《试论企业内部控制与风险管理_张凤霞.doc》由会员分享,可在线阅读,更多相关《试论企业内部控制与风险管理_张凤霞.doc(1页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、企 业管 理 摘要 : 试论企业内部控制与风险管理 张凤霞 (河南第二火电建设公司) 本文通过分析比 较内部控制与风险管理的联系与区别,指 出内部 险对策之间的交互影响,统筹制定风险管理方案 。 控制将扩展为更全面的风险管理 。 关键词 : 内部控制 风险管理 1 内部控制 与风险管理的比较 内部控制与风险管理有着密切的联系 。 COS O( The Com m it- 2 从内部控制走向风险管理 有一种争论,即风险管 理包含内部 控制,或内部控 制包含风险 管理 。 笔者认为得出什么样的结论并不十分重要,最重要的是明确 风险管理与内部控制之间有重合与联系的地方,谁的范围更大,可 te e o
2、f S pons oring Orga nizations of the Tre adw ayCom m itte e), 能要随着时间、 技术 、 市场条 件 、 法律 以及监管实 践的发展而 不同 。 即 Tre adwa y 委员会的发起组织委员 会在其 企业风险 管理框架 中,对内部控制与风 险管理的定义及其 组成要素分 别解释为 :内 部 控制:企业内部控制 是由企业董事会 、 经理 层以及其 他员工共同 实 施的,为财务报告的准确性 、 经营活动的效率与效果 、 相关法律法规 的遵循等目标的实现而提供合理保证的过程 。 它包括五个方面的组 成要素:控制环境 、 风险评估 、 控制活
3、动 、 信息与沟通 、 监督 。 风险管 理:企业风险管理是一个过程,是由企业的董事会 、 管理层以及其他 人员共同实 施的,应 用于战略制定及企 业各个层次 的活动,旨在 识 别可能影响 企业的各种潜在事 件,并按照 企业的风险 偏好管理 风 险,为企业目标的实现提供合理的保证 。 它有八个组成要素:内部环 境 、 目标设定 、 事件识别 、 风险评估 、 风险对策 、 控 制活动 、 信息与 沟 通 、 监督 。 从上述来看,企业风险管理与内部控制有以下相似或不同 之处:第一,它们都是由 “企业董事会 、 管理 层以及其 他人员共同 实 施的 ”,强调了全员参与的观点,指出各方在内部控制或
4、风险管理 中 都有相应的角色与职责 。 第二,它们都明确是一个 “过程 ”,不能当作 某种静态的东西 ,如制度文件 、 管理模型等,也不是单独或 额外的活 动,如检查评估等,最好是内置于企业日常管理过程中,作为一种 常 规运行的机制来建设 。 第三,它们都是为企业目标的实现提供 合理 的保证 。 风险管理的目标有四类,其中三类与内部控制 相重合,即报 告类目标 、 经营类目标和遵循类目标 。 但报告类目标有所扩展,它不 仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报 告准确可靠 。 另外,风险管理增加了战略目标,即与企业的远景或使 命相关的高层次目标 。 这意味着风险管理不仅仅是确
5、保经营的效率 与效果,而且介入了企业战略(包括经营目标)制定过程 。 第四,风险 管理与内部控制 的组成要素有五个方面是重合的,即(控制或内部) 环境 、 风险评估 、 控制活动 、 信息与沟通 、 监督 。 这些重合是由它们目 标的多数重合及实现机制相似决定的 。 风险管理增加了目标设定 、 事 件识别和风险对策三个要素 。 重合的要素中,内涵也有所扩展,例 如,内部控制环境包 括诚实正直品格及 道德价值观 、 员工素质与 能 力 、 董事会与审计委 员会 、 管 理哲学与经营风 格 、 组织结构 、 权力 与 责任的分配 、 人力资源政策和实践等七个方面 。 风险管理的 “内部环 境 ”除
6、包括上述七个方面外,还包括风险管理哲学 、 风险偏好和风险 文化三个新内容 。 在信息与沟通方面,风险管理强调了过去 、 现在以 及关于未来的相关数据的获取与分析处理,规定了信息的深度与及 时性等 。 第五,风险管理提出了风险组合与整体风险管理的新观念 。 企业 风险管理框架 借用现代金融理论中的资产组合理论,提 出了 风险组合与整体管理的观念,要求从企业层面上总体把握分散于企 业各层次及 各部门的风险暴露,以统筹 考虑风险对 策,防止分部 门 分散考虑与应对风险,如将风险割裂在技术 、 财务 、 信息科技 、 环境 、 安全 、 质量 、 审计等部门,并考虑到风 险事件之间 的交互影响 ,防
7、 止 两种倾向:一是部门 的风险处于风险偏 好可承受能 力之内,但总 体 效果可能超出企业的承受限度,因为个别风险的影响并不总是相加 的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总 体 风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的 效果 。 此时,还有进一步承受风险,争取更高回报与成长的空间 。 按 照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风 即使在同一个时代,不同的行业各自的侧重点也可能不相同 。 笔者 认为,在实际的经营过程中,风险管理与内部控制是密不可分的 。 在 规则制定或立 法过程中,需要考虑的是 范围与管制 的强度,范围越 大,管制的要求就
8、会越 弱 。 对于其核心 问题,如财务报 告的准确 可 靠,最适合以立法的形 式来约束,而其他更 宽泛的内容 则可能更适 合 于规则及指南 。 在企业内部的不同层次,风险管理与内部控制的 主导性相对次序也可能不同 。 例如,从企业的战略风险依次到经 营 风险 、 财务风险,最后到财务报告,风险管理与内部控制的相对重要 性应该各有不同 。 在战略风险方面,风险管理应该发挥主导作用,内 部控制起到配合作用 。 这一角色逐步逆转,到财务报告层次,应该是 内部控制发挥主导作用,风险管理起到配合作用 。 尽管风 险管理与 内部控制有内在的联系,但现实中的或代表目前应用水平的内部控 制与风险管理还有不少的
9、差距 。 典型的风险管理关注特定业务中与 战略选择或经营决策相关的 风险与收益比较;典型的内部控制是指 会计控制 、 审计活动等,一般局限于财务相关部门 。 它们的共同点都 是低水平 、 小范围,只局限于少数职能部门,并没有渗透或应用于企 业管理过程和整个经营系统 。 因此,有时看上去风险管理与内部 控 制还是相互独立的两件事,随着内部控制或风险管理的不断完善和 变得更加全面,它们之间必然相互交叉 、 融合,直至统一 。 2.1 关注企业风险比关注企 业细节控制更为重 要 几乎所有的 企业都有一大套管理制度,这些制度大到包括对外投资 、 小到包括差 旅费报销等,应有尽有 。 因此,企业管理层认
10、为,这些制 度的贯彻与执 行,就是内部控制的所有内容 。 其实,企业的管理资源是有限的 、 控制 也是需要成本的 。 如果将企业主要精力放在所有细小的 、 或微不足道 的控制上,往往会舍本求目,如有些企业在差旅费报销的规定上,长 达数十页,极其繁琐,表面上控制得很好,但浪费了许多管理资源,还 会忽视企业重大风险 。 所以,企业风险管理要求管理层将精力主要放 在可能产生重大风险环节上,而不是所有细小环节上,将风险管理作 为内部控制的最主要内容,这是一个有特殊意义的变化 。 2.2 执行比设计 内部控制更为重要 应该 说,任何一个公司都 或多或 少存在一定的内部控制,否则,公司是无法正常运行的 。
11、 2.3 强调内部环境的作 用 强调内部环境 包含了一个组织的气 氛,形成一个组织的人员识别和看待风险的基础 。 内部环境主要包括: 风险管理哲学和风险偏好;员工诚实性和道德观以及企业经营环境 。 2.4 目标设定及事件识别要和 风险战略相一致 COSO 报告 在 调查许多大公司舞弊案中发现,许多内部控制的失败,往往是在一开 始确立公司目标时就已经铸定了 。 与此同时,公司在经营过程中,对 什么事件应采取什么对策并不清晰,特别是高风险事项,也采用一般 程序来处理,这也 是导致公司内部控制失败的主要成因之一 。 一般来 说,公司在认识到影响其业绩的潜在事项之前,必须有一定的目标 。 问题是作为决策层的管理人员能否适当的设立目标,并且使选择的 目标能支持 、 连接企业的使命;在确立目标时考虑风险战略,并与其 风险偏好相一致 。 另外,一个组织必须识别影响其目标实现的内 、 外 部事项,区分哪些是风险 、 哪些是机会 。 可能有负面影响的事项代表 了风险;可能有正面影响的事项代表了能抵消负面作用的机会 。 通过 事项识别,能引导管理层战略或者目标始终能保持不被偏离 。 28
限制150内