而且一旦信息系统失灵或崩溃,将可能会给企业带来不可估量的损失。可见,信息化背景下的内部控制审计风险管理有其先进合理之处,但同时也存在着严重的危害性,因此,我们要能够辩证看待企业内部控制审计风险管理的信息化建设。
二、信息化时代下的内部控制审计存在的主要风险问题
信息化时代下的企业内部控制审计存在着很多风险问题,下面主要从内部控制审计人员、计算机信息系统、信息传达过程中以及信息责任追溯四个方面进行分析:
(一)相关内部控制审计人员方面存在的风险
企业内部控制审计管理者以及执行者的风险偏好可能影响到内部控制审计的风险判断。在信息化条件下,内部控制审计风险的评估虽然大多依赖于计算机等信息系统,但或多或少的存在着审计主体的参与。而信息化时代下的风险导向审计将内部控制审计的工作重点放在了风险评估方面,审计主体在进行内部控制审计专业判断时如果偏好风险,则可能会降低风险危害度,而如果审计主体对风险预估比较保守,就可能在评估时也较为保守,这种内部控制审计风险判断的弹性空间在一定程度上会影响到内部控制审计风险。
此外,审计人员在信息化条件下的运用信息技术与审计专业知识的综合能力也可能成为内部控制审计风险。
(二)计算机信息系统方面可能存在的风险
信息技术环境下的内部控制审计风险管理离不开现代计算机信息系统的支持,因此,计算机信息系统的环境和质量存在风险,则可能导致内部控制审计风险。一是计算机信息系统环境方面的风险。企业内部控制审计风险管理运用的软件所在的计算机存在网络故障、木马、黑客、病毒等安全风险,必将随时对企业内部控制审计风险形成威胁;二是内部控制审计风险管理软件方面的风险。一般说来,企业运用内部控制审计风险管理软件时,往往采用外界购买的方式进行,有的企业甚至为了节省成本,购买盗版软件,如果软件存在设计缺少保密设置、审核环节、反记账、反结账等缺陷,就可能存在随意更改审核内容的问题,那么,内部控制审计风险管理也就形同虚设了。
(三)业务信息责任追溯方面存在的风险
在传统手工内部控制审计风险管理中,每项工作都反映在书面上,每项工作的经手人、审核签批等都会有相应人签字,审计风险管理工作一旦出现漏洞,可以直接顺着线索找到负责人。但基于信息技术的内部控制审计风险管理中,各项审计管理工作都几乎脱离了相关责任人签字程序,各项纸质记录消失,数据存储介质也以磁盘、光盘、软件等为主,对于内部控制审计风险管理中出现的问题难以找到责任人,再加上计算机病毒、程序处理错误、网络传输故障、非法入侵程序等的威胁都可能使得电子数据被破坏或重要数据被篡改,业务信息责任追溯难以真正落实下来。
三、基于信息技术的企业内部控制审计风险管理的有效策略分析
在当前信息技术条件下,企业内部控制审计风险管理涉及很多问题,我们企业内部控制审计风险管理相关人员要齐心协力,严格按照相关规章流程办事,积极探索信息技术条件下的企业内部控制审计风险管理的有效策略,进一步完善企业内部控制审计风险管理措施。这也是在当前信息化社会背景下,值得每家企业管理者深入研究和探讨的课题。
(一)制定相关内控审计规章流程,严格按照规章制度办事
一是要加强对信息系统的控制与审计。信息技术环境下的内部控制审计风险管理主要是基于信息系统完成的,要想加强内部控制审计风险管理效果,首先要提高计算机安全系数以及内控审计风险管理软件的安全系数,在软件设计开发时就要从专业审计角度对信息系统的参数设定、授权流程审批、相关核算办法、数据库安全性能等各个方面入手,还要同时加强计算机防火墙的设置,提高计算机以及审计风险管理软件的安全和性能。
二是要制定内控审计规章流程。在使用计算机内部控制审计风险管理过程中,要制定严格的内控审计规章流程,审计部门必须不断创新内部审计方法,如为确保信息系统输出数据的准确性、可靠性以及有效性,内部审计人员要采用反复测算等方法来检查信息系统的管理模块等。内控审计风险管理的重要关口环节都应由至少两人授权审核,并定期对全部数据进行整合与审查,确保内部控制审计风险管理的有效性。
(二)提升审计人员的职业素养,确保内部控制审计公正合理
基于信息技术的内部控制审计风险管理工作需要大量的数据库查询、数据库更新、数据分析等信息技术,这就要求企业内部控制审计风险管理相关人员应当同时具备丰富的内部控制审计风险管理知识以及计算机网络信息应用知识。
因此,企业要健全审计人员的专业知识培训与职业道德培训,加快审计人员的审计业务、信息应用技术知识的更新,提高审计人员的计算机操作水平、审计管理软件使用水平,与此同时,还要定期加强内部审计人员的职业道德建设,对每一位从事审计风险管理工作的人员都要加强引导与教育,提高他们的思想道德素质,提高其面对各种诱惑的能力,促使其自觉遵守国家相关审计法律法规,真正奉行责任、忠诚、清廉、独立、风险、依法的审计风险管理核心价值观,为信息化内部审计风险的规避提供有力的保障。
(三)加大违规人员的惩戒力度控制违规违法人员违规成本
在实际的企业内部控制审计风险管理中,我们要在确保内部审计监督独立性的基础上,确保审计风险结果的客观性、公正性,同时应进一步明确每一位内部控制审计风险管理工作人员的职责定位,深化对内部审计工作的价值和作用的认识,实施责任到人原则,一旦出现问题,必须追究责任到个人,坚决避免相互推卸责任的状况,以此强化审计风险管理人员的责任感和使命感。
在信息化条件下,通过计算机进行舞弊行为成为独特的风险类型,内部审计人员在开展审计工作中,一定要加以重视。内部审计人员一定要强化对违规人员的审计惩戒力度,防止利用计算机漏洞或网络系统漏洞开展违法犯罪活动,一旦发现有违规人员故意破坏内部控制审计秩序,应严惩不贷,轻者可采取内部罚款、警告、严重警告、开除等内部处分,而如若触犯了法律或给企业带来巨大损失等事态严重者,可根据具体情况直接移交司法机关。这样,就大大提高了违规违法人员的违规成本,迫使其自觉遵守内部控制审计工作规章,各自做好自己的分内工作,这在某种程度上也有效地规避了内部控制审计风险,进而促进现代企业持续健康有序发展。
随着我国现代科学技术的发展,企业内部控制审计风险管理的信息化已成为其发展的必然趋势,但企业内部控制审计风险管理的信息化建设显然不是一蹴而就的,它的发展成熟需要一个漫长的过程。尽管当前信息环境下的企业内部控制审计风险管理存在着诸多问题,但只要我们制定严格的内控审计规章流程、提高审计人员的职业素养、加大违规人员的惩戒力度,多措并举、严格规范和加强企业内部控制审计风险管理,就一定能够找到与企业相适应的内部控制审计风险管理方法,进而提高企业内部控制审计风险管理的有效性。
参考文献:
[1] 顾庆忠.风险管理导向下对外投资的内部控制策略探讨[J].财经界(学术版),2015(5).
[2] 彭坤.会计信息化对企业内部控制审计的影响及对策研究[J].企业导报,2014(9).
关键词:企业内部控制;风险管理;探讨
随着经济的飞速发展,众多企业已经逐渐认识企业管理的重要性,但是目前我国很多企业对于风险管理和企业内部控制工作仍做的不到位,并且很多企业不能以风险管理的角度来看待企业内部控制,最终给企业造成了一定的损失。以下将针对风险管理以及企业内部控制进行分析和讨论。
一、正确认识风险管理和企业内部控制的关系
(一)风险管理
任何企业在发展中都会遇到风险,风险可能来自于企业内部,也可能来自于企业的外部环境。而风险对于企业的影响可大可小,严重的甚至会直接的摧毁企业。所以面对这些无法预料的风险,企业必须制定出一些专门应对风险的管理制度,即企业的风险管理。风险管理的主要任务就是针对风险进行预测、识别和衡量,并且制定出有效的手段和计划避免风险,或者将风险的损害降到最低,由此来保证企业的安全。
(二)内部控制
内部控制是企业内部管理组成部分之一,企业通过内部控制来制定有关制度与实行,并且促使各种内部管理制度可以得到有效的落实。使企业的业务和目标都可以达到,并且可以顺利完成,由此有效的提高企业的利益,以及推动企业的发展。
企业内部控制具有五大要素,分别为以下几点。(1)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化、社会责任等。(2)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。(3)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。(4)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。(5)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,包括日常监督检查和专项检查,以此评价内部控制的有效性,针对发现的内部控制缺陷,及时加以改进。
(三)风险管理与企业内部控制的关系
通过上述的定义,我们就可以发现风险管理属于企业内部控制,是内部控制的重要组成部门,两者的最终目的都为了使企业可以得到更好的发展。并且风险管理和企业内部控制都会对对方产生极大的影响,一个企业如果连企业内部控制工作都做不好,那么他的风险管理工作也不会多么优秀,而如果风险管理出现问题,那么就会导致企业内部控制出现漏洞,严重的影响企业的正常发展。
二、目前我国企业的风险管理和企业内部控制存在的问题
(一)企业风险意识较低
随着经济的飞速发展,越来越多的风险都会影响到企业的发展,企业面临的风险种类也逐渐增多,目前主要的风险包括:经营风险、信贷风险、市场风险、法律风险等。而这些风险对于企业的影响和损害是无法估计的,所以企业首先具有较高的风险意识。但在我国企业中的实际情况却是很多企业都严重缺乏风险意识,大部分企业只将大部分精力和资金都投入到可以为企业赚取利润的项目中,看不到潜在的风险,也没有针对风险进行有效的防治手段。而当风险真正的发生时,企业自然就会手足无措,眼睁睁的看着风险的来临。
(二)缺少风险防范措施
对于任何经营来都存在着一定的风险,而收益和风险却是正比,也就是说,企业如果想获得高额的利润就必须冒着极大的风险。而目前很多企业总是将目光放在高额的收益上,却看不到高额收益身边站着的风险,看不到风险自然就不会针对风险制定出有效的防范措施。而却少了有效的风险防范措施,一旦风险真的来临,那么高额利润背后的高风险会给予企业极大的打击,严重者甚至会造成企业破产、负债等严重现象,这对企业的发展来说是致命的。
(三)内部控制制度不完善
目前在我国诸多企业中都存在管理层的内部控制意识薄弱,只将目光放在企业的利益上,忽略了企业内部控制的建设,甚至有的企业认为内部控制可有可无。还有部分企业构建了内部控制体系,但内部控制体系不科学、不合理已经成为阻碍很多企业发展的重要因素。在很多企业中,企业的内部控制制度都由管理层来进行制定,而这种制定方式会出现管理层只看重自己的利益,而导致内部控制制度出现不公平的情况。这种方式制定出的制度也不符合职权分离原则,而很多企业虽然知道这个问题、看到这个问题,但却未将这个问题重视,也并未给予一定解决方式,而这种内部控制制度对于企业的发展来说,会起到一种阻碍,严重的影响企业的正常发展。
(四)缺乏专业人才
无论是风险管理还是内部控制都必须要有人来进行操控和执行,而目前很多企业操控风险管理和内部控制的人员并不是专业人员,只是企业在其内部随便挑选出的人员。而这种员工对于风险管理工作根本无法做出专业的决策,对于内部控制管理也无法做出正确决定。所以企业如此选用人才的结果最终导致风险管理部门和内部控制部门只是虚设,根本无法起到作用。
三、从风险管理角度提高企业内部控制的有效措施
(一)以风险为导向进行内部控制工作,并有效提高企业上下的风险意识
要做到以风险为导向进行内部控制工作,首先要做好企业的授权工作。通过过去国内外的案例就可以发现,很多企业出现内部舞弊案件的原因都是因为授权不合理而造成的。所以企业在授权时,必须要从保证企业的经营有效运行、内部管理制度有效的执行等几个方面来考虑。具体的来说,首要责任应是企业的CEO,各级经理为支持作用,由此才能保证整个企业的人员都可以具备风险意识,大大的推进企业内部控制管理工作的水平。
(二)加强各环节的风险控制、建立有效的考核机制
对于任何企业来说,进行风险控制是要考虑成本效益原则的,想要将内部控制工作做到全面是不现实的,所以企业应该针对一些关键点进行有效的风险控制,并构建对应的控制制度。而企业中的关键控制点就要包括企业业务以及经济活动中比较容易出现风险的环节,在对关键控制点进行确认后,还要对其进行量化的分析,模拟计算出其会给企业的正常经营带来多大的危险,并且根据风险制定出相应的措施。除了针对风险制定有效的措施以外,还必须针对企业关键环节的工作人员进行相关的培训教育,将风险意识植入到关键环节的工作人员的脑里。最后必须建立规范、科学的考核机制,明确各员工、各岗位的职责,通过规范、科学的考核针对员工进行考核,通过考核有效的强化员工的风险意识。
(三)创建有利于风险管理的内部环境
企业内部环境对于企业风险管理的实施来说具有重要影响。单凭企业的内部监督也的确能够加强企业内部控制工作,但这种方式是一种被动的方式。所以企业最好的办法就是通过教育和培训有效的加强员工的素质、道德以及品质,由此就可以将被动转变为主动,形成一个良好的内部环境。而企业内部良好环境的形成对于企业建立有效的风险管理来说,会起到一定的积极影响。而只有企业建立了有效的风险管理部门,才能让企业面对风险时将企业的损失降到最低点,这对于企业的发展来说,具有重要的意义。
四、结语
任何企业想要在激烈的市场中站稳脚步并且平稳的发展,那么就必须做好企业内部控制工作以及风险管理工作。只有企业从风险管理的角度来进行企业内部控制工作,才能更好的推动企业的发展,让企业面对任何困难时都可以平安度过。
关键词:内部控制;风险管理;萨班斯法案;COSO框架
一、内部控制的内涵、基本原则
1.内部控制的内涵、侧重点
(1)内部控制的内涵。内部控制是指企业的内部管理控制系统,包括为保证企业正常经营所采取的一系列必要的措施。内部控制贯穿于企业经营活动的各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。
(2)内部控制的侧重点。要加强企业内部控制,提高内部控制的水平,需从以下侧重点抓起。
①内部控制具有一定的目的性,为达到某种或某些目标而实施。
②内部控制是为达到某个或某些目标而进行的过程,且是一种动态的过程,是使企业的经营依循既定的目标前进的过程。它本身是一种手段而非一种目的。
③内部控制与企业经营活动相互交织,为企业基本的经营活动而存在。
④内部控制深受企业内部和外部环境的影响,环境影响企业控制目标的制定与实施。
⑤企业中的每一名员工既是控制的主体又是控制的客体,既对其所负责的作业实施控制,又受到他人的控制和监督。
⑥所有的内部控制都是针对“人”而设立和实施的,企业内部会形成一种控制精神和控制观念,直接影响到企业的控制效率和效果。
2.内部控制的基本原则
了解及坚持内部控制的基本原则,有利于企业组织内部加强内部控制、降低企业非系统风险,从而促进企业安全运行。内部控制的基本原则包括:
(1)内部控制应涵盖企业内部的各项经济业务、各个部门和各个岗位。
(2)内部控制应当符合国家有关法律法规和本企业的实际情况,任何部门和个人都不得拥有超越内部控制的权力。
(3)内部控制应当保证企业内部机构、岗位及其职责权限的合理设置和分工,坚持不相容职务相互分离,确保不同机构和岗位之间权责分明、相互制约、相互监督。
(4)内部控制应当正确处理成本与效益的关系,保证以合理的控制成本达到最佳的控制效果。
二、依托COSO理论构建内部控制整体框架
1.COSO理论框架内容
2003年7月,美国COSO委员根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft), 2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM),标志COSO委员会最新的内部控制研究成果面世。
COSO企业风险管理的定义 :“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。
2.构建内部控制整体框架
(1)企业风险管理的目标体系。新COSO报告将企业风险管理的目标归为战略目标、经营目标、报告目标、合规目标四类。战略目标,与企业的使命相一致,企业所有的经营管理活动必须长期有效的支持该使命;经营目标,与企业经营的效果与效率相关,包括业绩指标与盈利指标,旨在使企业能够有效及高效地使用资源;报告目标,该目标关注企业报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息;合规目标,是最基础的目标,指企业经营是否遵循相关的法律法规。
(2)企业风险管理的要素构成。在内部控制整合框架五个要素的基础上, COSO企业风险管理的构成要素增加到八个:①内部环境;②目标设定:③事项识别;④风险评估;⑤风险应对;⑥控制活动;⑦信息与沟通;⑧监控。八个要素相互关联,贯穿于企业风险管理的过程中。
(3)企业风险管理目标与要素的联系。目标是指一个主体力图实现什么,企业风险管理的构成要素则意味着需要什么来实现它们,二者之间有着直接的关系。此外,新COSO报告还强调在整个企业范围内实行风险管理。这种关系可以通过一个三维矩阵以立方体的形式表示出来。
3.COSO框架理论对中国的启示
(1)成立风险管理标准委员会,形成多元民主的制定机制。
(2)建立以风险为导向的“中国企业内部控制框架”,向构建“中国企业风险管理框架”自然过渡。
(3)各界根据风险管理框架,制定或修订各自的风险管理规范。如果“中国企业风险管理框架”能够及时推出,各部门、系统据其修订或制定相应的风险管理文件是解决问题的最理想方案。
三、萨班斯法案对我国内部控制的借鉴
1.我国内部控制现状
(1)企业内部控制环境急需建设。我国企业内部控制普遍存在一下问题:内部控制意识淡薄;人员素质较低;组织机构设置不合理;企业制度不健全;没有形成法制制约的大环境,还没有真正形成有法可依、执法必严、违法必究的大环境。
(2)控制不力。在我国企业中,财务与会计合署办公、会计人员素质较低、责权不对等、风险控制意识较弱、监督不强、信息交流不畅通等问题普遍存在,今后要特别注意开发与引进先进的企业财务与管理软件,逐步建立高质量的企业信息沟通系统。国内也有不少由于内部控制缺失导致经营风险的案例,比如亚细亚、中航油、中储棉、国储铜等事件,折射出了我国企业内部控制严重缺失,风险管理水平低下,监管缺位等管理上的弊端,给企业和国家造成了重大损失。
2.管理者责任
法案突出了内部管理者的法律责任,一旦出了问题,管理者不但要在经济上受到处罚,而且要追究刑事责任。建议我国也应界定管理当局的责任。管理层必须承担公司内部控制有效性的责任,并运用恰当的控制标准(如COSO标准)来评价公司内部控制的有效性,对形成的评估结果有足够的证据支持,同时签署一份关于公司内部控制有效性的书面申明。
3.建立管理者定期评价内部控制机制
(1)健全法律法规,对内部控制有效性进行强制性规定。近年来,财政部、证监会等国家监管部门陆续在2001年和2008年了我国《内部会计控制规范》、《企业内部控制基本规范》等相关法规,对于加强我国企业内部控制和风险管理起到了规范和指导作用。今后,还应在遵循以上法规和加强企业内部控制过程中,不断总结经验、分析教训产生的原因,学习其他国家相关法律法规的先进之处,逐步改进和健全我国加强内部控制和防范企业经营风险的法规体系,促进企业健康发展。
(2)制定科学规范的评价标准。由于缺乏一套完整的内部控制体系,造成内部控制有效性评价流于形式。因此,投入一定的人力、物力、财力,尽早建立一套完整的、公认的内部控制标准,使内部控制评价有章可循是必要的。
(3)统一内部控制规范的内容。目前我国理论与实务界没有对内部控制的内容形成一致的意见。我国内部控制的内容范围与COSO报告相比,还有相当的距离。有关内部控制规范的内容主要集中在会计领域,内部控制贯穿于整个生产经营全过程,企业的环境、文化理念、经营哲学等控制环境与风险因素都应纳入企业内部控制的范围来予以考虑。
四、企业风险管理理论基础及与内部控制的关系
1.企业风险管理理论基础
(1)战略管理理论。战略管理包含四个关键流程:战略分析;战略选择;现代企业风险管理框架研究战略实施;战略评价和调整。企业在实行战略管理的过程中,风险始终伴随其中,其成功实施需要风险管理的密切配合。两者是有机结合,相互交融的。
(2)系统论。系统论的观点和方法为我们建立风险管理系统结构提供了理论依据。风险管理由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个要素构成并相互影响的动态的过程,在企业的生产经营管理中发挥着重要作用,是一个系统,与其他系统一样具有整体性、联系性、层次性、目的性、环境适应性、动态性的特征。
2.企业风险管理与内部控制的关系
内部控制是风险管理的基础和本质要求,风险管理是内部控制的自然延伸与升华,二者现阶段是相互交叉融合的,只是在不同行业、不同时期、企业的不同层次,企业对内部控制和风险管理的强调各有侧重。
(1)行业本身特性。从事金融业的企业一般都非常强调风险管理的重要性,对风险管理的需求也就更迫切,因而以风险管理主导内部控制可能更方便。对于其它一般性制造企业等来说,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
(2)企业所处的生命周期。在初创期,企业高管层一般更加重视内部控制的强化。在成长期,企业面临的经营风险与市场风险也越来越大,以风险管理主导内部控制的管理模式可能更利于企业的发展。企业进入了成熟期,此时企业一般会努力健全组织体系与制度体系,在内部控制上会加大力度。在衰退期,企业的规模大但包袱沉重,内部控制成了企业高管层无法逃避的现实问题。
(3)企业内部不同层次。从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性各有不同。在战略风险方面,风险管理发挥主导作用,内部控制起到配合作用。到财务报告层次,内部控制发挥主导作用,风险管理起到配合作用,但随着市场条件的日益成熟,技术的不断进步,法律及监管实践的发展,内部控制必然走向风险管理。
五、美国纽约银行加强内部控制和风险管理结合的成功案例
美国纽约银行的风险管理与监控活动是由董事会及其下设的审计与检查委员会及风险委员会的授权开始。这两个委员会定期审查银行风险暴露情况、风险政策及风险管理活动,而风险政策主管除了负责日常监督及政策授权外,并与审计主管、合规主管共同维系风险管理结构的有效运作,已完成以下的阶段性目标:
1.确保银行风险经过适当辨识、监督、报告及评价。
2.阐明银行承受的风险种类与风险单位数,并传达至具体负责单位。
3.维持风险管理组织的独立性。
4.促进风险管理文化的健全和对风险调整绩效的重视。
美国纽约银行内控系统的设计用来巩固银行财务、业务环境、市场操作、法规遵循等的健全,并有内部稽核监督及测试其余财务报告系统整体的有效性;而银行风险的处理程序可确保政策能一致地被执行。银行独立的操作风险管理架构,建立在强健的风险管理文化之上,并分为以下三个层次:
(1)风险委员会:其任务包括对银行操作风险策略的监督及核准,该委员会并定期开会讨论关键风险一体机操作风险提案,同时也对风险管理系统的有效性提出审核。
(2)操作风险管理部门:负责发展风险政策及评估、监督、衡量风险的工具。此外,促进风险管理效率及创造改善风险管理控制功能的动机也是操作风险管理部门的重要任务。
(3)各级业务部门管理人员:负责维持业务内有效内控系统的正常运作,并维持银行风险布局与银行所订立的政策一致。
文献综述:
[1]财政部、证监会、审计署、银监会、保监会.《企业内部控制基本规范》,2008-6-28
[2]财政部.《内部会计控制规范――基本规范(试行)》,2001-6-22.
[3]财政部.《内部会计控制规范――货币资金(试行)》,2001-6-22.
[4]COSO.方红星 王宏译:企业风险管理整合框架「M.大连:东北财经大学出版社,2005.
关键词 企业内部控制 风险管理机制 企业发展
一、前言
我国国有企业同发达国家企业相比较,其内部控制管理机制十分落后。如今,我国国有企业内部控制仍然处于理论性的阶段。由于国有企业缺乏完善的内部控制方案和风险管理机制,导致我国企业在发展的过程中存在很多风险。尽管我国颁布了相关的指导政策,但企业风险管理仍旧存在弊端。我国企业要想稳定的发展,降低风险,就要认识到发展的问题,以科学的方法解决问题。
二、关于我国企业内部控制的风险管理机制中存在的问题
(一)国有企业严重缺乏应对风险的能力
时代在进步,社会在发展,如今我国企业不仅在国内市场中进行激烈的竞争,同时面临着国际市场巨大的经济挑战。这样一来,就导致企业内部存在的风险不断扩大,我国企业也随之承担着巨大的压力。但更为严重的是,我国经济发展起步较晚,即便最近几年我国经济有所改善,但效果并不明显,我国企业没有认识到风险控制的重要性,由于企业风险意识较为淡薄,进而企业在国际道路上的发展受到了严重的阻碍。与此同时,我国企业的经营管理理念也存在一定问题,我国企业对于风险的认知仅仅停留在财务上,这就导致企业内部控制能力降低。尤其是在我国企业进入国际市场后,没有充分考虑汇率的问题和材料价格波动带来的影响,使得很多企业只能勉强维持发展,这会给金融行业带来严重隐患。例如,2008年的金融危机使得我国企业和金融行业都受到巨大冲击,中航油的期权业务亏损和中信泰富的杠杆式外汇产品交易亏损最为严重,给国家带来了巨大的损失。这就充分的说明,我国企业内部控制存在问题,缺乏完善的控制体系,这样必然会导致风险的增加。
(二)国有企业缺乏完善的企业治理结构
对于一个企业而言,如果想要稳定的在市场上发展,并获取更多的经济效益,就应结合时代社会发展的需求,不断地完善企业内部治理的方案和治理结构。根据对我国企业的调查结果,我国大部分企业在发展的过程中都没有完善公司的治理方案,使得公司内部控制受到影响。现代化的治理结构是一个企业发展的保障,这与经营者的管理有着必然的联系。经营者是一个企业发展的主体,经营者需要带领企业全体员工努力,如果经营者无法有效地对企业进行管理,那么企业的发展则会出现随意性。也就是说,经营者要能制定完整的企业管理方案,建立健全企业治理结构,加强企业风险管理机制的构建,才可以强化风险管理机制的作用。企业经营管理者必须要做到与时俱进,结合现代企业治理结构相关的要求,对企业内部进行控制和风险管理,要以董事会为主,提升董事会的职能,否则,风险管理机制和内部控制方案无法发挥最大的作用。2003年,中航油投资石油期权发生重大亏损事件,就是因为公司的内部控制和风险管理机制不完善,公司的董事长陈久霖在投资决策上过于主观决断,从而给企业造成重大损失。
(三)国有企业没有制定完善的金融风险管理机制
实际上,企业在发展的过程中构建完善的金融风险管理机制可以很好地规避风险,但是我国企业却没有认识到这一点的重要性。我国企业在发展的过程中不仅没有制定完善的风险管理C制,而且现有的风险控制体系也存在严重缺陷。这样在遇到风险时,我国企业就无法及时地进行防范,十分不利于我国企业的发展。之所以这样说,其主要的原因有以下几点:第一,大部分企业在发展的过程中并没有建立风险管理部门,如今经济全球化,企业所面临的风险在急剧增加,风险的增多也就意味着风险的类型多样化,企业存在的风险过于复杂,企业所要管理的内容也会越来越多,出现的问题也会增多,规避风险的能力就会下降。尤其在金融产品大量产生的情况下,企业发展的局面将会十分的混乱,一旦产生杠杆效应,企业不仅会遭受巨大的经济损失,甚至会负债,无法运营。尽管如此,我国企业依旧没有重视这一问题。第二,国有企业没有完全实行风险评估工作,企业存在的风险和企业内部控制工作存在较大的联系。如果企业风险增加,企业内部控制也会受到影响。而这需要企业在发展时进行全面的风险评估,制定完善的风险控制体系,这样才可以更好地识别风险,对风险进行良好的控制。否则,企业会无法准确衡量风险程度,无法寻找到合适的交易目标。
(四)企业缺乏完善的内部监管机制
通过上述分析,发现企业发展存在较多问题,企业如果不能解决这些问题,那么企业的执行力将会逐渐减弱。根据调查,很多企业之所以执行能力降低,无法提高济效益,其原因是企业缺乏完善的内部监管机制,这样就导致企业部门在工作时缺乏约束,使得企业缺少良好的保障。尽管一些企业制定了一套内部监管制度,但由于制度的不健全、监管不到位,导致制度无法发挥实际的作用和价值。与此同时,我国企业内部审计部门在工作过程中很难独立完成审计工作,一些领导为了自身的利益会对审计部门进行违规控制。例如,中信泰富发生的外汇杠杆合约亏损事件,就是因为公司的财务总监和董事的行为没有被内部审计人员监督和发现,导致公司出现巨大亏损,给公司带来很大的财务风险。[1]
三、完善国有企业内部控制的风险管理机制的对策
(一)形成正确的风险管理观念
随着经济全球化的衍生和发展,我国企业面临的竞争压力越来越大,企业在市场上的活动过于复杂,企业将面临一系列的挑战。因此,企业经营者要形成正确的风险管理观念,在发展的过程中做好市场调研工作,了解社会发展的需求,从企业内部经营管理环境出发,对企业存在的风险进行评估。其次,企业要做好内部控制,建立健全风险管理体制,尤其是要做好金融产品带来的风险防范的工作,增加金融风险防范观念,重视金融风险,这样才能让风险管理方法产生良好的作用。此外,企业要建立财务风险预警系统,不断地完善财务系统,并加强对金融产品的管理。比如公司对于长期股权投资和金融资产的公允价值变动损益,在期末一定要进行详细的变动记录和处理;要对公司的财务信息进行严格的管理和规范,通过构建资产负债表、现金流量表等财务报表,来对财务信息进行记录和管理。[2]
(二)优化企业内部治理结构
国有企业在发展的过程中要不断发现国企发展存在的问题,完善企业内部发展方案,设置专门规避风险的部门。另外,企业要采用合理的方法,制定企内部治理方案,并不断的优化该方案,这样才能为企业员工提供一个良好的工作环境。只有企业内部环境得到改善,企业才可以更好地发展。在优化企业内部治理方案的过程中,企业需要遵循相关的规章制度。首先,要确定企业发展的目的和总目标,要明确企业在市场中的位置和企业发展的性质。其次,要以市场为导向,对企业相关的规章制度进行改革,这可以促进企业多元化发展。企业必须完善现代化的制度,选择科学的方法,为企业引进更多的投资者,这可以改善企业股权的结构,在一定程度上有效提升企业的经营效益,为企业带来更多的经(下转第页)(上接第页)济利益。企业需要董事会充分发挥监督作用,提升董事会的权利,但是要对董事进行一定的限制,否则,董事的权利增加也会影响企业的发展。要不断地完善企业法律法规,为企业的发展做好相应的保障工作。只有这样才会不断扩大企业的发展规模,进而更好地发展。[3]
(三)完善企业的风险管理体系
完善企业的风险管理体系是企业发展中必须重视的工作,只有不断完善风险管理体系,才能在遇到风险问题时轻松应对和解决。在完善企业风险管理体系时,要按照相关程序和步骤来进行,否则,会导致企业发展局面混乱。首先,企业要成立风险管理部门,引进专业的风险管理人才,构建完整的风险管理队伍。其次,企业要对风险管理人员进行不定期培训,提升企业的风险管理意识和工作者的责任感,这样才可以保证风险管理人员有效地进行企业内部控制。[4]此外,国有企业要根据党的指挥做好相关的工作,提升风险管理人员的能力,保证风险管理人员做好评估工作,进而有针对性地进行风险管理和内部控制。企业必须根据企业自身发展特点,选择符合自身发展的风险管理方案和手段,不断完善风险管理体系。[5]
(四)完善国有企业的内部审计制度
无论是私企还是国企,在发展的过程中都要能建立健全炔可蠹浦贫龋给予内部审计部门充分的权利,促使审计部门进行良好的独立监管。[6]
四、结语
国有企业在发展的过程中必须认清风险的危害性,结合国外先进的风险管理制度和我国企业发展的特征,制定一套适合我国企业发展的风险管理制度。企业要建立健全风险管理体制,做好内部控制工作,加强审计部门的职能,让其在内部控制中发挥良好的作用,企业要尽量避免依靠金融行业,做到独立发展。这样我国企业在遇到风险时才能及时应对,将风险降到最低,保障企业的经济效益。
(作者单位为供销集团财务有限公司)
参考文献
[1] 翟璐璐.关于完善培训机构内部控制制度的思考[J].经营管理者,2016
(32):12-34.
[2] 吴玉娟.浅谈企业内部控制与风险防范[J].经营管理者,2016(32):90-100.
[3] 李联庆,王婷.企业内部控制的现状与优化措施[J].中国管理信息化,
2016(24):45-67.
[4] 张颖.现代企业制度下的内部控制刍议[A].决策论坛――企业行政管理与创新学术研讨会论文集(下)[C]. 2016:12-34.
[关键词]内部控制;风险管理;内部控制环境
[中图分类号]F272 [文献标识码]A [文章编号]1006―5024(2014)03―0056―04
一、引言
内部控制源于早期的内部牵制,是企业管理现代化的标志和必然产物,经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架(COSO报告)和企业风险整合框架(ERM)五个阶段。ERM框架指出,企业内部控制是一个过程,即董事会、管理层和其他人员在制定企业战略、经营决策等工作时,对那些影响企业的潜在事件进行风险管理活动,以保证企业目标的实现。
国内外企业实践证明,内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因;内部控制是企业各项管理工作的基础,是防范企业经营管理风险、保证企业持续健康发展的有效机制。当前,许多国家通过立法强化企业内部控制,内部控制日益成为企业进入资本市场的“入门证”和“通行证”。
COSO报告和《基本规范》提出的内部控制要素包括:环境控制、风险评估、控制活动、信息与沟通、监督。ERM更注重全面风险管理,其内部控制要素包括:环境控制、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督。内部环境是企业实施内部控制的基础,包括公司治理、机构设置及权责分配、内部审计、人力资源政策、企业文化等内容。内部环境要素在很大程度上决定了企业内部控制的有效性。因此,我们采用调查问卷的形式,对我国企业内部控制环境要素的实施情况进行了系统、全面的调查,根据调查分析的结果,拟提出改进我国企业内部控制环境的对策建议。
二、调查问卷的设计
此次关于企业内部控制环境的调查问卷,以我国财政部、证监会、审计署等在2008年联合颁布的《企业内部控制基本规范》作为主要的理论基础,同时借鉴了2004年颁布的ERM框架,将企业风险管理方面的环境也作为内部环境的一个重要方面进行考虑。在问卷设计时,我们把能够反映企业风险管理理论、风险战略的设计和执行等方面的内容融人到企业内部环境的考核指标中,以企业财务人员为被调研对象,针对企业内部环境的现状进行调查,并借助SPSS软件对数据进行分析,期望能为企业内部控制环境的改善提供重要的依据。
我们选取辽宁省内不同类型的企业作为被调查企业,选择企业内部对内部控制理论及实务有一定了解的财务人员为被调查对象,这样可以保证被调查者能够正确地理解问卷中所涉及的问题,从而提高调查的可靠性与正确性。我们采用了发放纸制问卷和电子邮件两种方法。
在2013年4月至6月期间,共发放问卷300份,回收237份。在回收的问卷中,剔除了填写不完整,或者对所有题项均填写同一分数的问卷,得到有效问卷216份,有效问卷的回收率为72%。
(一)被调查人员情况
在被调查人员中,男性共79人,女性共137人,分别占总人数的36.6%和63.4%;在被访者中,企业高管28人,企业中层管理者59人,非主管129人,分别占总数的13.0%、27.3%、59.2%;在对被访者的职称情况进行分析时,被访者中有高级职称的为18人,中级职称的为69人,初级职称的为48人,无职称的为81人,百分比为8.3%、31.9%、22.2%、37.5%;在被调查人员中有研究生及以上学历者92人,本科生119人,专科生5人,占总人数的42.6%、55.1%、2.3%。
从上述分析结果也可看出,在企业的财务工作人员中女性占了2/3;在财务工作者中仅有8.3%的有高级职称,约有40%的财务工作人员没有职称,说明企业应加强财务人员职称方面的要求,不断提高企业财务人员的业务素质;在被调查者中有97.7%的人具有本科及以上学历,其中有42.6%的人具有研究生以上学历,说明被调查企业中财务人员的基本素质还是比较高的,为企业内部控制提供了一个很好的人员基础。
(二)被调查企业情况
在选择被调查企业时,为了保证调查问卷的准确性及代表性,我们选择了不同行业的企业,以期更准确地反映不同企业的内部环境情况。
被调查企业登记注册类型数据描述性分析共涉及了5种企业,较好地保证了调查的广泛性,其中在被调查企业中股份有限公司和有限责任公司合计占被调查企业的86.1%,这与我国企业登记注册的情况比较符合。
(三)企业内部控制环境现状调查结果及分析
在对企业内部控制环境进行调查时,我们采用的是李克特量表,将内部控制环境的满意度分成五个层次(1分到5分),从低分值到高分值分别代表非常不满意、不满意、满意、比较满意、非常满意。
企业内部控制环境现状结果见表1、表2。
通过对企业内部控制环境现状调查结果分析得出:
1 被调查企业内部控制环境现状比较好
从上述统计表可以看出,评价企业内部环境的八个要素中均值分别为组织结构要素3.8083、权力和职责的分配要素3.6667、董事会与审计委员会要素3.6192、主体的道德和价值观要素3.6442、管理者的风险管理理念要素3.6475、人力资源政策要素3.5595、员工素质及能力匹配要素3.7078、企业文化要素3.7469,说明在被调查的216家企业中企业内部控制环境现状的平均情况还是比较乐观的,评价的八个要素均达到了满意以上;八个要素的中值为3.8000、3.8333、3.7500、3.7143、3.7143、3.5714、3.8333、4.0000,从收集数据的中值来看,八个要素的得分都超过了3.5分,也就是说明大部分企业的内部控制环境均达到了满意以上;八个要素的众数为3.60、4.00、3.75、3.86、4.43、4.00、3.83、4.00,在被调查的216个企业中有四个要素,即权力和职责的分配要素、管理者的风险管理理念要素、人力资源政策要素、企业文化方面集中在比较满意,其他三个要素集中在满意上。
表2说明我国大部分企业内部环境处于满意和比较满意状态,内部环境评价的八个方面中得分达到满意或比较满意的数量和百分比如下:组织结构要素189(87.5%)、权力和职责的分配要素188(87.04%)、董事会与审计委员会要素185(85.65%)、主体的道德和价值观要素184(85.18%)、管理者的风险管理理念要素164(75.92%)、人力资源政策要素170(80,55%)、员工素质及能力匹配要素174(80,55%)、企业文化要素179(82,87),除了管理者的风险管理理念要素以外,其他7个要素达到满意或者比较满意的占8成以上,其中组织结构要素、权力和职责的分配要素有近9成的企业达到了满意或者比较满意。
从统计结果可以看出,我国企业在内部控制环境方面的现状还是比较好的,这可能与我国近几年对企业内部控制制度及实务方面的监督管理有关。除了外部制度给企业内部控制建设带来的压力外,企业管理者自身也意识到一个良好的内部控制是企业正常经营的保证,更多的企业将完善自己的内部控制环境放在一个重要的位置。
2,被调查企业之间的差距较大
从表1可以看出,八个要素得分的标准差分别为组织结构要素0,67191、权力和职责的分配要素0,65828、董事会与审计委员会要素0,68112、主体的道德和价值观要素0,69180、管理者的风险管理理念要素0,81710、人力资源政策要素0,68771、员工素质及能力匹配要素0,70820、企业文化要素0,78206。可以看出,不同企业之间的内部环境有很大的差别,尤其是管理者的风险管理理念要素、员工素质及能力匹配要素、企业文化要素之间的差异还是比较大的,应该对企业这几个方面的内部环境现状作具体的分析。
从表2可以看出,在管理者的风险管理理念的评价结果中非常不满意、不满意、满意、比较满意、非常满意的企业数量分别是2、43、85、79、7,说明在这个方面各个企业之间有较大差异,这与企业战略风险管理、风险管理理念在我国发展比较晚,企业对风险管理的关注度不同有关。
3,部分企业的内部控制环境急需改善
对不同企业内部控制环境得分的极小值分析显示,有五个要素的极小值在2分以下,特别是董事会与审计委员会要素中部分企业该方面得分为1分(非常不满意),说明企业中对董事会与内部审计委员会的建设还不好,一些企业没有成立审计委员会,审计委员会的人员或责任的独立性不够或者虽然设立了合格的审计委员会但只是一个形式,在对企业的监督管理过程中并未起到实质性的作用;在216个企业中均有企业的内部环境现状达到了非常满意,说明部分企业的内部环境达到了非常好的状态,可以以这部分企业为样本,供现状较差的企业参考。
从表2中可以观察到有3家(1.39%)企业的董事会与审计委员会要素、3家(1.39%)企业的主体的道德和价值观要素、2家(0.93%)企业的管理者的风险管理理念要素、1家(0.46%)企业的人力资源政策要素、1家(0.46%)企业的企业文化要素得分的平均值在1―2之间(界于非常不满意和不满意之间),说明在我国还有少部分企业内部环境的状况不尽如人意,应该对这部分企业严格加以管理。同时,还有部分企业的内部环境的平均得分达到了5分,也就是说,这些企业在内部控制的具体指标上均达到了非常满意的程度。尽管部分企业的现状令人非常满意,但是这一部分企业占总数的百分比还过低。
在对董事会与审计委员会要素进行分析时,我们看到在被调查企业中,有3家企业这方面的评分为不满意,占总数的1.39%。在对八个要素进行评价时,只有董事会与审计委员会要素的得分最低值为1分,其他的企业均高于1,这也就说明我国还有部分企业在董事会与审计委员会方面做得不令人满意,这类企业应该在这方面努力进行改进。
三、对策与建议
(一)加强管理者的风险管理理念建设
ERM框架与COSO整体框架相对比,ERM框架下强调的是一个全面风险管理。在ERM框架下我们在对企业的内部控制进行建设的过程中应该加入风险影响的考虑,企业必须找出风险的源头,然后从源头去有针对性地构建企业的内部控制,而完成这些工作的是管理者,所以只有加强管理者的风险管理理念,才能有效保证企业内部控制的完善。
管理者应该对企业风险管理全过程进行监控。首先应该熟悉企业的风险管理范围,做到知己。然后,根据企业的风险承受能力确定企业的主体风险容量,特别应该关注重大的风险,防患于未然。管理者应该加强学习风险管理监督的知识,成立风险管理委员会或类似机构,制定一个可行的防范风险的手册,让员工更好地理解和信奉企业的风险管理文化。
(二)严格对内部环境较差的企业的监管
从上述分析来看,目前我国还有少部分企业内部环境现状令人十分担忧,这些将影响到企业的经营效率效果、资产安全、财务信息的真实与完整等方面。所以,应该对这些企业的内部环境的情况加强监督管理,督促这些企业不断改善自己的内部环境。
在改善问题企业的内部环境时,我们可以借鉴国内外内部控制做得比较好的企业经验,将这些企业的内部控制构建经验与企业自身的实际情况相结合;同时,也可以增加内部环境比较差的企业内部控制自我评价或者外部内部控制审计的频率,从而使企业的管理者更加关注企业的内部控制问题。
(三)加强企业的董事会与审计委员会要素的建设
目前我国大部分企业的内部审计委员会是隶属于董事会管理,作为企业监事会的一个平形机构存在。但是,在这次调查中我们发现,部分企业不能发挥内部审计委员会的独立性,这大大降低了它的作用。审计委员会应该在企业内部控制中作为一个重要的监督角色,保证内部控制的监管有效。首先,在进行审计委员会组建的过程中一定要注意人员的独立性,独立性是其更好地发挥监督管理作用的一个保证;其次,也要保证审计委员会获取企业内部信息渠道的畅通,这样能够保证审计委员会尽早发现内部控制中存在的问题;最后,要加强审计委员会与监事会之间的协作,审计委员会和监事会作为董事会下的两个监督机构,共同对公司的内部控制有效性进行监管,只有二者作出沟通,才能更好地发挥它们的作用。
(四)健全基于风险的内部控制评价标准