基于风险管理的企业内部控制长效机制研究,本文主要内容关键词为:内部控制论文,风险管理论文,长效机制论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
近年来,沸沸扬扬的国美内斗事件,是中国国内证券市场成立以来史无前例的新闻焦点。先有大股东黄光裕身陷囹圄,后有“黄陈”对国美控制权的激烈争夺,至此国美的企业管理风险和内部控制问题全面爆发。对于企业内控,2002年美国因为安然事件出台了《萨班斯-奥克斯利法案》,而中国亦有五部委最新发布的《企业内部控制基本规范》及其配套指引,显然企业只有建立了行之有效的内部控制体系,才能获得稳定且持续的发展。
一、风险管理与内部控制发展历程
(一)风险管理的发展历程
人们在认识风险的过程中,必然面临风险带来的损失。随着时代的变化,风险也在变化。风险管理的起源和发展可以归纳为二个阶段:
1.传统的风险管理思想
风险管理作为一门学科从20世纪30年代开始萌芽,产生于20世纪50年代的美国。1929年至1933年,美国卷入20世纪最严重的世界性经济危机。由于受到世界性经济危机的影响,美国约有40%左右的银行和企业破产。美国许多大中型企业为应对经营上的危机,都在内部设立了保险管理部门,负责安排企业的各种保险项目,1931年,由美国管理协会保险部首先提出风险管理概念。20世纪50年代,美国企业界发生的通用汽车公司的自动变速器装置引发火灾及钢铁行业因团体人身保险福利、退休金问题诱发长达半年的工人罢工,给美国国民经济带来巨额损失,这两事件后,理论界和实务界对风险管理的研究逐步趋向系统化、专门化,风险管理一词正式形成。
20世纪70年代,美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。中国对于风险管理的研究开始于20世纪80年代,风险管理学在中国仍旧处于起步阶段。
2.全面的风险管理思想
在全球化、竞争激烈的市场中,任何企业都处于动荡多变的环境之中,这种外界环境的变化如政局的更替、汇率的波动、新技术的出现、人口结构的变化等都有可能导致一个企业遭受损失乃至破产,但也有可能给企业提供赢利的机会。随着时代的发展和现代企业动作中的实践积累,许多公司尤其是跨国公司都开始从更广泛的角度来看待风险和风险管理,风险管理的实践者应从企业整体角度进行而不应像以前那样进行若干个独立的风险管理,这样现代“全面风险管理”便应运而生了。
(二)内部控制的发展历程
内部控制的历史发展与风险管理的发展从源头上是互相割裂的,然而在不断的发展过程中,二者互相借鉴与融合。美国对现代内部控制研究较早且富有成效。内部控制在其发展过程中,企业风险管理的思想始终贯穿在内。其发展大致可分为内部牵制阶段(20世纪40年代前),内部控制制度阶段(20世纪40年代末至70年代),内部控制结构阶段(20世纪80年代至90年代),内部控制整体框架阶段(20世纪90年代以后)。
二、风险管理与内部控制的关系
从内部控制与风险管理的发展历程看,企业风险管理的思想始终贯穿在内部控制的发展过程中,内部控制的动力来自企业对风险的认识和管理,下面主要比较COSO《内部控制一整合框架》和COSO《企业风险管理一整合框架》来分析两者的关系:
(一)风险管理与内部控制的框架
COSO报告的核心内容规定了内部控制的框架,确定内部控制的定义、目标和要素,超越了以往的内部牵制、内部控制体系和内部控制结构思想。其整体框架主要由“三个目标”和“五个要素”组成。即操作性目标、信息性目标、遵从性目标,同时提出了控制环境、风险评估、控制活动、信息与沟通及监督五个要素。COSO委员会2004年颁布了《企业风险管理一整合框架》用于指导风险管理活动。整合框架确定了企业风险管理的三维框架,即第一维度四个目标,包括战略目标、经营目标、报告目标、合法性目标。第二维度八个要素,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。第三维度四个层级,包括整个企业整体层面、部门层面、业务单位层面、子公司层面。从其框架看,企业风险管理继承包含了内部控制框架的主体内容,同时扩展了目标设定、事项识别和风险应对三个要素,增加一个战略目标。
(二)风险管理与内部控制的联系
在企业管理实践中,风险管理是建立在内部控制基础之上的、具有更高层次和更具综合意义的控制活动。第一,内部控制是风险管理的必要环节。内部控制是全面风险管理体系的组成部分,是全面风险管理的基础,内部控制是展开全面风险管理工作的重要手段和必要举措。第二、风险管理涵盖了内部控制。内部控制是一个系统工程,风险管理则是一个更大的系统工程。内部控制是企业内部采取的风险管理,主要是通过事后和过程的控制来实现其自身的目标。内部控制制度制定的主要依据是风险,在某些极端情况下甚至完全由风险来决定,两者相互依存。
(三)风险管理与内部控制的区别
风险管理与内部控制在内容上存在着交叉的地方,但是两者又有显著的不同,主要是从体系和目标上存在重大区别。从体系上说内部控制解决的是流程的问题,包括业务流程、管理流程的风险控制,解决的是“正确的做事”。而全面风险管理体系解决的不仅是流程问题,更是要解决战略决策、应急处理问题,不仅要解决当前的问题,更要预测和应对将来可能发生的问题,不仅要解决“正确的做事”,关键是还要解决“做正确的事”。显然,全面风险管理所要实现的目标要高于内部控制所要实现的目标。
三、建立基于风险管理的企业内部控制长效机制
基于风险管理与内部控制相互渗透相互依存,由于企业各种环境因素会发生变动,企业的内部控制体系也处于变动的状态。为实现企业目标及保障体系的构建与实施的持续优化,企业必须建立基于风险管理的企业内部控制长效机制。
(一)落实内部控制职责
内部控制体系相关程序与制度是否落实,关键看其长效机制是否融入企业日常管理中去。企业应成立各级内部控制机构,一般而言,其机构设置体系包括规范的企业法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门。还可设置最高决策机构和风险管理(内部控制)委员会,明确企业内外部风险管理防线的职责,建立分工合理、职责明确、报告关系清晰的组织机构。
(二)完善体系化的内部控制制度
企业构建基于全面风险管理的内部控制制度遵循坚持短期目标与长期目标结合、运营效率与企业效率结合的原则,坚持国际先进经验与公司实践结合、全员参与与分级负责结合的原则,制定相应管理办法和规定。建立科学有效的激励约束机制,建立涵盖所有业务的全面、系统、成文的政策、制度和程序。内部控制制度是靠人去执行的,再好的制度如果没有高素质的人去执行也不会产生高的效率、好的结果,那么企业应加强对企业员工的培训,规定企业的培训制度。整个企业都应对每个控制目标点必须做到,都应明确标准流程的执行力度,使大家都按标准流程来操作。同时,企业应建立长期的检查制度、风险控制的责任制度、严格的问责制度、风险管理报告制度,将高管的重视制度化,以有效推进内部控制制度的执行。
(三)实施科学透明的考核评价方法
内部控制体系是否有效除了执行力的问题,还取决于相应的考核办法是否科学可行。有些企业可能存在执行力不强,激励约束机制不够健全、有效,有些制度很好,但得不到很好执行,对执行情况缺乏严格考核和检查。所以,内部控制体系的构建,必须完善监督、检查、考核措施,使公司各项基础管理工作系统化、制度化、流程化,可以借助外力如外部审计来规避风险。通过实施科学透明的考核办法来确保内部控制体系的执行和有效。
(四)建立风险管理与内部控制信息系统
对于现代企业来说,形成一套科学有效的工作方法,建立风险管理与内部控制信息系统对于长效机制的稳固具有重要意义。成立信息安全管理部门,明确其任务,并在执行安全管理方面赋予相当的权利,以保证风险评估和风险管理系统真正发挥其价值。借助于必要的工作流系统,监督风险管理和风险评估工作的状态、过程和最终结果,以体现计算安全管理部门的价值,充分发挥其支撑作用。
总而言之,企业的经营环境千差万别,管理思路也各具特色,每个企业在经营中都有可能发生风险,风险管理对整个经济、社会的正常运转和不断发展起到了重要的作用。因此,任何企业都应根据自身的实际情况,有效地建立适用于本企业的内部控制体系,加强风险管理,并建立基于风险管理的企业内部控制长效机制成为必然的选择,从而提高企业的管理水平。
标签:风险管理论文; 内部控制论文; 长效机制论文; 企业内部控制与风险管理论文; 企业内部控制评价指引论文;