近年来,国际上一些著名企业相继爆出丑闻,造成极其严重的后果。我国也为内部控制和企业风险管理的缺失付出了惨痛的代价,如国内著名企业中发生的中航油(新加坡)公司破产倒闭事件以及中行、农行、兴业、浦发等银行巨额虚假贷款、大额资金失踪等舞弊案频频曝光。究其原因,内部控制存在缺陷是导致企业不能及时发现和有效控制经营风险,并最终铤而走险、欺骗社会公众和投资者的重要原因。在对这些财务舞弊和经营管理失败案例进行反思后,人们逐渐认识到“有控则强、失控则弱、无控则乱”的道理,控制失灵难以使事业持久、基业常青。建立完善的且行之有效的企业内部控制机制已成为企业的当务之急.
一、内部控制的内涵
人们对内部控制的定义经历了从简单到复杂、从静态到动态、从以制度为本到以人为本的一种逻辑演绎,体现了人们对内部控制认识的逐渐深化,加深了人们对内部控制的进一步理解,从而使人们对内部控制这一客观事物的认识更能贴近事物的本原。所谓内部控制,是由企业建立的,通过约束和激励等手段,以保障企业各利益相关者的行为能够按契约的要求进行,并能够促使契约自我优化的一种系统化的机制,其目的是为了实现企业目标.
二、内部控制发展历程对内部控制的认识,经历了一个逐渐发展的过程。
美国的内部控制经历了从内部牵制到二要素法、三要素法到五要素法,日趋完整和深入,最终发展为企业风险管理框架模式.
1、内部牵制。内部控制的最初形式是内部牵制,内部牵制以账目间的相互核对为主要内容,并实施岗位分离,内部牵制机制在减少错误和舞弊行为上起到了十分重要的作用.
2、二要素法。随着经济的发展和企业组织规模的扩大,人们发现内部牵制已经越来越不能适应大型企业需要,因此对内部控制的研究也越发深入,美国注册会计师协会的审计程序委员会于1958年10月发布的《审计程序公告第29号》将内部控制划分为会计控制和管理控制,内部控制划分为二要素形式.
3、三要素法。1988年美国注册会计师协会的审计准则委员会发布《审计准则公告第55号》,该公告以“内部控制结构”代替“内部控制制度”,具体包括三个要素:控制环境、会计制度、控制程序.
4、五要素法。1996年美国注册会计师协会发布《审计准则公告第78号》,全面接受COSO报告的内容,新准则将内部控制定义为:“由一个企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性、经营的效果和效率以及符合适用的法律和法规”。该准则将内部控制划分为五种要素:控制环境、风险评估、控制活动、信息与沟通、监控.
5、全面企业风险管理框架。7月美国COSO委员会颁布了企业风险管理框架的讨论稿,并于次年4月颁布正式稿。将企业风险管理的构成分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素,各要素贯穿在企业的管理过程之中.
三、企业风险管理整合框架的诸要素构成
1、内部环境。
内部环境是企业风险管理其他构成要素的基础,为其他要素提供约束和结构。它影响着战略和目标的制定、经营活动的组织以及风险的识别、评估和应对,它还影响着控制活动、信息与沟通体系以及监控措施的设计与运行。内部环境受企业历史和文化的影响,包含许多要素,包括企业风险管理理念、风险容量、董事会监督、主体中人员的诚信、道德价值观和胜任能力以及经理人分配权力和职责、组织员工的方式.
所有这些要素都很重要,但对每个要素的强调程度会因企业而异。然而,董事会是内部环境的一个关键部分,它对其他的内部环境要素有重大影响。因为董事会对经理人独立性、经验、才干、敬业等方面的监督与审查,对企业来说至关重要。要想使内部环境有效,董事会中的独立外部董事必须至少占多数.
内部环境的另一关键要素是企业风险管理理念。一个企业风险管理理念是一整套共同的信念和态度,它决定着该企业在做任何事情(从战略制定和执行到日常经营活动)时如何考虑风险.
2、目标设定。
企业在既定的任务和背景下,制定战略目标、选择战略,并制定相关目标,将其细分至企业的方方面面,与战略保持一致并相联系。企业必须先有目标,经理人才能识别影响它们实现的潜在事项。企业风险管理确保当局采取恰当的程序去设定目标,确保所设定的目标支持和切合该企业的使命,并与它的风险容量或风险容限一致.
3、事件识别。
管理当局必须识别可能对企业产生影响的潜在事项。潜在事项具有负面的或正面的影响,或两者兼而有之。具有潜在负面影响的代表风险,经理人要对之进行评估和做出反应。相应地,企业风险管理被定义为事项发生并对目标实现产生不利影响的可能性。具有潜在正面影响的事项代表机会。代表机会的事项引导经理人制定战略和相关目标,以便采取行动抓住机会.
4、风险评估。
企业风险管理评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角度对事项进行评估:可能性和影响,并且通常采用定性和定量相结合的方法。在不要求定量化的地方,或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时,经理人通常采用定性评估技术。定量技术精确度更高,通常应用在更加复杂的活动中,以对定性技术进行补充。评估风险时既要考虑固有风险,也要考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险.
5、风险应对。
在评估相关风险以后,经理人就要确定如何应对风险。风险应对有四种类型:回避,即退出会产生风险的活动;降低,即采取措施降低风险的可能性或影响,或者同时降低二者;分担,即通过转移的方式来降低风险的可能性或影响,或者分担一部分风险,如购买保险产品、外包一项业务活动;承受,即不采取任何措施去改变风险的可能性或影响.
6、控制活动。
控制活动是帮助管理当局实施风险应对方案的政策和程序。控制活动贯穿于整个组织,遍及各个层级和各个职能机构.
它们包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。控制活动一般包括两个要素:确定应该做什么样的政策,以及如何执行政策的程序.
此外,由于信息系统在企业经营和报告及合规目标方面具有重要影响,因此需要对重要的系统进行控制。对重要的信息系统的控制主要有两类活动:一般控制和应用控制.
7、信息与沟通。
组织中的各个层级都需要信息,以识别、评估和应对风险。信息可以来自内部,也可以来自外部;可以以定量的形式出现,也可以以定性的形式出现。可以是财务的,也可以是非财务的。经理人面临的一项挑战便是处理和提炼大量的数据以形成可参考的信息。这项挑战可以通过建立一套信息系统来解决;另一项挑战是信息的质量问题,例如内容是否恰当、信息是否及时、是否准确等。这可以通过建立整个企业范围的数据管理程序(包括对相关信息的获取、维护和分配)来解决.
信息是需要沟通传递的,沟通包括企业内部沟通和外部沟通。有效的内部沟通会出现在组织中向下、平行和向上的流动。例如,全部员工从高层经理人那里收到一个清楚的信息:必须认真担负起企业风险管理的责任。他们了解自己在企业风险管理中的职责以及个人的活动与其他员工工作间的关系。同时,他们也必须具有同级间沟通和向上沟通重要信息的有效方式。除了内部沟通,企业还需要外部沟通.
例如,通过有效的外部沟通,客户和供应商能够提供与产品或服务的设计和质量有关的重要信息,从而使企业能够不断关注客户需求或偏好的变化.
8、监控。
企业风险管理的监控是指随时对其构成要素的存在和运行进行评估,必要时加以修正。企业曾经适当的风险应对可能会变得不适用;控制活动可能会变得不太有效,或者不再被执行;企业的目标也可能发生变化。面对这些变化,管理当局就需要确定企业风险管理的运行是否持续有效,他们所依赖的措施便是监控.
监控可以以持续监控活动或者个别评价两种方式进行。持续监控建立在企业正常的、重复发生的活动之上,一般由直线式的经营管理人员或职能式的辅助管理人员来执行;个别评价的范围和频率主要取决于对风险的评估和持续监控程序的有效程度。此外,监控包括内部监控和外部监控两方面,企业要将他们所评价出的企业风险管理缺陷和提供的有关风险管理的重要信息向上报告,严重的问题还需报告给高层管理人员和董事会.
四、企业风险整合框架实现路径分析
1、内部控制环境方面。控制环境的定义是五个要素中最重要的因素,控制环境确定了管理层的基调,并影响人们的控制意识。这是所有其他内控要素的基础,提供了规则和结构.
其基本原则包括:(1)健全的道德观和诚信的文化。组织应具有明确的价值观,监控各项活动,并采取措施;(2)有效而独立的董事会。应建立独立而有效的监督机制。独立而有效的监督,可以是来自于公司外部的机构或个人,也可能来自于公司的拥有者;(3)管理层的运行方式促进良好的控制。管理层应设定目标,并为各项活动设定一个基调;(4)权限和责任的分配与财务报表的目标是一致的。权限和责任的分配是从董事会和财务总监开始的;(5)人力资源政策和规程支持有效控制。应考虑激励因素、招聘、培训和其他活动.
2、内部监督。监控的目的,是通过识别控制的缺陷和漏洞并持续改进以创造效率。监控是指内控系统应该被有效监控,它是评估内控系统在一段时期内有效性的流程。这将通过持续的监控活动和独立评估以及两者相结合的方式来实现。另外,内控的缺陷应向上级汇报,重大事件向管理层和董事会汇报。持续的监控、独立评估和缺陷报告构成监控三要素.
3、信息沟通。企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用.
4、控制活动。企业应该参考《基本规范应用指引》,确定各种业务和事项的控制目标并设计控制活动,结合各自业务流程,将控制活动整合在各项业务循环中,常用的控制活动包括:不相容职务分离、授权审批、会计系统、财产保护、预算、运营分析、绩效考核等,在每一项经营业务的流程中,必须根据业务的特点,选择相适应的控制活动,这样才能达到合适的控制目标.
5、企业风险管理中风险评估。首先需要建立风险评估机制以确定风险承受度,识别内部、外部风险,采用定性与定量相结合的方法,对风险进行分析和排序,这种机制不是一年一度的填表流程,而应该是每个部门定下的工作原则,在每个项目的开始阶段必须执行的工作流程;然后确定关注重点和优先控制的风险,根据风险评估的结果,结合风险承受度,权衡风险与收益,确定风险应对策略并且持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略,要让风险评估成为日常工作的标准流程,首先必须在制度中明确规定;另外,必须对员工进行必要的培训,每个岗位的员工应当知晓本职工作可能存在的各种风险.