以风险管理为导向的内部控制体系构建.pdf

后金融危机下我国企业以风险管理为导向的内部控制体系构建后金融危机下我国企业以风险管理为导向的内部控制体系构建背景背景20 世纪初期，随着资本主义经济迅速发展,股份公司规模日益扩大,所有权与经营权进一步分离,为防范和揭露错误与弊端,逐步形成了一些组织、调节、制约和监督企业经营管理活动的方法，最终建立了内部控制制度。内部控制制度自产生以来,就倍受理论界和实务界的关注。随着人类步入 21 世纪，世界经济的急剧变化，企业与外界环境的联系加强，使原有的内部控制制度的局限性日益明显，如对风险管理强调不够，并且接连的知名大企业的丑闻连续暴光案，尤其是 2008 年席卷全球的金融危机，也给内部控制理论界和实务界带来了巨大的压力,促使他们将目光聚焦在风险管理上。企业的风险管理一时间成为了人们关注的焦点，也作为企业战略管理中的核心登上了公司治理的舞台。风险导向下的内部控制研究已经引起了理论界和实务界的极大关注，2004 年 10 月COSO 发布了企业风险管理整合框架，新框架强化了风险管理，又涵盖了原有内部控制的合理内容。此后，在 2007 年，中国财政部出台了企业内部控制（征求意见稿），认为“内部控制必须向风险控制发展”，可见，风险导向下的内部控制是我国当前需要研究的一个迫切而重要的问题.同时，毫无疑问,加强内部控制是提升企业管理水平和经营绩效，建立现代企业制度的重要途径。内部控制的整体框架内部控制的整体框架所谓内部控制，是指企业为了保证各项业务活动的有效进行,确保资产的安全完整，防止欺诈和舞弊行为，实现经营管理目标而制定和实施的一系列具有控制职能的方法、措施和程序.1992 年 COSO 委员会提出并于 1994 年修改的内部控制整体框架中对内部控制作了如下的描述：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程.内部控制的构成要素具体包括：(1）控制环境.环境主要指企业的核心人员以及这些人的个别属性和所处工作环境，包括个人诚信正直、道德价值观、管理层的经营理念与经营风格、组织架构等。（2）风险评估。企业必须制定和销售、生产、采购、财务等作业相结合的目标，为此企业必须设立可辨认、分析和管理相关风险的机制，以了解自身所面临的风险。(3)控制活动。企业必须制定控制的政策及程序,并予以执行，保证其用以辨认并用以处理风险所必须采取的行动业已有效落实。(4)信息和沟通。围绕在控制活动周围的是信息与沟通系统，这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。(5)监督。整个内部控制的过程必须施以恰当的监督.通过监督活动在必要时对其加以修正.企业风险管理整合框架企业风险管理整合框架2004 年 COSO 又发布了企业风险管理整合框架(ERM），拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。它将内部控制框架纳入其中,公司不仅可以借助这个企业风险管理框架来满足他们内部控制的需要，还可以借此转向一个更加全面的风险管理过程。在企业风险管理整合框架中，风险管理的定义是：企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项、管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证.风险管理的内涵是：风险管理是一个包括风险识别、风险衡量、风险控制、效果评价等，能够不断自我完善的过程，是实现结果的一种方式;它是由不同部门不同层次人员共同参与的过程，是一个渗透在风险管理组织日常活动中的过程。因此，风险管理过程应用于单位内部每个层次和部门,管理者不能仅仅从某项业务、某个部门的角度去考虑风险，必须根据风险组合的观点，从贯穿整个运行过程的角度看风险。内部控制与风险管理的关系内部控制与风险管理的关系尽管学界对内部控制与风险管理的关系有各种不同的看法,但已形成共识,内部控制与风险管理是密不可分的。关于二者的关系，归结起来主要有以下3 种观点：（1)风险管理包含内部控制。这一论点体现在美国反虚假财务报告委员会（COSO）的最新报告中。COSO 报告指出,风险管理由八个要素组成：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督，而内部控制由其中的五个要素组成：控制环境、风险评估、控制活动、信息与沟通、监督,显然内部控制包含在风险管理之中，内部控制是风险管理不可分割的一部分。英国 Turnbull委员会、英国内部审计师协会、澳大利亚证券交易所等也提出了同样的观点。（2)内部控制包含风险管理。加拿大 CICA(1995)认为“内部控制”是一个组织中支持该组织实现其目标诸要素的集合体,而风险是“一个事件或环境带来不利后果的可能性”，“当您在抓住机会和管理风险时，您也正在实施控制”,这种认识体现了内部控制包含风险管理的认识。（3）内部控制就是风险管理。Blackburn(1999）认为风险管理与内部控制仅是人为的分离,而在现实中是一体的，风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广，正在变为同一事物。笔者认为：内部控制和风险管理就是控制风险的两种不同的语义表达形式，内部控制与风险管理已经具有同一性。虽内部控制的内涵外延几经变迁,但无论怎样,风险管理是贯穿内部控制的核心主线，只是风险管理的目标、内容和层次伴随企业的环境、经营模式以及企业制度的变迁而变化。同样，内部控制-整体框架之所以能够升级为企业风险管理-整体框架，根本原因在于内部控制的最终目的就是为了控制风险。从语义上说,内部控制就是控制风险，控制风险就是风险管理。所以，内部控制和风险管理是控制风险的两种不同语义表达形式,二者具有同一性。我国的内部控制发展现状我国的内部控制发展现状近年来部分企业会计造假行为普遍，会计信息严重失真。一些企业国有资产大量流失,经济效益严重滑坡,生产经营陷入困境，造成这种结果与我国企业内部控制失灵有很大的关系。由于缺乏内部控制而导致企业面临较高的经营风险、财务风险，尤其是涉税风险的现象屡见不鲜。(一）企业管理层内部控制意识薄弱，缺乏完善的内部控制制度我国企业内部控制起步较晚，不少企业管理层内部控制意识薄弱，其认识落后于现实的需要,对内部控制的重要性认识不足，认为内部控制只是形式上的东西，就是成堆的手册、各式各样的文件。因而大多企业未制订完善的、成文的内部控制制度;虽然有些企业已经制订出相应内控制度，但大多也只是停留在“挂在嘴上、写在纸上、贴在墙上”给人看的表面形式上,目的是为了应付相关部门的检查、审计，制度的落实方面问题很多，实际执行的很少,在执行过程中也没有与之配套的方法和措施，执行过程中不检查、实际执行效果也不考核,奖惩制度不到位，使内部控制制度流于形式走过场.有时内部控制制度是随企业领导者的意志为转移,执行的结果如何，最终取决于领导者的态度。（二）公司治理结构不完善,控股股东控制现象严重内部控制与公司治理有着紧密的联系。公司治理结构是促使内部控制有效运行、保证内部控制功能发挥的前提和基础,是实行内部控制的制度环境；而内部控制在公司治理结构中担当的是内部管理监控系统的角色，是有利于实现企业经营管理目标的一种手段。我国存在上市公司控股股东操纵股东大会、董事会和监事会的串通现象，关键人集控制权、执行权和监督权于一身,股东大会、董事会、监事会形同虚设。这样，控股股东或少数关键人就能操纵公司的财务报告,提供虚假会计信息.这种现象虽然在上市公司中已有所改变，但从公司制企业总体来看，仍普遍存在。（三）组织机构设置不合理，信息与沟通渠道不畅不少企业还仍然沿袭着计划经济体制下的机构设置，企业普遍存在机构臃肿、管理层次多、工作效率低的问题。另外，企业在组织机构设置中,比较重视纵向间的权利与义务关系,而对横向间的协调缺乏足够的重视，导致同级各部门间缺乏必要的交流，信息沟通不灵敏，协调性差.有些企业不重视收集各种内部信息和外部信息，也不注重通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物办公网络等渠道，获取内部信息，更不注重通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。（四）缺乏内部稽核和内部审计，内部监督不力有的企业在财会机构中未按规定要求设置稽核岗位或稽核工作不规范，使内部稽核只是流于形式。企业内部审计作为内部控制的再控制,本身就应站在第三者的立场上，客观公正地对企业的经济活动进行再监督,它的地位应当是独立的。然而我国目前的内审部门是在本单位主要负责人直接领导下行使内部审计监督权,对本单位领导负责并报告审计工作，这就很可能造成内部审计监督失效。部分企业领导不重视内部审计工作，内部审计机构及制度不健全，内部审计力量薄弱，内部审计工作阻力比较大，缺乏事前预算、事中的控制、事后审计的内部控制标准，使内部审计的作用不能有效发挥。另外内部审计还缺乏独立性，且处于从属地位，常常只能按领导的意图进行内部审计，往往等到错误的决策造成了重大的损失才寻求办法弥补,但更多的时候是亡羊补牢，为时已晚。很多企业没有对内部控制建立与实施情况进行监督检查，认真评价内部控制的有效性，更没有建立内部控制缺陷纠正、改进机制，所以不能充分发挥内部监督效力。（五）企业内部控制制度不健全，缺乏相应的激励与约束机制一是企业内部控制制度中授权过大、授权不合理或过分集权,经营者基于利己动机而利用职权侵吞国有资产或大肆挥霍,为满足这种贪欲，这些经营者不会重视内部控制制度的建设，甚至有意忽略或阻挠，这反过来又加重了企业内部控制制度的不健全,形成恶性循环。二是企业的人力资源政策不完善。招聘员工没有经过严格的考核,有许多是凭关系挤入企业，没有形成一整套训练、待遇、业绩考评及晋升的制度，也没有根据不同情况与时俱进对职工进行适当的道德教育.职工良好的胜任能力和优秀品德得不到肯定,能力的欠缺和不良的道德得不到应有的惩罚。三是缺乏相应的激励与约束机制,大部分企业对员工都实行绩效考核，考核内容复杂多样，但往往考核只是流于形式，没有实质内容。多数企业未将员工考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗和辞退的依据,因此职工对此项工作反应不积极，因此根本达不到绩效考评的结果。四是企业制度不全面,没有针对企业经营的各个环节、各个部门、各类事项制订出相应的规章制度，往往是顾此失彼。五是执行不力，再好的制度不执行也是没有用的.（六）不重视预算控制,预算执行缺乏刚性预算编制不论采用自上而下或自下而上的方法，其决策权都应落实在内部管理的最高层，由这一权威层次进行决策、指挥和协调。预算确定后由各预算单位组织实施，并辅之以对等的权、责、利关系,由内部审计部门等负责监督预算的执行.但在实际工作中，内部管理的最高层根本不重视预算编制工作，很多企业管理层只是下指标，认为编制预算是下属的事情与自己无关,遇到超预算事项时，管理层则命令下属破例执行的事时有发生,如此以来，造成预算控制制度落空，各预算实施单位随之效仿,最终预算控制的权、责、利无法兑现,内部审计部门也没法行使监督预算执行的权利。（七）缺乏风险评估意识，内控制度不适应形势的变化风险与机遇共存，随着经济全球化、信息化的进程，信息技术的高速发展与普遍应用，企业发展的机遇越来越多，随之而来，企业面临的外部风险也越来越大.但多数企业没有建立健全的风险评估机制，对行业风险缺少充分考虑，建设投资项目也没有评估可能的财务风险，去年以来面对全球性金融危机，很多企业尤其是一些外贸出口企业，根本就没有意识到这场风险来势如此凶猛，也无力进行风险分析,更谈不上应对风险，面对困境，办法匮乏,无力回天，有些最终走向破产清算，这样的例子为数不少。当今全球经济形势快速发展变化，企业已有的内部控制制度只是为那些经常发生的情况而设计的。但是，企业经营处于经常变化的环境中,为生存需要，必须要经常调整经营计划，或向外扩展，或收缩，这就导致企业原有的内控制度失去有效的控制.面临经济形势产生的新变化,对企业内控制度提出新的问题和挑战.(八)不重视企业文化建设，管理者和会计人员素质较低企业文化包括企业整体的风险意识和风险管理理念，董事会、经理层的诚信和道德价值观，企业全体员工的法制观念等.企业内部控制制度的贯彻执行有赖于企业文化建设的支持和维护。许多企业的管理者素质不高,虽然具备较高的专业知识水平，但道德水平有限，这也无法真正地管理好一个企业.近几年来，我国会计队伍迅速扩大，但对会计人员的思想教育、业务培训却没能跟上，有些培训只流于形式,根本起不到提高会计人员素质的作用.少数会计人员没有从会计职业道德角度出发为企业领导人把好关，而是按企业领导人的意图从事，不敢揭示问题，而是掩盖问题，甚至伙同领导贪污、侵占公款，置会计法律、法规、制度于不顾，没有不敢造的假，没有不敢花的钱。所以，在内部控制中人的因素最重要,这个绝不能忽视。只有在良好的企业文化基础上所建立的内部控制制度，才会成为人们自觉的行为规范，从而才能很好地解决内部控制制度中产生的各种问题。风险管理与内部控制整合的可行性分析风险管理与内部控制整合的可行性分析国内财务舞弊、欺诈、内部人控制现象越发严重，内部控制的严重缺乏迫切要求基于风险管理理念整合企业内部控制制度。内部控制和风险管理都是基于企业存在风险并控制风险而产生的，既然如此，二者就存在整合的基础，以节约企业资源和提高管理效率。(一)从内容上看，企业有效的内部控制应包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五个要素.风险管理不仅包括了内部控制的五个要素，而且增加了目标设定、事件识别以及风险对策三个要素；风险管理将控制活动提到了战略层面，提到对治理层、管理层的行为也要管理的层面,侧重于围绕目标设定对风险的识别、评估和应对处理；从二者的框架结构来看,风险管理不仅包括内部控制的三个目标,而且增加了战略目标。（二）从目的说，风险管理的目的是要及时地发现风险、预测风险以及防止风险可能造成的不良影响，并设法把这种不良影响控制在最低的程度上。内部控制就是企业内部采取的风险管理，主要是通过事后和过程的控制来实现其自身的目标,内部控制制度制定的主要依据是风险.基于风险管理的内部控制的整合框架基于风险管理的内部控制的整合框架COSO 发布的内部控制整体框架将内部控制整体框架区分为控制环境、风险评估、控制活动、信息与沟通、监督等五个互为关联的组成部分，我们也拟从这五个方面来描述以风险管理为目标的内部控制整合框架。(一)强调内部控制环境建设内部环境是其他所有风险管理要素的基础。控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境影响着员工对内部控制的认识和态度。内部控制环境建设应从以下方面展开：治理层积极参与内部控制活动;管理层在治理层的监督下,营造并保持诚实守信和合乎道德的企业文化;建立正式的行为守则；对员工胜任能力高度重视，有合理的人力资源政策和管理；经营模式、权限和职责分配得当;促进全体员工树立风险管理哲学观，建立企业风险文化时，要注意建立统一的风险语言,以方便企业内部的风险沟通和交流。（二)加强风险评估过程任何经济组织在经营活动中都会面临各种各样的风险,并对其生存和竞争能力产生影响，特别是战略风险和经营风险。有的风险可以避免,有的风险可以消除，而有的风险只能控制在合理水平,有的风险只能承受或分担.尽管很多风险的产生并不能被控制，但管理层应当首先确定可以承受的风险水平，然后识别这些风险并采取一定的应对措施，以把风险控制在风险容忍度之内.加强风险评估意味着风险控制不再是被动地通过各个环节设置好的控制活动来预防风险的出现或发生，而是通过主动地开展风险评估，识别和分析，进行预防.风险源头可能是：新员工加入带来的风险；业务快速发展带来的风险;经营环境变化带来的风险；新业务品种带来的风险。风险评估过程则包括识别各种风险，估计风险的重大性，估计风险发生的可能性，以及如何采取措施来管理这些风险。(三）完善信息系统与沟通信息系统与沟通是收集与交换企业内部执行、管理和控制业务活动所需要的信息的过程，包括收集和提供信息给适当人员，使之能够履行职责。信息系统与沟通的质量直接影响到对经营活动作出正确决策、控制经营风险的能力（四)强化风险控制活动控制活动是有助于确保风险应对措施正确执行的政策和程序，控制活动发生在整个组织的所有层面和所有职能中。制定控制活动，关键是抓住重要控制点，其设计要基于风险评估结果，以提高控制活动的针对性。常用的控制活动包括与授权、业绩评价、信息处理、实物控制和职责分离相关的活动。在制定控制政策和程序时,应当重点考虑一项控制活动单独或连同其他控制活动是否能够以及如何防止或发现并纠正经营活动中存在的重大问题.（五）持续的控制风险监督控制风险监督的目标就是维护内部控制并保证其持续有效。可以采用持续监控或定期评价两种方法进行监督。具体包括：评估和监督日常经营过程中的内部控制及人员；内部审计监控；实施外部审计对内部监控缺陷提出建议,发现内控缺陷及时改正；对监管部门的报告与建议及时回复。通常，持续监控和定期评价结合能够保证企业风险管理效力的持久性.内部控制与风险管理是企业的免疫系统，内部控制与风险管理工作是否有效,事关企业的成败。风险管控住了不会出大问题，风险不管控迟早要出大问题；风险导向审计是企业的体检中心，重点应关注风险评估的预知性及风险管控措施的有效性。