风险导向的企业内部控制设计,本文主要内容关键词为:内部控制论文,导向论文,风险论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
有效的内部控制是保证企业实现其目标的重要保证。国内外大量成功与失败案例告诉我们,有效的内部控制应当贯穿并融合于企业所有的活动之中,并且这些控制活动应当相互配合,形成一个整体。内部控制机制的设计和评价,应当采用风险导向的思想,也就是首先识别和评估存在的风险,然后选择适当的应对策略,以便将风险控制在可接受的水平以内。因此,企业在建立和完善内部控制制度过程中,应当在对企业业务循环进行梳理的基础上,识别相关的风险,进而采取适当的控制手段,以保证企业目标的实现。本文将以风险导向思想为依据,并借鉴国内外相关准则,以制造型企业为例,探讨各业务循环中的主要风险以及相应的内部控制,以期对我国企业建立和完善内部控制提供参考。
一、分析框架
(一)风险导向的内部控制方法
COSO(1992,1994)较早从风险的角度对内部控制进行了定义。在《内部控制——整体框架》中,内部控制被定义为“由企业董事会、经理阶层和其他员工实施的,为营运的效率和效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程”,也就是说,内部控制的目标在于为企业营运、报告和合规三大目标的达成提供合理保证,而对组织目标之达成具有不利影响的事件即为风险(COSO,2004),因此,上述定义实际上是从风险的角度来阐述内部控制的。在该框架中,COSO始终突出风险理念。COSO(1992)指出,识别和分析风险是一个持续性的过程,是有效内部控制的关键组成部分。管理层必须对组织内所有层次的风险加以认真关注,并采取必要行动加以管理。
COSO的内部控制整体框架实际上确立了一种风险导向的内部控制方法论。所谓风险导向的内部控制方法,是从风险的角度来对内部控制进行设计、评价和审计。风险导向的内部控制设计,就是通过流程梳理等方法识别企业业务活动中存在的风险并评估其发生的可能性和影响程度,进而考虑可以采用何种控制活动来应对该风险,从而将风险控制在可以接受的水平以内;风险导向的内部控制评价,就是评价组织现有的内部控制系统是否能够有效地管理企业的风险。因此,在风险导向的内部控制方法下,风险识别、评估和应对这三个风险管理的核心过程广泛地体现在内部控制的设计和评价、审计之中。
目前,风险导向思想已经被广泛地应用到内部控制理论和实务中。如PCAOB(2007)在AS5《与财务报表审计相整合的财务报告相关内部控制之审计》中即提出采用风险导向方法(risk-based approach)来实施内部控制审计,德勤会计师事务所(2009)也提出构建风险导向的内部控制。风险导向思想不仅是建立和评价内部控制和风险管理机制的理论基础,而且成为许多其他相关工作的方法论基础。例如,风险导向审计实际上就是将审计看成是一个风险管理过程,审计师首先了解被审计单位及其环境,从而识别和评估财务报表中存在的重大错报风险,进而通过设计和实施审计程序来控制检查风险,从而将审计风险控制在可以接受的较低水平内。
在风险导向思想下,内部控制的设计应遵循如下步骤:(1)对企业的业务循环及具体的作业流程进行梳理;(2)识别和分析业务循环、流程中的风险;(3)根据相关的准则、指引、实践,有针对性地选择控制措施,以控制可能的风险;(4)定期评估相关的控制措施是否能够有效地管理相关的风险,并持续加以改进。
(二)企业业务循环的划分
企业内部控制必须嵌入到企业所有的业务活动当中。因此,在讨论企业内部控制的构建之前,必须先讨论企业业务循环的划分。
1.COSO及其他以其为样板的划分
COSO(1992,1994)在《内部控制——整体框架》中,将企业的作业分为5个价值链(value-chain)作业和4个基础(infrastructure)作业(见表1),其中,价值链作业介于供应商与买主之间,包括:进货、营运、出货、营销及销售、顾客服务;基础作业则包括管理、人力资源、研发、采购。价值链作业为基础作业所支持,每一项作业均接收商品、服务或信息。
马秀如(1997)参照COSO(1992,1994)的划分,将企业作业划分为基本作业和服务性作业两大类,并进一步将有关作业细分为若干层次(见表2)。
2.注册会计师审计中对业务循环的划分
在审计中,注册会计师需要对被审计单位的内部控制进行了解与评价。为此,注册会计师常将企业所有的交易和活动划分为若干业务循环。1979年美国AICPA发布的《关于内部会计控制的特别咨询委员会报告》认为,大多数组织的交易都可以归入收入、支出、生产或改造、财务、对外报告等五种循环。在我国审计实务中,一般将企业业务循环划分为销售与收款循环、采购与付款循环、生产与存货循环、人力资源与工薪循环、投资与筹资循环等五个循环(中国注册会计师协会,2011)。不过,中注协(2011)也指出,由于各被审计单位的业务性质和规模不同,其业务循环的划分也应有所不同。
3.本文对业务循环的划分
COSO(1994)、马秀如(1997)对业务循环的划分较为详细,覆盖了企业经营活动的大部分,但没有包含投资活动;审计中对业务循环的划分则没有包含企业日常的管理活动。因此,上述两种划分方法各有其优缺点。
笔者结合上述两种划分方法,将企业业务循环划分为生产经营活动、财务活动以及日常管理活动三类(见表3)。经营活动包含采购与进货、生产、营销与销售;财务活动包含融资与投资;日常管理活动则是那些不能划入经营活动或财务活动的业务(如战略管理、人力资源、公共关系等),以及涉及数个循环的综合性业务(如财务报告与审计、风险管理、预算与计划管理)。财务报告、风险管理等活动贯穿于企业整个经营活动当中,它们并非是与采购、生产等并列的活动,因此,笔者将其归为日常管理活动,而不是像AICPA特别咨询委员会(1979)那样将对外财务报告作为与收入、支出、生产并列的循环。值得指出的是,以上划分并不是绝对的,而是有交叉的地方。
二、企业主要业务循环的风险及其控制
(一)生产经营活动的风险及相应的内部控制
1.采购循环的风险与控制
采购环节的风险主要体现在:(1)采购(数量、规格和质量等方面)不能满足生产的需要;(2)采购成本过高,包括采购价格不合理、没有充分利用折扣等;(3)采购超出生产需要导致资金占用和仓储成本过高;(4)信用风险,如受到欺诈;(5)没有按时付款导致企业信用受损;(6)采购人员贪污、挪用资金,等等(详见表4)。
2.生产循环的风险与控制
生产环节的风险主要包括:(1)由于后勤保障等原因不能正常生产;(2)生产出来的产品存在质量问题;(3)生产成本过高,等等(详见表5)。
3.营销和销售循环的风险与控制
销售环节的风险主要体现在以下几方面:(1)市场风险,由于产品不适应市场需求、竞争对手、经济政策调整等原因,导致产品滞销、市场份额降低。对此,主要的策略是进行市场研究并调整产品结构和规模,采取有效的营销模式。(2)信用风险,包括:①客户长期拖欠账款,这一状况不仅存在于国内企业间的销售,而且也广泛存在于出口企业中。②欺诈,由于未充分调查客户资信状况,发出货以后根本收不到货款。对此,主要的措施是建立信用评估体系和资信授权和审批程序,做好资信调查,加强应收款管理。③企业不能按时交货而导致的声誉损失和因赔偿对方而发生的经济损失。此外,营销与销售循环的风险还包括企业内部员工的道德风险,如侵吞货款等(详情见表6)。
(二)财务活动中的风险及相应的内部控制
1.筹资循环的风险与控制
筹资环节的风险主要体现在:(1)过多的债务融资给企业造成沉重的债务负担,包括不能按时还本付息而被提起诉讼甚至长期支付不能被破产;(2)因选择不恰当的融资方式、渠道、条件等原因导致融资成本过高;(3)融资超出企业对资金的需求导致不必要的融资成本,或者融资渠道不畅不能满足企业对资金的需求导致企业现金流量出现问题;(4)融资过程不符合监管部门的规定而受到处罚,等等(详情见表7)。其中,负债规模过大导致企业不能按时还本付息是企业筹资循环最重要的风险,对此,应当进行合理的预测,并加强事中和事后监督,以保证企业的财务结构合理,既能合理地利用财务杠杆的益处,又避免超出企业的承受能力。
2.投资循环的风险与控制
投资环节的风险主要体现在:(1)选择不恰当的投资项目导致企业损失;(2)超出企业财务能力进行投资,给企业正常生产经营造成不利影响;(3)由于外部环境的变化导致投资损失;(4)企业员工的操作失误而导致损失(详情见表8)。
就项目投资而言,因投资不当项目或投资规模过大,对企业往往具有举足轻重的影响,因此,尤其应当在进行详尽的可行性分析的基础上科学地选择投资项目,并严格规定投资的决定和审批程序,避免超过限额的投资行为。此外,应当加强对投资项目的事中和事后监督,以减少投资风险。
就证券投资而言,更大的风险在于操作风险。为此,应当在进行详尽的财务分析的基础上合理选择证券,并通过证券组合来降低风险。对于证券投资,同样应当加强限额控制,对于超出限额的投资必须在履行必要的审批手续以后才可以实施。此外,应当建立复核制度,避免由单个交易员操纵整个投资过程。会计信息系统应当及时地报告所持有证券价值变动、收益和风险情况,尤其是通过非财务信息反映证券投资风险暴露情况。
(三)日常管理活动中的风险及相应的内部控制
1.战略与计划管理的风险与控制
战略与计划管理活动中可能的风险主要来自于两方面:(1)制定过高的战略导致企业损失,或战略目标过于短浅导致竞争能力下降;(2)因计划不当而导致计划无法实施或者给企业生产经营带来损失(详情见表9)。
2.日常行政管理的风险与控制
日常行政管理活动中的风险主要包括两方面:(1)效率低下,官僚行为严重,不能有效支撑企业的生产经营活动;(2)费用过高(详情见表10)。
3.资金管理活动的风险与控制
前文已经讨论过应收账款、应付账款以及应付利息、应付股利等风险的控制,这里着重讨论货币资金管理以及对外担保的风险控制(详情见表11)。
货币资金管理的风险主要包括:(1)货币资金不能满足企业生产经营的需要;(2)发生舞弊行为,企业员工贪污、挪用企业资金,建立小金库,等等。
担保活动的风险主要包括:(1)信用风险,即担保人因被担保人不能履行偿付义务而被要求代偿的风险,包括由此引发的法律诉讼风险;(2)流动性风险,由于代偿而使本企业的现金流量出现问题或者无法代偿的风险;(3)抵押、质押物不合理,导致担保企业发生损失的风险。就我国而言,许多上市公司因从事不当担保活动而使本公司的生产经营受到严重影响,甚至有公司因为担保业务使自身陷入财务危机,因此,必须建立有效的担保风险控制机制,包括:加强对被担保人的资信调查,审慎提供对外担保,制定严格的担保审批程序和限额,并对担保活动进行跟踪监督。其中尤为重要的是加强公司治理,严格遵循《上市公司章程指引》、《上市公司治理准则》、《关于加强社会公众股股东权益保护的若干规定》等相关规定,不违规为大股东及其关联方提供担保。
4.税务活动的风险与控制
企业在税务事务方面的风险主要有两方面:(1)因违反税法(包括逃税、漏税、偷税)行为而受到税务机关的处罚;(2)因不熟悉税法而多交税或者纳税的时间选择不当(详情见表12)。其中,前一个方面是最主要的。
5.人力资源活动的风险与控制
企业在人力资源方面的风险主要包括:(1)人员流失风险,指由于合格人员的流出而给企业造成损失的不确定性。(2)招聘不合格人员的风险,即由于不合格人员的流入而给企业造成损失的不确定性。(3)不恰当地使用人力资源导致企业价值受损的风险,包括不能根据员工的特长和不足做到知人善任、不恰当地提升不具备胜任能力的员工、过于注重引进外来员工而不注重现有员工的利用等。(4)由于不当的薪酬政策造成激励不当(包括激励不足与激励过度)而给企业造成损失的不确定性。(5)由于忽视员工培训造成人力资源价值维护不力的风险(详情见表13)。
6.研发活动的风险与控制
研发活动的风险主要体现在:(1)研发的产品或技术陈旧、过时;(2)研发失败;(3)研发成本过高,市场前景不好,给企业正常生产经营带来不利影响;(4)研发过程中侵害其他企业或个人的知识产权,等等(详情见表14)。
7.公共关系活动的风险与控制
除了生产经营活动以外,企业还应当积极参加公共活动,以履行对社会的公共责任。公共活动有助于减少企业与社区、政府的冲突,防止企业声誉的损坏,从而提高企业价值。与公共活动相关的风险主要是企业未能恰当履行公共责任、对社会、员工等造成损害而引起的法律风险(详情见表15)。
8.财务报告、审计及信息系统的风险与控制
企业必须根据相关法律法规和会计准则、制度提供财务报告。与财务报告相关的风险主要是会计系统不能及时提供真实、可靠的会计信息。不可信的会计信息不仅会损害外部信息使用者尤其是投资者的合法利益,对企业同样会产生不利的影响。因此,应当加强对财务报告过程的控制以及业务循环中的会计控制,以提高会计信息的质量。除了对外财务报告的控制之外,企业还应当加强内部报告控制,以保证管理层能够及时了解企业经营活动及其所面临的机会和风险信息,从而做出正确的决策。
与此相关的是信息系统和审计的风险控制。信息系统的风险控制包括一般控制和应用控制两方面,前者包括组织控制、系统开发与维护、系统接触、文件资料控制、硬件与系统控制等方面,后者则与每一具体的应用系统有关,适用于单个应用程序的处理,是对数据处理过程本身的控制(详情见表16)。
9.风险管理活动的风险及控制
风险管理活动自身也存在风险,如果企业风险管理系统不能有效地识别、评估和应对风险,则会对企业目标的实现造成不利影响。因此,企业必须要对风险管理系统的有效性进行定期的评估,以保证该系统的持续有效。具体而言,可以从风险管理的八要素出发,识别相关的风险并采取措施加以补救(详情见表17)。
三、结语
企业内部控制的建立,应当从相关业务活动可能蕴含的风险出发,有针对性地采取控制措施,从而将风险控制在可以接受的水平以内。本文运用风险导向思想,在对企业业务循环进行梳理的基础上,探讨了企业各主要业务循环中的风险及相应的内部控制措施。当然,由于企业的业务类型、规模、机构设置、员工素质等千差万别,企业风险的具体表现和严重性将有所不同,上文的分析仅就一般情况而言。对于具体的企业,应根据自身业务和规模的特点,在风险识别与分析的基础上,建立相应的内部控制,并使之嵌入到企业的生产经营活动之中,从而保证“有业务的地方必有控制”。
标签:内部控制论文; 企业内部控制评价指引论文; 管理风险论文; 审计计划论文; 管理控制论文; 控制活动论文; 审计质量论文; 审计方法论文; 审计流程论文; 管理审计论文; 审计目标论文; 审计准则论文; 采购流程论文; 财务报告论文; 财会论文;