关键词:高校内部控制;风险矩阵;风险管理
一、内部控制与风险管理
1992年,COSO委员会了《内部控制———整合框架》,对内部控制理论和实务操作产生了重大影响。继而,在2004年,COSO在内部控制框架的基础上形成了《企业风险管理———整合框架》,对风险管理理论及其同内部控制间的关系带来新的观点与提升。COSO认为内部控制是风险管理不可分割的一部分。在我国,企业内部控制规范体系将内部控制和风险管理融为一体。内部控制和风险管理均经历了自身的理论体系创新及实务操作发展,内部控制由传统的内部牵制制度逐步发展到以风险为导向的内部控制整合框架,风险管理也由分散的财务、经营、战略风险管理逐步发展为整合风险管理。两者的发展具有高度的倾向一致性,内部控制实施有赖于风险管理技术方法,风险管理离开内部控制这一手段支撑也将流于形式。由此,基于风险管理理念的内部控制制度建设,无论是从战略目标实现的目标导向,还是从过程控制的技术支撑,乃至内部控制机制的管理理念都较脱离风险观念的内部控制制度建设更具优势。
二、企业风险管理理论
在经营管理过程中会遇到各种事件,这些事件可能对企业产生不利影响和有利影响。产生负面影响的事件代表了风险,产生正面影响的事件能抵消不利影响或为单位带来机会。风险管理就是对上述风险和机会的管理。基于风险管理理念的高校内部控制建设主要内容就是分析经济业务活动的风险,识别风险点,然后综合运用风险控制方法。良好的风险管理工作开展,往往以完善的风险评估工作机制建设为起点,按风险评估四步骤目标设定、风险识别、风险分析及风险应对展开,进而构建更有效的内部控制管理制度。企业风险管理过程中对风险识别采用了头脑风暴、SWOT分析、问卷调查等方法,并结合风险发生可能性及严重程度,利用敏感性分析法、行业标杆比较法、VAR法、风险矩阵法等技术手段对风险进行风险分析,给出风险规避、风险降低、风险分担和风险承受四种风险应对策略。风险矩阵分析法将企业面临的风险划分为:高风险高几率的“红灯区”,高风险低几率以及低风险高几率的“黄灯区”,低风险低几率的“绿灯区”。针对不同类别,风险管理理论提出了红灯区风险规避、黄灯区风险降低或风险分担、绿灯区风险承受的应对策略。
三、高校内部控制建设情况
相对企业而言,高等学校内部控制制度建设相对滞后。目前,在我国企业内部控制规范体系由基本规范和配套指引构成,自2008年的《企业内部控制基本规范》以来,针对企业内部控制已了18个应用指引、评价指引和审计指引等。高等学校内部控制可遵循的纲领性文件仅有2012年印发的《行政事业单位内部控制规范(试行)》。因此,从制度建设上,高校内部控制建设工作还相对不够成熟。从内部控制建设范畴来看,高等学校内部控制建设还不够全面。行政事业单位内部控制将控制客体界定为单位经济活动的风险,诸如预算、收支、政府采购、资产管理、建设项目等;非经济活动的风险暂时还未纳入行政事业单位内部控制的范围。从实践应用方面来看,高校内部控制建设工作也不够完善。首先,高校战略管理思维贯彻不够,发展战略研究和规划还不到位;内部的治理结构、机构设置、权责分配、监督机制不能为内控建设提供有效运行的体系。其次,控制方法相对单一,高校内部控制控制方法主要以岗位设置、权限控制、预算控制等以“内部牵制”理念为基础的传统方法,诸如绩效考核控制、分权控制、现代信息控制等方法的运用还不够成熟。最后,高校内部控制建设过程中,风险管理理念及风险分析的意识还不够,作为内部控制未来发展方向基于战略目标的风险管理内部控制建设还没有有效体现。正是由于高校存在诸如上述的战略目标弱化、风险管理意识淡化、控制方法单一等种种不足之处,笔者基于企业内控风险管理理念对高校内容建设提出建议。
四、企业风险管理理念在高校内部控制中的具体应用
(一)风险评估工作机制的建设
高校应成立风险评估工作小组开展经济活动风险评估,风险评估小组由高校主要负责人、主管财务的校级领导担任组长。风险评估小组的日常工作机制应强调多部门间的协作,可以单独设置内控部门,也可以成立跨部门的工作小组。内部控制建设是一个系统工程,高校各职能部门应加强合作联系。动态工作机制,高校外部环境、经济活动、管理要求一般相对稳定,但为更及时发现各类风险,高校也应当建立经济活动风险定期评估机制,对学校自身的经济活动存在的风险进行全面、系统和客观的评估。风险评估动态机制可结合“五年规划”展开全面性评估和局部评估。
(二)风险评估及管理建议
1.建立与学校发展战略目标一致的风险管理目标
在明确单位发展战略和内部控制目标的前提下,识别自身潜在的风险是内控建设的基础和起点。因此高校内控建设首先明确战略目标,并在内控建设过程中坚持围绕战略目标。高校作为提供公益的事业单位,充分利用掌握资源,高效率的输送人才和社会服务是其主要职责,也是其战略目标。在履行职责中,因软硬件、历史发展等导致资源差异也会产生诸如国际一流大学、应用技术大学建设的个性化战略目标,这也是基于自身资源而提出的差异性合理战略目标。这些均与行政事业单位内部控制目标“提高公共服务的效率和效果”一致。因此,无论从制度建设角度,还是从实践角度而言,内控建设目标服务于高校自身战略目标均必须的。
2.不同层面的风险识别、分析及应对
高校可以从单位层面及业务层面两个层次上对自身的内部控制风险进行识别,并利用风险矩阵进行分析。(1)建设高效完整的内部控制架构高校内部控制在制度建设、组织支撑、控制范围、以及工作机制等方面存在一定不足。高校可以借助业已成熟的企业风险管理理念和方法,建立新型的高校内部控制架构,制度层面上充分参照企业风险管理理念下的内部控制制度。组织层面则需要突破想法,高校管理的顶层设计理念是党委领导下的校长负责制。因此,内部控制建设不单单是高校行政部门的事情,议事决策机制、岗位设置、机构设置等均由党委进行顶层设计。在控制范围角度,高校沿用行政事业单位内部控制所关注的经济活动,为提升利用公共资源的效率,高校也应关注影响学校发展战略实现的其他非经济活动,如学科发展规划、专业建设规划、人才建设等。在工作机制方面,高校内部控制应该在时间上强调全过程控制,利用信息化手段,实施过程动态监管,坚持以风险管理为主线实施内部控制。制度建设、组织支撑、控制范围及工作机制是内部控制得以有效实施的重要保障,其中尤以组织支撑更为重要,因为议事决策机制、岗位设置、机构设置均对内控有效实施具有决定性的影响。以当前高校实际情况来判断,当前高校内部控制环境建设中,制度建设、控制范围、工作机制属于低风险低几率的绿灯区,属于可承受范围;而组织支撑则属于高风险低几率的黄灯区,应采取风险降低的策略,重点通过建立相互牵制的岗位设置、监督组织体系来降低风险。。(2)建立针对性强的业务层面风险控制近年来,行政事业单位会计制度建设得到长足发展,高校、医院作为行政事业单位中业务复杂的代表,会计及内部控制改革均走在前列。同时,高校作为人才相对密集的单位,内部控制工作制度建设相对比较完善。但在实际发展过程中,高校内部控制业务层面仍存在一些问题,这些问题不仅仅存在于经济活动方面,非经济活动方面也应投入关注。当前,高校经济活动风险比较突出的业务主要集中在采购招投标业务层面。采购招投标业务即涉及了体量较大的基本建设工程,也涉及到日常大额的资产、服务采购支付。因为涉及的资金较大,寻租空间大,容易滋生腐败,给高校带来的损失也往往比较巨大。因此采购招投标业务建设应作为高校内部控制的重点建设内容。从重要性和实际发生几率来看,采购招投标业务控制属于高风险高几率的红灯区范围,应对策略采用风险规避策略。具体将应严格按照管办分离(采购审批和采购实施分离)、重点岗位轮岗制度、招标业务外包等方式,降低风险进而规避一些实际操作中的风险。高校经济业务比较复杂,既有财政拨款收支,也有带有公益性质的自筹运营收支,因此预算及收支管理业务也是内部控制重点管控对象。高校预算工作主要问题存在于预算执行方面,诸如预算执行进度难以达到预期,项目经费不能做到专款专用,预算超范围开支,预算列支真实性欠缺等。在收支方面,存在的问题主要有:资金结算不符合规定、收入不及时或存在小金库现象、票据开具不规范、存在虚假列支问题等等。在上述收支业务中,对于单位整体而言,上述收支业务给单位带来的损失及几率属于低风险高几率黄灯区范围,应采取风险降低的策略,做好日常规范化管理工作以降低风险。资产管理是高校内部控制中比较薄弱的环节。有的高校还未理顺资产管理组织框架,存在多头管理的问题,有的高校虽已理顺管理框架,但日常管理比较薄弱,主要体现在资产盘点、出入库管理、标准化管理等。高校资产融合教学、科研、对外服务等多方面职能,教师等个体对资产存放有较大的掌控权,因此资产分布情况复杂。很多高校资产盘点受限于传统手段,盘点多以自查结合抽查的方式展开,现场盘点有时流于形式,存在较大的资产流失风险隐患。出入库管理方面,高校库存管理较企业存在较大差距。企业对存货管理从经济效益角度及安全角度均建立了较完善的制度,而我国很多高校的存货管理基本缺失,存货采购忽视效益,无统一的存货管理仓库,出入库流程流于形式。资产标准化管理则主要体现资源效益问题,高校预算管理多采用项目制,项目经费开支由负责人掌控,由此导致资产采购标准差异较大,经费多的采购标准较高,从而造成资源浪费。资产管理业务属低风险高几率业务,应采取加强资产管理措施以降低风险。非经济业务风险主要为决策不能同自身战略目标相结合。高校应结合自身资源及所处宏微观环境,凸显自身优势特点确定符合自身的发展战略,不应盲目地按照专科-教学型本科-研究型本科的传统思路发展,发展战略一定要体现出高校自身发展特色,经过充分论证确定。经论证后,发展战略不应轻易改变,尤其是不受到高校领导层的变更而轻易发生改变,高校的人才发展战略、学科建设方向、专业设置等均应服务于实现战略目标而开展。
综上,风险管理理念侧重发现内部控制过程中的重点关注对象和薄弱点,将该理念应用于高校内部控制建设过程更多是一种理念上的更新,改变传统内部牵制设置的设计理念。正式基于风险管理理念,高校在内部控制建设过程中应加强战略管理、采购和招标管理等重点建设内容,同时针对预算收支、资产管理等建立一个动态的风险评估理念,适时调整控制力度,以更好地建设高效的内部控制制度。
作者:郭长安单位:宁波工程学院
参考文献:
[1]沈烈.论高校内部控制的转型与创新[J].高等教育研究,2010(12).
关键词:内部控制风险管理COSO
1概述
近年来,企业面临的经济环境越来越复杂多变,各种风险因素都在变化和增大。与国外发达国家相比,我国企业的内部控制和风险管理水平还比较落后。我国的风险管理体系亟待完善。因此,通过科学的方法研究一套有效的风险管理体系变成了我国企业进一步发展的必然要求和重要保证。在内部控制的基础上建立风险管理体系,可以使企业在复杂的环境中更有竞争优势,提升其风险承受力,降低损失,提升适应环境的能力。
2基础理论分析
2.1内部控制、COSO的含义与构成要素分析①内部控制的含义。内部控制是由企业管理人员以及学术界学者们在实践中不断创新和改进而共同推动发展的。内部控制作为企业自我调节和制约的一个内在机制,是由企业的董事会、管理层和其他人员实现的过程,旨在为财务报告的可靠性、经营的效果和效率提供合理保证,与风险的管理密切相关。②COSO内涵。COSO是美国最早在1985年由各大会计师协会创建的防范虚假财务报告委员会,自创建以来,通过分析财务舞弊原因以提升财务真实性为最终目的,有很高的权威性。随后,COSO委员会相继了内部控制整合框架等管理内部控制的纲领性经典文件。这些文件指导我国企业完善风险管理,并进入了一个法制化的阶段。1992年,COSO委员会内部控制的相关报告,同时也对风险管理进行了比较全面的阐述,并在1994年对内部控制的涵义进行了补充和增加,不断完善我国基于内部控制的风险管理水平。③内部控制的构成要素分析。内部环境是企业进行风险管理的基础,为其他要素的顺利进行提供了基本的组织结构。COSO报告阐述了组成内部控制的构成分别为内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监督8大要素。这要素是一个有机的整体,它们并不是单纯罗列的过程,而是一个相互作用、相互影响的过程。内部控制的这要素彼此关系非常紧密。
2.2风险管理的内涵风险存在于企业的生产管理和经营管理的每一个阶段,有客观性、可转变性、不确定性和偶然性。风险可以被分为系统风险以及非系统风险。其中,非系统风险来自内部,而系统风险更多的来自外部的宏观因素。非系统风险对企业整体都会产生影响,并且较难规避。
2.3通过COSO对内部控制与风险管理的启示通过对COSO的深入理解,得到了对企业内部控制与风险管理的启示。内部控制能够触及到企业的任何部门,可以设置相互制约的岗位及人员,提高预测和控制风险的及时度和准确度。促进企业有效的规避风险。内部控制有不可忽视的作用,从内部控制的角度来进行风险管理,弥补了之前关于这方面研究的欠缺。对丰富风险管理方法、提高预测风险的准确性、节约风险控制成本、改善现状等具有重要的意义。
3基于内部控制构建风险管理体系
3.1基于内控构建风险管理体系的原则结合内部控制管理应对策略,确定风险管理体系构建方案,遵循的原则为:①系统原则。风险管理是一个整体相互联系、相互作用的体系。这个体系以防范风险为出发点,以实现风险管理为最终目的,将所有流程作为一个有机整体,促进管理目标的实现。②基于内部控制原则。风险管理要通过内部控制管理的流程来逐步完成,设计风险管理体系时也要以内部控制的8大要素为基础来考虑风险管理的操作要求,把所有控制和管理活动划分为以每个要素为基础进行风险管理。③预防原则。构建全面风险管理体系时要尽量以突出预防为主,以预防为主才能将风险控制在发生前,事前采取预防措施,防止风险发生后再补救而给公司带来的损失。④持续改善原则。由于外部和内部管理环境的要求是不断变化的,所以风险管理不是一个静态系统,而是一个必须持续改进的动态系统。
3.2基于内部控制完善风险管理的实施步骤①制定风险管理的总体目标和子目标,收集风险管理的初始信息确定风险管理的总体目标,将风险管理的目标分解到企业内部的各个职能部门,形成风险管理总体目标统领各部门的子目标。②在内部控制的基础上进行风险辨识和风险评估。建立规范化的内部控制体系,根据内部控制的8大要素完善战略目标、控制风险活动等与风险管理有关的制度。③针对不同类风险,建立风险管理制度政策。设立能够反映企业运营状况的风险管理指标,同时建立重大风险的指标监控和预案,对危险值的变化趋势进行量化分析,实时监控风险指标在经营生产中每个状态的趋势变化状态。④对重大风险建立风险应对措施和预案。按照我国企业制定的风险管理政策和计划,分配到企业内部各个部门来实施具体计划。制定风险管理措施有力实施的保障预案,最大程度的使风险管理规范化。
4总结
综上所述,本文通过COSO的启发,基于内部控制分析进行风险管理,并融合了内部控制进行风险管理。结合企业自身的规模、特点和环境等,在完善内部控制管理的同时,构建风险管理体系,尽早处理风险。
参考文献:
[1]唐妍.企业会计信息系统内部控制影响因素研究[D].辽宁大学,2012.
一、前言
企业的内部控制,是企业提高综合竞争力的基本保障,同时也决定了一个企业的生存与发展,良好的内部控制能够降低经营风险和风险带来的损失,企业要想在日益激烈的竞争中立于不败之地,一个健全的内部控制制度是必不可少的。
二、企业内部控制和风险管理运行中存在的问题
第一,内部控制没有注重对环境的控制。
在我国,很多企业内部控制管理存在着很大的问题,环境的控制常常被管理者们忽略,外部环境对企业的内部控制造成巨大的影响,企业的管理者们并没有顾全企业的整体运作,将企业内部控制授权给会计部门,导致内部控制管理无法正常运行。
第二,无法应对高于内部控制的风险。
对于风险控制,我国大部分企业存在这么一个现状,企业风险控制主要运用在企业管理人员以及全体员工的控制管理,而忽视了对企业高层管理者的控制,对高管们缺乏束缚力,以至于高管们常常出现工作错误,给企业造成严重损失,无效的内部控制管理,使得企业无法应对这些高于内部控制的风险。
第三,风险管理水平较低。
在企业风险管理中,很多企业还处于风险管理水平低、手段落后的状态,例如,有些企业管理者在管理企业过程中,只重视短期利益,关注于企业当前利润,却忽视了良好的风险管理带来的长足利益和持久发展,在一些中小型企业中,聘用的管理人员并没有达到一定的管理水平,风险意识差,管理手段落后,对即将到来的风险不能及时预测并采取防范措施,从而给企业带来巨大经济损失。
第四,风险管理信息系统不完善。
在企业的风险管理中,很多企业没有一套完善的风险管理信息系统,由于不能及时掌握风险相关的数据信息,无法准确地对风险进行识别、评估和应对,使企业在预测和防范风险方面处于被动地位,不仅影响企业的日常业务运行,还大大降低了企业竞争力。
三、企业内部控制与风险管理的改进措施
第一,建立完善风险管理控制机制。
一个企业,只有对经营风险和财务风险进行识别,才能够从容应对公司风险,完善风险管理控制机制的同时,企业应该就风险识别建立风险预警机制,监控企业财务数据,同时成立相应的风险管理部门来对公司总体风险进行控制管理。再者,良好的风险管理理念也是企业进行风险控制的重要基础,风险管理理念是企业对风险的整体认知,它需要企业的全体员工对风险管理有正确的认识,并努力提高风险管理意识,使企业及时防范经营风险。
第二,建立科学的内部控制制度。
企业要进行风险控制管理,就要先建立起科学的内部控制制度,首先作为企业管理层,要提高自己的危机意识、风险意识和内部控制管理意识,加强内部控制管理,企业应该结合自身规模和日常业务特点,建立一个符合实际、行之有效的内部控制制度,在整体管理上运用科学的管理手段,规范内部控制管理。
第三,实行内部控制评价制度。
所谓众人拾柴火焰高,在实行内部控制制度时,不仅是企业管理层,更需要企业全体员工的参与,使企业员工在整体上了解公司内部控制制度的内容和运作情况,才能及时发现内控制度中存在的缺陷并提出不同的改进方案,有效避免了制度缺陷给企业造成的损失,企业员工在参与内部控制评价制度的同时,增加了自身责任感,也加强了企业凝聚力,成为推动企业迅速发展的强大动力。
第四,定期控制测试,加强化内部控制制度考核。
定期进行控制测试和制度考核,能有效检验内部控制管理制度,企业需要建立相关的内审部门,通过定期的内部测试发现内控制度中潜在的问题,并根据测试结果进一步优化内控制度内审部门在考核时,应对存在风险做重要性评估,对企业的所有业务流程进行测试,为了强化内控制度考核,需要实施员工奖惩制度,对能出色完成内控工作的员工给予一定的奖励,对工作不负责的员工要给予严厉的惩罚。
四、结语
【关键词】内部控制生产经营财务管理风险管理机制
伴随着我国经济的不断发展,世界经济进入一体化,在这样的形势下,企业的生产经营活动会受到很多因素的影响,可能产生对企业会发生的风险的因素和一些不确定因素。而面对全新的形式,企业必须从自身的内部控制入手,为避免企业财务风险,企业应建立起良好的风险管理机制,以保证企业的各项生产经营活动的顺利进行。下文就企业内部控制与风险管理的关系进行深入分析,就当前我国企业内部控制风险管理存在的问题进行研究。
一、企业内部控制与风险管理的关系
1、内部控制不同于风险管理
从企业的内部控制与风险管理发展情况来看,在经济的发展初期,内部控制处于整体框架之前,而风险管理则处于传统风险管理,此时的风险管理与内部控制是相互独立的。随着时代的进步,风险管理逐渐受到人们的广泛关注,因企业在实际的经营活动中受到的影响因素增多,实施风险管理就是对这些不确定因素进行识别,辨别在发展过程中的机会和危险。此时的内部控制关注的是确定性的一些企业经营活动,主要是对企业经营活动中的财务信息进行控制,而很少注重到发展中面临的那些不确定因素。那时的风险管理也只是被动的面临企业经营生产活动中的不可控风险,并通过一定的措施来规避风险。
2、内部控制与风险管理相互融合
社会经济和技术的发展,也推动了企业内部控制与风险管理进一步得到融合统一,在这样的形势下,企业的内部控制仅仅只对确定性的企业财务信息进行控制,对那些不确定的风险与机会的把握与控制也提出了要求,此时,企业的内部控制已经成为了整体框架的关键阶段。人们对于企业的风险管理也不再只停留在纯粹的风险管理上,逐渐开始关注那些给企业发展带来机会的事件并进行识别和管理。这些管理措施不仅能够有效的规避风险,更能促进风险管理进一步向现代风险管理阶段发展。总之,风险管理与内部控制的融合是企业内部控制风险管理的一个必然发展措施。
二、当前我国企业内部控制风险管理存在的问题
1、财务风险的特点分析
随着新时代经济形势的不断变化,对于企业来讲,财务工作运行质量的好坏直接关系着企业的日常生产经营活动,随着企业规模和业务的逐渐扩大,财务风险也逐渐暴露出来,因而财务风险具有一定的隐藏性。其次,从财务风险因各种风险的影响和转化而来,包括内部风险与一些外部风险。一方面,财务风险的初期可能是因金融风险或者企业风险形成,因没有受到较多的关注最终导致风险爆发。另一方面,财务风险相较于一般的经济风险更加复杂,具有一定的转移性和复杂性。最后,某企业一旦发生财务风险,则可能带来很大的经济损失,甚至带来一系列的连锁反应,对于整个企业或者企业的相关人员来说都有一定的危害。显然,这些问题也体现出进行企业内部控制风险管理的重要性。
2、企业风险控制意识较低
众所周知,内部控制作为企业管理的一个重要环节,其不仅与企业的经济运行有着紧密关系,更是推动企业进一步发展的关键措施。伴随着市场的变化,传统的内部控制工作逐渐暴露出很多弊端。首先,在企业中,一些领导对于企业内部控制风险管理仍然保持着传统的观念,认为内部控制工作仅仅是对于企业的一些工作质量进行检查,保障企业内部管理工作的顺利进行,因此缺乏对于风险管理工作的重视,使得内部控制工作的应用并没有真正在企业的生产决策和经营管理中发挥作用。再加上企业领导与工作人员直接缺少交流,其信息传递常常断裂,这也直接造成内部控制工作流于形式,最终导致深层次问题的原因。虽然很多企业有召集专业能力较强的人才,但对于人才结构的调整不合理,未对相关人员的继续培训做好安排,而导致内部控制风险管理工作滞后。
3、企业经济结构存在漏洞
由于企业自身的流动资金与整体资本容量小,所以在建立和规划结构的过程中无法估计企业发展的经济需要,最终使得经济结构不完整。为确保企业的发展,很多企业选择贷款等负债手段来解决企业的资金问题,而这种方式尽管能在一定程度上解决企业发展的经济压力,但因市场的不断变化,可能导致企业利润无法保障,从而导致企业的危机,最终形成财务风险。对这些企业来讲,来自市场的经济风险是难以避免的,而产品则是企业赖以生存的因素,所以,企业风险产生的重要原因就是自身对于产品和市场的定位不准确,在实际的生产经营活动中,没能深入地分析市场的实际需求,没能对产品的未来发展趋势进行分析和预测,盲目的生产,导致大量的产品积压,最终导致企业的经济危机更加突出。
4、缺乏完善的风险控制体系
因缺乏健全的风险控制体系,企业很难对会发生和可能发生的风险进行规避或者解除。首先,很多企业的内部控制并没有设立风险管理部门,随着经济全球化的发展,企业所要面临的风险也逐渐扩大,这就要求企业的风险管理能力要有更大的作用。需要特别注意的是,企业没有设立专门的风险管理部门来对企业可能发生的风险进行识别、评估以及控制。再加上缺少专门的人才来处理这些事情,最终企业面对风险时就不能很好的进行处理,如果没有完善的风险控制体系,势必会造成企业的财务风险,最终影响企业发展。
三、加强企业内部控制风险管理机制建立的具体措施
1、提高相关人员的风险管理意识
因市场环境因素与企业内部因素的影响,精细化和专业化逐渐成为企业理财的基本目标。很多企业的理财业务不仅要自己开展,更需要委托相关的金融结构来操作,这些金融机构有着较强的专业能力,能根据企业的实际情况和需求做出相应的财务管理操作和建议。但主要还是通过金融策划、金融机构安排综合等程序来完成。这些理财活动所设计的金融活动复杂,因此需要具备较高素质的企业财务管理人员进行全面掌控,当市场出现重大变化或者较大的波动时,就更需要具有较高专业素质的人员,能够审时度势做出迅速的回应,调整企业的理财战略,以降低企业的财务风险。
2、建立良好的风险治理模式
良好的企业治理结构不仅能促进企业有效的利用现有资源,更能加快实现企业的财务目标。需要特别注意的是,现代企业治理的结构模式仍旧还是以股东财富最大化、企业价值最大化两种方式中选择。其中企业治理结构模式能够有效实现企业理财目标,并对企业未来战略计划有着巨大的影响。比如,如果选择了股东财富最大化的治理模式,企业的理财目标注重的就是股东的实际利益,而并非企业的整体利益。这对于其他利益相关者来说是不公平的,而企业的效率需要相关利益者的平等利益基础上。大多以针对这种情况,企业的治理结构与理财目标就非常容易造成不协调等情况。所以,要创新企业治理结构,将企业价值最大化作为企业治理结构模式,促使企业更多收益主体之间公正、平等的权益。因此,企业在这种治理模式上的改变,不仅是企业理财的出发点,更是其归宿点。与此同时,伴随着企业结构模式的转变,企业理财目标、战略规划以及理财工具等都会发生相应的变化,从而避免了因矛盾而产生风险。
3、健全企业风险管理机制和防范机制
面对激烈的市场竞争和复杂的市场环境,企业要避免发生财务风险,就应做好财务风险的认知与防范机制。首先,很多型企业建立了完整的财务风险认知和防范机制,其在对市场的资本冲击方面起到了良好的抵御作用。而财务风险认知就是在财务风险的管理中,当财务风险出现或者正要出现时,就予以准确的识别,以为企业的防线防范提供依据和时间。在此基础上,我们就可以通过深入分析财务风险隐患,制定有效的防范措施,并通过及时的数据化管理,以全面分析企业内部经营、外部市场环境等数据,明确产生财务危机的原因和存在的问题,迅速做出财务风险防范措施。一方面,通过建立风险基金,在财务风险发生或者要发生时,以预提的方式建立防范风险损失的专用资金;另一方面,通过建立资金使用监督机制,加强对企业流动资金的投放、管理与支出,以提高资金的周转率和利用率,进而提升企业的应变能力。在真正遇到财务风险时,能够有效发挥企业的短期偿还能力,以降低企业的负债率,最终帮助企业渡过财务危机时期。
四、结语
总之,企业内部控制风险管理机制是企业生产经营和发展过程中非常重要的环节,而就我国目前的大部分企业的情况来看,因缺少完善的内部控制风险管理机制和体系,使得企业在应对财务风险和生产经营风险时无法有效的处理。所以,要加强企业内部控制管理人员对风险管理的意识,通过建立良好的风险治理模式,进一步健全和完善企业的内部控制风险管理机制,全方位识别和处理企业风险,促进企业又快又好发展。
【参考文献】
[1]李莉:论企业内部控制的风险管理机制[J].企业经济,2012(3).
[2]杨志远:我国国有企业风险控制问题研究[D].西南财经大学,2010.
[3]罗怀敬:全面风险管理导向下企业内部控制评价研究[D].山东农业大学,2013.
[4]徐翔:国有企业内部控制机制及运行研究[D].西南财经大学,2014.
[5]张迪:基于风险管理的企业内部控制研究[D].长安大学,2010.
[6]王亚娟:基于风险管理的电力企业内部控制研究[D].华北电力大学,2014.
一、企业内部控制与风险管理的关系
1、内部控制不同于风险管理
从企业的内部控制与风险管理发展情况来看,在经济的发展初期,内部控制处于整体框架之前,而风险管理则处于传统风险管理,此时的风险管理与内部控制是相互独立的。随着时代的进步,风险管理逐渐受到人们的广泛关注,因企业在实际的经营活动中受到的影响因素增多,实施风险管理就是对这些不确定因素进行识别,辨别在发展过程中的机会和危险。此时的内部控制关注的是确定性的一些企业经营活动,主要是对企业经营活动中的财务信息进行控制,而很少注重到发展中面临的那些不确定因素。那时的风险管理也只是被动的面临企业经营生产活动中的不可控风险,并通过一定的措施来规避风险。
2、内部控制与风险管理相互融合
社会经济和技术的发展,也推动了企业内部控制与风险管理进一步得到融合统一,在这样的形势下,企业的内部控制仅仅只对确定性的企业财务信息进行控制,对那些不确定的风险与机会的把握与控制也提出了要求,此时,企业的内部控制已经成为了整体框架的关键阶段。人们对于企业的风险管理也不再只停留在纯粹的风险管理上,逐渐开始关注那些给企业发展带来机会的事件并进行识别和管理。这些管理措施不仅能够有效的规避风险,更能促进风险管理进一步向现代风险管理阶段发展。总之,风险管理与内部控制的融合是企业内部控制风险管理的一个必然发展措施。
二、当前我国企业内部控制风险管理存在的问题
1、财务风险的特点分析
随着新时代经济形势的不断变化,对于企业来讲,财务工作运行质量的好坏直接关系着企业的日常生产经营活动,随着企业规模和业务的逐渐扩大,财务风险也逐渐暴露出来,因而财务风险具有一定的隐藏性。其次,从财务风险因各种风险的影响和转化而来,包括内部风险与一些外部风险。一方面,财务风险的初期可能是因金融风险或者企业风险形成,因没有受到较多的关注最终导致风险爆发。另一方面,财务风险相较于一般的经济风险更加复杂,具有一定的转移性和复杂性。最后,某企业一旦发生财务风险,则可能带来很大的经济损失,甚至带来一系列的连锁反应,对于整个企业或者企业的相关人员来说都有一定的危害。显然,这些问题也体现出进行企业内部控制风险管理的重要性。
2、企业风险控制意识较低
众所周知,内部控制作为企业管理的一个重要环节,其不仅与企业的经济运行有着紧密关系,更是推动企业进一步发展的关键措施。伴随着市场的变化,传统的内部控制工作逐渐暴露出很多弊端。首先,在企业中,一些领导对于企业内部控制风险管理仍然保持着传统的观念,认为内部控制工作仅仅是对于企业的一些工作质量进行检查,保障企业内部管理工作的顺利进行,因此缺乏对于风险管理工作的重视,使得内部控制工作的应用并没有真正在企业的生产决策和经营管理中发挥作用。再加上企业领导与工作人员直接缺少交流,其信息传递常常断裂,这也直接造成内部控制工作流于形式,最终导致深层次问题的原因。虽然很多企业有召集专业能力较强的人才,但对于人才结构的调整不合理,未对相关人员的继续培训做好安排,而导致内部控制风险管理工作滞后。
3、企业经济结构存在漏洞
由于企业自身的流动资金与整体资本容量小,所以在建立和规划结构的过程中无法估计企业发展的经济需要,最终使得经济结构不完整。为确保企业的发展,很多企业选择贷款等负债手段来解决企业的资金问题,而这种方式尽管能在一定程度上解决企业发展的经济压力,但因市场的不断变化,可能导致企业利润无法保障,从而导致企业的危机,最终形成财务风险。对这些企业来讲,来自市场的经济风险是难以避免的,而产品则是企业赖以生存的因素,所以,企业风险产生的重要原因就是自身对于产品和市场的定位不准确,在实际的生产经营活动中,没能深入地分析市场的实际需求,没能对产品的未来发展趋势进行分析和预测,盲目的生产,导致大量的产品积压,最终导致企业的经济危机更加突出。
4、缺乏完善的风险控制体系
因缺乏健全的风险控制体系,企业很难对会发生和可能发生的风险进行规避或者解除。首先,很多企业的内部控制并没有设立风险管理部门,随着经济全球化的发展,企业所要面临的风险也逐渐扩大,这就要求企业的风险管理能力要有更大的作用。需要特别注意的是,企业没有设立专门的风险管理部门来对企业可能发生的风险进行识别、评估以及控制。再加上缺少专门的人才来处理这些事情,最终企业面对风险时就不能很好的进行处理,如果没有完善的风险控制体系,势必会造成企业的财务风险,最终影响企业发展。
三、加强企业内部控制风险管理机制建立的具体措施
1、提高相关人员的风险管理意识
因市场环境因素与企业内部因素的影响,精细化和专业化逐渐成为企业理财的基本目标。很多企业的理财业务不仅要自己开展,更需要委托相关的金融结构来操作,这些金融机构有着较强的专业能力,能根据企业的实际情况和需求做出相应的财务管理操作和建议。但主要还是通过金融策划、金融机构安排综合性服务等程序来完成。这些理财活动所设计的金融活动复杂,因此需要具备较高素质的企业财务管理人员进行全面掌控,当市场出现重大变化或者较大的波动时,就更需要具有较高专业素质的人员,能够审时度势做出迅速的回应,调整企业的理财战略,以降低企业的财务风险。
2、建立良好的风险治理模式
良好的企业治理结构不仅能促进企业有效的利用现有资源,更能加快实现企业的财务目标。需要特别注意的是,现代企业治理的结构模式仍旧还是以股东财富最大化、企业价值最大化两种方式中选择。其中企业治理结构模式能够有效实现企业理财目标,并对企业未来战略计划有着巨大的影响。比如,如果选择了股东财富最大化的治理模式,企业的理财目标注重的就是股东的实际利益,而并非企业的整体利益。这对于其他利益相关者来说是不公平的,而企业的效率需要相关利益者的平等利益基础上。大多以针对这种情况,企业的治理结构与理财目标就非常容易造成不协调等情况。所以,要创新企业治理结构,将企业价值最大化作为企业治理结构模式,促使企业更多收益主体之间公正、平等的权益。因此,企业在这种治理模式上的改变,不仅是企业理财的出发点,更是其归宿点。与此同时,伴随着企业结构模式的转变,企业理财目标、战略规划以及理财工具等都会发生相应的变化,从而避免了因矛盾而产生风险。
3、健全企业风险管理机制和防范机制
面对激烈的市场竞争和复杂的市场环境,企业要避免发生财务风险,就应做好财务风险的认知与防范机制。首先,很多型企业建立了完整的财务风险认知和防范机制,其在对市场的资本冲击方面起到了良好的抵御作用。而财务风险认知就是在财务风险的管理中,当财务风险出现或者正要出现时,就予以准确的识别,以为企业的防线防范提供依据和时间。在此基础上,我们就可以通过深入分析财务风险隐患,制定有效的防范措施,并通过及时的数据化管理,以全面分析企业内部经营、外部市场环境等数据,明确产生财务危机的原因和存在的问题,迅速做出财务风险防范措施。一方面,通过建立风险基金,在财务风险发生或者要发生时,以预提的方式建立防范风险损失的专用资金;另一方面,通过建立资金使用监督机制,加强对企业流动资金的投放、管理与支出,以提高资金的周转率和利用率,进而提升企业的应变能力。在真正遇到财务风险时,能够有效发挥企业的短期偿还能力,以降低企业的负债率,最终帮助企业渡过财务危机时期。
关键词内部控制风险管理整合
中图分类号:F272.7文献标识码:A
COSO分别于1992年和2004年先后了两个内部控制框架,后者被命名为《风险管理——整合框架》,不但与原《内部控制——整合框架》名称不一,并将风险管理理念和方法导入其中。尽管我国2008年的《企业内部控制基本规范》采用了前者的形式和后者的思想,但是与我国企业的习惯认识产生了冲突。如何认识内部控制与风险管理的联系和区别,并对二者进行整合是当前会计理论界和实务界需要进一步思考的。
一、风险管理与内部控制关系综述
一般认为,企业内部控制是为了保护资产安全、提高企业经营效率和效果、保证财务信息真实性和可靠性所建立的一套自我管理和自我约束的管理制度或机制。但是,COSO于2004年重新提出的《企业风险管理——整合框架》强调了内部控制是风险管理不可分割的一部分,同时又指出了风险管理框架并没有打算取代在的内部控制框架。但并没有说清楚内部控制与风险管理究竟是一种什么样的关系。而且既然不准备替代内部控制框架,那么提出风险管理框架的用意又是什么。其实,长期以来,理论界和实务界对内部控制与风险管理之间的关系始终没有达到一致意见。概括而言,主要有以下三种观点:
(一)内部控制包含风险管理。
巴塞尔银行业监管委员会的《银行业组织内部控制系统框架》主张把风险管理内容纳入到内部控制框架之中。例如该框架指出:“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平。确保管理层采取必要的步骤去识别、计量、监督以及控制这类风险。”。另外,加拿大注册会计师协会控制标准委员会也认为:控制应该包括风险的识别与减轻。
(二)风险管理包含内部控制。
2004年,OSO委员会提出的《企业风险管理——整合框架》明确指出:内部控制是企业风险管理不可分割的一部分;内部控制是风险管理的一种方式。2005年,英国特恩而尔委员会也认为:公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。
(三)内部控制就是风险管理。
国内外也有不少学者认为,风险管理系统与内部控制系统没有差异。这两个概念的外延变得越来越广,正在变为同一事物。风险管理与内部控制仅仅是人为的分离,而在现实的商业行为中,二者其实是一体化的。将内部控制定义为风险管理只是为了强调控制与战略制定的联系,刻画了内部控制作为组织支撑的特征。
二、内部控制与风险管理比较
1992年COSO提出的《内部控制——整合框架》将内部控制定义为,“受董事会、管理层及其他人员影响的,为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”2004年COSO重新推出《风险管理——整合框架》,将风险管理定义为“由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定和企业各个层次的活动,目的是识别影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理保证的过程。”
(一)内部控制与风险管理的相关性。
1、风险管理包含内部控制,是内部控制的改进版
内部控制是生产规模化和资本社会化的产物,是基于委托关系的,其目标是保证会计信息的真实和资产安全;而风险管理则是经济全球化的产物,是对内部控制的拓展和延伸,其目标是提高企业对外部市场的反应能力,提升企业战略的适应性。因此,内部控制与风险管理的融合是必然的。2004年COSO委员会的《企业风险管理——整合框架》通过控制目标和控制要素的安排,将内部控制全面纳入到了风险管理框架之下,从而实现了内部控制与风险管理的全面融合。融合后,风险管理目标多了一个战略目标,这一目标正是内部控制升华到风险管理的核心体现。另外,为了强调风险的重要性,风险管理框架另外增加了事件识别、目标设定和风险对策三个要素。由此可以看出,内部控制实际上是包容在风险管理框架之中的。
2、风险管理以内部控制为工具。
风险管理是以内部控制为基础的,必须得到内部控制的支持,才能实现风险控制的目标。内部控制受风险管理驱动,反过来为企业实现管理目标而提供有效的保证。完善的内部控制是当今世界大多数国家的法定要求,是现代企业建立风险管理体制应达到的基本状态。
(二)内部控制与风险管理的差异。
1、内部控制与风险管理控制的对象不同。
内部控制是企业实现目标采取的政策和程序,仅仅是一项管理职能,侧重于事后和过程的控制。因而与风险管理相比,内部控制相对滞后,如控制活动、信息与沟通、对控制的监督等要素都属于事后性质的,这就决定了内部控制不能解决所有风险问题。而风险管理活动相对比较主动,通过战略目标的设定和事项识别,将内部控制提前到企业战略制定过程,使风险管理具有了前瞻性,被赋予了战略管理功能,提升了企业风险管理的地位和能力。
2、内部控制与风险管理对风险的认识不同。
内部控制注重对企业目标实现过程中产生负面影响的事件进行控制,没有区分风险和机会。而风险管理既关注风险对企业战略目标实现的不利影响,还要求关注风险中所蕴涵的机会对企业战略的促进作用。
3、内部控制与风险管理对风险管理的范围不同。
内部控制与早期的企业经营环境相适应,外部环境相对稳定,关注的是企业内部风险;而风险管理与当前不确定的市场环境相对应,关注的侧重点是企业外部市场风险。之所以如此,是因为只有关注外部风险才能够提高企业战略对外部市场的适应性
4、内部控制与风险管理采取的风险管理策略不同。
随着金融衍生工具的出现和市场竞争的加剧,企业存在多重风险,而且风险存在叠加,有的风险相互抵消减少。因此,风险管理提出了对风险进行组合管理的概念,企业不能只从某个部门或某项业务去考虑风险,而应当从组织整体角度考虑风险问题。
三、内部控制与风险管理的整合
内部控制应与企业的风险管理的融合,是企业风险管理的客观要求。
(一)设立风险管理委员会,提高内部控制的层次。
我国大多数企业之所以仍然将内部控制视为企业日常管理的工具,而将其定位于风险管理,关键是企业风险意识不强,而风险意识不强的原因是无人对风险承担责任。如果在企业组织结构中建立独立的、专业的风险管理团队,不但有助于对内部控制进行专业化的管理,增强其独立性,而且有助于创造一个独立承担风险管理责任的主体,从而激发企业领导层的风险责任意识。
(二)在内部控制框架中导入风险理念。
内部控制与风险管理是不可分割的整体,风险是二者联系的桥梁,这就要求在企业内部控制的各个层面、各项业务流程和各个控制环节注入风险管理政策和程序。企业风险管理部门,应当按照风险管理的要求,加强对内部控制的监督,定期和不定期地对风险管理活动的有效性作出评价,并提出整改意见。
(三)明确董事对企业风险管理的责任。
企业风险管理部门只是风险管理的直接责任人,董事会才是风险管理的最终责任人。为此,企业应当建立多层次的风险责任体系,以各司其职,各负其责任。将董事会的责任定位于风险管理的顶层设计层次,高级管理层的责任则主要定位于风险管理的执行层次,专职的风险管理部门的责任则定位于风险管理的组织层次,各部门经理则对本部门的运作风险管理负责。值得一提的是,董事会不但负责风险管理的顶层设计,而且对风险管理承担最终责任,董事会必须对对违反风险管理的各种行为,都应当严加追究,无论其是否造成损失。
(四)完善企业风险管理的内部环境。
COSO《风险管理——整合框架》将原《内部控制——整体框架》中的“控制环境”要素修改为“内部环境”要素,旨在要求提高整体风险意识而不仅仅是与控制政策和程序有关的风险意识,要求企业加强风险文化建设、树立适当的风险偏好、正确地识别风险和机会,以风险为导向加强人力资源管理,培养员工的诚实性和道德观,以提高企业整体的风险管理素质。
四、结束语
风险管理是一个比内部控制更加宽泛的概念,险管理与内部控制的融合是内部控制和风险管理成熟的标志。内部控制与风险管理的融合,强调了内部控制与企业战略之间的联系,使内部控制从狭隘的财务控制拓展到战略管理层面,要求内部控制参与企业价值创造的全过程。内部控制与风险管理的融合说明了传统的内部控制为企业风险管理构筑的防火墙已经难以抵挡市场瞬息万变的变化带来的风险,需要更全面的风险管理以适应市场经济的发展。
(作者单位:平顶山市建设工程标准定额管理站)
参考文献:
[1]张军.基于风险管理视角下的内部控制探讨.内蒙古财经学院学报(综合版),2011(02).
