风险管理导向的企业内部控制问题研究
摘要:随着社会经济的发展,内部控制也在不断地发展并越来越受到企业的关注。文章从风险管理的角度研究内部控制,首先介绍了企业全面风险管理的提出背景,进而介绍了我国企业内部控制的体系及差距、融入风险管理的企业的内部控制完善措施,并进一步探讨了我国上市公司内部控制未来的发展方向。 关键词:风险管理;内部控制;风险评估
近年来,国内外大型企业财务丑闻频出,人们将问题的焦点聚集在企业内部控制的有效性上。2002年,美国国会通过了《萨班斯——奥克斯利法案》,要求上市公司管理当局自行评估其内部控制的有效性,并且聘请社会审计人员做出验证报告。美国反对虚假财务报告委员会也于2004年颁布《企业风险管理——综合框架》,将内部控制从企业管理的构成要素提升为企业管理不可分割的过程,同时也将内部控制提升为企业风险管理(enterprise risk management,erm)。这一制度性的变革正受到许多国家的关注及试验性应用。本文旨在借鉴erm综合框架,对我国建立以erm为核心的内部控制体系进行探讨。
一、企业风险管理的提出及内涵界定 (一)erm的提出
美国的内部控制建设起步较早。现已经建立了世界上较为系统的企业内部控制体系。这一发展历程耗用近70年的时间,相关概念
也经历了由内部牵制、内部控制直至风险管理的发展历程。每次对内部控制制度的变革都不是对其历史的否定,而是对内部控制内涵及外延的扩展。纵观其发展过程,可以总结出以下趋势。 1.内部控制从最初的以保护财产、账簿、财务报告的正确性为主,发展到现在的更加重视内部控制与管理的结合,将内部控制作为现代企业管理不可或缺的一部分。
2.内部控制的目标不断提高,从期初的以基本的资本保全和合法性为目的,发展为企业制定战略的必要手段之一。
3.内部控制规范日趋完善。美国于1992年发布了《内部控制——整合框架》,受到理论界与实务界的广泛关注。在sox法案发布后,该框架草案得到了进一步的修改与完善,2004年发布了最终报告《企业风险管理——整合框架》。
毋庸置疑,新框架以企业风险管理这一更广泛的主题为核心,扩展了内部控制的含义,填补了有关各方对企业风险管理的迫切需求。新框架认为,内部控制是企业风险管理的一部分,新框架包含了企业内部控制的内涵,并形成了一套更为概念化的管理工具。《企业风险管理——整合框架》可以满足企业对内部控制的需求,并进行更为全面的风险管理。 (二)erm内涵的界定
从企业内部控制概念的发展历程可以看出,不同的历史发展阶段,内部控制的含义是不同的。内部控制概念在发展过程中经历了数次
变化,其关系如图1所示。
由图1可见,erm的范围已涵盖了传统意义上的内部控制的内容及目的。从严格的概念上说,在美国erm已经取代了内部控制;但在我国的理论与实务中,由于内部控制的基础还很薄弱,对内部控制的基础工作仍然不能放松,所以在概念上仍称之为内部控制。 二、我国内部控制体系建设的现状
在我国,规范意义上的内部控制的体系建设至今已有将近10个年头,跨越了很多发达国家几十年所走过的道路,可谓成绩斐然。但同我国经济的发展形势相比较,尤其是同资本市场发展的要求相比,内部控制已成为发展的瓶颈。我国内部控制体系建设还存在如下问题。
(一)内控制度的推行积极性不高,重视程度不够
由于内控制度不能直接产生经济效益,其间接效益也需要较长时间才能体现,并且需要投入一定的人力、物力,需要整理或制定大量的规章制度,需要增加办事环节、程序,因而大多数企业不愿在落实内控方面投入精力。有的企业领导片面地认为推行内控制度用条条框框束缚了自己的手脚,影响了办事效率等。 (二)企业风险意识薄弱,风险评估机制尚未完全建立
经济环境的风云变幻使竞争越来越激烈,企业经营风险不断提高。内部控制作为防范企业弊端的一种积极、主动的防范机制,可以将企业面临的风险控制在最低程度。然而,目前许多企业的风险管理
意识并没有提到应有的高度,对市场风险也没有充分认识,应对风险能力不足。
(三)风险管理机制缺失
在我国,真正重视风险管理,并建立风险管理机制的是银行、保险公司、证券公司等金融机构。而我国的一般企业多数没有建立风险防范机制,且相关机构也不重视对一般企业风险管理问题的研究。但从coso委员会提出的新报告来看,风险管理已是企业内部控制的一个重要组成部分,国外有些学者甚至认为,企业风险管理是企业的核心竞争力。企业风险管理是一种积极主动地关注企业内外部各种变化,并通过对这些变化进行分析和识别,从中发掘发展机会并规避风险的机制。因此,我国企业风险管理机制的缺失是一个相当严重的缺陷。
(四)没有形成良好的控制大环境,影响了内控制度的有效执行 内控制度的有效推行,需要建立一个良好的内控环境作为保障。目前不少管理部门及人员对内控制度的认识、理解不足,把内控制度混同于一般规章制度建设。甚至一些企业对推行内控制度应付了事,把内控制度“印在纸上、说在嘴上、挂在墙上”,没有实质行动,造成内控制度缺乏有效地执行。
(五)考核监督及评价机制滞后,监督力度不够
由于内控制度兴起时间较短,大部分企业忙于搞制度建设,而疏忽了对检查评价制度的建立,也没有建立起有效的内部控制激励机
制,从而造成制度执行力度不够,搞形式、走过场现象不同程度地存在。一些企业虽然建立了一些奖惩制度,但缺乏合理性与科学性,且没有完全制度化。内控制度的推行有始无终、虎头蛇尾,使内控制度没有发挥出应有的作用和约束力。 三、完善企业融入风险管理内部控制的举措
风险管理是企业经营成败的关键,企业管理当局要牢固树立风险管理理念,培养全体员工的风险防范意识。在内部控制建设中可以采取以下对策来防范和控制风险。 (一)完善相关的法律法规
2008年6月,五部委联合发布《企业内部控制基本规范》(简称基本规范)。基本规范率先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。2010年4月又联合发布《企业内部控制配套指引》,该指引和前面发布的基本规范共同构建了我国企业内部控制规范体系。至此,我国基本建成了既适应我国企业实际情况、又融合国际先进经验的中国企业内部控制规范体系。 (二)构建全新的风险管理原则
内部控制组织结构的设置应使风险管理的要求和目标渗透到企业的各个操作环节和各项业务过程中。内部控制要遵循风险管理的原则:全员管理原则;全方位风险管理原则,不但要包括业务风险,还要包括法律风险、技术风险等;全过程管理原则,对企业的发展、业务操作的全过程实行风险控制。